セキュリティ装置、車両用認証装置、方法及びプログラム
電子鍵(2)の認証とは別に、IDカード(5)の認証と利用者認証情報の認証とを実行し、全ての認証が成功したときにエンジン始動情報を作成する。これにより、電子鍵データ又は電子鍵装置をコピーされても、車両の盗難を阻止することができる。
【発明の詳細な説明】
【技術分野】
本発明は、セキュリティ装置、車両用認証装置、方法及びプログラムに関する。
【背景技術】
従来、車両の盗難防止を図る観点から、キーレスエントリ方式やイモビライザ方式といった電子鍵方式が知られている(例えば、日本国特許第2506136号公報及び日本国特許第2697605号公報など参照)。
ここで、キーレスエントリ方式は、例えば、電子鍵装置が電子鍵データを赤外線方式で発射し、電子鍵データの照合により、ドアの開閉やエンジンの始動を行なうものである。イモビライザ方式は、例えば、電子鍵装置を鍵穴に差し込むと、電子鍵装置から電子鍵のIDを送信し、IDの照合によりエンジンを始動させるものである。
この種の電子鍵方式は、鍵穴やスペア鍵などから鍵の複製を作り得る物理的な鍵方式に比べ、鍵の複製を作りにくい。このため、電子鍵方式は、車両の盗難をより防止し易い技術となっている。
しかしながら、以上のようなキーレスエントリ方式やイモビライザ方式の電子鍵では、次のような方法(i)〜(ii)により、車両の盗難が可能となる心配がある。
(i)赤外線方式で発射される電子鍵データをコピーする方法。
(ii)電子鍵のIDを盗むことにより電子鍵装置をコピーする方法。
これらの方法(i)〜(ii)は、例えばディーラーと犯罪者が巧妙に連携した場合、実現がより容易となることから、何らかの対策を講じる必要があると考えられる。
また、販売、転売を含む車両の譲渡において、譲渡前に譲渡元が電子鍵をコピーした場合、譲渡後にも譲渡元が車両を運転可能となるので、車両が盗まれる不安がある。
【発明の開示】
本発明の目的は、電子鍵データ又は電子鍵装置をコピーされたとしても、車両の盗難を阻止し得るセキュリティ装置、車両用認証装置、方法及びプログラムを提供することにある。
本発明の第1の局面は、エンジン始動情報により走行可能な車両に搭載され、電子鍵データKを記憶した電子鍵装置に基づいて前記車両の利用者を認証する車両用認証装置に用いられるセキュリティ装置であって、前記電子鍵データKによりエンジンマスター鍵EKが暗号化されてなる暗号化エンジンマスタ鍵E(EK)が格納される鍵情報格納手段と、個人情報、証明書C及び利用者固有鍵Iを記憶したID装置内の証明書Cを検証するためのID装置証明書検証鍵CKが格納される証明書情報格納手段と、前記ID装置から入力された証明書Cを前記証明書情報格納手段内のID装置証明書検証鍵CKを用いて検証し、当該ID装置の正当性を確認する手段と、前記正当性を確認した後、入力された利用者認証情報をID装置に検証させる手段と、このID装置による検証結果が成功したとき、当該ID装置から入力される利用者固有鍵I及び前記電子鍵装置から入力される電子鍵データKを用いて、利用者及び電子鍵を認証する手段と、前記利用者及び電子鍵の認証が成功したとき、前記電子鍵データKに基づいて、前記暗号化エンジンマスター鍵E(EK)を復号し、エンジンマスター鍵EKを得る手段と、このエンジンマスター鍵EKを用いて前記エンジン始動情報を作成する手段と、得られたエンジン始動情報を出力する手段と、を備えたセキュリティ装置である。
従って、本発明の第1の局面では、ID装置から入力された証明書CをID装置証明書検証鍵CKを用いて検証し、ID装置の正当性を確認すると、入力された利用者認証情報をID装置に検証させ、ID装置による検証結果が成功したとき、ID装置内の利用者固有鍵I及び電子鍵装置内の電子鍵データKを用いて、利用者及び電子鍵を認証し、利用者及び電子鍵の認証が成功したとき、エンジン始動情報を作成する。
このように、電子鍵の認証とは別に、ID装置の認証と利用者認証情報の認証とを実行し、全ての認証が成功したときにエンジン始動情報を作成するので、電子鍵データ又は電子鍵装置をコピーされたとしても、車両の盗難を阻止することができる。
【図面の簡単な説明】
図1は本発明の第1の実施形態に係る車両用認証装置の構成を示す模式図である。
図2は同実施形態における全体動作を説明するためのフローチャートである。
図3〜図5は同実施形態における利用者及び電子鍵認証の第1〜第3の具体例を説明するためのフローチャートである。
図6は本発明の第2の実施形態に係る車両用認証装置の構成を示す模式図である。
図7及び図8は同実施形態における全体動作を説明するためのフローチャートである。
図9〜図11は同実施形態における利用者及び電子鍵認証の第1〜第3の具体例を説明するためのフローチャートである。
図12は本発明の第3の実施形態に係る電子鍵システムの構成を示す模式図である。
図13及び図14は同実施形態における動作を説明するためのシーケンス図である。
図15は本発明の第4の実施形態を説明するためのシーケンス図である。
図16及び図17は同実施形態を説明するためのシーケンス図である。
図18は本発明の第5の実施形態を説明するためのシーケンス図である。
【発明を実施するための最良の形態】
以下、本発明の各実施形態について図面を参照しながら説明する。
(第1の実施形態)
図1は本発明の第1の実施形態に係る車両用認証装置の構成を示すブロック図である。この車両用認証装置は、自動車などの車両に搭載され、電子鍵読取装置1、利用者情報入力装置3、IDカード読取装置4、通信装置6及びエンジン制御装置7がセキュリティ装置10に接続されている。
ここで、電子鍵読取装置1は、携帯可能な電子鍵2を着脱自在に保持し、電子鍵2から読み出したデータをセキュリティ装置10に送信する機能と、セキュリティ装置10から受信したデータを電子鍵2に入力する機能とをもっている。
電子鍵(電子鍵装置)2は、例えば一般的なキーレスエントリやイモビライザシステム対応の電子鍵や接触・非接触などの形態のICカードが使用可能となっており、具体的には、電子鍵通信鍵KKと、電子鍵データK又は暗号化電子鍵データE(K)とが記憶される耐タンパー領域を備えている。ここで、利用者の電子鍵データKは、エンジンマスター鍵EKを復号するためのものであり、所有者の電子鍵データ署名生成鍵SMKで生成された署名(デジタル署名)が含まれている。また、電子鍵通信鍵KKは通信のための認証鍵であり、メーカ出荷時に記憶されている。電子鍵データK又は暗号化電子鍵データE(K)は、鍵登録時に記憶される。
利用者情報入力装置3は、利用者を確認するための情報(例えば、PINコードや指紋などの生態情報)をセキュリティ装置10に入力するためのものである。
IDカード読取装置4は、携帯可能なIDカード5(例えば、ICカード免許証)を着脱自在に保持し、IDカード5から読み出したデータをセキュリティ装置10に送信する機能と、セキュリティ装置10から受信したデータをIDカード5に入力する機能とをもっている。
IDカード(ID装置)5は、通常のICカード機能を有し、IDカード読取装置4を介してセキュリティ装置10と通信可能なものであって、利用者個人を特定するための個人情報、この個人情報から生成されたハッシュキー(利用者固有鍵)I、車両の運転許可を受けた免許区分情報L、及び、権威ある特定の機関から発行された証明書Cが記憶されている。ここで、個人情報、ハッシュキーI、免許区分情報L及び証明書Cは、IDカード発行時に記憶される。なお、IDカード5内のデータは、特定の権限を持つ者のみが読出/書込可能であり、IDカードの所有者は読出可能であるが書込不可となっている。
また、IDカード5は、カード形状のID装置に限らず、例えば、携帯電話、電子手帳、パソコン、IDタグ、ペンダント、バッジ又は電子ブックなどの任意のID装置に変更可能となっている。この場合、同様に、IDカード読取装置4はIDカードの読取装置に限らず、任意のID装置の読取装置に変更可能なことは言うまでもない。
通信装置6は、車両外部とセキュリティ装置10との間の通信機能をもっている。
エンジン制御装置7は、エンジンマスター鍵EKがメーカ出荷時に格納される耐タンパー領域を有し、このエンジンマスター鍵EKを用いてセキュリティ装置10との間で相互認証を行なう機能と、相互認証が成功したとき、セキュリティ装置10からエンジン始動情報Sを受けると、エンジンを制御する機能とをもっている。なお、エンジンマスター鍵EKは、エンジンを始動するための認証鍵である。エンジン始動情報Sは、セキュリティ装置10内でエンジンマスター鍵EKを用いて生成される。また、「エンジン」の用語は動力発生機を意味しており、内燃機関に限らず、モータをも包含する。
一方、セキュリティ装置10は、IDカード5や電子鍵2の正当性の検証、利用者の確認などのセキュリティ処理を行うためのものであり、具体的には、鍵情報格納領域11、利用者情報格納領域12、車両情報格納領域13、証明書情報格納領域14、プログラム格納領域15、入出力部16及び演算部17を備えている。
鍵情報格納領域11は、メーカーからの納車時に予め所有者(購買者)の電子鍵データMKに対応する暗号化エンジンマスター鍵EM(EK)、電子鍵データ署名検証鍵VMK及び電子鍵通信鍵KKとを格納し、利用の事前に、利用者の電子鍵データKに対応する暗号化エンジンマスター鍵E(EK)を格納するための領域である。
ここで、暗号化エンジンマスター鍵EM(EK)は、エンジンマスター鍵EKが、後述する電子鍵データMK及びハッシュキーMIにより暗号化されたものである。電子鍵データ署名検証鍵VMKは、電子鍵データKの署名を検証するための鍵である。
利用者情報格納領域12は、利用の事前に利用者の登録を行い、利用者のハッシュキー群を格納するための領域である。
車両情報格納領域13は、当該車両の車両区分情報Vがメーカ出荷時に格納されている領域である。車両区分情報Vは、当該車両が免許区分情報Lに対して運転可能か否かを判別するための情報である。
証明書情報格納領域14は、正当なIDカードであるかどうかを検証するための鍵であるIDカード証明書検証鍵CKがメーカ出荷時に格納されている領域である。IDカード証明書検証鍵CKは、IDカードの証明書Cの有効性を確認するための鍵である。
プログラム格納領域15は、演算部17を制御するためのプログラムが格納された領域である。ここで、プログラムは、具体的には図2と、図3〜図5のいずれかとの処理を演算部17に実行させるためのものである。
入出力部16は、セキュリティ装置10と外部の各装置1〜5との間で、データの送受信や利用者への入出力を行うものである。
演算部17は、セキュリティの演算、照合、認証などを行なうものであり、具体的には、各格納領域11〜15を参照しながら、プログラム格納領域15内のプログラムにより動作する車載CPUである。
次に、以上のように構成された車両用認証装置の動作を図2〜図5のフローチャートを用いて説明する。
(全体動作)
利用者は、車両に乗り込むと、IDカード5をIDカード読取装置4に提示する。
セキュリティ装置10は、図2に示すように、このIDカード読取装置4を通じてIDカード5から証明書C及び免許区分情報Lを読取る(ST1)。
セキュリティ装置10は、このIDカード5が正しい機関から発行されたIDカードであるか否かを確認するため、証明書情報格納領域14内のIDカード証明書検証鍵CKを用いて、証明書Cの正当性を確認する(ST2)。
正当性の確認に失敗した場合(ST2;NO)、セキュリティ装置10は、正しい機関から発行されたIDカードでないと判定し、ステップST1に戻る。
正当性の確認に成功した場合(ST2;NO)、セキュリティ装置10は、正しい機関から発行されたIDカードと判定し、続いて、免許区分情報Lとセキュリティ装置10内の車両情報格納領域13に設定された車両区分情報Vが合致するかどうかを確認する(ST3)。免許区分情報とは、第1種普通、第2種普通、第1種大型などの車両ごとの免許区分に関する情報を指す。
免許区分情報Lと車両区分情報Vが合致しない場合(ST3;NO)、当該車両の運転許可が与えられていないものとして、ステップST1に戻る。
合致する場合(ST3;YES)、当該車両の運転許可が与えられているものと判定し、セキュリティ装置10は、入出力部16の表示パネル等(図示せず)から利用者情報の入力を促す。
利用者は、利用者情報入力装置3を通じて、IDカード5内の利用者情報の読み取りを行うための利用者認証情報P(指紋などの生体認証情報やPINコード)を入力する。これにより、セキュリティ装置10には利用者認証情報Pが入力される(ST4)。
セキュリティ装置10は、入力された利用者認証情報PをIDカード読取装置4を通じてIDカード5に送信し、IDカード5に認証情報を検証させる(ST5)。
認証情報の検証に失敗した場合(ST5;失敗)、不正な利用者であるとして、失敗結果をセキュリティ装置10に返して、ステップST1へ戻る。
認証情報の検証に成功した場合(ST5;成功)、正しい利用者であるとして、IDカード5はハッシュキーIをセキュリティ装置10に返し、セキュリティ装置10はハッシュキーIを読み取って利用者情報格納領域12に格納する(ST6)。
次に、セキュリティ装置10は、電子鍵2を利用して、利用者及び電子鍵の認証を行い(ST7)、この認証に伴って鍵情報格納領域11に格納された暗号化エンジンマスター鍵E(EK)を復号する。このステップST7の詳細は、図3〜図5により後述する。
認証が失敗した場合(ST7;失敗)、不正な電子鍵の利用者であるとして、ステップST1に戻る。
認証が成功した場合(ST7;成功)、正しい電子鍵の利用者であるとして、セキュリティ装置10は、エンジン制御装置7との間で相互認証を行う(ST8)。なお、相互認証には、セキュリティ装置10内で復号されたエンジンマスター鍵EKと、エンジン制御装置7内に格納されたエンジンマスター鍵EKとが用いられる。
相互認証が失敗した場合(ST8;失敗)、少なくともどちらかが不正な装置であるとして、ステップST1に戻る。
相互認証が成功した場合(ST8;成功)、両者が正当な装置であるとして、セキュリティ装置10は、エンジンマスター鍵EKを用いて、エンジン制御装置7にエンジン始動情報Sを送信する(ST9)。
これにより、エンジン制御装置7は、エンジンを始動することが可能となる。
(ST7の第1具体例;利用者及び電子鍵認証)
次に、ステップST7の3通りの具体例を図3〜図5を用いて説明する。
図3はステップST7の第1の具体例を示すフローチャートである。
セキュリティ装置10は、ステップST6でIDカード5から読み取った利用者のハッシュキーIと、利用者情報格納領域12内のハッシュキー群Iとを照合する(ST7−1a)。照合の結果、ハッシュキーIと一致するものがない場合(ST7−2a;NO)、未登録の利用者であるとして、ステップST1に戻る。
一致するものがある場合(ST7−2a;YES)、登録済みの利用者であるとして、セキュリティ装置10は、入出力部16から利用者に電子鍵2の装着を促す。利用者は電子鍵2を電子鍵読取装置1に装着する。これにより、セキュリティ装置10は、電子鍵読取装置1を介して電子鍵2との間で相互認証を行なう(ST7−3a)。なお、相互認証には、セキュリティ装置10の鍵情報格納領域11内の電子鍵通信鍵KKと、電子鍵2に格納された電子鍵通信鍵KKとが用いられる。
相互認証が失敗した場合(ST7−3a;失敗)、少なくともどちらかが不正な装置であるとして、ステップST1に戻る。相互認証が成功した場合(ST7−3a;成功)、両者が正当な装置であるとして、電子鍵2は電子鍵データKをセキュリティ装置10に返し、セキュリティ装置10は電子鍵データKを読み取る(ST7−4)。
次に、セキュリティ装置10は、鍵情報格納領域11内の電子鍵データ署名検証鍵VMKを用いて、電子鍵データKの署名を検証する(ST7−5)。署名検証の結果、署名が不正な場合(ST7−5;失敗)、不正に発行された電子鍵として、ステップST1に戻る。
