JP7013921B2 - 検証端末 - Google Patents

検証端末 Download PDF

Info

Publication number
JP7013921B2
JP7013921B2 JP2018027114A JP2018027114A JP7013921B2 JP 7013921 B2 JP7013921 B2 JP 7013921B2 JP 2018027114 A JP2018027114 A JP 2018027114A JP 2018027114 A JP2018027114 A JP 2018027114A JP 7013921 B2 JP7013921 B2 JP 7013921B2
Authority
JP
Japan
Prior art keywords
terminal
hash value
verification
program
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018027114A
Other languages
English (en)
Other versions
JP2019144752A (ja
Inventor
達哉 岡部
英一 奥野
孝男 野尻
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2018027114A priority Critical patent/JP7013921B2/ja
Priority to US16/279,089 priority patent/US11374942B2/en
Publication of JP2019144752A publication Critical patent/JP2019144752A/ja
Application granted granted Critical
Publication of JP7013921B2 publication Critical patent/JP7013921B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/23Updating
    • G06F16/2365Ensuring data consistency and integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures
    • G06F16/9014Indexing; Data structures therefor; Storage structures hash tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/46Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for vehicle-to-vehicle communication [V2V]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Software Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Stored Programmes (AREA)

Description

本開示は、プログラム又はデータの正当性検証を行う検証端末に関する。
自動車に通信端末を搭載し、ネットワークを介して又は直接他の車やインフラ装置やサーバーと通信を行うコネクテッドカーが普及すると、膨大な台数の端末のセキュリティを確保する必要がある。同様に、IoT技術が更に展開されると、やはり膨大な台数の端末のセキュリティを確保する必要がある。
セキュリティ確保の一つの観点として、コンピューターに格納されているプログラムの正当性を検証するものが提案されている(例えば、下記特許文献1)。下記特許文献1に開示されている発明は、サーバーに格納されているプログラムとクライアントに格納されているプログラムとについて、暗号鍵を用いて差分を検出するものである。
自動車に搭載されているECU(Electronic Control Unit)に格納されているプログラムの改竄防止の観点からは、メンテナンスの際に不正なプログラムが入り込まないようにするものが提案されている(例えば、下記特許文献2)。下記特許文献2に開示されている発明は、メンテナンスの際に認証プロセスを走らせることで、正規の作業員によるメンテナンスを担保している。
1台の自動車に搭載されているECUは相当な数になっており、相互に通信を行うことで運転制御を実現している。この観点から、車載ECUを繋ぐネットワークに流れる不正なデータを検出することが提案されている(例えば、下記特許文献3)。下記特許文献3に開示されている発明は、車内ネットワークを流れるデータの正当性を各ECUにおいて検証するものである。
特開2012-165289号公報 特開2013-168007号公報 特開2017-112594号公報
特許文献1に記載されているように、クライアントサーバー型で中央集権的に管理する手法は、上記したように膨大な端末のセキュリティを確保する場合に、ネットワーク負荷が過大になることや、常時接続を担保しなければならないといった別の技術的課題が発生する。
