WO2017115751A1

WO2017115751A1 - 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム

Info

Publication number: WO2017115751A1
Application number: PCT/JP2016/088701
Authority: WO
Inventors: 竹森　敬祐; 秀明川端
Original assignee: Kddi株式会社
Priority date: 2015-12-28
Filing date: 2016-12-26
Publication date: 2017-07-06
Also published as: US20190007217A1; JP6190443B2; US10931459B2; CN108476137A; EP3399691B1; EP3399691A4; EP3399691A1; JP2017120984A

Abstract

データ配信装置の第１の公開鍵証明書を記憶する第１の車載コンピュータと、第２の車載コンピュータと、第１の公開鍵証明書の生成に使用される第２の秘密鍵に対応する第２の公開鍵証明書を記憶するセキュアエレメントと、を備え、セキュアエレメントは、第２の公開鍵証明書を使用して第１の公開鍵証明書を検証し、第１の車載コンピュータは、データ配信装置から受信された第１のデータに付されている第１の電子署名を、セキュアエレメントによって検証が合格した第１の公開鍵証明書を使用して検証する暗号処理部を備え、第１の車載コンピュータ又は第２の車載コンピュータに対して、暗号処理部によって検証が合格した第１の電子署名が付されていた前記第１のデータを適用する。

Description

車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム

　本発明は、車載コンピュータシステム、車両、管理方法、及びコンピュータプログラムに関する。
　本願は、２０１５年１２月２８日に日本に出願された特願２０１５－２５６６４９号に基づき優先権を主張し、その内容をここに援用する。

　従来、自動車は、ＥＣＵ（Electronic Control Unit：電子制御装置）を有し、ＥＣＵによってエンジン制御等の機能を実現する。ＥＣＵは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。複数のＥＣＵをＣＡＮ（Controller Area Network）に接続して構成される車載制御システムについてのセキュリティ技術が例えば非特許文献１に記載されている。

　また、自動車には、ＥＣＵに繋がるＯＢＤ（On-board Diagnostics）ポートと呼ばれる診断ポートが設けられている。このＯＢＤポートに、メンテナンス専用の診断端末を接続して、該診断端末からＥＣＵに対して更新プログラムのインストール及びデータの設定変更などを行うことができる。すでに使用されている自動車について、ＥＣＵのコンピュータプログラムの更新等をする場合には、通常、車検時や自動車の定期点検時などに、正規販売店（ディーラー）や一般の自動車整備工場の工員によって更新がなされる。

竹森敬祐、"セキュアエレメントを基点とした車載制御システムの保護　－要素技術の整理と考察－"、電子情報通信学会、信学技報、vol. 114、no. 508、pp. 73-78、2015年3月

　自動車の車載制御システムのＥＣＵに適用される更新プログラム等のデータを、通信回線を介して自動車へ配信することが検討されている。この場合、配信されるデータの正当性を保証するために、配信されるデータに電子署名を付しておき、自動車において、配信されたデータの電子署名を公開鍵証明書によって検証することが考えられる。しかしながら、不当な公開鍵証明書が電子署名の検証に使用される可能性があった。

　本発明は、このような事情を考慮してなされたものであり、ＥＣＵ等の車載コンピュータに適用されるデータの正当性の検証の信頼性を向上させることができる車載コンピュータシステム、車両、管理方法、及びコンピュータプログラムを提供することを課題とする。

（１）本発明の一態様の車載コンピュータシステムは、車両に備わる車載コンピュータシステムにおいて、データ配信装置の公開鍵証明書である第１の公開鍵証明書を記憶する第１の車載コンピュータと、第２の車載コンピュータと、前記第１の公開鍵証明書の生成に使用される第２の秘密鍵に対応する第２の公開鍵証明書を記憶する第１のセキュアエレメントと、を備え、前記第１の車載コンピュータと前記第２の車載コンピュータとが前記車両に備わる通信ネットワークに接続され、前記第１のセキュアエレメントは、前記第２の公開鍵証明書を使用して前記第１の公開鍵証明書を検証し、前記第１の車載コンピュータは、前記データ配信装置から受信された第１のデータに付されている第１の電子署名を、前記第１のセキュアエレメントによって検証が合格した前記第１の公開鍵証明書を使用して検証する暗号処理部を備え、前記第１の車載コンピュータ又は前記第２の車載コンピュータに対して、前記暗号処理部によって検証が合格した前記第１の電子署名が付されていた前記第１のデータを適用する。
（２）本発明の一態様の車載コンピュータシステムは、上記（１）の車載コンピュータシステムにおいて、前記第１のセキュアエレメントは、第３の秘密鍵をさらに記憶し、前記第３の秘密鍵を使用して、前記第１のデータの適用の結果を示す適用結果情報に対する第３の電子署名を生成し、前記車載コンピュータシステムは、前記第３の電子署名が付されている前記適用結果情報を、前記データ配信装置へ送信する。
（３）本発明の一態様の車載コンピュータシステムは、上記（２）の車載コンピュータシステムにおいて、前記第１のセキュアエレメントは、前記第２の秘密鍵をさらに記憶し、前記第２の秘密鍵を使用して前記第３の秘密鍵に対応する第３の公開鍵証明書を生成し、前記車載コンピュータシステムは、前記第３の公開鍵証明書を前記データ配信装置へ送信する。
（４）本発明の一態様の車載コンピュータシステムは、上記（１）の車載コンピュータシステムにおいて、第３の秘密鍵を記憶する第２のセキュアエレメントをさらに備え、前記第２のセキュアエレメントは、前記第３の秘密鍵を使用して、前記第１のデータの適用の結果を示す適用結果情報に対する第３の電子署名を生成し、前記車載コンピュータシステムは、前記第３の電子署名が付されている前記適用結果情報を、前記データ配信装置へ送信する。
（５）本発明の一態様の車載コンピュータシステムは、上記（４）の車載コンピュータシステムにおいて、前記第２のセキュアエレメントは、前記第２の秘密鍵をさらに記憶し、前記第２の秘密鍵を使用して前記第３の秘密鍵に対応する第３の公開鍵証明書を生成し、前記車載コンピュータシステムは、前記第３の公開鍵証明書を前記データ配信装置へ送信する。
（６）本発明の一態様の車載コンピュータシステムは、上記（１）から（５）のいずれかの車載コンピュータシステムにおいて、前記第１のセキュアエレメントは、前記車両に備わる通信モジュールに備わる。
（７）本発明の一態様の車載コンピュータシステムは、上記（１）から（５）のいずれかの車載コンピュータシステムにおいて、前記第１のセキュアエレメントは、前記第１の車載コンピュータに備わる。
（８）本発明の一態様の車載コンピュータシステムは、上記（４）又は（５）のいずれかの車載コンピュータシステムにおいて、前記第２のセキュアエレメントは、前記第１の車載コンピュータに備わる。
（９）本発明の一態様の車載コンピュータシステムは、上記（４）又は（５）のいずれかの車載コンピュータシステムにおいて、前記第２のセキュアエレメントは、前記車両に備わる通信モジュールに備わる。
（１０）本発明の一態様の車載コンピュータシステムは、上記（１）から（９）のいずれかの車載コンピュータシステムにおいて、前記第１の車載コンピュータは、前記暗号処理部によって検証が合格した前記第１の電子署名が付されていた前記第１のデータを前記第２の車載コンピュータへ送信し、前記第２の車載コンピュータは、前記第１の車載コンピュータから受信した前記第１のデータを自己に適用し、前記第１の車載コンピュータと前記第２の車載コンピュータとは、同じ共通鍵を記憶し、前記共通鍵を使用して前記第１のデータの適用の正当性の検証を行う。

（１１）本発明の一態様の車載コンピュータシステムは、車両に備わる車載コンピュータシステムにおいて、データ配信装置の公開鍵証明書である第１の公開鍵証明書を記憶する第１の車載コンピュータと、第２の車載コンピュータと、を備え、前記第１の車載コンピュータと前記第２の車載コンピュータとが前記車両に備わる通信ネットワークに接続され、前記第１の公開鍵証明書は、前記第１の車載コンピュータとデータを送受する車外の装置に備えられるセキュアエレメントによって、前記セキュアエレメントが記憶している「前記第１の公開鍵証明書の生成に使用される第２の秘密鍵に対応する第２の公開鍵証明書」を使用して検証が合格したものであり、前記第１の車載コンピュータは、前記データ配信装置から受信された第１のデータに付されている第１の電子署名を、前記第１の公開鍵証明書を使用して検証する暗号処理部を備え、前記第１の車載コンピュータ又は前記第２の車載コンピュータに対して、前記暗号処理部によって検証が合格した前記第１の電子署名が付されていた前記第１のデータを適用する。

（１２）本発明の一態様の車両は、上記（１）から（１１）のいずれかの車載コンピュータシステムを備える。

（１３）本発明の一態様の管理方法は、車両に備わる車載コンピュータシステムが、データ配信装置の公開鍵証明書である第１の公開鍵証明書を記憶する第１の車載コンピュータと、第２の車載コンピュータと、前記第１の公開鍵証明書の生成に使用される第２の秘密鍵に対応する第２の公開鍵証明書を記憶するセキュアエレメントと、を備え、前記第１の車載コンピュータと前記第２の車載コンピュータとが前記車両に備わる通信ネットワークに接続され、前記セキュアエレメントが、前記第２の公開鍵証明書を使用して前記第１の公開鍵証明書を検証する公開鍵証明書検証ステップと、前記第１の車載コンピュータが、前記データ配信装置から受信された第１のデータに付されている第１の電子署名を、前記セキュアエレメントによって検証が合格した前記第１の公開鍵証明書を使用して検証する電子署名検証ステップと、前記第１の車載コンピュータ又は前記第２の車載コンピュータに対して、前記電子署名検証ステップによって検証が合格した前記第１の電子署名が付されていた前記第１のデータを適用するデータ適用ステップと、を含む。

（１４）本発明の一態様の管理方法は、車両に備わる車載コンピュータシステムが、データ配信装置の公開鍵証明書である第１の公開鍵証明書を記憶する第１の車載コンピュータと、第２の車載コンピュータと、を備え、前記第１の車載コンピュータと前記第２の車載コンピュータとが前記車両に備わる通信ネットワークに接続され、前記第１の公開鍵証明書は、前記第１の車載コンピュータとデータを送受する車外の装置に備えられるセキュアエレメントによって、前記セキュアエレメントが記憶している「前記第１の公開鍵証明書の生成に使用される第２の秘密鍵に対応する第２の公開鍵証明書」を使用して検証が合格したものであり、前記第１の車載コンピュータが、前記データ配信装置から受信された第１のデータに付されている第１の電子署名を、前記第１の公開鍵証明書を使用して検証する電子署名検証ステップと、前記第１の車載コンピュータ又は前記第２の車載コンピュータに対して、前記電子署名検証ステップによって検証が合格した前記第１の電子署名が付されていた前記第１のデータを適用するデータ適用ステップと、を含む。

