专利名称::通信装置的制作方法
技术领域:
:本发明涉及通信技术,尤其涉及收发包含指定信息的信号的通信装置。
背景技术:
:面向汽车的无线通信方式大致分为路车间通信和车车间通信(包括车路车间通信)。每种通信都能够用于防止交叉点处的迎头相撞的冲突或者由于拐角前方的拥堵造成的追尾等。例如,在车车间通信中,通过GPS(GlobalPositioningSystem,全球定位系统)等实时检测当前的位置信息,在车载器之间相互交换该位置信息,由此能够实现交叉点处的冲突防止。在路车间通信中,在交叉点或路侧设置路侧设备,从该路侧设备对车载器发送上述的驾驶支援信息。无线通信与有线通信相比,容易受到通信监听、第三者通过冒充进行的非法介入,因此在无线通信中这些问题的对策比在有线通信中更加重要。为确保通信内容的隐匿性,对通信数据进行加密的方法比较有效。作为加密方式,大致有公钥(publickey)加密方式和公共密钥(commonkey)加密方式。前者与后者相比安全性高,但数据量多,并且处理负载大,因此安装成本高。即,两者是折衷(trade-off)的关系。现有技术文献专利文献专利文献IJP特开平2007-104310号公报专利文献2JP特开平8-331075号公报
发明内容发明要解决的问题在以广播为前提的路车间通信和车车间通信中,发送消息时,无法进行密钥数据的交換,并且需要重视实时性,因此采用公共密钥加密方式较好。在此情况下,相同系统中的车载器和路侧设备原则上全部共享公共的加密密钥。但是,在这种系统中,从任ー车载器或路侧设备泄露加密密钥后,系统整体的安全性大大降低。对此,正在研究如下方法,即生成含有多个加密密钥的加密密钥表,随机选择数据发送时使用的加密密钥,或者定期更新加密密钥表本身,据此提高安全性。本发明鉴于这种状况而作,其目的在于提供提高加密密钥表的更新处理的安全性的技术。此外,本发明的另一目的在于缓和由于通信密钥泄露而导致的安全性降低的技术。用于解决问题的方案本发明的ー种方式的通信装置包括:存储部,存储包括多种能够用干与同一系统内的其他通信装置的通信的公共密钥的公共密钥表、自己的识别信息、以及与该识别信息相联系的更新密钥;发送部,将识别信息发送到系统管理装置,该系统管理装置管理系统内使用的公共密钥表以及系统内的通信装置的识别信息和与该识别信息相联系的更新密钥;取得部,从接收了识别信息的系统管理装置,取得使用与识别信息相联系的更新密钥进行了加密的更新用的公共密钥表;以及解密部,使用存储部中存储的更新密钥,对进行了加密的更新用的公共密钥表进行解密。本发明的另ー种方式也是ー种通信装置。该装置包括:安全处理部,对接收数据进行解密;存储部,存储包括多种能够用干与同一系统内的其他通信装置的通信的公共密钥的公共密钥表、安全处理部的登记信息、以及与该登记信息相联系的登记密钥;发送部,将登记信息发送到系统管理装置,该系统管理装置管理系统内使用的公共密钥表以及系统内的通信装置中包含的安全处理部的登记信息和与该登记信息相联系的登记密钥;以及取得部,从接收了登记信息的系统管理装置,取得使用与登记信息相联系的登记密钥进行了加密的更新用的公共密钥表;安全处理部使用存储部中存储的登记密钥,对进行了加密的更新用的公共密钥表进行解密。本发明的另ー种方式也是通信装置。该装置包括:存储部,存储包括多种能够用于与同一系统内的其他通信装置的通信的公共密钥的公共密钥表、以及系统内公共的更新主密钥;取得部,取得从管理公共密钥表的系统管理装置发送的、用于对更新用的公共密钥表进行加密的表更新密钥以及利用表更新密钥进行了加密的更新用的公共密钥表,取得从作为更新对象的通信装置发送的、该通信装置的识别信息;加密部,使用更新主密钥和通信装置的识别信息,对表更新密钥进行加密;以及通知部,通知由加密部进行了加密的表更新密钥、以及进行了加密的更新用的公共密钥表。本发明的另ー种方式也是通信装置。该装置包括:存储部,存储包括多种能够用干与同一系统内的其他通信装置的通信的公共密钥的公共密钥表、系统内公共的更新主密钥、以及自己的识别信息;通知部,通知识别信息;取得部,从取得了识别信息的通信装置,取得使用识别信息和通信装置保有的更新主密钥进行了加密的表更新密钥、以及利用表更新密钥进行了加密的更新用的公共密钥表;以及解密部,使用存储部中存储的识别信息和更新主密钥,对进行了加密的表更新密钥进行解密,并利用解密后的表更新密钥对进行了加密的更新用的公共密钥表进行解密。本发明的另ー种方式也是通信装置。该装置包括:存储部,存储包括多个能够用于与同一系统内的其他通信装置的通信的通信密钥的密钥表;取得部,取得从运用管理密钥表的系统运用管理装置发送的、应不可使用的通信密钥的识别信息;以及通知部,通知由取得部取得的应不可使用的通信密钥的识别信息。本发明的另ー种方式也是通信装置。该装置包括:存储部,存储包括多个能够用于与同一系统内的其他通信装置的通信的通信密钥的密钥表;取得部,从其他通信装置,取得应不可使用的通信密钥的识别信息;以及更新部,基于由取得部取得的应不可使用的通信密钥的识别信息,使密钥表中包含的相应的通信密钥无效。本发明的另ー种方式也是通信装置。该装置包括:存储部,存储包括多种能够用于与同一系统内的其他通信装置的通信的公共密钥的公共密钥表、以及系统内公共的更新主密钥;取得部,取得从管理公共密钥表的系统管理装置发送的、用于对表示应失效的公共密钥的带禁止标志的公共密钥表进行加密的表更新密钥以及利用表更新密钥进行了加密的更新用的公共密钥表,取得从作为更新对象的通信装置发送的、该通信装置的识别信息;カロ密部,使用更新主密钥和通信装置的识别信息,对表更新密钥进行加密;以及通知部,通知由加密部进行了加密的表更新密钥、以及进行了加密的更新用的公共密钥表。本发明的另ー种方式也是通信装置。该装置包括:存储部,存储包括多种能够用干与同一系统内的其他通信装置的通信的公共密钥的公共密钥表、系统内公共的更新主密钥、以及自己的识别信息;通知部,通知识别信息;取得部,从取得了识别信息的通信装置,取得使用识别信息和通信装置保有的更新主密钥进行了加密的表更新密钥、以及利用表更新密钥进行了加密的带禁止标志的公共密钥表;以及解密部,使用存储部中存储的识别信息和更新主密钥,对进行了加密的表更新密钥进行解密,并利用解密后的表更新密钥对进行了加密的带禁止标志的公共密钥表进行解密。本发明的另ー种方式也是通信装置。该装置包括:存储部,存储包括多个能够用于与同一系统内的其他通信装置的通信的通信密钥的密钥表;取得部,取得从运用管理密钥表的系统运用管理装置发送的、应不可使用的通信密钥的识别信息;以及通知部,通知由取得部取得的应不可使用的通信密钥的识别信息。本发明的另ー种方式也是通信装置。该装置包括:存储部,存储包括多个能够用于与同一系统内的其他通信装置的通信的通信密钥的密钥表;取得部,从其他通信装置,取得应不可使用的通信密钥的识别信息;以及更新部,基于由取得部取得的应不可使用的通信密钥的识别信息,使密钥表中包含的相应的通信密钥无效。本发明的另ー种方式也是通信装置。该装置包括:存储部,存储包括多种能够用于与同一系统内的其他通信装置的通信的公共密钥的公共密钥表、以及系统内公共的更新主密钥;取得部,取得从管理公共密钥表的系统管理装置发送的、用于对表示应失效的公共密钥的带禁止标志的公共密钥表进行加密的表更新密钥以及利用表更新密钥进行了加密的更新用的公共密钥表,取得从作为更新对象的通信装置发送的、该通信装置的识别信息;カロ密部,使用更新主密钥和通信装置的识别信息,对表更新密钥进行加密;以及通知部,通知由加密部进行了加密的表更新密钥、以及进行了加密的更新用的公共密钥表。本发明的另ー种方式也是通信装置。该装置包括:存储部,存储包括多种能够用干与同一系统内的其他通信装置的通信的公共密钥的公共密钥表、系统内公共的更新主密钥、以及自己的识别信息;通知部,通知识别信息;取得部,从取得了识别信息的通信装置,取得使用识别信息和通信装置保有的更新主密钥进行了加密的表更新密钥、以及利用表更新密钥进行了加密的带禁止标志的公共密钥表;以及解密部,使用存储部中存储的识别信息和更新主密钥,对进行了加密的表更新密钥进行解密,并利用解密后的表更新密钥对进行了加密的带禁止标志的公共密钥表进行解密。此外,以上构成要素的任意组合、将本发明的表现方式在方法、装置、系统、记录介质、计算机程序等之间变换而得的方案作为本发明的方式也是有效的。发明效果根据本发明,能够提高加密密钥表的更新处理的安全性。图1是表示本发明的实施例的通信系统的结构的图。图2是表示基站装置的结构的图。图3是表示通信系统中规定的分组信号中存储的MAC帧的格式的图。图4(a)(b)是表示构成安全帧的消息的数据结构的例子的图。图5是表示消息类型的数据结构的图。图6是表示密钥ID的数据结构的图。图7是表示通信系统上的各设备应共享的公共密钥表的例子的图。图8是用于说明发送表的切換的图。图9是表示车辆中搭载的終端装置的结构的图。图10是用于说明从路侧设备(基站装置)到车载器(終端装置)的路车间通信中的消息发送的图。图11是用于说明公共密钥表的改写的图。图12是表示公共密钥表的格式的图。图13是用于说明从路侧设备(基站装置)到车载器(終端装置)的路车间通信中的公共密钥表的更新的图。图14是用于说明从路侧设备(基站装置)到车载器(終端装置)的路车间通信中的公共密钥表的更新的变形例的图。图15是表示带禁止标志的公共密钥表的格式的图。图16是用于说明失效密钥的改写的图。