WO2021039622A1

WO2021039622A1 - 認証方法、認証システム及び認証装置

Info

Publication number: WO2021039622A1
Application number: PCT/JP2020/031591
Authority: WO
Inventors: 良浩氏家; 松島　秀樹; 藤原　睦
Original assignee: パナソニックインテレクチュアルプロパティコーポレーションオブアメリカ
Priority date: 2019-08-30
Filing date: 2020-08-21
Publication date: 2021-03-04
Also published as: JP7490636B2; EP4024244A4; JPWO2021039622A1; US20210349981A1; US11966458B2; CN113348124A; EP4024244A1

Abstract

車両と、車両と通信し、車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける認証方法であって、車両は、車両の正当性を証明するための第一の証明書を保持し、外部装置は、外部装置の正当性を証明するための第二の証明書を保持し、認証方法は、第一の証明書と第二の証明書とを用いた、車両と外部装置との機器認証の結果に基づいて、車両と外部装置との組み合わせの正当性を証明するための第三の証明書を有効化する処理（Ｓ１２０１～Ｓ１２０３）を含む。

Description

認証方法、認証システム及び認証装置

　本開示は、自動運転システムにおける認証方法、認証システム及び認証装置に関する。

　近年、自動車の運転は、これまでの人による運転から、自動運転を採用した運転システムによる運転へのシフトが進んでいる。自動運転を採用した運転システム（以下、自動運転システム）では、各種センサの値からステアリング、ブレーキ及びアクセルなどの操作を全て電子制御ユニット（以下、ＥＣＵ：Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）が行う。これにより、ヒューマンエラーによる交通事故件数の減少、及び、排ガスなどによる環境汚染の抑制などが期待されている。

　一般に、自動運転システムは大きく３つの構成に分割される。３つの構成は、周囲の環境を計測するためのセンサ又は通信などにより、交通状況などの情報を取得する認知部、認知部からの情報に基づいて、最適な走行経路及び走行速度などを決定する判断部、判断部の判断結果に基づいて、アクセル、ブレーキ及びステアリングなどを操作する制御部である。この中で、特に認知部及び判断部に関する技術分野は、より高度な自動運転を実現するため、継続的に研究開発が進められており、技術の進化が著しくなっている。車両の開発は、一般に複数年に亘り、長期化することが避けられないため、認知部及び判断部を別体の外部装置として実現する方法が検討されている。既に自動運転システムを搭載した車両に、更に高度な自動運転システムを実現する部品を搭載した車両とは別体の外部装置を接続することで、常に最新の自動運転システムを実現することが可能となる。

　しかし、自動運転システムの完全な自動化を実現する過程においては、運転者及びＥＣＵによる操舵が混在するケースが存在することが想定されており、その責任の所在については多くの議論がなされている。例えば、非特許文献１では、自動運転レベルを０－５の６段階で規定し、それぞれのレベルに応じて、責任を定義している。

ＳＡＥ－Ｊ３０１６＿２０１８０６：Ｔａｘｏｎｏｍｙ　ａｎｄ　Ｄｅｆｉｎｉｔｉｏｎｓ　ｆｏｒ　Ｔｅｒｍｓ　Ｒｅｌａｔｅｄ　ｔｏ　Ｄｒｉｖｉｎｇ　Ａｕｔｏｍａｔｉｏｎ　Ｓｙｓｔｅｍｓ　ｆｏｒ　Ｏｎ－Ｒｏａｄ　Ｍｏｔｏｒ　Ｖｅｈｉｃｌｅ

　このような自動運転レベルに対応する場合、現在車両がどの自動運転レベルにいるのかが非常に重要となる。しかし、先述の別体の外部装置が存在する自動運転システムでは、外部装置が装着されることで更に高度な自動運転システムが実現されることから、自動運転レベルが、装着される外部装置に応じて変化し得る。すなわち、車両に外部装置が装着された際の自動運転レベルを適切に判断することが必要となる。

　そこで本開示は、上記課題を解決するため、車両に外部装置が装着された際の自動運転システム全体の自動運転レベルを適切に判断することができる認証方法等を提供することを目的とする。

　上記目的を達成するために、本開示の一態様である認証方法は、車両と、前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける認証方法であって、前記車両は、前記車両の正当性を証明するための第一の証明書を保持し、前記外部装置は、前記外部装置の正当性を証明するための第二の証明書を保持し、前記認証方法は、前記第一の証明書と前記第二の証明書とを用いた、前記車両と前記外部装置との機器認証の結果に基づいて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化することを特徴とする。

　本開示によれば、車両に外部装置が装着された際の自動運転システム全体の自動運転レベルを適切に判断することができる。その結果、より安全な自動運転システムを提供することが可能となる。

図１は、実施の形態１における自動運転システムの全体構成の一例を示す図である。図２は、実施の形態１におけるＥＣＵの構成の一例を示す図である。図３は、実施の形態１における自動運転ＥＣＵの構成の一例を示す図である。図４は、実施の形態１における車両側の通信ＥＣＵの構成の一例を示す図である。図５は、公開鍵証明書のフォーマットの一例を示す図である。図６は、実施の形態１における証明書テーブルのフォーマットの一例を示す図である。図７は、実施の形態１における外部装置側の通信ＥＣＵの構成の一例を示す図である。図８は、実施の形態１における車両と外部装置との認証の動作の一例を示すシーケンス図である。図９は、実施の形態１における公開鍵証明書を有効化する動作の一例を示すフローチャートである。図１０は、実施の形態１における公開鍵証明書を無効化する動作の一例を示すフローチャートである。図１１は、実施の形態１の変形例における公開鍵証明書を有効化する動作の一例を示すフローチャートである。図１２は、実施の形態１の変形例における公開鍵証明書を無効化する動作の一例を示すフローチャートである。図１３は、実施の形態２における自動運転システムの全体構成の一例を示す図である。図１４は、実施の形態２における車両側の通信ＥＣＵの構成の一例を示す図である。図１５は、実施の形態２におけるＶ２Ｘ通信ＥＣＵの構成の一例を示す図である。図１６は、実施の形態２におけるサーバの構成の一例を示す図である。図１７は、実施の形態２における証明書テーブルのフォーマットの一例を示す図である。図１８は、実施の形態２における公開鍵証明書を発行する動作の一例を示すシーケンス図である。図１９は、実施の形態２における公開鍵証明書を無効化する動作の一例を示すシーケンス図である。図２０は、実施の形態２の変形例における公開鍵証明書を発行する動作の一例を示すシーケンス図である。図２１は、実施の形態２の変形例における公開鍵証明書を無効化する動作の一例を示すシーケンス図である。図２２は、実施の形態３における自動運転システムの全体構成の一例を示す図である。図２３は、実施の形態３における車両側の通信ＥＣＵの構成の一例を示す図である。図２４は、実施の形態３における外部装置側の通信ＥＣＵの構成の一例を示す図である。図２５は、実施の形態３における公開鍵証明書を発行する動作の一例を示すシーケンス図である。図２６は、実施の形態３における公開鍵証明書を無効化する動作の一例を示すシーケンス図である。図２７は、実施の形態３の変形例における公開鍵証明書を発行する動作の一例を示すシーケンス図である。図２８は、実施の形態３の変形例における公開鍵証明書を無効化する動作の一例を示すシーケンス図である。

　上記課題を解決するために、本開示の一実施態様における認証方法は、車両と、前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける認証方法であって、前記車両は、前記車両の正当性を証明するための第一の証明書を保持し、前記外部装置は、前記外部装置の正当性を証明するための第二の証明書を保持し、前記認証方法は、前記第一の証明書と前記第二の証明書とを用いた、前記車両と前記外部装置との機器認証の結果に基づいて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化することを特徴とする。

　自動運転システムにおける車両に外部装置が装着される場合、車両と外部装置との機器認証が行われ、機器認証が成功した場合、自動運転システムは、機器認証の結果として、自動運転システムに含まれる正当な車両と正当な外部装置との組み合わせを認識することができる。例えば、自動運転システムは、車両と外部装置との組み合わせ毎に第三の証明書を保持しており、各第三の証明書は、組み合わせ毎の自動運転システム全体の自動運転レベルに対応している。したがって、自動運転システムは、認識した組み合わせに対応する第三の証明書を有効化し、有効化した第三の証明書に対応する自動運転レベル、すなわち、車両と外部装置とを組み合わせたときの自動運転システム全体の自動運転レベルを認識することができる。このようにして、車両に外部装置が装着された際の自動運転システム全体の自動運転レベルを適切に判断することが可能となり、システム全体として、安全な状態を維持することができる。

　また、前記認証方法は、さらに、有効化された前記第三の証明書に対応する、前記車両と前記外部装置とを組み合わせたときの前記自動運転システム全体の自動運転レベルに関する情報を出力することを特徴としてもよい。

　これにより、自動運転システム全体の自動運転レベルを車両の乗員又は管理者などに通知したり、自動運転システム全体の自動運転レベルに応じた自動運転をしたりすることが可能となる。

　また、前記第三の証明書の有効化では、前記機器認証の結果として得られる前記車両の車両ＩＤ及び前記外部装置の機器ＩＤの少なくとも一方に対応する前記第三の証明書を有効化することを特徴としてもよい。

　このように、正当な車両の車両ＩＤ又は正当な外部装置の機器ＩＤを取得することで、当該車両ＩＤ又は当該機器ＩＤに対応する第三の証明書を有効化することができる。

　また、前記第三の証明書は、前記車両が製造されるときに発行され、前記車両に予め保持されていることを特徴としてもよい。

　これにより、外部の通信装置などを省略して、車両において素早く証明書の有効化が可能となる。また、特定の車両と特定の外部装置との特定の組み合わせについてのみ予め第三の証明書を発行しておくことで、当該特定の組み合わせ以外の組み合わせに対しては、第三の証明書の有効化を制限することが可能となり、システム全体として、さらに安全な状態を維持することができる。

　また、前記自動運転システムは、さらに、サーバを含み、前記第三の証明書は、前記機器認証が行われるときに前記サーバから前記車両又は前記外部装置へ送付されることを特徴としてもよい。

　これにより、予め発行しておいた証明書を保持するための記憶領域を車両等に設けなくてもよく、記憶領域を節約することが可能となる。また、車両と外部装置との新たな組み合わせについての第三の証明書の追加が容易となる。

　また、前記第三の証明書の有効化では、前記車両の走行状態が特定の条件を満たす場合に、前記第三の証明書を有効化することを特徴としてもよい。

　これにより、車両の走行状態が特定の条件を満たす場合にのみ第三の証明書を有効化することができる。例えば、車両の走行状態が運転者にとって影響ないタイミングに有効化し、利便性を落とさないことが可能となる。

　また、前記特定の条件を満たす前記車両の走行状態は、停車中であることを特徴としてもよい。

　通常、走行中の車両に外部装置が装着されることはないため、走行中において車両に外部装置が装着される、言い換えると、走行中において機器認証が行われるということは、何かしらの異常が発生している可能性がある。したがって、車両が停車中の場合にのみ第三の証明書を有効化することで、異常が発生している可能性がある状態で、第三の証明書が有効化されることを抑制できる。また、車両の走行中に誤って第三の証明書が有効化してしまうなどの誤動作を抑制することが可能となる。

　また、さらに、前記車両及び前記外部装置の状態を監視し、前記状態の変化に応じて、前記第三の証明書を無効化することを特徴としてもよい。

　車両及び外部装置の状態によっては、自動運転レベルを自動運転システム全体のものから車両単独のものに戻したほうがよい場合があるため、車両及び外部装置の状態に応じて第三の証明書を無効化して、適切に自動運転レベルを設定することが可能となる。

　また、前記状態は、前記車両と前記外部装置との間の通信状態であり、前記第三の証明書の無効化では、前記通信状態が異常となった場合に、前記第三の証明書を無効化することを特徴としてもよい。

　車両と外部装置との間で通信異常が発生した場合、車両及び外部装置を含む自動運転システムが正しく機能しないため、自動運転レベルに影響する車両と外部装置との通信状態に応じて第三の証明書を無効化して、適切に自動運転レベルを設定することが可能となる。

　また、前記状態の監視では、前記車両の走行状態が特定の条件を満たす場合に前記状態を監視することを特徴としてもよい。

　これにより、車両の走行状態が変化した際に、第三の証明書の無効化処理の必要性をチェックすることで、運転者の安全性を担保することが可能となる。

　これにより、第三の証明書の無効化処理を車両が停車中の場合に限ることで、処理負荷を軽減する事が可能となる。

　また、本開示の一実施態様における認証システムは、車両と、前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける認証システムであって、前記車両は、前記車両の正当性を証明するための第一の証明書を保持し、前記外部装置は、前記外部装置の正当性を証明するための第二の証明書を保持し、前記認証システムは、前記第一の証明書と前記第二の証明書とを用いた、前記車両と前記外部装置との機器認証の結果に基づいて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化する管理部を備えることを特徴とする。

　これにより、車両に外部装置が装着された際の自動運転システム全体の自動運転レベルを適切に判断することができる認証システムを提供することが可能となる。

　また、本開示の一実施態様における認証装置は、車両と、前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける前記車両が備える認証装置であって、前記認証装置は、前記車両の正当性を証明するための第一の証明書を保持する保持部と、前記外部装置の正当性を証明するための第二の証明書を用いて、前記外部装置を認証する認証部と、前記認証の結果を用いて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化する管理部と、を備えることを特徴とする。

　これにより、車両に外部装置が装着された際の自動運転システム全体の自動運転レベルを適切に判断することができる認証装置を提供することが可能となる。また、車両への不正な外部装置の装着を防止することができ、誤って自動運転レベルを引き上げることなく安全な状態を維持することが可能となる。

　また、本開示の一実施態様における認証装置は、車両と、前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける前記外部装置が備える認証装置であって、前記認証装置は、前記外部装置の正当性を証明するための第二の証明書を保持する保持部と、前記車両の正当性を証明するための第一の証明書を用いて、前記車両を認証する認証部と、前記認証の結果を用いて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化する管理部と、を備えることを特徴とする。

　これにより、車両に外部装置が装着された際の自動運転システム全体の自動運転レベルを適切に判断することができる認証装置を提供することが可能となる。また、外部装置の不正な車両への装着を防止することができ、誤って自動運転レベルを引き上げることなく安全な状態を維持することが可能となる。

　以下、図面を参照しながら、本開示の実施の形態に関わる認証方法等について説明する。なお、以下で説明する実施の形態は、いずれも本開示の好ましい一具体例を示す。つまり、以下の実施の形態で示される数値、構成要素、構成要素の配置及び接続形態、ステップ、並びに、ステップの順序などは、本開示の一例であり、本開示を限定する主旨ではない。本開示は、請求の範囲の記載に基づいて特定される。したがって、以下の実施の形態における構成要素のうち、本開示の最上位概念を示す独立請求項に記載されていない構成要素は、本開示の課題を達成するために必ずしも必要ではないが、より好ましい形態を構成する構成要素として説明される。

　（実施の形態１）
　［１．システムの構成］
　ここでは、本開示の実施の形態として、自動運転システム１０００について図面を参照しながら説明する。

　［１．１　自動運転システム１０００の全体構成］
　図１は、実施の形態１における自動運転システム１０００の全体構成の一例を示す図である。

　自動運転システム１０００は、車両１００１と、それと接続されて動作する外部装置１００２と、によって構成される。

　例えば、車両１００１は、各種車載ネットワークにて接続される、ＥＣＵ１１００ａ、１１００ｂ、１１００ｃ及び１１００ｄと、各ＥＣＵの制御対象であるカメラ１０１０、ブレーキ１０１１、ハンドル１０１２及びアクセル１０１３と、ＥＣＵ１１００ａ～１１００ｄのそれぞれと通信して自動運転に関わる制御を行う自動運転ＥＣＵ１２００と、自動運転ＥＣＵ１２００と車載ネットワークを介して通信する通信ＥＣＵ１３００と、から構成される。

　ＥＣＵ１１００ａ～１１００ｄは、車載ネットワークを通じて、通信メッセージを互いに送受信することで、車両の制御を実現する。車載ネットワークには、Ｅｔｈｅｒｎｅｔ（登録商標）又はＣＡＮ（登録商標）（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）などが使用される。

　自動運転ＥＣＵ１２００は、他のＥＣＵと車載ネットワークを通じて通信を行い、自動運転に必要となる判断と制御指示を行う。

　通信ＥＣＵ１３００は、外部装置１００２と通信を行い、外部装置１００２及び車両１００１内の他のＥＣＵとのメッセージの送受信を実施する。

　外部装置１００２は、車両１００１と通信し、車両１００１が自動走行（例えば、操舵及び加減速指示など）を実施するための１以上の機能を提供する装置である。例えば、外部装置１００２は、ＥＣＵ１１００ｅと、ＥＣＵ１１００ｅの制御対象であるＬｉｄａｒ１０１４と、ＥＣＵ１１００ｅと車載ネットワークを介して通信する通信ＥＣＵ１４００と、から構成される。

　ＥＣＵ１１００ｅは、ＥＣＵ１１００ａなどと同様、車載ネットワークを通じて、通信メッセージをやり取りする。車載ネットワークには、Ｅｔｈｅｒｎｅｔなどが使用される。

　通信ＥＣＵ１４００は、車両１００１と通信を行い、車両１００１及び外部装置１００２内の他のＥＣＵとのメッセージの送受信を実施する。

　［１．２　ＥＣＵ１１００ａの構成図］
　図２は、実施の形態１におけるＥＣＵ１１００ａの構成の一例を示す図である。

　例えば、ＥＣＵ１１００ａは、通信部１１０１と、メッセージ変換部１１０２と、から構成される。なお、ＥＣＵ１１００ｂ、ＥＣＵ１１００ｃ、ＥＣＵ１１００ｄ及びＥＣＵ１１００ｅも同様の構成であるので、ここでは説明を省略する。

　通信部１１０１は、車載ネットワークを通じて、外部のＥＣＵ又は各種センサと通信を行う。通信部１１０１は、受信したメッセージ又はセンサ値をメッセージ変換部１１０２に通知する。また、通信部１１０１は、メッセージ変換部１１０２より通知されたメッセージを他のＥＣＵ又は各種センサに送信する。

　メッセージ変換部１１０２は、通信部１１０１より通知された各種センサのセンサ値を車載ネットワークのフォーマットに基づき変換し、通信部１１０１を介して、他のＥＣＵへ送信する。また、メッセージ変換部１１０２は、通信部１１０１より受信した通信メッセージをセンサ値又は設定情報に変換し、通信部１１０１を介して、各種センサに送信する。

　［１．３　自動運転ＥＣＵ１２００の構成図］
　図３は、実施の形態１における自動運転ＥＣＵ１２００の構成の一例を示す図である。

　例えば、自動運転ＥＣＵ１２００は、通信部１２０１と、判断部１２０２と、自動運転レベル管理部１２０３と、から構成される。

　通信部１２０１は、他のＥＣＵと車載ネットワークを介して通信し、受信メッセージを判断部１２０２及び自動運転レベル管理部１２０３に通知する。また、通信部１２０１は、判断部１２０２から通知されたメッセージを他のＥＣＵへと送信する。

　判断部１２０２は、通信部１２０１から通知された受信メッセージより、各種センサ値を取得し、通信部１２０１を介して必要な制御指示を他のＥＣＵへ送信する。

　自動運転レベル管理部１２０３は、通信部１２０１より通知されたメッセージの中から、現在の証明書の情報を取得することで、現在の自動運転レベルを管理し、判断部１２０２へと通知する。判断部１２０２は、現在の自動運転レベルに応じた動作をすることができる。例えば、現在の自動運転レベルに応じて、使用されるセンサの種類又はデータ量などが変えられてもよい。

　［１．４　車両１００１側の通信ＥＣＵ１３００の構成図］
　図４は、実施の形態１における車両１００１側の通信ＥＣＵ１３００の構成の一例を示す図である。

　例えば、通信ＥＣＵ１３００は、通信部１３０１と、認証処理部１３０２と、認証情報保持部１３０３と、証明書管理部１３０４と、証明書保持部１３０５と、から構成される。通信ＥＣＵ１３００は、自動運転システム１０００における車両１００１が備える認証装置の一例である。

　通信部１３０１は、外部装置１００２との通信を実施する。例えば、通信部１３０１は、外部装置１００２と有線で通信を行う。また、通信部１３０１は、車両１００１内の自動運転ＥＣＵ１２００と、車載ネットワークを介して通信する。また、通信部１３０１は、サーバ等との通信を行ってもよい。通信部１３０１は、外部装置１００２より受けた通信メッセージを、認証処理部１３０２及び証明書管理部１３０４に通知する。また、通信部１３０１は、認証処理部１３０２より通知を受け、外部装置１００２へと通信メッセージを送信する。詳細は後述するが、通信部１３０１は、有効化された第三の証明書に対応する、車両１００１と外部装置１００２とを組み合わせたときの自動運転システム１０００全体の自動運転レベルに関する情報を出力する出力部の一例である。

　認証処理部１３０２は、通信部１３０１を介して外部装置１００２と通信し、外部装置１００２の認証処理を行う。認証処理部１３０２は、外部装置１００２の正当性を証明するための第二の証明書を用いて、外部装置１００２を認証する認証部の一例である。また、認証処理部１３０２は、認証処理に必要となる情報を、認証情報保持部１３０３より取得する。また、認証処理部１３０２は、認証処理の結果を証明書管理部１３０４に通知する。

　認証情報保持部１３０３は、秘密鍵と公開鍵証明書の鍵ペアを保持する。認証情報保持部１３０３は、車両１００１の正当性を証明するための第一の証明書を保持する保持部の一例である。認証情報保持部１３０３が保持する公開鍵証明書は、第一の証明書の一例である。秘密鍵と公開鍵証明書は、車両１００１の出荷時に認証情報保持部１３０３に埋め込まれる。

　図５は公開鍵証明書のフォーマットの一例を示す図である。

　公開鍵証明書は、バージョン、発行者、有効期間の開始と終了、自動運転レベル、証明書ＩＤ及び認証局の署名などから構成される。なお、公開鍵証明書には、自動運転レベルが含まれていなくてもよい。

　証明書保持部１３０５は、公開鍵証明書群と証明書テーブルとを保持する。証明書保持部１３０５が保持する公開鍵証明書は、車両１００１と外部装置１００２との組み合わせの正当性を証明するための第三の証明書の一例である。車両１００１及び外部装置１００２には様々な種類が存在し、証明書保持部１３０５は、車両１００１と外部装置１００２との様々な組み合わせ毎の第三の証明書（すなわち第三の証明書群）を保持する。実施の形態１では、第三の証明書群は、車両１００１が製造されるときに発行され、車両１００１に予め保持されている。例えば、第三の証明書群は、車両１００１の出荷時に証明書保持部１３０５に埋め込まれる。第三の証明書群のそれぞれは、車両１００１に外部装置１００２が装着されたときの自動運転システム１０００全体の自動運転レベルに対応している。

　図６は、実施の形態１における証明書テーブルのフォーマットの一例を示す図である。証明書テーブルにおける各行は、各第三の証明書に対応する。例えば、証明書テーブルの各行は、第三の証明書の証明書ＩＤと、第三の証明書に対応する自動運転レベルと、第三の証明書に対応する機器ＩＤと、第三の証明書の状態と、から構成される。なお、各第三の証明書の状態は、現在の状態に応じて、有効と無効とが書き換えられる。

　証明書管理部１３０４は、認証処理部１３０２の認証の結果を用いて第三の証明書を有効化する管理部の一例である。証明書管理部１３０４は、認証処理部１３０２から通知される認証結果と、証明書保持部１３０５に保持される証明書テーブルを用いて、予め保持していた第三の証明書群のうちから認証結果に応じた第三の証明書を認証情報保持部１３０３へ通知し、認証情報保持部１３０３に保存する。これにより、通知された第三の証明書が認証情報保持部１３０３に登録され、当該第三の証明書が有効化される。また、証明書管理部１３０４は、通信部１３０１からの通信処理結果に基づいて、認証情報保持部１３０３に保存された第三の証明書を削除する。これにより、認証情報保持部１３０３への第三の証明書の登録が解除され、有効化されていた第三の証明書が無効化される。第三の証明書の有効化及び無効化の処理の詳細については後述する。

　［１．５　外部装置１００２側の通信ＥＣＵ１４００の構成図］
　図７は、実施の形態１における外部装置１００２側の通信ＥＣＵ１４００の構成の一例を示す図である。

　通信ＥＣＵ１４００は、通信部１４０１と、認証処理部１４０２と、認証情報保持部１４０３と、から構成される。

　通信部１４０１は、車両１００１との通信を実施する。例えば、通信部１４０１は、車両１００１と有線で通信を行う。また、通信部１４０１は、外部装置１００２内のＥＣＵ１１００ｅと、車載ネットワークを介して通信する。通信部１４０１は、車両１００１より受けた通信メッセージを認証処理部１４０２に通知する。また、通信部１４０１は、認証処理部１４０２より通知を受け、車両１００１へと通信メッセージを送信する。

　認証処理部１４０２は、通信部１４０１を介して車両１００１と通信し、車両１００１の認証処理を行う。認証処理部１４０２は、車両１００１の正当性を証明するための第一の証明書を用いて、車両１００１を認証する認証部の一例である。また、認証処理部１４０２は、認証処理に必要となる情報を、認証情報保持部１４０３より取得する。

　認証情報保持部１４０３は、秘密鍵と公開鍵証明書の鍵ペアを保持する。認証情報保持部１４０３は、外部装置１００２の正当性を証明するための第二の証明書を保持する保持部の一例である。認証情報保持部１４０３が保持する公開鍵証明書は、第二の証明書の一例である。秘密鍵と公開鍵証明書は、外部装置１００２の出荷時に認証情報保持部１４０３に埋め込まれる。公開鍵証明書（第二の証明書）のフォーマットは、例えば図５と同様であるため、ここでは説明を省略する。

　［１．６　認証シーケンスの一例］
　次に、車両１００１に外部装置１００２が装着されたときに、車両１００１側の通信ＥＣＵ１３００と外部装置１００２側の通信ＥＣＵ１４００との間で行われる相互認証について、図８を用いて説明する。

　図８は、実施の形態１における車両１００１と外部装置１００２との認証の動作の一例を示すシーケンス図である。

　外部装置１００２は、車両１００１に対し、接続要求を実施する（Ｓ１１０１）。このとき、外部装置１００２は、外部装置１００２の機器ＩＤ及び公開鍵証明書（すなわち第二の証明書）も合わせて送信する。

　車両１００１は、外部装置１００２から受信した公開鍵証明書の署名を検証する（Ｓ１１０２）。車両１００１は、検証が成功しない場合（Ｓ１１０２でＮ）、外部装置１００２へエラーを通知して処理を終了する。

　車両１００１は、検証が成功した場合（Ｓ１１０２でＹ）、乱数を生成し、生成した乱数を車両１００１の車両ＩＤと公開鍵証明書（すなわち第一の証明書）とともに外部装置１００２へ送信する（Ｓ１１０３）。

　外部装置１００２は、乱数と公開鍵証明書を受信し、車両１００１から受信した公開鍵証明書の署名を検証する（Ｓ１１０４）。外部装置１００２は、検証が成功しない場合（Ｓ１１０４でＮ）、車両１００１へエラーを通知して処理を終了する。

　外部装置１００２は、検証が成功した場合（Ｓ１１０４でＹ）、車両１００１から受信した乱数と外部装置１００２の秘密鍵から署名を生成する（Ｓ１１０５）。

　外部装置１００２は、乱数を生成し、生成した乱数をＳ１１０５で生成した署名とともに車両１００１へ送信する（Ｓ１１０６）。

　車両１００１は、署名と乱数を受信し、Ｓ１１０１で受信した公開鍵証明書を用いて署名の検証を行う（Ｓ１１０７）。車両１００１は、署名の検証が成功しない場合（Ｓ１１０７でＮ）、外部装置１００２へエラーを通知して処理を終了する。

　車両１００１は、署名の検証が成功した場合（Ｓ１１０７でＹ）、Ｓ１１０７で受信した乱数と車両１００１の秘密鍵から署名を生成し、生成した署名を外部装置１００２へ送信する（Ｓ１１０８）。

　外部装置１００２は、署名を受信し、Ｓ１１０４で受信した公開鍵証明書を用いて署名の検証を行う（Ｓ１１０９）。外部装置１００２は、署名の検証が成功しない場合（Ｓ１１０９でＮ）、車両１００１へエラーを通知して処理を終了する。

　Ｓ１１０９で検証が成功した場合、車両１００１は、外部装置１００２の機器ＩＤを接続先として登録し、外部装置１００２は、車両１００１の車両ＩＤを接続先として登録する（Ｓ１１１０）。このように、車両１００１と外部装置１００２との機器認証の結果として、正当な車両１００１の車両ＩＤ及び正当な外部装置１００２の機器ＩＤが得られる。

　なお、機器ＩＤとは、外部装置１００２を識別するための識別子であり、その形式は特に限定されず、例えば、ＭＡＣ（Ｍｅｄｉａ　Ａｃｃｅｓｓ　Ｃｏｎｔｒｏｌ）アドレスなどであってもよいし、各メーカーが個別に設定する識別子であってもよい。また、車両ＩＤとは、車両１００１を識別するための識別子であり、その形式は特に限定されず、例えば、ＭＡＣアドレスなどであってもよいし、各メーカーが個別に設定する識別子であってもよい。

　［１．７　証明書を有効化する際のフローチャートの一例］
　次に、車両１００１内で保持する、自動運転レベルに応じた第三の証明書の有効化について、図９を用いて説明する。

　図９は、実施の形態１における公開鍵証明書（第三の証明書）を有効化する動作の一例を示すフローチャートである。

　証明書管理部１３０４は、登録されている機器ＩＤを取得できるか否かを判定する（Ｓ１２０１）。証明書管理部１３０４は、登録された機器ＩＤが存在しなければ、機器ＩＤを取得できず（Ｓ１２０１でＮ）、エラーとして処理を終了する。ここでは、図８での認証処理が完了し、機器ＩＤが登録されているとする。

　証明書管理部１３０４は、機器ＩＤを取得できた場合（Ｓ１２０１でＹ）、取得した機器ＩＤが、証明書テーブルに存在するかどうかを確認する（Ｓ１２０２）。証明書管理部１３０４は、取得した機器ＩＤが証明書テーブルに存在しない場合（Ｓ１２０２でＮ）、エラーとして処理を終了する。

　証明書管理部１３０４は、取得した機器ＩＤが証明書テーブルに存在する場合、（Ｓ１２０２でＹ、）取得した機器ＩＤに対応する第三の証明書を「有効」に変更する（Ｓ１２０３）。具体的には、証明書管理部１３０４は、取得した機器ＩＤを証明書テーブルに照合して、当該機器ＩＤに対応する行の証明書ＩＤの第三の証明書を認証情報保持部１４０３へ通知し、当該機器ＩＤに対応する行の状態を「有効」に変更する。例えば、機器ＩＤが「ＸＸＸ」の外部装置１００２が車両１００１に装着されて機器認証が完了した場合、証明書管理部１３０４は、機器ＩＤ「ＸＸＸ」を取得し、機器ＩＤ「ＸＸＸ」を証明書テーブルに照合して、図６に示されるように、機器ＩＤ「ＸＸＸ」に対応する行の証明書ＩＤ「１」の第三の証明書を認証情報保持部１４０３へ通知し、機器ＩＤ「ＸＸＸ」に対応する行の状態を「有効」に変更する。

　このように、車両１００１と外部装置１００２との機器認証の結果として得られる車両１００１の車両ＩＤ及び外部装置１００２の機器ＩＤの少なくとも一方に対応する第三の証明書が有効化される。ここでは、車両１００１において第三の証明書が有効化され、車両１００１自身の車両ＩＤは固定であるため、外部装置１００２の機器ＩＤに対応する第三の証明書が有効化される。

　そして、通信部１３０１は、有効化された第三の証明書に対応する、自動運転システム１０００全体の自動運転レベルに関する情報を出力する（Ｓ１２０４）。自動運転システム１０００全体の自動運転レベルは、車両１００１と外部装置１００２とを組み合わせたときの自動運転システム１０００の自動運転レベルである。自動運転システム１０００全体の自動運転レベルに関する情報は、車両１００１又は車両１００１を監視する監視室等に設けられたディスプレイに自動運転レベルを表示したり、手動運転が不要であることを表示したりするための情報であってもよい。また、自動運転システム１０００全体の自動運転レベルに関する情報は、自動運転ＥＣＵ１２００に自動運転システム１０００全体の自動運転レベルに応じた自動運転をさせるための情報であってもよい。

　［１．８　証明書を無効化する際のフローチャートの一例］
　次に、車両１００１内で保持する、自動運転レベルに応じた第三の証明書の無効化について、図１０を用いて説明する。

　図１０は、実施の形態１における公開鍵証明書（第三の証明書）を無効化する動作の一例を示すフローチャートである。

　証明書管理部１３０４は、通信部１３０１を介して車両１００１と外部装置１００２との通信状態を監視する（Ｓ１３０１）。

　証明書管理部１３０４は、車両１００１と外部装置１００２との通信状態に異常が発生しているか否かを判定する（Ｓ１３０２）。証明書管理部１３０４は、通信異常が発生していない場合は（Ｓ１３０２でＮ）、処理を終了する。

　証明書管理部１３０４は、通信異常が発生している場合は（Ｓ１３０２でＹ）、エラーカウンタをインクリメントする（Ｓ１３０３）。

　証明書管理部１３０４は、エラーカウンタが閾値以上かどうかを判定する（Ｓ１３０４）。エラーカウンタが閾値未満である場合は（Ｓ１３０４でＮ）、Ｓ１３０２へ戻る。閾値は、特に限定されず、適宜設定されてもよい。

　証明書管理部１３０４は、エラーカウンタが閾値以上である場合は（Ｓ１３０４でＹ）、有効化された第三の証明書を無効化する（Ｓ１３０５）。つまり、証明書管理部１３０４は、一定時間以上、車両１００１と外部装置１００２との通信異常が続いている場合に、有効化された第三の証明書を無効化する。例えば、証明書管理部１３０４は、認証情報保持部１３０３に保存されていた第三の証明書を削除することで、当該第三の証明書を無効化する。また、その際に、証明書管理部１３０４は、証明書テーブルにおける当該第三の証明書の状態を「無効」に変更する。

　証明書管理部１３０４は、エラーカウンタをリセットする（Ｓ１３０６）。

　証明書管理部１３０４は、接続先の機器ＩＤを削除する（Ｓ１３０７）。

　このように、証明書管理部１３０４は、車両１００１及び外部装置１００２の状態を監視し、当該状態の変化に応じて、第三の証明書を無効化する。具体的には、車両１００１及び外部装置１００２の状態は、車両１００１と外部装置１００２との間の通信状態であり、証明書管理部１３０４は、通信状態が異常となった場合に、第三の証明書を無効化する。

　［１．９　実施の形態１の効果］
　実施の形態１で示した自動運転システム１０００では、車両１００１の第一の証明書及び外部装置１００２の第二の証明書とは別に、予め第三の証明書をインストールしておき、車両１００１と外部装置１００２との通信結果に基づいて、第三の証明書の有効及び無効を切り替えることで、車両１００１と外部装置１００２とが一体となって動作する際の適切な自動運転レベルを判断でき、安全性を担保することが可能となる。

　（実施の形態１の変形例）
　実施の形態１で示した自動運転システム１０００では、第三の証明書の有効化又は無効化をいつでも行うことが可能であるが、走行状態に応じて有効化又は無効化するタイミングが制御されてもよい。これについて、実施の形態１の変形例として説明する。なお、実施の形態１と同様の点については説明を省略する。

　［１．１０　証明書を有効化する際のフローチャートの一例］
　図１１は、実施の形態１の変形例における公開鍵証明書（第三の証明書）を有効化する動作の一例を示すフローチャートである。実施の形態１の変形例では、車両１００１の走行状態が特定の条件を満たす場合に、第三の証明書が有効化される。なお、実施の形態１と同様のステップは、同一の番号を付与し、説明は省略する。

　例えば、特定の条件を満たす車両１００１の走行状態は、停車中であり、証明書管理部１３０４は、第三の証明書を有効化する前に、車両１００１の走行状態が停車中であるか否かを判定する（Ｓ１２０５）。証明書管理部１３０４は、車両１００１が停車中でない場合（Ｓ１２０５でＮ）、第三の証明書の有効化処理を中断して終了し、車両１００１が停車中である場合には（Ｓ１２０５でＹ）、第三の証明書を有効化する（Ｓ１２０３）。

　［１．１１　証明書を無効化する際のフローチャートの一例］
　図１２は、実施の形態１の変形例における公開鍵証明書（第三の証明書）を無効化する動作の一例を示すフローチャートである。実施の形態１の変形例では、車両１００１の走行状態が特定の条件を満たす場合に、車両１００１及び外部装置１００２の状態（例えば車両１００１と外部装置１００２との通信状態）が監視され、通信状態に応じて第三の証明書が無効化される。なお、実施の形態１と同様のステップは、同一の番号を付与し、説明は省略する。

　証明書管理部１３０４は、車両１００１の走行状態が停車中であるか否かを判定する（Ｓ１３０８）。証明書管理部１３０４は、車両１００１が停車中でない場合（Ｓ１３０８でＮ）、第三の証明書の無効化処理を中断して終了し、車両１００１が停車中である場合には（Ｓ１３０８でＹ）、通信状態を監視し（Ｓ１３０１）、無効化処理を継続する。

　［１．１２　実施の形態１の変形例の効果］
　実施の形態１の変形例で示した自動運転システム１０００では、車両１００１の第一の証明書及び外部装置１００２の第二の証明書とは別に予め第三の証明書をインストールしておき、車両１００１と外部装置１００２との通信結果に加えて車両１００１の走行状態に基づいて、第三の証明書の有効及び無効を切り替えることで、車両１００１と外部装置１００２が一体となって動作する際の適切な自動運転レベルを判断でき、安全性を担保することが可能となる。

　なお、車両１００１の通信ＥＣＵ１３００が有する機能を、外部装置１００２が有していてもよい。すなわち、第三の証明書群が外部装置１００２に予めインストールされていてもよく、外部装置１００２によって第三の証明書の有効及び無効が切り替えられてもよい。この場合、外部装置１００２において第三の証明書が有効化され、外部装置１００２自身の機器ＩＤは固定であるため、車両１００１の車両ＩＤに対応する第三の証明書が有効化される。なお、この場合にも、同様の効果が奏される。

　（実施の形態２）
　［２．システムの構成］
　次に、本開示の実施の形態２として、自動運転システム２０００について図面を参照しながら説明する。

　［２．１　自動運転システム２０００の全体構成］
　図１３は、実施の形態２における自動運転システム２０００の全体構成の一例を示す図である。

　自動運転システム２０００は、車両２００１と、それと接続されて動作する外部装置１００２と、車両２００１とＶ２Ｘ通信するサーバ２６００と、によって構成される。

　なお、実施の形態１と同一の構成要素は、同一の番号を付与し、説明を省略する。

　例えば、車両２００１は、各種車載ネットワークにて接続される、ＥＣＵ１１００ａ、１１００ｂ、１１００ｃ及び１１００ｄと、各ＥＣＵの制御対象であるカメラ１０１０、ブレーキ１０１１、ハンドル１０１２及びアクセル１０１３と、ＥＣＵ１１００ａ～１１００ｄのそれぞれと通信して自動運転に関わる制御を行う自動運転ＥＣＵ１２００と、車載ネットワークを介して自動運転ＥＣＵ１２００及びＶ２Ｘ通信ＥＣＵ２５００と通信する通信ＥＣＵ２３００と、サーバ２６００とＶ２Ｘ通信するＶ２Ｘ通信ＥＣＵ２５００と、から構成される。

　通信ＥＣＵ２３００は、外部装置１００２と通信を行い、外部装置１００２及び車両２００１内の他のＥＣＵとのメッセージの送受信を実施する。また、通信ＥＣＵ２３００は、Ｖ２Ｘ通信ＥＣＵ２５００を介して、サーバ２６００と通信を行い、車両２００１に外部装置１００２が装着された際の新たな自動運転レベルに対応した公開鍵証明書（第三の証明書）の有効化に必要となるメッセージの送受信を行う。

　Ｖ２Ｘ通信ＥＣＵ２５００は、サーバ２６００と通信を行い、サーバ２６００と、車両２００１内の通信ＥＣＵ２３００とのメッセージの送受信を実施する。

　サーバ２６００は、車両２００１と通信を行い、車両２００１と外部装置１００２との認証結果に応じて、車両２００１に外部装置１００２が装着された際の新たな自動運転レベルに対応した公開鍵証明書（第三の証明書）を発行する。

　［２．２　車両２００１側の通信ＥＣＵ２３００の構成図］
　図１４は、実施の形態２における車両２００１側の通信ＥＣＵ２３００の構成の一例を示す図である。

　例えば、通信ＥＣＵ２３００は、通信部２３０１と、認証処理部１３０２と、認証情報保持部１３０３と、証明書管理部２３０４と、から構成される。通信ＥＣＵ２３００は、自動運転システム２０００における車両２００１が備える認証装置の一例である。なお、実施の形態１と同様の構成は同一の番号を付与し、以降の説明を省略する。

　通信部２３０１は、外部装置１００２との通信を実施する。例えば、通信部２３０１は、外部装置１００２と有線で通信を行う。また、通信部２３０１は、車両２００１内の自動運転ＥＣＵ１２００及びＶ２Ｘ通信ＥＣＵ２５００と、車載ネットワークを介して通信する。通信部２３０１は、外部装置１００２及びサーバ２６００より受けた通信メッセージを、認証処理部１３０２と証明書管理部２３０４とに通知する。また、通信部２３０１は、認証処理部１３０２及び証明書管理部２３０４より通知を受け、外部装置１００２及びサーバ２６００へと通信メッセージを送信する。

　証明書管理部２３０４は、認証処理部１３０２の認証の結果を用いて、第三の証明書を有効化する管理部の一例である。証明書管理部２３０４は、認証処理部１３０２から通知される認証結果を用いてサーバ２６００において発行された新たな自動運転レベルに対応した公開鍵証明書（第三の証明書）を通信部２３０１経由でサーバ２６００から取得し、認証情報保持部１３０３に保存する。これにより、第三の証明書が認証情報保持部１３０３に登録され、車両２００１側において当該第三の証明書が有効化される。また、証明書管理部２３０４は、通信部２３０１からの通信処理結果に基づいて、認証情報保持部１３０３の第三の証明書を削除する。これにより、認証情報保持部１３０３への第三の証明書の登録が解除され、車両２００１側において有効化されていた第三の証明書が無効化される。

　［２．３　Ｖ２Ｘ通信ＥＣＵ２５００の構成図］
　図１５は、実施の形態２におけるＶ２Ｘ通信ＥＣＵ２５００の構成の一例を示す図である。Ｖ２Ｘ通信ＥＣＵ２５００は、通信部２５０１と、メッセージ変換部２５０２と、から構成される。

　通信部２５０１は、車載ネットワークを通じて、通信ＥＣＵ２３００と通信を行う。また、通信部２５０１は、Ｖ２Ｘ通信を通じて、サーバ２６００と無線で通信を行う。通信部２５０１は、受信したメッセージをメッセージ変換部２５０２に通知する。また、通信部２５０１は、メッセージ変換部２５０２より通知されたメッセージを通信ＥＣＵ２３００又はサーバ２６００に送信する。

　メッセージ変換部２５０２は、通信部２５０１を介してサーバ２６００から受信したメッセージを車載ネットワークのフォーマットに基づき変換し、通信部２５０１を介して、通信ＥＣＵ２３００へ送信する。また、メッセージ変換部２５０２は、通信部２５０１を介して通信ＥＣＵ２３００から受信した通信メッセージを、通信部２５０１を介して、サーバ２６００に送信する。

　［２．４　サーバ２６００の構成図］
　図１６は、実施の形態２におけるサーバ２６００の構成の一例を示す図である。

　サーバ２６００は、通信部２６０１と、認証処理部２６０２と、認証情報保持部２６０３と、証明書管理部２６０４と、証明書保持部２６０５と、から構成される。サーバ２６００は、自動運転システム２０００における認証システムの一例である。

　通信部２６０１は、車両２００１とＶ２Ｘ通信を実施する。また、通信部２６０１は、車両２００１より受けた公開鍵証明書（第一の証明書及び第二の証明書）を、認証処理部２６０２と証明書管理部２６０４とに通知する。また、通信部２６０１は、認証処理部２６０２及び証明書管理部２６０４より通知を受け、車両２００１へと通信メッセージを送信する。通信部２６０１は、有効化された第三の証明書に対応する、車両２００１と外部装置１００２とを組み合わせたときの自動運転システム２０００全体の自動運転レベルに関する情報を出力する出力部の一例である。

　認証処理部２６０２は、通信部２６０１を介して、車両２００１と通信し、車両２００１より通知される公開鍵証明書（第一の証明書及び第二の証明書）の署名検証処理を行う。また、認証処理部２６０２は、署名検証処理に必要となる情報を、認証情報保持部２６０３より取得する。また、認証処理部２６０２は、署名検証処理の結果を証明書管理部２６０４に通知する。

　認証情報保持部２６０３は、認証局の秘密鍵と公開鍵証明書の鍵ペアを保持する。公開鍵証明書の構成の一例は、図５と同様のため、ここでは説明を省略する。

　証明書保持部２６０５は、証明書テーブルを保持する。

　図１７は、実施の形態２における証明書テーブルのフォーマットの一例を示す図である。証明書テーブルにおける各行は、各第三の証明書に対応する。例えば、証明書テーブルの各行は、第三の証明書の証明書ＩＤと、第三の証明書が該当する自動運転レベルと、第三の証明書に対応する車両ＩＤ及び機器ＩＤの組み合わせと、第三の証明書の状態と、から構成される。なお、各第三の証明書の状態は、現在の状態に応じて、有効と無効とが書き換えられる。

　証明書管理部２６０４は、第一の証明書と第二の証明書とを用いた、車両２００１と外部装置１００２との機器認証の結果に基づいて、第三の証明書を有効化する管理部の一例である。証明書管理部２６０４は、認証処理部２６０２から通知される認証結果と、証明書保持部２６０５に保持される証明書テーブルを用いて、車両２００１と外部装置１００２との組み合わせの正当性を証明するための第三の証明書を新たに発行し、通信部２６０１を介して車両２００１へ通知して、認証情報保持部２６０３に保存する。これにより、通知された第三の証明書が認証情報保持部２６０３に登録され、サーバ２６００側において当該第三の証明書が有効化される。また、証明書管理部２６０４は、通信部２３０１からの無効化指示に基づいて、認証情報保持部２６０３に保存された第三の証明書を削除する。これにより、認証情報保持部２６０３への第三の証明書の登録が解除され、サーバ２６００側において有効化されていた第三の証明書が無効化される。

　［２．５　証明書を発行する際のシーケンスの一例］
　次に、車両２００１と外部装置１００２との相互認証の後に行われる、サーバ２６００による自動運転レベルに応じた第三の証明書の発行について、図１８を用いて説明する。サーバ２６００によって発行された第三の証明書は、車両２００１内で保持されて有効化される。

　図１８は、実施の形態２における公開鍵証明書（第三の証明書）を発行する動作の一例を示すシーケンス図である。

　車両２００１は、登録されている機器ＩＤを取得できるか否かを判定する（Ｓ２２０１）。車両２００１は、登録されている機器ＩＤがなければ、機器ＩＤを取得できず（Ｓ２２０１でＮ）、認証処理が完了していないということなので、処理を終了する。ここでは、図８での認証処理が完了し、機器ＩＤが登録されているとする。

　車両２００１は、外部装置１００２の機器ＩＤを取得できた場合（Ｓ２２０１でＹ）、取得した機器ＩＤを、車両２００１の車両ＩＤと、車両２００１の公開鍵証明書（第一の証明書）と、外部装置１００２の公開鍵証明書（第二の証明書）と共に、サーバ２６００へ送信する。

　サーバ２６００は、外部装置１００２の機器ＩＤ、車両２００１の車両ＩＤ及び２種類の公開鍵証明書を受信し、受信した２種類の公開鍵証明書の署名を検証する（Ｓ２２０２）。サーバ２６００は、検証が成功しない場合（Ｓ２２０２でＮ）、車両２００１へエラーを通知して処理を終了する。

　サーバ２６００は、検証が成功した場合（Ｓ２２０２でＹ）、Ｓ２２０２にて受信した機器ＩＤと車両ＩＤとの組み合わせが、証明書テーブルに存在するかどうかを確認する（Ｓ２２０３）。サーバ２６００は、受信した機器ＩＤと車両ＩＤとの組み合わせが証明書テーブルに存在しない場合（Ｓ２２０３でＮ）、車両２００１へその旨を通知して、エラーとして処理を終了する。

　サーバ２６００は、受信した機器ＩＤと車両ＩＤとの組み合わせが証明書テーブルに存在する場合（Ｓ２２０３でＹ）、取得した組み合わせに対応する第三の証明書を発行し、車両２００１に送信する（Ｓ２２０４）。具体的には、サーバ２６００の証明書管理部２６０４は、取得した機器ＩＤ及び車両ＩＤの組み合わせを証明書テーブルに照合して、当該組み合わせに対応する行の証明書ＩＤの第三の証明書を認証情報保持部２６０３へ通知し、当該組み合わせに対応する行の状態を「有効」に変更する。例えば、機器ＩＤが「ＸＸＸ」の外部装置１００２が、車両ＩＤが「ＡＡＡ」の車両２００１に装着されて機器認証が完了した場合、証明書管理部２６０４は、機器ＩＤ「ＸＸＸ」及び車両ＩＤ「ＡＡＡ」を取得し、機器ＩＤ「ＸＸＸ」及び車両ＩＤ「ＡＡＡ」の組み合わせを証明書テーブルに照合して、図１７に示されるように、機器ＩＤ「ＸＸＸ」及び車両ＩＤ「ＡＡＡ」に対応する行の証明書ＩＤ「１」の第三の証明書を認証情報保持部２６０３へ通知し、機器ＩＤ「ＸＸＸ」及び車両ＩＤ「ＡＡＡ」に対応する行の状態を「有効」に変更する。このように、車両２００１と外部装置１００２との機器認証の結果として得られる車両２００１の車両ＩＤ及び外部装置１００２の機器ＩＤに対応する第三の証明書が有効化される。そして、サーバ２６００側において有効化された第三の証明書が車両２００１に送信される。

　車両２００１は、サーバ２６００によって発行された第三の証明書を保存する（Ｓ２２０５）。例えば、車両２００１の通信ＥＣＵ２３００における認証情報保持部１３０３に第三の証明書が保存され、これにより、車両２００１側においても当該第三の証明書が有効化される。

　また、図示していないが、サーバ２６００は、有効化された第三の証明書に対応する、車両２００１と外部装置１００２とを組み合わせたときの自動運転システム２０００全体の自動運転レベルに関する情報を出力する。なお、車両２００１（例えば通信部２３０１）が、有効化された第三の証明書に対応する、車両２００１と外部装置１００２とを組み合わせたときの自動運転システム２０００全体の自動運転レベルに関する情報を出力してもよい。

　［２．６　証明書を無効化する際のシーケンスの一例］
　次に、車両２００１とサーバ２６００とで保持する、自動運転レベルに応じた第三の証明書の無効化について、図１９を用いて説明する。なお、実施の形態１と同様のステップには同一の番号を付与し、説明は省略する。

　図１９は、実施の形態２における公開鍵証明書（第三の証明書）を無効化する動作の一例を示すシーケンス図である。

　車両２００１は、エラーカウンタが閾値以上かどうかを判定し（Ｓ２３０４）、エラーカウンタが閾値以上である場合は（Ｓ２３０４でＹ）、発行された公開鍵証明書（第三の証明書）をサーバ２６００へ通知することで、当該第三の証明書をサーバ２６００において無効化させるための無効化指示を行う。エラーカウンタが閾値を超えていない場合は（Ｓ２３０４でＮ）、Ｓ１３０２へ戻る。

　エラーカウンタが閾値以上である場合は（Ｓ２３０４でＹ）、車両２００１及びサーバ２６００は、それぞれが保持する当該第三の証明書を無効化する（Ｓ２３０５）。例えば、車両２００１の通信ＥＣＵ２３００における証明書管理部２３０４は、認証情報保持部１３０３に保存されていた第三の証明書を削除することで、当該第三の証明書を無効化する。また、サーバ２６００の証明書管理部２６０４は、認証情報保持部２６０３に保存されていた第三の証明書を削除することで、当該第三の証明書を無効化する。また、証明書管理部２６０４は、証明書テーブルにおける当該第三の証明書の状態を「無効」に変更する。

　以上のように、実施の形態２では、自動運転システム２０００は、サーバ２６００を含み、第三の証明書は、機器認証が行われるときにサーバ２６００から車両２００１へ送付される。

　［２．７　実施の形態２の効果］
　実施の形態２で示した自動運転システム２０００では、車両２００１の第一の証明書及び外部装置１００２の第二の証明書とは別の第三の証明書が、サーバ２６００により発行され、発行された第三の証明書が車両２００１内で管理される。そして、車両２００１と外部装置１００２との通信結果に基づいて、第三の証明書の有効及び無効を切り替えることで、車両２００１と外部装置１００２とが一体となって動作する際の適切な自動運転レベルを判断でき、安全性を担保することが可能となる。

　（実施の形態２の変形例）
　実施の形態２で示した自動運転システム２０００では、第三の証明書の有効化又は無効化をいつでも行うことが可能であるが、車両２００１の走行状態に応じて有効化又は無効化するタイミングが制御されてもよい。これについて、実施の形態２の変形例として説明する。なお、実施の形態２と同様の点については説明を省略する。

　［２．８　証明書を発行する際のシーケンスの一例］
　図２０は、実施の形態２の変形例における公開鍵証明書（第三の証明書）を発行する動作の一例を示すシーケンス図である。実施の形態２の変形例では、車両２００１の走行状態が特定の条件を満たす場合に、第三の証明書が発行される。なお、実施の形態２と同様のステップは、同一の番号を付与し、説明は省略する。

　例えば、特定の条件を満たす車両２００１の走行状態は、停車中であり、車両２００１は、第三の証明書を有効化する処理を開始する前に、車両２００１の走行状態が停車中であるか否かを判定する（Ｓ２２０６）。車両２００１は、停車中でない場合（Ｓ２２０６でＮ）、第三の証明書を有効化するための処理を開始せず、処理を終了する。車両２００１は、停車中である場合に（Ｓ２２０６でＹ）、第三の証明書を有効化するための処理を開始する。

　［２．９　証明書を無効化する際のシーケンスの一例］
　図２１は、実施の形態２の変形例における公開鍵証明書（第三の証明書）を無効化する動作の一例を示すシーケンス図である。実施の形態２の変形例では、車両２００１の走行状態が特定の条件を満たす場合に、車両２００１及び外部装置１００２の状態（例えば通信状態）が監視され、通信状態に応じて第三の証明書が無効化される。なお、実施の形態１及び２と同様のステップは、同一の番号を付与し、説明は省略する。

　車両２００１は、車両２００１の走行状態が停車中であるか否かを判定する（Ｓ２３０８）。車両２００１は、停車中でない場合（Ｓ２３０８でＮ）、第三の証明書の無効化処理を中断して終了し、車両２００１が停車中である場合には（Ｓ２３０８でＹ）、通信状態を監視し（Ｓ１３０１）、無効化処理を継続する。

　［２．１０　実施の形態２の変形例の効果］
　実施の形態２で示した自動運転システム２０００では、車両２００１の第一の証明書及び外部装置１００２の第二の証明書とは別の第三の証明書が、サーバ２６００により発行され、発行された第三の証明書が車両２００１内で管理される。そして、車両２００１と外部装置１００２との通信結果に加えて車両２００１の走行状態に基づいて、第三の証明書の有効及び無効を切り替えることで、車両２００１と外部装置１００２とが一体となって動作する際の適切な自動運転レベルを判断でき、安全性を担保することが可能となる。

　（実施の形態３）
　［３．システムの構成］
　次に、本開示の実施の形態３として、自動運転システム３０００について図面を参照しながら説明する。

　［３．１　自動運転システム３０００の全体構成］
　図２２は、実施の形態３における自動運転システム３０００の全体構成の一例を示す図である。

　自動運転システム３０００は、車両３００１と、それと接続されて動作する外部装置３００２と、外部装置３００２とＶ２Ｘ通信するサーバ２６００と、によって構成される。

　なお、実施の形態１及び２と同一の構成要素は、同一の番号を付与し、説明を省略する。

　例えば、車両３００１は、各種車載ネットワークにて接続される、ＥＣＵ１１００ａ、１１００ｂ、１１００ｃ及び１１００ｄと、各ＥＣＵの制御対象であるカメラ１０１０、ブレーキ１０１１、ハンドル１０１２及びアクセル１０１３と、ＥＣＵ１１００ａ～１１００ｄのそれぞれと通信して自動運転に関わる制御を行う自動運転ＥＣＵ１２００と、車載ネットワークを介して自動運転ＥＣＵ１２００と通信する通信ＥＣＵ３３００と、から構成される。

　通信ＥＣＵ３３００は、外部装置３００２と通信を行い、外部装置３００２及び車両３００１内の他のＥＣＵとのメッセージの送受信を実施する。

　例えば、外部装置３００２は、ＥＣＵ１１００ｅと、ＥＣＵ１１００ｅの制御対象であるＬｉｄａｒ１０１４と、車載ネットワークを介してＥＣＵ１１００ｅ及びＶ２Ｘ通信ＥＣＵ２５００と通信する通信ＥＣＵ３４００と、サーバ２６００とＶ２Ｘ通信するＶ２Ｘ通信ＥＣＵ２５００と、から構成される。

　通信ＥＣＵ３４００は、車両３００１と通信を行い、車両３００１及び外部装置３００２内の他のＥＣＵとのメッセージの送受信を実施する。また、通信ＥＣＵ３４００は、Ｖ２Ｘ通信ＥＣＵ２５００を介して、サーバ２６００と通信を行い、車両３００１に外部装置３００２が装着された際の新たな自動運転レベルに対応した公開鍵証明書（第三の証明書）の有効化に必要となるメッセージの送受信を行う。

　［３．２　車両３００１側の通信ＥＣＵ３３００の構成図］
　図２３は、実施の形態３における車両３００１側の通信ＥＣＵ３３００の構成の一例を示す図である。

　例えば、通信ＥＣＵ３３００は、通信部３３０１と、認証処理部３３０２と、認証情報保持部１３０３と、から構成される。なお、実施の形態１と同様の構成は同一の番号を付与し、以降の説明を省略する。

　通信部３３０１は、外部装置３００２との通信を実施する。例えば、通信部３３０１は、外部装置３００２と有線で通信を行う。また、通信部３３０１は、車両３００１内の自動運転ＥＣＵ１２００と、車載ネットワークを介して通信する。通信部３３０１は、外部装置３００２より受けた通信メッセージを認証処理部３３０２に通知する。また、通信部３３０１は、認証処理部３３０２より通知を受け、外部装置３００２へと通信メッセージを送信する。

　認証処理部３３０２は、通信部３３０１を介して外部装置３００２と通信し、外部装置３００２の認証処理を行う。また、認証処理部３３０２は、認証処理に必要となる情報を、認証情報保持部１３０３より取得する。

　［３．３　外部装置３００２側の通信ＥＣＵ３４００の構成図］
　図２４は、実施の形態３における外部装置３００２側の通信ＥＣＵ３４００の構成の一例を示す図である。

　通信ＥＣＵ３４００は、通信部３４０１と、認証処理部３４０２と、認証情報保持部１４０３と、証明書管理部３４０４と、から構成される。通信ＥＣＵ３４００は、自動運転システム３０００における外部装置３００２が備える認証装置の一例である。なお、実施の形態１と同様の構成は同一の番号を付与し、以降の説明を省略する。

　通信部３４０１は、車両３００１との通信を実施する。例えば、通信部３４０１は、車両３００１と有線で通信を行う。また、通信部３４０１は、外部装置３００２内のＥＣＵ１１００ｅ及びＶ２Ｘ通信ＥＣＵ２５００と、車載ネットワークを介して通信する。通信部３４０１は、車両３００１及びサーバ２６００より受けた通信メッセージを、認証処理部３４０２及び証明書管理部３４０４に通知する。また、通信部３４０１は、認証処理部３４０２及び証明書管理部３４０４より通知を受け、車両３００１及びサーバ２６００へと通信メッセージを送信する。

　認証処理部３４０２は、通信部３４０１を介して車両３００１と通信し、車両３００１の認証処理を行う。認証処理部３４０２は、車両３００１の正当性を証明するための第一の証明書を用いて、車両３００１を認証する認証部の一例である。また、認証処理部３４０２は、認証処理に必要となる情報を、認証情報保持部１４０３より取得する。また、認証処理部３４０２は、認証処理の結果を証明書管理部３４０４に通知する。

　証明書管理部３４０４は、認証処理部３４０２の認証の結果を用いて、第三の証明書を有効化する管理部の一例である。証明書管理部３４０４は、認証処理部３４０２から通知される認証結果を用いて、サーバ２６００において発行された新たな自動運転レベルに対応した公開鍵証明書（第三の証明書）を通信部３４０１経由でサーバ２６００から取得し、認証情報保持部１４０３に保存する。これにより、第三の証明書が認証情報保持部１４０３に登録され、外部装置３００２側において当該第三の証明書が有効化される。また、証明書管理部３４０４は、通信部３４０１からの通信処理結果に基づいて、認証情報保持部１４０３の第三の証明書を削除する。これにより、認証情報保持部１４０３への第三の証明書の登録が解除され、外部装置３００２側において有効化されていた第三の証明書が無効化される。

　［３．４　証明書を発行する際のシーケンスの一例］
　次に、車両３００１と外部装置３００２との相互認証の後に行われる、サーバ２６００による自動運転レベルに応じた第三の証明書の発行について、図２５を用いて説明する。サーバ２６００によって発行された第三の証明書は、外部装置３００２内で保持されて有効化される。

　図２５は、実施の形態３における公開鍵証明書（第三の証明書）を発行する動作の一例を示すシーケンス図である。

　外部装置３００２は、登録されている車両ＩＤを取得できるか否かを判定する（Ｓ３２０１）。外部装置３００２は、登録されている車両ＩＤがなければ、車両ＩＤを取得できず（Ｓ３２０１でＮ）、認証処理が完了していないということなので、処理を終了する。ここでは、図８での認証処理が完了し、車両ＩＤが登録されているとする。

　外部装置３００２は、車両３００１の車両ＩＤを取得できた場合（Ｓ３２０１でＹ）、取得した車両ＩＤを、外部装置３００２の機器ＩＤと、車両３００１の公開鍵証明書（第一の証明書）と、外部装置３００２の公開鍵証明書（第二の証明書）と共に、サーバ２６００へ送信する。

　サーバ２６００は、外部装置３００２の機器ＩＤ、車両３００１の車両ＩＤ及び２種類の公開鍵証明書を受信し、受信した２種類の公開鍵証明書の署名を検証する（Ｓ３２０２）。サーバ２６００は、検証が成功しない場合（Ｓ３２０２でＮ）、外部装置３００２へエラーを通知して処理を終了する。

　サーバ２６００は、検証が成功した場合（Ｓ３２０２でＹ）、Ｓ３２０２にて受信した機器ＩＤと車両ＩＤとの組み合わせが、証明書テーブルに存在するかどうかを確認する（Ｓ３２０３）。サーバ２６００は、受信した機器ＩＤと車両ＩＤとの組み合わせが証明書テーブルに存在しない場合（Ｓ３２０３でＮ）、外部装置３００２へその旨を通知して、エラーとして処理を終了する。

　サーバ２６００は、受信した機器ＩＤと車両ＩＤとの組み合わせが証明書テーブルに存在する場合（Ｓ３２０３でＹ）、取得した組み合わせに対応する第三の証明書を発行し、外部装置３００２に送信する（Ｓ３２０４）。

　外部装置３００２は、サーバ２６００によって発行された第三の証明書を保存する（Ｓ３２０５）。例えば、外部装置３００２の通信ＥＣＵ３４００における認証情報保持部１４０３に第三の証明書が保存され、これにより、外部装置３００２側においても当該第三の証明書が有効化される。

　また、図示していないが、サーバ２６００は、有効化された第三の証明書に対応する、車両３００１と外部装置３００２とを組み合わせたときの自動運転システム３０００全体の自動運転レベルに関する情報を出力する。なお、外部装置３００２（例えば通信部３４０１）が、有効化された第三の証明書に対応する、車両３００１と外部装置３００２とを組み合わせたときの自動運転システム３０００全体の自動運転レベルに関する情報を出力してもよい。

　［３．５　証明書を無効化するシーケンスの一例］
　次に、外部装置３００２とサーバ２６００とで保持する自動運転レベルに応じた第三の証明書の無効化について、図２６を用いて説明する。

　図２６は、実施の形態３における公開鍵証明書（第三の証明書）を無効化する動作の一例を示すシーケンス図である。

　外部装置３００２は、車両３００１との通信状態を監視する（Ｓ３３０１）。

　外部装置３００２は、車両３００１との通信状態に異常が発生しているか否かを判定する（Ｓ３３０２）。外部装置３００２は、通信異常が発生していない場合は（Ｓ３３０２でＮ）、処理を終了する。

　外部装置３００２は、通信異常が発生している場合は（Ｓ３３０２でＹ）、エラーカウンタをインクリメントする（Ｓ３３０３）。

　外部装置３００２は、エラーカウンタが閾値以上かどうかを判定し（Ｓ３３０４）、エラーカウンタが閾値以上である場合は（Ｓ３３０４でＹ）、発行された公開鍵証明書（第三の証明書）をサーバ２６００へ通知することで、当該第三の証明書をサーバ２６００において無効化させるための無効化指示を行う。エラーカウンタが閾値を超えていない場合は（Ｓ３３０４でＮ）、Ｓ３３０２へ戻る。

　エラーカウンタが閾値以上である場合は（Ｓ３３０４でＹ）、外部装置３００２及びサーバ２６００は、それぞれが保持する当該第三の証明書を無効化する（Ｓ３３０５）。例えば、外部装置３００２の通信ＥＣＵ３４００における証明書管理部３４０４は、認証情報保持部１４０３に保存されていた第三の証明書を削除することで、当該第三の証明書を無効化する。

　外部装置３００２は、エラーカウンタをリセットする（Ｓ３３０６）。

　外部装置３００２は、接続先の車両ＩＤを削除する（Ｓ３３０７）。

　以上のように、実施の形態３では、自動運転システム３０００は、サーバ２６００を含み、第三の証明書は、機器認証が行われるときにサーバ２６００から外部装置３００２へ送付される。

　［３．６　実施の形態３の効果］
　実施の形態３で示した自動運転システム３０００では、車両３００１の第一の証明書及び外部装置３００２の第二の証明書とは別の第三の証明書が、サーバ２６００により発行され、発行された第三の証明書が外部装置３００２内で管理される。そして、車両３００１と外部装置３００２との通信結果に基づいて、第三の証明書の有効及び無効を切り替えることで、車両３００１と外部装置３００２とが一体となって動作する際の適切な自動運転レベルを判断でき、安全性を担保することが可能となる。

　（実施の形態３の変形例）
　実施の形態３で示した自動運転システム３０００では、第三の証明書の有効化又は無効化をいつでも行うことが可能であるが、車両３００１の走行状態に応じて有効化又は無効化するタイミングが制御されてもよい。これについて、実施の形態３の変形例として説明する。なお、実施の形態３と同様の点については説明を省略する。

　［３．７　証明書を発行する際のシーケンスの一例］
　図２７は、実施の形態３の変形例における公開鍵証明書（第三の証明書）を発行する動作の一例を示すシーケンス図である。実施の形態３の変形例では、車両３００１の走行状態が特定の条件を満たす場合に、第三の証明書が発行される。なお、実施の形態３と同様のステップは、同一の番号を付与し、説明は省略する。

　例えば、特定の条件を満たす車両３００１の走行状態は、停車中であり、外部装置３００２は、第三の証明書を有効化する処理を開始する前に、車両３００１の走行状態が停車中であるか否かを判定する（Ｓ３２０６）。外部装置３００２は、車両３００１が停車中でない場合（Ｓ３２０６でＮ）、第三の証明書を有効化するための処理を開始せず、処理を終了する。外部装置３００２は、車両３００１が停車中である場合に（Ｓ３２０６でＹ）、第三の証明書を有効化するための処理を開始する。

　［３．８　証明書を無効化するシーケンスの一例］
　図２８は、実施の形態３の変形例における公開鍵証明書（第三の証明書）を無効化する動作の一例を示すシーケンス図である。実施の形態３の変形例では、車両３００１の走行状態が特定の条件を満たす場合に、車両３００１及び外部装置３００２の状態（例えば通信状態）が監視され、通信状態に応じて第三の証明書が無効化される。なお、実施の形態３と同様のステップは、同一の番号を付与し、説明は省略する。

　外部装置３００２は、車両３００１の走行状態が停車中であるか否かを判定する（Ｓ３３０８）。外部装置３００２は、車両３００１が停車中でない場合（Ｓ３３０８でＮ）、第三の証明書の無効化処理を中断して終了し、車両３００１が停車中である場合には（Ｓ３３０８でＹ）、通信状態を監視し（Ｓ３３０１）、無効化処理を継続する。

　［３．９　実施の形態３の変形例の効果］
　実施の形態３で示した自動運転システム３０００では、車両３００１の第一の証明書及び外部装置３００２の第二の証明書とは別の第三の証明書が、サーバ２６００により発行され、発行された第三の証明書が外部装置３００２内で管理される。そして、車両３００１と外部装置３００２との通信結果に加えて車両３００１の走行状態に基づいて、第三の証明書の有効及び無効を切り替えることで、車両３００１と外部装置３００２とが一体となって動作する際の適切な自動運転レベルを判断でき、安全性を担保することが可能となる。

　（その他の変形例）
　なお、本開示を上記各実施の形態に基づいて説明してきたが、本開示は、上記各実施の形態に限定されないのはもちろんである。以下のような場合も本開示に含まれる。

　（１）上記の実施の形態では、車載ネットワークとしてＥｔｈｅｒｎｅｔ、ＣＡＮプロトコルが用いられていたが、これに限るものではない。例えば、車載ネットワークとしてＣＡＮ－ＦＤ（ＣＡＮ　ｗｉｔｈ　Ｆｒｅｘｉｂｌｅ　Ｄａｔａ　Ｒａｔｅ）、ＬＩＮ（Ｌｏｃａｌ　Ｉｎｔｅｒｃｏｎｎｅｃｔ　Ｎｅｔｗｏｒｋ）又はＭＯＳＴ（登録商標）（Ｍｅｄｉａ　Ｏｒｉｅｎｔｅｄ　Ｓｙｓｔｅｍｓ　Ｔｒａｎｓｐｏｒｔ）などが用いられてもよい。あるいは、車載ネットワークは、これらのネットワークをサブネットワークとして組み合わせたネットワーク構成であってもよい。

　（２）上記実施の形態では、いずれの形態においても新たに有効化された第三の証明書を、車両側あるいは外部装置側のいずれかで管理する構成の例となっているが、この例には限定されない。車両側及び外部装置側の双方共同じ第三の証明書を持つこととしても良いし、車両側あるいは外部装置側で持つ証明書の種類を用途に応じて分けても良い。

　（３）上記実施の形態では、車両と外部装置との通信を担当する通信ＥＣＵに、認証処理及び証明書の管理を行う証明書管理部が含まれる例を記載しているが、この構成には限定されない。証明書管理部は、別途、証明書管理の専用ＥＣＵに含まれていても良いし、自動運転ＥＣＵ又はその他のＥＣＵに含まれるとしても良い。更に、上記実施の形態２及び３では、Ｖ２Ｘ通信ＥＣＵに証明書管理部が含まれるとしてもよい。

　（４）上記実施の形態では、通信ＥＣＵが異常を判定するとなっているが、この構成に限定されない。別ＥＣＵへ通信内容をミラーリングし、別ＥＣＵが異常を判定するとしても良い。また、別ＥＣＵは通信ＥＣＵと物理的に別であっても良いし、論理的に別であってもよい。例えば、セントラルゲートウェイ、ゾーンＥＣＵ又はドメインコントローラと呼ばれるような多機能ＥＣＵ上に仮想環境を構築し、その一つの仮想オペレーティングシステム（以下、ＯＳ）上に通信状態をモニタリングするようなアプリケーションが設けられても良い。また、通信ＥＣＵ上に同様の仮想環境を構築し、通信を担当するＯＳとは別のＯＳから通信状態をモニタリングするとしてもよい。

　（５）上記実施の形態では、車両及び外部装置の状態として車両と外部装置との通信状態を実施例としているが、これに限定されない。例えば実施の形態３において、外部装置自体の故障が発生した場合に自らそれを検知し、車両又はサーバに通知するとしても良い。

　（６）上記実施の形態２及び３では、サーバが新規に公開鍵証明書（第三の証明書）を発行する認証局の役割を担っているが、この構成には限定されない。例えば、サーバは、予め別の認証局によって発行された証明書を事前に取得して、保管しておき、タイミングに合わせて車両又は外部装置に送付するだけでも良い。

　（７）上記実施の形態では、証明書テーブルを用いて、車両と外部装置との組み合わせが判断され、自動運転レベルが判定されるが、予め証明書内に組み合わせ後の自動運転システム全体の自動運転レベルが組み込まれていても良い。つまり、証明書テーブルに類するような情報が、既に証明書に組み込まれており、証明書テーブルを参照することなく、自動運転システム全体の自動運転レベルを判断できるとしても良い。

　（８）上記実施の形態の変形例では、車両の走行状態が判定されるが、これは特定のＥＣＵが判定し、他のＥＣＵは車載ネットワークを介して走行状態を取得するとしても良いし、各ＥＣＵが独自に走行状態を判定するとしても良い。また走行中、停車中又は駐車中といった走行状態以外にもアクセサリーＯＮ、イグニッションＯＮ、低速走行中又は高速走行中などの状態を判定するとしても良い。

　（９）上記実施の形態の変形例では、停車中にのみ第三の証明書を有効化する例を示しているが、これには限定されない。例えば、駐車中又は走行中など、停車中とは別の特定の走行状態でのみ有効化を行うとしても良いし、駐車中でもイグニッションＯＮの状態以外の状態でのみ有効化を許可するとしても良い。また、走行中から停車中、停車中から駐車中など、走行状態の変化のタイミングで有効化を実施するとしても良い。

　（１０）上記実施の形態の変形例では、停車中にのみ第三の証明書を無効化する例を示しているが、これには限定されない。例えば、駐車中又は走行中など、停車中とは別の特定の走行状態でのみ無効化を行うとしても良い。また、停車中から走行中、低速走行中から高速走行中など、走行状態の変化のタイミングで無効化を実施するとしても良い。

　（１１）上記実施の形態の変形例では、通信結果に基づいて、第三の証明書を無効化、すなわち、自動運転レベルを変更しているが、変更のタイミングで運転者にその旨を通知するとしても良い。インフォテイメントシステム又は速度を示すメータなど、表示装置を持つＥＣＵへ通知をして、変更のタイミングで運転者に向けたポップアップ表示若しくはアイコンを出す、又は、これらを消す若しくは変更するなどしても良い。

　（１２）上記の実施の形態における各装置及びシステムは、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ、ハードディスクユニット、ディスプレイユニット、キーボード及びマウスなどから構成されるコンピュータシステムである。ＲＡＭ又はハードディスクユニットには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、各装置及びシステムは、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

　（１３）上記の実施の形態における各装置及びシステムは、構成する構成要素の一部又は全部は、１個のシステムＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）から構成されているとしてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ及びＲＡＭなどを含んで構成されるコンピュータシステムである。ＲＡＭには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、システムＬＳＩは、その機能を達成する。

　また、上記の各装置及びシステムを構成する構成要素の各部は、個別に１チップ化されていても良いし、一部又はすべてを含むように１チップ化されてもよい。

　また、システムＬＳＩは、集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ又はウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）や、ＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。

　さらには、半導体技術の進歩又は派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。

　（１４）上記の各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なＩＣカード又は単体のモジュールから構成されているとしてもよい。ＩＣカード又はモジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどから構成されるコンピュータシステムである。ＩＣカード又はモジュールは、上記の超多機能ＬＳＩを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、ＩＣカード又はモジュールは、その機能を達成する。このＩＣカード又はこのモジュールは、耐タンパ性を有するとしてもよい。

　（１５）本開示は、認証方法であるとしてもよい。

　例えば、認証方法は、車両と、車両と通信し、車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける方法である。車両は、車両の正当性を証明するための第一の証明書を保持し、外部装置は、外部装置の正当性を証明するための第二の証明書を保持する。認証方法は、コンピュータにより実行され、第一の証明書と第二の証明書とを用いた、車両と外部装置との機器認証の結果に基づいて、車両と外部装置との組み合わせの正当性を証明するための第三の証明書を有効化する処理（例えば、図９のＳ１２０１からＳ１２０３）を含む。

　また、本開示は、認証方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、コンピュータプログラムからなるデジタル信号であるとしてもよい。

　また、本開示は、コンピュータプログラム又はデジタル信号をコンピュータ読み取り可能な非一時的な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕ－ｒａｙ（登録商標）　Ｄｉｓｃ）又は半導体メモリなどに記録したものとして実現されてもよい。また、本開示は、これらの記録媒体に記録されているデジタル信号であるとしてもよい。

　また、本開示は、コンピュータプログラム又はデジタル信号を、電気通信回線、無線若しくは有線通信回線、インターネットを代表とするネットワーク又はデータ放送等を経由して伝送するものとしてもよい。

　また、本開示は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、メモリは、上記コンピュータプログラムを記録しており、マイクロプロセッサは、コンピュータプログラムにしたがって動作するとしてもよい。

　また、プログラム若しくはデジタル信号を記録媒体に記録して移送することにより、又は、プログラム若しくはデジタル信号をネットワーク等を経由して移送することにより、独立した他のコンピュータシステムがプログラム若しくはデジタル信号を実施するとしてもよい。

　（１６）上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。

　本開示は、車両と、車両と通信し、車両が自動走行を実施するための機能を提供する外部装置とを含む自動運転システムに適用できる。

　１０００、２０００、３０００　自動運転システム
　１００１、２００１、３００１　車両
　１００２、３００２　外部装置
　１０１０　カメラ
　１０１１　ブレーキ
　１０１２　ハンドル
　１０１３　アクセル
　１０１４　Ｌｉｄａｒ
　１１００ａ、１１００ｂ、１１００ｃ、１１００ｄ、１１００ｅ　ＥＣＵ
　１１０１、１２０１、１３０１、１４０１、２３０１、２５０１、２６０１、３３０１、３４０１　通信部
　１１０２、２５０２　メッセージ変換部
　１２００　自動運転ＥＣＵ
　１２０２　判断部
　１２０３　自動運転レベル管理部
　１３００、１４００、２３００、３３００、３４００　通信ＥＣＵ
　１３０２、１４０２、２６０２、３３０２、３４０２　認証処理部
　１３０３、１４０３、２６０３　認証情報保持部
　１３０４、２３０４、２６０４、３４０４　証明書管理部
　１３０５、２６０５　証明書保持部
　２５００　Ｖ２Ｘ通信ＥＣＵ
　２６００　サーバ

Claims

　車両と、
　前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける認証方法であって、
　前記車両は、前記車両の正当性を証明するための第一の証明書を保持し、
　前記外部装置は、前記外部装置の正当性を証明するための第二の証明書を保持し、
　前記認証方法は、前記第一の証明書と前記第二の証明書とを用いた、前記車両と前記外部装置との機器認証の結果に基づいて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化することを特徴とする、
　認証方法。
　前記認証方法は、さらに、有効化された前記第三の証明書に対応する、前記車両と前記外部装置とを組み合わせたときの前記自動運転システム全体の自動運転レベルに関する情報を出力することを特徴とする、
　請求項１記載の認証方法。
　前記第三の証明書の有効化では、前記機器認証の結果として得られる前記車両の車両ＩＤ及び前記外部装置の機器ＩＤの少なくとも一方に対応する前記第三の証明書を有効化することを特徴とする、
　請求項１又は２記載の認証方法。
　前記第三の証明書は、前記車両が製造されるときに発行され、前記車両に予め保持されていることを特徴とする、
　請求項１～３のいずれか１項に記載の認証方法。
　前記自動運転システムは、さらに、サーバを含み、
　前記第三の証明書は、前記機器認証が行われるときに前記サーバから前記車両又は前記外部装置へ送付されることを特徴とする、
　請求項１～３のいずれか１項に記載の認証方法。
　前記第三の証明書の有効化では、前記車両の走行状態が特定の条件を満たす場合に、前記第三の証明書を有効化することを特徴とする、
　請求項１～５のいずれか１項に記載の認証方法。
　前記特定の条件を満たす前記車両の走行状態は、停車中であることを特徴とする、
　請求項６記載の認証方法。
　さらに、
　前記車両及び前記外部装置の状態を監視し、
　前記状態の変化に応じて、前記第三の証明書を無効化することを特徴とする、
　請求項１～７のいずれか１項に記載の認証方法。
　前記状態は、前記車両と前記外部装置との間の通信状態であり、
　前記第三の証明書の無効化では、前記通信状態が異常となった場合に、前記第三の証明書を無効化することを特徴とする、
　請求項８記載の認証方法。
　前記状態の監視では、前記車両の走行状態が特定の条件を満たす場合に前記状態を監視することを特徴とする、
　請求項８又は９記載の認証方法。
　前記特定の条件を満たす前記車両の走行状態は、停車中であることを特徴とする、
　請求項１０記載の認証方法。
　車両と、
　前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける認証システムであって、
　前記車両は、前記車両の正当性を証明するための第一の証明書を保持し、
　前記外部装置は、前記外部装置の正当性を証明するための第二の証明書を保持し、
　前記認証システムは、前記第一の証明書と前記第二の証明書とを用いた、前記車両と前記外部装置との機器認証の結果に基づいて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化する管理部を備えることを特徴とする、
　認証システム。
　車両と、
　前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける前記車両が備える認証装置であって、
　前記認証装置は、
　前記車両の正当性を証明するための第一の証明書を保持する保持部と、
　前記外部装置の正当性を証明するための第二の証明書を用いて、前記外部装置を認証する認証部と、
　前記認証の結果を用いて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化する管理部と、を備えることを特徴とする、
　認証装置。
　車両と、
　前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける前記外部装置が備える認証装置であって、
　前記認証装置は、
　前記外部装置の正当性を証明するための第二の証明書を保持する保持部と、
　前記車両の正当性を証明するための第一の証明書を用いて、前記車両を認証する認証部と、
　前記認証の結果を用いて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化する管理部と、を備えることを特徴とする、
　認証装置。