説明

認証システムおよび認証方法

【課題】機器の不正利用を排除できる認証システムおよび認証方法を提供する。
【解決手段】機器と接続し作業を行うための接続機器に対して、前記機器が認証情報要求を送信し、接続機器は、前記認証情報要求に現在位置情報を添付して認証センタに送信する。認証センタは、受信した現在位置情報から前記接続機器が特定のエリア内にあることを判断して認証情報を生成し、前記接続機器を介して前記機器に送信する。前記機器は、認証情報が想定される内容であった場合に前記接続機器との接続を許可する。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、機器の不正利用を排除できる認証システムおよび認証方法に関する。
【背景技術】
【0002】
近年、携帯電話や車載コンピュータなどの組込み機器には、ソフトウェアの高度化にともない、デバッグ機能や更新機能などの保守のための機能を搭載することが一般的になっている。
【0003】
デバッグ機能は、開発時に機器の動作を検証する目的や、故障した機器の解析を行うために使用される。また、更新機能は、ファームウェアのバージョンを新しくし、不具合の修正や機能を向上させるために使用される。
【0004】
これらの保守機能は、メーカによる保守作業等において使用されるが、一般の利用者は通常使用しない機能であり、通常の使用においては、利用者がこれらの機能にアクセスできないよう制限がかけられている場合が多い。特に、車載コンピュータは、自動車の制御を受け持つという特性上、パラメータ等の安易な変更が故障や事故につながる可能性がある。そのため、保守機能にアクセスするためには専用の機器を必要とし、一般の利用者が容易に触れることができない構造をとっている。
【0005】
特許文献1には、デバッグ装置とデバッグ対象機器との間で認証を行い、認証が成功した場合にのみ機器のデバッグ機能を有効にする技術が記載されている。特許文献1に係る発明では、デバッグ対象機器が、デバッグ装置から機器固有情報および認証子を受信し、デバッグ対象機器、デバッグ装置、およびデバッグ装置が有するデバッグプログラムの全てが正当なものであるかを検証する。三つのうち、いずれか一つでも正当なものであると確認できなかった場合は、デバッグを行うことができないため、例えば利用者が仮にデバッグプログラムのみを入手し、デバッグ装置と同等の機器を作ったとしても、デバッグを行うことができない。
【0006】
また、特許文献2および3には、機器にGPS(Global Positioning System)装置を
搭載し、取得した現在位置をあらかじめ記憶してあるエリアと照合することで、設定されたエリア外での起動を禁止させる技術が記載されている。特許文献2および3に係る発明によると、仮に機器が本来ある場所から盗難などにより流出した場合でも、設定されたエリアの外に出ると使用することができなくなるため、機器の不正な使用を防止することができる。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】国際公開第2008/117340号公報
【特許文献2】特開2006−215951号公報
【特許文献3】特開2006−99769号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
特許文献1に記載の、デバッグ装置とデバッグ対象装置の間で認証を行う方法では、デバッグ装置自体がメーカの開発拠点など本来の場所から盗難などによって持ち出された場合に対応することができないという問題がある。盗難などによってデバッグ装置が持ち出された場合、デバッグ対象機器は当該装置を認証してしまうため、不正利用、つまり、盗
難や転売などによって流出した機器が、保守を行うべきメーカ以外で使用されることを防止することができない。
【0009】
また、特許文献2および3に記載の、機器自体にGPSを内蔵し、指定された場所以外での使用を禁止する方法では、保守拠点が多く、当該保守拠点情報が頻繁に更新される場合、全てのデバッグ装置に最新の保守拠点情報を保持させなければならないという問題がある。自動車のように、修理工場などの保守拠点が数多く存在する場合、その全てをリスト化して保持させるか、デバッグ装置ごとに異なる保守拠点情報を記録しなければならないため、管理のためのコストがかかる。
【0010】
本発明は上記の問題点を考慮してなされたものであり、機器の不正利用を排除できる認証システムおよび認証方法を提供することを目的とする。
【課題を解決するための手段】
【0011】
