認証システム及び認証方法
【課題】本発明は、認証システム及び認証方法に係り、車両に電子機器を認証させるうえで計算処理を増大させることなく高いセキュリティ性を確保することにある。
【解決手段】走行可能な車両と通信接続した電子機器が所定機能を実行する前に、該車両に該電子機器を認証させるうえで、電子機器は、所定機能の実行が許可される有効位置の情報及び許可利用者情報を記憶し、車両と通信接続した際にその有効位置の情報及び許可利用者情報を含む認証情報を送信する。また、車両は、通信接続した電子機器から送信される認証情報を受信し、自車位置を検出し、利用者により入力される利用者の情報を取得し、自車位置が認証情報に情報として含まれる有効位置に合致するか否かを判別し、利用者の情報が認証情報に含まれる許可利用者情報に合致するか否かを判別し、自車位置が有効位置に合致すると判別されかつ利用者の情報が許可利用者情報に合致すると判別される場合に、電子機器での所定機能の実行を許可する。
【解決手段】走行可能な車両と通信接続した電子機器が所定機能を実行する前に、該車両に該電子機器を認証させるうえで、電子機器は、所定機能の実行が許可される有効位置の情報及び許可利用者情報を記憶し、車両と通信接続した際にその有効位置の情報及び許可利用者情報を含む認証情報を送信する。また、車両は、通信接続した電子機器から送信される認証情報を受信し、自車位置を検出し、利用者により入力される利用者の情報を取得し、自車位置が認証情報に情報として含まれる有効位置に合致するか否かを判別し、利用者の情報が認証情報に含まれる許可利用者情報に合致するか否かを判別し、自車位置が有効位置に合致すると判別されかつ利用者の情報が許可利用者情報に合致すると判別される場合に、電子機器での所定機能の実行を許可する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証システム及び認証方法に係り、特に、走行可能な車両と、その車両と通信接続して所定機能を実行する電子機器と、を備え、車両と通信接続した電子機器が所定機能を実行する前に、車両に電子機器を認証させるうえで好適な認証システム及び認証方法に関する。
【背景技術】
【0002】
従来、機器同士の認証に公開鍵暗号系を利用する認証システムが知られている(例えば、特許文献1参照)。この認証システムにおいては、複数の機器が情報交換を実施する前に、相互の認証が行われる。具体的には、複数の機器が情報交換前に相手方の公開鍵を用いて検証して相互認証を実施する。この認証に使われる情報としては、各機器の属性(シリアルナンバー)や情報の有効期限などを示す情報が含まれている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2007−274380号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかし、上記の如く認証が公開鍵暗号系を用いて行われる認証システムでは、一般的に、機器で必要な計算処理が増大するため、短時間で認証処理を完了させることが困難となり、或いは、短時間で認証処理を完了させるうえで計算機のコストが高くなる不都合が生じてしまう。一方、何らセキュリティ対策がとられないのは一定のセキュリティ強度を確保するうえで適切でない。
【0005】
本発明は、上述の点に鑑みてなされたものであり、車両に電子機器を認証させるうえで計算処理を増大させることなく高いセキュリティ性を確保することが可能な認証システム及び認証方法を提供することを目的とする。
【課題を解決するための手段】
【0006】
上記の目的は、走行可能な車両と、前記車両と通信接続して所定機能を実行する電子機器と、を備え、前記車両と通信接続した前記電子機器が前記所定機能を実行する前に、該車両に該電子機器を認証させる認証システムであって、前記電子機器は、前記所定機能の実行が許可される有効位置の情報及び利用者の認証に関する許可利用者情報を少なくとも記憶する記憶手段と、前記車両と通信接続した際に該車両へ前記記憶手段に記憶される前記有効位置の情報及び前記許可利用者情報を含む認証情報を送信する認証情報送信手段と、を有し、前記車両は、通信接続した前記電子機器から送信される前記認証情報を受信する認証情報受信手段と、自車位置を検出する自車位置検出手段と、利用者により入力される利用者の情報を取得する入力取得手段と、前記自車位置検出手段により検出される前記自車位置が前記認証情報受信手段により受信される前記認証情報に情報として含まれる前記有効位置に合致するか否かを判別する位置認証手段と、前記入力取得手段により取得される前記利用者の情報が前記認証情報受信手段により受信される前記認証情報に含まれる前記許可利用者情報に合致するか否かを判別するユーザ認証手段と、前記位置認証手段により前記自車位置が前記有効位置に合致すると判別されかつ前記ユーザ認証手段により前記利用者の情報が前記許可利用者情報に合致すると判別される場合に、前記電子機器での前記所定機能の実行を許可する機器作動許可手段と、を有する認証システムにより達成される。
【0007】
また、上記の目的は、走行可能な車両と通信接続した電子機器が所定機能を実行する前に、該車両に該電子機器を認証させる認証方法であって、前記電子機器が、前記車両と通信接続した際に該車両へ前記所定機能の実行が許可される有効位置の情報及び利用者の認証に関する許可利用者情報を含む認証情報を送信する認証情報送信ステップと、前記車両が、通信接続した前記電子機器から送信される前記認証情報を受信する認証情報受信ステップと、前記車両が自車位置を検出する自車位置検出ステップと、前記車両が利用者により入力される利用者の情報を取得する入力取得ステップと、前記車両が、前記自車位置検出ステップにおいて検出される前記自車位置が前記認証情報受信ステップにおいて受信される前記認証情報に情報として含まれる前記有効位置に合致するか否かを判別する位置認証ステップと、前記車両が、前記入力取得ステップにおいて取得される前記利用者の情報が前記認証情報受信ステップにおいて受信される前記認証情報に含まれる前記許可利用者情報に合致するか否かを判別するユーザ認証ステップと、前記車両が、前記位置認証ステップにおいて前記自車位置が前記有効位置に合致すると判別されかつ前記ユーザ認証ステップにおいて前記利用者の情報が前記許可利用者情報に合致すると判別される場合に、前記電子機器での前記所定機能の実行を許可する機器作動許可ステップと、を備える認証方法により達成される。
【発明の効果】
【0008】
本発明によれば、車両に電子機器を認証させるうえで計算処理を増大させることなく高いセキュリティ性を確保することができる。
【図面の簡単な説明】
【0009】
【図1】本発明の一実施例である認証システムの構成図である。
【図2】本実施例の認証システムが備える保守用機器と車両とが通信接続する前に保守用機器14が置かれる状態を表した図である。
【図3】本実施例においてアクセス権管理サーバが発行するアクセス権定義ファイルの具体的内容を表した図である。
【図4】本実施例においてアクセス権管理サーバが発行するアクセス権定義ファイルに含まれる有効地域の具体的内容を表した図である。
【図5】本実施例においてアクセス権管理サーバが発行するアクセス権定義ファイルに含まれる利用者情報の具体的内容を表した図である。
【図6】本実施例の認証システムにおいて車両側が実行するメインルーチンの一例のフローチャートである。
【図7】本実施例の認証システムにおいて車両側が実行するサブルーチンの一例のフローチャートである。
【発明を実施するための形態】
【0010】
以下、図面を用いて、本発明に係る認証システムの具体的な実施の形態について説明する。
【0011】
図1は、本発明の一実施例である認証システム10の構成図を示す。図1に示す如く、本実施例の認証システム10は、走行して移動可能な車両12と、該車両12と通信接続して後述の所定機能を実行する保守用機器14と、を備えている。認証システム10は、車両12と通信接続した保守用機器14が所定機能を実行する前に、その車両12にその保守用機器14を認証させる車両用認証システムである。
【0012】
保守用機器14は、マイクロコンピュータを主体に構成されており、メモリなどを有する電子機器である。保守用機器14は、例えば、車両整備会社や車両ディーラー,車両修理工場ごとに少なくとも一台ずつ設けられた、車両保守を行うための機器である。保守用機器14の実行する所定機能は、例えば、車両12に搭載される各電子制御ユニット(ECU)などに蓄積されている故障データを収集して車両故障を診断するための機能や、ECUの有するデータやソフトウェアを更新するための機能のことである。保守用機器14は、インターフェースを介して車両12と通信接続される。保守用機器14は、インターフェースにより車両12に対して脱着可能である。
【0013】
図2は、本実施例の認証システム10が備える保守用機器14と車両12とが通信接続する前に保守用機器14が置かれる状態を表した図を示す。保守用機器14は、車両12と通信接続される前、サーバ接続PC16を通じてネットワークに接続された状態に置かれ、そのネットワークを介してアクセス権管理サーバ18にアクセス可能である。サーバ接続PC16は、正規の車両整備会社や車両ディーラー,車両修理工場などに設置されたPCである。保守用機器14は、サーバ接続PC16に対して脱着可能である。