图17是用于说明从路侧设备(基站装置)到车载器(終端装置)的路车间通信中的公共密钥的失效的图。图18是用于说明从路侧设备(基站装置)到车载器(終端装置)的路车间通信中的带禁止标志的公共密钥表的更新的图。图19是用于说明变形例的公共密钥表的改写的图。图20(a)(b)是用于说明变形例的公共密钥表的更新过程的图。图21是表示变形例的公共密钥表的格式的图。图22是表示变形例的安全帧的第一格式的图。图23是表示变形例的安全帧的第二格式的图。图24是用于说明变形例的公共密钥表的运用方法的图。图25是表示图22的安全帧的第一格式的变形例的图。具体实施例方式在具体说明本发明之前,先描述概要。本发明的实施例涉及使用了路车间通信和车车间通信的ITS(IntelligentTransportSystems,智能交通系统)等通信系统,其中的路车间通信是为了从设置于交叉点或路侧等的基站装置对搭载于车辆的終端装置提供信息而执行的通信,车车间通信是为了从搭载于车辆的終端装置对其他车辆提供信息而执行的通信。在ITS中,正在研究使用遵照IEEE802.11等标准的无线LAN。在这种无线LAN中,使用称为CSMA/CA(CarrierSenseMultipleAccesswithCollisionAvoidance,具有冲突避免的载波侦听多路访问)的访问控制功能。因此,在该无线LAN中,由基站装置和多个終端装置共享同一无线信道。在这种CSMA/CA中,通过载波侦听确认未发送其他分组信号后,利用广播发送分组信号(以下,将分组信号的广播发送称为“通知”)。作为车车间通信,終端装置利用广播发送存储有表示搭载该終端装置的车辆的速度、位置等的车辆信息的分组信号。接收了该分组信号的終端装置基于该分组信号中存储的信息识别车辆的接近等。另外,作为路车间通信,基站装置通知存储有交叉点信息和拥堵信息等的分组信号。交叉点信息中,包含交叉点的位置信息、设置了基站装置的交叉点的拍摄图像、交叉点内的车辆的位置信息等与交叉点的状况有关的交叉点信息。終端装置在监视器上显示该交叉点信息。另外,也可以基于该交叉点信息识别交叉点的状况,将防止由于迎面相撞、右转弯、左转弯导致的与车辆、自行车、行人的冲突为目的的声音消息通知给用户。拥堵信息中,包含与设置了基站装置的道路的拥挤状况、道路施工、事故有关的信息。終端装置基于该拥堵信息向用户传达前进方向的拥堵。另外,也可以提示用于绕开该拥堵的绕行道路。图1表示本发明的实施例的通信系统500的结构。这相当于从上方观察ー个交叉点的情況。通信系统500包括:基站装置20、搭载于第一车辆IOOa的終端装置10a、以及搭载于第二车辆IOOb的终端装置10b。区域202表示基站装置20的电波圈内,区域外204表示基站装置20的电波圈外。图的上侧对应干“北”,第一车辆IOOa从“南”驶向“北”,第二车辆IOOb从“东”驶向“西”。基站装置20能够经由外部网络200与后述的路车间服务运营商终端装置等进行通信。图2表示基站装置20的结构。基站装置20包括:天线21、RF部22、调制解调部23、MAC帧处理部24、安全处理部25、数据生成部26、网络通信部27、存储部28、以及控制部29。安全处理部25包含加解密部251和加密部252。MAC帧处理部24、安全处理部25、数据生成部26、网络通信部27、存储部28、以及控制部29的结构在硬件上可以用任意处理器、存储器、其他LSI实现,在软件上通过存储器中加载的程序等实现,在此描述通过上述硬件与软件的协作实现的功能模块。因此本领域技术人员可以理解,这些功能模块可以仅由硬件、仅由软件、或者由硬件与软件的组合,以各种形式实现。图3表示通信系统500中规定的分组信号中存储的MAC帧的格式。MAC帧中,从前部起配置“MAC标头”、“LLC标头”、“信息标头”、以及“安全帧”。“MAC标头”、“LLC标头”、以及“信息标头”中存储与数据通信控制有关的信息,分别对应于通信层的各层。各字段长例如规定为:“MAC标头”为30字节,“LLC标头”为8字节,“信息标头”为12字节。安全帧中,从前部起配置“安全标头”、“有效载荷(payload)”、以及“安全脚注(footer)”。图4(a)(b)表示构成安全帧的消息的数据结构的例子。在图4(a)所示的消息的数据结构中,作为安全标头,包含“版本”、“消息类型”、“密钥ID”、“nonse(当前)”、以及“有效载荷长度”。作为有效载荷,包含“设备ID”、“应用数据长度”、“应用数掘”、“管理数据长度”、以及“管理数据”。作为安全脚注,包含“消息鉴别码”。原本,“有效载荷”是鉴别和加密的对象数据。但是,为了提高鉴别的可靠性,“nonse”和“有效载荷长度”也包含在鉴别对象中。具体而言,在头部块中配置“nonse”和“有效载荷长度”,在第二块以后配置“有效载荷”,将得到的块串作为对象,求出消息鉴别码。在此,所谓块是用于计算消息鉴别码的単位。“nonse”是用于使即使“有效载荷”相同,每次发送吋“消息鉴别码”的值也不同的数据,对每个消息设置唯一的值。“有效载荷长度”表示“有效载荷”的数据长度,提高对干与数据插入或删除相伴随的数据篡改的可靠性。同样,“消息鉴别码”也包含在加密对象范围内。在该数据结构中,“nonse”、“有效载荷长度”、“设备ID”、“应用数据长度”、“应用数掘”、“管理数据长度”、以及“管理数据”是鉴别对象范围。另外,“设备ID”、“应用数据长度”、“应用数掘”、“管理数据长度”、“管理数据”、以及“消息鉴别码”是加密对象范围。在图4(b)所示的消息的数据结构中,作为安全标头,包含“版本”、“消息类型”、“密钥ID”、以及“nonse”。“nonse”中包含“设备ID”和“发送日期时间”。作为有效载荷,包含“应用数据长度”、“应用数掘”、“管理数据长度”、以及“管理数据”。作为安全脚注,包含“消息鉴别码”。在该数据结构中,“nonse”、“有效载荷长度”、“应用数据长度”、“应用数据”、“管理数据长度”、以及“管理数据”是鉴别对象范围。另外,“应用数据长度”、“应用数据”、“管理数据长度”、“管理数据”、以及“消息鉴别码”是加密对象范围。此外,在每种情况下均作为加密对象的是有效载荷和消息鉴别码。图5表示消息类型的数据结构。消息类型由“保护形式”和“管理数据”构成。“保护形式”中设置“0”、“1”、“2”、“3”中的任一者。“0”表示消息为明文。不附加消息鉴别码,不进行加密。“I”表示消息为带数据鉴别数据。例如,可以采用AES(AdvancedEncryptionStandard,高级加密标准)-CBC(CipherBlockChaining,密码段链接)-MAC(MessageAuthenticationCode,消息鉴别码)方式。在此情况下,将利用AES-CBC模式加密处理生成的MAC附加到消息中。“2”表示消息为带数据鉴别加密数据。例如,可以采用AES-CCM(CounterwithCBC-MAC,具有CBC-MAC的计数器)方式。将利用AES-CCM模式加密处理生成的MAC附加到消息中,并且以AES-Counter模式进行加密。“3”保留。“管理数据”中设置“0”、“1”中的任一者。“0”表示不包含管理数据。在此情况下,不设定管理数据字段(指管理数据长度和管理数据)。在车车间通信中,原则上设置“O”。“I”表示包含管理数据字段。此外,在设置了“0”的情况下,为了消除冗余,可以变更为也不设定应用数据长度。在图4(a)中,有效载荷中包含的数据是固定长度的设备ID、以及应用数据,因此即使不设定应用数据长度,也能够确定应用数据。在图4(b)中,有效载荷中包含的数据仅为应用数据,因此更加无须说明。图6表示密钥ID的数据结构。密钥ID由“表编号”和“密钥编号”构成。“表编号”中设置公共密钥表的识别编号。“密钥编号”中设置公共密钥表内的密钥的识别编号。发送时,将从预先确定的用于发送用的公共密钥表中随机选择的密钥用作通信密钥。由此,表编号中设置发送用的公共密钥表的编号,密钥编号中设置随机数。“设备ID”由“类别”和“个体信息”构成。“类别”中设置用于识别是路侧设备、紧急车辆、还是一般车辆的信息。“个体信息”中设置用于识别各设备的唯一的值。图4(a)中的“nonse”中,针对每个消息设置唯一的值。该值也可以是随机数。图4(b)中的“nonse”中,代替该唯一的值,设置设备ID和发送时刻。这是基于确定设备ID和发送时刻后能够唯一确定各消息的设计思想。“应用数据”中,设置上述的交叉点信息、拥堵信息、车辆信息等。“管理数据”中,设置密钥的更新等与安全有关的维护信息等。图7表示要由通信系统500上的各设备共享的公共密钥表的例子。对分别包含多种公共密钥的多个公共密钥表进行共享。多个公共密钥表分别包含值不同的多个公共密钥。在本实施例中,举出对分别包含16种公共密钥的16种公共密钥表进行共享的例子。SP,举出共享256个公共密钥的例子。此外,各公共密钥表中包含的公共密钥的数量不必相同,可以不同。在多个公共密钥表中,选择ー个用于发送用的公共密钥表(以下称为发送表)。定期地切换该发送表(例如每六个月、一年或两年)。图7中,切换为公共密钥表0—公共密钥表I—……公共密钥表15,到达最后的公共密钥表15后,返回到最初的公共密钥表O。在发送表中,随机选择要使用的公共密钥。图8是用于说明发送表的切換的图。在本实施例中,发送表的切换时机由系统运用管理机构30決定。