知財求人 - 知財ポータルサイト「IP Force」
▶ パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】特開2021-185503(P2021-185503A)
(43)【公開日】2021年12月9日
(54)【発明の名称】不正対処方法及び車両の外部に設置された情報処理装置
(51)【国際特許分類】
G08G 1/09 20060101AFI20211112BHJP
H04L 12/44 20060101ALI20211112BHJP
【FI】
G08G1/09 F
G08G1/09 H
H04L12/44 M
【審査請求】有
【請求項の数】5
【出願形態】OL
【全頁数】39
(21)【出願番号】特願2021-131509(P2021-131509)
(22)【出願日】2021年8月12日
(62)【分割の表示】特願2019-177026(P2019-177026)の分割
【原出願日】2015年11月5日
(31)【優先権主張番号】62/105,244
(32)【優先日】2015年1月20日
(33)【優先権主張国】US
(71)【出願人】
【識別番号】514136668
【氏名又は名称】パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ
【氏名又は名称原語表記】Panasonic Intellectual Property Corporation of America
(74)【代理人】
【識別番号】100109210
【弁理士】
【氏名又は名称】新居 広守
(74)【代理人】
【識別番号】100137235
【弁理士】
【氏名又は名称】寺谷 英作
(74)【代理人】
【識別番号】100131417
【弁理士】
【氏名又は名称】道坂 伸一
(72)【発明者】
【氏名】芳賀 智之
(72)【発明者】
【氏名】松島 秀樹
(72)【発明者】
【氏名】氏家 良浩
(72)【発明者】
【氏名】岸川 剛
【テーマコード(参考)】
5H181
5K033
【Fターム(参考)】
5H181AA01
5H181BB04
5H181CC03
5H181CC04
5H181CC12
5K033AA08
5K033BA06
5K033DB18
5K033DB20
5K033EA02
(57)【要約】
【課題】車両が不正に制御される可能性が高い場合にその影響を抑制するために適切に対処する不正対処方法を提供する。【解決手段】路側機において用いられる不正対処方法では、一の車両に搭載された車載ネットワークで不正フレームが検知された際に当該一の車両に搭載された装置から送信される不正検知通知としての車車間通信メッセージを受信し、受信した内容に応じて(例えばレベル判定のステップS304)、例えば安全状態へ移行するために予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理(例えばステップS305〜S311)を実行する。
【選択図】図11
【特許請求の範囲】
【請求項1】
路側機において用いられる不正対処方法であって、
一の車両に搭載された車載ネットワークで不正フレームが検知された際に当該一の車両に搭載された装置から送信される不正検知通知を受信し、
受信した前記不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行し、
前記不正検知通知は、複数レベルのうち1つのレベルを示すレベル情報を含み、
受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに応じて、不正対応処理の前記選択を行う
不正対処方法。
一の車両に搭載された車載ネットワークで不正フレームが検知された際に当該一の車両に搭載された装置から送信される不正検知通知を受信し、
受信した前記不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行し、
前記不正検知通知は、複数レベルのうち1つのレベルを示すレベル情報を含み、
受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに応じて、不正対応処理の前記選択を行う
不正対処方法。
【請求項2】
不正対応処理の前記選択は、前記複数レベルそれぞれについて不正対応処理を対応付けた対応情報を参照することにより行われ、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに前記対応情報で対応する不正対応処理の選択である
請求項1記載の不正対処方法。
請求項1記載の不正対処方法。
【請求項3】
前記対応情報が前記複数レベルのうちいずれか1つ以上と対応付けている各不正対応処理は、前記路側機の周辺を走行中の他の車両の走行を停止させる制御、当該他の車両を徐行させる制御、当該他の車両と前方の車両との車間距離を一定範囲に保って走行させる制御、及び、当該他の車両の運転者への報知を行う制御のうちの少なくとも1つを含む
請求項2記載の不正対処方法。
請求項2記載の不正対処方法。
【請求項4】
車両と路側機の間で通信を行うことで不正な事態に対処する不正対処方法であって、
前記車両に搭載された車載ネットワークで不正フレームが検知された際に当該車両に搭載された装置が不正検知通知を送信し、
前記路側機が、前記不正検知通知を受信し、受信した当該不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行し、
前記車両に搭載された前記装置は、前記不正フレームが検知された際に、フレームIDを区分して予め定められた複数レベルのうち、当該不正フレームのフレームIDに基づいて選定された1つのレベルを示すレベル情報を前記不正検知通知に含ませて前記送信を行い、
前記路側機は、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに応じて、不正対応処理の前記選択を行う
不正対処方法。
前記車両に搭載された車載ネットワークで不正フレームが検知された際に当該車両に搭載された装置が不正検知通知を送信し、
前記路側機が、前記不正検知通知を受信し、受信した当該不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行し、
前記車両に搭載された前記装置は、前記不正フレームが検知された際に、フレームIDを区分して予め定められた複数レベルのうち、当該不正フレームのフレームIDに基づいて選定された1つのレベルを示すレベル情報を前記不正検知通知に含ませて前記送信を行い、
前記路側機は、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに応じて、不正対応処理の前記選択を行う
不正対処方法。
【請求項5】
車両に搭載された車載ネットワークで不正フレームが検知された際に当該車両に搭載された装置から送信される不正検知通知を受信する受信部と、
前記受信部により受信された前記不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行する不正対処部とを備え、
前記不正検知通知は、複数レベルのうち1つのレベルを示すレベル情報を含み、
前記不正対処部は、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに応じて、不正対応処理の前記選択を行う
路側機。
前記受信部により受信された前記不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行する不正対処部とを備え、
前記不正検知通知は、複数レベルのうち1つのレベルを示すレベル情報を含み、
前記不正対処部は、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに応じて、不正対応処理の前記選択を行う
路側機。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電子制御ユニットが通信を行う車載ネットワークにおいて送信された不正なフレームを検知した場合に対処する技術に関する。
【背景技術】
【0002】
近年、自動車の中のシステムには、電子制御ユニット(ECU:Electronic Control Unit)と呼ばれる装置が多数配置されている。これらのECUをつなぐネットワークは車載ネットワークと呼ばれる。車載ネットワークには、多数の規格が存在する。その中でも最も主流な車載ネットワークの一つに、ISO11898−1で規定されているCAN(Controller Area Network)という規格が存在する。
【0003】
CANでは、通信路は2本のバスで構成され、バスに接続されているECUはノードと呼ばれる。バスに接続されている各ノードは、フレームと呼ばれるメッセージを送受信する。フレームを送信する送信ノードは、2本のバスに電圧をかけ、バス間で電位差を発生させることによって、レセシブと呼ばれる「1」の値と、ドミナントと呼ばれる「0」の値を送信する。複数の送信ノードが全く同一のタイミングで、レセシブとドミナントを送信した場合は、ドミナントが優先されて送信される。受信ノードは、受け取ったフレームのフォーマットに異常がある場合には、エラーフレームと呼ばれるフレームを送信する。エラーフレームとは、ドミナントを6bit連続して送信することで、送信ノードや他の受信ノードにフレームの異常を通知するものである。
【0004】
またCANでは送信先や送信元を指す識別子は存在せず、送信ノードはフレーム毎にメッセージIDと呼ばれるIDを付けて送信し(つまりバスに信号を送出し)、各受信ノードは予め定められたメッセージIDのみを受信する(つまりバスから信号を読み取る)。また、CSMA/CA(Carrier Sense Multiple Access/Collision Avoidance)方式を採用しており、複数ノードの同時送信時にはメッセージIDによる調停が行われ、メッセージIDの値が小さいフレームが優先的に送信される。
【0005】
ところで、不正なECUが、不正なメッセージをバス上に送信し、車載ネットワークを搭載する車両を不正に制御するリスクがあり、1台の車両が不正に制御されると、周囲の車両を巻き込んで衝突等の事故が発生し得る。
【0006】
また、近年、コネクテッドカーと呼ばれるように、自動車がネットワークを介して様々な機器等と情報の交換を行うようになっている。例えば、車両同士で情報を交換する車車間通信を利用すると、未然に事故を防ぎ、より安全な交通システムを実現することが可能となる。車車間通信システムを利用した技術として、自車の近傍に位置する移動物体が危険要素であるか否かを識別し、他車に通知するシステムが知られている(特許文献1参照)。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2007−310457号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
特許文献1の技術では、車両の近傍の移動物体が危険要素であるか否かの識別をするものの、車両内部における異常について後方車両に通知しない。しかし、車両内部において車両が不正に制御されたような場合には、衝突等の事故が生じ得る。
【0009】
そこで、本発明は、車両が不正に制御される可能性が高い場合にその影響を抑制するために適切に対処する不正対処方法を提供する。また、本発明は、車両が不正に制御される可能性が高い場合にその影響を抑制するために適切に対処する電子制御ユニット(ECU)を提供する。
【課題を解決するための手段】
【0010】
上記課題を解決するために本発明の一態様に係る不正対処方法は、路側機において用いられる不正対処方法であって、一の車両に搭載された車載ネットワークで不正フレームが検知された際に当該一の車両に搭載された装置から送信される不正検知通知を受信し、受信した前記不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行し、前記不正検知通知は、複数レベルのうち1つのレベルを示すレベル情報を含み、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに応じて、不正対応処理の前記選択を行う。
【0011】
また、上記課題を解決するために本発明の一態様に係る不正対処方法は、車両と路側機の間で通信を行うことで不正な事態に対処する不正対処方法であって、前記車両に搭載された車載ネットワークで不正フレームが検知された際に当該車両に搭載された装置が不正検知通知を送信し、前記路側機が、前記不正検知通知を受信し、受信した当該不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行し、前記車両に搭載された前記装置は、前記不正フレームが検知された際に、フレームIDを区分して予め定められた複数レベルのうち、当該不正フレームのフレームIDに基づいて選定された1つのレベルを示すレベル情報を前記不正検知通知に含ませて前記送信を行い、前記路側機は、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに応じて、不正対応処理の前記選択を行う。
【0012】
また、上記課題を解決するために本発明の一態様に係る路側機は、車両に搭載された車載ネットワークで不正フレームが検知された際に当該車両に搭載された装置から送信される不正検知通知を受信する受信部と、前記受信部により受信された前記不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行する不正対処部とを備え、前記不正検知通知は、複数レベルのうち1つのレベルを示すレベル情報を含み、前記不正対処部は、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに応じて、不正対応処理の前記選択を行う。
【発明の効果】
【0013】
本発明によれば、一の車両の車載ネットワークにおいて不正なフレームが検知された場合に、他の車両へとその旨を通知するため、一の車両が不正に制御された場合であっても、一の車両の周辺の他の車両への影響を抑えることが可能となる。
【図面の簡単な説明】
【0014】
【図1】実施の形態1に係る車車間通信システムの全体構成を示す図である。
【図2】実施の形態1に係る車両の構成を示す図である。
【図3】CANプロトコルで規定されるデータフレームのフォーマットを示す図である。
【図4】実施の形態1に係る不正検知ECUの構成図である。
【図5】実施の形態1に係る不正検知ECUが保持するホワイトリストの一例を示す図である。
【図6】実施の形態1に係る不正なフレームの検知に係る動作例を示すシーケンス図である。
【図7】実施の形態1に係るレベル情報を示す図である。
【図8】実施の形態1に係る車車間通信メッセージの構成の一例を示す図である。
【図9】実施の形態1に係る不正検知時の車両の各部の動作を示すシーケンス図である。
【図10】実施の形態1に係る対応情報の一例を示す図である。
【図11】実施の形態1に係る車車間通信メッセージを受信した車両の各部の動作を示すシーケンス図である。
【図12】実施の形態2に係る複数の車両が連続的に後続車に車車間通信メッセージを通知する例を示す図である。
【図13】実施の形態2に係る車車間通信メッセージの構成の一例を示す図である。
【図16】実施の形態3に係る車車間通信メッセージの構成の一例を示す図である。
【図17】実施の形態3に係るレベル変更条件の一例を示す図である。
【図18】実施の形態3に係る複数の車両が連続的に後続車に車車間通信メッセージを通知する例を示す図である。
【図21】実施の形態4に係る路車間通信システムの全体構成を示す図である。
【図22】実施の形態5に係る複数の車両が連続的に後続車に車車間通信メッセージを通知する例を示す図である。
【図23】実施の形態5に係る車車間通信メッセージの構成の一例を示す図である。
【発明を実施するための形態】
【0015】
本発明の一態様に係る不正対処方法は、一の車両に搭載された1つ又は複数の電子制御ユニットにおいて用いられる不正対処方法であって、他の車両に搭載された車載ネットワークで不正フレームが検知された際に当該他の車両に搭載された装置から送信される不正検知通知を受信し、受信した前記不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行する不正対処方法である。これにより、一の車両では、他の車両の車載ネットワークにおいて不正なフレームが検知された場合に、その旨の通知を受信でき、不正対応処理により例えば他の車両が不正に制御された場合の影響を低減し得る。
【0016】
また、前記不正検知通知は、複数レベルのうち1つのレベルを示すレベル情報を含み、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに応じて、不正対応処理の前記選択を行うこととしても良い。これにより、不正対応処理に対応して他の車両においてレベル情報を設定することで、他の車両で不正に制御される可能性が生じた場合に適切な対処を一の車両に行わせることが可能になる。
【0017】
また、不正対応処理の前記選択は、前記複数レベルそれぞれについて不正対応処理を対応付けた対応情報を参照することにより行われ、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに前記対応情報で対応する不正対応処理の選択であることとしても良い。これにより、対応情報としてレベルと不正対応処理の内容とを適切に設定しておけば、他の車両で不正に制御される可能性が生じた場合に適切な対処を一の車両に行わせることが可能になる。
【0018】
また、前記対応情報が前記複数レベルのうちいずれか1つ以上と対応付けている各不正対応処理は、前記一の車両の走行を停止させる制御、当該車両を徐行させる制御、当該車両と前方の車両との車間距離を一定範囲に保って走行させる制御、及び、当該車両の運転者への報知を行う制御のうちの少なくとも1つを含むこととしても良い。これにより、他の車両で不正に制御される可能性が生じた場合に一の車両を安全状態に移行させることが可能になり、例えば複数車両を巻き込んだ事故の発生を抑制し得る。
【0019】
また、更に、受信した前記不正検知通知の内容に基づいて所定条件が満たされているか否かを判定し、当該所定条件が満たされている場合には前記一の車両の外部に当該不正検知通知を送信し、当該所定条件が満たされていない場合には当該不正検知通知を送信しないこととしても良い。これにより、一定条件下で不正検知通知の転送が可能となり、例えば個々の車両における車車間通信で比較的小さい送信出力を用いても、ある程度広い範囲(その範囲を走行中の車両)に不正検知通知を伝達することが可能となり得る。不正検知通知を伝達された車両は例えば安全状態に移行する等の対処を行うことができる。また、条件付きで転送がなされるため、不必要に広範囲にまで転送が行われないように条件を定めておくような利用が可能となる。
【0020】
また、前記不正検知通知は、転送の条件を示す条件情報を含み、受信した前記不正検知通知に含まれる前記条件情報が示す転送の条件が満たされている場合には前記所定条件が満たされているとして前記判定を行い、当該条件情報が示す転送の条件が満たされていない場合には前記所定条件が満たされていないとして前記判定を行うこととしても良い。これにより、例えば不正検知通知を送信する車両が、その不正検知通知についての転送条件を定めることが可能となる。
【0021】
また、前記不正検知通知は、前記不正フレームを検知して当該不正検知通知を送信した前記装置を搭載する前記他の車両についての測定された位置を示す位置情報を含み、前記所定条件は、前記一の車両についての測定した位置と、受信した前記不正検知通知に含まれる前記位置情報が示す位置との距離が一定範囲内であるという条件であることとしても良い。また、前記不正検知通知は回数を示す回数情報を含み、前記所定条件は、前記不正フレームを検知して前記不正検知通知を送信した前記装置からの当該不正検知通知を受信するまでに転送がなされた回数が所定回数より少ないという条件であり、受信した前記不正検知通知に含まれる前記回数情報に基づいて、前記所定条件が満たされているか否かに係る前記判定を行い、受信した前記不正検知通知の前記送信に際して、当該不正検知通知に含まれる前記回数情報を更新した上で当該送信を行うこととしても良い。また、前記不正検知通知は、時刻を示す時刻情報を含み、前記所定条件は、受信した前記不正検知通知に含まれる前記時刻情報が示す時刻からの経過時間が所定時間より短いという条件であることとしても良い。これらにより、不正が検知された車両から、ある程度の範囲内に限定して不正検知通知が伝達されるようになり、十分離れた車両が不正対応処理を行うことによる弊害(例えば不正対応処理として停止、徐行等を行うことによる交通渋滞の発生等)が防止され得る。即ち、全ての車両が安全状態にするための不正対応処理を行うのではなく、不正が検知された車両から一定の範囲にある車両のみを例えば安全状態に移行することができ、交通システムへの影響(交通渋滞の発生等)を抑えることが可能となる。
【0022】
また、受信した前記不正検知通知の前記送信に際して、当該不正検知通知に含まれる前記レベル情報を所定レベル変更規則に基づいて更新した上で当該送信を行うこととしても良い。これにより、不正が検知された車両の周辺の複数の各車両において行われる不正対応処理を相違させ得る。このため、例えば、不正が検知された車両からの距離が離れるにつれてレベルを低くすること等が可能となり、これに対応してレベルが低くなる程、不正対応処理の程度を、例えば停止から徐行、徐行から一定車間距離を保って走行等と、交通システムへの悪影響が小さくなるようにすることができる。
【0023】
また、本発明の一態様に係る不正対処方法は、第1及び第2の車両間で通信を行うことで不正な事態に対処する不正対処方法であって、前記第1の車両に搭載された車載ネットワークで不正フレームが検知された際に当該第1の車両に搭載された装置が不正検知通知を送信し、前記第2の車両に搭載された1つ又は複数の電子制御ユニットが、前記不正検知通知を受信し、受信した当該不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行する不正対処方法である。これにより、第1の車両で車載ネットワークにおいて不正フレームが検知された場合に、第2の車両で適切な不正対応処理により対処することが可能となり得る。
【0024】
また、前記第1の車両に搭載された前記装置は、前記不正フレームが検知された際に、フレームIDを区分して予め定められた複数レベルのうち、当該不正フレームのフレームIDに基づいて選定された1つのレベルを示すレベル情報を前記不正検知通知に含ませて前記送信を行い、前記第2の車両に搭載された1つ又は複数の前記電子制御ユニットは、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに応じて、不正対応処理の前記選択を行うこととしても良い。これにより、レベル情報が、機能を分類した機能種別毎に設定され得る。このため、車載ネットワークにおいてフレームIDを機能種別毎に区分して、不正フレームにより生じる影響(区分毎に異なる影響)の程度に対応した不正対応処理が実行され得る。機能種別は、例えば、駆動系機能、シャーシ系機能、ボディ系機能、安全快適機能、ITS(Intelligent Transport Systems)系機能、テレマティクス系機能、インフォテインメント系機能等である。
【0025】
また、本発明の一態様に係る不正対処方法は、一の車両に搭載された車載ネットワークに接続された電子制御ユニットにおいて用いられる不正対処方法であって、前記一の車両に搭載された車載ネットワークで不正フレームを検知した場合に他の車両へと不正検知通知を送信する不正対処方法である。これにより、一の車両において不正に制御される可能性がある程度高まったこと(つまり不正フレームが検知されたこと)を、他の車両において知ることが可能となる。
【0026】
また、本発明の一態様に係る電子制御ユニット(ECU)は、自ユニットが搭載された車両とは別の車両に搭載された車載ネットワークで不正フレームが検知された際に当該別の車両に搭載された装置から送信される不正検知通知を受信する受信部と、前記受信部により受信された前記不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行する不正対処部とを備える電子制御ユニットである。このECUを搭載した車両において、別の車両で不正フレームが検知されたことに対処することが可能になる。
【0027】
また、本発明の一態様に係る電子制御ユニット(ECU)は、車載ネットワークに接続された電子制御ユニットであって、前記車載ネットワークにおいて送信された不正フレームを検知する不正検知部と、前記不正検知部により不正フレームが検知された場合に自ユニットを搭載する車両とは別の車両へと不正検知通知を送信する送信部とを備える電子制御ユニットである。これにより、不正フレームを検知した場合に他の車両にその旨を伝達することが可能となり、このため他の車両において対処が可能となり得る。
【0028】
なお、これらの全般的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なCD−ROM等の記録媒体で実現されても良く、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されても良い。
【0029】
以下、実施の形態に係る不正対処方法を用いる車車間通信システムについて、図面を参照しながら説明する。ここで示す実施の形態は、いずれも本発明の一具体例を示すものである。従って、以下の実施の形態で示される数値、構成要素、構成要素の配置及び接続形態、並びに、ステップ(工程)及びステップの順序等は、一例であって本発明を限定するものではない。以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意に付加可能な構成要素である。また、各図は、模式図であり、必ずしも厳密に図示されたものではない。
【0030】
(実施の形態1)以下、本発明の実施の形態として、車両に搭載された複数のECUがバスを介して通信する車載ネットワークシステムでバスに送出された不正なフレーム(不正なCANメッセージ)を検知した場合にその車両から車車間通信で後方の車両に通知する車車間通信システムについて、図面を用いて説明する。その後方の車両においては、車車間通信で受信した内容に応じてその車両を安全状態にするための不正対応処理を実施する。
【0031】
[1.1 車車間通信システムの全体構成]図1は、車車間通信システムの全体構成を示す図である。車車間通信システムは、車両10(車両A)と車両20(車両B)と認証局50とを含んで構成される。
【0032】
ここでは、車車間通信システムは、公開鍵暗号基盤(PKI:Public Key Infrastructure)を利用するものとする。各車両は、車車間通信で使用する秘密鍵と公開鍵証明書とを保有する。公開鍵証明書は、秘密鍵と対となる公開鍵の所有者を証明するものとして、信頼できる第三者機関である認証局(CA:Certification Authority)50によって与
えられた電子署名を含む。図1では、認証局50を1つ示したが、認証局は階層関係を持って複数存在しても良い。CA証明書1300は、認証局50の公開鍵を含む。
【0033】
車両10(車両A)は、車両A秘密鍵1301と、車両A公開鍵証明書1302と、CA証明書1300と、証明書失効リスト(CRL:Certificate Revocation List)1303とを保持している。
【0034】
車両20(車両B)は、車両B秘密鍵2301と、車両B公開鍵証明書B2302と、CA証明書1300と、CRL1303とを保持している。
【0035】
車両A公開鍵証明書1302と車両B公開鍵証明書B2302とのそれぞれは、認証局50の秘密鍵(不図示)で電子署名が付与され、認証局50から配布される。各車両への公開鍵証明書、秘密鍵等の記録(例えば車両に備えられるECUへの書き込み)は、車両の製造段階、出荷段階、車両に搭載されるECUの製造段階等のいずれにおいて行われても良い。
【0036】
CRL1303は、認証局50から発行され、無効にすべき公開鍵証明書の識別情報がリスト化されたものである。
【0037】
車両Aから車両Bに対して車車間通信により、送信される車車間通信メッセージ300は、車両A秘密鍵1301で署名されている。
【0038】
例えば、走行している車両10(車両A)の後方を車両20(車両B)が走行している。ここでは、説明の便宜上、車両10は、後方に指向性を有する送信アンテナ(不図示)を用いて無線通信を行うことを前提として説明するが、その他の通信方法で車両10から少なくとも通常の車間距離を空けた後方の車両が受信可能なように車車間通信を行っても良い。なお、車車間通信に利用する周波数帯は、国によって異なり、一例としては、日本では700MHz、米国、欧州では5.9GHz帯が利用される。しかし、本実施の形態で示す車車間通信は、技術的には必ずしもこれらの周波数帯での無線通信に限られず実施可能である。
【0039】
車両10(車両A)が、車両20(車両B)に対して車車間メッセージを送信する場合には、車車間通信メッセージ300と車両A公開鍵証明書1302とを送信する。車両20は、CA証明書1300の公開鍵を利用して、受信した車両A公開鍵証明書1302を署名検証し、続いて車両A公開鍵証明書に含まれる車両Aの公開鍵を利用して、車車間通信メッセージ300の署名検証を行う。なお、車両10(車両A)は、不正なCANメッセージを検知した場合に不正検知通知としての車車間通信メッセージ300を送信する。不正検知通知は、不正検知がなされた旨の伝達を車両間で行うための通知であり、不正検知通知としての車車間通信メッセージ300は、不正検知に関する情報を含む車車間通信メッセージである。
【0041】
車両10は、CANバス100と、ECU101、102、103と、不正検知ECU110と、レベル解釈部120と、車車間通信メッセージ認証部130と、車車間通信メッセージ送受信部140と、車両安全状態指示部150と、車外状況判断部160と、車載カメラ170と、レーザーレーダー180と、位置情報取得部190とを含んで構成される。
【0042】
CANバス100は、車載ネットワークにおける通信路であり、CANプロトコルに従って複数のECUがフレーム(CANメッセージ)の授受を行うために用いるバス(信号線)である。図2では便宜上1つのバスを示しているが、複数のバスが含まれても良く、例えばゲートウェイの機能を有するECUが複数のバス間でのCANメッセージの転送を行い得る。
【0043】
ECU101〜103は、CANバス100と接続されている。また、ECU101〜103は、それぞれがセンサ、アクチュエータ等の各種機器(不図示)と接続されていても良く、例えば、接続されている機器の状態を取得してその状態を表すデータフレームをCANバス100で送信し、或いは、個別に保持する受信IDリスト(受信対象のCANメッセージIDを列挙したリスト)に従って特定のCANメッセージIDが付されたデータフレームを受信してその内容に従って接続されている機器を制御し得る。ECUは、例えば、プロセッサ(マイクロプロセッサ)、メモリ等のデジタル回路、アナログ回路、通信回路等を含む装置である。メモリは、ROM、RAM等であり、プロセッサにより実行される制御プログラム(コンピュータプログラム)を記憶することができる。例えばプロセッサが、制御プログラム(コンピュータプログラム)に従って動作することにより、ECUは各種機能を実現することになる。なお、コンピュータプログラムは、所定の機能を達成するために、プロセッサに対する指令を示す命令コードが複数個組み合わされて構成されたものである。図2では、便宜上、ECU101、102、103の3つだけを図示しているが、車両10内にはいくつものECUが含まれ、CANバス100を介して相互に通信する。これらのECUは、複数に機能種別(後述)のいずれかに分類される。
【0044】
不正検知ECU110は、一種のECUであり、CANバス100に流れるフレーム(CANメッセージ)に不正がないかを監視し、不正を検知した場合に、不正検知内容を示す不正情報をレベル解釈部120に通知する。CANバス100には例えば不正なECUが接続されて不正なCANメッセージを送信する可能性があり、不正検知ECU110は、所定のホワイトリスト(後述)で示されるルールに基づいて、バス上に現れたCANメッセージが、ルールに適合しない不正なCANメッセージか否かを判定する検査により、不正を検知する。
【0045】
レベル解釈部120は、不正検知内容を示す不正情報を参照し、不正検知通知として車車間通信メッセージを送信する場合に車車間通信メッセージ内に含ませるためのセキュリティレベルを示すレベル情報を定めて車車間通信メッセージ認証部130に通知する。セキュリティレベルは、不正として検知されたCANメッセージの機能種別毎に区別して定められる(詳細は図7を用いて後述する)。また、レベル解釈部120は、所定の対応情報(安全状態リスト)に基づいて、他車(他車両)から受信された車車間通信メッセージに含まれるレベル情報が示すセキュリティレベルに応じた安全状態に移行するための指示(不正対応処理の実行指示)を、車両安全状態指示部150に通知する。不正対応処理は、車両安全状態指示部150が行う安全状態に移行するための制御である。不正対応処理には、車両の走行を停止させる制御のための不正対応処理、車両を徐行させる制御のための不正対応処理、車両と前方の車両との車間距離を一定範囲に保って走行させる制御のための不正対応処理、車両の運転者への報知の制御のための不正対応処理等がある。
【0046】
車車間通信メッセージ認証部130は、車車間通信メッセージ300の送信に際して、レベル解釈部120から取得したレベル情報、位置情報取得部190から取得した車両の位置情報等を含ませて、車車間通信メッセージ300を形成して、車両の秘密鍵を利用して署名を生成して車車間通信メッセージ300に含ませる。また、車車間通信メッセージ認証部130は、他車両から受信した車車間通信メッセージについての署名検証を行って、車車間通信メッセージに含まれるレベル情報をレベル解釈部120に通知する。
【0047】
車車間通信メッセージ送受信部140は、他車両に対して車車間通信メッセージを送信し、また、他車両から車車間通信メッセージを受信する。
【0048】
車両安全状態指示部150は、他車両から受信した車車間通信メッセージ内のレベル情報が示すセキュリティレベルに応じたレベル解釈部120による指示(不正対応処理の実行指示)を受けて、不正対応処理を実行することで、車両内の各部(各ECU等)に、車両の走行を停止させるための指示、車両を徐行させるための指示、車両と前方の車両との車間距離を一定範囲に保って走行させる指示、及び、車両の運転者への報知を行う指示を与える。この指示は、車外状況判断部160から通知される情報を用いてなされ、また、例えば予め制御のために規定したCANメッセージをCANバス100で送信すること等により行われる。
【0049】
車外状況判断部160は、車載カメラ170、レーザーレーダー180等の車両に搭載された各種センサから取得した情報を解析し、自車両の近傍の状況を判断しながら、車両を適切に安全状態に移行できるようにするための情報を、車両安全状態指示部150に通知する。例えば、車載カメラで白線を検知し、レーザーレーダーで周囲の物体を検知することで、路肩に寄せて車両の走行を停止したり、徐行したり、前方の車両と一定の間隔を空けて走行したりすること等を適切に実現するための情報を通知する。
【0050】
位置情報取得部190は、例えばGPS(Global Positioning System)受信機で実現され、車両の緯度、経度、高度等の位置情報を取得して車車間通信メッセージ認証部130に通知する。
【0051】
なお、電子回路で構成された1つ又は複数の装置(ECU)により、レベル解釈部120、車車間通信メッセージ認証部130、車車間通信メッセージ送受信部140、車両安全状態指示部150及び車外状況判断部160が実現される。図2では、車両安全状態指示部150及び車外状況判断部160をCANバス100に接続しているが、車両安全状態指示部150及び車外状況判断部160を実現する1つ又は複数の装置をCANバス100に直接接続させずに、その装置が、CANバス100に接続されたECUを介して、CANバス100に対して指示を与え、CANバス100からの情報を受信するようにしてもよい。
【0052】
車両20も、車両10と同様な構成を備え、CANバス200と、ECU201、202、203と、不正検知ECU210と、レベル解釈部220と、車車間通信メッセージ認証部230と、車車間通信メッセージ送受信部240と、車両安全状態指示部250と、車外状況判断部260と、車載カメラ270と、レーザーレーダー280と、位置情報取得部290とを含んで構成される。なお、図2において同様の構成要素同士には、符号が相違するが同一名称を付している。
【0053】
[1.3 データフレームフォーマット]以下、CANプロトコルに従ったネットワークで用いられるフレーム(CANメッセージ)の1つであるデータフレームについて説明する。
【0054】
図3は、CANプロトコルで規定されるデータフレームのフォーマットを示す図である。同図には、CANプロトコルで規定される標準IDフォーマットにおけるデータフレームを示している。データフレームは、SOF(Start Of Frame)、IDフィールド、RTR(Remote Transmission Request)、IDE(Identifier Extension)、予約ビット「r」、DLC(Data Length Code)、データフィールド、CRC(Cyclic Redundancy Check)シーケンス、CRCデリミタ「DEL」、ACK(Acknowledgement)スロット、ACKデリミタ「DEL」、及び、EOF(End Of Frame)の各フィールドで構成される。
【0055】
SOFは、1bitのドミナントで構成される。バスがアイドルの状態はレセシブになっており、SOFによりドミナントへ変更することでフレームの送信開始を通知する。
【0056】
IDフィールドは、11bitで構成される、データの種類を示す値であるID(CANメッセージID)を格納するフィールドである。複数のノードが同時に送信を開始した場合、このIDフィールドで通信調停を行うために、IDが小さい値を持つフレームが高い優先度となるよう設計されている。
【0057】
RTRは、データフレームとリモートフレームとを識別するための値であり、データフレームにおいてはドミナント1bitで構成される。
【0058】
IDEと「r」とは、両方ドミナント1bitで構成される。
【0059】
DLCは、4bitで構成され、データフィールドの長さを示す値である。なお、IDE、r及びDLCを合わせてコントロールフィールドと称する。
【0060】
データフィールドは、最大64bitで構成される送信するデータの内容を示す値である。8bit毎に長さを調整できる。送られるデータの仕様については、CANプロトコルで規定されておらず、車両の車載ネットワークシステムにおいて定められる。従って、車種、製造者(製造メーカ)等に依存した仕様となる。
【0061】
CRCシーケンスは、15bitで構成される。SOF、IDフィールド、コントロールフィールド及びデータフィールドの送信値より算出される。
【0062】
CRCデリミタは、1bitのレセシブで構成されるCRCシーケンスの終了を表す区切り記号である。なお、CRCシーケンス及びCRCデリミタを合わせてCRCフィールドと称する。
【0063】
ACKスロットは、1bitで構成される。送信ノードはACKスロットをレセシブにして送信を行う。受信ノードはCRCシーケンスまで正常に受信ができていればACKスロットをドミナントとして送信する。レセシブよりドミナントが優先されるため、送信後にACKスロットがドミナントであれば、送信ノードは、いずれかの受信ノードが受信に成功していることを確認できる。
【0064】
ACKデリミタは、1bitのレセシブで構成されるACKの終了を表す区切り記号である。
【0065】
EOFは、7bitのレセシブで構成されており、データフレームの終了を示す。
【0066】
[1.4 不正検知ECU110の構成]図4は、不正検知ECU110の構成図である。不正検知ECU110は、フレーム送受信部116と、フレーム解釈部115と、不正フレーム検知部113と、ホワイトリスト保持部112と、フレーム生成部114と、不正情報通知部111とを含んで構成される。これらの各構成要素は、機能的な構成要素であり、その各機能は、不正検知ECU110における通信回路、メモリに格納された制御プログラムを実行するプロセッサ或いはデジタル回路等により実現される。
【0067】
フレーム送受信部116は、CANバス100に対して、CANのプロトコルに従ったフレーム(CANメッセージ)を送受信する。即ち、フレーム送受信部116は、CANバス100からフレームを1bitずつ受信し、フレーム解釈部115に転送する。また、フレーム生成部114より通知を受けたフレームの内容をCANバス100に送信する。
【0068】
フレーム解釈部115は、フレーム送受信部116よりフレームの値を受け取り、CANプロトコルで規定されているフレームフォーマットにおける各フィールドにマッピングするよう解釈を行う。IDフィールドと判断した値は、不正フレーム検知部113へ転送する。また、フレーム解釈部115は、CANプロトコルに則っていないフレームと判断した場合は、エラーフレームを送信するようにフレーム生成部114へ通知する。また、フレーム解釈部115は、エラーフレームを受信した場合、つまり受け取ったフレームにおける値からエラーフレームになっていると解釈した場合には、それ以降はそのフレームを破棄する、つまりフレームの解釈を中止する。
【0069】
フレーム生成部114は、フレーム解釈部115から通知されたエラーフレームの送信を指示する通知に従い、エラーフレームを構成し、エラーフレームをフレーム送受信部116へ通知して送信させる。また、フレーム生成部114は、不正フレーム検知部113から通知されたエラーフレームの送信を指示する通知に従い、エラーフレームを構成し、エラーフレームをフレーム送受信部116へ通知して送信させる。
【0070】
ホワイトリスト保持部112は、CANバス100上で送信される正規のフレームに含まれるCANメッセージIDを規定したホワイトリスト(図5参照)を保持する。ホワイトリストには、CANメッセージIDそれぞれについてCANメッセージが不正か否かの判定に用いられる条件も含まれている。
【0071】
