WO2015129204A1

WO2015129204A1 - 航法メッセージ受信装置

Info

Publication number: WO2015129204A1
Application number: PCT/JP2015/000744
Authority: WO
Inventors: 貴久山城; 正剛隈部
Original assignee: 株式会社デンソー
Priority date: 2014-02-27
Filing date: 2015-02-18
Publication date: 2015-09-03
Also published as: SG11201606727YA; CN106030339B; DE112015001045B4; JP6252246B2; DE112015001045T5; CN106030339A; JP2015161589A

Abstract

　衛星測位システムで用いられる人工衛星からの航法メッセージが正規のものであるかを判断する航法メッセージ受信装置を提供する。一実施形態の航法メッセージ受信装置は、認証センタ（１２０）との通信で認証が成立した航法メッセージに含まれる発信時刻と一致する発信時刻が、認証センタ（１２０）との通信で認証が成立した航法メッセージの発信元とは異なるＧＰＳ衛星（２）から衛星受信機（２３０）で受信した航法メッセージに含まれると判定した場合には、当該航法メッセージが正規のものであると判断する。

Description

航法メッセージ受信装置

関連出願の相互参照

　本出願は、２０１４年２月２７日に出願された日本国特許出願２０１４－３７０４７号に基づくものであり、これをここに参照により援用する。

　本開示は、衛星測位システムで用いられる人工衛星から航法メッセージを受信する航法メッセージ受信装置に関するものである。

　従来、衛星測位システムで用いられる人工衛星から発信される航法メッセージを受信機によって受信し、位置を測位する技術が知られている。

　しかしながら、近年では、人工衛星からの信号を複製するリピータや、人工衛星からの信号を擬似的に生成可能なシミュレータ等の開発により、悪意の行為者による位置情報の改竄やなりすましが発生してきている。

　これに対して、特許文献１には、受信機が受信した航法メッセージが、衛星測位システムで用いられる人工衛星からの正規の航法メッセージであるかの認証を行う技術が開示されている。特許文献１に開示の技術では、受信機は、認証センタのデータベースにアクセスし、人工衛星から受信した航法メッセージに含まれる衛星番号と衛星時刻から、対象とする人工衛星の認証に用いるデータを取得する。そして、受信機は、認証センタから取得したデータを用いて、受信した航法メッセージが、衛星測位システムで用いられる人工衛星からの正規の航法メッセージであるかの認証を行う。

特開２０１３－１３０３９５号公報

　本願発明者は、特許文献１に開示の技術に関し以下を見出した。

　特許文献１に開示の技術では、受信機が測位のたびに、測位に用いた複数の人工衛星からの航法メッセージの全てについて、認証センタと通信を行って正規の航法メッセージであるかの認証を行う必要がある。よって、各受信機と認証センタとが頻繁に通信を行う必要が生じ、認証センタの通信処理負荷が膨大になってしまう。

　本開示は、上記に鑑みなされたものであって、その目的は、衛星測位システムで用いられる人工衛星からの航法メッセージが正規のものであるかの認証に用いられる認証センタの通信処理負荷を抑えながらも、人工衛星からの航法メッセージが正規のものであるかを判断することを可能にする航法メッセージ受信装置を提供することにある。

　本開示の一例に係る航法メッセージ受信装置は、衛星測位システムで用いられる人工衛星からの航法メッセージを受信する衛星受信機と、人工衛星から受信した航法メッセージに応じた認証用情報を、認証センタから受信する認証用情報受信部と、衛星受信機で受信した航法メッセージが正規の航法メッセージであることの認証を、当該航法メッセージに応じて認証用情報受信部で受信した認証用情報を用いて行うセンタ使用認証部とを備える航法メッセージ受信装置であって、航法メッセージには、複数の人工衛星間で整合性が取れる整合情報が含まれており、センタ使用認証部で認証が成立した航法メッセージに含まれる整合情報と整合性が取れる情報が、センタ使用認証部で認証が成立した航法メッセージの発信元とは異なる人工衛星である未認証衛星から衛星受信機で受信した航法メッセージに含まれるか否かを判定する整合性判定部と、整合性判定部で整合情報と整合性が取れる情報が含まれると判定した場合には、衛星受信機で受信した航法メッセージが正規のものであると判断する一方、整合性判定部で整合情報と整合性が取れる情報が含まれていないと判定した場合には、衛星受信機で受信した航法メッセージが正規のものであると判断しない簡易判断部とを備える。

