知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-04-01
(45)【発行日】2024-04-09
(54)【発明の名称】認証管理装置および認証管理方法
(51)【国際特許分類】
G06F 21/31 20130101AFI20240402BHJP
【FI】
G06F21/31
【請求項の数】
6
(21)【出願番号】P 2020165361
(22)【出願日】2020-09-30
(65)【公開番号】P2022057222
(43)【公開日】2022-04-11
【審査請求日】2023-02-15
(73)【特許権者】
【識別番号】000004260
【氏名又は名称】株式会社デンソー
(74)【代理人】
【識別番号】110000567
【氏名又は名称】弁理士法人サトー
(72)【発明者】
【氏名】野村 肇
(72)【発明者】
【氏名】田中 雄介
(72)【発明者】
【氏名】伊東 由佳
(72)【発明者】
【氏名】牧田 貴成
【審査官】宮司 卓佳
(56)【参考文献】
【文献】特開2020-083181(JP,A)
【文献】特開2017-001615(JP,A)
【文献】特開2008-191857(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/31
(57)【特許請求の範囲】
【請求項1】
車両(2)のユーザ(3)から前記車両に関する所定の操作を要求する操作要求が与えられると、前記ユーザの認証に関する認証情報および前記操作の認可に関する認可情報に基づいて前記ユーザの認証状態および前記操作の認可状態を確認し、前記ユーザが認証済みであり且つ前記操作が認可済みであることが確認されると前記所定の操作を実現する機能部に対して前記操作要求を伝達する認証部(4)と、前記認証部による前記ユーザの認証状態および前記ユーザによる前記操作の認可状態を管理する管理部(5)と、
前記操作要求の正当性を検証する検証部(6)と、
を備え、
前記検証部は、前記操作要求が不当であることを検出すると前記管理部に対して不当要求受信を通知し、
前記機能部は、前記検証部によって前記操作要求が不当であることが検出されると前記不当要求受信時の処置であるフェールセーフ処理を実施し、
前記管理部は、前記不当要求受信が通知されると、前記検証部により不当であることが検出された前記操作要求を与えた前記ユーザである不当要求元ユーザの前記認証状態を認証がなされていない状態である未認証状態とするように前記認証情報を変更し、その状態を前記不当要求元ユーザから再度認証が要求されるまで継続し、
前記管理部は、同一の前記不当要求元ユーザの前記認証状態を前記未認証状態とするように前記認証情報を変更した回数が所定回数に達すると、前記不当要求元ユーザの前記認証状態を認証に関する異常が生じている状態である異常状態とするように前記認証情報を変更し、その状態を通常の認証の要求に関する処置とは異なる異常解除のための処置が実施されるまで継続する認証管理装置。
【請求項2】
車両(2)のユーザ(3)から前記車両に関する所定の操作を要求する操作要求が与えられると、前記ユーザの認証に関する認証情報および前記操作の認可に関する認可情報に基づいて前記ユーザの認証状態および前記操作の認可状態を確認し、前記ユーザが認証済みであり且つ前記操作が認可済みであることが確認されると前記所定の操作を実現する機能部に対して前記操作要求を伝達する認証部(4)と、前記認証部による前記ユーザの認証状態および前記ユーザによる前記操作の認可状態を管理する管理部(5)と、
前記操作要求の正当性を検証する検証部(6)と、
を備え、
前記検証部は、前記操作要求が不当であることを検出すると前記管理部に対して不当要求受信を通知し、
前記機能部は、前記検証部によって前記操作要求が不当であることが検出されると前記不当要求受信時の処置であるフェールセーフ処理を実施し、
前記管理部は、前記不当要求受信が通知されると、前記検証部により不当であることが検出された前記操作要求を与えた前記ユーザである不当要求元ユーザによる少なくとも1つの前記操作についてその実行を認めない不認可状態とするように前記認可情報を変更する認証管理装置。
【請求項3】
前記管理部は、同一の前記不当要求元ユーザに対応する前記不当要求受信が通知されるたびに、前記不認可状態とする前記操作が漸増するように前記認可情報を変更する請求項2に記載の認証管理装置。
【請求項4】
前記認証部は、前記管理部により前記認証情報および前記認可情報のうち少なくとも一方が変更された後に前記不当要求元ユーザから前記操作要求が与えられると、変更後の前記認証情報および前記認可情報に基づいて全ての前記機能部に対して前記操作要求を伝達するか否かを判断する請求項1から3のいずれか一項に記載の認証管理装置。
【請求項5】
車両のユーザから前記車両に関する所定の操作を要求する操作要求が与えられると、前記ユーザの認証に関する認証情報および前記操作の認可に関する認可情報に基づいて前記ユーザの認証状態および前記操作の認可状態を確認し、前記ユーザが認証済みであり且つ前記操作が認可済みであることが確認されると前記所定の操作を実現する機能部に対して前記操作要求を伝達する認証手順と、前記認証手順による前記ユーザの認証状態および前記ユーザによる前記操作の認可状態を管理する管理手順と、
前記操作要求の正当性を検証する検証手順と、