【0014】
アクセス権管理サーバ18は、アクセス権管理サービス会社や行政,企業などが運営する認証局に設置されており、ネットワークを介して接続するサーバ接続PC16を通じて保守用機器14が必要とするアクセス権定義ファイルを発行することが可能である。保守用機器14は、サーバ接続PC16を通じてアクセスするアクセス権管理サーバ18から発行されるアクセス権定義ファイルを取得して、メモリに格納するアクセス権定義ファイルを更新することが可能である。
【0015】
アクセス権管理サーバ18は、予め、アクセスし得る保守用機器14ごとに、他の保守用機器14と識別するためのID、保守用機器14において実行が許可される機能、保守用機器14において実行が許可される地域(例えば、保守用機器14が設置されるディーラーの敷地内やそのディーラーが置かれている町,区,市など;以下、有効地域と称す。)、保守用機器14の使用が許可される利用者の情報(具体的には、その許可利用者(例えば、車両整備会社の従業員など)の人数、並びに、その許可利用者ごとの利用者ID及びそのパスワード)の各種情報などをメモリに格納している。
【0016】
図3は、本実施例のアクセス権管理サーバ18が発行するアクセス権定義ファイルの具体的内容を表した図を示す。図4は、本実施例のアクセス権管理サーバ18が発行するアクセス権定義ファイルに含まれる有効地域の具体的内容を表した図を示す。また、図5は、本実施例においてアクセス権管理サーバ18が発行するアクセス権定義ファイルに含まれる利用者情報の具体的内容を表した図を示す。
【0017】
アクセス権管理サーバ18が発行するアクセス権定義ファイルは、例えば図3に示す如く、そのアクセス権定義ファイルの発行ID、そのアクセス権定義ファイルの発行先である保守用機器14のID、その保守用機器14での実行が許可される許可機能(例えば、故障診断機能のみなど)、その保守用機器14での所定機能の実行が許可される有効期限(例えば、○月×日△時までなど)、その保守用機器14での所定機能の実行が許可される有効地域、その保守用機器14の使用(特に、所定機能を実行させる使用)が許可される許可利用者の情報(許可利用者情報)、及び、そのアクセル権定義ファイルを発行する発行元である発行者の署名などの各種情報を含む。また、そのアクセル権定義ファイル内の有効地域の情報は、例えば図4に示す如く、有効地域の北限の緯度、南限の緯度、東端の経度、及び西端の経度の各種情報を含む。尚、上記の許可利用者情報は、例えば図5に示す如く、許可利用者の総人数n並びにその許可利用者ごとのID1,・・・,IDn及びパスワードのハッシュ値を含む。
【0018】
車両12は、保守用機器14とインターフェースを介して通信接続される保守用機器接続ECU20を有している。保守用機器接続ECU20は、車載LAN22に接続されており、車載LAN22の通信プロトコルに従った通信を、その車載LAN22に接続する車載機器との間で実行することが可能である。保守用機器接続ECU20は、後に詳述する如く、インターフェースを介して通信接続した保守用機器14の所定機能の実行を許可・拒否する権限(すなわち、その保守用機器14の認証を行う機能)を有していると共に、保守用機器14の認証が完了した場合はその保守用機器14の所定機能の実行に必要な車両データなどを車載LAN22を介して収集してその保守用機器14に対して転送することが可能である。
【0019】
また、保守用機器接続ECU20は、時計を内蔵している。この時計は、例えば標準電波を送信する送信局からの電波を受信して現在時刻を示す時刻データを取得することが可能であり、現在時刻を刻むことができる。保守用機器接続ECU20は、時計の刻む現在時刻に基づいて現在時刻を取得することが可能である。また、保守用機器接続ECU20は、利用者に入力可能な操作手段を有している。この操作手段は、車両12の車室内などに設けられている。保守用機器接続ECU20は、操作手段への入力に従って入力情報を特定することができる。
【0020】
車載LAN22には、カーナビゲーションシステム24が接続されている。カーナビゲーションシステム24は、地球を周回する複数のGPS衛星から電波として送られるGPS信号を受信して、それらの受信した各GPS信号を用いた高度な計算結果に基づいて、車両12の地球上における地理的な位置(自車位置)を少なくとも緯度及び経度の情報として検出することが可能である。カーナビゲーションシステム24は、例えば、検出した自車位置を示すマークを、運転者などに視認可能な表示ディスプレイ上で道路地図に重ねて表示することが可能である。また、カーナビゲーションシステム24は、所定周期で自車位置の検出を行い、その検出ごとに自車位置情報を車載LAN22に送出する。保守用機器接続ECU20は、カーナビゲーションシステム24から車載LAN22へ送出される自車位置情報を受信してその自車位置情報を取得しメモリに一時記憶することが可能である。
【0021】
次に、図6及び図7を参照して、本実施例の認証システム10の認証動作について説明する。図6は、本実施例の認証システム10において車両12の保守用機器接続ECU20が実行するメインルーチンの一例のフローチャートを示す。また、図7は、本実施例の認証システム10において車両12の保守用機器接続ECU20が実行するサブルーチンの一例のフローチャートを示す。
【0022】
本実施例において、保守用機器14は、車両12と通信接続される前すなわち所定機能を実行する前は、サーバ接続PC16に接続されて、ネットワークを介してアクセル権管理サーバ18にアクセス可能である(図2参照)。尚、この保守用機器14のサーバ接続PC16を通じたネットワークへの接続は、正規の車両整備会社などにおいて入室を制限された部屋の中で行われることが好ましい。また、保守用機器14をサーバ接続PC16に接続させ又はネットワークを介してアクセス権管理サーバ18にアクセスさせるうえで、利用者にID及びパスワードの入力を要求することとしてもよく、更に、この場合に入力すべきID及びパスワードを、後述の如く車両12が保守用機器14での所定機能の実行を許可するうえで利用者が入力すべきID及びパスワードと共通化することとしてもよい。また、セキュリティ強度を高めるために、入力すべきID及びパスワードを、車両12が保守用機器14での所定機能の実行を許可するうえで利用者が入力すべきID及びパスワードとは別のものとしてもよい。
【0023】
保守用機器14は、車両12と通信接続されて所定機能を実行するうえで、その直前に、まず、サーバ接続PC16に接続された状態で、アクセス権管理サーバ18にアクセスしてアクセス権定義ファイルの更新を要求する。尚、この保守用機器14による更新要求は、その保守用機器14のIDを特定して行われる。アクセス権管理サーバ18は、サーバ接続PC16を介して通信接続された保守用機器14からアクセス権定義ファイルの更新要求を受けた場合、メモリに格納されたその保守用機器14に対応する情報に基づいて、図3に示す如き情報を含むアクセス権定義ファイルを生成して発行する。この生成・発行されるアクセス権定義ファイルには、その生成・発行時点を基準として保守用機器14での所定機能の実行が許可される有効期限や有効地域などの情報が含まれる。
【0024】
保守用機器14は、上記の如くアクセス権管理サーバ18に対してアクセス権定義ファイルの更新要求を行った後、そのアクセス権管理サーバ18の発行するアクセス権定義ファイルを取得してメモリに記憶する。つまり、メモリに記憶するアクセス権定義ファイルを最新のものに更新する。そして、保守用機器14がアクセス権定義ファイルをメモリに記憶した後、利用者(保守員)は、その保守用機器14とサーバ接続PC16との接続を解除する。保守用機器14は、アクセス権管理サーバ18の発行するアクセス権定義ファイルを取得してメモリに記憶し、サーバ接続PC16との接続が解除された後、次に、利用者により保守対象の車両12の近傍或いはその車室内に持っていかれ、その車両12の保守用機器接続ECU20にインターフェースを介して通信接続される(図1参照)。
【0025】
車両12の保守用機器接続ECU20は、保守用機器14との通信接続を検知することが可能であって、その通信接続を検知した場合には、その通信接続する保守用機器14のアクセス権判定を行う。
【0026】
すなわち、保守用機器接続ECU20は、通信接続する保守用機器14からその保守用機器14がメモリに格納するアクセス権定義ファイルを取得する(ステップ100)。そして、その取得したアクセス権定義ファイルのフォーム(形式)、並びに、そのアクセス権定義ファイルに含まれる、保守用機器14での所定機能の実行が許可される有効期限及びそのアクセス権定義ファイルを発行した発行者の署名、をそれぞれ検証する(ステップ110)。その検証の結果、取得したアクセス権定義ファイルのフォーム、有効期限、及び発行者署名の何れもが、アクセス許可される所望のものと合致すると判別した場合(ステップ120の肯定判定時)は、次に、その取得したアクセス権定義ファイルに含まれる保守用機器14での所定機能の実行が許可される有効地域を検証する(ステップ130)。
