JP2017011491A - 認証システム - Google Patents
認証システム Download PDFInfo
- Publication number
- JP2017011491A JP2017011491A JP2015124991A JP2015124991A JP2017011491A JP 2017011491 A JP2017011491 A JP 2017011491A JP 2015124991 A JP2015124991 A JP 2015124991A JP 2015124991 A JP2015124991 A JP 2015124991A JP 2017011491 A JP2017011491 A JP 2017011491A
- Authority
- JP
- Japan
- Prior art keywords
- computer
- data
- software
- update
- management server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Stored Programmes (AREA)
- Information Transfer Between Computers (AREA)
Abstract
【課題】コンピュータの保守を行う保守装置の不正な利用を防止する。
【解決手段】管理サーバが、第一のコンピュータから送信された構成証明データに基づいて、第一のコンピュータのエンティティ認証を行い、第二のコンピュータに対応する更新ソフトウェアを含む第一のデータと、更新ソフトウェアに対応するダイジェストを含むデータに自己の電子署名を付加した第二のデータと、を第一のコンピュータに送信する。第一のコンピュータは、管理サーバから第一および第二のデータを取得し、第二のコンピュータに転送する。第二のコンピュータは、管理サーバに対応する公開鍵を用いて、第二のデータに含まれる電子署名を検証し、また、第二のデータに含まれるダイジェストを用いて、更新ソフトウェアを検証し、正当性が全て確認できた場合にソフトウェア更新を行う。
【選択図】図1
【解決手段】管理サーバが、第一のコンピュータから送信された構成証明データに基づいて、第一のコンピュータのエンティティ認証を行い、第二のコンピュータに対応する更新ソフトウェアを含む第一のデータと、更新ソフトウェアに対応するダイジェストを含むデータに自己の電子署名を付加した第二のデータと、を第一のコンピュータに送信する。第一のコンピュータは、管理サーバから第一および第二のデータを取得し、第二のコンピュータに転送する。第二のコンピュータは、管理サーバに対応する公開鍵を用いて、第二のデータに含まれる電子署名を検証し、また、第二のデータに含まれるダイジェストを用いて、更新ソフトウェアを検証し、正当性が全て確認できた場合にソフトウェア更新を行う。
【選択図】図1
Description
本発明は、保守装置の不正な利用を防止する認証システムに関する。
近年、ソフトウェアの高度化にともない、携帯電話や車載コンピュータなどの組込み機器に、デバッグ機能や更新機能などの保守のための機能を搭載することが一般的になっている。デバッグ機能は、開発時に機器の動作を検証する目的や、故障した機器の解析を行うために使用される。また、更新機能は、不具合の修正や機能向上などのため、ソフトウェアやファームウェアを更新する際に使用される。
これらの保守機能は、一般の利用者は使用しない機能であるため、利用者がアクセスできないように制限がかけられている場合が多い。特に、車載コンピュータ(Engine Control Unit、以下ECU)は、自動車の制御を受け持つという性質上、パラメータの安易な
変更が故障や事故につながる可能性がある。そのため、保守機能にアクセスするためには専用の機器(以下、保守装置と称する)を必要とし、一般の利用者が容易に触れることができない構造をとっている。
変更が故障や事故につながる可能性がある。そのため、保守機能にアクセスするためには専用の機器(以下、保守装置と称する)を必要とし、一般の利用者が容易に触れることができない構造をとっている。
しかし、保守装置を悪意のある利用者が入手した場合、保守機能が不正に利用されるおそれがある。例えば、保守装置が、パーソナルコンピュータ上で動作するソフトウェアとして実装されている場合、不正にコピーしたソフトウェアを用いて、ECUにアクセスされてしまうおそれがある。
これを防ぐための技術として、例えば特許文献1に記載の発明がある。特許文献1に記載のシステムでは、保守装置が、管理サーバに対して自己が正当な装置であることを示し、管理サーバから証明を取得する。そして、当該証明をECUに送信し、ECUが更新の可否を判断する。このようにすることで、不正な保守装置の利用を防止することができる。
これを防ぐための技術として、例えば特許文献1に記載の発明がある。特許文献1に記載のシステムでは、保守装置が、管理サーバに対して自己が正当な装置であることを示し、管理サーバから証明を取得する。そして、当該証明をECUに送信し、ECUが更新の可否を判断する。このようにすることで、不正な保守装置の利用を防止することができる。
特許文献1に記載の発明によると、保守装置が正当なものであることを管理サーバが確認しない限り、保守機能が有効にならない。
しかし、保守装置が正当なものであっても、悪意のあるユーザが、改造を施した不正なソフトウェアを用いてECUの更新を行おうとした場合に、これを防止することができない。
しかし、保守装置が正当なものであっても、悪意のあるユーザが、改造を施した不正なソフトウェアを用いてECUの更新を行おうとした場合に、これを防止することができない。
すなわち、このような利用を防止するためには、保守装置に対する正当性の確認(エンティティ認証)と、ECUに送信するデータに対する正当性の確認(データ認証)の双方を実行するような認証システムを構築する必要がある。
本発明は上記の問題点を考慮してなされたものであり、コンピュータの保守を行う保守
装置の不正な利用を防止することを目的とする。
装置の不正な利用を防止することを目的とする。
本発明の第一の形態に係る認証システムは、接続されたコンピュータのソフトウェア更新を制御する第一のコンピュータと、ソフトウェアを更新する対象である第二のコンピュータと、前記第二のコンピュータに適用される更新ソフトウェアを提供する管理サーバと、を含み、前記第二のコンピュータが、前記更新ソフトウェアの正当性を認証するシステムである。
第一のコンピュータは、第二のコンピュータの保守を行うための装置であり、例えば、パーソナルコンピュータと保守ソフトウェアの組み合わせであるが、専用のハードウェア等であってもよい。また、第二のコンピュータは、ソフトウェアの更新を行う対象となる装置であり、例えば、組込み機器や、車載コンピュータ(ECU)などである。
本発明の第一の形態に係る認証システムは、より具体的には、前記管理サーバが、前記第一のコンピュータから送信された構成証明データに基づいて、前記第一のコンピュータのエンティティ認証を行い、前記第一のコンピュータが正当なものである場合に、前記第二のコンピュータに対応する更新ソフトウェアを含む第一のデータと、前記更新ソフトウェアに対応するダイジェストを含むデータに自己の電子署名を付加したデータである第二のデータと、を前記第一のコンピュータに送信する提供手段と、を有する。
また、前記第一のコンピュータが、自己の正当性を示すデータである構成証明データを取得し、前記管理サーバに送信する自己証明手段と、前記管理サーバから前記第一および第二のデータを取得し、前記第二のコンピュータに転送する転送手段と、を有する。
また、前記第二のコンピュータが、前記管理サーバに対応する公開鍵を用いて、前記第二のデータに含まれる電子署名を検証し、また、前記第二のデータに含まれるダイジェストを用いて、前記更新ソフトウェアを検証し、前記二種類の検証によって正当性が全て確認できた場合にソフトウェア更新を行う更新手段と、を有する。
また、前記第一のコンピュータが、自己の正当性を示すデータである構成証明データを取得し、前記管理サーバに送信する自己証明手段と、前記管理サーバから前記第一および第二のデータを取得し、前記第二のコンピュータに転送する転送手段と、を有する。
また、前記第二のコンピュータが、前記管理サーバに対応する公開鍵を用いて、前記第二のデータに含まれる電子署名を検証し、また、前記第二のデータに含まれるダイジェストを用いて、前記更新ソフトウェアを検証し、前記二種類の検証によって正当性が全て確認できた場合にソフトウェア更新を行う更新手段と、を有する。
本発明における第一のコンピュータは、管理サーバに対して、第二のコンピュータを更新するためのソフトウェアを要求する。この際、第一のコンピュータは、自己が正当なものであることを示すデータ(構成証明データ)を管理サーバに送信し、管理サーバがエンティティ認証を行う。エンティティ認証は、第一のコンピュータの正当性を確認できれば、どのような方法で行われてもよい。例えば、公開鍵暗号を利用して、第一のコンピュータが有するハードウェアやソフトウェアのハッシュを送信してもよい。
管理サーバは、第一のコンピュータが正当なものあると判断した場合に、第二のコンピュータを更新するためのソフトウェア(更新ソフトウェア)が含まれる第一のデータと、第一のデータを検証するための第二のデータを生成し、当該第一のデータと、第二のデータの二つを第一のコンピュータに送信する。
