ホーム > 特許ランキング > 42dot Inc.
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024110955
(43)【公開日】2024-08-16
(54)【発明の名称】車両用オンデマンドサービスの認証を行う装置及び方法
(51)【国際特許分類】
H04L 9/32 20060101AFI20240808BHJP
G06F 21/33 20130101ALI20240808BHJP
【FI】
H04L9/32 200B
H04L9/32 200F
G06F21/33
【審査請求】有
【請求項の数】9
【出願形態】OL
(21)【出願番号】P 2024015059
(22)【出願日】2024-02-02
(31)【優先権主張番号】10-2023-0014842
(32)【優先日】2023-02-03
(33)【優先権主張国・地域又は機関】KR
(31)【優先権主張番号】10-2023-0042322
(32)【優先日】2023-03-30
(33)【優先権主張国・地域又は機関】KR
(71)【出願人】
【識別番号】523045180
【氏名又は名称】42ドット・インコーポレイテッド
【氏名又は名称原語表記】42dot Inc.
(74)【代理人】
【識別番号】100145403
【弁理士】
【氏名又は名称】山尾 憲人
(74)【代理人】
【識別番号】100135703
【弁理士】
【氏名又は名称】岡部 英隆
(74)【代理人】
【識別番号】100227927
【弁理士】
【氏名又は名称】中村 拓
(72)【発明者】
【氏名】ソン,チャンヒョン
(72)【発明者】
【氏名】キム,ソンジュン
(72)【発明者】
【氏名】イ,ソンヨン
(72)【発明者】
【氏名】キム,デジュン
(57)【要約】 (修正有)
【課題】車両用オンデマンドサービスの認証を行う装置及び方法を提供する。
【解決手段】装置は、TIF設備から車両及び販売システムでのサービス先行購入オプション値を取得402し、サービス先行購入オプション値をセキュリティ領域内のセキュリティストレージに記憶403させる。次に、プライベートルート秘密鍵及びプライベートルート証明書を取得または生成440する。次に、実行制御器ごとに、プライベートルート秘密鍵で署名されたデバイス証明書とデバイス秘密鍵を生成405する。次に,プライベートルート証明書、プライベートルート秘密鍵を使用してサービス先行購入オプション値に対するサービストークンを発行406する。そして、生成されたサービストークン、プライベートルート証明書及びデバイス秘密鍵を各実行制御器に伝達407する。
【選択図】図4
【解決手段】装置は、TIF設備から車両及び販売システムでのサービス先行購入オプション値を取得402し、サービス先行購入オプション値をセキュリティ領域内のセキュリティストレージに記憶403させる。次に、プライベートルート秘密鍵及びプライベートルート証明書を取得または生成440する。次に、実行制御器ごとに、プライベートルート秘密鍵で署名されたデバイス証明書とデバイス秘密鍵を生成405する。次に,プライベートルート証明書、プライベートルート秘密鍵を使用してサービス先行購入オプション値に対するサービストークンを発行406する。そして、生成されたサービストークン、プライベートルート証明書及びデバイス秘密鍵を各実行制御器に伝達407する。
【選択図】図4
【特許請求の範囲】
【請求項1】
車両用オンデマンドサービスの認証を行うための統合通信制御器(Communication Control Unit)において、
TIF(Tool In Factory)装置から受信した車両用サービスに関する第1オプション値をサービス認証サーバ(authentication server)に記憶させるステップと、
プライベートルート秘密鍵(private root 秘密 key)及びプライベートルート証明書(private root certificate)を取得または生成するステップと、
実行制御器ごとに前記プライベートルート秘密鍵で署名されたデバイス証明書(device certificate)及びデバイス秘密鍵(device private key)を生成するステップと、
前記プライベートルート証明書、前記プライベートルート秘密鍵を用いて前記第1オプション値に対するサービストークンを生成するステップと、
前記生成されたサービストークン、前記プライベートルート証明書及び前記デバイス秘密鍵を前記実行制御器ごとに送信するステップと
を含む、方法。
TIF(Tool In Factory)装置から受信した車両用サービスに関する第1オプション値をサービス認証サーバ(authentication server)に記憶させるステップと、
プライベートルート秘密鍵(private root 秘密 key)及びプライベートルート証明書(private root certificate)を取得または生成するステップと、
実行制御器ごとに前記プライベートルート秘密鍵で署名されたデバイス証明書(device certificate)及びデバイス秘密鍵(device private key)を生成するステップと、
前記プライベートルート証明書、前記プライベートルート秘密鍵を用いて前記第1オプション値に対するサービストークンを生成するステップと、
前記生成されたサービストークン、前記プライベートルート証明書及び前記デバイス秘密鍵を前記実行制御器ごとに送信するステップと
を含む、方法。
【請求項2】
前記プライベートルート秘密鍵及び前記プライベートルート証明書(private root certificate)は、前記統合通信制御器のセキュリティ領域(Secure World)内で生成される、請求項1に記載の方法。
【請求項3】
前記サービストークンは、前記統合通信制御器の一般領域(Normal World)内で生成される、請求項2に記載の方法。
【請求項4】
前記プライベートルート秘密鍵及びプライベートルート証明書は、前記統合通信制御器の前記サービス認証サーバで生成される、請求項1に記載の方法。
【請求項5】
前記サービストークンは、前記統合通信制御器の一般領域(Normal World)内で生成される、請求項4に記載の方法。
【請求項6】
前記サービストークンを生成するステップは、
AES(Advanced Encryption Standard)対称鍵を生成し、前記第1オプション値をAES暗号化して前記サービストークン内のペイロードフィールドに記憶させるステップと、
前記デバイス証明書で前記AES対称鍵をRSAに暗号化し、前記サービストークン内のヘッダフィールドに追加するステップと、
前記プライベートルート秘密鍵で前記サービストークンにデジタル署名するステップと
を含む、請求項1に記載の方法。
AES(Advanced Encryption Standard)対称鍵を生成し、前記第1オプション値をAES暗号化して前記サービストークン内のペイロードフィールドに記憶させるステップと、
前記デバイス証明書で前記AES対称鍵をRSAに暗号化し、前記サービストークン内のヘッダフィールドに追加するステップと、
前記プライベートルート秘密鍵で前記サービストークンにデジタル署名するステップと
を含む、請求項1に記載の方法。
【請求項7】
