JP7615605B2 - Secure component, vehicle part, vehicle, computer program, management system and information processing method - Google Patents
Secure component, vehicle part, vehicle, computer program, management system and information processing method Download PDFInfo
- Publication number
- JP7615605B2 JP7615605B2 JP2020176817A JP2020176817A JP7615605B2 JP 7615605 B2 JP7615605 B2 JP 7615605B2 JP 2020176817 A JP2020176817 A JP 2020176817A JP 2020176817 A JP2020176817 A JP 2020176817A JP 7615605 B2 JP7615605 B2 JP 7615605B2
- Authority
- JP
- Japan
- Prior art keywords
- mutual authentication
- vehicle
- component
- secure
- secure component
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Lock And Its Accessories (AREA)
Description
本発明は、セキュアコンポーネント、車両部品、車両、コンピュータプログラム、管理システム及び情報処理方法に関する。 The present invention relates to a secure component, a vehicle part, a vehicle, a computer program, a management system , and an information processing method.
自転車等の車両の盗難に対する技術的な対抗策の立案は多い。特許文献1には、防犯登録情報をオンラインで保存しておく一方、自転車に貼る防犯登録ステッカーにバーコードを印字しておき、当該バーコードを携帯端末で読み取ることにより、防犯登録情報を検索することができる検索装置が開示されている。
Many technical countermeasures have been proposed to prevent theft of vehicles such as bicycles.
また、特許文献2には、自転車の鍵を電子錠とし、携帯端末を用いて近距離無線通信で電子錠を解除することができる自転車シェアリングシステムが開示されている。
一方でスポーツ自転車の流行に伴って、高級自転車が普及しつつある。高級自転車は、自動車やバイク等と同様に、部品単位で取引されることが多いため、これらの車両部品についても盗難に遭う可能性が高い。しかし、特許文献1、2の装置やシステムでは、自転車の盗難については考慮されているが、車両部品に対する保護は有効には機能しない。
On the other hand, with the popularity of sports bicycles, luxury bicycles are becoming more common. Like automobiles and motorcycles, luxury bicycles are often traded in parts, so there is a high possibility that these vehicle parts will also be stolen. However, while the devices and systems in
本発明は、斯かる事情に鑑みてなされたものであり、車両部品を有効に保護することができるセキュアコンポーネント、車両部品、車両、コンピュータプログラム、管理システム及び情報処理方法を提供することを目的とする。 The present invention has been made in consideration of the above circumstances, and aims to provide a secure component, a vehicle component, a vehicle, a computer program, a management system, and an information processing method that can effectively protect vehicle components.
本発明の実施の形態に係るセキュアコンポーネントは、車両に用いられる車両部品に搭載されるセキュアコンポーネントであって、前記車両に用いられる他の車両部品に搭載される他のセキュアコンポーネントとの間で情報の送受信を行う通信部と、前記通信部を介して前記他のセキュアコンポーネントと相互認証を行う認証部と、相互認証対象と前記認証部による相互認証結果を対応付けた相互認証情報を記憶する第1記憶部とを備える。 A secure component according to an embodiment of the present invention is a secure component mounted on a vehicle component used in a vehicle, and includes a communication unit that transmits and receives information to and from other secure components mounted on other vehicle components used in the vehicle, an authentication unit that performs mutual authentication with the other secure components via the communication unit, and a first storage unit that stores mutual authentication information that associates mutual authentication targets with mutual authentication results obtained by the authentication unit.
本発明の実施の形態に係る車両部品は、前述のセキュアコンポーネントを備える。 The vehicle component according to the embodiment of the present invention is equipped with the above-mentioned secure component.
本発明の実施の形態に係る車両部品は、車両に用いられる第1の車両部品に搭載される第1のセキュアコンポーネント、及び前記車両に用いられる第2の車両部品に搭載される第2のセキュアコンポーネントそれぞれとの間で情報の送受信を行う通信部と、前記通信部を介して前記第1のセキュアコンポーネントと前記第2のセキュアコンポーネントとの間の相互認証を仲介する認証仲介部とを備える。 A vehicle component according to an embodiment of the present invention includes a communication unit that transmits and receives information between a first secure component mounted on a first vehicle component used in a vehicle and a second secure component mounted on a second vehicle component used in the vehicle, and an authentication intermediary unit that mediates mutual authentication between the first secure component and the second secure component via the communication unit.
本発明の実施の形態に係る車両は、前述の車両部品を複数備える。 A vehicle according to an embodiment of the present invention includes a plurality of the vehicle components described above.
本発明の実施の形態に係るコンピュータプログラムは、コンピュータに、車両に用いられる車両部品に搭載されるセキュアコンポーネントとの間で情報の送受信を行い、前記セキュアコンポーネントと相互認証を行い、相互認証対象と相互認証結果を対応付けた相互認証情報を記憶する、処理を実行させる。 A computer program according to an embodiment of the present invention causes a computer to execute a process of transmitting and receiving information to and from a secure component mounted on a vehicle component used in a vehicle, performing mutual authentication with the secure component, and storing mutual authentication information that associates mutual authentication targets with mutual authentication results.
本発明の実施の形態に係る情報処理方法は、車両に用いられる複数の車両部品それぞれに搭載されるセキュアコンポーネントの間で相互認証を行い、各セキュアコンポーネントは、相互認証対象と相互認証結果を対応付けた相互認証情報を記憶する。 An information processing method according to an embodiment of the present invention performs mutual authentication between secure components mounted on each of a plurality of vehicle components used in a vehicle, and each secure component stores mutual authentication information that associates mutual authentication targets with mutual authentication results.
本発明の実施の形態に係る管理システムは、前述の車両と、前記車両が備える複数の車両部品それぞれに搭載されたセキュアコンポーネントとの間で秘匿通信路を開設可能なサーバとを備え、前記サーバは、前記秘匿通信路を介して、相互認証に基づいて前記複数の両部品及び前記車両の少なくとも一方を管理する。 The management system according to an embodiment of the present invention includes a server capable of establishing a secret communication path between the vehicle and a secure component mounted on each of a plurality of vehicle components of the vehicle, and the server manages at least one of the plurality of components and the vehicle based on mutual authentication via the secret communication path.
本発明の実施の形態に係る管理方法は、前述の車両が備える複数の車両部品それぞれに搭載されたセキュアコンポーネントとの間で秘匿通信路を開設可能なサーバは、前記秘匿通信路を介して、相互認証に基づいて前記複数の両部品及び前記車両の少なくとも一方を管理する。 In a management method according to an embodiment of the present invention, a server capable of establishing a secret communication path between the server and a secure component mounted on each of a plurality of vehicle components of the vehicle manages at least one of the plurality of vehicle components and the vehicle based on mutual authentication via the secret communication path.
本発明によれば、車両部品が予め定められた適切な組み合わせで接続されているかを検証するので、盗品等の混入を防止することができ、車両部品を有効に保護することができる。 The present invention verifies whether vehicle parts are connected in a predetermined appropriate combination, which prevents the intrusion of stolen goods and effectively protects vehicle parts.
以下、本発明をその実施の形態を示す図面に基づいて説明する。図1は本実施の形態の情報処理システムの構成の一例を示す模式図である。情報処理システムは、車両としての自転車100、自転車管理サーバ200、及び自転車部品DB250を備える。以下では、車両として自転車を例に挙げて説明するが、車両は自転車に限定されるものではなく、自動二輪車(バイク)、自動車なども含む。自転車100と自転車管理サーバ200は、無線ネットワーク又は有線ネットワーク経由で通信を行うことができる。自転車管理サーバ200は、複数のサーバで分散してもよく、また、自転車部品DB250を自転車管理サーバ200内に格納してもよい。
The present invention will now be described with reference to the drawings showing an embodiment of the invention. FIG. 1 is a schematic diagram showing an example of the configuration of an information processing system according to this embodiment. The information processing system comprises a
自転車100は、セキュアエレメントを埋め込んだ複数の部品(車両部品)を備える。以下では、セキュアコンポーネントの例としてセキュアエレメントを挙げて説明するが、セキュアコンポーネントは、セキュアエレメントに限定されるものではなく、SoC(System on Chip)上で、例えば、CPU仮想化支援技術(例えば、TrustZone(登録商標))と称される技術を用いることによって、SoC内で区分されたトラステッド実行環境(TEEとも称する)でもよく、あるいはICタグでもよい。
The
一般的な(安価な)自転車の場合、自転車は全て力学的な機構で動作している(ワイヤーでギアチェンジを伝達する等)が、レース用途などの高価な自転車の場合、一部の機能が電動化されている場合もある(電動コンポ)。本実施の形態では、主として、この電動コンポを具備する構成を前提に説明するが、電動コンポ以外の部品(フレームやホイール等)についてもセキュアエレメントを埋め込んであり、電動コンポ部品(電動部品とも称する)と通信可能な信号線が接続されている。なお、電動コンポ以外の部品のセキュアエレメントへの給電は電動部品から行われる。なお、便宜上、実際に自転車を構成する部品の一部を省略しているが、図に示す部品と同一のメカニズムで動作する。 In the case of a typical (low-cost) bicycle, all of the bicycle's functions are mechanical (such as gear changes being transmitted by wires), but in the case of expensive bicycles for racing and the like, some functions may be motorized (electric components). In this embodiment, the explanation will be mainly based on a configuration equipped with this electric component, but secure elements are also embedded in parts other than the electric component (such as the frame and wheels), and signal lines capable of communicating with the electric component parts (also called electric components) are connected. Note that power is supplied to the secure elements of parts other than the electric component from the electric components. Note that for convenience, some of the parts that actually make up the bicycle have been omitted, but they operate using the same mechanism as the parts shown in the figure.
自転車100は、シフター10、ディレイラー20、バッテリー30、前ホイールに埋め込まれたセキュアエレメント40、後ホイールに埋め込まれたセキュアエレメント50、及びフレームに埋め込まれたセキュアエレメント60を備える。
The
シフター10は、変速指示装置であり、自転車100のギアチェンジをハンドル部分から指示するための装置である。シフター10は、セキュアエレメント11、制御部12、相互認証仲介部13、ネットワーク通信部14、シフター操作部15、及び入力I/Fを備える。セキュアエレメント11は、相互認証部16、部品証明書17、秘匿通信部18、及び相互認証リスト19を備える。
The
本実施例では、シフター10に自転車通信におけるコア機能を組み込んでいる。コア機能は、ネットワーク通信部14、相互認証部16、及び入力I/Fで構成される。ネットワーク通信部14は、自転車100が外部ネットワークと通信するための機能を備える。相互認証部16は、非電動部品間で相互認証を行う際に認証を仲介する機能を備える。入力I/Fは、ユーザが相互認証の開始やネットワーク通信を指示するための機能を備える。非電動部品の相互認証や外部ネットワークとの通信を行う際は、これらのコア機能が通信を仲介する。なお、本実施例では、シフター10がコア機能を備えているが、サイクルコンピュータ、スマートフォン等の他の機器がコア機能を備えてもよい。
In this embodiment, the core functions for bicycle communication are incorporated into the
図2はディレイラー20、バッテリー30、前ホイールに埋め込まれたセキュアエレメント40、後ホイールに埋め込まれたセキュアエレメント50、及びフレームに埋め込まれたセキュアエレメント60の構成の一例を示す模式図である。ディレイラー20は、外装変速機であり、シフター10からの指示に応じて実際にギアをチェンジする機構である。ディレイラー20は、セキュアエレメント21、ディレイラー制御部22、ディレイラー駆動部23、相互認証部24、部品証明書25、相互認証リスト26、及び秘匿通信部27を備える。
Figure 2 is a schematic diagram showing an example of the configuration of a
バッテリー30は、電動部品に給電するための電池である。バッテリー30は、セキュアエレメント31、バッテリー制御部32、バッテリー33、相互認証部34、部品証明書35、秘匿通信部36、及び相互認証リスト37を備える。
The
前ホイールは、自転車の前方の車輪である。前ホイールに埋め込まれたセキュアエレメント40は、相互認証部41、部品証明書42、相互認証リスト43、及び秘匿通信部44を備える。
The front wheel is the wheel at the front of the bicycle. The
後ホイールは、自転車の後方の車輪である。後ホイールに埋め込まれたセキュアエレメント50は、相互認証部51、部品証明書52、相互認証リスト53、及び秘匿通信部54を備える。
The rear wheel is the wheel at the rear of the bicycle. The
フレームは、自転車の車体部であり、各部品を組み込んで完成車化するための基本部品である。フレームに埋め込まれたセキュアエレメント60は、相互認証部61、部品証明書62、相互認証リスト63、及び秘匿通信部64を備える。
The frame is the body of the bicycle and is the basic component into which each component is assembled to create a complete bicycle. The
次に、各部品に組み込まれているセキュアエレメントについて、シフター10に組み込まれたセキュアエレメント11を例に挙げて説明する。なお、他のセキュアエレメントも同様であるので、他のセキュアエレメントの説明は省略する。
Next, the secure elements built into each component will be explained using the
相互認証部16は、他の部品に組み込まれているセキュアエレメントと相互認証するための機能を備える。部品証明書17は、セキュアエレメントが組み込まれている部品の製造情報(ID等)と、部品個別の公開鍵、公開鍵署名を格納したデータセットである。秘匿通信部18は、自転車管理サーバ200とセキュアエレメント11が秘匿通信を行うための機能を備える。相互認証リスト19は、相互認証情報を表し、相互認証を行うべき部品と、当該部品に対して相互認証が完了しているか否かを示すフラグ(相互認証フラグ)のリストである。相互認証情報は、相互認証対象と相互認証結果を対応付けた情報である。
The
セキュアエレメント11が使用する鍵は、公開鍵(「部品公開鍵」とも称する)、秘密鍵(「部品秘密鍵」とも称する)、秘匿通信鍵、CA公開鍵である。公開鍵は、相互認証時に署名を検証するための鍵である。公開鍵は、他の部品のセキュアエレメントに配布することで、自身の生成署名を検証させるために用いる。秘密鍵は、相互認証時に署名を生成するための鍵である。秘匿通信鍵は、自転車管理サーバ200とセキュアエレメントが秘匿通信を行うための鍵である。CA公開鍵は、公開鍵に署名したCA(Certificate Authority)が公開している鍵であり、公開鍵証明書を用いて配布された公開鍵を検証するための鍵である。本実施例の公開鍵証明書は、部品公開鍵、及び部品情報に対してCAが持つCA秘密鍵により署名を行ったデータを含む。これにより、製造元を詐称した不正な部品が偽の公開鍵や部品情報を使用したとしても、CA秘密鍵の秘密性により当該データが不正であることを検知することができる。
The keys used by the
図3は公開鍵のTrustChainの作成手順の一例を示す模式図である。以下、図中の各処理を#1~#9として説明する。 Figure 3 is a schematic diagram showing an example of the procedure for creating a public key TrustChain. Each process in the diagram will be explained below as #1 to #9.
