知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6348019
(24)【登録日】2018年6月8日
(45)【発行日】2018年6月27日
(54)【発明の名称】通信システム、通信装置、自動車および通信方法
(51)【国際特許分類】
G06F 21/44 20130101AFI20180618BHJP
H04L 9/32 20060101ALI20180618BHJP
H04W 12/06 20090101ALI20180618BHJP
G06F 21/45 20130101ALI20180618BHJP
【FI】
G06F21/44 350
H04L9/00 673D
H04W12/06
G06F21/45
【請求項の数】18
【全頁数】17
(21)【出願番号】特願2014-173790(P2014-173790)
(22)【出願日】2014年8月28日
(65)【公開番号】特開2016-48516(P2016-48516A)
(43)【公開日】2016年4月7日
【審査請求日】2017年5月24日
(73)【特許権者】
【識別番号】302062931
【氏名又は名称】ルネサスエレクトロニクス株式会社
(74)【代理人】
【識別番号】100103894
【弁理士】
【氏名又は名称】家入 健
(74)【代理人】
【識別番号】100089071
【弁理士】
【氏名又は名称】玉村 静世
(72)【発明者】
【氏名】押田 大介
(72)【発明者】
【氏名】佐藤 善幸
(72)【発明者】
【氏名】提坂 康博
(72)【発明者】
【氏名】猪留 健
【審査官】
宮司 卓佳
(56)【参考文献】
【文献】
特開2007−232727(JP,A)
【文献】
特開2012−124936(JP,A)
【文献】
特表2004−533741(JP,A)
【文献】
特表2009−543527(JP,A)
【文献】
特開2005−204286(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/30−21/46
H04L 9/32
H04W 12/06
(57)【特許請求の範囲】
【請求項1】
複数の通信装置がネットワークを介して互いに通信可能に接続され、前記複数の通信装置のそれぞれはサーバと通信可能に接続された通信システムであって、
前記サーバは、前記複数の通信装置からセキュアな環境下で認証を求められ、前記複数の通信装置を認証したときには、前記複数の通信装置に対して同じ乱数シードと個別の識別子を交付し、
前記複数の通信装置のそれぞれは、自らの地域情報を有し、前記地域情報と交付された前記乱数シードをシードとして生成した疑似乱数と、自らに交付された識別子とを含む、IPアドレスを有し、
前記複数の通信装置は、互いに同じ疑似乱数をIPアドレスに含む通信装置との間で、通信を確立する、
通信システム。
前記サーバは、前記複数の通信装置からセキュアな環境下で認証を求められ、前記複数の通信装置を認証したときには、前記複数の通信装置に対して同じ乱数シードと個別の識別子を交付し、
前記複数の通信装置のそれぞれは、自らの地域情報を有し、前記地域情報と交付された前記乱数シードをシードとして生成した疑似乱数と、自らに交付された識別子とを含む、IPアドレスを有し、
前記複数の通信装置は、互いに同じ疑似乱数をIPアドレスに含む通信装置との間で、通信を確立する、
通信システム。
【請求項2】
請求項1において、前記複数の通信装置のそれぞれは、さらに時刻情報を有し、前記疑似乱数は、前記地域情報と前記時刻情報と前記乱数シードに基づいて不可逆性圧縮関数によって生成された値をシードとして生成される、
通信システム。
通信システム。
【請求項3】
請求項2において、前記複数の通信装置のそれぞれはGPS受信部を有し、前記GPS受信部は、前記地域情報と前記時刻情報を生成する、
通信システム。
通信システム。
【請求項4】
請求項1において、前記サーバは既に交付した乱数シードとは値が異なり、前記複数の通信装置に対して同じ値の乱数シードを、周期的に再交付し、
前記複数の通信装置のそれぞれは、再交付された乱数シードに基づいて前記IPアドレスを更新する、
通信システム。
前記複数の通信装置のそれぞれは、再交付された乱数シードに基づいて前記IPアドレスを更新する、
通信システム。
【請求項5】
請求項1において、前記複数の通信装置は、自動車に搭載される通信装置と、路側機に搭載される通信装置とを含む、
通信システム。
通信システム。
【請求項6】
請求項5において、前記複数の通信装置は、歩行者が携帯可能な携帯電子機器に搭載される通信装置、または自転車に搭載される通信装置を含む、
通信システム。
通信システム。
【請求項7】
サーバと通信可能であり、ネットワークを介して他の通信装置と通信可能な通信装置であって、
地域情報と、前記サーバからセキュアな環境下で交付された乱数シードとに基づいて不可逆性圧縮関数によって生成された値をシードとして生成した疑似乱数を含むIPアドレスを有し、前記IPアドレスと同じ疑似乱数を含むIPアドレスを持つ他の通信装置を通信対象として認証する、
通信装置。
地域情報と、前記サーバからセキュアな環境下で交付された乱数シードとに基づいて不可逆性圧縮関数によって生成された値をシードとして生成した疑似乱数を含むIPアドレスを有し、前記IPアドレスと同じ疑似乱数を含むIPアドレスを持つ他の通信装置を通信対象として認証する、
通信装置。
【請求項8】
請求項7において、さらに時刻情報を有し、前記疑似乱数は、前記地域情報と前記時刻情報と前記乱数シードに基づいて不可逆性圧縮関数によって生成された値をシードとして生成される、
