Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7615605B2 - Secure component, vehicle part, vehicle, computer program, management system and information processing method - Google Patents
[go: Go Back, main page]

JP7615605B2 - Secure component, vehicle part, vehicle, computer program, management system and information processing method - Google Patents

Secure component, vehicle part, vehicle, computer program, management system and information processing method Download PDF

Info

Publication number
JP7615605B2
JP7615605B2 JP2020176817A JP2020176817A JP7615605B2 JP 7615605 B2 JP7615605 B2 JP 7615605B2 JP 2020176817 A JP2020176817 A JP 2020176817A JP 2020176817 A JP2020176817 A JP 2020176817A JP 7615605 B2 JP7615605 B2 JP 7615605B2
Authority
JP
Japan
Prior art keywords
mutual authentication
vehicle
component
secure
secure component
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020176817A
Other languages
Japanese (ja)
Other versions
JP2022067937A (en
Inventor
正徳 浅野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dai Nippon Printing Co Ltd
Original Assignee
Dai Nippon Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dai Nippon Printing Co Ltd filed Critical Dai Nippon Printing Co Ltd
Priority to JP2020176817A priority Critical patent/JP7615605B2/en
Publication of JP2022067937A publication Critical patent/JP2022067937A/en
Application granted granted Critical
Publication of JP7615605B2 publication Critical patent/JP7615605B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Lock And Its Accessories (AREA)

Description

本発明は、セキュアコンポーネント、車両部品、車両、コンピュータプログラム、管理システム及び情報処理方法に関する。 The present invention relates to a secure component, a vehicle part, a vehicle, a computer program, a management system , and an information processing method.

自転車等の車両の盗難に対する技術的な対抗策の立案は多い。特許文献1には、防犯登録情報をオンラインで保存しておく一方、自転車に貼る防犯登録ステッカーにバーコードを印字しておき、当該バーコードを携帯端末で読み取ることにより、防犯登録情報を検索することができる検索装置が開示されている。 Many technical countermeasures have been proposed to prevent theft of vehicles such as bicycles. Patent Document 1 discloses a search device that stores crime prevention registration information online, prints a barcode on the crime prevention registration sticker attached to the bicycle, and can search for crime prevention registration information by reading the barcode with a mobile terminal.

また、特許文献2には、自転車の鍵を電子錠とし、携帯端末を用いて近距離無線通信で電子錠を解除することができる自転車シェアリングシステムが開示されている。 Patent document 2 also discloses a bicycle sharing system in which the bicycles are equipped with electronic locks that can be unlocked using short-range wireless communication with a mobile device.

特開2003-256960号公報JP 2003-256960 A 特開2015-113686号公報JP 2015-113686 A

一方でスポーツ自転車の流行に伴って、高級自転車が普及しつつある。高級自転車は、自動車やバイク等と同様に、部品単位で取引されることが多いため、これらの車両部品についても盗難に遭う可能性が高い。しかし、特許文献1、2の装置やシステムでは、自転車の盗難については考慮されているが、車両部品に対する保護は有効には機能しない。 On the other hand, with the popularity of sports bicycles, luxury bicycles are becoming more common. Like automobiles and motorcycles, luxury bicycles are often traded in parts, so there is a high possibility that these vehicle parts will also be stolen. However, while the devices and systems in Patent Documents 1 and 2 take into consideration bicycle theft, they do not effectively protect vehicle parts.

本発明は、斯かる事情に鑑みてなされたものであり、車両部品を有効に保護することができるセキュアコンポーネント、車両部品、車両、コンピュータプログラム、管理システム及び情報処理方法を提供することを目的とする。 The present invention has been made in consideration of the above circumstances, and aims to provide a secure component, a vehicle component, a vehicle, a computer program, a management system, and an information processing method that can effectively protect vehicle components.

本発明の実施の形態に係るセキュアコンポーネントは、車両に用いられる車両部品に搭載されるセキュアコンポーネントであって、前記車両に用いられる他の車両部品に搭載される他のセキュアコンポーネントとの間で情報の送受信を行う通信部と、前記通信部を介して前記他のセキュアコンポーネントと相互認証を行う認証部と、相互認証対象と前記認証部による相互認証結果を対応付けた相互認証情報を記憶する第1記憶部とを備える。 A secure component according to an embodiment of the present invention is a secure component mounted on a vehicle component used in a vehicle, and includes a communication unit that transmits and receives information to and from other secure components mounted on other vehicle components used in the vehicle, an authentication unit that performs mutual authentication with the other secure components via the communication unit, and a first storage unit that stores mutual authentication information that associates mutual authentication targets with mutual authentication results obtained by the authentication unit.

本発明の実施の形態に係る車両部品は、前述のセキュアコンポーネントを備える。 The vehicle component according to the embodiment of the present invention is equipped with the above-mentioned secure component.

本発明の実施の形態に係る車両部品は、車両に用いられる第1の車両部品に搭載される第1のセキュアコンポーネント、及び前記車両に用いられる第2の車両部品に搭載される第2のセキュアコンポーネントそれぞれとの間で情報の送受信を行う通信部と、前記通信部を介して前記第1のセキュアコンポーネントと前記第2のセキュアコンポーネントとの間の相互認証を仲介する認証仲介部とを備える。 A vehicle component according to an embodiment of the present invention includes a communication unit that transmits and receives information between a first secure component mounted on a first vehicle component used in a vehicle and a second secure component mounted on a second vehicle component used in the vehicle, and an authentication intermediary unit that mediates mutual authentication between the first secure component and the second secure component via the communication unit.

本発明の実施の形態に係る車両は、前述の車両部品を複数備える。 A vehicle according to an embodiment of the present invention includes a plurality of the vehicle components described above.

本発明の実施の形態に係るコンピュータプログラムは、コンピュータに、車両に用いられる車両部品に搭載されるセキュアコンポーネントとの間で情報の送受信を行い、前記セキュアコンポーネントと相互認証を行い、相互認証対象と相互認証結果を対応付けた相互認証情報を記憶する、処理を実行させる。 A computer program according to an embodiment of the present invention causes a computer to execute a process of transmitting and receiving information to and from a secure component mounted on a vehicle component used in a vehicle, performing mutual authentication with the secure component, and storing mutual authentication information that associates mutual authentication targets with mutual authentication results.

本発明の実施の形態に係る情報処理方法は、車両に用いられる複数の車両部品それぞれに搭載されるセキュアコンポーネントの間で相互認証を行い、各セキュアコンポーネントは、相互認証対象と相互認証結果を対応付けた相互認証情報を記憶する。 An information processing method according to an embodiment of the present invention performs mutual authentication between secure components mounted on each of a plurality of vehicle components used in a vehicle, and each secure component stores mutual authentication information that associates mutual authentication targets with mutual authentication results.

本発明の実施の形態に係る管理システムは、前述の車両と、前記車両が備える複数の車両部品それぞれに搭載されたセキュアコンポーネントとの間で秘匿通信路を開設可能なサーバとを備え、前記サーバは、前記秘匿通信路を介して、相互認証に基づいて前記複数の両部品及び前記車両の少なくとも一方を管理する。 The management system according to an embodiment of the present invention includes a server capable of establishing a secret communication path between the vehicle and a secure component mounted on each of a plurality of vehicle components of the vehicle, and the server manages at least one of the plurality of components and the vehicle based on mutual authentication via the secret communication path.

本発明の実施の形態に係る管理方法は、前述の車両が備える複数の車両部品それぞれに搭載されたセキュアコンポーネントとの間で秘匿通信路を開設可能なサーバは、前記秘匿通信路を介して、相互認証に基づいて前記複数の両部品及び前記車両の少なくとも一方を管理する。 In a management method according to an embodiment of the present invention, a server capable of establishing a secret communication path between the server and a secure component mounted on each of a plurality of vehicle components of the vehicle manages at least one of the plurality of vehicle components and the vehicle based on mutual authentication via the secret communication path.

本発明によれば、車両部品が予め定められた適切な組み合わせで接続されているかを検証するので、盗品等の混入を防止することができ、車両部品を有効に保護することができる。 The present invention verifies whether vehicle parts are connected in a predetermined appropriate combination, which prevents the intrusion of stolen goods and effectively protects vehicle parts.

本実施の形態の情報処理システムの構成の一例を示す模式図である。1 is a schematic diagram illustrating an example of a configuration of an information processing system according to an embodiment of the present invention. ディレイラー、バッテリー、前ホイールに埋め込まれたセキュアエレメント、後ホイールに埋め込まれたセキュアエレメント及びフレームに埋め込まれたセキュアエレメントの構成の一例を示す模式図である。FIG. 2 is a schematic diagram showing an example of the configuration of a derailleur, a battery, a secure element embedded in a front wheel, a secure element embedded in a rear wheel, and a secure element embedded in a frame. 公開鍵のTrustChainの作成手順の一例を示す模式図である。FIG. 1 is a schematic diagram showing an example of a procedure for creating a public key TrustChain. 電動部品間のコマンド授受フローの一例を示す模式図である。FIG. 4 is a schematic diagram showing an example of a command transmission and reception flow between electric components. 電動部品-非電動部品間のコマンド授受フローの一例を示す模式図である。FIG. 13 is a schematic diagram showing an example of a command transmission and reception flow between an electric component and a non-electric component. 非電動部品-非電動部品間のコマンド授受フローの一例を示す模式図である。FIG. 13 is a schematic diagram showing an example of a command transmission and reception flow between non-electric components; 電動部品手動でコマンドを授受する場合の相互認証のフローの一例を示す模式図である。FIG. 13 is a schematic diagram showing an example of a flow of mutual authentication when commands are manually exchanged between electric components; 非電動部品間でコマンドを授受する場合の相互認証のフローの一例を示す模式図である。FIG. 13 is a schematic diagram showing an example of a flow of mutual authentication when a command is exchanged between non-electric components; 相互認証完了時の部品動作制御のフローの一例を示す模式図である。FIG. 11 is a schematic diagram illustrating an example of a flow of component operation control when mutual authentication is completed. 秘匿通信路による相互認証リストの更新のフローの一例を示す模式図である。FIG. 11 is a schematic diagram showing an example of a flow of updating a mutual authentication list via a secure communication channel. シフター以外の部品の更新後の相互認証リストの一例を示す模式図である。FIG. 13 is a schematic diagram showing an example of an updated mutual authentication list for a part other than a shifter. 秘匿通信機能による機能停止のフローの一例を示す模式図である。FIG. 11 is a schematic diagram showing an example of a flow of function suspension by a secret communication function. シフター以外の部品内のセキュアエレメントの無効化の一例を示す模式図である。FIG. 13 is a schematic diagram showing an example of disabling a secure element in a part other than a shifter. 秘匿通信路経由の場合の一時的な相互認証の無効化のフローの一例を示す模式図である。FIG. 11 is a schematic diagram illustrating an example of a flow of temporarily revoking mutual authentication in the case of via a secret communication path. シフター以外の部品内のセキュアエレメントの一時的な相互認証の無効化の一例を示す模式図である。FIG. 13 is a schematic diagram showing an example of temporary disabling of mutual authentication of a secure element in a component other than a shifter. 入力I/F経由の場合の一時的な相互認証の無効化のフローの一例を示す模式図である。FIG. 13 is a schematic diagram showing an example of a flow of temporarily disabling mutual authentication in the case of via an input I/F; シフター以外の部品内のセキュアエレメントの一時的な相互認証の無効化の一例を示す模式図である。FIG. 13 is a schematic diagram showing an example of temporary disabling of mutual authentication of secure elements in components other than the shifter. 本実施の形態の管理システムの構成の一例を示す模式図である。FIG. 1 is a schematic diagram illustrating an example of a configuration of a management system according to an embodiment of the present invention.

以下、本発明をその実施の形態を示す図面に基づいて説明する。図1は本実施の形態の情報処理システムの構成の一例を示す模式図である。情報処理システムは、車両としての自転車100、自転車管理サーバ200、及び自転車部品DB250を備える。以下では、車両として自転車を例に挙げて説明するが、車両は自転車に限定されるものではなく、自動二輪車(バイク)、自動車なども含む。自転車100と自転車管理サーバ200は、無線ネットワーク又は有線ネットワーク経由で通信を行うことができる。自転車管理サーバ200は、複数のサーバで分散してもよく、また、自転車部品DB250を自転車管理サーバ200内に格納してもよい。 The present invention will now be described with reference to the drawings showing an embodiment of the invention. FIG. 1 is a schematic diagram showing an example of the configuration of an information processing system according to this embodiment. The information processing system comprises a bicycle 100 as a vehicle, a bicycle management server 200, and a bicycle parts DB 250. In the following description, a bicycle is used as an example of a vehicle, but the vehicle is not limited to bicycles and also includes motorcycles (motorcycles) and automobiles. The bicycle 100 and the bicycle management server 200 can communicate via a wireless network or a wired network. The bicycle management server 200 may be distributed across multiple servers, and the bicycle parts DB 250 may be stored within the bicycle management server 200.

自転車100は、セキュアエレメントを埋め込んだ複数の部品(車両部品)を備える。以下では、セキュアコンポーネントの例としてセキュアエレメントを挙げて説明するが、セキュアコンポーネントは、セキュアエレメントに限定されるものではなく、SoC(System on Chip)上で、例えば、CPU仮想化支援技術(例えば、TrustZone(登録商標))と称される技術を用いることによって、SoC内で区分されたトラステッド実行環境(TEEとも称する)でもよく、あるいはICタグでもよい。 The bicycle 100 includes multiple components (vehicle components) with embedded secure elements. In the following, secure elements are used as an example of a secure component, but the secure component is not limited to a secure element, and may be a trusted execution environment (also called a TEE) separated within a SoC (System on Chip) by using a technology called CPU virtualization support technology (e.g., TrustZone (registered trademark)) on the SoC, or may be an IC tag.

一般的な(安価な)自転車の場合、自転車は全て力学的な機構で動作している(ワイヤーでギアチェンジを伝達する等)が、レース用途などの高価な自転車の場合、一部の機能が電動化されている場合もある(電動コンポ)。本実施の形態では、主として、この電動コンポを具備する構成を前提に説明するが、電動コンポ以外の部品(フレームやホイール等)についてもセキュアエレメントを埋め込んであり、電動コンポ部品(電動部品とも称する)と通信可能な信号線が接続されている。なお、電動コンポ以外の部品のセキュアエレメントへの給電は電動部品から行われる。なお、便宜上、実際に自転車を構成する部品の一部を省略しているが、図に示す部品と同一のメカニズムで動作する。 In the case of a typical (low-cost) bicycle, all of the bicycle's functions are mechanical (such as gear changes being transmitted by wires), but in the case of expensive bicycles for racing and the like, some functions may be motorized (electric components). In this embodiment, the explanation will be mainly based on a configuration equipped with this electric component, but secure elements are also embedded in parts other than the electric component (such as the frame and wheels), and signal lines capable of communicating with the electric component parts (also called electric components) are connected. Note that power is supplied to the secure elements of parts other than the electric component from the electric components. Note that for convenience, some of the parts that actually make up the bicycle have been omitted, but they operate using the same mechanism as the parts shown in the figure.

自転車100は、シフター10、ディレイラー20、バッテリー30、前ホイールに埋め込まれたセキュアエレメント40、後ホイールに埋め込まれたセキュアエレメント50、及びフレームに埋め込まれたセキュアエレメント60を備える。 The bicycle 100 includes a shifter 10, a derailleur 20, a battery 30, a secure element 40 embedded in the front wheel, a secure element 50 embedded in the rear wheel, and a secure element 60 embedded in the frame.

シフター10は、変速指示装置であり、自転車100のギアチェンジをハンドル部分から指示するための装置である。シフター10は、セキュアエレメント11、制御部12、相互認証仲介部13、ネットワーク通信部14、シフター操作部15、及び入力I/Fを備える。セキュアエレメント11は、相互認証部16、部品証明書17、秘匿通信部18、及び相互認証リスト19を備える。 The shifter 10 is a gear shift instruction device, and is a device for instructing gear changes on the bicycle 100 from the handlebars. The shifter 10 comprises a secure element 11, a control unit 12, a mutual authentication intermediary unit 13, a network communication unit 14, a shifter operation unit 15, and an input I/F. The secure element 11 comprises a mutual authentication unit 16, a part certificate 17, a secret communication unit 18, and a mutual authentication list 19.

本実施例では、シフター10に自転車通信におけるコア機能を組み込んでいる。コア機能は、ネットワーク通信部14、相互認証部16、及び入力I/Fで構成される。ネットワーク通信部14は、自転車100が外部ネットワークと通信するための機能を備える。相互認証部16は、非電動部品間で相互認証を行う際に認証を仲介する機能を備える。入力I/Fは、ユーザが相互認証の開始やネットワーク通信を指示するための機能を備える。非電動部品の相互認証や外部ネットワークとの通信を行う際は、これらのコア機能が通信を仲介する。なお、本実施例では、シフター10がコア機能を備えているが、サイクルコンピュータ、スマートフォン等の他の機器がコア機能を備えてもよい。 In this embodiment, the core functions for bicycle communication are incorporated into the shifter 10. The core functions are composed of a network communication unit 14, a mutual authentication unit 16, and an input I/F. The network communication unit 14 has a function that allows the bicycle 100 to communicate with an external network. The mutual authentication unit 16 has a function that mediates authentication when mutual authentication is performed between non-electric parts. The input I/F has a function that allows the user to start mutual authentication and instruct network communication. When mutual authentication of non-electric parts is performed or communication with an external network is performed, these core functions mediate communication. Note that in this embodiment, the shifter 10 has the core functions, but other devices such as a cycle computer or smartphone may also have the core functions.

