WO2019163026A1

WO2019163026A1 - 車載機能アクセス制御システム、車載装置および車載機能アクセス制御方法

Info

Publication number: WO2019163026A1
Application number: PCT/JP2018/006240
Authority: WO
Inventors: 純子中嶋; 伸彰的▲崎▼; 雄也高塚; 佳子塩本
Original assignee: Mitsubishi Electric Corp
Current assignee: Mitsubishi Electric Corp
Priority date: 2018-02-21
Filing date: 2018-02-21
Publication date: 2019-08-29
Anticipated expiration: 2020-08-21
Also published as: US20200389325A1; JP6937887B2; DE112018007132T5; CN111788458A; JPWO2019163026A1

Abstract

本発明は、許可されていない人物による不正な車載機能の利用を抑制することを目的とする。車載機能アクセス制御システム（１１）は、車載装置が有する機能である車載機能を実行するための車載機能プログラムを暗号化して暗号化データを取得する暗号処理部（１０１）と、暗号化データを格納する暗号化データ記憶部（１０２）と、利用者の認証を行う認証部（１０３）と、認証の成功後に暗号化データを車載機能プログラムに復号する復号処理部（１０４）と、認証の成功後に復号処理部が復号した車載機能プログラムを格納する、車載装置に設けられたプログラム記憶部（１０５）を備える。

Description

車載機能アクセス制御システム、車載装置および車載機能アクセス制御方法

　本発明は、車載機能へのアクセスを制御する技術に関する。

　従来、カーナビゲーションシステム（例えば特許文献１）または自動運転システムといった、様々な車載システムが存在する。

特開２０１６－０２９３９２号公報

　これらの車載システムにおいて、第三者が車載装置に搭載された車載機能を悪用して車両に攻撃する手法が知られている。車載機能の中でもとりわけデバッグ機能は、プログラムの実行およびメモリへのアクセスを可能にするため、攻撃者から見ると効率的なアタック経路であり、リスクの高い攻撃となり得る。本発明は上述の問題点に鑑み、許可されていない人物による不正な車載機能の利用を抑制することを目的とする。

　本発明の車載機能アクセス制御システムは、車載装置が有する機能である車載機能を実行するための車載機能プログラムを暗号化して暗号化データを取得する暗号処理部と、暗号化データを格納する記憶部と、利用者の認証を行う認証部と、認証の成功後に暗号化データを車載機能プログラムに復号する復号処理部と、認証の成功後に車載機能プログラムを格納する、車載装置に設けられたプログラム記憶部とを備える。

　本発明の車載機能アクセス制御システムによれば、利用者の認証の成功前に記憶部には暗号化データが格納されるが、車載機能プログラムは格納されない。そのため、認証を受けない者または認証に失敗した者による車載機能の利用を抑制することができる。本発明の目的、特徴、態様、および利点は、以下の詳細な説明と添付図面とによって、より明白となる。

実施の形態１の車載機能アクセス制御システムの概念図である。実施の形態１の車載機能アクセス制御システムの構成を示すブロック図である。実施の形態１の車載機能アクセス制御システムの動作を示すフローチャートである。実施の形態２の車載機能アクセス制御システムの構成を示すブロック図である。車両の構成を示すブロック図である。実施の形態２の車両通信装置の構成図である。実施の形態２の管理サーバの構成図である。実施の形態２のＩＣカードの構成図である。管理データベースの詳細を例示する図である。鍵管理データテーブルの詳細を例示する図である。車載機能データテーブルの詳細を例示する図である。利用者認証データテーブルの詳細を例示する図である。ログ情報データテーブルの詳細を例示する図である。実施の形態２の車載機能アクセス制御システムの動作を示すフローチャートである。実施の形態２の暗号化処理の詳細を示すフローチャートである。実施の形態２の認証情報生成処理の詳細を示すフローチャートである。実施の形態２の利用者認証処理と使用妥当性判定処理の詳細を示すフローチャートである。実施の形態２の機能有効化処理の詳細を示すフローチャートである。実施の形態３の車両通信装置の構成図である。実施の形態３のＩＣカードの構成図である。実施の形態３の機能有効化処理の詳細を示すフローチャートである。実施の形態４の車両通信装置の構成図である。実施の形態４の管理サーバの構成図である。実施の形態５の車両通信装置の構成図である。実施の形態５の機能有効化処理の詳細を示すフローチャートである。

　＜Ａ．実施の形態１＞
　図１は、実施の形態１の車載機能アクセス制御システムの概念図である。車載機能アクセス制御システムは、車両２００に搭載された車載装置の車載機能へのアクセスを制御する。ここで、車載装置とは何らかの機能を果たすため車両２００に搭載された装置のことをいい、車載機能とは車載装置が果たす機能のことをいう。車載機能アクセス制御システムは、ユーザが車載機能の利用が許可された者であるかを確認する行為である認証を行い、認証に成功した者にのみ車載機能の利用を可能にする。例えば、車両のディーラ又はサプライヤのみ認証を通過させ、認証に失敗する一般のユーザ、または認証を迂回して車載機能を利用しようとする攻撃者に対しては、車載機能を利用できないようにする。

　ここで、アクセスを制限する対象となる車載機能は、車載装置が有する機能であれば何でも良い。しかし、中でも保守機能またはデバッグ機能は、これらを悪用して車両に攻撃する手法が知られているため、特にアクセスを制限する必要性が高い。保守機能は、車両のメンテナンスを行うための機能であり、デバッグ機能はそのうち各種のエラーチェック等を行う機能である。