【0027】
具体的には、保守用機器接続ECU20は、ステップ130における有効地域の検証のため、まず、その取得したアクセス権定義ファイルに含まれる保守用機器14での所定機能の実行が許可される有効地域の情報から、その有効地域の北限、南限、東端、及び西端の情報を取得する(ステップ132)と共に、カーナビゲーションシステム24がGPS信号に基づいて検出しそのカーナビゲーションシステム24から車載LAN22へ送出された自車位置情報を受信して自車両12が位置する現在位置の緯度及び経度の情報を取得する(ステップ134)。尚、カーナビゲーションシステム24は、所定周期でGPS信号に基づいて自車位置を検出してその自車位置情報を車載LAN22へ送出すると共に、保守用機器接続ECU20は、自車両12の現在位置の情報として常に最新の情報をカーナビゲーションシステム24から車載LAN22を通じて取得してメモリに一時記憶する。
【0028】
保守用機器接続ECU20は、上記ステップ134で情報取得した自車両12の現在位置を示す緯度及び経度が、上記ステップ132で情報取得した有効地域の北限及び南限の緯度並びに東端及び西端の経度に囲まれる領域範囲内にあるか否かを判別する(ステップ136)。自車両12の現在位置が有効地域の領域範囲内にない場合は、自車両12が保守用機器14の所定機能の実行が許可される有効地域内に存在しないので、保守用機器14にその所定機能を実行させることは妥当でない。一方、自車両12の現在位置が有効地域の領域範囲内にある場合は、自車両12が保守用機器14の所定機能の実行が許可される有効地域内に存在するので、保守用機器14にその所定機能を実行させることとしても許される。
【0029】
保守用機器接続ECU20は、上記の如き有効地域の検証の結果、自車両12の現在位置が有効地域の領域範囲内にあると判別した場合(ステップ140の肯定判定時)は、次に、通信接続する保守用機器14を使用しようとする利用者の認証を行う(ステップ150)。具体的には、その保守用機器14を使用しようとする利用者にID及びパスワードの入力を要求すると共に、その要求に従って入力されたID及びパスワードが、取得したアクセス権定義ファイルに含まれる保守用機器14の使用が許可される許可利用者のID及びパスワードに一致するか否かの判別を行う。
【0030】
その利用者認証の結果、入力ID及び入力パスワードが所望のものに合致すると判別した場合(ステップ160の肯定判定時)は、次に、通信接続する保守用機器14の所定機能の実行を許可する処理を行う(ステップ170)。具体的には、その通信接続する保守用機器14に対してアクセス権定義ファイルに含まれる実行許可がされている許可機能の実行を許可する指令をインターフェースを介して行う。この場合、保守用機器接続ECU20と通信接続する保守用機器14は、その保守用機器接続ECU20からの実行許可指令に従って、その許可された所定機能を実行する。例えば、車両12の故障診断機能を実施し或いは車両12内のECUのデータやソフトウェアの更新などを実行する。
【0031】
尚、保守用機器接続ECU20は、保守用機器14から取得したアクセス権定義ファイルのフォーム、有効期限、及び発行者署名の何れか一つが所望のものと合致しないと判別した場合(ステップ120の否定判定時)、自車両12の現在位置が有効地域の領域範囲外にあると判別した場合(ステップ140の否定判定時)、及び、保守用機器14を使用しようとする利用者が許可利用者に該当しないと判別した場合(ステップ160の否定判定時)は、次に、通信接続する保守用機器14の所定機能の実行を拒否する処理を行う(ステップ180)。具体的には、その通信接続する保守用機器14に対して機能の実行を拒否する旨をインターフェースを介して伝える、或いは、機能の実行を許可する指令を発しない。この場合、保守用機器接続ECU20と通信接続する保守用機器14は、所定機能を実行しない。
【0032】
このように、本実施例の認証システム10においては、車両12の保守用機器接続ECU20が、通信接続された保守用機器14を認証するうえで、アクセス権管理サーバ18が発行しその保守用機器14から送られるアクセス権定義ファイルに含まれるその保守用機器14での所定機能の実行が許可される有効期限や発行者署名などの検証を行うだけでなく、そのアクセス権定義ファイルに含まれるその保守用機器14での所定機能の実行が許可される有効地域の領域範囲内に自車両12が存在するか否かの検証、及び、利用者の入力ID及び入力パスワードがそのアクセス権定義ファイルに含まれる許可利用者のID及びパスワードに一致するか否かの利用者認証を行う。
【0033】
そして、現時点が有効期限内にありかつ発行者の署名が確認されたうえで、自車両12が有効地域内に存在しかつその保守用機器14の利用者のID及びパスワードが所望のものに合致する場合に、通信接続された保守用機器14の認証がとれたと判定し、その保守用機器14での所定機能の実行を許可する。一方、現時点が有効期限を過ぎており、発行者の署名の確認がとれず、自車両12が有効地域内に存在せず、又は保守用機器14の利用者のID及びパスワードが所望のものに合致しない場合には、通信接続された保守用機器14の認証がとれないと判定し、その保守用機器14での所定機能の実行を拒否する。
【0034】
すなわち、本実施例においては、車両12が保守用機器14の作動が許可される有効地域内に存在する場合に、その車両12が通信接続する保守用機器14を認証してその保守用機器14の機能実行を許可することができる。逆に、保守用機器14の認証がとれてその保守用機器14の実行が許可されるのは、アクセス権管理サーバ18により発行されるアクセス権定義ファイルに含まれる有効地域の領域範囲内に車両12が存在する場合に限定される。
【0035】
車両12による保守用機器14の認証に用いられる自車位置は、GPS衛星から送られるGPS信号に基づいて車両12のカーナビゲーションシステム24が検出したものである。GPS衛星からのGPS信号(電波)は、改ざんが非常に難しいものであるので、そのGPS信号に基づいて検出される自車位置は、信頼性の高い情報であって、車両12の保守用機器接続ECU20内で取得される自車位置の情報を書き換えることは難しい。このため、本実施例の構成によれば、有効地域外で車両12に通信接続する保守用機器14を認証させることは極めて困難であり、その結果として、車両12を盗難した第三者が有効地域外で無断で保守用機器14の所定機能を実行させて車両12から各種データを吸い上げることなどを防止することができる。
【0036】
また、本実施例の認証システム10においては、カーナビゲーションシステム24が、所定周期でGPS信号に基づいて自車位置を検出してその自車位置情報を車載LAN22へ送出すると共に、保守用機器接続ECU20が、自車両12の現在位置の情報として最新の情報をカーナビゲーションシステム24から車載LAN22を通じて取得してメモリに一時記憶し、そして、その更新された最新の現在位置が有効地域の領域範囲内にあるかを判別する。かかる構成によれば、当初は車両12が有効地域内にあっても、その後、車両12が走行して有効地域外へ出た際に、通信接続する保守用機器14の認証がとれなくなったとして、車両12がその保守用機器14の機能実行を拒否することができる。
【0037】
従って、本実施例の認証システム10によれば、車両12と保守用機器14との認証におけるセキュリティ性を向上させることができる。
【0038】
尚、保守用機器接続ECU20は、カーナビゲーションシステム24から車載LAN22を通じて所定周期で送られる自車位置情報を取得するが、その自車位置情報の取得ができなかった場合にも、メモリに一時記憶されている最後に取得した自車位置情報を用いて有効地域の検証を行う。このため、かかる構成によれば、GPS衛星からのGPS信号が届かない場所(例えば、トンネル内や地下など)に車両12が位置するときに、自車位置情報を用いた有効地域の検証が行われなくなるのを防止することができるので、車両12と保守用機器14との認証を適切に行うことができる。
【0039】
また、本実施例の認証システム10においては、車両12が通信接続する保守用機器14での所定機能の実行が許可される有効地域の領域範囲内に存在するか否かの検証が行われた結果として、車両12がその有効地域内に存在すると判別された後、利用者の入力ID及び入力パスワードがその保守用機器14から取得したアクセス権定義ファイルに含まれる許可利用者のID及びパスワードに一致するか否かの利用者認証が行われる。すなわち、有効期限や有効地域及び発行者署名などに基づく保守用機器14自体の機器認証に加えて、入力IDや入力パスワードに基づく保守用機器14を使用しようとする利用者の利用者認証が行われる。
【0040】
