WO2015133207A1 - 車載用通信システム及び車載用通信方法 - Google Patents

Abstract

　車載用通信システム及び方法は、記憶装置と、通信装置と、コントローラとを用いる。記憶装置は、複数のセキュリティ証明書を格納するように構成されている。通信装置は、車載用通信システムを搭載したホスト車両の外部にある外部情報を受信するように構成されている。コントローラは、記憶装置に格納されているセキュリティ証明書の量が第１の所定の閾値よりも少なくなったら、ホスト車両の外部にある少なくとも１つのソースから追加のセキュリティ証明書を受信するためにセキュリティ証明書補充プロセスを開始するべきかどうかを受信した外部情報に基づいて判断するように構成されている。

Description

車載用通信システム及び車載用通信方法

　本発明は、概して、車載用通信システム及び方法に関する。より具体的には、本発明は、車両においてセキュリティ証明書補充プロセスを行うタイミング及び方法を車両の運転環境に基づいて決定する車載用通信システム及び方法に関する。

　車両は、より洗練された通信機器を搭載するようになってきており、それによりますます周囲の通信インフラ及び他の車両に接続されるようになってきている。車両がインフラ及び他の車両と通信するのに使用する通信アクセスポイントの種類としては、例えば、セルラ通信、直接衛星通信及びＷｉＦｉや専用狭域通信（ＤＳＲＣ）など無線通信規格のＩＥＥＥ　８０２．１１ファミリーを取り入れた方法がある。通信が受信者の信用を容易に得られるように、それらの通信にセキュリティ証明書で署名することが必要だったり望ましかったりすることも多い。当然のことながら、これらのセキュリティ証明書は使い果たされることになり、定期的に補充される必要がある。

　上記のことから分かるように、通信のために車載用通信システムによって使用されるセキュリティ証明書を補充するシステム及び方法は、改善の必要性がある。

　本発明の一態様によれば、記憶装置と、通信装置と、コントローラとを用いる車載用通信システム及び方法が提供される。前記記憶装置は、複数のセキュリティ証明書を格納するように構成されている。前記通信装置は、前記車載用通信システムを搭載したホスト車両の外部にある外部情報を受信するように構成されている。前記コントローラは、前記記憶装置に格納されているセキュリティ証明書の量が第１の所定の閾値よりも少なくなったら、前記ホスト車両の外部にある少なくとも１つのソースから追加のセキュリティ証明書を受信するためにセキュリティ証明書補充プロセスを開始するべきかどうかを前記受信した外部情報に基づいて判断するように構成されている。

　本発明の上記及び他の目的、特徴、態様及び利点は、添付の図面を併用して本発明の好ましい実施形態を開示する以下の詳細な説明から当業者には明らかになるであろう。

図１は、本明細書で開示される実施形態に係る車載用通信システムを搭載したホスト車両の例を、リモート車両及び無線通信ネットワークの構成要素と関連させて示すブロック図である。 図２は、本明細書で開示される実施形態に係る車載用通信システムを搭載した上記ホスト車両の構成例を示すブロック図である。 図３は、本明細書で開示される実施形態に係る上記車載用通信システムの通信部の構成例を示すブロック図である。 図４は、本明細書で開示される実施形態に係る上記車載用通信システムの判断部の構成例を示すブロック図である。 図５は、本明細書で開示される実施形態に係る上記車載用通信システムのデータ記憶部の構成例を示すブロック図である。 図６は、本明細書で開示される実施形態に係る上記車載用通信システムが行う動作の例を示すフローチャートである。 図７は、図６のステップＳ１５のセキュリティ証明書補充プロセスの手順の一例を示すフローチャートである。

　以下、図面を参照して本発明の選択された実施形態を説明する。以下に述べる本発明の実施形態の説明は例示のみを目的としており、添付の請求項により規定される本発明及びその均等物を限定することを目的としていないことは、本開示から当業者には明らかであろう。

