JP2016119543A - 無線通信装置、サーバ、移動局、及びそれらに関する方法 - Google Patents

無線通信装置、サーバ、移動局、及びそれらに関する方法 Download PDF

Info

Publication number
JP2016119543A
JP2016119543A JP2014257272A JP2014257272A JP2016119543A JP 2016119543 A JP2016119543 A JP 2016119543A JP 2014257272 A JP2014257272 A JP 2014257272A JP 2014257272 A JP2014257272 A JP 2014257272A JP 2016119543 A JP2016119543 A JP 2016119543A
Authority
JP
Japan
Prior art keywords
wireless communication
server
communication device
wireless
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014257272A
Other languages
English (en)
Inventor
博史 浦山
Hiroshi Urayama
博史 浦山
裕一 谷口
Yuichi Taniguchi
裕一 谷口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Electric Industries Ltd
Sumitomo Electric System Solutions Co Ltd
Original Assignee
Sumitomo Electric Industries Ltd
Sumitomo Electric System Solutions Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Electric Industries Ltd, Sumitomo Electric System Solutions Co Ltd filed Critical Sumitomo Electric Industries Ltd
Priority to JP2014257272A priority Critical patent/JP2016119543A/ja
Publication of JP2016119543A publication Critical patent/JP2016119543A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】無線通信装置の不正使用の対策。【解決手段】サービスデータを含む無線パケット10を無線送信する無線通信装置3A,3B,4A,4Bであって、サーバ2からの活性指示102の受信前においては、無線送信用の第1セキュリティ処理103aが施されたサービスデータを含む無線パケット10の送信処理には制限がある。無線通信装置3A,3B,4A,4Bは、活性指示102を受信したことに基づいて、制限を解除する。【選択図】図1

