WO2019012889A1

WO2019012889A1 - 認証制御装置、認証制御方法および認証制御プログラム

Info

Publication number: WO2019012889A1
Application number: PCT/JP2018/022351
Authority: WO
Inventors: 小川明紘; 浦山博史; 萩原剛志; 藪内靖弘
Original assignee: 住友電気工業株式会社; 株式会社オートネットワーク技術研究所; 住友電装株式会社
Priority date: 2017-07-10
Filing date: 2018-06-12
Publication date: 2019-01-17
Also published as: JP6766766B2; US20200137049A1; US11444939B2; CN110832486A; JP2019016247A; CN110832486B

Abstract

認証制御装置は、車載ネットワークに新たに追加される車載装置に関する所定の識別情報を取得する取得部と、前記取得部によって取得された前記識別情報に基づいて、前記車載装置に対する認証処理として、複数種類の認証手順のうちのいずれを適用するかを決定する決定部とを備える。

Description

認証制御装置、認証制御方法および認証制御プログラム

　本発明は、認証制御装置、認証制御方法および認証制御プログラムに関する。
　この出願は、２０１７年７月１０日に出願された日本出願特願２０１７－１３４２７２号を基礎とする優先権を主張し、その開示のすべてをここに取り込む。

　特許文献１（特開２０１３－１６８８６５号公報）には、以下のような車載ネットワークシステムが開示されている。すなわち、車載ネットワークシステムは、車載ネットワーク上で用いられる通信規約のうち前記車載ネットワーク上における実装に依拠する部分を定義する定義データを格納するメモリを備えた車載制御装置と、前記車載制御装置に対して前記定義データを発行する通信規約発行装置とを備える。前記通信規約発行装置は、前記車載制御装置を前記車載ネットワークに参加させる登録装置から、前記車載制御装置を前記車載ネットワークに参加させるよう要求する登録要求を受け取ると、前記登録装置に対する認証を実施した上で、前記車載ネットワークに上における実装に準拠した前記定義データを作成して前記登録装置に返信する。前記登録装置は、前記通信規約発行装置が送信した前記定義データを受け取り、受け取った前記定義データを前記メモリ上に格納するよう前記車載制御装置に対して要求する。そして、前記車載制御装置は、前記登録装置から定義データを受け取って前記メモリ上に格納し、前記定義データが定義する前記部分にしたがって、前記通信規約に準拠して前記車載ネットワークを用いて通信する。

特開２０１３－１６８８６５号公報

　（１）本開示の認証制御装置は、車載ネットワークに新たに追加される車載装置に関する所定の識別情報を取得する取得部と、前記取得部によって取得された前記識別情報に基づいて、前記車載装置に対する認証処理として、複数種類の認証手順のうちのいずれを適用するかを決定する決定部とを備える。

　（１７）本開示の認証制御方法は、認証制御装置における認証制御方法であって、車載ネットワークに新たに追加される車載装置に関する所定の識別情報を取得するステップと、取得した前記識別情報に基づいて、前記車載装置に対する認証処理として、複数種類の認証手順のうちのいずれを適用するかを決定するステップとを含む。

　（１８）本開示の認証制御プログラムは、認証制御装置において用いられる認証制御プログラムであって、コンピュータを、車載ネットワークに新たに追加される車載装置に関する所定の識別情報を取得する取得部と、前記取得部によって取得された前記識別情報に基づいて、前記車載装置に対する認証処理として、複数種類の認証手順のうちのいずれを適用するかを決定する決定部、として機能させるためのプログラムである。

　本開示の一態様は、このような特徴的な処理部を備える認証制御装置として実現され得るだけでなく、認証制御装置を備える車載通信システムとして実現され得る。また、本開示の一態様は、認証制御装置の一部または全部を実現する半導体集積回路として実現され得る。

図１は、本発明の実施の形態に係る通信システムの構成を示す図である。図２は、本発明の実施の形態に係る車載通信システムの構成を示す図である。図３は、本発明の実施の形態に係る車載通信システムにおける中継装置の構成を示す図である。図４は、本発明の実施の形態に係る車載通信システムにおける認証制御装置の構成を示す図である。図５は、本発明の実施の形態に係る車載通信システムにおいて、増設装置が車載ネットワークに接続された際のシーケンスの一例を示す図である。図６は、本発明の実施の形態に係る車載通信システムにおける増設装置が送信する認証鍵のデータの一例を示す図である。図７は、本発明の実施の形態に係る車載通信システムにおいて、増設装置の認証処理が行われる際のシーケンスの一例を示す図である。図８は、本発明の実施の形態に係る車載通信システムにおいて、増設装置の認証処理が行われる際のシーケンスの一例を示す図である。図９は、本発明の実施の形態に係る車載通信システムにおいて、増設装置の認証処理が行われる際のシーケンスの一例を示す図である。図１０は、本発明の実施の形態に係る認証制御装置における決定部が保持する認証履歴テーブルの一例を示す図である。図１１は、本発明の実施の形態に係る車載通信システムにおいて、増設装置が車載ネットワークに接続された際のシーケンスの一例を示す図である。図１２は、本発明の実施の形態に係る認証制御装置における決定部が保持する認証履歴テーブルの一例を示す図である。図１３は、本発明の実施の形態に係る車載通信システムにおいて、増設装置が車載ネットワークに接続された際のシーケンスの一例を示す図である。図１４は、本発明の実施の形態に係る通信システムにおけるサーバが保持する信頼度テーブルの一例を示す図である。図１５は、本発明の実施の形態に係る車載通信システムにおいて、増設装置が車載ネットワークに接続された際のシーケンスの一例を示す図である。図１６は、本発明の実施の形態に係る通信システムにおけるサーバが保持する信頼度テーブルの一例を示す図である。

　従来、車載ネットワークにおけるセキュリティを向上させるための車載ネットワークシステムが開発されている。

　［本開示が解決しようとする課題］
　特許文献１に記載の車載ネットワークシステムでは、通信規約に準拠しない通信、たとえばＤｏＳ（Ｄｅｎｉａｌ　ｏｆ　Ｓｅｒｖｉｃｅ）攻撃および盗聴等を行う車載制御装置は、不正な車載制御装置として検知される。

　このため、上記車載制御装置は、不正な車載制御装置として検知されるまでＤｏＳ攻撃および盗聴を行うことが可能である。

　このようなＤｏＳ攻撃および盗聴等を行わせないために、不正な車載制御装置を車載ネットワークシステムに参加させない構成が好ましいが、特許文献１にはこのような構成は開示されていない。

　本開示は、上述の課題を解決するためになされたもので、その目的は、車載ネットワークにおいて、良好な通信を提供することが可能な認証制御装置、認証制御方法および認証制御プログラムを提供することである。

　［本開示の効果］
　本開示によれば、車載ネットワークにおいて、良好な通信を提供することができる。

　［本願発明の実施形態の説明］
　最初に、本発明の実施形態の内容を列記して説明する。

　（１）本発明の実施の形態に係る認証制御装置は、車載ネットワークに新たに追加される車載装置に関する所定の識別情報を取得する取得部と、前記取得部によって取得された前記識別情報に基づいて、前記車載装置に対する認証処理として、複数種類の認証手順のうちのいずれを適用するかを決定する決定部とを備える。

　このように、識別情報に基づいて、複数種類の認証手順のうちのいずれを適用するかを決定する構成により、たとえば、新たに追加される車載装置に応じた認証を行うことができるので、車載装置が正当であるか否かをより正しく判断することができる。これにより、ＤｏＳ攻撃および盗聴等の不正な通信を行う前に不正な車載装置を検知することができるので、車載ネットワークにおいて不正な通信が発生することを防ぐことができる。したがって、車載ネットワークにおいて、良好な通信を提供することができる。

　（２）好ましくは、前記決定部は、前記取得部によって取得された前記識別情報に基づいて前記車載装置の信頼度を判定し、判定した前記信頼度に応じた前記認証手順を決定する。

　このような構成により、信頼度が低いと判定した車載装置に対しては、たとえば厳重な認証手順を適用することができるので、不正な車載装置の検知精度を向上させることができる。また、信頼度が高いと判定した車載装置に対しては、たとえば、簡素な認証手順を適用することができるので、認証処理の負荷を軽減することができる。

　（３）好ましくは、前記識別情報は、前記車載装置の取り付け作業が行われる場所を識別可能な情報である。

　たとえば、製造工場、ディーラおよびその他の場所等のように、車載装置の取り付け作業が行われる場所に応じて、車両メーカーの当該車載装置に対する関与度が異なる。上記の構成により、車載装置の取り付け作業が行われた場所に応じた関与度に基づいて、当該車載装置の信頼度および正当性等の適切な評価を行うことができる。

　（４）好ましくは、前記識別情報は、前記車載装置の品番および型番の少なくともいずれか一方を示す。

　このような構成により、車載装置の品番および型番の少なくともいずれか一方に基づいて、たとえば当該車載装置の製造元、製造時期および仕様等を認識することができるので、車載装置の信頼度および正当性等の適切な評価を行うことができる。