　図１は、車両間通信又は車両・インフラ間通信、あるいはその両方を行うことが可能な、開示される実施形態に係る車載用通信システム１２を搭載した、ホスト車両（Ｈｏｓｔ　Ｖｅｈｉｃｌｅ：ＨＶ）１０を示すブロック図である。本明細書で述べるように、このホスト車両１０は、対象車両（Ｓｕｂｊｅｃｔ　Ｖｅｈｉｃｌｅ：ＳＶ）と呼ぶことも可能である。車載用通信システム１２は、少なくとも１台のリモート車両（Ｒｅｍｏｔｅ　Ｖｅｈｉｃｌｅ：ＲＶ）１４と通信を行う。このリモート車両（ＲＶ）１４も車載用通信システム１２を備えることができる。あるいは、リモート車両１４は、当該技術分野で理解されているように少なくともリモート車両１４自身の位置及びスピードについての情報を伝達することのできる、例えば、アダプティブ・クルーズ・コントロール・システムなど、他の種類の双方向通信システムを備えることができる。リモート車両１４は、ターゲット車両（Ｔａｒｇｅｔ　Ｖｅｈｉｃｌｅ：ＴＶ）又は脅威車両（Ｔｈｒｅａｔ　Ｖｅｈｉｃｌｅ：ＴＶ）と呼ぶことも可能である。

　ホスト車両１０及びリモート車両１４の車載用通信システム１２は、双方向無線通信ネットワークと通信を行う。図１からわかるように、例えば、双方向無線通信ネットワークは、１つ又は複数の全地球測位衛星１６（１つのみ図示）と、１つ又は複数の路側（地上）ユニット１８（２つ図示）などの地上ユニットと、基地局又は外部サーバ２０とを含むことができる。全地球測位衛星１６と路側ユニット１８は、ホスト車両１０及びリモート車両１４の車載用通信システム１２との間で信号を送受信する。基地局２０は、路側ユニット１８のネットワーク又は他の任意の適切な双方向無線通信ネットワークを介して、ホスト車両１０及びリモート車両１４の車載用通信システム１２との間で信号を送受信する。

　図２及び図３においてより詳細に示されるように、車載用通信システム１２は、単にコントローラ２２と呼ぶことのできるアプリケーションコントローラ２２を含む。コントローラ２２は、後述するように車載用通信システム１２の構成要素を制御する制御プログラムを備えたマイクロコンピュータを含むことが好ましい。コントローラ２２は、その他、入力インタフェース回路、出力インタフェース回路及びＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）装置やＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）装置などの記憶装置といった従来の構成要素を含む。コントローラ２２のマイクロコンピュータは、少なくとも、後述される図６及び図７のフローチャートに従って車載用通信システム１２を制御するようにプログラムされている。コントローラ２２の正確な構造及びアルゴリズムは、本発明の実施形態の機能を実施するハードウェア及びソフトウェアの任意の組合せとすることができることは、本開示から当業者には明らかになるであろう。さらに、コントローラ２２は、当該技術分野で理解されているように、例えば、コントローラエリアネットワーク（ＣＡＮ）バスを介して、又は他の任意の適切な方法で、本明細書に記載の車載用通信システム１２の他の構成要素と通信を行うことができる。

　図２においてより詳細に示されるように、車載用通信システム１２が配置されるホスト車両１０は、例えば、信号検出部２４と、通信部２６と、判断部２８と、データ記憶部３０とをさらに備えることができる。ホスト車両１０は、車載用通信システム１２と一体の、又は、単独でホスト車両１０に実装される、ヒューマン・マシン・インタフェース（ＨＭＩ）３２をさらに備える。ユーザ（例えば、運転者及び／又は同乗者）は、ＨＭＩ３２を介して車載用通信システム１２と情報のやりとりを行うことができる。例えば、当該技術分野で理解されているように、ユーザは、ＨＭＩ３２を使用して、データ記憶部３０に格納可能な優先事項リストに携帯電話番号、インターネットホスト名、又はＩＰアドレスを登録するといった作業を行うことができる。また、ユーザは、ＨＭＩ３２を使用して、本明細書で述べるように、特定のＩＰアドレス又は電話番号の優先レベルなど、他の情報を入力することもできる。この情報は、車両走行データや車両位置データなど他の情報と共に、データ記憶部３０に格納することができる。

　また、データ記憶部３０は、当該技術分野で理解されているように通信に使用されるセキュリティ証明書も格納することができる。詳細は後述するが、車載用通信システム１２は、通信アクセスポイント４０（例えば、異なる種類のいくつかの通信媒体）を介して、ホスト車両１０の外部に存在して当該技術分野で理解されているようにセキュリティ証明書を作成する１つ又は複数の認証局４２との間で通信を行う。通信アクセスポイント４０は、双方向無線通信ネットワークによりサポートされており、当該技術分野で理解されているように、ＷｉＦｉ接続、専用狭域通信（ＤＳＲＣ）接続、セルラ接続及びその他の無線媒体を含むことができる。また、車載用通信システム１２は、電気自動車、燃料電池自動車、又はハイブリッド車（ＢＥＶ／ＦＣＶ／ＨＥＶ）の充電やスマートグリッド通信用に定義された通信チャネルを使用することもできる。認証局４２は、本明細書で述べるように車載用通信システム１２により選択された１つ又は複数の通信アクセスポイント４０を介した車載用通信システム１２によるセキュリティ証明書の要求に応答して、その選択された通信アクセスポイント４０を介してセキュリティ証明書を提供する。

