ナビゲーションシステム
【課題】書き換え可能な記録媒体を仲介としてナビゲーションユニットに地図データを転送するナビゲーションシステムにおいて、より強固なセキュリティ対策を講じるための技術を提供する。
【解決手段】地図データが記録される書き換え可能なデータ領域に地図データの更新に必要な更新権情報が記録された記録媒体4に対するナビゲーションユニット1による最初のデータアクセス時に更新権情報がデータ領域から読み出されるとともにデータ領域から削除され、読み出された更新権情報に基づいて作成された地図更新期限が、書き換え不能な管理領域から読み出された媒体識別情報とともにナビゲーションユニットのメモリに書き込まれる。
【解決手段】地図データが記録される書き換え可能なデータ領域に地図データの更新に必要な更新権情報が記録された記録媒体4に対するナビゲーションユニット1による最初のデータアクセス時に更新権情報がデータ領域から読み出されるとともにデータ領域から削除され、読み出された更新権情報に基づいて作成された地図更新期限が、書き換え不能な管理領域から読み出された媒体識別情報とともにナビゲーションユニットのメモリに書き込まれる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、地図データを用いて動作するナビゲーションユニットと当該ナビゲーションユニットに着脱可能な記録媒体とを有し、前記記録媒体は前記地図データが記録される書き換え可能なデータ領域と媒体識別情報が記録される書き換え不能な管理領域とを有するナビゲーションシステムに関する。
【背景技術】
【0002】
近年、大容量化が進むフラッシュメモリ等の記録媒体に地図データを記憶したナビゲーションユニット、特に自動車に搭載されるカーナビゲーションユニットが登場している。また、道路の新設、都市開発等で道路事情が刻々と変化している。このため、ナビゲーションユニットに使用する地図データも随時更新することが望ましい。その際、上述したようなフラッシュメモリ等の記録媒体は、ナビゲーションユニットに着脱可能であるため、このような記録媒体に記録されている地図データを更新する構成とすれば、ナビゲーションユニットないしはナビゲーションユニットのメモリを自動車から取り外す必要がなく更新が容易である。しかしながら、フラッシュメモリ等の記録媒体に記録されたデータは、一般的には容易にコピー可能なので、あるユーザが購入した正規の記録媒体から違法コピーされた違法記録媒体を他のユーザが受け取って、このユーザのナビゲーションユニットに用いる地図データを更新するという不正が可能となる。
【0003】
上述したような記録媒体の違法コピーを通じた不正を防止しようとする地図データ更新システムも提案されている(例えば、特許文献1参照)。この地図データ更新システムは、地図データ配信センター(以下単にセンターと称する)から配信される更新用の地図データを記録媒体に書込み、その記録媒体を使用して、車載用のナビゲーション装置における地図データを更新するようにしたものであり、前記記録媒体に書込まれる更新用の地図データに、ナビゲーション装置に付与されたユニークな個体IDを属性データとして付加するように構成すると共に、前記ナビゲーション装置に、自らに付与されている個体IDと前記更新用の地図データに付加されている個体IDとが一致するかどうかを判断する判断手段と、この判断手段により個体IDが一致していないと判断されたときに前記記録媒体に書込まれた更新用の地図データを使用できなくする禁止手段とを設けている。
この記録媒体にはナビゲーション装置に付与されたユニークな個体IDが属性データとして付加されているので、ナビゲーション装置における使用時に、判断手段により、ナビゲーション装置に付与されている個体IDと記録媒体に記録されている個体IDとが一致するかどうかが判断され、個体IDが一致していない場合には、禁止手段により、その記録媒体に書込まれた更新用の地図データの使用が禁止される。これにより、更新用の地図データの不正な使用を防止しようとしている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2005‐331579号公報(段落番号〔0002−0010〕、図1)
【発明の概要】
【発明が解決しようとする課題】
【0005】
特許文献1による地図データ更新システムでは、ナビゲーション装置に付与されている個体IDをナビゲーション装置あるいは当該装置に使用した記録媒体から読み取っておけば、このユーザが不正にコピーされた地図データを記録した記録媒体に個体IDとして予め読み取っておいた自己のナビゲーション装置の個体IDを書き込むことで、その記録媒体が正規であるとみなされる。従って、比較的容易に更新用の地図データの不正が可能となる。
【0006】
上記実情に鑑み、本発明の目的は、フラッシュメモリカードのような書き換え可能な記録媒体に記録された地図データを使用するナビゲーションシステムにおいて、より強固に地図データのセキュリティ対策を講じるための技術を提供することである。
【課題を解決するための手段】
【0007】
地図データを用いて動作するナビゲーションユニットと当該ナビゲーションユニットに着脱可能な記録媒体とを有し、前記記録媒体は前記地図データが記録される書き換え可能なデータ領域と媒体識別情報(一般にはCIDと呼ばれるIDコード)が記録される書き換え不能な管理領域とを有するナビゲーションシステムにおいて、上記目的を達成するため、本発明では、前記データ領域に前記地図データの更新に必要な更新権情報が記録され、前記記録媒体に対する前記ナビゲーションユニットによる最初のデータアクセス時に前記更新権情報が前記データ領域から読み出されるとともに前記データ領域から削除され、読み出された前記更新権情報に基づいて作成された地図更新期限が、前記管理領域から読み出された媒体識別情報とともに前記ナビゲーションユニットのメモリに書き込まれる。
【0008】
この構成ではナビゲーションユニットと記録媒体との間の最初のデータアクセス時に、記録媒体に記録された更新権情報が読み出されるとともに削除され、当該更新権情報に基づいて作成された地図更新期限及び当該記録媒体の媒体識別情報がナビゲーションユニットのメモリに書き込まれる。つまり、ある記録媒体に対するナビゲーションユニットによる最初のデータアクセス時に、ナビゲーションユニットには、当該記録媒体の媒体識別情報だけでなく、記録した地図データの更新期限と更新権情報が書き込まれる。特にこの更新権情報は読み出し後に記録媒体から削除され、記録媒体にはもはや残っていないので、データアクセス終了後の記録媒体を不正コピーしても更新権情報はコピーされず、元も正規の記録媒体を再現することは不可能である。記録媒体に対する最初のデータアクセスにおけるこのような仕組みを採用していることから、ナビゲーションユニットはそのメモリに書き込まれている更新権情報や更新期限を利用して、より強固なセキュリティを有する地図データ更新を実現することができる。
【0009】
セキュリティをさらに高めるための本発明の好適な実施形態の1つでは、前記記録媒体は初期状態がロック状態となっているパスワードロック機能を有し、当該パスワードロックを解除するためのパスワードは前記記録媒体に送り出し可能に前記ナビゲーションユニットが備えている。この構成では、ナビゲーションユニットだけが有するパスワードによってアクセスが可能となるパスワードロックが記録媒体に施されているので、この記録媒体はまずは対応するナビゲーションユニットに装着してデータアクセスを受ける必要がある。これによって、使用前(最初のデータアクセス前)の記録媒体のデータを丸ごとコピーするような不正行為を防止することができる。ナビゲーションユニットによるデータアクセス後は、そのパスワードロック機能は解除されるが、その時には、上記のとおり更新権情報が削除されているので不正コピーが防止される。よって、この構成によれば、記録媒体に対するデータアクセスの前後に関わらず、不正行為を防止できる。なお、パスワードロック機能が解除された後は、他の機器、例えばユーザのパソコンに装着してのデータアクセスが可能となるので、パソコン経由で更新用の地図データを書き込むこともできる。
【0010】
なお、記録媒体からパスワードロック機能を解除するタイミングは、記録媒体のデータ領域から更新権情報が削除された後であることが好適である。これは、更新権情報が削除される前にパスワードロック機能が解除された場合、その時点で記録媒体がナビゲーションユニットから抜き取られ、更新権情報が不正に読み取られる恐れがあるからである。
【0011】
さらに好適な実施形態の1つでは、記録媒体のデータ領域から読み出された更新権情報がナビゲーションユニットのメモリに記録される。この更新権情報に基づいて作成された地図更新期限はナビゲーションユニットに記録されるが、その元となった更新権情報もそのままナビゲーションユニットに記録されることで、ナビゲーションユニットは地図データを取り込んだ記録媒体の更新権情報、媒体識別情報、地図データをすべて記録していることになるので、必要な場合、この記録媒体のリカバリ処理が可能となる。
【0012】
また、別な好適な実施形態の1つでは、前記ナビゲーションユニットにとっての最初のデータアクセスの対象となった記録媒体の媒体識別情報が初使用媒体識別情報として前記ナビゲーションユニットのメモリに記録され、前記初使用媒体識別情報として記録されている媒体識別情報を有する記録媒体と、それ以外の記録媒体では前記地図更新期限が異なる。この特徴構成は、あるナビゲーションユニットにおいて最初のデータアクセスを行った記録媒体と、その後にデータアクセスを行った別の記録媒体とを区別できるという利点をナビゲーションユニットに与えることができる。それにより、最初の記録媒体とそれ以外の記録媒体では地図データの更新期限を相異させることができる。これにより、例えば、最初の記録媒体の地図データの更新可能な期間を3年とし、それ以外の、つまりそれ以後の使用される記録媒体の地図データの更新可能な期間を2年とするような使用が可能である。これは、新車購入時の車検期間が3年でその後の車検期間が2年といった車検制度の場合、車検毎に地図データ更新用の記録媒体を発行できるので好都合である。その際、前記ナビゲーションユニットは、前記更新権情報の読み出し時からの所定期間を当該更新権情報についての前記地図更新期限とするとよい。
【0013】
正規のルートを経て、外部からパソコン等の通信機能付き端末に送り込まれた更新地図データを記録媒体に記録して、この記録媒体をナビゲーションユニットに装着して更新地図データをナビゲーションユニットに書き込むというデータの流れの中で、不測の地図データの書き換えが行われる可能性がある。この書き換えが悪意で行われる可能性もある。このような問題に対処するため、本発明の好適な実施形態の1つでは、地図データ更新時には、外部から送り込まれた更新地図データが前記記録媒体のデータ領域に記録されるとともに、前記更新地図データから生成されたハッシュ値が当該記録媒体に地図セキュリティデータとして記録される。この構成では、ハッシュ値の照合を通じて、正当な地図データを受け取っているかどうかをチェックすることができ、上記の問題に対処することができる。
【図面の簡単な説明】
【0014】
【図1】本発明に係るナビゲーションシステムの基本的な構成とデータの流れを示す模式図である。
【図2】本発明に係るナビゲーションシステムを構成するナビゲーションユニットの機能を示す機能ブロック図である。
【図3】本発明に係るナビゲーションシステムを構成する記録媒体の機能を示す機能ブロック図である。
【図4】本発明に係るナビゲーションシステムを構成する更新ユニットの機能を示す機能ブロック図である。
【図5】記録媒体からナビゲーションシステムに転送される更新権情報のデータ構造図である。