Description

本発明は、車載器などの移動局に対してデータを送信する路側機などの無線通信装置等に関するものである。
近年、路車間通信、車車間通信による高度道路交通システム(ITS)が検討されている。路車間通信とは、路側機(基地局)と車載器(移動局)との間の無線通信であり、車車間通信とは、車載器(移動局)間の無線通信である。
特許文献1は、路車間通信のためのセキュリティ処理及び車車間通信のためのセキュリティ処理を開示している。
特許第5350561号公報
路側機又は車載器が盗難されるなどして、悪意のある第三者に不正使用された場合、偽の路車間通信データ又は車車間通信データなどの偽データが送信されるおそれがある。偽データが送信されると、他の車載器は、なりすまし通信による被害、ジャミング(jamming)による被害、DoS攻撃による被害などを受けるおそれがある。
したがって、不正使用への対策が望まれる。
ある観点からみた本発明は、サービスデータを含む無線パケットを無線送信する無線通信装置であって、サーバからの活性指示の受信前においては、無線送信用の第1セキュリティ処理が施されたサービスデータを含む無線パケットの送信処理には制限があり、前記活性指示を受信したことに基づいて、前記制限が解除されるよう構成されている無線通信装置である。他の観点からみた本発明には様々なバリエーションがあり、後述の実施形態によって開示される。
本発明によれば、不正使用への対策が得られる。
通信システムの構成図である。 センターサーバ、路側機、車載器、及び第2サーバそれぞれの構成図である。 無線通信用セキュリティ情報の説明図である。 路車間通信データのデータ構造図である。 路側機(車載器)の状態遷移図である。 オンライン路側機が運用モードになる手順を示すフローチャートである。 図6の処理におけるデータフローを示す図である。 オンライン路側機が運用モードになる手順を示すフローチャートである。 図8の処理におけるデータフローを示す図である。 図8の処理におけるデータフローを示す図である。 図8の処理におけるデータフローを示す図である。 スタンドアローン路側機が運用モードになる手順を示す図である。 図12の手順を示すフローチャートである。 図13の処理におけるデータフローを示す図である。 スタンドアローン路側機が運用モードになる手順を示す図である。 図15の手順におけるデータフローを示す図である。 スタンドアローン路側機が運用モードになる手順を示す図である。 図17の手順を示すフローチャートである。 図18の処理におけるデータフローを示す図である。 スタンドアローン路側機が運用モードになる手順を示す図である。 車載器が運用モードになる手順を示す図である。
以下、本発明の好ましい実施形態について図面を参照しながら説明する。
[1.実施形態の概要]
(1)実施形態に係る無線通信装置は、サービスデータを含む無線パケットを無線送信する無線通信装置であって、サーバからの活性指示の受信前においては、無線送信用の第1セキュリティ処理が施されたサービスデータを含む無線パケットの送信処理には制限があり、活性指示を受信したことに基づいて、制限が解除されるよう構成されている。この無線通信装置によれば、サーバからの活性指示の受信前においては、無線送信用の第1セキュリティ処理が施されたサービスデータを含む無線パケットの送信処理には制限があるため、無線通信装置が盗難されても、サーバからの活性指示がなければ、制限を解除できず、偽データの送信を抑制できる。
(2)無線通信装置は、無線送信用の第1セキュリティ処理が施されたサービスデータを含む無線パケットの送信処理には制限がある状態において、活性指示の要求をサーバへ送信するよう構成されているのが好ましい。この無線通信装置によれば、活性指示の送信をサーバへ要求することができる。
(3)前記要求は、前記サーバによってセキュリティ検証される第2セキュリティ処理が前記無線通信装置によって施されているのが好ましい。この場合、無線通信装置とサーバ間の通信がセキュアになる。サーバは、要求に施された第2セキュリティ処理を検証することができる。
(4)前記要求は、前記無線通信装置から前記他の無線通信装置へ無線パケットに含めて送信されるとともに、前記他の無線通信装置によって前記無線パケットから取り出されて前記サーバへ送信されるのが好ましい。前記要求は、前記第1セキュリティ処理が施されていないのが好ましい。無線送信用の第1セキュリティ処理が施されたサービスデータを含む無線パケットの送信処理には制限があっても、前記要求には、第1セキュリティ処理が施されていないので、要求を含む無線パケットの送信が可能となる。
(5)前記サーバと前記無線通信装置とは有線接続されているのが好ましい。前記要求は、前記サーバへ有線送信される。この場合、要求をサーバへ有線送信できる。
(6)前記第1セキュリティ処理に用いられるセキュリティ情報と、前記第2セキュリティ処理に用いられるセキュリティ情報とは、異なるのが好ましい。第2セキュリティ処理に用いられるセキュリティ情報は、第1セキュリティ処理に用いられるセキュリティ情報とは異なるため、第2セキュリティ処理の際に第1セキュリティ処理で用いられる情報の使用を回避できる。
(7)前記第1セキュリティ処理に用いられるセキュリティ情報と、前記第2セキュリティ処理に用いられるセキュリティ情報とは、共通であるのが好ましい。セキュリティ情報が共通であることで、セキュリティ情報の情報量の増加を防止できる。
(8)前記要求は、セキュリティ処理が施されていないのが好ましい。要求にセキュリティ処理が施されていないことで、無線通信装置の処理負荷が軽減される。
(9)前記要求は、前記無線通信装置から前記他の無線通信装置へ無線パケットに含めて送信されるとともに、前記他の無線通信装置によって前記無線パケットから取り出されて前記サーバへ送信されるのが好ましい。前記要求は、前記第1セキュリティ処理が施されていないのが好ましい。無線送信用の第1セキュリティ処理が施されたサービスデータを含む無線パケットの送信処理には制限があっても、前記要求には、第1セキュリティ処理が施されていないので、要求を含む無線パケットの送信が可能となる。
(10)前記要求は、前記無線通信装置から前記他の無線通信装置へ無線パケットに含めて送信されるとともに、前記他の無線通信装置によって前記無線パケットから取り出されて前記サーバへ送信されるのが好ましい。前記要求は、前記第1セキュリティ処理が前記無線通信装置によって施されているのが好ましい。無線送信用の第1セキュリティ処理が施されたサービスデータを含む無線パケットの送信処理には制限があっても、例外的に、要求に第1セキュリティ処理を施して無線パケットとして送信可能とすることで、要求の無線送信が可能となる。
(11)前記活性指示を受信すると、前記活性指示の適否の検証を行って、適切であれば前記制限を解除するよう構成されているのが好ましい。活性指示の適否の検証を行うことで、不適切な活性指示によって制限を解除してしまうことを防止できる。
(12)実施形態に係る無線通信装置は、サーバへ活性指示の要求を送信するよう構成されているとともに、サービスデータを含む無線パケットを無線送信するよう構成されている。前記サービスデータを含む無線パケットは、前記要求に対する応答として前記サーバから送信された活性指示に基づいて前記無線通信装置が活性状態になると、前記サービスデータに無線送信用の第1セキュリティ処理が施された状態で送信可能となる。前記要求は、前記サーバによってセキュリティ検証される第2セキュリティ処理が前記無線通信装置によって施されている。要求に第2セキュリティ処理が施されているため、サーバへの要求の送信をセキュアにできる。
(13)前記第1セキュリティ処理に用いられるセキュリティ情報と、前記第2セキュリティ処理に用いられるセキュリティ情報とは、異なるのが好ましい。第2セキュリティ処理に用いられるセキュリティ情報は、第1セキュリティ処理に用いられるセキュリティ情報とは異なるため、第2セキュリティ処理の際に第1セキュリティ処理で用いられる情報の使用を回避できる。
(14)前記第1セキュリティ処理に用いられるセキュリティ情報と、前記第2セキュリティ処理に用いられるセキュリティ情報とは、共通であるのが好ましい。セキュリティ情報が共通であることで、セキュリティ情報の情報量の増加を防止できる。
(15)実施形態に係る無線通信装置は、サーバへ活性指示の要求を送信するよう構成されているとともに、サービスデータを含む無線パケットを無線送信するよう構成されている。前記サービスデータを含む無線パケットは、前記要求に対する応答として前記サーバから送信された活性指示に基づいて前記無線通信装置が活性状態になると、前記サービスデータに無線送信用の第1セキュリティ処理が施された状態で送信可能となる。前記要求は、前記無線通信装置から前記他の無線通信装置へ無線パケットに含めて送信され、前記他の無線通信装置によって前記無線パケットから取り出されて前記サーバへ送信される。前記要求は、前記無線通信装置によって前記第1セキュリティ処理が施されている。要求に第1セキュリティ処理が施されているため、無線通信装置と他の無線通信装置との間の無線通信をセキュアにできる。
(16)実施形態に係る無線通信装置は、サーバへ活性指示の要求を送信するよう構成されているとともに、サービスデータを含む無線パケットを無線送信するよう構成されている。前記サービスデータを含む無線パケットは、前記要求に対する応答として前記サーバから送信された活性指示に基づいて前記無線通信装置が活性状態になると、前記サービスデータに無線送信用の第1セキュリティ処理が施された状態で送信可能となる。前記サーバと前記無線通信装置は有線接続されている。前記要求は、前記サーバへ有線送信される。要求はサーバへ有線送信されるため、要求を無線送信する場合に比べてセキュアである。
(17)実施形態に係る無線通信装置は、サーバへ活性指示の要求を送信するよう構成されているとともに、サービスデータを含む無線パケットを無線送信するよう構成されている。前記サービスデータを含む無線パケットは、前記要求に対する応答として前記サーバから送信された活性指示に基づいて前記無線通信装置が活性状態になると、前記サービスデータに無線送信用の第1セキュリティ処理が施された状態で送信可能となる。前記要求は、前記無線通信装置から前記他の無線通信装置へ無線パケットに含めて送信され、前記他の無線通信装置によって前記無線パケットから取り出されて前記サーバへ送信される。前記要求は、セキュリティ処理が施されていない。要求にセキュリティ処理が施されていないため、処理負荷を軽減できる。
(18)実施形態に係る無線通信装置は、サービスデータを含む無線パケットを無線送信する無線通信装置であって、サーバ宛データを、サーバへ送信するよう構成されている。前記サーバ宛データは、前記無線通信装置から前記他の無線通信装置へ無線パケットに含めて送信されるとともに、前記他の無線通信装置によって前記無線パケットから取り出されて前記サーバへ送信される。前記サーバ宛データは、前記サービスデータに施される無線送信用の第1セキュリティ処理は施されておらず、前記サーバによってセキュリティ検証される第2セキュリティ処理が前記無線通信装置によって施されている。サーバ宛データに対して第1セキュリティ処理を施さなくても、第2セキュリティ処理が施されているため、サーバと無線通信装置との間の通信をセキュアにできる。
(19)前記第1セキュリティ処理に用いられるセキュリティ情報と、前記第2セキュリティ処理に用いられるセキュリティ情報とは、異なるのが好ましい。第2セキュリティ処理に用いられるセキュリティ情報は、第1セキュリティ処理に用いられるセキュリティ情報とは異なるため、第2セキュリティ処理の際に第1セキュリティ処理で用いられる情報の使用を回避できる。
(20)前記第1セキュリティ処理に用いられるセキュリティ情報と、前記第2セキュリティ処理に用いられるセキュリティ情報とは、共通であるのが好ましい。セキュリティ情報が共通であることで、セキュリティ情報の情報量の増加を防止できる。
(21)実施形態に係る無線通信装置は、サービスデータを含む無線パケットを無線送信する無線通信装置であって、サーバ宛データを、サーバへ送信するよう構成されている。前記サーバ宛データは、前記無線通信装置から前記他の無線通信装置へ無線パケットに含めて送信されるとともに、前記他の無線通信装置によって前記無線パケットから取り出されて前記サーバへ送信される。前記サービスデータを含む無線パケットを生成する手順と、前記サーバ宛データを含む無線パケットを生成する手順と、は異なる。サービスデータを生成する手順とサーバ宛データを生成する手順とを異ならせることで、両データの異なった取扱いが可能となる。
(22)実施形態に係る無線通信装置は、サーバ宛データを、サーバへ送信するよう構成されているとともに、前記サーバ以外の宛先のデータには無線送信用の第1セキュリティ処理を行い、サーバ宛データには前記第1セキュリティ処理とは異なるサーバ宛データ用の第2セキュリティ処理を行うよう構成されている。サーバ宛データには前記第1セキュリティ処理とは異なるサーバ宛データ用の第2セキュリティ処理を行うことで、第1セキュリティ処理が禁止されている場合であっても、サーバ宛データについては第2セキュリティ処理によってセキュアにできる。
(23)前記第1セキュリティ処理に用いられるセキュリティ情報と、前記第2セキュリティ処理に用いられるセキュリティ情報とは、異なるのが好ましい。第2セキュリティ処理に用いられるセキュリティ情報は、第1セキュリティ処理に用いられるセキュリティ情報とは異なるため、第2セキュリティ処理の際に第1セキュリティ処理で用いられる情報の使用を回避できる。
(24)前記第1セキュリティ処理に用いられるセキュリティ情報と、前記第2セキュリティ処理に用いられるセキュリティ情報とは、共通であるのが好ましい。この場合、セキュリティ情報の情報量の増加を抑えることができる。
(25)実施形態に係る無線通信装置は、データを無線送信する無線通信装置であって、非活性状態及び活性状態の各状態での処理を行うよう構成されている。前記非活性状態は、前記無線通信装置の起動後の初期状態であって、前記データの送信に関して制限がある状態である。前記活性状態は、前記制限が解除された状態である。前記活性状態は、前記非活性状態から遷移可能である。この無線通信装置によれば、起動後はデータの送信に関して制限がある非活性状態となるため、起動しても送信が制限され、無線通信装置が盗難された場合における、偽データの送信を抑制することができる。
(26)前記非活性状態から前記活性状態への遷移は、サーバからの活性指示を受信したことに基づいて生じるのが好ましい。この場合、サーバからの活性指示がなければ、活性状態に遷移することができないため、盗難された無線通信装置を起動しただけでは、活性状態にならず、偽データの送信を抑制することができる。
(27)前記非活性状態から前記活性状態への遷移は、無線送信されるデータに施されるセキュリティ処理に用いられるセキュリティ情報を、サーバから受信したことに基づいて生じる。この場合、無線送信されるデータに施されるセキュリティ処理に用いられるセキュリティ情報を、サーバから受信しなければ、活性状態に遷移することができないため、盗難された無線通信装置を起動しただけでは、活性状態にならず、偽データの送信を抑制することができる。なお、セキュリティ情報は、サーバから直接受信する必要はなく、送信元がサーバであれば足りる。つまり、無線通知装置は、セキュリティ情報を、他の無線通信装置などを介在して受信してもよい。
(28)前記制限は、前記データの無線送信の禁止を含むのが好ましい。前記非活性状態では、前記活性指示の要求を前記サーバへ送信することは許容されているのが好ましい。この場合、非活性状態では、データの無線送信が禁止されるが、活性指示の要求はサーバへ送信することができる。
(29)前記制限は、無線送信用の第1セキュリティ処理の禁止を含むのが好ましい。前記非活性状態では、前記サーバによってセキュリティ検証される第2セキュリティ処理が施されたデータを送信することは許容されているのが好ましい。この場合、非活性状態では、無線送信用の第1セキュリティ処理が禁止されるが、第2セキュリティ処理が施されたデータを送信することは許容される。無線送信用の第1セキュリティ処理の禁止の制限は、無線送信は可能であるが第1セキュリティ処理が行われない場合や、無線送信自体が禁止であることにより、結果として無線送信用の第1セキュリティ処理が禁止されること、のいずれでもあってもよい。
(30)前記制限は、送信可能なデータ種別の制限を含むのが好ましい。この場合、特定の種別のデータの送信を制限することができる。
(31)前記制限は、送信が可能な時間の制限を含むのが好ましい。この場合、所定の時間内においてだけデータを送信することができる。
(32)前記制限は、送信されるデータのセキュリティレベルが低いことを示す情報が前記データに付加されることであるのが好ましい。この場合、データのセキュリティレベルが低いため、受信側に破棄されるおそれが高くなり、データが受信側に届きにくくなるという制限がかかる。
(33)実施形態に係る無線通信装置は、データを無線送信する無線通信装置であって、前記無線通信装置が起動してからサーバからの活性指示を受信するまでは、所定の条件を満たしている場合において、サーバ宛データの無線送信が可能である。この無線通信装置は、起動してからサーバからの活性指示を受信するまでは、所定の条件を満たしていなければ、サーバ宛データの無線送信を行えないため、サーバ宛データの送信が抑制され、盗難されても偽データの送信を抑制できる。
(34)前記所定の条件は、データの無線送信が許される所定の時間内であること、を含むのが好ましい。この場合、所定の時間内においてデータ送信が可能である。
(35)前記所定の条件は、無線送信可能なデータ量で規定される条件を含むのが好ましい。この場合、無線送信可能なデータ量に達するまでデータ送信が可能である。
(36)実施形態に係るサーバは、前記(2)、(15)、(16)、(17)、(28)のいずれか1項に記載の無線通信装置から送信された前記要求を受信すると、前記要求の適否の検証を行って、適切であれば、前記無線通信装置へ前記活性指示を送信するよう構成されている。この場合、不適切な要求に応じて活性指示を無線通信装置へ送信することを防止できる。
(37)実施形態に係る無線通信装置は、サーバからの前記活性指示を受信すると、前記活性指示の適否の検証を行って、適切であれば前記制限を解除するよう構成されている。この場合、適切な活性指示の場合に制限を解除することができる。
(38)実施形態に係る無線通信装置は、前記(3)又は(4)に記載の無線通信装置から前記要求を含む無線パケットを受信すると、前記要求の適否の検証を行って、適切であれば、前記サーバへ前記要求を送信するよう構成されている。この場合、適切な要求の場合にその要求をサーバに送信することができる。
(39)実施形態に係るサーバは、前記(38)に記載の無線通信装置から送信された前記要求を受信すると、前記活性指示を前記無線通信装置へ送信する。この場合、サーバは、要求を受信したことに基づいて、活性指示を無線通信装置へ送信することができる。
(40)実施形態に係る無線通信装置は、前記(39)の前記サーバから送信された前記活性指示を受信すると、無線送信用のセキュリティ処理が施された前記活性指示を含む無線パケットを無線送信するよう構成されている。
(41)実施形態に係る無線通信装置は、前記(40)の無線通信装置から、前記活性指示を含む無線パケットを受信すると、前記活性指示に施された前記セキュリティ処理の検証を行って、前記セキュリティ処理が適切でなければ前記活性指示を受け入れないよう構成されている。この場合、他の無線通信装置によって施されたセキュリティ処理の検証によって、活性指示の適否を検証することができる。
(42)前記無線通信装置は、移動局への無線パケット送信が可能な路側機であるのが好ましい。
(43)前記無線通信装置は、移動局であるのが好ましい。
(44)実施形態に係る移動局は、高度道路交通システムの運用管理機関の第1サーバによって管理される路側機から送信されたデータを受信するとともに、他の移動局との間で無線通信をするための第1無線部と、前記運用管理機関とは異なる機関によって管理される第2サーバとの通信を行うために用いられる第2無線部と、を備える。移動局は、前記第2サーバからの活性指示の受信前においては、他の移動局への無線送信用の第1セキュリティ処理が施されたサービスデータを含む無線パケットの送信処理には制限があり、前記活性指示を前記第2サーバから受信したことに基づいて、前記制限が解除されるよう構成されている。この場合、第2サーバからの活性指示で制限を解除することができる。
(45)移動局は、他の移動局への無線送信用の第1セキュリティ処理が施されたサービスデータを含む無線パケットの送信処理には前記制限がある状態において、前記活性指示の要求を前記第2サーバへ送信するよう構成されているのが好ましい。この場合、移動局は、第2サーバへ活性指示を要求することができる。
(46)前記要求は、前記第2サーバによってセキュリティ検証される第2セキュリティ処理が前記移動局によって施されているのが好ましい。この場合、要求の送信をセキュアにできる。
(47)前記運用管理機関とは異なる前記機関は、自動車メーカ又は車載器メーカであるのが好ましい。
(48)実施形態に係る方法は、サービスデータを含む無線パケットを無線送信する無線通信装置は、サーバからの活性指示を受信する前においては、無線送信用の第1セキュリティ処理が施されたサービスデータを含む無線パケットの送信処理には制限がある状態になり、前記無線通信装置は、前記活性指示を受信したことに基づいて、前記制限を解除することを含む。
(49)実施形態に係る方法は、サーバへ活性指示の要求を送信するよう構成されているとともに、サービスデータを含む無線パケットを無線送信するよう構成された無線通信装置が行う方法である。この方法は、前記無線通信装置は、前記要求に対する応答として前記サーバから送信された活性指示に基づいて活性状態になり、前記無線通信装置は、前記活性状態になると、前記サービスデータを含む無線パケットを、前記サービスデータに無線送信用の第1セキュリティ処理が施された状態で送信する、ことを含む。前記要求は、前記サーバによってセキュリティ検証される第2セキュリティ処理が前記無線通信装置によって施されている。
(50)実施形態に係る方法は、無線通信装置が行う方法であって、サーバへ活性指示の要求を送信することと、サービスデータを含む無線パケットを無線送信することと、
を含む。前記サービスデータを含む無線パケットは、前記要求に対する応答として前記サーバから送信された活性指示に基づいて前記無線通信装置が活性状態になると、前記サービスデータに無線送信用の第1セキュリティ処理が施された状態で送信される。前記要求は、前記無線通信装置から前記他の無線通信装置へ無線パケットに含めて送信され、前記他の無線通信装置によって前記無線パケットから取り出されて前記サーバへ送信される。前記要求は、前記無線通信装置によって前記第1セキュリティ処理が施されている。
(51)実施形態に係る方法は、無線通信装置が行う方法であって、サーバへ活性指示の要求を送信することと、サービスデータを含む無線パケットを無線送信することと、
を含む。前記サービスデータを含む無線パケットは、前記要求に対する応答として前記サーバから送信された活性指示に基づいて前記無線通信装置が活性状態になると、前記サービスデータに無線送信用の第1セキュリティ処理が施された状態で送信される。前記サーバと前記無線通信装置は有線接続されている。前記要求は、前記サーバへ有線送信される。
(52)実施形態に係る方法は、無線通信装置が行う方法であって、サーバへ活性指示の要求を送信することと、サービスデータを含む無線パケットを無線送信することと、
を含む。前記サービスデータを含む無線パケットは、前記要求に対する応答として前記サーバから送信された活性指示に基づいて前記無線通信装置が活性状態になると、前記サービスデータに無線送信用の第1セキュリティ処理が施された状態で送信される。前記要求は、前記無線通信装置から前記他の無線通信装置へ無線パケットに含めて送信され、前記他の無線通信装置によって前記無線パケットから取り出されて前記サーバへ送信される。前記要求は、セキュリティ処理が施されていない。
(53)実施形態に係る方法は、サービスデータを含む無線パケットを無線送信する無線通信装置が行う方法であって、サーバ宛データを、サーバへ送信することを含む。前記サーバ宛データは、前記無線通信装置から前記他の無線通信装置へ無線パケットに含めて送信されるとともに、前記他の無線通信装置によって前記無線パケットから取り出されて前記サーバへ送信される。前記サーバ宛データは、前記サービスデータに施される無線送信用の第1セキュリティ処理は施されておらず、前記サーバによってセキュリティ検証される第2セキュリティ処理が前記無線通信装置によって施されている。
(54)実施形態に係る方法は、サービスデータを含む無線パケットを無線送信する無線通信装置が行う方法であって、サービスデータを含む無線パケットを送信することと、
サーバ宛データを、サーバへ送信することと、を含む。前記サーバ宛データは、前記無線通信装置から前記他の無線通信装置へ無線パケットに含めて送信されるとともに、前記他の無線通信装置によって前記無線パケットから取り出されて前記サーバへ送信され、前記サービスデータを含む無線パケットを生成する手順と、前記サーバ宛データを含む無線パケットを生成する手順と、は異なる。
(55)実施形態に係る方法は、無線通信装置が行う方法であって、サーバ宛データを、サーバへ送信することと、前記サーバ以外の宛先のデータを無線送信することと、を含む。前記サーバ以外の宛先のデータには無線送信用の第1セキュリティ処理が行われる。前記サーバ宛データには前記第1セキュリティ処理とは異なるサーバ宛データ用の第2セキュリティ処理が行われる。
(56)実施形態に係る方法は、データを無線送信する無線通信装置が行う方法であって、非活性状態及び活性状態の各状態での処理を行うことを含む。前記非活性状態は、前記無線通信装置の起動後の初期状態であって、前記データの送信に関して制限がある状態である。前記活性状態は、前記制限が解除された状態である。前記活性状態は、前記非活性状態から遷移可能である。
(57)実施形態に係る方法は、データを無線送信する無線通信装置が行う方法であって、前記無線通信装置が起動してからサーバからの活性指示を受信するまでは、所定の条件を満たしている場合において、サーバ宛データの無線送信を行うことを含む。
(58)実施形態に係る方法は、サーバが、無線通信装置から、前記無線通信装置における通信の制限を解除するための活性指示の要求を受信し、前記サーバが、前記要求の適否の検証を行い、前記サーバが、前記要求が適切であれば、前記活性指示を前記無線通信装置へ送信することを含む。
(59)実施形態に係る方法は、前記無線通信装置が、前記サーバからの前記活性指示を受信し、前記無線通信装置が、前記活性指示の適否の検証を行い、前記無線通信装置が、前記活性指示が適切であれば、前記制限を解除することを更に含む。
(60)実施形態に係る方法は、無線通信装置が、他の無線通信装置から、前記他の無線通信装置における通信の制限を解除するための活性指示の要求を含む無線パケットを受信し、前記無線通信装置が、前記要求の適否の検証を行い、前記無線通信装置が、前記要求が適切であれば、前記要求をサーバへ送信することを含む。
(61)実施形態に係る方法は、前記サーバが、前記要求を受信すると、前記活性指示を前記無線通信装置へ送信することを更に含む。
(62)実施形態に係る方法は、前記他の無線通信装置が、前記無線通信装置を介して、前記活性指示を受信し、前記他の無線通信装置が、前記他の無線通信装置によって前記活性指示に施されたセキュリティ処理の検証を行い、前記他の無線通信装置が、前記活性指示に施されたセキュリティ処理が適切であれば前記制限を解除することを更に含む。
[2.実施形態の詳細]
[2.1 通信システム]
図1は、高度道路交通システム(ITS)に用いられる通信システム(ITS情報通信システム)1を示している。この通信システム1は、700MHz帯高度道路交通システム標準規格(ARIB STD−T109)に準拠した通信を行うよう構成されている。また、この通信システム1では、ITS情報通信システム推進会議(ITS Info−communications Forum)発行の「運転支援通信システムに関するセキュリティガイドライン(ITS FORUM RC−009(1.2版))」に準拠したセキュリティ処理が行われる。
通信システム1は、ITSの運用管理機関のサーバ(センターサーバ;第1サーバ)2と、車載器4A,4Bと通信可能な路側機3A,3Bと、を有している。センターサーバ2は、交通管制センター等に設置される。路側機3A,3B及び車載器4A,4Bは、無線通信装置である。路側機3は、センターサーバ2によって管理される。センターサーバ2には、通信回線(ネットワーク)5aを介して、複数の路側機3Aが有線接続されている。以下、センターサーバ2に有線接続されている路側機3Aを「オンライン路側機」といい、センターサーバ2に有線接続されておらず、オンライン路側機3Aとの無線通信を介してセンターサーバ2と通信する路側機3Bを、「スタンドアローン路側機」という。
なお、オンライン路側機3は、ルータ7に接続されており、ルータ7は、通信回線5aを介して、センターサーバ2と接続されている。
路側機3は、交差点近傍などに設置される。路側機3は、路側機3の周囲の車載器(移動局)4A,4Bとの間で無線通信(路車間通信)が可能である。車載器4A,4Bは、車両に搭載されている。車載器(移動局)4A,4Bは、キャリアセンス方式によって、周囲の他の車載器4A,4Bとの間で無線通信(車車間通信)が可能である。
図1は、ITS情報通信システム1以外の通信システム600の構成も示している。ITS情報通信システム1以外の通信システム600は、例えば、携帯電話に用いられる移動体通信網である。車載器には、携帯電話用の移動体通信網用の無線通信を行う機能も有した車載器4Bも含まれる。そのような車載器4Bは、携帯電話用の移動体通信網の基地局9との間でも無線通信が可能である。
車載器4Bは、携帯電話用の移動体通信網を介して、インターネット5b上のサーバ(第2サーバ)8との間で通信が可能である。第2サーバ8は、例えば、カーナビゲーション機能を有する車載器4Bへの交通情報提供のためのサーバ、又は、車載器4Bからプローブ情報を収集し車載器4Bへ交通情報を提供するサーバなどである。サーバ(第2サーバ)8は、ITSの運用管理機関とは異なる機関、例えば、自動車メーカ、又は、車載器メーカによって管理される。なお、自動車メーカ及び車載器メーカは、それらの子会社若しくは関連会社、又はそれらから委託を受けた会社を含む。
図2は、センターサーバ(第1サーバ)2、路側機3A,3B、車載器4A,4B、第2サーバ8それぞれの構成を示している。
センターサーバ2は、コンピュータを有して構成されている。センターサーバ2として機能するコンピュータは、処理部21と、図示しない記憶部と、を有している。センターサーバ2の機能は、センターサーバ2の記憶部に記憶されたコンピュータプログラムが、処理部21によって実行されることによって発揮される。処理部21は、路側機3A,3B及び車載器4A,4Bを活性化させるための処理など、様々な処理を実行する。
センターサーバ2の記憶部は、センターサーバ2が行うセキュリティ処理(サーバセキュリティ処理)に用いるセンター用セキュリティ情報を有している。センター用セキュリティ情報は、センターサーバ2の記憶部の耐タンパ領域に、セキュアな状態で格納されている。センターサーバ2の処理部21は、セキュリティ処理の際には、センターサーバ2の記憶部の耐タンパ領域にアクセスして、セキュリティ情報を参照する。セキュリティ情報は、センターサーバ2の処理部21のセキュリティ管理部(Secure Application Module;SAM)によって参照される。
第2サーバ8は、コンピュータを有して構成されている。第2サーバ8として機能するコンピュータは、処理部81と、図示しない記憶部と、を有している。第2サーバ8の機能は、第2サーバ8の記憶部に記憶されたコンピュータプログラムが、処理部81によって実行されることによって発揮される。処理部81は、車載器4への情報提供処理のほか、車載器4Bを活性化させるための処理など、様々な処理を実行する。
第2サーバ8の記憶部は、第2サーバ8が行うセキュリティ処理(サーバセキュリティ処理)に用いるセキュリティ情報を有している。セキュリティ情報は、第2サーバ8の記憶部の耐タンパ領域に、セキュアな状態で格納されている。第2サーバ8の処理部81は、セキュリティ処理の際には、第2サーバ8の記憶部の耐タンパ領域にアクセスして、セキュリティ情報を参照する。
路側機3A,3Bは、制御部31と、無線部32と、を有している。制御部31は、路側機3A,3Bの制御を行う。制御部31は、路側機3A,3Bに接続された交通端末(交通信号制御機など)Tの制御を行う。制御部31は、センターサーバ2との間の通信を制御する。交通端末Tは、ルータ7にも接続されているものもある。
制御部31の機能は、路側機3A,3Bの記憶部(図示省略)に記憶されたコンピュータプログラムが、路側機3A,3Bの処理部(図示省略)によって実行されることによって発揮される。
路側機3A,3Bの制御部31(のアプリケーション311;図7参照)は、無線部32によって無線送信されるサービスデータを自ら生成し、又は他の機器から受け取って、無線部32に出力することができる。サービスデータは、例えば、ITSサービスのために、他の無線通信装置3A,3B,4A,4Bに提供されるデータであり、交通情報を含む。
路側機3A,3Bの無線部32は、車載器4又は他の路側機3との無線通信(700MHz帯高度道路交通システムのための無線通信)を行う。路側機3A,3Bの無線部32が有する機能のうち、無線部32に含まれる送受信回路によって回路処理される機能を除き、路側機3A,3Bの記憶部(図示省略)に記憶されたコンピュータプログラムが、路側機3A,3Bの処理部(図示省略)によって実行されることによって発揮される。路側機3A,3Bの無線部32として機能を発揮する処理部は、制御部31として機能を発揮する処理部と同じでもよいし、異なっていても良い。
路側機3A,3Bの記憶部は、路側機3A,3Bが行うセキュリティ処理に用いるセキュリティ情報を有している。セキュリティ情報は、路側機3A,3Bの記憶部の耐タンパ領域に、セキュアな状態で格納されている。路側機3A,3Bは、セキュリティ処理の際には、路側機3A,3Bの記憶部の耐タンパ領域にアクセスして、セキュリティ情報を参照する。セキュリティ情報は、路側機3A,3Bの無線部32のセキュリティ管理部(Secure Application Module;SAM)によって参照される。
車載器4A,4Bは、制御部41と、無線部42と、を有している。制御部41は、車載器4A,4Bの制御を行う。制御部41は、センターサーバ2との間の通信を制御する。車載器4Bの制御部41は、第2サーバ8との間の通信の制御も行う。
制御部41の機能は、車載器4A,4Bの記憶部(図示省略)に記憶されたコンピュータプログラムが、車載器4A,4Bの処理部(図示省略)によって実行されることによって発揮される。
車載器4A,4Bの制御部41(のアプリケーション)は、無線部42によって無線送信されるサービスデータを自ら生成し、又は他の車載器4A,4Bから受け取って、無線部42に出力することができる。サービスデータは、例えば、他の無線通信装置3A,3B,4A,4Bに提供されるデータであり、交通情報を含む。
車載器4Aの無線部42は、路側機3A,3B及び他の車載器4A,4Bとの無線通信(700MHz帯高度道路交通システムのための無線通信)を行う。
車載器4Bの無線部42は、第1無線部42aと、第2無線部42bと、を有している。第1無線部42aは、車載器4Aの無線部42と同様に、路側機3及び他の車載器4A,4Bとの無線通信(700MHz帯高度道路交通システムのための無線通信)を行う。第2無線部42bは、基地局8との無線通信(携帯電話用の移動体通信網のための無線通信)を行う。なお、第2無線部42bは、無線LAN通信又はその他の無線通信を行うものであってもよい。
車載器4A,4Bの無線部42が有する機能のうち、無線部42に含まれる送受信回路によって回路処理される機能を除き、車載器4A,4Bの記憶部(図示省略)に記憶されたコンピュータプログラムが、車載器4A,4Bの処理部(図示省略)によって実行されることによって発揮される。車載器4A,4Bの無線部42として機能を発揮する処理部は、制御部41として機能を発揮する処理と同じでもよいし、異なっていてもよい。
車載器4A,4Bの記憶部は、車載器4A,4Bが行うセキュリティ処理に用いるセキュリティ情報を有している。セキュリティ情報は、車載器4A,4Bの記憶部の耐タンパ領域に、セキュアな状態で格納されている。車載器4A,4Bは、セキュリティ処理の際には、車載器4A,4Bの記憶部の耐タンパ領域にアクセスして、セキュリティ情報を参照する。セキュリティ情報は、車載器4A,4Bの無線部42(第1無線部42a)のセキュリティ管理部(Secure Application Module;SAM)によって参照される。
路車間通信及び車車間通信では、無線通信のセキュリティのために、例えば、メッセージ認証符号(Message Authentication Code;MAC)が用いられる。路側機3A,3B及び車載器4A,4Bは、路車間通信及び車車間通信を行う際には、無線通信用(無線送信用)の第1セキュリティ処理として、MAC生成処理及びその他のセキュリティ処理を行う。MACによって、無線送信されるデータの完全性を確保することができる。
路車間通信では、送信者の真正性の確認のため、公開鍵認証も用いられる。公開鍵認証のため、路側機3A,3Bは、公開鍵証明書13dと電子署名13eを路車間通信データに付加する(図4参照)。
メッセージ認証符号のための処理(MAC処理)には、送受信者間(例えば、路車間又は車車間)で共有される共通鍵(無線通信用セキュリティ情報325a;第1セキュリティ情報;図3参照)が用いられる。路側機3A,3B及び車載器4A,4Bの記憶部の耐タンパ領域は、複数の共通鍵を有する共通鍵テーブル551を、複数有している。
無線通信用の第1セキュリティ処理としては、上述したもののほか、例えば、特許文献1に記載のセキュリティ処理を行うことができる。
図3は、路側機3A,3B及び車載器4A,4Bの記憶部の耐タンパ領域に格納される無線通信用セキュリティ情報325aの例を示している。耐タンパ領域は、無線通信用セキュリティ情報325aとして、複数の共通鍵テーブル51を有する。各共通鍵テーブル51には、テーブルID(テーブル識別子)が付与されている。各共通鍵テーブル51は、複数の共通鍵を有し、複数の共通鍵それぞれには鍵IDが付与されている。路側機3A,3B及び車載器4A,4Bは、無線パケット(路車間通信データ、車車間通信データ)を送信する際には、使用すべき一つの共通鍵テーブル51に含まれる共通鍵をランダムに選択し、選択された共通鍵を用いて第1セキュリティ処理(MAC処理など)を行う。無線パケットの送信者3A、3B,4A,4Bは、セキュリティ処理に用いたテーブルID及び鍵IDをセキュリティ情報ID13b(図4参照)として、無線パケットに付加して送信する。無線パケットの受信者4A,4Bは、受信した無線パケットのセキュリティ情報ID情報13bを参照して、受信側でのセキュリティ処理(セキュリティ検証)に用いるべき共通鍵を特定する。セキュリティ情報ID13bは、例えば、特許文献1記載のテーブルIDなどであってもよい。
図4は、路車間通信データ10を示している。路車間通信データ10は、無線パケットとして、路側機3A,3Bから車載器4へ送信される。路車間通信データ10は、無線ヘッダ11と、アプリケーションデータ12と、を有している。アプリケーションデータ12は、路側機3A,3Bの制御部31(アプリケーション311)から無線部32に与えられるデータである。無線ヘッダ11は、無線部32によってアプリケーションデータ12に付加される。
無線部32によって無線通信のための第1セキュリティ処理が行われる場合、無線ヘッダ11は、セキュリティヘッダ13を含む。セキュリティヘッダは、無線部32のセキュリティ管理部(SAM)による第1セキュリティ処理によって生成される。セキュリティヘッダ13は、路車間通信データ(無線パケット)のセキュリティレベルを示す情報13a、セキュリティ情報ID13b、MAC処理により生成されたMAC13c、路側機3A,3Bの公開鍵証明書13d、路側機3A,3Bの電子署名13eを含む。なお、セキュリティレベルを示す情報13aは、アプリケーションデータ12(のアプリケーションヘッダ)の中に設けられていても良い。
路車間通信データ10のデータ構造は、車載器4A,4B以外の宛先のために路側機3A,3Bが送信する無線パケットのデータ構造としても採用される。例えば、路側機3A,3Bが、他の路側機3A,3B向けに送信する路路間通信データの構造や、歩行者が有する移動局向けに送信する路歩間通信データの構造としても用いられる。
車車間通信データは、基本的に路車間通信データ10と同様の構造を有している。ただし、車車間通信データは、公開鍵証明書13d及び電子署名13eを有しない。
路側機3A,3Bが第1セキュリティ処理に使用すべき共通鍵テーブル51は、時間がたつと危殆化するため、別の共通鍵テーブル51に更新される。車載器4A,4Bは、路側機3A、3Bが第1セキュリティ処理に使用している共通鍵テーブル51を、車載器4A,4Bが第1セキュリティ処理に使用すべき共通鍵テーブル51として認識する。
路側機3A,3Bが悪意のある第三者に不正使用された場合の懸念の一つとして、車載器4A,4Bが使用すべき共通鍵テーブル51が不必要に更新されてしまうことが挙げられる。車載器4A,4Bは、受信した路車間通信データに含まれるセキュリティ情報ID13bに基づいて、車載器4A,4B自身が使用すべき共通鍵テーブル51を更新するため、悪意のある路側機3A,3Bが、不適切なセキュリティ情報ID13bを含む路車間通信データ(偽データ)を送信すると、車載器4A,4Bの共通鍵テーブル51が不適切に更新されるおそれがある。
また、車載器4A,4Bが、他の車載器4A,4Bから受信した車車間通信データに含まれるセキュリティ情報ID13bに基づいて、車載器4A,4B自身が使用すべき共通鍵テーブル51を更新するよう構成されていると、悪意のある他の車載器4A,4Bが存在すると、悪意のある他の車載器4A,4Bから送信される偽データによって、悪意のある路側機3A,3Bが存在する場合と同様の懸念が生じる。
さらに、偽データの送信は、様々な被害を引き起こすおそれがある。偽データによる被害を低減するため、本実施形態の路側機3A,3B及び車載器4A,4Bは、図5に示すように、起動した直後は、無線パケット送信に制限がある準備モード(非活性状態)NAとなる。準備モード(非活性状態)NAでは、送信に制限があるため、偽データの送信を抑制することができる。
路側機3A,3B及び車載器4A,4Bは、準備モードNAから、運用モード(活性状態)Aへ、状態遷移することができる。ただし、運用モードAは、準備モードにおける制限が解除されたモード(状態)である。路側機3A,3B及び車載器4A,4Bは、所定の遷移イベントが発生した場合にしか、準備モードNAから運用モードAへ状態遷移できない。したがって、盗難された路側機3A,3B及び車載器4A,4Bの電源を単にONにしても、所定の遷移イベントが生じなければ、盗難された路側機3A,3B及び車載器4A,4Bは、活性化して運用モードAになることができない。これにより、盗難された路側機3A,3B及び車載器4A,4Bによる偽データ送信の抑制が可能である。
準備モード(非活性状態)NAにおける制限としては、例えば、図5に示すように、以下に列挙する制限のうちの1又は複数の制限が採用される。いずれの制限が採用された場合も、無線送信用の第1セキュリティ処理が施されたサービスデータを含む無線パケットの送信処理(無線通信処理)は、運用モードAに比べて制限があることになる。
(1)無線送信(無線通信)が不可
(2)無線送信用の第1セキュリティ処理が不可
(3)無線通信の時間制限
(4)無線通信のパケット数制限
(5)低セキュリティレベルでの送信
「(1)無線送信(無線通信)が不可」は、無線部32,42(42a)による無線送信自体を禁止する制限である。この制限がかかっている場合には、制御部31,41(アプリケーション311,411)から無線部32,42(42a)にアプリケーションデータ(サービスデータなど)が与えられても、無線部32,42(42a)は、無線伝送路への無線パケットの送出を行わない。無線送信が禁止されることで偽データ送信が抑制される。なお、無線部32,42(42a)による無線送信だけでなく、無線受信も禁止して、無線部32,42(42a)による無線通信が行われないようにしてもよい。
ただし、本実施形態において、「(1)無線送信(無線通信)が不可」の制限には、例外を設けることができる。例外は、例えば、センターサーバ2との有線通信又は無線通信とすることができる。この例外の下では、センターサーバ2との無線通信は可能である。なお、またオンライン路側機3Aは、「(1)無線送信(無線通信)が不可」の制限にかかわらず、センターサーバ2と通信可能とすることができる。
他の例外は、特定の種類のアプリケーションデータ(例えば、後述の発信情報(活性要求)や活性指示)の送受信とすることができる。この例外の下では、特定の種類のアプリケーションデータの無線送受信は可能であるが、他の種類のアプリケーションデータ(例えば、路車間通信又は車車間通信用のサービスデータ)の送受信は行えない。この例外の下では、送信可能なデータ種別によって通信に制限が加えられることになる。
「(2)無線送信用の第1セキュリティ処理が不可」は、無線部32,42,(42a)による無線通信は、可能であるが、無線通信用の第1セキュリティ処理を禁止する制限である。この制限がかかっている場合、無線部32,42,42(42a)は、制御部31,41(アプリケーション311,411)から無線部32,42(42a)にアプリケーションデータ(サービスデータなど)が与えられると、そのアプリケーションデータに対する第1セキュリティ処理を行うことなく、平文の無線パケットとして、アプリケーションデータを無線伝送路に送出する。第1セキュリティ処理が禁止されることで、送信された偽データには第1セキュリティ処理が施されていないことを受信側が認識できる。したがって、受信側でそのような偽データを排除することが可能である。
「(2)無線送信用の第1セキュリティ処理が不可」の制限には、「(1)無線送信(無線通信)が不可」の制限における例外と同様の例外を設けることができる。
「(3)無線通信の時間制限」は、準備モードNAにおける所定の期間内だけ、運用モードAと同様に通信できるが、所定の期間外では、例えば、無線部32,42(42a)による無線送信を禁止する制限である。所定の期間外では、無線部32,42(42a)による無線通信は、可能であるが、無線通信用の第1セキュリティ処理を禁止してもよい。
所定の期間は、例えば、路側機3A,3B及び車載器4A,4Bが、起動(電源ON又は再起動)してからの所定の期間とすることができる。このように、所定の時間内であるという条件を満たさない場合には、通信が制限される。無線通信に時間制限が加わることで、偽データの送信機会が制限されるため、偽データ送信を抑制できる。この制限は、例えば、ジャミング攻撃及びDos攻撃の抑制に有効である。
「(4)無線通信のパケット数の制限」は、準備モードNAにおいて送信可能なパケット数(送信可能なデータ量)によって規定される制限である。この制限がかかっている場合、準備モードNAにおいて送信したパケット数(データ量)が、所定の上限値に達するまでは、運用モードAと同様に通信できるが、送信したパケット数(データ量)が所定の上限値に達すると、例えば、無線部32,42(42a)による無線送信が禁止される。送信したパケット数(データ量)が所定の上限値に達すると、無線部32,42(42a)による無線通信は、可能であるが、無線通信用の第1セキュリティ処理を禁止してもよい。このように、送信可能なパケット数(送信可能なデータ量)で規定される条件を満たさない場合には、通信が制限される。送信可能なパケット数の制限が加わることで、偽データの送信機会が制限されるため、偽データ送信を抑制できる。この制限は、例えば、ジャミング攻撃及びDos攻撃の抑制に有効である。
「(5)低セキュリティレベルでの送信」は、第1セキュリティ処理が施された無線パケットの送信は許可するが、その無線パケットは、第1セキュリティ処理が施されているにもかかわらずセキュリティレベルが低いことを示す情報が付加されるという制限である。具体的には、無線部32,42(42a)は、無線パケットのセキュリティレベルを示す情報13a(図4参照)を、低セキュリティレベルを示す値に設定した無線パケット(セキュリティヘッダ13を含む)を送信する。この場合、偽データが送信されたとしても、送信された偽データには、セキュリティレベルが低いことを示す情報13aが付加されているため、セキュリティレベルが低いことを受信側が認識できる。したがって、受信側でそのような偽データを排除することが可能である。
準備モード(非活性状態)NAから運用モード(活性状態)Aへの状態遷移は、図5に示すように、所定の遷移イベントの発生によって生じる。所定の遷移イベントは、例えば、センターサーバ2からの活性指示(遷移指示)を受信したこと、である。
所定の遷移イベント(活性指示)は、センターサーバ2から、無線通信用の第1セキュリティ情報(共通鍵;共通鍵テーブル551)を受信したこと、であってもよい。この場合、路側機3A,3B,4A,4Bは、センターサーバ2から第1セキュリティ情報を受信することで、運用モード(活性状態)Aになり、その運用モードAでは、センターサーバ2から受信した第1セキュリティ情報を、無線送信されるデータに施される第1セキュリティ処理に用いる。
[2.2 オンライン路側機3Aの活性化のための処理]
[2.2.1 第2セキュリティ処理なし]
図6は、オンライン路側機3Aが、運用モード(活性状態)Aとなるための手順を示している。路側機3Aの電源がONになると(ステップS100)、路側機3A(の無線部32)は、準備モード(非活性状態)NAとなる(ステップS102)。準備モードNAでは、制御部31は、発信情報(活性要求)101を除き、サービスデータなどのアプリケーションデータの生成を行わないので、無線送信も行われない。なお、仮に、路車間通信のためのサービスデータが制御部31によって生成されても、無線部32は、そのサービスデータの無線送信を行わないように構成されていてもよい。
ここでは、「(1)無線送信(無線通信)が不可」の制限がかかっており、準備モードでは無線送信が禁止されるが、制限は、他の(2)〜(5)の制限であってもよく、以後説明する活性化のための処理においても同様である。また、準備モードNAでは、特定の種別のデータ(発信情報(活性要求)101,活性指示102)については、センターサーバ2との間の有線通信は可能である。
また、路側機3Aの電源がONになると(ステップS100)、路側機3Aの制御部31(のアプリケーション311)は、発信情報(活性要求)101を生成する(ステップS104)。発信情報101は、路側機3Aが起動したことをセンターサーバ2に通知する情報である。本実施形態では、センターサーバ2は、発信情報101を受信したことに基づいて活性指示102を生成するため、発信情報101は活性指示の要求(以下、「活性要求」という)として機能する。なお、本実施形態では、発信情報101が活性要求を兼ねているが、路側機3の起動後にセンターサーバ2に送信される他の情報101が活性要求を兼ねてもよい。さらに、活性要求は、活性指示を要求するための専用のコマンドであってもよい。
発信情報101は、路側機3AのID及びアプリケーションID(発信情報であることをを示すID)などを含む。制御部31は、生成した発信情報101を、無線部32に与える(ステップS106)。無線部32は、受け取った発信情報101に、SAM情報を追加する(ステップS108)。追加されるSAM情報は、無線部32のSAMの機器ID、セキュリティ状態情報(路側機3Aが運用モードで使用することになるセキュリティ情報を示す情報(共通鍵テーブル51のIDなど))などを含む。
無線部32は、SAM情報が追加された発信情報101を制御部31に戻す(ステップS110)。制御部31は、無線部32から戻された発信情報101を、センターサーバ2へ送信する(ステップS112)。制御部31は、センターサーバ2へ送信する発信情報(活性要求)101にセキュリティ処理を施すことなく、平文で送信する。
センターサーバ2は、活性要求である発信情報101を受信すると、活性要求の送信元である路側機3Aへ送信される活性指示102を生成する(ステップS116)。活性指示102は、センターサーバ2のID、時刻情報、アプリケーションID(発信情報(活性要求)コマンドを示すID)などを含む。センターサーバ2は、生成した活性指示102を、路側機3Aへ送信する(ステップS120)。
路側機3Aの制御部31は、センターサーバ2から活性指示102を受信すると(ステップS120)、その活性指示102を無線部32へ与える(ステップS122)。路側機3A(の無線部32)は、活性指示102を受信したことに基づいて、準備モード(非活性状態)NAから運用モード(活性状態)Aとなり、準備モードにおける制限(無線送信不可)が解除される(ステップS130)。つまり、無線部32による送信が可能となる。運用モードAでは、無線部32のSAMによる第1セキュリティ処理も可能である。
無線部32は、起動してから所定時間内に活性指示102を受信できなかったり、受信したデータが活性指示102でなかったり、受信した活性指示102が不適切である場合には、運用モード(活性状態)Aへの遷移失敗と判断し(ステップS126)、準備モードのままとなる(ステップS128)。
そして、無線部32は、活性状態Aになれたか否かを示す活性可否応答を制御部31に送る(ステップS132)。制御部134は、活性可否応答に基づいて、無線部32が運用モードになるのに成功したか否かの可否判定を行う(ステップS134)。可否判定の結果、運用モードへの遷移が成功であると判定されると(ステップS136)、制御部31は、サービスデータ(路車間通信用のデータ)となるアプリケーションデータの生成を開始する(ステップS138)。ステップS136において成功と判定されない場合、ステップS104の手前まで戻る。
制御部31は、生成したサービスデータを、無線部32に与える(ステップS14)。無線部32のSAM(セキュリティ管理部)325は、受け取ったサービスデータに無線送信用の第1セキュリティ処理(MAC処理など;セキュリティヘッダ13の生成)103aを施すことができる(ステップS142)。無線部32は、第1セキュリティ処理103aが施されたサービスデータに対して、その他の無線送信処理(無線ヘッダ11の生成)を行い(ステップS144)、無線伝送路に無線パケットとして送信する(ステップS144)。
図7は、図6に示す手順におけるデータの流れを示している。図7に示すように、発信情報(活性要求)101及び活性指示102のやり取りは、(ステップS108のSAM情報の追加を除き)、路側機3Aの制御部31とセンターサーバ2との間で行われ、無線部32による無線送受信処理(無線通信処理)の必要はない。したがって、路側機3は、無線送信が禁止されていても、準備モードNAにおいて許可されているセンターサーバ2との通信によって、活性要求101をセンターサーバ2へ有線送信し、活性指示102をセンターサーバ2から有線受信することができる。
また、センターサーバ2とオンライン路側機3Aとの間は、ITS通信システム1専用の通信回線にて有線接続されているため、活性要求101及び活性指示102は、セキュリティ処理が施されていない平文でも、ある程度セキュアに送信可能である。
図7のステップS140aに示すように、路側機3Aの制御部31は、路側機3Aが運用モード(活性状態;Active)Aになるまで、仮にサービスデータを生成しても、無線部32に与えず、そのサービスデータは送信不可である。また、運用モードNAでは、発信情報(活性要求)101及び活性指示102という活性化のための特定の種別のアプリケーションデータを除き、センターサーバ2への通信も行えない(ステップS140aにおいてNo)。
これに対して、路側機3Aが運用モード(活性状態;Active)Aになると、無線送信用のサービスデータ103を、無線部32に与えて無線パケット(路車間通信データ)として送信したり、センターサーバ2宛のサービスデータ(有線送信用データ)104をセンターサーバへ送信したりすることができる(ステップS140b)。
図7に示すように、路側機3Aの無線部32は、物理層321、下位層322、レイヤ7(L7)323、拡張層(EL)324、セキュリティ管理部(SAM)325を有している。物理層321は、一般社団法人電波産業会の”700MHz帯高度道路交通システム標準規格(ARIB STD−T109)”におけるレイヤ1に相当する。下位層322は、同標準規格のレイヤ2及び車車間・路車間共用通信制御情報層に相当する。レイヤ7(L7)323は、同標準規格のレイヤ7に相当する。拡張層324は、ITS情報通信システム推進会議の”700MHz帯高度道路交通システム拡張機能ガイドライン(ITS FORUM RC−010)”における拡張層に相当する。
セキュリティ管理部325は、同標準規格及び同ガイドラインにおけるセキュリティ管理に相当する。前記標準規格及び前記ガイドラインにおいて、セキュリティ管理部325は、拡張層324及びレイヤ7(L7)323それぞれにからアクセスされる。セキュリティ管理部325は、無線送信されるアプリケーションデータ(サービスデータなど)を拡張層324又はレイヤ7(L7)323から受け取って、そのアプリケーションデータに無線送信用の第1セキュリティ処理103a,103bを施し、第1セキュリティ処理103a,103bが施されたアプリケーションデータを拡張層324又はレイヤ7(L7)323に戻す。
セキュリティ管理部325は、路側機3Aの記憶部の耐タンパ領域に記憶された無線通信用セキュリティ情報(共通鍵など;図3参照)325を用いて、第1セキュリティ処理を行い、図4に示すセキュリティヘッダ13を生成する。
無線部32が、運用モードAにおいて、制御部31から路車間通信データとして無線送信すべきサービスデータを受け取ると、拡張層324は、そのサービスデータをセキュリティ管理部325に渡し、第1セキュリティ処理103aが施されたサービスデータ(セキュリティヘッダ13に相当する情報を含む)をセキュリティ管理部325から受け取る。そして、拡張層324及びその他の層323,322,321は、各自がヘッダを生成し、無線パケットを生成する。生成された無線パケットは無線伝送路に送信される。なお、レイヤ7(L7)323が、サービスデータをセキュリティ管理部325に渡すことで、第1セキュリティ処理103bが行われても良い。
[2.2.1 第2セキュリティ処理あり]
