CN110800249B - 维护***以及维护方法 - Google Patents

维护***以及维护方法 Download PDF

Info

Publication number
CN110800249B
CN110800249B CN201880041382.9A CN201880041382A CN110800249B CN 110800249 B CN110800249 B CN 110800249B CN 201880041382 A CN201880041382 A CN 201880041382A CN 110800249 B CN110800249 B CN 110800249B
Authority
CN
China
Prior art keywords
vehicle
key
server
terminal device
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201880041382.9A
Other languages
English (en)
Other versions
CN110800249A (zh
Inventor
竹森敬祐
沟口诚一郎
户塚明典
石塚浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Publication of CN110800249A publication Critical patent/CN110800249A/zh
Application granted granted Critical
Publication of CN110800249B publication Critical patent/CN110800249B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0808Diagnosing performance data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C2205/00Indexing scheme relating to group G07C5/00
    • G07C2205/02Indexing scheme relating to group G07C5/00 using a vehicle scan tool

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Telephonic Communication Services (AREA)

Abstract

一种维护***,具备服务器装置、终端装置以及搭载于车辆的车载装置,所述服务器装置具备:作业者认证信息接收部,从所述终端装置接收作业者认证信息;服务器认证处理部,进行所述作业者认证信息的认证处理;以及服务器密钥发送部,向由所述服务器认证处理部进行的所述作业者认证信息的认证合格的所述终端装置发送与所述车载装置之间使用的第一密钥,所述终端装置具备:作业者认证信息发送部,将所述作业者认证信息发送给所述服务器装置;终端密钥接收部,从所述服务器装置接收所述第一密钥;以及终端认证处理部,使用所述第一密钥与所述车载装置之间进行认证处理,所述车载装置具备车辆认证处理部,该车辆认证处理部使用所述第一密钥与所述终端装置之间进行认证处理。

