(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-12-11
(45)【発行日】2023-12-19
(54)【発明の名称】認証管理方法、認証管理プログラム及び利用者認証管理装置
(51)【国際特許分類】
G06F 21/45 20130101AFI20231212BHJP
B60R 25/24 20130101ALI20231212BHJP
B60R 25/25 20130101ALI20231212BHJP
【FI】
G06F21/45
B60R25/24
B60R25/25
【請求項の数】
12
(21)【出願番号】P 2020165367
(22)【出願日】2020-09-30
(65)【公開番号】P2022057228
(43)【公開日】2022-04-11
【審査請求日】2023-01-11
(73)【特許権者】
【識別番号】000004260
【氏名又は名称】株式会社デンソー
(74)【代理人】
【識別番号】110000567
【氏名又は名称】弁理士法人サトー
(72)【発明者】
【氏名】末永 有里
(72)【発明者】
【氏名】佐藤 博之
(72)【発明者】
【氏名】水野 浩司
【審査官】岸野 徹
(56)【参考文献】
【文献】特開2017-199124(JP,A)
【文献】特開2020-069966(JP,A)
【文献】特開2009-286343(JP,A)
【文献】特表2015-529168(JP,A)
【文献】米国特許出願公開第2018/0103022(US,A1)
【文献】国際公開第2020/075317(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/45
B60R 25/24
B60R 25/25
(57)【特許請求の範囲】
【請求項1】
車両に搭載された電子制御装置により、認証レベルと認証要素を定めた認証ルールを記憶することと、前記電子制御装置により、車両の利用者を識別するアイデンティティ情報を記憶することと、
前記電子制御装置により、車両機能を制御する車両用アプリケーションから認証状態更新の要求を受信することと、
前記電子制御装置により、前記利用者又は前記利用者の所持する認証デバイスを認証する認証端末に前記利用者又は前記認証デバイスの認証を要求することと、
前記電子制御装置により、前記認証端末による認証結果、前記認証ルール、前記アイデンティティ情報に基づき、認証状態を生成することと、
前記電子制御装置により、前記生成した認証状態を前記車両用アプリケーションに通知すること、を備える認証管理方法であって、
前記記憶される認証ルールは、セキュリティレベルに応じて複数の認証レベルを定め、少なくとも1つの認証レベルでの認証要素は、物理セキュリティを伴うハードウェア暗号モジュールによる所持認証を含む、認証管理方法。
【請求項2】
車両に搭載された電子制御装置に、認証レベルと認証要素を定めた認証ルールを記憶することと、
車両の利用者を識別するアイデンティティ情報を記憶することと、
車両機能を制御する車両用アプリケーションから認証状態更新の要求を受信することと、
前記利用者又は前記利用者の所持する認証デバイスを認証する認証端末に前記利用者又は前記認証デバイスの認証を要求することと、
前記認証端末による認証結果、前記認証ルール、前記アイデンティティ情報に基づき、認証状態を生成することと、
前記生成した認証状態を前記車両用アプリケーションに通知すること、を実行させる認証管理プログラムであって、
前記記憶される認証ルールは、セキュリティレベルに応じて複数の認証レベルを定め、少なくとも1つの認証レベルでの認証要素は、物理セキュリティを伴うハードウェア暗号モジュールによる所持認証を含む、認証管理プログラム。
【請求項3】
請求項2に記載の認証管理プログラムを記憶するコンピュータ読み取り可能な非遷移的記憶媒体。
【請求項4】
車両に搭載された利用者認証管理装置であって、認証レベルと認証要素を定めた認証ルールを記憶する第1記憶部(72)と、
車両の利用者を識別するアイデンティティ情報を記憶する第2記憶部(71)と、
車両機能を制御する車両用アプリケーションから認証状態更新の要求を受信し、前記利用者又は前記利用者の所持する認証デバイスを認証する認証端末に前記利用者又は前記認証デバイスの認証を要求し、前記認証端末による認証結果、前記認証ルール、前記アイデンティティ情報に基づき、認証状態を生成し、前記生成した認証状態を前記車両用アプリケーションに通知する、認証制御部(73)を備える利用者認証管理装置であって、
前記記憶される認証ルールは、セキュリティレベルに応じて複数の認証レベルを定め、少なくとも1つの認証レベルでの認証要素は、物理セキュリティを伴うハードウェア暗号モジュールによる所持認証を含む、利用者認証管理装置。
【請求項5】
前記記憶される認証ルールは、前記認証レベルごとに単一又は複数の認証要素を定め、
セキュリティレベルが最上位の認証レベルは複数の認証要素であり、且つ、前記物理セキュリティを伴うハードウェア暗号モジュールによる所持認証を含み、
セキュリティレベルが最下位の認証レベルは単一の認証要素である、請求項4に記載の利用者認証管理装置。
【請求項6】
前記認証レベルは、3段階に設定され、前記セキュリティレベルが最下位の認証レベルは、記憶認証とされ、
前記セキュリティレベルが中位の認証レベルは、所持認証と記憶認証、又は、所持認証と生体認証、のどちらかとされ、
前記セキュリティレベルが最上位の認証レベルは、物理セキュリティを伴うハードウェア暗号モジュールによる所持認証と記憶認証、又は、物理セキュリティを伴うハードウェア暗号モジュールによる所持認証と生体認証、のどちらかとされる、請求項4又は5に記載の利用者認証管理装置。
【請求項7】
前記記憶認証は、パスワード認証であり、前記所持認証は、Fob鍵認証又は携帯通信端末による鍵認証であり、
前記生体認証は、顔認証であり、
前記物理セキュリティを伴うハードウェア暗号モジュールによる所持認証は、携帯通信端末による鍵認証である、請求項6に記載の利用者認証管理装置。
【請求項8】
前記第1記憶部に記憶される前記認証ルールは、サーバからの通知により設定され、前記第1記憶部は、前記認証制御部に前記認証ルールを通知する、請求項4から7の何れか一項に記載の利用者認証管理装置。
【請求項9】
前記アイデンティティ情報は、利用者に固有の利用者識別情報、利用者の属性を示す属性情報、認証デバイスの認証情報と紐づいた識別情報であるデバイス識別情報を含み、前記第2記憶部に記憶されるアイデンティティ情報は、サーバ又は認証端末からの通知により変更される、請求項4から8の何れか一項に記載の利用者認証管理装置。
【請求項10】
前記認証制御部は、前記車両用アプリケーションから前記認証状態更新の要求を受信すると、前記アイデンティティ情報を参照し、前記デバイス識別情報に対応する認証端末へ認証を要求し、
前記認証端末より受信した前記認証結果が前記認証ルールを満たす場合、前記認証状態を生成する、請求項9に記載の利用者認証管理装置。
【請求項11】
前記認証制御部は、前記車両用アプリケーションからの認証状態更新の要求に基づき、前記アイデンティティ情報を参照し、前記デバイス識別情報に対応する認証端末へ認証を要求し、
複数の利用者について、前記認証端末へ認証を要求する場合、最初に前記認証ルールを満たした利用者に対する認証状態を生成する、請求項9に記載の利用者認証管理装置。
【請求項12】
