認(rèn)證系統(tǒng)��、車載控制裝置的制造方法
【專利摘要】防止用于對車載控制裝置的維護(hù)管理作業(yè)的維護(hù)管理工具被第3者惡意使用��。在本發(fā)明所涉及的認(rèn)證系統(tǒng)中���,認(rèn)證裝置認(rèn)證操作終端(相當(dāng)于維護(hù)管理工具)的操作者����,操作終端將認(rèn)證裝置生成的認(rèn)證符號向車載控制裝置傳送���。車載控制裝置使用該認(rèn)證符號����,判斷是否許可操作終端實(shí)施維護(hù)操作����。
【專利說明】
認(rèn)證系統(tǒng)、車載控制裝置
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及認(rèn)證操作終端的技術(shù),該操作終端用于維護(hù)管理控制車輛動作的車載控制裝置�����。
【背景技術(shù)】
[0002]近年���,車載控制裝置的軟件高度化、大規(guī)?�;?��,且控制處理也多功能化���。伴隨于此,附加設(shè)定調(diào)整用數(shù)據(jù)的功能����、調(diào)試功能、更新控制軟件自身的功能等用于實(shí)施維護(hù)操作的功能成為普通的事情���。通過將車載控制裝置與外部操作終端連接��,由操作者操作該操作終端(也稱為維護(hù)管理工具)來實(shí)施該維護(hù)操作��。車載控制裝置從自身的存儲裝置讀出數(shù)據(jù)并向操作終端輸出�����,或者從操作終端取得數(shù)據(jù)并寫入自身的存儲裝置��。
[0003]作為維護(hù)管理工具從車載控制裝置的存儲裝置讀出的數(shù)據(jù)����,例如為自我診斷歷史、操作日志等那樣的用于實(shí)施故障診斷的數(shù)據(jù)��。作為維護(hù)管理工具寫入車載控制裝置的存儲裝置的數(shù)據(jù)����,例如為在產(chǎn)品出廠前的制造商中每個車輛都不同的設(shè)備調(diào)整值、在產(chǎn)品出廠后的制造商指定的經(jīng)銷商中更新控制軟件(固件的再寫入)時的更新數(shù)據(jù)等��。更新控制軟件的作業(yè)有時稱為召回����、服務(wù)宣傳活動等而被實(shí)施。這些維護(hù)功能被限定許可于制造商或具有制造商許可的修配廠的銷售商等��,并不向一般的用戶開放��。
[0004]車載控制裝置特別是在負(fù)責(zé)汽車的控制的特性上,如果輕易變更軟件��、數(shù)據(jù)的話具有導(dǎo)致故障���、事故的可能性��。另外��,在信息安全上的觀點(diǎn)方面,輕易地變更也具有威脅車輛上存在的個人財產(chǎn)的可能性����。例如,具有由于無效化電子鑰匙而車輛盜竊變得容易的可能性���。另外����,可以想到能夠收集存儲在導(dǎo)航內(nèi)的自家數(shù)據(jù)的個人信息的可能性����。此外,也能想到從ETC(Electronic Toll Collect1n System���,不停車電子收費(fèi)系統(tǒng))設(shè)備盜取個人的信用卡號碼�。因此維護(hù)管理工具不能流出到一般用戶,也不能為有資格者以外的人能夠容易操作那樣的替代物�����。
[0005]在下述專利文獻(xiàn)I所記載的技術(shù)中���,維護(hù)管理工具具備測量位置信息的功能�����,只有在維護(hù)管理工具存在于規(guī)定的瑋度經(jīng)度范圍內(nèi)情況下�,認(rèn)證服務(wù)器才認(rèn)證維護(hù)管理工具��。通過確認(rèn)維護(hù)管理工具的位置信息��,謀求如下效果:例如即使維護(hù)管理工具被盜�,也能防止被惡意的第三者使用于未然。
[0006]現(xiàn)有技術(shù)文獻(xiàn)
[0007]專利文獻(xiàn)
[0008]專利文獻(xiàn)1:日本特開2013-015884號公報
【發(fā)明內(nèi)容】
[0009]發(fā)明要解決的問題
[0010]〈工具的高價化和效率降低〉
[0011]在上述專利文獻(xiàn)I中����,與以往同樣地認(rèn)證系統(tǒng)的構(gòu)成要素的一部分被收納于維護(hù)管理工具內(nèi)。即�����,可以想到由于為了升級認(rèn)證系統(tǒng)需要硬件的功能增加(例如位置信息測量功能的增加等),因此維護(hù)管理工具的成本增加��。另外由于需要定位維護(hù)管理工具�,因此具有到操作者開始維護(hù)管理作業(yè)為止的前置期增加的可能性。
[0012]〈對逆向工程的擔(dān)憂〉
[0013]在上述專利文獻(xiàn)I中�����,為了與擔(dān)負(fù)發(fā)行認(rèn)證碼任務(wù)的中心通信而使用的消息認(rèn)證碼(MAC:Message Authenticat1n Code)用的密鑰被存儲在維護(hù)管理工具內(nèi)�����。因此��,在維護(hù)管理工具被盜時���,具有該密鑰由逆向工程泄漏的可能性。
[0014]〈定位系統(tǒng)的可靠性〉
[0015]近年����,由于使用GPS(Global Posit1ning System,全球定位系統(tǒng))的室內(nèi)定位技術(shù)(IMES:1ndoor Messaging System)的發(fā)展��,為了偽裝位置信息而能夠濫用的市售的GPS信號發(fā)生器一般為人所知。另外�����,作為別的攻擊方法能夠列舉出下面的事實(shí)���?����?梢哉J(rèn)為維護(hù)管理工具內(nèi)部的GPS接收器從抑制成本上升的觀點(diǎn)而使用通用(一般市售)的GPS接收模塊�����。這樣的GPS接收模塊與工具的CPU(Central Processing Unit��,中央處理器)之間的接口已經(jīng)被規(guī)格化�,采用遵循NMEA(全美船舶用電子設(shè)備協(xié)會:Nat1nal Marine ElectronicsAssociat1n)0183標(biāo)準(zhǔn)規(guī)格的通信協(xié)議���。NMEA 0183為該協(xié)會制定的基于字符的通信規(guī)格�。因此���,通過根據(jù)上述規(guī)定將從GPS接收模塊對維護(hù)管理工具的CPU發(fā)送的信號進(jìn)行偽裝����,能夠容易地偽裝位置信息。由此動搖了對于定位結(jié)果的可靠性���。
[0016]〈將挑戰(zhàn)碼轉(zhuǎn)換為響應(yīng)的函數(shù)(哈希函數(shù))的脆弱性〉
[0017]在上述專利文獻(xiàn)I中����,在從對象設(shè)備向維護(hù)管理工具傳達(dá)信號的界面中��,能夠捕捉并監(jiān)視對象設(shè)備生成的挑戰(zhàn)碼����。另外,在從中心向維護(hù)管理工具傳達(dá)信號的界面中�����,能夠捕捉并監(jiān)視與挑戰(zhàn)碼對應(yīng)的響應(yīng)�����。因此�,不正當(dāng)獲得維護(hù)管理工具的第三者能夠記錄挑戰(zhàn)碼和響應(yīng)的組合��。由于其提供類推內(nèi)部哈希函數(shù)的線索,因此具有對于安全系統(tǒng)來說變得脆弱的可能性����。另外,在上述專利文獻(xiàn)I中對象設(shè)備在生成挑戰(zhàn)碼時生成偽隨機(jī)數(shù)����。偽隨機(jī)數(shù)(與密碼學(xué)的真隨機(jī)數(shù)不同)由于具有周期性,通過完整地記錄I周期的挑戰(zhàn)碼和響應(yīng)的組合�����,具有能夠偽裝響應(yīng)的可能性����。進(jìn)一步地,其他車輛����、其他車載控制裝置的偽隨機(jī)數(shù)發(fā)生機(jī)構(gòu)也通用的情況下,上述那樣的暴力破解攻擊能夠?qū)τ谄渌囕v挪用��。
[0018]本發(fā)明是鑒于上述那樣的問題而完成的���,其目的在于防止用于實(shí)施對車載控制裝置的維護(hù)管理作業(yè)的維護(hù)管理工具被第3者惡意使用��。
[0019]解決問題的技術(shù)手段
[0020]在本發(fā)明所涉及的認(rèn)證系統(tǒng)中���,認(rèn)證裝置認(rèn)證操作終端(相當(dāng)于維護(hù)管理工具)的操作者��,操作終端向車載控制裝置傳送認(rèn)證裝置生成的認(rèn)證符號����。車載控制裝置使用該認(rèn)證符號�����,判斷是否許可操作終端實(shí)施維護(hù)操作���。
[0021]發(fā)明的效果
[0022]根據(jù)本發(fā)明所涉及的認(rèn)證系統(tǒng)���,不需要在操作終端內(nèi)部收納認(rèn)證信息、認(rèn)證機(jī)構(gòu)��,因此即使操作終端存在遺失或被盜�,也能夠抑制被第3者惡意使用的風(fēng)險��。
【附圖說明】
[0023]圖1為表示實(shí)施方式I所涉及的認(rèn)證系統(tǒng)的構(gòu)成的圖。
[0024]圖2為說明實(shí)施方式I所涉及的認(rèn)證系統(tǒng)認(rèn)證維護(hù)管理工具103的動作的序列圖���。
[0025]圖3為將圖2的序列表示為SDL流程的圖�。
[0026]圖4為說明實(shí)施方式2所涉及的認(rèn)證系統(tǒng)認(rèn)證維護(hù)管理工具103的動作的序列圖���。
[0027]圖5為說明實(shí)施方式3所涉及的認(rèn)證系統(tǒng)認(rèn)證維護(hù)管理工具103的動作的序列圖��。
[0028]圖6為將圖5的序列表示為SDL流程的圖��。
【具體實(shí)施方式】
[0029]<實(shí)施方式1>
[0030]圖1為表示本發(fā)明的實(shí)施方式I所涉及的認(rèn)證系統(tǒng)的構(gòu)成的圖���。車載控制裝置100也就是被稱為ECU(Electronic Control Unit,電子控制單元)的內(nèi)置型電子控制裝置��,連接于CAN(Controller Area Network����,控制器區(qū)域網(wǎng)絡(luò))等車載網(wǎng)絡(luò)105并且一邊與其他的車載控制裝置收發(fā)信息一邊控制車輛。
[0031]維護(hù)管理工具103能夠通過連接用連接器104連接于車載網(wǎng)絡(luò)105���。連接用連接器104有時從車載網(wǎng)絡(luò)105直接分支而引出�����,有時從安全上的考慮通過車載通信用網(wǎng)關(guān)(未圖示)而提供���。
[0032]在認(rèn)證維護(hù)管理工具103的現(xiàn)有的方式中����,一般為車載控制裝置100與維護(hù)管理工具103以I對I的方式認(rèn)證���。但是這樣的情況下���,由于認(rèn)證所需要的信息存儲在維護(hù)管理工具103內(nèi),因此具有在維護(hù)管理工具103存在被盜��、遺失的情況下惡意的第3者使用該認(rèn)證信息而不正當(dāng)進(jìn)入車載網(wǎng)絡(luò)105的危險�����。
[0033]在此在本實(shí)施方式I中����,不是車載控制裝置100認(rèn)證維護(hù)管理工具103,而是對操作維護(hù)管理工具103的操作者107進(jìn)行本人認(rèn)證�����。由此由于維護(hù)管理工具103不需要保持自身的認(rèn)證信息,因此即使維護(hù)管理工具103存在被盜��、遺失認(rèn)證信息也不會泄露���,可以認(rèn)為進(jìn)一步提高了安全強(qiáng)度。
[0034]由于維護(hù)管理工具103不保持認(rèn)證信息�,因此需要另外設(shè)置用于對操作者107進(jìn)行本人認(rèn)證的單元。在車載控制裝置100內(nèi)設(shè)置認(rèn)證操作者107的功能的話�����,需要車載控制裝置100具備認(rèn)證數(shù)據(jù)庫���,還需要在車載控制裝置100的框體等設(shè)置如鍵盤那樣的人機(jī)交互界面�,因此不現(xiàn)實(shí)�����。在此本實(shí)施方式I所涉及的認(rèn)證系統(tǒng)具備通過通信線路與維護(hù)管理工具103連接的認(rèn)證服務(wù)器101���,認(rèn)證服務(wù)器101具備對操作者107進(jìn)行本人認(rèn)證的第I認(rèn)證部
Illo
[0035]第I認(rèn)證部111接收后述的信號SllO��,使用該信號�,確認(rèn)操作者107是否為具有操作維護(hù)管理工具103的權(quán)限的本人。作為認(rèn)證方式�,例如可以為采用用戶ID以及密碼的方式,也可以利用使用與操作者107的工作時間管理�、作業(yè)管理關(guān)聯(lián)的LDAP(Light weightDirectory Access Protocol,輕量目錄訪問協(xié)議)的認(rèn)證���。也可以使用其他的適當(dāng)?shù)恼J(rèn)證方式�����。
[0036]作為操作者107提供認(rèn)證信息時使用的人機(jī)交互界面(鍵盤等)�����,例如可以使用與認(rèn)證服務(wù)器101連接的業(yè)務(wù)用電腦106�����,也可以將維護(hù)管理工具103直接連接于認(rèn)證服務(wù)器101而使用維護(hù)管理工具103上的軟鍵盤等的人機(jī)交互界面����。由于在兩種的情況下�����,維護(hù)管理工具103自身都不保持認(rèn)證信息,因此需要另外提供用于對操作者107進(jìn)行本人認(rèn)證的認(rèn)證信息����。
[0037]如果操作者107的本人認(rèn)證成功的話,認(rèn)證服務(wù)器101收集描述確定作業(yè)對象的車輛的車輛ID的信號sl21以及描述確定維護(hù)管理工具103的工具ID的信號sl30��。這些信息可以為操作者107經(jīng)由業(yè)務(wù)用電腦106而提供�,也可以預(yù)先將這些信息存儲在維護(hù)管理工具103內(nèi)���,維護(hù)管理工具103直接連接于認(rèn)證服務(wù)器101�,不通過人工地發(fā)送信息���。
[0038]認(rèn)證服務(wù)器101除了使用這些信息之外�����,還使用與車載控制裝置100同步變動的信息(詳細(xì)內(nèi)容后述)���,生成描述認(rèn)證用一次性密碼的信號sl40,并對維護(hù)管理工具103發(fā)行該一次性密碼�。作為發(fā)行的形式,能夠為一旦對業(yè)務(wù)用電腦106發(fā)行該一次性密碼操作者107經(jīng)由存儲卡(未圖示)等媒介復(fù)制到維護(hù)管理工具103�����,也可以為維護(hù)管理工具103直接連接于認(rèn)證服務(wù)器101而取得。
[0039]操作者107通過連接用連接器104和車載網(wǎng)絡(luò)105將取得了認(rèn)證用一次性密碼(sl40)的維護(hù)管理工具103連接于車載控制裝置100�。
[0040]維護(hù)管理工具103向車載控制裝置100發(fā)送認(rèn)證用一次性密碼(sl40)以及描述確定維護(hù)管理工具103的工具ID信號sl31。車載控制裝置100具備認(rèn)證維護(hù)管理工具103的第2認(rèn)證部112�����。第2認(rèn)證部112在認(rèn)證服務(wù)器101認(rèn)證了操作者107之后(即使用認(rèn)證服務(wù)器101發(fā)行的一次性密碼)�����,按照后述的工序認(rèn)證維護(hù)管理工具103���。通過該工序����,驗證操作者107是否具有實(shí)施對車載控制裝置100的維護(hù)管理作業(yè)的權(quán)限����。驗證結(jié)果為OK的話,車載控制裝置100允許維護(hù)管理工具103實(shí)施維護(hù)操作。
[0041 ]由于從第I認(rèn)證部111朝向第2認(rèn)證部112發(fā)行的認(rèn)證用一次性密碼(s 140)為一次性密碼,因此僅在發(fā)行該密碼的時間附近�����,或是發(fā)行的唯一時刻有效�����。因此��,即使復(fù)制該一次性密碼也不能在其他的認(rèn)證中挪用���,也就是說具有反射攻擊不通用的優(yōu)點(diǎn)���。
[0042]第I認(rèn)證部111例如可以為由認(rèn)證服務(wù)器101的CPU實(shí)行的軟件而構(gòu)成�����,也可以由安裝同樣的功能的電路元件等硬件而構(gòu)成��。至于第2認(rèn)證部112���,后述的認(rèn)證符號生成器220相當(dāng)于此。
[0043]<實(shí)施方式1:動作序列>
[0044]圖2為說明本實(shí)施方式I所涉及的認(rèn)證系統(tǒng)認(rèn)證維護(hù)管理工具103的動作的序列圖����。在圖2中���,為了記載的方便,將維護(hù)管理工具103的動作與操作者107(或者業(yè)務(wù)用電腦106等操作者107使用的終端)的動作一體化����,并表述為活動102。以下對圖2的各工序進(jìn)行說明��。
[0045]活動102對認(rèn)證服務(wù)器101發(fā)送操作者107的本人認(rèn)證信息:Si 10���。認(rèn)證服務(wù)器101在完成本人認(rèn)證時����,對活動102要求發(fā)送車輛ID: sl21以及工具ID: sl30�����?��;顒?02對認(rèn)證服務(wù)器101發(fā)送這些信息�。
[0046]車輛ID: sl21可以為唯一識別作業(yè)對象的車輛的信息�,也可以為唯一識別作業(yè)對象的車載控制裝置100的信息。作為收集車輛ID的手段,可以為操作者107通過觀察刻在車架上的車架編號而取得��,也可以將維護(hù)管理工具103連接于車載控制裝置100����,作為在認(rèn)證非實(shí)施時能夠收集的識別信息(在圖2中圖示為車輛ID: sl20)而從車載控制裝置100取得。即如后述那樣���,只要是能夠從認(rèn)證服務(wù)器101內(nèi)的數(shù)據(jù)庫201檢索該車輛特有的密碼的信息即可�。
[0047]認(rèn)證服務(wù)器101具備數(shù)據(jù)庫201����,數(shù)據(jù)庫201對于每個車輛存儲各車輛的車輛ID與對應(yīng)于該車輛ID的密碼的組合。數(shù)據(jù)庫201可以使用硬盤裝置等存儲裝置而構(gòu)成��。存儲裝置認(rèn)證服務(wù)器101使用車輛ID: sl21檢索數(shù)據(jù)庫201�����,找出與該車輛對應(yīng)的密碼seed.X�����。與該密碼相同的密碼也存儲在車載控制裝置100內(nèi)的存儲裝置200內(nèi)����,車載控制裝置100的CPU能夠參照該密碼。密碼seed.X具有作為僅認(rèn)證服務(wù)器101和車載控制裝置100保持且不向其他公開的密鑰的作用�����。
[0048]認(rèn)證服務(wù)器101和車載控制裝置100作為生成相互同步的變動符號的變動符號生成源����,分別具備相互同步的時鐘211和210。另外����,認(rèn)證服務(wù)器101和車載控制裝置100分別具備使用同一哈希函數(shù)生成認(rèn)證符號的認(rèn)證符號生成器221和220。認(rèn)證服務(wù)器101使用時鐘211的時刻:time�、密碼seed.x、以及工具ID:sl30計算哈希值hash(time���,seed.x���,工具ID),并作為一次性密碼:s 140發(fā)行����。上述3個值比特連接�����,作為一個比特串而代入哈希函數(shù)hash
Oo
[0049]哈希函數(shù)hash()為將任意長度的數(shù)據(jù)壓縮為固定長度(128?512比特左右)的數(shù)據(jù)的��、具有下述(I)?(3)的性質(zhì)的密碼學(xué)的函數(shù):
[0050](I)單方向性:從輸出值發(fā)現(xiàn)輸入值是困難的�����。即�����,在給予某哈希值h時����,求出滿足h= hash(m)的任意的m必須是困難的�;
[0051](2)第2原像計算困難性:求出成為與某輸入值相同的哈希值那樣的其他的輸入是困難的。即�,關(guān)于某m,求出成為hash(m) =hash(m’)那樣的m’(但是����,)必須是困難的�;
[0052](3)沖突困難性:發(fā)現(xiàn)生成相同輸出值的2個輸入值是困難的。即,求出滿足hash(m)=hash(m’)(但是�����,m#m’)的m和m’必須是困難的�。
[0053]認(rèn)證符號生成器221和220秘密地共有相同的哈希函數(shù)hashO。通過在認(rèn)證服務(wù)器101和車載控制裝置100之間配對并變更哈希函數(shù)hash()�����,能夠增強(qiáng)密碼強(qiáng)度來應(yīng)對危險化���。由于維護(hù)管理工具103僅傳送一次性密碼:sl40��,因此��,即使變更哈希函數(shù)hash()活動102也不受影響���。即不需要維護(hù)管理工具103的更換、修理�����。另外密碼的危險化�,是說密碼算法的安全性的水平降低了的狀況���,或者,由于該影響編入密碼算法的系統(tǒng)等的安全性受到威脅的狀況��。
[0054]在車載控制裝置100中���,認(rèn)證符號生成器220將維護(hù)管理工具103發(fā)送的工具ID:s 131����、該車輛獨(dú)自的密碼seed.x�、以及時鐘210的時刻:t ime代入與認(rèn)證服務(wù)器1I相同的哈希函數(shù)hash(),計算哈希值hash(time�,seed.x,工具ID) (p240)��。
[0055]認(rèn)證符號生成器220將計算出的哈希值與通過維護(hù)管理工具103取得的一次性密碼:sl40進(jìn)行比較���,兩者一致的情況下判斷為活動102的真正性能夠驗證并許可維護(hù)管理作業(yè)�����。
[0056]在從認(rèn)證服務(wù)器101發(fā)行一次性密碼:sl40到車載控制裝置100生成哈希值為止的期間�,時鐘211與210各自的時刻必須相同�。例如時鐘211與210分別生成以分鐘單位、小時單位周期地變化的時刻����,在該I周期之間各時鐘的時刻不發(fā)生變化。認(rèn)證維護(hù)管理工具103的序列只要在各時鐘的時刻不變化的期間實(shí)施即可���。在從認(rèn)證服務(wù)器101發(fā)行一次性密碼:sl40到車載控制裝置100生成哈希值為止的期間�����,在時刻行進(jìn)了的情況下���,需要返回認(rèn)證服務(wù)器101發(fā)行一次性密碼:sl40的工序再一次實(shí)施認(rèn)證序列。
[0057]認(rèn)證服務(wù)器101能夠以從活動102取得的信息為基礎(chǔ)選取記錄表230���。在記錄表230中�����,能夠記錄操作者107的本人ID�、一次性密碼發(fā)行時刻���、車輛ID�����、工具ID等信息�����。這些信息在發(fā)覺任何不正當(dāng)行為的情況下確定操作者107�����、受影響車輛的資料�。
[0058]車載控制裝置100側(cè)的時鐘210并不是必須需要搭載在車載控制裝置100上,例如如果通過車載網(wǎng)絡(luò)105能夠在其他的ECU查詢時刻的話也可以挪用該時鐘�。作為使時刻與認(rèn)證服務(wù)器101側(cè)的時鐘211同步的手段,可以想到例如GPS信號的接收�����、向互聯(lián)網(wǎng)上的NTP(Network Time Protocol��,網(wǎng)絡(luò)時間協(xié)議)服務(wù)器訪問等����。
[0059]圖3為將圖2的序列作為SDL(Specificat1nand Descript1n Language,功能規(guī)范和描述語言)流程圖而表示的圖。在圖3中�����,以箭頭表示車載控制裝置100的流程tlOO����、活動102的流程tl02����、認(rèn)證服務(wù)器101的流程tlOl之間的事件傳達(dá)、信息授受����。以下,基于圖3按照時間系列順序解說各裝置的動作���。在圖3中����,小寫的t意味著流程樹��,小寫的P意味著工序�����,小寫的s意味著信號,小寫的e意味著處理的結(jié)束(結(jié)束工序)�����。
[0060](圖3:工序p300 ?p302)
[0061 ] 活動102對認(rèn)證服務(wù)器101發(fā)行操作者107的本人認(rèn)證信息:sll0(p300)��。認(rèn)證服務(wù)器101使用本人認(rèn)證信息:Si 10實(shí)施本人認(rèn)證(P301)�����。在本人認(rèn)證成功的情況下前進(jìn)到下一工序��,在失敗的情況下前進(jìn)到結(jié)束工序elOl結(jié)束本流程(p302)���。
[0062](圖3:工序p303 ?p304)
[0063]認(rèn)證服務(wù)器101對活動102要求發(fā)送車輛ID:sl21和工具ID:sl30(p303)����?;顒?02對認(rèn)證服務(wù)器101發(fā)送這些信號(P304)。
[0064](圖3:工序p305 ?p308)
[0065]認(rèn)證符號生成器221使用從活動102取得的車輛ID檢索密碼(seed.x) (p305)�����。認(rèn)證符號生成器221米樣時鐘211的時刻time(p306)。認(rèn)證符號生成器221生成一次性密碼:sl40��,并對活動102發(fā)送(p307)���。認(rèn)證符號生成器221輸出記錄表230(p308)����。
[0066](圖3:工序p309 ?p310)
[0067]維護(hù)管理工具103接收認(rèn)證服務(wù)器101發(fā)送的哈希值�����,作為服務(wù)器hash值而存儲(p309)��。維護(hù)管理工具103對車載控制裝置100發(fā)送工具ID:sl31(p310)��。
[0068](圖3:工序 p311 ?p312)
[0069]車載控制裝置100接收維護(hù)管理工具103發(fā)送的工具ID的話����,看作是從維護(hù)管理工具103具有認(rèn)證要求�����,開始以后的認(rèn)證工序(p311)���。認(rèn)證符號生成器220確認(rèn)從維護(hù)管理工具103接收的工具ID與預(yù)先存儲于存儲裝置200內(nèi)的工具ID是否吻合(p312)����。不吻合的情況看作是維護(hù)管理工具103被錯誤連接,前進(jìn)到結(jié)束工序elOO結(jié)束本流程(認(rèn)證拒絕)��。吻合的情況下前進(jìn)到工序P313����。
[0070](圖3:工序 p313 ?p314)
[0071]認(rèn)證符號生成器220對時鐘210的時刻:time(p313)進(jìn)行采樣。認(rèn)證符號生成器220將預(yù)先存儲于存儲裝置200內(nèi)的密碼(seed.x)����、時刻:time、以及工具ID代入哈希函數(shù)hashO算出哈希值(p314)��。
[0072](圖3:工序 p315 ?p316)
[0073]認(rèn)證符號生成器220待機(jī)從維護(hù)管理工具103發(fā)送來一次性密碼:sl40(p315)���。維護(hù)管理工具103將從認(rèn)證服務(wù)器101接收的一次性密碼:sl40向車載控制裝置100傳送(p316)0
[0074](圖3:工序 p317)
[0075]認(rèn)證符號生成器220判定從維護(hù)管理工具103接收的一次性密碼:sl40與在工序p314計算的hash值是否一致��。一致的情況下前進(jìn)到工序p318��,不一致的情況下前進(jìn)到結(jié)束工序elOO結(jié)束本流程(認(rèn)證拒絕)�����。
[0076](圖3:工序 p318 ?p319)
[0077]認(rèn)證符號生成器220向維護(hù)管理工具103發(fā)送表示已認(rèn)證許可的信號s300(p318)����。維護(hù)管理工具103在工序p316以后待機(jī)信號s300,接收信號s300的話判斷為已被認(rèn)證許可并開始維護(hù)操作(P319)�。在認(rèn)證符號生成器220生成的哈希值與一次性密碼:sl40不一致的情況下,認(rèn)證符號生成器220在工序p318中�����,使用信號s300通知該不一致的情況�。
[0078]<實(shí)施方式1:總結(jié)>
[0079]如以上那樣,在本實(shí)施方式I所涉及的認(rèn)證系統(tǒng)中���,認(rèn)證處理所需要的公匙、通用哈希函數(shù)僅保持在車載控制裝置100和認(rèn)證服務(wù)器101�,維護(hù)管理工具103不保持這些。因此�,用于管理維護(hù)管理工具103的成本、用于使維護(hù)管理工具103的安全性增強(qiáng)的成本���、用于無信息泄漏地處理不再需要的維護(hù)管理工具103的成本等變得不需要�。另外���,通過對每一個車輛的車型�、年份變更密碼強(qiáng)度,對密碼的危險化能夠立即應(yīng)對��。
[0080]根據(jù)本實(shí)施方式I所涉及的認(rèn)證系統(tǒng)���,由于維護(hù)管理工具103不保持認(rèn)證信息�����、密鑰等�����,因此不需要對工具供應(yīng)商(制造維護(hù)管理工具103的廠家)公開這些��。減少在車載控制裝置100的制造商與工具供應(yīng)商之間秘密地共有的信息����,從防止秘密信息的擴(kuò)散的觀點(diǎn)來看��,可以說是優(yōu)于以往的交易形式����。
[0081]在本實(shí)施方式I所涉及的認(rèn)證系統(tǒng)中�,認(rèn)證服務(wù)器101并不是使用維護(hù)管理工具103保持的認(rèn)證信息認(rèn)證維護(hù)管理工具103本身�,而是對操作者107實(shí)施本人認(rèn)證。因此���,SP使在多個操作者107使用相同的維護(hù)管理工具103的情況下���,也能夠?qū)γ總€操作者107控制認(rèn)證權(quán)限。另外����,由于對操作者107實(shí)施本人認(rèn)證,因此認(rèn)證服務(wù)器101能夠提取每個操作者1 7的訪問記錄(對車載控制裝置1 O的作業(yè)記錄)��。由此�,能夠賦予對不正當(dāng)訪問的制約效果O
[0082]在本實(shí)施方式I中,認(rèn)證符號生成器220和221使用維護(hù)管理工具103的工具ID生成哈希值����,但不是必須使用該工具ID��。即�,也可以省略從維護(hù)管理工具103對車載控制裝置100發(fā)送工具ID的工序(p310?p312),通過將時鐘210以及211的時刻與密碼代入哈希函數(shù)生成哈希值��。在以下的實(shí)施方式中也是同樣。
[0083]<實(shí)施方式2>
[0084]在實(shí)施方式I中�����,作為生成在車載控制裝置100與認(rèn)證服務(wù)器101之間同步變化的變動符號的變動符號生成源�,使用了相互同步的時鐘210和211。在本發(fā)明的實(shí)施方式2中����,取代時鐘210和211,使用車載控制裝置100與認(rèn)證服務(wù)器101能夠相互同步地接收的接收數(shù)據(jù)�。作為本實(shí)施方式2的接收數(shù)據(jù)的一個例,能夠使用在ITS(InteI ligent TransportSystems:高度道路交通系統(tǒng))等的路車間通信中定時傳送的數(shù)據(jù)作為通用知識��。
[0085]圖4為說明本實(shí)施方式2所涉及的認(rèn)證系統(tǒng)認(rèn)證維護(hù)管理工具103的動作的序列圖�。在圖4中,認(rèn)證符號生成器220和221使用接收數(shù)據(jù)410和411取代時鐘210和211的時刻�。因此,認(rèn)證符號生成器221和認(rèn)證符號生成器220都由hash(接收數(shù)據(jù)���,seed.x��,工具ID)生成哈希值��。該哈希值直至接收數(shù)據(jù)被更新為止是有效的�。
[0086]在本實(shí)施方式2中,與圖4對應(yīng)的SDL流程大致與圖3相同�,但是工序p306與p313置換為參照接收數(shù)據(jù)410與411的工序。其他的構(gòu)成以及工序與實(shí)施方式I相同�。
[0087]車載控制裝置100取得接收數(shù)據(jù)410的手段不是必須搭載在車載控制裝置100上,例如通過車載網(wǎng)絡(luò)105能夠訪問其他的ECU (導(dǎo)航ECU�����、路車間通信ECU)的話��,也可以挪用該數(shù)據(jù)�����。認(rèn)證服務(wù)器101取得接收數(shù)據(jù)411的手段也可以不是必須與車載控制裝置100取得接收數(shù)據(jù)410的手段相同���,只要能夠保證接收數(shù)據(jù)410與411同步即可�。
[0088]<實(shí)施方式3>
[0089]在本發(fā)明的實(shí)施方式3中�����,作為在車載控制裝置100與認(rèn)證服務(wù)器101之間同步地變化的變動符號��,使用實(shí)施了認(rèn)證處理的次數(shù)取代時鐘210和211�����。即��,認(rèn)證符號生成器220和221在每次實(shí)施認(rèn)證處理時對密碼的初始值init.X重疊地應(yīng)用哈希函數(shù)hash()�,其結(jié)果使用獲得的值取代實(shí)施方式I的時刻:time以及密碼seed.x。
[0090]在本實(shí)施方式3中����,認(rèn)證符號生成器220和221使用{hash(init.X) }~n,取代實(shí)施方式I的時刻:time以及密碼seed.x���。這相當(dāng)于將密碼初始值作為init.X�����,將認(rèn)證次數(shù)作為η����,求以下的值:
[0091 ] {hash(init.X)} 'n=hash(hash(...hash(init.x)...))
[0092]該值相當(dāng)于通過對init.X實(shí)施n重的hash處理獲得的值�����。
[0093]圖5為說明本實(shí)施方式3所涉及的認(rèn)證系統(tǒng)認(rèn)證維護(hù)管理工具103的動作的序列圖。在以下中主要對不同于實(shí)施方式I的構(gòu)成進(jìn)行重要地說明���。
[0094]在本實(shí)施方式3中��,數(shù)據(jù)庫201對每個車輛存儲了各車輛的車輛ID��、對應(yīng)車輛ID的密碼初始值��、以及認(rèn)證了操作者107的次數(shù)的組合����。認(rèn)證服務(wù)器101在操作者107的本人認(rèn)證成功時����,從活動102取得車輛ID: sl21,增加對應(yīng)于該車輛ID的認(rèn)證次數(shù)((η — I )—n)(p605)o
[0095]認(rèn)證符號生成器221讀出對應(yīng)于該車輛ID的初期密碼init.x����,對此η次重疊地應(yīng)用hash函數(shù)算出{hash(init.X)} ~η(后述的ρ606)。認(rèn)證符號生成器221使用該值取代實(shí)施方式I的密碼和時刻���。因此���,認(rèn)證服務(wù)器101生成的一次性密碼:s 140成為hash( {hash(init.x)} ~n���,工具ID)�。
[0096]在本實(shí)施方式3中,存儲裝置200存儲了與數(shù)據(jù)庫201相同的初始密碼init.x��。但是車載控制裝置100由于一般不具備如認(rèn)證服務(wù)器101那樣的計算能力����,每次計算{hash(init.X) Γη是困難的。在此認(rèn)證符號生成器220在每次對init.X重疊地應(yīng)用哈希函數(shù)時將該值作為上次值510存儲在存儲裝置200(p613)���,在下次生成認(rèn)證符號時對上次值510僅應(yīng)用一次hash函數(shù)hashO����。由此���,能夠以少于認(rèn)證服務(wù)器101的計算量作出密碼的系列�。
[0097]認(rèn)證符號生成器220在獲得對init.X重疊應(yīng)用hash函數(shù)所得的值之后�,與認(rèn)證符號生成器221同樣地使用該值與工具ID生成認(rèn)證符號(p530?p531)。認(rèn)證符號生成器220比較該認(rèn)證符號和一次性密碼:sl40����。
