WO2017065100A1

WO2017065100A1 - 車載通信システム及び監視装置

Info

Publication number: WO2017065100A1
Application number: PCT/JP2016/079902
Authority: WO
Inventors: 井上　雅之
Original assignee: 株式会社オートネットワーク技術研究所; 住友電装株式会社; 住友電気工業株式会社
Priority date: 2015-10-14
Filing date: 2016-10-07
Publication date: 2017-04-20
Also published as: JP2017076861A

Abstract

不正なメッセージ送信が繰り返されて通信線が占有されることを防止し得る車載通信システム及び監視装置を提供する。　監視装置は、記憶部の監視ＩＤに監視対象とするメッセージのＩＤを記憶しておき、通信線上に送信されたメッセージが正規のメッセージであるか否かを判定処理部が判定し、正規のメッセージでないと判定したメッセージを送信完了前に破棄させる処理を破棄処理部が行う。監視装置は、破棄処理部にて不正なメッセージを破棄させる処理を行った場合、監視対象とするメッセージのＩＤを変更する処理を変更処理部にて行う。同様に、各ＥＣＵは、監視装置による破棄処理が行われた場合に、自身が送受信するメッセージに付すＩＤを変更する処理を変更処理部にて行う。各ＥＣＵは、変更前のＩＤが付されたメッセージに基づく処理を禁止する。

Description

車載通信システム及び監視装置

　本発明は、共通の通信線に接続された複数の通信装置がメッセージの送受信を行う車載通信システム、及び、送受信されるメッセージを監視する監視装置に関する。

　従来、車両には複数のＥＣＵ（Electronic Control Unit）が搭載され、これらがＣＡＮ（Controller Area Network）などのネットワークを介して接続されている。これら複数のＥＣＵは、ネットワークを介して情報を交換しながら各個の処理を進めている。近年では車両内のネットワークの規模が大きくなる傾向がある。このような車両のネットワークに対する攻撃として、例えばＥＣＵに不正なプログラムを注入することが行われ得る。不正なプログラムを注入されたＥＣＵは、車両のネットワークへ不正なメッセージ送信を行う可能性があり、これによりネットワークに接続された他のＥＣＵが誤動作するなどの虞がある。

　特許文献１においては、ＣＡＮプロトコルを変更せずにＭＡＣ（Message Authentication Code）によるメッセージ認証を行う通信システムが提案されている。この通信システムにおいては、各ＥＣＵがＣＡＮ－ＩＤ毎にメッセージの送信回数をカウントする。送信ノードは、メインメッセージのデータフィールド、ＣＡＮ－ＩＤ及びカウント値からＭＡＣを生成してＭＡＣメッセージとして送信する。受信ノードは、受信したメインメッセージに含まれるデータフィールド、ＣＡＮ－ＩＤとカウント値とからＭＡＣを生成し、ＭＡＣメッセージに含まれるＭＡＣと一致するかを判断する。

　非特許文献１においては、各ＥＣＵがネットワーク上を流れるメッセージを監視し、自身が送信するはずのＣＡＮ－ＩＤが付されたメッセージが他のＥＣＵから送信された場合にこれを不正メッセージと判断し、不正メッセージを検出したＥＣＵが不正メッセージの送信完了前にエラーフレームを送信することで送信を阻止する通信システムが提案されている。

特開２０１３－９８７１９号公報

畑正人，田邉正人，吉岡克成，大石和臣，松本勉、不正送信阻止：ＣＡＮではそれが可能である、コンピュータセキュリティシンポジウム、２０１１年１０月

　非特許文献１に記載の通信システムでは、不正メッセージを検出したＥＣＵがエラーフレームを送信して不正メッセージの送信を阻止している。しかしながら、メッセージの送信がエラーとなったＥＣＵ（不正なＥＣＵ）は、このメッセージがエラーなく送信されるまで、メッセージの再送信を繰り返すこととなる。このようなメッセージの再送信が繰り返され続けた場合、これにより通信線が占有されてしまい、他のＥＣＵによる正規のメッセージ送信が阻害される虞がある。

　本発明は、斯かる事情に鑑みてなされたものであって、その目的とするところは、不正なメッセージ送信が繰り返されて通信線が占有されることを防止し得る車載通信システム及び監視装置を提供することにある。

　本発明に係る車載通信システムは、複数の通信装置が共通の通信線に接続され、前記通信線を介して識別情報が付されたメッセージを前記複数の通信装置間で送受信する車載通信システムにおいて、監視対象とするメッセージの識別情報を記憶する記憶部と、前記通信線上に送信されたメッセージが正規のメッセージであるか否かを判定する判定部と、前記判定部が正規のメッセージでないと判定したメッセージを、該メッセージの送信完了前に破棄させる処理を行う破棄部と、前記破棄部が破棄させる処理を行った場合に、前記記憶部に記憶する識別情報を変更する第１変更部とを有し、前記通信線上に送信されたメッセージの監視を行う監視装置を備え、各通信装置は、前記破棄部によるメッセージの破棄が行われた場合に、送受信するメッセージに付す識別情報を変更する第２変更部と、前記第２変更部が識別情報を変更した後に、変更前の識別情報が付されたメッセージに基づく処理を禁止する禁止部とを有し、前記監視装置の第１変更部と前記通信装置の第２変更部とは、同じ方法で識別情報の変更を行うことを特徴とする。

　また、本発明に係る車載通信システムは、前記監視装置又は前記通信装置が、変更前の識別情報が付されたメッセージに対して受信完了を示す信号を前記通信線に出力する受信完了通知部を有することを特徴とする。

　また、本発明に係る車載通信システムは、前記監視装置及び前記通信装置が、メッセージに対して割り当て可能な複数の識別情報を記憶したテーブルを有し、前記監視装置の第１変更部及び前記通信装置の第２変更部は、前記テーブルから所定の規則で一の識別情報を選択し、選択した識別情報を新たな識別情報として変更を行うことを特徴とする。

　また、本発明に係る車載通信システムは、前記識別情報が数値情報であり、前記監視装置の第１変更部及び前記通信装置の第２変更部は、前記識別情報に所定値を加算又は減算した値を算出し、算出した識別情報を新たな識別情報として変更を行うことを特徴とする。

　また、本発明に係る車載通信システムは、前記監視装置の第１変更部及び前記通信装置の第２変更部が、前記破棄部の処理により破棄されたメッセージの一部又は全部を元に所定の規則で識別情報を生成し、生成した識別情報を新たな識別情報として変更を行うことを特徴とする。

　また、本発明に係る車載通信システムは、前記監視装置及び前記通信装置が、共通の暗号鍵を記憶する記憶部を有し、前記監視装置の第１変更部及び前記通信装置の第２変更部は、前記記憶部に記憶された前記暗号鍵を用いて新たな識別情報を生成することを特徴とする。

　また、本発明に係る車載通信システムは、前記メッセージに付される識別情報には、基本部分と拡張部分とを含み、前記監視装置の第１変更部及び前記通信装置の第２変更部は、前記拡張部分を変更することを特徴とする。

　また、本発明に係る車載通信システムは、前記複数の通信装置のうちのいずれか１つの通信装置が、前記監視装置としてメッセージの監視を行うことを特徴とする。

　また、本発明に係る車載通信システムは、前記監視装置が、複数の通信線に接続されて、通信線間のメッセージを中継するゲートウェイ装置であることを特徴とする。

　また、本発明に係る監視装置は、識別情報が付されたメッセージを送受信する複数の通信装置が接続された共通の通信線に接続され、前記通信線上に送信されたメッセージの監視を行う監視装置であって、監視対象とするメッセージの識別情報を記憶する記憶部と、前記通信線上に送信されたメッセージが正規のメッセージであるか否かを判定する判定部と、前記判定部が正規のメッセージでないと判定したメッセージを、該メッセージの送信完了前に破棄させる処理を行う破棄部と、前記破棄部が破棄させる処理を行った場合に、前記記憶部に記憶する識別情報を変更する変更部とを備え、前記破棄部が行うメッセージの破棄により、前記変更部と同じ方法で、前記通信装置に対して送受信するメッセージに付す識別情報を変更させることを特徴とする。