図2はディレイラー20、バッテリー30、前ホイールに埋め込まれたセキュアエレメント40、後ホイールに埋め込まれたセキュアエレメント50、及びフレームに埋め込まれたセキュアエレメント60の構成の一例を示す模式図である。ディレイラー20は、外装変速機であり、シフター10からの指示に応じて実際にギアをチェンジする機構である。ディレイラー20は、セキュアエレメント21、ディレイラー制御部22、ディレイラー駆動部23、相互認証部24、部品証明書25、相互認証リスト26、及び秘匿通信部27を備える。 Figure 2 is a schematic diagram showing an example of the configuration of a derailleur 20, a battery 30, a secure element 40 embedded in the front wheel, a secure element 50 embedded in the rear wheel, and a secure element 60 embedded in the frame. The derailleur 20 is an externally mounted transmission, and is a mechanism that actually changes gears in response to instructions from the shifter 10. The derailleur 20 includes a secure element 21, a derailleur control unit 22, a derailleur drive unit 23, a mutual authentication unit 24, a part certificate 25, a mutual authentication list 26, and a secret communication unit 27.

バッテリー30は、電動部品に給電するための電池である。バッテリー30は、セキュアエレメント31、バッテリー制御部32、バッテリー33、相互認証部34、部品証明書35、秘匿通信部36、及び相互認証リスト37を備える。 The battery 30 is a battery for supplying power to electric components. The battery 30 includes a secure element 31, a battery control unit 32, a battery 33, a mutual authentication unit 34, a component certificate 35, a secret communication unit 36, and a mutual authentication list 37.

前ホイールは、自転車の前方の車輪である。前ホイールに埋め込まれたセキュアエレメント40は、相互認証部41、部品証明書42、相互認証リスト43、及び秘匿通信部44を備える。 The front wheel is the wheel at the front of the bicycle. The secure element 40 embedded in the front wheel includes a mutual authentication unit 41, a part certificate 42, a mutual authentication list 43, and a secret communication unit 44.

後ホイールは、自転車の後方の車輪である。後ホイールに埋め込まれたセキュアエレメント50は、相互認証部51、部品証明書52、相互認証リスト53、及び秘匿通信部54を備える。 The rear wheel is the wheel at the rear of the bicycle. The secure element 50 embedded in the rear wheel includes a mutual authentication unit 51, a part certificate 52, a mutual authentication list 53, and a secret communication unit 54.

フレームは、自転車の車体部であり、各部品を組み込んで完成車化するための基本部品である。フレームに埋め込まれたセキュアエレメント60は、相互認証部61、部品証明書62、相互認証リスト63、及び秘匿通信部64を備える。 The frame is the body of the bicycle and is the basic component into which each component is assembled to create a complete bicycle. The secure element 60 embedded in the frame includes a mutual authentication unit 61, a component certificate 62, a mutual authentication list 63, and a secret communication unit 64.

次に、各部品に組み込まれているセキュアエレメントについて、シフター10に組み込まれたセキュアエレメント11を例に挙げて説明する。なお、他のセキュアエレメントも同様であるので、他のセキュアエレメントの説明は省略する。 Next, the secure elements built into each component will be explained using the secure element 11 built into the shifter 10 as an example. Note that the other secure elements are similar, so explanations of the other secure elements will be omitted.

相互認証部16は、他の部品に組み込まれているセキュアエレメントと相互認証するための機能を備える。部品証明書17は、セキュアエレメントが組み込まれている部品の製造情報(ID等)と、部品個別の公開鍵、公開鍵署名を格納したデータセットである。秘匿通信部18は、自転車管理サーバ200とセキュアエレメント11が秘匿通信を行うための機能を備える。相互認証リスト19は、相互認証情報を表し、相互認証を行うべき部品と、当該部品に対して相互認証が完了しているか否かを示すフラグ(相互認証フラグ)のリストである。相互認証情報は、相互認証対象と相互認証結果を対応付けた情報である。 The mutual authentication unit 16 has a function for performing mutual authentication with a secure element incorporated in another component. The component certificate 17 is a data set that stores manufacturing information (ID, etc.) of the component in which the secure element is incorporated, and the component's individual public key and public key signature. The secret communication unit 18 has a function for performing secret communication between the bicycle management server 200 and the secure element 11. The mutual authentication list 19 represents mutual authentication information and is a list of components for which mutual authentication should be performed and a flag (mutual authentication flag) indicating whether mutual authentication has been completed for that component. The mutual authentication information is information that associates mutual authentication targets with mutual authentication results.

セキュアエレメント11が使用する鍵は、公開鍵(「部品公開鍵」とも称する)、秘密鍵(「部品秘密鍵」とも称する)、秘匿通信鍵、CA公開鍵である。公開鍵は、相互認証時に署名を検証するための鍵である。公開鍵は、他の部品のセキュアエレメントに配布することで、自身の生成署名を検証させるために用いる。秘密鍵は、相互認証時に署名を生成するための鍵である。秘匿通信鍵は、自転車管理サーバ200とセキュアエレメントが秘匿通信を行うための鍵である。CA公開鍵は、公開鍵に署名したCA(Certificate Authority)が公開している鍵であり、公開鍵証明書を用いて配布された公開鍵を検証するための鍵である。本実施例の公開鍵証明書は、部品公開鍵、及び部品情報に対してCAが持つCA秘密鍵により署名を行ったデータを含む。これにより、製造元を詐称した不正な部品が偽の公開鍵や部品情報を使用したとしても、CA秘密鍵の秘密性により当該データが不正であることを検知することができる。 The keys used by the secure element 11 are a public key (also called a "part public key"), a private key (also called a "part private key"), a secret communication key, and a CA public key. The public key is a key for verifying a signature during mutual authentication. The public key is distributed to the secure elements of other parts to be used to verify the signature generated by the secure element itself. The private key is a key for generating a signature during mutual authentication. The secret communication key is a key for the bicycle management server 200 and the secure element to perform secret communication. The CA public key is a key made public by the CA (Certificate Authority) that signed the public key, and is a key for verifying the public key distributed using a public key certificate. The public key certificate of this embodiment includes data in which the part public key and part information are signed with the CA private key held by the CA. As a result, even if a fraudulent part that falsely claims to be a manufacturer uses a fake public key or part information, it is possible to detect that the data is fraudulent due to the confidentiality of the CA private key.

図3は公開鍵のTrustChainの作成手順の一例を示す模式図である。以下、図中の各処理を#1~#9として説明する。 Figure 3 is a schematic diagram showing an example of the procedure for creating a public key TrustChain. Each process in the diagram will be explained below as #1 to #9.

#1(部品情報の生成):部品工場は、セキュアエレメントを埋め込む対象となる部品名、ID等の情報を1件分の部品情報として生成する。 #1 (Generating part information): The parts factory generates information on the part name, ID, etc., into which the secure element will be embedded, as one piece of part information.

#2(部品情報の提供):部品工場は、生成した部品情報をセキュアエレメント工場へ提供する。 #2 (Provision of component information): The component factory provides the generated component information to the secure element factory.

#3(部品用鍵ペアの生成):セキュアエレメント工場は、新たに鍵ペアを生成し、受領した部品情報に対応する鍵ペアとする。 #3 (Generate a key pair for components): The secure element factory generates a new key pair and assigns it to the component information received.

#4(CSRの生成):セキュアエレメント工場は、生成した部品公開鍵、部品情報をまとめ、CSR(Certificate Signing Request)としてCAに送る。 #4 (CSR generation): The secure element factory compiles the generated component public key and component information and sends it to the CA as a CSR (Certificate Signing Request).

#5(CA秘密鍵による署名生成):CAは、自身が保持する秘密鍵を用いて、部品公開鍵、部品情報全体に対する署名を生成する。 #5 (Signature generation using CA private key): The CA uses its own private key to generate a signature for the component public key and the entire component information.

#6(署名の返送):CAは、生成した署名をセキュアエレメント工場へ返送する。 #6 (Return of signature): The CA returns the generated signature to the secure element factory.

#7(部品証明書の生成):セキュアエレメント工場は、部品情報、公開鍵(部品公開鍵)、公開鍵署名を組み合わせて部品証明書を生成する。 #7 (Generate component certificate): The secure element factory generates a component certificate by combining the component information, public key (component public key), and public key signature.

#8(セキュアエレメントへの書き込み):セキュアエレメント工場は、部品証明書、CAから取得したCA公開鍵、及び部品に対応した部品秘密鍵をセキュアエレメントに書き込む。 #8 (Write to secure element): The secure element factory writes the part certificate, the CA public key obtained from the CA, and the part private key corresponding to the part to the secure element.

#9(セキュアエレメントの提供):セキュアエレメント工場は、書き込みが完了したセキュアエレメントを部品工場に提供する。部品工場は、当該セキュアエレメントを部品に組み込む(埋め込む)。 #9 (Providing a secure element): The secure element factory provides the secure element after programming has been completed to the parts factory. The parts factory incorporates (embeds) the secure element into the parts.

なお、TrustChainの作成手順は、必ずしも図3に例示する順序で実施する必要はない。公開鍵、署名、ID等の詐称が困難となるように種々の手順を使用することができる。 The TrustChain creation procedure does not necessarily have to be carried out in the order illustrated in Figure 3. Various procedures can be used to make it difficult to forge public keys, signatures, IDs, etc.

自転車管理サーバ200は、部品DBアクセス部210、ネットワーク通信部220、及び秘匿通信部230を備える。ネットワーク通信部220は、自転車100とネットワーク通信を行うための機能を備える。部品DBアクセス部210は、自転車部品DB250にアクセスし、鍵の読み出し、更新等を行う機能を備える。秘匿通信部230は、秘匿通信鍵を用いて、自転車100の各部品に組み込まれたセキュアエレメントと秘匿通信路を開設するための機能を備える。 The bicycle management server 200 comprises a parts DB access unit 210, a network communication unit 220, and a secret communication unit 230. The network communication unit 220 has a function for performing network communication with the bicycle 100. The parts DB access unit 210 has a function for accessing the bicycle parts DB 250 and for reading and updating keys, etc. The secret communication unit 230 has a function for opening a secret communication path with a secure element built into each part of the bicycle 100 using a secret communication key.

自転車部品DB250は、自転車のフレーム毎に部品のIDで完成車の構成をレコード表現する自転車テーブル251、各IDに紐づく部品の公開鍵、秘密鍵、秘匿通信鍵を格納している。自転車部品DB250の構成は、図1の例に限定されるものではない。例えば、部品の公開鍵を、部品メーカごと等、分散保持してもよい。 The bicycle parts DB 250 stores a bicycle table 251 that records the configuration of a completed bicycle using the IDs of the parts for each bicycle frame, and the public keys, private keys, and secret communication keys of the parts linked to each ID. The configuration of the bicycle parts DB 250 is not limited to the example in Figure 1. For example, the public keys of parts may be stored in a distributed manner, such as by parts manufacturer.

次に、本実施の形態の情報処理システムの処理について説明する。 Next, we will explain the processing of the information processing system in this embodiment.

本実施例では、各部品を組み付けた後、ユーザの指示により部品間で相互認証処理が実行され、実行結果が各セキュアエレメントの相互認証リストに記録されるように構成することができる。相互認証時の部品の組み合わせについては、(1)電動部品-電動部品、(2)電動部品-非電動部品、(3)非電動部品-非電動部品、の3通りのパターンが存在する。電動部品-電動部品の組み合わせは、一方の電動部品から他方の電動部品にコマンドを送信して相互認証する。電動部品-非電動部品の組み合わせは、電動部品から非電動部品にコマンドを送信して相互認証する。非電動部品-非電動部品の組み合わせは、相互認証仲介部13から、双方の非電動部品にコマンドを送信して相互認証する。以下、各パターンの相互認証処理について説明する。 In this embodiment, after each component is assembled, mutual authentication processing is executed between the components at the user's command, and the execution result can be configured to be recorded in the mutual authentication list of each secure element. There are three patterns for combinations of components during mutual authentication: (1) electric component-electric component, (2) electric component-non-electric component, and (3) non-electric component-non-electric component. For electric component-electric component combinations, mutual authentication is performed by sending a command from one electric component to the other electric component. For electric component-non-electric component combinations, mutual authentication is performed by sending a command from the electric component to the non-electric component. For non-electric component-non-electric component combinations, mutual authentication is performed by sending a command from the mutual authentication intermediary unit 13 to both non-electric components. The mutual authentication processing for each pattern is explained below.

図4は電動部品間のコマンド授受フローの一例を示す模式図である。以下、図中の各処理を#1~#11として説明する。 Figure 4 is a schematic diagram showing an example of the command exchange flow between electric components. Each process in the diagram will be explained below as #1 to #11.

#1(ユーザの相互認証指示):ユーザは、シフター10に対して相互認証指示を入力する。ユーザの指示はシフター10の制御部12に伝達される。 #1 (User's mutual authentication instruction): The user inputs a mutual authentication instruction to the shifter 10. The user's instruction is transmitted to the control unit 12 of the shifter 10.

#2(シフター10側のセキュアエレメント11への相互認証開始指示):制御部12は、ユーザの入力をトリガとして、自身のセキュアエレメント11に対して相互認証コマンドの生成を指示する。 #2 (Instruction to start mutual authentication to the secure element 11 on the shifter 10 side): Triggered by user input, the control unit 12 instructs its own secure element 11 to generate a mutual authentication command.

#3(コマンドの生成):セキュアエレメント11は、制御部12の生成指示を受けて、相互認証を行うコマンドを生成する。このとき、相互認証を必要とする部品を相互認証リスト19から検索し、認証が完了していない部品に対してコマンドを生成する。図4の例では、バッテリー30以外の部品に対する認証は完了(符号Oで示す)しているものとし、バッテリー30に対するコマンドを生成するとする。 #3 (Command generation): Upon receiving a command to perform mutual authentication from the control unit 12, the secure element 11 generates a command to perform mutual authentication. At this time, the mutual authentication list 19 is searched for components that require mutual authentication, and commands are generated for components for which authentication has not been completed. In the example of FIG. 4, it is assumed that authentication for components other than the battery 30 has been completed (indicated by the symbol O), and a command for the battery 30 is generated.

#4(制御部12へのコマンドの送出):セキュアエレメント11は、生成したコマンドを制御部12へ送出する。このとき、コマンドの送信先(ここでは、バッテリー30)も合わせて制御部12へ通知する。 #4 (Sending a command to the control unit 12): The secure element 11 sends the generated command to the control unit 12. At this time, it also notifies the control unit 12 of the destination of the command (here, the battery 30).

#5(バッテリー30へのコマンドの送出):制御部12は、セキュアエレメント11が生成したコマンドを、セキュアエレメント11が特定した送信先へ送信する。ここでは、送信先はバッテリー30であるので、制御部12は、コマンドをバッテリー30へ送信する。バッテリー30のバッテリー制御部32は、制御部12から相互認証コマンドを受信する。 #5 (sending a command to the battery 30): The control unit 12 sends the command generated by the secure element 11 to the destination specified by the secure element 11. In this case, the destination is the battery 30, so the control unit 12 sends the command to the battery 30. The battery control unit 32 of the battery 30 receives the mutual authentication command from the control unit 12.

#6(バッテリー30側のセキュアエレメント31へのコマンドの送出):バッテリー制御部32は、自身のセキュアエレメント31に対して、受信した相互認証コマンドを渡す。 #6 (sending a command to the secure element 31 on the battery 30 side): The battery control unit 32 passes the received mutual authentication command to its own secure element 31.

#7(コマンド処理+レスポンス生成):バッテリー30のセキュアエレメント31は、受信した相互認証コマンドを処理し、レスポンスを生成する。 #7 (command processing + response generation): The secure element 31 of the battery 30 processes the received mutual authentication command and generates a response.

#8(レスポンスの出力):セキュアエレメント31は、レスポンスをバッテリー制御部32へ渡す。 #8 (output of response): The secure element 31 passes the response to the battery control unit 32.

#9(シフター10へのレスポンスの返送):バッテリー制御部32は、受信したレスポンスをシフター10へ返送する。 #9 (Returning response to shifter 10): The battery control unit 32 returns the received response to the shifter 10.

#10(シフター10側のセキュアエレメント11へのレスポンスの返送):シフター10の制御部12は、バッテリー制御部32から受信したレスポンスをセキュアエレメント11へ返送する。 #10 (Returning a response to the secure element 11 on the shifter 10 side): The control unit 12 of the shifter 10 returns the response received from the battery control unit 32 to the secure element 11.

#11(レスポンスの処理及び次コマンドの生成):セキュアエレメント11は、制御部12から受信したレスポンスを処理する。必要であれば、後続のコマンドを生成し、相互認証処理が完了するまで、コマンド授受を繰り返すことができる。 #11 (Response processing and generation of next command): The secure element 11 processes the response received from the control unit 12. If necessary, it can generate a subsequent command and repeat command exchange until the mutual authentication process is completed.

図5は電動部品-非電動部品間のコマンド授受フローの一例を示す模式図である。電動部品としてディレイラー20を挙げ、非電動部品として後ホイールを挙げて説明する。以下、図中の各処理を#1~#11として説明する。 Figure 5 is a schematic diagram showing an example of a command exchange flow between an electrically powered component and a non-electrical component. The following describes the process using the derailleur 20 as an example of an electrically powered component and the rear wheel as an example of a non-electrical component. Below, each process in the diagram will be described as #1 to #11.

#1(ユーザの相互認証指示):ユーザは、シフター10に対して相互認証指示を入力する。ユーザの指示はシフター10の制御部12に伝達される。 #1 (User's mutual authentication instruction): The user inputs a mutual authentication instruction to the shifter 10. The user's instruction is transmitted to the control unit 12 of the shifter 10.

#2(ディレイラー20への相互認証指示):シフター10の制御部12は、ディレイラー20に対して、ディレイラー20自身の相互認証を実施するよう指示する。 #2 (mutual authentication instruction to derailleur 20): The control unit 12 of the shifter 10 instructs the derailleur 20 to perform mutual authentication of the derailleur 20 itself.

#3(ディレイラー制御部22の指示受信):ディレイラー制御部22は、シフター10から相互認証を実施する旨の指示を受信する。 #3 (derailleur control unit 22 receives instruction): The derailleur control unit 22 receives an instruction from the shifter 10 to perform mutual authentication.