　上記の航法メッセージ受信装置によれば、センタ使用認証部で認証が成立した航法メッセージに含まれる整合情報と整合性が取れる情報が、センタ使用認証部で認証が成立した航法メッセージの発信元とは異なる未認証衛星から衛星受信機で受信した航法メッセージに含まれると判定した場合に、未認証衛星から衛星受信機で受信した航法メッセージが正規のものであると判断する。つまり、認証センタとの通信を行わずに、センタ使用認証部で認証が成立した航法メッセージに含まれる整合情報と整合性が取れる情報を含むか否かによって、正規の航法メッセージであるかを判断する。

　整合情報は、複数の人工衛星間で整合性が取れるものであるため、正規のものとセンタ使用認証部で認証が成立した航法メッセージに含まれる整合情報と整合性が取れる情報を含む航法メッセージも、正規のものである可能性が高い。よって、上記の航法メッセージ受信装置によれば、１つの航法メッセージについてセンタ使用認証部で認証が成立すれば、その他の航法メッセージについては、認証センタとの通信を行わなくても、正規のものである可能性の高い航法メッセージを、正規のものであると判断することが可能になる。従って、自装置が認証センタから認証用情報を受信しなくてもよくなる分だけ、認証センタの通信処理負荷を軽減できる。

　その結果、衛星測位システムで用いられる人工衛星からの航法メッセージが正規のものであるかの認証に用いられる認証センタの通信処理負荷を抑えながらも、人工衛星からの航法メッセージが正規のものであるかを判断することが可能になる。

　本開示についての上記および他の目的、特徴や利点は、添付の図面を参照した下記の詳細な説明から、より明確になる。添付図面において
図１は、実施形態１における簡易認証システムの概略的な構成の一例を示す図である。図２は、認証センタの概略的な構成の一例を示すブロック図である。図３は、車載機の概略的な構成の一例を示すブロック図である。図４は、実施形態１における車載機での認証関連処理の流れの一例を示すフローチャートである。図５は、実施形態における車載機での簡易判断処理の流れの一例を示すフローチャートである。図６は、Ｓ３２の処理の一例について説明を行うための模式図である。図７は、変形例１における車載機２００での簡易判断処理の流れの一例を示すフローチャートである。

　以下、実施形態について図面を用いて説明する。

　（実施形態１）
　図１に示すように、実施形態１における簡易認証システム１は、モニタステーション１１０、認証センタ１２０、マスタコントロールステーション１３０及び車載機２００を含む。車載機２００を用いる車両を車両Ａとする。車載機２００が航法メッセージ受信装置に相当する。

　＜簡易認証システム１の概略構成＞
　モニタステーション１１０は、衛星測位システムの一つであるＧＰＳが備えるＧＰＳ衛星２ａ～２ｃが発信するＧＰＳ電波を受信する。ＧＰＳ衛星２ａ～２ｃが人工衛星に相当する。以降では、ＧＰＳ衛星２ａ～２ｃの個々を区別しない場合にはＧＰＳ衛星２と表現する。周知のように、ＧＰＳ電波には航法メッセージが含まれている。モニタステーション１１０は、受信したＧＰＳ電波を復調して航法メッセージを抽出し、認証センタ１２０へ送る。複数のＧＰＳ衛星２からＧＰＳ電波を受信した場合には、それぞれのＧＰＳ電波から航法メッセージを抽出して、認証センタ１２０へ送る。

　認証センタ１２０は、航法メッセージと暗号キーであるＨマトリクスとからパリティデータを作成する。そして、このパリティデータを含む信号をマスタコントロールステーション１３０に送る。また、車載機２００との間で通信も行う。この認証センタ１２０の詳細な説明は図２を用いて後に行う。

　マスタコントロールステーション１３０は、認証センタ１２０から受信したパリティデータを準天頂衛星（以下、ＱＺＳ衛星）３に送信する。ＱＺＳ衛星３は、パリティデータを含んだ航法メッセージを地上に向けて放送する。

　車載機２００は、航法メッセージ認証型（ＮＭＡ：Navigation Message Authentication）車載機である。車載機２００は、認証センタ１２０と通信を行い、ＧＰＳ衛星２から受信した航法メッセージが正規の航法メッセージであることの認証を行う。認証の詳細な説明については、図４を用いて後に行う。

　また、車載機２００は、複数のＧＰＳ衛星２から受信した航法メッセージを用いて自機器の現在位置を測位する。現在位置の測位には、最低でも３つのＧＰＳ衛星２から受信した航法メッセージを用いる。

　さらに、車載機２００は、自機器で認証が成立した航法メッセージを用いて、その航法メッセージとほぼ同じタイミングで受信していた他のＧＰＳ衛星２の航法メッセージが正規のものであるかを、認証センタ１２０へのアクセスなしに判断する簡易判断処理を行う。車載機２００の詳細な説明は、図３を用いて後に行う。

