データ検証装置及びデータ検証プログラム
【課題】車載機から取得した情報の正当性の検証を行うことができるデータ検証装置及びデータ検証プログラムを提供することを目的とする。
【解決手段】車載機12が取得した、路側機13から送出される路側機13及び送出時間を特定可能な第一の情報と、車載機12が搭載された車両11の位置を特定可能な第二の情報とを両方含んだ第三の情報を第一のネットワーク17経由で取得する第一の取得手段と、路側機13から送出される第一の情報を第二のネットワーク18経由で取得する第二の取得手段と、第一の取得手段が取得した第三の情報に含まれる第一の情報と第二の取得手段が取得した第一の情報とを照合し、整合が取れているときに第一の取得手段が取得した第三の情報に含まれる第二の情報を正当な情報と判定する判定手段とを有するデータ検証装置15であることにより上記課題を解決する。
【解決手段】車載機12が取得した、路側機13から送出される路側機13及び送出時間を特定可能な第一の情報と、車載機12が搭載された車両11の位置を特定可能な第二の情報とを両方含んだ第三の情報を第一のネットワーク17経由で取得する第一の取得手段と、路側機13から送出される第一の情報を第二のネットワーク18経由で取得する第二の取得手段と、第一の取得手段が取得した第三の情報に含まれる第一の情報と第二の取得手段が取得した第一の情報とを照合し、整合が取れているときに第一の取得手段が取得した第三の情報に含まれる第二の情報を正当な情報と判定する判定手段とを有するデータ検証装置15であることにより上記課題を解決する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、データ検証装置及びデータ検証プログラムに係り、特に車両に搭載された車載機から取得する情報の正当性を検証するデータ検証装置及びデータ検証プログラムに関する。
【背景技術】
【0002】
近年では、自動車の走行履歴に基づいて保険金額を変額する自動車保険サービスが保険会社から提供されるようになった。このような自動車の走行履歴に基づいて保険金額を変額する自動車保険は、PAYD(Pay-As-You-Drive)と呼ばれている。
【0003】
PAYDはGPS(Global Positioning System)等の測位システムにより走行距離を把握する機能と通信機能とを併せ持つ車載情報通信装置(車載機)を利用する(例えば非特許文献1参照)。
【0004】
図1は、PAYDシステムの一例の構成図である。車両2に搭載された車載機はGPS衛星1から測位信号を受信する。車載機は受信した測位信号から車両2の自車位置を連続的に算出して測位情報として記録する。車載機は例えば所定の間隔で測位情報を、移動通信(携帯電話)ネットワーク3経由で保険会社の課金サーバ4に送信する。課金サーバ4にはPAYDアプリケーションがインストールされている。課金サーバ4は、受信した測位情報に基づき、課金請求用のデータ処理として清算処理を行い、月次請求等の請求処理を行っていた。
【非特許文献1】加藤純央、「今後の自動車保険PAYDに期待すること」、野村総合研究所 「ファイナンシャル インフォメーション テクノロジー フォーカス April 2007」、[online]、インターネット<URL://www.nri.co.jp/opinion/kinyu_itf/2007/pdf/itf20070405.pdf>
【発明の開示】
【発明が解決しようとする課題】
【0005】
PAYDは車載機から受信した測位情報に基づき保険金額を算出するため、車載機から受信した測位情報が正しい内容、言い換えれば改竄等されていない正当性のある測位情報であることが重要となる。しかしながら、従来のPAYDは測位情報の正当性をブラックボックスである車載機と移動通信ネットワークの堅牢性とに依存している。従って、従来のPAYDにおける測位情報は改竄があったか否かを課金サーバ側で検証できず、信頼性が低いという問題があった。
【0006】
本発明の一実施形態は、上記の点に鑑みなされたもので、車載機から取得した情報の正当性の検証を行うことができるデータ検証装置及びデータ検証プログラムを提供することを目的とする。
【課題を解決するための手段】
【0007】
上記課題を解決する為、本発明の一実施形態は、車載機が取得した、路側機から送出される前記路側機及び送出時間を特定可能な第一の情報と、前記車載機が搭載された車両の位置を特定可能な第二の情報とを両方含んだ第三の情報を第一のネットワーク経由で取得する第一の取得手段と、前記路側機から送出される前記第一の情報を第二のネットワーク経由で取得する第二の取得手段と、前記第一の取得手段が取得した前記第三の情報に含まれる前記第一の情報と前記第二の取得手段が取得した前記第一の情報とを照合し、整合が取れているときに前記第一の取得手段が取得した前記第三の情報に含まれる前記第二の情報を正当な情報と判定する判定手段とを有するデータ検証装置であることを特徴とする。
【0008】
なお、本発明の一実施形態の構成要素、表現又は構成要素の任意の組合せを、方法、装置、システム、コンピュータプログラム、記録媒体、データ構造などに適用したものも本発明の態様として有効である。
【発明の効果】
【0009】
上述の如く、本発明の一実施形態によれば、車載機から取得した情報の正当性の検証を行うことができるデータ検証装置及びデータ検証プログラムを提供可能である。
【発明を実施するための最良の形態】
【0010】
次に、本発明を実施するための最良の形態を、以下の実施例に基づき図面を参照しつつ説明していく。
【0011】
図2は本実施例で開示するデータ検証装置を適用した場合のPAYDシステムの一実施例の構成図である。なお、以降の実施例の説明においては、従来のPAYDシステムの意味ではなく、本実施例で開示するデータ検証装置を適用したシステムの意味でPAYDシステムと記載している。図2のPAYDシステムはGPS衛星10,車両11,車載機12,路側機13,広域通信アンテナ14,バリデーションサーバ(Validation Server)15,アプリケーションサーバ16,広域ネットワーク17及び交通管制ネットワーク18を有する構成である。
【0012】
車載機12はPAYDを契約する車両11に搭載されている。車載機12は、GPS衛星10から測位信号を受信すると共に、路側機13から後述のバリデーションコードを受信する。路側機13は信号機や車両感知器等に取り付けられることにより、主に道路上に配置される。路側機13は交通管制センタや上位制御装置等を収容する交通管制ネットワーク18にデータ通信可能に接続されている。
【0013】
車載機12は広域通信アンテナ14経由で広域ネットワーク17にデータ通信可能に接続されている。広域ネットワーク17は携帯電話網やインターネット等、車両11の移動中にデータ通信可能なネットワークである。バリデーションサーバ15は車載機12から後述の結束コードを受信すると共に、路側機13から後述のバリデーションコードを受信する。結束コードは、測位情報と後述のバリデーションコードとを結合することで生成される。
【0014】
バリデーションサーバ15は車載機12から受信した後述の結束コードに含まれるバリデーションコードと路側機13から受信した後述のバリデーションコードとに基づき、車載機12から受信した後述の結束コードに含まれる測位情報の正当性の検証を行う。言い換えれば、バリデーションサーバ15は受信した結束コードから車両11の走行履歴情報の正当性の検証を後述のように行う。
【0015】
アプリケーションサーバ16はバリデーションサーバ15で正当性の検証により認証された走行履歴情報を利用し、例えば課金請求用のデータ処理として清算処理を行い、月次請求等の請求処理を行う。
【0016】
図3はPAYDシステムの動作を表した概要図である。ステップS1では、車両11に搭載された車載機12がGPS衛星10から測位信号を受信する。ステップS2では路側機13が個々の路側機を互いに識別可能な固有のIDである固有IDと時間に応じて変化するように生成した乱数とを含む路側機コードからバリデーションコードを生成し、車載機12にバリデーションコードの正本を送信すると共に、バリデーションサーバ15にバリデーションコードの複写を送信する。路側機13は識別子であるバリデーションコードを動的に生成し、車載機12及びバリデーションサーバ15の双方に送信する。なお、路側機13は、無線によりバリデーションコードを放送するので、路側機13の近辺を通行中の移動体(車)に搭載された車載機12は、無線によりバリデーションコードを受信することになる。
【0017】
ステップS3に進み、車載機12は測位情報とバリデーションコードの正本とを結合することで結束コードを生成する。ステップS4に進み、車載機12は広域ネットワーク17経由で結束コードをバリデーションサーバ15に送信する。ステップS5に進み、バリデーションサーバ15は、受信した結束コードをデコードすることにより測位情報とバリデーションコードの正本とを分離する。
【0018】