を含み、
前記検証手順では、前記操作要求が不当であることが検出されると不当要求受信を通知し、
前記機能部は、前記検証手順によって前記操作要求が不当であることが検出されると前記不当要求受信時の処置であるフェールセーフ処理を実施し、
前記管理手順では、前記不当要求受信が通知されると、前記検証手順により不当であることが検出された前記操作要求を与えた前記ユーザである不当要求元ユーザの前記認証状態を認証がなされていない状態である未認証状態とするように前記認証情報を変更し、その状態を前記不当要求元ユーザから再度認証が要求されるまで継続し、
前記管理手順では、同一の前記不当要求元ユーザの前記認証状態を前記未認証状態とするように前記認証情報を変更した回数が所定回数に達すると、前記不当要求元ユーザの前記認証状態を認証に関する異常が生じている状態である異常状態とするように前記認証情報を変更し、その状態を通常の認証の要求に関する処置とは異なる異常解除のための処置が実施されるまで継続する認証管理方法。
【請求項6】
車両のユーザから前記車両に関する所定の操作を要求する操作要求が与えられると、前記ユーザの認証に関する認証情報および前記操作の認可に関する認可情報に基づいて前記ユーザの認証状態および前記操作の認可状態を確認し、前記ユーザが認証済みであり且つ前記操作が認可済みであることが確認されると前記所定の操作を実現する機能部に対して前記操作要求を伝達する認証手順と、前記認証手順による前記ユーザの認証状態および前記ユーザによる前記操作の認可状態を管理する管理手順と、
前記操作要求の正当性を検証する検証手順と、
を含み、
前記検証手順では、前記操作要求が不当であることが検出されると不当要求受信を通知し、
前記機能部は、前記検証手順によって前記操作要求が不当であることが検出されると前記不当要求受信時の処置であるフェールセーフ処理を実施し、
前記管理手順では、前記不当要求受信が通知されると、前記検証手順により不当であることが検出された前記操作要求を与えた前記ユーザである不当要求元ユーザによる少なくとも1つの前記操作についてその実行を認めない不認可状態とするように前記認可情報を変更する認証管理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、車両のユーザの認証状態を管理する認証管理装置および認証管理方法に関する。
【背景技術】
【0002】
車両には、各種の機器が搭載されており、それぞれの機器がネットワークで接続されている。このような車両のユーザについては、1つの認証方法または複数の異なる認証方法に基づいて認証が行われ、認証されると各種の機器の操作を行うことが可能となる。また、特許文献1、2および3に開示されているように、複数のユーザに対して各種の機器の操作権限を与えつつ、ユーザの認証段階でユーザを識別することによって操作権限を抑制するといった技術が提案されている。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2017-001615号公報
【文献】特開2019-034638号公報
【文献】特開2006-077431号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
このような車両において、特に開いたネットワークに接続された機器については、外部からの様々な攻撃に対して、機器の動作および機器内の情報を保護するための対策が必要となる。外部からの攻撃としては、例えば認証済みの正規のユーザに成りすました悪意のある第三者がネットワークに侵入して機器を操作するといったタイプの攻撃が挙げられる。認証方法が物理的な鍵またはFOBキーだけである場合、対象の鍵をロックする対処になるが、生体認証、スマホ認証などが用いられることによりユーザの認証方法が多様化した場合には、認証方法自体をロックするだけでは対策が不十分になるおそれがある。
【0005】
本発明は上記事情に鑑みてなされたものであり、その目的は、正規のユーザに成りすました悪意のある第三者による攻撃への対応を行うことができる認証管理装置および認証管理方法を提供することにある。
【課題を解決するための手段】
【0006】
請求項1に記載の認証管理装置は、認証部(4)と、管理部(5)と、検証部(6)と、を備える。認証部は、車両(2)のユーザ(3)から前記車両に関する所定の操作を要求する操作要求が与えられると、前記ユーザの認証に関する認証情報および前記操作の認可に関する認可情報に基づいて前記ユーザの認証状態および前記操作の認可状態を確認し、前記ユーザが認証済みであり且つ前記操作が認可済みであることが確認されると前記所定の操作を実現する機能部に対して前記操作要求を伝達する。管理部は、前記認証部による前記ユーザの認証状態および前記ユーザによる前記操作の認可状態を管理する。検証部は、前記操作要求の正当性を検証する。前記検証部は、前記操作要求が不当であることを検出すると前記管理部に対して不当要求受信を通知する。前記機能部は、前記検証部によって前記操作要求が不当であることが検出されると前記不当要求受信時の処置であるフェールセーフ処理を実施する。前記管理部は、前記不当要求受信が通知されると、前記検証部により不当であることが検出された前記操作要求を与えた前記ユーザである不当要求元ユーザの前記認証状態を認証がなされていない状態である未認証状態とするように前記認証情報を変更し、その状態を前記不当要求元ユーザから再度認証が要求されるまで継続する。前記管理部は、同一の前記不当要求元ユーザの前記認証状態を前記未認証状態とするように前記認証情報を変更した回数が所定回数に達すると、前記不当要求元ユーザの前記認証状態を認証に関する異常が生じている状態である異常状態とするように前記認証情報を変更し、その状態を通常の認証の要求に関する処置とは異なる異常解除のための処置が実施されるまで継続する。
