認證系統(tǒng)��、車載控制裝置的制造方法
【專利摘要】防止用于對車載控制裝置的維護管理作業(yè)的維護管理工具被第3者惡意使用�����。在本發(fā)明所涉及的認證系統(tǒng)中�����,認證裝置認證操作終端(相當于維護管理工具)的操作者����,操作終端將認證裝置生成的認證符號向車載控制裝置傳送。車載控制裝置使用該認證符號�,判斷是否許可操作終端實施維護操作。
【專利說明】
認證系統(tǒng)���、車載控制裝置
技術領域
[0001]本發(fā)明涉及認證操作終端的技術�,該操作終端用于維護管理控制車輛動作的車載控制裝置。
【背景技術】
[0002]近年�����,車載控制裝置的軟件高度化����、大規(guī)模化�,且控制處理也多功能化。伴隨于此��,附加設定調整用數據的功能��、調試功能�、更新控制軟件自身的功能等用于實施維護操作的功能成為普通的事情�����。通過將車載控制裝置與外部操作終端連接�����,由操作者操作該操作終端(也稱為維護管理工具)來實施該維護操作���。車載控制裝置從自身的存儲裝置讀出數據并向操作終端輸出�����,或者從操作終端取得數據并寫入自身的存儲裝置���。
[0003]作為維護管理工具從車載控制裝置的存儲裝置讀出的數據�����,例如為自我診斷歷史��、操作日志等那樣的用于實施故障診斷的數據���。作為維護管理工具寫入車載控制裝置的存儲裝置的數據����,例如為在產品出廠前的制造商中每個車輛都不同的設備調整值�、在產品出廠后的制造商指定的經銷商中更新控制軟件(固件的再寫入)時的更新數據等。更新控制軟件的作業(yè)有時稱為召回�、服務宣傳活動等而被實施。這些維護功能被限定許可于制造商或具有制造商許可的修配廠的銷售商等����,并不向一般的用戶開放。
[0004]車載控制裝置特別是在負責汽車的控制的特性上����,如果輕易變更軟件、數據的話具有導致故障�����、事故的可能性���。另外,在信息安全上的觀點方面���,輕易地變更也具有威脅車輛上存在的個人財產的可能性�。例如,具有由于無效化電子鑰匙而車輛盜竊變得容易的可能性�。另外,可以想到能夠收集存儲在導航內的自家數據的個人信息的可能性����。此外,也能想到從ETC(Electronic Toll Collect1n System�,不停車電子收費系統(tǒng))設備盜取個人的信用卡號碼。因此維護管理工具不能流出到一般用戶�,也不能為有資格者以外的人能夠容易操作那樣的替代物。
[0005]在下述專利文獻I所記載的技術中��,維護管理工具具備測量位置信息的功能����,只有在維護管理工具存在于規(guī)定的瑋度經度范圍內情況下,認證服務器才認證維護管理工具���。通過確認維護管理工具的位置信息��,謀求如下效果:例如即使維護管理工具被盜����,也能防止被惡意的第三者使用于未然。
[0006]現有技術文獻
[0007]專利文獻
[0008]專利文獻1:日本特開2013-015884號公報
【發(fā)明內容】
[0009]發(fā)明要解決的問題
[0010]〈工具的高價化和效率降低〉
[0011]在上述專利文獻I中�����,與以往同樣地認證系統(tǒng)的構成要素的一部分被收納于維護管理工具內����。即,可以想到由于為了升級認證系統(tǒng)需要硬件的功能增加(例如位置信息測量功能的增加等)���,因此維護管理工具的成本增加����。另外由于需要定位維護管理工具�,因此具有到操作者開始維護管理作業(yè)為止的前置期增加的可能性。
[0012]〈對逆向工程的擔憂〉
[0013]在上述專利文獻I中�,為了與擔負發(fā)行認證碼任務的中心通信而使用的消息認證碼(MAC:Message Authenticat1n Code)用的密鑰被存儲在維護管理工具內。因此����,在維護管理工具被盜時,具有該密鑰由逆向工程泄漏的可能性��。
[0014]〈定位系統(tǒng)的可靠性〉
[0015]近年,由于使用GPS(Global Posit1ning System��,全球定位系統(tǒng))的室內定位技術(IMES:1ndoor Messaging System)的發(fā)展����,為了偽裝位置信息而能夠濫用的市售的GPS信號發(fā)生器一般為人所知���。另外���,作為別的攻擊方法能夠列舉出下面的事實?�?梢哉J為維護管理工具內部的GPS接收器從抑制成本上升的觀點而使用通用(一般市售)的GPS接收模塊�。這樣的GPS接收模塊與工具的CPU(Central Processing Unit,中央處理器)之間的接口已經被規(guī)格化����,采用遵循NMEA(全美船舶用電子設備協會:Nat1nal Marine ElectronicsAssociat1n)0183標準規(guī)格的通信協議。NMEA 0183為該協會制定的基于字符的通信規(guī)格�。因此,通過根據上述規(guī)定將從GPS接收模塊對維護管理工具的CPU發(fā)送的信號進行偽裝��,能夠容易地偽裝位置信息����。由此動搖了對于定位結果的可靠性���。
[0016]〈將挑戰(zhàn)碼轉換為響應的函數(哈希函數)的脆弱性〉
[0017]在上述專利文獻I中,在從對象設備向維護管理工具傳達信號的界面中�����,能夠捕捉并監(jiān)視對象設備生成的挑戰(zhàn)碼���。另外���,在從中心向維護管理工具傳達信號的界面中,能夠捕捉并監(jiān)視與挑戰(zhàn)碼對應的響應�。因此,不正當獲得維護管理工具的第三者能夠記錄挑戰(zhàn)碼和響應的組合���。由于其提供類推內部哈希函數的線索���,因此具有對于安全系統(tǒng)來說變得脆弱的可能性。另外�,在上述專利文獻I中對象設備在生成挑戰(zhàn)碼時生成偽隨機數。偽隨機數(與密碼學的真隨機數不同)由于具有周期性�,通過完整地記錄I周期的挑戰(zhàn)碼和響應的組合���,具有能夠偽裝響應的可能性。進一步地����,其他車輛����、其他車載控制裝置的偽隨機數發(fā)生機構也通用的情況下,上述那樣的暴力破解攻擊能夠對于其他車輛挪用�����。
[0018]本發(fā)明是鑒于上述那樣的問題而完成的����,其目的在于防止用于實施對車載控制裝置的維護管理作業(yè)的維護管理工具被第3者惡意使用。
[0019]解決問題的技術手段
[0020]在本發(fā)明所涉及的認證系統(tǒng)中����,認證裝置認證操作終端(相當于維護管理工具)的操作者,操作終端向車載控制裝置傳送認證裝置生成的認證符號��。車載控制裝置使用該認證符號�����,判斷是否許可操作終端實施維護操作。
[0021]發(fā)明的效果
[0022]根據本發(fā)明所涉及的認證系統(tǒng)���,不需要在操作終端內部收納認證信息�����、認證機構�����,因此即使操作終端存在遺失或被盜�����,也能夠抑制被第3者惡意使用的風險��。
【附圖說明】
[0023]圖1為表示實施方式I所涉及的認證系統(tǒng)的構成的圖���。
[0024]圖2為說明實施方式I所涉及的認證系統(tǒng)認證維護管理工具103的動作的序列圖。
[0025]圖3為將圖2的序列表示為SDL流程的圖����。
[0026]圖4為說明實施方式2所涉及的認證系統(tǒng)認證維護管理工具103的動作的序列圖���。
[0027]圖5為說明實施方式3所涉及的認證系統(tǒng)認證維護管理工具103的動作的序列圖。
[0028]圖6為將圖5的序列表示為SDL流程的圖�����。
【具體實施方式】
[0029]<實施方式1>
[0030]圖1為表示本發(fā)明的實施方式I所涉及的認證系統(tǒng)的構成的圖�。車載控制裝置100也就是被稱為ECU(Electronic Control Unit,電子控制單元)的內置型電子控制裝置�����,連接于CAN(Controller Area Network�,控制器區(qū)域網絡)等車載網絡105并且一邊與其他的車載控制裝置收發(fā)信息一邊控制車輛�����。
[0031]維護管理工具103能夠通過連接用連接器104連接于車載網絡105���。連接用連接器104有時從車載網絡105直接分支而引出�����,有時從安全上的考慮通過車載通信用網關(未圖示)而提供��。
[0032]在認證維護管理工具103的現有的方式中���,一般為車載控制裝置100與維護管理工具103以I對I的方式認證���。但是這樣的情況下,由于認證所需要的信息存儲在維護管理工具103內����,因此具有在維護管理工具103存在被盜、遺失的情況下惡意的第3者使用該認證信息而不正當進入車載網絡105的危險�����。
[0033]在此在本實施方式I中�,不是車載控制裝置100認證維護管理工具103,而是對操作維護管理工具103的操作者107進行本人認證��。由此由于維護管理工具103不需要保持自身的認證信息�,因此即使維護管理工具103存在被盜、遺失認證信息也不會泄露���,可以認為進一步提高了安全強度���。
[0034]由于維護管理工具103不保持認證信息��,因此需要另外設置用于對操作者107進行本人認證的單元���。在車載控制裝置100內設置認證操作者107的功能的話,需要車載控制裝置100具備認證數據庫�,還需要在車載控制裝置100的框體等設置如鍵盤那樣的人機交互界面,因此不現實���。在此本實施方式I所涉及的認證系統(tǒng)具備通過通信線路與維護管理工具103連接的認證服務器101���,認證服務器101具備對操作者107進行本人認證的第I認證部
Illo
[0035]第I認證部111接收后述的信號SllO,使用該信號����,確認操作者107是否為具有操作維護管理工具103的權限的本人���。作為認證方式��,例如可以為采用用戶ID以及密碼的方式��,也可以利用使用與操作者107的工作時間管理���、作業(yè)管理關聯的LDAP(Light weightDirectory Access Protocol�����,輕量目錄訪問協議)的認證��。也可以使用其他的適當的認證方式���。
[0036]作為操作者107提供認證信息時使用的人機交互界面(鍵盤等),例如可以使用與認證服務器101連接的業(yè)務用電腦106���,也可以將維護管理工具103直接連接于認證服務器101而使用維護管理工具103上的軟鍵盤等的人機交互界面�����。由于在兩種的情況下����,維護管理工具103自身都不保持認證信息�,因此需要另外提供用于對操作者107進行本人認證的認證信息。
[0037]如果操作者107的本人認證成功的話���,認證服務器101收集描述確定作業(yè)對象的車輛的車輛ID的信號sl21以及描述確定維護管理工具103的工具ID的信號sl30�����。這些信息可以為操作者107經由業(yè)務用電腦106而提供�,也可以預先將這些信息存儲在維護管理工具103內,維護管理工具103直接連接于認證服務器101�,不通過人工地發(fā)送信息。
[0038]認證服務器101除了使用這些信息之外�����,還使用與車載控制裝置100同步變動的信息(詳細內容后述)��,生成描述認證用一次性密碼的信號sl40���,并對維護管理工具103發(fā)行該一次性密碼�����。作為發(fā)行的形式�����,能夠為一旦對業(yè)務用電腦106發(fā)行該一次性密碼操作者107經由存儲卡(未圖示)等媒介復制到維護管理工具103,也可以為維護管理工具103直接連接于認證服務器101而取得��。
[0039]操作者107通過連接用連接器104和車載網絡105將取得了認證用一次性密碼(sl40)的維護管理工具103連接于車載控制裝置100。
[0040]維護管理工具103向車載控制裝置100發(fā)送認證用一次性密碼(sl40)以及描述確定維護管理工具103的工具ID信號sl31�。車載控制裝置100具備認證維護管理工具103的第2認證部112。第2認證部112在認證服務器101認證了操作者107之后(即使用認證服務器101發(fā)行的一次性密碼)���,按照后述的工序認證維護管理工具103�����。通過該工序�,驗證操作者107是否具有實施對車載控制裝置100的維護管理作業(yè)的權限�。驗證結果為OK的話,車載控制裝置100允許維護管理工具103實施維護操作�。
[0041 ]由于從第I認證部111朝向第2認證部112發(fā)行的認證用一次性密碼(s 140)為一次性密碼,因此僅在發(fā)行該密碼的時間附近�����,或是發(fā)行的唯一時刻有效��。因此�����,即使復制該一次性密碼也不能在其他的認證中挪用���,也就是說具有反射攻擊不通用的優(yōu)點�����。
[0042]第I認證部111例如可以為由認證服務器101的CPU實行的軟件而構成��,也可以由安裝同樣的功能的電路元件等硬件而構成��。至于第2認證部112��,后述的認證符號生成器220相當于此�。
[0043]<實施方式1:動作序列>
[0044]圖2為說明本實施方式I所涉及的認證系統(tǒng)認證維護管理工具103的動作的序列圖。在圖2中���,為了記載的方便�����,將維護管理工具103的動作與操作者107(或者業(yè)務用電腦106等操作者107使用的終端)的動作一體化��,并表述為活動102�。以下對圖2的各工序進行說明�。
[0045]活動102對認證服務器101發(fā)送操作者107的本人認證信息:Si 10����。認證服務器101在完成本人認證時�,對活動102要求發(fā)送車輛ID: sl21以及工具ID: sl30��?���;顒?02對認證服務器101發(fā)送這些信息。
[0046]車輛ID: sl21可以為唯一識別作業(yè)對象的車輛的信息����,也可以為唯一識別作業(yè)對象的車載控制裝置100的信息。作為收集車輛ID的手段��,可以為操作者107通過觀察刻在車架上的車架編號而取得�����,也可以將維護管理工具103連接于車載控制裝置100����,作為在認證非實施時能夠收集的識別信息(在圖2中圖示為車輛ID: sl20)而從車載控制裝置100取得。即如后述那樣�����,只要是能夠從認證服務器101內的數據庫201檢索該車輛特有的密碼的信息即可。
[0047]認證服務器101具備數據庫201��,數據庫201對于每個車輛存儲各車輛的車輛ID與對應于該車輛ID的密碼的組合�。數據庫201可以使用硬盤裝置等存儲裝置而構成。存儲裝置認證服務器101使用車輛ID: sl21檢索數據庫201��,找出與該車輛對應的密碼seed.X����。與該密碼相同的密碼也存儲在車載控制裝置100內的存儲裝置200內,車載控制裝置100的CPU能夠參照該密碼��。密碼seed.X具有作為僅認證服務器101和車載控制裝置100保持且不向其他公開的密鑰的作用��。
[0048]認證服務器101和車載控制裝置100作為生成相互同步的變動符號的變動符號生成源����,分別具備相互同步的時鐘211和210。另外��,認證服務器101和車載控制裝置100分別具備使用同一哈希函數生成認證符號的認證符號生成器221和220��。認證服務器101使用時鐘211的時刻:time��、密碼seed.x�����、以及工具ID:sl30計算哈希值hash(time��,seed.x��,工具ID)�,并作為一次性密碼:s 140發(fā)行。上述3個值比特連接����,作為一個比特串而代入哈希函數hash
Oo
[0049]哈希函數hash()為將任意長度的數據壓縮為固定長度(128?512比特左右)的數據的、具有下述(I)?(3)的性質的密碼學的函數:
[0050](I)單方向性:從輸出值發(fā)現輸入值是困難的���。即�����,在給予某哈希值h時�,求出滿足h= hash(m)的任意的m必須是困難的���;
[0051](2)第2原像計算困難性:求出成為與某輸入值相同的哈希值那樣的其他的輸入是困難的��。即����,關于某m,求出成為hash(m) =hash(m’)那樣的m’(但是�,)必須是困難的;
[0052](3)沖突困難性:發(fā)現生成相同輸出值的2個輸入值是困難的�����。即��,求出滿足hash(m)=hash(m’)(但是��,m#m’)的m和m’必須是困難的��。
[0053]認證符號生成器221和220秘密地共有相同的哈希函數hashO��。通過在認證服務器101和車載控制裝置100之間配對并變更哈希函數hash()�����,能夠增強密碼強度來應對危險化�。由于維護管理工具103僅傳送一次性密碼:sl40,因此��,即使變更哈希函數hash()活動102也不受影響。即不需要維護管理工具103的更換���、修理�����。另外密碼的危險化��,是說密碼算法的安全性的水平降低了的狀況,或者����,由于該影響編入密碼算法的系統(tǒng)等的安全性受到威脅的狀況。
[0054]在車載控制裝置100中�����,認證符號生成器220將維護管理工具103發(fā)送的工具ID:s 131��、該車輛獨自的密碼seed.x��、以及時鐘210的時刻:t ime代入與認證服務器1I相同的哈希函數hash()��,計算哈希值hash(time��,seed.x,工具ID) (p240)����。
[0055]認證符號生成器220將計算出的哈希值與通過維護管理工具103取得的一次性密碼:sl40進行比較,兩者一致的情況下判斷為活動102的真正性能夠驗證并許可維護管理作業(yè)�����。
[0056]在從認證服務器101發(fā)行一次性密碼:sl40到車載控制裝置100生成哈希值為止的期間����,時鐘211與210各自的時刻必須相同。例如時鐘211與210分別生成以分鐘單位��、小時單位周期地變化的時刻�,在該I周期之間各時鐘的時刻不發(fā)生變化。認證維護管理工具103的序列只要在各時鐘的時刻不變化的期間實施即可��。在從認證服務器101發(fā)行一次性密碼:sl40到車載控制裝置100生成哈希值為止的期間�����,在時刻行進了的情況下�����,需要返回認證服務器101發(fā)行一次性密碼:sl40的工序再一次實施認證序列。
[0057]認證服務器101能夠以從活動102取得的信息為基礎選取記錄表230�����。在記錄表230中����,能夠記錄操作者107的本人ID、一次性密碼發(fā)行時刻���、車輛ID����、工具ID等信息�����。這些信息在發(fā)覺任何不正當行為的情況下確定操作者107����、受影響車輛的資料����。
[0058]車載控制裝置100側的時鐘210并不是必須需要搭載在車載控制裝置100上,例如如果通過車載網絡105能夠在其他的ECU查詢時刻的話也可以挪用該時鐘。作為使時刻與認證服務器101側的時鐘211同步的手段����,可以想到例如GPS信號的接收、向互聯網上的NTP(Network Time Protocol���,網絡時間協議)服務器訪問等���。
[0059]圖3為將圖2的序列作為SDL(Specificat1nand Descript1n Language,功能規(guī)范和描述語言)流程圖而表示的圖��。在圖3中�����,以箭頭表示車載控制裝置100的流程tlOO���、活動102的流程tl02��、認證服務器101的流程tlOl之間的事件傳達���、信息授受。以下����,基于圖3按照時間系列順序解說各裝置的動作��。在圖3中��,小寫的t意味著流程樹���,小寫的P意味著工序,小寫的s意味著信號�,小寫的e意味著處理的結束(結束工序)。
[0060](圖3:工序p300 ?p302)
[0061 ] 活動102對認證服務器101發(fā)行操作者107的本人認證信息:sll0(p300)��。認證服務器101使用本人認證信息:Si 10實施本人認證(P301)�����。在本人認證成功的情況下前進到下一工序��,在失敗的情況下前進到結束工序elOl結束本流程(p302)����。
[0062](圖3:工序p303 ?p304)
[0063]認證服務器101對活動102要求發(fā)送車輛ID:sl21和工具ID:sl30(p303)��?����;顒?02對認證服務器101發(fā)送這些信號(P304)。
[0064](圖3:工序p305 ?p308)
[0065]認證符號生成器221使用從活動102取得的車輛ID檢索密碼(seed.x) (p305)��。認證符號生成器221米樣時鐘211的時刻time(p306)�。認證符號生成器221生成一次性密碼:sl40,并對活動102發(fā)送(p307)�����。認證符號生成器221輸出記錄表230(p308)����。
[0066](圖3:工序p309 ?p310)
[0067]維護管理工具103接收認證服務器101發(fā)送的哈希值,作為服務器hash值而存儲(p309)�。維護管理工具103對車載控制裝置100發(fā)送工具ID:sl31(p310)。
[0068](圖3:工序 p311 ?p312)
[0069]車載控制裝置100接收維護管理工具103發(fā)送的工具ID的話��,看作是從維護管理工具103具有認證要求���,開始以后的認證工序(p311)���。認證符號生成器220確認從維護管理工具103接收的工具ID與預先存儲于存儲裝置200內的工具ID是否吻合(p312)。不吻合的情況看作是維護管理工具103被錯誤連接���,前進到結束工序elOO結束本流程(認證拒絕)�。吻合的情況下前進到工序P313。
[0070](圖3:工序 p313 ?p314)
[0071]認證符號生成器220對時鐘210的時刻:time(p313)進行采樣���。認證符號生成器220將預先存儲于存儲裝置200內的密碼(seed.x)���、時刻:time、以及工具ID代入哈希函數hashO算出哈希值(p314)����。
[0072](圖3:工序 p315 ?p316)
[0073]認證符號生成器220待機從維護管理工具103發(fā)送來一次性密碼:sl40(p315)。維護管理工具103將從認證服務器101接收的一次性密碼:sl40向車載控制裝置100傳送(p316)0
[0074](圖3:工序 p317)
[0075]認證符號生成器220判定從維護管理工具103接收的一次性密碼:sl40與在工序p314計算的hash值是否一致����。一致的情況下前進到工序p318,不一致的情況下前進到結束工序elOO結束本流程(認證拒絕)�。
[0076](圖3:工序 p318 ?p319)
[0077]認證符號生成器220向維護管理工具103發(fā)送表示已認證許可的信號s300(p318)。維護管理工具103在工序p316以后待機信號s300�,接收信號s300的話判斷為已被認證許可并開始維護操作(P319)。在認證符號生成器220生成的哈希值與一次性密碼:sl40不一致的情況下���,認證符號生成器220在工序p318中,使用信號s300通知該不一致的情況����。
[0078]<實施方式1:總結>
[0079]如以上那樣���,在本實施方式I所涉及的認證系統(tǒng)中,認證處理所需要的公匙����、通用哈希函數僅保持在車載控制裝置100和認證服務器101,維護管理工具103不保持這些��。因此�,用于管理維護管理工具103的成本、用于使維護管理工具103的安全性增強的成本���、用于無信息泄漏地處理不再需要的維護管理工具103的成本等變得不需要���。另外,通過對每一個車輛的車型���、年份變更密碼強度�,對密碼的危險化能夠立即應對�����。
[0080]根據本實施方式I所涉及的認證系統(tǒng),由于維護管理工具103不保持認證信息���、密鑰等�����,因此不需要對工具供應商(制造維護管理工具103的廠家)公開這些����。減少在車載控制裝置100的制造商與工具供應商之間秘密地共有的信息���,從防止秘密信息的擴散的觀點來看�,可以說是優(yōu)于以往的交易形式��。
[0081]在本實施方式I所涉及的認證系統(tǒng)中�����,認證服務器101并不是使用維護管理工具103保持的認證信息認證維護管理工具103本身����,而是對操作者107實施本人認證。因此�����,SP使在多個操作者107使用相同的維護管理工具103的情況下����,也能夠對每個操作者107控制認證權限。另外���,由于對操作者107實施本人認證�,因此認證服務器101能夠提取每個操作者1 7的訪問記錄(對車載控制裝置1 O的作業(yè)記錄)����。由此,能夠賦予對不正當訪問的制約效果O