バリデーションサーバ15は、バリデーションコードの正本とバリデーションコードの複写とを照合し、合致していれば、そのバリデーションコードの正本と結合されていた測位情報が正当な(改竄されていない)情報であると判定する。ステップS6に進み、バリデーションサーバ15は正当な情報であることが認証された測位情報(走行履歴情報)をアプリケーションサーバ16に送信する。
【0019】
また、バリテーションサーバ15は例えばオプション機能としてバリデーションコードの正本とバリデーションコードの複写との照合結果(Result code)を車載機12又はアプリケーションサーバ16に送信し、記録させるようにしてもよい。照合結果の送信先はアプリケーションによって異ならせることもできる。また、図3のPAYDシステムはバリデーションコードに路側機13の固有ID,乱数に加え、路側機13の位置のリスク情報を含ませることで保険金額の変額を、きめ細かく行うことができる。
【0020】
図4は路側機の配置例を表したイメージ図である。図4は路側機ID−1,ID−2及びID−3が配置されている例を表している。路側機ID−1,ID−2及びID−3は常時近傍の道路上に向けて、バリデーションコードを送信し続ける。なお、図4に示すように、路側機ID−1,ID−2及びID−3によるバリデーションコードの送信範囲は必ずしも道路上の全ての範囲をカバーしなくてもよい。
【0021】
図4中の車両11が左から右へ走行すると、車両11に搭載された車載機12は路側機ID−1が送信したバリデーションコード,ID−2が送信したバリデーションコード及びID−3が送信したバリデーションコードの順番に受信する。
【0022】
図5は路側機の他の配置例を表したイメージ図である。図5のイメージ図は、路側機ID−1,ID−2,ID−3及びID−4が、それぞれ交差点に配置されている例を表している。もちろん、路側機の設置場所を交差点に限るものではない。
【0023】
路側機ID−1が配置されている交差点を通過した車両11は、路側機ID−4が配置されている交差点に到達するため、路側機ID−2が配置されている交差点もしくは路側機ID−3が配置されている交差点を経由する必要があるものとする。
【0024】
言い換えれば、路側機ID−1が配置されている交差点と路側機ID−4が配置されている交差点との経路上には、路側機ID−2が配置されている交差点又は路側機ID−3が配置されている交差点があるため、路側機ID−1が送信したバリデーションコードの次にID−4が送信したバリデーションコードを受信することはありえない。
【0025】
そこで、本実施例のPAYDシステムでは経路上にある路側機13を物理的に配置された順序で通過したことを確認する為のルールを、図6の路側機配置データとして定義している。図6は路側機配置データの一例の構成図である。図6に示す路側機配置データは水平垂直方向にある路側機13が隣接関係にあり、それ以外の斜め方向にある路側機13が隣接関係に無く、移動できないことを表している。路側機配置データの利用については後述する。
【0026】
図7は路側機の一例の構成図である。路側機13は、時系列コード生成機能部21,路側機ID情報22,合成部23,無線インタフェースである送信装置24および有線インタフェースである送信装置25を有する構成である。図7の路側機13の処理手順について図8のフローチャートを参照しつつ説明していく。図8は路側機の処理手順を表した一例のフローチャートである。
【0027】
路側機13は初期化されたあと、図8のフローチャートの処理を開始する。ステップS11に進み、時系列コード生成機能部21は処理対象となるタイムスロット番号,時刻を取得する。ステップS12に進み、時系列コード生成機能部21は取得した時刻をもとに乱数を生成する。
【0028】
時系列コード生成機能部21が生成する乱数は、時間軸上の相関の低い、繰り返し出現頻度の低いデータ列である。時系列コード生成機能部21は生成した乱数を合成部23に送信する。
【0029】
ステップS13に進み、合成部23は、時系列コード生成機能部21から乱数をタイムスロット毎に受信すると共に、固有IDとしての路側機ID(路側機識別子)を路側機ID情報22から読み出す。ステップS14に進み、合成部23はタイムスロット毎に路側機コードである路側機IDと乱数とを結合する。
【0030】
ステップS15に進み、合成部23は図9に示すような送信用データフォーマットを構成する。図9は、送信用データフォーマットの一例の構成図である。図9の送信用データフォーマットは時刻情報「TS」と、路側機ID「ID」と、乱数「RD」とを有する構成である。ステップS16に進み、合成部23は図9の送信用データフォーマットをバリデーションコードとして送信装置24から移動ネットワーク(無線)経由で車両11の車載機12に送信する。ステップS15に続いてステップS17に進み、合成部23は図9に示す送信用データフォーマットをバリデーションコードとして、送信装置25から交通管制ネットワーク18経由でバリデーションサーバ15に送信する。
【0031】
そして、ステップS16又はS17に続いてステップS18に進み、時系列コード生成機能部21は処理対象とするタイムスロット番号に1を加算したあと、ステップS11の処理に戻り、図8のフローチャートの処理を続ける。図8のフローチャートの処理により路側機13は路側機IDと乱数とを結合することで、時系列などで容易に予測できないバリデーションコードを生成できる。
【0032】
図10は、車載機の一例の構成図である。車載機12は、GPSアンテナ31,受信装置32,測位情報一時記録装置33,読出機能部34,路側機アンテナ35,受信装置36,バリデーションコード一時記録装置37,読出機能部38,結束コード生成機能部39,車両ID付与部40,送信装置41を有する構成である。
【0033】
受信装置32はGPSアンテナ31経由でGPS衛星10から測位信号を受信する。受信装置32は受信した測位信号を測位情報p1〜p9としてタイムスロット毎に測位情報一時記録装置33に記録する。
【0034】
受信装置36は路側機アンテナ35経由で路側機13からバリデーションコードを受信する。受信装置36は、バリデーションコードID−1〜ID3をタイムスロット毎にバリデーションコード一時記録装置37に記録する。なお、図10に示すように、路側機13によるバリデーションコードの送信範囲外を車両11が通過するとき等、受信装置36がバリデーションコードを受信できない場合は、その時刻に対応するタイムスロットにバリデーションコードが存在しない。
【0035】
読出機能部34及び読出機能部38は同一タイムスロットの測位情報とバリデーションコードとを測位情報一時記録装置33及びバリデーションコード一時記録装置37から読み出し、結束コード生成機能部39に送信する。結束コード生成機能部39は、同一タイムスロットの測位情報とバリデーションコードとを1対1で関連付けて1つのデータストリームを構成する。単純な方法としては同一タイムスロットの測位情報とバリデーションコードとを連結する。その他、同一タイムスロットのバリデーションコードを暗号鍵として測位情報の暗号化を行う高度な方法を採用してもよい。結束コード生成機能部39で構成されたデータストリームは結束コードである。
【0036】
結束コード生成機能部39は、結束コードを車両ID付与部40に送信する。車両ID付与部40は、結束コードのタイムスロット毎に車両ID「CID」を付与する。送信装置41はタイムスロット毎に車両IDが付与された結束コードを広域ネットワーク17経由でバリデーションサーバ15に送信する。
【0037】
図11は、バリデーションサーバの一例の構成図である。バリデーションサーバ15は通信インタフェース51,通信インタフェース52,書込み機能部53,バリデーションコード記録装置54,読出機能部55,書込み機能部56,結束コード記録装置57,読出機能部58,測位情報検証機能部59,路側機配置データ60を有する構成である。
【0038】
書込み機能部53は交通管制ネットワーク18及び通信インタフェース51経由で路側機13からバリデーションコードを受信する。書込み機能部53はバリデーションコードの各タイムスロットに含まれる路側機IDに基づき、バリデーションコードの各タイムスロットを蓄積先(バッファ)に振り分ける。
【0039】
また、書込み機能部56は広域ネットワーク17及び通信インタフェース52経由で車載機12から結束コードを受信する。書込み機能部56は結束コードの各タイムスロットに含まれる車両IDに基づき、結束コード(走行履歴)の各タイムスロットを、検証されるまでの間、一時保管する蓄積先(バッファ)に振り分ける。
【0040】
図12は、バリデーションサーバが収集するバリデーションコードと結束コードとの関係を表した説明図である。バリデーションサーバ15は、路側機13からバリデーションコード71を受信すると、路側機13毎に異なる蓄積先(バッファ)に各タイムスロットを振り分けて、一定の時間、蓄積しておく。つまり、バリデーションサーバ15は管理下にある路側機13の数だけ、異なる蓄積先(バッファ)が必要となる。
【0041】