【0007】
このような構成によれば、悪意のある第三者が正規のユーザに成りすまして所定の操作を要求をしたとしても、検証部によって、その悪意のある第三者から与えられた操作要求が不当であることを検出できるようになる。操作要求が不当であることが検出されると、検証部から管理部に対して不当要求受信が通知されることにより、管理部は、悪意のある第三者である不当要求元ユーザに対応する認証情報および認可情報のうち少なくとも一方を変更する。このようにすれば、悪意のある第三者について、所定の操作を制限したり、所定の操作を禁止したり、といった対応を迅速に行うことが可能となる。したがって、上記構成によれば、正規のユーザに成りすました悪意のある第三者による攻撃への対応を行うことができるという優れた効果が得られる。
【図面の簡単な説明】
【0008】
【図1】一実施形態に係る認証管理装置の構成を模式的に示す図
【図2】一実施形態に係る機能部により実行される処理の具体的な内容の一例を示す図
【図3】一実施形態に係る第1変更手法が採用された場合の管理部により実行される処理の具体的な内容の一例を示す図
【図4】一実施形態に係る第2変更手法が採用された場合の管理部により実行される処理の具体的な内容の一例を示す図
【図5】一実施形態に係る第3変更手法が採用された場合の管理部により実行される処理の具体的な内容の一例を示す図
【図6】一実施形態に係る第4変更手法が採用された場合の管理部により実行される処理の具体的な内容の一例を示す図
【図7】一実施形態に係る認証管理方法を説明するための図であり、第1具体的事例における各部の処理の流れを示す図
【図8】一実施形態に係る認証管理方法を説明するための図であり、第2具体的事例における各部の処理の流れを示す図
【図9】一実施形態に係る認証管理方法を説明するための図であり、第3具体的事例における各部の処理の流れを示す図
【発明を実施するための形態】
【0009】
以下、認証管理装置および認証管理方法の実施形態について図面を参照して説明する。
図1に示すように、認証管理装置1は、自動車などの車両2に設けられるものであり、後述する各種の手順を含む認証管理方法によって車両2のユーザ3の認証状態などを管理する。認証管理装置1は、認証部4、管理部5、検証部6などを備えている。認証部4は、車両2のユーザ3から車両2に関する所定の操作を要求する操作要求が与えられると、ユーザ3の認証に関する認証情報および操作の認可に関する認可情報に基づいてユーザ3の認証状態および操作の認可状態を確認する。
図1に示すように、認証管理装置1は、自動車などの車両2に設けられるものであり、後述する各種の手順を含む認証管理方法によって車両2のユーザ3の認証状態などを管理する。認証管理装置1は、認証部4、管理部5、検証部6などを備えている。認証部4は、車両2のユーザ3から車両2に関する所定の操作を要求する操作要求が与えられると、ユーザ3の認証に関する認証情報および操作の認可に関する認可情報に基づいてユーザ3の認証状態および操作の認可状態を確認する。
【0010】
認証部4は、物理的な鍵またはFOBキーだけではなく、生体認証、スマホ認証などの複数の異なる認証方法のうち少なくともいずれか1つに基づいて認証を行うようになっている。認証部4は、NFCなどの読み取り装置および読み取り結果を照合してユーザ3を認証する装置などから構成されている。車両2に関する所定の操作としては、例えば、ドアロックの施錠、開錠、ドアの開閉、エンジンの始動、停止、エアコンの操作、ナビゲーション装置の操作、オーディオ機器の操作、自動運転に関する各種の操作などが挙げられる。
【0011】
この場合、ユーザ3としては、車両2の所有者に加え、所有者の家族なども想定されており、それぞれのユーザ毎に、各種の操作に対する操作権限、つまり操作の許可または禁止が設定されている。操作の認可情報には、ユーザ毎の操作権限を表す情報が含まれている。認証部4は、ユーザ3が認証済みであり且つそのユーザ3が要求する操作が認可済みであることが確認されると、車両2に設けられた複数の機能部7、8、9および10のうち該当する操作を実現する機能部に対してユーザ3から与えられた操作要求を伝達する。認証部4により実行される各処理は、認証手順に相当する。
【0012】
図1には、4つの機能部7~10が示されているが、機能部の数は3つ以下でもよいし、5つ以上でもよい。機能部7~10には、車両2に搭載される電子制御装置などの各種の機器により実行されて所定の操作を実現する操作プログラム、つまりアプリケーションが含まれる。本明細書では、電子制御装置のことをECUと称することがあるとともに、アプリケーションのことをアプリと称することがある。また、機能部7~10には、車両2に搭載されて所定の操作を実現するECUなどの車載装置が含まれる。この場合、認証部4、管理部5および機能部7~10は、車両2に搭載されたネットワークにより接続されており、それぞれの間においてデータの送受信が可能に構成されている。
