本公開涉及車輛系統和認證方法。提供一種由主ECU和一般ECU構成的車輛系統。一般ECU把數字簽名附加到包括數據(例如，程序的摘要值)的發送數據，并把所述發送數據發送給主ECU。主ECU驗證數字簽名和所述數據，當所述數字簽名和所述數據兩者都有效時，判定所述一般ECU有效。主ECU把數字簽名附加到包括主ECU的數據和會話密鑰的發送數據，并把所述發送數據發送給一般ECU。一般ECU驗證所述數字簽名和所述數據，當所述數字簽名和所述數據兩者都有效時，一般ECU把包含在發送數據中的會話密鑰用作進行后續通信時的公共密鑰。

技術領域

本發明涉及包括多個ECU的車輛系統中的ECU之間的認證。

背景技術

近年來，搭載在車輛上的計算機(電子控制單元(ECU))的數目已增大，并且ECU相互協同以進行復雜的控制。這樣的車輛網絡系統可以想象會成為諸如非法數據的混入、ECU程序的非法重寫、利用非法ECU的替換、和非法ECU的追加之類攻擊的目標。

作為對抗這種攻擊的對策，AUTOSAR標準提出利用公共密鑰的消息認證。例如，當起動發動機時，進行利用公共密鑰的質詢響應認證，當認證成功時，分發會話密鑰。隨后，當進行消息發送時，進行利用會話密鑰的使用消息認證碼(MAC)的消息認證。

另外，下面的專利文獻1公開一種借助相互有效的設備的自組織(ad hoc)網絡的構成，其中各個設備分別保存自組織網絡ID、指定將從由自組織網絡ID識別的自組織網絡中排除的具體設備的排除列表、和由認證機構生成的設備證書，并相互交換設備證書，以檢查設備是否能夠構成自組織網絡。這種情況下，通過不與登記在排除列表中的設備進行相互認證，防止登記在排除列表中的設備加入網絡。

專利文獻1：日本專利申請公開No.2007-074390

發明內容

就諸如在AUTOSAR的情況下利用公共密鑰的認證來說，由于必須預先分發公共密鑰，因此尤其是當ECU發生故障從而必須被替換時，如何把公共密鑰導入新的ECU就成為問題。盡管可以想到準備預先把公共密鑰導入其中的ECU，不過，這意味必須預先準備數量巨大的替換用ECU。另外，采用允許在日后重寫公共密鑰的機制會產生安全漏洞。

就專利文獻1中所述的方法來說，由于利用排除列表指定不被允許加入網絡的設備，因此只要需要就必須變更排除列表。當排除列表未被及時更新時，不應被允許加入網絡的非法設備結果加入網絡中。

考慮到上述問題，作出了本發明，本發明的目的是提供一種即使當替換ECU時，也能夠容易地應用的車輛系統中的認證技術。

本發明的第一方面是一種由主ECU和一般ECU構成的車輛系統，其中主ECU和一般ECU利用公鑰加密方式進行相互認證。這種情況下，通過把與ECU相關的指定數據包含在電子證書中，驗證ECU的有效性。

在本方面中，主ECU具備該主ECU的私鑰(主ECU私鑰)，和與一般ECU的公鑰(一般ECU公鑰)對應的電子證書(一般ECU電子證書)。所述一般ECU電子證書包括與所述一般ECU相關的指定數據。另外，一般ECU具備該一般ECU的私鑰(一般ECU私鑰)，和與主ECU的公鑰(主ECU公鑰)對應的電子證書(主ECU電子證書)。主ECU電子證書包括與所述主ECU相關的指定數據。

一般ECU把利用一般ECU私鑰的數字簽名附加到包括該一般ECU的指定數據的發送數據，并把所述發送數據發送給主ECU。

主ECU利用所述一般ECU電子證書驗證從所述一般ECU發送的附加有數字簽名的發送數據，同時，驗證包含在發送數據中的指定數據是否與包含在所述一般ECU電子證書中的指定數據匹配。當發送數據和指定數據兩者都被判定為有效時，判定所述一般ECU有效。

數字簽名的成功驗證表明發送數據的發送源和數據的內容有效。換句話說，表明未進行欺騙和篡改。另外，發送的指定數據匹配保存在電子證書中的指定數據表明一般ECU的程序未被篡改。