WO2018207243A1

WO2018207243A1 - 車載認証システム、車載認証方法および車載認証プログラム

Info

Publication number: WO2018207243A1
Application number: PCT/JP2017/017476
Authority: WO
Inventors: 純子中嶋; 博仁西山; 竜村松; 雄也高塚
Original assignee: 三菱電機株式会社
Priority date: 2017-05-09
Filing date: 2017-05-09
Publication date: 2018-11-15
Also published as: US20200151972A1; JPWO2018207243A1; JP6625269B2; CN110582430B; DE112017007515T5; CN110582430A

Abstract

車載認証システムは、複数のＥＣＵを搭載する車両に備えられ、各ＥＣＵと通信する車両通信装置（１００）を有する。認証部（１０１）は、各ＥＣＵについて構成の正当性を認証する構成認証を実行し、構成認証が失敗したＥＣＵを認証エラーリストに登録する。判定部（１０２）は、車両において実現される車両搭載機能と車両搭載機能の実現に用いられるＥＣＵとの相関を表した機能相関テーブルと、認証エラーリストとに基づいて、車両において実現可能な車両搭載機能を判定する。表示部（１０７）は、判定部（１０２）により、車両において実現可能と判定された車両搭載機能を、表示機器（８０５）に表示する。

Description

車載認証システム、車載認証方法および車載認証プログラム

　本発明は、車載認証システム、車載認証方法および車載認証プログラムに関する。

　近年、車載システムには、様々な機能を制御するＥＣＵ（Ｅｌｅｃｔｒｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）が多数搭載されている。各ＥＣＵは、車載ネットワークを介して他のＥＣＵと相互に接続され、他のＥＣＵと協調動作を行う。一方、車載ネットワークに不正なデバイスを接続する、あるいは、正規のデバイスを不正なデバイスに取替えるといった不正な操作による攻撃が問題となっている。そのため、このような攻撃から車載システムを守る技術が重要となっている。車載システムを守る技術には、攻撃を未然に防ぐ技術、および、車両が不正に制御される可能性が高い場合に不正な制御の影響を抑制する技術が含まれる。
　車載システムを守る技術をＥＣＵに搭載するために、ＥＣＵに対する機能変更および機能追加を行うソフトウェア更新が当たり前になってくる。さらに、新規のＥＣＵを追加する際のＰｎＰ（Ｐｌｕｇ　ａｎｄ　Ｐｌａｙ）対応も必要となってくる。それらをセキュアに行うためには、不正なＥＣＵと正規のＥＣＵを判別するための認証と、構成が変化するような状況での構成認証の実施が必要である。
　また、ＥＣＵ機能の追加により、ユーザに対して新たな車両搭載機能が提供される。このとき、車両ではＥＣＵと協調動作を行う他ＥＣＵとの相関関係に変化が生じている。そのため、変化に応じて最新情報を管理する仕組みが必要である。

　特許文献１には、ＥＣＵに対応付けられたセキュリティレベルと、セキュリティレベルに対応した不正対応処理とを定義した対応情報テーブルを設け、不正が検知されたＥＣＵに対応した不正対応処理を行う技術が開示されている。
　また、特許文献２には、マスタＥＣＵが車両に搭載される可能性のある全てのＥＣＵの情報に関するデータベースを備え、マスタＥＣＵがマスタＥＣＵ以外のＥＣＵに対する検証を行うことで構成証明を行う技術が記載されている。

特開２０１６－１３４１７０号公報特開２０１０－１１４００号公報

　特許文献１の技術では、単にＥＣＵのセキュリティレベルに応じて「停止、徐行、間隔をあけて走行、通知」といった不正対応処理を行うだけである。このため、特許文献１の技術では、過剰に車両搭載機能を止めてしまう虞がある。
　また、特許文献２の技術では、構成証明が確認できなかった場合には、対象のＥＣＵと他のＥＣＵとの通信を無効化するまでの技術しか開示されていない。このため、特許文献２の技術では、運転者が車両の機能の状態について確認できず、安全性および利便性が劣っている。

　本発明は、不正なＥＣＵを検出した場合、不正なＥＣＵ以外のＥＣＵにより実現可能な車両搭載機能を表示することにより、安全性および利便性を向上させることを目的とする。

　本発明に係る車載認証システムは、複数の電子制御装置を搭載する車両に備えられた車両通信装置であって、前記複数の電子制御装置の各電子制御装置と通信する車両通信装置を有する車載認証システムにおいて、
　前記複数の電子制御装置の各電子制御装置について構成の正当性を認証する構成認証を実行し、構成認証が失敗した電子制御装置を認証エラーリストに登録する認証部と、
　前記車両において実現される車両搭載機能と前記車両搭載機能の実現に用いられる電子制御装置との相関を表した機能相関テーブルと、前記認証エラーリストとに基づいて、前記車両において実現可能な車両搭載機能を判定する判定部と、
　前記判定部により前記車両において実現可能と判定された車両搭載機能を、前記車両通信装置の表示機器に表示する表示部とを備えた。

　本発明に係る車載認証システムでは、認証部が、構成認証が失敗した電子制御装置を認証エラーリストに登録する。判定部が、車両搭載機能と車両搭載機能の実現に用いられる電子制御装置との相関を表した機能相関テーブルと、認証エラーリストとに基づいて、車両において実現可能な車両搭載機能を判定する。表示部が、車両において実現可能と判定された車両搭載機能を、車両通信装置の表示機器に表示する。よって、本発明に係る車載認証システムによれば、不正な電子制御装置を検出した場合でも過剰に車両搭載機能を止めてしまうことなく、安全性および利便性を向上させることができる。

実施の形態１に係る車載認証システム１０の構成図。実施の形態１に係る車両通信装置１００の構成図。実施の形態１に係る車両２００の構成図。実施の形態１に係る認証管理装置３００の構成図。実施の形態１に係るＥＣＵ情報テーブル６２０の詳細を示した例。実施の形態１に係る構成データテーブル６１０の詳細を示した例。実施の形態１に係る機能相関テーブル６４０の詳細を示した例。実施の形態１に係る機能管理処理のフロー図。実施の形態１に係る認証処理のフロー図。実施の形態１に係る認証エラーリスト６３０の例を示す図。実施の形態１に係る認証エラーテーブル６３１の例を示す図。実施の形態１に係る構成認証処理の詳細のフロー図。実施の形態１に係る判定処理のフロー図。実施の形態１に係る機能相関テーブル６４０の具体例を示す図。実施の形態１に係る機能表示画面５００を示す図。実施の形態１に係る更新情報６５０の構成を示す図。実施の形態１に係る更新処理のフロー図。実施の形態１に係るソフトウェア更新処理のフロー図。実施の形態１に係るテーブル更新処理のフロー図。実施の形態１に係る認証管理装置３００の補助記憶装置９０３の構成図。実施の形態１に係る認証管理処理のフロー図。実施の形態１に係る構成データ生成処理のフロー図。実施の形態１に係る機能相関生成処理のフロー図。実施の形態１の変形例に係る車両通信装置１００の構成図。実施の形態１の変形例に係る認証管理装置３００の構成図。実施の形態２に係る車載認証システム１０の構成図。実施の形態２に係る車両通信装置１００ａの構成図。実施の形態２に係る認証管理装置３００ａの構成図。実施の形態３に係る車載認証システム１０ｂの構成図。実施の形態３に係る車両通信装置１００ｂの構成図。