[0082]在本實施方式I中����,認證符號生成器220和221使用維護管理工具103的工具ID生成哈希值,但不是必須使用該工具ID�����。即�����,也可以省略從維護管理工具103對車載控制裝置100發(fā)送工具ID的工序(p310?p312),通過將時鐘210以及211的時刻與密碼代入哈希函數生成哈希值��。在以下的實施方式中也是同樣�。
[0083]<實施方式2>
[0084]在實施方式I中,作為生成在車載控制裝置100與認證服務器101之間同步變化的變動符號的變動符號生成源�����,使用了相互同步的時鐘210和211���。在本發(fā)明的實施方式2中���,取代時鐘210和211,使用車載控制裝置100與認證服務器101能夠相互同步地接收的接收數據�����。作為本實施方式2的接收數據的一個例��,能夠使用在ITS(InteI ligent TransportSystems:高度道路交通系統(tǒng))等的路車間通信中定時傳送的數據作為通用知識��。
[0085]圖4為說明本實施方式2所涉及的認證系統(tǒng)認證維護管理工具103的動作的序列圖�。在圖4中�,認證符號生成器220和221使用接收數據410和411取代時鐘210和211的時刻���。因此����,認證符號生成器221和認證符號生成器220都由hash(接收數據��,seed.x��,工具ID)生成哈希值��。該哈希值直至接收數據被更新為止是有效的��。
[0086]在本實施方式2中�,與圖4對應的SDL流程大致與圖3相同����,但是工序p306與p313置換為參照接收數據410與411的工序。其他的構成以及工序與實施方式I相同����。
[0087]車載控制裝置100取得接收數據410的手段不是必須搭載在車載控制裝置100上,例如通過車載網絡105能夠訪問其他的ECU (導航ECU����、路車間通信ECU)的話��,也可以挪用該數據�。認證服務器101取得接收數據411的手段也可以不是必須與車載控制裝置100取得接收數據410的手段相同�,只要能夠保證接收數據410與411同步即可。
[0088]<實施方式3>
[0089]在本發(fā)明的實施方式3中����,作為在車載控制裝置100與認證服務器101之間同步地變化的變動符號,使用實施了認證處理的次數取代時鐘210和211����。即,認證符號生成器220和221在每次實施認證處理時對密碼的初始值init.X重疊地應用哈希函數hash()��,其結果使用獲得的值取代實施方式I的時刻:time以及密碼seed.x����。
[0090]在本實施方式3中�,認證符號生成器220和221使用{hash(init.X) }~n��,取代實施方式I的時刻:time以及密碼seed.x����。這相當于將密碼初始值作為init.X�����,將認證次數作為η����,求以下的值:
[0091 ] {hash(init.X)} 'n=hash(hash(...hash(init.x)...))
[0092]該值相當于通過對init.X實施n重的hash處理獲得的值����。
[0093]圖5為說明本實施方式3所涉及的認證系統(tǒng)認證維護管理工具103的動作的序列圖�����。在以下中主要對不同于實施方式I的構成進行重要地說明��。
[0094]在本實施方式3中����,數據庫201對每個車輛存儲了各車輛的車輛ID、對應車輛ID的密碼初始值��、以及認證了操作者107的次數的組合�����。認證服務器101在操作者107的本人認證成功時,從活動102取得車輛ID: sl21��,增加對應于該車輛ID的認證次數((η — I )—n)(p605)o
[0095]認證符號生成器221讀出對應于該車輛ID的初期密碼init.x����,對此η次重疊地應用hash函數算出{hash(init.X)} ~η(后述的ρ606)。認證符號生成器221使用該值取代實施方式I的密碼和時刻�。因此,認證服務器101生成的一次性密碼:s 140成為hash( {hash(init.x)} ~n�����,工具ID)���。
[0096]在本實施方式3中���,存儲裝置200存儲了與數據庫201相同的初始密碼init.x。但是車載控制裝置100由于一般不具備如認證服務器101那樣的計算能力���,每次計算{hash(init.X) Γη是困難的���。在此認證符號生成器220在每次對init.X重疊地應用哈希函數時將該值作為上次值510存儲在存儲裝置200(p613),在下次生成認證符號時對上次值510僅應用一次hash函數hashO�。由此��,能夠以少于認證服務器101的計算量作出密碼的系列�。
[0097]認證符號生成器220在獲得對init.X重疊應用hash函數所得的值之后�����,與認證符號生成器221同樣地使用該值與工具ID生成認證符號(p530?p531)�����。認證符號生成器220比較該認證符號和一次性密碼:sl40���。
[0098]圖6為將圖5的序列表示為SDL流程的圖。設置工序p605?p606取代圖3的工序p305?口306����,設置工序?613取代工序?313。工序?606和?613為求出對111^^重疊應用了哈希函數的相同的值的處理����,但是相對于在P606中η次應用,在p613中對上次值51僅應用一次�����。
[0099]在工序p319中,維護管理工具103在收到認證拒絕的主旨的信號s300的情況下�,可以將其向認證服務器101傳送。認證服務器101收到該信號的話���,在下次認證操作者107時����,實施適當地處理����,以便使用增加前的認證次數生成一次性密碼:s 140。例如可以直接地遞減數據庫201存儲的認證次數����,也可以在生成一次性密碼:sl40時進行減少認證次數的值等生成多個一次性密碼:sl40,使用這些多個值多次試行認證����。
[0100]<實施方式3:總結>
[0101]如以上那樣,在本實施方式3所涉及的認證系統(tǒng)中�����,認證符號生成器220和221使實施認證處理的次數相互同步����,用此生成認證符號����。由此�����,不需要像實施方式I的時鐘210以及211����、實施方式2的接收數據410以及411那樣,利用時間性變化的信息�����,能夠將用于取得同步的手段簡易化����。
[0102]本發(fā)明并不限定于上述的實施方式�����,還含有各種各樣的變形例����。上述實施方式是為了容易理解地說明本發(fā)明而進行的詳細說明��,未必限定于具備所說明的全部的構成�����。另夕卜��,也能夠將某實施方式的構成的一部分置換為其他實施方式的構成��。另外�����,也能在某實施方式的構成增加其他實施方式的構成��。另外�,對各實施方式的構成的一部分����,也能夠追加、刪除����、置換其他的構成�����。
[0103]上述各構成�、功能��、處理部�、處理手段等,也可以例如通過以集成電路設計等以硬件來實現這些的一部分或全部����。另外,上述的各構成�����、功能等���,也可以通過處理器解釋����、實行實現各種功能的程序以軟件來實現��。實現各功能的程序�����、表�����、文件等信息能夠存儲于內存����、硬盤、SSD(Solid State Drive����,固態(tài)硬盤)等存儲裝置,IC卡��、SD卡�、DVD等存儲媒介。
[0104]例如認證符號生成器220和221�、時鐘210和211、以及取得接收數據410和411的手段��,能夠由安裝有這些功能的電路裝置等的硬件構成����,也可以由認證服務器101或車載控制裝置100的CPU實行安裝有同樣功能的軟件而構成���。
[0105]符號說明
[0106]100:車載控制裝置,101:認證服務器��,103:維護管理工具�����,104:連接用連接器���,105:車載網絡��,107:操作者�����,200:存儲裝置�����,201:數據庫��,210以及211:時鐘����,220以及221:認證符號生成器����,410以及411:接收數據。
【主權項】
1.一種認證系統(tǒng)�����,其是認證為了對控制車輛動作的車載控制裝置進行維護管理而使用的操作終端的認證系統(tǒng)�,其特征在于, 所述認證系統(tǒng)包括:認證裝置�,其通過通信線路與所述操作終端連接,對操作所述操作終端的操作者進行認證;以及所述車載控制裝置����, 所述車載控制裝置被構成為判定是否許可所述操作終端實施維護管理所述車載控制裝置的操作, 所述認證裝置和所述車載控制裝置分別包括: 變動符號生成源�����,其生成相互同步地變化的變動符號��; 存儲部����,其存儲在所述認證裝置與所述車載控制裝置之間共有的所述車輛所固有的公鑰�����;以及 認證符號生成器����,其使用所述變動符號和所述公鑰生成認證符號���, 所述認證裝置從所述操作終端收到認證要求的話�,認證所述操作者��, 所述操作者的認證成功的話�����,從所述操作終端取得確定所述公鑰的信息�����,使用所述變動符號和所述公鑰生成所述認證符號并向所述操作終端發(fā)送��,所述操作終端將從所述認證裝置接收的所述認證符號向所述車載控制裝置發(fā)送�, 所述車載控制裝置使用所述變動符號和所述公鑰生成所述認證符號��,生成的所述認證符號與從所述操作終端接收的所述認證符號一致的情況下�,許可所述操作終端實施維護管理所述車載控制裝置的操作�。2.如權利要求1所述的認證系統(tǒng),其特征在于��, 所述變動符號生成源生成在所述認證裝置與所述車載控制裝置之間同步的時刻作為所述變動符號��, 所述認證符號生成器通過對所述變動符號和所述公鑰應用在所述認證裝置與所述車載控制裝置之間共有的哈希函數����,生成一次性密碼作為所述認證符號���。3.如權利要求1所述的認證系統(tǒng)����,其特征在于�����, 所述變動符號生成源使用所述認證裝置和所述車載控制裝置能夠同步地接收的信息作為所述變動符號�, 所述認證符號生成器通過對所述變動符號和所述公鑰應用在所述認證裝置與所述車載控制裝置之間共有的哈希函數,生成一次性密碼作為所述認證符號��。4.如權利要求1所述的認證系統(tǒng),其特征在于����, 所述變動符號生成源使用確定所述認證符號生成器生成了所述認證符號的次數的信息作為所述變動符號, 所述認證符號生成器使用對所述公鑰重疊所述次數地應用在所述認證裝置與所述車載控制裝置之間共有的哈希函數而獲得的重疊符號來取代所述變動符號和所述公鑰�,生成一次性密碼作為所述認證符號。5.如權利要求4所述的認證系統(tǒng)�,其特征在于, 所述認證符號生成器在所述存儲部存儲生成了所述認證符號的次數���,在下次生成所述認證符號時����,使用與所述存儲的次數相對應地對所述公鑰重疊應用在所述認證裝置與所述車載控制裝置之間共有的哈希函數而獲得的重疊符號�����,來取代所述變動符號和所述公鑰�。6.如權利要求4所述的認證系統(tǒng),其特征在于��, 所述認證符號生成器將所述重疊符號存儲于所述存儲部����,在下次生成所述認證符號時��,使用對所述存儲的所述重疊符號僅應用一次在所述認證裝置與所述車載控制裝置之間共有的哈希函數而再存儲的重疊符號��,來取代所述變動符號和所述公鑰����。7.如權利要求4所述的認證系統(tǒng)��,其特征在于���, 所述車載控制裝置的所述認證符號生成器在生成的所述認證符號與從所述操作終端接收的所述認證符號不一致的情況下,將記述該兩者不一致的情況的認證錯誤數據向所述操作終端發(fā)送�, 所述操作終端將所述認證錯誤數據向所述認證裝置傳送。8.如權利要求1所述的認證系統(tǒng)��,其特征在于����, 所述認證裝置和所述車載控制裝置分別具有的所述認證符號生成器,除了使用所述變動符號和所述公鑰之外����,還使用所述操作終端所固有的終端ID來生成所述認證符號。9.一種車載控制裝置�����,其為控制車輛的動作的車載控制裝置,其特征在于�,包括: 變動符號生成源,其生成與認證操作者的認證裝置生成的變動符號同步變化的變動符號�����,所述操作者操作為了維護管理所述車載控制裝置而使用的操作終端�; 存儲部,其存儲在所述認證裝置與所述車載控制裝置之間共有的所述車輛所固有的公鑰���;以及 認證符號生成器����,其使用所述變動符號和所述公鑰生成認證符號�, 所述認證符號生成器從所述操作終端接收所述認證符號, 所述認證符號生成器使用所述變動符號和所述公鑰生成所述認證符號�����,在生成的所述認證符號與從所述操作終端接收的所述認證符號一致的情況下��,許可所述操作終端實施維護管理所述車載控制裝置的操作。10.如權利要求9所述的車載控制裝置�,其特征在于, 所述變動符號生成源生成在所述認證裝置與所述車載控制裝置之間同步的時刻作為所述變動符號����, 所述認證符號生成器通過對所述變動符號和所述公鑰應用在所述認證裝置與所述車載控制裝置之間共有的哈希函數,生成一次性密碼作為所述認證符號�����。11.如權利要求9所述的車載控制裝置�,其特征在于, 所述變動符號生成源使用所述認證裝置和所述車載控制裝置能夠同步接收的信息作為所述變動符號�����, 所述認證符號生成器通過對所述變動符號和所述公鑰應用在所述認證裝置與所述車載控制裝置之間共有的哈希函數�����,生成一次性密碼作為所述認證符號����。12.如權利要求9所述的車載控制裝置���,其特征在于�, 所述變動符號生成源使用確定所述認證符號生成器生成了所述認證符號的次數的信息作為所述變動符號, 所述認證符號生成器使用對所述公鑰重疊所述次數地應用在所述認證裝置與所述車載控制裝置之間共有的哈希函數而獲得的重疊符號來取代所述變動符號和所述公鑰����,生成一次性密碼作為所述認證符號。13.如權利要求12所述的車載控制裝置�����,其特征在于���, 所述認證符號生成器將所述重疊符號存儲于所述存儲部�,在下次生成所述認證符號時����,使用對所述存儲的所述重疊符號僅應用一次在所述認證裝置與所述車載控制裝置之間共有的哈希函數而再存儲的重疊符號,來取代所述變動符號和所述公鑰�����。14.如權利要求12所述的車載控制裝置���,其特征在于�����, 所述認證符號生成器在生成的所述認證符號與從所述操作終端接收的所述認證符號不一致的情況下�����,將記述該兩者不一致的情況的認證錯誤數據向所述操作終端發(fā)送�。15.如權利要求9所述的車載控制裝置,其特征在于�����, 所述認證符號生成器除了使用所述變動符號和所述公鑰之外�����,還使用所述操作終端所固有的終端ID來生成所述認證符號�����。
【文檔編號】H04L9/32GK106030600SQ201580010328
【公開日】2016年10月12日
【申請日】2015年1月23日
【發(fā)明人】三宅淳司
【申請人】日立汽車系統(tǒng)株式會社