（１５）本発明の一態様のコンピュータプログラムは、車両に備わる車載コンピュータシステムが、データ配信装置の公開鍵証明書である第１の公開鍵証明書を記憶する第１の車載コンピュータと、第２の車載コンピュータと、前記第１の公開鍵証明書の生成に使用された第２の秘密鍵に対応する第２の公開鍵証明書を記憶するセキュアエレメントと、を備え、前記第１の車載コンピュータと前記第２の車載コンピュータとが前記車両に備わる通信ネットワークに接続され、前記セキュアエレメントのコンピュータに、前記第２の公開鍵証明書を使用して前記第１の公開鍵証明書を検証する公開鍵証明書検証ステップを実行させ、前記第１の車載コンピュータに、前記データ配信装置から受信された第１のデータに付されている第１の電子署名を、前記セキュアエレメントによって検証が合格した前記第１の公開鍵証明書を使用して検証する電子署名検証ステップを実行させ、前記第１の車載コンピュータ又は前記第２の車載コンピュータに、前記電子署名検証ステップによって検証が合格した前記第１の電子署名が付されていた前記第１のデータを適用するデータ適用ステップを実行させる。

（１６）本発明の一態様のコンピュータプログラムは、車両に備わる車載コンピュータシステムが、データ配信装置の公開鍵証明書である第１の公開鍵証明書を記憶する第１の車載コンピュータと、第２の車載コンピュータと、を備え、前記第１の車載コンピュータと前記第２の車載コンピュータとが前記車両に備わる通信ネットワークに接続され、前記第１の公開鍵証明書は、前記第１の車載コンピュータとデータを送受する車外の装置に備えられるセキュアエレメントによって、前記セキュアエレメントが記憶している「前記第１の公開鍵証明書の生成に使用される第２の秘密鍵に対応する第２の公開鍵証明書」を使用して検証が合格したものであり、前記第１の車載コンピュータに、前記データ配信装置から受信された第１のデータに付されている第１の電子署名を、前記第１の公開鍵証明書を使用して検証する電子署名検証ステップを実行させ、前記第１の車載コンピュータ又は前記第２の車載コンピュータに、前記電子署名検証ステップによって検証が合格した前記第１の電子署名が付されていた前記第１のデータを適用するデータ適用ステップを実行させる。

　本発明によれば、ＥＣＵ等の車載コンピュータに適用されるデータの正当性の検証の信頼性を向上させることができるという効果が得られる。

本発明の第１実施形態に係る自動車を示すブロック図である。第１実施形態に係る管理方法（例１）シーケンスチャートである。第１実施形態に係るＥＣＵコードの配信手順（例１－ａ）を示すシーケンスチャートである。第１実施形態に係るＥＣＵコードの配信手順（例１－ｂ）を示すシーケンスチャートである。第１実施形態に係るＥＣＵコードの配信手順（例１－ｃ）を示すシーケンスチャートである。第１実施形態に係るＥＣＵコードの配信手順（例１－ｄ）を示すシーケンスチャートである。第１実施形態に係る管理方法（例２）のシーケンスチャートである。第１実施形態に係るＥＣＵコードの配信手順（例２－ａ）を示すシーケンスチャートである。第１実施形態に係るＥＣＵコードの配信手順（例２－ｂ）を示すシーケンスチャートである。第１実施形態に係るＥＣＵコードの配信手順（例２－ｃ）を示すシーケンスチャートである。第１実施形態に係るＥＣＵコードの配信手順（例２－ｄ）を示すシーケンスチャートである。本発明の第２実施形態に係る自動車を示すブロック図である。第２実施形態に係る管理方法（例３）のシーケンスチャートである。第２実施形態に係るＥＣＵコードの配信手順（例３）を示すシーケンスチャートである。

　以下、図面を参照し、本発明の実施形態について説明する。なお、以下に示す実施形態では、車両として自動車を例に挙げて説明する。

［第１実施形態］
　図１は、本実施形態に係る自動車１００１の構成例を示すブロック図である。本実施形態では、自動車１００１に搭載されるＥＣＵ（電子制御装置）に対して、更新プログラム等のデータを適用する場合を例に挙げて説明する。

［自動車の構成例１］
　図１において、自動車１００１は、第１のＥＣＵ１０１０と複数の第２のＥＣＵ１０２０とを備える。第１のＥＣＵ１０１０及び第２のＥＣＵ１０２０は、自動車１００１に備わる車載コンピュータである。第１のＥＣＵ１０１０は、自動車１００１に搭載されたＥＣＵのうち、ゲートウェイ機能を有するＥＣＵである。第２のＥＣＵ１０２０は、自動車１００１に搭載されたＥＣＵのうち、エンジン制御等の機能を有するＥＣＵである。第２のＥＣＵ１０２０として、例えば、エンジン制御機能を有するＥＣＵ、ハンドル制御機能を有するＥＣＵ、ブレーキ制御機能を有するＥＣＵなどがある。

　第１のＥＣＵ１０１０と複数の第２のＥＣＵ１０２０は、自動車１００１に備わるＣＡＮ（Controller Area Network）１０３０に接続される。ＣＡＮ１０３０は通信ネットワークである。ＣＡＮは車両に搭載される通信ネットワークの一つとして知られている。

　第１のＥＣＵ１０１０は、ＣＡＮ１０３０を介して、各第２のＥＣＵ１０２０との間でデータを交換する。第２のＥＣＵ１０２０は、ＣＡＮ１０３０を介して、他の第２のＥＣＵ１０２０との間でデータを交換する。

　なお、車両に搭載される通信ネットワークとして、ＣＡＮ以外の通信ネットワークを自動車１００１に備え、ＣＡＮ以外の通信ネットワークを介して、第１のＥＣＵ１０１０と第２のＥＣＵ１０２０との間のデータの交換、及び、第２のＥＣＵ１０２０同士の間のデータの交換が行われてもよい。例えば、ＬＩＮ（Local Interconnect Network）を自動車１００１に備えてもよい。また、ＣＡＮとＬＩＮとを自動車１００１に備えてもよい。また、自動車１００１において、ＬＩＮに接続する第２のＥＣＵ１０２０を備えてもよい。
また、第１のＥＣＵ１０１０は、ＣＡＮとＬＩＮとに接続されてもよい。また、第１のＥＣＵ１０１０は、ＣＡＮを介して該ＣＡＮに接続される第２のＥＣＵ１０２０との間でデータを交換し、また、ＬＩＮを介して該ＬＩＮに接続される第２のＥＣＵ１０２０との間でデータを交換してもよい。また、第２のＥＣＵ１０２０同士が、ＬＩＮを介してデータを交換してもよい。

　自動車１００１は診断ポート１０６０を備える。診断ポート１０６０として、例えばＯＢＤポートを使用してもよい。診断ポート１０６０には診断端末１０６５を接続可能である。診断ポート１０６０は第１のＥＣＵ１０１０に接続される。第１のＥＣＵ１０１０と診断ポート１０６０に接続された診断端末１０６５とは、診断ポート１０６０を介して、データを交換する。

　自動車１００１はインフォテイメント（Infotainment）機器１０４０を備える。インフォテイメント機器１０４０として、例えば、ナビゲーション機能、位置情報サービス機能、音楽や動画などのマルチメディア再生機能、音声通信機能、データ通信機能、インターネット接続機能などを有するものが挙げられる。インフォテイメント機器１０４０は第１のＥＣＵ１０１０に接続される。第１のＥＣＵ１０１０は、インフォテイメント機器１０４０から入力された情報を第２のＥＣＵ１０２０へ送信する。

　自動車１００１は、ＴＣＵ（Tele Communication Unit）１０５０を備える。ＴＣＵ１０５０は通信装置である。ＴＣＵ１０５０は通信モジュール１０５１を備える。通信モジュール１０５１は、無線通信ネットワークを利用して無線通信を行う。通信モジュール１０５１は、ＳＩＭ（Subscriber Identity Module）１０５２を備える。ＳＩＭ１０５２は、無線通信ネットワークを利用するための情報が書き込まれたＳＩＭである。通信モジュール１０５１は、ＳＩＭ１０５２を使用することにより該無線通信ネットワークに接続して無線通信を行うことができる。

　ＳＩＭ１０５２は、鍵を記憶する鍵記憶部１０５３を備える。なお、ＳＩＭ１０５２として、ｅＳＩＭ（Embedded Subscriber Identity Module）を使用してもよい。ＳＩＭ及びｅＳＩＭは耐タンパー性（Tamper Resistant）を有する。ＳＩＭ及びｅＳＩＭはセキュアエレメント（Secure Element：SE）の例である。セキュアエレメントは耐タンパー性を有する。ＳＩＭ及びｅＳＩＭは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。

　ＴＣＵ１０５０は第１のＥＣＵ１０１０に接続される。第１のＥＣＵ１０１０は、ＴＣＵ１０５０の通信モジュール１０５１とデータを交換する。

　なお、図１の構成では第１のＥＣＵ１０１０とＴＣＵ１０５０を直接接続することにより第１のＥＣＵ１０１０と通信モジュール１０５１の間でデータを交換するが、これに限定されない。例えば、ＴＣＵ１０５０をインフォテイメント機器１０４０に接続し、第１のＥＣＵ１０１０が、インフォテイメント機器１０４０を介して、ＴＣＵ１０５０の通信モジュール１０５１とデータを交換してもよい。又は、診断端末１０６５の代わりにＴＣＵ１０５０を診断ポート１０６０に接続し、第１のＥＣＵ１０１０が、診断ポート１０６０を介して、該診断ポート１０６０に接続されたＴＣＵ１０５０の通信モジュール１０５１とデータを交換してもよい。又は、第１のＥＣＵ１０１０が、ＳＩＭ１０５２を含む通信モジュール１０５１を備えてもよい。第１のＥＣＵ１０１０がＳＩＭ１０５２を含む通信モジュール１０５１を備える場合には、自動車１００１はＴＣＵ１０５０を備えなくてもよい。

　第１のＥＣＵ１０１０は、メイン演算器１０１１とＨＳＭ（Hardware Security Module）１０１２を備える。メイン演算器１０１１は、第１のＥＣＵ１０１０の機能を実現させるためのコンピュータプログラムを実行する。ＨＳＭ１０１２は暗号処理機能を有する。
　ＨＳＭ１０１２は耐タンパー性を有する。ＨＳＭ１０１２はセキュアエレメントの例である。ＨＳＭ１０１２は、鍵を記憶する鍵記憶部１０１３を備える。メイン演算器１０１１はＨＳＭ１０１２を使用する。

