CN114834393B

CN114834393B - 车辆控制系统

Info

Publication number: CN114834393B
Application number: CN202111312788.6A
Authority: CN
Inventors: 玉树成章
Original assignee: Toyota Motor Corp
Current assignee: Toyota Motor Corp
Priority date: 2021-01-14
Filing date: 2021-11-08
Publication date: 2023-08-04
Anticipated expiration: 2041-11-08
Also published as: US20220219709A1; JP7400744B2; JP2022109024A; CN114834393A

Abstract

本发明涉及一种车辆控制系统，包括：车辆控制部，搭载于车辆，并控制车辆；和控制服务器，将用于在包括自动驾驶在内的特殊模式下控制车辆的控制信号向车辆控制部输出。车辆控制部生成特殊模式控制用的公共密匙并向控制服务器输出，并且将公共密匙储存于安全存储机构，控制服务器将公共密匙储存于存储部，并且向车辆控制部输出将公共密匙应用于控制信号而生成的控制信号的消息认证符和控制信号，在将储存于安全存储机构的公共密匙应用于控制服务器输出的控制信号而生成的消息认证符、与控制服务器输出的消息认证符一致的情况下，车辆控制部执行基于控制信号的特殊模式下的控制，控制服务器在结束特殊模式下的控制时删除储存于存储部的公共密匙。

Description

车辆控制系统

技术领域

本公开涉及仅在生产场所等限定性的区域对车辆允许自动驾驶等特殊模式下的驾驶的车辆控制系统。

背景技术

在工厂等限定性的区域，存在在自动驾驶等与一般道路中的驾驶不同的特殊模式下驾驶车辆来将该车辆向下一个路线运送的运作。通过有效地利用自动驾驶，从而不需要作业人员乘坐于各个车辆，能够避免工厂等中的由载人引起的繁琐的作业。

然而，运作自动驾驶等特殊模式的功能存在兼有针对来自外部的存在恶意的黑客攻击等的脆弱性这一问题。因此，在因出厂等而车辆在工厂等限定性的区域外行驶的情况下，需要使特殊模式无效化的处理。为了使特殊模式无效化，例如可以考虑改写特殊模式所涉及的软件等，但若进行该软件的改写，则车辆的状态从型号认证的出厂检查前的状态变化，因此存在需要该车辆的再次检查这一问题。

在日本特开2019-140577号公报中公开有关于车辆的在特殊模式下的驾驶所涉及的加密密匙的选择和切换的发明。

然而，对于日本特开2019-140577号公报所记载的发明而言，若当在车辆的出厂前经由通信使自动驾驶功能等特殊模式无效时从外部被黑客攻击，则可能被外部的干预者夺取该车辆的自动驾驶的主导权。

发明内容

考虑上述事实，本公开的目的在于获得一种能够将在限定性的区域内对车辆允许的特殊模式的功能在该车辆在该区域外行驶时安全地无效化的车辆控制系统。

为了实现上述目的，本公开的第1形态所记载的车辆控制系统包括：车辆控制部，搭载于车辆，并控制上述车辆；和控制服务器，将用于在包括自动驾驶在内的特殊模式下控制上述车辆的控制信号向上述车辆控制部输出，上述车辆控制部通过随机数生成而生成特殊模式控制用的公共密匙并向上述控制服务器输出，并且将生成的上述公共密匙储存于具有保护数据的完整性和机密性的功能的安全存储机构，上述控制服务器将上述车辆控制部输出的上述公共密匙储存于存储部，并且向上述车辆控制部输出将上述公共密匙应用于上述控制信号而生成的上述控制信号的消息认证符和上述控制信号，在将储存于上述安全存储机构的上述公共密匙应用于上述控制服务器输出的上述控制信号而生成的消息认证符、与上述控制服务器输出的消息认证符一致的情况下，上述车辆控制部执行基于上述控制信号的上述特殊模式下的控制，上述控制服务器在结束上述特殊模式下的控制时删除储存于上述存储部的上述公共密匙。