前記認証制御部は、前記車両用アプリケーションからの認証状態更新の要求に基づき、前記アイデンティティ情報を参照し、前記デバイス識別情報に対応する認証端末へ認証を要求し、
複数の利用者について、前記認証端末へ認証を要求する場合、当該認証の結果、第1認証要素にて第1利用者が認証成功した場合、前記第1利用者の認証状態を生成し、前記第1認証要素とは異なる第2認証要素にて第2利用者が認証成功した場合、第2利用者の認証状態を更に生成する、請求項9に記載の利用者認証管理装置。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、利用者の認証状態を管理する技術に関する。
【背景技術】
【0002】
特許文献1には、ドアの解錠時にアンサーバック音が出力される車両で用いられ、ユーザに携帯される携帯端末と、車両で用いられる車両側装置とを含む車両認証システムが開示される。この車両認証システムでは、車両側装置が、メモリに記憶された制御プログラムを実行することで車両での認証に関する各種の処理を実行する。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2020-69966号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、認証デバイスを認証する認証端末と、ドアの開錠及びアンサーバック音の出力といった車載アプリケーションが同一の開発プロジェクトにおいて設計、開発されるとは限らない。
【0005】
ユーザの認証状態を一元管理するサーバを設置し、認証過程とアプリケーション側の認証要求を概念的に分離する場合がある。サーバは、所定の統一形式で表現される認証状態を生成するので、アプリケーションは認証情報が必要な場合、個々の認証関連機器ではなく、サーバに対して認証状態の通知を要求する。又、認証関連機器は認証状態が生成できるように認証結果をサーバに通知するように設計されれば良く、アプリケーションの認証要求は考慮不要となる。
【0006】
車両のアプリケーションは、認証されていれば誰が実行しても良いアプリケーションと、利用者を限定したいアプリケーションがある。そのため、認証状態は複数のセキュリティレベルが設定され、適切にセキュリティが確保される必要がある。
【0007】
本開示の目的は、認証状態の一元管理を実現しつつ、車両用アプリケーションの実行に対してセキュリティを確保できる認証管理方法、認証管理プログラム及び利用者認証管理装置を提供することにある。
【課題を解決するための手段】
【0008】
本開示の一態様によれば、認証管理方法は、車両に搭載された電子制御装置により、認証レベルと認証要素を定めた認証ルールを記憶することと、前記電子制御装置により、車両の利用者を識別するアイデンティティ情報を記憶することと、前記電子制御装置により、車両機能を制御する車両用アプリケーションから認証状態更新の要求を受信することと、前記電子制御装置により、利用者又は利用者の所持する認証デバイスを認証する認証端末に利用者又は認証デバイスの認証を要求することと、前記電子制御装置により、認証端末による認証結果、認証ルール、アイデンティティ情報に基づき、認証状態を生成することと、前記電子制御装置により、生成した認証状態を車両用アプリケーションに通知すること、を備える。記憶される認証ルールは、セキュリティレベルに応じて複数の認証レベルを定め、少なくとも1つの認証レベルでの認証要素は、物理セキュリティを伴うハードウェア暗号モジュールによる所持認証を含む。
【0009】
更に本開示の別の態様によれば、認証管理プログラムは、車両に搭載された電子制御装置に、認証レベルと認証要素を定めた認証ルールを記憶することと、車両の利用者を識別するアイデンティティ情報を記憶することと、車両機能を制御する車両用アプリケーションから認証状態更新の要求を受信することと、利用者又は利用者の所持する認証デバイスを認証する認証端末に利用者又は認証デバイスの認証を要求することと、認証端末による認証結果、認証ルール、アイデンティティ情報に基づき、認証状態を生成することと、生成した認証状態を車両用アプリケーションに通知すること、を実行させる。記憶される認証ルールは、セキュリティレベルに応じて複数の認証レベルを定め、少なくとも1つの認証レベルでの認証要素は、物理セキュリティを伴うハードウェア暗号モジュールによる所持認証を含む。
【0010】
更に本開示の別の態様によれば、車両に搭載された利用者認証管理装置は、認証レベルと認証要素を定めた認証ルールを記憶する第1記憶部(72)と、車両の利用者を識別するアイデンティティ情報を記憶する第2記憶部(71)と、車両機能を制御する車両用アプリケーションから認証状態更新の要求を受信し、利用者又は利用者の所持する認証デバイスを認証する認証端末に利用者又は認証デバイスの認証を要求し、認証端末による認証結果、認証ルール、アイデンティティ情報に基づき、認証状態を生成し、生成した認証状態を車両用アプリケーションに通知する、認証制御部(73)を備える。記憶される認証ルールは、セキュリティレベルに応じて複数の認証レベルを定め、少なくとも1つの認証レベルでの認証要素は、物理セキュリティを伴うハードウェア暗号モジュールによる所持認証を含む。
【0011】
本開示の構成によれば、車両の利用者又は利用者の保持する認証デバイスを認証する認証過程と車両機能を制御する車両用アプリケーションによる認証状態の更新過程の間に認証管理装置を加えた認証状態管理システムにおいて、物理セキュリティを伴うハードウェア暗号モジュールによる所持認証を認証要素とすることで、認証管理装置による認証状態の一元管理とセキュリティ確保を実現できる。
【図面の簡単な説明】
【0012】
【図1】利用者認証システムの概要構成を示すブロック図
【図2】ネットワークコーディネータを含む論理アーキテクチャを例示する図
【図3】利用者認証管理装置の構成を示すブロック図
【図4】アイデンティティ情報を例示する図
【図5】認証ルールを例示する図
【図6】認証要素と認証方法を例示する図
【図7】利用者認証管理装置による認証状態を生成するフローチャート
【図8】認証端末による認証結果を送信するフローチャート
【図9】機能制御アプリによる機能の実行可否を判定するフローチャート
【図10】利用者認証管理装置による認証状態を生成するフローチャート
【発明を実施するための形態】
【0013】
以下、本開示の実施形態について、図面を参照して説明する。
本開示の一例による利用者認証システム1の構成について図1を用いて説明する。
図1は、利用者認証システム1の概要構成を示すブロック図である。利用者認証システム1は、第1ECU2、サーバ3、認証端末4、第2ECU5を含む。第1ECU2と認証端末4と第2ECU5は車載ネットワーク6で通信可能に接続される。第1ECU2とサーバ3は、無線通信可能に接続される。第2ECU5とサーバ3は、無線通信可能に接続される。尚、図1では、サーバ3と第1ECU2又は第2ECU5が通信しているように記載しているが、車両においては第1ECU2又は第2ECU5は共通の通信モジュール(図示せず)を用いて外部と無線通信しても良い。更に、図1では、サーバ3は便宜上、1つのサーバ3として記載しているが、複数のサーバ3であっても良い。ECUは、プロセッサ、メモリ、I/O、これらを接続するバスを備え、メモリに記憶された制御プログラムを実行することで各種の処理を実行する。尚、メモリは、コンピュータによって読み取り可能なプログラム及びデータを非一時的に格納する非遷移的実体的記憶媒体(non-transitory tangible storage medium)である。又、非遷移的実体的記憶媒体は、半導体メモリ又は磁気ディスク等によって実現される。ECUは電子制御装置に対応する。