　＜Ａ－１．構成＞
　図２は、実施の形態１の車載機能アクセス制御システム１１の構成を示すブロック図である。車載機能アクセス制御システム１１は、暗号処理部１０１、暗号化データ記憶部１０２、認証部１０３、復号処理部１０４およびプログラム記憶部１０５を備えている。

　暗号処理部１０１は、車載機能プログラムを暗号化して暗号化データを作成する。車載機能プログラムとは、車載機能を実行するためのプログラムである。以下、本明細書では、暗号化されていない車載機能プログラムを単に「車載機能プログラム」と称し、暗号化された車載機能プログラムを「暗号化データ」と称する。

　暗号化データは、暗号化データ記憶部１０２に格納される。

　認証部１０３は、利用者の認証を行う。

　復号処理部１０４は、認証部１０３による認証が成功した後に、暗号化データを復号して車載機能プログラムを取得する。

　プログラム記憶部１０５は、車載装置に設けられ、復号処理部１０４により復号された車載機能プログラムを格納する。なお、暗号化データ記憶部１０２とプログラム記憶部１０５は、同一の記憶部であっても良い。

　＜Ａ－２．動作＞
　図３は、車載機能アクセス制御システム１１の動作を示すフローチャートである。以下、図３に沿って車載機能アクセス制御システム１１の動作を説明する。

　まず、暗号処理部１０１が車載機能プログラムを暗号化し、暗号化データを作成する。この処理を暗号化処理という（ステップＳ１０１）。ステップＳ１０１で作成された暗号化データは、暗号化データ記憶部１０２に格納される。

　次に、認証部１０３が利用者の認証処理を行う（ステップＳ１０２）。認証処理において利用者が正規の利用者であることが確認されれば（ステップＳ１０３でＹｅｓ）、復号処理部１０４が暗号化データを復号して車載機能プログラムを得る（ステップＳ１０４）。そして、復号された車載機能プログラムはプログラム記憶部１０５に格納される（ステップＳ１０５）。

　一方、利用者が正規の利用者でない場合（ステップＳ１０３でＮｏ）、車載機能アクセス制御システム１１は暗号化データを復号することなく処理を終了する。

　＜Ａ－３．効果＞
　以上に説明したように、実施の形態１の車載機能アクセス制御システム１１は、車載装置が有する機能である車載機能を実行するための車載機能プログラムを暗号化して暗号化データを取得する暗号処理部１０１と、暗号化データを格納する暗号化データ記憶部１０２と、利用者の認証を行う認証部１０３と、認証の成功後に暗号化データを車載機能プログラムに復号する復号処理部１０４と、認証の成功後に復号処理部が復号した車載機能プログラムを格納する、車載装置に設けられたプログラム記憶部１０５とを備える。

　また、実施の形態１の車載機能アクセス制御方法は、車載装置が有する機能である車載機能を実行するための車載機能プログラムを暗号化して暗号化データを取得し、暗号化データを記憶部に格納し、利用者の認証を行い、認証の成功後に暗号化データを車載機能プログラムに復号し、認証の成功後に復号された車載機能プログラムを記憶部に格納する。

　これらの構成により、利用者の認証が成功した場合にのみ、暗号化データを車載機能プログラムに復号してプログラム記憶部１０５に格納する。従って、利用者は認証に成功した場合にのみ車載機能を使用することができる。車載機能を使用する許可が与えられていない利用者は認証に失敗するため、車載機能を使用することができない。また、攻撃者が認証を回避して車載機能の使用を試みても、その場合にプログラム記憶部１０５は車載機能プログラムを格納していないため、車載機能を使用することはできない。

　＜Ｂ．実施の形態２＞
　＜Ｂ－１．構成＞
　図４は、実施の形態２の車載機能アクセス制御システム１２の構成を示すブロック図である。車載機能アクセス制御システム１２は、車両２００に搭載された車両通信装置１００、管理サーバ３００、ＩＣカード６００およびベンダサーバ８００を備えて構成される。図４では、車載機能アクセス制御システム１２の各構成要素を１つずつ示しているが、各構成要素の数は複数でも良い。

　車両２００、管理サーバ３００およびベンダサーバ８００は、ネットワーク４００を介して通信を行う。ネットワーク４００の具体例は、インターネットである。

　ＩＣカード６００は、管理サーバ３００によって生成された利用者認証情報を記憶する。なお、ＩＣカード６００は、車載機能の利用者５００が用いる端末すなわち利用者端末の一例である。利用者端末として、同等の機能を備える他のデバイス、例えば携帯端末またはＵＳＢトークン等も想定されるが、本明細書では利用者端末をＩＣカードとして説明を行う。

　図５に示すように、車両２００には、車両通信装置１００と、互いに通信する複数のＥＣＵ（Electric Control Unit）２０２が搭載されている。複数のＥＣＵ２０２と車載ネットワーク２０１は、ＣＡＮ（Controller Area Network）またはＦｌｅｘｒａｙ等の通信プロトコルに準拠した車載ネットワーク２０１を介して接続されている。車両通信装置１００が有する車載機能が、車載機能アクセス制御システム１２によるアクセス制御の対象である。

　図６は、車両通信装置１００の構成を示すブロック図である。車両通信装置１００は、車載機能の使用希望者に認証処理を行い、認証が成功した場合、すなわち使用希望者が正規の利用者であることが確認できた場合に限り、暗号化データを車載機能プログラムに復号し、車載機能を使用可能な状態にする。

