认证系统、车载控制装置制造方法及图纸

防止用于对车载控制装置的维护管理作业的维护管理工具被第3者恶意使用。在本发明专利技术所涉及的认证系统中，认证装置认证操作终端(相当于维护管理工具)的操作者，操作终端将认证装置生成的认证符号向车载控制装置传送。车载控制装置使用该认证符号，判断是否许可操作终端实施维护操作。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及认证操作终端的技术，该操作终端用于维护管理控制车辆动作的车载控制装置。
技术介绍
近年，车载控制装置的软件高度化、大规模化，且控制处理也多功能化。伴随于此，附加设定调整用数据的功能、调试功能、更新控制软件自身的功能等用于实施维护操作的功能成为普通的事情。通过将车载控制装置与外部操作终端连接，由操作者操作该操作终端(也称为维护管理工具)来实施该维护操作。车载控制装置从自身的存储装置读出数据并向操作终端输出，或者从操作终端取得数据并写入自身的存储装置。作为维护管理工具从车载控制装置的存储装置读出的数据，例如为自我诊断历史、操作日志等那样的用于实施故障诊断的数据。作为维护管理工具写入车载控制装置的存储装置的数据，例如为在产品出厂前的制造商中每个车辆都不同的设备调整值、在产品出厂后的制造商指定的经销商中更新控制软件(固件的再写入)时的更新数据等。更新控制软件的作业有时称为召回、服务宣传活动等而被实施。这些维护功能被限定许可于制造商或具有制造商许可的修配厂的销售商等，并不向一般的用户开放。车载控制装置特别是在负责汽车的控制的特性上，如果轻易变更软件、数据的话具有导致故障、事故的可能性。另外，在信息安全上的观点方面，轻易地变更也具有威胁车辆上存在的个人财产的可能性。例如，具有由于无效化电子钥匙而车辆盗窃变得容易的可能性。另外，可以想到能够收集存储在导航内的自家数据的个人信息的可能性。此外，也能想到从ETC(Electronic Toll Collection System，不停车电子收费系统)设备盗取个人的信用卡号码。因此维护管理工具不能流出到一般用户，也不能为有资格者以外的人能够容易操作那样的替代物。在下述专利文献1所记载的技术中，维护管理工具具备测量位置信息的功能，只有在维护管理工具存在于规定的纬度经度范围内情况下，认证服务器才认证维护管理工具。通
过确认维护管理工具的位置信息，谋求如下效果：例如即使维护管理工具被盗，也能防止被恶意的第三者使用于未然。现有技术文献专利文献专利文献1:日本特开2013-015884号公报
技术实现思路
专利技术要解决的问题<工具的高价化和效率降低>在上述专利文献1中，与以往同样地认证系统的构成要素的一部分被收纳于维护管理工具内。即，可以想到由于为了升级认证系统需要硬件的功能增加(例如位置信息测量功能的增加等)，因此维护管理工具的成本增加。另外由于需要定位维护管理工具，因此具有到操作者开始维护管理作业为止的前置期增加的可能性。<对逆向工程的担忧>在上述专利文献1中，为了与担负发行认证码任务的中心通信而使用的消息认证码(MAC：Message Authentication Code)用的密钥被存储在维护管理工具内。因此，在维护管理工具被盗时，具有该密钥由逆向工程泄漏的可能性。<定位系统的可靠性>近年，由于使用GPS(Global Positioning System，全球定位系统)的室内定位技术(IMES：Indoor Messaging System)的发展，为了伪装位置信息而能够滥用的市售的GPS信号发生器一般为人所知。另外，作为别的攻击方法能够列举出下面的事实。可以认为维护管理工具内部的GPS接收器从抑制成本上升的观点而使用通用(一般市售)的GPS接收模块。