篡改对象设备确定系统、确定程序以及确定方法与流程

1.本发明涉及一种用于确定被作为篡改的对象的设备的篡改对象设备确定系统、篡改对象设备确定程序以及篡改对象设备确定方法。


背景技术：

2.例如，在专利文献1等中记载了一种用于检测对作业设备的不正当访问的装置。
3.有时存在作业设备被操作信息而操作的情况。该操作信息包含针对多个设备的多个信息。假设针对多个设备的多个信息之中的至少某个信息被篡改了。此时，希望可以在针对多个设备的多个信息之中确定出是针对哪个设备的信息被篡改了。
4.现有技术文献专利文献专利文献1：日本专利公开公报特开2019-82928号。


技术实现要素：

5.在此，本发明的目的在于提供一种可以确定是针对多个设备之中的哪个设备的信息被篡改了的篡改对象设备确定系统、篡改对象设备确定程序以及篡改对象设备确定方法。
6.解决问题的手段本发明的一方面涉及的篡改对象设备确定系统，包括：操作部，发送用于操作多个设备的信息即操作信息；和，主体部，是至少一个作业设备具有的主体部分，用于接收所述操作信息，其中，所述操作部具备：操作部侧密钥保持部，用于保持多个操作部侧密钥；和，操作部侧代码生成部，所述主体部具备：所述多个设备，被基于所述操作信息而操作；主体部侧密钥保持部，用于保持多个主体部侧密钥；主体部侧代码生成部；以及，篡改检测部，所述多个操作部侧密钥以及所述多个主体部侧密钥分别以与所述多个设备相对应的方式而设定，并且被设定成针对所述多个设备彼此不同，所述操作部侧代码生成部，基于所述操作信息所包含的信息且与所述多个设备之中的一个以上的设备即特定设备对应的信息即特定信息和所述多个操作部侧密钥之中与所述特定设备对应的所述操作部侧密钥，生成操作部侧篡改检测码，所述操作部，将所述操作部侧篡改检测码和所述操作信息发送到所述主体部，所述主体部侧代码生成部，基于从所述操作部接收到的所述特定信息和所述多个主体部侧密钥之中与所述特定设备对应的所述主体部侧密钥，生成主体部侧篡改检测码，所述篡改检测部，通过判断所述操作部侧篡改检测码与所述主体部侧篡改检测码是否一致，检测出所述特定信息的篡改。
附图说明
7.图1是表示第一实施方式以及第四实施方式的篡改对象设备确定系统1、401的示意图。
8.图2是表示图1所示的通知输出部80的显示画面的第一个例子的示意图。
9.图3是表示图1所示的通知输出部80的显示画面的第二个例子的示意图。
10.图4是表示由图1所示的操作部20生成的操作信息的构成的示意图。
11.图5是表示图1所示的主体部30的动作的流程图。
12.图6是表示图1所示的服务器70的动作的流程图。
13.图7是表示第二实施方式的篡改对象设备确定系统201的示意图。
14.图8是表示第三实施方式的篡改对象设备确定系统301的示意图。
15.图9是表示图1所示的第四实施方式的篡改对象设备确定系统401的通知输出部80的显示画面的例子的示意图。
16.图10是表示第五实施方式的篡改对象设备确定系统501的示意图。
具体实施方式
17.第一实施方式图1至图6是表示第一实施方式的篡改对象设备确定系统1的示意图。
18.如图1所示，篡改对象设备确定系统1（攻击发生之处确定系统）是检测信息的篡改并确定是针对哪个设备的信息被篡改（攻击）了的系统。篡改对象设备确定系统1具备作业设备10、服务器70（计算机）。
19.作业设备10是进行作业的设备，例如为进行建筑作业的作业设备，例如即可以是挖掘机也可以是吊车。以下，对作业设备10为挖掘机的情况进行说明。作业设备10具备操作部20（计算机）、主体部30（计算机）。
20.操作部20是操作主体部30的部分。操作部20既可以是配置在离开主体部30的位置的远程操作终端，也可以与主体部30一体化地设置（参照第五实施方式）。以下，对操作部20为远程操作终端的情况进行说明。操作部20具备收发部21、操作输入部23、操作部侧代码(code)生成部25、操作部侧密钥(key)保持部26。
21.收发部21（信息收发装置）进行信息的收发。收发部21将后述的操作信息发送到主体部30（发送步骤）。收发部21从主体部30接收远程操作所需的信息。收发部21例如是调制解调器(modem)等（主体部30的收发部51以及服务器70的收发部71也相同）。
22.操作输入部23（操作输入装置）是被输入操作信息的部分。被输入到操作输入部23的操作信息是用于操作主体部30的信息，例如，既可以是杆操作的操作量，也可以是开关操作的操作状态。操作信息的详细情况将在以后阐述。
23.操作部侧代码生成部25，基于操作信息的至少一部分和操作部侧密钥k20（密钥、密钥信息），生成（计算、计算得出）篡改检测码(tampering detection code)（操作部侧代码生成步骤）。篡改检测码是用于检测篡改的信息。操作部侧代码生成部25生成的篡改检测码称为操作部侧篡改检测码。篡改检测码也可以是例如消息认证码（mac；message authentication code）。消息认证码，例如，既可以是利用了哈希值的消息认证码（hmac；hash-based message authentication code），也可以是利用了分组密码算法的消息认证码（cmac；cipher-based message authentication code）。篡改检测码也可以是错误检测用或错误检测纠正用的码，具体而言，例如既可以是里德-所罗门码（reed-solomon code、rs码）也可以是奇偶校验码(parity code)等。另外，在图4以及图5中，作为篡改检测码的一
个例子记载为“mac”。
24.操作部侧密钥保持部26保持（存储）用于生成操作部侧篡改检测码的操作部侧密钥k20（操作部侧密钥保持步骤）（详细内容将在以后阐述）。
25.主体部30是作业设备10的主体部分。主体部30接收操作部20发送的操作信息。主体部30具备下部行走体31、上部回转体33、附属装置35、设备组50、主体部侧代码生成部65、主体部侧密钥保持部66、篡改检测部67。
