通信系统及对照方法与流程

本发明涉及能够确保正规使用者的经由终端装置的通信路径的通信系统及对照方法。

背景技术：

搭载于车辆的电子设备的高功能化不断推进。在近年来的车辆中，不仅搭载关于行驶控制的电子设备，而且也搭载例如以车内的使用者的舒适性提高或娱乐等为目的的各种电子设备。而且，近年来，便携电话机、智能电话或平板型终端等使用者持有的移动式的信息处理终端的进步惊人，这些信息处理终端与车辆内的电子设备协作地进行处理，进而向使用者提供高度的服务的系统开始实用化。

在这样高功能化的车载的电子设备中，执行的程序也高功能化，有时需要对程序进行版本升级等的更新。而且，存在每个使用者所需的功能不同的情况等，认为通过根据使用者的喜好能够进行功能的选择或定制等而便利性提高，但是此时存在需要程序的追加或变更等的情况。因此，在近年来的车载的电子设备中，能够进行程序的追加或更新等的技术正被研讨及开发，存在采用例如被称为osgi(openservicesgatewayinitiative)的技术的情况。

在专利文献1中，提出了利用osgi的技术且在车辆中用于使用被网络化的便携设备的系统的方案。在该系统中，车载设备的便携设备客户程序进行与便携设备的通信，进行从便携设备向车载设备的动态的应用程序的传送。在车载设备上或便携设备上，能够进行使用车辆的显示器或扬声器等构成要素的应用的执行。

在先技术文献

专利文献

专利文献1：日本特表2012-500516号公报

技术实现要素：

发明要解决的课题

然而，在车载的电子设备设为能够进行程序的追加及更新等的结构的情况下，有可能会追加并执行恶意的第三者制成的程序。由此，例如利用车内网络发送接收的信息可能会因不正当的程序而向外部泄露等。

本发明鉴于上述情况而作出，其目的在于提供一种为了防止因向车内网络的不正当的访问而发生向外部的信息泄露等的情况，能够确保正规使用者的经由终端装置的通信路径的通信系统及对照方法。

用于解决课题的方案

本发明的通信系统具备与车辆内的通信网连接的车载通信设备、以能够拆装的方式与该车载通信设备连接的终端装置、及与车辆外的通信网连接且能够与所述终端装置通信的中央装置，所述通信系统的特征在于，所述车载通信设备具备：对于识别本机的设备id进行存储的单元；将所述设备id向所述终端装置发送的单元；从所连接的终端装置取得识别该终端装置的终端id的单元；及将所述设备id及从所述终端装置取得的终端id经由所述终端装置向中央装置发送的单元，所述终端装置具备：对于识别本装置的终端id进行存储的单元；将所述终端id向所述车载通信设备发送的单元；取得从所述车载通信设备发送的设备id的单元；及将所述终端id及从所述车载通信设备取得的设备id向所述中央装置发送的单元，所述中央装置具备：接收从所述车载通信设备及所述终端装置分别发送的设备id及终端id的单元；及将从所述车载通信设备接收到的设备id及终端id与从所述终端装置接收到的设备id及终端id进行对照的对照单元。

本发明的通信系统的特征在于，所述车载通信设备及所述中央装置存储有相互共用的第一公用密钥，所述车载通信设备具备将向所述中央装置发送的所述设备id及所述终端id通过所述第一公用密钥加密的单元，所述终端装置及所述中央装置存储有相互共用的第二公用密钥，所述终端装置具备将向所述中央装置发送的所述终端id及所述设备id通过所述第二公用密钥加密的单元，所述中央装置具备：将从所述车载通信设备接收到的所述设备id及所述终端id通过所述第一公用密钥解密的单元；及将从所述终端装置接收到的所述终端id及所述设备id通过所述第二公用密钥解密的单元。

本发明的通信系统的特征在于，所述中央装置具备：在由所述对照单元判断为从所述车载通信设备接收到的设备id及终端id与从所述终端装置接收到的设备id及终端id一致的情况下，生成在所述中央装置、所述终端装置及所述车载通信设备中共用的第三公用密钥的生成单元；将该生成单元生成的第三公用密钥通过所述第一公用密钥加密的单元；将通过所述第一公用密钥加密后的第三公用密钥经由所述终端装置向所述车载通信设备发送的单元；将所述生成单元生成的第三公用密钥通过所述第二公用密钥加密的单元；及将通过所述第二公用密钥加密后的第三公用密钥向所述终端装置发送的单元。

