导航设备及信息发布系统的利记博彩app

文档序号：7936123阅读：393来源：国知局

专利名称：导航设备及信息发布系统的利记博彩app
技术领域：
本发明涉及用于接收地图更新信息的导航设备及用于向该导航设备发布地图更新信息的信息发布系统。
背景技术：
近年来，已经提出了用于通过诸如DVD-ROM或HDD的存储介质或诸如移动电话网的网络来将用于更新地图数据的更新信息从信息发布中心向导航设备发布的各种信息发布系统。
例如，已提出的信息发布系统中的一个信息发布系统(例如，日本未审专利申请第2005-331579号公报(第0011段至第0028段、图1至图4 )) 对其上存储有从信息发布中心发布的更新地图数据的存储介质附上作为属性数据的、指示导航设备的唯一的ID。在导航设^^吏用存储介质时，导航设备通过确定装置来确定其自身的ID是否与存储在存储介质中的ID 相一致。在其自身的ID与所存储的ID不一致时，导舵i殳备不能使用存储在存储^^质中的更新地图^:据。

发明内容
然而，在日本未审专利申请第2005-331579号公净艮中所^^开的信息发布系统的情况下，在分配给导航设备的唯一的ID被第三方解密时，存在存储介质中所存储的地图更新信息被伪造的风险，从而极难确保地图更新信息的安全。
同时，存在另一种方式来确保所发布的地图数据的安全。例如，信息发布中心通过^f吏用私密密钥来对被分配了电子签名的更新地图数据进行发布。导航设备通过使用公共密钥来对分配给更新地图数据的电子签名进行验证，并确定所发布的地图数据的有效性。
然而，在需要由第三方所提供的可靠的认证权威机构来将公共密钥授予每个导航i殳备的信息发布系统的情况下，在另一第三方解密了私密密钥
7时，每个导航设备都需要从认证权威机构接收新的公共密钥。在这种情况下，过程会很复杂，并且会增加过程的成本。此外，另一个问题是，在每个导航设备都从认证权威机构接收到新的公共密钥之前，信息发布中心不能通过使用新的私密密钥来发布带有电子签名的更新地图数据。
为了解决上述问题,本发明提供了一种确保向导航设备发布的地图更新信息的安全的信息发布系统以及其中包含该信息发布系统的导航设备。
为了达到上述目的，提供了权利要求1中的导航设备，该设备包括公共密钥存储装置，它存储对其分配了优先级的、用于对从信息发布中心发布的地图信息进行验证的多个公共密钥；电子签名提取装置，其提M 从所述信息发布中心发布的所述地图信息设定的电子签名；验证控制装置，它通过按所述优先级的顺序使用对其设定了所述优先级的所述多个公共密钥来验证所述电子签名；以及确定装置，如果所述电子签名通过^t，则该确定装置确定所述地图信息是从所述信息发布中心发布的有效信息。
根据权利要求2中的导航设备，在权利要求1中的导航设备中如果在所述电子签名通过l^之前存在未通过验汪的公共密钥，则所述^￡控制装置进行控制以将未通过發汪的公共密钥设定为无效的。
根据权利要求3中的导航设备，在权利要求2中的导航设备中所述 B控制装置包括暂时无效设定装置，其将未通过验证的公共密钥设定为暂时无效密钥，并且在所述电子签名通过發江时，所述發汪控制装置将被所述暂时无效设定装置设定为暂时无效密钥的公共密钥无效，并且所述 1Hi控制装置还将其余的公共密钥的所述优先级向前移，并进行控制以将所述公共密钥存储回所述公共密钥存储装置中。
根据权利要求4中的导航设备，在权利要求3中的导航设备中在所述电子签名未通过mi时，所述^t控制装置进行控制以清除i殳定所述暂时无效设定装置对所述公共密钥作为一个暂时无效密钥的设定，并且所述确定装置确定所ii^图信息是无效信息。
根据权利要求5中的导航设备,权利要求1至权利要求4中的任一项中的导航i殳^^还包括解码数据生成装置，其通过使用存储在所述公共密钥存储装置中的所述公共密钥来生成所述电子签名的解码数据；以及导航散列值生成装置，其生成所述地图信息的散列值；其中在所述解码数据与所述散列值相一致时，所述验证控制装置允许所述电子签名通过發汪，而在所述解码数据与所述散列值不一致时，所述^E控制装置不允许所述电子签名通过mt。
权利要求6中的信息发布系统，包括信息发布中心，其用于发布地图信息；以及导航设备，其中所述信息发布中心还包括密钥生成装置，其生成多套一个z〉共密钥与一个私密密钥，并对所述多套一个7>共密钥与一个私密密钥设定优先级；私密密钥存储装置，其存储具有所述优先级的所述多个私密密钥；电子签名生成装置，其通过4吏用其优先级在所述私密密钥存储装置中被存储为最高的一个私密密钥来生成电子签名；以;SJL布装置，其发布带有所述电子签名的地图信息，其中所述信息发布中心将具有所述优先级的所述多个公共密钥授予所述导航设备，并且所述导航设备还包括公共密钥存储装置，其存储由所述信息发布中心所授予的、具有所述优先级的所述多个公共密钥；电子签名提取装置，其提取对从所述信息发布，心发布的所述地图信息,定的所述电子签名l g控制装置，
公共密钥来验证所述电子签名；以及确定装置，如果所述电子签名通过验证，则该确定装置确定所述地图信息是从所述信息发布中心发布的有效信息。
根据权利要求7中的信息发布系统，在权利要求6中的信息发布系统中如果在所述电子签名通过mt之前存在未通过验证的公共密钥，则所述JlHiE控制装置进行控制以将未通过^的公共密钥设定为无效的。
根据权利要求8中的信息发布系统，在权利要求7中的信息发布系统中所述^￡控制装置包括暂时无效设定装置，其将未通过J^iit的公共密钥设定为暂时无效密钥，其中如果所述电子签名通过^，则所述验证控制装置将被所述暂时无效设定装置设定为暂时无效密钥的公共密钥无效，并且将其余的/>共密钥的所述优先级向前移，并进行控制以将所述公共密钥存储回所述公共密钥存储装置中。
根据权利要求9中的信息发布系统，在权利要求8中的信息发布系统中如果所述电子签名未通过斷正，则所述!Hi控制装置进行控制以清除设定所述暂时无效设定装置对所述公共密钥作为一个暂时无效密钥的设定，并且所述确定装置确定所述地图信息是无效信息。
根据权利要求10中的信息发布系统，在权利要求6至权利要求9中的任一项中的信息发布系统中所述电子签名生成装置包括中心散列值生成装置，其生成所述地图信息的散列值，其中所述电子签名生成装置通过使用所述散列值以及其优先级在所述私密密钥存储装置中被存储为最高的私密密钥二者来生成所述电子签名，并且所述m^控制装置包括解码数据生成装置，其生成通过使用存储在所述7^共密钥存储装置中的所述公共密钥来对所述电子签名进行解码而得到的解码数据；以及导航散列值生成装置，其生成所述地图信息的所述散列值，其中在所述解码数据与所述散列值相一致时，所述^t控制装置允许所述电子签名通过验证，而在所述解码数据与所述散列值不一致时，所述J!Hi控制装置不允许所述电子签名通过mit。
权利要求ll中的导航方法，包括存储具有优先级的、用于对从信息发布中心发布的地图信息进行^E的多个公共密钥的步骤；提M从所述信息发布中心发布的所述地图信息设定的电子签名的步骤；进行控制以通过按所述优先级的顺序使用在存储所述公共密钥的所述步骤中所存储的所述多个公共密钥来对在提取所述电子签名的所述步骤中所提取的所述电子签名进行验证的步骤；以及如果在控制所述验证的所述步骤中所述电子签名通过發江、则确定所述地图信息是从所述信息发布中心发布的有效信息的步骤。
权利要求12的用于从信息发布中心向导航设备发布地图信息的信息发布方法，包括由所述信息发布中心所进行的、生成多套一个公共密钥与一个私密密钥并对所述多套一个公共密钥与一个私密密钥设定优先级的步骤；由所述信息发布中心所进行的、存储在生成密钥的所述步骤中对其设定了所述优先级的所述多个私密密钥的步骤；由所述信息发布中心所进行的、将在生成密钥的所述步骤中对其设定了所述优先级的所述多个公共密钥授予所述导^^i殳备的步骤；由所述导^ii殳备所进行的、将对其i史定了所述优先级的且在授予所述多个密钥的所述步骤中由所述信息发布中心所授予的所述多个公共密钥存储起来的步骤；由所述信息发布中心所进行的、通过使用在存储所述多个私密密钥的所述步骤中其优先级被存储为最高的私密密钥来生成电子签名的步骤；由所述信息发布中心所进行的、将所述地图信息与在生成所述电子签名的所述步骤中所生成的所述电子签名一起发布给所述导航设备的步骤；由所迷导航设备所进行的、提取在发布所述电子签名的所述步骤中从所述信息发布中心发布的、所述地图信息的所述电子签名的步骤；由所述导航i殳备所进行的、进行控制以通过按所述优先级的顺序使用在存储公共密钥的所述步骤中所存储的所述多个公共密钥来对在提取所述电子签名的所述步骤中所提取的所述电子签名进行验汪的步骤；以及由所述导航设备所进行的、如果在进行控制以IHt 所述电子签名的所述步骤中所述电子签名通过验证、则确定所述地图信息是从所述信息发布中心发布的有效信息的步骤。
根据权利要求1的具有上述结构的导航i殳备存储了具有优先级的多个公共密钥以对从信息发布中心发布的地图信息进行验证。所述导航设备提取分配给从信息发布中心发布的地图信息的电子签名，并通过按优先级
的顺序使用多个公共密钥来mi该电子签名。在电子签名通过m^时，所述导航设备确定所述地图信息是从所述信息发布中心发布的有效信息。
所述导航设备通过使用其优先级为最高的公共密钥来对分配给从信息发布中心发布的地图信息的电子签名进行验证。即使电子签名未通过验证，所述导航设备也不需要由第三方所提供的可靠的认证权威^来公布新的公共密钥，并能够通过使用其优先级为下一位的公共密钥来继续mt 该电子签名，以使得能够快速地验证电子签名并减少验证的成本。此夕卜，在通过使用所存储的、具有优先级的多个公共密钥而使电子签名通过mi 时，所述导航设备确定所述地图信息是从信息发布中心发布的有效信息，以使得能够确保向导航设备发布的地图信息的安全。
根据权利要求2的导航设备通过按优先级的顺序使用多个公共密钥来m^电子签名。当在电子签名通过i^E之前存在未通过mi的任一公共密钥时，所述导航设备将未通过發逸的公共密钥无效。
在私密密钥被第三方解密时，信息发布中心将被解密的私密密钥无效，并通过^吏用新的私密密钥来生成电子签名。作为对此的响应，所述导航设备能够将与被解密的私密密钥相对应的公共密钥无效，而不接收来自信息发布中心的、与被解密的私密密钥相对应的公共密钥的任何数据。
根据权利要求3的导航设备通过按优先级的顺序使用多个公共密钥来对分配给地图信息的电子签名进行IHE。当在电子签名通过^之前存在^it过验江的任一公共密钥时，所述导航设备将未通过發汪的公共密钥设定为暂时无效密钥。在电子签名通过验证时，所述导航设备将暂时无效公共密钥无效，将其余的公共密钥的优先级向前移，并再次存储公共密钥。
在当前正在使用的私密密钥被第三方解密时，信息发布中心将被解密的私密密钥无效，并通过使用其优先级为下一位的私密密钥来生成电子签名。在这种情况下，所述导航设备能够确定地将与被解密的私密密钥相对应的公共密钥无效，而不接收来自信息发布中心的、与被解密的私密密钥相对应的公共密钥的任何数据。在与被解密的私密密钥相对应的公共密钥被无效时，所述导航设备能够将其余的公共密钥的优先级向前移，并通过按优先级的顺序使用有效的公共密钥来对分配给地图信息的电子签名进行顺利的發汪，而无需从由第三方所提供的可靠的认证权威机构接收新的公共密钥的任何数据。
根据权利要求4的导航设备通过按优先级的顺序使用多个公共密钥来对分配给地图信息的电子签名进行验证。在电子签名未通过验汪时，所述导航设备清除设定暂时无效/^共密钥，并确定地图信息是无效信息。
因此，在恶意的第三方通过使用与由信息发布中心所拥有的私密密钥中的任一私密密钥都不同的私密密钥来对地图信息分配了电子签名时，因为所述导航设备能够确定该地图信息是无效信息，所以即使所有的有效的
公共密钥都未通过斷正，所述导航设备也清除^:定暂时无效密钥，以使得能够保持所有的公共密钥的有效性并能够确保数据的安全。
根据权利要求5的导航设备通过按优先级的顺序使用多个有效的公共密钥来生成电子签名的解码数据。所述导航设备还生成地图信息的散列值。在散列值与解码数据相一致时，所述导航设备允许电子签名通过验证。在散列值与解码数据不一致时，所述导航设备不允许电子签名通过验证。
因而，即使在恶意的第三方通过使用与由信息发布中心所拥有的私密密钥不同的私密密钥来对地图信息分配了电子签名时，或者即使在恶意的
第三方在不改变电子签名的情况下篡改了地图信息时，只要;HL据地图信息而生成的散列值与解码数据不一致，所述导航设备就不允许电子签名通过验证，以使得能够检测到对地图信息的伪造并能够确保地图信息的安全。
根据权利要求6中的信息发布系统，信息发布中心生成多套一个公共密钥与一个私密密钥，并对公共密钥及私密密钥分配优先级。信息发布中心存储具有优先级的多个私密密钥。信息发布中心将具有优先级的多个公共密钥授予所述导航设备。此外，信息发布中心通过使用其优先级为最高的私密密钥来生成电子签名，并发布带有该电子签名的地图信息。
所述导航设备存储由信息发布中心所授予的、具有优先级的多个公共密钥。所述导航设备提取分配给从信息发布中心发布的地图信息的电子签名，并通过按优先级的顺序使用多个公共密钥来發汪该电子签名。在电子签名通过验证时，所述导航设备确定所述地图信息是从信息发布中心发布的有效信息。
因此，信息发布中心通过使用在被分配了优先级的多个私密密钥中的其优先级为最高的私密密钥来生成电子签名，并与地图信息一赴良布该电子签名，以使得能够确保要被发布的地图信息的安全。此外，因为预先存储了多个私密密钥，所以在第三方解密了其优先级为最高的私密密钥时，能够快速地将被解密的私密密钥转换成其余的私密密钥中的一个私密密钥。
所述导航设备通过使用其优先级为最高的公共密钥来对分配给从信息发布中心发布的地图信息的电子签名进行验证。即使在电子签名未通过發汪时，所述导航设备也能够通过使用其优先级为下一位的公共密钥来验证该电子签名，而无需从由第三方所提供的可靠的认证权威机构接收新的公共密钥的任何数据，以使得能够快速地B电子签名并能够减少mit的成本。此外，在通过使用从信息发布中心所授予的多个公共密钥而使电子签名通过验证时，所述导航设备确定所述地图信息是从信息发布中心发布的有效信息，以使得能够确保向导航设备发布的地图信息的安全。
根据权利要求7中的信息发布系统，所述导航设备通过按优先级的顺序使用多个公共密钥来验证电子签名。当在电子签名通过IHE之前存在未通过验证的任一公共密钥时，将未通过發汪的公共密钥设定为无效的。
因此，在第三方解密了私密密钥时，信息发布中心将被解密的私密密钥无效并通过使用新的私密密钥来生成电子签名。所述导航设备能够将与被解密的私密密钥相对应的公共密钥无效，而不接收来自信息发布中心的、与被解密的私密密钥相对应的/^共密钥的任何数据。
根据权利要求8中的信息发布系统，所述导航设备通过按优先级的顺序使用多个公共密钥来对分配给地图信息的电子签名进行mst。当在电子签名通过IHE之前存在未通过验汪的任一公共密钥时，将未通过验证的公共密钥设定为暂时无效公共密钥。在电子签名通过mt时，所述导^i殳备将暂时无效公共密钥无效，将其余的公共密钥的优先级前移，并再次存储公共密钥。
因此，在私密密钥被第三方解密时，信息发布中心将被解密的私密密钥无效，并通过使用新的私密密钥来生成电子签名。所述导航设备能够将与被解密的私密密钥相对应的公共密钥无效，而不接收来自信息发布中心的、与被解密的私密密钥相对应的公共密钥的任何数据。此外，在与被解密的私密密钥相对应的公共密钥被无效时，所述导航设备能够将其余的公共密钥的优先级前移，并通过按优先级的顺序使用有效的公共密钥来对分配给地图信息的电子签名进行顺利的*汪，而无需从由第三方所提供的可靠的认证权威机构接收新的公共密钥的任何数据。根据权利要求9中的信息发布中心，所述导航设备通过按优先级的顺序使用多个公共密钥来对分配给地图信息的电子签名进行验证。在电子签名未通过验证时，所述导航设备清除设定暂时无效公共密钥，并确定地图信息是无效信息。
因此，在恶意的第三方通过使用与由信息发布中心所拥有的私密密钥不同的私密密钥来对地图信息分配了电子签名时，因为所述导航设备确定该地图信息是无效信息，所以即使所有的有效的公共密钥都未通过發汪，所述导航设备也清除设定暂时无效公共密钥，以使得能够保持所有的公共密钥的有效性并且能够确保信息的安全。
权利要求IO中的信息发布系统，信息发布中心生成要被发布的地图信息的散列值，并通过使用该散列值及其优先级为最高的私密密钥二者来生成电子签名。所述导航设备通过按优先级的顺序仅使用多个公共密钥中的有效的公共密钥来生成电子签名的解码数据。在散列值与解码数据相一致时，使电子签名通过验证。在散列值与解码数据不一致时，所述导航设备不允许电子签名通过验证。
因此，信息发布中心通过使用根据要被发布的地图信息而计算出的散列值以及其优先级为最高的私密密钥二者来生成电子签名，以使得能够快速地生成电子签名。即使在恶意的第三方通过使用与由信息发布中心所拥有的私密密钥不同的私密密钥而对地图信息分配了电子签名时，或者即使在恶意的第三方在不改变电子签名的情况下墓改了地图信息时，在根据地图信息而计算出的散列值与解码数据不一致时，所述导航设备也不允许电子签名通过^t。因而，能够检测到对地图信息的伪造，并能够确保地图信息的安全。
在根据权利要求11的导航方法中，所述导航设^^存储具有优先级的、用于对从信息发布中心发布的地图信息进行验证的多个公共密钥。所述导航设备提取分配给从信息发布中心发布的地图信息的电子签名，并通过按优先级的顺序使用多个公共密钥来發汪该电子签名。在电子签名通过lHi 时，所述导航设备确定所述地图信息是从信息发布中心发布的有效信息。
因此，所述导航设备通过使用其优先级为最高的公共密钥来对分配给从信息发布中心发布的地图信息的电子签名进行發逸。即使在电子签名未通过發汪时，所述导航设备也能够通过使用其优先级为下一位的公共密钥来验证该电子签名，而无需从由第三方所提供的可靠的认证权威机构接收新的公共密钥的任何数据，以使得能够快速地mi电子签名并能够减少验证的成本。在通过使用具有优先级的多个公共密钥而使所述电子签名通过验证时，所述导航设备确定所述地图信息是从信息发布中心发布的有效信息，以使得能够确保要向所述导航设^^发布的地图信息的安全。
根据权利要求12中的信息发布方法，信息发布中心生成多套一个公共密钥与一个私密密钥，并对多套一个7>共密钥与一个私密密钥分配优先级。然后，信息发布中心存储具有优先级的多个私密密钥。信息发布中心将具有优先级的多个公共密钥授予所述导航设备。信息发布中心通过使用其优先级为最高的私密密钥来生成电子签名，并发布分配给地图信息的电子签名。
