WO2019021402A1

WO2019021402A1 - 通信装置、通信方法および通信システム

Info

Publication number: WO2019021402A1
Application number: PCT/JP2017/027116
Authority: WO
Inventors: 良浩氏家; 唯之鳥崎; 芳賀　智之; 弘泰寺澤; 遼加藤
Original assignee: パナソニックインテレクチュアルプロパティコーポレーションオブアメリカ
Priority date: 2017-07-26
Filing date: 2017-07-26
Publication date: 2019-01-31
Also published as: EP3661128A4; EP3661128A1; US11553484B2; CN109845195B; CN109845195A; JPWO2019021995A1; US20210153194A1; US10904883B2; WO2019021995A1; US20190239221A1; JP7017520B2

Abstract

自動車の内部で生成されるデータが意図せず外部に流出してしまうことで、プライバシーが侵害される懸念がある。本発明の一態様に係る通信装置では、メッセージに含まれる、転送可能な範囲を示す所定のフィールドの値と、予め保持しておいた基準値との比較により判定を行い、メッセージのフィルタリングを行う。これにより、データの送信元の装置が不正に改ざんされ、意図せず車外へ車内データが流出することを防止することが可能となる。

Description

通信装置、通信方法および通信システム

　本発明は、車載Ｅｔｈｅｒｎｅｔネットワークにおいて、車内の情報が外部へ不正に送信されることを防ぐ、通信装置、通信方法、通信システムに関する。

　近年、自動車の中のシステムには、電子制御ユニット（以下、ＥＣＵ）と呼ばれる装置が多数配置されており、これらのＥＣＵをつなぐネットワークを車載ネットワークと呼ばれる。車載ネットワークには、多数の規格が存在する。その中の一つとして、一般の情報ネットワークとして既に実績のあるＥｔｈｅｒｎｅｔ（登録商標）を車載ネットワークに適応しようとする動きがあり、近年注目を集めている。Ｅｔｈｅｒｎｅｔの採用により、帯域幅の大幅な増加や、自動車分野以外でのこれまでの技術資産の活用が可能となり、コスト削減効果などが期待される一方、セキュリティリスクの可能性が高まるとの懸念も指摘されている。

　一方、自動車の電子システムは今後も進化を続けることが予想され、扱うデータ量も膨大となる可能性がある。今後増加が予想されるデータとは、自動運転技術などに必須となる、各種センサデータや映像データなどである。これらのデータは、外部からモニタリングするだけで、自動車が今現在どこを走っており、周囲の状況がどういった状況かが判明してしまうため、これらのデータが意図せず外部に流出してしまわないよう、対策することが重要である。

　例えば、特許文献１では、同一グループ内に位置する機器を通信に係る基準時間との比較によって判定する装置を、また特許文献２では、Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ（以下ＩＰ）フィールドのＴＴＬ（Ｔｉｍｅ　Ｔｏ　Ｌｉｖｅ）という値を用いて、コンテンツの共有範囲を制限する装置を、それぞれ開示している。

特許第４１２９２１６号公報特許第４１８１９５１号公報

　しかしながら、特許文献１や、特許文献２では、送信元となる通信装置による判定を基準としており、送信元の通信装置が改ざんされるなどにより正常な動作が行われないという可能性が存在する。

　本発明は、上記課題を解決するために、通信装置、通信方法、通信システムを提供することを目的とする。

　上記目的を達成するために、本発明の一態様に係る通信装置は、自動車内に配置され、複数の電子制御装置が通信に用いるネットワークバスに接続される通信装置であって、前記電子制御装置から前記ネットワークバス経由で送信されるメッセージを受信する受信部と、前記メッセージを転送可能な範囲を示す所定のフィールドに関する判定基準を含むリストを保持するリスト保持部と、前記メッセージと、前記リストの比較により、前記メッセージの正当性を判定する判定部と、を有することを特徴とする、通信装置である。

　また、上記目的を達成するために、本発明の一態様に係る通信方法は、自動車内に配置され、複数の電子制御装置が通信に用いるネットワークバスにて用いられる通信方法であって、前記電子制御装置が前記ネットワークバスにメッセージを送信する送信ステップと、前記メッセージを転送可能な範囲を示す所定のフィールドに関する転送可否の判定基準となるリストを用いて、前記メッセージの送信可否を判定する判定ステップと、を有することを特徴とする、通信方法である。