#1(部品情報の生成):部品工場は、セキュアエレメントを埋め込む対象となる部品名、ID等の情報を1件分の部品情報として生成する。 #1 (Generating part information): The parts factory generates information on the part name, ID, etc., into which the secure element will be embedded, as one piece of part information.
#2(部品情報の提供):部品工場は、生成した部品情報をセキュアエレメント工場へ提供する。 #2 (Provision of component information): The component factory provides the generated component information to the secure element factory.
#3(部品用鍵ペアの生成):セキュアエレメント工場は、新たに鍵ペアを生成し、受領した部品情報に対応する鍵ペアとする。 #3 (Generate a key pair for components): The secure element factory generates a new key pair and assigns it to the component information received.
#4(CSRの生成):セキュアエレメント工場は、生成した部品公開鍵、部品情報をまとめ、CSR(Certificate Signing Request)としてCAに送る。 #4 (CSR generation): The secure element factory compiles the generated component public key and component information and sends it to the CA as a CSR (Certificate Signing Request).
#5(CA秘密鍵による署名生成):CAは、自身が保持する秘密鍵を用いて、部品公開鍵、部品情報全体に対する署名を生成する。 #5 (Signature generation using CA private key): The CA uses its own private key to generate a signature for the component public key and the entire component information.
#6(署名の返送):CAは、生成した署名をセキュアエレメント工場へ返送する。 #6 (Return of signature): The CA returns the generated signature to the secure element factory.
#7(部品証明書の生成):セキュアエレメント工場は、部品情報、公開鍵(部品公開鍵)、公開鍵署名を組み合わせて部品証明書を生成する。 #7 (Generate component certificate): The secure element factory generates a component certificate by combining the component information, public key (component public key), and public key signature.
#8(セキュアエレメントへの書き込み):セキュアエレメント工場は、部品証明書、CAから取得したCA公開鍵、及び部品に対応した部品秘密鍵をセキュアエレメントに書き込む。 #8 (Write to secure element): The secure element factory writes the part certificate, the CA public key obtained from the CA, and the part private key corresponding to the part to the secure element.
#9(セキュアエレメントの提供):セキュアエレメント工場は、書き込みが完了したセキュアエレメントを部品工場に提供する。部品工場は、当該セキュアエレメントを部品に組み込む(埋め込む)。 #9 (Providing a secure element): The secure element factory provides the secure element after programming has been completed to the parts factory. The parts factory incorporates (embeds) the secure element into the parts.
なお、TrustChainの作成手順は、必ずしも図3に例示する順序で実施する必要はない。公開鍵、署名、ID等の詐称が困難となるように種々の手順を使用することができる。 The TrustChain creation procedure does not necessarily have to be carried out in the order illustrated in Figure 3. Various procedures can be used to make it difficult to forge public keys, signatures, IDs, etc.
自転車管理サーバ200は、部品DBアクセス部210、ネットワーク通信部220、及び秘匿通信部230を備える。ネットワーク通信部220は、自転車100とネットワーク通信を行うための機能を備える。部品DBアクセス部210は、自転車部品DB250にアクセスし、鍵の読み出し、更新等を行う機能を備える。秘匿通信部230は、秘匿通信鍵を用いて、自転車100の各部品に組み込まれたセキュアエレメントと秘匿通信路を開設するための機能を備える。
The
自転車部品DB250は、自転車のフレーム毎に部品のIDで完成車の構成をレコード表現する自転車テーブル251、各IDに紐づく部品の公開鍵、秘密鍵、秘匿通信鍵を格納している。自転車部品DB250の構成は、図1の例に限定されるものではない。例えば、部品の公開鍵を、部品メーカごと等、分散保持してもよい。
The
次に、本実施の形態の情報処理システムの処理について説明する。 Next, we will explain the processing of the information processing system in this embodiment.
本実施例では、各部品を組み付けた後、ユーザの指示により部品間で相互認証処理が実行され、実行結果が各セキュアエレメントの相互認証リストに記録されるように構成することができる。相互認証時の部品の組み合わせについては、(1)電動部品-電動部品、(2)電動部品-非電動部品、(3)非電動部品-非電動部品、の3通りのパターンが存在する。電動部品-電動部品の組み合わせは、一方の電動部品から他方の電動部品にコマンドを送信して相互認証する。電動部品-非電動部品の組み合わせは、電動部品から非電動部品にコマンドを送信して相互認証する。非電動部品-非電動部品の組み合わせは、相互認証仲介部13から、双方の非電動部品にコマンドを送信して相互認証する。以下、各パターンの相互認証処理について説明する。
In this embodiment, after each component is assembled, mutual authentication processing is executed between the components at the user's command, and the execution result can be configured to be recorded in the mutual authentication list of each secure element. There are three patterns for combinations of components during mutual authentication: (1) electric component-electric component, (2) electric component-non-electric component, and (3) non-electric component-non-electric component. For electric component-electric component combinations, mutual authentication is performed by sending a command from one electric component to the other electric component. For electric component-non-electric component combinations, mutual authentication is performed by sending a command from the electric component to the non-electric component. For non-electric component-non-electric component combinations, mutual authentication is performed by sending a command from the mutual authentication
図4は電動部品間のコマンド授受フローの一例を示す模式図である。以下、図中の各処理を#1~#11として説明する。 Figure 4 is a schematic diagram showing an example of the command exchange flow between electric components. Each process in the diagram will be explained below as #1 to #11.
#1(ユーザの相互認証指示):ユーザは、シフター10に対して相互認証指示を入力する。ユーザの指示はシフター10の制御部12に伝達される。
#1 (User's mutual authentication instruction): The user inputs a mutual authentication instruction to the
#2(シフター10側のセキュアエレメント11への相互認証開始指示):制御部12は、ユーザの入力をトリガとして、自身のセキュアエレメント11に対して相互認証コマンドの生成を指示する。
#2 (Instruction to start mutual authentication to the
#3(コマンドの生成):セキュアエレメント11は、制御部12の生成指示を受けて、相互認証を行うコマンドを生成する。このとき、相互認証を必要とする部品を相互認証リスト19から検索し、認証が完了していない部品に対してコマンドを生成する。図4の例では、バッテリー30以外の部品に対する認証は完了(符号Oで示す)しているものとし、バッテリー30に対するコマンドを生成するとする。
#3 (Command generation): Upon receiving a command to perform mutual authentication from the
#4(制御部12へのコマンドの送出):セキュアエレメント11は、生成したコマンドを制御部12へ送出する。このとき、コマンドの送信先(ここでは、バッテリー30)も合わせて制御部12へ通知する。
#4 (Sending a command to the control unit 12): The
#5(バッテリー30へのコマンドの送出):制御部12は、セキュアエレメント11が生成したコマンドを、セキュアエレメント11が特定した送信先へ送信する。ここでは、送信先はバッテリー30であるので、制御部12は、コマンドをバッテリー30へ送信する。バッテリー30のバッテリー制御部32は、制御部12から相互認証コマンドを受信する。
#5 (sending a command to the battery 30): The
#6(バッテリー30側のセキュアエレメント31へのコマンドの送出):バッテリー制御部32は、自身のセキュアエレメント31に対して、受信した相互認証コマンドを渡す。
#6 (sending a command to the
#7(コマンド処理+レスポンス生成):バッテリー30のセキュアエレメント31は、受信した相互認証コマンドを処理し、レスポンスを生成する。
#7 (command processing + response generation): The
#8(レスポンスの出力):セキュアエレメント31は、レスポンスをバッテリー制御部32へ渡す。
#8 (output of response): The
#9(シフター10へのレスポンスの返送):バッテリー制御部32は、受信したレスポンスをシフター10へ返送する。
#9 (Returning response to shifter 10): The
#10(シフター10側のセキュアエレメント11へのレスポンスの返送):シフター10の制御部12は、バッテリー制御部32から受信したレスポンスをセキュアエレメント11へ返送する。
#10 (Returning a response to the
#11(レスポンスの処理及び次コマンドの生成):セキュアエレメント11は、制御部12から受信したレスポンスを処理する。必要であれば、後続のコマンドを生成し、相互認証処理が完了するまで、コマンド授受を繰り返すことができる。
#11 (Response processing and generation of next command): The
図5は電動部品-非電動部品間のコマンド授受フローの一例を示す模式図である。電動部品としてディレイラー20を挙げ、非電動部品として後ホイールを挙げて説明する。以下、図中の各処理を#1~#11として説明する。
Figure 5 is a schematic diagram showing an example of a command exchange flow between an electrically powered component and a non-electrical component. The following describes the process using the
#1(ユーザの相互認証指示):ユーザは、シフター10に対して相互認証指示を入力する。ユーザの指示はシフター10の制御部12に伝達される。
#1 (User's mutual authentication instruction): The user inputs a mutual authentication instruction to the
#2(ディレイラー20への相互認証指示):シフター10の制御部12は、ディレイラー20に対して、ディレイラー20自身の相互認証を実施するよう指示する。
#2 (mutual authentication instruction to derailleur 20): The
#3(ディレイラー制御部22の指示受信):ディレイラー制御部22は、シフター10から相互認証を実施する旨の指示を受信する。
#3 (
#4(ディレイラー20側のセキュアエレメント21へのコマンド生成指示):ディレイラー制御部22は、自身のセキュアエレメント21に対して相互認証コマンドの生成を指示する。
#4 (command generation instruction to the
#5(コマンドの生成):セキュアエレメント21は、ディレイラー制御部22の生成指示を受けて、相互認証を行うコマンドを生成する。このとき、相互認証を必要とする部品を相互認証リスト26から検索し、認証が完了していない部品に対してコマンドを生成する。図5の例では、後ホイール以外の部品に対する認証は完了(符号Oで示す)しているものとし、後ホイールに対するコマンドを生成するとする。
#5 (Command generation): Upon receiving a command from the
#6(ディレイラー制御部22へのコマンドの送出):セキュアエレメント21は、生成したコマンドをディレイラー制御部22へ送出する。このとき、コマンドの送信先(ここでは、後ホイール)も合わせてディレイラー制御部22へ通知する。
#6 (Sending a command to the derailleur control unit 22): The
#7(後ホイールのセキュアエレメント50へのコマンドの送出):ディレイラー制御部22は、セキュアエレメント21が生成したコマンドを、セキュアエレメント21が特定した送信先へ送信する。ここでは、送信先は後ホイールであるので、ディレイラー制御部22は、コマンドを後ホイールへ送信する。後ホイールのセキュアエレメント50は、ディレイラー制御部22から相互認証コマンドを受信する。
#7 (sending a command to the
#8(コマンド処理+レスポンス生成):後ホイールのセキュアエレメント50は、受信した相互認証コマンドを処理し、レスポンスを生成する。
#8 (command processing + response generation): The
#9(レスポンスの出力):後ホイールのセキュアエレメント50は、レスポンスをディレイラー制御部22へ渡す。
#9 (Response output): The
#10(ディレイラー20側のセキュアエレメント21へのレスポンスの返送):ディレイラー制御部22は、セキュアエレメント50から受信したレスポンスを自身のセキュアエレメント21へ返送する。
#10 (Returning a response to the
#11(レスポンスの処理及び次コマンドの生成):セキュアエレメント21は、ディレイラー制御部22から受信したレスポンスを処理する。必要であれば、後続のコマンドを生成し、相互認証処理が完了するまで、コマンド授受を繰り返すことができる。
#11 (Response processing and generation of next command): The
上述のように、非電動部品のセキュアエレメントは、電動部品のセキュアエレメントと異なり、部品の制御部を介さずに直接接続されており、電動部品の制御部が、非電動部品のセキュアエレメントに直接コマンドを授受する形になる。 As mentioned above, unlike the secure elements of electrically-operated components, the secure elements of non-electrical components are connected directly without going through the control unit of the component, and the control unit of the electrically-operated component sends and receives commands directly to the secure elements of the non-electrical components.