　また、車載用通信システム１２は、車載用通信システム１２と一体の、又は、単独でホスト車両１０に実装される、あるいはその両方の、１つ又は複数のアプリケーション部３４との情報のやりとりも行う。アプリケーション部３４は、例えば、リモート車両１４、路側ユニット１８、又は他の任意の装置から車載用通信システム１２が受信したデータを使用して、外部の物体又はリモート車両１４との接触の可能性や、天候又は交通の状況など、潜在的な問題があることをホスト車両１０のユーザ（例えば、運転者）に忠告又は警告する警告システムを含んでもよい。また、車載用通信システム１２は、ＧＰＳ情報を、例えば、衛星１６又は他の任意の適切な装置から受信可能なＧＰＳユニット３６と通信を行うこともできる。当該技術分野で理解されているように、ＧＰＳ情報は、本明細書で述べるようにホスト車両１０の位置及びその他の関心のある位置を示すことができる。

　図３においてより詳細に示されるように、通信部２６は、当該技術分野で理解されているように、例えば、通信アクセスポイント４０のＤＳＲＣ接続、ＷｉＦｉ接続、セルラ接続及びその他の無線媒体を介して通信を行うことが可能なＤＳＲＣ部５０と、セルラ部５２と、ＷｉＦｉ部５４と、その他の無線媒体部５６とを備える。例えば、コントローラ２２は、信号検出部２４を制御して、利用可能な通信アクセスポイント４０がないか無線通信ネットワーク内を検索することができる。当該技術分野で理解されているように、信号検出部２４は、任意の適切な信号選択プロトコルを採用して、適切な１つ又は複数の利用可能な通信アクセスポイント４０を選択することができる。また、信号検出部２４は、例えば、当初選択された通信媒体が利用不可能になった場合、１つの通信アクセスポイント４０から他の通信アクセスポイント４０へ切り替えるタイミングを決定することもできる。さらに、信号検出部２４は、携帯電話信号がないかホスト車両１０の車室内を監視することができる。携帯電話信号が検出された場合、信号検出部２４は、その携帯電話に関する情報（例えば、電話番号など）を、本明細書に記載されるように、参照及び使用のため、例えば、判断部２８及びデータ記憶部３０に供給することができる。

　したがって、コントローラ２２、例えば、信号検出部２４は、選択された通信アクセスポイント４０を介して通信を行うように通信部２６を設定することができる。これにより、通信部２６は、利用可能な通信アクセスポイント４０から情報を受信し、この情報を判断部２８、データ記憶部３０、ＨＭＩ３２、アプリケーション部３４及びホスト車両１０上の他の任意の構成要素に供給する。また、通信部２６は、利用可能な通信アクセスポイント４０を使用し、図１に示すように、双方向無線通信ネットワークを介して、リモート車両１４、認証局４２及び他の任意の遠隔送信先にも情報を送信する。当然のことながら、通信部２６は、発着信の際、異なる種類のいくつかの通信アクセスポイント４０を使用することができる。

　図４に示すように、判断部２８は、後で詳細に述べるように、現状リスクレベル算出セクション６０と、セキュリティ証明書使用セクション６２と、信頼不能署名識別・報告セクション６４とを備えることができる。さらに、図５に示すように、データ記憶部３０は、後で詳細に述べるように、優先事項リスト記憶領域７０と、優先レベル記憶領域７２と、多段構成の証明書記憶領域７４（例えば、第１段記憶セクション７４Ａと、第２段記憶セクション７４Ｂと、第３段記憶セクション７４Ｃとで構成される）と、ＧＰＳ記憶領域７６と、信頼不能署名記憶領域７８とを備えることができる。

　次に、車載用通信システム１２が行う動作の例を、図４及び図５に示す判断部２８及びデータ記憶部３０のさらなる側面と図６及び図７に示すフローチャートとに関して詳細に説明する。図６及び図７に示す処理は、例えば、コントローラ２２の判断部２８又は他の任意の適切な構成要素により行うことができる。

　図６に示すように、ステップＳ１１で通信部２６が双方向無線通信ネットワークを介して、例えば、リモート車両１４や地上又は路側ユニット１８などから着信を受信すると、コントローラ２２は、発信を行う準備をすることができる。当該技術分野で理解されているように、車載用通信システム１２は、セキュリティ証明書を使用して、リモート車両１２、地上又は路側ユニット１８及び双方向無線通信ネットワーク内のその他の送信先など外部の配信先へ一斉送信されるメッセージに署名することができる。通信プロセスの一部として、車載用通信システム１２は、ステップＳ１２で、データ記憶部３０に格納されている未使用のセキュリティ証明書の在庫をチェックすることができる。例えば、判断部２８のセキュリティ証明書使用セクション６２は、セキュリティ証明書記憶領域７４に格納されている未使用のセキュリティ証明書の在庫をチェックすることができる。

　ステップＳ１３で、未使用のセキュリティ証明書の数が閾値（例えば、第１の閾値）よりも多いと処理が判断した場合、コントローラ２２は、発信の際に利用可能な未使用のセキュリティ証明書が十分にあると判断する。したがって、処理は終了し、車載用通信システム１２は発信を行うことができる。一方、ステップＳ１３で、未使用のセキュリティ証明書の数が閾値以下であると処理が判断した場合、処理は、ステップＳ１４へ進み、コントローラ２２は、セキュリティ証明書補充プロセスが許容されるかどうか現状リスクレベルに基づいて判断する。

　現状リスクレベル算出セクション６０は、通信部２６が周囲のリモート車両１４、路側ユニット１８及び双方向無線通信ネットワーク内の他の任意の装置から受信した情報を評価して、ホスト車両１０の置かれた運転環境に対して現状リスクレベルを算出し格納することができる。

　例えば、通信部２６が多数のリモート車両１４から情報を受信している場合、現状リスクレベル算出セクション６０は、ホスト車両１０は非常に混雑した運転環境で走行していると判断することができる。この場合、現状リスクレベル算出セクション６０は、コントローラ２２がその情報にアクセスして、例えば、接触回避動作などを行えるように、リモート車両１４及び運転環境中の他の装置から情報を効率的に受信し続ける必要があると判断することができる。したがって、現状リスクレベル算出セクション６０は、現状リスクレベルを高く設定することができる。現状リスクレベルが高いと判断すると、コントローラ２２は、そのときセキュリティ証明書を要求するのをやめるように動作する、又は、後述するように、特定の電話又はメッセージの着信も抑制することができる。

　しかしながら、通信部２６がごく少数のリモート車両１４のみから情報を受信している場合、現状リスクレベル算出セクション６０は、ホスト車両１０は混雑のほとんどない運転環境で走行していると判断することができる。したがって、現状リスクレベル算出セクション６０は、現状リスクレベルを低く、又は、少なくとも前述の高いリスクレベルよりも低いレベルに設定することができる。現状リスクレベルが低いと判断すると、コントローラ２２は、後述するように、今が車載用通信システム１２がセキュリティ証明書の在庫補充を試みる良いタイミングであろうと判断することができる。コントローラ２２は、後述するように、電話又はメッセージの着信を受信することを許容することもできる。

　したがって、上記のことから分かるように、コントローラ２２は、受信した外部情報に基づいてリスクファクターを求め、そのリスクファクターに基づいて、セキュリティ証明書補充プロセスを開始するべきかどうかを判断する。コントローラ２２は、リスクファクターをリスク閾値と比較して、セキュリティ証明書補充プロセスを開始するべきかどうかを判断する。そして、リスクファクターがリスク閾値よりも低いと判断すると、コントローラ２２は、ステップＳ１５のセキュリティ証明書補充プロセスを行う。

　ステップＳ１５のセキュリティ証明書補充プロセスは、例えば、図７のフローチャートで示すことができる。このように、データ記憶部３０（例えば、記憶装置）に格納されているセキュリティ証明書の量が第１の所定の閾値よりも少なくなったら、コントローラ２２は、ホスト車両１０の外部にある少なくとも１つのセキュリティ認証局から追加のセキュリティ証明書を受信するためにセキュリティ証明書補充プロセスを開始するべきかどうかを受信した外部情報に基づいて判断する。このプロセスを開始するとき、判断部２８は、ＨＭＩ３２を制御して、セキュリティ証明書の量が低下してセキュリティ証明書の補充を行おうとしているという通知又は警告（例えば、視覚的、聴覚的及び／又は触覚的警告）を出すことができる。

　図７に示すプロセスのステップＳ２１では、車載用通信システム１２は、セキュリティ証明書をダウンロード可能な外部ソース（例えば、通信アクセスポイント４０）を特定することができる。このように、「ソース」という語は、本明細書では、本明細書に記載の構成及び機能を有する通信アクセスポイント４０を表すのに使うことができ、したがって、通信アクセスポイント４０などの通信媒体を介した車載用通信システム１２と認証局４２との間の接続を意味することも可能である。

　次に、コントローラ２２は、ステップＳ２２で利用可能なそのようなソースがあるかどうか判断する。利用可能なソース（例えば、通信アクセスポイント４０）がある場合、処理は、ステップＳ２３へ進み、コントローラ２２は、上述のように選択することのできる通信アクセスポイント４０を介してセキュリティ証明書を自動的にダウンロードすることができる。すなわち、通信部２６は、選択された通信アクセスポイント４０を介して利用可能な認証局４２へ要求を送信することができる。こうして、通信アクセスポイント４０は、選択された通信アクセスポイント４０を介して認証局からセキュリティ証明書を受信する。コントローラ２２（例えば、判断部２８）は、そのセキュリティ証明書をセキュリティ証明書記憶領域７４の記憶段７４Ａ～７４Ｃに格納することができる。さらに、利用可能な通信アクセスポイント４０が複数ある場合、判断部２８は、ＨＭＩ３２を制御して、例えば、所望の認証局４２又は通信アクセスポイント４０の所望の方式（例えば、ＤＳＲＣ、ＷｉＦｉ、セルラ方式など）に基づいて、セキュリティ証明書を補充するのに使用する所望の通信アクセスポイント４０にユーザが接続できるようにする通知（例えば、視覚的、聴覚的及び／又は触覚的）をユーザに出すことができる。ユーザは、通信アクセスポイント４０のセキュリティレベル（例えば、セキュアＤＳＲＣ、セキュアＷｉＦｉなど）など、通信アクセスポイント４０の特性に基づいて所望の通信アクセスポイント４０を選択してもよい。また、判断部２８は、所定の特性（例えば、ＤＳＲＣ、ＷｉＦｉ、セルラ方式、接続の安全性など）などに基づいて、使用する通信アクセスポイント４０に自動的に接続することもできる。例えば、その所定の特性は、他の通信方式よりも高い通信セキュリティレベルを持つ通信方式に関する情報を含むことができる。これにより、ユーザが何もしなくても、５．９ＧＨｚ　ＤＳＲＣ、ＷｉＦｉ、セルラ方式ネットワーク、衛星通信など、複数の通信アクセスポイント４０を自動的に利用することができ、したがって、最大限の柔軟性が得られる。

　なお、コントローラ２２は、セキュリティ証明書を記憶段７４Ａ～７４Ｃに特定の方法で格納することができ、セキュリティ証明書を記憶段７４Ａ～７４Ｃから特定の方法で取り出すことができる。例えば、セキュリティ証明書使用セクション６２がセキュリティ証明書記憶領域７４からセキュリティ証明書を取り出すとき、セキュリティ証明書使用セクション６２は、まず、記憶段７４Ａからセキュリティ証明書を取り出すことができる。セキュリティ証明書が記憶段７４Ａから取り出されると、記憶段７４Ｂは、格納されているセキュリティ証明書を記憶段７４Ａへ転送して追加することができる。同様に、これらのセキュリティ証明書が記憶段７４Ｂから記憶段７４Ａへ転送されると、記憶段７４Ｃは、格納されたセキュリティ証明書を記憶段７４Ｂへ転送して追加することができる。ステップＳ１３で使用される閾値（第１の閾値）は、任意の適切なレベルに設定することができる。例えば、第１の閾値は、記憶段７４Ｃのセキュリティ証明書が使い果たされたときを知らせることができる。当然のことながら、コントローラ２２は、例えば、記憶段７４Ｂのセキュリティ証明書が使い果たされたこと及び最終的に記憶段７４Ａのセキュリティ証明書が使い果たされた（すなわち、セキュリティ証明書が全く残っていない）ことを示す追加の閾値を設定することができる。格納されたセキュリティ証明書がすべて使い果たされた場合、車載用通信システム１２は、通信ごとに変化しない単一の「予備」セキュリティ証明書を使用することができる。

　セキュリティ証明書をセキュリティ証明書記憶領域７４から特定の方法で取り出すことに加えて、セキュリティ証明書使用セクション６２は、セキュリティ証明書の記憶段７４Ａへの格納を開始することができる。記憶段７４Ａがセキュリティ証明書で一杯になると、記憶段７４Ａは、その後、セキュリティ証明書の記憶段７４Ｂへの転送を開始することができる。記憶段７４Ｂが一杯になると、記憶段７４Ｂは、セキュリティ証明書の記憶段７４Ｃへの転送を開始することができ、記憶段７４Ｃが一杯になるまで転送することができる。当然のことながら、セキュリティ証明書使用セクション６２は、記憶段７４Ａ～７４Ｃに対して任意の適切な方法でセキュリティ証明書の格納及び取り出しを行うことができ、セキュリティ証明書記憶領域７４は、任意の数の記憶段（例えば、１つの記憶段から現実的な任意の数の記憶段まで）を備えることができる。

　ステップＳ２２に戻って、コントローラ２２が、セキュリティ証明書をダウンロードするための外部ソース（例えば、通信アクセスポイント４０）が現在利用不可能であると判断した場合、処理はステップＳ２４へ進み、判断部２８は、ＨＭＩ３２を制御して、ユーザに通知又は警告（例えば、視覚的、聴覚的及び／又は触覚的警告）を出すことができる。その通知は、セキュリティ証明書が使い果たされ、できるだけ早期に補充するべきである、ということをユーザに知らせることができる。さらに、その通知は、現在利用可能なソースがない場合、ユーザがソースを探すための情報を提供することができる。例えば、判断部２８は、ＨＭＩ３２を制御して、ホスト車両１０の位置及び認証局４２への通信アクセスポイント４０の位置を示す、データ記憶部３０のＧＰＳ記憶領域に格納されている情報、又はＧＰＳユニット３６から受信した情報、あるいはその両方に基づいて、地図を提供することができる。その地図は、各通信アクセスポイント４０で利用可能な接続方式（例えば、ＤＳＲＣ、ＷｉＦｉ、セルラ方式など）も示すことができる。したがって、ユーザは、所望の通信アクセスポイント４０のある場所又はそれに近接する場所までホスト車両１０を運転して、セキュリティ証明書をダウンロードすることができる。さらに、ユーザは、ＨＭＩ３２を使用して、例えば、その通信アクセスポイント４０で使用する所望の接続方式を選択することができる。又は、システムは、その通信アクセスポイント４０に適した接続方式に自動的に切り替えることができる。

　上記セキュリティ証明書補充プロセスに加えて、車載用通信システム１２は、上述したように現状リスクレベル算出セクション６０により算出されたリスクレベルを使用して、着信メッセージを管理することもできる。例えば、図５に示すように、データ記憶部３０は、ＩＰアドレスや電話番号など、識別情報を優先事項リスト記憶領域７０に格納することができる。また、データ記憶部３０は、その識別情報のそれぞれと関連付けられた優先レベル情報を優先レベル記憶領域７２に記憶することもできる。例えば、特定の既知のＩＰアドレスや電話番号などに非常に高い優先レベルを付与し、未知のＩＰアドレス電話番号などに非常に低い優先レベルを付与することができる。

　着信が通信部２６により受信されると、判断部２８は、識別情報（例えば、ＩＰアドレスや電話番号など）を、優先事項リスト記憶領域７０内の情報及び優先レベル記憶領域７２内の対応する優先レベル情報と比較して、その着信の優先レベルを評価することができる。そして、判断部２８は、その通信をユーザが受信することを許可するべきか、あるいは、抑制するべきかを判断することができる。例えば、判断部２８は、その着信と関連付けられた優先レベルを、算出されたリスクレベルと比較することができる。リスクレベルが高い場合、判断部２８は、非常に高い優先レベルを有する着信（例えば、配偶者や上司からのメッセージ、緊急メッセージなど）を除き、すべての着信を抑制（例えば、ボイスメールへ直接送信又は受信通知をせずに受信箱へ）するように動作することができる。これにより、判断部２８は、優先レベルの高いメッセージをユーザに提供することができる。一方、リスクレベルが低い場合、判断部２８は、優先度の低い着信でもユーザに提供するように動作することができる。

　さらに、図４に示すように、判断部２８の信頼不能署名識別・報告セクション６４は、疑わしい又は信頼できない着信を識別することができる。すなわち、受信したメッセージ又は通信の内容は、例えば、送信元のリモート車両１４のシステムの動作不良、あるいは、間違ったメッセージ又は情報を意図的に送信しようとする行為により、不正確かもしれないし、あるいは虚偽である可能性もある。例えば、着信に含まれる情報が疑わしい又は信頼できないように見える（例えば、その情報が、リモート車両１４のスピードが規定の閾値レベルを超えていることを示している、あるいは、そのリモート車両１４が規定の閾値距離よりも遠いことを示しているなどの）場合、信頼不能署名識別・報告セクション６４は、その通信、ソースを識別する情報（例えば、ＩＰアドレスや電話番号など）及びその通信のセキュリティ署名に対して、信頼できないものとしてフラグを立てる。したがって、信頼不能署名識別・報告セクション６４は、この信頼できない識別情報を、後で参照するため、例えば、データ記憶部３０内に位置する信頼不能署名記憶領域７８に格納することができる。例えば、判断部２８は、受信した通信の署名又は他の識別情報を信頼不能署名記憶領域７８内の情報と比較して、この情報を無視又は抑制するべきかどうかを判断することができる。また、判断部２８は、通信部２６を制御して、不正行為の記録を評価及び管理する任務を負う当局へ信頼できない署名を報告する通信を行うこともできる。このように、コントローラ２２は、受信した外部情報の有効性を受信した外部情報に含まれる情報に基づいて評価し、受信した外部情報が無効である可能性があると判断すると、通信部２６を制御して、外部の送信先が受信するための無効性の指標を提供する。

　選択された実施形態のみを取り上げて本発明を説明したが、特許請求の範囲に記載の本発明の範囲を逸脱することなく、本明細書において様々な変更及び改良が可能であることは、本開示から当業者には明らかであろう。１つの構成要素の機能を２つの構成要素が行うことが可能であり、その逆も可能である。ある実施形態の構造及び機能を、別の実施形態で採用することが可能である。すべての効果が特定の実施形態に同時に存在する必要はない。また、従来技術には見られない固有の特徴のそれぞれは、単独又は他の特徴との組み合わせで、そうした特徴により具体化される構造及び／又は機能上の概念を含めて、本出願人によるさらなる発明の別個の表現とみなすべきである。したがって、本発明に係る実施形態の前述の説明は、例示のみを目的としており、添付の請求項により規定される本発明及びその均等物を限定することを目的としていない。
　

Claims (20)

1. 　車載用通信システムであって、
   　複数のセキュリティ証明書を格納するように構成された記憶装置と、
   　前記車載用通信システムを搭載したホスト車両の外部にある外部情報を受信するように構成された通信装置と、
   　前記記憶装置に格納されているセキュリティ証明書の量が第１の所定の閾値よりも少なくなったら、前記ホスト車両の外部にある少なくとも１つのソースから追加のセキュリティ証明書を受信するためにセキュリティ証明書補充プロセスを開始するべきかどうかを前記受信した外部情報に基づいて判断するように構成されたコントローラと
   を備えた車載用通信システム。
2. 　前記コントローラがさらに、前記受信した外部情報に基づいてリスクファクターを求め、前記リスクファクターに基づいて、前記セキュリティ証明書補充プロセスを開始するべきかどうかを判断するように構成されている請求項１に記載の車載用通信システム。
3. 　前記コントローラがさらに、前記リスクファクターをリスク閾値と比較して、前記セキュリティ証明書補充プロセスを開始するべきかどうかを判断するように構成されている請求項２に記載の車載用通信システム。
4. 　前記コントローラがさらに、前記リスクファクターが前記リスク閾値よりも低いと判断すると、前記セキュリティ証明書補充プロセスを開始するように構成されている請求項３に記載の車載用通信システム。
5. 　前記コントローラがさらに、前記受信した外部情報に基づいて交通環境を判断し、前記交通環境に基づいて前記リスクファクターを求めるように構成されている請求項２～４のいずれか一項に記載の車載用通信システム。
6. 　前記コントローラがさらに、前記交通情報が高交通レベルを示していると判断すると、前記リスクファクターを高リスクファクターレベルに設定し、前記交通情報が、前記高交通レベルを示す交通量よりもまばらな交通量を示す低交通レベルを示していると判断すると、前記リスクファクターを前記高リスクファクターレベルよりも低い低リスクファクターレベルに設定するように構成されている請求項５に記載の車載用通信システム。
7. 　前記コントローラがさらに、前記外部情報が前記ホスト車両が外部物体と接触する第１の確率を示していると判断すると、前記リスクファクターを高リスクファクターレベルに設定し、前記外部情報が前記第１の確率よりも低い前記ホスト車両が外部物体に接触する第２の確率を示していると判断すると、前記リスクファクターを前記高リスクファクターレベルよりも低い低リスクファクターレベルに設定するように構成されている請求項２～４のいずれか一項に記載の車載用通信システム。
8. 　前記コントローラが、前記セキュリティ証明書補充プロセスにおいて、セキュリティ証明書補充通知を出すように構成されている請求項１～７のいずれか一項に記載の車載用通信システム。
9. 　前記コントローラが、前記セキュリティ証明書補充プロセスにおいて、追加のセキュリティ証明書を前記ソースから取得するように前記通信装置を制御するように構成されている請求項１～８のいずれか一項に記載の車載用通信システム。
10. 　前記記憶装置が、複数のセキュリティ証明書を複数の記憶段に格納するように構成されている請求項１～９のいずれか一項に記載の車載用通信システム。
11. 　前記複数の記憶段が第１の記憶段と第２の記憶段とを備え、前記コントローラが、第１の記憶段の前記セキュリティ証明書が使い果たされると、前記第２の記憶段の前記セキュリティ証明書を前記第１の記憶段へ移動するように構成されている請求項１０に記載の車載用通信システム。
12. 　前記コントローラが、前記ホスト車両のユーザインタフェースを制御して、少なくとも１つの前記ソースの少なくとも１つの特性に関する情報を提示するように構成されている請求項１～１１のいずれか一項に記載の車載用通信システム。
13. 　前記少なくとも１つの特性が、ホスト車両の現在位置に対する前記少なくとも１つのソースの少なくとも１つの位置に関する情報を含む請求項１２に記載の車載用通信システム。
14. 　前記少なくとも１つの特性が、前記ホスト車両の前記現在位置に最も近い前記ソースに関する情報を含む請求項１３に記載の車載用通信システム。
15. 　前記少なくとも１つの特性が、前記少なくとも１つのソースの少なくとも１つの接続方式に関する情報を含む請求項１２に記載の車載用通信システム。
16. 　前記少なくとも１つの特性が、前記少なくとも１つのソースにおいて利用可能な他の接続方式よりもセキュリティレベルが高い前記接続方式に関する情報を含む請求項１５に記載の車載用通信システム。
17. 　前記記憶装置が、複数の外部ソース識別子と、前記外部ソース識別子のそれぞれに関連付けられた優先レベルとを格納するように構成され、
    　前記コントローラがさらに、前記受信した外部情報に含まれる識別情報を前記外部ソース識別子と比較して、前記受信した外部情報を処理する方法を前記比較に基づいて決定するように構成されている
    請求項１～１６のいずれか一項に記載の車載用通信システム。
18. 　前記コントローラがさらに、前記識別情報が前記外部ソース識別子の１つに対応していると判断すると、前記受信した外部情報に含まれる前記識別情報を前記１つの外部ソース識別子と関連付けられた前記優先レベルと比較して、前記受信した外部情報を処理する方法を前記識別情報と前記優先レベルとの前記比較に基づいて決定するように構成されている請求項１７に記載の車載用通信システム。
19. 　前記コントローラがさらに、前記受信した外部情報の有効性を前記受信した外部情報に含まれる情報に基づいて評価し、前記受信した外部情報が無効である可能性があると判断すると、前記通信装置を制御して、外部の送信先が受信するための無効性の指標を提供するように構成されている請求項１～１８のいずれか一項に記載の車載用通信システム。
20. 　複数のセキュリティ証明書をホスト車両の車載記憶装置に格納することと、
    　前記ホスト車両において、前記ホスト車両の外部にある外部情報を受信することと、
    　前記記憶装置に格納されているセキュリティ証明書の量が第１の所定の閾値よりも少なくなったら、前記ホスト車両の外部にある少なくとも１つのソースから追加のセキュリティ証明書を受信するためにセキュリティ証明書補充プロセスを開始するべきかどうかを前記ホスト車両上の車載コントローラを介して前記受信した外部情報に基づいて判断することと
    を含む車載用通信方法。
     

Images