　また、上記目的を達成するために、本発明の一態様に係る通信システムは、自動車内に配置される複数の電子制御装置が通信に用いるネットワークバスを含む通信システムであって、前記電子制御装置が前記ネットワークバスにメッセージを送信する送信部と、前記メッセージが転送可能な範囲を示す所定のフィールドに関する転送可否の判定基準を含むリストを用いて、前記メッセージの送信可否を判定する判定ステップと、を有することを特徴とする、通信システムである。

　本発明によれば、転送可能な範囲を示す所定のフィールドの値と、予め保持しておいた基準値との比較により判定を行い、判定結果に基づいてメッセージに対する処理を決定することで、車載ネットワークシステム全体として、安全な状態を維持することができる。

図１は、実施の形態１における車載ネットワークシステムの全体構成の一例を示す図である。図２は、実施の形態１におけるＩＰアドレス・ＭＡＣアドレス一覧表の一例を示す図である。図３は、実施の形態１におけるＥｔｈｅｒｎｅｔスイッチの構成の一例を示す図である。図４は、実施の形態１におけるＩＶＩの構成の一例を示す図である。図５は、実施の形態１におけるＥＣＵの構成の一例を示す図である。図６は、実施の形態１におけるＣＧＷの構成の一例を示す図である。図７は、実施の形態１におけるＴＣＵの構成の一例を示す図である。図８は、実施の形態１におけるＥＣＵから送信されるメッセージに含まれるフィールドの一例を示す図である。図９は、実施の形態１における転送テーブルの構成の一例を示す図である。図１０は、実施の形態１におけるＴＴＬホワイトリストの構成の一例を示す図である。図１１は、実施の形態１におけるＴＴＬホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。図１２は、実施の形態１の変形例１におけるＥｔｈｅｒｎｅｔスイッチの構成の一例を示す図である。図１３は、実施の形態１の変形例１における転送テーブルの構成の一例を示す図である。図１４は、実施の形態１の変形例１におけるＴＴＬホワイトリストの構成の一例を示す図である。図１５は、実施の形態１の変形例１におけるＴＴＬホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。図１６は、実施の形態１の変形例２におけるＥｔｈｅｒｎｅｔスイッチの構成の一例を示す図である。図１７は、実施の形態１の変形例３におけるＥｔｈｅｒｎｅｔスイッチの構成の一例を示す図である。図１８は、実施の形態１の変形例３におけるＥＣＵ送信メッセージに含まれるフィールドの一例を示す図である。図１９は、実施の形態１の変形例３におけるＴＴＬホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。図２０は、実施の形態２におけるＥｔｈｅｒｎｅｔスイッチの構成の一例を示す図である。図２１は、実施の形態２及び実施の形態２の変形例１におけるホワイトリストの構成の一例を示す図である。図２２は、実施の形態２におけるＲＴＴホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。図２３は、実施の形態２の変形例１におけるＥｔｈｅｒｎｅｔスイッチの構成の一例を示す図である。

　（本発明の基礎となった知見）
　車両内に存在する特定のノードが不正に改ざんされ、ネットワークのみに送信するべきメッセージが意図せず車外へ送信されるケースを想定し、送信先が車両内か車両外かを判定する通信装置について、これまで検討はされていなかった。

　このような課題を解決するために、本発明の一実施態様の通信装置は、自動車内に配置され、複数の電子制御装置が通信に用いるネットワークバスに接続される通信装置であって、前記電子制御装置から前記ネットワークバス経由で送信されるメッセージを受信する受信部と、前記受信メッセージを転送可能な範囲を示す所定のフィールドに関する転送可否の判定基準を含むリストを保持するリスト保持部と、前記受信メッセージと、前記リストの比較により、前記受信メッセージの正当性を判定する判定部と、を備える。これにより、メッセージの転送範囲が適切に設定されているかどうかを判定することが可能となる。

　また、前記ネットワークバスとは、Ｅｔｈｅｒｎｅｔであり、前記メッセージが転送可能な範囲を示す所定のフィールドに関する判定基準とは、前記メッセージに含まれるＴＴＬ（Ｔｉｍｅ　Ｔｏ　Ｌｉｖｅ）の値をリスト内に保持する基準値との比較により判定する基準であるとしてもよい。これにより、適切に設定されたＴＴＬを持つメッセージのみ通信可能とすることが可能となる。

　また、前記ネットワークバスとは、Ｅｔｈｅｒｎｅｔであり、前記メッセージが転送可能な範囲を示す所定のフィールドに関する判定基準とは、前記メッセージに含まれる時刻情報から算出されるＲＴＴ（Ｒａｎｄ　Ｔｒｉｐ　Ｔｉｍｅ）をリスト内に保持する基準値との比較により判定する基準であるとしてもよい。これにより、適切なＲＴＴの範囲にのみ通信可能とすることが可能となる。

　また、前記リストとは、送信元、あるいは、送信先の情報を含んだリストであるとしてもよい。これにより、より厳密な基準値を設定することが可能となる。

　また、前記送信元、あるいは、送信先の情報とは、ＭＡＣアドレスであるとしてもよい。これにより、Ｌ２スイッチにおいても、より厳密な基準値を設定することが可能となる。

　また、前記送信元、あるいは、送信先の情報とは、ＩＰアドレスであるとしてもよい。これにより、Ｌ３スイッチにおいても、より厳密な基準値を設定することが可能となる。

　また、リストは、前記通信装置に予め設定された固定のリストであるとしてもよい。これにより、構成要素や属性情報などに変更のない環境下において、厳密な基準値で判定することが可能となる。

　また、リストは、前記電子制御装置の物理的な配置に応じ、動的に更新されるリストであるとしてもよい。これにより、物理的な変更に伴い更新されたリストが可能となり、より柔軟な運用が可能となる。

　また、リストは、前記電子制御装置の属性情報に応じ、動的に更新されるリストであるとしてもよい。これにより、ＩＰアドレスなどが動的に変更される環境下においてもリストの運用が可能となり、より広範な適応範囲を実現するが可能となる。

　また、リストは、前記電子制御装置がＳｃａｌａｂｌｅ　ｓｅｒｖｉｃｅ－Ｏｒｉｅｎｔｅｄ　ＭｉｄｄｌｅｗａｒＥ　ＯＶＥＲ　ＩＰ（以下ＳＯＭＥ／ＩＰ）プロトコルに従い、通信先を変更する度に、動的に更新されるリストであるとしてもよい。これにより、ファームウェアのアップデートなどにより通信先が動的に変更される環境下においてもリストの運用が可能となり、より広範な適応範囲を実現するが可能となる。

　また、前記判定の結果、基準に合致しない場合、前記メッセージに含まれるＴＴＬの値を、基準に合致するよう変更するとしてもよい。これにより、ＥＣＵごとに個別に設定することが難しい環境下においても、適切なＴＴＬの値を設定することが可能となる。

　また、前記判定部の判定結果に基づき、所定のアクションを実施する処理部を持つとしてもよい。これにより、判定結果に基づいた適切な処理を実施し、ネットワークシステム全体の安全性を高めることが可能となる。

　また、前記処理部では、前記メッセージを所定の送信先となる、他の前記電子制御装置への転送可否を判定するとしてもよい。これにより、適切でないメッセージの転送を防止することが可能となり、ネットワークシステム全体の安全性を高めることが可能となる。

　また、前記処理部では、前記判定部の判定結果を記録するとしてもよい。これにより、後に記録を分析することで、リストをより適切な値へ更新することが可能なる。

　また、前記処理部では送信元となる前記電子制御装置に対して判定結果を通知するとしてもよい。これにより、送信元でより適切な値を設定し、メッセージを送信することが可能となる。

　また、本発明の一実施態様の通信方法は、自動車内に配置され、複数の電子制御装置が通信に用いるネットワークバスにて用いられる通信方法であって、前記電子制御装置が前記ネットワークバスにメッセージを送信する送信ステップと、前記メッセージを転送可能な範囲を示す所定のフィールドに関する転送可否の判定基準となるリストを用いて、前記メッセージの送信可否を判定する判定ステップと、を備える。これにより、自動車内に配置されるネットワークバスにて用いられる通信方法おいて、送信されるメッセージの転送範囲が適切に設定されているかどうかを判定することが可能となる。

　また、本発明の一実施態様の通信システムは、自動車内に配置される複数の電子制御装置が通信に用いるネットワークバスを含む通信システムであって、前記電子制御装置が前記ネットワークバスにメッセージを送信する送信部と、前記メッセージが転送可能な範囲を示す所定のフィールドに関する判定基準を含むリストを用いて、前記メッセージの送信可否を判定する判定部と、を備える。これにより、自動車内に配置される通信システムにおいて送信されるメッセージの転送範囲が適切に設定されているかどうかを判定することが可能となる。

　以下、図面を参照しながら、本発明の実施の形態に関わる通信装置、通信方法、通信システムについて説明する。なお、以下で説明する実施の形態は、いずれも本発明の好ましい一具体例を示す。つまり、以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置および接続形態、ステップ、ステップの順序などは、本発明の一例であり、本発明を限定する主旨ではない。本発明は、請求の範囲の記載に基づいて特定される。したがって、以下の実施の形態における構成要素のうち、本発明の最上位概念を示す独立請求項に記載されていない構成要素は、本発明の課題を達成するために必ずしも必要ではないが、より好ましい形態を構成する構成要素として説明される。

　（実施の形態１）
　ここでは、本発明の実施の形態として、受信したメッセージに含まれるＴＴＬをチェックするためのホワイトリストを保持する機能を持つ通信装置について図面を参照しながら説明する。

　１．１　車載ネットワークシステムの全体構成
　図１は、本実施の形態における車載ネットワークシステムの全体構成を示す図である。車載ネットワークシステム１０は、Ｅｔｈｅｒｎｅｔスイッチ１００ａ、１００ｂと、Ｉｎ－Ｖｅｈｉｃｌｅ　Ｉｎｆｏｔａｉｎｍｅｎｔ　Ｓｙｓｔｅｍ（以下、ＩＶＩ）２００と、ＥＣＵ３００ａ、３００ｂ、３００ｃ、３００ｄ、３００ｅと、Ｃｅｎｔｒａｌ　Ｇａｔｅｗａｙ（以下、ＣＧＷ）４００と、Ｔｅｌｅｍａｔｉｃｓ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ（以下、ＴＣＵ）５００と、本実施の形態では詳細を説明しない基地局と、から構成される。

　Ｅｔｈｅｒｎｅｔスイッチ１００ａと、Ｅｔｈｅｒｎｅｔスイッチ１００ｂと、は、それぞれ、ＣＧＷ４００とＥｔｈｅｒｎｅｔケーブルで接続されている。Ｅｔｈｅｒｎｅｔスイッチ１００ａは、ＥＣＵ３００ａ～３００ｅと、Ｅｔｈｅｒｎｅｔスイッチ１００ｂは、ＩＶＩ２００と、ＴＣＵ５００と、それぞれＥｔｈｅｒｎｅｔケーブルで接続されており、それぞれのポートから受信するメッセージを、その他のポート、あるいは、全てのポートに転送する機能を持つ。

　ＩＶＩ２００はＥｔｈｅｒｎｅｔスイッチ１００ｂとＥｔｈｅｒｎｅｔケーブルにて接続されており、ディスプレイを有し、ドライバーに対して情報を提示する機能を持つ。

　ＥＣＵ３００ａ～３００ｅは、それぞれ、前方距離センサ３１０、前方カメラ３２０、高度運転支援機能（以下、ＡＤＡＳ）３３０、後方距離センサ３４０、後方カメラ３５０に接続されており、それぞれから情報を取得し、メッセージを別のＥＣＵに送信する機能を持つ。

　ＣＧＷ４００は、Ｅｔｈｅｒｎｅｔスイッチ１００ａと、Ｅｔｈｅｒｎｅｔスイッチ１００ｂと、それぞれＥｔｈｅｒｎｅｔで接続し、各ドメインを分割するルータの機能を持つ。

　ＴＣＵ５００は、Ｅｔｈｅｒｎｅｔスイッチ１００ａとＥｔｈｅｒｎｅｔケーブルにて接続されている。また、３ＧやＬＴＥ（登録商標）などの無線通信を介して基地局６００と通信し、車内に必要となる情報を車外から取得、あるいは、車内の情報を外部へ送信する機能を持つ。

　１．２　ＩＰアドレス・ＭＡＣアドレス一覧表
　図２は、本実施の形態におけるＩＰアドレス・ＭＡＣアドレス一覧表の一例を示す図である。図２において、ＭＡＣアドレスは、製造時に搭載する部品により一意に設定され、ＩＰアドレスはシステム構築時に静的に与えられるものとする。

　１．３　Ｅｔｈｅｒｎｅｔスイッチの構成
　図３は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１００ａの構成図である。Ｅｔｈｅｒｎｅｔスイッチ１００ａは、通信部１０１と、転送処理部１０２と、転送テーブル保持部１０３と、ホワイトリスト判定部１０４と、ホワイトリスト保持部１０５と、エラーメッセージ送信部１０６と、から構成される。

　なお、Ｅｔｈｅｒｎｅｔスイッチ１００ｂは、Ｅｔｈｅｒｎｅｔスイッチ１００ａと同様の構成であるため、説明は省略する。

　通信部１０１は、Ｅｔｈｅｒｎｅｔを介し、他のＥＣＵからメッセージの受信を行い、転送処理部１０２へ通知する。また転送処理部１０２と、エラーメッセージ送信部１０６と、から通知された送信先ＥＣＵにメッセージを送信する。

　転送処理部１０２は、転送テーブル保持部１０３から取得する転送テーブルと、ホワイトリスト判定部１０４の判定結果に基づき、転送可否を決定し、転送可能な場合は、転送先を通信部１０１に通知する。

　転送テーブル保持部１０３は、転送テーブルを保持する。転送テーブルの詳細は、図９で説明する。

　ホワイトリスト判定部１０４は、ホワイトリスト保持部１０５が保持するホワイトリストと、転送処理部１０２より通知される受信メッセージに応じて、メッセージに対する判定を行い、判定結果を転送処理部１０２と、エラーメッセージ送信部１０６と、に通知する。

　ホワイトリスト保持部１０５は、メッセージの転送可否を判断するためのホワイトリストを保持する。ホワイトリストの詳細は、図１０で説明する。

　エラーメッセージ送信部１０６は、転送処理部１０２や、ホワイトリスト判定部１０４から通知された結果に基づきエラーメッセージを送信するよう、通信部１０１へ通知する。

　１．４　ＩＶＩの構成
　図４は、本実施の形態におけるＩＶＩ２００の構成の一例を示す図である。ＩＶＩ２００は、通信部２０１と、メッセージ処理部２０２と、表示部２０３と、操作部２０４と、から構成される。

　通信部２０１は、Ｅｔｈｅｒｎｅｔを介し、他のＥＣＵからメッセージの受信を行い、メッセージ処理部２０２へ通知する。また、メッセージ処理部２０２から通知された内容に応じて、他のＥＣＵへメッセージの送信を行う。

　メッセージ処理部２０２は、通信部２０１から通知された受信メッセージから、表示内容を抽出し、表示部２０３へと通知する。また、操作部２０４からの通知内容に応じて、送信するメッセージを作成し、通信部２０１へ通知する。

　表示部２０３は、メッセージ処理部２０２からの通知内容に応じて、画面に表示する処理を行う。

　操作部２０４は、ドライバーによる操作に対応する内容を、メッセージ処理部２０２へと通知する。

　１．５　ＥＣＵの構成
　図５は、本実施の形態におけるＥＣＵ３００ａの構成の一例を示す図である。ＥＣＵ３００ａは、通信部３０１と、メッセージ処理部３０２と、センサ通信部３０３と、から構成される。なお、ＥＣＵ３００ｂ～３００ｄはＥＣＵ３００ａと同様の構成であるため、説明を省略する。

　通信部３０１は、Ｅｔｈｅｒｎｅｔを介し、他のＥＣＵからメッセージの受信を行い、メッセージ処理部３０２へ通知する。また、メッセージ処理部３０２から通知された内容に応じて、他のＥＣＵへメッセージの送信を行う。

　メッセージ処理部３０２は、通信部３０１から通知された受信メッセージから、センサ等への指示内容を抽出し、センサ通信部３０３へと通知する。また、センサ通信部３０３からの通知内容に応じて、送信するメッセージを作成し、通信部２０１へ通知する。

　センサ通信部３０３は、外部にあるセンサ等から情報を取得し、その内容をメッセージ処理部３０２へと通知する。また、メッセージ処理部３０２から通知された内容に応じて、外部のセンサ等へ指示を送る。

　ＥＣＵ３００ａが送信するメッセージの一例は、図８で詳細に説明する。

　１．６　ＣＧＷの構成
　図６は、本実施の形態におけるＣＧＷ４００の構成の一例を示す図である。ＣＧＷ４００は、通信部４０１と、転送処理部４０２と、転送テーブル保持部４０３と、エラーメッセージ送信部４０４と、から構成される。

　通信部４０１は、Ｅｔｈｅｒｎｅｔを介し、他のＥＣＵからメッセージの受信を行い、転送処理部４０２へ通知する。また、転送処理部４０２と、エラーメッセージ送信部４０４と、から通知された通信先ＥＣＵにメッセージを送信する。