図6は非電動部品-非電動部品間のコマンド授受フローの一例を示す模式図である。非電動部品間の相互認証においては、非電動部品に内蔵されているセキュアエレメントが能動通信機能を持たないことから、電動部品によるコマンド仲介機能を用いて相互認証を行うことができる。ここでは、シフター10の相互認証仲介部13を介して前ホイールとフレームが相互認証する手順を説明する。以下、図中の各処理を#1~#15として説明する。
Figure 6 is a schematic diagram showing an example of a command exchange flow between non-electric components. In mutual authentication between non-electric components, since the secure element built into the non-electric component does not have an active communication function, mutual authentication can be performed using the command intermediation function of the electric component. Here, the procedure for mutual authentication between the front wheel and the frame via the mutual
#1(ユーザの相互認証指示):ユーザは、シフター10に対して相互認証指示を入力する。ユーザの指示はシフター10の制御部12に伝達される。
#1 (User's mutual authentication instruction): The user inputs a mutual authentication instruction to the
#2(相互認証仲介部13へのコマンド生成指示):シフター10の制御部12は、相互認証仲介部13に対して、非電動部品間の相互認証を仲介するよう指示する。
#2 (command generation instruction to mutual authentication intermediary unit 13): The
#3(相互認証指示コマンドの生成):相互認証仲介部13は、相互認証を仲介すべき非電動部品を2つ特定した上で、両部品を相互認証するためのコマンド(相互認証指示コマンド)を生成する。ここでは、非電動部品である前ホイールとフレームを特定した上で、前ホイール→フレームの順にコマンドを送ることを決定し、まず前ホイールに対する相互認証指示コマンドを生成する。
#3 (Generation of mutual authentication instruction command): The mutual
#4(相互認証指示コマンドの出力):相互認証仲介部13は、前ホイールに対する相互認証指示コマンドを、コマンド送信先(前ホイール)とともにシフター10の制御部12に渡す。
#4 (output of mutual authentication command): The mutual authentication
#5(セキュアエレメント40へのコマンドの送出):シフター10の制御部12は、前ホイールのセキュアエレメント40に対して相互認証指示コマンドを送出する。
#5 (Sending a command to the secure element 40): The
#6(相互認証指示コマンドの処理):前ホイールのセキュアエレメント40は、相互認証指示コマンドを受け取ると、当該相互認証指示コマンドを処理し、相互認証仲介部13又はフレームのセキュアエレメント60に転送すべきレスポンスを生成する。
#6 (Processing of mutual authentication command): When the front wheel
#7(相互認証指示レスポンスの送出):前ホイールのセキュアエレメント40は、シフター10の制御部12にレスポンスを送出する。
#7 (sending mutual authentication instruction response): The
#8(相互認証仲介部13への転送):シフター10の制御部12は、相互認証仲介部13にレスポンスを転送する。
#8 (Transfer to mutual authentication intermediary unit 13): The
#9(レスポンスの処理と相互認証指示コマンドの生成):相互認証仲介部13は、受信したレスポンスを解析し、レスポンスから得た情報を元に、フレームに対する相互認証指示コマンドを生成する。
#9 (Response processing and generation of mutual authentication instruction command): The mutual authentication
#10(相互認証指示コマンドの出力):相互認証仲介部13は、フレームに対する相互認証指示コマンドを、コマンド送信先(フレーム)とともにシフター10の制御部12に渡す。
#10 (output of mutual authentication command): The mutual authentication
#11(セキュアエレメント60へのコマンドの送出):シフター10の制御部12は、フレームのセキュアエレメント60に対して相互認証指示コマンドを送出する。
#11 (Sending a command to the secure element 60): The
#12(相互認証指示コマンドの処理):フレームのセキュアエレメント40は、相互認証指示コマンドを受け取ると、当該相互認証指示コマンドを処理し、相互認証仲介部13又は前ホイールのセキュアエレメント40に転送すべきレスポンスを生成する。
#12 (Processing of mutual authentication command): When the frame's
#13(相互認証指示レスポンスの送出):フレームのセキュアエレメント60は、シフター10の制御部12にレスポンスを送出する。
#13 (sending mutual authentication instruction response): The
#14(相互認証仲介部13への転送):シフター10の制御部12は、相互認証仲介部13にレスポンスを転送する。
#14 (Transfer to mutual authentication intermediary unit 13): The
#15(レスポンスの処理と相互認証指示コマンドの生成):相互認証仲介部13は、受信したレスポンスを解析する。後続のコマンドが必要な場合は、再度前ホイールに対する相互認証指示コマンドを生成し、相互認証が完了するまで処理を繰り返すことができる。
#15 (Response processing and generation of mutual authentication instruction command): The mutual authentication
相互認証仲介部13が、相互認証を仲介する際の部品の特定や順序については適宜決定することができる。例えば、(1)自身のセキュアエレメントや、他の部品内のセキュアエレメントの相互認証リストを参照し、(2)各相互認証リストの突き合わせを行った上で、相互認証が必要な部品のペアをリストにし、(3)当該リストの上から順番に相互認証を実施する等、種々の応用が考えられる。
The mutual
図4~図6に示したフローに基づけば、電動部品、非電動部品の組み合わせに関係なく、自転車100の各部品内のセキュアエレメント間でコマンドの授受と情報交換を行うことが可能である。
Based on the flows shown in Figures 4 to 6, it is possible to send and receive commands and exchange information between secure elements in each part of the
相互認証で用いる具体的な暗号アルゴリズム等は、適宜決定して用いることができるが、本実施例では、部品公開鍵、証明書、秘密鍵、及びCA公開鍵による非対称鍵を用いた相互認証を例として挙げて説明する。以下では、コマンドの授受に基づいて相互認証を行うための方法を説明する。 The specific encryption algorithms used in the mutual authentication can be determined as appropriate, but in this embodiment, mutual authentication using asymmetric keys consisting of a component public key, a certificate, a private key, and a CA public key is used as an example. The following describes a method for performing mutual authentication based on the exchange of commands.
図7は電動部品主導でコマンドを授受する場合の相互認証のフローの一例を示す模式図である。ここでは、電動部品-電動部品の間、あるいは電動部品-非電動部品の間のように電動部品主導でコマンドを授受する場合の処理について説明する。電動部品としてディレイラー20を挙げ、非電動部品として後ホイールを挙げて説明する。以下、図中の各処理を#1~#15として説明する。
Figure 7 is a schematic diagram showing an example of the flow of mutual authentication when commands are exchanged primarily with an electric component. Here, the process is explained when commands are exchanged primarily with an electric component, such as between electric components, or between an electric component and a non-electric component. The explanation will be given using the
#1(ディレイラー制御部22からのコマンド生成指示):ディレイラー制御部22は、ディレイラー20側のセキュアエレメント21に、相互認証コマンドの生成を指示する。
#1 (command generation instruction from derailleur control unit 22): The
#2(署名対象データ列の生成):ディレイラー20のセキュアエレメント21は、相互認証コマンドの生成指示を受けると、署名対象データとして、ディレイラー20のIDと自身が生成した乱数を連結したデータ列を用意する。
#2 (Generating a data string to be signed): When the
#3(秘密鍵による署名):セキュアエレメント21は、自身の秘密鍵を用いて、署名対象データに対する署名を生成する。
#3 (Signing with a private key): The
#4(コマンド送信データの生成):セキュアエレメント21は、ID、乱数、署名に加え、自身の部品公開鍵と公開鍵署名を連結し、コマンド送信データを生成する。
#4 (Generation of command transmission data): The
#5(コマンドの送信):セキュアエレメント21は、ディレイラー制御部22を介してコマンドを後ホイール側のセキュアエレメント50に送信する。
#5 (Sending command): The
#6(CA公開鍵による部品公開鍵署名検証):後ホイールのセキュアエレメント50は、コマンドを受信すると、自身が保持するCA公開鍵を用いて、コマンド内の部品公開鍵の署名検証を行う。署名検証に失敗した場合、コマンド内の部品公開鍵は信頼できないため、相互認証リスト53内のIDで指定された部品の相互認証フラグを未認証(符号×で表す)に更新して、ここで処理を終了する。
#6 (Component public key signature verification using CA public key): When the rear wheel
#7(部品公開鍵による署名検証):後ホイールのセキュアエレメント50は、署名検証に成功した部品公開鍵を用いて、コマンドデータ(ID+乱数)に対する署名検証を行う。署名検証に失敗した場合、コマンドに改ざんの可能性があるため、相互認証リスト53内のIDで指定された部品の相互認証フラグを未認証(符号×で表す)に更新して、ここで処理を終了する。
#7 (Signature verification using component public key): The
#8(相互認証リスト53の相互認証フラグ更新):後ホイールのセキュアエレメント50は、処理#6及び#7の両署名検証に成功した場合、自身の相互認証リスト53を検索し、コマンドで指定されたIDの部品の相互認証フラグを更新する。ここでは、ディレイラー20の相互認証フラグを認証完了として更新する(符号×→Oで表す)。なお、指定されたIDが見つからない場合、当該コマンドは相互認証リストに含まれない部品のものであるため、相互認証フラグを更新せず、ここで処理を終了する。
#8 (updating the mutual authentication flag in the mutual authentication list 53): If the signature verifications in both
#9(署名対象データ列の生成):後ホイールのセキュアエレメント50は、署名対象データとして、後ホイールのIDと自身が生成した乱数を連結したデータ列を用意する。
#9 (Generate data string to be signed): The
#10(秘密鍵による署名):セキュアエレメント50は、自身の秘密鍵を用いて、署名対象データに対する署名を生成する。
#10 (Signing with a private key): The
#11(レスポンス返送データの生成):セキュアエレメント50は、ID、乱数、署名に加え、自身の部品公開鍵と公開鍵署名を連結し、レスポンス返送データを生成する。
#11 (Generate response return data): The
#12(レスポンスの送信):セキュアエレメント50は、ディレイラー制御部22を介してレスポンスをディレイラー20のセキュアエレメント21に送信する。
#12 (sending response): The
#13(CA公開鍵による部品公開鍵署名検証):ディレイラー20のセキュアエレメント21は、レスポンスを受信すると、自身が保持するCA公開鍵を用いて、レスポンス内の部品公開鍵の署名検証を行う。署名検証に失敗した場合、レスポンス内の部品公開鍵は信頼できないため、相互認証リスト26内のIDで指定された部品の相互認証フラグを未認証(符号×で表す)に更新して、ここで処理を終了する。
#13 (Component public key signature verification using CA public key): When the
#14(部品公開鍵による署名検証):ディレイラー20のセキュアエレメント21は、署名検証に成功した部品公開鍵を用いて、レスポンスデータ(ID+乱数)に対する署名検証を行う。署名検証に失敗した場合、レスポンスに改ざんの可能性があるため、相互認証リスト26内のIDで指定された部品の相互認証フラグを未認証(符号×で表す)に更新して、ここで処理を終了する。
#14 (Signature verification using component public key): The
#15(相互認証リスト26の相互認証フラグ更新):ディレイラー20のセキュアエレメント21は、処理#13及び#14の両署名検証に成功した場合、自身の相互認証リスト26を検索し、レスポンスで指定されたIDの部品の相互認証フラグを更新する。ここでは、後ホイールの相互認証フラグを認証完了として更新する(符号×→Oで表す)。なお、指定されたIDが見つからない場合、当該レスポンスは相互認証リストに含まれない部品のものであるため、相互認証フラグを更新せず、ここで処理を終了する。
#15 (updating the mutual authentication flag in the mutual authentication list 26): If the
図8は非電動部品間でコマンドを授受する場合の相互認証のフローの一例を示す模式図である。ここでは、非電動部品として、前ホイールとフレームを例に挙げて説明する。以下、図中の各処理を#1~#26として説明する。 Figure 8 is a schematic diagram showing an example of the flow of mutual authentication when sending and receiving commands between non-electric parts. Here, the front wheel and frame are used as examples of non-electric parts. Each process in the diagram will be explained below as #1 to #26.
