WO2013171835A1

WO2013171835A1 - 通信装置、通信システム及び通信方法

Info

Publication number: WO2013171835A1
Application number: PCT/JP2012/062347
Authority: WO
Inventors: 白井　邦佳
Original assignee: トヨタ自動車株式会社
Priority date: 2012-05-15
Filing date: 2012-05-15
Publication date: 2013-11-21
Also published as: US20150143004A1; JP5776848B2; CN104285408A; DE112012006371T5; JPWO2013171835A1

Abstract

不正な通信の防止、すなわち通信されるメッセージの信頼性の向上を図ることのできる通信システムが提供される。通信システムは、通信メッセージを通信可能に通信回線に接続される複数のＥＣＵを備える。それぞれＥＣＵには固有ＩＤと、固有ＩＤからの置換候補としての複数の模擬ＩＤとが定められる。ＥＣＵにはさらに、固有ＩＤへと置換される置換対象としての模擬ＩＤを、複数の模擬ＩＤのうちから１つ選択させるパターンが定められる。ＥＣＵは、複数のＥＣＵの間でパターンに基づく置換対象の選択条件を同期させ、通信メッセージに付された固有ＩＤを、パターンに基づいて模擬ＩＤへ置換する。さらにＥＣＵは、置換後の模擬ＩＤを付した通信メッセージを送信するとともに、受信した通信メッセージから取得した模擬ＩＤを、パターンに基づいて固有ＩＤへ再置換する。そしてＥＣＵは、再置換した後の固有ＩＤに基づいて、受信した通信メッセージを識別する。

Description

通信装置、通信システム及び通信方法

　本発明は、車両などにおいてネットワーク接続される通信装置、及び複数の通信装置がネットワーク接続されてなる通信システム、及び通信方法に関する。

　周知のように、車両に搭載された複数の電子制御装置（ＥＣＵ）は、それぞれが互いにネットワーク接続されることによってそれら電子制御装置の有する情報（車両情報）を相互に通信可能とする通信システムを構成していることが多い。すなわちこうした通信システムは、ＥＣＵを通信装置にした車両ネットワークシステムとして構成されている。そして、このような車両ネットワークシステムの一つにコントローラエリアネットワーク（ＣＡＮ）がある。

　ＣＡＮは、通信回線であるバスを共有する各ＥＣＵが各々の判断でバス上にメッセージを流すことができるようになっているため、各ＥＣＵからバスへのメッセージの送信が容易である。そのため、例えばＣＡＮのバスに不正なＥＣＵを接続して、当該バスに不正なメッセージを送信することも可能であり、そうした不正なメッセージが送信されると、これを受信したＥＣＵでは、当該不正なメッセージを正規のメッセージと同様に処理してしまうおそれもある。

　そこで従来から、不正なメッセージによる通信を防ぐ技術なども提案されており、その一例が特許文献１に記載されている。

　特許文献１に記載の通信システムには、ネットワークに接続された複数の通信端末が設けられ、各通信端末には、他の通信端末との間でデータを送受信するための送受信部が設けられている。送受信部には、通信端末に固有の値である固有情報が記憶される固有情報リストと、全ての通信端末間で共有される値であるネットワーク固有値が記憶されるネットワーク固有値記録手段と、通信端末の固有情報をネットワーク固有値で変換固有値に変換する固有情報変換手段と、変換固有値を記憶する変換固有情報リストとが設けられている。また送受信部には、フレーム生成部が変換固有値を付加した送信データをメッセージとして送信する送信部と、受信したメッセージに付加されている変換固有値が変換固有情報リストに保持されている変換固有値に一致するか否かを判定する一致判定部と、一致判定部が「一致する」と判定した通信データを受信する受信部とが設けられている。つまり、通信端末では、受信データに付加されている変換固有値が、変換固有情報リストに保持されている変換固有値に一致しない場合、当該受信データが破棄される。またこの通信システムでは、ネットワーク固有値の更新に伴って変換固有情報が更新されるが、このとき、不正に交換された通信端末では変換固有情報が正しく更新できないため、通信端末が不正に交換されることを防止し、ネットワークセキュリティを向上することができる。

特開２００６－３１９６０６号公報

　上述した特許文献１に記載の通信システムによれば、不正に交換された通信端末は、ネットワーク固有値が更新された後であれば、更新されたネットワーク固有値に基づいて更新された変換固有情報を有していないために通信を行うことができない。しかしながら、不正に交換された通信端末は、ネットワーク固有値が更新されるまではネットワークに流れているメッセージから取得される変換固有情報を利用することができる。このため、この通信システムは、ネットワークに流れているメッセージから取得された変換固有情報を利用しての上記不正に交換された通信端末による不正な通信を防止できないことがある。

　本発明は、このような実情に鑑みなされたものであって、その目的は、不正な通信の防止、すなわち通信されるメッセージの信頼性の向上を図ることのできる通信システム、及び通信方法、及び同通信システムに用いられる通信装置を提供することにある。

　以下、上記課題を解決するための手段及びその作用効果を記載する。

　上記目的を達成するために本発明が提供する通信システムは、複数の通信装置が通信メッセージを通信可能に通信回線に接続されてなる通信システムであって、通信メッセージには、当該通信メッセージを識別させる固有識別子が付されており、前記通信装置には、前記固有識別子と、前記固有識別子からの置換候補としての複数の模擬識別子と、前記固有識別子へと置換される置換対象として選択される模擬識別子を前記複数の模擬識別子のうちから１つ選択させるパターンとが定められており、前記複数の通信装置の間で前記パターンに基づく置換対象の選択条件が同期され、通信メッセージを送信する通信装置は、通信メッセージに付された前記固有識別子を前記パターンに基づいて前記模擬識別子へ置換するとともに、この置換後の模擬識別子を付した通信メッセージを送信し、通信メッセージを受信する通信装置は、受信した通信メッセージから取得した模擬識別子を前記パターンに基づいて前記固有識別子へ再置換するとともに、この再置換した固有識別子に基づいて前記受信した通信メッセージを識別する。

　上記目的を達成するために本発明が提供する通信方法は、複数の通信装置が通信回線を介してメッセージを通信する通信方法であって、送信する通信メッセージに当該通信メッセージの識別に用いられる固有識別子を付す工程と、前記固有識別子を、当該固有識別子へ置換可能な複数の模擬識別子からパターンに基づいて選択した１つの模擬識別子へ置換する工程と、複数の通信装置との間で前記パターンに基づく選択条件を同期させる工程と、前記固有識別子を模擬識別子に置換した後の通信メッセージを送信する工程とを備える。

　上記目的を達成するために本発明が提供する通信方法は、複数の通信装置が通信回線を介してメッセージを通信する通信方法であって、受信した通信メッセージから当該通信メッセージに付されている模擬識別子を取得する工程と、前記取得した模擬識別子をパターンに基づいて、通信メッセージの識別に用いる固有識別子に置換する工程と、複数の通信装置との間で前記パターンに基づく置換を同期させる工程と、前記模擬識別子が置換された後の固有識別子に基づいて通信メッセージを識別する工程とを備える。

　上記目的を達成するために本発明が提供する通信装置は、通信回線に接続され、前記通信回線に接続される他の通信装置との間で通信メッセージによる通信を行う通信装置であって、前記通信メッセージには、当該通信メッセージの識別に用いられる固有識別子が付されており、当該通信装置には、前記固有識別子と、前記固有識別子からの置換候補としての複数の模擬識別子と、前記複数の模擬識別子のうちの１つの模擬識別子を、前記固有識別子へと置換される置換対象として選択させるパターンとが定められており、前記他の通信装置との間で前記パターンに基づく置換対象の選択条件を同期させるとともに、送信する通信メッセージに付された固有識別子を前記パターンに基づいて前記模擬識別子へ置換し、この置換後の模擬識別子を付した通信メッセージを送信する。