かかる構成によれば、車両12での通信接続する保守用機器14の認証として、その保守用機器14がアクセス権管理サーバ18から取得したアクセス権定義ファイルに含まれる有効期限や有効地域及び発行者署名などの情報に基づく保守用機器14自体の機器認証だけでなく、その保守用機器14を使用しようとする利用者のID及びパスワードに基づく利用者の利用者認証が含まれることとなり、保守用機器14の認証が互いに異なる2つの認証形態からなる。このため、保守用機器14が仮に盗難された場合にも、その保守用機器14の使用が許可されるのを抑制することができ、保守用機器14の盗難による悪用を抑止することができるので、セキュリティ性を向上させることができる。また逆に、このようにセキュリティ性を向上させることができれば、車両12と保守用機器14との間で公開鍵暗号系を用いて認証をとる必要性はあまり無い。
【0041】
従って、本実施例の認証システム10によれば、車両12に保守用機器14を認証させるうえで、公開鍵暗号系のものと異なり、計算処理を増大させることなく又は高コスト化を招くことなく高いセキュリティ性を確保することが可能となっている。
【0042】
また、本実施例においては、車両12が通信接続する保守用機器14の認証を行ううえで、保守用機器14がアクセス権管理サーバ18から発行されたアクセス権定義ファイルを取得して有効期限、有効地域、及び利用者の情報を取得するタイミングは、その認証直前であることが好ましい。これは、かかる構成によれば、アクセス権定義ファイルに含める有効期限、有効地域、及び利用者の各情報を必要最小限に抑えることができるので、保守用機器14の認証がとれて保守用機器14の機能実行が許可される時刻や地域,利用者を限定することができ、その結果として、万一の盗難に対する悪用のリスクを最小限に抑制することが可能となる、からである。
【0043】
尚、上記の実施例においては、保守用機器14が特許請求の範囲に記載した「電子機器」に、有効地域内の各位置が特許請求の範囲に記載した「有効位置」に、保守用機器14のメモリが特許請求の範囲に記載した「記憶手段」に、保守用機器14が車両12の保守用機器接続ECU20と通信接続した際にその保守用機器接続ECU20へメモリに格納したアクセス権管理サーバ18からのアクセス権定義ファイルを送信することが特許請求の範囲に記載した「認証情報送信手段」及び「認証情報送信ステップ」に、アクセス権定義ファイルが特許請求の範囲に記載した「認証情報」に、保守用機器接続ECU20が保守用機器14からのアクセス権定義ファイルを受信することが特許請求の範囲に記載した「認証情報受信手段」及び「認証情報受信ステップ」に、カーナビゲーションシステム24がGPS衛星からのGPS信号に基づいて自車両12の現在位置を検出することが特許請求の範囲に記載した「自車位置検出手段」及び「自車位置検出ステップ」に、保守用機器接続ECU20がステップ130,140の処理を実行することが特許請求の範囲に記載した「位置認証手段」及び「位置認証ステップ」に、保守用機器接続ECU20がステップ150,160の処理を実行することが特許請求の範囲に記載した「ユーザ認証手段」及び「ユーザ認証ステップ」に、また、保守用機器接続ECU20がステップ170の処理を実行することが特許請求の範囲に記載した「機器作動許可手段」及び「機器作動許可ステップ」に、それぞれ相当している。
【0044】
ところで、上記の実施例においては、車両12の保守用機器接続ECU20が、通信接続された保守用機器14の認証を行った際、その接続ログ情報として、その認証に用いた、その保守用機器14から送られたアクセス権定義ファイルの発行ID、そのアクセス権定義ファイルに含まれる有効地域と比較された自車位置及び時刻、並びに利用者IDなどの各情報を纏めて不揮発性のメモリに保存しておくこととしてもよい。かかる変形例によれば、保守用機器14が有効地域内で不正に使用されて車両12と通信接続された場合にも、その不正使用が行われたことを記録として残すことができるので、保守用機器14の不正使用自体を抑止することができると共に、また、その不正使用が行われたときはその不正使用が行われた日時や位置,利用者の記録を残すことができる。
【0045】
また、上記の実施例においては、保守用機器14での所定機能の実行が許可される有効地域の情報として、その有効地域の北限の緯度、南限の緯度、東端の経度、及び西端の経度の情報を用いているが、かかる有効地域は正方形や長方形の四角形状に囲まれた領域に限定されるものではなく、かかる有効地域として、円形状に囲まれた領域(すなわちある中心を定めてその中心から所定距離内にある領域)や楕円形状に囲まれた領域などを設定することとしてもよく、また、三角形や五角形の形状としたものを用いることとしてもよい。
【0046】
また、上記の実施例においては、保守用機器14での所定機能の実行が許可される場所を、ある領域範囲を有する上記した有効地域としているが、ピンポイントの特定位置(有効位置)としてもよい。
【0047】
更に、上記の実施例においては、車両12に搭載され保守用機器14と通信接続する保守用機器接続ECU20に、利用者が入力可能な操作手段を設け、車両12に通信接続する保守用機器14を使用する利用者を認証させることとしているが、保守用機器接続ECU20と車載LAN22を介して接続するカーナビゲーションシステム24に、利用者が入力可能な操作手段(Human Machine Interface)を設け、車両12に通信接続する保守用機器14を使用する利用者を認証させることとしてもよい。かかる変形例においては、保守用機器接続ECU20が、通信接続する保守用機器14からアクセス権定義ファイルを取得した場合に、そのアクセス権定義ファイルに含まれる許可利用者情報を車載LAN22を介してカーナビゲーションシステム24に送り、そのカーナビゲーションシステム24が、操作手段に入力されるID及びパスワードがその許可利用者情報としてのID及びパスワードに一致するか否かの利用者認証を行い、その利用者認証結果を車載LAN22を介して保守用機器接続ECU20に送る。そして、保守用機器接続ECU20がカーナビゲーションシステム24からの利用者認証結果に基づいて保守用機器14の所定機能の実行可否を判断する。
【符号の説明】
【0048】
10 認証システム
12 車両
14 保守用機器
20 保守用機器接続ECU
24 カーナビゲーションシステム
【技術分野】
【0001】
本発明は、認証システム及び認証方法に係り、特に、走行可能な車両と、その車両と通信接続して所定機能を実行する電子機器と、を備え、車両と通信接続した電子機器が所定機能を実行する前に、車両に電子機器を認証させるうえで好適な認証システム及び認証方法に関する。
【背景技術】
【0002】
従来、機器同士の認証に公開鍵暗号系を利用する認証システムが知られている(例えば、特許文献1参照)。この認証システムにおいては、複数の機器が情報交換を実施する前に、相互の認証が行われる。具体的には、複数の機器が情報交換前に相手方の公開鍵を用いて検証して相互認証を実施する。この認証に使われる情報としては、各機器の属性(シリアルナンバー)や情報の有効期限などを示す情報が含まれている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2007−274380号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかし、上記の如く認証が公開鍵暗号系を用いて行われる認証システムでは、一般的に、機器で必要な計算処理が増大するため、短時間で認証処理を完了させることが困難となり、或いは、短時間で認証処理を完了させるうえで計算機のコストが高くなる不都合が生じてしまう。一方、何らセキュリティ対策がとられないのは一定のセキュリティ強度を確保するうえで適切でない。
【0005】
本発明は、上述の点に鑑みてなされたものであり、車両に電子機器を認証させるうえで計算処理を増大させることなく高いセキュリティ性を確保することが可能な認証システム及び認証方法を提供することを目的とする。
【課題を解決するための手段】
【0006】
上記の目的は、走行可能な車両と、前記車両と通信接続して所定機能を実行する電子機器と、を備え、前記車両と通信接続した前記電子機器が前記所定機能を実行する前に、該車両に該電子機器を認証させる認証システムであって、前記電子機器は、前記所定機能の実行が許可される有効位置の情報及び利用者の認証に関する許可利用者情報を少なくとも記憶する記憶手段と、前記車両と通信接続した際に該車両へ前記記憶手段に記憶される前記有効位置の情報及び前記許可利用者情報を含む認証情報を送信する認証情報送信手段と、を有し、前記車両は、通信接続した前記電子機器から送信される前記認証情報を受信する認証情報受信手段と、自車位置を検出する自車位置検出手段と、利用者により入力される利用者の情報を取得する入力取得手段と、前記自車位置検出手段により検出される前記自車位置が前記認証情報受信手段により受信される前記認証情報に情報として含まれる前記有効位置に合致するか否かを判別する位置認証手段と、前記入力取得手段により取得される前記利用者の情報が前記認証情報受信手段により受信される前記認証情報に含まれる前記許可利用者情報に合致するか否かを判別するユーザ認証手段と、前記位置認証手段により前記自車位置が前記有効位置に合致すると判別されかつ前記ユーザ認証手段により前記利用者の情報が前記許可利用者情報に合致すると判別される場合に、前記電子機器での前記所定機能の実行を許可する機器作動許可手段と、を有する認証システムにより達成される。