また、バリデーションサーバ15は各車両11の車載機12から結束コード72を受信すると、車両ID毎に異なる蓄積先(バッファ)に各タイムスロットを振り分けて、一定の時間、蓄積しておく。ここで言う一定の時間とは、結束コード72に含まれる測位情報の正当性が検証される迄である。結束コード72に含まれる測位情報の正当性が検証されたあと、結束コード72に含まれるバリデーションコードは破棄してもよい。
【0042】
なお、路側機13から受信したバリデーションコード71と結束コード72に含まれるバリデーションコードとは時刻情報で結びつけられる。図12に示した結束コード72は時刻t1〜t2の間、車載機12が路側機ID−1からバリデーションコード71を受信し、時刻t4〜t5の間、車載機12が路側機ID−2からバリデーションコード71を受信し、時刻t7〜t9の間、車載機12が路側機ID−3からバリデーションコード71を受信していることを表している。
【0043】
時刻t3及びt6は車載機12が何れの路側機13からもバリデーションコード71を受信していないことを表している。車載機12が何れの路側機13からもバリデーションコード71を受信しない例としては、車両11が路側機13によるバリデーションコードの送信範囲外を通過していること等が考えられる。
【0044】
バリデーションコード71を受信していない時刻に対応するタイムスロットには、時刻t3及びt6のようにバリデーションコードが存在しない。バリデーションコードが一定の間隔で存在しないと、走行履歴情報の正当性を確認できないが、一定の間隔は市街地や郊外など走行場所により異なる。
【0045】
図11に戻り、読出機能部58は結束コード記録装置57から周期的に結束コード72のタイムスロットを読み出していく。測位情報検証機能部59は読み出した結束コード72の検証しようとするタイムスロットにバリデーションコードが存在する場合、そのバリデーションコードと時刻情報が同じバリデーションコードを、読出機能部55を利用してバリデーションコード記録装置54から検索する。
【0046】
測位情報検証機能部59は、結束コード記録装置57から読み出した結束コードに含まれる測位情報の正当性を、図13に示すように検証する。図13はバリデーションサーバにおいて測位情報の正当性を検証する処理の説明図である。
【0047】
測位情報検証機能部59は、結束コード記録装置57から読み出した時刻t1における結束コードを、時刻t1の測位情報と正本のバリデーションコードとに分離する。測位情報検証機能部59は、分離した時刻t1の正本のバリデーションコードに含まれる時刻情報と路側機IDとに基づいて、路側機ID−1の蓄積先から時刻情報が同じ、複写のバリデーションコードを、読出機能部55経由でバリデーションコード記録装置54から検索する。
【0048】
測位情報検証機能部59は、バリデーションコードの正本とバリデーションコードの複写とを照合し、合致していれば、そのバリデーションコードの正本と結合されていた時刻t1の測位情報が正当な(改竄されていない)情報であると判定する。
【0049】
図13に示した処理は、測位情報の各タイムスロットに対して行い、各タイムスロットの測位情報が正当な情報であるかを確認する。ただし、時刻t3及びt6のようにバリデーションコードが存在しないタイムスロットについては検証の対象外とする。また、前後でバリデーションコードに含まれる路側機IDが変化した場合には、互いの経路上の位置関係に矛盾が無いことを図4〜図6において説明した路側機配置データ60で確認する。
【0050】
図14は、バリデーションサーバにおいて測位情報の正当性を検証する処理の一例のフローチャートである。バリデーションサーバ15は例えば装置導入時などに初期化されたあと、図14のフローチャートの処理を開始する。
【0051】
ステップS21に進み、読出機能部58は結束コード記録装置57から結束コードを1タイムスロット分読み出す。
【0052】
ステップS22に進み、測位情報検証機能部59は、結束コード記録装置57から読み出した1タイムスロット分の結束コードを、測位情報と正本のバリデーションコードとに分離する。ステップS23に進み、測位情報検証機能部59はバリデーションコードの正本から時刻情報を抽出する。
【0053】
ステップS24に進み、測位情報検証機能部59は抽出した時刻情報に対応する複写のバリデーションコードを、読出機能部55を利用してバリデーションコード記録装置54から検索する。ステップS25に進み、測位情報検証機能部59はステップS24の検索の結果、抽出した時刻情報に対応している複写のバリデーションコードがあるか否かを判定する。
【0054】
ステップS24の検索の結果、抽出した時刻情報に対応している複写のバリデーションコードがあれば、測位情報検証機能部59はステップS26に進み、路側機配置データ60との矛盾がないか否かを判定する。路側機配置データ60との矛盾がなければ、測位情報検証機能部59はステップS27に進み、バリデーションコードの正本と複写とを照合して、バリデーションコードの正本と複写とに含まれている乱数が一致するか否かを判定する。
【0055】
バリデーションコードの正本と複写とに含まれている乱数が一致していれば、測位情報検証機能部59はステップS28に進み、そのバリデーションコードの正本と結合されていた測位情報が正当な(改竄されていない)情報であると判定する。そして、ステップS29に進み、測位情報検証機能部59は正当な情報であると判定した測位情報を、認証済み測位情報の一時保存のバッファである測位情報格納庫81に格納する。
【0056】
なお、抽出したタイムスロットに対応している複写のバリデーションコードがなければ、測位情報検証機能部59はステップS25に続いてステップS29に進み、ステップS22で分離された測位情報を、認証済み測位情報の一時保存のバッファである測位情報格納庫81に格納する。
【0057】
ステップS26において、路側機配置データ60との矛盾があれば、測位情報検証機能部59はステップS30に進み、不正データ検出カウンタを加算する。また、ステップS27において、バリデーションコードの正本と複写とに含まれている乱数が一致していなければ、測位情報検証機能部59はステップS30に進み、不正データ検出カウンタを加算する。
【0058】
ステップS31に進み、測位情報検証機能部59は不正データ検出カウンタの許容値を越えたか否かを判定する。不正データ検出カウンタの許容値を越えていれば、測位情報検証機能部59はステップS32に進み、測位情報の異常により走行履歴情報の収集を中止する。
【0059】
ステップS31において、不正データ検出カウンタの許容値を越えていなければ、測位情報検証機能部59はステップS21に戻り処理を続ける。また、ステップS29において測位情報を、認証済み測位情報の一時保存のバッファである測位情報格納庫81に格納したあとも、測位情報検証機能部59はステップS21に戻り処理を続ける。認証済み測位情報の一時保存のバッファである測位情報格納庫81に格納された測位情報は定期的に読み出し、アプリケーションサーバ16へ送信する。
【0060】
図15はPAYDシステムの一実施例のシーケンス図である。ステップS41では本発明の手順で走行履歴を利用するサービスを契約する車両11に搭載されている車載機12が、GPS衛星10から測位信号を受信する。ステップS42に進み、車載機12は路側機13からバリデーションコードの正本を受信する。ステップS43に進み、バリデーションサーバ15は路側機13からバリデーションコードの複写を受信し、バリデーションコード記録装置54に記録する。
【0061】
ステップS44に進み、車載機12は同一タイムスロットの測位情報,バリデーションコードの正本,及び車両IDを連結して結束コードを生成する。バリテーションサーバ15はステップS45に進み、結束コードを広域ネットワーク17経由で車載機12から受信し、結束コード記録装置57に記録する。
【0062】
ステップS46に進み、バリデーションサーバ15は車載機12から広域ネットワーク17経由で受信した結束コードに含まれるバリデーションコードと、路側機13から交通管制ネットワーク18経由で受信したバリデーションコードとをタイムスロットごとに比較(照合)し、合致していれば、そのバリデーションコードの正本と結合されていた測位情報が正当な(改竄されていない)情報であると判定する。
【0063】
ステップS47に進み、バリデーションサーバ15は正当な情報であると判定した測位情報をアプリケーションサーバ16に送信する。そして、アプリケーションサーバ16はバリデーションサーバ15で正当性の検証により認証された測位情報(走行履歴情報)を利用し、例えば課金請求用のデータ処理として清算処理を行い、月次請求等の請求処理を行う。
【0064】
本実施例のバリデーションサーバ15は、例えば図16に示す構成のコンピュータシステムにより実現される。図16はバリデーションサーバを実現するコンピュータシステム一例の構成図である。
【0065】
コンピュータシステムは、それぞれバスBで相互に接続されている入力装置91,出力装置92,ドライブ装置93,補助記憶装置94,主記憶装置95,演算処理装置96およびインタフェース装置97で構成される。