車両用オンデマンドサービスの認証を行うための統合通信制御器(Communication Control Unit)において、
DMサーバと暗号化セキュリティ通信(mTLS)とを連結させるステップと、
前記暗号化セキュリティ通信を用いて、前記DMサーバから受信した車両用サービスに関する第2オプション値を取得するステップと、
前記第2オプション値、署名(Signature)、サーバ証明書(Server certificate)のうち1つ以上を用いて署名を検証するステップと、
前記第2オプション値及びクライアント秘密鍵(client private key)のうち1つ以上を用いて前記第2オプション値を復号化するステップと、
前記署名及び前記第2オプション値に基づいてサービストークンを生成するステップと、
前記生成されたサービストークンを実行制御器ごとに送信するステップと
を含む、方法。
DMサーバと暗号化セキュリティ通信(mTLS)とを連結させるステップと、
前記暗号化セキュリティ通信を用いて、前記DMサーバから受信した車両用サービスに関する第2オプション値を取得するステップと、
前記第2オプション値、署名(Signature)、サーバ証明書(Server certificate)のうち1つ以上を用いて署名を検証するステップと、
前記第2オプション値及びクライアント秘密鍵(client private key)のうち1つ以上を用いて前記第2オプション値を復号化するステップと、
前記署名及び前記第2オプション値に基づいてサービストークンを生成するステップと、
前記生成されたサービストークンを実行制御器ごとに送信するステップと
を含む、方法。
【請求項8】
車両用オンデマンドサービスの認証を行うための統合通信制御器(Communication Control Unit)として、
TIF(Tool In Factory)装置から受信した車両用サービスに関する第1オプション値を取得し、
プライベートルート秘密鍵(private root 秘密 key)及びプライベートルート証明書(private root certificate)を取得または生成し、
実行制御器ごとに前記プライベートルート秘密鍵で署名されたデバイス証明書(device certificate)及びデバイス秘密鍵(device private key)を生成し、
前記プライベートルート証明書、前記プライベートルート鍵を用いて前記第1オプション値に対するサービストークンを生成し、
前記生成されたサービストークン、前記プライベートルート証明書及び前記デバイス秘密鍵を前記実行制御器ごとに送信する、装置。
TIF(Tool In Factory)装置から受信した車両用サービスに関する第1オプション値を取得し、
プライベートルート秘密鍵(private root 秘密 key)及びプライベートルート証明書(private root certificate)を取得または生成し、
実行制御器ごとに前記プライベートルート秘密鍵で署名されたデバイス証明書(device certificate)及びデバイス秘密鍵(device private key)を生成し、
前記プライベートルート証明書、前記プライベートルート鍵を用いて前記第1オプション値に対するサービストークンを生成し、
前記生成されたサービストークン、前記プライベートルート証明書及び前記デバイス秘密鍵を前記実行制御器ごとに送信する、装置。
【請求項9】
請求項1に記載の方法をコンピュータで実行するためのプログラムを記録したコンピュータで読み取り可能な記録媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は車両用オンデマンドサービスの認証を行う装置及び方法{APPARATUS AND METHOD FOR PERFORMING AUTHENTICATION FOR VEHICLE ON-DEMAND SERVICE}に関する。
【背景技術】
【0002】
最近、消費者が求める機能を必要な期間だけ購入して使用できるサブスクリプションサービス市場が徐々に拡大している。これに関連し、車両のサブスクリプションサービスは、単なるレンタカーから脱し、電気自動車の充電サービスや自動運転、車両管理に至るまで日々多様化している。さらに、車両のサブスクリプションサービスは、各種内部機能に関連して音楽やビデオストリーミング、道案内、車両管理、安全及びセキュリティなどのコネクティビティサービスにまで徐々に拡大している。
【0003】
特に、最近は自動運転システムなどの特定のオプション仕様をサブスクリプションサービスの形態で提供する車両用オンデマンドサービスが本格的に導入されている。車両用オンデマンドサービスが導入される場合、車両購入時に購入パッケージに応じて必要なオプションを購入するために不要なオプション仕様まで選択しなければならなかった不便と経済的負担から抜け出し、サブスクリプションサービスで好みに合わせて希望する機能を選択できるだけでなく、一時的に機能を解除したり、再サブスクリプションすることができ、消費者の多様なニーズを満たすことができるという利点が存在する。
【発明の概要】
【発明が解決しようとする課題】
【0004】
本発明の目的は、車両用オンデマンドサービスの認証を行う装置及び方法を提供することにある。本発明が解決しようとする課題は、以上で述べた課題に限定されず、言及されていない本発明の他の課題及び利点は、下記の説明によって理解されることができ、本発明の実施形態でより明確に理解されるであろう。さらに、本発明が解決しようとする課題及び利点は、特許請求の範囲に示された手段及びその組み合わせで実現できることが分かるであろう。
【課題を解決するための手段】
【0005】
上述した技術的課題を達成するための技術的手段として、車両用オンデマンドサービスの認証を行うための統合通信制御器(Comunication Control Unit)において、TIF(Tool In Factory)装置から受信した車両用サービスに関する第1オプション値をサービス認証サーバ(authentication server)に記憶させるステップと、プライベートルート秘密鍵(private root 秘密 key)及びプライベートルート証明書(private root certificate)を取得または生成するステップと、実行制御器ごとに前記プライベートルート秘密鍵で署名されたデバイス証明書(device certificate)及びデバイス秘密鍵(device private key)を生成するステップと、前記プライベートルート証明書、前記プライベートルート秘密鍵を用いて前記第1オプション値に対するサービストークンを生成するステップと、前記生成されたサービストークン、前記プライベートルート証明書及び前記デバイス秘密鍵を、前記実行制御器ごとに送信するステップとを含む方法が提供される。
【0006】