本发明的通信系统的特征在于，所述中央装置具备在由所述对照单元判断为从所述车载通信设备接收到的设备id及终端id与从所述终端装置接收到的设备id及终端id不一致的情况下，将应切断与所述终端装置的通信的内容的通知经由所述终端装置向所述车载通信装置发送的单元，所述车载通信装置具备在接收到从所述中央装置发送的所述通知的情况下，切断与所述终端装置的通信的单元。

本发明的对照方法对于与车辆内的通信网连接的车载通信设备和以能够拆装的方式与该车载通信设备连接的终端装置，使用与车辆外的通信网连接且能够与所述终端装置通信的中央装置进行对照，所述对照方法的特征在于，所述车载通信设备向所述终端装置发送识别本机的设备id，从所连接的终端装置取得识别该终端装置的终端id，将所述设备id及从所述终端装置取得的终端id经由所述终端装置向中央装置发送，所述终端装置向所述车载通信设备发送识别本装置的终端id，取得从所述车载通信设备发送的设备id，将所述终端id及从所述车载通信设备取得的设备id向所述中央装置发送，所述中央装置接收从所述车载通信设备及所述终端装置分别发送的设备id及终端id，将从所述车载通信设备接收到的设备id及终端id与从所述终端装置接收到的设备id及终端id进行对照。

本发明的对照方法的特征在于，所述车载通信设备将向所述中央装置发送的所述设备id及所述终端id通过在与所述中央装置之间共用的第一公用密钥加密，所述终端装置将向所述中央装置发送的所述终端id及所述设备id通过在与所述中央装置之间共用的第二公用密钥加密，所述中央装置将从所述车载通信设备接收到的所述设备id及所述终端id通过所述第一公用密钥解密，所述中央装置将从所述终端装置接收到的所述终端id及所述设备id通过所述第二公用密钥解密。

本发明的对照方法的特征在于，所述中央装置在对照的结果是判断为从所述车载通信设备接收到的设备id及终端id与从所述终端装置接收到的设备id及终端id一致的情况下，生成在所述中央装置、所述终端装置及所述车载通信设备中共用的第三公用密钥，将生成的第三公用密钥通过所述第一公用密钥加密，将通过所述第一公用密钥加密后的第三公用密钥经由所述终端装置向所述车载通信设备发送，将生成的第三公用密钥通过所述第二公用密钥加密，将通过所述第二公用密钥加密后的第三公用密钥向所述终端装置发送。

本发明的对照方法的特征在于，所述中央装置在对照的结果是判断为从所述车载通信设备接收到的设备id及终端id与从所述终端装置接收到的设备id及终端id不一致的情况下，将应切断与所述终端装置的通信的内容的通知经由所述终端装置向所述车载通信装置发送，所述车载通信装置在接收到从所述中央装置发送的所述通知的情况下，切断与所述终端装置的通信。

在本发明中，将从车载通信设备接收到的设备id及终端id与从终端装置接收到的设备id及终端id利用中央装置进行对照，由此判别车载通信设备及终端装置是否为正规的组合。

另外，在本发明中，车载通信设备将向中央装置发送的设备id及终端id通过在与中央装置之间共用的第一公用密钥加密，终端装置将向中央装置发送的终端id及设备id通过在与中央装置之间共用的第二公用密钥加密，因此能防止对照所需的信息在通信路径的中途被不正当地改写的情况。

另外，在本发明中，在对照的结果是判断为从车载通信设备及终端装置分别接收到的设备id及终端id一致的情况下，生成第三公用密钥，使将生成的第三公用密钥通过所述第一公用密钥及第二公用密钥分别加密后的第三公用密钥向车载通信设备及终端装置发送，因此能够防止第三公用密钥在通信路径的中途不正当地被改写的情况，能够使车载通信设备、终端装置及中央装置间的通信路径确立。

另外，在本发明中，在对照的结果是判断为从车载通信设备及终端装置分别接收到的设备id及终端id不一致的情况下，切断车载通信设备及终端装置之间的通信，因此防止不正当的终端装置与通信路径连接的情况。