#1(シフター10の制御部12からのコマンド生成指示):シフター10の制御部12は、相互認証仲介部13に、相互認証コマンドの生成を指示する。
#1 (command generation instruction from the
#2(コマンドの生成):相互認証仲介部13は、相互認証を行う部品を選択し、相互認証用コマンドを生成する。ここでは、前ホイールとフレーム間の認証を仲介することとし、前ホイールに対して送る相互認証コマンドを生成する。
#2 (Command generation): The mutual
#3(コマンドの返送):相互認証仲介部13は、シフター10の制御部12に対し、コマンド送信先(前ホイール)とコマンドを返送する。
#3 (return of command): The mutual authentication
#4(セキュアエレメント40へのコマンドの送信):シフター10の制御部12は、前ホイール側のセキュアエレメント40にコマンドを送信する。
#4 (Sending a command to the secure element 40): The
#5(署名対象データ列の生成):前ホイールのセキュアエレメント40は、署名対象データとして、前ホイールのIDと自身が生成した乱数を連結したデータ列を用意する。
#5 (Generate data string to be signed): The
#6(秘密鍵による署名):セキュアエレメント40は、自身の秘密鍵を用いて、署名対象データに対する署名を生成する。
#6 (Signing with a private key): The
#7(レスポンス送信データの生成):セキュアエレメント40は、ID、乱数、署名に加え、自身の部品公開鍵と公開鍵署名を連結し、レスポンス送信データを生成する。
#7 (Generate response transmission data): The
#8(レスポンスの送信):セキュアエレメント40は、シフター10の制御部12にレスポンスを送信する。
#8 (sending response): The
#9(相互認証仲介部13への返送):シフター10の制御部12は、相互認証仲介部13にレスポンスを返送する。
#9 (Return to mutual authentication intermediary unit 13): The
#10(レスポンスの処理とコマンドの生成):相互認証仲介部13は、受信したレスポンスを解析するとともに、当該レスポンスのデータを、フレームに送るコマンドのコマンドデータとして設定してコマンドを生成する。
#10 (Response processing and command generation): The mutual authentication
#11(コマンドの返送):相互認証仲介部13は、シフター10の制御部12に対し、コマンド送信先(ここでは、フレーム)とコマンドを返送する。
#11 (return of command): The mutual authentication
#12(セキュアエレメント40へのコマンドの送信):シフター10の制御部12は、フレームのセキュアエレメント60にコマンドを送信する。
#12 (Sending command to secure element 40): The
#13(CA公開鍵による部品公開鍵署名検証):フレームのセキュアエレメント60は、コマンドを受信すると、自身が保持するCA公開鍵を用いて、コマンド内の部品公開鍵の署名検証を行う。署名検証に失敗した場合、コマンド内の部品公開鍵は信頼できないため、相互認証リスト63内のIDで指定された部品の相互認証フラグを未認証(符号×で表す)に更新して、ここで処理を終了する。
#13 (Component public key signature verification using CA public key): When the
#14(部品公開鍵による署名検証):セキュアエレメント60は、署名検証に成功した部品公開鍵を用いて、コマンドデータ(ID+乱数)に対する署名検証を行う。署名検証に失敗した場合、コマンドに改ざんの可能性があるため、相互認証リスト63内のIDで指定された部品の相互認証フラグを未認証(符号×で表す)に更新して、ここで処理を終了する。
#14 (Signature verification using component public key): The
#15(相互認証リスト63の相互認証フラグ更新):セキュアエレメント60は、処理#13及び#14の両署名検証に成功した場合、自身の相互認証リスト63を検索し、コマンドで指定されたIDの部品の相互認証フラグを更新する。ここでは、前ホイールの相互認証フラグを認証完了として更新する(符号×→Oで表す)。なお、指定されたIDが見つからない場合、当該コマンドは相互認証リストに含まれない部品のものであるため、相互認証フラグを更新せず、ここで処理を終了する。
#15 (updating the mutual authentication flag in the mutual authentication list 63): If the signature verifications in both
#16(署名対象データ列の生成):セキュアエレメント60は、署名対象データとして、フレームのIDと自身が生成した乱数を連結したデータ列を用意する。
#16 (Generate data string to be signed): The
#17(秘密鍵による署名):セキュアエレメント60は、自身の秘密鍵を用いて、署名対象データに対する署名を生成する。
#17 (Signing with a private key): The
#18(レスポンス送信データの生成):セキュアエレメント60は、ID、乱数、署名に加え、自身の部品公開鍵と公開鍵署名を連結し、レスポンス送信データを生成する。
#18 (Generate response transmission data): The
#19(レスポンスの送信):セキュアエレメント60は、シフター10の制御部12にレスポンスを送信する。
#19 (sending response): The
#20(相互認証仲介部13への返送):シフター10の制御部12は、相互認証仲介部13にレスポンスを返送する。
#20 (Return to mutual authentication intermediary unit 13): The
#21(レスポンスの処理とコマンドの生成):相互認証仲介部13は、受信したレスポンスを解析するとともに、当該レスポンスのデータを、前ホイールに送るコマンドのコマンドデータとして設定してコマンドを生成する。
#21 (Response processing and command generation): The mutual authentication
#22(コマンドの返送):相互認証仲介部13は、シフター10の制御部12に対し、コマンド送信先(ここでは、前ホイール)とコマンドを返送する。
#22 (return of command): The mutual authentication
#23(セキュアエレメント40へのコマンドの送信):シフター10の制御部12は、前ホイールのセキュアエレメント40にコマンドを送信する。
#23 (Sending command to secure element 40): The
#24(CA公開鍵による部品公開鍵署名検証):前ホイールのセキュアエレメント40は、コマンドを受信すると、自身が保持するCA公開鍵を用いて、コマンド内の部品公開鍵の署名検証を行う。署名検証に失敗した場合、コマンド内の部品公開鍵は信頼できないため、相互認証リスト43内のIDで指定された部品の相互認証フラグを未認証(符号×で表す)に更新して、ここで処理を終了する。
#24 (Component public key signature verification using CA public key): When the
#25(部品公開鍵による署名検証):セキュアエレメント40は、署名検証に成功した部品公開鍵を用いて、コマンドデータ(ID+乱数)に対する署名検証を行う。署名検証に失敗した場合、コマンドに改ざんの可能性があるため、相互認証リスト43内のIDで指定された部品の相互認証フラグを未認証(符号×で表す)に更新して、ここで処理を終了する。
#25 (Signature verification using component public key): The
#26(相互認証リスト43の相互認証フラグ更新):セキュアエレメント40は、処理#24及び#25の両署名検証に成功した場合、自身の相互認証リスト43を検索し、コマンドで指定されたIDの部品の相互認証フラグを更新する。ここでは、フレームの相互認証フラグを認証完了として更新する(符号×→Oで表す)。なお、指定されたIDが見つからない場合、当該コマンドは相互認証リストに含まれない部品のものであるため、相互認証フラグを更新せず、ここで処理を終了する。
#26 (updating the mutual authentication flag in the mutual authentication list 43): If the signature verifications in both
上述のように、セキュアコンポーネントは、車両に用いられる他の部品に搭載される他のセキュアコンポーネントとの間で情報の送受信を行う通信部を介して他のセキュアコンポーネントと相互認証を行い、相互認証情報を記憶する。セキュアコンポーネントを搭載する部品間でセキュアコンポーネントによる相互認証を行うので、各部品が予め定められた適切な組み合わせで、通信部を経由して接続されているかを検証することができ、車両に用いられる部品に盗品等が混入することを防止することができ、部品を有効に保護することができる。 As described above, the secure component performs mutual authentication with other secure components via a communication unit that transmits and receives information to and from other secure components mounted in other components used in the vehicle, and stores the mutual authentication information. Since mutual authentication is performed by the secure components between components that mount the secure components, it is possible to verify whether each component is connected via the communication unit in a predetermined appropriate combination, which makes it possible to prevent stolen goods from being mixed into components used in the vehicle, thereby effectively protecting the components.
また、セキュアコンポーネントは、他のセキュアコンポーネントが相互認証用の秘密鍵で暗号化した演算結果を受信し、受信した演算結果を相互認証用の公開鍵で復号した復号結果に基づいて相互認証を行う。各セキュアコンポーネントは、個別の公開鍵と秘密鍵を保持している。これにより、部品間で片側認証ではなく相互認証を実現できる。 In addition, a secure component receives a calculation result encrypted by another secure component with a mutual authentication private key, and performs mutual authentication based on the decryption result obtained by decrypting the received calculation result with a mutual authentication public key. Each secure component holds its own public key and private key. This enables mutual authentication between components to be achieved, rather than one-sided authentication.
また、セキュアコンポーネントは、車両に用いられる所定の部品に搭載される所定のセキュアコンポーネントとの相互認証情報を記憶し、所定のセキュアコンポーネントとの相互認証が完了している場合、自身が搭載される部品の動作許可を出力する。例えば、部品Aのセキュアコンポーネントに記憶した相互認証情報が、1又は複数の所定の部品との相互認証が完了している場合、当該部品Aの動作を許可し、相互認証が完了していない場合(失敗時)には、当該部品Aの動作を許可しない。これにより、盗品等を組み合わせた不適切な構成の車両を動作させないことで、盗品の部品としての実効性を喪失させ、間接的に盗難を抑制することができる。 The secure component also stores mutual authentication information with a specified secure component mounted on a specified part used in the vehicle, and when mutual authentication with the specified secure component is complete, outputs permission to operate the part in which it is mounted. For example, when the mutual authentication information stored in the secure component of part A indicates that mutual authentication with one or more specified parts is complete, the operation of part A is permitted, and when mutual authentication is not complete (failed), the operation of part A is not permitted. In this way, by not allowing the operation of a vehicle with an inappropriate configuration that combines stolen goods, etc., stolen goods are rendered ineffective as parts, and theft can be indirectly suppressed.
電動部品主導でコマンドを授受して相互認証を行う場合、一方のセキュアエレメントがコマンドを生成し、他方のセキュアエレメントが生成されたコマンドに応答してレスポンスを返送する形式になっていたが、非電動部品間の相互認証を、相互認証仲介部13経由で行う場合は、相互認証仲介部13が各セキュアエレメントに対するコマンドを個別に生成し、生成したコマンドを用いて両セキュアエレメントの情報交換を促す形式となっている。
When mutual authentication is performed by sending and receiving commands initiated by electric parts, one secure element generates a command and the other secure element returns a response in response to the generated command. However, when mutual authentication between non-electric parts is performed via the mutual authentication
図9は相互認証完了時の部品動作制御のフローの一例を示す模式図である。各部品の相互認証が完了した場合、電動部品に関しては、例えば、動作開始時にセキュアエレメントに対して動作可否を問い合わせ、セキュアエレメントより動作が許可された場合にのみ動作するように回路や機能を構成することができる。以下、シフター10を例として説明する。また、図中の各処理を#1~#4として説明する。
Figure 9 is a schematic diagram showing an example of the flow of component operation control when mutual authentication is complete. When mutual authentication of each component is complete, for example, with regard to an electrically-operated component, a circuit or function can be configured to inquire of the secure element whether or not it can operate when the component starts to operate, and to operate only if operation is permitted by the secure element. The following explanation uses the
#1(動作可否の問い合わせ):シフター10の制御部12は、セキュアエレメント11に対し、自身の動作可否について問い合わせを行う。問い合わせは、例えば、所定のコマンドを送信すればよい。
#1 (Inquiry about operation): The
#2(相互認証リスト19の確認):セキュアエレメント11は、相互認証リスト19を確認し、自身が相互認証を行うべき全ての部品に対して相互認証が完了していることを確認する。ここでは、相互認証リスト19には、シフター10以外の部品として、フレーム、ディレイラー20、前ホイール、後ホイール、及びバッテリー30がリストアップされているので、相互認証を行うべき部品は、フレーム、ディレイラー20、前ホイール、後ホイール、及びバッテリー30となる。なお、使用の態様に応じては、相互認証リストにリストアップされている全部品ではなく、一部の部品を相互認証すべき部品であると動的に設定してもよい。
#2 (Checking the mutual authentication list 19): The
#3(動作可否の返信):セキュアエレメント11は、相互認証リスト19内の全ての部品に対する相互認証が完了している場合、動作可として、レスポンスの返送を行う。一部、または全部の部品に対する認証が完了していない(未認証)場合、動作不可として、レスポンスの返送を行う。
#3 (Reply indicating whether operation is possible): If mutual authentication has been completed for all components in the
#4(動作開始):制御部12は、動作可の返信を受けた場合のみ、自身の機能を動作するように制御する。
#4 (Start of operation): The
非電動部品に対しては、部品単独で動作可否を制御するのが難しい場合もあるが、動作開始時のユーザ入力に応じ、電動部品から給電して物理的なロックを解除する等のメカニズムを用いてもよく、あるいは非電動部品の機能と密接に関連する、あるいは連動するような電動部品を代替的に制御する構成でもよい。 For non-electrical components, it may be difficult to control whether the component operates independently, but a mechanism may be used in which a power is supplied from an electric component to release a physical lock in response to user input at the start of operation, or an electric component that is closely related to or linked to the function of the non-electrical component may be configured to control the component instead.
前述のような部品動作制御のメカニズムが自転車に適用されると、盗難者が自転車の一部の部品を詐取して販売したとしても、他の部品と組み合わせて(盗難された部品が混入した状態で)利用することができず、部品レベルでの盗難を抑止することができる。 If the above-mentioned mechanism for controlling part operation is applied to a bicycle, even if a thief steals some of the bicycle's parts and sells them, they will not be able to be used in combination with other parts (with the stolen parts mixed in), which will prevent theft at the part level.
一方で、自転車の所有者自身の意志で部品を交換したい場合や、整備士等による正規の手段で部品を交換するケースも当然想定される。このようなユースケースを経ても自転車が正常に動作できる必要がある。以下では、このようなケースに対応するための機能について説明する。 On the other hand, there may of course be cases where the bicycle owner wishes to replace a part of their own volition, or where a part is replaced through proper means by a mechanic, etc. The bicycle needs to be able to function normally even after going through such use cases. Below, we will explain the functions that deal with such cases.
図10は秘匿通信路による相互認証リストの更新のフローの一例を示す模式図である。以下、一例として、正規の手段でフレームを交換した場合について説明する。また、図中の各処理を#1~#12として説明する。 Figure 10 is a schematic diagram showing an example of the flow of updating the mutual authentication list via a secret communication channel. Below, as an example, a case where frames are exchanged by regular means is explained. Each process in the figure is explained as #1 to #12.
#1(部品の交換):ユーザ(自転車の所有者、整備士など)は、自転車の部品を新しい部品に交換する。ここでは、B社のフレームEをF社のフレームVに交換する。 #1 (Replacing a part): A user (bicycle owner, mechanic, etc.) replaces a bicycle part with a new part. In this case, frame E from company B is replaced with frame V from company F.