ネットワーク負荷の課題を解決するためには、車載端末やIoT端末のようにエッジ側での対処が必要になる。しかしながら、特許文献2に記載されているように、メンテナンスの際の正当性を確認する手法では、メンテナンス後のプログラム改竄を検出することができない。また、特許文献3に記載されているように、車内ネットワークを流れるデータの正当性をECUが検証する手法では、不正なデータ検出がECUのプログラムに起因するのか、不正なトラフィックに起因するのかを検出することができない。
本開示は、ネットワーク負荷を極力低減しつつ、端末に格納されているプログラム又はデータの改竄を早期に検出することを目的とする。
本開示は、プログラム又はデータの正当性検証を行う検証端末であって、プログラム又はデータを格納する格納部(104)と、格納部に格納されている自端末プログラム又は自端末データの自端末ハッシュ値を生成する検証値生成部(101)と、自端末プログラム又は自端末データと同一のプログラム又はデータが格納されていると想定される端末であって、少なくとも1つの他端末に格納されている他端末プログラム又は他端末データの他端末ハッシュ値を取得する検証値取得部(102)と、自端末ハッシュ値と他端末ハッシュ値との同一性に基づいて、自端末プログラム又は自端末データの健全性を検証する検証実行部(103)と、を備える。
本開示においては、自端末プログラムと他端末プログラム又は自端末データと他端末データとが同一であるのが正常であるとの前提条件で、自端末ハッシュ値と他端末ハッシュ値との同一性を確認している。自端末プログラム又は自端末データと、他端末プログラム又は他端末データとが共に改竄もされておらず最新のバージョンであるといった健全性が確保されていれば、自端末ハッシュ値と他端末ハッシュ値とが同一になるので、自端末プログラム又は自端末データの健全性を検証することができる。このように、自端末と他端末との間の通信のみで自端末プログラム又は自端末データの健全性を検証することができるので、ネットワーク負荷を低減することができると共に、他端末を選択して比較することによるランダム性も確保できる。更に、自端末ハッシュ値と他端末ハッシュ値とを随時比較することができるので、プログラムやデータをダウンロードした場合のみならず、その後においても検証を継続することができる。
尚、「課題を解決するための手段」及び「特許請求の範囲」に記載した括弧内の符号は、後述する「発明を実施するための形態」との対応関係を示すものであって、「課題を解決するための手段」及び「特許請求の範囲」が、後述する「発明を実施するための形態」に限定されることを示すものではない。
本開示によれば、ネットワーク負荷を極力低減しつつ、端末に格納されているプログラム又はデータの改竄を早期に検出することができる。
図1は、本実施形態の基本概念を説明するための図である。 図2は、本実施形態である検証端末の機能的な構成を説明するための図である。 図3は、検証端末の情報処理を説明するためのフローチャートである。 図4は、検証端末の情報処理を説明するためのフローチャートである。 図5は、検証端末の情報処理を説明するためのフローチャートである。 図6は、検証端末の情報処理を説明するためのフローチャートである。 図7は、検証端末の情報処理の結果を受けて表示される画面の例を示す図である。 図8は、検証端末の情報処理の結果を受けて表示される画面の例を示す図である。 図9は、検証端末の情報処理の結果を受けて表示される画面の例を示す図である。 図10は、検証端末の情報処理の結果を受けて表示される画面の例を示す図である。 図11は、検証端末の情報処理の結果を受けて表示される画面の例を示す図である。 図12は、検証端末の情報処理の結果を受けて表示される画面の例を示す図である。 図13は、本実施形態において端末間及び端末サーバー間の情報授受を説明するための図である。
以下、添付図面を参照しながら本実施形態について説明する。説明の理解を容易にするため、各図面において同一の構成要素に対しては可能な限り同一の符号を付して、重複する説明は省略する。
図1を参照しながら、本実施形態の基本概念を説明する。本実施形態は自動車に搭載される検証端末を例示しているが、本開示の技術的思想は全ての分散された情報端末のセキュリティ確保のために応用されうるものである。一例ではあるが、ゲームソフトをダウンロードする情報端末や、携帯電話、スマートフォン、IoT機器といった各種情報端末のセキュリティ確保に用いることができる。
図1に示される例では、自動運転車10,20,21,22,23と、管理サーバー30とによって構成される検証網を示している。自動運転車10が、自己のプログラム又はデータの健全性を判断するものとする。自動運転車20,21,22,23は、自動運転車10と同種の自動運転車であり、自動運転車10,20,21,22,23には、全て同じプログラム又はデータが格納されていることが期待される関係となっている。
自動運転車20,21は、正常な自動運転車であり、正常なハッシュ値が格納されているものとする。自動運転車22は、異常状態にある自動運転車であり、異常なハッシュ値が格納されている。自動運転車23は、正常な自動運転車であり、格納されているプログラム又はデータが最新版に更新されているものであって、最新版に対応する正常なハッシュ値が格納されている。
自動運転車10に格納されているプログラム又はデータのハッシュ値が正常である場合、自動運転車20,21に格納されているプログラム又はデータのハッシュ値と照合すると、互いに整合性が取れており同一であることが確認される。