第二のデータとは、更新ソフトウェアに対応するダイジェストを含むデータに、管理サーバの電子署名を付加したデータである。ダイジェストとは、更新ソフトウェアの正当性を確認するための情報であり、例えば、更新ソフトウェアのハッシュ値などであるが、一方向であればこれに限られない。
管理サーバは、第一のコンピュータが正当なものあると判断した場合に、第二のコンピュータを更新するためのソフトウェア(更新ソフトウェア)が含まれる第一のデータと、第一のデータを検証するための第二のデータを生成し、当該第一のデータと、第二のデータの二つを第一のコンピュータに送信する。
第二のデータとは、更新ソフトウェアに対応するダイジェストを含むデータに、管理サーバの電子署名を付加したデータである。ダイジェストとは、更新ソフトウェアの正当性を確認するための情報であり、例えば、更新ソフトウェアのハッシュ値などであるが、一方向であればこれに限られない。
第一のコンピュータに送信された二つのデータは、例えば、第一のコンピュータと第二のコンピュータを接続したタイミングで、第二のコンピュータへ転送される。
また、データを受信した第二のコンピュータは、まず、(1)管理サーバに対応する公開鍵を用いて、第二のデータに含まれる電子署名を検証し、(2)第二のデータに含まれるダイジェストを用いて、前記更新ソフトウェアを検証する。この二種類の検証により、第二のコンピュータは、更新ソフトウェアが管理サーバによって作成された正当なもので
あることを確認することができる。
あることを確認することができる。
かかる構成によると、第二のコンピュータが、更新ソフトウェアの正当性を確認することができる。また、更新ソフトウェアは、第一のコンピュータが正当なものでない限り生成されないため、エンティティおよびデータの正当性を共に担保することができる。
また、前記第一のコンピュータが有する自己証明手段は、自装置のプラットフォーム構成に対応するダイジェストを生成し、自己の電子署名を加えたデータを、構成証明データとして前記管理サーバに送信し、前記管理サーバは、前記電子署名およびダイジェストを検証することで、前記第一のコンピュータのエンティティ認証を行うことを特徴としてもよい。
構成証明データとは、第一のコンピュータが有するプラットフォームが正当なものであることを示すためのデータであり、例えば、ソフトウェアやハードウェアのハッシュ値などであるが、これに限られない。対象のソフトウェアは、例えば、保守を行うソフトウェアのみであってもよいし、オペレーティングシステムのライブラリやカーネル、ミドルウェア等を含んだものであってもよい。また、ディスク装置に記憶されたソフトウェア全てであってもよい。
このように構成すると、仮に攻撃者が正規の通信ソフトウェアのプロトコルを解析し、攻撃用の保守ソフトウェアを作成した場合であっても、管理サーバから保守用のデータを受け取ることができなくなる。また、構成証明データの生成対象を、通信ソフトウェアだけでなく、オペレーティングシステムのカーネルやライブラリまで含むようにすれば、正規の通信ソフトウェアを不正にコピーするケースにも対応することができる。すなわち、攻撃に用いるコンピュータのカーネルやライブラリなどが、正当なコンピュータと少しでも異なれば認証を得ることが出来ないため、不正を防止することができる。
また、前記第一のコンピュータが有する自己証明手段は、耐タンパ性デバイスによって実現されることを特徴としてもよい。
耐タンパ性デバイスとは、情報の外部への取り出しや、情報の改変に対する防御力を持ったデバイスである。耐タンパデバイスには、例えばTPM(Trusted Platform Module
)を用いることができる。TPMとは、TCG(Trusted Computing Group)にて標準化さ
れた、耐タンパ性を持つセキュリティチップであり、秘密鍵の記憶、ハッシュの生成、電子署名の生成などを単体で行うことができる。TPMの内部で行われるハッシュや電子署名の生成には、外部から関与することができないため、データの改ざんや、不正な電子署名の生成を行うことができない。また、データや秘密鍵を物理的に取り出そうとすると自己破壊が起こるため、ハードウェアと切り離すこともできない。すなわち、第一のコンピュータが正当なものでない限り、正しい構成証明データを得ることができないため、管理サーバから更新プログラムを取得することもできなくなる。
)を用いることができる。TPMとは、TCG(Trusted Computing Group)にて標準化さ
れた、耐タンパ性を持つセキュリティチップであり、秘密鍵の記憶、ハッシュの生成、電子署名の生成などを単体で行うことができる。TPMの内部で行われるハッシュや電子署名の生成には、外部から関与することができないため、データの改ざんや、不正な電子署名の生成を行うことができない。また、データや秘密鍵を物理的に取り出そうとすると自己破壊が起こるため、ハードウェアと切り離すこともできない。すなわち、第一のコンピュータが正当なものでない限り、正しい構成証明データを得ることができないため、管理サーバから更新プログラムを取得することもできなくなる。
また、前記第一のコンピュータは、前記第二のコンピュータに対してソフトウェアの更新を指示する更新制御手段をさらに有し、前記第二のデータは、前記ダイジェストと、前記第一のコンピュータに対応する公開鍵である第一の公開鍵と、に、前記管理サーバの電子署名を付加したデータであり、前記更新手段は、前記二種類の検証が共に成功した場合に、前記第二のデータに含まれる第一の公開鍵を用いて、前記第一のコンピュータとの秘匿通信に用いるセッション鍵を暗号化して前記第一のコンピュータに送信し、前記更新制御手段は、暗号化されたセッション鍵を自己の秘密鍵で復号することで、秘匿通信に用いるセッション鍵を取得し、前記第二のコンピュータとの秘匿通信を行うことを特徴としてもよい。
第一の公開鍵は、管理サーバによって認証された第一のコンピュータに対応するものである。すなわち、接続されている第一のコンピュータが不正なものである場合、第一のコンピュータはセッション鍵を取り出すことができず、以降の通信が不可能になる。
このように構成することで、第一のコンピュータと第二のコンピュータを接続したタイミングにおいても、第一のコンピュータのエンティティ認証を行うことができる。
このように構成することで、第一のコンピュータと第二のコンピュータを接続したタイミングにおいても、第一のコンピュータのエンティティ認証を行うことができる。
また、前記セッション鍵は擬似乱数であることを特徴としてもよい。
擬似乱数は毎回変化するため、攻撃者が通信内容を傍受してもリプレイ攻撃を行うことができないという効果が得られる。
擬似乱数は毎回変化するため、攻撃者が通信内容を傍受してもリプレイ攻撃を行うことができないという効果が得られる。
また、本発明の第二の形態にかかる認証システムは、接続されたコンピュータのソフトウェア更新を制御する第一のコンピュータと、ソフトウェアを更新する対象である第二のコンピュータと、を含み、前記第二のコンピュータが、前記第一のコンピュータおよび更新ソフトウェアを認証するシステムである。
具体的には、前記第一のコンピュータが、前記第二のコンピュータに対応する更新ソフトウェアを含む第一のデータと、前記更新ソフトウェアに対応する第一のダイジェストと、前記第一のコンピュータのプラットフォームに対応する第二のダイジェストと、を含むデータに、更新ソフトウェアの提供元の電子署名である第一の電子署名を付加したデータである第二のデータと、を取得し、前記第二のコンピュータに転送する転送手段と、自己の正当性を示すデータである構成証明データを取得し、前記第二のコンピュータに送信する自己証明手段と、前記第二のコンピュータが、前記更新ソフトウェアの提供元に対応する公開鍵を用いて、前記第二のデータに含まれる第一の電子署名を検証し、また、前記第二のデータに含まれる第一のダイジェストを用いて、前記更新ソフトウェアを検証し、また、前記第二のデータに含まれる第二のダイジェストを用いて前記構成証明データを検証し、前記三種類の検証によって正当性が全て確認できた場合にソフトウェア更新を行う更新手段を有することを特徴とする。
本発明の第二の形態に係る認証システムでは、更新ソフトウェアの提供を受ける際に、第一のコンピュータに対する認証を行わない。例えば、管理サーバによって事前に生成されたデータをオフラインで第一のコンピュータに投入するような形態である。
このような形態の場合、第二のコンピュータが、第一のコンピュータの真正性を確認する必要がある。そこで、本形態では、更新ソフトウェアの提供元が第二のデータを生成する際に、第一のコンピュータのプラットフォームに対応する第二のダイジェストを含ませる。また、第一のコンピュータが、構成証明データを第二のコンピュータに送信し、第二のコンピュータが、これらを突き合わせて第一のコンピュータの認証を行う。
かかる構成によると、更新ソフトウェアの提供元が想定している第一のコンピュータでしかソフトウェアの更新を行うことができなくなるため、第一の形態と同様に、セキュリティ性を確保することができる。
このような形態の場合、第二のコンピュータが、第一のコンピュータの真正性を確認する必要がある。そこで、本形態では、更新ソフトウェアの提供元が第二のデータを生成する際に、第一のコンピュータのプラットフォームに対応する第二のダイジェストを含ませる。また、第一のコンピュータが、構成証明データを第二のコンピュータに送信し、第二のコンピュータが、これらを突き合わせて第一のコンピュータの認証を行う。