本開示の第2側面は、車両用オンデマンドサービスの認証を行うための統合通信制御器(Communication Control Unit)において、DMサーバと暗号化セキュリティ通信(mTLS)とを連結させるステップと、前記暗号化セキュリティ通信を用いて前記DMサーバから受信した車両用サービスに関する第2オプション値を取得するステップと、前記第2オプション値、署名(Signature)、サーバ証明書(Server certificate)のうち1つ以上を用いて署名を検証するステップと、前記第2オプション値及びクライアント秘密鍵(client private key)のうち1つ以上を用いて前記第2オプション値を復号化するステップと、前記署名及び前記第2オプション値に基づいてサービストークンを生成するステップと、前記生成されたサービストークンを実行制御器ごとに送信するステップとを含む方法を提供することができる。
【0007】
本開示の第3側面は、車両用オンデマンドサービスの認証を行うための統合通信制御器(Communication Control Unit)であり、TIF(Tool In Factory)装置から受信した車両用サービスに関する第1オプション値を取得し、プライベートルート秘密鍵(private root 秘密 key)及びプライベートルート証明書(private root certificate)を取得または生成し、実行制御器ごとに前記プライベートルート秘密鍵で署名されたデバイス証明書(device certificate)及びデバイス秘密鍵(device private key)を生成し、前記プライベートルート証明書、前記プライベートルート秘密鍵を用いて前記第1オプション値に対するサービストークンを生成し、前記生成されたサービストークン、前記プライベートルート証明書及び前記デバイス秘密鍵を、前記実行制御器ごとに送信するデバイスを提供することができる。
【0008】
その他にも、本発明を具現するための他の方法、他のシステム及び前記方法を実行するためのコンピュータプログラムが記憶されたコンピュータで読み取り可能な記録媒体がさらに提供されることができる。
【0009】
前述したもの以外の他の側面、特徴、利点が、以下の図面、特許請求の範囲及び発明の詳細な説明から明確になるであろう。
【発明の効果】
【0010】
前述した本開示の課題を解決するための手段によれば、本開示では、車両用オンデマンドサービスがハッキングに対し安全にサービスされることができる。また、本開示では、車両用オンデマンドサービスの認証システムがハッキングされるとしても他の車両には伝播されず、当該車両に限定して侵害が発生することができる。
【図面の簡単な説明】
【0011】
【発明を実施するための形態】
【0012】
本発明の利点及び特徴、並びにそれらを達成する方法は、添付の図面と共に詳細に説明される実施形態を参照すれば明確になるであろう。しかしながら、本発明は、以下に提示される実施形態に限定されるものではなく、互いに異なる様々な形態で具現されることができ、本発明の思想及び技術範囲に含まれる全ての変換、均等物から代替物を含むものと理解されるべきである。以下に提示される実施形態は、本発明の開示を完全にし、本発明が属する技術分野において通常の知識を有する者に発明の範疇を完全に知らせるために提供されるものである。本発明を説明することにおいて、関連する公知技術に対する具体的な説明が本発明の要旨を阻害する可能性があると判断される場合、その詳細な説明を省略する。
【0013】
本出願で使用される用語は、単に特定の実施形態を説明するために使用されたものであり、本発明を限定しようとする意図ではない。単数の表現は、文脈上明らかに別段の意味を持たない限り、複数の表現を含む。本出願において、「含む」または「有する」などの用語は、本明細書に記載の特徴、数字、ステップ、動作、構成要素、部品、またはそれらを組み合わせたものが存在することを指定するものであり、1つまたは複数の他の特徴や数字、ステップ、動作、構成要素、部品、またはそれらを組み合わせたものの存在または追加の可能性を予め排除しないことと理解されるべきである。
【0014】
本開示の一部の実施形態は、機能的なブロック構成及び様々な処理ステップで表現されることができる。そのような機能ブロックの一部または全部は、特定の機能を実行する様々な数のハードウェア及び/またはソフトウェア構成で具現されることができる。例えば、本開示の機能ブロックは、1つ以上のマイクロプロセッサによって具現されるか、所定の機能のための回路構成によって具現されることができる。さらに、例えば、本開示の機能ブロックは、様々なプログラミングまたはスクリプト言語で具現されることができる。機能ブロックは、1つ以上のプロセッサで実行されるアルゴリズムで具現されることができる。さらに、本開示は、電子的な環境設定、信号処理及び/またはデータ処理などのために従来技術を採用することができる。「メカニズム」、「要素」、「手段」及び「構成」などの用語は広く使用されることができ、機械的及び物理的構成に限定されない。
【0015】
さらに、図面に示された構成要素間の連結線または連結部材は、機能的連結及び/または物理的または回路的連結を例示的に示したものにすぎない。実際の装置では、代替可能または追加された様々な機能的連結、物理的連結、または回路連結によって構成要素間の連結が示されることができる。
【0016】
以下において、「車両」とは、自動車、バス、オートバイ、キックボードまたはトラックなどのように機関を有して人または物を移動させるために用いられるあらゆる種類の輸送手段を意味することができる。
【0017】
以下、添付の図面を参照して本開示を詳細に説明する。
【0018】
【0019】
図1を参照すると、車両用オンデマンドサービスの認証を行う環境として、車両10、ネットワーク20及び外部装置30が存在する。一実施形態に係る車両10は、自動運転装置が取り付けられた自動運転車両であることができる。さらに、車両10は、内部にオンデマンドサービスを提供するための統合通信制御器(Communication Control Unit)及びサービスを駆動するための実行制御器、そして車両内装置間の通信を担当するCANまたはEthernetネットワーク装置を含むことができる。これについては、図2及び図3の説明で追加説明する。
【0020】
また、ネットワーク20は、車両10の内部及び外部装置30を連結させるネットワークであり、通信方式は限定されず、ネットワーク20が含むことができる通信網(一例として、移動通信網、有線インターネット、無線インターネット、放送網)を利用する通信方式だけでなく、TLS(Transport Layer Security)などのセキュリティネットワーク、UDS(Unified Diagnostic Service)などの診断ネットワークのうち1つ以上を含むことができるが、これに限定されない。
【0021】
また、外部装置30は、各種サーバまたは診断装置などのオンデマンドサービスを提供するために車両10に連結されなければならない外部装置であることができる。特に、外部装置30は、車両10とネットワーク20を介して通信し、命令、コード、ファイル、コンテンツ、サービスなどを提供するコンピュータ装置または複数のコンピュータ装置で具現されることができる。
【0022】
図2を参照すると、車両用オンデマンドサービスの認証を行うためのシステム100が示されている。以下の明細書において、説明の便宜上、車両用オンデマンドサービスの認証を行うためのシステム100はサービス認証システム100と称することができる。図3は、サービス認証システム100をより具体化した図である。
【0023】