署名が正しい場合(ST7−5;成功)、正当に発行された電子鍵として、セキュリティ装置10は、鍵情報格納領域11から、電子鍵データKに対応する暗号化エンジンマスター鍵E(EK)を読み取る(ST7−6)。これにより、セキュリティ装置10は、電子鍵データKを用いて、暗号化エンジンマスター鍵E(EK)を復号し(ST7−7)、エンジンマスター鍵EKを得る。得られたエンジンマスター鍵EKは、後段のステップST8,ST9で用いられることは前述した通りである。
(ST7の第2具体例;利用者及び電子鍵認証)
図4はステップST7の第2の具体例を示すフローチャートである。ここでは、電子鍵データKは、ハッシュキーIを用いて暗号化された状態で電子鍵2に格納されているものとする。
利用者は用意した電子鍵2を電子鍵読取装置1に装着する。これにより、セキュリティ装置10は、電子鍵読取装置1を介して電子鍵2との間で相互認証を行なう(ST7−1b)。なお、相互認証には、セキュリティ装置10の鍵情報格納領域11内の電子鍵通信鍵KKと、電子鍵2に格納された電子鍵通信鍵KKとが用いられる。
相互認証が失敗した場合(ST7−1b;失敗)、少なくともどちらかが不正な装置であるとして、ステップST1に戻る。
相互認証が成功した場合(ST7−1b;失敗)、両者が正当な装置であるとして、スセキュリティ装置10は、ハッシュキーIを電子鍵読取装置1を通じて電子鍵2に送信する(ST7−2b)。電子鍵2は暗号化電子鍵データE(K)をセキュリティ装置10に送信し、セキュリティ装置10は暗号化電子鍵データE(K)を読取る(ST7−3b)。続いて、セキュリティ装置10は、この暗号化電子鍵データE(K)をハッシュキーIにより復号し、電子鍵データKを得る(ST7−4b)。
以下、前述同様にステップST7−5乃至ST7−7が実行される。
(ST7の第3具体例;利用者及び電子鍵認証)
図5はステップST7の第3の具体例を示すフローチャートである。ここでは、暗号化エンジンマスター鍵E(EK)は、ハッシュキーIと電子鍵データKを用いて暗号化された状態で鍵情報格納領域11に格納されているものとする。
図5に示すように、図3のステップST7−1a,ST7−2aが省略され、図3のステップST7−3a〜ST7−6が前述同様に実行される。
以下、セキュリティ装置10は、前述したステップST6で読み取った利用者のハッシュキーIと電子鍵データKを用いて、暗号化エンジンマスター鍵E(EK)を復号し(ST7−7c)、エンジンマスター鍵EKを得る。
上述したように本実施形態によれば、電子鍵の認証とは別に、IDカードの認証と利用者認証情報の認証とを実行し、全ての認証が成功したときにエンジン始動情報を作成するので、電子鍵データ又は電子鍵装置をコピーされたとしても、車両の盗難を阻止することができる。
これにより、例えば車両メーカーから車両を購買した所有者が、車両の利用のための電子鍵を新規に発行し、電子鍵と利用者のIDカードと併用したときのみエンジンの制御が可能となる。また、この電子鍵を発行するための発行鍵と所有者のIDカードと併用したときのみ、車両の利用のための電子鍵を発行可能とするため、ディーラーと犯罪者が結託したような状況においても、犯罪者による車両の盗難が生じにくくなる。
以上のような効果に加え、ステップST7の利用者及び電子鍵認証は、図3〜図5に示す各々の具体例において、以下の効果を得ることができる。
図3に示す例の場合、発行された電子鍵の情報と利用者固有の情報との間の紐付けが行われていないため、電子鍵2の発行時に利用者のIDカード5が不要である。つまり、電子鍵2の発行と利用者の登録とを非同期に行うことができる。
しかし、その一方で、ステップST7−2の利用者照合を何らかの手段で回避し、ステップST7−3に戻ることが可能になると、利用者認証が実現されなくなる危険性があるので、セキュリティ装置10のプログラムの改竄を阻止する機構が必要となる。
図4に示す例の場合、図3とは異なり、発行された電子鍵2の情報と利用者固有の情報との間の紐付けが行われているため、電子鍵2の発行時に利用者のIDカード5が必要となる。また、電子鍵2の利用時(エンジン始動時)もIDカード5が必要であり、また、電子鍵2を盗み、内部の電子鍵データKを得ようとしても、利用者のIDカード5の情報Iで暗号化されているため、利用者のIDカードなくして、盗用することは困難となる。
図5に示す例の場合、図3とは異なり、発行された電子鍵2の情報と利用者固有の情報との間の紐付けが行われているため、電子鍵2の発行時に利用者のIDカード5が必要となる。また、電子鍵の利用時(エンジン始動時)もIDカード5が必要である。しかし、図4の手法とは異なり、電子鍵2内の電子鍵データKは暗号化されていないため、何らかの手段で電子鍵データKを読み取ることが可能となれば、鍵の偽造が完全ではないが部分的に可能になるという危険性がある。このため、電子鍵データKは耐タンパーな領域に格納し、電子鍵2の分解などによる読み取りなどが不可能な状態にする必要がある。
(第2の実施形態)
図6は本発明の第2の実施形態に係る車両用認証装置の構成を示すブロック図であり、図1と同一部分には同一符号を付すと共に、変更部分にはアルファベットの添字M,r,x等を付すようにし、変更部分について主に説明する。なお、以下の各実施形態も同様にして同一部分の説明を省略する。
すなわち、本実施形態は、第1の実施形態の変形例であり、車両の所有者が利用者を登録する場合の構成を示している。なお、所有者と登録者とは、例えば家族同士の場合などが考えられる。
具合的な構成としては、前述した電子鍵読取装置1及びIDカード読取装置4と同様の機能を有する電子鍵登録装置1r及び登録用IDカード読取装置4rがセキュリティ装置に接続されている。また、セキュリティ装置10内では、車両情報格納領域13が省略され、秘密鍵情報格納領域18が設けられている。
また、前述した利用者の電子鍵2及びIDカード5に代えて、所有者の電子鍵2M及びIDカード5Mと、登録者の電子鍵2r及びIDカード5rとが用いられる。
ここで、電子鍵2Mは、例えば前述した電子鍵やICカードが使用可能となっており、具体的には、電子鍵通信鍵KKと、所有者の電子鍵データMK又は暗号化電子鍵データE(MK)とが記憶される耐タンパー領域を備えている。ここで、所有者の電子鍵データMKには、メーカが管理する電子鍵データ署名生成鍵STKで生成された署名が含まれている。また、電子鍵通信鍵KKはメーカ出荷時に記憶されており、電子鍵データMK又は暗号化電子鍵データE(MK)は、鍵登録時に記憶される。
登録者の電子鍵2rは、具体的には、電子鍵通信鍵KKと、利用者の電子鍵データK又は暗号電子鍵データE(K)とが記憶される耐タンパー領域を備えている。但し、ここでは電子鍵データK及び暗号電子鍵データE(K)はいずれも未登録の状態であるとする。また、電子鍵通信鍵KKはメーカ出荷時に記憶されている。
所有者のIDカード5Mは、通常のICカード機能を有し、IDカード読取装置4を介してセキュリティ装置10と通信可能なものであって、所有者個人を特定するための個人情報、この個人情報から生成されたハッシュキーMI、及び、権威ある特定の機関から発行された証明書MCが記憶されている。
登録者のIDカード5rは、前述した利用者のIDカード5と同様のものである。また、IDカード5M,5r内のデータは、前述同様に、特定の権限を持つ者のみが読出/書込可能であり、IDカードの所有者は読出可能であるが書込不可となっている。
一方、鍵情報格納領域11xは、前述した鍵情報EM(EK),VMK,KK,E(EK)に加え、車両メーカーにより生成された署名を検証するための電子鍵データ署名検証鍵VTKが格納されている。
証明書情報格納領域14xは、前述した利用者(登録者)のIDカード証明書検証鍵CKに加え、所有者の正当なIDカード5Mであるか否かを検証するための鍵であるIDカード証明書検証鍵MCKがメーカ出荷時に格納されている。補足すると、IDカード証明書検証鍵MCKは、IDカード5M内の証明書MCの有効性を確認するための鍵である。
プログラム格納領域15xは、前述したプログラムに代えて、図7及び図8と図9〜図11のいずれかとの処理を演算部17に実行させるためのプログラムが格納されている。
秘密鍵情報格納領域18は、車両メーカーからの予め所有者(購買者)の電子鍵データ署名生成鍵SMKを格納するための領域である。電子鍵データ署名生成鍵SMKは、電子鍵データKの署名を作成するための鍵である。この秘密鍵情報格納領域18は、所有者のIDカード5M内のハッシュキーMIのみを用いて、読取り可能となっている。
次に、以上のように構成された車両用認証装置の動作を図7〜図11のフローチャートを用いて説明する。
(全体動作)
図7及び図8に示すように、所有者が、新規の利用者を登録し、新規の鍵を発行する際には、所有者の電子鍵2M、IDカード5M、及び、新規に登録する利用者の登録用IDカード5rを用意する。
所有者は、車両に乗り込むと、IDカード5MをIDカード読取装置4に提示する。
セキュリティ装置10xは、このIDカード読取装置4を通じてIDカード5Mから証明書MCを読取る(ST11)。 セキュリティ装置10xは、IDカード5Mを確認するため、証明書情報格納領域14x内のIDカード証明書検証鍵MCKを用い、証明書MCの正当性を確認する(ST12)。
正当性の確認に失敗した場合(ST12;NO)、セキュリティ装置10xは、正しい機関から発行されたIDカードでないと判定し、ステップST11に戻る。
正当性の確認に成功した場合(ST12;NO)、セキュリティ装置10xは、正しい機関から発行されたIDカードと判定し、入出力部16xの表示パネル等(図示せず)から利用者情報の入力を促す。
所有者は、利用者情報入力装置3を通じて、IDカード5M内の利用者情報の読み取りを行うための所有者認証情報OP(指紋などの生体認証情報やPINコード)を入力する。これにより、所有者認証情報OPはセキュリティ装置10xに入力される(ST13)。
セキュリティ装置10xは、この利用者認証情報OPをIDカード読取装置4を通じてIDカード5Mに送信し、IDカード5Mに認証情報を検証させる(ST14)。
認証情報の検証に失敗した場合(ST14;失敗)、不正な所有者であるとして、失敗結果をセキュリティ装置10xに返して、ステップST11へ戻る。
認証情報の検証に成功した場合(ST14;成功)、正しい所有者であるとして、IDカード5MはハッシュキーMIをセキュリティ装置10xに返し、セキュリティ装置10xはハッシュキーMIを読み取る(ST15)。
次に、セキュリティ装置10xは、電子鍵2Mを利用して、所有者及び電子鍵の認証を行い(ST16)、この認証に伴って鍵情報格納領域11xに格納された暗号化エンジンマスター鍵EM(EK)を復号する。このステップST16の詳細は、図9〜図11により後述する。
認証が失敗した場合(ST16;失敗)、不正な電子鍵2Mの所有者であるとして、ステップST11に戻る。
認証が成功した場合(ST16;成功)、正しい電子鍵2Mの所有者であるとして、セキュリティ装置10xは、登録用IDカード5rの提示を所有者に促す。所有者は、登録用IDカード5rを登録用IDカード読取装置4rに提示する。
セキュリティ装置10xは、登録用IDカード読取装置4rを通じてIDカード5rから証明書Cを読取る(ST17)。
セキュリティ装置10xは、IDカード5rを確認するため、証明書情報格納領域14x内のIDカード証明書検証鍵CKを用い、証明書Cの正当性を確認する(ST18)。
正当性の確認に失敗した場合(ST18;NO)、セキュリティ装置10xは、正しい機関から発行されたIDカードでないと判定し、ステップST11に戻る。
正当性の確認に成功した場合(ST18;NO)、セキュリティ装置10xは、正しい機関から発行されたIDカードと判定し、次のステップに進む。
次のステップは、前述したステップST16の詳細が図10又は図11による場合は、ステップST19である。また、ステップST16の詳細が図9による場合は、ステップST22である。
ステップST19においては、所有者は、利用者に立ち会ってもらい、利用者によって、利用者情報入力装置3を通じて、登録用IDカード5r内の利用者情報の読み取りを行うための利用者認証情報P(指紋などの生体認証情報やPINコード)の入力を行う。これにより、利用者認証情報Pはセキュリティ装置10xに入力される(ST19)。
セキュリティ装置10xは、この利用者認証情報Pを登録用IDカード読取装置4rを通じて登録用IDカード5rに送信し、登録用IDカード5rに認証情報を検証させる(ST20)。
認証情報の検証に失敗した場合(ST20;失敗)、不正な利用者であるとして、失敗結果をセキュリティ装置10xに返して、ステップST11へ戻る。
認証情報の検証に成功した場合(ST20;成功)、正しい利用者であるとして、IDカード5rはハッシュキーIをセキュリティ装置10xに返し、セキュリティ装置10xはハッシュキーIを読み取る(ST21)。
次に、セキュリティ装置10xは、ステップST15で読み取ったハッシュキーMIを用いて、秘密鍵情報格納領域18内の電子鍵データ署名生成鍵SMKを読み取り、この鍵SMKを用いて、新規の電子鍵データKを生成する(ST22)。
また、電子鍵データ署名生成鍵SMKが電子鍵2M内に格納されている場合、セキュリティ装置10xは、ステップST15で読み取ったハッシュキーMIを電子鍵2Mに送信し、電子鍵2Mが電子鍵データKを生成し、セキュリティ装置10xに返す。
なお、ステップST16の詳細が図10による場合は、セキュリティ装置10xは、ステップST21で読み取ったハッシュキーIを用いて、電子鍵データKを暗号化し、暗号化電子鍵データE(K)を生成する。
続いて、所有者は、用意した新規電子鍵2rを電子鍵登録装置1rに装着する。
これにより、セキュリティ装置10xは、電子鍵登録装置1rを介して電子鍵2rとの間で相互認証を行なう(ST23)。なお、相互認証には、セキュリティ装置10xの鍵情報格納領域11x内の電子鍵通信鍵KKと、電子鍵2r内の電子鍵通信鍵KKとが用いられる。
相互認証が失敗した場合(ST23;失敗)、少なくともどちらかが不正な装置であるとして、ステップST11に戻る。相互認証が成功した場合(ST23;成功)、両者が正当な装置であるとして、セキュリティ装置10xは、電子鍵2rに電子鍵データK、又は、暗号化電子鍵データE(K)を送信し、電子鍵2rは受信した電子鍵データを耐タンパーな領域に格納する(ST24)。
続いて、ステップST25においては、ST16の詳細が図9,図10又は図11による場合でそれぞれ以下の処理を実行する。
ST16の詳細が図9による場合、セキュリティ装置10xは、電子鍵データKを用いて、セキュリティ装置10x内で復号されたエンジンマスター鍵EKを暗号化し、鍵情報格納領域11xに暗号化エンジンマスター鍵E(EK)を登録する。
また、ST16の詳細が図10による場合、セキュリティ装置10xは、電子鍵データKを用いて、セキュリティ装置10x内で復号されたエンジンマスター鍵EKを暗号化し、鍵情報格納領域11xに暗号化エンジンマスター鍵E(EK)を登録する。
ST16の詳細が図11による場合、セキュリティ装置10xは、ステップST21で読み取った利用者のハッシュキーIと電子鍵データKを用いて、セキュリティ装置10x内で復号されたエンジンマスター鍵EKを暗号化し、鍵情報格納領域11xに暗号化エンジンマスター鍵E(EK)を登録する。
以上により、電子鍵2rの登録が完了する。なお、ST16の詳細が図9による場合、セキュリティ装置10xは利用者情報格納領域12へのハッシュキーIの登録を、利用の事前であれば、鍵の発行と同じタイミングに限らず、任意のタイミングで行なうことができる。
(ST16の第1具体例;利用者及び電子鍵認証)
次に、ステップST16の3通りの具体例を図9〜図11を用いて説明する。
図9はステップST16の第1の具体例を示すフローチャートであり、前述した図3と同様の処理内容となっている。