系统运用管理机构30的系统运用管理装置300对路车间服务运营商40的路车间服务运营商終端装置400和车辆厂商60的车辆厂商終端装置600,指示发送表的切換。在本实施例中,设想经由因特网、专用线路等外部网络200从系统运用管理装置300对路车间服务运营商終端装置400和车辆厂商終端装置600指示发送表的切換的例子。此外,系统运用管理机构30也可以使用其他通信手段(例如邮政)对路车间服务运营商40和车辆厂商60进行指示。路车间服务运营商終端装置400对路侧设备(基站装置20)发送包含切換后的发送表中包含的公共密钥的消息。路侧设备接收该消息后,将包含该公共密钥的公共密钥表设定为新的发送表。路侧设备通知使用了新设定为发送表的公共密钥表中包含的公共密钥的消息。现有车辆100的车载器(終端装置10)接收该消息后,将包含该公共密钥的公共密钥表设定为新的发送表。随后,该车载器通知包含新设定为发送表的公共密钥表中包含的公共密钥的消息。其他现有车辆100的车载器接收该消息后,将包含该公共密钥的公共密钥表设定为新的发送表。反复执行该处理。另外,车辆厂商终端装置600对于新车辆100的车载器(终端装置10),将从路车间服务运营商終端装置400指示的公共密钥表设定为发送表。该车载器通知包含该设定为发送表的公共密钥表中包含的公共密钥(通信密钥)的消息。现有车辆100的车载器接收该消息后,将包含该公共密钥的公共密钥表设定为新的发送表。随后,该车载器通知包含新设定为发送表的公共密钥表中包含的公共密钥的消息。其他现有车辆100的车载器接收该消息后,将包含该公共密钥的公共密钥表设定为新的发送表。反复执行该处理。利用以上处理,通信系统500中的各设备的发送表传递性地进行切換。此外,也可以代替这种传递系统,按照对各设备预先设定的调度计划切换发送表。但是,这种方法的条件是搭载有时钟、该时钟正确、并且路侧设备和车载器的时钟取得同歩。因此,为了对其进行补充,可以同时使用这两种方法。此外,图8中,路车间服务运营商終端装置400、车辆厂商終端装置600、以及路侧设备各分别描绘了ー个,但实际上分別存在多个。返回到图2。RF部22作为接收处理,通过天线21接收来自終端装置10和其他基站装置20的分组信号。在本实施例中,RF部22从作为公共密钥表的更新对象的終端装置10接收存储该终端装置10的设备ID的分组信号。RF部22对接收的无线频率的分组信号执行频率变换,生成基带的分组信号。RF部22将基带的分组信号输出到调制解调部23。一般而言,基带的分组信号由同相成分和正交成分形成,因此应示出两个信号线,但为了使图简化,图2中仅示出ー个信号线。RF部22作为接收系统的结构要素,包括未图示的LNA(LowNoiseAmplifier,低噪声放大器)、混频器、AGC、A/D变换部等。RF部22从基站装置20发送所生成的分组信号作为发送处理。在本实施例中,RF部22通知存储由安全处理部25进行了加密的表更新密钥(以下称为加密表更新密钥)的分组信号、和存储进行了加密的更新公共密钥表(以下称为加密更新公共密钥表)的分组信号。通知加密表更新密钥的时机与通知加密更新公共密钥表的时机可以不同,也可以相同。在时机不同的情况下,加密表更新密钥与加密更新公共密钥表相比可以先通知,也可以后通知。RF部22对从调制解调部23输入的基带的分组信号执行频率变换,生成无线频率的分组信号。RF部22在路车发送期间中,从天线21发送无线频率的分组信号。RF部22作为发送系统的结构要素,包括未图示的PA(PowerAmplifier,功率放大器)、混频器、D/A变换部等。调制解调部23作为接收处理对来自RF部22基带分组信号执行解调。调制解调部23在解调的结果中,将MAC帧输出到MAC帧处理部24。另外,调制解调部23作为发送处理对来自MAC帧处理部24的MAC帧执行调制。调制解调部23将调制后的结果作为基带分组信号输出到RF部22。本实施例的通信系统500中,米用OFDM(OrthogonalFrequencyDivisionMultiplexing,正交频分复用)调制方式。在此情况下,调制解调部23作为接收处理执行FFT(FastFourierTransform,快速傅立叶变换),作为发送处理执行IFFT(InverseFastFourierTransform,快速傅立叶逆变换)。MAC帧处理部24作为接收处理,从来自调制解调部23的MAC帧中取出安全帧,并输出到安全处理部25。另外,MAC帧处理部24作为发送处理,对来自安全处理部25的安全中贞,附加MAC标头、LLC标头和イ目息标头,生成MAC巾贞,并输出到调制解调部23。另外,控制分组信号的收发时机,从而不会与来自其他基站装置20或終端装置10的分组信号发生冲关。网络通信部27连接于外部网络200。网络通信部27从外部网络200接收与施工或拥堵等有关的道路信息。在本实施例中,经由路车间服务运营商終端装置400,接收从系统运用管理装置300发送的后述的失效密钥ID。另外,在本实施例中,经由路车间服务运营商終端装置400,接收从系统运用管理装置300发送的、用于对更新用的公共密钥表进行加密的表更新密钥以及利用该表更新密钥进行了加密的加密更新公共密钥表。另外,还接收从系统运用管理装置300发送的不应该更新公共密钥表的終端装置10的列表(以下称为设备禁止列表)。设备禁止列表中登记的设备相当于篡改车载器、设备中发现故障并正在由厂商回收的设备等。另外,网络通信部27将安全处理部25的处理结果输出到外部网络200,或者存储在存储部28中并定期输出到外部网络200。数据生成部26生成应用数据。例如,在应用数据中设置道路信息。并且,根据应用数据的内容,指定保护形式,将生成的应用数据及其数据长度输出到安全处理部25。存储部28存储各种信息。在本实施例中,存储上述公共密钥表、在通信系统500内公共的更新主密钥、以及上述设备禁止列表。此外,该公共密钥表和该更新主密钥可以在出厂时装入,也可以事后经由网络通信部27取得。另外,存储部28暂时存储从终端装置10取得的设备ID和车辆信息,以及从系统运用管理装置300取得的加密更新公共密钥表、表更新密钥和道路信息。控制部29控制基站装置20整体的处理。安全处理部25生成或解释安全帧。安全处理部25基于存储部28中存储的数据,生成要输出到MAC帧处理部24的安全帧。将从数据生成部26取得的应用数据设置到有效载荷的“应用数据”中,将数据长度设置到有效载荷的“应用数据长度”中。另外,在“管理数据”中,根据需要,设置后述的失效密钥ID、后述的加密表更新密钥或加密更新公共密钥表,附加安全标头和安全脚注并生成安全帧。此时,如上所述,能够生成并添加消息鉴别码,进行数据鉴别。此外,通过对有效载荷和消息鉴别码进行加密,还能够隐匿消息。安全处理部25包括加解密部251和加密部252。加解密部251能够进行对有效载荷的数据鉴别和加密。安全处理部25基于从数据生成部26指示的来自应用数据的要求,以及来自安全处理部25设置的管理数据的要求这两者,选择安全帧的保护功能。在发送管理数据时,通常选择带数据鉴别加密数据(=3)。并且,将保护功能设置到安全帧的相应字段中。接着,对加解密部251输出设置了保护功能的安全帧。加解密部251在保护功能为明文(=0)时省略处理。在带数据鉴别数据(=I)时,从发送表中选择密钥,使用该密钥生成消息鉴别码。接着,将所选择的密钥的密钥ID和消息鉴别码设置到安全帧的相应字段中。在带数据鉴别加密数据(=3)时,从发送表中选择密钥,使用该密钥生成消息鉴别码,将所选择的密钥的密钥ID和消息鉴别码设置到安全帧的相应字段中。接着,使用所选择的密钥,对有效载荷和消息鉴别码进行加密。安全处理部25作为发送处理,为了通知公共密钥表中包含的多个通信密钥中应不允许使用的通信密钥(以下称为失效密钥)的识别信息,在管理数据中设置失效密钥的识别信息(以下称为失效密钥ID)。该失效密钥ID是在作为失效对象的通信密钥的密钥ID上连接了用于确认其真实性的消息鉴别码的数据。另外,安全处理部25在管理数据中设置加密表更新密钥和加密更新公共密钥表。此外,更新公共密钥表是用于改写(更新)終端装置10的存储部18中存储的公共密钥表的新的公共密钥表。表更新密钥是用于对加密更新公共密钥表进行解密的解密密钥。设置失效密钥ID、加密表更新密钥、以及加密更新公共密钥表的分组可以不同,也可以相同。另外,在时机不同的情况下,加密表更新密钥与加密更新公共密钥表相比可以先通知,也可以后通知。另外,管理数据中设置的失效密钥ID和加密表更新密钥可以为ー个,也可以为多个。加密部252能够进行对管理数据的消息鉴别码的生成和加密。另外,在本实施例中,在“管理数据”中设置上述表更新密钥之前,加密部252执行使用上述更新主密钥和终端装置10的设备ID的指定的加密函数,据此生成用于对上述表更新密钥进行加密的加密密钥。在作为管理数据发送表更新密钥的情况下,“管理数据”中设置利用该加密密钥进行了加密的加密表更新密钥。此外,加密部252对于上述设备禁止列表中包含的终端装置10的设备ID,不作为上述加密密钥的生成対象。另外,即使使用该设备ID对上述表更新密钥进行了加密,该加密表更新密钥也被从通知对象中除去。即,使用该设备ID与上述更新主密钥进行加密的表更新密钥的通知被中止。另外,由加密部252进行了加密的数据被设置到“管理数据”之后,当然要由加解密部251按照消息类型的保护功能进行加密处理。安全处理部25作为接收处理接收来自MAC帧处理部24的安全帧。