26.下部行走体31使主体部30行走。下部行走体31例如具备履带。上部回转体33可回转地搭载在下部行走体31上。上部回转体33具备驾驶室33a。操作人员，在本实施方式通过作为远程操作终端的操作部20进行操作，但是，也可以在驾驶室33a进行操作。附属装置35是进行作业的部分，例如，具备动臂35a、斗杆35b、远端附属装置35c。动臂35a可起伏地安装在上部回转体33。斗杆35b可旋转地安装于动臂35a。远端附属装置35c被设置在附属装置35的远端部，可旋转地安装于斗杆35b。远端附属装置35c例如既可以是铲起砂土的铲斗，也可以是夹住物体的装置（抓斗等），还可以是进行粉碎或挖掘等的装置（破碎机等）。
27.设备组50由多个设备构成。设备组50的每个设备被基于操作信息操作、被电动操作、被电动控制。设备组50的每个设备彼此电连接（与车载网络连接）。设备组50的每个设备可以通过例如can（controller area network）等进行通信。
28.这样的设备组50具备信息设备50i（收发部51、控制装置52、车载计算机53）和末端设备54。而且，设备组50的每个设备属于多个层（l1至 l4）的某一层。在设备组50，操作信息按照从上游侧到下游侧的顺序、按照收发部51（第一层l1）、控制装置52（第二层l2）、车载计算机53（第三层l3）、末端设备54（第四层l4）的顺序被依次传递。另外，层（l1至 l4）的数量并不一定是4，既可以是3以下也可以是5以上。
29.信息设备50i是位于末端设备54的上游侧、用于处理向末端设备54发送的操作信息的设备。信息设备50i具备例如收发部51、控制装置52、车载计算机53。
30.收发部51（信息收发装置）进行信息的收发。收发部51从操作部20接收操作信息。在检测到操作信息的篡改的情况下，收发部51将后述的异常发生信息发送到服务器70。
31.控制装置52是控制（管理）车载计算机53的装置。车载计算机53控制末端设备54。车载计算机53是车载ecu（electronic control unit）。另外，在图1等中，将车载计算机53记载为ecu。
32.末端设备54被设置在操作信息的路径的最下游侧（末端侧）。末端设备54是属于多个层（l1至l4）中的最下游层（例如第四层l4）的设备。末端设备54具备例如致动器54a、传感器54c、空气调节器54d（在图1等中为空调）等。
33.致动器54a使主体部30物理性地动作。具体而言，致动器54a进行与下部行走体31的行走、上部回转体33相对于下部行走体31的回转以及附属装置35的动作之中的至少其中之一相关的动作。致动器54a具备例如发动机54a1和泵54a2。发动机54a1是主体部30的驱动源。泵54a2被发动机54a1驱动排出工作油。泵54a2的容量既可以为固定也可以为可变。具体而言，例如，也可以通过调节器(regulator)对泵54a2的容量进行控制来控制泵54a2排出的工作油的流量。致动器54a也可以包含用于控制工作油的流量和/或方向等的控制阀。致动器54a也可以包含用于控制控制阀的阀门（例如，用于控制先导液压的阀门）。通过控制该控制阀，可以控制从泵54a2供给到液压致动器（未图示）的工作油的方向和/或流量，可以控制
下部行走体31、上部回转体33以及附属装置35的动作。
34.传感器54c用于检测各种信息。传感器54c也可以包含例如压力传感器、温度传感器、图像传感器、声音传感器等。空气调节器54d用于调节驾驶室33a内的温度和/或湿度。
35.主体部侧代码生成部65，基于操作信息的至少一部分和主体部侧密钥k30（密钥、密钥信息），生成篡改检测码（主体部侧码生成步骤）（篡改检测码的具体例子参照对操作部侧代码生成部25的说明）。主体部侧代码生成部65生成的篡改检测码称为主体部侧篡改检测码。
36.主体部侧密钥保持部66保持（存储）用于生成篡改检测码的主体部侧密钥k30（主体部侧密钥保持步骤）。主体部侧密钥保持部66既可以是搭载在设备组50的每个设备上的存储装置（存储器），也可以是被设置在与每个设备不同的位置的存储装置（参照图7的主体部侧密钥保持部261）。主体部侧密钥k30以与每个设备相对应的方式而设定，并且被设定成针对每个设备而相互不同。具体而言，与收发部51对应的主体部侧密钥k30、与控制装置52对应的主体部侧密钥k30、与车载计算机53对应的主体部侧密钥k30被设定成彼此相互不同。而且，与每个末端设备54分别对应的主体部侧密钥k30被设定成彼此相互不同。进一步具体而言，与发动机54a1对应的主体部侧密钥k30、与泵54a2对应的主体部侧密钥k30、与传感器54c对应的主体部侧密钥k30、与空气调节器54d对应的主体部侧密钥k30被设定成彼此相互不同。与主体部侧密钥k30同样，操作部侧密钥k20也以与每个设备相对应的方式而设定，并且被设定成针对每个设备而相互不同。但是，与某个设备（例如发动机54a1）对应的主体部侧密钥k30和与该设备（在此为发动机54a1）对应的操作部侧密钥k20是相同的。
37.篡改检测部67用于检测操作信息的篡改（篡改检测步骤）。篡改检测部67通过对操作部侧篡改检测码和主体部侧篡改检测码进行比较，检测操作信息的篡改（详细内容将在以后阐述）。
38.服务器70是进行信息处理的计算机。服务器70独立于作业设备10而另外设置。服务器70是例如web（world wide web）服务器等。服务器70具备收发部71、解析部73、通知部75。
39.收发部71（信息收发装置）进行信息的收发。在篡改检测部67检测到操作信息的篡改的情况下，收发部71接收将在以后阐述的异常发生信息。收发部71将通知部75输出的信息（通知）发送到通知输出部80。
40.解析部73（信息解析装置）用于解析服务器70接收到的异常发生信息。具体而言，解析部73获取表示设备组50的哪个设备为篡改对象设备（将在以后阐述）的信息。解析部73将获取到的信息输出到通知部75。
41.通知部75（信息通知装置、信息显示装置），在篡改检测部67检测到对特定信息（篡改对象信息，将在以后阐述）的篡改的情况下，基于从解析部73输入的信息，生成篡改对象设备的操作信息被篡改了的通知。通知部75生成的通知，既可以是基于声音的通知，也可以是基于显示的通知（具体例将在以后阐述）。通知部75生成的通知被发送到通知输出部80。