　＜認証センタ１２０の詳細構成＞
　図２に示すように、認証センタ１２０は、制御部１２２、データ記憶部１２４、通信部１２６を備える。

　制御部１２２は、ＣＰＵ、ＲＯＭ、ＲＡＭ等を備えたコンピュータであり、データ記憶部１２４、通信部１２６を制御する。また、ＣＰＵが、ＲＡＭの一時記憶機能を利用しつつＲＯＭに記憶されているプログラムを実行することで、ＲＡＮＤメッセージ生成部１２２１、ＳＥＥＤ値生成部１２２２、Ｈマトリクス計算部１２２３、パリティ計算部１２２４、信号加工部１２２５として機能する。なお、これら、各部１２２１～１２２５の機能は、特許文献１に開示されている機能を含んでいてもよい。

　ＲＡＮＤメッセージ生成部１２２１は、モニタステーション１１０から取得する航法メッセージから、ＲＡＮＤメッセージを作成する。ＲＡＮＤメッセージは、航法メッセージのビット列の中から、ＴＯＷ（time of week）のビット列のデータとエフェメリスデータのうちのクロック補正パラメータであるＴＯＣ、ＡＦ０、ＡＦ１とが順番に並んでいる。ＴＯＷ、ＴＯＣ、ＡＦ０、ＡＦ１が信号の発信時刻を特定するデータであって、発信時刻に相当する。さらに、その後に、アンチスプーフフラグであるＡＳＦｌａｇ、衛星番号であるＰＲＮ（Pseudo Random Noise）ＩＤが追加されている。

　ＴＯＷとＰＲＮＩＤを含んでいるＲＡＮＤは、どのＧＰＳ衛星がいつ発信したかを示すデータであると言える。また、ＴＯＷが６秒ごとに変化し、また、ＰＲＮＩＤを含んでいるので、モニタステーション１１０が受信したＧＰＳ衛星２ごと、かつ、６秒ごとにＲＡＮＤを生成することになる。

　ＳＥＥＤ値生成部１２２２は、ＰＣクロックを入力として乱数を発生させることで、ＳＥＥＤ値を生成する。

　Ｈマトリクス計算部１２２３は、ＳＥＥＤ値生成部１２２２が生成したＳＥＥＤ値を使い、このＳＥＥＤ値に一対一に対応するＨマトリクスを計算する。Ｈマトリクスとしては、周知のハッシュ関数を用いればよく、例えばＬＤＰＣ（Low Density Parity Check）符号化を行うためのパリティ検査行列を用いればよい。さらに、パリティ検査行列から決定される生成行列を用いてもよい。

　パリティ計算部１２２４は、ＲＡＮＤメッセージ生成部１２２１が生成したＲＡＮＤメッセージと、Ｈマトリクス計算部１２２３が計算したＨマトリクスに基づいて、パリティデータを計算する。

　信号加工部１２２５は、パリティ計算部１２２４が計算したパリティデータ、及びその計算に使用したＲＡＮＤメッセージを、ＱＺＳ衛星３から発信させる航法メッセージに挿入する。そして、挿入済みの航法メッセージをマスタコントロールステーション１３０に送る。

　さらに、信号加工部１２２５は、信号の挿入に合せて、パリティ計算部１２２４が計算したパリティデータ、パリティデータの計算に用いたＲＡＮＤメッセージ、Ｈマトリクス、Ｈマトリクスの計算に用いたＳＥＥＤ値を対応付けて、データ記憶部１２４に記憶する。

　この信号加工部１２２５は、ＲＡＮＤメッセージ生成部１２２１がＲＡＮＤメッセージを生成するごとに、ＲＡＮＤメッセージとパリティデータをＱＺＳ衛星３に送信させる航法メッセージに挿入する。よって、ＲＡＮＤメッセージ生成部１２２１、ＳＥＥＤ値生成部１２２２、Ｈマトリクス計算部１２２３、パリティ計算部１２２４も、ＲＡＮＤメッセージ生成部１２２１がＲＡＮＤメッセージを生成するごとに、処理を実行する。

　Ｈマトリクス選択部１２２６は、車載機２００から送信されてきたＰＲＮＩＤ、ＴＯＷ、公開キーを通信部１２６で受信した場合に、データ記憶部１２４に記憶されているＨマトリクスから、受信したＰＲＮＩＤ、ＴＯＷに対応するＨマトリクスを選択する。そして、選択したＨマトリクスを公開鍵で暗号化し、暗号化したＨマトリクスを車載機２００へ返信する。

　＜車載機２００の詳細構成＞
　ＱＺＳ衛星３が放送した航法メッセージは、車載機２００の通信部２１０が備える受信部２１１に受信される。図３に示すように、この車載機２００は、通信部２１０、制御部２２０、衛星受信機２３０を備える。

　通信部２１０は、受信部２１１と送信部２１２とを備える。通信部２１０は、広域通信機能を備えている。広域通信機能は、例えば、通信距離が数キロメートルであり、公衆通信回線網の基地局と通信を行うことにより、公衆通信回線網の通信圏内にある他の通信機器と通信することができる。広域通信機能により、認証センタ１２０の通信部１２６との間で通信を行う。

　衛星受信機２３０は、ＧＰＳ衛星２、ＱＺＳ衛星３が発信する電波を一定周期で受信する。衛星受信機２３０は、一定の周期ごとに、１周期内にＧＰＳ衛星２から受信した航法メッセージを車載機２００の制御部２２０に出力する。よって、１周期内に複数のＧＰＳ衛星２から航法メッセージを受信していた場合には、これらのＧＰＳ衛星２についての航法メッセージを制御部３２０に出力することになる。１周期内に受信した複数の航法メッセージは、ほぼ同じタイミングで受信した航法メッセージと言える。

　制御部２２０は、ＣＰＵ、ＲＯＭ、ＲＡＭ等を備えたコンピュータであり、通信部２１０、衛星受信機２３０を制御する。また、ＣＰＵが、ＲＡＭの一時記憶機能を利用しつつＲＯＭに記憶されているプログラムを実行することで、図４に示す認証関連処理や図５に示す簡易判断処理を実行する。

　＜認証関連処理＞
　続いて、車載機２００の制御部２２０が実行する、衛星受信機２３０で受信した信号がＧＰＳ衛星２から受信した正規の航法メッセージであることの認証に関連する処理（以下、認証関連処理）について、図４に示すフローチャートを用いて説明を行う。図４のフローチャートは、例えば衛星受信機２３０が前述の１周期内に受信した３つ以上のＧＰＳ衛星２からＧＰＳ電波を受信するごとに実行する構成とすればよい。

　ここで、衛星受信機２３０は、ＧＰＳ衛星２からの信号を複製するリピータや、ＧＰＳ衛星２からの信号を擬似的に生成可能なシミュレータからの信号を、ＧＰＳ電波に含まれる航法メッセージと誤って受信している場合もあるものとする。

　まず、ステップＳ１では、３つ以上の複数のＧＰＳ衛星２から受信したＧＰＳ電波に含まれる航法メッセージに基づいて自装置の現在位置を測位する。

　ステップＳ２では、ＱＺＳ衛星３から受信した航法メッセージを、受信部２１１から取得する。ステップＳ３では、Ｓ１で取得した航法メッセージから、ＰＲＮＩＤ、ＴＯＷを抽出する。

　ステップＳ４では、Ｓ３で抽出したＰＲＮＩＤとＴＯＷを公開鍵とともに、送信部２１２から認証センタ１２０へ送信する。前述したように、認証センタ１２０は、このＰＲＮＩＤとＴＯＷとにより定まるＨマトリクスを、公開鍵により暗号化して車載機２００へ送信する。車載機２００から認証センタ１２０に送信したＰＲＮＩＤとＴＯＷとにより定まるＨマトリクスが、認証用情報に相当する。

　ステップＳ５では、認証センタ１２０から送信されたＨマトリクスを受信部２１１から取得する。つまり、ＧＰＳ衛星２から受信した航法メッセージに応じたＨマトリクスを認証センタ１２０から受信する。このＳ５が認証用情報受信部に相当する。ステップＳ６では、Ｓ５で取得した、暗号化されたＨマトリクスを秘密鍵で復号する。

　ステップＳ７では、ＧＰＳ衛星２から受信したＧＰＳ電波に含まれる航法メッセージのうち、Ｓ４で送信したＰＲＮＩＤと同じＰＲＮＩＤを含んでいる航法メッセージから、ＲＡＮＤメッセージを作成する。

　ステップＳ８では、Ｓ７で作成したＲＡＮＤメッセージと、Ｓ６で復号したＨマトリクスとに基づいて、比較パリティデータを作成する。ステップＳ９では、Ｓ８で作成した比較パリティデータと、Ｓ３で抽出したパリティデータとが一致するか否かを判断する。

　Ｓ６で復号したＨマトリクスは、認証センタ１２０がパリティデータの作成に使用したＨマトリクスと同じである。そして、認証センタ１２０のパリティ計算部１２２４は、このＨマトリクスとＲＡＮＤメッセージとに基づいてパリティデータを計算している。