安全处理部25确认安全帧中的安全标头的内容。在消息类型为带数据鉴别数据的情况下,由加解密部251执行消息的验证处理。在消息类型为带数据鉴别加密数据的情况下,由加解密部251执行消息的验证处理,执行解密处理。此外,在消息类型为明文的情况下,省略这些处理。图9表示搭载于车辆100的终端装置10的结构。终端装置10包括天线11、RF部12、调制解调部13、MAC帧处理部14、安全处理部15、接收处理部161、通知部162、数据生成部17、存储部18、以及控制部19。安全处理部15包括加解密部151和加密部152。MAC帧处理部14、安全处理部15、接收处理部161、通知部162、数据生成部17、存储部18、以及控制部19的结构在硬件上可以用任意处理器、存储器、其他LSI实现,在软件上通过存储器中加载的程序等实现,在此描述通过上述硬件与软件的协作实现的功能模块。因此本领域技术人员可以理解,这些功能模块可以仅由硬件、仅由软件、或者由硬件与软件的组合,以各种形式实现。天线11、RF部12、调制解调部13、以及MAC帧处理部14与图2的天线21、RF部22、调制解调部23、以及MAC帧处理部24的结构和动作基本上相同。以下对于这些结构要素,以不同之处为中心进行说明。接收处理部161基于从安全处理部15取得的数据和从数据生成部17取得的本车的车辆信息,估计冲突的危险性、救护车或消防车等紧急车辆的接近、前进方向的道路和交叉点的拥挤状况等。另外,若数据为图像信息,则以在通知部162上显示的方式进行处理。通知部162包括未图示的监视器、灯、扬声器等对用户的通知手段。按照来自接收处理部161的指示,经由该通知手段对驾驶员通知未图示的其他车辆的接近等。另外,在监视器上显示拥堵信息、交叉点等的图像信息等。数据生成部17基于从未图示的GPS接收设备、陀螺指示器、车速传感器等供应的信息,确定搭载终端装置10的车辆100的当前位置、前进方向、移动速度等。此外,当前位置由纬度经度表示。这些信息的确定方法能够通过一般公知的技术实现,因此在此省略说明。数据生成部17基于所确定的信息生成要对其他終端装置10或基站装置20通知的数据,并将生成的数据(以下称为应用数据)输出到安全处理部15。另外,将生成的信息作为本车的车辆信息输出到接收处理部161。存储部18存储各种信息。在本实施例中,存储上述公共密钥表、在通信系统500内公共的更新主密钥、以及自己的设备ID。此外,该公共密钥表和该更新主密钥可以在出厂时装入,也可以事后经由RF部12取得。另外,存储部18暂时存储本车的车辆信息、从其他終端装置10取得的本车以外的车辆信息、从基站装置20取得的失效密钥ID、加密更新公共密钥表、加密表更新密钥和道路信息。控制部19控制终端装置10整体的处理。安全处理部15生成或解释安全帧。安全处理部15基于存储部18中存储的数据,生成要输出到MAC帧处理部14的安全帧。例如,在有效载荷的“应用数据”中设置本车的车辆信息,或者在“设备ID”中设置自己的设备ID,附加安全标头和安全脚注并生成安全帧。此时,如上所述,能够生成消息鉴别码以进行数据鉴别。此外,还能够对有效载荷和消息鉴别码进行加密。安全处理部15包括加解密部151和解密部152。加解密部151能够进行有效载荷的数据鉴别和加密。即,进行按照安全标头的消息类型的保护功能的处理,与基站装置20的加解密部251具有相同的功能。因此,发送处理和接收处理与基站装置20的加解密部251相同,因此省略说明。在本实施例中,安全处理部15生成在“设备ID”中设置的自己的设备ID的安全帧,并输出到MAC帧处理部14。MAC帧处理部14、调制解调部13、以及RF部12从天线11通知存储有包含该安全帧的MAC帧的分组信号。据此,能够通知自己的设备ID。RF部12从基站装置20接收分组信号。RF部12将接收的分组信号输出到调制解调部13。具体而言,RF部12从取得了该设备ID的基站装置20接收分组信号,该分组信号存储有使用该设备ID和该基站装置20具有的主密钥进行了加密的加密表更新密钥。另夕卜,从该基站装置20接收分组信号,该分组信号存储有利用该表更新密钥进行了加密的加密更新公共密钥表。加密表更新密钥和加密更新公共密钥表设置在有效载荷的“管理数据”中。此外,加密表更新密钥和加密更新公共密钥表也可以存储在相同的分组信号中。RF部12将这些分组信号输出到调制解调部13,调制解调部13对这些分组信号进行解调,并输出到MAC帧处理部14。MAC帧处理部14从MAC帧中取出安全帧,并输出到安全处理部15。安全处理部15将从MAC帧处理部14取得的安全帧输出到加解密部151。加解密部151取得安全帧后,进行按照消息类型的保护功能的处理,并将安全帧返回给安全处理部15。此时,还通知数据鉴别的結果。安全处理部15从加解密部151接收输出,将处理结果、应用数据长度、以及应用数据输出到接收处理部161。另外,在鉴别了数据的情况下,将管理数据长度和设备管理数据输出到解密部152。解密部152在管理数据中包含加密表更新密钥的情况下,使用自己的设备ID和更新主密钥进行解密。并且,将解密后的表更新密钥保持在内部。在从加解密部151输入的管理数据中包含加密更新公共密钥表的情况下,使用内部保持的表更新密钥进行解密,同时进行解密结果的验证。并且,验证成功时判断为是更新用的公共密钥表。该验证处理的详细情况在后面描述。此外,在管理数据中包含失效密钥ID的情况下,利用对失效密钥ID附加的消息鉴别码,进行失效密钥ID的验证。该验证处理的详细情况在后面描述。图10是用于说明从路侧设备(基站装置20)到车载器(終端装置10)的路车间通信中的消息发送的图。路侧设备(基站装置20)的处理相当于加解密部251的处理,车载器(終端装置10)的处理相当于加解密部151的处理。在图11中,前提是作为消息类型(保护功能),选择了带数据鉴别加密数据。关于其他处理,可以省略不需要的处理。加解密部251结合发送表的表编号和随机数以生成密钥ID。此时,发送表的随机数在发送表中包含的公共密钥的数量的范围内随机产生。在本实施例中,在015的范围内随机产生。此时确认发送表的“禁止标志(Negaflags)”,在由生成的密钥ID指定的通信密钥不可使用的情况下,再次生成密钥ID。到由生成的密钥ID指定的通信密钥可使用为止,反复执行该处理。加解密部251作为本次使用的通信密钥,读出基于生成的密钥ID的公共密钥表的通信密钥。加解密部251基于要对车载器通知的消息的数据鉴别范围内存在的数据和该通信密钥,生成消息鉴别码(MAC)。随后,将生成的MAC设置到消息的“消息鉴别码”中,使用该通信密钥,与“有效载荷”一起进行加密。此外,该消息的有效载荷中包含的数据可以是应用数据,也可以是管理数据,还可以是应用数据和管理数据这两者。这样生成的消息作为路车间消息进行通知。加解密部151基于接收的消息中包含的密钥ID,读出设定为发送表的公共密钥表的公共密钥(即通信密钥)。加解密部151使用该通信密钥对该消息的加密部分进行解密。据此,消息鉴别码(MAC)也被解密。加解密部151使用解码后的MAC和该通信密钥,验证接收的消息。若验证成功,则将接收的消息作为真实的消息进行报告。此外,为了简化说明,省略了MAC帧的生成、调制处理。另外,图10所示的过程在车车间通信的消息发送中也是同样的。接着说明公共密钥表的改写处理。作为改写对象的是未设定为发送表的公共密钥表。通过切换使用多个公共密钥表能够确保一定的安全性,但若长时间使用,则作为整体的安全性仍会降低。对此,以表为単位对未设定为发送表的待机中的公共密钥表进行改写,据此可提高安全性。图11是用于说明公共密钥表的改写的图。在本实施例中,要更新的新公共密钥表由系统运用管理机构30生成。系统运用管理机构30的系统运用管理装置300对路车间服务运营商40的路车间服务运营商终端装置400和维护运营商70的维护运营商终端装置700,分别发送上述加密更新公共密钥表、上述表更新密钥、以及上述设备禁止列表。维护运营商终端装置700可以是设置于维护エ厂的路侧设备。路车间服务运营商終端装置400将接收的上述加密更新公共密钥表、上述表更新密钥、以及上述设备禁止列表发送到路侧设备(基站装置20)。该路侧设备从现有车辆100的车载器(終端装置10)取得设备ID,使用该设备ID对上述表更新密钥进行加密,将该加密表更新密钥和上述加密更新公共密钥表提供给上述车载器。同样,维护运营商終端装置700从现有车辆100的车载器(終端装置10)取得设备ID,使用该设备ID对上述表更新密钥进行加密,将该加密表更新密钥和上述加密更新公共密钥表提供给上述车载器。图12表示公共密钥表的格式。公共密钥表的“字段(Field)”中,设置“版本(Version)”、“表ID(TableID)”、“密钥数量(Numberofkey)”、“表主密钥(TableMaster)”、“密钥列表(keylist)”、以及“MAC”。“密钥列表”中设置“密钥0”“密钥n(n为自然数)”。“版本”、“表ID”、以及“密钥数量”定义I字节的区域。“表主密钥”、“密钥0”“密钥n”定义16字节的区域。“MAC”定义14字节的区域。“表ID”中设置表编号。“密钥数量”中设置表内的密钥的数量n。在图7所示的例子中,设置15。此外,由于也包含0,所以密钥的种类为16种。“表主密钥”中设置表密钥(表主密钥)。“密钥0”中设置密钥编号0的AES密钥。