42.通知输出部80将通知部75生成的通知实际上（作为显示或声音）进行输出。通知输出部80是例如可以输出web页面的显示器或扬声器等。通知输出部80既可以设置在操作部20（远程操作终端或驾驶室33a内），也可以设置在与作业设备10不同的位置。接受通知输出部80的输出（通知部75的通知）的人员既可以是作业设备10的操作人员，也可以是作业设备
10的管理人员，还可以是作业设备10的维修人员（服务人员）等。如图2所示，通知输出部80例如具备篡改对象设备显示部81、警报显示部83、远端附属装置显示部85。
43.篡改对象设备显示部81显示篡改对象设备。警报显示部83将信息被篡改了与“警报”的文字一起进行显示。远端附属装置显示部85将篡改检测部67检测到操作信息的篡改时的远端附属装置35c的种类（例如，铲斗、破碎机等）与“远端附属装置”的文字一起进行显示。篡改对象设备显示部81、警报显示部83以及远端附属装置显示部85的详细情况将在以后阐述。
44.动作图1所示的篡改对象设备确定系统1如下所述进行动作。
45.操作部20的动作操作部20的动作如下所述。操作信息被输入到操作输入部23。该操作信息是用于操作主体部30的信息（命令数据、操作指令）。操作信息包含为了操作（控制）末端设备54所需的信息。具体而言，例如，操作信息包含表示针对哪个作业设备10、与哪个控制装置52连接、是哪个车载计算机53属下的、对于哪个末端设备54、什么样的操作内容的信息（参照图4）。
46.具体而言，例如，操作信息按照从第一层l1至第四层l4的顺序具备针对每个层（l1至l4）的设备的信息（d1至d5（参照图4））。在图4所示的例子中，操作信息的打头侧（在图4为左侧）是针对上游侧（图1所示的第一层l1侧）的设备的信息，操作信息的末尾侧（在图4为右侧）是针对下游侧（图1所示的第四层l4侧）的设备的信息。进一步具体而言，第一信息d1是用于指定图1所示的第一层l1的设备的信息，具体而言，是指定发送目的地的收发部51（作业设备10）的信息。第二信息d2（参照图4）是用于指定第二层l2的设备的信息，具体而言，是指定发送目的地的控制装置52的信息。第三信息d3（参照图4）是用于指定第三层l3的设备的信息，具体而言，是指定发送目的地的车载计算机53的信息。第四信息d4（参照图4）是用于指定第四层l4的设备的信息，具体而言，是指定发送目的地的末端设备54的信息。第五信息d5（参照图4）是用于指定第四层l4的设备的操作内容的信息，具体而言，是指定末端设备54的操作内容的信息。第五信息d5（参照图4）既可以是指定发动机54a1的转数的信息，也可以是指定泵54a2的容量的信息。第五信息d5也可以是指定用于使下部行走体31、上部回转体33以及附属装置35的其中之一动作（例如，朝某个方向加减速）的阀门的开度的信息。
47.其次，操作部侧代码生成部25，基于后述的特定信息和被保持在操作部侧密钥保持部26的操作部侧密钥k20，生成操作部侧篡改检测码。在此，通常，针对一个数据整体生成一个篡改检测码。在这种情况下，可以判断数据整体的某处被篡改了，但是，无法判断数据整体之中哪个部分被篡改了。在此，在本实施方式，操作部侧代码生成部25如下所述生成篡改检测码。
48.将从设备组50之中选出的一个以上的设备称为“特定设备”（例如，控制装置52）。将将操作信息中所包含的信息即针对特定设备（在该例中为控制装置52）的信息（在该例中为第二信息d2（参照图4））称为“特定信息”。此时，操作部侧代码生成部25，从被保持在操作部侧密钥保持部26的多个操作部侧密钥k20之中，提取与特定设备（在该例中为控制装置52）对应的操作部侧密钥k20。而且，操作部侧代码生成部25，基于针对特定设备的特定信息（在该例中为第二信息d2（参照图4））和与特定设备对应的操作部侧密钥k20，生成操作部侧
篡改检测码。
49.操作部侧代码生成部25也可以针对操作信息所包含的多个信息（d1至d5（参照图4））的全部生成操作部侧篡改检测码。以下，参照图4对第一信息d1至第五信息d5进行说明。操作部侧代码生成部25也可以仅针对多个信息（d1至d5）中的一部分生成操作部侧篡改检测码。在仅针对多个信息（d1至d5）中的一部分生成操作部侧篡改检测码的情况下，可以削减操作部侧代码生成部25生成操作部侧篡改检测码的计算量。例如，将操作信息所包含的多个信息（d1至d5）之中特别想要检测出篡改的信息作为特定信息进行选择。操作信息所包含的多个信息（d1至d5）之中哪个信息是特定信息，例如，既可以在操作部侧代码生成部25等预先设定，也可以根据各种条件进行变更。
50.其次，操作部20的收发部21将操作部侧篡改检测码和操作信息发送到主体部30。在图1所示的例子中，操作信息是使主体部30的构成要素（例如，下部行走体31）的动作停止的信息（在图1中记载为“停止”）。
51.篡改人员从操作部20向主体部30发送的操作信息存在被篡改人员（恶意的转播人员、攻击人员）篡改的情况。具体而言，例如，假设篡改人员将使主体部30的构成要素（例如，下部行走体31）的动作停止的操作信息篡改为使该构成要素加速的操作信息等。如果操作信息被篡改，主体部30就有可能进行与在操作部20进行的操作所对应的动作不同的动作（异常的动作）。
52.主体部30的动作主体部30的动作如下所述。图5是表示针对操作信息所包含的多个信息（d1至d5（参照图4））的全部生成了操作部侧篡改检测码的情况下的主体部30的动作的流程图。
53.主体部30的收发部51从操作部20接收操作部侧篡改检测码和操作信息。主体部30也可以一次性地接收操作信息所包含的多个信息（d1至d5）的全部。主体部30也可以，如图5的例子所示，针对与信息（d1至d5）对应的层（l1至l5（参照图1））的每层，分别接收操作信息所包含的多个信息（d1至d5）（步骤s11、s13、s15以及s17）。