すなわち、セキュリティ装置10xは、所有者のハッシュキーMIを照合し(ST16−1a)、電子鍵2Mとの相互認証を行なう(ST16−3a)。また、セキュリティ装置10xは、電子鍵データMKを読み取り(ST16−4)、電子鍵データ署名検証鍵VTKを用いて電子鍵データMKの署名を検証し(ST16−5)、暗号化エンジンマスター鍵EM(EK)を読み取る(ST16−6)。また、セキュリティ装置10xは、電子鍵データMKを用いて暗号化エンジンマスター鍵EM(EK)を復号し(ST7−7)、エンジンマスター鍵EKを得る。
(ST16の第2具体例;利用者及び電子鍵認証)
図10はステップST16の第2の具体例を示すフローチャートであり、前述した図4と同様の処理内容となっている。
すなわち、電子鍵データMKは、ハッシュキーMIを用いて暗号化された状態で電子鍵2Mに格納されている。
セキュリティ装置10xは、電子鍵2Mとの相互認証を行ない(ST16−1b)、ハッシュキーMIを電子鍵2に送信し(ST16−2b)、暗号化電子鍵データE(MK)を読取る(ST16−3b)。また、セキュリティ装置10xは、暗号化電子鍵データE(MK)をハッシュキーMIにより復号し、電子鍵データMKを得る(ST16−4b)。以下、前述同様にステップST7−5乃至ST7−7が実行される。
(ST16の第3具体例;利用者及び電子鍵認証)
図11はステップST16の第3の具体例を示すフローチャートであり、前述した図5と同様の処理内容となっている。
すなわち、暗号化エンジンマスター鍵EM(EK)は、ハッシュキーMIと電子鍵データMKを用いて暗号化されている。
図11に示すように、図9のステップST16−1a,ST16−2aが省略され、図9のステップST16−3a〜ST16−6が前述同様に実行される。
以下、セキュリティ装置10xは、前述したステップST15で読み取った利用者のハッシュキーMIと電子鍵データMKを用いて、暗号化エンジンマスター鍵EM(EK)を復号し(ST16−7c)、エンジンマスター鍵EKを得る。
(電子鍵の無効化処理)
次に、電子鍵の無効化の実現手法を述べる。
個々の利用者の電子鍵Kを無効化する場合は、図1の利用者情報格納領域12及び鍵情報格納領域11に格納された、利用者のハッシュキーI及び利用者の暗号化エンジンマスター鍵E(EK)を削除する。これにより、この利用者の電子鍵Kを無効化でき、この電子鍵Kで車両の利用が不可能となる。
発行された全ての利用者の電子鍵Kを無効化する場合は、以下の通りである。
所有者の電子鍵データ署名生成鍵SMK、電子鍵データ署名検証鍵VMKは、公開鍵暗号方式の鍵対となっており、電子鍵データ署名検証鍵VMKには車両メーカーから発行された公開鍵証明書が付与されている。従って、車両メーカーにより、この公開鍵証明書を無効化し、ネットワークを通じて公開された無効化リストを図1の通信装置6を通じて受信させる。ここで、図3、図4又は図5の各ステップST7−5において、電子鍵データ署名検証鍵VMKに付与された公開鍵証明書がこの無効化リストに記載の公開鍵証明書であるか否かを検査し、無効化された公開鍵証明書であれば、署名検証を失敗とする。これにより、電子鍵Kを無効化でき、全ての利用者の電子鍵で車両の利用が不可能となる。
また、同様に、車両メーカーの電子鍵データ署名生成鍵STK、電子鍵データ署名検証鍵VTKは公開鍵暗号方式の鍵対となっており、電子鍵データ署名検証鍵VTKには陸運局などの権威ある機関から発行された公開鍵証明書が付与されている。従って、車両の廃車時には、陸運局などの権威ある機関により、この公開鍵証明書を無効化し、ネットワークを通じて公開された無効化リストを図6の通信装置6を通じて受信させる。ここで、図3、図4又は図5の各ステップST7−5において、電子鍵データ署名検証鍵VTKに付与された公開鍵証明書がこの無効化リストに記載の公開鍵証明書であるか否かを検査し、無効化された公開鍵証明書であれば、署名検証を失敗とする。これにより、電子鍵MKを無効化でき、この電子鍵MKでは車両の電子鍵の発行が不可能となる。
上述したように本実施形態によれば、利用者の電子鍵2rを発行するための電子鍵MKを用意し、この電子鍵MKも同様に所有者のIDカード2Mと併用したときのみ車両の利用のための電子鍵を発行可能とするので、ディーラーと犯罪者が結託したような状況においても、犯罪者から車両の盗難を可能な限り防止する。
また、複数の利用者で車両を利用する場合に、複製の電子鍵を作ることなく、利用者ごとに新規に電子鍵を発行し、車両を利用可能にする。また、利用者毎に電子鍵を無効化し、車両を利用不可能にする。このように、利用者毎に車両を利用可能又は不可能にできるので、レンタカーのような運用をしつつ、レンタカーの盗難などを防止でき、安全な車両のレンタルが可能となる。
また、環境問題などにより、該当する車両が利用不可能になった場合に、すべての利用者及び所有者の電子鍵を無効化することで、車両の利用を不可能にし、且つ利用者の電子鍵を新規に発行不可能にして廃車手続きを促し、違法車両を公道から撤廃することが可能となる。
また、販売、転売を含む車両の譲渡において、譲渡元による車両鍵(電子鍵)の利用を無効化し、譲渡先に譲渡された車両鍵(電子鍵)を譲渡先の所有者に関連付けて有効化することが可能となり、車両盗難に対する安全性を向上できる。
以上のような効果に加え、ステップST16の利用者及び電子鍵認証は、図9〜図10に示す各々の具体例において、前述した図3〜図5と同様の効果を得ることができる。
(第3の実施形態)
図12は本発明の第3の実施形態に係る車両用認証装置の構成を示すブロック図である。すなわち、本実施形態は、第2の実施形態の変形例であり、通信装置6と通信可能な認証局20を備えている。また、登録用の電子鍵登録装置1r及び登録用IDカード読取装置4rをそれぞれ省略し、利用時及び登録時のいずれも1台の電子鍵読取装置1及びIDカード読取装置4を用いることとした。
ここで、認証局20は、車両メーカーが運営してもよく、陸運局などの車両を一括して管理する機関が運営しても良く、いずれも広く信頼できる機関により運用されるとする。
また、証明書情報格納領域14yは、前述した検証鍵MCK,CKに加え、CA公開鍵証明書、認証局20により生成された署名を検証するための電子鍵データ署名検証鍵VTKに対する公開鍵証明書、電子鍵データ署名検証鍵VMKに対する公開鍵証明書、が格納されている。但し、電子鍵データ署名検証鍵VTKに対する公開鍵証明書、および、電子鍵データ署名検証鍵VMKに対する公開鍵証明書は、第2の実施形態と同様に鍵情報格納領域11xに格納されていてもよい。なお、他にも証明書情報格納領域14yは、公開鍵証明書の無効化リストを格納可能としている。
プログラム格納領域15yは、前述したプログラムに代えて、図13及び図14の処理を演算部17に実行させるためのプログラムが格納されている。このプログラムは、後述する各実施形態においては図15〜図18の処理を実行させるためのものとする。
次に、以上のように構成された車両用認証装置の動作を図13及び図14のシーケンス図を用いて詳細に説明する。
車両を譲渡する際、以下の手順で電子鍵2Mを譲渡する。このとき、譲渡元所有者のIDカード5A及び譲渡先所有者のIDカード5Bを用いる。
始めに図13に示すように、セキュリティ装置10yは、譲渡元のIDカード5Aを認証し(ST32)、IDカード5Aから譲渡元所有者のハッシュキーMIを取得する(ST33)。
また、セキュリティ装置10yは、図9〜図11のいずれかの手法により、所有者を認証し(ST34)、この認証に伴って鍵情報格納領域11xに格納された暗号化エンジンマスター鍵EM(EK)を復号する。
その後、セキュリティ装置10yは、通信装置6を介して認証局20に無効化依頼を行い(ST35)、譲渡元所有者のハッシュキーMIを送信する(ST36)。
認証局20は、ハッシュキーMIが事前に登録された所有者のものであることを検証し(ST37)、正当であれば当該所有者に発行した電子鍵署名検証鍵VMKの公開鍵証明書の無効化を含む公開証明書の無効化リストをセキュリティ装置10yに返送する(ST38)。
セキュリティ装置10yは、無効化リストの正当性を証明書情報格納領域14y内の電子鍵データ署名検証鍵VTKで検証し(ST39)、正当ならば証明書情報格納領域14y内に無効化リストを格納する(ST40)。
次に、セキュリティ装置10yは、図14に示すように、譲渡先のIDカード5Bを認証し(ST41)、IDカード5Bから譲渡先所有者のハッシュキーMI’を取得する(ST42)。その後、セキュリティ装置10yは、通信装置6を介して認証局20に新たな公開鍵証明書発行依頼を行い(ST43)、ハッシュキーMI’を送信する(ST44)。
また、セキュリティ装置10y内で公開鍵ペアを生成し(ST45)、秘密鍵を電子鍵データ署名生成鍵SMK’として秘密鍵格納領域18に格納し、公開鍵を電子鍵データ署名検証鍵VMK’として認証局20に送信する。
認証局20は、ハッシュキーMI’と電子鍵データ署名検証鍵VMK’を新たな所有者の情報として登録し(ST46)、電子鍵データ署名検証鍵VMK’に対する公開鍵証明書を発行し、この公開鍵証明書をセキュリティ装置10yに返送する(ST47)。
セキュリティ装置10yは、証明書情報格納領域14y内の電子鍵データ署名検証鍵VTKを用いて、送られてきたVMK’に対する公開鍵証明書の正当性を検証し(ST48)、正当ならば証明書情報格納領域14yに格納する。
次に、セキュリティ装置10yは、電子鍵2M内の電子鍵データMKと、鍵情報格納領域11x内の暗号化エンジンマスター鍵EM(EK)について、所有者のハッシュキーMI’との関連付けを更新する(ST49)。
ここで、ステップST49は、前述したステップST34が図9〜図11のどの場合によるかで異なる。
図9による場合、ステップST49は、利用者情報格納領域12に予め格納されていた譲渡元所有者ハッシュキーMIを譲渡先所有者のハッシュキーMI’に更新する。
図10による場合、ステップST49は、電子鍵2M内の譲渡元所有者ハッシュキーMIで暗号化されている電子鍵データMKを取り出し、このハッシュキーMIで復号した後、再度、譲渡先所有者のハッシュキーMI’にて暗号化した電子鍵データMK’を、電子鍵2M内の譲渡元所有者ハッシュキーMIで暗号化されている電子鍵データMKに置き換えて電子鍵2M内に格納する。
図11による場合、電子鍵データMKと譲渡先所有者のハッシュキーMI’で暗号化したエンジンマスター鍵を、鍵情報格納領域11xに格納されている電子鍵データMKと譲渡元所有者のハッシュキーMIにより暗号化されているエンジンマスター鍵に置き換えて格納する。
以上を実行した後、電子鍵2Mを譲渡元所有者から譲渡先所有者に譲渡する。これにより、譲渡元所有者が登録した利用者の電子鍵は利用不可能となり、また、譲渡元所有者が譲渡した電子鍵を使用することが出来なくなる。
上述したように本実施形態によれば、認証局20により無効化リスト及び新たな公開鍵証明書を発行してもらう構成により、電子鍵2Mを安全に譲渡することができる。
(第4の実施形態)
次に、本発明の第4の実施形態について説明する。
本実施形態では、認証局20と車両の間で一時的に通信が行えない状況、又は通信を行わない電子鍵の譲渡に応用した例を図15〜図17を参照して詳細に説明する。
電子鍵の譲渡を行う際、常に通信を行える状況とは限らない。例えば、車両販売店舗が屋内又は地下にある場合などである。この場合、第3の実施形態では通信を行う装置を販売店が別途用意するか、又は一度屋外に出る必要があり、実施の手間や設備投資の負荷が生じる。また、認証局20がメンテナンス等で一時的にダウンしていた場合、電子鍵の譲渡が出来ない状況になり、システムとして不完全といえる。また、通信が行える状況であっても、通信を伴った処理は通信遅延など負荷が生じるため、通信を行わずに実施可能であることが望ましい。
本実施形態は、これらの要望を満たすため、通信を行わずに電子鍵2Mを譲渡可能とする。そして譲渡後に通信可能で、譲渡先所有者のIDカード5Bにアクセスできる状態の際、例えば車両走行中などに自動的に認証局20と通信を行い、第3実施形態と同様の情報を得るものである。
始めに、前述したステップST32〜ST34と同様に、IDカード5Aの認証(ST52)、譲渡元所有者のハッシュキーMIの取得(ST53)及び図9〜図11の何れかによる所有者の認証(ST54)が行われ、この認証に伴って鍵情報格納領域11x内の暗号化エンジンマスター鍵EM(EK)が復号される。
次に、図16に示すように、セキュリティ装置10yは、前述したステップST41〜ST42と同様に、譲渡先のIDカード5Bを認証し(ST55)、譲渡先所有者のハッシュキーMI’を取得する(ST56)。
そして、セキュリティ装置10yは、内部で公開鍵ペアを生成し(ST57)、秘密鍵を電子鍵データ署名生成鍵SMK’として秘密鍵格納領域18に格納する。
一方、セキュリティ装置10yは、公開鍵を電子鍵データ署名検証鍵VMK’とし、秘密鍵情報格納領域18に格納されている譲渡元の電子鍵データ署名生成鍵SMKによる署名を付加したVMK’に対する公開鍵証明書CERT’を生成し(ST58)、公開鍵証明書CERT’を証明書情報格納領域14yに格納する。
以降、電子鍵データ署名生成鍵SMK’により生成された署名の検証は、この公開鍵証明書CERT’を用いて行う。
最後に、セキュリティ装置10yは、電子鍵2M内の電子鍵データMK、及び鍵情報格納領域内の暗号化エンジンマスター鍵EM(EK)と所有者のハッシュキーMI’の関連付けを、前述したステップST49と同様に更新する(ST59,ST60)。
次に、図17に示すように、通信が行える状態で、譲渡先所有者のIDカード5Bにアクセスできる状態になったとき、例えば車両走行中などに、セキュリティ装置10yが自動的に認証局20と通信を行う。ここで、電子鍵データ署名検証鍵VMK’に対する公開鍵証明書を、第3実施形態と同様な公開鍵証明書に更新するための手順を示す。
まず、セキュリティ装置10yは、譲渡先のIDカード5Bを認証し(ST61)、譲渡先所有者のハッシュキーMI’を取得する(ST62)。
続いて、セキュリティ装置10yは、更新依頼と譲渡先所有者のハッシュキーMI’とを認証局20に送信する(ST63,ST64)。さらに、セキュリティ装置10yは、認証局20に対してVMK’の公開鍵証明書CERT’を送信する(ST65)。
認証局20は、公開鍵証明書CERT’が確かに譲渡元の電子鍵データ署名生成鍵SMKにより生成された証明書であることを、事前に登録されている譲渡元所有者の電子鍵データ署名検証鍵VMKを用いて検証する(ST66)。
検証に成功した場合、認証局20は、ハッシュキーMI’と電子鍵データ署名検証鍵VMK’を新たな所有者の情報として登録し(ST67),譲渡元所有者に発行した電子鍵署名検証鍵VMKの公開鍵証明書の無効化を含む公開証明書の無効化リストをセキュリティ装置10yに返送する(ST68)。
同時に、譲渡先の電子鍵データ署名検証鍵VMK’に対して公開鍵証明書を生成し、セキュリティ装置10yに返送する(ST69)。
セキュリティ装置10yは、無効化リストの正当性を証明書情報格納領域14y内の電子鍵データ署名検証鍵VTKで検証し、正当ならば証明書情報格納領域14y内に無効化リストを格納する。
同時に、セキュリティ装置10yは、電子鍵データ署名検証鍵VMK’に対する公開鍵証明書の正当性を証明書情報格納領域14y内の電子鍵データ署名検証鍵VTKで検証し、正当ならば証明書情報格納領域14y内に公開鍵証明書を格納する。
以上の手順により、セキュリティ装置10y内及び認証局20は、両者間の通信か一時的に途絶えていたとしても、第3の実施形態と同様の情報を得ることができる。
(第5の実施形態)
次に、本発明の第5の実施形態について説明する。
本実施形態では、所有者が電子鍵2Mを紛失した場合でも、認証局20との通信により新しい電子鍵を再発行することが可能な例を、図18を参照して詳細に説明する。
まず、セキュリティ装置10yは、所有者のIDカード5Mを認証し(ST72)、IDカード5Mから所有者のハッシュキーMIを取得する(ST73)。