用于特殊模式的控制的公共密匙在车辆中储存于车辆内的安全存储机构，在控制服务器中储存于硬盘(HDD)等存储机构。在特殊模式下的控制结束后，删除储存于控制服务器内的公共密匙，因此公共密匙不会存在于车辆的安全存储机构以外，作为结果，与将特殊模式下的控制无效化的状态等效。车辆的安全存储机构具有保护数据的完整性和机密性的功能，因此能够防止特殊模式的功能因来自外部的黑客攻击等而被恶意使用。

另外，根据本公开的第1形态所记载的车辆控制系统，从出厂检查时起不变更车辆内的控制软件，在车辆存在于工厂等场所内的情况下，通过消息认证而允许特殊模式下的控制，由此不需要车辆的再度的检查。

为了实现上述目的，本公开的第2形态所记载的车辆控制系统包括：车辆控制部，分别搭载于多个车辆，并控制上述车辆；和控制服务器，将用于在包括自动驾驶在内的特殊模式下控制上述车辆的控制信号向上述车辆控制部输出，上述控制服务器通过随机数生成而生成特殊模式控制用的公共密匙并向上述多个车辆的上述车辆控制部输出，并且将生成的上述公共密匙储存于存储部，上述多个车辆的上述车辆控制部将上述控制服务器输出的上述公共密匙分别储存于具有保护数据的完整性和机密性的功能的安全存储机构，上述控制服务器向上述多个车辆的车辆控制部分别输出将储存于上述存储部的上述公共密匙应用于上述控制信号而生成的上述控制信号的消息认证符和上述控制信号，在将储存于上述安全存储机构的上述公共密匙应用于上述控制服务器输出的上述控制信号而生成的消息认证符、与上述控制服务器输出的消息认证符一致的情况下，上述多个车辆的车辆控制部分别执行基于上述控制信号的上述特殊模式下的控制，上述控制服务器在结束上述特殊模式下的控制时删除储存于上述存储部的上述公共密匙。

根据本公开的第2形态所记载的车辆控制系统，能够对多个车辆同时并行地进行特殊模式下的控制，从而作业的迅速化和作业顺序的简化成为可能。

另外，如本公开的第3形态所记载的车辆控制系统那样，也可以构成为：在车辆存在于规定的场所内的情况下，执行特殊模式下的控制，车辆具备能够定位当前位置的装置，并将当前位置向控制服务器输出，在车辆的当前位置变为了规定的场所外的情况下，控制服务器删除公共密匙。由此，能够在特殊模式下的控制变得危险的区域内将公共密匙无效化。

另外，如本公开的第4形态所记载的车辆控制系统那样，也可以构成为：在不需要特殊模式下的控制的情况下，车辆控制部删除储存于安全存储机构的公共密匙。由此，能够将特殊模式下的控制完全地无效化。

另外，如本公开的第5形态所记载的车辆控制系统那样，也可以构成为：在进行了车辆的出厂通知的情况下，车辆控制部删除储存于安全存储机构的公共密匙。

如以上说明的那样，根据本公开所涉及的车辆控制系统，能够将在限定性的区域内对车辆允许的特殊模式的功能在该车辆在该区域外行驶时安全地无效化。

附图说明

图1是表示第1实施方式所涉及的车辆控制系统的结构的一个例子的简图。

图2是表示第1实施方式所涉及的车辆的结构的一个例子的框图。

图3是表示第1实施方式所涉及的控制服务器的具体的结构的一个例子的框图。

图4是第1实施方式所涉及的控制服务器的CPU的功能框图。

图5是第1实施方式所涉及的车辆的运算装置的功能框图。

图6是表示第1实施方式中的控制服务器和车辆的各自中的处理的一个例子的流程图。

图7是表示第2实施方式中的控制服务器和多个车辆的各自中的处理的一个例子的流程图。

附图标记说明

10…控制服务器；12…输入输出装置；14…运算装置；16…车辆ECU；18…存储装置；20…随机数生成部；22…CMAC运算部；24…比较部；26…输出部；40…计算机；42…CPU；44…ROM；46…RAM；48…输入输出端口；50…显示器；52…鼠标；54…键盘；72…随机数生成部；74…CMAC运算部；76…输出部；100…车辆控制系统；200…车辆。