　以下、本発明の実施の形態について、図を用いて説明する。なお、各図中、同一または相当する部分には、同一符号を付している。実施の形態の説明において、同一または相当する部分については、説明を適宜省略または簡略化する。

　実施の形態１．
＊＊＊構成の説明＊＊＊
　図１を用いて、本実施の形態に係る車載認証システム１０の構成について説明する。
　車載認証システム１０は、車両２００と認証管理装置３００とベンダサーバ装置４００とを備える。車両２００と認証管理装置３００とベンダサーバ装置４００とはネットワークを介して通信を行う。ネットワークの具体例は、インターネットである。

　車両２００は、互いに通信する少なくとも２つ以上の電子制御装置を搭載する。電子制御装置はＥＣＵと呼ばれる。以下において、電子制御装置をＥＣＵと呼ぶ。車両２００は、ＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　ａｒｅａ　ｎｅｔｗｏｒｋ）、あるいは、ＦｌｅｘＲａｙといった通信プロトコルに準拠した車載ネットワークを備える。車両２００に搭載された複数のＥＣＵは、この車載ネットワークを介して互いに通信する。また、車両２００は、車両通信装置１００を備える。車両通信装置１００は、複数の電子制御装置の各電子制御装置と通信する。
　車両２００は、車両システムともいう。また、車両通信装置１００は、具体的には、車両２００のゲートウェイ装置である。

　ベンダサーバ装置４００は、ＥＣＵごとに存在するＥＣＵベンダが管理するサーバ装置である。よって、ベンダサーバ装置４００は複数存在する。ベンダサーバ装置４００は、更新ソフトウェアおよび更新ＥＣＵ情報を提供する。更新ソフトウェアは、機能の追加、機能の変更、あるいは、不具合の修正のための最新のソフトウェアである。車両２００では、更新ソフトウェアをダウンロードして現状のプログラムを更新あるいは変更することで、ＥＣＵのプログラムが最新の状態になる。更新ＥＣＵ情報は、ソフトウェアの更新、あるいは、新規のＥＣＵの追加によって、車両２００のソフトウェアおよびハードウェアに変更があったときに、変更内容を伝達するための情報である。

　図２を用いて、本実施の形態に係る車両通信装置１００の構成について説明する。
　車両通信装置１００は、車両２００のＥＣＵの正当性を認証する。また、車両通信装置１００は、不正なＥＣＵを検出した場合には、不正なＥＣＵを除外し、残された有効な車両搭載機能を判定し、判定結果をユーザに表示する。
　車両通信装置１００は、プロセッサ８０１とメモリ８０２と補助記憶装置８０３と通信装置８０４と表示機器８０５といったハードウェアを備えるコンピュータである。

　プロセッサ８０１は、信号線を介して他のハードウェアと接続されている。プロセッサ８０１は、演算処理を行うＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）であり、他のハードウェアを制御する。具体的には、プロセッサ８０１は、ＣＰＵ、ＤＳＰまたはＧＰＵである。ＣＰＵはＣｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔの略称であり、ＤＳＰはＤｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒの略称であり、ＧＰＵはＧｒａｐｈｉｃｓ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔの略称である。

　メモリ８０２は揮発性の記憶装置である。メモリ８０２は、主記憶装置またはメインメモリとも呼ばれる。具体的には、メモリ８０２はＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）である。
　補助記憶装置８０３は不揮発性の記憶装置である。具体的には、補助記憶装置８０３は、ＲＯＭ、ＨＤＤまたはフラッシュメモリである。ＲＯＭはＲｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙの略称であり、ＨＤＤはＨａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅの略称である。
　通信装置８０４は、通信を行う装置であり、レシーバとトランスミッタとを備える。具体的には、通信装置８０４は通信チップまたはＮＩＣ（Ｎｅｔｗｏｒｋ　Ｉｎｔｅｒｆａｃｅ　Ｃａｒｄ）である。
　表示機器８０５は、画像等を表示する表示装置である。具体的には、表示機器８０５は液晶ディスプレイである。表示機器８０５はモニタともいう。

　車両通信装置１００は、構成要素として、認証部１０１と判定部１０２と更新部１０３と鍵管理部１１０とを備える。認証部１０１と判定部１０２と更新部１０３と鍵管理部１１０の機能はソフトウェアで実現される。
　補助記憶装置８０３には、認証部１０１と判定部１０２と更新部１０３と鍵管理部１１０の機能を実現するプログラムが記憶されている。認証部１０１と判定部１０２と更新部１０３と鍵管理部１１０の機能を実現するプログラムは、メモリ８０２にロードされて、プロセッサ８０１によって実行される。
　さらに、補助記憶装置８０３にはＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）が記憶されている。ＯＳの少なくとも一部は、メモリ８０２にロードされて、プロセッサ８０１によって実行される。
　つまり、プロセッサ８０１は、ＯＳを実行しながら、認証部１０１と判定部１０２と更新部１０３と鍵管理部１１０の機能を実現するプログラムを実行する。

　認証部１０１と判定部１０２と更新部１０３と鍵管理部１１０の機能を実現するプログラムを実行して得られるデータは、メモリ８０２、補助記憶装置８０３、プロセッサ８０１内のレジスタまたはプロセッサ８０１内のキャッシュメモリといった記憶装置に記憶される。
　なお、車両通信装置１００が複数のプロセッサ８０１を備えて、複数のプロセッサ８０１が認証部１０１と判定部１０２と更新部１０３と鍵管理部１１０の機能を実現するプログラムを連携して実行してもよい。
　メモリ８０２は、車両通信装置１００で使用、生成、入出力または送受信されるデータが記憶される記憶部１０４として機能する。ただし、メモリ８０２以外の記憶装置が記憶部１０４として機能してもよい。

　通信装置８０４はデータを通信する通信部として機能する。通信装置８０４において、レシーバはデータを受信する受信部１０５として機能し、トランスミッタはデータを送信する送信部１０６として機能する。
　表示機器８０５は画像等を表示する表示部１０７として機能する。

　認証部１０１と判定部１０２と更新部１０３と鍵管理部１１０の「部」は「処理」または「工程」に読み替えてもよい。認証部１０１と判定部１０２と更新部１０３と鍵管理部１１０の機能はファームウェアで実現してもよい。
　認証部１０１と判定部１０２と更新部１０３と鍵管理部１１０の機能を実現するプログラムは、磁気ディスク、光ディスクまたはフラッシュメモリ等の不揮発性の記憶媒体に記憶することができる。

　図３を用いて、本実施の形態に係る車両２００の構成について説明する。車両２００は、互いに通信する少なくとも２つ以上のＥＣＵ２０２が搭載されている車両である。少なくとも２つ以上のＥＣＵ２０２は、ＣＡＮあるいはＦｌｅｘＲａｙといった通信プロトコルに準拠した車載ネットワーク２０１を介して、互いに接続される。
　ＥＣＵ２０２は、ＣＰＵ２５０、メモリ２５１、および通信装置２５４といったハードウェアを備える。メモリ２５１には、プログラム２５２とＥＣＵ情報２５３とが記憶される。

　図４を用いて、本実施の形態に係る認証管理装置３００の構成について説明する。
　認証管理装置３００は、プロセッサ９０１とメモリ９０２と補助記憶装置９０３と通信装置９０４と表示機器９０５と入力装置９０６といったハードウェアを備えるコンピュータである。プロセッサ９０１とメモリ９０２と補助記憶装置９０３と通信装置９０４と表示機器９０５については、車両通信装置１００の備えるハードウェアと同様である。また、記憶部３０７、受信部３０８、送信部３０９、および表示部３１１についても、車両通信装置１００の備える記憶部１０４、受信部１０５、送信部１０６、および表示部１０７と同様である。ただし、車両通信装置１００は組込み機器向けのコンピュータであるのに対し、認証管理装置３００はサーバとしての機能を果たすコンピュータである。よって、認証管理装置３００は車両通信装置１００よりはるかに計算能力の高いコンピュータである。
　入力装置９０６は、入力を受け付ける受付部３１０として機能する。

　認証管理装置３００は、構成要素として、更新データ処理部３０１と構成データ生成部３０２と機能相関生成部３０３とテーブル管理部３０６と鍵管理部３２０とを備える。

　図５は、本実施の形態に係るＥＣＵ情報テーブル６２０の詳細を示した例である。
　ＥＣＵ情報６２１は、ＥＣＵの属性を表す属性情報２０の例である。ＥＣＵ情報テーブル６２０には複数のＥＣＵ情報６２１が含まれる。複数のＥＣＵ情報６２１は、各ＥＣＵ情報６２１を識別するＥＣＵ識別ＩＤで管理される。ＥＣＵ情報６２１には、ＥＣＵの属性として、ＥＣＵ識別ＩＤ、ＥＣＵ情報の名称、メーカー情報、ベンダ情報、ハードウェア番号、バージョン、機能分類、関連車載機能、関連ＥＣＵ入出力といった情報が含まれる。

　図６は、本実施の形態に係る構成データテーブル６１０の詳細を示した例である。
　構成データテーブル６１０は、複数の構成データ情報６１１から成る。構成データ情報６１１は、各ＥＣＵに、各ＥＣＵの属性を表すＥＣＵ情報から生成された構成データ６０１を対応付けた情報である。構成データ６０１は、具体的には、デジタル署名である。
　複数の構成データ情報６１１は、各構成データ情報６１１を識別する構成識別ＩＤで管理される。構成データ情報６１１には、構成識別ＩＤ、ヘッダ情報、ＥＣＵ情報の名称、ＥＣＵ情報から算出されたデジタル署名といった情報が含まれる。構成データ情報６１１には、ＥＣＵ情報の名称を１つ以上含む。図７では、構成データ情報６１１には、ＥＣＵ情報ＡとＥＣＵ情報Ｂの各々のＥＣＵ情報６２１から算出された構成データ６０１が設定されている。

　図７は、本実施の形態に係る機能相関テーブル６４０の詳細を示した例である。
　機能相関テーブル６４０は、車両２００において実現される車両搭載機能と車両搭載機能の実現に用いられるＥＣＵとの相関を表している。車両搭載機能は、車両２００に搭載された機能である。車両搭載機能の具体例は、自動運転、ＡＣＣ、ＬＫＡＳ、ＬＤＷ、駐車支援、あるいは自動ブレーキといった機能である。ＡＣＣは、アダプティブクルーズコントロールである。ＬＫＡＳは、車線維持支援システムである。ＬＤＷは、車線逸脱警告である。
　機能相関テーブル６４０には、ＥＣＵの欄と、車両搭載機能の欄とが設けられる。ＥＣＵの欄には、各ＥＣＵを識別するＥＣＵ識別ＩＤと、各ＥＣＵの用途を表す分類と、各ＥＣＵのバージョンとが設定される。また、車両搭載機能の欄は、機能ごとの欄が設けられ、当該機能に必要なＥＣＵにチェックマークが設定される。

＊＊＊動作の説明＊＊＊
　次に、車載認証システム１０による車載認証方法について説明する。車載認証システム１０の動作は車載認証方法に相当する。また、車載認証方法の手順は車載認証プログラムによる車載認証処理の手順に相当する。
　本実施の形態において、車載認証処理は、車両通信装置１００による機能管理処理と、認証管理装置３００による認証管理処理とを有する。

　車両通信装置１００の動作は機能管理方法に相当する。また、機能管理方法の手順は機能管理プログラムによる機能管理処理の手順に相当する。以下では、図８から図１９を用いて、車両通信装置１００の動作を説明する。
　なお、構成データテーブル６１０と機能相関テーブル６４０と後述する認証エラーテーブル６３１とは補助記憶装置８０３に格納されている。機能管理処理が開始されると、構成データテーブル６１０と機能相関テーブル６４０と認証エラーテーブル６３１とは、記憶部１０４に記憶される。また、ＥＣＵ識別ＩＤごとの署名検証用の鍵は補助記憶装置８０３に格納されている。機能管理処理が開始されると、ＥＣＵ識別ＩＤごとの署名検証用の鍵は、鍵管理部１１０により記憶部１０４に記憶される。

＜機能管理処理＞
　図８を用いて、本実施の形態に係る機能管理処理の手順について説明する。
　ステップＳ１００では認証部１０１により認証処理が実行される。
　ステップＳ１００において、認証部１０１は、複数のＥＣＵの各ＥＣＵについて構成の正当性を認証する構成認証を実行し、構成認証が失敗したＥＣＵを認証エラーリスト６３０に登録する。具体的には、認証部１０１は、複数のＥＣＵの各ＥＣＵから、ＥＣＵの属性を表すＥＣＵ情報を取得し、ＥＣＵ情報に基づいてＥＣＵの署名を算出する。認証部１０１は、署名と構成データテーブル６１０に含まれる構成データ６０１とを比較する。そして、認証部１０１は、署名と構成データ６０１とが一致する場合にＥＣＵの構成認証を成功とする。

＜＜認証処理＞＞
　図９を用いて、本実施の形態に係る認証処理の手順について説明する。
　ステップＳ１０１において、認証部１０１は、１つのＥＣＵあるいは複数のＥＣＵについて、認証メカニズムを利用して機器認証を行う。具体的には、認証部１０１は、ＩＳＯ／ＩＥＣで国際標準技術となっているプロトコルであるＩＳＯ／ＩＥＣ９７９８を利用して機器認証を行う。あるいは、認証部１０１は、認証メカニズムと合わせて、不正機器を検出するような物理的な機器認証を行ってもよい。
　ステップＳ１０２において、認証部１０１は、機器認証の結果を判定する。機器認証が成功した場合には、認証部１０１は、ステップＳ１０３に進む。機器認証が失敗した場合には、認証部１０１は、ステップＳ１０６に進み、機器認証が失敗したＥＣＵを認証エラーリスト６３０に記録する。なお、認証エラーリスト６３０は、認証処理の開始前に初期化される。

　図１０は、本実施の形態に係る認証エラーリスト６３０の例を示す図である。
　認証エラーリスト６３０には、行の番号を表す番号と、エラーが発生した日時と、エラーとなった不正なＥＣＵのＥＣＩ識別ＩＤと、エラーの内容を表すエラーＩＤといった情報が設定される。
　図１１は、本実施の形態に係る認証エラーテーブル６３１の例を示す図である。
　認証エラーテーブル６３１には、エラーＩＤと、そのエラーＩＤが表すエラーの内容の説明とが設定されている。

　ステップＳ１０３において、認証部１０１は、機器認証が成功したＥＣＵからＥＣＵ情報２５３を取得し、ステップＳ１０４に進む。なお、ＥＣＵから取得するＥＣＵ情報２５３の構成は、図５で説明したＥＣＵ情報６２１の構成を同様である。

＜＜＜構成認証処理＞＞＞
　ステップＳ１０４では構成認証処理が実行される。
　ステップＳ１０４において、認証部１０１は、機器認証が成功したＥＣＵから取得したＥＣＵ情報２５３から構成データを生成する。そして、認証部１０１は、生成した構成データを、構成データテーブル６１０と照合する。

　図１２を用いて、本実施の形態に係る構成認証処理の詳細手順について説明する。
　ステップＳ１４１において、認証部１０１は、ＥＣＵ情報２５３から得られたＥＣＵ識別ＩＤをもとに鍵管理部１１０を介して記憶部１０４から署名検証用の鍵を取得する。
　ステップＳ１４２において、認証部１０１は、ＥＣＵ情報２５３と署名検証用の鍵とを用いて構成データを生成する。具体的には、認証部１０１は、ＥＣＵ情報２５３と署名検証用の鍵とから署名を算出する。ここで算出された署名が構成データである。
　ステップＳ１４３において、認証部１０１は、ＥＣＵ情報２５３をもとに、記憶部１０４に記憶された構成データテーブル６１０から構成データ情報６１１を抽出する。認証部１０１は、抽出された構成データ情報６１１に含まれる構成データ６０１を期待値として取得する。
　ステップＳ１４４において、認証部１０１は、ステップＳ１４２で算出した署名と、ステップＳ１４３で取得した期待値である構成データ６０１とを比較する。認証部１０１は、ステップＳ１４２で算出した署名と、ステップＳ１４３で取得した構成データ６０１とを比較し、両者が一致するかどうかの比較結果を得る。

　図９に戻り説明を続ける。
　ステップ１０５において、認証部１０１は、構成認証処理により出力された比較結果に基づいて、構成認証が成功か否かを判定する。認証部１０１は、比較結果が一致の場合は構成認証が成功と判定する。認証部１０１は、比較結果が不一致の場合は構成認証が失敗と判定する。認証部１０１は、構成認証が成功であればステップＳ１０７に進み、構成認証が失敗であればステップＳ１０６において構成認証が失敗したＥＣＵを認証エラーリスト６３０に記録する。
　ステップＳ１０７において、認証部１０１は、すべてのＥＣＵに対してステップＳ１０１からステップＳ１０６までの処理を終了したかを判定する。認証部１０１は、終了していないＥＣＵがある場合、ステップＳ１０１に戻る。認証部１０１は、終了していないＥＣＵがない場合、認証処理を終了する。

＜＜判定処理＞＞
　図８に戻り、ステップＳ３００から説明を続ける。
　ステップＳ３００では判定部１０２により判定処理が実行される。
　ステップＳ３００では、判定部１０２は、機能相関テーブル６４０と認証エラーリスト６３０とに基づいて、車両において実現可能な車両搭載機能を判定する。また、判定部１０２は、認証エラーリスト６３０に登録されているＥＣＵを車載ネットワーク２０１から切り離す。

　図１３を用いて、本実施の形態に係る判定処理について説明する。
　ステップＳ３０１において、判定部１０２は、記憶部１０４から認証エラーリスト６３０を取得する。
　ステップＳ３０２において、判定部１０２は、認証エラーリスト６３０にＥＣＵが登録されているか否かを判定する。判定部１０２は、認証エラーリスト６３０に登録されていなければ認証エラーのＥＣＵがないことを意味するので、認証成功として、処理を終了する。判定部１０２は、認証エラーリスト６３０にＥＣＵが登録されていれば認証エラーのＥＣＵがあることを意味するので、認証失敗として、ステップＳ３０３に進む。
　ステップＳ３０３では、判定部１０２は、認証エラーとなった不正なＥＣＵを車載ネットワーク２０１から論理的に切り離して排除する。ここで、排除の具体的な方法として、不正なＥＣＵが発信する通信フレームを他のＥＣＵが無視することで論理的に切り離す方法がある。

　ステップＳ３０４において、判定部１０２は、機能相関テーブル６４０を用いて、ステップＳ３０３で排除したＥＣＵが係わる車両搭載機能を判定する。すなわち、判定部１０２は、車両２００において実現可能な車両搭載機能を決定するとともに、無効とすべき車両搭載機能を決定する。
　ステップＳ３０５では表示部３１１による表示処理が実行される。ステップＳ３０５において、表示部３１１は、車両２００において実現可能と判定された車両搭載機能を車両通信装置の表示機器８０５に表示する。具体的には、表示部３１１は、表示機器８０５に、車両搭載機能の有効あるいは無効を表示する機能表示画面５００を表示する。表示部３１１は、機能表示画面５００を表示することにより、車両２００の運転者に対して、車両搭載機能のうち無効となった機能とまだ有効である機能を区別して提示する。また、表示部３１１は、運転者に対し提供可能な車両搭載機能に増減が生じたことについての説明を表示してもよい。

　図１４は、本実施の形態に係る機能相関テーブル６４０の具体例を示す図である。また、図１５は、本実施の形態に係る機能表示画面５００を示す図である。
　図１４および図１５を用いて、判定処理の具体例について説明する。
　図１４に示すように、認証エラーとなった不正なＥＣＵが、ＥＣＵ＿Ｄの後側ソナーであるとする。このとき、判定部１０２は、ＥＣＵ＿Ｄに関連する車両搭載機能は、自動運転、駐車支援、および後側方車両検知警報であると判定する。したがって、表示部３１１は、図１５に示すように、機能表示画面５００において、自動運転、駐車支援、および後側方車両検知警報が無効になったことを示す。また、表示部３１１は、機能表示画面５００のメッセージ欄に、ＥＣＵ＿Ｄの後側ソナーが認証エラーになったという説明を表示する。

　図８に戻り、ステップＳ４００から説明を続ける。
　ステップＳ４００において、更新部１０３は、通信装置８０４の受信部１０５が認証管理装置３００から更新の通知を受信しているかを判定する。更新部１０３は、更新の通知がある場合、ステップＳ６００に進む。更新部１０３は、更新の通知がない場合、処理を終了する。

　図１６は、本実施の形態に係る更新情報６５０の構成を示す図である。
　更新情報６５０には、ＥＣＵ更新情報６５１と、テーブル更新情報６５２とが含まれる。
　ＥＣＵ更新情報６５１では、ＥＣＵごとのテーブルに、当該ＥＣＵを表すヘッダ情報５１１と、ＥＣＵ情報の変更部分、すなわち変更前のＥＣＵ情報との差分であるＥＣＵ差分情報５１２と、更新ソフトウェア５１３とが設定される。
　テーブル更新情報６５２には、構成データテーブルの更新内容、すなわち変更前の構成データテーブルとの差分である構成データ差分５２１が設定される。また、テーブル更新情報６５２には、機能相関テーブルの更新内容、すなわち変更前の機能相関テーブルとの差分である機能相関差分５２２が設定される。
　更新部１０３は、更新情報６５０を受信した場合に、更新の通知を受信したと判定する。

＜＜更新処理＞＞
　ステップＳ６００では更新部１０３により更新処理が実行される。
　図１７を用いて、本実施の形態に係る更新処理の手順について説明する。
　ステップＳ６１０において、更新部１０３は、受信部１０５を介して、更新情報６５０を受信する。
　ステップＳ６２０では更新部１０３によりソフトウェア更新処理が実行される。
　続いて、ステップＳ６３０では更新部１０３によりテーブル更新処理が実行される。

　図１８を用いて、本実施の形態に係るソフトウェア更新処理の手順について説明する。
　ステップＳ６２１において、更新部１０３は、更新情報６５０に更新ソフトウェア５１３が含まれるか否かを判定する。更新情報６５０に更新ソフトウェア５１３が含まれる場合、更新部１０３はステップＳ６２２に進む。更新情報６５０に更新ソフトウェア５１３が含まれない場合、更新部１０３は処理を終了する。
　ステップＳ６２２において、更新部１０３は、更新情報６５０のヘッダ情報５１１から更新対象のＥＣＵを決定する。更新部１０３は、送信部１０６により、更新対象のＥＣＵへ車載ネットワーク２０１を通してＥＣＵ差分情報５１２および更新ソフトウェア５１３を配信する。更新部１０３は、更新対象であるすべてのＥＣＵへ、ＥＣＵ差分情報５１２および更新ソフトウェア５１３を配信すると、処理を終了する。ＥＣＵへ配信する更新情報は、差分情報のみが送られる。

　図１９を用いて、本実施の形態に係るテーブル更新処理の手順について説明する。
　ステップＳ６３１において、更新部１０３は、更新情報６５０に構成データ差分５２１が含まれるか否かを判定する。更新情報６５０に構成データ差分５２１が含まれる場合、更新部１０３はステップＳ６３２に進む。更新情報６５０に構成データ差分５２１が含まれない場合、更新部１０３はステップＳ６３３に進む。
　ステップＳ６３２において、更新部１０３は、構成データ差分５２１を用いて、補助記憶装置８０３の構成データテーブル６１０を更新する。
　ステップＳ６３３において、更新部１０３は、更新情報６５０に機能相関差分５２２が含まれるか否かを判定する。更新情報６５０に機能相関差分５２２が含まれる場合、更新部１０３はステップＳ６３４に進む。更新情報６５０に機能相関差分５２２が含まれない場合、更新部１０３は処理を終了する。
　ステップＳ６３４において、更新部１０３は、機能相関差分５２２を用いて、補助記憶装置８０３の機能相関テーブル６４０を更新する。なお、更新部１０３は、更新情報６５０を参照し、更新によりＥＣＵの機能に変化があることが分かれば、ステップＳ６３４において、機能相関テーブル６４０を更新するとしてもよい。

　以上で、車両通信装置１００による機能管理処理の説明を終わる。

　次に、本実施の形態に係る認証管理装置３００の動作について説明する。認証管理装置３００は、具体的には、車両２００の外部に存在するサーバである。あるいは、認証管理装置３００は、車両２００の外部に存在するサーバの一部である。
　図２０は、本実施の形態に係る認証管理装置３００の補助記憶装置９０３の構成を示す図である。図２０に示すように、補助記憶装置９０３には、ＥＣＵ情報テーブル６２０、構成データテーブル６１０、機能相関テーブル６４０が記憶される。

　以下では、図２１から図２３を用いて、認証管理装置３００の動作を説明する。認証管理装置３００の動作は認証管理方法に相当する。また、認証管理方法の手順は認証管理プログラムによる認証管理処理の手順に相当する。
　なお、構成データテーブル６１０と機能相関テーブル６４０と後述する認証エラーテーブル６３１とは補助記憶装置９０３に格納されている。認証管理処理が開始されると、構成データテーブル６１０と機能相関テーブル６４０と認証エラーテーブル６３１とは、記憶部３０７に記憶される。また、ＥＣＵ識別ＩＤごとの署名検証用の鍵は補助記憶装置９０３に格納されている。認証管理処理が開始されると、ＥＣＵ識別ＩＤごとの署名検証用の鍵は、鍵管理部３２０により記憶部３０７に記憶される。

＜認証管理処理＞
　図２１を用いて、本実施の形態に係る認証管理処理の手順について説明する。
　ステップＳ７００において、更新データ処理部３０１は、ベンダサーバ装置４００からの更新があるか否かを判定する。更新データ処理部３０１が受信部３０８を介してＥＣＵ更新情報６５１を受信した場合、ベンダサーバ装置４００からの更新があることを意味する。更新データ処理部３０１は、ベンダサーバ装置４００からの更新がある場合、ステップＳ７１０に進む。更新データ処理部３０１は、ＥＣＵ更新情報６５１を受信していない場合、ベンダサーバ装置４００からの更新がないことを意味するので、処理を終了する。
　なお、ＥＣＵ更新情報６５１は、複数のＥＣＵの各ＥＣＵに関する変更を表す装置変更情報の例である。

＜＜構成データ生成処理＞＞
　ステップＳ７１０では構成データ生成処理が実行される。
　ステップＳ７１０では、構成データ生成部３０２は、複数のＥＣＵの各ＥＣＵに関する変更を表すＥＣＵ更新情報６５１を受け取ると、ＥＣＵ更新情報６５１に基づいて、構成データテーブル６１０を更新する。

　図２２を用いて、本実施の形態に係る構成データ生成処理の手順について説明する。
　ステップＳ７１１において、構成データ生成部３０２は、ＥＣＵ更新情報６５１の中からヘッダ情報５１１とＥＣＵ差分情報５１２を取得する。ヘッダ情報５１１には、更新対象のＥＣＵのＥＣＵ識別ＩＤが含まれる。
　ステップＳ７１２において、構成データ生成部３０２は、ヘッダ情報５１１に含まれるＥＣＵ識別ＩＤに対応するＥＣＵのＥＣＵ情報を、ＥＣＵ情報テーブル６２０から抽出する。
　ステップＳ７１３において、構成データ生成部３０２は、抽出したＥＣＵ情報に含まれるベンダ情報を取得する。構成データ生成部３０２は、ベンダ情報に設定されたベンダＩＤに紐付けられた署名用の鍵を、鍵管理部３２０から取得する。
　ステップＳ７１４において、構成データ生成部３０２は、鍵管理部３２０から取得した鍵と、ＥＣＵ情報テーブル６２０から抽出したＥＣＵ情報と、ＥＣＵ差分情報５１２とに基づいて、新たなデジタル署名を算出する。具体的には、構成データ生成部３０２は、１個あるいは複数のＥＣＵのＥＣＵ情報に対して、取得した鍵を用いてデジタル署名を算出する。構成データ生成部３０２は、１個あるいは複数のＥＣＵのＥＣＵ情報に基づいて、構成データ情報６１１を生成し、算出したデジタル署名を構成データ６０１として構成データ情報６１１に付与し、新たな構成データ情報６１１を生成する。
　ステップＳ７１５において、テーブル管理部３０６は、構成データ生成部３０２により生成された新たな構成データ情報６１１を構成データテーブル６１０に登録する。これにより、構成データテーブル６１０が更新される。

＜＜機能相関生成処理＞＞
　ステップＳ７２０では機能相関生成処理が実行される。
　ステップＳ７２０では、機能相関生成部３０３は、複数のＥＣＵの各ＥＣＵに関する変更を表すＥＣＵ更新情報６５１に基づいて、機能相関テーブル６４０を更新する。

　図２３を用いて、本実施の形態に係る機能相関生成処理の手順について説明する。
　ステップＳ７２１において、機能相関生成部３０３は、ＥＣＵ更新情報６５１の中からヘッダ情報５１１とＥＣＵ差分情報５１２を取得する。ヘッダ情報５１１には、更新対象のＥＣＵのＥＣＵ識別ＩＤが含まれる。
　ステップＳ７２２において、機能相関生成部３０３は、ヘッダ情報５１１に含まれるＥＣＵ識別ＩＤに対応するＥＣＵのＥＣＵ情報を、ＥＣＵ情報テーブル６２０から抽出する。機能相関生成部３０３は、抽出した更新対象のＥＣＵ情報６２１から得られたＥＣＵ機能の変更の情報を元に機能相関テーブル６４０を更新する。以下に、機能相関テーブル６４０の更新の具体的な処理の一例について説明する。ＥＣＵ変更情報６５１には、機能相関テーブル６４０の１行、すなわち横軸に関する情報が含まれている。具体例として、図７の機能相関テーブル６４０において、ＥＣＵ識別ＩＤ＝３が機能１、機能３、および機能４に関係する状態から、新たに機能５にも関係するようになったことがＥＣＵ変更情報６５１により通知される。このＥＣＵ変更情報６５１により、機能相関テーブル６４０に機能５が追加され、ＥＣＵ識別ＩＤ＝３の機能５にチェックが入る。

　図２１に戻り、ステップＳ７３０から説明する。
　ステップＳ７３０において、更新データ処理部３０１は、構成データテーブル６１０における更新前と更新後の差分である構成データ差分５２１を生成する。また、更新データ処理部３０１は、機能相関テーブル６４０における更新前と更新後の差分である機能相関差分５２２を生成する。更新データ処理部３０１は、構成データ差分５２１と機能相関差分５２２とを含む更新情報６５０を生成する。そして、更新データ処理部３０１は、更新情報６５０を、車両２００の車両通信装置１００に送信する。

＊＊＊他の構成＊＊＊
＜変形例１＞
　車両通信装置１００の認証部が認証管理装置３００に搭載されていてもよい。そして、認証管理装置３００は認証処理の一部を実施する構成としてもよい。この場合、車両通信装置１００の認証部は、ＥＣＵからＥＣＵ情報を取得し、認証管理装置３００に送る。認証管理装置３００は、受信したＥＣＵ情報に基づいて構成認証を実施し、認証エラーリストを車両に送信する。

＜変形例２＞
　車両通信装置１００の判定部が認証管理装置３００に搭載されていてもよい。そして、認証管理装置３００は、認証処理の一部を実施する構成としてもよい。この場合、車両通信装置１００の判定部は、認証エラーリストを認証管理装置３００に送信する。そして、認証管理装置３００は、車両で実施可能な車両搭載機能を判定し、その判定結果を車両に送信する。

＜変形例３＞
　認証管理装置３００の構成データ生成部が車両通信装置１００に搭載されていてもよい。そして、車両通信装置１００は、構成データ生成処理の一部を実施する構成としてもよい。この場合、車両通信装置１００は、更新ＥＣＵ情報から期待値である構成データを生成し、構成データテーブルの更新を行う。

＜変形例４＞
　認証管理装置３００の機能相関生成部３０３が車両通信装置１００に搭載されていてもよい。そして、車両通信装置１００は、機能相関生成処理の一部を実施する構成としてもよい。この場合、車両通信装置１００は、更新ＥＣＵ情報から機能相関テーブルを更新する。

＜変形例５＞
　車載認証システムでは、機密性を高めるために、認証管理装置３００と車両通信装置１００間で送受信されるデータを暗号化してもよい。あるいは、車載認証システムは、完全性を高めるために、認証管理装置３００と車両通信装置１００間で送受信されるデータに認証子を付与する暗号処理部を備えてもよい。
　ＥＣＵ情報から構成データを生成するために用いる暗号アルゴリズムとして、公開鍵暗号ベースの方法を用いてもよいし、秘密鍵暗号ベースの方法を用いてもよい。

＜変形例６＞
　本実施の形態では、車両通信装置１００と認証管理装置３００との各装置の構成要素の機能がソフトウェアで実現されるが、変形例として、各装置の構成要素の機能がハードウェアで実現されてもよい。

　図２４は、本実施の形態の変形例に係る車両通信装置１００の構成を示す図である。図２５は、本実施の形態の変形例に係る認証管理装置３００の構成を示す図である。
　車両通信装置１００は、電子回路８０９と補助記憶装置８０３と通信装置８０４と表示機器８０５といったハードウェアを備える。また、認証管理装置３００は、電子回路９０９と補助記憶装置９０３と通信装置９０４と表示機器９０５と入力装置９０６といったハードウェアを備える。

　電子回路８０９は、認証部１０１と判定部１０２と更新部１０３と鍵管理部１１０との機能を実現する専用の電子回路である。また、電子回路９０９は、更新データ処理部３０１と構成データ生成部３０２と機能相関生成部３０３とテーブル管理部３０６と鍵管理部３２０との機能を実現する専用の電子回路である。
　電子回路８０９，９０９は、具体的には、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックＩＣ、ＧＡ、ＡＳＩＣ、または、ＦＰＧＡである。ＧＡは、Ｇａｔｅ　Ａｒｒａｙの略語である。ＡＳＩＣは、Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔの略語である。ＦＰＧＡは、Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙの略語である。
　各装置の構成要素の機能は、１つの電子回路で実現されてもよいし、複数の電子回路に分散して実現されてもよい。
　別の変形例として、各装置の構成要素の一部の機能が電子回路で実現され、残りの機能がソフトウェアで実現されてもよい。

　プロセッサと電子回路の各々は、プロセッシングサーキットリとも呼ばれる。つまり、車両通信装置１００において、認証部１０１と判定部１０２と更新部１０３と鍵管理部１１０の機能は、プロセッシングサーキットリにより実現される。また、認証管理装置３００において、更新データ処理部３０１と構成データ生成部３０２と機能相関生成部３０３とテーブル管理部３０６と鍵管理部３２０の機能は、プロセッシングサーキットリにより実現される。

　車両通信装置１００において、認証部１０１と判定部１０２と更新部１０３と鍵管理部１１０の「部」を「工程」に読み替えてもよい。また、認証管理装置３００において、更新データ処理部３０１と構成データ生成部３０２と機能相関生成部３０３とテーブル管理部３０６と鍵管理部３２０の「部」を「工程」に読み替えてもよい。
　また、車載認証処理、機能管理処理、および認証管理処理の「処理」を、「プログラム」、「プログラムプロダクト」または「プログラムを記録したコンピュータ読取可能な媒体」に読み替えてもよい。

＊＊＊本実施の形態の効果の説明＊＊＊
　本実施の形態に係る車載認証システム１０によれば、車両システム内の各ＥＣＵに対する構成認証を実施することで不正なＥＣＵを排除できる。また、本実施の形態に係る車載認証システム１０によれば、機能変更に対応した構成認証の実施をすることができる。また、ＥＣＵ相互の協調動作を考慮した車両搭載機能の提供ができる。

　また、本実施の形態に係る車載認証システム１０によれば、車載システムで構成認証を行うことにより正常な状態を確認でき、かつ、安全を確保した支援機能を提供することができる。すなわち、車載システムの構成認証を行うことで、不正なＥＣＵを検出し、不正なＥＣＵを除外した上で、残された有効な車両搭載機能を判断し、適切な対処方法を提供する。
　よって、本実施の形態に係る車載認証システム１０によれば、セキュリティ上の問題が解決されるまでの間、すなわちディーラーに車両を持って行き、その車両が直るまでの間、運転機能を一時的に制限するとしても、機能を過剰に遮断することはない。また、利用可能な車両搭載機能をユーザが把握した上で、支援機能を用いた安全な走行ができる。すなわち、本実施の形態に係る車載認証システム１０によれば、車両の状態を確認しつつ、安全を確保した上で車両を使用することができる。

　実施の形態２．
　本実施の形態では、実施の形態１とは異なる点について説明する。なお、実施の形態１と同様の構成には同一の符号を付し、その説明を省略する場合がある。
　実施の形態１では、構成データ生成処理および機能相関処理は認証管理装置３００で行い、更新情報が認証管理装置から車両２００の車両通信装置１００に送信される。そして、車両通信装置１００では、認証処理と判定処理とを簡便に実行することができる。このように、実施の形態１では、認証処理と判定処理とを車両通信装置１００で行っていたが、本実施の形態では、認証処理と判定処理とを認証管理装置３００で行う構成について説明する。

＊＊＊構成の説明＊＊＊
　図２６は、本実施の形態に係る車載認証システム１０の構成を示す図である。図２６に示す通り、車載認証システム１０の構成は、実施の形態１と同じである。ただし、車両通信装置１００ａと認証管理装置３００ａの機能が実施の形態１とは異なる。

　図２７は、本実施の形態に係る車両通信装置１００ａの構成を示す図である。車両通信装置１００ａは、認証部１０１、判定部１０２、および鍵管理部１１０を備えない。車両通信装置１００ａは、構成要素として、制御部１１１ａを有する。制御部１１１ａは、複数のＥＣＵの各々からＥＣＵ情報を収集し、認証管理装置３００ａへ送信する。そして、制御部１１１ａは、認証管理装置３００ａから、認証エラーリスト６３０と判定処理による判定結果とを受信する。表示部３１１は、認証エラーリスト６３０と判定結果とに基づいて、機能表示画面５００を表示機器８０５に表示する。

　図２８は、本実施の形態に係る認証管理装置３００ａの構成を示す図である。認証管理装置３００ａは、実施の形態１で説明した構成要素に加えて、認証部３０４と判定部３０５とを備える。認証部３０４は、実施の形態１で説明した認証部１０１と同様の機能を有する。判定部３０５は、実施の形態１で説明した判定部１０２と同様の機能を有する。

＊＊＊動作の説明＊＊＊
　本実施の形態では、認証処理および判定処理が認証管理装置３００ａにおいて実行される。また、それに伴い車両通信装置１００ａと認証管理装置３００ａとの間で、ＥＣＵ情報、認証エラーリスト、および判定結果の送受信が行われる。その他の手順は実施の形態１と同じである。

＊＊＊本実施の形態の効果の説明＊＊＊
　本実施の形態に係る車載認証システム１０によれば、ＥＣＵ情報テーブル、構成データテーブル、および機能相関テーブルを認証管理装置３００ａで管理することができる。よって、本実施の形態に係る車載認証システム１０によれば、車両通信装置１００ａの記憶容量を減らすことができる。なお、本実施の形態では、車両が常に外部ネットワークに安定してセキュアに接続している状態であることが前提である。また、本実施の形態に係る車載認証システム１０によれば、車両通信装置１００ａにおいて各種テーブルの更新処理、認証処理および判定処理を行う必要がないため、車両通信装置１００ａの負荷を軽減しコストを下げることができる。

　実施の形態３．
　本実施の形態では、実施の形態１とは異なる点について説明する。なお、実施の形態１と同様の構成には同一の符号を付し、その説明を省略する場合がある。
　実施の形態１では、構成データ生成処理および機能相関処理は認証管理装置３００で行い、更新情報が認証管理装置から車両２００の車両通信装置１００に送信される。そして、車両通信装置１００では、認証処理と判定処理とを簡便に実行することができる。また、実施の形態１では、構成データテーブルを生成する構成データ生成処理、および機能相関テーブルを生成する機能相関生成処理を認証管理装置３００で行っていた。このように、実施の形態１では、構成データ生成処理と機能相関生成処理を認証管理装置３００で行っていたが、本実施の形態では、構成データ生成処理と機能相関生成処理を車両通信装置１００で行う構成について説明する。

＊＊＊構成の説明＊＊＊
　図２９は、本実施の形態に係る車載認証システム１０ｂの構成を示す図である。
　本実施の形態では、車載認証システム１０ｂは、認証管理装置３００を有していない。車両２００の車両通信装置１００ｂは、認証管理装置３００を中継せずに、ベンダサーバ装置４００からＥＣＵ更新情報を受信する。
　図３０は、本実施の形態に係る車両通信装置１００ｂの構成を示す図である。車両通信装置１００ｂは、実施の形態１で説明した構成要素に加えて、構成データ生成部１０８と機能相関生成部１０９とを備える。構成データ生成部１０８は、実施の形態１で説明した構成データ生成部３０２と同様の機能を有する。機能相関生成部１０９は、実施の形態１で説明した機能相関生成部３０３と同様の機能を有する。

＊＊＊動作の説明＊＊＊
　本実施の形態では、構成データ生成処理および機能相関生成処理が車両通信装置１００ｂにおいて実行される。その他の手順は実施の形態１と同じである。

＊＊＊本実施の形態の効果の説明＊＊＊
　本実施の形態に係る車載認証システム１０ｂによれば、ベンダサーバ装置４００と車両２００の車両通信装置１００ｂ間に中継のサーバがない。よって、本実施の形態に係る車載認証システム１０ｂによれば、同じ情報を複数個所に持たせずに、一元的に管理するため、セキュリティ強化および保守の対象が軽減する。また、本実施の形態に係る車載認証システム１０ｂによれば、管理およびメンテナンスを含めシステム全体のコストを下げることができる。

　実施の形態１から３では、車載認証システムの各部が独立した機能ブロックとして車載認証システムを構成している。しかし、上述した実施の形態のような構成でなくてもよく、車載認証システムの構成は任意である。車載認証システムの機能ブロックは、上述した実施の形態で説明した機能を実現することができれば、任意である。これらの機能ブロックの他のどのような組み合わせ、あるいは任意のブロック構成で、車載認証システムを構成しても構わない。

　実施の形態１から３について説明したが、これらの実施の形態のうち、複数の部分を組み合わせて実施しても構わない。あるいは、これらの実施の形態のうち、１つの部分を実施しても構わない。その他、これらの実施の形態を、全体としてあるいは部分的に、どのように組み合わせて実施しても構わない。
　なお、上述した実施の形態は、本質的に好ましい例示であって、本発明の範囲、本発明の適用物の範囲、および本発明の用途の範囲を制限することを意図するものではない。上述した実施の形態は、必要に応じて種々の変更が可能である。