#4(ディレイラー20側のセキュアエレメント21へのコマンド生成指示):ディレイラー制御部22は、自身のセキュアエレメント21に対して相互認証コマンドの生成を指示する。 #4 (command generation instruction to the secure element 21 on the derailleur 20 side): The derailleur control unit 22 instructs its own secure element 21 to generate a mutual authentication command.

#5(コマンドの生成):セキュアエレメント21は、ディレイラー制御部22の生成指示を受けて、相互認証を行うコマンドを生成する。このとき、相互認証を必要とする部品を相互認証リスト26から検索し、認証が完了していない部品に対してコマンドを生成する。図5の例では、後ホイール以外の部品に対する認証は完了(符号Oで示す)しているものとし、後ホイールに対するコマンドを生成するとする。 #5 (Command generation): Upon receiving a command from the derailleur control unit 22, the secure element 21 generates a command to perform mutual authentication. At this time, it searches the mutual authentication list 26 for parts that require mutual authentication, and generates commands for parts for which authentication has not been completed. In the example of FIG. 5, it is assumed that authentication for parts other than the rear wheel has been completed (indicated by the symbol O), and a command for the rear wheel is generated.

#6(ディレイラー制御部22へのコマンドの送出):セキュアエレメント21は、生成したコマンドをディレイラー制御部22へ送出する。このとき、コマンドの送信先(ここでは、後ホイール)も合わせてディレイラー制御部22へ通知する。 #6 (Sending a command to the derailleur control unit 22): The secure element 21 sends the generated command to the derailleur control unit 22. At this time, it also notifies the derailleur control unit 22 of the destination of the command (here, the rear wheel).

#7(後ホイールのセキュアエレメント50へのコマンドの送出):ディレイラー制御部22は、セキュアエレメント21が生成したコマンドを、セキュアエレメント21が特定した送信先へ送信する。ここでは、送信先は後ホイールであるので、ディレイラー制御部22は、コマンドを後ホイールへ送信する。後ホイールのセキュアエレメント50は、ディレイラー制御部22から相互認証コマンドを受信する。 #7 (sending a command to the secure element 50 of the rear wheel): The derailleur control unit 22 sends the command generated by the secure element 21 to the destination specified by the secure element 21. In this case, since the destination is the rear wheel, the derailleur control unit 22 sends the command to the rear wheel. The secure element 50 of the rear wheel receives the mutual authentication command from the derailleur control unit 22.

#8(コマンド処理+レスポンス生成):後ホイールのセキュアエレメント50は、受信した相互認証コマンドを処理し、レスポンスを生成する。 #8 (command processing + response generation): The secure element 50 in the rear wheel processes the received mutual authentication command and generates a response.

#9(レスポンスの出力):後ホイールのセキュアエレメント50は、レスポンスをディレイラー制御部22へ渡す。 #9 (Response output): The secure element 50 of the rear wheel passes the response to the derailleur control unit 22.

#10(ディレイラー20側のセキュアエレメント21へのレスポンスの返送):ディレイラー制御部22は、セキュアエレメント50から受信したレスポンスを自身のセキュアエレメント21へ返送する。 #10 (Returning a response to the secure element 21 on the derailleur 20 side): The derailleur control unit 22 returns the response received from the secure element 50 to its own secure element 21.

#11(レスポンスの処理及び次コマンドの生成):セキュアエレメント21は、ディレイラー制御部22から受信したレスポンスを処理する。必要であれば、後続のコマンドを生成し、相互認証処理が完了するまで、コマンド授受を繰り返すことができる。 #11 (Response processing and generation of next command): The secure element 21 processes the response received from the derailleur control unit 22. If necessary, it can generate a subsequent command and repeat command exchange until the mutual authentication process is completed.

上述のように、非電動部品のセキュアエレメントは、電動部品のセキュアエレメントと異なり、部品の制御部を介さずに直接接続されており、電動部品の制御部が、非電動部品のセキュアエレメントに直接コマンドを授受する形になる。 As mentioned above, unlike the secure elements of electrically-operated components, the secure elements of non-electrical components are connected directly without going through the control unit of the component, and the control unit of the electrically-operated component sends and receives commands directly to the secure elements of the non-electrical components.

図6は非電動部品-非電動部品間のコマンド授受フローの一例を示す模式図である。非電動部品間の相互認証においては、非電動部品に内蔵されているセキュアエレメントが能動通信機能を持たないことから、電動部品によるコマンド仲介機能を用いて相互認証を行うことができる。ここでは、シフター10の相互認証仲介部13を介して前ホイールとフレームが相互認証する手順を説明する。以下、図中の各処理を#1~#15として説明する。 Figure 6 is a schematic diagram showing an example of a command exchange flow between non-electric components. In mutual authentication between non-electric components, since the secure element built into the non-electric component does not have an active communication function, mutual authentication can be performed using the command intermediation function of the electric component. Here, the procedure for mutual authentication between the front wheel and the frame via the mutual authentication intermediation unit 13 of the shifter 10 is explained. Each process in the diagram is explained below as #1 to #15.

#1(ユーザの相互認証指示):ユーザは、シフター10に対して相互認証指示を入力する。ユーザの指示はシフター10の制御部12に伝達される。 #1 (User's mutual authentication instruction): The user inputs a mutual authentication instruction to the shifter 10. The user's instruction is transmitted to the control unit 12 of the shifter 10.

#2(相互認証仲介部13へのコマンド生成指示):シフター10の制御部12は、相互認証仲介部13に対して、非電動部品間の相互認証を仲介するよう指示する。 #2 (command generation instruction to mutual authentication intermediary unit 13): The control unit 12 of the shifter 10 instructs the mutual authentication intermediary unit 13 to mediate mutual authentication between non-electric components.

#3(相互認証指示コマンドの生成):相互認証仲介部13は、相互認証を仲介すべき非電動部品を2つ特定した上で、両部品を相互認証するためのコマンド(相互認証指示コマンド)を生成する。ここでは、非電動部品である前ホイールとフレームを特定した上で、前ホイール→フレームの順にコマンドを送ることを決定し、まず前ホイールに対する相互認証指示コマンドを生成する。 #3 (Generation of mutual authentication instruction command): The mutual authentication mediation unit 13 identifies two non-electric parts for which mutual authentication should be mediated, and then generates a command (mutual authentication instruction command) to mutually authenticate both parts. Here, after identifying the front wheel and frame, which are non-electric parts, it decides to send commands in the order of front wheel → frame, and first generates a mutual authentication instruction command for the front wheel.

#4(相互認証指示コマンドの出力):相互認証仲介部13は、前ホイールに対する相互認証指示コマンドを、コマンド送信先(前ホイール)とともにシフター10の制御部12に渡す。 #4 (output of mutual authentication command): The mutual authentication intermediary unit 13 passes the mutual authentication command for the front wheel to the control unit 12 of the shifter 10 along with the command destination (front wheel).

#5(セキュアエレメント40へのコマンドの送出):シフター10の制御部12は、前ホイールのセキュアエレメント40に対して相互認証指示コマンドを送出する。 #5 (Sending a command to the secure element 40): The control unit 12 of the shifter 10 sends a mutual authentication instruction command to the secure element 40 of the front wheel.

#6(相互認証指示コマンドの処理):前ホイールのセキュアエレメント40は、相互認証指示コマンドを受け取ると、当該相互認証指示コマンドを処理し、相互認証仲介部13又はフレームのセキュアエレメント60に転送すべきレスポンスを生成する。 #6 (Processing of mutual authentication command): When the front wheel secure element 40 receives the mutual authentication command, it processes the mutual authentication command and generates a response to be transferred to the mutual authentication intermediary unit 13 or the frame secure element 60.

#7(相互認証指示レスポンスの送出):前ホイールのセキュアエレメント40は、シフター10の制御部12にレスポンスを送出する。 #7 (sending mutual authentication instruction response): The secure element 40 of the front wheel sends a response to the control unit 12 of the shifter 10.

#8(相互認証仲介部13への転送):シフター10の制御部12は、相互認証仲介部13にレスポンスを転送する。 #8 (Transfer to mutual authentication intermediary unit 13): The control unit 12 of the shifter 10 transfers the response to the mutual authentication intermediary unit 13.

#9(レスポンスの処理と相互認証指示コマンドの生成):相互認証仲介部13は、受信したレスポンスを解析し、レスポンスから得た情報を元に、フレームに対する相互認証指示コマンドを生成する。 #9 (Response processing and generation of mutual authentication instruction command): The mutual authentication intermediary unit 13 analyzes the received response and generates a mutual authentication instruction command for the frame based on the information obtained from the response.

#10(相互認証指示コマンドの出力):相互認証仲介部13は、フレームに対する相互認証指示コマンドを、コマンド送信先(フレーム)とともにシフター10の制御部12に渡す。 #10 (output of mutual authentication command): The mutual authentication intermediary unit 13 passes the mutual authentication command for the frame along with the command destination (frame) to the control unit 12 of the shifter 10.

#11(セキュアエレメント60へのコマンドの送出):シフター10の制御部12は、フレームのセキュアエレメント60に対して相互認証指示コマンドを送出する。 #11 (Sending a command to the secure element 60): The control unit 12 of the shifter 10 sends a mutual authentication instruction command to the secure element 60 of the frame.

#12(相互認証指示コマンドの処理):フレームのセキュアエレメント40は、相互認証指示コマンドを受け取ると、当該相互認証指示コマンドを処理し、相互認証仲介部13又は前ホイールのセキュアエレメント40に転送すべきレスポンスを生成する。 #12 (Processing of mutual authentication command): When the frame's secure element 40 receives the mutual authentication command, it processes the mutual authentication command and generates a response to be transferred to the mutual authentication intermediary unit 13 or the front wheel's secure element 40.

#13(相互認証指示レスポンスの送出):フレームのセキュアエレメント60は、シフター10の制御部12にレスポンスを送出する。 #13 (sending mutual authentication instruction response): The secure element 60 of the frame sends a response to the control unit 12 of the shifter 10.

#14(相互認証仲介部13への転送):シフター10の制御部12は、相互認証仲介部13にレスポンスを転送する。 #14 (Transfer to mutual authentication intermediary unit 13): The control unit 12 of the shifter 10 transfers the response to the mutual authentication intermediary unit 13.

#15(レスポンスの処理と相互認証指示コマンドの生成):相互認証仲介部13は、受信したレスポンスを解析する。後続のコマンドが必要な場合は、再度前ホイールに対する相互認証指示コマンドを生成し、相互認証が完了するまで処理を繰り返すことができる。 #15 (Response processing and generation of mutual authentication instruction command): The mutual authentication intermediary unit 13 analyzes the received response. If a subsequent command is required, it can generate a mutual authentication instruction command for the front wheel again and repeat the process until mutual authentication is completed.

相互認証仲介部13が、相互認証を仲介する際の部品の特定や順序については適宜決定することができる。例えば、(1)自身のセキュアエレメントや、他の部品内のセキュアエレメントの相互認証リストを参照し、(2)各相互認証リストの突き合わせを行った上で、相互認証が必要な部品のペアをリストにし、(3)当該リストの上から順番に相互認証を実施する等、種々の応用が考えられる。 The mutual authentication mediation unit 13 can determine the identification and order of components when mediating mutual authentication as appropriate. For example, various applications are possible, such as (1) referring to the mutual authentication list of its own secure element and the secure elements in other components, (2) comparing each mutual authentication list and creating a list of pairs of components that require mutual authentication, and (3) performing mutual authentication in order from the top of the list.

図4~図6に示したフローに基づけば、電動部品、非電動部品の組み合わせに関係なく、自転車100の各部品内のセキュアエレメント間でコマンドの授受と情報交換を行うことが可能である。 Based on the flows shown in Figures 4 to 6, it is possible to send and receive commands and exchange information between secure elements in each part of the bicycle 100, regardless of the combination of electric and non-electric parts.

相互認証で用いる具体的な暗号アルゴリズム等は、適宜決定して用いることができるが、本実施例では、部品公開鍵、証明書、秘密鍵、及びCA公開鍵による非対称鍵を用いた相互認証を例として挙げて説明する。以下では、コマンドの授受に基づいて相互認証を行うための方法を説明する。 The specific encryption algorithms used in the mutual authentication can be determined as appropriate, but in this embodiment, mutual authentication using asymmetric keys consisting of a component public key, a certificate, a private key, and a CA public key is used as an example. The following describes a method for performing mutual authentication based on the exchange of commands.

図7は電動部品主導でコマンドを授受する場合の相互認証のフローの一例を示す模式図である。ここでは、電動部品-電動部品の間、あるいは電動部品-非電動部品の間のように電動部品主導でコマンドを授受する場合の処理について説明する。電動部品としてディレイラー20を挙げ、非電動部品として後ホイールを挙げて説明する。以下、図中の各処理を#1~#15として説明する。 Figure 7 is a schematic diagram showing an example of the flow of mutual authentication when commands are exchanged primarily with an electric component. Here, the process is explained when commands are exchanged primarily with an electric component, such as between electric components, or between an electric component and a non-electric component. The explanation will be given using the derailleur 20 as an example of an electric component, and the rear wheel as an example of a non-electric component. Below, each process in the diagram will be explained as #1 to #15.

#1(ディレイラー制御部22からのコマンド生成指示):ディレイラー制御部22は、ディレイラー20側のセキュアエレメント21に、相互認証コマンドの生成を指示する。 #1 (command generation instruction from derailleur control unit 22): The derailleur control unit 22 instructs the secure element 21 on the derailleur 20 side to generate a mutual authentication command.

#2(署名対象データ列の生成):ディレイラー20のセキュアエレメント21は、相互認証コマンドの生成指示を受けると、署名対象データとして、ディレイラー20のIDと自身が生成した乱数を連結したデータ列を用意する。 #2 (Generating a data string to be signed): When the secure element 21 of the derailleur 20 receives an instruction to generate a mutual authentication command, it prepares a data string that concatenates the ID of the derailleur 20 and a random number that it has generated as the data to be signed.

#3(秘密鍵による署名):セキュアエレメント21は、自身の秘密鍵を用いて、署名対象データに対する署名を生成する。 #3 (Signing with a private key): The secure element 21 uses its own private key to generate a signature for the data to be signed.

#4(コマンド送信データの生成):セキュアエレメント21は、ID、乱数、署名に加え、自身の部品公開鍵と公開鍵署名を連結し、コマンド送信データを生成する。 #4 (Generation of command transmission data): The secure element 21 concatenates its own component public key and public key signature in addition to the ID, random number, and signature to generate command transmission data.

#5(コマンドの送信):セキュアエレメント21は、ディレイラー制御部22を介してコマンドを後ホイール側のセキュアエレメント50に送信する。 #5 (Sending command): The secure element 21 sends the command to the secure element 50 on the rear wheel side via the derailleur control unit 22.

#6(CA公開鍵による部品公開鍵署名検証):後ホイールのセキュアエレメント50は、コマンドを受信すると、自身が保持するCA公開鍵を用いて、コマンド内の部品公開鍵の署名検証を行う。署名検証に失敗した場合、コマンド内の部品公開鍵は信頼できないため、相互認証リスト53内のIDで指定された部品の相互認証フラグを未認証(符号×で表す)に更新して、ここで処理を終了する。 #6 (Component public key signature verification using CA public key): When the rear wheel secure element 50 receives the command, it uses the CA public key it holds to verify the signature of the component public key in the command. If the signature verification fails, the component public key in the command cannot be trusted, so the mutual authentication flag of the component specified by the ID in the mutual authentication list 53 is updated to unauthenticated (represented by the sign x), and processing ends here.

#7(部品公開鍵による署名検証):後ホイールのセキュアエレメント50は、署名検証に成功した部品公開鍵を用いて、コマンドデータ(ID+乱数)に対する署名検証を行う。署名検証に失敗した場合、コマンドに改ざんの可能性があるため、相互認証リスト53内のIDで指定された部品の相互認証フラグを未認証(符号×で表す)に更新して、ここで処理を終了する。 #7 (Signature verification using component public key): The secure element 50 of the rear wheel performs signature verification on the command data (ID + random number) using the component public key for which signature verification was successful. If signature verification fails, there is a possibility that the command has been tampered with, so the mutual authentication flag of the component specified by the ID in the mutual authentication list 53 is updated to unauthenticated (represented by the symbol x), and processing ends here.

#8(相互認証リスト53の相互認証フラグ更新):後ホイールのセキュアエレメント50は、処理#6及び#7の両署名検証に成功した場合、自身の相互認証リスト53を検索し、コマンドで指定されたIDの部品の相互認証フラグを更新する。ここでは、ディレイラー20の相互認証フラグを認証完了として更新する(符号×→Oで表す)。なお、指定されたIDが見つからない場合、当該コマンドは相互認証リストに含まれない部品のものであるため、相互認証フラグを更新せず、ここで処理を終了する。 #8 (updating the mutual authentication flag in the mutual authentication list 53): If the signature verifications in both steps #6 and #7 are successful, the rear wheel secure element 50 searches its own mutual authentication list 53 and updates the mutual authentication flag of the part with the ID specified in the command. Here, the mutual authentication flag of the derailleur 20 is updated to indicate authentication is complete (represented by the symbol x → O). Note that if the specified ID is not found, the command is for a part not included in the mutual authentication list, so the mutual authentication flag is not updated and processing ends here.

#9(署名対象データ列の生成):後ホイールのセキュアエレメント50は、署名対象データとして、後ホイールのIDと自身が生成した乱数を連結したデータ列を用意する。 #9 (Generate data string to be signed): The secure element 50 of the rear wheel prepares a data string that concatenates the ID of the rear wheel and a random number that it has generated as the data to be signed.

#10(秘密鍵による署名):セキュアエレメント50は、自身の秘密鍵を用いて、署名対象データに対する署名を生成する。 #10 (Signing with a private key): The secure element 50 uses its own private key to generate a signature for the data to be signed.