　また、本発明に係る監視装置は、変更前の識別情報が付されたメッセージに対して受信完了を示す信号を前記通信線に出力する受信完了通知部を備えることを特徴とする。

　また、本発明に係る監視装置は、メッセージに対して割り当て可能な複数の識別情報を記憶したテーブルを有し、前記変更部は、前記テーブルから所定の規則で一の識別情報を選択し、選択した識別情報を新たな識別情報として変更を行うことを特徴とする。

　また、本発明に係る監視装置は、前記識別情報は数値情報であり、前記変更部は、前記識別情報に所定値を加算又は減算した値を算出し、算出した識別情報を新たな識別情報として変更を行うことを特徴とする。

　また、本発明に係る監視装置は、前記変更部が、前記破棄部の処理により破棄されたメッセージの一部又は全部を元に所定の規則で識別情報を生成し、生成した識別情報を新たな識別情報として変更を行うことを特徴とする。

　また、本発明に係る監視装置は、暗号鍵を記憶する記憶部を有し、前記変更部は、前記記憶部に記憶された前記暗号鍵を用いて新たな識別情報を生成することを特徴とする。

　また、本発明に係る監視装置は、前記メッセージに付される識別情報には、基本部分と拡張部分とを含み、前記変更部は、前記拡張部分を変更することを特徴とする。

　また、本発明に係る監視装置は、複数の通信線に接続されて、通信線間のメッセージを中継するゲートウェイ装置であることを特徴とする。

　本発明においては、共通の通信線に複数の通信装置が接続された構成の車載通信システム中に、通信線上に送信されたメッセージの監視を行う監視装置を設ける。監視装置は、監視対象とするメッセージの識別情報を記憶しておき、通信線上に送信されたメッセージが正規のメッセージであるか否かを判定し、正規のメッセージでないと判定したメッセージを送信完了前に破棄させる処理を行う。これにより不正な通信装置が送信した不正なメッセージが各通信装置にて破棄され、不正なメッセージに基づく処理が各通信装置にて行われることが防止される。
　監視装置は、不正なメッセージを破棄させる処理を行った場合、監視対象とするメッセージの識別情報を変更する。同様に、各通信装置は、監視装置による破棄処理が行われた場合に、自身が送受信するメッセージに付す識別情報を変更する。ただし、監視装置による変更と各通信装置による変更とは同じ方法で行い、監視装置及び複数の通信装置が処理対象とする識別情報を共有する。また各通信装置は、変更前の識別情報が付されたメッセージに基づく処理を禁止する。
　これにより、不正なメッセージが破棄されたことにより不正な通信装置が不正なメッセージの再送信を行った場合、既にこのメッセージは監視装置の監視対象外となっており、且つ、各通信装置の処理対象外となっている。このため監視装置又は通信装置は、不正なメッセージに対してＡＣＫなどの応答を行うことができ、不正な通信装置による不正なメッセージの再送信を停止させることが可能となる。

　また本発明においては、変更前の識別情報（即ち不正と判断したメッセージの識別情報）が付されたメッセージが送信された場合、監視装置によるメッセージの破棄は行わずに、受信完了を示す信号を出力する。これにより、不正な通信装置は不正なメッセージが他の通信装置により受信されたと判断するため、不正な通信装置による不正なメッセージの再送信を防止できる。

　また本発明においては、メッセージに対して割り当て可能な複数の識別情報を記憶したテーブルを監視装置及び複数の通信装置が有する。このテーブルは、監視装置及び複数の通信装置で同じものを記憶しておく。処理対象の識別情報を変更する場合には、このテーブルから所定の規則で一の識別情報を選択し、選択した識別情報を新たな識別情報とする。これにより、テーブルを有していない不正な通信装置は識別情報を変更することができないため、不正な通信装置による不正なメッセージ送信を無効化できる。

　また本発明においては、メッセージに付される識別情報を数値情報とし、識別情報を変更する場合には、所定値を識別情報に対して加算又は減算して新たな識別情報とする。加算又は減算する所定値は、監視装置及び複数の通信装置にて同じ値を用いる。これにより、所定値を有していない不正な通信装置は識別情報を変更することができないため、不正な通信装置による不正なメッセージ送信を無効化できる。

　また本発明においては、監視装置の破棄処理により破棄されたメッセージの一部又は全部を元に所定の規則で新たな識別情報を生成する。所定の規則として、監視装置及び複数の通信装置は同じ規則を予め記憶しておく。これにより所定の規則を記憶していない不正な通信装置は識別情報を変更することができないため、不正な通信装置による不正なメッセージ送信を無効化できる。

　また本発明においては、監視装置及び複数の通信装置が共通の暗号鍵を記憶しておき、新たな識別情報の生成に暗号鍵を用いる。これにより暗号鍵を記憶していない不正な通信装置は識別情報を変更することができないため、不正な通信装置による不正なメッセージ送信を無効化できる。

　また本発明においては、監視装置及び複数の通信装置が識別情報を変更する場合、メッセージに付される識別情報の基本部分は固定し、拡張部分を変更する。これにより、識別情報が異なる複数のメッセージが送受信され得る車載通信システムにおいて、一つのメッセージに対する識別情報の変更を容易化することができ、一つのメッセージに対して設定し得る識別情報の範囲を広げることを容易化できる。

　また本発明においては、車載通信システムに含まれる複数の通信装置のうちのいずれか１つの通信装置に、上述の監視装置の機能を設ける。これによりメッセージ監視のために専用の監視装置を設ける必要がなくなる。

　また本発明においては、メッセージを破棄させる処理などを行う監視装置の機能を、通信線間のメッセージを中継するゲートウェイ装置に設ける。これにより複数の通信線に対する破棄処理などをゲートウェイ装置が一括して行うことができる。

　本発明による場合は、監視装置が不正なメッセージを破棄させる処理を行った場合に、監視装置及び通信装置が処理対象とするメッセージの識別情報を変更する構成とすることにより、不正な通信装置による不正なメッセージの再送信を停止させることが可能となり、不正なメッセージ送信が繰り返されて通信線が占有されることを防止することができる。

実施の形態１に係る車載通信システムの構成を示す模式図である。監視装置の記憶部に記憶されるＩＤテーブルの一例を示す模式図である。監視装置によるメッセージのＩＤの変更処理を説明するための模式図である。本実施の形態に係る監視装置が行う監視処理の手順を示すフローチャートである。本実施の形態に係る各ＥＣＵが行う受信処理の手順を示すフローチャートである。変形例２に係る車載通信システムの構成を示すブロック図である。変形例３に係る車載通信システムの構成を示すブロック図である。実施の形態２に係る車載通信システムの構成を示すブロックである。実施の形態２に係る監視装置によるメッセージのＩＤの変更処理を説明するための模式図である。

＜実施の形態１＞
　以下、本発明をその実施の形態を示す図面に基づき具体的に説明する。図１は、実施の形態１に係る車載通信システムの構成を示す模式図である。実施の形態１に係る車載通信システムは、車両１に搭載された複数のＥＣＵ３０が共通の通信線２を介して接続された構成であり、通信線２を介したＥＣＵ３０のメッセージの送受信を監視する監視装置１０を備えている。複数の通信装置３０及び監視装置１０は、例えばＣＡＮ又はＣＡＮ－ＦＤ等の通信プロトコルに従ってメッセージの送受信を行う。

　監視装置１０は、処理部１１、通信部１２及び記憶部１３等を備えて構成されている。処理部１１は、ＣＰＵ（Central Processing Unit）又はＭＰＵ（Micro-Processing Unit）等の演算処理装置を用いて構成され、図示しないＲＯＭ（Read Only Memory）などに記憶されたプログラムを実行することにより、メッセージの監視に係る種々の処理を行う。