Description

维护***以及维护方法
技术领域
本发明涉及维护***以及维护方法。
本申请基于2017年6月27日申请的日本特愿2017-125369号要求优先权,并将其内容援引到本申请中。
背景技术
以往,汽车具有ECU(Electronic Control Unit:电子控制单元),通过ECU实现发动机控制等功能。ECU是计算机的一种,通过计算机程序实现期望的功能。例如在非专利文献1中记载有关于将多个ECU与CAN(Controller Area Network:控制器局域网)连接而构成的车载控制***的安全技术。
现有技术文献
非专利文献
非专利文献1:竹森敬祐、“以安全元件为基点的车载控制***的保护-要素技术的整理和考察-”、电子信息通信学会、信学技报、vol.114、no.508、pp.73-78、2015年3月
非专利文献2:日本工业标准、JISD4901、“车辆识别编号(VIN)”
发明内容
发明要解决的课题
提高进行汽车的维护作业时的安全性是课题之一。
本发明是考虑到这样的情况而完成的,其目的在于提高进行汽车等车辆的维护作业时的安全性。
用于解决课题的技术方案
(1)本发明的一个方式是维护***,其中,具备服务器装置、终端装置以及搭载于车辆的车载装置,所述服务器装置具备:作业者认证信息接收部,从所述终端装置接收作业者认证信息;服务器认证处理部,进行所述作业者认证信息的认证处理;以及服务器密钥发送部,向由所述服务器认证处理部进行的所述作业者认证信息的认证合格的所述终端装置发送在与所述车载装置之间使用的第一密钥,所述终端装置具备:作业者认证信息发送部,将所述作业者认证信息发送给所述服务器装置;终端密钥接收部,从所述服务器装置接收所述第一密钥;以及终端认证处理部,使用所述第一密钥与所述车载装置之间进行认证处理,所述车载装置具备车辆认证处理部,该车辆认证处理部使用所述第一密钥与所述终端装置之间进行认证处理。
(2)本发明的一个方式是维护***,在上述(1)的维护***中,所述服务器装置具备:服务器密钥存储部,存储主密钥;以及服务器密钥生成部,使用所述主密钥和与所述作业者认证信息相关联的车辆对应识别符来生成所述第一密钥,所述车载装置具备:车辆密钥存储部,存储与所述服务器装置的所述主密钥相同的所述主密钥;以及车辆密钥生成部,使用所述车辆密钥存储部的所述主密钥和与所述车辆对应的所述车辆对应识别符来生成所述第一密钥。
(3)本发明的一个方式是维护***,在上述(2)的维护***中,所述服务器密钥生成部还使用表示以所述作业者认证信息的认证时为基准的规定期间的第一期间信息来进行所述第一密钥的生成,所述车辆密钥生成部还使用表示以所述车载装置从所述终端装置接收到认证请求消息时为基准的规定期间的第二期间信息来进行所述第一密钥的生成。
(4)本发明的一个方式是维护***,在上述(2)或(3)的任一项的维护***中,所述服务器密钥生成部使用所述服务器密钥存储部的所述主密钥和与所述作业者认证信息相关联的所述车辆对应识别符来生成第二密钥,所述车辆密钥生成部使用所述车辆密钥存储部的所述主密钥和与所述车辆相对应的所述车辆对应识别符来生成所述第二密钥,所述服务器装置具备:服务器加密处理部,使用由所述服务器密钥生成部生成的所述第二密钥,对表示赋予所述作业者认证信息的作业者的所述车辆的维护的权限的权限信息进行加密;以及权限信息发送部,将通过所述服务器加密处理部对所述权限信息进行加密后的加密权限信息经由所述终端装置发送给所述车辆,所述车载装置具备车辆加密处理部,该车辆加密处理部使用由所述车辆密钥生成部生成的所述第二密钥对所述加密权限信息进行解密。
(5)本发明的一个方式是维护***,在上述(1)至(4)中任一项的维护***中,具备车辆记录部,搭载于所述车辆,记录所述车载装置的日志,所述终端装置具备终端日志发送部,该终端日志发送部从所述车辆接收所述日志并发送给所述服务器装置,所述服务器装置具备服务器记录部,该服务器记录部存储从所述终端装置接收到的所述日志。
(6)本发明的一个方式是维护***,在上述(1)至(5)中任一项的维护***中,所述服务器装置具备服务器控制部,所述服务器控制部将针对同一所述作业者认证信息同时期发行所述第一密钥的所述车辆的台数限制为一定数量。
(7)本发明的一个方式是维护***,在上述(1)至(6)中任一项的维护***中,所述终端装置具备:终端密钥存储部,存储从所述服务器装置接收到的所述第一密钥;以及终端控制部,通过表示所述车辆的维护作业的结束的信号,从所述终端密钥存储部删除所述第一密钥。
(8)本发明的一个方式是维护***,具备:服务器装置、终端装置以及搭载于车辆的车载装置,所述服务器装置具备:作业者认证信息接收部,从所述终端装置接收作业者认证信息;服务器认证处理部,进行所述作业者认证信息的认证处理;以及令牌发送部,向由所述服务器认证处理部进行的所述作业者认证信息的认证合格的所述终端装置发送所述车载装置所发行的令牌,所述终端装置具备:作业者认证信息发送部,将所述作业者认证信息发送给所述服务器装置;令牌接收部,从所述服务器装置接收所述令牌;以及终端控制部,使用所述令牌,通过所述服务器装置进行针对所述车辆的维护命令的发送,所述车载装置具备车辆控制部,该车辆控制部发行所述令牌,进行在所述维护命令的所述发送中使用的所述令牌的验证。
(9)本发明的一个方式是维护方法,该维护方法是维护***的维护方法,所述维护***具备服务器装置、终端装置以及搭载于车辆的车载装置,所述终端装置向所述服务器装置发送作业者认证信息,所述服务器装置从所述终端装置接收所述作业者认证信息,所述服务器装置进行所述作业者认证信息的认证处理,所述服务器装置向基于所述认证处理的所述作业者认证信息的认证合格的所述终端装置发送在与所述车载装置之间使用的第一密钥,所述终端装置从所述服务器装置接收所述第一密钥,所述终端装置使用所述第一密钥与所述车载装置之间进行认证处理,所述车载装置使用所述第一密钥与所述终端装置之间进行认证处理。
(10)本发明的一个方式是维护方法,该维护方法是维护***的维护方法,所述维护***具备服务器装置、终端装置以及搭载于车辆的车载装置,所述终端装置向所述服务器装置发送作业者认证信息,所述服务器装置从所述终端装置接收所述作业者认证信息,所述服务器装置进行所述作业者认证信息的认证处理,所述车载装置发行所述令牌,所述服务器装置向基于所述认证处理的所述作业者认证信息的认证合格的所述终端装置发送所述车载装置所发行的令牌,所述终端装置从所述服务器装置接收所述令牌,所述终端装置使用所述令牌,通过所述服务器装置进行针对所述车辆的维护命令的发送,所述车载装置进行在所述维护命令的所述发送中使用的所述令牌的验证。
发明效果
根据本发明,能够获得能够提高进行汽车等车辆的维护的作业时的安全性的效果。
附图说明
图1是一个实施方式的维护***的概略结构图。
图2是一个实施方式的服务器装置的概略结构图。
图3是一个实施方式的终端装置的概略结构图。
图4是一个实施方式的车载装置的概略结构图。
图5是表示一个实施方式的维护方法的例1的时序图。
图6是表示一个实施方式的维护方法的例2的时序图。
图7是表示一个实施方式的维护方法的例3的时序图。
图8是表示一个实施方式的维护方法的例4的时序图。
图9是表示一个实施方式的维护方法的例5的时序图。
具体实施方式
以下,参照附图对本发明的实施方式进行说明。此外,在以下所示的实施方式中,作为车辆以汽车为例进行说明。
图1是本实施方式的维护***1的概略结构图。在图1中,维护***1具备服务器装置30、终端装置50以及车载装置70。车载装置70是搭载于汽车10的装置。汽车10具备车载装置70、网关装置(GW)16以及多个ECU(电子控制装置)18。
ECU18是汽车10所具备的车载计算机。ECU18具有汽车10的发动机控制等控制功能。作为ECU18,例如,包含具有发动机控制功能的ECU、具有方向盘控制功能的ECU、具有制动控制功能的ECU等。网关装置16具有应用于搭载于汽车10的ECU18的数据的安全(安全保障)的功能。需要说明的是,也可以使搭载于汽车10的任一ECU作为网关装置16发挥功能。
网关装置16和多个ECU18与汽车10所具备的通信网络(以下,称为车载网络)17连接。车载网络17例如也可以是CAN(Controller Area Network:控制器局域网)。CAN作为搭载于车辆的通信网络之一而被公知。网关装置16经由车载网络17与各ECU18之间交换数据。ECU18经由车载网络17与其他ECU18之间交换数据。
需要说明的是,作为搭载于车辆的通信网络,也可以在汽车10中具备CAN以外的通信网络,经由CAN以外的通信网络进行网关装置16与ECU18之间的数据的交换以及ECU18彼此之间的数据的交换。例如,也可以在汽车10中具备LIN(Local Interconnect Network:本地互联网络)。另外,也可以在汽车10中具备CAN和LIN。另外,在汽车10中,也可以具备与LIN连接的ECU18。另外,网关装置16也可以与CAN和LIN连接。另外,网关装置16可以经由CAN与连接于该CAN的ECU18之间交换数据,也可以经由LIN与连接于该LIN的ECU18之间交换数据。另外,ECU18彼此也可以经由LIN交换数据。
汽车10的车载计算机***构成为使网关装置16和多个ECU18连接于车载网络17。网关装置16监视汽车10的车载计算机***的内部与外部之间的通信。ECU18经由网关装置16与车载计算机***的外部装置进行通信。
需要说明的是,作为车载网络17的结构,车载网络17也可以具备多个总线(通信线),该多个总线与网关装置16连接。在该情况下,在一个总线上连接有一个ECU18或多个ECU18。
服务器装置30经由通信路径104与终端装置50进行通信。通信路径104既可以是无线通信路径,也可以是有线通信路径,也可以由无线通信路径和有线通信路径构成。例如,服务器装置30和终端装置50也可以通过通信电缆连接。或者,服务器装置30和终端装置50也可以构成为经由有线或无线的通信网络进行通信。例如,服务器装置30与终端装置50也可以通过有线或无线的LAN(Local Area Network:局域网)连接。
终端装置50经由通信路径106与汽车10的车载装置70进行通信。通信路径106可以是无线通信路径,可以是有线通信路径,也可以由无线通信路径和有线通信路径构成。例如,终端装置50和车载装置70也可以构成为经由有线或无线的通信网络进行通信。例如,终端装置50和车载装置70也可以通过有线或无线的LAN连接。例如,终端装置50和车载装置70也可以构成为通过近距离无线通信进行通信。例如,也可以构成为将终端装置50与汽车10的诊断端口连接,终端装置50与车载装置70经由该诊断端口进行通信。作为汽车10的诊断端口,例如也可以使用OBD(On-board Diagnostics:车载自动诊断***)端口。
图2是本实施方式的服务器装置30的概略结构图。在图2中,服务器装置30具备服务器通信部31、服务器密钥存储部32、服务器密钥生成部33、服务器认证处理部34、服务器加密处理部35、服务器记录部36、服务器控制部37以及作业者信息存储部40。服务器通信部31经由通信路径104与终端装置50进行通信。服务器密钥存储部32存储密钥。服务器密钥生成部33生成密钥。服务器认证处理部34进行汽车10的作业者的认证。服务器加密处理部35进行数据的加密以及加密数据的解密。服务器记录部36进行日志的记录以及日志的存储。服务器控制部37进行服务器装置30的控制。
作业者信息存储部40存储作业者信息。作业者信息是作为进行汽车10的维护作业的人而预先登记的作业者的信息。作业者信息是包含作业者的姓名等的确定作业者的作业者确定信息和与作业者确定信息相关联的作业者认证信息在内的信息。作业者认证信息是用于对作业者进行认证的信息。作业者认证信息例如是作业者识别信息(ID)和密钥(PWD)的组合。或者,作业者认证信息也可以是作业者的指纹等生物体信息。
服务器认证处理部34进行从终端装置50接收到的作业者认证信息的认证处理。服务器认证处理部34通过对从终端装置50接收到的作业者认证信息与作业者信息存储部40的作业者信息的作业者认证信息进行比较,来判断从终端装置50接收到的作业者认证信息的认证的合格与否。例如,在从终端装置50接收到的作业者认证信息“ID和PWD的组合”与作业者信息存储部40的作业者信息的作业者认证信息“ID和PWD的组合”一致的情况下,该作业者认证信息的认证合格,在不一致的情况下,该作业者认证信息的认证不合格。例如,在判断为从终端装置50接收到的作业者认证信息“作业者的生物体信息(例如,指纹信息)”是与作业者信息存储部40的作业者信息的作业者认证信息“指纹信息”相同的人物的生物体信息的情况下,该作业者认证信息的认证合格,在不同的情况下,该作业者认证信息的认证不合格。
需要说明的是,作业者信息存储部40也可以设置于服务器装置30的外部的存储装置。在该情况下,服务器装置30通过通信访问该外部的存储装置来获取作业者信息存储部40的作业者信息。
服务器装置30的功能通过由服务器装置30所具备的CPU(Central ProcessingUnit:中央处理单元)执行计算机程序来实现。需要说明的是,作为服务器装置30,可以使用通用的计算机装置来构成,或者也可以构成为专用的硬件装置。
服务器装置30可以具备安全元件(Secure Element:SE,安全元件)。作为安全元件,例如可以例举具有防篡改性(Tamper Resistant)的半导体产品。作为安全元件,例如也可以使用具有防篡改性的IC(Integrated Circuit:集成电路)芯片。作为安全元件,例如也可以使用SIM(Subscriber Identity Module:用户身份模块)或eSIM(EmbeddedSubscriber Identity Module:嵌入式用户身份模块)等通信模块。SIM以及eSIM具有防篡改性。
服务器装置30的服务器密钥存储部32以及服务器密钥生成部33的功能也可以通过由安全元件的CPU执行计算机程序来实现。
图3是本实施方式的终端装置50的概略结构图。在图3中,终端装置50具备终端通信部51、终端密钥存储部52、终端认证处理部54、终端记录部56以及终端控制部57。终端通信部51经由通信路径104与服务器装置30进行通信。终端通信部51经由通信路径106与汽车10的车载装置70进行通信。终端密钥存储部52存储密钥。终端认证处理部54与汽车10的车载装置70之间进行认证处理。终端记录部56进行日志的记录以及日志的存储。终端控制部57进行终端装置50的控制。
终端装置50的功能通过由终端装置50所具备的CPU执行计算机程序来实现。需要说明的是,作为终端装置50,可以使用通用的计算机装置来构成,或者也可以作为专用的硬件装置而构成。需要说明的是,作为终端装置50,也可以利用智能手机等便携通信终端装置、平板型的计算机装置(平板PC)、放置型的个人计算机装置等。
图4是本实施方式的车载装置70的概略结构图。在图4中,车载装置70具备车辆通信部71、车辆密钥存储部72、车辆密钥生成部73、车辆认证处理部74、车辆加密处理部75、车辆记录部76以及车辆控制部77。车辆通信部71经由通信路径106与终端装置50进行通信。车辆密钥存储部72储存密钥。车辆密钥生成部73生成密钥。车辆认证处理部74与终端装置50之间进行认证处理。车辆加密处理部75进行数据的加密以及加密数据的解密。车辆记录部76进行日志的记录以及日志的存储。车辆控制部77进行车载装置70的控制。
车载装置70的功能通过由车载装置70所具备的CPU执行计算机程序来实现。需要说明的是,作为车载装置70,可以使用通用的计算机装置来构成,或者也可以作为专用的硬件装置而构成。