#2(自転車部品DB250の更新):ユーザは、自転車管理サーバ200の管理者に連絡し、自転車部品DB250の内容の更新を依頼する。管理者は依頼を受けて自転車部品DB250を更新する。ここでは、当該自転車100の自転車テーブル251内の車体IDを、B社フレームEのID:246246からF社フレームVのID:147147に更新するとともに、対応する鍵ペア等(公開鍵、公開鍵署名、秘密鍵、秘匿通信鍵)も更新される。
#2 (Updating bicycle parts DB 250): The user contacts the administrator of the
#3(相互認証リストの更新指示):ユーザは、入力I/Fから、部品交換に伴う相互認証リストの更新指示をシフター10に入力する。
#3 (Mutual authentication list update instruction): The user inputs an instruction to update the mutual authentication list in response to a part replacement to the
#4(制御部12への通知):入力I/Fは、相互認証リストの更新指示を制御部12に通知する。
#4 (Notification to control unit 12): The input I/F notifies the
#5(相互認証リスト更新対象の調査):制御部12は、相互認証リストの更新対象となる部品を、自身に内蔵されたセキュアエレメント11から取得する。
#5 (Investigation of mutual authentication list update target): The
#6(相互認証リスト更新依頼):制御部12は、ネットワーク通信部14を介して、自転車管理サーバ200に対して相互認証リストの更新依頼を送信する。このとき、相互認証リストの更新対象となる部品リストも合わせて送信する。
#6 (mutual authentication list update request): The
#7(更新対象部品の秘匿通信鍵取得):自転車管理サーバ200は、相互認証リストの更新対象となる部品リストを参照し、当該部品リストの部品のうち、交換された部品以外の部品について、一つずつ秘匿通信路を開設して更新する。ここでは、まず、シフター10の相互認証リスト19を更新することとし、シフター10の秘匿通信鍵を取得する。
#7 (Obtaining a secret communication key for parts to be updated): The
#8(秘匿通信路の開設指示):自転車管理サーバ200は、秘匿通信部230に対し、部品の秘匿通信鍵を渡し、秘匿通信路の開設を指示する。
#8 (Instruction to open a secret communication path): The
#9(更新対象部品との秘匿通信路開設):自転車管理サーバ200の秘匿通信部230は、シフター10の秘匿通信鍵を用いて、シフター10内部のセキュアエレメント11内の秘匿通信部18と秘匿通信路を開設する(これにより、自転車管理サーバ200、シフター10のネットワーク通信部14、制御部12を経由して通信する)。
#9 (Establishing a secret communication path with the part to be updated): The
#10(相互認証リストの更新):自転車管理サーバ200は、開設された秘匿通信路経由で、セキュアエレメント11の相互認証リスト19にアクセスし、交換された部品の部品IDを更新する。ここでは、フレームが交換されているため、部品種別がフレームの部品IDが、246246から147147に更新する。
#10 (updating the mutual authentication list): The
#11(他の部品の相互認証リストの更新):以降、残りの部品について、自転車100内の通信路を介し、処理#6~#9を繰り返して相互認証リスト26、37、43、53を更新する。ここでは、交換されたフレームと、前述の処理で更新済みのシフター10以外の部品について、自転車管理サーバ200と各セキュアエレメント間で個別の秘匿通信路を開設し、同様にフレームの部品IDを更新する。
#11 (updating mutual authentication lists for other parts): From then on,
#12(交換した部品の相互認証リストの書き込み):最後に、自転車管理サーバ200は、交換した部品(フレーム)と秘匿通信路を開設し、当該部品が相互認証を行うべき部品をリスト化した相互認証リスト63を書き込む。
#12 (Writing mutual authentication list for replaced part): Finally, the
図11はシフター10以外の部品の更新後の相互認証リストの一例を示す模式図である。図に示すように、ディレイラー20のセキュアエレメント21、バッテリー30のセキュアエレメント31、前ホイールのセキュアエレメント40、後ホイールのセキュアエレメント50それぞれの相互認証リスト26、37、43、53内の部品種別がフレームの部品IDが、246246から147147に更新されている。また、新しく交換されたフレームのセキュアエレメント60に相互認証リスト63が書き込まれている。
Figure 11 is a schematic diagram showing an example of a mutual authentication list after updating of parts other than the
自動車部品DB250の更新手段については、ユーザの正当性を確認できる手段であれば、どのような方式を用いてもよい。例えば、電話で連絡する、WebI/Fで更新フォームを提出する等、種々の方法を用いることができる。 Any method can be used to update the auto parts DB250 as long as it can verify the authenticity of the user. For example, various methods can be used, such as contacting the user by phone or submitting an update form via a Web I/F.
上述のような、相互認証リストの運用を行うことで、部品単位における盗難リスクを抑止することができる。以下では、自転車がそのまま盗難された場合の対応策について説明する。これにより、部品の盗難のみならず完成車の盗難リスクも抑止することができる。 By operating the mutual authentication list as described above, it is possible to prevent the risk of theft of individual parts. Below, we explain the countermeasures to be taken if the entire bicycle is stolen. This will prevent not only the theft of parts, but also the theft of the complete bicycle.
図12は秘匿通信機能による機能停止のフローの一例を示す模式図である。以下では、図中の各処理を#1~#8として説明する。 Figure 12 is a schematic diagram showing an example of the flow of function suspension using the secret communication function. Below, each process in the diagram will be explained as #1 to #8.
#1(管理者への連絡):ユーザは、自転車管理サーバ200の管理者に対して、自転車(完成車)が盗難された旨を連絡する。
#1 (Contact administrator): The user contacts the administrator of the
#2(秘匿通信鍵取得指示):管理者は、自転車管理サーバ200に対し、自転車部品DB250から対応する自転車の秘匿通信鍵を取得するように指示する。
#2 (Instruction to obtain secret communication key): The administrator instructs the
#3(秘匿通信鍵の取得):自転車管理サーバ200の部品DBアクセス部210は、自転車部品DB250から対応する自転車の秘匿通信鍵を取得する。
#3 (Obtaining a secret communication key): The parts
#4(秘匿通信路の開設指示):管理者は、自転車管理サーバ200に対し、秘匿通信路の開設を指示する。ここでは、まず、シフター10との秘匿通信路の開設を指示する。
#4 (Instruction to open a secret communication path): The administrator instructs the
#5(秘匿通信路の開設):自転車管理サーバ200は、自転車100のシフター10内のセキュアエレメント11に対してネットワーク経由で秘匿通信路を開設する。
#5 (Establishing a secret communication path): The
#6(相互認証フラグの無効化):自転車管理サーバ200は、秘匿通信路を介して、シフター10内のセキュアエレメント11内の相互認証リスト19について、全ての部品の相互認証フラグを未認証(符号×で表す)に更新する。
#6 (Disable mutual authentication flag): The
#7(相互認証のブロック):自転車管理サーバ200は、秘匿通信路を介して、セキュアエレメント11の相互認証機能が常時失敗するように、内部状態を変更する。ここでは、相互認証に用いる鍵ペアを無効な値に更新することで相互認証に失敗するようにする。
#7 (Mutual authentication blocking): The
#8(他のセキュアエレメントに対する無効化):以降、自転車管理サーバ200は、他のセキュアエレメントに対しても秘匿通信路を介して、相互認証フラグの無効化と、相互認証に用いる鍵ペアを無効な値に更新することで相互認証処理のブロックを行う。
#8 (Disabling for other secure elements): From then on, the
図13はシフター10以外の部品内のセキュアエレメントの無効化の一例を示す模式図である。図に示すように、ディレイラー20のセキュアエレメント21、バッテリー30のセキュアエレメント31、前ホイールのセキュアエレメント40、後ホイールのセキュアエレメント50それぞれの相互認証リスト26、37、43、53内の全ての部品の相互認証フラグが未認証(符号×で表す)に更新されている。また、相互認証に用いる鍵ペアが無効な値に更新されている。
Figure 13 is a schematic diagram showing an example of disabling secure elements in components other than the
相互認証のブロックについては、盗難車において相互認証が成功しないようにセキュアエレメントの内部状態を変更すればよい。本実施例では、鍵ペアの無効化を行っているが、別途内部状態をセキュアエレメント内に持ち、当該内部状態の変更によって相互認証が常時失敗するように構成してもよい。 To block mutual authentication, the internal state of the secure element can be changed so that mutual authentication does not succeed in a stolen vehicle. In this embodiment, the key pair is invalidated, but a separate internal state can be stored in the secure element, and mutual authentication can be configured to always fail by changing the internal state.
自転車の場合、常時通電されているとは限らない。例えば、通電の瞬間にネットワーク通信を強制的に実施して、自転車管理サーバ200からの通知を強制受信してもよく、あるいは、動作中に一定間隔でネットワーク通信を行ってもよい。このように構成すれば、盗難者の意志に関係なく自転車の機能を停止させることができる。
In the case of bicycles, they are not necessarily always powered. For example, network communication can be forcibly performed the moment power is applied, and notifications from the
また、盗難車といえども突然機能を停止させた場合、交通事故の原因となる等、重篤な影響をもたらす恐れがあるため、一定時間停車したことを判定した上で自転車の機能を無効化してもよい。これにより、交通に配慮した自転車を実現できる。 In addition, even if the bicycle is stolen, if its functions are suddenly disabled, it could have serious consequences, such as causing a traffic accident, so the bicycle's functions can be disabled after it has been stopped for a certain period of time. This makes it possible to realize bicycles that are considerate of traffic.
一方で自転車が盗難された場合でも、自転車の機能を停止させることが適切ではない状況も存在する。例えば、衆人環視の状態で盗難リスクが少なく、機能の停止を極力回避したい場合(例えば、自転車レースなど)、緊急時や急用等の理由で、盗難された自転車(認証されていない自転車)であっても使用を継続したい場合(例えば、速やかに移動したい場合など)等が含まれる。このように、盗難リスクが低い、または許容を余儀なくされる場合、自転車の部品間の相互認証機能を一時的に無効化する(相互認証処理が不要)ことができる。以下、この点について説明する。 On the other hand, even if a bicycle is stolen, there are situations in which it is not appropriate to disable the bicycle's functions. Examples include cases where there is a low risk of theft in a public situation and you want to avoid disabling the functions as much as possible (e.g., bicycle races), and cases where you want to continue using a stolen bicycle (an unauthenticated bicycle) due to an emergency or urgent business (e.g., when you want to move quickly). In these cases where the risk of theft is low or can only be tolerated, the mutual authentication function between bicycle parts can be temporarily disabled (mutual authentication processing is not required). This point is explained below.
図14は秘匿通信路経由の場合の一時的な相互認証の無効化のフローの一例を示す模式図である。以下では、図中の各処理を#1~#7として説明する。 Figure 14 is a schematic diagram showing an example of the flow of temporarily invalidating mutual authentication when using a secret communication channel. Below, each process in the diagram will be explained as #1 to #7.
#1(管理者への連絡):ユーザは、自転車管理サーバ200の管理者に対して、一時的に相互認証機能を無効化するよう依頼する。
#1 (Contact administrator): The user requests the administrator of the
#2(秘匿通信鍵取得指示):管理者は、自転車管理サーバ200に対し、自転車部品DB250から対応する自転車の秘匿通信鍵を取得するように指示する。
#2 (Instruction to obtain secret communication key): The administrator instructs the
#3(秘匿通信鍵の取得):自転車管理サーバ200の部品DBアクセス部210は、自転車部品DB250から対応する自転車の秘匿通信鍵を取得する。
#3 (Obtaining a secret communication key): The parts
#4(秘匿通信路の開設指示):管理者は、自転車管理サーバ200に対し、秘匿通信路の開設を指示する。ここでは、まず、シフター10との秘匿通信路の開設を指示する。
#4 (Instruction to open a secret communication path): The administrator instructs the
#5(秘匿通信路の開設):自転車管理サーバ200は、自転車100のシフター10内のセキュアエレメント11に対してネットワーク経由で秘匿通信路を開設する。
#5 (Establishing a secret communication path): The
#6(相互認証リストの削除):自転車管理サーバ200は、秘匿通信路を介して、シフター10内の相互認証リスト19の各部品指定を削除する。図では便宜上、部品名に取消線を付加している。
#6 (Delete mutual authentication list): The
#7(他のセキュアエレメントの相互認証リストの削除):以降、自転車管理サーバ200は、他のセキュアエレメントに対しても同様に相互認証リストの各部品指定を削除する。
#7 (Delete mutual authentication list of other secure elements): From then on, the
図15はシフター10以外の部品内のセキュアエレメントの一時的な相互認証の無効化の一例を示す模式図である。図に示すように、ディレイラー20のセキュアエレメント21、バッテリー30のセキュアエレメント31、前ホイールのセキュアエレメント40、後ホイールのセキュアエレメント50それぞれの相互認証リスト26、37、43、53内の各部品指定が削除されている。図では便宜上、部品名に取消線を付加している。
Figure 15 is a schematic diagram showing an example of temporary disabling of mutual authentication of secure elements in parts other than the
ここで、相互認証リストが空の場合、各セキュアエレメントの相互認証部16、24、34、41、51、61は、相互認証処理を行わずに部品の動作を可能にする。これにより、例えば、自転車レースの実施に当たっては、レース開始前に自転車の各部品の相互認証リストを空にし、レース終了後に再度相互認証リストの中身を書き込む(部品指定する)ことにより、レース中の部品交換等にも対応可能となる。一方で、緊急時の場合など、自転車管理サーバ200から秘匿通信路の開設ができない場合には、例えば、自転車の入力I/Fに緊急ボタン等を設けておき、緊急ボタンを操作することで一時的に動作可能にすることができる。以下、この点について説明する。
If the mutual authentication list is empty, the
図16は入力I/F経由の場合の一時的な相互認証の無効化のフローの一例を示す模式図である。以下では、図中の各処理を#1~#5として説明する。 Figure 16 is a schematic diagram showing an example of the flow for temporarily disabling mutual authentication via an input I/F. Below, each process in the diagram will be explained as #1 to #5.