　通信部１２は、通信線２が接続され、この通信線２を介して他のＥＣＵ３０との間でメッセージの送受信を行うことができる。通信部１２は、いわゆるＣＡＮコントローラを用いて構成され得る。通信部１２は、通信線２の電位をサンプリングすることによってメッセージを受信し処理部１１へ与えると共に、処理部１１から与えられた送信用のメッセージを電気信号に変換して通信線２へ出力することによってメッセージを送信することができる。ただし本実施の形態に係る監視装置１０はＥＣＵ３０との間でメッセージの送受信を行う必要はなく、通信部１２は通信線２を介してＥＣＵ３０の間で送受信されるメッセージを監視するために用いられる。

　記憶部１３は、例えばＥＥＰＲＯＭ（Electrically Erasable Programmable Read Only Memory）又はフラッシュメモリ等のデータ書き換えが可能な不揮発性のメモリ素子を用いて構成されている。処理部１１は、記憶部１３に記憶された種々のデータを読み出して処理に使用することができると共に、必要なデータを記憶部１３に書き込むことができる。なお本実施の形態に係る監視装置１０の記憶部１３には、車載通信システム中で送受信されるメッセージに付され得るＩＤの一覧情報がＩＤテーブル１３ａとして記憶されていると共に、監視装置１０が監視対象とするメッセージのＩＤが監視ＩＤ１３ｂとして記憶される。

　ＥＣＵ３０及び監視装置１０が送受信するメッセージには、このメッセージの種別毎に、特定のＩＤ（いわゆるＣＡＮ－ＩＤ）が付される。本実施の形態に係る車載通信システムでは、１つのメッセージ種別に対して複数のＩＤが予め定められている。記憶部１３のＩＤテーブル１３ａには、メッセージの種別と、これに対して付され得る複数のＩＤとの対応が記憶されている。ＥＣＵ３０及び監視装置１０は、複数のＩＤから１つを選択し、選択したＩＤのみを処理対象のＩＤとし、選択していないＩＤは処理対象外の不正なＩＤとする。記憶部１３の監視ＩＤ１３ｂは、メッセージ種別毎に１つ選択されたＩＤが記憶されている。

　本実施の形態に係る監視装置１０の処理部１１には、記憶部１３又は図示しないＲＯＭ等に記憶された監視処理のためのプログラムを実行することにより、判定処理部２１、破棄処理部２２、変更処理部２３及び通知処理部２４等がソフトウェア的な機能ブロックとして実現される。判定処理部２１は、通信線２上にＥＣＵ３０が送信したメッセージが正規のメッセージであるか否かを判定する。ただし判定処理部２１が判定対象とするのは、記憶部１３の監視ＩＤ１３ｂに記憶されたＩＤが付されたメッセージのみであり、これ以外のメッセージについては判定を行わない。なお本実施の形態において、判定処理部２１によるメッセージの判定方法については規定しない。判定処理部２１は、例えばメッセージに付されたＭＡＣなどに基づいて判定を行う構成であってもよく、また例えば予め登録されていないＩＤが付されたメッセージを不正メッセージと判定する構成であってもよく、これら以外の方法で判定を行う構成であってもよい。

　破棄処理部２２は、判定処理部２１が正規のメッセージではない、即ち不正メッセージであると判定したメッセージを、通信線２に接続された全てのＥＣＵ３０に破棄させる処理を行う。詳しくは、破棄処理部２２は、通信線２に出力された不正メッセージの送信完了前に、通信線２に対して通信部１２からエラーフレームを出力することにより、不正メッセージを破棄させる。

　変更処理部２３は、破棄処理部２２が破棄処理を行った場合に、監視対象とするメッセージのＩＤを変更する処理を行う。変更処理部２３は、破棄されたメッセージについて、記憶部１３のＩＤテーブル１３ａから新たなＩＤを１つ選択する。変更処理部２３は、選択した新たなＩＤを記憶部１３の監視ＩＤ１３ｂに記憶すると共に、変更前のＩＤは監視ＩＤ１３ｂから削除する。これにより、変更前のＩＤが付されたメッセージに対しては判定処理部２１による判定処理が行われなくなり、変更後のＩＤが付されたメッセージに対して判定処理が行われることとなる。

　通知処理部２４は、ＥＣＵ３０が送信したメッセージに対してＡＣＫを出力する処理を行う。通知処理部２４は、通信部１２にて正規のメッセージを受信した場合、ＡＣＫを出力して受信完了を送信元のＥＣＵ３０に対して通知する。また通知処理部２４は、記憶部１３の監視ＩＤ１３ｂに記憶されたＩＤ以外のＩＤが付されたメッセージを受信した場合にも同様に、ＡＣＫを出力して受信完了を通知する。

　本実施の形態に係る車載通信システムに含まれる各ＥＣＵ３０（ただし正規のＥＣＵ３０）は、処理部３１、通信部３２及び記憶部３３等を備えて構成されている。処理部３１は、ＣＰＵ又はＭＰＵ等の演算処理装置を用いて構成され、車両１の制御に係る種々の処理を行う。通信部３２は、他のＥＣＵ３０との間で通信線２を介したメッセージの送受信を行うためのものであり、いわゆるＣＡＮコントローラを用いて構成され得る。通信部３２は、通信線２の電位をサンプリングすることによってメッセージを受信し処理部３１へ与えると共に、処理部３１から与えられた送信用のメッセージを電気信号に変換して通信線２へ出力することによってメッセージを送信することができる。

　これによりＥＣＵ３０は、他のＥＣＵ３０が送信したメッセージを通信部３２にて受信し、受信したメッセージに基づく処理を処理部３１にて行うことができる。またＥＣＵ３０は、処理部３１の処理により生成した情報をメッセージとして通信部３２から他のＥＣＵ３０へ送信することができる。例えば、ＥＣＵ３０が車両１のヘッドライトを制御するＥＣＵである場合、他のＥＣＵ３０がセンサによって検知した明るさの情報をメッセージとして受信し、受信したメッセージに含まれる明るさの情報に応じてヘッドライトの点灯／消灯を切り替える制御処理を処理部３１が行うことができる。なおＥＣＵ３０が受信メッセージに基づいて行う処理はこれに限定されるものではなく、どのような処理であってもよい。

　記憶部３３は、例えばＥＥＰＲＯＭ又はフラッシュメモリ等のデータ書き換えが可能な不揮発性のメモリ素子を用いて構成されている。処理部３１は、記憶部３３に記憶された種々のデータを読み出して処理に使用することができると共に、必要なデータを記憶部３３に書き込むことができる。なお本実施の形態に係るＥＣＵ３０の記憶部３３には、車載通信システム中で送受信されるメッセージに付され得るＩＤの一覧情報がＩＤテーブル３３ａとして記憶されていると共に、ＥＣＵ３０が送受信処理の対象とするメッセージのＩＤが処理ＩＤ３３ｂとして記憶される。

　なお、監視装置１０のＩＤテーブル１３ａとＥＣＵ３０のＩＤテーブル３３ａとは、同じ内容であってよい。ただし、監視装置１０のＩＤテーブル１３ａには車載通信システムにて送受信され得る全てのメッセージ種別についてのＩＤが記憶されている必要があるが、ＥＣＵ３０のＩＤテーブル３３ａには自身の処理に関係するメッセージ種別についてのＩＤのみを記憶してもよい。同様に、監視装置１０の監視ＩＤ１３ｂとＥＣＵ３０の処理ＩＤ３３ｂとは、同じ内容であってよい。ただし、監視装置１０の監視ＩＤ１３ｂには車載通信システムにて送受信され得る全てのメッセージ種別について監視対象とするＩＤを記憶しておく必要があるが、ＥＣＵ３０の処理ＩＤ３３ｂには自身の処理に関係するメッセージ種別について送受信処理の対象とするＩＤのみを記憶してもよい。