一方、自動運転車10に格納されているプログラム又はデータのハッシュ値が正常である場合であって、自動運転車22に格納されているプログラム又はデータのハッシュ値と照合すると、互いに整合性が取れず同一であることが確認できない。この場合、自動運転車10は、自動運転車20,21に格納されているプログラム又はデータのハッシュ値と整合性が取れていることから、整合性が取れていないのが1台に対して整合性が取れているのが2台であることを根拠に、自動運転車22に格納されているプログラム又はデータが不健全であると判断することができる。
更に、自動運転車10に格納されているプログラム又はデータに対して、更新されている新しいプログラム又はデータが格納されている自動運転車23を考えると、多数決によっての判断がし難くなる場合も想定される。このような場合、自動運転車10は、管理サーバー30に自己のハッシュ値を送信すると共に、マスターハッシュ値の送信を要求することができる。マスターハッシュ値とは、自動運転車10,20,21,22,23において格納されるべき最新且つ正当なプログラム又はデータから算出されるハッシュ値である。自動運転車10においては、自己のハッシュ値とマスターハッシュ値とを比較して、自己のプログラム又はデータの正当性や最新性を確認することができる。
自動運転車10,20,21,22,23の相互におけるハッシュ値の送受信や、自動運転車10と管理サーバー30との間におけるハッシュ値の送受信には、既知の暗号化技術を用いることができる。
続いて、図2を参照しながら、本実施形態に係る検証端末10Aの機能的な構成要素について説明する。検証端末10Aは、自動運転車10に搭載される通信可能な情報端末である。検証端末10Aは、ハードウェア的な構成要素として、CPUといった演算部、RAMやROMといった記憶部、データの授受を行うためのインターフェイス部を備えるコンピューターとして構成されている。検証端末10Aは、自動運転車20,21,22,23に搭載されている同様の検証端末と相互に情報送受信可能なように構成されている。検証端末10Aは、管理サーバー30とも相互に情報送受信可能なように構成されている。続いて、制御装置の機能的な構成要素について説明する。
検証端末10Aは、検証値生成部101と、検証値取得部102と、検証実行部103と、格納部104と、を備えている。格納部104は、プログラムやデータ、プログラム又はデータから算出されるハッシュ値を格納する部分である。
検証値生成部101は、格納部104に格納されている自端末プログラム又は自端末データの自端末ハッシュ値を生成する部分である。
検証値取得部102は、自端末プログラム又は自端末データと同一のプログラム又はデータが格納されていると想定される端末であって、少なくとも1つの他端末に格納されている他端末プログラム又は他端末データの他端末ハッシュ値を取得する部分である。本実施形態の場合、他端末とは、自動運転車20,21,22,23に搭載されている端末である。
検証実行部103は、自端末ハッシュ値と他端末ハッシュ値との同一性に基づいて、自端末プログラム又は自端末データの健全性を検証する部分である。
本実施形態においては、自端末プログラムと他端末プログラム又は自端末データと他端末データとが同一であるのが正常であるとの前提条件で、自端末ハッシュ値と他端末ハッシュ値との同一性を確認している。自端末プログラム又は自端末データと、他端末プログラム又は他端末データとが共に改竄もされておらず最新のバージョンであるといった健全性が確保されていれば、自端末ハッシュ値と他端末ハッシュ値とが同一になるので、自端末プログラム又は自端末データの健全性を検証することができる。このように、自端末と他端末との間の通信のみで自端末プログラム又は自端末データの健全性を検証することができるので、ネットワーク負荷を低減することができると共に、他端末を選択して比較することによるランダム性も確保できる。更に、自端末ハッシュ値と他端末ハッシュ値とを随時比較することができるので、プログラムやデータをダウンロードした場合のみならず、その後においても検証を継続することができる。
本実施形態において、検証値取得部102は、2以上の他端末に格納されている他端末プログラム又は他端末データの他端末ハッシュ値を取得し、検証実行部103は、自端末ハッシュ値と他端末ハッシュ値との同一数が少なくとも過半数の場合に、自端末プログラム又は自端末データを健全であると判断することができる。2以上の他端末における他端末ハッシュ値を比較し、少なくとも過半数の同一性をもって検証するので、確実に自端末プログラム又は自端末データの健全性を検証することができる。
本実施形態において、検証値取得部102は、乱数に基づいて他端末を選択することができる。乱数に基づいて他端末を選択するので、他端末を選択して比較することによるランダム性をより高めることができる。
本実施形態において、検証実行部103は、自端末ハッシュ値と他端末ハッシュ値とが同一でない場合に、自端末プログラム又は自端末データを健全であるとする判断を保留することができる。
自端末ハッシュ値と他端末ハッシュ値とが同一でない場合でも、自端末プログラム又は自端末データが不健全であるのか、他端末側が不健全であるのかを判断することができない場合もある。そこで、自端末プログラム又は自端末データを健全であるとする判断を保留することで、更に他の他端末における他端末ハッシュ値と比較をしたり、管理サーバーに格納されているハッシュ値と比較したりといった手法を組み込むことができる。
本実施形態において、検証値取得部102は、2以上の他端末に格納されている他端末プログラム又は他端末データの他端末ハッシュ値を取得し、検証実行部103は、自端末ハッシュ値と同一の他端末ハッシュ値が過半数を超えない場合に、自端末プログラム又は自端末データを不健全であると判断することができる。
自端末ハッシュ値と同一の他端末ハッシュ値が過半数を超えない場合には、自端末ハッシュ値が少数派なので、改竄されていたりアップデートされていなかったりといった不健全な状態である蓋然性が高いと判断することも可能であるので、自端末プログラム又は自端末データを不健全であると判断することができる。
本実施形態において、検証実行部103は、自端末ハッシュ値と他端末ハッシュ値とが同一でない場合に、ネットワークを経由してハッシュ値管理サーバーである管理サーバー30に健全性の問い合わせを行うことができる。
自端末ハッシュ値と他端末ハッシュ値とが同一でない場合、自端末プログラムが不健全な可能性があるので、ネットワークを経由して管理サーバー30に健全性の問い合わせを行い、自端末プログラム又は自端末データの健全性を検証する。自端末ハッシュ値と他端末ハッシュ値とが同一の場合には健全性の問い合わせを実行しないので、ネットワーク負荷を低減することができる。
本実施形態において、検証値取得部102は、2以上の他端末に格納されている他端末プログラム又は他端末データの他端末ハッシュ値を取得し、検証実行部103は、自端末ハッシュ値と他端末ハッシュ値とが全て同一でない場合に、ネットワークを経由してハッシュ値管理サーバーである管理サーバー30に健全性の問い合わせを行うことができる。
自端末ハッシュ値と他端末ハッシュ値とが全て同一でない場合、自端末プログラム又は自端末データと、他端末プログラム又は他端末データのどちらが不健全であるかが分からないので、ネットワークを経由して管理サーバー30に健全性の問い合わせを行い、自端末プログラム又は自端末データの健全性を検証することができる。
本実施形態において、検証実行部103は、ハッシュ値管理サーバーである管理サーバー30に格納されており、正当なプログラム又は正当なデータに対応するマスターハッシュ値を受信し、この受信したマスターハッシュ値と自端末ハッシュ値との同一性に基づいて、自端末プログラム又は自端末データの健全性を検証することができる。
正当なプログラム又は正当なデータに対応するマスターハッシュ値と、自端末ハッシュ値との同一性に基づいて判断するので、より確実に自端末プログラム又は自端末データの健全性を判断することができる。
続いて、図3を参照しながら、検証端末10Aの情報処理について説明する。ステップS101では、検証値取得部102が、イベント開始タイミングであるか否かを判断する。イベント開始タイミングが到来していなければ、ステップS101の判断を繰り返し、イベント開始タイミングが到来していれば、ステップS102の処理に進む。
ステップS102では、検証値生成部101が、ハードウェア選択処理を実行する。ステップS102のハードウェア選択処理については、図4を参照しながら説明する。
図4のステップS151では、検証値生成部101が周囲の自動運転車や情報端末のRSSI(Received Signal Strength Indicator)を取得する。RSSIは、Wi-Fiネットワークにおける受信信号強度を示すものである。RSSIが大きいものを選択することで、近隣の端末を特定することができる。尚、近隣の端末を特定するという観点からは、GPS情報を用いることもできる。
ステップS151に続くステップS152では、同一種類のハードウェアを検出する。例えば、図1に示される例では、自動運転車20,21,22,23を同一種類のハードウェアとして検出する。
ステップS152に続くステップS153では、ステップS152で検出したハードウェアからより少ない数のハードウェアを抽出する。例えば、図1に示される例では、自動運転車20,21,22,23を同一種類のハードウェアとして検出した上で、自動運転車21及び自動運転車22を抽出する。ステップS153の処理が終了すると、ハードウェア選択処理を終了し、図3のステップS103の処理に進む。
ステップS103では、検証値生成部101及び検証値取得部102がハッシュ値取得処理を実行する。ハッシュ値取得処理については、図5を参照しながら説明する。
図5のステップS201では、検証値生成部101が自端末ハッシュ値を計算する。ステップS201に続くステップS202では、検証値取得部102が、ステップS102において抽出したハードウェア(例えば、自動運転車21及び自動運転車22)にハッシュ値を送信する。ハッシュ値を受信した他のハードウェアは、自己が算出したハッシュ値を返信する。
ステップS202に続くステップS203では、検証値取得部102が、他のハードウェアが送信したハッシュ値を受信する。ステップS203に続くステップS204では、検証値取得部102が、ハッシュ値比較結果を取得する。ハッシュ値比較結果は、他のハードウェから受信したハッシュ値と、自己のハッシュ値とを検証値取得部102が比較算出してもよく、他のハードウェアにおいて比較算出されてもよい。
ステップS204に続くステップS205では、検証値取得部102が、ハッシュ値比較結果が所定数以上取得できたか否かを判断する。ハッシュ値比較結果が所定数集まらなければステップS204の処理に戻り、ハッシュ値比較結果が所定数集まればハッシュ値比較処理を終了し、図3のステップS104の処理に進む。