#1(一時的な相互認証無効化の指示):ユーザは、自転車100の入力I/Fから、一時的な相互認証無効化を指示する。
#1 (Instruction to temporarily disable mutual authentication): The user instructs the
#2(制御部12への通知):自転車100の入力I/Fは、相互認証無効化の指示をシフター10の制御部12へ通知する。
#2 (Notification to control unit 12): The input I/F of the
#3(セキュアエレメントへの相互認証無効化の指示):制御部12は、自身のセキュアエレメント11に一時的な相互認証無効化を指示する。
#3 (Instruction to disable mutual authentication to secure element): The
#4(相互認証リストの削除):セキュアエレメント11は、相互認証リスト19の各部品指定を削除する。図では便宜上、部品名に取消線を付加している。
#4 (Delete mutual authentication list): The
#5(他のセキュアエレメントの相互認証リストの削除):以降、制御部12は、他のセキュアエレメントに対しても同様に相互認証リストの各部品指定を削除する。
#5 (Delete mutual authentication list of other secure elements): After this, the
図17はシフター10以外の部品内のセキュアエレメントの一時的な相互認証の無効化の一例を示す模式図である。図に示すように、ディレイラー20のセキュアエレメント21、バッテリー30のセキュアエレメント31、前ホイールのセキュアエレメント40、後ホイールのセキュアエレメント50それぞれの相互認証リスト26、37、43、53内の各部品指定が削除されている。図では便宜上、部品名に取消線を付加している。
Figure 17 is a schematic diagram showing an example of temporary disabling of mutual authentication of secure elements in parts other than the
一時的に相互認証を無効化する機能は、自転車盗難防止機能の効果を弱めるので、実際の適用に当たっては、無効化の回数を一定回数に制限するなど、盗難リスクと緊急利用時の自転車の機能停止のリスクのトレードオフを考慮した構成とすることが望ましい。 The function of temporarily disabling mutual authentication weakens the effectiveness of the bicycle theft prevention function, so in actual application, it is desirable to configure it in a way that takes into account the trade-off between the risk of theft and the risk of the bicycle being disabled in the event of emergency use, such as by limiting the number of times it can be disabled.
なお、自転車の各部品にICタグを付与して、自転車本体と部品とを一義的に識別する方法も考えられるが、自転車本体と部品とを紐付けるだけでは、部品のトレーサビリティを確保することができても、盗難車や盗難部品を入手した第三者は、何の問題もなく盗品を使い続けることができ、盗難に対して有効な抑止とはならない。一方で本実施の形態によれば、相互認証がされていない部品(未認証の部品)が存在する場合、自転車の機能が停止され、動作不可となるので、盗難に対して有効な抑止となる。 It is possible to attach an IC tag to each part of the bicycle to uniquely identify the bicycle and the parts, but simply linking the bicycle and the parts may ensure the traceability of the parts, but a third party who obtains a stolen vehicle or stolen parts can continue to use the stolen goods without any problems, so this is not an effective deterrent against theft. On the other hand, according to this embodiment, if there is a part that has not been mutually authenticated (an unauthenticated part), the bicycle's functions are stopped and it becomes inoperable, which is an effective deterrent against theft.
本実施例では、車両の例として自転車を挙げて説明したが、自転車の部品は上述の例の部品に限定されるものではなく、他の部品も同様に適用することができる。また、車両は自転車に限定されるものではなく、自動二輪車(オートバイ)や自動車にも適用することができる。自動二輪車の場合、部品としては、例えば、ホイール、マフラー、灯火類、ハンドル、フレーム、バッテリー、シート等の外装部品などを含む。自動車の場合には、ホイール、バッテリー、充電器、ステアリング、車載カメラなどを含む。 In this embodiment, a bicycle is used as an example of a vehicle, but bicycle parts are not limited to the parts in the above example, and other parts can be applied in the same manner. Furthermore, vehicles are not limited to bicycles, and can also be applied to motorcycles and automobiles. In the case of motorcycles, parts include, for example, exterior parts such as wheels, mufflers, lights, handlebars, frames, batteries, and seats. In the case of automobiles, parts include, for example, wheels, batteries, chargers, steering wheels, and on-board cameras.
図18は本実施の形態の管理システムの構成の一例を示す模式図である。以下では、車両の例として自動車の場合について説明するが、自動車に限定されなくてもよい。管理システムは、車両・車両部品管理サーバ300、複数の車両400を備える。なお、図では3台の車両を図示しているが、車両の台数は3台に限定されるものではなく。各車両400には、それぞれにセキュアエレメントを搭載した車両部品410、420、430、440が搭載されている。なお、図では、便宜上4個の車両部品を図示しているが、車両部品の数は4個に限定されない。また、車両部品410~440は、各車両400で同一の部品である必要はない。車両の車種等に応じて車両部品が異なっていてもよい。車両・車両部品管理サーバ300と、各車両部品に搭載されたセキュアエレメントとの間は秘匿通信路を開設することができる。
Figure 18 is a schematic diagram showing an example of the configuration of the management system of this embodiment. In the following, an automobile will be described as an example of a vehicle, but the vehicle is not limited to an automobile. The management system includes a vehicle/vehicle
車両・車両部品管理サーバ300は、車両部品DBアクセス部310、ネットワーク通信部320、及び秘匿通信部330を備える。車両部品DBアクセス部310、ネットワーク通信部320、及び秘匿通信部330は、それぞれ自転車管理サーバ200の部品DBアクセス部210、ネットワーク通信部220、及び秘匿通信部230と同様の機能を備えるものであり、詳細な説明は省略する。
The vehicle/vehicle
各車両400の車両部品410~440は、上述の情報処理システムの場合と同様に、セキュアコンポーネントによる相互認証、車両部品の機能の作動又は停止を行うことができる。すなわち、車両・車両部品管理サーバ300は、秘匿通信路を介して、セキュアコンポーネントによる相互認証、車両部品の機能の作動又は停止、相互認証の一時的無効化又は有効化、相互認証に用いる鍵や証明書等の更新などの包括的な管理を行うことができる。これにより、車両に用いられる車両部品に盗品等が混入することを防止することができ、車両部品を有効に保護することができる。
As in the case of the information processing system described above, the
近年、自動車業界を始めとして、モビリティ技術の発展に大きな関心が集まっている。モビリティとは、自動車に限らず、公共交通も含めた移動全般に関わるアクティビティを指すが、特にMaaS(Mobility as a Service)と称される概念が注目されている。MaaSは、ICT(Information and Communication Technology)を利用して交通をクラウド化し、全ての交通手段によるモビリティを一つのサービスと捉え、シームレスに繋ぐことを特徴としている。社会にMaaSの概念が浸透していくと、例えば、自動運転による自動車の配車、交通手段の最適化、様々な交通手段(自動車、バス、電車、二輪車など)に関する移動情報をビッグデータとして利用するような新たなサービスが創設され、これらの移動手段に用いられる部品(車両部品)の重要性が益々高まることが予想される。本実施の形態によれば、このような新しいサービスに対して、有用な管理システム又は管理方法を提供することができる。 In recent years, the development of mobility technology has attracted great interest, especially in the automotive industry. Mobility refers to activities related to movement in general, including not only automobiles but also public transportation, and a concept called MaaS (Mobility as a Service) has been attracting particular attention. MaaS is characterized by clouding transportation using ICT (Information and Communication Technology), treating mobility by all means of transportation as one service, and seamlessly connecting them. As the concept of MaaS spreads throughout society, new services will be created, such as dispatching cars by automatic driving, optimizing transportation, and using transportation information related to various means of transportation (cars, buses, trains, motorcycles, etc.) as big data, and the importance of parts (vehicle parts) used in these means of transportation is expected to increase. According to this embodiment, a useful management system or management method can be provided for such new services.
本実施の形態のセキュアコンポーネントは、車両に用いられる車両部品に搭載されるセキュアコンポーネントであって、前記車両に用いられる他の車両部品に搭載される他のセキュアコンポーネントとの間で情報の送受信を行う通信部と、前記通信部を介して前記他のセキュアコンポーネントと相互認証を行う認証部と、相互認証対象と前記認証部による相互認証結果を対応付けた相互認証情報を記憶する第1記憶部とを備える。 The secure component of this embodiment is a secure component mounted on a vehicle component used in a vehicle, and includes a communication unit that transmits and receives information to and from other secure components mounted on other vehicle components used in the vehicle, an authentication unit that performs mutual authentication with the other secure components via the communication unit, and a first storage unit that stores mutual authentication information that associates mutual authentication targets with mutual authentication results obtained by the authentication unit.
本実施の形態のコンピュータプログラムは、コンピュータに、車両に用いられる車両部品に搭載されるセキュアコンポーネントとの間で情報の送受信を行い、前記セキュアコンポーネントと相互認証を行い、相互認証対象と相互認証結果を対応付けた相互認証情報を記憶する、処理を実行させる。 The computer program of this embodiment causes a computer to execute processing to transmit and receive information to and from a secure component mounted on a vehicle component used in a vehicle, to perform mutual authentication with the secure component, and to store mutual authentication information that associates mutual authentication targets with mutual authentication results.
本実施の形態の情報処理方法は、車両に用いられる複数の車両部品それぞれに搭載されるセキュアコンポーネントの間で相互認証を行い、各セキュアコンポーネントは、相互認証対象と相互認証結果を対応付けた相互認証情報を記憶する。 The information processing method of this embodiment performs mutual authentication between secure components mounted on each of multiple vehicle components used in a vehicle, and each secure component stores mutual authentication information that associates mutual authentication targets with mutual authentication results.
セキュアコンポーネントは、車両に用いられる他の車両部品に搭載される他のセキュアコンポーネントとの間で情報の送受信を行う通信部を介して他のセキュアコンポーネントと相互認証を行い、相互認証対象と相互認証結果を対応付けた相互認証情報を記憶する。相互認証対象は、セキュアコンポーネント又はセキュアコンポーネントを搭載する車両部品である。セキュアコンポーネントを搭載する車両部品間でセキュアコンポーネントによる相互認証を行うので、各車両部品が予め定められた適切な組み合わせで、通信部を経由して接続されているかを検証することができ、車両に用いられる車両部品に盗品等が混入することを防止することができ、車両部品を有効に保護することができる。 The secure component performs mutual authentication with other secure components via a communication unit that transmits and receives information to and from other secure components mounted on other vehicle components used in the vehicle, and stores mutual authentication information that associates mutual authentication targets with mutual authentication results. The mutual authentication targets are secure components or vehicle components mounted with secure components. Since mutual authentication is performed by the secure components between vehicle components mounted with secure components, it is possible to verify whether each vehicle component is connected via the communication unit in a predetermined appropriate combination, which makes it possible to prevent stolen goods from being mixed into vehicle components used in the vehicle, and effectively protect the vehicle components.
本実施の形態のセキュアコンポーネントにおいて、前記通信部は、前記他のセキュアコンポーネントが相互認証用の秘密鍵で暗号化した演算結果を受信し、前記認証部は、前記演算結果を相互認証用の公開鍵で復号した復号結果に基づいて相互認証を行う。 In the secure component of this embodiment, the communication unit receives a calculation result encrypted by the other secure component with a mutual authentication private key, and the authentication unit performs mutual authentication based on the decryption result obtained by decrypting the calculation result with a mutual authentication public key.
セキュアコンポーネントは、他のセキュアコンポーネントが相互認証用の秘密鍵で暗号化した演算結果を受信し、受信した演算結果を相互認証用の公開鍵で復号した復号結果に基づいて相互認証を行う。各セキュアコンポーネントは、個別の公開鍵と秘密鍵を保持している。これにより、車両部品間で片側認証ではなく相互認証を実現できる。 A secure component receives a calculation result encrypted by another secure component with a mutual authentication private key, and performs mutual authentication based on the decryption result obtained by decrypting the received calculation result with a mutual authentication public key. Each secure component holds its own public key and private key. This enables mutual authentication between vehicle components to be achieved, rather than one-sided authentication.
本実施の形態のセキュアコンポーネントにおいて、前記第1記憶部は、前記車両に用いられる所定の車両部品に搭載される所定のセキュアコンポーネントとの相互認証情報を記憶し、前記所定のセキュアコンポーネントとの相互認証が完了している場合、自身が搭載される車両部品の動作許可を出力する出力部を備える。 In the secure component of this embodiment, the first storage unit stores mutual authentication information with a specific secure component mounted on a specific vehicle component used in the vehicle, and includes an output unit that outputs permission to operate the vehicle component in which the first storage unit is mounted when mutual authentication with the specific secure component is completed.
セキュアコンポーネントは、車両に用いられる所定の車両部品に搭載される所定のセキュアコンポーネントとの相互認証情報を記憶し、所定のセキュアコンポーネントとの相互認証が完了している場合、自身が搭載される車両部品の動作許可を出力する。例えば、車両部品Aのセキュアコンポーネントに記憶した相互認証情報が、1又は複数の所定の車両部品との相互認証が完了している場合、当該車両部品Aの動作を許可し、相互認証が完了していない場合(失敗時)には、当該車両部品Aの動作を許可しない。これにより、盗品等を組み合わせた不適切な構成の車両を動作させないことで、盗品の車両部品としての実効性を喪失させ、間接的に盗難を抑制することができる。 The secure component stores mutual authentication information with a specified secure component mounted on a specified vehicle component used in the vehicle, and when mutual authentication with the specified secure component is complete, outputs permission to operate the vehicle component in which it is mounted. For example, when the mutual authentication information stored in the secure component of vehicle component A indicates that mutual authentication with one or more specified vehicle components is complete, operation of the vehicle component A is permitted, and when mutual authentication is not complete (failure), operation of the vehicle component A is not permitted. In this way, by not allowing the operation of a vehicle with an inappropriate configuration that combines stolen goods, etc., stolen goods are rendered ineffective as vehicle parts, thereby indirectly suppressing theft.
