本發(fā)明涉及管理裝置、密鑰生成裝置、車(chē)輛、維護(hù)工具、管理系統(tǒng)、管理方法以及計(jì)算機(jī)程序。

本申請(qǐng)基于2014年12月12日申請(qǐng)的日本特愿2014-252477號(hào)以及2015年11月27日申請(qǐng)的日本特愿2015-232348號(hào)要求優(yōu)先權(quán)，并將其內(nèi)容援引到本申請(qǐng)中。

背景技術(shù)：

近年來(lái)，汽車(chē)具備ecu(electroniccontrolunit)，并通過(guò)ecu實(shí)現(xiàn)發(fā)動(dòng)機(jī)控制等功能。ecu是計(jì)算機(jī)的一種，通過(guò)計(jì)算機(jī)程序?qū)崿F(xiàn)所期望的功能。就已經(jīng)在使用的汽車(chē)而言，ecu的計(jì)算機(jī)程序的更新通常在檢查汽車(chē)時(shí)或定期檢修時(shí)等，在一般的汽車(chē)維修廠(chǎng)進(jìn)行。

以往，在ecu的計(jì)算機(jī)程序的更新中，操作者將維護(hù)專(zhuān)用的診斷終端與稱(chēng)為汽車(chē)obd(on-boarddiagnostics)端口的診斷端口連接，并由該診斷終端進(jìn)行更新程序的安裝以及數(shù)據(jù)的設(shè)定變更等。對(duì)此，例如在非專(zhuān)利文獻(xiàn)1、2中記載了安全性方面的內(nèi)容。

現(xiàn)有技術(shù)文獻(xiàn)

非專(zhuān)利文獻(xiàn)

非專(zhuān)利文獻(xiàn)1：c.miller，c.valasek，“adventuresinautomotivenetworksandcontrolunits”，defcon21，2013年8月

非專(zhuān)利文獻(xiàn)2：高田廣章，松本勉，“關(guān)于強(qiáng)化車(chē)輛組裝系統(tǒng)的信息安全性的建議”，2013年9月，網(wǎng)址<url：https：//www.ipa.go.jp/files/000034668.pdf>

非專(zhuān)利文獻(xiàn)3：trustedcomputinggroup，網(wǎng)址<url：http：//www.trustedcomputinggroup.org/>

非專(zhuān)利文獻(xiàn)4：竹森敬祐，“基于android+tpm的安全啟動(dòng)”，日經(jīng)電子，2012年8月6日號(hào)

非專(zhuān)利文獻(xiàn)5：竹森敬祐，川端秀明，磯原隆將，洼田步，“基于android(arm)+tpm的安全啟動(dòng)”，電子信息通信學(xué)會(huì)，scis2013學(xué)術(shù)討論會(huì)，2013年1月

非專(zhuān)利文獻(xiàn)6：竹森敬祐，川端秀明，洼田步，“基于arm+sim/uim的安全啟動(dòng)”，電子信息通信學(xué)會(huì)，scis2014學(xué)術(shù)討論會(huì)，2014年1月

技術(shù)實(shí)現(xiàn)要素：

發(fā)明所要解決的課題

在上述的非專(zhuān)利文獻(xiàn)1、2中，沒(méi)有記載關(guān)于實(shí)現(xiàn)提高安全性的方法。因此，期望針對(duì)在汽車(chē)等車(chē)輛所具備的ecu等車(chē)載計(jì)算機(jī)中使用的計(jì)算機(jī)程序等數(shù)據(jù)的應(yīng)用提高其可靠性。

例如，在啟動(dòng)ecu后，通過(guò)使用ecu保持的密鑰來(lái)相互認(rèn)證數(shù)據(jù)的交換對(duì)象，來(lái)提高車(chē)載計(jì)算機(jī)系統(tǒng)的防御能力的方法。例如，使用ecu保持的密鑰來(lái)驗(yàn)證ecu之間交換數(shù)據(jù)的正確性。例如，對(duì)用于ecu的計(jì)算機(jī)程序等數(shù)據(jù)賦予電子署名并向汽車(chē)的管理裝置分配，利用管理裝置保持的密鑰來(lái)驗(yàn)證所分配數(shù)據(jù)的電子署名，從而檢查用于ecu的計(jì)算機(jī)程序等數(shù)據(jù)。在此，如何實(shí)現(xiàn)汽車(chē)所保持的密鑰的管理、更新，是密鑰的安全性的課題。

本發(fā)明鑒于上述的情況而提出，其目的在于，提供能夠?qū)崿F(xiàn)汽車(chē)等車(chē)輛所保持的密鑰的管理、更新的管理裝置、密鑰生成裝置、車(chē)輛、維護(hù)工具、管理系統(tǒng)、管理方法以及計(jì)算機(jī)程序。

解決問(wèn)題的手段

(1)本發(fā)明的一個(gè)技術(shù)方案的管理裝置是設(shè)置于車(chē)輛的管理裝置，

該管理裝置包括：

通信部，與設(shè)置于所述車(chē)輛的車(chē)載計(jì)算機(jī)進(jìn)行通信，

加密處理部，對(duì)密鑰進(jìn)行加密而生成加密密鑰，

密鑰生成部，生成密鑰，

密鑰存儲(chǔ)部，存儲(chǔ)所述生成的密鑰；

所述通信部向設(shè)置于所述車(chē)輛的車(chē)載計(jì)算機(jī)發(fā)送所述加密密鑰，

所述加密處理部對(duì)所述生成的密鑰進(jìn)行加密。

(2)本發(fā)明的一個(gè)技術(shù)方案的管理裝置也可以包括：

出廠(chǎng)初始密鑰存儲(chǔ)部，存儲(chǔ)作為車(chē)載計(jì)算機(jī)所保持的出廠(chǎng)初始密鑰的候選的多個(gè)出廠(chǎng)初始密鑰，

驗(yàn)證部，利用存儲(chǔ)于所述出廠(chǎng)初始密鑰存儲(chǔ)部的出廠(chǎng)初始密鑰，驗(yàn)證通過(guò)所述通信部從設(shè)置于所述車(chē)輛的車(chē)載計(jì)算機(jī)接收的加密數(shù)據(jù)，

所述加密處理部也可以將所述驗(yàn)證成功的出廠(chǎng)初始密鑰用于所述密鑰的加密。

(3)本發(fā)明的一個(gè)技術(shù)方案的管理裝置也可以包括：

固定值加密列表存儲(chǔ)部，存儲(chǔ)固定值被存儲(chǔ)于所述出廠(chǎng)初始密鑰存儲(chǔ)部的各個(gè)出廠(chǎng)初始密鑰加密的固定值加密值和用于固定值加密值的加密的出廠(chǎng)初始密鑰的組合的列表，

所述驗(yàn)證部也可以將通過(guò)所述通信部從設(shè)置于所述車(chē)輛的車(chē)載計(jì)算機(jī)接收的固定值加密值與所述列表中的固定值加密值進(jìn)行比較，并將所述列表的組合中的在所述比較中一致的固定值加密值的組合的出廠(chǎng)初始密鑰用于所述加密數(shù)據(jù)的驗(yàn)證。

(4)在本發(fā)明的一個(gè)技術(shù)方案的管理裝置中，

所述驗(yàn)證部也可以向設(shè)置于所述車(chē)輛的車(chē)載計(jì)算機(jī)發(fā)送詢(xún)問(wèn)值，

所述加密數(shù)據(jù)也可以是利用設(shè)置于所述車(chē)輛的車(chē)載計(jì)算機(jī)所保持的出廠(chǎng)初始密鑰對(duì)所述詢(xún)問(wèn)值進(jìn)行加密的數(shù)據(jù)。

(5)在本發(fā)明的一個(gè)技術(shù)方案的管理裝置中，

所述密鑰生成部也可以生成第一密鑰和作為第二密鑰的密鑰管理密鑰，

所述加密處理部也可以利用存儲(chǔ)于所述出廠(chǎng)初始密鑰存儲(chǔ)部的出廠(chǎng)初始密鑰中的與設(shè)置于所述車(chē)輛的車(chē)載計(jì)算機(jī)所保持的出廠(chǎng)初始密鑰相同的出廠(chǎng)初始密鑰，對(duì)所述密鑰管理密鑰進(jìn)行加密，并利用所述密鑰管理密鑰對(duì)所述第一密鑰進(jìn)行加密。

(6)在本發(fā)明的一個(gè)技術(shù)方案的管理裝置中，

所述密鑰生成部也可以反復(fù)生成所述密鑰管理密鑰，

所述密鑰存儲(chǔ)部也可以存儲(chǔ)所述密鑰管理密鑰中的最新的密鑰管理密鑰和最新的密鑰管理密鑰的前一個(gè)密鑰管理密鑰，

所述加密處理部也可以利用所述前一個(gè)密鑰管理密鑰，對(duì)所述最新的密鑰管理密鑰進(jìn)行加密。

(7)本發(fā)明的一個(gè)技術(shù)方案的管理裝置也可以包括出廠(chǎng)初始密鑰存儲(chǔ)部，該出廠(chǎng)初始密鑰存儲(chǔ)部存儲(chǔ)作為車(chē)載計(jì)算機(jī)所保持的出廠(chǎng)初始密鑰的候選的出廠(chǎng)初始密鑰，

所述加密處理部也可以對(duì)存儲(chǔ)于所述出廠(chǎng)初始密鑰存儲(chǔ)部的出廠(chǎng)初始密鑰進(jìn)行加密，

所述通信部也可以將所述出廠(chǎng)初始密鑰被加密的加密密鑰，向設(shè)置于所述車(chē)輛的車(chē)載計(jì)算機(jī)中的收到特定的通知的車(chē)載計(jì)算機(jī)發(fā)送。

(8)在本發(fā)明的一個(gè)技術(shù)方案的管理裝置中，

所述加密處理部也可以對(duì)規(guī)定的廢棄密鑰進(jìn)行加密，

所述通信部也可以將所述廢棄密鑰被加密的加密密鑰，向設(shè)置于所述車(chē)輛的車(chē)載計(jì)算機(jī)中的收到廢棄通知的車(chē)載計(jì)算機(jī)發(fā)送。

(9)在本發(fā)明的一個(gè)技術(shù)方案的管理裝置中，

所述加密處理部也可以利用所述驗(yàn)證成功的出廠(chǎng)初始密鑰，對(duì)通過(guò)所述通信部從設(shè)置于所述車(chē)輛的車(chē)載計(jì)算機(jī)接收的詢(xún)問(wèn)值進(jìn)行加密，

所述通信部也可以將所述接收的詢(xún)問(wèn)值被加密的加密詢(xún)問(wèn)值作為響應(yīng)值，向設(shè)置于所述車(chē)輛的車(chē)載計(jì)算機(jī)發(fā)送。

(10)本發(fā)明的一個(gè)技術(shù)方案的管理裝置也可以包括無(wú)線(xiàn)通信部，該無(wú)線(xiàn)通信部與管理服務(wù)器裝置進(jìn)行通信，

所述加密處理部也可以利用與所述管理服務(wù)器裝置共享的密鑰，對(duì)存儲(chǔ)于所述密鑰存儲(chǔ)部的密鑰進(jìn)行加密，

所述無(wú)線(xiàn)通信部也可以將存儲(chǔ)于所述密鑰存儲(chǔ)部的密鑰被與所述管理服務(wù)器裝置共享的密鑰加密的加密密鑰，向所述管理服務(wù)器裝置發(fā)送。

(11)在本發(fā)明的一個(gè)技術(shù)方案的管理裝置中，

所述加密處理部、所述密鑰生成部以及所述密鑰存儲(chǔ)部也可以設(shè)置于安全元件。

(12)在本發(fā)明的一個(gè)技術(shù)方案的管理裝置中，

所述安全元件也可以是用于無(wú)線(xiàn)通信的esim(embeddedsubscriberidentitymodule)或sim(subscriberidentitymodule)。

(13)本發(fā)明的一個(gè)技術(shù)方案的車(chē)輛包括上述管理裝置。

(14)本發(fā)明的一個(gè)技術(shù)方案的管理系統(tǒng)包括：

上述(10)的管理裝置，

管理服務(wù)器裝置，經(jīng)由無(wú)線(xiàn)通信網(wǎng)絡(luò)與所述管理裝置進(jìn)行通信；

所述管理服務(wù)器裝置從所述管理裝置接收加密密鑰，并保持密鑰。

(15)本發(fā)明的一個(gè)技術(shù)方案的密鑰生成裝置包括存儲(chǔ)主密鑰的密鑰存儲(chǔ)部，并且將利用所述主密鑰生成的密鑰向設(shè)置于車(chē)輛的車(chē)載計(jì)算機(jī)供給。(16)本發(fā)明的一個(gè)技術(shù)方案的密鑰生成裝置，也可以由所述主密鑰和所述車(chē)載計(jì)算機(jī)的標(biāo)識(shí)符生成向所述車(chē)載計(jì)算機(jī)提供的密鑰。

(17)本發(fā)明的一個(gè)技術(shù)方案的密鑰生成裝置，也可以由設(shè)置于所述車(chē)輛的通信模塊所具有的安全元件構(gòu)成。

(18)本發(fā)明的一個(gè)技術(shù)方案的密鑰生成裝置，也可以由經(jīng)由所述車(chē)輛的診斷端口在與所述車(chē)載計(jì)算機(jī)之間收發(fā)數(shù)據(jù)的控制模塊所具有的安全元件構(gòu)成。

(19)本發(fā)明的一個(gè)技術(shù)方案的車(chē)輛包括上述(17)的密鑰生成裝置。

(20)本發(fā)明的一個(gè)技術(shù)方案的維護(hù)工具包括上述(18)的密鑰生成裝置。

(21)本發(fā)明的一個(gè)技術(shù)方案的管理方法包括：

設(shè)置于車(chē)輛的管理裝置與設(shè)置于所述車(chē)輛的車(chē)載計(jì)算機(jī)進(jìn)行通信的通信步驟，

所述管理裝置對(duì)密鑰進(jìn)行加密而生成加密密鑰的加密處理步驟，

所述管理裝置生成密鑰的密鑰生成步驟，

所述管理裝置存儲(chǔ)所述生成的密鑰的密鑰存儲(chǔ)步驟；

所述管理裝置將所述加密密鑰向設(shè)置于所述車(chē)輛的車(chē)載計(jì)算機(jī)發(fā)送，

所述管理裝置對(duì)所述生成的密鑰進(jìn)行加密。

(22)本發(fā)明的一個(gè)技術(shù)方案的管理方法包括：

密鑰生成裝置存儲(chǔ)主密鑰的密鑰存儲(chǔ)步驟，

將所述密鑰生成裝置利用所述主密鑰而生成的密鑰向設(shè)置于車(chē)輛的車(chē)載計(jì)算機(jī)供給的密鑰供給步驟。

(23)本發(fā)明的一個(gè)技術(shù)方案的計(jì)算機(jī)程序，用于在設(shè)置于車(chē)輛的計(jì)算機(jī)中執(zhí)行如下步驟：

與設(shè)置于所述車(chē)輛的其他車(chē)載計(jì)算機(jī)進(jìn)行通信的通信步驟，

對(duì)密鑰進(jìn)行加密而生成加密密鑰的加密處理步驟，

生成密鑰的密鑰生成步驟，

將所述生成的密鑰存儲(chǔ)的密鑰存儲(chǔ)步驟；

在所述通信步驟中，將所述加密密鑰向設(shè)置于所述車(chē)輛的車(chē)載計(jì)算機(jī)發(fā)送，

在所述加密處理步驟中，對(duì)所述生成的密鑰進(jìn)行加密。

(24)本發(fā)明的一個(gè)技術(shù)方案的計(jì)算機(jī)程序，用于在密鑰生成裝置的計(jì)算機(jī)中執(zhí)行如下步驟：

存儲(chǔ)主密鑰的密鑰存儲(chǔ)步驟，

將利用所述主密鑰生成的密鑰向設(shè)置于車(chē)輛的車(chē)載計(jì)算機(jī)供給的密鑰供給步驟。

發(fā)明效果

根據(jù)本發(fā)明，能夠獲得如下效果，即，能夠?qū)崿F(xiàn)汽車(chē)等車(chē)輛所保持的密鑰的管理、更新。

附圖說(shuō)明

圖1是第一實(shí)施方式的管理系統(tǒng)的結(jié)構(gòu)圖。

圖2是表示第一實(shí)施方式的管理裝置10的結(jié)構(gòu)圖。

圖3是表示第一實(shí)施方式的密鑰存儲(chǔ)部22的結(jié)構(gòu)圖。

圖4是表示第一實(shí)施方式的出廠(chǎng)初始密鑰存儲(chǔ)部25和通信運(yùn)營(yíng)商密鑰存儲(chǔ)部26的結(jié)構(gòu)圖。

圖5是表示第一實(shí)施方式的ecu50的結(jié)構(gòu)圖。

圖6是表示第一實(shí)施方式的管理服務(wù)器裝置60的結(jié)構(gòu)圖。

圖7是表示作為第一實(shí)施方式的管理方法的ecu密鑰管理密鑰的更新方法的例a1的時(shí)序圖。

圖8是表示第一實(shí)施方式的ecu密鑰管理密鑰的更新方法的例a2的時(shí)序圖。

圖9是表示第一實(shí)施方式的ecu密鑰的更新方法的例b1的時(shí)序圖。

圖10是表示第一實(shí)施方式的ecu密鑰管理密鑰的更新方法的例a3的時(shí)序圖。

圖11是表示第一實(shí)施方式的ecu密鑰的更新方法的例b2的時(shí)序圖。

圖12是表示第一實(shí)施方式的ecu密鑰管理密鑰的更新方法的例a4的時(shí)序圖。

圖13是表示第一實(shí)施方式的密鑰的備份方法的例子的時(shí)序圖。

圖14是表示第二實(shí)施方式的管理裝置10的結(jié)構(gòu)圖。

圖15是表示第二實(shí)施方式的ecu50的結(jié)構(gòu)圖。

圖16是表示第二實(shí)施方式的ecu密鑰管理密鑰的更新方法的例c1的時(shí)序圖。

圖17是表示第二實(shí)施方式的ecu密鑰管理密鑰的更新方法的例c2的時(shí)序圖。

圖18是表示第三實(shí)施方式的ecu50的結(jié)構(gòu)圖。

圖19是表示第三實(shí)施方式的ecu密鑰管理密鑰的更新方法的例e1的時(shí)序圖。

圖20是表示汽車(chē)1的其他實(shí)施方式的結(jié)構(gòu)圖。

圖21是表示第四實(shí)施方式的汽車(chē)1001的實(shí)施例1的圖。

圖22是表示第四實(shí)施方式的汽車(chē)1001的實(shí)施例2的圖。

圖23是表示第四實(shí)施方式的管理方法的例g1的時(shí)序圖。

圖24是表示第四實(shí)施方式的管理方法的例g2的利用多層公共密鑰方式的密鑰管理方法的第一階段的時(shí)序圖。

圖25是表示第四實(shí)施方式的管理方法的例g2的利用多層公共密鑰方式的密鑰管理方法的第二階段的時(shí)序圖。

圖26是表示第四實(shí)施方式的利用多層公共密鑰方式的密鑰管理方法的應(yīng)用例g2-1的時(shí)序圖。

圖27是表示第四實(shí)施方式的利用多層公共密鑰方式的密鑰管理方法的應(yīng)用例g2-2的時(shí)序圖。

具體實(shí)施方式

下面，參照附圖對(duì)本發(fā)明的實(shí)施方式進(jìn)行說(shuō)明。此外，在以下所示的實(shí)施方式中，作為車(chē)輛列舉了汽車(chē)進(jìn)行說(shuō)明。

[第一實(shí)施方式]

圖1是根據(jù)本發(fā)明的第一實(shí)施方式的管理系統(tǒng)的結(jié)構(gòu)圖。在圖1中，管理系統(tǒng)包括管理裝置10和管理服務(wù)器裝置60。管理裝置10設(shè)置于汽車(chē)1。管理服務(wù)器裝置60由無(wú)線(xiàn)通信網(wǎng)絡(luò)2的通信運(yùn)營(yíng)商提供。

為了利用無(wú)線(xiàn)通信網(wǎng)絡(luò)2，需要寫(xiě)入有無(wú)線(xiàn)通信網(wǎng)絡(luò)2的用戶(hù)信息的esim(embeddedsubscriberidentitymodule)或者sim(subscriberidentitymodule)。管理裝置10包括esim_20。esim_20是寫(xiě)入有無(wú)線(xiàn)通信網(wǎng)絡(luò)2的用戶(hù)信息的esim。由此，管理裝置10通過(guò)使用esim_20能夠使用無(wú)線(xiàn)通信網(wǎng)絡(luò)2。管理裝置10通過(guò)利用esim_20所建立的無(wú)線(xiàn)通信線(xiàn)路3與無(wú)線(xiàn)通信網(wǎng)絡(luò)2連接。

管理服務(wù)器裝置60通過(guò)無(wú)線(xiàn)通信網(wǎng)絡(luò)2的通信運(yùn)營(yíng)商的通信線(xiàn)路4與無(wú)線(xiàn)通信網(wǎng)絡(luò)2連接。管理裝置10與管理服務(wù)器裝置60經(jīng)由無(wú)線(xiàn)通信網(wǎng)絡(luò)2進(jìn)行通信。

此外，也可以在管理裝置10與管理服務(wù)器裝置60之間建立經(jīng)由無(wú)線(xiàn)通信網(wǎng)絡(luò)2的專(zhuān)用線(xiàn)，使管理裝置10與管理服務(wù)器裝置60通過(guò)專(zhuān)用線(xiàn)收發(fā)數(shù)據(jù)。

在汽車(chē)1中，管理裝置10與控制用車(chē)載網(wǎng)絡(luò)40連接。作為控制用車(chē)載網(wǎng)絡(luò)40使用例如can(controllerareanetwork：控制器局域網(wǎng)絡(luò))。在本實(shí)施方式中，控制用車(chē)載網(wǎng)絡(luò)40是can。控制用車(chē)載網(wǎng)絡(luò)40連接有各種ecu50。ecu50是汽車(chē)1所具有的車(chē)載計(jì)算機(jī)。ecu50是例如驅(qū)動(dòng)系統(tǒng)ecu、車(chē)體系統(tǒng)ecu、安全控制系統(tǒng)ecu等。管理裝置10經(jīng)由控制用車(chē)載網(wǎng)絡(luò)40在與各ecu50之間進(jìn)行數(shù)據(jù)交換。ecu50經(jīng)由控制用車(chē)載網(wǎng)絡(luò)40在與其他ecu50之間進(jìn)行數(shù)據(jù)交換。

圖2是表示第一實(shí)施方式的管理裝置10的結(jié)構(gòu)圖。在圖2中，管理裝置10包括esim_20、無(wú)線(xiàn)通信部11、can接口12。上述各部分構(gòu)成為能夠進(jìn)行數(shù)據(jù)交換。esim_20包括密鑰生成部21、密鑰存儲(chǔ)部22、驗(yàn)證部23、加密處理部24、出廠(chǎng)初始密鑰存儲(chǔ)部25、通信運(yùn)營(yíng)商密鑰存儲(chǔ)部26。

esim_20是安全元件。安全元件包括無(wú)法從所述安全元件的外部訪(fǎng)問(wèn)的安全區(qū)域。在esim_20中，密鑰存儲(chǔ)部22、出廠(chǎng)初始密鑰存儲(chǔ)部25、通信運(yùn)營(yíng)商密鑰存儲(chǔ)部26存在于安全區(qū)域。

此外，作為安全元件可以利用sim來(lái)替代esim_20。esim和sim是計(jì)算機(jī)的一種，通過(guò)計(jì)算機(jī)程序?qū)崿F(xiàn)所期望的功能。

無(wú)線(xiàn)通信部11通過(guò)無(wú)線(xiàn)通信收發(fā)數(shù)據(jù)。esim_20是寫(xiě)入有無(wú)線(xiàn)通信網(wǎng)絡(luò)2的用戶(hù)信息的esim。由此，無(wú)線(xiàn)通信部11通過(guò)使用esim_20，經(jīng)由無(wú)線(xiàn)通信線(xiàn)路3與無(wú)線(xiàn)通信網(wǎng)絡(luò)2連接。can接口12是與ecu50進(jìn)行通信的通信部。can接口12與控制用車(chē)載網(wǎng)絡(luò)40連接，并經(jīng)由控制用車(chē)載網(wǎng)絡(luò)40與各ecu50進(jìn)行數(shù)據(jù)交換。

在esim_20中，密鑰生成部21生成密鑰。密鑰存儲(chǔ)部22存儲(chǔ)密鑰。驗(yàn)證部23關(guān)對(duì)數(shù)據(jù)的交換進(jìn)行驗(yàn)證。加密處理部24執(zhí)行數(shù)據(jù)的加密和加密數(shù)據(jù)的解密。出廠(chǎng)初始密鑰存儲(chǔ)部25存儲(chǔ)出廠(chǎng)初始密鑰。通信運(yùn)營(yíng)商密鑰存儲(chǔ)部26存儲(chǔ)通信運(yùn)營(yíng)商密鑰。

在本實(shí)施方式中，作為密鑰生成部21生成的密鑰，有ecu密鑰管理密鑰和ecu密鑰兩種。ecu密鑰管理密鑰例如在ecu50中進(jìn)行ecu密鑰等密鑰的更新時(shí)使用。ecu密鑰用于例如ecu50的安全的處理。ecu密鑰用于例如ecu50之間的相互認(rèn)證、數(shù)據(jù)的加密以及解密等。

密鑰生成部21在規(guī)定時(shí)刻生成ecu密鑰管理密鑰和ecu密鑰。ecu密鑰管理密鑰的生成時(shí)刻和ecu密鑰的生成時(shí)刻可以相同，或者，也可以不同。密鑰生成部21根據(jù)來(lái)自esim_20的外部的的密鑰生成要求，可以生成ecu密鑰管理密鑰或ecu密鑰中的任一個(gè)，或者也可以生成ecu密鑰管理密鑰和ecu密鑰。密鑰生成部21可以反復(fù)生成ecu密鑰管理密鑰和ecu密鑰。

密鑰存儲(chǔ)部22存儲(chǔ)密鑰生成部21生成的ecu密鑰管理密鑰和ecu密鑰。圖3是表示第一實(shí)施方式的密鑰存儲(chǔ)部22的結(jié)構(gòu)圖。在圖3中，密鑰存儲(chǔ)部22包括ecu密鑰管理密鑰kmn存儲(chǔ)部31、ecu密鑰管理密鑰km(n-1)存儲(chǔ)部32、ecu密鑰kn存儲(chǔ)部33。

ecu密鑰管理密鑰kmn存儲(chǔ)部31存儲(chǔ)密鑰生成部21生成的ecu密鑰管理密鑰中的最新的ecu密鑰管理密鑰kmn。ecu密鑰管理密鑰km(n-1)存儲(chǔ)部32存儲(chǔ)密鑰生成部21生成的ecu密鑰管理密鑰中的最新的ecu密鑰管理密鑰kmn的前一個(gè)ecu密鑰管理密鑰km(n-1)。ecu密鑰kn存儲(chǔ)部33存儲(chǔ)密鑰生成部21生產(chǎn)的ecu密鑰中的最新的ecu密鑰kn。

圖4是表示第一實(shí)施方式的出廠(chǎng)初始密鑰存儲(chǔ)部25和通信運(yùn)營(yíng)商密鑰存儲(chǔ)部26的結(jié)構(gòu)圖。

在圖4中，出廠(chǎng)初始密鑰存儲(chǔ)部25存儲(chǔ)x個(gè)出廠(chǎng)初始密鑰kr0、kr1、......、krx。其中，x是1以上的整數(shù)。出廠(chǎng)初始密鑰kr0、kr1、......、krx是ecu50所保持的出廠(chǎng)初始密鑰的候選密鑰。在ecu50的制造或出廠(chǎng)時(shí)，在汽車(chē)1上安裝ecu50之后等，出廠(chǎng)初始密鑰被寫(xiě)入ecu50。通常生成多個(gè)出廠(chǎng)初始密鑰。將從多個(gè)出廠(chǎng)初始密鑰中所選擇的出廠(chǎng)初始密鑰寫(xiě)入ecu50。作為被寫(xiě)入ecu50的出廠(chǎng)初始密鑰的候選具有出廠(chǎng)初始密鑰kr0、kr1、......、krx。

下面，列舉出出廠(chǎng)初始密鑰的發(fā)行方式的例1、2、3。

(出廠(chǎng)初始密鑰的發(fā)行方式的例1)

無(wú)線(xiàn)通信網(wǎng)絡(luò)2的通信運(yùn)營(yíng)商發(fā)行出廠(chǎng)初始密鑰kr0、kr1、......、krx。出廠(chǎng)初始密鑰kr0、kr1、......、krx被分配給ecu50的制造公司或汽車(chē)1的制造公司。無(wú)線(xiàn)通信網(wǎng)絡(luò)2的通信運(yùn)營(yíng)商向esim_20寫(xiě)入出廠(chǎng)初始密鑰kr0、kr1、......、krx。esim_20將出廠(chǎng)初始密鑰kr0、kr1、......、krx存儲(chǔ)于出廠(chǎng)初始密鑰存儲(chǔ)部25。由ecu50的制造公司或汽車(chē)1的制造公司將從出廠(chǎng)初始密鑰kr0、kr1、......、krx中選擇的出廠(chǎng)初始密鑰寫(xiě)入ecu50。ecu50保持被寫(xiě)入的出廠(chǎng)初始密鑰。

(出廠(chǎng)初始密鑰的發(fā)行方式的例2)

汽車(chē)1的制造公司發(fā)行出廠(chǎng)初始密鑰kr0、kr1、......、krx。出廠(chǎng)初始密鑰kr0、kr1、......、krx被分配給無(wú)線(xiàn)通信網(wǎng)絡(luò)2的通信運(yùn)營(yíng)商。無(wú)線(xiàn)通信網(wǎng)絡(luò)2的通信運(yùn)營(yíng)商向esim_20寫(xiě)入出廠(chǎng)初始密鑰kr0、kr1、......、krx。esim_20將出廠(chǎng)初始密鑰kr0、kr1、......、krx存儲(chǔ)于出廠(chǎng)初始密鑰存儲(chǔ)部25。由汽車(chē)1的制造公司將從出廠(chǎng)初始密鑰kr0、kr1、......、krx中選擇的出廠(chǎng)初始密鑰寫(xiě)入ecu50。ecu50保持被寫(xiě)入的出廠(chǎng)初始密鑰?；蛘?，出廠(chǎng)初始密鑰kr0、kr1、......、krx被分配給ecu50的制造公司。由ecu50的制造公司將從出廠(chǎng)初始密鑰kr0、kr1、......、krx中選擇的出廠(chǎng)初始密鑰寫(xiě)入ecu50。ecu50保持被寫(xiě)入的出廠(chǎng)初始密鑰。

(出廠(chǎng)初始密鑰的發(fā)行方式的例3)

ecu50的制造公司發(fā)行出廠(chǎng)初始密鑰kr0、kr1、......、krx。出廠(chǎng)初始密鑰kr0、kr1、......、krx被分配給無(wú)線(xiàn)通信網(wǎng)絡(luò)2的通信運(yùn)營(yíng)商。無(wú)線(xiàn)通信網(wǎng)絡(luò)2的通信運(yùn)營(yíng)商向esim_20寫(xiě)入出廠(chǎng)初始密鑰kr0、kr1、......、krx。esim_20將出廠(chǎng)初始密鑰kr0、kr1、......、krx存儲(chǔ)于出廠(chǎng)初始密鑰存儲(chǔ)部25。由ecu50的制造公司將從出廠(chǎng)初始密鑰kr0、kr1、......、krx中選擇的出廠(chǎng)初始密鑰寫(xiě)入ecu50。ecu50保持被寫(xiě)入的出廠(chǎng)初始密鑰?；蛘?，出廠(chǎng)初始密鑰kr0、kr1、......、krx被分配給汽車(chē)1的制造公司。由汽車(chē)1的制造公司將從出廠(chǎng)初始密鑰kr0、kr1、......、krx中選擇的出廠(chǎng)初始密鑰寫(xiě)入ecu50。ecu50保持被寫(xiě)入的出廠(chǎng)初始密鑰。

此外，就無(wú)線(xiàn)通信網(wǎng)絡(luò)2的通信運(yùn)營(yíng)商、ecu50的制造公司、汽車(chē)1的制造公司而言，優(yōu)選謹(jǐn)慎處理出廠(chǎng)初始密鑰kr0、kr1、......、krx，以防止出廠(chǎng)初始密鑰kr0、kr1、......、krx被泄露。

在圖4中，通信運(yùn)營(yíng)商密鑰存儲(chǔ)部26存儲(chǔ)y個(gè)通信運(yùn)營(yíng)商密鑰kc0、kc1、......、kcy。其中，y是1以上的整數(shù)。通信運(yùn)營(yíng)商密鑰kc0、kc1、......、kcy是通過(guò)esim_20使用無(wú)線(xiàn)通信網(wǎng)絡(luò)2時(shí)所使用的通信運(yùn)營(yíng)商密鑰的候選密鑰。在esim_20制造或出廠(chǎng)時(shí)，在管理裝置10上安裝esim_20后等，將通信運(yùn)營(yíng)商密鑰kc0、kc1、......、kcy寫(xiě)入esim_20。esim_20將通信運(yùn)營(yíng)商密鑰kc0、kc1、......、kcy存儲(chǔ)于通信運(yùn)營(yíng)商密鑰存儲(chǔ)部26。另外，在esim_20中設(shè)定有通信運(yùn)營(yíng)商密鑰kc0、kc1、......、kcy中所使用的通信運(yùn)營(yíng)商密鑰。esim_20根據(jù)設(shè)定從通信運(yùn)營(yíng)商密鑰kc0、kc1、......、kcy中選擇通信運(yùn)營(yíng)商密鑰，并使用所選擇的通信運(yùn)營(yíng)商密鑰。無(wú)線(xiàn)通信網(wǎng)絡(luò)2的通信運(yùn)營(yíng)商存儲(chǔ)用于確定esim_20使用的通信運(yùn)營(yíng)商密鑰的信息。

圖5是表示第一實(shí)施方式的ecu50的結(jié)構(gòu)圖。在圖5中，ecu50包括控制部51、can接口52、加密處理部53、密鑰存儲(chǔ)部54、出廠(chǎng)初始密鑰存儲(chǔ)部55。所述各部分構(gòu)成為能夠交換數(shù)據(jù)。

控制部51具有規(guī)定的控制功能。can接口52是與管理裝置10、其他ecu50進(jìn)行通信的通信部。can接口52與控制用車(chē)載網(wǎng)絡(luò)40連接，并經(jīng)由控制用車(chē)載網(wǎng)絡(luò)40與管理裝置10、其他ecu50進(jìn)行數(shù)據(jù)交換。

加密處理部53進(jìn)行數(shù)據(jù)的加密和加密數(shù)據(jù)的解密。密鑰存儲(chǔ)部54存儲(chǔ)密鑰。在本實(shí)施方式中，作為密鑰存儲(chǔ)部54存儲(chǔ)的密鑰具有ecu密鑰管理密鑰和ecu密鑰兩種。出廠(chǎng)初始密鑰存儲(chǔ)部55存儲(chǔ)出廠(chǎng)初始密鑰。

圖6是表示第一實(shí)施方式的管理服務(wù)器裝置60的結(jié)構(gòu)圖。在圖6中，管理服務(wù)器裝置60包括通信部61、通信運(yùn)營(yíng)商密鑰存儲(chǔ)部62、管理部63、管理數(shù)據(jù)存儲(chǔ)部64。上述各部分構(gòu)成為能夠交換數(shù)據(jù)。通信部61經(jīng)由通信線(xiàn)路4收發(fā)數(shù)據(jù)。通信部61經(jīng)由通信線(xiàn)路4與無(wú)線(xiàn)通信網(wǎng)絡(luò)2連接。通信運(yùn)營(yíng)商密鑰存儲(chǔ)部62存儲(chǔ)通信運(yùn)營(yíng)商密鑰。管理部63進(jìn)行關(guān)于汽車(chē)1的管理。管理數(shù)據(jù)存儲(chǔ)部64存儲(chǔ)關(guān)于汽車(chē)1的管理數(shù)據(jù)。

接著，說(shuō)明第一實(shí)施方式的管理方法。此外，在下面的說(shuō)明中，管理裝置10和ecu50經(jīng)由控制用車(chē)載網(wǎng)絡(luò)40收發(fā)數(shù)據(jù)。管理裝置10的esim_20經(jīng)由can接口12與ecu50收發(fā)數(shù)據(jù)。ecu50的各部分經(jīng)由can接口52與管理裝置10的esim_20收發(fā)數(shù)據(jù)。

[ecu密鑰管理密鑰的更新方法的例a1]

圖7是表示第一實(shí)施方式的ecu密鑰管理密鑰的更新方法的例a1的時(shí)序圖。ecu密鑰管理密鑰的更新方法的例是對(duì)安裝于汽車(chē)1的ecu50更新ecu密鑰管理密鑰的情況的更新方法。作為應(yīng)用ecu密鑰管理密鑰的更新方法的例的情況，列舉了下面所示的ecu密鑰管理密鑰的更新方法的應(yīng)用例1、2。

(ecu密鑰管理密鑰的更新方法的應(yīng)用例1)

在汽車(chē)1的新車(chē)階段，在對(duì)安裝于汽車(chē)1的ecu50更新ecu密鑰管理密鑰的情況下，應(yīng)用ecu密鑰管理密鑰的更新方法的例a1。作為汽車(chē)1的新車(chē)階段，例如為汽車(chē)1的制造過(guò)程、從汽車(chē)1制作完成到被出售為止等。

(ecu密鑰管理密鑰的更新方法的應(yīng)用例2)

在更換汽車(chē)1的ecu50的階段中，在對(duì)安裝于汽車(chē)1的更換后的ecu50更新ecu密鑰管理密鑰的情況下，應(yīng)用ecu密鑰管理密鑰的更新方法的例a1。作為汽車(chē)1的ecu50的更換階段，例如為更換發(fā)生故障的ecu50或?yàn)榱俗钚禄鼡Qecu50的情況等。

圖7示出了汽車(chē)1中的管理裝置10的esim_20與ecu50之間的步驟。在esim_20中，密鑰存儲(chǔ)部22的ecu密鑰管理密鑰kmn存儲(chǔ)部31存儲(chǔ)密鑰生成部21生成的ecu密鑰管理密鑰中的最新的ecu密鑰管理密鑰km3。密鑰存儲(chǔ)部22的ecu密鑰管理密鑰km(n-1)存儲(chǔ)部32存儲(chǔ)密鑰生成部21生成的ecu密鑰管理密鑰中的最新的ecu密鑰管理密鑰km3的前一個(gè)ecu密鑰管理密鑰km2。

在ecu50中，出廠(chǎng)初始密鑰存儲(chǔ)部55存儲(chǔ)出廠(chǎng)初始密鑰kr？。esim_20不知道ecu50所保持的出廠(chǎng)初始密鑰kr？。下面，參照?qǐng)D7說(shuō)明ecu密鑰管理密鑰的更新方法的例a1。

(步驟s1)ecu50的控制部51向esim_20發(fā)送通知向汽車(chē)1上安裝ecu50的安裝通知信息。esim_20接收從ecu50發(fā)送的安裝通知信息。

(步驟s2)esim_20的驗(yàn)證部23生成隨機(jī)數(shù)，并將生成的隨機(jī)數(shù)作為詢(xún)問(wèn)值。esim_20向作為安裝通知信息的發(fā)送源的ecu50發(fā)送詢(xún)問(wèn)值(隨機(jī)數(shù))。

(步驟s3)ecu50的加密處理部53生成利用存儲(chǔ)于出廠(chǎng)初始密鑰存儲(chǔ)部55的出廠(chǎng)初始密鑰kr？對(duì)從esim_20接收的詢(xún)問(wèn)值(隨機(jī)數(shù))進(jìn)行加密的加密數(shù)據(jù)kr？(隨機(jī)數(shù))。ecu50將加密數(shù)據(jù)kr？(隨機(jī)數(shù))作為響應(yīng)值向esim_20發(fā)送。

(步驟s4)esim_20的驗(yàn)證部23對(duì)從ecu50接收到的響應(yīng)值kr？(隨機(jī)數(shù))執(zhí)行響應(yīng)匹配處理。在響應(yīng)匹配處理中，驗(yàn)證部23利用存儲(chǔ)于出廠(chǎng)初始密鑰存儲(chǔ)部25的出廠(chǎng)初始密鑰kr0、kr1、......、krx，驗(yàn)證響應(yīng)值kr？(隨機(jī)數(shù))。作為響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證方法，列舉出了下面所示的驗(yàn)證方法的例1、2。

(驗(yàn)證方法的例1)

驗(yàn)證部23利用存儲(chǔ)于出廠(chǎng)初始密鑰存儲(chǔ)部25的各個(gè)出廠(chǎng)初始密鑰kr0、kr1、......、krx對(duì)詢(xún)問(wèn)值(隨機(jī)數(shù))進(jìn)行加密，并判定各加密結(jié)果與響應(yīng)值kr？(隨機(jī)數(shù))是否一致。在判定結(jié)果為僅有一個(gè)與響應(yīng)值kr？(隨機(jī)數(shù))一致的加密結(jié)果的情況下，響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證成功。

另一方面，在判定結(jié)果為沒(méi)有與響應(yīng)值kr？(隨機(jī)數(shù))一致的加密結(jié)果的情況以及有多個(gè)與響應(yīng)值kr？(隨機(jī)數(shù))一致的加密結(jié)果的情況下，響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證失敗。

(驗(yàn)證方法的例2)

驗(yàn)證部23利用存儲(chǔ)于出廠(chǎng)初始密鑰存儲(chǔ)部25的各個(gè)出廠(chǎng)初始密鑰kr0、kr1、......、krx對(duì)響應(yīng)值kr？(隨機(jī)數(shù))進(jìn)行解密，并判定各解密結(jié)果與詢(xún)問(wèn)值(隨機(jī)數(shù))是否一致。在判定結(jié)果為僅有一個(gè)與詢(xún)問(wèn)值(隨機(jī)數(shù))一致的解密結(jié)果的情況下，響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證成功。另一方面，在判定結(jié)果為沒(méi)有與詢(xún)問(wèn)值(隨機(jī)數(shù))一致的解密結(jié)果的情況以及有多個(gè)與詢(xún)問(wèn)值(隨機(jī)數(shù))一致的解密結(jié)果的情況下，響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證失敗。

在響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證成功的情況下，進(jìn)入步驟s5。另一方面，在響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證失敗的情況下，結(jié)束圖7的處理。此外，在響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證失敗的情況下，也可以進(jìn)行規(guī)定的錯(cuò)誤處理。

(步驟s5)esim_20的加密處理部24利用在步驟s4中響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證成功時(shí)所使用的出廠(chǎng)初始密鑰，對(duì)存儲(chǔ)于密鑰存儲(chǔ)部22的ecu密鑰管理密鑰kmn存儲(chǔ)部31的ecu密鑰管理密鑰km3進(jìn)行加密，并生成加密ecu密鑰管理密鑰。在圖7的例子中，在ecu50中所保持的出廠(chǎng)初始密鑰kr？是kr5。因此，在步驟s4中響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證成功時(shí)所使用的出廠(chǎng)初始密鑰是kr5。由此，在圖7的例子中，出廠(chǎng)初始密鑰生成由kr5對(duì)ecu密鑰管理密鑰km3進(jìn)行加密的加密ecu密鑰管理密鑰kr5(km3)。esim_20向作為響應(yīng)值kr？(隨機(jī)數(shù))的發(fā)送源的ecu50發(fā)送加密ecu密鑰管理密鑰kr5(km3)。

(步驟s6)ecu50的加密處理部53利用存儲(chǔ)于出廠(chǎng)初始密鑰存儲(chǔ)部55的出廠(chǎng)初始密鑰kr5對(duì)從esim_20接收的加密ecu密鑰管理密鑰kr5(km3)進(jìn)行解密。作為該解密結(jié)果能夠獲得ecu密鑰管理密鑰km3。

(步驟s7)ecu50的密鑰存儲(chǔ)部54存儲(chǔ)作為加密處理部53的解密結(jié)果的ecu密鑰管理密鑰km3。由此，存儲(chǔ)于ecu50的密鑰存儲(chǔ)部54的ecu密鑰管理密鑰被更新為最新的ecu密鑰管理密鑰km3。

根據(jù)上述的ecu密鑰管理密鑰的更新方法的例，能夠?qū)cu50所保持的ecu密鑰管理密鑰更新為在安裝有ecu50的汽車(chē)1中生成的最新的ecu密鑰管理密鑰。由此，能夠?qū)惭b于汽車(chē)1的各ecu50所保持的ecu密鑰管理密鑰調(diào)整為最新的ecu密鑰管理密鑰。

另外，ecu密鑰管理密鑰被esim_20與ecu50共享的出廠(chǎng)初始密鑰加密，并從esim_20向ecu50發(fā)送。因此，能夠提高ecu密鑰管理密鑰更新的安全性。

[ecu密鑰管理密鑰的更新方法的例a2]

圖8是表示第一實(shí)施方式的ecu密鑰管理密鑰的更新方法的例a2的時(shí)序圖。ecu密鑰管理密鑰的更新方法的例是對(duì)安裝于汽車(chē)1上的ecu50更新ecu密鑰管理密鑰的情況的更新方法。作為應(yīng)用ecu密鑰管理密鑰的更新方法的例的情況，列舉了上述的ecu密鑰管理密鑰的更新方法的應(yīng)用例1、2。

圖8示出了汽車(chē)1中的管理裝置10的esim_20與ecu50之間的步驟。在esim_20中，密鑰存儲(chǔ)部22的ecu密鑰管理密鑰kmn存儲(chǔ)部31存儲(chǔ)密鑰生成部21生成的ecu密鑰管理密鑰中的最新的ecu密鑰管理密鑰km3。密鑰存儲(chǔ)部22的ecu密鑰管理密鑰km(n-1)存儲(chǔ)部32存儲(chǔ)密鑰生成部21生成的ecu密鑰管理密鑰中的最新的ecu密鑰管理密鑰km3的前一個(gè)ecu密鑰管理密鑰km2。

在ecu50中，密鑰存儲(chǔ)部54將初始密鑰kr？作為ecu密鑰管理密鑰存儲(chǔ)。例如，列舉了向ecu50寫(xiě)入出廠(chǎng)初始密鑰kr？來(lái)作為ecu密鑰管理密鑰的初始值的情況。esim_20不知道ecu50所保持的出廠(chǎng)初始密鑰kr？。此外，在ecu密鑰管理密鑰的更新方法的例a2中，ecu50可以不包括出廠(chǎng)初始密鑰存儲(chǔ)部55。下面，參照?qǐng)D8說(shuō)明ecu密鑰管理密鑰的更新方法的例a2。

(步驟s11)ecu50的控制部51向esim_20發(fā)送通知向汽車(chē)1上安裝ecu50的安裝通知信息。esim_20接收從ecu50發(fā)送的安裝通知信息。

(步驟s12)esim_20的驗(yàn)證部23生成隨機(jī)數(shù)，并將生成的隨機(jī)數(shù)作為詢(xún)問(wèn)值。esim_20向作為安裝通知信息的發(fā)送源的ecu50發(fā)送詢(xún)問(wèn)值(隨機(jī)數(shù))。

(步驟s13)ecu50的加密處理部53生成利用存儲(chǔ)于密鑰存儲(chǔ)部54的ecu密鑰管理密鑰(該ecu密鑰管理密鑰是出廠(chǎng)初始密鑰kr？)對(duì)從esim_20接收的詢(xún)問(wèn)值(隨機(jī)數(shù))進(jìn)行加密的加密數(shù)據(jù)kr？(隨機(jī)數(shù))。ecu50將加密數(shù)據(jù)kr？(隨機(jī)數(shù))作為響應(yīng)值向esim_20發(fā)送。

(步驟s14)esim_20的驗(yàn)證部23對(duì)從ecu50接收的響應(yīng)值kr？(隨機(jī)數(shù))執(zhí)行響應(yīng)匹配處理。在響應(yīng)匹配處理中，驗(yàn)證部23利用存儲(chǔ)于出廠(chǎng)初始密鑰存儲(chǔ)部25的出廠(chǎng)初始密鑰kr0、kr1、......、krx驗(yàn)證響應(yīng)值kr？(隨機(jī)數(shù))。作為響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證方法，列舉出了上述的驗(yàn)證方法的例1、2。

在響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證成功的情況下，進(jìn)入步驟s15。另一方面，在響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證失敗的情況下，結(jié)束圖8的處理。此外，在響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證失敗的情況下，也可以進(jìn)行規(guī)定的錯(cuò)誤處理。

(步驟s15)esim_20的加密處理部24利用在步驟s14中響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證成功時(shí)所使用的出廠(chǎng)初始密鑰，對(duì)存儲(chǔ)于密鑰存儲(chǔ)部22的ecu密鑰管理密鑰kmn存儲(chǔ)部31的ecu密鑰管理密鑰km3進(jìn)行加密，并生成加密ecu密鑰管理密鑰。在圖8的例子中，在ecu50生成響應(yīng)值kr？(隨機(jī)數(shù))的過(guò)程中，用于加密的ecu密鑰管理密鑰是出廠(chǎng)初始密鑰kr5。

由此，在步驟s14中響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證成功時(shí)所使用的出廠(chǎng)初始密鑰是kr5。由此，在圖8的例子中，出廠(chǎng)初始密鑰生成由kr5對(duì)ecu密鑰管理密鑰km3進(jìn)行加密的加密ecu密鑰管理密鑰kr5(km3)。esim_20向作為響應(yīng)值kr？(隨機(jī)數(shù))的發(fā)送源的ecu50發(fā)送加密ecu密鑰管理密鑰kr5(km3)。

(步驟s16)ecu50的加密處理部53利用存儲(chǔ)于密鑰存儲(chǔ)部54的ecu密鑰管理密鑰(該ecu密鑰管理密鑰是出廠(chǎng)初始密鑰kr5)對(duì)從esim_20接收的加密ecu密鑰管理密鑰kr5(km3)進(jìn)行解密。作為該解密結(jié)果能夠獲得ecu密鑰管理密鑰km3。

(步驟s17)ecu50的密鑰存儲(chǔ)部54存儲(chǔ)作為加密處理部53的解密結(jié)果的ecu密鑰管理密鑰km3。由此，存儲(chǔ)于ecu50的密鑰存儲(chǔ)部54的ecu密鑰管理密鑰被更新為最新的ecu密鑰管理密鑰km3。

根據(jù)上述的ecu密鑰管理密鑰的更新方法的例a2，能夠?qū)cu50所保持的ecu密鑰管理密鑰更新為在安裝有ecu50的汽車(chē)1中生成的最新的ecu密鑰管理密鑰。由此，能夠?qū)惭b于汽車(chē)1的各ecu50所保持的ecu密鑰管理密鑰調(diào)整為最新的ecu密鑰管理密鑰。

另外，ecu密鑰管理密鑰被esim_20與ecu50共享的出廠(chǎng)初始密鑰加密，并從esim_20向ecu50發(fā)送。因此，能夠提高ecu密鑰管理密鑰更新的安全性。

[ecu密鑰的更新方法的例b1]

圖9是表示第一實(shí)施方式的ecu密鑰的更新方法的例b1的時(shí)序圖。ecu密鑰的更新方法的例b1是對(duì)安裝于汽車(chē)1的ecu50更新ecu密鑰的情況的更新方法。作為應(yīng)用ecu密鑰的更新方法的例b1的情況，列舉了與上述的ecu密鑰管理密鑰的更新方法的應(yīng)用例1、2相同的情況。

在圖9中示出了汽車(chē)1中的管理裝置10的esim_20與ecu50之間的步驟。在esim_20中，密鑰存儲(chǔ)部22的ecu密鑰管理密鑰kmn存儲(chǔ)部31存儲(chǔ)密鑰生成部21生成的ecu密鑰管理密鑰中的最新的ecu密鑰管理密鑰km3。密鑰存儲(chǔ)部22的ecu密鑰kn存儲(chǔ)部33存儲(chǔ)密鑰生成部21生成的ecu密鑰中的最新的ecu密鑰k8。

在ecu50中，密鑰存儲(chǔ)部54存儲(chǔ)ecu密鑰管理密鑰km3。下面，參照?qǐng)D9說(shuō)明ecu密鑰的更新方法的例b1。

(步驟s21)ecu50的控制部51向esim_20發(fā)送通知向汽車(chē)1上安裝ecu50的安裝通知信息。esim_20接收從ecu50發(fā)送的安裝通知信息。

(步驟s22)esim_20的加密處理部24利用存儲(chǔ)于密鑰存儲(chǔ)部22的ecu密鑰管理密鑰kmn存儲(chǔ)部31的ecu密鑰管理密鑰km3，對(duì)存儲(chǔ)于密鑰存儲(chǔ)部22的ecu密鑰kn存儲(chǔ)部33的ecu密鑰k8進(jìn)行加密，并生成加密ecu密鑰km3(k8)。esim_20向作為安裝通知信息的發(fā)送源的ecu50發(fā)送加密ecu密鑰km3(k8)。

(步驟s23)ecu50的加密處理部53利用存儲(chǔ)于密鑰存儲(chǔ)部54的ecu密鑰管理密鑰km3，對(duì)從esim_20接收的加密ecu密鑰km3(k8)進(jìn)行解密。作為該解密結(jié)果能夠獲得ecu密鑰k8。

(步驟s24)ecu50的密鑰存儲(chǔ)部54存儲(chǔ)作為加密處理部53的解密結(jié)果的ecu密鑰k8。由此，存儲(chǔ)于ecu50的密鑰存儲(chǔ)部54的ecu密鑰被更新為最新的ecu密鑰k8。

根據(jù)上述的ecu密鑰的更新方法的例b1，能夠?qū)cu50所保持的ecu密鑰更新為在安裝有ecu50的汽車(chē)1中生成的最新的ecu密鑰。

由此，能夠?qū)惭b于汽車(chē)1的各ecu50所保持的ecu密鑰調(diào)整為最新的ecu密鑰。

另外，ecu密鑰被esim_20和ecu50共享的ecu密鑰管理密鑰加密，并從esim_20向ecu50發(fā)送。由此，能夠提高ecu密鑰更新的安全性。

[ecu密鑰管理密鑰的更新方法的例a3]

圖10是表示第一實(shí)施方式的ecu密鑰管理密鑰的更新方法的例a3的時(shí)序圖。ecu密鑰管理密鑰的更新方法的例a3是對(duì)安裝于汽車(chē)1的ecu50更新ecu密鑰管理密鑰的情況的更新方法。在ecu密鑰管理密鑰的更新方法的例a3中，在sim_20生成新的ecu密鑰管理密鑰的情況下，對(duì)ecu50更新ecu密鑰管理密鑰。

圖10示出了汽車(chē)1中的管理裝置10的esim_20與ecu50之間的步驟。在esim_20中，密鑰存儲(chǔ)部22的ecu密鑰管理密鑰kmn存儲(chǔ)部31存儲(chǔ)密鑰生成部21生成的ecu密鑰管理密鑰中的最新的ecu密鑰管理密鑰km2。密鑰存儲(chǔ)部22的ecu密鑰管理密鑰km(n-1)存儲(chǔ)部32存儲(chǔ)密鑰生成部21生成的ecu密鑰管理密鑰中的最新的ecu密鑰管理密鑰km2的前一個(gè)ecu密鑰管理密鑰km1。

在ecu50中，密鑰存儲(chǔ)部54存儲(chǔ)ecu密鑰管理密鑰km2。下面，參照?qǐng)D10說(shuō)明ecu密鑰管理密鑰的更新方法的例a3。

(步驟s31)esim_20的密鑰生成部21生成新的ecu密鑰管理密鑰km3。密鑰存儲(chǔ)部22的ecu密鑰管理密鑰km(n-1)存儲(chǔ)部32對(duì)存儲(chǔ)ecu密鑰管理密鑰kmn存儲(chǔ)部31存儲(chǔ)的ecu密鑰管理密鑰km2進(jìn)行存儲(chǔ)，以取代已存儲(chǔ)的ecu密鑰管理密鑰km1。密鑰存儲(chǔ)部22的ecu密鑰管理密鑰kmn存儲(chǔ)部31對(duì)密鑰生成部21生成的新的ecu密鑰管理密鑰km3進(jìn)行存儲(chǔ)，以取代已存儲(chǔ)的ecu密鑰管理密鑰km2。由此，在密鑰存儲(chǔ)部22中，ecu密鑰管理密鑰kmn存儲(chǔ)部31存儲(chǔ)ecu密鑰管理密鑰km3，ecu密鑰管理密鑰km(n-1)存儲(chǔ)部32存儲(chǔ)ecu密鑰管理密鑰km2。

(步驟s32)esim_20的加密處理部24利用存儲(chǔ)于密鑰存儲(chǔ)部22的ecu密鑰管理密鑰km(n-1)存儲(chǔ)部32的ecu密鑰管理密鑰km2，對(duì)存儲(chǔ)于密鑰存儲(chǔ)部22的ecu密鑰管理密鑰kmn存儲(chǔ)部31的ecu密鑰管理密鑰km3進(jìn)行加密，并生成加密ecu密鑰管理密鑰km2(km3)。esim_20向ecu50發(fā)送加密ecu密鑰管理密鑰km2(km3)。

(步驟s33)ecu50的加密處理部53利用存儲(chǔ)于密鑰存儲(chǔ)部54的ecu密鑰管理密鑰km2，對(duì)從esim_20接收的加密ecu密鑰管理密鑰km2(km3)進(jìn)行解密。作為該解密結(jié)果能夠獲得ecu密鑰管理密鑰km3。

(步驟s34)ecu50的密鑰存儲(chǔ)部54存儲(chǔ)作為加密處理部53的解密結(jié)果的ecu密鑰管理密鑰km3。由此，存儲(chǔ)于ecu50的密鑰存儲(chǔ)部54的ecu密鑰管理密鑰被更新為最新的ecu密鑰管理密鑰km3。

根據(jù)上述的ecu密鑰管理密鑰的更新方法的例a3，能夠?qū)cu50所保持的ecu密鑰管理密鑰更新為在安裝有ecu50的汽車(chē)1中生成的最新的ecu密鑰管理密鑰。由此，能夠?qū)惭b于汽車(chē)1的各ecu50所保持的ecu密鑰管理密鑰調(diào)整為最新的ecu密鑰管理密鑰。

另外，更新后的ecu密鑰管理密鑰被esim_20和ecu50共享的更新前的ecu密鑰管理密鑰加密，并從esim_20向ecu50發(fā)送。由此，能夠提高ecu密鑰管理密鑰更新的安全性。

[ecu密鑰的更新方法的例b2]

圖11是表示第一實(shí)施方式的ecu密鑰的更新方法的例b2的時(shí)序圖。ecu密鑰的更新方法的例b2是對(duì)安裝于汽車(chē)1的ecu50更新ecu密鑰的情況的更新方法。在ecu密鑰的更新方法的例b2中，在esim_20生成新的ecu密鑰的情況下，對(duì)ecu50更新ecu密鑰。

圖11示出了汽車(chē)1中的管理裝置10的esim_20與ecu50之間的步驟。在esim_20中，密鑰存儲(chǔ)部22的ecu密鑰管理密鑰kmn存儲(chǔ)部31存儲(chǔ)密鑰生成部21生成的ecu密鑰管理密鑰中的最新的ecu密鑰管理密鑰km3。

在ecu50中，密鑰存儲(chǔ)部54存儲(chǔ)ecu密鑰管理密鑰km3和ecu密鑰k7。下面，參照?qǐng)D11說(shuō)明ecu密鑰的更新方法的例b2。

(步驟s41)esim_20的密鑰生成部21生成新的ecu密鑰k8。

密鑰存儲(chǔ)部22的ecu密鑰kn存儲(chǔ)部33對(duì)儲(chǔ)密鑰生成部21生成的新的ecu密鑰k8進(jìn)行存儲(chǔ)，以取代密鑰生成部21在生成ecu密鑰k8前生成的且已存儲(chǔ)的ecu密鑰k7。

(步驟s42)esim_20的加密處理部24利用存儲(chǔ)于密鑰存儲(chǔ)部22的ecu密鑰管理密鑰kmn存儲(chǔ)部31的ecu密鑰管理密鑰km3，對(duì)存儲(chǔ)于密鑰存儲(chǔ)部22的ecu密鑰kn存儲(chǔ)部33的ecu密鑰k8進(jìn)行加密，并生成加密ecu密鑰km3(k8)。esim_20向ecu50發(fā)送加密ecu密鑰km3(k8)。

(步驟s43)ecu50的加密處理部53利用存儲(chǔ)于密鑰存儲(chǔ)部54的ecu密鑰管理密鑰km3，對(duì)從esim_20接收的加密ecu密鑰km3(k8)進(jìn)行解密。作為該解密結(jié)果能夠獲得ecu密鑰k8。

(步驟s44)ecu50的密鑰存儲(chǔ)部54對(duì)作為加密處理部53的解密結(jié)果的ecu密鑰k8進(jìn)行存儲(chǔ)，以取代已存儲(chǔ)的ecu密鑰k7。由此，存儲(chǔ)于ecu50的密鑰存儲(chǔ)部54的ecu密鑰被更新為最新的ecu密鑰k8。

根據(jù)上述的ecu密鑰的更新方法的例b2，能夠?qū)cu50所保持的ecu密鑰更新為在安裝有ecu50的汽車(chē)1中生成的最新的ecu密鑰。

由此，能夠?qū)惭b于汽車(chē)1的各ecu50所保持的ecu密鑰調(diào)整為最新的ecu密鑰。

另外，ecu密鑰被esim_20和ecu50共享的ecu密鑰管理密鑰加密，并從esim_20向ecu50發(fā)送。由此，能夠提高ecu密鑰更新的安全性。

[ecu密鑰管理密鑰的更新方法的例a4]

圖12是表示第一實(shí)施方式的ecu密鑰管理密鑰的更新方法的例a4的時(shí)序圖。ecu密鑰管理密鑰的更新方法的例a4是對(duì)安裝于汽車(chē)1的ecu50更新ecu密鑰管理密鑰的情況的更新方法。在ecu密鑰管理密鑰的更新方法的例a4中，將ecu50所保持的ecu密鑰管理密鑰更新為出廠(chǎng)初始密鑰。作為將ecu密鑰管理密鑰更新為出廠(chǎng)初始密鑰的對(duì)象的ecu50是收到特定通知的ecu50。特定通知可以從ecu50被發(fā)送至esim_20，或者，也可以從汽車(chē)1的外部向esim_20輸入。在此，針對(duì)收到再利用的通知的ecu50，將ecu密鑰管理密鑰更新為出廠(chǎng)初始密鑰。在此，再利用的通知從ecu50向esim_2發(fā)送。

圖12示出了汽車(chē)1中的管理裝置10的esim_20與ecu50之間的步驟。在esim_20中，密鑰存儲(chǔ)部22的ecu密鑰管理密鑰kmn存儲(chǔ)部31存儲(chǔ)密鑰生成部21生成的ecu密鑰管理密鑰中的最新的ecu密鑰管理密鑰km3。

在ecu50中，密鑰存儲(chǔ)部54存儲(chǔ)ecu密鑰管理密鑰km3。下面，參照?qǐng)D12說(shuō)明ecu密鑰管理密鑰的更新方法的例a4。

(步驟s51)ecu50的控制部51向esim_20發(fā)送用于通知ecu50的再利用的再利用通知信息。esim_20接收從ecu50發(fā)送的再利用通知信息。

(步驟s52)esim_20的加密處理部24利用存儲(chǔ)于密鑰存儲(chǔ)部22的ecu密鑰管理密鑰kmn存儲(chǔ)部31的ecu密鑰管理密鑰km3，對(duì)存儲(chǔ)于出廠(chǎng)初始密鑰存儲(chǔ)部25的出廠(chǎng)初始密鑰進(jìn)行加密，并生成加密出廠(chǎng)初始密鑰。被加密的出廠(chǎng)初始密鑰是從存儲(chǔ)于出廠(chǎng)初始密鑰存儲(chǔ)部25的出廠(chǎng)初始密鑰kr0、kr1、......、krx中任意選擇。在圖12例子中，被加密的出廠(chǎng)初始密鑰是kr6。

由此，生成出廠(chǎng)初始密鑰kr6被ecu密鑰管理密鑰km3加密的加密出廠(chǎng)初始密鑰km3(kr6)。esim_20向作為再利用通知信息的發(fā)送源的ecu50發(fā)送加密出廠(chǎng)初始密鑰km3(kr6)。

(步驟s53)ecu50的加密處理部53利用存儲(chǔ)于密鑰存儲(chǔ)部54的ecu密鑰管理密鑰km3，對(duì)從esim_20接收的加密出廠(chǎng)初始密鑰km3(kr6)進(jìn)行解密。作為該解密結(jié)果能夠獲得出廠(chǎng)初始密鑰kr6。

(步驟s54)ecu50的密鑰存儲(chǔ)部54將加密處理部53的解密結(jié)果即出廠(chǎng)初始密鑰kr6作為ecu密鑰管理密鑰存儲(chǔ)。由此，存儲(chǔ)于ecu50的密鑰存儲(chǔ)部54的ecu密鑰管理密鑰被更新為出廠(chǎng)初始密鑰kr6。

根據(jù)上述的ecu密鑰管理密鑰的更新方法的例a4，能夠?qū)⑹盏教囟ㄍㄖ膃cu50所保持的ecu密鑰管理密鑰更新為出廠(chǎng)初始密鑰。另外，更新的出廠(chǎng)初始密鑰被esim_20和ecu50共享的ecu密鑰管理密鑰加密，并從esim_20向ecu50發(fā)送。由此，能夠提高從ecu密鑰管理密鑰向出廠(chǎng)初始密鑰更新的安全性。

在通過(guò)ecu密鑰管理密鑰的更新方法的例a4使ecu密鑰管理密鑰被更新為出廠(chǎng)初始密鑰的ecu50安裝于其他汽車(chē)1的情況下，由于在上述的ecu密鑰管理密鑰的更新方法的例a2中利用esim_20的驗(yàn)證成功，因此，在其他汽車(chē)1中能夠再利用。

此外，上述的ecu密鑰管理密鑰的更新方法的例a4能夠應(yīng)用。

下面對(duì)一個(gè)應(yīng)用例進(jìn)行說(shuō)明。在上述的ecu密鑰管理密鑰的更新方法的例中，在通過(guò)利用esim_20的驗(yàn)證成功使得存儲(chǔ)于ecu50的密鑰存儲(chǔ)部54的ecu密鑰管理密鑰為最新的情況下，該ecu50將存儲(chǔ)于自己的出廠(chǎng)初始密鑰存儲(chǔ)部55的出廠(chǎng)初始密鑰刪除或者改寫(xiě)為無(wú)效的值。另外，在上述的ecu密鑰管理密鑰的更新方法的例a4的步驟s54中，ecu50的出廠(chǎng)初始密鑰存儲(chǔ)部55存儲(chǔ)步驟s53中的加密處理部53的解密結(jié)果即出廠(chǎng)初始密鑰。由此，針對(duì)安裝于汽車(chē)1上后存儲(chǔ)于出廠(chǎng)初始密鑰存儲(chǔ)部55的出廠(chǎng)初始密鑰被刪除或被改寫(xiě)為無(wú)效的值的ecu50而言，能夠再次將有效的出廠(chǎng)初始密鑰存儲(chǔ)于出廠(chǎng)初始密鑰存儲(chǔ)部55。這樣一來(lái)，再次將有效的出廠(chǎng)初始密鑰存儲(chǔ)于出廠(chǎng)初始密鑰存儲(chǔ)部55的ecu50在安裝于其他汽車(chē)1的情況下，由于在上述的ecu密鑰管理密鑰的更新方法的例a1中利用esim_20的驗(yàn)證成功，因此，能夠在其他汽車(chē)1上再利用。

下面說(shuō)明其他應(yīng)用例。對(duì)收到廢棄通知的ecu50，將存儲(chǔ)于密鑰存儲(chǔ)部54的ecu密鑰管理密鑰與存儲(chǔ)于出廠(chǎng)初始密鑰存儲(chǔ)部25的出廠(chǎng)初始密鑰更新為規(guī)定的廢棄密鑰。由此，即便廢棄的ecu50安裝于其他汽車(chē)1，通過(guò)使用廢棄密鑰，使得利用esim_20的驗(yàn)證失敗，因此，能夠防止廢棄的ecu50在其他汽車(chē)1上使用。

[密鑰的備份方法的例子]

圖13是表示第一實(shí)施方式的密鑰的備份方法的例子的時(shí)序圖。在此，說(shuō)明將汽車(chē)1的ecu密鑰管理密鑰和ecu密鑰向管理服務(wù)器裝置60備份的方法。

圖13示出了圖1所示的管理系統(tǒng)中的管理服務(wù)器裝置60與管理裝置10的esim_20之間的步驟。在esim_20中，密鑰存儲(chǔ)部22的ecu密鑰管理密鑰kmn存儲(chǔ)部31存儲(chǔ)密鑰生成部21生成的ecu密鑰管理密鑰中的最新的ecu密鑰管理密鑰km3。密鑰存儲(chǔ)部22的ecu密鑰kn存儲(chǔ)部33存儲(chǔ)密鑰生成部21生成的ecu密鑰中的最新的ecu密鑰k8。

下面，參照?qǐng)D13說(shuō)明密鑰的備份方法的例子。在下面的說(shuō)明中，esim_20經(jīng)由無(wú)線(xiàn)通信部11與管理服務(wù)器裝置60收發(fā)數(shù)據(jù)。管理服務(wù)器裝置60的各部分經(jīng)由通信部61與管理裝置10的esim_20收發(fā)數(shù)據(jù)。

此外，也可以?xún)H在汽車(chē)1的所有者同意密鑰的備份的情況下開(kāi)始圖13的步驟。

(步驟s61)esim_20的加密處理部24利用存儲(chǔ)于通信運(yùn)營(yíng)商密鑰存儲(chǔ)部26的通信運(yùn)營(yíng)商密鑰kc0、kc1、......、kcy中的與通信運(yùn)營(yíng)商共享的通信運(yùn)營(yíng)商密鑰kc1，分別對(duì)存儲(chǔ)于密鑰存儲(chǔ)部22的ecu密鑰管理密鑰kmn存儲(chǔ)部31的ecu密鑰管理密鑰km3和存儲(chǔ)于密鑰存儲(chǔ)部22的ecu密鑰kn存儲(chǔ)部33的ecu密鑰k8進(jìn)行加密。由此，生成ecu密鑰管理密鑰km3被通信運(yùn)營(yíng)商密鑰kc1加密的加密ecu密鑰管理密鑰kc1(km3)和ecu密鑰k8被通信運(yùn)營(yíng)商密鑰kc1加密的加密ecu密鑰kc1(k8)。esim_20和通信運(yùn)營(yíng)商共享的通信運(yùn)營(yíng)商密鑰kc1預(yù)先設(shè)定于esim_20。esim_20將加密ecu密鑰管理密鑰kc1(km3)和加密ecu密鑰kc1(k8)向管理服務(wù)器裝置60發(fā)送。此時(shí)，esim_20將自己的汽車(chē)1的識(shí)別信息(車(chē)id)向管理服務(wù)器裝置60通知。

(步驟s62)管理服務(wù)器裝置60的管理部63利用與esim_20共享的通信運(yùn)營(yíng)商密鑰kc1，分別對(duì)從esim_20接收的加密ecu密鑰管理密鑰kc1(km3)和加密ecu密鑰kc1(k8)進(jìn)行解密。由此，作為各解密結(jié)果能夠獲得ecu密鑰管理密鑰km3和ecu密鑰k8。esim_20與通信運(yùn)營(yíng)商共享的通信運(yùn)營(yíng)商密鑰kc1預(yù)先設(shè)置于管理服務(wù)器裝置60。管理服務(wù)器裝置60的管理數(shù)據(jù)存儲(chǔ)部64將從esim_20接收的與車(chē)id與ecu密鑰管理密鑰km3及ecu密鑰k8相關(guān)聯(lián)地進(jìn)行存儲(chǔ)。

此外，管理服務(wù)器裝置60也可以不對(duì)加密ecu密鑰管理密鑰kc1(km3)和加密ecu密鑰kc1(k8)進(jìn)行解密而保持原有狀態(tài)。在該情況下，管理數(shù)據(jù)存儲(chǔ)部64將從esim_20接收的車(chē)id與加密ecu密鑰管理密鑰kc1(km3)及加密ecu密鑰kc1(k8)相關(guān)聯(lián)地進(jìn)行存儲(chǔ)。

根據(jù)上述的密鑰的備份方法的例子，能夠?qū)⑵?chē)1所保持的ecu密鑰管理密鑰和ecu密鑰備份到管理服務(wù)器裝置60。

此外，作為密鑰的備份方法的其他例子，也可以在汽車(chē)1中設(shè)置兩個(gè)管理裝置10，并在兩個(gè)管理裝置10之間共享ecu密鑰管理密鑰和ecu密鑰。

根據(jù)上述的第一實(shí)施方式，能夠獲得如下效果，即，能夠?qū)崿F(xiàn)汽車(chē)1所保持的密鑰的管理、更新。

[第二實(shí)施方式]

說(shuō)明本發(fā)明的二實(shí)施方式。第二實(shí)施方式的管理系統(tǒng)的結(jié)構(gòu)與上述的圖1結(jié)構(gòu)相同。

圖14是表示第二實(shí)施方式的管理裝置10的結(jié)構(gòu)圖。在圖14中，對(duì)與圖2的各部分相對(duì)應(yīng)的部分賦予相同的附圖標(biāo)記，并省略了對(duì)其的說(shuō)明。在圖14所示的管理裝置10中，與圖2的管理裝置10不同點(diǎn)在于，esim_20還包括固定值加密列表存儲(chǔ)部27。

固定值加密列表存儲(chǔ)部27用于存儲(chǔ)固定值加密列表。固定值加密列表是固定值被存儲(chǔ)于出廠(chǎng)初始密鑰存儲(chǔ)部25的各個(gè)出廠(chǎng)初始密鑰kr0、kr1、......、krx加密的固定值加密值和固定值加密值的加密所使用的出廠(chǎng)初始密鑰的組合列表。固定值加密列表預(yù)先存儲(chǔ)于固定值加密列表存儲(chǔ)部27。

圖15是表示第二實(shí)施方式的ecu50的結(jié)構(gòu)圖。在圖15中，對(duì)與圖5的各部分相對(duì)應(yīng)的部分賦予相同的附圖標(biāo)記，并省略了對(duì)其的說(shuō)明。在圖15所示的ecu50中，與圖5的ecu50不同點(diǎn)在于，ecu50還包括固定值存儲(chǔ)部56。固定值存儲(chǔ)部56用于存儲(chǔ)固定值。固定值預(yù)先存儲(chǔ)于固定值存儲(chǔ)部56。

接著，說(shuō)明第二實(shí)施方式的管理方法。此外，在下面的說(shuō)明中，管理裝置10和ecu50經(jīng)由控制用車(chē)載網(wǎng)絡(luò)40收發(fā)數(shù)據(jù)。管理裝置10的esim_20經(jīng)由can接口12與ecu50收發(fā)數(shù)據(jù)。ecu50的各部分經(jīng)由can接口52與管理裝置10的esim_20收發(fā)數(shù)據(jù)。

[ecu密鑰管理密鑰的更新方法的例c1]

圖16是表示第二實(shí)施方式的ecu密鑰管理密鑰的更新方法的例c1的時(shí)序圖。ecu密鑰管理密鑰的更新方法的例c1是對(duì)安裝于汽車(chē)1的ecu50更新ecu密鑰管理密鑰的情況的更新方法。作為應(yīng)用ecu密鑰管理密鑰的更新方法的例c1的情況，列舉了上述的ecu密鑰管理密鑰的更新方法的應(yīng)用例1、2。

圖16示出了汽車(chē)1中的管理裝置10的esim_20與ecu50之間的步驟。在esim_20中，密鑰存儲(chǔ)部22的ecu密鑰管理密鑰kmn存儲(chǔ)部31存儲(chǔ)密鑰生成部21生成的ecu密鑰管理密鑰中的最新的ecu密鑰管理密鑰km3。密鑰存儲(chǔ)部22的ecu密鑰管理密鑰km(n-1)存儲(chǔ)部32存儲(chǔ)密鑰生成部21生成的ecu密鑰管理密鑰中的最新的ecu密鑰管理密鑰km3的前一個(gè)ecu密鑰管理密鑰km2。

在ecu50中，出廠(chǎng)初始密鑰存儲(chǔ)部55用于存儲(chǔ)出廠(chǎng)初始密鑰kr？。esim_20不知道ecu50所保持的出廠(chǎng)初始密鑰kr？。下面，參照?qǐng)D16說(shuō)明ecu密鑰管理密鑰的更新方法的例c1。

(步驟s71)ecu50的控制部51向esim_20發(fā)送通知向汽車(chē)1安裝ecu50的安裝通知信息。esim_20接收從ecu50發(fā)送的安裝通知信息。

(步驟s72)esim_20的驗(yàn)證部23用于生成隨機(jī)數(shù)，并將生成的隨機(jī)數(shù)作為詢(xún)問(wèn)值。esim_20向作為安裝通知信息的發(fā)送源的ecu50發(fā)送詢(xún)問(wèn)值(隨機(jī)數(shù))。

(步驟s73)ecu50的加密處理部53生成利用存儲(chǔ)于出廠(chǎng)初始密鑰存儲(chǔ)部55的出廠(chǎng)初始密鑰kr？對(duì)從esim_20接收的詢(xún)問(wèn)值(隨機(jī)數(shù))進(jìn)行加密的加密數(shù)據(jù)kr？(隨機(jī)數(shù))。加密數(shù)據(jù)kr？(隨機(jī)數(shù))變?yōu)轫憫?yīng)值。ecu50的加密處理部53生成利用存儲(chǔ)于出廠(chǎng)初始密鑰存儲(chǔ)部55的出廠(chǎng)初始密鑰kr？對(duì)存儲(chǔ)于固定值存儲(chǔ)部56的固定值進(jìn)行加密的加密數(shù)據(jù)kr？(固定值)。ecu50將加密數(shù)據(jù)kr？(固定值)和響應(yīng)值kr？(隨機(jī)數(shù))向esim_20發(fā)送。

(步驟s74)esim_20的驗(yàn)證部23將從ecu50接收的加密數(shù)據(jù)kr？(固定值)與存儲(chǔ)于固定值加密列表存儲(chǔ)部27的固定值加密列表中的固定值加密值進(jìn)行比較。在圖16的例中，ecu50所保持的出廠(chǎng)初始密鑰kr？是kr5。由此，從ecu50接收的加密數(shù)據(jù)kr？(固定值)是kr5(固定值)。由此，通過(guò)與固定值加密列表中的固定值加密值的比較，與從ecu50接收的加密數(shù)據(jù)kr5(固定值)一致的是固定值加密列表中的固定值加密值kr5(固定值)。驗(yàn)證部23從出廠(chǎng)初始密鑰存儲(chǔ)部25選擇固定值加密列表中的組合中的在與從ecu50接收的加密數(shù)據(jù)kr5(固定值)的比較中一致的固定值加密值kr5(固定值)的組合的出廠(chǎng)初始密鑰kr5。

(步驟s75)esim_20的驗(yàn)證部23使用步驟s74獲取的出廠(chǎng)初始密鑰kr5對(duì)從ecu50接收的響應(yīng)值kr？(隨機(jī)數(shù))進(jìn)行驗(yàn)證。

作為響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證方法，列舉了下面所述的驗(yàn)證方法的例d1、d2。

(驗(yàn)證方法的例d1)

驗(yàn)證部23利用出廠(chǎng)初始密鑰kr5對(duì)詢(xún)問(wèn)值(隨機(jī)數(shù))進(jìn)行加密，并判定加密結(jié)果與響應(yīng)值kr？(隨機(jī)數(shù))是否一致。在判定的結(jié)果為加密結(jié)果與響應(yīng)值kr？(隨機(jī)數(shù))一致的情況下，響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證成功。另一方面，在判定的結(jié)果為加密結(jié)果與響應(yīng)值kr？(隨機(jī)數(shù))不一致的情況下，響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證失敗。

(驗(yàn)證方法的例d2)

驗(yàn)證部23利用出廠(chǎng)初始密鑰kr5對(duì)響應(yīng)值kr？(隨機(jī)數(shù))進(jìn)行解密，并判定解密結(jié)果與詢(xún)問(wèn)值(隨機(jī)數(shù))是否一致。在判定的結(jié)果為解密結(jié)果與詢(xún)問(wèn)值(隨機(jī)數(shù))一致的情況下，響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證成功。另一方面，在判定結(jié)果為解密結(jié)果與詢(xún)問(wèn)值(隨機(jī)數(shù))不一致的情況下，響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證失敗。

在響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證成功的情況下，進(jìn)入步驟s76。另一方面，在響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證失敗的情況下，結(jié)束圖16的處理。

此外，在響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證失敗的情況下，也可以進(jìn)行規(guī)定的錯(cuò)誤處理。

(步驟s76)esim_20的加密處理部24利用在步驟s75中響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證成功時(shí)所使用的出廠(chǎng)初始密鑰，對(duì)存儲(chǔ)于密鑰存儲(chǔ)部22的ecu密鑰管理密鑰kmn存儲(chǔ)部31的ecu密鑰管理密鑰km3進(jìn)行加密，并生成加密ecu密鑰管理密鑰。在圖16的例子中，在步驟s75中響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證成功時(shí)所使用的出廠(chǎng)初始密鑰是kr5。由此，在圖16的例子中，生成利用出廠(chǎng)初始密鑰kr5對(duì)ecu密鑰管理密鑰km3進(jìn)行加密的加密ecu密鑰管理密鑰kr5(km3)。esim_20向作為響應(yīng)值kr？(隨機(jī)數(shù))的發(fā)送源的ecu50發(fā)送加密ecu密鑰管理密鑰kr5(km3)。

(步驟s77)ecu50的加密處理部53利用存儲(chǔ)于出廠(chǎng)初始密鑰存儲(chǔ)部55的出廠(chǎng)初始密鑰kr5，對(duì)從esim_20接收的加密ecu密鑰管理密鑰kr5(km3)進(jìn)行解密。作為該解密結(jié)果能夠獲得ecu密鑰管理密鑰km3。

(步驟s78)ecu50的密鑰存儲(chǔ)部54用于存儲(chǔ)作為加密處理部53的解密結(jié)果的ecu密鑰管理密鑰km3。由此，存儲(chǔ)于ecu50的密鑰存儲(chǔ)部54的ecu密鑰管理密鑰被更新為最新的ecu密鑰管理密鑰km3。

根據(jù)上述的ecu密鑰管理密鑰的更新方法的例c1，能夠?qū)cu50所保持的ecu密鑰管理密鑰更新為安裝有ecu50的汽車(chē)1中生成的最新的ecu密鑰管理密鑰。由此，能夠?qū)惭b于汽車(chē)1的各ecu50所保持的ecu密鑰管理密鑰調(diào)整為最新的ecu密鑰管理密鑰。

另外，ecu密鑰管理密鑰被esim_20和ecu50共享的出廠(chǎng)初始密鑰加密，并從esim_20向ecu50發(fā)送。因此，能夠提高ecu密鑰管理密鑰更新的安全性。

另外，由于利用固定值加密列表特定用于加密響應(yīng)值kr？(隨機(jī)數(shù))的出廠(chǎng)初始密鑰，因此，無(wú)需上述的ecu密鑰管理密鑰的更新方法的例a1、a2的響應(yīng)匹配處理，從而能夠減少處理量。

[ecu密鑰管理密鑰的更新方法的例c2]

圖17是表示第二實(shí)施方式的ecu密鑰管理密鑰的更新方法的例c2的時(shí)序圖。ecu密鑰管理密鑰的更新方法的例c2是對(duì)安裝于汽車(chē)1的ecu50更新ecu密鑰管理密鑰的情況的更新方法。作為應(yīng)用ecu密鑰管理密鑰的更新方法的例c2的情況，列舉了上述的ecu密鑰管理密鑰的更新方法的應(yīng)用例1、2。

圖17示出了汽車(chē)1中的管理裝置10的esim_20與ecu50之間的步驟。在esim_20中，密鑰存儲(chǔ)部22的ecu密鑰管理密鑰kmn存儲(chǔ)部31存儲(chǔ)密鑰生成部21生成的ecu密鑰管理密鑰中的最新的ecu密鑰管理密鑰km3。密鑰存儲(chǔ)部22的ecu密鑰管理密鑰km(n-1)存儲(chǔ)部32存儲(chǔ)密鑰生成部21生成的ecu密鑰管理密鑰中的最新的ecu密鑰管理密鑰km3的前一個(gè)ecu密鑰管理密鑰km2。

在ecu50中，密鑰存儲(chǔ)部54將出廠(chǎng)初始密鑰kr？作為ecu密鑰管理密鑰存儲(chǔ)。例如，列舉了向ecu50寫(xiě)入出廠(chǎng)初始密鑰kr？來(lái)作為ecu密鑰管理密鑰的初始值的情況。esim_20不知道ecu50所保持的出廠(chǎng)初始密鑰kr？。此外，在ecu密鑰管理密鑰的更新方法的例c2中，ecu50也可以不包括出廠(chǎng)初始密鑰存儲(chǔ)部55。下面，參照?qǐng)D17說(shuō)明ecu密鑰管理密鑰的更新方法的例c2。

(步驟s81)ecu50的控制部51向esim_20發(fā)送通知向汽車(chē)1安裝ecu50的安裝通知信息。esim_20接收從ecu50發(fā)送的安裝通知信息。

(步驟s82)esim_20的驗(yàn)證部23生成隨機(jī)數(shù)，并將生成的隨機(jī)數(shù)作為詢(xún)問(wèn)值。esim_20向作為安裝通知信息的發(fā)送源的ecu50發(fā)送詢(xún)問(wèn)值(隨機(jī)數(shù))。

(步驟s83)ecu50的加密處理部53生成利用存儲(chǔ)于密鑰存儲(chǔ)部54的ecu密鑰管理密鑰(該ecu密鑰管理密鑰是出廠(chǎng)初始密鑰kr？)對(duì)從esim_20接收的詢(xún)問(wèn)值(隨機(jī)數(shù))進(jìn)行加密的加密數(shù)據(jù)kr？(隨機(jī)數(shù))。加密數(shù)據(jù)kr？(隨機(jī)數(shù))成為響應(yīng)值。ecu50的加密處理部53生成利用存儲(chǔ)于密鑰存儲(chǔ)部54的ecu密鑰管理密鑰(該ecu密鑰管理密鑰是出廠(chǎng)初始密鑰kr？)對(duì)存儲(chǔ)于固定值存儲(chǔ)部56的固定值進(jìn)行加密的加密數(shù)據(jù)kr？(固定值)。ecu50將加密數(shù)據(jù)kr？(固定值)和響應(yīng)值kr？(隨機(jī)數(shù))向esim_20發(fā)送。

(步驟s84)esim_20的驗(yàn)證部23將從ecu50接收的加密數(shù)據(jù)kr？(固定值)與存儲(chǔ)于固定值加密列表存儲(chǔ)部27的固定值加密列表中的固定值加密值進(jìn)行比較。在圖17的例子中，ecu50所保持的出廠(chǎng)初始密鑰kr？是kr5。由此，從ecu50接收的加密數(shù)據(jù)kr？(固定值)是kr5(固定值)。由此，通過(guò)與固定值加密列表中的固定值加密值的比較，與從ecu50接收的加密數(shù)據(jù)kr5(固定值)一致的是固定值加密列表中的固定值加密值kr5(固定值)。驗(yàn)證部23從出廠(chǎng)初始密鑰存儲(chǔ)部25獲取固定值加密列表中的組合中的與從ecu50接收的加密數(shù)據(jù)kr5(固定值)的比較中一致的固定值加密值kr5(固定值)的組合的出廠(chǎng)初始密鑰kr5。

(步驟s85)esim_20的驗(yàn)證部23使用在步驟s84獲取的出廠(chǎng)初始密鑰kr5來(lái)驗(yàn)證從ecu50接收的響應(yīng)值kr？(隨機(jī)數(shù))。

作為響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證方法，列舉了上述的驗(yàn)證方法的例d1、d2。

在響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證成功的情況下，進(jìn)入步驟s86。另一方面，在響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證失敗的情況下，結(jié)束圖17的處理。

此外，在響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證失敗的情況下，也可以進(jìn)行規(guī)定的錯(cuò)誤處理。

(步驟s86)esim_20的加密處理部24利用在步驟s85中響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證成功時(shí)所使用到的出廠(chǎng)初始密鑰，對(duì)存儲(chǔ)于密鑰存儲(chǔ)部22的ecu密鑰管理密鑰kmn存儲(chǔ)部31的ecu密鑰管理密鑰km3進(jìn)行加密，并生成加密ecu密鑰管理密鑰。在圖17的例子中，在步驟s85中響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證成功時(shí)所使用的出廠(chǎng)初始密鑰是kr5。由此，在圖17的例子中，生成利用出廠(chǎng)初始密鑰kr5對(duì)ecu密鑰管理密鑰km3進(jìn)行加密的加密ecu密鑰管理密鑰kr5(km3)。esim_20向作為響應(yīng)值kr？(隨機(jī)數(shù))的發(fā)送源的ecu50發(fā)送加密ecu密鑰管理密鑰kr5(km3)。

(步驟s87)ecu50的加密處理部53利用存儲(chǔ)于密鑰存儲(chǔ)部54的ecu密鑰管理密鑰(所述ecu密鑰管理密鑰是出廠(chǎng)初始密鑰kr5)，對(duì)從esim_20接收的加密ecu密鑰管理密鑰kr5(km3)進(jìn)行解密。作為所述解密結(jié)果可獲得ecu密鑰管理密鑰km3。

(步驟s88)ecu50的密鑰存儲(chǔ)部54存儲(chǔ)作為加密處理部53的解密結(jié)果的ecu密鑰管理密鑰km3。由此，存儲(chǔ)于ecu50的密鑰存儲(chǔ)部54的ecu密鑰管理密鑰被更新為最新的ecu密鑰管理密鑰km3。

根據(jù)上述的ecu密鑰管理密鑰的更新方法的例c2，能夠?qū)cu50所保持的ecu密鑰管理密鑰更新為安裝有ecu50的汽車(chē)1中生成的最新的ecu密鑰管理密鑰。由此，能夠?qū)惭b于汽車(chē)1的各ecu50所保持的ecu密鑰管理密鑰調(diào)整為最新的ecu密鑰管理密鑰。

另外，ecu密鑰管理密鑰被esim_20與ecu50共享的出廠(chǎng)初始密鑰進(jìn)行加密，并從esim_20向ecu50發(fā)送。由此，能夠提高ecu密鑰管理密鑰更新的安全性。

另外，由于使用固定值加密列表特定用于響應(yīng)值kr？(隨機(jī)數(shù))的加密的出廠(chǎng)初始密鑰，因此，無(wú)需上述的ecu密鑰管理密鑰的更新方法的例a1、a2的響應(yīng)匹配處理，從而能夠減少處理量。

根據(jù)上述的第二實(shí)施方式，能夠獲得如下效果，即，能夠?qū)崿F(xiàn)汽車(chē)1所保持的密鑰的管理、更新。

[第三實(shí)施方式]

說(shuō)明本發(fā)明的第三實(shí)施方式。第三實(shí)施方式的管理系統(tǒng)的結(jié)構(gòu)與所述的圖1的結(jié)構(gòu)相同。根據(jù)三實(shí)施方式的管理裝置10結(jié)構(gòu)與所述的圖2的結(jié)構(gòu)相同。

圖18是表示第三實(shí)施方式的ecu50的結(jié)構(gòu)圖。在圖18中，對(duì)于與圖5的各部分相對(duì)應(yīng)的部分賦予相同的附圖標(biāo)記，并省略對(duì)其的說(shuō)明。在圖18示出的ecu50中，與圖5的ecu50不同點(diǎn)在于，ecu50還包括驗(yàn)證部57。驗(yàn)證部57對(duì)數(shù)據(jù)的交換進(jìn)行驗(yàn)證。

接著，說(shuō)明第三實(shí)施方式的管理方法。此外，在下面的說(shuō)明中，管理裝置10和ecu50經(jīng)由控制用車(chē)載網(wǎng)絡(luò)40收發(fā)數(shù)據(jù)。管理裝置10的esim_20經(jīng)由can接口12與ecu50收發(fā)數(shù)據(jù)。ecu50的各部分經(jīng)由can接口52與管理裝置10的esim_20收發(fā)數(shù)據(jù)。

[ecu密鑰管理密鑰的更新方法的例e1]

圖19是表示第三實(shí)施方式的ecu密鑰管理密鑰的更新方法的例e1的時(shí)序圖。ecu密鑰管理密鑰的更新方法的例e1是對(duì)安裝在汽車(chē)1的ecu50更新ecu密鑰管理密鑰的情況的更新方法。作為應(yīng)用ecu密鑰管理密鑰的更新方法的例e1情況，列舉了上述的ecu密鑰管理密鑰的更新方法的應(yīng)用例1、2。

圖19示出了汽車(chē)1中的管理裝置10的esim_20與ecu50之間的步驟。在esim_20中，密鑰存儲(chǔ)部22的ecu密鑰管理密鑰kmn存儲(chǔ)部31存儲(chǔ)密鑰生成部21生成的ecu密鑰管理密鑰中的最新的ecu密鑰管理密鑰km3。密鑰存儲(chǔ)部22的ecu密鑰管理密鑰km(n-1)存儲(chǔ)部32存儲(chǔ)密鑰生成部21生成的ecu密鑰管理密鑰中的最新的ecu密鑰管理密鑰km3的前一個(gè)ecu密鑰管理密鑰km2。

在ecu50中，出廠(chǎng)初始密鑰存儲(chǔ)部55存儲(chǔ)出廠(chǎng)初始密鑰kr？。esim_20不知道ecu50所保持的出廠(chǎng)初始密鑰kr？。下面，參照?qǐng)D19說(shuō)明ecu密鑰管理密鑰的更新方法的例e1。

(步驟s91)ecu50的控制部51向esim_20發(fā)送通知向汽車(chē)1安裝ecu50的安裝通知信息。esim_20接收從ecu50發(fā)送的安裝通知信息。

(步驟s92)esim_20的驗(yàn)證部23生成隨機(jī)數(shù)，并將生成的隨機(jī)數(shù)作為詢(xún)問(wèn)值。esim_20向作為安裝通知信息的發(fā)送源的ecu50發(fā)送詢(xún)問(wèn)值(隨機(jī)數(shù))。

(步驟s93)ecu50的加密處理部53生成利用存儲(chǔ)于出廠(chǎng)初始密鑰存儲(chǔ)部55的出廠(chǎng)初始密鑰kr？對(duì)從esim_20接收的詢(xún)問(wèn)值(隨機(jī)數(shù))進(jìn)行加密的加密數(shù)據(jù)kr？(隨機(jī)數(shù))。ecu50將加密數(shù)據(jù)kr？(隨機(jī)數(shù))作為響應(yīng)值向esim_20發(fā)送。

(步驟s94)esim_20的驗(yàn)證部23對(duì)從ecu50接收的響應(yīng)值kr？(隨機(jī)數(shù))執(zhí)行響應(yīng)匹配處理。在響應(yīng)匹配處理中，驗(yàn)證部23使用存儲(chǔ)于出廠(chǎng)初始密鑰存儲(chǔ)部25的出廠(chǎng)初始密鑰kr0、kr1、......、krx，對(duì)響應(yīng)值kr？(隨機(jī)數(shù))進(jìn)行驗(yàn)證。作為響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證方法，列舉了上述的驗(yàn)證方法的例1、2。

在步驟s94中，在響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證成功的情況下，執(zhí)行后續(xù)的處理。另一方面，在步驟s94中，在響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證失敗的情況下，結(jié)束圖19的處理。此外，在步驟s94中，在響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證失敗的情況下，也可以進(jìn)行規(guī)定的錯(cuò)誤處理。

(步驟s95)ecu50的驗(yàn)證部57生成隨機(jī)數(shù)，并將生成的隨機(jī)數(shù)作為詢(xún)問(wèn)值。ecu50將詢(xún)問(wèn)值(隨機(jī)數(shù))向esim_20發(fā)送。

(步驟s96)esim_20的加密處理部24利用步驟s94中響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證成功時(shí)所使用的出廠(chǎng)初始密鑰，對(duì)從ecu50接收的詢(xún)問(wèn)值(隨機(jī)數(shù))進(jìn)行加密，從而生成加密數(shù)據(jù)kr？(隨機(jī)數(shù))。在圖19的例子中，ecu50所保持的出廠(chǎng)初始密鑰kr？是kr5。由此，步驟s94中響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證成功時(shí)所使用的出廠(chǎng)初始密鑰是kr5。由此，在圖19的例子中，生成利用出廠(chǎng)初始密鑰kr5對(duì)詢(xún)問(wèn)值(隨機(jī)數(shù))進(jìn)行加密的加密數(shù)據(jù)kr5(隨機(jī)數(shù))。esim_20將加密數(shù)據(jù)kr5(隨機(jī)數(shù))作為響應(yīng)值向作為詢(xún)問(wèn)值(隨機(jī)數(shù))的發(fā)送源的ecu50發(fā)送。

(步驟s97)ecu50的驗(yàn)證部57利用存儲(chǔ)于出廠(chǎng)初始密鑰存儲(chǔ)部55的出廠(chǎng)初始密鑰kr5，對(duì)從esim_20接收的響應(yīng)值kr5(隨機(jī)數(shù))進(jìn)行驗(yàn)證。

作為響應(yīng)值kr5(隨機(jī)數(shù))的驗(yàn)證方法，列舉了下面所示的驗(yàn)證方法的例f1、f2。

(驗(yàn)證方法的例f1)

在步驟s95中，驗(yàn)證部57利用出廠(chǎng)初始密鑰kr5，對(duì)向esim_20發(fā)送的詢(xún)問(wèn)值(隨機(jī)數(shù))進(jìn)行加密，并判定加密結(jié)果與從esim_20接收的響應(yīng)值kr5(隨機(jī)數(shù))是否一致。在判定結(jié)果為加密結(jié)果與從esim_20接收的響應(yīng)值kr5(隨機(jī)數(shù))一致的情況下，響應(yīng)值kr5(隨機(jī)數(shù))的驗(yàn)證成功。另一方面，在判定結(jié)果為加密結(jié)果與從esim_20接收的響應(yīng)值kr5(隨機(jī)數(shù))不一致的情況下，響應(yīng)值kr5(隨機(jī)數(shù))的驗(yàn)證失敗。

(驗(yàn)證方法的例f2)

驗(yàn)證部57利用出廠(chǎng)初始密鑰kr5，對(duì)從esim_20接收的響應(yīng)值kr5(隨機(jī)數(shù))進(jìn)行解密，并判定解密結(jié)果與在步驟s95中向esim_20發(fā)送的詢(xún)問(wèn)值(隨機(jī)數(shù))是否一致。在判定結(jié)果為解密結(jié)果與在步驟s95中向esim_20發(fā)送的詢(xún)問(wèn)值(隨機(jī)數(shù))一致的情況下，響應(yīng)值kr5(隨機(jī)數(shù))的驗(yàn)證成功。另一方面，當(dāng)判定結(jié)果為解密結(jié)果與步驟s95中向esim_20發(fā)送的詢(xún)問(wèn)值(隨機(jī)數(shù))不一致的情況下，響應(yīng)值kr5(隨機(jī)數(shù))的驗(yàn)證失敗。

在步驟s97中，在響應(yīng)值kr5(隨機(jī)數(shù))的驗(yàn)證成功的情況下，執(zhí)行后續(xù)的處理。另一方面，在步驟s97中，在響應(yīng)值kr5(隨機(jī)數(shù))的驗(yàn)證失敗的情況下，結(jié)束圖19的處理。此外，在步驟s97中，在響應(yīng)值kr5(隨機(jī)數(shù))的驗(yàn)證失敗的情況下，也可以進(jìn)行規(guī)定的錯(cuò)誤處理。

(步驟s98)esim_20的加密處理部24利用步驟s94中響應(yīng)值kr？(隨機(jī)數(shù))的驗(yàn)證成功時(shí)所使用的出廠(chǎng)初始密鑰kr5，對(duì)存儲(chǔ)于密鑰存儲(chǔ)部22的ecu密鑰管理密鑰kmn存儲(chǔ)部31的ecu密鑰管理密鑰km3進(jìn)行加密，并生成加密ecu密鑰管理密鑰kr5(km3)。esim_20向作為響應(yīng)值kr？(隨機(jī)數(shù))的發(fā)送源的ecu50發(fā)送加密ecu密鑰管理密鑰kr5(km3)。

(步驟s99)ecu50的加密處理部53利用存儲(chǔ)于出廠(chǎng)初始密鑰存儲(chǔ)部55的出廠(chǎng)初始密鑰kr5，對(duì)從esim_20接收的加密ecu密鑰管理密鑰kr5(km3)進(jìn)行解密。作為該解密結(jié)果能夠獲得ecu密鑰管理密鑰km3。

(步驟s100)ecu50的密鑰存儲(chǔ)部54存儲(chǔ)作為加密處理部53的解密結(jié)果的ecu密鑰管理密鑰km3。由此，存儲(chǔ)于ecu50的密鑰存儲(chǔ)部54的ecu密鑰管理密鑰被更新為最新的ecu密鑰管理密鑰km3。

根據(jù)上述的ecu密鑰管理密鑰的更新方法的例e1，能夠?qū)cu50所保持的ecu密鑰管理密鑰更新為安裝有ecu50的汽車(chē)1中生成的最新的ecu密鑰管理密鑰。由此，能夠?qū)惭b于汽車(chē)上的各ecu50所保持的ecu密鑰管理密鑰調(diào)整為最新的ecu密鑰管理密鑰。

另外，ecu密鑰管理密鑰被esim_20與ecu50共享的出廠(chǎng)初始密鑰進(jìn)行加密，并從esim_20向ecu50發(fā)送。由此，能夠提高ecu密鑰管理密鑰更新的安全性。

另外，通過(guò)由esim_20認(rèn)證ecu50(步驟s92、s93、s94)，且由ecu50認(rèn)證esim_20(步驟s95、s96、s97)，能夠在esim_20與ecu50之間進(jìn)行相互認(rèn)證。由此，能夠提高對(duì)ecu50更新ecu密鑰管理密鑰的安全性。

此外，上述的第三實(shí)施方式被設(shè)計(jì)為，在上述的第一實(shí)施方式的ecu50中設(shè)置驗(yàn)證部57，但也可以是上述的第二實(shí)施方式的圖5所示的ecu50還設(shè)置有驗(yàn)證部57，針對(duì)上述的第二實(shí)施方式，也可以應(yīng)用上述的圖19的步驟s95、s96、s97所示的由ecu50認(rèn)證esim_20的過(guò)程。

以上，參照附圖詳細(xì)說(shuō)明了關(guān)于本發(fā)明實(shí)施方式，但是具體結(jié)構(gòu)不限定于所述實(shí)施方式，包括不脫離本發(fā)明要旨范疇的設(shè)計(jì)變更。

例如，管理裝置10的esim_20也可以獲取由管理出廠(chǎng)初始密鑰的規(guī)定服務(wù)器裝置重新發(fā)行的出廠(chǎng)初始密鑰，并將所述獲取的出廠(chǎng)初始密鑰存儲(chǔ)于出廠(chǎng)初始密鑰存儲(chǔ)部25。例如，管理服務(wù)器裝置60也可以管理出廠(chǎng)初始密鑰。在該情況下，esim_20獲取由管理服務(wù)器裝置60重新發(fā)行的出廠(chǎng)初始密鑰，并將所述獲取的出廠(chǎng)初始密鑰存儲(chǔ)于出廠(chǎng)初始密鑰存儲(chǔ)部25。例如，列舉了如下情況，esim_20在規(guī)定的時(shí)刻(例如，定期地)向管理服務(wù)器裝置60詢(xún)問(wèn)是否發(fā)行了新的出廠(chǎng)初始密鑰。或者，管理服務(wù)器裝置60也可以向esim_20通知重新發(fā)行了新的出廠(chǎng)初始密鑰。由此，由于esim_20能夠保持重新發(fā)行的出廠(chǎng)初始密鑰，因此，ecu50能夠應(yīng)對(duì)保持重新發(fā)行的出廠(chǎng)初始密鑰的情況。

在上述的實(shí)施方式中，作為安全元件，列舉了使用esim或sim的例子，但并不限定于此。例如，作為安全元件也可以使用稱(chēng)為tpm(trustedplatformmodule)的具有防篡改性(tamperresistant)的加密處理芯片。例如，在非專(zhuān)利文獻(xiàn)3中記載了關(guān)tpm的內(nèi)容。

在上述的實(shí)施方式中，雖然包括管理服務(wù)器裝置60，但也可以不包括管理服務(wù)器裝置60。在汽車(chē)1中，通過(guò)管理裝置10生成ecu密鑰管理密鑰和ecu密鑰管理密鑰，并對(duì)其進(jìn)行存儲(chǔ)，并且向ecu50發(fā)送，能夠?qū)崿F(xiàn)汽車(chē)1所保持的ecu密鑰管理密鑰和ecu密鑰管理密鑰的管理、更新。

在管理裝置10以及ecu50中，優(yōu)選進(jìn)行安全啟動(dòng)(secureboot)。根據(jù)安全啟動(dòng)，能夠驗(yàn)證在計(jì)算機(jī)啟動(dòng)時(shí)該計(jì)算機(jī)的操作系統(tǒng)(operatingsystem：os)的有效性。例如，在非專(zhuān)利文獻(xiàn)3、4、5、6記載了關(guān)于安全啟動(dòng)的內(nèi)容。

根據(jù)上述的實(shí)施方式的管理方法，能夠應(yīng)用于汽車(chē)1的銷(xiāo)售、定期檢修、車(chē)輛檢查、轉(zhuǎn)售、報(bào)廢等汽車(chē)1的各種管理場(chǎng)合。

在上述的實(shí)施方式中，作為車(chē)輛列舉了汽車(chē)的例子，但也能夠應(yīng)用于帶原動(dòng)機(jī)的自行車(chē)、鐵路車(chē)輛等汽車(chē)以外的其他車(chē)輛。

圖20是表示汽車(chē)1的其他實(shí)施方式的結(jié)構(gòu)圖。在圖20中，對(duì)與圖1的各部分相對(duì)應(yīng)的部分賦予相同的附圖標(biāo)記，并省略了對(duì)其的說(shuō)明。下面，參照?qǐng)D20說(shuō)明汽車(chē)1的其他實(shí)施方式。

圖20所示的汽車(chē)1相對(duì)于圖1的汽車(chē)1還包括：網(wǎng)關(guān)100、信息娛樂(lè)(infotainment)設(shè)備110、通信裝置120。通信裝置120包括esim_121。esim_121是寫(xiě)入有無(wú)線(xiàn)通信網(wǎng)絡(luò)2的用戶(hù)信息的esim。由此，通信裝置120通過(guò)使用esim_121能夠利用無(wú)線(xiàn)通信網(wǎng)絡(luò)2。通信裝置120通過(guò)利用esim_20建立的無(wú)線(xiàn)通信線(xiàn)路161與無(wú)線(xiàn)通信網(wǎng)絡(luò)2連接。無(wú)線(xiàn)通信網(wǎng)絡(luò)2經(jīng)由通信線(xiàn)路162與網(wǎng)絡(luò)150連接。服務(wù)器裝置140經(jīng)由通信線(xiàn)路163與網(wǎng)絡(luò)150連接。通信裝置120經(jīng)由無(wú)線(xiàn)通信網(wǎng)絡(luò)2與連接于網(wǎng)絡(luò)150的服務(wù)器裝置140通信。

汽車(chē)1的信息娛樂(lè)設(shè)備110經(jīng)由通信裝置120與服務(wù)器裝置140收發(fā)數(shù)據(jù)。信息娛樂(lè)設(shè)備110與與外部設(shè)備130連接，與外部設(shè)備130交換數(shù)據(jù)。例如，作為外部設(shè)備130可列舉出移動(dòng)通信終端、視聽(tīng)設(shè)備等。

在汽車(chē)1中，網(wǎng)關(guān)100與控制用車(chē)載網(wǎng)絡(luò)40連接。信息娛樂(lè)設(shè)備110經(jīng)由網(wǎng)關(guān)100，與連接于控制用車(chē)載網(wǎng)絡(luò)40的ecu50、管理裝置10收發(fā)數(shù)據(jù)。網(wǎng)關(guān)100監(jiān)控信息娛樂(lè)設(shè)備110與ecu50之間的數(shù)據(jù)收發(fā)以及信息娛樂(lè)設(shè)備110與管理裝置10之間的數(shù)據(jù)收發(fā)。

[第四實(shí)施方式]

參照?qǐng)D21至圖27說(shuō)明第四實(shí)施方式。

[實(shí)施例1]

圖21是表示第四實(shí)施方式的汽車(chē)1001的實(shí)施例1的圖。在圖21中，汽車(chē)1001包括：第一ecu1010、多個(gè)第二ecu1020。第一ecu1010以及第二ecu1020是設(shè)置于汽車(chē)1001的車(chē)載計(jì)算機(jī)。第一ecu1010是安裝于汽車(chē)1001的ecu中的具有網(wǎng)關(guān)功能的ecu。第二ecu1020是安裝于汽車(chē)1001的ecu中的具有發(fā)動(dòng)機(jī)控制等功能的ecu。例如，作為第二ecu1020具有：具有發(fā)動(dòng)機(jī)控制功能的ecu、具有方向盤(pán)控制功能的ecu、具有制動(dòng)器控制功能ecu等。

第一ecu1010和多個(gè)第二ecu1020與設(shè)置于汽車(chē)1001的can(controllerareanetwork)1030連接。can1030是通信網(wǎng)絡(luò)。眾所周知can是裝載于車(chē)輛的通信網(wǎng)絡(luò)的一種。

第一ecu1010經(jīng)由can1030與各個(gè)第二ecu1020之間交換數(shù)據(jù)。第二ecu1020經(jīng)由can1030與其他第二ecu1020之間交換數(shù)據(jù)。

此外，作為裝載于車(chē)輛上的通信網(wǎng)絡(luò)，汽車(chē)1001也可以包括can以外的通信網(wǎng)絡(luò)，經(jīng)由can以外的通信網(wǎng)絡(luò)進(jìn)行第一ecu1010與第二ecu1020之間的數(shù)據(jù)交換以及第二ecu1020彼此之間的數(shù)據(jù)交換。例如，汽車(chē)1001也可以具有l(wèi)in(localinterconnectnetwork)。另外，也可將can和lin安裝于汽車(chē)1001上。另外，在汽車(chē)1001中，也可以具有與lin連接的第二ecu1020。

另外，第一ecu1010也可以與can和lin連接。另外，第一ecu1010也可以經(jīng)由can與連接于該can的第二ecu1020之間進(jìn)行數(shù)據(jù)交換，另外，也可以經(jīng)由lin與連接于該lin的第二ecu1020之間進(jìn)行數(shù)據(jù)交換。另外，第二ecu1020彼此也可以經(jīng)由lin進(jìn)行數(shù)據(jù)交換。