【0013】
管理部5は、認証部4によるユーザ3の認証状態およびユーザ3による操作の認可状態を管理する。この場合、管理部5は、車両2に搭載されるECUに含まれる。管理部5は、ECUが備えるCPUが非遷移的実体的記憶媒体に格納されているコンピュータプログラムを実行してコンピュータプログラムに対応する処理を実行することにより実現されている、つまりソフトウェアにより実現されている。なお、管理部5のうち少なくとも一部をハードウェアにより実現する構成としてもよい。管理部5により実行される各処理は、管理手順に相当する。
【0014】
機能部7~10は、いずれも認証部4から伝達される操作要求の正当性を検証する検証部6を備えている。検証部6は、機能部7~10がアプリである場合、そのアプリに含まれる形で設けられている。また、検証部6は、機能部7~10が車載装置である場合、その車載装置が備えるCPUが非遷移的実体的記憶媒体に格納されているコンピュータプログラムを実行してコンピュータプログラムに対応する処理を実行することにより実現されている、つまりソフトウェアにより実現されている。なお、検証部6のうち少なくとも一部をハードウェアにより実現する構成としてもよい。検証部6により実行される各処理は、検証手順に相当する。
【0015】
検証部6は、操作要求が不当であることを検出すると管理部5に対して、ユーザ3から与えられた操作要求が不当であったことを表す不当要求受信を通知する。検証部6は、次の3つのうち少なくとも1つの検証手法に基づいて操作要求の正当性を検証する。
[1]第1検証手法
第1検証手法では、検証部6は、現在の車両2の状態と照らし合わせて、要求された操作が実現可能なものである場合には操作要求が正当であると判断するとともに、要求された操作が実現不可能なものである場合に操作要求が不当であると判断する。例えば、検証部6は、運転席に運転者が不在であるにもかかわらず自動運転の解除を要求するような操作要求が与えられた場合、その操作要求が不当であると判断する。
[1]第1検証手法
第1検証手法では、検証部6は、現在の車両2の状態と照らし合わせて、要求された操作が実現可能なものである場合には操作要求が正当であると判断するとともに、要求された操作が実現不可能なものである場合に操作要求が不当であると判断する。例えば、検証部6は、運転席に運転者が不在であるにもかかわらず自動運転の解除を要求するような操作要求が与えられた場合、その操作要求が不当であると判断する。
【0016】
[2]第2検証手法
第2検証手法では、検証部6は、現在の車両2の状態と照らし合わせて、要求された操作が実現すべきものである場合には操作要求が正当であると判断するとともに、要求された操作が実現すべきではないものである場合には操作要求が不当であると判断する。例えば、検証部6は、車両2が走行中であるにもかかわらずドアを開放するような操作要求が与えられた場合、その操作要求が不当であると判断する。
第2検証手法では、検証部6は、現在の車両2の状態と照らし合わせて、要求された操作が実現すべきものである場合には操作要求が正当であると判断するとともに、要求された操作が実現すべきではないものである場合には操作要求が不当であると判断する。例えば、検証部6は、車両2が走行中であるにもかかわらずドアを開放するような操作要求が与えられた場合、その操作要求が不当であると判断する。
【0017】
[3]第3検証手法
第3検証手法では、検証部6は、ユーザ3の通常の操作パターンと照らし合わせて、要求された操作が通常の操作パターンに沿った操作である場合には操作要求が正当であると判断するとともに、要求された操作が通常の操作パターンに沿っていない操作である場合には操作要求が不当であると判断する。例えば、検証部6は、車両2が、ユーザ3が普段行くことがないような場所に向かうような操作が要求された場合、その操作要求が不当であると判断する。また、例えば、検証部6は、ナビゲーション装置などの目的地としてユーザ3が普段行くことがないような場所を設定するような操作要求が与えられた場合、その操作要求が不当であると判断する。
第3検証手法では、検証部6は、ユーザ3の通常の操作パターンと照らし合わせて、要求された操作が通常の操作パターンに沿った操作である場合には操作要求が正当であると判断するとともに、要求された操作が通常の操作パターンに沿っていない操作である場合には操作要求が不当であると判断する。例えば、検証部6は、車両2が、ユーザ3が普段行くことがないような場所に向かうような操作が要求された場合、その操作要求が不当であると判断する。また、例えば、検証部6は、ナビゲーション装置などの目的地としてユーザ3が普段行くことがないような場所を設定するような操作要求が与えられた場合、その操作要求が不当であると判断する。
【0018】
検証部6によって操作要求が不当であることが検出されると、機能部7~10は、不当要求受信時の処置であるフェールセーフ処理を実施する。フェールセーフ処理の具体例としては、「自動運転を停止するとともに車両2を路肩に停止させる」という処理、「所定の制御を停止する要求があった際、その制御を停止させると安全面で問題が生じる場合には、その制御を停止させない」という処理、「所定の制御を実行する要求があった際、その制御を実行させると安全面で問題が生じる場合には、その制御を実行させない」という処理などが挙げられる。