　本実施の形態に係るＥＣＵ３０の処理部３１には、記憶部３３又は図示しないＲＯＭ等に記憶された通信処理のためのプログラムを実行することにより、変更処理部４１及び禁止処理部４２等がソフトウェア的な機能ブロックとして実現される。変更処理部４１は、監視装置１０の破棄処理部２２が行う処理によりメッセージが破棄された場合に、処理対象とするメッセージのＩＤを変更する処理を行う。ＥＣＵ３０の変更処理部４１が行う処理は、監視装置１０の変更処理部２３が行う処理と略同じである。ＥＣＵ３０の変更処理部４１は、破棄されたメッセージについて、記憶部３３のＩＤテーブル３３ａから新たなＩＤを１つ選択する。変更処理部４１は、選択した新たなＩＤを記憶部３３の処理ＩＤ３３ｂに記憶すると共に、変更前のＩＤを処理ＩＤ３３ｂから削除する。

　禁止処理部４２は、記憶部３３の処理ＩＤ３３ｂに記憶されたＩＤ以外のＩＤが付されたメッセージを用いた処理を禁止する。これにより処理部３１は、処理ＩＤ３３ｂに記憶されたＩＤが付されたメッセージを用いた処理を行うが、これ以外のＩＤが付されたメッセージを受信しても、このメッセージに基づく処理を行わない。これにより、監視装置１０が不正と判定して破棄処理が行われたメッセージと同じＩＤのメッセージに基づく処理が各ＥＣＵ３０にて行われることを防止できる。

　図２は、監視装置１０の記憶部１３に記憶されるＩＤテーブル１３ａの一例を示す模式図である。本例では、車載通信システムにて送受信されるメッセージがメッセージＡ～Ｄの４種類としている。ＩＤテーブル１３ａには、各メッセージＡ～Ｄに対して、それぞれ８つのＩＤが記憶されている。例えばメッセージＡに対しては、１６進数で１００ｈ～１０７ｈの８つのＩＤが記憶されている。

　また図示は省略するが、ＥＣＵ３０の記憶部１３に記憶されるＩＤテーブル３３ａも同様の構成であり、且つ、監視装置１０のＩＤテーブル１３ａと同じ内容である。ただしＥＣＵ３０のＩＤテーブル３３ａは、自身の処理に必要なメッセージについてのみＩＤを記憶しておく構成としてよい。例えばＥＣＵ３０がメッセージＡを送信し、メッセージＢを受信して処理を行う構成である場合、このＥＣＵ３０のＩＤテーブル３３ａはメッセージＡ及びＢについてのＩＤを記憶しておき、メッセージＣ及びＤのＩＤを記憶しておく必要はない。

　監視装置１０の変更処理部２３は、ＩＤテーブル１３ａに記憶された複数のＩＤから１つを選択し、選択したＩＤを新たなＩＤとして変更処理を行う。変更処理部２３は、例えばＩＤテーブル１３ａに記憶された複数のＩＤを、記憶された順に１つ選択する構成としてよい。即ち変更処理部２３は、ＩＤとして１００ｈ～１０７ｈの８つのＩＤが記憶されている場合、１００ｈ→１０１ｈ→１０２ｈ→…→１０６ｈ→１０７ｈ→１０１ｈの順でＩＤを選択する構成としてよい。この構成の場合、最後のＩＤ１０７ｈの次には、最初のＩＤ１０１ｈを選択するというように、巡回的に選択を行えばよい。監視装置１０の変更処理部２３と、ＥＣＵ３０の変更処理部４１とは、同じ選択規則でＩＤの選択を行う必要がある。なお本例のＩＤの選択規則は一例であって、これに限るものではない。

　図３は、監視装置１０によるメッセージのＩＤの変更処理を説明するための模式図であり、監視装置１０の記憶部３３に記憶された監視ＩＤ１３ｂの内容の変化を図示してある。本例では、メッセージＡ～ＤのＩＤの初期値として、図２のＩＤテーブル１３ａの最上段に示した値（１００ｈ、２００ｈ、２０Ｆｈ、３０５ｈ）が監視ＩＤ１３ｂに設定されている（図３の状態（１）参照）。

　ここで、ＩＤに１００ｈが設定された不正なメッセージを不正なＥＣＵが送信したとする。監視装置１０の監視ＩＤ１３ｂにはメッセージＡのＩＤとして１００ｈが設定されているため、このメッセージが正規のメッセージであるか否かの判定が判定処理部２１にて行われる。判定処理部２１がこのメッセージを不正メッセージであると判定し、破棄処理部２２が不正メッセージに対する破棄処理を行った場合、変更処理部２３はＩＤの変更処理を行う。変更処理部２３は、記憶部１３のＩＤテーブル１３ａを参照して、不正メッセージのＩＤ（１００ｈ）の次に登録されているＩＤ（１０１ｈ）を取得する。変更処理部２３は、監視ＩＤ１３ｂに登録されたメッセージＡのＩＤ（１００ｈ）を削除し、ＩＤテーブル１３ａから取得した新たなＩＤ（１０１ｈ）を登録する（図３の状態（２）参照）。

　なお図示は省略するが、車載通信システムに含まれる各ＥＣＵ３０（少なくとも、メッセージＡを送信又は受信する必要があるＥＣＵ３０）でも同様の処理が行われる。ＥＣＵ３０の変更処理部４１は、通信線２に送信されたメッセージに対して監視装置１０の破棄処理によるエラーフレームの出力がなされた場合、このメッセージが不正メッセージであると判断し、ＩＤの変更処理を行う。変更処理部４１は、記憶部３３に記憶されたＩＤテーブル３３ａを参照し、不正メッセージのＩＤ（１００ｈ）の次に登録されているＩＤ（１０１ｈ）を取得し、処理ＩＤ３３ｂに登録されているＩＤ（１００ｈ）を削除して新たなＩＤ（１０１ｈ）を登録する。

　これにより、不正なＥＣＵがＩＤに１００ｈが設定された不正メッセージの再送信を行った場合、ＥＣＵ３０の処理ＩＤ３３ｂには１００ｈが登録されていないこととなり、禁止処理部４２によりこのメッセージに基づく処理が禁止される。このためＥＣＵ３０の処理部４１は、不正メッセージを受信しても、この不正メッセージに基づく処理を行わない。また監視装置１０の監視ＩＤ１３ｂにも１００ｈが登録されていないため、ＩＤが１００ｈの不正メッセージは判定処理部２１の判定が行われることなく、通知処理部２３によるＡＣＫ信号の出力が行われる。このＡＣＫ信号によって不正メッセージを送信した不正なＥＣＵは、不正メッセージがＥＣＵ３０にて受信されたと判断するため、不正メッセージの再送信が行われなくなる。

　次いで、ＩＤに２００ｈが設定された不正メッセージを不正なＥＣＵが送信したとする。監視装置１０の監視ＩＤ１３ｂにはメッセージＢのＩＤとして２００ｈが設定されているため、このメッセージが正規のメッセージであるか否かの判定が判定処理部２１にて行われる。判定処理部２１がこのメッセージを不正メッセージであると判定し、破棄処理部２２が不正メッセージに対する破棄処理を行った場合、変更処理部２３はＩＤの変更処理を行う。変更処理部２３は、記憶部１３のＩＤテーブル１３ａを参照して、不正メッセージのＩＤ（２００ｈ）の次に登録されているＩＤ（２０２ｈ）を取得する。変更処理部２３は、監視ＩＤ１３ｂに登録されたメッセージＢのＩＤ（２００ｈ）を削除し、ＩＤテーブル１３ａから取得した新たなＩＤ（２０２ｈ）を登録する（図３の状態（３）参照）。説明は省略するが、各ＥＣＵ３０についても同様の処理が行われる。

　次いで、ＩＤに１０１ｈが設定された不正メッセージを不正なＥＣＵが送信したとする。監視装置１０の監視ＩＤ１３ｂにはメッセージＡのＩＤとして１０１ｈが設定されているため、このメッセージが正規のメッセージであるか否かの判定が判定処理部２１にて行われる。判定処理部２１がこのメッセージを不正メッセージであると判定し、破棄処理部２２が不正メッセージに対する破棄処理を行った場合、変更処理部２３はＩＤの変更処理を行う。変更処理部２３は、記憶部１３のＩＤテーブル１３ａを参照して、不正メッセージのＩＤ（１０１ｈ）の次に登録されているＩＤ（１０２ｈ）を取得する。変更処理部２３は、監視ＩＤ１３ｂに登録されたメッセージＡのＩＤ（１０１ｈ）を削除し、ＩＤテーブル１３ａから取得した新たなＩＤ（１０２ｈ）を登録する（図３の状態（４）参照）。説明は省略するが、各ＥＣＵ３０についても同様の処理が行われる。