所述导航设备存储由信息发布中心所授予的、具有优先级的多个公共密钥。所述导航设备提取分配给从信息发布中心发布的地图信息的电子签名，并通过按优先级的顺序使用多个公共密钥来發汪电子签名。在电子签名通过验证时，所述导航设备确定所述地图信息是从信息发布中心发布的有效信息。
因此，信息发布中心通过使用具有优先级的多个私密密钥中的其优先级为最高的私密密钥来生成电子签名，并发布分配给地图信息的电子签名，以使得能够确保要被发布的地图信息的安全。因为预先存储了多个私密密钥，所以在第三方解密了其优先级为最高的私密密钥时，信息发布中心能够快速地将被解密的私密密钥转换成其余的私密密钥中的一个私密密钥。
所述导航设备通过使用其优先级为最高的公共密钥来对分配给从信息发布中心发布的地图信息的电子签名进行￡。即4吏在电子签名未通过發汪时，所述导航设备也能够通过使用其优先级为下一位的公共密钥来验证该电子签名，而无需从由第三方所提供的可靠的认证权威机构接收新的公共密钥的任何数据，以使得能够快速地^￡电子签名并能够减少￡的成本。在通过使用由信息发布中心所公布的多个公共密钥而使电子签名通过验证时，所述导航设备确定所述地图信息是从信息发布中心发布的有效信息，以使得能够确保要向所述导航设备发布的地图信息的安全。

图l是根据本实施例的地图信息发布系统的框图。图2是地图信息发布系统中的导航设备的框图。图3是示出地图信息发布系统中的地图信息发布中心中的公共密钥及私密密钥的生成的图。
图4是示出在地图信息发布中心的权威机构指示地图信息发布中心中的CPU将当前激活的私密密钥无效时，该CPU所执行的私密密钥更新处理的流程图。
图5是示出地图信息发布中心中的CPU将其优先级为最高的私密密钥SKI无效的情况的示例的图。
图6是示出在导航设备或PC请求发布地图更新信息时，地图信息发布中心中的CPU所执行的地图更新信息发布处理的流程图。
图7是示出在导航设备获得从信息发布中心发布的、作为带有电子签名的地图更新信息的发布数据时，导航设备中的CPU所执行的地图信息更新处理的流程图。
图8是示出在通过使用有效的公共密钥PK1而生成的、电子签名的解码数据与地图更新信息的散列值相一致时，存储在公共密钥存储部中的公共密钥PK1至公共密钥PK5的密钥状态的图。
图9是示出在通过使用有效的公共密钥PK2而生成的、电子签名的解码数据与地图更新信息的散列值相一致时，存储在公共密钥存储部中的公共密钥PK1至公共密钥PK5的密钥状态的图。
图IO是示出在公共密钥PKl被无效时iLt通过使用有效的公共密钥 PK2而生成的、电子签名的解码数据与地图更新信息的散列值相一致时，存储在公共密钥存储部中的公共密钥PK1至公共密钥PK5的密钥状态的图。
图11是示出在所获得的发布数据的电子签名是通过使用无效的私密密钥SK1而生成的时，存储在公共密钥存储部中的公共密钥PK1至公共密钥PK5的密钥状态的图。
图12是示出在从所获得的发布数据中取得的地图更新信息数据由于通信故障而被破坏或被篡改时，存储在公共密钥存储部中的公共密钥PK1 至爿^共密钥PK5的密钥状态的图。
图13是示出在所获得的发布数据的电子签名是通过使用除了私密密钥SK1至私密密钥SK5以外的私密密钥而生成的时，存储在爿>共密钥存储部中的公共密钥PK1至公共密钥PK5的密钥状态的图。
1具体实施例方式
下文中，将参照附图来对根据本发明中的导航设备及信息发布系统的示例性的特定实施例进行解释。
首先，将参照图1及图2来对根据本实施例的地图信息发布系统的结构的概要进行描述。图1是根据本实施例的地图信息发布系统1的框图。图2是地图信息发布系统1中的导航设备2的框图。
如图1所示，根据本实施例的地图信息发布系统1主要包括导^i殳备 2、作为用于向导航设备2发布诸如地图更新信息的更新信息的信息发布中心的地图信息发布中心3、网络4、以及能够连接到网络4并由导航设备2的用户或经销商所拥有的PC (个人计算机)5。通过网络4而在导航设备2与地图信息发布中心3之间传送各种类型的信息。相似的是，通过网络4而在PC 5与地图信息发布中心3之间传送各种类型的信息。注意，稍后将参照图2来对导航设备2的结构进行详细的描述。
如图1所述，地图信息发布中心3包括服务器10、连接到服务器10 的、作为地图信息存储部的中心地图信息数据库(中心地图信息DB) 14、更新历史信息数据库(更新历史信息DB) 15、中心通信装置16、差异数据管理数据库(差异数据管理DB) 18及密钥信息数据库(密钥信息DB) 19。
服务器10进一步包括作为计算装置及用于控制整个服务器10的控制装置的CPU 11、作为在CPU ll执行各种类型的计算处理时所使用的工作存储器的RAM 12、以及其上存储有各种类型的控制程序的内部存储装置(例如，ROM 13)。作为存储在ROM 13中的各种类型的控制程序的示例，例如可以包括用于执行地图信息发布处理的程序，该处理用于从中心地图信息DB 14中4^取用于对存储在导航设备2中的地图信息中的关于发布目标区域的地图信息进行更新的更新信息、并用于基于来自稍后描述的导航设备2或PC 5的请求而将该更新信息与电子签名一起&布给导航设备2或PC 5;或者用于执行私密密钥更新处理的程序，该处理用于对生成电子签名所使用的私密密钥进行更新(图4)。注意，例如，可以使用MPU来替代CPU 11。
中心地图信息DB 14存储有地图更新信息17，地图更新信息17是在地图信息发布中心3中生成的并且是用于对存储在导舵i更备2中的地图信息进行更新的基本的地图信息。地图更新信息17是按照版本来排序的。此外，中心地图信息DB 14存储有以下更新信息(下文中称作"差异数据")该更新信息用于将存储在导航设备2中的地图信息(例如，以当前的车辆位置或预先登记的原始位置为其中心的80公里见方的范围)的部分或全部更新成存储在地图更新信息17中的最新信息。该更新信息也是按照版本来排序的。
这里的版本是指生成地图信息的时间。因此，可以通过参照信息的版本来指定何时生成地图信息。
作为存储在中心地图信息DB 14中的地图更新信息17，存储有对导航设备2的路线引导及地图显示所必需的各种信息。例如，可以包括用于显示地图的地图显示数据、表示路口的路口数据、表示节点的节点数据、表示作为一种类型的设施的道路(连接)的连接数据、用于搜索路线的搜索数据、表示作为一种类型的设施的POI (感兴趣的地点)的商店数据以及用于搜索地点的地点搜索数据。
根据地图显示数据，将地面划分成10公里见方的区域的网格用作标准单位。还可以将标准单位进一步细分成4个子单位(1/2长度)、16个子单位(1/4长度)或64个子单位(1/8长度)，而且使用这些子单位可以使每个区域中的各数据量平均。例如标准单位被划分成64个子单位的情况，最小的子单位的面积可能约为1.257>里见方。
道路被分类成三种类型，并且在地图更新信息17中按照版本来对道路进行存储及管理。第一个类型为高标准7>路类型，包括国家高速7>路、城市高速公路、机动车快速路、普通收费公路及其道路识别号为l位数或 2位数的国道。第二个类型为普通道路类型，包括其ii^识别号为多于3 位的数字的国道、主要的地方if^、县级道路及市政道路。第三个类型为窄街。
在差异数据管理DB 18中，按照版本及道路类型来对指示差异数据的、差异数据的文件名进行存储及管理。更具体地说，首先按照地图更新信息17的版本来对差异数据进行排序，然后按照分别对其设定了范围ID 的、约2.5公里见方的区域来对该数据进行进一步的排序，最后按照上述三种道路类型来对区域数据进行排序。
在更新历史信息DB 15中，存储有表示曾经存储在导航设备2中的所有的地图信息的更新历史的更新历史信息，导航设备2被分配了用于指定导航设备2的导航ID。此外，还存储有表示发布给PC 5的用户的地图更新信息的更新历史信息，该用户被分配了用于指定该用户的用户ID。
然后，在导航设备2或PC5请求时，地图信息发布中心3提取用于将上一次发布给导航设备2或PC 5的地图更新信息更新成存储在中心地图信息DB 14中的所有的地图更新信息17中的最新版本的地图更新信息 17的差异数据。然后，地图信息发布中心3将被分配了电子签名的数据发布给稍后描述的导航设备2或PC 5。
由导航设备2的用户或经销商所拥有的PC 5包括用于将所接收到的地图更新信息存储在作为存储介质的CD-ROM 6上、以使得导航设备2 能够通过使用读取部28 (图2)来读取数据的存储部5A。注意，可以使用磁盘(例如，软盘)、存储卡、磁带、磁鼓、MD、 DVD、 ID卡或光卡来替代CD-ROM 6，只要导航设备2的读取部28能够读取该存储介质即可。
在密钥信息DB 19中，按照稍后描述的方式存储有表示生成五套公共密钥与私密密钥的密钥生成历史信息。此外，密钥信息DB 19还包括用于将对其设定了优先级的五个已生成的私密密钥存储起来的私密密钥存储部19A (图3 )。
注意，地图信息发布中心3可以由个人、公司、协会、地方政府、政府附属组织或VICS (注册商标)中心中的任一个来运营。