#11(レスポンス返送データの生成):セキュアエレメント50は、ID、乱数、署名に加え、自身の部品公開鍵と公開鍵署名を連結し、レスポンス返送データを生成する。 #11 (Generate response return data): The secure element 50 concatenates its own component public key and public key signature in addition to the ID, random number, and signature to generate response return data.

#12(レスポンスの送信):セキュアエレメント50は、ディレイラー制御部22を介してレスポンスをディレイラー20のセキュアエレメント21に送信する。 #12 (sending response): The secure element 50 sends a response to the secure element 21 of the derailleur 20 via the derailleur control unit 22.

#13(CA公開鍵による部品公開鍵署名検証):ディレイラー20のセキュアエレメント21は、レスポンスを受信すると、自身が保持するCA公開鍵を用いて、レスポンス内の部品公開鍵の署名検証を行う。署名検証に失敗した場合、レスポンス内の部品公開鍵は信頼できないため、相互認証リスト26内のIDで指定された部品の相互認証フラグを未認証(符号×で表す)に更新して、ここで処理を終了する。 #13 (Component public key signature verification using CA public key): When the secure element 21 of the derailleur 20 receives the response, it uses the CA public key it holds to verify the signature of the component public key in the response. If the signature verification fails, the component public key in the response cannot be trusted, so the mutual authentication flag of the component specified by the ID in the mutual authentication list 26 is updated to unauthenticated (represented by the sign x), and processing ends here.

#14(部品公開鍵による署名検証):ディレイラー20のセキュアエレメント21は、署名検証に成功した部品公開鍵を用いて、レスポンスデータ(ID+乱数)に対する署名検証を行う。署名検証に失敗した場合、レスポンスに改ざんの可能性があるため、相互認証リスト26内のIDで指定された部品の相互認証フラグを未認証(符号×で表す)に更新して、ここで処理を終了する。 #14 (Signature verification using component public key): The secure element 21 of the derailleur 20 performs signature verification on the response data (ID + random number) using the component public key for which signature verification was successful. If signature verification fails, there is a possibility that the response has been tampered with, so the mutual authentication flag of the component specified by the ID in the mutual authentication list 26 is updated to unauthenticated (represented by the symbol x), and processing ends here.

#15(相互認証リスト26の相互認証フラグ更新):ディレイラー20のセキュアエレメント21は、処理#13及び#14の両署名検証に成功した場合、自身の相互認証リスト26を検索し、レスポンスで指定されたIDの部品の相互認証フラグを更新する。ここでは、後ホイールの相互認証フラグを認証完了として更新する(符号×→Oで表す)。なお、指定されたIDが見つからない場合、当該レスポンスは相互認証リストに含まれない部品のものであるため、相互認証フラグを更新せず、ここで処理を終了する。 #15 (updating the mutual authentication flag in the mutual authentication list 26): If the secure element 21 of the derailleur 20 is successful in both signature verifications in steps #13 and #14, it searches its own mutual authentication list 26 and updates the mutual authentication flag of the part with the ID specified in the response. In this case, it updates the mutual authentication flag of the rear wheel to indicate that authentication has been completed (represented by the symbol x → O). Note that if the specified ID is not found, the response is for a part not included in the mutual authentication list, so the mutual authentication flag is not updated and processing ends here.

図8は非電動部品間でコマンドを授受する場合の相互認証のフローの一例を示す模式図である。ここでは、非電動部品として、前ホイールとフレームを例に挙げて説明する。以下、図中の各処理を#1~#26として説明する。 Figure 8 is a schematic diagram showing an example of the flow of mutual authentication when sending and receiving commands between non-electric parts. Here, the front wheel and frame are used as examples of non-electric parts. Each process in the diagram will be explained below as #1 to #26.

#1(シフター10の制御部12からのコマンド生成指示):シフター10の制御部12は、相互認証仲介部13に、相互認証コマンドの生成を指示する。 #1 (command generation instruction from the control unit 12 of the shifter 10): The control unit 12 of the shifter 10 instructs the mutual authentication intermediary unit 13 to generate a mutual authentication command.

#2(コマンドの生成):相互認証仲介部13は、相互認証を行う部品を選択し、相互認証用コマンドを生成する。ここでは、前ホイールとフレーム間の認証を仲介することとし、前ホイールに対して送る相互認証コマンドを生成する。 #2 (Command generation): The mutual authentication mediation unit 13 selects the part to perform mutual authentication and generates a command for mutual authentication. Here, it mediates authentication between the front wheel and the frame, and generates a mutual authentication command to send to the front wheel.

#3(コマンドの返送):相互認証仲介部13は、シフター10の制御部12に対し、コマンド送信先(前ホイール)とコマンドを返送する。 #3 (return of command): The mutual authentication intermediary unit 13 returns the command destination (front wheel) and the command to the control unit 12 of the shifter 10.

#4(セキュアエレメント40へのコマンドの送信):シフター10の制御部12は、前ホイール側のセキュアエレメント40にコマンドを送信する。 #4 (Sending a command to the secure element 40): The control unit 12 of the shifter 10 sends a command to the secure element 40 on the front wheel side.

#5(署名対象データ列の生成):前ホイールのセキュアエレメント40は、署名対象データとして、前ホイールのIDと自身が生成した乱数を連結したデータ列を用意する。 #5 (Generate data string to be signed): The secure element 40 of the front wheel prepares a data string that concatenates the ID of the front wheel and a random number that it has generated as the data to be signed.

#6(秘密鍵による署名):セキュアエレメント40は、自身の秘密鍵を用いて、署名対象データに対する署名を生成する。 #6 (Signing with a private key): The secure element 40 uses its own private key to generate a signature for the data to be signed.

#7(レスポンス送信データの生成):セキュアエレメント40は、ID、乱数、署名に加え、自身の部品公開鍵と公開鍵署名を連結し、レスポンス送信データを生成する。 #7 (Generate response transmission data): The secure element 40 concatenates its own component public key and public key signature in addition to the ID, random number, and signature to generate response transmission data.

#8(レスポンスの送信):セキュアエレメント40は、シフター10の制御部12にレスポンスを送信する。 #8 (sending response): The secure element 40 sends a response to the control unit 12 of the shifter 10.

#9(相互認証仲介部13への返送):シフター10の制御部12は、相互認証仲介部13にレスポンスを返送する。 #9 (Return to mutual authentication intermediary unit 13): The control unit 12 of the shifter 10 returns a response to the mutual authentication intermediary unit 13.

#10(レスポンスの処理とコマンドの生成):相互認証仲介部13は、受信したレスポンスを解析するとともに、当該レスポンスのデータを、フレームに送るコマンドのコマンドデータとして設定してコマンドを生成する。 #10 (Response processing and command generation): The mutual authentication intermediary unit 13 analyzes the received response and generates a command by setting the response data as the command data for the command to be sent to the frame.

#11(コマンドの返送):相互認証仲介部13は、シフター10の制御部12に対し、コマンド送信先(ここでは、フレーム)とコマンドを返送する。 #11 (return of command): The mutual authentication intermediary unit 13 returns the command destination (here, a frame) and the command to the control unit 12 of the shifter 10.

#12(セキュアエレメント40へのコマンドの送信):シフター10の制御部12は、フレームのセキュアエレメント60にコマンドを送信する。 #12 (Sending command to secure element 40): The control unit 12 of the shifter 10 sends a command to the secure element 60 of the frame.

#13(CA公開鍵による部品公開鍵署名検証):フレームのセキュアエレメント60は、コマンドを受信すると、自身が保持するCA公開鍵を用いて、コマンド内の部品公開鍵の署名検証を行う。署名検証に失敗した場合、コマンド内の部品公開鍵は信頼できないため、相互認証リスト63内のIDで指定された部品の相互認証フラグを未認証(符号×で表す)に更新して、ここで処理を終了する。 #13 (Component public key signature verification using CA public key): When the secure element 60 of the frame receives a command, it uses the CA public key it holds to verify the signature of the component public key in the command. If the signature verification fails, the component public key in the command cannot be trusted, so the mutual authentication flag of the component specified by the ID in the mutual authentication list 63 is updated to unauthenticated (represented by the symbol x), and processing ends here.

#14(部品公開鍵による署名検証):セキュアエレメント60は、署名検証に成功した部品公開鍵を用いて、コマンドデータ(ID+乱数)に対する署名検証を行う。署名検証に失敗した場合、コマンドに改ざんの可能性があるため、相互認証リスト63内のIDで指定された部品の相互認証フラグを未認証(符号×で表す)に更新して、ここで処理を終了する。 #14 (Signature verification using component public key): The secure element 60 performs signature verification on the command data (ID + random number) using the component public key for which the signature verification was successful. If the signature verification fails, there is a possibility that the command has been tampered with, so the mutual authentication flag of the component specified by the ID in the mutual authentication list 63 is updated to unauthenticated (represented by the symbol x), and processing ends here.

#15(相互認証リスト63の相互認証フラグ更新):セキュアエレメント60は、処理#13及び#14の両署名検証に成功した場合、自身の相互認証リスト63を検索し、コマンドで指定されたIDの部品の相互認証フラグを更新する。ここでは、前ホイールの相互認証フラグを認証完了として更新する(符号×→Oで表す)。なお、指定されたIDが見つからない場合、当該コマンドは相互認証リストに含まれない部品のものであるため、相互認証フラグを更新せず、ここで処理を終了する。 #15 (updating the mutual authentication flag in the mutual authentication list 63): If the signature verifications in both steps #13 and #14 are successful, the secure element 60 searches its own mutual authentication list 63 and updates the mutual authentication flag of the part with the ID specified in the command. Here, the mutual authentication flag of the front wheel is updated to indicate authentication is complete (represented by the symbol x → O). Note that if the specified ID is not found, the command is for a part not included in the mutual authentication list, so the mutual authentication flag is not updated and processing ends here.

#16(署名対象データ列の生成):セキュアエレメント60は、署名対象データとして、フレームのIDと自身が生成した乱数を連結したデータ列を用意する。 #16 (Generate data string to be signed): The secure element 60 prepares a data string that concatenates the frame ID and a random number that it has generated as the data to be signed.

#17(秘密鍵による署名):セキュアエレメント60は、自身の秘密鍵を用いて、署名対象データに対する署名を生成する。 #17 (Signing with a private key): The secure element 60 uses its own private key to generate a signature for the data to be signed.

#18(レスポンス送信データの生成):セキュアエレメント60は、ID、乱数、署名に加え、自身の部品公開鍵と公開鍵署名を連結し、レスポンス送信データを生成する。 #18 (Generate response transmission data): The secure element 60 concatenates its own component public key and public key signature in addition to the ID, random number, and signature to generate response transmission data.

#19(レスポンスの送信):セキュアエレメント60は、シフター10の制御部12にレスポンスを送信する。 #19 (sending response): The secure element 60 sends a response to the control unit 12 of the shifter 10.

#20(相互認証仲介部13への返送):シフター10の制御部12は、相互認証仲介部13にレスポンスを返送する。 #20 (Return to mutual authentication intermediary unit 13): The control unit 12 of the shifter 10 returns a response to the mutual authentication intermediary unit 13.

#21(レスポンスの処理とコマンドの生成):相互認証仲介部13は、受信したレスポンスを解析するとともに、当該レスポンスのデータを、前ホイールに送るコマンドのコマンドデータとして設定してコマンドを生成する。 #21 (Response processing and command generation): The mutual authentication intermediary unit 13 analyzes the received response and generates a command by setting the response data as the command data for the command to be sent to the front wheel.

#22(コマンドの返送):相互認証仲介部13は、シフター10の制御部12に対し、コマンド送信先(ここでは、前ホイール)とコマンドを返送する。 #22 (return of command): The mutual authentication intermediary unit 13 returns the command destination (here, the front wheel) and the command to the control unit 12 of the shifter 10.

#23(セキュアエレメント40へのコマンドの送信):シフター10の制御部12は、前ホイールのセキュアエレメント40にコマンドを送信する。 #23 (Sending command to secure element 40): The control unit 12 of the shifter 10 sends a command to the secure element 40 of the front wheel.

#24(CA公開鍵による部品公開鍵署名検証):前ホイールのセキュアエレメント40は、コマンドを受信すると、自身が保持するCA公開鍵を用いて、コマンド内の部品公開鍵の署名検証を行う。署名検証に失敗した場合、コマンド内の部品公開鍵は信頼できないため、相互認証リスト43内のIDで指定された部品の相互認証フラグを未認証(符号×で表す)に更新して、ここで処理を終了する。 #24 (Component public key signature verification using CA public key): When the secure element 40 of the front wheel receives a command, it uses the CA public key it holds to verify the signature of the component public key in the command. If the signature verification fails, the component public key in the command cannot be trusted, so the mutual authentication flag of the component specified by the ID in the mutual authentication list 43 is updated to unauthenticated (represented by the sign x), and processing ends here.

#25(部品公開鍵による署名検証):セキュアエレメント40は、署名検証に成功した部品公開鍵を用いて、コマンドデータ(ID+乱数)に対する署名検証を行う。署名検証に失敗した場合、コマンドに改ざんの可能性があるため、相互認証リスト43内のIDで指定された部品の相互認証フラグを未認証(符号×で表す)に更新して、ここで処理を終了する。 #25 (Signature verification using component public key): The secure element 40 performs signature verification on the command data (ID + random number) using the component public key for which the signature verification was successful. If the signature verification fails, there is a possibility that the command has been tampered with, so the mutual authentication flag of the component specified by the ID in the mutual authentication list 43 is updated to unauthenticated (represented by the symbol x), and processing ends here.

#26(相互認証リスト43の相互認証フラグ更新):セキュアエレメント40は、処理#24及び#25の両署名検証に成功した場合、自身の相互認証リスト43を検索し、コマンドで指定されたIDの部品の相互認証フラグを更新する。ここでは、フレームの相互認証フラグを認証完了として更新する(符号×→Oで表す)。なお、指定されたIDが見つからない場合、当該コマンドは相互認証リストに含まれない部品のものであるため、相互認証フラグを更新せず、ここで処理を終了する。 #26 (updating the mutual authentication flag in the mutual authentication list 43): If the signature verifications in both processes #24 and #25 are successful, the secure element 40 searches its own mutual authentication list 43 and updates the mutual authentication flag of the component with the ID specified in the command. Here, the mutual authentication flag of the frame is updated to indicate authentication completion (represented by the symbol x → O). Note that if the specified ID is not found, the command is for a component not included in the mutual authentication list, so the mutual authentication flag is not updated and processing ends here.

上述のように、セキュアコンポーネントは、車両に用いられる他の部品に搭載される他のセキュアコンポーネントとの間で情報の送受信を行う通信部を介して他のセキュアコンポーネントと相互認証を行い、相互認証情報を記憶する。セキュアコンポーネントを搭載する部品間でセキュアコンポーネントによる相互認証を行うので、各部品が予め定められた適切な組み合わせで、通信部を経由して接続されているかを検証することができ、車両に用いられる部品に盗品等が混入することを防止することができ、部品を有効に保護することができる。 As described above, the secure component performs mutual authentication with other secure components via a communication unit that transmits and receives information to and from other secure components mounted in other components used in the vehicle, and stores the mutual authentication information. Since mutual authentication is performed by the secure components between components that mount the secure components, it is possible to verify whether each component is connected via the communication unit in a predetermined appropriate combination, which makes it possible to prevent stolen goods from being mixed into components used in the vehicle, thereby effectively protecting the components.

また、セキュアコンポーネントは、他のセキュアコンポーネントが相互認証用の秘密鍵で暗号化した演算結果を受信し、受信した演算結果を相互認証用の公開鍵で復号した復号結果に基づいて相互認証を行う。各セキュアコンポーネントは、個別の公開鍵と秘密鍵を保持している。これにより、部品間で片側認証ではなく相互認証を実現できる。 In addition, a secure component receives a calculation result encrypted by another secure component with a mutual authentication private key, and performs mutual authentication based on the decryption result obtained by decrypting the received calculation result with a mutual authentication public key. Each secure component holds its own public key and private key. This enables mutual authentication between components to be achieved, rather than one-sided authentication.

また、セキュアコンポーネントは、車両に用いられる所定の部品に搭載される所定のセキュアコンポーネントとの相互認証情報を記憶し、所定のセキュアコンポーネントとの相互認証が完了している場合、自身が搭載される部品の動作許可を出力する。例えば、部品Aのセキュアコンポーネントに記憶した相互認証情報が、1又は複数の所定の部品との相互認証が完了している場合、当該部品Aの動作を許可し、相互認証が完了していない場合(失敗時)には、当該部品Aの動作を許可しない。これにより、盗品等を組み合わせた不適切な構成の車両を動作させないことで、盗品の部品としての実効性を喪失させ、間接的に盗難を抑制することができる。 The secure component also stores mutual authentication information with a specified secure component mounted on a specified part used in the vehicle, and when mutual authentication with the specified secure component is complete, outputs permission to operate the part in which it is mounted. For example, when the mutual authentication information stored in the secure component of part A indicates that mutual authentication with one or more specified parts is complete, the operation of part A is permitted, and when mutual authentication is not complete (failed), the operation of part A is not permitted. In this way, by not allowing the operation of a vehicle with an inappropriate configuration that combines stolen goods, etc., stolen goods are rendered ineffective as parts, and theft can be indirectly suppressed.

電動部品主導でコマンドを授受して相互認証を行う場合、一方のセキュアエレメントがコマンドを生成し、他方のセキュアエレメントが生成されたコマンドに応答してレスポンスを返送する形式になっていたが、非電動部品間の相互認証を、相互認証仲介部13経由で行う場合は、相互認証仲介部13が各セキュアエレメントに対するコマンドを個別に生成し、生成したコマンドを用いて両セキュアエレメントの情報交換を促す形式となっている。 When mutual authentication is performed by sending and receiving commands initiated by electric parts, one secure element generates a command and the other secure element returns a response in response to the generated command. However, when mutual authentication between non-electric parts is performed via the mutual authentication intermediary unit 13, the mutual authentication intermediary unit 13 generates commands for each secure element individually and uses the generated commands to encourage information exchange between the two secure elements.