54.图1所示的主体部侧代码生成部65，基于从操作部20接收到的特定信息和与特定设备对应的主体部侧密钥k30，生成主体部侧篡改检测码。此时，主体部侧代码生成部65，基于与特定设备对应的主体部侧密钥k30和针对特定设备的特定信息（d1至d5中的至少其中之一），生成主体部侧篡改检测码。具体而言，例如，在操作部侧代码生成部25生成了与控制装置52对应的操作部侧篡改检测码的情况下，主体部侧代码生成部65也生成与控制装置52对应的主体部侧篡改检测码。
55.其次，篡改检测部67检测有无操作信息的篡改。篡改检测部67判断主体部30接收到的操作部侧篡改检测码与主体部侧代码生成部65生成的主体部侧篡改检测码是否一致。通过该判断，可以判断针对特定设备的特定信息（d1至d5中的至少其中之一）是否被篡改了。在操作部侧篡改检测码以及主体部侧篡改检测码分别存在多个的情况下，篡改检测部67对多个篡改检测码分别进行判断（图5所示的步骤s12、s14、s16以及s18）。具体而言，例如，在操作部侧代码生成部25生成了与控制装置52对应的操作部侧篡改检测码的情况下，篡改检测部67对与控制装置52对应的操作部侧篡改检测码和主体部侧篡改检测码进行比较。
56.图5所示的例子，在步骤s11，收发部51接收第一层l1的第一信息d1，在步骤s12，主体部侧代码生成部65基于第一信息d1生成主体部侧篡改检测码，篡改检测部67检测有无第一信息d1的篡改。其次，在步骤s13，收发部51接收第二层l2的第二信息d2，在步骤s14，主体部侧代码生成部65基于第二信息d2生成主体部侧篡改检测码，篡改检测部67检测有无第二信息d2的篡改。其次，在步骤s15，收发部51接收第三层l3的第三信息d3，在步骤s16，主体部侧代码生成部65基于第三信息d3生成主体部侧篡改检测码，篡改检测部67检测有无第三信息d3的篡改。其次，在步骤s17，收发部51接收第四层l4的第四信息d4以及第五信息d5，在步骤s18，主体部侧代码生成部65基于第四信息d4以及第五信息d5生成主体部侧篡改检测码，篡改检测部67检测有无第四信息d4以及第五信息d5的篡改。
57.在与某个特定设备对应的操作部侧篡改检测码与主体部侧篡改检测码一致的情况下，篡改检测部67则判断针对该特定设备的信息（d1至d5中的至少其中之一）没有被篡改。在篡改检测部67对所有的特定信息都没有检测到篡改的情况下，主体部30被基于操作信息而操作（进行命令处理）（图5所示的步骤s21）。
58.在与某个特定设备对应的操作部侧篡改检测码与主体部侧篡改检测码不一致的情况下（在图5为“mac异常”的情况下），篡改检测部67则判断针对该特定设备的信息（d1至d5中的至少其中之一）正在被篡改。在这种情况下，该特定设备（与篡改检测码不一致的特定信息对应的特定设备）就是成为篡改对象的篡改对象设备（篡改发生之处、攻击发生之处、异常检测之处）。具体而言，例如，在与控制装置52对应的操作部侧篡改检测码与主体部侧篡改检测码不一致的情况下，篡改检测部67检测出针对控制装置52的信息（第二信息d2）被篡改了。在这种情况下，篡改对象设备为控制装置52。而且，例如，在与发动机54a1对应的操作部侧篡改检测码与主体部侧篡改检测码不一致的情况下，篡改检测部67检测出针对发动机54a1的信息（第四信息d4或第五信息d5）被篡改了。在这种情况下，篡改对象设备为发动机54a1。而且，将变成篡改对象的特定信息（d1至d5中的至少其中之一）称为篡改对象信息。
59.在篡改检测部67检测出篡改的情况下，收发部51向服务器70发送异常发生信息（通报信息）（图5所示的步骤s22）。该异常发生信息包含通知操作信息被篡改了的信息。异常发生信息包含篡改对象设备的信息，具体而言，包含篡改对象设备为哪个设备的信息。异常发生信息也可以包含例如检测到篡改时的远端附属装置35c的种类（铲斗、破碎机等）的信息等。包含被篡改的信息的操作信息被废弃（图5所示的步骤s23）。
60.服务器70的动作服务器70的动作如下所述。图6是表示服务器70的动作的流程图。
61.在图1所示的服务器70的收发部71没有从主体部30接收到异常发生信息的情况下（步骤s32：否），服务器70的通知输出部80显示通常画面（未图示）（步骤s31）。如果收发部71从主体部30接收到异常发生信息（步骤s32：是），其次，在步骤s33，解析部73对异常发生信息进行解析。具体而言，例如，解析部73获取篡改对象设备的信息，具体而言，获取表示篡改对象设备为哪个设备的信息等。解析部73也可以获取远端附属装置35c的种类的信息。解析部73将获取到的信息输出到通知部75。在步骤s34，通知部75基于从解析部73输入的信息计算与篡改对象设备对应的警告度。
62.在步骤s35，通知部75通知操作信息被篡改了。进一步具体而言，通知部75生成操
作信息被篡改了的通知并将该通知输出到通知输出部80。另外，通知输出部80，在操作信息没有被篡改的情况下，也可以例如进行通常画面（未图示）的显示等（步骤s31）。
63.通知部75根据篡改对象设备改变通知的内容。通知输出部80根据篡改对象设备改变输出的内容。通知输出部80通过例如文字、图形、符号或它们的组合进行输出。具体而言，如图2以及图3所示，篡改对象设备显示部81输出篡改对象设备为哪个设备。在该图所示的例子中，篡改对象设备显示部81将表示篡改对象设备为哪个设备的图形81a显示在表示篡改对象设备的显示（在图2是“收发部”的文字、在图3是“发动机”的文字）的附近。如图3所示，警报显示部83也可以通过文字显示篡改对象设备为哪个设备（在图3为“发动机”）。
64.图1所示的通知部75根据被篡改的信息（d1至d5中的至少其中之一）的内容改变通知的内容。在图2所示的例子中，警报显示部83进行表示针对收发部51（参照图1）的信息（第一信息d1（参照图4））被篡改了的显示，具体而言，显示“警报”以及“接收异常命令”的文字。在图3所示的例子中，警报显示部83进行表示指定发动机54a1的转数的信息（第五信息d5（参照图4））被篡改了的显示，具体而言，显示“警报”以及“发动机转数异常操作命令”的文字。