“密钥I”中设置密钥编号I的AES密钥。以下,到“密钥n”为止也是同样。“MAC”中设置利用前ー个公共密钥表的表密钥生成的MAC(消息鉴别码)。即,在表编号m(m为自然数)的公共密钥表的“MAC”中,设置使用表编号(m-1)的公共密钥表中包含的表密钥生成的MAC。图13是用于说明从路侧设备(基站装置20)向车载器(終端装置10)的路车间通信中的公共密钥表的更新的图。图13中,前提是作为消息类型,选择了带数据鉴别数据或者带数据鉴别加密数据。车载器的安全处理部15生成包含存储部18中存储的自己的设备ID的消息,并广播发送生成的消息。接收了包含该设备ID的消息的路侧设备的安全处理部25取出该设备ID,判定是否被登记在设备禁止列表中。在被登记的情况下,不执行以后的处理。在未登记的情况下,加密部252执行使用存储部28中存储的更新主密钥和该设备ID的指定的加密函数,据此生成另ー加密密钥。加密部252使用该加密密钥对上述表更新密钥进行加密。安全处理部25将该加密表更新密钥设置到消息内的有效载荷的“管理数据”中。并且,在加解密部251中实施处理之后,通过路车间通信通知该消息。另外,安全处理部25在另一通信分组中,将上述加密更新公共密钥表设置到消息内的有效载荷的“管理数据”中。并且,在加解密部251中实施处理之后,通过路车间通信通知该消息。图13中,上述加密更新公共密钥表在上述加密表更新密钥之后进行通知,但也可以先进行通知。另夕卜,记载为单独发送加密表更新密钥,但也可以在相同分组的管理数据内配置并发送多个车载器各自的加密表更新密钥。该车载器在进行公共密钥表的更新的情况下,接收管理数据,即包含上述加密表更新密钥的消息或者包含上述加密更新公共密钥表的消息。车载器的解密部152执行使用存储部18中存储的自己的设备ID和更新主密钥的指定的加密函数,据此生成加密密钥。该加密函数与路侧设备中执行的加密函数相同。解密部152进ー步使用生成的加密密钥,对从路侧设备接收的消息中包含的加密表更新密钥进行解密。并且,对从路侧设备接收的消息中包含的加密更新公共密钥表进行解密。解密部152进ー步參考解密得到的更新用的公共密钥表中包含的表编号m,读出存储部18中存储的相同表编号m的公共密钥表中包含的表密钥。由相同表编号表不的表的世代管理通过版本识别。若版本不同,则表密钥也设置不同的密钥。并且,使用该表密钥,验证更新用的公共密钥表中包含的消息鉴别码。若验证成功,则将接收的公共密钥表判断为真实的公共密钥表,并且是存储部18中存储的公共密钥表,并用更新用的公共密钥表改写存储部18中存储的表编号m的公共密钥表。此外,在作为消息类型选择带数据鉴别加密数据的情况下,在解密部152中的处理之前,需要由加解密部151进行加密的解密和消息鉴别码的验证,并验证为正当。另外,在图13中,为了简化说明,省略了MAC帧的生成和调制处理。图14是用于说明从路侧设备(基站装置20)向车载器(終端装置10)的路车间通信中的公共密钥表的更新的变形例的图。车载器的安全处理部15生成包含存储部18中存储的自己的设备ID的消息。生成的消息被广播发送。接收了包含该设备ID的消息的路侧设备的安全处理部25取出该设备ID,判定是否被登记在设备禁止列表中。在被登记的情况下,不执行以后的处理。在未登记的情况下,加解密部251执行使用存储部28中存储的更新主密钥和该设备ID的指定的加密函数,据此生成另ー加密密钥。加解密部251使用该加密密钥对上述表更新密钥进行加密,并与更新用的公共密钥表的表编号m结合。将该加密表更新密钥与表编号的结合数据设置到消息内的有效载荷的“管理数据”中,并且通过路车间通信通知该消息。另外,还将上述加密公共密钥更新表设置到消息内的有效载荷的“管理数据”中,并且通过路车间通信通知该消息。该车载器接收包含上述加密公共密钥表与表编号的结合数据的消息以及包含上述加密更新公共密钥表的消息。车载器的加解密部151执行使用存储部18中存储的自己的设备ID和更新主密钥的指定的加密函数,据此生成加密密钥。该加密函数与路侧设备中执行的加密函数相同。解密部152使用生成的加密密钥,分离从路侧设备接收的消息中包含的加密表更新密钥与表编号的结合数据,并对加密表更新密钥进行解密。并且,解密部152參考公共密钥表的表编号m,读出存储部18中存储的前一代的表编号m的公共密钥表中包含的表密钥。由相同表编号表示的表的世代管理通过版本识别。解密部152进ー步执行使用解密后的表更新密钥和读出的表密钥的指定的加密函数,据此生成另ー解密密钥。该加密函数与使用上述设备ID和上述更新主密钥的加密函数是不同的函数。解密部152使用该加密密钥对上述加密更新公共密钥表进行解密,同时验证解密后的公共密钥表中包含的消息鉴别码。图15表示带禁止标志的公共密钥表的格式。公共密钥表的“字段(Field)”中,设置“版本(Version)”、“表ID(TableID)”、“禁止标志(Negaflags)”、“密钥数量(Numberofkey)”、“表主密钥(TableMaster)”、“密钥列表(keylist)”、以及“MAC”。“密钥列表”中设置“密钥0”“密钥n(n为自然数)”。“版本”、“表ID”、以及“密钥数量”定义I字节的区域。“禁止标志”定义(int(n/8)+l)字节(即,能够确保(n+1)比特的区域的最小字节数)的区域。在此,int()是取出整数部分的函数。“表主密钥”、“密钥0”“密钥n”定义16字节的区域。“MAC”定义14字节的区域。“表ID”中设置表编号。“密钥数量”中设置表内的通信密钥的数量-1的值(n)。在图7所示的例子中,设置15(n=15)。此外,由于也包含0,所以密钥的种类为16种。“禁止标志”中设置表示表内的密钥是否可以使用的位图。在图7所示的例子中,对16个密钥需要16比特数据,因此准备2字节的区域,各比特对应于各密钥编号。各比特的值用“0”表示可使用,用“I”表示不可使用。“表主密钥”中设置表密钥(表主密钥)。“密钥0”中设置密钥编号0的通信密钥。“密钥I”中设置密钥编号I的通信密钥。以下,到“密钥n”为止也是同样。在加解密部251和加解密部151中,设置利用该公共密钥表的表密钥生成的MAC(消息鉴别码)。此外,在本实施例中n为15。此外,该公共密钥表由所有路侧设备和车载器存储在内部。在使用带禁止标志的公共密钥表的情况下,在參考上述图10说明的路车间通信和车车间通信的消息发送的过程中,以如下方式变更接收侧的过程。加解密部151基于接收的消息中包含的密钥ID,读出设定为发送表的公共密钥表的公共密钥(即通信密钥)。此时也进行“禁止标志”的确认。若对该密钥ID的通信密钥不可使用,则作为验证失败。在对该密钥ID的通信密钥可以使用的情况下,加解密部151使用该通信密钥对该消息的加密部分进行解密。据此,消息鉴别码(MAC)也被解密。加解密部151使用解密后的MAC和该通信密钥,验证接收的消息。若验证成功,则将接收的消息作为真实的消息进行报告。接着,说明利用失效密钥ID改写公共密钥表的“禁止标志”的处理。失效密钥是已泄露的通信密钥或者有可能已泄露的通信密钥。例如,在确认由于非法的通信监听通信密钥已泄露的情况下,该通信消息中使用的通信密钥相当于失效密钥。此外,通过系统运用管理机构30的判断,决定失效的通信密钥也相当于失效密钥。在加密解密运算中发生了错误的通信密钥等也相当于失效密钥。图16是用于说明利用失效密钥ID改写公共密钥表的“禁止标志”的图。在本实施例中,失效密钥ID由系统运用管理机构30生成。该失效密钥ID中,除了失效的通信密钥的密钥ID以外,还包含消息鉴别码(MAC),该消息鉴别码能够使用包含由该密钥ID指定的通信密钥的公共密钥表的表密钥进行验证。系统运用管理机构30的系统运用管理装置300对路车间服务运营商40的路车间服务运营商終端装置400发送失效密钥ID。路车间服务运营商終端装置400将接收的失效密钥ID发送给路侧设备(基站装置20)。该路侧设备将接收的失效密钥ID提供给现有车辆100的车载器。接收失效密钥ID后,现有车辆100的车载器进行失效密钥ID的验证。在通过验证确认了真实性的情况下,在通过由失效密钥ID所示的密钥ID确定的公共密钥表的“禁止标志”中设置表示不可使用的“I”。也可以改写包含失效密钥的公共密钥表(即带禁止标志的公共密钥表)整体。系统运用管理装置300对维护运营商70的维护运营商终端装置700,发送对该带禁止标志的公共密钥表进行了加密的加密更新公共密钥表、用于对该加密更新公共密钥表进行解密的表更新密钥、以及上述设备禁止列表。在本实施例中,作为维护运营商終端装置700,设想设置于维护设施的路侧设备(基站装置20)。该路侧设备从现有车辆100的车载器(終端装置10)取得设备ID,使用该设备ID对上述表更新密钥进行加密,并对上述车载器提供该加密表更新密钥和上述加密更新公共密钥表。当然,也可以从设置于维护设施以外的一般的路侧设备提供这些内容。图17是用于说明从路侧设备(基站装置20)到车载器(終端装置10)的路车间通信中的公共密钥的失效的图。图17中仅记载与“管理数据”有关的处理,在此是对失效密钥ID的处理。车载器中的处理在解密部152中执行。如前所述,在路车间消息中,在该处理之外,实施基于消息类型的处理。在管理数据中包含失效密钥ID的情况下,为了能够确定管理数据的发送源,消息类型选择带数据鉴别数据或者带数据鉴别加密数据。在此,假设是带数据鉴别加密数据。