车载装置70也可以具备安全元件。作为安全元件例如可例举包括具有防篡改性的半导体产品。作为安全元件,例如,可以使用具有防篡改性的IC芯片。作为安全元件,例如也可以使用SIM或者eSIM等通信模块。SIM以及eSIM具有防篡改性。作为安全元件,例如也可以使用HSM(Hardware Security Module:硬件安全模块)等密钥处理芯片。HSM具有防篡改性。
车载装置70的车辆密钥存储部72以及车辆密钥生成部73的功能也可以通过由安全元件的CPU执行计算机程序来实现。
另外,车载装置70也可以利用搭载于汽车10的计算机装置来实现。例如,也可以利用搭载于汽车10的信息娱乐(Infotainment)设备来实现车载装置70。作为信息娱乐设备,例如可以例举具有导航功能、位置信息服务功能、音乐或动态图像等多媒体再现功能、声音通信功能、数据通信功能、因特网连接功能等的设备。
信息娱乐设备一般称为车载信息娱乐(In-Vehicle Infotainment:IVI)***。车载装置70的功能也可以通过由信息娱乐设备所具备的CPU执行用于实现车载装置70的功能的计算机程序来实现。信息娱乐设备也可以具备具有防篡改性的IC芯片等安全元件。
另外,车载装置70也可以利用搭载于汽车10的TCU(Tele Communication Unit)来实现。TCU是通信装置。TCU具备写入了用于利用无线通信网络的信息的SIM或者eSIM。TCU能够通过使用该SIM或者eSIM与该无线通信网络连接而进行无线通信。车载装置70的功能也可以通过由TCU所具备的CPU执行用于实现车载装置70的功能的计算机程序来实现。TCU的SIM或者eSIM是安全元件。
另外,车载装置70也可以利用搭载于汽车10的网关装置16来实现。车载装置70的功能也可以通过由网关装置16所具备的CPU执行用于实现车载装置70的功能的计算机程序来实现。网关装置16也可以具备HSM等安全元件。
接着,参照图5至图9,依次说明本实施方式的维护方法的示例。本实施方式的维护方法在作业者进行汽车10的维护作业时执行。汽车10的维护作业在汽车制造公司的汽车10的生产时、或者在汽车整备工厂或汽车销售店、汽车10的保管场所等的汽车10的维护时实施。在汽车10的维护作业中存在各种项目。作为汽车10的维护作业,例如可例举汽车10的各种诊断、ECU18的程序、设定数据的安装以及更新、ECU18的初始化等。
需要说明的是,在以下的维护方法的示例的说明中,作为本实施方式的作业者的认证方法的一例,列举使用作业者识别信息ID和密码PWD的组合的ID/密钥认证方法。在该ID/密钥认证方法中,作业者识别信息ID和密码PWD的组合是作业者认证信息。合法的作业者的作业者识别信息ID以及密码PWD的组合被预先登记在作业者信息存储部40中。另外,限定作业者进行维护作业的对象的汽车10的维护对象车限定信息也可以与该作业者的作业者识别信息ID以及密码PWD的组合相关联地存储于作业者信息存储部40。维护对象车限定信息例如是进行维护作业的对象的汽车10的车辆识别编号(Vehicle IdentificationNumber:VIN)。关于车辆识别号码(VIN),例如记载在非专利文献2中。
[维护方法的示例1]
参照图5说明本实施方式的维护方法的例1。图5是表示本实施方式的维护方法的例1的时序图。
服务器装置30将主密钥Master_Secret预先存储在服务器密钥存储部32中。车载装置70将主密钥Master_Secret预先存储在车辆密钥存储部72中。服务器装置30存储在服务器密钥存储部32中的主密钥Master_Secret和车载装置70存储在车辆密钥存储部72中的主密钥Master_Secret相同。
(步骤S11)作业者通过终端装置50输入用于登录到服务器装置30的作业者识别信息ID和密码PWD。另外,作业者通过终端装置50输入进行维护作业的对象的汽车10的车辆识别编号VIN。终端装置50的终端通信部51将包含从作业者输入到终端装置50的作业者识别信息ID以及密码PWD的组合和车辆识别编号VIN在内的登录请求消息发送给服务器装置30。车辆识别编号与车辆对应识别符对应。
服务器装置30的服务器通信部31从终端装置50接收登录请求消息。服务器认证处理部34对通过服务器通信部31从终端装置50接收到的登录请求消息进行认证。服务器认证处理部34将登录请求消息的作业者识别信息ID以及密码PWD的组合与作业者信息存储部40的作业者识别信息ID以及密码PWD的组合进行比较。其结果,在登录请求消息的作业者识别信息ID以及密码PWD的组合与作业者信息存储部40的作业者识别信息ID以及密码PWD的组合一致的情况下,该登录请求消息(作业者认证信息)的认证合格,在不一致的情况下,该登录请求消息(作业者认证信息)的认证不合格。
需要说明的是,在维护对象车限定信息的车辆识别编号VIN与作业者信息存储部40的作业者识别信息ID以及密码PWD的组合相关联的情况下,服务器认证处理部34进一步判断登录请求消息的车辆识别编号VIN是否与维护对象车限定信息的车辆识别编号VIN一致。其结果,在登录请求消息的车辆识别编号VIN与维护对象车限定信息的车辆识别编号VIN一致的情况下,最终该登录请求消息(作业者认证信息)的认证合格,在不一致的情况下,该登录请求消息(作业者认证信息)的认证不合格。
在针对登录请求消息的认证合格的情况下,进入以后的处理。另一方面,在针对登录请求消息的认证不合格的情况下,结束图5的处理。
在针对登录请求消息的认证不合格的情况下,从终端装置50向服务器装置30的登录失败。在针对登录请求消息的认证不合格的情况下,服务器装置30也可以执行规定的错误处理。
(步骤S12)服务器密钥生成部33使用服务器密钥存储部32的主密钥Master_Secret、认证合格的登录请求消息的车辆识别编号VIN和期间信息来生成MAC密钥Ka。MAC密钥Ka的生成方法如下式所示。MAC密钥Ka对应于第一密钥。
MAC密钥Ka=摘要(Master_Secret、VIN、期间信息)
其中,Master_Secret是主密钥。VIN为车辆识别号码。期间信息是表示以作业者认证信息的认证时为基准的规定期间的信息。认证作业者认证信息时,既可以是服务器通信部31从终端装置50接收到作业者认证信息时,也可以是服务器认证处理部34进行了作业者认证信息的认证处理时。作为本实施方式的一例,作业者认证信息是作业者识别信息ID以及密码PWD的组合,登录请求消息是包含作业者认证信息的消息。
以下示出期间信息的示例。为了便于说明,将操作者认证信息的认证时称为登录时。由此,期间信息是表示以登录时为基准的规定期间的信息。
(时段信息的示例1)
在登录时是“2017年6月12日上午10时15分20秒”的情况下,期间信息是“2017年6月12日”。在期间信息的例1中,仅将登录时的日期时间信息中年月日的信息用于期间信息。因此,在期间信息的例1中,登录时的日期时间信息中的时刻(时分秒)的信息被省略,生成期间信息。根据期间信息的例1,期间信息成为表示登录时的日期的信息。
(时段信息的示例2)
在登录时是“2017年6月12日上午10时15分20秒”的情况下,期间信息是“2017年6月”。在期间信息的例2中,仅将登录时的日期时间信息中的年月的信息用于期间信息。因此,在期间信息的例2中,省略登录时的日期时间信息中的日期和时刻(时分秒)的信息,生成期间信息。根据期间信息的例2,期间信息成为表示登录时的月份的信息。
作为上述的期间信息的例1以及例2的变形例,也可以在期间信息中仅使用登录时的日期时间信息中的年的信息(即,省略月日以及时刻(时分秒)的信息)、或者在期间信息中仅使用登录时的日期时间信息中的年月日以及时的信息(即,省略时刻中分秒的信息)。
以上是期间信息的示例的说明。
MAC密钥Ka是使用主密钥Master_Secret、车辆识别号码VIN和期间信息而生成的摘要。作为摘要,例如可以例举通过散列(hash)函数计算出的值、或者通过异或运算计算出的值等。例如,MAC密钥Ka是将主密钥Master_Secret、车辆识别编号VIN和期间信息用于输入值而计算出的哈希函数值。作为摘要,也可以使用CMAC(Cipher-based MessageAuthentication Code:基于密码的消息认证)。
例如,MAC密钥Ka是CMAC(Master_Secret;VIN、期间信息)。其中,CMAC(A;B)中,密钥A是用于生成CMAC的密钥,数据B是CMAC的生成对象的数据。由此,MAC密钥Ka是使用主密钥Master_Secret而生成的“车辆识别编号VIN与期间信息的连结数据、即CMAC”。
以上是MAC密钥Ka的生成方法的说明。
返回图5进行说明。
服务器通信部31使由服务器密钥生成部33生成的MAC密钥Ka返回到认证合格的登录请求消息的发送源的终端装置50。从返回了MAC密钥Ka的终端装置50向服务器装置30的登录成功。
终端装置50的终端通信部51从服务器装置30接收MAC密钥Ka。终端密钥存储部52存储由终端通信部51从服务器装置30接收到的MAC密钥Ka。
需要说明的是,服务器记录部36随时记录关于从终端装置50接收到的登录请求消息以及该登录请求消息的认证等的日志。该日志中包含登录请求消息、该登录请求消息的接收日期时间、该登录请求消息的认证结果(合格或不合格)以及MAC密钥Ka的发送日期时间等信息。
(步骤S13)终端装置50的终端认证处理部54通过终端通信部51将挑战(随机数t)发送给汽车10的车载装置70。终端认证处理部54产生随机数t,并将该随机数t用于挑战。终端认证处理部54保持挑战(随机数t)。
在汽车10的车载装置70中,车辆通信部71从终端装置50接收挑战(随机数t)。挑战(随机数t)对应于认证请求消息。
(步骤S14)当车辆通信部71从终端装置50接收到挑战(随机数t)时,车辆密钥生成部73生成MAC密钥Ka。
车辆密钥生成部73的MAC密钥Ka的生成方法由与上述的步骤S12的服务器密钥生成部33相同的方法的下式表示。
MAC密钥Ka=摘要(Master_Secret、VIN、期间信息)
其中,主密钥Master_Secret是存储在车辆密钥存储部72中的主密钥Master_Secret。存储在车辆密钥存储部72中的主密钥Master_Secret与存储在服务器装置30的服务器密钥存储部32中的主密钥Master_Secret相同。车辆识别号码VIN是搭载有车辆密钥生成部73的车载装置70的汽车10的车辆识别号码VIN。期间信息是表示以车载装置70从终端装置50接收到认证请求消息时(接收认证请求消息时)为基准的规定期间的信息。该期间信息与上述的服务器密钥生成部33的MAC密钥Ka的生成中使用的期间信息相同,但可以将登录时变更生成为接收认证请求消息时。
例如,在上述的期间信息的例1中,在认证请求消息接收时是“2017年6月12日下午4点20分40秒”的情况下,在车辆密钥生成部73的MAC密钥Ka的生成中使用的期间信息是“2017年6月12日”。在此,在从终端装置50向服务器装置30登录时是“2017年6月12日上午10时15分20秒”的情况下,在服务器密钥生成部33的MAC密钥Ka的生成中使用的期间信息和车辆密钥生成部73的MAC密钥Ka的生成中使用的期间信息同为“2017年6月12日”。由此,即使作业者通过终端装置50登录到服务器装置30的时刻和从终端装置50向汽车10的车载装置70发送认证请求消息的时刻存在偏差,但只要是同日,则在服务器装置30和车载装置70中用于生成MAC密钥Ka的期间信息也相同。因此,在服务器装置30和车载装置70中生成相同的MAC密钥Ka。由此,在上述的步骤S12中从服务器装置30发送到终端装置50并存储在该终端装置50的终端密钥存储部52中的MAC密钥Ka和从该终端装置50接收到认证请求消息(挑战(随机数t))的车载装置70生成的MAC密钥Ka相同。
例如,在上述的期间信息的例2中,在认证请求消息接收时是“2017年6月25日下午4点20分40秒”的情况下,在车辆密钥生成部73的MAC密钥Ka的生成中使用的期间信息是“2017年6月”。在此,在从终端装置50向服务器装置30的登录时是“2017年6月12日上午10时15分20秒”的情况下,在服务器密钥生成部33的MAC密钥Ka的生成中使用的期间信息和在车辆密钥生成部73的MAC密钥Ka的生成中使用的期间信息同为“2017年6月”。由此,即使作业者通过终端装置50登录到服务器装置30的日期时间和从终端装置50向汽车10的车载装置70发送认证请求消息的日期时间有偏差,但只要是相同月份,则在服务器装置30和车载装置70中使用于MAC密钥Ka的生成的期间信息也相同。因此,在服务器装置30和车载装置70中生成相同的MAC密钥Ka。由此,在上述的步骤S12中从服务器装置30发送到终端装置50并存储在该终端装置50的终端密钥存储部52中的MAC密钥Ka和从该终端装置50接收到认证请求消息(挑战(随机数t))的车载装置70生成的MAC密钥Ka相同。
需要说明的是,在作业者通过终端装置50登录到服务器装置30时与从终端装置50向汽车10的车载装置70发送认证请求消息时的偏差超过了期间信息的允许范围的情况下,在MAC密钥Ka的生成中使用的期间信息在服务器装置30和车载装置70中不同。由此,在服务器装置30和车载装置70中生成不同的MAC密钥Ka。例如,在上述的期间信息的例1中,从终端装置50向服务器装置30的登录时是“2017年6月12日上午10时15分20秒”,并且,在接收认证请求消息时是“2017年6月13日上午0时5分10秒”的情况下,在服务器密钥生成部33的MAC密钥Ka的生成中使用的期间信息是“2017年6月12日”,另一方面,在车辆密钥生成部73的MAC密钥Ka的生成中使用的期间信息是“2017年6月13日”。由于在服务器密钥生成部33的MAC密钥Ka的生成中使用的期间信息和在车辆密钥生成部73的MAC密钥Ka的生成中使用的期间信息不同,所以在服务器装置30和车载装置70中生成不同的MAC密钥Ka。因此,在上述的步骤S12中从服务器装置30发送到终端装置50并存储在该终端装置50的终端密钥存储部52中的MAC密钥Ka和在从该终端装置50接收到认证请求消息(挑战(随机数t))的车载装置70中生成的MAC密钥Ka不同。在该情况下,如后所述,使用了服务器装置30的MAC密钥Ka相对于使用由车载装置70生成的MAC密钥Ka而从挑战(随机数t)生成的响应Ka(随机数t)的验证不合格。
需要说明的是,在作业者通过终端装置50登录到服务器装置30时和从终端装置50向汽车10的车载装置70发送认证请求消息时的偏差超过了期间信息的允许范围的情况下,作业者再次从终端装置50重新登录到服务器装置30。由此,能够使服务器装置30的期间信息与车载装置70的期间信息一致。
车辆密钥存储部72存储由车辆密钥生成部73生成的MAC密钥Ka。车辆认证处理部74使用车辆密钥存储部72的MAC密钥Ka和由车辆通信部71从终端装置50接收到的挑战(随机数t),生成响应Ka(随机数t)。响应生成/验证方法被预先设定在车辆认证处理部74中。作为本实施方式的示例,响应Ka(随机数t)是通过使用MAC密钥Ka加密随机数t而获得的加密数据。
需要说明的是,作为本实施方式的一例,响应Ka(随机数t)可以是CMAC(Ka;随机数t)。CMAC(Ka;随机数t)是使用MAC密钥Ka生成的“随机数t的CMAC”。
车辆认证处理部74通过车辆通信部71将响应Ka(随机数t)和挑战(随机数v)返回到挑战(随机数t)的发送源的终端装置50。车辆认证处理部74产生随机数v,将该随机数v用于挑战。车辆认证处理部74保持挑战(随机数v)。