通信装置。
通信装置。
【請求項9】
請求項8において、GPS受信部を有し、前記GPS受信部は、前記地域情報と前記時刻情報を生成する、
通信装置。
通信装置。
【請求項10】
請求項7において、前記乱数シードは前記サーバによって周期的に再交付され、
再交付された乱数シードに基づいて前記IPアドレスを更新する、
通信装置。
再交付された乱数シードに基づいて前記IPアドレスを更新する、
通信装置。
【請求項11】
請求項7において、単一半導体基板上に形成される、
通信装置。
通信装置。
【請求項12】
請求項7に記載の通信装置を用いて通信を行う、自動車。
【請求項13】
複数の通信装置がネットワークを介して互いに通信可能に接続され、前記複数の通信装置のそれぞれはサーバと通信可能に接続された通信システムにおける通信方法であって、
前記サーバが、前記複数の通信装置からセキュアな環境下で認証を求められ、前記複数の通信装置を認証したときには、前記複数の通信装置に対して同じ乱数シードと個別の識別子を交付する第1ステップと、
前記複数の通信装置のそれぞれが、自らの地域情報を有し、前記地域情報と交付された前記乱数シードをシードとして生成した疑似乱数と、自らに交付された識別子とを含む、IPアドレスを生成する第2ステップと、
前記複数の通信装置が、互いに同じ疑似乱数をIPアドレスに含む通信装置との間で、通信を確立する第3ステップとを含む、
通信方法。
前記サーバが、前記複数の通信装置からセキュアな環境下で認証を求められ、前記複数の通信装置を認証したときには、前記複数の通信装置に対して同じ乱数シードと個別の識別子を交付する第1ステップと、
前記複数の通信装置のそれぞれが、自らの地域情報を有し、前記地域情報と交付された前記乱数シードをシードとして生成した疑似乱数と、自らに交付された識別子とを含む、IPアドレスを生成する第2ステップと、
前記複数の通信装置が、互いに同じ疑似乱数をIPアドレスに含む通信装置との間で、通信を確立する第3ステップとを含む、
通信方法。
【請求項14】
請求項13において、前記複数の通信装置のそれぞれは、さらに時刻情報を有し、前記第2ステップにおいて、前記疑似乱数は、前記地域情報と前記時刻情報と前記乱数シードに基づいて不可逆性圧縮関数によって生成された値をシードとして生成される、
通信方法。
通信方法。
【請求項15】
請求項14において、前記複数の通信装置のそれぞれはGPS受信部を有し、前記GPS受信部は、前記地域情報と前記時刻情報を生成する、
通信方法。
通信方法。
【請求項16】
請求項13において、前記サーバは既に交付した乱数シードとは値が異なり、前記複数の通信装置に対して同じ値の乱数シードを、周期的に再交付する。前記複数の通信装置のそれぞれは、再交付された乱数シードに基づいて前記IPアドレスを更新する、
通信方法。
通信方法。
【請求項17】
請求項13において、前記複数の通信装置は、自動車に搭載される通信装置と、路側機に搭載される通信装置とを含む、
通信方法。
通信方法。
【請求項18】
請求項17において、前記複数の通信装置は、歩行者が携帯可能な携帯電子機器に搭載される通信装置、または自転車に搭載される通信装置を含む、
通信方法。
通信方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信システム、通信装置、自動車および通信方法に関し、特に高度道路交通システム(ITS:Intelligent Transport System)を構成する車載通信機とそれを搭載する自動車、及び路側通信機等に好適に利用できるものである。
【背景技術】
【0002】
自動車のネットワークが進化するにつれ、自動車と外部とのネットワーク接続が必須となってきている。自動車のネットワークは様々な用途が検討され、そのアプリケーションの広がりは多岐に渡る。このため、通信経路の入り口となる、ゲートウェイ(Gateway)において、不正なアクセスを防ぐ事は、重要な課題となってくる。そのため、インターネットにおけるパーソナルコンピュータ(PC:Personal Computer)や従来のIT(Information Technology)システムで行われているようなファイアウォール(Firewall)システム等と同等程度の高いセキュリティが求められている。
【0003】
特許文献1には、上位装置及び管理用コンピュータが通信モジュールに対して動的IP(Internet Protocol)アドレスを付与するネットワーク接続サービスが提供する、通信システムが開示されている。内部ネットワークと外部ネットワークで用いるIPアドレスの変換する事によって、外部から直接的に内部ネットワークに存在するコンピュータへアクセスすることを困難にすることが可能である。
【0004】
特許文献2には、通信アドレスに地域性を持たせることにより、情報発信元の地域を特定することができる位置情報に基づく通信アドレス割り付け方法が示されている。情報処理装置がIPアドレスを取得する際にその設置位置情報を設定し、IPアドレス管理サーバは、この設置位置情報に基づいて郵便番号や電話局番等の地域を表す情報を所定ビットに含ませたIPアドレスを生成して、情報処理装置に付与する。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2011−229184号公報
【特許文献2】特開2002−176444号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
特許文献1及び2について本発明者が検討した結果、以下のような新たな課題があることがわかった。