　なお、第１のＥＣＵ１０１０が備える暗号処理部は、ＨＳＭ１０１２に限定されない。第１のＥＣＵ１０１０が備える暗号処理部として、例えば「ＴＰＭ（Trusted Platform Module）ｆ」と呼ばれる暗号処理チップを使用してもよい。ＴＰＭｆは耐タンパー性を有する。ＴＰＭｆはセキュアエレメントの例である。

　第２のＥＣＵ１０２０は、メイン演算器１０２１とＳＨＥ（Secure Hardware Extension）１０２２を備える。メイン演算器１０２１は、第２のＥＣＵ１０２０の機能を実現させるためのコンピュータプログラムを実行する。ＳＨＥ１０２２は暗号処理機能を有する。ＳＨＥ１０２２は耐タンパー性を有する。ＳＨＥ１０２２はセキュアエレメントの例である。ＳＨＥ１０２２は、鍵を記憶する鍵記憶部１０２３を備える。メイン演算器１０２１はＳＨＥ１０２２を使用する。

　なお、第２のＥＣＵ１０２０が備える暗号処理部は、ＳＨＥ１０２２に限定されない。第２のＥＣＵ１０２０が備える暗号処理部として、例えば「ＴＰＭｔ」と呼ばれる暗号処理チップを使用してもよい。ＴＰＭｔは耐タンパー性を有する。ＴＰＭｔはセキュアエレメントの例である。

　自動車１００１に備わる車載コンピュータシステム１００２は、第１のＥＣＵ１０１０と複数の第２のＥＣＵ１０２０とがＣＡＮ１０３０に接続されて構成される。第１のＥＣＵ１０１０は、ゲートウェイ機能を有し、車載コンピュータシステム１００２の内部と外部の間の通信を監視する。なお、車載コンピュータシステム１００２は、通信モジュール１０５１のＳＩＭ１０５２をさらに含んで構成されてもよい。

　以下の説明において、第１のＥＣＵ１０１０と第２のＥＣＵ１０２０とを特に区別しないときは単にＥＣＵと称する。

　サーバ装置１３００は、通信回線を介して、自動車１００１のＴＣＵ１０５０の通信モジュール１０５１とデータを送受する。例えば、サーバ装置１３００と通信モジュール１０５１との間をＶＰＮ（Virtual Private Network）回線等の専用回線で接続し、該専用回線でデータを送受してもよい。例えば、ＳＩＭ１０５２に対応する無線通信ネットワークによって、ＶＰＮ回線等の専用回線が提供されてもよい。

　サーバ装置１３００は、ＥＣＵに適用されるＥＣＵコード（ECU code）を自動車１００１へ配信する。ＥＣＵコードは、ＥＣＵに適用されるデータの例である。ＥＣＵコードは、ＥＣＵにインストールされる更新プログラム等のコンピュータプログラムであってもよく、又は、ＥＣＵに設定されるパラメータ設定値などの設定データであってもよい。サーバ装置１３００は、電子署名付きＥＣＵコードを自動車１００１へ送信する。サーバ装置１３００はデータ配信装置に対応する。

　次に、図２から図１１を参照して本実施形態に係る管理方法の例を説明する。

［管理方法（例１）］
　図２から図６を参照して、本実施形態に係る管理方法の例１を説明する。図２は、本実施形態の管理方法の例１に係るシーケンスチャートである。管理方法の例１では、ＳＩＭ１０５２は、認証局（Certification Authority：CA）の公開鍵証明書Ｃｅｒｔ＿ｃａ（以下、認証局公開鍵証明書Ｃｅｒｔ＿ｃａと称する）を備える。ＳＩＭ１０５２の鍵記憶部１０５３は、認証局公開鍵証明書Ｃｅｒｔ＿ｃａを記憶する。認証局公開鍵証明書Ｃｅｒｔ＿ｃａは、ＳＩＭ１０５２の製造時などに、安全に、ＳＩＭ１０５２に格納される。
また、認証局公開鍵証明書Ｃｅｒｔ＿ｃａは、安全な通信経路、例えばＶＰＮ回線等の専用回線を介して自動車１００１に送付されてＳＩＭ１０５２に格納されてもよい。例えば、ＳＩＭ１０５２に対応する無線通信ネットワークによって、ＶＰＮ回線等の専用回線が提供されてもよい。

　まず、図２を参照して、管理方法の例１に係る、サーバ装置１３００の公開鍵証明書Ｃｅｒｔ＿ｓｖ（以下、サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖと称する）の配信の手順を説明する。

（ステップＳ１）サーバ装置１３００は、自己の秘密鍵Ｋｅｙ＿ｓｖ＿ｓ（以下、サーバ秘密鍵Ｋｅｙ＿ｓｖ＿ｓと称する）を備える。サーバ装置１３００は、サーバ秘密鍵Ｋｅｙ＿ｓｖ＿ｓに対応するサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖを自動車１００１の通信モジュール１０５１へ送信する。サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖは、認証局によって発行されたものである。認証局公開鍵証明書Ｃｅｒｔ＿ｃａは、サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖを発行した認証局の公開鍵証明書である。つまり、サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖは、認証局公開鍵証明書Ｃｅｒｔ＿ｃａに対応する認証局の秘密鍵を使用して生成されたものである。

（ステップＳ２）自動車１００１において、通信モジュール１０５１は、サーバ装置１３００から受信したサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖをＳＩＭ１０５２へ供給する。ＳＩＭ１０５２は、該サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖの正当性を、認証局公開鍵証明書Ｃｅｒｔ＿ｃａを使用して検証する。

（ステップＳ３）通信モジュール１０５１は、ＳＩＭ１０５２によって検証が合格したサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖを第１のＥＣＵ１０１０へ送信する。第１のＥＣＵ１０１０は、通信モジュール１０５１から受信したサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖをＨＳＭ１０１２に供給する。ＨＳＭ１０１２の鍵記憶部１０１３は、通信モジュール１０５１から受信されたサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖを記憶する。

　一方、通信モジュール１０５１は、ＳＩＭ１０５２によって検証が不合格となったサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖを破棄する。したがって、ＳＩＭ１０５２によって検証が不合格となったサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖは、第１のＥＣＵ１０１０へ送信されない。また、通信モジュール１０５１は、サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖの検証が不合格である場合には所定のエラー処理を行ってもよい。

　管理方法の例１によれば、自動車１００１に備わるＳＩＭ１０５２が認証局公開鍵証明書Ｃｅｒｔ＿ｃａを備え、ＳＩＭ１０５２が認証局公開鍵証明書Ｃｅｒｔ＿ｃａを使用してサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖの正当性を検証する。ＳＩＭ１０５２は耐タンパー性を有するので、ＳＩＭ１０５２に備わる認証局公開鍵証明書Ｃｅｒｔ＿ｃａの安全性は高い。このことから、ＳＩＭ１０５２によって行われるサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖの正当性の検証の結果は信頼性が高い。

　次に図３から図６を参照して、管理方法の例１に係るＥＣＵコードの配信の手順の例を説明する。なお、図３から図６に示されるＥＣＵコード配信手順の例では、第２のＥＣＵ１０２０に適用されるＥＣＵコードを例に挙げるが、第１のＥＣＵ１０１０に適用されるＥＣＵコードについても、ＥＣＵコードの適用先が第１のＥＣＵ１０１０になるのみで同様の手順を適用可能である。

［ＥＣＵコード配信手順（例１－ａ）］
　図３は、ＥＣＵコードの配信手順の例１－ａを示すシーケンスチャートである。図３を参照して、ＥＣＵコードの配信手順の例１－ａを説明する。図３において、サーバ装置１３００は、サーバ秘密鍵Ｋｅｙ＿ｓｖ＿ｓと、自動車１００１の公開鍵証明書Ｃｅｒｔ＿ｖｅ（以下、自動車公開鍵証明書Ｃｅｒｔ＿ｖｅと称する）とを備える。自動車１００１において、通信モジュール１０５１のＳＩＭ１０５２は、認証局公開鍵証明書Ｃｅｒｔ＿ｃａと、自動車１００１の秘密鍵Ｋｅｙ＿ｖｅ＿ｓ（以下、自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓと称する）とを備える。ＳＩＭ１０５２の鍵記憶部１０５３は、認証局公開鍵証明書Ｃｅｒｔ＿ｃａと自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓとを記憶する。

　自動車公開鍵証明書Ｃｅｒｔ＿ｖｅは、自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓに対応する公開鍵証明書である。自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓと自動車公開鍵証明書Ｃｅｒｔ＿ｖｅとは自動車１００１の車外の装置で生成されて、自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓはＳＩＭ１０５２に格納され、自動車公開鍵証明書Ｃｅｒｔ＿ｖｅはサーバ装置１３００に格納される。なお、自動車公開鍵証明書Ｃｅｒｔ＿ｖｅに含める属性情報には、車両識別番号（Vehicle Identification Number：VIN）を含めてもよい。

　自動車１００１において、第１のＥＣＵ１０１０のＨＳＭ１０１２は、サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖと、自動車１００１の共通鍵Ｋｅｙ＿ｖｅ＿ｃ（以下、自動車共通鍵Ｋｅｙ＿ｖｅ＿ｃと称する）とを備える。ＨＳＭ１０１２の鍵記憶部１０１３は、サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖと自動車共通鍵Ｋｅｙ＿ｖｅ＿ｃとを記憶する。ＨＳＭ１０１２の鍵記憶部１０１３に記憶されているサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖは、上述の図２の手順によって正当性の検証が合格したものである。

　第２のＥＣＵ１０２０のＳＨＥ１０２２は、自動車共通鍵Ｋｅｙ＿ｖｅ＿ｃを備える。ＳＨＥ１０２２の鍵記憶部１０２３は、自動車共通鍵Ｋｅｙ＿ｖｅ＿ｃを記憶する。第１のＥＣＵ１０１０のＨＳＭ１０１２と第２のＥＣＵ１０２０のＳＨＥ１０２２とは同じ自動車共通鍵Ｋｅｙ＿ｖｅ＿ｃを備える。

（ステップＳ１０１）サーバ装置１３００は、電子署名付きＥＣＵコードを自動車１００１へ送信する。電子署名付きＥＣＵコードの電子署名は、サーバ秘密鍵Ｋｅｙ＿ｓｖ＿ｓを使用して生成されたものである。自動車１００１において、通信モジュール１０５１は、サーバ装置１３００から受信した電子署名付きＥＣＵコードを第１のＥＣＵ１０１０へ送信する。

（ステップＳ１０２）第１のＥＣＵ１０１０は、通信モジュール１０５１から受信した電子署名付きＥＣＵコードをＨＳＭ１０１２へ供給する。ＨＳＭ１０１２は、該電子署名付きＥＣＵコードの電子署名を、サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖを使用して検証する。