终端装置50的终端通信部51从汽车10的车载装置70接收响应Ka(随机数t)和挑战(随机数v)。
(步骤S15)终端认证处理部54进行通过终端通信部51从车载装置70接收到的响应Ka(随机数t)的验证。作为响应生成/验证方法,与车载装置70的车辆认证处理部74中的响应生成/验证方法相同的方法被预先设定于终端认证处理部54。在响应Ka(随机数t)的验证中,终端认证处理部54使用在上述步骤S13中向汽车10的车载装置70发送并保持的挑战(随机数t)和终端密钥存储部52的MAC密钥Ka。
例如,在响应Ka(随机数t)是基于MAC密钥Ka的随机数t的加密数据的情况下,终端认证处理部54使用MAC密钥Ka对挑战(随机数t)进行加密,将通过该加密生成的加密数据与响应Ka(随机数t)进行比较。在该比较的结果为两者一致的情况下,响应Ka(随机数t)的验证合格,在两者不一致的情况下,响应Ka(随机数t)的验证不合格。
需要说明的是,作为响应Ka(随机数t)是基于MAC密钥Ka的随机数t的加密数据的情况下的其他验证方法,终端认证处理部54也可以使用MAC密钥Ka,对响应Ka(随机数t)进行解密,并对该解密的结果和挑战(随机数t)进行比较。在该比较的结果为两者一致的情况下,响应Ka(随机数t)的验证合格,在两者不一致的情况下,响应Ka(随机数t)的验证不合格。
例如,在响应Ka(随机数t)为CMAC(Ka;随机数t)的情况下,终端认证处理部54使用MAC密钥Ka,生成挑战(随机数t)的CMAC,并将生成的CMAC与响应Ka(随机数t)进行比较。在该比较的结果为两者一致的情况下,响应Ka(随机数t)的验证合格,在两者不一致的情况下,响应Ka(随机数t)的验证不合格。
在响应Ka(随机数t)的验证合格的情况下,进入之后的处理。另一方面,在响应Ka(随机数t)的验证不合格的情况下,结束图5的处理。在响应Ka(随机数t)的验证不合格的情况下,终端装置50也可以执行规定的错误处理。
终端认证处理部54使用终端密钥存储部52的MAC密钥Ka和通过终端通信部51从车载装置70接收到的挑战(随机数v),生成响应Ka(随机数v)。终端认证处理部54通过终端通信部51将响应Ka(随机数v)返回到挑战(随机数v)的发送源的汽车10的车载装置70。
汽车10的车载装置70的车辆通信部71从终端装置50接收响应Ka(随机数v)。车辆认证处理部74进行从终端装置50接收到的响应Ka(随机数v)的验证。在响应Ka(随机数v)的验证中,车辆认证处理部74使用在上述步骤S14中向终端装置50发送并保持的挑战(随机数v)和车辆密钥存储部72的MAC密钥Ka。响应Ka(随机数v)的验证方法与上述的终端认证处理部54的响应Ka(随机数t)的验证方法相同。
在响应Ka(随机数v)的验证合格的情况下,进入以后的处理。另一方面,在响应Ka(随机数v)的验证不合格的情况下,结束图5的处理。在响应Ka(随机数v)的验证不合格的情况下,车载装置70也可以执行规定的错误处理。
需要说明的是,终端记录部56随时记录关于本终端装置50与车载装置70之间的认证的日志。另外,车辆记录部76随时记录关于本车载装置70与终端装置50之间的认证的日志。
(步骤S16)终端装置50的终端控制部57将维护命令发送给汽车10的车载装置70。维护命令是汽车10的维护的控制信息(维护控制信息)。终端控制部57可以通过作业者的操作向汽车10的车载装置70发送维护命令,也可以按照预先设定的维护作业步骤将维护命令发送给汽车10的车载装置70。汽车10的车载装置70的车辆通信部71从终端装置50接收维护命令。
(步骤S17)车辆控制部77将通过车辆通信部71从终端装置50接收到的维护命令转送给执行该维护命令的汽车10的车载装置。作为执行维护命令的汽车10的车载装置,例如可以例举网关装置16和ECU18。需要说明的是,从终端装置50接收到维护命令的车载装置70自身也可以执行该维护命令。
车辆控制部77从维护命令转发目的地的车载装置接收维护命令的执行结果。车辆控制部77通过车辆通信部71将包含维护命令的执行结果在内的维护响应返回到终端装置50。
需要说明的是,车辆记录部76随时记录关于维护命令以及维护响应的日志。另外,终端记录部56随时记录关于作业员的维护作业的操作、维护命令以及维护响应的日志。
根据上述的维护方法的例1,服务器装置30对从终端装置50接收到的作业者认证信息进行认证,并向该作业者认证信息的认证合格的终端装置50发送使用主密钥和与该作业者认证信息相关联的车辆识别编号VIN而生成的MAC密钥Ka。终端装置50使用从服务器装置30接收到的MAC密钥Ka,与汽车10的车载装置70之间进行认证处理。汽车10的车载装置70使用通过使用主密钥和该汽车10的车辆识别号码VIN而生成的MAC密钥Ka,与终端装置50之间进行认证处理。由此,能够通过维护作业的对象的汽车10的车载装置70来认证是服务器装置30通过作业者认证信息的认证进行了本人确认的合法的作业者所操作的终端装置50。这起到了实现汽车10的维护作业时的安全性的提高的效果。例如,即使终端装置50由于丢失或被盗等而由非法者操作终端装置50,如果从该终端装置50向服务器装置30的登录失败,则终端装置50无法取得正确的MAC密钥Ka。由此,即使从该终端装置50访问汽车10的车载装置70,该终端装置50与车载装置70之间的认证也不合格,因此无法使用该终端装置50进行汽车10的维护作业。
另外,根据维护方法的例1,在MAC密钥Ka的生成中使用期间信息。因此,即使暂时将正确的MAC密钥Ka保持在终端装置50中,如果超过该期间信息的允许范围,则即使使用该MAC密钥Ka,该终端装置50与车载装置70之间的认证也不合格。由此,无法使用该终端装置50进行汽车10的维护作业。需要说明的是,即使终端装置50所保持的MAC密钥Ka的期间信息超过允许范围,如果是合法的作业者,则通过再次通过终端装置50重新登录到服务器装置30,就能够从服务器装置30在该终端装置50取得正确的MAC密钥Ka。因此,能够使用该终端装置50进行汽车10的维护作业。
需要说明的是,也可以在MAC密钥Ka的生成中不使用期间信息。或者,也可以是在MAC密钥Ka的生成中使用的期间信息在服务器装置30和车载装置70中是相同的固定值。在MAC密钥Ka的生成中不使用期间信息的情况下、或者在服务器装置30和车载装置70中在MAC密钥Ka的生成中使用相同的固定值的期间信息的情况下,该MAC密钥Ka成为能够在任意的时期使用的密钥。
[维护方法的示例2]
参照图6说明本实施方式的维护方法的例2。图6是表示本实施方式的维护方法的例2的时序图。在图6中,对与图5的各步骤对应的部分标注相同的附图标记。与维护方法的示例1同样地,服务器装置30的服务器密钥存储部32和车载装置70的车辆密钥存储部72预先存储相同的主密钥Master_Secret。以下,主要对与维护方法的例1不同的点进行说明。
步骤S11与维护方法的例1相同。在针对登录请求消息的认证合格的情况下,执行步骤S12a。
(步骤S12a)服务器密钥生成部33使用服务器密钥存储部32的主密钥Master_Secret、认证合格的登录请求消息的车辆识别编号VIN、期间信息、密钥类别信息Key_ID(Nk),生成MAC密钥Ka和加密密钥Kc。Nk是表示密钥的种类的变量。MAC密钥Ka以及加密密钥Kc的生成方法如下式所示。MAC密钥Ka对应于第一密钥。加密密钥Kc对应于第二密钥。
MAC密钥Ka=摘要(Master_Secret、VIN、期间信息、Key_ID(mac))加密密钥Kc=摘要(Master_Secret、VIN、期间信息、Key_ID(kc))
其中,主密钥Master_Secret、车辆识别编号VIN、期间信息以及摘要与上述的维护方法的例1的步骤S12的说明相同。Key_ID(mac)是表示MAC密钥的密钥种类信息。Key_ID(kc)是表示加密密钥的密钥种类信息。
服务器加密处理部35通过加密密钥Kc对权限信息进行加密,生成加密权限信息Kc(权限信息)。该权限信息是表示赋予步骤S11中认证合格的登录请求消息的作业者认证信息的作业者的汽车10的维护的权限的信息。权限信息包含在作业者信息中而预先存储在作业者信息存储部40中。需要说明的是,作为汽车10的维护的权限的示例,可以列举能够进行仅一般的维护项目的作业的一般权限和能够进行与汽车10的安全性特别相关的安全项目的作业的特殊权限。
服务器通信部31将由服务器密钥生成部33生成的MAC密钥Ka和由服务器加密处理部35生成的加密权限信息Kc(权限信息)返回到认证合格的登录请求消息的发送源的终端装置50。从返回了MAC密钥Ka和加密权限信息Kc(权限信息)的终端装置50向服务器装置30的登录成功。
终端装置50的终端通信部51从服务器装置30接收MAC密钥Ka以及加密权限信息Kc(权限信息)。终端密钥存储部52存储由终端通信部51从服务器装置30接收到的MAC密钥Ka。终端认证处理部54保持由终端通信部51从服务器装置30接收到的加密权限信息Kc(权限信息)。
需要说明的是,服务器记录部36随时记录关于从终端装置50接收到的登录请求消息以及该登录请求消息的认证等的日志。该日志中包含登录请求消息、该登录请求消息的接收日期时间、该登录请求消息的认证结果(合格或不合格)、以及MAC密钥Ka以及加密权限信息Kc(权限信息)的发送日期时间等信息。
步骤S13及步骤S14与维护方法的例1相同。但是,车载装置70的车辆密钥生成部73生成MAC密钥Ka以及加密密钥Kc。由车辆密钥生成部73生成MAC密钥Ka以及加密密钥Kc的方法由与上述的步骤S12a的服务器密钥生成部33相同的方法的下式表示。
MAC密钥Ka=摘要(Master_Secret、VIN、期间信息、Key_ID(mac))加密密钥Kc=摘要(Master_Secret、VIN、期间信息、Key_ID(kc))
其中,主密钥Master_Secret、车辆识别编号VIN、期间信息以及摘要与上述的维护方法的例1的步骤S14的说明相同。Key_ID(mac)是表示MAC密钥的密钥种类信息。Key_ID(kc)是表示加密密钥的密钥种类信息。
车辆密钥存储部72存储由车辆密钥生成部73生成的MAC密钥Ka和加密密钥Kc。
(步骤S15a)终端认证处理部54进行通过终端通信部51从车载装置70接收到的响应Ka(随机数t)的验证。响应Ka(随机数t)的验证与维护方法的例1的步骤S15相同。
在响应Ka(随机数t)的验证合格的情况下,进入以后的处理。另一方面,在响应Ka(随机数t)的验证不合格的情况下,结束图6的处理。在响应Ka(随机数t)的验证不合格的情况下,终端装置50也可以执行规定的错误处理。
终端认证处理部54使用终端密钥存储部52的MAC密钥Ka和通过终端通信部51从车载装置70接收到的挑战(随机数v),生成响应Ka(随机数v)。终端认证处理部54通过终端通信部51使响应Ka(随机数v)和加密权限信息Kc(权限信息)返回到挑战(随机数v)的发送源的汽车10的车载装置70。
汽车10的车载装置70的车辆通信部71从终端装置50接收响应Ka(随机数v)以及加密权限信息Kc(权限信息)。车辆认证处理部74进行从终端装置50接收到的响应Ka(随机数v)的验证。在响应Ka(随机数v)的验证中,车辆认证处理部74使用在上述步骤S14中发送到终端装置50并保持的挑战(随机数v)和车辆密钥存储部72的MAC密钥Ka。响应Ka(随机数v)的验证方法与终端认证处理部54的响应Ka(随机数t)的验证方法相同。
在响应Ka(随机数v)的验证合格的情况下,进入以后的处理。另一方面,在响应Ka(随机数v)的验证不合格的情况下,结束图6的处理。在响应Ka(随机数v)的验证不合格的情况下,车载装置70也可以执行规定的错误处理。
车辆加密处理部75在车辆密钥存储部72的加密密钥Kc(步骤S13、S14)中对加密权限信息Kc(权限信息)进行解密。通过该解密,取得权限信息。车辆控制部77保持该权限信息。
需要说明的是,终端记录部56随时记录关于本终端装置50与车载装置70之间的认证的日志。另外,车辆记录部76随时记录关于本车载装置70与终端装置50之间的认证的日志。
步骤S16及步骤S17与维护方法的例1相同。但是,从终端装置50向汽车10的车载装置70发送的维护命令是赋予该终端装置50的作业者的汽车10的维护的权限的范围内的维护命令。赋予该终端装置50的作业者的汽车10的维护的权限是在上述的步骤S15a中由汽车10的车载装置70通过加密权限信息Kc(权限信息)的解密而取得的权限信息表示的权限。车辆控制部77进行控制,使得在从终端装置50接收到的维护命令是该权限信息的权限的范围内的维护命令的情况下执行该维护命令,否则不执行该维护命令。
需要说明的是,车辆记录部76随时记录关于维护命令以及维护响应的日志。另外,终端记录部56随时记录关于作业员的维护作业的操作、维护命令以及维护响应的日志。
根据上述的维护方法的例2,能够得到与上述的维护方法的例1同样的效果。
进而,根据维护方法的例2,表示赋予作业者认证信息的作业者的汽车10的维护的权限的权限信息被加密密钥Kc加密并从服务器装置30安全地提供给汽车10的车载装置70。
由此,赋予作业者的权限的范围内的维护命令在汽车10中执行,但能够得到防止使赋予该作业者的权限的范围外的维护命令在汽车10中执行的效果。
[维护方法的示例3]
参照图7说明本实施方式的维护方法的例3。图7是表示本实施方式的维护方法的例3的时序图。在图7中,对与图6的各步骤对应的部分标注相同的附图标记。与维护方法的例2同样地,服务器装置30的服务器密钥存储部32和车载装置70的车辆密钥存储部72预先存储相同的主密钥Master_Secret。以下,主要对与维护方法的例2不同的点进行说明。
步骤S11至步骤S17与维护方法的例2相同。步骤S16的终端装置50的维护命令发送和步骤S17的车载装置70的维护响应返回也可以反复执行。另外,服务器密钥存储部32保存加密密钥Kc。
(步骤S21)汽车10的车载装置70的车辆加密处理部75利用车辆密钥存储部72的加密密钥Kc对自己的汽车10的车辆识别号码VIN和车辆记录部76的日志进行加密,生成报告数据Kc(VIN、日志)。车辆通信部71将报告数据Kc(VIN、日志)发送至终端装置50。
需要说明的是,作为生成报告数据Kc(VIN、日志)并从汽车10向终端装置50发送的定时的一例,例示以下的定时。即,车辆控制部77也可以判断维护作业的结束,在维护作业结束的情况下,车辆控制部77分别向车辆加密处理部75指示报告数据的生成,向车辆通信部71指示报告数据的发送。作为生成报告数据Kc(VIN、日志)并从汽车10向终端装置50发送的定时的其他示例,也可以在每次执行规定次数的终端装置50的维护命令发送和车载装置70的维护响应返回的组合时,生成报告数据Kc(VIN、日志)并发送给终端装置50。
(步骤S22)终端装置50的终端通信部51将从汽车10接收到的报告数据Kc(VIN、日志)发送给服务器装置30。服务器装置30的服务器加密处理部35利用服务器密钥存储部32的加密密钥Kc对通过服务器通信部31从终端装置50接收到的报告数据Kc(VIN、日志)进行解密。作为该解密的结果,取得车辆识别号码VIN和该车辆识别号码VIN的汽车10的日志。服务器记录部36将从报告数据Kc(VIN、日志)取得的车辆识别编号VIN与该车辆识别编号VIN的汽车10的日志关联起来进行存储。
需要说明的是,即使终端装置50从汽车10接收到报告数据Kc(VIN、日志),在未立即得到从终端装置50向服务器装置30发送的定时的情况下,也进行以下的处理。即,终端装置50保持报告数据Kc(VIN、日志),若得到向服务器装置30发送的定时,则将该保持的报告数据Kc(VIN、日志)发送给服务器装置30。例如,终端装置50也可以在下一个登录到服务器装置30的定时,将终端装置50保持的报告数据Kc(VIN、日志)发送给服务器装置30。