【0066】
入力装置91はキーボードやマウスなどで構成され、各種信号を入力するために用いられる。出力装置92はディスプレイ装置などで構成され、各種ウインドウやデータ等を表示するために用いられる。インタフェース装置97は、モデム,LANカード等の通信インタフェース51,通信インタフェース52などで構成され、広域ネットワーク17や交通管制ネットワーク18に接続する為に用いられる。
【0067】
バリデーションサーバ15を制御するデータ検証プログラムは、コンピュータシステムを制御する各種プログラムの少なくとも一部である。データ検証プログラムは例えば記録媒体98の配布やネットワークからのダウンロードなどによって提供される。データ検証プログラムを記録した記録媒体98は、CD−ROM、フレキシブルディスク、光磁気ディスク等の様に情報を光学的,電気的或いは磁気的に記録する記録媒体、ROM、フラッシュメモリ等の様に情報を電気的に記録する半導体メモリ等、様々なタイプの記録媒体を用いることができる。
【0068】
また、データ検証プログラムを記録した記録媒体98がドライブ装置93にセットされると、データ検証プログラムは記録媒体98からドライブ装置93を介して補助記憶装置94にインストールされる。ネットワークからダウンロードされたデータ検証プログラムはインタフェース装置97を介して補助記憶装置94にインストールされる。
【0069】
補助記憶装置94はインストールされたデータ検証プログラムを格納すると共に、必要なファイル,データ等を格納する。主記憶装置95は、コンピュータシステムの起動時に補助記憶装置94からデータ検証プログラムを読み出して格納する。そして、演算処理装置96は主記憶装置95に格納されたデータ検証プログラムに従って、前述したような各種処理を実現している。
【0070】
本発明は、以下に記載する付記のような構成が考えられる。
(付記1)
車載機が取得した、路側機から送出される前記路側機及び送出時間を特定可能な第一の情報と、前記車載機が搭載された車両の位置を特定可能な第二の情報とを両方含んだ第三の情報を第一のネットワーク経由で取得する第一の取得手段と、
前記路側機から送出される前記第一の情報を第二のネットワーク経由で取得する第二の取得手段と、
前記第一の取得手段が取得した前記第三の情報に含まれる前記第一の情報と前記第二の取得手段が取得した前記第一の情報とを照合し、整合が取れているときに前記第一の取得手段が取得した前記第三の情報に含まれる前記第二の情報を正当な情報と判定する判定手段と
を有することを特徴とするデータ検証装置。
(付記2)
前記判定手段が正当な情報と判定した前記第二の情報に基づき、前記車載機が搭載された前記車両の走行履歴情報を出力する出力手段を更に有することを特徴とする付記1記載のデータ検証装置。
(付記3)
前記判定手段は、前記路側機の隣接関係を管理する路側機配置データを用いて、物理的に矛盾のある前記車両の走行履歴情報の有無を確認することを特徴とする付記2記載のデータ検証装置。
(付記4)
前記判定手段は、前記第一の取得手段が取得した前記第三の情報に含まれる前記第一の情報及び前記第二の取得手段が取得した前記第一の情報から前記路側機及び送出時間をそれぞれ特定し、同一の前記送出時間に対応する前記路側機が同一であるときに、前記第三の情報に含まれる前記第二の情報を正当な情報と判定することを特徴とする付記1乃至3何れか一項記載のデータ検証装置。
(付記5)
前記第一の取得手段は、前記路側機から送出される前記路側機を一意に識別可能な路側機識別子,前記送出時間を識別可能な時刻情報,乱数情報を含む第一の情報と、前記車載機が搭載された前記車両の位置を測位した測位情報を含む第二の情報と、前記車載機が搭載された前記車両を一意に識別可能な車両識別子とを含んだ第三の情報を取得することを特徴とする付記1乃至4何れか一項記載のデータ検証装置。
(付記6)
コンピュータを、
車載機が取得した、路側機から送出される前記路側機及び送出時間を特定可能な第一の情報と、前記車載機が搭載された車両の位置を特定可能な第二の情報とを両方含んだ第三の情報を第一のネットワーク経由で取得する第一の取得手段と、
前記路側機から送出される前記第一の情報を第二のネットワーク経由で取得する第二の取得手段と、
前記第一の取得手段が取得した前記第三の情報に含まれる前記第一の情報と前記第二の取得手段が取得した前記第一の情報とを照合し、整合が取れているときに前記第一の取得手段が取得した前記第三の情報に含まれる前記第二の情報を正当な情報と判定する判定手段と
して機能させる為のデータ検証プログラム。
【0071】
本発明は、具体的に開示された実施例に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。
【図面の簡単な説明】
【0072】
【図1】PAYDシステムの一例の構成図である。
【図2】本実施例で開示するデータ検証装置を適用した場合のPAYDシステムの一実施例の構成図である。
【図3】PAYDシステムの動作を表した概要図である。
【図4】路側機の配置例を表したイメージ図である。
【図5】路側機の他の配置例を表したイメージ図である。
【図6】路側機配置データの一例の構成図である。
【図7】路側機の一例の構成図である。
【図8】路側機の処理手順を表した一例のフローチャートである。
【図9】送信用データフォーマットの一例の構成図である。
【図10】車載機の一例の構成図である。
【図11】バリデーションサーバの一例の構成図である。
【図12】バリデーションサーバが収集するバリデーションコードと結束コードとの関係を表した説明図である。
【図13】バリデーションサーバにおいて測位情報の正当性を検証する処理の説明図である。
【図14】バリデーションサーバにおいて測位情報の正当性を検証する処理の一例のフローチャートである。
【図15】PAYDシステムの一実施例のシーケンス図である。
【図16】バリデーションサーバを実現するコンピュータシステム一例の構成図である。
【符号の説明】
【0073】
1,10 GPS衛星
2,11 車両
3 移動通信(携帯電話)ネットワーク
4 課金サーバ
12 車載機
13 路側機
14 広域通信アンテナ
15 バリデーションサーバ(Validation Server)
16 アプリケーションサーバ
17 広域ネットワーク
18 交通管制ネットワーク
21 時系列コード生成機能部
22 路側機ID情報
23 合成部
24,25 送信装置
31 GPSアンテナ
32,36 受信装置
33 測位情報一時記録装置
34,38 読出機能部
35 路側機アンテナ
37 バリデーションコード一時記録装置
39 結束コード生成機能部
40 車両ID付与部
41 送信装置
51,52 通信インタフェース
53 書込み機能部
54 バリデーションコード記録装置
55 読出機能部
56 書込み機能部
57 結束コード記録装置
58 読出機能部
59 測位情報検証機能部
60 路側機配置データ
71 バリデーションコード
72 結束コード
81 測位情報格納庫
91 入力装置
92 出力装置
93 ドライブ装置
94 補助記憶装置
95 主記憶装置
96 演算処理装置
97 インタフェース装置
98 記録媒体
【技術分野】
【0001】
本発明は、データ検証装置及びデータ検証プログラムに係り、特に車両に搭載された車載機から取得する情報の正当性を検証するデータ検証装置及びデータ検証プログラムに関する。
【背景技術】
【0002】
近年では、自動車の走行履歴に基づいて保険金額を変額する自動車保険サービスが保険会社から提供されるようになった。このような自動車の走行履歴に基づいて保険金額を変額する自動車保険は、PAYD(Pay-As-You-Drive)と呼ばれている。
【0003】
PAYDはGPS(Global Positioning System)等の測位システムにより走行距離を把握する機能と通信機能とを併せ持つ車載情報通信装置(車載機)を利用する(例えば非特許文献1参照)。
【0004】
図1は、PAYDシステムの一例の構成図である。車両2に搭載された車載機はGPS衛星1から測位信号を受信する。車載機は受信した測位信号から車両2の自車位置を連続的に算出して測位情報として記録する。車載機は例えば所定の間隔で測位情報を、移動通信(携帯電話)ネットワーク3経由で保険会社の課金サーバ4に送信する。課金サーバ4にはPAYDアプリケーションがインストールされている。課金サーバ4は、受信した測位情報に基づき、課金請求用のデータ処理として清算処理を行い、月次請求等の請求処理を行っていた。
【非特許文献1】加藤純央、「今後の自動車保険PAYDに期待すること」、野村総合研究所 「ファイナンシャル インフォメーション テクノロジー フォーカス April 2007」、[online]、インターネット<URL://www.nri.co.jp/opinion/kinyu_itf/2007/pdf/itf20070405.pdf>
【発明の開示】
【発明が解決しようとする課題】
【0005】