図8は、オンライン路側機3Aが、運用モード(活性状態)Aとなるための手順の他の例を示している。図8の手順は、センターサーバ2と路側機3Aとの間の通信にセキュリティがかかっている点で、図6の手順と相違する。
図8の手順と図6の手順とで異なる点は、図8のステップS108、ステップS114、ステップS118、及びステップS124である。図8のその他のステップについては、図6と同様である。図8のステップS108では、路側機3Aの無線部32は、受け取った発信情報(活性要求)101に、SAM情報を追加するとともに、第2セキュリティ処理101aを施す(図9参照)。第2セキュリティ処理10a1は、センターサーバ2と路側機3Aとの間の通信のためのセキュリティ処理である。
第2セキュリティ処理101aは、無線部32のセキュリティ管理部325で行われる。第2セキュリティ処理101aの実行のため、制御部31は、拡張層324を介さずに、直接、セキュリティ管理部325に、発信情報(活性要求)101を渡すことができる(図9参照)。このように、本実施形態では、無線部32の拡張層324又はレイヤ7(L7)323からセキュリティ管理部325へアクセスできるほか、制御部31からもセキュリティ管理部325へアクセスすることができる。
サーバ宛データである発信情報101には、センターサーバ2以外の宛先のデータであるサービスデータに施される第1セキュリティ処理103aとは、異なるセキュリティ処理である第2セキュリティ処理101aによってセキュリティが施される。したがって、第1セキュリティ処理103aの実行に制限があっても、発信情報101に対して第2セキュリティ処理101aを行うことができる。
第2セキュリティ処理101aは、第1セキュリティ処理103aに用いられる無線通信用のセキュリティ情報325aとは異なる活性用セキュリティ情報325bを用いて行われる。活性用セキュリティ情報325bは、センターサーバ2と共有される共通鍵などを有して構成される。路側機3Aによる第2セキュリティ処理101aは、センターサーバ2によって検証される。第2セキュリティ処理101aは、例えば、センターサーバ2と共有する共通鍵による暗号化、及び、路側機3Aによる電子署名の付加などである。
無線部32のセキュリティ管理部325は、SAM情報が追加され第2セキュリティ処理101aが施された発信情報101を制御部31に戻す(ステップS110)。制御部31は、その発信情報101をセンターサーバ2へ送信する。図8の手順では、発信情報101に第2セキュリティ処理101aが施されているので、発信情報101の送信がよりセキュアになる。
センターサーバ2は、発信情報101を受信すると、ステップS114において、受信した発信情報101に施された第2セキュリティ処理101aの検証101bを行う。第2セキュリティ処理101aの検証101bは、例えば、復号化の成否の検証、及び発信情報101に付加されている電子署名の検証である。図9に示すように、第2セキュリティ処理101aの検証101bは、センターサーバ2のセキュリティ管理部(SAM)211におけるセキュリティ処理(受信側の第2セキュリティ処理)101bとして行われる。センターサーバ2のセキュリティ管理部211は、センターサーバ2の記憶部の耐タンパ領域に記憶されたセキュリティ情報(路側機3A及び路側機3Bと共有する共通鍵など)を用いて、セキュリティ処理(受信側の第2セキュリティ処理)101bを行う。
センターサーバ2では、第2セキュリティ処理101aの検証101bだけでなく、その他の発信情報(活性要求)101の適切さに関する検証を行っても良い。例えば、センターサーバ2の処理部21は、発信情報101に含まれる路側機ID、路側機3Aの無線部32のSAMの機器IDを参照し、予めセンターサーバ2において登録されたIDであるか否かを確認することによって検証を行っても良い。また、処理部21は、発信情報101に含まれるセキュリティ情報を示す情報(共通鍵テーブル51のIDなど))を検証して、その情報(ID)が所定の値であるか否かを確認することによって検証を行っても良い。さらに、発信情報101に時刻情報が含まれる場合には、処理部21は、発信情報101の時刻情報の確からしさの検証を行っても良い。処理部21は、発信情報101が、適切なルータ7を経由して送信されたか否かを確認することで検証を行っても良い。
発信情報(活性要求)101の適切さの検証を行うことで、不適切な発信情報101に応答して、不適切な路側機3Aに活性指示102を送信してしまうことを防止できる。
センターサーバ2の処理部21は、第2セキュリティ処理の検証(ステップS114)などの発信情報101の適切さの検証の結果、発信情報101が適切であると判断すると、活性指示102を生成する(ステップS116)。活性指示は、センターサーバ2のID,時刻情報、アプリケーションID(活性指示コマンドを示すID)などを含む。
センターサーバ2の処理部21は、生成した活性指示102にサーバセキュリティ処理102aを施す(ステップS118;図9参照)。サーバセキュリティ処理102aも、センターサーバ2と路側機3Aとの間の通信のためのセキュリティ処理である。
センターサーバ2の処理部21が行うサーバセキュリティ処理102aは、センターサーバ2の記憶部の耐タンパ領域に記憶されたセキュリティ情報(路側機3A及び路側機3Bと共有する共通鍵など)を用いて行われる。センターサーバ2によるサーバセキュリティ処理102aは、路側機3Aによって検証される。サーバセキュリティ処理102aは、例えば、路側機3A及び路側機3Bと共有する共通鍵による暗号化、及び、センターサーバ2による電子署名の付加などである。
処理部21は、サーバセキュリティ処理102aが施された活性指示102を、路側機3Aへ送信する(ステップS120)。図8の手順では、活性指示102にサーバセキュリティ処理102aが施されているので、活性指示102の送信がよりセキュアになる。
路側機3Aの制御部31は、活性指示102を受信すると、その活性指示102を無線部32に渡す(ステップS122)。図9に示すように、無線部32のセキュリティ管理部325は、活性指示102の適否の検証の一つとして、活性指示102に施されたサーバセキュリティ処理102aの検証102bを行う(セキュリティ検証処理;ステップS124)。図9に示すように、サーバセキュリティ処理102aの検証102bのため、制御部31は、拡張層324を介さずに、直接、セキュリティ管理部325に活性指示102を渡すことができる(図9参照)。
サーバセキュリティ処理102aの検証102bは、例えば、復号化の成否の検証、及び活性指示102に付加されている電子署名の検証である。サーバセキュリティ処理102aの検証102bは、路側機3Aのセキュリティ管理部325におけるセキュリティ処理(受信側の第2セキュリティ処理)102bとして行われる。路側機3Aのセキュリティ管理部325は、路側機3Aの記憶部の耐タンパ領域に記憶された活性用セキュリティ情報325bを用いて、セキュリティ処理102bを行う。
制御部31又は無線部32は、活性指示102の適否の検証のため、活性指示102のセキュリティ検証102b以外のその他の検証を行っても良い。
活性指示102のセキュリティ検証102bなどの活性指示102の適切さの検証(活性指示102の適否の検証)が行われることで、偽サーバからの活性指示102によって盗難された路側機3Aが活性状態Aとなることを防止できる。つまり、路側機3Aは、センターサーバ2からの活性指示の検証102bによって、センターサーバ2の認証を行っていることになるため、偽サーバからの活性指示を拒否して、盗難された路側機3Aが活性状態Aとなるのを防ぐことができる。
検証102bの結果、活性指示が適切であれば、準備モードNAにおける制限は解除され、運用モードAとなる。
図10は、図9の変形例を示している。図10に示す路側機3Aの無線部32のセキュリティ管理部325は、第2セキュリティ処理101a及びサーバセキュリティ処理102aの検証102bを、第1セキュリティ処理103aに用いられる無線通信用セキュリティ情報325aを用いて行う。すなわち、図10に示す例の場合、第1セキュリティ処理103aに用いられる無線通信用セキュリティ情報と第2セキュリティ処理101aに用いられる情報は共通であり、セキュリティ管理部325は、活性用セキュリティ情報325bを保持する必要がない。図10に示す例の場合、センターサーバ2のセキュリティ管理部211は、路側機3Aの無線通信用セキュリティ情報325aと同様のセキュリティ情報を保持する。図10に関し特に説明しない点は、図9と同様である。
図11は、図9の他の変形例を示している。図11に示す路側機3Aの制御部31は、活性用セキュリティ管理部(活性用SAM)312を備えている。図11の制御部31のアプリケーション311は、図8のステップS108において、発信情報101を無線部32ではなく、活性用セキュリティ管理部312に与える。活性用セキュリティ管理部312は、受け取った発信情報101に、SAM情報を追加するとともに、第2セキュリティ処理101aを施す。ここでの第2セキュリティ処理101aは、活性用セキュリティ情報312aを用いて行われる。活性用セキュリティ情報312aは、図9の活性用セキュリティ情報235bと同様に、路側機3Aの記憶部の耐タンパ領域に記憶されている。また、サーバセキュリティ処理102aの検証102bも、活性用セキュリティ管理部312にて行われる。図11の例の場合、第2セキュリティ処理101a及びサーバセキュリティ処理102aの検証102bのために、制御部31が無線部32にアクセスする必要がない。図11に関し特に説明しない点は、図9と同様である。
[2.3 スタンドアローン路側機3B(車載器4A,4B)の活性化のための処理]
以下、スタンドアローン路側機3Bが、運用モード(活性状態)Aとなるための手順についての複数の例を説明する。以下の複数の例では、いずれも、サービスデータを含む無線パケット10を生成する手順と、活性要求101などのサーバ宛データを含む無線パケット10を生成する手順とは、異なっている。
[2.3.1 第1例(第1セキュリティ処理なし・第2セキュリティ処理あり)]
図12〜図14は、スタンドアローン路側機3Bが、運用モード(活性状態)Aとなるための手順の第1例を示している。図12〜図14に示す手順は、車載器4A,4Bが、運用モードAとなるための手順でもあり、以下の説明における、「路側機3B」は、「車載器4A,4B」と読み替えることができる(第2例〜第4例についても同様)。
センターサーバ2と有線通信が行えないスタンドアローン路側機3Bが、運用モードAとなるには、活性要求101を無線パケットとしてオンライン路側機3Aへ送信し、そのオンライン路側機3Aに、活性要求101をセンターサーバ2へ送信してもらう必要がある。
ここで、第1例では、路側機3Bは、第2セキュリティ処理101aが可能であるものとする。また、第1例では、路側機3Bは、準備モードNAでは、「(1)無線送信(無線通信)が不可」の制限がかかっているものとする。例外として、サーバ宛データの無線送信は許容される。ただし、サーバ宛データの送信には、「(2)無線送信用の第1セキュリティ処理が不可」の制限がかかっているものとする。
つまり、第1例の路側機3Bは、準備モードNAにおいて、第1セキュリティ処理103aが施されたサービスデータ(路車間通信データなど)を無線パケットとして送信することは禁止されている。ただし、サーバ宛データ(活性要求など)の送信のためには、第1セキュリティ処理103aが行われずに生成された無線パケット10を送信することは許可されている。なお、第1セキュリティ処理103aが行われずに生成された無線パケット10の送信は、データの種別にかかわらず許可しても良い。
路側機3Bが第1セキュリティ処理103aが行われた無線パケットを無線送信すると、偽データとなって、車載器4A,4Bが被害を受けるおそれがあるが、平文の無線パケットであれば、車載器4A,4Bは、第1セキュリティ処理が施されていないことを認識して、その無線パケットを排除することができる。
これを利用して、第1例の路側機3Bは、図12に示すように、活性要求101に第2セキュリティ処理101aを施し、活性要求101をセキュアにするが、無線パケット10の生成処理のための第1セキュリティ処理103aは行わない。これにより、無線パケット10には第1セキュリティ処理103aによって生成されるセキュリティヘッダ13が付与されない。この結果、無線パケット10を受信した車載器4A,4Bは、受信した無線パケット10を平文として認識する。しかし、活性要求101自体は第2セキュリティ処理101aによってセキュアである。この結果、活性要求101を、路側機3Bからセンターサーバ2までセキュアな状態で送信でき、活性要求101の盗聴を防止できる。
同様に、センターサーバ2は、活性指示102に、サーバセキュリティ処理102aを施し、活性指示102をセキュアにするが、オンライン路側機3Aは、無線パケット10の生成のための第1セキュリティ処理103aは行わない。活性指示102自体はサーバセキュリティ処理102aによってセキュアであるので、活性指示102を、センターサーバ2から路側機3Bまでセキュアな状態で送信でき、活性指示102の盗聴を防止できる。
第1例の路側機3Bは、活性指示102を受信すると、活性化して運用モードAとなり、第1セキュリティ処理103aが施されたサービスデータ(路車間通信データなど)103の無線パケット10を無線送信することができる。
図13は、図12に示す活性化手順の詳細を示している。なお、スタンドアローン路側機3Bの電源がONになると(ステップS200)、路側機3A(の無線部32)は、準備モード(非活性状態)NAとなる(ステップS202)。
路側機3Bの電源がONになると(ステップS200)、路側機3Bの制御部31(のアプリケーション311)は、サーバ宛データである発信情報(活性要求)101を生成する(ステップS204)。発信情報101は、路側機3BのID及びアプリケーションID(活性要求を示すID)などを含む。制御部31は、生成した発信情報101を、無線部32に与える(ステップS206)。無線部32は、受け取った発信情報101に、SAM情報を追加するとともに、第2セキュリティ処理101aを施す(ステップS208;図14参照)。追加されるSAM情報は、無線部32のSAMの機器ID、セキュリティ状態情報(路側機3Bが運用モードで使用することになるセキュリティ情報を示す情報(共通鍵テーブル51のIDなど))などを含む。
図14に示すように、第2セキュリティ処理101aは、無線部32のセキュリティ管理部325で行われる。第2セキュリティ処理の実行のため、制御部31は、拡張層324を介さずに、直接、セキュリティ管理部325に、発信情報(活性要求)101を渡すことができる。
サーバ宛データである発信情報101に施される第2セキュリティ処理101aは、センターサーバ2以外の宛先のデータであるサービスデータに施される第1セキュリティ処理103aとは、異なっている。したがって、第1セキュリティ処理103aの実行に制限があっても、第2セキュリティ処理101aを行うことができる。
図14に示す第2セキュリティ処理101aは、図9に示す第2セキュリティ処理101aと同様である。図14に示す第2セキュリティ処理101aは、図10に示す第2セキュリティ処理101aと同様であってもよいし、図11に示す第2セキュリティ処理101aと同様であってもよい。
無線部32のセキュリティ管理部325は、SAM情報が追加され第2セキュリティ処理101aが施された発信情報101を制御部31に戻す(ステップS210)。制御部31は、その発信情報101を、無線送信のために無線部32に渡す。無線部32は、拡張層324、レイヤ7(L7)323、下位層322、及び物理層321の各層にて、無線送信処理(無線ヘッダ11の生成)を行うことで、無線パケット10を生成する無線通信処理を行い(ステップS214)、その無線パケット10を無線送信する(ステップS218)。準備モードNAでは、無線送信のための第1セキュリティ処理103aは禁止されているので、送信された無線パケット10にセキュリティヘッダ13は含まれない。
オンライン路側機3Aの無線部32は、スタンドアローン路側機3Bからの無線パケット10を受信すると、物理層321から拡張層324までの無線通信処理(ステップS220)によって、その無線パケット10に含まれる発信情報101を取り出す。オンライン路側機3Aの無線部32は、取り出した発信情報101を、オンライン路側機3Aの制御部31へ渡す(ステップS224)。オンライン路側機3Aの制御部31は、発信情報101をセンターサーバ2へ有線送信する(ステップS226)。発信情報101には、第2セキュリティ処理101aが施されているので、発信情報101のセンターサーバ2への送信はセキュアである。
センターサーバ2は、発信情報101を受信すると、受信した発信情報101に施された第2セキュリティ処理101aの検証101bを行う(ステップS228;図14参照)。図14に示す第2セキュリティ処理101aの検証101bは、図9に示す第2セキュリティ処理101aの検証101bと同様である。
センターサーバ2では、第2セキュリティ処理101aの検証101bだけでなく、その他の発信情報(活性要求)101の適切さに関する検証を行っても良い。その他の発信情報(活性要求)101の適切さに関する検証は、図8及び図9に関する説明で述べた「その他の発信情報(活性要求)101の適切さに関する検証」と同様に行える。
発信情報(活性要求)101の適切さの検証を行うことで、不適切な発信情報101に応答して、不適切な路側機3Bに活性指示102を送信してしまうことを防止できる。
センターサーバ2の処理部21は、第2セキュリティ処理の検証(ステップS228)などの発信情報101の適切さの検証の結果、発信情報101が適切であると判断すると、活性指示102を生成する(ステップS230)。活性指示は、センターサーバ2のID,時刻情報、アプリケーションID(活性指示コマンドを示すID)などを含む。
センターサーバ2の処理部21は、生成した活性指示102にサーバセキュリティ処理102aを施す(ステップS232;図14参照)。サーバセキュリティ処理102aも、センターサーバ2と路側機3Aとの間の通信のためのセキュリティ処理である。このサーバセキュリティ処理102aは、図9に示すサーバセキュリティ処理102aと同様である。
処理部21は、サーバセキュリティ処理102aが施された活性指示102を、路側機3Aへ送信する(ステップS234)。活性指示102にサーバセキュリティ処理102aが施されているので、活性指示102の送信はセキュアである。
路側機3Aの制御部31は、活性指示102を受信すると、その活性指示102を無線部32に渡す(ステップS236)。無線部32は、拡張層324、レイヤ7(L7)323、下位層322、及び物理層321の各層にて、無線送信処理(無線ヘッダ11の生成)を行うことで、無線パケット10を生成する無線通信処理を行い(ステップS240)、その無線パケット10を無線送信する(ステップS242)。路側機3Bでは、第1セキュリティ処理が禁止されているため、路側機3Aも、第1セキュリティ処理を行わない。
スタンドアローン路側機3Bの無線部32は、オンライン路側機3Aからの無線パケット10を受信すると、物理層321から拡張層324までの無線通信処理(ステップS244)によって、その無線パケット10に含まれる活性指示102を取り出す。スタンドアローン路側機3Bの無線部32は、取り出した活性指示102を、スタンドアローン路側機3Bの制御部31へ渡す(ステップS248)。制御部31は、活性指示102を受け取ると、その活性指示102を無線部32のセキュリティ管理部325に渡す(ステップS250)。セキュリティ管理部325は、活性指示102に施されたサーバセキュリティ処理102aの検証102bを行う(セキュリティ検証処理;ステップS252)。サーバセキュリティ処理102aの検証102bのため、制御部31は、拡張層324を介さずに、直接、セキュリティ管理部325に活性指示102を渡すことができる(図14参照)。図14に示す検証102bは、図9に示す検証102bと同様である。
スタンドアローン路側機3Bの無線部32は、セキュリティ検証102bなどの検証の結果、受信した活性指示102が不適切であると判断した場合には、運用モード(活性状態)Aへの遷移失敗と判断し(ステップS254)、準備モードNAのままとなる(ステップS256)。受信した活性指示102が適切である場合、無線部32は、運用モード(活性状態)Aとなり、準備モードにおける制限(第1セキュリティ処理不可)が解除される(ステップS258)。つまり、無線部32によって第1セキュリティ処理103aが施されたサービスデータ103の送信が可能となる。
その後、無線部32は、活性状態Aになれたか否かを示す活性可否応答を制御部31に送る(ステップS260)。制御部134は、活性可否応答に基づいて、無線部32が運用モードになるのに成功したか否かの可否判定を行う(ステップS262)。可否判定の結果、運用モードへの遷移が成功であると判定されると(ステップS264)、制御部31は、サービスデータ(路車間通信用のデータ)となるアプリケーションデータの生成を開始する(ステップS264)。ステップS264において、成功と判定されない場合、ステップS204の手前まで戻る。なお、制御部32がステップS204において発信情報を生成してから所定の時間を経過した場合(タイムアウト)や、ステップS204において発信情報を生成してから無線部32によって送信されたパケット数が所定数をオーバした場合も、ステップS264において不成功と判定される。
運用モードAになると、制御部31は、生成したサービスデータを、無線部32に与える(ステップS268)。図14のステップS268aに示すように、路側機3Bの制御部31は、路側機3Bが運用モード(活性状態;Active)Aになるまで、仮にサービスデータを生成しても、無線部32に与えず、そのサービスデータは送信不可である。
無線部32のSAM(セキュリティ管理部)325は、受け取ったサービスデータに無線送信用の第1セキュリティ処理(MAC処理など;セキュリティヘッダ13の生成)103aを施す(ステップS270)。無線部32は、第1セキュリティ処理103aが施されたサービスデータに対して、その他の無線送信処理(無線ヘッダ11の生成)を行い(ステップS272)、無線伝送路に無線パケットとして送信する(ステップS274)。路車間通信データの無線パケット10であれば、その無線パケット10は車載器4A,4Bによって受信される。図13のステップS274からステップS82では、無線パケット10が、路側機3A,3B間の通信(路路間通信データ)の無線パケットである場合の処理を示している。送信された無線パケット10は、路側機3Aの無線部32によって受信され、無線通信処理(ステップS276)とセキュリティ検証処理(ステップS278)が行われて、サービスデータが取り出される。取り出されたサービスデータは、無線部32から制御部31に与えられる(ステップS278)。制御部31は、そのサービスデータがセンターサーバ宛であれば、サービスデータをセンターサーバ2へ送信する(ステップS282)。
[2.3.2 第2例(第1セキュリティ処理あり・第2セキュリティ処理あり)]
図15〜図16は、スタンドアローン路側機3Bが、運用モード(活性状態)Aとなるための手順の第2例を示している。
第2例では、路側機3Bは、第2セキュリティ処理101aが可能であるものとする。また、第2例では、路側機3Bは、準備モードNAでは、「(1)無線送信(無線通信)が不可」の制限がかかっているものとする。例外として、サーバ宛データの無線送信は許容される。第2例では、第1例とは異なり、サーバ宛データの送信には、「(2)無線送信用の第1セキュリティ処理が不可」の制限はかかっていない。
つまり、第2例の路側機3Bは、準備モードNAにおいて、第1セキュリティ処理103aが施されたサービスデータ(路車間通信データなど)を無線パケットとして送信することは禁止されている。ただし、サーバ宛データ(活性要求など)の送信のためには、第1セキュリティ処理103aが行われて生成された無線パケット10を送信することは許可されている。このように、第2例では、準備モードNAにおける制限は、送信可能なデータの種別となっている。
第2例では、図15に示すように、活性要求101に第2セキュリティ処理101aを施し、活性要求101をセキュアにし、さらに、無線パケット10の生成処理のための第1セキュリティ処理101c,101dを行う。すなわち、図16に示すように、制御部31が、第2セキュリティ処理101aが施された発信情報101を、無線部32に与えると、無線部の拡張層324は、第2セキュリティ処理101aが施された発信情報101を再度、セキュリティ管理部325に与える。これにより、第1セキュリティ処理101cが行われる。第2セキュリティ処理101aが施された発信情報101は、レイヤ7(L7)323からセキュリティ管理部325に与えられ、第1セキュリティ処理101dが行われても良い。
無線パケット10を受信した路側機3Aの無線部32は、拡張層324からセキュリティ管理部325にアクセスすることによる第1セキュリティ処理101cの検証101e、又は、レイヤ7(L7)323からセキュリティ管理部325にアクセスすることによる第1セキュリティ処理101dの検証101fを行う。検証101e,101fの後、無線パケット10から取り出された発信情報101は、制御部31を介して、センターサーバ2に送信される。発信情報に施された第2セキュリティ処理101aの検証101bは、センターサーバ2のセキュリティ管理部211によって行われる。
同様に、センターサーバ2は、活性指示102に、サーバセキュリティ処理102aを施し、活性指示102をセキュアにし、さらに、オンライン路側機3Aは、無線パケット10の生成のための第1セキュリティ処理102c,102dを行う。すなわち、図16に示すように、センターサーバ2の処理部21は、活性指示102にサーバセキュリティ処理102aを施して、路側機3Aへ送信する。路側機3Aの無線部32は、サーバセキュリティ処理102aが施された活性指示102に更に第1セキュリティ処理102c,102dを行い、無線パケット10として送信する。
無線パケット10を受信した路側機3Bの無線部32のセキュリティ管理部325は、第1キュリティ処理102c,102dの検証102e,102fを行う。検証102e,102fの後、無線パケット10から取り出された活性指示102は、無線部32から制御部31に与えられる。制御部31は、活性指示102をセキュリティ管理部325に与える。セキュリティ管理部325は、活性指示102に施されたサーバセキュリティ処理102aの検証102bを行う。
以上のように第2例では、第2セキュリティ処理101a及びサーバセキュリティ処理102aだけでなく、第1セキュリティ処理101c,101d,102c,102dも用いられるため、センターサーバ2と路側機3Bとの間の通信を非常にセキュアにすることができる。なお、第2例において説明を省略した点については、第1例と同様である。
[2.3.3 第3例(第1セキュリティ処理あり・第2セキュリティ処理なし)]
図17〜図18は、スタンドアローン路側機3Bが、運用モード(活性状態)Aとなるための手順の第3例を示している。
第3例では、路側機3Bは、第1例及び第2例のような第2セキュリティ処理101aを行う機能を有していないものとする。つまり、第3例では、センターサーバ2と路側機3Bとの間の通信のセキュリティ機能がないものとする。
また、第3例では、路側機3Bは、準備モードNAでは、「(1)無線送信(無線通信)が不可」の制限がかかっているものとする。例外として、サーバ宛データの無線送信は許容される。サーバ宛データの送信については、無線送信用の第1セキュリティ処理が可能である。
つまり、第3例の路側機3Bは、準備モードNAにおいて、第1セキュリティ処理103aが施されたサービスデータ(路車間通信データなど)を無線パケットとして送信することは禁止されている。ただし図17に示すように、サーバ宛データ(活性要求など)の送信のためには、第1セキュリティ処理103aが行われて生成された無線パケット10を送信することは許可されている。第3例では、第1セキュリティ処理103aが行われて生成された無線パケット10の送信は、基本的に禁止されているため、偽データの送信を抑制できる。
第3例では、第1例及び第2例のような第2セキュリティ処理101aは行われないが、路側機3Bによって、第1セキュリティ処理が施されるため、路側機3A,3B間の通信はセキュアである。
なお、センターサーバ2から送信される活性指示102についても、図17に示すように、第1例及び第2例のようなサーバセキュリティ処理102aは行われないしかし、路側機3Aによって、第1セキュリティ処理が施されるため、路側機3A,3B間の通信はセキュアである。
第3例の路側機3Bも、活性指示102を受信すると、活性化して運用モードAとなり、第1セキュリティ処理103aが施されたサービスデータ(路車間通信データなど)103の無線パケット10を無線送信することができる。
図18は、図17に示す活性化手順の詳細を示している。図18(第3例)の手順と図13(第1例)の手順とで異なる点は、図18のステップS208、S216、S222、S238、S246であり、さらに、図18では、図13のステップS228、S232、S252が存在しないこととである。図18に関して説明を省略した点については、図13と同様である。
図18のステップS208では、図13のステップS209と同様に、発信情報101に対するSAM情報の追加は行われるが、図13のステップS208と異なり、第2セキュリティ処理101aは行われない。したがって、制御部31は、無線部32から平文の発信情報101を戻してもらうと、その平文の発信情報101を、無線通信処理(ステップS214)のために無線部32に渡す(ステップS212;図19参照)。この無線通信処理の際に、拡張層324又はレイヤ7(L7)323は、発信情報101をセキュリティ管理部325に渡す。セキュリティ管理部325は、発信情報101に対する第1セキュリティ処理101c,101dを行う(ステップS216;図19参照)。第1セキュリティ処理101c,101dが行われて生成された無線パケット10は、オンライン路側機3Aへ無線送信される(ステップS216)。この無線パケット10の送信は、第1セキュリティ処理101c,101dによってセキュアである。
オンライン路側機3Aの無線部32は、スタンドアローン路側機3Bからの無線パケット10を受信すると、物理層321から拡張層324までの無線通信処理(ステップS220)によって、その無線パケット10に含まれる発信情報101を取り出す。その無線通信処理の際、セキュリティ管理部325によって、路側機3Bによる第1セキュリティ処理101c,101dのセキュリティ検証101e,101fが行われる(ステップS222;図19参照)。この検証101e,101fにより、受信した発信情報(活性要求)101の適否を検証できる。検証101e,101fは、セキュリティ検証以外の発信情報101の検証を含んでも良い。この検証101e,101fにより、路側機3Aが不適切な発信情報101をセンターサーバ2へ送信することを防止できる。
オンライン路側機3Aの無線部32は、取り出した発信情報101を、オンライン路側機3Aの制御部31へ渡す(ステップS224)。オンライン路側機3Aの制御部31は、発信情報101をセンターサーバ2へ有線送信する(ステップS226)。
センターサーバ2は、発信情報101を受信すると、活性指示102を生成する(ステップS230)。第3例のセンターサーバ2は、第2セキュリティ処理101aの検証101bを行わずに活性指示102を生成するが、その他の発信情報(活性要求)101の適切さに関する検証を行ってから活性指示102を生成してもよい。その他の発信情報(活性要求)101の適切さに関する検証は、図8及び図9に関する説明で述べた「その他の発信情報(活性要求)101の適切さに関する検証」と同様に行える。
センターサーバ2は、発信情報101を受信したことに基づいて生成した活性指示102に対するサーバセキュリティ処理102aは行わない。
路側機3Aの制御部31は、センターサーバ2から平文の活性指示102を受信すると(ステップS234)、その活性指示102、無線通信処理(ステップS240)のために無線部32に渡す(ステップS236)。この無線通信処理の際に、拡張層324又はレイヤ7(L7)323は、活性指示102をセキュリティ管理部325に渡す、セキュリティ管理部325は、活性指示102に対する第1セキュリティ処理102c,102dを行う(ステップS238;図19参照))。第1セキュリティ処理102c,102dが行われて生成された無線パケット10は、スタンドアローン路側機3Bへ無線送信される(ステップS242)。この無線パケット10の送信は、第1セキュリティ処理101c,102dによってセキュアである。
スタンドアローン路側機3Bの無線部32は、オンライン路側機3Aからの無線パケット10を受信すると、物理層321から拡張層324までの無線通信処理(ステップS233)によって、その無線パケット10に含まれる活性指示102を取り出す。その無線通信処理の際、セキュリティ管理部325によって、路側機3Aによる第1セキュリティ処理102c,102cの検証102e,102fが行われる(図19参照)。検証101e,101fを行うことで、路側機3Bが不適切な活性指示102(例えば、偽サーバからの活性指示)によって活性化することを防止することができる。
図18のその後の処理は、図13のステップS252のセキュリティ検証処理が図18では行われないことを除き、図13と同様である。
[2.3.4 第4例(第1セキュリティ処理なし・第2セキュリティ処理なし)]
図20は、スタンドアローン路側機3Bが、運用モード(活性状態)Aとなるための手順の第4例を示している。
第4例では、第3例と同様に、路側機3Bは、第2セキュリティ処理101aを行う機能を有していない。
また、 第4例では、路側機3Bは、準備モードNAでは、準備モードNAでは、「(1)無線送信(無線通信)が不可」の制限がかかっているものとする。例外として、サーバ宛データの無線送信は許容される。第4例では、第3例とは異なり、サーバ宛データの送信に、「(2)無線送信用の第1セキュリティ処理が不可」の制限がかかっている。
第4例では、準備モードNAで送信される無線パケット10は、第1セキュリティ処理が行われて生成されたものではないので、この無線パケット10を受信した車載器4A,4Bは、無線パケット10を排除することが可能である。第4例では、第2セキュリティ処理101aも行われないので、活性要求101を含む無線パケット10は、全くセキュリティ処理が施されていないものとなっている。同様に、活性指示102を含む無線パケット10も、全くセキュリティ処理が施されていないものとなっている。第4例では、セキュリティ処理が必要ないので、路側機3A,3B及びセンターサーバ2の処理負担を軽減できる。第4例では、「(3)無線通信の時間制限」又は「(4)無線通信のパケット数の制限」がかかっているのが好ましい。
[2.4 車載器4Bの活性化のための処理]
図21は、車載器4Bが、運用モード(活性状態)Aとなるための手順を示している。車載器4Bは、前述のように、第2サーバ8と通信可能な第2無線部42bを有している。
図21の手順は、図12〜図14に示す手順と類似している。図21の手順が、図12〜図14に示す手順と異なる点は、準備モードNAにおいて、発信情報(活性要求)101及び活性指示102の送受信が、車載器4Bの第1無線部42aではなく、第2無線部42bによって行われる点である。
図14における発信情報(活性要求)101の流れにおいては、準備モードNAにおいて、制御部31が、第2セキュリティ処理101aが施された発信情報101を、無線部32(第1無線部42a)に与えており、発信情報101を含む無線パケット10は、無線部32(第1無線部42aによって送信される。
これに対し、図21における発信情報の流れにおいては、準備モードNAにおいて、御部31が、第2セキュリティ処理101aが施された発信情報101を、第2無線部42bに与えており、発信情報101を含む無線パケット10は、第2無線部42bによって送信される。第2無線部42bによって送信された無線パケット10は、基地局9によって受信され、第2サーバ8に与えられる。図21では、車載器4Bの活性化の処理に関しては、図14のセンターサーバ2の役割を、第2サーバ8が果たす。
つまり、第2サーバ8は、そのセキュリティ管理部811によって、発信情報101の検証(第2セキュリティ処理101aの検証101b)を行い、活性指示102を生成し、その活性指示102に対するサーバセキュリティ処理102aを行う。
活性指示102は、基地局9によって、無線パケットに含めて送信される。活性指示102を含む無線パケットを受信した第2無線部42bは、受信した無線パケットから活性指示102を取り出し、制御部41に与える。制御部41は、第1無線部42aのセキュリティ管理部425に活性指示102を渡す。セキュリティ管理部425は、活性指示102のセキュリティ検証102bを行う。活性指示が適切であれば、車載器4Bは、運用モードAに遷移する。これにより、準備モードNAにおける制限が解除される。
図21では、車載器4Bにおける第2セキュリティ処理101a及びサーバセキュリティ処理102aの検証102bには、無線通信用セキュリティ情報425aが用いられる。車載器4Bにおける第2セキュリティ処理101a及びサーバセキュリティ処理102aの検証102bに用いられるセキュリティ情報は、図14に示す活性用セキュリティ情報325bであってもよい。第2サーバ8の記憶部(図示省略)の耐タンパ領域には、第2セキュリティ処理101aの検証101b及びサーバセキュリティ処理102aに必要なセキュリティ情報が格納されている。
[3.付記]
上記実施の形態および変形例は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
1 通信システム
2 センターサーバ(第1サーバ)
3A 路側機(オンライン路側機)
3B 路側機(スタンドアローン路側機)
4A 車載器
4B 車載器
5a 通信回線
5b インターネット
7 ルータ
8 第2サーバ
9 基地局
10 路車間通信データ(無線パケット)
11 無線ヘッダ
12 アプリケーションデータ
13 セキュリティヘッダ
13a セキュリティレベルを示す情報
13b セキュリティ情報ID
13c MAC
13d 公開鍵証明書
13e 電子署名
21 処理部
31 制御部
32 無線部
41 制御部
42 無線部
42a 第1無線部
42b 第2無線部
51 共通鍵テーブル
81 処理部
101 発信情報(活性要求)
102 活性指示
211 セキュリティ管理部
311アプリケーション
312活性用セキュリティ管理部
312a 活性用セキュリティ情報
321 物理層
322 下位層
323 レイヤ7
324 拡張層
325 セキュリティ管理部
325a 無線通信用セキュリティ情報
325b 活性用セキュリティ情報
421 物理層
422 下位層
423 拡張層
425 セキュリティ管理部
425a 無線通信用セキュリティ情報
551 共通鍵テーブル
600 移動体通信網(ITS情報通信システム以外の通信システム)
811 セキュリティ管理部
T 交通端末
NA 準備モード(非活性状態)
A 運用モード(活性状態)

Claims (62)

  1. サービスデータを含む無線パケットを無線送信する無線通信装置であって、
    サーバからの活性指示の受信前においては、無線送信用の第1セキュリティ処理が施されたサービスデータを含む無線パケットの送信処理には制限があり、前記活性指示を受信したことに基づいて、前記制限が解除されるよう構成されている
    無線通信装置。
  2. 無線送信用の第1セキュリティ処理が施されたサービスデータを含む無線パケットの送信処理には前記制限がある状態において、前記活性指示の要求を前記サーバへ送信するよう構成されている
    請求項1に記載の無線通信装置。
  3. 前記要求は、前記サーバによってセキュリティ検証される第2セキュリティ処理が前記無線通信装置によって施されている
    請求項2に記載の無線通信装置。
  4. 前記要求は、前記無線通信装置から前記他の無線通信装置へ無線パケットに含めて送信されるとともに、前記他の無線通信装置によって前記無線パケットから取り出されて前記サーバへ送信され、
    前記要求は、前記第1セキュリティ処理が施されていない
    請求項3に記載の無線通信装置。
  5. 前記サーバと前記無線通信装置とは有線接続されており、
    前記要求は、前記サーバへ有線送信される
    請求項2又は3記載の無線通信装置。
  6. 前記第1セキュリティ処理に用いられるセキュリティ情報と、前記第2セキュリティ処理に用いられるセキュリティ情報とは、異なる
    請求項3又は4に記載の無線通信装置。
  7. 前記第1セキュリティ処理に用いられるセキュリティ情報と、前記第2セキュリティ処理に用いられるセキュリティ情報とは、共通である
    請求項3又は4に記載の無線通信装置。
  8. 前記要求は、セキュリティ処理が施されていない
    請求項2に記載の無線通信装置。
  9. 前記要求は、前記無線通信装置から前記他の無線通信装置へ無線パケットに含めて送信されるとともに、前記他の無線通信装置によって前記無線パケットから取り出されて前記サーバへ送信され、
    前記要求は、前記第1セキュリティ処理が施されていない
    請求項8に記載の無線通信装置。
  10. 前記要求は、前記無線通信装置から前記他の無線通信装置へ無線パケットに含めて送信されるとともに、前記他の無線通信装置によって前記無線パケットから取り出されて前記サーバへ送信され、
    前記要求は、前記第1セキュリティ処理が前記無線通信装置によって施されている
    請求項2又は3に記載の無線通信装置。
  11. 前記活性指示を受信すると、前記活性指示の適否の検証を行って、適切であれば前記制限を解除するよう構成されている
    請求項1〜10のいずれか1項に記載の無線通信装置。
  12. 無線通信装置であって、
    サーバへ活性指示の要求を送信するよう構成されているとともに、サービスデータを含む無線パケットを無線送信するよう構成され、
    前記サービスデータを含む無線パケットは、前記要求に対する応答として前記サーバから送信された活性指示に基づいて前記無線通信装置が活性状態になると、前記サービスデータに無線送信用の第1セキュリティ処理が施された状態で送信可能となり、
    前記要求は、前記サーバによってセキュリティ検証される第2セキュリティ処理が前記無線通信装置によって施されている
    無線通信装置。
  13. 前記第1セキュリティ処理に用いられるセキュリティ情報と、前記第2セキュリティ処理に用いられるセキュリティ情報とは、異なる
    請求項12記載の無線通信装置。
  14. 前記第1セキュリティ処理に用いられるセキュリティ情報と、前記第2セキュリティ処理に用いられるセキュリティ情報とは、共通である
    請求項12記載の無線通信装置。
  15. 無線通信装置であって、
    サーバへ活性指示の要求を送信するよう構成されているとともに、サービスデータを含む無線パケットを無線送信するよう構成され、
    前記サービスデータを含む無線パケットは、前記要求に対する応答として前記サーバから送信された活性指示に基づいて前記無線通信装置が活性状態になると、前記サービスデータに無線送信用の第1セキュリティ処理が施された状態で送信可能となり、
    前記要求は、前記無線通信装置から前記他の無線通信装置へ無線パケットに含めて送信され、前記他の無線通信装置によって前記無線パケットから取り出されて前記サーバへ送信され、
    前記要求は、前記無線通信装置によって前記第1セキュリティ処理が施されている
    無線通信装置。
  16. 無線通信装置であって、
    サーバへ活性指示の要求を送信するよう構成されているとともに、サービスデータを含む無線パケットを無線送信するよう構成され、
    前記サービスデータを含む無線パケットは、前記要求に対する応答として前記サーバから送信された活性指示に基づいて前記無線通信装置が活性状態になると、前記サービスデータに無線送信用の第1セキュリティ処理が施された状態で送信可能となり、
    前記サーバと前記無線通信装置は有線接続されており、
    前記要求は、前記サーバへ有線送信される
    無線通信装置。
  17. 無線通信装置であって、
    サーバへ活性指示の要求を送信するよう構成されているとともに、サービスデータを含む無線パケットを無線送信するよう構成され、
    前記サービスデータを含む無線パケットは、前記要求に対する応答として前記サーバから送信された活性指示に基づいて前記無線通信装置が活性状態になると、前記サービスデータに無線送信用の第1セキュリティ処理が施された状態で送信可能となり、
    前記要求は、前記無線通信装置から前記他の無線通信装置へ無線パケットに含めて送信され、前記他の無線通信装置によって前記無線パケットから取り出されて前記サーバへ送信され、
    前記要求は、セキュリティ処理が施されていない
    無線通信装置。
  18. サービスデータを含む無線パケットを無線送信する無線通信装置であって、
    サーバ宛データを、サーバへ送信するよう構成され、
    前記サーバ宛データは、前記無線通信装置から前記他の無線通信装置へ無線パケットに含めて送信されるとともに、前記他の無線通信装置によって前記無線パケットから取り出されて前記サーバへ送信され、
    前記サーバ宛データは、前記サービスデータに施される無線送信用の第1セキュリティ処理は施されておらず、前記サーバによってセキュリティ検証される第2セキュリティ処理が前記無線通信装置によって施されている
    無線通信装置。
  19. 前記第1セキュリティ処理に用いられるセキュリティ情報と、前記第2セキュリティ処理に用いられるセキュリティ情報とは、異なる
    請求項18に記載の無線通信装置。
  20. 前記第1セキュリティ処理に用いられるセキュリティ情報と、前記第2セキュリティ処理に用いられるセキュリティ情報とは、共通である
    請求項18記載の無線通信装置。
  21. サービスデータを含む無線パケットを無線送信する無線通信装置であって、
    サーバ宛データを、サーバへ送信するよう構成され、
    前記サーバ宛データは、前記無線通信装置から前記他の無線通信装置へ無線パケットに含めて送信されるとともに、前記他の無線通信装置によって前記無線パケットから取り出されて前記サーバへ送信され、
    前記サービスデータを含む無線パケットを生成する手順と、前記サーバ宛データを含む無線パケットを生成する手順と、は異なる
    無線通信装置。
  22. 無線通信装置であって、
    サーバ宛データを、サーバへ送信するよう構成されているとともに、
    前記サーバ以外の宛先のデータには無線送信用の第1セキュリティ処理を行い、サーバ宛データには前記第1セキュリティ処理とは異なるサーバ宛データ用の第2セキュリティ処理を行うよう構成されている
    無線通信装置。
  23. 前記第1セキュリティ処理に用いられるセキュリティ情報と、前記第2セキュリティ処理に用いられるセキュリティ情報とは、異なる
    請求項22に記載の無線通信装置。
  24. 前記第1セキュリティ処理に用いられるセキュリティ情報と、前記第2セキュリティ処理に用いられるセキュリティ情報とは、共通である
    請求項22に記載の無線通信装置。
  25. データを無線送信する無線通信装置であって、
    非活性状態及び活性状態の各状態での処理を行うよう構成され、
    前記非活性状態は、前記無線通信装置の起動後の初期状態であって、前記データの送信に関して制限がある状態であり、
    前記活性状態は、前記制限が解除された状態であり、
    前記活性状態は、前記非活性状態から遷移可能である
    無線通信装置。
  26. 前記非活性状態から前記活性状態への遷移は、サーバからの活性指示を受信したことに基づいて生じる
    請求項25記載の無線通信装置。
  27. 前記非活性状態から前記活性状態への遷移は、無線送信されるデータに施されるセキュリティ処理に用いられるセキュリティ情報を、サーバから受信したことに基づいて生じる
    請求項25に記載の無線通信装置。
  28. 前記制限は、前記データの無線送信の禁止を含み、
    前記非活性状態では、前記活性指示の要求を前記サーバへ送信することは許容されている
    請求項26に記載の無線通信装置。
  29. 前記制限は、無線送信用の第1セキュリティ処理の禁止を含み、
    前記非活性状態では、前記サーバによってセキュリティ検証される第2セキュリティ処理が施されたデータを送信することは許容されている
    請求項26又は27に記載の無線通信装置。
  30. 前記制限は、送信可能なデータ種別の制限を含む
    請求項25〜27のいずれか1項に記載の無線通信装置。
  31. 前記制限は、送信が可能な時間の制限を含む
    請求項25〜30のいずれか1項に記載の無線通信装置。
  32. 前記制限は、送信されるデータのセキュリティレベルが低いことを示す情報が前記データに付加されることである
    請求項25〜31のいずれか1項に記載の無線通信装置。
  33. データを無線送信する無線通信装置であって、
    前記無線通信装置が起動してからサーバからの活性指示を受信するまでは、所定の条件を満たしている場合において、サーバ宛データの無線送信が可能である
    無線通信装置。
  34. 前記所定の条件は、データの無線送信が許される所定の時間内であること、を含む
    請求項33に記載の無線通信装置。
  35. 前記所定の条件は、無線送信可能なデータ量で規定される条件を含む
    請求項33又は34に記載の無線通信装置。
  36. 請求項2、15、16、17、及び28のいずれか1項に記載の無線通信装置から送信された前記要求を受信すると、前記要求の適否の検証を行って、適切であれば、前記無線通信装置へ前記活性指示を送信するよう構成されている
    サーバ。
  37. サーバからの前記活性指示を受信すると、前記活性指示の適否の検証を行って、適切であれば前記制限を解除するよう構成されている
    請求項2に記載の無線通信装置。
  38. 請求項3又は4に記載の無線通信装置から前記要求を含む無線パケットを受信すると、前記要求の適否の検証を行って、適切であれば、前記サーバへ前記要求を送信するよう構成されている
    無線通信装置。
  39. 請求項38に記載の無線通信装置から送信された前記要求を受信すると、前記活性指示を前記無線通信装置へ送信する
    サーバ。
  40. 請求項39の前記サーバから送信された前記活性指示を受信すると、無線送信用のセキュリティ処理が施された前記活性指示を含む無線パケットを無線送信するよう構成されている
    無線通信装置。
  41. 請求項40の無線通信装置から、前記活性指示を含む無線パケットを受信すると、前記活性指示に施された前記セキュリティ処理の検証を行って、前記セキュリティ処理が適切でなければ前記活性指示を受け入れないよう構成されている
    無線通信装置。
  42. 前記無線通信装置は、移動局への無線パケット送信が可能な路側機である
    請求項1〜35、37、38、40、及び41のいずれか1項に記載の無線通信装置。
  43. 前記無線通信装置は、移動局である
    請求項1〜4、6〜9、12〜15、17〜35、及び41のいずれか1項に記載の無線通信装置。
  44. 高度道路交通システムの運用管理機関の第1サーバによって管理される路側機から送信されたデータを受信するとともに、他の移動局との間で無線通信をするための第1無線部と、
    前記運用管理機関とは異なる機関によって管理される第2サーバとの通信を行うために用いられる第2無線部と、
    を備え、
    前記第2サーバからの活性指示の受信前においては、他の移動局への無線送信用の第1セキュリティ処理が施されたサービスデータを含む無線パケットの送信処理には制限があり、前記活性指示を前記第2サーバから受信したことに基づいて、前記制限が解除されるよう構成されている
    移動局。
  45. 他の移動局への無線送信用の第1セキュリティ処理が施されたサービスデータを含む無線パケットの送信処理には前記制限がある状態において、前記活性指示の要求を前記第2サーバへ送信するよう構成されている
    請求項44に記載の移動局。
  46. 前記要求は、前記第2サーバによってセキュリティ検証される第2セキュリティ処理が前記移動局によって施されている
    請求項45に記載の移動局。
  47. 前記運用管理機関とは異なる前記機関は、自動車メーカ又は車載器メーカである
    請求項44〜46のいずれか1項に記載の移動局。
  48. サービスデータを含む無線パケットを無線送信する無線通信装置は、サーバからの活性指示を受信する前においては、無線送信用の第1セキュリティ処理が施されたサービスデータを含む無線パケットの送信処理には制限がある状態になり、
    前記無線通信装置は、前記活性指示を受信したことに基づいて、前記制限を解除する
    ことを含む方法。
  49. サーバへ活性指示の要求を送信するよう構成されているとともに、サービスデータを含む無線パケットを無線送信するよう構成された無線通信装置が行う方法であって、
    前記無線通信装置は、前記要求に対する応答として前記サーバから送信された活性指示に基づいて活性状態になり、
    前記無線通信装置は、前記活性状態になると、前記サービスデータを含む無線パケットを、前記サービスデータに無線送信用の第1セキュリティ処理が施された状態で送信する、
    ことを含み、
    前記要求は、前記サーバによってセキュリティ検証される第2セキュリティ処理が前記無線通信装置によって施されている
    方法。
  50. 無線通信装置が行う方法であって、
    サーバへ活性指示の要求を送信することと、
    サービスデータを含む無線パケットを無線送信することと、
    を含み、
    前記サービスデータを含む無線パケットは、前記要求に対する応答として前記サーバから送信された活性指示に基づいて前記無線通信装置が活性状態になると、前記サービスデータに無線送信用の第1セキュリティ処理が施された状態で送信され、
    前記要求は、前記無線通信装置から前記他の無線通信装置へ無線パケットに含めて送信され、前記他の無線通信装置によって前記無線パケットから取り出されて前記サーバへ送信され、
    前記要求は、前記無線通信装置によって前記第1セキュリティ処理が施されている
    方法。
  51. 無線通信装置が行う方法であって、
    サーバへ活性指示の要求を送信することと、
    サービスデータを含む無線パケットを無線送信することと、
    を含み、
    前記サービスデータを含む無線パケットは、前記要求に対する応答として前記サーバから送信された活性指示に基づいて前記無線通信装置が活性状態になると、前記サービスデータに無線送信用の第1セキュリティ処理が施された状態で送信され、
    前記サーバと前記無線通信装置は有線接続されており、
    前記要求は、前記サーバへ有線送信される
    方法。
  52. 無線通信装置が行う方法であって、
    サーバへ活性指示の要求を送信することと、
    サービスデータを含む無線パケットを無線送信することと、
    を含み、
    前記サービスデータを含む無線パケットは、前記要求に対する応答として前記サーバから送信された活性指示に基づいて前記無線通信装置が活性状態になると、前記サービスデータに無線送信用の第1セキュリティ処理が施された状態で送信され、
    前記要求は、前記無線通信装置から前記他の無線通信装置へ無線パケットに含めて送信され、前記他の無線通信装置によって前記無線パケットから取り出されて前記サーバへ送信され、
    前記要求は、セキュリティ処理が施されていない
    方法。
  53. サービスデータを含む無線パケットを無線送信する無線通信装置が行う方法であって、
    サーバ宛データを、サーバへ送信することを含み、
    前記サーバ宛データは、前記無線通信装置から前記他の無線通信装置へ無線パケットに含めて送信されるとともに、前記他の無線通信装置によって前記無線パケットから取り出されて前記サーバへ送信され、
    前記サーバ宛データは、前記サービスデータに施される無線送信用の第1セキュリティ処理は施されておらず、前記サーバによってセキュリティ検証される第2セキュリティ処理が前記無線通信装置によって施されている
    方法。
  54. サービスデータを含む無線パケットを無線送信する無線通信装置が行う方法であって、
    サービスデータを含む無線パケットを送信することと、
    サーバ宛データを、サーバへ送信することと、
    を含み、
    前記サーバ宛データは、前記無線通信装置から前記他の無線通信装置へ無線パケットに含めて送信されるとともに、前記他の無線通信装置によって前記無線パケットから取り出されて前記サーバへ送信され、
    前記サービスデータを含む無線パケットを生成する手順と、前記サーバ宛データを含む無線パケットを生成する手順と、は異なる
    方法。
  55. 無線通信装置が行う方法であって、
    サーバ宛データを、サーバへ送信することと、
    前記サーバ以外の宛先のデータを無線送信することと、
    を含み
    前記サーバ以外の宛先のデータには無線送信用の第1セキュリティ処理が行われ、
    前記サーバ宛データには前記第1セキュリティ処理とは異なるサーバ宛データ用の第2セキュリティ処理が行われる
    方法。
  56. データを無線送信する無線通信装置が行う方法であって、
    非活性状態及び活性状態の各状態での処理を行うことを含み、
    前記非活性状態は、前記無線通信装置の起動後の初期状態であって、前記データの送信に関して制限がある状態であり、
    前記活性状態は、前記制限が解除された状態であり、
    前記活性状態は、前記非活性状態から遷移可能である
    方法。
  57. データを無線送信する無線通信装置が行う方法であって、
    前記無線通信装置が起動してからサーバからの活性指示を受信するまでは、所定の条件を満たしている場合において、サーバ宛データの無線送信を行う
    ことを含む方法。
  58. サーバが、無線通信装置から、前記無線通信装置における通信の制限を解除するための活性指示の要求を受信し、
    前記サーバが、前記要求の適否の検証を行い、
    前記サーバが、前記要求が適切であれば、前記活性指示を前記無線通信装置へ送信する
    ことを含む方法。
  59. 前記無線通信装置が、前記サーバからの前記活性指示を受信し、
    前記無線通信装置が、前記活性指示の適否の検証を行い、
    前記無線通信装置が、前記活性指示が適切であれば、前記制限を解除する
    ことを更に含む請求項58に記載の方法。
  60. 無線通信装置が、他の無線通信装置から、前記他の無線通信装置における通信の制限を解除するための活性指示の要求を含む無線パケットを受信し、
    前記無線通信装置が、前記要求の適否の検証を行い、
    前記無線通信装置が、前記要求が適切であれば、前記要求をサーバへ送信する
    ことを含む方法。
  61. 前記サーバが、前記要求を受信すると、前記活性指示を前記無線通信装置へ送信する
    ことを更に含む請求項60記載の方法。
  62. 前記他の無線通信装置が、前記無線通信装置を介して、前記活性指示を受信し、
    前記他の無線通信装置が、前記他の無線通信装置によって前記活性指示に施されたセキュリティ処理の検証を行い、
    前記他の無線通信装置が、前記活性指示に施されたセキュリティ処理が適切であれば前記制限を解除する
    ことを更に含む請求項61に記載の方法。
JP2014257272A 2014-12-19 2014-12-19 無線通信装置、サーバ、移動局、及びそれらに関する方法 Pending JP2016119543A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014257272A JP2016119543A (ja) 2014-12-19 2014-12-19 無線通信装置、サーバ、移動局、及びそれらに関する方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014257272A JP2016119543A (ja) 2014-12-19 2014-12-19 無線通信装置、サーバ、移動局、及びそれらに関する方法

Publications (1)

Publication Number Publication Date
JP2016119543A true JP2016119543A (ja) 2016-06-30

Family

ID=56243177

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014257272A Pending JP2016119543A (ja) 2014-12-19 2014-12-19 無線通信装置、サーバ、移動局、及びそれらに関する方法

Country Status (1)

Country Link
JP (1) JP2016119543A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018097668A (ja) * 2016-12-14 2018-06-21 株式会社オートネットワーク技術研究所 路車間通信システム、路側通信装置、車載通信装置及び路車間通信方法
WO2020022257A1 (ja) * 2018-07-25 2020-01-30 日本電気株式会社 通信機器管理装置、システム、方法および記録媒体
JP2021076905A (ja) * 2019-11-05 2021-05-20 ルネサスエレクトロニクス株式会社 路側無線機および無線通信システム

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018097668A (ja) * 2016-12-14 2018-06-21 株式会社オートネットワーク技術研究所 路車間通信システム、路側通信装置、車載通信装置及び路車間通信方法
WO2020022257A1 (ja) * 2018-07-25 2020-01-30 日本電気株式会社 通信機器管理装置、システム、方法および記録媒体
US11843612B2 (en) 2018-07-25 2023-12-12 Nec Corporation Communication device management device, system, method, and non-transitory computer-readable recording medium
JP2021076905A (ja) * 2019-11-05 2021-05-20 ルネサスエレクトロニクス株式会社 路側無線機および無線通信システム
JP7209614B2 (ja) 2019-11-05 2023-01-20 ルネサスエレクトロニクス株式会社 路側無線機および無線通信システム

Similar Documents

Publication Publication Date Title
JP5261614B2 (ja) 通信システム、車載端末、路側装置
CN105827586B (zh) 一种v2x通信设备、系统及非易失性存储器
JP5967822B2 (ja) 車載通信システム及び装置
Demba et al. Vehicle-to-vehicle communication technology
JP6065113B2 (ja) データ認証装置、及びデータ認証方法
CN105792201B (zh) 颁发用于车辆对外界通信的csr证书的方法和系统
Othmane et al. A survey of security and privacy in connected vehicles
JP2013513256A (ja) 限られた数のインフラ・サーバを有する自動車ネットワーク向け公開鍵インフラに関する方法
US9742569B2 (en) System and method for filtering digital certificates
KR101837338B1 (ko) Vanet을 위한 클라우드 지원 조건부 프라이버시를 보호하는 인증 방법 및 시스템
US20200235946A1 (en) Security management system for vehicle communication, operating method thereof, and message-processing method of vehicle communication service provision system having the same
US20170118023A1 (en) Method for authorizing a software update in a motor vehicle
CN111886883A (zh) 车载设备不当行为检测报告路由的方法和系统
WO2018108293A1 (en) Methods, devices and vehicles for authenticating a vehicle during a cooperative maneuver
Förster et al. Rewire–revocation without resolution: A privacy-friendly revocation mechanism for vehicular ad-hoc networks
Oyler et al. Security in automotive telematics: a survey of threats and risk mitigation strategies to counter the existing and emerging attack vectors
JP2016119543A (ja) 無線通信装置、サーバ、移動局、及びそれらに関する方法
CN112423262A (zh) 车队密钥协商方法、存储介质和车辆
US10263976B2 (en) Method for excluding a participant from a group having authorized communication
Moalla et al. Towards a cooperative its vehicle application oriented security framework
EP3962132A2 (en) Processing method of an intelligent transport system
KR102254509B1 (ko) 차량 간 통신 환경에서의 이상 메시지 처리 시스템 및 방법
Chen et al. C-V2X Security Technology
CN111711938B (zh) 基于数字证书的车联网安全通信方法及系统
CN114025328A (zh) 车辆验证方法、控制功能实体和车辆