[0098]圖6為將圖5的序列表示為SDL流程的圖。設(shè)置工序p605?p606取代圖3的工序p305?口306,設(shè)置工序?613取代工序?313���。工序?606和?613為求出對111^^重疊應(yīng)用了哈希函數(shù)的相同的值的處理�,但是相對于在P606中η次應(yīng)用���,在p613中對上次值51僅應(yīng)用一次�。
[0099]在工序p319中�,維護(hù)管理工具103在收到認(rèn)證拒絕的主旨的信號s300的情況下,可以將其向認(rèn)證服務(wù)器101傳送�����。認(rèn)證服務(wù)器101收到該信號的話��,在下次認(rèn)證操作者107時��,實(shí)施適當(dāng)?shù)靥幚?��,以便使用增加前的認(rèn)證次數(shù)生成一次性密碼:s 140����。例如可以直接地遞減數(shù)據(jù)庫201存儲的認(rèn)證次數(shù)�����,也可以在生成一次性密碼:sl40時進(jìn)行減少認(rèn)證次數(shù)的值等生成多個一次性密碼:sl40,使用這些多個值多次試行認(rèn)證���。
[0100]<實(shí)施方式3:總結(jié)>
[0101]如以上那樣,在本實(shí)施方式3所涉及的認(rèn)證系統(tǒng)中�,認(rèn)證符號生成器220和221使實(shí)施認(rèn)證處理的次數(shù)相互同步,用此生成認(rèn)證符號����。由此,不需要像實(shí)施方式I的時鐘210以及211����、實(shí)施方式2的接收數(shù)據(jù)410以及411那樣,利用時間性變化的信息��,能夠?qū)⒂糜谌〉猛降氖侄魏喴谆?br>[0102]本發(fā)明并不限定于上述的實(shí)施方式��,還含有各種各樣的變形例�����。上述實(shí)施方式是為了容易理解地說明本發(fā)明而進(jìn)行的詳細(xì)說明�����,未必限定于具備所說明的全部的構(gòu)成。另夕卜�����,也能夠?qū)⒛硨?shí)施方式的構(gòu)成的一部分置換為其他實(shí)施方式的構(gòu)成��。另外���,也能在某實(shí)施方式的構(gòu)成增加其他實(shí)施方式的構(gòu)成�。另外��,對各實(shí)施方式的構(gòu)成的一部分���,也能夠追加�、刪除��、置換其他的構(gòu)成�。
[0103]上述各構(gòu)成、功能����、處理部�、處理手段等��,也可以例如通過以集成電路設(shè)計等以硬件來實(shí)現(xiàn)這些的一部分或全部����。另外,上述的各構(gòu)成���、功能等,也可以通過處理器解釋���、實(shí)行實(shí)現(xiàn)各種功能的程序以軟件來實(shí)現(xiàn)��。實(shí)現(xiàn)各功能的程序����、表���、文件等信息能夠存儲于內(nèi)存���、硬盤、SSD(Solid State Drive�����,固態(tài)硬盤)等存儲裝置,IC卡���、SD卡�����、DVD等存儲媒介����。
[0104]例如認(rèn)證符號生成器220和221��、時鐘210和211��、以及取得接收數(shù)據(jù)410和411的手段���,能夠由安裝有這些功能的電路裝置等的硬件構(gòu)成��,也可以由認(rèn)證服務(wù)器101或車載控制裝置100的CPU實(shí)行安裝有同樣功能的軟件而構(gòu)成���。
[0105]符號說明
[0106]100:車載控制裝置,101:認(rèn)證服務(wù)器�,103:維護(hù)管理工具�,104:連接用連接器�,105:車載網(wǎng)絡(luò),107:操作者�����,200:存儲裝置�����,201:數(shù)據(jù)庫�����,210以及211:時鐘�,220以及221:認(rèn)證符號生成器����,410以及411:接收數(shù)據(jù)。
【主權(quán)項】
1.一種認(rèn)證系統(tǒng)��,其是認(rèn)證為了對控制車輛動作的車載控制裝置進(jìn)行維護(hù)管理而使用的操作終端的認(rèn)證系統(tǒng)��,其特征在于�, 所述認(rèn)證系統(tǒng)包括:認(rèn)證裝置����,其通過通信線路與所述操作終端連接�����,對操作所述操作終端的操作者進(jìn)行認(rèn)證;以及所述車載控制裝置�, 所述車載控制裝置被構(gòu)成為判定是否許可所述操作終端實(shí)施維護(hù)管理所述車載控制裝置的操作, 所述認(rèn)證裝置和所述車載控制裝置分別包括: 變動符號生成源�����,其生成相互同步地變化的變動符號�; 存儲部,其存儲在所述認(rèn)證裝置與所述車載控制裝置之間共有的所述車輛所固有的公鑰�;以及 認(rèn)證符號生成器,其使用所述變動符號和所述公鑰生成認(rèn)證符號�, 所述認(rèn)證裝置從所述操作終端收到認(rèn)證要求的話,認(rèn)證所述操作者�, 所述操作者的認(rèn)證成功的話,從所述操作終端取得確定所述公鑰的信息�����,使用所述變動符號和所述公鑰生成所述認(rèn)證符號并向所述操作終端發(fā)送,所述操作終端將從所述認(rèn)證裝置接收的所述認(rèn)證符號向所述車載控制裝置發(fā)送����, 所述車載控制裝置使用所述變動符號和所述公鑰生成所述認(rèn)證符號,生成的所述認(rèn)證符號與從所述操作終端接收的所述認(rèn)證符號一致的情況下�����,許可所述操作終端實(shí)施維護(hù)管理所述車載控制裝置的操作��。2.如權(quán)利要求1所述的認(rèn)證系統(tǒng)����,其特征在于, 所述變動符號生成源生成在所述認(rèn)證裝置與所述車載控制裝置之間同步的時刻作為所述變動符號��, 所述認(rèn)證符號生成器通過對所述變動符號和所述公鑰應(yīng)用在所述認(rèn)證裝置與所述車載控制裝置之間共有的哈希函數(shù)�����,生成一次性密碼作為所述認(rèn)證符號�。3.如權(quán)利要求1所述的認(rèn)證系統(tǒng)���,其特征在于�����, 所述變動符號生成源使用所述認(rèn)證裝置和所述車載控制裝置能夠同步地接收的信息作為所述變動符號�����, 所述認(rèn)證符號生成器通過對所述變動符號和所述公鑰應(yīng)用在所述認(rèn)證裝置與所述車載控制裝置之間共有的哈希函數(shù)����,生成一次性密碼作為所述認(rèn)證符號。4.如權(quán)利要求1所述的認(rèn)證系統(tǒng)���,其特征在于����, 所述變動符號生成源使用確定所述認(rèn)證符號生成器生成了所述認(rèn)證符號的次數(shù)的信息作為所述變動符號�����, 所述認(rèn)證符號生成器使用對所述公鑰重疊所述次數(shù)地應(yīng)用在所述認(rèn)證裝置與所述車載控制裝置之間共有的哈希函數(shù)而獲得的重疊符號來取代所述變動符號和所述公鑰����,生成一次性密碼作為所述認(rèn)證符號。5.如權(quán)利要求4所述的認(rèn)證系統(tǒng)�,其特征在于����, 所述認(rèn)證符號生成器在所述存儲部存儲生成了所述認(rèn)證符號的次數(shù)���,在下次生成所述認(rèn)證符號時�,使用與所述存儲的次數(shù)相對應(yīng)地對所述公鑰重疊應(yīng)用在所述認(rèn)證裝置與所述車載控制裝置之間共有的哈希函數(shù)而獲得的重疊符號�,來取代所述變動符號和所述公鑰。6.如權(quán)利要求4所述的認(rèn)證系統(tǒng)���,其特征在于�, 所述認(rèn)證符號生成器將所述重疊符號存儲于所述存儲部���,在下次生成所述認(rèn)證符號時����,使用對所述存儲的所述重疊符號僅應(yīng)用一次在所述認(rèn)證裝置與所述車載控制裝置之間共有的哈希函數(shù)而再存儲的重疊符號�,來取代所述變動符號和所述公鑰。7.如權(quán)利要求4所述的認(rèn)證系統(tǒng)��,其特征在于���, 所述車載控制裝置的所述認(rèn)證符號生成器在生成的所述認(rèn)證符號與從所述操作終端接收的所述認(rèn)證符號不一致的情況下,將記述該兩者不一致的情況的認(rèn)證錯誤數(shù)據(jù)向所述操作終端發(fā)送, 所述操作終端將所述認(rèn)證錯誤數(shù)據(jù)向所述認(rèn)證裝置傳送�����。8.如權(quán)利要求1所述的認(rèn)證系統(tǒng)���,其特征在于�����, 所述認(rèn)證裝置和所述車載控制裝置分別具有的所述認(rèn)證符號生成器����,除了使用所述變動符號和所述公鑰之外��,還使用所述操作終端所固有的終端ID來生成所述認(rèn)證符號����。9.一種車載控制裝置,其為控制車輛的動作的車載控制裝置��,其特征在于�����,包括: 變動符號生成源,其生成與認(rèn)證操作者的認(rèn)證裝置生成的變動符號同步變化的變動符號�,所述操作者操作為了維護(hù)管理所述車載控制裝置而使用的操作終端; 存儲部��,其存儲在所述認(rèn)證裝置與所述車載控制裝置之間共有的所述車輛所固有的公鑰��;以及 認(rèn)證符號生成器�,其使用所述變動符號和所述公鑰生成認(rèn)證符號, 所述認(rèn)證符號生成器從所述操作終端接收所述認(rèn)證符號�����, 所述認(rèn)證符號生成器使用所述變動符號和所述公鑰生成所述認(rèn)證符號���,在生成的所述認(rèn)證符號與從所述操作終端接收的所述認(rèn)證符號一致的情況下��,許可所述操作終端實(shí)施維護(hù)管理所述車載控制裝置的操作���。10.如權(quán)利要求9所述的車載控制裝置,其特征在于�����, 所述變動符號生成源生成在所述認(rèn)證裝置與所述車載控制裝置之間同步的時刻作為所述變動符號�, 所述認(rèn)證符號生成器通過對所述變動符號和所述公鑰應(yīng)用在所述認(rèn)證裝置與所述車載控制裝置之間共有的哈希函數(shù)���,生成一次性密碼作為所述認(rèn)證符號�����。11.如權(quán)利要求9所述的車載控制裝置�����,其特征在于���, 所述變動符號生成源使用所述認(rèn)證裝置和所述車載控制裝置能夠同步接收的信息作為所述變動符號���, 所述認(rèn)證符號生成器通過對所述變動符號和所述公鑰應(yīng)用在所述認(rèn)證裝置與所述車載控制裝置之間共有的哈希函數(shù),生成一次性密碼作為所述認(rèn)證符號����。12.如權(quán)利要求9所述的車載控制裝置,其特征在于���, 所述變動符號生成源使用確定所述認(rèn)證符號生成器生成了所述認(rèn)證符號的次數(shù)的信息作為所述變動符號����, 所述認(rèn)證符號生成器使用對所述公鑰重疊所述次數(shù)地應(yīng)用在所述認(rèn)證裝置與所述車載控制裝置之間共有的哈希函數(shù)而獲得的重疊符號來取代所述變動符號和所述公鑰,生成一次性密碼作為所述認(rèn)證符號��。13.如權(quán)利要求12所述的車載控制裝置�����,其特征在于����, 所述認(rèn)證符號生成器將所述重疊符號存儲于所述存儲部,在下次生成所述認(rèn)證符號時�����,使用對所述存儲的所述重疊符號僅應(yīng)用一次在所述認(rèn)證裝置與所述車載控制裝置之間共有的哈希函數(shù)而再存儲的重疊符號�����,來取代所述變動符號和所述公鑰�。14.如權(quán)利要求12所述的車載控制裝置,其特征在于����, 所述認(rèn)證符號生成器在生成的所述認(rèn)證符號與從所述操作終端接收的所述認(rèn)證符號不一致的情況下,將記述該兩者不一致的情況的認(rèn)證錯誤數(shù)據(jù)向所述操作終端發(fā)送。15.如權(quán)利要求9所述的車載控制裝置�����,其特征在于����, 所述認(rèn)證符號生成器除了使用所述變動符號和所述公鑰之外����,還使用所述操作終端所固有的終端ID來生成所述認(rèn)證符號。
【文檔編號】H04L9/32GK106030600SQ201580010328
【公開日】2016年10月12日
【申請日】2015年1月23日
【發(fā)明人】三宅淳司
【申請人】日立汽車系統(tǒng)株式會社