かかる構成によると、更新ソフトウェアの提供元が想定している第一のコンピュータでしかソフトウェアの更新を行うことができなくなるため、第一の形態と同様に、セキュリティ性を確保することができる。
なお、本発明は、上記手段の少なくとも一部を含む認証システムとして特定することができる。また、前記認証システムが行う認証方法として特定することもできる。上記処理や手段は、技術的な矛盾が生じない限りにおいて、自由に組み合わせて実施することができる。
本発明によれば、コンピュータの保守を行う保守装置の不正な利用を防止することができる。
(第一の実施形態)
第一の実施形態における認証システムの概要について、図1を参照しながら説明する。第一の実施形態は、車両10と、車両10に搭載されたコンピュータ(ECU)に対する保守を行うための保守装置20と、管理サーバ30からなる認証システムである。保守装置20が本発明における第一のコンピュータであり、車両10に搭載されたECUが本発明における第二のコンピュータである。
第一の実施形態における認証システムの概要について、図1を参照しながら説明する。第一の実施形態は、車両10と、車両10に搭載されたコンピュータ(ECU)に対する保守を行うための保守装置20と、管理サーバ30からなる認証システムである。保守装置20が本発明における第一のコンピュータであり、車両10に搭載されたECUが本発明における第二のコンピュータである。
保守装置20は、車両に搭載されたECUに対してデータ解析やプログラムの更新を行うためのソフトウェアが動作するパーソナルコンピュータである。当該ソフトウェアを、本実施形態では通信ソフトウェアと称する。
第一の実施形態における保守装置20は、管理サーバ30に対して、車両10が有するECUを更新するためのソフトウェアを要求する。
この際、保守装置20は、構成証明データを生成して、電子署名とともに管理サーバに送信する。構成証明データとは、コンピュータが有するソフトウェアの正当性を示すデータであり、本実施形態では、コンピュータが記憶しているソフトウェアに対応するハッシュ値である。管理サーバは、電子署名を検証することで、送信されたデータが正当なものであること(すなわち正当なコンピュータから送信され、かつ偽造されたものでないこと)を確認し、ハッシュ値が正しいかを検証することで、コンピュータに記憶されたソフトウェアが偽造または改ざんされたものでないことを確認する。
第一の実施形態における保守装置20は、管理サーバ30に対して、車両10が有するECUを更新するためのソフトウェアを要求する。
この際、保守装置20は、構成証明データを生成して、電子署名とともに管理サーバに送信する。構成証明データとは、コンピュータが有するソフトウェアの正当性を示すデータであり、本実施形態では、コンピュータが記憶しているソフトウェアに対応するハッシュ値である。管理サーバは、電子署名を検証することで、送信されたデータが正当なものであること(すなわち正当なコンピュータから送信され、かつ偽造されたものでないこと)を確認し、ハッシュ値が正しいかを検証することで、コンピュータに記憶されたソフトウェアが偽造または改ざんされたものでないことを確認する。
コンピュータ、およびコンピュータに記憶されたソフトウェアが正当なものであった場合、管理サーバは、更新パッケージを生成する。更新パッケージとは、車両10が有するECUを更新するために必要なデータの集合である。更新パッケージは、保守装置20を介して車両10に転送され、これを受信したECUが、更新パッケージが正当なものであるか否かを判定し、正当性が確認できた場合にのみ、保守装置に対して許可通知を行い、保守作業を開始する。
このように構成することで、更新ソフトウェアと保守装置の双方が正当なものであることを担保することができる。具体的なデータの内容および処理方法については後述する。
このように構成することで、更新ソフトウェアと保守装置の双方が正当なものであることを担保することができる。具体的なデータの内容および処理方法については後述する。
<システム構成>
以上に説明した機能を実現するための実施形態の詳細について説明する。
第一の実施形態に係る認証システムの構成を、図2〜4を参照しながら説明する。図2は車両10のシステム構成図、図3はコンピュータ20のシステム構成図、図4は管理サーバ30のシステム構成図である。
以上に説明した機能を実現するための実施形態の詳細について説明する。
第一の実施形態に係る認証システムの構成を、図2〜4を参照しながら説明する。図2は車両10のシステム構成図、図3はコンピュータ20のシステム構成図、図4は管理サーバ30のシステム構成図である。
まず、車両10について説明する。車両10は、車両制御用のECUを複数搭載した自動車である。車両10には、エンジン、パワートレイン、ブレーキ、車両制御など機能別に複数のECUが備わっている。各ECUは、車内ネットワークを通して保守装置20と接続することによって、プログラムの更新やデータの解析などを行うことができるようになっている。なお、図2には、更新パッケージを取得し、その正当性を確認するための手段のみを図示し、ECUは図示していない。
通信部11は、保守装置20と通信を行う手段である。具体的には、保守装置20から、更新パッケージを受信し、また、ソフトウェアの更新を行うためのコマンド(以下、保守コマンド)を受信する。自動車には、OBD2と呼ばれる規格の通信ポートが装備されており、通信部12は当該ポートを利用して保守装置20との有線接続を行う。
センタ公開鍵記憶部12は、管理サーバ30に対応する公開鍵であるセンタ公開鍵を記憶する手段である。本システムを利用する全ての車両が、対応するセンタ公開鍵を記憶している。
パッケージ検証部13は、保守装置20によって転送された更新パッケージの正当性を検証する手段である。具体的には、更新パッケージに含まれる情報(電子署名やハッシュ)を検証することで、当該更新パッケージが、管理サーバ30によって生成された真正なものであることを確認する。詳細な検証方法については後述する。
コマンド実行部14は、保守装置20から送信された保守コマンドを実行し、対象のECUに対して保守作業(例えばデータの解析やプログラムの更新など)を実行する手段である。
以上の手段は、演算処理装置(CPU)と記憶装置(ROM)を有する組込みコンピュータによって実現されてもよいし、専用に設計された電子回路によって実現されてもよい。
コマンド実行部14は、保守装置20から送信された保守コマンドを実行し、対象のECUに対して保守作業(例えばデータの解析やプログラムの更新など)を実行する手段である。
以上の手段は、演算処理装置(CPU)と記憶装置(ROM)を有する組込みコンピュータによって実現されてもよいし、専用に設計された電子回路によって実現されてもよい。
保守装置20は、車両10に搭載されたECUと通信を行うための通信ソフトウェアが動作する、汎用のパーソナルコンピュータである。
通信部21は、前述したOBD2規格のコネクタを有する通信手段である。例えば、パーソナルコンピュータの拡張バスに装着されるインタフェースカードなどによって実現される。
通信部22は、管理サーバ30との通信を行う手段であり、移動体通信網やマルチチャネルアクセス無線を利用する通信モジュールなどによって実現される。管理サーバ30との通信は、無線通信であっても有線通信であってもよいが、セキュアな通信路を用いることが好ましい。
制御部23は、保守装置20の制御を司る手段であり、例えば、車両10に搭載されたECUに対する保守コマンドを生成および送信する機能や、管理サーバ30から取得した更新パッケージを車両10に転送する機能を実行する。
保守コマンドは、データ解析やソフトウェア更新を行うための命令であり、タッチパネルやキーボードといった入出力手段(不図示)を通して、利用者から受け付けた操作に基づいて生成される。
通信部21は、前述したOBD2規格のコネクタを有する通信手段である。例えば、パーソナルコンピュータの拡張バスに装着されるインタフェースカードなどによって実現される。
通信部22は、管理サーバ30との通信を行う手段であり、移動体通信網やマルチチャネルアクセス無線を利用する通信モジュールなどによって実現される。管理サーバ30との通信は、無線通信であっても有線通信であってもよいが、セキュアな通信路を用いることが好ましい。
制御部23は、保守装置20の制御を司る手段であり、例えば、車両10に搭載されたECUに対する保守コマンドを生成および送信する機能や、管理サーバ30から取得した更新パッケージを車両10に転送する機能を実行する。
保守コマンドは、データ解析やソフトウェア更新を行うための命令であり、タッチパネルやキーボードといった入出力手段(不図示)を通して、利用者から受け付けた操作に基づいて生成される。
符号200は、TPMによって保護された領域を表す。TPMとは、前述したように、コンピュータに内蔵され、暗号演算に関する各種の機能を有するワンチップモジュールである。当該モジュールは、コンピュータのメインボードに直接装着されている。
TPM制御部201は、TPMが有する機能を制御するための手段である。本実施形態では、ソフトウェアの構成証明データの生成、および公開鍵暗号を用いた電子署名の生成を行う動作を制御する。また、TPM制御部201は、保守装置20に固有な秘密鍵(本
発明における第一の秘密鍵)を記憶している。第一の秘密鍵は、ソフトウェアおよびハードウェア的に保護された不揮発性メモリに記憶されており、電子署名の生成等に使用することはできるが、外部からのアクセス、物理的なメモリの取り出し等を行うことはできない。