【図6】初使用時におけるナビユニットとSDカードとの間のデータ交換を模式的に示したダイアグラム図である。
【図7】地図データ更新時におけるSDカードと更新ユニットとの間のデータ交換を模式的に示したダイアグラム図である。
【図8】初使用時以外でのナビユニットとSDカードとの間のデータ交換を模式的に示したダイアグラム図である。
【発明を実施するための形態】
【0015】
以下、図面を用いて本発明に係るナビゲーションシステムの実施の形態を説明する。図1に示すナビゲーションシステムはカーナビゲーションであり、自動車に搭載されるナビゲーションユニット(以下、単にナビユニットと略称される)1と、この実施形態ではSDカード(より詳しくは、SDメモリーカード又はSDHCメモリーカード)である記録媒体4と、一般には通信機能付きパーソナルコンピュータ(以下、単にパソコンと略称される)である更新ユニット7とから構成されている。ナビユニット1で用いられる地図データはSDカード4に記録されており、カーナビゲーションを利用する際には、SDカード4はナビユニット1に装着される。SDカード4に記録された地図データは更新可能である。地図データの更新は、更新用の地図データ又は地図差分データ(特に区別する必要があるときを除いて、以後両者を単に地図データを称することにする)を取り扱っている地図センターからインターネットなどのWAN経由で更新ユニット(パソコン)7にダウンロードし、この更新ユニット7を仲介してSDカード4の地図データを最新のものに書き換える。なお、ナビユニット1を搭載した自動車の購入時や、ナビユニット1だけの単独購入時などでは、そのナビユニット1には最新の地図データが記録されたSDカード4が付属している。
【0016】
以下、本発明によるナビゲーションシステムの基本的なデータの流れとして、図1を用いて、自動車に搭載されたナビユニット1に始めてSDカード4が装着された際のデータの流れを説明する。このSDカード4は、メモリ領域として、書き換え可能なデータ領域と、媒体識別情報(ここではCID:Card Identification registerが用いられる)が記録される書き換え不能な管理領域と、を備えている。地図データはデータ領域に記録される。さらに、記録されている地図データの更新の権利に関する情報としての更新最終期限などを含む更新権情報もデータ領域に書き込まれている。このSDカード4はパスワードロック機能を有し、このパスワードロック機能がONされている場合、所定のパスワードを付与しない限り、このSDカード4に対する読み書きが許可されない。
【0017】
ナビユニット1には、初めからセキュリティ関連のデータとして、このナビユニット1の識別情報である車載器ID、付属しているSDカード4のパスワードロックを外すためパスワード、このナビユニット1においてデータを暗号化するための暗号化鍵であるナビ暗号化鍵、更新ユニット7において暗号化されたデータを復号する更新復号化鍵が登録されている。更新ユニット7は、更新ユニット7の母体としてのパソコン上で更新ユニット構築のための所定のプログラムを起動することによって、この更新ユニット7においてデータを暗号化するための暗号化鍵である更新暗号化鍵、ナビユニット1において暗号化されたデータを復号するナビ復号化鍵が登録される。ここでの対応する暗号化鍵と復号化鍵との関係は、公知の秘密鍵と公開鍵との関係と実質的に同じであり、暗号化鍵で暗号化されたデータは、対応する復号化鍵でのみ復号化可能である。また、暗号化鍵から対応する復号化鍵を作り出すこと及び復号化鍵から対応する暗号化鍵を作り出すことは事実上不可能である。
詳細は後述されるが、更新ユニット1には、センターからダウンロードした更新用の地図データから算出したハッシュ値からなる地図セキュリティデータを生成する機能や、地図データの転送先であるSDカードの媒体識別情報及び地図セキュリティデータからさらに算出されたハッシュ値を含む更新セキュリティデータを生成する機能なども備えている。
【0018】
まず、ナビユニット1にSDカード4が装着されると、ナビユニット1からロック解除用のパスワードが送られることにより、ナビユニット1はSDカード4とデータ交換が可能となる(#11)。次に、SDカード4から媒体識別情報(#12)及び更新権情報(#13)がナビユニット1に送信される。ナビユニット1は、受け取った更新権情報から作成された地図更新期限(#14)や更新権情報に含まれているその他のデータ、さらには更新権情報をこのナビユニット1のメモリに記録する(#15)。この際、媒体識別情報もナビユニット1のメモリに記録する。
【0019】
更新権情報がSDカード4からナビユニット1に送信されると、SDカード4に記録されていた更新権情報が削除される(#16)。さらに、SDカード4のパスワードロック機能が解除され(#17)、以後このSDカード4はパスワードなしでデータアクセスが許可され、利便性が向上する。パスワードなしのデータアクセスが許可されても、既に更新権情報が削除されているので、このSDカード4から更新権情報が抜きだされることはない。さらに、これらのナビユニット1とSDカード4とが知り得る共通のデータがナビセキュリティデータとしてグループ化され(#18)、ナビ暗号化鍵によって暗号化された後、SDカード4に送られる(#19)。送り込まれたナビセキュリティデータはSDカード4のデータ領域に記録される。
【0020】
次に、上述したナビゲーションシステムの詳細を説明する。図2は、ナビユニット1の主な機能を示す機能ブロック図である。ナビユニット1は、基本的には、カーナビ本体部1Aと、このカーナビ本体部1Aに接続される記録媒体管理コントローラとしてのSD管理コントローラ1Bとからなる。
【0021】
カーナビ本体部1Aは、一般のカーナビ装置と同じように、I/Oインターフェース11を介して、種々のカーナビ用センサや入出力デバイスと接続されている。カーナビ用センサとしては、GPS(Global Positioning System)衛星からのGPS信号を受信するGPS受信機91、自車両の進行方位又はその進行方位の変化を検出する方位センサ92、自車両の車速や移動距離を検出する距離センサ93が挙げられる。入出力デバイスとしては、運転者に対する経路案内等を行うスピーカ94やモニタ95、さらにはタッチパネル96等の操作デバイスが挙げられる。
【0022】
カーナビ本体部1Aにおいて、ハードウェア又はソフトウェア(プログラム)あるいはその両方により構築される主な機能部は、GPS位置情報取得部12、進行方位情報取得部13、地図データ処理部14、マップマッチング部15、走行距離算定部16、ナビゲーション情報処理部である。地図データ処理部14による地図データの検索抽出の対象となる地図データベースはナビユニット1に装着されるSDカード4に構築されている。
【0023】
GPS位置情報取得部12は、GPS測位によって自車両の位置を表す自車両位置情報を取得する機能を有する。GPS位置情報取得部12では、GPS受信機91で受信されたGPS衛星からの信号を解析し、自車両の現在位置(座標位置:緯度及び経度)を取得することができる。進行方位情報取得部13は、自車両の方位変化量と移動距離とによって自車両の進行方位を表す進行方位情報を取得する機能を有する。このため進行方位情報取得部13は、方位センサ92及び距離センサ93と接続されている。距離センサ93は自車両の車速や移動距離を検出するセンサであり、このセンサ信号に基づいてトータルの走行距離が走行距離算定部16で算定される。マップマッチング部15は、SDカード4から自車位置周辺の地図データを取得し、それに基づいて公知のマップマッチングを行う機能を有する。このマップマッチングにより、GPS位置情報取得部12から出力される自車両位置情報や進行方位情報取得部13から出力される進行方位情報による自車両の現在位置から最短の、地図情報に示される道路上における位置を探索する。この探索された位置は自車両道路上位置であり、この自車両道路上位置がモニタ6に道路地図に重ねて表示される。ナビゲーション情報処理部17は、自車位置表示、出発地から目的地までの経路探索、目的地までの経路案内、目的地検索等のナビゲーション機能を作り出す。例えば、ナビゲーション情報処理部17は、マップマッチング部15で決定された自車位置としての自車両道路上位置に基づいてSDカード4から地図データを取得してモニタ6の表示画面に地図の画像を表示するとともに、当該地図の画像上に、自車両の現在位置及び進行方位を表す自車位置マークを重ね合わせて表示する。また、ナビゲーション情報処理部17は、地図データに基づいて、所定の出発地から目的地までの経路探索を行うとともに、探索された出発地から目的地までの経路と自車位置とに基づいて、モニタ95及びスピーカ94の一方又は双方を用いて、運転者に対する経路案内を行う。モニタ95には操作デバイスとして機能するタッチパネル96が装着されているが、これとは別な操作スイッチや操作ボタンを操作デバイスとして付加してもよい。
【0024】
お互いの通信インターフェース10、20を介して、カーナビ本体部1Aと接続されているSD管理コントローラ1Bの主な機能部は、SDホストモジュール21、セキュリティデータ用メモリ22、更新権情報処理部23、地図更新期限算定部24、ナビセキュリティデータ生成部25、暗号処理部26である。
【0025】
SDホストモジュール21は、SDカード4との間のデータ交換を行うものである。セキュリティメモリ22は、車載器IDなどの予めナビユニット1に固有の情報、及び媒体識別情報(CID)などのSDカード4から取得したセキュリティに関するデータを記録するメモリである。ナビユニット1にとっての最初のデータアクセスの対象となったSDカード4の媒体識別情報は、初使用媒体識別情報としてメモリに記録される。すなわち、初使用媒体識別情報は、未使用のナビユニット1に最初に装着されたSDカード4の媒体識別情報である。更新権情報処理部23は、SDカードから取得した更新権情報に基づいて生成した地図更新期限を付加する等してナビユニット側の更新権情報を生成したり、この更新権情報から必要なデータを取り出したりする。地図更新期限算定部24は、装着されたSDカード4における地図データの更新に関する期限を算定する。ここでは、地図更新期限算定部24は、初使用媒体識別情報とSDカード4の媒体識別情報とを比較し、初使用媒体識別情報として記録されている媒体識別情報を有するSDカード4と、それ以外のSDカード4とで異なる地図更新期限を設定する。具体的には、初使用媒体識別情報として記録されている媒体識別情報を持つSDカード4に対しては3年間の更新期限を与え、それ以外のSDカード4に対しては2年間の更新期限を与える。また、SDカード4に記録された地図データが余りにも古すぎると差分を用いた地図更新が困難になるといった問題など種々の問題を引き起こすので、地図更新期限算定部24は、地図更新期限の設定に際して、更新最終期限を参照し、更新最終期限を過ぎたSDカード4に対しては更新期限を付与しない。例えば、更新最終期限は、SDカード4に地図データが記録された時を基準として設定された期限である。
【0026】
ナビセキュリティデータ生成部26は、更新ユニット7によって不正に地図更新されたSDカード4を見破るためのセキュリティデータを組み合わせてナビセキュリティデータを生成する。ナビセキュリティデータは、少なくとも、SDカード4の管理領域から読み出した媒体識別情報(CID)と地図更新期限の情報とを含んでいる。暗号処理部27は、ここでデータを暗号化する暗号化鍵としてのナビ暗号化鍵と、更新ユニット7で暗号化されたデータを復号する更新復号化鍵と備えている。ハッシュ演算部27は、装着されたSDカード4の地図データのハッシュ値を演算する。
【0027】