65.图1所示的通知部75通知与在检测到篡改时的远端附属装置35c相关的信息。具体而言，例如，如图2以及图3所示，远端附属装置显示部85显示远端附属装置35c（参照图1）的种类。远端附属装置显示部85，在图2所示的例子中，显示“远端附属装置”以及“铲斗”的文字，在图3所示的例子中，显示“远端附属装置”以及“破碎机”的文字。如此，通过通知图1所示的远端附属装置35c的种类，可以向接收通知的人员提供用于探讨或预测由于操作信息被篡改有可能发生怎样的损害的材料。另外，通知输出部80也可以输出由于操作信息被篡改有可能发生怎样的损害。
66.通知部75根据警告度改变通知的内容。警告度基于操作信息的篡改对设备的动作产生的影响（损害等）的大小而设定。警告度例如由通知部75计算得出。例如，如下所述计算以及设定警告度。
67.【警告度的示例a】警告度基于篡改对象设备为哪个设备而设定。【警告度的示例a1】例如，在针对末端设备54的信息（图4所示的第四信息d4以及第五信息d5的至少其中之一）被篡改的情况下，对主体部30的实际动作（即，现实的动作、作业设备10的作业动作等）产生影响的可能性较高。另一方面，在针对信息设备50i的信息（图4所示的第一信息d1、第二信息d2或第三信息d3）被篡改的情况下，有可能不会对主体部30的实际动作产生影响。因此，也可以将在篡改对象设备为末端设备54的情况下的警告度设定成比篡改对象设备为信息设备50i的情况下的警告度高。
68.【警告度的示例a2】在针对下游侧（第四层l4侧）的设备的信息被篡改的情况下，与针对上游侧（第一层l1侧）的设备的信息被篡改的情况相比，对主体部30的实际动作产生影响的可能性较高。因此，也可以将篡改对象设备为下游侧（第四层l4侧）的设备的情况下的警告度设定成比篡改对象设备为上游侧（第一层l1侧）的设备的情况下的警告度高。具体而言，也可以按照篡改对象设备所属的层为第一层l1（警告度最小）、第二层l2、第三层l3、第四层l4（警告度最大）的顺序依次变高地设定警告度。
69.【警告度的示例a3】也可以基于哪个末端设备54为篡改对象设备来改变警告度。例如，在针对与下部行走体31的行走、上部回转体33的回转以及附属装置35的动作直接相关
的致动器54a的信息被篡改的情况下，会对主体部30的实际动作产生影响，并对作业设备10的作业产生影响。另一方面，在针对除致动器54a以外的末端设备54（空气调节器54d等）的信息被篡改的情况下，对作业设备10的作业不会直接地产生影响。因此，也可以将篡改对象设备为致动器54a的情况下的警告度设定成比篡改对象设备不是致动器54a的情况下（致动器54a以外的末端设备54或信息设备50i）的警告度高。
70.【警告度的示例a4】也可以基于哪个致动器54a为篡改对象设备来改变警告度。
71.【警告度的示例b】也可以基于检测到篡改时的远端附属装置35c的种类来改变警告度。也可以基于远端附属装置35c的种类和篡改对象设备的组合来改变警告度。
72.通知部75根据警告度例如以如下所述方式来改变通知的内容。通知部75，根据警告度，改变图2以及图3所示的通知输出部80的显示的内容。具体而言，通知输出部80也可以根据警告度来改变显示颜色（例如，警报显示部83或远端附属装置显示部85的背景颜色等）。例如，可以用警告度越低则越接近蓝色的颜色、警告度越高则越接近红色的颜色等的方式来设定通知输出部80的显示颜色。通知输出部80也可以根据警告度来改变文字的大小（例如显示在警报显示部83等的文字的大小），也可以通过文字来改变所表示的内容。通知输出部80也可以是警告度越高则越增大通知的信息量。通知输出部80也可以根据警告度改变输出的声音的大小、改变音调、改变声音的内容。
73.第二实施方式参照图7对第二实施方式的篡改对象设备确定系统201就与第一实施方式的不同之处进行说明。另外，对于篡改对象设备确定系统201之中与第一实施方式的相同之处，省略其说明。关于省略相同之处的说明这一点，后述的其它的实施方式的说明也同样。篡改对象设备确定系统201的主体部30具备主体部侧密钥保持部261、网关262。
74.在图1所示的例子中，主体部侧密钥保持部66被设置于设备组50的每个设备。而本实施方式，如图7所示，主体部侧密钥保持部261统一地保持（管理）与多个设备对应的主体部侧密钥k30。主体部侧密钥保持部261既可以统一（汇总、在一处）地保持与设备组50的所有的设备对应的主体部侧密钥k30，也可以统一地保持与设备组50所包含的一部分设备对应的主体部侧密钥k30。
75.主体部侧密钥保持部261，例如，既可以设置在网关262上，也可以独立于网关262而设置，即可以与网关262连接，也可以不与网关262连接。网关262被设置在主体部30的内部与外部之间进行通信的边界部分。另外，与主体部侧密钥保持部261同样，主体部侧代码生成部65以及篡改检测部67的至少其中之一既可以设置在网关262上，也可以不设置在网关262上。
76.第三实施方式参照图8对第三实施方式的篡改对象设备确定系统301就与第一实施方式的不同之处进行说明。篡改对象设备确定系统301具备密钥生成部368。
77.密钥生成部368，以规定的交换时机重新生成密钥（主体部侧密钥k30以及操作部侧密钥k20）。上述“规定的交换时机”例如既可以是基于在密钥生成部368等中预先设定的密钥的有效期限的时机，也可以是定期的时机，还可以是随时的时机。密钥生成部368生成的密钥作为主体部侧密钥k30被保持在主体部侧密钥保持部66中（与旧密钥交换）。密钥生成部368生成的密钥作为操作部侧密钥k20被保持在操作部侧密钥保持部26中。
78.该密钥生成部368，在篡改检测部67检测到特定信息（篡改对象信息）的篡改的情况下，重新生成与篡改对象设备对应的密钥（主体部侧密钥k30以及操作部侧密钥k20）。在篡改检测部67检测到特定信息（篡改对象信息）的篡改的情况下，如果继续使用相同的密钥，就可能出现问题。例如，有可能存在进行模糊测试(fuzzing)类推出密钥的风险。在此，密钥生成部368，通过与上述“规定的交换时机”无关地重新生成（再生成）密钥，从而难以类推出密钥，可以提高安全性(security)。密钥生成部368生成的密钥作为主体部侧密钥k30被保持在主体部侧密钥保持部66中。密钥生成部368生成的密钥作为操作部侧密钥k20被保持在操作部侧密钥保持部26中。