構成証明生成部202は、構成証明データを生成する手段である。具体的には、保守装置20にインストールされたソフトウェアのハッシュ値を、SHA−1、SHA−256などのアルゴリズムによって計算する手段である。当該計算したハッシュ値が、本発明における構成証明データである。構成証明データを生成する具体的な例については後述する。
発明における第一の秘密鍵)を記憶している。第一の秘密鍵は、ソフトウェアおよびハードウェア的に保護された不揮発性メモリに記憶されており、電子署名の生成等に使用することはできるが、外部からのアクセス、物理的なメモリの取り出し等を行うことはできない。
構成証明生成部202は、構成証明データを生成する手段である。具体的には、保守装置20にインストールされたソフトウェアのハッシュ値を、SHA−1、SHA−256などのアルゴリズムによって計算する手段である。当該計算したハッシュ値が、本発明における構成証明データである。構成証明データを生成する具体的な例については後述する。
保守装置20では、以上の手段が、演算処理装置(CPU)、記憶装置(ROM)、TPM、およびその他のハードウェアによって実現される。
管理サーバ30は、保守装置20と通信を行うサーバ装置である。
通信部31は、通信部22と同様のプロトコルを用いてデータを送受信する手段である。本実施形態では、保守装置20から構成証明データを受信し、生成した更新パッケージを保守装置20に送信する。
保守装置公開鍵記憶部32は、保守装置20に対応する公開鍵(以下、保守装置公開鍵。本発明における第一の公開鍵)を記憶する手段である。本実施形態では、保守装置公開鍵は、保守装置の個体ごとに異なり、管理サーバ30は、保守装置ごとに公開鍵を全て記憶している。なお、保守装置公開鍵は、複数の保守装置の間で共通であってもよい。
通信部31は、通信部22と同様のプロトコルを用いてデータを送受信する手段である。本実施形態では、保守装置20から構成証明データを受信し、生成した更新パッケージを保守装置20に送信する。
保守装置公開鍵記憶部32は、保守装置20に対応する公開鍵(以下、保守装置公開鍵。本発明における第一の公開鍵)を記憶する手段である。本実施形態では、保守装置公開鍵は、保守装置の個体ごとに異なり、管理サーバ30は、保守装置ごとに公開鍵を全て記憶している。なお、保守装置公開鍵は、複数の保守装置の間で共通であってもよい。
構成証明検証部33は、保守装置20から送信された構成証明データの正当性を確認する手段である。具体的には、保守装置公開鍵を用いて、構成証明データに添付された電子署名を検証することで、その発信元を確認し、構成証明データを検証することで、保守装置20に記憶されているソフトウェアが正当なものであることを確認する。
このため、構成証明検証部33には、正当な保守装置が有するソフトウェアに対応するハッシュ値(以下、理想状態)が記憶されている。
このため、構成証明検証部33には、正当な保守装置が有するソフトウェアに対応するハッシュ値(以下、理想状態)が記憶されている。
パッケージ生成部34は、車両に送信する更新パッケージを生成する手段である。
ここで、更新パッケージの構造について図5を参照しながら説明する。第一の実施形態では、更新パッケージは、第一のデータおよび第二のデータからなる。
第一のデータは、対象ECUのソフトウェアを更新するために用いられるバイナリファイル(本発明における更新ソフトウェア。以下、更新バイナリ)である。また、第二のデータは、更新パッケージを要求した保守装置20に対応する保守装置公開鍵と、更新バイナリのハッシュ値に、管理サーバの電子署名を付加したデータである。更新バイナリのハッシュ値は、SHA−1、SHA−256などのアルゴリズムによって計算されたものを使用する。また、パッケージ生成部34は、センタ秘密鍵記憶部35に記憶された自己の秘密鍵を用いて電子署名を生成し、追加する。
なお、本実施形態では、X.509v3による電子証明書を第二のデータとして使用する。当該規格は拡張領域を有し、更新バイナリのハッシュ値を格納することができるため、本実施形態に好適である。
ここで、更新パッケージの構造について図5を参照しながら説明する。第一の実施形態では、更新パッケージは、第一のデータおよび第二のデータからなる。
第一のデータは、対象ECUのソフトウェアを更新するために用いられるバイナリファイル(本発明における更新ソフトウェア。以下、更新バイナリ)である。また、第二のデータは、更新パッケージを要求した保守装置20に対応する保守装置公開鍵と、更新バイナリのハッシュ値に、管理サーバの電子署名を付加したデータである。更新バイナリのハッシュ値は、SHA−1、SHA−256などのアルゴリズムによって計算されたものを使用する。また、パッケージ生成部34は、センタ秘密鍵記憶部35に記憶された自己の秘密鍵を用いて電子署名を生成し、追加する。
なお、本実施形態では、X.509v3による電子証明書を第二のデータとして使用する。当該規格は拡張領域を有し、更新バイナリのハッシュ値を格納することができるため、本実施形態に好適である。
センタ秘密鍵記憶部35は、管理サーバ30に固有な秘密鍵であるセンタ秘密鍵を記憶する手段である。
以上の構成は、演算処理装置(CPU)と記憶装置(ROM)を有するコンピュータによって構成されることが望ましいが、専用に設計されたハードウェアによって実現されてもよい。
以上の構成は、演算処理装置(CPU)と記憶装置(ROM)を有するコンピュータによって構成されることが望ましいが、専用に設計されたハードウェアによって実現されてもよい。
<処理フロー>
次に、保守装置20が管理サーバ30に対して更新パッケージを要求する処理について説明する。図6は保守装置20が行う処理のフローチャートであり、図7は管理サーバ30が行う処理のフローチャートである。
次に、保守装置20が管理サーバ30に対して更新パッケージを要求する処理について説明する。図6は保守装置20が行う処理のフローチャートであり、図7は管理サーバ30が行う処理のフローチャートである。
保守装置20が、対象のECUを更新する旨の指示をユーザから取得すると、図6に示した処理が開始される。
まず、ステップS11で、TPM制御部201が、構成証明生成部202を通して、自装置に対応する構成証明データを生成する。
まず、ステップS11で、TPM制御部201が、構成証明生成部202を通して、自装置に対応する構成証明データを生成する。
本ステップで生成する構成証明データについて詳しく説明する。
TPMは、プラットフォーム構成の計測に用いるPCR(プラットフォーム構成レジスタ:Platform Configuration Register)と呼ばれるレジスタを有している。PCRには
、現在のプラットフォームに対するハッシュ値が、プラットフォームを起動するごとに書き込まれる。PCRはハードウェアによって保護されており、利用者が任意の値に書き換えることはできない。すなわち、PCRに記録されたハッシュ値と、正当なプラットフォーム構成に対応するハッシュ値とを比較することで、プラットフォームの改ざんを検知することができる。この、PCRに記録されたハッシュ値が本発明における構成証明データである。構成証明データには、TPMに記憶されている秘密鍵(第一の秘密鍵)を用いて電子署名が付加される。この動作は構成証明(Attestation)と呼ばれ、TPMが標準で
有している機能である。TPMによって生成され、電子署名が付加された構成証明データは、外部から手を加えることができないため、第三者がこれを検証することで、プラットフォームの正当性を確認することができる。
第一の実施形態では、検証を行う対象のプラットフォームとは、保守装置20に記憶されている全てのソフトウェアを指す。すなわち、通信ソフトウェア、その他のアプリケーション、システムライブラリ、オペレーティングシステムのカーネル等を含む。
TPMは、プラットフォーム構成の計測に用いるPCR(プラットフォーム構成レジスタ:Platform Configuration Register)と呼ばれるレジスタを有している。PCRには
、現在のプラットフォームに対するハッシュ値が、プラットフォームを起動するごとに書き込まれる。PCRはハードウェアによって保護されており、利用者が任意の値に書き換えることはできない。すなわち、PCRに記録されたハッシュ値と、正当なプラットフォーム構成に対応するハッシュ値とを比較することで、プラットフォームの改ざんを検知することができる。この、PCRに記録されたハッシュ値が本発明における構成証明データである。構成証明データには、TPMに記憶されている秘密鍵(第一の秘密鍵)を用いて電子署名が付加される。この動作は構成証明(Attestation)と呼ばれ、TPMが標準で
有している機能である。TPMによって生成され、電子署名が付加された構成証明データは、外部から手を加えることができないため、第三者がこれを検証することで、プラットフォームの正当性を確認することができる。
第一の実施形態では、検証を行う対象のプラットフォームとは、保守装置20に記憶されている全てのソフトウェアを指す。すなわち、通信ソフトウェア、その他のアプリケーション、システムライブラリ、オペレーティングシステムのカーネル等を含む。
ステップS11の処理によって、構成証明データおよび電子署名が生成されると、制御部23は、当該データを、通信部22を介して管理サーバ30へ送信する(S12)。この際、更新対象のECUを識別するための情報を同時に送信してもよい。