図3に示すように、SDカード4の構成は、市場に流通しているセキュリティ機能付きフラッシュメモリであるSDカードと実質的に同じであり、SDインターフェース40を通じて、更新ユニット7やナビユニット1とデータ交換可能である。その基本的な構成要素として、CPU41、媒体識別情報などを記録している管理用メモリ42、メモリインタフェース43を通じて書き換え可能にデータを記録することができるデータ領域であるフラッシュメモリ44が備えられている。さらに、このナビゲーションシステムのために実装されているプログラム等によって実現する機能部として、パスワードロック処理部55及びCID管理部56も備えられている。
【0028】
パスワードロック処理部55は、このSDカード4のパスワードロック機能を行うものであるが、ナビユニット1への最初の装着時においてパスワードチェックを行った後には、このパスワードロックは解除され、以後はパスワードを必要とせずに、データアクセスが許可される。CID管理部56は、管理用メモリ42に記録された媒体識別情報(一般にはCIDと呼ばれるコード)を要求に応じて読み出して、要求先に送信する。
【0029】
図4に示すように、WANインターフェースを通じてWAN(インターネット)と接続可能であるとともにSDインターフェース71を通じてSDカードとデータ交換可能なパソコンにおいて、このナビゲーションシステムで要求される機能を実現するプログラムを実行させることにより、この更新ユニット7に要求される機能部は構築される。その機能部として、地図データ処理部72、地図セキュリティデータ生成部73、更新セキュリティデータ生成部74、ハッシュ演算部75、暗号処理部76が挙げられる。
【0030】
地図データ処理部72は、センターからダウンロードされた更新用の地図データ(地図データバージョンや地図作成日等の地図データ属性値を含む)を処理して、装着されているSDカード4の地図データを更新する。一般に、更新用の地図データは、差分データとしてダウンロードされるので、この差分データを用いて地図データの更新すべきデータ部分だけを書き換える。地図データは扱いやすいように複数の地図サブデータに区分けされている。地図セキュリティデータ生成部73は、装着されたSDカード4に転送する地図データの識別コードとして用いることができるように、ハッシュ演算部によって上記の地図サブデータのそれぞれから得られたハッシュ値をグループ化して、地図セキュリティデータとする。更新セキュリティデータ生成部74は、装着されたSDカードに記録されたナビセキュリティデータから読み取った媒体識別情報、地図作成日又は差分データから更新地図データを作成した日、及び地図セキュリティデータ生成部73によって生成された地図セキュリティデータから再度ハッシュ演算部によって演算されたハッシュ値をグループ化した更新セキュリティデータを作成する。この更新セキュリティデータは暗号処理部76によって更新暗号化鍵で暗号化され、SDカード4に送信される。暗号処理部76は、ナビユニット1の暗号処理部26においてナビ暗号化鍵で暗号化されたデータを復号するナビ復号化鍵も備えている。これにより、更新ユニット7は、ナビ暗号化鍵で暗号化されたナビセキュリティデータをSDカード4から読み出して復号化することができる。
【0031】
上述のように構成されたナビゲーションシステムにおいては、ナビユニット1とSDカード4と更新ユニット7との間で、地図データが転送される際、セキュリティ目的で種々の情報ないしはデータが交換される。図5には、そのようなデータや情報のデータ構造がまとめられている。
【0032】
図5(a)で示す更新権情報はSDカード4に記録されている状態と、その後ナビユニット1に転送されて、そこで記録されるときに構造が異なっている。つまり、SDカード4における更新権情報は、地図データバージョンと更新最終期限とを有する。これに対して、ナビユニット1における更新権情報は、媒体識別情報(CID)と、ナビユニット1に地図更新期限算定部24で算定された地図更新期限とがさらに追加されている。
図5(b)で示すナビセキュリティデータはナビユニット1で生成されるデータであり、媒体識別情報、車載器ID、走行距離、地図更新期限、地図データバージョンを有する。このナビセキュリティデータはナビ暗号化鍵で暗号化されて、ナビユニット1からSDカード4に転送される。
【0033】
図5(c)で示す地図データは、最終的には更新ユニット7でセットアップされるデータであり、地図区分け数で区分けされた複数の地図サブデータ1、・・・とともに、地図データの属性値としての地図データバージョン及び地図作成日を有する。
図5(d)で示す地図セキュリティデータは更新ユニット7で生成されるデータであり、地図区分け数で区分けされた複数の地図サブデータ毎に演算された各地図サブデータのハッシュ値が地図サブデータハッシュ値1、・・・として含まれている。この地図セキュリティデータは、地図データとともに、更新ユニット7からSDカード4に転送される。
図5(e)で示す更新セキュリティデータは更新ユニット7で生成されるデータであり、SDカード4に記録されたナビセキュリティデータから読み出した媒体識別情報、地図セキュリティデータに含まれている複数の地図サブデータハッシュ値からさらにハッシュ演算して得られた二階ハッシュ値である地図セキュリティデータのハッシュ値を含む。この更新セキュリティデータは、更新暗号化鍵で暗号化されて、装着されているSDカード4に転送される。
【0034】
次に、このナビゲーションシステムにおける、データ交換の手順を説明する。図6は、自動車に搭載され、初めてSDカード4を装着した際の、ナビユニット1とSDカード4との間のデータ交換を模式的に示したダイアグラム図である。
まず、ナビユニット1からSDカード4に対してロック確認が行われ(#30)、Sナビユニット1は、Dカード4からパスワードロックが機能しているというロック情報を受け取ると(#31)、パスワードを送信する(#32)。ナビユニット1からパスワードが送信されると、SDカード4に対するデータアクセスが許可される(#33)。データアクセスが許可されると、ナビユニット1はSDカード4に対して管理領域に記録された媒体識別情報(CID)を要求し(#34)、媒体識別情報(CID)を受け取ると(#35)、一時的にメモリ22に記録する(#36)。さらに、更新権情報(RR)を要求し(#37)、更新権情報(RR)を受け取ると(#38)、地図更新期限算定部24が更新情報(RR)に基づいて地図更新期限を算定する(#39)。本実施形態では、地図更新期限算定部24は、SDカード4に更新権情報(RR)が記録されていることを条件として、当該更新権情報(RR)の読み出し時からの所定期間を当該更新権情報(RR)についての地図更新期限とする。ここでは、地図更新期限算定部24は、上記のとおり、ナビユニット1にとっての最初のデータアクセスの対象となったSDカード4であるか否かにより異なる地図更新期限を与えることとし、具体的には、当該ナビユニットにとっての最初のSDカード4に対しては3年間の更新期限を与え、2枚目以降のSDカード4に対しては2年間の更新期限を与える。またこの際、地図更新期限算定部24は、更新権情報(RR)に含まれる更新最終期限を確認し、更新最終期限を過ぎたSDカード4に対しては更新期限を与えない。次いで、更新権情報処理部23がメモリ22に記録されているデータに基づいて、図5で示すようなデータ構造を有する更新権情報(RR)を作成してメモリ22に記録する(#40)。更新権情報(RR)の再作成と記録が完了すると、SDカード4に更新権情報記録完了が通知され(#41)、これにより更新情報管理部52がフラッシュメモリ44に記録されていた更新権情報を削除する(#42)。続いて、パスワードロック処理部55がパスワードロック機能を解除する(#43)。
【0035】
ナビユニット1では、ナビセキュリティデータ生成部25が、装着されているSDカード4の管理領域としての管理メモリ42から読み出した媒体識別情報(CID)、このナビユニット1に固有している車載器ID(NID)、カーナビ本体1Aから得られる走行距離(Km)、先に算定した地図更新期限(RT)、更新権情報(RR)に含まれている地図データベースバージョン(MV)をグループ化して、ナビセキュリティデータ(NS)を生成し(#44)、メモリ22に記録する(#45)。さらに、ナビセキュリティデータ(NS)は、暗号処理部26によりナビ暗号化鍵を用いて暗号化され(#46)、SDカード4に送信され(#47)、データ領域としてのフラッシュメモリ44に記録される(#48)。
【0036】
以上により、ナビユニット1とSDカード4の初期処理が完了し、カーナビゲーション処理時には、カーナビ本体1Aからの要求に応じて、SD管理コントローラ1BはSDカード4にアクセスして、必要な地図データをSDカード4から読み出し、カーナビ本体1Aに与える処理が繰り返される。
【0037】
次に、地図データ更新時におけるSDカードと更新ユニットとの間のデータ交換の流れを図7のダイアグラム図を用いて説明する。
まず、更新ユニット7は、予め、地図データをダウンロードし(#61)、更新用の地図データとしてメモリに格納しておく(#62)。その際、更新前の地図データが更新ユニット7に存在しており、ダウンロードした地図データが差分データの場合には、ここで差分データを用いて既存の地図データを最新版に更新しておく。この状態で、更新対象となるSDカード4が更新ユニット7に装着されると、更新ユニット7は、SDカード4がナビユニット1から受け取って記録しているナビセキュリティデータを要求する(#63)。受け取ったナビセキュリティデータは、メモリに一時的に格納される(#64)。このナビセキュリティデータはナビ復号化鍵を用いて復号化される(#65)。このように復号化されたナビセキュリティデータから媒体識別情報(CID)が取り出され、更新ユニット7のメモリに一時的に格納される(#66)。さらに、復号化されたナビセキュリティデータから地図更新期限が取り出され(#67)、格納している更新用の地図データの作成日時と比較され、作成日時が地図更新期限を過ぎていないか、あるいはその他の設定条件に応じた地図更新期限に関するチェックがなされる(#68)。
【0038】
この地図更新期限に関するチェックがクリアされると更新用の地図データがSDカード4に送信される(#69)。また、更新ユニット7においては、ハッシュ演算部75が地図データのハッシュ値(MH)を算出する(#70)。通常、地図データはデータ容量が大きく分割構成となっているので、各地図サブデータのハッシュ値が算出され、地図セキュリティデータ(MS)が生成される(#71)。さらに、この地図セキュリティデータ(MS)に含まれる各地図サブデータのハッシュ値をまとめてハッシュ演算を行い、統合されたハッシュ値を算出する(#72)。更新セキュリティデータ生成部74は、この統合されたハッシュ値、地図データの作成日、復号化されたナビセキュリティデータから取り出された媒体識別情報などをグループ化することで、更新セキュリティデータ(RS)を生成する(#73)。生成された更新セキュリティデータは更新暗号化鍵で暗号化される(#74)。暗号化された更新セキュリティデータは先に生成された地図セキュリティデータとともにSDカード4に送信され(#75、#76)、SDカード4のデータ領域としてのフラッシュメモリ44に記録される(#77)。
【0039】
次に、更新ユニットを通じて当初の地図データを更新したSDカード4をナビユニット1で利用する際のデータ交換の流れを図8のダイアグラム図を用いて説明する。