具体实施方式

[第1实施方式]

以下，使用图1，对本实施方式所涉及的车辆控制系统100进行说明。图1所示的车辆控制系统100包括车辆200、和构成为能够与车辆200相互通信的控制服务器10。控制服务器10是设置于工厂等用于车辆200的生产和维修的场所的计算机。

优选控制服务器10是能够高速地执行高级的运算处理的计算机，并且需要是具备截断来自外部的通信的防火墙等的等考虑到安全的结构。控制服务器10若是云服务器，则能够分散处理负荷，但在本实施方式中，原则上重视安全而是单体的服务器。

图2是表示车辆200的结构的一个例子的框图。车辆200由存储运算装置14的运算所需的数据和运算装置14的运算结果的存储装置18、被从控制服务器10等输入信号并且对控制服务器10等输出信号的输入输出装置12、基于从输入输出装置12输入的输入数据和存储于存储装置18的数据来生成特殊模式的控制信号、并将生成的控制信号向车辆ECU(Electronic Control Unit：电子控制单元)16输出的运算装置14、以及根据从运算装置14输入的特殊模式的控制信号来使车辆200动作的车辆ECU16构成。在存储装置18，安装有基于MAC(Message Authentication Code：消息认证代码)函数的公共密匙生成、和CMAC(Cipher-based Message AuthenticationCode：基于密文的消息认证码)运算等所涉及的程序。运算装置14通过执行该程序而生成用于MAC认证的公开密匙，通过CMAC运算来生成从控制服务器10输入的接收数据的MAC值，并进行判定生成的MAC值是否与从控制服务器10输入的MAC值一致的认证。作为来自远程的车辆黑客攻击对策，消息认证用于V2X等车辆通信，但在本实施方式中，使用与来自远程的车辆黑客攻击对策用的消息认证的密匙不同的密匙，进行特殊模式的控制信号的认证。另外，存储装置18包括具有保护数据的完整性和机密性的功能的安全存储机构。运算装置14和车辆ECU16也可以构成为一体。

图3是表示本公开的实施方式所涉及的控制服务器10的具体的结构的一个例子的框图。控制服务器10构成为包括计算机40。计算机40具备CPU(Central Processing Unit：中央处理器)42、ROM(Read Only Memory：只读存储器)44、RAM(Random Access Memory：随机存储器)46、以及输入输出端口48。作为一个例子，优选计算机40是能够高速地执行高级的运算处理的机型。

在计算机40中，CPU42、ROM44、RAM46、以及输入输出端口48经由地址总线、数据总线、以及控制总线等各种总线相互连接。在输入输出端口48，作为各种输入输出设备，分别连接有从显示器50、鼠标52、键盘54、HDD56、以及各种磁盘(例如，CD-ROM、DVD等)58进行信息的读出的磁盘驱动器60。

另外，在输入输出端口48连接有车辆200。控制服务器10也可以经由网络与车辆200连接，但从安全重视的观点出发，该网络需要是与外部隔绝的内部网。

在计算机40的HDD56，安装有基于MAC函数的公共密匙生成、和CMAC运算等所涉及的程序。在本实施方式中，通过CPU42执行该程序，从而生成用于MAC认证的公开密匙，通过CMAC运算生成特殊模式所涉及的控制信号的MAC值，并将生成的MAC值与控制信号一起向车辆200输出。另外，CPU42使基于该程序的处理结果显示于显示器50。此外，在控制服务器10中生成用于MAC认证的公开密匙的情况在第2实施方式中进行后述。

为了将本实施方式的MAC认证所涉及的程序安装于计算机40，存在若干方法，但例如将该程序与安装程序一起存储于CD-ROM、DVD等，在磁盘驱动器60设置磁盘，并对CPU42执行安装程序，由此在HDD56安装该程序。或者也可以构成为：通过与经由公用电话线路或者网络与计算机40连接的其他的信息处理设备通信，从而在HDD56安装该程序。