ステップS104では、検証実行部103がハッシュ値判定処理を実行する。ハッシュ値判定処理については、図6を参照しながら説明する。
ステップS251では、検証実行部103が、自端末ハッシュ値と異なる値の他端末ハッシュ値が過半数あるか否かを判断する。自端末ハッシュ値と異なる値のハッシュ値が過半数あれば、ステップS252の処理に進む。自端末ハッシュ値と異なる値のハッシュ値が過半数なければ、ステップS253の処理に進む。
ステップS252では、検証実行部103が表示画面に異常表示を行う。異常表示の例について、図7、図8、図9に示す。図7に示される例は、検証端末10Aが自動運転車に搭載されている場合の例である。異常発生を告知すると共に、異常の可能性に言及し、ディーラーに行って対処するように提案している。図8に示される例も、検証端末10Aが自動運転車に搭載されている場合の例である。異常発生を告知すると共に、異常の可能性に言及し、自動運転から手動運転に切り替えるとともにディーラーに行って対処するように提案している。図9に示される例は、検証端末10Aが携帯端末である場合や、AIスピーカーといったIoT機器に搭載される場合の例である。異常発生を告知すると共に、異常の可能性に言及し、メーカーに連絡して対処するように提案している。
ステップS253では、検証実行部103が、自端末ハッシュ値と他端末ハッシュ値とが全て同一であるか否かを判断する。自端末ハッシュ値と他端末ハッシュ値とが全て同一であれば、ステップS254の処理に進む。自端末ハッシュ値と他端末ハッシュ値とが全て同一でなければ、ステップS255の処理に進む。
ステップS254では、検証実行部103が表示画面に正常表示を行う。正常表示の例について、図10に示す。図10に示される例では、制御ソフトウェアが正常である旨を表示している。
ステップS255では、検証値取得部102が、管理サーバー30からマスターハッシュ値を取得する。ステップS255に続くステップS256では、検証実行部103が、自端末ハッシュ値とマスターハッシュ値とが同一であるか否かを判断する。自端末ハッシュ値とマスターハッシュ値とが同一であれば、ステップS254の処理に進む。自端末ハッシュ値とマスターハッシュ値とが同一でなければ、ステップS257の処理に進む。
ステップS257では、検証実行部103が表示画面に警告表示を行う。警告表示の例について図11、図12に示す。図11に示される例は、検証端末10Aが自動運転車に搭載されている場合の例である。制御ソフトウェアが最新でないことを告知し、ディーラーに行って対処するように提案している。図12に示される例は、検証端末10Aが携帯端末である場合や、AIスピーカーといったIoT機器に搭載される場合の例である。インストールされているソフトウェアが最新のものでないことを告知し、アップデートを行うことを提案している。
ステップS252、ステップS254、ステップS257の処理が終了すると、ハッシュ値判定処理を終了する。
図13に示されるシーケンス図は、自動運転車間や自動運転車と管理サーバーとの間の情報の授受を示すものである。自動運転車10は、ステップS301においてハードウェア選択処理を実行する。ハードウェア選択処理については、説明済であるので詳細説明を省略する。図13の例の場合は、自動運転車20を選択している。
ステップS301に続くステップS302では、自動運転車10が自端末ハッシュ値を計算している。続いて、自動運転車10は自動運転車20と通信接続を行う。ステップS303では、自動運転車10から自動運転車20にハッシュ値が送信される。
ステップS331では、自動運転車20が自端末ハッシュ値を計算している。ステップS303では、自動運転車20が自端末ハッシュ値を、自動運転車10にとっての他端末ハッシュ値として送信している。他端末ハッシュ値を受信すると、自動運転車10は自動運転車20との通信を切断する。
ステップS333では、自動運転車20がハッシュ値の比較を行う。ハッシュ値が異なっているという比較結果であれば、管理サーバー30と通信接続を行う。ステップS334では、比較NG情報、送信アドレス(自動運転車10のアドレス)、受信アドレス(自動運転車20のアドレス)を送信する。ステップS351では、管理サーバー30がNG情報を記録する。
ステップS304では、自動運転車10がハッシュ値の比較を行う。ハッシュ値が異なっているという比較結果であれば、管理サーバー30と通信接続を行う。ステップS305では、比較NG情報、送信アドレス(自動運転車20のアドレス)、受信アドレス(自動運転車10のアドレス)を送信し、マスターハッシュ値を要求する。ステップS352では、管理サーバー30がNG情報を記録する。
ステップS306では、自動運転車10が、マスターハッシュ値と自端末ハッシュ値との比較を行い、正当性を検証する。
以上、具体例を参照しつつ本実施形態について説明した。しかし、本開示はこれらの具体例に限定されるものではない。これら具体例に、当業者が適宜設計変更を加えたものも、本開示の特徴を備えている限り、本開示の範囲に包含される。前述した各具体例が備える各要素およびその配置、条件、形状などは、例示したものに限定されるわけではなく適宜変更することができる。前述した各具体例が備える各要素は、技術的な矛盾が生じない限り、適宜組み合わせを変えることができる。
10A:検証端末
101:検証値生成部
102:検証値取得部
103:検証実行部
104:格納部

Claims (7)

  1. プログラム又はデータの正当性検証を行う検証端末であって、
    プログラム又はデータを格納する格納部(104)と、
    前記格納部に格納されている自端末プログラム又は自端末データの自端末ハッシュ値を生成する検証値生成部(101)と、
    前記自端末プログラム又は前記自端末データと同一のプログラム又はデータが格納されていると想定される端末であって、少なくとも1つの他端末に格納されている他端末プログラム又は他端末データの他端末ハッシュ値を取得する検証値取得部(102)と、
    前記自端末ハッシュ値と前記他端末ハッシュ値との同一性に基づいて、前記自端末プログラム又は前記自端末データの健全性を検証する検証実行部(103)と、を備え
    前記検証値取得部は、2以上の他端末に格納されている他端末プログラム又は他端末データの他端末ハッシュ値を取得し、
    前記検証実行部は、前記自端末ハッシュ値と前記他端末ハッシュ値との同一数が少なくとも過半数の場合に、前記自端末プログラム又は前記自端末データを健全であると判断する検証端末。
  2. 請求項に記載の検証端末であって、
    前記検証値取得部は、乱数に基づいて前記他端末を選択する、検証端末。
  3. 請求項1又は2に記載の検証端末であって、
    前記検証実行部は、前記自端末ハッシュ値と前記他端末ハッシュ値とが同一でない場合に、前記自端末プログラム又は前記自端末データを健全であるとする判断を保留する、検証端末。
  4. 請求項に記載の検証端末であって、
    前記検証値取得部は、2以上の他端末に格納されている他端末プログラム又は他端末データの他端末ハッシュ値を取得し、
    前記検証実行部は、前記自端末ハッシュ値と同一の前記他端末ハッシュ値が過半数を超えない場合に、前記自端末プログラム又は前記自端末データを不健全であると判断する、検証端末。
  5. 請求項に記載の検証端末であって、
    前記検証実行部は、前記自端末ハッシュ値と前記他端末ハッシュ値とが同一でない場合に、ネットワークを経由してハッシュ値管理サーバーに健全性の問い合わせを行う、検証端末。
  6. 請求項に記載の検証端末であって、
    前記検証値取得部は、2以上の他端末に格納されている他端末プログラム又は他端末データの他端末ハッシュ値を取得し、
    前記検証実行部は、前記自端末ハッシュ値と前記他端末ハッシュ値とが全て同一でない場合に、ネットワークを経由してハッシュ値管理サーバーに健全性の問い合わせを行う、検証端末。
  7. 請求項に記載の検証端末であって、
    前記検証実行部は、前記ハッシュ値管理サーバーに格納されており、正当なプログラム又は正当なデータに対応するマスターハッシュ値を受信し、この受信したマスターハッシュ値と前記自端末ハッシュ値との同一性に基づいて、前記自端末プログラム又は前記自端末データの健全性を検証する、検証端末。
JP2018027114A 2018-02-19 2018-02-19 検証端末 Active JP7013921B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2018027114A JP7013921B2 (ja) 2018-02-19 2018-02-19 検証端末
US16/279,089 US11374942B2 (en) 2018-02-19 2019-02-19 Verification terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018027114A JP7013921B2 (ja) 2018-02-19 2018-02-19 検証端末