79.该密钥生成部368既可以设置在主体部30上，也可以设置在操作部20上，还可以设置在服务器70中。在密钥生成部368被设置在主体部30的情况下，密钥生成部368生成的密钥被传送到操作部20。在密钥生成部368被设置操作部20的情况下，密钥生成部368生成的密钥被传送到主体部30。在密钥生成部368被设置在服务器70的情况下，密钥生成部368生成的密钥被传送到主体部30以及操作部20。作为传送密钥生成部368生成的密钥的手段，例如，可以经由收发部21、51、71进行发送，具体而言，经由因特网或私用网络(private network)等进行发送。密钥生成部368生成的密钥也可以在被存储到存储介质的状态下进行传送。存储密钥的存储介质既可以是usb（universal serial bus）存储器或固态驱动器等的闪存，也可以是硬盘驱动器等的磁盘。
80.第四实施方式主要参照图9对第四实施方式的篡改对象设备确定系统401（参照图1）就与第一实施方式的不同之处进行说明。
81.图1所示的篡改对象设备确定系统401具备多台作业设备10（在图1中仅图示了一台）。多台作业设备10分别具备主体部30、操作部20。假设篡改检测部67在多台作业设备10的每台作业设备检测操作信息的篡改。在这种情况下，通知部75针对多台作业设备10的每台作业设备进行与警告度（损害的严重度）相对应的通知。由此，对于接收通知的人而言，可以方便地判断需要从哪个作业设备10起进行针对篡改的对策（对策的优先顺序）（类似于鉴别归类系统（triage system））。具体而言，输出通知部75的通知的通知输出部80，如图9所示，具备作业设备显示部487。以下，参照图1对作业设备10进行说明。
82.作业设备显示部487进行与多台作业设备10对应的显示。具体而言，例如，作业设备显示部487进行可以区分多台作业设备10的显示（通过文字、图形、符号或它们的组合来显示）。在图9所示的例子中，作业设备显示部487进行与“作业设备＃1”、“作业设备＃2”以及“作业设备＃3”这三台作业设备10对应的显示。作业设备显示部487根据多台作业设备10的警告度来改变通知的输出内容。例如，作业设备显示部487根据作业设备10的警告度，改变与作业设备10对应的显示（例如颜色等）。进一步具体而言，作业设备显示部487以警告度越低就越接近蓝色的颜色、警告度越高就越接近红色的颜色、无法应对的情况下用黑色等的方式进行显示。
83.作业设备显示部487进行的与多台作业设备10对应的显示（文字或图形等的显示）作为用于改变通知输出部80的显示的按钮（标签(tag)）而发挥其功能。例如，如果选择了（例如，点击、触碰等）与多台作业设备10对应的显示，就显示与所选择的作业设备10相关的通知的详细内容。该“通知的详细内容”例如是与图2或图3所示的通知输出部80的显示相同
的显示。另外，通知部75也可以根据多台作业设备10的警告度来改变声音。
84.第五实施方式参照图10对第五实施方式的篡改对象设备确定系统501就与第一实施方式的不同之处进行说明。
85.在图1所示的例子中，操作部20是远程操作主体部30的装置（远程操作终端）。而本实施方式，如图10所示，操作部20与主体部30一体化地设置，例如，被设置在驾驶室33a的内部。例如，在操作输入部23输入根据电动操纵杆的操作而输出的电信号（can信号等）。在本实施方式，不需要图1所示的操作部20的收发部21。从图10所示的操作部20输出的操作信息不通过主体部30的收发部51而被输入到控制装置52（设备组50）。存在篡改人员有可能篡改从操作部20输出到控制装置52的操作信息的情况。例如，存在用于篡改信息的装置被安装在操作部20和主体部30之间的端子（进行电连接的端子）等的情况。另外，在篡改检测部67检测到篡改的情况下，主体部30的收发部51（发送部）用于向服务器70发送异常发生信息。
86.变形例上述实施方式也可以进行各种变形。例如，可以组合不同实施方式的构成要素。例如，可以改变各构成要素的配置。具体而言，图1所示的解析部73以及通知部75也可以不设置在服务器70，也可以设置在主体部30或操作部20。例如，也可以变更图1等所示的回路的连接。例如，也可以改变图5以及图6所示的流程图的步骤的顺序，也可以不执行其中的一部分步骤。例如，也可以变更构成要素的数量，也可以不设置构成要素的一部分。例如，作为相互不同的多个部件或部分进行了说明的部分也可以是一个部件或部分。例如，作为一个部件或部分进行说明的部分也可以分开设置成相互不同的多个部件或部分。
87.上述实施方式的特征总结如下。
88.本发明的一方面涉及的篡改对象设备确定系统，包括：操作部，发送用于操作多个设备的信息即操作信息；和，主体部，是至少一个作业设备具有的主体部分，用于接收所述操作信息，其中，所述操作部具备：操作部侧密钥保持部，用于保持多个操作部侧密钥；和，操作部侧代码生成部，所述主体部具备：所述多个设备，被基于所述操作信息而操作；主体部侧密钥保持部，用于保持多个主体部侧密钥；主体部侧代码生成部；以及，篡改检测部，所述多个操作部侧密钥以及所述多个主体部侧密钥分别以与所述多个设备相对应的方式而设定，并且被设定成针对所述多个设备彼此不同，所述操作部侧代码生成部，基于所述操作信息所包含的信息且与所述多个设备之中的一个以上的设备即特定设备对应的信息即特定信息和所述多个操作部侧密钥之中与所述特定设备对应的所述操作部侧密钥，生成操作部侧篡改检测码，所述操作部，将所述操作部侧篡改检测码和所述操作信息发送到所述主体部，所述主体部侧代码生成部，基于从所述操作部接收到的所述特定信息和所述多个主体部侧密钥之中与所述特定设备对应的所述主体部侧密钥，生成主体部侧篡改检测码，所述篡改检测部，通过判断所述操作部侧篡改检测码与所述主体部侧篡改检测码是否一致，检测出所述特定信息的篡改。
89.篡改对象设备确定系统包括操作部和主体部。操作部用于发送操作信息。主体部是作业设备的主体部分，用于接收操作信息。操作部具备用于保持操作部侧密钥的操作部侧密钥保持部和操作部侧代码生成部。操作部侧代码生成部，基于操作信息的至少一部分以及操作部侧密钥，生成操作部侧篡改检测码。主体部具备设备组、用于保持主体部侧密钥