图4表示控制服务器10的CPU42的功能框图。对通过控制服务器10的CPU42执行MAC认证所涉及的程序而实现的各种功能进行说明。MAC认证所涉及的程序具备通过基于MAC函数的随机数生成来生成作为特殊模式控制用的公共密匙的MAC密匙的随机数生成功能、使用MAC密匙来生成作为特殊模式的控制信号的消息认证符的MAC值的CMAC运算功能、以及将生成的MAC密匙、通过CMAC运算功能生成的MAC值以及控制信号向车辆200输出的输出功能。通过CPU42执行具有该各功能的程序，从而CPU42如图4所示作为随机数生成部72、CMAC运算部74、以及输出部76发挥功能。此外，CPU42中的随机数生成功能、和输出功能中的MAC密匙的输出在后述的第2实施方式中使用。

图5表示车辆200的运算装置14的功能框图。运算装置14具备通过基于MAC函数的随机数生成来生成作为特殊模式控制用的公共密匙的MAC密匙的随机数生成功能、使用MAC密匙来生成作为特殊模式的控制信号的消息认证符的MAC值的CMAC运算功能、进行比较通过CMAC运算功能生成的MAC值与从控制服务器10输入的MAC值的MAC认证的比较功能、以及将生成的MAC密匙向控制服务器10输出的输出功能。通过运算装置14执行具有该各功能的程序，从而运算装置14如图5所示作为随机数生成部20、CMAC运算部22、比较部24以及输出部26发挥功能。

图6是表示控制服务器10与作为车辆200中的一台的车辆A的各自中的处理的一个例子的流程图。图6包括作为车辆A中的处理的线程(1)、(3)、和作为控制服务器10中的处理的线程(2)、(4)。

于在车辆A中进行的线程(1)中，在步骤10中，开始自动驾驶等特殊模式。在步骤12中，以随机数生成用于特殊模式控制的MAC密匙K。在特殊模式中使用的MAC密匙K在各个车辆中完全为随机数，由此使攻击者对密匙的预料变得困难。

在步骤14中，将生成的MAC密匙K储存于车辆A内的安全存储机构。安全存储机构是具有保护数据的完整性和机密性的功能的存储机构。

在步骤16中，将生成的MAC密匙K向控制服务器10发送。为了确保安全，原则上，MAC密匙K的发送以有线通信进行，但若通过通信内容的加密等而确保安全，则也可以使用无线通信。

于在控制服务器10中进行的线程(2)中，在步骤18中，将MAC密匙K储存于HDD56等存储机构。在本实施方式中，在控制服务器10中，仅暂时地储存MAC密匙K，如后述的那样，在不需要车辆A的特殊模式下的控制的情况下，删除储存于控制服务器10的MAC密匙K，因此储存MAC密匙K的存储机构也可以不具有安全存储机构等的保护数据的完整性和机密性的功能。

在步骤20中，判定是否继续控制。在通过从外部输入控制继续的指令等来继续控制的情况下，将顺序移至步骤22，在不继续控制的情况下，将顺序移至步骤48。

在步骤22中，输入特殊模式用控制信号X_N。作为一个例子，特殊模式用控制信号X_N的下标的N是1以上的自然数，是存在多个种类特殊模式的情况下的识别符。特殊模式用控制信号X_N可以预先储存于控制服务器10的HDD56等，也可以从外部的设备输入。

在步骤24中，使用MAC密匙K，对特殊模式用控制信号X_N进行作为基于块加密的消息认证编码算法的CMAC运算。而且，在步骤26中，生成MAC值M_N。MAC值M_N是将专用的MAC密匙K用于特殊模式控制信号X_N时生成的消息认证符。

在步骤28中，将特殊模式用控制信号X_N和MAC值M_N设置为发送数据。而且，在步骤30中，将设置好的发送数据向车辆A发送。

于在车辆A中进行的线程(3)中，在步骤32中接收来自控制服务器10的发送数据。而且，在步骤34中，从接收到的数据中抽出特殊模式用控制信号X_N和MAC值M_N。在本实施方式中，仅在从控制服务器10传送过来的特殊模式控制信号X_N中附带有作为在使用专用的MAC密匙K时生成的消息认证符的MAC值M_N的情况下，进行特殊模式控制信号X_N的控制。