根据上述的维护方法的例3,能够得到与上述的维护方法的例1以及例2同样的效果。进而,根据维护方法的例3,服务器装置30能够保管与汽车10的维护相关的日志。
[维护方法的例4]
参照图8说明本实施方式的维护方法的例4。图8是表示本实施方式的维护方法的例4的时序图。在图8中,对与图7的各步骤对应的部分标注相同的附图标记。与维护方法的例3同样地,服务器装置30的服务器密钥存储部32和车载装置70的车辆密钥存储部72预先存储相同的主密钥Master_Secret。以下,主要说明与维护方法的例3的不同点。
(步骤S10a)终端装置50的终端通信部51与服务器装置30的服务器通信部31之间建立VPN(Virtual Private Network:虚拟专用网络)线路。之后,终端装置50的终端通信部51与服务器装置30的服务器通信部31之间使用VPN线路进行通信。
步骤S11至步骤S17与维护方法的例3相同。需要说明的是,终端装置50的终端通信部51与服务器装置30的服务器通信部31之间的VPN线路也可以在步骤S12a结束时被切断。
(步骤S10b)终端装置50的终端通信部51在汽车10的维护作业结束时,在与服务器装置30的服务器通信部31之间建立VPN线路。需要说明的是,在终端装置50的终端通信部51与服务器装置30的服务器通信部31之间维持通过步骤S10a建立的VPN线路的情况下,也可以继续使用该VPN线路。
步骤S21及步骤S22与维护方法的例3相同。但是,报告数据Kc(VIN、日志)经由在终端装置50的终端通信部51与服务器装置30的服务器通信部31之间建立的VPN线路,从终端装置50发送到服务器装置30。
根据上述的维护方法的例4,能够得到与上述的维护方法的例1至例3相同的效果。进而,根据维护方法的例4,在终端装置50与服务器装置30之间通过VPN线路进行通信。因此,能够得到提高在终端装置50与服务器装置30之间交换的MAC密钥Ka等数据的安全性的效果。
[变形例1]
对上述的维护方法的例1至例4的变形例1进行说明。在变形例1中,在服务器装置30中设置发行数限制功能,该功能将针对同一作业者认证信息同时期发行MAC密钥Ka的汽车10的台数限制为一定数量。
可以考虑同一作业者通过终端装置50同时向服务器装置30发送多个车辆识别编号VIN,取得与该多个车辆识别编号VIN对应的MAC密钥Ka。在该情况下,同一作业者能够通过终端装置50对多个汽车10进行维护作业,但有时并不优选同一作业者进行超出需要的多个汽车10的维护作业。因此,在服务器装置30中设置发行数限制功能。
说明服务器装置30的发行数限制功能的一例。服务器装置30的服务器控制部37针对各作业者认证信息,每隔一定的期间记录发行了MAC密钥Ka的对象的车辆识别编号VIN的个数。服务器控制部37基于该记录,判断针对一个作业者认证信息同时期发行了MAC密钥Ka的汽车10(车辆识别编号VIN)的台数是否达到规定的发行上限值(N台、N为1以上的整数)。服务器控制部37进行控制,使得针对达到了发行上限值的作业者认证信息,停止该期间的新的MAC密钥Ka的发行。发行上限值可以针对各作业者认证信息是相同的值,也可以是不同的值。可以针对各作业者认证信息将任意的发行上限值存储在作业者信息存储部40中。
另外,关于加密密钥Kc,也可以与MAC密钥Ka同样地,将针对同一作业者认证信息同时发行加密密钥Kc的汽车10的台数限制为一定数量。
[变形例2]
对上述的维护方法的例1至例4的变形例2进行说明。在变形例2中,在终端装置50中设置删除功能,该删除功能将由终端装置50保持的MAC密钥Ka因汽车10的维护作业的结束而从终端装置50删除。
对于终端装置50在汽车10的维护作业结束后也继续保持MAC密钥Ka的情况,考虑到对该终端装置50的不正当访问等的可能性,不是优选方案。因此,将删除功能设置在终端装置50中。
说明终端装置50的删除功能的一例。终端装置50的终端密钥存储部52存储从服务器装置30接收到的MAC密钥Ka。终端控制部57通过维护作业结束信号从终端密钥存储部52删除MAC密钥Ka。
维护作业结束信号是表示汽车10的维护作业的结束的信号。维护作业结束信号例如也可以是表示作业者通过终端装置50进行了表示维护作业的结束的操作的信号。维护作业结束信号例如也可以是表示终端装置50结束了汽车10的维护应用程序的执行的信号。维护作业结束信号例如也可以是表示使终端装置50的启动结束的信号。
另外,在终端装置50保持从服务器装置30接收到的加密权限信息Kc(权限信息)的情况下,终端控制部57也可以通过维护作业结束信号来删除该加密权限信息Kc(权限信息)。
需要说明的是,终端控制部57也可以在终端装置50与汽车10的车载装置70之间的挑战以及响应所进行的认证处理完成时,删除MAC密钥Ka以及加密权限信息Kc(权限信息)。或者,终端控制部57也可以在向服务器装置30的下一个登录的定时删除MAC密钥Ka以及加密权限信息Kc(权限信息)。
[维护方法的例5]
参照图9说明本实施方式的维护方法的例5。图9是表示本实施方式的维护方法的例5的时序图。
服务器装置30将服务器公钥证书Kp和服务器私钥Ks预先存储在服务器密钥存储部32中。终端装置50将服务器公钥证书Kp预先存储在终端密钥存储部52中。车载装置70将服务器公钥证书Kp预先存储在车辆密钥存储部72中。
(步骤S10a)终端装置50的终端通信部51与服务器装置30的服务器通信部31之间建立VPN线路。之后,终端装置50的终端通信部51与服务器装置30的服务器通信部31之间使用VPN线路进行通信。
步骤S11与维护方法的例1相同。在针对登录请求消息的认证合格的情况下,执行步骤S10c。
(步骤S10c)服务器装置30的服务器通信部31经由终端装置50,在与认证合格的登录请求消息的车辆识别编号VIN对应的汽车10的车载装置70的车辆通信部71之间建立VPN线路。在该服务器通信部31与车辆通信部71之间的VPN线路中,终端装置50的终端通信部51进行通信数据的中继。之后,服务器装置30的服务器通信部31与汽车10的车载装置70的车辆通信部71之间使用VPN线路进行通信。
(步骤S30)汽车10的车载装置70的车辆控制部77发行令牌。车辆控制部77通过车辆通信部71将该汽车10的车辆识别编号VIN和发行的令牌发送至服务器装置30。服务器装置30的服务器通信部31从汽车10接收车辆识别编号VIN和令牌。
(步骤S31)服务器装置30的服务器通信部31向认证合格的登录请求消息的发送源的终端装置50发送登录请求响应消息。该登录请求响应消息包括登录结果“合格(OK)”和从汽车10接收到的令牌。此外,登录请求响应消息可以包括令牌的电子签名。服务器装置30使用服务器密钥存储部32的服务器私钥Ks生成令牌的电子签名。
终端装置50的终端通信部51从服务器装置30接收登录请求响应消息。终端控制部57保持该登录请求应答消息的令牌。
需要说明的是,在该登录请求应答消息中包含令牌的电子签名的情况下,终端装置50使用终端密钥存储部52的服务器公钥证书Kp来验证令牌的电子签名。在令牌的电子签名的验证合格的情况下,终端控制部57保持该令牌。另一方面,在令牌的电子签名的验证不合格的情况下,终端控制部57丢弃该令牌。在令牌的电子签名的验证不合格的情况下,终端控制部57对服务器装置30请求令牌的再发送。
(步骤S32)终端装置50的终端控制部57通过终端通信部51向服务器装置30发送请求发送在汽车10中执行的维护命令的维护命令发送请求消息。在该维护命令发送请求消息中包含终端控制部57所保持的令牌。终端控制部57通过维护命令发送请求消息向服务器装置30请求发送的维护命令可以是作业者通过终端装置50指定的维护命令,或者也可以被预先设定为维护作业内容。
另外,服务器装置30也可以具有网(Web)页的提供功能,进行使终端装置50的显示画面上显示具有维护指令的选择菜单的网页的控制。操作者从在终端装置50的显示画面上显示的网页的维护命令的选择菜单中选择期望的维护命令。由此,终端控制部57通过终端通信部51向服务器装置30发送请求发送该选择的维护命令的维护命令发送请求消息。在该维护命令发送请求消息中包含终端控制部57保持的令牌。
服务器装置30的服务器通信部31从终端装置50接收维护命令发送请求消息。
(步骤S33)服务器装置30的服务器控制部37将通过服务器通信部31从终端装置50接收到的维护命令发送请求消息所表示的发送请求对象的维护命令、和该维护命令发送请求消息的令牌发送给汽车10的车载装置70。汽车10的车载装置70的车辆通信部71从服务器装置30接收维护命令和令牌。
需要说明的是,服务器装置30也可以通过服务器通信部31将维护命令和令牌、以及该维护命令以及令牌的电子签名向汽车10的车载装置70发送。
服务器装置30使用服务器密钥存储部32的服务器私钥Ks生成维护命令以及令牌的电子签名。车载装置70使用车辆密钥存储部72的服务器公钥证书Kp来验证从服务器装置30接收到的维护命令以及令牌的电子签名。在维护命令以及令牌的电子签名的验证合格的情况下,车载装置70保持该维护命令以及令牌。另一方面,在维护命令以及令牌的电子签名的验证不合格的情况下,车载装置70丢弃该维护命令以及令牌。在维护命令以及令牌的电子签名的验证不合格的情况下,车载装置70对服务器装置30请求维护命令以及令牌的再发送。
(步骤S34)汽车10的车载装置70的车辆控制部77验证由车辆通信部71从服务器装置30接收到的令牌是否是自己已发行的令牌。在令牌的验证结果合格的情况下,进入以后的处理。另一方面,在令牌的验证结果不合格的情况下,结束图9的处理。在令牌的验证结果不合格的情况下,车载装置70也可以执行规定的错误处理。
车辆控制部77将令牌的验证结果合格的维护命令转送给执行该维护命令的汽车10的车载装置。作为执行维护命令的汽车10的车载装置,例如可以例举网关装置16和ECU18。需要说明的是,从终端装置50接收到维护命令的车载装置70自身也可以执行该维护命令。
车辆控制部77从维护命令转发目的地的车载装置接收维护命令的执行结果。车辆控制部77通过车辆通信部71将包含维护命令的执行结果在内的维护响应和该维护命令的令牌返回到服务器装置30。
(步骤S35)服务器装置30的服务器控制部37基于通过服务器通信部31从汽车10接收到的维护响应,生成维护命令的执行结果的阅览数据。服务器控制部37将维护命令的执行结果的阅览数据和通过服务器通信部31从汽车10与维护响应一起接收到的令牌通过服务器通信部31发送至终端装置50。
终端装置50通过终端通信部51从服务器装置30接收维护命令的执行结果的阅览数据和令牌。终端控制部57验证该接收到的令牌是否是由自身保持的令牌。在令牌的验证结果合格的情况下,进入以后的处理。另一方面,在令牌的验证结果不合格的情况下,结束图9的处理。在令牌的验证结果不合格的情况下,终端装置50也可以执行规定的错误处理。
终端控制部57将令牌的验证结果合格的维护命令的执行结果的阅览数据显示在终端装置50的显示画面上。由此,作业者能够在显示画面上确认维护命令的执行结果。
根据上述的维护方法的例5,服务器装置30进行从终端装置50接收到的作业者认证信息的认证,向该作业者认证信息的认证合格的终端装置50发送汽车10的车载装置70所发行的令牌。终端装置50使用从服务器装置30接收到的令牌,通过服务器装置30向汽车10发送维护命令。汽车10的车载装置70进行在维护命令的发送中使用的令牌的验证。由此,能够通过维护作业的对象的汽车10的车载装置70来认证服务器装置30是通过作业者认证信息的认证来进行本人确认的合法的作业者操作的终端装置50。这起到了实现汽车10的维护的作业时的安全性的提高的效果。
如上所述,根据本实施方式,能够认证对汽车10的维护作业所使用的终端装置50进行操作的作业者是否是合法者。由此,能够获得能够提高进行汽车等车辆的维护作业时的安全性的效果。
根据本实施方式,能够通过期间信息来限定终端装置50保持的MAC密钥Ka以及加密密钥Kc能够使用的期间。由此,能够得到防止终端装置50被不适当地使用的效果。
根据本实施方式,基于服务器装置30存储的各种日志,能够判断哪个作业者对哪个汽车10实施了怎样的维护作业。
由此,通过使服务器装置30设定为不向不适当的作业者发行MAC密钥Ka,能够防止该不适当的作业者实施汽车10的维护作业。
根据本实施方式,能够在汽车10中仅执行被赋予给各作业者的汽车10的维护的权限的范围内的维护命令。由此,能够防止例如特别涉及与汽车10的安全性的安全项目的作业由不具有该安全项目的作业权限的作业者实施的情况。
以上,参照附图对本发明的实施方式进行了详细说明,但具体的结构并不限定于该实施方式,也包括不脱离本发明的主旨的范围的设计变更等。
在上述的实施方式中,汽车10的车载装置70将维护命令转送到执行该维护命令的汽车10的ECU18等车载装置,但并不限定于此。例如,执行汽车10的ECU18等的维护命令的车载装置也可以从终端装置50接收维护命令并执行。在该情况下,车载装置70也可以向执行终端装置50以及ECU18等的维护命令的车载装置发行令牌,通过该令牌的使用来控制合法的维护命令的执行。
另外,作业者的认证方法可以是ID/密钥认证方法,也可以是使用作业者的指纹等生物体信息的生物体认证方法。
上述的实施方式例如也可以在汽车的制造厂或维修厂、销售店、保管场所等应用于汽车10。
在上述的实施方式中,作为车辆列举了汽车作为例子,但也可以应用于带原动机的自行车或铁道车辆等除汽车以外的其他车辆。
另外,也可以将用于实现上述各装置的功能的计算机程序记录在计算机可读取的记录介质中,使计算机***读入并执行记录在该记录介质中的程序。需要说明的是,这里所说的“计算机***”也可以包含OS、***设备等硬件。
另外,“计算机可读取的记录介质”是指软盘、光磁盘、ROM、闪存等可写入的非易失性存储器、DVD(Digital Versatile Disc:数字多功能光盘)等可移动介质、内置于计算机***的硬盘等存储装置。
进而,“计算机可读取的记录介质”也包括如经由因特网等网络或电话线路等通信线路而发送了程序的情况下的成为服务器或客户端的计算机***内部的易失性存储器(例如DRAM(Dynamic Random Access Memory:动态随机存取存储器))那样保持一定时间程序的硬件。
另外,上述程序也可以从将该程序存储在存储装置等中的计算机***经由传输介质、或者通过传输介质中的传输波传输到其他计算机***。在此,传输程序的“传输介质”是指如互联网等网络(通信网)、电话线路等通信线路(通信线)那样具有传输信息的功能的介质。
另外,上述程序也可以是用于实现上述功能的一部分的程序。
并且,也可以是能够通过与已经记录在计算机***中的程序的组合来实现前述的功能的程序,即所谓的差分文件(差分程序)。
产业上的可利用性
根据本发明,可以获得能够提高进行汽车等车辆的维护作业时的安全性的效果。
附图文字说明
1…维护***,16…网关装置,17…车载网络,18…ECU,30…服务器装置,31…服务器通信部,32…服务器密钥存储部,33…服务器密钥生成部,34…服务器认证处理部,35…服务器加密处理部,36…服务器记录部,37…服务器控制部,40…作业者信息存储部,50…终端装置,51…终端通信部,52…终端密钥存储部,54…终端认证处理部,56…终端记录部,57…终端控制部,70…车载装置,71…车辆通信部,72…车辆密钥存储部,73…车辆密钥生成部,74…车辆认证处理部,75…车辆加密处理部,76…车辆记录部,77…车辆控制部。