（ステップＳ１０３）第１のＥＣＵ１０１０は、ＨＳＭ１０１２によって検証が合格した電子署名が付されていたＥＣＵコードを第２のＥＣＵ１０２０へ送信する。一方、第１のＥＣＵ１０１０は、ＨＳＭ１０１２によって検証が不合格となった電子署名が付されていたＥＣＵコードを破棄する。したがって、ＨＳＭ１０１２によって検証が不合格となった電子署名が付されていたＥＣＵコードは、第２のＥＣＵ１０２０へ送信されない。また、第１のＥＣＵ１０１０は、サーバ装置１３００から受信された電子署名付きＥＣＵコードの電子署名の検証が不合格である場合には所定のエラー処理を行ってもよい。

（ステップＳ１０４）第２のＥＣＵ１０２０は、第１のＥＣＵ１０１０から受信したＥＣＵコードを自己に適用する。

（ステップＳ１０５）第２のＥＣＵ１０２０は、第１のＥＣＵ１０１０から受信したＥＣＵコードを自己に適用した状態を示す適用状態測定値を、第１のＥＣＵ１０１０へ送信する。本実施形態では、適用状態測定値として、第２のＥＣＵ１０２０に適用後のＥＣＵコードのＣＭＡＣ（Cipher-based Message Authentication Code）を、ＳＨＥ１０２２によって、自動車共通鍵Ｋｅｙ＿ｖｅ＿ｃを使用して算出する。なお、適用状態測定値として、第２のＥＣＵ１０２０に適用後のＥＣＵコードのＨＭＡＣ（Hash-based Message Authentication Code）を算出してもよい。

（ステップＳ１０６）第１のＥＣＵ１０１０は、第２のＥＣＵ１０２０から受信した適用状態測定値を検証する。この適用状態測定値の検証において、本実施形態では、第１のＥＣＵ１０１０において、上述のステップＳ１０３で第２のＥＣＵ１０２０へ送信したＥＣＵコードのＣＭＡＣを、ＨＳＭ１０１２によって、自動車共通鍵Ｋｅｙ＿ｖｅ＿ｃを使用して算出する。そして、ＨＳＭ１０１２によって算出したＣＭＡＣと、第２のＥＣＵ１０２０から受信した適用状態測定値のＣＭＡＣとを比較し、両者が一致するかを判定する。
この判定の結果、一致する場合には適用状態測定値の検証が合格であり、不一致の場合には適用状態測定値の検証が不合格である。なお、第１のＥＣＵ１０１０は、適用状態測定値の検証が不合格である場合には所定のエラー処理を行ってもよい。

（ステップＳ１０７）第１のＥＣＵ１０１０は、上述のステップＳ１０３で第２のＥＣＵ１０２０へ送信したＥＣＵコードの適用の結果を示す適用結果情報を通信モジュール１０５１へ送信する。適用結果情報として、上述のステップＳ１０３で第２のＥＣＵ１０２０へ送信したＥＣＵコードであってもよい。又は、適用結果情報として、第２のＥＣＵ１０２０から受信した適用状態測定値であってもよい。

（ステップＳ１０８）通信モジュール１０５１は、第１のＥＣＵ１０１０から受信した適用結果情報をＳＩＭ１０５２へ供給する。ＳＩＭ１０５２は、該適用結果情報の電子署名を、自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓを使用して生成する。

（ステップＳ１０９）通信モジュール１０５１は、ＳＩＭ１０５２によって生成した電子署名を適用結果情報に付した電子署名付き適用結果情報をサーバ装置１３００へ送信する。

（ステップＳ１１０）サーバ装置１３００は、自動車１００１の通信モジュール１０５１から受信した電子署名付き適用結果情報の電子署名を、自動車公開鍵証明書Ｃｅｒｔ＿ｖｅを使用して検証する。サーバ装置１３００は、該検証が合格した電子署名が付されていた適用結果情報について、利用できると判断する。一方、サーバ装置１３００は、該検証が不合格となった電子署名が付されていた適用結果情報を破棄する。また、サーバ装置１３００は、自動車１００１の通信モジュール１０５１から受信した電子署名付き適用結果情報の電子署名の検証が不合格である場合には所定のエラー処理を行ってもよい。なお、サーバ装置１３００によって利用できると判断された適用結果情報は、ＥＣＵコードの適用状況の分析等に利用してもよい。

　ＥＣＵコード配信手順の例１－ａによれば、第１のＥＣＵ１０１０のＨＳＭ１０１２が、サーバ装置１３００から受信された電子署名付きＥＣＵコードの電子署名を、サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖを使用して検証する。このサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖは、通信モジュール１０５１のＳＩＭ１０５２によって、認証局公開鍵証明書Ｃｅｒｔ＿ｃａを使用して正当性が検証済みである。よって、第１のＥＣＵ１０１０のＨＳＭ１０１２による電子署名付きＥＣＵコードの電子署名の検証の結果は信頼性が高い。これにより、ＥＣＵに適用されるＥＣＵコードの正当性の検証の信頼性を向上させることができる。

［ＥＣＵコード配信手順（例１－ｂ）］
　図４は、ＥＣＵコードの配信手順の例１－ｂを示すシーケンスチャートである。図４を参照して、ＥＣＵコードの配信手順の例１－ｂを説明する。図４において、図３の各部に対応する部分には同一の符号を付け、その説明を省略する。図４において、図３と異なる部分は、自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓを第１のＥＣＵ１０１０のＨＳＭ１０１２に備える点である。図４において、ＨＳＭ１０１２の鍵記憶部１０１３は、サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖと自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓと自動車共通鍵Ｋｅｙ＿ｖｅ＿ｃとを記憶する。ＨＳＭ１０１２の鍵記憶部１０１３に記憶されているサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖは、上述の図２の手順によって正当性の検証が合格したものである。以下、上述の図３のＥＣＵコード配信手順の例１－ａと異なる点を主に説明する。

　図４において、ステップＳ１０１からＳ１０６までが実行される。ステップＳ１０１からＳ１０６までは、上述の図３のＥＣＵコード配信手順の例１－ａと同じである。ステップＳ１０６に次いでステップＳ２０１が実行される。

（ステップＳ２０１）第１のＥＣＵ１０１０は、ステップＳ１０３で第２のＥＣＵ１０２０へ送信したＥＣＵコードの適用の結果を示す適用結果情報をＨＳＭ１０１２へ供給する。ＨＳＭ１０１２は、該適用結果情報の電子署名を、自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓを使用して生成する。適用結果情報として、ステップＳ１０３で第２のＥＣＵ１０２０へ送信したＥＣＵコードであってもよい。又は、適用結果情報として、第２のＥＣＵ１０２０から受信した適用状態測定値であってもよい。

（ステップＳ２０２）第１のＥＣＵ１０１０は、ＨＳＭ１０１２によって生成した電子署名を適用結果情報に付した電子署名付き適用結果情報を通信モジュール１０５１へ送信する。通信モジュール１０５１は、第１のＥＣＵ１０１０から受信した電子署名付き適用結果情報をサーバ装置１３００へ送信する。

　次いでステップＳ１１０が実行される。ステップＳ１１０は、上述の図３のＥＣＵコード配信手順の例１－ａと同じである。

　ＥＣＵコード配信手順の例１－ｂによれば、上述のＥＣＵコード配信手順の例１－ａと同様に、ＥＣＵに適用されるＥＣＵコードの正当性の検証の信頼性を向上させることができる。また、ＥＣＵコード配信手順の例１－ｂでは、第１のＥＣＵ１０１０のＨＳＭ１０１２が自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓを備え、ＨＳＭ１０１２によって、適用結果情報の電子署名を、自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓを使用して生成する。ＨＳＭ１０１２はＳＩＭ１０５２よりも暗号処理能力が高いので、ＥＣＵコード配信手順の例１－ｂによれば、暗号処理の効率化を図ることができる。

［ＥＣＵコード配信手順（例１－ｃ）］
　図５は、ＥＣＵコードの配信手順の例１－ｃを示すシーケンスチャートである。図５を参照して、ＥＣＵコードの配信手順の例１－ｃを説明する。図５において、図３の各部に対応する部分には同一の符号を付け、その説明を省略する。図５において、図３と異なる部分は、認証局の秘密鍵Ｋｅｙ＿ｃａ＿ｓ（以下、認証局秘密鍵Ｋｅｙ＿ｃａ＿ｓと称する）を通信モジュール１０５１のＳＩＭ１０５２に備え、ＳＩＭ１０５２が自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓと自動車公開鍵証明書Ｃｅｒｔ＿ｖｅのペアを生成する点である。

　認証局秘密鍵Ｋｅｙ＿ｃａ＿ｓは、認証局公開鍵証明書Ｃｅｒｔ＿ｃａに対応するものである。なお、認証局公開鍵証明書Ｃｅｒｔ＿ｃａは、サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖを発行した認証局の公開鍵証明書であってもよい。サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖは、公的な第三者機関の認証局によって発行された公開鍵証明書であってもよく、又は、例えば自動車１００１のＳＩＭ１０５２等のプライベート認証局によって認証局秘密鍵Ｋｅｙ＿ｃａ＿ｓを使用して生成された公開鍵証明書であってもよい。

　ＳＩＭ１０５２は、自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓと自動車公開鍵証明書Ｃｅｒｔ＿ｖｅのペアを生成する機能を有する。ＳＩＭ１０５２の鍵記憶部１０５３は、認証局公開鍵証明書Ｃｅｒｔ＿ｃａと認証局秘密鍵Ｋｅｙ＿ｃａ＿ｓと自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓとを記憶する。以下、上述の図３のＥＣＵコード配信手順の例１－ａと異なる点を主に説明する。

（ステップＳ３０１）自動車１００１において、通信モジュール１０５１のＳＩＭ１０５２は、自己の自動車１００１の公開鍵と自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓのペアを生成する。ＳＩＭ１０５２は、該生成した自動車の公開鍵について公開鍵証明書（自動車公開鍵証明書Ｃｅｒｔ＿ｖｅ）を、認証局秘密鍵Ｋｅｙ＿ｃａ＿ｓを使用して生成する。

（ステップＳ３０２）通信モジュール１０５１は、ＳＩＭ１０５２によって生成した自動車公開鍵証明書Ｃｅｒｔ＿ｖｅをサーバ装置１３００へ送信する。サーバ装置１３００は、自動車１００１の通信モジュール１０５１から受信した自動車公開鍵証明書Ｃｅｒｔ＿ｖｅを保管する。

　次いでステップＳ１０１からＳ１１０までが実行される。ステップＳ１０１からＳ１１０までは、上述の図３のＥＣＵコード配信手順の例１－ａと同じである。

　ＥＣＵコード配信手順の例１－ｃによれば、上述のＥＣＵコード配信手順の例１－ａと同様に、ＥＣＵに適用されるＥＣＵコードの正当性の検証の信頼性を向上させることができる。また、ＥＣＵコード配信手順の例１－ｃでは、自動車１００１に備わるＳＩＭ１０５２が認証局秘密鍵Ｋｅｙ＿ｃａ＿ｓを有することによってプライベート認証局として機能する。これにより、自動車１００１が自己の自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓと自動車公開鍵証明書Ｃｅｒｔ＿ｖｅのペアを生成することができる。なお、自動車１００１に備わる認証局秘密鍵Ｋｅｙ＿ｃａ＿ｓと認証局公開鍵証明書Ｃｅｒｔ＿ｃａのペアは、例えば、自動車メーカ毎、車種毎、自動車の製造年毎などで異なるようにしてもよい。

［ＥＣＵコード配信手順（例１－ｄ）］
　図６は、ＥＣＵコードの配信手順の例１－ｄを示すシーケンスチャートである。図６を参照して、ＥＣＵコードの配信手順の例１－ｄを説明する。図６において、図４の各部に対応する部分には同一の符号を付け、その説明を省略する。図６において、図４と異なる部分は、認証局秘密鍵Ｋｅｙ＿ｃａ＿ｓを第１のＥＣＵ１０１０のＨＳＭ１０１２に備え、ＨＳＭ１０１２が自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓと自動車公開鍵証明書Ｃｅｒｔ＿ｖｅのペアを生成する点である。

　ＨＳＭ１０１２は、自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓと自動車公開鍵証明書Ｃｅｒｔ＿ｖｅのペアを生成する機能を有する。ＨＳＭ１０１２の鍵記憶部１０１３は、認証局秘密鍵Ｋｅｙ＿ｃａ＿ｓとサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖと自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓと自動車共通鍵Ｋｅｙ＿ｖｅ＿ｃとを記憶する。ＨＳＭ１０１２の鍵記憶部１０１３に記憶されているサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖは、上述の図２の手順によって正当性の検証が合格したものである。以下、上述の図４のＥＣＵコード配信手順の例１－ｂと異なる点を主に説明する。

（ステップＳ４０１）自動車１００１において、第１のＥＣＵ１０１０のＨＳＭ１０１２は、自己の自動車１００１の公開鍵と自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓのペアを生成する。ＨＳＭ１０１２は、該生成した自動車の公開鍵について公開鍵証明書（自動車公開鍵証明書Ｃｅｒｔ＿ｖｅ）を、認証局秘密鍵Ｋｅｙ＿ｃａ＿ｓを使用して生成する。

（ステップＳ４０２）第１のＥＣＵ１０１０は、ＨＳＭ１０１２によって生成した自動車公開鍵証明書Ｃｅｒｔ＿ｖｅを通信モジュール１０５１へ送信する。通信モジュール１０５１は、第１のＥＣＵ１０１０から受信した自動車公開鍵証明書Ｃｅｒｔ＿ｖｅをサーバ装置１３００へ送信する。サーバ装置１３００は、自動車１００１の通信モジュール１０５１から受信した自動車公開鍵証明書Ｃｅｒｔ＿ｖｅを保管する。

　次いでステップＳ１０１からＳ１０６、Ｓ２０１、Ｓ２０２、Ｓ１１０までが実行される。ステップＳ１０１からＳ１０６、Ｓ２０１、Ｓ２０２、Ｓ１１０までは、上述の図４のＥＣＵコード配信手順の例１－ｂと同じである。

　ＥＣＵコード配信手順の例１－ｄによれば、上述のＥＣＵコード配信手順の例１－ａと同様に、ＥＣＵに適用されるＥＣＵコードの正当性の検証の信頼性を向上させることができる。また、上述のＥＣＵコード配信手順の例１－ｂと同様に、暗号処理の効率化を図ることができる。

　また、ＥＣＵコード配信手順の例１－ｄでは、自動車１００１に備わるＨＳＭ１０１２が認証局秘密鍵Ｋｅｙ＿ｃａ＿ｓを有することによってプライベート認証局として機能する。これにより、自動車１００１が自己の自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓと自動車公開鍵証明書Ｃｅｒｔ＿ｖｅのペアを生成することができる。なお、自動車１００１に備わる認証局秘密鍵Ｋｅｙ＿ｃａ＿ｓと認証局公開鍵証明書Ｃｅｒｔ＿ｃａのペアは、例えば、自動車メーカ毎、車種毎、自動車の製造年毎などで異なるようにしてもよい。

［管理方法（例２）］
　図７から図１１を参照して、本実施形態に係る管理方法の例２を説明する。図７は、本実施形態の管理方法の例２に係るシーケンスチャートである。管理方法の例２では、ＨＳＭ１０１２は、認証局公開鍵証明書Ｃｅｒｔ＿ｃａとサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖとを備える。ＨＳＭ１０１２の鍵記憶部１０１３は、認証局公開鍵証明書Ｃｅｒｔ＿ｃａとサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖとを記憶する。認証局公開鍵証明書Ｃｅｒｔ＿ｃａは、ＨＳＭ１０１２の製造時などに、安全に、ＨＳＭ１０１２に格納される。また、認証局公開鍵証明書Ｃｅｒｔ＿ｃａは、安全な通信経路、例えばＶＰＮ回線等の専用回線を介して自動車１００１に送付されてＨＳＭ１０１２に格納されてもよい。例えば、ＳＩＭ１０５２に対応する無線通信ネットワークによって、ＶＰＮ回線等の専用回線が提供されてもよい。

　まず、図７を参照して、管理方法の例２に係るサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖの配信の手順を説明する。

（ステップＳ１１）サーバ装置１３００は、サーバ秘密鍵Ｋｅｙ＿ｓｖ＿ｓを備える。サーバ装置１３００は、サーバ秘密鍵Ｋｅｙ＿ｓｖ＿ｓに対応するサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖを自動車１００１の通信モジュール１０５１へ送信する。サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖは、認証局によって発行されたものである。認証局公開鍵証明書Ｃｅｒｔ＿ｃａは、サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖを発行した認証局の公開鍵証明書である。
つまり、サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖは、認証局公開鍵証明書Ｃｅｒｔ＿ｃａに対応する認証局の秘密鍵を使用して生成されたものである。

　自動車１００１において、通信モジュール１０５１は、サーバ装置１３００から受信したサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖを第１のＥＣＵ１０１０へ送信する。

（ステップＳ１２）自動車１００１において、第１のＥＣＵ１０１０は、通信モジュール１０５１から受信したサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖをＨＳＭ１０１２へ供給する。
ＨＳＭ１０１２は、該サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖの正当性を、認証局公開鍵証明書Ｃｅｒｔ＿ｃａを使用して検証する。ＨＳＭ１０１２は、検証が合格したサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖを鍵記憶部１０１３に格納する。

　一方、ＨＳＭ１０１２は、検証が不合格となったサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖを破棄する。したがって、検証が不合格となったサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖは、ＨＳＭ１０１２で保管されない。また、第１のＥＣＵ１０１０は、サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖの検証が不合格である場合には所定のエラー処理を行ってもよい。

　管理方法の例２によれば、自動車１００１に備わるＨＳＭ１０１２が認証局公開鍵証明書Ｃｅｒｔ＿ｃａを備え、ＨＳＭ１０１２が認証局公開鍵証明書Ｃｅｒｔ＿ｃａを使用してサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖの正当性を検証する。ＨＳＭ１０１２は耐タンパー性を有するので、ＨＳＭ１０１２に備わる認証局公開鍵証明書Ｃｅｒｔ＿ｃａの安全性は高い。このことから、ＨＳＭ１０１２によって行われるサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖの正当性の検証の結果は信頼性が高い。また、ＨＳＭ１０１２はＳＩＭ１０５２よりも暗号処理能力が高いので、管理方法の例２によれば、暗号処理の効率化を図ることができる。

　次に図８から図１１を参照して、管理方法の例２に係るＥＣＵコードの配信の手順の例を説明する。なお、図８から図１１に示されるＥＣＵコード配信手順の例では、第２のＥＣＵ１０２０に適用されるＥＣＵコードを例に挙げるが、第１のＥＣＵ１０１０に適用されるＥＣＵコードについても、ＥＣＵコードの適用先が第１のＥＣＵ１０１０になるのみで同様の手順を適用可能である。

［ＥＣＵコード配信手順（例２－ａ）］
　図８は、ＥＣＵコードの配信手順の例２－ａを示すシーケンスチャートである。図８を参照して、ＥＣＵコードの配信手順の例２－ａを説明する。図８において、図３の各部に対応する部分には同一の符号を付け、その説明を省略する。図８において、図３と異なる部分は、認証局公開鍵証明書Ｃｅｒｔ＿ｃａを第１のＥＣＵ１０１０のＨＳＭ１０１２に備える点である。図８において、ＨＳＭ１０１２の鍵記憶部１０１３は、認証局公開鍵証明書Ｃｅｒｔ＿ｃａとサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖと自動車共通鍵Ｋｅｙ＿ｖｅ＿ｃとを記憶する。ＨＳＭ１０１２の鍵記憶部１０１３に記憶されているサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖは、上述の図７の手順によって正当性の検証が合格したものである。

　図８において、ステップＳ１０１からＳ１１０までが実行される。ステップＳ１０１からＳ１１０までは、上述の図３のＥＣＵコード配信手順の例１－ａと同じである。

　ＥＣＵコード配信手順の例２－ａによれば、第１のＥＣＵ１０１０のＨＳＭ１０１２が、サーバ装置１３００から受信された電子署名付きＥＣＵコードの電子署名を、サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖを使用して検証する。このサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖは、第１のＥＣＵ１０１０のＨＳＭ１０１２によって、認証局公開鍵証明書Ｃｅｒｔ＿ｃａを使用して正当性が検証済みである。よって、第１のＥＣＵ１０１０のＨＳＭ１０１２による電子署名付きＥＣＵコードの電子署名の検証の結果は信頼性が高い。これにより、ＥＣＵに適用されるＥＣＵコードの正当性の検証の信頼性を向上させることができる。

［ＥＣＵコード配信手順（例２－ｂ）］
　図９は、ＥＣＵコードの配信手順の例２－ｂを示すシーケンスチャートである。図９を参照して、ＥＣＵコードの配信手順の例２－ｂを説明する。図９において、図４の各部に対応する部分には同一の符号を付け、その説明を省略する。図９において、図４と異なる部分は、認証局公開鍵証明書Ｃｅｒｔ＿ｃａを第１のＥＣＵ１０１０のＨＳＭ１０１２に備える点である。図９において、ＨＳＭ１０１２の鍵記憶部１０１３は、認証局公開鍵証明書Ｃｅｒｔ＿ｃａとサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖと自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓと自動車共通鍵Ｋｅｙ＿ｖｅ＿ｃとを記憶する。ＨＳＭ１０１２の鍵記憶部１０１３に記憶されているサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖは、上述の図７の手順によって正当性の検証が合格したものである。

　図９において、ステップＳ１０１からＳ１０６、Ｓ２０１、Ｓ２０２、Ｓ１１０までが実行される。ステップＳ１０１からＳ１０６、Ｓ２０１、Ｓ２０２、Ｓ１１０までは、上述の図４のＥＣＵコード配信手順の例１－ｂと同じである。

　ＥＣＵコード配信手順の例２－ｂによれば、上述のＥＣＵコード配信手順の例２－ａと同様に、ＥＣＵに適用されるＥＣＵコードの正当性の検証の信頼性を向上させることができる。また、ＥＣＵコード配信手順の例２－ｂでは、第１のＥＣＵ１０１０のＨＳＭ１０１２が自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓを備え、ＨＳＭ１０１２によって、適用結果情報の電子署名を、自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓを使用して生成する。ＨＳＭ１０１２はＳＩＭ１０５２よりも暗号処理能力が高いので、ＥＣＵコード配信手順の例２－ｂによれば、暗号処理の効率化を図ることができる。

［ＥＣＵコード配信手順（例２－ｃ）］
　図１０は、ＥＣＵコードの配信手順の例２－ｃを示すシーケンスチャートである。図１０を参照して、ＥＣＵコードの配信手順の例２－ｃを説明する。図１０において、図５の各部に対応する部分には同一の符号を付け、その説明を省略する。図１０において、図５と異なる部分は、認証局公開鍵証明書Ｃｅｒｔ＿ｃａを第１のＥＣＵ１０１０のＨＳＭ１０１２に備える点である。図１０において、ＨＳＭ１０１２の鍵記憶部１０１３は、認証局公開鍵証明書Ｃｅｒｔ＿ｃａとサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖと自動車共通鍵Ｋｅｙ＿ｖｅ＿ｃとを記憶する。ＨＳＭ１０１２の鍵記憶部１０１３に記憶されているサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖは、上述の図７の手順によって正当性の検証が合格したものである。

　図１０において、ステップＳ３０１、Ｓ３０２、ステップＳ１０１からＳ１１０までが実行される。ステップＳ３０１、Ｓ３０２、ステップＳ１０１からＳ１１０までは、上述の図５のＥＣＵコード配信手順の例１－ｃと同じである。

　ＥＣＵコード配信手順の例２－ｃによれば、上述のＥＣＵコード配信手順の例２－ａと同様に、ＥＣＵに適用されるＥＣＵコードの正当性の検証の信頼性を向上させることができる。また、ＥＣＵコード配信手順の例２－ｃでは、自動車１００１に備わるＳＩＭ１０５２が認証局秘密鍵Ｋｅｙ＿ｃａ＿ｓを有することによってプライベート認証局として機能する。これにより、自動車１００１が自己の自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓと自動車公開鍵証明書Ｃｅｒｔ＿ｖｅのペアを生成することができる。なお、自動車１００１に備わる認証局秘密鍵Ｋｅｙ＿ｃａ＿ｓと認証局公開鍵証明書Ｃｅｒｔ＿ｃａのペアは、例えば、自動車メーカ毎、車種毎、自動車の製造年毎などで異なるようにしてもよい。

［ＥＣＵコード配信手順（例２－ｄ）］
　図１１は、ＥＣＵコードの配信手順の例２－ｄを示すシーケンスチャートである。図１１を参照して、ＥＣＵコードの配信手順の例２－ｄを説明する。図１１において、図６の各部に対応する部分には同一の符号を付け、その説明を省略する。図１１において、図６と異なる部分は、認証局公開鍵証明書Ｃｅｒｔ＿ｃａを第１のＥＣＵ１０１０のＨＳＭ１０１２に備える点である。図１１において、ＨＳＭ１０１２の鍵記憶部１０１３は、認証局公開鍵証明書Ｃｅｒｔ＿ｃａと認証局秘密鍵Ｋｅｙ＿ｃａ＿ｓとサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖと自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓと自動車共通鍵Ｋｅｙ＿ｖｅ＿ｃとを記憶する。ＨＳＭ１０１２の鍵記憶部１０１３に記憶されているサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖは、上述の図７の手順によって正当性の検証が合格したものである。

　図１１において、ステップＳ４０１、Ｓ４０２、Ｓ１０１からＳ１０６、Ｓ２０１、Ｓ２０２、Ｓ１１０までが実行される。ステップＳ４０１、Ｓ４０２、Ｓ１０１からＳ１０６、Ｓ２０１、Ｓ２０２、Ｓ１１０までは、上述の図６のＥＣＵコード配信手順の例１－ｄと同じである。

　ＥＣＵコード配信手順の例２－ｄによれば、上述のＥＣＵコード配信手順の例２－ａと同様に、ＥＣＵに適用されるＥＣＵコードの正当性の検証の信頼性を向上させることができる。また、上述のＥＣＵコード配信手順の例１－ｄと同様に、暗号処理の効率化を図ることができる。

　また、ＥＣＵコード配信手順の例２－ｄでは、自動車１００１に備わるＨＳＭ１０１２が認証局秘密鍵Ｋｅｙ＿ｃａ＿ｓを有することによってプライベート認証局として機能する。これにより、自動車１００１が自己の自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓと自動車公開鍵証明書Ｃｅｒｔ＿ｖｅのペアを生成することができる。なお、自動車１００１に備わる認証局秘密鍵Ｋｅｙ＿ｃａ＿ｓと認証局公開鍵証明書Ｃｅｒｔ＿ｃａのペアは、例えば、自動車メーカ毎、車種毎、自動車の製造年毎などで異なるようにしてもよい。

［第２実施形態］
　図１２は、本発明の第２実施形態に係る自動車１００１の構成例を示すブロック図である。本実施形態では、自動車１００１に搭載されるＥＣＵ（電子制御装置）に対して、更新プログラム等のデータを適用する場合を例に挙げて説明する。

［自動車の構成例２］
　図１２において、図１の各部に対応する部分には同一の符号を付け、その説明を省略する。図１２に示す自動車の構成例２において、診断ポート１０６０にはメンテナンスツール（maintenance tool）１２００を接続可能である。第１のＥＣＵ１０１０と診断ポート１０６０に接続されたメンテナンスツール１２００とは、診断ポート１０６０を介して、データを交換する。メンテナンスツール１２００は、ＯＢＤポートに接続される従来の診断端末の機能を有していてもよい。

　メンテナンスツール１２００は、制御モジュール１２０１を備える。制御モジュール１２０１は、ＩＣ（Integrated Circuit）チップ１２０２を備える。ＩＣチップ１２０２は、鍵を記憶する鍵記憶部１２０３を備える。ＩＣチップ１２０２は耐タンパー性を有する。ＩＣチップ１２０２はセキュアエレメントの例である。ＩＣチップ１２０２は、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。

　サーバ装置１３００は、通信回線を介して、メンテナンスツール１２００とデータを送受する。例えば、サーバ装置１３００とメンテナンスツール１２００との間をＶＰＮ回線等の専用回線で接続し、該専用回線でデータを送受してもよい。

　サーバ装置１３００は、ＥＣＵに適用されるＥＣＵコードを、メンテナンスツール１２００を介して自動車１００１へ配信する。ＥＣＵコードは、ＥＣＵに適用されるデータの例である。ＥＣＵコードは、ＥＣＵにインストールされる更新プログラム等のコンピュータプログラムであってもよく、又は、ＥＣＵに設定されるパラメータ設定値などの設定データであってもよい。サーバ装置１３００は、電子署名付きＥＣＵコードを、メンテナンスツール１２００を介して自動車１００１へ送信する。サーバ装置１３００はデータ配信装置に対応する。

［管理方法（例３）］
　次に、図１３及び図１４を参照して本実施形態に係る管理方法の例３を説明する。図１３は、本実施形態の管理方法の例３に係るシーケンスチャートである。管理方法の例３では、ＩＣチップ１２０２が、認証局公開鍵証明書Ｃｅｒｔ＿ｃａと認証局秘密鍵Ｋｅｙ＿ｃａ＿ｓとを備える。ＩＣチップ１２０２の鍵記憶部１２０３は、認証局公開鍵証明書Ｃｅｒｔ＿ｃａと認証局秘密鍵Ｋｅｙ＿ｃａ＿ｓとを記憶する。認証局公開鍵証明書Ｃｅｒｔ＿ｃａと認証局秘密鍵Ｋｅｙ＿ｃａ＿ｓとは、ＩＣチップ１２０２の製造時などに、安全に、ＩＣチップ１２０２に格納される。

　まず、図１３を参照して、管理方法の例３に係るサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖの配信の手順を説明する。

（ステップＳ２１）サーバ装置１３００は、サーバ秘密鍵Ｋｅｙ＿ｓｖ＿ｓを備える。サーバ装置１３００は、サーバ秘密鍵Ｋｅｙ＿ｓｖ＿ｓに対応するサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖをメンテナンスツール１２００へ送信する。サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖは、認証局によって発行されたものである。認証局公開鍵証明書Ｃｅｒｔ＿ｃａは、サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖを発行した認証局の公開鍵証明書である。つまり、サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖは、認証局公開鍵証明書Ｃｅｒｔ＿ｃａに対応する認証局の秘密鍵を使用して生成されたものである。

（ステップＳ２２）メンテナンスツール１２００において、制御モジュール１２０１は、サーバ装置１３００から受信されたサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖをＩＣチップ１２０２へ供給する。ＩＣチップ１２０２は、該サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖの正当性を、認証局公開鍵証明書Ｃｅｒｔ＿ｃａを使用して検証する。

（ステップＳ２３）制御モジュール１２０１は、ＩＣチップ１２０２によって検証が合格したサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖを、自動車１００１の診断ポート１０６０を介して第１のＥＣＵ１０１０へ送信する。第１のＥＣＵ１０１０は、制御モジュール１２０１から受信したサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖをＨＳＭ１０１２に供給する。ＨＳＭ１０１２の鍵記憶部１０１３は、制御モジュール１２０１から受信されたサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖを記憶する。

　一方、制御モジュール１２０１は、ＩＣチップ１２０２によって検証が不合格となったサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖを破棄する。したがって、ＩＣチップ１２０２によって検証が不合格となったサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖは、自動車１００１に供給されない。また、制御モジュール１２０１は、サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖの検証が不合格である場合には所定のエラー処理を行ってもよい。

