WO2015129205A1

WO2015129205A1 - 航法メッセージ受信装置

Info

Publication number: WO2015129205A1
Application number: PCT/JP2015/000745
Authority: WO
Inventors: 貴久山城; 正剛隈部
Original assignee: 株式会社デンソー
Priority date: 2014-02-27
Filing date: 2015-02-18
Publication date: 2015-09-03
Also published as: DE112015001030T5; SG11201606728WA; JP2015161590A; CN106030340B; JP6252247B2; CN106030340A

Abstract

　衛星測位システムで用いられる人工衛星からの航法メッセージが正規のものであるかを判断する航法メッセージ受信装置を提供する。一実施形態の航法メッセージ受信装置は、認証センタ（１２０）との通信で認証が成立した航法メッセージの発信元の人工衛星から衛星受信機（２３０）で新たに受信した航法メッセージと、認証センタ（１２０）との通信で認証が成立した航法メッセージとの間に連続性があると判定した場合に、新たに受信した航法メッセージが正規のものであると判断する。

Description

航法メッセージ受信装置

関連出願の相互参照

　本出願は、２０１４年２月２７日に出願された日本国特許出願２０１４－３７０４８号に基づくものであり、これをここに参照により援用する。

　本開示は、衛星測位システムで用いられる人工衛星から航法メッセージを受信する航法メッセージ受信装置に関するものである。

　従来、衛星測位システムで用いられる人工衛星から発信される航法メッセージを受信機によって受信し、位置を測位する技術が知られている。

　しかしながら、近年では、人工衛星からの信号を複製するリピータや、人工衛星からの信号を擬似的に生成可能なシミュレータ等の開発により、悪意の行為者による位置情報の改竄やなりすましが発生してきている。

　これに対して、特許文献１には、受信機が受信した航法メッセージが、衛星測位システムで用いられる人工衛星からの正規の航法メッセージであるかの認証を行う技術が開示されている。特許文献１に開示の技術では、受信機は、認証センタのデータベースにアクセスし、人工衛星から受信した航法メッセージに含まれる衛星番号と衛星時刻から、対象とする人工衛星の認証に用いるデータを取得する。そして、受信機は、認証センタから取得したデータを用いて、受信した航法メッセージが、衛星測位システムで用いられる人工衛星からの正規の航法メッセージであるかの認証を行う。

特開２０１３－１３０３９５号公報

　本願発明者は、特許文献１に開示の技術に関し以下を見出した。

　特許文献１に開示の技術では、受信機が測位のたびに、測位に用いた複数の人工衛星からの航法メッセージの個々について、認証センタと通信を行って正規の航法メッセージであるかの認証を行う必要がある。よって、各受信機と認証センタとが頻繁に通信を行う必要が生じ、認証センタの通信処理負荷が膨大になってしまう。

　本開示は、上記に鑑みなされたものであって、その目的は、衛星測位システムで用いられる人工衛星からの航法メッセージが正規のものであるかの認証に用いられる認証センタの通信処理負荷を抑えながらも、人工衛星からの航法メッセージが正規のものであるかを判断することを可能にする航法メッセージ受信装置を提供することにある。

　本開示の一例に係る航法メッセージ受信装置は、衛星測位システムで用いられる人工衛星からの航法メッセージを受信する衛星受信機と、人工衛星から受信した航法メッセージに応じた認証用情報を、認証センタから受信する認証用情報受信部と、衛星受信機で受信した航法メッセージが正規のものであることの認証を、その航法メッセージに応じて認証用情報受信部で受信した認証用情報を用いて行うセンタ使用認証部とを備える航法メッセージ受信装置であって、センタ使用認証部で認証が成立した航法メッセージの発信元の人工衛星から、衛星受信機で新たな航法メッセージを受信した場合に、センタ使用認証部で認証が成立した航法メッセージと新たな航法メッセージとの間に連続性があるか否かを判定する連続性判定部と、連続性判定部で連続性があると判定した場合には、新たな航法メッセージが正規のものであると判断する一方、連続性判定部で連続性がないと判定した場合には、新たな航法メッセージが正規のものであると判断しない簡易判断部とを備える。

　上記の航法メッセージ受信装置によれば、センタ使用認証部で認証が成立した航法メッセージと、その航法メッセージの発信元の人工衛星から新たに受信した航法メッセージとの間に連続性があると判定した場合に、この新たな航法メッセージが正規のものであると判断する。つまり、認証センタとの通信を行わずに、センタ使用認証部で認証が成立した航法メッセージと連続性があるか否かによって、正規の航法メッセージであるかを判断する。

　正規のものとセンタ使用認証部で認証が成立した航法メッセージと同じ人工衛星から発信された航法メッセージであって、且つ、その航法メッセージと連続性がある航法メッセージも、正規のものである可能性が高い。よって、上記の航法メッセージ受信装置によれば、ある人工衛星からの航法メッセージについてセンタ使用認証部で認証が成立すれば、その人工衛星からその後に発信される航法メッセージについては、認証センタとの通信を行わなくても、正規のものである可能性の高い航法メッセージを、正規のものであると判断することが可能になる。従って、自装置が認証センタから認証用情報を受信しなくてもよくなる分だけ、認証センタの通信処理負荷を軽減できる。

