阅读说明：本技术 车载功能访问控制系统、车载装置及车载功能访问控制方法 (Vehicle-mounted function access control system, vehicle-mounted device and vehicle-mounted function access control method ) 是由 中嶋纯子 的崎伸彰 高塚雄也 盐本佳子 于 2018-02-21 设计创作，主要内容包括：本发明的目的在于抑制未被允许的人所进行的不当的车载功能的使用。车载功能访问控制系统(11)包括：密码处理部(101),该密码处理部(101)对用于执行车载装置具有的功能即车载功能的车载功能程序进行加密并获取加密数据；加密数据存储部(102),该加密数据存储部(102)存储加密数据；认证部(103),该认证部(103)进行使用者的认证；解码处理部(104),该解码处理部(104)在认证成功后将加密数据解码为车载功能程序；以及程序存储部(105),该程序存储部(105)设置在车载装置上,并在认证成功后存储由解码处理部进行解码后的车载功能程序。(The purpose of the present invention is to suppress the use of an inappropriate vehicle-mounted function by an unauthorized person. An in-vehicle function access control system (11) comprises: an encryption processing unit (101) that encrypts a vehicle-mounted function program for executing a vehicle-mounted function that is a function provided by a vehicle-mounted device, and acquires encrypted data; an encrypted data storage unit (102), wherein the encrypted data storage unit (102) stores encrypted data; an authentication unit (103), wherein the authentication unit (103) authenticates a user; a decoding processing unit (104) that decodes the encrypted data into the in-vehicle function program after the authentication is successful; and a program storage unit (105), wherein the program storage unit (105) is provided in the in-vehicle device, and stores the in-vehicle function program decoded by the decoding processing unit after the authentication is successful.)

车载功能访问控制系统、车载装置及车载功能访问控制方法

技术领域

本发明涉及控制对车载功能的访问的技术。

背景技术

现有技术中，存在车载导航系统(例如专利文献1)或自动驾驶系统这样的各种车载系统。

现有技术文献

专利文献

专利文献1：日本专利特开2016-029392号公报

发明内容

发明所要解决的技术问题

在上述车载系统中，已知有下述方法：第三者滥用搭载到车载装置上的车载功能来对车辆进行攻击。在车载功能中尤其是调试功能可进行程序的执行或对存储器的访问，因此若从攻击者来看则是高效的进攻路径，可进行风险较高的攻击。本发明是鉴于上述问题而完成的，其目的在于抑制未被允许的人所进行的不当的车载功能的使用。

解决技术问题所采用的技术方案

本发明的车载功能访问控制系统包括：密码处理部，该密码处理部对用于执行车载装置具有的功能即车载功能的车载功能程序进行加密并获取加密数据；存储部，该存储部存储加密数据；认证部，该认证部进行使用者的认证；解码处理部，该解码处理部在认证成功后将加密数据解码为车载功能程序；以及程序存储部，该程序存储部设置在车载装置上，并在认证成功后存储车载功能程序。

发明效果

根据本发明的车载功能访问控制系统，在使用者的认证成功前在存储部存储加密数据，但不存储车载功能程序。因此，可以抑制未接受认证的人或认证失败的人所进行的车载功能的使用。本发明的目的、特征、形态以及优点通过以下详细的说明和附图会变得更为明了。