図9は相互認証完了時の部品動作制御のフローの一例を示す模式図である。各部品の相互認証が完了した場合、電動部品に関しては、例えば、動作開始時にセキュアエレメントに対して動作可否を問い合わせ、セキュアエレメントより動作が許可された場合にのみ動作するように回路や機能を構成することができる。以下、シフター10を例として説明する。また、図中の各処理を#1~#4として説明する。 Figure 9 is a schematic diagram showing an example of the flow of component operation control when mutual authentication is complete. When mutual authentication of each component is complete, for example, with regard to an electrically-operated component, a circuit or function can be configured to inquire of the secure element whether or not it can operate when the component starts to operate, and to operate only if operation is permitted by the secure element. The following explanation uses the shifter 10 as an example. Also, each process in the diagram will be explained as #1 to #4.

#1(動作可否の問い合わせ):シフター10の制御部12は、セキュアエレメント11に対し、自身の動作可否について問い合わせを行う。問い合わせは、例えば、所定のコマンドを送信すればよい。 #1 (Inquiry about operation): The control unit 12 of the shifter 10 inquires of the secure element 11 about whether it is operational. The inquiry may be made, for example, by sending a specific command.

#2(相互認証リスト19の確認):セキュアエレメント11は、相互認証リスト19を確認し、自身が相互認証を行うべき全ての部品に対して相互認証が完了していることを確認する。ここでは、相互認証リスト19には、シフター10以外の部品として、フレーム、ディレイラー20、前ホイール、後ホイール、及びバッテリー30がリストアップされているので、相互認証を行うべき部品は、フレーム、ディレイラー20、前ホイール、後ホイール、及びバッテリー30となる。なお、使用の態様に応じては、相互認証リストにリストアップされている全部品ではなく、一部の部品を相互認証すべき部品であると動的に設定してもよい。 #2 (Checking the mutual authentication list 19): The secure element 11 checks the mutual authentication list 19 and checks that mutual authentication has been completed for all parts for which it should perform mutual authentication. In this case, the mutual authentication list 19 lists the frame, derailleur 20, front wheel, rear wheel, and battery 30 as parts other than the shifter 10, so the parts for which mutual authentication should be performed are the frame, derailleur 20, front wheel, rear wheel, and battery 30. Depending on the mode of use, it may be dynamically set that some parts, rather than all parts listed in the mutual authentication list, are parts for which mutual authentication should be performed.

#3(動作可否の返信):セキュアエレメント11は、相互認証リスト19内の全ての部品に対する相互認証が完了している場合、動作可として、レスポンスの返送を行う。一部、または全部の部品に対する認証が完了していない(未認証)場合、動作不可として、レスポンスの返送を行う。 #3 (Reply indicating whether operation is possible): If mutual authentication has been completed for all components in the mutual authentication list 19, the secure element 11 returns a response indicating that operation is possible. If authentication has not been completed for some or all of the components (not authenticated), the secure element 11 returns a response indicating that operation is not possible.

#4(動作開始):制御部12は、動作可の返信を受けた場合のみ、自身の機能を動作するように制御する。 #4 (Start of operation): The control unit 12 controls its own functions to operate only if it receives a reply indicating that operation is possible.

非電動部品に対しては、部品単独で動作可否を制御するのが難しい場合もあるが、動作開始時のユーザ入力に応じ、電動部品から給電して物理的なロックを解除する等のメカニズムを用いてもよく、あるいは非電動部品の機能と密接に関連する、あるいは連動するような電動部品を代替的に制御する構成でもよい。 For non-electrical components, it may be difficult to control whether the component operates independently, but a mechanism may be used in which a power is supplied from an electric component to release a physical lock in response to user input at the start of operation, or an electric component that is closely related to or linked to the function of the non-electrical component may be configured to control the component instead.

前述のような部品動作制御のメカニズムが自転車に適用されると、盗難者が自転車の一部の部品を詐取して販売したとしても、他の部品と組み合わせて(盗難された部品が混入した状態で)利用することができず、部品レベルでの盗難を抑止することができる。 If the above-mentioned mechanism for controlling part operation is applied to a bicycle, even if a thief steals some of the bicycle's parts and sells them, they will not be able to be used in combination with other parts (with the stolen parts mixed in), which will prevent theft at the part level.

一方で、自転車の所有者自身の意志で部品を交換したい場合や、整備士等による正規の手段で部品を交換するケースも当然想定される。このようなユースケースを経ても自転車が正常に動作できる必要がある。以下では、このようなケースに対応するための機能について説明する。 On the other hand, there may of course be cases where the bicycle owner wishes to replace a part of their own volition, or where a part is replaced through proper means by a mechanic, etc. The bicycle needs to be able to function normally even after going through such use cases. Below, we will explain the functions that deal with such cases.

図10は秘匿通信路による相互認証リストの更新のフローの一例を示す模式図である。以下、一例として、正規の手段でフレームを交換した場合について説明する。また、図中の各処理を#1~#12として説明する。 Figure 10 is a schematic diagram showing an example of the flow of updating the mutual authentication list via a secret communication channel. Below, as an example, a case where frames are exchanged by regular means is explained. Each process in the figure is explained as #1 to #12.

#1(部品の交換):ユーザ(自転車の所有者、整備士など)は、自転車の部品を新しい部品に交換する。ここでは、B社のフレームEをF社のフレームVに交換する。 #1 (Replacing a part): A user (bicycle owner, mechanic, etc.) replaces a bicycle part with a new part. In this case, frame E from company B is replaced with frame V from company F.

#2(自転車部品DB250の更新):ユーザは、自転車管理サーバ200の管理者に連絡し、自転車部品DB250の内容の更新を依頼する。管理者は依頼を受けて自転車部品DB250を更新する。ここでは、当該自転車100の自転車テーブル251内の車体IDを、B社フレームEのID:246246からF社フレームVのID:147147に更新するとともに、対応する鍵ペア等(公開鍵、公開鍵署名、秘密鍵、秘匿通信鍵)も更新される。 #2 (Updating bicycle parts DB 250): The user contacts the administrator of the bicycle management server 200 and requests that the contents of the bicycle parts DB 250 be updated. The administrator receives the request and updates the bicycle parts DB 250. Here, the body ID in the bicycle table 251 for the bicycle 100 in question is updated from ID: 246246 in Company B's Frame E to ID: 147147 in Company F's Frame V, and the corresponding key pair, etc. (public key, public key signature, private key, secret communication key) are also updated.

#3(相互認証リストの更新指示):ユーザは、入力I/Fから、部品交換に伴う相互認証リストの更新指示をシフター10に入力する。 #3 (Mutual authentication list update instruction): The user inputs an instruction to update the mutual authentication list in response to a part replacement to the shifter 10 via the input I/F.

#4(制御部12への通知):入力I/Fは、相互認証リストの更新指示を制御部12に通知する。 #4 (Notification to control unit 12): The input I/F notifies the control unit 12 of an instruction to update the mutual authentication list.

#5(相互認証リスト更新対象の調査):制御部12は、相互認証リストの更新対象となる部品を、自身に内蔵されたセキュアエレメント11から取得する。 #5 (Investigation of mutual authentication list update target): The control unit 12 obtains the part for which the mutual authentication list is to be updated from the secure element 11 built into itself.

#6(相互認証リスト更新依頼):制御部12は、ネットワーク通信部14を介して、自転車管理サーバ200に対して相互認証リストの更新依頼を送信する。このとき、相互認証リストの更新対象となる部品リストも合わせて送信する。 #6 (mutual authentication list update request): The control unit 12 sends a mutual authentication list update request to the bicycle management server 200 via the network communication unit 14. At this time, the parts list to be updated in the mutual authentication list is also sent.

#7(更新対象部品の秘匿通信鍵取得):自転車管理サーバ200は、相互認証リストの更新対象となる部品リストを参照し、当該部品リストの部品のうち、交換された部品以外の部品について、一つずつ秘匿通信路を開設して更新する。ここでは、まず、シフター10の相互認証リスト19を更新することとし、シフター10の秘匿通信鍵を取得する。 #7 (Obtaining a secret communication key for parts to be updated): The bicycle management server 200 references the parts list to be updated in the mutual authentication list, and opens a secret communication path for each part in the parts list other than the replaced part, and updates it. Here, the mutual authentication list 19 of the shifter 10 is updated first, and the secret communication key of the shifter 10 is obtained.

#8(秘匿通信路の開設指示):自転車管理サーバ200は、秘匿通信部230に対し、部品の秘匿通信鍵を渡し、秘匿通信路の開設を指示する。 #8 (Instruction to open a secret communication path): The bicycle management server 200 passes the secret communication key for the part to the secret communication unit 230 and instructs it to open a secret communication path.

#9(更新対象部品との秘匿通信路開設):自転車管理サーバ200の秘匿通信部230は、シフター10の秘匿通信鍵を用いて、シフター10内部のセキュアエレメント11内の秘匿通信部18と秘匿通信路を開設する(これにより、自転車管理サーバ200、シフター10のネットワーク通信部14、制御部12を経由して通信する)。 #9 (Establishing a secret communication path with the part to be updated): The secret communication unit 230 of the bicycle management server 200 uses the secret communication key of the shifter 10 to establish a secret communication path with the secret communication unit 18 in the secure element 11 inside the shifter 10 (this allows communication via the bicycle management server 200, the network communication unit 14 of the shifter 10, and the control unit 12).

#10(相互認証リストの更新):自転車管理サーバ200は、開設された秘匿通信路経由で、セキュアエレメント11の相互認証リスト19にアクセスし、交換された部品の部品IDを更新する。ここでは、フレームが交換されているため、部品種別がフレームの部品IDが、246246から147147に更新する。 #10 (updating the mutual authentication list): The bicycle management server 200 accesses the mutual authentication list 19 of the secure element 11 via the opened secret communication path and updates the part ID of the replaced part. In this case, since a frame has been replaced, the part ID of the part type frame is updated from 246246 to 147147.

#11(他の部品の相互認証リストの更新):以降、残りの部品について、自転車100内の通信路を介し、処理#6~#9を繰り返して相互認証リスト26、37、43、53を更新する。ここでは、交換されたフレームと、前述の処理で更新済みのシフター10以外の部品について、自転車管理サーバ200と各セキュアエレメント間で個別の秘匿通信路を開設し、同様にフレームの部品IDを更新する。 #11 (updating mutual authentication lists for other parts): From then on, processes #6 to #9 are repeated for the remaining parts via the communication path within the bicycle 100 to update the mutual authentication lists 26, 37, 43, and 53. Here, for the replaced frame and parts other than the shifter 10 that have already been updated in the above process, individual secret communication paths are opened between the bicycle management server 200 and each secure element, and the part IDs of the frames are updated in the same way.

#12(交換した部品の相互認証リストの書き込み):最後に、自転車管理サーバ200は、交換した部品(フレーム)と秘匿通信路を開設し、当該部品が相互認証を行うべき部品をリスト化した相互認証リスト63を書き込む。 #12 (Writing mutual authentication list for replaced part): Finally, the bicycle management server 200 opens a secret communication path with the replaced part (frame) and writes the mutual authentication list 63 that lists the parts with which the replaced part should perform mutual authentication.

図11はシフター10以外の部品の更新後の相互認証リストの一例を示す模式図である。図に示すように、ディレイラー20のセキュアエレメント21、バッテリー30のセキュアエレメント31、前ホイールのセキュアエレメント40、後ホイールのセキュアエレメント50それぞれの相互認証リスト26、37、43、53内の部品種別がフレームの部品IDが、246246から147147に更新されている。また、新しく交換されたフレームのセキュアエレメント60に相互認証リスト63が書き込まれている。 Figure 11 is a schematic diagram showing an example of a mutual authentication list after updating of parts other than the shifter 10. As shown in the figure, the part ID of the frame part type in the mutual authentication lists 26, 37, 43, and 53 for the secure element 21 of the derailleur 20, the secure element 31 of the battery 30, the secure element 40 of the front wheel, and the secure element 50 of the rear wheel has been updated from 246246 to 147147. In addition, a mutual authentication list 63 has been written to the secure element 60 of the newly replaced frame.

自動車部品DB250の更新手段については、ユーザの正当性を確認できる手段であれば、どのような方式を用いてもよい。例えば、電話で連絡する、WebI/Fで更新フォームを提出する等、種々の方法を用いることができる。 Any method can be used to update the auto parts DB250 as long as it can verify the authenticity of the user. For example, various methods can be used, such as contacting the user by phone or submitting an update form via a Web I/F.

上述のような、相互認証リストの運用を行うことで、部品単位における盗難リスクを抑止することができる。以下では、自転車がそのまま盗難された場合の対応策について説明する。これにより、部品の盗難のみならず完成車の盗難リスクも抑止することができる。 By operating the mutual authentication list as described above, it is possible to prevent the risk of theft of individual parts. Below, we explain the countermeasures to be taken if the entire bicycle is stolen. This will prevent not only the theft of parts, but also the theft of the complete bicycle.

図12は秘匿通信機能による機能停止のフローの一例を示す模式図である。以下では、図中の各処理を#1~#8として説明する。 Figure 12 is a schematic diagram showing an example of the flow of function suspension using the secret communication function. Below, each process in the diagram will be explained as #1 to #8.

#1(管理者への連絡):ユーザは、自転車管理サーバ200の管理者に対して、自転車(完成車)が盗難された旨を連絡する。 #1 (Contact administrator): The user contacts the administrator of the bicycle management server 200 to inform them that the bicycle (completed bicycle) has been stolen.

#2(秘匿通信鍵取得指示):管理者は、自転車管理サーバ200に対し、自転車部品DB250から対応する自転車の秘匿通信鍵を取得するように指示する。 #2 (Instruction to obtain secret communication key): The administrator instructs the bicycle management server 200 to obtain the secret communication key for the corresponding bicycle from the bicycle parts DB 250.

#3(秘匿通信鍵の取得):自転車管理サーバ200の部品DBアクセス部210は、自転車部品DB250から対応する自転車の秘匿通信鍵を取得する。 #3 (Obtaining a secret communication key): The parts DB access unit 210 of the bicycle management server 200 obtains the corresponding bicycle's secret communication key from the bicycle parts DB 250.

#4(秘匿通信路の開設指示):管理者は、自転車管理サーバ200に対し、秘匿通信路の開設を指示する。ここでは、まず、シフター10との秘匿通信路の開設を指示する。 #4 (Instruction to open a secret communication path): The administrator instructs the bicycle management server 200 to open a secret communication path. Here, the administrator first instructs the bicycle management server 200 to open a secret communication path with the shifter 10.

#5(秘匿通信路の開設):自転車管理サーバ200は、自転車100のシフター10内のセキュアエレメント11に対してネットワーク経由で秘匿通信路を開設する。 #5 (Establishing a secret communication path): The bicycle management server 200 establishes a secret communication path via the network to the secure element 11 in the shifter 10 of the bicycle 100.

#6(相互認証フラグの無効化):自転車管理サーバ200は、秘匿通信路を介して、シフター10内のセキュアエレメント11内の相互認証リスト19について、全ての部品の相互認証フラグを未認証(符号×で表す)に更新する。 #6 (Disable mutual authentication flag): The bicycle management server 200 updates the mutual authentication flags of all components in the mutual authentication list 19 in the secure element 11 in the shifter 10 to unauthenticated (represented by the symbol x) via a secret communication channel.

#7(相互認証のブロック):自転車管理サーバ200は、秘匿通信路を介して、セキュアエレメント11の相互認証機能が常時失敗するように、内部状態を変更する。ここでは、相互認証に用いる鍵ペアを無効な値に更新することで相互認証に失敗するようにする。 #7 (Mutual authentication blocking): The bicycle management server 200 changes its internal state via a secret communication path so that the mutual authentication function of the secure element 11 always fails. Here, the key pair used for mutual authentication is updated to an invalid value to cause mutual authentication to fail.

#8(他のセキュアエレメントに対する無効化):以降、自転車管理サーバ200は、他のセキュアエレメントに対しても秘匿通信路を介して、相互認証フラグの無効化と、相互認証に用いる鍵ペアを無効な値に更新することで相互認証処理のブロックを行う。 #8 (Disabling for other secure elements): From then on, the bicycle management server 200 blocks mutual authentication processing for other secure elements by disabling the mutual authentication flag and updating the key pair used for mutual authentication to an invalid value via a secret communication path.

図13はシフター10以外の部品内のセキュアエレメントの無効化の一例を示す模式図である。図に示すように、ディレイラー20のセキュアエレメント21、バッテリー30のセキュアエレメント31、前ホイールのセキュアエレメント40、後ホイールのセキュアエレメント50それぞれの相互認証リスト26、37、43、53内の全ての部品の相互認証フラグが未認証(符号×で表す)に更新されている。また、相互認証に用いる鍵ペアが無効な値に更新されている。 Figure 13 is a schematic diagram showing an example of disabling secure elements in components other than the shifter 10. As shown in the figure, the mutual authentication flags of all components in the mutual authentication lists 26, 37, 43, and 53 of the secure element 21 of the derailleur 20, the secure element 31 of the battery 30, the secure element 40 of the front wheel, and the secure element 50 of the rear wheel have been updated to unauthenticated (represented by the symbol x). In addition, the key pair used for mutual authentication has been updated to an invalid value.

相互認証のブロックについては、盗難車において相互認証が成功しないようにセキュアエレメントの内部状態を変更すればよい。本実施例では、鍵ペアの無効化を行っているが、別途内部状態をセキュアエレメント内に持ち、当該内部状態の変更によって相互認証が常時失敗するように構成してもよい。 To block mutual authentication, the internal state of the secure element can be changed so that mutual authentication does not succeed in a stolen vehicle. In this embodiment, the key pair is invalidated, but a separate internal state can be stored in the secure element, and mutual authentication can be configured to always fail by changing the internal state.