发明效果

根据本申请，将从车载通信设备接收到的设备id及终端id与从终端装置接收到的设备id及终端id利用中央装置进行对照，由此能够判别车载通信设备及终端装置是否为正规的组合。而且，在判别为车载通信设备及终端装置是正规的组合的情况下，将三者共用的公用密钥在从终端装置进行了隐匿化的状态下向车载通信设备发送，并在从车载通信设备进行了隐匿化的状态下向终端装置发送，因此能够防止在通信路径的中途不正当地改写公用密钥的情况，能够使三者间的通信路径确立。

附图说明

图1是表示本实施方式的通信系统的结构的示意图。

图2是说明驾车链接的内部结构的框图。

图3是说明终端装置的内部结构的框图。

图4是说明服务器装置的内部结构的框图。

图5是表示使用者认证用的应用程序的安装次序的流程图。

图6是表示配对时终端装置及驾车链接执行的处理的次序的流程图。

图7是表示在驾车链接及服务器装置之间使用的公用密钥的生成次序的流程图。

图8是表示使用者信息的登记次序的流程图。

图9是表示确立三者间的通信路径的次序的流程图。

具体实施方式

以下，基于表示本发明的实施方式的附图来具体地说明本发明。

图1是表示本实施方式的通信系统的结构的示意图。在图中，单点划线所示的1为车辆，在车辆1上搭载有驾车链接(drivelink)10、网关30及多个ecu(electroniccontrolunit：电子控制单元)50等。在车辆1中，存在多个由与共用的通信线进行总线连接的多个ecu50形成的通信组，网关30对通信组间的通信进行中继。因此，在网关30上连接多个通信线。而且，网关30连接有驾车链接10，将来自驾车链接10的信息向ecu50发送，并将从ecu50接收到的信息向驾车链接10给予。

驾车链接10具有对通信进行中继的功能，所述通信是使用者持有的终端装置3或各种服务器装置5等与包含网关30及ecu50等而构成的车辆1的车内网络之间的通信，且驾车链接10连接于网关30。终端装置3是例如使用者持有的便携电话机、智能电话、平板型终端或笔记本pc(personalcomputer)等装置，且在与驾车链接10之间进行基于有线的通信。服务器装置5连接于公共便携电话网等广域无线网n，并经由终端装置3而与驾车链接10进行通信。

图2是说明驾车链接10的内部结构的框图。驾车链接10具备cpu(centralprocessingunit)11、ram(randomaccessmemory)12、存储部13、有线通信部14及车内通信部15等而构成。

cpu11将存储于存储部13的一个或多个程序向ram12读出并执行，由此使驾车链接10作为本发明的车载通信设备发挥作用。cpu11例如通过分时等来切换并执行多个程序，从而能够并行地执行多个程序。ram12由sram(staticram)或dram(dynamicram)等存储器元件构成，暂时性地存储cpu11执行的程序及执行所需的数据等。

存储部13使用闪存或eeprom(electricallyerasableprogrammablereadonlymemory：电可擦可编程只读存储器)等非易失性的存储器元件、或者硬盘等磁存储装置等而构成。存储部13具有存储cpu11执行的程序及执行所需的数据等的存储区域。

有线通信部14具有用于连接通信线缆等的连接器，经由连接的通信线缆而进行与终端装置3的通信。有线通信部14例如根据usb(universalserialbus)或rs232c等的规格而进行通信。有线通信部14将从cpu11给予的信息向终端装置3发送，并将从终端装置3接收到的信息向cpu11给予。

车内通信部15经由通信线缆而与搭载于车辆1的网关30连接。车内通信部15例如根据can(controllerareanetwork：控制器局域网络)或lin(localinterconnectnetwork：本地互联网络)等的规格而进行与网关30的通信。车内通信部15将从cpu11给予的信息向网关30发送，并将从网关30接收到的信息向cpu11给予。

图3是说明终端装置3的内部结构的框图。终端装置3具备cpu31、ram32、存储部33、有线通信部34、无线通信部35、操作部36、显示部37等而构成。

cpu31将预先存储于存储部33的一个或多个程序向ram32读出并执行，由此控制上述的各硬件的动作，使装置整体作为本发明的终端装置发挥作用。ram32由sram或dram等存储器元件构成，暂时性地存储cpu31执行的程序及执行所需的数据等。