　その結果、衛星測位システムで用いられる人工衛星からの航法メッセージが正規のものであるかの認証に用いられる認証センタの通信処理負荷を抑えながらも、人工衛星からの航法メッセージが正規のものであるかを判断することが可能になる。

　本開示についての上記および他の目的、特徴や利点は、添付の図面を参照した下記の詳細な説明から、より明確になる。添付図面において
図１は、実施形態１における簡易認証システムの概略的な構成の一例を示す図である。図２は、認証センタの概略的な構成の一例を示すブロック図である。図３は、車載機の概略的な構成の一例を示すブロック図である。図４は、実施形態１における車載機での認証関連処理の流れの一例を示すフローチャートである。図５は、実施形態１における車載機での簡易判断処理の流れの一例を示すフローチャートである。図６は、Ｓ２４の処理の一例について説明を行うための模式図である。図７は、変形例１における車載機での簡易判断処理の流れの一例を示すフローチャートである。図８は、Ｓ３５の処理の一例について説明を行うための模式図である。

　以下、本開示の実施形態について図面を用いて説明する。

　（実施形態１）
　図１に示すように、実施形態１における簡易認証システム１は、モニタステーション１１０、認証センタ１２０、マスタコントロールステーション１３０、及び車載機２００を含む。車載機２００を用いる車両を車両Ａとする。車載機２００が航法メッセージ受信装置に相当する。

　＜簡易認証システム１の概略構成＞
　モニタステーション１１０は、衛星測位システムの一つであるＧＰＳが備えるＧＰＳ衛星２ａ～２ｃが発信するＧＰＳ電波を受信する。ＧＰＳ衛星２ａ～２ｃが人工衛星に相当する。以降では、ＧＰＳ衛星２ａ～２ｃの個々を区別しない場合にはＧＰＳ衛星２と表現する。周知のように、ＧＰＳ電波には航法メッセージが含まれている。モニタステーション１１０は、受信したＧＰＳ電波を復調して航法メッセージを抽出し、認証センタ１２０へ送る。複数のＧＰＳ衛星２からＧＰＳ電波を受信した場合には、それぞれのＧＰＳ電波から航法メッセージを抽出して、認証センタ１２０へ送る。

　認証センタ１２０は、航法メッセージと暗号キーであるＨマトリクスとからパリティデータを作成する。そして、このパリティデータを含む信号をマスタコントロールステーション１３０に送る。また、車載機２００との間で通信も行う。この認証センタ１２０の詳細な説明は図２を用いて後に行う。

　マスタコントロールステーション１３０は、認証センタ１２０から受信したパリティデータを準天頂衛星（以下、ＱＺＳ衛星）３に送信する。ＱＺＳ衛星３は、パリティデータを含んだ航法メッセージを地上に向けて放送する。

　車載機２００は、航法メッセージ認証型（ＮＭＡ：Navigation Message Authentication）車載機である。車載機２００は、認証センタ１２０と通信を行い、ＧＰＳ衛星２から
受信した航法メッセージが正規の航法メッセージであることの認証を行う。認証の詳細な説明については、図４を用いて後に行う。

　また、車載機２００は、複数のＧＰＳ衛星２から受信した航法メッセージを用いて自機器の現在位置を測位する。現在位置の測位には、最低でも３つのＧＰＳ衛星２から受信した航法メッセージを用いる。

　さらに、車載機２００は、過去に認証が成立した航法メッセージを用いて、新たに受信した航法メッセージが正規のものであるかを、認証センタ１２０へのアクセスなしに判断する簡易認証判断処理を行う。車載機２００の詳細な説明は、図３を用いて後に行う。

　＜認証センタ１２０の詳細構成＞
　図２に示すように、認証センタ１２０は、制御部１２２、データ記憶部１２４、通信部１２６を備える。

　制御部１２２は、ＣＰＵ、ＲＯＭ、ＲＡＭ等を備えたコンピュータであり、データ記憶部１２４、通信部１２６を制御する。また、ＣＰＵが、ＲＡＭの一時記憶機能を利用しつつＲＯＭに記憶されているプログラムを実行することで、ＲＡＮＤメッセージ生成部１２２１、ＳＥＥＤ値生成部１２２２、Ｈマトリクス計算部１２２３、パリティ計算部１２２４、信号加工部１２２５として機能する。なお、これら、各部１２２１～１２２５の機能は、特許文献１に開示されている機能を含んでいても良い。