Publications (2)

Publication Number Publication Date
JP2019144752A JP2019144752A (ja) 2019-08-29
JP7013921B2 true JP7013921B2 (ja) 2022-02-01

Family

ID=67618277

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018027114A Active JP7013921B2 (ja) 2018-02-19 2018-02-19 検証端末

Country Status (2)

Country Link
US (1) US11374942B2 (ja)
JP (1) JP7013921B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11349669B1 (en) * 2018-01-30 2022-05-31 State Farm Mutual Automobile Insurance Company Cryptographic hash chain for vehicle configuration verification
JP7327100B2 (ja) * 2019-11-15 2023-08-16 富士フイルムビジネスイノベーション株式会社 データ管理システム、データ管理装置及びデータ管理プログラム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004005585A (ja) 2002-04-23 2004-01-08 Matsushita Electric Ind Co Ltd サーバ装置及びプログラム管理システム
JP2006048575A (ja) 2004-08-09 2006-02-16 Ricoh Co Ltd クライアントシステム、データ配信サーバ、データ転送システム、プログラム及び記録媒体
JP2017220236A (ja) 2016-06-09 2017-12-14 Line株式会社 クライアント改ざん判断システムおよび方法
JP2019046262A (ja) 2017-09-04 2019-03-22 ヤフー株式会社 情報処理装置、情報処理方法、及び情報処理プログラム

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002244555A (ja) 2001-02-21 2002-08-30 Nippon Telegr & Teleph Corp <Ntt> データ改竄検出方法及び装置及びデータ改竄検出プログラム及びデータ改竄検出プログラムを格納した記憶媒体
US9461827B2 (en) * 2008-04-11 2016-10-04 Toyota Motor Engineering & Manufacturing North America, Inc. Method for distributing a list of certificate revocations in a vanet
JP4817153B2 (ja) 2009-11-06 2011-11-16 Necインフロンティア株式会社 情報端末に組み込まれたソフトウェアの更新時の認証方法、そのシステム及びそのプログラム
JP2011133967A (ja) 2009-12-22 2011-07-07 Yokogawa Electric Corp 測定装置
JP5616810B2 (ja) 2011-01-31 2014-10-29 カヤバ工業株式会社 ドライブレコーダ及びドライブレコーダシステム
JP5772031B2 (ja) 2011-02-08 2015-09-02 富士通株式会社 通信装置およびセキュアモジュール
JP5686697B2 (ja) 2011-08-05 2015-03-18 三菱電機株式会社 組込み機器保守システム
JP2013103611A (ja) 2011-11-14 2013-05-30 Denso Corp 車載中継装置及び外部通信装置
JP2013107454A (ja) 2011-11-18 2013-06-06 Denso Corp 車載中継装置
JP5678907B2 (ja) 2012-02-15 2015-03-04 株式会社デンソー 中継システム、外部装置
JP2013196330A (ja) 2012-03-19 2013-09-30 Kayaba Ind Co Ltd ドライブレコーダ
JP5729337B2 (ja) 2012-03-21 2015-06-03 株式会社デンソー 車両用認証装置、及び車両用認証システム
JP5975964B2 (ja) * 2013-10-18 2016-08-23 富士通株式会社 情報処理プログラム、情報処理方法、情報処理装置、及び情報処理システム
US20150191151A1 (en) 2014-01-06 2015-07-09 Argus Cyber Security Ltd. Detective watchman
WO2016113897A1 (ja) * 2015-01-16 2016-07-21 株式会社オートネットワーク技術研究所 通信システム及び照合方法
KR101785537B1 (ko) * 2015-02-26 2017-10-16 주식회사 엘지화학 이차 전지 관리 장치의 기능 검증 시스템
JP6649215B2 (ja) 2015-12-14 2020-02-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ装置、ネットワークシステム及び攻撃検知方法
CN109392310B (zh) * 2016-04-14 2023-10-20 荣布斯系统集团公司 验证无人驾驶飞行器完整性的系统
US10382196B2 (en) * 2016-04-29 2019-08-13 Olympus Sky Technologies, S.A. System and method for secure communications based on locally stored values
US20180012196A1 (en) * 2016-07-07 2018-01-11 NextEv USA, Inc. Vehicle maintenance manager
TWI643508B (zh) * 2016-12-22 2018-12-01 張恭維 用於物聯網智能設備的智慧路由系統
JP6275302B2 (ja) 2017-03-22 2018-02-07 株式会社bitFlyer 存在証明装置、存在証明方法、及びそのためのプログラム
JP6959155B2 (ja) * 2017-05-15 2021-11-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 検証方法、検証装置およびプログラム
US10850684B2 (en) * 2017-12-19 2020-12-01 Micron Technology, Inc. Vehicle secure messages based on a vehicle private key
WO2020051226A1 (en) * 2018-09-05 2020-03-12 Whitefox Defense Technologies, Inc. Integrated secure device manager systems and methods for cyber-physical vehicles