存储部33使用闪存或eeprom等非易失性的存储器元件、或者硬盘等磁存储装置等而构成。在存储部33安装有例如用于认证正规使用者的应用程序等。

有线通信部34具有用于连接通信线缆等的连接器，经由所连接的通信线缆而进行与驾车链接10的通信。有线通信部14例如根据usb或rs232c等的规格进行通信。有线通信部14将从cpu11给予的信息向驾车链接10发送，并将从驾车链接10接收到的信息向cpu31给予。

无线通信部35使用例如天线及执行与其通信相关的处理的附属电路而构成，具有连接于公共便携电话网等广域无线网n而执行通信处理的功能。无线通信部35经由通过图中未示出的基站形成的广域无线网n，将从cpu31给予的信息向服务器装置5等外部装置发送，并将从外部装置接收到的信息向cpu31给予。

操作部36是用于受理使用者的操作的接口，由各种按钮、开关、触摸面板等构成。显示部37由液晶显示器面板、有机el显示器面板(el：electroluminescence)等构成，显示通过操作部36受理的信息、通过有线通信部34及无线通信部35取得的信息等。

图4是说明服务器装置5的内部结构的框图。服务器装置5具备例如cpu51、ram52、存储部53、通信部54等。

cpu51将预先存储于存储部53的一个或多个程序向ram52读出并执行，由此来控制上述的各硬件的动作，使服务器装置5作为本发明的中央装置发挥作用。ram52由sram或dram等存储器元件构成，暂时性地存储cpu51执行的程序及执行所需的数据等。

存储部53使用闪存或eeprom等非易失性的存储器元件、或者硬盘等磁存储装置等而构成。在存储部53中存储有例如表示驾车链接10及终端装置3的组合的配对信息、包含使用者的登录id及密码的使用者信息等。

通信部54使用例如执行与通信相关的处理的附属电路而构成，具有连接于公共便携电话网等广域无线网n而执行通信处理的功能。通信部54经由广域无线网n，将从cpu51给予的信息向终端装置3等外部装置发送，并将从外部装置接收到的信息向cpu51给予。

本实施方式的驾车链接10是能够对于由cpu11执行的程序进行追加、更新及删除等的结构。例如，使用者利用搭载有gps接收机的终端装置3使汽车导航程序动作，在利用终端装置3作为汽车导航装置的情况下，通过终端装置3取得车辆1的速度信息等而能够进行高精度的车辆位置的计算。因此，使用者能够与终端装置3的汽车导航程序进行连动，将取得车辆1的速度信息等并向终端装置3发送的程序追加(所谓安装)于驾车链接10。

例如驾车链接10能够设为通过采用osgi的技术而可进行程序的追加、更新及删除等的结构。osgi是被称为包的对于程序的动态的追加及执行等进行管理的系统，作为包的执行基础的osgi框架利用cpu11进行动作。需要说明的是，osgi是现存的技术，因此省略详细的说明。而且，驾车链接10也可以采用osgi以外的技术进行程序的追加、更新及删除等。

驾车链接10的cpu11在从终端装置3被给予了程序的追加指示的情况下，或者从设置在车辆1的驾驶席附近的操作部(未图示)等被给予了基于使用者的操作的追加指示的情况下，进行追加程序的处理。追加的程序可以是例如驾车链接10取得终端装置3存储的程序，而且也可以经由终端装置3从服务器装置5等取得。驾车链接10的cpu11将从终端装置3或服务器装置5等取得的程序存储于存储部13。以后，cpu11将根据需要而追加的程序从存储部13读出并执行，能够进行与该程序相关的处理。

另外，驾车链接10的cpu11对于已经存储于存储部13的程序，以例如功能扩张或不良情况修正等为目的，进行程序的更新处理。程序的更新处理可以在例如从车辆1的操作部或终端装置3等被给予了更新指示的情况下进行，而且也可以例如定期地进行与服务器装置5等的通信，cpu11判定程序的更新的需要与否而自发地进行。驾车链接10的cpu11利用从终端装置3或服务器装置5等取得的更新用的信息(更新用的程序或数据等)来改写存储于存储部13的程序的一部分或全部，由此来更新程序。

另外，驾车链接10的cpu11进行将存储于存储部13的程序删除的处理。例如cpu11在从车辆1的操作部或终端装置3等被给予了程序的删除指示的情况下，将对应的程序从存储部13删除。

这样，本实施方式的驾车链接10是使用者根据需要能够进行程序的追加及更新等的结构，因此存在恶意的第三者制成的程序向驾车链接10追加而由cpu11执行的担心。因此，在本实施方式中，为了防止利用不正当的程序向车辆1内的不正当的访问的发生，在利用服务器装置5对照了终端装置3与驾车链接10的组合是否为正规的组合的基础上，确立服务器装置5、终端装置3及驾车链接10这三者间的通信路径。

以下，说明确立通信路径的次序。

在驾车链接10的存储部13存储有识别本机的设备id，在终端装置3的存储部33存储有识别本装置的装置id。而且，驾车链接10的销售处对于购入者(使用者)通知临时登录id及临时密码，并将驾车链接10的设备id、以及通知给使用者的临时登录id及临时密码向服务器装置5登记。

此外，服务器装置5生成秘密密钥及公开密钥(设为秘密密钥a及公开密钥a)，接受图中未示出的认证局(ca：certificationauthority)的认证，从认证局取得电子证明书(设为电子证明书a)。同样，驾车链接10的销售处生成秘密密钥及公开密钥(秘密密钥b及公开密钥b)，接受认证局的认证，将取得的电子证明书(设为电子证明书b)写入驾车链接10。

从销售处购入了驾车链接10的使用者作为事先的准备，从服务器装置5下载使用者认证用的应用程序并向终端装置3安装。图5是表示使用者认证用的应用程序的安装次序的流程图。终端装置3在利用操作部36受理了应安装使用者认证用的应用的内容的指示的情况下(步骤s101)，通过无线通信部35进行对服务器装置5的访问要求(步骤s102)。

服务器装置5在接收到来自终端装置3的访问要求的情况下，将电子证明书a向终端装置3发送(步骤s103)。

在领受到从服务器装置5发送的电子证明书a的情况下，终端装置3通过ca公开密钥来验证电子证明书a(步骤s104)，取得公开密钥a(步骤s105)。此时，终端装置3在不具有ca公开密钥的情况下，从认证局取得ca公开密钥。

接下来，终端装置3生成与服务器装置5之间使用的公用密钥(设为公用密钥a)(步骤s106)，并将生成的公用密钥a存储于存储部33。而且，终端装置3通过公开密钥a对生成的公用密钥a进行加密(步骤s107)，将加密完成的公用密钥a从无线通信部35向服务器装置5发送(步骤s108)。

服务器装置5在利用通信部54接收到从终端装置3发送的加密完成的公用密钥a的情况下，通过秘密密钥a解密(步骤s109)，取得公用密钥a(步骤s110)。服务器装置5将取得的公用密钥a存储于存储部53，并将公用密钥a的领受通知在通过公用密钥a进行了加密的基础上向终端装置3发送(步骤s111)。在步骤s110中服务器装置5取得公用密钥a，由此在服务器装置5与终端装置3之间，能够通过公用密钥a进行加密而执行通信。在以下的说明中，即使在未特别明记的情况下，服务器装置5与终端装置3之间的通信也通过公用密钥a加密。

终端装置3将从服务器装置5接收到的领受通知通过公用密钥a解密(步骤s112)，对于服务器装置5要求使用者认证用的应用的下载(步骤s113)。接收到下载的要求的服务器装置5为了判断是否为来自正规使用者的要求而向终端装置3要求临时登录id及临时密码的输入(步骤s114)。

接收到临时登录id及临时密码的输入要求的终端装置3将临时登录id及临时密码的输入画面显示于显示部37(步骤s115)，在操作部36受理事先从销售处给予的临时登录id及临时密码的输入(步骤s116)。并且，终端装置3将在操作部36受理的临时登录id及临时密码向服务器装置5发送(步骤s117)。

服务器装置5在接收到从终端装置3发送的临时登录id及临时密码的情况下，与事先登记的临时登录id及临时密码(临时登记信息)进行对照(步骤s118)，在两者一致的情况下，将使用者认证用的应用程序向终端装置3发送(步骤s119)。

终端装置3将从服务器装置5接收到的应用程序安装于存储部33(步骤s120)。

如以上所述，在本流程图中，采用的是在下载使用者认证用的应用程序时，通过使用从驾车链接10的销售处发行的临时登录id及临时密码而仅使正规使用者能够安装应用程序的方法，从而防止第三者任意地安装。

在使用者认证用的应用程序的安装完成后，使用者将终端装置3与驾车链接10连接，进行终端装置3及驾车链接10的配对。图6是表示在配对时终端装置3及驾车链接10执行的处理的次序的流程图。