　ＲＡＮＤメッセージ生成部１２２１は、モニタステーション１１０から取得する航法メッセージから、ＲＡＮＤメッセージを作成する。ＲＡＮＤメッセージは、航法メッセージのビット列の中から、ＴＯＷ（time of week）のビット列のデータとエフェメリスデータのうちのクロック補正パラメータであるＴＯＣ、ＡＦ０、ＡＦ１とが順番に並んでいる。ＴＯＷ、ＴＯＣ、ＡＦ０、ＡＦ１が信号の発信時刻を特定するデータであって、発信時刻に相当する。さらに、その後に、アンチスプーフフラグであるＡＳＦｌａｇ、
衛星番号であるＰＲＮ（Pseudo Random Noise）ＩＤが追加されている。

　ＴＯＷとＰＲＮＩＤを含んでいるＲＡＮＤは、どのＧＰＳ衛星がいつ発信したかを示すデータであると言える。また、ＴＯＷが６秒ごとに変化し、また、ＰＲＮＩＤを含んでいるので、モニタステーション１１０が受信したＧＰＳ衛星２ごと、かつ、６秒ごとにＲＡＮＤを生成することになる。

　ＳＥＥＤ値生成部１２２２は、ＰＣクロックを入力として乱数を発生させることで、ＳＥＥＤ値を生成する。

　Ｈマトリクス計算部１２２３は、ＳＥＥＤ値生成部１２２２が生成したＳＥＥＤ値を使い、このＳＥＥＤ値に一対一に対応するＨマトリクスを計算する。Ｈマトリクスとしては、周知のハッシュ関数を用いればよく、例えばＬＤＰＣ（Low Density Parity Check）符号化を行うためのパリティ検査行列を用いればよい。さらに、パリティ検査行列から決定される生成行列を用いてもよい。

　パリティ計算部１２２４は、ＲＡＮＤメッセージ生成部１２２１が生成したＲＡＮＤメッセージと、Ｈマトリクス計算部１２２３が計算したＨマトリクスに基づいて、パリティデータを計算する。

　信号加工部１２２５は、パリティ計算部１２２４が計算したパリティデータ、及びその計算に使用したＲＡＮＤメッセージを、ＱＺＳ衛星３から発信させる航法メッセージに挿入する。そして、挿入済みの航法メッセージをマスタコントロールステーション１３０に送る。

　さらに、信号加工部１２２５は、信号の挿入に合せて、パリティ計算部１２２４が計算したパリティデータ、パリティデータの計算に用いたＲＡＮＤメッセージ、Ｈマトリクス、Ｈマトリクスの計算に用いたＳＥＥＤ値を対応付けて、データ記憶部１２４に記憶する。

　この信号加工部１２２５は、ＲＡＮＤメッセージ生成部１２２１がＲＡＮＤメッセージを生成するごとに、ＲＡＮＤメッセージとパリティデータをＱＺＳ衛星３に送信させる航法メッセージに挿入する。よって、ＲＡＮＤメッセージ生成部１２２１、ＳＥＥＤ値生成部１２２２、Ｈマトリクス計算部１２２３、パリティ計算部１２２４も、ＲＡＮＤメッセージ生成部１２２１がＲＡＮＤメッセージを生成するごとに、処理を実行する。

　Ｈマトリクス選択部１２２６は、車載機２００から送信されてきたＰＲＮＩＤ、ＴＯＷ、公開キーを通信部１２６で受信した場合に、データ記憶部１２４に記憶されているＨマトリクスから、受信したＰＲＮＩＤ、ＴＯＷに対応するＨマトリクスを選択する。そして、選択したＨマトリクスを公開鍵で暗号化し、暗号化したＨマトリクスを車載機２００へ返信する。

　＜車載機２００の詳細構成＞
　ＱＺＳ衛星３が放送した航法メッセージは、車載機２００の通信部２１０が備える受信部２１１に受信される。図３に示すように、この車載機２００は、通信部２１０、制御部２２０、衛星受信機２３０を備える。

　通信部２１０は、受信部２１１と送信部２１２とを備える。通信部２１０は広域通信機能を備えている。広域通信機能は、例えば、通信距離が数キロメートルであり、公衆通信回線網の基地局と通信を行うことにより、公衆通信回線網の通信圏内にある他の通信機器と通信することができる。広域通信機能により、認証センタ１２０の通信部１２６との間で通信を行う。

　衛星受信機２３０は、ＧＰＳ衛星２、ＱＺＳ衛星３が発信する電波を一定周期で受信する。

　制御部２２０は、ＣＰＵ、ＲＯＭ、ＲＡＭ等を備えたコンピュータであり、通信部２１０、衛星受信機２３０を制御する。また、ＣＰＵが、ＲＡＭの一時記憶機能を利用しつつＲＯＭに記憶されているプログラムを実行することで、図４に示す認証関連処理や図５に示す簡易判断処理を実行する。

　＜認証関連処理＞
　続いて、車載機２００の制御部２２０が実行する、衛星受信機２３０で受信した信号がＧＰＳ衛星２から受信した正規の航法メッセージであることの認証に関連する処理（以下、認証関連処理）について、図４に示すフローチャートを用いて説明を行う。図４のフローチャートは、例えば衛星受信機２３０が３つ以上のＧＰＳ衛星２からＧＰＳ電波を受信するごとに実行する構成とすればよい。