【0007】
PCと同等程度のセキュリティ機能は、自動車ネットワークの端末である自動車や路側機に搭載されるMCU(Micro Controller Unit)の機能では実現困難であることがわかった。即ち、自動車社会における車車間ないし路車間の通信システムにおいては、通信処理を行うLSI(Large Scale Integrated circuit)のリソース及びマシンパワーには限界があり、セキュリティのために、従来のITシステムで行われているようなファイアウォールシステムを導入する事は困難であることがわかった。また、人命に関わる重要なアプリケーション、例えば、ブレーキやステアリング等に関しては、リアルタイム性が求められるため、通信エラーや過度に重い計算を用いる方法は、致命的な事故に繋がる恐れがある。
【0008】
特許文献1に記載される技術は、内部ネットワークがサイトセキュリティによって守られていることを前提としている。この技術を自動車のネットワークに適用しようとすると、サイトセキュリティによって守られる内部ネットワークに、互いに車車間や路車間の通信を行う不特定多数のエンティティが存在することとなり、IPアドレスによる認証は実質的に困難となることがわかった。ネットワークに参加し得るエンティティが持つIPアドレスが全てのIPアドレスに広がるため、IPアドレスによるソートが困難となるためである。
【0009】
特許文献2によると、地域を特定することができる位置情報がIPアドレスに組み込まれるので、その地域ごとの自動車と路側機を認証するのが容易になる。しかしながら、その位置情報を得ることが容易であるために、攻撃者になりすましの機会を与えることとなり、セキュリティの確保が困難である。
【0010】
以上のように、自動車のネットワーク通信におけるセキュリティでは、リアルタイム性を損なわない高速で軽量な認証システムが必要となる。
【0011】
このような課題を解決するための手段を以下に説明するが、その他の課題と新規な特徴は、本明細書の記述及び添付図面から明らかになるであろう。
【課題を解決するための手段】
【0012】
一実施の形態によれば、下記の通りである。
【0013】
すなわち、複数の通信装置がネットワークを介して互いに通信可能に接続された通信システムであって、以下のように構成される。複数の通信装置は、サーバとセキュアな環境下で通信可能であり、そのセキュアな環境下でサーバから認証を得る時に、サーバから複数の通信装置に対して同じ乱数シードと個別の識別子を交付される。複数の通信装置のそれぞれは、自らの有する地域情報と交付された乱数シードとから生成される値をシードとして生成した疑似乱数と、自らに交付された個別識別子とを含む、IPアドレスを生成する。複数の通信装置は、互いに同じ疑似乱数をIPアドレスに含む通信装置との間で、通信を確立する。
【発明の効果】
【0014】
前記一実施の形態によって得られる効果を簡単に説明すれば下記のとおりである。
【0015】
すなわち、不特定多数のエンティティ(通信装置)が存在するネットワークにおいても、IPアドレスフィルタリングを行なうことが可能となり、リアルタイム性を損なわない高速で軽量な認証システムを提供することができる。
【図面の簡単な説明】
【0016】
【発明を実施するための形態】
【0017】
1.実施の形態の概要先ず、本願において開示される代表的な実施の形態について概要を説明する。代表的な実施の形態についての概要説明で括弧を付して参照する図面中の参照符号はそれが付された構成要素の概念に含まれるものを例示するに過ぎない。
【0018】
〔1〕<通信システム>本願において開示される代表的な実施の形態は、複数の通信装置(10、11〜15)がネットワーク(4)を介して互いに通信可能に接続され、前記複数の通信装置のそれぞれはサーバ(2)と通信可能に接続された通信システム(1)であって、以下のように構成される。
【0019】
前記サーバは、前記複数の通信装置からセキュアな環境(3)下で認証を求められ、前記複数の通信装置を認証したときには、前記複数の通信装置に対して同じ乱数シード(33)と個別の識別子(32)を交付する。前記複数の通信装置のそれぞれは、自らの地域情報(34)を有し、前記地域情報と交付された前記乱数シードをシードとして生成した疑似乱数(31)と、自らに交付された識別子(32)とを含む、IPアドレス(30)を有する。前記複数の通信装置は、互いに同じ疑似乱数(31)をIPアドレス(30)に含む通信装置との間で、通信を確立する。
【0020】
これにより、不特定多数のエンティティ(通信装置)が存在するネットワークにおいても、IPアドレスフィルタリングを行なうことが可能となり、リアルタイム性を損なわない高速で軽量な認証システムを提供することができる。
【0021】
〔2〕<地域情報+時刻情報>項1において、前記複数の通信装置のそれぞれは、さらに時刻情報(35)を有し、前記疑似乱数は、前記地域情報と前記時刻情報と前記乱数シードに基づいて不可逆性圧縮関数(41)によって生成された値をシードとして生成される。
【0022】
これにより、より厳格で柔軟なIPアドレスフィルタリングを実施することができ、リアルタイム性を損なわない高速で軽量な認証システムを提供することができる。
【0023】
〔3〕<GPS>項2において、前記複数の通信装置のそれぞれはGPS受信部(23)を有し、前記GPS受信部は、前記地域情報と前記時刻情報を生成する。
【0024】
これにより、正確な地域情報と時刻情報を複数の通信装置で共有することができ、リアルタイム性を損なわない高速で軽量な認証システムを提供することができる。