Claims (5)

1.一种维护***,具备服务器装置、终端装置以及搭载于车辆的车载装置,
所述服务器装置具备:
服务器密钥存储部,存储主密钥;
作业者认证信息接收部,从所述终端装置接收在该终端装置输入的作业者认证信息;
服务器认证处理部,进行所述作业者认证信息的认证处理;
服务器密钥生成部,使用所述主密钥和与所述作业者认证信息相关联的车辆对应识别符来生成第一密钥,并且,使用所述主密钥和所述车辆对应识别符来生成第二密钥;
服务器加密处理部,使用由所述服务器密钥生成部生成的所述第二密钥,对表示赋予所述作业者认证信息的作业者的所述车辆的维护的权限的权限信息进行加密;
服务器密钥发送部,向由所述服务器认证处理部进行的所述作业者认证信息的认证合格的所述终端装置发送与所述车载装置之间使用的、与所述车辆的车辆对应识别符对应的所述第一密钥;以及
权限信息发送部,将通过所述服务器加密处理部对所述权限信息进行加密后的加密权限信息经由所述认证合格的所述终端装置发送给所述车辆,
所述终端装置具备:
作业者认证信息发送部,将所述作业者认证信息发送给所述服务器装置;
终端密钥接收部,从所述服务器装置接收所述第一密钥以及所述加密权限信息;
终端密钥存储部,存储从所述服务器装置接收到的所述第一密钥以及所述加密权限信息;
终端认证处理部,使用所述第一密钥与所述车载装置之间进行认证处理;以及
终端控制部,在所述终端装置中,通过表示维护作业的结束的信号,删除保存于所述终端装置的所述第一密钥以及所述加密权限信息,
所述车载装置具备:
车辆密钥存储部,存储与所述服务器装置的所述主密钥相同的所述主密钥;
车辆密钥生成部,使用所述车辆密钥存储部的所述主密钥和与所述车辆对应的所述车辆对应识别符来生成所述第一密钥,并且,使用所述主密钥和所述车辆对应识别符来生成所述第二密钥;
车辆认证处理部,该车辆认证处理部使用所述第一密钥与所述终端装置之间进行认证处理;以及
车辆加密处理部,在与所述终端装置的所述认证处理合格的情况下,使用由所述车辆密钥生成部生成的所述第二密钥对接收到的所述加密权限信息进行解密。
2.根据权利要求1所述的维护***,其中,所述服务器密钥生成部还使用表示以所述作业者认证信息的认证时为基准的规定期间的第一期间信息来进行所述第一密钥的生成,
所述车辆密钥生成部还使用表示以所述车载装置从所述终端装置接收到认证请求消息时为基准的规定期间的第二期间信息来进行所述第一密钥的生成。
3.根据权利要求1或2所述的维护***,其中,具备车辆记录部,搭载于所述车辆,记录所述车载装置的日志,
所述终端装置具备终端日志发送部,该终端日志发送部从所述车辆接收所述日志并发送给所述服务器装置,
所述服务器装置具备服务器记录部,该服务器记录部存储从所述终端装置接收到的所述日志。
4.根据权利要求1或2所述的维护***,其中,所述服务器装置具备服务器控制部,所述服务器控制部将针对同一所述作业者认证信息同时期发行所述第一密钥的所述车辆的台数限制为规定的上限值。
5.一种维护***的维护方法,所述维护***具备服务器装置、终端装置以及搭载于车辆的车载装置,
所述终端装置向所述服务器装置发送在该终端装置输入的作业者认证信息,
所述服务器装置从所述终端装置接收所述作业者认证信息,
所述服务器装置进行所述作业者认证信息的认证处理,
所述服务器装置使用所述服务器装置存储的主密钥和与所述作业者认证信息相关联的车辆对应识别符来生成第一密钥,并且,使用所述主密钥和所述车辆对应识别符来生成第二密钥,
所述服务器装置使用生成的第二密钥,对表示赋予所述作业者认证信息的作业者的所述车辆的维护的权限的权限信息进行加密,
所述服务器装置向基于所述认证处理的所述作业者认证信息的认证合格的所述终端装置发送与所述车载装置之间使用的、与所述车辆的车辆对应识别符对应的所述第一密钥,
所述服务器装置将对所述权限信息进行加密后的加密权限信息经由所述认证合格的所述终端装置发送给所述车辆,
所述终端装置从所述服务器装置接收所述第一密钥以及所述加密权限信息,
所述车载装置使用所述车载装置存储的与所述服务器装置的所述主密钥相同的主密钥和与所述车辆对应的所述车辆对应识别符来生成所述第一密钥,并且,使用该主密钥和与所述车辆对应识别符来生成所述第二密钥,
所述终端装置使用所述第一密钥与所述车载装置之间进行认证处理,
所述车载装置使用所述第一密钥与所述终端装置之间进行认证处理,
并且,
所述终端装置存储从所述服务器装置接收到的所述第一密钥以及所述加密权限信息,
所述车载装置在与所述终端装置的所述认证处理合格的情况下,使用生成的所述第二密钥对接收到的所述加密权限信息进行解密,
所述终端装置通过表示维护作业的结束的信号,从所述终端装置中删除所述第一密钥以及所述加密权限信息。
CN201880041382.9A 2017-06-27 2018-06-22 维护***以及维护方法 Active CN110800249B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2017125369A JP6731887B2 (ja) 2017-06-27 2017-06-27 保守システム及び保守方法
JP2017-125369 2017-06-27
PCT/JP2018/023897 WO2019004097A1 (ja) 2017-06-27 2018-06-22 保守システム及び保守方法