ここで、図7を参照して、管理サーバ30が行う処理について説明する。管理サーバ30は、通信部31を通して構成証明データおよび電子署名を受信すると、保守装置20に対応する公開鍵を、保守装置公開鍵記憶部32から取得する(ステップS21)。前述したように、保守装置公開鍵記憶部32には、保守装置ごとに対応する公開鍵が記憶されており、受信した電子署名に対応する公開鍵を取得することができる。
そして、構成証明検証部33が、構成証明データに添付された電子署名を検証する(ステップS22)。具体的には、受信データに含まれる電子署名を、取得した公開鍵を用いて復号し、受信データから得られるハッシュ値と一致するかを確認する。電子署名の検証が成功すれば、受信した構成証明データが、対応する保守装置20から送信されたものであり、改ざんされていないことが確認できる。電子署名の検証に失敗した場合、動作を終了する(S22−No)。
続いて、構成証明データに含まれるハッシュ値(保守装置が有するソフトウェアのハッシュ値)が、正当な保守装置が有するソフトウェアに対応するハッシュ値(すなわち理想状態)と一致しているかを確認する(ステップS23)。これらが一致すれば、保守装置20に記憶されているソフトウェアが正当なものであることが確認できる(S23−Yes)。ハッシュ値が一致しない場合、動作を終了する(S23−No)。
すなわち、ステップS22およびS23の結果がともにYesであれば、保守装置20が正当なものであることが確認できる。
すなわち、ステップS22およびS23の結果がともにYesであれば、保守装置20が正当なものであることが確認できる。
コンピュータの正当性が確認されると、パッケージ生成部34が、ECUを更新するための更新パッケージを生成する(ステップS24)。
ステップS24では、まず、保守装置へ送信する更新バイナリを選択し、第一のデータとする。次いで、当該更新バイナリに対応するハッシュ値を求める。次に、対象の保守装置20に対応する保守装置公開鍵を取得し、ハッシュ値と公開鍵からなるデータを生成したうえで、自己の秘密鍵を用いて電子署名を生成して付加する。生成されるデータの構造は図5のようになる。第一の実施形態では、このようにして生成されたデータ全体が更新パッケージとなる。
生成された更新パッケージは、通信部31を介して保守装置20へ送信される(ステップS25)。
ステップS24では、まず、保守装置へ送信する更新バイナリを選択し、第一のデータとする。次いで、当該更新バイナリに対応するハッシュ値を求める。次に、対象の保守装置20に対応する保守装置公開鍵を取得し、ハッシュ値と公開鍵からなるデータを生成したうえで、自己の秘密鍵を用いて電子署名を生成して付加する。生成されるデータの構造は図5のようになる。第一の実施形態では、このようにして生成されたデータ全体が更新パッケージとなる。
生成された更新パッケージは、通信部31を介して保守装置20へ送信される(ステップS25)。
保守装置20が行う処理の説明(図6)に戻り、ステップS13から説明を続ける。保守装置20は、構成証明データを管理サーバ30へ送信した後、更新パッケージの受信を試みる(ステップS13)。このとき、一定時間以内に更新パッケージを受信した場合、当該更新パッケージを、通信部21を通して車両10へ転送する(ステップS14)。管理サーバからの応答がタイムアウトした場合(S13−No)、処理を終了させる。
ステップS14が完了すると、車両による更新パッケージの検証が行われ、その間、保守装置20は待ち状態となる。
ステップS14が完了すると、車両による更新パッケージの検証が行われ、その間、保守装置20は待ち状態となる。
ここで、図8を参照して、車両10が行う処理について説明する。
車両10が更新パッケージを受信すると、パッケージ検証部13が、更新パッケージに含まれる電子署名を、センタ公開鍵記憶部12に記憶されているセンタ公開鍵を用いて復号し、電子署名の検証を行う(ステップS31)。検証が失敗した場合(S32−No)、処理を終了させる。電子署名の検証が成功(S32−Yes)した場合、更新パッケージに含まれる第二のデータが、管理サーバ30から送信されたものであり、改ざんされていないことが確認できる。
次に、ステップS33で更新バイナリのハッシュ値を取得し、第二のデータに含まれるハッシュ値と一致することを確認する。ここで、ハッシュ値が一致しない場合、更新バイナリのみが書き換えられている可能性が疑われるため、処理を終了させる(S33−No)。ハッシュ値が一致した場合(S33−Yes)、受信した「更新バイナリ」「保守装置公開鍵」が共に正当なものであることがわかる。
車両10が更新パッケージを受信すると、パッケージ検証部13が、更新パッケージに含まれる電子署名を、センタ公開鍵記憶部12に記憶されているセンタ公開鍵を用いて復号し、電子署名の検証を行う(ステップS31)。検証が失敗した場合(S32−No)、処理を終了させる。電子署名の検証が成功(S32−Yes)した場合、更新パッケージに含まれる第二のデータが、管理サーバ30から送信されたものであり、改ざんされていないことが確認できる。
次に、ステップS33で更新バイナリのハッシュ値を取得し、第二のデータに含まれるハッシュ値と一致することを確認する。ここで、ハッシュ値が一致しない場合、更新バイナリのみが書き換えられている可能性が疑われるため、処理を終了させる(S33−No)。ハッシュ値が一致した場合(S33−Yes)、受信した「更新バイナリ」「保守装置公開鍵」が共に正当なものであることがわかる。
ステップS34では、パッケージ検証部13が、保守装置20との通信に用いるセッション鍵を生成する。セッション鍵には、任意の数値や文字列を使用してもよいが、リプレイ攻撃を防ぐため、セッションごとに生成した擬似乱数を用いることが好ましい。
次にステップS35で、生成したセッション鍵を、取得した保守装置公開鍵で暗号化し、保守装置20に送信する。このようにすると、更新パッケージに含まれる保守装置公開鍵に対応する保守装置でしかメッセージが復号できなくなる。すなわち、管理サーバが認識している保守装置と、車両に接続されている保守装置が同一のものでない限り、通信を行うことができなくなるため、不正な保守装置を用いた保守作業を防止することができる。
次にステップS35で、生成したセッション鍵を、取得した保守装置公開鍵で暗号化し、保守装置20に送信する。このようにすると、更新パッケージに含まれる保守装置公開鍵に対応する保守装置でしかメッセージが復号できなくなる。すなわち、管理サーバが認識している保守装置と、車両に接続されている保守装置が同一のものでない限り、通信を行うことができなくなるため、不正な保守装置を用いた保守作業を防止することができる。
保守装置20が行う処理の説明(図6)に戻り、ステップS15から説明を続ける。
ステップS15では、車両10から、暗号化されたセッション鍵を取得し、自己の秘密鍵でこれを復号することでセッション鍵を取得する。そして、ステップS16で、保守作業を実行するためのコマンド(保守コマンド)を生成し、車両との通信を開始する。当該通信は、取得したセッション鍵を用いた秘匿通信である。
また、車両10は、保守装置20との接続が解除されるまで、当該保守装置から送信された保守コマンドを受け入れる状態となる。
ステップS15では、車両10から、暗号化されたセッション鍵を取得し、自己の秘密鍵でこれを復号することでセッション鍵を取得する。そして、ステップS16で、保守作業を実行するためのコマンド(保守コマンド)を生成し、車両との通信を開始する。当該通信は、取得したセッション鍵を用いた秘匿通信である。
また、車両10は、保守装置20との接続が解除されるまで、当該保守装置から送信された保守コマンドを受け入れる状態となる。
<第一の実施形態の効果>
以上に示したように、本実施形態では、第一に、保守装置が構成証明データを管理サーバに送信し、管理サーバが保守装置を認証するという構成をとる。構成証明データの生成にはTPMを利用するため、攻撃者は管理サーバに対して偽りの情報を送信することができない。すなわち、保守装置のエンティティ認証を行うことができる。
また、第二に、管理サーバから送信された更新パッケージを車両が検証し、正当性を確認する。これにより、更新パッケージの差し替えによる不正利用を防ぐことができる。
また、第三に、更新パッケージに保守装置公開鍵を含ませ、当該公開鍵を用いてセッション鍵を伝送するという構成を取る。このため、管理サーバが認証した保守装置でない限り、車両との通信が行えなくなるため、接続時にもエンティティ認証を行うことができる。
このように、第一の実施形態では、データ認証とエンティティ認証を重ねて行うことで、不正な保守作業を防止することができる。
以上に示したように、本実施形態では、第一に、保守装置が構成証明データを管理サーバに送信し、管理サーバが保守装置を認証するという構成をとる。構成証明データの生成にはTPMを利用するため、攻撃者は管理サーバに対して偽りの情報を送信することができない。すなわち、保守装置のエンティティ認証を行うことができる。
また、第二に、管理サーバから送信された更新パッケージを車両が検証し、正当性を確認する。これにより、更新パッケージの差し替えによる不正利用を防ぐことができる。
また、第三に、更新パッケージに保守装置公開鍵を含ませ、当該公開鍵を用いてセッション鍵を伝送するという構成を取る。このため、管理サーバが認証した保守装置でない限り、車両との通信が行えなくなるため、接続時にもエンティティ認証を行うことができる。
