WO2015194323A1

WO2015194323A1 - ネットワークシステム、通信制御方法および記憶媒体

Info

Publication number: WO2015194323A1
Application number: PCT/JP2015/064955
Authority: WO
Inventors: 秀一瀬川
Original assignee: 株式会社リコー; 秀一瀬川
Priority date: 2014-06-16
Filing date: 2015-05-25
Publication date: 2015-12-23
Also published as: EP3157203B1; CN106464566B; CN106464566A; EP3157203A4; EP3157203A1; JPWO2015194323A1; JP6327344B2; RU2659489C1; US20170099201A1

Abstract

　１以上の通信ノード、およびゲートウェイを含むネットワークシステムであって、前記ゲートウェイは、前記ネットワークシステムに新たに接続される通信ノードとの通信における通信パラメータを監視する監視部と、前記監視部によって監視される通信パラメータが所定の通信条件を満たすか否かに基づいて前記新たに接続される通信ノードの信頼性を判断し、該信頼性に応じて前記所定の通信条件を変更する通信制御部とを有する。

Description

ネットワークシステム、通信制御方法および記憶媒体

　本開示の一側面は、ネットワークシステムに関する。

　車載通信ネットワークには、様々な通信ノードが参加することが想定され、その中には、通信ノードのプログラムの不正な書き換えなどの不正行為が行われた信用できない通信ノードが含まれる可能性がある。車載通信ネットワークに、信用できない通信ノードの接続が許可されることによって、周辺デバイスの損傷、通信帯域が食いつぶされるなどの問題が発生するおそれがある。

　認証に基づいて車載通信ネットワークへのアクセスを制御することによって、信用できる通信ノードの通信を許可する技術が知られている（例えば、特許文献１参照）。この技術では、外部装置接続用のコネクタに接続されたツールが正規品であるか否かを識別することで、該コネクタを介して、車載通信ネットワークに接続された車載装置に対する不正行為が行われることを阻止する。

特開２０１３－１３５３１１号公報

　しかし、従来の車載通信ネットワークへのアクセス制御方式では、証明書やパスワードによって認証を行った通信ノードの接続の可否を制御している。このため、認証できない通信ノードについては、正常に動作することが見込まれるものでも一律に接続が拒否されるため、機能させることができない。

　仮に、正規品でないために、認証できない通信ノードの接続を許可するようにした場合、車載通信ネットワークへの悪影響が懸念される。

　そこで、本開示の一側面は、車載通信ネットワークに接続する通信ノードの信頼性に応じて、その通信ノードを機能させることを目的とする。

　本開示の一側面によれば、１以上の通信ノード、およびゲートウェイを含むネットワークシステムが提供される。前記ゲートウェイは、前記ネットワークシステムに新たに接続される通信ノードとの通信における通信パラメータを監視する監視部と、前記監視部によって監視される通信パラメータが所定の通信条件を満たすか否かに基づいて前記新たに接続される通信ノードの信頼性を判断し、該信頼性に応じて前記所定の通信条件を変更する通信制御部とを有する。

　本開示の一側面によれば、車載通信ネットワークに接続する通信ノードの信頼性に応じて、その通信ノードを機能させることができる。

車載通信ネットワークの一実施例を示す図である。図１に示す車載通信ネットワークの一部分を示す図である。ＥＣＵのハードウェア構成の一実施例を示す図である。ネットワークコントローラのハードウェア構成の一実施例を示す図である。ＥＣＵ、およびネットワークコントローラの一実施例を示す機能ブロック図である。信頼性レベル通信制御対応テーブルの一例を示す図である。信頼性レベル通信制御内容対応テーブルの一例を示す図である。車載通信ネットワークの動作の一実施例を示すシーケンスチャートである。車載通信ネットワークの動作の一実施例を示すシーケンスチャートである。車載通信ネットワークの動作の一実施例を示すフローチャートである。車載通信ネットワークの適用例を示す図である。ネットワークコントローラのハードウェア構成の一変形例を示す図である。ネットワークコントローラの一変形例を示す機能ブロック図である。車載通信ネットワークの一変形例を示す図である。車載通信ネットワークの一変形例を示す図である。

　次に、本発明を実施するための形態を、以下の実施例に基づき図面を参照しつつ説明する。以下で説明する実施例は一例に過ぎず、本発明が適用される実施の形態は、以下の実施例に限られない。なお、実施例を説明するための全図において、同一機能を有するものは同一符号を用い、繰り返しの説明は省略する。

　＜実施例＞
　＜車載通信ネットワーク＞
　図１は、車載通信ネットワークの一実施例を示す。

　車載通信ネットワークは１つのネットワークまたは複数のネットワークが結合された集合体によって構成され、各ネットワークには、１または複数の部品、デバイス、電子制御ユニット(ECU: Electronic Control Unit)などの通信ノードが接続される。車載通信ネットワークには、車両診断用装置などのツールが接続される外部接続ポートなども接続されることがある。

　各通信ノードは修理の際に置き換えられたり、ネットワークに正規品ではない社外品、カスタム品などの非正規品が接続される可能性がある。さらに、外部接続ポートに不特定のツールや計測装置などが接続される可能性がある。ここでは、通信ノードの一例として、ＥＣＵを適用する。

　車載通信ネットワークは、ヘッドユニット１００、ＥＣＵ１０２、ＥＣＵ１０４、ネットワークコントローラ１０６、ＥＣＵ１１０、自己故障診断(OBD: On-board diagnostics)ポート２０２、ＥＣＵ２０４、情報デバイス３０２、ネットワークユニット３０４、および無線デバイス４００を備える。

　ヘッドユニット１００、ＥＣＵ１０２、ＥＣＵ１０４、およびネットワークコントローラ１０６は、第１の通信バス１０８によって接続されることによりＣＡＮ(Controller Area Network)、イーサネット(Ethernet)（登録商標）、ローカルエリアネットワーク(LAN: Local Area Network)などの第１のネットワークを構成する。ヘッドユニット１００、ＯＢＤポート２０２、およびＥＣＵ２０４は、第２の通信バス２０６によって接続されることによりＣＡＮ、イーサネット（登録商標）、ローカルエリアネットワークなどの第２のネットワークを構成する。ヘッドユニット１００、情報デバイス３０２、およびネットワークユニット３０４は、第３の通信バス３０６によって接続されることによりＣＡＮ、イーサネット（登録商標）、ローカルエリアネットワークなどの第３のネットワークを構成する。ネットワークコントローラ１０６、およびＥＣＵ１１０は、第４の通信バス１１２によって接続されることによりＣＡＮ、イーサネット（登録商標）、ローカルエリアネットワークなどの第４のネットワークを構成する。

　ヘッドユニット１００は、ナビゲーションやオーディオ、ビデオなどのマルチメディア機能を有し、無線デバイス４００との間で無線通信を行い、無線デバイス４００から送信される音楽や動画データを再生する。さらに、後述するが、ヘッドユニット１００は、ネットワークユニット３０４から入力される情報に基づいて動作する。

　ＥＣＵ１０２、１０４、１１０、および２０４は、主に、点火時期や燃料調整、スロットル開度、バルブタイミング、アイドリング調整などのエンジン制御を行う。また、ＥＣＵ１０２、１０４、１１０、および２０４は、アンチロック・ブレーキ・システム(ABS: Antilock Brake System)などのブレーキ制御、トラクションコントロールの制御、エアバッグ、エアコン、各メーター類、イモビライザー、ルームランプなどの電装品を制御するようにすることもできる。

　ネットワークコントローラ１０６は、ＥＣＵ１１０の信頼性に応じてＥＣＵ１１０を第１のネットワークに接続するか否かを判断するとともに、接続するものについては、その信頼性に応じて、ＥＣＵ１１０へ割り当てる帯域を設定したり、第１のネットワークに出力するＥＣＵ１１０が送信するパケットを設定したりするなどの送信制御を行う。例えば、ネットワークコントローラ１０６は、ＥＣＵ１１０に対する通信パラメータを調整することによって、割り当てる帯域を制限したり、第１のネットワークに転送するパケットを制限したりする。

　ＯＢＤポート２０２は、ＯＢＤが記録した故障診断した内容を取得する際に、専用端末などを接続するポートである。車両の整備士などは、ＯＢＤポート２０２から取得した故障診断した内容を取得し、その内容を解析できる。例えば、ＯＢＤは故障診断した際に、故障の箇所や内容をランプの点灯や明滅あるいはブザー音などの鳴動で通知し、その内容に応じたコードを記録する。また、ＯＢＤポート２０２には、レーダー探知機、外部メータなどを接続することもでき、走行中の水温やブースト圧、燃費などを計測することもできる。

　情報デバイス３０２は、ネットワークユニット３０４によって取得される情報を格納するとともに、ヘッドユニット１００へ出力する。

　ネットワークユニット３０４は、アクセスポイント５００との間で無線通信を行うことによって、アクセスポイント５００と接続されるネットワーク（図示なし）に接続されるサーバ(図示無し)などから地図データの取得を行ったり、音楽データのダウンロードなどを行うことができる。例えば、ヘッドユニット１００がナビゲーションとして機能する場合には、ネットワークユニット３０４は更新された地図データをダウンロードし、ヘッドユニット１００がオーディオとして機能する場合には、ネットワークユニット３０４は音楽や動画データをダウンロードする。さらに、後述するが、ネットワークユニット３０４は、アクセスポイント５００との間で無線通信を行うことによって、アクセスポイント５００と接続されるネットワーク（図示なし）に接続されるサーバ(図示無し)などからサービスの提供を受けることができる。

　無線デバイス４００は、無線ＬＡＮモジュールなどの無線装置を備え、ヘッドユニット１００との間で無線通信を行う。

　図１に示す車載通信ネットワークにおいて、ネットワークコントローラ１０６、およびＥＣＵ１１０は、一旦車載通信ネットワークが構成された後に、新たに追加されたものである。つまり、第１のネットワークに新たにＥＣＵ１１０などの通信ノードを追加する場合、第１の通信バス１０８にネットワークコントローラ１０６を接続し、そのネットワークコントローラ１０６に新たに追加するＥＣＵ１１０を接続する。

　ここでは、第１のネットワークに新たにＥＣＵ１１０などの通信ノードを追加する場合について説明する。第２のネットワーク、第３のネットワークに新たにＥＣＵなどの通信ノードを追加する場合についても適用できる。

　図２は、図１の車載通信ネットワークの第１のネットワークを示す。図２に示されるように、第１のネットワークはバス型のネットワークであり、第１の通信バス１０８に、ヘッドユニット１００、複数のＥＣＵ１０２、１０４、およびネットワークコントローラ１０６が接続され、ネットワークコントローラ１０６にＥＣＵ１１０が接続される。

　＜ＥＣＵ１０２のハードウェア構成＞
　図３は、本実施形態に係るＥＣＵ１０２のハードウェア構成図である。図３に示されているように、本実施形態に係るＥＣＵ１０２は、ＥＣＵ１０２全体の動作を制御するＣＰＵ(Central Processing Unit)１０２４、およびＣＰＵ１０２４の駆動に用いられるプログラムを記憶したＲＯＭ(Read Only Memory)１０２６を備える。さらに、ＥＣＵ１０２は、ＣＰＵ１０２４のワークエリアとして使用されるＲＡＭ(Random Access Memory)１０２８、および上記各構成要素を図３に示されているように電気的に接続するためのアドレスバスやデータバスなどのバスライン１０２３を備える。

　また、ＥＣＵ１０２は、ＣＰＵ１０２４から入力される送信データをトランシーバ１０３２へ出力することによって、第１の通信バス１０８へ送信するとともに、トランシーバ１０３２から入力される受信データをＣＰＵ１０２４へ入力する通信部１０３０を備える。ＣＰＵ１０２４、ＲＯＭ１０２６、ＲＡＭ１０２８、通信部１０３０、およびバスライン１０２３をマイクロコントローラ１０２２として構成することもできる。また、ＥＣＵ１０２は、通信部１０３０から入力される送信データを第１の通信バス１０８へ送信するとともに、第１の通信バス１０８から受信される受信データを通信部１０３０へ入力するトランシーバ１０３２を備える。

　図３に示すＥＣＵ１０２のハードウェア構成は、ＥＣＵ１０４、ＥＣＵ１１０、ＥＣＵ２０４にも適用できる。

　＜ネットワークコントローラ１０６のハードウェア構成＞
　図４は、本実施形態に係るネットワークコントローラ１０６のハードウェア構成図である。図４に示されているように、本実施形態のネットワークコントローラ１０６は、ネットワークコントローラ１０６全体の動作を制御するＣＰＵ１０６４、およびＣＰＵ１０６４の駆動に用いられるプログラムを記憶したＲＯＭ１０６６を備える。さらに、ネットワークコントローラ１０６は、ＣＰＵ１０６４のワークエリアとして使用されるＲＡＭ１０６８、および上記各構成要素を図４に示されているように電気的に接続するためのアドレスバスやデータバスなどのバスライン１０６３を備える。

　また、ネットワークコントローラ１０６は、ＣＰＵ１０６４から入力される送信データを第１のトランシーバ１０７２、第２のトランシーバ１０７４へ出力することによって、それぞれ第１の通信バス１０８、第４の通信バス１１２へ送信するとともに、第１のトランシーバ１０７２、または第２のトランシーバ１０７４から入力される受信データをＣＰＵ１０６４へ入力する通信部１０７０を備える。ＣＰＵ１０６４、ＲＯＭ１０６６、ＲＡＭ１０６８、および通信部１０６３をマイクロコントローラ１０６２として構成することもできる。

　また、ネットワークコントローラ１０６は、通信部１０７０から入力される送信データを第１の通信バス１０８へ送信するとともに、第１の通信バス１０８から受信される受信データを通信部１０７０へ入力する第１のトランシーバ１０７２、通信部１０７０から入力される送信データを第４の通信バス１１２へ送信するとともに、第４の通信バス１１２から受信される受信データを通信部１０７０へ入力する第２のトランシーバ１０７４を備える。

　＜機能構成＞
　次に、本実施形態の機能構成について説明する。図５は、本実施形態のネットワークコントローラ１０６、およびＥＣＵ１１０の機能ブロック図である。図５に示されるように、ネットワークコントローラ１０６とＥＣＵ１１０とは、通信可能なように有線接続されている。

　＜ＥＣＵ１１０の機能構成＞
　ＥＣＵ１１０は、送受信部１１０２、認証処理部１１０４、送信データ作成部１１０６、記憶・読出処理部１１０８、記憶部１１１０、および通信制御部１１１２を有している。これら各部は、図３に示されている各構成要素のいずれかが、ＲＯＭ１０２６からＲＡＭ１０２８上に展開されたＥＣＵ用プログラムに従ったＣＰＵ１０２４からの命令によって動作することで実現される機能、または機能される手段である。

　（ＥＣＵ１１０の各機能構成の説明）
　次に、図３および図５を用いて、ＥＣＵ１１０の各機能構成について詳細に説明する。なお、以下では、ＥＣＵ１１０の各機能構成部を説明するにあたって、図３に示されている各構成要素のうち、ＥＣＵ１１０の各機能構成部を実現させるための主な構成要素との関係も説明する。

　図５に示されているＥＣＵ１１０の送受信部１１０２は、図３に示されているＣＰＵ１０２４からの命令、図３に示されている通信部１０３０によって実現され、第４のネットワークを介して、ネットワークコントローラ１０６と各種データ（または情報）の送受信を行う。

　図５に示されているＥＣＵ１１０の記憶・読出処理部１１０８は、図３に示されているＣＰＵ１０２４からの命令によって実現され、記憶部１１１０に各種データを記憶したり、記憶部１１１０に記憶された各種データを読み出す処理を行う。この記憶部１１１０には、ＥＣＵ１１０を識別するためのノードＩＤ、ＥＣＵ１１０の信頼性レベル、およびネットワークコントローラ１０６と共有されるパスワードなどの認証キーが記憶される。なお、ノードＩＤは予め記憶部１１１０に記憶されていてもよいし、ＥＣＵ１１０の利用者が利用する際に記憶部１１１０に入力してもよい。

　なお、本実施形態のノードＩＤは、ＥＣＵを一意に識別するために使われる言語、文字、記号、または各種のしるし等の識別情報を示す。また、ノードＩＤは、上記言語、文字、記号、および各種のしるしのうち、少なくとも２つが組み合わされた識別情報であってもよい。

　図５に示されているＥＣＵ１１０の記憶部１１１０は、図３に示されているＲＯＭ１０２６によって実現され、ＥＣＵ１１０のノードＩＤ、ＥＣＵ１１０の信頼性レベル、およびネットワークコントローラ１０６と共有するパスワードなどの認証キーを記憶する。