【0007】
また、上記の目的は、走行可能な車両と通信接続した電子機器が所定機能を実行する前に、該車両に該電子機器を認証させる認証方法であって、前記電子機器が、前記車両と通信接続した際に該車両へ前記所定機能の実行が許可される有効位置の情報及び利用者の認証に関する許可利用者情報を含む認証情報を送信する認証情報送信ステップと、前記車両が、通信接続した前記電子機器から送信される前記認証情報を受信する認証情報受信ステップと、前記車両が自車位置を検出する自車位置検出ステップと、前記車両が利用者により入力される利用者の情報を取得する入力取得ステップと、前記車両が、前記自車位置検出ステップにおいて検出される前記自車位置が前記認証情報受信ステップにおいて受信される前記認証情報に情報として含まれる前記有効位置に合致するか否かを判別する位置認証ステップと、前記車両が、前記入力取得ステップにおいて取得される前記利用者の情報が前記認証情報受信ステップにおいて受信される前記認証情報に含まれる前記許可利用者情報に合致するか否かを判別するユーザ認証ステップと、前記車両が、前記位置認証ステップにおいて前記自車位置が前記有効位置に合致すると判別されかつ前記ユーザ認証ステップにおいて前記利用者の情報が前記許可利用者情報に合致すると判別される場合に、前記電子機器での前記所定機能の実行を許可する機器作動許可ステップと、を備える認証方法により達成される。
【発明の効果】
【0008】
本発明によれば、車両に電子機器を認証させるうえで計算処理を増大させることなく高いセキュリティ性を確保することができる。
【図面の簡単な説明】
【0009】
【図1】本発明の一実施例である認証システムの構成図である。
【図2】本実施例の認証システムが備える保守用機器と車両とが通信接続する前に保守用機器14が置かれる状態を表した図である。
【図3】本実施例においてアクセス権管理サーバが発行するアクセス権定義ファイルの具体的内容を表した図である。
【図4】本実施例においてアクセス権管理サーバが発行するアクセス権定義ファイルに含まれる有効地域の具体的内容を表した図である。
【図5】本実施例においてアクセス権管理サーバが発行するアクセス権定義ファイルに含まれる利用者情報の具体的内容を表した図である。
【図6】本実施例の認証システムにおいて車両側が実行するメインルーチンの一例のフローチャートである。
【図7】本実施例の認証システムにおいて車両側が実行するサブルーチンの一例のフローチャートである。
【発明を実施するための形態】
【0010】
以下、図面を用いて、本発明に係る認証システムの具体的な実施の形態について説明する。
【0011】
図1は、本発明の一実施例である認証システム10の構成図を示す。図1に示す如く、本実施例の認証システム10は、走行して移動可能な車両12と、該車両12と通信接続して後述の所定機能を実行する保守用機器14と、を備えている。認証システム10は、車両12と通信接続した保守用機器14が所定機能を実行する前に、その車両12にその保守用機器14を認証させる車両用認証システムである。
【0012】
保守用機器14は、マイクロコンピュータを主体に構成されており、メモリなどを有する電子機器である。保守用機器14は、例えば、車両整備会社や車両ディーラー,車両修理工場ごとに少なくとも一台ずつ設けられた、車両保守を行うための機器である。保守用機器14の実行する所定機能は、例えば、車両12に搭載される各電子制御ユニット(ECU)などに蓄積されている故障データを収集して車両故障を診断するための機能や、ECUの有するデータやソフトウェアを更新するための機能のことである。保守用機器14は、インターフェースを介して車両12と通信接続される。保守用機器14は、インターフェースにより車両12に対して脱着可能である。
【0013】
図2は、本実施例の認証システム10が備える保守用機器14と車両12とが通信接続する前に保守用機器14が置かれる状態を表した図を示す。保守用機器14は、車両12と通信接続される前、サーバ接続PC16を通じてネットワークに接続された状態に置かれ、そのネットワークを介してアクセス権管理サーバ18にアクセス可能である。サーバ接続PC16は、正規の車両整備会社や車両ディーラー,車両修理工場などに設置されたPCである。保守用機器14は、サーバ接続PC16に対して脱着可能である。
【0014】
アクセス権管理サーバ18は、アクセス権管理サービス会社や行政,企業などが運営する認証局に設置されており、ネットワークを介して接続するサーバ接続PC16を通じて保守用機器14が必要とするアクセス権定義ファイルを発行することが可能である。保守用機器14は、サーバ接続PC16を通じてアクセスするアクセス権管理サーバ18から発行されるアクセス権定義ファイルを取得して、メモリに格納するアクセス権定義ファイルを更新することが可能である。
【0015】
アクセス権管理サーバ18は、予め、アクセスし得る保守用機器14ごとに、他の保守用機器14と識別するためのID、保守用機器14において実行が許可される機能、保守用機器14において実行が許可される地域(例えば、保守用機器14が設置されるディーラーの敷地内やそのディーラーが置かれている町,区,市など;以下、有効地域と称す。)、保守用機器14の使用が許可される利用者の情報(具体的には、その許可利用者(例えば、車両整備会社の従業員など)の人数、並びに、その許可利用者ごとの利用者ID及びそのパスワード)の各種情報などをメモリに格納している。
【0016】
図3は、本実施例のアクセス権管理サーバ18が発行するアクセス権定義ファイルの具体的内容を表した図を示す。図4は、本実施例のアクセス権管理サーバ18が発行するアクセス権定義ファイルに含まれる有効地域の具体的内容を表した図を示す。また、図5は、本実施例においてアクセス権管理サーバ18が発行するアクセス権定義ファイルに含まれる利用者情報の具体的内容を表した図を示す。
【0017】
アクセス権管理サーバ18が発行するアクセス権定義ファイルは、例えば図3に示す如く、そのアクセス権定義ファイルの発行ID、そのアクセス権定義ファイルの発行先である保守用機器14のID、その保守用機器14での実行が許可される許可機能(例えば、故障診断機能のみなど)、その保守用機器14での所定機能の実行が許可される有効期限(例えば、○月×日△時までなど)、その保守用機器14での所定機能の実行が許可される有効地域、その保守用機器14の使用(特に、所定機能を実行させる使用)が許可される許可利用者の情報(許可利用者情報)、及び、そのアクセル権定義ファイルを発行する発行元である発行者の署名などの各種情報を含む。また、そのアクセル権定義ファイル内の有効地域の情報は、例えば図4に示す如く、有効地域の北限の緯度、南限の緯度、東端の経度、及び西端の経度の各種情報を含む。尚、上記の許可利用者情報は、例えば図5に示す如く、許可利用者の総人数n並びにその許可利用者ごとのID1,・・・,IDn及びパスワードのハッシュ値を含む。
【0018】
車両12は、保守用機器14とインターフェースを介して通信接続される保守用機器接続ECU20を有している。保守用機器接続ECU20は、車載LAN22に接続されており、車載LAN22の通信プロトコルに従った通信を、その車載LAN22に接続する車載機器との間で実行することが可能である。保守用機器接続ECU20は、後に詳述する如く、インターフェースを介して通信接続した保守用機器14の所定機能の実行を許可・拒否する権限(すなわち、その保守用機器14の認証を行う機能)を有していると共に、保守用機器14の認証が完了した場合はその保守用機器14の所定機能の実行に必要な車両データなどを車載LAN22を介して収集してその保守用機器14に対して転送することが可能である。
【0019】
また、保守用機器接続ECU20は、時計を内蔵している。この時計は、例えば標準電波を送信する送信局からの電波を受信して現在時刻を示す時刻データを取得することが可能であり、現在時刻を刻むことができる。保守用機器接続ECU20は、時計の刻む現在時刻に基づいて現在時刻を取得することが可能である。また、保守用機器接続ECU20は、利用者に入力可能な操作手段を有している。この操作手段は、車両12の車室内などに設けられている。保守用機器接続ECU20は、操作手段への入力に従って入力情報を特定することができる。
【0020】
車載LAN22には、カーナビゲーションシステム24が接続されている。カーナビゲーションシステム24は、地球を周回する複数のGPS衛星から電波として送られるGPS信号を受信して、それらの受信した各GPS信号を用いた高度な計算結果に基づいて、車両12の地球上における地理的な位置(自車位置)を少なくとも緯度及び経度の情報として検出することが可能である。カーナビゲーションシステム24は、例えば、検出した自車位置を示すマークを、運転者などに視認可能な表示ディスプレイ上で道路地図に重ねて表示することが可能である。また、カーナビゲーションシステム24は、所定周期で自車位置の検出を行い、その検出ごとに自車位置情報を車載LAN22に送出する。保守用機器接続ECU20は、カーナビゲーションシステム24から車載LAN22へ送出される自車位置情報を受信してその自車位置情報を取得しメモリに一時記憶することが可能である。
【0021】
次に、図6及び図7を参照して、本実施例の認証システム10の認証動作について説明する。図6は、本実施例の認証システム10において車両12の保守用機器接続ECU20が実行するメインルーチンの一例のフローチャートを示す。また、図7は、本実施例の認証システム10において車両12の保守用機器接続ECU20が実行するサブルーチンの一例のフローチャートを示す。
【0022】
本実施例において、保守用機器14は、車両12と通信接続される前すなわち所定機能を実行する前は、サーバ接続PC16に接続されて、ネットワークを介してアクセル権管理サーバ18にアクセス可能である(図2参照)。尚、この保守用機器14のサーバ接続PC16を通じたネットワークへの接続は、正規の車両整備会社などにおいて入室を制限された部屋の中で行われることが好ましい。また、保守用機器14をサーバ接続PC16に接続させ又はネットワークを介してアクセス権管理サーバ18にアクセスさせるうえで、利用者にID及びパスワードの入力を要求することとしてもよく、更に、この場合に入力すべきID及びパスワードを、後述の如く車両12が保守用機器14での所定機能の実行を許可するうえで利用者が入力すべきID及びパスワードと共通化することとしてもよい。また、セキュリティ強度を高めるために、入力すべきID及びパスワードを、車両12が保守用機器14での所定機能の実行を許可するうえで利用者が入力すべきID及びパスワードとは別のものとしてもよい。
【0023】
保守用機器14は、車両12と通信接続されて所定機能を実行するうえで、その直前に、まず、サーバ接続PC16に接続された状態で、アクセス権管理サーバ18にアクセスしてアクセス権定義ファイルの更新を要求する。尚、この保守用機器14による更新要求は、その保守用機器14のIDを特定して行われる。アクセス権管理サーバ18は、サーバ接続PC16を介して通信接続された保守用機器14からアクセス権定義ファイルの更新要求を受けた場合、メモリに格納されたその保守用機器14に対応する情報に基づいて、図3に示す如き情報を含むアクセス権定義ファイルを生成して発行する。この生成・発行されるアクセス権定義ファイルには、その生成・発行時点を基準として保守用機器14での所定機能の実行が許可される有効期限や有効地域などの情報が含まれる。
【0024】
保守用機器14は、上記の如くアクセス権管理サーバ18に対してアクセス権定義ファイルの更新要求を行った後、そのアクセス権管理サーバ18の発行するアクセス権定義ファイルを取得してメモリに記憶する。つまり、メモリに記憶するアクセス権定義ファイルを最新のものに更新する。そして、保守用機器14がアクセス権定義ファイルをメモリに記憶した後、利用者(保守員)は、その保守用機器14とサーバ接続PC16との接続を解除する。保守用機器14は、アクセス権管理サーバ18の発行するアクセス権定義ファイルを取得してメモリに記憶し、サーバ接続PC16との接続が解除された後、次に、利用者により保守対象の車両12の近傍或いはその車室内に持っていかれ、その車両12の保守用機器接続ECU20にインターフェースを介して通信接続される(図1参照)。
【0025】
車両12の保守用機器接続ECU20は、保守用機器14との通信接続を検知することが可能であって、その通信接続を検知した場合には、その通信接続する保守用機器14のアクセス権判定を行う。
【0026】
すなわち、保守用機器接続ECU20は、通信接続する保守用機器14からその保守用機器14がメモリに格納するアクセス権定義ファイルを取得する(ステップ100)。そして、その取得したアクセス権定義ファイルのフォーム(形式)、並びに、そのアクセス権定義ファイルに含まれる、保守用機器14での所定機能の実行が許可される有効期限及びそのアクセス権定義ファイルを発行した発行者の署名、をそれぞれ検証する(ステップ110)。その検証の結果、取得したアクセス権定義ファイルのフォーム、有効期限、及び発行者署名の何れもが、アクセス許可される所望のものと合致すると判別した場合(ステップ120の肯定判定時)は、次に、その取得したアクセス権定義ファイルに含まれる保守用機器14での所定機能の実行が許可される有効地域を検証する(ステップ130)。
【0027】
具体的には、保守用機器接続ECU20は、ステップ130における有効地域の検証のため、まず、その取得したアクセス権定義ファイルに含まれる保守用機器14での所定機能の実行が許可される有効地域の情報から、その有効地域の北限、南限、東端、及び西端の情報を取得する(ステップ132)と共に、カーナビゲーションシステム24がGPS信号に基づいて検出しそのカーナビゲーションシステム24から車載LAN22へ送出された自車位置情報を受信して自車両12が位置する現在位置の緯度及び経度の情報を取得する(ステップ134)。尚、カーナビゲーションシステム24は、所定周期でGPS信号に基づいて自車位置を検出してその自車位置情報を車載LAN22へ送出すると共に、保守用機器接続ECU20は、自車両12の現在位置の情報として常に最新の情報をカーナビゲーションシステム24から車載LAN22を通じて取得してメモリに一時記憶する。
【0028】
保守用機器接続ECU20は、上記ステップ134で情報取得した自車両12の現在位置を示す緯度及び経度が、上記ステップ132で情報取得した有効地域の北限及び南限の緯度並びに東端及び西端の経度に囲まれる領域範囲内にあるか否かを判別する(ステップ136)。自車両12の現在位置が有効地域の領域範囲内にない場合は、自車両12が保守用機器14の所定機能の実行が許可される有効地域内に存在しないので、保守用機器14にその所定機能を実行させることは妥当でない。一方、自車両12の現在位置が有効地域の領域範囲内にある場合は、自車両12が保守用機器14の所定機能の実行が許可される有効地域内に存在するので、保守用機器14にその所定機能を実行させることとしても許される。
【0029】
保守用機器接続ECU20は、上記の如き有効地域の検証の結果、自車両12の現在位置が有効地域の領域範囲内にあると判別した場合(ステップ140の肯定判定時)は、次に、通信接続する保守用機器14を使用しようとする利用者の認証を行う(ステップ150)。具体的には、その保守用機器14を使用しようとする利用者にID及びパスワードの入力を要求すると共に、その要求に従って入力されたID及びパスワードが、取得したアクセス権定義ファイルに含まれる保守用機器14の使用が許可される許可利用者のID及びパスワードに一致するか否かの判別を行う。
【0030】
その利用者認証の結果、入力ID及び入力パスワードが所望のものに合致すると判別した場合(ステップ160の肯定判定時)は、次に、通信接続する保守用機器14の所定機能の実行を許可する処理を行う(ステップ170)。具体的には、その通信接続する保守用機器14に対してアクセス権定義ファイルに含まれる実行許可がされている許可機能の実行を許可する指令をインターフェースを介して行う。この場合、保守用機器接続ECU20と通信接続する保守用機器14は、その保守用機器接続ECU20からの実行許可指令に従って、その許可された所定機能を実行する。例えば、車両12の故障診断機能を実施し或いは車両12内のECUのデータやソフトウェアの更新などを実行する。
【0031】
尚、保守用機器接続ECU20は、保守用機器14から取得したアクセス権定義ファイルのフォーム、有効期限、及び発行者署名の何れか一つが所望のものと合致しないと判別した場合(ステップ120の否定判定時)、自車両12の現在位置が有効地域の領域範囲外にあると判別した場合(ステップ140の否定判定時)、及び、保守用機器14を使用しようとする利用者が許可利用者に該当しないと判別した場合(ステップ160の否定判定時)は、次に、通信接続する保守用機器14の所定機能の実行を拒否する処理を行う(ステップ180)。具体的には、その通信接続する保守用機器14に対して機能の実行を拒否する旨をインターフェースを介して伝える、或いは、機能の実行を許可する指令を発しない。この場合、保守用機器接続ECU20と通信接続する保守用機器14は、所定機能を実行しない。
【0032】
このように、本実施例の認証システム10においては、車両12の保守用機器接続ECU20が、通信接続された保守用機器14を認証するうえで、アクセス権管理サーバ18が発行しその保守用機器14から送られるアクセス権定義ファイルに含まれるその保守用機器14での所定機能の実行が許可される有効期限や発行者署名などの検証を行うだけでなく、そのアクセス権定義ファイルに含まれるその保守用機器14での所定機能の実行が許可される有効地域の領域範囲内に自車両12が存在するか否かの検証、及び、利用者の入力ID及び入力パスワードがそのアクセス権定義ファイルに含まれる許可利用者のID及びパスワードに一致するか否かの利用者認証を行う。
【0033】