　よって、Ｓ８で作成した比較パリティデータが、Ｓ３で抽出したパリティデータと一致する場合、Ｓ７で作成したＲＡＮＤメッセージが、認証センタ１２０が作成したＲＡＮＤメッセージと同じであると考えることができる。

　そこで、Ｓ８で作成した比較パリティデータと、Ｓ３で抽出したパリティデータとが一致する場合（Ｓ９でＹＥＳ）には、ステップＳ１０に進み、認証成立とする。認証成立した場合、図４の処理を終了する。一方、２つのパリティデータが一致しない場合（Ｓ９でＮＯ）には、ステップＳ１１に進み、認証不成立とする。認証不成立であった場合には、Ｓ２に戻り、Ｓ１での測位に用いた全ての航法メッセージのうちの、１つでも認証成立となるまで処理を繰り返す。このように、認証関連処理では、ＧＰＳ衛星２から受信した航法メッセージに応じて認証センタ１２０から受信したＨマトリクス（つまり、認証用情報）を用いて認証を行う。このＳ９～Ｓ１１がセンタ使用認証部に相当する。

　＜簡易判断処理＞
　ここで、実施形態１における車載機２００の制御部３２０が実行する簡易判断処理について、図５に示すフローチャートを用いて説明を行う。図５のフローチャートは、測位に用いた複数の航法メッセージのうち、少なくとも１つの航法メッセージについて認証関連処理で認証が成立したときに開始する構成とすればよい。図５のフローチャートは、測位に用いた複数の航法メッセージのうち、認証関連処理で認証を未だに行っていない航法メッセージについてそれぞれ処理を行う構成とすればよい。

　まず、ステップＳ２１では、測位に用いた航法メッセージのうち、認証関連処理で認証が成立した航法メッセージ（つまり、認証済航法メッセージ）以外の航法メッセージ（以下、未認証航法メッセージ）を取得する。

　ステップＳ２２では、Ｓ２１で取得した未認証航法メッセージに含まれる発信時刻と、認証済航法メッセージに含まれる発信時刻とが一致しているか否かを判定する。ここで言うところの一致とは、完全に一致する場合だけでなく、誤差程度の範囲内で略一致する場合も含むものとする。認証済航法メッセージに含まれる発信時刻が整合情報に相当し、Ｓ２２が整合性判定部に相当する。

　ここで、Ｓ２２の処理の一例について、図６を用いて説明を行う。図６の例では、測位に用いられたＧＰＳ衛星のうち、ＧＰＳ衛星２ａから発信された航法メッセージについては、車載機２００で認証センタ１２０を用いた認証が成立しており、ＧＰＳ衛星２ｂから発信された航法メッセージについては認証が未だ行われていないものとする。

　また、ＧＰＳ衛星２ａから発信された航法メッセージ（つまり、認証済航法メッセージ）の発信時刻をＴｉ１とし、ＧＰＳ衛星２ｂから発信された航法メッセージ（つまり、未認証航法メッセージ）の発信時刻をＴｉ２とする。Ｓ２２の処理では、認証済航法メッセージの発信時刻（Ｔｉ１）と未認証航法メッセージの発信時刻（Ｔｉ２）とが一致しているか否かを判定する。

　衛星受信機２３０において１周期内に受信する複数の航法メッセージは、ＧＰＳ衛星２からの信号を複製するリピータやＧＰＳ衛星２からの信号を擬似的に生成可能なシミュレータが用いられていなければ、発信時刻が一致する関係にある。

　ステップＳ２３では、発信時刻が一致していると判定した場合（Ｓ２３でＹＥＳ）には、認証済航法メッセージに含まれていた発信時刻と整合性が取れる発信時刻が未認証航法メッセージに含まれると判定し、Ｓ２４に進む。Ｓ２４では、Ｓ２１で取得した未認証航法メッセージを、正規の航法メッセージであると判断し、処理を終了する。一方、発信時刻が一致していないと判定した場合（Ｓ２３でＮＯ）には、Ｓ２１で取得した未認証航法メッセージを、正規の航法メッセージであると判断せず、処理を終了する。このＳ２３～Ｓ２４が簡易判断部に相当する。