本実施の形態のセキュアコンポーネントは、外部サーバとの間で開設された秘匿通信路を介して、前記第1記憶部に記憶した相互認証情報を更新可能とする。 The secure component of this embodiment is capable of updating the mutual authentication information stored in the first storage unit via a secret communication path established with an external server.
セキュアコンポーネントは、外部サーバとの間で開設された秘匿通信路を介して、記憶した相互認証情報を更新可能とする。例えば、正規の手段で車両部品を交換した場合、当該車両部品に対応させた相互認証情報に更新することができるようにする。これにより、整備士やメーカによる正当な車両部品の流用に対し、適切な相互認証を行うための手段を提供することができる。 The secure component can update the stored mutual authentication information via a secret communication path established with an external server. For example, when a vehicle part is replaced by legitimate means, the mutual authentication information can be updated to correspond to that vehicle part. This provides a means for appropriate mutual authentication against the misappropriation of legitimate vehicle parts by mechanics or manufacturers.
本実施の形態のセキュアコンポーネントは、外部サーバとの間で開設された秘匿通信路を介して、前記相互認証に用いる鍵及び証明書の少なくとも一方を更新可能とする。 The secure component of this embodiment is capable of updating at least one of the key and the certificate used in the mutual authentication via a secret communication path established with the external server.
セキュアコンポーネントは、外部サーバとの間で開設された秘匿通信路を介して、相互認証に用いる鍵及び証明書の少なくとも一方を更新可能とする。これにより、車両が盗難された場合、遠隔から車両部品間の相互認証ができないようにすることができ、盗難を抑止することができる。 The secure component can update at least one of the keys and certificates used for mutual authentication via a secret communication path established with an external server. This makes it possible to prevent mutual authentication between vehicle components from being performed remotely if the vehicle is stolen, thereby preventing theft.
本実施の形態のセキュアコンポーネントは、自身が搭載される車両部品を一意に特定可能な車両部品情報、相互認証用の公開鍵及び公開鍵署名を含む車両部品証明書を記憶する第2記憶部を備える。 The secure component of this embodiment includes a second storage unit that stores vehicle part information that can uniquely identify the vehicle part in which it is installed, and a vehicle part certificate that includes a public key and a public key signature for mutual authentication.
セキュアコンポーネントは、自身が搭載される車両部品を一意に特定可能な車両部品情報、相互認証用の公開鍵及び公開鍵署名を含む車両部品証明書を記憶する。例えば、相互認証に用いる鍵を非対称鍵(公開鍵+証明書+秘密鍵)とし、証明書に部品の製造証明書としての情報を書き込むことにより、公開鍵の証明手段と同時に、車両部品の素性を事後的に確認するための手段を提供できる。 The secure component stores vehicle part information that can uniquely identify the vehicle part in which it is installed, and a vehicle part certificate that includes a public key for mutual authentication and a public key signature. For example, by using an asymmetric key (public key + certificate + private key) for the key used for mutual authentication and writing information as the manufacturing certificate of the part in the certificate, it is possible to provide a means for verifying the identity of the vehicle part after the fact, as well as a means for certifying the public key.
セキュアコンポーネントを搭載する車両部品同士が非電動部品であっても、セキュアコンポーネント間の相互認証を実現できる。 Mutual authentication between secure components can be achieved even if the vehicle parts equipped with the secure components are non-electrical parts.
本実施の形態のセキュアコンポーネントは、セキュアエレメント、トラステッド実行環境又はICタグのいずれか1つを備える。 The secure component of this embodiment includes one of a secure element, a trusted execution environment, or an IC tag.
セキュアコンポーネントは、セキュアエレメント、トラステッド実行環境又はICタグのいずれか1つを備える。すなわち、セキュアコンポーネントは、耐タンパ性を有するセキュリティチップであるセキュアエレメントでもよく、SoC(System on Chip)上で、例えば、CPU仮想化支援技術(例えば、TrustZone(登録商標))と称される技術を用いることによって、SoC内で区分されたトラステッド実行環境(TEEとも称する)でもよく、あるいはICタグでもよい。これにより、車両や車両部品などの種類に応じて適切なセキュアコンポーネントを構成することができる。 The secure component comprises one of a secure element, a trusted execution environment, or an IC tag. That is, the secure component may be a secure element, which is a security chip with tamper resistance, or may be a trusted execution environment (also called TEE) divided within a SoC (System on Chip) by using, for example, a technology called CPU virtualization support technology (for example, TrustZone (registered trademark)) on the SoC, or may be an IC tag. This makes it possible to configure an appropriate secure component depending on the type of vehicle, vehicle part, etc.
本実施の形態の車両部品は、前述のセキュアコンポーネントを備える。 The vehicle components in this embodiment are equipped with the aforementioned secure components.
車両部品は、セキュアコンポーネントを備えるので、車両部品間の相互認証をセキュアコンポーネント間の相互認証により行うことができ、各車両部品が予め定められた適切な組み合わせで接続されているかを検証することができ、車両に用いられる車両部品に盗品等が混入することを防止することができ、車両部品を有効に保護することができる。 Since the vehicle components are equipped with secure components, mutual authentication between the vehicle components can be performed by mutual authentication between the secure components, and it can be verified whether each vehicle component is connected in a predetermined appropriate combination. This makes it possible to prevent stolen goods from being mixed into vehicle components used in the vehicle, thereby effectively protecting the vehicle components.
本実施の形態の車両部品は、前記セキュアコンポーネントが出力する動作許可に基づいて、動作可能である。 The vehicle components of this embodiment are operable based on the operation permission output by the secure component.
本実施の形態の情報処理方法は、前記複数の車両部品は、それぞれが搭載するセキュアコンポーネントに記憶された相互認証情報に基づいて、動作可否が決定される。 In the information processing method of this embodiment, the operation of the vehicle components is determined based on mutual authentication information stored in the secure components installed in each of the vehicle components.
車両部品は、セキュアコンポーネントが出力する動作許可に基づいて、動作可能である。セキュアコンポーネントによって、必要な相互認証が完了している場合にのみ車両部品は動作可能であるので、盗品等を組み合わせた不適切な構成の車両を動作させないことで、盗品の車両部品としての実効性を喪失させ、間接的に盗難を抑制することができる。 Vehicle parts are operable based on the operation permission output by the secure component. Vehicle parts are operable only when the necessary mutual authentication has been completed by the secure component. Therefore, by preventing the operation of vehicles with inappropriate configurations that incorporate stolen items, etc., stolen items are rendered ineffective as vehicle parts, thereby indirectly preventing theft.
本実施の形態の車両部品は、前記セキュアコンポーネントと外部サーバとの間に開設される秘匿通信路を介して前記外部サーバから受信した指示に基づいて、前記セキュアコンポーネントによる相互認証機能を一時的に無効化する。 In this embodiment, the vehicle component temporarily disables the mutual authentication function of the secure component based on an instruction received from the external server via a secret communication path established between the secure component and the external server.
車両部品は、セキュアコンポーネントと外部サーバとの間に開設される秘匿通信路を介して、外部サーバから受信した指示に基づいて、セキュアコンポーネントによる相互認証機能を一時的に無効化する。相互認証機能を一時的に無効化することにより、相互認証無しで車両の動作を可能にするので、衆人環視の状態で盗難リスクが少ない場合や、緊急時や急用等の理由で盗難リスクを許容又は余儀なくされる場合に対応することができる。 The vehicle component temporarily disables the mutual authentication function of the secure component based on instructions received from the external server via a secret communication path established between the secure component and the external server. Temporarily disabling the mutual authentication function allows the vehicle to operate without mutual authentication, making it possible to respond to situations where there is a low risk of theft in public or where the risk of theft is acceptable or unavoidable due to an emergency or urgent business, etc.
本実施の形態の車両部品は、前記セキュアコンポーネントと外部サーバとの間に開設される秘匿通信路を介して、前記外部サーバからの機能停止指示に基づいて、動作を停止可能である。 The vehicle component of this embodiment can stop operating based on a function stop instruction from the external server via a secret communication path established between the secure component and the external server.
車両部品は、セキュアコンポーネントと外部サーバとの間に開設される秘匿通信路を介して、外部サーバからの機能停止指示に基づいて、動作を停止可能である。車両が盗難された場合に、遠隔で車両部品の動作を停止させることができ、盗難車は車両を使用することができない。これにより、盗難を抑止することができる。 The vehicle components can be stopped from operating based on a function stop command from an external server via a secret communication path established between the secure component and the external server. If the vehicle is stolen, the operation of the vehicle components can be stopped remotely, and the stolen vehicle cannot be used. This makes it possible to prevent theft.
本実施の形態の車両部品は、前記車両に設けられた受付部からのユーザ指示に基づいて、動作を一時的に有効化する。 In this embodiment, the vehicle components temporarily activate their operation based on a user instruction from a reception unit installed in the vehicle.
車両部品は、車両に設けられた受付部からのユーザ指示に基づいて、動作を一時的に有効化する。無効化された車両部品に対して所定のユーザ指示を行うことで、一時的に部品機能を有効化し、車両としての使用を許可する。これにより、災害発生時や、不測の事態で車両が利用できなくなった場合に、安全な場所に移動するための救済手段を提供することができる。 Vehicle parts temporarily enable their operation based on user instructions from a reception unit installed in the vehicle. By issuing a specific user instruction to a disabled vehicle part, the part function is temporarily enabled and use as a vehicle is permitted. This provides a rescue means for moving to a safe location in the event of a disaster or when the vehicle becomes unusable due to an unforeseen incident.
本実施の形態の車両部品は、車両に用いられる第1の車両部品に搭載される第1のセキュアコンポーネント、及び前記車両に用いられる第2の車両部品に搭載される第2のセキュアコンポーネントそれぞれとの間で情報の送受信を行う通信部と、前記通信部を介して前記第1のセキュアコンポーネントと前記第2のセキュアコンポーネントとの間の相互認証を仲介する認証仲介部とを備える。 The vehicle component of this embodiment includes a communication unit that transmits and receives information between a first secure component mounted on a first vehicle component used in a vehicle and a second secure component mounted on a second vehicle component used in the vehicle, and an authentication mediation unit that mediates mutual authentication between the first secure component and the second secure component via the communication unit.
第1の車両部品に搭載される第1のセキュアコンポーネントと、第2の車両部品に搭載される第2のセキュアコンポーネントとが相互認証することができない場合(例えば、第1の車両部品及び第2の車両部品が、実際に部品を動作させるための制御機構や動作機構を備える電動部品と異なり、これらの機構を具備しない非電動部品である場合)、電動部品に備えられた認証仲介部が、相互認証の仲介を行うことにより、第1のセキュアコンポーネントと第2のセキュアコンポーネントとの相互認証を実現する。セキュアコンポーネントを搭載する車両部品同士が非電動部品であっても、セキュアコンポーネント間の相互認証を実現できるので、各車両部品が予め定められた適切な組み合わせで、通信部を経由して接続されているかを検証することができ、車両に用いられる車両部品に盗品等が混入することを防止することができ、車両部品を有効に保護することができる。 When a first secure component mounted on a first vehicle component and a second secure component mounted on a second vehicle component cannot mutually authenticate each other (for example, when the first vehicle component and the second vehicle component are non-electrical components that do not have a control mechanism or an operating mechanism for actually operating the components, unlike electric components that have these mechanisms), an authentication intermediary unit provided in the electric components mediates the mutual authentication, thereby realizing mutual authentication between the first secure component and the second secure component. Even if the vehicle components equipped with secure components are non-electrical components, mutual authentication between the secure components can be realized, so that it is possible to verify whether each vehicle component is connected via the communication unit in a predetermined appropriate combination, and it is possible to prevent stolen goods from being mixed into vehicle components used in a vehicle, thereby effectively protecting the vehicle components.
本実施の形態の車両部品において、前記第1の車両部品及び第2の車両部品それぞれは、非電動部品を含む。 In the vehicle parts of this embodiment, the first vehicle part and the second vehicle part each include a non-electric part.
本実施の形態の車両は、前述の車両部品を複数備える。 The vehicle of this embodiment is equipped with multiple vehicle components as described above.
車両は、車両部品を複数備える。これにより、盗品等の混入を防止できる車両を実現することができる。 The vehicle is equipped with multiple vehicle parts. This makes it possible to create a vehicle that can prevent stolen goods from being mixed in.
本実施の形態の管理システムは、前述の車両と、前記車両が備える複数の車両部品それぞれに搭載されたセキュアコンポーネントとの間で秘匿通信路を開設可能なサーバとを備え、前記サーバは、前記秘匿通信路を介して、相互認証に基づいて前記複数の車両部品及び前記車両の少なくとも一方を管理する。 The management system of this embodiment includes a server capable of establishing a secret communication path between the vehicle and a secure component mounted on each of a plurality of vehicle parts of the vehicle, and the server manages at least one of the vehicle parts and the vehicle based on mutual authentication via the secret communication path.
本実施の形態の管理方法は、前述の車両が備える複数の車両部品それぞれに搭載されたセキュアコンポーネントとの間で秘匿通信路を開設可能なサーバは、前記秘匿通信路を介して、相互認証に基づいて前記複数の車両部品及び前記車両の少なくとも一方を管理する。 In the management method of this embodiment, a server capable of establishing a secret communication path between the server and a secure component mounted on each of the vehicle components of the vehicle manages at least one of the vehicle components and the vehicle based on mutual authentication via the secret communication path.