次に、セキュリティ装置10yは、認証局20に対して電子鍵の再発行依頼を行うとともに(ST74)、所有者のハッシュキーMIを送信する(ST75)。
認証局20は、ハッシュキーMIが事前に登録された所有者のものであることを検証する(ST76)。正当であれば、紛失した電子鍵に含まれるマスター鍵MKとは異なる新たなマスター鍵MK’を生成し、以下の情報をセキュリティ装置10yに返送する(ST77,ST78)。
ここで、ステップST77,ST78は、所有者及び電子鍵の認証が図9〜図11のどの場合によるかで異なる。
図9による場合、認証局20は、新たなマスター鍵MK’と、新たなマスター鍵MK’により暗号化されたエンジンマスター鍵EM(EK)’をセキュリティ装置に返送する。
図10による場合、認証局20は、所有者のハッシュキーで暗号化された新たなマスター鍵MK’と、新たなマスター鍵MK’により暗号化されたエンジンマスター鍵EM(EK)’をセキュリティ装置に返送する。
図11による場合、認証局20は、新たなマスター鍵MK’と、新たなマスター鍵MK’及び所有者のハッシュキーMIにより暗号化されたエンジンマスター鍵EM(EK)’をセキュリティ装置10yに返送する。
次に、セキュリティ装置10yは、鍵情報格納領域11xに格納された電子鍵通信鍵KKを用いて新たな電子鍵2rと相互認証を行い(ST79)、認証局20から送られてきた新たなエンジンマスター鍵MK’又は暗号化された新たなマスター鍵MK’を電子鍵2r内の耐タンパ領域に格納する(ST80)。
同時に、鍵情報格納領域11xに格納された、暗号化されたエンジンマスター鍵を、認証局20から送られてきた暗号化されたエンジンマスター鍵EM(EK)’に置き換えて格納する(ST81)。
以上の手順により、紛失した電子鍵を利用することが不可能となり、新たな電子鍵が利用可能となる。また、事前に登録されている利用者の電子鍵は変更することなく利用可能である。
なお、上記各実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が本実施形態を実現するための各処理の一部を実行しても良い。
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶又は一時記憶した記憶媒体も含まれる。
また、記憶媒体は1つに限らず、複数の媒体から本実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、本実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
なお、本願発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。
【産業上の利用可能性】
本発明によれば、電子鍵データ又は電子鍵装置をコピーされた際にも、車両の盗難を防止することができる。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【技術分野】
本発明は、セキュリティ装置、車両用認証装置、方法及びプログラムに関する。
【背景技術】
従来、車両の盗難防止を図る観点から、キーレスエントリ方式やイモビライザ方式といった電子鍵方式が知られている(例えば、日本国特許第2506136号公報及び日本国特許第2697605号公報など参照)。
ここで、キーレスエントリ方式は、例えば、電子鍵装置が電子鍵データを赤外線方式で発射し、電子鍵データの照合により、ドアの開閉やエンジンの始動を行なうものである。イモビライザ方式は、例えば、電子鍵装置を鍵穴に差し込むと、電子鍵装置から電子鍵のIDを送信し、IDの照合によりエンジンを始動させるものである。
この種の電子鍵方式は、鍵穴やスペア鍵などから鍵の複製を作り得る物理的な鍵方式に比べ、鍵の複製を作りにくい。このため、電子鍵方式は、車両の盗難をより防止し易い技術となっている。
しかしながら、以上のようなキーレスエントリ方式やイモビライザ方式の電子鍵では、次のような方法(i)〜(ii)により、車両の盗難が可能となる心配がある。
(i)赤外線方式で発射される電子鍵データをコピーする方法。
(ii)電子鍵のIDを盗むことにより電子鍵装置をコピーする方法。
これらの方法(i)〜(ii)は、例えばディーラーと犯罪者が巧妙に連携した場合、実現がより容易となることから、何らかの対策を講じる必要があると考えられる。
また、販売、転売を含む車両の譲渡において、譲渡前に譲渡元が電子鍵をコピーした場合、譲渡後にも譲渡元が車両を運転可能となるので、車両が盗まれる不安がある。
【発明の開示】
本発明の目的は、電子鍵データ又は電子鍵装置をコピーされたとしても、車両の盗難を阻止し得るセキュリティ装置、車両用認証装置、方法及びプログラムを提供することにある。
本発明の第1の局面は、エンジン始動情報により走行可能な車両に搭載され、電子鍵データKを記憶した電子鍵装置に基づいて前記車両の利用者を認証する車両用認証装置に用いられるセキュリティ装置であって、前記電子鍵データKによりエンジンマスター鍵EKが暗号化されてなる暗号化エンジンマスタ鍵E(EK)が格納される鍵情報格納手段と、個人情報、証明書C及び利用者固有鍵Iを記憶したID装置内の証明書Cを検証するためのID装置証明書検証鍵CKが格納される証明書情報格納手段と、前記ID装置から入力された証明書Cを前記証明書情報格納手段内のID装置証明書検証鍵CKを用いて検証し、当該ID装置の正当性を確認する手段と、前記正当性を確認した後、入力された利用者認証情報をID装置に検証させる手段と、このID装置による検証結果が成功したとき、当該ID装置から入力される利用者固有鍵I及び前記電子鍵装置から入力される電子鍵データKを用いて、利用者及び電子鍵を認証する手段と、前記利用者及び電子鍵の認証が成功したとき、前記電子鍵データKに基づいて、前記暗号化エンジンマスター鍵E(EK)を復号し、エンジンマスター鍵EKを得る手段と、このエンジンマスター鍵EKを用いて前記エンジン始動情報を作成する手段と、得られたエンジン始動情報を出力する手段と、を備えたセキュリティ装置である。
従って、本発明の第1の局面では、ID装置から入力された証明書CをID装置証明書検証鍵CKを用いて検証し、ID装置の正当性を確認すると、入力された利用者認証情報をID装置に検証させ、ID装置による検証結果が成功したとき、ID装置内の利用者固有鍵I及び電子鍵装置内の電子鍵データKを用いて、利用者及び電子鍵を認証し、利用者及び電子鍵の認証が成功したとき、エンジン始動情報を作成する。
このように、電子鍵の認証とは別に、ID装置の認証と利用者認証情報の認証とを実行し、全ての認証が成功したときにエンジン始動情報を作成するので、電子鍵データ又は電子鍵装置をコピーされたとしても、車両の盗難を阻止することができる。
【図面の簡単な説明】
図1は本発明の第1の実施形態に係る車両用認証装置の構成を示す模式図である。
図2は同実施形態における全体動作を説明するためのフローチャートである。
図3〜図5は同実施形態における利用者及び電子鍵認証の第1〜第3の具体例を説明するためのフローチャートである。
図6は本発明の第2の実施形態に係る車両用認証装置の構成を示す模式図である。
図7及び図8は同実施形態における全体動作を説明するためのフローチャートである。
図9〜図11は同実施形態における利用者及び電子鍵認証の第1〜第3の具体例を説明するためのフローチャートである。
図12は本発明の第3の実施形態に係る電子鍵システムの構成を示す模式図である。
図13及び図14は同実施形態における動作を説明するためのシーケンス図である。
図15は本発明の第4の実施形態を説明するためのシーケンス図である。
図16及び図17は同実施形態を説明するためのシーケンス図である。
図18は本発明の第5の実施形態を説明するためのシーケンス図である。
【発明を実施するための最良の形態】
以下、本発明の各実施形態について図面を参照しながら説明する。
(第1の実施形態)
図1は本発明の第1の実施形態に係る車両用認証装置の構成を示すブロック図である。この車両用認証装置は、自動車などの車両に搭載され、電子鍵読取装置1、利用者情報入力装置3、IDカード読取装置4、通信装置6及びエンジン制御装置7がセキュリティ装置10に接続されている。
ここで、電子鍵読取装置1は、携帯可能な電子鍵2を着脱自在に保持し、電子鍵2から読み出したデータをセキュリティ装置10に送信する機能と、セキュリティ装置10から受信したデータを電子鍵2に入力する機能とをもっている。
電子鍵(電子鍵装置)2は、例えば一般的なキーレスエントリやイモビライザシステム対応の電子鍵や接触・非接触などの形態のICカードが使用可能となっており、具体的には、電子鍵通信鍵KKと、電子鍵データK又は暗号化電子鍵データE(K)とが記憶される耐タンパー領域を備えている。ここで、利用者の電子鍵データKは、エンジンマスター鍵EKを復号するためのものであり、所有者の電子鍵データ署名生成鍵SMKで生成された署名(デジタル署名)が含まれている。また、電子鍵通信鍵KKは通信のための認証鍵であり、メーカ出荷時に記憶されている。電子鍵データK又は暗号化電子鍵データE(K)は、鍵登録時に記憶される。
利用者情報入力装置3は、利用者を確認するための情報(例えば、PINコードや指紋などの生態情報)をセキュリティ装置10に入力するためのものである。
IDカード読取装置4は、携帯可能なIDカード5(例えば、ICカード免許証)を着脱自在に保持し、IDカード5から読み出したデータをセキュリティ装置10に送信する機能と、セキュリティ装置10から受信したデータをIDカード5に入力する機能とをもっている。
IDカード(ID装置)5は、通常のICカード機能を有し、IDカード読取装置4を介してセキュリティ装置10と通信可能なものであって、利用者個人を特定するための個人情報、この個人情報から生成されたハッシュキー(利用者固有鍵)I、車両の運転許可を受けた免許区分情報L、及び、権威ある特定の機関から発行された証明書Cが記憶されている。ここで、個人情報、ハッシュキーI、免許区分情報L及び証明書Cは、IDカード発行時に記憶される。なお、IDカード5内のデータは、特定の権限を持つ者のみが読出/書込可能であり、IDカードの所有者は読出可能であるが書込不可となっている。
また、IDカード5は、カード形状のID装置に限らず、例えば、携帯電話、電子手帳、パソコン、IDタグ、ペンダント、バッジ又は電子ブックなどの任意のID装置に変更可能となっている。この場合、同様に、IDカード読取装置4はIDカードの読取装置に限らず、任意のID装置の読取装置に変更可能なことは言うまでもない。
通信装置6は、車両外部とセキュリティ装置10との間の通信機能をもっている。
エンジン制御装置7は、エンジンマスター鍵EKがメーカ出荷時に格納される耐タンパー領域を有し、このエンジンマスター鍵EKを用いてセキュリティ装置10との間で相互認証を行なう機能と、相互認証が成功したとき、セキュリティ装置10からエンジン始動情報Sを受けると、エンジンを制御する機能とをもっている。なお、エンジンマスター鍵EKは、エンジンを始動するための認証鍵である。エンジン始動情報Sは、セキュリティ装置10内でエンジンマスター鍵EKを用いて生成される。また、「エンジン」の用語は動力発生機を意味しており、内燃機関に限らず、モータをも包含する。
一方、セキュリティ装置10は、IDカード5や電子鍵2の正当性の検証、利用者の確認などのセキュリティ処理を行うためのものであり、具体的には、鍵情報格納領域11、利用者情報格納領域12、車両情報格納領域13、証明書情報格納領域14、プログラム格納領域15、入出力部16及び演算部17を備えている。
鍵情報格納領域11は、メーカーからの納車時に予め所有者(購買者)の電子鍵データMKに対応する暗号化エンジンマスター鍵EM(EK)、電子鍵データ署名検証鍵VMK及び電子鍵通信鍵KKとを格納し、利用の事前に、利用者の電子鍵データKに対応する暗号化エンジンマスター鍵E(EK)を格納するための領域である。
ここで、暗号化エンジンマスター鍵EM(EK)は、エンジンマスター鍵EKが、後述する電子鍵データMK及びハッシュキーMIにより暗号化されたものである。電子鍵データ署名検証鍵VMKは、電子鍵データKの署名を検証するための鍵である。
利用者情報格納領域12は、利用の事前に利用者の登録を行い、利用者のハッシュキー群を格納するための領域である。
車両情報格納領域13は、当該車両の車両区分情報Vがメーカ出荷時に格納されている領域である。車両区分情報Vは、当該車両が免許区分情報Lに対して運転可能か否かを判別するための情報である。
証明書情報格納領域14は、正当なIDカードであるかどうかを検証するための鍵であるIDカード証明書検証鍵CKがメーカ出荷時に格納されている領域である。IDカード証明書検証鍵CKは、IDカードの証明書Cの有効性を確認するための鍵である。
プログラム格納領域15は、演算部17を制御するためのプログラムが格納された領域である。ここで、プログラムは、具体的には図2と、図3〜図5のいずれかとの処理を演算部17に実行させるためのものである。
入出力部16は、セキュリティ装置10と外部の各装置1〜5との間で、データの送受信や利用者への入出力を行うものである。
演算部17は、セキュリティの演算、照合、認証などを行なうものであり、具体的には、各格納領域11〜15を参照しながら、プログラム格納領域15内のプログラムにより動作する車載CPUである。
次に、以上のように構成された車両用認証装置の動作を図2〜図5のフローチャートを用いて説明する。
(全体動作)
利用者は、車両に乗り込むと、IDカード5をIDカード読取装置4に提示する。
セキュリティ装置10は、図2に示すように、このIDカード読取装置4を通じてIDカード5から証明書C及び免許区分情報Lを読取る(ST1)。
セキュリティ装置10は、このIDカード5が正しい機関から発行されたIDカードであるか否かを確認するため、証明書情報格納領域14内のIDカード証明書検証鍵CKを用いて、証明書Cの正当性を確認する(ST2)。
正当性の確認に失敗した場合(ST2;NO)、セキュリティ装置10は、正しい機関から発行されたIDカードでないと判定し、ステップST1に戻る。
正当性の確認に成功した場合(ST2;NO)、セキュリティ装置10は、正しい機関から発行されたIDカードと判定し、続いて、免許区分情報Lとセキュリティ装置10内の車両情報格納領域13に設定された車両区分情報Vが合致するかどうかを確認する(ST3)。免許区分情報とは、第1種普通、第2種普通、第1種大型などの車両ごとの免許区分に関する情報を指す。
免許区分情報Lと車両区分情報Vが合致しない場合(ST3;NO)、当該車両の運転許可が与えられていないものとして、ステップST1に戻る。
合致する場合(ST3;YES)、当該車両の運転許可が与えられているものと判定し、セキュリティ装置10は、入出力部16の表示パネル等(図示せず)から利用者情報の入力を促す。
利用者は、利用者情報入力装置3を通じて、IDカード5内の利用者情報の読み取りを行うための利用者認証情報P(指紋などの生体認証情報やPINコード)を入力する。これにより、セキュリティ装置10には利用者認証情報Pが入力される(ST4)。
セキュリティ装置10は、入力された利用者認証情報PをIDカード読取装置4を通じてIDカード5に送信し、IDカード5に認証情報を検証させる(ST5)。
認証情報の検証に失敗した場合(ST5;失敗)、不正な利用者であるとして、失敗結果をセキュリティ装置10に返して、ステップST1へ戻る。
認証情報の検証に成功した場合(ST5;成功)、正しい利用者であるとして、IDカード5はハッシュキーIをセキュリティ装置10に返し、セキュリティ装置10はハッシュキーIを読み取って利用者情報格納領域12に格納する(ST6)。
次に、セキュリティ装置10は、電子鍵2を利用して、利用者及び電子鍵の認証を行い(ST7)、この認証に伴って鍵情報格納領域11に格納された暗号化エンジンマスター鍵E(EK)を復号する。このステップST7の詳細は、図3〜図5により後述する。