このように、第一の実施形態では、データ認証とエンティティ認証を重ねて行うことで、不正な保守作業を防止することができる。
(第二の実施形態)
第一の実施形態では、保守装置20と管理サーバ30との間がオンラインで接続されており、管理サーバが保守装置を認証したうえで更新パッケージを生成した。
これに対して第二の実施形態は、管理サーバにて予め生成しておいた更新パッケージをオフラインで取り込む実施形態である。
第一の実施形態では、保守装置20と管理サーバ30との間がオンラインで接続されており、管理サーバが保守装置を認証したうえで更新パッケージを生成した。
これに対して第二の実施形態は、管理サーバにて予め生成しておいた更新パッケージをオフラインで取り込む実施形態である。
第二の実施形態では、管理サーバが、ソフトウェアの更新に用いる保守装置20を特定したうえで、事前に更新パッケージを生成する。図9は、第二の実施形態において生成される更新パッケージの構造を表した図である。第二の実施形態では、第二のデータに、第一の実施形態における「理想状態」、すなわち、真正な保守装置の構成証明によって得られるハッシュ値が追加される。
図10は、第二の実施形態における保守装置20の処理フローチャートである。なお、第一の実施形態と同様の処理を行うステップについては点線で図示し、説明を省略する。
ステップS11で構成証明データを生成した後、ステップS41で、管理サーバ30で生成された更新パッケージを、例えば外部記憶装置を介して保守装置20に取り込む。
そして、ステップS42で、更新パッケージと、ステップS11で生成した構成証明データを車両に送信する。
そして、ステップS42で、更新パッケージと、ステップS11で生成した構成証明データを車両に送信する。
図11は、第二の実施形態における車両10の処理フローチャートである。第二の実施形態では、車両10が、ステップS34を実行する前に、構成証明データが真正であることを確認する(ステップS51)。具体的には、第二のデータに含まれる保守装置公開鍵を用いて、取得した構成証明データの発信元を検証したうえで、更新パッケージに含まれる「理想状態」と、取得した構成証明データとを対比させ、一致しているか否かを確認する。
ここで両者が一致していない場合、保守装置20のソフトウェアが真正なものではない可能性があるため、処理を終了させる。
ステップS34およびステップS15以降の処理は、第一の実施形態と同様である。
ここで両者が一致していない場合、保守装置20のソフトウェアが真正なものではない可能性があるため、処理を終了させる。
ステップS34およびステップS15以降の処理は、第一の実施形態と同様である。
以上説明したように、第二の実施形態では、更新パッケージに「理想状態」を含ませ、保守装置20の正当性を車両が確認する。仮に、理想状態を改ざんした場合、ステップS51にて行う検証が失敗し、また、構成証明データは、TPMモジュール内で生成されるため、改ざんすることができない。すなわち、第一の実施形態と同様に、保守装置が正当なものであることを確認することができる。
(第三の実施形態)
第一および第二の実施形態では、保守装置20に記憶されている全てのソフトウェアを構成証明の対象とした。しかし、TPMが有しているプロセッサは、コンピュータに用いられている演算処理装置と比較すると低速であり、構成証明の対象が多くなると処理に時間がかかるという欠点がある。第三の実施形態は、構成証明の対象を絞ることで、ステップS11の処理時間を短縮する実施形態である。
第一および第二の実施形態では、保守装置20に記憶されている全てのソフトウェアを構成証明の対象とした。しかし、TPMが有しているプロセッサは、コンピュータに用いられている演算処理装置と比較すると低速であり、構成証明の対象が多くなると処理に時間がかかるという欠点がある。第三の実施形態は、構成証明の対象を絞ることで、ステップS11の処理時間を短縮する実施形態である。
図12は、構成証明の対象となるソフトウェアの範囲を示す図である。点線で示した範囲が、それぞれの形態における構成証明の対象範囲である。第一の実施形態では、構成証明の対象は、コンピュータに記憶されている全てのソフトウェアであるため、その範囲は図12(a)のようになる。
これに対し、通信ソフトウェアのみが正当であることを確認できればよい場合、構成証明の対象を図12(b)のように設定することができる。また、通信ソフトウェアに加えて、システムライブラリ、およびカーネルの正当性まで確認したい場合、構成証明の対象を図12(c)のように設定すればよい。
これに対し、通信ソフトウェアのみが正当であることを確認できればよい場合、構成証明の対象を図12(b)のように設定することができる。また、通信ソフトウェアに加えて、システムライブラリ、およびカーネルの正当性まで確認したい場合、構成証明の対象を図12(c)のように設定すればよい。
また、ソフトウェアの改ざんを検出するソフトウェアを利用してもよい。記憶されたソフトウェアの変更を監視するソフトウェアを、オブザーバと称する。
図12(d)に示したオブザーバとは、ユーザアプリケーションの変更を検出するアプリケーションである。オブザーバは、実行を許可するアプリケーションのリストを保持し、アプリケーションが変更もしくは改ざんされた場合、即時検出することができる。アプリケーションの実行ファイルが変更されたことを検知する技術は公知であり、例えばホワイトリスト方式のアンチウイルスソフトに用いられている。そして、構成証明の対象を、オブザーバ、システムライブラリ、およびカーネルとすることで、保守装置20に記憶されている全てのソフトウェアについて変更を検知することができる。すなわち、図12(a)の範囲に対して構成証明を実施するのと同じ効果が得られる。もちろん、構成証明の対象をオブザーバのみとしてもよい。
図12(d)に示したオブザーバとは、ユーザアプリケーションの変更を検出するアプリケーションである。オブザーバは、実行を許可するアプリケーションのリストを保持し、アプリケーションが変更もしくは改ざんされた場合、即時検出することができる。アプリケーションの実行ファイルが変更されたことを検知する技術は公知であり、例えばホワイトリスト方式のアンチウイルスソフトに用いられている。そして、構成証明の対象を、オブザーバ、システムライブラリ、およびカーネルとすることで、保守装置20に記憶されている全てのソフトウェアについて変更を検知することができる。すなわち、図12(a)の範囲に対して構成証明を実施するのと同じ効果が得られる。もちろん、構成証明の対象をオブザーバのみとしてもよい。
第一および第二の実施形態では、構成証明データの生成に時間がかかるという欠点があったが、第三の実施形態によると、短時間で構成証明データの生成を完了させることができる。
(変形例)
上記の実施形態はあくまでも一例であって、本発明はその要旨を逸脱しない範囲内で適宜変更して実施しうる。
例えば、各実施形態では、TPMを用いて構成証明を実施しているが、第一の秘密鍵を記憶し、ソフトウェアのハッシュ値を生成することができれば、必ずしもTPMを用いる必要は無い。例えば、任意のセキュアデバイスを用いてもよい。この他にも、ソフトウェアの正当性は、ハッシュ値以外によって確認してもよい。
上記の実施形態はあくまでも一例であって、本発明はその要旨を逸脱しない範囲内で適宜変更して実施しうる。
例えば、各実施形態では、TPMを用いて構成証明を実施しているが、第一の秘密鍵を記憶し、ソフトウェアのハッシュ値を生成することができれば、必ずしもTPMを用いる必要は無い。例えば、任意のセキュアデバイスを用いてもよい。この他にも、ソフトウェアの正当性は、ハッシュ値以外によって確認してもよい。
また、各実施形態では、管理サーバが保守装置公開鍵を、車両がセンタ公開鍵を保持し、電子署名による認証を行っているが、通信相手が正当であることを確認することができれば、他の方法を用いてもよい。例えば公開鍵証明書などを用い、その都度公開鍵を伝送してもよい。
また、第二の実施形態では、オフラインで更新パッケージを取得する例を挙げたが、更新パッケージの伝送はオンラインで行ってもよい。
また、各実施形態では、更新パッケージに保守装置公開鍵を含め、当該公開鍵を用いて
セッション鍵を伝送したが、保守装置公開鍵は必ずしも更新パッケージに含めなくても
よく、また、セッション鍵の利用も必須ではない。
また、ステップS34〜S35の処理を省略し、車両10が認証を完了した段階で、単独でソフトウェアの更新を行うようにしてもよい。
また、各実施形態では、更新パッケージに保守装置公開鍵を含め、当該公開鍵を用いて
セッション鍵を伝送したが、保守装置公開鍵は必ずしも更新パッケージに含めなくても
よく、また、セッション鍵の利用も必須ではない。
また、ステップS34〜S35の処理を省略し、車両10が認証を完了した段階で、単独でソフトウェアの更新を行うようにしてもよい。
10 車両
11,21,22,31 通信部
12 センタ公開鍵記憶部
13 パッケージ検証部
14 コマンド実行部
20 保守装置
23 制御部
200 TPMモジュール
201 TPM制御部
202 構成証明生成部
30 管理サーバ
32 保守装置公開鍵記憶部
33 構成証明検証部
34 パッケージ生成部
35 センタ秘密鍵記憶部
11,21,22,31 通信部
12 センタ公開鍵記憶部
13 パッケージ検証部
14 コマンド実行部
20 保守装置
23 制御部
200 TPMモジュール
201 TPM制御部
202 構成証明生成部
30 管理サーバ
32 保守装置公開鍵記憶部