【0025】
〔4〕<乱数シードを周期的に変更>項1から項3のうちのいずれか1項において、前記サーバは既に交付した乱数シードとは値が異なり、前記複数の通信装置に対して同じ値の乱数シード(33)を、周期的に再交付する。前記複数の通信装置のそれぞれは、再交付された乱数シードに基づいて前記IPアドレス(30)を更新する。
【0026】
これにより、なりすましに対するセキュリティを強化することができる。
【0027】
〔5〕<ITS>項1から項4のうちのいずれか1項において、前記複数の通信装置は、自動車に搭載される通信装置(11_1、11_2)と、路側機に搭載される通信装置(12)とを含む。
【0028】
これにより、リアルタイム性を損なわない高速で軽量な認証システムを有する、高度交通システム(ITS)を実現することができる。
【0029】
〔6〕<ITSへの歩行者等の参加>項5において、前記複数の通信装置は、歩行者が携帯可能な携帯電子機器に搭載される通信装置(13)、または自転車に搭載される通信装置(14)を含む。
【0030】
これにより、歩行者や自転車が参加する、高度交通システム(ITS)を実現することができる。
【0031】
〔7〕<通信装置>本願において開示される代表的な実施の形態は、サーバ(2)と通信可能であり、ネットワーク(4)を介して他の通信装置(10、11〜15)と通信可能な通信装置(10、11〜15)であって、以下のように構成される。
【0032】
地域情報(34)と、前記サーバからセキュアな環境(3)下で交付された乱数シード(33)とに基づいて不可逆性圧縮関数(41)によって生成された値をシードとして生成した疑似乱数(31)を含むIPアドレス(30)を有し、前記IPアドレスと同じ疑似乱数を含むIPアドレスを持つ他の通信装置を通信対象として認証する。
【0033】
これにより、不特定多数のエンティティ(通信装置)が存在するネットワークにおいても、IPアドレスフィルタリングを行なうことが可能となり、リアルタイム性を損なわない高速で軽量な認証システムを備える通信装置を提供することができる。
【0034】
〔8〕<地域情報+時刻情報>項7において、前記通信装置はさらに時刻情報(35)を有し、前記疑似乱数は、前記地域情報と前記時刻情報と前記乱数シードに基づいて不可逆性圧縮関数(41)によって生成された値をシードとして生成される。
【0035】
これにより、より厳格で柔軟なIPアドレスフィルタリングを実施することができる。
【0036】
〔9〕<GPS>項8において、前記通信装置は、GPS受信部(23)を有し、前記GPS受信部は、前記地域情報と前記時刻情報を生成する。
【0037】
これにより、正確な地域情報と時刻情報を複数の通信装置で共有することができる。
【0038】
〔10〕<乱数シードを周期的に変更>項7から項9のうちのいずれか1項において、前記乱数シードは前記サーバによって周期的に再交付され、前記通信装置は再交付された乱数シードに基づいて前記IPアドレスを更新する。
【0039】
これにより、なりすましに対するセキュリティを強化することができる。
【0040】
〔11〕<通信機能付LSI>項7から項10のうちのいずれか1項において、前記通信装置は、単一半導体基板上に形成される。
【0041】
これにより、リアルタイム性を損なわない高速で軽量な認証機能を有する、LSIを実現することができる。
【0042】
〔12〕<自動車>項7から項10のうちのいずれか1項に記載の前記通信装置は、自動車に搭載される。
【0043】
〔13〕<通信方法>本願において開示される代表的な実施の形態は、複数の通信装置(10、11〜15)がネットワーク(4)を介して互いに通信可能に接続され、前記複数の通信装置のそれぞれはサーバ(2)と通信可能に接続された通信システム(1)における通信方法であって、以下の各ステップを含んで構成される。
【0044】
前記サーバが、前記複数の通信装置からセキュアな環境(3)下で認証を求められ、前記複数の通信装置を認証したときには、前記複数の通信装置に対して同じ乱数シード(33)と個別の識別子(32)を交付する第1ステップ(S8,S9)。前記複数の通信装置のそれぞれが、自らの地域情報(34)を有し、前記地域情報と交付された前記乱数シードをシードとして生成した疑似乱数(31)と、自らに交付された識別子(32)とを含む、IPアドレス(30)を生成する第2ステップ(S10,S11)。前記複数の通信装置が、互いに同じ疑似乱数(31)をIPアドレス(30)に含む通信装置との間で、通信を確立する第3ステップ(S12〜S17)。
【0045】
これにより、不特定多数のエンティティ(通信装置)が存在するネットワークにおいても、IPアドレスフィルタリングを行なうことが可能となり、リアルタイム性を損なわない高速で軽量な認証システムを提供することができる。
【0046】
〔14〕<地域情報+時刻情報>項13において、前記複数の通信装置のそれぞれは、さらに時刻情報(35)を有し、前記第2ステップにおいて、前記疑似乱数は、前記地域情報と前記時刻情報と前記乱数シードに基づいて不可逆性圧縮関数(41)によって生成された値をシードとして生成される。
【0047】
これにより、より厳格で柔軟なIPアドレスフィルタリングを実施することができ、リアルタイム性を損なわない高速で軽量な認証システムを提供することができる。
【0048】
〔15〕<GPS>項14において、前記複数の通信装置のそれぞれはGPS受信部(23)を有し、前記GPS受信部は、前記地域情報と前記時刻情報を生成する。
【0049】
これにより、正確な地域情報と時刻情報を複数の通信装置で共有することができ、リアルタイム性を損なわない高速で軽量な認証システムを提供することができる。
【0050】
〔16〕<乱数シードを周期的に変更>項13から項15のうちのいずれか1項において、前記サーバは既に交付した乱数シードとは値が異なり、前記複数の通信装置に対して同じ値の乱数シード(33)を、周期的に再交付する。前記複数の通信装置のそれぞれは、再交付された乱数シードに基づいて前記IPアドレス(30)を更新する。
【0051】
これにより、なりすましに対するセキュリティを強化することができる。
【0052】
〔17〕<ITS>項13から項16のうちのいずれか1項において、前記複数の通信装置は、自動車に搭載される通信装置(11_1、11_2)と、路側機に搭載される通信装置(12)とを含む。
【0053】
これにより、リアルタイム性を損なわない高速で軽量な認証システムを有する、高度交通システム(ITS)を実現することができる。
【0054】
〔18〕<ITSへの歩行者等の参加>項17において、前記複数の通信装置は、歩行者が携帯可能な携帯電子機器に搭載される通信装置(13)、または自転車に搭載される通信装置(14)を含む。
【0055】
これにより、歩行者や自転車が参加する、高度交通システム(ITS)を実現することができる。
【0056】
2.実施の形態の詳細実施の形態について更に詳述する。
【0057】
〔実施形態1〕図1は、実施形態1に係る通信システム1の構成例を示すブロック図である。ネットワークサービスに参加する複数の通信装置11_1、11_2、12、13がネットワーク4を介して互いに通信可能に接続されている。複数の通信装置11_1、11_2、12、13は、それぞれITSサーバ2とセキュアな通信路3で接続されている。図1に示される通信システム1は、高度道路交通システム(ITS)に適用した場合の実施形態であり、11_1と11_2はそれぞれ自動車に搭載される通信装置、12は路側機に搭載される通信装置、13は歩行者等が携行する携帯機器に搭載される通信装置である。通信装置の台数や搭載される装置に制限はない。セキュアな通信路3とは、例えば3G回線などの携帯電話回線、公衆無線LAN回線、或いは、ITSサーバ2が同じネットワーク4に接続され、ネットワーク4上に路側機12を介して確立され証明書等を用いて安全性が担保されるセキュアな通信回線であってもよい。複数の通信装置11_1、11_2、12、13は、ITSサーバ2から割り振られたIPアドレスを用いて、車車間や路車間の通信を行う。なお、本明細書では、通信装置一般を指すときには符号10を用い、その通信装置が搭載される個別の装置によって区別するときには、符号11〜15等を用いる。
【0058】
図2は、通信システムにおけるIPアドレス(IPv4)の生成例を示す説明図である。IPv4のプライベートアドレスのうち、割り当てられるアドレス数が最も多い、クラスAを例に挙げているが、他のクラスを採用しても良い。他のクラスを使用する際には、例えば、地域毎に8ビットの値を固定するなどの工夫を行う事で実現できる。最初の8ビットをネットワークアドレスとし、ホストアドレスの24ビット中の8ビットを特異なアドレス31として、地域情報34や日付・時刻35から生成した情報とする。下位の16ビットは自動車や路側機に割り当てられる個別アドレス32である。
【0059】
ITSサーバ2は、セキュアな通信路3で通信装置11_1、11_2、12、13から認証を求められる(図1におけるIPアドレス要求(IP address request))。真正な通信装置として認証したときには、ITSサーバ2は当該通信装置に対して、乱数シード(key seed)33と個別の識別子32を交付する(図1におけるIPアドレス応答(IP address response))。乱数シード33は、後述の疑似乱数を生成するためのシード(種)であって、同一の車車間・路車間通信ネットワークを構成する通信装置には、同じ値の乱数シード33が交付される。同じ値の乱数シード33は、後述するように同じ値の特異なアドレス31を生成する。ここで、「特異な」とは、車車間・路車間通信が許される同一のネットワーク内では同一の値であって、通信が許されない他のネットワークとは異なる値であることを意味する。特異なアドレス31は、交付された乱数シード(Seed)33と地域情報34や日付・時刻35から乱数生成回路(randomize)40によって生成される。同一乱数シード33、同一地域34、同一時刻35の場合、特異なアドレス31は同じ値となる。一方、個別の識別子32は、その車車間・路車間通信ネットワークに参加する複数の通信装置を区別するために、個別に異なる値が割り振られた個別アドレス32である。
【0060】
図3は、特異アドレス31の生成例を示す説明図である。特異なアドレス31を生成するために、地域情報34と時刻情報35と乱数33を1つの情報として不可逆性の圧縮関数41で圧縮する。この際、地域情報34と時刻35と乱数33の順番は、システムに登場するエンティティ同士で共有できていれば、どのような順番でも問題ないし、各情報を撹拌させた状態で使用しても問題無い。不可逆性圧縮関数41は、特に制限されないが例えばハッシュ(HASH)関数を使って構成される。疑似乱数生成回路42は不可逆性圧縮関数41で生成された値をシードとして、乱数を生成する。この乱数を特異となるアドレス31として使用する。この不可逆圧縮関数と乱数生成方法もシステムに登場するエンティティ同士で共有する必要がある。
【0061】
地域情報34と時刻情報35と乱数33をエンティティ(通信装置)で共有できれば、乱数33をエンティティ(通信装置)で共有した状態で地域情報34と時刻情報35が合致する事により、車車間・路車間通信が許される同一のネットワークのような同じシステム内で共通の特異となるアドレス情報31を共有する事が可能になる。したがって、IPアドレス30の特異部分31を確認するだけで、正規なエンティティ(通信装置)である事を確認することが可能となり、高速で軽量なファイアウォール(Firewall)システムが実現可能となる。
【0062】
これにより、不特定多数のエンティティ(通信装置)が存在するネットワークにおいても、IPアドレスフィルタリングを行なうことが可能となり、リアルタイム性を損なわない高速で軽量な認証システムを提供することができる。ITSネットワークでは、その時刻にその地域に居合わせればネットワークに参加することが認証されるべきエンティティ(通信装置)は、不特定多数である。例えば、ある自動車メーカが自社の自動者のユーザにネットワークサービスを提供するとき、その自動車メーカが出荷する自動車すべてが真正なエンティティということになるからである。車車間通信において、その全てのエンティティを含むリストとの照合を行う認証を実行することは、現実的にはほとんど不可能である。本実施形態では、不特定多数のエンティティの中から、自分自身と同一時刻に同一地域に存在するエンティティのみが、同じ値の特異アドレス31を持つことになるので、その特異アドレス31を対象としたIPアドレスフィルタリングを行なうことにより、認証を軽量化し、リアルタイム性を損なわない高速性を実現することができるのである。
【0063】
図4は、自動車20に搭載される通信装置11の構成例を示すブロック図である。自動車20は、通信装置11として、アンテナ21と高周波モジュール(RF module)22、GPS受信機23及びセキュアユニット25が接続される制御ユニット24を備える。
【0064】
高周波モジュール(RF module)22は他の通信装置(他の自動車11、路側機12、その他)及びITSサーバ2から送付される情報を受け、制御ユニット24に送付する。高周波(RF: Radio Frequency)信号を復調する処理は、高周波モジュール22内部で処理してもよいし、制御ユニット24で処理してもよい。当然、別ユニットでの処理も可能である。GPS受信機23は衛星から取得した情報を元に、時刻情報35と位置情報34を制御ユニット24に送付する。この際、衛星から得た情報をGPS受信機23内でデコードしても、制御ユニット24でデコードしてもよい。時刻情報35の取得にGPSを利用する例を示しているが、ネットワーク4経由で取得してもよい。セキュアユニット25は、IPアドレス30を生成するために必要な乱数生成や、圧縮関数41の計算機能、疑似乱数生成機能42を備える。このセキュアユニット25は、制御ユニット24内で機能しても良いが、説明の便宜上、別ユニットの例として記載している。これらの22〜25は、同一の機能を有していれば、同一デバイスないし、いずれかの組合せでも実現可能である。
【0065】
IPアドレス30における特異アドレス31の値は、定期的、周期的に変更されるように構成すると好適である。これは、攻撃者が真正な通信を盗聴するなどにより、真正なIPアドレスを不正に取得し、不正に取得したIPアドレスを使って通信を行う、いわゆるなりすまし攻撃への対策となる。この頻度に関しては、攻撃に要する時間から見積ると5秒程度での変更が望ましい。当然、システムへの負荷を増加可能であれば、頻度が高い程セキュリティが向上する事は言うまでもない。
【0066】
図5は、特異アドレス31の周期的な更新を示す説明図である。時刻ごとに、特異アドレス31であるArea/Date部と、割り振られたアドレスである個別アドレス32とが例示される。時刻t1において地域情報34は「area1」、時刻情報35は「t1」であり、ITSサーバから交付された乱数33は「seed」であるとし、これに対してハッシュ関数により不可逆性圧縮を行った値「HASH(area1,t1,seed)」をシードとして疑似乱数「rand(HASH(area1,t1,seed))」が生成され、特異アドレス31となる。このとき、ITSサーバ2から割り振られた個別アドレス32は「189.076」である。時刻t2には、時刻情報35のみが「t2」に変化して特異アドレス31の値は「rand(HASH(area1,t2,seed))」となるが、個別アドレス32は「189.076」のまま変化しない。その後、時刻txには、時刻情報35が「tx」に変化して特異アドレス31の値は「rand(HASH(area1,tx,seed))」となるが、個別アドレス32は「189.076」のまま変化しない。
【0067】
図6は、通信システム1における、なりすましに対する耐性を示す説明図である。ITSサーバ2と、正当な通信装置である自動車15_1と15_2と、攻撃者である通信装置16との間の通信が、時刻が上から下に経過するものとして、模式的に示される。正当な自動車15_1と15_2は、それぞれ破線の矢印で図示されるITSサーバ2から認証を受け、IPアドレス30を生成して保持している。正当な自動車15_1の時刻t1にけるIPアドレス30は、「10.rand(…,t1,…).189.076」であり、このIPアドレス30を使って、正当な自動車15_1と15_2とが車車間通信を行っている。攻撃者16はこの車車間通信を盗聴して、IPアドレス30「10.rand(…,t1,…).189.076」を不正に取得する。攻撃者16は不正に取得したIPアドレス30「10.rand(…,t1,…).189.076」を使って、その後の時刻t2において、正当な自動車15_1になりすまし、自動車15_2との間の車車間通信を試みる。これがなりすまし車車間通信である。しかし、その時点では既に、自動車15_1のIPアドレス30は、「10.rand(…,t2,…).189.076」に変更されている。図6にはITSサーバ2から正当な自動車15_1と15_2に対してそれぞれ破線矢印が示される。これは、時刻情報35がITSサーバ2から与えられる例を示しているが、図4を引用して説明したように、自動車20が自ら持つGPS受信機23から得られる時刻情報35に基づいて、自動車15_1と15_2がそれぞれ、特異アドレス31を再生成してIPアドレス30を更新してもよい。真正な車車間通信の相手である、自動車15_2のIPアドレス30も、特異アドレス31の部分が同じ値「rand(…,t2,…)」に変更されているので、自動車15_2は自身と同じ特異アドレス31を持つ通信装置のみを認証して、通信を行なえばよい。古い時刻に不正取得したIPアドレス30「10.rand(…,t1,…).189.076」を使ったなりすまし車車間通信は、特異アドレス31の部分の値が異なるので、不正なアクセスとして排除される。以上のように、攻撃者がIPアドレス30を傍受してなりすます事を防ぐ事が可能になる。このIPアドレスの変更周期は、システムによって任意に設定可能である。変更される周期が短ければ短い程、セキュリティが向上する事は言うまでもないが、変更頻度が多いとシステムへの負荷が大きくなる。実際の運用としては、IPアドレス30の変更周期は1秒〜10秒が望ましい。一方、自動車の運用を考え、エンジンスタート時の変更等を採用してもよい。
【0068】
図7は、ローカルIPアドレスの生成フローの一例を示すフロー図である。特異となるアドレス31の生成に関わる情報の交換方法が、時刻が上から下に経過するものとして、模式的に示される。ITSサーバ2では、特異なアドレス31を生成するための疑似乱数シードとなる値を事前に生成しておく(S1)。その後、自動車などの通信装置10_1と10_2が随時パワーオン(Power ON)される(S2,S3)。ITSサーバ2は24時間運用である場合が多く、少なくとも自動車のパワーオンに連動して立ち上がる事は無いため、事前に疑似乱数シードとなる値を生成する事となる。当然、システムメンテナンス等でサービス提供を中断している最中に自動車などの通信装置10_1と10_2がパワーオンしてスタンバイしている状態も考え得るが、そのようなケースでも、乱数シードを準備できてからサービスを開始する事により、問題無く運用する事が可能である。本実施形態では、前述の特異なケースではなく、ITSサーバ2が通常運用を行っている時に自動車などの通信装置10_1と10_2がパワーオンする場合を用いて説明する。
【0069】
パワーオン(S2,S3)後、自動車(路側機)などの通信装置10_1と10_2とITSサーバ2は証明書等の一般的な認証方法を用いて、双方ないし、ITSサーバ2から通信装置10_1と10_2それぞれの認証を行う(S4,S5)。この認証時に交換するセッション鍵等を用いて安全な通信を行う。この認証で確立されたセキュアな通信(Secure Communication)環境3の下で、自動車側10_1と10_2はIP Address Request(S6,S7)を行う。ITSサーバ2は認証している自動車なので、直ちにIP Address Responseを送付する(S8,S9)。
【0070】
図8は、IPアドレスレスポンス(S8,S9)のための通信パケットの構成例を示す説明図である。このメッセージは、ヘッダー情報36と乱数シード部33と割り振られた個別アドレス部32を含む。ヘッダー情報36は、上記のセキュアな通信(Secure Communication)環境3での通信プロトコルで規定されるヘッダーである。このようなセキュアな通信(Secure Communication)環境3では、公知の種々の通信プロトコルを採用し得るので、詳細な説明は省略する。
【0071】
図7の説明に戻る。
【0072】
自動車10_1と10_2は受け取ったIP Address response(S8,S9)から疑似乱数のシード部分を抽出し、特異なアドレス部分31を生成する(S10,S11)。また、ITSサーバ2から割り振られた残りのIP Address部分32を組合わせて、自身のLocal IP Address30とする。
【0073】
車車間ないし、路車間の通信を行う際には、このLocal IP Address30を含むメッセージを生成し(S12)、相手側10_2へ送付する(S13)。この際、相手を特定して送付してもよいし、ブロードキャストで複数の相手に送付してもよい。図7では、ブロードキャスト(S13)としている。メッセージを受け取った自動車ないし路側機10_2は、IP Addressの検証を行い(S14)、特異となるアドレス31が自身の生成している特異アドレス31と一致するかを確認する。一致している場合は、正当な相手であるとみなし、メッセージ部の処理を行い(S15)、必要に応じてそのメッセージに応答する(S17)。一致しなかった場合は、不正なメッセージと判断し、メッセージを破棄する(S16)。不正なメッセージと判断した場合、メッセージの破棄(S16)に代えて、送付してきた相手にメッセージが不正である事を通知してもよい。また、不正メッセージを受信した自動車はITSサーバなどに不正なメッセージを受信した報告をする事も有効である。これによりシステムのセキュリティがより向上される。
【0074】
図9は、IPアドレスフィルタリングの動作の一例を示す説明図である。図7のIP Addressの検証(S14)において、受信したメッセージに付与されている送信元のIPアドレス30から、特異となるアドレス31_Txを抽出し、自身の生成している特異アドレス31_Rxと一致するかを確認する。
【0075】
図9の冒頭には、図7に例示されるブロードキャスト(S13)において伝送されるパケットが例示される。そのパケットは、ヘッダー37、送信元のIPアドレス30、メッセージ38及びパリティ39で構成される。送信元のIPアドレス30は、特異なアドレス31_Txを含む。これを受信した通信装置10_2では、パケットから特異なアドレス31_Txを抽出し、自身の生成している特異アドレス31_Rxと比較する。不一致の場合には、即座に不正の処理(S15)に移行しても良いが、不正と判断する前に、時刻同期外れを考慮して、時刻を前後させて生成した特異なアドレスとの比較検証を行い、それでも一致しなかった場合にメッセージを破棄する方法をとってもよい。即ち、時刻を最近の更新前の値に戻して特異なアドレス31_Rx(−1)を生成して、受信した特異なアドレス31_Txと比較する(S18)。さらに、時刻を次回の更新の値に増やして特異なアドレス31_Rx(+1)を生成して、受信した特異なアドレス31_Txと比較する(S19)。いずれでも不一致の場合に、不正の処理(S15)に移行する。このような手順を踏む事で、通信装置間の時刻同期が外れている場合にも、IP Address30の特異となるシード部分31を安全に共有する事が可能になる。
【0076】
図10は、高度交通システム(ITS)への応用例を示す模式図である。上述の実施形態では、通信装置10として主に自動車11と路側機12について説明し、通信装置間の通信として主に車車間と路車間の通信について説明したが、高度交通システム(ITS)に限っても、通信装置10についての種々の態様、したがって、それら通信装置間の通信についての種々の態様が、さらに含まれてもよい。
【0077】
通信装置10としては、通常の自動車11_1〜11_3の他、渋滞中の自動車11_4〜11_9、故障車11_10、緊急車両11_11など、種々の自動車が含まれ、路側機として信号機12_1や標識12_2、交通状況監視装置12_3等が含まれる。通信装置10としては、さらに、歩行者が携行するスマートフォンなどの携帯機器13_1や、二輪車に装着され或いは運転者が携行する携帯機器13_2、天気情報を収集して通知する天候モニタ装置14_1や、工事などの情報を発信する交通整理支援装置14_2などが含まれてもよい。これらの通信装置は、車車間、路車間の他、互いに任意の形態で通信を行う。ITSサーバ2も同じネットワーク4に直接参加するように構成されてもよいし、認証用の基地局として路側機の1種として設置されてもよい。
【0078】
〔実施形態2〕実施形態1では、IPアドレスがIPv4の場合について説明したが、IPv6の場合にも同様に構成することができる。
【0079】
図11は、通信システムにおけるIPアドレス(IPv6)の生成例を示す説明図である。IPv6のIPアドレスは16ビット毎の8ブロックで構成され、RFC4193に定義されるように、64ビットのインターフェース識別子に、任意の値を使用することができる。64ビットのインターフェース識別子中に、図2と同様に特異なアドレス31と個別アドレス32とを割り当てる。即ち、特異なアドレス31は、交付された乱数シード(Seed)33と地域情報34や日付・時刻35から乱数生成回路(randomize)40によって生成され、個別アドレス32は、その車車間・路車間通信ネットワークに参加する複数の通信装置を区別するために、個別に異なる値が割り振られる。IPv6では、ビットの自由度が高い事から、特異なアドレス31を入れ込むビットの位置を変更する事も可能であるし、特異となるビット長を変更する事も可能である。ただし、特異なビットが長くなると、個別アドレス32を割り振る対象数が少なくなるため注意が必要である。個別アドレス32として割り振るビット長を16ビット以上とする事が望ましい。
【0080】
以上本発明者によってなされた発明を実施形態に基づいて具体的に説明したが、本発明はそれに限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは言うまでもない。
【0081】
自動車と路側機を含む高度交通システム(ITS)に限らず、不特定多数の通信装置のうち、地域情報によって限定される一部の通信装置に対して、その地域でネットワークサービスを提供する通信システムには、種々の態様で変更することができる。例えば、携帯電話会社と契約する不特定多数のスマートフォンを通信機器とし、そのユーザがスマートフォンを携行してショッピングモールに入ったときに、当該ショッピングモールで提供されるネットワークサービスに、変更して応用することができる。
【符号の説明】
【0082】
1 通信システム2 サーバ(ITSサーバ)
3 セキュアな通信路
4 ネットワーク
10 通信装置
11 自動車
12 路側機
13 携帯機器(歩行者等)
14 その他の通信装置
15 正当な通信装置(正当な自動車)
16 攻撃者
20 自動車
21 アンテナ
22 高周波通信モジュール(RF module)
23 GPS受信機
24 制御ユニット
25 セキュアユニット
30 IPアドレス
31 特異アドレス
32 個別アドレス
33 乱数シード
34 地域情報
35 時刻情報
36、37 ヘッダー
38 メッセージ
39 パリティ
40 乱数発生回路
41 不可逆性圧縮関数(HASH関数等)
42 疑似乱数生成回路