認証が失敗した場合(ST7;失敗)、不正な電子鍵の利用者であるとして、ステップST1に戻る。
認証が成功した場合(ST7;成功)、正しい電子鍵の利用者であるとして、セキュリティ装置10は、エンジン制御装置7との間で相互認証を行う(ST8)。なお、相互認証には、セキュリティ装置10内で復号されたエンジンマスター鍵EKと、エンジン制御装置7内に格納されたエンジンマスター鍵EKとが用いられる。
相互認証が失敗した場合(ST8;失敗)、少なくともどちらかが不正な装置であるとして、ステップST1に戻る。
相互認証が成功した場合(ST8;成功)、両者が正当な装置であるとして、セキュリティ装置10は、エンジンマスター鍵EKを用いて、エンジン制御装置7にエンジン始動情報Sを送信する(ST9)。
これにより、エンジン制御装置7は、エンジンを始動することが可能となる。
(ST7の第1具体例;利用者及び電子鍵認証)
次に、ステップST7の3通りの具体例を図3〜図5を用いて説明する。
図3はステップST7の第1の具体例を示すフローチャートである。
セキュリティ装置10は、ステップST6でIDカード5から読み取った利用者のハッシュキーIと、利用者情報格納領域12内のハッシュキー群Iとを照合する(ST7−1a)。照合の結果、ハッシュキーIと一致するものがない場合(ST7−2a;NO)、未登録の利用者であるとして、ステップST1に戻る。
一致するものがある場合(ST7−2a;YES)、登録済みの利用者であるとして、セキュリティ装置10は、入出力部16から利用者に電子鍵2の装着を促す。利用者は電子鍵2を電子鍵読取装置1に装着する。これにより、セキュリティ装置10は、電子鍵読取装置1を介して電子鍵2との間で相互認証を行なう(ST7−3a)。なお、相互認証には、セキュリティ装置10の鍵情報格納領域11内の電子鍵通信鍵KKと、電子鍵2に格納された電子鍵通信鍵KKとが用いられる。
相互認証が失敗した場合(ST7−3a;失敗)、少なくともどちらかが不正な装置であるとして、ステップST1に戻る。相互認証が成功した場合(ST7−3a;成功)、両者が正当な装置であるとして、電子鍵2は電子鍵データKをセキュリティ装置10に返し、セキュリティ装置10は電子鍵データKを読み取る(ST7−4)。
次に、セキュリティ装置10は、鍵情報格納領域11内の電子鍵データ署名検証鍵VMKを用いて、電子鍵データKの署名を検証する(ST7−5)。署名検証の結果、署名が不正な場合(ST7−5;失敗)、不正に発行された電子鍵として、ステップST1に戻る。
署名が正しい場合(ST7−5;成功)、正当に発行された電子鍵として、セキュリティ装置10は、鍵情報格納領域11から、電子鍵データKに対応する暗号化エンジンマスター鍵E(EK)を読み取る(ST7−6)。これにより、セキュリティ装置10は、電子鍵データKを用いて、暗号化エンジンマスター鍵E(EK)を復号し(ST7−7)、エンジンマスター鍵EKを得る。得られたエンジンマスター鍵EKは、後段のステップST8,ST9で用いられることは前述した通りである。
(ST7の第2具体例;利用者及び電子鍵認証)
図4はステップST7の第2の具体例を示すフローチャートである。ここでは、電子鍵データKは、ハッシュキーIを用いて暗号化された状態で電子鍵2に格納されているものとする。
利用者は用意した電子鍵2を電子鍵読取装置1に装着する。これにより、セキュリティ装置10は、電子鍵読取装置1を介して電子鍵2との間で相互認証を行なう(ST7−1b)。なお、相互認証には、セキュリティ装置10の鍵情報格納領域11内の電子鍵通信鍵KKと、電子鍵2に格納された電子鍵通信鍵KKとが用いられる。
相互認証が失敗した場合(ST7−1b;失敗)、少なくともどちらかが不正な装置であるとして、ステップST1に戻る。
相互認証が成功した場合(ST7−1b;失敗)、両者が正当な装置であるとして、スセキュリティ装置10は、ハッシュキーIを電子鍵読取装置1を通じて電子鍵2に送信する(ST7−2b)。電子鍵2は暗号化電子鍵データE(K)をセキュリティ装置10に送信し、セキュリティ装置10は暗号化電子鍵データE(K)を読取る(ST7−3b)。続いて、セキュリティ装置10は、この暗号化電子鍵データE(K)をハッシュキーIにより復号し、電子鍵データKを得る(ST7−4b)。
以下、前述同様にステップST7−5乃至ST7−7が実行される。
(ST7の第3具体例;利用者及び電子鍵認証)
図5はステップST7の第3の具体例を示すフローチャートである。ここでは、暗号化エンジンマスター鍵E(EK)は、ハッシュキーIと電子鍵データKを用いて暗号化された状態で鍵情報格納領域11に格納されているものとする。
図5に示すように、図3のステップST7−1a,ST7−2aが省略され、図3のステップST7−3a〜ST7−6が前述同様に実行される。
以下、セキュリティ装置10は、前述したステップST6で読み取った利用者のハッシュキーIと電子鍵データKを用いて、暗号化エンジンマスター鍵E(EK)を復号し(ST7−7c)、エンジンマスター鍵EKを得る。
上述したように本実施形態によれば、電子鍵の認証とは別に、IDカードの認証と利用者認証情報の認証とを実行し、全ての認証が成功したときにエンジン始動情報を作成するので、電子鍵データ又は電子鍵装置をコピーされたとしても、車両の盗難を阻止することができる。
これにより、例えば車両メーカーから車両を購買した所有者が、車両の利用のための電子鍵を新規に発行し、電子鍵と利用者のIDカードと併用したときのみエンジンの制御が可能となる。また、この電子鍵を発行するための発行鍵と所有者のIDカードと併用したときのみ、車両の利用のための電子鍵を発行可能とするため、ディーラーと犯罪者が結託したような状況においても、犯罪者による車両の盗難が生じにくくなる。
以上のような効果に加え、ステップST7の利用者及び電子鍵認証は、図3〜図5に示す各々の具体例において、以下の効果を得ることができる。
図3に示す例の場合、発行された電子鍵の情報と利用者固有の情報との間の紐付けが行われていないため、電子鍵2の発行時に利用者のIDカード5が不要である。つまり、電子鍵2の発行と利用者の登録とを非同期に行うことができる。
しかし、その一方で、ステップST7−2の利用者照合を何らかの手段で回避し、ステップST7−3に戻ることが可能になると、利用者認証が実現されなくなる危険性があるので、セキュリティ装置10のプログラムの改竄を阻止する機構が必要となる。
図4に示す例の場合、図3とは異なり、発行された電子鍵2の情報と利用者固有の情報との間の紐付けが行われているため、電子鍵2の発行時に利用者のIDカード5が必要となる。また、電子鍵2の利用時(エンジン始動時)もIDカード5が必要であり、また、電子鍵2を盗み、内部の電子鍵データKを得ようとしても、利用者のIDカード5の情報Iで暗号化されているため、利用者のIDカードなくして、盗用することは困難となる。
図5に示す例の場合、図3とは異なり、発行された電子鍵2の情報と利用者固有の情報との間の紐付けが行われているため、電子鍵2の発行時に利用者のIDカード5が必要となる。また、電子鍵の利用時(エンジン始動時)もIDカード5が必要である。しかし、図4の手法とは異なり、電子鍵2内の電子鍵データKは暗号化されていないため、何らかの手段で電子鍵データKを読み取ることが可能となれば、鍵の偽造が完全ではないが部分的に可能になるという危険性がある。このため、電子鍵データKは耐タンパーな領域に格納し、電子鍵2の分解などによる読み取りなどが不可能な状態にする必要がある。
(第2の実施形態)
図6は本発明の第2の実施形態に係る車両用認証装置の構成を示すブロック図であり、図1と同一部分には同一符号を付すと共に、変更部分にはアルファベットの添字M,r,x等を付すようにし、変更部分について主に説明する。なお、以下の各実施形態も同様にして同一部分の説明を省略する。
すなわち、本実施形態は、第1の実施形態の変形例であり、車両の所有者が利用者を登録する場合の構成を示している。なお、所有者と登録者とは、例えば家族同士の場合などが考えられる。
具合的な構成としては、前述した電子鍵読取装置1及びIDカード読取装置4と同様の機能を有する電子鍵登録装置1r及び登録用IDカード読取装置4rがセキュリティ装置に接続されている。また、セキュリティ装置10内では、車両情報格納領域13が省略され、秘密鍵情報格納領域18が設けられている。
また、前述した利用者の電子鍵2及びIDカード5に代えて、所有者の電子鍵2M及びIDカード5Mと、登録者の電子鍵2r及びIDカード5rとが用いられる。
ここで、電子鍵2Mは、例えば前述した電子鍵やICカードが使用可能となっており、具体的には、電子鍵通信鍵KKと、所有者の電子鍵データMK又は暗号化電子鍵データE(MK)とが記憶される耐タンパー領域を備えている。ここで、所有者の電子鍵データMKには、メーカが管理する電子鍵データ署名生成鍵STKで生成された署名が含まれている。また、電子鍵通信鍵KKはメーカ出荷時に記憶されており、電子鍵データMK又は暗号化電子鍵データE(MK)は、鍵登録時に記憶される。
登録者の電子鍵2rは、具体的には、電子鍵通信鍵KKと、利用者の電子鍵データK又は暗号電子鍵データE(K)とが記憶される耐タンパー領域を備えている。但し、ここでは電子鍵データK及び暗号電子鍵データE(K)はいずれも未登録の状態であるとする。また、電子鍵通信鍵KKはメーカ出荷時に記憶されている。
所有者のIDカード5Mは、通常のICカード機能を有し、IDカード読取装置4を介してセキュリティ装置10と通信可能なものであって、所有者個人を特定するための個人情報、この個人情報から生成されたハッシュキーMI、及び、権威ある特定の機関から発行された証明書MCが記憶されている。
登録者のIDカード5rは、前述した利用者のIDカード5と同様のものである。また、IDカード5M,5r内のデータは、前述同様に、特定の権限を持つ者のみが読出/書込可能であり、IDカードの所有者は読出可能であるが書込不可となっている。
一方、鍵情報格納領域11xは、前述した鍵情報EM(EK),VMK,KK,E(EK)に加え、車両メーカーにより生成された署名を検証するための電子鍵データ署名検証鍵VTKが格納されている。
証明書情報格納領域14xは、前述した利用者(登録者)のIDカード証明書検証鍵CKに加え、所有者の正当なIDカード5Mであるか否かを検証するための鍵であるIDカード証明書検証鍵MCKがメーカ出荷時に格納されている。補足すると、IDカード証明書検証鍵MCKは、IDカード5M内の証明書MCの有効性を確認するための鍵である。
プログラム格納領域15xは、前述したプログラムに代えて、図7及び図8と図9〜図11のいずれかとの処理を演算部17に実行させるためのプログラムが格納されている。
秘密鍵情報格納領域18は、車両メーカーからの予め所有者(購買者)の電子鍵データ署名生成鍵SMKを格納するための領域である。電子鍵データ署名生成鍵SMKは、電子鍵データKの署名を作成するための鍵である。この秘密鍵情報格納領域18は、所有者のIDカード5M内のハッシュキーMIのみを用いて、読取り可能となっている。
次に、以上のように構成された車両用認証装置の動作を図7〜図11のフローチャートを用いて説明する。
(全体動作)
図7及び図8に示すように、所有者が、新規の利用者を登録し、新規の鍵を発行する際には、所有者の電子鍵2M、IDカード5M、及び、新規に登録する利用者の登録用IDカード5rを用意する。
所有者は、車両に乗り込むと、IDカード5MをIDカード読取装置4に提示する。
セキュリティ装置10xは、このIDカード読取装置4を通じてIDカード5Mから証明書MCを読取る(ST11)。 セキュリティ装置10xは、IDカード5Mを確認するため、証明書情報格納領域14x内のIDカード証明書検証鍵MCKを用い、証明書MCの正当性を確認する(ST12)。
正当性の確認に失敗した場合(ST12;NO)、セキュリティ装置10xは、正しい機関から発行されたIDカードでないと判定し、ステップST11に戻る。
正当性の確認に成功した場合(ST12;NO)、セキュリティ装置10xは、正しい機関から発行されたIDカードと判定し、入出力部16xの表示パネル等(図示せず)から利用者情報の入力を促す。
所有者は、利用者情報入力装置3を通じて、IDカード5M内の利用者情報の読み取りを行うための所有者認証情報OP(指紋などの生体認証情報やPINコード)を入力する。これにより、所有者認証情報OPはセキュリティ装置10xに入力される(ST13)。
セキュリティ装置10xは、この利用者認証情報OPをIDカード読取装置4を通じてIDカード5Mに送信し、IDカード5Mに認証情報を検証させる(ST14)。
認証情報の検証に失敗した場合(ST14;失敗)、不正な所有者であるとして、失敗結果をセキュリティ装置10xに返して、ステップST11へ戻る。
認証情報の検証に成功した場合(ST14;成功)、正しい所有者であるとして、IDカード5MはハッシュキーMIをセキュリティ装置10xに返し、セキュリティ装置10xはハッシュキーMIを読み取る(ST15)。
次に、セキュリティ装置10xは、電子鍵2Mを利用して、所有者及び電子鍵の認証を行い(ST16)、この認証に伴って鍵情報格納領域11xに格納された暗号化エンジンマスター鍵EM(EK)を復号する。このステップST16の詳細は、図9〜図11により後述する。
認証が失敗した場合(ST16;失敗)、不正な電子鍵2Mの所有者であるとして、ステップST11に戻る。
認証が成功した場合(ST16;成功)、正しい電子鍵2Mの所有者であるとして、セキュリティ装置10xは、登録用IDカード5rの提示を所有者に促す。所有者は、登録用IDカード5rを登録用IDカード読取装置4rに提示する。
セキュリティ装置10xは、登録用IDカード読取装置4rを通じてIDカード5rから証明書Cを読取る(ST17)。
セキュリティ装置10xは、IDカード5rを確認するため、証明書情報格納領域14x内のIDカード証明書検証鍵CKを用い、証明書Cの正当性を確認する(ST18)。
正当性の確認に失敗した場合(ST18;NO)、セキュリティ装置10xは、正しい機関から発行されたIDカードでないと判定し、ステップST11に戻る。
正当性の確認に成功した場合(ST18;NO)、セキュリティ装置10xは、正しい機関から発行されたIDカードと判定し、次のステップに進む。
次のステップは、前述したステップST16の詳細が図10又は図11による場合は、ステップST19である。また、ステップST16の詳細が図9による場合は、ステップST22である。
ステップST19においては、所有者は、利用者に立ち会ってもらい、利用者によって、利用者情報入力装置3を通じて、登録用IDカード5r内の利用者情報の読み取りを行うための利用者認証情報P(指紋などの生体認証情報やPINコード)の入力を行う。これにより、利用者認証情報Pはセキュリティ装置10xに入力される(ST19)。
セキュリティ装置10xは、この利用者認証情報Pを登録用IDカード読取装置4rを通じて登録用IDカード5rに送信し、登録用IDカード5rに認証情報を検証させる(ST20)。
認証情報の検証に失敗した場合(ST20;失敗)、不正な利用者であるとして、失敗結果をセキュリティ装置10xに返して、ステップST11へ戻る。
認証情報の検証に成功した場合(ST20;成功)、正しい利用者であるとして、IDカード5rはハッシュキーIをセキュリティ装置10xに返し、セキュリティ装置10xはハッシュキーIを読み取る(ST21)。
次に、セキュリティ装置10xは、ステップST15で読み取ったハッシュキーMIを用いて、秘密鍵情報格納領域18内の電子鍵データ署名生成鍵SMKを読み取り、この鍵SMKを用いて、新規の電子鍵データKを生成する(ST22)。
また、電子鍵データ署名生成鍵SMKが電子鍵2M内に格納されている場合、セキュリティ装置10xは、ステップST15で読み取ったハッシュキーMIを電子鍵2Mに送信し、電子鍵2Mが電子鍵データKを生成し、セキュリティ装置10xに返す。