另外,与消息类型有关的处理在发送侧(路侧设备)在路车间消息发送之前执行,在接收侧(车载器)在接收路车间消息之后执行。在图17中,为了简化说明,省略了MAC帧处理、调制处理、以及基于消息类型的处理。路侧设备的安全处理部25将从路车间服务运营商終端装置400取得的失效密钥ID或者从路车间服务运营商終端装置400取得并存储到存储部28的失效密钥ID设置到消息内的有效载荷的“管理数据”中,并输出到加解密部251。并且,在加解密部251中进行了基于消息类型的处理(图10)的消息通过路车间通信进行通知。车载器的安全处理部15接收路车间消息后,对加解密部151输出接收的路车间消息。加解密部151进行与消息类型有关的接收处理,并将其结果返回到安全处理部15。安全处理部15在通过验证判断为接收的消息具有真实性,并且管理数据中包含失效密钥ID的情况下,将失效密钥ID输出到解密部152。解密部152參考该失效密钥ID中包含的表编号,读出该表编号的公共密钥表中包含的表密钥。并且,使用该表密钥,验证上述失效密钥ID中包含的消息鉴别码。若验证成功,则加解密部151參考该失效密钥ID中包含的表编号和密钥编号,使对应的公共密钥表中包含的通信密钥无效。即,在由该失效密钥ID中包含的表编号指定的公共密钥表的“禁止标志”内的、对应于该失效密钥ID中包含的密钥编号的比特中,设置表示不可使用的“I”。说明了包含失效密钥ID的路车间消息的发送和接收处理,但在无须进行失效密钥ID的发布的情况下,路车间通信消息中无须包含失效密钥ID。另外,即使在需要进行失效密钥ID的发布的情况下,也无须在所有路车间通信消息中包含失效密钥ID。只要在不妨碍基于路车间消息的通常服务的范围内,发送包含失效密钥ID的路车间消息即可。图18是用于说明从路侧设备(基站装置20)到车载器(終端装置10)的路车间通信中的带禁止标志的公共密钥表的更新的图。与图17同样,为了简化说明,省略了MAC帧处理、调制处理、以及基于消息类型的处理。路侧设备中的处理相当于加密部252中的处理,车载器中的处理相当于解密部152中的处理。车载器的安全处理部15參考接收的车车间通信消息,收集在本身周边行驶的车辆100中搭载的车载器的设备ID。并且,从收集的设备ID中选择设备ID。并且,将所选择的设备ID输入到加密部252。加密部252取得设备ID后,判定是否被登记在存储部28中存储的设备禁止列表中。在被登记的情况下,不执行以后的处理。在未登记的情况下,加密部252执行使用存储部28中存储的更新主密钥和该设备ID的指定的加密函数,据此生成另ー加密密钥。加密部252使用该加密密钥对上述表更新密钥进行加密。安全处理部25将该加密表更新密钥设置到消息内的有效载荷的“管理数据”中。并且,在加解密部251中实施处理之后,通知该路车间消息。另外,安全处理部25在另一路车间消息中,将上述加密更新公共密钥表设置到消息内的有效载荷的“管理数据”中。并且,在加解密部251中实施处理之后,通过路车间通信通知该消息。图18中,上述加密更新公共密钥表在上述加密表更新密钥之后进行通知,但也可以先进行通知。另外,记载为单独发送加密表更新密钥,但也可以在相同的路车间消息的管理数据内配置并发送多个车载器各自的加密表更新密钥。另外,包含加密表更新密钥的路车间消息的通知与包含加密更新公共密钥表的路车间消息的通知的次数不需要一致。与包含加密更新公共密钥表的路车间消息的通知相比,増加包含加密表更新密钥的路车间消息的通知次数,由此,通过通知一次包含加密更新公共密钥表的路车间消息,多个车载器能够进行公共密钥表的改写,能够减少公共密钥表的改写所使用的流量。该车载器的安全处理部15接收路车间消息后,对加解密部151输出接收的路车间消息。加解密部151进行与消息类型有关的处理,并将其结果返回给安全处理部15。安全处理部15在接收的消息通过验证判断为具有真实性,并且包含对本身的加密表更新密钥的情况下,将加密表更新密钥输出到解密部152。车载器的解密部152执行使用存储部18中存储的自己的设备ID和更新主密钥的指定的加密函数,据此生成加密密钥,并保持在内部。该加密函数与路侧设备中执行的加密函数相同。安全处理部15在接收的消息通过验证判断为具有真实性,并且包含加密更新公共密钥表的情况下,将加密更新公共密钥表输出到解密部152。解密部152在内部保持有生成的解密密钥时取得加密更新公共密钥表后,进ー步使用生成的加密密钥,对从路侧设备接收的消息中包含的加密表更新密钥进行解密。并且,对从路侧设备接收的消息中包含的加密更新公共密钥表进行解密。解密部152进ー步參考解密得到的带禁止标志的公共密钥表中包含的表编号m,读出存储部18中存储的相同表编号m的公共密钥表中包含的表密钥。由相同表编号表示的表的世代管理通过版本识别。若版本不同,则表密钥m也设置不同的密钥。并且,使用该表密钥,验证带禁止标志的公共密钥表中包含的消息鉴别码。若验证成功,则将接收的带禁止标志的公共密钥表判断为真实的公共密钥表,并且是存储部18中存储的公共密钥表,并用带禁止标志的公共密钥表改写存储部18中存储的表编号m的公共密钥表。说明了包含加密表更新密钥或加密更新公共密钥表的路车间消息的发送和接收处理,但在无须进行公共密钥表的更新的情况下,路车间通信消息中无须包含加密表更新密钥或加密更新公共密钥表。另外,即使在需要进行公共密钥表的更新的情况下,也无须在所有路车间通信消息中包含加密表更新密钥或加密更新公共密钥表。只要在不妨碍基于路车间消息的通常服务的范围内,发送包含加密表更新密钥或加密更新公共密钥表的路车间消息即可。在不妨碍通常服务的范围内适时地进行发布。如以上所说明,根据本实施例,对用于加密加密更新公共密钥表的表更新密钥进行加密,从基站装置对终端装置通知该加密表更新密钥和加密更新公共密钥表,据此能够提高公共密钥表的更新处理的安全性。另外,通过对公共密钥表设置消息鉴别码,能够验证更新用的公共密钥表的真实性。另外,不使用更新用的公共密钥表的表密钥,而是使用前一代的公共密钥表的表密钥,生成消息鉴别码,据此能够避免終端装置中反复更新更新用的公共密钥表的情況。另外,通过从基站装置对终端装置通知失效密钥ID,在路车间通信或者车车间通信中,能够恢复由于公共密钥泄露而造成的安全性降低。另外,通过对失效密钥ID设置消息鉴别码,能够验证失效密钥ID的真实性。另外,若使用带禁止标志的公共密钥表,则能够以公共密钥表为单位通知应不可使用的公共密钥。以上基于本发明的实施例进行了说明。该实施例为例示,本领域技术人员应当理解,上述各结构要素、各处理流程的组合中能够存在各种变形例,这些变形例也在本发明的范围内。例如,对于包含加密表更新密钥的消息,可以不使用广播发送,而是使用确定了发送目的地的单播发送。另外,在上述实施例中,说明了对安全脚注添加消息鉴别码的例子,也可以代替添加消息鉴别码,而是添加电子签名。电子签名利用公钥加密方式进行加密,因此除了公共密钥以外,使用私钥和公钥。另外,在上述实施例中,示出了利用路车间消息的管理数据,更新车载器中存储的带禁止标志的公共密钥表的禁止标志的方法,但也可以使用相同的加密处理,更新路侧设备的带禁止标志的公共密钥表。另外,通过变更为在车车间消息中包含管理数据,车车间消息也可以进行发布。由此,在路侧设备较少的区域中也能够顺利地进行失效密钥ID的传播。另外,在上述实施例中,说明了失效密钥ID中包含的消息鉴别码(MAC)的设置、带禁止标志的公共密钥表的加密等的处理由系统运用管理机构30的系统运用管理装置300进行,但也可以在路侧设备中进行。在此情况下,在加密部252中执行。另外,在上述实施例中,说明了为了确认消息或数据的真实性,使用公共密钥加密方式的消息鉴别码(MAC),但也能够使用公钥方式的电子签名。在此情况下,公共密钥表用于有效载荷和电子签名的加密。并且,可以在安全帧的“设备ID”中设置包含设备ID的公钥证书,在“消息鉴别码”中设置电子签名。在带禁止标志的公共密钥表的真实性确认中,也同样可以在“表主密钥”中设置验证用的公钥,在“MAC”中设置电子签名。另外,在上述实施例中,说明了来自提供通常服务的路侧设备的失效密钥ID的发布、或者加密表更新密钥和加密更新公共密钥表的发布,但也能够使用不提供通常服务的路侧设备。车辆移动到具有发布专用的路侧设备的通信点等,接收失效密钥ID、加密表更新密钥和加密更新公共密钥表的发布。另外,在上述实施例中參照图1113说明了公共密钥表的更新。在该更新过程中,路侧设备(基站装置20)取得车载器(終端装置10)的设备ID,使用通信系统500中公共的更新主密钥,对表更新密钥进行了加密。并且,公共密钥表使用该表更新密钥进行了加密。在以下的变形例中,说明代替更新主密钥,使用与车载器相联系或相关联的密钥的例子。在以下的变形例中,前提是图9所示的終端装置10的安全处理部15中使用安全模块(SAM:SecureApplicationModule,安全应用模块)。安全模式是具有耐干扰性、对安全功能进行了单芯片化的元件。作为与车载器相联系的密钥,可以使用安全模块制造时嵌入的登记密钥。登记密钥与同时嵌入的登记信息(例如登记编号)相联系地进行管理。登记密钥是不能改写的密钥。另外,作为与车载器相联系的密钥,可以使用安全模块中非易失性地存储的更新密钥。更新密钥与同时嵌入的设备ID相联系地进行管理。更新密钥能够利用登记密钥进行改写。图19是用于说明变形例的公共密钥表的改写的图。系统运用管理装置300是发行新的密钥,生成新公共密钥表的密钥发行服务器。