　次いで、ＩＤに２０Ｆｈが設定された不正メッセージを不正なＥＣＵが送信したとする。監視装置１０の監視ＩＤ１３ｂにはメッセージＣのＩＤとして２０Ｆｈが設定されているため、このメッセージが正規のメッセージであるか否かの判定が判定処理部２１にて行われる。判定処理部２１がこのメッセージを不正メッセージであると判定し、破棄処理部２２が不正メッセージに対する破棄処理を行った場合、変更処理部２３はＩＤの変更処理を行う。変更処理部２３は、記憶部１３のＩＤテーブル１３ａを参照して、不正メッセージのＩＤ（２０Ｆｈ）の次に登録されているＩＤ（２０Ｄｈ）を取得する。変更処理部２３は、監視ＩＤ１３ｂに登録されたメッセージＣのＩＤ（２０Ｆｈ）を削除し、ＩＤテーブル１３ａから取得した新たなＩＤ（２０Ｄｈ）を登録する（図３の状態（５）参照）。説明は省略するが、各ＥＣＵ３０についても同様の処理が行われる。

　図４は、本実施の形態に係る監視装置１０が行う監視処理の手順を示すフローチャートである。本実施の形態に係る監視装置１０の処理部１１は、通信線２に対するＥＣＵ３０のメッセージ送信が行われたか否かを判定する（ステップＳ１）。メッセージ送信が行われていない場合（Ｓ１：ＮＯ）、処理部１１は、ＥＣＵ３０によるメッセージ送信が行われるまで待機する。ＥＣＵ３０によるメッセージ送信が行われた場合（Ｓ１：ＹＥＳ）、処理部１１は、通信線２に対してメッセージのＩＤが出力された段階で、メッセージのＩＤを取得する（ステップＳ２）。処理部１１は、記憶部１３の監視ＩＤ１３ｂを参照して、ステップＳ２にて取得したＩＤが監視ＩＤ１３ｂに登録されたものであるか否かを判定する（ステップＳ３）。取得したＩＤが監視ＩＤ１３ｂに登録されていない場合（Ｓ３：ＮＯ）、処理部１１の通知処理部２４は、通信線２へＡＣＫを出力し（ステップＳ９）、処理を終了する。

　取得したＩＤが監視ＩＤ１３ｂに登録されている場合（Ｓ３：ＹＥＳ）、処理部１１の判定処理部２１は、通信線２に対してメッセージに含まれる認証情報（ＭＡＣ）が出力された段階でこの認証情報を取得し、取得した認証情報の正否判定を行い（ステップＳ４）、通信線２に送信中のメッセージが正規のメッセージであるか否かを判定する（ステップＳ５）。なお本フローチャートでは、メッセージに認証情報が付されており、この認証情報に基づいてメッセージの正否判定を行う構成としてあるが、これは一例であって、メッセージの正否判定は認証情報を用いる以外の方法で行ってもよい。メッセージが正規のメッセージであると判定処理部２１が判定した場合（Ｓ５：ＹＥＳ）、処理部１１の通知処理部２４は、通信線２へＡＣＫを出力し（ステップＳ９）、処理を終了する。

　通信線２に送信中のメッセージが正規のメッセージではないと判定処理部２１が判定した場合（Ｓ５：ＮＯ）、処理部１１の破棄処理部２２は、このメッセージの送信が完了する前に、通信線２に対してエラーフレームを出力し（ステップＳ６）、このメッセージをＥＣＵ３０に破棄させる。次いで処理部１１の変更処理部２３は、記憶部１３のＩＤテーブル１３ａを参照して（ステップＳ７）、ステップＳ２にて取得したＩＤに対応する新たなＩＤを取得する。変更処理部２３は、ステップＳ２にて取得したＩＤを監視ＩＤ１３ｂから削除すると共に、ＩＤテーブル１３ａから取得した新たなＩＤを監視ＩＤ１３ｂに登録することによって、監視対象とするＩＤを変更し（ステップＳ８）、処理を終了する。

　図５は、本実施の形態に係る各ＥＣＵ３０が行う受信処理の手順を示すフローチャートである。本実施の形態に係るＥＣＵ３０の処理部３１は、通信線２に対する他のＥＣＵ３０のメッセージ送信が行われたか否かを判定する（ステップＳ２１）。メッセージ送信が行われていない場合（Ｓ２１：ＮＯ）、処理部３１は、他のＥＣＵ３０によるメッセージ送信が行われるまで待機する。他のＥＣＵ３０によるメッセージ送信が行われた場合（Ｓ２１：ＹＥＳ）、処理部３１は、通信線２に対してメッセージのＩＤが出力された段階で、メッセージのＩＤを取得する（ステップＳ２２）。処理部３１は、記憶部３３の処理ＩＤ３３ｂを参照して、ステップＳ２２にて取得したＩＤが処理ＩＤ３３ｂに登録されたものであるか否かを判定する（ステップＳ２３）。

　取得したＩＤが処理ＩＤ３３ｂに登録されていない場合（Ｓ２３：ＮＯ）、処理部３１の禁止処理部４２は、受信メッセージに基づく処理を禁止する（ステップＳ２４）。また処理部３１は、通信線２へＡＣＫを出力し（ステップＳ２５）、処理を終了する。

　取得したＩＤが処理ＩＤ３３ｂに登録されている場合（Ｓ２３：ＹＥＳ）、処理部３１は、このメッセージの送信完了前にエラーフレームを受信したか否かを判定する（ステップＳ２６）。エラーフレームを受信していない場合（Ｓ２６：ＮＯ）、処理部３１は、通信線２に出力されているメッセージの受信を行う（ステップＳ２７）。処理部３１は、通信線２へＡＣＫを出力し（ステップＳ２８）、このメッセージの受信完了を通知する。その後、処理部３１は、受信したメッセージに基づく処理を行って（ステップＳ２９）、処理を終了する。

　通信線２上のメッセージの送信完了前にエラーフレームを受信した場合（Ｓ２６：ＹＥＳ）、処理部３１は、このメッセージの受信処理を中断し、このメッセージを破棄する（ステップＳ３０）。また処理部３１の変更処理部４１は、記憶部３３のＩＤテーブル３３ａを参照して（ステップＳ３１）、ステップＳ２２にて取得したＩＤに対応する新たなＩＤを取得する。変更処理部４１は、ステップＳ２２にて取得したＩＤを処理ＩＤ３３ｂから削除すると共に、ＩＤテーブル３３ａから取得した新たなＩＤを処理ＩＤ３３ｂに登録することによって、処理対象とするＩＤを変更し（ステップＳ３２）、処理を終了する。

　以上の構成の実施の形態１に係る車載通信システムは、共通の通信線２に複数のＥＣＵ３０が接続された構成の車載通信システム中に、通信線２上に送信されたメッセージの監視を行う監視装置１０を設けた構成である。監視装置１０は、記憶部１３の監視ＩＤ１３ｂに監視対象とするメッセージのＩＤを記憶しておき、通信線２上に送信されたメッセージが正規のメッセージであるか否かを判定処理部２１が判定し、正規のメッセージでないと判定したメッセージを送信完了前に破棄させる処理を破棄処理部２２が行う。これにより不正なＥＣＵが送信した不正メッセージがＥＣＵ３０にて破棄され、不正メッセージに基づく処理が各ＥＣＵ３０にて行われることが防止される。

　監視装置１０は、破棄処理部２２にて不正なメッセージを破棄させる処理を行った場合、監視対象とするメッセージのＩＤを変更する処理を変更処理部２３にて行う。同様に、各ＥＣＵ３０は、監視装置１０による破棄処理が行われた場合に、自身が送受信するメッセージに付すＩＤを変更する処理を変更処理部４１にて行う。ただし監視装置１０によるＩＤの変更処理と、各ＥＣＵ３０によるＩＤの変更とは同じ方法で行い、監視装置１０及びＥＣＵ３０が処理対象とするＩＤを共有する。また各ＥＣＵ３０は、変更前のＩＤが付されたメッセージに基づく処理を禁止する。