　（５）好ましくは、前記識別情報は、前記車載装置を一意に識別可能な情報である。

　このような構成により、たとえば、車載装置を一意に識別可能な情報と当該車載装置の製造元、製造時期および仕様等との対応関係を保持するサーバから、識別情報に対応する製造元、製造時期および仕様等を取得することができるので、当該車載装置の信頼度および正当性等の適切な評価を行うことができる。

　（６）好ましくは、前記決定部は、前記車載装置に対して過去に適用された前記認証手順にさらに基づいて、新たに適用する前記認証手順を決定する。

　このような構成により、たとえば、過去に適用した認証手順による認証結果が良好な車載装置には、簡素な認証手順を新たに適用することができ、また、上記認証結果が不良な車載装置には、厳重な認証手順を新たに適用することができる。すなわち、上記認証結果に応じた認証手順を適用することができるので、認証処理を効率よく行うことができる。

　（７）好ましくは、前記認証制御装置は、前記車載ネットワークにおけるデータを中継する中継装置に含まれる。

　このように、車載装置との通信をより確実に行うことが可能な中継装置に認証制御装置が含まれる構成により、認証手順の決定をより確実に行うことができる。

　（８）より好ましくは、前記識別情報は、前記中継装置との前記認証処理において使用される認証鍵に含まれる。

　このように、認証鍵に識別情報が含まれる構成により、より簡素な認証手順を決定させることを目的とする、識別情報の改ざんを困難にすることができるので、不正な車載装置が、正当な車載装置に成りすますことを防止することができる。

　（９）好ましくは、前記複数種類の認証手順は、前記車載装置に対する前記認証処理を行う認証装置の数が異なる複数の認証手順を含む。

　このような構成により、車載装置の信頼度および正当性等に応じて認証装置の数を異ならせることができるので、認証手順の厳重さを適切に調整することができる。

　（１０）好ましくは、前記複数種類の認証手順は、前記車載装置に対する前記認証処理を行う認証装置が異なる複数の認証手順を含む。

　このような構成により、車載装置の信頼度および正当性等に応じて認証装置を異ならせることができるので、認証手順の厳重さを適切に調整することができる。

　（１１）より好ましくは、前記認証処理において使用される認証鍵は、前記認証装置ごとに異なる。

　このように、認証鍵を認証装置ごとに異ならせる構成により、認証処理を複雑化することができるので、認証処理が不正に突破されることを困難にすることができる。すなわち、車載ネットワークにおけるセキュリティを向上させることができる。

　（１２）より好ましくは、前記認証装置には、前記車載ネットワークにおけるデータを中継する中継装置が含まれる。

　このように、認証装置には、車載ネットワークにおけるデータ伝送の要となる中継装置が含まれる構成により、たとえば、認証した車載装置が不正な場合において、当該車載装置の不正通信によるデータ伝送をより確実に停止させることができる。

　（１３）より好ましくは、前記中継装置は、前記車載装置に対する自己の前記認証処理が成功した場合、前記車載装置の通信相手となる他の車載装置に前記認証処理の開始を指示する。

　このように、中継装置による認証処理が成功した場合に、車載ネットワークにおいて通信を行う予定の車載装置間で認証処理を行う構成により、新たに追加された車載装置の正当性をより正しく判断することができる。

　（１４）より好ましくは、前記中継装置は、前記車載装置に対する自己の前記認証処理が成功した場合、他の前記中継装置に前記認証処理の開始を指示する。

　このように、中継装置による認証処理が成功した場合に、新たに追加された車載装置に対して他の中継装置と認証処理を行わせる構成により、当該車載装置の正当性をより正しく判断することができる。

　（１５）好ましくは、前記複数種類の認証手順は、セキュリティレベルの異なる複数の認証手順を含む。

　このような構成により、車載装置の信頼度および正当性等に応じてセキュリティレベルを異ならせることができるので、認証手順の厳重さを適切に調整することができる。

　（１６）好ましくは、前記決定部は、前記取得部によって取得された前記識別情報に基づいて前記車載装置の信頼度を判定し、判定した前記信頼度が小さいほど、前記車載装置に対する前記認証処理を行う認証装置の数が大きい前記認証手順を決定する。

　このように、信頼度の小さい車載装置すなわち不正である可能性が高い車載装置に対して、より多くの認証装置に認証させる構成により、新たに追加した車載装置が正当であるか否かをより正しく判断することができる。

　（１７）本発明の実施の形態に係る認証制御方法は、認証制御装置における認証制御方法であって、車載ネットワークに新たに追加される車載装置に関する所定の識別情報を取得するステップと、取得した前記識別情報に基づいて、前記車載装置に対する認証処理として、複数種類の認証手順のうちのいずれを適用するかを決定するステップとを含む。

　（１８）本発明の実施の形態に係る認証制御プログラムは、認証制御装置において用いられる認証制御プログラムであって、コンピュータを、車載ネットワークに新たに追加される車載装置に関する所定の識別情報を取得する取得部と、前記取得部によって取得された前記識別情報に基づいて、前記車載装置に対する認証処理として、複数種類の認証手順のうちのいずれを適用するかを決定する決定部、として機能させるためのプログラムである。

　以下、本発明の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。

　［構成および基本動作］
　図１は、本発明の実施の形態に係る通信システムの構成を示す図である。

　図１を参照して、通信システム２０１は、サーバ１８１と、車載通信システム３０１とを備える。車載通信システム３０１は、車両１に搭載される。

　図２は、本発明の実施の形態に係る車載通信システムの構成を示す図である。

　図２を参照して、車載通信システム３０１は、車載ＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）１１１Ａ～１１１Ｆと、中継装置１５１Ａ，１５１Ｂとを備える。

　以下、車載ＥＣＵ１１１Ａ～１１１Ｆの各々を、車載ＥＣＵ１１１とも称する。また、中継装置１５１Ａ，１５１Ｂの各々を、中継装置１５１とも称する。車載ＥＣＵ１１１および中継装置１５１は、車載装置の一例である。

　なお、車載通信システム３０１は、６つの車載ＥＣＵ１１１を備える構成に限らず、５つ以下、または７つ以上の車載ＥＣＵ１１１を備える構成であってもよい。また、車載通信システム３０１は、２つの中継装置１５１を備える構成に限らず、１つ、または３つ以上の中継装置１５１を備える構成であってもよい。

　車載ＥＣＵ１１１Ａは、たとえばＴＣＵ（Ｔｅｌｅｍａｔｉｃｓ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｕｎｉｔ）である。以下、車載ＥＣＵ１１１Ａを、ＴＣＵ１１１Ａとも称する。

　車載ＥＣＵ１１１Ｂ～１１１Ｆは、たとえば、自動運転ＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）、センサ、ナビゲーション装置、ヒューマンマシンインタフェース、およびカメラ等である。

　車載ネットワーク１２では、車載ＥＣＵ１１１Ａ，１１１Ｃは、イーサネット（登録商標）ケーブルを介して中継装置１５１Ａに接続される。車載ＥＣＵ１１１Ｄ～１１１Ｆは、イーサネットケーブルを介して中継装置１５１Ｂに接続される。

　中継装置１５１Ａ，１５１Ｂは、たとえば、スイッチ装置であり、イーサネットケーブルを介して互いに接続される。なお、中継装置１５１Ａ，１５１Ｂは、ゲートウェイ装置であってもよい。

　たとえば、車載ＥＣＵ１１１Ｂは、初期状態では中継装置１５１Ａに接続されていない。車載ＥＣＵ１１１Ｂは、たとえば、車両１の製造工場、車両１のディーラ、および車両１のアフターパーツの販売店等のいずれかにおいて車両１に設置され、イーサネットケーブルを介して中継装置１５１Ａに接続される。

　この例では、中継装置１５１Ａに接続された場合における車載ＥＣＵ１１１Ｂの通信相手は、たとえば車載ＥＣＵ１１１Ｃである。

　以下、車載ＥＣＵ１１１Ｂ，１１１Ｃの各々を、増設装置１１１Ｂ，通信相手装置１１１Ｃとも称する。

　中継装置１５１は、イーサネットの通信規格に従って、イーサネットフレームの中継処理を行う。

　具体的には、中継装置１５１は、たとえば、車載ＥＣＵ１１１間でやり取りされるイーサネットフレームを中継する。イーサネットフレームには、ＩＰパケットが格納される。

　なお、車載通信システム３０１では、イーサネットの通信規格に従ってイーサネットフレームの中継が行われる構成に限らず、たとえば、ＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）（登録商標）、ＦｌｅｘＲａｙ（登録商標）、ＭＯＳＴ（Ｍｅｄｉａ　Ｏｒｉｅｎｔｅｄ　Ｓｙｓｔｅｍｓ　Ｔｒａｎｓｐｏｒｔ）（登録商標）およびＬＩＮ（Ｌｏｃａｌ　Ｉｎｔｅｒｃｏｎｎｅｃｔ　Ｎｅｔｗｏｒｋ）等の通信規格に従ってデータの中継が行われる構成であってもよい。