汽車(chē)1001包括診斷端口1060。作為診斷端口1060可以使用例如obd端口。診斷端口1060能夠與診斷終端1065連接。診斷端口1060與第一ecu1010連接。第一ecu1010與連接于診斷端口1060的診斷終端1065經(jīng)由診斷端口1060進(jìn)行數(shù)據(jù)交換。

汽車(chē)1001包括信息娛樂(lè)(infotainment)設(shè)備1040。作為信息娛樂(lè)設(shè)備1040，可列舉出例如具有導(dǎo)航功能、位置信息服務(wù)功能、音樂(lè)和動(dòng)畫(huà)等多媒體播放功能、音聲通信功能、數(shù)據(jù)通信功能、網(wǎng)絡(luò)連接功能等的設(shè)備。信息娛樂(lè)設(shè)備1040與第一ecu1010連接。第一ecu1010將從信息娛樂(lè)設(shè)備1040輸入的信息向第二ecu1020發(fā)送。

汽車(chē)1001包括tcu(telecommunicationunit)1050。tcu1050是通信裝置。tcu1050包括通信模塊1051。通信模塊1051利用無(wú)線(xiàn)通信網(wǎng)絡(luò)進(jìn)行無(wú)線(xiàn)通信。通信模塊1051包括sim(subscriberidentitymodule)1052。sim1052是寫(xiě)入有用于使用無(wú)線(xiàn)通信網(wǎng)絡(luò)的信息的sim。通信模塊1051通過(guò)使用sim1052與所述無(wú)線(xiàn)通信網(wǎng)絡(luò)連接，從而能夠進(jìn)行無(wú)線(xiàn)通信。

sim1052包括用于存儲(chǔ)密鑰的密鑰存儲(chǔ)部1053。sim1052是密鑰生成裝置的例子。此外，作為sim1052也可以使用esim(embeddedsubscriberidentitymodule)。sim以及esim具有防篡改性(tamperresistant)。sim以及esim是安全元件的例子。安全元件具有防篡改性。sim以及esim是計(jì)算機(jī)的一種，通過(guò)計(jì)算機(jī)程序?qū)崿F(xiàn)所期望的功能。

tcu1050與第一ecu1010連接。第一ecu1010與tcu1050的通信模塊1051進(jìn)行數(shù)據(jù)交換。

此外，在圖21的結(jié)構(gòu)中，通過(guò)直接連接第一ecu1010與tcu1050，在第一ecu1010與通信模塊1051之間進(jìn)行數(shù)據(jù)交換，但并不限定于此。例如，也可以將tcu1050與信息娛樂(lè)設(shè)備1040連接，第一ecu1010經(jīng)由信息娛樂(lè)設(shè)備1040與tcu1050的通信模塊1051進(jìn)行數(shù)據(jù)交換。或者，也可以取代診斷終端1065將tcu1050與診斷端口1060連接，第一ecu1010經(jīng)由診斷端口1060與連接于該診斷端口1060的tcu1050的通信模塊1051進(jìn)行數(shù)據(jù)交換?；蛘?，第一ecu1010也可以具有包括sim1052的通信模塊1051。在第一ecu1010具有包括sim1052的通信模塊1051的情況下，汽車(chē)1001可以不包括tcu1050。

第一ecu1010包括主運(yùn)算器1011和hsm(hardwaresecuritymodule)1012。主運(yùn)算器1011是執(zhí)行用于實(shí)現(xiàn)第一ecu1010的功能的計(jì)算機(jī)程序。hsm1012具有加密處理功能。

hsm1012具有防篡改性。hsm1012包括用于存儲(chǔ)密鑰的密鑰存儲(chǔ)部1013。主運(yùn)算器1011使用hsm1012。

第二ecu1020包括主運(yùn)算器1021和she(securehardwareextension)1022。主運(yùn)算器1021是執(zhí)行用于實(shí)現(xiàn)第二ecu1020的功能的計(jì)算機(jī)程序。she1022具有加密處理功能。she1022具有防篡改性。she1022包括用于存儲(chǔ)密鑰的密鑰存儲(chǔ)部1023。主運(yùn)算器1021使用she1022。

汽車(chē)1001所具有的車(chē)載計(jì)算機(jī)系統(tǒng)1002構(gòu)成為，第一ecu1010和多個(gè)第二ecu1020與can1030連接。第一ecu1010具有網(wǎng)關(guān)功能，并監(jiān)控車(chē)載計(jì)算機(jī)系統(tǒng)1002內(nèi)部與外部之間的通信。此外，車(chē)載計(jì)算機(jī)系統(tǒng)1002也可以構(gòu)成為，還包括通信模塊1051的sim1052。

[實(shí)施例2]

圖22是表示第四實(shí)施方式的汽車(chē)1001的實(shí)施例2的圖。在圖22中，對(duì)與圖21的各部分相對(duì)應(yīng)的部分賦予相同的附圖標(biāo)記，并省略對(duì)其的說(shuō)明。在圖22所示的實(shí)施例2中，診斷端口1060能夠與維護(hù)工具(maintenancetool)1200連接。第一ecu1010和連接于診斷端口1060的維護(hù)工具1200經(jīng)由診斷端口1060進(jìn)行數(shù)據(jù)交換。維護(hù)工具1200也可以具有與obd端口連接的以往的診斷終端的功能。

維護(hù)工具1200包括控制模塊1201?？刂颇K1201包括ic(integratedcircuit)芯片1202。ic芯片1202包括用于存儲(chǔ)密鑰的密鑰存儲(chǔ)部1203。ic芯片1202具有防篡改性。ic芯片1202是安全元件的例子。ic芯片1202是計(jì)算機(jī)的一種，通過(guò)計(jì)算機(jī)程序?qū)崿F(xiàn)所期望的功能。ic芯片1202是密鑰生成裝置的例子。

接著，參照?qǐng)D23至圖27說(shuō)明第四實(shí)施方式的管理方法。

[管理方法的例g1]

參照?qǐng)D23說(shuō)明第四實(shí)施方式的管理方法的例g1。圖23是表示第四實(shí)施方式的管理方法的例g1的時(shí)序圖。圖23所示的第四實(shí)施方式的管理方法的例g1應(yīng)用于上述的第四實(shí)施方式的圖21(實(shí)施例1)以及圖22(實(shí)施例2)所示的汽車(chē)1001。

在此，以圖21(實(shí)施例1)所示的汽車(chē)1001為例說(shuō)明管理方法的例g1。在下面的說(shuō)明中，第一ecu1010和第二ecu1020經(jīng)由can1030收發(fā)數(shù)據(jù)。

在下面的管理方法的例g1的說(shuō)明中，對(duì)安裝于汽車(chē)1001的一個(gè)第二ecu1020進(jìn)行說(shuō)明。第二ecu1020的she1022將該第二的ecu1020的初始密鑰ki5存儲(chǔ)于密鑰存儲(chǔ)部1023。第二ecu1020具有自己的標(biāo)識(shí)符ecu_id。sim1052將主(master)密鑰存儲(chǔ)于密鑰存儲(chǔ)部1053。存儲(chǔ)于sim1052的密鑰存儲(chǔ)部1053的主密鑰是與第二ecu1020的標(biāo)識(shí)符ecu_id一起用于生成存儲(chǔ)于該第二ecu1020的密鑰存儲(chǔ)部1023的初始密鑰ki5的主密鑰相同的主密鑰。因此，能夠由存儲(chǔ)于sim1052的密鑰存儲(chǔ)部1053的主密鑰和第二ecu1020的標(biāo)識(shí)符ecu_id生成與存儲(chǔ)于所述第二ecu1020的密鑰存儲(chǔ)部1023的初始密鑰ki5相同的密鑰。

第一ecu1010的hsm1012將第一ecu1010的初始密鑰ki0存儲(chǔ)于密鑰存儲(chǔ)部1013。第一ecu1010具有自己的標(biāo)識(shí)符ecu_id。sim1052的密鑰存儲(chǔ)部1053存儲(chǔ)有和與該第一ecu1010的標(biāo)識(shí)符ecu_id一起用于生成存儲(chǔ)于第一ecu1010的密鑰存儲(chǔ)部1013的初始密鑰ki0的主密鑰相同的主密鑰。因此，能夠由存儲(chǔ)于sim1052的密鑰存儲(chǔ)部1053的主密鑰和第一ecu1010的標(biāo)識(shí)符ecu_id生成與存儲(chǔ)于該第一ecu1010的密鑰存儲(chǔ)部1023的初始密鑰ki0相同的密鑰。

第一ecu1010在規(guī)定的時(shí)刻將自己的標(biāo)識(shí)符ecu_id向sim1052供給。例如，所述規(guī)定的時(shí)刻是第一ecu1010裝載于汽車(chē)1001后首次接通電源時(shí)等。第一ecu1010的標(biāo)識(shí)符ecu_id被從第一ecu1010向通信模塊1051發(fā)送。通信模塊1051將接收的第一ecu1010的標(biāo)識(shí)符ecu_id向sim1052供給。sim1052從密鑰存儲(chǔ)部1053獲取主密鑰，并利用獲取的主密鑰和第一ecu1010的標(biāo)識(shí)符ecu_id生成該第一ecu1010的初始密鑰ki0。sim1052將所述生成的第一ecu1010的初始密鑰ki0存儲(chǔ)于密鑰存儲(chǔ)部1053。

此外，用于生成第一ecu1010的初始密鑰的主密鑰和用于生成第二ecu1020的初始密鑰的主密鑰可以相同，或者，也可以不相同。

(步驟s1010)第二ecu1020在規(guī)定的時(shí)刻將自己的標(biāo)識(shí)符ecu_id向sim1052供給。例如，所述規(guī)定的時(shí)刻是第二ecu1020裝載于汽車(chē)1001后首次接通電源時(shí)等。第二ecu1020的標(biāo)識(shí)符ecu_id被從第二ecu1020經(jīng)由第一ecu1010向通信模塊1051發(fā)送。通信模塊1051將接收的第二ecu1020的標(biāo)識(shí)符ecu_id向sim1052供給。

(步驟s1011)sim1052從密鑰存儲(chǔ)部1053獲取主密鑰，并利用獲取的主密鑰和第二ecu1020的標(biāo)識(shí)符ecu_id生成該第二ecu1020的初始密鑰ki5。sim1052利用存儲(chǔ)于密鑰存儲(chǔ)部1053的第一ecu1010的初始密鑰ki0，對(duì)所述生成的初始密鑰ki5進(jìn)行加密，并生成加密的初始密鑰ki5的數(shù)據(jù)即加密初始密鑰ki0(ki5)。通信模塊1051將sim1052生成的加密初始密鑰ki0(ki5)和第二ecu1020的標(biāo)識(shí)符ecu_id的組合向第一ecu1010發(fā)送。

第一ecu1010將接收的加密初始密鑰ki0(ki5)與第二ecu1020的標(biāo)識(shí)符ecu_id的組合向hsm1012供給。hsm1012利用存儲(chǔ)在密鑰存儲(chǔ)部1013的第一ecu1010的初始密鑰ki0，對(duì)該加密初始密鑰ki0(ki5)進(jìn)行解密。通過(guò)該解密，能夠獲得第二ecu1020的初始密鑰ki5。hsm1012使所述第二ecu1020的初始密鑰ki5與所述第二ecu1020的標(biāo)識(shí)符ecu_id相關(guān)聯(lián)，并存儲(chǔ)于密鑰存儲(chǔ)部1013。由此，第一ecu1010與第二ecu1020共享所述第二ecu1020的初始密鑰ki5。

在此，舉例說(shuō)明初始密鑰的生成方法。第一ecu1010以及第二ecu1020的初始密鑰的生成方法是預(yù)先設(shè)定的。初始密鑰由主密鑰和第一ecu1010或第二ecu1020的標(biāo)識(shí)符ecu_id生成。

(初始密鑰的生成方法的例g1-a1)

在初始密鑰的生成方法的例g1-a1中，使用了散列(hash)函數(shù)。例如，可以將主密鑰和標(biāo)識(shí)符ecu_id用于散列函數(shù)的輸入值來(lái)計(jì)算出散列值，并將計(jì)算出的散列值用作初始密鑰。

(初始密鑰的生成方法的例g1-a2)

在初始密鑰的生成方法的例g1-a2中，使用了異或運(yùn)算。例如，可以執(zhí)行主密鑰和標(biāo)識(shí)符ecu_id的異或運(yùn)算，并將運(yùn)算結(jié)果的值“主密鑰xor標(biāo)識(shí)符ecu_id”用于初始密鑰。在此，“axorb”是a與b的異或。

返回圖23進(jìn)行說(shuō)明。

(步驟s1012)第一ecu1010的hsm1012生成隨機(jī)數(shù)rn，并將生成的隨機(jī)數(shù)rn作為詢(xún)問(wèn)值。第一ecu1010將詢(xún)問(wèn)值rn向第二ecu1020發(fā)送。

(步驟s1013)第二ecu1020將從第一ecu1010接收的詢(xún)問(wèn)值rn向she1022供給。she1022生成利用存儲(chǔ)于密鑰存儲(chǔ)部1023的第二ecu1020的初始密鑰ki5對(duì)該詢(xún)問(wèn)值rn進(jìn)行加密的加密數(shù)據(jù)ki5(rn)。第二ecu1020將加密數(shù)據(jù)ki5(rn)作為響應(yīng)值向第一ecu1010發(fā)送。第一ecu1010將所述接收的響應(yīng)值ki5(rn)向hsm1012供給。

hsm1012對(duì)所述響應(yīng)值ki5(rn)執(zhí)行響應(yīng)匹配處理。在響應(yīng)匹配處理中，hsm1012使用存儲(chǔ)于密鑰存儲(chǔ)部1013的第二ecu1020的初始密鑰ki5來(lái)驗(yàn)證響應(yīng)值ki5(rn)。關(guān)于響應(yīng)值ki5(rn)的驗(yàn)證方法，下面舉例說(shuō)明了響應(yīng)值的驗(yàn)證方法的例子。

(響應(yīng)值的驗(yàn)證方法的例g1-b1)

hsm1012分別利用存儲(chǔ)于密鑰存儲(chǔ)部1013的多個(gè)初始密鑰ki1、......、ki5、......對(duì)詢(xún)問(wèn)值rn進(jìn)行加密，并判定各加密結(jié)果與響應(yīng)值ki5(rn)是否一致。在判定結(jié)果為僅有一個(gè)與響應(yīng)值ki5(rn)一致的加密結(jié)果的情況下，響應(yīng)值ki5(rn)的驗(yàn)證成功。另一方面，在判定結(jié)果為沒(méi)有與響應(yīng)值ki5(rn)一致的加密結(jié)果的情況或者有多個(gè)與響應(yīng)值ki5(rn)匹配的加密結(jié)果的情況下，響應(yīng)值ki5(rn)的驗(yàn)證失敗。

(響應(yīng)值的驗(yàn)證方法的例g1-b2)

hsm1012分別利用存儲(chǔ)于密鑰存儲(chǔ)部1013的多個(gè)初始密鑰ki1、......、ki5、......對(duì)響應(yīng)值ki5(rn)進(jìn)行解密，并判定各解密結(jié)果與詢(xún)問(wèn)值rn是否一致。在判定結(jié)果為僅有一個(gè)與詢(xún)問(wèn)值rn一致的解密結(jié)果的情況下，響應(yīng)值ki5(rn)的驗(yàn)證成功。另一方面，在判定結(jié)果為沒(méi)有與詢(xún)問(wèn)值rn一致的解密結(jié)果的情況或者有多個(gè)與詢(xún)問(wèn)值rn一致的解密結(jié)果的情況下，響應(yīng)值ki5(rn)的驗(yàn)證失敗。

返回圖23進(jìn)行說(shuō)明。

在響應(yīng)值ki5(rn)的驗(yàn)證成功的情況下，執(zhí)行后續(xù)的步驟。另一方面，在響應(yīng)值ki5(rn)的驗(yàn)證失敗的情況下，結(jié)束圖23的處理。

此外，在響應(yīng)值ki5(rn)的驗(yàn)證失敗的情況下，也可以進(jìn)行規(guī)定的錯(cuò)誤處理。

(步驟s1014)第二ecu1020的she1022生成隨機(jī)數(shù)rn’，并將生成的隨機(jī)數(shù)rn’作為詢(xún)問(wèn)值。第二ecu1020將詢(xún)問(wèn)值rn’向第一ecu1010發(fā)送。

(步驟s1015)第一ecu1010將從第二ecu1020接收的詢(xún)問(wèn)值rn’向hsm1012供給。hsm1012生成利用第二ecu1020的初始密鑰ki5對(duì)該詢(xún)問(wèn)值rn’進(jìn)行加密的加密數(shù)據(jù)ki5(rn’)。第一ecu1010將加密數(shù)據(jù)ki5(rn’)作為響應(yīng)值向第二ecu1020發(fā)送。第二ecu1020將所述接收的響應(yīng)值ki5(rn’)向she1022供給。

she1022對(duì)所述響應(yīng)值ki5(rn’)執(zhí)行響應(yīng)匹配處理。在響應(yīng)匹配處理中，she1022使用存儲(chǔ)于密鑰存儲(chǔ)部1023的自第二ecu1020的初始密鑰ki5來(lái)驗(yàn)證響應(yīng)值ki5(rn’)。作為響應(yīng)值ki5(rn’)的驗(yàn)證方法，列舉了與上述的響應(yīng)值的驗(yàn)證方法的例g1-b1、g1-b2相同的方法。

在響應(yīng)值ki5(rn’)的驗(yàn)證成功的情況下，執(zhí)行后續(xù)的步驟。另一方面，在響應(yīng)值ki5(rn’)的驗(yàn)證失敗的情況下，結(jié)束圖23的處理。此外，在響應(yīng)值ki5(rn’)的驗(yàn)證失敗的情況下，也可以進(jìn)行規(guī)定的錯(cuò)誤處理。

(步驟s1016)第一ecu1010的hsm1012利用第二ecu1020的初始密鑰ki5對(duì)存儲(chǔ)于密鑰存儲(chǔ)部1013的密鑰交換密鑰kx2進(jìn)行加密，并生成加密密鑰交換密鑰ki5(kx2)。第一ecu1010將加密密鑰交換密鑰ki5(kx2)向第二ecu1020發(fā)送。第二ecu1020將所述接收的加密密鑰交換密鑰ki5(kx2)向she1022供給。

(步驟s1017)第二ecu1020的she1022利用存儲(chǔ)于密鑰存儲(chǔ)部1023的第二ecu1020的初始密鑰ki5對(duì)加密密鑰交換密鑰ki5(kx2)進(jìn)行解密。作為該解密結(jié)果能夠獲得密鑰交換密鑰kx2。

(步驟s1018)第二ecu1020的she1022將該解密結(jié)果的密鑰交換密鑰kx2存儲(chǔ)于密鑰存儲(chǔ)部1023。

在上述的管理方法的例g1中，sim1052具有密鑰安全性的要求級(jí)別比較高的主密鑰。并且，sim1052利用主密鑰和第一ecu1010的標(biāo)識(shí)符ecu_id生成第一ecu1010的初始密鑰。由此，sim1052和第一ecu1010共享相同的初始密鑰。另外，sim1052利用主密鑰和第二ecu1020的標(biāo)識(shí)符ecu_id生成第二ecu1020的初始密鑰。并且，sim1052利用第一ecu1010的初始密鑰對(duì)第二ecu1020的初始密鑰進(jìn)行加密。所述加密的第二ecu1020的初始密鑰被從通信模塊1051向第一ecu1010發(fā)送。并且，第一ecu1010利用自己的初始密鑰對(duì)所述加密的第二ecu1020的初始密鑰進(jìn)行解密。由此，第一ecu1010和第二ecu1020共享相同的初始密鑰。就裝載于汽車(chē)1001的各第二ecu1020而言，第一ecu1010將各個(gè)第二ecu1020的初始密鑰存儲(chǔ)于密鑰存儲(chǔ)部1013。第一ecu1010和第二ecu1020共享的初始密鑰在第一ecu1010和第二ecu1020之間，用于例如相互認(rèn)證、密鑰交換密鑰等數(shù)據(jù)交換中的加密處理等。

此外，在圖22(實(shí)施例2)所示的汽車(chē)1001應(yīng)用上述的管理方法的例g1的情況下，代替圖21所示的tcu1050，使用維護(hù)工具1200。具體而言，代替圖21所示的tcu1050的通信模塊1051，由維護(hù)工具1200的控制模塊1201經(jīng)由診斷端口1060在與第一ecu1010之間收發(fā)數(shù)據(jù)。另外，代替圖21所示的tcu1050的通信模塊1051的sim1052以及sim1052的密鑰存儲(chǔ)部1053，使用維護(hù)工具1200的控制模塊1201的ic芯片1202以及ic芯片1202的密鑰存儲(chǔ)部1203。

在上述的圖23所述的管理方法的例g1中，第一ecu1010與第二ecu1020相互進(jìn)行認(rèn)證。由此，能夠提高認(rèn)證的精度。此外，在上述的第一實(shí)施方式、第二實(shí)施方式以及第三實(shí)施方式中，也可以與圖23所述的管理方法的例g1相同，認(rèn)證的對(duì)象彼此相互進(jìn)行認(rèn)證。

[管理方法的例g2]

參照?qǐng)D24至圖27說(shuō)明第四實(shí)施方式的管理方法的例g2。在管理方法的例g2中，使用了多層公共密鑰方式。圖24至圖27所示的第四實(shí)施方式的管理方法的例g2，應(yīng)用于上述的第四實(shí)施方式的圖21(實(shí)施例1)以及圖22(實(shí)施例2)所示的汽車(chē)1001。

參照?qǐng)D24以及圖25說(shuō)明利用多層公共密鑰方式的密鑰管理方法。

首先，參照?qǐng)D24說(shuō)明利用多層公共密鑰方式的密鑰管理方法的第一階段。圖24是表示利用多層公共密鑰方式的密鑰管理方法的第一階段時(shí)序圖。

在圖24中，第一ecu1010和第二ecu1020具有作為預(yù)先共享的第n個(gè)公共密鑰的當(dāng)前公共密鑰(n)。

另外，第一ecu1010和第二ecu1020具有作為預(yù)先共享的α系統(tǒng)的第n個(gè)公共密鑰的α當(dāng)前公共密鑰(n)。另外，第一ecu1010和第二ecu1020，具有作為預(yù)先共享的β系統(tǒng)的第n個(gè)公共密鑰的β當(dāng)前公共密鑰(n)。

(步驟s1131)第一ecu1010，生成作為新的第“n+1”個(gè)公共密鑰的新公共密鑰(n+1)。第一ecu1010針對(duì)保持有當(dāng)前公共密鑰(n)的寄存器，將當(dāng)前公共密鑰(n)改寫(xiě)成新公共密鑰(n+1)。例如，在當(dāng)前公共密鑰(n)被使用的次數(shù)達(dá)到規(guī)定次數(shù)的情況下，第一ecu1010可以將公共密鑰由當(dāng)前公共密鑰(n)變更為新公共密鑰(n+1)。

(步驟s1132)在第一ecu1010中，hsm1012利用α當(dāng)前公共密鑰(n)對(duì)新公共密鑰(n+1)進(jìn)行加密。

(步驟s1133)第一ecu1010將作為該新公共密鑰(n+1)的加密結(jié)果的第一加密數(shù)據(jù)(n+1)向第二ecu1020發(fā)送。

(步驟s1134)在第二ecu1020中，she1022利用α當(dāng)前公共密鑰(n)，對(duì)從第一ecu1010接收的第一加密數(shù)據(jù)(n+1)進(jìn)行解密。第二ecu1020針對(duì)保持有當(dāng)前公共密鑰(n)的寄存器，將當(dāng)前公共密鑰(n)改寫(xiě)成該第一加密數(shù)據(jù)(n+1)的解密結(jié)果。由此，第二ecu1020的該寄存器的值從當(dāng)前公共密鑰(n)被更新為新公共密鑰(n+1)。

由此，在第一ecu1010以及第二ecu1020中，公共密鑰從當(dāng)前公共密鑰(n)被更新為新公共密鑰(n+1)。

接著，參照?qǐng)D25說(shuō)明利用多層公共密鑰方式的密鑰管理方法的第二階段。圖25是表示利用多層公共密鑰方式的密鑰管理方法的第二階段的時(shí)序圖。

在圖25中，第一ecu1010和第二ecu1020具有預(yù)先共享的α當(dāng)前公共密鑰(n)以及β當(dāng)前公共密鑰(n)。

(步驟s1141)第一ecu1010生成作為α系統(tǒng)的新的第“n+1”個(gè)公共密鑰的α新公共密鑰(n+1)。第一ecu1010針對(duì)保持有α當(dāng)前公共密鑰(n)的寄存器，將α當(dāng)前公共密鑰(n)改寫(xiě)成α新公共密鑰(n+1)。例如，在α當(dāng)前公共密鑰(n)被使用的次數(shù)已達(dá)到規(guī)定次數(shù)的情況下，第一ecu1010可以將α系統(tǒng)的公共密鑰從α當(dāng)前公共密鑰(n)變更為α新公共密鑰(n+1)。

(步驟s1142)在第一ecu1010中，hsm1012利用β當(dāng)前公共密鑰(n)，對(duì)α新公共密鑰(n+1)進(jìn)行加密。

(步驟s1143)第一ecu1010將作為該α新公共密鑰(n+1)的加密結(jié)果的第二加密數(shù)據(jù)(n+1)向第二ecu1020發(fā)送。

(步驟s1144)在第二ecu1020中，she1022利用β當(dāng)前公共密鑰(n)，對(duì)從第一ecu1010接收的第二加密數(shù)據(jù)(n+1)進(jìn)行解密。第二ecu1020針對(duì)保持有α當(dāng)前公共密鑰(n)的寄存器，將α當(dāng)前公共密鑰(n)改寫(xiě)成該第二加密數(shù)據(jù)(n+1)的解密結(jié)果。由此，第二ecu1020的該寄存器的值從α當(dāng)前公共密鑰(n)被更新為α新公共密鑰(n+1)。

因此，在第一ecu1010以及第二ecu1020中，α系統(tǒng)的公共密鑰從α當(dāng)前公共密鑰(n)被更新為α新公共密鑰(n+1)。

根據(jù)利用上述的圖24以及圖25所示的多層公共密鑰方式的密鑰管理方法，能夠獲得公共密鑰方式的高速性，并且能夠反復(fù)利用相同的處理程序。通過(guò)反復(fù)利用相同的處理程序，能夠簡(jiǎn)化程序代碼，因此，有利于作為有限的計(jì)算機(jī)資源的第一ecu1010以及第二ecu1020的cpu性能、存儲(chǔ)量。

參照?qǐng)D26以及圖27，說(shuō)明利用多層公共密鑰方式的密鑰管理方法的應(yīng)用例。在圖26中，應(yīng)用于密鑰交換密鑰。在圖27中，應(yīng)用于會(huì)話(huà)密鑰。密鑰交換密鑰是例如用于會(huì)話(huà)密鑰等的密鑰的更新等的密鑰。會(huì)話(huà)密鑰是例如用于確保利用信息認(rèn)證代碼(messageauthentiationcode：mac)等的信息認(rèn)證等的通信安全性的密鑰。

(利用多層公共密鑰方式的密鑰管理方法的應(yīng)用例g2-1)

參照?qǐng)D26說(shuō)明利用多層公共密鑰的密鑰管理方法的應(yīng)用例g2-1。

圖26是表示利用多層公共密鑰方式的密鑰管理方法的應(yīng)用例g2-1的時(shí)序圖。在此，對(duì)作為密鑰交換密鑰的更新對(duì)象的一個(gè)第二ecu1020進(jìn)行說(shuō)明。在圖26中，第一ecu1010和第二ecu1020具有作為預(yù)先共享的β系統(tǒng)的密鑰交換密鑰的β密鑰交換密鑰kx2。

(步驟s1221)第一ecu1010的hsm1012生成作為α系統(tǒng)的新的密鑰交換密鑰的新α密鑰交換密鑰kx3。第一ecu1010的hsm1012將新α密鑰交換密鑰kx3作為α系統(tǒng)的最新密鑰交換密鑰存儲(chǔ)于密鑰存儲(chǔ)部1013。

(步驟s1222)第一ecu1010的hsm1012利用存儲(chǔ)于密鑰存儲(chǔ)部1013的β密鑰交換密鑰kx2對(duì)新α密鑰交換密鑰kx3進(jìn)行加密，并生成加密密鑰交換密鑰kx2(kx3)。第一ecu1010將加密密鑰交換密鑰kx2(kx3)向第二ecu1020發(fā)送。第二ecu1020將所述接收的加密密鑰交換密鑰kx2(kx3)向she1022供給。

(步驟s1223)第二ecu1020的she1022利用存儲(chǔ)于密鑰存儲(chǔ)部1023的β密鑰交換密鑰kx2，對(duì)加密密鑰交換密鑰kx2(kx3)進(jìn)行解密。作為該解密結(jié)果能夠獲得新α密鑰交換密鑰kx3。

(步驟s1224)第二ecu1020的she1022將該解密結(jié)果的新α密鑰交換密鑰kx3作為α系統(tǒng)的最新密鑰交換密鑰存儲(chǔ)于密鑰存儲(chǔ)部1023。由此，在第一ecu1010和第二ecu1020中，α系統(tǒng)的密鑰交換密鑰被更新為新α密鑰交換密鑰kx3。

(利用多層公共密鑰方式的密鑰管理方法的應(yīng)用例g2-2)

參照?qǐng)D27說(shuō)明利用多層公共密鑰方式的密鑰管理方法的應(yīng)用例g2-2。

圖27是表示利用多層公共密鑰方式的密鑰管理方法的應(yīng)用例g2-2的時(shí)序圖。在此，對(duì)作為會(huì)話(huà)密鑰的更新對(duì)象的一個(gè)第二ecu1020進(jìn)行說(shuō)明。在圖27中，第一ecu1010和第二ecu1020具有作為預(yù)先共享的α系統(tǒng)的密鑰交換密鑰的α密鑰交換密鑰kx3。

(步驟s1231)第一ecu1010的hsm1012生成作為新的會(huì)話(huà)密鑰的新會(huì)話(huà)密鑰k8。

(步驟s1232)第一ecu1010的hsm1012利用存儲(chǔ)于密鑰存儲(chǔ)部1013的α密鑰交換密鑰kx3，對(duì)新會(huì)話(huà)密鑰k8進(jìn)行加密，并生成加密會(huì)話(huà)密鑰kx3(k8)。第一ecu1010將加密會(huì)話(huà)密鑰kx3(k8)向第二ecu1020發(fā)送。第二ecu1020將所述接收的加密會(huì)話(huà)密鑰kx3(k8)向she1022供給。

(步驟s1233)第二ecu1020的she1022利用存儲(chǔ)于密鑰存儲(chǔ)部1023的α密鑰交換密鑰kx3，對(duì)加密會(huì)話(huà)密鑰kx3(k8)進(jìn)行解密。作為該解密結(jié)果能夠獲得新會(huì)話(huà)密鑰k8。

(步驟s1234)第二ecu1020的she1022將該解密結(jié)果的新會(huì)話(huà)密鑰k8作為最新的會(huì)話(huà)密鑰存儲(chǔ)于密鑰存儲(chǔ)部1023。由此，在第二ecu1020中，會(huì)話(huà)密鑰被更新為新會(huì)話(huà)密鑰k8。

根據(jù)上述的管理方法的例g2，能夠獲得提高公共密鑰的安全性的効果。例如，若密鑰交換密鑰等公共密鑰被反復(fù)使用，則通過(guò)進(jìn)行泄漏電磁波解析等的解析，可能會(huì)泄露公共密鑰。作為對(duì)策，在上述的管理方法的例g2中，通過(guò)利用圖24以及圖25所示的多層公共密鑰方式的密鑰管理方法，能夠進(jìn)行公共密鑰的更新。

另外，通過(guò)利用圖24所示的多層公共密鑰方式的密鑰的管理方法的第一階段，若α當(dāng)前公共密鑰(n)被反復(fù)使用，則通過(guò)進(jìn)行泄露電磁波解析等的解析，可能會(huì)泄露α當(dāng)前公共密鑰(n)。作為對(duì)策，在上述的管理方法的例g2中，通過(guò)利用圖25所述的多層公共密鑰方式密鑰的管理方法的第二階段，能夠進(jìn)行α系統(tǒng)的公共密鑰的更新。

此外，也可以將第四實(shí)施方式的管理方法的例g2應(yīng)用于上述的第一實(shí)施方式、第二實(shí)施方式以及第三實(shí)施方式。即，可以在上述的第一實(shí)施方式、第二實(shí)施方式以及第三實(shí)施方式中使用第四實(shí)施方式的利用多層公共密鑰方式的密鑰管理方法。

此外，在上述的實(shí)施方式中，作為安全元件，也可以使用例如sim或者esim。esim是sim的一種，具有防篡改性。另外，作為安全元件，也可以使用具有防篡改性的ic芯片。另外，作為安全元件，也可以使用具有防篡改性的加密處理芯片。

作為具有防篡改性的加密處理芯片，已知有例如稱(chēng)為hsm、tpm(trustedplatformmodule)或者she等的加密處理芯片。

另外，也可以將將用于實(shí)現(xiàn)上述的管理裝置10、通信模塊1051、sim1052、第一ecu1010、hsm1012、第二ecu1020、she1022、控制模塊1201或者ic芯片1202執(zhí)行的管理方法等的各步驟的計(jì)算機(jī)程序存儲(chǔ)于計(jì)算機(jī)可讀取的存儲(chǔ)介質(zhì)中，并使計(jì)算機(jī)系統(tǒng)讀取存儲(chǔ)于所述存儲(chǔ)介質(zhì)中的程序來(lái)執(zhí)行。此外，在此提到的“計(jì)算機(jī)系統(tǒng)”也可以是os、包括外部設(shè)備等的硬件。

另外，“計(jì)算機(jī)可讀取的存儲(chǔ)介質(zhì)”是指，軟盤(pán)、光磁盤(pán)、rom、閃存等可寫(xiě)入的非易失性存儲(chǔ)器、dvd(digitalversatiledisc)等可移動(dòng)介質(zhì)、內(nèi)置于計(jì)算機(jī)系統(tǒng)的硬盤(pán)等存儲(chǔ)裝置。

而且，“計(jì)算機(jī)可讀取的存儲(chǔ)介質(zhì)”是指，如作為經(jīng)由因特網(wǎng)等網(wǎng)絡(luò)或電話(huà)線(xiàn)路等通信線(xiàn)路發(fā)送程序的情況的服務(wù)器、客戶(hù)端的計(jì)算機(jī)系統(tǒng)內(nèi)部的易失性存儲(chǔ)器(例如，dram(dynamicrandomaccessmemory))那樣的在恒定時(shí)間內(nèi)保持程序的存儲(chǔ)介質(zhì)。

另外，也可以將上述程序從存儲(chǔ)于存儲(chǔ)裝置等的計(jì)算機(jī)系統(tǒng)經(jīng)由傳輸介質(zhì)或者通過(guò)傳輸介質(zhì)中的傳輸波向其他計(jì)算機(jī)系統(tǒng)傳輸。在此，傳輸程序的“傳輸介質(zhì)”是指，如因特網(wǎng)等網(wǎng)絡(luò)(通信網(wǎng))、電話(huà)線(xiàn)路等通信線(xiàn)路(通信線(xiàn))那樣的具有傳輸信息的功能的介質(zhì)。

另外，上述程序也可以是用于實(shí)現(xiàn)上述功能的一部分的程序。

而且，上述程序也可以是所謂的差分文件(差分程序)，該差分文件能夠與已經(jīng)存儲(chǔ)于計(jì)算機(jī)系統(tǒng)的程序組合來(lái)實(shí)現(xiàn)上述的功能。

附圖標(biāo)記的說(shuō)明：

1、1001汽車(chē)

2無(wú)線(xiàn)通信網(wǎng)絡(luò)

3無(wú)線(xiàn)通信線(xiàn)路

4通信線(xiàn)路

10管理裝置

11無(wú)線(xiàn)通信部

12can接口

20esim

21密鑰生成部

22、1013、1053、1203密鑰存儲(chǔ)部

23驗(yàn)證部

24加密處理部

25出廠(chǎng)初始密鑰存儲(chǔ)部

26通信運(yùn)營(yíng)商密鑰存儲(chǔ)部

27固定值加密列表存儲(chǔ)部

31ecu密鑰管理密鑰kmn存儲(chǔ)部

32ecu密鑰管理密鑰km(n-1)存儲(chǔ)部

33ecu密鑰kn存儲(chǔ)部

40控制用車(chē)載網(wǎng)絡(luò)

50ecu

51控制部

52can接口

53加密處理部

54密鑰存儲(chǔ)部

55出廠(chǎng)初始密鑰存儲(chǔ)部

56固定值存儲(chǔ)部

57驗(yàn)證部

60管理服務(wù)器裝置

61通信部

62通信運(yùn)營(yíng)商密鑰存儲(chǔ)部

63管理部

64管理數(shù)據(jù)存儲(chǔ)部

1010第一ecu

1012hsm

1020第二ecu

1022she

1030can

1050tcu

1051通信模塊

1052sim

1060診斷端口

1200維護(hù)工具

1201控制模塊

1202ic芯片