本開示の一例による利用者認証システム1の構成について図1を用いて説明する。
図1は、利用者認証システム1の概要構成を示すブロック図である。利用者認証システム1は、第1ECU2、サーバ3、認証端末4、第2ECU5を含む。第1ECU2と認証端末4と第2ECU5は車載ネットワーク6で通信可能に接続される。第1ECU2とサーバ3は、無線通信可能に接続される。第2ECU5とサーバ3は、無線通信可能に接続される。尚、図1では、サーバ3と第1ECU2又は第2ECU5が通信しているように記載しているが、車両においては第1ECU2又は第2ECU5は共通の通信モジュール(図示せず)を用いて外部と無線通信しても良い。更に、図1では、サーバ3は便宜上、1つのサーバ3として記載しているが、複数のサーバ3であっても良い。ECUは、プロセッサ、メモリ、I/O、これらを接続するバスを備え、メモリに記憶された制御プログラムを実行することで各種の処理を実行する。尚、メモリは、コンピュータによって読み取り可能なプログラム及びデータを非一時的に格納する非遷移的実体的記憶媒体(non-transitory tangible storage medium)である。又、非遷移的実体的記憶媒体は、半導体メモリ又は磁気ディスク等によって実現される。ECUは電子制御装置に対応する。
【0014】
第1ECU2は、CPU21とメモリ22を備える。メモリ22は、認証管理プログラムを記憶しており、第1ECU2が認証管理プログラムを実行することで、利用者認証管理装置7の機能が実現する。実施形態では、利用者認証管理装置7をソフトウェアとして記載するが、利用者認証管理装置7の一部或いは全部はハードウェアとして構成されても良い。
【0015】
サーバ3の構成と機能について説明する。サーバ3は、例えば、車外に設置されるデータ管理センタが相当する。サーバ3は、クラウド或いはセンタとも呼ぶ。
サーバ3は、利用者管理機能、認証ルール管理機能、認可ポリシー管理機能を備える。尚、それぞれの機能は、別のデータ管理センタに構成されても良いし、1つのデータ管理センタに構成されても良い。
サーバ3は、利用者管理機能、認証ルール管理機能、認可ポリシー管理機能を備える。尚、それぞれの機能は、別のデータ管理センタに構成されても良いし、1つのデータ管理センタに構成されても良い。
【0016】
利用者管理機能は、利用者情報及び利用者属性定義を管理する。具体的には、利用者管理機能は、利用者IDの発行と利用者IDの削除ができる。利用者管理機能は、利用者属性定義の登録と、利用者属性定義の変更ができる。尚、利用者管理機能は、車両への初期データ配信時、利用者属性定義を利用者認証管理装置7に送信し設定する。
【0017】
認証ルール管理機能は、認証ルールを管理する。具体的には、認証ルール管理機能は、認証ルールの登録と、認証ルールの変更ができる。認証ルール管理機能は、車両への初期データ配信時、認証ルールを利用者認証管理装置7に送信し設定する。
【0018】
認可ポリシー管理機能は、認可ポリシーを管理する。より具体的には、認可ポリシー管理機能は、認可ポリシーの登録と、認可ポリシーの変更ができる。認可ポリシー管理機能は、車両への初期データ配信時、認可ポリシーを各機能制御アプリに設定する。機能制御アプリは、車両機能を制御する車両用アプリケーションに相当する。認可ポリシーは、例えば、機能制御アプリの実行に必要な認証レベルと利用者属性を指定する。例えば、機能制御アプリXの機能X1を実行するための認可ポリシーとして、認証レベル=レベル1、利用者属性=所有者、家族、が指定される。
【0019】
認証端末4について以下に説明する。
認証端末4は、利用者や端末を認証するための認証情報を管理する。認証端末4は、デバイスのセンシング結果から利用者や端末の認証を行う。認証端末4は、利用者認証管理装置7から認証の要求を受けた場合、デバイスのセンシングを行い、認証結果を利用者認証管理装置7に通知する。認証結果は、認証成立又は認証不成立を示す情報が含まれる。例えば、認証端末4は、認証成立した場合、認証端末4の認証情報と紐づく管理IDを送信し、認証不成立の場合、認証端末4の認証情報と紐づく管理IDを送信しないように構成される。
認証端末4は、利用者や端末を認証するための認証情報を管理する。認証端末4は、デバイスのセンシング結果から利用者や端末の認証を行う。認証端末4は、利用者認証管理装置7から認証の要求を受けた場合、デバイスのセンシングを行い、認証結果を利用者認証管理装置7に通知する。認証結果は、認証成立又は認証不成立を示す情報が含まれる。例えば、認証端末4は、認証成立した場合、認証端末4の認証情報と紐づく管理IDを送信し、認証不成立の場合、認証端末4の認証情報と紐づく管理IDを送信しないように構成される。
【0020】
認証端末4には、スマートフォン鍵認証、Fob鍵認証、顔認証、パスワード認証のそれぞれで用いられる通信端末、入力端末装置が含まれる。図1は便宜上、1つの認証端末4が記載されるが、複数でも良い。尚、Fob鍵認証は、Fob鍵91と認証端末4の間で実施される認証である。スマートフォン鍵認証は、スマートフォン92と認証端末4の間で実施される認証である。パスワード認証は、認証端末4へのパスワードの入力により実施される認証である。顔認証は、顔と認証端末4の間で実施される認証である。Fob鍵91及びスマートフォン92は、認証デバイスの一例である。
【0021】
図2は、利用者認証管理装置7を含む論理アーキテクチャ200を例示する。車両において、OS(オペレーティングソフトウェア)90上で、利用者認証管理装置7、管理装置X30、管理装置Y40等のミドルウェアが動作する。尚、管理装置は、ミドルウェア、コーディネータ、管理モジュール、マネージャ等と呼ばれる。第1アプリケーション50、第2アプリケーション60、第3アプリケーション70、第4アプリケーション80は、1つ又は複数の管理装置の提供するサービスを利用して動作し、アプリケーション(アプリとも呼ぶ)ごとの機能を提供する。尚、OS90は仮想OSでも良い。又、アプリケーション、管理装置、OSは、同じ電子制御装置により実行されても良いし、異なる電子制御装置により実行されても良い。図2は、例示であり、OS、管理装置、アプリケーションの数は限定されない。
【0022】
図3を参照して、利用者認証管理装置7を説明する。図3は、利用者認証管理装置7の構成を示すブロック図である。
利用者認証管理装置7は、利用者記憶部71と、認証ルール記憶部72と、認証状態管理部73とを備える。認証ルール記憶部72は第1記憶部に相当し、利用者記憶部71は第2記憶部に相当し、認証状態管理部73は認証制御部に相当する。
利用者認証管理装置7は、利用者記憶部71と、認証ルール記憶部72と、認証状態管理部73とを備える。認証ルール記憶部72は第1記憶部に相当し、利用者記憶部71は第2記憶部に相当し、認証状態管理部73は認証制御部に相当する。
【0023】
認証ルール記憶部72は、認証ルールを管理する。認証ルール記憶部72は、サーバ3から認証ルールを設定されるように構成される。認証ルール記憶部72は、利用者認証管理装置7内の他の機能ブロック(例えば、認証状態管理部73)に認証ルールを通知する。
【0024】
認証ルールについて、以下に説明する。図5は、認証ルールを例示する図である。図6は、認証要素を認証方法の対応を例示する図である。認証ルール記憶部72は、図5に例示する認証レベルと認証要素のテーブルと、図6に例示する認証要素と認証方法のテーブルとを、認証ルールとして記憶する。尚、本実施形態では、図5と図6を記載しているが、認証レベルごとに認証方法を指定すれば、単一のテーブルとすることもできる。
【0025】
認証ルールは、認証要素の組合せによる認証レベルを決定するルールを規定する。認証要素には、例えば、記憶認証、所持認証、生体認証がある。記憶認証の認証方法は、例えば、パスワード認証である。所持認証の認証方法は、例えば、スマートフォン鍵認証(スマホ鍵認証)とFob鍵認証である。生体認証の認証方法は、例えば、顔認証である。
【0026】
認証ルールは、複数の情報セキュリティレベルが設定される。認証ルールは、例えば、情報セキュリティレベルが低い順に、認証レベル1、認証レベル2、認証レベル3が設定される。例えば、アメリカ国立標準技術研究所の電子的認証に関するガイドラインに基づくか、或いは類似する認証レベルが設定されても良い。つまり、認証ルールは、認証レベルごとに単一又は複数の認証要素を定められる。例えば、セキュリティレベルが最下位の認証レベル(認証レベル1)は単一の認証要素とされ、セキュリティレベルが最下位より上位の認証レベルは複数の認証要素とされ、セキュリティレベルが最上位の認証レベルは複数の認証要素であり、且つ、物理セキュリティを備えたハードウェア暗号モジュールを採用する。ハードウェア暗号モジュールは、ハードウェアセキュリティモジュールとも呼ばれ、例えば、ハードウェア内で鍵を保管し暗号化機能や署名機能の全部又は一部を有する装置である。
【0027】
認証レベル1(レベル1とも呼ぶ)は、第1認証要素が指定される。尚、第1認証要素は、例えば、記憶認証と所持認証が採用される。認証レベル1では、記憶認証又は所持認証のどちらか一方で認証レベルが満たされる。
【0028】
認証レベル2(レベル2とも呼ぶ)は、第1認証要素と第2認証要素が指定される。レベル2では、例えば、所持認証(第1認証要素)と記憶認証(第2認証要素)、或いは、所持認証(第1認証要素)と生体認証(第2認証要素)が採用される。認証レベル2では、(1)Fob鍵認証又はスマホ鍵認証とパスワード認証、或いは(2)Fob鍵認証又はスマホ鍵認証と顔認証、のどちらかで認証レベルが満たされる。
【0029】
認証レベル3(レベル3とも呼ぶ)は、第1認証要素と第2認証要素が指定される。レベル3では、例えば、所持認証(第1認証要素)と記憶認証(第2認証要素)、或いは、所持認証(第1認証要素)と生体認証(第2認証要素)が採用される。認証レベル3では、(1)スマホ鍵認証とパスワード認証、或いは(2)スマホ鍵認証と顔認証、のどちらかで認証レベルが満たされる。
【0030】
レベル2とレベル3では、所持認証に求められる要件が異なる。具体的には、レベル3での所持認証では、物理セキュリティを備えたハードウェア暗号モジュールであることが必要である。レベル3の所持認証は、例えば、スマホ鍵認証が相当する。換言すると、スマホ鍵認証は、物理セキュリティを備えたハードウェア暗号モジュールに対応する。
【0031】
レベル2とレベル3では、認証ルールを満たすには、第1認証要素と第2認証要素で同一の利用者である必要がある。例えば、第1認証要素と第2認証要素のそれぞれで認証された利用者が車両の所有者である場合は、認証ルールが満たされる。第1認証要素で認証された利用者が車両の所有者で、第2認証要素のそれぞれで認証された利用者が所有者の家族の場合は、認証ルールは未充足とされる。
【0032】
利用者記憶部71について説明する。
利用者記憶部71は、利用者属性定義とアイデンティティ情報を記憶し、管理する。利用者属性定義は、サーバ3から設定し更新できる。アイデンティティ情報は、サーバ3或いは認証端末4(例えば、スマートフォン)から登録、更新できる。利用者記憶部71は、利用者認証管理装置7内の他の機能ブロック(例えば、認証状態管理部73)にアイデンティティ情報を通知できる。
利用者記憶部71は、利用者属性定義とアイデンティティ情報を記憶し、管理する。利用者属性定義は、サーバ3から設定し更新できる。アイデンティティ情報は、サーバ3或いは認証端末4(例えば、スマートフォン)から登録、更新できる。利用者記憶部71は、利用者認証管理装置7内の他の機能ブロック(例えば、認証状態管理部73)にアイデンティティ情報を通知できる。
【0033】
利用者属性定義について説明する。利用者属性定義は、車両を利用できる利用者(ユーザ)の属性を指定する。利用者属性は、例えば、所有者、家族、ゲスト、サービス提供業者、がある。利用者属性により示される情報が属性情報である。
【0034】
アイデンティティ情報について説明する。図4は、アイデンティティ情報を例示する。アイデンティティ情報は、利用者ごとに、利用者情報、各認証端末4の認証情報と紐づく情報(認証端末4の管理ID)を含む。尚、利用者情報は、利用者IDと利用者属性を含む利用者を識別する情報である。言い換えると、利用者情報は、利用者識別情報と属性情報を含む。アイデンティティ情報は利用者記憶部71に蓄積され、認証端末4による認証期間が過ぎても保存され続けても良い。或いは、アイデンティティ情報は利用者記憶部71に蓄積され、認証端末4による認証期間が過ぎると自動的に削除されても良い。
【0035】
認証状態管理部73の機能を説明する。
認証状態管理部73は、利用者認証状態(認証状態とも呼ぶ)を生成する。認証状態管理部73は、機能制御アプリから利用者認証状態の更新を要求された場合、各認証端末4に認証を要求する。認証状態管理部73は、認証端末4の認証結果、認証ルール、アイデンティティ情報に基づいて利用者認証状態を生成する。認証状態管理部73は、生成した利用者認証状態を機能制御アプリに通知する。
認証状態管理部73は、利用者認証状態(認証状態とも呼ぶ)を生成する。認証状態管理部73は、機能制御アプリから利用者認証状態の更新を要求された場合、各認証端末4に認証を要求する。認証状態管理部73は、認証端末4の認証結果、認証ルール、アイデンティティ情報に基づいて利用者認証状態を生成する。認証状態管理部73は、生成した利用者認証状態を機能制御アプリに通知する。
【0036】
利用者認証状態は、例えば、利用者ID(利用者識別情報とも呼ぶ)、利用者属性、認証レベルに関する情報を含む。利用者認証状態は、認証エリアに関する情報を含んでも良い。認証状態管理部73により生成された利用者認証状態は機能制御アプリに送信される。
【0037】
機能制御アプリ(アプリケーション、又はアプリとも呼ぶ)は、車両の機能の実行可否を判定し、機能を実行する。機能制御アプリは、例えば、第2ECU5のメモリ52に記憶されたプログラムであり、CPU51がプログラムを実行することで、機能制御アプリは実行される。尚、機能制御アプリは、他の記憶媒体に記憶されても良い。更に、機能制御アプリのプログラムは、CPU21により実行されても良いし、他のCPUにより実行されても良い。機能制御アプリは一部或いは全部がハードウェアとして構成されても良い。本実施形態では、説明の便宜上、利用者認証管理装置7と機能制御アプリが異なるECU又はCPUにおいて、実行されているように記載しているが、同一ECU又はCPUにおいて実行されても良い。
【0038】
機能制御アプリは、サーバ3により認可ポリシーを設定できる。
機能制御アプリは、利用者認証管理装置7に最新の利用者認証状態を要求する。尚、利用者認証管理装置7に認証状態の更新を要求するタイミングは、機能制御アプリごとに設定可能である。機能制御アプリは、実行されるたびに認証状態の更新を要求しても良いし、所定時間ごとに認証状態の更新を要求しても良い。機能制御アプリは、利用者認証管理装置7に認証状態を要求する際、認証レベル、利用者属性、認証エリアに関する情報を通知しても良い。或いは、機能制御アプリは、利用者認証管理装置7に認証状態を要求する際、認証レベルと利用者属性に関する情報を通知しても良い。機能制御アプリは、更新された認証状態を認証状態管理部73より受信すると、認証状態と認可ポリシーに基づいて、機能の実行可否を判断する。
機能制御アプリは、利用者認証管理装置7に最新の利用者認証状態を要求する。尚、利用者認証管理装置7に認証状態の更新を要求するタイミングは、機能制御アプリごとに設定可能である。機能制御アプリは、実行されるたびに認証状態の更新を要求しても良いし、所定時間ごとに認証状態の更新を要求しても良い。機能制御アプリは、利用者認証管理装置7に認証状態を要求する際、認証レベル、利用者属性、認証エリアに関する情報を通知しても良い。或いは、機能制御アプリは、利用者認証管理装置7に認証状態を要求する際、認証レベルと利用者属性に関する情報を通知しても良い。機能制御アプリは、更新された認証状態を認証状態管理部73より受信すると、認証状態と認可ポリシーに基づいて、機能の実行可否を判断する。
【0039】
尚、機能制御アプリは、車両の機能を制御するあらゆるアプリケーションを含む。機能制御アプリが対象とする車両の制御は、例えば、ドアロックの施解錠、トランク(ラゲッジスペース)の施解錠、IG-ON、スライドドアの開閉、ナビのパーソナライズ、オーディオのパーソナライズがある。
【0040】
以下、利用者認証管理装置7の実施する、認証状態生成処理を説明する。図7は、利用者認証管理装置7による認証状態を生成するフローチャートである。認証状態生成処理は、例えば、所定の間隔で実行されている。
【0041】
S100では、機能制御アプリから認証状態の更新の要求を受信したか判定する。認証状態の更新の要求を受信した場合は、S101に進む。認証状態の更新の要求を受信したと判定しない場合は、認証状態生成処理は終了する。
【0042】
S101では、利用者記憶部71に保存されたアイデンティティ情報を読み込む。
S102では、認証ルール記憶部72に保存された認証ルールを取得する。認証状態の更新要求に含まれる属性情報、認証レベルの情報に基づいて、認証を要求すべき認証端末4の管理IDを取得する。
S102では、認証ルール記憶部72に保存された認証ルールを取得する。認証状態の更新要求に含まれる属性情報、認証レベルの情報に基づいて、認証を要求すべき認証端末4の管理IDを取得する。
【0043】
S103では、認証端末4に対して認証を要求する。尚、機能制御アプリの実行権限のある利用者が複数いる場合は、アイデンティティ情報に登録された、機能制御アプリを実行する権限の設定された全ての利用者について、各利用者と紐づけされた認証端末4の管理IDを同時にそれぞれの認証端末4に送信し、最初に認証成立を通知した認証端末4により認証レベルが充足されるか判定しても良い。
【0044】
S104では、それぞれの認証端末4から送信された認証結果を受信する。認証結果は、認証成立又は認証不成立を示す情報が含まれる。或いは、認証結果は認証が成立した場合のみ送信され、認証が不成立の場合は送信されなくても良い。
【0045】
S105では、S102で読みだした認証ルールと受信した認証結果に基づいて、認証レベルが満たされたか否か判定される。認証レベルが満たされていない場合は、S104に戻り更に認証結果の受信を待つ。認証レベルが満たされたと判定した場合は、S106に進む。
【0046】
S106では、更新された認証状態を生成する。認証状態は、利用者ID,利用者属性と認証レベルに関する情報を少なくとも含む。そして、生成した認証状態を機能制御アプリに通知する。尚、更新された認証状態の情報は、S100で認証状態の更新を要求した機能制御アプリのみに通知されても良いし、他のアクティブ又は全ての機能制御アプリに通知されても良い。認証状態を通知すると、認証状態生成処理は終了する。
【0047】
図8は、認証端末4による認証結果を送信するフローチャートである。認証端末4による認証プロセスは認証端末4の種類によって異なるので、本実施形態ではその概要のみを説明する。認証プロセスは、認証端末4の制御装置により所定の周期で実行される。或いは、認証プロセスは、利用者認証管理装置7から認証を要求された場合に開始しても良い。或いは、利用者が認証端末4を操作した場合に開始しても良い。
【0048】
S200では、認証を要求されたか判定される。認証を要求されたと判定しない場合、認証プロセスは終了する。認証を要求されたと判定した場合、S201に進む。
S201では、認証端末4ごとに定められた手順と方法に従い、認証が実施される。
S202では、認証結果を利用者認証管理装置7に通知する。認証結果は、認証成立又は認証不成立を示す情報が含まれる。或いは、認証結果は認証が成立した場合のみ通知され、認証が不成立の場合は通知されなくても良い。認証成立した場合、認証端末4は、認証結果として、認証を実施した認証端末4の管理IDを通知する。認証結果を送信すると、認証プロセスは終了する。
S201では、認証端末4ごとに定められた手順と方法に従い、認証が実施される。
S202では、認証結果を利用者認証管理装置7に通知する。認証結果は、認証成立又は認証不成立を示す情報が含まれる。或いは、認証結果は認証が成立した場合のみ通知され、認証が不成立の場合は通知されなくても良い。認証成立した場合、認証端末4は、認証結果として、認証を実施した認証端末4の管理IDを通知する。認証結果を送信すると、認証プロセスは終了する。
【0049】
図9は、機能制御アプリによる機能の実行可否を判定するフローチャートである。図9の認証状態更新処理は、利用者が機能制御アプリの機能の実行を要求したときに開始する。
S300では、認証状態の更新が必要か否か判定される。認証状態の更新が必要な否かは機能制御アプリにより異なる。例えば、利用者が機能制御アプリの機能を実行しようとするごとに最新の認証状態を要求し、認証状態の更新を要求しても良い。或いは、所定時間経過ごとに機能制御アプリは認証状態の更新を要求しても良い。或いは、機能制御アプリの累積起動時間が所定の時間を超えた場合に、認証状態の更新を要求しても良い。認証状態の更新が必要と判定すると、S301に進む。認証状態の更新が不要と判定すると、認証状態更新処理は終了する。
S300では、認証状態の更新が必要か否か判定される。認証状態の更新が必要な否かは機能制御アプリにより異なる。例えば、利用者が機能制御アプリの機能を実行しようとするごとに最新の認証状態を要求し、認証状態の更新を要求しても良い。或いは、所定時間経過ごとに機能制御アプリは認証状態の更新を要求しても良い。或いは、機能制御アプリの累積起動時間が所定の時間を超えた場合に、認証状態の更新を要求しても良い。認証状態の更新が必要と判定すると、S301に進む。認証状態の更新が不要と判定すると、認証状態更新処理は終了する。
【0050】
S301では、認証状態の更新を利用者認証管理装置7に要求する。
S302では、利用者認証管理装置7から、更新された認証状態を通知されたか判定する。更新された認証状態を受信していない場合、S302を繰り返す。更新された認証状態を通知された場合は、S303に進む。
S303では、S302で通知された最新の認証状態と認可ポリシーに基づいて、利用者に実行を要求された機能を実行するか否かを判定し、処理を終了する。