【0019】
検証部6を含む機能部7~10により実行される処理の具体的な内容は、例えば図2に示すようなものとなる。まず、ステップS101では、認証部4から操作要求が伝達されたか否かが判断される。操作要求が伝達されていない場合、ステップS101で「NO」となり、本処理が終了となる。一方、操作要求が伝達された場合、ステップS101で「YES」となり、ステップS102に進む。
【0020】
ステップS102では、伝達された操作要求の正当性が検証部6によって検証される、つまり伝達された操作要求が正当であるか否かが判断される。伝達された操作要求が正当である場合、ステップS102で「YES」となり、ステップS103に進む。ステップS103では、伝達された操作要求に対応した所定の操作が実行される。ステップS103の実行後、本処理が終了となる。一方、伝達された操作要求が不当である場合、ステップS102で「NO」となり、ステップS104に進む。ステップS104では、フェールセーフ処理が実行される。ステップS104の実行後はステップS105に進む。ステップS105では、管理部5に対して不当要求受信が通知される。ステップS105の実行後、本処理が終了となる。
【0021】
管理部5は、検証部6から不当要求受信が通知されると、検証部6により不当であることが検出された操作要求を与えたユーザ3である不当要求元ユーザに対応する認証情報および認可情報のうち少なくとも一方を所定のポリシーに則って変更する。管理部5による認証情報および認可情報の変更については、次の4つの変更手法のうちいずれかを採用することができる。
【0022】
[1]第1変更手法
第1変更手法では、管理部5は、不当要求受信が通知されると、不当要求元ユーザの認証状態を認証がなされていない状態である未認証状態とするように認証情報を変更する。管理部5は、認証状態を未認証状態に変更した状態を、不当要求元ユーザから再度認証が要求されるまで継続する。
第1変更手法では、管理部5は、不当要求受信が通知されると、不当要求元ユーザの認証状態を認証がなされていない状態である未認証状態とするように認証情報を変更する。管理部5は、認証状態を未認証状態に変更した状態を、不当要求元ユーザから再度認証が要求されるまで継続する。
【0023】
[2]第2変更手法
第2変更手法では、管理部5は、不当要求受信が通知されると、不当要求元ユーザの認証状態を認証に関する異常が生じている状態である異常状態とするように認証情報を変更する。管理部5は、認証状態を異常状態に変更した状態を、通常の認証の要求に関する処置とは異なる異常解除のための処置が実施されるまで継続する。
第2変更手法では、管理部5は、不当要求受信が通知されると、不当要求元ユーザの認証状態を認証に関する異常が生じている状態である異常状態とするように認証情報を変更する。管理部5は、認証状態を異常状態に変更した状態を、通常の認証の要求に関する処置とは異なる異常解除のための処置が実施されるまで継続する。
【0024】
[3]第3変更手法
第3変更手法では、管理部5は、不当要求受信が通知されると、不当要求元ユーザによる少なくとも1つの操作について、その実行を認めない不認可状態とするように認可情報を変更する。この場合、管理部5は、同一の不当要求元ユーザに対応する不当要求受信が通知されるたびに、不認可状態とする操作が漸増するように認可情報を変更することができる。この場合、管理部5は、安全への影響が大きい操作から順番に不認可状態とするように、認可情報を変更するとよい。
第3変更手法では、管理部5は、不当要求受信が通知されると、不当要求元ユーザによる少なくとも1つの操作について、その実行を認めない不認可状態とするように認可情報を変更する。この場合、管理部5は、同一の不当要求元ユーザに対応する不当要求受信が通知されるたびに、不認可状態とする操作が漸増するように認可情報を変更することができる。この場合、管理部5は、安全への影響が大きい操作から順番に不認可状態とするように、認可情報を変更するとよい。
【0025】
[4]第4変更手法
第4変更手法では、第1変更手法と同様、管理部5は、不当要求受信が通知されると、不当要求元ユーザの認証状態を認証がなされていない状態である未認証状態とするように認証情報を変更し、その状態を不当要求元ユーザから再度認証が要求されるまで継続する。管理部5は、同一の不当要求元ユーザの認証状態を未認証状態とするように認証情報を変更した回数が所定回数に達すると、不当要求元ユーザの認証状態を異常状態とするように認証情報を変更し、その状態を異常解除のための処置が実施されるまで継続する。
第4変更手法では、第1変更手法と同様、管理部5は、不当要求受信が通知されると、不当要求元ユーザの認証状態を認証がなされていない状態である未認証状態とするように認証情報を変更し、その状態を不当要求元ユーザから再度認証が要求されるまで継続する。管理部5は、同一の不当要求元ユーザの認証状態を未認証状態とするように認証情報を変更した回数が所定回数に達すると、不当要求元ユーザの認証状態を異常状態とするように認証情報を変更し、その状態を異常解除のための処置が実施されるまで継続する。
【0026】