Publications (2)

Publication Number Publication Date
CN110800249A CN110800249A (zh) 2020-02-14
CN110800249B true CN110800249B (zh) 2023-05-12

Family

ID=64742936

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880041382.9A Active CN110800249B (zh) 2017-06-27 2018-06-22 维护***以及维护方法

Country Status (5)

Country Link
US (1) US11330432B2 (zh)
EP (1) EP3648396B1 (zh)
JP (1) JP6731887B2 (zh)
CN (1) CN110800249B (zh)
WO (1) WO2019004097A1 (zh)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6794383B2 (ja) * 2018-01-15 2020-12-02 株式会社東芝 電子装置、方法、プログラム及びサーバ、方法、プログラム
JP7088104B2 (ja) * 2019-03-27 2022-06-21 オムロン株式会社 制御システム、および制御方法
CN111835627B (zh) * 2019-04-23 2022-04-26 华为技术有限公司 车载网关的通信方法、车载网关及智能车辆
DE102019212958B3 (de) 2019-08-28 2021-03-04 Volkswagen Aktiengesellschaft Verfahren und Vorrichtung zur Erzeugung von kryptographischen Schlüsseln nach einem Schlüsselableitungsmodell sowie Fahrzeug
CN111709538B (zh) * 2020-05-25 2023-11-24 中国商用飞机有限责任公司 用于认证飞行器的地面维护设备的***和方法
US11871228B2 (en) * 2020-06-15 2024-01-09 Toyota Motor Engineering & Manufacturing North America, Inc. System and method of manufacturer-approved access to vehicle sensor data by mobile application
CN112308247A (zh) * 2020-10-29 2021-02-02 广州汽车集团股份有限公司 车辆维护的方法、装置、电子设备和存储介质
CN112383620B (zh) * 2020-11-13 2022-08-02 亿咖通(湖北)技术有限公司 一种车载设备与云平台的通信方法、设备及存储介质
US20220255752A1 (en) * 2021-02-09 2022-08-11 Ford Global Technologies, Llc Vehicle computing device authentication
CN113129486A (zh) * 2021-04-16 2021-07-16 山东爱德邦智能科技有限公司 车锁控制方法、终端设备、hid车锁设备及电子设备
US11798326B2 (en) * 2021-05-19 2023-10-24 Toyota Motor Engineering & Manufacturing North America, Inc. Systems and methods for accessing protected vehicle activity data
US20230057004A1 (en) * 2021-08-17 2023-02-23 Micron Technology, Inc. Secure Collection of Diagnostics Data about Integrated Circuit Memory Cells
US11917086B2 (en) * 2021-12-16 2024-02-27 Gm Cruise Holdings Llc Short-lived symmetric keys for autonomous vehicles

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1886928A (zh) * 2003-12-26 2006-12-27 三菱电机株式会社 被认证装置、认证装置以及认证方法
JP2012191270A (ja) * 2011-03-08 2012-10-04 Kddi Corp 認証システム、端末装置、認証サーバ、およびプログラム
CN104205792A (zh) * 2012-09-28 2014-12-10 株式会社久保田 作业机的数据通信***
CN104283937A (zh) * 2013-07-05 2015-01-14 歌乐株式会社 信息分发***和其中使用的服务器、车载终端、通信终端
EP3113057A1 (en) * 2014-02-28 2017-01-04 Hitachi Automotive Systems, Ltd. Authentication system and car onboard control device