在该变形例中,系统运用管理装置300具备出厂的所有车载器中搭载的安全模块的登记编号与登记密钥以及设备ID与更新密钥的数据库。专用路侧设备20a是进行汽车的维护的设施(以下称为服务设施)中设置的小功率基站装置。该装置并非对終端装置10通知实时的道路信息的路侧设备,而是对特定的终端装置10无线发送公共密钥表等与系统运用有关的信息的专用设备。专用路侧设备20a与系统运用管理装置300可以通过因特网连接,也可以通过专用线路连接。车载器(終端装置10)中,仅描绘出图9所示结构中的、与公共密钥表的更新有关的结构。此外,在图19中,汇总图9的RF部12、调制解调部13、MAC帧处理部14,记为无线部114。安全处理部15由安全模块构成。存储部18由闪存存储器构成。此外,也可以是硬盘。接收处理部161是处理有效载荷的应用数据的功能块。控制部19是控制车载器整体的主处理器。外部端子191是用于不经由无线部114、专用路侧设备20a,与系统运用管理装置300交换数据的端子。例如,外部端子191利用LAN电缆与设置于服务设施的終端装置连接。该终端装置经由因特网与系统运用管理装置300连接。据此,车载器与系统运用管理装置300能够通信。此外,车载器与服务设施中设置的終端装置可以通过无线LAN连接,也可以通过记录介质进行数据交換。在本变形例中,应更新的新公共密钥表通过两个路径从系统运用管理装置300传递到车载器。第一路径是经由外部端子191的路径。第二路径是经由专用路侧设备20a、无线部144的路径。图20(a)(b)是用于说明变形例的公共密钥表的更新过程的图。图20(a)表示基于第一路径的更新过程。系统运用管理装置300与終端装置10形成通信路径后,对终端装置10请求ID。終端装置10的安全处理部15将本身的登记编号与设备ID的结合数据发送给系统运用管理装置300。此外,在未设定设备ID的阶段,代替设备ID,设定保留编号(例如全O或全I)。系统运用管理装置300基于接收的登记编号与设备ID的结合数据、以及未图示的上述数据库,确定发送源的終端装置10。此时,在所确定的終端装置10是设备禁止列表中登记的终端装置的情况下,系统运用管理装置300不允许公共密钥表的更新。在所确定的終端装置10是设备禁止列表中未登记的终端装置的情况下,系统运用管理装置300使用所确定的終端装置10的登记密钥或者更新密钥,对包含公共密钥表的更新数据的安全信息进行加密,并发送给终端装置10。在終端装置10的安全处理部15中未设定设备ID的阶段,使用登记密钥。在设定了设备ID之后,可以使用登记密钥,也可以使用更新密钥。该安全信息并不存储在有效载荷的管理数据中,而是存储在应用数据中。終端装置10的安全处理部15使用本身的登记密钥或更新密钥对该安全信息进行解密,验证消息鉴别码(MAC),以判定有效载荷的确实性。終端装置10对系统运用管理装置300答复该解密和验证是否成功。图20(b)表示基于第二路径的更新过程。在搭载终端装置10的车辆位于专用路侧设备20a的附近时,在終端装置10与专用路侧设备20a之间执行路车间通信。在该路车间通信中,从终端装置10对专用路侧设备20a发送设备ID。因此,系统运用管理装置300即使没有如图20(a)所示请求ID,也能够经由专用路侧设备20a取得終端装置10的设备ID0系统运用管理装置300基于接收的设备ID以及未图示的上述数据库,确定发送源的終端装置10。此时,在所确定的終端装置10是设备禁止列表中登记的终端装置的情况下,系统运用管理装置300不允许公共密钥表的更新。在所确定的終端装置10是设备禁止列表中未登记的终端装置的情况下,系统运用管理装置300使用所确定的終端装置10的更新密钥,对包含公共密钥表的更新数据的安全信息进行加密,并发送给终端装置10。終端装置10的安全处理部15将存储该安全信息的应用数据传送到接收处理部161。接收处理部161參考该应用数据中存储的安全信息中包含的安全模块的登记编号,判定是否为发往该终端装置10的安全信息。接收处理部161在是发往该终端装置10的安全信息的情况下,将该安全信息传送到控制部19。在不是发往该终端装置10的安全信息的情况下,丢弃该安全信息。控制部19将该安全信息传送到安全处理部15。安全处理部15使用本身的更新密钥对该安全信息进行解密,验证消息鉴别码(MAC),以判定有效载荷的确实性。終端装置10对系统运用管理装置300答复该解密和验证是否成功。图21表示变形例的公共密钥表的格式。公共密钥表的“字段”中,设置“版本”、“表ID”、“RVC的密钥列表”、以及“IVC的密钥列表”。“版本”中设置表的版本。“表ID”中设置表标识符。从数据的MSB(MostSignificantBit,最高位)起,将a(a为自然数)比特设定为表标识符。“RVC的密钥列表”包括“密钥0”“密钥P(P为自然数)”,“密钥0”“密钥P”中分别设置路车间用密钥编号0的密钥(例如AES密钥)路车间用密钥编号P的密钥。“IVC的密钥列表”包括“密钥0”“密钥Q(Q为自然数)”,“密钥0”“密钥Q”中分别设置车车间用密钥编号0的密钥车车间用密钥编号Q的密钥。该公共密钥表的前提是在路车间通信与车车间通信中采用安全级别不同的通信方式,分别设置路车间用的密钥与车车间用的密钥。就安全级别而言,使路车间通信比车车间通信高。例如,前者组合使用密钥与随机数以进行加密,后者直接使用密钥进行加密。图22表示变形例的安全帧的第一格式。第一格式是将公共密钥表写入安全模块时使用的格式。该格式中包括“字段标志(Fieldflags)”、“许可编号(Licensednumber)”、“Nonse”、“长度(Length)”、“有效载荷(Payload)”、以及“MAC”。“有效载荷”中包括“许可编号(Licensednumber)”、“设备ID”、“密钥表(Keytables)”、以及“对称密钥(Symmetrickey)”。“密钥表”中包括“有效表ID(ActivetableID)”、“密钥表数量(Numberofkeytables)”、以及“密钥表I”“密钥表L”。“字段标志”中设置表示密钥/加密字段的有无的标志。在第一格式中,该标志被设置为有意义。安全模块參考该标志,识别安全信息内的数据结构。“许可编号”中设置写入对象的安全模块的登记编号。“Nonse”中设置随机数。“长度”中设置有效载荷的数据长度。在“有效载荷”中,“许可编号”中设置写入对象的安全模块的登记编号。该“许可编号”进行加密,因此在“有效载荷”以外也配置“许可编号”。“设备ID”中设置车载器的设备ID。“有效表ID”中设置发送用密钥表的表ID。如后所述,作为发送用密钥表,指定多个密钥表中之一。“密钥表数量”中设置该安全信息中包含的密钥表的数量(=L(L为自然数))。“密钥表I”“密钥表L”中分别设置密钥表I密钥表し各密钥表的格式使用图21所示的格式。“对称密钥”中设置更新密钥。为了进行“有效载荷”的隐匿和鉴别,“MAC”中设置通过登记密钥或更新密钥求出的对“有效载荷”的MAC值,“有效载荷”通过登记密钥或更新密钥进行加密。另外,在此,作为鉴别加密算法采用AES-CCM模式,因此在“MAC”中设置对“Nonse”、“长度”、MAC的字节数、以及“有效载荷”的MAC值。并且,对“有效载荷”和“MAC”进行加密。图23表示变形例的安全帧的第二格式。第二格式是从安全模块中读出设备ID时使用的格式。第二格式是从第一格式的“有效载荷”中除去了“密钥表”和“对称密钥”的结构。第二格式中,“字段标志”的标志设置为nonse。除此之外的数据结构与第一格式的数据结构相同,因此省略说明。图24是用于说明变形例的公共密钥表的运用方法的图。終端装置10依次切換使用所保持的多个公共密钥表。以下,说明终端装置10具有八个能够存储公共密钥表的存储区域(以下称为存储区域),并保持五个公共密钥表的例子。在该变形例中,ー个公共密钥表中保持的密钥的数量为八个。此外,終端装置10中保持的公共密钥表的数量和ー个公共密钥表中保持的密钥的数量为多个即可,并不限定于上述数量。公共密钥表的存储区域的数量可以为终端装置10保持的公共密钥表的数量以上。即,由表ID识别的数量与公共密钥表的存储区域的数量无须一致。公共密钥表的管理利用版本和表ID进行。版本不同的、由相同表ID确定的公共密钥表不能同时使用。必定使用版本较新(在此是值较大)的公共密钥表。表ID表示为0N(N为自然数)。即,设定为N的余数。在本变形例中N=8。例如,第一个公共密钥表与第9个公共密钥表的表ID为O。在每次生成相同表ID的较新的公共密钥表时,版本増加I。因此,前者为0,后者为I。在存储区域中保持的多个公共密钥表中,将ー个指定为发送用的公共密钥表(以下称为发送用密钥表),将多个指定为接收用的公共密钥表(以下称为接收用密钥表)。多个接收用密钥表包括发送用密钥表,包括从发送用密钥表起到a(a为自然数)代后为止的公共密钥表。n代后的表ID用{(发送用密钥表的表ID+n)modN}计算。此外,多个接收用密钥表也可以包括到m(m为O或自然数)代前为止的公共密钥表。同样,用{(发送用密钥表的表ID-m)modN}表示。图24所示的例子是n=m=I的情况,将表ID=I的公共密钥表指定为发送用密钥表,将表ID=O、表ID=1、表ID=2的三个公共密钥表指定为接收用密钥表。在将表ID=O的公共密钥表指定为发送用密钥表的情况下,将表ID=8、表ID=O、表ID=I的三个公共密钥表指定为接收用密钥表。