的主体部侧密钥保持部、主体部侧代码生成部以及篡改检测部。设备组包含基于操作信息被操作的多个设备。主体部侧代码生成部，基于操作信息的至少一部分以及主体部侧密钥，生成主体部侧篡改检测码。篡改检测部检测出信息的篡改。
[0090]“构成1-1”操作部侧密钥以及主体部侧密钥分别以与每个设备相对应的方式而设定，并且被设定成针对每个设备彼此不同。
[0091]“构成1-2”操作部侧代码生成部，基于特定信息和与特定设备对应的操作部侧密钥，生成操作部侧篡改检测码。特定信息是操作信息所包含的信息且是与设备组所包含的特定设备对应的信息。
[0092]
操作部将操作部侧篡改检测码和操作信息发送到主体部。
[0093]“构成1-3”主体部侧代码生成部，基于从操作部接收到的特定信息和与特定设备对应的主体部侧密钥，生成主体部侧篡改检测码。
[0094]“构成1-4”篡改检测部，通过判断操作部侧篡改检测码与主体部侧篡改检测码是否一致，检测出特定信息的篡改。
[0095]
在上述“构成1-1”以及“构成1-2”，操作部侧代码生成部，基于与特定设备对应的特定信息和与特定设备对应的操作部侧密钥，生成操作部侧篡改检测码。而且，在上述“构成1-1”以及“构成1-3”，主体部侧代码生成部，基于与特定设备对应的特定信息和与特定设备对应的主体部侧密钥，生成主体部侧篡改检测码。而且，篡改检测部，通过判断操作部侧篡改检测码与主体部侧篡改检测码是否一致，检测出特定信息的篡改(“构成1-4”)。因此，可以检测出对于特定信息的信息的篡改。该特定信息是关于设备组所包含的特定设备的信息(“构成1-2”)。因此，篡改对象设备确定系统可以确定是对设备组(多个设备)所包含的设备之中的哪个设备(特定设备)的信息进行了篡改。即，篡改对象设备确定系统可以确定篡改对象设备。
[0096]
在上述“构成1-1”至“构成1-4”，通过利用用于生成篡改检测码的密钥(操作部侧密钥、主体部侧密钥)可以确定篡改对象设备。因此，设备组所包含的各设备即使不具有例如ip(internet protocol)地址等的网络的信息，篡改对象设备确定系统也可以确定篡改对象设备。
[0097]
在上述实施方式，也可以是，所述一个以上的特定设备包含多个特定设备，所述篡改对象设备确定系统还包括在所述篡改检测部检测出所述特定信息的篡改的情况下生成通知的通知部，所述通知部根据与所述篡改检测部检测到篡改的所述特定信息对应的所述特定设备改变所述通知的内容。
[0098]“构成2”篡改对象设备确定系统具备通知部。通知部在篡改检测部检测出特定信息的篡改的情况下生成通知。通知部，根据与所篡改检测部检测到篡改的特定信息(篡改对象信息)对应的特定设备，改变通知的内容。
[0099]
在上述“构成2”，通知部进行的通知的内容可以根据与篡改对象信息对应的特定设备(篡改对象设备)而改变。因此，可以向通知部进行的通知的内容的接收人员通知有关篡改对象设备的信息(例如篡改对象设备是哪个设备、例如篡改带来的影响度等)。
[0100]
在上述实施方式，也可以是，根据所述操作信息的篡改对设备的动作带来的影响的大小，针对所述多个设备的每个设备设定警告度；所述通知部，根据与所述篡改检测部检测到篡改的所述特定信息对应的所述特定设备所设定的所述警告度，改变所述通知的内
容。
[0101]“构成3”通知部，根据基于操作信息的篡改带来的影响的大小而设定的警告度，来改变通知的内容。
[0102]
根据上述“构成3”，对于接收通知部进行的通知的人员而言，可以容易地掌握操作信息的篡改带来的影响的大小。
[0103]
在上述实施方式，也可以是，所述多个设备包含：末端设备，被设置在所述主体部内的所述操作信息的发送路径的最下游侧；和，信息设备，处理发送到所述末端设备的所述操作信息并将已处理的所述操作信息向所述下游侧输出，其中，针对所述信息设备而设定的所述警告度高于针对所述末端设备而设定的所述警告度。
[0104]
设备组具备末端设备和信息设备。末端设备是被设置在操作信息的路径的最末端侧的设备。信息设备是处理向末端设备发送的操作信息的设备。
[0105]“构成4”警告度被设定成，在篡改检测部检测到的特定信息(篡改对象信息)所对应的特定设备(篡改对象设备)为末端设备时的警告度高于为信息设备时的警告度。
[0106]
通常认为，末端设备的信息被篡改的情况与信息设备的信息被篡改的情况相比，篡改带来的影响比较大。在此，篡改对象设备确定系统具备上述“构成4”。因此，可以恰当地设定警告度。其结果，对于接收通知部进行的通知的人员而言，可以恰当地掌握操作信息的篡改带来的影响的大小。
[0107]
在上述实施方式，也可以是，所述至少一个作业设备包含多台作业设备，在所述多台作业设备各自具备的所述篡改检测部检测到所述特定信息的篡改的情况下，所述通知部，对于具备检测到所述特定信息的篡改的所述篡改检测部的所述作业设备，生成与所述警告度相对应的所述通知。
[0108]“构成5”通知部，在篡改检测部在多台作业设备分别检测到篡改的情况下，对多台作业设备分别生成与警告度相对应的通知。
[0109]
根据上述“构成5”，可以对多台作业设备的每台设备进行与警告度相对应的通知。其结果，例如，对于接收通知的人员而言，可以容易地判断应该从多台作业设备之中的哪台设备起进行针对篡改的处理(处理的优先顺序)。
[0110]
在上述实施方式，也可以是，所述主体部侧密钥保持部统一地保持与所述多个设备对应的所述多个主体部侧密钥。
[0111]“构成6”主体部侧密钥保持部统一地保持与多个设备对应的主体部侧密钥。
[0112]
根据上述“构成6”，对于被保持在主体部侧密钥保持部的主体部侧密钥，没有必要在设备组的每个设备都需要设置用于保持主体部侧密钥的存储区域(存储空间)。因此，可以消减被设置在设备组的设备上的存储装置的必要容量或者没有必要在设备组的设备上设置存储装置。
[0113]
在上述实施方式，也可以是，还包括密钥生成部，重新生成与所述篡改检测部检测到篡改的所述特定信息对应的所述特定设备所对应的所述操作部侧密钥以及所述主体部侧密钥。