Family Cites Families (66)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030005326A1 (en) * 2001-06-29 2003-01-02 Todd Flemming Method and system for implementing a security application services provider
JP3928941B2 (ja) * 2002-07-02 2007-06-13 株式会社日立製作所 アクセス管理装置、その方法及びそのプログラム、並びに監視保守センタシステム
US20070245369A1 (en) * 2003-09-05 2007-10-18 Remote Security Systems, Llc Lockbox management system and method
US20050154923A1 (en) * 2004-01-09 2005-07-14 Simon Lok Single use secure token appliance
US7924709B2 (en) * 2004-05-12 2011-04-12 Hewlett-Packard Development Company, L.P. Access control of resources using tokens
US7314169B1 (en) * 2004-09-29 2008-01-01 Rockwell Automation Technologies, Inc. Device that issues authority for automation systems by issuing an encrypted time pass
US7711965B2 (en) * 2004-10-20 2010-05-04 Intel Corporation Data security
US7788499B2 (en) * 2005-12-19 2010-08-31 Microsoft Corporation Security tokens including displayable claims
JP4957148B2 (ja) * 2006-09-26 2012-06-20 富士通株式会社 鍵管理機能を持つセキュア素子および情報処理装置
US8239092B2 (en) * 2007-05-08 2012-08-07 Smartdrive Systems Inc. Distributed vehicle event recorder systems having a portable memory data transfer system
US20100031321A1 (en) * 2007-06-11 2010-02-04 Protegrity Corporation Method and system for preventing impersonation of computer system user
WO2009147734A1 (ja) 2008-06-04 2009-12-10 株式会社ルネサステクノロジ 車両、メンテナンス装置、メンテナンスサービスシステム及びメンテナンスサービス方法
JP5332805B2 (ja) * 2009-03-30 2013-11-06 三菱電機ビルテクノサービス株式会社 エレベーターの保守システム
US8351454B2 (en) * 2009-05-20 2013-01-08 Robert Bosch Gmbh Security system and method for wireless communication within a vehicle
US8984282B1 (en) * 2009-06-03 2015-03-17 James F. Kragh Identity validation and verification system and associated methods
AU2010324525A1 (en) * 2009-11-24 2012-07-19 John Anthony Joyce A method and system for providing an internet based transaction
US9716595B1 (en) * 2010-04-30 2017-07-25 T-Central, Inc. System and method for internet of things (IOT) security and management
US9832026B2 (en) * 2010-04-30 2017-11-28 T-Central, Inc. System and method from Internet of Things (IoT) security and management
US8347080B2 (en) * 2010-05-10 2013-01-01 Research In Motion Limited System and method for multi-certificate and certificate authority strategy
US8789146B2 (en) * 2011-04-14 2014-07-22 Yubico Inc. Dual interface device for access control and a method therefor
US9003492B2 (en) * 2011-06-21 2015-04-07 Qualcomm Incorporated Secure client authentication and service authorization in a shared communication network
JP5797060B2 (ja) * 2011-08-24 2015-10-21 株式会社野村総合研究所 アクセス管理方法およびアクセス管理装置
US9330245B2 (en) * 2011-12-01 2016-05-03 Dashlane SAS Cloud-based data backup and sync with secure local storage of access keys
WO2013122869A1 (en) * 2012-02-13 2013-08-22 Eugene Shablygin Sharing secure data
JP6034142B2 (ja) * 2012-11-05 2016-11-30 キヤノンマーケティングジャパン株式会社 情報処理システム、画像形成装置、管理装置と、その制御方法及びプログラム
US9059977B2 (en) * 2013-03-13 2015-06-16 Route1 Inc. Distribution of secure or cryptographic material
US9904579B2 (en) * 2013-03-15 2018-02-27 Advanced Elemental Technologies, Inc. Methods and systems for purposeful computing
US9760697B1 (en) * 2013-06-27 2017-09-12 Interacvault Inc. Secure interactive electronic vault with dynamic access controls
US9407620B2 (en) * 2013-08-23 2016-08-02 Morphotrust Usa, Llc System and method for identity management
US9204302B1 (en) * 2013-10-29 2015-12-01 Sprint Spectrum L.P. Method for secure voicemail access
US9398397B2 (en) * 2014-01-09 2016-07-19 Ford Global Technologies, Llc Secure manipulation of embedded modem connection settings through short messaging service communication
US9674194B1 (en) * 2014-03-12 2017-06-06 Amazon Technologies, Inc. Privilege distribution through signed permissions grants
JP6354541B2 (ja) * 2014-11-26 2018-07-11 株式会社デンソー 車両遠隔操作システム、携帯通信機
FR3030818B1 (fr) * 2014-12-23 2016-12-23 Valeo Comfort & Driving Assistance Procede de transmission securisee d'une cle virtuelle et methode d'authentification d'un terminal mobile
WO2016113897A1 (ja) * 2015-01-16 2016-07-21 株式会社オートネットワーク技術研究所 通信システム及び照合方法
US10025796B2 (en) * 2015-04-29 2018-07-17 Box, Inc. Operation mapping in a virtual file system for cloud-based shared content
JP6365410B2 (ja) * 2015-05-22 2018-08-01 株式会社デンソー 車両用通信システム
JP6444263B2 (ja) * 2015-05-27 2018-12-26 クラリオン株式会社 コンテンツ配信システム、コンテンツ配信方法
WO2016194118A1 (ja) * 2015-06-01 2016-12-08 ボルボ トラック コーポレーション 車両運行管理システム
KR20160146343A (ko) * 2015-06-12 2016-12-21 엘지전자 주식회사 위치 정보를 기반으로 하는 블랙박스 영상 공유 방법 및 이를 이용한 단말기
US9888035B2 (en) * 2015-06-30 2018-02-06 Symantec Corporation Systems and methods for detecting man-in-the-middle attacks
ES2628907T3 (es) * 2015-06-30 2017-08-04 Skidata Ag Método para la configuración de aparatos electrónicos, particularmente para la configuración de componentes de un sistema de control de acceso
US10140600B2 (en) * 2015-07-01 2018-11-27 Liveensure, Inc. System and method for mobile peer authentication and asset control
US10395253B2 (en) * 2015-07-01 2019-08-27 Liveensure, Inc. System and method for securing and monetizing peer-to-peer digital content
US11201736B2 (en) * 2015-08-05 2021-12-14 Kddi Corporation Management device, management system, key generation device, key generation system, key management system, vehicle, management method, key generation method, and computer program
US9923717B2 (en) * 2015-10-07 2018-03-20 International Business Machines Corporation Refresh of shared cryptographic keys
KR101618692B1 (ko) * 2016-01-06 2016-05-09 주식회사 센스톤 보안성이 강화된 사용자 인증방법
JP6419738B2 (ja) 2016-01-15 2018-11-07 株式会社アイビルド マンホール改修工法及びマンホール改修構造
JP6260066B2 (ja) * 2016-01-18 2018-01-17 Kddi株式会社 車載コンピュータシステム及び車両
DE102016201603A1 (de) * 2016-02-03 2017-08-03 Continental Automotive Gmbh Verfahren und Vorrichtungen zum Entriegeln eines Kraftfahrzeugs mit einem Motorstart- und/oder Fahrzeugzugangssystem
US10855664B1 (en) * 2016-02-08 2020-12-01 Microstrategy Incorporated Proximity-based logical access
WO2017188064A1 (ja) * 2016-04-27 2017-11-02 日本電気株式会社 鍵導出方法、通信システム、通信端末、及び、通信装置
US10270762B2 (en) * 2016-04-28 2019-04-23 SSenStone Inc. User authentication method for enhancing integrity and security
JP6792959B2 (ja) * 2016-05-16 2020-12-02 クラリオン株式会社 情報端末、通信端末、ライセンス移行システム、ライセンス移行方法
US10580226B2 (en) * 2016-06-27 2020-03-03 Snap-On Incorporated System and method for generating vehicle data report with tool measurement
KR102510868B1 (ko) * 2016-07-07 2023-03-16 삼성에스디에스 주식회사 클라이언트 시스템 인증 방법, 클라이언트 장치 및 인증 서버
JP6683588B2 (ja) * 2016-11-10 2020-04-22 Kddi株式会社 再利用システム、サーバ装置、再利用方法、及びコンピュータプログラム
JP6288219B1 (ja) * 2016-11-18 2018-03-07 Kddi株式会社 通信システム
WO2018182676A1 (en) * 2017-03-31 2018-10-04 Ford Global Technologies, Llc Vehicle window tinting
US10816644B2 (en) * 2017-04-07 2020-10-27 Ford Global Technologies, Llc Modulated infrared lighting
US10373402B2 (en) * 2017-04-25 2019-08-06 TrueLite Trace, Inc. Commercial driver electronic logging rule compliance and vehicle inspection voice assistant system
CN107274570B (zh) * 2017-05-05 2018-03-06 北京摩拜科技有限公司 车辆管理方法、安装在车辆上的管理设备和车辆
US10455416B2 (en) * 2017-05-26 2019-10-22 Honeywell International Inc. Systems and methods for providing a secured password and authentication mechanism for programming and updating software or firmware
US11388005B2 (en) * 2017-07-31 2022-07-12 Digiparts, Inc. Connected gateway server system for real-time vehicle control service
JP6696942B2 (ja) * 2017-08-14 2020-05-20 Kddi株式会社 車両保安システム及び車両保安方法
US10627245B2 (en) * 2017-10-05 2020-04-21 Ford Global Technologies, Llc Vehicle service control

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1886928A (zh) * 2003-12-26 2006-12-27 三菱电机株式会社 被认证装置、认证装置以及认证方法
JP2012191270A (ja) * 2011-03-08 2012-10-04 Kddi Corp 認証システム、端末装置、認証サーバ、およびプログラム
CN104205792A (zh) * 2012-09-28 2014-12-10 株式会社久保田 作业机的数据通信***
CN104283937A (zh) * 2013-07-05 2015-01-14 歌乐株式会社 信息分发***和其中使用的服务器、车载终端、通信终端
EP3113057A1 (en) * 2014-02-28 2017-01-04 Hitachi Automotive Systems, Ltd. Authentication system and car onboard control device

Also Published As

Publication number Publication date
EP3648396B1 (en) 2022-05-18
WO2019004097A1 (ja) 2019-01-03
EP3648396A1 (en) 2020-05-06
US20200389791A1 (en) 2020-12-10
JP2019009688A (ja) 2019-01-17
CN110800249A (zh) 2020-02-14
EP3648396A4 (en) 2020-10-28
JP6731887B2 (ja) 2020-07-29
US11330432B2 (en) 2022-05-10

Similar Documents

Publication Publication Date Title
CN110800249B (zh) 维护***以及维护方法
JP7018109B2 (ja) 機器の安全なプロビジョニングと管理
US20200177398A1 (en) System, certification authority, vehicle-mounted computer, vehicle, public key certificate issuance method, and program
CN111131313B (zh) 智能网联汽车更换ecu的安全保障方法及***
CN109314640B (zh) 车辆信息收集***、车载计算机、车辆信息收集装置、车辆信息收集方法以及记录介质
CN109314639B (zh) 管理***、密钥生成装置、车载计算机、管理方法以及记录介质
CN109479000B (zh) 再利用***、密钥生成装置、数据安全装置、车载计算机、再利用方法以及存储介质
EP3276876B1 (en) Management device, vehicle, management method, and computer program
US11212080B2 (en) Communication system, vehicle, server device, communication method, and computer program
US10931459B2 (en) Onboard computer system, vehicle, management method, and computer program
JP2016072675A (ja) 管理装置、車両、管理方法およびコンピュータプログラム
CN109314644B (zh) 数据提供***、数据保护装置、数据提供方法以及存储介质
JP2018019415A (ja) システム、認証局、車載コンピュータ、公開鍵証明書発行方法、及びプログラム
JP2020088836A (ja) 車両メンテナンスシステム、メンテナンスサーバ装置、管理サーバ装置、車載装置、メンテナンスツール、コンピュータプログラム及び車両メンテナンス方法
JP2020088417A (ja) 車両メンテナンスシステム、メンテナンスサーバ装置、認証装置、メンテナンスツール、コンピュータプログラム及び車両メンテナンス方法
JP2018042256A (ja) システム及び管理方法
JP6949797B2 (ja) 鍵管理システム、管理サーバ装置、端末装置、コンピュータプログラム、及び鍵管理方法
JP2020086540A (ja) メンテナンスサーバ装置、車両メンテナンスシステム、コンピュータプログラム及び車両メンテナンス方法
JP6640128B2 (ja) 制御システム及び制御方法
JP6519060B2 (ja) 管理装置、車両、管理方法、及びコンピュータプログラム
JP7049789B2 (ja) 鍵配信システム、鍵配信装置及び鍵配信方法
JP2017208731A (ja) 管理システム、管理装置、車載コンピュータ、管理方法、及びコンピュータプログラム
WO2018131270A1 (ja) 通信システム、車両、サーバ装置、通信方法、及びコンピュータプログラム
CN115883165A (zh) 一种ECU身份认证方法、密钥管理方法、装置、T-Box及服务端
JP2018142823A (ja) 通信システム、及び、通信方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant