车辆信息收集系统、车载计算机、车辆信息收集装置、车辆信息收集方法以及计算机程序与流程

本发明涉及车辆信息收集系统、车载计算机、车辆信息收集装置、车辆信息收集方法以及计算机程序。

本申请基于申请日为2016年8月29日、在日本申请的申请号为日本特愿2016-167274的日本专利申请主张优先权，并将其内容援用于本申请中。

背景技术：

以往，汽车具有ecu(electroniccontrolunit：电子控制装置)，并通过ecu来实现引擎控制等功能。ecu是一种计算机，通过计算机程序来实现所期望的功能。例如，非专利文献1记载了关于通过将多个ecu连接于can(controllerareanetwork：控制器局域网络)而构成的车载控制系统的安全技术。

现有技术文献

非专利文献

非专利文献1：竹森敬祐，“基于安全元素的车载控制系统的保护-要素技术的整理和和考察-”，电子信息通信学会，技术报告，vol.114，no.508，pp.73-78，2015年3月。

非专利文献2：stmicroelectronics，“an4240applicationnote”，“平成28年8月22日检索”，网址＜url：http://www.st.com/web/en/resource/technical/document/application_note/dm00075575.pdf＞。

技术实现要素：

发明要解决的课题

实现安全地收集汽车的车载控制系统的ecu的日志是一个课题。

本发明考虑到这种情况而完成，其目的在于，提供一种能够安全地收集ecu等车载计算机的日志的车辆信息收集系统、车载计算机、车辆信息收集装置、车辆信息收集方法以及计算机程序。

解决课题的技术方案(1)本发明的一方面提供一种车辆信息收集系统，包括车辆信息收集装置和搭载于车辆的车载计算机，所述车载计算机包括：接口部，用于与所述车载计算机的外部的装置收发数据；以及加密处理部，通过使用所述车载计算机的签名密钥来生成关于所述车载计算机的日志的消息认证符号，所述车载计算机通过所述接口部向所述车辆信息收集装置发送所述日志中带有所述消息认证符号的带消息认证符号的日志，所述车辆信息收集装置包括：车辆接口，用于与所述车辆收发数据，密钥生成部，用于生成所述车载计算机的签名密钥；加密处理部，通过使用所述密钥生成部生成的所述车载计算机的签名密钥来验证通过所述车辆接口从所述车载计算机接收的带消息认证符号的日志的消息认证符号；以及存储部，存储所述消息认证符号的验证为合格的日志。

(2)根据本发明一方面，在上述(1)的车辆信息收集系统中，所述车载计算机的加密处理部通过使用所述车载计算机的加密密钥，对所述车载计算机的日志进行加密，所述车载计算机通过所述接口部向所述车辆信息收集装置发送该加密日志中带有所述消息认证符号的带消息认证符号的加密日志，

所述密钥生成部生成所述车载计算机的加密密钥，所述车辆信息收集装置的加密处理部通过使用所述密钥生成部生成的所述车载计算机的加密密钥，对通过所述车辆接口从所述车载计算机接收的带消息认证符号的加密日志的加密日志，进行解密。

(3)根据本发明一方面，在上述(2)的车辆信息收集系统中，所述车载计算机的加密处理部通过使用所述车载计算机的签名密钥来生成所述加密日志的消息认证符号。

(4)根据本发明一方面，提供搭载于车辆的车载计算机，包括：接口部，用于与所述车载计算机的外部的装置收发数据；以及加密处理部，通过使用所述车载计算机的签名密钥来生成关于所述车载计算机的日志的消息认证符号，所述车载计算机通过所述接口部向车辆信息收集装置发送所述日志中带有所述消息认证符号的带消息认证符号的日志。

(5)根据本发明一方面，提供车辆信息收集装置，包括：车辆接口，用于与车辆收发数据；密钥生成部，用于生成搭载于所述车辆的车载计算机的签名密钥；以及加密处理部，通过使用所述密钥生成部生成的所述车载计算机的签名密钥来验证通过所述车辆接口从所述车载计算机接收的带消息认证符号的日志的消息认证符号。存储部，存储所述消息认证符号的验证为合格的日志。