附图说明

图1是实施方式1的车载功能访问控制系统的概念图。

图2是表示实施方式1的车载功能访问控制系统的结构的框图。

图3是表示实施方式1的车载功能访问控制系统的动作的流程图。

图4是表示实施方式2的车载功能访问控制系统的结构的框图。

图5是表示车辆的结构的框图。

图6是实施方式2的车辆通信装置的结构图。

图7是实施方式2的管理服务器的结构图。

图8是实施方式2的IC卡的结构图。

图9是例示出管理数据库的详细情况的图。

图10是例示出密钥管理数据表格的详细情况的图。

图11是例示出车载功能数据表格的详细情况的图。

图12是例示出使用者认证数据表格的详细情况的图。

图13是例示出日志信息数据表格的详细情况的图。

图14是表示实施方式2的车载功能访问控制系统的动作的流程图。

图15是表示实施方式2的加密处理的详细情况的流程图。

图16是表示实施方式2的认证信息生成处理的详细情况的流程图。

图17是表示实施方式2的使用者认证处理和使用妥当性判定处理的详细情况的流程图。

图18是表示实施方式2的功能有效化处理的详细情况的流程图。

图19是实施方式3的车辆通信装置的结构图。

图20是实施方式3的IC卡的结构图。

图21是表示实施方式3的功能有效化处理的详细情况的流程图。

图22是实施方式4的车辆通信装置的结构图。

图23是实施方式4的管理服务器的结构图。

图24是实施方式5的车辆通信装置的结构图。

图25是表示实施方式5的功能有效化处理的详细情况的流程图。

具体实施方式

<A.实施方式1>

图1是实施方式1的车载功能访问控制系统的概念图。车载功能访问控制系统控制对搭载到车辆200上的车载装置的车载功能的访问。此处，车载装置是指为了实现某种功能而搭载到车辆200上的装置，车载功能是指车载装置所实现的功能。车载功能访问控制系统进行确认用户是否是被允许使用车载功能的人的行为即认证，仅使认证成功的人可使用车载功能。例如，仅使车辆的经销商或供应商通过认证，对于认证失败的一般用户、或绕开认证而要使用车载功能的攻击者，则不能使用车载功能。

此处，成为限制访问的对象的车载功能只要是车载装置具有的功能则可以是任意的。然而，对于其中维护功能或调试功能，由于已知有滥用上述功能来对车辆进行攻击的方法，因此限制访问的必要性尤其高。维护功能是用于进行车辆的维护的功能，调试功能是进行其中各种错误检查等的功能。

<A-1.结构>

图2是表示实施方式1的车载功能访问控制系统11的结构的框图。车载功能访问控制系统11包括密码处理部101、加密数据存储部102、认证部103、解码处理部104以及程序存储部105。

密码处理部101对车载功能程序进行加密并生成加密数据。车载功能程序是指用于执行车载功能的程序。以下，在本说明书中，将未被加密的车载功能程序简称为“车载功能程序”，将被加密的车载功能程序称为“加密数据”。

加密数据存储于加密数据存储部102。

认证部103进行使用者的认证。

解码处理部104在认证部103所进行的认证成功之后，对加密数据进行解码并获取车载功能程序。

程序存储部105设置在车载装置上，存储由解码处理部104解码后的车载功能程序。另外，加密数据存储部102和程序存储部105可以是同一存储部。

<A-2.动作>

图3是表示车载功能访问控制系统11的动作的流程图。以下，按照图3对车载功能访问控制系统11的动作进行说明。

首先，密码处理部101对车载功能程序进行加密，生成加密数据。将该处理称为加密处理(步骤S101)。将在步骤S101中生成得到的加密数据存储于加密数据存储部102。

接着，认证部103进行使用者的认证处理(步骤S102)。在认证处理中，当确认出使用者是正规的使用者这一情况时(在步骤S103中为“是”)，解码处理部104对加密数据进行解码来获得车载功能程序(步骤S104)。然后，将解码后的车载功能程序存储于程序存储部105(步骤S105)。

另一方面，在使用者不是正规的使用者的情况下(在步骤S103中为“否”)，车载功能访问控制系统11不对加密数据进行解码而结束处理。

<A-3.效果>

如上述说明那样，实施方式1的车载功能访问控制系统11包括：密码处理部101，该密码处理部101对用于执行车载装置具有的功能即车载功能的车载功能程序进行加密并获取加密数据；加密数据存储部102，该加密数据存储部102存储加密数据；认证部103，该认证部103进行使用者的认证；解码处理部104，该解码处理部104在认证成功后将加密数据解码为车载功能程序；以及程序存储部105，该程序存储部105设置在车载装置上，并在认证成功后存储由解码处理部进行解码后的车载功能程序。

另外，实施方式1的车载功能访问控制方法中，对用于执行车载装置具有的功能即车载功能的车载功能程序进行加密并获取加密数据，将加密数据存储于存储部，进行使用者的认证，并在认证成功后将加密数据解码为车载功能程序，在认证成功后将解码后的车载功能程序存储于存储部。

通过上述的结构，仅在使用者的认证成功时，将加密数据解码为车载功能程序并存储于程序存储部105。因此，使用者仅能在认证成功时使用车载功能。由于未被给予允许使用车载功能的使用者认证失败，因此不能使用车载功能。另外，即使攻击者避开认证而尝试使用车载功能，在该情况下程序存储部105也不存储车载功能程序，因此不能使用车载功能。