　ここで、衛星受信機２３０は、ＧＰＳ衛星２からの信号を複製するリピータや、ＧＰＳ衛星２からの信号を擬似的に生成可能なシミュレータからの信号を、ＧＰＳ電波に含まれる航法メッセージと誤って受信している場合もあるものとする。

　まず、ステップＳ１では、３つ以上の複数のＧＰＳ衛星２から受信したＧＰＳ電波に含まれる航法メッセージに基づいて自装置の現在位置を測位する。

　ステップＳ２では、ＱＺＳ衛星３から受信した航法メッセージを、受信部２１１から取得する。ステップＳ３では、Ｓ１で取得した航法メッセージから、ＰＲＮＩＤ、ＴＯＷを抽出する。

　ステップＳ４では、Ｓ３で抽出したＰＲＮＩＤとＴＯＷを公開鍵とともに、送信部２１２から認証センタ１２０へ送信する。前述したように、認証センタ１２０は、このＰＲＮＩＤとＴＯＷとにより定まるＨマトリクスを、公開鍵により暗号化して車載機２００へ送信する。車載機２００から認証センタ１２０に送信したＰＲＮＩＤとＴＯＷとにより定まるＨマトリクスが、認証用情報に相当する。

　ステップＳ５では、認証センタ１２０から送信されたＨマトリクスを受信部２１１から取得する。つまり、ＧＰＳ衛星２から受信した航法メッセージに応じたＨマトリクスを認証センタ１２０から受信する。このＳ５が認証用情報受信部に相当する。ステップＳ６では、Ｓ５で取得した、暗号化されたＨマトリクスを秘密鍵で復号する。

　ステップＳ７では、ＧＰＳ衛星２から受信したＧＰＳ電波に含まれる航法メッセージのうち、Ｓ４で送信したＰＲＮＩＤと同じＰＲＮＩＤを含んでいる航法メッセージから、ＲＡＮＤメッセージを作成する。

　ステップＳ８では、Ｓ７で作成したＲＡＮＤメッセージと、Ｓ６で復号したＨマトリクスとに基づいて、比較パリティデータを作成する。ステップＳ９では、Ｓ８で作成した比較パリティデータと、Ｓ３で抽出したパリティデータとが一致するか否かを判断する。

　Ｓ６で復号したＨマトリクスは、認証センタ１２０がパリティデータの作成に使用したＨマトリクスと同じである。そして、認証センタ１２０のパリティ計算部１２２４は、このＨマトリクスとＲＡＮＤメッセージとに基づいてパリティデータを計算している。

　よって、Ｓ８で作成した比較パリティデータが、Ｓ３で抽出したパリティデータと一致する場合、Ｓ７で作成したＲＡＮＤメッセージが、認証センタ１２０が作成したＲＡＮＤメッセージと同じであると考えることができる。

　そこで、Ｓ８で作成した比較パリティデータと、Ｓ３で抽出したパリティデータとが一致する場合（Ｓ９でＹＥＳ）には、ステップＳ１０に進み、認証成立とする。一方、２つのパリティデータが一致しない場合（Ｓ９でＮＯ）には、ステップＳ１１に進み、認証不成立とする。このように、認証関連処理では、ＧＰＳ衛星２から受信した航法メッセージに応じて認証センタ１２０から受信したＨマトリクス（つまり、認証用情報）を用いて認証を行う。Ｓ１０、Ｓ１１の後は、ステップＳ１２に進む。このＳ９～Ｓ１１がセンタ使用認証部に相当する。

　ステップＳ１２では、Ｓ１での測位に用いた全ての航法メッセージについて、認証成立か不成立かの判断が完了した場合（Ｓ１２でＹＥＳ）には、図４の処理を終了する。一方、Ｓ１での測位に用いた全ての航法メッセージのうちの、１つでも認証成立か不成立かの判断が完了していない場合（Ｓ１２でＮＯ）には、Ｓ２に戻って処理を繰り返す。

　車載機２００は、図４に示す認証関連処理で認証が成立した航法メッセージ（以下、認証済航法メッセージ）の受信時刻を、その認証済航法メッセージと紐付けて、制御部２２０のバックアップＲＡＭ等の不揮発性メモリに記憶する。なお、受信時刻と紐付けて記憶するのは、認証済航法メッセージに含まれる衛星番号及び発信時刻に絞る構成としてもよい。

　＜簡易判断処理＞
　続いて、実施形態１における車載機２００の制御部２２０が実行する簡易判断処理について、図５に示すフローチャートを用いて説明を行う。図５のフローチャートは、例えば、車載機２００の衛星受信機２３０がＧＰＳ衛星２からの航法メッセージを受信したときに開始する構成とすればよい。図５のフローチャートは、衛星受信機２３０から制御部２２０へ逐次行われる出力の１周期内に、複数のＧＰＳ衛星２の航法メッセージを衛星受信機２３０で受信していた場合には、その複数のＧＰＳ衛星２の航法メッセージについてそれぞれ処理を行う構成とすればよい。

　まず、ステップＳ２１では、衛星受信機２３０が受信した航法メッセージを、衛星受信機２３０から取得する。

　ステップＳ２２では、Ｓ２１で取得した航法メッセージに含まれる衛星番号と、制御部２２０のメモリに記憶済みの認証済航法メッセージに含まれる衛星番号とが一致しているか否かを判定する。

　ステップＳ２３では、衛星番号が一致していると判定した場合（Ｓ２３でＹＥＳ）には、Ｓ２４に進む。一方、衛星番号が一致していないと判定した場合（Ｓ２３でＮＯ）には、処理を終了する。なお、衛星番号が一致していないと判定される場合とは、制御部２２０のメモリに認証済航法メッセージが１つも記憶されていない場合も含まれる。

　ステップＳ２４では、Ｓ２３で衛星番号が一致していると判定した、Ｓ２１で取得した航法メッセージと、認証済航法メッセージとに連続性があるか否かを判定する。詳しくは、衛星受信機２３０で新たに受信した航法メッセージに含まれる発信時刻と、認証済航法メッセージに含まれる発信時刻とに、認証済航法メッセージを受信してから新たに航法メッセージを受信するまでの受信時刻差に応じた連続性があるか否かを判定する。このＳ２４が連続性判定部に相当する。

　ここで、Ｓ２４の処理の一例について、図６を用いて説明を行う。図６の例では、ＧＰＳ衛星２ａから発信された航法メッセージについて、車載機２００で認証センタ１２０を用いた認証が成立し、その後に車載機２００がＧＰＳ衛星２ａから発信された航法メッセージを受信しているものとする。

　また、車載機２００で認証センタ１２０を用いた認証が成立した航法メッセージ（つまり、認証済航法メッセージ）の発信時刻をＴｉ１、その航法メッセージの車載機２００での受信時刻をＴｏ１とし、その後に車載機２００でＧＰＳ衛星２ａから新たに受信した航法メッセージの発信時刻をＴｉ２、受信時刻をＴｏ２とする。

　Ｓ２４の処理では、Ｓ２１で取得した航法メッセージの受信時刻（Ｔｏ２）から、認証済航法メッセージの受信時刻（Ｔｏ１）を差し引き、認証済航法メッセージの受信時刻からＳ２１で取得した航法メッセージの受信時刻までの受信時刻差（Ｔｏ２－Ｔｏ１）を算出する。

　続いて、算出した受信時刻差（Ｔｏ２－Ｔｏ１）を、認証済航法メッセージに含まれる発信時刻（Ｔｉ１）に加えた時刻（Ｔｉ１＋（Ｔｏ２－Ｔｏ１））と、Ｓ２１で取得した航法メッセージに含まれる発信時刻（Ｔｉ２）とが一致するか否かを判定する。ここで言うところの一致とは、完全に一致する場合だけでなく、誤差程度の範囲内で略一致する場合も含むものとする。ここで言うところの一致するとは、整合性が取れていると言い換えることもできる。

　そして、時刻（Ｔｉ１＋（Ｔｏ２－Ｔｏ１））と発信時刻（Ｔｉ２）とが一致すると判定した場合には、認証済航法メッセージに含まれる発信時刻と、Ｓ２１で取得した航法メッセージに含まれる発信時刻とに連続性があると判定する。一方、一致しないと判定した場合には、連続性がないと判定する。

　なお、Ｓ２４の処理では、Ｓ２１で取得した航法メッセージの受信時刻（Ｔｏ２）から、認証済航法メッセージの受信時刻（Ｔｏ１）を差し引いた時間（Ｔｏ２－Ｔｏ１）と、Ｓ２１で取得した航法メッセージに含まれる発信時刻（Ｔｉ２）から、認証済航法メッセージに含まれる発信時刻（Ｔｉ１）を差し引いた時間（Ｔｉ２－Ｔｉ１）とが一致するか否かを判定する構成としてもよい。

　そして、時間（Ｔｏ２－Ｔｏ１）と、時間（Ｔｉ２－Ｔｉ１）とが一致すると判定した場合には、認証済航法メッセージに含まれる発信時刻と、Ｓ２１で取得した航法メッセージに含まれる発信時刻とに連続性があると判定し、一致しないと判定した場合には、連続性がないと判定する構成としてもよい。

　図５に戻って、ステップＳ２５では、認証済航法メッセージに含まれる発信時刻と、Ｓ２１で取得した航法メッセージに含まれる発信時刻とに連続性があると判定した場合（Ｓ２５でＹＥＳ）には、ステップＳ２６に進む。ステップＳ２６では、Ｓ２１で取得した航法メッセージを、正規の航法メッセージであると判断し、処理を終了する。

　一方、認証済航法メッセージに含まれる発信時刻と、Ｓ２１で取得した航法メッセージに含まれる発信時刻とに連続性がないと判定した場合（Ｓ２５でＮＯ）には、Ｓ２１で取得した航法メッセージを、正規の航法メッセージであると判断せず、処理を終了する。このＳ２５～Ｓ２６が簡易判断部に相当する。