上記目的を達成するために、本発明に係る認証システムでは、以下の手段により接続機器の認証を行う。
【0012】
本発明に係る認証システムは、機器と、機器と接続し通信を行うための接続機器と、認証センタと、からなる認証システムであって、前記機器は、接続機器に対して認証情報を要求する認証情報要求を送信する認証情報要求送信手段と、前記接続機器から前記認証情報要求に対応する認証情報を受信する認証情報受信手段と、前記受信した認証情報が想定される内容と一致する場合に前記接続機器との接続を許可する許可手段と、を有し、前記接続機器は、前記機器から前記認証情報要求を受信する認証情報要求受信手段と、接続機器の現在位置情報を取得する現在位置取得手段と、前記受信した認証情報要求および前記取得した現在位置情報を前記認証センタに送信するメッセージ送信手段と、前記認証センタから前記認証情報を受信し、前記機器に転送する認証情報転送手段と、を有し、前記認証センタは、前記接続機器から送信された前記認証情報要求および前記現在位置情報を受信するメッセージ受信手段と、前記接続機器の使用が許可された特定のエリアを記憶する有効位置記憶手段と、前記受信した前記現在位置情報から、前記接続機器が前記特定のエリア内にあることを判断するメッセージ確認手段と、前記接続機器が、前記特定のエリア内にある場合に、前記認証情報要求に対応する前記認証情報を生成し、前記接続機器に送信する認証情報送信手段と、を有することを特徴とする。
【0013】
本発明における機器は、接続機器に対して、当該接続機器が正当なものであることを示す認証情報を要求する。接続機器は、現在位置を取得して認証センタに送信し、認証センタは、接続機器の現在位置が許可されているエリア内にあった場合にのみ、認証情報を生成して接続機器に送信する。接続機器は、これを機器に送信することで、機器は、使用されようとしている接続機器が正当なものであることを確認することができる。このように構成することにより、盗難などによって接続機器の実物が流出した場合であっても、許可されたエリア外では当該接続機器を使用することができなくなる。
【0014】
また、前記メッセージ送信手段は、前記認証センタに対して、前記認証情報要求と前記現在位置情報とともに前記接続機器の個体識別子と電子署名を送信し、前記メッセージ確認手段は、前記追加された電子署名によって、前記現在位置情報が改変されていないことを確認し、また、前記接続機器の個体識別子が詐称されていないことを確認することを特徴としてもよい。
【0015】
電子署名を用いることにより、認証センタに送信されるデータが改変されておらず、また発信元が正しいことが保証される。また、電子署名は、秘密鍵が無い限り作ることができないため、接続機器の現在位置を偽ることができない。これにより、流出した接続機器
の使用を防止できるだけでなく、不正に改造された接続機器による認証の回避を防ぐことができるという利点がある。
【0016】
また、前記メッセージ送信手段は、前記認証センタに対して、前記認証情報要求と前記現在位置情報と前記個体識別子と前記電子署名とともに前記接続機器に対応する公開鍵を含んだ電子証明書を送信し、前記メッセージ確認手段は、前記追加された電子証明書より前記公開鍵を取得し、前記電子署名を復号することを特徴としてもよい。
【0017】
電子証明書を用いることにより、認証センタは、接続機器に対応する公開鍵を保持する必要がなくなるという利点がある。
【0018】
また、前記認証情報要求は、擬似乱数によって生成された数値を含み、前記認証情報送信手段は、前記機器と前記認証センタが共に有する共通鍵によって前記認証情報要求を変換することで前記認証情報を生成することを特徴としてもよい。
【0019】
機器は、擬似乱数によって生成された数値を送信し、認証センタは、機器と認証センタが共に持っている共通鍵を用いて当該数値を変換し、認証情報を生成する。これにより、機器は、認証情報が共通鍵を用いた変換によって生成されたものであることを確認することができる。この方式は、いわゆるチャレンジ・レスポンス認証方式と呼ばれており、認証時の通信内容が毎回変化するため、通信内容を取得しても共通鍵を推測することができないという利点がある。
【0020】
また、前記認証センタは、過去に認証した接続機器の位置情報を履歴として記憶する位置情報履歴記憶部をさらに有し、前記メッセージ確認手段は、前記位置情報履歴記憶部に記憶された位置情報の履歴を用いて前記特定のエリアを変更し、前記接続機器の現在位置情報が、前記変更されたエリア内にあることを判断することを特徴としてもよい。
【0021】