<B.实施方式2>

<B-1.结构>

图4是表示实施方式2的车载功能访问控制系统12的结构的框图。车载功能访问控制系统12构成为包括搭载到车辆200上的车辆通信装置100、管理服务器300、IC卡600以及供应商800。图4中，逐个示出了车载功能访问控制系统12的各结构要素，但各结构要素的数量也可以是多个。

车辆200、管理服务器300以及供应商800经由网络400来进行通信。网络400的具体例是互联网。

IC卡600存储由管理服务器300生成得到的使用者认证信息。另外，IC卡600是车载功能的使用者500使用的终端即使用者终端的一例。作为使用者终端，还假设有具备同等功能的其它器件，例如移动终端或USB令牌等，但在本说明书中将使用者终端作为IC卡来进行说明。

如图5所示那样，在车辆200上搭载有车辆通信装置100、彼此进行通信的多个ECU(Electric Control Unit：电子控制单元)202。多个ECU202与车载网络201经由以CAN(Controller Area Network：控制器局域网)或Flexray等通信协议为基准的车载网络201而相连接。车辆通信装置100具有的车载功能是车载功能访问控制系统12所进行的访问控制的对象。

图6是表示车辆通信装置100的结构的框图。车辆通信装置100对车载功能的使用希望者进行认证处理，仅限于认证成功时、即能够确认出使用希望者是正规的使用者这一情况时，将加密数据解码为车载功能程序，并将车载功能设为可使用的状态。

车辆通信装置100是包括处理器110、HSM(Hardware Security Module：硬件安全模块)120、显示设备130、存储部140、辅助存储部150、通信部160以及输入装置170这样的硬件的计算机，是一种车载装置。

处理器110经由信号线与其它硬件相连接。处理器110是进行运算处理的IC(Integrated Circuit：集成电路)，并控制其它硬件。处理器110具体而言是CPU(CentralProcessing Unit：中央处理单元)、DSP(Digital Signal Processor：数字信号处理器)或GPU(Graphics Processing Unit：图形处理单元)。

处理器110包括认证部111、判定部112以及切换部113。认证部111进行用户认证。判定部112针对通过用户认证而确认出是正规的使用者的使用希望者，对车载功能的使用妥当性进行判断。在认证部111将使用希望者确认为正规的使用者、判定部112将车载功能的使用判断为妥当的情况下，切换部113将存储于存储部140的虚拟程序置换为车载功能程序并将车载功能设为可使用的状态。

HSM120包括密码处理部121和密码密钥存储部122。密码密钥存储部122安全地保管密码密钥。密码处理部121使用存储于密码密钥存储部122的密码密钥来进行密码运算，对车载功能程序进行加密。

显示设备130是显示图像等的设备，例如是液晶显示器。显示设备130也称为监视器。

存储部140是RAM(Random Access Memory：随机存储器)等，存储有用于执行车辆通信装置100的车载功能的车载功能程序141、与对车载功能程序进行加密而得到的加密数据142。即，存储部140作为存储加密数据的加密数据存储部、与存储车载功能程序的程序存储部而发挥作用。

辅助存储部150是非易失性的存储装置，具体而言为ROM(Read Only Memory：只读存储器)、HDD(Hard Disk Drive：硬盘驱动器)或闪存。在辅助存储部150中存储使用者认证信息151和日志信息152。

通信部160是进行通信的装置，包括接收机和发射机。具体而言，通信部160是通信芯片或NIC(Network Interface Card：网卡)。

输入装置170作为接受对车辆通信装置100的输入的接受部而发挥作用。

图7是表示管理服务器300的结构的框图。管理服务器300是包括处理器310、存储部320、通信部330以及密钥写入部340这样的硬件的计算机。

处理器310、存储部320以及通信部330的硬件结构与车辆通信装置100的处理器110、存储部140以及通信部160相同。然而，相对于车辆通信装置100是面向组装设备的计算机，管理服务器300是实现作为服务器的功能的计算机。由此，管理服务器300是计算能力远高于车辆通信装置100的计算机。