　管理方法の例３によれば、メンテナンスツール１２００の制御モジュール１２０１に備わるＩＣチップ１２０２が認証局公開鍵証明書Ｃｅｒｔ＿ｃａを備え、ＩＣチップ１２０２が認証局公開鍵証明書Ｃｅｒｔ＿ｃａを使用してサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖの正当性を検証する。ＩＣチップ１２０２は耐タンパー性を有するので、ＩＣチップ１２０２に備わる認証局公開鍵証明書Ｃｅｒｔ＿ｃａの安全性は高い。このことから、ＩＣチップ１２０２によって行われるサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖの正当性の検証の結果は信頼性が高い。

　次に図１４を参照して、管理方法の例３に係るＥＣＵコードの配信の手順の例を説明する。なお、図１４に示されるＥＣＵコード配信手順の例では、第２のＥＣＵ１０２０に適用されるＥＣＵコードを例に挙げるが、第１のＥＣＵ１０１０に適用されるＥＣＵコードについても、ＥＣＵコードの適用先が第１のＥＣＵ１０１０になるのみで同様の手順を適用可能である。

［ＥＣＵコード配信手順（例３）］
　図１４は、ＥＣＵコードの配信手順の例３を示すシーケンスチャートである。図１４を参照して、ＥＣＵコードの配信手順の例３を説明する。図１４において、サーバ装置１３００は、サーバ秘密鍵Ｋｅｙ＿ｓｖ＿ｓと自動車公開鍵証明書Ｃｅｒｔ＿ｖｅとを備える。メンテナンスツール１２００において、制御モジュール１２０１のＩＣチップ１２０２は、認証局公開鍵証明書Ｃｅｒｔ＿ｃａと認証局秘密鍵Ｋｅｙ＿ｃａ＿ｓとを備える。ＩＣチップ１２０２の鍵記憶部１２０３は、認証局公開鍵証明書Ｃｅｒｔ＿ｃａと認証局秘密鍵Ｋｅｙ＿ｃａ＿ｓとを記憶する。

　自動車１００１において、第１のＥＣＵ１０１０のＨＳＭ１０１２は、サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖと自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓと自動車共通鍵Ｋｅｙ＿ｖｅ＿ｃとを備える。ＨＳＭ１０１２の鍵記憶部１０１３は、サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖと自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓと自動車共通鍵Ｋｅｙ＿ｖｅ＿ｃとを記憶する。ＨＳＭ１０１２の鍵記憶部１０１３に記憶されているサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖは、上述の図１３の手順によって正当性の検証が合格したものである。

　第２のＥＣＵ１０２０のＳＨＥ１０２２は、自動車共通鍵Ｋｅｙ＿ｖｅ＿ｃを備える。
ＳＨＥ１０２２の鍵記憶部１０２３は、自動車共通鍵Ｋｅｙ＿ｖｅ＿ｃを記憶する。第１のＥＣＵ１０１０のＨＳＭ１０１２と第２のＥＣＵ１０２０のＳＨＥ１０２２とは同じ自動車共通鍵Ｋｅｙ＿ｖｅ＿ｃを備える。

（ステップＳ１００１）メンテナンスツール１２００において、制御モジュール１２０１のＩＣチップ１２０２は、自己が接続されている自動車１００１の自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓに対応する公開鍵について公開鍵証明書（自動車公開鍵証明書Ｃｅｒｔ＿ｖｅ）を、認証局秘密鍵Ｋｅｙ＿ｃａ＿ｓを使用して生成する。自動車１００１の自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓに対応する公開鍵は、第１のＥＣＵ１０１０から診断ポート１０６０を介してメンテナンスツール１２００の制御モジュール１２０１へ供給される。

（ステップＳ１００２）制御モジュール１２０１は、ＩＣチップ１２０２によって生成した自動車公開鍵証明書Ｃｅｒｔ＿ｖｅをサーバ装置１３００へ送信する。サーバ装置１３００は、メンテナンスツール１２００の制御モジュール１２０１から受信した自動車公開鍵証明書Ｃｅｒｔ＿ｖｅを保管する。

（ステップＳ１１０１）サーバ装置１３００は、電子署名付きＥＣＵコードをメンテナンスツール１２００へ送信する。電子署名付きＥＣＵコードの電子署名は、サーバ秘密鍵Ｋｅｙ＿ｓｖ＿ｓを使用して生成されたものである。メンテナンスツール１２００の制御モジュール１２０１は、サーバ装置１３００から受信した電子署名付きＥＣＵコードを、自動車１００１の診断ポート１０６０を介して第１のＥＣＵ１０１０へ送信する。

（ステップＳ１０２）第１のＥＣＵ１０１０は、制御モジュール１２０１から診断ポート１０６０を介して受信した電子署名付きＥＣＵコードをＨＳＭ１０１２へ供給する。ＨＳＭ１０１２は、該電子署名付きＥＣＵコードの電子署名を、サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖを使用して検証する。

　次いでステップＳ１０３からＳ１０６までが実行される。ステップＳ１０３からＳ１０６までは、上述の図３のＥＣＵコード配信手順の例１－ａと同じである。ステップＳ１０６に次いでステップＳ２０１が実行される。ステップＳ２０１は、上述の図４のＥＣＵコードの配信手順の例１－ｂと同じである。ステップＳ２０１に次いでステップＳ１２０２が実行される。

（ステップＳ１２０２）第１のＥＣＵ１０１０は、ＨＳＭ１０１２によって生成した電子署名を適用結果情報に付した電子署名付き適用結果情報を、診断ポート１０６０を介してメンテナンスツール１２００の制御モジュール１２０１へ送信する。制御モジュール１２０１は、診断ポート１０６０を介して第１のＥＣＵ１０１０から受信した電子署名付き適用結果情報をサーバ装置１３００へ送信する。

　ＥＣＵコード配信手順の例３によれば、第１のＥＣＵ１０１０のＨＳＭ１０１２が、サーバ装置１３００から受信された電子署名付きＥＣＵコードの電子署名を、サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖを使用して検証する。このサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖは、メンテナンスツール１２００の制御モジュール１２０１のＩＣチップ１２０２によって、認証局公開鍵証明書Ｃｅｒｔ＿ｃａを使用して正当性が検証済みである。よって、第１のＥＣＵ１０１０のＨＳＭ１０１２による電子署名付きＥＣＵコードの電子署名の検証の結果は信頼性が高い。これにより、ＥＣＵに適用されるＥＣＵコードの正当性の検証の信頼性を向上させることができる。

　また、メンテナンスツール１２００に備わるＩＣチップ１２０２が認証局秘密鍵Ｋｅｙ＿ｃａ＿ｓを有することによってプライベート認証局として機能する。これにより、メンテナンスツール１２００が自動車１００１の自動車公開鍵証明書Ｃｅｒｔ＿ｖｅを生成することができる。

　上述した実施形態によれば、セキュアエレメントが認証局公開鍵証明書Ｃｅｒｔ＿ｃａを備える。上述した実施形態に係る管理方法の例１ではセキュアエレメントの一例であるＳＩＭ１０５２が認証局公開鍵証明書Ｃｅｒｔ＿ｃａを備え、管理方法の例２ではセキュアエレメントの一例であるＨＳＭ１０１２が認証局公開鍵証明書Ｃｅｒｔ＿ｃａを備え、管理方法の例３ではセキュアエレメントの一例であるＩＣチップ１２０２が認証局公開鍵証明書Ｃｅｒｔ＿ｃａを備える。該セキュアエレメントは、認証局公開鍵証明書Ｃｅｒｔ＿ｃａを使用してサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖの正当性を検証する。該セキュアエレメントによって検証が合格したサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖは、サーバ装置１３００から配信された電子署名付きＥＣＵコードの電子署名の検証に使用される。これにより、自動車の車載制御システムのＥＣＵに適用される更新プログラム等のデータに電子署名を付して該自動車へ配信し、該自動車において電子署名付きデータの正当性を公開鍵証明書によって検証する際に、該検証の信頼性を向上させることができる。

　また、一般に、サーバ装置１３００の公開鍵証明書（サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖ）は、定期的に、例えば数年周期で交換される。上述した実施形態によれば、セキュアエレメントによって新しいサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖの正当性の検証が認証局公開鍵証明書Ｃｅｒｔ＿ｃａを使用して行われるので、交換後のサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖの信頼性を向上させることができる。

　また、認証局公開鍵証明書Ｃｅｒｔ＿ｃａはセキュアエレメントに格納されるので、該セキュアエレメントの耐タンパー性によって、該セキュアエレメントに格納されている認証局公開鍵証明書Ｃｅｒｔ＿ｃａに対する攻撃を防止できる。これにより、該セキュアエレメントによってサーバ公開鍵証明書Ｃｅｒｔ＿ｓｖの正当性の検証を行うことにより、サーバ公開鍵証明書Ｃｅｒｔ＿ｓｖの正当性の検証の信頼性を向上させることができる。

　また、上述した実施形態によれば、セキュアエレメントが認証局秘密鍵Ｋｅｙ＿ｃａ＿ｓを備え、該セキュアエレメントがプライベート認証局として機能する。該セキュアエレメントの耐タンパー性によって、該セキュアエレメントに格納されている認証局秘密鍵Ｋｅｙ＿ｃａ＿ｓに対する攻撃を防止できる。該セキュアエレメントは、該セキュアエレメントが備わる自動車１００１、又は、該セキュアエレメントが診断ポート１０６０を介して接続される自動車１００１、の自動車公開鍵証明書Ｃｅｒｔ＿ｖｅを生成する。これにより、自動車公開鍵証明書Ｃｅｒｔ＿ｖｅの生成の効率と信頼性を向上させることができる。

　また、上述した実施形態によれば、セキュアエレメントが自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓを備える。該セキュアエレメントの耐タンパー性によって、該セキュアエレメントに格納されている自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓに対する攻撃を防止できる。該セキュアエレメントは、自動車秘密鍵Ｋｅｙ＿ｖｅ＿ｓを使用して適用結果情報の電子署名を生成する。これにより、電子署名付き適用結果情報の信頼性を向上させることができる。

　上述の実施形態は、自動車に搭載されるＥＣＵ等の車載コンピュータに適用できる。上述した実施形態によれば、ＥＣＵ等の車載コンピュータに適用されるデータの正当性の検証の信頼性を向上させることができるという効果が得られる。

　以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。

　上述した実施形態において、セキュアエレメントとして、例えば、ＳＩＭ又はｅＳＩＭを使用してもよい。ｅＳＩＭは、ＳＩＭの一種であり、耐タンパー性を有する。また、セキュアエレメントとして、耐タンパー性を有するＩＣチップを使用してもよい。また、セキュアエレメントとして、耐タンパー性のある暗号処理チップを使用してもよい。耐タンパー性のある暗号処理チップとして、例えば、ＨＳＭ、ＴＰＭ（Trusted Platform Module）、ＴＰＭｆ、ＴＰＭｔ、又はＳＨＥなどと呼ばれる暗号処理チップが知られている。