(6)根据本发明一方面，提供车辆信息收集方法，包括：搭载于车辆的车载计算机通过使用所述车载计算机的签名密钥来生成关于所述车载计算机的日志的消息认证符号的签名生成步骤；所述车载计算机通过用于与所述车载计算机的外部的装置收发数据的接口部向车辆信息收集装置发送所述日志中带有所述消息认证符号的带消息认证符号的日志的发送步骤；所述车辆信息收集装置生成所述车载计算机的签名密钥的密钥生成步骤；所述车辆信息收集装置通过使用在所述密钥生成步骤生成的所述车载计算机的签名密钥来验证通过用于与所述车辆收发数据的车辆接口从所述车载计算机接收的带消息认证符号的日志的消息认证符号的签名验证步骤；以及所述车辆信息收集装置存储所述消息认证符号的验证为合格的日志的日志存储步骤。

(7)根据本发明一方面，提供计算机程序，使搭载于车辆的车载计算机实现以下功能：通过使用所述车载计算机的签名密钥来生成关于所述车载计算机的日志的消息认证符号的加密处理功能；以及通过用于与所述车载计算机的外部的装置收发数据的接口部向车辆信息收集装置发送所述日志中带有所述消息认证符号的带消息认证符号的日志的发送功能。

(8)根据本发明一方面，提供计算机程序，使具有用于与车辆收发数据的车辆接口的车辆信息收集装置的计算机实现以下功能：生成搭载于所述车辆的车载计算机的签名密钥的密钥生成功能；通过使用所述密钥生成功能生成的所述车载计算机的签名密钥来验证通过所述车辆接口从所述车载计算机接收的带消息认证符号的日志的消息认证符号的加密处理功能；以及存储所述消息认证符号的验证为合格的日志的日志存储功能。

发明效果

根据本发明，可实现能够安全地收集ecu等车载计算机的日志的效果。

附图说明

图1是表示根据一实施方式的车辆信息收集系统以及汽车的结构例的框图。

图2是表示根据一实施方式的车辆信息收集装置的结构的框图。

图3是表示根据一实施方式的第一ecu的结构的框图。

图4是表示根据一实施方式的第二ecu的结构的框图。

图5是表示根据一实施方式的车辆信息收集方法的时序图。

具体实施方式

下面，参照附图说明本发明的实施方式。需要说明的是，在以下示出的实施方式中，将汽车作为车辆例子进行说明。

图1是表示根据一实施方式的车辆信息收集系统以及汽车1001的结构例的图。在本实施方式中，将搭载于汽车1001的ecu(电子控制装置)作为车载计算机的一个例子进行说明。

在图1中，汽车1001具有第一ecu1010和多个第二ecu1020。第一ecu1010和第二ecu1020是配置于汽车1001的车载计算机。例如，第一ecu1010具有保护应用于汽车1001搭载的第二ecu1020的数据的功能。第二ecu1020具有汽车1001的引擎控制等控制功能。作为第二ecu1020，例如有具有引擎控制功能的ecu、具有方向盘控制功能的ecu、具有制动控制功能的ecu等。

在以下的说明中，当无需特意区分第一ecu1010和第二ecu1020时，简单地称作ecu。

第一ecu1010和多个第二ecu1020与设置于汽车1001的can(controllerareanetwork：控制器局域网)1030连接。can1030是通信网络。can作为一种搭载于车辆的通信网络已为人所知。第一ecu1010通过can1030与各个第二ecu1020之间交换数据。第二ecu1020通过can1030与其他第二ecu1020之间交换数据。

需要说明的是，作为搭载于车辆的通信网络，也可以将can以外的通信网络设置于汽车1001，并通过can以外的通信网络来进行第一ecu1010与第二ecu1020之间的数据交换以及第二ecu1020彼此之间的数据交换。例如，可将lin(localinterconnectnetwork)设置于汽车1001。另外，也可以将can和lin设置于汽车1001。另外，也可以在汽车1001配置与lin连接的第二ecu1020。

另外，第一ecu1010可与can和lin相连接。另外，第一ecu1010可通过can在与连接于该can的第二ecu1020之间交换数据，或者也可以通过lin在与连接于该lin的第二ecu1020之间交换数据。另外，第二ecu1020彼此也可以通过lin交换数据。

配置于汽车1001的车载计算机系统1002设置成第一ecu1010和多个第二ecu1020与can1030相连接。在本实施方式中，车载计算机系统1002作为汽车1001的车载控制系统发挥功能。

网关1070监控车载计算机系统1002的内部与外部之间的通信。网关1070与can1030相连接。另外，网关1070作为车载计算机系统1002的外部装置的例子，与信息娱乐设备1040、tcu(telecommunicationunit：远程通信单元)1050以及诊断端口1060相连接。ecu通过网关1070与车载计算机系统1002的外部装置进行通信。

需要说明的是，作为can1030的构成，can1030具有多个总线(通信线)，且可以将该多个总线连接于网关1070。在此情况下，一个总线连接有一个第二ecu1020或多个第二ecu1020。另外，可在同一总线上连接有第一ecu1010和第二ecu1020，或者，也可将连接第一ecu1010的总线和连接第二ecu1020的总线单独设置。

汽车1001具有诊断端口1060。作为诊断端口1060，可使用obd(on-boarddiagnostics)端口。在诊断端口1060可连接汽车1001的外部装置。作为能够与诊断端口1060连接的汽车1001的外部装置，例如有图1所示的维护工具2100等。与诊断端口1060连接的装置，例如维护工具2100可通过网关1070与连接于can1030的ecu进行通信。维护工具2100可具有与obd端口连接的传统诊断终端的功能。

汽车1001具有信息娱乐(infotainment)设备1040。作为信息娱乐设备1040，例如可举出具有导航功能、位置信息服务功能、音乐、播放动画等多媒体的功能、语音通信功能、数据通信功能、网络连接功能等的设备。

汽车1001具有tcu1050。tcu1050是通信装置。tcu1050具有通信模块1051。通信模块1051通过利用无线通信网络来进行无线通信。通信模块1051具有sim(subscriberidentitymodule)1052。sim1052是写入有用于利用无线通信网络的信息的sim。通信模块1051可通过使用sim1052，与该无线通信网络连接并进行无线通信。需要说明的是，作为sim1052，可使用esim(embeddedsubscriberidentitymodule)。

ecu通过网关1070与tcu1050交换数据。

需要说明的是，作为tcu1050的其他连接形态，例如可将tcu1050连接于信息娱乐设备1040，ecu通过网关1070以及信息娱乐设备1040与tcu1050交换数据。或者，可将tcu1050连接于诊断端口1060，ecu通过网关1070和诊断端口1060，与连接于该诊断端口1060的tcu1050交换数据。或者，第一ecu1010可具有包括sim1052的通信模块1051。当第一ecu1010具有包括sim1052的通信模块1051时，汽车1001可以没有tcu1050。或者，也可以信息娱乐设备1040具有包括sim1052的通信模块1051。当信息娱乐设备1040具有包括sim1052的通信模块1051时，汽车1001可以没有tcu1050。

第一ecu1010具有主运算器1011和hsm(hardwaresecuritymodule：硬件安全模块)1012。主运算器1011执行用于实现第一ecu1010的功能的计算机程序。hsm1012具有加密处理功能等。hsm1012具有防篡改性(tamperresistant)。hsm1012是安全单元(se：secureelement)的例子。hsm1012具有用于存储数据的存储部1013。主运算器1011使用hsm1012。

第二ecu1020包括主运算器1021和she(securehardwareextension：安全硬件扩展)1022。主运算器1021执行用于实现第二ecu1020的功能的计算机程序。she1022具有加密处理等功能。she1022具有防篡改性。she1022是安全单元的例子。she1022具有用于存储数据的存储部1023。主运算器1021使用she1022。

车辆信息收集装置2000通过通信线路与汽车1001的tcu1050的通信模块1051收发数据。车辆信息收集装置2000通过汽车1001的tcu1050的通信模块1051使用的无线通信网络与该通信模块1051收发数据。或者，车辆信息收集装置2000也可以通过互联网等通信网络和该无线通信网络与该通信模块1051收发数据。另外，例如，也可以利用vpn(virtualprivatenetwork)线路等专用线路来连接车辆信息收集装置2000与通信模块1051之间，并通过该专用线路来收发数据。例如，可通过与sim1052对应的无线通信网络来提供vpn线路等专用线路。需要说明的是，也可以利用通信线缆来连接车辆信息收集装置2000和汽车1001。例如可用通信线缆连接车辆信息收集装置2000与汽车1001的网关1070。

车辆信息收集装置2000收集搭载于汽车1001的ecu的日志。ecu的日志是ecu的动作的记录、对ecu的访问的记录、ecu的通信的记录等关于ecu的记录。

图2是表示车辆信息收集装置2000的结构例的图。在图2中，车辆信息收集装置2000包括通信部2011、存储部2012、密钥生成部2015以及加密处理部2016。通信部2011通过通信线路与其他装置进行通信。通信部2011对应车辆接口。存储部2012用于存储数据。密钥生成部2015用于生成密钥。

加密处理部2016执行加密处理。加密处理部2016的加密处理至少包括消息认证符号的验证处理。加密处理部2016的加密处理还可以包括数据的加密处理和加密数据的解密处理。

车辆信息收集装置2000的功能通过该车辆信息收集装置2000所包括的cpu(centralprocessingunit：中央运算处理装置)执行计算机程序来实现。需要说明的是，作为车辆信息收集装置2000，可通过使用通用的计算机装置来构成，或者，也可以设置专用的硬件装置。

图3是表示第一ecu1010结构例的图。在图3中，第一ecu1010包括主运算器1011、hsm1012以及接口部20。主运算器1011包括控制部21和存储部22。hsm1012包括存储部1013和加密处理部32。

接口部20与第一ecu1010的外部的装置收发数据。接口部20具有通过can1030来收发数据的接口。主运算器1011通过接口部20与第一ecu1010以外的其他装置进行数据的收发。

控制部21进行第一ecu1010的控制。存储部22用于存储数据。存储部1013用于存储数据。加密处理部32执行加密处理。加密处理部32的加密处理至少包括消息认证符号的生成处理。加密处理部32的加密处理还可以包括数据的加密处理和加密数据的解密处理。

图4是表示第二ecu1020的构成例的图。在图4中，第二ecu1020包括主运算器1021、she1022以及接口部40。主运算器1021包括控制部41和存储部42。she1022包括存储部1023和加密处理部52。

接口部40与包括接口部40的第二ecu1020的外部装置收发数据。接口部40具有通过can1030来收发数据的接口。主运算器1021通过接口部40与其他装置进行数据的收发。

控制部41进行第二ecu1020的控制。存储部42用于存储数据。存储部1023用于存储数据。加密处理部52执行加密处理。加密处理部52的加密处理至少包括消息认证符号的生成处理。加密处理部52的加密处理还可以包括数据的加密处理和加密数据的解密处理。需要说明的是，关于she例如已在非专利文献2中有记载。

下面，参照图5说明本实施方式的车辆信息收集方法的例子。图5是表示本实施方式的车辆信息收集方法的例子的时序图。为了便于说明，在图5中，仅示出了搭载于汽车1001的ecu中的一个第二ecu1020。以下，将收集搭载于汽车1001的一个第二ecu1020的日志的情形作为例子进行说明，对于其他ecu也可以同样地应用。当适用于第一ecu1010时，在以后的说明中，接口部40是指接口部20，控制部41是指控制部21，存储部42是指存储部22，she1022是指hsm1012，存储部1023是指存储部1013，加密处理部52是指加密处理部32。

车辆信息收集装置2000将主密钥master_secret预先存储在存储部2012中。第二ecu1020将签名密钥kbe和加密密钥kee预先存储在she1022的存储部1023中。

之后，车辆信息收集装置2000通过通信部2011与汽车1001的tcu1050进行通信，并通过tcu1050和网关1070与连接于汽车1001的can1030的第二ecu1020之间收发数据。需要说明的是，作为车辆信息收集装置2000与第二ecu1020之间通信线路，可使用加密通信线路。例如，作为加密通信线路的一个例子，车辆信息收集装置2000和第二ecu1020也可以进行https(hypertexttransferprotocolsecure)通信。

(步骤s101)车辆信息收集装置2000通过通信部2011向汽车1001的第二ecu1020发送日志收集请求消息。汽车1001的第二ecu1020通过接口部40接收从车辆信息收集装置2000发送的日志收集请求消息。

(步骤s102)第二ecu1020的控制部41根据从车辆信息收集装置2000接收的日志收集请求消息，通过接口部40向车辆信息收集装置2000发送自身的ecu标识符ecu_id。车辆信息收集装置2000通过通信部2011接收从第二ecu1020发送的ecu标识符ecu_id。

(步骤s103)车辆信息收集装置2000的密钥生成部2015通过使用从汽车1001的第二ecu1020接收的ecu标识符ecu_id来生成该第二ecu1020的签名密钥kbe和加密密钥kee。

对密钥生成部2015的密钥生成方法的例子进行说明。密钥生成部2015通过使用存储在存储部2012中的主密钥master_secret、第二ecu1020的ecu标识符ecu_id以及变量nk，并由下面公式来生成密钥(公共密钥)。

公共密钥＝摘要(master_secret、ecu_id、nk)

其中，摘要(master_secret、ecu_id、nk)是由主密钥master_secret、ecu标识符ecu_id以及变量nk生成的摘要值。作为摘要值，可举出通过散列(hash)函数算出的值、或者通过异或运算计算出的值等。例如公共密钥是通过将主密钥master_secret、ecu标识符ecu_id以及变量nk作为输入值而算出的散列函数值。