このSDカード4は、最初にナビユニット1に装着した際に、パスワードチェック機能が解除され、また更新権情報も既に削除されている。SDカード4がナビユニット1に装着されると、ナビユニット1はSDカード4に対して管理領域としての管理用メモリ42に記録された媒体識別情報(CID)を要求し(#80)、SDカード4の管理用メモリ42に記録されている媒体識別情報を取得する(#81)。さらに、SDカード4のフラッシュメモリ44に記録されている更新セキュリティデータ(RS)を要求し(#82)、更新セキュリティデータを取得する(#83)。この更新セキュリティデータ(RS)は更新復号化鍵を用いて復号化される(#84)。この更新セキュリティデータには媒体識別情報が含まれているのでこの媒体識別情報と先に取得した媒体識別情報を比較することで、SDカード4と更新ユニット7で更新された地図データとの整合性をチェックする(#85)。媒体識別情報の整合性に問題がなければ、今受け取った更新セキュリティデータに含まれている地図作成日(MD)とナビゲーションユニット1に記録されている地図更新期限とを比較して、その整合性をチェックする(#86)。この整合性に問題なければ、このSDカード4自体は正当とみなすことができる。
【0040】
次に、SDカード4に記録された地図データそのものの正当性(不正にコピーされたものでないことなど)チェックするため、まず、地図セキュリティデータ(RS)をSDカード4に要求し(#87)、地図セキュリティデータを受け取り(#88)、さらに地図データを要求し(#89)、地図データを受け取る(#90)。受け取った地図データ、実際は所定の区分け数で区分けされた各地図サブデータのハッシュ値がハッシュ演算部27によって演算される(#91)。更に、この演算によって得られたハッシュ値群をまとめてハッシュ演算を行い、統合されたハッシュ値を算出する。この統合されたハッシュ値と先に受け取った地図セキュリティデータに含まれているハッシュ値(更新ユニット7により演算された統合されたハッシュ値)とを互いに比較する(#92)。相互のハッシュ値が一致している場合は、更新ユニット7でダウンロードされ作成された地図データと、今装着されているSDカード4に記録されている地図データとが一致していることが保証される。これによって、地図データも含めこのSDカード4の正当性が確認される。さらに、ナビセキュリティデータに走行距離のように運転とともにその値が変化するようなデータを含む場合には、ナビセキュリティデータ生成部25が最新のデータを含むナビセキュリティデータを生成する(#93)。これにより、初期処理が完了し、カーナビゲーション処理時には、カーナビ本体1Aからの要求に応じて、SD管理コントローラ1BはSDカード4にアクセスして、必要な地図データをSDカード4から読み出し、カーナビ本体1Aに与える処理が繰り返される。
【0041】
以上のような構成を備えることにより、強固なセキュリティを有する地図データ更新を実現することができる。具体的には、以下のような類型が考えられる。
(1)新しいSDカード4から地図データを丸ごとデッドコピーしようとした場合、パスワードロック機能が働くため、専用のナビユニット1でしかデータアクセスが許可されないので、そのような地図データのデッドコピーができない。また、パスワードロック解除後は更新権データが削除されているので、不正に地図データの更新権を得ることはできない。
(2)SDカード4をナビユニット1に装着することでパスワードロック機能が解除された後に、当該SDカード4を丸ごとデッドコピーした他のSDカード4を使用する場合、ナビセキュリティデータの媒体識別情報とSDカードに固有の媒体識別情報(管理用メモリに記録されているもの)との不整合から不正コピーが認識でき、使用を禁止できる。
(3)地図データの一部が修正ないしは不正にコピーされたSDカード4が装着された場合、ナビユニット4の起動時に上述したような地図データのハッシュ値を演算し、この演算値とナビセキュリティデータに含まれているハッシュ値とを比較することで、その使用を禁止することができる。
(4)更新ユニットの時計を過去にずらせることで地図更新期限の切れたSDカード4の地図更新をしようとした場合、ナビセキュリティデータに含まれている地図更新期限と更新用の地図データの属性値としての地図作成日とを比較しその整合性をチェックすることで更新ユニットの不正な時計設定を検知することができる。ナビセキュリティデータの地図更新期限を書き換えることはナビセキュリティデータがナビ暗号化鍵で暗号化されているので不可能である。さらに、地図更新期限が残っている他のSDカード4のナビセキュリティデータをまるごとコピーした場合には、更新ユニット7において地図更新ができたとしても、その際そのナビセキュリティデータの媒体識別情報が書き込まれるので、ナビユニット1においてその更新セキュリティデータの媒体識別情報とSDカード4の管理用メモリ42から読み出された媒体識別情報とを比較することでその不正が検知可能となる。
(5)更新ユニット7にインストールされているこのナビゲーションシステムのためのプログラムがクラックされ、上述した更新期限チェック等の機能部をパッチで回避された場合、ナビユニットが更新セキュリティデータに含まれている地図作成日と地図更新期限を比較することでそのような不正を検知することができる。また、更新ユニット7にインストールされているプログラムがクラックされることでのナビゲーションシステムにおける暗号システムの脆弱化は、ナビユニット1のナビ暗号化鍵で暗号化された暗号は更新ユニット7のナビ復号化鍵によってのみ復号でき、更新ユニット7の更新暗号化鍵で暗号化された暗号はナビユニット1の更新復号化鍵によってのみ復号できるように、異なる2つの暗号鍵システムを取り入れることで、回避している。
〔別実施の形態〕
(1)上述した実施の形態では、ナビユニット1で使用される前でのSDカード(記録媒体の一種)4へのデータアクセスを防止するためにパスワードロック機能を採用していたが、他のロック機能を、特には使用する記録媒体に適したロック機能を採用することができる。また、パスワードロック機能は更新権情報のデータ領域からの削除の後に解除されていたが、その前に解除することを本発明は除外しているわけではない。さらに、パスワードロック機能は外したナビゲーションシステムも本発明の範囲内である。
(2)ある程度のセキュリティの脆弱化が許容できる場合、SDカード(記録媒体の一種)4のデータ領域から読み出された更新権情報が前記ナビユニットのメモリに記録しないシステムとすることも本発明の枠内で可能である。
(3)ナビユニットにとっての最初のデータアクセスの対象となった記録媒体の媒体識別情報が初使用媒体識別情報として前記ナビユニットのメモリに記録することも、本発明の枠内で省略することも可能である。また、適用する分野によっては、初使用媒体識別情報として記録されている媒体識別情報を有する記録媒体と、それ以外の記録媒体では地図更新期限を必ずしも異ならせる必要はない。
(4)上述した実施例では、ナビユニットは、更新権情報の読み出し時からの所定期間を当該更新権情報についての地図更新期限としていたが、地図更新期限の起点となるタイミングは更新権情報の読み出し時以外のものを採用することもできる。そのタイミングとしては、例えば、ナビユニットへの記録媒体の装着時、車両の走行距離が所定距離を越えた時、地図データが記録された記録媒体の製造時あるいは出荷時等が挙げられる。
(5)地図データの不測の変更の検知のためにハッシュ値を用いることで暗号等の改竄防止より演算負荷を低減することができるが、ナビユニット1や更新ユニット7における演算負荷をさらに下げるためには、このハッシュ値を用いた改竄防止を省略することも可能である。
(6)セキュリティを強固にするための最適な実施の形態として、ナビユニット1と更新ユニット7との間において異なる2つの暗号鍵システムを取り入れられていたが、本発明はこれに限定されるわけではなく、単一の共通鍵による暗号システムを採用することも本発明に含まれる。
(7)上述した実施の形態では、地図データは複数のサブデータから構成されており、更新セキュリティデータに利用される地図セキュリティ処理データは、各サブデータから生成された複数のハッシュ値からさらに演算されたハッシュ値であったが、このような二階ハッシュ演算を行わずに一階ハッシュ演算されたもの、すなわち地図セキュリティデータをそのまま利用してもよい。
(8)更新セキュリティデータに含まれる更新用地図データの一意的な属性値として地図作成日を採用していたが、地図作成履歴コードなどその他の一意的な属性値を採用してもよい。
(9)SDカード(記録媒体の一種)4に内蔵されているCPUシステムの能力は年々高まっているので、上述したナビゲーションシステムでナビユニット1や更新ユニット7に構築されていた更新情報の管理機能やハッシュ演算機能、暗号機能などをSDカード側に構築することの本発明の枠内で可能である。
【産業上の利用可能性】
【0042】
本発明のナビゲーションシステムは、車両搭載されるカーナビゲーションだけでなく、ポータブル型のナビゲーションシステムなど、着脱可能な記録媒体に更新可能な地図データを記録して用いる種々のナビゲーションシステムに適用可能である。
【符号の説明】
【0043】
1:ナビユニット(ナビゲーションユニット)
1A:カーナビ本体
1B:SD管理コントローラ
21:SDホストモジュール
22:セキュリティデータ用メモリ
23:更新権情報処理部
24:地図更新期限算定部
25:ナビセキュリティデータ正西部
26:暗号処理部
27:ハッシュ演算部
4:SDカード(記録媒体)
42:管理用メモリ(管理領域)
44:フラッシュメモリ(データ領域)
51:地図データ処理部
52:更新情報管理部
53:地図セキュリティデータ処理部
54:ナビセキュリティデータ処理部
55:パスワードロック処理部
56:CID管理部
7:更新ユニット
72:地図データ処理部
73:地図セキュリティデータ生成部
74:更新セキュリティデータ生成部
75:ハッシュ演算部
76:暗号処理部
【技術分野】
【0001】
本発明は、地図データを用いて動作するナビゲーションユニットと当該ナビゲーションユニットに着脱可能な記録媒体とを有し、前記記録媒体は前記地図データが記録される書き換え可能なデータ領域と媒体識別情報が記録される書き換え不能な管理領域とを有するナビゲーションシステムに関する。
【背景技術】
【0002】
近年、大容量化が進むフラッシュメモリ等の記録媒体に地図データを記憶したナビゲーションユニット、特に自動車に搭載されるカーナビゲーションユニットが登場している。また、道路の新設、都市開発等で道路事情が刻々と変化している。このため、ナビゲーションユニットに使用する地図データも随時更新することが望ましい。その際、上述したようなフラッシュメモリ等の記録媒体は、ナビゲーションユニットに着脱可能であるため、このような記録媒体に記録されている地図データを更新する構成とすれば、ナビゲーションユニットないしはナビゲーションユニットのメモリを自動車から取り外す必要がなく更新が容易である。しかしながら、フラッシュメモリ等の記録媒体に記録されたデータは、一般的には容易にコピー可能なので、あるユーザが購入した正規の記録媒体から違法コピーされた違法記録媒体を他のユーザが受け取って、このユーザのナビゲーションユニットに用いる地図データを更新するという不正が可能となる。
【0003】
上述したような記録媒体の違法コピーを通じた不正を防止しようとする地図データ更新システムも提案されている(例えば、特許文献1参照)。この地図データ更新システムは、地図データ配信センター(以下単にセンターと称する)から配信される更新用の地図データを記録媒体に書込み、その記録媒体を使用して、車載用のナビゲーション装置における地図データを更新するようにしたものであり、前記記録媒体に書込まれる更新用の地図データに、ナビゲーション装置に付与されたユニークな個体IDを属性データとして付加するように構成すると共に、前記ナビゲーション装置に、自らに付与されている個体IDと前記更新用の地図データに付加されている個体IDとが一致するかどうかを判断する判断手段と、この判断手段により個体IDが一致していないと判断されたときに前記記録媒体に書込まれた更新用の地図データを使用できなくする禁止手段とを設けている。