自転車の場合、常時通電されているとは限らない。例えば、通電の瞬間にネットワーク通信を強制的に実施して、自転車管理サーバ200からの通知を強制受信してもよく、あるいは、動作中に一定間隔でネットワーク通信を行ってもよい。このように構成すれば、盗難者の意志に関係なく自転車の機能を停止させることができる。 In the case of bicycles, they are not necessarily always powered. For example, network communication can be forcibly performed the moment power is applied, and notifications from the bicycle management server 200 can be forcibly received, or network communication can be performed at regular intervals while the bicycle is in operation. If configured in this way, the bicycle's functions can be stopped regardless of the thief's wishes.

また、盗難車といえども突然機能を停止させた場合、交通事故の原因となる等、重篤な影響をもたらす恐れがあるため、一定時間停車したことを判定した上で自転車の機能を無効化してもよい。これにより、交通に配慮した自転車を実現できる。 In addition, even if the bicycle is stolen, if its functions are suddenly disabled, it could have serious consequences, such as causing a traffic accident, so the bicycle's functions can be disabled after it has been stopped for a certain period of time. This makes it possible to realize bicycles that are considerate of traffic.

一方で自転車が盗難された場合でも、自転車の機能を停止させることが適切ではない状況も存在する。例えば、衆人環視の状態で盗難リスクが少なく、機能の停止を極力回避したい場合(例えば、自転車レースなど)、緊急時や急用等の理由で、盗難された自転車(認証されていない自転車)であっても使用を継続したい場合(例えば、速やかに移動したい場合など)等が含まれる。このように、盗難リスクが低い、または許容を余儀なくされる場合、自転車の部品間の相互認証機能を一時的に無効化する(相互認証処理が不要)ことができる。以下、この点について説明する。 On the other hand, even if a bicycle is stolen, there are situations in which it is not appropriate to disable the bicycle's functions. Examples include cases where there is a low risk of theft in a public situation and you want to avoid disabling the functions as much as possible (e.g., bicycle races), and cases where you want to continue using a stolen bicycle (an unauthenticated bicycle) due to an emergency or urgent business (e.g., when you want to move quickly). In these cases where the risk of theft is low or can only be tolerated, the mutual authentication function between bicycle parts can be temporarily disabled (mutual authentication processing is not required). This point is explained below.

図14は秘匿通信路経由の場合の一時的な相互認証の無効化のフローの一例を示す模式図である。以下では、図中の各処理を#1~#7として説明する。 Figure 14 is a schematic diagram showing an example of the flow of temporarily invalidating mutual authentication when using a secret communication channel. Below, each process in the diagram will be explained as #1 to #7.

#1(管理者への連絡):ユーザは、自転車管理サーバ200の管理者に対して、一時的に相互認証機能を無効化するよう依頼する。 #1 (Contact administrator): The user requests the administrator of the bicycle management server 200 to temporarily disable the mutual authentication function.

#2(秘匿通信鍵取得指示):管理者は、自転車管理サーバ200に対し、自転車部品DB250から対応する自転車の秘匿通信鍵を取得するように指示する。 #2 (Instruction to obtain secret communication key): The administrator instructs the bicycle management server 200 to obtain the secret communication key for the corresponding bicycle from the bicycle parts DB 250.

#3(秘匿通信鍵の取得):自転車管理サーバ200の部品DBアクセス部210は、自転車部品DB250から対応する自転車の秘匿通信鍵を取得する。 #3 (Obtaining a secret communication key): The parts DB access unit 210 of the bicycle management server 200 obtains the corresponding bicycle's secret communication key from the bicycle parts DB 250.

#4(秘匿通信路の開設指示):管理者は、自転車管理サーバ200に対し、秘匿通信路の開設を指示する。ここでは、まず、シフター10との秘匿通信路の開設を指示する。 #4 (Instruction to open a secret communication path): The administrator instructs the bicycle management server 200 to open a secret communication path. Here, the administrator first instructs the bicycle management server 200 to open a secret communication path with the shifter 10.

#5(秘匿通信路の開設):自転車管理サーバ200は、自転車100のシフター10内のセキュアエレメント11に対してネットワーク経由で秘匿通信路を開設する。 #5 (Establishing a secret communication path): The bicycle management server 200 establishes a secret communication path via the network to the secure element 11 in the shifter 10 of the bicycle 100.

#6(相互認証リストの削除):自転車管理サーバ200は、秘匿通信路を介して、シフター10内の相互認証リスト19の各部品指定を削除する。図では便宜上、部品名に取消線を付加している。 #6 (Delete mutual authentication list): The bicycle management server 200 deletes each part designation from the mutual authentication list 19 in the shifter 10 via a secret communication channel. For convenience, the part names are crossed out in the figure.

#7(他のセキュアエレメントの相互認証リストの削除):以降、自転車管理サーバ200は、他のセキュアエレメントに対しても同様に相互認証リストの各部品指定を削除する。 #7 (Delete mutual authentication list of other secure elements): From then on, the bicycle management server 200 deletes each component designation from the mutual authentication list for other secure elements in the same way.

図15はシフター10以外の部品内のセキュアエレメントの一時的な相互認証の無効化の一例を示す模式図である。図に示すように、ディレイラー20のセキュアエレメント21、バッテリー30のセキュアエレメント31、前ホイールのセキュアエレメント40、後ホイールのセキュアエレメント50それぞれの相互認証リスト26、37、43、53内の各部品指定が削除されている。図では便宜上、部品名に取消線を付加している。 Figure 15 is a schematic diagram showing an example of temporary disabling of mutual authentication of secure elements in parts other than the shifter 10. As shown in the figure, the part designations in the mutual authentication lists 26, 37, 43, and 53 for the secure element 21 in the derailleur 20, the secure element 31 in the battery 30, the secure element 40 in the front wheel, and the secure element 50 in the rear wheel have been deleted. For convenience, the part names are crossed out in the figure.

ここで、相互認証リストが空の場合、各セキュアエレメントの相互認証部16、24、34、41、51、61は、相互認証処理を行わずに部品の動作を可能にする。これにより、例えば、自転車レースの実施に当たっては、レース開始前に自転車の各部品の相互認証リストを空にし、レース終了後に再度相互認証リストの中身を書き込む(部品指定する)ことにより、レース中の部品交換等にも対応可能となる。一方で、緊急時の場合など、自転車管理サーバ200から秘匿通信路の開設ができない場合には、例えば、自転車の入力I/Fに緊急ボタン等を設けておき、緊急ボタンを操作することで一時的に動作可能にすることができる。以下、この点について説明する。 If the mutual authentication list is empty, the mutual authentication units 16, 24, 34, 41, 51, 61 of each secure element enable the parts to operate without performing mutual authentication processing. As a result, for example, when conducting a bicycle race, the mutual authentication list for each bicycle part can be emptied before the start of the race, and the contents of the mutual authentication list can be rewritten (parts specified) after the race is over, making it possible to accommodate part replacement during the race. On the other hand, in the case of an emergency, for example, when it is not possible to open a secret communication path from the bicycle management server 200, an emergency button can be provided on the input I/F of the bicycle, and the parts can be temporarily enabled by operating the emergency button. This point will be explained below.

図16は入力I/F経由の場合の一時的な相互認証の無効化のフローの一例を示す模式図である。以下では、図中の各処理を#1~#5として説明する。 Figure 16 is a schematic diagram showing an example of the flow for temporarily disabling mutual authentication via an input I/F. Below, each process in the diagram will be explained as #1 to #5.

#1(一時的な相互認証無効化の指示):ユーザは、自転車100の入力I/Fから、一時的な相互認証無効化を指示する。 #1 (Instruction to temporarily disable mutual authentication): The user instructs the bicycle 100 to temporarily disable mutual authentication via its input I/F.

#2(制御部12への通知):自転車100の入力I/Fは、相互認証無効化の指示をシフター10の制御部12へ通知する。 #2 (Notification to control unit 12): The input I/F of the bicycle 100 notifies the control unit 12 of the shifter 10 of an instruction to disable mutual authentication.

#3(セキュアエレメントへの相互認証無効化の指示):制御部12は、自身のセキュアエレメント11に一時的な相互認証無効化を指示する。 #3 (Instruction to disable mutual authentication to secure element): The control unit 12 instructs its own secure element 11 to temporarily disable mutual authentication.

#4(相互認証リストの削除):セキュアエレメント11は、相互認証リスト19の各部品指定を削除する。図では便宜上、部品名に取消線を付加している。 #4 (Delete mutual authentication list): The secure element 11 deletes each component designation from the mutual authentication list 19. For convenience, the component names are crossed out in the figure.

#5(他のセキュアエレメントの相互認証リストの削除):以降、制御部12は、他のセキュアエレメントに対しても同様に相互認証リストの各部品指定を削除する。 #5 (Delete mutual authentication list of other secure elements): After this, the control unit 12 similarly deletes each component designation from the mutual authentication list for other secure elements.

図17はシフター10以外の部品内のセキュアエレメントの一時的な相互認証の無効化の一例を示す模式図である。図に示すように、ディレイラー20のセキュアエレメント21、バッテリー30のセキュアエレメント31、前ホイールのセキュアエレメント40、後ホイールのセキュアエレメント50それぞれの相互認証リスト26、37、43、53内の各部品指定が削除されている。図では便宜上、部品名に取消線を付加している。 Figure 17 is a schematic diagram showing an example of temporary disabling of mutual authentication of secure elements in parts other than the shifter 10. As shown in the figure, the part designations in the mutual authentication lists 26, 37, 43, and 53 for the secure element 21 in the derailleur 20, the secure element 31 in the battery 30, the secure element 40 in the front wheel, and the secure element 50 in the rear wheel have been deleted. For convenience, the part names are crossed out in the figure.

一時的に相互認証を無効化する機能は、自転車盗難防止機能の効果を弱めるので、実際の適用に当たっては、無効化の回数を一定回数に制限するなど、盗難リスクと緊急利用時の自転車の機能停止のリスクのトレードオフを考慮した構成とすることが望ましい。 The function of temporarily disabling mutual authentication weakens the effectiveness of the bicycle theft prevention function, so in actual application, it is desirable to configure it in a way that takes into account the trade-off between the risk of theft and the risk of the bicycle being disabled in the event of emergency use, such as by limiting the number of times it can be disabled.

なお、自転車の各部品にICタグを付与して、自転車本体と部品とを一義的に識別する方法も考えられるが、自転車本体と部品とを紐付けるだけでは、部品のトレーサビリティを確保することができても、盗難車や盗難部品を入手した第三者は、何の問題もなく盗品を使い続けることができ、盗難に対して有効な抑止とはならない。一方で本実施の形態によれば、相互認証がされていない部品(未認証の部品)が存在する場合、自転車の機能が停止され、動作不可となるので、盗難に対して有効な抑止となる。 It is possible to attach an IC tag to each part of the bicycle to uniquely identify the bicycle and the parts, but simply linking the bicycle and the parts may ensure the traceability of the parts, but a third party who obtains a stolen vehicle or stolen parts can continue to use the stolen goods without any problems, so this is not an effective deterrent against theft. On the other hand, according to this embodiment, if there is a part that has not been mutually authenticated (an unauthenticated part), the bicycle's functions are stopped and it becomes inoperable, which is an effective deterrent against theft.

本実施例では、車両の例として自転車を挙げて説明したが、自転車の部品は上述の例の部品に限定されるものではなく、他の部品も同様に適用することができる。また、車両は自転車に限定されるものではなく、自動二輪車(オートバイ)や自動車にも適用することができる。自動二輪車の場合、部品としては、例えば、ホイール、マフラー、灯火類、ハンドル、フレーム、バッテリー、シート等の外装部品などを含む。自動車の場合には、ホイール、バッテリー、充電器、ステアリング、車載カメラなどを含む。 In this embodiment, a bicycle is used as an example of a vehicle, but bicycle parts are not limited to the parts in the above example, and other parts can be applied in the same manner. Furthermore, vehicles are not limited to bicycles, and can also be applied to motorcycles and automobiles. In the case of motorcycles, parts include, for example, exterior parts such as wheels, mufflers, lights, handlebars, frames, batteries, and seats. In the case of automobiles, parts include, for example, wheels, batteries, chargers, steering wheels, and on-board cameras.

図18は本実施の形態の管理システムの構成の一例を示す模式図である。以下では、車両の例として自動車の場合について説明するが、自動車に限定されなくてもよい。管理システムは、車両・車両部品管理サーバ300、複数の車両400を備える。なお、図では3台の車両を図示しているが、車両の台数は3台に限定されるものではなく。各車両400には、それぞれにセキュアエレメントを搭載した車両部品410、420、430、440が搭載されている。なお、図では、便宜上4個の車両部品を図示しているが、車両部品の数は4個に限定されない。また、車両部品410~440は、各車両400で同一の部品である必要はない。車両の車種等に応じて車両部品が異なっていてもよい。車両・車両部品管理サーバ300と、各車両部品に搭載されたセキュアエレメントとの間は秘匿通信路を開設することができる。 Figure 18 is a schematic diagram showing an example of the configuration of the management system of this embodiment. In the following, an automobile will be described as an example of a vehicle, but the vehicle is not limited to an automobile. The management system includes a vehicle/vehicle parts management server 300 and a plurality of vehicles 400. Although three vehicles are illustrated in the figure, the number of vehicles is not limited to three. Each vehicle 400 is equipped with vehicle parts 410, 420, 430, and 440 each equipped with a secure element. Although four vehicle parts are illustrated in the figure for convenience, the number of vehicle parts is not limited to four. Furthermore, the vehicle parts 410 to 440 do not need to be the same parts in each vehicle 400. The vehicle parts may be different depending on the vehicle model, etc. A secret communication path can be established between the vehicle/vehicle parts management server 300 and the secure element installed in each vehicle part.

車両・車両部品管理サーバ300は、車両部品DBアクセス部310、ネットワーク通信部320、及び秘匿通信部330を備える。車両部品DBアクセス部310、ネットワーク通信部320、及び秘匿通信部330は、それぞれ自転車管理サーバ200の部品DBアクセス部210、ネットワーク通信部220、及び秘匿通信部230と同様の機能を備えるものであり、詳細な説明は省略する。 The vehicle/vehicle parts management server 300 includes a vehicle parts DB access unit 310, a network communication unit 320, and a secret communication unit 330. The vehicle parts DB access unit 310, the network communication unit 320, and the secret communication unit 330 have the same functions as the parts DB access unit 210, the network communication unit 220, and the secret communication unit 230 of the bicycle management server 200, respectively, and detailed explanations are omitted.

各車両400の車両部品410~440は、上述の情報処理システムの場合と同様に、セキュアコンポーネントによる相互認証、車両部品の機能の作動又は停止を行うことができる。すなわち、車両・車両部品管理サーバ300は、秘匿通信路を介して、セキュアコンポーネントによる相互認証、車両部品の機能の作動又は停止、相互認証の一時的無効化又は有効化、相互認証に用いる鍵や証明書等の更新などの包括的な管理を行うことができる。これにより、車両に用いられる車両部品に盗品等が混入することを防止することができ、車両部品を有効に保護することができる。 As in the case of the information processing system described above, the vehicle parts 410 to 440 of each vehicle 400 can perform mutual authentication using secure components and activate or stop the functions of the vehicle parts. In other words, the vehicle/vehicle parts management server 300 can perform comprehensive management such as mutual authentication using secure components, activation or stop of vehicle part functions, temporary disabling or enabling of mutual authentication, and updating of keys and certificates used for mutual authentication via a secret communication path. This makes it possible to prevent stolen goods from being mixed into vehicle parts used in vehicles, and effectively protect the vehicle parts.

近年、自動車業界を始めとして、モビリティ技術の発展に大きな関心が集まっている。モビリティとは、自動車に限らず、公共交通も含めた移動全般に関わるアクティビティを指すが、特にMaaS(Mobility as a Service)と称される概念が注目されている。MaaSは、ICT(Information and Communication Technology)を利用して交通をクラウド化し、全ての交通手段によるモビリティを一つのサービスと捉え、シームレスに繋ぐことを特徴としている。社会にMaaSの概念が浸透していくと、例えば、自動運転による自動車の配車、交通手段の最適化、様々な交通手段(自動車、バス、電車、二輪車など)に関する移動情報をビッグデータとして利用するような新たなサービスが創設され、これらの移動手段に用いられる部品(車両部品)の重要性が益々高まることが予想される。本実施の形態によれば、このような新しいサービスに対して、有用な管理システム又は管理方法を提供することができる。 In recent years, the development of mobility technology has attracted great interest, especially in the automotive industry. Mobility refers to activities related to movement in general, including not only automobiles but also public transportation, and a concept called MaaS (Mobility as a Service) has been attracting particular attention. MaaS is characterized by clouding transportation using ICT (Information and Communication Technology), treating mobility by all means of transportation as one service, and seamlessly connecting them. As the concept of MaaS spreads throughout society, new services will be created, such as dispatching cars by automatic driving, optimizing transportation, and using transportation information related to various means of transportation (cars, buses, trains, motorcycles, etc.) as big data, and the importance of parts (vehicle parts) used in these means of transportation is expected to increase. According to this embodiment, a useful management system or management method can be provided for such new services.

本実施の形態のセキュアコンポーネントは、車両に用いられる車両部品に搭載されるセキュアコンポーネントであって、前記車両に用いられる他の車両部品に搭載される他のセキュアコンポーネントとの間で情報の送受信を行う通信部と、前記通信部を介して前記他のセキュアコンポーネントと相互認証を行う認証部と、相互認証対象と前記認証部による相互認証結果を対応付けた相互認証情報を記憶する第1記憶部とを備える。 The secure component of this embodiment is a secure component mounted on a vehicle component used in a vehicle, and includes a communication unit that transmits and receives information to and from other secure components mounted on other vehicle components used in the vehicle, an authentication unit that performs mutual authentication with the other secure components via the communication unit, and a first storage unit that stores mutual authentication information that associates mutual authentication targets with mutual authentication results obtained by the authentication unit.