在步骤36中，使用MAC密匙K，对从控制服务器10传送过来的特殊模式用控制信号X_N进行作为基于块加密的消息认证编码算法的CMAC运算。而且，在步骤38中，生成MAC值M'_N。

在步骤40中，判定从控制服务器10传送过来的MAC值M_N、与在车辆A中根据特殊模式用控制信号X_N生成的MAC值M'_N是否一致。在步骤40中，在MAC值M_N与MAC值M'_N一致的情况下，将顺序移至步骤42，在MAC值M_N与MAC值M'_N不一致的情况下，将顺序移至步骤44。

在步骤42中，执行特殊模式用控制信号X_N来将顺序移至步骤46。在步骤44中，放弃特殊模式用控制信号X_N来将顺序移至步骤46。

在步骤46中，等待来自控制服务器10的下一个数据接收，并将顺序移至步骤20。

于在控制服务器10中进行的线程(4)中，在步骤48中删除使用完毕的MAC密匙K。在步骤48中，在通过GPS(Global PositioningSystem：全球定位系统)装置等能够定位车辆A的当前位置的装置探测到车辆A出现在工厂等的场所外时，也可以删除MAC密匙K。而且，在步骤50中，结束基于特殊模式的控制。

在本实施方式中，将消息认证导入于在特殊模式下使用的通信。作为来自远程的车辆黑客攻击对策，消息认证用于V2X等车辆通信，但在本实施方式中，使用与来自远程的车辆黑客攻击对策用的消息认证的密匙不同的密匙来进行特殊模式的控制信号的认证。

在特殊模式下使用的MAC密匙K在各个车辆中完全为随机数，由此使攻击者对密匙的预料变得困难。

仅当在从控制服务器10传送过来的特殊模式控制信号X_N中附带有作为在使用专用的MAC密匙K时生成的消息认证符的MAC值M_N的情况下，车辆进行特殊模式控制信号X_N的控制。

用于特殊模式的控制的MAC密匙K在车辆中储存于车辆内的安全存储机构，在控制服务器10中储存于HDD56等的存储机构。在特殊模式下的控制结束后，将储存于控制服务器10内的MAC密匙K删除，因此MAC密匙K不会存在于车辆的安全存储机构以外，作为结果，与将特殊模式下的控制无效化的状态等效。车辆的安全存储机构具有保护数据的完整性和机密性的功能，因此机密泄漏的风险较低。然而，为了进一步期待万全的安全，在不需要特殊模式下的控制的情况下，也可以放弃安全存储机构内的MAC密匙K。放弃安全存储机构内的MAC密匙K的情况例如是从外部进行车辆的出厂通知的情况等。在对车辆进行了出厂通知的情况下，运算装置14放弃安全存储机构内的MAC密匙K。或者也可以构成为：在对车辆进行了出厂通知的情况下，运算装置14生成放弃安全存储机构内的MAC密匙K的指令，并基于该指令来放弃安全存储机构内的MAC密匙K。

另外，在本实施方式中，从出厂检查时起不变更车辆内的控制软件，在车辆存在于工厂等场所内的情况下，通过消息认证允许特殊模式下的控制，由此不需要车辆的再度的检查。

如以上说明的那样，根据本实施方式，能够将在限定性的区域内对车辆允许的特殊模式的功能在该车辆在该区域外行驶时安全地无效化。

[第2实施方式]

接着，对第2实施方式进行说明。本实施方式在由控制服务器10生成MAC密匙K_α并在多个车辆A、B分别进行特殊模式的控制这一点上与第1实施方式不同。

图7是表示控制服务器10和多个车辆A、B的各自中的处理的一个例子的流程图。图7包括作为控制服务器10中的处理的线程(1)、(3)、(5)和作为车辆A、B中的处理的线程(2)、(4)。