サーバは、各セキュアコンポーネントとの間の秘匿通信路を介して、セキュアコンポーネントによる相互認証、車両部品の機能の作動又は停止、相互認証の一時的無効化又は有効化、相互認証に用いる鍵や証明書等の更新などの管理を行うことができる。これにより、車両に用いられる車両部品に盗品等が混入することを防止することができ、車両部品を有効に保護することができる。 The server can manage mutual authentication by the secure components, activation or deactivation of functions of vehicle components, temporary deactivation or activation of mutual authentication, and updating of keys and certificates used for mutual authentication, etc., via a secret communication path between each secure component. This makes it possible to prevent stolen goods from being mixed into vehicle parts used in vehicles, and to effectively protect the vehicle parts.
10 シフター
11 セキュアエレメント
12 制御部
13 相互認証仲介部
14 ネットワーク通信部
15 シフター操作部
16 相互認証部
17 部品証明書
18 秘匿通信部
19 相互認証リスト
20 ディレイラー
21 セキュアエレメント
22 ディレイラー制御部
23 ディレイラー駆動部
24 相互認証部
25 部品証明書
26 相互認証リスト
27 秘匿通信部
30 バッテリー
31 セキュアエレメント
32 バッテリー制御部
33 バッテリー
34 相互認証部
35 部品証明書
36 秘匿通信部
37 相互認証リスト
40 セキュアエレメント
41 相互認証部
42 部品証明書
43 相互認証リスト
44 秘匿通信部
50 セキュアエレメント
51 相互認証部
52 部品証明書
53 相互認証リスト
54 秘匿通信部
60 セキュアエレメント
61 相互認証部
62 部品証明書
63 相互認証リスト
64 秘匿通信部
100 自転車
200 自転車管理サーバ
210 部品DBアクセス部
220 ネットワーク通信部
230 秘匿通信部
250 自転車部品DB
251 自転車テーブル
LIST OF
251 Bicycle Table
Claims (18)
前記車両に用いられる他の車両部品に搭載される他のセキュアコンポーネントとの間で情報の送受信を行う通信部と、
前記通信部を介して前記他のセキュアコンポーネントと相互認証を行う認証部と、
相互認証対象と前記認証部による相互認証結果を対応付けた相互認証情報を記憶する第1記憶部と
を備え、
前記第1記憶部は、
前記車両に用いられる所定の車両部品に搭載される所定のセキュアコンポーネントとの相互認証情報を記憶し、
前記所定のセキュアコンポーネントとの相互認証が完了している場合、自身が搭載される車両部品の動作許可を出力する出力部をさらに備える、
セキュアコンポーネント。 A secure component mounted on a vehicle component used in a vehicle,
a communication unit that transmits and receives information to and from other secure components mounted on other vehicle components used in the vehicle;
an authentication unit that performs mutual authentication with the other secure component via the communication unit;
a first storage unit that stores mutual authentication information in which a mutual authentication target and a mutual authentication result by the authentication unit are associated with each other ,
The first storage unit is
storing mutual authentication information with a predetermined secure component mounted on a predetermined vehicle component used in the vehicle;
and an output unit that outputs, when mutual authentication with the predetermined secure component is completed, an operation permission for a vehicle component in which the vehicle component is mounted .
Secure components.
前記他のセキュアコンポーネントが相互認証用の秘密鍵で演算した演算結果を受信し、
前記認証部は、
相互認証用の公開鍵を用い、前記演算結果に基づいて相互認証を行う、
請求項1に記載のセキュアコンポーネント。 The communication unit is
receiving a calculation result calculated by the other secure component using a mutual authentication private key;
The authentication unit
performing mutual authentication based on the calculation result by using a public key for mutual authentication;
The secure component of claim 1 .
請求項1又は請求項2に記載のセキュアコンポーネント。 the mutual authentication information can be updated by the external server accessing the mutual authentication information stored in the first storage unit via a secret communication path established between the external server and the external server;
A secure component according to claim 1 or 2 .
請求項1から請求項3のいずれか一項に記載のセキュアコンポーネント。 storing at least one of a key and a certificate used for the mutual authentication, and enabling at least one of the key and the certificate to be updated via a secret communication path established with an external server;
A secure component according to any one of claims 1 to 3 .
請求項1から請求項4のいずれか一項に記載のセキュアコンポーネント。 a second storage unit that stores vehicle part information that can uniquely identify a vehicle part on which the vehicle part is mounted, and a vehicle part certificate including a public key and a public key signature for mutual authentication;
A secure component according to any one of claims 1 to 4 .
請求項1から請求項5のいずれか一項に記載のセキュアコンポーネント。 The device includes one of a secure element, a trusted execution environment, and an IC tag.
A secure component according to any one of claims 1 to 5 .
車両部品。 A secure component according to any one of claims 1 to 6 ,
Vehicle parts.
請求項7に記載の車両部品。 The secure component is operable based on an operation permission output by the secure component.
The vehicle component according to claim 7 .
請求項7又は請求項8に記載の車両部品。 temporarily disabling a mutual authentication function performed by the secure component based on an instruction received from the external server via a secret communication path established between the secure component and the external server;
The vehicle component according to claim 7 or 8 .
請求項7から請求項9のいずれか一項に記載の車両部品。 The operation of the secure component can be stopped based on a function stop instruction from an external server via a secret communication path established between the secure component and the external server.
The vehicle component according to any one of claims 7 to 9 .
請求項8に記載の車両部品。 Temporarily enabling an operation based on a user instruction from a reception unit provided in the vehicle.
The vehicle component according to claim 8 .
前記通信部を介して前記第1のセキュアコンポーネントと前記第2のセキュアコンポーネントとの間の相互認証を仲介する認証仲介部と、
前記第1のセキュアコンポーネントと
を備え、
前記第1のセキュアコンポーネントは、
前記第2のセキュアコンポーネントとの相互認証情報を記憶する記憶部と、
前記第2のセキュアコンポーネントとの相互認証が完了している場合、自身が搭載される車両部品の動作許可を出力する出力部と
を備える、
車両部品。 a communication unit that transmits and receives information between a first secure component mounted on a first vehicle component used in a vehicle and a second secure component mounted on a second vehicle component used in the vehicle;
an authentication intermediation unit that mediates mutual authentication between the first secure component and the second secure component via the communication unit ;
the first secure component;
Equipped with
The first secure component comprises:
a storage unit that stores mutual authentication information with the second secure component;
an output unit that outputs permission for operation of a vehicle part in which the second secure component is mounted when mutual authentication with the second secure component has been completed;
Equipped with
Vehicle parts.
請求項12に記載の車両部品。 Each of the first vehicle component and the second vehicle component includes a non-electric component.
The vehicle component of claim 12 .
車両。 A vehicle component according to any one of claims 7 to 13 ,
vehicle.
車両に用いられる車両部品に搭載される他のセキュアコンポーネントとの間で情報の送受信を行い、
前記他のセキュアコンポーネントと相互認証を行い、
相互認証対象と相互認証結果を対応付けた相互認証情報を記憶し、
前記車両に用いられる所定の車両部品に搭載される所定のセキュアコンポーネントとの相互認証情報を記憶し、
前記所定のセキュアコンポーネントとの相互認証が完了している場合、自身が搭載される車両部品の動作許可を出力する、
処理を実行させるコンピュータプログラム。 On the computer,
Sending and receiving information between other secure components installed in vehicle components used in the vehicle,
Mutual authentication is performed with the other secure component;
storing mutual authentication information in which the mutual authentication subject and the mutual authentication result are associated with each other;
storing mutual authentication information with a predetermined secure component mounted on a predetermined vehicle component used in the vehicle;
When mutual authentication with the predetermined secure component has been completed, outputting permission for operation of the vehicle component in which the device is mounted.
A computer program that executes a process.
相互認証対象と相互認証結果を対応付けた相互認証情報を記憶し、
前記車両に用いられる所定の車両部品に搭載される所定のセキュアコンポーネントとの相互認証情報を記憶し、
前記所定のセキュアコンポーネントとの相互認証が完了している場合、自身が搭載される車両部品の動作許可を出力する、
情報処理方法。 Mutual authentication is performed between the other secure components installed in each of the multiple vehicle parts used in the vehicle ,
storing mutual authentication information in which the mutual authentication subject and the mutual authentication result are associated with each other;
storing mutual authentication information with a predetermined secure component mounted on a predetermined vehicle component used in the vehicle;
When mutual authentication with the predetermined secure component has been completed, outputting permission for operation of the vehicle component in which the device is mounted.
Information processing methods.
請求項16に記載の情報処理方法。 the plurality of vehicle components determine whether or not to operate depending on whether or not mutual authentication based on mutual authentication information stored in a secure component mounted on each of the vehicle components has been completed .
The information processing method according to claim 16 .
前記車両が備える複数の車両部品それぞれに搭載されたセキュアコンポーネントとの間で秘匿通信路を開設可能なサーバと
を備え、
前記サーバは、
前記秘匿通信路を介して、相互認証に基づいて前記複数の車両部品の機能の作動又は停止を行う、
管理システム。 A vehicle according to claim 14 ;
a server capable of establishing a secret communication path between the server and a secure component mounted in each of a plurality of vehicle components provided in the vehicle,
The server,
Activating or deactivating functions of the plurality of vehicle parts based on mutual authentication via the secret communication path.
Management system.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020176817A JP7615605B2 (en) | 2020-10-21 | 2020-10-21 | Secure component, vehicle part, vehicle, computer program, management system and information processing method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020176817A JP7615605B2 (en) | 2020-10-21 | 2020-10-21 | Secure component, vehicle part, vehicle, computer program, management system and information processing method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2022067937A JP2022067937A (en) | 2022-05-09 |
| JP7615605B2 true JP7615605B2 (en) | 2025-01-17 |
Family
ID=81455911
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020176817A Active JP7615605B2 (en) | 2020-10-21 | 2020-10-21 | Secure component, vehicle part, vehicle, computer program, management system and information processing method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7615605B2 (en) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7826157B2 (en) * | 2022-09-15 | 2026-03-09 | 株式会社東芝 | IoT systems and programs |
| CN119862608A (en) * | 2023-10-19 | 2025-04-22 | 宁德时代(上海)智能科技有限公司 | Data processing method, device, equipment, system and storage medium |
| DE102024125309A1 (en) * | 2024-09-04 | 2026-03-05 | KILLWATT GmbH | METHOD FOR OPERATING A VEHICLE, DATA PROCESSING EQUIPMENT, VEHICLE COMPONENT, AND VEHICLE |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009151557A (en) | 2007-12-20 | 2009-07-09 | Denso It Laboratory Inc | Anti-theft device |
| JP2019517228A (en) | 2016-03-25 | 2019-06-20 | ティー−セントラル,インコーポレイティド | Internet of Things (IoT) Security and Management System and Method |
| WO2019145488A1 (en) | 2018-01-29 | 2019-08-01 | Nagravision S.A | Secure communication between in-vehicle electronic control units |
| JP2020511069A (en) | 2017-03-01 | 2020-04-09 | アップル インコーポレイテッドApple Inc. | System access using mobile devices |
-
2020
- 2020-10-21 JP JP2020176817A patent/JP7615605B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009151557A (en) | 2007-12-20 | 2009-07-09 | Denso It Laboratory Inc | Anti-theft device |
| JP2019517228A (en) | 2016-03-25 | 2019-06-20 | ティー−セントラル,インコーポレイティド | Internet of Things (IoT) Security and Management System and Method |
| JP2020511069A (en) | 2017-03-01 | 2020-04-09 | アップル インコーポレイテッドApple Inc. | System access using mobile devices |
| WO2019145488A1 (en) | 2018-01-29 | 2019-08-01 | Nagravision S.A | Secure communication between in-vehicle electronic control units |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2022067937A (en) | 2022-05-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5189073B2 (en) | Personal property, in particular a method, computer program and personal property for protecting automobiles from unauthorized use | |
| JP7615605B2 (en) | Secure component, vehicle part, vehicle, computer program, management system and information processing method | |
| US9767627B2 (en) | Method and apparatus for providing vehicle security | |
| CN106240522B (en) | Autonomous vehicle theft prevention | |
| Das et al. | A decentralized vehicle anti-theft system using Blockchain and smart contracts | |
| KR20200138059A (en) | Method for managing digital key of mobile device for vehicle-sharing and key server using the same | |
| CN109587682A (en) | Vehicle shares accessory module and system | |
| CN105900394A (en) | Method and device for releasing functionality of a control device | |
| US7551986B2 (en) | Program distribution system, program distribution device, and in-vehicle gateway device | |
| KR20170085047A (en) | Auto Security and Auto Safety System | |
| US7137142B2 (en) | Method and system for vehicle authentication of a component using key separation | |
| WO2020174544A1 (en) | Vehicle, vehicle onboard device, and management method | |
| KR20080075801A (en) | Security unit | |
| JP5772692B2 (en) | In-vehicle control device authentication system and in-vehicle control device authentication method | |
| CN101559745A (en) | Vehicle control system for preventing stealing and robbery and implementation method thereof | |
| JP2011217037A (en) | Network system and theft preventing method | |
| US12043210B2 (en) | System for managing access to a vehicle by a service provider that is to provide a service associated with the vehicle | |
| US20220245973A1 (en) | Remote access of transports | |
| US20240233464A1 (en) | Vehicular digital key system, vehicular digital key management method, vehicular device, and mobile terminal | |
| JP2016092811A (en) | Key management system, key management server device, management device, vehicle, key management method and computer program | |
| US20040003232A1 (en) | Method and system for vehicle component authentication of another vehicle component | |
| CN118138211A (en) | Vehicle digital key management on blockchain | |
| EP3167436B1 (en) | Method and apparatus for providing vehicle security | |
| Singh | Cybersecurity in automotive technology | |
| CN113015945B (en) | Method, control device and vehicle for certifying a transport task |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230829 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240327 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240507 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20240704 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240827 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20241203 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20241216 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7615605 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |