WO2019004097A1

WO2019004097A1 - 保守システム及び保守方法

Info

Publication number: WO2019004097A1
Application number: PCT/JP2018/023897
Authority: WO
Inventors: 竹森　敬祐; 誠一郎溝口; 明典戸塚; 浩石塚
Original assignee: Kddi株式会社
Priority date: 2017-06-27
Filing date: 2018-06-22
Publication date: 2019-01-03
Also published as: CN110800249A; US20200389791A1; CN110800249B; EP3648396A4; JP6731887B2; EP3648396A1; US11330432B2; JP2019009688A; EP3648396B1

Abstract

サーバ装置と、端末装置と、車両に搭載される車載装置と、を備え、前記サーバ装置は、前記端末装置から作業者認証情報を受信する作業者認証情報受信部と、前記作業者認証情報の認証処理を行うサーバ認証処理部と、前記サーバ認証処理部による前記作業者認証情報の認証が合格した前記端末装置に前記車載装置との間で使用される第１鍵を送信するサーバ鍵送信部と、を備え、前記端末装置は、前記作業者認証情報を前記サーバ装置に送信する作業者認証情報送信部と、前記サーバ装置から前記第１鍵を受信する端末鍵受信部と、前記第１鍵を使用して前記車載装置との間で認証処理を行う端末認証処理部と、を備え、前記車載装置は、前記第１鍵を使用して前記端末装置との間で認証処理を行う車両認証処理部を備える、保守システム。

Description

保守システム及び保守方法

　本発明は、保守システム及び保守方法に関する。
　本願は、２０１７年６月２７日に、日本に出願された特願２０１７－１２５３６９号に基づき優先権を主張し、その内容をここに援用する。

　従来、自動車は、ＥＣＵ（Electronic Control Unit：電子制御装置）を有し、ＥＣＵによってエンジン制御等の機能を実現する。ＥＣＵは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。複数のＥＣＵをＣＡＮ（Controller Area Network）に接続して構成される車載制御システムについてのセキュリティ技術が例えば非特許文献１に記載されている。

竹森敬祐、"セキュアエレメントを基点とした車載制御システムの保護　－要素技術の整理と考察－"、電子情報通信学会、信学技報、vol. 114、no. 508、pp. 73-78、2015年3月日本工業規格、ＪＩＳＤ４９０１、"車両識別番号（ＶＩＮ）"

　自動車の保守の作業を行う際の安全性を向上させることが一つの課題であった。

　本発明は、このような事情を考慮してなされたものであり、その目的は、自動車等の車両の保守の作業を行う際の安全性の向上を図ることにある。

（１）本発明の一態様は、サーバ装置と、端末装置と、車両に搭載される車載装置と、を備え、前記サーバ装置は、前記端末装置から作業者認証情報を受信する作業者認証情報受信部と、前記作業者認証情報の認証処理を行うサーバ認証処理部と、前記サーバ認証処理部による前記作業者認証情報の認証が合格した前記端末装置に前記車載装置との間で使用される第１鍵を送信するサーバ鍵送信部と、を備え、前記端末装置は、前記作業者認証情報を前記サーバ装置に送信する作業者認証情報送信部と、前記サーバ装置から前記第１鍵を受信する端末鍵受信部と、前記第１鍵を使用して前記車載装置との間で認証処理を行う端末認証処理部と、を備え、前記車載装置は、前記第１鍵を使用して前記端末装置との間で認証処理を行う車両認証処理部を備える、保守システムである。
（２）本発明の一態様は、上記（１）の保守システムにおいて、前記サーバ装置は、マスタ鍵を格納するサーバ鍵格納部と、前記マスタ鍵と前記作業者認証情報に関連付けられた車両対応識別子とを使用して前記第１鍵を生成するサーバ鍵生成部と、を備え、前記車載装置は、前記サーバ装置の前記マスタ鍵と同じ前記マスタ鍵を格納する車両鍵格納部と、前記車両鍵格納部の前記マスタ鍵と前記車両に対応する前記車両対応識別子とを使用して前記第１鍵を生成する車両鍵生成部と、を備える、保守システムである。
（３）本発明の一態様は、上記（２）の保守システムにおいて、前記サーバ鍵生成部は、前記作業者認証情報の認証時を基準にした所定期間を示す第１の期間情報をさらに使用して前記第１鍵の生成を行い、前記車両鍵生成部は、前記車載装置が前記端末装置から認証要求メッセージを受信した時を基準にした所定期間を示す第２の期間情報をさらに使用して前記第１鍵の生成を行う、保守システムである。
（４）本発明の一態様は、上記（２）又は（３）のいずれかの保守システムにおいて、前記サーバ鍵生成部は、前記サーバ鍵格納部の前記マスタ鍵と前記作業者認証情報に関連付けられた前記車両対応識別子とを使用して第２鍵を生成し、前記車両鍵生成部は、前記車両鍵格納部の前記マスタ鍵と前記車両に対応する前記車両対応識別子とを使用して前記第２鍵を生成し、前記サーバ装置は、前記作業者認証情報の作業者に与えられた前記車両の保守の権限を示す権限情報を、前記サーバ鍵生成部が生成した前記第２鍵を使用して暗号化するサーバ暗号処理部と、前記サーバ暗号処理部により前記権限情報が暗号化された暗号化権限情報を、前記端末装置を介して前記車両に送信する権限情報送信部と、を備え、前記車載装置は、前記車両鍵生成部が生成した前記第２鍵を使用して前記暗号化権限情報を復号する車両暗号処理部を備える、保守システムである。
（５）本発明の一態様は、上記（１）から（４）のいずれかの保守システムにおいて、前記車両に搭載され、前記車載装置のログを記録する車両記録部を備え、前記端末装置は、前記車両から前記ログを受信して前記サーバ装置に送信する端末ログ送信部を備え、前記サーバ装置は、前記端末装置から受信した前記ログを格納するサーバ記録部を備える、保守システムである。
（６）本発明の一態様は、上記（１）から（５）のいずれかの保守システムにおいて、前記サーバ装置は、同一の前記作業者認証情報に対して前記第１鍵を同時期に発行する前記車両の台数を一定数に制限するサーバ制御部を備える、保守システムである。
（７）本発明の一態様は、上記（１）から（６）のいずれかの保守システムにおいて、前記端末装置は、前記サーバ装置から受信した前記第１鍵を格納する端末鍵格納部と、前記車両の保守作業の終了を示す信号により前記端末鍵格納部から前記第１鍵を消去させる端末制御部と、を備える、保守システムである。

（８）本発明の一態様は、サーバ装置と、端末装置と、車両に搭載される車載装置と、を備え、前記サーバ装置は、前記端末装置から作業者認証情報を受信する作業者認証情報受信部と、前記作業者認証情報の認証処理を行うサーバ認証処理部と、前記サーバ認証処理部による前記作業者認証情報の認証が合格した前記端末装置に、前記車載装置が発行したトークンを送信するトークン送信部と、を備え、前記端末装置は、前記作業者認証情報を前記サーバ装置に送信する作業者認証情報送信部と、前記サーバ装置から前記トークンを受信するトークン受信部と、前記トークンを使用して、前記車両に対する保守コマンドの送信を前記サーバ装置によって行う端末制御部と、を備え、前記車載装置は、前記トークンを発行し、前記保守コマンドの前記送信に使用された前記トークンの検証を行う車両制御部を備える、保守システムである。

（９）本発明の一態様は、サーバ装置と、端末装置と、車両に搭載される車載装置と、を備える保守システムの保守方法であり、前記端末装置が、作業者認証情報を前記サーバ装置に送信し、前記サーバ装置が、前記端末装置から前記作業者認証情報を受信し、前記サーバ装置が、前記作業者認証情報の認証処理を行い、前記サーバ装置が、前記認証処理による前記作業者認証情報の認証が合格した前記端末装置に前記車載装置との間で使用される第１鍵を送信し、前記端末装置が、前記サーバ装置から前記第１鍵を受信し、前記端末装置が、前記第１鍵を使用して前記車載装置との間で認証処理を行い、前記車載装置が、前記第１鍵を使用して前記端末装置との間で認証処理を行う、保守方法である。

（１０）本発明の一態様は、サーバ装置と、端末装置と、車両に搭載される車載装置と、を備える保守システムの保守方法であり、前記端末装置が、作業者認証情報を前記サーバ装置に送信し、前記サーバ装置が、前記端末装置から前記作業者認証情報を受信し、前記サーバ装置が、前記作業者認証情報の認証処理を行い、前記車載装置が、前記トークンを発行し、前記サーバ装置が、前記認証処理による前記作業者認証情報の認証が合格した前記端末装置に、前記車載装置が発行したトークンを送信し、前記端末装置が、前記サーバ装置から前記トークンを受信し、前記端末装置が、前記トークンを使用して、前記車両に対する保守コマンドの送信を前記サーバ装置によって行い、前記車載装置が、前記保守コマンドの前記送信に使用された前記トークンの検証を行う、保守方法である。

　本発明によれば、自動車等の車両の保守の作業を行う際の安全性の向上を図ることができるという効果が得られる。

一実施形態に係る保守システムの概略構成図である。一実施形態に係るサーバ装置の概略構成図である。一実施形態に係る端末装置の概略構成図である。一実施形態に係る車載装置の概略構成図である。一実施形態に係る保守方法の例１を示すシーケンスチャートである。一実施形態に係る保守方法の例２を示すシーケンスチャートである。一実施形態に係る保守方法の例３を示すシーケンスチャートである。一実施形態に係る保守方法の例４を示すシーケンスチャートである。一実施形態に係る保守方法の例５を示すシーケンスチャートである。

　以下、図面を参照し、本発明の実施形態について説明する。なお、以下に示す実施形態では、車両として自動車を例に挙げて説明する。

　図１は、本実施形態に係る保守システム１の概略構成図である。図１において、保守システム１は、サーバ装置３０と、端末装置５０と、車載装置７０とを備える。車載装置７０は自動車１０に搭載される装置である。自動車１０は、車載装置７０と、ゲートウェイ装置（ＧＷ）１６と、複数のＥＣＵ（電子制御装置）１８とを備える。

　ＥＣＵ１８は、自動車１０に備わる車載コンピュータである。ＥＣＵ１８は、自動車１０のエンジン制御等の制御機能を有する。ＥＣＵ１８として、例えば、エンジン制御機能を有するＥＣＵ、ハンドル制御機能を有するＥＣＵ、ブレーキ制御機能を有するＥＣＵなどがある。ゲートウェイ装置１６は、自動車１０に搭載されたＥＣＵ１８に適用されるデータのセキュリティ（保安）の機能を有する。なお、自動車１０に搭載されたいずれかのＥＣＵをゲートウェイ装置１６として機能させてもよい。

　ゲートウェイ装置１６と複数のＥＣＵ１８は、自動車１０に備わる通信ネットワーク（以下、車載ネットワークと称する）１７に接続される。車載ネットワーク１７は、例えば、ＣＡＮ（Controller Area Network）であってもよい。ＣＡＮは車両に搭載される通信ネットワークの一つとして知られている。ゲートウェイ装置１６は、車載ネットワーク１７を介して、各ＥＣＵ１８との間でデータを交換する。ＥＣＵ１８は、車載ネットワーク１７を介して、他のＥＣＵ１８との間でデータを交換する。

　なお、車両に搭載される通信ネットワークとして、ＣＡＮ以外の通信ネットワークを自動車１０に備え、ＣＡＮ以外の通信ネットワークを介して、ゲートウェイ装置１６とＥＣＵ１８との間のデータの交換、及び、ＥＣＵ１８同士の間のデータの交換が行われてもよい。例えば、ＬＩＮ（Local Interconnect Network）が自動車１０に備えられてもよい。また、ＣＡＮとＬＩＮとが自動車１０に備えられてもよい。また、自動車１０において、ＬＩＮに接続するＥＣＵ１８が備えられてもよい。また、ゲートウェイ装置１６は、ＣＡＮとＬＩＮとに接続されてもよい。また、ゲートウェイ装置１６は、ＣＡＮを介して該ＣＡＮに接続されるＥＣＵ１８との間でデータを交換し、また、ＬＩＮを介して該ＬＩＮに接続されるＥＣＵ１８との間でデータを交換してもよい。また、ＥＣＵ１８同士が、ＬＩＮを介してデータを交換してもよい。

　自動車１０の車載コンピュータシステムは、ゲートウェイ装置１６と複数のＥＣＵ１８とが車載ネットワーク１７に接続されて構成される。ゲートウェイ装置１６は、自動車１０の車載コンピュータシステムの内部と外部の間の通信を監視する。ＥＣＵ１８は、ゲートウェイ装置１６を介して、車載コンピュータシステムの外部の装置と通信を行う。

　なお、車載ネットワーク１７の構成として、車載ネットワーク１７が複数のバス（通信線）を備え、該複数のバスがゲートウェイ装置１６に接続されてもよい。この場合、一つのバスに、一つのＥＣＵ１８又は複数のＥＣＵ１８が接続される。

　サーバ装置３０は、通信路１０４を介して端末装置５０と通信を行う。通信路１０４は、無線通信路であってもよく、又は、有線通信路であってもよく、又は、無線通信路と有線通信路とから構成されてもよい。例えば、サーバ装置３０と端末装置５０とが通信ケーブルで接続されてもよい。又は、サーバ装置３０と端末装置５０とは、有線又は無線の通信ネットワークを介して通信を行うように構成されてもよい。例えば、サーバ装置３０と端末装置５０とが、有線又は無線のＬＡＮ（Local Area Network）で接続されてもよい。

　端末装置５０は、通信路１０６を介して自動車１０の車載装置７０と通信を行う。通信路１０６は、無線通信路であってもよく、又は、有線通信路であってもよく、又は、無線通信路と有線通信路とから構成されてもよい。例えば、端末装置５０と車載装置７０とは、有線又は無線の通信ネットワークを介して通信を行うように構成されてもよい。例えば、端末装置５０と車載装置７０とが、有線又は無線のＬＡＮで接続されてもよい。例えば、端末装置５０と車載装置７０とは、近距離無線通信により通信を行うように構成されてもよい。例えば、端末装置５０を自動車１０の診断ポートに接続し、端末装置５０と車載装置７０とは該診断ポートを介して通信を行うように構成されてもよい。自動車１０の診断ポートとして、例えばＯＢＤ（On-board Diagnostics）ポートが使用されてもよい。

　図２は、本実施形態に係るサーバ装置３０の概略構成図である。図２において、サーバ装置３０は、サーバ通信部３１と、サーバ鍵格納部３２と、サーバ鍵生成部３３と、サーバ認証処理部３４と、サーバ暗号処理部３５と、サーバ記録部３６と、サーバ制御部３７と、作業者情報格納部４０とを備える。サーバ通信部３１は、通信路１０４を介して、端末装置５０と通信を行う。サーバ鍵格納部３２は鍵を格納する。サーバ鍵生成部３３は鍵を生成する。サーバ認証処理部３４は自動車１０の作業者の認証を行う。サーバ暗号処理部３５は、データの暗号化及び暗号化データの復号を行う。サーバ記録部３６はログの記録及びログの格納を行う。サーバ制御部３７はサーバ装置３０の制御を行う。

　作業者情報格納部４０は作業者情報を格納する。作業者情報は、自動車１０の保守の作業を行う者として予め登録された作業者の情報である。作業者情報は、作業者の氏名等の作業者を特定する作業者特定情報と、作業者特定情報に関連付けられた作業者認証情報とを含む情報である。作業者認証情報は作業者を認証するための情報である。作業者認証情報は、例えば、作業者識別情報（ＩＤ）とパスワード（ＰＷＤ）の組である。又は、作業者認証情報は、作業者の指紋等の生体情報であってもよい。

　サーバ認証処理部３４は、端末装置５０から受信した作業者認証情報の認証処理を行う。サーバ認証処理部３４は、端末装置５０から受信した作業者認証情報と、作業者情報格納部４０の作業者情報の作業者認証情報とを比較することにより、端末装置５０から受信した作業者認証情報の認証の合否を判断する。例えば、端末装置５０から受信した作業者認証情報「ＩＤとＰＷＤの組」が、作業者情報格納部４０の作業者情報の作業者認証情報「ＩＤとＰＷＤの組」と一致する場合には当該作業者認証情報の認証が合格であり、そうではない場合には当該作業者認証情報の認証が不合格である。例えば、端末装置５０から受信した作業者認証情報「作業者の生体情報（例えば、指紋情報）」が、作業者情報格納部４０の作業者情報の作業者認証情報「指紋情報」と同一人物の生体情報であると判断された場合には当該作業者認証情報の認証が合格であり、そうではない場合には当該作業者認証情報の認証が不合格である。

　なお、作業者情報格納部４０は、サーバ装置３０の外部の記憶装置に設けられてもよい。この場合、サーバ装置３０は、通信により該外部の記憶装置にアクセスして作業者情報格納部４０の作業者情報を取得する。

　サーバ装置３０の機能は、サーバ装置３０が備えるＣＰＵ（Central Processing Unit：中央演算処理装置）がコンピュータプログラムを実行することにより実現される。なお、サーバ装置３０として、汎用のコンピュータ装置を使用して構成されてもよく、又は、専用のハードウェア装置として構成されてもよい。

　サーバ装置３０は、セキュアエレメント（Secure Element：ＳＥ）を備えてもよい。セキュアエレメントとして、例えば、耐タンパー性（Tamper Resistant）を有する半導体製品が挙げられる。セキュアエレメントとして、例えば、耐タンパー性を有するＩＣ（Integrated Circuit）チップが使用されてもよい。セキュアエレメントとして、例えば、ＳＩＭ（Subscriber Identity Module）又はｅＳＩＭ（Embedded Subscriber Identity Module）等の通信モジュールが使用されてもよい。ＳＩＭ及びｅＳＩＭは耐タンパー性を有する。

　サーバ装置３０のサーバ鍵格納部３２及びサーバ鍵生成部３３の機能は、セキュアエレメントのＣＰＵがコンピュータプログラムを実行することにより実現されてもよい。

　図３は、本実施形態に係る端末装置５０の概略構成図である。図３において、端末装置５０は、端末通信部５１と、端末鍵格納部５２と、端末認証処理部５４と、端末記録部５６と、端末制御部５７とを備える。端末通信部５１は、通信路１０４を介して、サーバ装置３０と通信を行う。端末通信部５１は、通信路１０６を介して、自動車１０の車載装置７０と通信を行う。端末鍵格納部５２は鍵を格納する。端末認証処理部５４は、自動車１０の車載装置７０との間で認証処理を行う。端末記録部５６はログの記録及びログの格納を行う。端末制御部５７は端末装置５０の制御を行う。

　端末装置５０の機能は、端末装置５０が備えるＣＰＵがコンピュータプログラムを実行することにより実現される。なお、端末装置５０として、汎用のコンピュータ装置を使用して構成されてもよく、又は、専用のハードウェア装置として構成されてもよい。また、端末装置５０として、スマートフォン等の携帯通信端末装置、タブレット型のコンピュータ装置（タブレットＰＣ）、据置き型のパーソナルコンピュータ装置などが利用されてもよい。

　図４は、本実施形態に係る車載装置７０の概略構成図である。図４において、車載装置７０は、車両通信部７１と、車両鍵格納部７２と、車両鍵生成部７３と、車両認証処理部７４と、車両暗号処理部７５と、車両記録部７６と、車両制御部７７とを備える。車両通信部７１は、通信路１０６を介して、端末装置５０と通信を行う。車両鍵格納部７２は鍵を格納する。車両鍵生成部７３は鍵を生成する。車両認証処理部７４は、端末装置５０との間で認証処理を行う。車両暗号処理部７５は、データの暗号化及び暗号化データの復号を行う。車両記録部７６はログの記録及びログの格納を行う。車両制御部７７は車載装置７０の制御を行う。

　車載装置７０の機能は、車載装置７０が備えるＣＰＵがコンピュータプログラムを実行することにより実現される。なお、車載装置７０として、汎用のコンピュータ装置を使用して構成してもよく、又は、専用のハードウェア装置として構成してもよい。

　車載装置７０は、セキュアエレメントを備えてもよい。セキュアエレメントとして、例えば、耐タンパー性を有する半導体製品が挙げられる。セキュアエレメントとして、例えば、耐タンパー性を有するＩＣチップが使用されてもよい。セキュアエレメントとして、例えば、ＳＩＭ又はｅＳＩＭ等の通信モジュールが使用されてもよい。ＳＩＭ及びｅＳＩＭは耐タンパー性を有する。セキュアエレメントとして、例えば、ＨＳＭ（Hardware Security Module）等の暗号処理チップが使用されてもよい。ＨＳＭは耐タンパー性を有する。

　車載装置７０の車両鍵格納部７２及び車両鍵生成部７３の機能は、セキュアエレメントのＣＰＵがコンピュータプログラムを実行することにより実現されてもよい。

　また、車載装置７０は、自動車１０に搭載されたコンピュータ装置を利用して実現されてもよい。例えば、自動車１０に搭載されたインフォテイメント（Infotainment）機器を利用して車載装置７０が実現されてもよい。インフォテイメント機器として、例えば、ナビゲーション機能、位置情報サービス機能、音楽や動画などのマルチメディア再生機能、音声通信機能、データ通信機能、インターネット接続機能などを有するものが挙げられる。
　インフォテイメント機器は、一般に、車載インフォテイメント（In-Vehicle Infotainment：ＩＶＩ）システムと称される。車載装置７０の機能は、インフォテイメント機器が備えるＣＰＵが、車載装置７０の機能を実現させるためのコンピュータプログラムを実行することにより実現されてもよい。インフォテイメント機器は、耐タンパー性を有するＩＣチップ等のセキュアエレメントを備えてもよい。

　また、車載装置７０は、自動車１０に搭載されたＴＣＵ（Tele Communication Unit）を利用して実現されてもよい。ＴＣＵは通信装置である。ＴＣＵは、無線通信ネットワークを利用するための情報が書き込まれたＳＩＭ又はｅＳＩＭを備える。ＴＣＵは、当該ＳＩＭ又はｅＳＩＭを使用することにより当該無線通信ネットワークに接続して無線通信を行うことができる。車載装置７０の機能は、ＴＣＵが備えるＣＰＵが、車載装置７０の機能を実現させるためのコンピュータプログラムを実行することにより実現されてもよい。ＴＣＵのＳＩＭ又はｅＳＩＭはセキュアエレメントである。

　また、車載装置７０は、自動車１０に搭載されたゲートウェイ装置１６を利用して実現されてもよい。車載装置７０の機能は、ゲートウェイ装置１６が備えるＣＰＵが、車載装置７０の機能を実現させるためのコンピュータプログラムを実行することにより実現されてもよい。ゲートウェイ装置１６は、ＨＳＭ等のセキュアエレメントを備えてもよい。

　次に図５から図９を参照して本実施形態に係る保守方法の例を順次説明する。本実施形態に係る保守方法は、作業者が自動車１０の保守作業を行う際に実行される。自動車１０の保守作業は、自動車製造会社での自動車１０の生産時、又は、自動車整備工場や自動車販売店、自動車１０の保管場所等での自動車１０の保守時に実施される。自動車１０の保守作業には様々な項目が存在する。自動車１０の保守作業として、例えば、自動車１０の各種の診断、ＥＣＵ１８のプログラムや設定データのインストール及び更新、ＥＣＵ１８の初期化などが挙げられる。

　なお、以下の保守方法の例の説明では、本実施形態に係る作業者の認証方法の一例として、作業者識別情報ＩＤとパスワードＰＷＤの組を使用するＩＤ・パスワード認証方法を挙げる。当該ＩＤ・パスワード認証方法では、作業者識別情報ＩＤとパスワードＰＷＤの組が作業者認証情報である。正当な作業者の作業者識別情報ＩＤ及びパスワードＰＷＤの組は、予め、作業者情報格納部４０に登録される。また、作業者が保守作業を行う対象の自動車１０を限定する保守対象車限定情報が、当該作業者の作業者識別情報ＩＤ及びパスワードＰＷＤの組に関連付けて作業者情報格納部４０に格納されてもよい。保守対象車限定情報は、例えば、保守作業を行う対象の自動車１０の車両識別番号（Vehicle Identification Number：ＶＩＮ）である。車両識別番号（ＶＩＮ）については、例えば非特許文献２に記載されている。

［保守方法の例１］
　図５を参照して本実施形態に係る保守方法の例１を説明する。図５は、本実施形態に係る保守方法の例１を示すシーケンスチャートである。

　サーバ装置３０は、マスタ鍵Ｍａｓｔｅｒ＿Ｓｅｃｒｅｔを予めサーバ鍵格納部３２に格納する。車載装置７０は、マスタ鍵Ｍａｓｔｅｒ＿Ｓｅｃｒｅｔを予め車両鍵格納部７２に格納する。サーバ装置３０がサーバ鍵格納部３２に格納するマスタ鍵Ｍａｓｔｅｒ＿Ｓｅｃｒｅｔと、車載装置７０が車両鍵格納部７２に格納するマスタ鍵Ｍａｓｔｅｒ＿Ｓｅｃｒｅｔとは、同じである。

（ステップＳ１１）作業者は、端末装置５０により、サーバ装置３０にログインするための作業者識別情報ＩＤとパスワードＰＷＤとを入力する。また、作業者は、端末装置５０により、保守作業を行う対象の自動車１０の車両識別番号ＶＩＮを入力する。端末装置５０の端末通信部５１は、作業者から端末装置５０に入力された作業者識別情報ＩＤ及びパスワードＰＷＤの組と車両識別番号ＶＩＮとを含むログイン要求メッセージを、サーバ装置３０に送信する。車両識別番号は車両対応識別子に対応する。

　サーバ装置３０のサーバ通信部３１は、端末装置５０からログイン要求メッセージを受信する。サーバ認証処理部３４は、サーバ通信部３１により端末装置５０から受信したログイン要求メッセージに対して認証を行う。サーバ認証処理部３４は、ログイン要求メッセージの作業者識別情報ＩＤ及びパスワードＰＷＤの組と、作業者情報格納部４０の作業者識別情報ＩＤ及びパスワードＰＷＤの組とを比較する。この結果、ログイン要求メッセージの作業者識別情報ＩＤ及びパスワードＰＷＤの組が、作業者情報格納部４０の作業者識別情報ＩＤ及びパスワードＰＷＤの組と一致する場合には当該ログイン要求メッセージ（作業者認証情報）の認証が合格であり、そうではない場合には当該ログイン要求メッセージ（作業者認証情報）の認証が不合格である。

　なお、サーバ認証処理部３４は、作業者情報格納部４０の作業者識別情報ＩＤ及びパスワードＰＷＤの組に対して保守対象車限定情報の車両識別番号ＶＩＮが関連付けられている場合には、ログイン要求メッセージの車両識別番号ＶＩＮが保守対象車限定情報の車両識別番号ＶＩＮに一致するか否かをさらに判断する。この結果、ログイン要求メッセージの車両識別番号ＶＩＮが保守対象車限定情報の車両識別番号ＶＩＮに一致する場合には最終的に当該ログイン要求メッセージ（作業者認証情報）の認証が合格であり、そうではない場合には当該ログイン要求メッセージ（作業者認証情報）の認証が不合格である。

　ログイン要求メッセージに対する認証が合格である場合には以降の処理に進む。一方、ログイン要求メッセージに対する認証が不合格である場合には、図５の処理を終了する。
　ログイン要求メッセージに対する認証が不合格である場合には、端末装置５０からサーバ装置３０へのログインは失敗である。ログイン要求メッセージに対する認証が不合格である場合には、サーバ装置３０は所定のエラー処理を実行してもよい。

（ステップＳ１２）サーバ鍵生成部３３は、サーバ鍵格納部３２のマスタ鍵Ｍａｓｔｅｒ＿Ｓｅｃｒｅｔと、認証が合格したログイン要求メッセージの車両識別番号ＶＩＮと、期間情報とを使用して、ＭＡＣ鍵Ｋａを生成する。ＭＡＣ鍵Ｋａの生成方法は、次式に示される。ＭＡＣ鍵Ｋａは第１鍵に対応する。
　ＭＡＣ鍵Ｋａ＝ダイジェスト（Ｍａｓｔｅｒ＿Ｓｅｃｒｅｔ、ＶＩＮ、期間情報）
　但し、Ｍａｓｔｅｒ＿Ｓｅｃｒｅｔはマスタ鍵である。ＶＩＮは車両識別番号である。期間情報は、作業者認証情報の認証時を基準にした所定期間を示す情報である。作業者認証情報の認証時は、サーバ通信部３１が端末装置５０から作業者認証情報を受信した時であってもよく、又は、サーバ認証処理部３４が作業者認証情報の認証処理を行った時であってもよい。本実施形態の一例として、作業者認証情報は作業者識別情報ＩＤ及びパスワードＰＷＤの組であり、ログイン要求メッセージは作業者認証情報を含むメッセージである。

　期間情報の例を以下に示す。作業者認証情報の認証時を、説明の便宜上、ログイン時と称する。これにより、期間情報は、ログイン時を基準にした所定期間を示す情報である。

（期間情報の例１）
　ログイン時が「２０１７年６月１２日　午前１０時１５分２０秒」である場合、期間情報は「２０１７年６月１２日」である。期間情報の例１では、ログイン時の日時情報のうち年月日の情報のみが、期間情報に使用される。したがって、期間情報の例１では、ログイン時の日時情報のうち時刻（時分秒）の情報は省略されて、期間情報が生成される。期間情報の例１によれば、期間情報はログイン時の日を示す情報となる。

（期間情報の例２）
　ログイン時が「２０１７年６月１２日　午前１０時１５分２０秒」である場合、期間情報は「２０１７年６月」である。期間情報の例２では、ログイン時の日時情報のうち年月の情報のみが、期間情報に使用される。したがって、期間情報の例２では、ログイン時の日時情報のうち日及び時刻（時分秒）の情報は省略されて、期間情報が生成される。期間情報の例２によれば、期間情報はログイン時の月を示す情報となる。

　上述の期間情報の例１及び例２の変形例として、ログイン時の日時情報のうち年の情報のみが期間情報に使用されてもよく（つまり、月日及び時刻（時分秒）の情報は省略される）、又は、ログイン時の日時情報のうち年月日及び時の情報のみが期間情報に使用されてもよい（つまり、時刻のうち分秒の情報は省略される）。
　以上が期間情報の例の説明である。

　ＭＡＣ鍵Ｋａは、マスタ鍵Ｍａｓｔｅｒ＿Ｓｅｃｒｅｔと車両識別番号ＶＩＮと期間情報とを使用して生成されるダイジェストである。ダイジェストとして、例えば、ハッシュ（hash）関数により算出される値、又は、排他的論理和演算により算出される値などが挙げられる。例えば、ＭＡＣ鍵Ｋａは、マスタ鍵Ｍａｓｔｅｒ＿Ｓｅｃｒｅｔと車両識別番号ＶＩＮと期間情報とを入力値に使用して算出されるハッシュ関数値である。ダイジェストとして、ＣＭＡＣ（Cipher-based Message Authentication Code）が使用されてもよい。
　例えば、ＭＡＣ鍵Ｋａは、ＣＭＡＣ（Ｍａｓｔｅｒ＿Ｓｅｃｒｅｔ；ＶＩＮ、期間情報）である。但し、ＣＭＡＣ（Ａ；Ｂ）において、鍵ＡはＣＭＡＣの生成に使用される鍵であり、データＢはＣＭＡＣの生成対象のデータである。これにより、ＭＡＣ鍵Ｋａは、マスタ鍵Ｍａｓｔｅｒ＿Ｓｅｃｒｅｔを使用して生成される「車両識別番号ＶＩＮと期間情報との連結データ、のＣＭＡＣ」である。
　以上がＭＡＣ鍵Ｋａの生成方法の説明である。

　説明を図５に戻す。
　サーバ通信部３１は、認証が合格したログイン要求メッセージの送信元の端末装置５０に、サーバ鍵生成部３３が生成したＭＡＣ鍵Ｋａを返信する。ＭＡＣ鍵Ｋａが返信された端末装置５０からサーバ装置３０へのログインは成功である。

　端末装置５０の端末通信部５１は、サーバ装置３０からＭＡＣ鍵Ｋａを受信する。端末鍵格納部５２は、端末通信部５１によりサーバ装置３０から受信したＭＡＣ鍵Ｋａを格納する。

　なお、サーバ記録部３６は、随時、端末装置５０から受信したログイン要求メッセージ及び当該ログイン要求メッセージの認証等についてのログを記録する。当該ログには、ログイン要求メッセージ、当該ログイン要求メッセージの受信日時、当該ログイン要求メッセージの認証結果（合格又は不合格）及びＭＡＣ鍵Ｋａの送信日時などの情報が含まれる。

（ステップＳ１３）端末装置５０の端末認証処理部５４は、端末通信部５１により、チャレンジ（乱数ｔ）を自動車１０の車載装置７０に送信する。端末認証処理部５４は、乱数ｔを発生し、該乱数ｔをチャレンジに使用する。端末認証処理部５４は、チャレンジ（乱数ｔ）を保持しておく。

　自動車１０の車載装置７０において、車両通信部７１は、端末装置５０からチャレンジ（乱数ｔ）を受信する。チャレンジ（乱数ｔ）は認証要求メッセージに対応する。

（ステップＳ１４）車両鍵生成部７３は、車両通信部７１が端末装置５０からチャレンジ（乱数ｔ）を受信すると、ＭＡＣ鍵Ｋａを生成する。

　車両鍵生成部７３のＭＡＣ鍵Ｋａの生成方法は、上記したステップＳ１２のサーバ鍵生成部３３と同じ方法の次式で示される。
　ＭＡＣ鍵Ｋａ＝ダイジェスト（Ｍａｓｔｅｒ＿Ｓｅｃｒｅｔ、ＶＩＮ、期間情報）
　但し、マスタ鍵Ｍａｓｔｅｒ＿Ｓｅｃｒｅｔは、車両鍵格納部７２に格納されているマスタ鍵Ｍａｓｔｅｒ＿Ｓｅｃｒｅｔである。車両鍵格納部７２に格納されているマスタ鍵Ｍａｓｔｅｒ＿Ｓｅｃｒｅｔは、サーバ装置３０のサーバ鍵格納部３２に格納されているマスタ鍵Ｍａｓｔｅｒ＿Ｓｅｃｒｅｔと同じである。車両識別番号ＶＩＮは、車両鍵生成部７３の車載装置７０が搭載されている自動車１０の車両識別番号ＶＩＮである。期間情報は、車載装置７０が端末装置５０から認証要求メッセージを受信した時（認証要求メッセージ受信時）を基準にした所定期間を示す情報である。この期間情報は、上記したサーバ鍵生成部３３のＭＡＣ鍵Ｋａの生成に使用される期間情報と同様であるが、ログイン時を認証要求メッセージ受信時に変更して生成される。

　例えば、上記の期間情報の例１において、認証要求メッセージ受信時が「２０１７年６月１２日　午後４時２０分４０秒」である場合、車両鍵生成部７３のＭＡＣ鍵Ｋａの生成に使用される期間情報は「２０１７年６月１２日」である。ここで、端末装置５０からサーバ装置３０へのログイン時が「２０１７年６月１２日　午前１０時１５分２０秒」であった場合、サーバ鍵生成部３３のＭＡＣ鍵Ｋａの生成に使用される期間情報と車両鍵生成部７３のＭＡＣ鍵Ｋａの生成に使用される期間情報とは、同じ「２０１７年６月１２日」となる。これにより、作業者が端末装置５０によりサーバ装置３０にログインする時刻と、端末装置５０から自動車１０の車載装置７０に認証要求メッセージを送信する時刻とにずれがあったとしても、同日であれば、ＭＡＣ鍵Ｋａの生成に使用される期間情報はサーバ装置３０と車載装置７０とで同じになる。このため、サーバ装置３０と車載装置７０とで同じＭＡＣ鍵Ｋａが生成される。これにより、上記のステップＳ１２でサーバ装置３０から端末装置５０に送信されて当該端末装置５０の端末鍵格納部５２に格納されたＭＡＣ鍵Ｋａと、当該端末装置５０から認証要求メッセージ（チャレンジ（乱数ｔ））を受信した車載装置７０で生成されるＭＡＣ鍵Ｋａとは同じになる。

　例えば、上記の期間情報の例２において、認証要求メッセージ受信時が「２０１７年６月２５日　午後４時２０分４０秒」である場合、車両鍵生成部７３のＭＡＣ鍵Ｋａの生成に使用される期間情報は「２０１７年６月」である。ここで、端末装置５０からサーバ装置３０へのログイン時が「２０１７年６月１２日　午前１０時１５分２０秒」であった場合、サーバ鍵生成部３３のＭＡＣ鍵Ｋａの生成に使用される期間情報と車両鍵生成部７３のＭＡＣ鍵Ｋａの生成に使用される期間情報とは、同じ「２０１７年６月」となる。これにより、作業者が端末装置５０によりサーバ装置３０にログインする日時と、端末装置５０から自動車１０の車載装置７０に認証要求メッセージを送信する日時とにずれがあったとしても、同月であれば、ＭＡＣ鍵Ｋａの生成に使用される期間情報はサーバ装置３０と車載装置７０とで同じになる。このため、サーバ装置３０と車載装置７０とで同じＭＡＣ鍵Ｋａが生成される。これにより、上記のステップＳ１２でサーバ装置３０から端末装置５０に送信されて当該端末装置５０の端末鍵格納部５２に格納されたＭＡＣ鍵Ｋａと、当該端末装置５０から認証要求メッセージ（チャレンジ（乱数ｔ））を受信した車載装置７０で生成されるＭＡＣ鍵Ｋａとは同じになる。

　なお、作業者が端末装置５０によりサーバ装置３０にログインする時と、端末装置５０から自動車１０の車載装置７０に認証要求メッセージを送信する時とのずれが期間情報の許容範囲を超えた場合には、ＭＡＣ鍵Ｋａの生成に使用される期間情報はサーバ装置３０と車載装置７０とで異なる。これにより、サーバ装置３０と車載装置７０とで異なるＭＡＣ鍵Ｋａが生成される。例えば、上記の期間情報の例１において、端末装置５０からサーバ装置３０へのログイン時が「２０１７年６月１２日　午前１０時１５分２０秒」であり、且つ、認証要求メッセージ受信時が「２０１７年６月１３日　午前０時５分１０秒」である場合、サーバ鍵生成部３３のＭＡＣ鍵Ｋａの生成に使用される期間情報は「２０１７年６月１２日」である一方、車両鍵生成部７３のＭＡＣ鍵Ｋａの生成に使用される期間情報は「２０１７年６月１３日」である。サーバ鍵生成部３３のＭＡＣ鍵Ｋａの生成に使用される期間情報と車両鍵生成部７３のＭＡＣ鍵Ｋａの生成に使用される期間情報とは異なるので、サーバ装置３０と車載装置７０とで異なるＭＡＣ鍵Ｋａが生成される。したがって、上記のステップＳ１２でサーバ装置３０から端末装置５０に送信されて当該端末装置５０の端末鍵格納部５２に格納されたＭＡＣ鍵Ｋａと、当該端末装置５０から認証要求メッセージ（チャレンジ（乱数ｔ））を受信した車載装置７０で生成されるＭＡＣ鍵Ｋａとは異なる。この場合、後述するが、車載装置７０で生成するＭＡＣ鍵Ｋａを使用してチャレンジ（乱数ｔ）から生成されたレスポンスＫａ（乱数ｔ）に対するサーバ装置３０のＭＡＣ鍵Ｋａを使用した検証が不合格になる。

　なお、作業者が端末装置５０によりサーバ装置３０にログインする時と、端末装置５０から自動車１０の車載装置７０に認証要求メッセージを送信する時とのずれが期間情報の許容範囲を超えた場合には、作業者が再度、端末装置５０からサーバ装置３０にログインし直す。これにより、サーバ装置３０の期間情報と車載装置７０の期間情報とを一致させることができる。

　車両鍵格納部７２は、車両鍵生成部７３が生成したＭＡＣ鍵Ｋａを格納する。車両認証処理部７４は、車両鍵格納部７２のＭＡＣ鍵Ｋａと、車両通信部７１により端末装置５０から受信したチャレンジ（乱数ｔ）とを使用して、レスポンスＫａ（乱数ｔ）を生成する。レスポンス生成・検証方法は、予め、車両認証処理部７４に設定される。レスポンスＫａ（乱数ｔ）は、本実施形態に係る一例として、ＭＡＣ鍵Ｋａで乱数ｔを暗号化した暗号化データである。

　なお、レスポンスＫａ（乱数ｔ）は、本実施形態に係る一例として、ＣＭＡＣ（Ｋａ；乱数ｔ）であってもよい。ＣＭＡＣ（Ｋａ；乱数ｔ）は、ＭＡＣ鍵Ｋａを使用して生成される「乱数ｔのＣＭＡＣ」である。

　車両認証処理部７４は、車両通信部７１により、レスポンスＫａ（乱数ｔ）とチャレンジ（乱数ｖ）とを、チャレンジ（乱数ｔ）の送信元の端末装置５０に返信する。車両認証処理部７４は、乱数ｖを発生し、該乱数ｖをチャレンジに使用する。車両認証処理部７４は、チャレンジ（乱数ｖ）を保持しておく。

　端末装置５０の端末通信部５１は、自動車１０の車載装置７０からレスポンスＫａ（乱数ｔ）とチャレンジ（乱数ｖ）とを受信する。

（ステップＳ１５）端末認証処理部５４は、端末通信部５１により車載装置７０から受信したレスポンスＫａ（乱数ｔ）の検証を行う。レスポンス生成・検証方法として、車載装置７０の車両認証処理部７４におけるレスポンス生成・検証方法と同じ方法が、予め、端末認証処理部５４に設定される。レスポンスＫａ（乱数ｔ）の検証において、端末認証処理部５４は、上記ステップＳ１３で自動車１０の車載装置７０に送信し保持したチャレンジ（乱数ｔ）と、端末鍵格納部５２のＭＡＣ鍵Ｋａと、を使用する。

　例えば、レスポンスＫａ（乱数ｔ）がＭＡＣ鍵Ｋａによる乱数ｔの暗号化データである場合、端末認証処理部５４は、ＭＡＣ鍵Ｋａを使用して、チャレンジ（乱数ｔ）を暗号化し、該暗号化により生成した暗号化データとレスポンスＫａ（乱数ｔ）とを比較する。この比較の結果、両者が一致する場合にはレスポンスＫａ（乱数ｔ）の検証が合格であり、両者が不一致の場合にはレスポンスＫａ（乱数ｔ）の検証が不合格である。

　なお、レスポンスＫａ（乱数ｔ）がＭＡＣ鍵Ｋａによる乱数ｔの暗号化データである場合の他の検証方法として、端末認証処理部５４は、ＭＡＣ鍵Ｋａを使用して、レスポンスＫａ（乱数ｔ）を復号し、該復号の結果とチャレンジ（乱数ｔ）とを比較してもよい。この比較の結果、両者が一致する場合にはレスポンスＫａ（乱数ｔ）の検証が合格であり、両者が不一致の場合にはレスポンスＫａ（乱数ｔ）の検証が不合格である。

　例えば、レスポンスＫａ（乱数ｔ）がＣＭＡＣ（Ｋａ；乱数ｔ）である場合、端末認証処理部５４は、ＭＡＣ鍵Ｋａを使用して、チャレンジ（乱数ｔ）のＣＭＡＣを生成し、生成したＣＭＡＣとレスポンスＫａ（乱数ｔ）とを比較する。この比較の結果、両者が一致する場合にはレスポンスＫａ（乱数ｔ）の検証が合格であり、両者が不一致の場合にはレスポンスＫａ（乱数ｔ）の検証が不合格である。

　レスポンスＫａ（乱数ｔ）の検証が合格である場合には、以降の処理に進む。一方、レスポンスＫａ（乱数ｔ）の検証が不合格である場合には、図５の処理を終了する。レスポンスＫａ（乱数ｔ）の検証が不合格である場合には、端末装置５０は所定のエラー処理を実行してもよい。

　端末認証処理部５４は、端末鍵格納部５２のＭＡＣ鍵Ｋａと、端末通信部５１により車載装置７０から受信したチャレンジ（乱数ｖ）とを使用して、レスポンスＫａ（乱数ｖ）を生成する。端末認証処理部５４は、端末通信部５１により、レスポンスＫａ（乱数ｖ）を、チャレンジ（乱数ｖ）の送信元の自動車１０の車載装置７０に返信する。

　自動車１０の車載装置７０の車両通信部７１は、端末装置５０からレスポンスＫａ（乱数ｖ）を受信する。車両認証処理部７４は、端末装置５０から受信したレスポンスＫａ（乱数ｖ）の検証を行う。レスポンスＫａ（乱数ｖ）の検証において、車両認証処理部７４は、上記ステップＳ１４で端末装置５０に送信し保持したチャレンジ（乱数ｖ）と、車両鍵格納部７２のＭＡＣ鍵Ｋａと、を使用する。レスポンスＫａ（乱数ｖ）の検証方法は、上記した端末認証処理部５４によるレスポンスＫａ（乱数ｔ）の検証方法と同様である。

　レスポンスＫａ（乱数ｖ）の検証が合格である場合には、以降の処理に進む。一方、レスポンスＫａ（乱数ｖ）の検証が不合格である場合には、図５の処理を終了する。レスポンスＫａ（乱数ｖ）の検証が不合格である場合には、車載装置７０は所定のエラー処理を実行してもよい。

　なお、端末記録部５６は、随時、自端末装置５０と車載装置７０との間の認証についてのログを記録する。また、車両記録部７６は、随時、自車載装置７０と端末装置５０との間の認証についてのログを記録する。

（ステップＳ１６）端末装置５０の端末制御部５７は、保守コマンドを自動車１０の車載装置７０に送信する。保守コマンドは、自動車１０の保守の制御情報（保守制御情報）である。端末制御部５７は、作業者の操作により保守コマンドを自動車１０の車載装置７０に送信してもよく、又は、予め設定された保守作業手順に従って保守コマンドを自動車１０の車載装置７０に送信してもよい。自動車１０の車載装置７０の車両通信部７１は、端末装置５０から保守コマンドを受信する。

（ステップＳ１７）車両制御部７７は、車両通信部７１により端末装置５０から受信した保守コマンドを、該保守コマンドを実行する自動車１０の車載装置に転送する。保守コマンドを実行する自動車１０の車載装置として、例えば、ゲートウェイ装置１６と、ＥＣＵ１８とが挙げられる。なお、端末装置５０から保守コマンドを受信した車載装置７０自身が、当該保守コマンドを実行してもよい。

　車両制御部７７は、保守コマンド転送先の車載装置から保守コマンドの実行結果を受信する。車両制御部７７は、車両通信部７１により、保守コマンドの実行結果を含む保守レスポンスを端末装置５０に返信する。

　なお、車両記録部７６は、随時、保守コマンド及び保守レスポンスについてのログを記録する。また、端末記録部５６は、随時、作業員の保守作業の操作、保守コマンド及び保守レスポンスについてのログを記録する。

　上述した保守方法の例１によれば、サーバ装置３０は、端末装置５０から受信した作業者認証情報の認証を行い、当該作業者認証情報の認証が合格した端末装置５０に対して、マスタ鍵と当該作業者認証情報に関連付けられた車両識別番号ＶＩＮとを使用して生成したＭＡＣ鍵Ｋａを送信する。端末装置５０は、サーバ装置３０から受信したＭＡＣ鍵Ｋａを使用して、自動車１０の車載装置７０との間で認証処理を行う。自動車１０の車載装置７０は、マスタ鍵と当該自動車１０の車両識別番号ＶＩＮとを使用して生成したＭＡＣ鍵Ｋａを使用して、端末装置５０との間で認証処理を行う。これにより、サーバ装置３０が作業者認証情報の認証により本人確認を行った正当な作業者が操作する端末装置５０であることを、保守作業の対象の自動車１０の車載装置７０により認証することができる。このことは、自動車１０の保守の作業を行う際の安全性の向上を図る効果を奏する。例えば、端末装置５０の紛失や盗難等により当該端末装置５０が正当ではない者によって操作されたとしても、当該端末装置５０からサーバ装置３０へのログインが失敗すれば、端末装置５０は正しいＭＡＣ鍵Ｋａを取得できない。これにより、当該端末装置５０から自動車１０の車載装置７０にアクセスしても、当該端末装置５０と車載装置７０との間の認証が不合格になるので、当該端末装置５０を使用して自動車１０の保守作業を行うことはできない。

　また、保守方法の例１によれば、ＭＡＣ鍵Ｋａの生成に期間情報が使用される。このため、たとえ一旦は正しいＭＡＣ鍵Ｋａが端末装置５０に保持されたとしても、当該期間情報の許容範囲を過ぎれば、当該ＭＡＣ鍵Ｋａを使用しても当該端末装置５０と車載装置７０との間の認証が不合格になる。これにより、当該端末装置５０を使用して自動車１０の保守作業を行うことはできない。なお、端末装置５０が保持したＭＡＣ鍵Ｋａの期間情報の許容範囲が過ぎても、正当な作業者であれば、再度、端末装置５０によりサーバ装置３０にログインし直すことにより、正しいＭＡＣ鍵Ｋａをサーバ装置３０から当該端末装置５０に取得することができる。このため、当該端末装置５０を使用して自動車１０の保守作業を行うことができる。

　なお、ＭＡＣ鍵Ｋａの生成に期間情報が使用されなくてもよい。又は、ＭＡＣ鍵Ｋａの生成に使用される期間情報は、サーバ装置３０と車載装置７０とで同じ固定値であってもよい。ＭＡＣ鍵Ｋａの生成に期間情報が使用されない、又は、サーバ装置３０と車載装置７０とで同じ固定値の期間情報がＭＡＣ鍵Ｋａの生成に使用される場合には、当該ＭＡＣ鍵Ｋａは任意の時期に使用することができる鍵となる。

［保守方法の例２］
　図６を参照して本実施形態に係る保守方法の例２を説明する。図６は、本実施形態に係る保守方法の例２を示すシーケンスチャートである。図６において、図５の各ステップに対応する部分には同一の符号を付している。保守方法の例１と同様に、サーバ装置３０のサーバ鍵格納部３２と、車載装置７０の車両鍵格納部７２とは、同じマスタ鍵Ｍａｓｔｅｒ＿Ｓｅｃｒｅｔを予め格納する。以下、保守方法の例１と異なる点を主に説明する。

　ステップＳ１１は保守方法の例１と同じである。ログイン要求メッセージに対する認証が合格である場合、ステップＳ１２ａが実行される。

（ステップＳ１２ａ）サーバ鍵生成部３３は、サーバ鍵格納部３２のマスタ鍵Ｍａｓｔｅｒ＿Ｓｅｃｒｅｔと、認証が合格したログイン要求メッセージの車両識別番号ＶＩＮと、期間情報と、鍵種別情報Ｋｅｙ＿ＩＤ（Ｎｋ）とを使用して、ＭＡＣ鍵Ｋａと暗号鍵Ｋｃとを生成する。Ｎｋは鍵の種別を表す変数である。ＭＡＣ鍵Ｋａ及び暗号鍵Ｋｃの生成方法は、次式に示される。ＭＡＣ鍵Ｋａは第１鍵に対応する。暗号鍵Ｋｃは第２鍵に対応する。
　ＭＡＣ鍵Ｋａ＝ダイジェスト（Ｍａｓｔｅｒ＿Ｓｅｃｒｅｔ、ＶＩＮ、期間情報、Ｋｅｙ＿ＩＤ（ｍａｃ））
　暗号鍵Ｋｃ＝ダイジェスト（Ｍａｓｔｅｒ＿Ｓｅｃｒｅｔ、ＶＩＮ、期間情報、Ｋｅｙ＿ＩＤ（ｋｃ））
　但し、マスタ鍵Ｍａｓｔｅｒ＿Ｓｅｃｒｅｔ、車両識別番号ＶＩＮ、期間情報及びダイジェストについては、上記した保守方法の例１のステップＳ１２の説明と同様である。Ｋｅｙ＿ＩＤ（ｍａｃ）は、ＭＡＣ鍵を表す鍵種別情報である。Ｋｅｙ＿ＩＤ（ｋｃ）は暗号鍵を表す鍵種別情報である。

　サーバ暗号処理部３５は、暗号鍵Ｋｃで権限情報を暗号化して暗号化権限情報Ｋｃ（権限情報）を生成する。当該権限情報は、ステップＳ１１で認証が合格したログイン要求メッセージの作業者認証情報の作業者に与えられた自動車１０の保守の権限を示す情報である。権限情報は、作業者情報に含めて作業者情報格納部４０に予め格納される。なお、自動車１０の保守の権限の例として、一般の保守項目のみの作業を行うことができる一般権限と、自動車１０の安全性に特にかかわるセキュリティ項目の作業を行うことができる特殊権限とが挙げられる。

　サーバ通信部３１は、認証が合格したログイン要求メッセージの送信元の端末装置５０に、サーバ鍵生成部３３が生成したＭＡＣ鍵Ｋａと、サーバ暗号処理部３５が生成した暗号化権限情報Ｋｃ（権限情報）とを返信する。ＭＡＣ鍵Ｋａ及び暗号化権限情報Ｋｃ（権限情報）が返信された端末装置５０からサーバ装置３０へのログインは成功である。

　端末装置５０の端末通信部５１は、サーバ装置３０からＭＡＣ鍵Ｋａ及び暗号化権限情報Ｋｃ（権限情報）を受信する。端末鍵格納部５２は、端末通信部５１によりサーバ装置３０から受信したＭＡＣ鍵Ｋａを格納する。端末認証処理部５４は、端末通信部５１によりサーバ装置３０から受信した暗号化権限情報Ｋｃ（権限情報）を保持する。

　なお、サーバ記録部３６は、随時、端末装置５０から受信したログイン要求メッセージ及び当該ログイン要求メッセージの認証等についてのログを記録する。当該ログには、ログイン要求メッセージ、当該ログイン要求メッセージの受信日時、当該ログイン要求メッセージの認証結果（合格又は不合格）、並びに、ＭＡＣ鍵Ｋａ及び暗号化権限情報Ｋｃ（権限情報）の送信日時などの情報が含まれる。

　ステップＳ１３及びステップＳ１４は保守方法の例１と同じである。但し、車載装置７０の車両鍵生成部７３はＭＡＣ鍵Ｋａ及び暗号鍵Ｋｃを生成する。車両鍵生成部７３によるＭＡＣ鍵Ｋａ及び暗号鍵Ｋｃの生成方法は、上記したステップＳ１２ａのサーバ鍵生成部３３と同じ方法の次式で示される。
　ＭＡＣ鍵Ｋａ＝ダイジェスト（Ｍａｓｔｅｒ＿Ｓｅｃｒｅｔ、ＶＩＮ、期間情報、Ｋｅｙ＿ＩＤ（ｍａｃ））
　暗号鍵Ｋｃ＝ダイジェスト（Ｍａｓｔｅｒ＿Ｓｅｃｒｅｔ、ＶＩＮ、期間情報、Ｋｅｙ＿ＩＤ（ｋｃ））
　但し、マスタ鍵Ｍａｓｔｅｒ＿Ｓｅｃｒｅｔ、車両識別番号ＶＩＮ、期間情報及びダイジェストについては、上記した保守方法の例１のステップＳ１４の説明と同様である。Ｋｅｙ＿ＩＤ（ｍａｃ）は、ＭＡＣ鍵を表す鍵種別情報である。Ｋｅｙ＿ＩＤ（ｋｃ）は暗号鍵を表す鍵種別情報である。
　車両鍵格納部７２は、車両鍵生成部７３が生成したＭＡＣ鍵Ｋａ及び暗号鍵Ｋｃを格納する。

（ステップＳ１５ａ）端末認証処理部５４は、端末通信部５１により車載装置７０から受信したレスポンスＫａ（乱数ｔ）の検証を行う。レスポンスＫａ（乱数ｔ）の検証は、保守方法の例１のステップＳ１５と同じである。

　レスポンスＫａ（乱数ｔ）の検証が合格である場合には、以降の処理に進む。一方、レスポンスＫａ（乱数ｔ）の検証が不合格である場合には、図６の処理を終了する。レスポンスＫａ（乱数ｔ）の検証が不合格である場合には、端末装置５０は所定のエラー処理を実行してもよい。

　端末認証処理部５４は、端末鍵格納部５２のＭＡＣ鍵Ｋａと、端末通信部５１により車載装置７０から受信したチャレンジ（乱数ｖ）とを使用して、レスポンスＫａ（乱数ｖ）を生成する。端末認証処理部５４は、端末通信部５１により、レスポンスＫａ（乱数ｖ）と暗号化権限情報Ｋｃ（権限情報）とを、チャレンジ（乱数ｖ）の送信元の自動車１０の車載装置７０に返信する。

　自動車１０の車載装置７０の車両通信部７１は、端末装置５０からレスポンスＫａ（乱数ｖ）及び暗号化権限情報Ｋｃ（権限情報）を受信する。車両認証処理部７４は、端末装置５０から受信したレスポンスＫａ（乱数ｖ）の検証を行う。レスポンスＫａ（乱数ｖ）の検証において、車両認証処理部７４は、上記ステップＳ１４で端末装置５０に送信し保持したチャレンジ（乱数ｖ）と、車両鍵格納部７２のＭＡＣ鍵Ｋａと、を使用する。レスポンスＫａ（乱数ｖ）の検証方法は、端末認証処理部５４によるレスポンスＫａ（乱数ｔ）の検証方法と同様である。

　レスポンスＫａ（乱数ｖ）の検証が合格である場合には、以降の処理に進む。一方、レスポンスＫａ（乱数ｖ）の検証が不合格である場合には、図６の処理を終了する。レスポンスＫａ（乱数ｖ）の検証が不合格である場合には、車載装置７０は所定のエラー処理を実行してもよい。

　車両暗号処理部７５は、車両鍵格納部７２の暗号鍵Ｋｃ（ステップＳ１３、Ｓ１４）で暗号化権限情報Ｋｃ（権限情報）を復号する。この復号により権限情報が取得される。車両制御部７７は、当該権限情報を保持する。

　ステップＳ１６及びステップＳ１７は保守方法の例１と同じである。但し、端末装置５０から自動車１０の車載装置７０に送信される保守コマンドは、当該端末装置５０の作業者に与えられた自動車１０の保守の権限の範囲内の保守コマンドである。当該端末装置５０の作業者に与えられた自動車１０の保守の権限は、上記したステップＳ１５ａで自動車１０の車載装置７０が暗号化権限情報Ｋｃ（権限情報）の復号により取得した権限情報で示される権限である。車両制御部７７は、端末装置５０から受信した保守コマンドが当該権限情報の権限の範囲内の保守コマンドである場合には当該保守コマンドが実行されるように制御するが、そうではない場合には当該保守コマンドが実行されないように制御する。

　上述した保守方法の例２によれば、上述した保守方法の例１と同様の効果が得られる。
　さらに、保守方法の例２によれば、作業者認証情報の作業者に与えられた自動車１０の保守の権限を示す権限情報が暗号鍵Ｋｃにより暗号化されてサーバ装置３０から自動車１０の車載装置７０に安全に供給される。
　これにより、作業者に与えられた権限の範囲内の保守コマンドは自動車１０で実行されるが、当該作業者に与えられた権限の範囲外の保守コマンドが自動車１０で実行されることを防ぐ効果が得られる。

［保守方法の例３］
　図７を参照して本実施形態に係る保守方法の例３を説明する。図７は、本実施形態に係る保守方法の例３を示すシーケンスチャートである。図７において、図６の各ステップに対応する部分には同一の符号を付している。保守方法の例２と同様に、サーバ装置３０のサーバ鍵格納部３２と、車載装置７０の車両鍵格納部７２とは、同じマスタ鍵Ｍａｓｔｅｒ＿Ｓｅｃｒｅｔを予め格納する。以下、保守方法の例２と異なる点を主に説明する。

　ステップＳ１１からステップＳ１７までは、保守方法の例２と同じである。ステップＳ１６の端末装置５０の保守コマンド送信とステップＳ１７の車載装置７０の保守レスポンス返信とは、繰り返し実行されてもよい。また、サーバ鍵格納部３２は暗号鍵Ｋｃを格納する。

（ステップＳ２１）自動車１０の車載装置７０の車両暗号処理部７５は、自己の自動車１０の車両識別番号ＶＩＮと車両記録部７６のログとを車両鍵格納部７２の暗号鍵Ｋｃで暗号化して、報告データＫｃ（ＶＩＮ、ログ）を生成する。車両通信部７１は、報告データＫｃ（ＶＩＮ、ログ）を端末装置５０に送信する。

　なお、報告データＫｃ（ＶＩＮ、ログ）が生成されて自動車１０から端末装置５０に送信されるタイミングの一例として、次のタイミングが例示される。すなわち、車両制御部７７が保守作業の終了を判断し、保守作業の終了である場合に、車両制御部７７が、報告データの生成を車両暗号処理部７５に、報告データの送信を車両通信部７１に、それぞれ指示してもよい。報告データＫｃ（ＶＩＮ、ログ）が生成されて自動車１０から端末装置５０に送信されるタイミングの他の例として、端末装置５０の保守コマンド送信と車載装置７０の保守レスポンス返信の組の所定回数の実行毎に、報告データＫｃ（ＶＩＮ、ログ）が生成されて端末装置５０に送信されてもよい。

（ステップＳ２２）端末装置５０の端末通信部５１は、自動車１０から受信した報告データＫｃ（ＶＩＮ、ログ）をサーバ装置３０に送信する。サーバ装置３０のサーバ暗号処理部３５は、サーバ通信部３１により端末装置５０から受信した報告データＫｃ（ＶＩＮ、ログ）を、サーバ鍵格納部３２の暗号鍵Ｋｃで復号する。この復号の結果、車両識別番号ＶＩＮと当該車両識別番号ＶＩＮの自動車１０のログとが取得される。サーバ記録部３６は、報告データＫｃ（ＶＩＮ、ログ）から取得された車両識別番号ＶＩＮと当該車両識別番号ＶＩＮの自動車１０のログとを関連付けて格納する。

　なお、端末装置５０が自動車１０から報告データＫｃ（ＶＩＮ、ログ）を受信しても、端末装置５０からサーバ装置３０に送信するタイミングが直ぐに得られない場合には、次の処理が行われる。すなわち、端末装置５０は、報告データＫｃ（ＶＩＮ、ログ）を保持しておき、サーバ装置３０に送信するタイミングが得られたら当該保持する報告データＫｃ（ＶＩＮ、ログ）をサーバ装置３０に送信する。例えば、端末装置５０は、サーバ装置３０への次のログインのタイミングで、端末装置５０が保持する報告データＫｃ（ＶＩＮ、ログ）をサーバ装置３０に送信してもよい。

　上述した保守方法の例３によれば、上述した保守方法の例１及び例２と同様の効果が得られる。さらに、保守方法の例３によれば、サーバ装置３０が自動車１０の保守に関するログを保管することができる。

［保守方法の例４］
　図８を参照して本実施形態に係る保守方法の例４を説明する。図８は、本実施形態に係る保守方法の例４を示すシーケンスチャートである。図８において、図７の各ステップに対応する部分には同一の符号を付している。保守方法の例３と同様に、サーバ装置３０のサーバ鍵格納部３２と、車載装置７０の車両鍵格納部７２とは、同じマスタ鍵Ｍａｓｔｅｒ＿Ｓｅｃｒｅｔを予め格納する。以下、保守方法の例３と異なる点を主に説明する。

（ステップＳ１０ａ）端末装置５０の端末通信部５１とサーバ装置３０のサーバ通信部３１とは、ＶＰＮ（Virtual Private Network）回線を確立する。これ以降、端末装置５０の端末通信部５１とサーバ装置３０のサーバ通信部３１とは、ＶＰＮ回線を使用して通信を行う。

　ステップＳ１１からステップＳ１７までは、保守方法の例３と同じである。なお、端末装置５０の端末通信部５１とサーバ装置３０のサーバ通信部３１との間のＶＰＮ回線は、ステップＳ１２ａが終了すると、切断されてもよい。

（ステップＳ１０ｂ）端末装置５０の端末通信部５１は、自動車１０の保守作業が終了すると、サーバ装置３０のサーバ通信部３１との間でＶＰＮ回線を確立する。なお、端末装置５０の端末通信部５１とサーバ装置３０のサーバ通信部３１との間でステップＳ１０ａにより確立されたＶＰＮ回線が維持されている場合には、引き続き当該ＶＰＮ回線が使用されてもよい。

　ステップＳ２１及びステップＳ２２は、保守方法の例３と同じである。但し、報告データＫｃ（ＶＩＮ、ログ）は、端末装置５０の端末通信部５１とサーバ装置３０のサーバ通信部３１との間で確立されたＶＰＮ回線を介して、端末装置５０からサーバ装置３０に送信される。

　上述した保守方法の例４によれば、上述した保守方法の例１から例３までと同様の効果が得られる。さらに、保守方法の例４によれば、端末装置５０とサーバ装置３０との間でＶＰＮ回線により通信が行われる。このため、端末装置５０とサーバ装置３０との間で交換されるＭＡＣ鍵Ｋａ等のデータの安全性が向上する効果が得られる。

［変形例１］
　上記した保守方法の例１から例４までの変形例１を説明する。変形例１では、同一の作業者認証情報に対してＭＡＣ鍵Ｋａを同時期に発行する自動車１０の台数を一定数に制限する発行数制限機能をサーバ装置３０に設ける。

　同一作業者が端末装置５０により同時期に多数の車両識別番号ＶＩＮをサーバ装置３０に送信して、当該多数の車両識別番号ＶＩＮに対応するＭＡＣ鍵Ｋａを取得することが考えられる。この場合、同一作業者が多数の自動車１０に対して端末装置５０により保守作業を行うことができるが、必要以上の多数の自動車１０の保守作業を同一作業者が行うことは好ましくない場合がある。このため、発行数制限機能をサーバ装置３０に設ける。

　サーバ装置３０の発行数制限機能の一例を説明する。サーバ装置３０のサーバ制御部３７は、各作業者認証情報について、ＭＡＣ鍵Ｋａを発行した対象の車両識別番号ＶＩＮの個数を一定の期間毎に記録する。サーバ制御部３７は、当該記録に基づいて、一の作業者認証情報に対してＭＡＣ鍵Ｋａを同時期に発行した自動車１０（車両識別番号ＶＩＮ）の台数が所定の発行上限値（Ｎ台、Ｎは１以上の整数）に達したか否かを判断する。サーバ制御部３７は、当該判断の結果、発行上限値に達した作業者認証情報に対して当該期間の新規のＭＡＣ鍵Ｋａの発行を停止するように制御を行う。発行上限値は、各作業者認証情報に対して、同じ値であってもよく、又は、異なる値であってもよい。各作業者認証情報に対して任意の発行上限値が作業者情報格納部４０に格納されてもよい。

　また、暗号鍵Ｋｃについても、ＭＡＣ鍵Ｋａと同様に、同一の作業者認証情報に対して暗号鍵Ｋｃを同時期に発行する自動車１０の台数が一定数に制限されてもよい。

［変形例２］
　上記した保守方法の例１から例４までの変形例２を説明する。変形例２では、端末装置５０が保持するＭＡＣ鍵Ｋａを、自動車１０の保守作業の終了により端末装置５０から消去する消去機能を端末装置５０に設ける。

　端末装置５０が自動車１０の保守作業の終了後もＭＡＣ鍵Ｋａを保持し続けることは、当該端末装置５０に対する不正なアクセス等の可能性を考えると好ましくない場合がある。このため、消去機能を端末装置５０に設ける。

　端末装置５０の消去機能の一例を説明する。端末装置５０の端末鍵格納部５２は、サーバ装置３０から受信したＭＡＣ鍵Ｋａを格納する。端末制御部５７は、保守作業終了信号により端末鍵格納部５２からＭＡＣ鍵Ｋａを消去させる。

　保守作業終了信号は、自動車１０の保守作業の終了を示す信号である。保守作業終了信号は、例えば、作業者が端末装置５０により保守作業の終了を示す操作を行ったことを示す信号であってもよい。保守作業終了信号は、例えば、端末装置５０が自動車１０の保守アプリケーションの実行を終了したことを示す信号であってもよい。保守作業終了信号は、例えば、端末装置５０の起動を終了させることを示す信号であってもよい。

　また、サーバ装置３０から受信した暗号化権限情報Ｋｃ（権限情報）を端末装置５０が保持する場合には、端末制御部５７は、保守作業終了信号により当該暗号化権限情報Ｋｃ（権限情報）を消去してもよい。

　なお、端末制御部５７は、端末装置５０と自動車１０の車載装置７０との間のチャレンジ及びレスポンスによる認証処理が完了した時に、ＭＡＣ鍵Ｋａ及び暗号化権限情報Ｋｃ（権限情報）を消去してもよい。又は、端末制御部５７は、サーバ装置３０への次のログインのタイミングで、ＭＡＣ鍵Ｋａ及び暗号化権限情報Ｋｃ（権限情報）を消去してもよい。

［保守方法の例５］
　図９を参照して本実施形態に係る保守方法の例５を説明する。図９は、本実施形態に係る保守方法の例５を示すシーケンスチャートである。

　サーバ装置３０は、サーバ公開鍵証明書Ｋｐと、サーバ秘密鍵Ｋｓとを予めサーバ鍵格納部３２に格納する。端末装置５０は、サーバ公開鍵証明書Ｋｐを予め端末鍵格納部５２に格納する。車載装置７０は、サーバ公開鍵証明書Ｋｐを予め車両鍵格納部７２に格納する。

（ステップＳ１０ａ）端末装置５０の端末通信部５１とサーバ装置３０のサーバ通信部３１とは、ＶＰＮ回線を確立する。これ以降、端末装置５０の端末通信部５１とサーバ装置３０のサーバ通信部３１とは、ＶＰＮ回線を使用して通信を行う。

　ステップＳ１１は保守方法の例１と同じである。ログイン要求メッセージに対する認証が合格である場合、ステップＳ１０ｃが実行される。

（ステップＳ１０ｃ）サーバ装置３０のサーバ通信部３１は、端末装置５０を介して、認証が合格したログイン要求メッセージの車両識別番号ＶＩＮに対応する自動車１０の車載装置７０の車両通信部７１との間で、ＶＰＮ回線を確立する。このサーバ通信部３１と車両通信部７１との間のＶＰＮ回線においては、端末装置５０の端末通信部５１が通信データの中継を行う。これ以降、サーバ装置３０のサーバ通信部３１と自動車１０の車載装置７０の車両通信部７１とは、ＶＰＮ回線を使用して通信を行う。

（ステップＳ３０）自動車１０の車載装置７０の車両制御部７７は、トークンを発行する。車両制御部７７は、車両通信部７１により、当該自動車１０の車両識別番号ＶＩＮと発行したトークンとをサーバ装置３０に送信する。サーバ装置３０のサーバ通信部３１は、自動車１０から車両識別番号ＶＩＮとトークンとを受信する。

（ステップＳ３１）サーバ装置３０のサーバ通信部３１は、認証が合格したログイン要求メッセージの送信元の端末装置５０に、ログイン要求応答メッセージを送信する。このログイン要求応答メッセージは、ログイン結果「合格（ＯＫ）」と、自動車１０から受信したトークンとを含む。さらに、ログイン要求応答メッセージは、トークンの電子署名を含んでもよい。サーバ装置３０は、サーバ鍵格納部３２のサーバ秘密鍵Ｋｓを使用してトークンの電子署名を生成する。

　端末装置５０の端末通信部５１は、サーバ装置３０からログイン要求応答メッセージを受信する。端末制御部５７は、当該ログイン要求応答メッセージのトークンを保持する。

　なお、当該ログイン要求応答メッセージにトークンの電子署名が含まれている場合には、端末装置５０は、端末鍵格納部５２のサーバ公開鍵証明書Ｋｐを使用してトークンの電子署名を検証する。トークンの電子署名の検証が合格である場合には端末制御部５７は当該トークンを保持する。一方、トークンの電子署名の検証が不合格である場合には、端末制御部５７は、当該トークンを破棄する。トークンの電子署名の検証が不合格である場合には、端末制御部５７は、サーバ装置３０に対してトークンの再送信を要求する。

（ステップＳ３２）端末装置５０の端末制御部５７は、自動車１０で実行される保守コマンドの送信を要求する保守コマンド送信要求メッセージを、端末通信部５１によりサーバ装置３０に送信する。当該保守コマンド送信要求メッセージには、端末制御部５７が保持するトークンが含まれる。端末制御部５７が保守コマンド送信要求メッセージによりサーバ装置３０に送信を要求する保守コマンドは、作業者が端末装置５０により指定した保守コマンドであってもよく、又は、保守作業内容として予め設定されていてもよい。

　また、サーバ装置３０は、ウェブ（Ｗｅｂ）ページの提供機能を有し、保守コマンドの選択メニューを有するＷｅｂページを端末装置５０の表示画面上に表示させる制御を行ってもよい。作業者が端末装置５０の表示画面上に表示されたＷｅｂページの保守コマンドの選択メニューから所望の保守コマンドを選択する。これにより、端末制御部５７は、当該選択された保守コマンドの送信を要求する保守コマンド送信要求メッセージを端末通信部５１によりサーバ装置３０に送信する。当該保守コマンド送信要求メッセージには、端末制御部５７が保持するトークンが含められる。

　サーバ装置３０のサーバ通信部３１は、端末装置５０から保守コマンド送信要求メッセージを受信する。

（ステップＳ３３）サーバ装置３０のサーバ制御部３７は、サーバ通信部３１により端末装置５０から受信した保守コマンド送信要求メッセージが示す送信要求対象の保守コマンドと、当該保守コマンド送信要求メッセージのトークンとを、サーバ通信部３１により自動車１０の車載装置７０に送信する。自動車１０の車載装置７０の車両通信部７１は、サーバ装置３０から保守コマンドとトークンとを受信する。

　なお、サーバ装置３０は、保守コマンド及びトークンと、当該保守コマンド及びトークンの電子署名とをサーバ通信部３１により自動車１０の車載装置７０に送信してもよい。
　サーバ装置３０は、サーバ鍵格納部３２のサーバ秘密鍵Ｋｓを使用して保守コマンド及びトークンの電子署名を生成する。車載装置７０は、サーバ装置３０から受信した保守コマンド及びトークンの電子署名を、車両鍵格納部７２のサーバ公開鍵証明書Ｋｐを使用して検証する。保守コマンド及びトークンの電子署名の検証が合格である場合には、車載装置７０は当該保守コマンド及びトークンを保持する。一方、保守コマンド及びトークンの電子署名の検証が不合格である場合には、車載装置７０は当該保守コマンド及びトークンを破棄する。保守コマンド及びトークンの電子署名の検証が不合格である場合には、車載装置７０はサーバ装置３０に対して保守コマンド及びトークンの再送信を要求する。

（ステップＳ３４）自動車１０の車載装置７０の車両制御部７７は、車両通信部７１によりサーバ装置３０から受信したトークンが自己の発行済みのトークンであるか否かを検証する。トークンの検証結果が合格である場合には以降の処理に進む。一方、トークンの検証結果が不合格である場合には図９の処理を終了する。トークンの検証結果が不合格である場合には、車載装置７０は所定のエラー処理を実行してもよい。

　車両制御部７７は、トークンの検証結果が合格した保守コマンドを、該保守コマンドを実行する自動車１０の車載装置に転送する。保守コマンドを実行する自動車１０の車載装置として、例えば、ゲートウェイ装置１６と、ＥＣＵ１８とが挙げられる。なお、端末装置５０から保守コマンドを受信した車載装置７０自身が、当該保守コマンドを実行してもよい。

　車両制御部７７は、保守コマンド転送先の車載装置から保守コマンドの実行結果を受信する。車両制御部７７は、車両通信部７１により、保守コマンドの実行結果を含む保守レスポンスと、当該保守コマンドのトークンとをサーバ装置３０に返信する。

（ステップＳ３５）サーバ装置３０のサーバ制御部３７は、サーバ通信部３１により自動車１０から受信した保守レスポンスに基づいて、保守コマンドの実行結果の閲覧データを生成する。サーバ制御部３７は、保守コマンドの実行結果の閲覧データと、サーバ通信部３１により自動車１０から保守レスポンスと共に受信したトークンとを、サーバ通信部３１によって端末装置５０に送信する。

　端末装置５０は、端末通信部５１により、サーバ装置３０から保守コマンドの実行結果の閲覧データとトークンとを受信する。端末制御部５７は、当該受信したトークンが自己で保持するトークンであるか否かを検証する。トークンの検証結果が合格である場合には以降の処理に進む。一方、トークンの検証結果が不合格である場合には図９の処理を終了する。トークンの検証結果が不合格である場合には、端末装置５０は所定のエラー処理を実行してもよい。

　端末制御部５７は、トークンの検証結果が合格した保守コマンドの実行結果の閲覧データを、端末装置５０の表示画面上に表示させる。これにより、作業者は、保守コマンドの実行結果を表示画面上で確認することができる。

　上述した保守方法の例５によれば、サーバ装置３０は、端末装置５０から受信した作業者認証情報の認証を行い、当該作業者認証情報の認証が合格した端末装置５０に対して、自動車１０の車載装置７０が発行したトークンを送信する。端末装置５０は、サーバ装置３０から受信したトークンを使用して、サーバ装置３０により自動車１０に保守コマンドの送信を行う。自動車１０の車載装置７０は、保守コマンドの送信に使用されたトークンの検証を行う。これにより、サーバ装置３０が作業者認証情報の認証により本人確認を行った正当な作業者が操作する端末装置５０であることを、保守作業の対象の自動車１０の車載装置７０により認証することができる。このことは、自動車１０の保守の作業を行う際の安全性の向上を図る効果を奏する。

　上述したように本実施形態によれば、自動車１０の保守作業に使用される端末装置５０を操作する作業者が正当な者であるのかを認証することができる。これにより、自動車等の車両の保守の作業を行う際の安全性の向上を図ることができるという効果が得られる。

　本実施形態によれば、端末装置５０が保持するＭＡＣ鍵Ｋａ及び暗号鍵Ｋｃが使用できる期間を期間情報により限定することができる。これにより、端末装置５０が不適切に使用されることを防止する効果が得られる。

　本実施形態によれば、サーバ装置３０が格納する各種ログに基づいて、どの作業者がどの自動車１０にどのような保守作業を実施したのかを判断することができるようになる。
これにより、不適切な作業者に対してはＭＡＣ鍵Ｋａを発行しないようにサーバ装置３０に設定することにより、当該不適切な作業者が自動車１０の保守作業を実施することを防止できる。

　本実施形態によれば、各作業者に与えられた自動車１０の保守の権限の範囲内の保守コマンドのみが自動車１０で実行されるようにすることができる。これにより、例えば、自動車１０の安全性に特にかかわるセキュリティ項目の作業が、当該セキュリティ項目の作業の権限を有さない作業者によって実施されることを防止できる。

　以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。

　上述した実施形態では、自動車１０の車載装置７０が保守コマンドを、当該保守コマンドを実行する自動車１０のＥＣＵ１８等の車載装置に転送したが、これに限定されない。例えば、自動車１０のＥＣＵ１８等の保守コマンドを実行する車載装置が端末装置５０から保守コマンドを受信して実行してもよい。この場合、車載装置７０は、端末装置５０及びＥＣＵ１８等の保守コマンドを実行する車載装置に対してトークンを発行し、当該トークンの使用により正当な保守コマンドの実行を制御するようにしてもよい。

　また、作業者の認証方法は、ＩＤ・パスワード認証方法であってもよく、又は、作業者の指紋等の生体情報を使用する生体認証方法であってもよい。

　上述した実施形態は、例えば、自動車の製造工場や整備工場、販売店、保管場所等において、自動車１０に適用してもよい。

　上述した実施形態では、車両として自動車を例に挙げたが、原動機付自転車や鉄道車両等の自動車以外の他の車両にも適用可能である。

　また、上述した各装置の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、ＯＳや周辺機器等のハードウェアを含むものであってもよい。
　また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ＲＯＭ、フラッシュメモリ等の書き込み可能な不揮発性メモリ、ＤＶＤ（Digital Versatile Disc）等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。

　さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ（例えばＤＲＡＭ（Dynamic Random Access Memory））のように、一定時間プログラムを保持しているものも含むものとする。
　また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク（通信網）や電話回線等の通信回線（通信線）のように情報を伝送する機能を有する媒体のことをいう。
　また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。
　さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル（差分プログラム）であっても良い。

１…保守システム、１６…ゲートウェイ装置、１７…車載ネットワーク、１８…ＥＣＵ、３０…サーバ装置、３１…サーバ通信部、３２…サーバ鍵格納部、３３…サーバ鍵生成部、３４…サーバ認証処理部、３５…サーバ暗号処理部、３６…サーバ記録部、３７…サーバ制御部、４０…作業者情報格納部、５０…端末装置、５１…端末通信部、５２…端末鍵格納部、５４…端末認証処理部、５６…端末記録部、５７…端末制御部、７０…車載装置、７１…車両通信部、７２…車両鍵格納部、７３…車両鍵生成部、７４…車両認証処理部、７５…車両暗号処理部、７６…車両記録部、７７…車両制御部

Claims

　サーバ装置と、端末装置と、車両に搭載される車載装置と、を備え、
　前記サーバ装置は、
　前記端末装置から作業者認証情報を受信する作業者認証情報受信部と、
　前記作業者認証情報の認証処理を行うサーバ認証処理部と、
　前記サーバ認証処理部による前記作業者認証情報の認証が合格した前記端末装置に前記車載装置との間で使用される第１鍵を送信するサーバ鍵送信部と、を備え、
　前記端末装置は、
　前記作業者認証情報を前記サーバ装置に送信する作業者認証情報送信部と、
　前記サーバ装置から前記第１鍵を受信する端末鍵受信部と、
　前記第１鍵を使用して前記車載装置との間で認証処理を行う端末認証処理部と、を備え、
　前記車載装置は、前記第１鍵を使用して前記端末装置との間で認証処理を行う車両認証処理部を備える、
　保守システム。
　前記サーバ装置は、
　マスタ鍵を格納するサーバ鍵格納部と、
　前記マスタ鍵と前記作業者認証情報に関連付けられた車両対応識別子とを使用して前記第１鍵を生成するサーバ鍵生成部と、を備え、
　前記車載装置は、
　前記サーバ装置の前記マスタ鍵と同じ前記マスタ鍵を格納する車両鍵格納部と、
　前記車両鍵格納部の前記マスタ鍵と前記車両に対応する前記車両対応識別子とを使用して前記第１鍵を生成する車両鍵生成部と、を備える、
　請求項１に記載の保守システム。
　前記サーバ鍵生成部は、前記作業者認証情報の認証時を基準にした所定期間を示す第１の期間情報をさらに使用して前記第１鍵の生成を行い、
　前記車両鍵生成部は、前記車載装置が前記端末装置から認証要求メッセージを受信した時を基準にした所定期間を示す第２の期間情報をさらに使用して前記第１鍵の生成を行う、
　請求項２に記載の保守システム。
　前記サーバ鍵生成部は、前記サーバ鍵格納部の前記マスタ鍵と前記作業者認証情報に関連付けられた前記車両対応識別子とを使用して第２鍵を生成し、
　前記車両鍵生成部は、前記車両鍵格納部の前記マスタ鍵と前記車両に対応する前記車両対応識別子とを使用して前記第２鍵を生成し、
　前記サーバ装置は、
　前記作業者認証情報の作業者に与えられた前記車両の保守の権限を示す権限情報を、前記サーバ鍵生成部が生成した前記第２鍵を使用して暗号化するサーバ暗号処理部と、
　前記サーバ暗号処理部により前記権限情報が暗号化された暗号化権限情報を、前記端末装置を介して前記車両に送信する権限情報送信部と、を備え、
　前記車載装置は、前記車両鍵生成部が生成した前記第２鍵を使用して前記暗号化権限情報を復号する車両暗号処理部を備える、
　請求項２又は３のいずれか１項に記載の保守システム。
　前記車両に搭載され、前記車載装置のログを記録する車両記録部を備え、
　前記端末装置は、前記車両から前記ログを受信して前記サーバ装置に送信する端末ログ送信部を備え、
　前記サーバ装置は、前記端末装置から受信した前記ログを格納するサーバ記録部を備える、
　請求項１から４のいずれか１項に記載の保守システム。
　前記サーバ装置は、同一の前記作業者認証情報に対して前記第１鍵を同時期に発行する前記車両の台数を一定数に制限するサーバ制御部を備える、
　請求項１から５のいずれか１項に記載の保守システム。
　前記端末装置は、
　前記サーバ装置から受信した前記第１鍵を格納する端末鍵格納部と、
　前記車両の保守作業の終了を示す信号により前記端末鍵格納部から前記第１鍵を消去させる端末制御部と、を備える、
　請求項１から６のいずれか１項に記載の保守システム。
　サーバ装置と、端末装置と、車両に搭載される車載装置と、を備え、
　前記サーバ装置は、
　前記端末装置から作業者認証情報を受信する作業者認証情報受信部と、
　前記作業者認証情報の認証処理を行うサーバ認証処理部と、
　前記サーバ認証処理部による前記作業者認証情報の認証が合格した前記端末装置に、前記車載装置が発行したトークンを送信するトークン送信部と、を備え、
　前記端末装置は、
　前記作業者認証情報を前記サーバ装置に送信する作業者認証情報送信部と、
　前記サーバ装置から前記トークンを受信するトークン受信部と、
　前記トークンを使用して、前記車両に対する保守コマンドの送信を前記サーバ装置によって行う端末制御部と、を備え、
　前記車載装置は、前記トークンを発行し、前記保守コマンドの前記送信に使用された前記トークンの検証を行う車両制御部を備える、
　保守システム。
　サーバ装置と、端末装置と、車両に搭載される車載装置と、を備える保守システムの保守方法であり、
　前記端末装置が、作業者認証情報を前記サーバ装置に送信し、
　前記サーバ装置が、前記端末装置から前記作業者認証情報を受信し、
　前記サーバ装置が、前記作業者認証情報の認証処理を行い、
　前記サーバ装置が、前記認証処理による前記作業者認証情報の認証が合格した前記端末装置に前記車載装置との間で使用される第１鍵を送信し、
　前記端末装置が、前記サーバ装置から前記第１鍵を受信し、
　前記端末装置が、前記第１鍵を使用して前記車載装置との間で認証処理を行い、
　前記車載装置が、前記第１鍵を使用して前記端末装置との間で認証処理を行う、
　保守方法。
　サーバ装置と、端末装置と、車両に搭載される車載装置と、を備える保守システムの保守方法であり、
　前記端末装置が、作業者認証情報を前記サーバ装置に送信し、
　前記サーバ装置が、前記端末装置から前記作業者認証情報を受信し、
　前記サーバ装置が、前記作業者認証情報の認証処理を行い、
　前記車載装置が、前記トークンを発行し、
　前記サーバ装置が、前記認証処理による前記作業者認証情報の認証が合格した前記端末装置に、前記車載装置が発行したトークンを送信し、
　前記端末装置が、前記サーバ装置から前記トークンを受信し、
　前記端末装置が、前記トークンを使用して、前記車両に対する保守コマンドの送信を前記サーバ装置によって行い、
　前記車載装置が、前記保守コマンドの前記送信に使用された前記トークンの検証を行う、
　保守方法。