　図１および図２を参照して、ＴＣＵ１１１Ａは、サーバ１８１と通信を行うことが可能である。詳細には、ＴＣＵ１１１Ａは、たとえば、ＩＰプロトコルに従い、無線基地局装置１６１を介してサーバ１８１と通信することが可能である。

　より詳細には、ＴＣＵ１１１Ａは、たとえば、ＬＴＥ（Ｌｏｎｇ　Ｔｅｒｍ　Ｅｖｏｌｕｔｉｏｎ）または３Ｇ等の通信規格に従って、無線基地局装置１６１と無線通信を行うことが可能である。

　具体的には、ＴＣＵ１１１Ａは、たとえば、ＩＰサーバからのＩＰパケットが格納された無線フレームを無線基地局装置１６１から受信すると、受信した無線フレームからＩＰパケットを取得し、取得したＩＰパケットをイーサネットフレームに格納して中継装置１５１Ａへ送信する。

　また、ＴＣＵ１１１Ａは、中継装置１５１Ａからイーサネットフレームを受信すると、受信したイーサネットフレームからＩＰパケットを取得し、取得したＩＰパケットを無線フレームに格納して無線基地局装置１６１へ送信する。

　無線基地局装置１６１は、ＴＣＵ１１１Ａから無線フレームを受信すると、受信した無線フレームからＩＰパケットを取得し、取得したＩＰパケットを外部ネットワーク１１経由でサーバ１８１へ送信する。

　また、無線基地局装置１６１は、サーバ１８１から外部ネットワーク１１経由でＩＰパケットを受信すると、受信したＩＰパケットを無線フレームに格納し、当該無線フレームをＴＣＵ１１１Ａへ送信する。

　図３は、本発明の実施の形態に係る車載通信システムにおける中継装置の構成を示す図である。

　図３を参照して、中継装置１５１Ａは、中継処理部５１と、通信ポート５２Ａ，５２Ｂ，５２Ｃ，５２Ｄと、認証制御装置１０１とを備える。

　図３には、中継装置１５１Ａの構成が示されるが、中継装置１５１Ｂも、中継装置１５１Ａと同様の構成を有する。

　以下、通信ポート５２Ａ，５２Ｂ，５２Ｃ，５２Ｄの各々を、通信ポート５２とも称する。通信ポート５２は、たとえば、イーサネットケーブルを接続可能な端子である。

　この例では、通信ポート５２Ａ，５２Ｂ，５２Ｃは、それぞれ中継装置１５１Ｂ，ＴＣＵ１１１Ａ，通信相手装置１１１Ｃに接続されている。

　通信ポート５２Ｄは、たとえば、増設装置１１１Ｂの接続に用いられる通信ポート（以下、増設用ポートとも称する。）であり、初期状態では空きポートである。

　中継処理部５１は、イーサネットフレームの中継処理を行う。具体的には、中継処理部５１は、たとえば、通信ポート５２経由でイーサネットフレームを受信すると、受信したイーサネットフレームに対してレイヤ２のスイッチ処理およびレイヤ３の中継処理を行う。

　そして、中継処理部５１は、スイッチ処理または中継処理後のイーサネットフレームを他の通信ポート５２経由で送信する。

　また、中継処理部５１は、スイッチ処理および中継処理が許可された通信経路を示す登録情報を保持する。通信経路は、たとえば、送信元ＭＡＣ（Ｍｅｄｉａ　Ａｃｃｅｓｓ　Ｃｏｎｔｒｏｌ）アドレスおよび送信先ＭＡＣアドレスの組、ならびに送信元ＩＰアドレスおよび送信先ＩＰアドレスの組等によって特定される。

　中継処理部５１は、たとえば、保持する登録情報に基づいて、イーサネットフレームのフィルタ処理を行う。

　図４は、本発明の実施の形態に係る車載通信システムにおける認証制御装置の構成を示す図である。

　図４を参照して、認証制御装置１０１は、取得部２１と、決定部２２とを備える。

　［動作の流れ］
　通信システム２０１における各装置は、コンピュータを備え、当該コンピュータにおけるＣＰＵ等の演算処理部は、以下のシーケンス図またはフローチャートの各ステップの一部または全部を含むプログラムを図示しないメモリからそれぞれ読み出して実行する。これら複数の装置のプログラムは、それぞれ、外部からインストールすることができる。これら複数の装置のプログラムは、それぞれ、記録媒体に格納された状態で流通する。

　図５は、本発明の実施の形態に係る車載通信システムにおいて、増設装置が車載ネットワークに接続された際のシーケンスの一例を示す図である。

　図３～図５を参照して、増設装置１１１Ｂが増設用ポートに接続された状況を想定する。

　まず、増設装置１１１Ｂは、たとえば、送信元ＭＡＣアドレスおよび送信先ＭＡＣアドレスとして、それぞれ自己のＭＡＣアドレスおよび通信相手装置１１１ＣのＭＡＣアドレスを含むイーサネットフレームを通信要求として中継装置１５１Ａへ送信する（ステップＳ１０２）。

　次に、中継装置１５１Ａにおける中継処理部５１は、増設用ポート経由で増設装置１１１Ｂからイーサネットフレームを受信すると、受信したイーサネットフレームに含まれる送信元ＭＡＣアドレスおよび送信先ＭＡＣアドレスを取得し、取得した送信元ＭＡＣアドレスおよび送信先ＭＡＣアドレスに基づく通信経路が登録情報に登録されているか否かを確認する（ステップＳ１０４）。

　ここでは、中継処理部５１は、上記通信経路が登録情報に登録されていないことを確認する。

　次に、中継処理部５１は、上記通信経路が登録情報に登録されていないため、増設装置１１１Ｂの認証に用いる認証鍵の要求を含むイーサネットフレームを認証鍵要求として増設装置１１１Ｂへ送信する（ステップＳ１０６）。

　図６は、本発明の実施の形態に係る車載通信システムにおける増設装置が送信する認証鍵のデータの一例を示す図である。

　図６を参照して、認証鍵のデータ（以下、認証鍵データとも称する。）は、中継装置１５１Ａとの認証処理において使用される。

　認証鍵データは、増設装置１１１Ｂに関する所定の識別情報の一例である種別と、中継装置１５１Ａとの認証に用いる認証鍵ＫＡとを含む。認証鍵データのサイズは、種別のサイズであるＸビット、および認証鍵ＫＡのサイズであるＹビットの和であるＺビットである。

　ここでは、種別は、たとえば、増設装置１１１Ｂの取り付け作業が行われる場所を識別可能な情報である。

　具体的には、たとえば、車載ＥＣＵ１１１Ｂが、車両１の製造工場において設置される車載装置である場合、種別はメーカオプションを示す。

　また、たとえば、車載ＥＣＵ１１１Ｂが、車両１のディーラにおいて設置される車載装置である場合、種別はディーラオプションを示す。

　また、たとえば、車載ＥＣＵ１１１Ｂが、車両１のアフターパーツの販売店等において設置される車載装置である場合、種別はユーザカスタムを示す。

　メーカオプション、ディーラオプションおよびユーザカスタムの信頼度は、それぞれ高、中および低である。ここで、信頼度は、増設装置１１１Ｂの取り付け元の信用の程度を表す。より詳細には、信頼度は、増設装置１１１Ｂの取り付け者および取り付け手順の信用の程度を表す。具体的には、増設装置１１１Ｂは、信頼度が高いほど、より信頼のおける取り付け者によって、より信頼のおける取り付け手順の通りに車両１に設置される。

　再び図３～図５を参照して、次に、増設装置１１１Ｂは、中継装置１５１Ａから認証鍵要求を受信すると、受信した認証鍵要求に応じて、図６に示す認証鍵データを暗号化し、暗号化した認証鍵データを含むイーサネットフレームを認証鍵情報として中継装置１５１Ａへ送信する（ステップＳ１０８）。

　次に、中継装置１５１Ａにおける中継処理部５１は、増設装置１１１Ｂからイーサネットフレームを受信すると、受信したイーサネットフレームから認証鍵データを取得し、取得した認証鍵データを復号化することにより種別および認証鍵ＫＡを取得する（ステップＳ１１０）。

　次に、認証制御装置１０１は、増設装置１１１Ｂの信頼度を判定する（ステップＳ１１２）。

　より詳細には、中継処理部５１は、取得した種別を示す種別情報を認証制御装置１０１へ出力する。

　認証制御装置１０１における取得部２１は、車載ネットワーク１２に新たに追加される車載装置に関する所定の識別情報を取得する。

　具体的には、取得部２１は、中継処理部５１から種別情報を受けると、受けた種別情報を決定部２２へ出力する。

　決定部２２は、取得部２１によって取得された識別情報に基づいて、増設装置１１１Ｂに対する認証処理として、複数種類の認証手順のうちのいずれを適用するかを決定する。

　詳細には、決定部２２は、たとえば、取得部２１によって取得された識別情報に基づいて車載装置の信頼度を判定する。

　より詳細には、決定部２２は、取得部２１から種別情報を受けると、受けた種別情報に基づいて増設装置１１１Ｂの信頼度を判定する。

　具体的には、決定部２２は、種別情報がメーカオプションを示す場合、増設装置１１１Ｂの信頼度が高であると判定する。

　また、決定部２２は、種別情報がディーラオプションを示す場合、増設装置１１１Ｂの信頼度が中であると判定する。

　また、決定部２２は、種別情報がユーザカスタムを示す場合、増設装置１１１Ｂの信頼度が低であると判定する。

　次に、認証制御装置１０１は、認証手順を決定する（ステップＳ１１４）。詳細には、決定部２２は、たとえば、複数種類の認証手順の中から、判定した信頼度に応じた認証手順を決定する。