　上述した実施形態では、車両として自動車を例に挙げたが、原動機付自転車や鉄道車両等の自動車以外の他の車両にも適用可能である。

　また、上述した自動車又はメンテナンスツールに備わる各装置の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、ＯＳや周辺機器等のハードウェアを含むものであってもよい。
　また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ＲＯＭ、フラッシュメモリ等の書き込み可能な不揮発性メモリ、ＤＶＤ（Digital Versatile Disc）等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。

　さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ（例えばＤＲＡＭ（Dynamic Random Access Memory））のように、一定時間プログラムを保持しているものも含むものとする。
　また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク（通信網）や電話回線等の通信回線（通信線）のように情報を伝送する機能を有する媒体のことをいう。
　また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。
さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル（差分プログラム）であっても良い。

１００１　自動車、
１００２　車載コンピュータシステム
１０１０　第１のＥＣＵ
１０１１，１０２１　メイン演算器
１０１２　ＨＳＭ
１０１３，１０２３，１０５３，１２０３　鍵記憶部
１０２０　第２のＥＣＵ
１０２２　ＳＨＥ
１０３０　ＣＡＮ
１０４０　インフォテイメント機器
１０５０　ＴＣＵ
１０５１　通信モジュール
１０５２　ＳＩＭ
１０６０　診断ポート
１０６５　診断端末
１２００　メンテナンスツール
１２０１　制御モジュール
１２０２　ＩＣチップ
１３００　サーバ装置

Claims

　車両に備わる車載コンピュータシステムにおいて、
　データ配信装置の公開鍵証明書である第１の公開鍵証明書を記憶する第１の車載コンピュータと、
　第２の車載コンピュータと、
　前記第１の公開鍵証明書の生成に使用される第２の秘密鍵に対応する第２の公開鍵証明書を記憶する第１のセキュアエレメントと、を備え、
　前記第１の車載コンピュータと前記第２の車載コンピュータとが前記車両に備わる通信ネットワークに接続され、
　前記第１のセキュアエレメントは、前記第２の公開鍵証明書を使用して前記第１の公開鍵証明書を検証し、
　前記第１の車載コンピュータは、前記データ配信装置から受信された第１のデータに付されている第１の電子署名を、前記第１のセキュアエレメントによって検証が合格した前記第１の公開鍵証明書を使用して検証する暗号処理部を備え、
　前記第１の車載コンピュータ又は前記第２の車載コンピュータに対して、前記暗号処理部によって検証が合格した前記第１の電子署名が付されていた前記第１のデータを適用する、
　車載コンピュータシステム。
　前記第１のセキュアエレメントは、
　第３の秘密鍵をさらに記憶し、
　前記第３の秘密鍵を使用して、前記第１のデータの適用の結果を示す適用結果情報に対する第３の電子署名を生成し、
　前記車載コンピュータシステムは、
　前記第３の電子署名が付されている前記適用結果情報を、前記データ配信装置へ送信する、
　請求項１に記載の車載コンピュータシステム。
　前記第１のセキュアエレメントは、
　前記第２の秘密鍵をさらに記憶し、
　前記第２の秘密鍵を使用して前記第３の秘密鍵に対応する第３の公開鍵証明書を生成し、
　前記車載コンピュータシステムは、前記第３の公開鍵証明書を前記データ配信装置へ送信する、
　請求項２に記載の車載コンピュータシステム。
　第３の秘密鍵を記憶する第２のセキュアエレメントをさらに備え、
　前記第２のセキュアエレメントは、前記第３の秘密鍵を使用して、前記第１のデータの適用の結果を示す適用結果情報に対する第３の電子署名を生成し、
　前記車載コンピュータシステムは、
　前記第３の電子署名が付されている前記適用結果情報を、前記データ配信装置へ送信する、
　請求項１に記載の車載コンピュータシステム。
　前記第２のセキュアエレメントは、
　前記第２の秘密鍵をさらに記憶し、
　前記第２の秘密鍵を使用して前記第３の秘密鍵に対応する第３の公開鍵証明書を生成し、
　前記車載コンピュータシステムは、前記第３の公開鍵証明書を前記データ配信装置へ送信する、
　請求項４に記載の車載コンピュータシステム。
　前記第１のセキュアエレメントは、前記車両に備わる通信モジュールに備わる請求項１から５のいずれか１項に記載の車載コンピュータシステム。
　前記第１のセキュアエレメントは、前記第１の車載コンピュータに備わる請求項１から５のいずれか１項に記載の車載コンピュータシステム。
　前記第２のセキュアエレメントは、前記第１の車載コンピュータに備わる請求項４又は５のいずれか１項に記載の車載コンピュータシステム。
　前記第２のセキュアエレメントは、前記車両に備わる通信モジュールに備わる請求項４又は５のいずれか１項に記載の車載コンピュータシステム。
　前記第１の車載コンピュータは、前記暗号処理部によって検証が合格した前記第１の電子署名が付されていた前記第１のデータを前記第２の車載コンピュータへ送信し、
　前記第２の車載コンピュータは、前記第１の車載コンピュータから受信した前記第１のデータを自己に適用し、
　前記第１の車載コンピュータと前記第２の車載コンピュータとは、同じ共通鍵を記憶し、前記共通鍵を使用して前記第１のデータの適用の正当性の検証を行う、
　請求項１から９のいずれか１項に記載の車載コンピュータシステム。
　車両に備わる車載コンピュータシステムにおいて、
　データ配信装置の公開鍵証明書である第１の公開鍵証明書を記憶する第１の車載コンピュータと、
　第２の車載コンピュータと、を備え、
　前記第１の車載コンピュータと前記第２の車載コンピュータとが前記車両に備わる通信ネットワークに接続され、
　前記第１の公開鍵証明書は、前記第１の車載コンピュータとデータを送受する車外の装置に備えられるセキュアエレメントによって、前記セキュアエレメントが記憶している「前記第１の公開鍵証明書の生成に使用される第２の秘密鍵に対応する第２の公開鍵証明書」を使用して検証が合格したものであり、
　前記第１の車載コンピュータは、前記データ配信装置から受信された第１のデータに付されている第１の電子署名を、前記第１の公開鍵証明書を使用して検証する暗号処理部を備え、
　前記第１の車載コンピュータ又は前記第２の車載コンピュータに対して、前記暗号処理部によって検証が合格した前記第１の電子署名が付されていた前記第１のデータを適用する、
　車載コンピュータシステム。
　請求項１から１１のいずれか１項に記載の車載コンピュータシステムを備える車両。
　車両に備わる車載コンピュータシステムが、データ配信装置の公開鍵証明書である第１の公開鍵証明書を記憶する第１の車載コンピュータと、第２の車載コンピュータと、前記第１の公開鍵証明書の生成に使用される第２の秘密鍵に対応する第２の公開鍵証明書を記憶するセキュアエレメントと、を備え、
　前記第１の車載コンピュータと前記第２の車載コンピュータとが前記車両に備わる通信ネットワークに接続され、
　前記セキュアエレメントが、前記第２の公開鍵証明書を使用して前記第１の公開鍵証明書を検証する公開鍵証明書検証ステップと、
　前記第１の車載コンピュータが、前記データ配信装置から受信された第１のデータに付されている第１の電子署名を、前記セキュアエレメントによって検証が合格した前記第１の公開鍵証明書を使用して検証する電子署名検証ステップと、
　前記第１の車載コンピュータ又は前記第２の車載コンピュータに対して、前記電子署名検証ステップによって検証が合格した前記第１の電子署名が付されていた前記第１のデータを適用するデータ適用ステップと、
　を含む管理方法。
　車両に備わる車載コンピュータシステムが、データ配信装置の公開鍵証明書である第１の公開鍵証明書を記憶する第１の車載コンピュータと、第２の車載コンピュータと、を備え、
　前記第１の車載コンピュータと前記第２の車載コンピュータとが前記車両に備わる通信ネットワークに接続され、
　前記第１の公開鍵証明書は、前記第１の車載コンピュータとデータを送受する車外の装置に備えられるセキュアエレメントによって、前記セキュアエレメントが記憶している「前記第１の公開鍵証明書の生成に使用される第２の秘密鍵に対応する第２の公開鍵証明書」を使用して検証が合格したものであり、
　前記第１の車載コンピュータが、前記データ配信装置から受信された第１のデータに付されている第１の電子署名を、前記第１の公開鍵証明書を使用して検証する電子署名検証ステップと、
　前記第１の車載コンピュータ又は前記第２の車載コンピュータに対して、前記電子署名検証ステップによって検証が合格した前記第１の電子署名が付されていた前記第１のデータを適用するデータ適用ステップと、
　を含む管理方法。
　車両に備わる車載コンピュータシステムが、データ配信装置の公開鍵証明書である第１の公開鍵証明書を記憶する第１の車載コンピュータと、第２の車載コンピュータと、前記第１の公開鍵証明書の生成に使用された第２の秘密鍵に対応する第２の公開鍵証明書を記憶するセキュアエレメントと、を備え、
　前記第１の車載コンピュータと前記第２の車載コンピュータとが前記車両に備わる通信ネットワークに接続され、
　前記セキュアエレメントのコンピュータに、前記第２の公開鍵証明書を使用して前記第１の公開鍵証明書を検証する公開鍵証明書検証ステップを実行させ、
　前記第１の車載コンピュータに、前記データ配信装置から受信された第１のデータに付されている第１の電子署名を、前記セキュアエレメントによって検証が合格した前記第１の公開鍵証明書を使用して検証する電子署名検証ステップを実行させ、
　前記第１の車載コンピュータ又は前記第２の車載コンピュータに、前記電子署名検証ステップによって検証が合格した前記第１の電子署名が付されていた前記第１のデータを適用するデータ適用ステップを実行させる、
　ためのコンピュータプログラム。
　車両に備わる車載コンピュータシステムが、データ配信装置の公開鍵証明書である第１の公開鍵証明書を記憶する第１の車載コンピュータと、第２の車載コンピュータと、を備え、
　前記第１の車載コンピュータと前記第２の車載コンピュータとが前記車両に備わる通信ネットワークに接続され、
　前記第１の公開鍵証明書は、前記第１の車載コンピュータとデータを送受する車外の装置に備えられるセキュアエレメントによって、前記セキュアエレメントが記憶している「前記第１の公開鍵証明書の生成に使用される第２の秘密鍵に対応する第２の公開鍵証明書」を使用して検証が合格したものであり、
　前記第１の車載コンピュータに、前記データ配信装置から受信された第１のデータに付されている第１の電子署名を、前記第１の公開鍵証明書を使用して検証する電子署名検証ステップを実行させ、
　前記第１の車載コンピュータ又は前記第２の車載コンピュータに、前記電子署名検証ステップによって検証が合格した前記第１の電子署名が付されていた前記第１のデータを適用するデータ適用ステップを実行させる、
　ためのコンピュータプログラム。