認証システムの暗号演算式設定装置
【課題】通信の不正解読に対するセキュリティ性を向上することができる認証システムの暗号演算式設定装置を提供する。
【解決手段】車両1と電子キー2とのイモビライザー照合に、チャレンジレスポンス認証を用いる。イモビライザーECU6のセルフプログラミング機能を用い、メモリ10にシリアル番号Nを登録する。このシリアル番号Nは、イモビライザーECU6ごとに値が違う。暗号演算式設定部16は、メモリ10のシリアル番号Nを基に演算式設定テーブル15を参照して、シリアル番号Nに応じた暗号演算式F(x)を選択し、この演算式F(x)をチャレンジレスポンス認証に使用する演算式として登録する。つまり、それぞれ車両1ごとに暗号演算式F(x)を設定する。電子キー2には、通信開始時に使用演算式を通知する。
【解決手段】車両1と電子キー2とのイモビライザー照合に、チャレンジレスポンス認証を用いる。イモビライザーECU6のセルフプログラミング機能を用い、メモリ10にシリアル番号Nを登録する。このシリアル番号Nは、イモビライザーECU6ごとに値が違う。暗号演算式設定部16は、メモリ10のシリアル番号Nを基に演算式設定テーブル15を参照して、シリアル番号Nに応じた暗号演算式F(x)を選択し、この演算式F(x)をチャレンジレスポンス認証に使用する演算式として登録する。つまり、それぞれ車両1ごとに暗号演算式F(x)を設定する。電子キー2には、通信開始時に使用演算式を通知する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、暗号通信により個人認証を行う認証システムの暗号演算式設定装置に関する。
【背景技術】
【0002】
従来、図10に示すように、例えば2つのECU81,82が通信を行う際、組み同士の正しいECU81,82で通信を実行するために、通信過程においてチャレンジレスポンス認証(例えば、特許文献1等参照)を行うことが多い。この場合、ECU81には、チャレンジレスポンス認証用の暗号演算式F(x)が登録されるとともに、ECU82にも同様の暗号演算式F(x)が登録される。
【0003】
そして、例えばECU81が通信マスタとなってECU82と通信を行う際、ECU81は、通信の度にコードが設定される乱数データをチャレンジコードとして、このチャレンジコード及び通信データのデータ群をチャレンジとしてECU82に送信する。ECU82は、ECU81からチャレンジを受信すると、チャレンジコードを自身の暗号演算式F(x)に通してレスポンスデータを生成し、このレスポンスコード及び通信データのデータ群をレスポンスとしてECU81に返信する。
【0004】
ECU81は、チャレンジをECU81に送信する際、乱数コードを自身の暗号演算式F(x)に通して、自らもレスポンスコードを演算する。そして、ECU81は、ECU82からレスポンスを受信すると、レスポンス内のレスポンスコードと、自身が演算したレスポンスコードとを照らし合わせて、ECU82を認証する。ECU81は、これらレスポンスコードが一致して認証が成立することを確認すると通信を許可して、通信データに準じた動作を実行する。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2009−032070号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかし、現状のところ、認証に使用する暗号演算式は、1つのシステムで1つとなっている。つまり、この認証システムが例えば車両に使用された場合には、例えば同じ車種の車両の全てで同じ暗号演算式が使用されている。よって、もし仮に、ある1台の車両で暗号演算式が不正に解読されてしまうと、その時点で他の車両の暗号演算式も解かれてしまうことになる。このため、暗号演算式の不正解読に対するセキュリティ性を向上したい要望があった。
【0007】
本発明の目的は、通信の不正解読に対するセキュリティ性を向上することができる認証システムの暗号演算式設定装置を提供することにある。
【課題を解決するための手段】
【0008】
前記問題点を解決するために、本発明では、通信マスタがその通信対象と通信する際、暗号演算式を用いて前記通信対象が正規通信相手か否かを認証する認証システムの暗号演算式設定装置において、前記通信マスタの属性を表す属性情報と、前記暗号演算式と前記属性情報との関係を対応付けたテーブルと、前記属性情報を基に前記テーブルを参照して、前記通信マスタで使用すべき前記暗号演算式を設定する演算式設定手段とを備えたことを要旨とする。
【0009】
この構成によれば、各通信マスタに登録された暗号通信用の暗号演算式は、それぞれの通信マスタが個々に持つ属性情報を基に、各通信マスタ固有の演算式として設定される。即ち、各通信マスタには、それぞれ固有の暗号演算式が設定される。よって、もし仮に1つの通信マスタにおいて暗号演算式が不正解読されたとしても、この盗難された暗号演算式は他の通信マスタには使用できないものであるため、他の通信マスタの暗号演算式が盗み取られたことにはならない。このため、他のマスタの暗号演算式はそのまま使用することが可能となるので、不正解読に対するセキュリティ性を向上することが可能となる。
【0010】
本発明では、前記認証は、前記通信マスタ及び前記通信対象が相互に通信して通信相手が正しいか否かを確認する相互認証であることを要旨とする。
この構成によれば、通信マスタと通信対象との認証を相互認証としたので、通信相手が正規通信相手か否かの確認を、より精度よく行うことが可能となる。
【0011】
本発明では、前記通信マスタで設定された前記暗号演算式が何であるのかを前記通信対象に通知して、当該通信対象の前記暗号演算式を前記通信マスタと同じものに設定する通知設定手段を備えたことを要旨とする。
【0012】
この構成によれば、通信マスタに設定された暗号演算式が何であるのかを通信対象に通知して、通信マスタと同じ暗号演算式を通信対象にも同様に設定する。このため、通信対象に自ら暗号演算式を設定する機能がない場合であっても、これに対応することが可能となる。
【0013】
本発明では、前記属性情報は、前記通信マスタが個々に有する番号情報であり、前記演算式設定手段は、前記テーブルを参照して、前記番号情報に準じた前記暗号演算式を設定することを要旨とする。
【0014】
この構成によれば、各通信マスタが持つ番号情報に基づき暗号演算式が設定されるので、暗号演算式をそれぞれの通信マスタごとに設定すること、つまり通信マスタと暗号演算式とを1対1の関係で設定することが可能となる。よって、もし仮に1つの通信マスタで暗号演算式が不正解読されても、他の通信マスタの暗号演算式までもが解読されたことにはならないので、暗号演算式の不正解読に対するセキュリティ性を確保することが可能となる。
【0015】
本発明では、前記属性情報は、前記通信マスタに通信可能な前記通信対象がいくつ登録されているかを表す登録個数情報であり、前記暗号演算式設定手段は、前記テーブルを参照して、前記登録個数情報に準じた前記暗号演算式を設定することを要旨とする。
【0016】
この構成によれば、通信マスタに通信対象がいくつ登録されているかによって暗号演算式が設定されるので、結果として通信マスタごとに暗号演算式が異なるものとなる。よって、もし仮に1つの通信マスタで暗号演算式が不正解読されても、それは登録個数の異なる他の通信マスタでは使用不可となるので、暗号演算式の不正解読に対するセキュリティ性を確保することが可能となる。
【0017】
本発明では、前記属性情報は、前記通信マスタに関係する時間情報であり、前記演算式設定手段は、前記テーブルを参照して、前記時間情報に準じた前記暗号演算式を設定することを要旨とする。
【0018】
この構成によれば、通信マスタに関係する時間情報に応じて通信マスタの暗号演算式が設定されるので、各通信マスタには時間要素に準じた暗号演算式がそれぞれ設定される。よって、1つの通信マスタであっても、時間情報に応じて暗号演算式が切り換わるので、暗号演算式の不正解読に対するセキュリティ性を一層向上することが可能となる。
【0019】
本発明では、前記時間情報は、計測手段によって計時された計測時刻であることを要旨とする。
この構成によれば、時間情報を計測手段による計測時刻としたので、計測時刻の時間帯に応じて通信マスタの暗号演算式を切り換えることが可能となる。よって、もし仮に暗号演算式が不正解読されても、時刻が変われば、その暗号演算式では通信が成立しなくなるので、認証の不正成立を生じ難くすることが可能となる。
【0020】
本発明では、前記時間情報は、ある基準時刻からの経過時間であることを要旨とする。
この構成によれば、時間情報を基準時刻からの経過時間としたので、経過時間の時間帯に応じて通信マスタの暗号演算式を切り換えることが可能となる。よって、もし仮に暗号演算式が不正解読されても、経過時間が変われば、その暗号演算式では通信が成立しなくなるので、認証の不正成立を生じ難くすることが可能となる。
【発明の効果】
【0021】
本発明によれば、通信の不正解読に対するセキュリティ性を向上することができる。
【図面の簡単な説明】
【0022】
【図1】第1実施形態における暗号演算式設定装置の概略構成を示すブロック図。
【図2】各ECUに設定される暗号演算式の概略を示す例示図。
【図3】チャレンジレスポンス認証の通信シーケンスを示すフロー図。
【図4】第2実施形態における暗号演算式設定装置の概略構成を示すブロック図。
【図5】各ECUに設定される暗号演算式の概略を示す例示図。
【図6】第3実施形態における暗号演算式設定装置の概略構成を示すブロック図。
【図7】各ECUに設定される暗号演算式の概略を示す例示図。
【図8】第4実施形態における暗号演算式設定装置の概略構成を示すブロック図。
【図9】各ECUに設定される暗号演算式の概略を示す例示図。
【図10】従来におけるチャレンジレスポンス認証の概要を示す説明図。
【発明を実施するための形態】
【0023】
(第1実施形態)
以下、本発明を具体化した認証システムの暗号演算式設定装置の第1実施形態を図1〜図3に従って説明する。
【0024】
図1に示すように、車両1には、例えばRFID(Radio Frequency IDentification)に準じた近距離無線通信(通信距離が約数cmの無線通信)によって電子キー2とID照合を実行するイモビライザーシステム3が設けられている。イモビライザーシステム3は、電子キー2にIDタグ、いわゆるトランスポンダ部4を設け、車両1のコイルアンテナ5から送信される駆動電波Svによりトランスポンダ部4が起動した際、このトランスポンダ部4から送信されるID信号Sidを基にID照合を行うシステムである。なお、トランスポンダ部4が通信マスタ又は通信対象を構成する。
【0025】
この場合、車両1には、イモビライザーシステム3のコントロールユニットとしてイモビライザーECU6が設けられている。イモビライザーECU6には、エンジン7の動作を制御するエンジンECU8が車内バス9を介して接続されている。イモビライザーECU6のメモリ10には、車両1と組みをなす電子キー2のIDコードが登録されている。イモビライザーECU6には、例えばLF(Low Frequency)帯やHF(High Frequency)帯の電波を送受信可能なコイルアンテナ5が接続されている。コイルアンテナ5は、磁界成分により電波を送信する磁界アンテナが使用される。なお、イモビライザーECU6及びエンジンECU8が通信マスタ又は通信対象を構成する。
【0026】