　なお、Ｓ２５でＮＯであった場合には、Ｓ２１で取得した航法メッセージを、正規の航法メッセージでないと判断する構成としてもよい。

　また、実施形態１では、制御部２２０のメモリに記憶した認証済航法メッセージは、衛星受信機２３０で航法メッセージの受信時刻を計時する時計に、Ｓ２４の処理において時刻や時間が一致すると判定される範囲を超える程度のずれが生じる期間が経過した場合に消去する構成とすればよい。消去した後は、同一のＧＰＳ衛星２から新たに受信した航法メッセージについて、認証センタ１２０を用いた認証を行い、認証が成立した航法メッセージを認証済航法メッセージとしてメモリに記憶する構成とすればよい。

　＜実施形態１のまとめ＞
　実施形態１によれば、一旦、認証センタ１２０を用いて車載機２００で航法メッセージの認証が成立すると、その航法メッセージの発信元と同一のＧＰＳ衛星２から新たに受信する航法メッセージについては、メモリに記憶しておいた認証済航法メッセージとその受信時刻とをもとに、正規のものであるかを判断することが可能になる。従って、新たに受信する航法メッセージについて、車載機２００が認証センタ１２０からＨマトリクスを受信しなくてもよくなる分だけ、認証センタ１２０の通信処理負荷を軽減できる。

　リピータやシミュレータが用いられた場合には、認証済航法メッセージに含まれる発信時刻と車載機２００で新たに受信した航法メッセージの発信時刻との間で、受信時刻差に応じた連続性が得られなくなる。

　実施形態１では、認証済航法メッセージに含まれる発信時刻と車載機２００で新たに受信した航法メッセージの発信時刻との間に、受信時刻差に応じた連続性がない場合に、この航法メッセージを正規の航法メッセージと判断しない。よって、リピータやシミュレータが用いられ航法メッセージを正規の航法メッセージと判断しないようにすることができ、正規の航法メッセージと判断する精度を高めることができる。

　＜変形例１＞
　実施形態１では、同一のＧＰＳ衛星２についての、認証済航法メッセージに含まれる発信時刻と車載機２００で新たに受信した航法メッセージの発信時刻との間に、受信時刻差に応じた連続性があるか否かによって、受信した航法メッセージが正規のものかを判断する構成を説明したが、必ずしもこれに限らない。

　例えば、認証済航法メッセージの発信時刻と受信時刻とから定まる擬似距離と、新たに受信する航法メッセージの発信時刻と受信時刻とから定まる擬似距離とに連続性があるか否かによって、受信した航法メッセージが正規のものかを判断する構成（以下、変形例１）としてもよい。変形例１は、車載機２００の制御部２２０での処理が一部異なる点を除けば、実施形態１と同様である。詳しくは、変形例１では、制御部２２０での簡易判断処理の一部が、実施形態１と異なっている。

　＜変形例１における簡易判断処理＞
　ここで、変形例１における車載機２００の制御部２２０が実行する簡易判断処理について、図７に示すフローチャートを用いて説明を行う。図７のフローチャートも、例えば、車載機２００の衛星受信機２３０がＧＰＳ衛星２からの航法メッセージを受信したときに開始する構成とすればよい。図７のフローチャートも、衛星受信機２３０から制御部２２０へ逐次行われる出力の１周期内に、複数のＧＰＳ衛星２の航法メッセージを衛星受信機２３０で受信していた場合には、その複数のＧＰＳ衛星２の航法メッセージについてそれぞれ処理を行う構成とすればよい。

　まず、ステップＳ３１では、制御部２２０のメモリに記憶済みの認証済航法メッセージの受信時刻から、衛星受信機２３０で新たに受信した航法メッセージの受信時刻までの受信時刻差が所定時間以内であった場合（Ｓ３１でＹＥＳ）には、Ｓ３２に進む。一方、所定時間を越えていた場合（Ｓ３１でＮＯ）には、衛星受信機２３０で新たに受信した航法メッセージを、正規の航法メッセージであると判断せず、処理を終了する。

　ここで言うところの所定時間とは、ＧＰＳ衛星２からの信号を複製するリピータやＧＰＳ衛星２からの信号を擬似的に生成可能なシミュレータが用いられていない場合に、ＧＰＳ衛星２からの航法メッセージの発信時刻と衛星受信機２３０でのその航法メッセージの受信時刻とから定まる擬似距離に、後述のステップＳ３５で用いる閾値以上の差が生じる可能性が低いと推定される程度の値であって、任意に設定可能な値である。

　言うまでもないが、擬似距離とは、ＧＰＳ衛星２からの発信時刻と衛星受信機２３０での受信時刻とから決まる伝搬時間に光速を積算して算出される、ＧＰＳ衛星２と衛星受信機２３０との距離である。

　ステップＳ３２～ステップＳ３４までの処理は、Ｓ２１～Ｓ２３までの処理と同様である。ステップＳ３５では、Ｓ３４で衛星番号が一致していると判定した、衛星受信機２３０で新たに受信した航法メッセージと、認証済航法メッセージとに連続性があるか否かを判定する。詳しくは、認証済航法メッセージに含まれる発信時刻、及びその認証済航法メッセージの受信時刻とから求まる擬似距離と、衛星受信機２３０で新たに受信した航法メッセージに含まれる発信時刻、及びその航法メッセージの受信時刻とから求まる擬似距離とに連続性があるか否かを判定する。このＳ３５も連続性判定部に相当する。

　言うまでもないが、ここで言うところの擬似距離とは、ＧＰＳ衛星２からの発信時刻と衛星受信機２３０での受信時刻とから決まる伝搬時間に光速を積算して算出される、ＧＰＳ衛星２と衛星受信機２３０との距離である。

　ここで、Ｓ３５の処理の一例について、図８を用いて説明を行う。図８の例では、ＧＰＳ衛星２ａから発信された航法メッセージについて、車載機２００で認証センタ１２０を用いた認証が成立し、その後に車載機２００がＧＰＳ衛星２ａから発信された航法メッセージを受信しているものとする。

　また、認証済航法メッセージの発信時刻、及びその認証済航法メッセージの受信時刻から求まる擬似距離をρ１、その後に衛星受信機２３０でＧＰＳ衛星２ａから新たに受信した航法メッセージの発信時刻、及びその航法メッセージの受信時刻から求まる擬似距離をρ２とする。

　Ｓ３５の処理では、認証済航法メッセージの送信時刻及びその認証済航法メッセージの受信時刻から決まる伝搬時間に光速を積算し、擬似距離（ρ１）を算出する。また、衛星受信機２３０で新たに受信した航法メッセージの送信時刻及びその航法メッセージの受信時刻から決まる伝搬時間に光速を積算し、擬似距離（ρ２）を算出する。

　続いて、擬似距離（ρ１）から擬似距離（ρ２）を差し引いた値の絶対値（｜ρ１－ρ２｜）が、閾値未満か否かを判定する。ここで言うところの閾値とは、前述のリピータやシミュレータが用いられていない場合に、Ｓ３１の所定時間の経過によって生じると推定されるＧＰＳ衛星２と衛星受信機２３０との擬似距離の変化の上限値程度とする。

　そして、閾値未満と判定した場合には、認証済航法メッセージと、衛星受信機２３０で新たに受信した航法メッセージとに連続性があると判定する。一方、閾値以上と判定した場合には、連続性がないと判定する。

　図７に戻って、ステップＳ３６では、認証済航法メッセージと衛星受信機２３０で新たに受信した航法メッセージとに連続性があると判定した場合（Ｓ３６でＹＥＳ）には、ステップＳ３７に進む。ステップＳ３７では、衛星受信機２３０で新たに受信した航法メッセージを、正規の航法メッセージであると判断し、処理を終了する。

　Ｓ３１の所定時間は、このＳ３６での連続性の有無の判定において、前述のリピータやシミュレータが用いられていない航法メッセージについて連続性があると判定されるようにするための条件として設けられているものである。

　一方、認証済航法メッセージと衛星受信機２３０で新たに受信した航法メッセージとに連続性がないと判定した場合（Ｓ３６でＮＯ）には、衛星受信機２３０で新たに受信した航法メッセージを、正規の航法メッセージであると判断せず、処理を終了する。このＳ３６～Ｓ３７も簡易判断部に相当する。

　＜変形例１のまとめ＞
　変形例１によっても、実施形態１と同様に、一旦、認証センタ１２０を用いて車載機２００で航法メッセージの認証が成立すると、その航法メッセージの発信元と同一のＧＰＳ衛星２から新たに受信する航法メッセージについては、メモリに記憶しておいた認証済航法メッセージとその受信時刻とをもとに、正規のものであるかを判断することが可能になる。従って、新たに受信する航法メッセージについて、車載機２００が認証センタ１２０からＨマトリクスを受信しなくてもよくなる分だけ、認証センタ１２０の通信処理負荷を軽減できる。

　ＧＰＳ衛星２からの信号を複製するリピータが用いられた場合には、正規の航法メッセージとの間で、航法メッセージの受信時刻に遅延が生じる。また、ＧＰＳ衛星２からの信号を擬似的に生成可能なシミュレータが用いられた場合には、正規の航法メッセージとの間で、航法メッセージの発信時刻や受信時刻に齟齬が生じる。つまり、リピータやシミュレータが用いられた場合には、発信時刻と受信時刻とから定まる擬似距離が大きく変動し、連続性を失うことになる。

　変形例１では、認証済航法メッセージに含まれる発信時刻及びその認証済航法メッセージの受信時刻から定まる擬似距離と、新たに受信した航法メッセージの発信時刻及びその航法メッセージの受信時刻から定まる擬似距離との間に連続性がない場合に、新たに受信した航法メッセージを正規の航法メッセージと判断しない。よって、リピータやシミュレータが用いられた場合には、航法メッセージを正規の航法メッセージと判断しないようにすることができ、正規の航法メッセージと判断する精度を高めることができる。