そして、現時点が有効期限内にありかつ発行者の署名が確認されたうえで、自車両12が有効地域内に存在しかつその保守用機器14の利用者のID及びパスワードが所望のものに合致する場合に、通信接続された保守用機器14の認証がとれたと判定し、その保守用機器14での所定機能の実行を許可する。一方、現時点が有効期限を過ぎており、発行者の署名の確認がとれず、自車両12が有効地域内に存在せず、又は保守用機器14の利用者のID及びパスワードが所望のものに合致しない場合には、通信接続された保守用機器14の認証がとれないと判定し、その保守用機器14での所定機能の実行を拒否する。
【0034】
すなわち、本実施例においては、車両12が保守用機器14の作動が許可される有効地域内に存在する場合に、その車両12が通信接続する保守用機器14を認証してその保守用機器14の機能実行を許可することができる。逆に、保守用機器14の認証がとれてその保守用機器14の実行が許可されるのは、アクセス権管理サーバ18により発行されるアクセス権定義ファイルに含まれる有効地域の領域範囲内に車両12が存在する場合に限定される。
【0035】
車両12による保守用機器14の認証に用いられる自車位置は、GPS衛星から送られるGPS信号に基づいて車両12のカーナビゲーションシステム24が検出したものである。GPS衛星からのGPS信号(電波)は、改ざんが非常に難しいものであるので、そのGPS信号に基づいて検出される自車位置は、信頼性の高い情報であって、車両12の保守用機器接続ECU20内で取得される自車位置の情報を書き換えることは難しい。このため、本実施例の構成によれば、有効地域外で車両12に通信接続する保守用機器14を認証させることは極めて困難であり、その結果として、車両12を盗難した第三者が有効地域外で無断で保守用機器14の所定機能を実行させて車両12から各種データを吸い上げることなどを防止することができる。
【0036】
また、本実施例の認証システム10においては、カーナビゲーションシステム24が、所定周期でGPS信号に基づいて自車位置を検出してその自車位置情報を車載LAN22へ送出すると共に、保守用機器接続ECU20が、自車両12の現在位置の情報として最新の情報をカーナビゲーションシステム24から車載LAN22を通じて取得してメモリに一時記憶し、そして、その更新された最新の現在位置が有効地域の領域範囲内にあるかを判別する。かかる構成によれば、当初は車両12が有効地域内にあっても、その後、車両12が走行して有効地域外へ出た際に、通信接続する保守用機器14の認証がとれなくなったとして、車両12がその保守用機器14の機能実行を拒否することができる。
【0037】
従って、本実施例の認証システム10によれば、車両12と保守用機器14との認証におけるセキュリティ性を向上させることができる。
【0038】
尚、保守用機器接続ECU20は、カーナビゲーションシステム24から車載LAN22を通じて所定周期で送られる自車位置情報を取得するが、その自車位置情報の取得ができなかった場合にも、メモリに一時記憶されている最後に取得した自車位置情報を用いて有効地域の検証を行う。このため、かかる構成によれば、GPS衛星からのGPS信号が届かない場所(例えば、トンネル内や地下など)に車両12が位置するときに、自車位置情報を用いた有効地域の検証が行われなくなるのを防止することができるので、車両12と保守用機器14との認証を適切に行うことができる。
【0039】
また、本実施例の認証システム10においては、車両12が通信接続する保守用機器14での所定機能の実行が許可される有効地域の領域範囲内に存在するか否かの検証が行われた結果として、車両12がその有効地域内に存在すると判別された後、利用者の入力ID及び入力パスワードがその保守用機器14から取得したアクセス権定義ファイルに含まれる許可利用者のID及びパスワードに一致するか否かの利用者認証が行われる。すなわち、有効期限や有効地域及び発行者署名などに基づく保守用機器14自体の機器認証に加えて、入力IDや入力パスワードに基づく保守用機器14を使用しようとする利用者の利用者認証が行われる。
【0040】
かかる構成によれば、車両12での通信接続する保守用機器14の認証として、その保守用機器14がアクセス権管理サーバ18から取得したアクセス権定義ファイルに含まれる有効期限や有効地域及び発行者署名などの情報に基づく保守用機器14自体の機器認証だけでなく、その保守用機器14を使用しようとする利用者のID及びパスワードに基づく利用者の利用者認証が含まれることとなり、保守用機器14の認証が互いに異なる2つの認証形態からなる。このため、保守用機器14が仮に盗難された場合にも、その保守用機器14の使用が許可されるのを抑制することができ、保守用機器14の盗難による悪用を抑止することができるので、セキュリティ性を向上させることができる。また逆に、このようにセキュリティ性を向上させることができれば、車両12と保守用機器14との間で公開鍵暗号系を用いて認証をとる必要性はあまり無い。
【0041】
従って、本実施例の認証システム10によれば、車両12に保守用機器14を認証させるうえで、公開鍵暗号系のものと異なり、計算処理を増大させることなく又は高コスト化を招くことなく高いセキュリティ性を確保することが可能となっている。
【0042】
また、本実施例においては、車両12が通信接続する保守用機器14の認証を行ううえで、保守用機器14がアクセス権管理サーバ18から発行されたアクセス権定義ファイルを取得して有効期限、有効地域、及び利用者の情報を取得するタイミングは、その認証直前であることが好ましい。これは、かかる構成によれば、アクセス権定義ファイルに含める有効期限、有効地域、及び利用者の各情報を必要最小限に抑えることができるので、保守用機器14の認証がとれて保守用機器14の機能実行が許可される時刻や地域,利用者を限定することができ、その結果として、万一の盗難に対する悪用のリスクを最小限に抑制することが可能となる、からである。
【0043】
尚、上記の実施例においては、保守用機器14が特許請求の範囲に記載した「電子機器」に、有効地域内の各位置が特許請求の範囲に記載した「有効位置」に、保守用機器14のメモリが特許請求の範囲に記載した「記憶手段」に、保守用機器14が車両12の保守用機器接続ECU20と通信接続した際にその保守用機器接続ECU20へメモリに格納したアクセス権管理サーバ18からのアクセス権定義ファイルを送信することが特許請求の範囲に記載した「認証情報送信手段」及び「認証情報送信ステップ」に、アクセス権定義ファイルが特許請求の範囲に記載した「認証情報」に、保守用機器接続ECU20が保守用機器14からのアクセス権定義ファイルを受信することが特許請求の範囲に記載した「認証情報受信手段」及び「認証情報受信ステップ」に、カーナビゲーションシステム24がGPS衛星からのGPS信号に基づいて自車両12の現在位置を検出することが特許請求の範囲に記載した「自車位置検出手段」及び「自車位置検出ステップ」に、保守用機器接続ECU20がステップ130,140の処理を実行することが特許請求の範囲に記載した「位置認証手段」及び「位置認証ステップ」に、保守用機器接続ECU20がステップ150,160の処理を実行することが特許請求の範囲に記載した「ユーザ認証手段」及び「ユーザ認証ステップ」に、また、保守用機器接続ECU20がステップ170の処理を実行することが特許請求の範囲に記載した「機器作動許可手段」及び「機器作動許可ステップ」に、それぞれ相当している。
【0044】
ところで、上記の実施例においては、車両12の保守用機器接続ECU20が、通信接続された保守用機器14の認証を行った際、その接続ログ情報として、その認証に用いた、その保守用機器14から送られたアクセス権定義ファイルの発行ID、そのアクセス権定義ファイルに含まれる有効地域と比較された自車位置及び時刻、並びに利用者IDなどの各情報を纏めて不揮発性のメモリに保存しておくこととしてもよい。かかる変形例によれば、保守用機器14が有効地域内で不正に使用されて車両12と通信接続された場合にも、その不正使用が行われたことを記録として残すことができるので、保守用機器14の不正使用自体を抑止することができると共に、また、その不正使用が行われたときはその不正使用が行われた日時や位置,利用者の記録を残すことができる。
【0045】
また、上記の実施例においては、保守用機器14での所定機能の実行が許可される有効地域の情報として、その有効地域の北限の緯度、南限の緯度、東端の経度、及び西端の経度の情報を用いているが、かかる有効地域は正方形や長方形の四角形状に囲まれた領域に限定されるものではなく、かかる有効地域として、円形状に囲まれた領域(すなわちある中心を定めてその中心から所定距離内にある領域)や楕円形状に囲まれた領域などを設定することとしてもよく、また、三角形や五角形の形状としたものを用いることとしてもよい。
【0046】
また、上記の実施例においては、保守用機器14での所定機能の実行が許可される場所を、ある領域範囲を有する上記した有効地域としているが、ピンポイントの特定位置(有効位置)としてもよい。
【0047】