PAYDは車載機から受信した測位情報に基づき保険金額を算出するため、車載機から受信した測位情報が正しい内容、言い換えれば改竄等されていない正当性のある測位情報であることが重要となる。しかしながら、従来のPAYDは測位情報の正当性をブラックボックスである車載機と移動通信ネットワークの堅牢性とに依存している。従って、従来のPAYDにおける測位情報は改竄があったか否かを課金サーバ側で検証できず、信頼性が低いという問題があった。
【0006】
本発明の一実施形態は、上記の点に鑑みなされたもので、車載機から取得した情報の正当性の検証を行うことができるデータ検証装置及びデータ検証プログラムを提供することを目的とする。
【課題を解決するための手段】
【0007】
上記課題を解決する為、本発明の一実施形態は、車載機が取得した、路側機から送出される前記路側機及び送出時間を特定可能な第一の情報と、前記車載機が搭載された車両の位置を特定可能な第二の情報とを両方含んだ第三の情報を第一のネットワーク経由で取得する第一の取得手段と、前記路側機から送出される前記第一の情報を第二のネットワーク経由で取得する第二の取得手段と、前記第一の取得手段が取得した前記第三の情報に含まれる前記第一の情報と前記第二の取得手段が取得した前記第一の情報とを照合し、整合が取れているときに前記第一の取得手段が取得した前記第三の情報に含まれる前記第二の情報を正当な情報と判定する判定手段とを有するデータ検証装置であることを特徴とする。
【0008】
なお、本発明の一実施形態の構成要素、表現又は構成要素の任意の組合せを、方法、装置、システム、コンピュータプログラム、記録媒体、データ構造などに適用したものも本発明の態様として有効である。
【発明の効果】
【0009】
上述の如く、本発明の一実施形態によれば、車載機から取得した情報の正当性の検証を行うことができるデータ検証装置及びデータ検証プログラムを提供可能である。
【発明を実施するための最良の形態】
【0010】
次に、本発明を実施するための最良の形態を、以下の実施例に基づき図面を参照しつつ説明していく。
【0011】
図2は本実施例で開示するデータ検証装置を適用した場合のPAYDシステムの一実施例の構成図である。なお、以降の実施例の説明においては、従来のPAYDシステムの意味ではなく、本実施例で開示するデータ検証装置を適用したシステムの意味でPAYDシステムと記載している。図2のPAYDシステムはGPS衛星10,車両11,車載機12,路側機13,広域通信アンテナ14,バリデーションサーバ(Validation Server)15,アプリケーションサーバ16,広域ネットワーク17及び交通管制ネットワーク18を有する構成である。
【0012】
車載機12はPAYDを契約する車両11に搭載されている。車載機12は、GPS衛星10から測位信号を受信すると共に、路側機13から後述のバリデーションコードを受信する。路側機13は信号機や車両感知器等に取り付けられることにより、主に道路上に配置される。路側機13は交通管制センタや上位制御装置等を収容する交通管制ネットワーク18にデータ通信可能に接続されている。
【0013】
車載機12は広域通信アンテナ14経由で広域ネットワーク17にデータ通信可能に接続されている。広域ネットワーク17は携帯電話網やインターネット等、車両11の移動中にデータ通信可能なネットワークである。バリデーションサーバ15は車載機12から後述の結束コードを受信すると共に、路側機13から後述のバリデーションコードを受信する。結束コードは、測位情報と後述のバリデーションコードとを結合することで生成される。
【0014】
バリデーションサーバ15は車載機12から受信した後述の結束コードに含まれるバリデーションコードと路側機13から受信した後述のバリデーションコードとに基づき、車載機12から受信した後述の結束コードに含まれる測位情報の正当性の検証を行う。言い換えれば、バリデーションサーバ15は受信した結束コードから車両11の走行履歴情報の正当性の検証を後述のように行う。
【0015】
アプリケーションサーバ16はバリデーションサーバ15で正当性の検証により認証された走行履歴情報を利用し、例えば課金請求用のデータ処理として清算処理を行い、月次請求等の請求処理を行う。
【0016】
図3はPAYDシステムの動作を表した概要図である。ステップS1では、車両11に搭載された車載機12がGPS衛星10から測位信号を受信する。ステップS2では路側機13が個々の路側機を互いに識別可能な固有のIDである固有IDと時間に応じて変化するように生成した乱数とを含む路側機コードからバリデーションコードを生成し、車載機12にバリデーションコードの正本を送信すると共に、バリデーションサーバ15にバリデーションコードの複写を送信する。路側機13は識別子であるバリデーションコードを動的に生成し、車載機12及びバリデーションサーバ15の双方に送信する。なお、路側機13は、無線によりバリデーションコードを放送するので、路側機13の近辺を通行中の移動体(車)に搭載された車載機12は、無線によりバリデーションコードを受信することになる。
【0017】
ステップS3に進み、車載機12は測位情報とバリデーションコードの正本とを結合することで結束コードを生成する。ステップS4に進み、車載機12は広域ネットワーク17経由で結束コードをバリデーションサーバ15に送信する。ステップS5に進み、バリデーションサーバ15は、受信した結束コードをデコードすることにより測位情報とバリデーションコードの正本とを分離する。
【0018】
バリデーションサーバ15は、バリデーションコードの正本とバリデーションコードの複写とを照合し、合致していれば、そのバリデーションコードの正本と結合されていた測位情報が正当な(改竄されていない)情報であると判定する。ステップS6に進み、バリデーションサーバ15は正当な情報であることが認証された測位情報(走行履歴情報)をアプリケーションサーバ16に送信する。
【0019】
また、バリテーションサーバ15は例えばオプション機能としてバリデーションコードの正本とバリデーションコードの複写との照合結果(Result code)を車載機12又はアプリケーションサーバ16に送信し、記録させるようにしてもよい。照合結果の送信先はアプリケーションによって異ならせることもできる。また、図3のPAYDシステムはバリデーションコードに路側機13の固有ID,乱数に加え、路側機13の位置のリスク情報を含ませることで保険金額の変額を、きめ細かく行うことができる。
【0020】
図4は路側機の配置例を表したイメージ図である。図4は路側機ID−1,ID−2及びID−3が配置されている例を表している。路側機ID−1,ID−2及びID−3は常時近傍の道路上に向けて、バリデーションコードを送信し続ける。なお、図4に示すように、路側機ID−1,ID−2及びID−3によるバリデーションコードの送信範囲は必ずしも道路上の全ての範囲をカバーしなくてもよい。
【0021】
図4中の車両11が左から右へ走行すると、車両11に搭載された車載機12は路側機ID−1が送信したバリデーションコード,ID−2が送信したバリデーションコード及びID−3が送信したバリデーションコードの順番に受信する。
【0022】
図5は路側機の他の配置例を表したイメージ図である。図5のイメージ図は、路側機ID−1,ID−2,ID−3及びID−4が、それぞれ交差点に配置されている例を表している。もちろん、路側機の設置場所を交差点に限るものではない。
【0023】
路側機ID−1が配置されている交差点を通過した車両11は、路側機ID−4が配置されている交差点に到達するため、路側機ID−2が配置されている交差点もしくは路側機ID−3が配置されている交差点を経由する必要があるものとする。
【0024】
言い換えれば、路側機ID−1が配置されている交差点と路側機ID−4が配置されている交差点との経路上には、路側機ID−2が配置されている交差点又は路側機ID−3が配置されている交差点があるため、路側機ID−1が送信したバリデーションコードの次にID−4が送信したバリデーションコードを受信することはありえない。
【0025】
そこで、本実施例のPAYDシステムでは経路上にある路側機13を物理的に配置された順序で通過したことを確認する為のルールを、図6の路側機配置データとして定義している。図6は路側機配置データの一例の構成図である。図6に示す路側機配置データは水平垂直方向にある路側機13が隣接関係にあり、それ以外の斜め方向にある路側機13が隣接関係に無く、移動できないことを表している。路側機配置データの利用については後述する。
【0026】
図7は路側機の一例の構成図である。路側機13は、時系列コード生成機能部21,路側機ID情報22,合成部23,無線インタフェースである送信装置24および有線インタフェースである送信装置25を有する構成である。図7の路側機13の処理手順について図8のフローチャートを参照しつつ説明していく。図8は路側機の処理手順を表した一例のフローチャートである。
【0027】