　なお、Ｓ２３でＮＯであった場合には、Ｓ２１で取得した未認証航法メッセージを、正規の航法メッセージでないと判断する構成としてもよい。

　＜実施形態１のまとめ＞
　実施形態１によれば、測位に用いた複数の航法メッセージのうち、１つの航法メッセージについて、認証センタ１２０を用いて車載機２００で認証が成立すると、測位に用いたその他の航法メッセージについては、発信時刻をもとに、正規のものであるかを判断することが可能になる。従って、測位に用いたその他の航法メッセージについて、車載機２００が認証センタ１２０からＨマトリクスを受信しなくてもよくなる分だけ、認証センタ１２０の通信処理負荷を軽減できる。

　リピータやシミュレータが用いられなければ、測位に用いた複数の航法メッセージに含まれる発信時刻は一致する。実施形態１では、この発信時刻が、認証が成立した航法メッセージと一致するか否かによって、正規の航法メッセージかを判断するので、リピータやシミュレータが用いられた場合に、航法メッセージを正規の航法メッセージと判断しないようにすることができる。よって、正規の航法メッセージと判断する精度を高めることができる。
＜変形例１＞
　実施形態１では、測位に用いた複数の航法メッセージのうちの、認証済航法メッセージに含まれる発信時刻と未認証航法メッセージに含まれる発信時刻とが一致するか否かによって、未認証航法メッセージが正規のものかを判断する構成を説明したが、必ずしもこれに限らない。

　例えば、同一のＧＰＳ衛星２について、認証済航法メッセージに含まれるＧＰＳ衛星２の軌道情報及びその認証済航法メッセージに含まれる発信時刻とから定まる衛星位置と、未認証航法メッセージに含まれるＧＰＳ衛星２の軌道情報及びその未認証航法メッセージに含まれる発信時刻とから定まる衛星位置とが一致するか否かによって、未認証航法メッセージが正規のものかを判断する構成（以下、変形例１）としてもよい。変形例１は、車載機２００の制御部２２０での処理が一部異なる点を除けば、実施形態１と同様である。詳しくは、変形例１では、制御部２２０での簡易判断処理の一部が、実施形態１と異なっている。

　航法メッセージには、周知のようにエフェメリスデータやアルマナックデータが含まれる。アルマナックデータには、航法メッセージの発信元のＧＰＳ衛星２に限らない、軌道上の全てのＧＰＳ衛星２についての軌道情報が含まれ、この軌道情報と航法メッセージの発信時刻とから、全てのＧＰＳ衛星２の衛星位置が算出できる。また、エフェメリスデータには、航法メッセージの発信元のＧＰＳ衛星２についての軌道情報が含まれ、この軌道情報と航法メッセージの発信時刻とから、この航法メッセージの発信元のＧＰＳ衛星２のより精度の高い衛星位置が算出できる。

　変形例１では、このアルマナックデータに含まれる軌道情報と、エフェメリスデータに含まれる軌道情報のうち、アルマナックデータに含まれる軌道情報を用いる。以降では、アルマナックデータに含まれる軌道情報を単に軌道情報と呼ぶ。

　＜変形例１における簡易判断処理＞
　ここで、変形例１における車載機２００の制御部２２０が実行する簡易判断処理について、図７に示すフローチャートを用いて説明を行う。図７のフローチャートも、測位に用いた複数の航法メッセージのうち、少なくとも１つの航法メッセージについて認証関連処理で認証が成立したときに開始する構成とすればよい。図７のフローチャートも、測位に用いた複数の航法メッセージのうち、認証関連処理で認証を未だに行っていない航法メッセージについてそれぞれ処理を行う構成とすればよい。

　図７の例では、認証済航法メッセージの発信元のＧＰＳ衛星２がＧＰＳ衛星２ａである場合を例に挙げて説明を行う。

　まず、ステップＳ３１では、前述のＳ２１と同様にして、測位に用いた航法メッセージのうち、認証済航法メッセージ以外の未認証航法メッセージを取得する。

　ステップＳ３２では、測位に用いた認証済航法メッセージに含まれる発信時刻と、認証済航法メッセージに含まれるＧＰＳ衛星２ａの軌道情報から、ＧＰＳ衛星２ａの位置を算出する。よって、発信時刻及び軌道情報が衛星位置算出用情報に相当する。

　ステップＳ３３では、測位に用いた未認証航法メッセージに含まれる発信時刻と、未認証航法メッセージに含まれるＧＰＳ衛星２ａの軌道情報から、ＧＰＳ衛星２ａの位置を算出する。認証済航法メッセージの発信元のＧＰＳ衛星２ａ以外のＧＰＳ衛星２から受信した未認証航法メッセージに含まれる軌道情報からＧＰＳ衛星２ａの衛星位置が算出できる理由は以下の通りである。認証済航法メッセージの発信元のＧＰＳ衛星２ａ以外のＧＰＳ衛星２が未認証衛星に相当する。

