本發(fā)明涉及用于更新車(chē)載網(wǎng)絡(luò)系統(tǒng)中的電子控制單元保持的數(shù)據(jù)的更新管理方法、更新管理裝置等。

背景技術(shù)：

近年來(lái)，在汽車(chē)中的系統(tǒng)內(nèi)，配置有被稱(chēng)為電子控制單元(ECU：Electronic Control Unit)的多個(gè)裝置。將連接這些ECU的網(wǎng)絡(luò)稱(chēng)為車(chē)載網(wǎng)絡(luò)。車(chē)載網(wǎng)絡(luò)存在許多標(biāo)準(zhǔn)。其中，由ISO11898-1規(guī)定的CAN(Controller Area Network：控制器局域網(wǎng)絡(luò))這一標(biāo)準(zhǔn)是主流。在CAN中，通信路徑包括兩條總線(xiàn)，與總線(xiàn)連接的ECU被稱(chēng)為節(jié)點(diǎn)。與總線(xiàn)連接的各節(jié)點(diǎn)收發(fā)被稱(chēng)為幀的消息。在CAN中不存在指定發(fā)送目的地和/或發(fā)送源的識(shí)別符，發(fā)送節(jié)點(diǎn)對(duì)每個(gè)幀附加ID(稱(chēng)為消息ID)來(lái)進(jìn)行發(fā)送(也即是，將信號(hào)輸出至總線(xiàn))，各接收節(jié)點(diǎn)僅接收預(yù)先確定的消息ID(也即是，從總線(xiàn)讀取信號(hào))。另外，采用CSMA/CA(Carrier Sense Multiple Access/Collision Avoidance：載波偵聽(tīng)多址訪(fǎng)問(wèn)/避免沖突)方式，在多個(gè)節(jié)點(diǎn)的同時(shí)發(fā)送時(shí)，進(jìn)行利用消息ID的仲裁，并優(yōu)先發(fā)送消息ID的值小的幀。另外，在車(chē)載網(wǎng)絡(luò)中，存在被稱(chēng)為OBD2(On-Board Diagnostics 2)的端口(以下，稱(chēng)為“診斷端口”)，利用于ECU的診斷，所述端口是與外部工具(例如故障診斷工具等外部裝置)進(jìn)行通信的接口。最近，不僅是診斷，也能夠利用診斷端口來(lái)改寫(xiě)ECU的固件。另外，廉價(jià)地出售能夠與診斷端口連接的外部工具，不僅是專(zhuān)業(yè)人員，一般用戶(hù)也能夠使用的外部工具不斷增加。

因此，非法外部工具與診斷端口連接的風(fēng)險(xiǎn)不斷提高。通過(guò)利用非法外部工具非法地改寫(xiě)車(chē)載網(wǎng)絡(luò)中的ECU的固件，可能會(huì)非法地控制車(chē)體。作為防止這樣經(jīng)由診斷端口非法改寫(xiě)固件的方法，存在如下方法：在外部工具發(fā)送的固件更新請(qǐng)求消息中嵌入識(shí)別碼，在識(shí)別碼與登記碼一致的情況下許可固件的更新(參照專(zhuān)利文獻(xiàn)1)。

在先技術(shù)文獻(xiàn)

專(zhuān)利文獻(xiàn)

專(zhuān)利文獻(xiàn)1：日本特開(kāi)2013-141948號(hào)公報(bào)

技術(shù)實(shí)現(xiàn)要素：

然而，在專(zhuān)利文獻(xiàn)1的方法中，存在如下風(fēng)險(xiǎn)：在賦予給更新固件的外部工具的識(shí)別碼泄漏的情況下，導(dǎo)致非法地改寫(xiě)全部ECU的固件。

本發(fā)明提供一種用于降低賦予給外部工具的機(jī)密信息泄漏的情況下全部ECU的固件被非法地改寫(xiě)的風(fēng)險(xiǎn)，并使外部工具更新固件等ECU內(nèi)的數(shù)據(jù)的更新管理方法。另外，本發(fā)明提供一種用于降低風(fēng)險(xiǎn)并使外部工具更新ECU內(nèi)的數(shù)據(jù)的更新管理裝置和用于該更新管理裝置的控制程序。

為了解決上述問(wèn)題，本發(fā)明的一個(gè)技術(shù)方案涉及的更新管理方法是在車(chē)載網(wǎng)絡(luò)系統(tǒng)中使用的更新管理方法，所述車(chē)載網(wǎng)絡(luò)系統(tǒng)具備經(jīng)由總線(xiàn)進(jìn)行通信的多個(gè)電子控制單元并連接有外部工具，所述更新管理方法包括：接收更新權(quán)限信息并驗(yàn)證，所述更新權(quán)限信息表示所述外部工具的權(quán)限；和在從所述外部工具發(fā)送了指示一個(gè)或多個(gè)所述電子控制單元保持的數(shù)據(jù)的更新的更新消息的情況下，在所述驗(yàn)證成功，且所述更新權(quán)限信息表示該更新消息的發(fā)送在該外部工具的權(quán)限范圍內(nèi)時(shí)，與所述更新消息對(duì)應(yīng)而由所述一個(gè)或多個(gè)電子控制單元執(zhí)行所述更新，在所述驗(yàn)證失敗時(shí)，或者，所述更新權(quán)限信息未表示該更新消息的發(fā)送在該外部工具的權(quán)限范圍內(nèi)時(shí)，制止由所述一個(gè)或多個(gè)電子控制單元進(jìn)行的、與所述更新消息對(duì)應(yīng)的所述更新。

另外，為了解決上述問(wèn)題，本發(fā)明的一個(gè)技術(shù)方案涉及的更新管理裝置是在車(chē)載網(wǎng)絡(luò)系統(tǒng)中與診斷端口連接的一個(gè)電子控制單元，所述車(chē)載網(wǎng)絡(luò)系統(tǒng)具備經(jīng)由總線(xiàn)進(jìn)行通信的多個(gè)電子控制單元，所述更新管理裝置具備：接收部，接收經(jīng)由所述診斷端口從外部工具發(fā)送來(lái)的更新權(quán)限信息和更新消息，所述外部工具與所述診斷端口連接，所述更新權(quán)限信息表示該外部工具的權(quán)限，所述更新消息指示一個(gè)或多個(gè)所述電子控制單元保持的數(shù)據(jù)的更新；驗(yàn)證部，驗(yàn)證由所述接收部接收到的所述更新權(quán)限信息；以及傳送部，在由所述接收部接收到所述更新消息的情況下，在由所述驗(yàn)證部進(jìn)行的所述驗(yàn)證成功、且所述更新權(quán)限信息表示該更新消息的發(fā)送在所述外部工具的權(quán)限范圍內(nèi)時(shí)，將所述更新消息傳送給所述總線(xiàn)，在由所述驗(yàn)證部進(jìn)行的所述驗(yàn)證失敗時(shí)，或者，所述更新權(quán)限信息未表示該更新消息的發(fā)送在所述外部工具的權(quán)限范圍內(nèi)時(shí)，制止所述傳送。

另外，為了解決上述問(wèn)題，本發(fā)明的一個(gè)技術(shù)方案涉及的控制程序是一種用于使更新管理裝置執(zhí)行預(yù)定的更新管理處理的控制程序，所述更新管理裝置作為在車(chē)載網(wǎng)絡(luò)系統(tǒng)中與診斷端口連接的一個(gè)電子控制單元并具有處理器，所述車(chē)載網(wǎng)絡(luò)系統(tǒng)具備經(jīng)由總線(xiàn)進(jìn)行通信的多個(gè)電子控制單元，所述更新管理處理包括：更新權(quán)限信息接收步驟，接收經(jīng)由所述診斷端口從外部工具發(fā)送來(lái)的表示該外部工具的權(quán)限的更新權(quán)限信息，所述外部工具與所述診斷端口連接；驗(yàn)證步驟，驗(yàn)證在所述更新權(quán)限信息接收步驟中接收到的所述更新權(quán)限信息；更新消息接收步驟，接收經(jīng)由所述診斷端口從所述外部工具發(fā)送來(lái)的更新消息，所述更新消息指示一個(gè)或多個(gè)所述電子控制單元保持的數(shù)據(jù)的更新；以及傳送控制步驟，在所述更新消息接收步驟中接收到所述更新消息的情況下，在所述驗(yàn)證步驟中的所述驗(yàn)證成功、且所述更新權(quán)限信息表示該更新消息的發(fā)送在所述外部工具的權(quán)限范圍內(nèi)時(shí)，將所述更新消息傳送給所述總線(xiàn)，在所述驗(yàn)證步驟中的所述驗(yàn)證失敗時(shí)，或者，所述更新權(quán)限信息未表示該更新消息的發(fā)送在所述外部工具的權(quán)限范圍內(nèi)時(shí)，制止所述傳送。

根據(jù)本發(fā)明，能夠降低賦予給外部工具的機(jī)密信息泄漏的情況下全部ECU的固件被非法地改寫(xiě)的風(fēng)險(xiǎn)，并能夠使外部工具更新ECU內(nèi)的數(shù)據(jù)。

附圖說(shuō)明

圖1是實(shí)施方式1涉及的車(chē)載網(wǎng)絡(luò)系統(tǒng)的整體構(gòu)成圖。

圖2是表示由CAN協(xié)議規(guī)定的數(shù)據(jù)幀的格式的圖。

圖3是表示與ECU和外部工具相關(guān)的密鑰發(fā)行系統(tǒng)的圖。

圖4是表示公鑰證書(shū)的構(gòu)成的圖。

圖5是表示記載在公鑰證書(shū)中的更新權(quán)限信息的等級(jí)與ECU的功能類(lèi)別的對(duì)應(yīng)關(guān)系的圖。

圖6是表示ECU保持的共有密鑰的圖。

圖7是實(shí)施方式1涉及的主ECU(更新管理裝置)的構(gòu)成圖。

圖8是表示實(shí)施方式1涉及的等級(jí)信息的圖。

圖9是ECU的構(gòu)成圖。

圖10是表示接收ID列表的圖。

圖11是表示實(shí)施方式1涉及的共有密鑰更新時(shí)序的圖(后接圖12)。

圖12是表示實(shí)施方式1涉及的共有密鑰更新時(shí)序的圖(前接圖11)。

圖13是實(shí)施方式2涉及的車(chē)載網(wǎng)絡(luò)系統(tǒng)的整體構(gòu)成圖。

圖14是表示實(shí)施方式2涉及的等級(jí)信息的圖。

圖15是表示實(shí)施方式2涉及的共有密鑰更新時(shí)序的圖(后接圖16)。

圖16是表示實(shí)施方式2涉及的共有密鑰更新時(shí)序的圖(前接圖15)。

圖17是實(shí)施方式3涉及的主ECU(更新管理裝置)的構(gòu)成圖。

圖18是表示實(shí)施方式3涉及的將共有密鑰和有效期限等進(jìn)行了關(guān)聯(lián)而得到的信息的圖。

圖19是表示實(shí)施方式3涉及的催促共有密鑰的更新的畫(huà)面的一例的圖。

圖20是表示實(shí)施方式4涉及的共有密鑰更新時(shí)序的圖(后接圖21)。

圖21是表示實(shí)施方式4涉及的共有密鑰更新時(shí)序的圖(前接圖20)。

圖22是表示實(shí)施方式4涉及的服務(wù)器保持的日志信息的圖。

具體實(shí)施方式

本發(fā)明的一個(gè)技術(shù)方案涉及的更新管理方法是在車(chē)載網(wǎng)絡(luò)系統(tǒng)中使用的更新管理方法，所述車(chē)載網(wǎng)絡(luò)系統(tǒng)具備經(jīng)由總線(xiàn)進(jìn)行通信的多個(gè)電子控制單元并連接有外部工具，該方法包括：接收更新權(quán)限信息并驗(yàn)證，所述更新權(quán)限信息表示所述外部工具的權(quán)限；和在從所述外部工具發(fā)送了指示一個(gè)或多個(gè)所述電子控制單元保持的數(shù)據(jù)的更新的更新消息的情況下，在所述驗(yàn)證成功、且所述更新權(quán)限信息表示該更新消息的發(fā)送在該外部工具的權(quán)限范圍內(nèi)時(shí)，與所述更新消息對(duì)應(yīng)而由所述一個(gè)或多個(gè)電子控制單元執(zhí)行所述更新，在所述驗(yàn)證失敗時(shí)，或者，所述更新權(quán)限信息未表示該更新消息的發(fā)送在該外部工具的權(quán)限范圍內(nèi)時(shí)，制止由所述一個(gè)或多個(gè)電子控制單元進(jìn)行的、與所述更新消息對(duì)應(yīng)的所述更新。由此，可利用能夠驗(yàn)證的更新權(quán)限信息，按每個(gè)外部工具，以使發(fā)送更新消息的權(quán)限不同的方式確定該權(quán)限，所述更新消息指示ECU內(nèi)的數(shù)據(jù)的更新。而且，僅具有發(fā)送車(chē)載網(wǎng)絡(luò)系統(tǒng)中的一部分ECU內(nèi)的數(shù)據(jù)的更新消息的權(quán)限的外部工具才可更新該一部分ECU內(nèi)的數(shù)據(jù)。另外，即使具有發(fā)送該一部分ECU內(nèi)的數(shù)據(jù)的更新消息的權(quán)限的外部工具的機(jī)密信息泄漏，也不能非法地改寫(xiě)該一部分ECU以外的ECU。因此，可降低車(chē)載網(wǎng)絡(luò)的全部ECU的固件等被非法地改寫(xiě)的風(fēng)險(xiǎn)，并可使外部工具更新ECU內(nèi)的數(shù)據(jù)。

另外，也可以是，所述多個(gè)電子控制單元遵循CAN協(xié)議即控制器局域網(wǎng)絡(luò)協(xié)議(Controller Area Network)，經(jīng)由所述總線(xiàn)進(jìn)行通信，所述外部工具按照CAN協(xié)議發(fā)送所述更新消息。由此，可在遵循CAN協(xié)議的車(chē)載網(wǎng)絡(luò)系統(tǒng)中使具有權(quán)限的外部工具適當(dāng)?shù)馗翬CU內(nèi)的數(shù)據(jù)。

另外，也可以是，在從所述外部工具發(fā)送了所述更新消息的情況下，基于該更新消息的消息ID，判定所述更新權(quán)限信息是否表示該更新消息的發(fā)送在該外部工具的權(quán)限范圍內(nèi)，在判定為所述更新權(quán)限信息表示該更新消息的發(fā)送在該外部工具的權(quán)限范圍內(nèi)時(shí)，由確定為接收具有所述消息ID的所述更新消息的所述電子控制單元執(zhí)行所述更新。由此，利用CAN的幀的ID(消息ID)，區(qū)別是否是成為更新消息中的更新指示的對(duì)象的ECU。因此，能夠?qū)?duì)特定一個(gè)或多個(gè)ECU的更新權(quán)限與對(duì)其他一個(gè)或多個(gè)ECU的更新權(quán)限進(jìn)行區(qū)別，例如，僅限于具有與成為更新指示對(duì)象的ECU對(duì)應(yīng)的權(quán)限的適當(dāng)?shù)耐獠抗ぞ吣軌蛟S可該更新。

另外，也可以是，所述更新權(quán)限信息確定所述電子控制單元的分類(lèi)用的多個(gè)功能類(lèi)別中的一個(gè)或多個(gè)功能類(lèi)別，并表示所述外部工具具有如下權(quán)限：使分類(lèi)到所確定的該一個(gè)或多個(gè)功能類(lèi)別中的某一個(gè)的所述電子控制單元進(jìn)行所述更新，在從所述外部工具發(fā)送所述更新消息的情況下，通過(guò)基于該更新消息的消息ID，判別確定為接收該消息ID的所述電子控制單元的功能類(lèi)別是否與利用所述更新權(quán)限信息確定的一個(gè)或多個(gè)功能類(lèi)別中的某一個(gè)一致，由此進(jìn)行所述判定。由此，能夠進(jìn)行如下運(yùn)用：按每個(gè)從功能方面分類(lèi)ECU的功能類(lèi)別，區(qū)別更新的權(quán)限并對(duì)外部工具進(jìn)行認(rèn)定。該認(rèn)定例如通過(guò)賦予能夠驗(yàn)證的更新權(quán)限信息來(lái)進(jìn)行。

另外，也可以是，所述更新權(quán)限信息表示用于確定一個(gè)或多個(gè)所述功能類(lèi)別的多個(gè)等級(jí)中的一個(gè)等級(jí)，相對(duì)高的等級(jí)確定包含相對(duì)低的等級(jí)確定的一個(gè)或多個(gè)功能類(lèi)別在內(nèi)的多個(gè)功能類(lèi)別。由此，能夠按每個(gè)外部工具使更新的權(quán)限的等級(jí)不同。例如，即使具有低等級(jí)權(quán)限的外部工具的機(jī)密信息泄漏，也不能非法地改寫(xiě)與該等級(jí)對(duì)應(yīng)而能夠更新的ECU的功能類(lèi)別以外的ECU(也即是，能夠利用具有高等級(jí)權(quán)限的外部工具進(jìn)行更新的ECU)。

另外，也可以是，作為一個(gè)所述電子控制單元的更新管理裝置從與診斷端口連接的所述外部工具接收所述更新權(quán)限信息并進(jìn)行所述驗(yàn)證，所述診斷端口與該更新管理裝置連接，在從所述外部工具發(fā)送了所述更新消息的情況下，接收該更新消息，在接收到該更新消息的情況下，當(dāng)所述驗(yàn)證成功、且所述更新權(quán)限信息表示該更新消息的發(fā)送在該外部工具的權(quán)限范圍內(nèi)時(shí)，將所述更新消息傳送給所述總線(xiàn)，當(dāng)所述驗(yàn)證失敗時(shí)，或者，所述更新權(quán)限信息未表示該更新消息的發(fā)送在該外部工具的權(quán)限范圍內(nèi)時(shí)，制止所述傳送。由此，由于更新管理裝置(主ECU)控制是否向其他ECU傳送更新消息，所以其他ECU可省略外部工具的權(quán)限所涉及的檢查。

另外，也可以是，如果沒(méi)有對(duì)所述更新消息實(shí)施使用了會(huì)話(huà)密鑰的預(yù)定加密處理，則制止與該更新消息對(duì)應(yīng)的、由所述電子控制單元進(jìn)行的所述更新，所述更新管理裝置通過(guò)所述外部工具的公鑰所涉及的公鑰證書(shū)的接收，進(jìn)行所述更新權(quán)限信息的所述接收，所述公鑰證書(shū)記載了該更新權(quán)限信息，在所述驗(yàn)證成功的情況下，用所述外部工具的公鑰加密所述會(huì)話(huà)密鑰并發(fā)送給所述外部工具，所述會(huì)話(huà)密鑰是為了所述外部工具在所述更新消息的發(fā)送時(shí)對(duì)該更新消息實(shí)施預(yù)定加密處理而使用的密鑰。由此，能夠通過(guò)發(fā)行公鑰證書(shū)來(lái)認(rèn)定外部工具的更新的權(quán)限。另外，能夠利用公鑰證書(shū)中的公鑰，實(shí)現(xiàn)外部工具的通信內(nèi)容所涉及的安全性的確保。

另外，也可以是，在從所述外部工具發(fā)送了所述更新消息的情況下，在搭載所述車(chē)載網(wǎng)絡(luò)系統(tǒng)的車(chē)輛的狀態(tài)不是預(yù)定狀態(tài)時(shí)，所述更新管理裝置制止所述更新消息向所述總線(xiàn)的傳送。由此，在確定例如停車(chē)狀態(tài)、停止發(fā)動(dòng)機(jī)的狀態(tài)等時(shí)，由于例如能夠在與行駛關(guān)聯(lián)的ECU的負(fù)荷降低且總線(xiàn)流量比較少的停車(chē)狀態(tài)等時(shí)候更新ECU內(nèi)的數(shù)據(jù)，所以例如可減少在更新中產(chǎn)生不良情況的可能性等。

另外，也可以是，在從所述外部工具發(fā)送了所述更新消息的情況下，在向所述車(chē)載網(wǎng)絡(luò)系統(tǒng)中的各電子控制單元供給電力的電池不具有預(yù)定電池剩余量時(shí)，所述更新管理裝置制止所述更新消息向所述總線(xiàn)的傳送。由此，在例如確定電池的剩余量為足夠進(jìn)行更新的程度的充分的量作為預(yù)定電池剩余量時(shí)，能夠防止由更新期間電池用盡導(dǎo)致的不良情況。

另外，也可以是，所述更新管理裝置以外的電子控制單元和所述更新管理裝置保持共有密鑰，所述共有密鑰是為了在通信內(nèi)容所涉及的加密處理用會(huì)話(huà)密鑰的傳遞中使用而在彼此間共有的密鑰，所述更新消息指示的、所述電子控制單元保持的數(shù)據(jù)的所述更新是所述共有密鑰的更新。由此，能夠利用外部工具更新在主ECU與除主ECU以外的ECU之間共有的共有密鑰。

另外，也可以是，在所述共有密鑰的有效期限的一定期間前，輸出催促所述共有密鑰的更新的警告信息。由此，能夠在共有密鑰的有效期限到期前催促密鑰更新，可降低共有密鑰超過(guò)有效期限而繼續(xù)利用的風(fēng)險(xiǎn)。

另外，也可以是，所述更新管理裝置將識(shí)別信息和結(jié)果信息發(fā)送給所述外部工具，所述識(shí)別信息在多個(gè)車(chē)載網(wǎng)絡(luò)系統(tǒng)之中識(shí)別所述車(chē)載網(wǎng)絡(luò)系統(tǒng)，所述結(jié)果信息表示所述更新消息的處理結(jié)果。由此，能夠在外部工具側(cè)管理每輛車(chē)輛(也即是，每個(gè)車(chē)載網(wǎng)絡(luò)系統(tǒng))中的ECU內(nèi)的數(shù)據(jù)的更新結(jié)果。

另外，也可以是，所述外部工具將所述結(jié)果信息和所述識(shí)別信息發(fā)送給服務(wù)器。由此，能夠在服務(wù)器中管理每輛車(chē)輛中的ECU內(nèi)的數(shù)據(jù)的更新結(jié)果。

另外，也可以是，所述更新消息指示的、所述電子控制單元保持的數(shù)據(jù)的所述更新是所述電子控制單元的固件的更新。由此，能夠按每個(gè)外部工具靈活地設(shè)定ECU的固件更新的權(quán)限。

另外，本發(fā)明的一個(gè)技術(shù)方案涉及的更新管理裝置是在車(chē)載網(wǎng)絡(luò)系統(tǒng)中與診斷端口連接的一個(gè)電子控制單元，所述車(chē)載網(wǎng)絡(luò)系統(tǒng)具備經(jīng)由總線(xiàn)進(jìn)行通信的多個(gè)電子控制單元，所述更新管理裝置具備：接收部，接收經(jīng)由所述診斷端口從外部工具發(fā)送來(lái)的更新權(quán)限信息和更新消息，所述外部工具與所述診斷端口連接，所述更新權(quán)限信息表示該外部工具的權(quán)限，所述更新消息指示一個(gè)或多個(gè)所述電子控制單元保持的數(shù)據(jù)的更新；驗(yàn)證部，驗(yàn)證由所述接收部接收到的所述更新權(quán)限信息；以及傳送部，在由所述接收部接收到所述更新消息的情況下，在由所述驗(yàn)證部進(jìn)行的所述驗(yàn)證成功、且所述更新權(quán)限信息表示該更新消息的發(fā)送在所述外部工具的權(quán)限范圍內(nèi)時(shí)，將所述更新消息傳送給所述總線(xiàn)，在由所述驗(yàn)證部進(jìn)行的所述驗(yàn)證失敗時(shí)，或者，所述更新權(quán)限信息未表示該更新消息的發(fā)送在所述外部工具的權(quán)限范圍內(nèi)時(shí)，制止所述傳送。由此，能夠降低賦予給外部工具的機(jī)密信息泄漏的情況下全部ECU內(nèi)的固件等被非法地改寫(xiě)的風(fēng)險(xiǎn)，并能夠使外部工具更新ECU內(nèi)的數(shù)據(jù)。

另外，本發(fā)明的一個(gè)技術(shù)方案涉及的控制程序是一種用于使更新管理裝置執(zhí)行預(yù)定的更新管理處理的控制程序，所述更新管理裝置作為在車(chē)載網(wǎng)絡(luò)系統(tǒng)中與診斷端口連接的一個(gè)電子控制單元并具有處理器，所述車(chē)載網(wǎng)絡(luò)系統(tǒng)具備經(jīng)由總線(xiàn)進(jìn)行通信的多個(gè)電子控制單元，所述更新管理處理包括：更新權(quán)限信息接收步驟，接收經(jīng)由所述診斷端口從外部工具發(fā)送來(lái)的表示該外部工具的權(quán)限的更新權(quán)限信息，所述外部工具與所述診斷端口連接；驗(yàn)證步驟，驗(yàn)證在所述更新權(quán)限信息接收步驟中接收到的所述更新權(quán)限信息；更新消息接收步驟，接收經(jīng)由所述診斷端口從所述外部工具發(fā)送來(lái)的更新消息，所述更新消息指示一個(gè)或多個(gè)所述電子控制單元保持的數(shù)據(jù)的更新；以及傳送控制步驟，在所述更新消息接收步驟中接收到所述更新消息的情況下，在所述驗(yàn)證步驟中的所述驗(yàn)證成功、且所述更新權(quán)限信息表示該更新消息的發(fā)送在所述外部工具的權(quán)限范圍內(nèi)時(shí)，將所述更新消息傳送給所述總線(xiàn)，在所述驗(yàn)證步驟中的所述驗(yàn)證失敗時(shí)，或者，所述更新權(quán)限信息未表示該更新消息的發(fā)送在所述外部工具的權(quán)限范圍內(nèi)時(shí)，制止所述傳送。通過(guò)將該程序安裝在更新管理裝置中并使處理器執(zhí)行，能夠降低賦予給外部工具的機(jī)密信息泄漏的情況下全部ECU內(nèi)的固件等被非法地改寫(xiě)的風(fēng)險(xiǎn)，并能夠使外部工具更新ECU內(nèi)的數(shù)據(jù)。

此外，這些全面或具體的技術(shù)方案既可以用系統(tǒng)、方法、集成電路、計(jì)算機(jī)程序或計(jì)算機(jī)可讀取的CD-ROM等記錄介質(zhì)來(lái)實(shí)現(xiàn)，也可以用系統(tǒng)、方法、集成電路、計(jì)算機(jī)程序或記錄介質(zhì)的任意組合來(lái)實(shí)現(xiàn)。

以下，參照附圖，說(shuō)明使用實(shí)施方式涉及的更新管理方法的車(chē)載網(wǎng)絡(luò)系統(tǒng)。在這里示出的實(shí)施方式均表示本發(fā)明的一具體例。因此，在以下實(shí)施方式中示出的數(shù)值、構(gòu)成要素、構(gòu)成要素的配置和連接方式以及步驟(工序)和步驟的順序等為一例，不限定本發(fā)明。以下實(shí)施方式的構(gòu)成要素中的未記載于獨(dú)立權(quán)利要求的構(gòu)成要素是能夠任意附加的構(gòu)成要素。另外，各圖為示意圖，并不是嚴(yán)密地進(jìn)行了圖示的圖。

(實(shí)施方式1)

以下，作為本發(fā)明的實(shí)施方式，使用附圖說(shuō)明在多個(gè)ECU經(jīng)由總線(xiàn)進(jìn)行通信的車(chē)載網(wǎng)絡(luò)系統(tǒng)10中使用的更新管理方法，所述多個(gè)ECU包括作為更新管理裝置的主ECU100。

作為更新管理方法，在本實(shí)施方式中，示出如下例子：在車(chē)載網(wǎng)絡(luò)系統(tǒng)10的診斷端口上連接了外部工具的情況下，主ECU100對(duì)外部工具30進(jìn)行認(rèn)證，僅在滿(mǎn)足一定條件時(shí)向外部工具30許可ECU的數(shù)據(jù)(固件等)的更新。

[1.1車(chē)載網(wǎng)絡(luò)系統(tǒng)10的整體構(gòu)成]

圖1是表示實(shí)施方式1涉及的車(chē)載網(wǎng)絡(luò)系統(tǒng)10的整體構(gòu)成的圖。此外，在該圖中，除了車(chē)載網(wǎng)絡(luò)系統(tǒng)10之外，還示出了外部工具30。該外部工具30代表地表示例如由進(jìn)行各種ECU的制造、維護(hù)的從業(yè)者等制造而成的各種外部工具(例如，后述的外部工具30a、30b)的每一個(gè)。車(chē)載網(wǎng)絡(luò)系統(tǒng)10是遵循CAN協(xié)議進(jìn)行通信的網(wǎng)絡(luò)通信系統(tǒng)的一例，是搭載了控制裝置、傳感器等各種設(shè)備的汽車(chē)(車(chē)輛)中的網(wǎng)絡(luò)通信系統(tǒng)。車(chē)載網(wǎng)絡(luò)系統(tǒng)10具備按照CAN協(xié)議經(jīng)由總線(xiàn)進(jìn)行與幀相關(guān)的通信的多個(gè)裝置(節(jié)點(diǎn))，并使用更新管理方法。具體而言，如圖1所示，車(chē)載網(wǎng)絡(luò)系統(tǒng)10包括診斷端口600、總線(xiàn)500a～500d、主ECU(更新管理裝置)100、頭單元(head unit)200、網(wǎng)關(guān)300、與各種設(shè)備連接的ECU400a～400f等ECU這樣的與總線(xiàn)連接的各節(jié)點(diǎn)而構(gòu)成。此外，在車(chē)載網(wǎng)絡(luò)系統(tǒng)10中，除了主ECU100和ECU400a～400f以外還可包括多個(gè)ECU，在這里，為方便起見(jiàn)，關(guān)注主ECU100和ECU400a～400f來(lái)進(jìn)行說(shuō)明。ECU例如是包括處理器(微處理器)、存儲(chǔ)器等的數(shù)字電路、模擬電路以及通信線(xiàn)路等的裝置。存儲(chǔ)器為ROM、RAM等，能夠存儲(chǔ)由處理器執(zhí)行的控制程序(計(jì)算機(jī)程序)。例如，處理器按照控制程序工作，由此使得ECU實(shí)現(xiàn)各種功能。此外，計(jì)算機(jī)程序是為了實(shí)現(xiàn)預(yù)定的功能而組合多條命令代碼而構(gòu)成的程序，所述命令代碼表示對(duì)處理器的指令。

診斷端口600是進(jìn)行構(gòu)成車(chē)載網(wǎng)絡(luò)系統(tǒng)10的ECU的維護(hù)時(shí)連接外部工具30的端口，用總線(xiàn)500d與主ECU100連接。診斷端口600例如是遵照OBD2(On-BoardDiagnostic2：車(chē)載診斷系統(tǒng))標(biāo)準(zhǔn)的連接器。外部工具30通過(guò)與診斷端口600連接，能夠向車(chē)載網(wǎng)絡(luò)系統(tǒng)10發(fā)送遵循CAN協(xié)議的幀。例如，外部工具30可發(fā)送用于更新ECU的固件等的更新消息或用于ECU的故障診斷的診斷用消息等、包括在車(chē)載網(wǎng)絡(luò)系統(tǒng)10中預(yù)先確定的一定范圍內(nèi)的消息ID的消息。在這里，特別關(guān)注于外部工具發(fā)送更新消息(即更新請(qǐng)求用的幀)來(lái)進(jìn)行說(shuō)明，所述更新消息包括為了分別更新ECU的固件和共有密鑰而預(yù)先確定的一定范圍內(nèi)的消息ID。

主ECU100是作為更新管理裝置的一種ECU，所述更新管理裝置具有如下作用：進(jìn)行外部工具30的認(rèn)證，基于記載在外部工具30的證書(shū)(后述的公鑰證書(shū))中的更新權(quán)限信息，對(duì)來(lái)自外部工具的更新消息進(jìn)行是否與許可更新相關(guān)的判定等。另外，主ECU100具有如下功能：在車(chē)載網(wǎng)絡(luò)系統(tǒng)10的多個(gè)ECU中的、本裝置以外的一個(gè)以上ECU的每一個(gè)的彼此間保持事前共有的同一共有密鑰，并將會(huì)話(huà)密鑰傳遞給各ECU，所述共有密鑰在幀的通信內(nèi)容涉及的加密處理用會(huì)話(huà)密鑰的傳遞中使用。

ECU400a～400f與總線(xiàn)500a～500c中的某一個(gè)連接，且分別與發(fā)動(dòng)機(jī)310、制動(dòng)器320、門(mén)開(kāi)閉傳感器330、窗開(kāi)閉傳感器340、氣囊350以及頭單元200連接。ECU400a～400e分別取得所連接的設(shè)備(發(fā)動(dòng)機(jī)310等)的狀態(tài)，并定期地將表示狀態(tài)的幀發(fā)送給網(wǎng)絡(luò)(即總線(xiàn))。頭單元200例如包括設(shè)置于汽車(chē)的儀表操縱板(儀表板)等的液晶顯示器(LCD：Liquid Crystal Display)等顯示裝置，且可進(jìn)行向車(chē)輛的駕駛員的報(bào)告。與頭單元200連接的ECU400f具有如下功能：從總線(xiàn)500c接收幀，使幀表示的各種狀態(tài)顯示在頭單元200的顯示裝置上。

網(wǎng)關(guān)300與總線(xiàn)500a、總線(xiàn)500b以及總線(xiàn)500c連接，并具有將從各條總線(xiàn)接收到的幀傳送給其他總線(xiàn)的功能，所述總線(xiàn)500a與ECU400a和ECU400b連接，所述總線(xiàn)500b與主ECU100和ECU400c～400e連接，所述總線(xiàn)500c與ECU400f連接。另外，也能夠在連接的每條總線(xiàn)間切換傳送接收到的幀還是不傳送接收到的幀。網(wǎng)關(guān)300是一種ECU。

在車(chē)載網(wǎng)絡(luò)系統(tǒng)10中，包括主ECU400在內(nèi)的各ECU遵循CAN協(xié)議，經(jīng)由總線(xiàn)進(jìn)行幀的授受。在CAN協(xié)議下的幀中，有數(shù)據(jù)幀、遠(yuǎn)程幀、超載幀以及錯(cuò)誤幀，為了便于說(shuō)明，在這里以數(shù)據(jù)幀為中心進(jìn)行說(shuō)明。

[1.2數(shù)據(jù)幀格式]

以下，說(shuō)明遵循CAN協(xié)議的數(shù)據(jù)幀，所述數(shù)據(jù)幀是在網(wǎng)絡(luò)中使用的一個(gè)幀。

圖2是表示由CAN協(xié)議規(guī)定的數(shù)據(jù)幀的格式的圖。在該圖中，示出了由CAN協(xié)議規(guī)定的標(biāo)準(zhǔn)ID格式的數(shù)據(jù)幀。數(shù)據(jù)幀由SOF(Start Of Frame：幀起始)、ID字段、RTR(Remote Transmission Request：遠(yuǎn)程發(fā)送請(qǐng)求)、IDE(Identifier Extension：標(biāo)識(shí)符擴(kuò)展)、預(yù)約位“r”、DLC(Data Length Code：數(shù)據(jù)長(zhǎng)度碼)、數(shù)據(jù)字段、CRC(Cyclic Redundancy Check：循環(huán)冗余校驗(yàn))序列、CRC分隔符“DEL”、ACK(Acknowledgement：應(yīng)答)間隙(slot)、ACK分隔符“DEL”以及EOF(End Of Frame：幀結(jié)尾)這些各字段構(gòu)成。

SOF由1個(gè)顯性位(bit)構(gòu)成。在總線(xiàn)為空閑的狀態(tài)下成為隱性，且通過(guò)SOF向顯性變更來(lái)通知幀的發(fā)送開(kāi)始。

ID字段是由11位(bit)構(gòu)成的保存ID(即消息ID)的字段，所述ID是表示數(shù)據(jù)的種類(lèi)的值。在多個(gè)節(jié)點(diǎn)同時(shí)開(kāi)始發(fā)送的情況下，為了用該ID字段進(jìn)行通信仲裁而設(shè)計(jì)為：ID為小的值的幀具有高的優(yōu)先度。

RTR是用于識(shí)別數(shù)據(jù)幀和遠(yuǎn)程幀的值，在數(shù)據(jù)幀中由1個(gè)顯性位構(gòu)成。

IDE和“r”雙方由1個(gè)顯性位構(gòu)成。

DLC由4位(bit)構(gòu)成，并且是表示數(shù)據(jù)字段的長(zhǎng)度的值。此外，將IDE、“r”以及DLC一起稱(chēng)為控制字段。

數(shù)據(jù)字段是最大由64位(bit)構(gòu)成的、表示所發(fā)送數(shù)據(jù)的內(nèi)容的值。能夠按8位調(diào)整長(zhǎng)度。所發(fā)送的數(shù)據(jù)的規(guī)格不在CAN協(xié)議中規(guī)定，而在車(chē)載網(wǎng)絡(luò)系統(tǒng)10中確定。因此，成為依存于車(chē)型、制造者(制作商)等的規(guī)格。

CRC序列由15位(bit)構(gòu)成。根據(jù)SOF、ID字段、控制字段以及數(shù)據(jù)字段的發(fā)送值而算出。

CRC分隔符是由1個(gè)隱性位構(gòu)成的表示CRC序列的結(jié)束的分隔記號(hào)。此外，將CRC序列和CRC分隔符一起稱(chēng)為CRC字段。

ACK間隙由1位(bit)構(gòu)成。發(fā)送節(jié)點(diǎn)將ACK間隙設(shè)為隱性并進(jìn)行發(fā)送。如果到CRC序列為止能夠正常接收，則接收節(jié)點(diǎn)將ACK間隙設(shè)為顯性并發(fā)送。由于顯性比隱性?xún)?yōu)先，所以如果在發(fā)送后ACK間隙為顯性，則發(fā)送節(jié)點(diǎn)能夠確認(rèn)某一個(gè)接收節(jié)點(diǎn)接收成功。

ACK分隔符是由1個(gè)隱性位構(gòu)成的表示ACK的結(jié)束的分隔記號(hào)。

EOF由7個(gè)隱性位構(gòu)成，并表示數(shù)據(jù)幀的結(jié)束。

[1.3密鑰發(fā)行系統(tǒng)]

圖3是表示與上述ECU和外部工具相關(guān)的密鑰發(fā)行系統(tǒng)的圖。密鑰發(fā)行機(jī)構(gòu)20向制造商21分發(fā)公鑰證書(shū)40a～40c、私鑰50a～50c以及共有密鑰60。分發(fā)的密鑰、證書(shū)由制造商21在制造階段等寫(xiě)入外部工具30a、30b、主ECU100以及ECU400a～400f。制造商21例如是OEM制造商(Original Equipment Manufacturer)、ECU供應(yīng)商等。記載了公鑰的公鑰證書(shū)和私鑰在公鑰基礎(chǔ)設(shè)施(PKI：Public Key Infrastructure)中利用，公鑰和私鑰是橢圓加密、RSA加密等的密鑰對(duì)。該私鑰和公鑰證書(shū)在主ECU100和外部工具30a～b間的認(rèn)證中使用。共有密鑰60代表地表示各個(gè)共有密鑰。該共有密鑰60是共用密鑰加密方式的AES(Advanced Encryption Standard：高級(jí)加密標(biāo)準(zhǔn))的密鑰，在主ECU100與其他各ECU之間共有，在幀涉及的加密處理用會(huì)話(huà)密鑰的傳遞中使用。作為幀涉及的加密處理，除了幀的數(shù)據(jù)字段的內(nèi)容的加密和解密之外，例如可列舉如下處理：在幀的發(fā)送側(cè)，在幀的數(shù)據(jù)字段中生成并附加消息認(rèn)證代碼(MAC：Message Authentication Code)并發(fā)送，在接收側(cè)，對(duì)該MAC進(jìn)行驗(yàn)證。能夠利用該MAC檢測(cè)數(shù)據(jù)的篡改。會(huì)話(huà)密鑰例如在MAC的生成中使用。

在圖3的例子中，示出了：在外部工具30a中寫(xiě)入公鑰證書(shū)40a和私鑰50a，在外部工具30b中寫(xiě)入公鑰證書(shū)40b和私鑰50b，在主ECU20中寫(xiě)入公鑰證書(shū)40c、私鑰50c以及共有密鑰60，在ECU400a～400f中寫(xiě)入共有密鑰60。在圖3的例子中，記載在公鑰證書(shū)40a中的更新權(quán)限信息的等級(jí)為3，記載在公鑰證書(shū)40b中的更新權(quán)限信息的等級(jí)為4。

[1.4公鑰證書(shū)]

圖4是表示密鑰發(fā)行機(jī)構(gòu)20為了寫(xiě)入外部工具30a、30b而發(fā)行即分發(fā)的公鑰證書(shū)40a的構(gòu)成的一例的圖。公鑰證書(shū)40b也具有同樣的構(gòu)成。

如該圖所示，公鑰證書(shū)包括版本、發(fā)行者、有效期間的開(kāi)始和結(jié)束、證書(shū)識(shí)別信息(ID)、公鑰、更新權(quán)限信息(等級(jí))以及對(duì)它們的簽名而構(gòu)成。簽名由密鑰發(fā)行機(jī)構(gòu)20或門(mén)戶(hù)服務(wù)器等認(rèn)證站賦予。因此，主ECU100能夠從外部工具30取得公鑰證書(shū)，并通過(guò)簽名的驗(yàn)證等進(jìn)行外部工具30的認(rèn)證。

公鑰證書(shū)中的更新權(quán)限信息是表示是否對(duì)外部工具30(外部工具30a、30b等)承認(rèn)發(fā)送更新消息的權(quán)限的信息，所述更新消息指示對(duì)哪個(gè)類(lèi)別的ECU進(jìn)行ECU內(nèi)的數(shù)據(jù)的更新，具體而言，表示將權(quán)限劃分為多個(gè)等級(jí)而成的等級(jí)中的一個(gè)。因此，在更新權(quán)限信息中示出了由作為簽名主體的認(rèn)證站等對(duì)外部工具30認(rèn)定的權(quán)限的等級(jí)。

此外，寫(xiě)入主ECU100的公鑰證書(shū)40c包括圖4所示的構(gòu)成例中的更新權(quán)限信息以外的各要素。

[1.5更新權(quán)限信息]

圖5是表示作為記載在圖3的公鑰證書(shū)中的更新權(quán)限信息的內(nèi)容的等級(jí)(即權(quán)限的等級(jí))、和對(duì)ECU的功能進(jìn)行分類(lèi)用的多個(gè)功能類(lèi)別的對(duì)應(yīng)關(guān)系的一例的圖。

首先，說(shuō)明ECU的功能類(lèi)別。驅(qū)動(dòng)系統(tǒng)功能是發(fā)動(dòng)機(jī)、馬達(dá)、燃料、電池、變速器等的控制這樣的與車(chē)輛行駛關(guān)聯(lián)的功能。例如，與發(fā)動(dòng)機(jī)310相關(guān)的ECU400a屬于驅(qū)動(dòng)系統(tǒng)功能這一功能類(lèi)別。底盤(pán)系統(tǒng)功能是與制動(dòng)器、轉(zhuǎn)向器等的“轉(zhuǎn)彎”、“停止”等這樣的車(chē)輛運(yùn)行等的控制關(guān)聯(lián)的功能。例如，與制動(dòng)器320相關(guān)的ECU400b屬于底盤(pán)系統(tǒng)功能這一功能類(lèi)別。車(chē)身系統(tǒng)功能是與門(mén)鎖、空調(diào)機(jī)、燈、轉(zhuǎn)向指示燈等這樣的車(chē)輛裝備的控制關(guān)聯(lián)的功能。例如，與門(mén)開(kāi)閉傳感器330相關(guān)的ECU400c和與窗開(kāi)閉傳感器340相關(guān)的ECU400d屬于車(chē)身系統(tǒng)功能這一功能類(lèi)別。另外，安全舒適功能是用于自動(dòng)地實(shí)現(xiàn)自動(dòng)制動(dòng)器、車(chē)道維持功能、車(chē)間距離維持功能、碰撞防止功能、氣囊等這樣的安全舒適的駕駛的功能。與氣囊350相關(guān)的ECU400e屬于安全舒適功能這一功能類(lèi)別。ITS(Intelligent Transport Systems：智能交通系統(tǒng))系統(tǒng)功能是與ETC(Electronic Toll Collection System：電子收費(fèi)系統(tǒng))等智能道路交通系統(tǒng)對(duì)應(yīng)的功能。車(chē)聯(lián)網(wǎng)(Telematics)系統(tǒng)功能是與使用了移動(dòng)通信的服務(wù)對(duì)應(yīng)的功能。信息娛樂(lè)系統(tǒng)功能是與汽車(chē)導(dǎo)航、音響等關(guān)聯(lián)的娛樂(lè)功能。例如，與頭單元200相關(guān)的ECU400f屬于信息娛樂(lè)系統(tǒng)功能這一功能類(lèi)別。

基于圖5例示的對(duì)應(yīng)關(guān)系等，由作為公鑰證書(shū)的簽名主體的認(rèn)證站等認(rèn)定的、作為更新權(quán)限信息的內(nèi)容的權(quán)限的等級(jí)確定上述多個(gè)功能類(lèi)別中的一個(gè)或多個(gè)功能類(lèi)別。而且，認(rèn)定為，賦予了該公鑰證書(shū)的外部工具具有：使分類(lèi)到由更新權(quán)限信息的等級(jí)確定的該一個(gè)或多個(gè)功能類(lèi)別中的某一個(gè)的ECU進(jìn)行該ECU內(nèi)的數(shù)據(jù)(固件、共有密鑰)的更新的權(quán)限，即發(fā)送固件或共有密鑰的更新用更新消息。

根據(jù)圖5的例子，記載了更新權(quán)限信息的公鑰證書(shū)被賦予給(即寫(xiě)入)各個(gè)外部工具，所述更新權(quán)限信息表示更新權(quán)限的最高的等級(jí)4至最低的等級(jí)1這4個(gè)等級(jí)中的某一個(gè)等級(jí)。各個(gè)外部工具的功能、構(gòu)成等可以各不相同。因此，例如，可考慮成為外部工具處理的對(duì)象的ECU的功能類(lèi)別、外部工具的機(jī)密性、可靠性、制造該外部工具的從業(yè)者的可靠性以及其他各種情況，確定對(duì)各個(gè)外部工具的更新權(quán)限信息。此外，圖5僅表示等級(jí)的一例，也可以是，以與該例子不同的方式來(lái)確定等級(jí)的等級(jí)數(shù)、等級(jí)與功能類(lèi)別的對(duì)應(yīng)關(guān)系等。另外，也可以是，確定某幾個(gè)等級(jí)(例如等級(jí)4和等級(jí)2)分別與相同的一個(gè)功能類(lèi)別對(duì)應(yīng)這樣的對(duì)應(yīng)關(guān)系。另外，關(guān)于功能類(lèi)別的分類(lèi)，也可以按與圖5的例子不同的方式確定。在這里，設(shè)為在更新權(quán)限信息中，相對(duì)高的等級(jí)確定包括了比其低的等級(jí)確定的一個(gè)或多個(gè)功能類(lèi)別在內(nèi)的多個(gè)功能類(lèi)別，即，高的等級(jí)包含低的等級(jí)的權(quán)限，來(lái)進(jìn)行說(shuō)明。但是，也可以是，以在權(quán)限的等級(jí)間沒(méi)有權(quán)限的包含關(guān)系的方式確定等級(jí)與功能類(lèi)別的對(duì)應(yīng)關(guān)系。但是，在對(duì)外部工具認(rèn)定的權(quán)限的等級(jí)相對(duì)低的情況下，僅許可與車(chē)輛行駛、運(yùn)行等不關(guān)聯(lián)的一部分ECU內(nèi)的數(shù)據(jù)的更新，且不使之進(jìn)行該一部分以外的ECU內(nèi)的數(shù)據(jù)的更新是有用的。具體而言，如果對(duì)外部工具承認(rèn)的權(quán)限的等級(jí)(也即是，作為更新權(quán)限信息的內(nèi)容的等級(jí))為3，則許可該外部工具對(duì)被分類(lèi)到與等級(jí)3以下的全部等級(jí)(即等級(jí)1～等級(jí)3)分別對(duì)應(yīng)的功能類(lèi)別的各ECU發(fā)送更新消息，并使之執(zhí)行ECU內(nèi)的數(shù)據(jù)的更新。

此外，在車(chē)載網(wǎng)絡(luò)系統(tǒng)10中，在外部工具30與診斷端口600連接的情況下，主ECU100從外部工具30接收確定權(quán)限的等級(jí)的更新權(quán)限信息，并基于該更新權(quán)限信息，對(duì)外部工具30發(fā)送的更新消息進(jìn)行是否許可更新涉及的判定。在該判定中，主ECU100參照等級(jí)信息1040，所述等級(jí)信息1040基于上述等級(jí)與功能類(lèi)別的對(duì)應(yīng)關(guān)系(參照?qǐng)D5)確定。后面將使用圖8說(shuō)明等級(jí)信息1040。

[1.6共有密鑰]

圖6是表示主ECU100、ECU400a～400f保持的共有密鑰的圖。具體而言，如該圖所示，上述共有密鑰60具有：由全部ECU共有的共有密鑰60a、由ECU400f和主ECU100共有的共有密鑰60b、由ECU400c、400d和主ECU100共有的共有密鑰60c、由ECU400a、400b和主ECU100共有的共有密鑰60d以及由ECU400e和主ECU100共有的共有密鑰60e。

[1.7主ECU(更新管理裝置)100的構(gòu)成]

圖7是主ECU100的構(gòu)成圖。主ECU100包括收發(fā)部101、密鑰保持部102、判定部103、等級(jí)信息保持部104、幀收發(fā)部160、幀解釋部150、接收ID判斷部130、接收ID列表保持部140、幀處理部110以及幀生成部120而構(gòu)成。這些各構(gòu)成要素為功能性構(gòu)成要素，該各功能利用主ECU100中的通信線(xiàn)路、執(zhí)行保存在存儲(chǔ)器中的控制程序的處理器或數(shù)字電路等來(lái)實(shí)現(xiàn)。

為了進(jìn)行主ECU100與外部工具30(外部工具30a、30b)之間的認(rèn)證，收發(fā)部101接收主ECU100的公鑰證書(shū)40c的發(fā)送和來(lái)自外部工具30的公鑰證書(shū)(公鑰證書(shū)40a或公鑰證書(shū)40b)。另外，收發(fā)部101接收經(jīng)由診斷端口600從外部工具30對(duì)總線(xiàn)500d發(fā)送的遵循CAN協(xié)議的更新消息，另外，進(jìn)行利用更新消息的更新的結(jié)果的發(fā)送。

密鑰保持部102保持主ECU100的公鑰證書(shū)40c、私鑰50c以及共有密鑰60a～60e。此外，也可以是，將MAC密鑰保持于密鑰保持部102，所述MAC密鑰在作為對(duì)遵循CAN協(xié)議的數(shù)據(jù)幀中的數(shù)據(jù)的加密處理而賦予MAC的情況下使用。另外，也可以是，將會(huì)話(huà)密鑰保持于密鑰保持部102，所述會(huì)話(huà)密鑰在與外部工具30等之間的通信涉及的加密處理中使用。會(huì)話(huà)密鑰也可利用于MAC的生成。

幀收發(fā)部160對(duì)總線(xiàn)500b收發(fā)遵循CAN協(xié)議的幀。也就是說(shuō)，接收來(lái)自ECU400a～400f的幀，并向ECU400a～400f發(fā)送幀。從總線(xiàn)500b逐比特(bit)接收幀，并傳遞給幀解釋部150。另外，向總線(xiàn)500b逐比特發(fā)送從幀生成部120接受到通知的幀的內(nèi)容。

幀解釋部150從幀收發(fā)部160接受幀的值，并進(jìn)行解釋以映射到由CAN協(xié)議規(guī)定的幀格式的各字段。幀解釋部150向接收ID判斷部130傳送判斷為ID字段的值(消息ID)。根據(jù)從接收ID判斷部130通知的判定結(jié)果，決定是向幀處理部110傳送ID字段的值和ID字段以后出現(xiàn)的數(shù)據(jù)字段，還是中止幀的接收(即中止作為該幀的解釋)。另外，在判斷為是沒(méi)有遵循CAN協(xié)議的幀的情況下，通知幀生成部120發(fā)送錯(cuò)誤幀。另外，幀解釋部150在接收到錯(cuò)誤幀的情況下，即根據(jù)接受到的幀中的值解釋為成為錯(cuò)誤幀的情況下，自此廢棄該幀，即中止幀的解釋。

接收ID判斷部130接受從幀解釋部150通知的ID字段的值，按照接收ID列表保持部140保持的消息ID的列表，進(jìn)行是否接收該ID字段以后的幀的各字段的判定。接收ID判斷部130向幀解釋部150通知該判定結(jié)果。另外，與幀解釋部150同樣地，接收ID判斷部130進(jìn)行消息ID是否是應(yīng)接收的幀的ID的判定，并也對(duì)判定部103通知判定結(jié)果。

接收ID列表保持部140保持接收ID列表，所述接收ID列表是主ECU100接收的消息ID的列表。

幀生成部120按照從幀解釋部150通知的錯(cuò)誤幀發(fā)送請(qǐng)求，構(gòu)成錯(cuò)誤幀，將錯(cuò)誤幀向幀收發(fā)部160通知并使該錯(cuò)誤幀發(fā)送。另外，當(dāng)從判定部103接受生成幀的指示時(shí)，實(shí)施對(duì)數(shù)據(jù)的加密處理(例如與會(huì)話(huà)密鑰等對(duì)應(yīng)的MAC的附加等)并構(gòu)成幀，向幀收發(fā)部160通知并使該幀發(fā)送。

判定部103通過(guò)驗(yàn)證從外部工具30接收到的包括更新權(quán)限信息的公鑰證書(shū)來(lái)認(rèn)證外部工具30。當(dāng)判定部103對(duì)從外部工具30接收到的公鑰證書(shū)的驗(yàn)證成功時(shí)，外部工具30的認(rèn)證成功。此外，判定部103對(duì)公鑰證書(shū)的驗(yàn)證成功也是更新權(quán)限信息的驗(yàn)證成功。在由收發(fā)部101接收到更新消息的情況下，判定部103通過(guò)判定更新權(quán)限信息的驗(yàn)證是否成功，且更新權(quán)限信息表示該更新消息的發(fā)送是否在外部工具30的權(quán)限范圍內(nèi)，從而進(jìn)行是否許可與更新消息對(duì)應(yīng)的更新的判定。該判定通過(guò)判別接收到的更新消息的消息ID和接收到的公鑰證書(shū)所記載的更新權(quán)限信息表示的等級(jí)是否是參照等級(jí)信息保持部104保持的等級(jí)信息1040(后述)而適當(dāng)對(duì)應(yīng)的消息ID和等級(jí)來(lái)進(jìn)行。在判定部103判定為更新權(quán)限信息表示由外部工具30進(jìn)行的更新消息的發(fā)送在外部工具30的權(quán)限范圍內(nèi)的情況下(也即是，判定為是被許可的更新消息的情況下)，向幀生成部120發(fā)出指示，以為了向其他ECU傳送用(也即是，向總線(xiàn)500b送出用)而生成作為與該(原來(lái)的)更新消息對(duì)應(yīng)的幀的新的更新消息。此外，幀生成部120為傳送用而生成的的新的更新消息的消息ID與原來(lái)的更新消息相同，更新消息的數(shù)據(jù)字段內(nèi)的數(shù)據(jù)也實(shí)質(zhì)上相同，在對(duì)數(shù)據(jù)實(shí)施加密處理的情況下，對(duì)該數(shù)據(jù)實(shí)施的加密處理(例如，附加到數(shù)據(jù)的MAC)不同。由幀生成部120生成的更新消息由幀收發(fā)部160向總線(xiàn)500b送出。由此，在判定為來(lái)自外部工具30的更新權(quán)限信息的驗(yàn)證成功、且來(lái)自外部工具30的更新消息是被許可的更新消息的情況下，利用主ECU100向其他ECU(也即是，向總線(xiàn)500b)傳送該更新消息。另外，在判定部103判定為來(lái)自外部工具30的共有密鑰更新用更新消息為被許可的更新消息的情況下，更新保持于密鑰保持部102的共有密鑰。

幀處理部110根據(jù)從總線(xiàn)500b接收到的幀的數(shù)據(jù)，進(jìn)行預(yù)先確定的處理。幀處理部110例如在從總線(xiàn)500b接收到表示利用更新消息的在各ECU中的更新的結(jié)果的幀的情況下，生成以該更新的結(jié)果作為內(nèi)容的消息(幀)，并使收發(fā)部101向與診斷端口600連接的總線(xiàn)500d送出。

等級(jí)信息保持部104保持等級(jí)信息1040。

[1.8等級(jí)信息]

圖8是表示等級(jí)信息保持部104保持的等級(jí)信息1040的一例的圖。

等級(jí)信息1040是將消息ID1041和等級(jí)1042進(jìn)行了關(guān)聯(lián)的信息，用于在判定部103中判定是否許可來(lái)自外部工具30的更新消息。

消息ID1041表示可從外部工具30發(fā)送的更新消息的消息ID。在這里，設(shè)為確定“0x100”～“0x104”作為ECU保持的共有密鑰更新用更新消息的消息ID，確定“0x200”～“0x206”作為ECU的固件更新用更新消息的消息ID來(lái)進(jìn)行說(shuō)明。

等級(jí)1042表示為了發(fā)送對(duì)應(yīng)的消息ID的更新消息所需的權(quán)限的等級(jí)。該等級(jí)與作為更新權(quán)限信息的內(nèi)容的等級(jí)呼應(yīng)。例如，如果記載在外部工具30的公鑰證書(shū)中的更新權(quán)限信息表示的等級(jí)的值示出表示與等級(jí)1042的值相同或比其更高的權(quán)限的值，則外部工具30具有發(fā)送與該等級(jí)1042的值關(guān)聯(lián)的消息ID1041的更新消息的權(quán)限。相反地，如果記載在外部工具30的公鑰證書(shū)中的更新權(quán)限信息表示的等級(jí)的值是表示比等級(jí)1042的值低的權(quán)限的值，則外部工具30沒(méi)有發(fā)送與該等級(jí)1042關(guān)聯(lián)的消息ID1041的更新消息的權(quán)限。

圖8所示的消息ID“0x100”是主ECU100和ECU400a～400f保持的共有密鑰60a的更新用更新消息的消息ID。在等級(jí)信息1040中，與該消息ID“0x100”對(duì)應(yīng)的等級(jí)1042的值設(shè)定為最高的4。該4是成為共有密鑰60a的更新對(duì)象的各ECU的功能類(lèi)別所對(duì)應(yīng)的等級(jí)中的最高等級(jí)(具體而言，是作為ECU400e的功能類(lèi)別的安全舒適功能所對(duì)應(yīng)的等級(jí))的值(參照?qǐng)D5)。

消息ID“0x101”是主ECU100和ECU400e保持的共有密鑰60e的更新用更新消息的消息ID。與具有安全舒適功能的ECU400e對(duì)應(yīng)而將等級(jí)1042的值設(shè)定為4。

消息ID“0x102”是主ECU100和ECU400a、400b保持的共有密鑰60d的更新用更新消息的消息ID。與具有驅(qū)動(dòng)系統(tǒng)功能的ECU400a和具有底盤(pán)系統(tǒng)功能的ECU400b對(duì)應(yīng)而將等級(jí)1042的值設(shè)定為3。

消息ID“0x103”是主ECU100和ECU400c、400d保持的共有密鑰60c的更新用更新消息的消息ID。與具有車(chē)身系統(tǒng)功能的ECU400c、400d對(duì)應(yīng)而將等級(jí)1042的值設(shè)定為2。

消息ID“0x104”是主ECU100和ECU400f保持的共有密鑰60b的更新用更新消息的消息ID。與具有信息娛樂(lè)系統(tǒng)功能的ECU400f對(duì)應(yīng)而將等級(jí)1042的值設(shè)定為1。

消息ID“0x200”是主ECU100的固件更新用更新消息的消息ID。特別處理主ECU100，與該消息ID對(duì)應(yīng)的等級(jí)1042的值設(shè)定為最高等級(jí)4。

消息ID“0x201”是ECU400e的固件更新用更新消息的消息ID。與該消息ID對(duì)應(yīng)的等級(jí)1042的值與具有安全舒適功能的ECU400e對(duì)應(yīng)，設(shè)定為4。

消息ID“0x202”是ECU400b的固件更新用更新消息的消息ID。與該消息ID對(duì)應(yīng)的等級(jí)1042的值與具有底盤(pán)系統(tǒng)功能的ECU400b對(duì)應(yīng)，設(shè)定為3。

消息ID“0x203”是ECU400a的固件更新用更新消息的消息ID。與該消息ID對(duì)應(yīng)的等級(jí)1042的值與具有驅(qū)動(dòng)系統(tǒng)功能的ECU400a對(duì)應(yīng)，設(shè)定為3。

消息ID“0x204”是ECU400c的固件更新用更新消息的消息ID。與該消息ID對(duì)應(yīng)的等級(jí)1042的值與具有車(chē)身系統(tǒng)功能的ECU400c對(duì)應(yīng)，設(shè)定為2。

消息ID“0x205”是ECU400d的固件更新用更新消息的消息ID。與該消息ID對(duì)應(yīng)的等級(jí)1042的值與具有車(chē)身系統(tǒng)功能的ECU400d對(duì)應(yīng)，設(shè)定為2。

消息ID“0x206”是ECU400f的固件更新用更新消息的消息ID。與該消息ID對(duì)應(yīng)的等級(jí)1042的值與具有信息娛樂(lè)系統(tǒng)功能的ECU400f對(duì)應(yīng)，設(shè)定為1。

[1.9ECU400a的構(gòu)成]

圖9是ECU400a的構(gòu)成圖。ECU400a包括密鑰保持部402、幀收發(fā)部460、幀解釋部450、接收ID判斷部430、接收ID列表保持部440、幀處理部410、幀生成部420以及數(shù)據(jù)取得部470而構(gòu)成。這些各構(gòu)成要素為功能性構(gòu)成要素，該各功能利用ECU400a中的通信線(xiàn)路、執(zhí)行保存在存儲(chǔ)器中的控制程序的處理器或數(shù)字電路等來(lái)實(shí)現(xiàn)。此外，ECU400b～400f也具備與ECU400a基本同樣的構(gòu)成。

密鑰保持部402保持圖6所示的共有密鑰。即，ECU400a的密鑰保持部402保持共有密鑰60a、60d。也可以是，將MAC密鑰保持于密鑰保持部402，所述MAC密鑰在作為對(duì)遵循CAN協(xié)議的數(shù)據(jù)幀中的數(shù)據(jù)的加密處理而賦予MAC的情況下使用。另外，也可以是，將會(huì)話(huà)密鑰保持于密鑰保持部402，所述會(huì)話(huà)密鑰在與其他ECU等之間的通信所涉及的加密處理中使用。會(huì)話(huà)密鑰也可利用于MAC的生成。

幀收發(fā)部460對(duì)總線(xiàn)500a收發(fā)遵循CAN協(xié)議的幀。從總線(xiàn)500a逐比特接收幀，并傳送給幀解釋部450。另外，向總線(xiàn)500a發(fā)送從幀生成部420接受到通知的幀的內(nèi)容。

幀解釋部450從幀收發(fā)部460接受幀的值，并進(jìn)行進(jìn)行解釋以映射到CAN協(xié)議中的各字段。判斷為ID字段的值向接收ID判斷部430傳送。根據(jù)從接收ID判斷部430通知的判定結(jié)果，決定是向幀處理部410傳送ID字段的值(消息ID)和ID字段以后出現(xiàn)的數(shù)據(jù)字段，還是在接受該判定結(jié)果以后中止幀的接收(即中止作為該幀的解釋)。另外，在判斷為是沒(méi)有遵循CAN協(xié)議的幀的情況下，通知幀生成部420發(fā)送錯(cuò)誤幀。另外，幀解釋部450在接收到錯(cuò)誤幀的情況下，即根據(jù)接受到的幀中的值解釋為成為錯(cuò)誤幀的情況下，自此廢棄該幀，即中止幀的解釋。

接收ID判斷部430接受從幀解釋部450通知的ID字段的值，按照接收ID列表保持部440保持的消息ID的列表，進(jìn)行是否接收該ID字段以后的幀的各字段的判定。接收ID判斷部430向幀解釋部450通知該判定結(jié)果。

接收ID列表保持部440保持接收ID列表，所述接收ID列表是ECU400a接收的消息ID的列表(參照?qǐng)D10)。

幀處理部410根據(jù)接收到的幀的數(shù)據(jù)，進(jìn)行按每個(gè)ECU不同的功能所涉及的處理。例如，與發(fā)動(dòng)機(jī)310連接的ECU400a可根據(jù)發(fā)動(dòng)機(jī)310的旋轉(zhuǎn)速度與從其他ECU接收到的幀的數(shù)據(jù)表示的車(chē)輛的一部分狀態(tài)之間的關(guān)系，進(jìn)行預(yù)先確定的控制。

數(shù)據(jù)取得部470取得表示與ECU連接的設(shè)備、傳感器的狀態(tài)的數(shù)據(jù)，并通知幀生成部420。

幀生成部420按照從幀解釋部450通知的錯(cuò)誤幀發(fā)送請(qǐng)求，構(gòu)成錯(cuò)誤幀，并向幀收發(fā)部460通知錯(cuò)誤幀并使之發(fā)送。另外，幀生成部420對(duì)基于從數(shù)據(jù)取得部470通知的數(shù)據(jù)而確定的數(shù)據(jù)字段的值附加預(yù)先確定的消息ID而構(gòu)成數(shù)據(jù)幀，并向幀收發(fā)部460通知并使該數(shù)據(jù)幀發(fā)送。此外，幀生成部420可對(duì)數(shù)據(jù)字段的值附加使用MAC密鑰或會(huì)話(huà)密鑰生成的MAC。

[1.10接收ID列表]

圖10表示ECU400a的接收ID列表保持部440保持的接收ID列表900的一例。

圖10的例子示出了ECU400a接收帶有消息ID“0x102”的共有密鑰的更新用更新消息、帶有消息ID“0x203”的固件更新用更新消息等。ECU400a接收的消息(幀)的消息ID不限于“0x102”、“0x203”，但在圖10的例子中，特別關(guān)注更新消息的消息ID并表示。

此外，主ECU100的接收ID列表保持部140保持的接收ID列表也與接收ID列表900同樣，是列舉了主ECU100能夠接收的消息的消息ID的構(gòu)成。

[1.11共有密鑰更新時(shí)序]

以下，作為更新管理方法的一例，使用圖11和圖12說(shuō)明將外部工具30a與診斷端口600連接，從外部工具30a更新車(chē)載網(wǎng)絡(luò)系統(tǒng)10中的ECU保持的共有密鑰的情況下的工作(共有密鑰更新時(shí)序)。

圖11和圖12是表示在外部工具30a、主ECU100、ECU400a之間進(jìn)行的共有密鑰更新時(shí)序的一例的圖。在這里，為了方便起見(jiàn)，關(guān)注作為外部工具30之一的外部工具30a和作為ECU400a～400f中的一個(gè)的ECU400a來(lái)進(jìn)行說(shuō)明。另外，假想為了更新具有驅(qū)動(dòng)系統(tǒng)功能和底盤(pán)系統(tǒng)功能的各ECU保持的共有密鑰而使用外部工具30a的場(chǎng)面并進(jìn)行說(shuō)明。具體而言，從外部工具30a向車(chē)載網(wǎng)絡(luò)系統(tǒng)10發(fā)送用于更新具有驅(qū)動(dòng)系統(tǒng)功能的ECU400a和具有底盤(pán)系統(tǒng)功能的ECU400b各自保持的共有密鑰60d的帶有消息ID“0x102”的更新消息。由于ECU400b的工作與ECU400a的工作相同，所以在這里省略說(shuō)明。

首先，在外部工具30a物理地連接到用總線(xiàn)500d與主ECU100連接的診斷端口600的狀態(tài)下，外部工具30a通過(guò)向總線(xiàn)500d送出證書(shū)(也即是，外部工具30a保持的公鑰證書(shū)40a)，從而為了通信連接而對(duì)ECU100發(fā)送認(rèn)證請(qǐng)求(步驟S1001)。此外，外部工具30a例如可根據(jù)利用者的操作等，發(fā)送車(chē)載網(wǎng)絡(luò)系統(tǒng)10的ECU內(nèi)的數(shù)據(jù)(共有密鑰、固件)的更新用更新消息。但是，為了利用更新消息實(shí)現(xiàn)更新，需要在更新消息的發(fā)送之前，例如根據(jù)利用者的操作等發(fā)送認(rèn)證請(qǐng)求(證書(shū))。

主ECU100的收發(fā)部101接收公鑰證書(shū)40a，在判定部103中驗(yàn)證公鑰證書(shū)40a(步驟S1002)。關(guān)于公鑰證書(shū)40a的驗(yàn)證，例如，驗(yàn)證認(rèn)證站的簽名，而且用挑戰(zhàn)響應(yīng)(CR)認(rèn)證方式確認(rèn)外部工具30a是否保持有與記載在公鑰證書(shū)40a中的公鑰對(duì)應(yīng)的私鑰。在CR認(rèn)證方式中，例如，主ECU100向外部工具30a發(fā)送隨機(jī)數(shù)，當(dāng)外部工具30a向主ECU100返回作為用私鑰加密隨機(jī)數(shù)得到的結(jié)果的加密隨機(jī)數(shù)時(shí)，主ECU用公鑰證書(shū)40a內(nèi)的公鑰解密加密隨機(jī)數(shù)，并確認(rèn)是否與最初發(fā)送的隨機(jī)數(shù)相等。如果步驟S1002中的驗(yàn)證失敗，則主ECU100進(jìn)行錯(cuò)誤處理(步驟S1003)。通過(guò)在步驟S1003中的錯(cuò)誤處理，不承認(rèn)來(lái)自外部工具30a的通信連接，外部工具30a例如無(wú)法發(fā)送更新消息并更新ECU的數(shù)據(jù)。此外，主ECU100既可以向外部工具30a返回錯(cuò)誤之意的響應(yīng)作為錯(cuò)誤處理，也可以不返回。

如果步驟S1002中的驗(yàn)證成功，則主ECU100使用隨機(jī)數(shù)生成會(huì)話(huà)密鑰，所述會(huì)話(huà)密鑰用于在與外部工具30a的通信中實(shí)施加密處理(步驟S1004)。例如，在加密更新消息內(nèi)的數(shù)據(jù)的情況下，會(huì)話(huà)密鑰作為用于加密的密鑰使用，另外，在更新消息內(nèi)的數(shù)據(jù)中附加MAC的情況下，會(huì)話(huà)密鑰作為用于生成MAC的密鑰使用。

在步驟S1004之后，主ECU100的收發(fā)部101用外部工具30a的公鑰加密會(huì)話(huà)密鑰，向外部工具30a發(fā)送作為加密結(jié)果的加密會(huì)話(huà)密鑰、主ECU100的公鑰證書(shū)40c(步驟S1005)。

在外部工具30a中，進(jìn)行主ECU100的公鑰證書(shū)40c的驗(yàn)證(步驟S1006)。如果驗(yàn)證失敗，則進(jìn)行錯(cuò)誤處理(步驟S1007)。另外，如果驗(yàn)證成功，則外部工具30a用外部工具30a保持的私鑰解密在步驟S1004中從主ECU100發(fā)送并接收到的加密會(huì)話(huà)密鑰，并取得會(huì)話(huà)密鑰(步驟S1008)。

步驟S1008之后，外部工具30a生成帶有消息ID“0x102”的共有密鑰60d的更新用更新消息，并使用會(huì)話(huà)密鑰對(duì)更新消息實(shí)施加密處理(步驟S1009)。作為對(duì)更新消息的加密處理的例子，可列舉：在數(shù)據(jù)字段中存儲(chǔ)例如共有密鑰60d的更新所需的數(shù)據(jù)(例如，在ECU400a中利用帶密鑰哈希函數(shù)等進(jìn)行更新的情況下，成為該密鑰的數(shù)據(jù))并加密該數(shù)據(jù)或在該數(shù)據(jù)上附加MAC等。另外，即使是在共有密鑰60d的更新中無(wú)需數(shù)據(jù)的情況下，例如也可將與更新消息的整體或一部分對(duì)應(yīng)的MAC存儲(chǔ)在數(shù)據(jù)字段中。例如，在車(chē)載網(wǎng)絡(luò)系統(tǒng)10中，關(guān)于進(jìn)行怎樣的處理來(lái)作為與更新消息對(duì)應(yīng)的加密處理，預(yù)先規(guī)定應(yīng)進(jìn)行的預(yù)定加密處理(也即是，使用了會(huì)話(huà)密鑰的預(yù)定加密處理)。然后，各ECU按照該規(guī)定，與適當(dāng)?shù)?也即是，使用會(huì)話(huà)密鑰的驗(yàn)證成功)實(shí)施了預(yù)定加密處理(例如MAC的附加)的更新消息對(duì)應(yīng)而進(jìn)行更新，如果沒(méi)有適當(dāng)?shù)貙?shí)施預(yù)定加密處理，則對(duì)該更新消息制止更新。

外部工具30a將在步驟S1009中生成的更新消息發(fā)送給主ECU100(步驟S1010)。

判定部103利用接收ID判斷部130判別通過(guò)外部工具30a在步驟S1010中發(fā)送而主ECU100的收發(fā)部101接收到的消息(幀)的消息ID是否為應(yīng)接收ID(步驟S1011)。共有密鑰更新用消息ID“0x100”～“0x104”和固件更新用消息ID“0x200”～“0x206”被判別為是應(yīng)接收ID。在這里，由于假想了外部工具30a發(fā)送更新消息來(lái)進(jìn)行說(shuō)明，所以將來(lái)自外部工具30a的消息(幀)稱(chēng)為更新消息，但由于實(shí)際上也有可能不是更新消息，所以在步驟S1011中進(jìn)行判別。也就是說(shuō)，如果從外部工具30a發(fā)送來(lái)的消息(幀)實(shí)際上是更新消息，則判別為應(yīng)接收。此外，在這里，為了便于說(shuō)明，主ECU100不將來(lái)自連接到診斷端口600的外部工具30(例如外部工具30a等)的更新消息以外的消息的消息ID作為應(yīng)接收ID來(lái)處理。

在步驟S1011中判定為收發(fā)部101接收到的消息的消息ID不是應(yīng)接收ID的情況下，主ECU100的判定部103中止該消息ID的消息所涉及的處理，在收發(fā)部101中不接收ID字段以后的內(nèi)容(數(shù)據(jù)字段等)并結(jié)束處理(步驟S1012)。

在步驟S1011中判定為收發(fā)部101接收到的消息的消息ID是應(yīng)接收ID的情況下，主ECU100的判定部103根據(jù)接收到的消息的消息ID“0x102”、和記載在外部工具30a的公鑰證書(shū)40a中的更新權(quán)限信息的等級(jí)與保持于等級(jí)信息保持部104的等級(jí)信息1040中的消息ID1041、和等級(jí)1042之間的對(duì)應(yīng)關(guān)系是否一致，判定接收到的消息是否是被許可的更新消息(步驟S1013)。即，判定部103基于等級(jí)信息1040，判定更新權(quán)限信息是否表示利用外部工具30a的更新消息的發(fā)送在外部工具30a的權(quán)限范圍內(nèi)。如果接收到的消息不是被許可的更新消息，則進(jìn)行錯(cuò)誤處理(步驟S1014)。通過(guò)在步驟S1014中的錯(cuò)誤處理，能制止與更新消息對(duì)應(yīng)的更新。在這里，當(dāng)設(shè)為公鑰證書(shū)40a的更新權(quán)限信息的等級(jí)為3(參照?qǐng)D3)時(shí)，由于與消息ID“0x102”的更新消息之間的對(duì)應(yīng)關(guān)系和等級(jí)信息1040表示的對(duì)應(yīng)關(guān)系(參照?qǐng)D8)一致，所以判定部103判定為從外部工具30a接收到的更新消息為被許可的更新消息。

在步驟S1013中判定為接收到的消息的發(fā)送在外部工具30a的權(quán)限范圍內(nèi)的情況下(也即是，在判定為接收到的消息為被許可的更新消息的情況下)，判定部103向幀生成部120發(fā)出指示，以生成傳送用的更新消息(步驟S1015)。由此，在幀生成部120中，基于主ECU100從外部工具30a接收到的原來(lái)的更新消息，為了向總線(xiàn)500b的傳送用(即向其他ECU的傳送用)而生成新的更新消息(幀)。例如，在將用于主ECU100與外部工具30a的通信的會(huì)話(huà)密鑰、和用于與其他ECU(至少與總線(xiàn)500b連接的各ECU)的通信的會(huì)話(huà)密鑰設(shè)為不同的情況下，如果對(duì)原來(lái)的更新消息實(shí)施的加密處理為加密，則幀生成部120通過(guò)使用與外部工具30a的通信用的會(huì)話(huà)密鑰進(jìn)行解密，對(duì)該處理的結(jié)果使用在與其他ECU的通信中使用的會(huì)話(huà)密鑰實(shí)施加密，從而生成新的更新消息。另外，如果對(duì)原來(lái)的更新消息實(shí)施的加密處理為MAC的附加，則幀生成部120通過(guò)使用在與其他ECU的通信中使用的會(huì)話(huà)密鑰生成MAC，用生成的MAC置換原來(lái)的更新消息的MAC，從而生成新的更新消息。在該情況下，也可以是，在對(duì)原來(lái)的更新消息的MAC進(jìn)行驗(yàn)證且驗(yàn)證失敗的情況下進(jìn)行錯(cuò)誤處理。另外，例如，在將用于主ECU100與外部工具30a的通信的會(huì)話(huà)密鑰、用于與其他ECU的通信的會(huì)話(huà)密鑰設(shè)為相同的情況下，幀生成部120生成與原來(lái)的更新消息相同的新的更新消息。

在步驟S1015之后，幀收發(fā)部160將主ECU100的幀生成部120生成的更新消息向總線(xiàn)500b送出(步驟S1016)。即，在從外部工具30a發(fā)送了更新消息的情況下，在更新權(quán)限信息的驗(yàn)證(即公鑰證書(shū)的驗(yàn)證)成功，且更新權(quán)限信息表示更新消息的發(fā)送在外部工具30a的權(quán)限范圍內(nèi)時(shí)，主ECU100將更新消息傳送給總線(xiàn)500b。此外，在更新權(quán)限信息的驗(yàn)證失敗時(shí)或者更新權(quán)限信息未表示更新消息的發(fā)送在外部工具30a的權(quán)限范圍內(nèi)時(shí)，不進(jìn)行更新消息向總線(xiàn)500b的傳送。

由主ECU100向總線(xiàn)500b送出的更新消息通過(guò)網(wǎng)關(guān)300傳送給總線(xiàn)500a和總線(xiàn)500c。由此，ECU400a～400f能夠接收更新消息。因此，當(dāng)主ECU100判定為更新權(quán)限信息表示某消息ID的更新消息的發(fā)送在外部工具30a的權(quán)限范圍內(nèi)時(shí)，可利用為了接收該消息ID的更新消息而預(yù)先確定的ECU，執(zhí)行與更新消息對(duì)應(yīng)的更新。

在ECU400a(參照?qǐng)D9)中，由幀收發(fā)部460接收更新消息，由幀解釋部450解釋該消息的內(nèi)容，向接收ID判斷部430查詢(xún)是否是應(yīng)接收ID。接收ID判斷部430參照接收ID列表保持部440保持的接收ID列表，判斷接收到的消息的ID字段的值是否是應(yīng)接收ID(步驟S1017)。接收ID判斷部430在步驟S1017中判定為由幀收發(fā)部460接收到的消息的消息ID不是應(yīng)接收ID的情況下，幀解釋部450中止該接收到的消息所涉及的處理，在幀收發(fā)部460中不接收ID字段以后的內(nèi)容并結(jié)束處理(步驟S1018)。

接收ID判斷部430在步驟S1017中判斷為由幀收發(fā)部460接收到的消息的ID字段的值是應(yīng)接收ID的情況下，ECU400a利用幀處理部410執(zhí)行與該消息(即更新消息)對(duì)應(yīng)的處理(即共有密鑰60d的更新)(步驟S1019)。在幀處理部410中，根據(jù)密鑰保持部402當(dāng)前保持的共有密鑰60d，使用更新消息的數(shù)據(jù)字段內(nèi)的密鑰數(shù)據(jù)，利用帶密鑰哈希函數(shù)生成更新后的新的共有密鑰60d。在更新中不一定必須利用帶密鑰哈希函數(shù)，作為另一例，可列舉使用沒(méi)有密鑰的哈希函數(shù)(單向函數(shù))，將原來(lái)的共有密鑰更新為新的共有密鑰。此外，在ECU400a中，使用會(huì)話(huà)密鑰進(jìn)行對(duì)更新消息實(shí)施的加密處理(加密或MAC附加)所對(duì)應(yīng)的處理(解密或MAC驗(yàn)證)，取得更新消息的密鑰數(shù)據(jù)。

ECU400a在共有密鑰60d的更新后將表示更新的結(jié)果的消息(稱(chēng)為更新結(jié)果消息)向總線(xiàn)500a送出(S1020)，以向主ECU100傳遞。此外，更新結(jié)果消息的消息ID預(yù)先確定，主ECU100將更新結(jié)果消息的消息ID保持在接收ID列表保持部140的列表中。更新結(jié)果消息例如表示已完成更新之意(即更新成功之意)。此外，也可以是，在更新時(shí)產(chǎn)生了錯(cuò)誤的情況下(例如密鑰數(shù)據(jù)的MAC驗(yàn)證失敗等情況下)，更新結(jié)果消息表示更新失敗之意。利用網(wǎng)關(guān)300從總線(xiàn)500a向總線(xiàn)500b傳送更新結(jié)果消息。

當(dāng)主ECU100接收更新結(jié)果消息時(shí)，密鑰保持部102用與ECU400a相同的方法更新密鑰保持部102保持的共有密鑰60d(參照?qǐng)D6)(步驟S1021)。此外，也可以是，主ECU100例如僅在接受到來(lái)自ECU400a的表示更新成功之意的更新結(jié)果消息和來(lái)自ECU400b的表示更新成功之意的更新結(jié)果消息這兩方的情況下，更新密鑰保持部102保持的共有密鑰60d。

主ECU100通過(guò)向總線(xiàn)500d送出在步驟S1020中接收到的更新結(jié)果消息，經(jīng)由診斷端口600發(fā)送給外部工具30a(步驟S1022)。由此，在外部工具30a中接收更新結(jié)果消息，知道在車(chē)載網(wǎng)絡(luò)系統(tǒng)10中目的更新已完成這一情況，例如可向利用者報(bào)告(例如，如果外部工具30a具有顯示裝置則進(jìn)行顯示等)更新的完成。

以上，示出了外部工具30a發(fā)送ECU400a、400b和主ECU100各自保持的共有密鑰60d的更新用更新消息的例子，但在發(fā)送了其他ECU保持的共有密鑰的更新用更新消息的情況下，或發(fā)送了ECU內(nèi)的固件更新用更新消息的情況下，各裝置也進(jìn)行同樣的工作。此外，也可以是，外部工具30a在發(fā)送了一次認(rèn)證請(qǐng)求后，逐次發(fā)送各更新消息。在該情況下，在執(zhí)行一次步驟S1001至步驟S1008的處理后，每當(dāng)外部工具30a發(fā)送各更新消息時(shí)，反復(fù)進(jìn)行步驟S1009以后的處理。另外，ECU內(nèi)的固件更新用更新消息例如包括用于確定更新后的固件內(nèi)容的信息，在成為更新消息的對(duì)象的ECU中，基于用于確定該更新后的固件內(nèi)容的信息來(lái)改寫(xiě)固件。固件例如包括ECU內(nèi)的程序等軟件、在程序中使用的數(shù)據(jù)，例如可包括ECU內(nèi)的處理器中的微代碼。另外，例如在ECU包括FPGA(Field Programmable Gate Array：現(xiàn)場(chǎng)可編程門(mén)陣列)等的情況下，固件可包括電路構(gòu)成用的數(shù)據(jù)。另外，在這里的說(shuō)明中，為了方便起見(jiàn)，分別處理共有密鑰和固件，但也可以對(duì)固件包括共有密鑰進(jìn)行處理。

[1.12實(shí)施方式1的效果]

在實(shí)施方式1涉及的車(chē)載網(wǎng)絡(luò)系統(tǒng)10中，基于更新權(quán)限信息表示的與ECU的功能類(lèi)別對(duì)應(yīng)而確定的等級(jí)，判定與診斷端口600連接的外部工具30是否具有更新特定的ECU內(nèi)的數(shù)據(jù)的更新消息的發(fā)送權(quán)限，即外部工具30是否具有更新特定的ECU內(nèi)的數(shù)據(jù)的權(quán)限，所述更新權(quán)限信息表示對(duì)外部工具30認(rèn)定的權(quán)限。由此，能夠防止由非法外部工具更新ECU內(nèi)的共有密鑰或固件。另外，能夠按每個(gè)外部工具，例如根據(jù)外部工具的機(jī)密性、可靠性、操作外部工具的從業(yè)者的可靠性以及其他各種情況，使更新權(quán)限信息的等級(jí)不同來(lái)設(shè)定(和認(rèn)定)。也能夠?qū)Σ煌木S護(hù)人員等分發(fā)改變了等級(jí)的外部工具，能夠根據(jù)各種情況進(jìn)行靈活地限制了更新權(quán)限的運(yùn)用。例如，越是充分確保機(jī)密性、可靠性等安全性的外部工具，則可認(rèn)定越高的權(quán)限等級(jí)等。這樣能夠按每個(gè)外部工具設(shè)定更新權(quán)限信息的等級(jí)，對(duì)于為了根據(jù)用途等有效、靈活地設(shè)計(jì)和制造外部工具，或者為了根據(jù)用途靈活地進(jìn)行外部工具的運(yùn)用上的安全性確保等，是有用的。

(實(shí)施方式2)

以下，說(shuō)明將實(shí)施方式1所示的車(chē)載網(wǎng)絡(luò)系統(tǒng)10進(jìn)行一部分變形而成的車(chē)載網(wǎng)絡(luò)系統(tǒng)10a。

在實(shí)施方式1涉及的車(chē)載網(wǎng)絡(luò)系統(tǒng)10中，在診斷端口600上連接了外部工具30的情況下，主ECU100認(rèn)證外部工具30，僅在來(lái)自外部工具30的更新消息在更新權(quán)限信息表示的權(quán)限(等級(jí))的范圍內(nèi)的情況下，許可外部工具30用該更新消息更新ECU內(nèi)的數(shù)據(jù)。

在本實(shí)施方式涉及的車(chē)載網(wǎng)絡(luò)系統(tǒng)10a中，在是否許可外部工具30的更新消息的判定中，不僅參照等級(jí)，也參照搭載了車(chē)載網(wǎng)絡(luò)系統(tǒng)10a的車(chē)輛的狀態(tài)和車(chē)輛中的電池的剩余量的狀態(tài)。本實(shí)施方式涉及的車(chē)載網(wǎng)絡(luò)系統(tǒng)10a的構(gòu)成基本上與實(shí)施方式1所示的車(chē)載網(wǎng)絡(luò)系統(tǒng)10(參照?qǐng)D1)相同，以下，對(duì)于與實(shí)施方式1相同的部件，使用相同的標(biāo)號(hào)。

[2.1車(chē)載網(wǎng)絡(luò)系統(tǒng)10a的整體構(gòu)成]

圖13是表示實(shí)施方式2涉及的車(chē)載網(wǎng)絡(luò)系統(tǒng)10a的整體構(gòu)成的圖。此外，在該圖中，除了車(chē)載網(wǎng)絡(luò)系統(tǒng)10a之外，還示出了外部工具30。

在車(chē)載網(wǎng)絡(luò)系統(tǒng)10a中，相對(duì)于車(chē)載網(wǎng)絡(luò)系統(tǒng)10(圖1)追加了蓄電池800和ECU400g。在這里，省略與實(shí)施方式1相同的構(gòu)成要素的說(shuō)明。

ECU400g與總線(xiàn)500b連接，進(jìn)行電池(蓄電池)800的充放電所涉及的控制，取得并管理蓄電池800的剩余量，定期地將表示電池剩余量的狀態(tài)的幀發(fā)送給網(wǎng)絡(luò)(即總線(xiàn)500b)。

蓄電池800向車(chē)載網(wǎng)絡(luò)系統(tǒng)10中的各ECU供給電力。

[2.2等級(jí)信息]

圖14是表示實(shí)施方式2中的主ECU100的等級(jí)信息保持部104保持的等級(jí)信息2040的一例的圖。

等級(jí)信息2040是將消息ID2014、等級(jí)2042、電池剩余量條件2043以及車(chē)輛狀態(tài)條件2044進(jìn)行了關(guān)聯(lián)的信息，在判定部103中用于是否許可來(lái)自外部工具30的更新消息的判定。消息ID2041和等級(jí)2042與實(shí)施方式1所示的消息ID1041和等級(jí)1042相同。電池剩余量條件2043表示為了許可更新消息所需的電池的剩余量的條件，例如，電池的剩余量設(shè)定為足以進(jìn)行更新的程度的充分的量，作為具體例，將滿(mǎn)充電的充電量設(shè)為100％，設(shè)定充電50％以上的剩余量和充電80％以上的剩余量中的某一個(gè)。另外，車(chē)輛狀態(tài)條件2044表示為了許可更新消息所需的車(chē)輛狀態(tài)的條件，例如，設(shè)定停車(chē)狀態(tài)(車(chē)輛的速度成為零的狀態(tài))和發(fā)動(dòng)機(jī)OFF狀態(tài)(停止發(fā)動(dòng)機(jī)310的狀態(tài))中的某一個(gè)。

例如，示出了：消息ID“0x104”的共有密鑰更新用更新消息在更新權(quán)限信息的等級(jí)為1或1以上，蓄電池800的電池剩余量為充電50％以上，且車(chē)輛狀態(tài)為停車(chē)狀態(tài)時(shí)被許可。另外，示出了：消息ID“0x201”的固件更新用更新消息在更新權(quán)限信息的等級(jí)為4，蓄電池800的電池剩余量為充電80％以上，且車(chē)輛狀態(tài)為發(fā)動(dòng)機(jī)OFF狀態(tài)時(shí)被許可。

[2.3共有密鑰更新時(shí)序]

以下，作為更新管理方法的一例，使用圖15和圖16說(shuō)明將外部工具30a與診斷端口600連接，從外部工具30a更新車(chē)載網(wǎng)絡(luò)系統(tǒng)10a中的ECU保持的共有密鑰的情況下的工作(共有密鑰更新時(shí)序)。

圖15和圖16是表示在外部工具30a、主ECU100、ECU400a之間進(jìn)行的共有密鑰更新時(shí)序的一例的圖。在這里，為了方便起見(jiàn)，關(guān)注作為外部工具30之一的外部工具30a和作為ECU400a～400g中的一個(gè)的ECU400a來(lái)進(jìn)行說(shuō)明。另外，假想為了更新具有驅(qū)動(dòng)系統(tǒng)功能和底盤(pán)系統(tǒng)功能的各ECU保持的共有密鑰而使用外部工具30a的場(chǎng)面來(lái)進(jìn)行說(shuō)明。具體而言，從外部工具30a向車(chē)載網(wǎng)絡(luò)系統(tǒng)10發(fā)送用于更新具有驅(qū)動(dòng)系統(tǒng)功能的ECU400a和具有底盤(pán)系統(tǒng)功能的ECU400b各自保持的共有密鑰60d的帶有消息ID“0x102”的更新消息。由于ECU400b的工作與ECU400a的工作相同，所以在這里省略說(shuō)明。另外，由于步驟S2001至步驟S2012、步驟S2014至步驟S2022的處理與實(shí)施方式1所示的步驟S1001至步驟S1012、步驟S1014至步驟S1022的處理(參照?qǐng)D11和圖12)同等，所以省略說(shuō)明，在這里，僅說(shuō)明與實(shí)施方式1不同的步驟S2013a～S2013c。

在步驟S2013a中，主ECU100的判定部103根據(jù)接收到的消息的消息ID“0x102”和記載在外部工具30a的公鑰證書(shū)40a中的更新權(quán)限信息的等級(jí)，與保持于等級(jí)信息保持部104的等級(jí)信息2040中的消息ID2041和等級(jí)2042之間的對(duì)應(yīng)關(guān)系是否一致，判定接收到的消息是否作為適當(dāng)?shù)母孪⒍鴿M(mǎn)足關(guān)于權(quán)限的等級(jí)的條件。即，判定部103基于等級(jí)信息2040，判定更新權(quán)限信息是否表示利用外部工具30a的更新消息的發(fā)送在外部工具30a的權(quán)限范圍內(nèi)。在接收到的消息不滿(mǎn)足關(guān)于權(quán)限的等級(jí)的條件的情況下，進(jìn)行錯(cuò)誤處理(步驟S2014)。在這里，當(dāng)設(shè)為公鑰證書(shū)40a的更新權(quán)限信息的等級(jí)為3(參照?qǐng)D3)時(shí)，與消息ID“0x102”的更新消息的對(duì)應(yīng)關(guān)系與等級(jí)信息2040表示的對(duì)應(yīng)關(guān)系(參照?qǐng)D14)一致，所以判定部103判定為從外部工具30a接收到的更新消息在等級(jí)方面是適當(dāng)?shù)母孪?，并將處理轉(zhuǎn)移到接下來(lái)的步驟S2013b。

在步驟S2013b中，判定部103檢查蓄電池800的電池剩余量是否滿(mǎn)足條件。在管理蓄電池800的電池剩余量的ECU400g定期地發(fā)送表示電池剩余量的狀態(tài)的消息(稱(chēng)為電池剩余量幀)的情況下，主ECU100用幀收發(fā)部160接收來(lái)自ECU400g的電池剩余量幀。此外，在主ECU100的接收ID列表保持部140保持的接收ID列表中，包括來(lái)自ECU400g的電池剩余量幀的消息ID。判定部103檢查從ECU400g接收到的電池剩余量幀表示的電池剩余量是否滿(mǎn)足保持在等級(jí)信息保持部104中的消息ID2041所對(duì)應(yīng)的電池剩余量條件2043。如果滿(mǎn)足電池剩余量的條件，則將處理轉(zhuǎn)移至接下來(lái)的步驟S2013c。在不滿(mǎn)足電池剩余量的條件的情況下(也即是，檢查的結(jié)果為NG的情況下)，進(jìn)行錯(cuò)誤處理(步驟S2014)。此外，也可以是，ECU400g不是定期地發(fā)送表示電池剩余量的狀態(tài)的電池剩余量幀，在該情況下，也可以是，在步驟S2013b中，主ECU100例如通過(guò)向ECU400g發(fā)送請(qǐng)求電池剩余量幀的發(fā)送的幀，從ECU400g接收電池剩余量幀，取得更新消息被接收時(shí)(即當(dāng)前)的電池剩余量的狀態(tài)。

在步驟S2013c中，判定部103檢查車(chē)輛狀態(tài)是否滿(mǎn)足條件。在發(fā)動(dòng)機(jī)310所涉及的ECU400a定期地發(fā)送表示發(fā)動(dòng)機(jī)狀態(tài)、車(chē)速等車(chē)輛狀態(tài)信息的消息(稱(chēng)為車(chē)輛狀態(tài)幀)的情況下，主ECU100用幀收發(fā)部160接收來(lái)自ECU400a的車(chē)輛狀態(tài)幀。此外，在主ECU100的接收ID列表保持部140保持的接收ID列表中，包括來(lái)自ECU400a的車(chē)輛狀態(tài)幀的消息ID。判定部103檢查從ECU400a接收到的車(chē)輛狀態(tài)幀表示的發(fā)動(dòng)機(jī)狀態(tài)、車(chē)速等車(chē)輛狀態(tài)是否滿(mǎn)足保持在等級(jí)信息保持部104中的消息ID2041所對(duì)應(yīng)的車(chē)輛狀態(tài)條件2044。如果滿(mǎn)足車(chē)輛狀態(tài)的條件，則判定部103判定為從外部工具30a接收到的更新消息被許可，將處理轉(zhuǎn)移到步驟S2015。另外，在不滿(mǎn)足車(chē)輛狀態(tài)的條件的情況下(也即是，檢查的結(jié)果為NG的情況下)，進(jìn)行錯(cuò)誤處理(步驟S2014)。此外，也可以是，ECU400a不是定期地發(fā)送車(chē)輛狀態(tài)幀，在該情況下，也可以是，在步驟S2013c中，主ECU100例如通過(guò)向ECU400a發(fā)送請(qǐng)求車(chē)輛狀態(tài)幀的發(fā)送的幀，從ECU400a接收車(chē)輛狀態(tài)幀，取得更新消息被接收時(shí)(即當(dāng)前)的車(chē)輛狀態(tài)。

[2.4實(shí)施方式2的效果]

在實(shí)施方式2涉及的車(chē)載網(wǎng)絡(luò)系統(tǒng)10a中，關(guān)于是否許可來(lái)自外部工具30的更新消息所涉及的處理(更新)，不僅根據(jù)權(quán)限的等級(jí)，也根據(jù)在電池剩余量的狀態(tài)和車(chē)輛狀態(tài)為怎樣的狀態(tài)的情況下發(fā)送更新消息來(lái)判定。因此，除了實(shí)施方式1涉及的車(chē)載網(wǎng)絡(luò)系統(tǒng)10的效果以外，還具有以下效果。即，通過(guò)確認(rèn)電池剩余量，使ECU內(nèi)的數(shù)據(jù)(共有密鑰或固件)的更新處理切實(shí)地完成而不會(huì)在中途中斷。另外，通過(guò)確認(rèn)車(chē)輛狀態(tài)，例如，能夠避免在車(chē)輛行駛期間等ECU的負(fù)荷高且總線(xiàn)流量增大時(shí)傳送更新消息并進(jìn)行更新，能提高更新成功的可能性。

(實(shí)施方式3)

在本實(shí)施方式中，說(shuō)明了將實(shí)施方式1涉及的車(chē)載網(wǎng)絡(luò)系統(tǒng)10中的主ECU100部分地變形，并能夠進(jìn)行與共有密鑰的有效期限有關(guān)的報(bào)告的例子。

[3.1主ECU(更新管理裝置)100a的構(gòu)成]

圖17是主ECU100a的構(gòu)成圖。為了檢查共有密鑰的有效期限，主ECU100a具有在實(shí)施方式1所示的主ECU100的構(gòu)成要素上增加了時(shí)刻信息取得部180和密鑰更新確認(rèn)部190而成的構(gòu)成。這些各構(gòu)成要素為功能性構(gòu)成要素，該各功能利用主ECU100a中的通信線(xiàn)路、執(zhí)行保存在存儲(chǔ)器中的控制程序的處理器或數(shù)字電路等來(lái)實(shí)現(xiàn)。在這里，省略關(guān)于實(shí)施方式1所示的構(gòu)成要素的說(shuō)明。

時(shí)刻信息取得部180例如包括實(shí)時(shí)時(shí)鐘等計(jì)時(shí)機(jī)構(gòu)，取得當(dāng)前時(shí)刻(即當(dāng)前的日期和時(shí)間)并逐次向密鑰更新確認(rèn)部190通知。

密鑰更新確認(rèn)部190確認(rèn)從時(shí)刻信息取得部180通知的當(dāng)前時(shí)刻、對(duì)密鑰保持部102保持的共有密鑰預(yù)先確定的有效期限，在過(guò)了作為警報(bào)通知定時(shí)而預(yù)先設(shè)定的定時(shí)的時(shí)間點(diǎn)(也即是，有效期限的一定期間前)，使幀生成部120生成密鑰更新警報(bào)消息并從幀收發(fā)部160發(fā)送。

在圖18中示出對(duì)每一個(gè)密鑰保持部102保持的共有密鑰關(guān)聯(lián)了共有密鑰識(shí)別信息3310、有效期限3311以及警報(bào)通知定時(shí)3312而成的信息的一例。共有密鑰識(shí)別信息3310是區(qū)別各共有密鑰的信息。有效期限3311表示為了確保對(duì)應(yīng)的共有密鑰識(shí)別信息指定的共有密鑰的安全性而預(yù)先確定的有效期限。警報(bào)通知定時(shí)3312表示在有效期限之前應(yīng)催促密鑰更新的定時(shí)。密鑰更新確認(rèn)部190參照該圖18所示的信息。例如，如果是共有密鑰60a，則從有效期限的3個(gè)月前發(fā)送密鑰更新警報(bào)消息，如果是共有密鑰60d，則從有效期限的1個(gè)月前發(fā)送密鑰更新警報(bào)消息。

密鑰更新警報(bào)消息由與頭單元200連接的ECU400f接收。當(dāng)ECU400f接收密鑰更新警報(bào)消息時(shí)，將警告信息(畫(huà)面)顯示在頭單元200的顯示裝置上，所述警告信息表示正在接近共有密鑰的有效期限之意等，并催促共有密鑰的更新。

[3.2密鑰更新警報(bào)消息]

圖19是表示在接近共有密鑰的有效期限的情況下顯示在頭單元200的顯示裝置上的畫(huà)面的一例的圖。

在圖19的例子中，畫(huà)面3320包括當(dāng)前日期和時(shí)間、和ECU的共有密鑰的有效期限，還包括用于進(jìn)行共有密鑰的更新的維護(hù)人員(在該例子中為經(jīng)銷(xiāo)商)的聯(lián)系方式、該網(wǎng)站的URL(Uniform Resource Locator：統(tǒng)一資源定位符)。另外，畫(huà)面3320包括用于向通過(guò)導(dǎo)航系統(tǒng)將目的地設(shè)定為經(jīng)銷(xiāo)商的地址的畫(huà)面遷移的GUI(Graphical User Interface：圖形用戶(hù)界面)的按鈕3321。此外，該經(jīng)銷(xiāo)商的信息例如可以在販賣(mài)等時(shí)候預(yù)先登記在主ECU100a中，也可以經(jīng)由具有車(chē)聯(lián)網(wǎng)系統(tǒng)功能的ECU取得。

例如，如果看到圖19例示的畫(huà)面3320的駕駛員駕駛車(chē)輛前往經(jīng)銷(xiāo)商等維護(hù)人員處，則如實(shí)施方式1、2等說(shuō)明的那樣，經(jīng)銷(xiāo)商等可使用外部工具30，執(zhí)行車(chē)載網(wǎng)絡(luò)系統(tǒng)中的ECU保持的共有密鑰的更新。

[3.3實(shí)施方式3的效果]

在實(shí)施方式3涉及的車(chē)載網(wǎng)絡(luò)系統(tǒng)中，在管理共有密鑰的有效期限并接近有效期限的情況下，在頭單元的顯示裝置上顯示向車(chē)輛的駕駛員等催促密鑰更新這樣的警告信息(畫(huà)面)。由此，能實(shí)現(xiàn)應(yīng)接受在經(jīng)銷(xiāo)商等的維護(hù)的警告等這樣的用于確保共有密鑰涉及的安全性的提醒注意。

(實(shí)施方式4)

在本實(shí)施方式中，說(shuō)明如下例子：以在更新結(jié)果消息中賦予車(chē)輛識(shí)別信息并向外部工具30發(fā)送的方式將實(shí)施方式1涉及的車(chē)載網(wǎng)絡(luò)系統(tǒng)10中的主ECU100進(jìn)行變形，且外部工具30與服務(wù)器35進(jìn)行通信。

[4.1服務(wù)器]

與外部工具30進(jìn)行通信的服務(wù)器35是存在于搭載車(chē)載網(wǎng)絡(luò)系統(tǒng)10的車(chē)輛的外部的計(jì)算機(jī)。以在多輛車(chē)輛中分別搭載有車(chē)載網(wǎng)絡(luò)系統(tǒng)10為前提，服務(wù)器35管理外部工具30對(duì)哪輛車(chē)輛(即車(chē)載網(wǎng)絡(luò)系統(tǒng))進(jìn)行了怎樣的更新(ECU內(nèi)的數(shù)據(jù)的更新)。

[4.2共有密鑰更新時(shí)序]

以下，作為本實(shí)施方式中的更新管理方法的一例，使用圖20和圖21說(shuō)明將與服務(wù)器35進(jìn)行通信的外部工具30a連接到某車(chē)輛的車(chē)載網(wǎng)絡(luò)系統(tǒng)10中的診斷端口600，從外部工具30a使車(chē)載網(wǎng)絡(luò)系統(tǒng)10中的ECU保持的共有密鑰的情況下的工作(共有密鑰更新時(shí)序)。

圖20和圖21是表示在與服務(wù)器35進(jìn)行通信的外部工具30a、主ECU100、ECU400a之間進(jìn)行的共有密鑰更新時(shí)序的一例的圖。由于步驟S3001至步驟S3021的處理與實(shí)施方式1所示的步驟S1001至步驟S1021的處理(參照?qǐng)D11和圖12)同等，所以省略說(shuō)明，在這里，僅說(shuō)明與實(shí)施方式1不同的步驟S3000a、S3000b、S3022、S3023以及S3024。

在步驟S3000a中，外部工具30a向服務(wù)器35發(fā)出連接請(qǐng)求。即，外部工具30a例如將使用了預(yù)先登記的ID(例如工具ID)和密碼的登錄請(qǐng)求發(fā)送給服務(wù)器35。

在步驟S3000b中，服務(wù)器35接受來(lái)自外部工具30a的連接請(qǐng)求，如果ID和密碼與預(yù)先登記的信息一致，則進(jìn)行登錄處理并返回正常響應(yīng)。

在步驟S3000b之后，外部工具30a、主ECU100以及ECU400a如在實(shí)施方式1中說(shuō)明的那樣進(jìn)行共有密鑰的更新涉及的處理。由此，在步驟S3020中，主ECU100接收來(lái)自ECU400a的表示更新結(jié)果的更新結(jié)果消息。

在步驟S3022中，主ECU100通過(guò)向總線(xiàn)500d送出帶車(chē)輛識(shí)別信息的更新結(jié)果消息，經(jīng)由診斷端口600發(fā)送給外部工具30a，所述帶車(chē)輛識(shí)別信息的更新結(jié)果消息是在來(lái)自ECU400a的更新結(jié)果的基礎(chǔ)上加入車(chē)輛識(shí)別信息而成的消息。由此，在外部工具30a中接收帶車(chē)輛識(shí)別信息的更新結(jié)果消息。車(chē)輛識(shí)別信息是在多個(gè)車(chē)載網(wǎng)絡(luò)系統(tǒng)之中識(shí)別連接有該外部工具30a的車(chē)載網(wǎng)絡(luò)系統(tǒng)的信息即可，例如是主ECU100的公鑰證書(shū)40c(參照?qǐng)D3)等。

在步驟S3023中，外部工具30a將接收到的帶車(chē)輛識(shí)別信息的更新結(jié)果消息表示的車(chē)輛識(shí)別信息和更新結(jié)果發(fā)送給服務(wù)器35。

在步驟S3024中，服務(wù)器35將接收到的車(chē)輛識(shí)別信息和更新結(jié)果、當(dāng)前日期和時(shí)間、在登錄時(shí)接收到的ID進(jìn)行關(guān)聯(lián)并作為日志信息4000保存。

[4.3診斷日志信息]

圖22是表示服務(wù)器35保存的日志信息4000的一例的圖。日志信息4000包括車(chē)輛識(shí)別信息4001、外部工具ID4002、更新消息的消息ID4003、日期和時(shí)間4004以及更新結(jié)果4005。

[4.4實(shí)施方式4的效果]

在本實(shí)施方式中，由于服務(wù)器35保存日志信息4000，并保留哪輛車(chē)輛利用哪個(gè)外部工具進(jìn)行更新等信息，所以能夠掌握維護(hù)狀況。另外，在發(fā)現(xiàn)非法外部工具的情況下，為了確定該外部工具的影響范圍，能夠利用日志信息4000。

(其他實(shí)施方式)

以上，說(shuō)明了實(shí)施方式1～4作為本發(fā)明涉及的技術(shù)的例示。然而，本發(fā)明涉及的技術(shù)不限定于此，也可應(yīng)用于適當(dāng)進(jìn)行了變更、置換、附加以及省略等而成的實(shí)施方式。例如，以下變形例也包括于本發(fā)明的一實(shí)施方式中。

(1)示出了上述實(shí)施方式所示的共有密鑰利用將功能分類(lèi)的功能類(lèi)別來(lái)區(qū)別共有范圍的例子，但不限定于此，主ECU和其他一個(gè)或多個(gè)ECU共同具有共有密鑰的單位可在車(chē)載網(wǎng)絡(luò)系統(tǒng)中任意地確定。例如，也可以將車(chē)內(nèi)網(wǎng)絡(luò)分為多個(gè)域并按每個(gè)域設(shè)定共有密鑰。在該情況下，也可以是，作為更新所需的權(quán)限的等級(jí)，區(qū)分域而設(shè)定等級(jí)信息。另外，在上述實(shí)施方式中示出了外部工具30具有公鑰證書(shū)，且所述公鑰證書(shū)包括根據(jù)功能類(lèi)別設(shè)定了權(quán)限的等級(jí)的更新權(quán)限信息的例子，但也可以是，具有公鑰證書(shū)，所述公鑰證書(shū)包括設(shè)定了與汽車(chē)制造商和/或車(chē)型對(duì)應(yīng)的更新權(quán)限的更新權(quán)限信息。

(2)在上述實(shí)施方式中，通過(guò)利用帶密鑰哈希函數(shù)，根據(jù)當(dāng)前各ECU保持的共有密鑰生成新的共有密鑰，從而進(jìn)行共有密鑰的更新，但也可以是，外部工具30將新的共有密鑰本身加入更新消息并發(fā)送。在該情況下，在共有密鑰的值無(wú)法保持在CAN的一個(gè)幀內(nèi)的情況下，也可以分割為多個(gè)幀并發(fā)送。

(3)在上述實(shí)施方式中，示出了從外部工具30發(fā)送用于更新ECU內(nèi)的數(shù)據(jù)(共有密鑰、固件等)的更新消息的例子，但是除此之外，可發(fā)送故障診斷用等的消息。也可以是，對(duì)于更新消息以外的消息，在車(chē)載網(wǎng)絡(luò)系統(tǒng)(例如主ECU)中，不進(jìn)行基于等級(jí)信息的權(quán)限的判定，進(jìn)行與消息對(duì)應(yīng)的處理。進(jìn)而，也可以是，對(duì)于包括故障診斷用等的消息在內(nèi)的任意的消息，在車(chē)載網(wǎng)絡(luò)系統(tǒng)(例如主ECU)中，基于表示權(quán)限的等級(jí)的權(quán)限信息，判定該消息的發(fā)送是否在外部工具30所承認(rèn)的權(quán)限范圍內(nèi)。

(4)在上述實(shí)施方式中，權(quán)限的等級(jí)設(shè)定為1至4，但等級(jí)也可以不是4個(gè)等級(jí)，也可以設(shè)定為4個(gè)以上或4個(gè)以下。

(5)上述實(shí)施方式所示的功能類(lèi)別的分類(lèi)方法只不過(guò)為一例，例如也可以更詳細(xì)地細(xì)分化?？梢詫⒐δ茴?lèi)別最精細(xì)地分類(lèi)，例如按每個(gè)ECU設(shè)定ECU內(nèi)的數(shù)據(jù)的更新涉及的權(quán)限的等級(jí)。

(6)在實(shí)施方式2中，示出了利用相對(duì)于蓄電池800的滿(mǎn)充電的比例(百分比)作為電池剩余量條件2043來(lái)進(jìn)行區(qū)別的例子，但也可以用蓄電池800的電壓等來(lái)進(jìn)行區(qū)別。另外，也可以是，設(shè)定區(qū)別是否正在從存在于車(chē)輛外部的外部電源向蓄電池800充電的條件。由此，例如，能夠?qū)崿F(xiàn)僅在充電期間許可一定的共有密鑰、固件的更新等。

(7)在實(shí)施方式3中，示出了如下例子：在接近共有密鑰的有效期限的情況下，基于密鑰更新警報(bào)消息顯示信息(畫(huà)面)，所述信息表示正在接近密鑰更新的有效期限之意等，但也可以反復(fù)或持續(xù)地顯示該信息，也可以在有效期限到期的情況下報(bào)告(顯示等)警告。

(8)在實(shí)施方式3中，示出了如下例子：為確認(rèn)共有密鑰的有效期限到期，主ECU100a的時(shí)刻信息取得部180用計(jì)時(shí)機(jī)構(gòu)取得當(dāng)前時(shí)刻，但也可以從WiFi(注冊(cè)商標(biāo))、移動(dòng)電話(huà)的專(zhuān)用網(wǎng)取得表示當(dāng)前時(shí)刻的時(shí)刻信息，也可以從GPS(Global Positioning System：全球定位系統(tǒng))信號(hào)取得時(shí)刻信息。另外，主ECU100a也可以從其他ECU取得時(shí)刻信息。

(9)也可以是，上述實(shí)施方式所示的外部工具30通過(guò)從服務(wù)器接收而取得更新消息，并經(jīng)由診斷端口600傳送給主ECU。

(10)在上述實(shí)施方式中，在外部工具30與主ECU之間進(jìn)行認(rèn)證，但也可以是，在診斷端口600上附加承擔(dān)認(rèn)證的電子電路(例如存儲(chǔ)器、處理器等)等，在診斷端口600進(jìn)行外部工具30的認(rèn)證，所述診斷端口600是遵照OBD2標(biāo)準(zhǔn)的連接器等。在該情況下，如果利用診斷端口600完成外部工具30的認(rèn)證，則主ECU可省略外部工具30的認(rèn)證。此外，也可以是，即使利用診斷端口600完成外部工具30的認(rèn)證，也如上述實(shí)施方式所示，在外部工具30與主ECU之間進(jìn)行認(rèn)證。此外，也可以是，不用遵照OBD2標(biāo)準(zhǔn)的連接器等來(lái)實(shí)現(xiàn)診斷端口600，用其他連接器來(lái)實(shí)現(xiàn)診斷端口600。另外，也可以是，通過(guò)加入無(wú)線(xiàn)通信線(xiàn)路而實(shí)現(xiàn)診斷端口600，能夠通過(guò)無(wú)線(xiàn)通信在與外部工具30之間連接。

(11)在實(shí)施方式2中，示出了在接收到更新消息時(shí)主ECU100檢查電池剩余量的狀態(tài)和車(chē)輛狀態(tài)的例子，但也可以?xún)H檢查電池剩余量和車(chē)輛狀態(tài)中的任一方。另外，也可以是，更新權(quán)限信息不僅表示權(quán)限的等級(jí)，也表示實(shí)施方式2所示的電池剩余量條件、車(chē)輛狀態(tài)條件等這樣的關(guān)于更新權(quán)限的條件。例如，也可以是，更新權(quán)限信息作為車(chē)輛狀態(tài)條件，確定作為車(chē)輛狀態(tài)的停車(chē)狀態(tài)或停止發(fā)動(dòng)機(jī)的狀態(tài)，并表示外部工具具有如下權(quán)限：，在車(chē)輛是所確定的該狀態(tài)時(shí)，以發(fā)送更新消息為至少一個(gè)條件使ECU進(jìn)行更新。另外，例如，也可以是，更新權(quán)限信息作為電池剩余量條件，確定向ECU供給電力的電池的剩余量的狀態(tài)，并表示外部工具具有如下權(quán)限：在該電池為具有所確定的該電池剩余量的狀態(tài)時(shí)，以發(fā)送更新消息為至少一個(gè)條件使ECU進(jìn)行更新。而且，例如，也可以是，主ECU100基于更新權(quán)限信息表示的電池剩余量條件、車(chē)輛狀態(tài)條件來(lái)取代等級(jí)信息2040中的電池剩余量條件2043和車(chē)輛狀態(tài)條件2044，進(jìn)行檢查(步驟S2013b、S2013c)。由此，能夠進(jìn)行如下運(yùn)用：對(duì)于外部工具，根據(jù)外部工具的可靠性等，認(rèn)定賦予一定條件的權(quán)限，發(fā)行記載了更新權(quán)限信息的公鑰證書(shū)，所述更新權(quán)限信息表示該條件和權(quán)限的等級(jí)。

(12)在上述實(shí)施方式中，以標(biāo)準(zhǔn)ID格式記述了CAN協(xié)議下的數(shù)據(jù)幀，但也可以是擴(kuò)展ID格式。在擴(kuò)展ID格式的情況下，用標(biāo)準(zhǔn)ID格式中的ID位置的基礎(chǔ)ID和擴(kuò)展ID共29位來(lái)表示消息ID。

(13)在上述實(shí)施方式中，示出了如下例子：在將連接了外部工具30的診斷端口600與主ECU連接起來(lái)的總線(xiàn)500d上沒(méi)有連接其他ECU，但也可以連接ECU。但是，主ECU以外的與總線(xiàn)500d連接的ECU可利用外部工具30(例如，主ECU的認(rèn)證成功而得到會(huì)話(huà)密鑰的外部工具30)發(fā)送的更新消息來(lái)更新該數(shù)據(jù)(共有密鑰、固件等)。因此，例如，僅限如下的ECU等連接到總線(xiàn)500d是有用的，所述ECU具有作為更新權(quán)限等級(jí)的、最低的等級(jí)所對(duì)應(yīng)的功能類(lèi)別的功能。

(14)在上述實(shí)施方式中，在外部工具30超過(guò)被承認(rèn)的權(quán)限的等級(jí)而向ECU發(fā)送指示更新的更新消息的情況下，主ECU判定該更新消息是否是被許可的更新消息(步驟S1013)，如果不是被許可的更新消息，則進(jìn)行錯(cuò)誤處理(步驟S1014)，能制止與更新消息對(duì)應(yīng)的更新。但是，也可以是，主ECU以外的ECU(例如，成為利用更新消息進(jìn)行的更新的指示對(duì)象的ECU)基于外部工具30的更新權(quán)限信息，切換是執(zhí)行還是制止更新。即，也可以是，在車(chē)載網(wǎng)絡(luò)系統(tǒng)的某一個(gè)ECU中，在從外部工具30發(fā)送來(lái)更新消息的情況下，在更新權(quán)限信息的驗(yàn)證成功、且更新權(quán)限信息表示更新消息的發(fā)送在外部工具30的權(quán)限范圍內(nèi)時(shí)，與更新消息對(duì)應(yīng)而利用一個(gè)或多個(gè)ECU執(zhí)行更新，在該驗(yàn)證失敗時(shí)，或者，更新權(quán)限信息未表示更新消息的發(fā)送在外部工具30的權(quán)限范圍內(nèi)時(shí)，制止由一個(gè)或多個(gè)ECU進(jìn)行的與更新消息對(duì)應(yīng)的更新。此外，如實(shí)施方式所示，切換主ECU是否一并地進(jìn)行更新消息的傳送的方式在效率方面是有用的。另外，也可以是，在網(wǎng)關(guān)300管理作為傳送目的地的與總線(xiàn)連接的ECU的功能類(lèi)別或該ECU能夠接收的消息ID，在網(wǎng)關(guān)300接收到更新消息的情況下，基于作為傳送目的地的與總線(xiàn)連接的ECU的功能類(lèi)別或該ECU能夠接收的消息ID，不進(jìn)行不需要的更新消息的傳送。

(15)上述實(shí)施方式所示的主ECU100、100a、ECU400a等功能構(gòu)成只不過(guò)是一例，也可以進(jìn)行與上述功能構(gòu)成不同的功能分割。例如，也可以是，主ECU100、100a包括：相當(dāng)于收發(fā)部101的接收功能的接收部、擔(dān)當(dāng)判定部103中的公鑰證書(shū)(包括更新權(quán)限信息的公鑰證書(shū))的驗(yàn)證的驗(yàn)證部以及相當(dāng)于判定部103的一部分、幀生成部120的一部分以及幀收發(fā)部160的一部分來(lái)進(jìn)行更新消息的發(fā)送所涉及的控制的傳送部。在該情況下，例如，接收部承擔(dān)如下功能：接收經(jīng)由診斷端口600從與診斷端口600連接的外部工具30發(fā)送來(lái)的、表示外部工具30的權(quán)限的更新權(quán)限信息和指示一個(gè)或多個(gè)ECU保持的數(shù)據(jù)的更新的更新消息。另外，驗(yàn)證部承擔(dān)驗(yàn)證由接收部接收到的更新權(quán)限信息的功能。另外，傳送部承擔(dān)如下功能：在利用接收部接收到更新消息的情況下，在驗(yàn)證部的驗(yàn)證成功、且更新權(quán)限信息表示更新消息的發(fā)送在外部工具30的權(quán)限范圍內(nèi)時(shí)，將更新消息傳送給總線(xiàn)500b，在驗(yàn)證部的驗(yàn)證失敗時(shí)，或更新權(quán)限信息未表示更新消息的發(fā)送在外部工具30的權(quán)限范圍內(nèi)時(shí)，制止傳送。另外，也可以是，在具有處理器的主ECU100、100a中由處理器執(zhí)行的控制程序是用于使主ECU100、100a執(zhí)行例如以下預(yù)定的更新管理處理的程序。預(yù)定的更新管理處理包括：更新權(quán)限信息接收步驟，接收經(jīng)由診斷端口從與診斷端口連接的外部工具發(fā)送來(lái)的表示該外部工具的權(quán)限的更新權(quán)限信息；驗(yàn)證步驟，驗(yàn)證在更新權(quán)限信息接收步驟中接收到的更新權(quán)限信息；更新消息接收步驟，接收經(jīng)由診斷端口從外部工具發(fā)送來(lái)的更新消息；以及傳送控制步驟，在更新消息接收步驟中接收到更新消息的情況下，在驗(yàn)證步驟中的驗(yàn)證成功且更新權(quán)限信息表示該更新消息的發(fā)送在外部工具的權(quán)限范圍內(nèi)時(shí)，將更新消息傳送給與ECU進(jìn)行通信用的總線(xiàn)，在驗(yàn)證步驟中的驗(yàn)證失敗時(shí)或更新權(quán)限信息未表示該更新消息的發(fā)送在外部工具的權(quán)限范圍內(nèi)時(shí)，制止傳送。

(16)上述實(shí)施方式中的主ECU和其他ECU例如是包括處理器、存儲(chǔ)器等的數(shù)字電路、模擬電路以及通信線(xiàn)路等的裝置，但也可以包括硬盤(pán)裝置、顯示器、鍵盤(pán)以及鼠標(biāo)等其他硬件構(gòu)成要素。另外，也可以利用專(zhuān)用硬件(數(shù)字電路等)實(shí)現(xiàn)功能，來(lái)取代利用處理器執(zhí)行存儲(chǔ)于存儲(chǔ)器的控制程序而軟件地實(shí)現(xiàn)該功能。

(17)構(gòu)成上述實(shí)施方式中的各裝置的構(gòu)成要素的一部分或全部可以由一個(gè)系統(tǒng)LSI(Large Scale Integration：大規(guī)模集成電路)構(gòu)成。系統(tǒng)LSI是將多個(gè)構(gòu)成部集成在一個(gè)芯片上制造而成的超多功能LSI，具體而言，是包括微處理器、ROM以及RAM等而構(gòu)成的計(jì)算機(jī)系統(tǒng)。在所述RAM中記錄有計(jì)算機(jī)程序。通過(guò)所述微處理器按照所述計(jì)算機(jī)程序工作，系統(tǒng)LSI實(shí)現(xiàn)其功能。另外，構(gòu)成上述各裝置的構(gòu)成要素的各部分既可以形成為獨(dú)立的單片，也可以形成為包括一部分或全部的單片。另外，在這里，設(shè)為系統(tǒng)LSI，但根據(jù)集成度的不同，有時(shí)也稱(chēng)呼為IC、LSI、超級(jí)LSI以及超大規(guī)模LSI。另外，集成電路化的方法不限于LSI，也可以用專(zhuān)用電路或通用處理器來(lái)實(shí)現(xiàn)。在LSI制造后，也可以利用可編程的FPGA和/或利用能夠?qū)SI內(nèi)部的電路單元的連接和/或設(shè)定重新構(gòu)建的可重構(gòu)處理器。進(jìn)一步地，如果因半導(dǎo)體技術(shù)的進(jìn)步、或派生的其他技術(shù)而出現(xiàn)代替LSI的集成電路化的技術(shù)，當(dāng)然也可以使用該技術(shù)進(jìn)行功能塊的集成化。也有可能應(yīng)用生物技術(shù)等。

(18)構(gòu)成上述各裝置的構(gòu)成要素的一部分或全部可以由可拆裝于各裝置的IC卡或單個(gè)模塊構(gòu)成。所述IC卡或所述模塊是由微處理器、ROM以及RAM等構(gòu)成的計(jì)算機(jī)系統(tǒng)。所述IC卡或所述模塊也可以包括上述的超多功能LSI。通過(guò)微處理器按照計(jì)算機(jī)程序工作，所述IC卡或所述模塊實(shí)現(xiàn)其功能。該IC卡或該模塊也可以具有防篡改性。

(19)作為本發(fā)明的一個(gè)技術(shù)方案，也可以是上述說(shuō)明所示的共有密鑰更新時(shí)序等的更新管理方法。另外，既可以是利用計(jì)算機(jī)實(shí)現(xiàn)這些方法的計(jì)算機(jī)程序，也可以是由所述計(jì)算機(jī)程序構(gòu)成的數(shù)字信號(hào)。另外，作為本發(fā)明的一個(gè)技術(shù)方案，也可以將所述計(jì)算機(jī)程序或所述數(shù)字信號(hào)記錄于計(jì)算機(jī)可讀取的記錄介質(zhì)，例如軟盤(pán)、硬盤(pán)、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注冊(cè)商標(biāo))Disc)以及半導(dǎo)體存儲(chǔ)器等。另外，也可以是記錄在這些記錄介質(zhì)中的所述數(shù)字信號(hào)。另外，作為本發(fā)明的一個(gè)技術(shù)方案，也可以經(jīng)由電通信線(xiàn)路、無(wú)線(xiàn)或有線(xiàn)通信線(xiàn)路、以互聯(lián)網(wǎng)為代表的網(wǎng)絡(luò)以及數(shù)據(jù)廣播等輸送所述計(jì)算機(jī)程序或所述數(shù)字信號(hào)。另外，作為本發(fā)明的一個(gè)技術(shù)方案，也可以是具備微處理器和存儲(chǔ)器的計(jì)算機(jī)系統(tǒng)，所述存儲(chǔ)器可以記錄有上述計(jì)算機(jī)程序，所述微處理器可以按照所述計(jì)算機(jī)程序工作。另外，也可以通過(guò)將所述程序或所述數(shù)字信號(hào)記錄于所述記錄介質(zhì)并移送，或經(jīng)由所述網(wǎng)絡(luò)等移送所述程序或所述數(shù)字信號(hào)，從而利用獨(dú)立的其他計(jì)算機(jī)系統(tǒng)實(shí)施。

(20)通過(guò)任意組合上述實(shí)施方式和上述變形例所示的各構(gòu)成要素和功能而實(shí)現(xiàn)的方式也包括在本發(fā)明的范圍內(nèi)。

產(chǎn)業(yè)上的可利用性

本發(fā)明可利用于在車(chē)載網(wǎng)絡(luò)中管理來(lái)自外部工具的ECU的固件等的更新，減輕非法改寫(xiě)等風(fēng)險(xiǎn)。

標(biāo)號(hào)說(shuō)明

10、10a 車(chē)載網(wǎng)絡(luò)系統(tǒng)

20 密鑰發(fā)行機(jī)構(gòu)

21 制造商

30、30a、30b 外部工具

35 服務(wù)器

101 收發(fā)部

102、402 密鑰保持部

103 判定部

104 等級(jí)信息保持部

110、410 幀處理部

120、420 幀生成部

130、430 接收ID判斷部

140、440 接收ID列表保持部

150、450 幀解釋部

160、460 幀收發(fā)部

180 時(shí)刻信息取得部

190 密鑰更新確認(rèn)部

200 頭單元

300 網(wǎng)關(guān)

310 發(fā)動(dòng)機(jī)

320 制動(dòng)器

330 門(mén)開(kāi)閉傳感器

340 窗開(kāi)閉傳感器

350 氣囊

470 數(shù)據(jù)取得部

500a～500d 總線(xiàn)

600 診斷端口

800 蓄電池