なお、ステップST16の詳細が図10による場合は、セキュリティ装置10xは、ステップST21で読み取ったハッシュキーIを用いて、電子鍵データKを暗号化し、暗号化電子鍵データE(K)を生成する。
続いて、所有者は、用意した新規電子鍵2rを電子鍵登録装置1rに装着する。
これにより、セキュリティ装置10xは、電子鍵登録装置1rを介して電子鍵2rとの間で相互認証を行なう(ST23)。なお、相互認証には、セキュリティ装置10xの鍵情報格納領域11x内の電子鍵通信鍵KKと、電子鍵2r内の電子鍵通信鍵KKとが用いられる。
相互認証が失敗した場合(ST23;失敗)、少なくともどちらかが不正な装置であるとして、ステップST11に戻る。相互認証が成功した場合(ST23;成功)、両者が正当な装置であるとして、セキュリティ装置10xは、電子鍵2rに電子鍵データK、又は、暗号化電子鍵データE(K)を送信し、電子鍵2rは受信した電子鍵データを耐タンパーな領域に格納する(ST24)。
続いて、ステップST25においては、ST16の詳細が図9,図10又は図11による場合でそれぞれ以下の処理を実行する。
ST16の詳細が図9による場合、セキュリティ装置10xは、電子鍵データKを用いて、セキュリティ装置10x内で復号されたエンジンマスター鍵EKを暗号化し、鍵情報格納領域11xに暗号化エンジンマスター鍵E(EK)を登録する。
また、ST16の詳細が図10による場合、セキュリティ装置10xは、電子鍵データKを用いて、セキュリティ装置10x内で復号されたエンジンマスター鍵EKを暗号化し、鍵情報格納領域11xに暗号化エンジンマスター鍵E(EK)を登録する。
ST16の詳細が図11による場合、セキュリティ装置10xは、ステップST21で読み取った利用者のハッシュキーIと電子鍵データKを用いて、セキュリティ装置10x内で復号されたエンジンマスター鍵EKを暗号化し、鍵情報格納領域11xに暗号化エンジンマスター鍵E(EK)を登録する。
以上により、電子鍵2rの登録が完了する。なお、ST16の詳細が図9による場合、セキュリティ装置10xは利用者情報格納領域12へのハッシュキーIの登録を、利用の事前であれば、鍵の発行と同じタイミングに限らず、任意のタイミングで行なうことができる。
(ST16の第1具体例;利用者及び電子鍵認証)
次に、ステップST16の3通りの具体例を図9〜図11を用いて説明する。
図9はステップST16の第1の具体例を示すフローチャートであり、前述した図3と同様の処理内容となっている。
すなわち、セキュリティ装置10xは、所有者のハッシュキーMIを照合し(ST16−1a)、電子鍵2Mとの相互認証を行なう(ST16−3a)。また、セキュリティ装置10xは、電子鍵データMKを読み取り(ST16−4)、電子鍵データ署名検証鍵VTKを用いて電子鍵データMKの署名を検証し(ST16−5)、暗号化エンジンマスター鍵EM(EK)を読み取る(ST16−6)。また、セキュリティ装置10xは、電子鍵データMKを用いて暗号化エンジンマスター鍵EM(EK)を復号し(ST7−7)、エンジンマスター鍵EKを得る。
(ST16の第2具体例;利用者及び電子鍵認証)
図10はステップST16の第2の具体例を示すフローチャートであり、前述した図4と同様の処理内容となっている。
すなわち、電子鍵データMKは、ハッシュキーMIを用いて暗号化された状態で電子鍵2Mに格納されている。
セキュリティ装置10xは、電子鍵2Mとの相互認証を行ない(ST16−1b)、ハッシュキーMIを電子鍵2に送信し(ST16−2b)、暗号化電子鍵データE(MK)を読取る(ST16−3b)。また、セキュリティ装置10xは、暗号化電子鍵データE(MK)をハッシュキーMIにより復号し、電子鍵データMKを得る(ST16−4b)。以下、前述同様にステップST7−5乃至ST7−7が実行される。
(ST16の第3具体例;利用者及び電子鍵認証)
図11はステップST16の第3の具体例を示すフローチャートであり、前述した図5と同様の処理内容となっている。
すなわち、暗号化エンジンマスター鍵EM(EK)は、ハッシュキーMIと電子鍵データMKを用いて暗号化されている。
図11に示すように、図9のステップST16−1a,ST16−2aが省略され、図9のステップST16−3a〜ST16−6が前述同様に実行される。
以下、セキュリティ装置10xは、前述したステップST15で読み取った利用者のハッシュキーMIと電子鍵データMKを用いて、暗号化エンジンマスター鍵EM(EK)を復号し(ST16−7c)、エンジンマスター鍵EKを得る。
(電子鍵の無効化処理)
次に、電子鍵の無効化の実現手法を述べる。
個々の利用者の電子鍵Kを無効化する場合は、図1の利用者情報格納領域12及び鍵情報格納領域11に格納された、利用者のハッシュキーI及び利用者の暗号化エンジンマスター鍵E(EK)を削除する。これにより、この利用者の電子鍵Kを無効化でき、この電子鍵Kで車両の利用が不可能となる。
発行された全ての利用者の電子鍵Kを無効化する場合は、以下の通りである。
所有者の電子鍵データ署名生成鍵SMK、電子鍵データ署名検証鍵VMKは、公開鍵暗号方式の鍵対となっており、電子鍵データ署名検証鍵VMKには車両メーカーから発行された公開鍵証明書が付与されている。従って、車両メーカーにより、この公開鍵証明書を無効化し、ネットワークを通じて公開された無効化リストを図1の通信装置6を通じて受信させる。ここで、図3、図4又は図5の各ステップST7−5において、電子鍵データ署名検証鍵VMKに付与された公開鍵証明書がこの無効化リストに記載の公開鍵証明書であるか否かを検査し、無効化された公開鍵証明書であれば、署名検証を失敗とする。これにより、電子鍵Kを無効化でき、全ての利用者の電子鍵で車両の利用が不可能となる。
また、同様に、車両メーカーの電子鍵データ署名生成鍵STK、電子鍵データ署名検証鍵VTKは公開鍵暗号方式の鍵対となっており、電子鍵データ署名検証鍵VTKには陸運局などの権威ある機関から発行された公開鍵証明書が付与されている。従って、車両の廃車時には、陸運局などの権威ある機関により、この公開鍵証明書を無効化し、ネットワークを通じて公開された無効化リストを図6の通信装置6を通じて受信させる。ここで、図3、図4又は図5の各ステップST7−5において、電子鍵データ署名検証鍵VTKに付与された公開鍵証明書がこの無効化リストに記載の公開鍵証明書であるか否かを検査し、無効化された公開鍵証明書であれば、署名検証を失敗とする。これにより、電子鍵MKを無効化でき、この電子鍵MKでは車両の電子鍵の発行が不可能となる。
上述したように本実施形態によれば、利用者の電子鍵2rを発行するための電子鍵MKを用意し、この電子鍵MKも同様に所有者のIDカード2Mと併用したときのみ車両の利用のための電子鍵を発行可能とするので、ディーラーと犯罪者が結託したような状況においても、犯罪者から車両の盗難を可能な限り防止する。
また、複数の利用者で車両を利用する場合に、複製の電子鍵を作ることなく、利用者ごとに新規に電子鍵を発行し、車両を利用可能にする。また、利用者毎に電子鍵を無効化し、車両を利用不可能にする。このように、利用者毎に車両を利用可能又は不可能にできるので、レンタカーのような運用をしつつ、レンタカーの盗難などを防止でき、安全な車両のレンタルが可能となる。
また、環境問題などにより、該当する車両が利用不可能になった場合に、すべての利用者及び所有者の電子鍵を無効化することで、車両の利用を不可能にし、且つ利用者の電子鍵を新規に発行不可能にして廃車手続きを促し、違法車両を公道から撤廃することが可能となる。
また、販売、転売を含む車両の譲渡において、譲渡元による車両鍵(電子鍵)の利用を無効化し、譲渡先に譲渡された車両鍵(電子鍵)を譲渡先の所有者に関連付けて有効化することが可能となり、車両盗難に対する安全性を向上できる。
以上のような効果に加え、ステップST16の利用者及び電子鍵認証は、図9〜図10に示す各々の具体例において、前述した図3〜図5と同様の効果を得ることができる。
(第3の実施形態)
図12は本発明の第3の実施形態に係る車両用認証装置の構成を示すブロック図である。すなわち、本実施形態は、第2の実施形態の変形例であり、通信装置6と通信可能な認証局20を備えている。また、登録用の電子鍵登録装置1r及び登録用IDカード読取装置4rをそれぞれ省略し、利用時及び登録時のいずれも1台の電子鍵読取装置1及びIDカード読取装置4を用いることとした。
ここで、認証局20は、車両メーカーが運営してもよく、陸運局などの車両を一括して管理する機関が運営しても良く、いずれも広く信頼できる機関により運用されるとする。
また、証明書情報格納領域14yは、前述した検証鍵MCK,CKに加え、CA公開鍵証明書、認証局20により生成された署名を検証するための電子鍵データ署名検証鍵VTKに対する公開鍵証明書、電子鍵データ署名検証鍵VMKに対する公開鍵証明書、が格納されている。但し、電子鍵データ署名検証鍵VTKに対する公開鍵証明書、および、電子鍵データ署名検証鍵VMKに対する公開鍵証明書は、第2の実施形態と同様に鍵情報格納領域11xに格納されていてもよい。なお、他にも証明書情報格納領域14yは、公開鍵証明書の無効化リストを格納可能としている。
プログラム格納領域15yは、前述したプログラムに代えて、図13及び図14の処理を演算部17に実行させるためのプログラムが格納されている。このプログラムは、後述する各実施形態においては図15〜図18の処理を実行させるためのものとする。
次に、以上のように構成された車両用認証装置の動作を図13及び図14のシーケンス図を用いて詳細に説明する。
車両を譲渡する際、以下の手順で電子鍵2Mを譲渡する。このとき、譲渡元所有者のIDカード5A及び譲渡先所有者のIDカード5Bを用いる。
始めに図13に示すように、セキュリティ装置10yは、譲渡元のIDカード5Aを認証し(ST32)、IDカード5Aから譲渡元所有者のハッシュキーMIを取得する(ST33)。
また、セキュリティ装置10yは、図9〜図11のいずれかの手法により、所有者を認証し(ST34)、この認証に伴って鍵情報格納領域11xに格納された暗号化エンジンマスター鍵EM(EK)を復号する。
その後、セキュリティ装置10yは、通信装置6を介して認証局20に無効化依頼を行い(ST35)、譲渡元所有者のハッシュキーMIを送信する(ST36)。
認証局20は、ハッシュキーMIが事前に登録された所有者のものであることを検証し(ST37)、正当であれば当該所有者に発行した電子鍵署名検証鍵VMKの公開鍵証明書の無効化を含む公開証明書の無効化リストをセキュリティ装置10yに返送する(ST38)。
セキュリティ装置10yは、無効化リストの正当性を証明書情報格納領域14y内の電子鍵データ署名検証鍵VTKで検証し(ST39)、正当ならば証明書情報格納領域14y内に無効化リストを格納する(ST40)。
次に、セキュリティ装置10yは、図14に示すように、譲渡先のIDカード5Bを認証し(ST41)、IDカード5Bから譲渡先所有者のハッシュキーMI’を取得する(ST42)。その後、セキュリティ装置10yは、通信装置6を介して認証局20に新たな公開鍵証明書発行依頼を行い(ST43)、ハッシュキーMI’を送信する(ST44)。
また、セキュリティ装置10y内で公開鍵ペアを生成し(ST45)、秘密鍵を電子鍵データ署名生成鍵SMK’として秘密鍵格納領域18に格納し、公開鍵を電子鍵データ署名検証鍵VMK’として認証局20に送信する。
認証局20は、ハッシュキーMI’と電子鍵データ署名検証鍵VMK’を新たな所有者の情報として登録し(ST46)、電子鍵データ署名検証鍵VMK’に対する公開鍵証明書を発行し、この公開鍵証明書をセキュリティ装置10yに返送する(ST47)。
セキュリティ装置10yは、証明書情報格納領域14y内の電子鍵データ署名検証鍵VTKを用いて、送られてきたVMK’に対する公開鍵証明書の正当性を検証し(ST48)、正当ならば証明書情報格納領域14yに格納する。
次に、セキュリティ装置10yは、電子鍵2M内の電子鍵データMKと、鍵情報格納領域11x内の暗号化エンジンマスター鍵EM(EK)について、所有者のハッシュキーMI’との関連付けを更新する(ST49)。
ここで、ステップST49は、前述したステップST34が図9〜図11のどの場合によるかで異なる。
図9による場合、ステップST49は、利用者情報格納領域12に予め格納されていた譲渡元所有者ハッシュキーMIを譲渡先所有者のハッシュキーMI’に更新する。
図10による場合、ステップST49は、電子鍵2M内の譲渡元所有者ハッシュキーMIで暗号化されている電子鍵データMKを取り出し、このハッシュキーMIで復号した後、再度、譲渡先所有者のハッシュキーMI’にて暗号化した電子鍵データMK’を、電子鍵2M内の譲渡元所有者ハッシュキーMIで暗号化されている電子鍵データMKに置き換えて電子鍵2M内に格納する。
図11による場合、電子鍵データMKと譲渡先所有者のハッシュキーMI’で暗号化したエンジンマスター鍵を、鍵情報格納領域11xに格納されている電子鍵データMKと譲渡元所有者のハッシュキーMIにより暗号化されているエンジンマスター鍵に置き換えて格納する。
以上を実行した後、電子鍵2Mを譲渡元所有者から譲渡先所有者に譲渡する。これにより、譲渡元所有者が登録した利用者の電子鍵は利用不可能となり、また、譲渡元所有者が譲渡した電子鍵を使用することが出来なくなる。
上述したように本実施形態によれば、認証局20により無効化リスト及び新たな公開鍵証明書を発行してもらう構成により、電子鍵2Mを安全に譲渡することができる。
(第4の実施形態)
次に、本発明の第4の実施形態について説明する。
本実施形態では、認証局20と車両の間で一時的に通信が行えない状況、又は通信を行わない電子鍵の譲渡に応用した例を図15〜図17を参照して詳細に説明する。
電子鍵の譲渡を行う際、常に通信を行える状況とは限らない。例えば、車両販売店舗が屋内又は地下にある場合などである。この場合、第3の実施形態では通信を行う装置を販売店が別途用意するか、又は一度屋外に出る必要があり、実施の手間や設備投資の負荷が生じる。また、認証局20がメンテナンス等で一時的にダウンしていた場合、電子鍵の譲渡が出来ない状況になり、システムとして不完全といえる。また、通信が行える状況であっても、通信を伴った処理は通信遅延など負荷が生じるため、通信を行わずに実施可能であることが望ましい。
本実施形態は、これらの要望を満たすため、通信を行わずに電子鍵2Mを譲渡可能とする。そして譲渡後に通信可能で、譲渡先所有者のIDカード5Bにアクセスできる状態の際、例えば車両走行中などに自動的に認証局20と通信を行い、第3実施形態と同様の情報を得るものである。
始めに、前述したステップST32〜ST34と同様に、IDカード5Aの認証(ST52)、譲渡元所有者のハッシュキーMIの取得(ST53)及び図9〜図11の何れかによる所有者の認証(ST54)が行われ、この認証に伴って鍵情報格納領域11x内の暗号化エンジンマスター鍵EM(EK)が復号される。
次に、図16に示すように、セキュリティ装置10yは、前述したステップST41〜ST42と同様に、譲渡先のIDカード5Bを認証し(ST55)、譲渡先所有者のハッシュキーMI’を取得する(ST56)。
そして、セキュリティ装置10yは、内部で公開鍵ペアを生成し(ST57)、秘密鍵を電子鍵データ署名生成鍵SMK’として秘密鍵格納領域18に格納する。
一方、セキュリティ装置10yは、公開鍵を電子鍵データ署名検証鍵VMK’とし、秘密鍵情報格納領域18に格納されている譲渡元の電子鍵データ署名生成鍵SMKによる署名を付加したVMK’に対する公開鍵証明書CERT’を生成し(ST58)、公開鍵証明書CERT’を証明書情報格納領域14yに格納する。
以降、電子鍵データ署名生成鍵SMK’により生成された署名の検証は、この公開鍵証明書CERT’を用いて行う。