例如，作为网络4，可以使用诸如LAN (局域网)、WAN(广域网)、内部网、移动电话网、电话网、z〉共通信网、专用通信网或因特网的任一通信网络。此外，可以使用诸如CS广播或BS广播、数字地面广播、或 FM多路广播的另一广播卫星系统。作为另一通信系统，可以使用在智能交通系统(ITS)中所使用的电子收费控制(ETC)系统或专用短程通信 (DSRC)系统作为网络4。
接下来，将参照图2来描述根据本实施例的、包含在地图信息发布系统1中的导航i更备2的结构的概要。
如图2所示，本实施例中的导航i更备2包括当前位置检测部21，其用于检测其中安装了导航设备2的车辆的当前位置；数据存储部22，其用于存储预先登记的原始位置的坐标(例如，经度及蟀度)；5i/或各种类型的数据；导航控制部23，其用于基于所输入的信息来执行各种类型的计算；操作部24,其用于接受操作者的操作；LCD 25，其用于对操作者显示诸如地图的信息；扬声器26,其用于根据路线引导来输出音频指导；通信装置27，其用于通过例如移动电话网来与道路交通信息中心 (VICS(R)) l或地图信息发布中心3通信；以及读取部28,其用于读 ^储在作为存储介质的CD-ROM 6上的地图更新信息。此外，导航控制部23连接到用于检测其中安装了导航设备2的车辆的行iii!JL的车辆速度传感器29。注意，可以将读取部28设定成不仅从CD-ROM 6中读取地图信息而JU^DVD中读W^图信息。
下文中，将描述导航设备2中的每个内容。当前位置检测部21可以包含GPS31、方向传感器32、距离传感器33及高度计(未示出)，能够检测车辆的位置、方向、及从车辆到物体的距离(例如，到路口的距离)。
具体地说，GPS 31能够通过接收由卫星所提供的电波来检测当前车辆位置及当前时间。包括,传感器、陀螺传感器、或附装于方向盘(未示出)的旋转部分上的光学角速度传感器、旋转抵抗传感器(rotation resistive sensor )、或附装于车轮上的角度传感器的方向传感器32能够检测车辆方向。距离传感器33能够检测道路上的预定点之间的距离。例如，作为距离传感器33,可以使用用于测量车轮(未示出)的旋转速度并基于该旋转速度来检测距离的传感器，或用于测量加速度、对该加速度进行二次积分从而检测距离的另一传感器。
数据存储部22可以包括硬盘(未示出)，其作为外部存储装置并作为存储介质；导航地图信息DB 37，其存储在硬盘中；公共密钥存储部 39，其用于存储由地图信心发布中心3所授予的多个公共密钥；以及存储头(未示出)，其作为用于读M盘中的预定程序并将预定数据写入^Jt 中的驱动器。注意，根据本实施例，使用硬盘作为外部存储装置以及数据存储部22中的存储介质。然而，可以使用>^盘(例如，软盘)作为外部存储装置。此外，还可以使用存储卡、磁带、磁鼓、CD、 MD、 DVD、光盘、MO、 IC卡或光卡作为外部存储装置。
在导航地图信息DB 37中，存储有导航地图信息38。导航地图信息 38用于行进引导及路线搜索，并且由地图信息发布中心3来对其进行更新。导航地图信息38包括路线引导及地图显示所必需的各种类型的信息以及更新地图信息17。例如，包括新建道路信息、地图显示数据、表示路口的路口数据、表示节点的节点数据、表示作为一种类型的设施的道路 (连接)的连接数据、用于搜索路线的搜索数据、表示作为一种类型的设
施的poi (例如，商店)的商店数据;sj或用于搜索地点的地点搜索数据。通过经由通信装置27来下载由地图信息发布中心3所发布的差异数据A/或利用存储在CD-ROM 6上的诸如地图更新信息的更新信息来对导航地图信息DB37中的内錢行更新。
如图2所示，导航设备2中的导航控制部23可以包含CPU41，其作为计算装置及用于控制整个导航i殳备2的控制装置；RAM42，其用作在CPU 41执行各种类型的计算时的工作存储器并用于存储表示搜索到的路线的路线数据；ROM 43，其用于存储控制程序及地图信息更新处理程序(图7),该程序用于按稍后描述的方式通过使用存储在公共密钥存储部39中的公共密钥来对分配给更新地图数据的电子签名进行^E从而更新导航地图信息38。导航设备2中的导航控制部23还可以包含内部存储装置(例如，闪存44)，其用于将从ROM43中读出的程序存储起来；以及计时器45，其用于测量时间。注意，半导体存储器或磁芯可以用作 RAM42、 ROM43或闪存44。并且，可以使用MPU作为计算装置及控制装置，来替代CPU41。
根据本实施例，可以将各种程序存储在ROM 43中，并且可以将各种类型的数据存储在数据存储部22中。然而，可以从同一外部存储装置或存储卡中读出程序及数据，并可以将其写在闪存44上，以使得能够通过更换存储卡来更新程序及数据。
诸如操作部24、 LCD 25、扬声器26、通信装置27、读取部28的支持装置(执行器)可以电连接到导航控制部23。
在操作者想要校正当前位置时、在操作者输入起始点作为引导起始点或输入目的地作为引导终点时、t或在操作者根据设施来搜索信息时，可以对操作部24进行操作。操作部24可以是各种类型的键或多个操作开关。注意，作为操作部24，可以4吏用键盘、鼠标或显示在LCD 25上的触摸板。
在LCD 25上，可以显示在其中显示基于导航地图信息37A的地图的路线指导画面以及操作指导、操作菜单、M指导、从当前位置到目的地
的路线、沿路线的引导信息;s^或交通信息。
扬声器26能够基于导航控制部23的控制来输出对行a线的音频指导。例如，音频指导可以例如是"请在前方200米的XX路口处右转" 或"无法更新地图数据"。
通信装置27是用于与信息发布中心3进行通信的通信装置(例如，移动电话网)，能够与信息发布中心3交换最新版本的地图更新信息。通信装置27还能够接i^Ul^交通信息中心(VICS )传送来的交通信息(例
如，拥堵信息;sj或服务区拥堵信息)以及来自信息发布中心3的信息。
接下来，将参照图3来描述由地图信息发布系统1中的地图信息发布中心3所生成的公共密钥及私密密钥。图3是示出地图信息发布系统1 中的地图信息发布中心3生成>^共密钥及私密密钥的图。
如图3所示，地图信息发布中心3中的CPU 11生成五套公共密钥 PK1至公共密钥PK5与私密密钥SK1至私密密钥SK5。即，通过使用公共密钥PK1而使通过4吏用私密SK1而生成的电子签名通过验汪。相似的是，通过使用相对应的公共密钥PK2至公共密钥PK5中的每个公共密钥而使通过使用私密密钥SK2至私密密钥SK5中的每个私密密钥而生成的每个电子签名通过验证。
CPU 11对公共密钥PK1至公共密钥PK5设定从最高位至第五位的优先级。CPU 11还对与z〉共密钥PK1至爿>共密钥PK5相对应的私密密钥SK1至私密密钥SK5设定从最高位至第五位的优先级。然后，CPU 11 将公共密钥PK1至公共密钥PK5及私密密钥SK1至私密密钥SK5的所有的密钥状态设定为"有效的"。
CPU ll将祐没定了优先级"1"至"5"且其密钥状态为"有效的" 私密密钥SKI至私密密钥SK5中的每个私密密钥存储在私密密钥存储部 19A中。
然后，cpu ii将净皮i殳定了优先级"r至"5"的"有效的，，7>共密
钥PK1至公共密钥PK5授予导航设备2。具体地说，CPU 11通过地图信息发布中心3的权威机构来将所生成的、被设定了优先级"1"至"5"的 "有效的"公共密钥PK1至公共密钥PK5授予导航设备2的制造商。
作为对此的响应，导航设备2的制造商将被设定了优先级"1"至"5" 的"有效的"公共密钥PK1至公共密钥PK5存储在公共密钥存储部39 中。结果，允许导航设备2中的CPU41按稍后描述的方式使用公共密钥 PK1至公共密钥PK5并知晓被设定为'T，至"5"的优先级中的每个优先级以及当前为"有效的，，每个公共密钥的状态。
接下来，将参照图4及图5来对根据包含上述结构的地图信息发布系统1的、在地图信息发布中心3的权威机构指示CPU 11将当前使用的私密密钥无效时地图信息发布中心3中的CPU 11所执行的私密密钥更新处理进行描述。
图4是示出在地图信息发布中心3的权威机构指示地图信息发布中心 3中的CPU 11将当前^f吏用的私密密钥无效时所执行的私密密钥更新处理的流程图。图5是地图信息发布中心3中的CPU 11将其优先级为最高的私密密钥SKI无效的示例。注意，图4的流程图中所示出的程序存储在地图信息发布中心3中的ROM 13中，并由CPU 11按预定时间间隔(例如，每10米每秒至每100米每秒)来执行。
如图4所示，在步骤S11中，CPU ll确定是否输入了意指应当将当前使用的私密密钥无效的私密密钥改变请求。
注意，在当前^f吏用的所有的私密密钥SK1至私密密钥SK5中的其优先级为最高的私密密钥被第三方解密时，地图信息发布中心3的权威机构使用输入装置(未示出)来将意指应当将被解密的私密密钥无效的私密密钥改变请求输入给CPU 11。
在未输入将当前使用的私密密钥"无效"的私密密钥改变请求(步骤 Sll- "否")时，CPU11终止该过程。
同时，在输入了将当前使用的私密密钥"无效"的私密密钥改变请求 (步骤Sll- "是")时，CPU11转到步骤S12中的过程。在S12中，CPU 11将当前为有效的、且在存储在私密密钥存储部19A中的私密密钥SKI 至私密密钥SK5中其优先级为最高的私密密钥无效，并将私密密钥再次存储在私密密钥存储部19A中。