路側機13は初期化されたあと、図8のフローチャートの処理を開始する。ステップS11に進み、時系列コード生成機能部21は処理対象となるタイムスロット番号,時刻を取得する。ステップS12に進み、時系列コード生成機能部21は取得した時刻をもとに乱数を生成する。
【0028】
時系列コード生成機能部21が生成する乱数は、時間軸上の相関の低い、繰り返し出現頻度の低いデータ列である。時系列コード生成機能部21は生成した乱数を合成部23に送信する。
【0029】
ステップS13に進み、合成部23は、時系列コード生成機能部21から乱数をタイムスロット毎に受信すると共に、固有IDとしての路側機ID(路側機識別子)を路側機ID情報22から読み出す。ステップS14に進み、合成部23はタイムスロット毎に路側機コードである路側機IDと乱数とを結合する。
【0030】
ステップS15に進み、合成部23は図9に示すような送信用データフォーマットを構成する。図9は、送信用データフォーマットの一例の構成図である。図9の送信用データフォーマットは時刻情報「TS」と、路側機ID「ID」と、乱数「RD」とを有する構成である。ステップS16に進み、合成部23は図9の送信用データフォーマットをバリデーションコードとして送信装置24から移動ネットワーク(無線)経由で車両11の車載機12に送信する。ステップS15に続いてステップS17に進み、合成部23は図9に示す送信用データフォーマットをバリデーションコードとして、送信装置25から交通管制ネットワーク18経由でバリデーションサーバ15に送信する。
【0031】
そして、ステップS16又はS17に続いてステップS18に進み、時系列コード生成機能部21は処理対象とするタイムスロット番号に1を加算したあと、ステップS11の処理に戻り、図8のフローチャートの処理を続ける。図8のフローチャートの処理により路側機13は路側機IDと乱数とを結合することで、時系列などで容易に予測できないバリデーションコードを生成できる。
【0032】
図10は、車載機の一例の構成図である。車載機12は、GPSアンテナ31,受信装置32,測位情報一時記録装置33,読出機能部34,路側機アンテナ35,受信装置36,バリデーションコード一時記録装置37,読出機能部38,結束コード生成機能部39,車両ID付与部40,送信装置41を有する構成である。
【0033】
受信装置32はGPSアンテナ31経由でGPS衛星10から測位信号を受信する。受信装置32は受信した測位信号を測位情報p1〜p9としてタイムスロット毎に測位情報一時記録装置33に記録する。
【0034】
受信装置36は路側機アンテナ35経由で路側機13からバリデーションコードを受信する。受信装置36は、バリデーションコードID−1〜ID3をタイムスロット毎にバリデーションコード一時記録装置37に記録する。なお、図10に示すように、路側機13によるバリデーションコードの送信範囲外を車両11が通過するとき等、受信装置36がバリデーションコードを受信できない場合は、その時刻に対応するタイムスロットにバリデーションコードが存在しない。
【0035】
読出機能部34及び読出機能部38は同一タイムスロットの測位情報とバリデーションコードとを測位情報一時記録装置33及びバリデーションコード一時記録装置37から読み出し、結束コード生成機能部39に送信する。結束コード生成機能部39は、同一タイムスロットの測位情報とバリデーションコードとを1対1で関連付けて1つのデータストリームを構成する。単純な方法としては同一タイムスロットの測位情報とバリデーションコードとを連結する。その他、同一タイムスロットのバリデーションコードを暗号鍵として測位情報の暗号化を行う高度な方法を採用してもよい。結束コード生成機能部39で構成されたデータストリームは結束コードである。
【0036】
結束コード生成機能部39は、結束コードを車両ID付与部40に送信する。車両ID付与部40は、結束コードのタイムスロット毎に車両ID「CID」を付与する。送信装置41はタイムスロット毎に車両IDが付与された結束コードを広域ネットワーク17経由でバリデーションサーバ15に送信する。
【0037】
図11は、バリデーションサーバの一例の構成図である。バリデーションサーバ15は通信インタフェース51,通信インタフェース52,書込み機能部53,バリデーションコード記録装置54,読出機能部55,書込み機能部56,結束コード記録装置57,読出機能部58,測位情報検証機能部59,路側機配置データ60を有する構成である。
【0038】
書込み機能部53は交通管制ネットワーク18及び通信インタフェース51経由で路側機13からバリデーションコードを受信する。書込み機能部53はバリデーションコードの各タイムスロットに含まれる路側機IDに基づき、バリデーションコードの各タイムスロットを蓄積先(バッファ)に振り分ける。
【0039】
また、書込み機能部56は広域ネットワーク17及び通信インタフェース52経由で車載機12から結束コードを受信する。書込み機能部56は結束コードの各タイムスロットに含まれる車両IDに基づき、結束コード(走行履歴)の各タイムスロットを、検証されるまでの間、一時保管する蓄積先(バッファ)に振り分ける。
【0040】
図12は、バリデーションサーバが収集するバリデーションコードと結束コードとの関係を表した説明図である。バリデーションサーバ15は、路側機13からバリデーションコード71を受信すると、路側機13毎に異なる蓄積先(バッファ)に各タイムスロットを振り分けて、一定の時間、蓄積しておく。つまり、バリデーションサーバ15は管理下にある路側機13の数だけ、異なる蓄積先(バッファ)が必要となる。
【0041】
また、バリデーションサーバ15は各車両11の車載機12から結束コード72を受信すると、車両ID毎に異なる蓄積先(バッファ)に各タイムスロットを振り分けて、一定の時間、蓄積しておく。ここで言う一定の時間とは、結束コード72に含まれる測位情報の正当性が検証される迄である。結束コード72に含まれる測位情報の正当性が検証されたあと、結束コード72に含まれるバリデーションコードは破棄してもよい。
【0042】
なお、路側機13から受信したバリデーションコード71と結束コード72に含まれるバリデーションコードとは時刻情報で結びつけられる。図12に示した結束コード72は時刻t1〜t2の間、車載機12が路側機ID−1からバリデーションコード71を受信し、時刻t4〜t5の間、車載機12が路側機ID−2からバリデーションコード71を受信し、時刻t7〜t9の間、車載機12が路側機ID−3からバリデーションコード71を受信していることを表している。
【0043】
時刻t3及びt6は車載機12が何れの路側機13からもバリデーションコード71を受信していないことを表している。車載機12が何れの路側機13からもバリデーションコード71を受信しない例としては、車両11が路側機13によるバリデーションコードの送信範囲外を通過していること等が考えられる。
【0044】
バリデーションコード71を受信していない時刻に対応するタイムスロットには、時刻t3及びt6のようにバリデーションコードが存在しない。バリデーションコードが一定の間隔で存在しないと、走行履歴情報の正当性を確認できないが、一定の間隔は市街地や郊外など走行場所により異なる。
【0045】
図11に戻り、読出機能部58は結束コード記録装置57から周期的に結束コード72のタイムスロットを読み出していく。測位情報検証機能部59は読み出した結束コード72の検証しようとするタイムスロットにバリデーションコードが存在する場合、そのバリデーションコードと時刻情報が同じバリデーションコードを、読出機能部55を利用してバリデーションコード記録装置54から検索する。
【0046】
測位情報検証機能部59は、結束コード記録装置57から読み出した結束コードに含まれる測位情報の正当性を、図13に示すように検証する。図13はバリデーションサーバにおいて測位情報の正当性を検証する処理の説明図である。
【0047】
測位情報検証機能部59は、結束コード記録装置57から読み出した時刻t1における結束コードを、時刻t1の測位情報と正本のバリデーションコードとに分離する。測位情報検証機能部59は、分離した時刻t1の正本のバリデーションコードに含まれる時刻情報と路側機IDとに基づいて、路側機ID−1の蓄積先から時刻情報が同じ、複写のバリデーションコードを、読出機能部55経由でバリデーションコード記録装置54から検索する。
【0048】
測位情報検証機能部59は、バリデーションコードの正本とバリデーションコードの複写とを照合し、合致していれば、そのバリデーションコードの正本と結合されていた時刻t1の測位情報が正当な(改竄されていない)情報であると判定する。
【0049】
図13に示した処理は、測位情報の各タイムスロットに対して行い、各タイムスロットの測位情報が正当な情報であるかを確認する。ただし、時刻t3及びt6のようにバリデーションコードが存在しないタイムスロットについては検証の対象外とする。また、前後でバリデーションコードに含まれる路側機IDが変化した場合には、互いの経路上の位置関係に矛盾が無いことを図4〜図6において説明した路側機配置データ60で確認する。
【0050】