この記録媒体にはナビゲーション装置に付与されたユニークな個体IDが属性データとして付加されているので、ナビゲーション装置における使用時に、判断手段により、ナビゲーション装置に付与されている個体IDと記録媒体に記録されている個体IDとが一致するかどうかが判断され、個体IDが一致していない場合には、禁止手段により、その記録媒体に書込まれた更新用の地図データの使用が禁止される。これにより、更新用の地図データの不正な使用を防止しようとしている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2005‐331579号公報(段落番号〔0002−0010〕、図1)
【発明の概要】
【発明が解決しようとする課題】
【0005】
特許文献1による地図データ更新システムでは、ナビゲーション装置に付与されている個体IDをナビゲーション装置あるいは当該装置に使用した記録媒体から読み取っておけば、このユーザが不正にコピーされた地図データを記録した記録媒体に個体IDとして予め読み取っておいた自己のナビゲーション装置の個体IDを書き込むことで、その記録媒体が正規であるとみなされる。従って、比較的容易に更新用の地図データの不正が可能となる。
【0006】
上記実情に鑑み、本発明の目的は、フラッシュメモリカードのような書き換え可能な記録媒体に記録された地図データを使用するナビゲーションシステムにおいて、より強固に地図データのセキュリティ対策を講じるための技術を提供することである。
【課題を解決するための手段】
【0007】
地図データを用いて動作するナビゲーションユニットと当該ナビゲーションユニットに着脱可能な記録媒体とを有し、前記記録媒体は前記地図データが記録される書き換え可能なデータ領域と媒体識別情報(一般にはCIDと呼ばれるIDコード)が記録される書き換え不能な管理領域とを有するナビゲーションシステムにおいて、上記目的を達成するため、本発明では、前記データ領域に前記地図データの更新に必要な更新権情報が記録され、前記記録媒体に対する前記ナビゲーションユニットによる最初のデータアクセス時に前記更新権情報が前記データ領域から読み出されるとともに前記データ領域から削除され、読み出された前記更新権情報に基づいて作成された地図更新期限が、前記管理領域から読み出された媒体識別情報とともに前記ナビゲーションユニットのメモリに書き込まれる。
【0008】
この構成ではナビゲーションユニットと記録媒体との間の最初のデータアクセス時に、記録媒体に記録された更新権情報が読み出されるとともに削除され、当該更新権情報に基づいて作成された地図更新期限及び当該記録媒体の媒体識別情報がナビゲーションユニットのメモリに書き込まれる。つまり、ある記録媒体に対するナビゲーションユニットによる最初のデータアクセス時に、ナビゲーションユニットには、当該記録媒体の媒体識別情報だけでなく、記録した地図データの更新期限と更新権情報が書き込まれる。特にこの更新権情報は読み出し後に記録媒体から削除され、記録媒体にはもはや残っていないので、データアクセス終了後の記録媒体を不正コピーしても更新権情報はコピーされず、元も正規の記録媒体を再現することは不可能である。記録媒体に対する最初のデータアクセスにおけるこのような仕組みを採用していることから、ナビゲーションユニットはそのメモリに書き込まれている更新権情報や更新期限を利用して、より強固なセキュリティを有する地図データ更新を実現することができる。
【0009】
セキュリティをさらに高めるための本発明の好適な実施形態の1つでは、前記記録媒体は初期状態がロック状態となっているパスワードロック機能を有し、当該パスワードロックを解除するためのパスワードは前記記録媒体に送り出し可能に前記ナビゲーションユニットが備えている。この構成では、ナビゲーションユニットだけが有するパスワードによってアクセスが可能となるパスワードロックが記録媒体に施されているので、この記録媒体はまずは対応するナビゲーションユニットに装着してデータアクセスを受ける必要がある。これによって、使用前(最初のデータアクセス前)の記録媒体のデータを丸ごとコピーするような不正行為を防止することができる。ナビゲーションユニットによるデータアクセス後は、そのパスワードロック機能は解除されるが、その時には、上記のとおり更新権情報が削除されているので不正コピーが防止される。よって、この構成によれば、記録媒体に対するデータアクセスの前後に関わらず、不正行為を防止できる。なお、パスワードロック機能が解除された後は、他の機器、例えばユーザのパソコンに装着してのデータアクセスが可能となるので、パソコン経由で更新用の地図データを書き込むこともできる。
【0010】
なお、記録媒体からパスワードロック機能を解除するタイミングは、記録媒体のデータ領域から更新権情報が削除された後であることが好適である。これは、更新権情報が削除される前にパスワードロック機能が解除された場合、その時点で記録媒体がナビゲーションユニットから抜き取られ、更新権情報が不正に読み取られる恐れがあるからである。
【0011】
さらに好適な実施形態の1つでは、記録媒体のデータ領域から読み出された更新権情報がナビゲーションユニットのメモリに記録される。この更新権情報に基づいて作成された地図更新期限はナビゲーションユニットに記録されるが、その元となった更新権情報もそのままナビゲーションユニットに記録されることで、ナビゲーションユニットは地図データを取り込んだ記録媒体の更新権情報、媒体識別情報、地図データをすべて記録していることになるので、必要な場合、この記録媒体のリカバリ処理が可能となる。
【0012】
また、別な好適な実施形態の1つでは、前記ナビゲーションユニットにとっての最初のデータアクセスの対象となった記録媒体の媒体識別情報が初使用媒体識別情報として前記ナビゲーションユニットのメモリに記録され、前記初使用媒体識別情報として記録されている媒体識別情報を有する記録媒体と、それ以外の記録媒体では前記地図更新期限が異なる。この特徴構成は、あるナビゲーションユニットにおいて最初のデータアクセスを行った記録媒体と、その後にデータアクセスを行った別の記録媒体とを区別できるという利点をナビゲーションユニットに与えることができる。それにより、最初の記録媒体とそれ以外の記録媒体では地図データの更新期限を相異させることができる。これにより、例えば、最初の記録媒体の地図データの更新可能な期間を3年とし、それ以外の、つまりそれ以後の使用される記録媒体の地図データの更新可能な期間を2年とするような使用が可能である。これは、新車購入時の車検期間が3年でその後の車検期間が2年といった車検制度の場合、車検毎に地図データ更新用の記録媒体を発行できるので好都合である。その際、前記ナビゲーションユニットは、前記更新権情報の読み出し時からの所定期間を当該更新権情報についての前記地図更新期限とするとよい。
【0013】
正規のルートを経て、外部からパソコン等の通信機能付き端末に送り込まれた更新地図データを記録媒体に記録して、この記録媒体をナビゲーションユニットに装着して更新地図データをナビゲーションユニットに書き込むというデータの流れの中で、不測の地図データの書き換えが行われる可能性がある。この書き換えが悪意で行われる可能性もある。このような問題に対処するため、本発明の好適な実施形態の1つでは、地図データ更新時には、外部から送り込まれた更新地図データが前記記録媒体のデータ領域に記録されるとともに、前記更新地図データから生成されたハッシュ値が当該記録媒体に地図セキュリティデータとして記録される。この構成では、ハッシュ値の照合を通じて、正当な地図データを受け取っているかどうかをチェックすることができ、上記の問題に対処することができる。
【図面の簡単な説明】
【0014】
【図1】本発明に係るナビゲーションシステムの基本的な構成とデータの流れを示す模式図である。
【図2】本発明に係るナビゲーションシステムを構成するナビゲーションユニットの機能を示す機能ブロック図である。
【図3】本発明に係るナビゲーションシステムを構成する記録媒体の機能を示す機能ブロック図である。
【図4】本発明に係るナビゲーションシステムを構成する更新ユニットの機能を示す機能ブロック図である。
【図5】記録媒体からナビゲーションシステムに転送される更新権情報のデータ構造図である。
【図6】初使用時におけるナビユニットとSDカードとの間のデータ交換を模式的に示したダイアグラム図である。
【図7】地図データ更新時におけるSDカードと更新ユニットとの間のデータ交換を模式的に示したダイアグラム図である。
【図8】初使用時以外でのナビユニットとSDカードとの間のデータ交換を模式的に示したダイアグラム図である。
【発明を実施するための形態】
【0015】
以下、図面を用いて本発明に係るナビゲーションシステムの実施の形態を説明する。図1に示すナビゲーションシステムはカーナビゲーションであり、自動車に搭載されるナビゲーションユニット(以下、単にナビユニットと略称される)1と、この実施形態ではSDカード(より詳しくは、SDメモリーカード又はSDHCメモリーカード)である記録媒体4と、一般には通信機能付きパーソナルコンピュータ(以下、単にパソコンと略称される)である更新ユニット7とから構成されている。ナビユニット1で用いられる地図データはSDカード4に記録されており、カーナビゲーションを利用する際には、SDカード4はナビユニット1に装着される。SDカード4に記録された地図データは更新可能である。地図データの更新は、更新用の地図データ又は地図差分データ(特に区別する必要があるときを除いて、以後両者を単に地図データを称することにする)を取り扱っている地図センターからインターネットなどのWAN経由で更新ユニット(パソコン)7にダウンロードし、この更新ユニット7を仲介してSDカード4の地図データを最新のものに書き換える。なお、ナビユニット1を搭載した自動車の購入時や、ナビユニット1だけの単独購入時などでは、そのナビユニット1には最新の地図データが記録されたSDカード4が付属している。
【0016】
以下、本発明によるナビゲーションシステムの基本的なデータの流れとして、図1を用いて、自動車に搭載されたナビユニット1に始めてSDカード4が装着された際のデータの流れを説明する。このSDカード4は、メモリ領域として、書き換え可能なデータ領域と、媒体識別情報(ここではCID:Card Identification registerが用いられる)が記録される書き換え不能な管理領域と、を備えている。地図データはデータ領域に記録される。さらに、記録されている地図データの更新の権利に関する情報としての更新最終期限などを含む更新権情報もデータ領域に書き込まれている。このSDカード4はパスワードロック機能を有し、このパスワードロック機能がONされている場合、所定のパスワードを付与しない限り、このSDカード4に対する読み書きが許可されない。
【0017】
ナビユニット1には、初めからセキュリティ関連のデータとして、このナビユニット1の識別情報である車載器ID、付属しているSDカード4のパスワードロックを外すためパスワード、このナビユニット1においてデータを暗号化するための暗号化鍵であるナビ暗号化鍵、更新ユニット7において暗号化されたデータを復号する更新復号化鍵が登録されている。更新ユニット7は、更新ユニット7の母体としてのパソコン上で更新ユニット構築のための所定のプログラムを起動することによって、この更新ユニット7においてデータを暗号化するための暗号化鍵である更新暗号化鍵、ナビユニット1において暗号化されたデータを復号するナビ復号化鍵が登録される。ここでの対応する暗号化鍵と復号化鍵との関係は、公知の秘密鍵と公開鍵との関係と実質的に同じであり、暗号化鍵で暗号化されたデータは、対応する復号化鍵でのみ復号化可能である。また、暗号化鍵から対応する復号化鍵を作り出すこと及び復号化鍵から対応する暗号化鍵を作り出すことは事実上不可能である。
詳細は後述されるが、更新ユニット1には、センターからダウンロードした更新用の地図データから算出したハッシュ値からなる地図セキュリティデータを生成する機能や、地図データの転送先であるSDカードの媒体識別情報及び地図セキュリティデータからさらに算出されたハッシュ値を含む更新セキュリティデータを生成する機能なども備えている。
【0018】
まず、ナビユニット1にSDカード4が装着されると、ナビユニット1からロック解除用のパスワードが送られることにより、ナビユニット1はSDカード4とデータ交換が可能となる(#11)。次に、SDカード4から媒体識別情報(#12)及び更新権情報(#13)がナビユニット1に送信される。ナビユニット1は、受け取った更新権情報から作成された地図更新期限(#14)や更新権情報に含まれているその他のデータ、さらには更新権情報をこのナビユニット1のメモリに記録する(#15)。この際、媒体識別情報もナビユニット1のメモリに記録する。
【0019】
更新権情報がSDカード4からナビユニット1に送信されると、SDカード4に記録されていた更新権情報が削除される(#16)。さらに、SDカード4のパスワードロック機能が解除され(#17)、以後このSDカード4はパスワードなしでデータアクセスが許可され、利便性が向上する。パスワードなしのデータアクセスが許可されても、既に更新権情報が削除されているので、このSDカード4から更新権情報が抜きだされることはない。さらに、これらのナビユニット1とSDカード4とが知り得る共通のデータがナビセキュリティデータとしてグループ化され(#18)、ナビ暗号化鍵によって暗号化された後、SDカード4に送られる(#19)。送り込まれたナビセキュリティデータはSDカード4のデータ領域に記録される。
【0020】
次に、上述したナビゲーションシステムの詳細を説明する。図2は、ナビユニット1の主な機能を示す機能ブロック図である。ナビユニット1は、基本的には、カーナビ本体部1Aと、このカーナビ本体部1Aに接続される記録媒体管理コントローラとしてのSD管理コントローラ1Bとからなる。
【0021】
カーナビ本体部1Aは、一般のカーナビ装置と同じように、I/Oインターフェース11を介して、種々のカーナビ用センサや入出力デバイスと接続されている。カーナビ用センサとしては、GPS(Global Positioning System)衛星からのGPS信号を受信するGPS受信機91、自車両の進行方位又はその進行方位の変化を検出する方位センサ92、自車両の車速や移動距離を検出する距離センサ93が挙げられる。入出力デバイスとしては、運転者に対する経路案内等を行うスピーカ94やモニタ95、さらにはタッチパネル96等の操作デバイスが挙げられる。
【0022】
カーナビ本体部1Aにおいて、ハードウェア又はソフトウェア(プログラム)あるいはその両方により構築される主な機能部は、GPS位置情報取得部12、進行方位情報取得部13、地図データ処理部14、マップマッチング部15、走行距離算定部16、ナビゲーション情報処理部である。地図データ処理部14による地図データの検索抽出の対象となる地図データベースはナビユニット1に装着されるSDカード4に構築されている。
【0023】
GPS位置情報取得部12は、GPS測位によって自車両の位置を表す自車両位置情報を取得する機能を有する。GPS位置情報取得部12では、GPS受信機91で受信されたGPS衛星からの信号を解析し、自車両の現在位置(座標位置:緯度及び経度)を取得することができる。進行方位情報取得部13は、自車両の方位変化量と移動距離とによって自車両の進行方位を表す進行方位情報を取得する機能を有する。このため進行方位情報取得部13は、方位センサ92及び距離センサ93と接続されている。距離センサ93は自車両の車速や移動距離を検出するセンサであり、このセンサ信号に基づいてトータルの走行距離が走行距離算定部16で算定される。マップマッチング部15は、SDカード4から自車位置周辺の地図データを取得し、それに基づいて公知のマップマッチングを行う機能を有する。このマップマッチングにより、GPS位置情報取得部12から出力される自車両位置情報や進行方位情報取得部13から出力される進行方位情報による自車両の現在位置から最短の、地図情報に示される道路上における位置を探索する。この探索された位置は自車両道路上位置であり、この自車両道路上位置がモニタ6に道路地図に重ねて表示される。ナビゲーション情報処理部17は、自車位置表示、出発地から目的地までの経路探索、目的地までの経路案内、目的地検索等のナビゲーション機能を作り出す。例えば、ナビゲーション情報処理部17は、マップマッチング部15で決定された自車位置としての自車両道路上位置に基づいてSDカード4から地図データを取得してモニタ6の表示画面に地図の画像を表示するとともに、当該地図の画像上に、自車両の現在位置及び進行方位を表す自車位置マークを重ね合わせて表示する。また、ナビゲーション情報処理部17は、地図データに基づいて、所定の出発地から目的地までの経路探索を行うとともに、探索された出発地から目的地までの経路と自車位置とに基づいて、モニタ95及びスピーカ94の一方又は双方を用いて、運転者に対する経路案内を行う。モニタ95には操作デバイスとして機能するタッチパネル96が装着されているが、これとは別な操作スイッチや操作ボタンを操作デバイスとして付加してもよい。
【0024】
お互いの通信インターフェース10、20を介して、カーナビ本体部1Aと接続されているSD管理コントローラ1Bの主な機能部は、SDホストモジュール21、セキュリティデータ用メモリ22、更新権情報処理部23、地図更新期限算定部24、ナビセキュリティデータ生成部25、暗号処理部26である。
【0025】
SDホストモジュール21は、SDカード4との間のデータ交換を行うものである。セキュリティメモリ22は、車載器IDなどの予めナビユニット1に固有の情報、及び媒体識別情報(CID)などのSDカード4から取得したセキュリティに関するデータを記録するメモリである。ナビユニット1にとっての最初のデータアクセスの対象となったSDカード4の媒体識別情報は、初使用媒体識別情報としてメモリに記録される。すなわち、初使用媒体識別情報は、未使用のナビユニット1に最初に装着されたSDカード4の媒体識別情報である。更新権情報処理部23は、SDカードから取得した更新権情報に基づいて生成した地図更新期限を付加する等してナビユニット側の更新権情報を生成したり、この更新権情報から必要なデータを取り出したりする。地図更新期限算定部24は、装着されたSDカード4における地図データの更新に関する期限を算定する。ここでは、地図更新期限算定部24は、初使用媒体識別情報とSDカード4の媒体識別情報とを比較し、初使用媒体識別情報として記録されている媒体識別情報を有するSDカード4と、それ以外のSDカード4とで異なる地図更新期限を設定する。具体的には、初使用媒体識別情報として記録されている媒体識別情報を持つSDカード4に対しては3年間の更新期限を与え、それ以外のSDカード4に対しては2年間の更新期限を与える。また、SDカード4に記録された地図データが余りにも古すぎると差分を用いた地図更新が困難になるといった問題など種々の問題を引き起こすので、地図更新期限算定部24は、地図更新期限の設定に際して、更新最終期限を参照し、更新最終期限を過ぎたSDカード4に対しては更新期限を付与しない。例えば、更新最終期限は、SDカード4に地図データが記録された時を基準として設定された期限である。
【0026】
ナビセキュリティデータ生成部26は、更新ユニット7によって不正に地図更新されたSDカード4を見破るためのセキュリティデータを組み合わせてナビセキュリティデータを生成する。ナビセキュリティデータは、少なくとも、SDカード4の管理領域から読み出した媒体識別情報(CID)と地図更新期限の情報とを含んでいる。暗号処理部27は、ここでデータを暗号化する暗号化鍵としてのナビ暗号化鍵と、更新ユニット7で暗号化されたデータを復号する更新復号化鍵と備えている。ハッシュ演算部27は、装着されたSDカード4の地図データのハッシュ値を演算する。
【0027】
図3に示すように、SDカード4の構成は、市場に流通しているセキュリティ機能付きフラッシュメモリであるSDカードと実質的に同じであり、SDインターフェース40を通じて、更新ユニット7やナビユニット1とデータ交換可能である。その基本的な構成要素として、CPU41、媒体識別情報などを記録している管理用メモリ42、メモリインタフェース43を通じて書き換え可能にデータを記録することができるデータ領域であるフラッシュメモリ44が備えられている。さらに、このナビゲーションシステムのために実装されているプログラム等によって実現する機能部として、パスワードロック処理部55及びCID管理部56も備えられている。
【0028】
パスワードロック処理部55は、このSDカード4のパスワードロック機能を行うものであるが、ナビユニット1への最初の装着時においてパスワードチェックを行った後には、このパスワードロックは解除され、以後はパスワードを必要とせずに、データアクセスが許可される。CID管理部56は、管理用メモリ42に記録された媒体識別情報(一般にはCIDと呼ばれるコード)を要求に応じて読み出して、要求先に送信する。
【0029】
図4に示すように、WANインターフェースを通じてWAN(インターネット)と接続可能であるとともにSDインターフェース71を通じてSDカードとデータ交換可能なパソコンにおいて、このナビゲーションシステムで要求される機能を実現するプログラムを実行させることにより、この更新ユニット7に要求される機能部は構築される。その機能部として、地図データ処理部72、地図セキュリティデータ生成部73、更新セキュリティデータ生成部74、ハッシュ演算部75、暗号処理部76が挙げられる。
【0030】
地図データ処理部72は、センターからダウンロードされた更新用の地図データ(地図データバージョンや地図作成日等の地図データ属性値を含む)を処理して、装着されているSDカード4の地図データを更新する。一般に、更新用の地図データは、差分データとしてダウンロードされるので、この差分データを用いて地図データの更新すべきデータ部分だけを書き換える。地図データは扱いやすいように複数の地図サブデータに区分けされている。地図セキュリティデータ生成部73は、装着されたSDカード4に転送する地図データの識別コードとして用いることができるように、ハッシュ演算部によって上記の地図サブデータのそれぞれから得られたハッシュ値をグループ化して、地図セキュリティデータとする。更新セキュリティデータ生成部74は、装着されたSDカードに記録されたナビセキュリティデータから読み取った媒体識別情報、地図作成日又は差分データから更新地図データを作成した日、及び地図セキュリティデータ生成部73によって生成された地図セキュリティデータから再度ハッシュ演算部によって演算されたハッシュ値をグループ化した更新セキュリティデータを作成する。この更新セキュリティデータは暗号処理部76によって更新暗号化鍵で暗号化され、SDカード4に送信される。暗号処理部76は、ナビユニット1の暗号処理部26においてナビ暗号化鍵で暗号化されたデータを復号するナビ復号化鍵も備えている。これにより、更新ユニット7は、ナビ暗号化鍵で暗号化されたナビセキュリティデータをSDカード4から読み出して復号化することができる。
【0031】
上述のように構成されたナビゲーションシステムにおいては、ナビユニット1とSDカード4と更新ユニット7との間で、地図データが転送される際、セキュリティ目的で種々の情報ないしはデータが交換される。図5には、そのようなデータや情報のデータ構造がまとめられている。