　複数種類の認証手順は、たとえば、増設装置１１１Ｂに対する認証処理を行う認証装置の数が異なり、かつ増設装置１１１Ｂに対する認証処理を行う認証装置が異なる複数の認証手順を含む。

　また、複数種類の認証手順は、たとえば、セキュリティレベルの異なる複数の認証手順を含む。ここで、認証装置には、たとえば、車載ネットワーク１２におけるデータを中継する中継装置１５１Ａが含まれる。

　この例では、決定部２２は、認証手順ＰＨ，ＰＭ，ＰＬの中から、判定した信頼度に応じた認証手順を決定する。

　ここで、認証手順ＰＨは、中継装置１５１Ａによる増設装置１１１Ｂの認証処理ＰＡを含む認証手順である。

　認証手順ＰＭは、認証処理ＰＡ、および通信相手装置１１１Ｃによる増設装置１１１Ｂの認証処理ＰＢを含む認証手順である。

　認証手順ＰＬは、認証処理ＰＡおよび認証処理ＰＢ、ならびに中継装置１５１Ｂによる増設装置１１１Ｂの認証処理ＰＣを含む認証手順である。

　各認証処理において使用される認証鍵は、たとえば認証装置ごとに異なる。具体的には、認証処理ＰＡ，ＰＢ，ＰＣでは、互いに異なる認証鍵ＫＡ，ＫＢ，ＫＣがそれぞれ用いられる。

　認証鍵ＫＡ，ＫＢ，ＫＣの長さは、この順に長くなる。すなわち、認証処理ＰＡ，ＰＢ，ＰＣは、この順にセキュリティレベルが高くなる。

　また、認証処理ＰＡ，ＰＢ，ＰＣでは、互いに異なる認証方式ＭＡ，ＭＢ，ＭＣがそれぞれ用いられる。また、認証方式ＭＡ，ＭＢ，ＭＣは、この順にセキュリティレベルが高くなる。

　決定部２２は、たとえば、判定した車載装置の信頼度が小さいほど、当該車載装置に対する認証処理を行う認証装置の数が大きい認証手順を決定する。

　具体的には、決定部２２は、増設装置１１１Ｂの信頼度が高であると判定した場合、認証手順ＰＨを決定する。また、決定部２２は、増設装置１１１Ｂの信頼度が中であると判定した場合、認証手順ＰＭを決定する。

　また、決定部２２は、増設装置１１１Ｂの信頼度が低であると判定した場合、認証手順ＰＬを決定する。決定部２２は、決定結果を示す決定情報を中継処理部５１へ出力する。

　図７は、本発明の実施の形態に係る車載通信システムにおいて、増設装置の認証処理が行われる際のシーケンスの一例を示す図である。

　図７を参照して、認証制御装置１０１における決定部２２が認証手順ＰＨを決定した状況を想定する。

　まず、中継装置１５１Ａにおける中継処理部５１は、認証手順ＰＨを示す決定情報を認証制御装置１０１から受けると、受けた決定情報に従って認証手順ＰＨを開始する。

　詳細には、中継処理部５１は、認証処理ＰＡを行う（ステップＳ２０２）。より詳細には、中継処理部５１は、所定の認証方式ＭＡに従って、増設装置１１１Ｂから受信した認証鍵情報に含まれる認証鍵ＫＡを認証する。ここでは、中継処理部５１は、認証鍵ＫＡの認証に成功する。

　次に、中継処理部５１は、通信要求に含まれる増設装置１１１ＢのＭＡＣアドレスおよび通信相手装置１１１ＣのＭＡＣアドレスに基づく通信経路を登録情報に登録する（ステップＳ２０４）。

　これにより、増設装置１１１Ｂおよび通信相手装置１１１Ｃ間において伝送されるイーサネットフレームの中継が許可される。

　次に、中継処理部５１は、増設装置１１１Ｂの認証に成功したことを示す認証完了情報を増設装置１１１Ｂへ送信する（ステップＳ２０６）。

　次に、中継処理部５１は、通信要求を中継して通信相手装置１１１Ｃへ送信する（ステップＳ２０８）。

　次に、中継処理部５１が増設装置１１１Ｂおよび通信相手装置１１１Ｃ間において伝送されるイーサネットフレームを中継することで、増設装置１１１Ｂおよび通信相手装置１１１Ｃ間において通信が開始される（ステップＳ２１０）。

　なお、中継処理部５１は、上記ステップＳ２０２において、認証鍵ＫＡの認証に失敗した場合、通信要求に含まれる増設装置１１１ＢのＭＡＣアドレスおよび通信相手装置１１１ＣのＭＡＣアドレスに基づく通信経路を登録情報に登録しない。

　このような構成により、不正な車載装置である可能性が高い増設装置１１１Ｂ、および通信相手装置１１１Ｃ間において伝送されるイーサネットフレームが中継処理部５１において中継されないので、増設装置１１１ＢによるＤｏＳ攻撃および盗聴等を防ぐことができる。

　図８は、本発明の実施の形態に係る車載通信システムにおいて、増設装置の認証処理が行われる際のシーケンスの一例を示す図である。

　図８を参照して、認証制御装置１０１における決定部２２が認証手順ＰＭを決定した状況を想定する。

　まず、中継装置１５１Ａにおける中継処理部５１は、認証手順ＰＭを示す決定情報を認証制御装置１０１から受けると、受けた決定情報に従って認証手順ＰＭを開始する。

　詳細には、中継処理部５１は、認証処理ＰＡを行う（ステップＳ３０２）。より詳細には、中継処理部５１は、所定の認証方式ＭＡに従って、増設装置１１１Ｂから受信した通信要求に含まれる認証鍵ＫＡを認証する（ステップＳ３０２）。ここでは、中継処理部５１は、認証鍵ＫＡの認証に成功する。

　次に、中継処理部５１は、中継装置１５１Ａは、たとえば、増設装置１１１Ｂに対する自己の認証処理ＰＡが成功した場合、増設装置１１１Ｂの通信相手となる通信相手装置１１１Ｃに認証処理ＰＢの開始を指示する。

　具体的には、中継処理部５１は、増設装置１１１Ｂを認証させるための要求を含むイーサネットフレームを認証要求として通信ポート５２Ｃ経由で通信相手装置１１１Ｃへ送信する（ステップＳ３０４）。

　次に、通信相手装置１１１Ｃは、中継装置１５１Ａから認証要求を受信すると、受信した認証要求に従って、増設装置１１１Ｂを宛先とする認証鍵要求を中継装置１５１Ａへ送信する（ステップＳ３０６）。

　次に、中継装置１５１Ａにおける中継処理部５１は、通信相手装置１１１Ｃから認証鍵要求を受信すると、受信した認証鍵要求を中継して増設装置１１１Ｂへ送信する（ステップＳ３０８）。

　次に、増設装置１１１Ｂは、中継装置１５１Ａから認証鍵要求を受信すると、受信した認証鍵要求に従って、暗号化した認証鍵ＫＢを含むイーサネットフレームを認証鍵情報として中継装置１５１Ａへ送信する（ステップＳ３１０）。この認証鍵情報の宛先は、通信相手装置１１１Ｃである。

　次に、中継装置１５１Ａにおける中継処理部５１は、増設装置１１１Ｂから認証鍵情報を受信すると、受信した認証鍵情報を中継して通信相手装置１１１Ｃへ送信する（ステップＳ３１２）。

　次に、通信相手装置１１１Ｃは、認証処理ＰＢを行う（ステップＳ３０２）。より詳細には、通信相手装置１１１Ｃは、中継装置１５１Ａから認証鍵情報を受信すると、所定の認証方式ＭＢに従って、受信した認証鍵情報に含まれる認証鍵ＫＢを復号化して認証する（ステップＳ３１４）。ここでは、通信相手装置１１１Ｃは、認証鍵ＫＢの認証に成功する。

　次に、通信相手装置１１１Ｃは、増設装置１１１Ｂの認証に成功したことを示す認証完了情報を中継装置１５１Ａへ送信する（ステップＳ３１６）。

　次に、中継装置１５１Ａにおける中継処理部５１は、通信相手装置１１１Ｃから認証完了情報を受信すると、受信した認証完了情報に基づいて、通信相手装置１１１Ｃによる増設装置１１１Ｂの認証に成功したと認識し、以下の処理を行う。