管理部5により実行される処理の具体的な内容は、例えば図3~図6に示すようなものとなる。図3は、第1変更手法が採用された場合の処理内容を表している。図3に示す処理において、ステップS201では、機能部7~10から不当要求受信が通知されたか否かが判断される。不当要求受信が通知されていない場合、ステップS201で「NO」となり、本処理が終了となる。一方、不当要求受信が通知された場合、ステップS201で「YES」となり、ステップS202に進む。ステップS202では、不当要求元ユーザの認証状態を未認証状態とするように認証情報が更新される。ステップS202の実行後、本処理が終了となる。
【0027】
図4は、第2変更手法が採用された場合の処理内容を表している。図4に示す処理は、図3に示した処理に対し、ステップS202に代えてステップS203が設けられている点が異なる。ステップS203では、不当要求元ユーザの認証状態を異常状態とするように認証情報が更新される。図5は、第3変更手法が採用された場合の処理内容を表している。図5に示す処理は、図3に示した処理に対し、ステップS202に代えてステップS204が設けられている点が異なる。ステップS204では、不当要求元ユーザによる少なくとも1つの操作について不認可状態とするように認可情報が更新される。
【0028】
図6は、第4変更手法が採用された場合の処理内容を表している。図6に示す処理は、図3に示した処理に対しステップS205およびS206が追加されている点が異なる。この場合、ステップS201で「YES」になるとステップS205に進む。ステップS205では、同一の不当要求元ユーザの認証状態を未認証状態とするように認証情報を変更した回数である変更回数Nが所定の閾値回数Thに達したか否かが判断される。変更回数Nが閾値回数Thに達していない場合、ステップS205で「NO」となり、本処理が終了となる。
【0029】
一方、変更回数Nが閾値回数Thに達した場合、ステップS205で「YES」となり、ステップS206に進む。ステップS206では、不当要求元ユーザの認証状態を異常状態とするように認証情報が更新される。ステップS206の実行後、本処理が終了となる。認証部4は、上述したように管理部5により認証情報および認可情報のうち少なくとも一方が変更された後に不当要求元ユーザから操作要求が与えられると、変更後の認証情報および認可情報に基づいて機能部7~10に対して操作要求を伝達するか否かを判断する。
【0030】
次に、上記構成の作用について図7~図9を参照して説明する。
本実施形態の認証管理装置1により実現される認証管理方法について、3つの具体的事例に沿って説明する。
[1]第1具体的事例
第1具体的事例は、車両2の所有者である正規のユーザ3が認可された操作を要求した場合の事例であり、この場合の各部の処理の流れは、例えば図7に示すようなものとなる。なお、この場合、正規のユーザ3のことをユーザ3Aと称することとする。まず、ステップS301では、ユーザ3Aから認証部4に対して車両2に関する所定の操作を要求する操作要求が与えられる。ステップS302では、認証部4から管理部5に対してユーザ3Aに関する認証情報および認可情報の問い合わせが行われる。
本実施形態の認証管理装置1により実現される認証管理方法について、3つの具体的事例に沿って説明する。
[1]第1具体的事例
第1具体的事例は、車両2の所有者である正規のユーザ3が認可された操作を要求した場合の事例であり、この場合の各部の処理の流れは、例えば図7に示すようなものとなる。なお、この場合、正規のユーザ3のことをユーザ3Aと称することとする。まず、ステップS301では、ユーザ3Aから認証部4に対して車両2に関する所定の操作を要求する操作要求が与えられる。ステップS302では、認証部4から管理部5に対してユーザ3Aに関する認証情報および認可情報の問い合わせが行われる。
【0031】
ステップS303では、管理部5から認証部4に対してユーザ3Aに関する認証情報および認可情報が与えられる。ステップS304では、認証部4によりユーザ3Aの認証状態およびユーザ3Aが要求した操作の認可状態が確認される。この場合、ユーザ3Aが正規のユーザであるため、ステップS304では、ユーザ3Aが認証済みであり且つユーザ3Aが要求した操作が認可済みであることが確認される。
【0032】
そのため、ステップS305では、認証部4からユーザ3Aが要求した操作を実現する機能部7~10に対してユーザ3Aから与えられた操作要求が伝達される。ステップS306では、機能部7~10の検証部6により伝達された操作要求の正当性が検証される。この場合、正規のユーザであるユーザ3Aが認可された操作を要求したものであるため、検証部6により操作要求が正当であることが検出される。そのため、ステップS307では、機能部7~10により伝達された操作要求に対応した所定の操作が実行される。
【0033】
[2]第2具体的事例
第2具体的事例は、正規のユーザに成りすました悪意のある第三者であるユーザ3が操作を要求した場合の事例であり、この場合の各部の処理の流れは、例えば図8に示すようなものとなる。なお、この場合、悪意のある第三者であるユーザ3のことをユーザ3Bと称することとする。まず、ステップS401では、ユーザ3Bから認証部4に対して車両2に関する所定の操作を要求する操作要求が与えられる。
第2具体的事例は、正規のユーザに成りすました悪意のある第三者であるユーザ3が操作を要求した場合の事例であり、この場合の各部の処理の流れは、例えば図8に示すようなものとなる。なお、この場合、悪意のある第三者であるユーザ3のことをユーザ3Bと称することとする。まず、ステップS401では、ユーザ3Bから認証部4に対して車両2に関する所定の操作を要求する操作要求が与えられる。