　＜変形例２＞
　なお、前述の実施形態では、ＧＰＳ衛星２から受信した航法メッセージのみを測位に用いた場合の例を挙げて説明を行ったが、ＱＺＳ衛星３から受信した航法メッセージを測位に用いる構成としてもよい。この場合、ＱＺＳ衛星３から受信した航法メッセージの認証についても、ＧＰＳ衛星２の場合と同様にして行う構成とすればよい。

　変形例２の一例としては、ＱＺＳ衛星３からモニタステーション１１０で受信した航法メッセージからＲＡＮＤメッセージを生成し、このＲＡＮＤメッセージをもとに認証センタ１２０でパリティデータを作成する。そして、作成したパリティデータをマスタコントロールステーション１３０に送り、そのパリティデータをマスタコントロールステーション１３０からＱＺＳ衛星３に送信する。ＱＺＳ衛星３は、そのパリティデータを含んだ航法メッセージを地上に向けて放送する。

　車載機２００は、ＱＺＳ衛星３から受信した航法メッセージからＲＡＮＤメッセージを作成し、このＲＡＮＤメッセージと認証センタ１２０から取得するＨマトリクスとから比較パリティデータを作成する。そして、作成した比較パリティデータと、ＱＺＳ衛星３から受信したパリティデータとを比較することで認証を行う構成とすればよい。

　＜変形例３＞
　前述の実施形態で説明した航法メッセージ認証型の認証方法はあくまで一例であり、認証機関へのアクセスが必要な認証方法であれば、他の認証方法を用いる構成（以下、変形例３）としてもよい。

　＜変形例４＞
　前述の実施形態では、車両で用いられる車載機２００を例に挙げて説明を行ったが、必ずしもこれに限らない。例えば、車載機２００と同様の航法メッセージ受信装置を、ユーザに携帯される携帯端末等に適用する構成としてもよい。

　以上、本開示に係る実施形態および構成を例示したが、本開示に係る実施形態および構成は、上述した各実施形態および各構成に限定されるものではない。例えば、異なる実施形態および構成にそれぞれ開示された技術的要素を適宜組み合わせて得られる実施形態および構成についても本開示に係る実施形態および構成の範囲に含まれる。

Claims

　衛星測位システムで用いられる人工衛星からの航法メッセージを受信する衛星受信機（２３０）と、
　前記人工衛星から受信した前記航法メッセージに応じた認証用情報を、認証センタから受信する認証用情報受信部（Ｓ５）と、
　前記衛星受信機で受信した前記航法メッセージが正規のものであることの認証を、当該航法メッセージに応じて前記認証用情報受信部で受信した認証用情報を用いて行うセンタ使用認証部（Ｓ９～Ｓ１１）とを備える航法メッセージ受信装置（２００）であって、
　前記センタ使用認証部で認証が成立した前記航法メッセージの発信元の前記人工衛星から、前記衛星受信機で新たな航法メッセージを受信した場合に、前記センタ使用認証部で認証が成立した前記航法メッセージと前記新たな航法メッセージとの間に連続性があるか否かを判定する連続性判定部（Ｓ２４、Ｓ３５）と、
　前記連続性判定部によって前記センタ使用認証部で認証が成立した前記航法メッセージと前記新たな航法メッセージとの間に連続性があると判定された場合には、前記新たな航法メッセージが正規のものであると判断する一方、前記連続性判定部によって前記センタ使用認証部で認証が成立した前記航法メッセージと前記新たな航法メッセージとの間に連続性がないと判定された場合には、前記新たな航法メッセージが正規のものであると判断しない簡易判断部（Ｓ２５、Ｓ２６、Ｓ３６、Ｓ３７）と、をさらに備える航法メッセージ受信装置。
　請求項１において、
　前記航法メッセージには、航法メッセージの発信時刻が含まれており、
　前記連続性判定部（Ｓ２４）は、
　前記センタ使用認証部で認証が成立した前記航法メッセージに含まれる発信時刻と、前記新たな航法メッセージに含まれる発信時刻との間に、認証が成立した前記航法メッセージの受信時刻から前記新たな航法メッセージの受信時刻までの受信時刻差に応じた連続性があるか否かを判定する航法メッセージ受信装置。
　請求項１において、
　前記航法メッセージには、航法メッセージの発信時刻が含まれており、
　前記新たな航法メッセージは、前記センタ使用認証部で認証が成立した前記航法メッセージの受信時刻から所定時間以内に前記衛星受信機で受信したものであって、
　前記連続性判定部（Ｓ３５）は、
　前記センタ使用認証部で認証が成立した前記航法メッセージに含まれる発信時刻と当該航法メッセージの受信時刻とから定まる擬似距離と、前記新たな航法メッセージに含まれる発信時刻と当該新たな航法メッセージの受信時刻とから定まる擬似距離との差が閾値未満である場合に、前記センタ使用認証部で認証が成立した前記航法メッセージと前記新たな航法メッセージとの間に連続性があると判定する航法メッセージ受信装置。