ナビゲーション装置、ナビゲーション方法、情報配信システム及び情報配信方法
【課題】ナビゲーション装置へ配信する更新用地図情報の情報セキュリティを確保することが可能な情報配信システム及びその情報配信システムを構成するナビゲーション装置を提供する。
【解決手段】ナビゲーション装置2のCPU41は、情報配信センタ3によって公開された使用優先順位が付された各公開鍵PK1〜PK5を公開鍵記憶部39に格納する。そして、ナビゲーション装置2のCPU41は、情報配信センタ3から配信された配信データから電子署名を抽出し、各公開鍵PK1〜PK5のうち「有効」な公開鍵を使用優先順位の順番に使用して、この電子署名を順次検証する。そして、ナビゲーション装置2のCPU41は、電子署名が検証を通過した場合には、この配信データを情報配信センタ3から配信された正当な情報であるとして判断する(S211〜S217)。
【解決手段】ナビゲーション装置2のCPU41は、情報配信センタ3によって公開された使用優先順位が付された各公開鍵PK1〜PK5を公開鍵記憶部39に格納する。そして、ナビゲーション装置2のCPU41は、情報配信センタ3から配信された配信データから電子署名を抽出し、各公開鍵PK1〜PK5のうち「有効」な公開鍵を使用優先順位の順番に使用して、この電子署名を順次検証する。そして、ナビゲーション装置2のCPU41は、電子署名が検証を通過した場合には、この配信データを情報配信センタ3から配信された正当な情報であるとして判断する(S211〜S217)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、更新用地図情報が配信されるナビゲーション装置、及び更新用地図情報をナビゲーション装置へ配信する情報配信システムに関するものである。
【背景技術】
【0002】
近年、地図データを更新するための更新情報が、情報配信センタからナビゲーション装置に対して、DVD−ROMやHDDなどの記録媒体、又は携帯電話網等のネットワーク等を通じて配信される情報配信システムが種々提案されている。
例えば、情報配信センタから配信された更新用の地図データが書込まれた記録媒体に、ナビゲーション装置に付与されたユニークな個体IDを属性データとして付加されることにより、ナビゲーション装置においてその記録媒体を使用する際に、判断手段により、自らに付与されている個体IDと記録媒体に記録されている個体IDとが一致するかどうかが判断され、個体IDが一致していない場合には、禁止手段により、その記録媒体に書込まれた更新用の地図データが使用できなくなるように構成した情報配信システムがある(例えば、特許文献1参照。)。
【特許文献1】特開2005−331579号公報(段落(0011)〜(0028)、図1〜図4)
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかし、前記した特許文献1に記載された情報配信システムでは、ナビゲーション装置に付与された個体IDが第三者に解読された場合には、記録媒体に記録された更新用の地図データ等が改ざんされる虞があり、更新用の地図データの情報セキュリティを確保することが難しいという問題がある。
一方、情報配信センタから更新用の地図データ等を配信する際に、この更新用の地図データ等に秘密鍵により電子署名を付し、一方、ナビゲーション装置は公開鍵により更新用の地図データ等に付された電子署名を検証して、配信された地図データの正当性を確認するように構成した情報配信システムが考えられる。
しかしながら、信頼できる第三者機関による認証局から各ナビゲーション装置へ公開鍵を公開してもらう情報配信システムでは、秘密鍵が第三者に解読された場合には、各ナビゲーション装置は、認証局から新たな公開鍵の公開を受ける必要があり、処理が煩雑になると共に、コストアップになるという問題がある。また、情報配信センタは、各ナビゲーション装置が認証局から新たな公開鍵の公開を受けるまで、新たな秘密鍵で更新用の地図データ等に電子署名をして配信することができないという問題がある。
【0004】
そこで、本発明は、上述した問題点を解決するためになされたものであり、ナビゲーション装置へ配信する更新用地図情報の情報セキュリティを確保することが可能な情報配信システム及びその情報配信システムを構成するナビゲーション装置を提供することを目的とする。
【課題を解決するための手段】
【0005】
前記目的を達成するため請求項1に係るナビゲーション装置は、情報配信センタ(3)から配信される地図情報を検証するための公開鍵を使用優先順位を付して複数記憶する公開鍵記憶手段(39)と、前記情報配信センタから配信された前記地図情報に付された電子署名を抽出する電子署名抽出手段(23)と、前記複数の公開鍵を前記使用優先順位の順番に使用して前記電子署名を順次検証するように制御する検証制御手段(23)と、前記電子署名が検証を通過した場合には、前記地図情報を前記情報配信センタから配信された正当な情報であるとして判断する判断手段(23)と、を備えたことを特徴とする。
【0006】
また、請求項2に記載のナビゲーション装置は、請求項1に記載のナビゲーション装置(2)において、前記検証制御手段(23)は、前記電子署名が検証を通過するまでに当該検証を通過しなかった公開鍵がある場合には、当該検証を通過しなかった公開鍵を失効に設定するように制御することを特徴とする。
【0007】
また、請求項3に記載のナビゲーション装置は、請求項2に記載のナビゲーション装置(2)において、前記検証制御手段(23)は、前記検証を通過しなかった公開鍵を仮失効に設定する仮失効設定手段(23)を有し、該検証制御手段は、該電子署名が検証を通過した場合には、前記仮失効設定手段によって仮失効に設定された公開鍵を失効させると共に、残りの公開鍵の使用優先順位を順次繰り上げて、前記公開鍵記憶手段に再度記憶するように制御することを特徴とする。
【0008】
また、請求項4に記載のナビゲーション装置は、請求項3に記載のナビゲーション装置(2)において、前記検証制御手段(23)は、前記電子署名が検証を通過しない場合には、前記仮失効設定手段によって設定された仮失効を取り消すように制御し、前記判断手段(23)は、前記地図情報を不当な情報であると判断することを特徴とする。
【0009】
更に、請求項5に記載のナビゲーション装置は、請求項1乃至請求項4のいずれかに記載のナビゲーション装置(2)において、前記公開鍵記憶手段に記憶される公開鍵を使用して前記電子署名を復号して復号データを作成する復号データ作成手段(23)と、前記地図情報からハッシュ値を作成するナビ側ハッシュ値作成手段(23)と、を有し、該検証制御手段(23)は、前記復号データと前記ハッシュ値とが一致した場合には検証を通過させ、前記復号データと前記ハッシュ値とが一致しない場合には検証を通過させないように制御することを特徴とする。
【0010】
また、請求項6に記載の情報配信システムは、地図情報を配信する情報配信センタ(3)と、ナビゲーション装置(2)と、を備えた情報配信システム(1)において、前記情報配信センタ(3)は、複数対の公開鍵と秘密鍵を生成して前記複数対の公開鍵と秘密鍵に対して使用優先順位を付する鍵生成手段(10)と、前記使用優先順位が付された複数の秘密鍵を記憶する秘密鍵記憶手段(19)と、前記秘密鍵記憶手段に記憶される前記使用優先順位が1番目の秘密鍵を使用して電子署名を作成する電子署名作成手段(10)と、前記地図情報に前記電子署名を付して配信する配信手段(10、16)と、を有し、該情報配信センタは、前記使用優先順位が付された複数の公開鍵をナビゲーション装置へ公開し、前記ナビゲーション装置(2)は、前記情報配信センタによって公開された前記使用優先順位が付された複数の公開鍵を記憶する公開鍵記憶手段(22)と、前記情報配信センタから配信された前記地図情報に付された電子署名を抽出する電子署名抽出手段(23)と、前記複数の公開鍵を前記使用優先順位の順番に使用して前記電子署名を順次検証するように制御する検証制御手段(23)と、前記電子署名が検証を通過した場合には、前記地図情報を前記情報配信センタから配信された正当な情報であるとして判断する判断手段(23)と、を有することを特徴とする。
【0011】
また、請求項7に記載の情報配信システムは、請求項6に記載の情報配信システム(1)において、前記検証制御手段(23)は、前記電子署名が検証を通過するまでに当該検証を通過しなかった公開鍵がある場合には、当該検証を通過しなかった公開鍵を失効に設定するように制御することを特徴とする。
【0012】
また、請求項8に記載の情報配信システムは、請求項7に記載の情報配信システム(1)において、前記検証制御手段(23)は、前記検証を通過しなかった公開鍵を仮失効に設定する仮失効設定手段(23)を有し、該検証制御手段は、該電子署名が検証を通過した場合には、前記仮失効設定手段によって仮失効に設定された公開鍵を失効させると共に、残りの公開鍵の使用優先順位を順次繰り上げて、前記公開鍵記憶手段に再度記憶するように制御することを特徴とする。
【0013】
また、請求項9に記載の情報配信システムは、請求項8に記載の情報配信システム(1)において、前記検証制御手段は、前記電子署名が検証を通過しない場合には、前記仮失効設定手段によって設定された仮失効を取り消すように制御し、前記判断手段は、前記地図情報を不当な情報であると判断することを特徴とする。
【0014】
更に、請求項10に記載の情報配信システムは、請求項6乃至請求項9のいずれかに記載の情報配信システム(1)において、前記電子署名作成手段(10)は、前記地図情報からハッシュ値を作成するセンタ側ハッシュ値作成手段(10)を有し、該電子署名作成手段は、前記ハッシュ値と前記秘密鍵記憶手段に記憶される前記使用優先順位が1番目の秘密鍵とを使用して電子署名を作成し、前記検証制御手段(23)は、前記公開鍵記憶手段(39)に記憶される公開鍵を使用して前記電子署名を復号して復号データを作成する復号データ作成手段(23)と、前記地図情報からハッシュ値を作成するナビ側ハッシュ値作成手段(23)と、を有し、該検証制御手段は、前記復号データと前記ハッシュ値とが一致した場合には検証を通過させ、前記復号データと前記ハッシュ値とが一致しない場合には検証を通過させないように制御することを特徴とする。
【発明の効果】
【0015】
前記構成を有する請求項1に係るナビゲーション装置は、情報配信センタから配信される地図情報を検証するための複数の公開鍵を使用優先順位を付して記憶している。そして、ナビゲーション装置は、情報配信センタから配信された地図情報に付された電子署名を抽出し、複数の公開鍵を使用優先順位の順番に使用して、この電子署名を順次検証する。そして、ナビゲーション装置は、電子署名が検証を通過した場合には、この地図情報を情報配信センタから配信された正当な情報であるとして判断する。
これにより、ナビゲーション装置は、使用優先順位が1番目の公開鍵によって、情報配信センタから配信された地図情報に付された電子署名を検証して、この電子署名が検証を通過しなくても、信頼できる第三者機関による認証局から新たな公開鍵の公開を受けること無く、次の使用優先順位の公開鍵によって該電子署名を検証することが可能となり、電子署名の検証の迅速化及びコストの削減化を図ることが可能となる。また、ナビゲーション装置は、使用の優先順位を付して記憶する複数の公開鍵を使用して、当該電子署名が検証を通過した場合には、この地図情報を情報配信センタから配信された正当な情報であるとして判断するため、ナビゲーション装置への地図情報の配信に関する情報セキュリティを確保することが可能となる。
【0016】
また、請求項2に係るナビゲーション装置は、複数の公開鍵を使用優先順位の順番に使用して電子署名を順次検証し、この電子署名が検証を通過するまでに当該検証を通過しなかった公開鍵がある場合には、当該検証を通過しなかった公開鍵を失効に設定する。
これにより、情報配信センタが、秘密鍵が第三者によって解読された場合に、この解読された秘密鍵を失効させて、新たな秘密鍵に切り替えて電子署名を行っても、ナビゲーション装置は、情報配信センタから解読された秘密鍵に対応する公開鍵の通知を受けることなく、この解読された秘密鍵に対応する公開鍵を失効させることが可能となる。
【0017】
また、請求項3に係るナビゲーション装置は、複数の公開鍵を使用優先順位の順番に使用して、地図情報に付された電子署名を順次検証し、この電子署名が検証を通過するまでに当該検証を通過しなかった公開鍵がある場合には、当該検証を通過しなかった公開鍵を仮失効に設定する。そして、ナビゲーション装置は、この電子署名が検証を通過した場合には、仮失効に設定された公開鍵を失効させると共に、残りの公開鍵の使用優先順位を順次繰り上げて、再度記憶する。
これにより、情報配信センタは、使用している秘密鍵が第三者によって解読された場合に、この解読された秘密鍵を失効させて、次の使用優先順位の秘密鍵に切り替えて電子署名を行っても、ナビゲーション装置は、情報配信センタから解読された秘密鍵に対応する公開鍵の通知を受けることなく、この解読された秘密鍵に対応する公開鍵を確実に失効させることが可能となる。また、ナビゲーション装置は、解読された秘密鍵に対応する公開鍵を失効させた場合には、信頼できる第三者機関による認証局から新たな公開鍵の公開を受けることなく、残りの公開鍵の使用優先順位を順次繰り上げて、有効な公開鍵を使用優先順位の順番に使用して、地図情報に付された電子署名の検証をスムーズに行うことが可能となる。
【0018】
また、請求項4に係るナビゲーション装置は、複数の公開鍵を使用優先順位の順番に使用して、地図情報に付された電子署名を順次検証し、この電子署名が検証を通過しない場合には、各公開鍵に設定された仮失効を取り消すと共に、当該地図情報を不当な情報であると判断する。
これにより、悪意のある第三者が、情報配信センタが所有する秘密鍵と異なる秘密鍵で地図情報に電子署名を付した場合には、全ての有効な公開鍵による検証が通過しないが、仮失効を取り消すことによって、全ての公開鍵の有効性を維持することができると共に、当該地図情報を不当な情報であると判断することによって、情報セキュリティを確保することができる。
【0019】
更に、請求項5に係るナビゲーション装置は、電子署名に対して複数の有効な公開鍵を使用優先順位の順番に使用して、当該電子署名を復号して復号データを作成する。そして、ナビゲーション装置は、地図情報からハッシュ値を作成し、このハッシュ値と復号データとが一致した場合には、この電子署名の検証を通過させ、該ハッシュ値と復号データとが一致しない場合には、この電子署名の検証を通過させない。
これにより、悪意のある第三者が、情報配信センタが所有する秘密鍵と異なる秘密鍵で地図情報に電子署名を付した場合だけでなく、電子署名を変更することなく、地図情報を改ざんした場合にも、地図情報から作成したハッシュ値と復号データとが一致しない場合には、電子署名の検証を通過させないことによって、当該地図情報の改ざんを検出して、地図情報の情報セキュリティを確保することが可能となる。
【0020】
また、請求項6に係る情報配信システムでは、情報配信センタは、複数対の公開鍵と秘密鍵を生成して、この複数対の公開鍵と秘密鍵に対して使用優先順位を付す。そして、情報配信センタは、この使用優先順位が付された複数の秘密鍵を記憶する。また、情報配信センタは、この使用優先順位が付された複数の公開鍵をナビゲーション装置へ公開する。そして、情報配信センタは、使用優先順位が1番目の秘密鍵を使用して電子署名を作成して、この電子署名を地図情報に付して配信する。
また、ナビゲーション装置は、情報配信センタによって公開された使用優先順位が付された複数の公開鍵を記憶している。そして、ナビゲーション装置は、情報配信センタから配信された地図情報に付された電子署名を抽出し、複数の公開鍵を使用優先順位の順番に使用して、この電子署名を順次検証する。そして、ナビゲーション装置は、電子署名が検証を通過した場合には、この地図情報を情報配信センタから配信された正当な情報であるとして判断する。
【0021】
これにより、情報配信センタは、記憶する使用優先順位が付された複数の秘密鍵のうち使用優先順位が1番目の秘密鍵を使用して電子署名を作成し、この電子署名を地図情報に付して配信するため、配信する地図情報の情報セキュリティを確保することが可能になる。また、予め複数の秘密鍵を記憶しているため、使用優先順位が1番目の秘密鍵が第三者に解読された場合には、残りの秘密鍵に迅速に切り替えることが可能となる。
また、ナビゲーション装置は、使用優先順位が1番目の公開鍵によって、情報配信センタから配信された地図情報に付された電子署名を検証して、この電子署名が検証を通過しなくても、信頼できる第三者機関による認証局から新たな公開鍵の公開を受けること無く、次の使用優先順位の公開鍵によって該電子署名を検証することが可能となり、電子署名の検証の迅速化及びコストの削減化を図ることが可能となる。また、ナビゲーション装置は、情報配信センタによって公開された複数の公開鍵を使用して、当該電子署名が検証を通過した場合には、この地図情報を情報配信センタから配信された正当な情報であるとして判断するため、ナビゲーション装置への地図情報の配信に関する情報セキュリティを確保することが可能となる。
【0022】
また、請求項7に係る情報配信システムでは、ナビゲーション装置は、複数の公開鍵を使用優先順位の順番に使用して電子署名を順次検証し、この電子署名が検証を通過するまでに当該検証を通過しなかった公開鍵がある場合には、当該検証を通過しなかった公開鍵を失効に設定する。
これにより、情報配信センタが、秘密鍵が第三者によって解読された場合に、この解読された秘密鍵を失効させて、新たな秘密鍵に切り替えて電子署名を行っても、ナビゲーション装置は、情報配信センタから解読された秘密鍵に対応する公開鍵の通知を受けることなく、この解読された秘密鍵に対応する公開鍵を失効させることが可能となる。
【0023】
また、請求項8に係る情報配信システムでは、ナビゲーション装置は、複数の公開鍵を使用優先順位の順番に使用して、地図情報に付された電子署名を順次検証し、この電子署名が検証を通過するまでに当該検証を通過しなかった公開鍵がある場合には、当該検証を通過しなかった公開鍵を仮失効に設定する。そして、ナビゲーション装置は、この電子署名が検証を通過した場合には、仮失効に設定された公開鍵を失効させると共に、残りの公開鍵の使用優先順位を順次繰り上げて、再度記憶する。
これにより、情報配信センタが、秘密鍵が第三者によって解読された場合に、この解読された秘密鍵を失効させて、新たな秘密鍵に切り替えて電子署名を行っても、ナビゲーション装置は、情報配信センタから解読された秘密鍵に対応する公開鍵の通知を受けることなく、この解読された秘密鍵に対応する公開鍵を失効させることが可能となる。また、ナビゲーション装置は、解読された秘密鍵に対応する公開鍵を失効させた場合には、信頼できる第三者機関による認証局から新たな公開鍵の公開を受けることなく、残りの公開鍵の使用優先順位を順次繰り上げて、有効な公開鍵を使用優先順位の順番に使用して、地図情報に付された電子署名の検証をスムーズに行うことが可能となる。
【0024】
また、請求項9に係る情報配信システムでは、ナビゲーション装置は、複数の公開鍵を使用優先順位の順番に使用して、地図情報に付された電子署名を順次検証し、この電子署名が検証を通過しない場合には、各公開鍵に設定された仮失効を取り消すと共に、当該地図情報を不当な情報であると判断する。
これにより、悪意のある第三者が、情報配信センタが所有する秘密鍵と異なる秘密鍵で地図情報に電子署名を付した場合には、全ての有効な公開鍵による検証が通過しないが、仮失効を取り消すことによって、全ての公開鍵の有効性を維持することができると共に、当該地図情報を不当な情報であると判断することによって、情報セキュリティを確保することができる。
【0025】
更に、請求項10に係る情報配信システムでは、情報配信センタは、配信する地図情報からハッシュ値を作成し、このハッシュ値と使用優先順位が1番目の秘密鍵とを使用して電子署名を作成する。また、ナビゲーション装置は、電子署名に対して複数の公開鍵のうち有効な公開鍵を使用優先順位の順番に使用して、電子署名を復号した復号データを作成する。そして、ナビゲーション装置は、地図情報からハッシュ値を作成し、このハッシュ値と復号データとが一致した場合には、この電子署名の検証を通過させ、該ハッシュ値と復号データとが一致しない場合には、この電子署名の検証を通過させない。
これにより、情報配信センタは、配信する地図情報から算出したハッシュ値と使用優先順位が1番目の秘密鍵とを使用して電子署名を作成するため、電子署名の作成の迅速化を図ることが可能となる。また、ナビゲーション装置は、悪意のある第三者が、情報配信センタが所有する秘密鍵と異なる秘密鍵で地図情報に電子署名を付した場合だけでなく、電子署名を変更することなく、地図情報を改ざんした場合にも、地図情報から算出したハッシュ値と復号データとが一致しない場合には、電子署名の検証を通過させないことによって、当該地図情報の改ざんを検出して、地図情報の情報セキュリティを確保することが可能となる。
【発明を実施するための最良の形態】
【0026】
以下、本発明に係るナビゲーション装置及び情報配信システムを地図情報配信システムについて具体化した一実施例に基づき図面を参照しつつ詳細に説明する。
【実施例】
【0027】
先ず、本実施例に係る地図情報配信システム1の概略構成について図1及び図2を用いて説明する。図1は本実施例に係る地図情報配信システム1を示したブロック図である。図2は地図情報配信システム1のナビゲーション装置2を示したブロック図である。
【0028】
図1に示すように本実施例に係る地図情報配信システム1は、ナビゲーション装置2と、ナビゲーション装置2に対して地図情報を更新する為の更新情報を配信する情報配信センタとしての地図情報配信センタ3と、ネットワーク4と、このネットワーク4に接続可能なナビゲーション装置2のユーザや販売店等が所有するPC(Personal Computer)5とから基本的に構成されている。そして、ナビゲーション装置2と地図情報配信センタ3、PC5と地図情報配信センタ3は、それぞれネットワーク4を介して各種の情報の送受信が可能となるように構成されている。尚、ナビゲーション装置2の構成に関しては後に図2を用いて詳細に説明する。
【0029】
また、図1に示すように、地図情報配信センタ3は、サーバ10と、サーバ10に接続された地図情報記録部としてのセンタ側地図情報データベース(センタ側地図情報DB)14と、更新履歴情報データベース(更新履歴情報DB)15と、センタ側通信装置16と、差分データ管理データベース(差分データ管理DB)18と、鍵情報データベース(鍵情報DB)19とを備えている。また、サーバ10は、サーバ10の全体の制御を行う演算装置及び制御装置としてのCPU11、並びにCPU11が各種の演算処理を行うに当たってワーキングメモリとして使用されるRAM12、後述のようにナビゲーション装置2やPC5からの要求に基づいてナビゲーション装置2に記憶された地図情報の内、配信対象エリアの地図情報を新たなバージョンの地図情報に更新する為の更新情報をセンタ側地図情報DB14から抽出すると共に、この更新情報に電子署名を付与して、ナビゲーション装置2やPC5に対して配信する地図情報配信処理(図6参照)や、電子署名の為の秘密鍵を更新する秘密鍵更新処理(図4参照)等を行うための各種の制御プログラムが記録されたROM13等の内部記憶装置を備えている。尚、CPU11に代えてMPU等を使用することができる。
【0030】
また、センタ側地図情報DB14には、地図情報配信センタ3で作成され、ナビゲーション装置2に記憶された地図情報を更新する際の基本となる地図情報である更新用地図情報17がバージョン毎に区分されて記憶されている。更に、現在のナビゲーション装置2に記憶される地図情報の一部分(例えば、自車の現在位置又は予め登録されている自宅地点を中心とする80km四方の領域である。)又は全部を更新用地図情報17に記憶される最新のバージョンに更新する為の更新情報(以下、「差分データ」という。)についてもバージョン毎に区分されて記憶されている。
ここで、バージョンとは地図情報が作成された時期を特定する為の作成時期情報であり、バージョンを参照することによって地図情報が作成された時期を特定することが可能となっている。
【0031】
また、センタ側地図情報DB14に記憶された更新用地図情報17には、ナビゲーション装置2で経路案内及び地図表示を行うのに必要な各種情報が記録されており、例えば、地図を表示するための地図表示データ、各交差点に関する交差点データ、ノード点に関するノードデータ、施設の一種である道路(リンク)に関するリンクデータ、経路を探索するための探索データ、施設の一種である店舗等のPOI(Point of Interest)に関する店舗データ、地点を検索するための検索データ等から構成されている。
【0032】
ここで、特に地図表示データとしては、10km×10kmで区画された2次メッシュをベースに4分割(長さ1/2)、16分割(1/4)、64分割(1/8)されたユニットで構成されており、各ユニットのデータ量が略同レベルになるように、各地のユニットが設定されている。最も小さい64分割サイズのユニットは、約1.25km四方の大きさである。
【0033】
ここで、高速自動車国道、都市高速道路、自動車専用道路、一般有料道路、1桁又は2桁の国道から構成される高規格道路区分と、3桁以上の国道、主要地方道、県道、市町村道から構成される一般道路区分と、細街路から構成される細街路区分の3つの配信道路区分に区分されて、それぞれバージョン毎に更新用地図情報17に格納されて管理されている。
また、差分データ管理DB18には、更新用地図情報17の各バージョン毎に、約2.5km四方のエリア毎に区画IDを設定し、更に各エリアを道路規格で区分した3つの各配信道路区分毎の各差分データを表す差分データファイル名が格納されて管理されている。
【0034】
また、更新履歴情報DB15には、各ナビゲーション装置2に記憶されている地図情報について現在までに更新を行った更新履歴に関する更新履歴情報が、ナビゲーション装置2を特定するナビ識別IDとともに記憶され、また、各PC5のユーザに対して配信した更新用地図情報の更新履歴に関する更新履歴情報が、ユーザを識別するユーザIDとともに記憶される。
そして、地図情報配信センタ3は、ナビゲーション装置2やPC5からの要求があったタイミングで、センタ側地図情報DB14に格納された更新用地図情報17の内、前回ナビゲーション装置2やPC5に配信した更新用地図情報から最もバージョンの新しい更新用地図情報17に更新する為の差分データを抽出して、ナビゲーション装置2やPC5へ、後述のように電子署名を付して配信する。
【0035】
また、ナビゲーション装置2のユーザや販売店等が所有するPC5は、受信したこの更新用の地図情報を記憶媒体としてのCD−ROM6にナビゲーション装置2が読取部28(図2参照)で読み取り可能に記録できる記録部5Aを備えている。尚、ナビゲーション装置2の読取部28で読み取り可能であれば、CD−ROM6に替えて、フレキシブルディスク等の磁気ディスク、メモリーカード、磁気テープ、磁気ドラム、MD、DVD、MO、ICカード、光カード等を使用してもよい。
【0036】
また、鍵情報DB19には、後述のように5組の公開鍵と秘密鍵とを生成した鍵生成履歴情報が格納されるとともに、この生成した5つの秘密鍵に使用優先順位を付して記憶する秘密鍵記憶部19Aが設けられている(図3参照)。
【0037】
尚、地図情報配信センタ3は、個人、企業、団体、地方自治体、政府関係機関等のいずれが運営していてもよく、VICS(登録商標)センタが運営していてもよい。
また、ネットワーク4としては、例えばLAN(Local Area Network)、WAN(Wide Area Network)、イントラネット、携帯電話回線網、電話回線網、公衆通信回線網、専用通信回線網、インターネット等の通信回線網等の通信系を使用することができる。そして、放送衛星によるCS放送、BS放送、地上波ディジタルテレビ放送、FM多重放送等を利用する通信系を使用することもできる。更に、高度道路交通システム(ITS)において利用されるノンストップ自動料金支払いシステム(ETC)、狭域通信システム(DSRC)等の通信系を使用することもできる。
【0038】
次に、本実施例に係る地図情報配信システム1を構成するナビゲーション装置2の概略構成について図2に基づいて説明する。
図2に示すように、本実施例に係るナビゲーション装置2は、自車の現在位置を検出する現在地検出処理部21と、予め登録された自宅地点の座標位置(例えば、緯度と経度である。)や各種のデータが記録されたデータ記録部22と、入力された情報に基づいて、各種の演算処理を行うナビゲーション制御部23と、操作者からの操作を受け付ける操作部24と、操作者に対して地図等の情報を表示する液晶ディスプレイ25と、経路案内に関する音声ガイダンスを出力するスピーカ26と、道路交通情報センタ(VICS(登録商標))や地図情報配信センタ3等との間で携帯電話網等を介して通信を行う通信装置27と、記憶媒体としてのCD−ROM6に記録された更新用の地図情報等を読み取る読取部28と、から構成されている。また、ナビゲーション制御部23には自車の走行速度を検出する車速センサ29が接続される。尚、読取部28は、CD−ROM6だけでなくDVDに記録された地図情報等を読み取ることができるように構成してもよい。
【0039】
以下に、ナビゲーション装置2を構成する各構成要素について説明すると、現在地検出処理部21は、GPS31、方位センサ32、距離センサ33、高度計(図示せず)等からなり、現在の自車の位置、方位、目標物(例えば、交差点)までの距離等を検出することが可能となっている。
【0040】
具体的には、GPS31は、人工衛星によって発生させられた電波を受信することにより、地球上における自車の現在地及び現在時刻を検出する。また、方位センサ32は、地磁気センサやジャイロセンサ、或いは、ステアリングホイール(図示せず)の回転部に取り付けられた光学的な回転センサ、回転抵抗センサ、車輪に取り付けられた角度センサ等により構成され、自車方位を検出する。また、距離センサ33は、例えば、自車の車輪(図示せず)の回転速度を測定し、測定した回転速度に基づいて距離を検出するセンサ、加速度を測定し、測定した加速度を2回積分して距離を検出するセンサ等から構成され、自車の移動距離を検出する。
【0041】
また、データ記録部22は、外部記憶装置及び記憶媒体としてのハードディスク(図示せず)と、ハードディスクに記憶されたナビ側地図情報DB37、地図情報配信センタ3から公開された公開鍵を記憶する公開鍵記憶部39及び所定のプログラム等を読み出すとともにハードディスクに所定のデータを書き込む為のドライバである記録ヘッド(図示せず)とを備えている。尚、本実施例においては、データ記録部22の外部記憶装置及び記憶媒体としてハードディスクが使用されるが、ハードディスクのほかに、フレキシブルディスク等の磁気ディスクを外部記憶装置として使用することができる。また、メモリーカード、磁気テープ、磁気ドラム、CD、MD、DVD、光ディスク、MO、ICカード、光カード等を外部記憶装置として使用することもできる。
【0042】
ここで、ナビ側地図情報DB37にはナビゲーション装置2の走行案内や経路探索に使用されるとともに地図情報配信センタ3による更新対象となるナビ地図情報38が格納されている。ここで、ナビ地図情報38には、更新用地図情報17と同様に経路案内及び地図表示に必要な各種情報から構成されており、例えば、各新設道路を特定するための新設道路情報、地図を表示するための地図表示データ、各交差点に関する交差点データ、ノード点に関するノードデータ、施設の一種である道路(リンク)に関するリンクデータ、経路を探索するための探索データ、施設の一種である店舗等のPOIに関する店舗データ、地点を検索するための検索データ等から構成されている。
そして、ナビ側地図情報DB37の内容は、地図情報配信センタ3から通信装置27を介して配信された差分データやCD−ROM6に記録された更新用地図情報等の更新情報をダウンロードすることによって更新される。
【0043】
また、図2に示すように、ナビゲーション装置2を構成するナビゲーション制御部23は、ナビゲーション装置2の全体の制御を行う演算装置及び制御装置としてのCPU41、並びにCPU41が各種の演算処理を行うに当たってワーキングメモリとして使用されるとともに、経路が探索されたときの経路データ等が記憶されるRAM42、制御用のプログラムのほか、後述のように公開鍵記憶部39に記憶する公開鍵を使用して更新用地図データに付された電子署名を検証してナビ地図情報38を更新する地図情報更新処理プログラム(図7参照)が記憶されたROM43、ROM43から読み出したプログラムを記憶するフラッシュメモリ44等の内部記憶装置や、時間を計測するタイマ45等を備えている。尚、前記RAM42、ROM43、フラッシュメモリ44等としては半導体メモリ、磁気コア等が使用される。そして、演算装置及び制御装置としては、CPU41に代えてMPU等を使用することも可能である。
【0044】
また、本実施例においては、前記ROM43に各種のプログラムが記憶され、前記データ記録部22に各種のデータが記憶されるようになっているが、プログラム、データ等を同じ外部記憶装置、メモリーカード等からプログラム、データ等を読み出して前記フラッシュメモリ44に書き込むこともできる。更に、メモリーカード等を交換することによって前記プログラム、データ等を更新することができる。
【0045】
更に、前記ナビゲーション制御部23には、操作部24、液晶ディスプレイ25、スピーカ26、通信装置27、読取部28の各周辺装置(アクチュエータ)が電気的に接続されている。
この操作部24は、走行開始時の現在地を修正し、案内開始地点としての出発地及び案内終了地点としての目的地を入力する際や施設に関する情報の検索を行う場合等に操作され、各種のキーや複数の操作スイッチから構成される。尚、操作部24としては、キーボード、マウス等や、液晶ディスプレイ25の前面に設けたタッチパネルによって構成することもできる。
また、液晶ディスプレイ25には、ナビ地図情報37Aに基づく地図が表示されて各リンク上の交通情報が表示される経路案内画面の他、操作案内、操作メニュー、キーの案内、現在地から目的地までの誘導経路、誘導経路に沿った案内情報、交通情報等が表示される。
【0046】
また、スピーカ26は、ナビゲーション制御部23からの指示に基づいて、誘導経路に沿った走行を案内する音声ガイダンス等を出力する。ここで、案内される音声ガイダンスとしては、例えば、「200m先、○○交差点を右方向です。」や、「地図データの更新ができません。」等がある。
そして、通信装置27は、情報配信センタ3と通信を行う携帯電話網等による通信手段であり、情報配信センタ3との間で最もバージョンの新しい更新地図情報等の送受信を行う。また、通信装置27は、情報配信センタ3に加えて、道路交通情報センタ(VICS)等から送信された渋滞情報やサービスエリアの混雑状況等の各情報から成る交通情報を受信する。
【0047】
次に、地図情報配信システム1の地図情報配信センタ3が生成する公開鍵と秘密鍵とについて図3に基づいて説明する。図3は地図情報配信システム1の地図情報配信センタ3における公開鍵と秘密鍵との生成を説明する説明図である。
図3に示すように、地図情報配信センタ3のCPU11は、5組の対となる公開鍵PK1〜PK5と秘密鍵SK1〜SK5を生成する。従って、秘密鍵SK1を使用した電子署名は、公開鍵PK1によって検証を通過する。また、各秘密鍵SK2〜SK5を使用した電子署名は、それぞれ対応する各公開鍵PK2〜PK5によって検証を通過する。
また、CPU11は、各公開鍵PK1〜PK5のそれぞれに1番から5番の使用優先順位を付与する。また、CPU1は、この各公開鍵PK1〜PK5に対応する各秘密鍵SK1〜SK5のそれぞれにも1番から5番の使用優先順位を付与する。また、CPU11は、各公開鍵PK1〜PK5及び各秘密鍵SK1〜SK5のそれぞれの鍵の状態を「有効」として設定する。
【0048】
そして、CPU11は、各秘密鍵SK1〜SK5を、それぞれの使用優先順位「1」〜「5」と鍵の状態「有効」とを付した状態で秘密鍵記憶部19Aに格納する。
また、CPU11は、各公開鍵PK1〜PK5を、それぞれの使用優先順位「1」〜「5」と鍵の状態「有効」とを付した状態でナビゲーション装置2に対して公開する。具体的には、CPU11は、生成した各公開鍵PK1〜PK5を、それぞれの使用優先順位「1」〜「5」と鍵の状態「有効」とを付した状態で、地図情報配信センタ3の管理者を介してナビゲーション装置2の製造業者に開示する。そして、ナビゲーション装置2の製造業者は、この開示された各公開鍵PK1〜PK5を、それぞれの使用優先順位「1」〜「5」と鍵の状態「有効」とを付した状態で、公開鍵記憶部39に格納する。これにより、ナビゲーション装置2のCPU41は、後述のように各公開鍵PK1〜PK5を使用することが可能になるとともに、各公開鍵PK1〜PK5のそれぞれの使用優先順位「1」〜「5」と鍵の状態「有効」とを知ることが可能になる。
【0049】
次に、前記構成を有する地図情報配信システム1において、地図情報配信センタ3のCPU11が、地図情報配信センタ3の管理者から現在使用している秘密鍵の「失効」を指示された場合に実行する秘密鍵更新処理について図4及び図5に基づいて説明する。
図4は地図情報配信センタ3のCPU11が、地図情報配信センタ3の管理者から現在使用している秘密鍵の「失効」を指示された場合に実行する秘密鍵更新処理を示すフローチャートである。図5は地図情報配信センタ3のCPU11が使用優先順位が1番の秘密鍵SK1を失効させた一例を示す図である。尚、図4にフローチャートで示されるプログラムは、地図情報配信センタ3のROM13に記憶されており、CPU11により所定時間毎(例えば、約10m秒〜100m秒毎である。)に実行される。
【0050】
図4に示すように、S11において、CPU11は、現在使用している秘密鍵の「失効」を指示する秘密鍵変更指示が入力されたか否かを判定する判定処理を実行する。
尚、各秘密鍵SK1〜SK5のうち、現在使用している使用優先順位が1番の秘密鍵が、第三者に解読された場合には、地図情報配信センタ3の管理者は、入力手段(不図示)を介して、この解読された秘密鍵を失効させるように指示する秘密鍵変更指示をCPU11に対して入力する。
そして、現在使用している秘密鍵の「失効」を指示する秘密鍵変更指示が入力されていない場合には(S11:NO)、CPU11は、当該処理を終了する。
【0051】
一方、現在使用している秘密鍵の「失効」を指示する秘密鍵変更指示が入力された場合には(S11:YES)、CPU11は、S12の処理に移行する。S12において、CPU11は、秘密鍵記憶部19Aに格納される各秘密鍵SK1〜SK5から現在、有効な秘密鍵のうち使用優先順位が1番の秘密鍵を失効させて、再度、秘密鍵記憶部19Aに格納する。
例えば、図5に示すように、各秘密鍵SK1〜SK5が全て「有効」な場合に、秘密鍵SK1の「失効」を指示する秘密鍵変更指示が入力されときは、CPU11は、使用優先順位が1番の秘密鍵SK1を「失効」させて、再度、秘密鍵記憶部19Aに格納する。
【0052】
そして、S13において、CPU11は、秘密鍵記憶部19Aに格納される各秘密鍵SK1〜SK5を読み出し、各秘密鍵SK1〜SK5のうち「有効」な秘密鍵の使用優先順位を順次繰り上げて、再度、秘密鍵記憶部19Aに格納後、当該処理を終了する。
例えば、図5に示すように、各秘密鍵SK1〜SK5のうち使用優先順位が1番目であった秘密鍵SK1が「失効」された場合には、当該秘密鍵SK1の使用優先順位を取り消すとともに、残りの各秘密鍵SK2〜SK5の優先順位を順次繰り上げて、秘密鍵SK2の使用優先順位を1番目に設定し、各秘密鍵SK3〜SK5の使用優先順位を2番目〜4番目に設定し、再度、秘密鍵記憶部19Aに格納する。これにより、CPU11は、後述のように、次回からの電子署名には、秘密鍵SK2を使用することとなる(図6参照)。
【0053】
従って、各秘密鍵SK1〜SK5は、それぞれに付された使用優先順位の順番に、順次「失効」されることとなる。そして、各秘密鍵SK1〜SK5のうち「有効」な秘密鍵の使用優先順位が順次繰り上げられる。
尚、各秘密鍵SK1〜SK5が「失効」される毎に、CPU11は、次に使用することとなる1対の公開鍵と秘密鍵とを生成して、予め鍵情報DB19に格納するようにしてもよい。そして、各ナビゲーション装置2に格納されるナビ地図情報38の全更新時に、新たに生成された公開鍵を公開するようにしてもよい。具体的には、販売店のPC5に全更新用地図情報を配信する際に、新たに公開された公開鍵を配信し、当該PC5の記録部5Aを介してCDーROM6に全更新用地図情報と共に、新たに公開された公開鍵を記録し、ナビゲーション装置2へ供給するようにしてもよい。
【0054】
次に、地図情報配信システム1において、地図情報配信センタ3のCPU11が、ナビゲーション装置2又はPC5から更新用地図情報の配信を要求された場合に実行する更新用地図情報配信処理について図6に基づいて説明する。図6は地図情報配信センタ3のCPU11が、ナビゲーション装置2又はPC5から更新用地図情報の配信を要求された場合に実行する更新用地図情報配信処理を示すフローチャートである。尚、図6にフローチャートで示されるプログラムは、地図情報配信センタ3のROM13に記憶されており、CPU11により実行される。
【0055】
図6に示すように、S111において、CPU11は、ナビゲーション装置2から更新用地図情報の配信要求と共にナビ識別IDを受信した場合、又は、PC5からナビゲーション装置2のユーザを識別するユーザIDを受信した場合には、このナビ識別ID又はユーザIDに対応して予め登録されている登録自宅位置を中心とする所定領域(例えば、自宅位置を中心とする約80km四方の領域である。)を差分データを抽出する配信対象エリアとして設定する。尚、ナビ識別ID又はユーザIDと共に、目的地の座標データを受信した場合には、当該目的地を中心とする所定領域(例えば、目的地の座標データを中心とする約50km四方の領域である。)を差分データを抽出する配信対象エリアとして設定する。
【0056】
そして、CPU11は、受信したナビ識別ID又はユーザIDで特定される地図情報の更新履歴に関する情報を更新履歴情報DB15から読み出して、この配信対象エリアの約2.5km×2.5km四方の各区画内におけるナビ識別IDで特定されるナビゲーション装置2又はユーザIDで特定されるナビゲーション装置2の現在のバージョンを抽出してRAM12に記憶する。そして、CPU11は、差分データ管理DB18から配信対象エリアの各区画内における最新バージョンの差分データを表す差分データファイル名を読み出し、この配信対象エリアの各区画内における当該ナビゲーション装置2の現在のバージョンと最新バージョンとの差分データファイル名を抽出してRAM12に記憶する。続いて、CPU11は、各差分データファイル名に対応する差分データを更新用地図情報17から読み出して、配信する更新用の配信地図データとしてRAM12に記憶する。
【0057】
そして、S112において、CPU11は、RAM12から更新用の配信地図データを読み出して、この配信地図データからハッシュ値を算出して、RAM12に記憶する。
例えば、図6に示すように、CPU11は、更新用の配信地図データ51からハッシュ値52を算出して、RAM12に記憶する。
【0058】
続いて、S113において、CPU11は、鍵情報DB19の秘密鍵記憶部19Aに記憶される各秘密鍵SK1〜SK5のうち使用優先順位が1番の「有効」な秘密鍵を選択して、RAM12に記憶する。
例えば、図5及び図6に示すように、秘密鍵SK1〜SK5のうち秘密鍵SK1が「失効」している場合には、CPU11は、使用優先順位が1番の「有効」な秘密鍵SK2を選択して、RAM12に記憶する。
【0059】
そして、S114において、CPU11は、RAM12から上記S112において算出したハッシュ値と上記S113で選択した使用優先順位が1番の「有効」な秘密鍵とを読み出し、このハッシュ値と秘密鍵とを使用して電子署名を作成する。
例えば、図6に示すように、CPU11は、ハッシュ値52と秘密鍵SK2とを使用して電子署名53を作成してRAM12に記憶する。
【0060】
続いてS115において、CPU11は、RAM12から更新用の配信地図データと上記S114で作成した電子署名とを読み出し、この更新用の配信地図データに電子署名を付して、ナビゲーション装置2又はPC5に配信する配信データを作成してRAM12に記憶する。
そして、S116において、CPU11は、RAM12から配信データを読み出し、上記S111で特定したナビ識別IDに対応するナビゲーション装置2又はユーザIDに対応するPC5へ当該配信データをセンタ側通信装置16を介して送信後、当該処理を終了する。
【0061】
これにより、ナビ識別IDに対応するナビゲーション装置2又はユーザIDに対応するPC5は、登録自宅位置又は目的地を中心とする所定領域の更新用の配信地図データに電子署名が付された配信データをネットワーク4を介して取得することができる。また、PC5は、この取得した配信データを記録部5Aを介して記録媒体としてのCD−ROM6にコンピュータ読み取り可能に記録することが可能となり、ユーザは、この配信データが記録されたCD−ROM6をナビゲーション装置2の読取部28に装着することによって、この配信データをナビゲーション装置2へ供給することが可能となる。
【0062】
例えば、図6に示すように、CPU11は、RAM12から更新用の配信地図データ51と電子署名53とを読み出し、この配信地図データ51に電子署名53を付して、ナビゲーション装置2又はPC5に配信する配信データ55を作成してRAM12に記憶する。そして、CPU11は、RAM12から当該配信データ55を読み出し、上記S111で特定したナビ識別IDに対応するナビゲーション装置2又はユーザIDに対応するPC5へ当該配信データをセンタ側通信装置16を介して送信する。
これにより、ナビ識別IDに対応するナビゲーション装置2又はユーザIDに対応するPC5は、登録自宅位置又は目的地を中心とする所定領域の更新用の配信地図データ51に電子署名53が付された配信データ55をネットワーク4を介して取得することができる。そして、PC5は、この取得した配信データ55を記録部5Aを介して記録媒体としてのCD−ROM6にコンピュータ読み取り可能に記録することが可能となり、ユーザは、この配信データ55が記録されたCD−ROM6をナビゲーション装置2の読取部28に装着することによって、この配信データ55をナビゲーション装置2へ供給することが可能となる。
【0063】
次に、地図情報配信システム1において、ナビゲーション装置2のCPU41が、ネットワーク4又はCDーROM6を介して、情報配信センタ3から配信された更新用の配信地図データ(以下、「更新用地図情報」という。)に電子署名が付された配信データを取得した場合に実行する地図情報更新処理について図7乃至図13に基づいて説明する。
図7はナビゲーション装置2のCPU41が、ネットワーク4又はCDーROM6を介して、情報配信センタ3から配信された更新用地図情報に電子署名が付された配信データを取得した場合に実行する地図情報更新処理を示すフローチャートである。尚、図7にフローチャートで示されるプログラムは、ナビゲーション装置2のROM43に記憶されており、CPU41により実行される。
【0064】
図7に示すように、S211において、CPU41は、公開鍵記憶部39に格納される各公開鍵PK1〜PK5から有効な公開鍵のうち、先ず、使用優先順位が1番目の公開鍵を読み出し、RAM42に記憶する。
例えば、図3に示すように、各公開鍵PK1〜PK5が全部「有効」な場合には、公開鍵記憶部39から、先ず、使用優先順位が1番目の公開鍵PK1を読み出し、RAM42に記憶する。
【0065】
そして、S212において、CPU41は、ネットワーク4又はCDーROM6を介して、情報配信センタ3から配信された配信データから電子署名を取り出し、RAM42に記憶する。その後、CPU41は、RAM42から使用優先順位が1番目の公開鍵と電子署名とを読み出し、この公開鍵で電子署名を復号して、復号データをRAM42に記憶する。
また、S213において、CPU41は、情報配信センタ3から配信された配信データから更新用地図情報を取り出し、この更新用地図情報からハッシュ値を算出しRAM42に記憶する。
【0066】
続いて、S214において、CPU41は、RAM42から電子署名の復号データと、更新用地図情報のハッシュ値とを読み出し、この復号データとハッシュ値が一致するか否かを判定する判定処理を実行する。そして、この復号データとハッシュ値が一致する場合、即ち、電子署名が検証を通過した場合には(S214:YES)、CPU41は、S215の処理に移行する。
S215において、CPU41は、電子署名は使用優先順位が1番目の公開鍵に対応する秘密鍵を使用して作成されたものであると判断し、即ち、情報配信センタ3から配信された配信データは正当な情報であると判断し、この配信データの更新用地図情報に更新許可フラグを付して、再度RAM42に記憶後、S217の処理に移行する。
【0067】
一方、電子署名の復号データと更新用地図情報のハッシュ値とが一致しない場合には(S214:NO)、CPU41は、当該電子署名は当該公開鍵による検証を通過しなかったと判断し、即ち、電子署名は使用優先順位が1番目の公開鍵に対応する秘密鍵を使用して作成されたものでないと判断して、S216の処理に移行する。
S216において、CPU41は、使用した公開鍵に対応する秘密鍵は第三者によって解読されていると判断し、この使用した公開鍵に「失効」の仮フラグ(以下、「失効仮フラグ」という。)を付してRAM42に記憶後、S217の処理に移行する。
S217において、CPU41は、RAM42から使用した公開鍵を読み出し、この公開鍵に失効仮フラグが付されている場合には、再度、S211以降のループを実行する。即ち、公開鍵記憶部39に格納される各公開鍵PK1〜PK5から有効な公開鍵のうち、この失効仮フラグが付された公開鍵の次の使用優先順位の公開鍵を公開鍵記憶部39から読み出し、RAM42に記憶後、S211以降のループを再度、実行する。
【0068】
一方、S217において、CPU41は、RAM42から使用した公開鍵を読み出し、この公開鍵に失効仮フラグが付されていない場合には、ループを終了してS218の処理に移行する。
S218において、CPU41は、RAM42から更新用地図情報を読み出し、この更新用地図情報による地図更新処理が許可状態か否か、即ち、この更新用地図情報に更新許可フラグが付されているか否かを判定する判定処理を実行する。
そして、この更新用地図情報に更新許可フラグが付されている場合には(S218:YES)、CPU41は、S219の処理に移行する。
S219において、CPU41は、RAM42に失効仮フラグが付された公開鍵が記憶されている場合には、この失効仮フラグが付された公開鍵を読み出し、この公開鍵を失効させて、再度、公開鍵記憶部39に格納する。また、CPU41は、各公開鍵PK1〜PK5のうち「有効」な公開鍵の使用優先順位を順次繰り上げて、再度、公開鍵記憶部39に格納する。その後、CPU41は、S220の処理に移行する。
【0069】
ここで、このS219の処理の一例を図8乃至図10に基づいて説明する。
図8は「有効」な公開鍵PK1を使用した電子署名の復号データと更新用地図情報のハッシュ値とが一致した場合に、公開鍵記憶部39に格納される各公開鍵PK1〜PK5の状態を示す図である。図9は「有効」な公開鍵PK1を使用した電子署名の復号データと更新用地図情報のハッシュ値とが一致せず、「有効」な公開鍵PK2を使用した電子署名の復号データと更新用地図情報のハッシュ値とが一致した場合に、公開鍵記憶部39に格納される各公開鍵PK1〜PK5の状態を示す図である。図10は公開鍵PK1が「失効」し、「有効」な公開鍵PK2を使用した電子署名の復号データと更新用地図情報のハッシュ値とが一致した場合に、公開鍵記憶部39に格納される各公開鍵PK1〜PK5の状態を示す図である。
【0070】
先ず、図8に示すように、CPU41は、情報配信センタ3から配信された配信データから取り出した電子署名と、使用優先順位が1番目の「有効」な公開鍵PK1を使用して、この電子署名の復号データを生成する。そして、この電子署名の復号データと配信データから取り出した更新用地図情報から算出したハッシュ値とが一致した場合、即ち、電子署名が検証を通過した場合には、CPU41は、電子署名は使用優先順位が1番目の公開鍵PK1に対応する秘密鍵SK1を使用して作成されたものであると判断し、即ち、情報配信センタ3から配信された配信データは正当な情報であると判断し、この配信データの更新用地図情報に更新許可フラグを付して、再度RAM42に記憶する。また、CPU41は、使用優先順位が1番目の公開鍵PK1は「有効」な公開鍵であると判断し、各公開鍵PK1〜PK5の鍵の状態を「有効」とし、それぞれに1番から5番の使用優先順位を付与した状態で公開鍵記憶部39に格納する。
【0071】
また、図9に示すように、CPU41は、情報配信センタ3から配信された配信データから取り出した電子署名と、使用優先順位が1番目の「有効」な公開鍵PK1を使用して、この電子署名の復号データを生成する。そして、この電子署名の復号データと配信データから取り出した更新用地図情報から算出したハッシュ値とが一致しない場合、即ち、電子署名が検証を通過しない場合には、CPU41は、使用優先順位が1番目の公開鍵PK1に失効仮フラグを付してRAM42に記憶する。続いて、CPU41は、この電子署名と使用優先順位が2番目の「有効」な公開鍵PK2を使用して、この電子署名の復号データを生成する。そして、この電子署名の復号データと配信データから取り出した更新用地図情報から算出したハッシュ値とが一致した場合、即ち、電子署名が検証を通過した場合には、CPU41は、使用優先順位が2番目の公開鍵PK2に対応する秘密鍵SK2を使用して作成されたものであると判断し、即ち、情報配信センタ3から配信された配信データは正当な情報であると判断し、この配信データの更新用地図情報に更新許可フラグを付して、再度RAM42に記憶する。また、CPU41は、RAM42から失効仮フラグが付された公開鍵PK1を読み出し、この公開鍵PK1を失効させて、再度、公開鍵記憶部39に格納する。また、CPU41は、「有効」な各公開鍵PK2〜PK5の使用優先順位を順次繰り上げて、再度、公開鍵記憶部39に格納する。従って、図9に示すように、公開鍵PK2の使用優先順位が1番に設定され、各公開鍵PK3〜PK5の使用優先順位が2番〜4番に設定される。
【0072】
また、図10に示すように、公開鍵PK1が「失効」している場合には、CPU41は、情報配信センタ3から配信された配信データから取り出した電子署名と、使用優先順位が1番目の「有効」な公開鍵PK2を使用して、この電子署名の復号データを生成する。そして、この電子署名の復号データと配信データから取り出した更新用地図情報から算出したハッシュ値とが一致した場合、即ち、電子署名が検証を通過した場合には、CPU41は、使用優先順位が1番目の公開鍵PK2に対応する秘密鍵SK2を使用して作成されたものであると判断し、即ち、情報配信センタ3から配信された配信データは正当な情報であると判断し、この配信データの更新用地図情報に更新許可フラグを付して、再度RAM42に記憶する。また、CPU41は、使用優先順位が1番目の公開鍵PK2は「有効」な公開鍵であると判断し、各公開鍵PK2〜PK5の鍵の状態を「有効」とし、それぞれに1番から4番の使用優先順位を付与した状態で公開鍵記憶部39に格納する。
【0073】
そして、図7に示すように、S220において、CPU41は、情報配信センタ3から配信された配信データから取り出した更新用地図情報、即ち、差分データをRAM42から読み出し、ナビ地図情報38の配信対象エリア(例えば、自宅位置を中心とする約80km四方の領域である。)の地図情報を最新バージョンの地図情報に更新後、当該処理を終了する。
【0074】
他方、上記S218で更新用地図情報による地図更新処理が許可状態でない、即ち、この更新用地図情報に更新許可フラグが付されていない場合には(S218:NO)、CPU41は、情報配信センタ3から配信された配信データが不当な情報であると判断し、S221の処理に移行する。
S221において、CPU41は、RAM42から失効仮フラグが付された各公開鍵を読み出し、この各公開鍵に付された失効仮フラグを全てはずして、当該公開鍵を「有効」な公開鍵として公開鍵記憶部39に格納する。
続いて、S222において、CPU41は、情報配信センタ3から配信された配信データは不当な情報であるため、ナビ地図情報38の配信対象エリア(例えば、自宅位置を中心とする約80km四方の領域である。)の地図情報を最新バージョンの地図情報に更新できない旨を報知後、当該処理を終了する。例えば、CPU41は、液晶ディスプレイ25に「地図更新に失敗しました。」と表示するとともに、スピーカ26を介して「地図データの更新ができません。」と音声案内を行う。
【0075】
ここで、上記S211〜S217の処理において、公開鍵記憶部39に格納される「有効」な公開鍵の全てに失効仮フラグが付されて、電子署名が検証を通過しない一例を図11乃至図13に基づいて説明する。
【0076】
先ず、取得した配信データから取り出した電子署名が失効した秘密鍵SK1を使用して作成されたものである場合に、電子署名が検証を通過しない一例について図11に基づいて説明する。図11は取得した配信データから取り出した電子署名が失効した秘密鍵SK1を使用して作成されたものである場合に、電子署名が検証を通過しない一例を示す図である。
【0077】
図11に示すように、取得した配信データから取り出した電子署名が失効した秘密鍵SK1を使用して作成されたものである場合、即ち、公開鍵PK1が「失効」している場合には、CPU41は、情報配信センタ3から配信された配信データから取り出した電子署名と、使用優先順位が1番目の「有効」な公開鍵PK2を使用して、この電子署名の復号データを生成する。そして、この電子署名の復号データと配信データから取り出した更新用地図情報から算出したハッシュ値とが一致せず、即ち、電子署名は検証を通過しないため、CPU41は、使用優先順位が1番目の公開鍵PK2に失効仮フラグを付してRAM42に記憶する。同様に、CPU41は、「有効」な各公開鍵PK3〜PK5を順番に使用して、この電子署名の復号データを生成する。そして、この電子署名の各復号データと更新用地図情報から算出したハッシュ値とがいずれも一致せず、即ち、電子署名は検証を通過しないため、CPU41は、各公開鍵PK3〜PK5に失効仮フラグを付してRAM42に記憶する。
【0078】
そして、上記S218において、CPU41は、情報配信センタ3から配信された配信データが不当な情報であると判断した後、S221に移行して、各公開鍵PK2〜PK5に付された失効仮フラグを全てはずして、当該各公開鍵PK2〜PK5を「有効」な公開鍵として公開鍵記憶部39に再度、格納する。
【0079】
次に、取得した配信データから取り出した更新用地図情報のデータが通信異常で破壊又は改ざんされたものである場合に、電子署名が検証を通過しない一例について図12に基づいて説明する。図12は取得した配信データから取り出した更新用地図情報のデータが通信異常で破壊又は改ざんされたものである場合に、電子署名が検証を通過しない一例を示す図である。
【0080】
図12に示すように、各公開鍵PK1〜PK5が全て有効で、取得した配信データから取り出した更新用地図情報のデータが通信異常で破壊又は改ざんされたものである場合には、CPU41は、情報配信センタ3から配信された配信データから取り出した電子署名(秘密鍵SK1を使用して作成された電子署名である。)と、使用優先順位が1番目の「有効」な公開鍵PK1を使用して、この電子署名の復号データを生成する。そして、この電子署名の復号データと、配信データから取り出した破壊又は改ざんされた更新用地図情報から算出したハッシュ値とが一致せず、即ち、電子署名は検証を通過しないため、CPU41は、使用優先順位が1番目の公開鍵PK1に失効仮フラグを付してRAM42に記憶する。同様に、CPU41は、「有効」な各公開鍵PK2〜PK5を順番に使用して、この電子署名の復号データを生成する。そして、この電子署名の各復号データと破壊又は改ざんされた更新用地図情報から算出したハッシュ値とがいずれも一致せず、即ち、電子署名は検証を通過しないため、CPU41は、各公開鍵PK2〜PK5に失効仮フラグを付してRAM42に記憶する。
【0081】
そして、上記S218において、CPU41は、情報配信センタ3から配信された配信データが不当な情報であると判断した後、S221に移行して、各公開鍵PK1〜PK5に付された失効仮フラグを全てはずして、当該各公開鍵PK1〜PK5を「有効」な公開鍵として公開鍵記憶部39に再度、格納する。
【0082】
次に、取得した配信データから取り出した電子署名が各秘密鍵SK1〜SK5以外の秘密鍵を使用して作成されたものである場合に、この電子署名が検証を通過しない一例について図13に基づいて説明する。図13は取得した配信データから取り出した電子署名が各秘密鍵SK1〜SK5以外の秘密鍵を使用して作成されたものである場合に、この電子署名が検証を通過しない一例を示す図である。
【0083】
図13に示すように、各公開鍵PK1〜PK5が全て有効で、取得した配信データから取り出した電子署名が各秘密鍵SK1〜SK5以外の秘密鍵を使用して作成されたものである場合には、CPU41は、情報配信センタ3から配信された配信データから取り出した電子署名と、使用優先順位が1番目の「有効」な公開鍵PK1を使用して、この電子署名の復号データを生成する。そして、この電子署名の復号データと、配信データから取り出した更新用地図情報から算出したハッシュ値とが一致せず、即ち、電子署名は検証を通過しないため、CPU41は、使用優先順位が1番目の公開鍵PK1に失効仮フラグを付してRAM42に記憶する。同様に、CPU41は、「有効」な各公開鍵PK2〜PK5を順番に使用して、この電子署名の復号データを生成する。そして、この電子署名の各復号データと更新用地図情報から算出したハッシュ値とがいずれも一致せず、即ち、電子署名は検証を通過しないため、CPU41は、各公開鍵PK2〜PK5に失効仮フラグを付してRAM42に記憶する。
【0084】
そして、上記S218において、CPU41は、情報配信センタ3から配信された配信データが不当な情報であると判断した後、S221に移行して、各公開鍵PK1〜PK5に付された失効仮フラグを全てはずして、当該各公開鍵PK1〜PK5を「有効」な公開鍵として公開鍵記憶部39に再度、格納する。
【0085】
以上詳細に説明した通り、本実施例に係る地図情報配信システム1では、情報配信センタ3のCPU11は、5組の対となる公開鍵PK1〜PK5と秘密鍵SK1〜SK5を生成して、この各公開鍵PK1〜PK5と各秘密鍵SK1〜SK5のそれぞれに1番から5番の使用優先順位を付与する。そして、情報配信センタ3のCPU11は、この使用優先順位が付された各秘密鍵SK1〜SK5を秘密鍵記憶部19Aに格納する。また、情報配信センタ3のCPU11は、この使用優先順位が付された各公開鍵PK1〜PK5をナビゲーション装置2へ公開する。そして、情報配信センタ3のCPU11は、更新用地図情報からハッシュ値を算出し、このハッシュ値と秘密鍵記憶部19Aに格納する使用優先順位が1番目の秘密鍵とを使用して電子署名を作成し、この電子署名を更新用地図情報に付した配信データを作成して、ネットワーク4を介してナビゲーション装置2又はPC5へ配信する(S111〜S116)。
また、ナビゲーション装置2のCPU41は、情報配信センタ3によって公開された使用優先順位が付された各公開鍵PK1〜PK5を公開鍵記憶部39に格納する。そして、ナビゲーション装置2のCPU41は、情報配信センタ3から配信された配信データから電子署名を抽出し、各公開鍵PK1〜PK5のうち「有効」な公開鍵を使用優先順位の順番に使用して、この電子署名の復号データを作成し、更新用地図情報から算出したハッシュ値と一致するか否かによって、この電子署名を順次検証する。そして、ナビゲーション装置2のCPU41は、電子署名が検証を通過した場合には、この配信データを情報配信センタ3から配信された正当な情報であるとして判断する(S211〜S217)。
【0086】
これにより、情報配信センタ3のCPU11は、使用優先順位が付された各秘密鍵SK1〜SK5のうち使用優先順位が1番目の「有効」な秘密鍵を使用して電子署名を作成し、この電子署名を更新用地図情報に付して配信データを作成して配信するため、配信する更新用地図情報の情報セキュリティを確保することが可能になる。また、予め5個の秘密鍵SK1〜SK5を秘密鍵記憶部19Aに格納しているため、使用優先順位が1番目の秘密鍵が第三者に解読された場合には、残りの秘密鍵に迅速に切り替えることが可能となる。
また、ナビゲーション装置2のCPU11は、公開鍵記憶部39に格納される各公開鍵PK1〜PK5のうち使用優先順位が1番目の公開鍵によって、情報配信センタ3から配信された配信データから抽出した電子署名を検証して、この電子署名が検証を通過しなくても、信頼できる第三者機関による認証局から新たな公開鍵の公開を受けること無く、次の使用優先順位の公開鍵によって該電子署名を検証することが可能となり、電子署名の検証の迅速化及びコストの削減化を図ることが可能となる。また、ナビゲーション装置2のCPU41は、情報配信センタ3によって公開された各公開鍵PK1〜PK5を使用して、当該電子署名が検証を通過した場合には、この配信データを情報配信センタ3から配信された正当な情報であるとして判断するため、ナビゲーション装置2への更新用地図情報の配信に関する情報セキュリティを確保することが可能となる。
【0087】
また、情報配信センタ3のCPU11は、秘密鍵記憶部19Aに格納する使用優先順位が1番目の秘密鍵が第三者によって解読された場合には、この使用優先順位が1番目の秘密鍵を失効させると共に、残りの秘密鍵の使用優先順位を順次繰り上げて、秘密鍵記憶部19Aに再度、格納する(S11〜S13)。
これにより、使用優先順位が1番目の秘密鍵が第三者によって解読された場合には、この解読された使用優先順位が1番目の秘密鍵が失効されるため、第三者によって解読された秘密鍵の使用を迅速に中止することができ、ナビゲーション装置2へ配信する更新用地図情報の情報セキュリティを確保することが可能となる。また、使用優先順位が1番目の秘密鍵が失効された場合には、残りの秘密鍵の使用優先順位を順次繰り上げて、秘密鍵記憶部19Aに再度、格納するため、迅速に使用優先順位が1番目の秘密鍵を切り替えて、更新用地図情報から算出されるハッシュ値から電子署名を作成することが可能となる。
【0088】
また、ナビゲーション装置2のCPU41は、各公開鍵PK1〜PK5のうち「有効」な公開鍵を使用優先順位の順番に使用して電子署名を順次検証し、この電子署名が検証を通過するまでに当該検証を通過しなかった公開鍵がある場合には、当該検証を通過しなかった公開鍵に失効仮フラグを付してRAM42に記憶する。そして、CPU41は、配信データから抽出した電子署名が検証を通過した場合には、この失効仮フラグが付された公開鍵を失効させると共に、残りの公開鍵の使用優先順位を順次繰り上げて、再度公開鍵記憶部39に格納する。(S214:NO〜S219)。
これにより、情報配信センタ3のCPU11が、秘密鍵記憶部19Aに格納する使用優先順位が1番目の秘密鍵が第三者によって解読された場合に、この解読された秘密鍵を失効させて、残りの秘密鍵の使用優先順位を順次繰り上げて、秘密鍵記憶部19Aに再度、格納後、この使用優先順位が1番目の秘密鍵に切り替えて電子署名を行っても、ナビゲーション装置2のCPU41は、情報配信センタ3から解読された秘密鍵に対応する公開鍵の通知を受けることなく、この解読された秘密鍵に対応する公開鍵を確実に失効させることが可能となる。また、ナビゲーション装置2のCPU41は、解読された秘密鍵に対応する公開鍵を失効させた場合には、信頼できる第三者機関による認証局から新たな公開鍵の公開を受けることなく、各公開鍵PK1〜PK5のうち残りの「有効」な公開鍵の使用優先順位を順次繰り上げて、「有効」な公開鍵を使用優先順位の順番に使用して、配信データから抽出した電子署名の検証をスムーズに行うことが可能となる。
【0089】
また、ナビゲーション装置2のCPU41は、各公開鍵PK1〜PK5のうち「有効」な公開鍵を使用優先順位の順番に使用して、配信データから抽出した電子署名を順次検証し、電子署名が検証を通過しない場合には、使用した各公開鍵に順次失効仮フラグを付してRAM42に記憶する。そして、この電子署名が「有効」ないずれの公開鍵を使用しても検証を通過しない場合には、各公開鍵に付された失効仮フラグを全てはずして、当該公開鍵を「有効」な公開鍵として公開鍵記憶部39に格納する。また、CPU41は、取得した当該配信データを不当な情報であると判断する(S214:NO〜S216〜S221)。
これにより、悪意のある第三者が、情報配信センタ3が所有する秘密鍵と異なる秘密鍵で更新用地図情報に電子署名を付した場合には、全ての有効な公開鍵による検証が通過しないため各公開鍵に失効仮フラグが付されるが、この失効仮フラグを全て取り消すことによって、全ての「有効」な公開鍵の有効性を維持することができると共に、当該配信データを不当な情報であると判断することによって、配信される更新用地図情報の情報セキュリティを確保することができる。
【0090】
更に、情報配信センタ3のCPU11は、ナビゲーション装置2又はPC5へ配信する更新用地図情報からハッシュ値を作成し、このハッシュ値と秘密鍵記憶部19Aに格納する使用優先順位が1番目の秘密鍵とを使用して電子署名を作成する。また、ナビゲーション装置2のCPU41は、取得した配信データから抽出した電子署名に対して各公開鍵PK1〜PK5のうち有効な公開鍵を使用優先順位の順番に使用して、電子署名を復号した復号データを作成する。そして、ナビゲーション装置2のCPU41は、取得した配信データから抽出した更新用地図情報からハッシュ値を作成し、このハッシュ値と復号データとが一致した場合には、電子署名の検証を通過させ、該ハッシュ値と復号データとが一致しない場合には、電子署名の検証を通過させない。
これにより、情報配信センタ3のCPU11は、配信する更新用地図情報から算出したハッシュ値と、秘密鍵記憶部19Aに格納される使用優先順位が1番目の「有効」な秘密鍵とを使用して電子署名を作成するため、電子署名の作成の迅速化を図ることが可能となる。また、ナビゲーション装置2のCPU41は、悪意のある第三者が、情報配信センタ3が所有する各秘密鍵SK1〜SK5と異なる秘密鍵で更新用地図情報に電子署名を付した場合だけでなく、電子署名を変更することなく、更新用地図情報を改ざんした場合にも、更新用地図情報から算出したハッシュ値と復号データとが一致しない場合には、電子署名の検証を通過させないことによって、当該更新用地図情報の改ざんを検出して、更新用地図情報の情報セキュリティを確保することが可能となる。
【0091】
尚、本発明は前記実施例に限定されるものではなく、本発明の要旨を逸脱しない範囲内で種々の改良、変形が可能であることは勿論である。
【0092】
例えば、ナビゲーション装置2に通信装置27が設けられていない場合には、当該ナビゲーション装置2のユーザは、PC5を介して更新用地図情報の配信要求と共に、情報配信センタ3に予め登録している当該ユーザを識別するユーザIDを情報配信センタ3へネットワーク4を通じて送信するようにしてもよい。これにより、PC5は、情報配信センタ3から当該ユーザの登録自宅位置又は目的地を中心とする所定領域の更新用地図情報に電子署名が付された配信データをネットワーク4を介して取得することができる。また、PC5は、この取得した配信データを記録部5Aを介して記録媒体としてのCD−ROM6にコンピュータ読み取り可能に記録し、ナビゲーション装置2の読取部28に装着することによって、通信装置27を有しないナビゲーション装置2へ更新用地図情報を供給することが可能となる。
【図面の簡単な説明】
【0093】
【図1】本実施例に係る地図情報配信システムを示したブロック図である。
【図2】地図情報配信システムのナビゲーション装置を示したブロック図である。
【図3】地図情報配信システムの地図情報配信センタにおける公開鍵と秘密鍵との生成を説明する説明図である。
【図4】地図情報配信センタのCPUが、地図情報配信センタの管理者から現在使用している秘密鍵の「失効」を指示された場合に実行する秘密鍵更新処理を示すフローチャートである。
【図5】地図情報配信センタのCPUが使用優先順位が1番の秘密鍵SK1を失効させた一例を示す図である。
【図6】地図情報配信センタのCPUが、ナビゲーション装置又はPCから更新用地図情報の配信を要求された場合に実行する更新用地図情報配信処理を示すフローチャートである。
【図7】ナビゲーション装置のCPUが、ネットワーク又はCDーROMを介して、情報配信センタから配信された更新用地図情報に電子署名が付された配信データを取得した場合に実行する地図情報更新処理を示すフローチャートである。
【図8】「有効」な公開鍵PK1を使用した電子署名の復号データと更新用地図情報のハッシュ値とが一致した場合に、公開鍵記憶部に格納される各公開鍵PK1〜PK5の状態を示す図である。
【図9】「有効」な公開鍵PK1を使用した電子署名の復号データと更新用地図情報のハッシュ値とが一致せず、「有効」な公開鍵PK2を使用した電子署名の復号データと更新用地図情報のハッシュ値とが一致した場合に、公開鍵記憶部に格納される各公開鍵PK1〜PK5の状態を示す図である。
【図10】公開鍵PK1が「失効」し、「有効」な公開鍵PK2を使用した電子署名の復号データと更新用地図情報のハッシュ値とが一致した場合に、公開鍵記憶部に格納される各公開鍵PK1〜PK5の状態を示す図である。
【図11】取得した配信データから取り出した電子署名が失効した秘密鍵SK1を使用して作成されたものである場合に、公開鍵記憶部に格納される各公開鍵PK1〜PK5の状態を示す図である。
【図12】取得した配信データから取り出した更新用地図情報のデータが通信異常で破壊又は改ざんされたものである場合に、公開鍵記憶部に格納される各公開鍵PK1〜PK5の状態を示す図である。
【図13】取得した配信データから取り出した電子署名が各秘密鍵SK1〜SK5以外の秘密鍵を使用して作成されたものである場合に、公開鍵記憶部に格納される各公開鍵PK1〜PK5の状態を示す図である。
【符号の説明】
【0094】
1 地図情報配信システム
2 ナビゲーション装置
3 地図情報配信センタ
4 ネットワーク
5 PC
5A 記録部
6 CD−ROM
10 サーバ
11、41 CPU
12、42 RAM
13、43 ROM
14 センタ側地図情報DB
15 更新履歴情報DB
16 センタ側通信装置
17 更新用地図情報
18 差分データ管理DB
19 鍵情報DB
19A 秘密鍵記憶部
22 データ記録部
23 ナビゲーション制御部
27 通信装置
28 読取部
37 ナビ側地図情報DB
38 ナビ地図情報
39 公開鍵記憶部
51 配信地図データ(更新用地図情報)
52 ハッシュ値
53 電子署名
55 配信データ
【技術分野】
【0001】
本発明は、更新用地図情報が配信されるナビゲーション装置、及び更新用地図情報をナビゲーション装置へ配信する情報配信システムに関するものである。
【背景技術】
【0002】
近年、地図データを更新するための更新情報が、情報配信センタからナビゲーション装置に対して、DVD−ROMやHDDなどの記録媒体、又は携帯電話網等のネットワーク等を通じて配信される情報配信システムが種々提案されている。
例えば、情報配信センタから配信された更新用の地図データが書込まれた記録媒体に、ナビゲーション装置に付与されたユニークな個体IDを属性データとして付加されることにより、ナビゲーション装置においてその記録媒体を使用する際に、判断手段により、自らに付与されている個体IDと記録媒体に記録されている個体IDとが一致するかどうかが判断され、個体IDが一致していない場合には、禁止手段により、その記録媒体に書込まれた更新用の地図データが使用できなくなるように構成した情報配信システムがある(例えば、特許文献1参照。)。
【特許文献1】特開2005−331579号公報(段落(0011)〜(0028)、図1〜図4)
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかし、前記した特許文献1に記載された情報配信システムでは、ナビゲーション装置に付与された個体IDが第三者に解読された場合には、記録媒体に記録された更新用の地図データ等が改ざんされる虞があり、更新用の地図データの情報セキュリティを確保することが難しいという問題がある。
一方、情報配信センタから更新用の地図データ等を配信する際に、この更新用の地図データ等に秘密鍵により電子署名を付し、一方、ナビゲーション装置は公開鍵により更新用の地図データ等に付された電子署名を検証して、配信された地図データの正当性を確認するように構成した情報配信システムが考えられる。
しかしながら、信頼できる第三者機関による認証局から各ナビゲーション装置へ公開鍵を公開してもらう情報配信システムでは、秘密鍵が第三者に解読された場合には、各ナビゲーション装置は、認証局から新たな公開鍵の公開を受ける必要があり、処理が煩雑になると共に、コストアップになるという問題がある。また、情報配信センタは、各ナビゲーション装置が認証局から新たな公開鍵の公開を受けるまで、新たな秘密鍵で更新用の地図データ等に電子署名をして配信することができないという問題がある。
【0004】
そこで、本発明は、上述した問題点を解決するためになされたものであり、ナビゲーション装置へ配信する更新用地図情報の情報セキュリティを確保することが可能な情報配信システム及びその情報配信システムを構成するナビゲーション装置を提供することを目的とする。
【課題を解決するための手段】
【0005】
前記目的を達成するため請求項1に係るナビゲーション装置は、情報配信センタ(3)から配信される地図情報を検証するための公開鍵を使用優先順位を付して複数記憶する公開鍵記憶手段(39)と、前記情報配信センタから配信された前記地図情報に付された電子署名を抽出する電子署名抽出手段(23)と、前記複数の公開鍵を前記使用優先順位の順番に使用して前記電子署名を順次検証するように制御する検証制御手段(23)と、前記電子署名が検証を通過した場合には、前記地図情報を前記情報配信センタから配信された正当な情報であるとして判断する判断手段(23)と、を備えたことを特徴とする。
【0006】
また、請求項2に記載のナビゲーション装置は、請求項1に記載のナビゲーション装置(2)において、前記検証制御手段(23)は、前記電子署名が検証を通過するまでに当該検証を通過しなかった公開鍵がある場合には、当該検証を通過しなかった公開鍵を失効に設定するように制御することを特徴とする。
【0007】
また、請求項3に記載のナビゲーション装置は、請求項2に記載のナビゲーション装置(2)において、前記検証制御手段(23)は、前記検証を通過しなかった公開鍵を仮失効に設定する仮失効設定手段(23)を有し、該検証制御手段は、該電子署名が検証を通過した場合には、前記仮失効設定手段によって仮失効に設定された公開鍵を失効させると共に、残りの公開鍵の使用優先順位を順次繰り上げて、前記公開鍵記憶手段に再度記憶するように制御することを特徴とする。
【0008】
また、請求項4に記載のナビゲーション装置は、請求項3に記載のナビゲーション装置(2)において、前記検証制御手段(23)は、前記電子署名が検証を通過しない場合には、前記仮失効設定手段によって設定された仮失効を取り消すように制御し、前記判断手段(23)は、前記地図情報を不当な情報であると判断することを特徴とする。
【0009】
更に、請求項5に記載のナビゲーション装置は、請求項1乃至請求項4のいずれかに記載のナビゲーション装置(2)において、前記公開鍵記憶手段に記憶される公開鍵を使用して前記電子署名を復号して復号データを作成する復号データ作成手段(23)と、前記地図情報からハッシュ値を作成するナビ側ハッシュ値作成手段(23)と、を有し、該検証制御手段(23)は、前記復号データと前記ハッシュ値とが一致した場合には検証を通過させ、前記復号データと前記ハッシュ値とが一致しない場合には検証を通過させないように制御することを特徴とする。
【0010】
また、請求項6に記載の情報配信システムは、地図情報を配信する情報配信センタ(3)と、ナビゲーション装置(2)と、を備えた情報配信システム(1)において、前記情報配信センタ(3)は、複数対の公開鍵と秘密鍵を生成して前記複数対の公開鍵と秘密鍵に対して使用優先順位を付する鍵生成手段(10)と、前記使用優先順位が付された複数の秘密鍵を記憶する秘密鍵記憶手段(19)と、前記秘密鍵記憶手段に記憶される前記使用優先順位が1番目の秘密鍵を使用して電子署名を作成する電子署名作成手段(10)と、前記地図情報に前記電子署名を付して配信する配信手段(10、16)と、を有し、該情報配信センタは、前記使用優先順位が付された複数の公開鍵をナビゲーション装置へ公開し、前記ナビゲーション装置(2)は、前記情報配信センタによって公開された前記使用優先順位が付された複数の公開鍵を記憶する公開鍵記憶手段(22)と、前記情報配信センタから配信された前記地図情報に付された電子署名を抽出する電子署名抽出手段(23)と、前記複数の公開鍵を前記使用優先順位の順番に使用して前記電子署名を順次検証するように制御する検証制御手段(23)と、前記電子署名が検証を通過した場合には、前記地図情報を前記情報配信センタから配信された正当な情報であるとして判断する判断手段(23)と、を有することを特徴とする。
【0011】
また、請求項7に記載の情報配信システムは、請求項6に記載の情報配信システム(1)において、前記検証制御手段(23)は、前記電子署名が検証を通過するまでに当該検証を通過しなかった公開鍵がある場合には、当該検証を通過しなかった公開鍵を失効に設定するように制御することを特徴とする。
【0012】
また、請求項8に記載の情報配信システムは、請求項7に記載の情報配信システム(1)において、前記検証制御手段(23)は、前記検証を通過しなかった公開鍵を仮失効に設定する仮失効設定手段(23)を有し、該検証制御手段は、該電子署名が検証を通過した場合には、前記仮失効設定手段によって仮失効に設定された公開鍵を失効させると共に、残りの公開鍵の使用優先順位を順次繰り上げて、前記公開鍵記憶手段に再度記憶するように制御することを特徴とする。
【0013】
また、請求項9に記載の情報配信システムは、請求項8に記載の情報配信システム(1)において、前記検証制御手段は、前記電子署名が検証を通過しない場合には、前記仮失効設定手段によって設定された仮失効を取り消すように制御し、前記判断手段は、前記地図情報を不当な情報であると判断することを特徴とする。
【0014】
更に、請求項10に記載の情報配信システムは、請求項6乃至請求項9のいずれかに記載の情報配信システム(1)において、前記電子署名作成手段(10)は、前記地図情報からハッシュ値を作成するセンタ側ハッシュ値作成手段(10)を有し、該電子署名作成手段は、前記ハッシュ値と前記秘密鍵記憶手段に記憶される前記使用優先順位が1番目の秘密鍵とを使用して電子署名を作成し、前記検証制御手段(23)は、前記公開鍵記憶手段(39)に記憶される公開鍵を使用して前記電子署名を復号して復号データを作成する復号データ作成手段(23)と、前記地図情報からハッシュ値を作成するナビ側ハッシュ値作成手段(23)と、を有し、該検証制御手段は、前記復号データと前記ハッシュ値とが一致した場合には検証を通過させ、前記復号データと前記ハッシュ値とが一致しない場合には検証を通過させないように制御することを特徴とする。
【発明の効果】
【0015】
前記構成を有する請求項1に係るナビゲーション装置は、情報配信センタから配信される地図情報を検証するための複数の公開鍵を使用優先順位を付して記憶している。そして、ナビゲーション装置は、情報配信センタから配信された地図情報に付された電子署名を抽出し、複数の公開鍵を使用優先順位の順番に使用して、この電子署名を順次検証する。そして、ナビゲーション装置は、電子署名が検証を通過した場合には、この地図情報を情報配信センタから配信された正当な情報であるとして判断する。
これにより、ナビゲーション装置は、使用優先順位が1番目の公開鍵によって、情報配信センタから配信された地図情報に付された電子署名を検証して、この電子署名が検証を通過しなくても、信頼できる第三者機関による認証局から新たな公開鍵の公開を受けること無く、次の使用優先順位の公開鍵によって該電子署名を検証することが可能となり、電子署名の検証の迅速化及びコストの削減化を図ることが可能となる。また、ナビゲーション装置は、使用の優先順位を付して記憶する複数の公開鍵を使用して、当該電子署名が検証を通過した場合には、この地図情報を情報配信センタから配信された正当な情報であるとして判断するため、ナビゲーション装置への地図情報の配信に関する情報セキュリティを確保することが可能となる。
【0016】
また、請求項2に係るナビゲーション装置は、複数の公開鍵を使用優先順位の順番に使用して電子署名を順次検証し、この電子署名が検証を通過するまでに当該検証を通過しなかった公開鍵がある場合には、当該検証を通過しなかった公開鍵を失効に設定する。
これにより、情報配信センタが、秘密鍵が第三者によって解読された場合に、この解読された秘密鍵を失効させて、新たな秘密鍵に切り替えて電子署名を行っても、ナビゲーション装置は、情報配信センタから解読された秘密鍵に対応する公開鍵の通知を受けることなく、この解読された秘密鍵に対応する公開鍵を失効させることが可能となる。
【0017】
また、請求項3に係るナビゲーション装置は、複数の公開鍵を使用優先順位の順番に使用して、地図情報に付された電子署名を順次検証し、この電子署名が検証を通過するまでに当該検証を通過しなかった公開鍵がある場合には、当該検証を通過しなかった公開鍵を仮失効に設定する。そして、ナビゲーション装置は、この電子署名が検証を通過した場合には、仮失効に設定された公開鍵を失効させると共に、残りの公開鍵の使用優先順位を順次繰り上げて、再度記憶する。
これにより、情報配信センタは、使用している秘密鍵が第三者によって解読された場合に、この解読された秘密鍵を失効させて、次の使用優先順位の秘密鍵に切り替えて電子署名を行っても、ナビゲーション装置は、情報配信センタから解読された秘密鍵に対応する公開鍵の通知を受けることなく、この解読された秘密鍵に対応する公開鍵を確実に失効させることが可能となる。また、ナビゲーション装置は、解読された秘密鍵に対応する公開鍵を失効させた場合には、信頼できる第三者機関による認証局から新たな公開鍵の公開を受けることなく、残りの公開鍵の使用優先順位を順次繰り上げて、有効な公開鍵を使用優先順位の順番に使用して、地図情報に付された電子署名の検証をスムーズに行うことが可能となる。
【0018】
また、請求項4に係るナビゲーション装置は、複数の公開鍵を使用優先順位の順番に使用して、地図情報に付された電子署名を順次検証し、この電子署名が検証を通過しない場合には、各公開鍵に設定された仮失効を取り消すと共に、当該地図情報を不当な情報であると判断する。
これにより、悪意のある第三者が、情報配信センタが所有する秘密鍵と異なる秘密鍵で地図情報に電子署名を付した場合には、全ての有効な公開鍵による検証が通過しないが、仮失効を取り消すことによって、全ての公開鍵の有効性を維持することができると共に、当該地図情報を不当な情報であると判断することによって、情報セキュリティを確保することができる。
【0019】
更に、請求項5に係るナビゲーション装置は、電子署名に対して複数の有効な公開鍵を使用優先順位の順番に使用して、当該電子署名を復号して復号データを作成する。そして、ナビゲーション装置は、地図情報からハッシュ値を作成し、このハッシュ値と復号データとが一致した場合には、この電子署名の検証を通過させ、該ハッシュ値と復号データとが一致しない場合には、この電子署名の検証を通過させない。
これにより、悪意のある第三者が、情報配信センタが所有する秘密鍵と異なる秘密鍵で地図情報に電子署名を付した場合だけでなく、電子署名を変更することなく、地図情報を改ざんした場合にも、地図情報から作成したハッシュ値と復号データとが一致しない場合には、電子署名の検証を通過させないことによって、当該地図情報の改ざんを検出して、地図情報の情報セキュリティを確保することが可能となる。
【0020】
また、請求項6に係る情報配信システムでは、情報配信センタは、複数対の公開鍵と秘密鍵を生成して、この複数対の公開鍵と秘密鍵に対して使用優先順位を付す。そして、情報配信センタは、この使用優先順位が付された複数の秘密鍵を記憶する。また、情報配信センタは、この使用優先順位が付された複数の公開鍵をナビゲーション装置へ公開する。そして、情報配信センタは、使用優先順位が1番目の秘密鍵を使用して電子署名を作成して、この電子署名を地図情報に付して配信する。
また、ナビゲーション装置は、情報配信センタによって公開された使用優先順位が付された複数の公開鍵を記憶している。そして、ナビゲーション装置は、情報配信センタから配信された地図情報に付された電子署名を抽出し、複数の公開鍵を使用優先順位の順番に使用して、この電子署名を順次検証する。そして、ナビゲーション装置は、電子署名が検証を通過した場合には、この地図情報を情報配信センタから配信された正当な情報であるとして判断する。
【0021】
これにより、情報配信センタは、記憶する使用優先順位が付された複数の秘密鍵のうち使用優先順位が1番目の秘密鍵を使用して電子署名を作成し、この電子署名を地図情報に付して配信するため、配信する地図情報の情報セキュリティを確保することが可能になる。また、予め複数の秘密鍵を記憶しているため、使用優先順位が1番目の秘密鍵が第三者に解読された場合には、残りの秘密鍵に迅速に切り替えることが可能となる。
また、ナビゲーション装置は、使用優先順位が1番目の公開鍵によって、情報配信センタから配信された地図情報に付された電子署名を検証して、この電子署名が検証を通過しなくても、信頼できる第三者機関による認証局から新たな公開鍵の公開を受けること無く、次の使用優先順位の公開鍵によって該電子署名を検証することが可能となり、電子署名の検証の迅速化及びコストの削減化を図ることが可能となる。また、ナビゲーション装置は、情報配信センタによって公開された複数の公開鍵を使用して、当該電子署名が検証を通過した場合には、この地図情報を情報配信センタから配信された正当な情報であるとして判断するため、ナビゲーション装置への地図情報の配信に関する情報セキュリティを確保することが可能となる。
【0022】
また、請求項7に係る情報配信システムでは、ナビゲーション装置は、複数の公開鍵を使用優先順位の順番に使用して電子署名を順次検証し、この電子署名が検証を通過するまでに当該検証を通過しなかった公開鍵がある場合には、当該検証を通過しなかった公開鍵を失効に設定する。
これにより、情報配信センタが、秘密鍵が第三者によって解読された場合に、この解読された秘密鍵を失効させて、新たな秘密鍵に切り替えて電子署名を行っても、ナビゲーション装置は、情報配信センタから解読された秘密鍵に対応する公開鍵の通知を受けることなく、この解読された秘密鍵に対応する公開鍵を失効させることが可能となる。
【0023】
また、請求項8に係る情報配信システムでは、ナビゲーション装置は、複数の公開鍵を使用優先順位の順番に使用して、地図情報に付された電子署名を順次検証し、この電子署名が検証を通過するまでに当該検証を通過しなかった公開鍵がある場合には、当該検証を通過しなかった公開鍵を仮失効に設定する。そして、ナビゲーション装置は、この電子署名が検証を通過した場合には、仮失効に設定された公開鍵を失効させると共に、残りの公開鍵の使用優先順位を順次繰り上げて、再度記憶する。
これにより、情報配信センタが、秘密鍵が第三者によって解読された場合に、この解読された秘密鍵を失効させて、新たな秘密鍵に切り替えて電子署名を行っても、ナビゲーション装置は、情報配信センタから解読された秘密鍵に対応する公開鍵の通知を受けることなく、この解読された秘密鍵に対応する公開鍵を失効させることが可能となる。また、ナビゲーション装置は、解読された秘密鍵に対応する公開鍵を失効させた場合には、信頼できる第三者機関による認証局から新たな公開鍵の公開を受けることなく、残りの公開鍵の使用優先順位を順次繰り上げて、有効な公開鍵を使用優先順位の順番に使用して、地図情報に付された電子署名の検証をスムーズに行うことが可能となる。
【0024】
また、請求項9に係る情報配信システムでは、ナビゲーション装置は、複数の公開鍵を使用優先順位の順番に使用して、地図情報に付された電子署名を順次検証し、この電子署名が検証を通過しない場合には、各公開鍵に設定された仮失効を取り消すと共に、当該地図情報を不当な情報であると判断する。
これにより、悪意のある第三者が、情報配信センタが所有する秘密鍵と異なる秘密鍵で地図情報に電子署名を付した場合には、全ての有効な公開鍵による検証が通過しないが、仮失効を取り消すことによって、全ての公開鍵の有効性を維持することができると共に、当該地図情報を不当な情報であると判断することによって、情報セキュリティを確保することができる。
【0025】
更に、請求項10に係る情報配信システムでは、情報配信センタは、配信する地図情報からハッシュ値を作成し、このハッシュ値と使用優先順位が1番目の秘密鍵とを使用して電子署名を作成する。また、ナビゲーション装置は、電子署名に対して複数の公開鍵のうち有効な公開鍵を使用優先順位の順番に使用して、電子署名を復号した復号データを作成する。そして、ナビゲーション装置は、地図情報からハッシュ値を作成し、このハッシュ値と復号データとが一致した場合には、この電子署名の検証を通過させ、該ハッシュ値と復号データとが一致しない場合には、この電子署名の検証を通過させない。
これにより、情報配信センタは、配信する地図情報から算出したハッシュ値と使用優先順位が1番目の秘密鍵とを使用して電子署名を作成するため、電子署名の作成の迅速化を図ることが可能となる。また、ナビゲーション装置は、悪意のある第三者が、情報配信センタが所有する秘密鍵と異なる秘密鍵で地図情報に電子署名を付した場合だけでなく、電子署名を変更することなく、地図情報を改ざんした場合にも、地図情報から算出したハッシュ値と復号データとが一致しない場合には、電子署名の検証を通過させないことによって、当該地図情報の改ざんを検出して、地図情報の情報セキュリティを確保することが可能となる。
【発明を実施するための最良の形態】
【0026】
以下、本発明に係るナビゲーション装置及び情報配信システムを地図情報配信システムについて具体化した一実施例に基づき図面を参照しつつ詳細に説明する。
【実施例】
【0027】
先ず、本実施例に係る地図情報配信システム1の概略構成について図1及び図2を用いて説明する。図1は本実施例に係る地図情報配信システム1を示したブロック図である。図2は地図情報配信システム1のナビゲーション装置2を示したブロック図である。
【0028】
図1に示すように本実施例に係る地図情報配信システム1は、ナビゲーション装置2と、ナビゲーション装置2に対して地図情報を更新する為の更新情報を配信する情報配信センタとしての地図情報配信センタ3と、ネットワーク4と、このネットワーク4に接続可能なナビゲーション装置2のユーザや販売店等が所有するPC(Personal Computer)5とから基本的に構成されている。そして、ナビゲーション装置2と地図情報配信センタ3、PC5と地図情報配信センタ3は、それぞれネットワーク4を介して各種の情報の送受信が可能となるように構成されている。尚、ナビゲーション装置2の構成に関しては後に図2を用いて詳細に説明する。
【0029】
また、図1に示すように、地図情報配信センタ3は、サーバ10と、サーバ10に接続された地図情報記録部としてのセンタ側地図情報データベース(センタ側地図情報DB)14と、更新履歴情報データベース(更新履歴情報DB)15と、センタ側通信装置16と、差分データ管理データベース(差分データ管理DB)18と、鍵情報データベース(鍵情報DB)19とを備えている。また、サーバ10は、サーバ10の全体の制御を行う演算装置及び制御装置としてのCPU11、並びにCPU11が各種の演算処理を行うに当たってワーキングメモリとして使用されるRAM12、後述のようにナビゲーション装置2やPC5からの要求に基づいてナビゲーション装置2に記憶された地図情報の内、配信対象エリアの地図情報を新たなバージョンの地図情報に更新する為の更新情報をセンタ側地図情報DB14から抽出すると共に、この更新情報に電子署名を付与して、ナビゲーション装置2やPC5に対して配信する地図情報配信処理(図6参照)や、電子署名の為の秘密鍵を更新する秘密鍵更新処理(図4参照)等を行うための各種の制御プログラムが記録されたROM13等の内部記憶装置を備えている。尚、CPU11に代えてMPU等を使用することができる。
【0030】
また、センタ側地図情報DB14には、地図情報配信センタ3で作成され、ナビゲーション装置2に記憶された地図情報を更新する際の基本となる地図情報である更新用地図情報17がバージョン毎に区分されて記憶されている。更に、現在のナビゲーション装置2に記憶される地図情報の一部分(例えば、自車の現在位置又は予め登録されている自宅地点を中心とする80km四方の領域である。)又は全部を更新用地図情報17に記憶される最新のバージョンに更新する為の更新情報(以下、「差分データ」という。)についてもバージョン毎に区分されて記憶されている。
ここで、バージョンとは地図情報が作成された時期を特定する為の作成時期情報であり、バージョンを参照することによって地図情報が作成された時期を特定することが可能となっている。
【0031】
また、センタ側地図情報DB14に記憶された更新用地図情報17には、ナビゲーション装置2で経路案内及び地図表示を行うのに必要な各種情報が記録されており、例えば、地図を表示するための地図表示データ、各交差点に関する交差点データ、ノード点に関するノードデータ、施設の一種である道路(リンク)に関するリンクデータ、経路を探索するための探索データ、施設の一種である店舗等のPOI(Point of Interest)に関する店舗データ、地点を検索するための検索データ等から構成されている。
【0032】
ここで、特に地図表示データとしては、10km×10kmで区画された2次メッシュをベースに4分割(長さ1/2)、16分割(1/4)、64分割(1/8)されたユニットで構成されており、各ユニットのデータ量が略同レベルになるように、各地のユニットが設定されている。最も小さい64分割サイズのユニットは、約1.25km四方の大きさである。
【0033】
ここで、高速自動車国道、都市高速道路、自動車専用道路、一般有料道路、1桁又は2桁の国道から構成される高規格道路区分と、3桁以上の国道、主要地方道、県道、市町村道から構成される一般道路区分と、細街路から構成される細街路区分の3つの配信道路区分に区分されて、それぞれバージョン毎に更新用地図情報17に格納されて管理されている。
また、差分データ管理DB18には、更新用地図情報17の各バージョン毎に、約2.5km四方のエリア毎に区画IDを設定し、更に各エリアを道路規格で区分した3つの各配信道路区分毎の各差分データを表す差分データファイル名が格納されて管理されている。
【0034】
また、更新履歴情報DB15には、各ナビゲーション装置2に記憶されている地図情報について現在までに更新を行った更新履歴に関する更新履歴情報が、ナビゲーション装置2を特定するナビ識別IDとともに記憶され、また、各PC5のユーザに対して配信した更新用地図情報の更新履歴に関する更新履歴情報が、ユーザを識別するユーザIDとともに記憶される。
そして、地図情報配信センタ3は、ナビゲーション装置2やPC5からの要求があったタイミングで、センタ側地図情報DB14に格納された更新用地図情報17の内、前回ナビゲーション装置2やPC5に配信した更新用地図情報から最もバージョンの新しい更新用地図情報17に更新する為の差分データを抽出して、ナビゲーション装置2やPC5へ、後述のように電子署名を付して配信する。
【0035】
また、ナビゲーション装置2のユーザや販売店等が所有するPC5は、受信したこの更新用の地図情報を記憶媒体としてのCD−ROM6にナビゲーション装置2が読取部28(図2参照)で読み取り可能に記録できる記録部5Aを備えている。尚、ナビゲーション装置2の読取部28で読み取り可能であれば、CD−ROM6に替えて、フレキシブルディスク等の磁気ディスク、メモリーカード、磁気テープ、磁気ドラム、MD、DVD、MO、ICカード、光カード等を使用してもよい。
【0036】
また、鍵情報DB19には、後述のように5組の公開鍵と秘密鍵とを生成した鍵生成履歴情報が格納されるとともに、この生成した5つの秘密鍵に使用優先順位を付して記憶する秘密鍵記憶部19Aが設けられている(図3参照)。
【0037】
尚、地図情報配信センタ3は、個人、企業、団体、地方自治体、政府関係機関等のいずれが運営していてもよく、VICS(登録商標)センタが運営していてもよい。
また、ネットワーク4としては、例えばLAN(Local Area Network)、WAN(Wide Area Network)、イントラネット、携帯電話回線網、電話回線網、公衆通信回線網、専用通信回線網、インターネット等の通信回線網等の通信系を使用することができる。そして、放送衛星によるCS放送、BS放送、地上波ディジタルテレビ放送、FM多重放送等を利用する通信系を使用することもできる。更に、高度道路交通システム(ITS)において利用されるノンストップ自動料金支払いシステム(ETC)、狭域通信システム(DSRC)等の通信系を使用することもできる。
【0038】
次に、本実施例に係る地図情報配信システム1を構成するナビゲーション装置2の概略構成について図2に基づいて説明する。
図2に示すように、本実施例に係るナビゲーション装置2は、自車の現在位置を検出する現在地検出処理部21と、予め登録された自宅地点の座標位置(例えば、緯度と経度である。)や各種のデータが記録されたデータ記録部22と、入力された情報に基づいて、各種の演算処理を行うナビゲーション制御部23と、操作者からの操作を受け付ける操作部24と、操作者に対して地図等の情報を表示する液晶ディスプレイ25と、経路案内に関する音声ガイダンスを出力するスピーカ26と、道路交通情報センタ(VICS(登録商標))や地図情報配信センタ3等との間で携帯電話網等を介して通信を行う通信装置27と、記憶媒体としてのCD−ROM6に記録された更新用の地図情報等を読み取る読取部28と、から構成されている。また、ナビゲーション制御部23には自車の走行速度を検出する車速センサ29が接続される。尚、読取部28は、CD−ROM6だけでなくDVDに記録された地図情報等を読み取ることができるように構成してもよい。
【0039】
以下に、ナビゲーション装置2を構成する各構成要素について説明すると、現在地検出処理部21は、GPS31、方位センサ32、距離センサ33、高度計(図示せず)等からなり、現在の自車の位置、方位、目標物(例えば、交差点)までの距離等を検出することが可能となっている。
【0040】
具体的には、GPS31は、人工衛星によって発生させられた電波を受信することにより、地球上における自車の現在地及び現在時刻を検出する。また、方位センサ32は、地磁気センサやジャイロセンサ、或いは、ステアリングホイール(図示せず)の回転部に取り付けられた光学的な回転センサ、回転抵抗センサ、車輪に取り付けられた角度センサ等により構成され、自車方位を検出する。また、距離センサ33は、例えば、自車の車輪(図示せず)の回転速度を測定し、測定した回転速度に基づいて距離を検出するセンサ、加速度を測定し、測定した加速度を2回積分して距離を検出するセンサ等から構成され、自車の移動距離を検出する。
【0041】
また、データ記録部22は、外部記憶装置及び記憶媒体としてのハードディスク(図示せず)と、ハードディスクに記憶されたナビ側地図情報DB37、地図情報配信センタ3から公開された公開鍵を記憶する公開鍵記憶部39及び所定のプログラム等を読み出すとともにハードディスクに所定のデータを書き込む為のドライバである記録ヘッド(図示せず)とを備えている。尚、本実施例においては、データ記録部22の外部記憶装置及び記憶媒体としてハードディスクが使用されるが、ハードディスクのほかに、フレキシブルディスク等の磁気ディスクを外部記憶装置として使用することができる。また、メモリーカード、磁気テープ、磁気ドラム、CD、MD、DVD、光ディスク、MO、ICカード、光カード等を外部記憶装置として使用することもできる。
【0042】
ここで、ナビ側地図情報DB37にはナビゲーション装置2の走行案内や経路探索に使用されるとともに地図情報配信センタ3による更新対象となるナビ地図情報38が格納されている。ここで、ナビ地図情報38には、更新用地図情報17と同様に経路案内及び地図表示に必要な各種情報から構成されており、例えば、各新設道路を特定するための新設道路情報、地図を表示するための地図表示データ、各交差点に関する交差点データ、ノード点に関するノードデータ、施設の一種である道路(リンク)に関するリンクデータ、経路を探索するための探索データ、施設の一種である店舗等のPOIに関する店舗データ、地点を検索するための検索データ等から構成されている。
そして、ナビ側地図情報DB37の内容は、地図情報配信センタ3から通信装置27を介して配信された差分データやCD−ROM6に記録された更新用地図情報等の更新情報をダウンロードすることによって更新される。
【0043】
また、図2に示すように、ナビゲーション装置2を構成するナビゲーション制御部23は、ナビゲーション装置2の全体の制御を行う演算装置及び制御装置としてのCPU41、並びにCPU41が各種の演算処理を行うに当たってワーキングメモリとして使用されるとともに、経路が探索されたときの経路データ等が記憶されるRAM42、制御用のプログラムのほか、後述のように公開鍵記憶部39に記憶する公開鍵を使用して更新用地図データに付された電子署名を検証してナビ地図情報38を更新する地図情報更新処理プログラム(図7参照)が記憶されたROM43、ROM43から読み出したプログラムを記憶するフラッシュメモリ44等の内部記憶装置や、時間を計測するタイマ45等を備えている。尚、前記RAM42、ROM43、フラッシュメモリ44等としては半導体メモリ、磁気コア等が使用される。そして、演算装置及び制御装置としては、CPU41に代えてMPU等を使用することも可能である。
【0044】
また、本実施例においては、前記ROM43に各種のプログラムが記憶され、前記データ記録部22に各種のデータが記憶されるようになっているが、プログラム、データ等を同じ外部記憶装置、メモリーカード等からプログラム、データ等を読み出して前記フラッシュメモリ44に書き込むこともできる。更に、メモリーカード等を交換することによって前記プログラム、データ等を更新することができる。
【0045】
更に、前記ナビゲーション制御部23には、操作部24、液晶ディスプレイ25、スピーカ26、通信装置27、読取部28の各周辺装置(アクチュエータ)が電気的に接続されている。
この操作部24は、走行開始時の現在地を修正し、案内開始地点としての出発地及び案内終了地点としての目的地を入力する際や施設に関する情報の検索を行う場合等に操作され、各種のキーや複数の操作スイッチから構成される。尚、操作部24としては、キーボード、マウス等や、液晶ディスプレイ25の前面に設けたタッチパネルによって構成することもできる。
また、液晶ディスプレイ25には、ナビ地図情報37Aに基づく地図が表示されて各リンク上の交通情報が表示される経路案内画面の他、操作案内、操作メニュー、キーの案内、現在地から目的地までの誘導経路、誘導経路に沿った案内情報、交通情報等が表示される。
【0046】
また、スピーカ26は、ナビゲーション制御部23からの指示に基づいて、誘導経路に沿った走行を案内する音声ガイダンス等を出力する。ここで、案内される音声ガイダンスとしては、例えば、「200m先、○○交差点を右方向です。」や、「地図データの更新ができません。」等がある。
そして、通信装置27は、情報配信センタ3と通信を行う携帯電話網等による通信手段であり、情報配信センタ3との間で最もバージョンの新しい更新地図情報等の送受信を行う。また、通信装置27は、情報配信センタ3に加えて、道路交通情報センタ(VICS)等から送信された渋滞情報やサービスエリアの混雑状況等の各情報から成る交通情報を受信する。
【0047】
次に、地図情報配信システム1の地図情報配信センタ3が生成する公開鍵と秘密鍵とについて図3に基づいて説明する。図3は地図情報配信システム1の地図情報配信センタ3における公開鍵と秘密鍵との生成を説明する説明図である。
図3に示すように、地図情報配信センタ3のCPU11は、5組の対となる公開鍵PK1〜PK5と秘密鍵SK1〜SK5を生成する。従って、秘密鍵SK1を使用した電子署名は、公開鍵PK1によって検証を通過する。また、各秘密鍵SK2〜SK5を使用した電子署名は、それぞれ対応する各公開鍵PK2〜PK5によって検証を通過する。
また、CPU11は、各公開鍵PK1〜PK5のそれぞれに1番から5番の使用優先順位を付与する。また、CPU1は、この各公開鍵PK1〜PK5に対応する各秘密鍵SK1〜SK5のそれぞれにも1番から5番の使用優先順位を付与する。また、CPU11は、各公開鍵PK1〜PK5及び各秘密鍵SK1〜SK5のそれぞれの鍵の状態を「有効」として設定する。
【0048】
そして、CPU11は、各秘密鍵SK1〜SK5を、それぞれの使用優先順位「1」〜「5」と鍵の状態「有効」とを付した状態で秘密鍵記憶部19Aに格納する。
また、CPU11は、各公開鍵PK1〜PK5を、それぞれの使用優先順位「1」〜「5」と鍵の状態「有効」とを付した状態でナビゲーション装置2に対して公開する。具体的には、CPU11は、生成した各公開鍵PK1〜PK5を、それぞれの使用優先順位「1」〜「5」と鍵の状態「有効」とを付した状態で、地図情報配信センタ3の管理者を介してナビゲーション装置2の製造業者に開示する。そして、ナビゲーション装置2の製造業者は、この開示された各公開鍵PK1〜PK5を、それぞれの使用優先順位「1」〜「5」と鍵の状態「有効」とを付した状態で、公開鍵記憶部39に格納する。これにより、ナビゲーション装置2のCPU41は、後述のように各公開鍵PK1〜PK5を使用することが可能になるとともに、各公開鍵PK1〜PK5のそれぞれの使用優先順位「1」〜「5」と鍵の状態「有効」とを知ることが可能になる。
【0049】
次に、前記構成を有する地図情報配信システム1において、地図情報配信センタ3のCPU11が、地図情報配信センタ3の管理者から現在使用している秘密鍵の「失効」を指示された場合に実行する秘密鍵更新処理について図4及び図5に基づいて説明する。
図4は地図情報配信センタ3のCPU11が、地図情報配信センタ3の管理者から現在使用している秘密鍵の「失効」を指示された場合に実行する秘密鍵更新処理を示すフローチャートである。図5は地図情報配信センタ3のCPU11が使用優先順位が1番の秘密鍵SK1を失効させた一例を示す図である。尚、図4にフローチャートで示されるプログラムは、地図情報配信センタ3のROM13に記憶されており、CPU11により所定時間毎(例えば、約10m秒〜100m秒毎である。)に実行される。
【0050】
図4に示すように、S11において、CPU11は、現在使用している秘密鍵の「失効」を指示する秘密鍵変更指示が入力されたか否かを判定する判定処理を実行する。
尚、各秘密鍵SK1〜SK5のうち、現在使用している使用優先順位が1番の秘密鍵が、第三者に解読された場合には、地図情報配信センタ3の管理者は、入力手段(不図示)を介して、この解読された秘密鍵を失効させるように指示する秘密鍵変更指示をCPU11に対して入力する。
そして、現在使用している秘密鍵の「失効」を指示する秘密鍵変更指示が入力されていない場合には(S11:NO)、CPU11は、当該処理を終了する。
【0051】
一方、現在使用している秘密鍵の「失効」を指示する秘密鍵変更指示が入力された場合には(S11:YES)、CPU11は、S12の処理に移行する。S12において、CPU11は、秘密鍵記憶部19Aに格納される各秘密鍵SK1〜SK5から現在、有効な秘密鍵のうち使用優先順位が1番の秘密鍵を失効させて、再度、秘密鍵記憶部19Aに格納する。
例えば、図5に示すように、各秘密鍵SK1〜SK5が全て「有効」な場合に、秘密鍵SK1の「失効」を指示する秘密鍵変更指示が入力されときは、CPU11は、使用優先順位が1番の秘密鍵SK1を「失効」させて、再度、秘密鍵記憶部19Aに格納する。
【0052】
そして、S13において、CPU11は、秘密鍵記憶部19Aに格納される各秘密鍵SK1〜SK5を読み出し、各秘密鍵SK1〜SK5のうち「有効」な秘密鍵の使用優先順位を順次繰り上げて、再度、秘密鍵記憶部19Aに格納後、当該処理を終了する。
例えば、図5に示すように、各秘密鍵SK1〜SK5のうち使用優先順位が1番目であった秘密鍵SK1が「失効」された場合には、当該秘密鍵SK1の使用優先順位を取り消すとともに、残りの各秘密鍵SK2〜SK5の優先順位を順次繰り上げて、秘密鍵SK2の使用優先順位を1番目に設定し、各秘密鍵SK3〜SK5の使用優先順位を2番目〜4番目に設定し、再度、秘密鍵記憶部19Aに格納する。これにより、CPU11は、後述のように、次回からの電子署名には、秘密鍵SK2を使用することとなる(図6参照)。
【0053】
従って、各秘密鍵SK1〜SK5は、それぞれに付された使用優先順位の順番に、順次「失効」されることとなる。そして、各秘密鍵SK1〜SK5のうち「有効」な秘密鍵の使用優先順位が順次繰り上げられる。
尚、各秘密鍵SK1〜SK5が「失効」される毎に、CPU11は、次に使用することとなる1対の公開鍵と秘密鍵とを生成して、予め鍵情報DB19に格納するようにしてもよい。そして、各ナビゲーション装置2に格納されるナビ地図情報38の全更新時に、新たに生成された公開鍵を公開するようにしてもよい。具体的には、販売店のPC5に全更新用地図情報を配信する際に、新たに公開された公開鍵を配信し、当該PC5の記録部5Aを介してCDーROM6に全更新用地図情報と共に、新たに公開された公開鍵を記録し、ナビゲーション装置2へ供給するようにしてもよい。
【0054】
次に、地図情報配信システム1において、地図情報配信センタ3のCPU11が、ナビゲーション装置2又はPC5から更新用地図情報の配信を要求された場合に実行する更新用地図情報配信処理について図6に基づいて説明する。図6は地図情報配信センタ3のCPU11が、ナビゲーション装置2又はPC5から更新用地図情報の配信を要求された場合に実行する更新用地図情報配信処理を示すフローチャートである。尚、図6にフローチャートで示されるプログラムは、地図情報配信センタ3のROM13に記憶されており、CPU11により実行される。
【0055】
図6に示すように、S111において、CPU11は、ナビゲーション装置2から更新用地図情報の配信要求と共にナビ識別IDを受信した場合、又は、PC5からナビゲーション装置2のユーザを識別するユーザIDを受信した場合には、このナビ識別ID又はユーザIDに対応して予め登録されている登録自宅位置を中心とする所定領域(例えば、自宅位置を中心とする約80km四方の領域である。)を差分データを抽出する配信対象エリアとして設定する。尚、ナビ識別ID又はユーザIDと共に、目的地の座標データを受信した場合には、当該目的地を中心とする所定領域(例えば、目的地の座標データを中心とする約50km四方の領域である。)を差分データを抽出する配信対象エリアとして設定する。
【0056】
そして、CPU11は、受信したナビ識別ID又はユーザIDで特定される地図情報の更新履歴に関する情報を更新履歴情報DB15から読み出して、この配信対象エリアの約2.5km×2.5km四方の各区画内におけるナビ識別IDで特定されるナビゲーション装置2又はユーザIDで特定されるナビゲーション装置2の現在のバージョンを抽出してRAM12に記憶する。そして、CPU11は、差分データ管理DB18から配信対象エリアの各区画内における最新バージョンの差分データを表す差分データファイル名を読み出し、この配信対象エリアの各区画内における当該ナビゲーション装置2の現在のバージョンと最新バージョンとの差分データファイル名を抽出してRAM12に記憶する。続いて、CPU11は、各差分データファイル名に対応する差分データを更新用地図情報17から読み出して、配信する更新用の配信地図データとしてRAM12に記憶する。
【0057】
そして、S112において、CPU11は、RAM12から更新用の配信地図データを読み出して、この配信地図データからハッシュ値を算出して、RAM12に記憶する。
例えば、図6に示すように、CPU11は、更新用の配信地図データ51からハッシュ値52を算出して、RAM12に記憶する。
【0058】
続いて、S113において、CPU11は、鍵情報DB19の秘密鍵記憶部19Aに記憶される各秘密鍵SK1〜SK5のうち使用優先順位が1番の「有効」な秘密鍵を選択して、RAM12に記憶する。
例えば、図5及び図6に示すように、秘密鍵SK1〜SK5のうち秘密鍵SK1が「失効」している場合には、CPU11は、使用優先順位が1番の「有効」な秘密鍵SK2を選択して、RAM12に記憶する。
【0059】
そして、S114において、CPU11は、RAM12から上記S112において算出したハッシュ値と上記S113で選択した使用優先順位が1番の「有効」な秘密鍵とを読み出し、このハッシュ値と秘密鍵とを使用して電子署名を作成する。
例えば、図6に示すように、CPU11は、ハッシュ値52と秘密鍵SK2とを使用して電子署名53を作成してRAM12に記憶する。
【0060】
続いてS115において、CPU11は、RAM12から更新用の配信地図データと上記S114で作成した電子署名とを読み出し、この更新用の配信地図データに電子署名を付して、ナビゲーション装置2又はPC5に配信する配信データを作成してRAM12に記憶する。
そして、S116において、CPU11は、RAM12から配信データを読み出し、上記S111で特定したナビ識別IDに対応するナビゲーション装置2又はユーザIDに対応するPC5へ当該配信データをセンタ側通信装置16を介して送信後、当該処理を終了する。
【0061】
これにより、ナビ識別IDに対応するナビゲーション装置2又はユーザIDに対応するPC5は、登録自宅位置又は目的地を中心とする所定領域の更新用の配信地図データに電子署名が付された配信データをネットワーク4を介して取得することができる。また、PC5は、この取得した配信データを記録部5Aを介して記録媒体としてのCD−ROM6にコンピュータ読み取り可能に記録することが可能となり、ユーザは、この配信データが記録されたCD−ROM6をナビゲーション装置2の読取部28に装着することによって、この配信データをナビゲーション装置2へ供給することが可能となる。
【0062】
例えば、図6に示すように、CPU11は、RAM12から更新用の配信地図データ51と電子署名53とを読み出し、この配信地図データ51に電子署名53を付して、ナビゲーション装置2又はPC5に配信する配信データ55を作成してRAM12に記憶する。そして、CPU11は、RAM12から当該配信データ55を読み出し、上記S111で特定したナビ識別IDに対応するナビゲーション装置2又はユーザIDに対応するPC5へ当該配信データをセンタ側通信装置16を介して送信する。
これにより、ナビ識別IDに対応するナビゲーション装置2又はユーザIDに対応するPC5は、登録自宅位置又は目的地を中心とする所定領域の更新用の配信地図データ51に電子署名53が付された配信データ55をネットワーク4を介して取得することができる。そして、PC5は、この取得した配信データ55を記録部5Aを介して記録媒体としてのCD−ROM6にコンピュータ読み取り可能に記録することが可能となり、ユーザは、この配信データ55が記録されたCD−ROM6をナビゲーション装置2の読取部28に装着することによって、この配信データ55をナビゲーション装置2へ供給することが可能となる。
【0063】
次に、地図情報配信システム1において、ナビゲーション装置2のCPU41が、ネットワーク4又はCDーROM6を介して、情報配信センタ3から配信された更新用の配信地図データ(以下、「更新用地図情報」という。)に電子署名が付された配信データを取得した場合に実行する地図情報更新処理について図7乃至図13に基づいて説明する。
図7はナビゲーション装置2のCPU41が、ネットワーク4又はCDーROM6を介して、情報配信センタ3から配信された更新用地図情報に電子署名が付された配信データを取得した場合に実行する地図情報更新処理を示すフローチャートである。尚、図7にフローチャートで示されるプログラムは、ナビゲーション装置2のROM43に記憶されており、CPU41により実行される。
【0064】
図7に示すように、S211において、CPU41は、公開鍵記憶部39に格納される各公開鍵PK1〜PK5から有効な公開鍵のうち、先ず、使用優先順位が1番目の公開鍵を読み出し、RAM42に記憶する。
例えば、図3に示すように、各公開鍵PK1〜PK5が全部「有効」な場合には、公開鍵記憶部39から、先ず、使用優先順位が1番目の公開鍵PK1を読み出し、RAM42に記憶する。
【0065】
そして、S212において、CPU41は、ネットワーク4又はCDーROM6を介して、情報配信センタ3から配信された配信データから電子署名を取り出し、RAM42に記憶する。その後、CPU41は、RAM42から使用優先順位が1番目の公開鍵と電子署名とを読み出し、この公開鍵で電子署名を復号して、復号データをRAM42に記憶する。
また、S213において、CPU41は、情報配信センタ3から配信された配信データから更新用地図情報を取り出し、この更新用地図情報からハッシュ値を算出しRAM42に記憶する。
【0066】
続いて、S214において、CPU41は、RAM42から電子署名の復号データと、更新用地図情報のハッシュ値とを読み出し、この復号データとハッシュ値が一致するか否かを判定する判定処理を実行する。そして、この復号データとハッシュ値が一致する場合、即ち、電子署名が検証を通過した場合には(S214:YES)、CPU41は、S215の処理に移行する。
S215において、CPU41は、電子署名は使用優先順位が1番目の公開鍵に対応する秘密鍵を使用して作成されたものであると判断し、即ち、情報配信センタ3から配信された配信データは正当な情報であると判断し、この配信データの更新用地図情報に更新許可フラグを付して、再度RAM42に記憶後、S217の処理に移行する。
【0067】
一方、電子署名の復号データと更新用地図情報のハッシュ値とが一致しない場合には(S214:NO)、CPU41は、当該電子署名は当該公開鍵による検証を通過しなかったと判断し、即ち、電子署名は使用優先順位が1番目の公開鍵に対応する秘密鍵を使用して作成されたものでないと判断して、S216の処理に移行する。
S216において、CPU41は、使用した公開鍵に対応する秘密鍵は第三者によって解読されていると判断し、この使用した公開鍵に「失効」の仮フラグ(以下、「失効仮フラグ」という。)を付してRAM42に記憶後、S217の処理に移行する。
S217において、CPU41は、RAM42から使用した公開鍵を読み出し、この公開鍵に失効仮フラグが付されている場合には、再度、S211以降のループを実行する。即ち、公開鍵記憶部39に格納される各公開鍵PK1〜PK5から有効な公開鍵のうち、この失効仮フラグが付された公開鍵の次の使用優先順位の公開鍵を公開鍵記憶部39から読み出し、RAM42に記憶後、S211以降のループを再度、実行する。
【0068】
一方、S217において、CPU41は、RAM42から使用した公開鍵を読み出し、この公開鍵に失効仮フラグが付されていない場合には、ループを終了してS218の処理に移行する。
S218において、CPU41は、RAM42から更新用地図情報を読み出し、この更新用地図情報による地図更新処理が許可状態か否か、即ち、この更新用地図情報に更新許可フラグが付されているか否かを判定する判定処理を実行する。
そして、この更新用地図情報に更新許可フラグが付されている場合には(S218:YES)、CPU41は、S219の処理に移行する。
S219において、CPU41は、RAM42に失効仮フラグが付された公開鍵が記憶されている場合には、この失効仮フラグが付された公開鍵を読み出し、この公開鍵を失効させて、再度、公開鍵記憶部39に格納する。また、CPU41は、各公開鍵PK1〜PK5のうち「有効」な公開鍵の使用優先順位を順次繰り上げて、再度、公開鍵記憶部39に格納する。その後、CPU41は、S220の処理に移行する。
【0069】
ここで、このS219の処理の一例を図8乃至図10に基づいて説明する。
図8は「有効」な公開鍵PK1を使用した電子署名の復号データと更新用地図情報のハッシュ値とが一致した場合に、公開鍵記憶部39に格納される各公開鍵PK1〜PK5の状態を示す図である。図9は「有効」な公開鍵PK1を使用した電子署名の復号データと更新用地図情報のハッシュ値とが一致せず、「有効」な公開鍵PK2を使用した電子署名の復号データと更新用地図情報のハッシュ値とが一致した場合に、公開鍵記憶部39に格納される各公開鍵PK1〜PK5の状態を示す図である。図10は公開鍵PK1が「失効」し、「有効」な公開鍵PK2を使用した電子署名の復号データと更新用地図情報のハッシュ値とが一致した場合に、公開鍵記憶部39に格納される各公開鍵PK1〜PK5の状態を示す図である。
【0070】
先ず、図8に示すように、CPU41は、情報配信センタ3から配信された配信データから取り出した電子署名と、使用優先順位が1番目の「有効」な公開鍵PK1を使用して、この電子署名の復号データを生成する。そして、この電子署名の復号データと配信データから取り出した更新用地図情報から算出したハッシュ値とが一致した場合、即ち、電子署名が検証を通過した場合には、CPU41は、電子署名は使用優先順位が1番目の公開鍵PK1に対応する秘密鍵SK1を使用して作成されたものであると判断し、即ち、情報配信センタ3から配信された配信データは正当な情報であると判断し、この配信データの更新用地図情報に更新許可フラグを付して、再度RAM42に記憶する。また、CPU41は、使用優先順位が1番目の公開鍵PK1は「有効」な公開鍵であると判断し、各公開鍵PK1〜PK5の鍵の状態を「有効」とし、それぞれに1番から5番の使用優先順位を付与した状態で公開鍵記憶部39に格納する。
【0071】
また、図9に示すように、CPU41は、情報配信センタ3から配信された配信データから取り出した電子署名と、使用優先順位が1番目の「有効」な公開鍵PK1を使用して、この電子署名の復号データを生成する。そして、この電子署名の復号データと配信データから取り出した更新用地図情報から算出したハッシュ値とが一致しない場合、即ち、電子署名が検証を通過しない場合には、CPU41は、使用優先順位が1番目の公開鍵PK1に失効仮フラグを付してRAM42に記憶する。続いて、CPU41は、この電子署名と使用優先順位が2番目の「有効」な公開鍵PK2を使用して、この電子署名の復号データを生成する。そして、この電子署名の復号データと配信データから取り出した更新用地図情報から算出したハッシュ値とが一致した場合、即ち、電子署名が検証を通過した場合には、CPU41は、使用優先順位が2番目の公開鍵PK2に対応する秘密鍵SK2を使用して作成されたものであると判断し、即ち、情報配信センタ3から配信された配信データは正当な情報であると判断し、この配信データの更新用地図情報に更新許可フラグを付して、再度RAM42に記憶する。また、CPU41は、RAM42から失効仮フラグが付された公開鍵PK1を読み出し、この公開鍵PK1を失効させて、再度、公開鍵記憶部39に格納する。また、CPU41は、「有効」な各公開鍵PK2〜PK5の使用優先順位を順次繰り上げて、再度、公開鍵記憶部39に格納する。従って、図9に示すように、公開鍵PK2の使用優先順位が1番に設定され、各公開鍵PK3〜PK5の使用優先順位が2番〜4番に設定される。
【0072】
また、図10に示すように、公開鍵PK1が「失効」している場合には、CPU41は、情報配信センタ3から配信された配信データから取り出した電子署名と、使用優先順位が1番目の「有効」な公開鍵PK2を使用して、この電子署名の復号データを生成する。そして、この電子署名の復号データと配信データから取り出した更新用地図情報から算出したハッシュ値とが一致した場合、即ち、電子署名が検証を通過した場合には、CPU41は、使用優先順位が1番目の公開鍵PK2に対応する秘密鍵SK2を使用して作成されたものであると判断し、即ち、情報配信センタ3から配信された配信データは正当な情報であると判断し、この配信データの更新用地図情報に更新許可フラグを付して、再度RAM42に記憶する。また、CPU41は、使用優先順位が1番目の公開鍵PK2は「有効」な公開鍵であると判断し、各公開鍵PK2〜PK5の鍵の状態を「有効」とし、それぞれに1番から4番の使用優先順位を付与した状態で公開鍵記憶部39に格納する。
【0073】
そして、図7に示すように、S220において、CPU41は、情報配信センタ3から配信された配信データから取り出した更新用地図情報、即ち、差分データをRAM42から読み出し、ナビ地図情報38の配信対象エリア(例えば、自宅位置を中心とする約80km四方の領域である。)の地図情報を最新バージョンの地図情報に更新後、当該処理を終了する。
【0074】
他方、上記S218で更新用地図情報による地図更新処理が許可状態でない、即ち、この更新用地図情報に更新許可フラグが付されていない場合には(S218:NO)、CPU41は、情報配信センタ3から配信された配信データが不当な情報であると判断し、S221の処理に移行する。
S221において、CPU41は、RAM42から失効仮フラグが付された各公開鍵を読み出し、この各公開鍵に付された失効仮フラグを全てはずして、当該公開鍵を「有効」な公開鍵として公開鍵記憶部39に格納する。
続いて、S222において、CPU41は、情報配信センタ3から配信された配信データは不当な情報であるため、ナビ地図情報38の配信対象エリア(例えば、自宅位置を中心とする約80km四方の領域である。)の地図情報を最新バージョンの地図情報に更新できない旨を報知後、当該処理を終了する。例えば、CPU41は、液晶ディスプレイ25に「地図更新に失敗しました。」と表示するとともに、スピーカ26を介して「地図データの更新ができません。」と音声案内を行う。
【0075】
ここで、上記S211〜S217の処理において、公開鍵記憶部39に格納される「有効」な公開鍵の全てに失効仮フラグが付されて、電子署名が検証を通過しない一例を図11乃至図13に基づいて説明する。
【0076】
先ず、取得した配信データから取り出した電子署名が失効した秘密鍵SK1を使用して作成されたものである場合に、電子署名が検証を通過しない一例について図11に基づいて説明する。図11は取得した配信データから取り出した電子署名が失効した秘密鍵SK1を使用して作成されたものである場合に、電子署名が検証を通過しない一例を示す図である。
【0077】
図11に示すように、取得した配信データから取り出した電子署名が失効した秘密鍵SK1を使用して作成されたものである場合、即ち、公開鍵PK1が「失効」している場合には、CPU41は、情報配信センタ3から配信された配信データから取り出した電子署名と、使用優先順位が1番目の「有効」な公開鍵PK2を使用して、この電子署名の復号データを生成する。そして、この電子署名の復号データと配信データから取り出した更新用地図情報から算出したハッシュ値とが一致せず、即ち、電子署名は検証を通過しないため、CPU41は、使用優先順位が1番目の公開鍵PK2に失効仮フラグを付してRAM42に記憶する。同様に、CPU41は、「有効」な各公開鍵PK3〜PK5を順番に使用して、この電子署名の復号データを生成する。そして、この電子署名の各復号データと更新用地図情報から算出したハッシュ値とがいずれも一致せず、即ち、電子署名は検証を通過しないため、CPU41は、各公開鍵PK3〜PK5に失効仮フラグを付してRAM42に記憶する。
【0078】
そして、上記S218において、CPU41は、情報配信センタ3から配信された配信データが不当な情報であると判断した後、S221に移行して、各公開鍵PK2〜PK5に付された失効仮フラグを全てはずして、当該各公開鍵PK2〜PK5を「有効」な公開鍵として公開鍵記憶部39に再度、格納する。
【0079】
次に、取得した配信データから取り出した更新用地図情報のデータが通信異常で破壊又は改ざんされたものである場合に、電子署名が検証を通過しない一例について図12に基づいて説明する。図12は取得した配信データから取り出した更新用地図情報のデータが通信異常で破壊又は改ざんされたものである場合に、電子署名が検証を通過しない一例を示す図である。
【0080】
図12に示すように、各公開鍵PK1〜PK5が全て有効で、取得した配信データから取り出した更新用地図情報のデータが通信異常で破壊又は改ざんされたものである場合には、CPU41は、情報配信センタ3から配信された配信データから取り出した電子署名(秘密鍵SK1を使用して作成された電子署名である。)と、使用優先順位が1番目の「有効」な公開鍵PK1を使用して、この電子署名の復号データを生成する。そして、この電子署名の復号データと、配信データから取り出した破壊又は改ざんされた更新用地図情報から算出したハッシュ値とが一致せず、即ち、電子署名は検証を通過しないため、CPU41は、使用優先順位が1番目の公開鍵PK1に失効仮フラグを付してRAM42に記憶する。同様に、CPU41は、「有効」な各公開鍵PK2〜PK5を順番に使用して、この電子署名の復号データを生成する。そして、この電子署名の各復号データと破壊又は改ざんされた更新用地図情報から算出したハッシュ値とがいずれも一致せず、即ち、電子署名は検証を通過しないため、CPU41は、各公開鍵PK2〜PK5に失効仮フラグを付してRAM42に記憶する。
【0081】
そして、上記S218において、CPU41は、情報配信センタ3から配信された配信データが不当な情報であると判断した後、S221に移行して、各公開鍵PK1〜PK5に付された失効仮フラグを全てはずして、当該各公開鍵PK1〜PK5を「有効」な公開鍵として公開鍵記憶部39に再度、格納する。
【0082】
次に、取得した配信データから取り出した電子署名が各秘密鍵SK1〜SK5以外の秘密鍵を使用して作成されたものである場合に、この電子署名が検証を通過しない一例について図13に基づいて説明する。図13は取得した配信データから取り出した電子署名が各秘密鍵SK1〜SK5以外の秘密鍵を使用して作成されたものである場合に、この電子署名が検証を通過しない一例を示す図である。
【0083】
図13に示すように、各公開鍵PK1〜PK5が全て有効で、取得した配信データから取り出した電子署名が各秘密鍵SK1〜SK5以外の秘密鍵を使用して作成されたものである場合には、CPU41は、情報配信センタ3から配信された配信データから取り出した電子署名と、使用優先順位が1番目の「有効」な公開鍵PK1を使用して、この電子署名の復号データを生成する。そして、この電子署名の復号データと、配信データから取り出した更新用地図情報から算出したハッシュ値とが一致せず、即ち、電子署名は検証を通過しないため、CPU41は、使用優先順位が1番目の公開鍵PK1に失効仮フラグを付してRAM42に記憶する。同様に、CPU41は、「有効」な各公開鍵PK2〜PK5を順番に使用して、この電子署名の復号データを生成する。そして、この電子署名の各復号データと更新用地図情報から算出したハッシュ値とがいずれも一致せず、即ち、電子署名は検証を通過しないため、CPU41は、各公開鍵PK2〜PK5に失効仮フラグを付してRAM42に記憶する。
【0084】
そして、上記S218において、CPU41は、情報配信センタ3から配信された配信データが不当な情報であると判断した後、S221に移行して、各公開鍵PK1〜PK5に付された失効仮フラグを全てはずして、当該各公開鍵PK1〜PK5を「有効」な公開鍵として公開鍵記憶部39に再度、格納する。
【0085】
以上詳細に説明した通り、本実施例に係る地図情報配信システム1では、情報配信センタ3のCPU11は、5組の対となる公開鍵PK1〜PK5と秘密鍵SK1〜SK5を生成して、この各公開鍵PK1〜PK5と各秘密鍵SK1〜SK5のそれぞれに1番から5番の使用優先順位を付与する。そして、情報配信センタ3のCPU11は、この使用優先順位が付された各秘密鍵SK1〜SK5を秘密鍵記憶部19Aに格納する。また、情報配信センタ3のCPU11は、この使用優先順位が付された各公開鍵PK1〜PK5をナビゲーション装置2へ公開する。そして、情報配信センタ3のCPU11は、更新用地図情報からハッシュ値を算出し、このハッシュ値と秘密鍵記憶部19Aに格納する使用優先順位が1番目の秘密鍵とを使用して電子署名を作成し、この電子署名を更新用地図情報に付した配信データを作成して、ネットワーク4を介してナビゲーション装置2又はPC5へ配信する(S111〜S116)。
また、ナビゲーション装置2のCPU41は、情報配信センタ3によって公開された使用優先順位が付された各公開鍵PK1〜PK5を公開鍵記憶部39に格納する。そして、ナビゲーション装置2のCPU41は、情報配信センタ3から配信された配信データから電子署名を抽出し、各公開鍵PK1〜PK5のうち「有効」な公開鍵を使用優先順位の順番に使用して、この電子署名の復号データを作成し、更新用地図情報から算出したハッシュ値と一致するか否かによって、この電子署名を順次検証する。そして、ナビゲーション装置2のCPU41は、電子署名が検証を通過した場合には、この配信データを情報配信センタ3から配信された正当な情報であるとして判断する(S211〜S217)。
【0086】
これにより、情報配信センタ3のCPU11は、使用優先順位が付された各秘密鍵SK1〜SK5のうち使用優先順位が1番目の「有効」な秘密鍵を使用して電子署名を作成し、この電子署名を更新用地図情報に付して配信データを作成して配信するため、配信する更新用地図情報の情報セキュリティを確保することが可能になる。また、予め5個の秘密鍵SK1〜SK5を秘密鍵記憶部19Aに格納しているため、使用優先順位が1番目の秘密鍵が第三者に解読された場合には、残りの秘密鍵に迅速に切り替えることが可能となる。
また、ナビゲーション装置2のCPU11は、公開鍵記憶部39に格納される各公開鍵PK1〜PK5のうち使用優先順位が1番目の公開鍵によって、情報配信センタ3から配信された配信データから抽出した電子署名を検証して、この電子署名が検証を通過しなくても、信頼できる第三者機関による認証局から新たな公開鍵の公開を受けること無く、次の使用優先順位の公開鍵によって該電子署名を検証することが可能となり、電子署名の検証の迅速化及びコストの削減化を図ることが可能となる。また、ナビゲーション装置2のCPU41は、情報配信センタ3によって公開された各公開鍵PK1〜PK5を使用して、当該電子署名が検証を通過した場合には、この配信データを情報配信センタ3から配信された正当な情報であるとして判断するため、ナビゲーション装置2への更新用地図情報の配信に関する情報セキュリティを確保することが可能となる。
【0087】
また、情報配信センタ3のCPU11は、秘密鍵記憶部19Aに格納する使用優先順位が1番目の秘密鍵が第三者によって解読された場合には、この使用優先順位が1番目の秘密鍵を失効させると共に、残りの秘密鍵の使用優先順位を順次繰り上げて、秘密鍵記憶部19Aに再度、格納する(S11〜S13)。
これにより、使用優先順位が1番目の秘密鍵が第三者によって解読された場合には、この解読された使用優先順位が1番目の秘密鍵が失効されるため、第三者によって解読された秘密鍵の使用を迅速に中止することができ、ナビゲーション装置2へ配信する更新用地図情報の情報セキュリティを確保することが可能となる。また、使用優先順位が1番目の秘密鍵が失効された場合には、残りの秘密鍵の使用優先順位を順次繰り上げて、秘密鍵記憶部19Aに再度、格納するため、迅速に使用優先順位が1番目の秘密鍵を切り替えて、更新用地図情報から算出されるハッシュ値から電子署名を作成することが可能となる。
【0088】
また、ナビゲーション装置2のCPU41は、各公開鍵PK1〜PK5のうち「有効」な公開鍵を使用優先順位の順番に使用して電子署名を順次検証し、この電子署名が検証を通過するまでに当該検証を通過しなかった公開鍵がある場合には、当該検証を通過しなかった公開鍵に失効仮フラグを付してRAM42に記憶する。そして、CPU41は、配信データから抽出した電子署名が検証を通過した場合には、この失効仮フラグが付された公開鍵を失効させると共に、残りの公開鍵の使用優先順位を順次繰り上げて、再度公開鍵記憶部39に格納する。(S214:NO〜S219)。
これにより、情報配信センタ3のCPU11が、秘密鍵記憶部19Aに格納する使用優先順位が1番目の秘密鍵が第三者によって解読された場合に、この解読された秘密鍵を失効させて、残りの秘密鍵の使用優先順位を順次繰り上げて、秘密鍵記憶部19Aに再度、格納後、この使用優先順位が1番目の秘密鍵に切り替えて電子署名を行っても、ナビゲーション装置2のCPU41は、情報配信センタ3から解読された秘密鍵に対応する公開鍵の通知を受けることなく、この解読された秘密鍵に対応する公開鍵を確実に失効させることが可能となる。また、ナビゲーション装置2のCPU41は、解読された秘密鍵に対応する公開鍵を失効させた場合には、信頼できる第三者機関による認証局から新たな公開鍵の公開を受けることなく、各公開鍵PK1〜PK5のうち残りの「有効」な公開鍵の使用優先順位を順次繰り上げて、「有効」な公開鍵を使用優先順位の順番に使用して、配信データから抽出した電子署名の検証をスムーズに行うことが可能となる。
【0089】
また、ナビゲーション装置2のCPU41は、各公開鍵PK1〜PK5のうち「有効」な公開鍵を使用優先順位の順番に使用して、配信データから抽出した電子署名を順次検証し、電子署名が検証を通過しない場合には、使用した各公開鍵に順次失効仮フラグを付してRAM42に記憶する。そして、この電子署名が「有効」ないずれの公開鍵を使用しても検証を通過しない場合には、各公開鍵に付された失効仮フラグを全てはずして、当該公開鍵を「有効」な公開鍵として公開鍵記憶部39に格納する。また、CPU41は、取得した当該配信データを不当な情報であると判断する(S214:NO〜S216〜S221)。
これにより、悪意のある第三者が、情報配信センタ3が所有する秘密鍵と異なる秘密鍵で更新用地図情報に電子署名を付した場合には、全ての有効な公開鍵による検証が通過しないため各公開鍵に失効仮フラグが付されるが、この失効仮フラグを全て取り消すことによって、全ての「有効」な公開鍵の有効性を維持することができると共に、当該配信データを不当な情報であると判断することによって、配信される更新用地図情報の情報セキュリティを確保することができる。
【0090】
更に、情報配信センタ3のCPU11は、ナビゲーション装置2又はPC5へ配信する更新用地図情報からハッシュ値を作成し、このハッシュ値と秘密鍵記憶部19Aに格納する使用優先順位が1番目の秘密鍵とを使用して電子署名を作成する。また、ナビゲーション装置2のCPU41は、取得した配信データから抽出した電子署名に対して各公開鍵PK1〜PK5のうち有効な公開鍵を使用優先順位の順番に使用して、電子署名を復号した復号データを作成する。そして、ナビゲーション装置2のCPU41は、取得した配信データから抽出した更新用地図情報からハッシュ値を作成し、このハッシュ値と復号データとが一致した場合には、電子署名の検証を通過させ、該ハッシュ値と復号データとが一致しない場合には、電子署名の検証を通過させない。
これにより、情報配信センタ3のCPU11は、配信する更新用地図情報から算出したハッシュ値と、秘密鍵記憶部19Aに格納される使用優先順位が1番目の「有効」な秘密鍵とを使用して電子署名を作成するため、電子署名の作成の迅速化を図ることが可能となる。また、ナビゲーション装置2のCPU41は、悪意のある第三者が、情報配信センタ3が所有する各秘密鍵SK1〜SK5と異なる秘密鍵で更新用地図情報に電子署名を付した場合だけでなく、電子署名を変更することなく、更新用地図情報を改ざんした場合にも、更新用地図情報から算出したハッシュ値と復号データとが一致しない場合には、電子署名の検証を通過させないことによって、当該更新用地図情報の改ざんを検出して、更新用地図情報の情報セキュリティを確保することが可能となる。
【0091】
尚、本発明は前記実施例に限定されるものではなく、本発明の要旨を逸脱しない範囲内で種々の改良、変形が可能であることは勿論である。
【0092】
例えば、ナビゲーション装置2に通信装置27が設けられていない場合には、当該ナビゲーション装置2のユーザは、PC5を介して更新用地図情報の配信要求と共に、情報配信センタ3に予め登録している当該ユーザを識別するユーザIDを情報配信センタ3へネットワーク4を通じて送信するようにしてもよい。これにより、PC5は、情報配信センタ3から当該ユーザの登録自宅位置又は目的地を中心とする所定領域の更新用地図情報に電子署名が付された配信データをネットワーク4を介して取得することができる。また、PC5は、この取得した配信データを記録部5Aを介して記録媒体としてのCD−ROM6にコンピュータ読み取り可能に記録し、ナビゲーション装置2の読取部28に装着することによって、通信装置27を有しないナビゲーション装置2へ更新用地図情報を供給することが可能となる。
【図面の簡単な説明】
【0093】
【図1】本実施例に係る地図情報配信システムを示したブロック図である。
【図2】地図情報配信システムのナビゲーション装置を示したブロック図である。
【図3】地図情報配信システムの地図情報配信センタにおける公開鍵と秘密鍵との生成を説明する説明図である。
【図4】地図情報配信センタのCPUが、地図情報配信センタの管理者から現在使用している秘密鍵の「失効」を指示された場合に実行する秘密鍵更新処理を示すフローチャートである。
【図5】地図情報配信センタのCPUが使用優先順位が1番の秘密鍵SK1を失効させた一例を示す図である。
【図6】地図情報配信センタのCPUが、ナビゲーション装置又はPCから更新用地図情報の配信を要求された場合に実行する更新用地図情報配信処理を示すフローチャートである。
【図7】ナビゲーション装置のCPUが、ネットワーク又はCDーROMを介して、情報配信センタから配信された更新用地図情報に電子署名が付された配信データを取得した場合に実行する地図情報更新処理を示すフローチャートである。
【図8】「有効」な公開鍵PK1を使用した電子署名の復号データと更新用地図情報のハッシュ値とが一致した場合に、公開鍵記憶部に格納される各公開鍵PK1〜PK5の状態を示す図である。
【図9】「有効」な公開鍵PK1を使用した電子署名の復号データと更新用地図情報のハッシュ値とが一致せず、「有効」な公開鍵PK2を使用した電子署名の復号データと更新用地図情報のハッシュ値とが一致した場合に、公開鍵記憶部に格納される各公開鍵PK1〜PK5の状態を示す図である。
【図10】公開鍵PK1が「失効」し、「有効」な公開鍵PK2を使用した電子署名の復号データと更新用地図情報のハッシュ値とが一致した場合に、公開鍵記憶部に格納される各公開鍵PK1〜PK5の状態を示す図である。
【図11】取得した配信データから取り出した電子署名が失効した秘密鍵SK1を使用して作成されたものである場合に、公開鍵記憶部に格納される各公開鍵PK1〜PK5の状態を示す図である。
【図12】取得した配信データから取り出した更新用地図情報のデータが通信異常で破壊又は改ざんされたものである場合に、公開鍵記憶部に格納される各公開鍵PK1〜PK5の状態を示す図である。
【図13】取得した配信データから取り出した電子署名が各秘密鍵SK1〜SK5以外の秘密鍵を使用して作成されたものである場合に、公開鍵記憶部に格納される各公開鍵PK1〜PK5の状態を示す図である。
【符号の説明】
【0094】
1 地図情報配信システム
2 ナビゲーション装置
3 地図情報配信センタ
4 ネットワーク
5 PC
5A 記録部
6 CD−ROM
10 サーバ
11、41 CPU
12、42 RAM
13、43 ROM
14 センタ側地図情報DB
15 更新履歴情報DB
16 センタ側通信装置
17 更新用地図情報
18 差分データ管理DB
19 鍵情報DB
19A 秘密鍵記憶部
22 データ記録部
23 ナビゲーション制御部
27 通信装置
28 読取部
37 ナビ側地図情報DB
38 ナビ地図情報
39 公開鍵記憶部
51 配信地図データ(更新用地図情報)
52 ハッシュ値
53 電子署名
55 配信データ
【特許請求の範囲】
【請求項1】
情報配信センタから配信される地図情報を検証するための公開鍵を使用優先順位を付して複数記憶する公開鍵記憶手段と、
前記情報配信センタから配信された前記地図情報に付された電子署名を抽出する電子署名抽出手段と、
前記複数の公開鍵を前記使用優先順位の順番に使用して前記電子署名を順次検証するように制御する検証制御手段と、
前記電子署名が検証を通過した場合には、前記地図情報を前記情報配信センタから配信された正当な情報であるとして判断する判断手段と、
を備えたことを特徴とするナビゲーション装置。
【請求項2】
前記検証制御手段は、前記電子署名が検証を通過するまでに当該検証を通過しなかった公開鍵がある場合には、当該検証を通過しなかった公開鍵を失効に設定するように制御することを特徴とする請求項1に記載のナビゲーション装置。
【請求項3】
前記検証制御手段は、前記検証を通過しなかった公開鍵を仮失効に設定する仮失効設定手段を有し、
該検証制御手段は、該電子署名が検証を通過した場合には、前記仮失効設定手段によって仮失効に設定された公開鍵を失効させると共に、残りの公開鍵の使用優先順位を順次繰り上げて、前記公開鍵記憶手段に再度記憶するように制御することを特徴とする請求項2に記載のナビゲーション装置。
【請求項4】
前記検証制御手段は、前記電子署名が検証を通過しない場合には、前記仮失効設定手段によって設定された仮失効を取り消すように制御し、
前記判断手段は、前記地図情報を不当な情報であると判断することを特徴とする請求項3に記載のナビゲーション装置。
【請求項5】
前記検証制御手段は、前記公開鍵記憶手段に記憶される公開鍵を使用して前記電子署名を復号して復号データを作成する復号データ作成手段と、
前記地図情報からハッシュ値を作成するナビ側ハッシュ値作成手段と、
を有し、
該検証制御手段は、前記復号データと前記ハッシュ値とが一致した場合には検証を通過させ、前記復号データと前記ハッシュ値とが一致しない場合には検証を通過させないように制御することを特徴とする請求項1乃至請求項4のいずれかに記載のナビゲーション装置。
【請求項6】
地図情報を配信する情報配信センタと、ナビゲーション装置と、を備えた情報配信システムにおいて、
前記情報配信センタは、
複数対の公開鍵と秘密鍵を生成して前記複数対の公開鍵と秘密鍵に対して使用優先 順位を付する鍵生成手段と、
前記使用優先順位が付された複数の秘密鍵を記憶する秘密鍵記憶手段と、
前記秘密鍵記憶手段に記憶される前記使用優先順位が1番目の秘密鍵を使用して電 子署名を作成する電子署名作成手段と、
前記地図情報に前記電子署名を付して配信する配信手段と、
を有し、
該情報配信センタは、前記使用優先順位が付された複数の公開鍵をナビゲーション装置へ公開し、
前記ナビゲーション装置は、
前記情報配信センタによって公開された前記使用優先順位が付された複数の公開鍵 を記憶する公開鍵記憶手段と、
前記情報配信センタから配信された前記地図情報に付された電子署名を抽出する電 子署名抽出手段と、
前記複数の公開鍵を前記使用優先順位の順番に使用して前記電子署名を順次検証す るように制御する検証制御手段と、
前記電子署名が検証を通過した場合には、前記地図情報を前記情報配信センタから 配信された正当な情報であるとして判断する判断手段と、
を有することを特徴とする情報配信システム。
【請求項7】
前記検証制御手段は、前記電子署名が検証を通過するまでに当該検証を通過しなかった公開鍵がある場合には、当該検証を通過しなかった公開鍵を失効に設定するように制御することを特徴とする請求項6に記載の情報配信システム。
【請求項8】
前記検証制御手段は、前記検証を通過しなかった公開鍵を仮失効に設定する仮失効設定手段を有し、
該検証制御手段は、該電子署名が検証を通過した場合には、前記仮失効設定手段によって仮失効に設定された公開鍵を失効させると共に、残りの公開鍵の使用優先順位を順次繰り上げて、前記公開鍵記憶手段に再度記憶するように制御することを特徴とする請求項7に記載の情報配信システム。
【請求項9】
前記検証制御手段は、前記電子署名が検証を通過しない場合には、前記仮失効設定手段によって設定された仮失効を取り消すように制御し、
前記判断手段は、前記地図情報を不当な情報であると判断することを特徴とする請求項8に記載の情報配信システム。
【請求項10】
前記電子署名作成手段は、前記地図情報からハッシュ値を作成するセンタ側ハッシュ値作成手段を有し、
該電子署名作成手段は、前記ハッシュ値と前記秘密鍵記憶手段に記憶される前記使用優先順位が1番目の秘密鍵とを使用して電子署名を作成し、
前記検証制御手段は、前記公開鍵記憶手段に記憶される公開鍵を使用して前記電子署名を復号して復号データを作成する復号データ作成手段と、
前記地図情報からハッシュ値を作成するナビ側ハッシュ値作成手段と、を有し、
該検証制御手段は、前記復号データと前記ハッシュ値とが一致した場合には検証を通過させ、前記復号データと前記ハッシュ値とが一致しない場合には検証を通過させないように制御することを特徴とする請求項6乃至請求項9のいずれかに記載の情報配信システム。
【請求項1】
情報配信センタから配信される地図情報を検証するための公開鍵を使用優先順位を付して複数記憶する公開鍵記憶手段と、
前記情報配信センタから配信された前記地図情報に付された電子署名を抽出する電子署名抽出手段と、
前記複数の公開鍵を前記使用優先順位の順番に使用して前記電子署名を順次検証するように制御する検証制御手段と、
前記電子署名が検証を通過した場合には、前記地図情報を前記情報配信センタから配信された正当な情報であるとして判断する判断手段と、
を備えたことを特徴とするナビゲーション装置。
【請求項2】
前記検証制御手段は、前記電子署名が検証を通過するまでに当該検証を通過しなかった公開鍵がある場合には、当該検証を通過しなかった公開鍵を失効に設定するように制御することを特徴とする請求項1に記載のナビゲーション装置。
【請求項3】
前記検証制御手段は、前記検証を通過しなかった公開鍵を仮失効に設定する仮失効設定手段を有し、
該検証制御手段は、該電子署名が検証を通過した場合には、前記仮失効設定手段によって仮失効に設定された公開鍵を失効させると共に、残りの公開鍵の使用優先順位を順次繰り上げて、前記公開鍵記憶手段に再度記憶するように制御することを特徴とする請求項2に記載のナビゲーション装置。
【請求項4】
前記検証制御手段は、前記電子署名が検証を通過しない場合には、前記仮失効設定手段によって設定された仮失効を取り消すように制御し、
前記判断手段は、前記地図情報を不当な情報であると判断することを特徴とする請求項3に記載のナビゲーション装置。
【請求項5】
前記検証制御手段は、前記公開鍵記憶手段に記憶される公開鍵を使用して前記電子署名を復号して復号データを作成する復号データ作成手段と、
前記地図情報からハッシュ値を作成するナビ側ハッシュ値作成手段と、
を有し、
該検証制御手段は、前記復号データと前記ハッシュ値とが一致した場合には検証を通過させ、前記復号データと前記ハッシュ値とが一致しない場合には検証を通過させないように制御することを特徴とする請求項1乃至請求項4のいずれかに記載のナビゲーション装置。
【請求項6】
地図情報を配信する情報配信センタと、ナビゲーション装置と、を備えた情報配信システムにおいて、
前記情報配信センタは、
複数対の公開鍵と秘密鍵を生成して前記複数対の公開鍵と秘密鍵に対して使用優先 順位を付する鍵生成手段と、
前記使用優先順位が付された複数の秘密鍵を記憶する秘密鍵記憶手段と、
前記秘密鍵記憶手段に記憶される前記使用優先順位が1番目の秘密鍵を使用して電 子署名を作成する電子署名作成手段と、
前記地図情報に前記電子署名を付して配信する配信手段と、
を有し、
該情報配信センタは、前記使用優先順位が付された複数の公開鍵をナビゲーション装置へ公開し、
前記ナビゲーション装置は、
前記情報配信センタによって公開された前記使用優先順位が付された複数の公開鍵 を記憶する公開鍵記憶手段と、
前記情報配信センタから配信された前記地図情報に付された電子署名を抽出する電 子署名抽出手段と、
前記複数の公開鍵を前記使用優先順位の順番に使用して前記電子署名を順次検証す るように制御する検証制御手段と、
前記電子署名が検証を通過した場合には、前記地図情報を前記情報配信センタから 配信された正当な情報であるとして判断する判断手段と、
を有することを特徴とする情報配信システム。
【請求項7】
前記検証制御手段は、前記電子署名が検証を通過するまでに当該検証を通過しなかった公開鍵がある場合には、当該検証を通過しなかった公開鍵を失効に設定するように制御することを特徴とする請求項6に記載の情報配信システム。
【請求項8】
前記検証制御手段は、前記検証を通過しなかった公開鍵を仮失効に設定する仮失効設定手段を有し、
該検証制御手段は、該電子署名が検証を通過した場合には、前記仮失効設定手段によって仮失効に設定された公開鍵を失効させると共に、残りの公開鍵の使用優先順位を順次繰り上げて、前記公開鍵記憶手段に再度記憶するように制御することを特徴とする請求項7に記載の情報配信システム。
【請求項9】
前記検証制御手段は、前記電子署名が検証を通過しない場合には、前記仮失効設定手段によって設定された仮失効を取り消すように制御し、
前記判断手段は、前記地図情報を不当な情報であると判断することを特徴とする請求項8に記載の情報配信システム。
【請求項10】
前記電子署名作成手段は、前記地図情報からハッシュ値を作成するセンタ側ハッシュ値作成手段を有し、
該電子署名作成手段は、前記ハッシュ値と前記秘密鍵記憶手段に記憶される前記使用優先順位が1番目の秘密鍵とを使用して電子署名を作成し、
前記検証制御手段は、前記公開鍵記憶手段に記憶される公開鍵を使用して前記電子署名を復号して復号データを作成する復号データ作成手段と、
前記地図情報からハッシュ値を作成するナビ側ハッシュ値作成手段と、を有し、
該検証制御手段は、前記復号データと前記ハッシュ値とが一致した場合には検証を通過させ、前記復号データと前記ハッシュ値とが一致しない場合には検証を通過させないように制御することを特徴とする請求項6乃至請求項9のいずれかに記載の情報配信システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2008−175648(P2008−175648A)
【公開日】平成20年7月31日(2008.7.31)
【国際特許分類】
【出願番号】特願2007−8450(P2007−8450)
【出願日】平成19年1月17日(2007.1.17)
【出願人】(000100768)アイシン・エィ・ダブリュ株式会社 (3,717)
【出願人】(000003207)トヨタ自動車株式会社 (59,920)
【Fターム(参考)】
【公開日】平成20年7月31日(2008.7.31)
【国際特許分類】
【出願日】平成19年1月17日(2007.1.17)
【出願人】(000100768)アイシン・エィ・ダブリュ株式会社 (3,717)
【出願人】(000003207)トヨタ自動車株式会社 (59,920)
【Fターム(参考)】
[ Back to top ]