一方、一実施形態によれば、車両用オンデマンドサービスは、消費者の必要に応じてソフトウェア機能を選択的に購入することができる機能であり、車両に搭載され、消費者が望む時に所望の車両機能をカスタマイズできるようにする機能である。車両用オンデマンドサービスが搭載された車両をSDV(Software Defined Vehicle)車両ともいう。一実施形態によれば、SDV車両を購入した消費者は、車両用オンデマンドサービスを利用して所望の機能を設定された期間(永久的または特定期間)だけ追加購入して当該機能を活性化させることができる。
【0024】
さらに、一実施形態に係る車両用オンデマンドサービスは、統合通信制御器のセキュリティ領域においてPKI(Public Key Infrastructure)に基づいて実行されるため、ハッキングに対して安全にサービスを提供することができ、これを本発明のサービス認証システム100が具現することができる。
【0025】
さらに、一実施形態に係るサービス認証システム100によれば、ユーザが購入したオンデマンド商品に対し、一括払いでの永久使用及び特定期間のサブスクリプションを目的に統合通信制御器内のセキュリティが適用されることができる。これにより、サービス認証システム100がハッキングされるとしても、他のSDVには伝播されず、当該SDVに限って侵害が発生する構造として作用されることができる。
【0026】
引き続き、図2及び図3を参照すると、サービス認証システム100は、DM(Database Management)サーバ110、統合通信制御器120、実行制御器130、TIF設備150及び購入サーバ140を含むことができる。
【0027】
まず、DMサーバ110は、後述する購入サーバ140と統合通信制御器120内のサービスエージェント121とmTLS(mutual TLS)で連結され、車両内のオンデマンドサービス駆動のための装置情報をデータベースで管理するサーバであることができる。
【0028】
より詳細には、DMサーバ110は、MQTT(Message Queueing Telemetry Transport)マネージャ111を含む。MQTTマネージャ111は、購入サーバ140及び統合通信制御器120のサービスエージェント121とmTLSで連結され、オンデマンド装置ごとの設定情報(または、サービスオプション値)を統合通信制御器120のサービスエージェント121に送信することができる。
【0029】
また、図には示されていないが、DMサーバ110は、記憶された値としてルート証明書(root certificates)、サーバ証明書(Server certificates)及びサーバ秘密鍵(Server Private key)を有することができる。より詳細には、ルート証明書は、公開鍵基盤の構造において最上位認証機関であるルート認証機関によって発行される公認認証書であり、TIF設備150から注入されることができる。さらに、サーバ証明書は、ルート認証機関から生成されたルート秘密鍵で署名された中間証明書(intermediate certificate)である。また、サーバ秘密鍵は、DMサーバ110で生成された秘密鍵であり、前述したサーバ証明書を生成するために使用することができる。
【0030】
さらに、DMサーバ110のMQTTマネージャ111は、統合通信制御器120及び購入サーバ140と通信する際に、mTLS(mutual Transport Layer Security)を暗号化プロトコルとして使用することができる。一実施形態によれば、mTLSは、MQTTマネージャ111及びサービスエージェント121が正しい秘密鍵を有していることを確認し、正当な通信当事者であるかを確認する。より詳細には、mTLSは、統合通信制御器120のサービスエージェント121とDMサーバ110のMQTTマネージャ111との間のすべての情報を証明するために互いの証明書を交換した後、各通信当事者を確認及び信頼する場合のみ通信を連結させることができる。
【0031】
次に、統合通信制御器120は、車両内外部の連携機能及びデータ伝達のための制御装置である。より詳細には、統合通信制御器120は、図3に示すように、サービスエージェント121及びサービス認証サーバ122を含むことができる。サービスエージェント121は、統合通信制御器120の一般領域(Normal World)で動作し、サービス認証サーバ122から伝達されたサービストークン、デバイス証明書及びデバイス秘密鍵を各実行制御器130に伝達する。
【0032】
次に、サービス認証サーバ122は、統合通信制御器120のセキュリティ領域(Secure World)で動作し、サービストークン、デバイス証明書及びデバイス秘密鍵を生成してサービスエージェント121に伝達する。
【0033】
また、統合通信制御器120は、ルート証明書(Root certificate)、クライアント秘密鍵(Client Private Key)、クライアント証明書(Client certificate)、プライベートルート秘密鍵(Private Root 秘密 key)、プライベートルート証明書(Private Root certificate)、デバイス証明書、デバイス秘密鍵のうち1つ以上を取得または生成することができる。
【0034】
より詳細には、ルート証明書は、上述したように公開鍵基盤の構造において最上位認証機関であるルート認証機関によって発行される公認認証書であり、DMサーバ110またはTIF設備150から取得されることができる。
【0035】
クライアント秘密鍵は、DMサーバ110によって生成された鍵であり、クライアント証明書を生成するために使用され、TIF設備150から取得されることができる。また、クライアント証明書は、DMサーバ110によって生成された中間証明書(intermediate certificate)であり、ルート秘密鍵で署名されて使用され、TIF設備150から取得されることができる。
【0036】
また、プライベートルート秘密鍵は、サービス認証サーバ122によって発行された鍵であり、プライベートルート証明書を生成するために使用することができる。また、プライベートルート証明書は、サービス認証サーバ122によって発行された私設ルート機関(Certificate Authority、CA)証明書である。
【0037】
次に、実行制御器130は、ユーザが購入した車両用オンデマンドサービスを駆動するための車両内装置である。以下の明細書において、実行制御器130は、車両内の実行制御器である第1~第Nの実行制御器を通称する意味で使用されることができる。
【0038】
実行制御器130はサービスマネージャ131を含むことができ、セキュリティストレージ(secure storage)にサービストークン(Token)、デバイス証明書(Device certificate)及びデバイス秘密鍵(Device Private Key)を含むことができる。
【0039】
まず、サービスマネージャ131は、統合通信制御器120のサービスエージェント121からサービストークン、統合通信制御器120の証明書、デバイス秘密鍵を伝達される。また、サービストークンは、統合通信制御器120のサービス認証サーバ122によって発行されたトークンであり、サービス設定データは暗号化されてペイロード(PayLoad)に記憶され、プライベートルート秘密鍵で署名されることができる。また、プライベートルート証明書は、サービス認証サーバ122によって発行された統合通信制御器120の証明書であり、サービストークンのデジタル署名確認に使用されることができる。また、デバイス秘密鍵は、統合通信制御器120のサービス認証サーバ122によって各実行制御器130ごとに発行された秘密鍵であり、サービストークン内のサービス設定データの復号化に使用されることができる。
【0040】
また、TIF設備150は、工程で生産された車両に一度だけ連結され、DMサーバ110から発行されたルート証明書、クライアント証明書、クライアント秘密鍵を統合通信制御器120のセキュリティ領域(Secure World)のセキュリティストレージ(Secure Storage)に注入する設備である。
【0041】
一実施形態によれば、セキュリティ資産(Security Asset)は、保護すべき分析対象のデータ、機能及び資源を意味し、システムモデル及び使用ケース(Use Case)で複数のセキュリティ資産を識別することができる。また、セキュリティ属性(Security Objectives)は、完全性(Integrity)、機密性(Confidentiality)、確実性(Authenticity)、可用性(Availability)、最新性(Freshness)に分けられ、各資産に存在できるセキュリティ属性を識別することができる。
【0042】
一実施形態によれば、セキュリティ資産である統合通信制御器120の識別データ(Configuration Data)は、統合通信制御器120に記憶された車両用オンデマンドサービスオプション情報であり、完全性セキュリティ属性を有することができる。また、セキュリティ資産である統合通信制御器120のファームウェアは、統合通信制御器120で動作するコンパイルされたファームウェアコードであり、機密性及び完全性セキュリティ属性を有することができる。また、セキュリティ資産であるバックエンド通信(Communication with backend)は、サービス購入及びDMサーバ110との通信のために送受信されるデータであり、機密性、確実性、最新性及び可用性セキュリティ属性を有することができる。また、セキュリティ資産である暗号化情報(Cryptographic materials)は、統合通信制御器120においてサービストークン発行の暗号復号化に使用される鍵または証明書の情報であり、機密性及び完全性のセキュリティ属性を有することができる。
【0043】
本発明の一実施形態に係るオンデマンドサービス認証サービスは、1つ以上のセキュリティ要件を有することができ、各セキュリティ要件は1つ以上のセキュリティ脅威に対応することができる。一実施形態に係る第1~第5セキュリティ要件に対応するセキュリティ脅威は、以下の「表1」の通りである。
【表1】
【0044】
より詳細には、第1セキュリティ要件(SRV01)は、統合通信制御器120のファームウェアの奪取及び改ざん、メモリダンプなどを介して購入されていないサービスオプション値は活性化されてはならないということである。第2セキュリティ要件(SRV02)は、統合通信制御器120に記憶されたサービスオプション情報は変造されないように完全性を確保しなければならないということである。第3セキュリティ要件(SRV03)は、DMサーバ110間の通信時に中間者攻撃(Man in the middle attack)またはセッションハイジャッキング(session hijacking)攻撃に対して安全でなければならないということである。第4セキュリティ要件(SRV04)は、DMサーバ110から伝達されるサービスオプション値は改ざんされてはならないということである。第5セキュリティ要件(SRV05)は、事前に許可されていない個体(OTA診断器)で実行制御器130にアクセスできないようにしなければならないということである。一方、以下の明細書では、説明の便宜上、第1~第5セキュリティ要件は各セキュリティ要件のIDで称されることができる。
【0045】
一方、一実施形態によれば、サービス認証システムのユースケース(Use Case)は、3つが存在することができる。第1ユースケース(UC01)は、車両出荷前の先行購入オプションとして車両用オンデマンドサービスを購入した場合であり、工場TIFラインで診断器を介して車両のサービス設定情報を設定することができる。また、第2ユースケース(UC02)は、車両出荷後に顧客が車両用オンデマンドサービスを購入した場合であり、車両出荷後に顧客がサービスを購入すると、DMサーバ110を介して車両のサービス設定情報を設定することができる。また、第3ユースケース(UC03)は、車両出荷後、車両起動時にオンデマンドサービスが活性化または非活性化される場合であり、最新のサービス設定情報に従って各実行制御器130が活性化または非活性化されることができる。
【0046】
引き続き、第1ユースケース(UC01)の動作手順についてより詳細に説明する。まず、TIF設備150は、統合通信制御器120のサービスエージェント121を介してDMサーバ110にmTLS連結をするためのルート証明書、クライアント証明書及びクライアント秘密鍵をセキュリティ領域に注入する。
【0047】
図4は、一実施形態に係る第1ユースケース(UC01)の動作をフローチャートで示したものである。
【0048】
図4は、統合通信制御器120が動作の主体であることを仮定して記述されたフローチャートであるが、本発明の変形実施形態によって各動作の主体はTIF設備150、統合通信制御器120のサービスエージェント121及びサービス認証サーバ122、そして実行制御器130のサービスマネージャ131になることができる。
【0049】
より詳細には、DMサーバ110へのmTLS連結のためのルート証明書、クライアント証明書、クライアント秘密鍵をTIF設備150から取得し、セキュリティストレージ(Secure Storage)に記憶させる(401)。このとき、ステップ401のセキュリティ要件IDはSRV05である。
【0050】
次に、統合通信制御器120のサービスエージェント121が、TIF設備150から車両及び販売システムでのサービス先行購入オプション値(サービスオプション値)を取得する(402)。このとき、ステップ402のセキュリティ要件IDは、SRV02、SRV03及びSRV05である。また、サービス先行購入オプション値を第1オプション値と称することができる。
【0051】
一方、ステップ403と共に、DMサーバ110もTIF設備150から車両及び販売システムにおいてサービス先行購入オプション値を取得し、データベースに記憶させることができる。このとき、セキュリティ要件IDはSRV03である。
【0052】
次に、統合通信制御器120のサービスエージェント121は、TIF設備150から伝達された当該車両のサービス先行購入オプション値をセキュリティ領域(Secure World)内のセキュリティストレージに記憶させる(403)。付け加えると、サービス認証サーバ122は、車両用サービスに関するサービス先行購入オプション値、すなわち、第1オプション値を取得及び記憶することができる。このとき、セキュリティ要件IDは、SRV01、SRV04、SRV05である。
【0053】
次に、サービス認証サーバ122は、セキュリティ領域において統合通信制御器120のプライベートルート秘密鍵(private root 秘密 key、root key)及びプライベートルート証明書を取得または生成することができる(404)。プライベートルート秘密鍵は、サービストークンを発行するための秘密鍵であることができる。
【0054】
次に、サービス認証サーバ122は、セキュリティ領域において実行制御器130ごとにプライベートルート秘密鍵で署名されたデバイス証明書(Device certificate)とデバイス秘密鍵(device key)を生成する(405)。
【0055】
次に、サービス認証サーバ122は、プライベートルート証明書、プライベートルート秘密鍵を使用してサービス先行購入オプション値に対するサービストークンを発行する(406)。さらに、サービス認証サーバ122は、セキュリティ領域において実行制御器130ごとに生成されたサービストークン、プライベートルート証明書及びデバイス秘密鍵をサービスエージェント121に送信する。
【0056】
次に、サービスエージェント121は、セキュリティ領域から伝達されたサービストークン、プライベートルート証明書及びデバイス秘密鍵を各実行制御器130に伝達する(407)。このとき、各実行制御器130は、サービスエージェント121から伝達されたサービストークン、デバイス証明書及びデバイス秘密鍵を各実行制御器130内のセキュリティストレージに記憶させることができる。
【0057】
一方、上述したステップ404~408のセキュリティ要件IDは、SRV01、SRV02、SRV05である。
【0058】
【0059】
より詳細には、図5及び図6は、第1ユースケース(UC01)の各動作を実行する動作主体が異なる第1実施形態(UC01-1)及び第2実施形態(UC01-2)をそれぞれ示したものである。以下の図5及び図6の実施形態は、第1ユースケース(UC01)の動作がTIF設備150、統合通信制御器120のサービスエージェント121及びサービス認証サーバ122、そして実行制御器130のサービスマネージャ131によって実行されることを示すことができる。
【0060】
まず、図5は、車両出荷前の先行購入オプションとして車両用オンデマンドサービスが購入された第1ユースケース(UC01)において、統合通信制御器120のサービスエージェント121よりサービス認証サーバ122が主な役割を果たす第1実施形態(UC01-1)の動作をブロック図で示している。
【0061】
図5を参照すると、まず、TIF設備150が統合通信制御器120のサービスエージェント121に第1オプション値(サービスデータとしてサービス先行購入オプション値)を注入する(501)。
【0062】
次に、サービスエージェント121は、伝達された第1オプション値をデータベースに記憶させ、セキュリティ領域内のサービス認証サーバ122に伝達する(502)。
【0063】
次に、サービスエージェント121は、プライベートルート鍵生成をサービス認証サーバ122に要求する(503)。一実施形態において、プライベートルート鍵(Private Root Key)は、プライベートルート秘密鍵(Private Root 秘密 key)及びプライベートルート証明書(Private Root Certificate、Private Root 公開鍵とも称されることができる)から構成されることができる。さらに、プライベートルート鍵は非対称鍵を使用し、統合通信制御器120が記憶し、1対だけ生成される特徴を有することができる。
【0064】
次に、サービス認証サーバ122は、プライベートルート秘密鍵を生成し(504)、プライベートルート証明書を生成する(505)。
【0065】
次に、サービス認証サーバ122は、連結されているデバイスの数だけデバイス鍵(device key)を生成する。一実施形態によれば、デバイス鍵は、デバイス秘密鍵(Device Private Key)及びデバイス証明書(Device Certificate、デバイス公開鍵とも称されることができる)から構成されることができる。さらに、デバイス鍵は、非対称鍵が使用され、いくつかのペアが生成され、実行制御器ごとに一対だけを保持する特徴を有することができる。すなわち、サービス認証サーバ122は、実行制御器130ごとにデバイス秘密鍵を生成し(506)、プライベートルート秘密鍵で署名されたデバイス証明書を生成する(507)。
【0066】
次に、サービス認証サーバ122は、プライベートルート証明書をサービスエージェント121に伝達する(508)。
【0067】
次に、サービスエージェント121は、サービス認証サーバ122にデバイス情報を要求し(509)、それに対応してサービス認証サーバ122はサービストークンを生成する(510)。
【0068】
次に、サービス認証サーバ122は、生成されたサービストークン及びデバイス秘密鍵をサービスエージェント121に送信する(511)。
【0069】
次に、サービスエージェント121は、実行制御器130ごとに成されたサービスマネージャ131にサービストークン、プライベートルート証明書、デバイス秘密鍵を各実行制御器130に送信する(512)。
【0070】
次に、各実行制御器130のサービスマネージャ131は、プライベートルート証明書及びデバイス秘密鍵を各実行制御器130内のセキュリティストレージに記憶させる(513、514)。また、サービスマネージャ131はサービストークンを検証する(515)。
【0071】
引き続き、図6は、車両出荷前の先行購入オプションとして車両オンデマンドサービスが購入された第1ユースケース(UC01)において、統合通信制御器120のサービスエージェント121がサービス認証サーバ122より主な役割を果たす第2実施形態(UC01-2)の動作をブロック図で示している。第1ユースケースの第2実施形態(UC01-2)は、第1実施形態(UC01-1)の変形形態であるため、重複または対応する構成については説明を省略する。
【0072】
図6を参照すると、まず、TIF設備150が統合通信制御器120のサービスエージェント121に第1オプション値(サービス先行購入オプション値)を注入する(601)。
【0073】
次に、サービスエージェント121は、伝達された第1オプション値をデータベースに記憶させ、セキュリティ領域内のサービス認証サーバ122に伝達する(602)。
【0074】
次に、サービスエージェント121は、プライベートルート鍵生成をサービス認証サーバ122に要求する(603)。
【0075】
次に、サービス認証サーバ122は、プライベートルート秘密鍵を生成し(604)、プライベートルート証明書を生成する(605)。
【0076】
次に、サービス認証サーバ122は、生成されたプライベートルート証明書をサービスエージェント121に伝達する(606)。
【0077】
次に、実行制御器の数だけサービス認証サーバ122は、デバイス鍵(device key)生成要求をサービスエージェント121から受信する(607)。また、デバイス鍵生成要求を受信したサービス認証サーバ122は、実行制御器130ごとにデバイス秘密鍵を生成し(608)、プライベートルート秘密鍵で署名されたデバイス証明書を生成する(609)。
【0078】