認証センタは、過去に接続機器が使用された位置情報を履歴として収集し、当該情報を用いて接続機器の位置判定を補正する。このように構成することにより、接続機器が定常的に使用される場所でのみ使用を許可するといった、より精度の高い位置判定を行うことが可能となる。
【発明の効果】
【0022】
本発明によれば、機器の不正利用を排除できる認証システムおよび認証方法を提供することができる。
【図面の簡単な説明】
【0023】
【図1】第1の実施形態に係るツール認証システムのブロック構成図である。
【図2】第1の実施形態に係るメッセージの内容を示した図である。
【図3】電子署名による認証の一例を示した概略図である。
【図4】第1の実施形態に係るセンタの有効位置記憶部の内容を表した図である。
【図5】第1の実施形態に係る対象機器のフローチャートである。
【図6】第1の実施形態に係るツールのフローチャートである。
【図7】第1の実施形態に係るセンタのフローチャートである。
【図8】第2の実施形態に係るツール認証システムのブロック構成図である。
【図9】第2の実施形態に係るセンタのツール位置履歴記憶部の内容を表した図である。
【図10】第2の実施形態に係るセンタのフローチャートである。
【発明を実施するための形態】
【0024】
(第1の実施形態)
本実施形態におけるツール認証システムの概要について説明する。なお、機器の解析や内容の更新のために使用されるデバッガ等の接続機器を以下においてツール、解析や更新の対象となる機器を対象機器と称する。
【0025】
本実施形態における対象機器は、チャレンジ・レスポンス認証のためのチャレンジ生成手段を有している。また、ツールは、対象機器が生成したチャレンジに、ツールの現在位置を示す位置情報を追加し、電子署名および電子証明書を添付したうえで、センタに暗号通信によって送信する機能を有している。これによりセンタは、送られてきた位置情報が示す場所にて、当該ツールが使用されようとしていることを把握することができる。
【0026】
センタは、受信したツールの現在位置と、動作が許可されている場所との距離を比較し、距離が一定以下の場合は、受信したチャレンジに対して共通鍵を用いてレスポンスを生成する。このレスポンスは、ツールを介して対象機器へ送信される。対象機器とセンタは同一の共通鍵を持っているため、対象機器は、受信したレスポンスが、送信したチャレンジから共通鍵を用いて生成されたものであることを確認することができる。
【0027】
対象機器は、受信したレスポンスが正当なものであるか検証し、正当なものであれば、ツールへの接続を許可する。このように構成することで、対象機器は、ツールが正当な位置で使用されている場合のみツールへの接続を許可するため、発明の目的を達成することができる。
【0028】
本実施形態に係るツール認証システムの構成を、図1を参照しながら説明する。
【0029】
対象機器30の構成について、自動車に内蔵されたECU(エレクトリックコントロールユニット)を例として説明する。共通鍵記憶部31は、共通鍵を記憶する手段である。対象機器30とセンタ10は、互いに同一の共通鍵を有しており、これにより、対象機器とセンタの間でチャレンジ・レスポンス認証を行うことができる。チャレンジ生成部33は、擬似乱数を生成する機能を有しており、これをチャレンジデータとして使用する。
【0030】
また、レスポンス確認部32は、ツール20からレスポンスを受信した際、当該レスポンスが、チャレンジ生成部33が生成したチャレンジから共通鍵を用いて生成されたものであることを確認する機能を有する。この検証は、チャレンジ生成部33が生成したチャレンジを、共通鍵記憶部31が有する共通鍵で変換し、変換内容と受信したレスポンスが同一であるか確認することで行われる。チャレンジの生成とレスポンスの検証は、CPUと記憶装置を有する組込みコンピュータによって行われてもよいし、不揮発メモリを有する電子回路によって行われてもよい。通信部34は、ツール20と通信を行う手段である。自動車用ECUには、OBD2と呼ばれる規格のポートが装備されており、通信部34は当該ポートを利用してツール20との有線接続を行う。
【0031】
ツール20の構成について、自動車のECU書き換えツールを例として説明する。通信部27は、前述のOBD2規格のコネクタを有する有線通信手段である。現在位置把握部24は、GPS受信機を有しており、緯度・経度といった現在位置情報を数値で取得する機能を有する。電子署名付与部25は、送信するデータに電子署名を付与する機能を有する。電子署名は、図3の概略図で示したように、取得した位置情報とチャレンジの双方をハッシュ化したデータを、秘密鍵記憶部26が有している秘密鍵で暗号化することで作成される。本実施形態では、送信データに、現在位置情報と対象機器30から受信したチャレンジを用いる。秘密鍵は秘密鍵記憶部26が保持している。メッセージ生成部22は、送信データと電子署名に、電子証明書を追加する機能を有する。電子証明書は、センタが当該ツールを認証したことを示すものであり、電子証明書記憶部23が保持している。こ
れらの各構成要素は、組込みコンピュータによって実現することが望ましい。暗号通信部21は、センタと無線通信を行う手段であり、携帯電話網やマルチチャネルアクセス無線を利用する通信モジュールなど、IPプロトコルを送受信できる手段によって実現される。
【0032】
ツール20が有する構成要素のうち、暗号通信部21と通信部27以外は、アクセス権が管理された保護ドメイン28に属している。保護ドメインとは、信頼性が確保されたプログラムのみが実行できる領域であり、外部のドメインからアクセスすることができないため、データの改ざんや攻撃からシステムを防御することができる。このような技術は、たとえばARM社のTrustZone(登録商標)テクノロジーを適用することによって実現することができる。
【0033】
センタ10の構成について説明する。ツール20と通信を行う暗号通信部16は、暗号通信部21と同様に、IPプロトコルを送受信する手段である。有効位置記憶部15は、ツールの使用が許可された位置情報を、図4の例で示したようなデータベースや表形式によって保持する手段である。メッセージ確認部14は、ツールからのメッセージを受信し、電子署名を検証したうえで、ツールの現在位置が有効な範囲にあるかを判定する手段である。現在位置の判定は、ツールから送信された位置情報と、有効位置記憶部15に記憶された位置情報とを比較して二点間の距離を算出し、それが有効範囲内であるかを判断することによって行われる。レスポンス生成部13は、ツールの現在位置が有効であると判断された場合に、受信したチャレンジと、共通鍵記憶部11が保持する共通鍵を用いてレスポンスを生成する手段である。以上の構成は、CPUと記憶装置を有するコンピュータによって構成されることが望ましい。
【0034】
ツールを対象機器に接続した場合の動作を、フローチャートを用いて説明する。図5は対象機器のフローチャート、図6はツールのフローチャート、図7はセンタのフローチャートである。対象機器30が、ツール20との接続を検知した場合、チャレンジ生成部33がチャレンジ・レスポンス認証のためのチャレンジデータを、擬似乱数を利用して生成する(S10)。生成されたチャレンジは、通信部34、通信部27を通してツール20へと送信される(S11)。
【0035】
ツール20では、現在位置把握部24が、GPS受信機によってツールの位置情報を取得する(S21)。本実施形態では、現在位置として緯度・経度の各情報を利用する。測位に成功した場合(S22)、電子署名付与部25が、取得した位置情報と、対象機器30から受信したチャレンジの双方に電子署名を付与する(S23)。
【0036】
データに電子署名が付加されると、メッセージ生成部22が、位置情報とチャレンジ、および作成した電子署名に電子証明書を添付し、送信データを作成する(以降、メッセージ生成部22によって作成されたデータをメッセージと称する)。電子証明書は、ツールの公開鍵、および、ツールの公開鍵をハッシュ化したデータをセンタの秘密鍵で暗号化した電子署名などから構成されており、電子証明書記憶部23が有している。また、メッセージ生成部22は、送信者情報として、ツール20が持っている一意な個体識別番号をメッセージに付加する。これらの処理により、センタへ送信されるメッセージの内容構成は図2のようになる。
【0037】
メッセージは、暗号通信部21を通してセンタへと送信される(S24)。暗号通信部21および暗号通信部16は、暗号化通信を行う手段であり、携帯電話網などの無線通信を利用して通信を行う。通信にはIPプロトコルを用い、暗号化はSSL(Secure Socket Layer)等によって実現することができる。センタは、メッセージに含まれる電子署名
と電子証明書を検証することで、通信相手がツール20であり、メッセージが改ざんされ
ていないことを確認することができる。
【0038】
センタは、暗号通信部16を通してメッセージを受信し、メッセージ確認部14によって電子署名を検証する。メッセージ確認部14は、メッセージに含まれる個体識別番号を取得し(S31)、メッセージに添付された電子証明書から当該個体識別番号に対応する公開鍵を取得する。具体的には、電子証明書に含まれている電子署名を、センタの公開鍵で復号する。復号結果と、電子証明書に含まれているツールの公開鍵をハッシュ化したものが一致すれば、ツール20から送信された公開鍵が正当なものであることが確認できる。
そして、メッセージから取得した電子署名を、公開鍵を用いて復号し、受信した位置情報およびチャレンジをハッシュ化したデータと照合する。取得した公開鍵は、ツール20のものであることが証明されているため、電子署名の検証結果が一致すれば、受信した位置情報およびチャレンジが、当該個体識別番号を持つツール20から送信されたものであることが確認できる(S32)。電子署名の検証に失敗した場合、センタは動作を終了する。
【0039】
メッセージの正当性が確認されると、メッセージ確認部14は、受信した位置情報と、有効位置記憶部15が記憶している位置情報との比較を行うため、有効位置記憶部15に記憶されている、ツールの動作を許可する位置(以降、有効位置と称する)の緯度・経度情報を取得する(S33)。有効位置情報は、図4のように、ツールの動作が許可された位置情報(緯度・経度)で構成されており、受信した位置情報と比較することで、ツールの現在位置が有効であるか否かを判定する。
【0040】
次にメッセージ確認部14は、許容する誤差を決定する(S34)。許容する誤差とは、有効位置情報と受信した位置情報との最大距離であり、たとえば誤差に500mという値が設定されていた場合、ツールから受信した位置情報が、有効位置が示す地点を中心とする半径500m以内であればツールが有効位置にあると判断する。
【0041】
ツールの位置情報、および有効位置情報は、互いに緯度経度の情報であるため、二地点間の距離は、たとえば数式1によって求めることができる。この結果の距離が、許容する誤差以内であれば位置情報は有効と判断する(S35)。許容する誤差以上であれば、位置情報は無効と判断してセンタは動作を終了する。
【数1】


【0042】
メッセージ確認部14が、ツールの位置情報が有効であると判断した場合、レスポンス生成部13が、共通鍵記憶部11から共通鍵を取得し、当該共通鍵を用いてチャレンジからレスポンスを生成する(S36)。次いで、生成されたレスポンスを、暗号通信部16、暗号通信部21を通してツール20へ送信する(S38)。
【0043】
ツール20は、センタから応答があった場合(S25)、センタよりレスポンスを受信し(S26)、当該レスポンスを、通信部27を通して対象機器30へ送信する(S27)。この一連の処理を行う暗号通信部21と通信部27が、本発明における認証情報転送手段に該当する。
【0044】
対象機器30がレスポンスを受信すると(S12)、レスポンス確認部32が、受信したレスポンスが正しいかを検証する。レスポンス確認部32は、共通鍵記憶部31が有している共通鍵を用いて、ステップS10にて生成したチャレンジを変換する(S13)。
次に、変換結果と受信したレスポンスを比較し(S14)、等しければセンタ10がツールを認証したということがわかるため、対象機器30は、ツール20との接続を許可する。レスポンスが返ってこない、またはレスポンスが想定していたものと異なっていた場合、対象機器30はツール20との接続を拒否する。
【0045】
対象機器30が接続を許可した場合、許可応答がツール20に送信され(S28)、ツールは操作を開始する。許可応答がなかった場合、ツールの動作は終了する。
【0046】
以上に示したように、本実施形態に係る対象機器は、ツールに対して、当該ツールが正当なものであることを示す認証情報を要求し、ツールが、現在位置を取得して認証センタに送信し、認証センタが、ツールが許可されているエリア内にある場合にのみ、認証情報を生成するという構成をとる。これにより、センタがツールの位置情報をもとに動作の可否を決定することができるようになり、ツールが不正に外部流出した場合でも、自動的にツールの利用を止めることができるようになる。
【0047】
また、ツールが有している、認証に必要な電子証明書、電子署名のための秘密鍵、および現在位置を取得する手段は、セキュリティが確保された保護ドメインに配置されるため、たとえばGPSが偽の位置情報を送信するようにするなど、ツールの不正改造も行うことができないという利点がある。同様に、電子署名を偽装することもできないため、個体識別番号を偽ることもできない。
【0048】
また、ツールの動作許可に必要なレスポンスはセンタにて生成するため、ツール自体を作製してもレスポンスを得ることができず、対象機器と接続することができないという利点がある。たとえば、自動車の保守ツールを模して、セキュリティ装置をリセットする機能を有するツールを作製したとしても、センタからの認証を得られない限り車両が接続を拒否するため、車両盗難を防止することができる。
【0049】
なお、本実施形態においてはチャレンジ・レスポンス認証を使用しているが、固定パスワードなど他の認証方法を用いてもよい。また、センタがツールの動作を許可しない場合、無応答ではなく、チャレンジに対して無効なレスポンスを応答として返すようにしてもよい。
【0050】
また、本実施形態においては、センタに送信されるメッセージの内容が改変または詐称されていないことを保証するために、電子署名とツールの個体識別番号を使用しているが、メッセージ内容の改変または詐称を防止する必要がない場合は使用しなくてもよい。また、電子署名について、公開鍵暗号方式による確認方法を記載したが、他の暗号方式を用いてもよい。
【0051】
また、本実施形態においては、ツールに対応する公開鍵が正しいものであることを保証するために電子証明書を使用しているが、公開鍵の正当性が確認できている場合は使用しなくてもよい。この場合、公開鍵は、リポジトリなど別途公開鍵を保持する手段から取得する必要がある。また、電子証明書を使用する場合は、外部の認証機関を利用してもよい。外部の認証機関を利用する場合、電子証明書記憶部23が有する電子証明書内の電子署名は、認証機関の秘密鍵を用いて作成され、メッセージ確認部14は、当該認証機関の公開鍵を用いてツールに対応する公開鍵の検証を行う。また、電子証明書は、例示した公開鍵と電子署名のほか、認証機関の情報やツールに関する情報などを有していてもよい。
【0052】
また、位置情報から距離情報への変換には、数式1を用いたが、これ以外の数式を用いてもよいし、許容する誤差をメートルではなく緯度・経度によって保持してもよい。この場合、緯度・経度同士の演算によって有効位置の範囲を決定する。
【0053】
また、第1の実施形態においては、ツールが、設定された座標を中心とする一定の半径内にある場合に有効位置にあると判断しているが、たとえば、複数の座標を保持し、前記複数の座標を結んだ線から一定距離内の領域を有効位置とし、また前記複数の座標を直線で囲んだ領域を有効位置とするなど、他の方法によって判断をしてもよい。
【0054】
また、有効位置記憶部には、ツールの位置情報に加え、個体識別番号単位で動作を許可するフィールドを設けてもよい。
【0055】
(第1の実施形態についての変形例)
第1の実施形態においては、ツール20はGPSによる位置情報をセンタ10に送信し、現在位置による認証を行うが、衛星の電波を受信することができない屋内においては利用することができない。そこで、GPSによる測位に失敗した場合に、無線基地局から取得できる位置情報を利用するのが本変形例である。
【0056】
本変形例に係るツール認証システムの構成は、図1と同等である。第1の実施形態において、現在位置把握部24が現在位置を取得できなかった場合、暗号通信部21は、携帯電話基地局からの情報によって位置情報を取得し、センタ10と通信を行う。
【0057】
また、その他にも、たとえば複数の基地局から受信した電波の到達時間差によって現在位置を決定してもよいし、公衆無線ネットワークの基地局の位置情報を使用してもよい。
【0058】
第1の実施形態では、GPSによる現在位置の測位が行えない場合、センタの認証を受けられないためツールを使用することができないが、本変形例のように携帯電話網より位置情報を取得することによって、センタより認証を受けることが可能となり、ツールを使用することができるようになる。携帯電話網による位置情報は、GPSによる位置情報よりも精度は落ちるが、基地局から受信した情報によって位置情報を生成するため、室内で利用することができるという利点がある。
【0059】
なお、取得した位置情報は、上記に示したメッセージに付加して送信する方法のほか、メッセージには付加せず、たとえばHTTPのリクエストクエリ、もしくはリクエストヘッダなどに付加して送信してもよい。
【0060】
(第2の実施形態)
第2の実施形態においては、センタ10は、過去に使用されたツールの位置情報を履歴として保持する手段を有し、当該情報を用いて有効位置判定の補正を行う。本実施形態に係るツール認証システムの構成を、図8を参照しながら説明する。
【0061】
第1の実施形態に追加されたツール位置履歴記憶部12は、過去にツールの使用が許可された位置情報を、データベースや表形式によって履歴として保持する手段である。第1の実施形態においては、有効位置との許容する誤差を一義的に定義したが、第2の実施形態においては、履歴情報によって許容誤差を補正することで、より正確な判定を行う。
【0062】
対象機器30およびツール20の動作については、第1の実施形態と同様である。ツールの動作を、図10のフローチャートを参照しながら説明する。ツールの動作が許可されている位置情報を取得するステップS33までは、第1の実施形態と同様である。次に、メッセージ確認部14は、ツール位置履歴記憶部12に記憶されている、過去に動作を許可したツールの位置情報履歴を取得する(S41)。位置情報履歴は、図9のように、個体識別番号、緯度・経度、日時、および有効位置からの距離で構成されている。
【0063】
次に、当該個体識別番号を持つツールの全ての位置情報履歴から「有効位置からの距離」を取得する(S42)。ここで、取得結果が一定件数以上あるかを確認し(S43)、一定件数以上ない場合は、許容する誤差を、例えば500mといったデフォルト値に設定する(S44)。
【0064】
当該ツールの使用履歴が一定件数以上あり、位置情報履歴内の「有効位置からの距離」に、デフォルト値より小さいものがあれば、許容する誤差を、このうち最大の値に設定する。例えば、前記の一定件数が3件であり、有効位置からの距離が、それぞれ「300m」「200m」「250m」であった場合、半径300m以内でツールが定常的に使用されることを意味するため、許容する誤差を300mに設定する(S45)。ツールから受信した位置情報が、有効位置から誤差以内の距離にあるかを判断するステップS35、レスポンスデータを生成するステップS36が実行された後に、現在のツールの位置情報を、個体識別番号とともに履歴としてツール位置履歴記憶部12に記録する(S37)。以降の動作は第1の実施形態と同様である。
【0065】
第2の実施形態では、過去に使用を許可した履歴情報を用いて、使用を許可する距離を補正するため、ツール使用の実情に応じて、精度の高い許可判定ができるという利点がある。たとえば、修理工場の作業場などの登録された地点から半径数十mのみが使用許可範囲として設定されていれば、第三者が流出したツールを入手しても、工場内に立ち入らない限り使用することができない。
【0066】
なお、本実施形態においては、有効位置に対する許容誤差を短くすることによって使用許可範囲の絞り込みを行っているが、絞り込みによる限定だけでなく、位置情報履歴に記録された位置を基準に範囲を新たに決定するなど、その他の方法によって範囲の変更を行ってもよい。
【0067】
たとえば、修理工場の敷地内に作業場が二ヶ所あった場合、位置情報履歴は、各々の作業場を中心とする二ヶ所に分布するため、それぞれの中心点を算出したうえで、各中心点から一定の範囲内にあるツールを有効と判定してもよいし、位置情報履歴が、たとえば特定の矩形内に収まるように細長く分布していた場合、その矩形の範囲内にあるツールを有効と判定してもよい。
【0068】
また、上記の実施形態はあくまでも一例であって、本発明はその要旨を逸脱しない範囲内で適宜変更して実施しうるものである。
【符号の説明】
【0069】
10 センタ
11,31 共通鍵記憶部
12 ツール位置履歴記憶部
13 レスポンス生成部
14 メッセージ確認部
15 有効位置記憶部
16,21 暗号通信部
17 有効個体情報記憶部
20 ツール
22 メッセージ生成部
23 電子証明書記憶部
24 現在位置把握部
25 電子署名付与部
26 秘密鍵記憶部
27,34 通信部
28 保護ドメイン
30 対象機器
32 レスポンス確認部
33 チャレンジ生成部

【特許請求の範囲】
【請求項1】
機器と、機器と接続し通信を行うための接続機器と、認証センタと、からなる認証システムであって、
前記機器は、
接続機器に対して認証情報を要求する認証情報要求を送信する認証情報要求送信手段と、
前記接続機器から前記認証情報要求に対応する認証情報を受信する認証情報受信手段と、
前記受信した認証情報が想定される内容と一致する場合に前記接続機器との接続を許可する許可手段と、
を有し、
前記接続機器は、
前記機器から前記認証情報要求を受信する認証情報要求受信手段と、
接続機器の現在位置情報を取得する現在位置取得手段と、
前記受信した認証情報要求および前記取得した現在位置情報を前記認証センタに送信するメッセージ送信手段と、
前記認証センタから前記認証情報を受信し、前記機器に転送する認証情報転送手段と、を有し、
前記認証センタは、
前記接続機器から送信された前記認証情報要求および前記現在位置情報を受信するメッセージ受信手段と、
前記接続機器の使用が許可された特定のエリアを記憶する有効位置記憶手段と、
前記受信した前記現在位置情報から、前記接続機器が前記特定のエリア内にあることを判断するメッセージ確認手段と、
前記接続機器が、前記特定のエリア内にある場合に、前記認証情報要求に対応する前記認証情報を生成し、前記接続機器に送信する認証情報送信手段と、
を有する
ことを特徴とする、認証システム。
【請求項2】
前記メッセージ送信手段は、前記認証センタに対して、前記認証情報要求と前記現在位置情報とともに前記接続機器の個体識別子と電子署名を送信し、
前記メッセージ確認手段は、前記追加された電子署名によって、前記現在位置情報が改変されていないことを確認し、また、前記接続機器の個体識別子が詐称されていないことを確認する
ことを特徴とする、請求項1に記載の認証システム。
【請求項3】
前記メッセージ送信手段は、前記認証センタに対して、前記認証情報要求と前記現在位置情報と前記個体識別子と前記電子署名とともに前記接続機器に対応する公開鍵を含んだ電子証明書を送信し、
前記メッセージ確認手段は、前記追加された電子証明書より前記公開鍵を取得し、前記電子署名を復号する
ことを特徴とする、請求項2に記載の認証システム。
【請求項4】
前記認証情報要求は、擬似乱数によって生成された数値を含み、
前記認証情報送信手段は、前記機器と前記認証センタが共に有する共通鍵によって前記認証情報要求を変換することで前記認証情報を生成する
ことを特徴とする、請求項1ないし請求項3のいずれかに記載の認証システム。
【請求項5】
前記認証センタは、過去に認証した接続機器の位置情報を履歴として記憶する位置情報
履歴記憶部をさらに有し、
前記メッセージ確認手段は、前記位置情報履歴記憶部に記憶された位置情報の履歴を用いて前記特定のエリアを変更し、前記接続機器の現在位置情報が、前記変更されたエリア内にあることを判断する
ことを特徴とする、請求項1ないし請求項4のいずれかに記載の認証システム。
【請求項6】
機器と、機器と接続し通信を行うための接続機器と、認証センタと、を用いる認証方法であって、
前記機器が、前記接続機器に対して、認証情報を要求するための認証情報要求を送信し、
前記接続機器が、前記機器から受信した前記認証情報要求と、接続機器の現在位置を示す現在位置情報を、前記認証センタに送信し、
前記認証センタが、受信した前記現在位置情報から、前記接続機器が特定のエリア内にあるかを判断し、前記接続機器が前記特定のエリア内にある場合に、前記認証情報要求に対応する認証情報を生成して、前記接続機器を介して前記機器に送信し、
前記機器が、前記認証情報が想定される内容と一致する場合に前記接続機器との接続を許可する
ことを特徴とする、接続機器認証方法。
【請求項7】
機器と接続し通信を行うための接続機器であって、
前記機器から、認証情報を要求する認証情報要求を受信する認証情報要求受信手段と、
接続機器の現在位置情報を取得する現在位置取得手段と、
前記認証情報要求および前記取得した現在位置情報を、前記認証情報を発行するための認証センタに送信するメッセージ送信手段と、
前記認証センタから、前記認証情報要求に対応する認証情報を受信する認証情報受信手段と、
前記機器に前記認証情報を送信する認証情報送信手段と、
を有する接続機器。
【請求項8】
機器と接続し通信を行うための接続機器から送信された、前記接続機器の現在位置情報と認証情報を要求するための認証情報要求とを受信するメッセージ受信手段と、
前記接続機器の使用が許可された特定のエリアを記憶する有効位置記憶手段と、
前記現在位置情報から、前記接続機器が前記特定のエリア内にあることを判断するメッセージ確認手段と、
前記接続機器が前記特定のエリア内にある場合に、前記認証情報要求に対応する認証情報を生成し、前記接続機器に送信する認証情報送信手段と、
を有する認証センタ。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate

【図9】
image rotate

【図10】
image rotate


【公開番号】特開2013−15884(P2013−15884A)
【公開日】平成25年1月24日(2013.1.24)
【国際特許分類】
【出願番号】特願2011−146290(P2011−146290)
【出願日】平成23年6月30日(2011.6.30)
【出願人】(502087460)株式会社トヨタIT開発センター (232)
【出願人】(000003207)トヨタ自動車株式会社 (59,920)
【Fターム(参考)】