S302では、利用者認証管理装置7から、更新された認証状態を通知されたか判定する。更新された認証状態を受信していない場合、S302を繰り返す。更新された認証状態を通知された場合は、S303に進む。
S303では、S302で通知された最新の認証状態と認可ポリシーに基づいて、利用者に実行を要求された機能を実行するか否かを判定し、処理を終了する。
【0051】
(変形例)
図10は、利用者認証管理装置7により実行される認証状態生成処理の変形例である。変形例では、機能制御アプリの実行権限のある利用者が複数いるか否かを判定する。以下、図7で説明した認証状態生成処理とは異なる点を主に説明する。
S101のあと、S110では、アイデンティティ情報と機能制御アプリにより指定された属性情報から、複数の利用者が存在するか否か判定する。利用者が単独の場合は、S102に進む。利用者が複数存在する場合は、S111に進み、所定の条件に従い、最初に認証を要求する利用者を選定する。所定の条件は、例えば、所有者、家族、ゲスト、サービス提供者の順でも良いし、管理IDの昇順でも良いし、利用者が設定する順序でも良い。
S102からS105は、上述の認証状態生成処理と同様である。
S105で、受信した認証結果では認証レベルを充足しないと判定した場合、S112に進む。
図10は、利用者認証管理装置7により実行される認証状態生成処理の変形例である。変形例では、機能制御アプリの実行権限のある利用者が複数いるか否かを判定する。以下、図7で説明した認証状態生成処理とは異なる点を主に説明する。
S101のあと、S110では、アイデンティティ情報と機能制御アプリにより指定された属性情報から、複数の利用者が存在するか否か判定する。利用者が単独の場合は、S102に進む。利用者が複数存在する場合は、S111に進み、所定の条件に従い、最初に認証を要求する利用者を選定する。所定の条件は、例えば、所有者、家族、ゲスト、サービス提供者の順でも良いし、管理IDの昇順でも良いし、利用者が設定する順序でも良い。
S102からS105は、上述の認証状態生成処理と同様である。
S105で、受信した認証結果では認証レベルを充足しないと判定した場合、S112に進む。
【0052】
S112では、認証結果を未だ受信していない認証端末4があるか否か判定する。S103では、認証を各認証端末4に要求にしているので、S112では認証を要求した認証端末4のそれぞれから認証結果を受信したか否か判定する。認証結果を受信していない認証端末4があると判定すると、S104に進み、認証結果の受信を待つ。認証結果を受信していない認証端末4がないと判定すると、S111に進む。この場合のS111では、認証をまだ要求していない利用者について、認証端末4の管理IDを送信する利用者が選定される。
【0053】
(具体例)
以下、ユーザが車両の機能制御アプリXを起動し機能X1を実行しようとする際の認証過程を例示する。
尚、車両がディーラー(自動車販売業者)から所有者(利用者)に引き渡される前に、認証ルール記憶部72には初期の認証ルールが設定され、利用者記憶部71には初期の利用者属性定義が設定されているとする。利用者IDは、例えば、ディーラーにて予め登録されているとする。所有者に対しては、パスワード、Fob鍵、スマートフォン鍵(スマホ鍵とも呼ぶ)、顔認証が登録されているとする。所有者の家族に対しては、パスワード、スマホ鍵、顔認証が登録されているとする。
以下、ユーザが車両の機能制御アプリXを起動し機能X1を実行しようとする際の認証過程を例示する。
尚、車両がディーラー(自動車販売業者)から所有者(利用者)に引き渡される前に、認証ルール記憶部72には初期の認証ルールが設定され、利用者記憶部71には初期の利用者属性定義が設定されているとする。利用者IDは、例えば、ディーラーにて予め登録されているとする。所有者に対しては、パスワード、Fob鍵、スマートフォン鍵(スマホ鍵とも呼ぶ)、顔認証が登録されているとする。所有者の家族に対しては、パスワード、スマホ鍵、顔認証が登録されているとする。
【0054】
(ケース1)
利用者が一人であって、機能制御アプリXに含まれる機能X1を実行する際の認証過程について説明する。具体的には、所有者が、運転席ドア(車外)で機能制御アプリXを実行して機能X1を利用しようと操作した場合を説明する。
利用者が一人であって、機能制御アプリXに含まれる機能X1を実行する際の認証過程について説明する。具体的には、所有者が、運転席ドア(車外)で機能制御アプリXを実行して機能X1を利用しようと操作した場合を説明する。
【0055】
所有者の操作に応じて、機能制御アプリXは認証状態の更新を要求するとする。機能制御アプリXは、認可ポリシーを参照し、実行が許可される利用者属性と必要な認証レベルを特定する。例えば、認可ポリシーが、機能Xが所有者と家族に許可され、認可に必要な認証レベルがレベル1とされているとする。機能制御アプリXは、利用者属性、認証レベル、認証エリアの情報を認証状態管理部73に送信する。
【0056】
最新の認証状態を要求された認証状態管理部73は、利用者記憶部71のアイデンティティ情報を参照し、利用者属性として登録されている利用者の個別認証の管理IDを取得する。個別認証の管理IDとは、パスワード認証、Fob鍵認証、スマホ鍵認証、顔認証のそれぞれの認証手段について、対応するデバイスの認証情報と紐づく管理IDである。
【0057】
尚、アイデンティティ情報を参照する際、認証状態管理部73は、認証レベルに基づき、認証に使用可能な認証端末4を識別しても良い。例えば、認証レベルがレベル1の場合、認証要素は第1認証要素のみで、パスワード認証、Fob鍵認証、スマホ鍵認証が採用される。アイデンティティ情報は、例えば、利用者IDごとに、利用者属性、個別の認証デバイスの管理IDを含む情報である。認証デバイスの管理IDは、デバイス識別情報に対応する。
【0058】
認証状態管理部73は、認証を各認証端末4に要求する。認証を要求する場合、認証端末4に対して、認証端末4に対応する認証デバイスの管理IDを送信しても良い。又、認証ルールに指定されていない認証端末4、利用者属性に対しては、認証の要求は送信されない。例えば、アイデンティティ情報に所有者と家族が登録されていれば、所有者について、パスワード認証、Fob鍵認証、スマホ鍵認証を要求する。又、家族について、パスワード認証、スマホ鍵認証を要求する。家族がFob鍵を所持していない、つまり、アイデンティティ情報に家族のFob鍵は登録されていないので、家族について、Fob鍵認証は要求されない。認証を要求された各認証端末4は、それぞれの方法に従い認証を実施する。
【0059】
それぞれの認証端末4は、認証結果を順次、認証状態管理部73に送信する。認証が成功した場合は、例えば、認証成功した管理IDと認証エリアの情報が送信される。認証が不成立の場合は、例えば、認証エリアの情報のみが送信される。又は、認証が不成立の場合は、認証不成立との情報が送信される。
【0060】
それぞれの認証端末4から認証結果を受信した認証状態管理部73は、認証結果と認証ルールに基づいて、認証ルールに指定された認証レベルを満たしたか否かを判定する。例えば、認証レベルがレベル1の場合は、パスワード認証、Fob鍵認証、スマホ鍵認証が設定されている。よって、3つの認証手段のうちの1つについて、認証成立との認証結果を受信した時点で認証レベルを満たしたと判定する。
【0061】