[0114]“构成7”篡改对象设备确定系统具备密钥生成部。密钥生成部重新生成与篡改检测部检测到篡改的特定信息(篡改对象信息)对应的特定设备(篡改对象设备)所对应的操作部侧密钥以及主体部侧密钥。
[0115]
根据上述“构成7”，重新生成(再生成)与篡改对象设备对应的操作部侧密钥以及主体部侧密钥。因此，与检测到篡改之后还继续使用与篡改对象设备对应的密钥相比，可以使类推密钥变得不那么容易。
[0116]
在上述实施方式，也可以是，所述操作部侧篡改检测码以及所述主体部侧篡改检测码为消息认证码。
[0117]“构成8”篡改检测码为消息认证码。
[0118]
在上述“构成8”，作为用于检测信息的篡改的代码采用被一般使用的消息认证码。因此，可以将在篡改对象设备确定系统以外的系统等所使用的用于生成或比较消息认证码的软件方便地应用于篡改对象设备确定系统。
[0119]
在上述实施方式，也可以是，与所述多个设备之中的某个设备对应的所述操作部侧密钥和与该某个设备对应的所述主体部侧密钥相互一致。
[0120]
本发明的另一方面涉及的篡改对象设备确定程序，是在具备操作部和主体部作业设备所使用的篡改对象设备确定程序，所述操作部发送用于操作多个设备的信息即操作信息，所述主体部是至少一个作业设备具有的主体部分，具备用于接收所述操作信息并基于所述操作信息而被操作的多个设备，该程序使计算机执行以下步骤：让所述操作部保持多个操作部侧密钥的操作部侧密钥保持步骤；操作部侧代码生成步骤；从所述操作部向所述主体部发送信息的发送步骤；让所述主体部保持多个主体部侧密钥的主体部侧密钥保持步骤；主体部侧代码生成步骤；以及，篡改检测步骤，其中，所述多个操作部侧密钥以及所述多个主体部侧密钥分别以与所述多个设备相对应的方式而设定，并且被设定成针对所述多个设备彼此不同，所述操作部侧代码生成步骤，基于所述操作信息所包含的信息且与所述多个设备之中的一个以上的设备即特定设备对应的信息即特定信息和所述多个操作部侧密钥之中与所述特定设备对应的所述操作部侧密钥，生成操作部侧篡改检测码，所述发送步骤，将所述操作部侧篡改检测码和所述操作信息从所述操作部发送到所述主体部，所述主体部侧代码生成步骤，基于所述主体部从所述操作部接收到的所述特定信息和所述多个主体部侧密钥之中与所述特定设备对应的所述主体部侧密钥，生成主体部侧篡改检测码，所述篡改检测步骤，通过判断所述操作部侧篡改检测码与所述主体部侧篡改检测码是否一致，检测出所述特定信息的篡改。
[0121]
本实施方式的篡改对象设备确定程序被用于作业设备。作业设备具备操作部和主体部。操作部用于发送操作信息。主体部是作业设备的主体部分，用于接收操作信息，具有设备组。设备组包含基于操作信息被操作的多个设备。篡改对象设备确定程序使计算机(操作部、主体部)执行：操作部侧密钥保持步骤、操作部侧代码生成步骤、发送步骤、主体部侧密钥保持步骤、主体部侧代码生成步骤以及篡改检测步骤。
[0122]“构成9”操作部侧密钥保持步骤使操作部(操作部侧密钥保持部)保持操作部侧密钥。操作部侧代码生成步骤，基于操作信息的至少一部分以及操作部侧密钥，生成操作部侧篡改检测码。发送步骤将信息从操作部发送到主体部。主体部侧密钥保持步骤使主体部(主体部侧密钥保持部)保持主体部侧密钥。主体部侧代码生成步骤，基于操作信息的至少一部分以及主体部侧密钥，生成主体部侧篡改检测码。篡改检测步骤检测出信息的篡改。操作部侧密钥以及主体部侧密钥分别以与每个设备相对应的方式而设定，并且，针对每个设备被设定成为彼此不同。操作部侧代码生成步骤，基于操作信息所包含的信息且与设备组所包
含的特定设备对应的信息即特定信息和与特定设备对应的操作部侧密钥，生成操作部侧篡改检测码。发送步骤将操作部侧篡改检测码和操作信息从操作部发送到主体部。主体部侧代码生成步骤，基于主体部从操作部接收到的特定信息和与特定设备对应的主体部侧密钥，生成主体部侧篡改检测码。篡改检测步骤，通过判断操作部侧篡改检测码与主体部侧篡改检测码是否一致，检测出特定信息的篡改。
[0123]
通过篡改对象设备确定程序可以获得与上述篡改对象设备确定系统相同的效果。
[0124]
本发明的另一方面涉及的篡改对象设备确定方法，是在具备操作部和主体部的作业设备所使用的篡改对象设备确定方法，所述操作部发送用于操作多个设备的信息即操作信息，所述主体部是至少一个作业设备具有的主体部分，具备用于接收所述操作信息并基于所述操作信息而被操作的多个设备，包括以下步骤：让所述操作部保持多个操作部侧密钥的操作部侧密钥保持步骤；操作部侧代码生成步骤；从所述操作部向所述主体部发送信息的发送步骤；让所述主体部保持多个主体部侧密钥的主体部侧密钥保持步骤；主体部侧代码生成步骤；以及，篡改检测步骤，其中，所述多个操作部侧密钥以及所述多个主体部侧密钥分别以与所述多个设备相对应的方式而设定，并且，针对所述多个设备被设定成为彼此不同，所述操作部侧代码生成步骤，基于所述操作信息所包含的信息且与所述多个设备之中的一个以上的设备即特定设备对应的信息即特定信息和所述多个操作部侧密钥之中与所述特定设备对应的所述操作部侧密钥，生成操作部侧篡改检测码，所述发送步骤，将所述操作部侧篡改检测码和所述操作信息从所述操作部发送到所述主体部，所述主体部侧代码生成步骤，基于所述主体部从所述操作部接收到的所述特定信息和所述多个主体部侧密钥之中与所述特定设备对应的所述主体部侧密钥，生成主体部侧篡改检测码，所述篡改检测步骤，通过判断所述操作部侧篡改检测码与所述主体部侧篡改检测码是否一致，检测出所述特定信息的篡改。
[0125]
本实施方式的篡改对象设备确定方法被用于作业设备。作业设备具备操作部和主体部。操作部用于发送操作信息。主体部是作业设备的主体部分，用于接收操作信息，具有设备组。设备组包含基于操作信息被操作的多个设备。篡改对象设备确定方法具备操作部侧密钥保持步骤、操作部侧代码生成步骤、发送步骤、主体部侧密钥保持步骤、主体部侧代码生成步骤以及篡改检测步骤。各步骤的内容与上述“构成9”相同。
[0126]
通过篡改对象设备确定方法可以获得与上述篡改对象设备确定系统相同的效果。