　これにより、不正メッセージが破棄されたことによる不正なＥＣＵによる不正メッセージの再送信が行われた場合、既にこの不正メッセージは監視装置１０の監視対象外となっており、且つ、各ＥＣＵ３０の処理対象外となっている。このため監視装置１０及びＥＣＵ３０は、不正メッセージに対してＡＣＫなどの応答を行うことができ、不正なＥＣＵによる不正メッセージの再送信を停止させることが可能となる。

　また本実施の形態に係る監視装置１０は、変更前のＩＤが付されたメッセージ（即ち、一度不正と判定されたメッセージ）が通信線２上に送信された場合、破棄処理部２２による破棄は行わずに、ＡＣＫ信号を出力して受信完了を通知する。これにより不正なＥＣＵは、不正メッセージが他のＥＣＵ３０にて受信されたと判断するため、不正なＥＣＵによる不正メッセージの再送信を防止できる。

　また本実施の形態に係る車載通信システムでは、メッセージに対して割り当て可能な複数のＩＤを記憶したＩＤテーブル１３ａ，３３ａを監視装置１０及びＥＣＵ３０がそれぞれ有する。このＩＤテーブル１３ａ，３３ａは、監視装置１０及び複数のＥＣＵ３０で同じ内容のものを記憶しておく。処理対象のＩＤを変更する場合には、ＩＤテーブル１３ａ，３３ａから所定の規則で一のＩＤを選択し、選択したＩＤを新たなＩＤとする。これにより、ＩＤテーブル１３ａ，３３ａを有していない不正なＥＣＵはＩＤを変更することができないため、不正なＥＣＵによる不正なメッセージ送信を無効化することができる。なお、ＩＤを選択する所定の規則には、例えばＩＤテーブル１３ａ，３３ａに記憶された複数のＩＤから、記憶されている順で巡回的に１つを選択するという方法を採用し得る。

　なお本実施の形態において監視装置１０は、判定処理部２１、破棄処理部２２、変更処理部２３及び通知処理部２４の各処理を処理部１１が行う構成としたが、これに限るものではなく、例えば通信部１２が行う構成としてもよい。この場合には、記憶部１３は通信部１２が直接的にアクセス可能な構成とするか、又は、通信部１２内に設けてもよい。同様にＥＣＵ３０は、変更処理部４１及び禁止処理部４２の処理を処理部３１が行う構成としたが、これに限るものではなく、例えば通信部３２が行う構成としてもよい。

　また本実施の形態においては、車両１の車載通信システムに含まれる各ＥＣＵ３０がＣＡＮプロトコルに従った通信を行う構成としたが、これに限るものではない。各ＥＣＵ３０が、ＣＡＮ以外のプロトコル、例えばＴＣＰ／ＩＰ又はＦｌｅｘＲａｙ等のプロトコルに従った通信を行う構成としてもよい。また車両１に搭載される通信システムを例に説明を行ったが、これに限るものではなく、航空機若しくは船舶等の移動体に搭載される通信システム、又は、工場若しくはオフィス等に設置される通信システム等のように、車載以外の通信システムに対して本技術を適用してもよい。

　（変形例１）
　上述の実施の形態１においては、ＩＤテーブル１３ａ，３３ａから１つのＩＤを選択して監視ＩＤ１３ｂ及び処理ＩＤ３３ｂを変更する構成としたが、これに限るものではない。監視装置１０の変更処理部２３は、判定処理部２１が不正と判定したメッセージに付されているＩＤを取得し、このＩＤに所定値を加算又は減算することで新たなＩＤを生成し、監視ＩＤ１３ｂに登録する構成としてもよい。例えばＩＤ１００ｈのメッセージが不正であると判定された場合に、１００ｈに所定値として１を加算し、新たなＩＤ１０１ｈを生成する構成とすることができる。なお、加算又は減算する所定値は、メッセージの種別毎に異なる値としてよく、この場合にはメッセージの種別に対応付けて加算又は減算する所定値を記憶部１３に記憶しておく。

　各ＥＣＵ３０の変更処理部４１も同様に、監視装置１０により破棄処理がなされたメッセージに付されているＩＤを取得し、このＩＤに所定値を加算又は減算することで新たなＩＤを生成し、処理ＩＤ３３ｂに登録する構成としてよい。ただしＩＤに対して加算又は減算する所定値は、監視装置１０及びＥＣＵ３０で共通の値とする必要がある。

　（変形例２）
　また、上述の実施の形態においては、メッセージの監視処理のみを行う監視装置１０を車載通信システム中に設ける構成としたが、これに限るものではない。例えば車載通信システム中に含まれる複数のＥＣＵ３０のうち、一又は複数のＥＣＵ３０に監視装置１０と同様のメッセージ監視処理を行う機能を追加する構成としてもよい。図６は、変形例２に係る車載通信システムの構成を示すブロック図である。変形例２に係る車載通信システムでは、車両１の制御処理などを行う複数のＥＣＵ３０のうちの一つのＥＣＵ５０に、実施の形態１に示した監視装置１０と同様のメッセージ監視機能を追加した構成である。このため変形例２に係るＥＣＵ５０は、実施の形態１に係る監視装置１０と同様の判定処理部２１、破棄処理部２２、変更処理部２３及び通知処理部２４が処理部５１に設けられると共に、ＥＣＵ３０と同様の禁止処理部４２が処理部５１に設けられている。

　変形例２に係るＥＣＵ５０は、記憶部３３の処理ＩＤ３３ｂに、不正メッセージの監視対象とするＩＤ、且つ、自身の処理に関係するメッセージのＩＤを記憶している。ＥＣＵ５０は、通信線２上に送信されたメッセージのＩＤが処理ＩＤ３３ｂに登録されたものである場合、判定処理部２１による判定、破棄処理部２２による破棄、及び、変更処理部２３によるＩＤの変更等の処理を行う。またメッセージのＩＤが処理ＩＤ３３ｂに登録されたものでない場合、ＥＣＵ５０は、通知処理部２４によるＡＣＫの出力、及び、禁止処理部４２による受信メッセージに基づく処理の禁止等の処理を行う。

　このように、車載通信システムに含まれる一又は複数のＥＣＵ５０に監視装置１０の機能を設けることによって、メッセージ監視のために専用の監視装置１０を設ける必要がなくなるため、車載通信システムの大規模化を抑制し、コストの増大を抑制することができる。なお、車載通信システムに含まれる複数のＥＣＵを、全て変形例２に係るＥＣＵ５０と同様の構成としてもよい。

　（変形例３）
　図７は、変形例３に係る車載通信システムの構成を示すブロック図である。変形例３に係る車載通信システムは、それぞれに複数のＥＣＵ３０が接続された通信線２及び通信線３がゲートウェイ１１０に接続され、ゲートウェイ１１０が通信線２，３間のメッセージを中継する構成である。この構成の場合、ゲートウェイ１１０に上述の実施の形態１に係る監視装置１０と同様の監視機能を設けることができる。

　変形例３に係るゲートウェイ１１０は、処理部１１、通信部１２ａ，１２ｂ及び記憶部１３を備えて構成されている。２つの通信部１２ａ，１２ｂは、それぞれ通信線２，３が接続され、接続された通信線２，３を介してＥＣＵ３０との間でメッセージの送受信を行う。処理部１１は、通信部１２ａ，１２ｂの一方にて受信したメッセージを他方から送信することにより、通信線２，３間でメッセージを中継する処理を行う。更に処理部２１１は、ＲＯＭなどに記憶された所定意のプログラムを実行することにより、判定処理部２１、破棄処理部２２、変更処理部２３及び通知処理部２４等がソフトウェア的な機能ブロックとして実現される。これらの機能ブロックが行う処理は、上述の実施の形態１に係る監視装置１０のものと略同じであるが、２つの通信線２，３に対して個別にメッセージの監視処理を行う。