　アルマナックデータに含まれる軌道情報には、未認証航法メッセージの発信元のＧＰＳ衛星２以外のＧＰＳ衛星２ａについての軌道情報も含まれている。また、衛星受信機２３０において１周期内に受信する複数の航法メッセージは、前述のリピータやシミュレータが用いられていなければ、発信時刻が一致する関係にある。よって、未認証航法メッセージに含まれる発信時刻と軌道情報とからでも、ＧＰＳ衛星２ａの衛星位置が算出できる。

　ステップＳ３４では、Ｓ３２で算出したＧＰＳ衛星２ａの衛星位置と、Ｓ３３で算出したＧＰＳ衛星２ａの衛星位置とが一致しているか否かを判定する。ここで言うところの一致とは、完全に一致する場合だけでなく、誤差程度の範囲内で略一致する場合も含むものとする。このＳ３４が整合性判定部に相当する。

　前述のリピータやシミュレータが用いられていなければ、測位に用いられた未認証航法メッセージと認証済航法メッセージとは発信時刻が一致する筈である。従って、リピータやシミュレータが用いられていなければ、未認証航法メッセージに含まれる発信時刻と軌道情報とから、認証済航法メッセージに含まれる発信時刻と軌道情報とから算出されるＧＰＳ衛星２ａの衛星位置と同じ衛星位置が算出できる。従って、リピータやシミュレータが用いられていなければ、Ｓ３２で算出したＧＰＳ衛星２ａの衛星位置と、Ｓ３３で算出したＧＰＳ衛星２ａの衛星位置とが一致することになる。

　ステップＳ３５では、衛星位置が一致していると判定した場合（Ｓ３５でＹＥＳ）には、認証済航法メッセージに含まれていた軌道情報及び発信時刻と整合性が取れる軌道情報及び発信時刻が未認証航法メッセージに含まれると判定し、Ｓ３６に進む。Ｓ３６では、Ｓ３１で取得した未認証航法メッセージを、正規の航法メッセージであると判断し、処理を終了する。一方、衛星位置が一致していないと判定した場合（Ｓ３５でＮＯ）には、Ｓ３１で取得した未認証航法メッセージを、正規の航法メッセージであると判断せず、処理を終了する。このＳ３５～Ｓ３６も簡易判断部に相当する。

　なお、Ｓ３５でＮＯであった場合には、Ｓ３１で取得した未認証航法メッセージを、正規の航法メッセージでないと判断する構成としてもよい。

　＜変形例１のまとめ＞
　変形例１によっても、実施形態１と同様に、測位に用いた複数の航法メッセージのうち、１つの航法メッセージについて、認証センタ１２０を用いて車載機２００で認証が成立すると、測位に用いたその他の航法メッセージについては、軌道情報及び発信時刻から算出される衛星位置から、正規のものであるかを判断することが可能になる。従って、測位に用いたその他の航法メッセージについて、車載機２００が認証センタ１２０からＨマトリクスを受信しなくてもよくなる分だけ、認証センタ１２０の通信処理負荷を軽減できる。

　リピータやシミュレータが用いられると、測位に用いた複数の航法メッセージに含まれる発信時刻が一致しないようになり、発信時刻と軌道情報とから算出される同一のＧＰＳ衛星２の衛星位置についても一致しないようになる。実施形態１では、この衛星位置が、認証が成立した航法メッセージと一致するか否かによって、正規の航法メッセージかを判断するので、リピータやシミュレータが用いられた場合に、航法メッセージを正規の航法メッセージと判断しないようにすることができる。よって、正規の航法メッセージと判断する精度を高めることができる。

　なお、変形例１では、一致を判定する衛星位置として、認証済航法メッセージの発信元のＧＰＳ衛星２ａの衛星位置を用いる場合を例に挙げて説明を行ったが、測位に用いた航法メッセージの発信元のＧＰＳ衛星２であれば、ＧＰＳ衛星２ａ以外の衛星位置を用いる構成としてもよい。

　＜変形例２＞
　なお、前述の実施形態では、ＧＰＳ衛星２から受信した航法メッセージのみを測位に用いた場合の例を挙げて説明を行ったが、ＱＺＳ衛星３から受信した航法メッセージを測位に用いる構成としてもよい。この場合、ＱＺＳ衛星３から受信した航法メッセージの認証についても、ＧＰＳ衛星２の場合と同様にして行う構成とすればよい。