次に、サービスエージェント121はサービストークンを生成する(610)。
【0079】
次に、サービス認証サーバ122は、生成されたデバイス秘密鍵をサービスエージェント121に送信する(611)。
【0080】
次に、サービスエージェント121は、実行制御器130ごとに成されたサービスマネージャ131にサービストークン、プライベートルート証明書、デバイス秘密鍵を各実行制御器130に送信する(612)。
【0081】
次に、各実行制御器130のサービスマネージャ131は、プライベートルート証明書及びデバイス秘密鍵を各実行制御器130内のセキュリティストレージに記憶させる(613、614)。また、サービスマネージャ131はサービストークンを検証する(615)。
【0082】
図7は、一実施形態に係る第2ユースケースの動作をブロック図で示したものである。
【0083】
すなわち、図7は、一実施形態に係る第2ユースケース(UC02)として出荷後の購入情報が更新される場合を示すフローチャートである。
【0084】
まず、DMサーバ110は、購入サーバ140から取得した出荷後サービス購入オプション値をデータベースに記憶させる。以下の明細書において、出荷後サービス購入オプション値は第2オプション値と称されることもできる。このとき、セキュリティ要件IDはSRV02である。
【0085】
次に、図7を参照すると、サービスエージェント121は、DMサーバ110と統合通信制御器120内のサービスエージェント121との間の相互認証を介して暗号化セキュリティ通信(mTLS)を連結させる(701)。
【0086】
次に、サービスエージェント121は、mTLS通信を用いてDMサーバ110から出荷後サービス購入オプション値を取得する(702)。このとき、ステップ701及び702のセキュリティ要件IDはSRV03、SRV04である。
【0087】
次に、サービスエージェント121は、出荷後サービス購入オプション値をセキュリティ領域内のサービス認証サーバ122に伝達する(703)。この場合、サービスエージェント121とサービス認証サーバ122との間に適用されたセキュリティ要件は存在しないことができる。
【0088】
次に、サービス認証サーバ122はサービストークンを生成する(704)。また、サービス認証サーバ122は、生成されたサービストークンをサービスエージェント121に伝達し、サービスエージェント121は、伝達されたサービストークンを各実行制御器130に伝達する(705)。このとき、セキュリティ要件IDは、SRV02、SRV05である。
【0089】
次に、実行制御器130は、統合通信制御器120から伝達されたサービストークンを各実行制御器130内のセキュリティストレージに記憶させる。このとき、セキュリティ要件IDは、SRV01、SRV02、SRV03、SRV04、SRV05である。
【0090】
図8は、一実施形態に係る第2ユースケースの動作を動作主体別に示すフローチャートである。
【0091】
図8を参照すると、図5及び図6とは異なり、第2ユースケース(UC02)は、動作主体としてTIF設備150の代わりにDMサーバ110を含む。上述したように、第1ユースケース(UC01)は、車両出荷前に工場のTIFラインに連結されて車両のサービスオプション値を設定するが、第2ユースケース(UC02)は、車両出荷後にユーザがオンデマンドサービス商品を購入すると、DMサーバ110を介して車両のサービスオプション値を設定するためである。
【0092】
より詳細には、図8を参照すると、まず、DMサーバ110は、購入サーバ140で取得した出荷後サービス購入オプション値(サービスデータ)をデータベースに記憶させた後(801)、サービスデータをサービスエージェント121に送信する(802)。
【0093】
次に、サービスエージェント121は、取得したサービスデータをサービス認証サーバ122に送信する(803)。
【0094】
次に、サービス認証サーバ122は、サービスデータ及び署名を含む署名検証要求を受信し(804)、サービスデータ、署名及びサーバ証明書を含む署名検証手続きを実行する(805)。
【0095】
次に、サービス認証サーバ122は、デバイスID及びオンデマンドサービスデータを含むオンデマンドサービスデータの記憶要求を受信し(806)、オンデマンドサービスデータ及びクライアント秘密鍵を含むオンデマンドサービスデータの復号化手続きを実行する(807)。
【0096】
次に、サービスエージェント121はサービストークンを生成する(808)。
【0097】
次に、サービスエージェント121は、生成されたサービストークンを実行制御器130のサービスマネージャ131に送信し(809)、サービストークンを受信した実行制御器130はサービストークンを検証する(810)。
【0098】
引き続き、第3ユースケース(UC03)は、上述したように車両出荷後、車両起動時にオンデマンドサービスが活性化または非活性化される場合である。第3ユースケース(UC03)では、最新のオンデマンドサービス設定情報に従って、各実行制御器130のオンデマンドサービス機能を活性化または非活性化されることができる。
【0099】
より詳細には、第3ユースケース(UC03)では、まず、各実行制御器130のセキュリティストレージに記憶されたプライベートルート証明書でサービストークンのデジタル署名チェックをすることでサービストークンの改ざん有無を確認する。次に、各実行制御器130内のセキュリティストレージに記憶されたデバイス秘密鍵でサービストークンのヘッダに記憶されたAES鍵を復号化し、サービストークンの暗号化されたペイロード(PayLoad)データを取得したAES鍵で復号化して各実行制御器130のオン/オフを決定することができる。このとき、セキュリティ要件IDは、SRV01、SRV02、SRV03、SRV04、SRV05である。
【0100】
上述したように、一実施形態によれば、サービス認証システムでは認証のためにサービストークンを生成し、サービスデータ(サービスオプション値)は暗号化されてサービストークンのペイロード(PayLoad)に記憶される。さらに、サービストークンはプライベートルート鍵でデジタル署名されることができる。以下では、サービストークン構造及び生成方法、検証(認証)方法についてより詳細に説明する。
【0101】
サービストークン構造は、ヘッダ(Header)、ペイロード(PayLoad)及びトレーラ(Trailer)の3つのフィールドで構成されている。まず、サービストークンのヘッダは、AES鍵、ペイロード長、AES鍵暗号化アルゴリズム(例えば、AES-256 CBC)、ペイロード暗号化アルゴリズム(例えば、RSAES-OAEP 2048)及び署名(Signature)生成アルゴリズム(例えば、RSASSA-PSS 2048)の情報を保持することができる。この場合、AES鍵はデバイス証明書で暗号化され、デバイス秘密鍵で復号化されることができる。
【0102】
さらに、サービストークンのペイロードは、サービスデータの情報を保持することができ、そのときサービスデータは、AES鍵で暗号化及び復号化されることができる。さらに、サービストークンのトレーラは、ヘッダとペイロードに対する署名の情報を含むことができ、このとき署名はプライベートルート秘密鍵で生成され、プライベートルート証明書で認証されることができる。