トランスポンダ部4には、トランスポンダ部4の通信動作を制御する制御部11が設けられている。この制御部11のメモリ12には、電子キー2の固有IDとしてIDコード(トランスポンダコード)が登録されている。トランスポンダ部4には、コイルアンテナ5と同様にLF帯やHF帯の電波を送受信可能な送受信アンテナ13が設けられている。
【0027】
イモビライザーECU6は、ユーザが乗車したことを例えばカーテシスイッチ(図示略)により検出すると、コイルアンテナ5から駆動電波Svを断続的に送信する。乗車したユーザがエンジン7を始動する際には、電子キー2のトランスポンダ部4をコイルアンテナ5にかざす操作をとる。このとき、トランスポンダ部4は、コイルアンテナ5から送信される駆動電波Svを送受信アンテナ13で受信すると、駆動電波Svを電源として起動する。トランスポンダ部4は、起動状態に切り換わると、自身に登録されたIDコードを含むID信号Sidを送受信アンテナ13から送信する。イモビライザーECU6は、トランスポンダ部4から送信されたID信号Sidをコイルアンテナ5で受信すると、ID信号Sidに含まれるIDコードによりID照合(イモビライザー照合)を実行する。イモビライザーECU6は、ID照合が成立することを確認すると、ID照合成立をメモリ10に保持する。
【0028】
そして、例えばイグニッションスイッチがエンジンスタート位置まで操作されてエンジンECU8が電源オンされると、エンジンECU8は、イモビライザーECU6にID照合成立結果を確認しにいく。エンジンECU8は、イモビライザーECU6からID照合成立済みの通知を取得すると、エンジン7への点火制御及び燃料噴射制御を開始し、エンジン7を始動させる。
【0029】
イモビライザー照合の認証には、電子キー2のIDコードを確認するコード照合の他に、例えばチャレンジレスポンス認証も実行されている。チャレンジレスポンス認証は、車両1側が例えば乱数コードとしてチャレンジコードを電子キー2に投げかけてレスポンスを演算させ、車両1が自ら演算するレスポンスコードと、電子キー2から受け付けるレスポンスコードとが一致するか否かを見る認証である。チャレンジレスポンス認証としては、例えばAES(Advanced Encryption Standard)やDES(Data Encryption Standard)が使用されている。
【0030】
また、車両1には、チャレンジレスポンス認証に使用する暗号演算式F(x)を車両1ごとに設定する暗号演算式設定装置14が設けられている。本例の暗号演算式設定装置14は、それぞれのイモビライザーECU6ごとに登録されているシリアル番号Nを基に、チャレンジレスポンス認証の暗号演算式F(x)を設定する。つまり、車両1ごとに各々異なる暗号演算式F(x)を設定する。そして、チャレンジレスポンス認証時には、イモビライザーECU6のシリアル番号Nに準じた暗号演算式F(x)を用いてID照合を実行させる。なお、シリアル番号Nが属性情報、番号情報を構成する。
【0031】
この場合、イモビライザーECU6のメモリ10には、各イモビライザーECU6,6…で固有の値を持つシリアル番号Nが登録されている。シリアル番号Nは、イモビライザーECU6、つまりマイクロコンピュータが持つセルフプログラミング機能によって、イモビライザーECU6のメモリ10に登録される番号である。また、セルフプログラミング機能とは、マイクロコンピュータが自らプログラムを書き換える機能のことを言う。また、このシリアル番号Nは、メモリ10として例えばフラッシュメモリに書き込まれている。フラッシュメモリは、CPUによるデータ読み出しは可能であるものの、外部からの第三者による読み出しが不可となったメモリとなっている。
【0032】
イモビライザーECU6のメモリ10には、シリアル番号Nと暗号演算式F(x)との関係を対応付けた演算式設定テーブル(以降、演算式設定テーブル15と記す)が書き込まれている。演算式設定テーブル15は、どのシリアル番号Nのときにどの暗号演算式F(x)を使用すればよいのかを決めるテーブルである。なお、演算式設定テーブル15がテーブルに相当する。
【0033】
イモビライザーECU6には、メモリ10に書き込まれたシリアル番号Nと演算式設定テーブル15とを用いて、使用すべき暗号演算式F(x)を設定する暗号演算式設定部16が設けられている。暗号演算式設定部16は、例えばイモビライザーECU6に最初に電源が投入された初期起動時、シリアル番号Nを基に演算式設定テーブル15を参照して、使用すべき暗号演算式F(x)を設定する。暗号演算式設定部16は、算出した暗号演算式F(x)をメモリ10に書き込んで保持する。なお、暗号演算式設定部16が演算式設定手段に相当する。
【0034】
イモビライザーECU6には、シリアル番号Nによって決めた暗号演算式F(x)を電子キー2、つまりトランスポンダ部4に通知する演算式通知部17が設けられている。演算式通知部17は、例えばトランスポンダ部4との通信開始時に、イモビライザーECU6のシリアル番号Nが何であるかを通知する演算式設定情報St(図3参照)をトランスポンダ部4に送信して、イモビライザーECU6において設定されている暗号演算式F(x)の関連情報を通知する。また、演算式通知部17は、電子キー2を車両1に使用可能キーとして登録する際にときに、演算式設定情報Stをトランスポンダ部4に通知するものでもよい。なお、演算式通知部17が通知設定手段を構成する。
【0035】
一方、トランスポンダ部4のメモリ12にも、イモビライザーECU6と同様の演算式設定テーブル15が登録されている。また、トランスポンダ部4には、車両1から取得する演算式設定情報Stを基に、トランスポンダ部4に暗号演算式F(x)を登録する演算式登録部18が設けられている。演算式登録部18は、イモビライザーECU6から演算式設定情報Stを入力すると、演算式設定テーブル15を参照して、車両1側においてどの暗号演算式F(x)が設定されたのかを確認する。そして、演算式登録部18は、演算式設定テーブル15から割り出した暗号演算式F(x)を、使用演算式として設定する。なお、演算式登録部18が通知設定手段を構成する。
【0036】
次に、本例の暗号演算式設定装置14の動作を図2及び図3に従って説明する。
イモビライザーECU6が動作した際、イモビライザーECU6のセルフプログラミング機能が動作して、イモビライザーECU6のメモリ10にシリアル番号Nが登録される。このシリアル番号Nは、各イモビライザーECU6に応じて固有の値が登録される。よって、図2の例に示すように、例えばイモビライザーECU6aにはシリアル番号N:「1234」が登録され、イモビライザーECU6bにはシリアル番号N:「5678」が登録されるように、それぞれのイモビライザーECU6ごとに各々異なるシリアル番号Nが登録される。
【0037】
イモビライザーECU6にシリアル番号Nが登録されると、暗号演算式設定部16によって暗号演算式F(x)の設定処理が実行される。この場合、暗号演算式設定部16は、演算式設定テーブル15を参照し、自身のイモビライザーECU6に登録されたシリアル番号Nに応じた暗号演算式F(x)を割り出し、この暗号演算式F(x)を使用演算式としてメモリ10に登録する。これにより、各イモビライザーECU6には、それぞれ固有の暗号演算式F(x)が設定される。
【0038】
例えば、図2に示す例では、イモビライザーECU6aのシリアル番号Nが「1234」であるので、イモビライザーECU6aには、このシリアル番号Nに準じた暗号演算式F(x)、つまり暗号演算式Fa(x)が使用演算式としてイモビライザーECU6aに登録される。また、イモビライザーECU6bのシリアル番号Nは「5678」であるので、イモビライザーECU6bには、このシリアル番号Nに準じた暗号演算式F(x)、つまり暗号演算式Fb(x)が使用演算式としてイモビライザーECU6bに登録される。
【0039】
図3に示すように、イモビライザーECU6は、運転者が車内に乗車したことを検出すると、駆動電波Svの送信を開始する。駆動電波Svは、断続的に送信される。トランスポンダ部4は、イモビライザーECU6から駆動電波Svを受信すると、この駆動電波Svにより起動してアックを返信する。イモビライザーECU6は、駆動電波Svを送信してから所定時間にアックを受信すると、チャレンジとして、コマンドと演算式設定情報Stとチャレンジコードとを含む情報群をトランスポンダ部4に送信する。
【0040】
トランスポンダ部4は、チャレンジを受信すると、コマンドに基づき動作して、まず暗号演算式F(x)の設定動作に入る。このとき、演算式登録部18は、演算式設定情報Stから、イモビライザーECU6に設定されたシリアル番号Nが何であるのかを確認する。演算式登録部18は、イモビライザーECU6に登録されたシリアル番号Nが何なのかが分かると、演算式設定テーブル15を参照して、このシリアル番号Nに対応する暗号演算式F(x)を割り出し、これを使用演算式としてメモリ12に登録する。これにより、電子キー2側の暗号演算式F(x)の登録が済む。
【0041】
トランスポンダ部4は、暗号演算式F(x)の登録が済むと、この暗号演算式F(x)によりレスポンスコードの演算を行う。そして、トランスポンダ部4は、演算したトランスポンダコードと、メモリ12に記憶されたIDコードとを含む情報群を、レスポンスとしてイモビライザーECU6に送信する。
【0042】
イモビライザーECU6は、トランスポンダ部4からレスポンスを受信すると、まずこのレスポンスに含まれるレスポンスコードと、自身が自ら演算したレスポンスコードとを照らし合わせてレスポンス照合を実行する。続いて、イモビライザーECU6は、レスポンスに含まれるIDコードについて照合を実行する。イモビライザーECU6は、レスポンス照合及びIDコード照合がともに成立することを確認すると、イモビライザーロックを解除して、エンジン始動を許可する。一方、どちらか一方でも照合が成立しなければ、イモビライザーロックを解除せず、エンジン始動を許可しない。
【0043】
さて、本例においては、イモビライザーECU6のシリアル番号Nに応じて暗号演算式F(x)が設定されるので、図2に示すように、結果として暗号演算式F(x)がそれぞれの車両1ごとに設定される。図2の例では、シリアル番号Nが「1234」のイモビライザーECU6aを搭載する車両1aには、暗号演算式Fa(x)が選択され、シリアル番号Nが「5678」のイモビライザーECU6bを搭載する車両1bには、暗号演算式Fb(x)が選択される。よって、もし仮に車両1aの暗号演算式Fa(x)が不正解読されても、この暗号演算式Fa(x)は車両1bに使用できるものではないので、この暗号演算式Fa(x)で車両1bが不正に認証成立させられることはない。よって、不正解読に対するセキュリティ性を確保することが可能となる。
【0044】
本実施形態の構成によれば、以下に記載の効果を得ることができる。
(1)マイクロコンピュータのセルフプログラミング機能を用いてイモビライザーECU6のメモリ10にシリアル番号Nを登録し、このシリアル番号Nに基づきチャレンジレスポンス認証用の暗号演算式F(x)を選択する。このため、それぞれの車両1ごとに異なる暗号演算式F(x)を設定可能となるので、もし仮に1つの車両1で暗号演算式F(x)が不正解読されても、それのみでは他の車両1の暗号演算式F(x)も見破られたことにならない。よって、他の車両1の暗号演算式F(x)はそのまま継続使用することが可能となるので、不正解読に対する暗号演算式F(x)のセキュリティ性、ひいては車両盗難に対するセキュリティ性を確保することができる。
【0045】
(2)車両1と電子キー2との認証を相互認証(チャレンジレスポンス認証)としたので、電子キー2が正規キーか否かの確認を、より精度よく行うことができる。