处理器310包括密钥生成部311、认证信息生成部312以及密码处理部313。密钥生成部311生成用户认证所需要的密钥(以下，称为认证密钥)。认证信息生成部312生成认证密钥以外的使用者认证信息。密码处理部313进行车载功能程序的加密。

存储部320包括管理数据库321。

通信部330经由网络400与供销商800和车辆通信装置100彼此相连接。

密钥写入部340将密钥生成部311生成得到的认证密钥写入IC卡600。

图8是表示IC卡600的结构的框图。IC卡600包括处理器610、存储部620以及通信部630。处理器610、存储部620以及通信部630的硬件结构与车辆通信装置100的处理器110、存储部140以及通信部160相同。

存储部620存储在IC卡600中使用的数据。例如，存储部620存储使用者ID621和使用者认证密钥622。

通信部630对在IC卡600中使用的数据进行通信。例如，通信部630在IC卡600发行时或更新时，从管理服务器300接收使用者ID621和使用者认证密钥622。另外，通信部630在与车辆通信装置100之间进行使用者认证所需要的数据的收发。

图9例示出了管理服务器300的存储部320具有的管理数据库321的详细情况。管理数据库321中包含密钥管理数据表格322、车载功能数据表格323、使用者认证数据表格324以及日志信息数据表格325。

图10例示出了密钥管理数据表格322的详细情况。密钥管理数据表格322中包含密钥的ID、登记日期时间以及密钥数据的信息。密钥管理数据表格322登记管理服务器300发行的对应于使用者ID的认证密钥ID及其密钥数据，用于统一管理它们的更新或失效这样的生命周期。另外，密钥管理数据表格322中，对于用于对车载功能程序进行加密的数据加密用的密码密钥，还包含其ID、登记日期时间以及密钥数据的信息。即，密钥管理数据表格322还用于进行密码密钥的登记和管理。

图11例示出了车载功能数据表格323的详细情况。车载功能数据表格323中，包含数据的ID、登记日期时间、用于识别车载功能程序的ID即车载功能识别ID、车载功能程序的版本、用于识别加密程序的ID即加密程序识别ID以及车辆功能程序的数据这样的信息。车载功能数据表格323用于在管理服务器300上统一管理成为车载功能访问控制系统12的保护对象的车载功能程序。

图12例示出了使用者认证数据表格324的详细情况。使用者认证数据表格324由针对每个使用者而准备的多个使用者认证信息107构成。使用者认证信息107包含使用者ID、报头信息、状态、使用者认证密钥、以及与使用履历有关的使用信息。使用者认证密钥可以是公钥也可以是私钥。状态表示使用者的认证状态，例如，在使用者的认证失效时将该信息记载为状态。

图13例示出了日志信息数据表格325的详细情况。日志信息数据表格325由多个日志信息108构成。日志信息108中，包含日志ID、日期时间、事件ID以及内容这样的信息。日志信息108按每辆车辆200来存储并保管。

<B-2.动作>

按照图14对车载功能访问控制系统12的动作进行说明。

首先，管理服务器300利用加密处理部313对车载功能程序进行加密，获取加密数据(步骤S201)。将本步骤的处理称为加密处理。加密处理在制造车辆200和车辆通信装置100时或在发货后的车载功能的软件更新时实施。

接着，管理服务器300利用密钥生成部311生成认证密钥，利用认证信息生成部312生成其它认证信息，并将生成得到的认证密钥和认证信息存储于IC卡600和管理数据库321(步骤S202)。将本步骤的处理称为认证信息生成处理。

接着，车辆通信装置100利用认证部111进行使用者认证处理，在认证成功时判定部112进一步灵活运用日志等信息，进行功能的使用妥当性判定处理(步骤S203)。

而且，当在使用者认证处理或使用妥当性判定处理中没有异常(在步骤S204中为“否”)时，车辆通信装置100利用密码处理部121对加密数据进行解码，并将车载功能设定为可使用的状态(步骤S205)。将本步骤的处理称为功能有效化处理。车辆通信装置100在使用者所进行的车载功能的使用结束之后、或从功能有效化起经过规定时间之后，进行使车载功能的可使用状态返回至原状的处理。

另外，当在使用者认证处理、使用妥当性判定处理中有异常时(在步骤S204中为“是”)，不进行车辆通信装置100的功能有效化处理，而使车载功能访问控制系统12的处理结束。