　変形例２の一例としては、ＱＺＳ衛星３からモニタステーション１１０で受信した航法メッセージからＲＡＮＤメッセージを生成し、このＲＡＮＤメッセージをもとに認証センタ１２０でパリティデータを作成する。そして、作成したパリティデータをマスタコントロールステーション１３０に送り、そのパリティデータをマスタコントロールステーション１３０からＱＺＳ衛星３に送信する。ＱＺＳ衛星３は、そのパリティデータを含んだ航法メッセージを地上に向けて放送する。

　車載機２００は、ＱＺＳ衛星３から受信した航法メッセージからＲＡＮＤメッセージを作成し、このＲＡＮＤメッセージと認証センタ１２０から取得するＨマトリクスとから比較パリティデータを作成する。そして、作成した比較パリティデータと、ＱＺＳ衛星３から受信したパリティデータとを比較することで認証を行う構成とすればよい。

　＜変形例３＞
　前述の実施形態で説明した航法メッセージ認証型の認証方法はあくまで一例であり、認証機関へのアクセスが必要な認証方法であれば、他の認証方法を用いる構成（以下、変形例３）としてもよい。

　＜変形例４＞
　前述の実施形態では、車両で用いられる車載機２００を例に挙げて説明を行ったが、必ずしもこれに限らない。例えば、車載機２００と同様の航法メッセージ受信装置を、ユーザに携帯される携帯端末等に適用する構成としてもよい。

　以上、本開示に係る実施形態および構成を例示したが、本開示に係る実施形態および構成は、上述した各実施形態および各構成に限定されるものではない。異なる実施形態および構成にそれぞれ開示された技術的要素を適宜組み合わせて得られる実施形態および構成についても本開示に係る実施形態および構成の範囲に含まれる。

Claims

　衛星測位システムで用いられる人工衛星からの航法メッセージを受信する衛星受信機（２３０）と、
　前記人工衛星から受信した前記航法メッセージに応じた認証用情報を、認証センタから受信する認証用情報受信部（Ｓ５）と、
　前記衛星受信機で受信した前記航法メッセージが正規の航法メッセージであることの認証を、当該航法メッセージに応じて前記認証用情報受信部で受信した認証用情報を用いて行うセンタ使用認証部（Ｓ９～Ｓ１１）とを備える航法メッセージ受信装置（２００）であって、
　前記航法メッセージには、複数の前記人工衛星間で整合性が取れる整合情報が含まれており、
　前記センタ使用認証部で認証が成立した航法メッセージに含まれる整合情報と整合性が取れる情報が、前記センタ使用認証部で認証が成立した航法メッセージの発信元とは異なる前記人工衛星である未認証衛星から前記衛星受信機で受信した航法メッセージに含まれるか否かを判定する整合性判定部（Ｓ２２、Ｓ３４）と、
　前記整合性判定部によって、前記整合情報と整合性が取れる情報が前記未認証衛星から前記衛星受信機で受信した航法メッセージに含まれると判定された場合には、前記衛星受信機で受信した前記航法メッセージが正規のものであると判断する一方、前記整合性判定部によって、前記整合情報と整合性が取れる情報が前記未認証衛星から前記衛星受信機で受信した航法メッセージに含まれていないと判定された場合には、前記衛星受信機で受信した前記航法メッセージが正規のものであると判断しない簡易判断部（Ｓ２３、Ｓ２４、Ｓ３５、Ｓ３６）と、をさらに備える航法メッセージ受信装置。
　請求項１において、
　前記整合情報は、前記航法メッセージの発信時刻であって、
　前記整合性判定部（Ｓ３２）は、前記センタ使用認証部で認証が成立した航法メッセージに含まれる発信時刻と、前記未認証衛星から前記衛星受信機で受信した航法メッセージに含まれる発信時刻とが一致するか否かによって、前記整合性が取れる情報が前記未認証衛星から前記衛星受信機で受信した航法メッセージに含まれているか否かを判定する航法メッセージ受信装置。
　請求項１において、
　前記航法メッセージには、当該航法メッセージの発信元の前記人工衛星だけでなく、当該人工衛星以外の前記人工衛星の衛星位置を算出できる衛星位置算出用情報が含まれており、
　前記整合情報は、前記衛星位置算出用情報であって、
　前記整合性判定部（Ｓ３４）は、前記センタ使用認証部で認証が成立した航法メッセージに含まれる前記衛星位置算出用情報から算出できる前記未認証衛星の衛星位置と、前記未認証衛星から前記衛星受信機で受信した航法メッセージに含まれる前記衛星位置算出用情報から算出できる前記未認証衛星の衛星位置とが一致するか否かによって、前記整合性が取れる情報が前記未認証衛星から前記衛星受信機で受信した航法メッセージに含まれているか否かを判定する航法メッセージ受信装置。