【0103】
図9は、一実施形態に係るサービストークンを生成する方法を示すフローチャートである。
【0104】
一実施形態によれば、サービストークン生成は統合通信制御器120で実行されることができる。一実施形態によって、第1ユースケースの第1実施形態(UC01-1)では、サービス認証サーバ122によってサービストークンが生成されることができ、第1ユースケースの第2実施形態(UC01-2)では、サービスエージェント121によってサービストークンが生成されることができる。
【0105】
以下では、第1ユースケースの第1実施形態(UC01-1)に従ってサービス認証サーバ122でサービストークンが生成される例を中心に説明する。
【0106】
まず、セキュリティ領域でAES対称鍵を生成し、記憶されたサービス先行購入オプション(サービスデータ)をAES暗号化してサービストークン内のペイロードフィールドに記憶させる(901)。一実施形態によれば、AES鍵は、対称鍵であり、サービストークンを生成するたびにランダムに生成されることができる。
【0107】
次に、セキュリティ領域においてデバイス証明書で以前に生成されたAES対称鍵を公開鍵アルゴリズム(一実施形態によればRSA)で暗号化してサービストークンヘッダに追加する(902)。
【0108】
次に、セキュリティ領域においてプライベートルート秘密鍵でサービストークンにデジタル署名(signing)する(903)。
【0109】
【0110】
まず、図10Aは、サービストークン生成過程のステップ及び各ステップでどのデータが使用または生成されたかを説明するための図である。
【0111】
まず、サービスデータが生成される(10a-1)。
【0112】
次に、サービスデータが暗号化される(10a-2)。このとき、ステップ10a-1で生成されたサービスデータを対称鍵アルゴリズム(一実施形態によれば、AES鍵)を用いて暗号化し、暗号化されたサービスデータが生成される。
【0113】
次に、AES鍵を暗号化する(10a-3)。このとき、デバイス証明書(デバイス公開鍵)でAES鍵を暗号化し、暗号化されたAES鍵が生成される。
【0114】
次に、署名(Signature)を生成する(10a-4)。このとき、ステップ10a-3で生成された、暗号化されたAES鍵及びステップ10a-2で生成された、暗号化されたサービスデータにプライベートルート秘密鍵を用いて署名を生成することができる。
【0115】
次に、サービストークンを生成する(10a-5)。このとき、サービストークンはヘッダ、ペイロード、トレーラのフィールドを有することができる。ヘッダフィールドは暗号化されたAES鍵情報を含むことができ、ペイロードフィールドは暗号化されたサービスデータを含むことができ、トレーラフィールドは署名情報を含むことができる。
【0116】
引き続き、図10Bは、サービストークンの検証(認証)過程のステップ及び各ステップでどのデータが使用または生成されたかを説明するためのものである。
【0117】
まず、サービストークンを取得する(10b-1)。図10Aの説明で上述したように、取得されたサービストークンのヘッダフィールドは暗号化されたAES鍵情報を含むことができ、ペイロードフィールドは暗号化されたサービスデータを含むことができ、トレーラフィールドは署名情報を含むことができる。
【0118】
次に、署名を検証する(10b-2)。署名は、暗号化されたAES鍵及び暗号化されたサービスデータにプライベートルート証明書(公開鍵)を用いて検証することができる。
【0119】
次に、AES鍵を復号化する(10b-3)。このとき、暗号化されたAES鍵をデバイス秘密鍵で復号化し、復号化されたAES鍵を生成することができる。
【0120】
次に、サービスデータを復号化する(10b-4)。このとき、暗号化されたサービスデータを復号化されたAES鍵で復号化することができる。
【0121】
次に、復号化されたサービスデータを取得する(10b-5)。
【0122】
本発明に係る実施形態は、コンピュータ上で様々な構成要素を介して実行することができるコンピュータプログラムの形態で具現されることができ、そのようなコンピュータプログラムはコンピュータで読み取り可能な媒体に記録されることができる。このとき、媒体は、ハードディスク、フロッピーディスク及び磁気テープなどの磁気媒体、CD-ROM及びDVDなどの光記録媒体、フロプティカルディスク(floptical disk)などの光磁気記録媒体(magneto-optical medium)、及びROM、RAM、フラッシュメモリなどのようなプログラム命令語を記憶及び実行するように特別に構成されたハードウェア装置を含むことができる。
【0123】
一方、前記コンピュータプログラムは、本発明のために特別に設計及び構成されているか、コンピュータソフトウェア分野の当業者に公知され使用可能なものであることができる。コンピュータプログラムの例には、コンパイラによって作成されるような機械語コードだけでなく、インタプリタなどを使用し、コンピュータによって実行されることができる高級言語コードも含まれることができる。
【0124】
一実施形態によれば、本開示の様々な実施形態に係る方法は、コンピュータプログラム製品(computer program product)に含まれて提供されることができる。コンピュータプログラム製品は、商品として販売者及び購入者の間で取引されることができる。コンピュータプログラム製品は、デバイスで読み取り可能な記憶媒体(例えば、compact disc read only memory(CD-ROM))の形態で配布されるか、またはアプリケーションストア(例えば、プレイストア(商標))を介して、または2つのユーザ装置間で直接、オンラインで配布(例えば、ダウンロードまたはアップロード)されることができる。オンライン配布の場合、コンピュータプログラム製品の少なくとも一部は、製造元のサーバ、アプリケーションストアのサーバ、または中継サーバのメモリなどの機器で読み取ることができる記憶媒体に少なくとも一時的に記憶されるか、一時的に生成されることができる。
【0125】
本発明に係る方法を構成するステップについて明らかに順序を記載したり反したりする記載がない場合、前記ステップは適当な順序で行われることができる。必ずしも前記ステップの記載順序に従って本発明が限定されるものではない。本発明において、すべての例または例示的な用語(例えば、等)の使用は、単に本発明を詳細に説明するためのものであり、特許請求の範囲によって限定されない限り、前記の例または例示的な用語によって本発明の範囲が限定されるものではない。さらに、当業者は、様々な修正、組み合わせ及び変更が追加された特許請求の範囲またはその均等物の範囲内で設計条件及び要因によって構成され得ることを理解するであろう。
【0126】
したがって、本発明の思想は、前記説明した実施形態に限定されて決められてはならず、後述する特許請求の範囲のみならず、この特許請求の範囲と均等またはこれから等価的に変更された全ての範囲は、本発明の思想の範疇に属するとするといえるだろう。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10A】
【図10B】