如果变量nk的值不同，则摘要值不同。可通过改变变量nk的值，由相同主密钥master_secret和ecu标识符ecu_id生成不同的公共密钥。例如，将签名密钥用的变量nk的值设定为nk_a，将加密密钥用的变量nk的值设定为nk_b。密钥生成部2015通过使用主密钥master_secret、第二ecu1020的ecu标识符ecu_id以及变量nk_a，nk_b，并由公式

·签名密钥kbe＝摘要(master_secret，ecu_id，nk_a)，

·加密密钥kee＝摘要(master_secret，ecu_id，nk_b)，

将第二ecu1020的签名密钥kbe和加密密钥kee作为不同的密钥生成。存储部2012存储第二ecu1020的签名密钥kbe和加密密钥kee。第二ecu1020的she1022的存储部1023预先存储有通过与车辆信息收集装置2000相同的密钥生成方法生成的签名密钥kbe和加密密钥kee。

需要说明的是，作为本实施方式的密钥(公共密钥)的生成方法的其他例子，可将签名密钥设定为通过散列函数算出的值，将加密密钥设定为通过异或运算算出的值。或者，与其相反，即，将签名密钥设定为通过异或运算算出的值，将加密密钥设定为通过散列函数算出的值。

(步骤s104)第二ecu1020生成自身日志的消息认证符号。控制部41生成第二ecu1020的日志并存储在存储部42中。在本实施方式中，作为消息认证符号的一个例子，使用cmac(cipher-basedmessageauthenticationcode：消息验证码)。第二ecu1020的控制部41将包括该控制部41的第二ecu1020的日志传递给she1022，并计算该日志的cmac。she1022的加密处理部52通过使用存储于存储部1023中的签名密钥kbe来计算日志的cmac。she1022将该计算结果的cmac传递给控制部41。

(步骤s105)第二ecu1020对自身的日志进行加密。第二ecu1020的控制部41将包括该控制部41的ecu1020的日志传递给she1022，并生成该日志的加密数据即加密日志。she1022的加密处理部52通过使用存储于存储部1023的加密密钥kee，对日志进行加密，并生成作为该加密结果的加密日志。she1022将该加密日志传递给控制部41。

(步骤s106)第二ecu1020的控制部41通过接口部40向车辆信息收集装置2000发送加密日志中带有该ecu1020的日志的cmac的带消息认证符号的加密日志。车辆信息收集装置2000通过通信部2011接收从第二ecu1020发送的带消息认证符号的加密日志。

(步骤s107)车辆信息收集装置2000的加密处理部2016通过使用存储于存储部2012的该第二ecu1020的加密密钥kee，对从汽车1001的第二ecu1020接收的带消息认证符号的加密日志的加密日志进行解密。

(步骤s108)车辆信息收集装置2000的加密处理部2016通过使用存储在存储部2012中的该第二ecu1020的签名密钥kbe来验证从汽车1001的第二ecu1020接收的带消息认证符号的加密日志的cmac。在该cmac的验证中，加密处理部2016对步骤s107中的加密日志的解密结果即解密数据使用存储在存储部2012中的该第二ecu1020的签名密钥kbe，从而计算cmac。接着，加密处理部2016比较该计算结果的cmac和带消息认证符号的加密日志的cmac。当该比较结果为两者一致时，消息认证符号cmac的验证为合格，当两者不一致时，消息认证符号cmac的验证为不合格。

(步骤s109)在消息认证符号cmac的验证为合格的情况下，车辆信息收集装置2000的存储部2012对该消息认证符号cmac的验证为合格的带消息认证符号的加密日志的加密日志的解密数据即日志进行存储。由此，第二ecu1020的日志被保存到车辆信息收集装置2000中。

另一方面，在消息认证符号cmac的验证为不合格的情况下，车辆信息收集装置2000废弃该消息认证符号cmac的验证为不合格的带消息认证符号的加密日志，也不保存该带消息认证符号的加密日志的加密日志的解密数据。需要说明的是，在消息认证符号cmac的验证为不合格的情况下，车辆信息收集装置2000可执行规定的错误处理。例如，作为错误处理，车辆信息收集装置2000可向第二ecu1020请求重新发送日志。另外，可重复该错误处理直至消息认证符号cmac的验证为合格或仅重复规定的次数的该错误处理。