　車両通信装置１００は、プロセッサ１１０、ＨＳＭ（Hardware Security Module）１２０、表示機器１３０、記憶部１４０、補助記憶部１５０、通信部１６０および入力装置１７０といったハードウェアを備えるコンピュータであり、車載装置である。

　プロセッサ１１０は、信号線を介して他のハードウェアと接続されている。プロセッサ１１０は、演算処理を行うＩＣ（Integrated Circuit）であり、他のハードウェアを制御する。プロセッサ１１０は、具体的にはＣＰＵ（Central Processing Unit）、ＤＳＰ（Digital Signal Processor）またはＧＰＵ（Graphics Processing Unit）である。

　プロセッサ１１０は、認証部１１１、判定部１１２および切替部１１３を備えている。認証部１１１は、ユーザ認証を行う。判定部１１２は、ユーザ認証により正規の利用者であると確認された使用希望者に対して、車載機能の使用妥当性を判断する。切替部１１３は、認証部１１１が使用希望者を正規の利用者と確認し、判定部１１２が車載機能の使用を妥当と判断した場合に、記憶部１４０に格納されたダミープログラムを車載機能プログラムに置き換え、車載機能を使用可能な状態にする。

　ＨＳＭ１２０は、暗号処理部１２１と暗号鍵格納部１２２を備えている。暗号鍵格納部１２２は暗号鍵を安全に保管している。暗号処理部１２１は、暗号鍵格納部１２２に格納された暗号鍵を用いて暗号演算を行い、車載機能プログラムを暗号化する。

　表示機器１３０は、画像等を表示する機器であり、例えば液晶ディスプレイである。表示機器１３０はモニタともいう。

　記憶部１４０は、ＲＡＭ（Random Access Memory）などであり、車両通信装置１００の車載機能を実行するための車載機能プログラム１４１と、車載機能プログラムを暗号化した暗号化データ１４２が格納される。すなわち、記憶部１４０は、暗号化データを格納する暗号化データ格納部と、車載機能プログラムを格納するプログラム格納部として機能する。

　補助記憶部１５０は、不揮発性の記憶装置であり、具体的にはＲＯＭ（Read Only Memory）、ＨＤＤ（Hard Disk Drive）またはフラッシュメモリである。補助記憶部１５０には、利用者認証情報１５１と、ログ情報１５２が格納される。

　通信部１６０は、通信を行う装置であり、レシーバとトランスミッタとを備える。具体的には、通信部１６０は通信チップまたはＮＩＣ（ＮｅｔｗｏｒｋＩｎｔｅｒｆａｃｅＣａｒｄ）である。

　入力装置１７０は、車両通信装置１００への入力を受け付ける受付部として機能する。

　図７は、管理サーバ３００の構成を示すブロック図である。管理サーバ３００は、プロセッサ３１０、記憶部３２０、通信部３３０および鍵書込部３４０といったハードウェアを備えるコンピュータである。

　プロセッサ３１０、記憶部３２０および通信部３３０のハードウェア構成は、車両通信装置１００のプロセッサ１１０、記憶部１４０および通信部１６０と同様である。但し、車両通信装置１００は組み込み機器向けのコンピュータであるのに対し、管理サーバ３００はサーバとしての機能を果たすコンピュータである。よって、管理サーバ３００は車両通信装置１００よりはるかに計算能力の高いコンピュータである。

　プロセッサ３１０は、鍵生成部３１１、認証情報生成部３１２および暗号処理部３１３を備える。鍵生成部３１１は、ユーザ認証に必要な鍵（以下、認証鍵と称する）を生成する。認証情報生成部３１２は、認証鍵以外の利用者認証情報を生成する。暗号処理部３１３は、車載機能プログラムの暗号化を行う。

　記憶部３２０は、管理データベース３２１を備える。

　通信部３３０は、ネットワーク４００を介してベンダサーバ８００および車両通信装置１００と互いに接続される。

　鍵書込部３４０は、鍵生成部３１１が生成した認証鍵をＩＣカード６００に書き込む。

　図８は、ＩＣカード６００の構成を示すブロック図である。ＩＣカード６００は、プロセッサ６１０、記憶部６２０および通信部６３０を備える。プロセッサ６１０、記憶部６２０および通信部６３０のハードウェア構成は、車両通信装置１００のプロセッサ１１０、記憶部１４０および通信部１６０と同様である。

　記憶部６２０は、ＩＣカード６００で使用するデータを記憶する。例えば、記憶部６２０は、利用者ＩＤ６２１および利用者認証鍵６２２を記憶する。

　通信部６３０は、ＩＣカード６００で使用するデータを通信する。例えば、通信部６３０は、ＩＣカード６００の発行時あるいは更新の際に、管理サーバ３００から利用者ＩＤ６２１と利用者認証鍵６２２を受信する。また、通信部６３０は、車両通信装置１００との間で利用者認証に必要なデータの送受信を行う。

　図９は、管理サーバ３００の記憶部３２０が有する管理データベース３２１の詳細を例示している。管理データベース３２１には、鍵管理データテーブル３２２、車載機能データテーブル３２３、利用者認証データテーブル３２４およびログ情報データテーブル３２５が含まれる。

　図１０は、鍵管理データテーブル３２２の詳細を例示している。鍵管理データテーブル３２２には、鍵のＩＤ、登録日時および鍵データの情報が含まれる。鍵管理データテーブル３２２は、管理サーバ３００が発行した利用者ＩＤに対応する認証鍵ＩＤとその鍵データを登録し、それらの更新または失効といったライフサイクルを一元管理するために用いられる。また、鍵管理データテーブル３２２は、車載機能プログラムを暗号化するために用いられるデータ暗号化用の暗号鍵についても、そのＩＤ、登録日時および鍵データの情報を含んでいる。すなわち、鍵管理データテーブル３２２は、暗号鍵の登録と管理を行うためにも用いられる。

　図１１は、車載機能データテーブル３２３の詳細を例示している。車載機能データテーブル３２３には、データのＩＤ、登録日時、車載機能プログラムを識別するためのＩＤである車載機能プログラム識別ＩＤ、車載機能プログラムのバージョン、暗号化プログラムを識別するためのＩＤである暗号化プログラム識別ＩＤ、および車両機能プログラムのデータといった情報が含まれる。車載機能データテーブル３２３は、車載機能アクセス制御システム１２の保護対象となる車載機能プログラムを管理サーバ３００上で一元管理するために用いられる。

　図１２は、利用者認証データテーブル３２４の詳細を例示している。利用者認証データテーブル３２４は、利用者ごとに用意された複数の利用者認証情報１０７からなる。利用者認証情報１０７は、利用者ＩＤ、ヘッダ情報、ステータス、利用者認証鍵、および使用履歴に関する利用情報を含んでいる。利用者認証鍵は公開鍵でも秘密鍵でも良い。ステータスは利用者の認証状態を表しており、例えば利用者の認証が失効した場合にはその情報がステータスとして記載される。

　図１３は、ログ情報データテーブル３２５の詳細を例示している。ログ情報データテーブル３２５は、複数のログ情報１０８からなる。ログ情報１０８には、ログＩＤ、日時、イベントＩＤ、および内容といった情報が含まれる。ログ情報１０８は、車両２００ごとに蓄積され保管される。

　＜Ｂ－２．動作＞
　図１４に沿って、車載機能アクセス制御システム１２の動作を説明する。

　まず、管理サーバ３００が暗号処理部３１３で車載機能プログラムを暗号化し、暗号化データを取得する（ステップＳ２０１）。本ステップの処理を暗号化処理と称する。暗号化処理は、車両２００および車両通信装置１００の製造時、または出荷後の車載機能のソフトウェア更新時に実施される。

　次に、管理サーバ３００が鍵生成部３１１で認証鍵を生成し、認証情報生成部３１２で他の認証情報を生成し、生成した認証鍵および認証情報を、ＩＣカード６００および管理データベース３２１へ格納する（ステップＳ２０２）。本ステップの処理を認証情報生成処理と称する。

　次に、車両通信装置１００が認証部１１１で利用者認証処理を行い、認証が成功した場合はさらに判定部１１２がログなどの情報を活用して、機能の使用妥当性判定処理を行う（ステップＳ２０３）。

　そして、利用者認証処理または使用妥当性判定処理において異常がなければ（ステップＳ２０４でＮｏ）、車両通信装置１００が暗号処理部１２１で暗号化データを復号し、車載機能を利用可能な状態に設定する（ステップＳ２０５）。本ステップの処理を機能有効化処理と称する。車両通信装置１００は、利用者による車載機能の使用終了後、あるいは機能有効化から所定時間の経過後に、車載機能の利用可能状態を元に戻す処理を行う。

　なお、利用者認証処理や使用妥当性判定処理において異常があれば（ステップＳ２０４でＹｅｓ）、車両通信装置１００による機能有効化処理を行うことなく、車載機能アクセス制御システム１２の処理は終了する。

　図１５は、暗号化処理（図１４のステップＳ２０１）の詳細を示すフローチャートである。以下、図１５に沿って暗号化処理の詳細を説明する。まず、管理サーバ３００の通信部３３０がベンダサーバ８００からセキュアなネットワーク４００を介して車載機能プログラムを取得する。取得した車載機能プログラムは、記憶部３２０の管理データベース３２１に格納され、車載機能データテーブル３２３に登録される（ステップＳ２０１１）。ここでは、ネットワーク４００を介した車載機能プログラムの取得方法について述べているが、管理サーバ３００はメディアを用いた安全な受け渡しにより車載機能プログラムを取得しても良い。

　次に、暗号処理部３１３が鍵管理データテーブル３２２においてＩＤで管理されたデータ暗号化用の暗号鍵を用いて、ステップＳ２０１１で登録した車載機能プログラムの暗号化を実行し、暗号化データを生成する（ステップＳ２０１２）。

　そして、管理サーバ３００は管理データベース３２１の車載機能データテーブル３２３を更新し、ステップＳ２０１２で生成した暗号化データを登録する（ステップＳ２０１３）。

　次に、通信部３３０は暗号化データを車両通信装置１００に送信し、車両通信装置１００において記憶部１４０に暗号化データが書き込まれる（ステップＳ２０１４）。本ステップは、工場内における車両通信装置１００の製造時、または出荷後の車載機能のソフトウェア更新時に実施される。

　図１６は、認証情報生成処理（図１４のステップＳ２０２）の詳細を示すフローチャートである。以下、図１６に沿って認証情報生成処理の詳細を説明する。まず、管理サーバ３００の鍵生成部３１１が利用者認証に用いられる利用者認証鍵６２２を生成する（ステップＳ２０２１）。次いで、管理サーバ３００の認証情報生成部３１２が利用者認証情報を生成する（ステップＳ２０２２）。管理サーバ３００は、ステップＳ２０２１およびステップＳ２０２２で生成した利用者認証鍵６２２および利用者認証情報を、記憶部３２０の管理データベース３２１に格納し、鍵管理データテーブル３２２および利用者認証データテーブル３２４を更新する（ステップＳ２０２３）。さらに、鍵書込部３４０が利用者ＩＤ６２１と利用者認証鍵６２２をＩＣカード６００に書き込む（ステップＳ２０２４）。具体的には、鍵書込部３４０はＩＣカード６００の記憶部６２０に利用者ＩＤ６２１と利用者認証鍵６２２を格納する。このＩＣカード６００がディーラまたはサプライヤ等、特定のユーザにのみ発行されることにより、車載機能を利用可能なユーザが制限される。次に、通信部３３０が車両通信装置１００に利用者認証情報を送信し、車両通信装置１００は補助記憶部１５０の利用者認証情報１５１を更新する（ステップＳ２０２５）。

　図１７は、利用者認証処理と使用妥当性判定処理（図１４のステップＳ２０３）の詳細を示すフローチャートである。以下、図１７に沿って利用者認証処理と使用妥当性判定処理の詳細を説明する。まず、利用者がＩＣカード６００を車両通信装置１００に接続する（ステップＳ２０３１）。接続方法は、接触あるいは非接触を問わないが、通信路および通信プロトコルはセキュリティ上の保護がなされている。次に、利用者が入力装置１７０を介して使用を希望する車載機能を入力する（ステップＳ２０３２）。このように、入力装置１７０は、利用者から車載機能の使用要求を受ける使用要求受付部として機能する。その後、車両通信装置１００の認証部１１１が、ＩＣカード６００との間で相互認証を行う（ステップＳ２０３３）。認証部１１１は、認証メカニズム、具体的にはＩＳＯ／ＩＥＣで国際標準技術となっているプロトコルなどの既存の技術を利用して、相互認証を行う。

　認証部１１１は、認証結果を判定する（ステップＳ２０３４）。認証が成功した場合にはステップＳ２０３５に進み、失敗した場合には処理を終了する。ステップＳ２０３５において、判定部１１２は、補助記憶部１５０に格納されたログ情報１５２または管理サーバ３００の管理データベース３２１内のログ情報データテーブル３２５を検索してログ情報を参照し、車載機能の使用妥当性を判定する。以下に、判定手法を３つ例示するが、判定部１１２はこれらのうちいずれかの判定手法を用いても良いし、複数の判定手法を用いても良い。

　第１の判定手法は、利用者認証処理とログ情報の相関を解析する方法である。一部の保守機能は、車両に何らかの異常が生じたことに起因して実施されることが多い。そのため、この事実を利用して、判定部１１２は、車両の異常を記録したログ情報と利用者認証処理との相関を分析し、その保守機能の使用妥当性を判定する。例えば、利用者認証処理から所定期間内の過去の時点で車両に異常が発生している場合には、車載機能の使用を妥当と判定する。また、判定部１１２は、利用者認証処理から所定期間内の過去の時点で車両に異常が発生しているとしても、利用者が使用を希望する車載機能との関係が小さい異常であれば、当該車載機能の使用を不当と判定するというように、車載機能ごとに使用妥当性を判定しても良い。

　第２の判定手法は、利用者認証時にクラウド上の管理サーバに問い合わせて、そのユーザが使おうとしている機能の使用妥当性を判定する。保守機能など一部の車載機能には、車両製造元が実施する調査に対応して、予め使用可能期間が定められている。判定部１１２はこの使用可能期間に基づき使用の妥当性を判断し、具体的には使用可能期間外に使用しようとする行為に対して不正アクセスの可能性があると判定する。

　第３の判定手法は、同一の利用者による車載機能の使用履歴に基づき使用妥当性を判定する方法である。同一のユーザによる車載機能の使用履歴は、車両通信装置１００の補助記憶部１５０または管理サーバ３００の管理データベース３２１に保管されているログ情報から取得することが可能である。また、ユーザの同一性は、利用者端末から判断することが可能である。例えば、同一のユーザが一定期間に規定回数を超えて車載機能を使用したり、離れた場所で同時期に車載機能を使用したりする場合に、判定部１１２は使用を不当と判断することができる。

　判定部１１２が車載機能の使用を妥当と判定した場合（ステップＳ２０３６でＹｅｓ）、判定部１１２は利用者認証処理と使用妥当性判定処理に異常なしと判断し（ステップＳ２０３７）、処理を終了する。一方、認証部１１１による認証が失敗した場合（ステップＳ２０３４でＮｏ）、認証部１１１は利用者認証処理に異常ありと判断し（ステップＳ２０３８）、処理を終了する。また、判定部１１２が車載機能の使用を不当と判定した場合（ステップＳ２０３６でＮｏ）、判定部１１２は使用妥当性判定処理に異常ありと判断し（ステップＳ２０３８）、処理を終了する。

　図１８は、機能有効化処理（図１４のステップＳ２０５）の詳細を示すフローチャートである。以下、図１８に沿って機能有効化処理の詳細を説明する。まず、車両通信装置１００の暗号処理部１２１が暗号鍵を用いて、暗号化データ１４２を復号して車載機能プログラムを取得する（ステップＳ２０５１）。すなわち、暗号処理部１２１は暗号化データを車載機能プログラムに復号する復号処理部として機能する。次に、車両通信装置１００は、記憶部１４０の実行プログラム領域に組み込まれたダミープログラムを、ステップＳ２０５１で取得した車載機能プログラムと置き換える（ステップＳ２０５２）。これにより、車載機能が使用可能な状態となる。

　次に、車両通信装置１００は利用者による車載機能の利用が終了したか否かを判断する（ステップＳ２０５３）。例えば、利用者により車両通信装置１００に設けられた終了ボタン（図示せず）が押下されたこと、あるいは予め定められた有効期限に達したこと、等に基づき車両通信装置１００はステップＳ２０５３の判断を行う。有効期限は、例えば特定の期日、または車載機能が使用可能な状態になってからの一定時間等として定められる。

　利用者による車載機能の利用が終了すると、車両通信装置１００は記憶部１４０の実行プログラム領域に組み込まれた車載機能プログラムを消去し、ダミープログラムに置き換える（ステップＳ２０５４）。これにより、車載機能は使用できない状態となる。

　なお、上記の機能有効化処理の説明では、ダミープログラムと車載機能プログラムを置き換えることにより、車載機能の有効または無効の切り替えが行われている。しかし、少なくとも車載機能の有効の際には車載機能プログラムが記憶部１４０の実行プログラム領域に格納され、車載機能の無効の際には車載機能プログラムが記憶部１４０の実行プログラム領域から消去されればよく、ダミープログラムとの置き換えは必須ではない。但し、ダミープログラムを用いることにより、実行プログラム領域の書き換えが容易になるというメリットがある。

　＜Ｂ－３．効果＞
　実施の形態２の車載機能アクセス制御システム１２は、利用者による車載機能の使用妥当性を判定する判定部１１２を備える。そして、復号処理部である暗号処理部１２１は、判定部１１２が使用を妥当と判定すると車載機能プログラムを復号する。従って、認証に成功した利用者でも使用が不当と判定されると車載機能を使用することができない。

　実施の形態２の車両通信装置１００は、車載機能を有する車載装置であり、車載機能を実行するための車載機能プログラムが暗号化されており、利用者から車載機能の使用要求を受ける使用要求受付部である入力装置１７０と、利用者の認証が成功した後に、復号された車載機能プログラムを格納するプログラム記憶部である記憶部１４０と、を備える。従って、利用者は認証に成功した場合にのみ車載機能を使用することができる。車載機能を使用する許可が与えられていない利用者は認証に失敗するため、車載機能を使用することができない。また、攻撃者が認証を回避して車載機能の使用を試みても、その場合にプログラム記憶部１０５は車載機能プログラムを格納していないため、車載機能を使用することはできない。

　＜Ｃ．実施の形態３＞
　実施の形態２では、車両通信装置１００が暗号鍵を有し暗号化データの復号を行った。これに対して実施の形態３では、ＩＣカードが暗号鍵を有し暗号化データの復号を行う。これにより、暗号鍵と暗号化データがＩＣカードと車両通信装置に分担して管理されるため、セキュリティが向上する。

　＜Ｃ－１．構成＞
　実施の形態３の車載機能アクセス制御システムの構成は、図４に示した実施の形態２の車載機能アクセス制御システムと同様である。しかし、実施の形態３では、車両通信装置とＩＣカードの構成が実施の形態２と異なるため、これらをそれぞれ車両通信装置１００Ｂ、ＩＣカード６００Ｂと称して以下に説明する。

　図１９は、車両通信装置１００Ｂの構成図である。車両通信装置１００Ｂは、ＨＳＭ１２０が暗号鍵格納部を有さないという点で実施の形態２の車両通信装置１００と異なる。

　図２０は、ＩＣカード６００Ｂの構成図である。ＩＣカード６００Ｂは、プロセッサ６１０が暗号処理部６１１を備え、記憶部６２０が暗号鍵６２３を有する点で実施の形態２のＩＣカード６００と異なっている。このように、実施の形態３の車載機能アクセス制御システムでは、車載機能プログラムを暗号化するための暗号鍵が車両通信装置１００ＢではなくＩＣカード６００Ｂに存在する。

　＜Ｃ－２．動作＞
　実施の形態３の車載機能アクセス制御システムの動作は、図１４にフローを示した実施の形態２の車載機能アクセス制御システム１２の動作と同様であり、暗号化処理、認証情報生成処理、利用者認証処理、使用妥当性判定処理および機能有効化処理からなる。そのうち、暗号化処理、利用者認証処理および使用妥当性判定処理は、実施の形態２と同様であるため、詳細なフローの説明を省略する。

　実施の形態３の認証情報生成処理は、図１６にフローを示した実施の形態２の認証情報生成処理と概ね同様である。但し、実施の形態２では、管理サーバ３００がＩＣカード６００に利用者ＩＤと利用者認証鍵を書き込むのに対し、実施の形態３ではそれらに加えて、管理サーバ３００がＩＣカード６００Ｂに暗号鍵を書き込む。

　図２１は、実施の形態３の機能有効化処理の詳細を示すフローチャートである。以下、図２１に沿って実施の形態３の機能有効化処理を説明する。まず、車両通信装置１００Ｂの通信部１６０が、記憶部１４０に格納された暗号化データ１４２をＩＣカード６００Ｂに送信する（ステップＳ２０５１Ａ）。次に、ＩＣカード６００Ｂの暗号処理部６１１が暗号鍵を用いて暗号化データを復号し、得られた車載機能プログラムを車両通信装置１００Ｂに送り戻す（ステップＳ２０５１Ｂ）。その後のステップＳ２０５２－Ｓ２０５４は図１８に示した実施の形態２の処理と同様であるため、説明を省略する。