(3)通信開始時において、イモビライザーECU6からどの暗号演算式F(x)を使用するのかの情報(演算式設定情報St)を電子キー2に通知して、車両1側の暗号演算式F(x)と同様の演算式を電子キー2に登録可能とした。よって、イモビライザーECU6のシリアル番号Nに応じて決まる車両1側の暗号演算式F(x)を、電子キー2にも問題なく登録することができる。
【0046】
(4)シリアル番号Nは、多数の組み合わせの中から1つ選択されるものであるため、同じ番号が登録されてしまうことは殆ど無いと言える。よって、本例のように暗号演算式F(x)をシリアル番号Nにより設定すれば、同じ暗号演算式F(x)が複数の車両1で重複してしまう状況を生じ難くすることができる。
【0047】
(5)イモビライザーECU6のセルフプログラミング機能を利用して、メモリ10にシリアル番号Nを登録する。ところで、イモビライザーECU6へのシリアル番号Nの登録方法としては、例えば製造ライン上で、イモビライザーECU6の一端子からシリアル番号Nを直に注入する工程をとることも想定される。しかし、この場合には、後日、第三者によってイモビライザーECU6のシリアル番号注入端子から、不正にシリアル番号Nが読み取られる可能性もあり、セキュリティ性の面で好ましくない。しかし、本例のように、イモビライザーECU6のセルフプログラミング機能を用いてメモリ10にシリアル番号Nを書き込む登録方法を用いれば、前述したようなシリアル番号注入端子が不要となるので、シリアル番号Nの不正読み取りに対してセキュリティ性を高くすることができる。
【0048】
(6)シリアル番号Nにより選択設定した暗号演算式F(x)を、外部からのデータ読み取りが不可となったフラッシュメモリに登録するので、暗号演算式F(x)の不正読み取りに対してセキュリティ性を高くすることができる。
【0049】
(第2実施形態)
次に、第2実施形態を図4及び図5に従って説明する。なお、本例は、使用する暗号演算式F(x)を何に基づき設定するのかが異なるのみであり、他の基本的な構成は同じである。よって、第1実施形態と同一部分には同一符号を付して詳しい説明を省略し、異なる部分についてのみ説明する。
【0050】
図4に示すように、本例の暗号演算式設定装置14は、イモビライザーECU6に登録されている電子キー2の本数を確認し、チャレンジレスポンス認証の暗号演算式F(x)を、電子キー2の登録本数に応じた演算式に設定する装置となっている。これは、一般的な車両1の場合、車両1に電子キー2を登録又は変更する機能が備えられているため、この機能を応用して暗号演算式F(x)の選択設定を行うものとなっている。
【0051】
この場合、イモビライザーECU6のメモリ10には、イモビライザーECU6に何本の電子キー2が登録されているのかを表すキー登録本数情報Hが書き込まれている。キー登録本数情報Hは、電子キー2の登録本数が変わる度に、数値が切り換わる情報となっている。また、本例の暗号演算式設定テーブル15は、キー本数と暗号演算式F(x)との関係が対応付けられたテーブルとなっている。なお、キー登録本数情報Hが属性情報、登録個数情報を構成する。
【0052】
また、トランスポンダ部4には、新たな電子キー2をイモビライザーECU6に登録する際に動作する登録キー通知部21が設けられている。登録キー通知部21は、電子キー2の施錠ボタン22や解錠ボタン23が予め決められた回数及び順序で操作されると、キー登録動作実行要求SkとIDコードとをイモビライザーECU6に送信する。なお、車両1へのキー登録は、電子キー2の新規登録に限らず、電子キー2の変更も含まれる。
【0053】
イモビライザーECU6には、新たに受け付けた電子キー2を使用可能キーとしてメモリ10に登録するキー登録部24が設けられている。キー登録部24は、トランスポンダ部4からキー登録動作実行要求Skを取得すると、キー登録動作に入り、このキー登録動作実行要求Skとともに送られてきたIDコードを、使用可能キーのIDコードとしてメモリ10に登録する。この登録作業が完了すると、その電子キー2を車両1のキーとして使用可能となる。また、キー登録部24は、メモリ10に登録されている電子キー2の本数が変わると、そのキー登録本数をキー登録本数情報Hとしてメモリ10に書き込む。
【0054】
本例の場合、暗号演算式設定部16は、メモリ10に書き込まれているキー登録本数情報Hが更新されると、そのキー登録本数情報Hを基に演算式設定テーブル15を参照して、暗号演算式F(x)を設定する。即ち、暗号演算式設定部16は、車両1への電子キー2の登録本数に応じた暗号演算式F(x)を使用演算式として設定する。
【0055】
このため、図5に示すように、例えば登録キー本数が1本のときには、暗号演算式Fa(x)が選択され、登録キー本数が2本のときには、暗号演算式Fb(x)が選択され、登録キー本数が3本のときには、暗号演算式Fc(x)が選択される。よって、本例の場合には、暗号演算式F(x)が登録キー本数に応じて切り換わるので、全ての車両1,1…が同じ暗号演算式F(x)を持つということにはならない。従って、暗号演算式F(x)の不正解読に対するセキュリティ性を確保することが可能となる。
【0056】
本実施形態の構成によれば、第1実施形態に記載の(1)〜(3),(6)に加え、以下に記載の効果を得ることができる。
(7)チャレンジレスポンス認証の暗号演算式F(x)を車両1のキー登録本数に応じて切り換えるようにしたので、車両1のキー登録本数が変わる度に、チャレンジレスポンス認証用の暗号演算式F(x)を変更することができる。また、自らの意志でキー登録本数を切り換えて、暗号演算式F(x)を適宜変更することもできる。
【0057】
(第3実施形態)
次に、第3実施形態を図6及び図7に従って説明する。なお、本例も前記実施形態と異なる部分についてのみ説明する。
【0058】
図6に示すように、本例の暗号演算式設定装置14は、車両1のタイマ(図示略)からタイマ情報Dtを取得するとともに、チャレンジレスポンス認証の暗号演算式F(x)を、タイマ情報Dtに応じた演算式に設定する装置となっている。即ち、暗号演算式設定装置14は、タイマの時間帯によって暗号演算式F(x)を選択設定する。タイマ情報Dtは、いわゆる現在時刻のことである。車両1のタイマは、一般的に元から車体に取り付けられ、新たに設けるものではない。なお、タイマが計測手段に相当し、タイマ情報Dtが属性情報、時間情報、計測時刻を構成する。
【0059】
また、本例のチャレンジレスポンス認証は、電子キー2のID照合に使用するのではなく、イモビライザーECU6とエンジンECU8との間のECU間のペア確認に使用されている。エンジンECU8は、イグニッションスイッチがオンされて電源が入ると、イモビライザーECU6とチャレンジレスポンス認証によりペア確認を行い、ペアであることを認識すると、エンジン始動を許可又は開始する。なお、ペア確認のチャレンジレスポンス認証は、電子キー2のID照合時のチャレンジレスポンス認証と基本的に同様であるので、詳しい説明を省略する。
【0060】
本例の演算式設定テーブル15は、タイマ情報Dtと暗号演算式F(x)との関係が対応付けられたテーブルとなっている。即ち、演算式設定テーブル15は、タイマ情報Dtから求まる時間帯がどの時間帯にあれば、どの暗号演算式F(x)を使用するのかを決めるためのテーブルである。
【0061】
イモビライザーECU6には、車両1のタイマからタイマ情報Dtを取得するタイマ情報取得部31が設けられている。タイマ情報取得部31は、タイマからタイマ情報Dtを逐次取得し、これを暗号演算式設定部16に出力する。暗号演算式設定部16は、タイマ情報Dtを基に演算式設定テーブル15を参照して、タイマ情報Dtに応じた暗号演算式F(x)を設定する。
【0062】
エンジンECU8のメモリ32には、イモビライザーECU6に登録された演算式設定テーブル15と同様の演算式設定テーブル15が登録されている。さらに、エンジンECU8には、ペア確認時においてイモビライザーECU6から通知される演算式設定情報Stを基に、エンジンECU8において暗号演算式を設定する演算式登録部18が設けられている。演算式登録部18は、車内バス9を介してイモビライザーECU6から演算式設定情報Stを取得すると、演算式設定情報Stを基に演算式設定テーブル15を参照して、エンジンECU8の暗号演算式F(x)を登録する。
【0063】
本例の場合、暗号演算式設定部16は、タイマ情報Dtを基にタイマの時間帯が繰り上がることを確認すると、その時間繰り上がりをトリガとして演算式設定テーブル15を見に行き、暗号演算式F(x)をタイマ情報Dtに基づく演算式に設定する。即ち、暗号演算式設定部16は、タイマの時間帯に応じた暗号演算式F(x)を使用演算式として設定する。そして、暗号演算式設定部16は、タイマの時間帯に応じて暗号演算式F(x)を切り換え、使用する暗号演算式F(x)をローテーションする。
【0064】
このため、図7に示すように、暗号演算式F(x)は、例えばタイマの時間帯が午前0時から午前1時の間、Fa(x)が選択され、タイマの時間帯が午前1時から午前2時の間、Fb(x)が選択され、タイマの時間帯が午前2時から午前3時の間、Fc(x)が選択され、タイマの時間帯が午前3時から午前4時の間、Fd(x)が選択される。よって、本例の場合には、暗号演算式F(x)がタイマの時間帯に応じて切り換わるので、1台の車両1において暗号演算式F(x)を都度切り換えることが可能となる。従って、もし仮に第三者によって暗号演算式F(x)が不正解読されても、タイマの時間帯が切り換われば、盗難された暗号演算式F(x)が使用不可となるので、不正解読に対するセキュリティ性を確保することが可能となる。
【0065】
本実施形態の構成によれば、第1実施形態に記載の(1)〜(3),(6)に加え、以下に記載の効果を得ることができる。
(8)車両1のタイマの時間帯に応じてチャレンジレスポンス認証の暗号演算式F(x)を切り換えるので、時間帯ごとに車両1の暗号演算式F(x)が変更される。このため、第三者によって暗号演算式F(x)が不正解読されても、タイマの時間帯が切り換わると、その暗号演算式F(x)では認証を成立させることができないので、暗号演算式F(x)の不正解読に対するセキュリティ性を確保することができる。
【0066】
(9)車両1のタイマの時間帯に応じて暗号演算式F(x)を切り換えるので、1台の車両1が複数の暗号演算式F(x)を持つことになる。よって、1台の車両1においてチャレンジレスポンス認証が不正成立される状況が生じ難くなるので、車両盗難に対するセキュリティ性を確保することができる。
【0067】
(第4実施形態)
次に、第4実施形態を図8及び図9に従って説明する。なお、本例もチャレンジレスポンス認証をイモビライザーECU6及びエンジンECU8間のペア確認に応用した実施形態であり、前記実施形態と異なる部分についてのみ説明する。
【0068】
図8に示すように、本例の暗号演算式設定装置14は、車両1のバッテリ(図示略)がパワーオンされてからの経過時間Tを計測し、チャレンジレスポンス認証の暗号演算式F(x)を、バッテリパワーオンからの経過時間Tに応じた演算式に設定する装置となっている。ここで、バッテリパワーオンとは、バッテリを車体の電気配線に繋ぐとともに、バッテリの電力が車体に供給され始めた状態のことを言う。なお、バッテリパワーオンからの経過時間Tが属性情報、時間情報を構成する。
【0069】
本例の演算式設定テーブル15は、バッテリパワーオンからの経過時間Tと暗号演算式F(x)とが対応付けられたテーブルとなっている。即ち、演算式設定テーブル15は、バッテリパワーオンからの経過時間Tがどれだけの値をとっていれば、どの暗号演算式F(x)を使用するのかを決めるためのテーブルである。
【0070】
イモビライザーECU6には、バッテリがパワーオンとなったか否かを検出するバッテリ状態検出部41が設けられている。バッテリ状態検出部41は、バッテリが車体に電気的に繋がってバッテリパワーオン信号Sonを取得すると、バッテリがパワーオンしたと認識する。
【0071】
また、イモビライザーECU6には、バッテリがパワーオンしてからの経過時間Tを計測する時間計測部42が設けられている。時間計測部42は、算出した経過時間Tを暗号演算式設定部16に出力する。暗号演算式設定部16は、バッテリパワーオンからの経過時間Tを基に演算式設定テーブル15を参照して、バッテリパワーオンからの経過時間Tに応じた暗号演算式F(x)を設定する。
【0072】
本例の場合、暗号演算式設定部16は、バッテリパワーオンからの経過時間Tの時間帯が繰り上がることを確認すると、その時間繰り上がりをトリガとして演算式設定テーブル15を見に行き、暗号演算式F(x)をバッテリパワーオンからの経過時間Tに基づく演算式に設定する。即ち、暗号演算式設定部16は、バッテリパワーオンからの経過時間Tに応じた暗号演算式F(x)を使用演算式として設定する。そして、暗号演算式設定部16は、バッテリパワーオンからの経過時間Tに応じて暗号演算式F(x)を切り換え、使用する暗号演算式F(x)をローテーションする。
【0073】
このため、図9に示すように、暗号演算式F(x)は、例えばバッテリパワーオンからの経過時間Tがパワーオンから15分以内であれば、Fa(x)が選択され、バッテリパワーオン15分経過から30分以内であれば、Fb(x)が選択され、バッテリパワーオン30分経過から45分以内であれば、Fc(x)が選択され、バッテリパワーオン45分経過から60分以内であれば、Fd(x)が選択される。よって、本例の場合には、暗号演算式F(x)がバッテリパワーオンからの経過時間Tに応じて切り換わるので、1台の車両1において暗号演算式F(x)を都度切り換えることが可能となる。従って、もし仮に第三者によって暗号演算式F(x)が不正解読されても、経過時間Tの時間帯が繰り上がれば、盗難された暗号演算式F(x)が使用不可となるので、不正解読に対するセキュリティ性を確保することが可能となる。
【0074】
また、車両1にバッテリを繋ぐ機会というのは、それぞれの車両1に応じて異なるはずであるので、バッテリパワーオンからの経過時間Tは、それぞれ車両1ごとに異なることになる。このため、それぞれの車両1、1…ごとに暗号演算式F(x)を異ならせることが可能となるので、暗号演算式F(x)の不正解読に対するセキュリティ性を一層向上することも可能となる。
【0075】
本実施形態の構成によれば、第1実施形態に記載の(1)〜(3),(6)に加え、以下に記載の効果を得ることができる。
(10)バッテリパワーオンからの経過時間Tに応じてチャレンジレスポンス認証の暗号演算式F(x)を切り換えるので、この経過時間Tごとに車両1の暗号演算式F(x)が変更される。このため、第三者によって暗号演算式F(x)が不正解読されても、バッテリパワーオンからの経過時間Tの時間帯が切り換わると、その暗号演算式F(x)では認証を成立させることができなくなるので、暗号演算式F(x)の不正解読に対するセキュリティ性を確保することができる。
【0076】
(11)バッテリパワーオンからの経過時間Tという各車両1で異なる値をとる時間要素から暗号演算式F(x)を選択設定する。このため、各車両1,1…に異なる暗号演算式F(x)を設定することが可能となるので、もし仮に1台の車両1で暗号演算式F(x)が不正解読されても、他の車両1の暗号演算式F(x)が見破られたことにはならないので、不正解読に対するセキュリティ性を一層向上することができる。
【0077】
なお、実施形態はこれまでに述べた構成に限らず、以下の態様に変更してもよい。
・第1実施形態において、シリアル番号Nは、設定が一度きりに限定されず、例えば定期的に更新されてもよい。
【0078】
・第1実施形態において、番号情報は、シリアル番号Nに限定されず、イモビライザーECU6が個々に持つ番号であれば、どのような種類のものを採用してもよい。
・第3及び第4実施形態において、時間情報は、車両1のタイマから取得したタイマ情報Dtや、バッテリパワーオンからの経過時間Tに限定されない。要は、時間要素をパラメータとするものであれば、何でもよい。
【0079】
・第1〜第4実施形態において、演算式設定情報Stは、例えばどの演算式が設定されたかを通知する情報でもよい。
・第1〜第4実施形態において、イモビライザーECU6の通信相手は、イモビライザーECU6からどの暗号演算式F(x)を使用するかの情報を通知されることに限定されない。即ち、通信相手が自ら暗号演算式F(x)を設定できれば、この通知機能は省略してもよい。
【0080】
・第4実施形態において、経過時間Tの計測開始(基準時刻)は、バッテリパワーオンに限定されず、例えばイモビライザーECU6に配線用のコネクタが接続されたことを条件としてもよいし、或いは車両1が前回乗車されたときのエンジンオフ操作としてもよい。
【0081】
・第1〜第4実施形態において、キー照合とペア確認との各チャレンジレスポンス認証で、それぞれ異なる暗号演算式F(x)を使用してもよい。
・第1〜第4実施形態において、相互認証は、チャレンジレスポンス認証に限定されず、様々な認証が採用可能である。
【0082】
・第1〜第4実施形態において、チャレンジレスポンス認証の種類は、AESやDESに限らず、これら以外の方式を採用してもよい。
・第1〜第4実施形態において、認証形式は、相互認証に限定されない。例えば、一方のECUが暗号データを他方のECUに出力し、その他方のECUが暗号データを復号することにより、通信正否を確認する単方向認証でもよい。この場合、2つのECUのどちらを通信マスタとしてもよい。
【0083】
・第1〜第4実施形態において、ペア確認のマスタは、イモビライザーECU6及びエンジンECU8のどちらでもよい。
・第1〜第4実施形態において、ペア確認は、イモビライザーECU6及びエンジンECU8間の確認に限定されず、他のECUとしてもよい。
【0084】
・第1〜第4実施形態において、ペア確認のECU数は、2つに限らず、例えば3つに亘ってもよい。
・第1〜第4実施形態において、暗号演算式F(x)や各種属性情報の登録先は、フラッシュメモリに限定されず、例えばEEPROM(Electrically Erasable PROM)等としてもよい。
【0085】
・第1〜第4実施形態において、認証は、エンジン始動操作(車内照合)時に実行されるものに限定されず、例えばドアロック施解錠操作(車外照合)に実行されるものでもよい。
【0086】
・第1〜第4実施形態において、電子キーシステムは、イモビライザーシステム3に限定されない。例えば、車両からLF帯のリクエスト信号を送信し、このリクエスト信号に電子キー2を応答させて、UHF帯の電波によってID信号を返信させるキー操作フリーシステムとしてもよい。また、電子キーシステムは、電子キー2の遠隔操作によって車両1を操作するワイヤレスキーシステムでもよい。
【0087】
・第1〜第4実施形態において、無線システムは、前述した電子キーシステムに限定されず、無線通信を介して認証を行うシステムを広く含むものとする。
・第1〜第4実施形態において、本例の暗号演算式設定装置14は、車両1に採用されることに限定されず、他の機器や装置に使用してもよい。
【0088】
次に、上記実施形態及び別例から把握できる技術的思想について、それらの効果とともに以下に追記する。
(イ)請求項1〜8のいずれかにおいて、前記相互認証は、前記通信マスタが前記通信相手にチャレンジを出力して当該通信相手に前記チャレンジを前記新規暗号演算式により演算させ、前記通信相手から前記通信マスタが受け付けたレスポンス、つまり暗号演算結果と、前記通信マスタ自らが自身の前記新規暗号演算式により演算した暗号演算結果とを照らし合わせて、通信相手が正しいか否かを見るチャレンジレスポンス認証である。この構成によれば、チャレンジレスポンス認証という認証性の高い方式により通信相手を確認することが可能となる。
【0089】
(ロ)請求項1〜8,前記技術的思想(イ)のいずれかにおいて、前記通信マスタ及び前記通信対象は、1ユニット内に有線により接続された制御装置(例えば、ECU等)からなり、前記認証は、これら当該制御装置間のペア確認に使用される。この構成によれば、制御装置間の認証に本例の認証システムを適用するので、制御装置の不正な取り外しや取り替えを検出することが可能となる。
【0090】
(ハ)請求項1〜8,前記技術的思想(イ)のいずれかにおいて、前記通信マスタと前記通信対象とは、無線により通信を行う無線システムに使用され、前記認証は、前記通信対象が前記通信マスタの正規通信相手か否かの確認を、無線を介して見る照合に使用される。この構成によれば、例えば通信対象が通信マスタの通信端末となる通信システムに本例の認証システムが適用されるので、信号の不正解読に対するセキュリティ性を確保することが可能となる。
【符号の説明】
【0091】
4…通信マスタ又は通信対象を構成するトランスポンダ部、6…通信マスタ又は通信対象を構成するイモビライザーECU、8…通信マスタ又は通信対象を構成するエンジンECU、14…暗号演算式設定装置、15…テーブルとしての演算式設定テーブル、16…演算式設定手段としての暗号演算式設定部、17…通知設定手段を構成する演算式通知部、18…通知設定手段を構成する演算式登録部、F(x)…暗号演算式、N…属性情報、番号情報を構成するシリアル番号、H…属性情報、登録個数情報を構成するキー登録本数情報、Dt…属性情報、時間情報、計測時刻を構成するタイマ情報、T…属性情報、時間情報を構成する経過時間。
【技術分野】
【0001】
本発明は、暗号通信により個人認証を行う認証システムの暗号演算式設定装置に関する。
【背景技術】
【0002】
従来、図10に示すように、例えば2つのECU81,82が通信を行う際、組み同士の正しいECU81,82で通信を実行するために、通信過程においてチャレンジレスポンス認証(例えば、特許文献1等参照)を行うことが多い。この場合、ECU81には、チャレンジレスポンス認証用の暗号演算式F(x)が登録されるとともに、ECU82にも同様の暗号演算式F(x)が登録される。
【0003】
そして、例えばECU81が通信マスタとなってECU82と通信を行う際、ECU81は、通信の度にコードが設定される乱数データをチャレンジコードとして、このチャレンジコード及び通信データのデータ群をチャレンジとしてECU82に送信する。ECU82は、ECU81からチャレンジを受信すると、チャレンジコードを自身の暗号演算式F(x)に通してレスポンスデータを生成し、このレスポンスコード及び通信データのデータ群をレスポンスとしてECU81に返信する。
【0004】
ECU81は、チャレンジをECU81に送信する際、乱数コードを自身の暗号演算式F(x)に通して、自らもレスポンスコードを演算する。そして、ECU81は、ECU82からレスポンスを受信すると、レスポンス内のレスポンスコードと、自身が演算したレスポンスコードとを照らし合わせて、ECU82を認証する。ECU81は、これらレスポンスコードが一致して認証が成立することを確認すると通信を許可して、通信データに準じた動作を実行する。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2009−032070号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかし、現状のところ、認証に使用する暗号演算式は、1つのシステムで1つとなっている。つまり、この認証システムが例えば車両に使用された場合には、例えば同じ車種の車両の全てで同じ暗号演算式が使用されている。よって、もし仮に、ある1台の車両で暗号演算式が不正に解読されてしまうと、その時点で他の車両の暗号演算式も解かれてしまうことになる。このため、暗号演算式の不正解読に対するセキュリティ性を向上したい要望があった。
【0007】
本発明の目的は、通信の不正解読に対するセキュリティ性を向上することができる認証システムの暗号演算式設定装置を提供することにある。
【課題を解決するための手段】
【0008】
前記問題点を解決するために、本発明では、通信マスタがその通信対象と通信する際、暗号演算式を用いて前記通信対象が正規通信相手か否かを認証する認証システムの暗号演算式設定装置において、前記通信マスタの属性を表す属性情報と、前記暗号演算式と前記属性情報との関係を対応付けたテーブルと、前記属性情報を基に前記テーブルを参照して、前記通信マスタで使用すべき前記暗号演算式を設定する演算式設定手段とを備えたことを要旨とする。
【0009】
この構成によれば、各通信マスタに登録された暗号通信用の暗号演算式は、それぞれの通信マスタが個々に持つ属性情報を基に、各通信マスタ固有の演算式として設定される。即ち、各通信マスタには、それぞれ固有の暗号演算式が設定される。よって、もし仮に1つの通信マスタにおいて暗号演算式が不正解読されたとしても、この盗難された暗号演算式は他の通信マスタには使用できないものであるため、他の通信マスタの暗号演算式が盗み取られたことにはならない。このため、他のマスタの暗号演算式はそのまま使用することが可能となるので、不正解読に対するセキュリティ性を向上することが可能となる。
【0010】
本発明では、前記認証は、前記通信マスタ及び前記通信対象が相互に通信して通信相手が正しいか否かを確認する相互認証であることを要旨とする。
この構成によれば、通信マスタと通信対象との認証を相互認証としたので、通信相手が正規通信相手か否かの確認を、より精度よく行うことが可能となる。
【0011】
本発明では、前記通信マスタで設定された前記暗号演算式が何であるのかを前記通信対象に通知して、当該通信対象の前記暗号演算式を前記通信マスタと同じものに設定する通知設定手段を備えたことを要旨とする。
【0012】
この構成によれば、通信マスタに設定された暗号演算式が何であるのかを通信対象に通知して、通信マスタと同じ暗号演算式を通信対象にも同様に設定する。このため、通信対象に自ら暗号演算式を設定する機能がない場合であっても、これに対応することが可能となる。
【0013】
本発明では、前記属性情報は、前記通信マスタが個々に有する番号情報であり、前記演算式設定手段は、前記テーブルを参照して、前記番号情報に準じた前記暗号演算式を設定することを要旨とする。
【0014】
この構成によれば、各通信マスタが持つ番号情報に基づき暗号演算式が設定されるので、暗号演算式をそれぞれの通信マスタごとに設定すること、つまり通信マスタと暗号演算式とを1対1の関係で設定することが可能となる。よって、もし仮に1つの通信マスタで暗号演算式が不正解読されても、他の通信マスタの暗号演算式までもが解読されたことにはならないので、暗号演算式の不正解読に対するセキュリティ性を確保することが可能となる。
【0015】
本発明では、前記属性情報は、前記通信マスタに通信可能な前記通信対象がいくつ登録されているかを表す登録個数情報であり、前記暗号演算式設定手段は、前記テーブルを参照して、前記登録個数情報に準じた前記暗号演算式を設定することを要旨とする。
【0016】
この構成によれば、通信マスタに通信対象がいくつ登録されているかによって暗号演算式が設定されるので、結果として通信マスタごとに暗号演算式が異なるものとなる。よって、もし仮に1つの通信マスタで暗号演算式が不正解読されても、それは登録個数の異なる他の通信マスタでは使用不可となるので、暗号演算式の不正解読に対するセキュリティ性を確保することが可能となる。
【0017】
本発明では、前記属性情報は、前記通信マスタに関係する時間情報であり、前記演算式設定手段は、前記テーブルを参照して、前記時間情報に準じた前記暗号演算式を設定することを要旨とする。
【0018】
この構成によれば、通信マスタに関係する時間情報に応じて通信マスタの暗号演算式が設定されるので、各通信マスタには時間要素に準じた暗号演算式がそれぞれ設定される。よって、1つの通信マスタであっても、時間情報に応じて暗号演算式が切り換わるので、暗号演算式の不正解読に対するセキュリティ性を一層向上することが可能となる。
【0019】
本発明では、前記時間情報は、計測手段によって計時された計測時刻であることを要旨とする。
この構成によれば、時間情報を計測手段による計測時刻としたので、計測時刻の時間帯に応じて通信マスタの暗号演算式を切り換えることが可能となる。よって、もし仮に暗号演算式が不正解読されても、時刻が変われば、その暗号演算式では通信が成立しなくなるので、認証の不正成立を生じ難くすることが可能となる。
【0020】
本発明では、前記時間情報は、ある基準時刻からの経過時間であることを要旨とする。
この構成によれば、時間情報を基準時刻からの経過時間としたので、経過時間の時間帯に応じて通信マスタの暗号演算式を切り換えることが可能となる。よって、もし仮に暗号演算式が不正解読されても、経過時間が変われば、その暗号演算式では通信が成立しなくなるので、認証の不正成立を生じ難くすることが可能となる。
【発明の効果】
【0021】
本発明によれば、通信の不正解読に対するセキュリティ性を向上することができる。
【図面の簡単な説明】
【0022】
【図1】第1実施形態における暗号演算式設定装置の概略構成を示すブロック図。
【図2】各ECUに設定される暗号演算式の概略を示す例示図。
【図3】チャレンジレスポンス認証の通信シーケンスを示すフロー図。
【図4】第2実施形態における暗号演算式設定装置の概略構成を示すブロック図。
【図5】各ECUに設定される暗号演算式の概略を示す例示図。
【図6】第3実施形態における暗号演算式設定装置の概略構成を示すブロック図。
【図7】各ECUに設定される暗号演算式の概略を示す例示図。
【図8】第4実施形態における暗号演算式設定装置の概略構成を示すブロック図。
【図9】各ECUに設定される暗号演算式の概略を示す例示図。
【図10】従来におけるチャレンジレスポンス認証の概要を示す説明図。
【発明を実施するための形態】
【0023】
(第1実施形態)
以下、本発明を具体化した認証システムの暗号演算式設定装置の第1実施形態を図1〜図3に従って説明する。
【0024】
図1に示すように、車両1には、例えばRFID(Radio Frequency IDentification)に準じた近距離無線通信(通信距離が約数cmの無線通信)によって電子キー2とID照合を実行するイモビライザーシステム3が設けられている。イモビライザーシステム3は、電子キー2にIDタグ、いわゆるトランスポンダ部4を設け、車両1のコイルアンテナ5から送信される駆動電波Svによりトランスポンダ部4が起動した際、このトランスポンダ部4から送信されるID信号Sidを基にID照合を行うシステムである。なお、トランスポンダ部4が通信マスタ又は通信対象を構成する。
【0025】
この場合、車両1には、イモビライザーシステム3のコントロールユニットとしてイモビライザーECU6が設けられている。イモビライザーECU6には、エンジン7の動作を制御するエンジンECU8が車内バス9を介して接続されている。イモビライザーECU6のメモリ10には、車両1と組みをなす電子キー2のIDコードが登録されている。イモビライザーECU6には、例えばLF(Low Frequency)帯やHF(High Frequency)帯の電波を送受信可能なコイルアンテナ5が接続されている。コイルアンテナ5は、磁界成分により電波を送信する磁界アンテナが使用される。なお、イモビライザーECU6及びエンジンECU8が通信マスタ又は通信対象を構成する。
【0026】
トランスポンダ部4には、トランスポンダ部4の通信動作を制御する制御部11が設けられている。この制御部11のメモリ12には、電子キー2の固有IDとしてIDコード(トランスポンダコード)が登録されている。トランスポンダ部4には、コイルアンテナ5と同様にLF帯やHF帯の電波を送受信可能な送受信アンテナ13が設けられている。
【0027】
イモビライザーECU6は、ユーザが乗車したことを例えばカーテシスイッチ(図示略)により検出すると、コイルアンテナ5から駆動電波Svを断続的に送信する。乗車したユーザがエンジン7を始動する際には、電子キー2のトランスポンダ部4をコイルアンテナ5にかざす操作をとる。このとき、トランスポンダ部4は、コイルアンテナ5から送信される駆動電波Svを送受信アンテナ13で受信すると、駆動電波Svを電源として起動する。トランスポンダ部4は、起動状態に切り換わると、自身に登録されたIDコードを含むID信号Sidを送受信アンテナ13から送信する。イモビライザーECU6は、トランスポンダ部4から送信されたID信号Sidをコイルアンテナ5で受信すると、ID信号Sidに含まれるIDコードによりID照合(イモビライザー照合)を実行する。イモビライザーECU6は、ID照合が成立することを確認すると、ID照合成立をメモリ10に保持する。
【0028】
そして、例えばイグニッションスイッチがエンジンスタート位置まで操作されてエンジンECU8が電源オンされると、エンジンECU8は、イモビライザーECU6にID照合成立結果を確認しにいく。エンジンECU8は、イモビライザーECU6からID照合成立済みの通知を取得すると、エンジン7への点火制御及び燃料噴射制御を開始し、エンジン7を始動させる。
【0029】
イモビライザー照合の認証には、電子キー2のIDコードを確認するコード照合の他に、例えばチャレンジレスポンス認証も実行されている。チャレンジレスポンス認証は、車両1側が例えば乱数コードとしてチャレンジコードを電子キー2に投げかけてレスポンスを演算させ、車両1が自ら演算するレスポンスコードと、電子キー2から受け付けるレスポンスコードとが一致するか否かを見る認証である。チャレンジレスポンス認証としては、例えばAES(Advanced Encryption Standard)やDES(Data Encryption Standard)が使用されている。
【0030】
また、車両1には、チャレンジレスポンス認証に使用する暗号演算式F(x)を車両1ごとに設定する暗号演算式設定装置14が設けられている。本例の暗号演算式設定装置14は、それぞれのイモビライザーECU6ごとに登録されているシリアル番号Nを基に、チャレンジレスポンス認証の暗号演算式F(x)を設定する。つまり、車両1ごとに各々異なる暗号演算式F(x)を設定する。そして、チャレンジレスポンス認証時には、イモビライザーECU6のシリアル番号Nに準じた暗号演算式F(x)を用いてID照合を実行させる。なお、シリアル番号Nが属性情報、番号情報を構成する。
【0031】
この場合、イモビライザーECU6のメモリ10には、各イモビライザーECU6,6…で固有の値を持つシリアル番号Nが登録されている。シリアル番号Nは、イモビライザーECU6、つまりマイクロコンピュータが持つセルフプログラミング機能によって、イモビライザーECU6のメモリ10に登録される番号である。また、セルフプログラミング機能とは、マイクロコンピュータが自らプログラムを書き換える機能のことを言う。また、このシリアル番号Nは、メモリ10として例えばフラッシュメモリに書き込まれている。フラッシュメモリは、CPUによるデータ読み出しは可能であるものの、外部からの第三者による読み出しが不可となったメモリとなっている。
【0032】
イモビライザーECU6のメモリ10には、シリアル番号Nと暗号演算式F(x)との関係を対応付けた演算式設定テーブル(以降、演算式設定テーブル15と記す)が書き込まれている。演算式設定テーブル15は、どのシリアル番号Nのときにどの暗号演算式F(x)を使用すればよいのかを決めるテーブルである。なお、演算式設定テーブル15がテーブルに相当する。
【0033】
イモビライザーECU6には、メモリ10に書き込まれたシリアル番号Nと演算式設定テーブル15とを用いて、使用すべき暗号演算式F(x)を設定する暗号演算式設定部16が設けられている。暗号演算式設定部16は、例えばイモビライザーECU6に最初に電源が投入された初期起動時、シリアル番号Nを基に演算式設定テーブル15を参照して、使用すべき暗号演算式F(x)を設定する。暗号演算式設定部16は、算出した暗号演算式F(x)をメモリ10に書き込んで保持する。なお、暗号演算式設定部16が演算式設定手段に相当する。
【0034】
イモビライザーECU6には、シリアル番号Nによって決めた暗号演算式F(x)を電子キー2、つまりトランスポンダ部4に通知する演算式通知部17が設けられている。演算式通知部17は、例えばトランスポンダ部4との通信開始時に、イモビライザーECU6のシリアル番号Nが何であるかを通知する演算式設定情報St(図3参照)をトランスポンダ部4に送信して、イモビライザーECU6において設定されている暗号演算式F(x)の関連情報を通知する。また、演算式通知部17は、電子キー2を車両1に使用可能キーとして登録する際にときに、演算式設定情報Stをトランスポンダ部4に通知するものでもよい。なお、演算式通知部17が通知設定手段を構成する。
【0035】
一方、トランスポンダ部4のメモリ12にも、イモビライザーECU6と同様の演算式設定テーブル15が登録されている。また、トランスポンダ部4には、車両1から取得する演算式設定情報Stを基に、トランスポンダ部4に暗号演算式F(x)を登録する演算式登録部18が設けられている。演算式登録部18は、イモビライザーECU6から演算式設定情報Stを入力すると、演算式設定テーブル15を参照して、車両1側においてどの暗号演算式F(x)が設定されたのかを確認する。そして、演算式登録部18は、演算式設定テーブル15から割り出した暗号演算式F(x)を、使用演算式として設定する。なお、演算式登録部18が通知設定手段を構成する。
【0036】
次に、本例の暗号演算式設定装置14の動作を図2及び図3に従って説明する。
イモビライザーECU6が動作した際、イモビライザーECU6のセルフプログラミング機能が動作して、イモビライザーECU6のメモリ10にシリアル番号Nが登録される。このシリアル番号Nは、各イモビライザーECU6に応じて固有の値が登録される。よって、図2の例に示すように、例えばイモビライザーECU6aにはシリアル番号N:「1234」が登録され、イモビライザーECU6bにはシリアル番号N:「5678」が登録されるように、それぞれのイモビライザーECU6ごとに各々異なるシリアル番号Nが登録される。
【0037】
イモビライザーECU6にシリアル番号Nが登録されると、暗号演算式設定部16によって暗号演算式F(x)の設定処理が実行される。この場合、暗号演算式設定部16は、演算式設定テーブル15を参照し、自身のイモビライザーECU6に登録されたシリアル番号Nに応じた暗号演算式F(x)を割り出し、この暗号演算式F(x)を使用演算式としてメモリ10に登録する。これにより、各イモビライザーECU6には、それぞれ固有の暗号演算式F(x)が設定される。
【0038】
例えば、図2に示す例では、イモビライザーECU6aのシリアル番号Nが「1234」であるので、イモビライザーECU6aには、このシリアル番号Nに準じた暗号演算式F(x)、つまり暗号演算式Fa(x)が使用演算式としてイモビライザーECU6aに登録される。また、イモビライザーECU6bのシリアル番号Nは「5678」であるので、イモビライザーECU6bには、このシリアル番号Nに準じた暗号演算式F(x)、つまり暗号演算式Fb(x)が使用演算式としてイモビライザーECU6bに登録される。
【0039】
図3に示すように、イモビライザーECU6は、運転者が車内に乗車したことを検出すると、駆動電波Svの送信を開始する。駆動電波Svは、断続的に送信される。トランスポンダ部4は、イモビライザーECU6から駆動電波Svを受信すると、この駆動電波Svにより起動してアックを返信する。イモビライザーECU6は、駆動電波Svを送信してから所定時間にアックを受信すると、チャレンジとして、コマンドと演算式設定情報Stとチャレンジコードとを含む情報群をトランスポンダ部4に送信する。
【0040】
トランスポンダ部4は、チャレンジを受信すると、コマンドに基づき動作して、まず暗号演算式F(x)の設定動作に入る。このとき、演算式登録部18は、演算式設定情報Stから、イモビライザーECU6に設定されたシリアル番号Nが何であるのかを確認する。演算式登録部18は、イモビライザーECU6に登録されたシリアル番号Nが何なのかが分かると、演算式設定テーブル15を参照して、このシリアル番号Nに対応する暗号演算式F(x)を割り出し、これを使用演算式としてメモリ12に登録する。これにより、電子キー2側の暗号演算式F(x)の登録が済む。
【0041】
トランスポンダ部4は、暗号演算式F(x)の登録が済むと、この暗号演算式F(x)によりレスポンスコードの演算を行う。そして、トランスポンダ部4は、演算したトランスポンダコードと、メモリ12に記憶されたIDコードとを含む情報群を、レスポンスとしてイモビライザーECU6に送信する。
【0042】
イモビライザーECU6は、トランスポンダ部4からレスポンスを受信すると、まずこのレスポンスに含まれるレスポンスコードと、自身が自ら演算したレスポンスコードとを照らし合わせてレスポンス照合を実行する。続いて、イモビライザーECU6は、レスポンスに含まれるIDコードについて照合を実行する。イモビライザーECU6は、レスポンス照合及びIDコード照合がともに成立することを確認すると、イモビライザーロックを解除して、エンジン始動を許可する。一方、どちらか一方でも照合が成立しなければ、イモビライザーロックを解除せず、エンジン始動を許可しない。
【0043】
さて、本例においては、イモビライザーECU6のシリアル番号Nに応じて暗号演算式F(x)が設定されるので、図2に示すように、結果として暗号演算式F(x)がそれぞれの車両1ごとに設定される。図2の例では、シリアル番号Nが「1234」のイモビライザーECU6aを搭載する車両1aには、暗号演算式Fa(x)が選択され、シリアル番号Nが「5678」のイモビライザーECU6bを搭載する車両1bには、暗号演算式Fb(x)が選択される。よって、もし仮に車両1aの暗号演算式Fa(x)が不正解読されても、この暗号演算式Fa(x)は車両1bに使用できるものではないので、この暗号演算式Fa(x)で車両1bが不正に認証成立させられることはない。よって、不正解読に対するセキュリティ性を確保することが可能となる。
【0044】
本実施形態の構成によれば、以下に記載の効果を得ることができる。
(1)マイクロコンピュータのセルフプログラミング機能を用いてイモビライザーECU6のメモリ10にシリアル番号Nを登録し、このシリアル番号Nに基づきチャレンジレスポンス認証用の暗号演算式F(x)を選択する。このため、それぞれの車両1ごとに異なる暗号演算式F(x)を設定可能となるので、もし仮に1つの車両1で暗号演算式F(x)が不正解読されても、それのみでは他の車両1の暗号演算式F(x)も見破られたことにならない。よって、他の車両1の暗号演算式F(x)はそのまま継続使用することが可能となるので、不正解読に対する暗号演算式F(x)のセキュリティ性、ひいては車両盗難に対するセキュリティ性を確保することができる。
【0045】
(2)車両1と電子キー2との認証を相互認証(チャレンジレスポンス認証)としたので、電子キー2が正規キーか否かの確認を、より精度よく行うことができる。
(3)通信開始時において、イモビライザーECU6からどの暗号演算式F(x)を使用するのかの情報(演算式設定情報St)を電子キー2に通知して、車両1側の暗号演算式F(x)と同様の演算式を電子キー2に登録可能とした。よって、イモビライザーECU6のシリアル番号Nに応じて決まる車両1側の暗号演算式F(x)を、電子キー2にも問題なく登録することができる。
【0046】
(4)シリアル番号Nは、多数の組み合わせの中から1つ選択されるものであるため、同じ番号が登録されてしまうことは殆ど無いと言える。よって、本例のように暗号演算式F(x)をシリアル番号Nにより設定すれば、同じ暗号演算式F(x)が複数の車両1で重複してしまう状況を生じ難くすることができる。
【0047】
(5)イモビライザーECU6のセルフプログラミング機能を利用して、メモリ10にシリアル番号Nを登録する。ところで、イモビライザーECU6へのシリアル番号Nの登録方法としては、例えば製造ライン上で、イモビライザーECU6の一端子からシリアル番号Nを直に注入する工程をとることも想定される。しかし、この場合には、後日、第三者によってイモビライザーECU6のシリアル番号注入端子から、不正にシリアル番号Nが読み取られる可能性もあり、セキュリティ性の面で好ましくない。しかし、本例のように、イモビライザーECU6のセルフプログラミング機能を用いてメモリ10にシリアル番号Nを書き込む登録方法を用いれば、前述したようなシリアル番号注入端子が不要となるので、シリアル番号Nの不正読み取りに対してセキュリティ性を高くすることができる。
【0048】
(6)シリアル番号Nにより選択設定した暗号演算式F(x)を、外部からのデータ読み取りが不可となったフラッシュメモリに登録するので、暗号演算式F(x)の不正読み取りに対してセキュリティ性を高くすることができる。
【0049】
(第2実施形態)
次に、第2実施形態を図4及び図5に従って説明する。なお、本例は、使用する暗号演算式F(x)を何に基づき設定するのかが異なるのみであり、他の基本的な構成は同じである。よって、第1実施形態と同一部分には同一符号を付して詳しい説明を省略し、異なる部分についてのみ説明する。
【0050】
図4に示すように、本例の暗号演算式設定装置14は、イモビライザーECU6に登録されている電子キー2の本数を確認し、チャレンジレスポンス認証の暗号演算式F(x)を、電子キー2の登録本数に応じた演算式に設定する装置となっている。これは、一般的な車両1の場合、車両1に電子キー2を登録又は変更する機能が備えられているため、この機能を応用して暗号演算式F(x)の選択設定を行うものとなっている。
【0051】
この場合、イモビライザーECU6のメモリ10には、イモビライザーECU6に何本の電子キー2が登録されているのかを表すキー登録本数情報Hが書き込まれている。キー登録本数情報Hは、電子キー2の登録本数が変わる度に、数値が切り換わる情報となっている。また、本例の暗号演算式設定テーブル15は、キー本数と暗号演算式F(x)との関係が対応付けられたテーブルとなっている。なお、キー登録本数情報Hが属性情報、登録個数情報を構成する。
【0052】
また、トランスポンダ部4には、新たな電子キー2をイモビライザーECU6に登録する際に動作する登録キー通知部21が設けられている。登録キー通知部21は、電子キー2の施錠ボタン22や解錠ボタン23が予め決められた回数及び順序で操作されると、キー登録動作実行要求SkとIDコードとをイモビライザーECU6に送信する。なお、車両1へのキー登録は、電子キー2の新規登録に限らず、電子キー2の変更も含まれる。
【0053】
イモビライザーECU6には、新たに受け付けた電子キー2を使用可能キーとしてメモリ10に登録するキー登録部24が設けられている。キー登録部24は、トランスポンダ部4からキー登録動作実行要求Skを取得すると、キー登録動作に入り、このキー登録動作実行要求Skとともに送られてきたIDコードを、使用可能キーのIDコードとしてメモリ10に登録する。この登録作業が完了すると、その電子キー2を車両1のキーとして使用可能となる。また、キー登録部24は、メモリ10に登録されている電子キー2の本数が変わると、そのキー登録本数をキー登録本数情報Hとしてメモリ10に書き込む。
【0054】
本例の場合、暗号演算式設定部16は、メモリ10に書き込まれているキー登録本数情報Hが更新されると、そのキー登録本数情報Hを基に演算式設定テーブル15を参照して、暗号演算式F(x)を設定する。即ち、暗号演算式設定部16は、車両1への電子キー2の登録本数に応じた暗号演算式F(x)を使用演算式として設定する。
【0055】
このため、図5に示すように、例えば登録キー本数が1本のときには、暗号演算式Fa(x)が選択され、登録キー本数が2本のときには、暗号演算式Fb(x)が選択され、登録キー本数が3本のときには、暗号演算式Fc(x)が選択される。よって、本例の場合には、暗号演算式F(x)が登録キー本数に応じて切り換わるので、全ての車両1,1…が同じ暗号演算式F(x)を持つということにはならない。従って、暗号演算式F(x)の不正解読に対するセキュリティ性を確保することが可能となる。
【0056】
本実施形態の構成によれば、第1実施形態に記載の(1)〜(3),(6)に加え、以下に記載の効果を得ることができる。
(7)チャレンジレスポンス認証の暗号演算式F(x)を車両1のキー登録本数に応じて切り換えるようにしたので、車両1のキー登録本数が変わる度に、チャレンジレスポンス認証用の暗号演算式F(x)を変更することができる。また、自らの意志でキー登録本数を切り換えて、暗号演算式F(x)を適宜変更することもできる。
【0057】
(第3実施形態)
次に、第3実施形態を図6及び図7に従って説明する。なお、本例も前記実施形態と異なる部分についてのみ説明する。
【0058】
図6に示すように、本例の暗号演算式設定装置14は、車両1のタイマ(図示略)からタイマ情報Dtを取得するとともに、チャレンジレスポンス認証の暗号演算式F(x)を、タイマ情報Dtに応じた演算式に設定する装置となっている。即ち、暗号演算式設定装置14は、タイマの時間帯によって暗号演算式F(x)を選択設定する。タイマ情報Dtは、いわゆる現在時刻のことである。車両1のタイマは、一般的に元から車体に取り付けられ、新たに設けるものではない。なお、タイマが計測手段に相当し、タイマ情報Dtが属性情報、時間情報、計測時刻を構成する。
【0059】
また、本例のチャレンジレスポンス認証は、電子キー2のID照合に使用するのではなく、イモビライザーECU6とエンジンECU8との間のECU間のペア確認に使用されている。エンジンECU8は、イグニッションスイッチがオンされて電源が入ると、イモビライザーECU6とチャレンジレスポンス認証によりペア確認を行い、ペアであることを認識すると、エンジン始動を許可又は開始する。なお、ペア確認のチャレンジレスポンス認証は、電子キー2のID照合時のチャレンジレスポンス認証と基本的に同様であるので、詳しい説明を省略する。
【0060】
本例の演算式設定テーブル15は、タイマ情報Dtと暗号演算式F(x)との関係が対応付けられたテーブルとなっている。即ち、演算式設定テーブル15は、タイマ情報Dtから求まる時間帯がどの時間帯にあれば、どの暗号演算式F(x)を使用するのかを決めるためのテーブルである。
【0061】
イモビライザーECU6には、車両1のタイマからタイマ情報Dtを取得するタイマ情報取得部31が設けられている。タイマ情報取得部31は、タイマからタイマ情報Dtを逐次取得し、これを暗号演算式設定部16に出力する。暗号演算式設定部16は、タイマ情報Dtを基に演算式設定テーブル15を参照して、タイマ情報Dtに応じた暗号演算式F(x)を設定する。
【0062】
エンジンECU8のメモリ32には、イモビライザーECU6に登録された演算式設定テーブル15と同様の演算式設定テーブル15が登録されている。さらに、エンジンECU8には、ペア確認時においてイモビライザーECU6から通知される演算式設定情報Stを基に、エンジンECU8において暗号演算式を設定する演算式登録部18が設けられている。演算式登録部18は、車内バス9を介してイモビライザーECU6から演算式設定情報Stを取得すると、演算式設定情報Stを基に演算式設定テーブル15を参照して、エンジンECU8の暗号演算式F(x)を登録する。
【0063】
本例の場合、暗号演算式設定部16は、タイマ情報Dtを基にタイマの時間帯が繰り上がることを確認すると、その時間繰り上がりをトリガとして演算式設定テーブル15を見に行き、暗号演算式F(x)をタイマ情報Dtに基づく演算式に設定する。即ち、暗号演算式設定部16は、タイマの時間帯に応じた暗号演算式F(x)を使用演算式として設定する。そして、暗号演算式設定部16は、タイマの時間帯に応じて暗号演算式F(x)を切り換え、使用する暗号演算式F(x)をローテーションする。
【0064】
このため、図7に示すように、暗号演算式F(x)は、例えばタイマの時間帯が午前0時から午前1時の間、Fa(x)が選択され、タイマの時間帯が午前1時から午前2時の間、Fb(x)が選択され、タイマの時間帯が午前2時から午前3時の間、Fc(x)が選択され、タイマの時間帯が午前3時から午前4時の間、Fd(x)が選択される。よって、本例の場合には、暗号演算式F(x)がタイマの時間帯に応じて切り換わるので、1台の車両1において暗号演算式F(x)を都度切り換えることが可能となる。従って、もし仮に第三者によって暗号演算式F(x)が不正解読されても、タイマの時間帯が切り換われば、盗難された暗号演算式F(x)が使用不可となるので、不正解読に対するセキュリティ性を確保することが可能となる。
【0065】
本実施形態の構成によれば、第1実施形態に記載の(1)〜(3),(6)に加え、以下に記載の効果を得ることができる。
(8)車両1のタイマの時間帯に応じてチャレンジレスポンス認証の暗号演算式F(x)を切り換えるので、時間帯ごとに車両1の暗号演算式F(x)が変更される。このため、第三者によって暗号演算式F(x)が不正解読されても、タイマの時間帯が切り換わると、その暗号演算式F(x)では認証を成立させることができないので、暗号演算式F(x)の不正解読に対するセキュリティ性を確保することができる。
【0066】
(9)車両1のタイマの時間帯に応じて暗号演算式F(x)を切り換えるので、1台の車両1が複数の暗号演算式F(x)を持つことになる。よって、1台の車両1においてチャレンジレスポンス認証が不正成立される状況が生じ難くなるので、車両盗難に対するセキュリティ性を確保することができる。
【0067】
(第4実施形態)
次に、第4実施形態を図8及び図9に従って説明する。なお、本例もチャレンジレスポンス認証をイモビライザーECU6及びエンジンECU8間のペア確認に応用した実施形態であり、前記実施形態と異なる部分についてのみ説明する。
【0068】
図8に示すように、本例の暗号演算式設定装置14は、車両1のバッテリ(図示略)がパワーオンされてからの経過時間Tを計測し、チャレンジレスポンス認証の暗号演算式F(x)を、バッテリパワーオンからの経過時間Tに応じた演算式に設定する装置となっている。ここで、バッテリパワーオンとは、バッテリを車体の電気配線に繋ぐとともに、バッテリの電力が車体に供給され始めた状態のことを言う。なお、バッテリパワーオンからの経過時間Tが属性情報、時間情報を構成する。
【0069】
本例の演算式設定テーブル15は、バッテリパワーオンからの経過時間Tと暗号演算式F(x)とが対応付けられたテーブルとなっている。即ち、演算式設定テーブル15は、バッテリパワーオンからの経過時間Tがどれだけの値をとっていれば、どの暗号演算式F(x)を使用するのかを決めるためのテーブルである。
【0070】
イモビライザーECU6には、バッテリがパワーオンとなったか否かを検出するバッテリ状態検出部41が設けられている。バッテリ状態検出部41は、バッテリが車体に電気的に繋がってバッテリパワーオン信号Sonを取得すると、バッテリがパワーオンしたと認識する。
【0071】
また、イモビライザーECU6には、バッテリがパワーオンしてからの経過時間Tを計測する時間計測部42が設けられている。時間計測部42は、算出した経過時間Tを暗号演算式設定部16に出力する。暗号演算式設定部16は、バッテリパワーオンからの経過時間Tを基に演算式設定テーブル15を参照して、バッテリパワーオンからの経過時間Tに応じた暗号演算式F(x)を設定する。
【0072】
本例の場合、暗号演算式設定部16は、バッテリパワーオンからの経過時間Tの時間帯が繰り上がることを確認すると、その時間繰り上がりをトリガとして演算式設定テーブル15を見に行き、暗号演算式F(x)をバッテリパワーオンからの経過時間Tに基づく演算式に設定する。即ち、暗号演算式設定部16は、バッテリパワーオンからの経過時間Tに応じた暗号演算式F(x)を使用演算式として設定する。そして、暗号演算式設定部16は、バッテリパワーオンからの経過時間Tに応じて暗号演算式F(x)を切り換え、使用する暗号演算式F(x)をローテーションする。
【0073】
このため、図9に示すように、暗号演算式F(x)は、例えばバッテリパワーオンからの経過時間Tがパワーオンから15分以内であれば、Fa(x)が選択され、バッテリパワーオン15分経過から30分以内であれば、Fb(x)が選択され、バッテリパワーオン30分経過から45分以内であれば、Fc(x)が選択され、バッテリパワーオン45分経過から60分以内であれば、Fd(x)が選択される。よって、本例の場合には、暗号演算式F(x)がバッテリパワーオンからの経過時間Tに応じて切り換わるので、1台の車両1において暗号演算式F(x)を都度切り換えることが可能となる。従って、もし仮に第三者によって暗号演算式F(x)が不正解読されても、経過時間Tの時間帯が繰り上がれば、盗難された暗号演算式F(x)が使用不可となるので、不正解読に対するセキュリティ性を確保することが可能となる。
【0074】
また、車両1にバッテリを繋ぐ機会というのは、それぞれの車両1に応じて異なるはずであるので、バッテリパワーオンからの経過時間Tは、それぞれ車両1ごとに異なることになる。このため、それぞれの車両1、1…ごとに暗号演算式F(x)を異ならせることが可能となるので、暗号演算式F(x)の不正解読に対するセキュリティ性を一層向上することも可能となる。
【0075】
本実施形態の構成によれば、第1実施形態に記載の(1)〜(3),(6)に加え、以下に記載の効果を得ることができる。
(10)バッテリパワーオンからの経過時間Tに応じてチャレンジレスポンス認証の暗号演算式F(x)を切り換えるので、この経過時間Tごとに車両1の暗号演算式F(x)が変更される。このため、第三者によって暗号演算式F(x)が不正解読されても、バッテリパワーオンからの経過時間Tの時間帯が切り換わると、その暗号演算式F(x)では認証を成立させることができなくなるので、暗号演算式F(x)の不正解読に対するセキュリティ性を確保することができる。
【0076】
(11)バッテリパワーオンからの経過時間Tという各車両1で異なる値をとる時間要素から暗号演算式F(x)を選択設定する。このため、各車両1,1…に異なる暗号演算式F(x)を設定することが可能となるので、もし仮に1台の車両1で暗号演算式F(x)が不正解読されても、他の車両1の暗号演算式F(x)が見破られたことにはならないので、不正解読に対するセキュリティ性を一層向上することができる。
【0077】
なお、実施形態はこれまでに述べた構成に限らず、以下の態様に変更してもよい。
・第1実施形態において、シリアル番号Nは、設定が一度きりに限定されず、例えば定期的に更新されてもよい。
【0078】
・第1実施形態において、番号情報は、シリアル番号Nに限定されず、イモビライザーECU6が個々に持つ番号であれば、どのような種類のものを採用してもよい。
・第3及び第4実施形態において、時間情報は、車両1のタイマから取得したタイマ情報Dtや、バッテリパワーオンからの経過時間Tに限定されない。要は、時間要素をパラメータとするものであれば、何でもよい。
【0079】
・第1〜第4実施形態において、演算式設定情報Stは、例えばどの演算式が設定されたかを通知する情報でもよい。
・第1〜第4実施形態において、イモビライザーECU6の通信相手は、イモビライザーECU6からどの暗号演算式F(x)を使用するかの情報を通知されることに限定されない。即ち、通信相手が自ら暗号演算式F(x)を設定できれば、この通知機能は省略してもよい。
【0080】
・第4実施形態において、経過時間Tの計測開始(基準時刻)は、バッテリパワーオンに限定されず、例えばイモビライザーECU6に配線用のコネクタが接続されたことを条件としてもよいし、或いは車両1が前回乗車されたときのエンジンオフ操作としてもよい。
【0081】
・第1〜第4実施形態において、キー照合とペア確認との各チャレンジレスポンス認証で、それぞれ異なる暗号演算式F(x)を使用してもよい。
・第1〜第4実施形態において、相互認証は、チャレンジレスポンス認証に限定されず、様々な認証が採用可能である。
【0082】
・第1〜第4実施形態において、チャレンジレスポンス認証の種類は、AESやDESに限らず、これら以外の方式を採用してもよい。
・第1〜第4実施形態において、認証形式は、相互認証に限定されない。例えば、一方のECUが暗号データを他方のECUに出力し、その他方のECUが暗号データを復号することにより、通信正否を確認する単方向認証でもよい。この場合、2つのECUのどちらを通信マスタとしてもよい。
【0083】
・第1〜第4実施形態において、ペア確認のマスタは、イモビライザーECU6及びエンジンECU8のどちらでもよい。
・第1〜第4実施形態において、ペア確認は、イモビライザーECU6及びエンジンECU8間の確認に限定されず、他のECUとしてもよい。
【0084】
・第1〜第4実施形態において、ペア確認のECU数は、2つに限らず、例えば3つに亘ってもよい。
・第1〜第4実施形態において、暗号演算式F(x)や各種属性情報の登録先は、フラッシュメモリに限定されず、例えばEEPROM(Electrically Erasable PROM)等としてもよい。
【0085】
・第1〜第4実施形態において、認証は、エンジン始動操作(車内照合)時に実行されるものに限定されず、例えばドアロック施解錠操作(車外照合)に実行されるものでもよい。
【0086】
・第1〜第4実施形態において、電子キーシステムは、イモビライザーシステム3に限定されない。例えば、車両からLF帯のリクエスト信号を送信し、このリクエスト信号に電子キー2を応答させて、UHF帯の電波によってID信号を返信させるキー操作フリーシステムとしてもよい。また、電子キーシステムは、電子キー2の遠隔操作によって車両1を操作するワイヤレスキーシステムでもよい。
【0087】
・第1〜第4実施形態において、無線システムは、前述した電子キーシステムに限定されず、無線通信を介して認証を行うシステムを広く含むものとする。
・第1〜第4実施形態において、本例の暗号演算式設定装置14は、車両1に採用されることに限定されず、他の機器や装置に使用してもよい。
【0088】
次に、上記実施形態及び別例から把握できる技術的思想について、それらの効果とともに以下に追記する。
(イ)請求項1〜8のいずれかにおいて、前記相互認証は、前記通信マスタが前記通信相手にチャレンジを出力して当該通信相手に前記チャレンジを前記新規暗号演算式により演算させ、前記通信相手から前記通信マスタが受け付けたレスポンス、つまり暗号演算結果と、前記通信マスタ自らが自身の前記新規暗号演算式により演算した暗号演算結果とを照らし合わせて、通信相手が正しいか否かを見るチャレンジレスポンス認証である。この構成によれば、チャレンジレスポンス認証という認証性の高い方式により通信相手を確認することが可能となる。
【0089】
(ロ)請求項1〜8,前記技術的思想(イ)のいずれかにおいて、前記通信マスタ及び前記通信対象は、1ユニット内に有線により接続された制御装置(例えば、ECU等)からなり、前記認証は、これら当該制御装置間のペア確認に使用される。この構成によれば、制御装置間の認証に本例の認証システムを適用するので、制御装置の不正な取り外しや取り替えを検出することが可能となる。
【0090】
(ハ)請求項1〜8,前記技術的思想(イ)のいずれかにおいて、前記通信マスタと前記通信対象とは、無線により通信を行う無線システムに使用され、前記認証は、前記通信対象が前記通信マスタの正規通信相手か否かの確認を、無線を介して見る照合に使用される。この構成によれば、例えば通信対象が通信マスタの通信端末となる通信システムに本例の認証システムが適用されるので、信号の不正解読に対するセキュリティ性を確保することが可能となる。
【符号の説明】
【0091】
4…通信マスタ又は通信対象を構成するトランスポンダ部、6…通信マスタ又は通信対象を構成するイモビライザーECU、8…通信マスタ又は通信対象を構成するエンジンECU、14…暗号演算式設定装置、15…テーブルとしての演算式設定テーブル、16…演算式設定手段としての暗号演算式設定部、17…通知設定手段を構成する演算式通知部、18…通知設定手段を構成する演算式登録部、F(x)…暗号演算式、N…属性情報、番号情報を構成するシリアル番号、H…属性情報、登録個数情報を構成するキー登録本数情報、Dt…属性情報、時間情報、計測時刻を構成するタイマ情報、T…属性情報、時間情報を構成する経過時間。
【特許請求の範囲】
【請求項1】
通信マスタがその通信対象と通信する際、暗号演算式を用いて前記通信対象が正規通信相手か否かを認証する認証システムの暗号演算式設定装置において、
前記通信マスタの属性を表す属性情報と、
前記暗号演算式と前記属性情報との関係を対応付けたテーブルと、
前記属性情報を基に前記テーブルを参照して、前記通信マスタで使用すべき前記暗号演算式を設定する演算式設定手段と
を備えたことを特徴とする認証システムの暗号演算式設定装置。
【請求項2】
前記認証は、前記通信マスタ及び前記通信対象が相互に通信して通信相手が正しいか否かを確認する相互認証である
ことを特徴とする請求項1に記載の認証システムの暗号演算式設定装置。
【請求項3】
前記通信マスタで設定された前記暗号演算式が何であるのかを前記通信対象に通知して、当該通信対象の前記暗号演算式を前記通信マスタと同じものに設定する通知設定手段を備えた
ことを特徴とする請求項1又は2に記載の認証システムの暗号演算式設定装置。
【請求項4】
前記属性情報は、前記通信マスタが個々に有する番号情報であり、
前記演算式設定手段は、前記テーブルを参照して、前記番号情報に準じた前記暗号演算式を設定する
ことを特徴とする請求項1〜3のうちいずれか一項に記載の認証システムの暗号演算式設定装置。
【請求項5】
前記属性情報は、前記通信マスタに通信可能な前記通信対象がいくつ登録されているかを表す登録個数情報であり、
前記暗号演算式設定手段は、前記テーブルを参照して、前記登録個数情報に準じた前記暗号演算式を設定する
ことを特徴とする請求項1〜3のうちいずれか一項に記載の認証システムの暗号演算式設定装置。
【請求項6】
前記属性情報は、前記通信マスタに関係する時間情報であり、
前記演算式設定手段は、前記テーブルを参照して、前記時間情報に準じた前記暗号演算式を設定する
ことを特徴とする請求項1〜3のうちいずれか一項に記載の認証システムの暗号演算式設定装置。
【請求項7】
前記時間情報は、計測手段によって計時された計測時刻である
ことを特徴とする請求項6に記載の認証システムの暗号演算式設定装置。
【請求項8】
前記時間情報は、ある基準時刻からの経過時間である
ことを特徴とする請求項6に記載の認証システムの暗号演算式設定装置。
【請求項1】
通信マスタがその通信対象と通信する際、暗号演算式を用いて前記通信対象が正規通信相手か否かを認証する認証システムの暗号演算式設定装置において、
前記通信マスタの属性を表す属性情報と、
前記暗号演算式と前記属性情報との関係を対応付けたテーブルと、
前記属性情報を基に前記テーブルを参照して、前記通信マスタで使用すべき前記暗号演算式を設定する演算式設定手段と
を備えたことを特徴とする認証システムの暗号演算式設定装置。
【請求項2】
前記認証は、前記通信マスタ及び前記通信対象が相互に通信して通信相手が正しいか否かを確認する相互認証である
ことを特徴とする請求項1に記載の認証システムの暗号演算式設定装置。
【請求項3】
前記通信マスタで設定された前記暗号演算式が何であるのかを前記通信対象に通知して、当該通信対象の前記暗号演算式を前記通信マスタと同じものに設定する通知設定手段を備えた
ことを特徴とする請求項1又は2に記載の認証システムの暗号演算式設定装置。
【請求項4】
前記属性情報は、前記通信マスタが個々に有する番号情報であり、
前記演算式設定手段は、前記テーブルを参照して、前記番号情報に準じた前記暗号演算式を設定する
ことを特徴とする請求項1〜3のうちいずれか一項に記載の認証システムの暗号演算式設定装置。
【請求項5】
前記属性情報は、前記通信マスタに通信可能な前記通信対象がいくつ登録されているかを表す登録個数情報であり、
前記暗号演算式設定手段は、前記テーブルを参照して、前記登録個数情報に準じた前記暗号演算式を設定する
ことを特徴とする請求項1〜3のうちいずれか一項に記載の認証システムの暗号演算式設定装置。
【請求項6】
前記属性情報は、前記通信マスタに関係する時間情報であり、
前記演算式設定手段は、前記テーブルを参照して、前記時間情報に準じた前記暗号演算式を設定する
ことを特徴とする請求項1〜3のうちいずれか一項に記載の認証システムの暗号演算式設定装置。
【請求項7】
前記時間情報は、計測手段によって計時された計測時刻である
ことを特徴とする請求項6に記載の認証システムの暗号演算式設定装置。
【請求項8】
前記時間情報は、ある基準時刻からの経過時間である
ことを特徴とする請求項6に記載の認証システムの暗号演算式設定装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2011−164912(P2011−164912A)
【公開日】平成23年8月25日(2011.8.25)
【国際特許分類】
【出願番号】特願2010−26696(P2010−26696)
【出願日】平成22年2月9日(2010.2.9)
【出願人】(000003551)株式会社東海理化電機製作所 (3,198)
【Fターム(参考)】
【公開日】平成23年8月25日(2011.8.25)
【国際特許分類】
【出願日】平成22年2月9日(2010.2.9)
【出願人】(000003551)株式会社東海理化電機製作所 (3,198)
【Fターム(参考)】
[ Back to top ]