需要说明的是，在上述图5的示例中，通过车辆信息收集装置2000向第二ecu1020发送日志收集请求消息来收集该第二ecu1020的日志，但是，也可以是第二ecu1020主动向车辆信息收集装置2000发送日志。例如，可以是第二ecu1020定期地向车辆信息收集装置2000发送日志。

另外，在上述图5的示例中，第二ecu1020对日志进行加密并向车辆信息收集装置2000发送，但是，第二ecu1020也可以不对日志进行加密直接向车辆信息收集装置2000发送。

另外，在上述图5的示例中，第二ecu1020生成日志的消息认证符号cmac，但是，第二ecu1020也可以通过使用自身的签名密钥kbe来生成加密日志的消息认证符号cmac。在此情况下，车辆信息收集装置2000的加密处理部2016通过对第二ecu1020的带消息认证符号的加密日志的加密日志使用存储在存储部2012中的该第二ecu1020的签名密钥kbe，从而计算cmac。接着，加密处理部2016比较该计算结果的cmac和带消息认证符号的加密日志的cmac。当该比较的结果为两者一致时，消息认证符号cmac的验证为合格，当两者不一致时，消息认证符号cmac的验证为不合格。

根据上述实施方式，汽车1001的ecu通过使用与车辆信息收集装置2000共享的签名密钥来生成关于日志的消息认证符号，并向车辆信息收集装置2000发送带有该消息认证符号的日志。车辆信息收集装置2000通过使用该ecu的签名密钥来验证从汽车1001的ecu接收的带消息认证符号的日志的消息认证符号。车辆信息收集装置2000保存消息认证符号的验证为合格的日志。由此，能够安全地在车辆信息收集装置2000与汽车1001的ecu之间进行日志的传递。因此，根据本实施方式，可以实现能够安全地收集汽车1001的ecu的日志的效果。

以上，参照附图详细说明了本发明的实施方式，但是具体的构成不限定于该实施方式，在不脱离本发明的主旨的范围内的设计变更等也属于本发明。

在上述实施方式的ecu中使用了hsm和she，但是也可以使用hsm和she以外的加密处理芯片。例如，可对第一ecu1010使用称作“tpm(trustedplatformmodule)f”的加密处理芯片。tpmf具有防篡改性。tpmf是安全单元的例子。例如，可对第二ecu1020使用称作“tpmt”的加密处理芯片。tpmt具有防篡改性。tpmt是安全单元的例子。

另外，可将上述实施方式应用于收集汽车1001的信息娱乐设备1040和网关1070等车载装置的日志。在此情况下，信息娱乐设备1040和网关1070是搭载于汽车1001的车载计算机的例子。

在上述实施方式中，将汽车作为车辆的例子，但是也可以应用于带有原动机的汽车、铁路车辆等汽车以外的其他车辆。

另外，可将用于实现上述各个装置的功能的计算机程序记录在计算机可读取的存储介质中，通过将该存储介质中存储的程序读入计算机系统来执行。需要说明的是，在此提到的“计算机系统”可包括os(operatingsystem：操作系统)和周边设备等硬件。

另外，“计算机可读取的存储介质”是指软盘、光磁盘、rom、闪速存储器等可写入的非易失性存储器、dvd(digitalversatiledisc)等可移动介质、内置于计算机系统的硬盘等存储装置。

另外，“计算机可读取的存储介质”是指，如通过因特网等网络和电话线路等通信线路来发送程序时的作为服务器、客户端的计算机系统内部的易失性存储器(例如dram(dynamicrandomaccessmemory))，包括保持规定时间程序的存储介质。

另外，上述程序通过传输介质或传输介质中的传输波，从将该程序存储于存储装置等的计算机系统向其他计算机系统传输。在此，拥有传输程序的“传输介质”是指如因特网等网络(通信网)和电话线路等通信线路(通信线)的具有传输信息的功能的介质。

另外，上述程序可以是用于实现此前所述的一部分功能的程序。

此外，也可以是在此前所述的功能与已经记录在计算机系统中的程序的组合下可实现的、所谓的差分文件(差分程序)。

附图标记说明

22、42、2012：存储部

32、52、2016：加密处理部

20、40：接口部

21、41：控制部

1001：汽车

1002：车载计算机系统

1010：第一ecu

1011、1021：主运算器

1012：hsm

1013、1023：存储部

1020：第二ecu

1022：she

1030：can

1040：信息娱乐设备

1050：tcu

1051：通信模块

1052：sim

1060：诊断端口

1070：网关

2000：车辆信息收集装置

2011：通信部

2015：密钥生成部

2100：维护工具