例如，如图5所示，在所有的私密密钥SK1至私密密钥SK5都为"有效的"时且在输入了将私密密钥SK1 "无效"的私密密钥改变请求时， CPU 11将其优先级为最高的私密密钥SKI无效，并将该私密密钥再次存储在私密密钥存储部19A中。
在步骤S13中，CPU 11读出存储在私密密钥存储部19A中的私密密钥SKI至私密密钥SK5中的每个私密密钥，仅将私密密钥SKI至私密密钥SK5中的"有效的"私密密钥的优先级向前移，并将这些私密密钥再次存储在私密密钥存储部19A中，并终止该过程。
例如，如图5所示，在私密密钥SK1至私密密钥SK5中的其优先级为最高的私密密钥SK1被无效时，私密密钥SK1的优先级被取消，私密密钥SK2至私密密钥SK5的优先级被向前移，即，私密密钥SK2的优先级变成最高，并且私密密钥SK3至私密密钥SK5的优先级变成第二位至第四位。然后，将经重新编号的私密密钥再次存储在私密密钥存储部19A 中。因此，CPU11按稍后描述的方式(图6)来将私密密钥SK2用于下一个电子签名。
换言之，按照优先级的顺序将私密密钥SK1至私密密钥SK5无效，并且仅将所有的私密密钥SK1至私密密钥SK5中的有效的私密密钥的优先级向前移。
注意，每当私密密钥SK1至私密密钥SK5被无效时，CPU 11会生成一套一个新的公共密钥与一个新的私密密钥供下一次使用，并将该套密钥预先存储在密钥信息DB 19中。然后，在存储在多个导航设备2中的每个导航设备2中的导航地图信息38都被更新时，可以授予新生成的公共密钥。具体地说，在向经销商的PC5发布了所有的地图更新信息时，可以对新授予的公共密钥进行发布，并可以通过PC 5中的存储部5A来将新授予的公共密钥以及所有的地图更新信息存储在CD-ROM 6上，并且可以将该公共密钥提供给导航设备2。
接下来，将参照图6来对根据地图信息发布系统1的、在导航设备2 或PC 5指示CPU 11发布地图更新信息时地图信息发布中心3中的CPU 11所执行的地图更新信息发布处理进行描述。图6是示出在导航设备2 或PC 5指示CPU 11发布地图更新信息时，地图信息发布中心3中的CPU 11所执行的地图更新信息发布处理的流程图。注意，图6的流程图中所描述的程序存储在地图信息发布中心3中的ROM 13中，并由CPU 11来执行。
如图6所示，在步骤Sill中，在CPU 11接收到来自导航设备2的导航ID及发布地图更新信息的请求时，或在CPU 11接收到来自PC 5的用于指定导航设备2的用户的用户ID时，CPU 11将其中心被设定在预先登记的原始位置处的预定范围(例如，以原始位置为其中心的约80乂>里见方的范围)i殳定为供提取与导航ID或用户ID相对应的差异数据的发布目标区域。注意，在接收到目的地的坐标数据以及导航ID或用户ID 时，CPU ll将其中心被设定在目的地处的预定范围(例如，以与坐标数据相对应的目的地为其中心的约50公里见方的范围)设定为供提取差异数据的发布目标区域。
然后，CPU11根据由所接收到的导航ID或用户ID所指定的地图信息来从更新历史信息DB 15中读出更新历史信息，拔:取利用导航ID或用户ID而指定的、且位于发布目标区域中的每个部分(约2.5公里见方的区域)内的导航设备2的当前版本，并存储所提取的版本。CPU11从差异数据管理DB 18中读出发布目标区域中的每个部分内的最新差异数据的文件名，提取针对发布目标区域中的每个部分内的导航设备2的当前版本与最新版本之间的差异数据的文件名，并将该差异数据存储在RAM 12 中。接下来，CPU11从地图更新信息17中读出与差异数据的文件名中的每个文件名相对应的差异数据，并将该数据作为更新发布地图数据存储在 RAM 12中。
在步骤S112中，CPU ll从RAM 12中读出更新发布地图数据，根据该发布地图数据来计算散列值，并将该散列值存储在RAM 12中。
例如，如图6所示，CPU 11计算更新发布地图数据51的散列值52，并将该散列值52存储在RAM 12中。
在步骤S113中，CPU 11选#^存储在密钥信息DB 19中的私密密钥存储部19A中的私密密钥SK1至私密密钥SK5中的其优先级为最高且 "有效的" 一个私密密钥，并将所选择的私密密钥存储在RAM12中。
例如，如图5及图6所示，当在私密密钥SK1至私密密钥SK5中仅私密密钥SK1为"无效的"时，因为私密密钥SK2为"有效的"且其优先级为最高，所以CPU11选择私密密钥SK2，以使得CPU11将私密密钥SK2存储在RAM 12中。
在步骤S114中，CPU 11从RAM 12中读出在步骤S112中所计算出的散列值以及在步骤S113中所选择的、其优先级为最高且"有效的，，私密密钥二者，并通过使用该散列值及所读出的私密密钥二者来生成电子签名。
例如，如图6所示，CPU 11通过使用散列值52及私密密钥SK2来生成电子签名53，并将电子签名53存储在RAM 12中。
在S115中，CPU 11从RAM 12中读出更新发布地图数据及在S114 中所生成的电子签名二者，将该电子签名已电子的方式签署在该更新发布地图数据上，并将该数据存储在RAM 12中。经电子签名的数据是要向导航设备2或PC 5发布的发布数据。
在S116中，CPU ll从RAM 12中读出发布数据，并通过中心通信装置16而将该数据传送给在Sill中所指定的、与导航ID相对应的导航 i殳备2或与用户ID相对应的PC 5，并终止该过程。
结果，与导航ID相对应的导航设备2或与用户ID相对应的PC 5能够通过网络4来获得作为针对其中心在已登记的原始位置或目的地处的预定范围的、被分配了电子签名的更新发布地图数据的发布数据。PC 5 能够通过存储部5A来将可读发布数据存储在作为存储介质的CD-ROM 6 上。结果，用户在将CD-ROM6插入到导航设备2中的读取部28中时，能够将发布数据发送给导航设备2。
例如，如图6所示，CPU 11从RAM 12中读出更新发布地图数据51 及电子签名53，将电子签名53以电子的方式签署在作为用于向导航设备 2或PC 5发布的发布数据55的发布地图数据51上，并将该数据存储在 RAM12中。CPU11从RAM12中读出发布数据55，并经由中心通信装置16来将该发布数据传送给在Slll中所指定的、与导航ID相对应的导 ^i殳备2或与用户ID相对应的PC 5。
因此，与导航ID相对应的导航设备2或与用户ID相对应的PC5能够经由网络4来获得作为针对其中心祐i殳定在已登记的原始位置或目的地处的预定范围的、对其分配了电子签名53的更新发布地图数据51的发布数据55。然后，PC5能够经由存储部5A来将可读发布数据55存储在作为存储介质的CD-ROM 6上。结果，用户在将CD-ROM 6插入到导航设备2中的读取部28中时，能够将发布数据55发送给导航设备2。
接下来，将参照图7至图13 iW"根据地图信息发布系统1的、在CPU 41通过网络4或CD-ROM 6来获得来自信息发布中心3的、作为带有电子签名的更新发布地图数据(下文中称作"地图更新信息")的发布数据时导航设备2中的CPU 41所执行的地图信息更新处理进行描述。
图7是示出在CPU 41通过网络4或CD-ROM 6来获得从信息发布中心3发布的、作为带有电子签名的地图更新信息的发布数据时，导航设备2中的CPU41所执行的地图信息更新处理的流程图。注意，图7的流程图中所示的程序存储在导航设备2中的ROM 43中，并由CPU 41来执行。
如图7所示，在步骤S21中，CPU41读出存储在公共密钥存储部39 中的公共密钥PK1至公共密钥PK5中的"有效的"公共密钥中的其优先级为最高的一个公共密钥，并将所读出的公共密钥存储在RAM42中。
例如，如图3所示，在所有的公共密钥PK1至公共密钥PK5均为"有效的"时，CPU41从公共密钥存储部39中读出其优先级为最高的公共密钥PK1 ，并将公共密钥PK1存储在RAM 42中。
26在S212中，CPU 41通过网络4或CD-ROM 6来从自信息发布中心 3发布的发布数据中提取电子签名，并将该电子签名存储在RAM42中。 CPU 41从RAM 42中读出其优先级为最高的公共密钥及电子签名二者，通过使用该公共密钥来对电子签名进行解码，并将解码数据存储在RAM 42中。
在S213中，CPU 41从自信息发布中心3发布的发布数据中提取地图更新信息，根据该地图更新信息来计算散列值，并将该散列值存储在 RAM42中。
接下来，在S214中，CPU 41从RAM 42中读出电子签名的解码数据及地图更新信息的散列值二者，并确定该解码数据是否与该散列值相一致。在解码数据与散列值相一致时，即，在电子签名通过a( S214 ="是") 时，过程转到S215。
在S215中，CPU 41确定电子签名是通过使用与其优先级为最高的公共密钥相对应的私密密钥而生成的，即，CPU41确定从信息发布中心 3发布的发布数据是有效信息，并对发布数据的地图更新信息设定更新许可标志。CPU 41将该数据再次存储在RAM 42中，并且过程转到S217。
同时，在电子签名的解码数据与地图更新信息的散列值不一致(S214 ="否")时，CPU41通过使用公共密钥而确定电子签名未通过發汪，即， CPU 41确定该电子签名不是通过使用与其优先级为最高的公共密钥相对应的私密密钥而生成的，以使得过程转到S216。