不正フレーム検知部113は、ホワイトリスト保持部112が保持しているホワイトリストにより特定されるルールに基づいて、CANバス100から取得されたフレームが不正か否かについて判定する機能を有する。不正フレーム検知部113は、具体的には、フレーム解釈部115から通知されるIDフィールドの値(CANメッセージID)を受け取り、そのCANメッセージIDが、ホワイトリストに載っていない場合或いはホワイトリストでそのCANメッセージIDに対応して定められた条件が満たされない場合には、不正と判定してエラーフレームを送信するように、フレーム生成部114へ通知する。なお、この場合に、CANバス100上において、不正と判定されたCANメッセージのビット値は、レセシブに優先するドミナントが複数連続して構成されるエラーフレームにより、上書きされることになる。不正フレーム検知部113は、不正と判定したCANメッセージ(不正フレーム)の内容である不正検知内容を不正情報通知部111に通知する。
【0072】
不正情報通知部111は、不正検知内容を示す不正情報をレベル解釈部120に通知する。
【0073】
[1.5 ホワイトリスト]図5は、不正検知ECU110内のホワイトリスト保持部112が保持するホワイトリストの一例を示す図である。ホワイトリスト1120は、ID(CANメッセージID)1121それぞれについて、データ長1122、データ範囲1123、及び、周期1124を対応付けたデータである。
【0074】
CANメッセージID1121は、車両の仕様として車載ネットワークにおけるCANバス100に送出されても良いと定められている正規のCANメッセージIDを示す。
【0075】
データ長1122は、DLC(図3参照)であり、対応するCANメッセージIDのCANメッセージについて仕様上定められている正規のデータ長を示す。
【0076】
データ範囲1123は、対応するCANメッセージIDのCANメッセージについて仕様上定められている正規のデータフィールドの内容として期待されるデータ範囲を示す。
【0077】
周期1124は、対応するCANメッセージIDのCANメッセージが周期的に送信される周期性メッセージである場合に仕様上定められている正規の周期を示す。
【0078】
図5の例では、速度に関するID「0x100」のCANメッセージについて、データ長が8バイトで、データの範囲が0から180までで、10ms周期であるという条件を満たす場合には、正規のCANメッセージであることを示している。
【0079】
また、エンジンの回転数に関するID「0x200」のCANメッセージについて、データ長が8バイトで、データの範囲が0から10000までで、10ms周期であるという条件を満たす場合には、正規のCANメッセージであることを示している。
【0080】
また、走行距離に関するID「0x300」のCANメッセージについて、データ長が8バイトであり、データの範囲が0から9999999までで、20ms周期であるという条件を満たす場合には、正規のCANメッセージであることを示している。
【0081】
また、ドアの開閉状態に関するID「0x400」のCANメッセージについて、データ長が1バイトで、データの範囲が0又は1で、1000ms周期であるという条件を満たす場合には、正規のCANメッセージであることを示している。
【0082】
不正検知ECU110は、ホワイトリスト1120の各CANメッセージIDに対応する条件に適合しないCANメッセージを、不正なCANメッセージと判定する。
【0083】
[1.6 不正検知シーケンス]図6は、不正検知ECU110により不正フレーム(つまり不正なCANメッセージ)を検知する動作例を示すシーケンス図である。各シーケンスは、各装置における各処理手順(ステップ)を示す。以下、図6に即して、CANバス100に不正なECUが接続されてCANメッセージIDが「0x100」、データが「255(0xFF)」となるフレーム(CANメッセージ)を送信する場合における、CANバス100に接続された不正検知ECU110、ECU101〜103の動作について説明する。
【0084】
まず、不正なECUは、メッセージIDが「0x100」、データが「255(0xFF)」となるデータフレームの送信を開始する(ステップS101)。フレームを構成する各ビットの値は、上述したデータフレームフォーマットに従ってSOF、IDフィールド(メッセージID)といった順に逐次CANバス100上に送出される。
【0085】
不正なECUがIDフィールド(CANメッセージID)までをCANバス100に送出し終えたときにおいて、不正検知ECU110、ECU101〜103はそれぞれCANメッセージIDを受信する(ステップS102)。
【0086】
ECU101〜103はそれぞれ、受信すべきCANメッセージIDであるか否かを、保持している受信IDリストを用いてチェックし、不正検知ECU110はホワイトリスト(図5参照)を用いて不正なCANメッセージか否かを判定すべくCANメッセージIDをチェックする(ステップS103)。図6の例では、ECU101及びECU102は、「0x0100」は、受信すべきCANメッセージIDでないため、受信を終了する。ECU103は、「0x0100」が受信すべきCANメッセージIDであるので処理を継続する。また、不正検知ECU110は、ホワイトリストにCANメッセージID「0x100」があるため受信を継続する。
【0087】
不正検知ECU110は、CANバス100に現れたCANメッセージについて、ホワイトリストが示す正規の周期でメッセージが送信されているか否かを判別する(ステップS104)。正規の周期でない場合は、ステップS108に移行してエラーフレームの送信を行う。
【0088】
次に不正検知ECU110は、CANバス100に現れたCANメッセージについて、ホワイトリストが示す正規のデータサイズ(DLC)の条件を満たすか否かを判別する(ステップS105)。正規のデータサイズでない場合は、ステップS108に移行してエラーフレームの送信を行う。
【0089】
次に不正検知ECU110は、CANバス100に現れたCANメッセージについて、ホワイトリストが示す正規のデータ範囲の条件を満たすか否かを判別する(ステップS106)。正規のデータ範囲の条件を満たす場合は、不正検知ECU110は処理を終了する。図6の例では、受信したデータが「255(0xFF)」であり、ホワイトリストのデータ範囲外であるのでエラーフレームのブロードキャスト(つまりCANバス100での送信)に向けて、フレームを生成する。
【0090】
ECU103は、不正検知ECUがホワイトリストを用いてCANメッセージが不正か否かを判定している間に、データフレームの受信を続ける(ステップS107)。
【0091】
不正検知ECU110は、ステップS103〜S106での判別によりCANメッセージが不正であると判定した場合には、エラーフレームをブロードキャスト(送信)する(ステップS108)。このエラーフレームを受信することで、ECU103は、データフレームの受信を中止する(ステップS109)。
【0092】
不正検知ECU110は、不正と判定しているCANメッセージについての内容を示す不正情報をレベル解釈部120へ通知する(ステップS110)。
【0094】
レベル情報1200は、機能種別1201と、ID(CANメッセージID)1202と、レベル1203とを対応付けた情報である。
【0095】
機能種別1201は、CANメッセージを送信するECUの機能を分類して定めた機能種別を示す。ECUの機能の分類例として、例えば駆動系機能、シャーシ系機能、ボディ系機能、安全快適機能、ITS系機能、テレマティクス系機能、インフォテインメント系機能等がある。駆動系機能は、エンジン、モータ、燃料、電池、トランスミッション等の制御といった車両の「走る」(走行)に関連する機能である。シャーシ系機能は、ブレーキ、ステアリング等の「曲がる」、「止まる」等といった車両の挙動等の制御に関連する機能である。ボディ系機能は、ドアロック、エアコン、ライト、ウィンカー等といった車両の装備の制御に関連する機能である。安全快適機能は、自動ブレーキ、車線維持機能、車間距離維持機能、衝突防止機能、エアバッグ等といった自動的に安全で快適な運転を実現するための機能である。ITS系機能は、ETC(Electronic Toll Collection System)等の高度道路交通システムに対応した機能である。テレマティクス系機能は、移動体通信を用いたサービスに対応する機能である。インフォテインメント系機能は、カーナビゲーション、オーディオ等に関連したエンターテインメント機能である。
【0096】
CANメッセージID1202は、対応する機能種別1201に属するECUが送信することと定められているCANメッセージのID(CANメッセージID)を示す。
【0097】
レベル1203は、対応する機能種別1201が示す機能種別に属するECUの機能の性質に応じて、そのECUが不正に制御された場合の車両の安全性等に鑑みて予め定められたレベルであるセキュリティレベルを示し、例えば、1から4までの4段階のうちいずれかの値を表す。ここでは、セキュリティレベルが高い程、安全性への影響が大きいものとしている。図7の例では、駆動系機能及びシャーシ系機能は、車両の「走る」、「曲がる」、「止まる」といった基本機能に関するため、これらの機能を担うECUが不正に制御される場合は、他の車両との事故にもつながり易いと考えられることから、セキュリティレベルを4と高く設定している。逆に、インフォテインメント系機能を担うECUが不正に制御される場合は、車両の事故への直接的な影響が小さいと考えられることから、セキュリティレベルを1と低く設定している。
【0098】
[1.8 車車間通信メッセージフォーマット]車両間で不正検知がなされた旨の伝達を行うための不正検知通知として車車間通信メッセージ300が用いられる。
【0099】
図8は、車車間通信メッセージ300の構成の一例を示す図である。車車間通信メッセージ300のフォーマットは、共通アプリヘッダ部と、共通アプリデータ部と、自由アプリヘッダ部と、自由アプリデータ部とから構成される。図8では、車両において不正検知ECU110により不正が検知された場合において、不正検知がなされた旨を伝達するという用途のために、自由アプリデータ部が用いられ、その他の用途で通信する場合には自由アプリデータ部をその用途毎に予め定めた別のフォーマットとすることを可能にする例となっている。
【0100】
共通アプリヘッダ部は、共通アプリヘッダ情報301で構成され、共通アプリヘッダ情報301は、共通アプリデータ部のサイズ情報を含む。
【0101】
共通アプリデータ部は、時刻情報302と、位置情報303と、車両状態情報304と、車両属性情報305とを含む。
【0102】
時刻情報302は、年、月、日、時、分、秒といった時刻情報を示す。
【0103】
位置情報303は、GPS受信機等により取得した緯度、経度、高度といった車両の位置を示す情報である。
【0104】
車両状態情報304は、車速、車両方位角、前後加速度、シフトポジション、ステアリング角度等の情報である。
【0105】
車両属性情報305は、大型、普通、二輪車等の車両サイズや、自家用車、緊急車両、道路維持作業用等の用途種別や、車幅と車長と車高といった車両サイズ等の情報を含む。
【0106】
自由アプリヘッダ部は、自由アプリヘッダ情報306で構成され、自由アプリヘッダ情報306は、自由アプリデータ部のサイズやオフセット等の情報を含む。
【0107】
自由アプリデータ部は、不正検知に関する情報を示し、レベル情報307と、不正車両位置情報308と、署名データ309とを含んで構成される。
【0108】
レベル情報307は、図7で示した、不正検知ECU110が検知した不正なCANメッセージ(不正検知内容)に対応したレベル(セキュリティレベル)を示す。
【0109】
不正車両位置情報308は、不正検知ECU110により不正を検知した車両(つまり不正を検知した不正検知ECUを搭載した車両)について測定された、不正検知の際の位置を示す位置情報である。
【0110】
署名データ309は、車車間通信メッセージ300に対する電子署名である。
【0111】
[1.9 不正検知シーケンス]図9は、車両10(車両A)で不正を検知した場合において車両20(車両B)への車車間通信メッセージ300を送信するまでの車両10の各部の動作例を示すシーケンス図である。
【0112】
車両10(車両A)の不正検知ECU110は、不正なCANメッセージを検知した場合に、不正検知内容である不正なCANメッセージのフレームID(CANメッセージID)を含む不正情報をレベル解釈部120へ通知する(ステップS201)。
【0113】
不正情報の通知を受けた、車両10のレベル解釈部120は、保持しているレベル情報1200に基づいて、不正情報が示すCANメッセージIDに応じたレベル(セキュリティレベル)を特定してそのレベルを示すレベル情報を定める(ステップS202)。つまり、レベル情報は、CANメッセージIDを区分して予め定められた複数レベルのうち、その不正フレーム(不正なCANメッセージ)のCANメッセージIDに基づいて選定された1つのレベルを示す。
【0114】
レベル解釈部120はその定めたレベル情報を、車両10の車車間通信メッセージ認証部130に通知する(ステップS203)。
【0115】
レベル情報の通知を受けた、車両10の車車間通信メッセージ認証部130は、位置情報取得部190より車両10の現在の位置情報を取得して、その位置情報と、通知を受けたレベル情報とを設定して車車間通信メッセージ300を形成する。
【0116】
続いて、車両10の車車間通信メッセージ認証部130は、車両A秘密鍵1301を用いて車車間通信メッセージ300に電子署名を付加する(ステップS205)。その車車間通信メッセージ認証部130は、電子署名を付加した車車間通信メッセージ300を、車両10の車車間通信メッセージ送受信部140へ通知する(ステップS206)。
【0117】
車車間通信メッセージ300の通知を受けた、車両10の車車間通信メッセージ送受信部140は、車車間通信メッセージ300と車両A公開鍵証明書1302とを、車車間通信により車両20(車両B)に送信する。なお、車両10(車両A)から車両20(車両B)への車車間通信メッセージ300の送信は、特に宛先の車両10を特定するものではない。これにより、車車間通信メッセージ300は、車両Aの後方に伝搬され得る通信方法により、不特定の車両に対してブロードキャストされる。
【0118】
[1.10 対応情報(安全状態リスト)]図10は、レベル解釈部120が参照する対応情報(安全状態リスト)を示す図である。対応情報(安全状態リスト)は、車車間通信メッセージ300を受信した車両が、車車間通信メッセージ300内のレベル情報が示すレベル(セキュリティレベル)に応じて、安全状態に移行する制御を行うための不正対応処理を実行する際に、予め定められた複数の不正対応処理のうち、どの安全状態に移行するための不正対応処理を実行すべきかを対応付けた情報である。
【0119】
対応情報(安全状態リスト)2400は、複数のレベル2401の値(セキュリティレベル)それぞれについて、レベル2401と、不正対応処理2402とを対応付けて構成される。
【0120】
レベル2401は、図7に示したレベル情報におけるレベル1203と同様のセキュリティレベルを示す。
【0121】
不正対応処理2402は、セキュリティレベル毎に対応して定められた、安全状態に移行する制御を行うための不正対応処理を特定するための情報である。図10の対応情報の例では、セキュリティレベルが「1」の場合は、車両の運転者への報知の制御のための不正対応処理が対応付けられ、セキュリティレベルが「2」の場合は、車両と前方の車両との車間距離を一定範囲に保って走行させる制御のための不正対応処理が対応付けられ、セキュリティレベルが「3」の場合は、車両を徐行させる制御のための不正対応処理が対応付けられ、セキュリティレベルが「4」の場合は、車両の走行を停止させる制御のための不正対応処理が対応付けられている。車両の運転者への報知の制御は、例えば、車両が備える、カーナビゲーション等に用いられるディスプレイ画面に、運転者の注意を喚起するようなメッセージを表示する制御、或いは、車両内のインストルメントパネル(インパネ)等のLED(Light-Emitting Diode)を点灯させて運転者に通知する制御等である。この対応情報2400での対応付けは、例えば、車両の事故への直接的な影響が小さいと考えられる不正が検知された場合においては交通渋滞を引き起こさないように、交通システムへ悪影響を抑制するように考慮してなされることが有用である。
【0122】
[1.11 不正検知通知に対応した安全状態への移行シーケンス]図11は、車両10(車両A)から車車間通信メッセージを受信した車両20(車両B)における安全状態への移行までの各部の動作を示すシーケンス図である。
【0123】
車両20(車両B)の車車間通信メッセージ送受信部240は、車両10(車両A)から不正検知通知としての車車間通信メッセージ300と車両A公開鍵証明書1302とを受信する(ステップS301)。
【0124】
続いて車両20の車車間通信メッセージ送受信部240は、車車間通信メッセージ認証部230へ車車間通信メッセージ300と車両A公開鍵証明書1302とを通知する(ステップS302)。
【0125】
車両20の車車間通信メッセージ認証部230は、CA証明書1300の公開鍵を用いて、受信した車両A公開鍵証明書1302の署名検証を行い、続いて車両A公開鍵証明書1302を用いて、受信した車車間通信メッセージ300の署名検証を行う(ステップS303)。署名検証に失敗すると、処理を終了する。署名検証に成功するとレベル解釈部220に車車間通信メッセージ300のレベル情報を通知する。
【0126】
車両20のレベル解釈部220は、図10で示した対応情報(安全状態リスト)を参照して、車車間通信メッセージ300のレベル情報が示すレベル(セキュリティレベル)に応じて、どの安全状態に移行するための不正対応処理を実行すべきかを特定(判定)して(ステップS304)、その不正対応処理の実行指示(安全状態への移行要求)を車両安全状態指示部250に通知する(ステップS305)。このステップS305〜S311で不正対応処理が行われることになる。
【0127】
車両20の車両安全状態指示部250は、安全状態に移行するための不正対応処理を実行し、必要に応じて車外状況判断部260に対して車外状況の判断を要求する(ステップS306)。
【0128】
車外状況判断部260は、車載カメラ270やレーザーレーダー280等の各種センサから情報を取得し(ステップS307、S308)、取得した情報を解析して車両20の近傍の状況を判断して(ステップS309)、その判断結果としての、車両を適切に安全状態に移行できるようにするための情報を、車両安全状態指示部250に通知する(ステップS310)。
【0129】
車両20の車両安全状態指示部250は、必要に応じて車外状況判断部260からの情報を利用し、不正対応処理の実行を継続することで、車両20を安全状態に移行するよう制御する(ステップS311)。これにより、車両10(車両A)が送信した不正検知通知としての車車間通信メッセージ300が示すセキュリティレベルに応じて、車両20(車両B)において適切な安全状態への移行が実現される。
【0130】
[1.12 実施の形態1の効果]上述したように実施の形態1に係る車車間通信システムが用いる不正対処方法は、例えば車両A(第1の車両)及び車両B(第2の車両)の車両間で通信を行うことで不正な事態に対処する不正対処方法である。ここで、車両A(第1の車両)に搭載された車載ネットワークで不正フレームが検知された際にその車両Aに搭載された装置(例えばECU等)が不正検知通知を送信し、車両B(第2の車両)に搭載された1つ又は複数のECUが、不正検知通知を受信し、受信したその不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、その選択した不正対応処理を実行する。不正フレームが検知された状況は、車両が不正に制御される可能性が高いため、他車両に通知することで、不正制御の影響を抑制することが可能となる。より具体的には、車両Aに搭載された装置は、不正フレームが検知された際に、フレームIDを区分して予め定められた複数レベルのうち、その不正フレームのフレームIDに基づいて選定された
1つのレベルを示すレベル情報を不正検知通知に含ませて送信を行う。そして、車両Bに搭載された1つ又は複数のECUは、受信した不正検知通知に含まれるレベル情報が示すレベルに応じて、不正対応処理の選択を行って、選択した不正対応処理の実行により安全状態へと移行する。
【0131】
このような車車間通信システムが用いる不正対処方法によれば、前方の車両(車両A)の内部の車載ネットワークにおいて不正なCANメッセージによりその車両Aが不正制御されるような状況であっても、車両Aが不正検知通知を後方の車両に通知する。そして不正検知通知を受信した後方の車両(車両B)は、不正検知通知で示されるレベル(セキュリティレベル)に応じた安全状態に移行することができ、状況に応じた適切な対処が可能となる。これにより、車両Bが巻き込まれるような事故の発生等が防止され得る。また、不正検知通知として示されるレベルは、例えば車載ネットワークで検知された不正なCANメッセージによる影響の程度に鑑みて予め設定しておくことができ、また、そのレベルに対応して移行する安全状態は、例えば交通システムへの悪影響を抑制するように考慮して予め設定しておくことができるため、不正検知通知を受信した車両は、状況に応じて適切な安全状態へと移行可能になり得る。
【0132】
(実施の形態2)以下、上述した車車間通信システムを一部変形した形態について示す。
【0133】
実施の形態1で示した車車間通信システムの不正対処方法では、車両10(車両A)で不正が検知されたことに係る不正検知通知を、車両10の後方の1台の車両20(車両B)に伝達する例を示した。これに対して、本実施の形態に係る車車間通信システムは、不正対処方法として不正検知通知の転送を行い得る。即ち、本実施の形態に係る車車間通信システムでは、車両10(車両A)が検知した不正に係る不正検知通知を送信し、この不正検知通知を受信した車両がその不正検知通知を一定条件下で転送することで、車両10(車両A)に後続する複数の車両が受信可能となるように不正検知通知の伝達を行う。実施の形態2に係る車車間通信システムの構成(例えば各車両の構成要素等)は、実施の形態1で示したものと同様であるため説明を省略し、ここでは、実施の形態1と異なる部分を説明する。
【0134】
[2.1 車車間通信メッセージの伝達]図12は、複数の車両が連続的に後続車に不正検知通知としての車車間通信メッセージを通知する例を示す図である。不正検知通知としての車車間通信メッセージを受信した車両は、所定条件(転送条件)が満たされるか否かを判定して、満たされると判定した場合に車両の外部へと不正検知通知の送信(転送)を行う。転送条件は、転送するか否かに係る条件であり、図12の例では、不正を検知した車両からの距離が500m未満という条件である。
【0135】
この例では、車両10(車両A)で不正を検知し、車両Aから他の車両へ不正検知通知としての車車間通信メッセージ300aを送信する。車両Aに後続する車両20(車両B)は、車両Aからの車車間通信メッセージ300aを受信して、車車間通信メッセージ300aに含まれる不正検知に関する情報(図12の例ではレベル4を示すレベル情報等)を他の車両に転送するために、その不正検知に関する情報を含む車車間通信メッセージ300bを送信する。車両Bに後続する車両30(車両C)は、車両Bからの車車間通信メッセージ300bを受信して、車車間通信メッセージ300bに含まれる不正検知に関する情報を他の車両に転送するために、その不正検知に関する情報を含む車車間通信メッセージ300cを送信する。車両Cに後続する車両40(車両D)は、車両Cからの車車間通信メッセージ300cを受信する。車両Dは、車両Aから500m離れており、不正を検知した車両からの距離が500m未満であるという転送条件を満たさないため、転送を行わない。なお、車両C及び車両Dも、車両Bと基本的に同様の構成を備える。
【0137】
本実施の形態における車車間通信メッセージ300a(車車間通信メッセージ300b、300cも同様)は、実施の形態1で示した車車間通信メッセージ300の構成(図8参照)に、転送条件を示す条件情報310を追加した構成を有する。これにより、再送信(転送)がなされる範囲を限定することができる。
【0138】
条件情報310が示す転送条件は、不正検知がなされた車両からの距離についての条件であり、例えば、一の車両についての測定した位置と、受信した不正検知通知に含まれる位置情報(不正車両位置情報308)が示す位置との距離が一定範囲内であるという条件である。条件情報310は、具体例としては不正検知がなされた車両から500m未満の距離であること等を示す。この場合に、車車間通信メッセージ300a等を受信した車両が、不正検知がなされた車両から500m未満であれば転送を行うことになる。なお、不正検知がなされた車両の位置は、車車間通信メッセージ300a内の不正車両位置情報308により示されている。従って、車車間通信メッセージ300aを受信した車両(例えば車両20)では、不正車両位置情報308が示す不正検知がなされた車両Aの位置と、例えば位置情報取得部290(図2参照)により検知される自車両の位置との距離を算出して、条件情報310が示す転送条件に基づいて、車車間通信メッセージ300aの再送信(転送)を行うか否かを決定する。ここで、車車間通信メッセージ300aの転送とは、車車間通信メッセージ300aの内容を一部変更した転送(つまり車車間通信メッセージ300bの送信)を含む。車車間通信メッセージ300a〜300bのそれぞれにおける署名データ309、共通アプリデータ部等の具体的な値は車両毎に異なり得る。しかし、車車間通信メッセージ300a〜300bのそれぞれにおけるレベル情報307、不正車両位置情報308及び条件情報310の具体的な値は同一である。
【0139】
[2.3 不正検知通知の転送のシーケンス]図14及び図15は、車両が車車間通信メッセージを受信して転送する場合の各部の動作を示すシーケンス図である。ここでは、車両10(車両A)から不正検知通知としての車車間通信メッセージを車両20(車両B)が受信する場合を例にして説明する。
【0140】
ステップS401からステップS411は、実施の形態1で示したステップS301からステップS311(図11参照)と同様であるので、説明を省略する。
【0141】
ステップS412において車両Bのレベル解釈部220は、ステップS404で参照したレベル情報307を含む車車間通信メッセージ300aの条件情報310が示す転送条件を参照し、転送条件が満たされるか否かを判別する。即ち、レベル解釈部220は、位置情報取得部290から自車両の位置を取得して、車車間通信メッセージ300aの不正車両位置情報308を参照し、不正が検知された車両Aから自車両が離れている距離を算出する。算出した距離が、転送条件を満たすならば、レベル解釈部220は、車車間通信メッセージ300aに含まれていたレベル情報307、不正車両位置情報308及び条件情報310と同一の情報を、車車間通信メッセージ300bのレベル情報307、不正車両位置情報308及び条件情報310に設定できるように車車間通信メッセージ認証部230に渡して、署名を要求する(ステップS413)。また、転送条件が満たされない場合には、車両Bでは、転送を行わずに処理を終了する。
【0142】
ステップS413で署名を要求された車車間通信メッセージ認証部230は、レベル解釈部220に渡された情報を設定して車車間通信メッセージ300bを形成して、車両Bの秘密鍵2301を利用して電子署名を生成して署名データ309として車車間通信メッセージ300bに含ませる(ステップS414)。
【0143】
そして車車間通信メッセージ認証部230は、電子署名を付加した車車間通信メッセージ300bを、車両Bの車車間通信メッセージ送受信部240へ通知して送信を要求する(ステップS415)。
【0144】
続いて車車間通信メッセージ送受信部240は、車車間通信メッセージ300bと車両B公開鍵証明書2302とを、車車間通信により後方の車両30(車両C)に送信する。なお、車両Aから車両Bへの不正検知通知としての車車間通信メッセージ300aと同様に、その不正検知通知の転送となる車両Bから車両Cへの車車間通信メッセージ300bの送信も、特に送信の宛先として車両Cを特定するものではない。これにより、車車間通信メッセージ300bは、車両Bの後方に伝搬され得る通信方法により、不特定の車両に対してブロードキャストされる。
【0145】
上述した車両Bと同様に、他の車両(例えば車両Bの後方を走行している車両C)においても、受信した車車間通信メッセージが示す転送条件が満たされる場合に不正検知通知の転送が行われ、転送条件が満たされない場合に転送が行われない。
【0146】
[2.4 実施の形態2の効果]実施の形態2に係る車車間通信システムが用いる不正対処方法によれば、実施の形態1に係る車車間通信システムにより生じる効果に加えて、不正が検知された車両に後続する複数の車両を安全な状態に移行することが可能になる。このため、例えば3台以上の車両を巻き込んだ大きな事故の発生が防止され得る。
【0147】
(実施の形態3)以下、実施の形態2で示した車車間通信システムを一部変形した形態について示す。
【0148】
本実施の形態に係る車車間通信システムが用いる不正対処方法では、不正検知通知(車車間通信メッセージ)における不正検知に関する情報の一部であるレベル情報の内容を変更して転送する。実施の形態3に係る車車間通信システムについて、上述の実施の形態1又は実施の形態2で示したものと同様の点については説明を省略し、ここでは、相違する点について説明する。
【0150】
本実施の形態における車車間通信メッセージ300Aは、実施の形態2で示した車車間通信メッセージ300aの構成(図13参照)に、再設定レベル情報311と、再設定レベル情報を更新するための規則である所定レベル変更規則を示すレベル変更条件312とを追加した構成を有する。これにより、車車間通信メッセージの再送信(転送)に際してセキュリティレベルを変更して伝達することが可能になる。
【0151】
再設定レベル情報311には、車車間通信メッセージを受信した車両が、他車両に車車間通信メッセージを再送信(転送)する際に、レベル変更条件312に応じて、不正検知がなされた車両において設定されたレベル情報307が示すセキュリティレベルを変更した値(レベル)が設定される。なお、不正を検知した車両Aにおいては、車車間通信メッセージ300Aの再設定レベル情報311に、レベル情報307と同値を設定する。
【0152】
[3.2 レベル変更条件312]図17は、レベル変更条件312の一例を示す図である。図17の例では、所定レベル変更規則を示すレベル変更条件312は、具体的にはレベルを変更するための各条件(不正車両との距離)に応じたその変更の内容(レベル変更内容)を示している。
【0153】
車車間通信メッセージ300Aを受信した車両は、自車両の位置と不正車両(つまり不正が検知された車両A)の位置とから、不正車両と自車両との距離を算出し、算出した距離と、レベル変更条件312が示すレベルを変更するための条件とを比較することで、その距離に応じて、再設定レベル情報311に設定すべき値を特定できる。
【0154】
図17の例では、不正車両との距離が100m未満であれば、不正車両で設定された再設定レベル情報311について、転送の際に変更しないで維持する。例えば、不正車両との距離が100m未満の位置にいる車両が送信(転送)した車車間通信メッセージでは、レベル情報307に「レベル4」が設定され、再設定レベル情報311にも同値の「レベル4」が設定される。
【0155】
また、図17の例では、不正車両との距離が100m以上かつ300m未満という条件に該当した場合のレベル変更内容が、再設定レベル情報311を不正車両で設定されたレベル情報307から1つ下げる(1減ずる)ことを示している。例えば、不正車両との距離が100m以上かつ300m未満の位置にいる車両が送信(転送)した車車間通信メッセージでは、レベル情報307に「レベル4」が設定され、再設定レベル情報311には1減じた「レベル3」が設定される。
【0156】
また、図17の例では、不正車両との距離が300m以上かつ500m未満という条件に該当した場合のレベル変更内容が、再設定レベル情報311を不正車両で設定されたレベル情報307から2つ下げる(2減ずる)ことを示している。例えば、不正車両との距離が300m以上かつ500m未満の位置にいる車両が送信(転送)した車車間通信メッセージでは、レベル情報307に「レベル4」が設定され、再設定レベル情報311には1減じた「レベル2」が設定される。
【0157】
なお、実施の形態2では車車間通信メッセージを受信した各車両が、レベル情報307が示すレベル(セキュリティレベル)に応じて、安全状態に移行する不正対応処理を実行したが、本実施の形態では、車車間通信メッセージを受信した各車両は、再設定レベル情報311に設定されたレベル(セキュリティレベル)に応じて、安全状態に移行する不正対応処理を実行する。
【0158】
[3.3 車車間通信メッセージの伝達]図18は、複数の車両が連続的に後続車に不正検知通知としての車車間通信メッセージを通知する例を示す図である。不正検知通知としての車車間通信メッセージを受信した車両は、転送条件が満たされる場合において不正検知通知でのレベル変更条件312に応じて再設定レベル情報311を変更して、不正検知通知の転送を行う。図18の例は、図17に例示したレベル変更条件312を用いて、不正検知通知の再送信(転送)を行った例である。車両10(車両A)と車両20(車両B)との間には1台以上の他の車両が含まれていて車車間通信メッセージの転送を行うこともあり得る。また車両Bと車両30(車両C)との間に1台以上の他の車両が含まれていて車車間通信メッセージの転送を行うこともあり得る。
【0159】
図18の例では、車両Aが車載ネットワーク上で不正を検知し、不正内容に応じてレベル情報307及び再設定レベル情報311を「レベル3」と定めて車車間通信メッセージ300Aを送信している。車車間通信メッセージ300B〜300Eも、車車間通信メッセージ300Aと同一のフォーマット(図16参照)で構成される。例えば車車間通信メッセージ300Aが他の車両により転送されて車車間通信メッセージ300Bとして車両Bにおいて受信される。
【0160】
車両Aの位置から100m離れた車両Bにおいては、車車間通信メッセージ300Bのレベル変更条件312に基づいて、不正車両との距離が100m以上かつ300m未満という条件に該当するため、再設定レベル情報311を不正車両で設定されたレベル情報307から1減じて、再設定レベル情報311を「レベル2」とした車車間通信メッセージ300Cを送信する。例えば車車間通信メッセージ300Cが他の車両により転送されて車車間通信メッセージ300Dとして車両Cにおいて受信される。
【0161】
車両Aの位置から300m離れた車両Cにおいては、車車間通信メッセージ300Dのレベル変更条件312に基づいて、不正車両との距離が300m以上かつ500m未満という条件に該当するため、再設定レベル情報311を不正車両で設定されたレベル情報307から2減じて、再設定レベル情報311を「レベル1」とした車車間通信メッセージ300Eを送信する。
【0162】
車両40(車両D)では、不正車両との距離が500mの位置にいるため、車車間通信メッセージ300Eの条件情報310が示す「500m未満」という条件が満たされず、車車間通信メッセージの再送信(転送)が行われない。
【0163】
[3.4 不正検知通知の転送のシーケンス]図19及び図20は、車両が車車間通信メッセージを受信して一定条件下でレベル情報を変更して転送する場合の各部の動作を示すシーケンス図である。ここでは、車両10(車両A)から送信され他の車両で転送された不正検知通知としての車車間通信メッセージBを車両20(車両B)が受信する場合を例にして説明する。
【0164】
ステップS501からステップS511は、実施の形態1で示したステップS301からステップS311(図11参照)と同様であるので、説明を省略する。但し、ステップS504では、車両Bのレベル解釈部220は、図10で示した対応情報(安全状態リスト)を参照して、車車間通信メッセージ300Bの再設定レベル情報311が示すレベル(セキュリティレベル)に応じて、どの安全状態に移行するための不正対応処理を実行すべきかを特定して、その不正対応処理の実行指示(安全状態への移行要求)を車両安全状態指示部250に通知する(ステップS505)。
【0165】
ステップS512において車両Bのレベル解釈部220は、ステップS504で再設定レベル情報311を参照した車車間通信メッセージ300Bの条件情報310が示す転送条件を参照し、転送条件が満たされるか否かを判別する。転送条件が満たされるならば、レベル解釈部220は、車車間通信メッセージ300Bのレベル変更条件312に基づいて、レベル変更条件312が示す各条件のうち自車両が該当する条件に対応するレベル変更内容を参照して、レベルの変更が必要か否かを判断し(ステップS513)、レベルの変更が必要と判断した場合に限り、レベル変更内容に従って再設定レベル情報311を下げる(ステップS514)。そして、レベル解釈部220は、車車間通信メッセージ300Bに含まれていたレベル情報307、不正車両位置情報308、条件情報310及びレベル変更条件312と同一の情報を、車車間通信メッセージ300Cのレベル情報307、不正車両位置情報308、条件情報310及びレベル変更条件312に設定できるように、また、ステップS513での判断に応じて、レベル値を維持した又は減じた再設定レベル情報311を車車間通信メッセージ300Cの再設定レベル情報311に設定できるように、車車間通信メッセージ認証部230に渡して、署名を要求する(ステップS515)。また、転送条件が満たされない場合には、車両Bでは、転送を行わずに処理を終了する。
【0166】
ステップS515で署名を要求された車車間通信メッセージ認証部230は、レベル解釈部220に渡された情報を設定して車車間通信メッセージ300Cを形成して、車両Bの秘密鍵2301を利用して電子署名を生成して署名データ309として車車間通信メッセージ300Cに含ませる(ステップS516)。
【0167】
そして車車間通信メッセージ認証部230は、電子署名を付加した車車間通信メッセージ300Cを、車両Bの車車間通信メッセージ送受信部240へ通知して送信を要求する(ステップS517)。
【0168】
続いて車車間通信メッセージ送受信部240は、車車間通信メッセージ300Cと車両B公開鍵証明書2302とを、車車間通信により他車両に伝搬すべく送信する(ステップS518)。
【0169】
[3.5 実施の形態3の効果]実施の形態3に係る車車間通信システムが用いる不正対処方法によれば、不正車両の後続車両では不正車両から離れている程、不正検知通知に係るレベル(再設定レベル情報が示すセキュリティレベル)を下げている。これにより、不正検知通知を受けた車両において不正対応処理による安全状態への移行によって、交通システムに与える悪影響(例えば交通渋滞の発生等)を抑制することが可能となる。
【0170】
(実施の形態4)上述した実施の形態1から3では、車車間通信の例を示したが、車両と道路に設置された路側機との間で路車間通信を行うこととしても良い。本実施の形態では、路車間通信をするための路車間通信システムの構成を示す。
【0171】
[4.1 路車間通信システムの構成]図21は、路車間通信システムの全体構成を示す図である。車両10(車両A)が、自車両の車載ネットワークにおける不正を検知し、その不正検知に関する情報を示す不正検知通知を送信し、路側機70が受信する路車間通信のための構成を示している。車両Aの構成は、上述した実施の形態1〜3のいずれかにおける車両Aと同様であるので、説明を省略する。本実施の形態の路車間通信システムは、実施の形態1で示した車車間通信システムとは、車両Aから送信される車車間通信メッセージ300を受信する物が、移動する車両でなく道路に設置された路側機70となった点で異なる。
【0172】
路側機70は、位置情報取得部790と、路車間通信メッセージ送受信部740と、路車間通信メッセージ認証部730と、レベル解釈部720と、車両安全状態指示部750と外部サーバ通信部770とを含んで構成される。
【0173】
レベル解釈部720は、実施の形態1〜3のいずれかで示した車両20(車両B)のレベル解釈部220と同じ機能を有する。但し、レベル解釈部720は、所定の対応情報(安全状態リスト)に基づいて、車両Aから受信した車車間通信メッセージに含まれるレベル情報が示すセキュリティレベルに応じた安全状態に別の車両を移行させるための指示(不正対応処理の実行指示)を、車両安全状態指示部750に通知する。本実施の形態における不正対応処理は、車両安全状態指示部750が行う、路側機70の周辺を走行中の車両を安全状態に移行するための制御である。例えば、不正対応処理には、路側機70の周辺を走行中の車両の走行を停止させる制御のための不正対応処理、その車両を徐行させる制御のための不正対応処理、その車両と前方の車両との車間距離を一定範囲に保って走行させる制御のための不正対応処理、その車両の運転者への報知の制御のための不正対応処理等がある。
【0174】
路車間通信メッセージ認証部730は、署名生成及び署名検証に必要となる秘密鍵及び公開鍵証明書を保持し、車車間通信メッセージに対して署名生成或いは署名検証を行う。路車間通信メッセージ認証部730は、車車間通信メッセージの送信(転送)に際して、レベル解釈部720から取得した情報に、位置情報取得部790から取得した路側機70の位置情報等を含ませて、車車間通信メッセージを形成して、車両の秘密鍵を利用して署名を生成して車車間通信メッセージに含ませる。なお位置情報取得部790は、路側機70の設置された位置を示す位置情報を記録しておきその位置情報を路車間通信メッセージ認証部730に通知しても良い。また、路車間通信メッセージ認証部730は、車両から受信した車車間通信メッセージについての署名検証を行って、車車間通信メッセージに含まれるレベル情報をレベル解釈部720に通知する。
【0175】
車両安全状態指示部750は、不正対応処理を実行して、路車間通信メッセージ送受信部740を介して、路側機70の周辺に所在する車両に対して、安全状態に移行することを指示する路車間通信メッセージを送信する。このときの路車間通信メッセージのフォーマットは、実施の形態1から実施の形態3で説明した車車間通信メッセージと同様である。なお、路側機70が電光掲示板を備え、車両安全状態指示部750が電光掲示板に、周辺の車両を安全状態に導くための指示情報等を表示させることとしても良い。
【0176】
外部サーバ通信部770は、車両Aから受信した車車間通信メッセージを外部サーバ(不図示)に送信する。外部サーバは、路側機70から受信した車車間通信メッセージを蓄積しておき、蓄積したデータを解析することで指示内容を決定して、路側機70に対して車両を安全な状態に移行するように指示しても良い。外部サーバから指示を受けた路側機70は、路車間通信を用いて、路側機70の周辺に位置している車両に対して安全状態に移行するように指示しても良い。
【0177】
[4.2 実施の形態4の効果]本実施の形態4で示した路車間通信システムを、実施の形態1〜3のいずれかで示した車車間通信システムと併用することにより、路車間通信で路側機の周辺にいる車両に対して安全状態に移行するよう指示を通知すること等が可能となり、より安全な交通システムが実現可能となる。
【0178】
(実施の形態5)以下、実施の形態2で示した車車間通信システムを一部変形した形態について示す。
【0179】
本実施の形態に係る車車間通信システムが用いる不正対処方法では、不正検知通知(車車間通信メッセージ)の転送を行うか否かを判定する際に用いる所定条件(転送条件)の内容が、実施の形態2で示したものと異なる。本実施の形態における転送条件は、不正フレームを検知して不正検知通知を送信した車両(車両における装置)からのその不正検知通知を受信するまでに転送がなされた回数が所定回数より少ないという条件である。不正検知通知としての車車間通信メッセージに回数情報を含ませておき、不正検知通知を受信した車両(その車両の装置)では、受信した不正検知通知に含まれる回数情報に基づいて、転送条件が満たされているか否かに係る判定を行う。そして、不正検知通知を受信した車両で転送条件が満たされていると判定した場合には、受信した不正検知通知の送信(転送)に際して、不正検知通知に含まれる回数情報を更新した上でその転送を行う。
【0180】
実施の形態5に係る車車間通信システムについて、上述の実施の形態1又は実施の形態2で示したものと同様の点については説明を省略し、ここでは、相違する点について説明する。
【0181】
[5.1 車車間通信メッセージの伝達]図22は、複数の車両が連続的に後続車に不正検知通知としての車車間通信メッセージを通知する例を示す図である。不正検知通知としての車車間通信メッセージを受信した車両は、転送条件が満たされる場合に不正検知通知の転送を行う。図22の例では転送条件は、不正車両からの不正検知通知を受信するまでに転送がなされた回数が所定回数(ここでは2回)未満という条件である。
【0182】
この例では、車両10(車両A)で不正を検知し、車両Aから他の車両へ不正検知通知としての車車間通信メッセージ390aを送信する。車車間通信メッセージ390aは、転送回数として0回を示す回数情報を含み、転送条件として2回未満を示す条件情報を含む。車両Aに後続する車両20(車両B)は、車両Aからの車車間通信メッセージ390aを受信して、回数情報が示す回数(0回)が転送条件である2回未満を満たすので、車車間通信メッセージ390aに含まれる不正検知に関する情報を他の車両に転送するために、その不正検知に関する情報を含む車車間通信メッセージ390bを送信する。車両Bは、車車間通信メッセージ390bに、転送回数として1回を示す回数情報を含ませる。車両Bに後続する車両30(車両C)は、車両Bからの車車間通信メッセージ390bを受信して、回数情報が示す回数(1回)が転送条件である2回未満を満たすので、車車間通信メッセージ390bに含まれる不正検知に関する情報を他の車両に転送するために、その不正検知に関する情報を含む車車間通信メッセージ390cを送信する。車両Cは、車車間通信メッセージ390cに、転送回数として2回を示す回数情報を含ませる。車両Cに後続する車両40(車両D)は、車両Cからの車車間通信メッセージ390cを受信する。車両Dでは、受信した車車間通信メッセージ390cの回数情報が示す回数(2回)が転送条件である2回未満を満たさないので、転送を行わない。
【0184】
本実施の形態における車車間通信メッセージ390a(車車間通信メッセージ390b、390cも同様)は、実施の形態1で示した車車間通信メッセージ300の構成(図8参照)に、転送回数を格納するための回数情報391と、転送条件を示す条件情報392とを追加した構成を有する。これにより、再送信(転送)がなされる範囲を限定することができる。
【0185】
条件情報392が示す転送条件は、不正フレームを検知して不正検知通知を送信した車両(その車両の装置)からのその不正検知通知を受信するまでに転送がなされた回数が所定回数より少ないという条件である。条件情報392は、具体例としては2回未満を示す。
【0186】
回数情報391は、転送回数を示す。車車間通信メッセージを転送する車両において、その転送の際に1増加するように更新される。
【0187】
[5.3 実施の形態5の効果]実施の形態5に係る車車間通信システムが用いる不正対処方法によれば、実施の形態2で示した不正対処方法と同様に、不正が検知された車両に後続する複数の車両を安全な状態に移行することが可能になる。このため、例えば3台以上の車両を巻き込んだ大きな事故の発生が防止され得る。また、不正が検知された車両から、不正検知通知の転送回数が所定回数以上必要となる位置まで離れた車両については、安全状態に移行する制御がなされないため、交通渋滞等が防止され得る。
【0188】
(他の実施の形態)以上のように、本発明に係る技術の例示として実施の形態1〜5を説明した。しかしながら、本発明に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本発明の一実施態様に含まれる。
【0189】
(1)上記実施の形態では、車車間通信として、前方の車両から後方の車両に不正検知通知としての車車間通信メッセージを送信する例を示したが、送信先は後方の車両に限られず、自車両の周辺(例えば前方、側方等)に位置する他の車両に対して不正検知通知が伝達されれば良い。例えば、不正を検知した車両が車車間通信で自車両の後方に指向性を有する送信アンテナを用いずに全方向に一様に不正検知通知を送信しても良い。この場合において、不正検知通知としての車車間通信メッセージを受信した走行中の車両が、自車両の位置及び進行方向(車両方位角)を測定して不正検知通知としての車車間通信メッセージ中の不正車両位置情報を参照することで、概ね自車両の進行方向上に不正車両が位置する場合に限って不正対応処理の実行、不正検知通知の転送等を行うこととしても良い。また、各車両は、自車両が一度受信した不正検知通知としての車車間通信メッセージを転送した後に、その不正検知通知に基づいて他車両によって転送された不正検知通知(つまり同一の不正検知に関する情報を含む不正検知通知)を再度受信したときには転送しないようにしても良い。
【0190】
(2)上記実施の形態では、所定レベル変更規則を示すレベル変更条件を、車車間通信メッセージに含めていたが、車車間通信メッセージに含めず、車両内部の装置(例えばレベル解釈部等)にて保持し、必要に応じて参照することとしても良い。また、転送条件を示す条件情報についても、同様に、車車間通信メッセージに含めず、車両内部の装置(例えばレベル解釈部等)にて保持し、必要に応じて参照することとしても良い。
【0191】
(3)上記実施の形態では、レベル情報の値として4段階のレベル(セキュリティレベル)を示したが、レベルの区分数は4より多くても少なくても良い。
【0192】
(4)上記実施の形態では、レベル情報のレベルを、図7示すように不正フレームのフレームIDにより定まる機能種別毎に設定しているが、不正フレームの内容等に応じて、機能種別が同じであっても相違するレベルを設定しても良く、例えばフレームID毎、或いは、不正フレームのフレームIDを送信することとなっている個々のECU毎に、レベルを設定しても良い。なお、実施の形態3で示した再設定レベル情報311の代わりに、レベル情報307を用いても良く、各車両において受信した不正検知通知(車車間通信メッセージ)の送信(転送)に際して、その受信した不正検知通知に含まれるレベル情報307を、所定レベル変更規則を示すレベル変更条件(例えば受信したレベル情報307が2以上であれば1減じる等といった条件)に基づいて変更して、変更後のレベル情報307を含む不正検知通知を送信(転送)することとしても良い。
【0193】
(5)上記実施の形態では、車両が、CANバスとこれに接続されたECUで構成される車載ネットワークを搭載している例を示したが、車載ネットワークは、車両内においてECU等の車載装置間で通信する通信ネットワークであれば、CANバスを用いない、いかなる通信ネットワークでも良い。
【0194】
(6)上記実施の形態では、車両において不正検知通知を転送するか否かの判定に係る所定条件(転送条件)として、車両間の距離、或いは、転送回数についての条件を示した。しかし、転送条件は、不正検知がなされた時刻からの経過時間についての条件であっても良い。例えば、転送条件は、受信した不正検知通知に含まれる時刻情報が示す時刻からの経過時間が所定時間(一定の上限閾値)より短いという条件であっても良い。このためには、不正を検知した車両が送信する不正検知通知において不正が検知された時刻を示す時刻情報を含ませると良い。
【0195】
(7)上記実施の形態で示した不正検知通知は、図8等に示すフォーマットの車車間通信メッセージで送信されることに限定されず、不正検知通知を受信した車両において実行すべき不正対応処理の選択を可能とする内容(例えば、不正なメッセージID、或いは、セキュリティレベル等)を含めば、いかなる車車間通信用フォーマットで送信されても良い。
【0196】
(8)上記実施の形態で示した車両が備える各構成要素の機能分担は、一例に過ぎず、その分担を変更し得る。例えば、車車間通信システムにおいて不正検知通知を受信する車両が備える1つ又は複数のECU(電子制御ユニット)は、自ユニットが搭載された車両とは別の車両に搭載された車載ネットワークで不正フレームが検知された際にその別の車両に搭載された装置から送信される不正検知通知を受信する受信部としての機能と、受信部により受信された不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、その選択した不正対応処理を実行する不正対処部としての機能とを有し得る。また、不正検知通知を送信する車両が備える、車載ネットワークに接続された1つ又は複数の装置(例えばECU)は、車載ネットワークにおいて送信された不正フレームを検知する不正検知部(不正フレーム検知部)としての機能と、不正検知部により不正フレームが検知された場合に自ユニットを搭載する車両とは別の車両へと不正検知通知を送信する送信部としての機能とを有し得る。
【0197】
(9)上記実施の形態における各装置(例えばECU、不正検知ECU等)は、例えば、プロセッサ、メモリ等のデジタル回路、アナログ回路、通信回路等を含む装置であることとしたが、ハードディスク装置、ディスプレイ、キーボード、マウス等の他のハードウェア構成要素を含んでいても良い。また、メモリに記憶された制御プログラムがプロセッサにより実行されてソフトウェア的に機能を実現する代わりに、専用のハードウェア(デジタル回路等)によりその機能を実現することとしても良い。
【0198】
(10)上記実施の形態における各装置を構成する構成要素の一部又は全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしても良い。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAM等を含んで構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、システムLSIは、その機能を達成する。また、上記各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部又は全部を含むように1チップ化されても良い。また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現しても良い。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)
や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行っても良い。バイオ技術の適用等が可能性としてあり得る。
【0199】
(11)上記各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なICカード又は単体のモジュールから構成されているとしても良い。前記ICカード又は前記モジュールは、マイクロプロセッサ、ROM、RAM等から構成されるコンピュータシステムである。前記ICカード又は前記モジュールは、上記の超多機能LSIを含むとしても良い。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、前記ICカード又は前記モジュールは、その機能を達成する。このICカード又はこのモジュールは、耐タンパ性を有するとしても良い。
【0200】
(12)本発明の一態様としては、例えば図9、図11、図14、図15、図19、図20等に示す不正対処方法であるとしても良い。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしても良いし、前記コンピュータプログラムからなるデジタル信号であるとしても良い。また、本発明の一態様としては、前記コンピュータプログラム又は前記デジタル信号をコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD−ROM、MO、DVD、DVD−ROM、DVD−RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリ等に記録したものとしても良い。また、これらの記録媒体に記録されている前記デジタル信号であるとしても良い。また、本発明の一態様としては、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしても良い。また、本発明の一態様としては、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記録しており、前記マイクロプロセッサは、前記コンピュータプログラムに従って動作するとしても良い。また、前記プログラム若しくは前記デジタル信号を前記記録媒体に記録して移送することにより、又は、前記プログラム若しくは前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしても良い。
【0201】
(13)上記実施の形態及び上記変形例で示した各構成要素及び機能を任意に組み合わせることで実現される形態も本発明の範囲に含まれる。
【産業上の利用可能性】
【0202】
本発明は、一の車両が不正に制御される可能性が高い場合にその影響を抑制すべく他の車両を制御するために利用可能である。
【符号の説明】
【0203】
10、20、30、40 車両50 認証局(CA)
70 路側機
100 CANバス
101〜103、201〜203 電子制御ユニット(ECU)
110、210 不正検知電子制御ユニット(不正検知ECU)
111 不正情報通知部
112 ホワイトリスト保持部
113 不正フレーム検知部
114 フレーム生成部
115 フレーム解釈部
116 フレーム送受信部
120、220、720 レベル解釈部
130、230 車車間通信メッセージ認証部
140、240 車車間通信メッセージ送受信部
150、250、750 車両安全状態指示部
160、260 車外状況判断部
170、270 車載カメラ
180、280 レーザーレーダー
190、290、790 位置情報取得部
1300 CA証明書
1301 車両A秘密鍵
1302 車両A公開鍵証明書
1303 証明書失効リスト(CRL)
2301 車両B秘密鍵
2302 車両B公開鍵証明書
300、300a〜300c、300A〜300E、390a〜390c 車車間通信メッセージ
730 路車間通信メッセージ認証部
740 路車間通信メッセージ送受信部
770 外部サーバ通信部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【手続補正書】
【提出日】2021年8月19日
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
車両の外部に設置された情報処理装置において用いられる不正対処方法であって、
一の車両に搭載された車載ネットワークで不正フレームが検知された際に当該一の車両に搭載された装置から送信される不正検知通知を受信し、
受信した前記不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行し、
前記不正検知通知は、複数レベルのうち1つのレベルを示すレベル情報を含み、
受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに応じて、不正対応処理の前記選択を行い、
不正対応処理の前記選択は、前記複数レベルそれぞれについて不正対応処理を対応付けた対応情報を参照することにより行われ、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに前記対応情報で対応する不正対応処理の選択であり、
前記対応情報が前記複数レベルのうちいずれか1つ以上と対応付けている各不正対応処理は、前記一の車両の周辺を走行中の他の車両の走行を停止させる制御、当該他の車両を徐行させる制御、当該他の車両と前方の車両との車間距離を一定範囲に保って走行させる制御、及び、当該他の車両の運転者への報知を行う制御のうちの少なくとも1つを含む
不正対処方法。
一の車両に搭載された車載ネットワークで不正フレームが検知された際に当該一の車両に搭載された装置から送信される不正検知通知を受信し、
受信した前記不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行し、
前記不正検知通知は、複数レベルのうち1つのレベルを示すレベル情報を含み、
受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに応じて、不正対応処理の前記選択を行い、
不正対応処理の前記選択は、前記複数レベルそれぞれについて不正対応処理を対応付けた対応情報を参照することにより行われ、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに前記対応情報で対応する不正対応処理の選択であり、
前記対応情報が前記複数レベルのうちいずれか1つ以上と対応付けている各不正対応処理は、前記一の車両の周辺を走行中の他の車両の走行を停止させる制御、当該他の車両を徐行させる制御、当該他の車両と前方の車両との車間距離を一定範囲に保って走行させる制御、及び、当該他の車両の運転者への報知を行う制御のうちの少なくとも1つを含む
不正対処方法。
【請求項2】
前記レベル情報が示すレベルは、前記一の車両と前記他の車両の距離に応じて設定されており、
前記一の車両と前記他の車両の距離が遠くなるほど、選択される前記不正対応処理は、交通渋滞を引き起こさないように、交通システムへ悪影響を抑制する制御である、
請求項1記載の不正対処方法。
前記一の車両と前記他の車両の距離が遠くなるほど、選択される前記不正対応処理は、交通渋滞を引き起こさないように、交通システムへ悪影響を抑制する制御である、
請求項1記載の不正対処方法。
【請求項3】
前記レベル情報が示すレベルは、前記一の車両と前記他の車両の距離に応じて設定されており、
前記一の車両と前記他の車両の距離が近くなるほど、選択される前記不正対応処理は、前記一の車両と前記他の車両との距離を広げる制御である、
請求項1記載の不正対処方法。
前記一の車両と前記他の車両の距離が近くなるほど、選択される前記不正対応処理は、前記一の車両と前記他の車両との距離を広げる制御である、
請求項1記載の不正対処方法。
【請求項4】
車両と前記車両の外部に設置された情報処理装置との間で通信を行うことで不正な事態に対処する不正対処方法であって、
前記車両に搭載された車載ネットワークで不正フレームが検知された際に当該車両に搭載された装置が不正検知通知を送信し、
前記情報処理装置が、前記不正検知通知を受信し、受信した当該不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行し、
前記車両に搭載された前記装置は、前記不正フレームが検知された際に、フレームIDを区分して予め定められた複数レベルのうち、当該不正フレームのフレームIDに基づいて選定された1つのレベルを示すレベル情報を前記不正検知通知に含ませて前記送信を行い、
前記情報処理装置は、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに応じて、不正対応処理の前記選択を行う
不正対処方法。
前記車両に搭載された車載ネットワークで不正フレームが検知された際に当該車両に搭載された装置が不正検知通知を送信し、
前記情報処理装置が、前記不正検知通知を受信し、受信した当該不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行し、
前記車両に搭載された前記装置は、前記不正フレームが検知された際に、フレームIDを区分して予め定められた複数レベルのうち、当該不正フレームのフレームIDに基づいて選定された1つのレベルを示すレベル情報を前記不正検知通知に含ませて前記送信を行い、
前記情報処理装置は、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに応じて、不正対応処理の前記選択を行う
不正対処方法。
【請求項5】
車両に搭載された車載ネットワークで不正フレームが検知された際に当該車両に搭載された装置から送信される不正検知通知を受信する受信部と、
前記受信部により受信された前記不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行する不正対処部とを備え、
前記不正検知通知は、複数レベルのうち1つのレベルを示すレベル情報を含み、
前記不正対処部は、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに応じて、不正対応処理の前記選択を行い、
不正対応処理の前記選択は、前記複数レベルそれぞれについて不正対応処理を対応付けた対応情報を参照することにより行われ、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに前記対応情報で対応する不正対応処理の選択であり、
前記対応情報が前記複数レベルのうちいずれか1つ以上と対応付けている各不正対応処理は、前記車両の周辺を走行中の他の車両の走行を停止させる制御、当該他の車両を徐行させる制御、当該他の車両と前方の車両との車間距離を一定範囲に保って走行させる制御、及び、当該他の車両の運転者への報知を行う制御のうちの少なくとも1つを含む
車両の外部に設置された情報処理装置。
前記受信部により受信された前記不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行する不正対処部とを備え、
前記不正検知通知は、複数レベルのうち1つのレベルを示すレベル情報を含み、
前記不正対処部は、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに応じて、不正対応処理の前記選択を行い、
不正対応処理の前記選択は、前記複数レベルそれぞれについて不正対応処理を対応付けた対応情報を参照することにより行われ、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに前記対応情報で対応する不正対応処理の選択であり、
前記対応情報が前記複数レベルのうちいずれか1つ以上と対応付けている各不正対応処理は、前記車両の周辺を走行中の他の車両の走行を停止させる制御、当該他の車両を徐行させる制御、当該他の車両と前方の車両との車間距離を一定範囲に保って走行させる制御、及び、当該他の車両の運転者への報知を行う制御のうちの少なくとも1つを含む
車両の外部に設置された情報処理装置。
【手続補正3】
【補正対象書類名】明細書
【補正対象項目名】0010
【補正方法】変更
【補正の内容】
【0010】
上記課題を解決するために本発明の一態様に係る不正対処方法は、車両の外部に設置された情報処理装置において用いられる不正対処方法であって、一の車両に搭載された車載ネットワークで不正フレームが検知された際に当該一の車両に搭載された装置から送信される不正検知通知を受信し、受信した前記不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行し、前記不正検知通知は、複数レベルのうち1つのレベルを示すレベル情報を含み、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに応じて、不正対応処理の前記選択を行い、不正対応処理の前記選択は、前記複数レベルそれぞれについて不正対応処理を対応付けた対応情報を参照することにより行われ、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに前記対応情報で対応する不正対応処理の選択であり、前記対応情報が前記複数レベルのうちいずれか1つ以上と対応付けている各不正対応処理は、前記一の車両の周辺を走行中の他の車両の走行を停止させる制御、当該他の車両を徐行させる制御、当該他の車両と前方の車両との車間距離を一定範囲に保って走行させる制御、及び、当該他の車両の運転者への報知を行う制御のうちの少なくとも1つを含む。
【手続補正4】
【補正対象書類名】明細書
【補正対象項目名】0011
【補正方法】変更
【補正の内容】
【0011】
また、上記課題を解決するために本発明の一態様に係る不正対処方法は、車両と前記車両の外部に設置された情報処理装置との間で通信を行うことで不正な事態に対処する不正対処方法であって、前記車両に搭載された車載ネットワークで不正フレームが検知された際に当該車両に搭載された装置が不正検知通知を送信し、前記情報処理装置が、前記不正検知通知を受信し、受信した当該不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行し、前記車両に搭載された前記装置は、前記不正フレームが検知された際に、フレームIDを区分して予め定められた複数レベルのうち、当該不正フレームのフレームIDに基づいて選定された1つのレベルを示すレベル情報を前記不正検知通知に含ませて前記送信を行い、前記情報処理装置は、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに応じて、不正対応処理の前記選択を行う。
【手続補正5】
【補正対象書類名】明細書
【補正対象項目名】0012
【補正方法】変更
【補正の内容】
【0012】
また、上記課題を解決するために本発明の一態様に係る車両の外部に設置された情報処理装置は、車両に搭載された車載ネットワークで不正フレームが検知された際に当該車両に搭載された装置から送信される不正検知通知を受信する受信部と、前記受信部により受信された前記不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行する不正対処部とを備え、前記不正検知通知は、複数レベルのうち1つのレベルを示すレベル情報を含み、前記不正対処部は、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに応じて、不正対応処理の前記選択を行い、不正対応処理の前記選択は、前記複数レベルそれぞれについて不正対応処理を対応付けた対応情報を参照することにより行われ、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに前記対応情報で対応する不正対応処理の選択であり、前記対応情報が前記複数レベルのうちいずれか1つ以上と対応付けている各不正対応処理は、前記車両の周辺を走行中の他の車両の走行を停止させる制御、当該他の車両を徐行させる制御、当該他の車両と前方の車両との車間距離を一定範囲に保って走行させる制御、及び、当該他の車両の運転者への報知を行う制御のうちの少なくとも1つを含む。