図14は、バリデーションサーバにおいて測位情報の正当性を検証する処理の一例のフローチャートである。バリデーションサーバ15は例えば装置導入時などに初期化されたあと、図14のフローチャートの処理を開始する。
【0051】
ステップS21に進み、読出機能部58は結束コード記録装置57から結束コードを1タイムスロット分読み出す。
【0052】
ステップS22に進み、測位情報検証機能部59は、結束コード記録装置57から読み出した1タイムスロット分の結束コードを、測位情報と正本のバリデーションコードとに分離する。ステップS23に進み、測位情報検証機能部59はバリデーションコードの正本から時刻情報を抽出する。
【0053】
ステップS24に進み、測位情報検証機能部59は抽出した時刻情報に対応する複写のバリデーションコードを、読出機能部55を利用してバリデーションコード記録装置54から検索する。ステップS25に進み、測位情報検証機能部59はステップS24の検索の結果、抽出した時刻情報に対応している複写のバリデーションコードがあるか否かを判定する。
【0054】
ステップS24の検索の結果、抽出した時刻情報に対応している複写のバリデーションコードがあれば、測位情報検証機能部59はステップS26に進み、路側機配置データ60との矛盾がないか否かを判定する。路側機配置データ60との矛盾がなければ、測位情報検証機能部59はステップS27に進み、バリデーションコードの正本と複写とを照合して、バリデーションコードの正本と複写とに含まれている乱数が一致するか否かを判定する。
【0055】
バリデーションコードの正本と複写とに含まれている乱数が一致していれば、測位情報検証機能部59はステップS28に進み、そのバリデーションコードの正本と結合されていた測位情報が正当な(改竄されていない)情報であると判定する。そして、ステップS29に進み、測位情報検証機能部59は正当な情報であると判定した測位情報を、認証済み測位情報の一時保存のバッファである測位情報格納庫81に格納する。
【0056】
なお、抽出したタイムスロットに対応している複写のバリデーションコードがなければ、測位情報検証機能部59はステップS25に続いてステップS29に進み、ステップS22で分離された測位情報を、認証済み測位情報の一時保存のバッファである測位情報格納庫81に格納する。
【0057】
ステップS26において、路側機配置データ60との矛盾があれば、測位情報検証機能部59はステップS30に進み、不正データ検出カウンタを加算する。また、ステップS27において、バリデーションコードの正本と複写とに含まれている乱数が一致していなければ、測位情報検証機能部59はステップS30に進み、不正データ検出カウンタを加算する。
【0058】
ステップS31に進み、測位情報検証機能部59は不正データ検出カウンタの許容値を越えたか否かを判定する。不正データ検出カウンタの許容値を越えていれば、測位情報検証機能部59はステップS32に進み、測位情報の異常により走行履歴情報の収集を中止する。
【0059】
ステップS31において、不正データ検出カウンタの許容値を越えていなければ、測位情報検証機能部59はステップS21に戻り処理を続ける。また、ステップS29において測位情報を、認証済み測位情報の一時保存のバッファである測位情報格納庫81に格納したあとも、測位情報検証機能部59はステップS21に戻り処理を続ける。認証済み測位情報の一時保存のバッファである測位情報格納庫81に格納された測位情報は定期的に読み出し、アプリケーションサーバ16へ送信する。
【0060】
図15はPAYDシステムの一実施例のシーケンス図である。ステップS41では本発明の手順で走行履歴を利用するサービスを契約する車両11に搭載されている車載機12が、GPS衛星10から測位信号を受信する。ステップS42に進み、車載機12は路側機13からバリデーションコードの正本を受信する。ステップS43に進み、バリデーションサーバ15は路側機13からバリデーションコードの複写を受信し、バリデーションコード記録装置54に記録する。
【0061】
ステップS44に進み、車載機12は同一タイムスロットの測位情報,バリデーションコードの正本,及び車両IDを連結して結束コードを生成する。バリテーションサーバ15はステップS45に進み、結束コードを広域ネットワーク17経由で車載機12から受信し、結束コード記録装置57に記録する。
【0062】
ステップS46に進み、バリデーションサーバ15は車載機12から広域ネットワーク17経由で受信した結束コードに含まれるバリデーションコードと、路側機13から交通管制ネットワーク18経由で受信したバリデーションコードとをタイムスロットごとに比較(照合)し、合致していれば、そのバリデーションコードの正本と結合されていた測位情報が正当な(改竄されていない)情報であると判定する。
【0063】
ステップS47に進み、バリデーションサーバ15は正当な情報であると判定した測位情報をアプリケーションサーバ16に送信する。そして、アプリケーションサーバ16はバリデーションサーバ15で正当性の検証により認証された測位情報(走行履歴情報)を利用し、例えば課金請求用のデータ処理として清算処理を行い、月次請求等の請求処理を行う。
【0064】
本実施例のバリデーションサーバ15は、例えば図16に示す構成のコンピュータシステムにより実現される。図16はバリデーションサーバを実現するコンピュータシステム一例の構成図である。
【0065】
コンピュータシステムは、それぞれバスBで相互に接続されている入力装置91,出力装置92,ドライブ装置93,補助記憶装置94,主記憶装置95,演算処理装置96およびインタフェース装置97で構成される。
【0066】
入力装置91はキーボードやマウスなどで構成され、各種信号を入力するために用いられる。出力装置92はディスプレイ装置などで構成され、各種ウインドウやデータ等を表示するために用いられる。インタフェース装置97は、モデム,LANカード等の通信インタフェース51,通信インタフェース52などで構成され、広域ネットワーク17や交通管制ネットワーク18に接続する為に用いられる。
【0067】
バリデーションサーバ15を制御するデータ検証プログラムは、コンピュータシステムを制御する各種プログラムの少なくとも一部である。データ検証プログラムは例えば記録媒体98の配布やネットワークからのダウンロードなどによって提供される。データ検証プログラムを記録した記録媒体98は、CD−ROM、フレキシブルディスク、光磁気ディスク等の様に情報を光学的,電気的或いは磁気的に記録する記録媒体、ROM、フラッシュメモリ等の様に情報を電気的に記録する半導体メモリ等、様々なタイプの記録媒体を用いることができる。
【0068】
また、データ検証プログラムを記録した記録媒体98がドライブ装置93にセットされると、データ検証プログラムは記録媒体98からドライブ装置93を介して補助記憶装置94にインストールされる。ネットワークからダウンロードされたデータ検証プログラムはインタフェース装置97を介して補助記憶装置94にインストールされる。
【0069】
補助記憶装置94はインストールされたデータ検証プログラムを格納すると共に、必要なファイル,データ等を格納する。主記憶装置95は、コンピュータシステムの起動時に補助記憶装置94からデータ検証プログラムを読み出して格納する。そして、演算処理装置96は主記憶装置95に格納されたデータ検証プログラムに従って、前述したような各種処理を実現している。
【0070】
本発明は、以下に記載する付記のような構成が考えられる。
(付記1)
車載機が取得した、路側機から送出される前記路側機及び送出時間を特定可能な第一の情報と、前記車載機が搭載された車両の位置を特定可能な第二の情報とを両方含んだ第三の情報を第一のネットワーク経由で取得する第一の取得手段と、
前記路側機から送出される前記第一の情報を第二のネットワーク経由で取得する第二の取得手段と、
前記第一の取得手段が取得した前記第三の情報に含まれる前記第一の情報と前記第二の取得手段が取得した前記第一の情報とを照合し、整合が取れているときに前記第一の取得手段が取得した前記第三の情報に含まれる前記第二の情報を正当な情報と判定する判定手段と
を有することを特徴とするデータ検証装置。
(付記2)
前記判定手段が正当な情報と判定した前記第二の情報に基づき、前記車載機が搭載された前記車両の走行履歴情報を出力する出力手段を更に有することを特徴とする付記1記載のデータ検証装置。
(付記3)
前記判定手段は、前記路側機の隣接関係を管理する路側機配置データを用いて、物理的に矛盾のある前記車両の走行履歴情報の有無を確認することを特徴とする付記2記載のデータ検証装置。
(付記4)
前記判定手段は、前記第一の取得手段が取得した前記第三の情報に含まれる前記第一の情報及び前記第二の取得手段が取得した前記第一の情報から前記路側機及び送出時間をそれぞれ特定し、同一の前記送出時間に対応する前記路側機が同一であるときに、前記第三の情報に含まれる前記第二の情報を正当な情報と判定することを特徴とする付記1乃至3何れか一項記載のデータ検証装置。
(付記5)