最後に、セキュリティ装置10yは、電子鍵2M内の電子鍵データMK、及び鍵情報格納領域内の暗号化エンジンマスター鍵EM(EK)と所有者のハッシュキーMI’の関連付けを、前述したステップST49と同様に更新する(ST59,ST60)。
次に、図17に示すように、通信が行える状態で、譲渡先所有者のIDカード5Bにアクセスできる状態になったとき、例えば車両走行中などに、セキュリティ装置10yが自動的に認証局20と通信を行う。ここで、電子鍵データ署名検証鍵VMK’に対する公開鍵証明書を、第3実施形態と同様な公開鍵証明書に更新するための手順を示す。
まず、セキュリティ装置10yは、譲渡先のIDカード5Bを認証し(ST61)、譲渡先所有者のハッシュキーMI’を取得する(ST62)。
続いて、セキュリティ装置10yは、更新依頼と譲渡先所有者のハッシュキーMI’とを認証局20に送信する(ST63,ST64)。さらに、セキュリティ装置10yは、認証局20に対してVMK’の公開鍵証明書CERT’を送信する(ST65)。
認証局20は、公開鍵証明書CERT’が確かに譲渡元の電子鍵データ署名生成鍵SMKにより生成された証明書であることを、事前に登録されている譲渡元所有者の電子鍵データ署名検証鍵VMKを用いて検証する(ST66)。
検証に成功した場合、認証局20は、ハッシュキーMI’と電子鍵データ署名検証鍵VMK’を新たな所有者の情報として登録し(ST67),譲渡元所有者に発行した電子鍵署名検証鍵VMKの公開鍵証明書の無効化を含む公開証明書の無効化リストをセキュリティ装置10yに返送する(ST68)。
同時に、譲渡先の電子鍵データ署名検証鍵VMK’に対して公開鍵証明書を生成し、セキュリティ装置10yに返送する(ST69)。
セキュリティ装置10yは、無効化リストの正当性を証明書情報格納領域14y内の電子鍵データ署名検証鍵VTKで検証し、正当ならば証明書情報格納領域14y内に無効化リストを格納する。
同時に、セキュリティ装置10yは、電子鍵データ署名検証鍵VMK’に対する公開鍵証明書の正当性を証明書情報格納領域14y内の電子鍵データ署名検証鍵VTKで検証し、正当ならば証明書情報格納領域14y内に公開鍵証明書を格納する。
以上の手順により、セキュリティ装置10y内及び認証局20は、両者間の通信か一時的に途絶えていたとしても、第3の実施形態と同様の情報を得ることができる。
(第5の実施形態)
次に、本発明の第5の実施形態について説明する。
本実施形態では、所有者が電子鍵2Mを紛失した場合でも、認証局20との通信により新しい電子鍵を再発行することが可能な例を、図18を参照して詳細に説明する。
まず、セキュリティ装置10yは、所有者のIDカード5Mを認証し(ST72)、IDカード5Mから所有者のハッシュキーMIを取得する(ST73)。
次に、セキュリティ装置10yは、認証局20に対して電子鍵の再発行依頼を行うとともに(ST74)、所有者のハッシュキーMIを送信する(ST75)。
認証局20は、ハッシュキーMIが事前に登録された所有者のものであることを検証する(ST76)。正当であれば、紛失した電子鍵に含まれるマスター鍵MKとは異なる新たなマスター鍵MK’を生成し、以下の情報をセキュリティ装置10yに返送する(ST77,ST78)。
ここで、ステップST77,ST78は、所有者及び電子鍵の認証が図9〜図11のどの場合によるかで異なる。
図9による場合、認証局20は、新たなマスター鍵MK’と、新たなマスター鍵MK’により暗号化されたエンジンマスター鍵EM(EK)’をセキュリティ装置に返送する。
図10による場合、認証局20は、所有者のハッシュキーで暗号化された新たなマスター鍵MK’と、新たなマスター鍵MK’により暗号化されたエンジンマスター鍵EM(EK)’をセキュリティ装置に返送する。
図11による場合、認証局20は、新たなマスター鍵MK’と、新たなマスター鍵MK’及び所有者のハッシュキーMIにより暗号化されたエンジンマスター鍵EM(EK)’をセキュリティ装置10yに返送する。
次に、セキュリティ装置10yは、鍵情報格納領域11xに格納された電子鍵通信鍵KKを用いて新たな電子鍵2rと相互認証を行い(ST79)、認証局20から送られてきた新たなエンジンマスター鍵MK’又は暗号化された新たなマスター鍵MK’を電子鍵2r内の耐タンパ領域に格納する(ST80)。
同時に、鍵情報格納領域11xに格納された、暗号化されたエンジンマスター鍵を、認証局20から送られてきた暗号化されたエンジンマスター鍵EM(EK)’に置き換えて格納する(ST81)。
以上の手順により、紛失した電子鍵を利用することが不可能となり、新たな電子鍵が利用可能となる。また、事前に登録されている利用者の電子鍵は変更することなく利用可能である。
なお、上記各実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が本実施形態を実現するための各処理の一部を実行しても良い。
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶又は一時記憶した記憶媒体も含まれる。
また、記憶媒体は1つに限らず、複数の媒体から本実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、本実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
なお、本願発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。
【産業上の利用可能性】
本発明によれば、電子鍵データ又は電子鍵装置をコピーされた際にも、車両の盗難を防止することができる。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【特許請求の範囲】
【請求項1】
エンジン始動情報により走行可能な車両に搭載され、電子鍵データ(K)を記憶した電子鍵装置(2)に基づいて前記車両の利用者を認証する車両用認証装置に用いられるセキュリティ装置(10)であって、
前記電子鍵データ(K)によりエンジンマスター鍵(EK)が暗号化されてなる暗号化エンジンマスタ鍵(E(EK))が格納される鍵情報格納手段(11)と、
個人情報、証明書(C)及び利用者固有鍵(I)を記憶したID装置(5)内の証明書(C)を検証するためのID装置証明書検証鍵(CK)が格納される証明書情報格納手段(12)と、
前記ID装置から入力された証明書(C)を前記証明書情報格納手段内のID装置証明書検証鍵(CK)を用いて検証し、当該ID装置の正当性を確認する手段(15〜17)と、
前記正当性を確認した後、入力された利用者認証情報をID装置に検証させる手段(15〜17)と、
このID装置による検証結果が成功したとき、当該ID装置から入力される利用者固有鍵I及び前記電子鍵装置から入力される電子鍵データKを用いて、利用者及び電子鍵を認証する手段(15〜17)と、
前記利用者及び電子鍵の認証が成功したとき、前記電子鍵データ(K)に基づいて、前記暗号化エンジンマスター鍵(E(EK))を復号し、エンジンマスター鍵(EK)を得る手段(15,17)と、
このエンジンマスター鍵EKを用いて前記エンジン始動情報を作成する手段(15,17)と、
得られたエンジン始動情報を出力する手段(16)と、
を備えたことを特徴とするセキュリティ装置。
【請求項2】
請求項1に記載のセキュリティ装置において、
複数の利用者固有鍵(I)からなる利用者固有鍵(I)群が格納された利用者情報格納手段(12)と、
前記電子鍵データ(K)に施されたデジタル署名を検証するための電子鍵データ署名検証鍵(VMK)が格納された署名検証鍵格納手段(11)と、を備えており、
前記利用者及び電子鍵を認証する手段(15〜17)は、
前記ID装置から入力された利用者固有鍵(I)と、前記利用者固有鍵(I)群とを照合する手段と、
この照合の結果、一致する利用者固有鍵(I)があるとき、前記電子鍵装置から入力される電子鍵データ(K)を記憶する手段と、
前記署名検証鍵格納手段内の電子鍵データ署名検証鍵(VMK)に基づいて、前記電子鍵データ(K)のデジタル署名を検証する手段と、
を備えたことを特徴とするセキュリティ装置。
【請求項3】
請求項1に記載のセキュリティ装置において、
前記電子鍵データ(K)は、前記利用者固有鍵(I)を用いて暗号化された状態で電子鍵装置(2)に格納されており、
前記電子鍵データ(K)に施されたデジタル署名を検証するための電子鍵データ署名検証鍵(VMK)が格納された署名検証鍵格納手段(11)、を備え、
前記利用者及び電子鍵を認証する手段(15〜17)は、
前記電子鍵装置から前記暗号化された電子鍵データ(E(K))を読取る手段と、
この暗号化電子鍵データ(E(K))を前記利用者固有鍵(I)により復号し、電子鍵データ(K)を得る手段と、
前記署名検証鍵格納手段内の電子鍵データ署名検証鍵(VMK)に基づいて、前記電子鍵データ(K)のデジタル署名を検証する手段と、
を備えたことを特徴とするセキュリティ装置。
【請求項4】
請求項1に記載のセキュリティ装置において、
前記暗号化エンジンマスター鍵(E(EK))は、前記電子鍵データ(K)及び前記利用者固有鍵(I)を用いて暗号化された状態で鍵情報格納手段(11)に格納されており、
前記電子鍵データ(K)に施されたデジタル署名を検証するための電子鍵データ署名検証鍵(VMK)が格納された署名検証鍵格納手段(11)を備えており、
前記利用者及び電子鍵を認証する手段(15〜17)は、
前記電子鍵装置から入力される電子鍵データ(K)を記憶する手段と、
前記署名検証鍵格納手段内の電子鍵データ署名検証鍵(VMK)に基づいて、前記電子鍵データ(K)のデジタル署名を検証する手段と、を備えており、
前記エンジンマスター鍵EKを得る手段(15,17)は、
前記利用者及び電子鍵の認証が成功したとき、前記電子鍵データ(K)及び前記利用者固有鍵(I)に基づいて、前記暗号化エンジンマスター鍵(E(EK))を復号することを特徴とするセキュリティ装置。
【請求項5】
請求項1に記載のセキュリティ装置において、
新たな電子鍵データ(K)を生成するための電子鍵データ署名生成鍵(SMK)が格納される秘密鍵情報格納手段(18)と、
前記車両の所有者及び所有者のID装置に関し、前記ID装置の正当性を確認する手段、前記利用者認証情報をID装置に検証させる手段、前記入力された利用者固有鍵(I)を記憶する手段、前記利用者及び電子鍵を認証する手段、を実行するように制御する所有者認証手段(15〜17)と、
前記所有者認証手段により、前記利用者及び電子鍵の認証が成功したとき、登録者及び登録者のID装置に関し、前記ID装置の正当性を確認する手段、前記利用者認証情報をID装置に検証させる手段、前記入力された利用者固有鍵(I)を記憶する手段、を実行するように制御する登録者認証手段(15〜17)と、
前記登録者認証手段の実行完了後、前記電子鍵データ署名生成鍵(SMK)により新たな電子鍵データを生成する手段(15〜17)と、
この新たな電子鍵データを登録者の電子鍵装置に入力する手段(15〜17)と、
を備えたことを特徴とするセキュリティ装置。
【請求項6】
請求項1乃至請求項5のいずれか1項に記載のセキュリティ装置において、
前記電子鍵データ(K)は、認証局(20)により施されたデジタル署名を有するものであり、
前記電子鍵データ(K)に施されたデジタル署名を検証するための電子鍵データ署名検証鍵(VMK)が格納された署名検証鍵格納手段(11,11x)と、を備えており、
前記電子鍵データ署名検証鍵(VMK)は、前記認証局の公開鍵証明書により有効となり、
前記認証局の公開鍵証明書は、当該認証局の無効化リストにより無効化されるものであり、
前記電子鍵装置を譲渡するとき、譲渡前の公開鍵証明書の無効化を前記認証局に依頼する手段(6,15y〜17)と、
前記電子鍵装置の譲渡を受けるとき、新たな公開鍵証明書の発行を前記認証局に依頼する手段(6,15y〜17)と、
を備えたことを特徴とするセキュリティ装置。
【請求項7】
請求項6に記載のセキュリティ装置において、
前記認証局との通信が不可のとき、秘密鍵としての電子鍵データ署名生成鍵(SMK’)と公開鍵としての電子鍵データ署名検証鍵(VMK’)との公開鍵ペアを生成する手段(15y,17)と、
この電子鍵データ署名検証鍵(VMK’)に譲渡元のID装置の電子データ署名生成鍵(SMK)を用いて公開鍵証明書(CERT’)を生成する手段(15y,17)と、
前記認証局との通信が復旧したとき、この公開鍵証明書(CERT’)の更新を前記認証局に依頼する手段(6,15y〜17)と、
を備えたことを特徴とするセキュリティ装置。
【請求項8】
請求項6に記載のセキュリティ装置において、
前記電子鍵装置を紛失したとき、電子鍵データの再発行を認証局に依頼する手段(6,15y〜17)と、
前記再発行を依頼するとき、当該紛失した電子鍵装置の所有者のID装置から利用者固有鍵(I)を受けると、この利用者固有鍵を前記認証局に向けて出力する手段(6,15y〜17)と、
前記認証局から受けた新たな別の電子鍵データを新たな電子鍵装置に入力する手段(15y〜17)と、
を備えたことを特徴とするセキュリティ装置。
【請求項9】
請求項1乃至請求項8のいずれか1項に記載のセキュリティ装置(10)を備えた車両用認証装置において、
前記ID装置内の証明書(C)を読み取ってセキュリティ装置に入力するための証明書読取手段(4)と、
前記利用者認証情報を前記セキュリティ装置に入力するための利用者情報入力手段(3)と、
前記電子鍵装置内の電子鍵データ(K)を前記セキュリティ装置に読み取るための電子鍵読取手段(1)と、
前記エンジン始動情報により前記エンジンを制御するためのエンジン制御手段(7)と、
とを備えたことを特徴とする車両用認証装置。
【請求項10】
エンジン始動情報により走行可能な車両に搭載され、電子鍵データ(K)を記憶した電子鍵装置に基づいて前記車両の利用者を認証する車両用認証装置に用いられる車両用認証方法であって、
前記電子鍵データ(K)によりエンジンマスター鍵(EK)が暗号化されてなる暗号化エンジンマスタ鍵(E(EK))がメモリに格納される工程と、
個人情報、証明書(C)及び利用者固有鍵(I)を記憶したID装置内の証明書(C)を検証するためのID装置証明書検証鍵(CK)がメモリに格納される工程と、
前記ID装置から入力された証明書(C)を前記メモリ内のID装置証明書検証鍵(CK)を用いて検証し、当該ID装置の正当性を確認する工程と、
前記正当性を確認した後、入力された利用者認証情報をID装置に検証させる工程と、
このID装置による検証結果が成功したとき、当該ID装置から入力される利用者固有鍵(I)及び前記電子鍵装置から入力される電子鍵データ(K)を用いて、利用者及び電子鍵を認証する工程と、
前記利用者及び電子鍵の認証が成功したとき、前記電子鍵データ(K)に基づいて、前記暗号化エンジンマスター鍵(E(EK))を復号し、エンジンマスター鍵(EK)を得る工程と、
このエンジンマスター鍵(EK)を用いて前記エンジン始動情報を作成する工程と、
得られたエンジン始動情報を出力する工程と、
を備えたことを特徴とする車両用認証方法。
【請求項11】
エンジン始動情報により走行可能な車両に搭載され、電子鍵データ(K)を記憶した電子鍵装置に基づいて前記車両の利用者を認証する車両用認証装置のコンピュータに用いられるプログラムであって、
前記車両用認証装置のコンピュータを、
前記電子鍵データ(K)によりエンジンマスター鍵(EK)が暗号化されてなる暗号化エンジンマスタ鍵(E(EK))をメモリに格納する手段、
個人情報、証明書(C)及び利用者固有鍵(I)を記憶したID装置内の証明書(C)を検証するためのID装置証明書検証鍵(CK)をメモリに格納する手段、
前記ID装置から入力された証明書(C)を前記メモリ内のID装置証明書検証鍵(CK)を用いて検証し、当該ID装置の正当性を確認する手段、
前記正当性を確認した後、入力された利用者認証情報をID装置に検証させる手段、