本実施の形態のコンピュータプログラムは、コンピュータに、車両に用いられる車両部品に搭載されるセキュアコンポーネントとの間で情報の送受信を行い、前記セキュアコンポーネントと相互認証を行い、相互認証対象と相互認証結果を対応付けた相互認証情報を記憶する、処理を実行させる。 The computer program of this embodiment causes a computer to execute processing to transmit and receive information to and from a secure component mounted on a vehicle component used in a vehicle, to perform mutual authentication with the secure component, and to store mutual authentication information that associates mutual authentication targets with mutual authentication results.

本実施の形態の情報処理方法は、車両に用いられる複数の車両部品それぞれに搭載されるセキュアコンポーネントの間で相互認証を行い、各セキュアコンポーネントは、相互認証対象と相互認証結果を対応付けた相互認証情報を記憶する。 The information processing method of this embodiment performs mutual authentication between secure components mounted on each of multiple vehicle components used in a vehicle, and each secure component stores mutual authentication information that associates mutual authentication targets with mutual authentication results.

セキュアコンポーネントは、車両に用いられる他の車両部品に搭載される他のセキュアコンポーネントとの間で情報の送受信を行う通信部を介して他のセキュアコンポーネントと相互認証を行い、相互認証対象と相互認証結果を対応付けた相互認証情報を記憶する。相互認証対象は、セキュアコンポーネント又はセキュアコンポーネントを搭載する車両部品である。セキュアコンポーネントを搭載する車両部品間でセキュアコンポーネントによる相互認証を行うので、各車両部品が予め定められた適切な組み合わせで、通信部を経由して接続されているかを検証することができ、車両に用いられる車両部品に盗品等が混入することを防止することができ、車両部品を有効に保護することができる。 The secure component performs mutual authentication with other secure components via a communication unit that transmits and receives information to and from other secure components mounted on other vehicle components used in the vehicle, and stores mutual authentication information that associates mutual authentication targets with mutual authentication results. The mutual authentication targets are secure components or vehicle components mounted with secure components. Since mutual authentication is performed by the secure components between vehicle components mounted with secure components, it is possible to verify whether each vehicle component is connected via the communication unit in a predetermined appropriate combination, which makes it possible to prevent stolen goods from being mixed into vehicle components used in the vehicle, and effectively protect the vehicle components.

本実施の形態のセキュアコンポーネントにおいて、前記通信部は、前記他のセキュアコンポーネントが相互認証用の秘密鍵で暗号化した演算結果を受信し、前記認証部は、前記演算結果を相互認証用の公開鍵で復号した復号結果に基づいて相互認証を行う。 In the secure component of this embodiment, the communication unit receives a calculation result encrypted by the other secure component with a mutual authentication private key, and the authentication unit performs mutual authentication based on the decryption result obtained by decrypting the calculation result with a mutual authentication public key.

セキュアコンポーネントは、他のセキュアコンポーネントが相互認証用の秘密鍵で暗号化した演算結果を受信し、受信した演算結果を相互認証用の公開鍵で復号した復号結果に基づいて相互認証を行う。各セキュアコンポーネントは、個別の公開鍵と秘密鍵を保持している。これにより、車両部品間で片側認証ではなく相互認証を実現できる。 A secure component receives a calculation result encrypted by another secure component with a mutual authentication private key, and performs mutual authentication based on the decryption result obtained by decrypting the received calculation result with a mutual authentication public key. Each secure component holds its own public key and private key. This enables mutual authentication between vehicle components to be achieved, rather than one-sided authentication.

本実施の形態のセキュアコンポーネントにおいて、前記第1記憶部は、前記車両に用いられる所定の車両部品に搭載される所定のセキュアコンポーネントとの相互認証情報を記憶し、前記所定のセキュアコンポーネントとの相互認証が完了している場合、自身が搭載される車両部品の動作許可を出力する出力部を備える。 In the secure component of this embodiment, the first storage unit stores mutual authentication information with a specific secure component mounted on a specific vehicle component used in the vehicle, and includes an output unit that outputs permission to operate the vehicle component in which the first storage unit is mounted when mutual authentication with the specific secure component is completed.

セキュアコンポーネントは、車両に用いられる所定の車両部品に搭載される所定のセキュアコンポーネントとの相互認証情報を記憶し、所定のセキュアコンポーネントとの相互認証が完了している場合、自身が搭載される車両部品の動作許可を出力する。例えば、車両部品Aのセキュアコンポーネントに記憶した相互認証情報が、1又は複数の所定の車両部品との相互認証が完了している場合、当該車両部品Aの動作を許可し、相互認証が完了していない場合(失敗時)には、当該車両部品Aの動作を許可しない。これにより、盗品等を組み合わせた不適切な構成の車両を動作させないことで、盗品の車両部品としての実効性を喪失させ、間接的に盗難を抑制することができる。 The secure component stores mutual authentication information with a specified secure component mounted on a specified vehicle component used in the vehicle, and when mutual authentication with the specified secure component is complete, outputs permission to operate the vehicle component in which it is mounted. For example, when the mutual authentication information stored in the secure component of vehicle component A indicates that mutual authentication with one or more specified vehicle components is complete, operation of the vehicle component A is permitted, and when mutual authentication is not complete (failure), operation of the vehicle component A is not permitted. In this way, by not allowing the operation of a vehicle with an inappropriate configuration that combines stolen goods, etc., stolen goods are rendered ineffective as vehicle parts, thereby indirectly suppressing theft.

本実施の形態のセキュアコンポーネントは、外部サーバとの間で開設された秘匿通信路を介して、前記第1記憶部に記憶した相互認証情報を更新可能とする。 The secure component of this embodiment is capable of updating the mutual authentication information stored in the first storage unit via a secret communication path established with an external server.

セキュアコンポーネントは、外部サーバとの間で開設された秘匿通信路を介して、記憶した相互認証情報を更新可能とする。例えば、正規の手段で車両部品を交換した場合、当該車両部品に対応させた相互認証情報に更新することができるようにする。これにより、整備士やメーカによる正当な車両部品の流用に対し、適切な相互認証を行うための手段を提供することができる。 The secure component can update the stored mutual authentication information via a secret communication path established with an external server. For example, when a vehicle part is replaced by legitimate means, the mutual authentication information can be updated to correspond to that vehicle part. This provides a means for appropriate mutual authentication against the misappropriation of legitimate vehicle parts by mechanics or manufacturers.

本実施の形態のセキュアコンポーネントは、外部サーバとの間で開設された秘匿通信路を介して、前記相互認証に用いる鍵及び証明書の少なくとも一方を更新可能とする。 The secure component of this embodiment is capable of updating at least one of the key and the certificate used in the mutual authentication via a secret communication path established with the external server.

セキュアコンポーネントは、外部サーバとの間で開設された秘匿通信路を介して、相互認証に用いる鍵及び証明書の少なくとも一方を更新可能とする。これにより、車両が盗難された場合、遠隔から車両部品間の相互認証ができないようにすることができ、盗難を抑止することができる。 The secure component can update at least one of the keys and certificates used for mutual authentication via a secret communication path established with an external server. This makes it possible to prevent mutual authentication between vehicle components from being performed remotely if the vehicle is stolen, thereby preventing theft.

本実施の形態のセキュアコンポーネントは、自身が搭載される車両部品を一意に特定可能な車両部品情報、相互認証用の公開鍵及び公開鍵署名を含む車両部品証明書を記憶する第2記憶部を備える。 The secure component of this embodiment includes a second storage unit that stores vehicle part information that can uniquely identify the vehicle part in which it is installed, and a vehicle part certificate that includes a public key and a public key signature for mutual authentication.

セキュアコンポーネントは、自身が搭載される車両部品を一意に特定可能な車両部品情報、相互認証用の公開鍵及び公開鍵署名を含む車両部品証明書を記憶する。例えば、相互認証に用いる鍵を非対称鍵(公開鍵+証明書+秘密鍵)とし、証明書に部品の製造証明書としての情報を書き込むことにより、公開鍵の証明手段と同時に、車両部品の素性を事後的に確認するための手段を提供できる。 The secure component stores vehicle part information that can uniquely identify the vehicle part in which it is installed, and a vehicle part certificate that includes a public key for mutual authentication and a public key signature. For example, by using an asymmetric key (public key + certificate + private key) for the key used for mutual authentication and writing information as the manufacturing certificate of the part in the certificate, it is possible to provide a means for verifying the identity of the vehicle part after the fact, as well as a means for certifying the public key.

セキュアコンポーネントを搭載する車両部品同士が非電動部品であっても、セキュアコンポーネント間の相互認証を実現できる。 Mutual authentication between secure components can be achieved even if the vehicle parts equipped with the secure components are non-electrical parts.

本実施の形態のセキュアコンポーネントは、セキュアエレメント、トラステッド実行環境又はICタグのいずれか1つを備える。 The secure component of this embodiment includes one of a secure element, a trusted execution environment, or an IC tag.

セキュアコンポーネントは、セキュアエレメント、トラステッド実行環境又はICタグのいずれか1つを備える。すなわち、セキュアコンポーネントは、耐タンパ性を有するセキュリティチップであるセキュアエレメントでもよく、SoC(System on Chip)上で、例えば、CPU仮想化支援技術(例えば、TrustZone(登録商標))と称される技術を用いることによって、SoC内で区分されたトラステッド実行環境(TEEとも称する)でもよく、あるいはICタグでもよい。これにより、車両や車両部品などの種類に応じて適切なセキュアコンポーネントを構成することができる。 The secure component comprises one of a secure element, a trusted execution environment, or an IC tag. That is, the secure component may be a secure element, which is a security chip with tamper resistance, or may be a trusted execution environment (also called TEE) divided within a SoC (System on Chip) by using, for example, a technology called CPU virtualization support technology (for example, TrustZone (registered trademark)) on the SoC, or may be an IC tag. This makes it possible to configure an appropriate secure component depending on the type of vehicle, vehicle part, etc.

本実施の形態の車両部品は、前述のセキュアコンポーネントを備える。 The vehicle components in this embodiment are equipped with the aforementioned secure components.

車両部品は、セキュアコンポーネントを備えるので、車両部品間の相互認証をセキュアコンポーネント間の相互認証により行うことができ、各車両部品が予め定められた適切な組み合わせで接続されているかを検証することができ、車両に用いられる車両部品に盗品等が混入することを防止することができ、車両部品を有効に保護することができる。 Since the vehicle components are equipped with secure components, mutual authentication between the vehicle components can be performed by mutual authentication between the secure components, and it can be verified whether each vehicle component is connected in a predetermined appropriate combination. This makes it possible to prevent stolen goods from being mixed into vehicle components used in the vehicle, thereby effectively protecting the vehicle components.

本実施の形態の車両部品は、前記セキュアコンポーネントが出力する動作許可に基づいて、動作可能である。 The vehicle components of this embodiment are operable based on the operation permission output by the secure component.

本実施の形態の情報処理方法は、前記複数の車両部品は、それぞれが搭載するセキュアコンポーネントに記憶された相互認証情報に基づいて、動作可否が決定される。 In the information processing method of this embodiment, the operation of the vehicle components is determined based on mutual authentication information stored in the secure components installed in each of the vehicle components.

車両部品は、セキュアコンポーネントが出力する動作許可に基づいて、動作可能である。セキュアコンポーネントによって、必要な相互認証が完了している場合にのみ車両部品は動作可能であるので、盗品等を組み合わせた不適切な構成の車両を動作させないことで、盗品の車両部品としての実効性を喪失させ、間接的に盗難を抑制することができる。 Vehicle parts are operable based on the operation permission output by the secure component. Vehicle parts are operable only when the necessary mutual authentication has been completed by the secure component. Therefore, by preventing the operation of vehicles with inappropriate configurations that incorporate stolen items, etc., stolen items are rendered ineffective as vehicle parts, thereby indirectly preventing theft.

本実施の形態の車両部品は、前記セキュアコンポーネントと外部サーバとの間に開設される秘匿通信路を介して前記外部サーバから受信した指示に基づいて、前記セキュアコンポーネントによる相互認証機能を一時的に無効化する。 In this embodiment, the vehicle component temporarily disables the mutual authentication function of the secure component based on an instruction received from the external server via a secret communication path established between the secure component and the external server.

車両部品は、セキュアコンポーネントと外部サーバとの間に開設される秘匿通信路を介して、外部サーバから受信した指示に基づいて、セキュアコンポーネントによる相互認証機能を一時的に無効化する。相互認証機能を一時的に無効化することにより、相互認証無しで車両の動作を可能にするので、衆人環視の状態で盗難リスクが少ない場合や、緊急時や急用等の理由で盗難リスクを許容又は余儀なくされる場合に対応することができる。 The vehicle component temporarily disables the mutual authentication function of the secure component based on instructions received from the external server via a secret communication path established between the secure component and the external server. Temporarily disabling the mutual authentication function allows the vehicle to operate without mutual authentication, making it possible to respond to situations where there is a low risk of theft in public or where the risk of theft is acceptable or unavoidable due to an emergency or urgent business, etc.

本実施の形態の車両部品は、前記セキュアコンポーネントと外部サーバとの間に開設される秘匿通信路を介して、前記外部サーバからの機能停止指示に基づいて、動作を停止可能である。 The vehicle component of this embodiment can stop operating based on a function stop instruction from the external server via a secret communication path established between the secure component and the external server.

車両部品は、セキュアコンポーネントと外部サーバとの間に開設される秘匿通信路を介して、外部サーバからの機能停止指示に基づいて、動作を停止可能である。車両が盗難された場合に、遠隔で車両部品の動作を停止させることができ、盗難車は車両を使用することができない。これにより、盗難を抑止することができる。 The vehicle components can be stopped from operating based on a function stop command from an external server via a secret communication path established between the secure component and the external server. If the vehicle is stolen, the operation of the vehicle components can be stopped remotely, and the stolen vehicle cannot be used. This makes it possible to prevent theft.

本実施の形態の車両部品は、前記車両に設けられた受付部からのユーザ指示に基づいて、動作を一時的に有効化する。 In this embodiment, the vehicle components temporarily activate their operation based on a user instruction from a reception unit installed in the vehicle.

車両部品は、車両に設けられた受付部からのユーザ指示に基づいて、動作を一時的に有効化する。無効化された車両部品に対して所定のユーザ指示を行うことで、一時的に部品機能を有効化し、車両としての使用を許可する。これにより、災害発生時や、不測の事態で車両が利用できなくなった場合に、安全な場所に移動するための救済手段を提供することができる。 Vehicle parts temporarily enable their operation based on user instructions from a reception unit installed in the vehicle. By issuing a specific user instruction to a disabled vehicle part, the part function is temporarily enabled and use as a vehicle is permitted. This provides a rescue means for moving to a safe location in the event of a disaster or when the vehicle becomes unusable due to an unforeseen incident.

本実施の形態の車両部品は、車両に用いられる第1の車両部品に搭載される第1のセキュアコンポーネント、及び前記車両に用いられる第2の車両部品に搭載される第2のセキュアコンポーネントそれぞれとの間で情報の送受信を行う通信部と、前記通信部を介して前記第1のセキュアコンポーネントと前記第2のセキュアコンポーネントとの間の相互認証を仲介する認証仲介部とを備える。 The vehicle component of this embodiment includes a communication unit that transmits and receives information between a first secure component mounted on a first vehicle component used in a vehicle and a second secure component mounted on a second vehicle component used in the vehicle, and an authentication mediation unit that mediates mutual authentication between the first secure component and the second secure component via the communication unit.

第1の車両部品に搭載される第1のセキュアコンポーネントと、第2の車両部品に搭載される第2のセキュアコンポーネントとが相互認証することができない場合(例えば、第1の車両部品及び第2の車両部品が、実際に部品を動作させるための制御機構や動作機構を備える電動部品と異なり、これらの機構を具備しない非電動部品である場合)、電動部品に備えられた認証仲介部が、相互認証の仲介を行うことにより、第1のセキュアコンポーネントと第2のセキュアコンポーネントとの相互認証を実現する。セキュアコンポーネントを搭載する車両部品同士が非電動部品であっても、セキュアコンポーネント間の相互認証を実現できるので、各車両部品が予め定められた適切な組み合わせで、通信部を経由して接続されているかを検証することができ、車両に用いられる車両部品に盗品等が混入することを防止することができ、車両部品を有効に保護することができる。 When a first secure component mounted on a first vehicle component and a second secure component mounted on a second vehicle component cannot mutually authenticate each other (for example, when the first vehicle component and the second vehicle component are non-electrical components that do not have a control mechanism or an operating mechanism for actually operating the components, unlike electric components that have these mechanisms), an authentication intermediary unit provided in the electric components mediates the mutual authentication, thereby realizing mutual authentication between the first secure component and the second secure component. Even if the vehicle components equipped with secure components are non-electrical components, mutual authentication between the secure components can be realized, so that it is possible to verify whether each vehicle component is connected via the communication unit in a predetermined appropriate combination, and it is possible to prevent stolen goods from being mixed into vehicle components used in a vehicle, thereby effectively protecting the vehicle components.

本実施の形態の車両部品において、前記第1の車両部品及び第2の車両部品それぞれは、非電動部品を含む。 In the vehicle parts of this embodiment, the first vehicle part and the second vehicle part each include a non-electric part.

本実施の形態の車両は、前述の車両部品を複数備える。 The vehicle of this embodiment is equipped with multiple vehicle components as described above.

車両は、車両部品を複数備える。これにより、盗品等の混入を防止できる車両を実現することができる。 The vehicle is equipped with multiple vehicle parts. This makes it possible to create a vehicle that can prevent stolen goods from being mixed in.