前記第一の取得手段は、前記路側機から送出される前記路側機を一意に識別可能な路側機識別子,前記送出時間を識別可能な時刻情報,乱数情報を含む第一の情報と、前記車載機が搭載された前記車両の位置を測位した測位情報を含む第二の情報と、前記車載機が搭載された前記車両を一意に識別可能な車両識別子とを含んだ第三の情報を取得することを特徴とする付記1乃至4何れか一項記載のデータ検証装置。
(付記6)
コンピュータを、
車載機が取得した、路側機から送出される前記路側機及び送出時間を特定可能な第一の情報と、前記車載機が搭載された車両の位置を特定可能な第二の情報とを両方含んだ第三の情報を第一のネットワーク経由で取得する第一の取得手段と、
前記路側機から送出される前記第一の情報を第二のネットワーク経由で取得する第二の取得手段と、
前記第一の取得手段が取得した前記第三の情報に含まれる前記第一の情報と前記第二の取得手段が取得した前記第一の情報とを照合し、整合が取れているときに前記第一の取得手段が取得した前記第三の情報に含まれる前記第二の情報を正当な情報と判定する判定手段と
して機能させる為のデータ検証プログラム。
【0071】
本発明は、具体的に開示された実施例に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。
【図面の簡単な説明】
【0072】
【図1】PAYDシステムの一例の構成図である。
【図2】本実施例で開示するデータ検証装置を適用した場合のPAYDシステムの一実施例の構成図である。
【図3】PAYDシステムの動作を表した概要図である。
【図4】路側機の配置例を表したイメージ図である。
【図5】路側機の他の配置例を表したイメージ図である。
【図6】路側機配置データの一例の構成図である。
【図7】路側機の一例の構成図である。
【図8】路側機の処理手順を表した一例のフローチャートである。
【図9】送信用データフォーマットの一例の構成図である。
【図10】車載機の一例の構成図である。
【図11】バリデーションサーバの一例の構成図である。
【図12】バリデーションサーバが収集するバリデーションコードと結束コードとの関係を表した説明図である。
【図13】バリデーションサーバにおいて測位情報の正当性を検証する処理の説明図である。
【図14】バリデーションサーバにおいて測位情報の正当性を検証する処理の一例のフローチャートである。
【図15】PAYDシステムの一実施例のシーケンス図である。
【図16】バリデーションサーバを実現するコンピュータシステム一例の構成図である。
【符号の説明】
【0073】
1,10 GPS衛星
2,11 車両
3 移動通信(携帯電話)ネットワーク
4 課金サーバ
12 車載機
13 路側機
14 広域通信アンテナ
15 バリデーションサーバ(Validation Server)
16 アプリケーションサーバ
17 広域ネットワーク
18 交通管制ネットワーク
21 時系列コード生成機能部
22 路側機ID情報
23 合成部
24,25 送信装置
31 GPSアンテナ
32,36 受信装置
33 測位情報一時記録装置
34,38 読出機能部
35 路側機アンテナ
37 バリデーションコード一時記録装置
39 結束コード生成機能部
40 車両ID付与部
41 送信装置
51,52 通信インタフェース
53 書込み機能部
54 バリデーションコード記録装置
55 読出機能部
56 書込み機能部
57 結束コード記録装置
58 読出機能部
59 測位情報検証機能部
60 路側機配置データ
71 バリデーションコード
72 結束コード
81 測位情報格納庫
91 入力装置
92 出力装置
93 ドライブ装置
94 補助記憶装置
95 主記憶装置
96 演算処理装置
97 インタフェース装置
98 記録媒体
【特許請求の範囲】
【請求項1】
車載機が取得した、路側機から送出される前記路側機及び送出時間を特定可能な第一の情報と、前記車載機が搭載された車両の位置を特定可能な第二の情報とを両方含んだ第三の情報を第一のネットワーク経由で取得する第一の取得手段と、
前記路側機から送出される前記第一の情報を第二のネットワーク経由で取得する第二の取得手段と、
前記第一の取得手段が取得した前記第三の情報に含まれる前記第一の情報と前記第二の取得手段が取得した前記第一の情報とを照合し、整合が取れているときに前記第一の取得手段が取得した前記第三の情報に含まれる前記第二の情報を正当な情報と判定する判定手段と
を有することを特徴とするデータ検証装置。
【請求項2】
前記判定手段が正当な情報と判定した前記第二の情報に基づき、前記車載機が搭載された前記車両の走行履歴情報を出力する出力手段を更に有することを特徴とする請求項1記載のデータ検証装置。
【請求項3】
前記判定手段は、前記路側機の隣接関係を管理する路側機配置データを用いて、物理的に矛盾のある前記車両の走行履歴情報の有無を確認することを特徴とする請求項2記載のデータ検証装置。
【請求項4】
前記判定手段は、前記第一の取得手段が取得した前記第三の情報に含まれる前記第一の情報及び前記第二の取得手段が取得した前記第一の情報から前記路側機及び送出時間をそれぞれ特定し、同一の前記送出時間に対応する前記路側機が同一であるときに、前記第三の情報に含まれる前記第二の情報を正当な情報と判定することを特徴とする請求項1乃至3何れか一項記載のデータ検証装置。
【請求項5】
コンピュータを、
車載機が取得した、路側機から送出される前記路側機及び送出時間を特定可能な第一の情報と、前記車載機が搭載された車両の位置を特定可能な第二の情報とを両方含んだ第三の情報を第一のネットワーク経由で取得する第一の取得手段と、
前記路側機から送出される前記第一の情報を第二のネットワーク経由で取得する第二の取得手段と、
前記第一の取得手段が取得した前記第三の情報に含まれる前記第一の情報と前記第二の取得手段が取得した前記第一の情報とを照合し、整合が取れているときに前記第一の取得手段が取得した前記第三の情報に含まれる前記第二の情報を正当な情報と判定する判定手段と
して機能させる為のデータ検証プログラム。
【請求項1】
車載機が取得した、路側機から送出される前記路側機及び送出時間を特定可能な第一の情報と、前記車載機が搭載された車両の位置を特定可能な第二の情報とを両方含んだ第三の情報を第一のネットワーク経由で取得する第一の取得手段と、
前記路側機から送出される前記第一の情報を第二のネットワーク経由で取得する第二の取得手段と、
前記第一の取得手段が取得した前記第三の情報に含まれる前記第一の情報と前記第二の取得手段が取得した前記第一の情報とを照合し、整合が取れているときに前記第一の取得手段が取得した前記第三の情報に含まれる前記第二の情報を正当な情報と判定する判定手段と
を有することを特徴とするデータ検証装置。
【請求項2】
前記判定手段が正当な情報と判定した前記第二の情報に基づき、前記車載機が搭載された前記車両の走行履歴情報を出力する出力手段を更に有することを特徴とする請求項1記載のデータ検証装置。
【請求項3】
前記判定手段は、前記路側機の隣接関係を管理する路側機配置データを用いて、物理的に矛盾のある前記車両の走行履歴情報の有無を確認することを特徴とする請求項2記載のデータ検証装置。
【請求項4】
前記判定手段は、前記第一の取得手段が取得した前記第三の情報に含まれる前記第一の情報及び前記第二の取得手段が取得した前記第一の情報から前記路側機及び送出時間をそれぞれ特定し、同一の前記送出時間に対応する前記路側機が同一であるときに、前記第三の情報に含まれる前記第二の情報を正当な情報と判定することを特徴とする請求項1乃至3何れか一項記載のデータ検証装置。
【請求項5】
コンピュータを、
車載機が取得した、路側機から送出される前記路側機及び送出時間を特定可能な第一の情報と、前記車載機が搭載された車両の位置を特定可能な第二の情報とを両方含んだ第三の情報を第一のネットワーク経由で取得する第一の取得手段と、
前記路側機から送出される前記第一の情報を第二のネットワーク経由で取得する第二の取得手段と、
前記第一の取得手段が取得した前記第三の情報に含まれる前記第一の情報と前記第二の取得手段が取得した前記第一の情報とを照合し、整合が取れているときに前記第一の取得手段が取得した前記第三の情報に含まれる前記第二の情報を正当な情報と判定する判定手段と
して機能させる為のデータ検証プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【公開番号】特開2009−237971(P2009−237971A)
【公開日】平成21年10月15日(2009.10.15)
【国際特許分類】
【出願番号】特願2008−84203(P2008−84203)
【出願日】平成20年3月27日(2008.3.27)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成21年10月15日(2009.10.15)
【国際特許分類】
【出願日】平成20年3月27日(2008.3.27)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]