33 構成証明検証部
34 パッケージ生成部
35 センタ秘密鍵記憶部
Claims (10)
- 接続されたコンピュータのソフトウェア更新を制御する第一のコンピュータと、ソフトウェアを更新する対象である第二のコンピュータと、前記第二のコンピュータに適用される更新ソフトウェアを提供する管理サーバと、を含み、前記第二のコンピュータが、前記更新ソフトウェアの正当性を認証する認証システムであって、
前記管理サーバが、
前記第一のコンピュータから送信された構成証明データに基づいて、前記第一のコンピュータのエンティティ認証を行い、前記第一のコンピュータが正当なものである場合に、前記第二のコンピュータに対応する更新ソフトウェアを含む第一のデータと、前記更新ソフトウェアに対応するダイジェストを含むデータに自己の電子署名を付加したデータである第二のデータと、を前記第一のコンピュータに送信する提供手段と、を有し、
前記第一のコンピュータが、
自己の正当性を示すデータである構成証明データを取得し、前記管理サーバに送信する自己証明手段と、
前記管理サーバから前記第一および第二のデータを取得し、前記第二のコンピュータに転送する転送手段と、
前記第二のコンピュータが、
前記管理サーバに対応する公開鍵を用いて、前記第二のデータに含まれる電子署名を検証し、また、前記第二のデータに含まれるダイジェストを用いて、前記更新ソフトウェアを検証し、前記二種類の検証によって正当性が全て確認できた場合にソフトウェア更新を行う更新手段と、を有する、
認証システム。 - 前記第一のコンピュータが有する自己証明手段は、自装置のプラットフォーム構成に対応するダイジェストを生成し、自己の電子署名を加えたデータを、構成証明データとして前記管理サーバに送信し、
前記管理サーバは、前記電子署名およびダイジェストを検証することで、前記第一のコンピュータのエンティティ認証を行う、
請求項1に記載の認証システム。 - 前記第一のコンピュータが有する自己証明手段は、耐タンパ性デバイスによって実現される、
請求項2に記載の認証システム。 - 前記第一のコンピュータは、前記第二のコンピュータに対してソフトウェアの更新を指示する更新制御手段をさらに有し、
前記第二のデータは、前記ダイジェストと、前記第一のコンピュータに対応する公開鍵である第一の公開鍵と、に、前記管理サーバの電子署名を付加したデータであり、
前記更新手段は、前記二種類の検証が共に成功した場合に、前記第二のデータに含まれる第一の公開鍵を用いて、前記第一のコンピュータとの秘匿通信に用いるセッション鍵を暗号化して前記第一のコンピュータに送信し、
前記更新制御手段は、暗号化されたセッション鍵を自己の秘密鍵で復号することで、秘匿通信に用いるセッション鍵を取得し、前記第二のコンピュータとの秘匿通信を行う、
請求項1から3のいずれかに記載の認証システム。 - 前記セッション鍵は擬似乱数である、
請求項4に記載の認証システム。 - 接続されたコンピュータのソフトウェア更新を制御する第一のコンピュータと、ソフト
ウェアを更新する対象である第二のコンピュータと、を含み、前記第二のコンピュータが、前記第一のコンピュータおよび更新ソフトウェアを認証する認証システムであって、
前記第一のコンピュータが、
前記第二のコンピュータに対応する更新ソフトウェアを含む第一のデータと、前記更新ソフトウェアに対応する第一のダイジェストと、前記第一のコンピュータのプラットフォームに対応する第二のダイジェストと、を含むデータに、更新ソフトウェアの提供元の電子署名である第一の電子署名を付加したデータである第二のデータと、を取得し、前記第二のコンピュータに転送する転送手段と、
自己の正当性を示すデータである構成証明データを取得し、前記第二のコンピュータに送信する自己証明手段と、
前記第二のコンピュータが、
前記更新ソフトウェアの提供元に対応する公開鍵を用いて、前記第二のデータに含まれる第一の電子署名を検証し、また、前記第二のデータに含まれる第一のダイジェストを用いて、前記更新ソフトウェアを検証し、また、前記第二のデータに含まれる第二のダイジェストを用いて前記構成証明データを検証し、前記三種類の検証によって正当性が全て確認できた場合にソフトウェア更新を行う更新手段を有する、
認証システム。 - 前記第二のデータは、前記第一のダイジェストと、前記第二のダイジェストと、に、ソフトウェアの提供元の電子署名を付加したデータであり、
前記第一のコンピュータが有する自己証明手段は、自装置のプラットフォーム構成に対応する第三のダイジェストを生成し、自己の電子署名である第二の電子署名を加えたデータを、構成証明データとして前記第二のコンピュータに送信し、
前記更新手段は、前記第二の電子署名の検証と、前記第二のダイジェストおよび第三のダイジェストの同一性の確認と、を行うことで前記第一のコンピュータのエンティティ認証を行う、
請求項6に記載の認証システム。 - 前記第一のコンピュータが有する自己証明手段は、耐タンパ性デバイスによって実現される、
請求項7に記載の認証システム。 - 前記第一のコンピュータは、前記第二のコンピュータに対してソフトウェアの更新を指示する更新制御手段をさらに有し、
前記第二のデータは、前記第一および第二のダイジェストと、前記第一のコンピュータに対応する公開鍵である第一の公開鍵と、に、前記更新ソフトウェアの提供元の電子署名を付加したデータであり、
前記更新手段は、前記三種類の検証が全て成功した場合に、前記第二のデータに含まれる第一の公開鍵を用いて、前記第一のコンピュータとの秘匿通信に用いるセッション鍵を暗号化して前記第一のコンピュータに送信し、
前記更新制御手段は、暗号化されたセッション鍵を自己の秘密鍵で復号することで、秘匿通信に用いるセッション鍵を取得し、前記第二のコンピュータとの秘匿通信を行う、
請求項6から8のいずれかに記載の認証システム。 - 前記セッション鍵は擬似乱数である、
請求項9に記載の認証システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015124991A JP6387908B2 (ja) | 2015-06-22 | 2015-06-22 | 認証システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015124991A JP6387908B2 (ja) | 2015-06-22 | 2015-06-22 | 認証システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017011491A true JP2017011491A (ja) | 2017-01-12 |
| JP6387908B2 JP6387908B2 (ja) | 2018-09-12 |
Family
ID=57764314
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015124991A Active JP6387908B2 (ja) | 2015-06-22 | 2015-06-22 | 認証システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6387908B2 (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018156505A (ja) * | 2017-03-21 | 2018-10-04 | 株式会社リコー | 情報処理システム、情報処理方法及び情報処理装置 |
| JP2020502619A (ja) * | 2018-11-27 | 2020-01-23 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | スマートコントラクトを使用したマルチパーティトランザクションの実行 |
| JP2020155026A (ja) * | 2019-03-22 | 2020-09-24 | 住友電装株式会社 | 車載更新装置、更新処理システム、更新処理方法及び処理プログラム |
| WO2022162797A1 (ja) * | 2021-01-27 | 2022-08-04 | 日本電信電話株式会社 | 情報処理装置、プログラム実行システム、情報処理方法、及びプログラム |
| JP2023509033A (ja) * | 2019-12-30 | 2023-03-06 | ホアウェイ クラウド コンピューティング テクノロジーズ カンパニー リミテッド | ソフトウェアのアップグレード方法および装置 |
| DE102023109180A1 (de) | 2022-04-21 | 2023-10-26 | Denso Corporation | Elektronische steuerungsvorrichtung |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001265582A (ja) * | 2000-03-16 | 2001-09-28 | Honda Motor Co Ltd | 車両制御装置のためのメモリ書き換えシステム |
| JP2009081564A (ja) * | 2007-09-25 | 2009-04-16 | Kyocera Corp | 署名検証方法および受信装置 |
| JP2013017140A (ja) * | 2011-07-06 | 2013-01-24 | Hitachi Automotive Systems Ltd | 車載ネットワークシステム |
