車輛網絡系統的制作方法與工藝

本發明涉及一種車輛網絡系統，其中被安裝在車輛上的多個電子控制單元被相互網絡連接并且交換信息。

背景技術：
通過將被安裝在車輛上的多個電子控制單元(electroniccontrolunit：ECU)經由網絡相互連接，能夠配置將會使得能夠交換ECU具有的信息(車輛信息)的車輛網絡系統。在這樣的車輛網絡系統中，通常在網絡連接的ECU之間能夠容易地交換車輛信息。同時，也容易錯誤地或有意地將被連接到網絡的裝置拆卸，或者錯誤地或有意地將裝置附接到網絡。因此，在從網絡意外地拆卸裝置或者意料之外的裝置被附接到網絡的情況下，能夠發生對網絡的未授權的訪問或者能夠影響車輛信息的交換。因此，日本專利申請公開No.2005-1534(JP2005-1534A)描述能夠適于通過拆卸等等移除組成車輛網絡系統的ECU的情況的系統的示例。在JP2005-1534A中描述的系統中，假定車輛網絡系統，其中，例如，通過網絡(通信線)將通信ECU、引擎ECU、汽車導航ECU和空調ECU可通信地相互連接。由于通過在這樣的系統中的各個ECU執行連接識別，當檢測到與任何ECU(已安裝的裝置)的連接異常時，此裝置或者其它ECU(已安裝的裝置)的操作被停止。因此，當從車輛拆卸任何已安裝的裝置時，防止其它已安裝的裝置作為裝置組正常地操作。結果，在這樣的情況下有效地防止包括裝置拆卸的未認證的行為，即，車輛盜竊。因此，在JP2005-1534A中描述的系統能夠適于拆卸裝置的情況，但是不能夠被必要地適當地適于添加未認證的裝置的情況。因此，系統不能夠確保針對與裝置的添加相關聯的頻繁的未認證的訪問的安全性，諸如重放攻擊，其中通過未認證地使用已經被傳送到網絡的正常信號而生成的偽信號(alias)被傳送到網絡。例如，在經常被用作車輛網絡的控制局域網(controlareanetwork：CAN)中，傳送裝置傳送被指派有已經被分配給傳送裝置的標識符(CANID)的信號，并且接收裝置基于被添加到該信號的標識符確定傳送該信號的裝置和信號的內容。如在圖12A中所示，在將包括標識符“XX”和數據“123…”的傳送信號TD110從作為傳送裝置的ECU_A110輸出到網絡120的情況下，ECU_B111、ECU_C112、以及ECU_N113起接收裝置的作用，該接收裝置通常獲得以傳送信號TD110為基礎的、包括標識符“XX”和數據“123…”的接收信號RD111至RD113。同時，如在圖12B中所示，在不合適的ECU_A130被連接到網絡系統100的情況下，不合適的ECU_A130能夠使用由作為正常傳送裝置的ECU_A110使用的標識符“XX”，來輸出包括不合適的數據“999…”的傳送信號TD130。結果，ECU_B111、ECU_C112、以及ECU_N113獲得包括標識符“XX”和數據“999…”的接收信號RD131至RD133。在這樣的情況下，盡管傳送信號不屬于不合適的ECU_A130，但是ECU_B111、ECU_C112、以及ECU_N113確定此信號來自于ECU_A110并且基于不合適的數據執行處理。因此，通過對由CAN構成的網絡系統100的未認證的訪問，不合適的ECU_A130能夠冒充是正常的ECU_A110，并且隨著網絡領域中最近進步，這也變成車輛的問題。在具有高裝置處理容量或者高網絡數據傳輸容量的系統中，通過使用諸如每次傳送和接收信號時執行加密的加密套接字協議層(SSL)的高級加密協議，顯然能夠防止未認證的訪問，但是因為對于高級加密協議的處理要求高負載計算，所以在車輛網絡系統中使用要求這種高負載計算的協議是不現實的，在車輛網絡系統中計算容量和數據傳輸容量被減少到必要的最小限制。

技術實現要素：
本發明提供一種車輛網絡系統，該車輛網絡系統能夠適當地確保在多個網絡連接的電子控制單元之間的有限通信容量條件下的通信信號的可靠性。在根據本發明的一個方面的車輛網絡系統中，多個控制單元被提供在車輛上并且被可通信地相互網絡連接。該車輛網絡系統被提供有多個控制單元，該多個控制單元被提供在車輛上并且被可通信地相互網絡連接。該多個控制單元包括：第一控制單元，在該第一控制單元中被設定有來自于形成一對的私密密鑰和公開密鑰當中的私密密鑰，并且通過執行用于激活系統的初始化處理來設定私密密鑰和公開密鑰；和第二控制單元，在該第二控制單元中被設定有公開密鑰。第二控制單元被配置成由公開密鑰和能夠指定第二控制裝置的信息來創建認證信息，將認證信息添加到要被傳送到其他控制單元的通信信號，并且將具有被添加的認證信息的通信信號傳送到網絡。第一控制單元被配置成獲取已經被添加到從第二控制單元傳送的通信信號的認證信息，并且基于所獲取的認證信息和私密密鑰來評估通信信號的可靠性。根據上述第一方面，因為當執行初始化處理時設定公開密鑰，所以與認證信息一起傳送通信信號的單元被指定為當執行初始化處理時被包括在車輛網絡系統中的單元。結果，因為具有被添加的認證信息的所傳送的通信信號由此被指定為從在初始化處理期間就被包括在車輛網絡系統中的單元傳送的信號，所以確保了其可靠性。結果，通信信號的可靠性能夠增加。在存儲了已經由此創建的認證信息的情況下，沒有必要再次創建此認證信息，并且在通信信號的后續傳送中，第二控制單元的處理容量能夠被維持在常規的水平，而不添加對于創建認證信息所需要的負載。此外，因為已經通過公開密鑰被加密的認證信息的內容沒有被篡改，所以具有被添加的認證信息的通信信號的可靠性也能夠增加。在第一方面中，第二控制單元可以被配置成將認證信息劃分為多個信息條，將已經通過劃分獲得的所劃分的認證信息順序地添加到通信信號，并且傳送具有被添加的所劃分的認證信息的通信信號。第一控制單元可以被配置成順序地接收通信信號，由所劃分的認證信息重新配置在劃分之前的認證信息，并且基于所重新配置的認證信息來評估通信信號的可靠性。通過上述配置，因為傳送了經劃分的認證信息，所以與將整個認證信息添加到各個傳送的通信信號的情況相比較，能夠減少需要確保可靠性的通信數據的量。特別地，在被設計為具有最低要求的容量和功能的車輛網絡系統的情況下，能夠增加通信信號的可靠性，同時抑制與用于增加通信信號的可靠性的功能增強相關聯的成本的增加。在上述方面中，第一控制單元可以被配置成通過執行初始化處理來生成私密密鑰和公開密鑰，并且可以將私密密鑰設定到第一控制單元本身并將公開密鑰設定到第二控制單元。通過上述配置，因為第一控制單元當執行初始化處理時生成私密密鑰和公開密鑰，所以消除了事先泄漏關于私密密鑰和公開密鑰的信息的可能性。在上述方面中，第一控制單元可以經由網絡將公開密鑰設定到第二控制單元。通過上述配置，公開密鑰能夠被精確地和有效地分發到構成車輛網絡系統的適當的控制單元。在上述方面中，第二控制單元可以在設定公開密鑰的時刻處創建認證信息。通過上述配置，因為當設定公開密鑰時創建認證信息，所以當傳送通信信號時沒有生成與創建認證信息相關聯的處理負荷，并且防止在第二控制單元中的處理負荷的增加。在上述方面中，在創建認證信息之后，第二控制單元可以刪除已經被設定的公開密鑰。通過上述配置，因為在已經創建認證信息之后公開密鑰本身不是必要的，所以通過留下用于評估通信信號的可靠性的認證信息并且刪除公開密鑰而防止了公開密鑰的泄漏并且進一步增加通信信號的可靠性。在上述方面中，每次啟動車輛網絡系統時，在傳送通信信號之前，第二控制單元將認證信息傳送到網絡，并且第一控制單元可以被配置成獲取并且存儲在從第二控制單元接收通信信號之前已經接收的認證信息，并且通過將所存儲的認證信息與被添加到通信信號的認證信息相比較，來評估通信信號的可靠性。通過上述配置，通過每次啟動車輛網絡系統時在傳送通信信號之前傳送的認證信息來認證傳送需要評估可靠性的通信信號的控制單元，第一控制單元能夠執行通信信號的可靠性評估，而不受系統配置的變化影響。此外，在這樣的情況下，不要求在第一控制單元中事先登記傳送需要評估可靠性的通信信號的控制單元。因此，也增加系統的柔韌性。在上述方面中，第一控制單元可以被配置成當確定由第二控制單元傳送的通信信號不可靠時，禁止在車輛網絡系統中使用該通信信號。通過上述配置，當冒充第二控制單元的單元被連接到車輛網絡系統并且未認證的信號被傳送到車輛網絡系統時，從車輛網絡系統消除未認證的信號的影響。結果，能夠抑制未認證的信號不利地影響車輛網絡系統的可能性。在根據本發明的第二方面的車輛網絡系統中，被提供在車輛上的多個控制單元被可通信地相互網絡連接。車輛網絡系統包括多個控制單元，該多個控制單元被提供在車輛上并且被可通信地相互網絡連接。該多個控制單元包括第一控制單元，在該第一控制單元中被設定有來自于形成一對的私密密鑰和公開密鑰當中的私密密鑰，并且私密密鑰和公開密鑰通過執行用于激活系統的初始化處理而被設定；和第二控制單元，在該第二控制單元中被設定有公開密鑰。第一控制單元被配置成經由網絡將通信信號傳送到其他控制單元，并且也傳送基于私密密鑰和原始認證數據創建的認證信號，其中基于通信信號生成原始認證數據，并且第二控制單元被配置成接收通信信號和認證信號，并且基于再生認證數據和解碼認證數據的比較來評估該通信信號的可靠性，其中基于所接收的通信信號來生成再生認證數據，基于認證信號和公開密鑰來解碼解碼認證數據。通過上述配置，因為當執行初始化處理時設定公開密鑰，所以傳送公開密鑰的第一控制單元被指定為在執行初始化處理時已經被包括在車輛網絡系統中的裝置。第二控制單元能夠通過從通信信號生成的再生認證數據與通過解碼第一控制單元的認證信號獲得的解碼認證數據相比較，來確定命令信號的傳送起源是第一控制單元并且通信信號沒有被篡改。例如，在網絡中流動的通信信號已經被篡改的情況下，與其相對應的認證數據不能被篡改。因此，能夠檢測到通信信號的篡改。結果，能夠檢測來自冒充第一控制裝置的裝置的假信號，并且能夠增加通信信號的可靠性。此外，因為來自于第一控制裝置的通信信號本身也被傳送到網絡，不評估通信信號的可靠性的其他控制裝置能夠被方便地用于從第一控制單元接收通信信號。因此，用于評估通信信號的可靠性的系統也能夠被應用于已經存在的車輛網絡系統。在上述第二方面中，第一控制單元被配置成通過利用私密密鑰對原始認證數據加密來生成該認證信號，其中通過將哈希函數應用于通信信號來計算原始認證數據，并且第二控制單元可以被配置成通過將該哈希函數應用于所接收的通信信號來計算再生認證數據，并且基于再生認證數據與通過對認證信號解碼獲得的解碼認證數據的比較來評估通信信號的可靠性。通過上述配置，通過使用哈希函數，能夠從通信信號計算適當大小(強度)的認證數據。結果，在設計車輛網絡系統時的柔韌性增加。在上述方面中，第一控制單元可以被配置成通過執行初始化處理來生成私密密鑰和公開密鑰，并且可以將私密密鑰設定到第一控制單元本身并將公開密鑰設定到第二控制單元。通過上述配置，因為第一控制單元當執行初始化處理時生成私密密鑰和公開密鑰，所以消除了事先泄露關于私密密鑰和公開密鑰的信息的可能性。在上述方面中，第一控制單元可以經由網絡將公開密鑰設定到第二控制單元。通過上述配置，公開密鑰能夠被精確地和有效地分發到構成車輛網絡系統的適當的控制單元。附圖說明下面將會參考附圖描述本發明的示例性實施例的特征、優點、以及技術和工業意義，其中相同的附圖標記表示相同的元件，并且其中：圖1是圖示根據本發明的第一實施例的車輛網絡系統的示意性配置的框圖；圖2是示意性地圖示車輛網絡系統的ECU如何生成認證關鍵字的示意圖；圖3A和圖3B圖示通過車輛網絡系統的ECU添加到傳送信號的經劃分的認證關鍵字，圖3A是示意性地圖示如何通過劃分認證關鍵字提取提取關鍵字的示意圖，并且圖3B是示意性地圖示具有被添加的提取關鍵字的傳送信號的數據格式的配置的示意圖；圖4A和圖4B是圖示被執行以評估車輛網絡系統中的通信信號的可靠性的處理的步驟的流程圖，圖4A是圖示系統初始化處理的步驟的流程圖，并且圖4B是圖示被執行以評估通信信號的可靠性的處理的步驟的流程圖；圖5是圖示車輛網絡系統的系統初始化處理的序列圖；圖6是圖示車輛網絡系統的連接管理處理的序列圖；圖7是圖示車輛網絡系統的數據認證處理的序列圖；圖8是圖示根據本發明的第二實施例的車輛網絡系統的示意性配置的框圖；圖9是示意性地圖示在車輛網絡系統中如何傳送和接收信號的示意圖；圖10是圖示在車輛網絡系統中傳送信號的處理的步驟的流程圖；圖11是圖示被執行以基于在車輛網絡系統中接收到的信號評估信號的可靠性的處理的步驟的流程圖；以及圖12A和圖12B示意性地圖示常規車輛網絡系統的配置，圖12A是圖示正常狀態下的信號的傳送和接收的示意圖，并且圖12B是圖示當未認證的訪問已經發生時的信號的傳送和接收的示意圖。具體實施方式(第一實施例)下面將會參考圖1至圖3A-3B解釋根據本發明的車輛網絡系統的第一實施例。如在圖1中所示，車輛10被提供有車輛網絡系統，該車輛網絡系統包括：第一至第四ECU20至23，其用作執行被安裝在車輛上的裝置的電子控制的單元；和網絡29，其將第一至第四ECU20至23網絡連接，使得ECU能夠相互通信。網絡29具有適合于將網絡安裝在車輛10上的規格。在本實施例中，作為常規網絡的、用于車輛的控制局域網(CAN)被用作網絡29。用于車輛的CAN具有例如每1秒(時間)500千比特的最大通信容量，并且作為其規格，能夠在一個數據幀(大約5至13個字節)中包括最多8字節(64比特)。此外，在本實施例中，被包括在被傳送到網絡29的數據幀(傳送信號)中的數據是所謂的車輛信息數據，諸如車輛速度、引擎溫度、或者由ECU執行的處理的結果。第一至第四ECU20至23被提供有經由網絡29相互通信的通信單元30。因為第一至第四ECU20至23的通信單元30具有相同的功能，所以下面將會僅詳細地解釋起第一控制單元作用的第一ECU20的通信單元30，并且為了方便解釋，將會省略起第二控制單元作用的第二至第四ECU21至23的通信單元30的解釋。第一ECU20的通信單元30接收用作包括從第二至第四ECU21至23傳送的車輛信息數據的通信信號的傳送信號，提取包含在已經接收到的傳送信號中的車輛信息數據，并且在第一ECU20中使能各種類型的處理。為此，通信單元30從由網絡29接收到的、由CAN協議的格式構成的傳送信號去除要被用于網絡通信處理的數據，諸如“CANID”，從而提取車輛信息數據，并且在車輛信息數據與“CANID”相關聯的狀態下將提取到的車輛信息數據存儲在第一ECU20的存儲裝置中。“CANID”事先以一對一的比率與一個車輛信息數據相關聯。因此，基于與其相關聯的“CANID”，第一ECU20能夠確定提取到的車輛信息數據的意義。相反地，當傳送車輛信息數據時，第一ECU20的通信單元30生成包括從第一ECU20傳送的車輛信息數據的傳送信號并且將生成的傳送信號傳送到網絡29。因此，第一ECU20的通信單元30將“CANID”等等添加到要傳送的車輛信息數據，生成具有CAN協議格式的傳送信號，并且將生成的傳送信號傳送到網絡29。結果，第一至第四ECU20至23經由網絡29相互交換各種類型的車輛信息數據。例如，第一至第四20至23是引擎ECU、剎車ECU、轉向ECU以及駕駛輔助(導航系統)ECU。第一至第四ECU20至23被配置在微型計算機周圍，該微型計算機被提供有計算裝置、存儲裝置、非易失性存儲器(ROM)、易失性存儲器(RAM)以及非易失性存儲裝置(閃存或者硬盤)。由微型計算機執行基于存儲在存儲裝置備或者內存裝置中的數據和程序的各種類型的信息處理。此外，本實施例的車輛網絡系統被提供有用于增加通信信號的可靠性的構造。因此，第一ECU20具有監視流動到網絡29的傳送信號和評估傳送信號的可靠性的功能，即認證主機功能。同時，第二至第四ECU21至23具有將用于認證的認證關鍵字等等添加到傳送信號和傳送具有被添加的認證關鍵字的傳送信號的功能，以便于使得用作認證主機的第一ECU20能夠認證來自于第二至第四ECU21至23的傳送信號。下面將會描述第二至第四ECU21至23的配置。第一ECU20被提供有密鑰生成單元31，該密鑰生成單元31生成形成一對的私密密鑰K1和公開密鑰K2；和私密密鑰保留單元32，該私密密鑰保留單元32保持由密鑰生成單元31生成的私密密鑰K1。第一ECU20也被提供有連接ECU管理單元33，每次車輛10啟動時，該連接ECU管理單元33登記和管理被連接到網絡29的ECU；和關鍵字認證單元34，該關鍵字認證單元34基于通過公開密鑰K2加密的認證關鍵字執行傳送信號的可靠性的評估(認證)處理。密鑰生成單元31形成在諸如RSA加密的、使能加密和數字簽名的公開密鑰加密系統中使用的一對私密密鑰K1和公開密鑰K2(密鑰對)，并且例如使用通過RSA加密系統指定的計算方法來生成要被用于RSA加密的密鑰對。因此，在密鑰對被用于加密的情況下，能夠利用公開密鑰K2加密純文本，并且加密的純文本能夠由私密密鑰K2解碼。此外，在密鑰對被用于數字簽名的情況下，由私密密鑰K1加密的純文本能夠由公開密鑰K2解碼。此外，在執行車輛網絡系統的初始化條件下執行通過密鑰生成單元31的密鑰對的生成。在密鑰生成單元31已經生成一對私密密鑰K1和公開密鑰K2作為密鑰對之后，將生成的公開密鑰K2傳送到網絡29一次，即，使公開密鑰K2公開一次。因此，在本實施例中，在已經執行車輛網絡系統的初始化的條件下，在車輛網絡系統中使公開密鑰K2僅公開一次，并且不像在因特網上使用的典型的公開密鑰一樣始終公開。用作密鑰生成單元31生成密鑰對的條件的車輛網絡系統的初始化是為了激活所配置的車輛網絡系統而關于車輛網絡系統執行的初始化處理。例如，僅當電池被連接到車輛以用于裝運時或者當由汽車經銷商執行伴隨有車輛網絡系統的重新配置的車輛準備時，有目的地執行車輛網絡系統的初始化。在其它情況下，例如，當通過點火密鑰等等啟動車輛以使用車輛時，或者當更換電池而與車輛網絡系統的重新配置沒有任何關系時，沒有執行車輛網絡系統的初始化并且因此，沒有執行通過密鑰生成單元31生成密鑰對。當生成了密鑰對并且僅在第一ECU20中可用地保持私密密鑰時，私密密鑰保留單元32從密鑰生成單元31接收在由密鑰生成單元31生成的一對密鑰當中的私密密鑰K1。每次在隨著利用點火密鑰等等啟動車輛10的操作之后啟動車輛網絡系統時，連接ECU管理單元33經由網絡29接收包括由ECU傳送的、關于各個ECU的識別信息的認證關鍵字43。然后連接ECU管理單元33確定基于從接收到的認證關鍵字43獲得的識別信息指定的ECU被連接到網絡29，將此ECU登記在連接列表331中，并且在車輛網絡系統的操作期間可用地管理在第一ECU20中的連接列表331。在本實施例中，認證關鍵字43由公開密鑰K2加密，但是由已經被保持在私密密鑰保留單元32中的私密密鑰K1解碼，從而使其能夠獲取被包括在其中的ECU識別信息。必要時，關鍵字認證單元34利用被保持在私密密鑰保留單元32中的私密密鑰K1對通過公開密鑰K2加密的認證關鍵字43解碼。此外，關鍵字認證單元34監視在網絡29中流動的傳送信號并且獲取已經被添加到傳送信號的認證關鍵字43。在本實施例中，認證關鍵字43的部分(提取關鍵字)被添加到傳送信號。因此，從傳送信號獲取認證關鍵字43的一部分，并且獲取的部分認證關鍵字43被順序地連接到具有相同的“CANID”的傳送信號，從而重新配置完整大小的重新配置的認證關鍵字341。此外，關鍵字認證單元34將完整大小的重新配置的認證關鍵字341與被保持在連接ECU管理單元33中的認證關鍵字43比較。關鍵字認證單元34可以在重新配置的認證關鍵字341和認證關鍵字43仍被加密的同時執行比較，或者可以在解碼之后執行比較。結果，驗證已經傳送了傳送信號的ECU是否是已經傳送了在連接列表331中管理的認證關鍵字43的ECU。因此，當重新配置的認證關鍵字341匹配認證關鍵字43時，已經傳送了傳送信號的ECU被驗證為是已經傳送了在連接列表331中管理的認證關鍵字43的ECU。同時，在重新配置的認證關鍵字341和認證關鍵字43不匹配的情況下，意味著由于未認證的訪問等等，不正確的傳送信號已經被添加到網絡29，并且確定不能確保傳送信號的可靠性。此外，當重新配置的認證關鍵字341和認證關鍵字43不匹配時，關鍵字認證單元34確定重新配置的認證關鍵字341未認證并且禁止利用具有被添加的重新配置的認證關鍵字341的“CANID”的傳送信號。例如，關鍵字認證單元34禁止在車輛網絡系統中使用已經被分配了禁止使用的“CANID”的ECU，或者向網絡29傳播(通知)指示傳送信號未認證的信息，從而從車輛網絡系統切斷作為禁止對象的ECU或者使系統忽略作為禁止對象的傳送信號。結果，具有作為禁止對象的“CANID”的傳送信號沒有流入網絡29中或者從而不被處理。此外，在關鍵字認證單元34將作為禁止對象的“CANID”傳送到網絡29的情況下，作為禁止對象的“CANID”被傳輸到第二至第四ECU21至23并且禁止在ECU中使用具有作為禁止對象的“CANID”的傳送信號。下面將會解釋與在第二至第四ECU21至23中的傳送信號的可靠性的評估有關的功能。因為第二至第四ECU21至23具有相同的功能，所以下面僅提供關于第二ECU21的解釋。為了方便解釋，當解釋第三和第四ECU22和23時，相同和相對應的功能被指派有相同的附圖標記并且在此省略其詳細解釋。第二ECU21被提供有：公開密鑰保留單元41，該公開密鑰保留單元41接收并保持從第一ECU20傳送的公開密鑰K2；和認證關鍵字生成和保留單元42，該認證關鍵字生成和保留單元42通過使用公開密鑰K2生成和保持認證關鍵字43。第二ECU21也被提供有：車輛信息數據44，該車輛信息數據44由車輛速度、引擎溫度、或者通過ECU獲得的處理結果構成；認證關鍵字添加單元45，該認證關鍵字添加單元45將認證關鍵字43的部分順序地添加到車輛信息數據44。當執行車輛網絡系統的初始化時，公開密鑰保留單元41獲取從第一ECU20傳送的公開密鑰K2，保留獲取的公開密鑰K2，并且使能其在第二ECU21中的使用。如在圖2中所示，認證關鍵字生成和保留單元42通過使用已經被保持在公開密鑰保留單元41中的公開密鑰K2，對例如作為能夠指定第二ECU21的本質信息的ECU名稱211或者序列號212中的至少一個的信息加密(214)，并且生成和保持認證關鍵字43。此外，每次隨著利用點火密鑰啟動車輛之后啟動車輛網絡系統時，認證關鍵字生成和保持單元42將已經被保持在其中的認證關鍵字43傳送到網絡29。從而第二ECU21將第二ECU21的認證關鍵字43登記在第一ECU20的連接ECU管理單元33的連接列表331中。車輛信息數據44表示在車輛速度、引擎溫度、或者通過ECU獲得的處理結果當中的車輛信息之一；一種類型的車輛信息數據44事先與一個“CANID”相關聯。結果，在車輛網絡系統中，通過參考“CANID”，假如不存在未認證的訪問，能夠正確地指定被包括在車輛信息數據44中的車輛信息的類型和已經傳送了該車輛信息數據44的ECU。認證關鍵字添加單元45將作為認證關鍵字43的一部分的提取關鍵字順序地添加到從第二ECU21傳送并且具有被指派的“CANID”的車輛信息數據44。更加具體地，如在圖3A中所示，認證關鍵字添加單元45在認證關鍵字43的隨機位置處設定“提取開始點”，并且通過從“提取開始點”以預定的比特數順序地提取關鍵字，來獲取提取關鍵字431至43n作為n條認證信息。在這樣的情況下，重復“提取關鍵字”的提取(獲取)，直到提取位置到達認證關鍵字43的末尾，并且這時提取位置返回到認證關鍵字43的開始，并且重復“提取關鍵字”的提取(獲取)，直到提取位置達到“提取開始點”。從而從認證關鍵字43中，n次(預定的數目)提取預定比特數的提取關鍵字431至43n。然后，如在圖3B中所示，認證關鍵字添加單元45將一個提取關鍵字431(至43n)順序添加到車輛信息數據44。通過這樣將一個提取關鍵字431(至43n)順序地添加到車輛信息數據44，通過與添加認證關鍵字43本身的情況相比較，能夠減少被傳送的數據的量。結果，車輛信息數據44和提取關鍵字431(至43n)被傳送到通信單元30，在通信單元30中向其添加CANID215和序號216，創建了由CAN協議的數據格式構成的傳送信號，并且所創建的傳送信號被傳送到網絡29。能夠隨機地設定上述“提取開始點”。例如，能夠相對于公開密鑰K2的比特行通過排他OR(XOR)來順序地計算相鄰的比特，并且在計算結果的比特數變成等于預定的所期待的比特數的時間點處獲得計算結果。然后“提取開始點”被設定到通過從認證關鍵字43的報頭比特位移到以上述方式已經獲得的計算結果值獲得的位置。下面將會參考圖4A-4B至圖7解釋以上述方式配置的車輛網絡系統的操作。如在圖4A中所示，在已經構造了車輛網絡系統之后，執行系統初始化處理以激活系統(圖4A中的步驟S10)。在系統初始化處理中，如在圖5中所示，作為認證主機ECU的第一ECU20生成一對私密密鑰K1和公開密鑰K2(圖5中的步驟S11)。第一ECU20將生成的私密密鑰K1保持在其私密密鑰保持單元32中，并且經由網絡29將公開密鑰K2分發到第二至第四ECU21至23(圖5中的步驟S12)。已經設定了公開密鑰K2的第二至第四ECU21至23在設定公開密鑰K2的時刻處基于設定的公開密鑰K2創建各自的認證關鍵字43并且保持所創建的認證關鍵字(圖5中的步驟S13)。當上述處理被完成時，系統初始化處理的執行結束。在執行車輛網絡系統的初始化之后以通常的方式啟動車輛網絡系統的情況下，如在圖4B中所示，車輛網絡系統執行連接管理處理(圖4B中的步驟S20)并且然后執行數據認證處理(圖4B中的步驟S30)。在連接管理處理中，如在圖6中所示，隨著車輛網絡系統啟動之后，通過第一至第四ECU21至23保持的認證關鍵字43被傳送到網絡29(圖6中的步驟S21)。第一ECU20接收第二至第四ECU21至23的認證關鍵字43，利用私密密鑰K1解碼接收到的認證關鍵字，指定作為傳送源的ECU(圖6中的步驟S22)并且也將認證關鍵字43與被指定的ECU相關聯并且將其登記在連接列表331中(圖6中的步驟S23)。結果，由此在執行車輛網絡系統的初始化期間不能夠獲取公開密鑰K2的ECU，例如，在已經執行車輛網絡系統的初始化之后連接的ECU，將不會被登記在連接列表331中，從而使得能夠區別還沒有被認證連接到網絡29的ECU。在數據認證處理中，如在圖7中所示，第二至第四ECU21至23傳送具有被添加的提取關鍵字431(至43n)的傳送信號(圖7中的步驟S31)。第一ECU20監視具有被添加的提取關鍵字的傳送信號，并且將通過對于各個“CANID”順序獲取和重新配置提取關鍵字431(至43n)而獲得的重新配置的認證關鍵字341與已經被保持在連接列表331中的認證關鍵字43比較，從而驗證傳送信號的可靠性(圖7中的步驟S32)。因此，當重新配置的認證關鍵字341和認證關鍵字43匹配(圖7中的步驟S33中為是)時，第一ECU20確定重新認證關鍵字341是合適的并且繼續監視傳送信號(圖7中的步驟S34)。同時，當重新配置的認證關鍵字341和認證關鍵字43不匹配(在圖7中的步驟S33中為否)時，第一ECU20確定重新配置的認證關鍵字341未認證并且從車輛網絡系統切斷具有被添加有的重新配置的認證關鍵字341的“CANID”的ECU(在圖7中的步驟S35).第一ECU20也禁止在第二至第四ECU21至23中使用具有作為禁止對象的“CANID”的傳送信號(圖7中的步驟S36)。結果，在本實施例的車輛網絡系統中，第一ECU20監視被傳送到網絡29的傳送信號是否包括已經將“CANID”添加到不合適的數據的傳送信號，該“CANID”由第二至第四ECU21至23添加到該傳送信號。當假的傳送信號被包括在傳送信號中時，第一ECU20確定假信號并且禁止在網絡29中使用假傳送信號。如在上面所提及的，利用本實施例的車輛網絡系統能夠獲得下述效果。(1)因為當執行車輛網絡系統的初始化處理時在第二至第四ECU21至23中設定公開密鑰K2，將傳送信號與提取關鍵字431至43n一起傳送的第二至第四ECU21至23被指定為當執行初始化處理時已經被包括在車輛網絡系統中的單元。結果，在向其添加提取關鍵字431至43n時傳送的傳送信號被指定為從在執行初始化處理時已經被包括在車輛網絡系統中的第二至第四ECU21至23傳送的傳送信號。結果，能夠增加傳送信號的可靠性。(2)此外，在存儲了已經創建的提取關鍵字431至43n(認證關鍵字43)的情況下，沒有必要再次創建提取關鍵字431至43n。因此，在傳送信號的后續傳送期間，不存在創建提取關鍵字431至43n所需的負載增加并且能夠將第二至第四ECU21至23的處理性能維持在常規水平處。(3)此外，因為通過公開密鑰K2已經加密的提取關鍵字431至43n的內容還沒有被篡改，所以具有被添加的提取關鍵字的傳送信號的可靠性也增加。(4)因為在劃分時傳送提取關鍵字431至43n(認證關鍵字43)，所以通過與將所有的提取關鍵字431至43n添加到要被傳送的各個傳送信號的情況相比較，能夠減少被認為是需要確保可靠性的通信數據的量。特別地，通過被設計有最小的必要容量和功能的車輛網絡系統，傳送信號的可靠性能夠增加，同時抑制與用于增加傳送信號的可靠性的功能增強相關聯的成本增加。(5)因為第一ECU20在執行初始化處理期間生成私密密鑰K1和公開密鑰K2，所以私密密鑰K1和公開密鑰K2不能被事先泄露。(6)因為在初始化處理期間分發公開密鑰K2，所以公開密鑰K2能夠被精確地和有效地分發到構成車輛網絡系統的適當的第二至第四ECU21至23。(7)因為當設定公開密鑰K2時創建提取關鍵字431至43n(認證關鍵字43)，所以當傳送傳送信號時沒有產生用于創建提取關鍵字431至43n(認證關鍵字43)的處理負載，并且能夠抑制在第二至第四ECU21至23中的處理負載增加。(8)每次車輛網絡系統被啟動時，第一ECU20通過在傳送信號的傳送之前傳送的認證關鍵字43來認證第二至第四ECU21至23，該第二至第四ECU21至23傳送需要評估可靠性的傳送信號，從而使得能夠執行傳送信號的可靠性評估，其不受例如系統配置中的變化影響。此外，在這樣的情況下，不要求將傳送需要評估可靠性的傳送信號的第二至第四ECU21至23事先登記在第一ECU20中。因此，系統的柔韌性也增加。(9)當冒充是第二至第四ECU21至23的裝置被連接到車輛網絡系統并且未認證的信號(假信號)被傳送到車輛網絡系統時，因為未認證的信號被禁止使用，所以防止未認證的信號影響車輛網絡系統。結果，能夠防止未認證的信號在車輛網絡系統中引起不便。(第二實施例)下面將會參考圖8和圖9描述根據本發明的車輛網絡系統的第二實施例。本實施例與上述第一實施例之間的主要不同在于，根據需要，與傳送信號分開地傳送使能傳送信號的可靠性評估的認證信號。因此，下面將會主要地描述在本實施例與上述第一實施例之間的不同，為了便于解釋，相同的構件將會被指派有相同的附圖標記并且其解釋將會被省略。第一ECU20的通信單元30與上述第一實施例的通信單元30相類似，但是在本實施例中，如在圖9中所示，“XX”被設定為用于添加到用作通信信號的傳送信號TD10的“CANID”的值，并且“YY”也被設定為用于添加到加密信號TS10的“CANID”的值。此值“YY”是與值“XX”相關聯的標識符，并且在車輛網絡系統中，加密信號TS10被事先定義為所謂的認證信號，該認證信號是用于評估具有值“XX”的傳送信號TD10的可靠性，在加密信號TS10中，值“YY”被設定在“CANID”中。如在圖8中所示，在用作第一控制單元的第一ECU20中提供：密鑰生成單元31，其生成形成一對的私密密鑰K1和公開密鑰K2；和私密密鑰保持單元32，其保持由密鑰生成單元31生成的私密密鑰K2。此外，第一ECU20也被提供有車輛信息數據35，該車輛信息數據35由車輛速度、引擎溫度、或者利用ECU獲得的處理結果構成；認證數據生成單元36，該認證數據生成單元36生成用于認證車輛信息數據35的傳送源的認證數據；以及加密數據創建單元37，該加密數據創建單元37從認證數據創建用作認證信號的加密數據。以與上述第一實施例相同的方式，密鑰生成單元31形成在諸如RSA加密的、使能加密和數字簽名的公開密鑰加密系統中使用的一對私密密鑰K1和公開密鑰K2(密鑰對)，并且例如使用通過RSA加密系統指定的計算方法以生成要被用于RSA加密的密鑰對。因此，在密鑰對被用于加密的情況下，能夠利用公開密鑰K2加密純文本，并且加密的純文本能夠由私密密鑰K2解碼。此外，在密鑰對被用于數字簽名的情況下，由私密密鑰K1加密的純文本能夠由公開密鑰K2解碼。車輛信息數據35表示來自于車輛速度、引擎溫度、或者利用ECU獲得的處理結果當中的任何類型的車輛信息，并且一個“CANID”事先與一種類型的車輛信息數據35相關聯。結果，在車輛網絡系統中，通過參考“CANID”，假如不存在未認證的訪問，能夠正確地指定被包括在車輛信息數據35中的車輛信息的類型和已經傳送了車輛信息數據35的ECU(例如，第一ECU20)。認證數據創建單元36將通過使用預定的哈希函數獲得的車輛信息數據35的哈希值作為用于認證車輛信息數據35的傳送源是第一ECU20的認證數據。哈希函數從車輛信息數據35生成事先已經確定的偽隨機數字(哈希數字、消息摘要)。理論上，非常難以生成具有相同的哈希值的數據(例如，不合適的車輛信息數據)。因此，例如，能夠確保通過哈希函數創建的認證數據是從車輛信息數據35創建的。加密數據生成單元37基于被保持在私密密鑰保留單元32中的私密密鑰K1從認證數據生成加密數據。因為僅通過公開密鑰K2解碼加密數據，在能夠通過公開密鑰K2解碼加密數據的情況下，能夠確保通過第一ECU20已經生成了這些公共數據。下面將會解釋與被設置在用作第二控制單元的第二ECU21中的、與評估傳送信號TD10的可靠性的功能有關的配置。第三和第四ECU22和23不同于第二控制單元之處在于，它們未被提供有評估傳送信號的可靠性的功能，但是其它功能與第二ECU21類似并且因此在此省略其解釋。第二ECU21被提供有公開密鑰保留單元41，該公開密鑰保留單元41接收并保持從第一ECU20傳送的公開密鑰K2。第二ECU21也被提供有：接收數據保留單元50，該接收數據保留單元50保持被包括在由第一ECU20傳送的傳送信號TD10中的車輛信息數據35；和認證數據再生單元51，該認證數據再生單元51基于被保持在接收數據保留單元50中的車輛信息數據35再生認證數據。第二ECU21被進一步提供有：加密數據保留單元52，該加密數據保留單元52保留被包括在通過第一ECU傳送的加密信號TS10中的加密數據；和信號可靠性評估單元53，該信號可靠性評估單元53基于由認證數據再生單元51再生的認證數據和從加密數據解碼的認證數據評估傳送信號TD10的可靠性。接收數據保留單元50獲取并保留已經由已經接收到由第一ECU20傳送的傳送信號TD10的通信單元30從傳送信號TD10取出的車輛信息數據35。認證數據再生單元51具有與第一ECU20生成認證數據所使用的哈希函數相同的哈希函數，并且通過使用該哈希函數生成被保持在接收數據保留單元50中的車輛信息數據35的哈希值(消息摘要)。因此，接收數據保留單元50生成再生認證數據，該再生認證數據是基于車輛信息數據35和第一ECU20生成認證數據所使用的哈希函數再生的認證數據。通常，如果不存在未認證的訪問，則接收數據保留單元50生成與由第一ECU20生成的認證數據相同的再生認證數據。加密數據保留單元52獲取并保留加密數據，該加密數據由已經接收到由第一ECU20傳送的加密信號TS10的通信單元30通過從加密信號TS10去除被認為是對于通信必要的“CANID”來取出。因此，保持了基于由第一ECU20生成的認證數據生成的加密數據。通過基于保持在公開密鑰保留單元41中的公開密鑰K2將保持在加密數據保留單元52中的加密數據解碼，可靠性評估單元53獲取解碼認證數據，該解碼認證數據是由第一ECU20生成的認證數據。因為由公開密鑰K2解碼的加密數據僅是已經由第一ECU20的私密密鑰K1加密的加密數據，所以確保能夠由公開密鑰K2適當地解碼的加密數據是使用私密密鑰K1加密的數據，即，由第一ECU20加密的數據。然后可靠性評估單元53基于通過將加密數據解碼獲得的解碼認證數據與認證數據再生單元51的再生認證數據的比較評估傳送信號TD10的可靠性。結果，在解碼認證數據和再生認證數據匹配的情況下，確保解碼認證數據是由第一ECU20傳送的。因此，也確保用于再生再生認證數據的車輛信息數據35是從第一ECU20傳送的。此外，因為用作認證數據的哈希值匹配，所以也確保由第一ECU20作為傳送信號TD10傳送的純文本數據(車輛信息數據35)沒有在途中被篡改為不同的數據。下面將會參考圖10和圖11解釋上述配置的車輛網絡系統的操作。如在圖9中所示，第一ECU20在車輛網絡系統被初始化時在密鑰生成單元31中生成一對私密密鑰K1和公開密鑰K2，并且將生成的私密密鑰K1保持在私密密鑰保留單元32中。同時，第一ECU20將生成的公開密鑰K2傳送到網絡29并且將公開密鑰設定到第二ECU21。在本實施例中，第三和第四ECU22和23不要求從第一ECU20傳送的傳送信號的可靠性評估。因此，沒有設定由第一ECU20生成的公開密鑰K2。在這樣的初始化處理已經結束之后，啟動車輛網絡系統并且將要求可靠性評估的傳送信號TD10從第一ECU20傳送到第二ECU21。傳送信號TD10是由普通的CAN協議格式構造的信號并且具有CANID的值“XX”和純文本數據(車輛信息數據35)的值“123…”。在傳送信號TD10被傳送到網絡29的情況下，被連接到相同網絡29的第二至第四ECU21至23接收由CANID的值“XX”和純文本數據的值“123…”構成的接收信號RD11至RD13。然而，在本實施例中，第一ECU20在傳送傳送信號TD10之前，將用于傳送信號TD10的可靠性評估的加密信號TS10傳送到網絡29。因此，如在圖10中所示，第一ECU20生成是純文本數據的車輛信息數據35的哈希值(消息摘要)作為認證數據(圖10中的步驟S40)，并且生成加密信號TS10(圖10中的步驟S41)，該加密信號TS10包括通過利用私密密鑰K1對所生成的認證數據加密獲得的加密數據。例如，通過對從純文本數據“123…”生成的認證數據加密獲得作為認證數據的“608…”。然后，創建加密信號TS10，其以具有CANID值“YY”和加密數據值“608…”的CAN協議格式構造。在創建加密信號TS10的情況下，第一ECU20傳送所創建的加密信號TS10(圖10中的步驟S42)，并且也傳送是與加密信號TS10相對應的普通信號的傳送信號TD10(圖10中的步驟S43)。結果，結束由第一ECU20執行的傳送信號TD10的傳送和用于評估傳送信號的可靠性的加密信號TS10的傳送。同時，第二ECU21接收傳送信號TD10和加密信號TS10并且也基于接收到的傳送信號TD10和加密信號TS10評估傳送信號TD10的可靠性。因此，如在圖11中所示，第二ECU21接收加密信號TS10(圖11中的步驟S50)。通過接收加密信號TS10，第二ECU21能夠預測具有與加密信號TS10的CANID值“YY”相對應的CANID值“XX”的傳送信號TD10的傳送。當接收到加密信號TS10時，第二ECU21對加密信號TS10解碼并且獲得解碼認證數據(圖11中的步驟S51)。此外，第二ECU21從與加密信號TS10相對應的傳送信號TD10獲得純文本數據(車輛信息數據35)(圖11中的步驟S52)并且也生成純文本數據(車輛信息數據35)的哈希值(消息摘要)作為再生認證數據(圖11中的步驟S53)。在獲得解碼認證數據(消息摘要)和再生認證數據(消息摘要)的情況下，第二ECU21將這些解碼認證數據與再生認證數據相比較(圖11中的步驟S54)。當比較結果指示解碼認證數據與再生認證數據匹配時(圖11中的步驟S55中為是)時，傳送信號TD10被確定為是合適的(在圖11中步驟S56)。同時，當比較結果指示解碼認證數據和再生認證數據不匹配(圖11中的步驟S55中為否)時，傳送信號TD10被確定為是未認證的(圖11中的步驟S57)。結果，評估了傳送信號TD10的可靠性。從而完成由第一ECU20傳送的傳送信號TD10的可靠性評估。如上所提及的，利用本實施例的車輛網絡系統能夠獲得下述效果。(10)因為當執行初始化處理時設定公開密鑰K2，所以傳送公開密鑰K2的第一控制單元被指定為當執行初始化處理時已經被包括在車輛網絡系統中的單元。此外，通過將從傳送信號TD10生成的再生認證數據與通過將第一ECU20的加密數據從加密信號TS10解碼獲得的解碼認證數據相比較，第二ECU21能夠確定傳送信號TD10的傳送源是第一ECU20，并且沒有向傳送信號TD10添加篡改。例如，即使在網絡29中流動的傳送信號TD10已經被篡改，因為與其相對應的加密信號TS10的認證數據(加密數據)不能夠被篡改，能夠檢測到傳送信號TD10的篡改。結果，能夠檢測到從冒充第一ECU20的裝置傳送的假信號并且能夠增加通信信號的可靠性。(11)此外，傳送信號TD10本身也被從第一ECU20傳送到網絡。因此，沒有評估傳送信號TD10的可靠性的第三和第四ECU22和23能夠以常規方式從第一ECU20接收和使用傳送信號TD10。因此，評估傳送信號TD10的可靠性的系統能夠被容易地應用于現在存在的車輛網絡系統。(12)哈希函數使其能夠從傳送信號TD10，特別地從車輛信息數據35，計算適當大小(強度)的認證數據。結果，設計車輛網絡系統時的柔韌性增加。(13)因為第一ECU20在執行初始化處理時生成私密密鑰K1和公開密鑰K2，因此防止事先泄露私密密鑰K1和公開密鑰K2。(14)因為在初始化處理期間分發公開密鑰K2，所以公開密鑰K2能夠被精確地和有效地分發到構成車輛網絡系統的適當的第二ECU21。(其它實施例)也能夠以下述模式實現上述實施例。在上述實施例中，通過示例解釋了網絡29是CAN的情況。然而，這樣的配置不是限制，并且也能夠使用適合于用作用于車輛的網絡的常規網絡，諸如以太網TM和FlexRayTM。此外，網絡能夠使用無線通信、有線通信、或者其混合。結果車輛網絡系統的應用范圍擴大并且設計系統中的柔韌性增加。在第一實施例中，解釋了在設定公開密鑰K2的時刻處生成認證關鍵字43的情況，但是這樣的配置不是限制，并且在任何時刻處可以生成認證關鍵字，假如在ECU中存在剩余的處理容量，則保持公開密鑰，并且生成時刻是在添加到通信信號之前。在上述實施例中，解釋了使公開密鑰K2僅公開一次的情況，但是這樣的配置不是限制，并且可以使公開密鑰公開多次，只要能夠不獲取在沒有認證的情況下已經添加的裝置。在第一實施例中，解釋了公開密鑰K2被保持在公開密鑰保留單元41中的情況，但是這樣的配置不是限制，并且因為在已經生成認證關鍵字之后沒有使用公開密鑰，所以在已經生成認證關鍵字之后可以刪除公開密鑰。因為由此從第二ECU等等刪除公開密鑰，所以防止在公開密鑰分發之后泄露公開密鑰，并且通信信號的可靠性能夠進一步增加。在第一實施例中，解釋了在傳送信號中將提取關鍵字431(至43n)添加到車輛信息數據44后面的情況，但是這樣的配置不是限制，并且提取關鍵字可以被添加在數據前面或者在其他位置處，只要能夠維持在網絡中使能通信的格式。結果，在將提取關鍵字添加到傳送信號時的柔韌性增加，并且用于評估傳送信號的可靠性的應用范圍擴大。在第一實施例中，解釋了第一ECU20評估連接到網絡的所有其它的ECU(第二至第四ECU21至23)的傳送信號的可靠性的情況。然而，這樣的配置不是限制，并且第一ECU可以僅評估連接到網絡的其它ECU中的一些(一個或者多個)的通信信號的可靠性。在這樣的情況下，設計車輛網絡系統時的柔韌性增加。例如，沒有必要將提取關鍵字添加到除了可靠性評估對象之外的傳送信號。在第二實施例中，解釋了僅通過一個ECU(第二ECU21)評估從第一ECU20傳送的傳送信號的可靠性的情況。然而，這樣的配置不是限制，并且可以通過多個ECU(第二至第四ECU等等)評估從第一ECU傳送的傳送信號的可靠性。結果，在設計車輛網絡系統時的柔韌性增加。在第二實施例中，解釋了在傳送傳送信號TD10之前由作為傳送ECU的第一ECU20傳送加密信號TS10，以及由作為接收ECU的第二ECU21在傳送信號TD10之前接收加密信號TS10的情況。然而，這樣的配置不是限制，并且傳送ECU可以在傳送傳送信號之后傳送加密信號并且接收ECU可以在傳送信號之后接收加密信號。結果，設計車輛網絡系統時的柔韌性增加。在第一實施例中，解釋了將RSA加密用作公開密鑰加密系統的情況，但是這樣的配置不是限制，并且能夠使用其它常規的公開密鑰加密系統，只要滿足使得由公開密鑰加密的純文本能夠通過私密密鑰被解碼的關系。結果，在設計車輛網絡系統時的柔韌性和其應用擴大。在第二實施例中，解釋了將RSA加密用作公開密鑰加密系統的情況，但是這樣的配置不是限制，并且能夠使用其它常規的公開密鑰加密方法，只要滿足使得由公開密鑰加密的純文本能夠通過私密密鑰被解碼的關系，即，只要該系統能夠被用于數字簽名。結果，在設計車輛網絡系統時的柔韌性和其應用擴大。在第一實施例中，解釋了認證主機僅是第一ECU20的情況，但是這樣的配置不是限制，并且可以提供多個認證主機。結果，能夠將車輛網絡系統的安全維持在較高水平。在第一實施例中，解釋了第一ECU20連續地評估傳送信號的可靠性的情況，但是這樣的配置不是限制，并且可以適當地執行傳送信號的評估和可靠性。例如，可以在網絡中流動的傳送信號的頻率異常地改變時評估傳送信號的可靠性。結果，能夠適當地評估傳送信號。在第二實施例中，解釋了將“CANID”值“YY”與對應于傳送信號TD10的加密信號TS10相關聯的情況，但是這樣的配置不是限制，并且也可以根據預定的規則改變在與傳送信號相對應的加密信號中使用的“CANID”值。結果，“CANID”的欺騙性使用和使用“CANID”的欺騙能夠變得更加困難。在第二實施例中，解釋了通過使用哈希函數生成認證數據的情況，但是這樣的配置不是限制，并且可以根據預定的計算規則生成認證數據。結果，在設計車輛網絡系統時的柔韌性增加。在上述實施例中，解釋了通過第一ECU20生成密鑰對的情況，但是這樣的配置不是限制，并且也可以使用事先生成的密鑰對。在使用事先生成的密鑰對的情況下，其可以被事先分發給各個ECU。結果，在設計車輛網絡系統時的柔韌性增加。