【0032】
図5(a)で示す更新権情報はSDカード4に記録されている状態と、その後ナビユニット1に転送されて、そこで記録されるときに構造が異なっている。つまり、SDカード4における更新権情報は、地図データバージョンと更新最終期限とを有する。これに対して、ナビユニット1における更新権情報は、媒体識別情報(CID)と、ナビユニット1に地図更新期限算定部24で算定された地図更新期限とがさらに追加されている。
図5(b)で示すナビセキュリティデータはナビユニット1で生成されるデータであり、媒体識別情報、車載器ID、走行距離、地図更新期限、地図データバージョンを有する。このナビセキュリティデータはナビ暗号化鍵で暗号化されて、ナビユニット1からSDカード4に転送される。
【0033】
図5(c)で示す地図データは、最終的には更新ユニット7でセットアップされるデータであり、地図区分け数で区分けされた複数の地図サブデータ1、・・・とともに、地図データの属性値としての地図データバージョン及び地図作成日を有する。
図5(d)で示す地図セキュリティデータは更新ユニット7で生成されるデータであり、地図区分け数で区分けされた複数の地図サブデータ毎に演算された各地図サブデータのハッシュ値が地図サブデータハッシュ値1、・・・として含まれている。この地図セキュリティデータは、地図データとともに、更新ユニット7からSDカード4に転送される。
図5(e)で示す更新セキュリティデータは更新ユニット7で生成されるデータであり、SDカード4に記録されたナビセキュリティデータから読み出した媒体識別情報、地図セキュリティデータに含まれている複数の地図サブデータハッシュ値からさらにハッシュ演算して得られた二階ハッシュ値である地図セキュリティデータのハッシュ値を含む。この更新セキュリティデータは、更新暗号化鍵で暗号化されて、装着されているSDカード4に転送される。
【0034】
次に、このナビゲーションシステムにおける、データ交換の手順を説明する。図6は、自動車に搭載され、初めてSDカード4を装着した際の、ナビユニット1とSDカード4との間のデータ交換を模式的に示したダイアグラム図である。
まず、ナビユニット1からSDカード4に対してロック確認が行われ(#30)、Sナビユニット1は、Dカード4からパスワードロックが機能しているというロック情報を受け取ると(#31)、パスワードを送信する(#32)。ナビユニット1からパスワードが送信されると、SDカード4に対するデータアクセスが許可される(#33)。データアクセスが許可されると、ナビユニット1はSDカード4に対して管理領域に記録された媒体識別情報(CID)を要求し(#34)、媒体識別情報(CID)を受け取ると(#35)、一時的にメモリ22に記録する(#36)。さらに、更新権情報(RR)を要求し(#37)、更新権情報(RR)を受け取ると(#38)、地図更新期限算定部24が更新情報(RR)に基づいて地図更新期限を算定する(#39)。本実施形態では、地図更新期限算定部24は、SDカード4に更新権情報(RR)が記録されていることを条件として、当該更新権情報(RR)の読み出し時からの所定期間を当該更新権情報(RR)についての地図更新期限とする。ここでは、地図更新期限算定部24は、上記のとおり、ナビユニット1にとっての最初のデータアクセスの対象となったSDカード4であるか否かにより異なる地図更新期限を与えることとし、具体的には、当該ナビユニットにとっての最初のSDカード4に対しては3年間の更新期限を与え、2枚目以降のSDカード4に対しては2年間の更新期限を与える。またこの際、地図更新期限算定部24は、更新権情報(RR)に含まれる更新最終期限を確認し、更新最終期限を過ぎたSDカード4に対しては更新期限を与えない。次いで、更新権情報処理部23がメモリ22に記録されているデータに基づいて、図5で示すようなデータ構造を有する更新権情報(RR)を作成してメモリ22に記録する(#40)。更新権情報(RR)の再作成と記録が完了すると、SDカード4に更新権情報記録完了が通知され(#41)、これにより更新情報管理部52がフラッシュメモリ44に記録されていた更新権情報を削除する(#42)。続いて、パスワードロック処理部55がパスワードロック機能を解除する(#43)。
【0035】
ナビユニット1では、ナビセキュリティデータ生成部25が、装着されているSDカード4の管理領域としての管理メモリ42から読み出した媒体識別情報(CID)、このナビユニット1に固有している車載器ID(NID)、カーナビ本体1Aから得られる走行距離(Km)、先に算定した地図更新期限(RT)、更新権情報(RR)に含まれている地図データベースバージョン(MV)をグループ化して、ナビセキュリティデータ(NS)を生成し(#44)、メモリ22に記録する(#45)。さらに、ナビセキュリティデータ(NS)は、暗号処理部26によりナビ暗号化鍵を用いて暗号化され(#46)、SDカード4に送信され(#47)、データ領域としてのフラッシュメモリ44に記録される(#48)。
【0036】
以上により、ナビユニット1とSDカード4の初期処理が完了し、カーナビゲーション処理時には、カーナビ本体1Aからの要求に応じて、SD管理コントローラ1BはSDカード4にアクセスして、必要な地図データをSDカード4から読み出し、カーナビ本体1Aに与える処理が繰り返される。
【0037】
次に、地図データ更新時におけるSDカードと更新ユニットとの間のデータ交換の流れを図7のダイアグラム図を用いて説明する。
まず、更新ユニット7は、予め、地図データをダウンロードし(#61)、更新用の地図データとしてメモリに格納しておく(#62)。その際、更新前の地図データが更新ユニット7に存在しており、ダウンロードした地図データが差分データの場合には、ここで差分データを用いて既存の地図データを最新版に更新しておく。この状態で、更新対象となるSDカード4が更新ユニット7に装着されると、更新ユニット7は、SDカード4がナビユニット1から受け取って記録しているナビセキュリティデータを要求する(#63)。受け取ったナビセキュリティデータは、メモリに一時的に格納される(#64)。このナビセキュリティデータはナビ復号化鍵を用いて復号化される(#65)。このように復号化されたナビセキュリティデータから媒体識別情報(CID)が取り出され、更新ユニット7のメモリに一時的に格納される(#66)。さらに、復号化されたナビセキュリティデータから地図更新期限が取り出され(#67)、格納している更新用の地図データの作成日時と比較され、作成日時が地図更新期限を過ぎていないか、あるいはその他の設定条件に応じた地図更新期限に関するチェックがなされる(#68)。
【0038】
この地図更新期限に関するチェックがクリアされると更新用の地図データがSDカード4に送信される(#69)。また、更新ユニット7においては、ハッシュ演算部75が地図データのハッシュ値(MH)を算出する(#70)。通常、地図データはデータ容量が大きく分割構成となっているので、各地図サブデータのハッシュ値が算出され、地図セキュリティデータ(MS)が生成される(#71)。さらに、この地図セキュリティデータ(MS)に含まれる各地図サブデータのハッシュ値をまとめてハッシュ演算を行い、統合されたハッシュ値を算出する(#72)。更新セキュリティデータ生成部74は、この統合されたハッシュ値、地図データの作成日、復号化されたナビセキュリティデータから取り出された媒体識別情報などをグループ化することで、更新セキュリティデータ(RS)を生成する(#73)。生成された更新セキュリティデータは更新暗号化鍵で暗号化される(#74)。暗号化された更新セキュリティデータは先に生成された地図セキュリティデータとともにSDカード4に送信され(#75、#76)、SDカード4のデータ領域としてのフラッシュメモリ44に記録される(#77)。
【0039】
次に、更新ユニットを通じて当初の地図データを更新したSDカード4をナビユニット1で利用する際のデータ交換の流れを図8のダイアグラム図を用いて説明する。
このSDカード4は、最初にナビユニット1に装着した際に、パスワードチェック機能が解除され、また更新権情報も既に削除されている。SDカード4がナビユニット1に装着されると、ナビユニット1はSDカード4に対して管理領域としての管理用メモリ42に記録された媒体識別情報(CID)を要求し(#80)、SDカード4の管理用メモリ42に記録されている媒体識別情報を取得する(#81)。さらに、SDカード4のフラッシュメモリ44に記録されている更新セキュリティデータ(RS)を要求し(#82)、更新セキュリティデータを取得する(#83)。この更新セキュリティデータ(RS)は更新復号化鍵を用いて復号化される(#84)。この更新セキュリティデータには媒体識別情報が含まれているのでこの媒体識別情報と先に取得した媒体識別情報を比較することで、SDカード4と更新ユニット7で更新された地図データとの整合性をチェックする(#85)。媒体識別情報の整合性に問題がなければ、今受け取った更新セキュリティデータに含まれている地図作成日(MD)とナビゲーションユニット1に記録されている地図更新期限とを比較して、その整合性をチェックする(#86)。この整合性に問題なければ、このSDカード4自体は正当とみなすことができる。
【0040】
次に、SDカード4に記録された地図データそのものの正当性(不正にコピーされたものでないことなど)チェックするため、まず、地図セキュリティデータ(RS)をSDカード4に要求し(#87)、地図セキュリティデータを受け取り(#88)、さらに地図データを要求し(#89)、地図データを受け取る(#90)。受け取った地図データ、実際は所定の区分け数で区分けされた各地図サブデータのハッシュ値がハッシュ演算部27によって演算される(#91)。更に、この演算によって得られたハッシュ値群をまとめてハッシュ演算を行い、統合されたハッシュ値を算出する。この統合されたハッシュ値と先に受け取った地図セキュリティデータに含まれているハッシュ値(更新ユニット7により演算された統合されたハッシュ値)とを互いに比較する(#92)。相互のハッシュ値が一致している場合は、更新ユニット7でダウンロードされ作成された地図データと、今装着されているSDカード4に記録されている地図データとが一致していることが保証される。これによって、地図データも含めこのSDカード4の正当性が確認される。さらに、ナビセキュリティデータに走行距離のように運転とともにその値が変化するようなデータを含む場合には、ナビセキュリティデータ生成部25が最新のデータを含むナビセキュリティデータを生成する(#93)。これにより、初期処理が完了し、カーナビゲーション処理時には、カーナビ本体1Aからの要求に応じて、SD管理コントローラ1BはSDカード4にアクセスして、必要な地図データをSDカード4から読み出し、カーナビ本体1Aに与える処理が繰り返される。
【0041】
以上のような構成を備えることにより、強固なセキュリティを有する地図データ更新を実現することができる。具体的には、以下のような類型が考えられる。
(1)新しいSDカード4から地図データを丸ごとデッドコピーしようとした場合、パスワードロック機能が働くため、専用のナビユニット1でしかデータアクセスが許可されないので、そのような地図データのデッドコピーができない。また、パスワードロック解除後は更新権データが削除されているので、不正に地図データの更新権を得ることはできない。
(2)SDカード4をナビユニット1に装着することでパスワードロック機能が解除された後に、当該SDカード4を丸ごとデッドコピーした他のSDカード4を使用する場合、ナビセキュリティデータの媒体識別情報とSDカードに固有の媒体識別情報(管理用メモリに記録されているもの)との不整合から不正コピーが認識でき、使用を禁止できる。