　図５に示されているＥＣＵ１１０の認証処理部１１０４は、図３に示されているＣＰＵ１０２４からの命令によって実現され、ネットワークコントローラ１０６へ認証を要求する。認証処理部１１０４は、記憶・読出処理部１１０８に記憶部１１１０に格納されたノードＩＤ、および信頼性レベルを読み出させ、そのノードＩＤ、および信頼性レベルを付帯した認証要求を作成し、送受信部１１０２から送信する。さらに、ネットワークコントローラ１０６から送信されるチャレンジが送受信部１１０２によって受信されると、認証処理部１１０４は、そのチャレンジに付帯されたＮｏｎｃｅ（乱数）を取得するとともに、記憶・読出処理部１１０８に記憶部１１１０に格納された認証キーを読み出させる。さらに、認証処理部１１０４は、取得したＮｏｎｃｅ、および認証キーを組み合わせて所定の演算を行い、その演算結果をレスポンスとして、送受信部１１０２から送信する。さらに、ネットワークコントローラ１０６から送信される認証応答が送受信部１１０２によって受信されると、認証処理部１１０４は、その認証応答が通信を許可することを示す場合には、通信制御部１１１２へ認証されたことを通知する。また、例えば、認証処理部１１０４は、ＥＡＰ－ＴＬＳによって、ネットワークコントローラ１０６との間で相互で証明書による認証を行うことや、ＰＥＡＰによって認証を行うことができる。ネットワークコントローラ１０６をＲＡＤＩＵＳサーバとして機能させることもできる。

　図５に示されているＥＣＵ１１０の送信データ作成部１１０６は、図３に示されているＣＰＵ１０２４からの命令によって実現され、他の通信ノードへ送信する各種データ（または情報）を作成し、送受信部１１０２から送信する。

　図５に示されているＥＣＵ１１０の通信制御部１１１２は、図３に示されているＣＰＵ１０２４からの命令、図３に示される通信部１０３０によって実現される。通信制御部１１１２は、送信データ作成部１１０６によって作成した送信データの送信制御を行う。

　＜ネットワークコントローラ１０６の機能構成＞
　ネットワークコントローラ１０６は、第１の送受信部１０７６、認証処理部１０７８、レベル設定部１０８０、監視部１０８２、記憶・読出処理部１０８４、記憶部１０８６、通信制御部１０８８、帯域計測部１０９０、および第２の送受信部１０９２を有している。これら各部は、図４に示されている各構成要素のいずれかが、ＲＯＭ１０６６からＲＡＭ１０６８上に展開されたネットワークコントローラ用プログラムに従ったＣＰＵ１０６２からの命令によって動作することで実現される機能、または機能される手段である。

　（ネットワークコントローラ１０６の各機能構成の説明）
　次に、図４および図５を用いて、ネットワークコントローラ１０６の各機能構成について詳細に説明する。なお、以下では、ネットワークコントローラ１０６の各機能構成部を説明するにあたって、図４に示されている各構成要素のうち、ネットワークコントローラ１０６の各機能構成部を実現させるための主な構成要素との関係も説明する。

　図５に示されているネットワークコントローラ１０６の第１の送受信部１０７６は、図４に示されているＣＰＵ１０６４からの命令、図４に示されている通信部１０７０によって実現され、第１のネットワークを介して、他のＥＣＵ（ＥＣＵ１０２、１０４）、またはヘッドユニット１００と各種データ（または情報）の送受信を行う。

　図５に示されているネットワークコントローラ１０６の第２の送受信部１０９２は、図４に示されているＣＰＵ１０６４からの命令、図４に示されている通信部１０７０によって実現され、第４のネットワークを介して、ＥＣＵ１１０と各種データ（または情報）の送受信を行う。

　図５に示されているネットワークコントローラ１０６のレベル設定部１０８０は、図４に示されているＣＰＵ１０６４からの命令によって実現され、ＥＣＵ１１０の信頼性のレベルを設定する。信頼性のレベルは、正規品レベル、準正規品レベル、市場品レベル、準市場品レベル、および非認証レベルに分類される。

　＜信頼性レベル＞
　正規品レベルのＥＣＵは、車両などの製品を製造販売するメーカーによって販売されている純正品であり、製品を製造販売するメーカーによって認定されたものであり、最も信頼性が高い。

　準正規品レベルのＥＣＵは、車両などの製品を製造販売するメーカーが部品メーカーなどの部品製造会社に指示して製造させた特殊な規格や性能を持つものであり、正規品レベルのＥＣＵと同等以上の性能を有し、正規品レベルのＥＣＵに次いで信頼性が高い。

　市場品レベルのＥＣＵは、一般的な規格でつくられた汎用部品であり、正規品レベルのＥＣＵと同等の性能を有し、正規品レベルのＥＣＵと互換性を有する非純正品であり、準正規品レベルのＥＣＵに次いで信頼性が高い。

　準市場品レベルのＥＣＵは、一般的な規格でつくられた汎用部品であり、正規品レベルのＥＣＵと同等の性能を有するが、正規品レベルのＥＣＵと互換性を有することは保証されていない。準市場品レベルのＥＣＵは、市場品レベルのＥＣＵに次いで信頼性が高い。

　非認証レベルのＥＣＵは、一般的な規格で製造された汎用部品であり、正規品レベルのＥＣＵと互換性を有することは保証されていない。非認証レベルのＥＣＵは最も信頼性が低い。上記信頼性のレベルは、一例であり、２－４種類で分類することや、６種類以上に分類することもできる。また、各分類の内容についても適宜設定できる。

　図５に戻り説明を続ける。図５に示されているネットワークコントローラ１０６の記憶・読出処理部１０８４は、図４に示されているＣＰＵ１０６４からの命令によって実現され、記憶部１０８６に各種データを記憶し、記憶部１０８６に記憶された各種データを読み出す処理を行う。

　図５に示されているネットワークコントローラ１０６の記憶部１０８６は、図４に示されているＲＯＭ１０６６によって実現され、ＥＣＵを認証する際に通信可能なＥＣＵを識別するためのノードＩＤが記載されたノードＩＤテーブル、およびＥＣＵ１１０と共有されるパスワードなどの認証キーが記憶される。さらに、記憶部１０８６には、信頼性レベル通信制御内容対応テーブルが格納される。信頼性レベル通信制御内容対応テーブルについては後述する。

　図６は、信頼性レベルと通信制御の内容とを対応づけた信頼性レベル通信制御対応テーブルを示す。図６に示すように、信頼性レベルが正規品レベルであるＥＣＵは、利用する帯域（利用帯域）として設定できる通信帯域は送信側が制御し、機能をフルに利用できる。信頼性レベルが準正規品レベルであるＥＣＵは、利用帯域は送信側が制御するが、機能は制限される。信頼性レベルが市場品レベルであるＥＣＵは、利用帯域はネットワークコントローラ１０６が制御し、機能は制限される。信頼性レベルが準市場品レベルであるＥＣＵは、利用帯域、および機能は安全性が保証できるレベルに制限されるとともに、周辺のノードに危険な状態であることを通知し、危険なノードを安全に切断できる状態へ移行させる。信頼性レベルが非認証レベルであるＥＣＵは、利用帯域、および機能は安全性が保証できるレベルに強く制限される。

　図６に示されるのは一例であり、図６とは異なるように通信制御の内容が設定されてもよい。

　＜信頼性レベル通信制御内容対応テーブル＞
　図７は、信頼性レベル通信制御内容対応テーブルの一例を示す。信頼性レベル通信制御内容対応テーブルは、信頼性レベルの各々について、通信制御の具体的内容を紐付けることによって対応付ける。

　図７に示すように、信頼性レベル、通信帯域、通信対象、利用機能、違反基準、および違反時アクションが紐付けられることによって対応付けられる。ここで、通信帯域はネットワークコントローラ１０６とＥＣＵ１１０との間の通信に使用する帯域であり、通信対象はＥＣＵ１００の通信できる相手である。また、利用機能はＥＣＵ１１０が利用できる機能であり、ＥＣＵ１１０が参照できる情報や、取得できる情報である。また、違反基準はＥＣＵの振る舞いを判定する基準であり、違反時アクションは違反基準に該当すると判定されたＥＣＵに対して行われる処理である。

　信頼性レベルが正規品レベルであるＥＣＵは、通信帯域、通信対象、および利用機能の制限は行われず、違反基準、および違反時アクションについても設定されない。

　信頼性レベルが準正規品レベルであるＥＣＵは、通信帯域は１Ｍｂｐｓなどの信頼性レベルが正規品レベルであるＥＣＵよりも狭い範囲で制御でき、通信対象はセンシティブな通信ノード以外と通信でき、利用機能はそのＥＣＵを供給するベンダーによって公開された機能に制限される。違反基準は、１Ｍｂｐｓを超えた帯域でアクセスしようとした場合またはベンダーによって公開された機能以外の機能にアクセスしようとした場合であり、違反時には信頼性のレベルが、例えば、市場品レベルなどの信頼性が低いレベルへ変更される。

　信頼性レベルが市場品レベルであるＥＣＵは、通信帯域は１００ｋｂｐｓなどの信頼性レベルが準正規品レベルであるＥＣＵよりも狭い範囲で制御でき、通信対象は市場品レベルのＥＣＵがアクセスできる通信ノードとして指定されたノードに制限され、利用機能はそのＥＣＵを供給するベンダーによって公開された機能に制限される。違反基準は、アクセスできるノードとして指定された通信ノード以外の通信ノードにアクセスしようとした場合またはベンダーによって公開された機能以外の機能にアクセスしようとした場合であり、違反時には信頼性のレベルが、例えば、準市場品レベルなどの信頼性が低いレベルへ変更される。

　信頼性レベルが準市場品レベルであるＥＣＵは、通信帯域は１０ｋｂｐｓなどの信頼性レベルが市場品レベルであるＥＣＵよりも狭い範囲で制御でき、通信対象は市場品レベルのＥＣＵがアクセスできるノードとして指定されたノードに制限され、利用機能はそのＥＣＵを供給するベンダーによって公開された機能に制限される。違反基準、および違反時アクションについても設定されない。信頼性レベルが準市場品レベルであるＥＣＵは、通信帯域および機能は安全性が保証できるレベルに強く制限されているためである。

　信頼性レベルが非認証品レベルであるＥＣＵは、利用帯域は１０ｋｂｐｓなどの信頼性レベルが市場品レベルであるＥＣＵよりも狭い範囲で制御でき、通信対象はヘッドユニット１００に制限され、利用機能は速度情報の取得に制限される。違反基準、および違反時アクションについても設定されない。信頼性レベルが非認証品レベルであるＥＣＵは、通信帯域および機能は安全性が保証できるレベルに強く制限されているためである。図７に示されるのは一例であり、図７とは異なるように通信制御の内容が設定されてもよい。

　図５に戻り説明を続ける。図５に示されているネットワークコントローラ１０６の認証処理部１０７８は、図４に示されているＣＰＵ１０６４からの命令によって実現され、ＥＣＵ１１０を認証する。認証処理部１０７８は、第２の送受信部１０９２によってＥＣＵ１１０から送信される認証要求が受信された場合に、その認証要求に付帯されるノードＩＤ、および信頼性レベルを取得する。

　さらに、認証処理部１０７８は、記憶・読出処理部１０８４に記憶部１０８６に格納されたノードＩＤテーブルを読み出させ、認証要求に付帯されるノードＩＤが記載されているか否かを判定する。認証処理部１０７８は、ノードＩＤテーブルに認証要求に付帯されるノードＩＤが記載されている場合には、Ｎｏｎｃｅ（乱数）を生成し、第２の送受信部１０９２から送信する。さらに、認証処理部１０７８は、生成したＮｏｎｃｅ、および認証キーを組み合わせてＥＣＵ１１０と同様に、所定の演算を行い、ＥＣＵ１１０からそのＥＣＵ１１０により演算された結果が第２の送受信部１０９２によって受信された場合、第２の送受信部１０９２によって受信された演算結果と、認証処理部１０７８による演算結果とを照合することによって、認証処理を行う。認証処理部１０７８は、照合の結果一致する場合には認証できたことを表す情報を付帯した認証応答を作成し、照合の結果一致しない場合には認証できなかったことを表す情報を付帯した認証応答を作成し、第２の送受信部１０９２から送信する。認証処理部１０７８は、照合の結果一致する場合には、通信制御部１０８８に認証ができたことを通知する。また、例えば、認証処理部１０７８は、ＥＡＰ－ＴＬＳ(Extensible Authentication Protocol Transport Layer Security）によって、ＥＣＵ１１０との間で相互に証明書による認証を行うことや、ＰＥＡＰ（protected EAP）によって認証を行うことができる。ネットワークコントローラ１０６をＲＡＤＩＵＳサーバとして機能させることもできる。

　図５に示されているネットワークコントローラ１０６の監視部１０８２は、図４に示されているＣＰＵ１０６４からの命令、図４に示される通信部１０７０によって実現され、新たに接続されるＥＣＵ１１０がパケットを送信する帯域、ＥＣＵ１１０のアクセス先などのＥＣＵ１１０の振る舞いを監視する。

　図５に示されているネットワークコントローラ１０６の通信制御部１０８８は、図４に示されているＣＰＵ１０６４からの命令、図４に示される通信部１０７０によって実現される。通信制御部１０８８は、認証処理部１０７８から認証できたことが通知されると、記憶・読出処理部１０８４に記憶部１０８６に格納された信頼性レベル通信制御内容対応テーブルを読み出させ、レベル設定部１０８０によって判断された信頼性レベルに紐付けられた通信帯域、通信対象、利用機能に基づいて、ＥＣＵ１１０を制御する。また、通信制御部１０８８は、ＥＣＵ１１０との間で通信中に監視部１０８２によって監視されるＥＣＵ１１０の振る舞いに応じて、違反基準に該当するか否かを判断し、該当する場合には違反時アクションにしたがって信頼性レベルを変更すると判断し、レベル設定部１０８０へ設定されている信頼性レベルを更新する。

　図５に示されているネットワークコントローラ１０６の帯域計測部１０９０は、図４に示されているＣＰＵ１０６４からの命令、図４に示される通信部１０７０によって実現され、ネットワークコントローラ１０６とＥＣＵ１１０との間の通信に利用された帯域を計測する。

　＜車載通信ネットワークの動作＞
　図８は、車載通信ネットワークの動作の一実施例を示す。

　図８に示される車載通信ネットワークの動作の前提として、ＥＣＵ１１０、およびネットワークコントローラ１０６にはパスワードなどの認証キーが予め設定され、ＥＣＵ１１０、およびネットワークコントローラ１０６は予め決定されるアルゴリズムにしたがって認証キー、およびＮｏｎｃｅを組み合わせて演算する。

　ステップＳ８０２では、ＥＣＵ１１０の認証処理部１１０４は、ノードＩＤ、および信頼性レベルを付帯した認証要求を作成する。

　ステップＳ８０４では、ＥＣＵ１１０の送受信部１１０２は、認証処理部１１０４によって作成した認証要求をネットワークコントローラ１０６へ送信する。

　ステップＳ８０６では、ネットワークコントローラ１０６の第２の送受信部１０９２によって認証要求が受信されると、認証処理部１０７８はその認証要求を取得する。認証処理部１０７８は、認証要求に付帯されているノードＩＤ、および信頼性レベルをチェックする。

　ステップＳ８０８では、ネットワークコントローラ１０６の認証処理部１０７８は、ノードＩＤに基づいて自ネットワークコントローラ１０６とＥＣＵ１１０との間で通信可能であることが確認できた後に、Ｎｏｎｃｅを発生する。ここで、認証処理部１０７５は、ノードＩＤに基づいてネットワークコントローラ１０６とＥＣＵ１１０との間で通信可能であることが確認できない場合には、再度ノードＩＤをＥＣＵ１１０へ問い合わせることもできる。所定の回数問い合わせても通信可能であることが確認できない場合には、そのアカウントとしてのノードＩＤをアカウントロックすることもできる。

　ステップＳ８１０では、ネットワークコントローラ１０６の第２の送受信部１０９２は、認証処理部１０７８によって発生したＮｏｎｃｅ（チャレンジ）をＥＣＵ１１０へ送信する。

　ステップＳ８１２では、ＥＣＵ１１０の送受信部１１０２によってＮｏｎｃｅを受信すると、認証処理部１１０４は、認証キー、および送受信部１１０２によって受信したＮｏｎｃｅを組み合わせて演算する。

　ステップＳ８１４では、ネットワークコントローラ１０６の認証処理部１０７８は、認証キー、および発生したＮｏｎｃｅを組み合わせて演算する。

　ステップＳ８１６では、ＥＣＵ１１０の送受信部１１０２は、認証処理部１１０４によって演算した結果をレスポンスとして、ネットワークコントローラ１０６へ送信する。

　ステップＳ８１８では、ネットワークコントローラ１０６の第２の送受信部１０９２によってレスポンスを受信すると、認証処理部１０７８は、ステップＳ８１４における演算結果と、ステップＳ８１６においてＥＣＵ１１０から送信された演算結果とを照合することによって、ＥＣＵ１１０を認証する。

　ステップＳ８２０では、ネットワークコントローラ１０６の認証処理部１０７８は、第２の送受信部１０９２からステップＳ８１８における認証結果をＥＣＵ１１０へ送信する。

　ステップＳ８１８においてＥＣＵ１１０の認証が成功した場合には、認証処理部１０７８は、ＥＣＵ１１０の信頼性レベルをレベル設定部１０８０に設定するとともに、通信制御部１０８８に認証が成功したことを通知する。

　これによってネットワークコントローラ１０６は、新たに接続されるＥＣＵ１１０との間で通信できるか否かを判断できるとともに、通信できる場合にＥＣＵ１１０の信頼性レベルを設定できる。

　図８に示すシーケンスチャートは一例であり、このシーケンスチャートの順番とは異なる順番で処理することも可能である。例えば、ステップＳ８１４とＳ８１６は逆の順番としてもよい。

　図９は、車載通信ネットワークの動作の一実施例を示す。

　図９は、ネットワークコントローラ１０６によってＥＣＵ１１０が認証された以降の動作を示す。

　ステップＳ９０２では、ネットワークコントローラ１０６の認証処理部１０７８によって、ＥＣＵ１１０の認証が行われる。ここでは、認証処理部１０７８は、ＥＣＵ１１０の認証に成功する。

　ステップＳ９０４では、ネットワークコントローラ１０６の認証処理部１０７８は、ＥＣＵ１１０の認証が成功すると、レベル設定部１０８０にＥＣＵ１１０の信頼性レベルを設定するとともに、通信制御部１０８８にＥＣＵ１１０の認証が成功したことを通知する。

　ステップＳ９０６では、ネットワークコントローラ１０６の通信制御部１０８８は、第２の送受信部１０７６から、第１のネットワークを構成するヘッドユニット１００、ＥＣＵ１０２およびＥＣＵ１０４にエンティティが追加されたことを通知する。

　ステップＳ９０８では、ＥＣＵ１１０の送信データ作成部１１０６は、送信データを付帯したパケットを作成し、通信制御部１１１２は、送信データ作成部１１０６が作成したパケットを送受信部１１０２から送信する。

　ステップＳ９１０では、ＥＣＵ１１０から送信されたパケットは、ネットワークコントローラ１０６の第２の送受信部１０９２によって受信され、通信制御部１０８８へ入力される。通信制御部１０８８は、第２の送受信部１０９２からパケットが入力されると、記憶・読出処理部１０８４に記憶部１０８６に格納された信頼性レベル通信制御内容対応テーブルを取得させるとともに、パケットが送信された通信帯域、パケットの通信対象、およびパケットによって利用する機能を特定する。

　通信制御部１０８８は、信頼性レベル通信制御内容対応テーブルのＥＣＵ１１０の信頼性レベルに紐付けられた通信帯域、通信対象、および利用する機能を参照し、ＥＣＵ１１０から送信されたパケットが満たすか否かを判定する。

　ステップＳ９１２では、信頼性レベル通信制御内容対応テーブルにおいて、ＥＣＵ１１０の信頼性レベルに紐付けられた通信帯域、通信対象、および利用する機能を、ＥＣＵ１１０から送信されたパケットが満たすと判定された場合、通信制御部１０８８は、パケットを第１の送受信部１０７６から第１のネットワークへ送信する。

　ステップＳ９１４では、ＥＣＵ１１０の送信データ作成部１１０６は、送信データを付帯したパケットを作成し、通信制御部１１１２は、送信データ作成部１１０６が作成したパケットを送受信部１１０２から送信する。

　ステップＳ９１６では、ＥＣＵ１１０から送信されたパケットは、ネットワークコントローラ１０６の第２の送受信部１０９２によって受信され、通信制御部１０８８へ入力される。通信制御部１０８８は、第２の送受信部１０９２からパケットが入力されると、記憶・読出処理部１０８４に記憶部１０８６に格納された信頼性レベル通信制御内容対応テーブルを取得させるとともに、パケットが送信された通信帯域、パケットの通信対象、およびパケットによって利用する機能を特定する。通信制御部１０８８は、信頼性レベル通信制御内容対応テーブルのＥＣＵ１１０の信頼性レベルに紐付けられた通信帯域、通信対象、および利用する機能を参照し、ＥＣＵ１１０から送信されたパケットが満たすか否かを判定する。

　ステップＳ９１８では、信頼性レベル通信制御内容対応テーブルにおいて、ＥＣＵ１１０の信頼性レベルに紐付けられた通信帯域、通信対象、および利用する機能を、ＥＣＵ１１０から送信されたパケットが満たさないと判定した場合、通信制御部１０８８は、パケットの転送を拒絶する。さらに、通信制御部１０８８は、信頼性レベル通信制御内容対応テーブルのＥＣＵ１１０の信頼性レベルに紐付けられた違反基準に該当するか否かを判定し、該当する場合ＥＣＵ１１０の信頼性レベルを変更する。

　ステップＳ９１８において、信頼性レベル通信制御内容対応テーブルのＥＣＵ１１０の信頼性レベルに紐付けられた通信帯域、通信対象、および利用する機能を、ＥＣＵ１１０から送信されたパケットが満たさないと判定した場合、通信制御部１０８８は、その判定した後にＥＣＵ１１０から送信されるパケットによって利用しようとする機能を制限することもできる。また、通信制御部１０８８は、その判定した後にＥＣＵ１１０から送信されるパケットの通信帯域を狭くすることによって制限することもできる。

　また、ステップＳ９１８において、信頼性レベル通信制御内容対応テーブルのＥＣＵ１１０の信頼性レベルに紐付けられた通信帯域、通信対象、および利用する機能を、ＥＣＵ１１０から送信されたパケットが満たさないと判定した場合、通信制御部１０８８は、そのパケットを遅延させて送信することもできる。さらに、通信制御部１０８８は、ＥＣＵ１１０からのパケットを転送する頻度を下げることもできる。また、通信制御部１０８８は、ＥＣＵ１１０からのパケットの一部を転送し、残のパケットは壊すことなどによって無効化することもできる。

　これによってネットワークコントローラ１０６は、新たに接続されるＥＣＵ１１０の信頼性レベルに応じて、ＥＣＵ１１０から送信されるパケットを第１のネットワークに転送するか否かを判定できる。したがって、ネットワークコントローラ１０６がＥＣＵ１１０を認証した後であっても、ＥＣＵ１１０から送信されるパケットのうち、第１のネットワークへ転送しても、セキュリティ上安全なパケットを転送できる。

　図１０は、車載通信ネットワークの動作の一実施例を示す。

　図１０は、ネットワークコントローラ１０６がＥＣＵ１１０から送信されるパケットを判定する処理を示す。つまり、図９のステップＳ９１０、Ｓ９１６、およびＳ９１８の処理を示す。

　ステップＳ１００２では、ネットワークコントローラ１０６の監視部１０８２は、ＥＣＵ１１０から送信されるパケットを解析する。具体的には、監視部１０８２は、ＥＣＵ１１０がパケットを送信する帯域、パケットによって利用する機能などを解析する。

　ステップＳ１００４では、ネットワークコントローラ１０６の通信制御部１０８８は、記憶・読出処理部１０８４に記憶部１０８６に格納された信頼性レベル通信制御内容対応テーブルを読み出させる。さらに、通信制御部１０８８は、監視部１０８２によって解析されたパケットの利用機能が信頼性レベル通信制御内容対応テーブルの利用機能と合致するか否か判断する。

　ステップＳ１００６では、監視部１０８２によって解析されたパケットの利用機能が信頼性レベル通信制御内容対応テーブルの利用機能と合致する場合、通信制御部１０８８は、監視部１０８２によって解析されたパケットの通信帯域が信頼性レベル通信制御内容対応テーブルの通信帯域を満たすか否かを判断する。

　ステップＳ１００８では、監視部１０８２によって解析されたパケットの通信帯域が信頼性レベル通信制御内容対応テーブルの通信帯域を満たすと判定した場合、通信制御部１０８８は、そのパケットを第１の送受信部１０７６から送信する。

　ステップＳ１０１０では、ネットワークコントローラ１０６の帯域計測部１０９０は、ネットワークコントローラ１０６とＥＣＵ１１０との間の通信に利用された帯域を計測し、更新する。ここで、更新された帯域は、その後に送信されるパケットに対して、ステップＳ１００６で通信帯域を判断する際に使用される。

　ステップＳ１０１２では、ステップＳ１００４で監視部１０８２によって解析されたパケットの利用機能が信頼性レベル通信制御内容対応テーブルの利用機能と合致しない場合、またはステップＳ１００６で監視部１０８２によって解析されたパケットの通信帯域が信頼性レベル通信制御内容対応テーブルの通信帯域を満たさない場合、通信制御部１０８８は、そのパケットを送信しない。

　ステップＳ１０１４では、ネットワークコントローラ１０６の通信制御部１０８８は、監視部１０８２によって監視されるＥＣＵ１１０の振る舞いに応じて、違反基準に該当するか否かを判断し、該当する場合には、違反時アクションにしたがって、信頼性レベルを変更すると判断し、レベル設定部１０８０に設定される信頼性レベルを更新する。

　これにより、ネットワークコントローラ１０６は、新たに接続されるＥＣＵ１１０から送信されるパケットが安全であるか否かを判定でき、安全であると判定したパケットを第１のネットワークへ転送できる。図１０では、パケットの送信された帯域および利用機能でパケットが安全であるか否かを判定したが、さらに通信相手などの他の要素に基づいて判定することもできる。

　上述した実施例では、第１のバス１０８に、ヘッドユニット１００、複数のＥＣＵ１０２、１０４、およびネットワークコントローラ１０６が接続され、ネットワークコントローラ１０６にＥＣＵ１１０が接続される、いわゆるバス型のネットワークについて説明したが、バス型のネットワークに限られない。

　図１１は、第１のネットワークをスター型のネットワークに適用した例を示す。図１１に示すように、第１のネットワークをスター型のネットワークに適用した場合、ネットワークコントローラ１１４をハブとして、ネットワークコントローラ１１４にヘッドユニット１００、ＥＣＵ１０２、ＥＣＵ１０４、およびＥＣＵ１１０が放射状に接続される。図１１において、ＥＣＵ１１０は、新たに接続される通信ノードである。第１のネットワークをスター型のネットワークに適用した場合、新たに接続されるＥＣＵ１１０は、既に第１のネットワークを構成しているネットワークコントローラ１１４に接続される。

　ここでは、第１のネットワークをスター型のネットワークに適用する場合について説明するが、第１のネットワーク以外のネットワーク、例えば、第２－第４のネットワークにも適用できる。

　ネットワークコントローラ１１４およびヘッドユニット１００は第５の通信バス１１６によって接続され、ネットワークコントローラ１１４およびＥＣＵ１０２は第６の通信バス１１８によって接続され、ネットワークコントローラ１１４およびＥＣＵ１０４は第７の通信バス１２０によって接続され、ネットワークコントローラ１１４およびＥＣＵ１１０は第８の通信バス１２２によって接続される。ここで、ＥＣＵ１０２、ＥＣＵ１０４、およびＥＣＵ１１０については、上述した構成を適用できるが、ネットワークコントローラ１１４は、４つのノードが接続されるため、ネットワークコントローラ１０６の構成とは異なる。

　図１２は、ネットワークコントローラ１１４のハードウェア構成図である。図１２に示すように、ネットワークコントローラ１１４は、ネットワークコントローラ１１４全体の動作を制御するＣＰＵ１１４４、およびＣＰＵ１１４４の駆動に用いられるプログラムを記憶したＲＯＭ１１４６を備える。さらに、ネットワークコントローラ１１４は、ＣＰＵ１１４４のワークエリアとして使用されるＲＡＭ１１４８、および上記各構成要素を図１２に示されているように電気的に接続するためのアドレスバスやデータバスなどのバスライン１１４３を備える。

　また、ネットワークコントローラ１１４は、ＣＰＵ１１４４から入力される送信データを第１のトランシーバ１１５２、第２のトランシーバ１１５４、第３のトランシーバ１１５６、および第４のトランシーバ１１５８へ出力することによって、それぞれ第５の通信バス１１６、第６の通信バス１１８、第７の通信バス１２０、および第８の通信バス１２２へ送信し、第１のトランシーバ１１５２、第２のトランシーバ１１５４、第３のトランシーバ１１５６、および第４のトランシーバ１１５８から入力される受信データをＣＰＵ１１４４へ入力する通信部１１５０を備える。ＣＰＵ１１４４、ＲＯＭ１１４６、ＲＡＭ１１４８、および通信部１１５０をマイクロコントローラ１１４２として構成することもできる。

　さらに、ネットワークコントローラ１１４は、通信部１１５０から入力される送信データを第５の通信バス１１６へ送信するとともに、第５の通信バス１１６から受信される受信データを通信部１１５０へ入力する第１のトランシーバ１１５２を備える。ネットワークコントローラ１１４は、通信部１１５０から入力される送信データを第６の通信バス１１８へ送信するとともに、第６の通信バス１１８から受信される受信データを通信部１１５０へ入力する第２のトランシーバ１１５４を備える。

　さらに、ネットワークコントローラ１１４は、通信部１１５０から入力される送信データを第７の通信バス１２０へ送信するとともに、第７の通信バス１２０から受信される受信データを通信部１１５０へ入力する第３のトランシーバ１１５６を備える。ネットワークコントローラ１１４は、通信部１１５０から入力される送信データを第８の通信バス１２２へ送信するとともに、第８の通信バス１２２から受信される受信データを通信部１１５０へ入力する第４のトランシーバ１１５８を備える。

　＜ネットワークコントローラ１１４の機能構成＞
　図１３は、ネットワークコントローラ１１４の機能ブロック図である。

　ネットワークコントローラ１１４は、第１の送受信部１１６０、第２の送受信部１１６２、第３の送受信部１１６４、第４の送受信部１１６６、認証処理部１１６８、レベル設定部１１７０、監視部１１７２、記憶・読出処理部１１７４、記憶部１１７６、通信制御部１１７８、および帯域計測部１１８０を有している。これら各部は、図１２に示されている各構成要素のいずれかが、ＲＯＭ１１４６からＲＡＭ１１４８上に展開されたネットワークコントローラ用プログラムに従ったＣＰＵ１１４４からの命令によって動作することで実現される機能、または機能される手段である。

　（ネットワークコントローラ１１４の各機能構成の説明）
　次に、図１２および図１３を用いて、ネットワークコントローラ１１４の各機能構成について詳細に説明する。なお、以下では、ネットワークコントローラ１１４の各機能構成部を説明するにあたって、図１２に示されている各構成要素のうち、ネットワークコントローラ１１４の各機能構成部を実現させるための主な構成要素との関係も説明する。

　図１３に示されているネットワークコントローラ１１４の第１の送受信部１１６０は、図１２に示されているＣＰＵ１１４４からの命令、図１２に示されている通信部１１５０によって実現され、第５の通信バス１１６を介して、ヘッドユニット１００と各種データ（または情報）の送受信を行う。

　図１３に示されているネットワークコントローラ１１４の第２の送受信部１１６２は、図１２に示されているＣＰＵ１１４４からの命令、図１２に示されている通信部１１５０によって実現され、第６の通信バス１１８を介して、ＥＣＵ１０２と各種データ（または情報）の送受信を行う。

　図１３に示されているネットワークコントローラ１１４の第３の送受信部１１６４は、図１２に示されているＣＰＵ１１４４からの命令、図１２に示されている通信部１１５０によって実現され、第７の通信バス１２０を介して、ＥＣＵ１０４と各種データ（または情報）の送受信を行う。

　図１３に示されているネットワークコントローラ１１４の第４の送受信部１１６６は、図１２に示されているＣＰＵ１１４４からの命令、図１２に示されている通信部１１５０によって実現され、第８の通信バス１２２を介して、ＥＣＵ１１０と各種データ（または情報）の送受信を行う。

　図１３に示されているネットワークコントローラ１１４のレベル設定部１１７０は、図１２に示されているＣＰＵ１１４４からの命令によって実現され、ＥＣＵ１１０の信頼性のレベルを設定する。信頼性のレベルは、正規品レベル、準正規品レベル、市場品レベル、準市場品レベル、および非認証レベルに分類される。信頼性レベルについては、上述したものを適用できる。