此时,表ID=I的公共密钥表的版本与表ID=O的公共密钥表的版本相同或较大,即,是同一代或者未来世代的版本。表ID=8的公共密钥表的版本一定比表ID=O的公共密钥表的版本小1,即为前一代的版本。另外,在将表ID=8的公共密钥表指定为发送用密钥表的情况下,将表ID=7、表ID=8、表ID=O的三个公共密钥表指定为接收用密钥表。此时,表ID=7的公共密钥表的版本与表ID=8的公共密钥表的版本相同或小1,即,是同一代或者前一代的版本。表ID=O的公共密钥表的版本比表ID=8的公共密钥表的版本大,即为未来的世代。系统运用管理装置300即使指示发送用密钥表的切換,也并不会在所有終端装置10中同时切换发送用密钥表。在終端装置10之间,切换发送用密钥表的时机产生时间差。例如,在长时间未使用的车辆100中搭载的終端装置10中,有可能将两个以上过去的公共密钥表设定为发送用密钥表。使用该车辆100后,其他车辆100中搭载的終端装置10接收使用两代之前的公共密钥表处理的分组信号。在加密系统的运用中,接收用密钥表的范围越窄,则安全性越高,但无法解密来自正当的終端装置10的发送数据的情况越多。考虑两者的要求设定接收用密钥表的范围。在发送用密钥表的切換周期较长的情况下(例如,数年),接收用密钥表可以由发送用密钥表和下ー个公共密钥表(n=I)构成。另外,在发送用密钥表的切換周期较短的情况下(例如,一年以内),接收用密钥表可以由发送用密钥表、下ー个公共密钥表(n=I)、以及在此之后的公共密钥表(n>I)构成。切换期间越短则可以使n越大,将越多的公共密钥表加入接收用密钥表中。在切換期间较短的情况下,多个终端装置10之间发送用密钥表的差异性较大。对此,通过增加接收用密钥表中加入的公共密钥表的数量,能够减少发送用密钥表的不匹配。另外,m为I或0较为适当。多个公共密钥表被加密并保持在存储部18中。在图24所示的例子中,保持五个公共密钥表。终端装置10起动时,安全处理部15读出存储部18中保持的进行了加密的公共密钥表。安全处理部15对进行了加密的公共密钥表进行解密,并存储到由未图示的RAM构成的工作区。该工作区中保持的公共密钥表是指定为发送用密钥表和接收用密钥表的公共密钥表。在图24所示的例子中,表ID=O、表ID=1、表ID=2的三个公共密钥表保持在工作区中。终端装置10起动时,安全处理部15从存储部18中读出公共密钥表,同时生成密钥禁止图。该密钥禁止图中,登记指定为发送用密钥表和接收用密钥表的公共密钥表以外的公共密钥表中存储的密钥。例如,以位图形式生成密钥禁止图。安全处理部15将生成的密钥禁止图也存储到工作区中。安全处理部15通过路车间通信或者车车间通信接收消息时,參考密钥禁止图判定是否使用了不可使用的密钥。在使用了密钥禁止图中登记的密钥的情况下,判定为错误。此外,在来自终端装置10的消息发送时,安全处理部15使用发送用密钥表中包含的任ー密钥,因此无须判定使用的密钥是否登记在密钥禁止图中。如以上所说明,根据本变形例,使用安全模块的登记密钥或更新密钥对更新用的公共密钥表进行加密并传送到车载器,据此能够简化公共密钥表的更新处理。另外,更新用的公共密钥表并不存储在有效载荷的管理数据中,而是存储在应用数据中,据此能够构建灵活性和扩展性优越的更新系统。图25是表示图22的安全帧的第一格式的变形例的图。在图22的“有效载荷”的最后加上了“签名(Signature)”。在“签名”中设置对除本字段以外的有效载荷的签名。安全模块取得本安全帧后,进行解密、MAC鉴别后,进行签名验证。用于进行签名验证的鉴别密钥事先存储在安全模块中。通过签名验证,能够确认公共密钥表是从正规的提供源提供的,能够提高系统整体的安全性。此外,在图25的安全帧中,也直接使用图23的安全帧。此外,在图13、图14所示的实施例的公共密钥表的更新中,也可以代替更新主密钥,使用变形例的登记密钥或者更新密钥。即,在与公共密钥表分开发送的表更新密钥的加密和解密中使用登记密钥或者更新密钥。登记密钥或者更新密钥因每个终端装置而异,因此与使用所有終端装置公共的更新主密钥的情况相比,能够提高安全性。符号说明10终端装置11天线12RF部13调制解调部14MAC帧处理部114无线部15安全处理部151加解密部152解密部161接收处理部162通知部17数据生成部18存储部19控制部191外部端子20基站装置21天线22RF部23调制解调部24MAC帧处理部25安全处理部26数据生成部251加解密部252加密部27网络通信部28存储部29控制部100车辆202区域204区域外500通信系统300系统运用管理装置400路车间服务运营商終端装置产业上的利用可能性本发明提供提高加密密钥表的更新处理的安全性的技术。权利要求1.ー种通信装置,其特征在于包括:存储部,存储包括多种能够用干与同一系统内的其他通信装置的通信的公共密钥的公共密钥表、自己的识别信息、以及与该识别信息相联系的更新密钥;发送部,将所述识别信息发送到系统管理装置,该系统管理装置管理所述系统内使用的公共密钥表以及所述系统内的通信装置的识别信息和与该识别信息相联系的更新密钥;取得部,从接收了所述识别信息的系统管理装置,取得使用与所述识别信息相联系的更新密钥进行了加密的更新用的公共密钥表;以及解密部,使用所述存储部中存储的更新密钥,对所述进行了加密的更新用的公共密钥表进行解密。2.ー种通信装置,其特征在于包括:安全处理部,对接收数据进行解密;存储部,存储包括多种能够用干与同一系统内的其他通信装置的通信的公共密钥的公共密钥表、所述安全处理部的登记信息、以及与该登记信息相联系的登记密钥;发送部,将所述登记信息发送到系统管理装置,该系统管理装置管理所述系统内使用的公共密钥表以及所述系统内的通信装置中包含的安全处理部的登记信息和与该登记信息相联系的登记密钥;以及取得部,从接收了所述登记信息的系统管理装置,取得使用与所述登记信息相联系的登记密钥进行了加密的更新用的公共密钥表,`所述安全处理部使用所述存储部中存储的登记密钥,对所述进行了加密的更新用的公共密钥表进行解密。3.ー种通信装置,其特征在于包括:存储部,存储包括多种能够用干与同一系统内的其他通信装置的通信的公共密钥的公共密钥表、以及所述系统内公共的更新主密钥;取得部,取得从管理所述公共密钥表的系统管理装置发送的、用于对更新用的公共密钥表进行加密的表更新密钥以及利用所述表更新密钥进行了加密的更新用的公共密钥表,并且取得从作为更新对象的通信装置发送的、该通信装置的识别信息;加密部,使用所述更新主密钥和所述通信装置的识别信息,对所述表更新密钥进行加密;以及通知部,通知由所述加密部进行了加密的表更新密钥、以及所述进行了加密的更新用的公共密钥表。4.根据权利要求3所述的通信装置,其特征在于:所述取得部从所述系统管理装置取得不应更新所述公共密钥表的通信装置的列表,在由所述取得部取得了所述列表中包含的通信装置的识别信息时,所述通知部中止使用该识别信息以及所述更新主密钥进行加密的表更新密钥的通知。5.ー种通信装置,其特征在于包括:存储部,存储包括多种能够用干与同一系统内的其他通信装置的通信的公共密钥的公共密钥表、所述系统内公共的更新主密钥、以及自己的识别信息;通知部,通知所述识别信息;取得部,从取得了所述识别信息的通信装置,取得使用所述识别信息和所述通信装置保有的更新主密钥进行了加密的表更新密钥、以及利用所述表更新密钥进行了加密的更新用的公共密钥表;以及解密部,使用所述存储部中存储的识别信息和更新主密钥,对所述进行了加密的表更新密钥进行解密,并利用解密后的表更新密钥对所述进行了加密的更新用的公共密钥表进行解密。6.根据权利要求5所述的通信装置,其特征在于:所述系统内共享多个公共密钥表,各公共密钥表还包括表编号、表主密钥、以及消息鉴别码,所述消息鉴别码使用所述表主密钥生成,本通信装置还包括:验证部,參考由所述解密部解密后的更新用的公共密钥表中包含的表编号,读出该表编号的公共密钥表中包含的表主密钥,使用该表主密钥,验证所述消息鉴别码。7.ー种通信装置,其特征在于包括:存储部,存储包括多个能够用干与同一系统内的其他通信装置的通信的通信密钥的密钥表;取得部,取得从运用管理所述密钥表的系统运用管理装置发送的、应不可使用的通信密钥的识别信息;以及通知部,通知由所述取得部取得的应不可使用的通信密钥的识别信息。8.ー种通信装置,其特征在于包括:存储部,存储包括多个能够用干与同一系统内的其他通信装置的通信的通信密钥的密钥表;取得部,从其他通信装置,取得应不可使用的通信密钥的识别信息;以及更新部,基于由所述取得部取得的应不可使用的通信密钥的识别信息,使所述密钥表中包含的该通信密钥无效。全文摘要存储部存储包括多种能够用于与同一系统内的其他通信装置的通信的公共密钥的公共密钥表、自己的识别信息、以及与该识别信息相联系的更新密钥。发送部将识别信息发送到系统管理装置,该系统管理装置管理系统内使用的公共密钥表以及系统内的通信装置的识别信息和与该识别信息相联系的更新密钥。取得部从接收了识别信息的系统管理装置,取得使用与识别信息相联系的更新密钥进行了加密的更新用的公共密钥表。解密部使用存储部中存储的更新密钥,对进行了加密的更新用的公共密钥表进行解密。文档编号H04L9/08GK103141055SQ20118004725公开日2013年6月5日申请日期2011年12月20日优先权日2011年1月25日发明者堀吉宏申请人:三洋电机株式会社