(3)地図データの一部が修正ないしは不正にコピーされたSDカード4が装着された場合、ナビユニット4の起動時に上述したような地図データのハッシュ値を演算し、この演算値とナビセキュリティデータに含まれているハッシュ値とを比較することで、その使用を禁止することができる。
(4)更新ユニットの時計を過去にずらせることで地図更新期限の切れたSDカード4の地図更新をしようとした場合、ナビセキュリティデータに含まれている地図更新期限と更新用の地図データの属性値としての地図作成日とを比較しその整合性をチェックすることで更新ユニットの不正な時計設定を検知することができる。ナビセキュリティデータの地図更新期限を書き換えることはナビセキュリティデータがナビ暗号化鍵で暗号化されているので不可能である。さらに、地図更新期限が残っている他のSDカード4のナビセキュリティデータをまるごとコピーした場合には、更新ユニット7において地図更新ができたとしても、その際そのナビセキュリティデータの媒体識別情報が書き込まれるので、ナビユニット1においてその更新セキュリティデータの媒体識別情報とSDカード4の管理用メモリ42から読み出された媒体識別情報とを比較することでその不正が検知可能となる。
(5)更新ユニット7にインストールされているこのナビゲーションシステムのためのプログラムがクラックされ、上述した更新期限チェック等の機能部をパッチで回避された場合、ナビユニットが更新セキュリティデータに含まれている地図作成日と地図更新期限を比較することでそのような不正を検知することができる。また、更新ユニット7にインストールされているプログラムがクラックされることでのナビゲーションシステムにおける暗号システムの脆弱化は、ナビユニット1のナビ暗号化鍵で暗号化された暗号は更新ユニット7のナビ復号化鍵によってのみ復号でき、更新ユニット7の更新暗号化鍵で暗号化された暗号はナビユニット1の更新復号化鍵によってのみ復号できるように、異なる2つの暗号鍵システムを取り入れることで、回避している。
〔別実施の形態〕
(1)上述した実施の形態では、ナビユニット1で使用される前でのSDカード(記録媒体の一種)4へのデータアクセスを防止するためにパスワードロック機能を採用していたが、他のロック機能を、特には使用する記録媒体に適したロック機能を採用することができる。また、パスワードロック機能は更新権情報のデータ領域からの削除の後に解除されていたが、その前に解除することを本発明は除外しているわけではない。さらに、パスワードロック機能は外したナビゲーションシステムも本発明の範囲内である。
(2)ある程度のセキュリティの脆弱化が許容できる場合、SDカード(記録媒体の一種)4のデータ領域から読み出された更新権情報が前記ナビユニットのメモリに記録しないシステムとすることも本発明の枠内で可能である。
(3)ナビユニットにとっての最初のデータアクセスの対象となった記録媒体の媒体識別情報が初使用媒体識別情報として前記ナビユニットのメモリに記録することも、本発明の枠内で省略することも可能である。また、適用する分野によっては、初使用媒体識別情報として記録されている媒体識別情報を有する記録媒体と、それ以外の記録媒体では地図更新期限を必ずしも異ならせる必要はない。
(4)上述した実施例では、ナビユニットは、更新権情報の読み出し時からの所定期間を当該更新権情報についての地図更新期限としていたが、地図更新期限の起点となるタイミングは更新権情報の読み出し時以外のものを採用することもできる。そのタイミングとしては、例えば、ナビユニットへの記録媒体の装着時、車両の走行距離が所定距離を越えた時、地図データが記録された記録媒体の製造時あるいは出荷時等が挙げられる。
(5)地図データの不測の変更の検知のためにハッシュ値を用いることで暗号等の改竄防止より演算負荷を低減することができるが、ナビユニット1や更新ユニット7における演算負荷をさらに下げるためには、このハッシュ値を用いた改竄防止を省略することも可能である。
(6)セキュリティを強固にするための最適な実施の形態として、ナビユニット1と更新ユニット7との間において異なる2つの暗号鍵システムを取り入れられていたが、本発明はこれに限定されるわけではなく、単一の共通鍵による暗号システムを採用することも本発明に含まれる。
(7)上述した実施の形態では、地図データは複数のサブデータから構成されており、更新セキュリティデータに利用される地図セキュリティ処理データは、各サブデータから生成された複数のハッシュ値からさらに演算されたハッシュ値であったが、このような二階ハッシュ演算を行わずに一階ハッシュ演算されたもの、すなわち地図セキュリティデータをそのまま利用してもよい。
(8)更新セキュリティデータに含まれる更新用地図データの一意的な属性値として地図作成日を採用していたが、地図作成履歴コードなどその他の一意的な属性値を採用してもよい。
(9)SDカード(記録媒体の一種)4に内蔵されているCPUシステムの能力は年々高まっているので、上述したナビゲーションシステムでナビユニット1や更新ユニット7に構築されていた更新情報の管理機能やハッシュ演算機能、暗号機能などをSDカード側に構築することの本発明の枠内で可能である。
【産業上の利用可能性】
【0042】
本発明のナビゲーションシステムは、車両搭載されるカーナビゲーションだけでなく、ポータブル型のナビゲーションシステムなど、着脱可能な記録媒体に更新可能な地図データを記録して用いる種々のナビゲーションシステムに適用可能である。
【符号の説明】
【0043】
1:ナビユニット(ナビゲーションユニット)
1A:カーナビ本体
1B:SD管理コントローラ
21:SDホストモジュール
22:セキュリティデータ用メモリ
23:更新権情報処理部
24:地図更新期限算定部
25:ナビセキュリティデータ正西部
26:暗号処理部
27:ハッシュ演算部
4:SDカード(記録媒体)
42:管理用メモリ(管理領域)
44:フラッシュメモリ(データ領域)
51:地図データ処理部
52:更新情報管理部
53:地図セキュリティデータ処理部
54:ナビセキュリティデータ処理部
55:パスワードロック処理部
56:CID管理部
7:更新ユニット
72:地図データ処理部
73:地図セキュリティデータ生成部
74:更新セキュリティデータ生成部
75:ハッシュ演算部
76:暗号処理部
【特許請求の範囲】
【請求項1】
地図データを用いて動作するナビゲーションユニットと当該ナビゲーションユニットに着脱可能な記録媒体とを有し、前記記録媒体は前記地図データが記録される書き換え可能なデータ領域と媒体識別情報が記録される書き換え不能な管理領域とを有するナビゲーションシステムにおいて、
前記データ領域に前記地図データの更新に必要な更新権情報が記録され、
前記記録媒体に対する前記ナビゲーションユニットによる最初のデータアクセス時に前記更新権情報が前記データ領域から読み出されるとともに前記データ領域から削除され、読み出された前記更新権情報に基づいて作成された地図更新期限が、前記管理領域から読み出された媒体識別情報とともに前記ナビゲーションユニットのメモリに書き込まれるナビゲーションシステム。
【請求項2】
前記記録媒体は初期状態がロック状態となっているパスワードロック機能を有し、当該パスワードロックを解除するためのパスワードは前記記録媒体に送り出し可能に前記ナビゲーションユニットが備えている請求項1に記載のナビゲーションシステム。
【請求項3】
前記パスワードロック機能は、前記更新権情報の前記データ領域からの削除の後に解除される請求項2に記載のナビゲーションシステム。
【請求項4】
前記データ領域から読み出された前記更新権情報が前記ナビゲーションユニットの前記メモリに記録される請求項1に記載のナビゲーションシステム。
【請求項5】
前記ナビゲーションユニットにとっての最初のデータアクセスの対象となった記録媒体の媒体識別情報が初使用媒体識別情報として前記ナビゲーションユニットのメモリに記録され、前記初使用媒体識別情報として記録されている媒体識別情報を有する記録媒体と、それ以外の記録媒体では前記地図更新期限が異なる請求項1から4のいずれか一項に記載のナビゲーションシステム。
【請求項6】
前記ナビゲーションユニットは、前記更新権情報の読み出し時からの所定期間を当該更新権情報についての前記地図更新期限とする請求項1から5のいずれか一項に記載のナビゲーションシステム。
【請求項7】
地図データ更新時には、外部から送り込まれた更新地図データが前記記録媒体の前記データ領域に記録されるとともに、前記更新地図データから生成されたハッシュ値が当該記録媒体に地図セキュリティデータとして記録される請求項1から6のいずれか一項に記載のナビゲーションシステム。
【請求項1】
地図データを用いて動作するナビゲーションユニットと当該ナビゲーションユニットに着脱可能な記録媒体とを有し、前記記録媒体は前記地図データが記録される書き換え可能なデータ領域と媒体識別情報が記録される書き換え不能な管理領域とを有するナビゲーションシステムにおいて、
前記データ領域に前記地図データの更新に必要な更新権情報が記録され、
前記記録媒体に対する前記ナビゲーションユニットによる最初のデータアクセス時に前記更新権情報が前記データ領域から読み出されるとともに前記データ領域から削除され、読み出された前記更新権情報に基づいて作成された地図更新期限が、前記管理領域から読み出された媒体識別情報とともに前記ナビゲーションユニットのメモリに書き込まれるナビゲーションシステム。
【請求項2】
前記記録媒体は初期状態がロック状態となっているパスワードロック機能を有し、当該パスワードロックを解除するためのパスワードは前記記録媒体に送り出し可能に前記ナビゲーションユニットが備えている請求項1に記載のナビゲーションシステム。
【請求項3】
前記パスワードロック機能は、前記更新権情報の前記データ領域からの削除の後に解除される請求項2に記載のナビゲーションシステム。
【請求項4】
前記データ領域から読み出された前記更新権情報が前記ナビゲーションユニットの前記メモリに記録される請求項1に記載のナビゲーションシステム。
【請求項5】
前記ナビゲーションユニットにとっての最初のデータアクセスの対象となった記録媒体の媒体識別情報が初使用媒体識別情報として前記ナビゲーションユニットのメモリに記録され、前記初使用媒体識別情報として記録されている媒体識別情報を有する記録媒体と、それ以外の記録媒体では前記地図更新期限が異なる請求項1から4のいずれか一項に記載のナビゲーションシステム。
【請求項6】
前記ナビゲーションユニットは、前記更新権情報の読み出し時からの所定期間を当該更新権情報についての前記地図更新期限とする請求項1から5のいずれか一項に記載のナビゲーションシステム。
【請求項7】
地図データ更新時には、外部から送り込まれた更新地図データが前記記録媒体の前記データ領域に記録されるとともに、前記更新地図データから生成されたハッシュ値が当該記録媒体に地図セキュリティデータとして記録される請求項1から6のいずれか一項に記載のナビゲーションシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2011−169825(P2011−169825A)
【公開日】平成23年9月1日(2011.9.1)
【国際特許分類】
【出願番号】特願2010−35320(P2010−35320)
【出願日】平成22年2月19日(2010.2.19)
【出願人】(000100768)アイシン・エィ・ダブリュ株式会社 (3,717)
【Fターム(参考)】
【公開日】平成23年9月1日(2011.9.1)
【国際特許分類】
【出願日】平成22年2月19日(2010.2.19)
【出願人】(000100768)アイシン・エィ・ダブリュ株式会社 (3,717)
【Fターム(参考)】
[ Back to top ]