　＜Ｃ－３．効果＞
　実施の形態３の車載機能アクセス制御システムでは、利用者端末であるＩＣカード６００Ｂが暗号処理部６１１を有する。ＩＣカード６００Ｂで暗号化データの復号を行う構成とすることにより、暗号化データを車両通信装置１００Ｂで、暗号鍵をＩＣカード６００Ｂで分担して保有することになる。従って、セキュリティが向上する。

　＜Ｄ．実施の形態４＞
　実施の形態２では、車両通信装置１００がＩＣカード６００との間で利用者認証処理を行った。これに対して実施の形態４では、管理サーバがＩＣカードとの間で利用者認証処理を行う。

　＜Ｄ－１．構成＞
　実施の形態４の車載機能アクセス制御システムの構成は、図４に示した実施の形態２の車載機能アクセス制御システムと同様である。しかし、実施の形態４では、車両通信装置と管理サーバの構成が実施の形態２と異なるため、これらをそれぞれ車両通信装置１００Ｃ、管理サーバ３００Ｃと称して以下説明する。

　図２２は、車両通信装置１００Ｃの構成を示している。車両通信装置１００Ｃは、プロセッサ１１０が認証部１１１を備えず、補助記憶部１５０に利用者認証情報１５１が格納されない点で、実施の形態２の車両通信装置１００と異なっている。

　図２３は、管理サーバ３００Ｃの構成を示している。管理サーバ３００Ｃは、実施の形態２の管理サーバ３００の構成に加えて、プロセッサ３１０に認証部３１４を備える。

　＜Ｄ－２．動作＞
　実施の形態４の車載機能アクセス制御システムの動作は、図１４にフローを示した実施の形態２の車載機能アクセス制御システム１２の動作と同様であり、暗号化処理、認証情報生成処理、利用者認証処理、使用妥当性判定処理および機能有効化処理からなる。そのうち、暗号化処理、使用妥当性判定処理および機能有効化処理は実施の形態２と同様であるため、詳細なフローの説明を省略する。

　実施の形態４の認証情報生成処理は、管理サーバ３００Ｃから車両通信装置１００Ｃに利用者認証情報を送信しない点以外は、図１６に示した実施の形態３の認証情報生成処理と同様である。

　実施の形態４の利用者認証処理は、管理サーバ３００Ｃの認証部３１４が車両通信装置１００Ｃ経由でＩＣカード６００と相互認証を行う点以外は、図１７に示した実施の形態２の利用者認証処理と同様である。なお、ここではＩＣカード６００が近距離無線通信にのみ対応していることを前提として、管理サーバ３００Ｃが車両通信装置１００Ｃ経由でＩＣカード６００と相互認証を行うこととしている。タブレット端末またはパーソナルコンピュータ等、遠距離の無線通信に対応した利用者端末を用いる場合、管理サーバ３００Ｃはそれらの利用者端末と直接通信を行って相互認証を行っても良い。

　なお、本実施の形態は実施の形態３と組み合わせても良い。すなわち、管理サーバで利用者認証を行い、かつＩＣカードで暗号化データを復号しても良い。

　＜Ｄ－３．効果＞
　実施の形態４の車載機能アクセス制御システムでは、認証部３１４が車載装置である車両通信装置１００Ｃと通信を行う管理サーバ３００Ｃに設けられる。これにより、車両通信装置１００Ｃの構成を簡略化することができる。

　＜Ｅ．実施の形態５＞
　実施の形態２－４では、管理サーバが車載機能プログラムを暗号化すると暗号化データを車両通信装置に送信し、車両通信装置は利用者認証後に暗号化データを車載機能プログラムに復号していた。これに対して本実施の形態では、管理サーバは車載機能プログラムを暗号化した後これを保有し、利用者認証後に暗号化データを車両通信装置に送信する。これ以外の点で本実施の形態は実施の形態４と同様である。

　＜Ｅ－１．構成＞
　実施の形態５の車載機能アクセス制御システムの構成は、図４に示した実施の形態２の車載機能アクセス制御システムと同様である。しかし、実施の形態５では、車両通信装置の構成が実施の形態２と異なるため、これを車両通信装置１００Ｄと称して以下説明する。

　図２４は、車両通信装置１００Ｄの構成図である。車両通信装置１００Ｄは、記憶部１４０が暗号化データを格納しないという点で実施の形態２の車両通信装置１００Ｃと異なる。

　＜Ｅ－２．動作＞
　実施の形態５の車載機能アクセス制御システムの動作は、図１４にフローを示した実施の形態２の車載機能アクセス制御システム１２の動作と同様であり、暗号化処理、認証情報生成処理、利用者認証処理、使用妥当性判定処理および機能有効化処理からなる。そのうち、認証情報生成処理、利用者認証処理、使用妥当性判定処理および機能有効化処理は実施の形態２と同様であるため、詳細なフローの説明を省略する。

　実施の形態２の暗号化処理では、管理サーバ３００は車載機能プログラムを暗号化した後、車両通信装置に暗号化データを送信した（図１５のステップＳ２０１４）。しかし、本実施の形態では、管理サーバ３００は暗号化データを記憶部３２０に格納しておき、機能有効化処理の際に車両通信装置１００Ｄに暗号化データを送信する。すなわち、管理サーバ３００の記憶部３２０が、暗号化データを記憶する暗号化データ記憶部として機能する。

　図２５は、実施の形態５の機能有効化処理の詳細を示すフローチャートである。以下、図２５に沿って実施の形態５の機能有効化処理を説明する。まず、車両通信装置１００Ｄが管理サーバ３００から暗号化データを取得する（ステップＳ２０５１Ｃ）。次に、車両通信装置１００が暗号化データを復号し、車載機能プログラムを取得する（ステップＳ２０５１Ｄ）。その後のステップＳ２０５２－２０５４は図１８に示した実施の形態２の処理と同様であるため、説明を省略する。

　＜Ｅ－３．効果＞
　実施の形態５の車載機能アクセス制御システムにおいて、暗号化データ記憶部である記憶部３２０は車両通信装置１００Ｄと通信を行う管理サーバ３００に設けられる。従って、利用者の認証が成功しなければ、車両通信装置には車載機能プログラムは勿論、暗号化データも存在しないため、実施の形態２に比べてセキュリティが向上する。

　なお、本実施の形態は実施の形態３または実施の形態４と組み合わせても良い。本実施の形態を実施の形態４と組み合わせる場合、車両通信装置１００は管理サーバ３００から暗号化データを取得した後、当該暗号化データをＩＣカード６００に送信する。そして、ＩＣカード６００は暗号化データを復号処理し、得られた車載機能プログラムを車両通信装置１００に送り戻す。

　なお、本発明は、その発明の範囲内において、各実施の形態を自由に組み合わせたり、各実施の形態を適宜、変形、省略したりすることが可能である。

　この発明は詳細に説明されたが、上記した説明は、すべての態様において、例示であって、この発明がそれに限定されるものではない。例示されていない無数の変形例が、この発明の範囲から外れることなく想定され得るものと解される。

　１１，１２　車載機能アクセス制御システム、１００，１００Ｂ，１００Ｃ，１００Ｄ　車両通信装置、１０１，１２１，３１３，６１１　暗号処理部、１０２　暗号化データ記憶部、１０３　認証部、１０４　復号処理部、１０５　プログラム記憶部、１０７，１５１　利用者認証情報、１０８，１５２　ログ情報、１１０，３１０，６１０　プロセッサ、１１１，３１４　認証部、１１２　判定部、１１３　切替部、１２０　ＨＳＭ、１２２　暗号鍵格納部、１３０　表示機器、１４０，３２０，６２０　記憶部、１４１　車載機能プログラム、１４２　暗号化データ、１５０　補助記憶部、１６０，３３０，６３０　通信部、１７０　入力装置、２００　車両、２０１　車載ネットワーク、２０２　ＥＣＵ、３００，３００Ｃ　管理サーバ、３１１　鍵生成部、３１２　認証情報生成部、３２１　管理データベース、３２２　鍵管理データテーブル、３２３　車載機能データテーブル、３２４　利用者認証データテーブル、３２５　ログ情報データテーブル、３４０　鍵書込部、４００　ネットワーク、５００　利用者、６００，６００Ｂ　ＩＣカード、６２２　利用者認証鍵、６２３　暗号鍵、８００　ベンダサーバ。

Claims

　車載装置が有する機能である車載機能を実行するための車載機能プログラムを暗号化して暗号化データを取得する暗号処理部と、
　前記暗号化データを格納する暗号化データ記憶部と、
　利用者の認証を行う認証部と、
　前記認証の成功後に前記暗号化データを前記車載機能プログラムに復号する復号処理部と、
　前記認証の成功後に前記復号処理部が復号した前記車載機能プログラムを格納する、前記車載装置に設けられたプログラム記憶部と、
を備える、
車載機能アクセス制御システム。
　前記利用者による前記車載機能の使用妥当性を判定する判定部をさらに備え、
　前記復号処理部は、前記判定部が使用を妥当と判定すると前記車載機能プログラムを復号する、
請求項１に記載の車載機能アクセス制御システム。
　前記判定部は、前記車両の異常を記録したログ情報を参照して前記使用妥当性を判定する、
請求項２に記載の車載機能アクセス制御システム。
　前記判定部は、予め定められた前記車載機能の使用可能期間に基づき前記使用妥当性を判定する、
請求項２に記載の車載機能アクセス制御システム。
　前記判定部は、前記利用者の過去の認証結果を記録したログ情報を参照して前記使用妥当性を判定する、
請求項２に記載の車載機能アクセス制御システム。
　前記車載機能は保守機能またはデバッグ機能である、
請求項１に記載の車載機能アクセス制御システム。
　前記認証部は前記利用者が使用する利用者端末との間の通信により前記利用者の認証を行い、
　前記暗号処理部は前記利用者端末に設けられる、
請求項１に記載の車載機能アクセス制御システム。
　前記認証部は前記車載装置と通信を行う管理サーバに設けられる、
請求項１に記載の車載機能アクセス制御システム。
　前記暗号化データ記憶部は前記車載装置と通信を行う管理サーバに設けられる、
請求項１に記載の車載機能アクセス制御システム。
　車載機能を有する車載装置であって、
　前記車載機能を実行するための車載機能プログラムが暗号化されており、
　利用者から前記車載機能の使用要求を受ける使用要求受付部と、
　前記利用者の認証の成功後に、復号された前記車載機能プログラムを格納するプログラム記憶部と、を備える、
車載装置。
　車載装置が有する機能である車載機能を実行するための車載機能プログラムを暗号化して暗号化データを取得し、
　前記暗号化データを記憶部に格納し、
　利用者の認証を行い、
　前記認証の成功後に前記暗号化データを前記車載機能プログラムに復号し、
　前記認証の成功後に復号された前記車載機能プログラムを記憶部に格納する、
車載機能アクセス制御方法。