图15是表示加密处理(图14的步骤S201)的详细情况的流程图。以下，按照图15，对加密处理的详细情况进行说明。首先，管理服务器300的通信部330从供应商服务器800经由安全的网络400获取车载功能程序。将获取到的车载功能程序存储于存储部320的管理数据库321并登记在车载功能数据表格323中(步骤S2011)。此处，对于经由网络400而获取车载功能程序的方法进行了阐述，但管理服务器300也可以通过使用了介质的安全的交换来获取车载功能程序。

接着，加密处理部313使用在密钥管理数据表格322中由ID管理的数据加密用的密码密钥，执行在步骤S2011中登记过的车载功能程序的加密，生成加密数据(步骤S2012)。

然后，管理服务器300更新管理数据库321的车载功能数据表格323，登记在步骤S2012中生成得到的加密数据(步骤S2013)。

接着，通信部330将加密数据发送至车辆通信装置100，在车辆通信装置100中加密数据被写入至存储部140(步骤S2014)。本步骤在工厂内制造车辆通信装置100时或在发货后的车载功能的软件更新时来实施。

图16是表示认证信息生成处理(图14的步骤S202)的详细情况的流程图。以下，按照图16，对认证信息生成处理的详细情况进行说明。首先，管理服务器300的密钥生成部311生成用于使用者认证的使用者认证密钥622(步骤S2021)。接着，管理服务器300的认证信息生成部312生成使用者认证信息(步骤S2022)。管理服务器300将在步骤S2021和步骤S2022中生成得到的使用者认证密钥622和使用者认证信息存储于存储部320的管理数据库321，并更新密钥管理数据表格322和使用者认证数据表格324(步骤S2023)。并且，密钥写入部340将使用者ID621和使用者认证密钥622写入IC卡600(步骤S2024)。具体而言，密钥写入部340将使用者ID621和使用者认证密钥622存储于IC卡600的存储部620。该IC卡600通过仅对经销商或供应商等特定的用户发行，从而限制可使用车载功能的用户。接着，通信部330向车辆通信装置100发送使用者认证信息，车辆通信装置100更新辅助存储部150的使用者认证信息151(步骤S2025)。

图17是表示使用者认证处理和使用妥当性判定处理(图14的步骤S203)的详细情况的流程图。以下，按照图17，对使用者认证处理和使用妥当性判定处理的详细情况进行说明。首先，使用者将IC卡600连接到车辆通信装置100(步骤S2031)。连接方法虽然与接触或非接触无关，但对通信路径和通信协议进行安全上的保护。接着，使用者经由输入装置170输入希望使用的车载功能(步骤S2032)。由此，输入装置170作为从使用者接受车载功能的使用请求的使用请求接受部而发挥作用。之后，车辆通信装置100的认证部111在与IC卡600之间进行相互认证(步骤S2033)。认证部111使用认证机制、具体而言ISO/IEC中作为国际标准技术的协议等已有技术，来进行相互认证。

认证部111对认证结果进行判定(步骤S2034)。当认证成功时前进至步骤S2035，当认证失败时结束处理。在步骤S2035中，判定部112检索存储于辅助存储部150的日志信息152或管理服务器300的管理数据库321内的日志信息数据表格325并参照日志信息，来对车载功能的使用妥当性进行判定。以下，例示出三个判定方法，判定部112可以使用上述中的任一个判定方法，也可以使用多个判定方法。

第1判定方法是分析使用者认证处理与日志信息之间的相关的方法。对于一部分的维护功能，因车辆中产生了某种异常而被实施的情况较多。因此，判定部112使用该事实，对记录有车辆异常的日志信息与使用者认证处理之间的相关进行分析，来对该维护功能的使用妥当性进行判定。例如，对于在从使用者认证处理开始的规定期间内的过去的时刻车辆中产生了异常的情况，将车载功能的使用判定为妥当。另外，判定部112也可以按每个车载功能来对使用妥当性进行判定，以使得在虽然车辆在从使用者认证处理开始的规定期间内的过去的时刻产生了异常、但为与使用者希望使用的车载功能的关系较小的异常的情况下，将该车载功能的使用判定为不当。

第2判定方法在使用者认证时向云上的管理服务器进行询问，对该用户想要使用的功能的使用妥当性进行判定。在维护功能等一部分的车载功能中，对应于车辆制造方实施的调查来预先确定可使用期间。判定部112基于该可使用期间判断使用的妥当性，具体而言针对在可使用期间外想要使用的行为判定为存在非法访问的可能性。

第3判定方法是基于同一使用者的车载功能的使用履历来对使用妥当性进行判定的方法。同一用户的车载功能的使用履历可从保管于车辆通信装置100的辅助存储部150或管理服务器300的管理数据库321的日志信息中获取。另外，用户的同一性可根据使用者终端来判断。例如，在同一用户在一定期间超过规定次数地使用车载功能、或在分开的地方在同一时期使用车载功能的情况下，判定部112可以将使用判定为不当。

在判定部112将车载功能的使用判定为妥当时(在步骤S2036中为“是”)，判定部112判断为使用者认证处理和使用妥当性判定处理没有异常(步骤S2037)，并结束处理。另一方面，在认证部111所进行的认证失败时(在步骤S2034中为“否”)，认证部111判断为使用者认证处理有异常(步骤S2038)，并结束处理。另外，在判定部112将车载功能的使用判定为不当时(在步骤S2036中为“否”)，判定部112判断为使用妥当性判定处理有异常(步骤S2038)，并结束处理。

图18是表示功能有效化处理(图14的步骤S205)的详细情况的流程图。以下，按照图18，对功能有效化处理的详细情况进行说明。首先，车辆通信装置100的密码处理部121使用密码密钥，对加密数据142进行解码并获取车载功能程序(步骤S2051)。即，密码处理部121作为将加密数据解码为车载功能程序的解码处理部而发挥作用。接着，车辆通信装置100将组装于存储部140的执行程序区域中的虚拟程序与在步骤S2051中获取到的车载功能程序进行置换(步骤S2052)。由此，车载功能成为可使用的状态。

接着，车辆通信装置100对使用者所进行的车载功能的使用是否结束进行判断(步骤S2053)。例如，车辆通信装置100基于由使用者按下了设置于车辆通信装置100的结束按钮(未图示)这一情况、或达到了预定的有效期限这一情况等，来进行步骤S2053的判断。将有效期限例如决定为特定的期间日期、或车载功能成为可使用状态之后的一定时间等。

若使用者所进行的车载功能的使用结束，则车辆通信装置100删除组装于存储部140的执行程序区域的车载功能程序，并置换为虚拟程序(步骤S2054)。由此，车载功能成为不能使用的状态。

另外，在上述的功能有效化处理的说明中，通过置换虚拟程序和车载功能程序，从而进行车载功能的有效或无效的切换。然而，至少可以在车载功能有效时将车载功能程序存储于存储部140的执行程序区域，并在车载功能无效时将车载功能程序从存储部140的执行程序区域中删除，与虚拟程序的置换并不是必须的。然而，通过使用虚拟程序，从而具有执行程序区域的写入变得容易这一优点。

<B-3.效果>

实施方式2的车载功能访问控制系统12包括判定部112，该判定部112对使用者的车载功能的使用妥当性进行判定。而且，若判定部112将使用判定为妥当，则解码处理部即密码处理部121对车载功能程序进行解码。因此，即使认证成功的使用者在使用被判定为不当时也不能使用车载功能。

实施方式2的车辆通信装置100是具有车载功能的车载装置，对用于执行车载功能的车载功能程序进行加密，并包括：输入装置170，该输入装置170是从使用者接受车载功能的使用请求的使用请求接受部；以及存储部140，该存储部140是在使用者的认证成功之后存储解码后的车载功能程序的程序存储部。因此，使用者可以仅在认证成功时使用车载功能。由于未被给予允许使用车载功能的使用者认证失败，因此不能使用车载功能。另外，即使攻击者避开认证而尝试使用车载功能，在该情况下，程序存储部105也没有存储车载功能程序，因此不能使用车载功能。

<C.实施方式3>

实施方式2中，车辆通信装置100具有密码密钥并进行了加密数据的解码。对此，实施方式3中，IC卡具有密码密钥并进行加密数据的解码。由此，密码密钥和加密数据分担在IC卡和车辆通信装置中而被管理，因此安全得到提高。

<C-1.结构>

实施方式3的车载功能访问控制系统的结构与图4所示的实施方式2的车载功能访问控制系统相同。然而，实施方式3中，车辆通信装置和IC卡的结构与实施方式2不同，因此将上述分别称为车辆通信装置100B、IC卡600B并进行以下说明。

图19是车辆通信装置100B的结构图。车辆通信装置100B在HSM120不具有密码密钥存储部这一点上与实施方式2的车辆通信装置100不同。

图20是IC卡600B的结构图。IC卡600B在处理器610包括密码处理部611、存储部620具有密码密钥623这一点上与实施方式2的IC卡600不同。由此，在实施方式3的车载功能访问控制系统中，用于加密车载功能程序的密码密钥不是存在于车辆通信装置100B而是存在于IC卡600B中。

<C-2.动作>

实施方式3的车载功能访问控制系统的动作与图14中示出了流程的实施方式2的车载功能访问控制系统12的动作相同，由加密处理、认证信息生成处理、使用者认证处理、使用妥当性判定处理以及功能有效化处理构成。其中，加密处理、使用者认证处理以及使用妥当性判定处理与实施方式2相同，因此省略详细流程的说明。

实施方式3的认证信息生成处理与图16中示出了流程的实施方式2的认证信息生成处理大致相同。然而，相对于实施方式2中管理服务器300将使用者ID和使用者认证密钥写入IC卡600的情况，实施方式3中，除了上述情况以外，管理服务器300还将密码密钥写入IC卡600B。

图21是表示实施方式3的功能有效化处理的详细情况的流程图。以下，按照图21，对实施方式3的功能有效化处理进行说明。首先，车辆通信装置100B的通信部160将存储于存储部140的加密数据142发送至IC卡600B(步骤S2051A)。接着，IC卡600B的密码处理部611使用密码密钥对加密数据进行解码，并将由此得到的车载功能程序发送返回至车辆通信装置100B(步骤S2051B)。之后的步骤S2052-S2054与图18所示的实施方式2的处理相同，因此省略说明。

<C-3.效果>

实施方式3的车载功能访问控制系统中，使用者终端即IC卡600B具有密码处理部611。通过采用利用IC卡600B进行加密数据的解码的结构，从而在车辆通信装置100B中分担并保有加密数据，并在IC卡600B中分担并保有密码密钥。因此，安全得以提高。

<D.实施方式4>

实施方式2中，车辆通信装置100在与IC卡600之间进行使用者认证处理。与之相对，实施方式4中，管理服务器在与IC卡之间进行使用者认证处理。

<D-1.结构>

实施方式4的车载功能访问控制系统的结构与图4所示的实施方式2的车载功能访问控制系统相同。然而，实施方式4中，车辆通信装置和管理服务器的结构与实施方式2不同，因此将它们分别称为车辆通信装置100C、管理服务器300C并进行以下说明。

图22示出了车辆通信装置100C的结构。车辆通信装置100C在处理器110不包括认证部111、辅助存储部150未存储使用者认证信息151这一点上，与实施方式2的车辆通信装置100不同。

图23示出了管理服务器300C的结构。管理服务器300C除了实施方式2的管理服务器300的结构以外，处理器310还包括认证部314。

<D-2.动作>

实施方式4的车载功能访问控制系统的动作与图14中示出了流程的实施方式2的车载功能访问控制系统12的动作相同，由加密处理、认证信息生成处理、使用者认证处理、使用妥当性判定处理以及功能有效化处理构成。其中，加密处理、使用妥当性判定处理以及功能有效化处理与实施方式2相同，因此省略详细流程的说明。

实施方式4的认证信息生成处理除了从管理服务器300C对车辆通信装置100C不发送使用者认证信息这一点以外，与图16所示的实施方式3的认证信息生成处理相同。

实施方式4的使用者认证处理除了管理服务器300C的认证部314经由车辆通信装置100C而与IC卡600进行相互认证这一点以外，与图17所示的实施方式2的使用者认证处理相同。另外，此处，IC卡600以仅对应于近距离无线通信这一情况为前提，管理服务器300C经由车辆通信装置100C而与IC卡600进行相互认证。在使用对应于平板终端或个人电脑等远距离的无线通信的使用者终端的情况下，管理服务器300C也可以与上述的使用者终端进行直接通信并进行相互认证。