于在控制服务器10中进行的线程(1)中，在步骤100中，开始自动驾驶等特殊模式α。在步骤102中，以随机数生成用于特殊模式控制的MAC密匙K_α。

在步骤104中，将生成的MAC密匙K_α储存于控制服务器10内的HDD56等存储机构。在控制服务器10中，删除使用完毕的MAC密匙K_α，因此储存MAC密匙K_α的存储装置也可以不是具有安全存储机构等的保护数据的完整性和机密性的功能的存储机构。

在步骤106中，将生成的MAC密匙K_α向车辆A、B分别发送。为了确保安全，原则上，MAC密匙K_α的发送通过有线通信进行，但若通过通信内容的加密等而确保安全，则也可以使用无线通信。

于在车辆A、B中分别进行的线程(2)中，在步骤108A、108B中将MAC密匙K_α储存于车辆A、B内的安全存储机构。

于在控制服务器10中进行的线程(3)中，在步骤110中，判定是否继续控制。在通过从外部输入控制继续的指令等而继续控制的情况下，将顺序移至步骤112，在不继续控制的情况下，将顺序移至步骤138。

在步骤112中，输入特殊模式用控制信号X_N。作为一个例子，特殊模式用控制信号X_N的下标的N是1以上的自然数，是存在多个种类的特殊模式的情况下的识别符。

在步骤114中，使用MAC密匙K_α，对特殊模式用控制信号X_N进行作为基于块加密的消息认证编码算法的CMAC运算。而且，在步骤116中，生成MAC值M_N。

在步骤118中，将特殊模式用控制信号X_N和MAC值M_N设置为发送数据。而且，在步骤120中，将设置好的发送数据向车辆A、B分别发送。

于在车辆A、B中分别进行的线程(4)中，在步骤122A、122B中接收来自控制服务器10的发送数据。而且，在步骤124A、124B中，从接收到的数据中抽出特殊模式用控制信号X_N和MAC值M_N。

在步骤126A、126B中，使用MAC密匙K_α，对从控制服务器10传送过来的特殊模式用控制信号X_N进行作为基于块加密的消息认证编码算法的CMAC运算。而且，在步骤128A、128B中，生成MAC值M'_N。

在步骤130A、130B中，判定从控制服务器10传送过来的MAC值M_N、与在车辆A、B中分别根据特殊模式用控制信号X_N生成的MAC值M'_N是否一致。在步骤130A、130B中，在MAC值M_N与MAC值M'_N一致的情况下，将顺序移至步骤132A、132B，在MAC值M_N与MAC值M'_N不一致的情况下，将顺序移至步骤134A、134B。

在步骤132A、132B中，执行特殊模式用控制信号X_N来将顺序移至步骤136A、136B。在步骤134A、134B中，放弃特殊模式用控制信号X_N来将顺序移至步骤136A、136B。

在步骤136A(或者步骤136B)中，等待来自控制服务器10的下一个数据接收，并将顺序移至步骤110。

于在控制服务器10中进行的线程(5)中，在步骤138中删除使用完毕的MAC密匙K_α。而且，在步骤140中，结束基于特殊模式的控制。

如以上说明的那样，本实施方式能够对多个车辆同时并行地进行特殊模式下的控制，从而作业的迅速化和作业顺序的简化成为可能。

用于特殊模式的控制的MAC密匙K_α在车辆中储存于车辆内的安全存储机构，在控制服务器10中储存于HDD56等存储机构。在特殊模式下的控制结束后，删除储存于控制服务器10内的MAC密匙K_α，因此MAC密匙K_α不会存在于车辆的安全存储机构以外，作为结果，与将特殊模式下的控制无效化的状态等效。车辆的安全存储机构具有保护数据的完整性和机密性的功能，因此机密泄漏的风险较低。然而，为了进一步期待万全的安全，在不需要特殊模式下的控制的情况下，也可以放弃安全存储机构内的MAC密匙K_α。

此外，权利要求书所记载的车辆控制部相当于说明书的发明的详细内容的说明所记载的“运算装置14”和“车辆ECU16”，同“公共密匙”相当于说明书的发明的详细内容的说明所记载的“MAC密匙K”和“MAC密匙K_α”，同“消息认证符”相当于说明书的发明的详细内容的说明所记载的“MAC值M_N”和“MAC值M'_N”。