在S216中，CPU 41还确定与所使用的公共密钥相对应的私密密钥已被第三方解密，以使得CPU 41对所使用的公共密钥设定暂时无效标志，将该公共密钥存储在RAM 42中，并且过程转到S217。
在S217中，CPU 41从RAM 42中读出所使用的公共密钥。如果对该公共密钥设定了暂时无效标志，则CPU 41再次重复S211之后的所有的过程。
具体地说，CPU 41从公共密钥存储部39中读出公共密钥PK1至公共密钥PK5中的所有的有效的公共密钥中的、其优先级为带有暂时无效标志的公共密钥的优先级的下一号的一个公共密钥，将所选择的公共密钥存储在RAM 42中，并再次重复S211之后的所有的过程。
同时，在S217中，CPU 41从RAM 42中读出所使用的公共密钥。在未对该公共密钥设定暂时无效标志时，CPU41终止过程的循环，并且过程转到S218。
在S218中，CPU 41从RAM 42中读出地图更新信息，并确定是否允许对该地图更新信息的地图更新处理，即，是否对该地图更新信息设定了更新许可标志。
在对该地图更新信息设定了更新许可标志(S218="是")时，过程转到S219。
在S219中，在RAM 42中存储了带有暂时无效标志的公共密钥时， CPU41读出带有暂时无效标志的公共密钥，将该公共密钥无效，并将该公共密钥存储回公共密钥存储部39。然后，CPU 41将公共密钥PK1至公共密钥PK5中的"有效的"公共密钥的优先级向前移，并将这些公共密钥存储回公共密钥存储部39中。然后，过程转到S220。
下面将参照图8至图10来描述S219中的过程的示例。
图8是示出在通过使用"有效的"公共密钥PK1而生成的、电子签名的解码数据与地图更新信息的散列值相一致时，存储在公共密钥存储部 39中的公共密钥PK1至公共密钥PK5的状态的图。图9是示出在通过使用"有效的"公共密钥PK1而生成的、电子签名的解码数据与地图更新信息的散列值不一致时并且在通过使用"有效的"公共密钥PK2而生成的、电子签名的解码数据与地图更新信息的散列值相一致时，存储在公共密钥存储部39中的公共密钥PK1至公共密钥PK5的状态的图。图10是示出在公共密钥PK1被无效时并且在通过使用"有效的"公共密钥PK2 而生成的、电子签名的解码数据与地图更新信息的散列值相一致时存储在公共密钥存储部39中的公共密钥PK1至公共密钥PK5的状态的图。
首先，如图8所示，CPU41通过4吏用其优先级为最高的"有效的" 公共密钥PK1来生成从信息发布中心3发布的发布数据的电子签名的解码数据。在电子签名的解码数据与根据发布数据的地图更新信息而计算出的散列值相一致时，即，在电子签名通过验汪时，CPU41确定该电子签名是通过4吏用与其优先级为最高的>^共密钥PK1相对应的私密密钥SK1 而生成的，即，CPU41确定从信息发布中心3发布的发布数据是有效信息。因此，CPU41对发布数据的地图更新信息设定更新许可标志，并将该数据存储回RAM 42中。CPU 41还确定其优先级为最高的公共密钥 PK1是"有效的"，将公共密钥PK1至公共密钥PK5的状态设定为"有效的"，并在对公共密钥PK1至公共密钥PK5设定从最高位至第五位的优先级的同时将^>共密钥PK1至公共密钥PK5存储在^〉共密钥存储部39 中。
此外，如图9所示，CPU41通过使用其优先级为最高的"有效的" 公共密钥PK1来生成从信息发布中心3发布的发布数据的电子签名的解码数据。在电子签名的解码数据与根据发布数据的地图更新信息而计算出的散列值不一致时，即，在电子签名未通过^E时，CPU41对其优先级为最高的公共密钥PK1设定暂时无效标志，并将公共密钥PK1存储在 RAM 42中。
接下来，CPU41通过使用其优先级为第二高的"有效的"公共密钥 PK2来生成电子签名的解码数据。在电子签名的解码数据与根据发布数据的地图更新信息而计算出的散列值相一致时，即，在电子签名通过^ 时，CPU 41确定该电子签名是通过使用与其优先级为第二高的公共密钥 PK2相对应的私密密钥SK2而生成的，即，CPU41确定从信息发布中心 3发布的发布数据是有效信息，对发布数据的地图更新信息设定更新许可标志，并将该数据存储回RAM 42中。
此外，CPU 41从RAM 42中读出带有暂时无效标志的公共密钥PK1, 将公共密钥PK1无效，并将PK1存储回公共密钥存储部39中。CPU 41 将"有效的"公共密钥PK2至公共密钥PK5的优先级向前移，并将这些公共密钥存储在公共密钥存储部39中。因此，如图9所示，公共密钥PK2 的优先级^L设定成最高，并且公共密钥PK3至公共密钥PK5的优先级被 i更定成第二位至第四位。
如图10所示，在公共密钥PK1为"无效的"时，CPU41通过使用其优先级为最高的"有效的"公共密钥PK2来生成从信息发布中心3发布的发布数据的电子签名的解码数据。在电子签名的解码数据与根据发布数据的地图更新信息而计算出的散列值相一致时，即，在电子签名通过验证时，CPU 41确定该电子签名是通过使用与其优先级为最高的公共密钥 PK2相对应的私密密钥SK2而生成的，即，CPU41确定从信息发布中心 3发布的发布数据是有效信息，对发布数据的地图更新信息设定更新许可标志，并将该数据存储回RAM 42中。CPU41确定其优先级为最高的公共密钥PK2是"有效的"，将公共密钥PK2至公共密钥PK5的状态设定为"有效的"，并在对这些公共密钥设定从最高位至第四位的优先级的同时将这些公共密钥存储在公共密钥存储部39中。
如图7所示，在S220中，CPU 41从RAM 42中读出从信息发布中心3发布的发布数据的地图更新信息(即，差异数据)，将关于导航地图信息38的发布目标区域(例如，以原始位置为其中心的约80公里见方的范围)的地图信息更新成最新版本的地图信息，并终止该过程。
同时，在不允许对地图更新信息的地图更新处理时，即，在未对地图更新信息设定更新许可标志(S218 ="否")时，CPU41确定从信息发布中心3发布的发布数据是无效信息，并且过程转到S221。
在S221中，CPU 41从RAM 42中读出带有暂时无效标志的任一公共密钥，从^^共密钥清除i殳定所有的暂时无效标志，并将作为"有效的" 密钥的公共密钥存储在公共密钥存储部39中。
在S222中，CPU 41报告因为从信息发布中心3发布的发布数据是无效信息，所以无法将导航地图信息38的发布目标区域(例如，以原始位置为其中心的约80公里见方的范围)的地图信息更新成最新版本的地图信息，并且终止该过程。例如，CPU 41能够在LCD 25上显示诸如 "地图更新失败，，的消息，并带有通过扬声器26而发出的诸如"无法更新地图数据"的音频指导。
下面将根据S211至S217中的过程，参照图11至图13来描述对存储在公共密钥存储部39中的所有的"有效的"公共密钥设定了暂时无效标志并且任一电子签名都未能通过IHE的示例。
首先，将参照图11来描述因为所获得的发布数据的电子签名是通过使用"无效的"私密密钥SK1而生成的、所以电子签名未通过發汪的示例。图ll是示出因为所获得的发布数据的电子签名是通过使用"无效的" 私密密钥SK1而生成的、所以电子签名未通过aii的示例的图。
如图ll所示，在所获得的发布数据的电子签名是通过使用无效的私密密钥SK1而生成的时，即，在公共密钥PK1是"无效的，，时，CPU41 通过4吏用其优先级为最高的"有效的"公共密钥PK2来生成从信息发布中心3发布的发布数据的电子签名的解码数据。
在这种情况下，电子签名的解码数据与根据发布数据的地图更新信息而计算出的散列值不一致，即，电子签名未通过验证。因此，CPU 41对其优先级为最高的公共密钥PK2设定暂时无效标志，并将PK2存储在 RAM 42中。相似的是，CPU 41还通过按优先级的顺序使用"有效的，，公共密钥PK3至公共密钥PK5中的每个公共密钥来生成电子签名的解码数据。在这种情况下，电子签名的解码数据中的任一解码数据都与根据地图更新信息而计算出的散列值不一致，即，任一电子签名都未通过验证。
因此，CPU 41对公共密钥PK3至公共密钥PK5中的每个公共密钥设定暂时无效标志，并将PK3至PK5存储回RAM42中。
在S218中，在CPU 41确定从信息发布中心3发布的发布数据是无效信息之后，过程转到S221。 CPU 41清除设定对公共密钥PK2至公共密钥PK5的所有的暂时无效标志，并将作为"有效的"密钥的爿>共密钥 PK2至公共密钥PK5存储回公共密钥存储部39中。
接下来，将参照图12来描述因为所获得的发布数据的地图更新信息由于通信故障而被破坏或被篡改、所以电子签名未通过验证的示例。图 12是示出因为所获得的发布数据的地图更新信息由于通信故障而被破坏或M改，所以电子签名未通过發汪的示例的图。
如图12所示，在所有的公共密钥PK1至公共密钥PK5是有效的并且所获得的发布数据的地图更新信息由于通信故障而被破坏或被篡改时， CPU41通过4吏用其优先级为最高的"有效的"/〉共密钥PK1来生成>^信息发布中心3发布的发布数据的电子签名的解码数据(即，通过使用私密密钥SK1而生成的)。
在这种情况下，电子签名的解码数据与根据^UL布数据中取得的、被破坏或被篡改的地图更新信息而计算出的散列值不一致，即，电子签名未通过验证。因此，CPU41对其优先级为最高的公共密钥PK1设定暂时无效标志，并将PK1存储在RAM 42中。CPU 41还通过按优先级的顺序使用"有效的"公共密钥PK2至公共密钥PK5来生成电子签名的解码数据。在这种情况下，电子签名的解码数据中的任一解码数据都与根据被破坏或被篡改的地图更新信息而计算出的散列值不一致，即，电子签名未通过验证。因此，CPU41对公共密钥PK2至公共密钥PK5设定暂时无效标志，并将公共密钥PK2至公共密钥PK5存储在RAM 42中。
在S218中，在CPU 41确定从信息发布中心3发布的发布数据是无效信息之后，过程转到S221。 CPU 41清除设定对公共密钥PK1至公共密钥PK5的所有的暂时无效标志，并将作为"有效的" 〃>共密钥的〃>共密钥PK1至公共密钥PK5存储回公共密钥存储部39中。
接下来，将参照图13来描述因为所获得的发布数据的电子签名是通过^f吏用除了私密密钥SK1至私密密钥SK5以外的一个私密密钥而生成的、所以电子签名未通过验证的示例。图13是示出因为所获得的发布数据的电子签名是通过使用除了私密密钥SKI至私密密钥SK5以外的一个私密密钥而生成的，所以电子签名未通过miE的示例的图。
如图13所示，在所有的公共密钥PK1至公共密钥PK5都是有效的并且所获得的发布数据的电子签名是通过使用除了私密密钥SK1至私密密钥SK5以外的一个私密密钥而生成的时，CPU41通过4吏用其优先级为最高的"有效的"公共密钥PK1来生成从信息发布中心3发布的发布数据的电子签名的解码数据。
在这种情况下，电子签名的解码数据与根据发布数据的地图更新信息而计算出的散列值不一致，即，电子签名未通过验证。因此，CPU 41对其优先级为最高的公共密钥PK1设定暂时无效标志，并将^>共密钥PK1 存储在RAM42中。CPU 41还通过按优先级的顺序使用"有效的，，公共密钥PK2至公共密钥PK5来生成电子签名的解码数据。在这种情况下，电子签名的解码数据中的任一解码数据都与根据地图更新信息而计算出的散列值不一致，即，电子签名未通过I^E。因此，CPU41对公共密钥 PK2至公共密钥PK5设定暂时无效标志，并将公共密钥PK2至公共密钥 PK5存储在RAM 42中。
在S218中，在CPU 41确定从信息发布中心3发布的发布数据是无效信息之后，过程转到S221。 CPU 41清除i更定对公共密钥PK1至公共密钥PK5的所有的暂时无效标志，并将作为"有效的"公共密钥的PK1 至PK5存储回公共密钥存储部39中。
如上所详述的，根据本实施例中的地图信息发布系统l，信息发布中心3中的CPU 11生成五套公共密钥PK1至公共密钥PK5与私密密钥SK1 至私密密钥SK5，并对公共密钥PK1至公共密钥PK5及私密密钥SK1 至私密密钥SK5 二者都设定从最高位至第五位的优先级。然后，信息发布中心3中的CPU 11将具有优先级的私密密钥SKI至私密密钥SK5存储在私密密钥存储部19A中。
信息发布中心3中的CPU 11将具有优先级的乂^共密钥PK1至公共密钥PK5授予导航设备2。信息发布中心3中的CPU 11根据地图更新信息来计算散列值，通过使用该散列值以及私密密钥存储部19A中的其优先级为最高的私密密钥二者来生成电子签名，生成作为带有电子签名的地图更新信息的发布数据，并将该发布数据通过网络4而发布给导航设备2 或PC 5 ( Sill至S116 )。
32导航设备2中的CPU41将由信息发布中心3所公布的、具有优先级的公共密钥PK1至公共密钥PK5存储在公共密钥存储部39中。导航设备2中的CPU41提^UMt息发布中心3发布的发布数据的电子签名，通过按优先级的顺序仅使用公共密钥PK1至公共密钥PK5中的"有效的，，公共密钥来生成电子签名的解码数据，并通过确定电子签名的解码数据是否与根据地图更新信息而计算出的散列值相一致来按顺序地B电子签名。在电子签名通过!Hi时，导航设备2中的CPU41确定从信息发布中心3发布的发布数据是有效信息(S211至S217 )。
信息发布中心3中的CPU 11通过使用分别具有优先级的私密密钥 SKI至私密密钥SK5中的其优先级为最高的"有效的，，私密密钥来生成电子签名，并对作为带有电子签名的地图更新信息的发布数据进行传送。由此，能够确保所发布的地图更新信息的安全。此外，因为在私密密钥存储部19A中预先存储五个私密密钥SK1至私密密钥SK5，所以即使在第三方解密了其优先级为最高的私密密钥时，也能够将被解密的私密密钥快速地转换成其余的私密密钥中的一个私密密钥。
导航设备2中的CPU 41通过使用存储在公共密钥存储部39中的公共密钥PK1至公共密钥PK5中的其优先级为最高的公共密钥来对从自信息发布中心3发布的发布数据中提取的电子签名进行验证。即使电子签名未通过!Hit， CPU 41也能够通过使用具有下一号的优先级的公共密钥来 IHE电子签名，而无需由可靠的第三方所提供的认证权威**来授予新的公共密钥。因此，能够快速地發汪电子签名并减少验汪的成本。
在通过使用由信息发布中心3所公布的公共密钥PK1至公共密钥 PK5而使电子签名通过验证时，导航设备2中的CPU41确定从信息发布中心3发布的发布数据是有效信息。因此，能够确保向导航设备2发布的地图更新信息的安全。
在第三方将存储在私密密钥存储部19A中的其优先级为最高的私密密钥解密时，信息发布中心3中的CPU11将其优先级为最高的私密密钥无效，将其余的私密密钥的优先级向前移，并将私密密钥存储回私密密钥存储部19A中(Sll至S13 )。
由此，即使第三方解密了其优先级为最高的私密密钥，被解密的其优先级为最高的私密密钥也被无效，并且能够快速地停止第三方使用被解密的私密密钥。即，能够确保向导航设备2发布的地图更新信息的安全。在其优先级为最高的私密密钥被无效时，其余的私密密钥的优先级被向前移，并被存储回私密密钥存储部19A中，以使得能够将其优先级为最高的私密密钥快速地转换成其余的私密密钥中的一个私密密钥并能够通过使用根据地图更新信息而计算出的散列值来生成电子签名。
导航设备2中的CPU 41通过按优先级的顺序使用公共密钥PK1至公共密钥PK5中的"有效的"公共密钥来验汪电子签名。如果在电子签名通过^￡之前存在未通过*汪的任一公共密钥，则对该公共密钥设定暂时无效标志，并将该公共密钥存储在RAM 42中。在M布数据中^C取的电子签名通过j^i时，CPU 41将带有暂时无效标志的公共密钥无效，将其余的公共密钥的优先级向前移，并将这些公共密钥存储回公共密钥存储部39中(S214 ="否"至S219 )。
作为对此的响应，在第三方解密了存储在私密密钥存储部19A中的、且其优先级为最高的私密密钥时，信息发布中心3中的CPU 11将被解密的私密密钥无效，将其余的私密密钥的优先级向前移，并将这些私密密钥存储回私密密钥存储部19A中。因此，即使新的电子签名是通过使用其优先级已被转变成最高的私密密钥而生成的，导舵i殳备2中的CPU41也能够确定地将与被解密的私密密钥相对应的公共密钥无效，而不接收来自信息发布中心3的、与被解密的私密密钥相对应的公共密钥的任何数据。
在导航设备2中的CPU41将与被解密的私密密钥相对应的公共密钥无效时，CPU41能够将公共密钥PK1至公共密钥PK5中的其余的公共密钥中的"有效的，，公共密钥的优先级向前移，并通过按优先级的顺序使用 "有效的"公共密钥来对从义布数据中提取的电子签名进行顺利的，而无需从由可靠的第三方所提供的认证权威机构向其公布的新的公共密钥。
此夕卜，在导航设备2中的CPU 41通过M先级的顺序使用公共密钥 PK1至公共密钥PK5中的"有效的"公共密钥来对M布数据中提取的电子签名进行验证时，在该电子签名未通过验汪时，CPU41按顺序地对所使用的公共密钥中的每个公共密钥设定暂时无效标志，并将这些公共密钥存储在RAM 42中。在即使通过使用任一 "有效的，，公共密钥、电子签名也未通过!Ht时，CPU 41清除设定对公共密钥的所有的暂时无效标志，并将作为"有效的"公共密钥的这些公共密钥存储在公共密钥存储部 39中。CPU 41还确定所获得的发布数据是无效信息(S214="否"至S216 以及S216至S221 )。
因此，在恶意的第三方通过使用与由信息发布中心3所拥有的私密密钥中的任一私密密钥都不同的私密密钥来对地图更新信息设定了电子签名时，对公共密钥中的每个公共密钥设定暂时无效标志，以防止通过使用
所有的有效的公共密钥而使电子签名通过發汪。然而，CPU41能够清除设定所有的暂时无效标志，以使得能够保持所有的"有效的"公共密钥的有效性，并且因为CPU41能够确定发布数据是无效信息，所以能够确保要被发布的地图更新信息的安全。
信息发布中心3中的CPU 11根据向导航设备2或PC 5发布的地图更新信息来计算散列值，并通过使用该散列值以及存储在私密密钥存储部 19A中的其优先级为最高的私密密钥二者来生成电子签名。导航i殳备2中的CPU 41通过按优先级的顺序仅使用公共密钥PK1至公共密钥PK5中的有效的公共密钥来生成从所获得的发布数据中提取的电子签名的解码数据。
导航设备2中的CPU 41将从所获得的发布数据中提取的地图更新信息散列。在散列值与解码数据相一致时，CPU41使电子签名通过验汪。在散列值与解码数据不一致时，CPU41不允许电子签名通过验证。
由此，信息发布中心3中的CPU 11通过使用根据要枕良布的地图更新信息而计算出的散列值以及存储在私密密钥存储部19A中的其优先级为最高的"有效的，，私密密钥二者来生成电子签名，以使得能够快速地生成电子签名。不仅在恶意的第三方通过使用与由信息发布中心3所拥有的私密密钥SK1至私密密钥SK5中的任一私密密钥都不同的私密密钥来对地图更新信息设定了电子签名时，而且在不改变电子签名的情况下篡改地图更新信息时，导航设备2中的CPU41都不允许电子签名通过验证，并且能够在散列值与解码数据不一致时检测到地图更新信息的改变，以使得能够确保地图更新信息的安全。
注意，本发明不必受到上述实施例的限制。可以在不背离根本原理的广义精神及范围的情况下做出各种改变。
例如，在导航设备2不包^信装置27的情况下，导航设备2的用户在请求发布地图更新信息时，能够通过PC 5来向信息发布中心3传送通过网络4而预先登记在信息发布中心3中的、用于指定该用户的用户 ID'
因此，PC 5能够通过网络4来获得来自信息发布中心3的、关于以已登记的用户的原始位置或目的地为其中心的预定范围的、作为带有电子
35签名的地图更新信息的发布数据。此外，PC 5能够通过存储部5A来将所获得的可读发布数据存储在作为存储介质的CD-ROM 6上。由此，即使导航设备2不包^it信装置27，在将CD-ROM 6插入导航设备2中的读取部28中时，PC 5也能够将地图更新信息传送给导航设备2。
权利要求
1.一种导航设备，包括公共密钥存储装置，它存储对其分配了优先级的、用于对从信息发布中心发布的地图信息进行验证的多个公共密钥；电子签名提取装置，其提取对从所述信息发布中心发布的所述地图信息设定的电子签名；验证控制装置，它通过按所述优先级的顺序使用对其设定了所述优先级的所述多个公共密钥来验证所述电子签名；以及确定装置，如果所述电子签名通过验证，则该确定装置确定所述地图信息是从所述信息发布中心发布的有效信息。
2. 根据权利要求1所述的导航设备，其中如果在所述电子签名通过^之前存在未通过!Hi的/^共密钥，则所述^控制装置进行控制以将未通过JlHi的公共密钥设定为无效的。
3. 根据权利要求2所述的导航设备，其中所述IHE控制装置包括暂时无效设定装置，其将未通过验汪的公共密钥^1定为暂时无效密钥，并且在所述电子签名通过發汪时，所述mi控制装置将被所述暂时无效设定装置设定为暂时无效密钥的公共密钥无效，并且所述m^控制装置还将其余的公共密钥的优先级向前移，并进行控制以将所述公共密钥存储回所述公共密钥存储装置中。
4. 根据权利要求3所述的导航设备，其中在所述电子签名未通过發汪时，所述!HiE控制装置进行控制以清除设定所述暂时无效设定装置对所述公共密钥作为一个暂时无效密钥的设定，并且所述确定装置确定所述地图信息是无效信息。
5. 根据权利要求1至权利要求4中的任一项所述的导航设备，该导航设备还包括解码数据生成装置，其通过使用存储在所述公共密钥存储装置中的所述公共密钥来生成所述电子签名的解码数据；以及导航散列值生成装置，其生成所述地图信息的散列值；其中在所述解码数据与所述散列值相一致时，所述^控制装置允许所述电子签名通过验证，而在所述解码数据与所述散列值不一致时，所述B 控制装置不允许所述电子签名通过验证。
6. —种信息发布系统，包括信息发布中心，其用于发布地图信息；以及导航设备，其中所述信息发布中心还包括密钥生成装置，其生成多套一个7>共密钥与一个私密密钥，并对所述多套一个z^共密钥与一个私密密钥设定优先级；私密密钥存储装置，其存储具有所述优先级的所述多个私密密钥；电子签名生成装置，它通过使用其优先级在所述私密密钥存储装置中被存储为最高的一个私密密钥来生成电子签名；以及发布装置，其发布带有所述电子签名的地图信息，其中所述信息发布中心将具有所述优先级的所述多个公共密钥授予所述导航i史备，并且所述导航i殳备还包括公共密钥存储装置，其存储由所述信息发布中心所授予的、具有所述优先级的所述多个公共密钥；电子签名提取装置，其提取对从所述信息发布中心发布的所述地图信息设定的所述电子签名；IHiE控制装置，其进行控制以通过按所述优先级的顺序使用具有所述优先级的所述多个公共密钥来验汪所述电子签名；以及确定装置，如果所述电子签名通过mt，则该确定装置确定所述地图信息是从所述信息发布中心发布的有效信息。
7. 根据权利要求6所述的信息发布系统，其中如果在所述电子签名通过mi之前存在未通过IHE的公共密钥，则所述IHi控制装置进行控制以将未通过發汪的公共密钥设定为无效的。
8. 根据权利要求7所述的信息发布系统，其中所述^E控制装置包括暂时无效设定装置，其将未通过!Ht的公共密钥设定为暂时无效密钥，其中如果所述电子签名通过!Hi，则所述l^控制装置将被所述暂时无效设定装置设定为暂时无效密钥的公共密钥无效，并且将其余的公共密钥的优先级向前移，并进行控制以将所述公共密钥存储回所述公共密钥存储装置中。
9. 根据权利要求8所述的信息发布系统，其中如果所述电子签名未通过斷正，则所述發汪控制装置进行控制以清除设定所述暂时无效设定装置对所述公共密钥作为一个暂时无效密钥的设定，并且所述确定装置确定所述地图信息是无效信息。
10. 根据权利要求6至权利要求9中的任一项所述的信息发布系统，其中所述电子签名生成装置包括中心散列值生成装置，其生成所述地图信息的散列值，其中所述电子签名生成装置通过使用所述散列值以及其优先级在所述私密密钥存储装置中被存储为最高的私密密钥二者来生成所述电子签名，并且所述^E控制装置包括解码数据生成装置，其生成通过4吏用存储在所述>^共密钥存储装置中的所述公共密钥来对所述电子签名进行解码而得到的解码数据；以及导航散列值生成装置，其生成所述地图信息的所述散列值，其中在所述解码数据与所述散列值相一致时，所述B控制装置允许所述电子签名通过發汪，而在所述解码数据与所述散列值不一致时，所述mi 控制装置不允许所述电子签名通过验证。
11. 一种导航方法，包括存储具有优先级的、用于对从信息发布中心发布的地图信息进行,的多个公共密钥的步骤；提取对从所述信息发布中心发布的所述地图信息设定的电子签名的步骤；进行控制以通过按所述优先级的顺序使用在所述存储公共密钥的步骤中所存储的所述多个公共密钥来对在所述提取电子签名的步骤中所提取的所述电子签名进行验证的步骤；以及如果在所述控制發汪的步骤中所述电子签名通过验证、则确定所述地图信息是从所述信息发布中心发布的有效信息的步骤。
12. —种用于从信息发布中心向导航设备发布地图信息的信息发布方法，包括由所述信息发布中心所执行的、生成多套一个>^共密钥与一个私密密钥并对所述多套一个公共密钥与一个私密密钥设定优先级的步骤；由所述信息发布中心所执行的、存储在所述生成密钥的步骤中对其设定了优先级的所述多个私密密钥的步骤；由所述信息发布中心所执行的、将在所述生成密钥的步骤中对其设定了优先级的所述多个公共密钥授予所述导航设备的步骤；由所述导航设备所执行的、将对其设定了优先级的且在所述授予所述多个密钥的步骤中由所述信息发布中心所授予的所述多个公共密钥存储起来的步骤；由所述信息发布中心所执行的、通过使用在所述存储所述多个私密密钥的步骤中其优先级被存储为最高的私密密钥来生成电子签名的步骤；由所述信息发布中心所执行的、将所述地图信息与在所述生成所述电子签名的步骤中所生成的所述电子签名一起良布给所述导^i殳备的步骤；由所述导航设备所执行的、提取在所iOL布所述电子签名的步骤中从所述信息发布中心发布的、所述地图信息的所述电子签名的步骤；由所述导航设备所执行的、进行控制以通过按所述优先级的顺序4吏用在所述存储公共密钥的步骤中所存储的所述多个公共密钥来对在所述提取所述电子签名的步骤中所提取的所述电子签名进行验证的步骤；以及由所述导航设备所执行的、如果在所述进行控制以验证所述电子签名的步骤中所述电子签名通过验证、则确定所述地图信息是从所述信息发布中心发布的有效信息的步骤。
全文摘要
导航设备2中的CPU 41将对其设定了优先级的、并由信息发布中心3所公布的公共密钥PK1至公共密钥PK5中的每个公共密钥存储在公共密钥存储部39中。导航设备2中的CPU 41提取从信息发布中心3发布的发布数据的电子签名，并通过按优先级的顺序仅使用公共密钥PK1至公共密钥PK5中的“有效的”公共密钥来验证该电子签名。在电子签名通过验证时，导航设备2中的CPU 41确定所述发布数据是从信息发布中心3发布的有效信息。
文档编号H04L29/06GK101568803SQ200880001168
公开日2009年10月28日申请日期2008年1月15日优先权日2007年1月17日
发明者中村德裕, 小段友纪, 杉本浩伸, 枡田浩义, 森部薰生, 永田赖之, 酒井彻申请人:爱信艾达株式会社;丰田自动车株式会社

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：中村德裕;森部薰生;枡田浩义;酒井彻;永田赖之;杉本浩伸;小段友纪
技术所有人：爱信艾达株式会社;丰田自动车株式会社
我是此专利的发明人

上一篇：同步信号生成装置的利记博彩app
上一篇：代码转换器、代码转换方法、解码器以及解码方法

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。