本実施の形態の管理システムは、前述の車両と、前記車両が備える複数の車両部品それぞれに搭載されたセキュアコンポーネントとの間で秘匿通信路を開設可能なサーバとを備え、前記サーバは、前記秘匿通信路を介して、相互認証に基づいて前記複数の車両部品及び前記車両の少なくとも一方を管理する。 The management system of this embodiment includes a server capable of establishing a secret communication path between the vehicle and a secure component mounted on each of a plurality of vehicle parts of the vehicle, and the server manages at least one of the vehicle parts and the vehicle based on mutual authentication via the secret communication path.

本実施の形態の管理方法は、前述の車両が備える複数の車両部品それぞれに搭載されたセキュアコンポーネントとの間で秘匿通信路を開設可能なサーバは、前記秘匿通信路を介して、相互認証に基づいて前記複数の車両部品及び前記車両の少なくとも一方を管理する。 In the management method of this embodiment, a server capable of establishing a secret communication path between the server and a secure component mounted on each of the vehicle components of the vehicle manages at least one of the vehicle components and the vehicle based on mutual authentication via the secret communication path.

サーバは、各セキュアコンポーネントとの間の秘匿通信路を介して、セキュアコンポーネントによる相互認証、車両部品の機能の作動又は停止、相互認証の一時的無効化又は有効化、相互認証に用いる鍵や証明書等の更新などの管理を行うことができる。これにより、車両に用いられる車両部品に盗品等が混入することを防止することができ、車両部品を有効に保護することができる。 The server can manage mutual authentication by the secure components, activation or deactivation of functions of vehicle components, temporary deactivation or activation of mutual authentication, and updating of keys and certificates used for mutual authentication, etc., via a secret communication path between each secure component. This makes it possible to prevent stolen goods from being mixed into vehicle parts used in vehicles, and to effectively protect the vehicle parts.

10 シフター
11 セキュアエレメント
12 制御部
13 相互認証仲介部
14 ネットワーク通信部
15 シフター操作部
16 相互認証部
17 部品証明書
18 秘匿通信部
19 相互認証リスト
20 ディレイラー
21 セキュアエレメント
22 ディレイラー制御部
23 ディレイラー駆動部
24 相互認証部
25 部品証明書
26 相互認証リスト
27 秘匿通信部
30 バッテリー
31 セキュアエレメント
32 バッテリー制御部
33 バッテリー
34 相互認証部
35 部品証明書
36 秘匿通信部
37 相互認証リスト
40 セキュアエレメント
41 相互認証部
42 部品証明書
43 相互認証リスト
44 秘匿通信部
50 セキュアエレメント
51 相互認証部
52 部品証明書
53 相互認証リスト
54 秘匿通信部
60 セキュアエレメント
61 相互認証部
62 部品証明書
63 相互認証リスト
64 秘匿通信部
100 自転車
200 自転車管理サーバ
210 部品DBアクセス部
220 ネットワーク通信部
230 秘匿通信部
250 自転車部品DB
251 自転車テーブル
LIST OF SYMBOLS 10 Shifter 11 Secure element 12 Control unit 13 Mutual authentication intermediary unit 14 Network communication unit 15 Shifter operation unit 16 Mutual authentication unit 17 Part certificate 18 Secret communication unit 19 Mutual authentication list 20 Derailleur 21 Secure element 22 Derailleur control unit 23 Derailleur drive unit 24 Mutual authentication unit 25 Part certificate 26 Mutual authentication list 27 Secret communication unit 30 Battery 31 Secure element 32 Battery control unit 33 Battery 34 Mutual authentication unit 35 Part certificate 36 Secret communication unit 37 Mutual authentication list 40 Secure element 41 Mutual authentication unit 42 Part certificate 43 Mutual authentication list 44 Secret communication unit 50 Secure element 51 Mutual authentication unit 52 Part certificate 53 Mutual authentication list 54 Secret communication unit 60 Secure element 61 Mutual authentication unit 62 Part certificate 63 Mutual authentication list 64 Secret communication unit 100 Bicycle 200 Bicycle management server 210 Part DB access unit 220 Network communication unit 230 Secret communication unit 250 Bicycle parts DB
251 Bicycle Table

Claims (18)

車両に用いられる車両部品に搭載されるセキュアコンポーネントであって、
前記車両に用いられる他の車両部品に搭載される他のセキュアコンポーネントとの間で情報の送受信を行う通信部と、
前記通信部を介して前記他のセキュアコンポーネントと相互認証を行う認証部と、
相互認証対象と前記認証部による相互認証結果を対応付けた相互認証情報を記憶する第1記憶部と
を備え
前記第1記憶部は、
前記車両に用いられる所定の車両部品に搭載される所定のセキュアコンポーネントとの相互認証情報を記憶し、
前記所定のセキュアコンポーネントとの相互認証が完了している場合、自身が搭載される車両部品の動作許可を出力する出力部をさらに備える、
セキュアコンポーネント。
A secure component mounted on a vehicle component used in a vehicle,
a communication unit that transmits and receives information to and from other secure components mounted on other vehicle components used in the vehicle;
an authentication unit that performs mutual authentication with the other secure component via the communication unit;
a first storage unit that stores mutual authentication information in which a mutual authentication target and a mutual authentication result by the authentication unit are associated with each other ,
The first storage unit is
storing mutual authentication information with a predetermined secure component mounted on a predetermined vehicle component used in the vehicle;
and an output unit that outputs, when mutual authentication with the predetermined secure component is completed, an operation permission for a vehicle component in which the vehicle component is mounted .
Secure components.
前記通信部は、
前記他のセキュアコンポーネントが相互認証用の秘密鍵で演算した演算結果を受信し、
前記認証部は
互認証用の公開鍵を用い、前記演算結果に基づいて相互認証を行う、
請求項1に記載のセキュアコンポーネント。
The communication unit is
receiving a calculation result calculated by the other secure component using a mutual authentication private key;
The authentication unit
performing mutual authentication based on the calculation result by using a public key for mutual authentication;
The secure component of claim 1 .
外部サーバとの間で開設された秘匿通信路を介して、前記外部サーバが前記第1記憶部に記憶した相互認証情報にアクセスすることで前記相互認証情報を更新可能とする、
請求項1又は請求項に記載のセキュアコンポーネント。
the mutual authentication information can be updated by the external server accessing the mutual authentication information stored in the first storage unit via a secret communication path established between the external server and the external server;
A secure component according to claim 1 or 2 .
前記相互認証に用いる鍵及び証明書の少なくとも一方を記憶し、外部サーバとの間で開設された秘匿通信路を介して、前記鍵及び証明書の少なくとも一方を更新可能とする、
請求項1から請求項のいずれか一項に記載のセキュアコンポーネント。
storing at least one of a key and a certificate used for the mutual authentication, and enabling at least one of the key and the certificate to be updated via a secret communication path established with an external server;
A secure component according to any one of claims 1 to 3 .
自身が搭載される車両部品を一意に特定可能な車両部品情報、相互認証用の公開鍵及び公開鍵署名を含む車両部品証明書を記憶する第2記憶部を備える、
請求項1から請求項のいずれか一項に記載のセキュアコンポーネント。
a second storage unit that stores vehicle part information that can uniquely identify a vehicle part on which the vehicle part is mounted, and a vehicle part certificate including a public key and a public key signature for mutual authentication;
A secure component according to any one of claims 1 to 4 .
セキュアエレメント、トラステッド実行環境又はICタグのいずれか1つを備える、
請求項1から請求項のいずれか一項に記載のセキュアコンポーネント。
The device includes one of a secure element, a trusted execution environment, and an IC tag.
A secure component according to any one of claims 1 to 5 .
請求項1から請求項のいずれか一項に記載のセキュアコンポーネントを備える、
車両部品。
A secure component according to any one of claims 1 to 6 ,
Vehicle parts.
前記セキュアコンポーネントが出力する動作許可に基づいて、動作可能である、
請求項に記載の車両部品。
The secure component is operable based on an operation permission output by the secure component.
The vehicle component according to claim 7 .
前記セキュアコンポーネントと外部サーバとの間に開設される秘匿通信路を介して前記外部サーバから受信した指示に基づいて、前記セキュアコンポーネントによる相互認証機能を一時的に無効化する、
請求項又は請求項に記載の車両部品。
temporarily disabling a mutual authentication function performed by the secure component based on an instruction received from the external server via a secret communication path established between the secure component and the external server;
The vehicle component according to claim 7 or 8 .
前記セキュアコンポーネントと外部サーバとの間に開設される秘匿通信路を介して、前記外部サーバからの機能停止指示に基づいて、動作を停止可能である、
請求項から請求項のいずれか一項に記載の車両部品。
The operation of the secure component can be stopped based on a function stop instruction from an external server via a secret communication path established between the secure component and the external server.
The vehicle component according to any one of claims 7 to 9 .
前記車両に設けられた受付部からのユーザ指示に基づいて、動作を一時的に有効化する、
請求項に記載の車両部品。
Temporarily enabling an operation based on a user instruction from a reception unit provided in the vehicle.
The vehicle component according to claim 8 .
車両に用いられる第1の車両部品に搭載される第1のセキュアコンポーネント、及び前記車両に用いられる第2の車両部品に搭載される第2のセキュアコンポーネントそれぞれとの間で情報の送受信を行う通信部と、
前記通信部を介して前記第1のセキュアコンポーネントと前記第2のセキュアコンポーネントとの間の相互認証を仲介する認証仲介部と
前記第1のセキュアコンポーネントと
を備え、
前記第1のセキュアコンポーネントは、
前記第2のセキュアコンポーネントとの相互認証情報を記憶する記憶部と、
前記第2のセキュアコンポーネントとの相互認証が完了している場合、自身が搭載される車両部品の動作許可を出力する出力部と
を備える、
車両部品。
a communication unit that transmits and receives information between a first secure component mounted on a first vehicle component used in a vehicle and a second secure component mounted on a second vehicle component used in the vehicle;
an authentication intermediation unit that mediates mutual authentication between the first secure component and the second secure component via the communication unit ;
the first secure component;
Equipped with
The first secure component comprises:
a storage unit that stores mutual authentication information with the second secure component;
an output unit that outputs permission for operation of a vehicle part in which the second secure component is mounted when mutual authentication with the second secure component has been completed;
Equipped with
Vehicle parts.
前記第1の車両部品及び第2の車両部品それぞれは、非電動部品を含む、
請求項12に記載の車両部品。
Each of the first vehicle component and the second vehicle component includes a non-electric component.
The vehicle component of claim 12 .
請求項から請求項13のいずれか一項に記載の車両部品を複数備える、
車両。
A vehicle component according to any one of claims 7 to 13 ,
vehicle.
コンピュータに、
車両に用いられる車両部品に搭載される他のセキュアコンポーネントとの間で情報の送受信を行い、
前記他のセキュアコンポーネントと相互認証を行い、
相互認証対象と相互認証結果を対応付けた相互認証情報を記憶
前記車両に用いられる所定の車両部品に搭載される所定のセキュアコンポーネントとの相互認証情報を記憶し、
前記所定のセキュアコンポーネントとの相互認証が完了している場合、自身が搭載される車両部品の動作許可を出力する、
処理を実行させるコンピュータプログラム。
On the computer,
Sending and receiving information between other secure components installed in vehicle components used in the vehicle,
Mutual authentication is performed with the other secure component;
storing mutual authentication information in which the mutual authentication subject and the mutual authentication result are associated with each other;
storing mutual authentication information with a predetermined secure component mounted on a predetermined vehicle component used in the vehicle;
When mutual authentication with the predetermined secure component has been completed, outputting permission for operation of the vehicle component in which the device is mounted.
A computer program that executes a process.
車両に用いられる複数の車両部品それぞれに搭載される他のセキュアコンポーネントの間で相互認証を行い
互認証対象と相互認証結果を対応付けた相互認証情報を記憶
前記車両に用いられる所定の車両部品に搭載される所定のセキュアコンポーネントとの相互認証情報を記憶し、
前記所定のセキュアコンポーネントとの相互認証が完了している場合、自身が搭載される車両部品の動作許可を出力する、
情報処理方法。
Mutual authentication is performed between the other secure components installed in each of the multiple vehicle parts used in the vehicle ,
storing mutual authentication information in which the mutual authentication subject and the mutual authentication result are associated with each other;
storing mutual authentication information with a predetermined secure component mounted on a predetermined vehicle component used in the vehicle;
When mutual authentication with the predetermined secure component has been completed, outputting permission for operation of the vehicle component in which the device is mounted.
Information processing methods.
前記複数の車両部品は、それぞれが搭載するセキュアコンポーネントに記憶された相互認証情報に基づく相互認証が完了しているか否かに応じて動作可否決定る、
請求項16に記載の情報処理方法。
the plurality of vehicle components determine whether or not to operate depending on whether or not mutual authentication based on mutual authentication information stored in a secure component mounted on each of the vehicle components has been completed .
The information processing method according to claim 16 .
請求項14に記載された車両と、
前記車両が備える複数の車両部品それぞれに搭載されたセキュアコンポーネントとの間で秘匿通信路を開設可能なサーバと
を備え、
前記サーバは、
前記秘匿通信路を介して、相互認証に基づいて前記複数の車両部品の機能の作動又は停止を行う
管理システム。
A vehicle according to claim 14 ;
a server capable of establishing a secret communication path between the server and a secure component mounted in each of a plurality of vehicle components provided in the vehicle,
The server,
Activating or deactivating functions of the plurality of vehicle parts based on mutual authentication via the secret communication path.
Management system.
JP2020176817A 2020-10-21 2020-10-21 Secure component, vehicle part, vehicle, computer program, management system and information processing method Active JP7615605B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020176817A JP7615605B2 (en) 2020-10-21 2020-10-21 Secure component, vehicle part, vehicle, computer program, management system and information processing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020176817A JP7615605B2 (en) 2020-10-21 2020-10-21 Secure component, vehicle part, vehicle, computer program, management system and information processing method

Publications (2)

Publication Number Publication Date
JP2022067937A JP2022067937A (en) 2022-05-09
JP7615605B2 true JP7615605B2 (en) 2025-01-17

Family

ID=81455911

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020176817A Active JP7615605B2 (en) 2020-10-21 2020-10-21 Secure component, vehicle part, vehicle, computer program, management system and information processing method

Country Status (1)

Country Link
JP (1) JP7615605B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7826157B2 (en) * 2022-09-15 2026-03-09 株式会社東芝 IoT systems and programs
CN119862608A (en) * 2023-10-19 2025-04-22 宁德时代(上海)智能科技有限公司 Data processing method, device, equipment, system and storage medium
DE102024125309A1 (en) * 2024-09-04 2026-03-05 KILLWATT GmbH METHOD FOR OPERATING A VEHICLE, DATA PROCESSING EQUIPMENT, VEHICLE COMPONENT, AND VEHICLE

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009151557A (en) 2007-12-20 2009-07-09 Denso It Laboratory Inc Anti-theft device
JP2019517228A (en) 2016-03-25 2019-06-20 ティー−セントラル,インコーポレイティド Internet of Things (IoT) Security and Management System and Method
WO2019145488A1 (en) 2018-01-29 2019-08-01 Nagravision S.A Secure communication between in-vehicle electronic control units
JP2020511069A (en) 2017-03-01 2020-04-09 アップル インコーポレイテッドApple Inc. System access using mobile devices

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009151557A (en) 2007-12-20 2009-07-09 Denso It Laboratory Inc Anti-theft device
JP2019517228A (en) 2016-03-25 2019-06-20 ティー−セントラル,インコーポレイティド Internet of Things (IoT) Security and Management System and Method
JP2020511069A (en) 2017-03-01 2020-04-09 アップル インコーポレイテッドApple Inc. System access using mobile devices
WO2019145488A1 (en) 2018-01-29 2019-08-01 Nagravision S.A Secure communication between in-vehicle electronic control units

Also Published As

Publication number Publication date
JP2022067937A (en) 2022-05-09

Similar Documents

Publication Publication Date Title
JP5189073B2 (en) Personal property, in particular a method, computer program and personal property for protecting automobiles from unauthorized use
JP7615605B2 (en) Secure component, vehicle part, vehicle, computer program, management system and information processing method
US9767627B2 (en) Method and apparatus for providing vehicle security
CN106240522B (en) Autonomous vehicle theft prevention
Das et al. A decentralized vehicle anti-theft system using Blockchain and smart contracts
KR20200138059A (en) Method for managing digital key of mobile device for vehicle-sharing and key server using the same
CN109587682A (en) Vehicle shares accessory module and system
CN105900394A (en) Method and device for releasing functionality of a control device
US7551986B2 (en) Program distribution system, program distribution device, and in-vehicle gateway device
KR20170085047A (en) Auto Security and Auto Safety System
US7137142B2 (en) Method and system for vehicle authentication of a component using key separation
WO2020174544A1 (en) Vehicle, vehicle onboard device, and management method
KR20080075801A (en) Security unit
JP5772692B2 (en) In-vehicle control device authentication system and in-vehicle control device authentication method
CN101559745A (en) Vehicle control system for preventing stealing and robbery and implementation method thereof
JP2011217037A (en) Network system and theft preventing method
US12043210B2 (en) System for managing access to a vehicle by a service provider that is to provide a service associated with the vehicle
US20220245973A1 (en) Remote access of transports
US20240233464A1 (en) Vehicular digital key system, vehicular digital key management method, vehicular device, and mobile terminal
JP2016092811A (en) Key management system, key management server device, management device, vehicle, key management method and computer program
US20040003232A1 (en) Method and system for vehicle component authentication of another vehicle component
CN118138211A (en) Vehicle digital key management on blockchain
EP3167436B1 (en) Method and apparatus for providing vehicle security
Singh Cybersecurity in automotive technology
CN113015945B (en) Method, control device and vehicle for certifying a transport task

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230829

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240327

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240507

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20240704

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240827

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20241203

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20241216

R150 Certificate of patent or registration of utility model

Ref document number: 7615605

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150