在驾车链接10的电源被接通的情况下(步骤s201)，驾车链接10的cpu11通过有线通信部14而开始连接设备的扫描(步骤s202)。

另一方面，在与驾车链接10连接的终端装置3中，在操作部36受理使用者认证用的应用程序的起动操作、及驾车链接10的扫描开始操作(步骤s203)。在受理了这些操作的情况下，终端装置3的cpu31使存储于存储部33的使用者认证用的应用程序起动，通过有线通信部34而开始连接设备的扫描(步骤s204)。

在终端装置3与驾车链接10通过通信线缆正常连接的情况下，终端装置3检测到驾车链接10作为连接设备(步骤s205)，驾车链接10检测到终端装置3作为连接设备(步骤s206)。

接下来，终端装置3通过有线通信部34进行对驾车链接10的访问要求(步骤s207)。在接收到来自终端装置3的访问要求的情况下，驾车链接10将电子证明书b向终端装置3发送(步骤s208)。在领受到从驾车链接10发送的电子证明书b的情况下，终端装置3通过ca公开密钥来验证电子证明书b(步骤s209)，取得公开密钥b(步骤s210)。

接下来，终端装置3生成与成为配对对象的驾车链接10之间使用的公用密钥(设为公用密钥b)(步骤s211)，并将生成的公用密钥b存储于存储部33。而且，终端装置3通过公开密钥b将生成的公用密钥b加密(步骤s212)，将加密完成的公用密钥b向驾车链接10发送(步骤s213)。

驾车链接10在接收到从终端装置3发送的加密完成的公用密钥b的情况下，通过秘密密钥b解密(步骤s214)，取得公用密钥b(步骤s215)。驾车链接10将取得的公用密钥b存储于存储部13，并且将临时登录id及临时密码的输入要求、以及驾车链接10的设备id在通过公用密钥b进行了加密的基础上向终端装置3发送(步骤s216)。在步骤s215中驾车链接10取得公用密钥b，由此在驾车链接10与终端装置3之间，能够通过公用密钥b加密而执行通信。在以下的说明中，即使在未特别明记的情况下，驾车链接10与终端装置3之间的通信也通过公用密钥b加密。

终端装置3将从连接处的驾车链接10接收到的临时登录id及临时密码的输入要求、以及驾车链接10的设备id通过公用密钥b进行解密(步骤s217)，将临时登录id及临时密码的输入画面、以及设备id显示于显示部37(步骤s218)。终端装置3在操作部36受理临时登录id及临时密码的输入(步骤s219)，将受理的临时登录id及临时密码、以及识别终端装置3的装置id向驾车链接10发送(步骤s220)。

驾车链接10在接收到从终端装置3发送的临时登录id及临时密码、以及终端装置3的装置id的情况下，通过公用密钥b解密(步骤s221)，与销售处事先登记的临时登录id及临时密码进行对照，来作为输入要求的响应(步骤s222)。在对照的结果是两者一致的情况下，驾车链接10的cpu11通过将从终端装置3接收到的装置id存储于存储部13而进行装置id的登记(步骤s223)。

接下来，驾车链接10将装置id的登记完成向终端装置3通知(步骤s224)。在接收到从驾车链接10发送的登记完成的通知的情况下，终端装置3的cpu31通过将连接处的驾车链接10的设备id存储于存储部33来进行设备id的登记(步骤s225)。

如以上所述，在本流程图中，设为在正规使用者持有的终端装置3的显示部37上显示设备id的结构，因此正规使用者能够在确认了连接处的驾车链接10的基础上实施配对。而且，将仅正规使用者能获知的临时登录id及临时密码向终端装置3输入，通过驾车链接10进行对照，由此能够得到由正规使用者进行的登记的确证。

在驾车链接10与终端装置3的配对完成之后，生成在驾车链接10与服务器装置5之间使用的公用密钥。图7是表示在驾车链接10及服务器装置5之间使用的公用密钥的生成次序的流程图。在本实施方式中，在驾车链接10与服务器装置5之间未设置直接的通信路径，因此驾车链接10经由终端装置3向服务器装置5进行访问要求(步骤s301)。

接收到来自驾车链接10的访问要求的服务器装置5将上述的电子证明书a经由终端装置3向驾车链接10发送(步骤s302)。

在领受到从服务器装置5发送的电子证明书a的情况下，驾车链接10通过ca公开密钥来验证电子证明书a(步骤s303)，取得公开密钥a(步骤s304)。此时，驾车链接10在不具有ca公开密钥的情况下，从认证局取得ca公开密钥。