更に、上記の実施例においては、車両12に搭載され保守用機器14と通信接続する保守用機器接続ECU20に、利用者が入力可能な操作手段を設け、車両12に通信接続する保守用機器14を使用する利用者を認証させることとしているが、保守用機器接続ECU20と車載LAN22を介して接続するカーナビゲーションシステム24に、利用者が入力可能な操作手段(Human Machine Interface)を設け、車両12に通信接続する保守用機器14を使用する利用者を認証させることとしてもよい。かかる変形例においては、保守用機器接続ECU20が、通信接続する保守用機器14からアクセス権定義ファイルを取得した場合に、そのアクセス権定義ファイルに含まれる許可利用者情報を車載LAN22を介してカーナビゲーションシステム24に送り、そのカーナビゲーションシステム24が、操作手段に入力されるID及びパスワードがその許可利用者情報としてのID及びパスワードに一致するか否かの利用者認証を行い、その利用者認証結果を車載LAN22を介して保守用機器接続ECU20に送る。そして、保守用機器接続ECU20がカーナビゲーションシステム24からの利用者認証結果に基づいて保守用機器14の所定機能の実行可否を判断する。
【符号の説明】
【0048】
10 認証システム
12 車両
14 保守用機器
20 保守用機器接続ECU
24 カーナビゲーションシステム
【特許請求の範囲】
【請求項1】
走行可能な車両と、前記車両と通信接続して所定機能を実行する電子機器と、を備え、前記車両と通信接続した前記電子機器が前記所定機能を実行する前に、該車両に該電子機器を認証させる認証システムであって、
前記電子機器は、前記所定機能の実行が許可される有効位置の情報及び利用者の認証に関する許可利用者情報を少なくとも記憶する記憶手段と、前記車両と通信接続した際に該車両へ前記記憶手段に記憶される前記有効位置の情報及び前記許可利用者情報を含む認証情報を送信する認証情報送信手段と、を有し、
前記車両は、通信接続した前記電子機器から送信される前記認証情報を受信する認証情報受信手段と、自車位置を検出する自車位置検出手段と、利用者により入力される利用者の情報を取得する入力取得手段と、前記自車位置検出手段により検出される前記自車位置が前記認証情報受信手段により受信される前記認証情報に情報として含まれる前記有効位置に合致するか否かを判別する位置認証手段と、前記入力取得手段により取得される前記利用者の情報が前記認証情報受信手段により受信される前記認証情報に含まれる前記許可利用者情報に合致するか否かを判別するユーザ認証手段と、前記位置認証手段により前記自車位置が前記有効位置に合致すると判別されかつ前記ユーザ認証手段により前記利用者の情報が前記許可利用者情報に合致すると判別される場合に、前記電子機器での前記所定機能の実行を許可する機器作動許可手段と、を有することを特徴とする認証システム。
【請求項2】
前記ユーザ認証手段は、前記位置認証手段により前記自車位置が前記有効位置に合致すると判別された後に、前記入力取得手段により取得される前記利用者の情報が前記認証情報受信手段により受信される前記認証情報に含まれる前記許可利用者情報に合致するか否かを判別することを特徴とする請求項1記載の認証システム。
【請求項3】
前記自車位置検出手段は、GPS衛星から送られるGPS信号に基づいて前記自車位置を検出することを特徴とする請求項1又は2記載の認証システム。
【請求項4】
前記電子機器は、前記所定機能として、前記車両の故障診断又は前記車両に搭載される電子制御ユニットのデータ若しくはソフトウェアの更新を実行する保守用機器であることを特徴とする請求項1乃至3の何れか一項記載の認証システム。
【請求項5】
走行可能な車両と通信接続した電子機器が所定機能を実行する前に、該車両に該電子機器を認証させる認証方法であって、
前記電子機器が、前記車両と通信接続した際に該車両へ前記所定機能の実行が許可される有効位置の情報及び利用者の認証に関する許可利用者情報を含む認証情報を送信する認証情報送信ステップと、
前記車両が、通信接続した前記電子機器から送信される前記認証情報を受信する認証情報受信ステップと、
前記車両が自車位置を検出する自車位置検出ステップと、
前記車両が利用者により入力される利用者の情報を取得する入力取得ステップと、
前記車両が、前記自車位置検出ステップにおいて検出される前記自車位置が前記認証情報受信ステップにおいて受信される前記認証情報に情報として含まれる前記有効位置に合致するか否かを判別する位置認証ステップと、
前記車両が、前記入力取得ステップにおいて取得される前記利用者の情報が前記認証情報受信ステップにおいて受信される前記認証情報に含まれる前記許可利用者情報に合致するか否かを判別するユーザ認証ステップと、
前記車両が、前記位置認証ステップにおいて前記自車位置が前記有効位置に合致すると判別されかつ前記ユーザ認証ステップにおいて前記利用者の情報が前記許可利用者情報に合致すると判別される場合に、前記電子機器での前記所定機能の実行を許可する機器作動許可ステップと、
を備えることを特徴とする認証方法。
【請求項1】
走行可能な車両と、前記車両と通信接続して所定機能を実行する電子機器と、を備え、前記車両と通信接続した前記電子機器が前記所定機能を実行する前に、該車両に該電子機器を認証させる認証システムであって、
前記電子機器は、前記所定機能の実行が許可される有効位置の情報及び利用者の認証に関する許可利用者情報を少なくとも記憶する記憶手段と、前記車両と通信接続した際に該車両へ前記記憶手段に記憶される前記有効位置の情報及び前記許可利用者情報を含む認証情報を送信する認証情報送信手段と、を有し、
前記車両は、通信接続した前記電子機器から送信される前記認証情報を受信する認証情報受信手段と、自車位置を検出する自車位置検出手段と、利用者により入力される利用者の情報を取得する入力取得手段と、前記自車位置検出手段により検出される前記自車位置が前記認証情報受信手段により受信される前記認証情報に情報として含まれる前記有効位置に合致するか否かを判別する位置認証手段と、前記入力取得手段により取得される前記利用者の情報が前記認証情報受信手段により受信される前記認証情報に含まれる前記許可利用者情報に合致するか否かを判別するユーザ認証手段と、前記位置認証手段により前記自車位置が前記有効位置に合致すると判別されかつ前記ユーザ認証手段により前記利用者の情報が前記許可利用者情報に合致すると判別される場合に、前記電子機器での前記所定機能の実行を許可する機器作動許可手段と、を有することを特徴とする認証システム。
【請求項2】
前記ユーザ認証手段は、前記位置認証手段により前記自車位置が前記有効位置に合致すると判別された後に、前記入力取得手段により取得される前記利用者の情報が前記認証情報受信手段により受信される前記認証情報に含まれる前記許可利用者情報に合致するか否かを判別することを特徴とする請求項1記載の認証システム。
【請求項3】
前記自車位置検出手段は、GPS衛星から送られるGPS信号に基づいて前記自車位置を検出することを特徴とする請求項1又は2記載の認証システム。
【請求項4】
前記電子機器は、前記所定機能として、前記車両の故障診断又は前記車両に搭載される電子制御ユニットのデータ若しくはソフトウェアの更新を実行する保守用機器であることを特徴とする請求項1乃至3の何れか一項記載の認証システム。
【請求項5】
走行可能な車両と通信接続した電子機器が所定機能を実行する前に、該車両に該電子機器を認証させる認証方法であって、
前記電子機器が、前記車両と通信接続した際に該車両へ前記所定機能の実行が許可される有効位置の情報及び利用者の認証に関する許可利用者情報を含む認証情報を送信する認証情報送信ステップと、
前記車両が、通信接続した前記電子機器から送信される前記認証情報を受信する認証情報受信ステップと、
前記車両が自車位置を検出する自車位置検出ステップと、
前記車両が利用者により入力される利用者の情報を取得する入力取得ステップと、
前記車両が、前記自車位置検出ステップにおいて検出される前記自車位置が前記認証情報受信ステップにおいて受信される前記認証情報に情報として含まれる前記有効位置に合致するか否かを判別する位置認証ステップと、
前記車両が、前記入力取得ステップにおいて取得される前記利用者の情報が前記認証情報受信ステップにおいて受信される前記認証情報に含まれる前記許可利用者情報に合致するか否かを判別するユーザ認証ステップと、
前記車両が、前記位置認証ステップにおいて前記自車位置が前記有効位置に合致すると判別されかつ前記ユーザ認証ステップにおいて前記利用者の情報が前記許可利用者情報に合致すると判別される場合に、前記電子機器での前記所定機能の実行を許可する機器作動許可ステップと、
を備えることを特徴とする認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2012−224239(P2012−224239A)
【公開日】平成24年11月15日(2012.11.15)
【国際特許分類】
【出願番号】特願2011−94185(P2011−94185)
【出願日】平成23年4月20日(2011.4.20)
【出願人】(000003207)トヨタ自動車株式会社 (59,920)
【Fターム(参考)】
【公開日】平成24年11月15日(2012.11.15)
【国際特許分類】
【出願日】平成23年4月20日(2011.4.20)
【出願人】(000003207)トヨタ自動車株式会社 (59,920)
【Fターム(参考)】
[ Back to top ]