　図１３に示されているネットワークコントローラ１１４の記憶・読出処理部１１７４は、図１２に示されているＣＰＵ１１４４からの命令によって実現され、記憶部１１７６に各種データを記憶し、記憶部１１７６に記憶された各種データを読み出す処理を行う。この記憶部１１７６には、ＥＣＵを認証する際に通信可能なＥＣＵを識別するためのノードＩＤが記載されたノードＩＤテーブルが記憶される。さらに、記憶部１１７６には、信頼性レベル通信制御内容対応テーブルが格納される。信頼性レベル通信制御内容対応テーブルについては上述したものを適用できる。

　図１３に示されているネットワークコントローラ１１４の記憶部１１７６は、図１２に示されているＲＯＭ１１４６によって実現され、ＥＣＵを認証する際に通信可能なＥＣＵを識別するためのノードＩＤが記載されたノードＩＤテーブル、およびＥＣＵ１１０と共有されるパスワードなどの認証キーが記憶される。さらに、記憶部１０７６には、信頼性レベル通信制御内容対応テーブルが格納される。信頼性レベル通信制御内容対応テーブルは上述したものを適用できる。

　図１３に示されているネットワークコントローラ１１４の認証処理部１１６８は、図１２に示されているＣＰＵ１１４４からの命令によって実現され、ＥＣＵ１１０を認証する。認証処理部１１６８は、第４の送受信部１１６６がＥＣＵ１１０から送信される認証要求を受信した場合に、その認証要求に付帯されるノードＩＤ、および信頼性レベルを取得する。

　さらに、認証処理部１１６８は、記憶・読出処理部１１７４に記憶部１１７６に格納されたノードＩＤテーブルを読み出させ、認証要求に付帯されるノードＩＤが記載されているか否かを判定する。認証処理部１１６８は、ノードＩＤテーブルに認証要求に付帯されるノードＩＤが記載されている場合には、Ｎｏｎｃｅ（乱数）を生成し、第４の送受信部１１６６から送信する。さらに、認証処理部１１６８は、生成したＮｏｎｃｅ、および認証キーを組み合わせてＥＣＵ１１０と同様に、所定の演算を行い、ＥＣＵ１１０からそのＥＣＵ１１０により演算された結果が第４の送受信部１１６６によって受信された場合、第４の送受信部１１６６によって受信された演算結果と、認証処理部１１６８による演算結果とを照合することによって、認証処理を行う。認証処理部１１６８は、照合の結果一致する場合には認証できたことを表す情報を付帯した認証応答を作成し、照合の結果一致しない場合には認証できなかったことを表す情報を付帯した認証応答を作成し、第４の送受信部１１６６から送信する。認証処理部１１６８は、照合の結果一致する場合には、通信制御部１１７８に認証ができたことを通知する。また、例えば、認証処理部１１６８は、ＥＡＰ－ＴＬＳによって、ＥＣＵ１１０との間で相互に証明書による認証を行うことや、ＰＥＡＰによって認証を行うことができる。ネットワークコントローラ１０６をＲＡＤＩＵＳサーバとして機能させることもできる。

　図１３に示されているネットワークコントローラ１１４の監視部１１７２は、図１２に示されているＣＰＵ１１４４からの命令、図１２に示される通信部１１５０によって実現され、新たに接続されるＥＣＵ１１０がパケットを送信する帯域、ＥＣＵ１１０のアクセス先などのＥＣＵ１１０の振る舞いを監視する。

　図１３に示されているネットワークコントローラ１１４の通信制御部１１７８は、図１２に示されているＣＰＵ１１４４からの命令、図１２に示される通信部１１５０によって実現される。通信制御部１１７８は、認証処理部１１６８から認証できたことが通知されると、記憶・読出処理部１１７４に記憶部１１７６に格納された信頼性レベル通信制御内容対応テーブルを読み出させ、レベル設定部１１７０によって判断された信頼性レベルに紐付けられた通信帯域、通信対象、利用機能に基づいて、ＥＣＵ１１０を制御する。また、通信制御部１１７８は、ＥＣＵ１１０との間で通信中に監視部１１７２によって監視されるＥＣＵ１１０の振る舞いに応じて、違反基準に該当するか否かを判断し、該当する場合には違反時アクションにしたがって信頼性レベルを変更すると判断し、レベル設定部１１７０へ設定されている信頼性レベルを更新する。

　図１３に示されているネットワークコントローラ１１４の帯域計測部１１８０は、図１２に示されているＣＰＵ１１４４からの命令、図１２に示される通信部１１５０によって実現され、ネットワークコントローラ１１４とＥＣＵ１１０との間の通信に利用された帯域を計測する。

　このように、車載通信ネットワークは、バス型のネットワーク限らず、スター型のネットワークにも適用できる。

　図１１に示す第１のネットワークをスター型のネットワークに適用した例において、ヘッドユニット１００、およびＥＣＵ１０２によって第１のサブネットワークを構成し、ＥＣＵ１０４、およびＥＣＵ１１０によって第２のサブネットワークを構成することもできる。この場合、ネットワークコントローラ１１４は、異なるサブネットワークに属する通信ノード間、例えば、ヘッドユニット１００と、ＥＣＵ１０４またはＥＣＵ１１０間の通信や、ＥＣＵ１０２と、ＥＣＵ１０４またはＥＣＵ１１０間の通信などの通信について、上述した処理を行うこともできる。

　車載通信ネットワークの一実施例によれば、車載通信ネットワークに参加するＥＣＵや、ツールについて、その信頼性レベルに応じて、機能を制限することができる。

　＜変形例１＞
　図１４は、車載通信ネットワークの一変形例を示す。車載通信ネットワークの一変形例は、車載通信ネットワークにツールを接続する。

　車載通信ネットワークは、ＥＣＵ５０２、ＥＣＵ５０４、ＥＣＵ５０６、ＥＣＵ５０８、およびネットワークコントローラ５１０を備える。

　ＥＣＵ５０２、ＥＣＵ５０４、ＥＣＵ５０６、ＥＣＵ５０８、およびネットワークコントローラ５１０は、第９の通信バス５５０によって接続されることによりＣＡＮ、イーサネット（登録商標）、ローカルエリアネットワークなどの第５のネットワークを構成する。

　ＥＣＵ５０２、ＥＣＵ５０４、ＥＣＵ５０６、およびＥＣＵ５０８は図３、図５に示したＥＣＵを適用でき、この場合トランシーバ１０３２は第９の通信バス５５０に接続される。ネットワークコントローラ５１０は、図４、図５に示したネットワークコントローラ１０６を適用でき、この場合第１のトランシーバ１０７２は第９の通信バス５５０に接続され、第２のトランシーバ１０７４は第１０の通信バス５６０に接続される。さらに、ネットワークコントローラ５１０は、ゲートウェイ、データリンクコネクタ(DLC: Data Link Connector)、診断用の接続用ポートとして機能させることもできる。

　データリンクコネクタとしても機能するネットワークコントローラ５１０に、新たにネットワーク通信ノード６００が接続される。ここで、ネットワーク通信ノード６００の構成は、図３、図５に示したＥＣＵ１１０を適用できる。また、診断用の接続用ポートとしても機能するネットワークコントローラ５１０に、エンジン調整用デバッグツール、開発用デバッグツールなどの診断用ツールを接続することもできる。この場合、ネットワークコントローラ５１０は、診断用ツールの信頼性レベルに応じて、アクセス対象、利用機能などを設定することによって調整できる。

　また、車両がハイブリッドカー（Hybrid car）や、電気自動車（electric car）などである場合には、ネットワークコントローラ５１０に、サプライパーツとしての電池を接続することもできる。この場合、ネットワークコントローラ５１０は、正規品の電池については、より細かい管理サービスを提供できる。

　＜変形例２＞
　図１のネットワークユニット３０４にネットワークコントローラ１０６の機能を搭載することもできる。ネットワークユニット３０４は、ＷｉＦｉ(Wi-Fi: Wireless Fidelity）、Bluetooth（登録商標）、移動体通信などの無線通信によってアクセスポイントを経由して、サーバ(図示無し)と通信を行うことができ、ネットワークコントローラ１０６の機能によって、運転手が車両の所有者か非所有者かによって、無線通信によって得られる情報に基づくサービスを変えることができる。また、ネットワークコントローラ１０６の機能によって、無線通信によって得られる情報に基づいて、アクセスポイント５００との間の通信帯域や、情報デバイス３０２へ入力する情報の優先度を調整することもできる。また、無線通信によって得られる情報に基づいて、ＥＣＵなどへのアクセスレベルを変更することもできる。例えば、無線通信によって得られる情報がＯＥＭ(original equipment manufacturer)によって提供されるサービスであるか、サプライヤ、販売店によって提供されるサービスであるかによって、車両へのアクセスレベルを変更することができる。

　＜変形例３＞
　図１５は、車載通信ネットワークの一変形例３を示す。図１５に示すように、車載通信ネットワークは、ヘッドユニット１００、ネットワークコントローラ１０６、ＥＣＵ１１０、およびネットワークユニット３０４によって構成される。ここで、ヘッドユニット１００、ネットワークコントローラ１０６、ＥＣＵ１１０、およびネットワークユニット３０４は、上述したもの（図３－図５）である。

　さらに、車載通信ネットワークの一変形例３では、ネットワークコントローラ１０６は、ヘッドユニット１００を経由して、ネットワークユニット３０４に、認証サービスを提供するクラウドサーバ７００にアクセスさせ、クラウドサーバ７００からの認証の結果にしたがって処理を行う。

　具体的には、ネットワークコントローラ１０６は、ＥＣＵ１１０から送信される認証要求をヘッドユニット１００を経由して、ネットワークユニット３０４へ送信する。ネットワークユニット３０４は、ネットワークコントローラ１０６から送信される認証要求を、アクセスポイント５００を経由して、認証サービスを提供するクラウドサーバ７００へ無線送信することによってリダイレクトする。例えば、ネットワークユニット３０４は、ＷｉＦｉ、Ｂｌｕｅｔｏｏｔｈ（登録商標）、移動体通信などの無線通信によって、アクセスポイント５００を経由して、認証サービスを提供するクラウドサーバ７００へアクセスする。ネットワークユニット３０４は、認証サービスを提供するクラウドサーバ７００からの応答に基づいて、ＥＣＵ１１０を認証する。ここで、ネットワークユニット３０４は、認証サービスを提供するクラウドサーバ７００によって処理された情報をキャッシュすることもできる。これによって、ネットワークユニット３０４のパフォーマンスを向上させることができる。さらに、クラウドサーバ７００には、最新の情報が格納されていることが想定され、その最新の情報に基づいて認証処理が行われるため、よりセキュリティを高めることができる。

　本実施例、および変形例において、車載ネットワークはネットワークシステムの一例であり、ＥＣＵは通信ノードの一例であり、ネットワークコントローラはゲートウェイの一例である。また、通信帯域、通信対象、および利用機能は通信パラメータの一例であり、違反基準は通信条件の一例である。

　本発明は特定の実施例、変形例を参照しながら説明されてきたが、各実施例、変形例は単なる例示に過ぎず、当業者は様々な変形例、修正例、代替例、置換例等を理解するであろう。説明の便宜上、本発明の実施例に従った装置は機能的なブロック図を用いて説明されたが、そのような装置はハードウェアで、ソフトウエアでまたはそれらの組み合わせで実現されてもよい。本発明は上記実施例に限定されず、本発明の精神から逸脱することなく、様々な変形例、修正例、代替例、置換例等が包含される。

　本願は２０１４年６月１６日に出願した日本国特許出願第２０１４－１２３０４６号に基づきその優先権を主張するものであり、同日本国出願の全内容を参照することにより本願に援用する。

　１００　ヘッドユニット
　１０２　ＥＣＵ
　１０４　ＥＣＵ
　１０６　ネットワークコントローラ
　１０８　第１の通信バス
　１１０　ＥＣＵ
　１１２　第４の通信バス
　２０２　ＯＢＤポート
　２０４　ＥＣＵ
　２０６　第２の通信バス
　３０２　情報デバイス
　３０４　ネットワークユニット
　３０６　第３の通信バス
　４００　無線デバイス
　５００　アクセスポイント
　１０２２　マイクロコントローラ
　１０２４　ＣＰＵ
　１０２６　ＲＯＭ
　１０２８　ＲＡＭ
　１０３０　通信部
　１０３２　トランシーバ
　１０６２　マイクロコントローラ
　１０６４　ＣＰＵ
　１０６６　ＲＯＭ
　１０６８　ＲＡＭ
　１０７０　通信部
　１０７２　第１のトランシーバ
　１０７４　第２のトランシーバ
　１０７６　第１の送受信部
　１０７８　認証処理部
　１０８０　レベル設定部
　１０８２　監視部
　１０８４　記憶・読出処理部
　１０８６　記憶部
　１０８８　通信制御部
　１０９０　帯域計測部
　１０９２　第２の送受信部
　１１０２　送受信部
　１１０４　認証処理部
　１１０６　送信データ作成部
　１１０８　記憶・読出処理部
　１１１０　記憶部
　１１１２　通信制御部

Claims

　１以上の通信ノード、およびゲートウェイを含むネットワークシステムであって、
　前記ゲートウェイは、
　前記ネットワークシステムに新たに接続される通信ノードとの通信における通信パラメータを監視する監視部と、
　前記監視部によって監視される通信パラメータが所定の通信条件を満たすか否かに基づいて前記新たに接続される通信ノードの信頼性を判断し、該信頼性に応じて前記所定の通信条件を変更する通信制御部と
　を有する、ネットワークシステム。
　前記ゲートウェイは、
　前記新たに接続される通信ノードを認証する第１の認証処理部をさらに有し、
　前記監視部は、前記第１の認証処理部によって認証された前記新たに接続される通信ノードとの通信における通信パラメータを監視し、
　前記通信制御部は、前記新たに接続される通信ノードから送信される信頼性を表す情報に基づいて前記所定の通信条件を決定し、該所定の通信条件に基づいて、前記新たに接続される通信ノードの信頼性を判断し、
　前記新たに接続される通信ノードは、
　前記ゲートウェイへ認証を要求する際に、該新たに接続される通信ノードの信頼性を表す情報を送信する第２の認証処理部
　を有する、請求項１に記載のネットワークシステム。
　前記ゲートウェイは、
　前記新たに接続される通信ノードの認証を、認証サービスを提供するクラウドサーバに要求するとともに、該クラウドサーバから認証結果を取得する第１の認証処理部をさらに有し、
　前記監視部は、前記第１の認証処理部からの認証結果が成功したことを示す場合に、前記新たに接続される通信ノードとの通信における通信パラメータを監視し、
　前記通信制御部は、前記新たに接続される通信ノードから送信される信頼性を表す情報に基づいて前記所定の通信条件を決定し、該所定の通信条件に基づいて、前記新たに接続される通信ノードの信頼性を判断し、
　前記新たに接続される通信ノードは、
　前記ゲートウェイへ認証を要求する際に、該新たに接続される通信ノードの信頼性を表す情報を送信する第２の認証処理部
　を有する、請求項１に記載のネットワークシステム。
　前記ネットワークシステムは、複数の前記通信ノードを含み、
　前記複数の通信ノードによって複数のサブネットワークが構成され、
　前記通信制御部は、各通信ノードが異なるサブネットワークに属する通信ノードと通信を行う際に、前記監視部によって監視される通信パラメータが所定の通信条件を満たすか否かに基づいて、前記新たに接続される通信ノードの信頼性を判断し、該信頼性に応じて、前記所定の通信条件を変更する、請求項１に記載のネットワークシステム。
　前記監視部は、前記新たに接続される通信ノードとの通信に使用される帯域、該通信ノードの通信相手、該通信ノードが利用できる機能のいずれかを監視する、請求項１に記載のネットワークシステム。
　１以上の通信ノード、およびゲートウェイを含むネットワークシステムにおいて、ゲートウェイが実行する通信制御方法であって、
　前記ネットワークシステムに新たに接続される通信ノードとの通信における通信パラメータを監視し、
　前記監視される通信パラメータが所定の通信条件を満たすか否かに基づいて、前記新たに接続される通信ノードの信頼性を判断し、
　該信頼性に応じて、前記所定の通信条件を変更する、通信制御方法。
　１以上の通信ノード、およびゲートウェイを含むネットワークシステムにおけるゲートウェイに、
　前記ネットワークシステムに新たに接続される通信ノードとの通信における通信パラメータを監視させ、
　前記監視される通信パラメータが所定の通信条件を満たすか否かに基づいて、前記新たに接続される通信ノードの信頼性を判断させ、
　該信頼性に応じて、前記所定の通信条件を変更させる処理を実行させるプログラムを格納した、コンピュータ読み取り可能な記憶媒体。