認証状態管理部73は、認証ルールに指定された認証レベルを満たしていると判定すると、認証状態を生成する。認証状態は、利用者ID、利用者属性、認証レベルの情報を含む。加えて、認証状態は、認証エリアの情報を含んでも良い。生成された認証状態は、機能制御アプリXに通知される。例えば、機能制御アプリXに通知される認証状態は、利用者ID、利用者属性=所有者、認証エリア=運転席ドア、認証レベル=レベル1、となる。認証状態を受信した機能制御アプリXは、受信した利用者認証状態と認可ポリシーに基づいて、機能X1を実行しても良いか否かを判定する。
【0062】
機能X1を実行可能と判定すると、機能制御アプリXは機能X1を実行する。 機能X1を実行不可と判定すると、機能制御アプリXは機能X1を実行しない。尚、機能制御アプリXは、機能X1を実行する場合、或いは、機能X1を実行しない場合、その旨を、例えば、機能X1の実行を指示した利用者に通知しても良い。
【0063】
(ケース2)
利用者が複数いて、認証要素が同じ場合、利用者が機能制御アプリXの機能X1を実行する際の認証過程について説明する。ケース1と相違するステップを主に説明する。
利用者が複数いて、認証要素が同じ場合、利用者が機能制御アプリXの機能X1を実行する際の認証過程について説明する。ケース1と相違するステップを主に説明する。
【0064】
機能制御アプリXから認証状態の更新の要求を受けた認証状態管理部73は、アイデンティティ情報を参照し、複数の利用者が登録されている場合は、各認証手段に対して、アイデンティティ情報に記録された複数の個別認証の管理IDを送信する。それぞれの認証端末4に個別認証の管理IDを送信する際、利用者属性に優先度設けておき、例えば、所有者に対応する管理IDを先に認証端末4に送信しても良い。或いは、登録されている個別認証の管理IDをいっせいに送信しても良い。所有者に対応する管理IDを先に認証端末4に送信する場合は、以降の認証処理はケース1と同様になる。もし、最初の利用者の認証では認証レベルが充足されなかった場合は、次の利用者(例えば、家族)について認証を実施する。登録されている個別認証の管理IDをいっせいに送信する場合は、それぞれの認証手段は最初に認証成功した管理IDを認証結果として送信する。或いは、認証手段は個々の管理IDに対する認証結果を順次、認証状態管理部73に通知しても良い。
【0065】
例えば、認証レベル1で利用者属性として所有者と家族が設定される場合、パスワード認証、Fob鍵認証、スマホ鍵認証が実施され、そのうち最も早く認証レベルに達した認証手段について、利用者、利用者属性、認証レベルを含む認証状態が生成される。
【0066】
(ケース3)
利用者が複数いて、認証要素が異なる場合、利用者が機能制御アプリに含まれる機能を実行する際の認証過程について説明する。ケース1及びケース2と相違するステップを主に説明する。
利用者が複数いて、認証要素が異なる場合、利用者が機能制御アプリに含まれる機能を実行する際の認証過程について説明する。ケース1及びケース2と相違するステップを主に説明する。
【0067】
機能制御アプリXから認証状態の更新の要求を受けた認証状態管理部73は、アイデンティティ情報を参照し、複数の利用者が登録されている場合は、各認証手段に対して、アイデンティティ情報に記録された複数の個別認証の管理IDを送信する。それぞれの認証端末4に個別認証の管理IDを送信する際、登録されている個別認証の管理IDをいっせいに送信したとする。この場合、それぞれの認証手段は最初に認証成功した管理IDを認証結果として送信する。認証状態管理部73は、指定された認証レベルが満たされた時点で認証状態を生成する点は上記ケースと同様である。
【0068】
例えば、認証レベル1で属性情報として所有者と家族が設定される場合、認証状態管理は、アイデンティティ情報に登録されている所有者と家族の個別認証の管理IDを対応する認証端末4に送信し認証を要求する。第1の認証端末4(例えば、Fob鍵認証)では、所有者の保持するFob鍵が認証され、第2の認証端末4(例えば、スマホ鍵認証)では家族のスマートフォンが認証されたとする。この場合は、Fob鍵の認証端末4から、所有者について認証成立の認証結果が送信され、スマホ鍵の認証端末4からは家族について認証成立の認証結果が通知される。認証レベル1では、Fob鍵の認証端末4から認証結果を受信した時点で、認証レベルに到達するので、利用者ID、利用者属性=所有者、認証エリア=運転席ドア、認証レベル=レベル1を含む認証状態が生成され、機能制御アプリXに通知される。尚、スマホ鍵の認証端末4から認証成立の認証結果が通知された時点で、利用者ID、利用者属性=家族、認証エリア=運転席ドア、認証レベル=レベル1を含む認証状態が生成され、機能制御アプリXに通知されても良い。
【0069】
(ケース4)
利用者が一人で、認証レベルが高い場合、利用者が機能制御アプリに含まれる機能を実行する際の認証過程について説明する。ケース1と相違するステップを主に説明する。
認証ルールは、第1認証要素と第2認証要素の両方で認証される必要があることを規定する。
認証を要求された個別の認証端末4は、各々認証を実施し、認証結果を認証状態管理部73に通知する。
認証状態管理部73は、受信した認証結果が認証レベルを満たすと認証状態を生成する。
利用者が一人で、認証レベルが高い場合、利用者が機能制御アプリに含まれる機能を実行する際の認証過程について説明する。ケース1と相違するステップを主に説明する。
認証ルールは、第1認証要素と第2認証要素の両方で認証される必要があることを規定する。
認証を要求された個別の認証端末4は、各々認証を実施し、認証結果を認証状態管理部73に通知する。
認証状態管理部73は、受信した認証結果が認証レベルを満たすと認証状態を生成する。
【0070】
例えば、認証レベル3で利用者属性として所有者と家族が設定される場合、認証レベル3では、第1認証要素としてスマホ鍵認証が、第2認証要素として、パスワード或いは顔認証が指定されている。よって、アイデンティティ情報にFob鍵の管理IDが登録されていても認証に使用されない。認証状態管理部73は、例えば、顔認証の認証結果とスマホ鍵認証の認証結果を受信すると、認証レベルに達したと判定し、認証状態を通知する。
【0071】
(まとめ)
本開示は、例えば、以下のように纏めることができる。
認証管理方法、認証レベルと認証要素を定めた認証ルールを記憶することと、車両の利用者を識別するアイデンティティ情報を記憶することと、車両機能を制御する車両用アプリケーションから認証状態更新の要求を受信することと、利用者又は利用者の所持する認証デバイスを認証する認証端末に利用者又は認証デバイスの認証を要求することと、認証端末による認証結果、認証ルール、アイデンティティ情報に基づき、認証状態を生成することと、生成した認証状態を車両用アプリケーションに通知すること、を備える。記憶される認証ルールは、セキュリティレベルに応じて複数の認証レベルを定め、少なくとも1つの認証レベルでの認証要素は、物理セキュリティを伴うハードウェア暗号モジュールによる所持認証を含む。
本開示は、例えば、以下のように纏めることができる。
認証管理方法、認証レベルと認証要素を定めた認証ルールを記憶することと、車両の利用者を識別するアイデンティティ情報を記憶することと、車両機能を制御する車両用アプリケーションから認証状態更新の要求を受信することと、利用者又は利用者の所持する認証デバイスを認証する認証端末に利用者又は認証デバイスの認証を要求することと、認証端末による認証結果、認証ルール、アイデンティティ情報に基づき、認証状態を生成することと、生成した認証状態を車両用アプリケーションに通知すること、を備える。記憶される認証ルールは、セキュリティレベルに応じて複数の認証レベルを定め、少なくとも1つの認証レベルでの認証要素は、物理セキュリティを伴うハードウェア暗号モジュールによる所持認証を含む。