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004005585A (ja) 2002-04-23 2004-01-08 Matsushita Electric Ind Co Ltd サーバ装置及びプログラム管理システム
JP2006048575A (ja) 2004-08-09 2006-02-16 Ricoh Co Ltd クライアントシステム、データ配信サーバ、データ転送システム、プログラム及び記録媒体
JP2017220236A (ja) 2016-06-09 2017-12-14 Line株式会社 クライアント改ざん判断システムおよび方法
JP2019046262A (ja) 2017-09-04 2019-03-22 ヤフー株式会社 情報処理装置、情報処理方法、及び情報処理プログラム

Also Published As

Publication number Publication date
US20190260763A1 (en) 2019-08-22
US11374942B2 (en) 2022-06-28
JP2019144752A (ja) 2019-08-29

Similar Documents

Publication Publication Date Title
US10785264B2 (en) System and method for security inspection of electronic equipment
US10360018B2 (en) Update control apparatus, software update system, and update control method
JP5864510B2 (ja) 修正プログラム確認方法、修正プログラム確認プログラム、及び情報処理装置
US10956555B2 (en) Management system, vehicle, and information processing method
US10723361B2 (en) Monitoring apparatus, communication system, vehicle, monitoring method, and non-transitory storage medium
CN106464566B (zh) 网络系统、通信控制方法以及存储介质
JP6625269B2 (ja) 車載認証システム、車両通信装置、認証管理装置、車載認証方法および車載認証プログラム
CN104904156B (zh) 认证处理装置、认证处理系统以及认证处理方法
JP6190443B2 (ja) 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
JP2011108167A (ja) コンピューターシステム
KR20140128660A (ko) 차량 네트워크 접속 장치 및 그 접속 제어 방법
JP7013921B2 (ja) 検証端末
US20220179636A1 (en) Vehicle controller
US8776205B2 (en) Secure connection systems and methods for vehicles
JP6483461B2 (ja) 管理方法、管理プログラム、管理装置、管理システムおよび情報処理方法
US20170293753A1 (en) Electronic device and system
JP2018006782A (ja) データ提供システム、データ提供装置、車載コンピュータ、データ提供方法、及びコンピュータプログラム
CN117195216A (zh) 车辆校验方法、相关装置及系统
JP7229426B2 (ja) 車載制御システムおよび異常診断方法
WO2018037894A1 (ja) 車両用認証装置
JP2018050334A (ja) データ提供システム、データ提供装置、車載コンピュータ、データ提供方法、及びコンピュータプログラム
CN117632172A (zh) 电子控制单元的安全更新和审计
CN117040859A (zh) 激活认证方法、装置和电子设备及存储介质
JP2012096600A (ja) 不正監視システムおよびそれに用いられる車載装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201209

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211005

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211012

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211207

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211221

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220103