このID装置による検証結果が成功したとき、当該ID装置から入力される利用者固有鍵(I)及び前記電子鍵装置から入力される電子鍵データKを用いて、利用者及び電子鍵を認証する手段、
前記利用者及び電子鍵の認証が成功したとき、前記電子鍵データ(K)に基づいて、前記暗号化エンジンマスター鍵(E(EK))を復号し、エンジンマスター鍵(EK)を得る手段、
このエンジンマスター鍵(EK)を用いて前記エンジン始動情報を作成する手段、
得られたエンジン始動情報を出力する手段、
として機能させるためのプログラム。
【請求項12】
エンジン始動情報により走行可能な車両に搭載され、電子鍵データ(K)を記憶した電子鍵装置に基づいて前記車両の利用者を認証する車両用認証装置のコンピュータに用いられ、コンピュータ読み取り可能な記憶媒体に記憶されたプログラムであって、
前記電子鍵データ(K)によりエンジンマスター鍵(EK)が暗号化されてなる暗号化エンジンマスタ鍵(E(EK))をメモリに格納する処理をコンピュータに実行させるための第1プログラムコード、
個人情報、証明書(C)及び利用者固有鍵(I)を記憶したID装置内の証明書(C)を検証するためのID装置証明書検証鍵(CK)をメモリに格納する処理をコンピュータに実行させるための第2プログラムコード、
前記ID装置から入力された証明書(C)を前記メモリ内のID装置証明書検証鍵(CK)を用いて検証し、当該ID装置の正当性を確認する処理をコンピュータに実行させるための第3プログラムコード、
前記正当性を確認した後、入力された利用者認証情報をID装置に検証させる処理をコンピュータに実行させるための第4プログラムコード、
このID装置による検証結果が成功したとき、当該ID装置から入力される利用者固有鍵(I)及び前記電子鍵装置から入力される電子鍵データ(K)を用いて、利用者及び電子鍵を認証する処理をコンピュータに実行させるための第5プログラムコード、
前記利用者及び電子鍵の認証が成功したとき、前記電子鍵データ(K)に基づいて、前記暗号化エンジンマスター鍵(E(EK))を復号し、エンジンマスター鍵(EK)を得る処理をコンピュータに実行させるための第6プログラムコード、
このエンジンマスター鍵(EK)を用いて前記エンジン始動情報を作成する処理をコンピュータに実行させるための第7プログラムコード、
得られたエンジン始動情報を出力する処理をコンピュータに実行させるための第8プログラムコード、
として機能させるためのプログラム。
【請求項1】
エンジン始動情報により走行可能な車両に搭載され、電子鍵データ(K)を記憶した電子鍵装置(2)に基づいて前記車両の利用者を認証する車両用認証装置に用いられるセキュリティ装置(10)であって、
前記電子鍵データ(K)によりエンジンマスター鍵(EK)が暗号化されてなる暗号化エンジンマスタ鍵(E(EK))が格納される鍵情報格納手段(11)と、
個人情報、証明書(C)及び利用者固有鍵(I)を記憶したID装置(5)内の証明書(C)を検証するためのID装置証明書検証鍵(CK)が格納される証明書情報格納手段(12)と、
前記ID装置から入力された証明書(C)を前記証明書情報格納手段内のID装置証明書検証鍵(CK)を用いて検証し、当該ID装置の正当性を確認する手段(15〜17)と、
前記正当性を確認した後、入力された利用者認証情報をID装置に検証させる手段(15〜17)と、
このID装置による検証結果が成功したとき、当該ID装置から入力される利用者固有鍵I及び前記電子鍵装置から入力される電子鍵データKを用いて、利用者及び電子鍵を認証する手段(15〜17)と、
前記利用者及び電子鍵の認証が成功したとき、前記電子鍵データ(K)に基づいて、前記暗号化エンジンマスター鍵(E(EK))を復号し、エンジンマスター鍵(EK)を得る手段(15,17)と、
このエンジンマスター鍵EKを用いて前記エンジン始動情報を作成する手段(15,17)と、
得られたエンジン始動情報を出力する手段(16)と、
を備えたことを特徴とするセキュリティ装置。
【請求項2】
請求項1に記載のセキュリティ装置において、
複数の利用者固有鍵(I)からなる利用者固有鍵(I)群が格納された利用者情報格納手段(12)と、
前記電子鍵データ(K)に施されたデジタル署名を検証するための電子鍵データ署名検証鍵(VMK)が格納された署名検証鍵格納手段(11)と、を備えており、
前記利用者及び電子鍵を認証する手段(15〜17)は、
前記ID装置から入力された利用者固有鍵(I)と、前記利用者固有鍵(I)群とを照合する手段と、
この照合の結果、一致する利用者固有鍵(I)があるとき、前記電子鍵装置から入力される電子鍵データ(K)を記憶する手段と、
前記署名検証鍵格納手段内の電子鍵データ署名検証鍵(VMK)に基づいて、前記電子鍵データ(K)のデジタル署名を検証する手段と、
を備えたことを特徴とするセキュリティ装置。
【請求項3】
請求項1に記載のセキュリティ装置において、
前記電子鍵データ(K)は、前記利用者固有鍵(I)を用いて暗号化された状態で電子鍵装置(2)に格納されており、
前記電子鍵データ(K)に施されたデジタル署名を検証するための電子鍵データ署名検証鍵(VMK)が格納された署名検証鍵格納手段(11)、を備え、
前記利用者及び電子鍵を認証する手段(15〜17)は、
前記電子鍵装置から前記暗号化された電子鍵データ(E(K))を読取る手段と、
この暗号化電子鍵データ(E(K))を前記利用者固有鍵(I)により復号し、電子鍵データ(K)を得る手段と、
前記署名検証鍵格納手段内の電子鍵データ署名検証鍵(VMK)に基づいて、前記電子鍵データ(K)のデジタル署名を検証する手段と、
を備えたことを特徴とするセキュリティ装置。
【請求項4】
請求項1に記載のセキュリティ装置において、
前記暗号化エンジンマスター鍵(E(EK))は、前記電子鍵データ(K)及び前記利用者固有鍵(I)を用いて暗号化された状態で鍵情報格納手段(11)に格納されており、
前記電子鍵データ(K)に施されたデジタル署名を検証するための電子鍵データ署名検証鍵(VMK)が格納された署名検証鍵格納手段(11)を備えており、
前記利用者及び電子鍵を認証する手段(15〜17)は、
前記電子鍵装置から入力される電子鍵データ(K)を記憶する手段と、
前記署名検証鍵格納手段内の電子鍵データ署名検証鍵(VMK)に基づいて、前記電子鍵データ(K)のデジタル署名を検証する手段と、を備えており、
前記エンジンマスター鍵EKを得る手段(15,17)は、
前記利用者及び電子鍵の認証が成功したとき、前記電子鍵データ(K)及び前記利用者固有鍵(I)に基づいて、前記暗号化エンジンマスター鍵(E(EK))を復号することを特徴とするセキュリティ装置。
【請求項5】
請求項1に記載のセキュリティ装置において、
新たな電子鍵データ(K)を生成するための電子鍵データ署名生成鍵(SMK)が格納される秘密鍵情報格納手段(18)と、
前記車両の所有者及び所有者のID装置に関し、前記ID装置の正当性を確認する手段、前記利用者認証情報をID装置に検証させる手段、前記入力された利用者固有鍵(I)を記憶する手段、前記利用者及び電子鍵を認証する手段、を実行するように制御する所有者認証手段(15〜17)と、
前記所有者認証手段により、前記利用者及び電子鍵の認証が成功したとき、登録者及び登録者のID装置に関し、前記ID装置の正当性を確認する手段、前記利用者認証情報をID装置に検証させる手段、前記入力された利用者固有鍵(I)を記憶する手段、を実行するように制御する登録者認証手段(15〜17)と、
前記登録者認証手段の実行完了後、前記電子鍵データ署名生成鍵(SMK)により新たな電子鍵データを生成する手段(15〜17)と、
この新たな電子鍵データを登録者の電子鍵装置に入力する手段(15〜17)と、
を備えたことを特徴とするセキュリティ装置。
【請求項6】
請求項1乃至請求項5のいずれか1項に記載のセキュリティ装置において、
前記電子鍵データ(K)は、認証局(20)により施されたデジタル署名を有するものであり、
前記電子鍵データ(K)に施されたデジタル署名を検証するための電子鍵データ署名検証鍵(VMK)が格納された署名検証鍵格納手段(11,11x)と、を備えており、
前記電子鍵データ署名検証鍵(VMK)は、前記認証局の公開鍵証明書により有効となり、
前記認証局の公開鍵証明書は、当該認証局の無効化リストにより無効化されるものであり、
前記電子鍵装置を譲渡するとき、譲渡前の公開鍵証明書の無効化を前記認証局に依頼する手段(6,15y〜17)と、
前記電子鍵装置の譲渡を受けるとき、新たな公開鍵証明書の発行を前記認証局に依頼する手段(6,15y〜17)と、
を備えたことを特徴とするセキュリティ装置。
【請求項7】
請求項6に記載のセキュリティ装置において、
前記認証局との通信が不可のとき、秘密鍵としての電子鍵データ署名生成鍵(SMK’)と公開鍵としての電子鍵データ署名検証鍵(VMK’)との公開鍵ペアを生成する手段(15y,17)と、
この電子鍵データ署名検証鍵(VMK’)に譲渡元のID装置の電子データ署名生成鍵(SMK)を用いて公開鍵証明書(CERT’)を生成する手段(15y,17)と、
前記認証局との通信が復旧したとき、この公開鍵証明書(CERT’)の更新を前記認証局に依頼する手段(6,15y〜17)と、
を備えたことを特徴とするセキュリティ装置。
【請求項8】
請求項6に記載のセキュリティ装置において、
前記電子鍵装置を紛失したとき、電子鍵データの再発行を認証局に依頼する手段(6,15y〜17)と、
前記再発行を依頼するとき、当該紛失した電子鍵装置の所有者のID装置から利用者固有鍵(I)を受けると、この利用者固有鍵を前記認証局に向けて出力する手段(6,15y〜17)と、
前記認証局から受けた新たな別の電子鍵データを新たな電子鍵装置に入力する手段(15y〜17)と、
を備えたことを特徴とするセキュリティ装置。
【請求項9】
請求項1乃至請求項8のいずれか1項に記載のセキュリティ装置(10)を備えた車両用認証装置において、
前記ID装置内の証明書(C)を読み取ってセキュリティ装置に入力するための証明書読取手段(4)と、
前記利用者認証情報を前記セキュリティ装置に入力するための利用者情報入力手段(3)と、
前記電子鍵装置内の電子鍵データ(K)を前記セキュリティ装置に読み取るための電子鍵読取手段(1)と、
前記エンジン始動情報により前記エンジンを制御するためのエンジン制御手段(7)と、
とを備えたことを特徴とする車両用認証装置。
【請求項10】
エンジン始動情報により走行可能な車両に搭載され、電子鍵データ(K)を記憶した電子鍵装置に基づいて前記車両の利用者を認証する車両用認証装置に用いられる車両用認証方法であって、
前記電子鍵データ(K)によりエンジンマスター鍵(EK)が暗号化されてなる暗号化エンジンマスタ鍵(E(EK))がメモリに格納される工程と、
個人情報、証明書(C)及び利用者固有鍵(I)を記憶したID装置内の証明書(C)を検証するためのID装置証明書検証鍵(CK)がメモリに格納される工程と、
前記ID装置から入力された証明書(C)を前記メモリ内のID装置証明書検証鍵(CK)を用いて検証し、当該ID装置の正当性を確認する工程と、
前記正当性を確認した後、入力された利用者認証情報をID装置に検証させる工程と、
このID装置による検証結果が成功したとき、当該ID装置から入力される利用者固有鍵(I)及び前記電子鍵装置から入力される電子鍵データ(K)を用いて、利用者及び電子鍵を認証する工程と、
前記利用者及び電子鍵の認証が成功したとき、前記電子鍵データ(K)に基づいて、前記暗号化エンジンマスター鍵(E(EK))を復号し、エンジンマスター鍵(EK)を得る工程と、
このエンジンマスター鍵(EK)を用いて前記エンジン始動情報を作成する工程と、
得られたエンジン始動情報を出力する工程と、
を備えたことを特徴とする車両用認証方法。
【請求項11】
エンジン始動情報により走行可能な車両に搭載され、電子鍵データ(K)を記憶した電子鍵装置に基づいて前記車両の利用者を認証する車両用認証装置のコンピュータに用いられるプログラムであって、
前記車両用認証装置のコンピュータを、
前記電子鍵データ(K)によりエンジンマスター鍵(EK)が暗号化されてなる暗号化エンジンマスタ鍵(E(EK))をメモリに格納する手段、
個人情報、証明書(C)及び利用者固有鍵(I)を記憶したID装置内の証明書(C)を検証するためのID装置証明書検証鍵(CK)をメモリに格納する手段、
前記ID装置から入力された証明書(C)を前記メモリ内のID装置証明書検証鍵(CK)を用いて検証し、当該ID装置の正当性を確認する手段、
前記正当性を確認した後、入力された利用者認証情報をID装置に検証させる手段、
このID装置による検証結果が成功したとき、当該ID装置から入力される利用者固有鍵(I)及び前記電子鍵装置から入力される電子鍵データKを用いて、利用者及び電子鍵を認証する手段、
前記利用者及び電子鍵の認証が成功したとき、前記電子鍵データ(K)に基づいて、前記暗号化エンジンマスター鍵(E(EK))を復号し、エンジンマスター鍵(EK)を得る手段、
このエンジンマスター鍵(EK)を用いて前記エンジン始動情報を作成する手段、
得られたエンジン始動情報を出力する手段、
として機能させるためのプログラム。
【請求項12】
エンジン始動情報により走行可能な車両に搭載され、電子鍵データ(K)を記憶した電子鍵装置に基づいて前記車両の利用者を認証する車両用認証装置のコンピュータに用いられ、コンピュータ読み取り可能な記憶媒体に記憶されたプログラムであって、
前記電子鍵データ(K)によりエンジンマスター鍵(EK)が暗号化されてなる暗号化エンジンマスタ鍵(E(EK))をメモリに格納する処理をコンピュータに実行させるための第1プログラムコード、
個人情報、証明書(C)及び利用者固有鍵(I)を記憶したID装置内の証明書(C)を検証するためのID装置証明書検証鍵(CK)をメモリに格納する処理をコンピュータに実行させるための第2プログラムコード、
前記ID装置から入力された証明書(C)を前記メモリ内のID装置証明書検証鍵(CK)を用いて検証し、当該ID装置の正当性を確認する処理をコンピュータに実行させるための第3プログラムコード、
前記正当性を確認した後、入力された利用者認証情報をID装置に検証させる処理をコンピュータに実行させるための第4プログラムコード、
このID装置による検証結果が成功したとき、当該ID装置から入力される利用者固有鍵(I)及び前記電子鍵装置から入力される電子鍵データ(K)を用いて、利用者及び電子鍵を認証する処理をコンピュータに実行させるための第5プログラムコード、
前記利用者及び電子鍵の認証が成功したとき、前記電子鍵データ(K)に基づいて、前記暗号化エンジンマスター鍵(E(EK))を復号し、エンジンマスター鍵(EK)を得る処理をコンピュータに実行させるための第6プログラムコード、
このエンジンマスター鍵(EK)を用いて前記エンジン始動情報を作成する処理をコンピュータに実行させるための第7プログラムコード、
得られたエンジン始動情報を出力する処理をコンピュータに実行させるための第8プログラムコード、
として機能させるためのプログラム。
【国際公開番号】WO2005/070733
【国際公開日】平成17年8月4日(2005.8.4)
【発行日】平成19年8月23日(2007.8.23)
【国際特許分類】
【出願番号】特願2005−517176(P2005−517176)
【国際出願番号】PCT/JP2004/000656
【国際出願日】平成16年1月26日(2004.1.26)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
【国際公開日】平成17年8月4日(2005.8.4)
【発行日】平成19年8月23日(2007.8.23)
【国際特許分類】
【国際出願番号】PCT/JP2004/000656
【国際出願日】平成16年1月26日(2004.1.26)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
[ Back to top ]