　すなわち、中継処理部５１は、通信要求に含まれる増設装置１１１ＢのＭＡＣアドレスおよび通信相手装置１１１ＣのＭＡＣアドレスに基づく通信経路を登録情報に登録する（ステップＳ３１８）。

　次に、中継処理部５１は、自己の中継装置１５１Ａおよび通信相手装置１１１Ｃによる増設装置１１１Ｂの認証に成功したことを示す認証完了情報を増設装置１１１Ｂへ送信する（ステップＳ３２０）。

　次に、中継処理部５１は、通信要求を中継して通信相手装置１１１Ｃへ送信する（ステップＳ３２２）。

　次に、中継処理部５１が増設装置１１１Ｂおよび通信相手装置１１１Ｃ間において伝送されるイーサネットフレームを中継することで、増設装置１１１Ｂおよび通信相手装置１１１Ｃ間において通信が開始される（ステップＳ３２４）。

　なお、中継処理部５１は、上記ステップＳ３０２における認証鍵ＫＡの認証、および上記ステップＳ３１４における認証鍵ＫＢの認証の少なくともいずれか一方に失敗した場合、通信要求に含まれる増設装置１１１ＢのＭＡＣアドレスおよび通信相手装置１１１ＣのＭＡＣアドレスに基づく通信経路を登録情報に登録しない。

　また、上記ステップＳ３０２と上記ステップＳ３０４～Ｓ３１６との順番は、上記に限らず、順番を入れ替えてもよい。

　図９は、本発明の実施の形態に係る車載通信システムにおいて、増設装置の認証処理が行われる際のシーケンスの一例を示す図である。

　図９を参照して、認証制御装置１０１における決定部２２が認証手順ＰＬを決定した状況を想定する。

　ステップＳ４０２～Ｓ４１６の動作は、図８に示すステップＳ３０２～Ｓ３１６の動作と同様である。

　すなわち、中継処理部５１は、たとえば、増設装置１１１Ｂに対する自己の認証処理ＰＡが成功した場合、他の中継装置、ここでは中継装置１５１Ｂに認証処理ＰＣの開始を指示する。

　具体的には、中継処理部５１は、増設装置１１１Ｂを認証させるための要求を含むイーサネットフレームを認証要求として通信ポート５２Ａ経由で中継装置１５１Ｂへ送信する（ステップＳ４１８）。

　次に、中継装置１５１Ｂは、中継装置１５１Ａから認証要求を受信すると、受信した認証要求に従って、増設装置１１１Ｂを宛先とする認証鍵要求を中継装置１５１Ａへ送信する（ステップＳ４２０）。

　次に、中継装置１５１Ａにおける中継処理部５１は、中継装置１５１Ｂから認証鍵要求を受信すると、受信した認証鍵要求を中継して増設装置１１１Ｂへ送信する（ステップＳ４２２）。

　次に、増設装置１１１Ｂは、中継装置１５１Ａから認証鍵要求を受信すると、受信した認証鍵要求に従って、暗号化した認証鍵ＫＣを含むイーサネットフレームを認証鍵情報として中継装置１５１Ａへ送信する（ステップＳ４２４）。この認証鍵情報の宛先は、中継装置１５１Ｂである。

　次に、中継装置１５１Ａにおける中継処理部５１は、増設装置１１１Ｂから認証鍵情報を受信すると、受信した認証鍵情報を中継して中継装置１５１Ｂへ送信する（ステップＳ４２６）。

　次に、中継装置１５１Ｂは、認証処理ＰＣを行う（ステップＳ４２８）。より詳細には、中継装置１５１Ｂは、中継装置１５１Ａから認証鍵情報を受信すると、所定の認証方式ＭＣに従って、受信した認証鍵情報に含まれる認証鍵ＫＣを復号化して認証する。ここでは、中継装置１５１Ｂは、認証鍵ＫＣの認証に成功する。

　次に、中継装置１５１Ｂは、増設装置１１１Ｂの認証に成功したことを示す認証完了情報を中継装置１５１Ａへ送信する（ステップＳ４３０）。

　次に、中継装置１５１Ａにおける中継処理部５１は、中継装置１５１Ｂから認証完了情報を受信すると、受信した認証完了情報に基づいて、中継装置１５１Ｂによる増設装置１１１Ｂの認証に成功したと認識し、以下の処理を行う。

　すなわち、中継処理部５１は、通信要求に含まれる増設装置１１１ＢのＭＡＣアドレスおよび通信相手装置１１１ＣのＭＡＣアドレスに基づく通信経路を登録情報に登録する（ステップＳ４３２）。

　次に、中継処理部５１は、自己の中継装置１５１Ａ、通信相手装置１１１Ｃおよび中継装置１５１Ｂによる増設装置１１１Ｂの認証に成功したことを示す認証完了情報を増設装置１１１Ｂへ送信する（ステップＳ４３４）。

　次に、中継処理部５１は、通信要求を中継して通信相手装置１１１Ｃへ送信する（ステップＳ４３６）。

　次に、中継処理部５１が増設装置１１１Ｂおよび通信相手装置１１１Ｃ間において伝送されるイーサネットフレームを中継することで、増設装置１１１Ｂおよび通信相手装置１１１Ｃ間において通信が開始される（ステップＳ４３８）。

　なお、中継処理部５１は、上記ステップＳ４０２における認証鍵ＫＡの認証、上記ステップＳ４１４における認証鍵ＫＢの認証、および上記ステップＳ４２８における認証鍵ＫＣの認証の少なくともいずれか１つに失敗した場合、通信要求に含まれる増設装置１１１ＢのＭＡＣアドレスおよび通信相手装置１１１ＣのＭＡＣアドレスに基づく通信経路を登録情報に登録しない。

　また、上記ステップＳ４０２と上記ステップＳ４０４～Ｓ４１６と上記ステップＳ４１８～Ｓ４３０との順番は、上記に限らず、一部または全部の順番を変更してもよい。

　［認証制御装置１０１の変形例１］
　図１０は、本発明の実施の形態に係る認証制御装置における決定部が保持する認証履歴テーブルの一例を示す図である。

　図１０を参照して、認証履歴テーブルには、増設した車載装置のＩＤと当該車載装置に対して判定した信頼度と当該車載装置に対する認証結果との対応関係が含まれる。

　この例では、車載装置のＩＤは、当該車載装置のＭＡＣアドレスである。なお、車載装置のＩＤは、たとえば当該車載装置のシリアル番号であってもよい。

　図１１は、本発明の実施の形態に係る車載通信システムにおいて、増設装置が車載ネットワークに接続された際のシーケンスの一例を示す図である。

　図３、図４および図１１を参照して、増設装置１１１Ｂが中継装置１５１Ａにおける増設用ポートに接続された状況を想定する。

　ステップＳ５０２～Ｓ５１０の動作は、図５に示すステップＳ１０２～Ｓ１１０の動作と同様である。

　次に、認証制御装置１０１は、増設装置１１１Ｂの信頼度を判定する（ステップＳ５１２）。

　より詳細には、中継処理部５１は、取得した種別を示す種別情報、および通信要求に含まれる送信元ＭＡＣアドレスすなわち増設装置１１１ＢのＭＡＣアドレスを認証制御装置１０１へ出力する。

　認証制御装置１０１における取得部２１は、中継処理部５１から種別情報および送信元ＭＡＣアドレスを受けると、受けた種別情報および送信元ＭＡＣアドレスを決定部２２へ出力する。

　決定部２２は、取得部２１から種別情報および送信元ＭＡＣアドレスを受けると、受けた種別情報に基づいて増設装置１１１Ｂの信頼度を判定する。ここでは、決定部２２は、増設装置１１１Ｂの信頼度を中と判定する。

　次に、決定部２２は、認証履歴テーブル（図１０参照）において増設装置１１１ＢのＭＡＣアドレスが登録されているか否かを確認する（ステップＳ５１４）。

　ここでは、決定部２２は、増設装置１１１ＢのＭＡＣアドレスが認証履歴テーブルに登録されていないことを確認する。

　次に、決定部２２は、認証手順を決定する（ステップＳ５１６）。詳細には、決定部２２は、たとえば、取得部２１によって取得された識別情報、および車載装置に対して過去に適用された認証手順に基づいて、新たに適用する認証手順を決定する。

　ここでは、決定部２２は、増設装置１１１ＢのＭＡＣアドレスが認証履歴テーブルに登録されていないので、認証手順ＰＨ，ＰＭ，ＰＬの中から、判定した信頼度に応じた認証手順ＰＭを決定し、決定結果を示す決定情報を中継処理部５１へ出力する。

　次に、決定部２２は、中継処理部５１が行う認証手順ＰＭ（図８参照）を監視する（ステップＳ５１８）。

　ここでは、図８に示す認証処理ＰＡ（ステップＳ３０２）および認証処理ＰＢ（ステップＳ３１４）が成功し、増設装置１１１Ｂは、中継装置１５１Ａを介した通信相手装置１１１Ｃとの通信を開始する（ステップＳ３２４）。

　次に、決定部２２は、認証手順ＰＭの監視結果を認証履歴テーブルに登録する（ステップＳ５２０）。

　図１２は、本発明の実施の形態に係る認証制御装置における決定部が保持する認証履歴テーブルの一例を示す図である。

　図１２を参照して、決定部２２は、認証処理ＰＡ，ＰＢが成功したことを確認し、認証履歴テーブルにおける「ＭＡＣアドレス」、「信頼度」および「認証結果」として、それぞれ「増設装置１１１ＢのＭＡＣアドレス」、「中」および「成功」を登録する。

　再び図３、図４および図１１を参照して、次に、増設装置１１１Ｂと中継装置１５１Ａとの接続が切断される（ステップＳ５２２）。

　この際、増設装置１１１ＢのＭＡＣアドレスおよび通信相手装置１１１ＣのＭＡＣアドレスに基づく通信経路は、登録情報から抹消される。

　次に、増設装置１１１Ｂが中継装置１５１Ａにおける増設用ポートに再び接続される（ステップＳ５２４）。

　ステップＳ５２６～Ｓ５３６の動作は、上記ステップＳ５０２～Ｓ５１２の動作と同様である。

　次に、決定部２２は、認証履歴テーブル（図１２参照）において増設装置１１１ＢのＭＡＣアドレスが登録されているか否かを確認する（ステップＳ５３８）。

　ここでは、決定部２２は、増設装置１１１ＢのＭＡＣアドレスが認証履歴テーブルに登録されていることを確認する。

　次に、決定部２２は、認証手順を決定する（ステップＳ５４０）。ここでは、決定部２２は、信頼度を中と判定した（ステップＳ５３６）増設装置１１１ＢのＭＡＣアドレスが認証履歴テーブルに登録されているので、たとえば、信頼度を中から高に昇格させる。

　そして、決定部２２は、認証手順ＰＨ，ＰＭ，ＰＬの中から、昇格させた信頼度に応じた認証手順ＰＨを決定し、決定結果を示す決定情報を中継処理部５１へ出力する。

　なお、決定部２２は、上記ステップＳ５２０において、増設装置１１１Ｂの認証の「成功」を認証履歴テーブルに登録したが、増設装置１１１Ｂの認証に失敗した場合、「失敗」を認証履歴テーブルに登録する。

　この場合、決定部２２は、上記ステップＳ５４０において、増設装置１１１Ｂの「認証結果」として「失敗」が認証履歴テーブルに登録されているので、信頼度を中から高に昇格させる代わりに、信頼度を中に維持するか、または低に降格させてもよい。

　［認証制御装置１０１の変形例２］
　図５では、認証制御装置１０１における決定部２２は、識別情報の一例である種別に基づいて認証手順を決定する構成であるとしたが、これに限定するものではない。識別情報は、たとえば、車載装置を一意に識別可能な情報であってもよい。具体的には、決定部２２は、車載装置のＭＡＣアドレスに基づいて認証手順を決定する。

　図１３は、本発明の実施の形態に係る車載通信システムにおいて、増設装置が車載ネットワークに接続された際のシーケンスの一例を示す図である。

　図３、図４および図１３を参照して、増設装置１１１Ｂが増設用ポートに接続された状況を想定する。

　まず、増設装置１１１Ｂは、たとえば、送信元ＭＡＣアドレスおよび送信先ＭＡＣアドレスとして、それぞれ自己のＭＡＣアドレスおよび通信相手装置１１１ＣのＭＡＣアドレスを含むイーサネットフレームを通信要求として中継装置１５１Ａへ送信する（ステップＳ６０２）。

　次に、中継装置１５１Ａにおける中継処理部５１は、増設用ポート経由で増設装置１１１Ｂからイーサネットフレームを受信すると、受信したイーサネットフレームに含まれる送信元ＭＡＣアドレスおよび送信先ＭＡＣアドレスを取得し、取得した送信元ＭＡＣアドレスおよび送信先ＭＡＣアドレスに基づく通信経路が登録情報に登録されているか否かを確認する（ステップＳ６０４）。

　ここでは、中継処理部５１は、上記通信経路が登録情報に登録されていないことを確認し、取得した送信元ＭＡＣアドレスすなわち増設装置１１１ＢのＭＡＣアドレスを示すＭＡＣアドレス情報を認証制御装置１０１へ出力する。

　次に、認証制御装置１０１における決定部２２は、中継処理部５１から取得部２１経由でＭＡＣアドレス情報を受けると、受けたＭＡＣアドレス情報の示すＭＡＣアドレスに対応する信頼度を問い合わせるために、ＭＡＣアドレス情報を中継処理部５１経由でサーバ１８１へ送信する（ステップＳ６０６）。

　次に、サーバ１８１は、中継装置１５１ＡからＭＡＣアドレス情報を受信すると、受信したＭＡＣアドレス情報に基づいて増設装置１１１Ｂの信頼度を判定する（ステップＳ６０８）。

　図１４は、本発明の実施の形態に係る通信システムにおけるサーバが保持する信頼度テーブルの一例を示す図である。

　図１４を参照して、信頼度テーブルには、車載装置のＭＡＣアドレスと当該車載装置の信頼度との対応関係が含まれる。この対応関係は、たとえば、車両１の製造者により登録される。

　再び図３、図４および図１３を参照して、次に、サーバ１８１は、受信したＭＡＣアドレス情報の示す増設装置１１１ＢのＭＡＣアドレスに対応する信頼度、ここでは中を信頼度テーブルから取得し、取得した信頼度を示す信頼度情報を中継装置１５１Ａへ送信する（ステップＳ６１０）。

　次に、中継装置１５１Ａにおける中継処理部５１は、信頼度情報をサーバ１８１から受信すると、受信した信頼度情報を認証制御装置１０１へ出力する。

　認証制御装置１０１における決定部２２は、中継処理部５１から取得部２１経由で信頼度情報を受けると、認証手順ＰＨ，ＰＭ，ＰＬの中から、受信した信頼度情報の示す信頼度に応じた認証手順ＰＭを決定し、決定結果を示す決定情報を中継処理部５１へ出力する（ステップＳ６１２）。

　次に、中継処理部５１は、決定情報を認証制御装置１０１から受けると、受けた決定情報に従って認証手順ＰＭを開始する。

　詳細には、中継処理部５１は、認証鍵要求を増設装置１１１Ｂへ送信する（ステップＳ６１４）。

　次に、増設装置１１１Ｂは、中継装置１５１Ａから認証鍵要求を受信すると、受信した認証鍵要求に従って、暗号化した認証鍵ＫＡを含むイーサネットフレームを認証鍵情報として中継装置１５１Ａへ送信する（ステップＳ６１６）。

　この後、増設装置１１１Ｂ、中継装置１５１Ａおよび通信相手装置１１１Ｃでは、たとえば、図８に示す流れの動作が行われる。

　なお、上記ステップＳ６０６～Ｓ６１２と上記ステップＳ６１４～Ｓ６１６との順番は、上記に限らず、順番を入れ替えてもよい。

　また、識別情報がＭＡＣアドレスであるとしたが、これに限定するものではない。識別情報は車載装置のシリアル番号であってもよい。この場合、サーバ１８１は、たとえば、車載装置のシリアル番号と当該車載装置の信頼度との対応関係を含む信頼度テーブルを保持する。

　また、中継装置１５１Ａは、たとえば、増設装置１１１Ｂのシリアル番号を増設装置１１１Ｂから取得し、取得したシリアル番号を示すシリアル番号情報をサーバ１８１へ送信する。サーバ１８１は、中継装置１５１Ａからシリアル番号情報を受信すると、受信したシリアル番号情報、および信頼度テーブルに基づいて車載装置の信頼度を判定する。

　［認証制御装置１０１の変形例３］
　図５では、認証制御装置１０１における決定部２２は、識別情報の一例である種別に基づいて認証手順を決定する構成であるとしたが、これに限定するものではない。識別情報は、たとえば、車載装置の品番を示してもよい。具体的には、決定部２２は、車載装置の品番に基づいて認証手順を決定する。

　図１５は、本発明の実施の形態に係る車載通信システムにおいて、増設装置が車載ネットワークに接続された際のシーケンスの一例を示す図である。

　図３、図４および図１５を参照して、増設装置１１１Ｂが増設用ポートに接続された状況を想定する。

　まず、増設装置１１１Ｂは、たとえば、送信元ＭＡＣアドレスおよび送信先ＭＡＣアドレスとして、それぞれ自己のＭＡＣアドレスおよび通信相手装置１１１ＣのＭＡＣアドレスを含むイーサネットフレームを通信要求として中継装置１５１Ａへ送信する（ステップＳ７０２）。

　次に、中継装置１５１Ａにおける中継処理部５１は、増設用ポート経由で増設装置１１１Ｂからイーサネットフレームを受信すると、受信したイーサネットフレームに含まれる送信元ＭＡＣアドレスおよび送信先ＭＡＣアドレスを取得し、取得した送信元ＭＡＣアドレスおよび送信先ＭＡＣアドレスに基づく通信経路が登録情報に登録されているか否かを確認する（ステップＳ７０４）。

　次に、中継処理部５１は、上記通信経路が登録情報に登録されていないため、増設装置１１１Ｂの品番の要求を含むイーサネットフレームを品番要求として増設装置１１１Ｂへ送信する（ステップＳ７０６）。

　次に、増設装置１１１Ｂは、中継装置１５１Ａから品番要求を受信すると、受信した品番要求に従って、自己の品番を示す品番情報を含むイーサネットフレームを中継装置１５１Ａへ送信する（ステップＳ７０８）。

　次に、中継装置１５１Ａにおける中継処理部５１は、増設装置１１１Ｂからイーサネットフレームを受信すると、受信したイーサネットフレームから品番情報を取得し、取得した品番情報を認証制御装置１０１へ出力する。

　認証制御装置１０１における決定部２２は、中継処理部５１から取得部２１経由で品番情報を受けると、受けた品番情報の示す品番に対応する信頼度を問い合わせるために、品番情報を中継処理部５１経由でサーバ１８１へ送信する（ステップＳ７１０）。

　次に、サーバ１８１は、中継装置１５１Ａから品番情報を受信すると、受信した品番情報に基づいて増設装置１１１Ｂの信頼度を判定する（ステップＳ７１２）。

　図１６は、本発明の実施の形態に係る通信システムにおけるサーバが保持する信頼度テーブルの一例を示す図である。

　図１６を参照して、信頼度テーブルには、車載装置の品番と当該車載装置の信頼度との対応関係が含まれる。この対応関係は、たとえば、車両１の製造者により登録される。

　再び図３、図４および図１５を参照して、次に、サーバ１８１は、受信した品番情報の示す増設装置１１１Ｂの品番に対応する信頼度、ここでは中を信頼度テーブルから取得し、取得した信頼度を示す信頼度情報を中継装置１５１Ａへ送信する（ステップＳ７１４）。

　ステップＳ７１６～Ｓ７２０の動作は、図１３に示すステップＳ６１２～Ｓ６１６の動作と同様である。

　なお、上記ステップＳ７０６～Ｓ７１６と上記ステップＳ７１８～Ｓ７２０との順番は、上記に限らず、順番を入れ替えてもよい。

　また、識別情報が車載装置の品番を示すとしたが、これに限定するものではない。識別情報が車載装置の型番を示してもよいし、識別情報が車載装置の品番および型番を示してもよい。この場合、サーバ１８１は、たとえば、車載装置の型番と当該車載装置の信頼度との対応関係を少なくとも含む信頼度テーブルを保持する。

　また、中継装置１５１Ａは、増設装置１１１Ｂの型番を増設装置１１１Ｂから取得し（ステップＳ７０８）、取得した型番を示す型番情報をサーバ１８１へ送信する（ステップＳ７１０）。サーバ１８１は、中継装置１５１Ａから型番情報を受信すると、受信した型番情報、および信頼度テーブルに基づいて車載装置の信頼度を判定する（ステップＳ７１２）。

　また、本発明の実施の形態に係る認証制御装置は、中継装置１５１に設けられる構成であるとしたが、これに限定するものではない。認証制御装置１０１は、車載ＥＣＵ１１１およびサーバ１８１等の中継装置１５１の外部装置に設けられる構成であってもよい。

　また、本発明の実施の形態に係る認証制御装置では、取得部２１は、１つの識別情報を取得し、決定部２２は、取得部２１によって取得された１つの識別情報に基づいて、認証処理として、複数種類の認証手順のうちのいずれを適用するかを決定する決定処理を行う構成であるとしたが、これに限定するものではない。取得部２１は、複数の識別情報を取得し、決定部２２は、取得部２１によって取得された複数の識別情報に基づいて決定処理を行う構成であってもよい。

　また、本発明の実施の形態に係る認証制御装置では、決定部２２は、識別情報に基づいて車載装置の信頼度を判定し、判定した信頼度に応じた認証手順を決定する構成であるとしたが、これに限定するものではない。決定部２２は、たとえば、識別情報と認証手順との対応関係を保持しており、対応関係に基づいて、識別情報に対応する認証手順を決定する構成であってもよい。

　また、本発明の実施の形態に係る認証制御装置では、複数種類の認証手順、具体的には認証手順ＰＨ，ＰＭ，ＰＬは、車載装置に対する認証処理ＰＡ，ＰＢ，ＰＣを行う認証装置の数が異なる複数の認証手順を含む構成であるとしたが、これに限定するものではない。複数種類の認証手順は、車載装置に対する認証処理を行う認証装置の数が同じ複数の認証手順を含んでもよい。

　また、本発明の実施の形態に係る認証制御装置では、複数種類の認証手順、具体的には認証手順ＰＨ，ＰＭ，ＰＬは、車載装置に対する認証処理ＰＡ，ＰＢ，ＰＣを行う認証装置が異なる複数の認証手順を含む構成であるとしたが、これに限定するものではない。複数種類の認証手順は、車載装置に対する認証処理を行う認証装置が同じ複数の認証手順を含んでもよい。

　また、本発明の実施の形態に係る認証制御装置では、認証処理ＰＡ，ＰＢ，ＰＣにおいてそれぞれ使用される認証鍵ＫＡ，ＫＢ，ＫＣは、認証装置ごとに異なる構成であるとしたが、これに限定するものではない。認証処理ＰＡ，ＰＢ，ＰＣにおいてそれぞれ使用される認証鍵ＫＡ，ＫＢ，ＫＣは、一部または全部が同じであってもよい。

　また、本発明の実施の形態に係る認証制御装置では、図７に示す認証手順ＰＨにおいて、中継装置１５１Ａが増設装置１１１Ｂを認証する構成であるとしたが、これに限定するものではない。認証手順ＰＨにおいて、通信相手装置１１１Ｃが増設装置１１１Ｂを認証する構成であってもよい。

　また、本発明の実施の形態に係る認証制御装置では、図８に示す認証手順ＰＭにおいて、中継装置１５１Ａは、増設装置１１１Ｂに対する自己の認証処理ＰＡが成功した場合、増設装置１１１Ｂの通信相手となる通信相手装置１１１Ｃに認証処理ＰＢの開始を指示する構成であるとしたが、これに限定するものではない。認証手順ＰＭにおいて、中継装置１５１Ａは、増設装置１１１Ｂに対する自己の認証処理ＰＡが成功した場合、中継装置１５１Ｂに認証処理ＰＣの開始を指示する構成であってもよい。

　また、本発明の実施の形態に係る認証制御装置では、認証処理ＰＡ，ＰＢ，ＰＣにおいてそれぞれ用いられる認証鍵ＫＡ，ＫＢ，ＫＣの長さは、この順に長くなる構成であるとしたが、これに限定するものではない。認証鍵ＫＡ，ＫＢ，ＫＣの長さは、一部または全部が同じであってもよい。

　また、本発明の実施の形態に係る認証制御装置では、認証処理ＰＡ，ＰＢ，ＰＣにおいてそれぞれ用いられる認証方式ＭＡ，ＭＢ，ＭＣは、この順にセキュリティレベルが高くなる構成であるとしたが、これに限定するものではない。認証方式ＭＡ，ＭＢ，ＭＣのセキュリティレベルは、一部または全部が同じであってもよい。

　また、本発明の実施の形態に係る認証制御装置では、決定部２２は、判定した信頼度が小さいほど、車載装置に対する認証処理を行う認証装置の数が大きい認証手順を決定する構成であるとしたが、これに限定するものではない。決定部２２は、判定した信頼度が小さいほど、車載装置に対する認証処理を行う認証装置の数が小さい認証手順を決定する構成であってもよい。

　ところで、特許文献１に記載の車載ネットワークシステムでは、通信規約に準拠しない通信、たとえばＤｏＳ攻撃および盗聴等を行う車載制御装置は、不正な車載制御装置として検知される。

　これに対して、本発明の実施の形態に係る認証制御装置では、取得部２１は、車載ネットワーク１２に新たに追加される車載装置に関する所定の識別情報を取得する。そして、決定部２２は、取得部２１によって取得された識別情報に基づいて、車載装置に対する認証処理として、複数種類の認証手順のうちのいずれを適用するかを決定する。

　このように、識別情報に基づいて、複数種類の認証手順のうちのいずれを適用するかを決定する構成により、たとえば、新たに追加される車載装置に応じた認証を行うことができるので、車載装置が正当であるか否かをより正しく判断することができる。これにより、ＤｏＳ攻撃および盗聴等の不正な通信を行う前に不正な車載装置を検知することができるので、車載ネットワーク１２において不正な通信が発生することを防ぐことができる。したがって、車載ネットワークにおいて、良好な通信を提供することができる。

　また、本発明の実施の形態に係る認証制御装置では、決定部２２は、取得部２１によって取得された識別情報に基づいて車載装置の信頼度を判定し、判定した信頼度に応じた認証手順を決定する。