这样的GPS接收模块与工具的CPU(Central Processing Unit，中央处理器)之间的接口已经被规格化，采用遵循NMEA(全美船舶用电子设备协会：National Marine Electronics Association)0183标准规格的通信协议。NMEA 0183为该协会制定的基于字符的通信规格。因此，通过根据上述规定将从GPS接收模块对维护管理工具的CPU发送的信号进行伪装，能够容易地伪装位置信息。由此动摇了对于定位结果的可靠性。＜将挑战码转换为响应的函数(哈希函数)的脆弱性＞在上述专利文献1中，在从对象设备向维护管理工具传达信号的界面中，能够捕捉并监视对象设备生成的挑战码。另外，在从中心向维护管理工具传达信号的界面中，能够捕
捉并监视与挑战码对应的响应。因此，不正当获得维护管理工具的第三者能够记录挑战码和响应的组合。由于其提供类推内部哈希函数的线索，因此具有对于安全系统来说变得脆弱的可能性。另外，在上述专利文献1中对象设备在生成挑战码时生成伪随机数。伪随机数(与密码学的真随机数不同)由于具有周期性，通过完整地记录1周期的挑战码和响应的组合，具有能够伪装响应的可能性。进一步地，其他车辆、其他车载控制装置的伪随机数发生机构也通用的情况下，上述那样的暴力破解攻击能够对于其他车辆挪用。本专利技术是鉴于上述那样的问题而完成的，其目的在于防止用于实施对车载控制装置的维护管理作业的维护管理工具被第3者恶意使用。解决问题的技术手段在本专利技术所涉及的认证系统中，认证装置认证操作终端(相当于维护管理工具)的操作者，操作终端向车载控制装置传送认证装置生成的认证符号。车载控制装置使用该认证符号，判断是否许可操作终端实施维护操作。专利技术的效果根据本专利技术所涉及的认证系统，不需要在操作终端内部收纳认证信息、认证机构，因此即使操作终端存在遗失或被盗，也能够抑制被第3者恶意使用的风险。附图说明图1为表示实施方式1所涉及的认证系统的构成的图。图2为说明实施方式1所涉及的认证系统认证维护管理工具103的动作的序列图。图3为将图2的序列表示为SDL流程的图。图4为说明实施方式2所涉及的认证系统认证维护管理工具103的动作的序列图。图5为说明实施方式3所涉及的认证系统认证维护管理工具103的动作的序列图。图6为将图5的序列表示为SDL流程的图。具体实施方式＜实施方式1＞图1为表示本专利技术的实施方式1所涉及的认证系统的构成的图。车载控制装置100也就是被称为ECU(Electronic Control Unit，电子控制单元)的内置型电子控制装置，连接于CAN(Controller Area Network，控制器区域网络)等车载网络105并且一边与其他的车载控制装置收发信息一边控制车辆。维护管理工具103能够通过连接用连接器104连接于车载网络105。连接用连接器104有时从车载网络105直接分支而引出，有时从安全上的考虑通过车载通信用网关(未图示)而提供。在认证维护管理工具103的现有的方式中，一般为车载控制装置100与维护管理工具103以1对1的方式认证。但是这样的情况下，由于认证所需要的信息存储在维护管理工具103内，因此具有在维护管理工具103存在被盗、遗失的情况下恶意的第3者使用该认证信息而不正当进入车载网络105的危险。在此在本实施方式1中，不是车载控制装置100认证维护管理工具103，而是对操作维护管理工具103的操作者107进行本人认证。由此由于维护管理工具103不需要保持自身的认证信息，因此即使维护管理工具103存在被盗、遗失认证信息也不会泄露，可以认为进一步提高了安全强度。由于维护管理工具103不保持认证信息，因此需要另外设置用于对操作者107进行本人认证的单元。在车载控制装置100内设置认证操作者107的功能的话，需要车载控制装置100具备认证数据库，本文档来自技高网...

【技术保护点】
一种认证系统，其是认证为了对控制车辆动作的车载控制装置进行维护管理而使用的操作终端的认证系统，其特征在于，所述认证系统包括：认证装置，其通过通信线路与所述操作终端连接，对操作所述操作终端的操作者进行认证；以及所述车载控制装置，所述车载控制装置被构成为判定是否许可所述操作终端实施维护管理所述车载控制装置的操作，所述认证装置和所述车载控制装置分别包括：变动符号生成源，其生成相互同步地变化的变动符号；存储部，其存储在所述认证装置与所述车载控制装置之间共有的所述车辆所固有的公钥；以及认证符号生成器，其使用所述变动符号和所述公钥生成认证符号，所述认证装置从所述操作终端收到认证要求的话，认证所述操作者，所述操作者的认证成功的话，从所述操作终端取得确定所述公钥的信息，使用所述变动符号和所述公钥生成所述认证符号并向所述操作终端发送，所述操作终端将从所述认证装置接收的所述认证符号向所述车载控制装置发送，所述车载控制装置使用所述变动符号和所述公钥生成所述认证符号，生成的所述认证符号与从所述操作终端接收的所述认证符号一致的情况下，许可所述操作终端实施维护管理所述车载控制装置的操作。

【技术特征摘要】
【国外来华专利技术】2014.02.28 JP 2014-0381251.一种认证系统，其是认证为了对控制车辆动作的车载控制装置进行维护管理而使用的操作终端的认证系统，其特征在于，所述认证系统包括：认证装置，其通过通信线路与所述操作终端连接，对操作所述操作终端的操作者进行认证；以及所述车载控制装置，所述车载控制装置被构成为判定是否许可所述操作终端实施维护管理所述车载控制装置的操作，所述认证装置和所述车载控制装置分别包括：变动符号生成源，其生成相互同步地变化的变动符号；存储部，其存储在所述认证装置与所述车载控制装置之间共有的所述车辆所固有的公钥；以及认证符号生成器，其使用所述变动符号和所述公钥生成认证符号，所述认证装置从所述操作终端收到认证要求的话，认证所述操作者，所述操作者的认证成功的话，从所述操作终端取得确定所述公钥的信息，使用所述变动符号和所述公钥生成所述认证符号并向所述操作终端发送，所述操作终端将从所述认证装置接收的所述认证符号向所述车载控制装置发送，所述车载控制装置使用所述变动符号和所述公钥生成所述认证符号，生成的所述认证符号与从所述操作终端接收的所述认证符号一致的情况下，许可所述操作终端实施维护管理所述车载控制装置的操作。2.如权利要求1所述的认证系统，其特征在于，所述变动符号生成源生成在所述认证装置与所述车载控制装置之间同步的时刻作为所述变动符号，所述认证符号生成器通过对所述变动符号和所述公钥应用在所述认证装置与所述车载控制装置之间共有的哈希函数，生成一次性密码作为所述认证符号。3.如权利要求1所述的认证系统，其特征在于，所述变动符号生成源使用所述认证装置和所述车载控制装置能够同步地接收的信息作为所述变动符号，所述认证符号生成器通过对所述变动符号和所述公钥应用在所述认证装置与所述车载控制装置之间共有的哈希函数，生成一次性密码作为所述认证符号。4.如权利要求1所述的认证系统，其特征在于，所述变动符号生成源使用确定所述认证符号生成器生成了所述认证符号的次数的信息作为所述变动符号，所述认证符号生成器使用对所述公钥重叠所述次数地应用在所述认证装置与所述车载控制装置之间共有的哈希函数而获得的重叠符号来取代所述变动符号和所述公钥，生成一次性密码作为所述认证符号。5.如权利要求4所述的认证系统，其特征在于，所述认证符号生成器在所述存储部存储生成了所述认证符号的次数，在下次生成所述认证符号时，使用与所述存储的次数相对应地对所述公钥重叠应用在所述认证装置与所述车载控制装置之间共有的哈希函数而获得的重叠符号，来取代所述变动符号和所述公钥。6.如权利要求4所述的认证系统，其特征在于，所述认证符号生成器将所述重叠符号存储于所述存储部，在下次生成所述认证符号时，使用对所述存储的所述重叠符号仅应用一次在所述认证装置与所述车载控制装置之间共有的哈希函数而再存储的重叠符号，来取代所述变动符号和所述公钥。7.如权利要求4所述的认证系统，...

【专利技术属性】
技术研发人员：三宅淳司，
申请(专利权)人：日立汽车系统株式会社，
类型：发明
国别省市：日本;JP