　上記目的を達成するために本発明が提供する通信装置は、通信回線に接続され、前記通信回線に接続される他の通信装置との間で通信メッセージによる通信を行う通信装置であって、前記通信メッセージには、当該通信メッセージの識別に用いられる固有識別子が付されており、当該通信装置には、前記固有識別子と、前記固有識別子からの置換候補としての複数の模擬識別子と、前記複数の模擬識別子のうちの１つの模擬識別子を、前記固有識別子へと置換される置換対象として選択させるパターンとが定められており、前記他の通信装置との間で前記パターンに基づく置換対象の選択条件を同期させるとともに、受信した通信メッセージから取得した模擬識別子を前記パターンに基づいて前記固有識別子へ再置換して、この再置換した後の固有識別子に基づいて前記受信した通信メッセージを識別する。

　このような構成もしくは方法によれば、通信メッセージの識別に用いられる固有識別子が、他の通信装置との間の通信の際には模擬識別子に置換され、この置換された後の模擬識別子により通信メッセージが送信又は受信される。

　このように、通信メッセージの通信が模擬識別子に基づき行われることで、固有識別子が不正に又は不意に知られていたとしても、当該固有識別子に基づく不正な通信メッセージの通信を防ぐことができるようになる。すなわち、通信システムにて通信される通信メッセージの信頼性を向上させることができるようになる。

　また、固有識別子を置換させる模擬識別子はパターンに基づいて選択される。これにより、通信に用いられる模擬識別子をパターンに基づいて変化させることができるようになる。そうすると、たとえ固有識別子や模擬識別子が不正に又は不意に知られたとしても、通信に用いられる模擬識別子が切換えられることによって不正な通信メッセージによる通信を防ぐことができるようになる。さらに、模擬識別子を選択させるパターンを、通信メッセージを監視しても認知が難しいパターンにすれば、模擬識別子が知られたとしても、通信に適切な模擬識別子を選択するパターンの推定が困難となるため、不正な通信メッセージによる通信を防ぐことができるようになる。

　好ましい構成として、前記通信メッセージの固有識別子への置換候補として定められている模擬識別子の数は、優先度の低い通信メッセージよりも、優先度の高い通信メッセージの方が多い。

　このような構成によれば、優先度の高い通信メッセージの信頼性をより高くすることができる。これにより、優先度の高低に応じた適切な信頼性を通信メッセージに設定することができるようになる。

　好ましい構成として、前記同期させる前記パターンに基づく置換対象の選択条件を、前記置換後の模擬識別子が付された通信メッセージが通信回線に流されることを条件とする。

　このような構成によれば、模擬識別子を用いた通信の都度、適切な模擬識別子が選択される、つまり更新される。このため、不正な通信メッセージが適切な模擬識別子を用いて通信されることを困難にして、通信メッセージの信頼性を高く維持することができる。

　好ましい構成として、前記パターンは、前記通信メッセージが通信回線に流された回数に基づいて発生される疑似乱数によるランダムパターンである。

　このような構成によれば、置換対象がランダムパターンによって選択されるため、通信メッセージが監視されていたとしても、選択対象となる模擬識別子を適切に推定することが困難である。このため、模擬識別子を用いた不正な通信が困難になるため、通信メッセージの信頼性を高く維持することができるようになる。

　好ましい構成として、前記複数の通信装置には、前記通信メッセージが通信回線に流された回数を計測するカウンタが設けられており、前記カウンタが計測するカウント値に基づいて前記パターンに基づく置換対象の選択条件が同期される。

　このような構成によれば、複数の通信装置の間で、置換対象の模擬識別子の選択を同期させることが可能になる。これにより、通信の度に選択対象を選択することが容易かつ確実になるため、通信メッセージの信頼性を高く維持することができるようになる。

　好ましい構成として、前記通信メッセージは、ＣＡＮプロトコルによるメッセージであり、前記固有識別子は、ＣＡＮプロトコルに定められるメッセージＩＤである。

　このような構成によれば、ＣＡＮプロトコルに基づく通信メッセージに対する信頼性を高く維持することができるようになる。ＣＡＮプロトコルによる通信メッセージを受信した通信装置は、通常、通信メッセージに付されているメッセージＩＤが正しければメッセージを処理してしまうが、この構成によれば、メッセージＩＤが模擬識別子にされることで通信メッセージの信頼性を高めることができる。

　好ましい構成として、前記模擬識別子は、通信メッセージに付されない固有識別子のうちから選択されたものである。

　このような構成によれば、固有識別子として定義することができる識別子のうち、例えば割り当てのない（空いている）識別子や、例えば試験時など、使用される条件が限定されている識別子を使うことができる。これにより、通信メッセージの信頼性が向上するこの通信システムを、既存のシステムを含め、適用することが容易になる。

　好ましい構成として、前記固有識別子に連続する複数の識別子が前記複数の模擬識別子として設定される。

　このような構成によれば、固有識別子と模擬識別子とが連続するため通信システムの設計が容易になる。また例えば、ＣＡＮプロトコルでは、値の小さいメッセージＩＤには高い優先度が割り当てられている。そこで、模擬識別子を固有識別子に連続させることで、選択された模擬識別子の優先度を固有識別子と同様の優先度に維持することができるようになるため、ＣＡＮプロトコルによる優先度を維持しつつの適用が可能である。

本発明に係る通信システムを搭載した車両を具体化した一つの実施形態について、その概略構成を示すブロック図。図１に示す通信システムの概略構成を示すブロック図。図２に示す送信用処理部の概略構成を示すブロック図。図２に示す受信用処理部の概略構成を示すブロック図。図３，４に示す通信対象メッセージＩＤリストを示すリストの図。図３，４に示す変換対象メッセージＩＤリストを示すリストの図。図３，４に示す変換カウント値リストを示すリストの図。図１に示す通信システムで変換カウントリストを初期化する手順を示すフローチャート。図２に示す送信用処理部が送信する通信メッセージを処理する手順を示すフローチャート。図２に示す受信用処理部が受信した通信メッセージを処理する手順を示すフローチャート。本発明に係る通信システムを具体化した実施形態について、変換先として割り当てることのできるメッセージＩＤの設定された候補メッセージＩＤリストを示すリストの図。図１１に示す候補メッセージＩＤリストに登録されたメッセージＩＤに基づく変換対象メッセージＩＤリストを示すリストの図。本発明に係る通信システムに用いられるＥＣＵを具体化した実施形態について、その概略構成を示すブロック図。本発明に係る通信システムに用いられるＥＣＵを具体化したその他の実施形態について、その概略構成を示すブロック図。

　本発明に係る通信システムを具体化した第１の実施形態について、図１～１０に従って説明する。

　図１に示すように、車両１０は、通信システムとしての車載ネットワークシステムを備えている。車載ネットワークシステムは、通信装置としての第１～第４の電子制御装置（ＥＣＵ）１１～１４と、第１～第４のＥＣＵ１１～１４が接続される通信用バス１５とを備えている。これにより第１～第４のＥＣＵ１１～１４は、制御などに用いられる各種情報を、通信用バス１５を介して相互に授受（送信受信）できるようになっている。なお、車載ネットワークシステムは、通信プロトコルとしてＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）プロトコルの適用されるＣＡＮネットワークとして構成されている。通信用バス１５は、例えばツイストペアケーブルである。これにより、通信用バス１５には、他のＥＣＵの追加が容易であるとともに、追加された他のＥＣＵが通信メッセージを送受信することも容易にできる。

　また、通信用バス１５には、外部機器を通信可能に接続させることのできる接続端子であるデータリンクコネクタ（ＤＬＣ）１６が設けられている。ＤＬＣ１６は、メーカやカーディーラ等に用意された正規の通信装置としての診断機器などを通信用バス１５へ通信可能に接続させる。さらに、ＤＬＣ１６には、ユーザが独自に用意した非正規の通信装置であるユーザツール１７を接続させることもできる。

　このため、ネットワークへの接続時の動作検証が不十分な他のＥＣＵやユーザツール１７などを通信用バス１５に接続させると、それら機器から送信される通信メッセージが通信用バス１５における通信に悪影響を与えるおそれもある。とりわけ、非正規のテスターやスマートフォンなどのユーザツール１７は、不適切なソフトウェアやウィルスなどが実行されることによって、通信用バス１５における通信に悪影響を及ぼす通信メッセージの送信動作などが生じるおそれがある。さらに、通信を妨害する意図で不正なＥＣＵが通信用バス１５に接続されるおそれもある。そのため、通信システムとしては、通信用バス１５における通信に影響を生じるおそれのある通信メッセージによる通信を防止する必要がある。

　第１～第４のＥＣＵ１１～１４はそれぞれ、車両１０の各種制御に用いられる制御装置であって、例えば、駆動系や、走行系や、車体系や、情報機器系等を制御対象としているＥＣＵである。例えば、駆動系を制御対象とするＥＣＵとしては、エンジン用ＥＣＵが挙げられ、走行系を制御対象とするＥＣＵとしては、ステアリング用ＥＣＵやブレーキ用ＥＣＵが挙げられ、車体系を制御するＥＣＵとしては、ライト用ＥＣＵやウィンドウ用ＥＣＵが挙げられ、情報機器系を制御対象とするＥＣＵとしては、カーナビゲーション用ＥＣＵが挙げられる。なお、通信用バス１５に接続されるＥＣＵの数は、４つに限られず、３つ以下であっても、５つ以上であってもよい。なお、第１～第４のＥＣＵ１１～１４は、同様の構造を有しているため、以下では第１のＥＣＵ１１の構造について説明し、第２～第４ＥＣＵ１２～１４の構造についての説明を割愛する。

　図２に示すように、第１のＥＣＵ１１には、各種情報を用いて各種制御に必要とされる処理を行う情報処理部２０と、通信用バス１５を介して他のＥＣＵとの間でＣＡＮプロトコルに基づく通信メッセージによる通信を行うとともに、情報処理部２０との間で通信メッセージに関連するデータの授受を行うＣＡＮコントローラ２１とが設けられている。

　ＣＡＮコントローラ２１は、通信用バス１５から受信した通信メッセージを解析し、当該通信メッセージに含まれるメッセージＩＤや、転送したいデータ本体である通信データなどを取得するとともに、その取得されたメッセージＩＤや通信データなどを情報処理部２０に提供する。また、ＣＡＮコントローラ２１は、情報処理部２０から入力されたメッセージＩＤや通信データなどに基づいて当該メッセージＩＤや通信データなどを含む通信メッセージを生成するとともに、生成した通信メッセージを通信用バス１５へ送信する。

　よって、第１のＥＣＵ１１では、通信用バス１５を送信されている（流れている）通信メッセージがＣＡＮコントローラ２１により受信され、この受信された通信メッセージに含まれている通信データ等の関連するデータがＣＡＮコントローラ２１から情報処理部２０に取得される。また、第１のＥＣＵ１１では、送信したい通信データ等が情報処理部２０からＣＡＮコントローラ２１に付与され、この付与された通信データ等を含む通信メッセージがＣＡＮコントローラ２１から通信用バス１５へ送信される（流される）。

　これにより、第１のＥＣＵ１１の情報処理部２０は、第２～４のＥＣＵ１２～１４などから送信される制御機能に必要な各種データを、通信用バス１５に流れる通信メッセージから取得できる。また、第２～４のＥＣＵ１２～１４などに伝達したい各種データを通信メッセージに含ませて通信用バス１５に送信することができる。

　情報処理部２０は、マイクロコンピュータを含み構成されており、各種処理を行う演算装置や、演算結果や各種制御機能を提供するプログラムなどを保持する記憶装置を有している。そして、情報処理部２０では、所定の制御機能を提供するプログラムが演算装置で実行処理されることによって当該所定の制御機能が提供される。本実施形態では、情報処理部２０には、送信する通信メッセージに含むメッセージＩＤに対して変換処理（置換処理）を行う送信用処理部２２と、受信した通信メッセージに含まれるメッセージＩＤに対して再変換処理（再置換処理）を行う受信用処理部２３とが設けられる。送信用処理部２２と受信用処理部２３とは、記憶装置に保持されている対応するプログラムが演算装置で実行されることによってそれらの機能が発揮される。

　図３に示すように、送信用処理部２２は、情報処理部２０からメッセージ用データとしてメッセージＩＤと通信データとが入力される送信指示部３０と、送信指示部３０に入力されたメッセージ用データに変換処理を施すメッセージＩＤ変換部３１とを有している。また、送信用処理部２２は、メッセージＩＤ変換部３１で変換処理が施されたメッセージ用データをＣＡＮコントローラ２１へ出力するメッセージ転送部３２と、メッセージ用データに対する変換処理に用いられる各種データを保持する記憶部３３とを有している。なお本実施形態では、記憶部３３として情報処理部２０の記憶装置が用いられるが、記憶部３３に用いる記憶装置はその他の記憶装置でもよい。記憶部３３には、通信対象メッセージＩＤリスト３４と、変換対象メッセージＩＤリスト３５と、変換用カウント値リスト３６とが設けられている。

　図５に示すように、通信対象メッセージＩＤリスト３４には複数のメッセージＩＤが設定されている。メッセージＩＤはＣＡＮプロトコルの仕様に基づいて定められたＩＤであって、通信メッセージに含まれる通信データの内容毎に１つのＩＤが定められている。つまり、通信対象メッセージＩＤリスト３４には、通信データの内容に対応して１つだけメッセージＩＤが設定され、当該メッセージＩＤによって通信データの内容を識別することができる。なお、本実施形態では、説明の便宜上、通信データの内容に対応して１つだけ設定されるメッセージＩＤを「固有ＩＤ」（固有識別子）という。すなわち、ＣＡＮプロトコルによる通信では、通常、通信メッセージに付与された固有ＩＤ（メッセージＩＤ）に基づいて、通信メッセージが送受信されるとともに、当該通信メッセージに含まれる通信データの内容が識別される。例えば、通信対象メッセージＩＤリスト３４には、固有ＩＤとして「００１」、「００７」、「００Ｄ」、「０１３」、…、「３００」、「３０５」、「３０Ａ」、「３０Ｆ」、…、「５００」、「５０４」、「５０８」、「５０Ｃ」が、通信対象メッセージＩＤとして設定されている。また、通信対象メッセージＩＤリスト３４には、固有ＩＤとして「７００」、「７０３」、「７０６」、「７０９」、…、「８００」、「８０１」、「８０２」、「８０３」、…などが、通信対象メッセージＩＤとして設定されている。例えば、固有ＩＤ「００１」の通信データの内容はブレーキ操作量、固有ＩＤ「００７」の通信データの内容はアクセル操作量、固有ＩＤ「００Ｄ」の通信データの内容は速度、固有ＩＤ「０１３」の通信データの内容は加速度などのように、固有ＩＤと通信データの内容とが対応付けられている。

　図６に示すように、変換対象メッセージＩＤリスト３５には、通信対象メッセージＩＤリスト３４に設定された固有ＩＤのうち、置換対象（置換元）とされる固有ＩＤが設定されているとともに、当該固有ＩＤを置換する（変換する）ことが可能な置換候補（置換先）である１又は複数の模擬ＩＤ（模擬識別子）が設定されている。すなわち、模擬ＩＤは、メッセージＩＤと同様のフォーマットのＩＤであって、固有ＩＤから置換可能なＩＤである。また、模擬ＩＤは、固有ＩＤに対応付けられているものの、通信データの内容に対して１つだけが設定されている必要はない。例えば、変換対象メッセージＩＤリスト３５には、変換対象（置換元）の固有ＩＤとして「００１」、「００７」、「００Ｄ」、「０１３」、…、「３００」、「３０５」、「３０Ａ」、「３０Ｆ」が、変換対象メッセージＩＤとして設定されている。また、変換対象メッセージＩＤリスト３５には、変換対象の固有ＩＤとして「５００」、「５０４」、「５０８」、「５０Ｃ」、…、「７００」、「７０３」、「７０６」、「７０９」、…などが設定されている。

　一方、変換対象メッセージＩＤリスト３５には、固有ＩＤ「００１」に対応する置換候補（置換先）となる模擬ＩＤが候補番号１～５までの５つ、固有ＩＤに連続するＩＤとして設定されている。このとき、候補番号１の模擬ＩＤは「００２」であり、候補番号２の模擬ＩＤは「００３」であり、候補番号３の模擬ＩＤは「００４」であり、候補番号４の模擬ＩＤは「００５」であり、候補番号５の模擬ＩＤは「００６」である。例えば、固有ＩＤ「００１」にブレーキ操作量が割り当てられている場合、通常、ブレーキ操作量は固有ＩＤ「００１」が付された通信メッセージのみによって通信されるが、本実施形態では、ブレーキ操作量の通信メッセージに、模擬ＩＤ「００２」～「００６」のいずれかを付すこともできる。同様に、固有ＩＤ「３００」には、置換候補となる模擬ＩＤが候補番号１～４までの４つ、つまり「３０１」、「３０２」、「３０３」及び「３０４」が設定されている。また、固有ＩＤ「５００」には、置換候補となる模擬ＩＤが候補番号１～３までの３つ、つまり「５０１」、「５０２」及び「５０３」が設定されているとともに、固有ＩＤ「７００」には、置換候補となる模擬ＩＤが候補番号１～２までの２つ、つまり「７０１」及び「７０２」が設定されている。なお、説明の便宜上、図６の変換対象メッセージＩＤリスト３５に記載されている、その他の固有ＩＤ（置換元）に対して設定されている置換候補（置換先）となる模擬ＩＤについての説明を割愛する。

　図７に示すように、変換用カウント値リスト３６は、固有ＩＤ毎の通信メッセージの送受信回数をカウント値として記録しておくリストである。変換用カウント値リスト３６では、通信メッセージが送信されるとき、当該通信メッセージに対応する固有ＩＤのカウンタ値に１が加算されるとともに、受信した通信メッセージに対応する固有ＩＤのカウンタ値に１が加算される。なお、通信メッセージを送信する場合、情報処理部２０は、送信に応じてカウント値を更新するため、自身から送信した通信メッセージを自身で受信した場合、その受信に伴うカウント値の更新は行わない。

　なお、ＣＡＮプロトコルによれば、通信用バス１５に接続されている全てのＥＣＵが、通信用バス１５に流れている通信メッセージを受信することができる。このため、情報処理部２０が、送受信する通信メッセージに基づいて固有ＩＤに対応するカウント値の更新を行うことによって、通信用バス１５に接続されている全てのＥＣＵの間で、それぞれのＥＣＵの変換用カウント値リスト３６に設定されている固有ＩＤのカウント値を同期（一致）させることができる。

　図３に示すように、メッセージＩＤ変換部３１は、送信指示部３０から入力されたメッセージ用データＭＳ１に含まれる固有ＩＤに対して変換処理（置換処理）を行う。例えば、メッセージＩＤ変換部３１は、メッセージ用データＭＳ１に含まれる固有ＩＤが変換対象メッセージＩＤリスト３５に設定されていない場合、当該固有ＩＤを変換（置換）しない。一方、メッセージＩＤ変換部３１は、メッセージ用データＭＳ１に含まれる固有ＩＤが変換対象メッセージＩＤリスト３５に設定されている場合、当該固有ＩＤを、固有ＩＤの置換候補となる複数の模擬ＩＤのうちから選択した１つの模擬ＩＤに変換（置換）する。模擬ＩＤの選択は、メッセージＩＤ変換部３１が有するパターン演算部３１１からの演算結果を、変換対象メッセージＩＤリスト３５の候補番号に適用することにより行われる。そして、変換処理により得られたメッセージ用データＭＳ２がメッセージ転送部３２へ出力される。

　パターン演算部３１１は、入力されたパラメータに応じて、外部からの推定が容易ではない疑似乱数によるパターン（ランダムパターン）を発生させて出力する。つまり、パターン演算部３１１は、パラメータ毎に異なる値が発生するようなパターン（順番）を有し、このパターン（順番）はパラメータの変更に伴って進行する。このことから、パターン演算部３１１は、入力されるパラメータを変更する条件によって、ランダムパターンに基づく出力が更新される。また、パターン演算部３１１は、出力範囲が設定されると、設定された出力範囲の値を演算結果として出力する。例えば、パターン演算部３１１は、整数の出力範囲が設定されると、整数からなる疑似乱数を算出し、この算出した整数を出力範囲の値で除した余りを求める。これにより、パターン演算部３１１は、「０」から「出力範囲－１」までの「出力範囲」の値に等しい種類（整数）の値を算出する。なお、パターン演算部３１１から所要の出力結果を得ることができるのであれば、パターン演算部３１１における演算処理は、上述の方法に限らず、その他の公知の方法を用いることができる。

　図４に示すように、受信用処理部２３は、ＣＡＮコントローラ２１からメッセージ用データを取得する受信指示部４０と、受信指示部４０から入力されたメッセージ用データに変換処理を施すメッセージＩＤ再変換部４１とを有している。また、受信用処理部２３は、メッセージＩＤ再変換部４１で変換処理が施されたメッセージ用データを情報処理部２０へ出力するメッセージ転送部４２と、メッセージ用データに対する変換処理に用いられる各種データを保持する記憶部４３とを有している。なお本実施形態では、記憶部４３として情報処理部２０の記憶装置が用いられるが、記憶部４３に用いる記憶装置はその他の記憶装置でもよい。

　記憶部４３には、通信対象メッセージＩＤリスト４４と、変換対象メッセージＩＤリスト４５と、変換用カウント値リスト４６とが設けられている。なお、通信対象メッセージＩＤリスト４４は、図５に示される通信対象メッセージＩＤリスト３４に同一であり、変換対象メッセージＩＤリスト４５は、図６に示される変換対象メッセージＩＤリスト３５に同一であるためそれらの説明を割愛する。なお、通信対象メッセージＩＤリスト４４として通信対象メッセージＩＤリスト３４を利用し、変換対象メッセージＩＤリスト４５として変換対象メッセージＩＤリスト３５を利用してもよい。また、変換用カウント値リスト４６は、図７に示される変換用カウント値リスト３６を共用するか、もしくは同期（一致）するように設定されているためその説明を割愛する。

　メッセージＩＤ再変換部４１は、ＣＡＮコントローラ２１から入力されたメッセージ用データＭＲ１に含まれるメッセージＩＤ（固有ＩＤ又は模擬ＩＤ）に対して変換処理（再置換処理）を行う。例えば、メッセージＩＤ再変換部４１は、メッセージＩＤが通信対象メッセージＩＤリスト４４に設定されている場合、メッセージＩＤは固有ＩＤであることから、そのメッセージＩＤを変換（置換）しない。一方、メッセージＩＤ再変換部４１は、メッセージＩＤが通信対象メッセージＩＤリスト４４に設定されていない一方、変換対象メッセージＩＤリスト４５に設定されている場合、メッセージＩＤは模擬ＩＤであることから、この模擬ＩＤを変換前（置換前）の固有ＩＤへ再変換（再置換）する。置換前の固有ＩＤへの再置換は、パターン演算部４１１からの演算結果を、変換対象メッセージＩＤリスト４５の候補番号に適用することにより行われる。そして、変換処理により得られたメッセージ用データＭＲ２がメッセージ転送部４２へ出力される。

　パターン演算部４１１は、送信指示部３０のパターン演算部３１１と同一の構成をしていることからその説明を割愛する。なお、パターン演算部４１１はパターン演算部３１１を共用してもよい。

　次に、本実施形態の通信システムの作用について、図８～１０を参照して説明する。

　まず、通信システムの初期化について説明する。この通信システムの初期化は、車両１０のイグニッションスイッチがＯＮされることなどにより通信システムの初期化条件が成立すると実行される。なお、通信システムの初期化条件には、通信システムの起動や、通信システムを監視するＥＣＵからの指示や、ドライバによる操作などを含むことができる。

　図８に示すように、通信システムの初期化が開始されると、通信用バス１５に接続されている全てのＥＣＵ、例えば第１～第４のＥＣＵ１１～１４では、各ＥＣＵに設けられている変換用カウント値リスト３６のカウント値が初期化、例えば「０」にされる（図８のステップＳ１０）。これらの初期化は、全てのＥＣＵで同様のタイミングで行うが、そのタイミングは各ＥＣＵが別々に計測したタイミングであってもよいし、一つのＥＣＵから送信された初期化を指示する通信メッセージにより指示されるタイミングであってもよい。

　続いて、図９を参照して、通信メッセージを送信する場合について説明する。

　情報処理部２０は、送信したい通信データを準備する毎に、この通信データと該通信データに対応する固有ＩＤとを含むメッセージ用データを準備し、このメッセージ用データに対する送信用処理を開始する。

　図９に示すように、送信用処理が開始されると、送信用処理部２２は、情報処理部２０が準備したメッセージ用データを取得する（図９のステップＳ２０）とともに、そのメッセージ用データに含まれる固有ＩＤを取得する（図９のステップＳ２１）。また、送信用処理部２２は、通信対象メッセージＩＤリスト３４を参照して、取得した固有ＩＤが通信対象のメッセージＩＤであるか否かを判定する（図９のステップＳ２２）。そして、取得した固有ＩＤが通信対象メッセージＩＤではないと判定された場合（図９のステップＳ２２でＮＯ）、送信用処理部２２は、取得したメッセージ用データに基づく通信メッセージの送信用処理を中止し、当該固有ＩＤに対応する通信メッセージを送信しない。

　一方、取得した固有ＩＤが通信対象メッセージであると判定された場合（図９のステップＳ２２でＹＥＳ）、送信用処理部２２は、変換対象メッセージＩＤリスト３５を参照して、その固有ＩＤが変換対象メッセージＩＤであるか否かについて判定する（図９のステップＳ２３）。そして、固有ＩＤが変換対象メッセージＩＤであると判定された場合（図９のステップＳ２３でＹＥＳ）、送信用処理部２２は、変換用カウント値リスト３６を参照して、固有ＩＤに対応するカウント値が初期値であるか否かを判定する（図９のステップＳ２４）。そして、固有ＩＤに対応するカウント値が初期値ではないと判定した場合（図９のステップＳ２４でＮＯ）、送信用処理部２２は、固有ＩＤを模擬ＩＤに置換するメッセージＩＤ変換処理を行う（図９のステップＳ２５）。

　なお、固有ＩＤが変換対象メッセージＩＤではないと判定された場合（図９のステップＳ２３でＮＯ）や、固有ＩＤに対応するカウント値が初期値であると判定された場合（図９のステップＳ２４でＹＥＳ）、送信用処理部２２は、ステップＳ２５のメッセージＩＤ変換処理を実行せず、メッセージの転送処理を行う（図９のステップＳ２６）。

　メッセージＩＤ変換処理では、送信用処理部２２は、固有ＩＤへの置換候補とされている模擬ＩＤの数を出力範囲としてパターン演算部３１１に入力させ、固有ＩＤに対応するカウント値をパラメータとしてパターン演算部３１１に入力させる。本実施形態では、固有ＩＤに対応するカウント値が、模擬ＩＤを選択させる選択条件に対応し、パターン演算部３１１に演算する疑似乱数がパターンに対応する。これにより、パターン演算部３１１から出力範囲に対応する整数が得られるため、送信用処理部２２は、この得られた整数に「１」を加えた数を候補番号として用いて固有ＩＤへの置換候補とされる模擬ＩＤのうちから１つの模擬ＩＤを選択する。

　例えば、図６に示すように、固有ＩＤが「００１」の場合、置換候補となる模擬ＩＤが「００２」「００３」「００４」「００５」「００６」の「５」つである。このとき、パターン演算部３１１にパラメータとして変数用カウント値リストから得たカウント値を入力し、出力範囲として模擬ＩＤの数「５」を入力することで、パターン演算部３１１から演算結果として「０」から「４」までのいずれかの整数がランダムなパターンで得られる。そして送信用処理部２２は、パターン演算部３１１の演算結果に「１」を加算した値を候補番号とする。つまり送信用処理部２２では、演算結果「０」に基づいて候補番号「１」の模擬ＩＤ「００２」が選択され、演算結果「１」に基づいて候補番号「２」の模擬ＩＤ「００３」が選択され、演算結果「２」に基づいて候補番号「３」の模擬ＩＤ「００４」が選択される。また、演算結果「３」に基づいて候補番号「４」の模擬ＩＤ「００５」が選択され、演算結果「４」に基づいて候補番号「５」の模擬ＩＤ「００６」が選択される。

　このため、パターン演算部３１１を有する各ＥＣＵでは、固有ＩＤの置換候補として選択する１つの模擬ＩＤが、置換候補となる模擬ＩＤの数、各模擬ＩＤの値、パターン演算部３１１に採用されるパターン、及び固有ＩＤに対応するカウント値の条件の全てが一致すると、適切に同一のＩＤが選択されるようになる。換言すると、上記条件のうちいずれか一つでも不一致であると、固有ＩＤの変換候補となる１つの模擬ＩＤを適切に選択することができないため、そのＥＣＵでは他のＥＣＵと異なる模擬ＩＤが選択される。

　そして、第１のＥＣＵ１１の送信用処理部２２は、固有ＩＤを、上述のようにして得られるパターン演算部３１１の演算結果に基づき選択した模擬ＩＤに置換する。

　メッセージ用データの固有ＩＤが模擬ＩＤに変換されると、又は、上述のようにステップＳ２３でＮＯであると、又は、上述のようにステップＳ２４でＹＥＳであると、送信用処理部２２は、メッセージ転送を行う（図９のステップＳ２６）。メッセージ転送では、送信用処理部２２はメッセージ用データに含まれているメッセージＩＤ（固有ＩＤ又は模擬ＩＤ）及び通信データをＣＡＮコントローラ２１へ出力し、ＣＡＮコントローラ２１は送信用処理部２２から受けたメッセージ用データに基づいて通信メッセージを作成して通信用バス１５に送信する。これにより、メッセージＩＤが模擬ＩＤの場合、通信用メッセージのメッセージＩＤには模擬ＩＤが採用されるため、通信メッセージの信頼性の向上が図られる。一方、メッセージＩＤが固有ＩＤのままである場合、通信用メッセージのメッセージＩＤには固有ＩＤが採用され、ＣＡＮプロトコルにおける通常の通信を行うことができる。

　メッセージ転送の後、送信用処理部２２は、ＣＡＮコントローラ２１を監視して、通信メッセージの送信処理に送信エラーが生じていないか否かを確認する（図９のステップＳ２８）。通信メッセージの送信処理に送信エラーが発生したと判断された場合（図９のステップＳ２８でＮＯ）、送信用処理部２２は、先のメッセージ転送のときと同一のメッセージ用データを準備して（図９のステップＳ２７）、ステップＳ２６に戻り、再度、メッセージ転送とそれ以降の処理を実行する。

　一方、通信メッセージの送信処理に送信エラーが生じていないと判断された場合（図９のステップＳ２８でＹＥＳ）、送信用処理部２２は、固有ＩＤに対応するカウント値に１を加算してカウント値を更新する（図９のステップＳ２９）。そして、通信メッセージの送信用処理が終了する。このようにカウント値を更新することで、メッセージＩＤ変換処理が実行される都度、模擬ＩＤを変更すること、すなわちメッセージＩＤがリアルタイムに変化する通信メッセージを送信することができる。

　次に、図１０を参照して、通信メッセージを受信する場合について説明する。

　情報処理部２０では、ＣＡＮコントローラ２１が通信用バス１５から通信メッセージを解析してメッセージ用データを出力することによって受信用処理が開始される。

　図１０に示すように、受信用処理が開始されると、受信用処理部２３は、ＣＡＮコントローラ２１から出力されたメッセージ用データを取得する（図１０のステップＳ３０）とともに、そのメッセージ用データに含まれているメッセージＩＤ（固有ＩＤ又は模擬ＩＤ）を取得する（図１０のステップＳ３１）。メッセージＩＤが取得されると、受信用処理部２３は、通信対象メッセージＩＤリスト４４を参照して、取得したメッセージＩＤが固有ＩＤであるか否かを判定する（図１０のステップＳ３２）。メッセージＩＤが固有ＩＤである場合（図１０のステップＳ３２でＹＥＳ）、受信用処理部２３は、変換対象メッセージＩＤリスト４５を参照して、固有ＩＤが変換対象メッセージＩＤ（置換元）であるか否かを判定する（図１０のステップＳ３４）。

　固有ＩＤが変換対象メッセージＩＤ（置換元）でない場合（図１０のステップＳ３４でＮＯ）、受信用処理部２３は、メッセージ用データをそのまま情報処理部２０に転送する（図１０のステップＳ３８）。つまり、この通信メッセージは固有ＩＤによって通信されたメッセージであることと、この固有ＩＤには置換候補となる模擬ＩＤが設定されていないこととが分かる。

　一方、固有ＩＤが変換対象メッセージＩＤ（置換元）である場合（図１０のステップＳ３４でＹＥＳ）、受信用処理部２３は、当該固有ＩＤに対応する変換用カウント値を更新し（図１０のステップＳ３７）、メッセージ用データをそのまま情報処理部２０に転送する（図１０のステップＳ３８）。つまり、この通信メッセージは固有ＩＤによって通信されたメッセージであることと、この固有ＩＤには置換候補となる模擬ＩＤが設定されていることとが分かる。このように、置換候補となる模擬ＩＤが設定されている固有ＩＤであっても、図９のステップＳ２４に示すように、対応するカウント値が初期値である場合、固有ＩＤが模擬ＩＤに変換されないため、メッセージＩＤを固有ＩＤとする通信メッセージが送信される。

　メッセージＩＤが通信対象メッセージＩＤ（固有ＩＤ）ではない場合（図１０のステップＳ３２でＮＯ）、メッセージＩＤは模擬ＩＤである可能性がある。そこで受信用処理部２３はメッセージＩＤが、固有ＩＤからの変換候補とされる模擬ＩＤに含まれている否かを判定する（図１０のステップＳ３３）。メッセージＩＤが変換候補とされる模擬ＩＤに含まれていないと判定された場合（図１０のステップＳ３３でＮＯ）、受信用処理部２３は、メッセージＩＤは固有ＩＤでも、模擬ＩＤでもないと判断して通信メッセージの受信用処理を終了する。つまり、このメッセージＩＤは、この通信システムでは利用されないＩＤであると判断される。

　メッセージＩＤが、固有ＩＤからの変換候補とされる模擬ＩＤに含まれていると判定された場合（図１０のステップＳ３３でＹＥＳ）、受信用処理部２３は、メッセージＩＤは模擬ＩＤであると判断する。そして、受信用処理部２３は、このメッセージＩＤ（模擬ＩＤ）に対応する固有ＩＤを取得するとともに、その固有ＩＤからの変換候補とされる模擬ＩＤの数、及び該固有ＩＤに対応するカウント値を取得する（図１０のステップＳ３５）。そして、パターン演算部４１１にパラメータとしてカウント値を入力し、出力範囲として固有ＩＤからの置換候補とされる模擬ＩＤの数を入力すると、パターン演算部４１１から演算結果として「０」から「模擬ＩＤの数－１」までのいずれかの整数がランダムなパターンで得られる。こうして得られた演算結果に「１」を加算した値を候補番号として変換対象メッセージＩＤリスト４５に適用することで、固有ＩＤからの置換候補とされる模擬ＩＤから選択された１つの模擬ＩＤを取得する。こうして取得された１つの模擬ＩＤと、通信メッセージから取得された模擬ＩＤとが一致する場合、当該模擬ＩＤは、固有ＩＤに対応している適正なＩＤであると判断されるため、該模擬ＩＤが固有ＩＤに再置換される。すなわち、メッセージ用データのメッセージＩＤが、模擬ＩＤから再置換された固有ＩＤにされる（図１０のステップＳ３６）。

　メッセージ用データの模擬ＩＤが固有ＩＤへ再置換されると、受信用処理部２３は、該固有ＩＤに対応する変換用カウント値を更新し（図１０のステップＳ３７）、メッセージ用データを情報処理部２０に転送する（図１０のステップＳ３８）。そして、メッセージ用データに対する受信用処理が終了される。

　そして、情報処理部２０は、受信用処理を施された後のメッセージ用データに含まれている固有ＩＤに基づいて該メッセージ用データに含まれている通信データの内容を識別し、該通信データに対する適切な処理を行う。つまり、情報処理部２０は、メッセージＩＤがリアルタイムに変化する通信メッセージを受信した場合であれ、このようにカウント値を更新することで、リアルタイムに変化するメッセージＩＤ（模擬ＩＤ）に対応して適正な固有ＩＤが求められ、メッセージＩＤがリアルタイムに変化する通信メッセージを受信することができる。

　よって、この通信システムによれば、通信メッセージで流れる通信データの内容の難読性が向上する。これにより、通信用バス１５に接続された不正な通信装置などによる、不正な通信メッセージによる通信が防止され、通信メッセージの信頼性の向上が図られる。

　以上説明したように、本実施形態に係る通信システムは、以下に列記する効果を有する。

　（１）通信メッセージの識別に用いられる固有ＩＤが、他のＥＣＵとの間の通信の際には模擬ＩＤに置換され、この置換された後の模擬ＩＤにより通信メッセージが送信及び受信される。

　このように、通信メッセージの通信が模擬ＩＤに基づき行われることで、固有ＩＤが不正に又は不意に知られていたとしても、当該固有ＩＤに基づく不正な通信メッセージの通信を防ぐことができるようになる。すなわち、通信システムにて通信される通信メッセージの信頼性を向上させることができるようになる。

　また、固有ＩＤを置換させる模擬ＩＤはランダムパターンに基づいて選択される。これにより、通信に用いられる模擬ＩＤをランダムパターンに基づいて変化させることができるようになる。そうすると、たとえ固有ＩＤや模擬ＩＤが不正に又は不意に知られたとしても、通信に用いられる模擬ＩＤが切換えられることによって不正な通信メッセージによる通信を防ぐことができるようになる。さらに、ランダムパターンによる置換対象の選択の変化は、通信メッセージを監視しても認知が難しい。このため、模擬ＩＤが知られたとしても、不正な機器等は、通信に適切な模擬ＩＤを選択するパターン（順番）の推定が困難であるため、不正な通信メッセージによる通信を防ぐことができるようになる。

　（２）置換候補となる模擬ＩＤの数を、固有ＩＤが小さい方が多くなるようにした。これにより、ＣＡＮプロトコルにおいて優先度が高くなる、メッセージＩＤの小さい通信メッセージの信頼性をより高くすることができる。これにより、優先度の高低に応じた適切な信頼性を通信メッセージに設定することができるようになる。

　（３）模擬ＩＤを用いた通信の都度、適切な模擬ＩＤが選択される、つまり更新される。このため、不正な通信メッセージが適切な模擬ＩＤを用いて通信されることを困難にして、通信メッセージの信頼性を高く維持することができる。

　（４）置換対象がランダムパターンによって選択されるため、通信メッセージが監視されていたとしても、選択対象となる模擬ＩＤを適切に推定することが困難である。このため、模擬ＩＤを用いた不正な通信が困難になるため、通信メッセージの信頼性を高く維持することができるようになる。

　（５）複数のＥＣＵの間で、置換対象の模擬ＩＤの選択を同期させる。これにより、通信の度に選択対象を選択することが容易かつ確実になるため、通信メッセージの信頼性を高く維持することができるようになる。

　（６）リアルタイムに模擬ＩＤを変化させることで、ＣＡＮプロトコルに基づく通信メッセージに対する信頼性を高く維持することができるようになる。ＣＡＮプロトコルによる通信メッセージを受信したＥＣＵは、通常、通信メッセージに付されているメッセージＩＤが正しければメッセージを処理してしまうが、この構成によれば、メッセージＩＤが模擬ＩＤにされることで通信メッセージの信頼性を高めることができる。

　（７）固有ＩＤとして定義することができるＩＤのうち、例えば割り当てのない（空いている）ＩＤや、例えば試験時など、使用される条件が限定されているＩＤを使うようにしている。これにより、通信メッセージの信頼性が向上するこの通信システムを、既存のシステムを含め、適用することが容易になる。

　（８）固有ＩＤに連続する複数のＩＤが複数の模擬ＩＤとして設定されることによって、固有ＩＤと模擬ＩＤとが連続するため通信システムの設計が容易になる。また例えば、ＣＡＮプロトコルでは、値の小さいメッセージＩＤには高い優先度が割り当てられている。そこで、模擬ＩＤを固有ＩＤに連続させることで、選択された模擬ＩＤの優先度を固有ＩＤと同様の優先度に維持することができるようになるため、ＣＡＮプロトコルによる優先度を維持しつつの適用が可能である。

　（その他の実施形態）
　なお上記実施形態は、以下の態様で実施することもできる。

　・上記実施形態では、情報処理部２０に送信用処理部２２や受信用処理部２３が含まれている場合について例示した。しかしこれに限らず、送信用処理部や受信用処理部は、情報処理部との間及びＣＡＮコントローラとの間でそれぞれデータの授受が可能であるならば、それらの配置場所に制限はない。

　例えば、図１３に示すように、情報処理部２０ＡとＣＡＮコントローラ２１Ａとが設けられているＥＣＵ１１Ａにおいて、送信用処理部２２Ａや受信用処理部２３ＡがＣＡＮコントローラ２１Ａに設けられてもよい。

　また例えば、図１４に示すように、情報処理部２０ＢとＣＡＮコントローラ２１Ｂとが設けられているＥＣＵ１１Ｂにおいて、送信用処理部２２Ｂや受信用処理部２３ＢがＣＡＮコントローラ２１Ｂと情報処理部２０Ｂとの間に設けられてもよい。

　これにより、この通信システムの設計自由度が高められる。

　・上記実施形態では、固有ＩＤに連続するＩＤを、該固有ＩＤからの置換候補となる模擬ＩＤとして採用する場合について例示した。しかしこれに限らず、固有ＩＤからの置換候補となる模擬ＩＤは、固有ＩＤに連続していなくてもよい。また、複数の模擬ＩＤも、互いに連続するＩＤでなくてもよい。これにより、この通信システムの設計自由度が高められるとともに、既存のシステムへの適用も可能になるなど適用可能性も高められる。

　・上記実施形態では、模擬ＩＤは、通信データの内容に対応していないＩＤから選択される場合について例示した。しかしこれに限らず、模擬ＩＤは、通信データの内容に対応しているＩＤであっても、試験用のＩＤなど、車両１０の走行中には使用されないＩＤが設定されてもよい。これにより、この通信システムの設計自由度や既存システムなどへの適用可能性の向上が図られるようになる。

　・上記実施形態では、固有ＩＤの置換候補となる模擬ＩＤが、変換対象メッセージＩＤリスト３５に予め設定されている場合について例示した。しかしこれに限らず、固有ＩＤの置換候補となる模擬ＩＤを、通信システムにおける固有ＩＤの割り当て状況に応じて設定できるようにしてもよい。

　例えば、図１１に示すように、走行中に利用される固有ＩＤ以外のＩＤを、模擬ＩＤとして利用可能なメッセージＩＤとして利用可能ＩＤリスト５０に設定し、その利用可能ＩＤリスト５０に設定された模擬ＩＤを、図１２に示すように、変換対象メッセージＩＤリスト５１の置換候補となる模擬ＩＤとして割り付けるようにしてもよい。これにより、メッセージＩＤが設定可能な範囲における、固有ＩＤの配置状態や模擬ＩＤの配置状態に影響されないようにして、固有ＩＤに置換候補となる模擬ＩＤを対応付けることができる。つまり、この通信システムの設計自由度が高められる。

　・上記実施形態では、固有ＩＤからの置換候補となる模擬ＩＤがリストに設定されている場合について例示した。しかしこれに限らず、置換候補となる模擬ＩＤは、演算などの方法で求めてもよい。例えば、図６に示される固有ＩＤ「００１」の模擬ＩＤは、「固有ＩＤ＋パターン演算部の演算結果＋１」とする式から算出することもできる。これにより、この通信システムの設計自由度が高められる。

　・上記実施形態では、通信システムがＣＡＮプロトコルに基づくシステムである場合について例示した。しかしこれに限らず、通信システムは、複数の通信装置が任意のタイミングで通信を開始することのできる通信プロトコルに対しても適用することができる。例えば、このような通信プロトコルには、メッセージアドレッシングを行う直列バスシステムなどが含まれる。これにより、このような通信システムの適用可能性の向上が図られるようになる。

　・上記実施形態では、カウンタ値の更新が、固有ＩＤに対応する通信メッセージによる通信が行われる都度更新される、つまり、当該通信メッセージを受信する全てのＥＣＵ間で選択条件であるカウンタ値が同期（一致）する場合について例示した。しかしこれに限らず、選択条件であるカウンタ値の同期は、複数のＥＣＵ間で同期させることができるのであれば、同期させる方法はどのような方法であってもよい。例えば、カウンタ値の同期を、固有ＩＤに対応する通信メッセージによる通信が所定回数行われる毎に行うようにしてもよいし、別途用意した同期を指示する通信メッセージに基づいて行うようにしてもよい。これにより、通信システムの設計自由度が高められるようになる。

　・上記実施形態では、候補番号を選択するためのパターン（順番）がランダムパターン（疑似乱数）である場合について例示した。しかしこれに限らず、候補番号を選択するパターン（順番）は、候補番号の番号順などランダムパターン以外の順番でもよい。模擬ＩＤの選択順が決まっていたとしても、リアルタイムでメッセージＩＤが変化することによって通信メッセージの信頼性が高められる。

　・上記実施形態では、出力範囲に置換候補となる模擬ＩＤの数を設定する場合について例示したが、これに限らず、出力範囲に設定する値は、置換候補となる模擬ＩＤの数よりも小さくてもよい。また、出力範囲に設定する値を可変させることによってパターン（順番）の解析を難しくすることもできる。これらにより、この通信システムの設計自由度が向上される。

　・上記実施形態では、送信用処理部２２や受信用処理部２３は、変換（置換）や再変換（再置換）などの処理を、メッセージ用データに含まれているメッセージＩＤに対して施す場合について例示した。しかしこれに限らず、送信用処理部や受信用処理部は、ＣＡＮプロトコルに基づく通信メッセージが入力され、その入力された通信メッセージを解析して取得したメッセージＩＤに対して変換（置換）や再変換（再置換）などの処理施す量にしてもよい。

　・また、送信用処理部や受信用処理部は、変換（置換）や再変換（再置換）して得られたメッセージＩＤにて通信メッセージに含まれているメッセージＩＤを置換してもよい。もしくは、通信メッセージの解析によって通信データも取得し、上記処理にて得られたメッセージＩＤと通信データとを含むメッセージ用データを作成してもよい。

　これにより、この通信システムの構成の自由度の向上が図られるようになる。

　・上記実施形態では、置換候補には固有ＩＤが含まれない場合について例示したが、これに限らず、置換候補に固有ＩＤを含んでもよい。これにより、固有ＩＤの置換候補となるＩＤの数を増やすことができる。

　・上記実施形態では、ＤＬＣ１６に外部機器が有線接続される場合について例示した。しかしこれに限らず、ＤＬＣには外部機器が無線通信を介して接続されてもよい。例えば、ＤＬＣに無線通信端末を接続して、外部機器にも無線通信装置を設け、ＤＬＣと外部機器との間の通信を無線通信させるようにすればよい。これにより、ＤＬＣへの外部機器の接続態様にかかわらず不正な通信を防ぐことができるようになる。

　・上記実施形態では、通信システムが車両１０に搭載されている場合について例示した。しかしこれに限らず、通信システムは、その一部もしくは全部が車両以外に設けられていてもよい。これにより、車両以外で用いられているＣＡＮからなる通信システムに対してもメッセージの正／不正の判定ができるようになるため、この通信システムの適用可能性の向上が図られる。

　・上記実施形態では、通信システムが車両１０に搭載されている場合について例示した。しかしこれに限らず、通信システムは車両以外の移動体、例えば船舶、鉄道、産業機械やロボットなどに設けられていてもよい。

　１０…車両、１１～１４…第１～第４のＥＣＵ（電子制御装置）、１１Ａ，１１Ｂ…ＥＣＵ、１５…通信用バス、１６…データリンクコネクタ（ＤＬＣ）、１７…ユーザツール、２０，２０Ａ，２０Ｂ…情報処理部、２１，２１Ａ，２１Ｂ…ＣＡＮコントローラ、２２，２２Ａ，２２Ｂ…送信用処理部、２３，２３Ａ，２３Ｂ…受信用処理部、３０…送信指示部、３１…メッセージＩＤ変換部、３１１，４１１…パターン演算部、３２，４２…メッセージ転送部、３３，４３…記憶部、３４，４４…通信対象メッセージＩＤリスト、３５，４５，５１…変換対象メッセージＩＤリスト、３６，４６…変換用カウント値リスト、４０…受信指示部、４１…メッセージＩＤ再変換部、５０…利用可能ＩＤリスト。

Claims

　複数の通信装置が通信メッセージを通信可能に通信回線に接続されてなる通信システムであって、
　通信メッセージには、当該通信メッセージを識別させる固有識別子が付されており、
　前記通信装置には、前記固有識別子と、前記固有識別子からの置換候補としての複数の模擬識別子と、前記固有識別子へと置換される置換対象として選択される模擬識別子を前記複数の模擬識別子のうちから１つ選択させるパターンとが定められており、
　前記複数の通信装置の間で前記パターンに基づく置換対象の選択条件が同期され、
　通信メッセージを送信する通信装置は、通信メッセージに付された前記固有識別子を前記パターンに基づいて前記模擬識別子へ置換するとともに、この置換後の模擬識別子を付した通信メッセージを送信し、
　通信メッセージを受信する通信装置は、受信した通信メッセージから取得した模擬識別子を前記パターンに基づいて前記固有識別子へ再置換するとともに、この再置換した固有識別子に基づいて前記受信した通信メッセージを識別する
　ことを特徴とする通信システム。
　前記通信メッセージの固有識別子への置換候補として定められている模擬識別子の数は、優先度の低い通信メッセージよりも、優先度の高い通信メッセージの方が多い
　請求項１に記載の通信システム。
　前記同期させる前記パターンに基づく置換対象の選択条件を、前記置換後の模擬識別子が付された通信メッセージが通信回線に流されることを条件とする
　請求項１又は２に記載の通信システム。
　前記パターンは、前記通信メッセージが通信回線に流された回数に基づいて発生される疑似乱数によるランダムパターンである
　請求項１～３のいずれか一項に記載の通信システム。
　前記複数の通信装置には、前記通信メッセージが通信回線に流された回数を計測するカウンタが設けられており、前記カウンタが計測するカウント値に基づいて前記パターンに基づく置換対象の選択条件が同期される
　請求項１～４のいずれか一項に記載の通信システム。
　前記通信メッセージは、ＣＡＮプロトコルによるメッセージであり、
　前記固有識別子は、ＣＡＮプロトコルに定められるメッセージＩＤである
　請求項１～５のいずれか一項に記載の通信システム。
　前記模擬識別子は、通信メッセージに付されない固有識別子のうちから選択されたものである
　請求項１～６のいずれか一項に記載の通信システム。
　前記固有識別子に連続する複数の識別子が前記複数の模擬識別子として設定される
　請求項１～７のいずれか一項に記載の通信システム。
　複数の通信装置が通信回線を介してメッセージを通信する通信方法であって、
　送信する通信メッセージに当該通信メッセージの識別に用いられる固有識別子を付す工程と、前記固有識別子を、当該固有識別子へ置換可能な複数の模擬識別子からパターンに基づいて選択した１つの模擬識別子へ置換する工程と、複数の通信装置との間で前記パターンに基づく選択条件を同期させる工程と、前記固有識別子を模擬識別子に置換した後の通信メッセージを送信する工程とを備える
　ことを特徴とする通信方法。
　複数の通信装置が通信回線を介してメッセージを通信する通信方法であって、
　受信した通信メッセージから当該通信メッセージに付されている模擬識別子を取得する工程と、前記取得した模擬識別子をパターンに基づいて、通信メッセージの識別に用いる固有識別子に置換する工程と、複数の通信装置との間で前記パターンに基づく置換を同期させる工程と、前記模擬識別子が置換された後の固有識別子に基づいて通信メッセージを識別する工程とを備える
　ことを特徴とする通信方法。
　通信回線に接続され、前記通信回線に接続される他の通信装置との間で通信メッセージによる通信を行う通信装置であって、
　前記通信メッセージには、当該通信メッセージの識別に用いられる固有識別子が付されており、
　当該通信装置には、前記固有識別子と、前記固有識別子からの置換候補としての複数の模擬識別子と、前記複数の模擬識別子のうちの１つの模擬識別子を、前記固有識別子へと置換される置換対象として選択させるパターンとが定められており、
　前記他の通信装置との間で前記パターンに基づく置換対象の選択条件を同期させるとともに、送信する通信メッセージに付された固有識別子を前記パターンに基づいて前記模擬識別子へ置換し、この置換後の模擬識別子を付した通信メッセージを送信する
　ことを特徴とする通信装置。
　通信回線に接続され、前記通信回線に接続される他の通信装置との間で通信メッセージによる通信を行う通信装置であって、
　前記通信メッセージには、当該通信メッセージの識別に用いられる固有識別子が付されており、
　当該通信装置には、前記固有識別子と、前記固有識別子からの置換候補としての複数の模擬識別子と、前記複数の模擬識別子のうちの１つの模擬識別子を、前記固有識別子へと置換される置換対象として選択させるパターンとが定められており、
　前記他の通信装置との間で前記パターンに基づく置換対象の選択条件を同期させるとともに、受信した通信メッセージから取得した模擬識別子を前記パターンに基づいて前記固有識別子へ再置換して、この再置換した後の固有識別子に基づいて前記受信した通信メッセージを識別する
　ことを特徴とする通信装置。