【0034】
ステップS402では、認証部4から管理部5に対してユーザ3Bに関する認証情報および認可情報の問い合わせが行われる。ステップS403では、管理部5から認証部4に対してユーザ3Bに関する認証情報および認可情報が与えられる。ステップS404では、認証部4によりユーザ3Bの認証状態およびユーザ3Bが要求した操作の認可状態が確認される。
【0035】
この場合、ユーザ3Bは、悪意のある第三者であるものの、正規のユーザに成りすましているため、ステップS404では、ユーザ3Bが認証済みであり且つユーザ3Bが要求した操作が認可済みであることが確認されてしまう。そのため、ステップS405では、認証部4からユーザ3Bが要求した操作を実現する機能部7~10に対してユーザ3Bから与えられた操作要求が伝達される。ステップS406では、機能部7~10の検証部6により伝達された操作要求の正当性が検証される。
【0036】
この場合、正規のユーザではないユーザ3Bが認可された操作を要求したものであるため、検証部6により操作要求が不当であることが検出される。そのため、ステップS407では、機能部7~10から管理部5に対して不当要求受信が通知される。また、このとき、機能部7~10では、フェールセーフ処理が実行される。ステップS408では、管理部5によりユーザ3Bに対応する認証情報および認可情報のうち少なくとも一方が更新される。
【0037】
[3]第3具体的事例
第3具体的事例は、車両の所有者である正規のユーザの例えば子供などの家族であるユーザ3が認可されていない操作を要求した場合の事例であり、この場合の各部の処理の流れは、例えば図9に示すようなものとなる。なお、この場合、正規のユーザの家族であるユーザ3のことをユーザ3Cと称することとする。まず、ステップS501では、ユーザ3Cから認証部4に対して車両2に関する所定の操作を要求する操作要求が与えられる。
第3具体的事例は、車両の所有者である正規のユーザの例えば子供などの家族であるユーザ3が認可されていない操作を要求した場合の事例であり、この場合の各部の処理の流れは、例えば図9に示すようなものとなる。なお、この場合、正規のユーザの家族であるユーザ3のことをユーザ3Cと称することとする。まず、ステップS501では、ユーザ3Cから認証部4に対して車両2に関する所定の操作を要求する操作要求が与えられる。
【0038】
ステップS502では、認証部4から管理部5に対してユーザ3Cに関する認証情報および認可情報の問い合わせが行われる。ステップS503では、管理部5から認証部4に対してユーザ3Cに関する認証情報および認可情報が与えられる。ステップS504では、認証部4によりユーザ3Cの認証状態およびユーザ3Cが要求した操作の認可状態が確認される。
【0039】
この場合、ユーザ3Cは、正規のユーザの家族であるものの、認可されていない操作を要求しているため、ステップS504では、ユーザ3Cが認証済みであることが確認されるとともにユーザ3Bが要求した操作が認可済みでないことが確認される。そのため、ステップS505では、認証部4からユーザ3Cに対して要求した操作が禁止された操作である旨を表すエラーが通知される。なお、このようなエラー通知は、車両2に搭載されたディスプレイ、スピーカーなどを用いて実施することができる。
【0040】
以上説明した本実施形態によれば、悪意のある第三者が正規のユーザ3に成りすまして所定の操作を要求をしたとしても、検証部6によって、その悪意のある第三者から与えられた操作要求が不当であることを検出できるようになる。操作要求が不当であることが検出されると、検証部6から管理部5に対して不当要求受信が通知されることにより、管理部5は、悪意のある第三者である不当要求元ユーザに対応する認証情報および認可情報のうち少なくとも一方を変更する。このようにすれば、悪意のある第三者について、所定の操作を制限したり、所定の操作を禁止したり、といった対応を迅速に行うことが可能となる。したがって、本実施形態によれば、正規のユーザ3に成りすました悪意のある第三者による攻撃への対応を行うことができるという優れた効果が得られる。
【0041】
管理部5は、不当要求受信が通知されると、不当要求元ユーザの認証状態を未認証状態とするように認証情報を変更し、その状態を不当要求元ユーザから再度認証が要求されるまで継続することができる。このようにすれば、認証に関する特別な処理を別途追加することなく、正規のユーザ3に成りすました悪意のある第三者による攻撃への対応が可能となる。また、管理部5は、不当要求受信が通知されると、不当要求元ユーザの認証状態を異常状態とするように認証情報を変更し、その状態を異常解除のための処置が実施されるまで継続することができる。このようにすれば、悪意のある第三者である不当要求元ユーザは、認証情報が一旦異常状態に変更されると通常の認証の要求に関する処置とは異なる特別な処置を行わない限り再び攻撃を行うことができなくなるため、安全性が向上する。
【0042】
また、管理部5は、不当要求受信が通知されると、不当要求元ユーザによる少なくとも1つの操作について不認可状態とするように認可情報を変更する。このようにすれば、悪意のある第三者である不当要求元ユーザは、一旦所定の操作について不認可状態にされると、その後はその操作を行うことができなくなるため、安全性が向上する。さらに、管理部5は、同一の不当要求元ユーザに対応する不当要求受信が通知されるたびに、不認可状態とする操作が漸増するように認可情報を変更することができる。この場合、管理部5は、安全への影響が大きい操作から順番に不認可状態とするように、認可情報を変更するとよい。このようにすれば、悪意のある第三者である不当要求元ユーザから攻撃を受けるたびに安全への影響を大きい操作から順番に不認可状態にされてゆくことになり、安全性が一層向上する。
【0043】
検証部6は、正規のユーザ3により要求された操作が不当であると誤判断してしまう可能性がある。ただし、上記した誤判断が連続して発生する可能性は非常に低いものとなる。そこで、管理部5は、同一の不当要求元ユーザの認証状態を未認証状態とするように認証情報を変更した回数が所定回数に達すると、不当要求元ユーザの認証状態を異常状態とするように認証情報を変更し、その状態を異常解除のための処置が実施されるまで継続することができる。
【0044】
このようにすれば、仮に検証部6において上記誤判断が発生した場合、正規のユーザ3は、その認証状態が一旦未認証状態とされるものの、次回以降の操作を要求する際に再度認証されることで通常通り操作を行うことが可能となる。これに対し、正規のユーザ3に成りすました悪意のある第三者により要求された操作については検証部6によって連続して不当であると判断される可能性が高い。そのため、上記した変更手法によれば、悪意のある第三者は、何度か操作の要求を行うことにより、その認証情報が異常状態に変更されてしまい、その後は通常の認証の要求に関する処置とは異なる特別な処置を行わない限り再び攻撃を行うことができなくなる。
【0045】
認証部4は、管理部5により認証情報および認可情報のうち少なくとも一方が変更された後に不当要求元ユーザから操作要求が与えられると、変更後の認証情報および認可情報に基づいて全ての機能部7~10に対して操作要求を伝達するか否かを判断するようになっている。このようにすれば、機能部7~10のうち少なくとも1つの機能部に含まれる検証部6によりその機能部に対する操作要求が不当であると判断されると、その操作要求を与えた不当要求元ユーザは、他の機能部に対する操作についても制限または禁止されることになるため、悪意のある第三者による攻撃への対応を一層確実に行うことができる。
【0046】
(その他の実施形態)
なお、本発明は上記し且つ図面に記載した実施形態に限定されるものではなく、その要旨を逸脱しない範囲で任意に変形、組み合わせ、あるいは拡張することができる。
上記実施形態で示した数値などは例示であり、それに限定されるものではない。
なお、本発明は上記し且つ図面に記載した実施形態に限定されるものではなく、その要旨を逸脱しない範囲で任意に変形、組み合わせ、あるいは拡張することができる。
上記実施形態で示した数値などは例示であり、それに限定されるものではない。
【0047】
検証部6は、全ての機能部7~10の全てに対応して設けられていたが、機能部7~10のうち少なくとも1つに対応して設けられていればよい。また、検証部6は、機能部7~10に含まれる形で設けられていたが、機能部7~10とは独立した形で設けられてもよい。
管理部5は、不当要求受信が通知された際、上記実施形態で示した第1~第4変更手法に限らず、所定のポリシーに則って不当要求元ユーザに対応する認証情報および認可情報のうち少なくとも一方を変更すればよい。
管理部5は、不当要求受信が通知された際、上記実施形態で示した第1~第4変更手法に限らず、所定のポリシーに則って不当要求元ユーザに対応する認証情報および認可情報のうち少なくとも一方を変更すればよい。
【0048】
本開示は、実施例に準拠して記述されたが、本開示は当該実施例や構造に限定されるものではないと理解される。本開示は、様々な変形例や均等範囲内の変形をも包含する。加えて、様々な組み合わせや形態、さらには、それらに一要素のみ、それ以上、あるいはそれ以下、を含む他の組み合わせや形態をも、本開示の範疇や思想範囲に入るものである。
【0049】
本開示に記載の制御部およびその手法は、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサおよびメモリを構成することによって提供された専用コンピュータにより、実現されてもよい。あるいは、本開示に記載の制御部およびその手法は、一つ以上の専用ハードウェア論理回路によってプロセッサを構成することによって提供された専用コンピュータにより、実現されてもよい。もしくは、本開示に記載の制御部およびその手法は、一つ乃至は複数の機能を実行するようにプログラムされたプロセッサおよびメモリと一つ以上のハードウェア論理回路によって構成されたプロセッサとの組み合わせにより構成された一つ以上の専用コンピュータにより、実現されてもよい。また、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されていてもよい。
【符号の説明】
【0050】
1…認証管理装置、2…車両、3…ユーザ、4…認証部、5…管理部、6…検証部、7~10…機能部。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】