此外，也可以由CPU以外的各种处理器执行在上述各实施方式中CPU读入并执行软件(程序)的处理。作为该情况下的处理器，例示FPGA(Field-Programmable Gate Array)等能够在制造后变更电路结构的PLD(Programmable Logic Device)、和ASIC(ApplicationSpecific Integrated Circuit)等作为具有为了执行特定的处理而专门设计的电路结构的处理器的专用电子电路等。另外，可以由这些各种处理器中的一个执行处理，也可以由相同种类或者不同种类的两个以上的处理器的组合(例如，多个FPGA、和CPU与FPGA的组合等)执行。另外，更具体而言，这些各种处理器的硬件的构造是将半导体元件等电路元件组合而成的电子电路。

另外，在上述各实施方式中，对将程序预先存储(安装)于磁盘驱动器60等的形态进行了说明，但并不限定于此。程序也可以以存储于CD-ROM(Compact Disk Read OnlyMemory：光盘只读存储器)、DVD-ROM(Digital Versatile Disk Read Only Memory：数字多功能磁盘只读存储器)、以及USB(Universal Serial Bus：通用串行总线)存储器等非暂时性(non-transitory)存储介质的方式来提供。另外，程序也可以为经由网络从外部装置下载的方式。

Claims

1.一种车辆控制系统，其中，

所述车辆控制系统包括：

车辆控制部，搭载于车辆，并控制所述车辆；和

控制服务器，将用于在包括自动驾驶在内的特殊模式下控制所述车辆的控制信号向所述车辆控制部输出，

所述车辆控制部通过随机数生成而生成特殊模式控制用的公共密匙并向所述控制服务器输出，并且将生成的所述公共密匙储存于具有保护数据的完整性和机密性的功能的安全存储机构，

所述控制服务器将所述车辆控制部输出的所述公共密匙储存于存储部，并且向所述车辆控制部输出将所述公共密匙应用于所述控制信号而生成的所述控制信号的消息认证符和所述控制信号，

在将储存于所述安全存储机构的所述公共密匙应用于所述控制服务器输出的所述控制信号而生成的消息认证符、与所述控制服务器输出的消息认证符一致的情况下，所述车辆控制部执行基于所述控制信号的所述特殊模式下的控制，

所述控制服务器在结束所述特殊模式下的控制时删除储存于所述存储部的所述公共密匙。

2.一种车辆控制系统，其中，

所述车辆控制系统包括：

车辆控制部，分别搭载于多个车辆，并控制所述车辆；和

所述控制服务器通过随机数生成而生成特殊模式控制用的公共密匙并向所述多个车辆的所述车辆控制部输出，并且将生成的所述公共密匙储存于存储部，

所述多个车辆的所述车辆控制部将所述控制服务器输出的所述公共密匙分别储存于具有保护数据的完整性和机密性的功能的安全存储机构，

所述控制服务器向所述多个车辆的车辆控制部分别输出将储存于所述存储部的所述公共密匙应用于所述控制信号而生成的所述控制信号的消息认证符和所述控制信号，

在将储存于所述安全存储机构的所述公共密匙应用于所述控制服务器输出的所述控制信号而生成的消息认证符、与所述控制服务器输出的消息认证符一致的情况下，所述多个车辆的车辆控制部分别执行基于所述控制信号的所述特殊模式下的控制，

3.根据权利要求1或2所述的车辆控制系统，其中，

在所述车辆存在于规定的场所内的情况下，执行所述特殊模式下的控制，

所述车辆具备能够定位当前位置的装置，并将所述当前位置向所述控制服务器输出，

在所述车辆的所述当前位置变为了所述规定的场所外的情况下，所述控制服务器删除所述公共密匙。

4.根据权利要求1～3中任一项所述的车辆控制系统，其中，

在不需要所述特殊模式下的控制的情况下，所述车辆控制部删除储存于所述安全存储机构的所述公共密匙。

5.根据权利要求4所述的车辆控制系统，其中，

在进行了所述车辆的出厂通知的情况下，所述车辆控制部删除储存于所述安全存储机构的所述公共密匙。