　１０，１０ｂ　車載認証システム、２０　属性情報、１００，１００ａ，１００ｂ　車両通信装置、１０１，３０４　認証部、１０２，３０５　判定部、１０３　更新部、１０４，３０７　記憶部、１０５，３０８　受信部、１０６，３０９　送信部、１０７，３１１　表示部、１１０，３２０　鍵管理部、１１１ａ　制御部、２００　車両、２０１　車載ネットワーク、２０２　ＥＣＵ、２５０　ＣＰＵ、２５２　プログラム、２５３，６２１　ＥＣＵ情報、２５４　通信装置、３００，３００ａ　認証管理装置、３０１　更新データ処理部、１０８，３０２　構成データ生成部、１０９，３０３　機能相関生成部、３０６　テーブル管理部、３１０　受付部、４００　ベンダサーバ装置、５１１　ヘッダ情報、５１２　ＥＣＵ差分情報、５１３　更新ソフトウェア、５２１　構成データ差分、５２２　機能相関差分、６１０　構成データテーブル、６０１　構成データ、６１１　構成データ情報、６２０　ＥＣＵ情報テーブル、６３０　認証エラーリスト、６３１　認証エラーテーブル、６４０　機能相関テーブル、６５０　更新情報、６５１　ＥＣＵ更新情報、６５２　テーブル更新情報、８０１，９０１　プロセッサ、２５１，８０２，９０２　メモリ、８０３，９０３　補助記憶装置、８０４，９０４　通信装置、８０５，９０５　表示機器、９０６　入力装置、９０７　入力装置、８０９，９０９　電子回路、５００　機能表示画面。

Claims

　複数の電子制御装置を搭載する車両に備えられた車両通信装置であって、前記複数の電子制御装置の各電子制御装置と通信する車両通信装置を有する車載認証システムにおいて、
　前記複数の電子制御装置の各電子制御装置について構成の正当性を認証する構成認証を実行し、構成認証が失敗した電子制御装置を認証エラーリストに登録する認証部と、
　前記車両において実現される車両搭載機能と前記車両搭載機能の実現に用いられる電子制御装置との相関を表した機能相関テーブルと、前記認証エラーリストとに基づいて、前記車両において実現可能な車両搭載機能を判定する判定部と、
　前記判定部により前記車両において実現可能と判定された車両搭載機能を、前記車両通信装置の表示機器に表示する表示部と
を備えた車載認証システム。
　前記複数の電子制御装置は、車載ネットワークを介して互いに通信し、
　前記判定部は、
　前記認証エラーリストに登録されている電子制御装置を前記車載ネットワークから切り離す請求項１に記載の車載認証システム。
　前記車載認証システムは、
　前記複数の電子制御装置の各電子制御装置に、前記複数の電子制御装置の各電子制御装置の属性を表す属性情報から生成された構成データを対応付けた構成データ情報から成る構成データテーブルを記憶する記憶部を備え、
　前記認証部は、
　前記複数の電子制御装置の各電子制御装置から、前記電子制御装置の属性を表す属性情報を取得し、前記属性情報に基づいて前記電子制御装置の署名を算出し、前記署名と前記構成データテーブルに含まれる前記構成データとを比較し、前記署名と前記構成データとが一致する場合に前記電子制御装置の構成認証を成功とする請求項１または２に記載の車載認証システム。
　前記車載認証システムは、さらに、前記記憶部を備えた認証管理装置を有し、
　前記認証管理装置は、
　前記複数の電子制御装置の各電子制御装置に関する変更を表す装置変更情報を受け取ると、前記装置変更情報に基づいて、前記構成データテーブルを更新する構成データ生成部を備えた請求項３に記載の車載認証システム。
　前記装置変更情報は、前記電子制御装置の前記属性情報を含み、
　前記認証管理装置は、
　前記装置変更情報に基づいて、前記機能相関テーブルを更新する機能相関生成部を備えた請求項４に記載の車載認証システム。
　前記認証管理装置は、
　前記構成データテーブルにおける更新前と更新後の差分である構成データ差分と、前記機能相関テーブルにおける更新前と更新後の差分である機能相関差分とを含む更新情報を生成し、前記車両通信装置に送信する更新データ処理部を備えた請求項５に記載の車載認証システム。
　前記車載認証システムは、
　前記複数の電子制御装置の各電子制御装置に関する変更を表す装置変更情報を受け取ると、前記装置変更情報に基づいて、前記構成データテーブルを更新する構成データ生成部と、
　前記装置変更情報に基づいて、前記機能相関テーブルを更新する機能相関生成部と
を備えた請求項３に記載の車載認証システム。
　前記車載認証システムは、さらに、前記記憶部を備えた認証管理装置を有し、
　前記車両通信装置は、
　前記複数の電子制御装置の各電子制御装置から、前記電子制御装置の前記属性情報を収集し、収集した前記属性情報を前記認証管理装置に送信する制御部を備え、
　前記認証管理装置は、
　前記認証部と、前記判定部と、前記構成データ生成部と、前記機能相関生成部とを備え、
　前記認証部は、
　前記認証エラーリストを前記制御部に送信し、
　前記判定部は、
　前記車両において実現可能な車両搭載機能を判定結果として前記制御部に送信する請求項７に記載の車載認証システム。
　前記車両通信装置は、
　前記認証部と、前記判定部と、前記構成データ生成部と、前記機能相関生成部と、前記表示部とを備えた請求項７に記載の車載認証システム。
　複数の電子制御装置を搭載する車両に備えられた車両通信装置であって、前記複数の電子制御装置の各電子制御装置と通信する車両通信装置を有する車載認証システムの車載認証方法において、
　認証部が、前記複数の電子制御装置の各電子制御装置について構成の正当性を認証する構成認証を実行し、構成認証が失敗した電子制御装置を認証エラーリストに登録し、
　判定部が、前記車両において実現される車両搭載機能と前記車両搭載機能の実現に用いられる電子制御装置との相関を表した機能相関テーブルと、前記認証エラーリストとに基づいて、前記車両において実現可能な車両搭載機能を判定し、
　表示部が、前記判定部により前記車両において実現可能と判定された車両搭載機能を、前記車両通信装置の表示機器に表示する車載認証方法。
　複数の電子制御装置を搭載する車両に備えられた車両通信装置であって、前記複数の電子制御装置の各電子制御装置と通信する車両通信装置を有する車載認証システムの車載認証プログラムにおいて、
　前記複数の電子制御装置の各電子制御装置について構成の正当性を認証する構成認証を実行し、構成認証が失敗した電子制御装置を認証エラーリストに登録する認証処理と、
　前記車両において実現される車両搭載機能と前記車両搭載機能の実現に用いられる電子制御装置との相関を表した機能相関テーブルと、前記認証エラーリストとに基づいて、前記車両において実現可能な車両搭載機能を判定する判定処理と、
　前記判定処理により前記車両において実現可能と判定された車両搭載機能を、前記車両通信装置の表示機器に表示する表示処理と
をコンピュータに実行させる車載認証プログラム。