　また、本発明の実施の形態に係る認証制御装置では、識別情報は、車載装置の取り付け作業が行われる場所を識別可能な情報である。

　また、本発明の実施の形態に係る認証制御装置では、識別情報は、車載装置の品番および型番の少なくともいずれか一方を示す。

　また、本発明の実施の形態に係る認証制御装置では、識別情報は、車載装置を一意に識別可能な情報である。

　このような構成により、たとえば、車載装置を一意に識別可能な情報と当該車載装置の製造元、製造時期および仕様等との対応関係を保持するサーバ１８１から、識別情報に対応する製造元、製造時期および仕様等を取得することができるので、当該車載装置の信頼度および正当性等の適切な評価を行うことができる。

　また、本発明の実施の形態に係る認証制御装置では、決定部２２は、車載装置に対して過去に適用された認証手順にさらに基づいて、新たに適用する認証手順を決定する。

　また、本発明の実施の形態に係る認証制御装置では、認証制御装置１０１は、車載ネットワーク１２におけるデータを中継する中継装置１５１Ａに含まれる。

　このように、車載装置との通信をより確実に行うことが可能な中継装置１５１Ａに認証制御装置１０１が含まれる構成により、認証手順の決定をより確実に行うことができる。

　また、本発明の実施の形態に係る認証制御装置では、識別情報は、中継装置１５１Ａとの認証処理において使用される認証鍵データに含まれる。

　このように、認証鍵データに識別情報が含まれる構成により、より簡素な認証手順を決定させることを目的とする、識別情報の改ざんを困難にすることができるので、不正な車載装置が、正当な車載装置に成りすますことを防止することができる。

　また、本発明の実施の形態に係る認証制御装置では、複数種類の認証手順は、車載装置に対する認証処理を行う認証装置の数が異なる複数の認証手順を含む。

　また、本発明の実施の形態に係る認証制御装置では、複数種類の認証手順は、車載装置に対する認証処理を行う認証装置が異なる複数の認証手順を含む。

　また、本発明の実施の形態に係る認証制御装置では、認証処理において使用される認証鍵は、認証装置ごとに異なる。

　このように、認証鍵を認証装置ごとに異ならせる構成により、認証処理を複雑化することができるので、認証処理が不正に突破されることを困難にすることができる。すなわち、車載ネットワーク１２におけるセキュリティを向上させることができる。

　また、本発明の実施の形態に係る認証制御装置では、認証装置には、車載ネットワーク１２におけるデータを中継する中継装置１５１Ａが含まれる。

　このように、認証装置には、車載ネットワーク１２におけるデータ伝送の要となる中継装置１５１Ａが含まれる構成により、たとえば、認証した車載装置が不正な場合において、当該車載装置の不正通信によるデータ伝送をより確実に停止させることができる。

　また、本発明の実施の形態に係る認証制御装置では、中継装置１５１Ａは、車載装置に対する自己の認証処理が成功した場合、当該車載装置の通信相手となる他の車載装置に認証処理の開始を指示する。

　このように、中継装置１５１Ａによる認証処理が成功した場合に、車載ネットワーク１２において通信を行う予定の車載装置間で認証処理を行う構成により、新たに追加された車載装置の正当性をより正しく判断することができる。

　また、本発明の実施の形態に係る認証制御装置では、中継装置１５１Ａは、車載装置に対する自己の認証処理が成功した場合、中継装置１５１Ｂに認証処理の開始を指示する。

　このように、中継装置１５１Ａによる認証処理が成功した場合に、新たに追加された車載装置に対して中継装置１５１Ｂと認証処理を行わせる構成により、当該車載装置の正当性をより正しく判断することができる。

　また、本発明の実施の形態に係る認証制御装置では、複数種類の認証手順は、セキュリティレベルの異なる複数の認証手順を含む。

　また、本発明の実施の形態に係る認証制御装置では、決定部２２は、取得部２１によって取得された識別情報に基づいて車載装置の信頼度を判定し、判定した信頼度が小さいほど、車載装置に対する認証処理を行う認証装置の数が大きい認証手順を決定する。

　上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。

　以上の説明は、以下に付記する特徴を含む。

　［付記１］
　車載ネットワークに新たに追加される車載装置に関する所定の識別情報を取得する取得部と、
　前記取得部によって取得された前記識別情報に基づいて、前記車載装置に対する認証処理として、複数種類の認証手順のうちのいずれを適用するかを決定する決定部とを備え、
　前記車載装置は、ＴＣＵ（Ｔｅｌｅｍａｔｉｃｓ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｕｎｉｔ）、自動運転ＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）、センサ、ナビゲーション装置、ヒューマンマシンインタフェース、およびカメラであり、
　前記認証制御装置は、前記車載ネットワークにおけるデータを中継する中継装置、またはサーバに含まれ、
　前記識別情報は、前記中継装置との前記認証処理において使用される認証鍵に含まれる種別、または前記車載装置のＭＡＣ（Ｍｅｄｉａ　Ａｃｃｅｓｓ　Ｃｏｎｔｒｏｌ）アドレス、シリアル番号、品番もしくは型番である、認証制御装置。

　１　車両
　１１　外部ネットワーク
　１２　車載ネットワーク
　２１　取得部
　２２　決定部
　５１　中継処理部
　５２　通信ポート
　１０１　認証制御装置
　１１１　車載ＥＣＵ
　１１１Ａ　ＴＣＵ
　１１１Ｂ　増設装置
　１１１Ｃ　通信相手装置
　１５１　中継装置
　１６１　無線基地局装置
　１８１　サーバ
　２０１　通信システム
　３０１　車載通信システム

Claims

　車載ネットワークに新たに追加される車載装置に関する所定の識別情報を取得する取得部と、
　前記取得部によって取得された前記識別情報に基づいて、前記車載装置に対する認証処理として、複数種類の認証手順のうちのいずれを適用するかを決定する決定部とを備える、認証制御装置。
　前記決定部は、前記取得部によって取得された前記識別情報に基づいて前記車載装置の信頼度を判定し、判定した前記信頼度に応じた前記認証手順を決定する、請求項１に記載の認証制御装置。
　前記識別情報は、前記車載装置の取り付け作業が行われる場所を識別可能な情報である、請求項１または請求項２に記載の認証制御装置。
　前記識別情報は、前記車載装置の品番および型番の少なくともいずれか一方を示す、請求項１から請求項３のいずれか１項に記載の認証制御装置。
　前記識別情報は、前記車載装置を一意に識別可能な情報である、請求項１から請求項４のいずれか１項に記載の認証制御装置。
　前記決定部は、前記車載装置に対して過去に適用された前記認証手順にさらに基づいて、新たに適用する前記認証手順を決定する、請求項１から請求項５のいずれか１項に記載の認証制御装置。
　前記認証制御装置は、前記車載ネットワークにおけるデータを中継する中継装置に含まれる、請求項１から請求項６のいずれか１項に記載の認証制御装置。
　前記識別情報は、前記中継装置との前記認証処理において使用される認証鍵に含まれる、請求項７に記載の認証制御装置。
　前記複数種類の認証手順は、前記車載装置に対する前記認証処理を行う認証装置の数が異なる複数の認証手順を含む、請求項１から請求項８のいずれか１項に記載の認証制御装置。
　前記複数種類の認証手順は、前記車載装置に対する前記認証処理を行う認証装置が異なる複数の認証手順を含む、請求項１から請求項９のいずれか１項に記載の認証制御装置。
　前記認証処理において使用される認証鍵は、前記認証装置ごとに異なる、請求項９または請求項１０に記載の認証制御装置。
　前記認証装置には、前記車載ネットワークにおけるデータを中継する中継装置が含まれる、請求項９から請求項１１のいずれか１項に記載の認証制御装置。
　前記中継装置は、前記車載装置に対する自己の前記認証処理が成功した場合、前記車載装置の通信相手となる他の車載装置に前記認証処理の開始を指示する、請求項１２に記載の認証制御装置。
　前記中継装置は、前記車載装置に対する自己の前記認証処理が成功した場合、他の前記中継装置に前記認証処理の開始を指示する、請求項１２または請求項１３に記載の認証制御装置。
　前記複数種類の認証手順は、セキュリティレベルの異なる複数の認証手順を含む、請求項１から請求項１４のいずれか１項に記載の認証制御装置。
　前記決定部は、前記取得部によって取得された前記識別情報に基づいて前記車載装置の信頼度を判定し、判定した前記信頼度が小さいほど、前記車載装置に対する前記認証処理を行う認証装置の数が大きい前記認証手順を決定する、請求項１から請求項１５のいずれか１項に記載の認証制御装置。
　認証制御装置における認証制御方法であって、
　車載ネットワークに新たに追加される車載装置に関する所定の識別情報を取得するステップと、
　取得した前記識別情報に基づいて、前記車載装置に対する認証処理として、複数種類の認証手順のうちのいずれを適用するかを決定するステップとを含む、認証制御方法。
　認証制御装置において用いられる認証制御プログラムであって、
　コンピュータを、
　車載ネットワークに新たに追加される車載装置に関する所定の識別情報を取得する取得部と、
　前記取得部によって取得された前記識別情報に基づいて、前記車載装置に対する認証処理として、複数種類の認証手順のうちのいずれを適用するかを決定する決定部、
として機能させるための、認証制御プログラム。