| JP2013503513A (ja) * | 2009-08-28 | 2013-01-31 | 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司 | オンライン第三者を導入するエンティティ認証方法 |
-
2015
- 2015-06-22 JP JP2015124991A patent/JP6387908B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001265582A (ja) * | 2000-03-16 | 2001-09-28 | Honda Motor Co Ltd | 車両制御装置のためのメモリ書き換えシステム |
| JP2009081564A (ja) * | 2007-09-25 | 2009-04-16 | Kyocera Corp | 署名検証方法および受信装置 |
| JP2013503513A (ja) * | 2009-08-28 | 2013-01-31 | 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司 | オンライン第三者を導入するエンティティ認証方法 |
| JP2013017140A (ja) * | 2011-07-06 | 2013-01-24 | Hitachi Automotive Systems Ltd | 車載ネットワークシステム |
Non-Patent Citations (2)
| Title |
|---|
| 伊藤 益夫: "車載装置向けソフトウェア更新に関するオブジェクトリンク方式", 情報処理学会研究報告, vol. Vol.2012-SE-175 No.23, JPN6018026657, 15 April 2012 (2012-04-15), JP, pages 1 - 8, ISSN: 0003836985 * |
| 竹森 敬祐 ほか: "セキュアブート+認証による車載制御システムの保護", 電子情報通信学会技術研究報告, vol. 114, no. 225, JPN6016000807, 12 September 2014 (2014-09-12), JP, pages 47 - 54, ISSN: 0003836986 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018156505A (ja) * | 2017-03-21 | 2018-10-04 | 株式会社リコー | 情報処理システム、情報処理方法及び情報処理装置 |
| JP2020502619A (ja) * | 2018-11-27 | 2020-01-23 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | スマートコントラクトを使用したマルチパーティトランザクションの実行 |
| JP2020155026A (ja) * | 2019-03-22 | 2020-09-24 | 住友電装株式会社 | 車載更新装置、更新処理システム、更新処理方法及び処理プログラム |
| WO2020195034A1 (ja) * | 2019-03-22 | 2020-10-01 | 住友電装株式会社 | 車載更新装置、更新処理システム、更新処理方法及び処理プログラム |
| JP7211189B2 (ja) | 2019-03-22 | 2023-01-24 | 住友電装株式会社 | 更新処理システム及び更新処理方法 |
| JP2023509033A (ja) * | 2019-12-30 | 2023-03-06 | ホアウェイ クラウド コンピューティング テクノロジーズ カンパニー リミテッド | ソフトウェアのアップグレード方法および装置 |
| JP7357796B2 (ja) | 2019-12-30 | 2023-10-06 | ホアウェイ クラウド コンピューティング テクノロジーズ カンパニー リミテッド | ソフトウェアのアップグレード方法および装置 |
| WO2022162797A1 (ja) * | 2021-01-27 | 2022-08-04 | 日本電信電話株式会社 | 情報処理装置、プログラム実行システム、情報処理方法、及びプログラム |
| DE102023109180A1 (de) | 2022-04-21 | 2023-10-26 | Denso Corporation | Elektronische steuerungsvorrichtung |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6387908B2 (ja) | 2018-09-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11074371B2 (en) | Systems, methods and apparatuses for secure storage of data using a security-enhancing chip | |
| US11876791B2 (en) | Message authentication with secure code verification | |
| US9281949B2 (en) | Device using secure processing zone to establish trust for digital rights management | |
| US9830456B2 (en) | Trust transference from a trusted processor to an untrusted processor | |
| US10474823B2 (en) | Controlled secure code authentication | |
| EP2659373B1 (en) | System and method for secure software update | |
| JP5703391B2 (ja) | 耐タンパー性ブート処理のためのシステム及び方法 | |
| KR101795457B1 (ko) | 보안 기능이 강화된 디바이스의 초기화 방법 및 디바이스의 펌웨어 업데이트 방법 | |
| JP6387908B2 (ja) | 認証システム | |
| JP6371919B2 (ja) | セキュアなソフトウェアの認証と検証 | |
| JP5861597B2 (ja) | 認証システムおよび認証方法 | |
| US10091183B2 (en) | Method and decision gateway for authorizing a function of an embedded control unit | |
| US8756414B2 (en) | Information processing apparatus, software verification method, and software verification program | |
| JP2004265026A (ja) | アプリケーション認証システムと装置 | |
| JP5937109B2 (ja) | 車両の防犯のための方法及び機関制御システム | |
| US20100250949A1 (en) | Generation, requesting, and/or reception, at least in part, of token | |
| CN110795126A (zh) | 一种固件安全升级系统 | |
| CN103269271A (zh) | 一种备份电子签名令牌中私钥的方法和系统 | |
| CN112882750A (zh) | Ota升级包的处理方法、装置和电子设备 | |
| NL2022902B1 (en) | Integrated circuit device for loT applications | |
| Plappert et al. | Evaluating the applicability of hardware trust anchors for automotive applications | |
| JP2007535250A (ja) | 車両外部の装置の認証 | |
| JP4321303B2 (ja) | プログラム配信システムおよび車載ゲートウェイ装置 | |
| JP7559841B2 (ja) | 情報処理装置、プログラム実行システム、情報処理方法、及びプログラム | |
| JP2015015542A (ja) | 情報処理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20171116 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180620 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180717 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180730 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6387908 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |