阅读说明：本技术 车载认证系统、车载认证方法以及车载认证程序 (Vehicle-mounted authentication system, vehicle-mounted authentication method, and vehicle-mounted authentication program ) 是由 中岛纯子 西山博仁 村松龙 高塚雄也 于 2017-05-09 设计创作，主要内容包括：车载认证系统具有设置于搭载多个ECU的车辆并与各ECU进行通信的车辆通信装置(100)。认证部(101)对于各ECU执行认证结构的合法性的结构认证,将结构认证失败的ECU登记到认证错误列表。判定部(102)根据表示在车辆中实现的车辆搭载功能与用于实现车辆搭载功能的ECU之间的相关性的功能相关表以及认证错误列表,判定在车辆中能实现的车辆搭载功能。显示部(107)将由判定部(102)判定为在车辆中能实现的车辆搭载功能显示到显示设备(805)。(The vehicle-mounted authentication system is provided with a vehicle communication device (100) which is provided in a vehicle equipped with a plurality of ECUs and communicates with each ECU. An authentication unit (101) performs a configuration authentication for the validity of the authentication configuration for each ECU, and registers the ECU for which the configuration authentication has failed in the authentication error list. A determination unit (102) determines a vehicle-mounted function that can be implemented in a vehicle on the basis of a function correlation table and an authentication error list, the function correlation table indicating the correlation between the vehicle-mounted function that can be implemented in the vehicle and an ECU that implements the vehicle-mounted function. The display unit (107) displays the vehicle-mounted function determined to be available in the vehicle by the determination unit (102) on a display device (805).)

车载认证系统、车载认证方法以及车载认证程序

技术领域

本发明涉及车载认证系统、车载认证方法以及车载认证程序。

背景技术

近年来，在车载系统中搭载有大量对各种功能进行控制的ECU(Electric ControlUnit：电子控制单元)。各ECU经由车载网络而与其他ECU相互连接，与其他ECU进行协调动作。另一方面，对车载网络连接非法设备或将正规设备替换成非法设备这样的通过非法操作进行的攻击成为课题。因此，保护车载系统免于这样的攻击的技术非常重要。保护车载系统的技术包含预先防止攻击的技术和在车辆被非法控制的可能性高的情况下抑制非法控制的影响的技术。

为了将保护车载系统的技术搭载于ECU，显然要更新进行针对ECU的功能变更和功能追加的软件。进而，还需要应对追加新的ECU时的PnP(Plug and Play：即插即用)。为了安全地进行这些动作，需要实施用于判别非法的ECU和正规的ECU的认证和结构变化的状况下的结构认证。

并且，通过追加ECU功能，对用户提供新的车辆搭载功能。此时，在车辆中ECU与进行协调动作的其他ECU之间的相关关系发生变化。因此，需要根据变化管理最新信息的结构。

在专利文献1中公开有如下技术：设置对与ECU对应起来的安全等级和与安全等级对应的非法对应处理进行定义的对应信息表，进行与被检测到非法的ECU对应的非法对应处理。

并且，在专利文献2中记载有如下技术：主ECU具有与有可能搭载于车辆的全部ECU的信息有关的数据库，主ECU针对主ECU以外的ECU进行验证来进行结构证明。

现有技术文献

专利文献

专利文献1：日本特开2016-134170号公报

专利文献2：日本特开2010-11400号公报

发明内容

发明要解决的课题

在专利文献1的技术中，仅根据ECU的安全等级进行“停止、慢行、隔开间隔地行驶、通知”这样的非法对应处理。因此，在专利文献1的技术中，有可能过度地停止车辆搭载功能。

并且，在专利文献2的技术中仅公开有在无法确认结构证明的情况下将对象ECU与其他ECU之间的通信无效化的技术。因此，在专利文献2的技术中，驾驶员无法确认车辆的功能的状态，安全性和便利性差。

本发明的目的在于，在检测到非法的ECU的情况下，通过显示由非法的ECU以外的ECU能实现的车辆搭载功能而提高安全性和便利性。

用于解决课题的手段

本发明的车载认证系统具有车辆通信装置，该车辆通信装置设置于搭载多个电子控制装置的车辆，该车辆通信装置与所述多个电子控制装置的各电子控制装置进行通信，

所述车载认证系统具备：

认证部，其对于所述多个电子控制装置的各电子控制装置执行认证结构的合法性的结构认证，将结构认证失败的电子控制装置登记到认证错误列表；

判定部，其根据表示在所述车辆中实现的车辆搭载功能和用于实现所述车辆搭载功能的电子控制装置之间的相关性的功能相关表以及所述认证错误列表，判定在所述车辆中能实现的车辆搭载功能；以及

显示部，其将由所述判定部判定为在所述车辆中能实现的车辆搭载功能显示到所述车辆通信装置的显示设备。

发明效果

在本发明的车载认证系统中，认证部将结构认证失败的电子控制装置登记到认证错误列表。判定部根据表示车辆搭载功能与用于实现车辆搭载功能的电子控制装置之间的相关性的功能相关表以及认证错误列表，判定在车辆中能实现的车辆搭载功能。显示部将判定为在车辆中能实现的车辆搭载功能显示到车辆通信装置的显示设备。因此，根据本发明的车载认证系统，即便在检测到非法的电子控制装置的情况下也无需过度地停止车辆搭载功能，能够提高安全性和便利性。

附图说明

图1是实施方式1的车载认证系统10的结构图。

图2是实施方式1的车辆通信装置100的结构图。

图3是实施方式1的车辆200的结构图。

图4是实施方式1的认证管理装置300的结构图。

图5是示出实施方式1的ECU信息表620的详细内容的例子。

图6是示出实施方式1的结构数据表610的详细内容的例子。

图7是示出实施方式1的功能相关表640的详细内容的例子。

图8是实施方式1的功能管理处理的流程图。

图9是实施方式1的认证处理的流程图。

图10是示出实施方式1的认证错误列表630的例子的图。

图11是示出实施方式1的认证错误表631的例子的图。

图12是实施方式1的结构认证处理的详细内容的流程图。

图13是实施方式1的判定处理的流程图。

图14是示出实施方式1的功能相关表640的具体例的图。

图15是示出实施方式1的功能显示画面500的图。

图16是示出实施方式1的更新信息650的结构的图。

图17是实施方式1的更新处理的流程图。

图18是实施方式1的软件更新处理的流程图。

图19是实施方式1的表更新处理的流程图。

图20是实施方式1的认证管理装置300的辅助存储装置903的结构图。

图21是实施方式1的认证管理处理的流程图。

图22是实施方式1的结构数据生成处理的流程图。

图23是实施方式1的功能相关生成处理的流程图。

图24是实施方式1的变形例的车辆通信装置100的结构图。

图25是实施方式1的变形例的认证管理装置300的结构图。

图26是实施方式2的车载认证系统10的结构图。

图27是实施方式2的车辆通信装置100a的结构图。

图28是实施方式2的认证管理装置300a的结构图。

图29是实施方式3的车载认证系统10b的结构图。

图30是实施方式3的车辆通信装置100b的结构图。

具体实施方式

下面，参照附图对本发明的实施方式进行说明。此外，在各图中，对相同或相当的部分标注相同的符号。在实施方式的说明中，关于相同或相当的部分，适当省略或简化说明。

实施方式1

***结构的说明***

使用图1对本实施方式的车载认证系统10的结构进行说明。

车载认证系统10具备车辆200、认证管理装置300以及供应商服务器装置400。车辆200、认证管理装置300以及供应商服务器装置400经由网络进行通信。网络的具体例子是互联网。

车辆200搭载相互通信的至少2个以上的电子控制装置。电子控制装置被称作ECU。下面，将电子控制装置称作ECU。车辆200具备遵循CAN(Controller area network：控制器局域网)或FlexRay这样的通信协议的车载网络。搭载于车辆200的多个ECU经由该车载网络而相互通信。并且，车辆200具备车辆通信装置100。车辆通信装置100与多个电子控制装置的各电子控制装置进行通信。

车辆200还称作车辆系统。并且，车辆通信装置100具体地是车辆200的网关装置。

供应商服务器装置400是由按照每个ECU而存在的ECU供应商管理的服务器装置。因此，存在多个供应商服务器装置400。供应商服务器装置400提供更新软件和更新ECU信息。更新软件是用于功能的追加、功能的变更或故障的修理的最新软件。在车辆200中，通过下载更新软件来更新或变更当前的程序，从而ECU的程序成为最新的状态。更新ECU信息是通过软件的更新或新ECU的追加，在车辆200的软件和硬件有变更时用于传递变更内容的信息。

使用图2对本实施方式的车辆通信装置100的结构进行说明。

车辆通信装置100对车辆200的ECU的合法性进行认证。并且，在检测到非法的ECU的情况下，车辆通信装置100排除非法的ECU，判定剩余的有效的车辆搭载功能，并向用户显示判定结果。

车辆通信装置100是具备处理器801、存储器802、辅助存储装置803、通信装置804以及显示设备805这样的硬件的计算机。

处理器801经由信号线而与其他硬件连接。处理器801是进行运算处理的IC(Integrated Circuit：集成电路)，控制其他硬件。具体而言，处理器801是CPU、DSP或GPU。CPU是Central Processing Unit(中央处理单元)的简称，DSP是Digital SignalProcessor(数字信号处理器)的简称，GPU是Graphics Processing Unit(图形处理单元)的简称。

存储器802是易失性的存储装置。存储器802也被称作主存储装置或主存储器。具体而言，存储器802是RAM(Random Access Memory：随机存取存储器)。

辅助存储装置803是非易失性的存储装置。具体而言，辅助存储装置803是ROM、HDD或闪存。ROM是Read Only Memory(只读存储器)的简称，HDD是Hard Disk Drive(硬盘驱动器)的简称。

通信装置804是进行通信的装置，具备接收器和发送器。具体而言，通信装置804是通信芯片或NIC(Network Interface Card：网络接口卡)。

显示设备805是显示图像等的显示装置。具体而言，显示设备805是液晶显示器。显示设备805也称作监视器。

作为结构要件，车辆通信装置100具备认证部101、判定部102、更新部103以及秘钥管理部110。认证部101、判定部102、更新部103以及秘钥管理部110的功能通过软件来实现。

在辅助存储装置803中存储有实现认证部101、判定部102、更新部103以及秘钥管理部110的功能的程序。实现认证部101、判定部102、更新部103以及秘钥管理部110的功能的程序被加载到存储器802而由处理器801执行。

进而，在辅助存储装置803中存储有OS(Operating System：操作系统)。OS的至少一部分被加载到存储器802而由处理器801执行。

即，处理器801一边执行OS一边执行实现认证部101、判定部102、更新部103以及秘钥管理部110的功能的程序。

执行实现认证部101、判定部102、更新部103以及秘钥管理部110的功能的程序而得到的数据存储到存储器802、辅助存储装置803、处理器801内的寄存器或处理器801内的高速缓冲存储器这样的存储装置。

此外，也可以是，车辆通信装置100具备多个处理器801，多个处理器801协作执行实现认证部101、判定部102、更新部103以及秘钥管理部110的功能的程序。

存储器802作为存储车辆通信装置100中使用、生成、输入输出或发送接收的数据的存储部104发挥功能。但是，存储器802以外的存储装置也可以作为存储部104发挥功能。

通信装置804作为对数据进行通信的通信部发挥功能。在通信装置804中，接收器作为接收数据的接收部105发挥功能，发送器作为发送数据的发送部106发挥功能。

显示设备805作为显示图像等的显示部107发挥功能。

认证部101、判定部102、更新部103以及秘钥管理部110的“部”也可以替换成“处理”或“工序”。认证部101、判定部102、更新部103以及秘钥管理部110的功能也可以通过固件来实现。

实现认证部101、判定部102、更新部103以及秘钥管理部110的功能的程序能够存储到磁盘、光盘或闪存等非易失性的存储介质。

使用图3对本实施方式的车辆200的结构进行说明。车辆200是搭载有相互通信的至少2个以上的ECU202的车辆。至少2个以上的ECU202经由遵循CAN或FlexRay这样的通信协议的车载网络201而相互连接。

ECU202具备CPU250、存储器251以及通信装置254这样的硬件。在存储器251中存储有程序252和ECU信息253。

使用图4对本实施方式的认证管理装置300的结构进行说明。

认证管理装置300是具备处理器901、存储器902、辅助存储装置903、通信装置904、显示设备905以及输入装置906这样的硬件的计算机。处理器901、存储器902、辅助存储装置903、通信装置904以及显示设备905与车辆通信装置100具备的硬件相同。并且，存储部307、接收部308、发送部309以及显示部311也与车辆通信装置100具备的存储部104、接收部105、发送部106以及显示部107相同。但是，车辆通信装置100是面向嵌入式设备的计算机，与此相对，认证管理装置300是起到作为服务器的功能的计算机。因此，认证管理装置300是计算能力远高于车辆通信装置100的计算机。

输入装置906作为受理输入的受理部310发挥功能。

作为结构要件，认证管理装置300具备更新数据处理部301、结构数据生成部302、功能相关生成部303、表管理部306以及秘钥管理部320。

图5是示出本实施方式的ECU信息表620的详细内容的例子。

ECU信息621是表示ECU的属性的属性信息20的例子。在ECU信息表620中包含多个ECU信息621。利用识别各ECU信息621的ECU识别ID来管理多个ECU信息621。在ECU信息621中，作为ECU的属性，包含ECU识别ID、ECU信息的名称、制造商信息、供应商信息、硬件编号、版本、功能分类、关联车载功能、关联ECU输入输出这样的信息。

图6是示出本实施方式的结构数据表610的详细内容的例子。

结构数据表610由多个结构数据信息611构成。结构数据信息611是将根据表示各ECU的属性的ECU信息生成的结构数据601与各ECU对应起来的信息。结构数据601具体地是数字签名。

利用识别各结构数据信息611的结构识别ID来管理多个结构数据信息611。在结构数据信息611中包含结构识别ID、头信息、ECU信息的名称、根据ECU信息计算出的数字签名这样的信息。在结构数据信息611中包含1个以上的ECU信息的名称。在图7中，在结构数据信息611中设定有根据ECU信息A和ECU信息B的各个ECU信息621计算出的结构数据601。

图7是示出本实施方式的功能相关表640的详细内容的例子。

功能相关表640示出在车辆200中实现的车辆搭载功能与用于实现车辆搭载功能的ECU之间的相关性。车辆搭载功能是搭载于车辆200的功能。车辆搭载功能的具体例是自动驾驶、ACC、LKAS、LDW、停车辅助或自动制动这样的功能。ACC是自适应巡航控制。LKAS是车道维持辅助系统。LDW是车道脱离警告。

在功能相关表640中设置ECU的栏和车辆搭载功能的栏。在ECU的栏中设定识别各ECU的ECU识别ID、表示各ECU的用途的分类以及各ECU的版本。并且，在车辆搭载功能的栏中设有每个功能的栏，对该功能所需的ECU设定勾选标志。

***动作的说明***

接下来，对车载认证系统10的车载认证方法进行说明。车载认证系统10的动作相当于车载认证方法。并且，车载认证方法的顺序相当于车载认证程序的车载认证处理的顺序。

在本实施方式中，车载认证处理具有车辆通信装置100的功能管理处理和认证管理装置300的认证管理处理。

车辆通信装置100的动作相当于功能管理方法。并且，功能管理方法的顺序相当于功能管理程序的功能管理处理的顺序。以下，使用图8～图19对车辆通信装置100的动作进行说明。

此外，结构数据表610、功能相关表640以及后述的认证错误表631存储在辅助存储装置803。在功能管理处理开始时，结构数据表610、功能相关表640以及认证错误表631存储在存储部104。并且，每个ECU识别ID的签名验证用的秘钥存储在辅助存储装置803。在功能管理处理开始时，每个ECU识别ID的签名验证用的秘钥被秘钥管理部110存储到存储部104。

<功能管理处理>

使用图8对本实施方式的功能管理处理的顺序进行说明。

在步骤S100中由认证部101执行认证处理。

在步骤S100中，认证部101对于多个ECU的各ECU执行认证结构的合法性的结构认证，将结构认证失败的ECU登记到认证错误列表630。具体而言，认证部101从多个ECU的各ECU取得表示ECU的属性的ECU信息，根据ECU信息计算ECU的签名。认证部101对签名与包含在结构数据表610中的结构数据601进行比较。而且，在签名与结构数据601一致的情况下，认证部101视为ECU的结构认证成功。

《认证处理》

使用图9对本实施方式的认证处理的顺序进行说明。

在步骤S101中，认证部101对于1个ECU或多个ECU，利用认证机制进行设备认证。具体而言，认证部101利用在ISO/IEC中成为国际标准技术的协议即ISO/IEC9798进行设备认证。或者，认证部101也可以结合认证机制进行检测非法设备这样的物理性的设备认证。

在步骤S102中，认证部101判定设备认证的结果。在设备认证成功的情况下，认证部101进入步骤S103。在设备认证失败的情况下，认证部101进入步骤S106，将设备认证失败的ECU记录到认证错误列表630。此外，认证错误列表630在认证处理开始前被初始化。

图10是示出本实施方式的认证错误列表630的例子的图。

在认证错误列表630中设定表示行的编号的编号、发生错误的日期时间、成为错误的非法的ECU的ECI识别ID以及表示错误的内容的错误ID这样的信息。

图11是示出本实施方式的认证错误表631的例子的图。

在认证错误表631中设定有错误ID和该错误ID表示的错误的内容的说明。

在步骤S103中，认证部101从设备认证成功的ECU取得ECU信息253，进入步骤S104。此外，从ECU取得的ECU信息253的结构与在图5中说明的ECU信息621的结构相同。

《<结构认证处理》>

在步骤S104中执行结构认证处理。

在步骤S104中，认证部101根据从设备认证成功的ECU取得的ECU信息253生成结构数据。然后，认证部101将生成的结构数据与结构数据表610进行对照。

使用图12对本实施方式的结构认证处理的详细顺序进行说明。

在步骤S141中，认证部101根据从ECU信息253得到的ECU识别ID，经由秘钥管理部110从存储部104取得签名验证用的秘钥。

在步骤S142中，认证部101使用ECU信息253和签名验证用的秘钥生成结构数据。具体而言，认证部101根据ECU信息253和签名验证用的秘钥计算签名。在此计算出的签名是结构数据。

在步骤S143中，认证部101根据ECU信息253从存储于存储部104的结构数据表610提取结构数据信息611。认证部101取得包含在提取出的结构数据信息611中的结构数据601作为期待值。

在步骤S144中，认证部101对在步骤S142中计算出的签名与在步骤S143中取得的作为期待值的结构数据601进行比较。认证部101对在步骤S142中计算出的签名与在步骤S143中取得的结构数据601进行比较，得到两者是否一致的比较结果。

返回到图9，继续进行说明。

在步骤105中，认证部101根据通过结构认证处理而输出的比较结果，判定结构认证是否成功。认证部101在比较结果一致的情况下判定为结构认证成功。认证部101在比较结果不一致的情况下判定为结构认证失败。如果结构认证成功，则认证部101进入步骤S107，如果结构认证失败，则认证部101在步骤S106中将结构认证失败的ECU记录到认证错误列表630。

在步骤S107中，认证部101针对全部的ECU判定步骤S101～步骤S106的处理是否已结束。认证部101在有未结束的ECU的情况下，返回到步骤S101。认证部101在没有未结束的ECU的情况下，结束认证处理。

《判定处理》

返回到图8，从步骤S300起继续进行说明。

在步骤S300中由判定部102执行判定处理。

在步骤S300中，判定部102根据功能相关表640和认证错误列表630，判定在车辆中能实现的车辆搭载功能。并且，判定部102从车载网络201切离登记于认证错误列表630的ECU。

使用图13对本实施方式的判定处理进行说明。

在步骤S301中，判定部102从存储部104取得认证错误列表630。

在步骤S302中，判定部102判定在认证错误列表630中是否登记有ECU。如果没有登记在认证错误列表630中，则意味着没有认证错误的ECU，因此，判定部102判定为认证成功而结束处理。如果在认证错误列表630中登记有ECU，则意味着有认证错误的ECU，因此，判定部102判定为认证失败而进入步骤S303。

在步骤S303中，判定部102从车载网络201在逻辑上切离并排除成为认证错误的非法的ECU。在此，作为排除的具体方法，具有通过其他ECU忽略非法的ECU发出的通信帧而在逻辑上切离的方法。

在步骤S304中，判定部102使用功能相关表640判定在步骤S303中排除的ECU涉及的车辆搭载功能。即，判定部102决定在车辆200中能实现的车辆搭载功能，并且决定应设为无效的车辆搭载功能。

在步骤S305中执行显示部311的显示处理。在步骤S305中，显示部311将判定为在车辆200中能实现的车辆搭载功能显示到车辆通信装置的显示设备805。具体而言，显示部311在显示设备805显示表示车辆搭载功能的有效或无效的功能显示画面500。显示部311通过显示功能显示画面500，对车辆200的驾驶员区分地提示车辆搭载功能中的成为无效的功能和尚有效的功能。并且，显示部311也可以显示与能对驾驶员提供的车辆搭载功能发生增减有关的说明。

图14是示出本实施方式的功能相关表640的具体例的图。并且，图15是示出本实施方式的功能显示画面500的图。

使用图14和图15对判定处理的具体例进行说明。

如图14所示，成为认证错误的非法的ECU是ECU_D的后侧声纳。此时，判定部102判定为与ECU_D关联的车辆搭载功能是自动驾驶、停车辅助以及后侧方车辆检测警报。因此，如图15所示，显示部311在功能显示画面500中显示自动驾驶、停车辅助以及后侧方车辆检测警报已无效。并且，显示部311在功能显示画面500的消息栏中显示ECU_D的后侧声纳为认证错误这样的说明。

返回到图8，从步骤S400起继续进行说明。

在步骤S400中，更新部103判定通信装置804的接收部105是否从认证管理装置300接收到更新通知。更新部103在有更新通知的情况下，进入步骤S600。更新部103在没有更新通知的情况下，结束处理。

图16是示出本实施方式的更新信息650的结构的图。

在更新信息650中包含ECU更新信息651和表更新信息652。

在ECU更新信息651中，针对每个ECU的表设定表示该ECU的头信息511、ECU信息的变更部分即作为与变更前的ECU信息之间的差分的ECU差分信息512以及更新软件513。

在表更新信息652中设定结构数据表的更新内容即作为与变更前的结构数据表之间的差分的结构数据差分521。并且，在表更新信息652中设定功能相关表的更新内容即作为与变更前的功能相关表之间的差分的功能相关差分522。

在接收到更新信息650的情况下，更新部103判定为接收到更新通知。

《更新处理》

在步骤S600中由更新部103执行更新处理。

使用图17对本实施方式的更新处理的顺序进行说明。

在步骤S610中，更新部103经由接收部105接收更新信息650。

在步骤S620中由更新部103执行软件更新处理。

接下来，在步骤S630中由更新部103执行表更新处理。

使用图18，对本实施方式的软件更新处理的顺序进行说明。

在步骤S621中，更新部103判定在更新信息650中是否包含更新软件513。在更新信息650中包含更新软件513的情况下，更新部103进入步骤S622。在更新信息650中不包含更新软件513的情况下，更新部103结束处理。

在步骤S622中，更新部103根据更新信息650的头信息511决定更新对象ECU。更新部103通过发送部106，经由车载网络201向更新对象ECU发布ECU差分信息512和更新软件513。更新部103在向作为更新对象的全部ECU发布ECU差分信息512和更新软件513时，结束处理。向ECU发布的更新信息仅发送差分信息。

使用图19对本实施方式的表更新处理的顺序进行说明。

在步骤S631中，更新部103判定在更新信息650中是否包含结构数据差分521。在更新信息650中包含结构数据差分521的情况下，更新部103进入步骤S632。在更新信息650中不包含结构数据差分521的情况下，更新部103进入步骤S633。

在步骤S632中，更新部103使用结构数据差分521更新辅助存储装置803的结构数据表610。

在步骤S633中，更新部103判定在更新信息650中是否包含功能相关差分522。在更新信息650中包含功能相关差分522的情况下，更新部103进入步骤S634。在更新信息650中不包含功能相关差分522的情况下，更新部103结束处理。

在步骤S634中，更新部103使用功能相关差分522更新辅助存储装置803的功能相关表640。此外，也可以是，更新部103参考更新信息650，如果得知通过更新而使ECU的功能发生变化，则在步骤S634中更新功能相关表640。

以上，结束车辆通信装置100的功能管理处理的说明。

接下来，对本实施方式的认证管理装置300的动作进行说明。认证管理装置300具体地是存在于车辆200外部的服务器。或者，认证管理装置300是存在于车辆200外部的服务器的一部分。

图20是示出本实施方式的认证管理装置300的辅助存储装置903的结构的图。如图20所示，在辅助存储装置903中存储有ECU信息表620、结构数据表610以及功能相关表640。

以下，使用图21～图23对认证管理装置300的动作进行说明。认证管理装置300的动作相当于认证管理方法。并且，认证管理方法的顺序相当于认证管理程序的认证管理处理的顺序。

此外，结构数据表610、功能相关表640以及后述的认证错误表631存储在辅助存储装置903。在认证管理处理开始时，结构数据表610、功能相关表640以及认证错误表631存储在存储部307。并且，每个ECU识别ID的签名验证用的秘钥存储在辅助存储装置903。在认证管理处理开始时，每个ECU识别ID的签名验证用的秘钥被秘钥管理部320存储到存储部307。

<认证管理处理>

使用图21对本实施方式的认证管理处理的顺序进行说明。

在步骤S700中，更新数据处理部301判定是否有来自供应商服务器装置400的更新。在更新数据处理部301经由接收部308接收到ECU更新信息651的情况下，意味着有来自供应商服务器装置400的更新。在有来自供应商服务器装置400的更新的情况下，更新数据处理部301进入步骤S710。在未接收到ECU更新信息651的情况下，意味着没有来自供应商服务器装置400的更新，因此，更新数据处理部301结束处理。

此外，ECU更新信息651是表示与多个ECU的各ECU有关的变更的装置变更信息的例子。

《结构数据生成处理》

在步骤S710中执行结构数据生成处理。

在步骤S710中，当接收到表示与多个ECU的各ECU有关的变更的ECU更新信息651时，结构数据生成部302根据ECU更新信息651更新结构数据表610。

使用图22对本实施方式的结构数据生成处理的顺序进行说明。

在步骤S711中，结构数据生成部302从ECU更新信息651中取得头信息511和ECU差分信息512。在头信息511中包含更新对象ECU的ECU识别ID。

在步骤S712中，结构数据生成部302从ECU信息表620提取与包含在头信息511中的ECU识别ID对应的ECU的ECU信息。

在步骤S713中，结构数据生成部302取得包含在提取出的ECU信息中的供应商信息。结构数据生成部302从秘钥管理部320取得与在供应商信息中设定的供应商ID关联的签名用的秘钥。

在步骤S714中，结构数据生成部302根据从秘钥管理部320取得的秘钥、从ECU信息表620提取出的ECU信息以及ECU差分信息512，计算新的数字签名。具体而言，结构数据生成部302针对1个或多个ECU的ECU信息，使用取得的秘钥计算数字签名。结构数据生成部302根据1个或多个ECU的ECU信息生成结构数据信息611，将计算出的数字签名作为结构数据601赋予给结构数据信息611，生成新的结构数据信息611。

在步骤S715中，表管理部306将由结构数据生成部302生成的新的结构数据信息611登记到结构数据表610。由此，更新结构数据表610。

《功能相关生成处理》

在步骤S720中执行功能相关生成处理。

在步骤S720中，功能相关生成部303根据表示与多个ECU的各ECU有关的变更的ECU更新信息651更新功能相关表640。

使用图23对本实施方式的功能相关生成处理的顺序进行说明。

在步骤S721中，功能相关生成部303从ECU更新信息651中取得头信息511和ECU差分信息512。在头信息511中包含更新对象ECU的ECU识别ID。

在步骤S722中，功能相关生成部303从ECU信息表620提取与包含在头信息511中的ECU识别ID对应的ECU的ECU信息。功能相关生成部303根据从提取出的更新对象ECU信息621得到的ECU功能的变更信息，更新功能相关表640。以下，对功能相关表640的更新的具体处理的一例进行说明。在ECU变更信息651中包含有与功能相关表640的1行即横轴有关的信息。作为具体例，在图7的功能相关表640中，通过ECU变更信息651通知ECU识别ID＝3从与功能1、功能3和功能4相关的状态新变成还与功能5相关的状态。通过该ECU变更信息651，在功能相关表640中追加功能5，在ECU识别ID＝3的功能5中进行勾选。

返回到图21，从步骤S730起进行说明。

在步骤S730中，更新数据处理部301生成结构数据表610中的更新前与更新后的差分即结构数据差分521。并且，更新数据处理部301生成功能相关表640中的更新前与更新后的差分即功能相关差分522。更新数据处理部301生成包含结构数据差分521和功能相关差分522的更新信息650。然后，更新数据处理部301将更新信息650发送到车辆200的车辆通信装置100。

***其他结构***

<变形例1>

车辆通信装置100的认证部也可以搭载于认证管理装置300。并且，认证管理装置300也可以构成为实施认证处理的一部分。在该情况下，车辆通信装置100的认证部从ECU取得ECU信息并发送到认证管理装置300。认证管理装置300根据接收到的ECU信息来实施结构认证，将认证错误列表发送到车辆。

<变形例2>

车辆通信装置100的判定部也可以搭载于认证管理装置300。并且，认证管理装置300也可以构成为实施认证处理的一部分。在该情况下，车辆通信装置100的判定部将认证错误列表发送到认证管理装置300。并且，认证管理装置300判定在车辆中能实施的车辆搭载功能，将其判定结果发送到车辆。

<变形例3>

认证管理装置300的结构数据生成部也可以搭载于车辆通信装置100。并且，车辆通信装置100也可以构成为实施结构数据生成处理的一部分。在该情况下，车辆通信装置100根据更新ECU信息生成作为期待值的结构数据并更新结构数据表。

<变形例4>

认证管理装置300的功能相关生成部303也可以搭载于车辆通信装置100。并且，车辆通信装置100也可以构成为实施功能相关生成处理的一部分。在该情况下，车辆通信装置100根据更新ECU信息更新功能相关表。

<变形例5>

在车载认证系统中，为了提高机密性，也可以对在认证管理装置300与车辆通信装置100之间发送接收的数据进行加密。或者，为了提高完整性，车载认证系统也可以具备对在认证管理装置300与车辆通信装置100之间发送接收的数据赋予认证符的加密处理部。

作为用于根据ECU信息生成结构数据的加密算法，既可以使用基于公开秘钥加密的方法，也可以使用基于秘密秘钥加密的方法。

<变形例6>

在本实施方式中，车辆通信装置100和认证管理装置300的各装置的结构要件的功能通过软件来实现，作为变形例，各装置的结构要件的功能也可以通过硬件来实现。

图24是示出本实施方式的变形例的车辆通信装置100的结构的图。图25是示出本实施方式的变形例的认证管理装置300的结构的图。

车辆通信装置100具备电子电路809、辅助存储装置803、通信装置804以及显示设备805这样的硬件。并且，认证管理装置300具备电子电路909、辅助存储装置903、通信装置904、显示设备905以及输入装置906这样的硬件。

电子电路809是实现认证部101、判定部102、更新部103以及秘钥管理部110的功能的专用电子电路。并且，电子电路909是实现更新数据处理部301、结构数据生成部302、功能相关生成部303、表管理部306以及秘钥管理部320的功能的专用电子电路。

电子电路809、909具体地是单一电路、复合电路、程序化的处理器、并行程序化的处理器、逻辑IC、GA、ASIC或FPGA。GA是Gate Array(门阵列)的简称。ASIC是ApplicationSpecific Integrated Circuit(面向特定用途的集成电路)的简称。FPGA是Field-Programmable Gate Array(现场可编程门阵列)的简称。

各装置的结构要件的功能既可以通过1个电子电路来实现，也可以分散到多个电子电路来实现。

作为另一个变形例，也可以由电子电路来实现各装置的结构要件的一部分功能，并通过软件来实现剩余的功能。

处理器和电子电路各自也被称作处理线路。换言之，在车辆通信装置100中，认证部101、判定部102、更新部103以及秘钥管理部110的功能通过处理线路来实现。并且，在认证管理装置300中，更新数据处理部301、结构数据生成部302、功能相关生成部303、表管理部306以及秘钥管理部320的功能通过处理线路来实现。

在车辆通信装置100中，也可以将认证部101、判定部102、更新部103以及秘钥管理部110的“部”替换成“工序”。并且，在认证管理装置300中，也可以将更新数据处理部301、结构数据生成部302、功能相关生成部303、表管理部306以及秘钥管理部320的“部”替换成“工序”。

并且，也可以将车载认证处理、功能管理处理以及认证管理处理的“处理”替换成“程序”、“程序产品”或“记录有程序的计算机能读取的介质”。

***本实施方式的效果的说明***

根据本实施方式的车载认证系统10，通过实施针对车辆系统内的各ECU的结构认证而能够排除非法的ECU。并且，根据本实施方式的车载认证系统10，能够实施与功能变更对应的结构认证。并且，能够提供考虑到ECU相互的协调动作的车辆搭载功能。

并且，根据本实施方式的车载认证系统10，通过在车载系统中进行结构认证而能够确认正常的状态，并且能够提供确保安全的辅助功能。即，通过进行车载系统的结构认证，检测非法的ECU，在排除非法的ECU之后，判定剩余的有效的车辆搭载功能，提供合适的处置方法。

因此，根据本实施方式的车载认证系统10，在直至安全上的问题得到解决为止的期间，即直至将车辆带到经销商处且该车辆修理好为止的期间，即便临时地限制驾驶功能，也不会过度地切断功能。并且，在用户掌握了能利用的车辆搭载功能之后，能够进行使用辅助功能的安全行驶。即，根据本实施方式的车载认证系统10，能够在确认车辆的状态并确保安全的基础上使用车辆。

实施方式2

在本实施方式中，对与实施方式1不同的点进行说明。此外，对与实施方式1相同的结构标注相同的标号，有时省略其说明。

在实施方式1中，由认证管理装置300进行结构数据生成处理和功能相关处理，更新信息从认证管理装置发送到车辆200的车辆通信装置100。并且，在车辆通信装置100中，能够简便地执行认证处理和判定处理。这样，在实施方式1中，是由车辆通信装置100进行认证处理和判定处理，在本实施方式中，对由认证管理装置300进行认证处理和判定处理的结构进行说明。

***结构的说明***

图26是示出本实施方式的车载认证系统10的结构的图。如图26所示，车载认证系统10的结构与实施方式1相同。但是，车辆通信装置100a和认证管理装置300a的功能与实施方式1不同。

图27是示出本实施方式的车辆通信装置100a的结构的图。车辆通信装置100a不具备认证部101、判定部102以及秘钥管理部110。作为结构要件，车辆通信装置100a具有控制部111a。控制部111a从多个ECU分别收集ECU信息并发送到认证管理装置300a。而且，控制部111a从认证管理装置300a接收认证错误列表630和判定处理的判定结果。显示部311根据认证错误列表630和判定结果，将功能显示画面500显示于显示设备805。

图28是示出本实施方式的认证管理装置300a的结构的图。认证管理装置300a除了在实施方式1中说明的结构要件以外，还具备认证部304和判定部305。认证部304具有与在实施方式1中说明的认证部101同样的功能。判定部305具有与在实施方式1中说明的判定部102同样的功能。

***动作的说明***

在本实施方式中，在认证管理装置300a中执行认证处理和判定处理。并且，与其相伴，在车辆通信装置100a与认证管理装置300a之间进行ECU信息、认证错误列表以及判定结果的发送接收。其他顺序与实施方式1相同。

***本实施方式的效果的说明***

根据本实施方式的车载认证系统10，能够由认证管理装置300a管理ECU信息表、结构数据表以及功能相关表。因此，根据本实施方式的车载认证系统10，能够削减车辆通信装置100a的存储容量。此外，在本实施方式中，前提是车辆始终保持与外部网络稳定且安全地连接的状态。并且，根据本实施方式的车载认证系统10，在车辆通信装置100a中无需进行各种表的更新处理、认证处理以及判定处理，因此，能够减轻车辆通信装置100a的负荷而降低成本。

实施方式3

在本实施方式中，对与实施方式1不同的点进行说明。此外，对与实施方式1同样的结构标注相同的标号，有时省略其说明。

在实施方式1中，是由认证管理装置300进行结构数据生成处理和功能相关处理，更新信息从认证管理装置发送到车辆200的车辆通信装置100。并且，在车辆通信装置100中，能够简便地执行认证处理和判定处理。并且，在实施方式1中，是由认证管理装置300进行生成结构数据表的结构数据生成处理和生成功能相关表的功能相关生成处理。这样，在实施方式1中，是由认证管理装置300进行结构数据生成处理和功能相关生成处理，在本实施方式中，对由车辆通信装置100进行结构数据生成处理和功能相关生成处理的结构进行说明。

***结构的说明***

图29是示出本实施方式的车载认证系统10b的结构的图。

在本实施方式中，车载认证系统10b不具有认证管理装置300。车辆200的车辆通信装置100b不对认证管理装置300进行中继而从供应商服务器装置400接收更新ECU信息。

图30是示出本实施方式的车辆通信装置100b的结构的图。车辆通信装置100b除了在实施方式1中说明的结构要件以外，还具备结构数据生成部108和功能相关生成部109。结构数据生成部108具有与在实施方式1中说明的结构数据生成部302同样的功能。功能相关生成部109具有与在实施方式1中说明的功能相关生成部303同样的功能。

***动作的说明***

在本实施方式中，在车辆通信装置100b中执行结构数据生成处理和功能相关生成处理。其他顺序与实施方式1相同。

***本实施方式的效果的说明***

根据本实施方式的车载认证系统10b，在供应商服务器装置400与车辆200的车辆通信装置100b之间不具有中继的服务器。因此，根据本实施方式的车载认证系统10b，无需使多个部位具有相同的信息而是进行集中管理，因此，安全性强化和保护的对象减少。并且，根据本实施方式的车载认证系统10b，能够降低包含管理和维护在内的系统整体的成本。

在实施方式1～3中，车载认证系统的各部作为独立的功能模块构成车载认证系统。但是，也可以不是上述的实施方式这样的结构，车载认证系统的结构是任意的。车载认证系统的功能模块只要能够实现在上述的实施方式中说明的功能即可，可以是任意的。可以用这些功能模块的其他任意的组合或任意的模块结构构成车载认证系统。

对实施方式1～3进行了说明，但也可以组合实施这些实施方式中的多个部分。或者，也可以实施这些实施方式中的1个部分。此外，也可以将这些实施方式作为整体或部分地任意地组合实施。

此外，上述的实施方式本质上只是优选的例示，并非要限制本发明的范围、本发明的适用物的范围以及本发明的用途的范围。能够根据需要对上述的实施方式进行各种变更。

标号说明

10、10b：车载认证系统；20：属性信息；100、100a、100b：车辆通信装置；101、304：认证部；102、305：判定部；103：更新部；104、307：存储部；105、308：接收部；106、309：发送部；107、311：显示部；110、320：秘钥管理部；111a：控制部；200：车辆；201：车载网络；202：ECU；250：CPU；252：程序；253、621：ECU信息；254：通信装置；300、300a：认证管理装置；301：更新数据处理部；108、302：结构数据生成部；109、303：功能相关生成部；306：表管理部；310：受理部；400：供应商服务器装置；511：头信息；512：ECU差分信息；513：更新软件；521：结构数据差分；522：功能相关差分；610：结构数据表；601：结构数据；611：结构数据信息；620：ECU信息表；630：认证错误列表；631：认证错误表；640：功能相关表；650：更新信息；651：ECU更新信息；652：表更新信息；801、901：处理器；251、802、902：存储器；803、903：辅助存储装置；804、904：通信装置；805、905：显示设备；906：输入装置；907：输入装置；809、909：电子电路；500：功能显示画面。