另外，本实施方式可以与实施方式3进行组合。即，可以利用管理服务器进行使用者认证，且利用IC卡对加密数据进行解码。

<D-3.效果>

实施方式4的车载功能访问控制系统中，将认证部314设置在与车载装置即车辆通信装置100C进行通信的管理服务器300C上。由此，可以简化车辆通信装置100C的结构。

<E.实施方式5>

实施方式2-4中，管理服务器若对车载功能程序进行加密则将加密数据发送至车辆通信装置，车辆通信装置在使用者认证后将加密数据解码为车载功能程序。与之相对，本实施方式中，管理服务器对车载功能程序进行加密后对其进行保有，在使用者认证后将加密数据发送至车辆通信装置。本实施方式在除上述以外的其它点上与实施方式4相同。

<E-1.结构>

实施方式5的车载功能访问控制系统的结构与图4所示的实施方式2的车载功能访问控制系统相同。然而，实施方式5中，车辆通信装置的结构与实施方式2不同，因此将其称为车辆通信装置100D并进行以下说明。

图24是车辆通信装置100D的结构图。车辆通信装置100D在存储部140不存储加密数据这一点上与实施方式2的车辆通信装置100C不同。

<E-2.动作>

实施方式5的车载功能访问控制系统的动作与图14中示出了流程的实施方式2的车载功能访问控制系统12的动作相同，由加密处理、认证信息生成处理、使用者认证处理、使用妥当性判定处理以及功能有效化处理构成。其中，认证信息生成处理、使用者认证处理、使用妥当性判定处理以及功能有效化处理与实施方式2相同，因此省略详细流程的说明。

实施方式2的加密处理中，管理服务器300对车载功能程序进行加密后，向车辆通信装置发送了加密数据(图15的步骤S2014)。然而，本实施方式中，管理服务器300预先将加密数据存储于存储部320，在功能有效化处理时向车辆通信装置100D发送加密数据。即，管理服务器300的存储部320作为存储加密数据的加密数据存储部而发挥作用。

图25是表示实施方式5的功能有效化处理的详细情况的流程图。以下，按照图25，对实施方式5的功能有效化处理进行说明。首先，车辆通信装置100D从管理服务器300获取加密数据(步骤S2051C)。接着，车辆通信装置100对加密数据进行解码，获取车载功能程序(步骤S2051D)。之后的步骤S2052-2054与图18所示的实施方式2的处理相同，因此省略说明。

<E-3.效果>

实施方式5的车载功能访问控制系统中，将作为加密数据存储部的存储部320设置在与车辆通信装置100D进行通信的管理服务器300上。因此，当使用者的认证成功时，车辆通信装置中不存在加密数据，当然也不存在车载功能程序，因此与实施方式2相比安全得到提高。

另外，本实施方式可以与实施方式3或实施方式4进行组合。在将本实施方式与实施方式4组合的情况下，车辆通信装置100从管理服务器300获取到加密数据后，将该加密数据发送至IC卡600。然后，IC卡600对加密数据进行解码处理，并将得到的车载功能程序发送返回至车辆通信装置100。

另外，本发明可以在其发明范围内对各实施方式进行自由组合，或者对各实施方式适当地进行变形、省略。

本发明进行了详细的说明，但上述说明在所有方式中仅是示例，本发明并不局限于此。未举例示出的无数变形例可解释为是不脱离本发明范围而可设想到的。

标号说明

11、12 车载功能访问控制系统，

100、100B、100C、100D 车辆通信装置，

101、121、313、611 密码处理部，

102 加密数据存储部，

103 认证部，

104 解码处理部，

105 程序存储部，

107、151 使用者认证信息，

108、152 日志信息，

110、310、610 处理器，

111、314 认证部，

112 判定部，

113 切换部，

120 HSM，

122 密码密钥存储部，

130 显示设备，

140、320、620 存储部，

141 车载功能程序，

142 加密数据，

150 辅助存储部，

160、330、630 通信部，

170 输入装置，

200 车辆，

201 车载网络，

202 ECU，

300、300C 管理服务器，

311 密钥生成部，

312 认证信息生成部，

321 管理数据库，

322 密钥管理数据表格，

323 车载功能数据表格，

324 使用者认证数据表格，

325 日志信息数据表格，

340 密钥写入部，

400 网络，

500 使用者，

600、600B IC卡，

622 使用者认证密钥，

623 密码密钥，

800 供应商服务器。