接下来，驾车链接10生成在与服务器装置5之间使用的公用密钥(设为公用密钥c)(步骤s305)，并将生成的公用密钥c存储于存储部13。而且，驾车链接10将生成的公用密钥c通过公开密钥a加密(步骤s306)，将加密完成的公用密钥c经由终端装置3向服务器装置5发送(步骤s307)。

服务器装置5在接收到从驾车链接10发送的加密完成的公用密钥c的情况下，通过秘密密钥a解密(步骤s308)，取得公用密钥c(步骤s309)。服务器装置5将取得的公用密钥c存储于存储部53，并将公用密钥c的领受通知在通过公用密钥c进行了加密的基础上经由终端装置3向驾车链接10发送(步骤s310)。

驾车链接10在接收到从服务器装置5发送的领受通知的情况下，将接收到的领受通知通过公用密钥c解密(步骤s311)。

在本流程图中，生成在服务器装置5与驾车链接10之间使用的公用密钥c，由于在服务器装置5及驾车链接10中共有，因此能够将服务器装置5与驾车链接10之间的通信通过公用密钥c加密。即，在服务器装置5与驾车链接10之间，从与驾车链接10连接的终端装置3能够以隐匿化的状态实施通信。

接下来，进行使用者信息的正式登记。图8是表示使用者信息的登记次序的流程图。驾车链接10将包含本机的设备id和配对时从连接处的驾车链接10取得的装置id的配对信息、以及存储于存储部13的临时登录id及临时密码的登记要求在通过公用密钥c进行了加密的基础上，经由终端装置3向服务器装置5发送(步骤s401)。

接收到来自驾车链接10的登记要求的服务器装置5将登记要求通过公用密钥c解密(步骤s402)，将得到的配对信息存储于存储部53，由此进行配对信息的登记(步骤s403)。接下来，服务器装置5将配对信息的登记完成通知、以及向正式登录id及正式密码的变更要求在通过公用密钥c进行了加密的基础上，经由终端装置3向驾车链接10发送(步骤s404)。

接收到来自服务器装置5的登记完成通知及变更要求的驾车链接10将登记完成通知及变更要求通过公用密钥c解密(步骤s405)，对于终端装置3进行向正式登录id及正式密码的变更要求(步骤s406)。需要说明的是，关于从驾车链接10对终端装置3进行的变更要求，在通过公用密钥b进行了加密的基础上向终端装置3发送。

终端装置3将从驾车链接10发送的变更要求通过公用密钥b解密(步骤s407)。接下来，终端装置3的cpu31将正式登录id及正式密码的变更输入画面显示于显示部37(步骤s408)，通过操作部36受理正式登录id及正式密码的输入(步骤s409)。终端装置3将通过操作部36受理的正式登录id及正式密码存储于存储部33，并通过公用密钥b加密，向驾车链接10发送(步骤s410)。

驾车链接10将从终端装置3发送的正式登录id及正式密码通过公用密钥b解密(步骤s411)，将先登记的临时登录id及临时密码改写成正式登录id及正式密码，由此进行使用者信息的更新(步骤s412)。驾车链接10将使用者信息(正式登录id及正式密码)以及配对信息(设备id及装置id)通过公用密钥c加密，经由终端装置3向服务器装置5发送(步骤s413)。

服务器装置5将从驾车链接10发送的使用者信息及配对信息通过公用密钥c解密(步骤s414)，与已经登记完成的配对信息建立对应地将使用者信息存储于存储部53，由此进行使用者信息的登记(步骤s415)。

在本流程图中，能够在从终端装置3进行了隐匿化的状态下，将驾车链接10存储的配对信息向服务器装置5登记。

接下来，说明在利用服务器装置5对照了终端装置3与驾车链接10的组合是否为正规的组合的基础上，确立服务器装置5、终端装置3及驾车链接10这三者间的通信路径的次序。

图9是表示确立三者间的通信路径的次序的流程图。服务器装置5将配对信息的发送要求通过公用密钥a加密，向终端装置3发送(步骤s501)。

终端装置3将从服务器装置5发送的发送要求通过公用密钥a解密(步骤s502)，将包含本装置的装置id及从连接处的驾车链接10取得的设备id的配对信息在通过公用密钥a进行了加密的基础上向服务器装置5发送(步骤s503)。