　このように変形例３に係る車載通信システムでは、複数の通信線２，３が接続されるゲートウェイ１１０にメッセージ監視機能を設ける。これによりゲートウェイ１１０にてメッセージ監視を集中的に行うことができ、各通信線２，３にそれぞれ監視装置１０を設ける構成と比較して、車載通信システムを小規模化及び低コスト化することができる。

＜実施の形態２＞
　図８は、実施の形態２に係る車載通信システムの構成を示すブロックである。実施の形態２に係る車載通信システムは、実施の形態１に係る車載通信システムと同様に、共通の通信線２に対して複数のＥＣＵ２３０が接続されると共に、通信線２上のメッセージを監視する監視装置２１０が接続された構成である。実施の形態２に係る監視装置２１０は、ＩＤテーブル１３ａに代えて、記憶部１３に暗号鍵２１３ａを記憶しており、変更処理部２２３が暗号鍵２１３ａを用いてＩＤの変更処理を行う。同様に、実施の形態２に係るＥＣＵ２３０は、ＩＤテーブル３３ａに代えて、記憶部３３に暗号鍵２３３ａを記憶しており、変更処理部２４１が暗号鍵２１３ａを用いてＩＤの変更処理を行う。なお、監視装置２１０が記憶する暗号鍵２１３ａと、各ＥＣＵ２３０が記憶する暗号鍵２３３ａとは同じであり、例えば車両１の製造段階などにおいて適切な値が各装置に書き込まれる。

　図９は、実施の形態２に係る監視装置２１０によるメッセージのＩＤの変更処理を説明するための模式図である。本実施の形態に係る車載通信システムにて送受信されるメッセージは、ＣＡＮ又はＣＡＮ－ＦＤ等のプロトコルに基づくものであり、アービトレーションフィールド、コントロールフィールド、データフィールド及びＣＲＣ（Cyclic Redundancy Check）フィールド等を含んで構成されている（図９上段のメッセージ構成を参照）。アービトレーションフィールドにメッセージのＩＤが格納される。実施の形態２においてアービトレーションフィールドに格納されるＩＤは全体で２９ビットであり、１１ビットのベースＩＤと、１８ビットの拡張ＩＤとに分けられている。またデータフィールドには６４ビットのデータが格納される。監視装置２１０の判定処理部２１がＭＡＣに基づく判定を行う場合に、メッセージの例えばデータフィールドの一部にＭＡＣを含めてよい。

　ここで図９のメッセージ例に示すように、ベースＩＤが０１２ｈ（000 0001 0010）であり、拡張ＩＤが３４５６７ｈ（11 0100 0101 0110 0111）であるとする。またデータフィールドには８９ａｂｃｄｅｆ０１２３４５６７ｈのデータが格納されているとする。監視装置２１０の監視ＩＤ１３ｂ及びＥＣＵ２３０の処理ＩＤ３３ｂには、例示したベースＩＤ及び拡張ＩＤを結合した２９ビットのＩＤが登録されている。

　不正なＥＣＵがこのＩＤを用いて不正メッセージを送信した場合、監視装置２１０の判定処理部２１がこのメッセージを不正であると判定し、破棄処理部２２がエラーフレームを出力することにより各ＥＣＵ３０にてこのメッセージが破棄される。破棄処理部２２によるメッセージの破棄処理を行った場合、監視装置２１０の変更処理部２２３は、破棄したメッセージのデータフィールドに含まれる６４ビットのデータと、記憶部１３に記憶している暗号鍵２１３ａとを用いて新たなＩＤを生成する。なお破棄処理部２２は、メッセージのデータフィールドまでの送信が完了した後、且つ、メッセージの送信完了前までにエラーフレームの出力を行う。

　変更処理部２２３は、例えばデータフィールドの６４ビットのデータに対して、暗号鍵２１３ａを用いた暗号化処理を行う。なお暗号化処理は、例えば共有鍵暗号方式として知られるＤＥＳ（Data Encryption Standard）又はＡＥＳ（Advanced Encryption Standard）等のアルゴリズムを採用することができる。ただし変更処理部２２３が行う暗号化処理はＤＥＳ又はＡＥＳ以外のどのようなアルゴリズムを採用してもよい。本例では、データフィールドの６４ビットのデータ（８９ａｂｃｄｅｆ０１２３４５６７ｈ）に対して暗号化処理を行った結果、６４ビットのデータ（７６５４３２１０ｆｅｄｃｂａ９８ｈ）が得られたものとする。

　変更処理部２２３は、暗号化処理により得られた６４ビットのデータから、下位１８ビットのデータ（０ｂａ９８ｈ）を抽出する。変更処理部２２３は、破棄したメッセージのＩＤに含まれる拡張ＩＤを、暗号化処理により得られたデータから抽出した１８ビットのデータに置き換えたものを新たなＩＤとする（図９下段のＩＤ変更後のメッセージ例を参照）。変更処理部２２３は、記憶部１３の監視ＩＤ１３ｂから破棄したメッセージのＩＤを削除すると共に、上記の処理により生成した新たなＩＤを監視ＩＤ１３ｂに登録することにより、監視対象のＩＤの変更を行う。

　同様に、各ＥＣＵ２３０の変更処理部２４１は、監視装置２１０の破棄処理により破棄したメッセージのデータフィールドに含まれる６４ビットのデータと、記憶部３３に記憶された暗号鍵２３３ａとを用いて新たなＩＤを生成する。変更処理部２４１は、記憶部３３の処理ＩＤ３３ｂから破棄したメッセージのＩＤを削除すると共に、生成した新たなＩＤを処理ＩＤ３３ｂに登録することにより、処理対象のＩＤの変更を行う。

　ＥＣＵ２３０の変更処理部２４１による新たなＩＤの生成方法は、監視装置２１０の変更処理部２２３による新たなＩＤの生成方法と同じであるため、説明は省略する。またＥＣＵ２３０が記憶している暗号鍵２３３ａと、監視装置２１０が記憶している暗号鍵２１３ａとは同じものである。よって、破棄したメッセージのデータフィールドに基づいて生成される新たなＩＤは、ＥＣＵ２３０にて生成されるものと、監視装置２１０にて生成されるものとで同じ値となる。

　以上の構成の実施の形態２に係る車載通信システムは、監視装置２１０の破棄処理により破棄されたメッセージの一部（データフィールド）を元に、所定の規則による処理（暗号化処理）を行うことで新たなＩＤを生成する。監視装置２１０及び各ＥＣＵ２３０は、同じ暗号化処理の規則を予め記憶しておく。これにより、所定の暗号化処理の規則を記憶していない不正なＥＣＵはＩＤを変更することができないため、不正なＥＣＵによる不正メッセージの送信を無効化することができる。

　また実施の形態２に係る車載通信システムは、監視装置２１０及び各ＥＣＵ２３０が共通の暗号鍵２１３ａ，２３３ａを記憶しておき、新たなＩＤの生成のこの暗号鍵２１３ａ，２３３ａを用いる。これにより暗号鍵２１３ａ，２３３ａを記憶していない不正なＥＣＵはＩＤを変更することができないため、不正なＥＣＵによる不正メッセージの送信を無効化することができる。

　また実施の形態２に係る車載通信システムは、監視装置２１０及び各ＥＣＵ２３０がＩＤを変更する場合、メッセージに付されるＩＤのうちの基本ＩＤは固定し、拡張ＩＤを変更する。例えば複数のＩＤが使用される車載通信システムにおいて、メッセージのＩＤを全て変更する構成とした場合、種別が異なる複数のメッセージのＩＤが偶然に一致する虞があるため、ＩＤの変更処理において重複の有無を確認する必要がある。基本ＩＤを固定して拡張ＩＤのみを変更する構成とすることにより、このような重複が発生することがなくなるため、ＩＤの変更を容易化することができる。

　なお実施の形態２において監視装置２１０及び各ＥＣＵ２３０は、破棄したメッセージのデータフィールドを元に暗号化処理を行う構成としたが、これに限るものではない。監視装置２１０及び各ＥＣＵ２３０は、例えば破棄したメッセージのＣＲＣフィールドを元に暗号化処理を行ってもよく、また例えばデータフィールドの上位３２ビットなどの一部分を元に暗号化処理を行ってもよく、また例えばメッセージ全体を元に暗号化処理を行ってもよく、これら以外の部分を元に暗号化処理を行ってもよい。また監視装置２１０及び各ＥＣＵ２３０は、暗号鍵２１３ａ，２３３ａとして１つの値を用いるのではなく、例えばメッセージの種別毎に異なる値を用いてもよい。

　また監視装置２１０及び各ＥＣＵ２３０は、暗号鍵２１３ａ，２３３ａを用いた暗号化処理により新たなＩＤを生成する構成としたが、これに限るものではない。監視装置２１０及び各ＥＣＵ２３０は、破棄したメッセージの一部又は全部を元に、所定の規則で新たなＩＤを生成する構成であればよい。例えば監視装置２１０及び各ＥＣＵ２３０は、破棄したメッセージのデータフィールドに対して、予め記憶したハッシュ関数を用いたハッシュ値の算出を行い、算出したハッシュ値を新たなＩＤ又は新たなＩＤの一部としてもよい。

　また、実施の形態２に係る車載通信システムのその他の構成は、実施の形態１に係る車載通信システムと同様であるため、同様の箇所には同じ符号を付し、詳細な説明を省略する。

　１　車両
　２，３　通信線
　１０　監視装置
　１１　処理部
　１２，１２ａ，１２ｂ　通信部
　１３　記憶部
　１３ａ　ＩＤテーブル
　１３ｂ　監視ＩＤ
　２１　判定処理部
　２２　破棄処理部
　２３　変更処理部
　２４　通知処理部
　３０　ＥＣＵ
　３１　処理部
　３２　通信部
　３３　記憶部
　３３ａ　ＩＤテーブル
　３３ｂ　処理ＩＤ
　４１　変更処理部
　４２　禁止処理部
　５０　ＥＣＵ
　５１　処理部
　１１０　ゲートウェイ
　２１０　監視装置
　２１３ａ　暗号鍵
　２２３　変更処理部
　２３０　ＥＣＵ
　２３３ａ　暗号鍵
　２４１　変更処理部

Claims

　複数の通信装置が共通の通信線に接続され、前記通信線を介して識別情報が付されたメッセージを前記複数の通信装置間で送受信する車載通信システムにおいて、
　監視対象とするメッセージの識別情報を記憶する記憶部と、前記通信線上に送信されたメッセージが正規のメッセージであるか否かを判定する判定部と、前記判定部が正規のメッセージでないと判定したメッセージを、該メッセージの送信完了前に破棄させる処理を行う破棄部と、前記破棄部が破棄させる処理を行った場合に、前記記憶部に記憶する識別情報を変更する第１変更部とを有し、前記通信線上に送信されたメッセージの監視を行う監視装置を備え、
　各通信装置は、
　前記破棄部によるメッセージの破棄が行われた場合に、送受信するメッセージに付す識別情報を変更する第２変更部と、
　前記第２変更部が識別情報を変更した後に、変更前の識別情報が付されたメッセージに基づく処理を禁止する禁止部と
　を有し、
　前記監視装置の第１変更部と前記通信装置の第２変更部とは、同じ方法で識別情報の変更を行うこと
　を特徴とする車載通信システム。
　前記監視装置又は前記通信装置は、変更前の識別情報が付されたメッセージに対して受信完了を示す信号を前記通信線に出力する受信完了通知部を有すること
　を特徴とする請求項１に記載の車載通信システム。
　前記監視装置及び前記通信装置は、メッセージに対して割り当て可能な複数の識別情報を記憶したテーブルを有し、
　前記監視装置の第１変更部及び前記通信装置の第２変更部は、前記テーブルから所定の規則で一の識別情報を選択し、選択した識別情報を新たな識別情報として変更を行うこと
　を特徴とする請求項１又は請求項２に記載の車載通信システム。
　前記識別情報は数値情報であり、
　前記監視装置の第１変更部及び前記通信装置の第２変更部は、前記識別情報に所定値を加算又は減算した値を算出し、算出した識別情報を新たな識別情報として変更を行うこと
　を特徴とする請求項１又は請求項２に記載の車載通信システム。
　前記監視装置の第１変更部及び前記通信装置の第２変更部は、前記破棄部の処理により破棄されたメッセージの一部又は全部を元に所定の規則で識別情報を生成し、生成した識別情報を新たな識別情報として変更を行うこと
　を特徴とする請求項１又は請求項２に記載の車載通信システム。
　前記監視装置及び前記通信装置は、共通の暗号鍵を記憶する記憶部を有し、
　前記監視装置の第１変更部及び前記通信装置の第２変更部は、前記記憶部に記憶された前記暗号鍵を用いて新たな識別情報を生成すること
　を特徴とする請求項５に記載の車載通信システム。
　前記メッセージに付される識別情報には、基本部分と拡張部分とを含み、
　前記監視装置の第１変更部及び前記通信装置の第２変更部は、前記拡張部分を変更すること
　を特徴とする請求項１乃至請求項６のいずれか１つに記載の車載通信システム。
　前記複数の通信装置のうちのいずれか１つの通信装置が、前記監視装置としてメッセージの監視を行うこと
　を特徴とする請求項１乃至請求項７のいずれか１つに記載の車載通信システム。
　前記監視装置は、複数の通信線に接続されて、通信線間のメッセージを中継するゲートウェイ装置であること
　を特徴とする請求項１乃至請求項７のいずれか１つに記載の車載通信システム。
　識別情報が付されたメッセージを送受信する複数の通信装置が接続された共通の通信線に接続され、前記通信線上に送信されたメッセージの監視を行う監視装置であって、
　監視対象とするメッセージの識別情報を記憶する記憶部と、
　前記通信線上に送信されたメッセージが正規のメッセージであるか否かを判定する判定部と、
　前記判定部が正規のメッセージでないと判定したメッセージを、該メッセージの送信完了前に破棄させる処理を行う破棄部と、
　前記破棄部が破棄させる処理を行った場合に、前記記憶部に記憶する識別情報を変更する変更部と
　を備え、
　前記破棄部が行うメッセージの破棄により、前記変更部と同じ方法で、前記通信装置に対して送受信するメッセージに付す識別情報を変更させること
　を特徴とする監視装置。
　変更前の識別情報が付されたメッセージに対して受信完了を示す信号を前記通信線に出力する受信完了通知部を備えること
　を特徴とする請求項１０に記載の監視装置。
　メッセージに対して割り当て可能な複数の識別情報を記憶したテーブルを有し、
　前記変更部は、前記テーブルから所定の規則で一の識別情報を選択し、選択した識別情報を新たな識別情報として変更を行うこと
　を特徴とする請求項１０又は請求項１１に記載の監視装置。
　前記識別情報は数値情報であり、
　前記変更部は、前記識別情報に所定値を加算又は減算した値を算出し、算出した識別情報を新たな識別情報として変更を行うこと
　を特徴とする請求項１０又は請求項１１に記載の監視装置。
　前記変更部は、前記破棄部の処理により破棄されたメッセージの一部又は全部を元に所定の規則で識別情報を生成し、生成した識別情報を新たな識別情報として変更を行うこと
　を特徴とする請求項１０又は請求項１１に記載の監視装置。
　暗号鍵を記憶する記憶部を有し、
　前記変更部は、前記記憶部に記憶された前記暗号鍵を用いて新たな識別情報を生成すること
　を特徴とする請求項１４に記載の監視装置。
　前記メッセージに付される識別情報には、基本部分と拡張部分とを含み、
　前記変更部は、前記拡張部分を変更すること
　を特徴とする請求項１０乃至請求項１５のいずれか１つに記載の監視装置。
　複数の通信線に接続されて、通信線間のメッセージを中継するゲートウェイ装置であること
　を特徴とする請求項１０乃至請求項１６のいずれか１つに記載の監視装置。