【0072】
認証管理プログラムは、車両に搭載された電子制御装置に、認証レベルと認証要素を定めた認証ルールを記憶することと、車両の利用者を識別するアイデンティティ情報を記憶することと、車両機能を制御する車両用アプリケーションから認証状態更新の要求を受信することと、利用者又は利用者の所持する認証デバイスを認証する認証端末に利用者又は認証デバイスの認証を要求することと、認証端末による認証結果、認証ルール、アイデンティティ情報に基づき、認証状態を生成することと、生成した認証状態を車両用アプリケーションに通知すること、を実行させる。記憶される認証ルールは、セキュリティレベルに応じて複数の認証レベルを定め、少なくとも1つの認証レベルでの認証要素は、物理セキュリティを伴うハードウェア暗号モジュールによる所持認証を含む。
更には、コンピュータ読み取り可能な非遷移的記憶媒体が、認証管理プログラムを記憶しても良い。
更には、コンピュータ読み取り可能な非遷移的記憶媒体が、認証管理プログラムを記憶しても良い。
【0073】
車両に搭載された利用者認証管理装置は、認証レベルと認証要素を定めた認証ルールを記憶する第1記憶部と、車両の利用者を識別するアイデンティティ情報を記憶する第2記憶部と、車両機能を制御する車両用アプリケーションから認証状態更新の要求を受信し、利用者又は利用者の所持する認証デバイスを認証する認証端末に利用者又は認証デバイスの認証を要求し、認証端末による認証結果、認証ルール、アイデンティティ情報に基づき、認証状態を生成し、生成した認証状態を車両用アプリケーションに通知する、認証制御部を備える。記憶される認証ルールは、セキュリティレベルに応じて複数の認証レベルを定め、少なくとも1つの認証レベルでの認証要素は、物理セキュリティを伴うハードウェア暗号モジュールによる所持認証を含む。
【0074】
更に、利用者認証管理装置の記憶する認証ルールは、認証レベルごとに単一又は複数の認証要素を定めても良い。セキュリティレベルが最上位の認証レベルは複数の認証要素であり、且つ、物理セキュリティを伴うハードウェア暗号モジュールによる所持認証を含んでも良い。セキュリティレベルが最下位の認証レベルは単一の認証要素でも良い。
【0075】
更に、利用者認証管理装置の記憶する認証レベルは、3段階に設定されてもよ。セキュリティレベルが最下位の認証レベルは、記憶認証とされても良い。セキュリティレベルが中位の認証レベルは、(a)所持認証と記憶認証、又は、(b)所持認証と生体認証、のどちらかとされても良い。セキュリティレベルが最上位の認証レベルは、(a)物理セキュリティを伴うハードウェア暗号モジュールによる所持認証と記憶認証、又は、(b)物理セキュリティを伴うハードウェア暗号モジュールによる所持認証と生体認証、のどちらかとされても良い。
【0076】
更に、利用者認証管理装置において、記憶認証は、パスワード認証であり、所持認証は、Fob鍵認証又は携帯通信端末による鍵認証であり、生体認証は、顔認証であり、物理セキュリティを伴うハードウェア暗号モジュールによる所持認証は、携帯通信端末による鍵認証でも良い。
更に、第1記憶部に記憶される認証ルールは、サーバからの通知により設定され、第1記憶部は、認証制御部に認証ルールを通知しても良い。
更に、第1記憶部に記憶される認証ルールは、サーバからの通知により設定され、第1記憶部は、認証制御部に認証ルールを通知しても良い。
【0077】
更に、アイデンティティ情報は、利用者に固有の利用者識別情報、利用者の属性を示す属性情報、認証デバイスの認証情報と紐づいた識別情報であるデバイス識別情報を含み、第2記憶部に記憶されるアイデンティティ情報は、サーバ又は認証端末からの通知により変更されても良い。
【0078】
更に、認証制御部は、車両用アプリケーションから認証状態更新の要求を受信すると、アイデンティティ情報を参照し、デバイス識別情報に対応する認証端末へ認証を要求し、認証端末より受信した認証結果が認証ルールを満たす場合、認証状態を生成しても良い。
【0079】
更に、認証制御部は、車両用アプリケーションからの認証状態更新の要求に基づき、アイデンティティ情報を参照し、デバイス識別情報に対応する認証端末へ認証を要求し、複数の利用者について、認証端末へ認証を要求する場合、最初に認証ルールを満たした利用者に対する認証状態を生成しても良い。
【0080】
更に、認証制御部は、車両用アプリケーションからの認証状態更新の要求に基づき、アイデンティティ情報を参照し、デバイス識別情報に対応する認証端末へ認証を要求し、複数の利用者について、認証端末へ認証を要求する場合、当該認証の結果、第1認証要素にて第1利用者が認証成功した場合、第1利用者の認証状態を生成し、第1認証要素とは異なる第2認証要素にて第2利用者が認証成功した場合、第2利用者の認証状態を更に生成しても良い。
【0081】
本開示の構成によれば、車両の利用者又は利用者の保持する認証デバイスを認証する認証過程と車両機能を制御する車両用アプリケーションによる認証状態の更新過程の間に認証管理装置を加えた認証状態管理システムにおいて、物理セキュリティを伴うハードウェア暗号モジュールによる所持認証を認証要素とすることで、認証管理装置による認証状態の一元管理とセキュリティ確保を実現できる。
【0082】
認証過程と車両用アプリケーションを概念的に分離することで、車両における認証手段を新たに開発又は変更しても、車両用アプリケーションは変更不要となる。又、車両用アプリケーションを新たに開発又は変更しても、車両における認証手段は変更不要となる。認証過程と車両用アプリケーションの双方を変更することが不要となるので、開発コストは低減される。車両の利用者にとっては、新たな認証方法又は車両用アプリケーションが選択、使用できることから利便性が向上する。加えて、認証レベルによっては、物理セキュリティを伴うハードウェア暗号モジュールを採用することからセキュリティを確保し、第3者が不正に車両用アプリケーションの機能を実行することを効果的に防ぐことができる。
【0083】
本開示に記載の制御部及びその手法は、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリを構成することによって提供された専用コンピュータにより、実現されても良い。或いは、本開示に記載の制御部及びその手法は、一つ以上の専用ハードウェア論理回路によってプロセッサを構成することによって提供された専用コンピュータにより、実現されても良い。もしくは、本開示に記載の制御部及びその手法は、一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリと一つ以上のハードウェア論理回路によって構成されたプロセッサとの組み合わせにより構成された一つ以上の専用コンピュータにより、実現されても良い。又、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されていても良い。
【符号の説明】
【0084】
図面中、7は利用者認証管理装置、71は利用者記憶部(第2記憶部)、72は認証ルール記憶部(第1記憶部)、73は認証状態管理部(認証制御部)である。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
