WO2017002611A1

WO2017002611A1 - 車両データ書換制御装置および車両データ書換認証システム

Info

Publication number: WO2017002611A1
Application number: PCT/JP2016/067714
Authority: WO
Inventors: 中村　正明; 中西　一弘
Original assignee: 日立オートモティブシステムズ株式会社
Priority date: 2015-06-30
Filing date: 2016-06-15
Publication date: 2017-01-05
Also published as: EP3318448B1; CN107835760B; EP3318448A4; US20180300472A1; JPWO2017002611A1; CN107835760A; JP6423096B2; EP3318448A1; US10621331B2

Abstract

パスワードの漏えいや接続機器のなりすましにより不正にデータが書換えられることを防止する車両データ書換制御装置及びデータ書換認証システムを提供すること。　更新するデータと予め記憶された車両番号とに基づいて生成された認証情報を出力する。また、予め記憶された更新するデータとデータを更新する車両の車両番号とを有し、データと車両番号から第１の認証情報を生成する情報処理装置と、情報処理装置から受信されたデータと車両番号に基づいて第２の認証情報を生成し、出力する車両データ書換制御装置を有する車両と、車両から受信された前記第２の認証情報に基づいて、データの更新許可の場合、第２の認証情報を前記情報処理装置へ出力する車両の使用者の通信端末と、を有し、情報処理装置は、第１の認証情報と前記通信端末から受信された第２の認証情報とを照合し、前記データの更新許可の判断を行う。

Description

車両データ書換制御装置および車両データ書換認証システム

　本発明は、データの書換制御装置およびデータ書換認証システムに係り、特に、車両データの書換制御装置および車両データ書換認証システムに関する。

　近年、自動車の運転支援機能等の増加に伴い車両に搭載されるＥＣＵ（Engine Control Unit）内のデータ更新頻度の増加が見込まれる。一方、車載セキュリティが問題となっており、セキュリティレベルを上げた遠隔でのＥＣＵ内のデータ更新が望まれている。そのＥＣＵデータ更新方法の一つとして、無線回線経由でダウンロードしＥＣＵへインストールする方法がある。　従来の無線データ更新ではユーザが取得しているパスワードを入力装置にて対象車両に入力し、そのパスワードを車両からサーバへ送信し、サーバ側で認証した上で、データ更新許可を行っている。

特開２００５－２３３９３０号公報

　特許文献１に開示されるデータ更新方法では、配信される更新データをＥＣＵが受信し、ユーザが取得しているパスワードを入力装置にて対象車両に入力し、そのパスワードを車両からサーバへ送信する。送信されたパスワードをサーバ側で認証した上で、データ更新許可を行い、ＥＣＵはデータ更新を行っている。または、サーバから配信される更新データと同じ回線を利用して認証キー発行要求と認証キーの発行を行っている。

　この場合、入力されたパスワードが複数の回線上で使用されており、パスワードが漏洩する可能性が高く、漏洩すると不正にデータ更新される可能性がある。また、更新データ、認証キー発行要求、認証キーが同じ回線を使用しているため、なりすましにより不正な更新データが配信された場合、不正であることが検知できない問題がある。

　本発明の目的は、パスワードの漏えいや接続機器のなりすましにより不正にデータが書換えられることを防止する車両データ書換制御装置及びデータ書換認証システムを提供することにある。

　上記課題を解決するために本発明の車両データ書換制御装置は、車両内の制御装置へのデータ更新を行う車両データ書換制御装置において、更新するデータと予め記憶された車両番号とに基づいて生成された認証情報を出力する。

　また、本発明の車両データ書換認証システムは、予め記憶された更新するデータと前記データを更新する車両の車両番号とを有し、前記データと前記車両番号から第１の認証情報を生成する情報処理装置と、前記情報処理装置から受信されたデータと車両番号に基づいて第２の認証情報を生成し、出力する車両データ書換制御装置を有する車両と、前記車両から受信された前記第２の認証情報に基づいて、前記データの更新許可の場合、前記第２の認証情報を前記情報処理装置へ出力する車両の使用者の通信端末と、を有し、前記情報処理装置は、前記第１の認証情報と前記通信端末から受信された前記第２の認証情報とを照合し、前記データの更新許可の判断を行う。

　本発明によれば、パスワードの漏えいや接続機器のなりすましにより不正にデータが書換えられることを防止する車両データ書換制御装置及びデータ書換認証システムを提供することが可能となる。

本発明の一実施形態による車両データ書換制御装置及びデータ書換認証システムの概略構成図車両データ書換制御装置及びデータ書換認証システムのシーケンス図車両データ書換制御装置内の更新データを記録フローチャート車両データ書換制御装置内の認証ＩＤ作成フローチャート車両データ書換制御装置内のユーザ通信端末接続フローチャート車両データ書換制御装置内のデータ更新フローチャートデータ書換認証システムのサーバ側の認証ＩＤ作成フローチャートユーザ通信端末の表示画面の例ユーザ通信端末のデータ更新不整合エラー表示画面の例本発明の実施例２のシステムの概略構成図実施例２の車両データ書換制御装置内の認証ＩＤ作成フローチャート実施例２のデータ書換認証システムのサーバ側の認証ＩＤ作成フローチャート実施例２の有効期限切れエラー表示画面の例本発明の実施例３のシステムの概略構成実施例３の車両データ書換制御装置内の認証ＩＤ作成フローチャート実施例３のデータ書換認証システムのサーバ側の認証ＩＤ作成フローチャート実施例３のデータ更新可能エリア外エラー表示画面の例

　以下、発明を実施するための形態について図面を用いて詳細に説明する。

　本発明一実施例である車両データ書換えに使用する車両データ書換制御装置とデータ書換認証システムについて概略構成を図１のブロック図を用いて説明する。データ書換認証システムは、車両内にて認証情報である認証ＩＤを作成し、作成した認証IDを確認し、その後、データ書換を実施する車両データ書換制御装置１と、ユーザがデータ書換許可を行うユーザ通信端末２０、更新データの配信とデータ更新許可を判断する認証ＩＤを車両に通知するサーバ３０で構成される。

　具体的に車両データ書換制御装置１は、認証情報である認証ＩＤを作成する認証ＩＤ管理部（認証情報作成部）２、認証ＩＤをユーザへ通知する認証ＩＤ通知部（認証情報通知部）３、更新データを格納する更新データ蓄積部４、更新データや認証ＩＤを受信するための通信を行う通信制御部５、ＥＣＵ９に対してデータ書換えを実施するデータ書換実行部６から構成される。

　サーバ３０は、更新データを管理する更新データＤＢ３３と、ユーザ情報を管理するユーザ登録ＤＢ３５と更新データを配信する更新データ配信部３１、ユーザ通信端末２０からのユーザ情報と認証ＩＤにてデータ更新の認証を行う認証部３２から構成される。

　車両データ書換制御装置１を使用したデータ更新とデータ書換認証システムのシーケンスを図２に示す。

　データ更新のサービスを受けるユーザは、ユーザ通信端末２０をサーバ３０にユーザ登録する。サーバ３０は、ユーザ車両の車両データ書換制御装置１にユーザ通信端末情報を登録する。サーバ３０は、更新データを車両に配信し、更新データを受信した車両データ書換制御装置１は、更新データの蓄積を行う。（Ｓ０１）
　認証ＩＤ作成のトリガであるイグニッション・アクセサリスイッチ１０を状態ＯＮされたとき、車両データ書換制御装置１は、更新データと車両番号により認証ＩＤを作成する。（Ｓ０２）
　車両データ書換制御装置１は、ユーザ登録したユーザ通信端末２０との接続確認を行う。（Ｓ０３）
　車両データ書換制御装置１は、接続確認できたユーザ通信端末２０に認証ＩＤを通知する。（Ｓ０４）
　ユーザ通信端末２０は、通知された認証ＩＤとメッセージ内容の表示を行う。（Ｓ２１）
　ユーザ通信端末２０は、ユーザによる操作でデータ更新のユーザ承認を行い、サーバ３０にユーザ情報と認証ＩＤを通知する。（Ｓ２２）
　サーバ３０は、ユーザ通信端末２０からのユーザ情報と認証ＩＤの内容を確認し、データ更新の許可を通知する認証ＩＤを作成する。認証ＩＤを対象車両の車両データ書換制御装置１に通知する。（Ｓ１１）
　サーバ３０から通知された認証ＩＤの内容を確認し、データ更新を実施する。実施したデータ更新完了の結果をサーバ３０へ通知する。（Ｓ０５）
サーバ３０は、データ更新完了の結果を記録し、データ更新が完了したことをユーザ通信端末２０へ通知する。（Ｓ１２）
　ユーザ通信端末２０は、ユーザへデータ更新完了を表示する。（Ｓ２３）
　次に、ユーザ登録から車両データ書換制御装置１にユーザ通信端末情報を登録するまでの内容を説明する。

　ＥＣＵ９のデータ更新する場合、ユーザはインターネット等の通信回線網１００を介して、または、車両ディーラなどでスマートフォンなどのメールアドレスや、アプリケーションのＩＤなどのユーザ通信端末情報とユーザが所有する車両番号８をサーバ３０へ登録する。登録したユーザ情報は、ユーザ登録ＤＢ３５で管理される。また、登録されたユーザ情報をもとにサーバ３０から、登録されている車両番号の車両データ書換制御装置１へスマートフォンなどのユーザ通信端末を示すユーザ通信端末情報がインターネット等の通信回線網１００を介して、通知される。車両データ書換制御装置１の認証ＩＤ管理部２は、ユーザ通信端末情報を保存する。ユーザ通信端末情報は、ユーザ通信端末２０にＷｉＦｉ接続、Ｂｌｕｅｔｏｏｔｈ（登録商標）等の無線通信１０１で接続するための情報である。
サーバ３０から配信される更新データを車両データ書換制御装置１に記録するまでの内容を説明する。（Ｓ０１）
　サーバ３０は、更新データＤＢ３３から更新データをインターネット等の通信回線網１００、または、公衆回線やＦＭ、地上波などの放送波のデータ情報を介して、車両データ書換制御装置１に配信する。配信された更新データは、車両データ書換制御装置１の通信制御部５を使用して、更新データ蓄積部４にダウンロードＳ０１１する。ダウンロードした更新データは、ＣＲＣ確認やＳＵＭ確認などの正常性を確認Ｓ０１２する。また、更新データが車内のＥＣＵ９に対しての書換えデータであるかをＥＣＵ９のメーカ番号、ハードウェアバージョンなどで特定Ｓ０１３を行う。更新データが車内のＥＣＵ９データである場合、対象ＥＣＵ９のソフトウェアバージョンを確認し、更新対象であるかを確認Ｓ０１４する。更新データ正常性確認Ｓ０１２がＯＫの場合、且つ、Ｓ０１３，Ｓ０１４の結果が、対象の更新データである場合、更新データを更新データ蓄積部４に記録する。また、更新データ正常性確認Ｓ０１２がＮＧの場合、または、Ｓ０１３，Ｓ０１４の結果が、非対象の更新データである場合、更新データを破棄する。

　認証ＩＤ作成のトリガ検出から車両データ書換制御装置１の認証ＩＤ作成までの内容を説明する。（Ｓ０２）
車両データ書換制御装置１の認証ＩＤ管理部２は、イグニッション・アクセサリスイッチ１０の状態ＯＮを確認Ｓ０２１し、更新データ蓄積部４の更新データ有無を確認Ｓ０２２する。更新データがない場合、データ蓄積（図２Ｓ０１）に戻る。また、車両番号８を読み取りＳ０２３、車両番号と更新データにて、認証ＩＤを作成Ｓ０２４する。

　ユーザ通信端末２０への接続確認からユーザ通信端末２０へ認証ＩＤの通知までの内容を説明する。（Ｓ０３～Ｓ０４）
　車両データ書換制御装置１の認証ＩＤ通知部３は、認証ＩＤ有無を確認Ｓ０３１する。また、接続可能なユーザ通信端末情報の有無を確認Ｓ０３２する。Ｓ０３１の結果が、認証ＩＤが有りの場合、かつ、Ｓ０３２の結果が接続可能ユーザ通信端末情報有りの場合に、ユーザ通信端末情報のユーザ通信端末に対して、ＷｉＦｉ接続、Ｂｌｕｅｔｏｏｔｈ（登録商標）等の無線通信１０１を使用して接続Ｓ０３３を行う。Ｓ０３１の結果が、認証ＩＤが無しの場合、または、Ｓ０３２の結果が接続可能ユーザ通信端末情報無しの場合、認証ＩＤ作成（図２Ｓ０２）に戻る。
　車両データ書換制御装置１の認証ＩＤ通知部３とユーザ通信端末２０の接続ができない場合、決められたリトライ回数処理を繰り返すＳ０３５。ユーザ通信端末２０と接続ができた場合、認証ＩＤをユーザ通信端末２０へ送信する。Ｓ０３５の結果がリトライ回数をオーバした場合、認証ＩＤ作成（図２Ｓ０２）に戻る。

　次に、ユーザ通信端末のメッセージ表示からデータ更新ユーザ承認までの内容を説明する。（Ｓ２１～Ｓ２２）
　車両データ書換制御装置１からの認証ＩＤを受信したユーザ通信端末２０は、ユーザに対して図８（ａ）、（ｂ）のような画面を表示し、データ更新の合意確認と即時実施または指定日時に実施を設定する。ユーザがデータ更新を合意する場合、ユーザ通信端末情報と認証ＩＤをインターネット等の通信回線網１００を介して、サーバへ通知する。

　車両データ書換制御装置１からの認証ＩＤの内容確認から、サーバでの認証ＩＤの作成、通知までの内容を説明する。（Ｓ１１）
　サーバ３０は、ユーザ通信端末情報をユーザ登録ＤＢ３５から検索し、登録有無を確認する。登録がない場合、シーケンスを終了させる。登録が有る場合、受信した認証ＩＤを認証ＩＤ作成論理式ＤＢ３４の対応する式を用いて、車両番号と更新データ情報を取り出し、ユーザ登録された車両番号と一致するか比較Ｓ１１３を行う。また、認証ＩＤが指定する更新データを更新データＤＢ３３から検索し、更新データの正常性を確認Ｓ１１４する。正常性確認できた車両番号と更新データＤＢから更新データを用いて、認証ＩＤを作成するＳ１１５。車両番号の車両データ書換制御装置１に対して作成した認証ＩＤをインターネット等の通信回線網１００を介して、送信するＳ１１６。ユーザから送られた認証ＩＤの車両番号または、更新データが正常でない場合、登録してあるユーザ情報のユーザ通信端末に図９（ｂ）のような表示を行うようにインターネット等の通信回線網１００を介して、通知するＳ１１７。ユーザ通信端末は、ユーザに対して図９（ｂ）を表示する。
　車両からの認証ＩＤの内容確認からデータ更新までの内容を説明する。（Ｓ０５）車両データ書換制御装置１で受信したサーバが作成した認証ＩＤを解読し（Ｓ０５２）、データ更新許可、不許可を判定する（Ｓ０５３）。また、認証ＩＤ内の車両番号と車両
内の車両番号を比較する（Ｓ０５４）。

　不許可の場合、または、車両番号が一致しない場合、車両データ書換制御装置１の更新データ貯蓄部４に記録された更新データを破棄し（Ｓ０５１１）、データ更新完了通知の内容をデータ更新中断で返信する（Ｓ０５１２）。許可の場合、且つ、車両番号が一致した場合、認証ＩＤ内の更新データ複合キーを取り出し、車両データ書換制御装置１の更新データ貯蓄部４に記録された更新データの複合を行う（Ｓ０５５）。更新データの複合化が正常に完了したかを、複合化されたデータのＣＲＣ確認または、ＳＵＭ確認などを行い正常性の確認を行う（Ｓ０５６）。ＮＧの場合、データ更新完了通知の内容を異常終了で返信する。
　ＯＫの場合、車両データ書換制御装置１のデータ書換実行部６は、ＥＣＵ９に対してデータ更新を実施する。データ更新が正常完了した場合、車両データ書換制御装置１の更新データ貯蓄部４に記録された更新データを破棄し、更新したＥＣＵ９のハードウェアバージョン、ソフトウェアバージョンなどの情報とデータ更新完了通知の内容をデータ更新正常終了と設定し、返信する（Ｓ０５１０）。データ更新がＮＧの場合、データ更新完了通知の内容を異常終了と設定し、返信する。また、データ更新完了通知の内容が異常終了の場合は、車両データ書換制御装置１の更新データ貯蓄部４の更新データを削除せずサーバ３０からの再データ更新を可能とする。

　データ更新完了の受信からユーザ通知端末２０へのデータ更新完了表示までの内容を説明する。（Ｓ１２～Ｓ２３）
　サーバ３０は、車両データ書換制御装置１から通知されたデータ更新結果を記録する。

　車両データ書換制御装置１から通知されたデータ更新結果が正常終了の場合、ユーザ通信端末２０に更新正常終了の結果を通知し、ユーザ通信端末は、図８（ｃ）を表示する。

　車両データ書換制御装置１から通知されたデータ更新結果が異常終了の場合、サーバ３０は、数回、認証ＩＤの送信を繰り返し、数回すべて、異常終了の場合、ユーザ通信端末２０に更新失敗の結果を通知し、ユーザ通信端末は、図９（ａ）を表示する。

　車両データ書換制御装置１から通知されたデータ更新結果が中断の場合、ユーザ通信端末２０に更新失敗の結果を通知し、ユーザ通信端末２０は、図９（ｂ）を表示する。

　以上、説明をしたように、更新データと車両番号で生成された認証ＩＤを用いることで、盗聴され外部へ情報が洩れても不正なデータ更新はできず、また、作成した認証ＩＤをユーザ通信端末へ異なる回線を用いて送信することで、盗聴のリスクを軽減すことができる。また、なりすましによる不正な更新データを受信しても、再度、受信する更新許可認証ＩＤを判定することで、不正なデータ更新を防止できる。

　次に、実施例２について説明する。本実施例では、図１０に示されるように車両データ書換制御装置１に現在時刻を管理する現在時刻管理部７を搭載する。また、サーバ３０にも現在時刻管理部３６を搭載している。これにより、車両データ書換制御装置１で作成する認証ＩＤに作成時の現在時刻情報を使用し、また、サーバ３０でも作成する認証ＩＤに作成時の現在時刻情報を使用する。図１１に示されるように、データ書換認証方法として認証を行う装置側で認証ＩＤを確認する際、認証ＩＤの作成時間と現在時刻を確認し、有効期限内であるかを確認する。

　車両データ書換制御装置１の認証ＩＤ管理部２で作成する認証ＩＤは現在時刻管理部７の現在時刻と車両番号、更新データを使用して作成する。

　車両データ書換制御装置１の現在時刻管理部７にＧＰＳ１１からの現在時刻を設定する。サーバから受信した認証ＩＤの解析を行い、認証ＩＤを作成した時刻と車両データ書換制御装置１の現在時刻管理部７の現在時刻を比較して、有効期限内あるかを判定する。有効期限内でない場合は、サーバ３０に対してインターネット等の通信回線網１００を介して、データ更新完了通知で有効期限切れを返信する。返信されたサーバは、ユーザ通信端末２０に対して有効期限切れを通知し、ユーザ通信端末は図１３のように提示する。

　サーバ３０は、ユーザ通信端末２０から通知された認証ＩＤの解析を行い、認証ＩＤを作成した時刻をサーバ内で確認し、有効期限内でない場合、ユーザ通信端末２０に対して有効期限切れを通知し、ユーザ通信端末２０は図１３のように提示する。

　上記以外の内容については、実施例１の実施の形態で説明したものと同様である。

　次に、実施例３について説明する。本実施例では、図１４に示されるように、車両データ書換制御装置１の認証ＩＤ管理部２で作成する認証ＩＤにＧＰＳ１１から受信した車両位置を使用する。また、サーバ３０は、受信した認証ＩＤの車両位置を元にデータ更新可能エリアＤＢからデータ更新実施時の可能エリアを特定し、サーバ３０で作成する認証ＩＤに使用する。車両データ書換制御装置１の認証ＩＤ管理部２は、ＧＰＳ１１から取得した現在の車両位置を元に認証ＩＤのデータ更新可能エリア内であるか確認し、エリア内である場合、データ更新を実施する。

　車両データ書換制御装置１の認証ＩＤ管理部２で作成する認証ＩＤはＧＰＳ１１から受信した車両位置と車両番号、更新データ、現在時刻を使用して作成する。

　サーバ３０は、図１６のように車両からの認証ＩＤの車両位置を元にデータ更新可能エリアを選択する（Ｓ１１２１）。選択されたデータ更新可能エリア、車両番号、更新データ複合キー、現在時刻をもとに認証ＩＤを作成する（Ｓ１１５＿３）。

　車両データ書換制御装置１の認証ＩＤ管理部２は、図１５のようにＧＰＳ１１から現在の車両位置を取得し（Ｓ０５３１）、取得した車両位置と受信した認証ＩＤのデータ更新可能エリアを比較し、データ可能エリアである場合、実施例１、実施例２の実施の形態と同様にデータ更新を行う。比較した結果が、データ更新エリア外の場合、サーバに対してインターネット等の通信回線網１００を介して、データ更新完了通知でデータ更新可能エリア外を返信する。返信されたサーバは、ユーザ通信端末に対して有効期限切れを通知し、ユーザ通信端末は図１７のように提示する。

　上記以外の内容については、実施例１、実施例２の実施の形態で説明したものと同様である。

　１…車両データ書換制御装置、２…認証ＩＤ管理部（認証情報作成部）、３…認証ＩＤ通知部（認証情報通知部）、４…更新データ貯蓄部、５…通信制御部、６…データ書換実行部、７…現在時刻管理部、８…車両番号、９…ＥＣＵ、１０…イグニッション・アクセサリスイッチ、１１…ＧＰＳ、２０…ユーザ通信端末、３０…サーバ、３１…更新データ配信部、３２…認証部、３３…更新データＤＢ、３４…認証ＩＤ作成論理式ＤＢ、３５…ユーザ登録ＤＢ、３６…現在時刻管理部、３７…データ更新可能エリアＤＢ

Claims

　車両内の制御装置へのデータ更新を行う車両データ書換制御装置において、
　更新するデータと予め記憶された車両番号とに基づいて生成された認証情報を出力する車両データ書換制御装置。
　請求項１記載の車両データ書換制御装置において、
　前記認証情報は、前記車両の使用者がデータ更新の許可をするためのものである車両データ書換制御装置。
　請求項２記載の車両データ書換制御装置において、
　前記認証情報を生成する認証情報生成部と、
　前記認証情報を出力する認証情報出力部と、を有する車両データ書換制御装置。
　請求項２記載の車両データ書換制御装置において、
　前記認証情報は、外部の情報処理装置内に記憶された前記更新するデータと前記車両番号から前記情報処理装置内で生成される認証情報とを照合して更新許可の可否を判断するための認証情報である車両データ書換制御装置。
　請求項１記載の車両データ書換制御装置において、
　前記認証情報は、衛星から受信した現在の時刻情報又は位置の情報を含む情報である車両データ書換制御装置。
　請求項２記載の車両データ書換制御装置において、
　前記認証情報は、無線通信を利用して前記車両の使用者の通信端末に出力される車両データ書換制御装置。
　請求項２記載の車両データ書換制御装置において、
　前記認証情報が前記車両の使用者へ通知できない場合、前記認証情報ＩＤを破棄する機能を有する車両データ書換制御装置。
　予め記憶された更新するデータと前記データを更新する車両の車両番号とを有し、前記データと前記車両番号から第１の認証情報を生成する情報処理装置と、
　前記情報処理装置から受信されたデータと車両番号に基づいて第２の認証情報を生成し、出力する車両データ書換制御装置を有する車両と、
　前記車両から受信された前記第２の認証情報に基づいて、前記データの更新許可の場合、前記第２の認証情報を前記情報処理装置へ出力する車両の使用者の通信端末と、を有し、
　前記情報処理装置は、前記第１の認証情報と前記通信端末から受信された前記第２の認証情報とを照合し、前記データの更新許可の判断を行うデータ書換認証システム。
　請求項８記載のデータ書換認証システムにおいて、
　前記車両から前記第２の認証情報を通知する前記通信端末を設定し、設定された前記通信端末へ前記第２の認証情報を出力する車両データ書換制御システム。
　請求項８記載のデータ書換認証システムにおいて、
　前記情報処理装置は、前記第１の認証情報内の第１の時刻と、衛星から取得した第２の時刻、又は、内部の現在の第３の時刻と、を照合し、予め定めた有効期限内の場合、前記車両への更新するデータを出力するデータ書換認証システム。
　請求項１０記載のデータ書換認証システムにおいて、
　前記情報処理装置は、前記第１の時刻と、前記第２の時刻、又は、前記第３の時刻と、を照合し、予め定めた有効期限外の場合、予め記憶されていた更新するデータを破棄するデータ書換認証システム。
　請求項８記載のデータ書換認証システムにおいて、
　前記情報処理装置は、前記第１の認証情報内の第１の車両位置情報と衛星から取得する第２の車両位置情報とを照合し、車両が予め定めたデータ更新エリア内の場合、前記車両への更新するデータを出力するデータ書換認証システム。
　請求項１２記載のデータ書換認証システムにおいて、
　前記情報処理装置は、前記第１の車両位置情報と前記第２の車両位置情報とを照合し、車両が予め定めたデータ更新エリア外の場合、予め記憶されていた更新するデータを破棄するデータ書換認証システム。