服务器装置5在接收到从终端装置3发送的配对信息的情况下，将配对信息解密(步骤s504)，与使用者信息的正式登记时从驾车链接10取得的配对信息进行对照，来作为发送要求的响应(步骤s505)。在对照的结果是判断为从终端装置3取得的配对信息与从驾车链接10取得的配对信息一致的情况下，服务器装置5生成三者共用的公用密钥(设为公用密钥d)(步骤s506)。

服务器装置5将生成的公用密钥d通过公用密钥a加密而向终端装置3发送(步骤s507)。终端装置3在接收到从服务器装置5发送来的公用密钥d的情况下，通过公用密钥a解密(步骤s508)，取得公用密钥d(步骤s509)。终端装置3的cpu31将取得的公用密钥d存储于存储部33。

终端装置3将公用密钥d的领受通知在通过公用密钥a进行了加密的基础上向服务器装置5发送(步骤s510)。服务器装置5将来自终端装置3的领受通知通过公用密钥a解密(步骤s511)。

另外，服务器装置5将公用密钥d通过公用密钥c加密，经由终端装置3向驾车链接10发送(步骤s512)。驾车链接10在接收到从服务器装置5发送来的公用密钥d的情况下，通过公用密钥c解密(步骤s513)，取得公用密钥d(步骤s514)。驾车链接10的cpu11将取得的公用密钥d存储于存储部13。

驾车链接10将公用密钥d的领受通知通过公用密钥c加密，经由终端装置3向服务器装置5发送(步骤s515)。服务器装置5将来自驾车链接10的领受通知通过公用密钥c解密(步骤s516)。

如以上所述，在本实施方式中，将从终端装置3取得的配对信息与从驾车链接10取得的配对信息利用服务器装置5进行对照，由此能够判别终端装置3及驾车链接10是否为正规的组合。而且，在判别为终端装置3及驾车链接10是正规的组合的情况下，将三者共用的公用密钥d在从驾车链接10进行了隐匿化的状态下向终端装置3发送，并在从终端装置3进行了隐匿化的状态下向驾车链接10发送，因此能够防止在通信路径的中途将公用密钥d不正当地改写的情况。

需要说明的是，也可以是服务器装置5在判别为终端装置3及驾车链接10不是正规的组合的情况下，将应切断与终端装置3的通信的内容的通知通过公用密钥c加密，向驾车链接10发送。驾车链接10将该通知通过公用密钥c解密，按照通知来切断与终端装置3的通信，将配对解除，从而能够防止通过不正当的程序向车辆1内的不正当的访问的发生、及车辆1内的ecu50、50、50、…存储的各种信息向外部的泄露。

应考虑的是本次公开的实施方式在全部的点上为例示而不是限制性内容。本发明的范围不是上述的意思而是由权利要求书公开，并包括与权利要求书等同的意思及范围内的全部的变更。而且，在各实施方式中记载的技术特征可以相互组合。

例如，在本实施方式中，设为在驾车链接10上连接网关30并在网关30上连接多个ecu50的结构，但是该车内网络的结构是一例，并不局限于此。可以设为驾车链接10兼具网关的功能的结构，也可以设为在驾车链接10上连接多个ecu50的结构。而且还可以设为任意的ecu50兼具驾车链接10的功能的结构。而且也可以在车辆1上搭载多个驾车链接10。

另外，在本实施方式中，驾车链接10及终端装置3设为通过有线连接而进行通信的结构，但是也可以设为利用电波或光等的无线信号在车辆1内或者无线信号从车辆1到达的范围内进行无线通信的结构。这种情况下，驾车链接10及终端装置3例如根据无线lan(localareanetwork)或bluetooth(注册商标)等的规格进行无线通信。

另外，例如在车辆1为电动汽车，从外部的供电装置能够进行经由供电线缆的电力供给的结构的情况下，驾车链接10也可以设为通过经由供电线缆的电力线通信等而进行与外部装置的通信的结构。

标号说明

1车辆

10驾车链接

11cpu

12ram

13存储部

14有线通信部

15车内通信部

3终端装置

31cpu

32ram

33存储部

34有线通信部

35无线通信部

36操作部

37显示部

5服务器装置

51cpu

52ram

53存储部

54通信部