　転送処理部４０２は、転送テーブル保持部４０３から取得する転送テーブルに基づき、転送先を通信部４０１に通知する。

　転送テーブル保持部４０３は、転送テーブルを保持する。

　エラーメッセージ送信部４０４は、転送処理部４０２から通知された結果に基づきエラーメッセージを送信するよう、通信部１０１へ通知する。

　１．７　ＴＣＵの構成
　図７は、本実施の形態におけるＴＣＵ５００の構成の一例を示す図である。ＴＣＵ５００は、車内通信部５０１と、メッセージ処理部５０２と、車外通信部５０３と、から構成される。

　車内通信部５０１は、Ｅｔｈｅｒｎｅｔを介し、他のＥＣＵからメッセージの受信を行い、メッセージ処理部５０２へ通知する。また、メッセージ処理部５０２から通知された内容に応じて、他のＥＣＵへメッセージの送信を行う。

　メッセージ処理部５０２は、車内通信部５０１から通知された受信メッセージから、外部への送信内容を抽出し、車外通信部５０３へと通知する。また、車外通信部５０３からの通知内容に応じて、車内へ送信するメッセージを作成し、車内通信部５０１へ通知する。

　車外通信部５０３は、車外にある基地局（説明しない）との通信を行い、受信内容をメッセージ処理部５０２へと通知する。また、メッセージ処理部５０２から通知された内容に応じて、車外の基地局へメッセージを送信する。

　１．８　ＥＣＵから送信されるメッセージに含まれるフィールドの一例
　図８は、本実施の形態におけるＥＣＵ３００ａから送信されるメッセージに含まれるフィールドの一例を示す図である。なお、ＥＣＵ３００ｂ～３００ｅから送信されるメッセージはＥＣＵ３００ａから送信されるメッセージとほぼ同様であるため、ここでは説明は省略する。

　ＭＡＣヘッダフィールドには、送信元ＭＡＣアドレスと、送信先ＭＡＣアドレスと、が含まれる。ＩＰヘッダフィールドにはＴＴＬと、送信元ＩＰアドレスと、送信先ＩＰアドレスと、が含まれる。ＩＰペイロードフィールドには、パケット種別と、が含まれる。

　本実施の形態では、ＥＣＵ３００ａは、ＥＣＵ３００ｃにのみセンサデータを送信する仕様であるため、送信元ＭＡＣアドレス、及び、送信元ＩＰアドレスはＥＣＵ３００ａの情報を、送信先ＭＡＣアドレス、及び、送信先ＩＰアドレスは、ＥＣＵ３００ｃの情報を設定している。また、ＴＴＬは、途中に中継器を介さないことを示す１を設定する。

　１．９　転送テーブルの構成
　図９は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１００ａが持つ転送テーブルの構成の一例を示す図である。Ｅｔｈｅｒｎｅｔスイッチ１００ｂが持つ転送テーブルは、Ｅｔｈｅｒｎｅｔスイッチ１００ａが持つ転送テーブルとほぼ同様であるため、ここでは説明を省略する。図９の転送テーブルはＭＡＣアドレスを用いている。

　図９では、Ｅｔｈｅｒｎｅｔスイッチ１００ａがＥｔｈｅｒｎｅｔポートを６つ保持し、これらのポート番号をポートＮｏ．１～６としている例を示している。また、ポートＮｏ．１～６の接続先のＭＡＣアドレスが、それぞれ、0a:0a:0a:0a:0a:0a、0b:0b:0b:0b:0b:0b、0c:0c:0c:0c:0c:0c、0d:0d:0d:0d:0d:0d、0e:0e:0e:0e:0e:0e、04:04:04:04:04:04であることを示している。

　１．１０　ＴＴＬホワイトリストの構成
　図１０は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１００ａが持つホワイトリストである、ＴＴＬホワイトリストの構成の一例を示す図である。Ｅｔｈｅｒｎｅｔスイッチ１００ｂが持つ、ＴＴＬホワイトリストは、Ｅｔｈｅｒｎｅｔスイッチ１００ａが持つＴＴＬホワイトリストとほぼ同様であるため、ここでは説明を省略する。

　図１０において、ＴＴＬホワイトリストは、送信元ＭＡＣアドレス、送信先ＭＡＣアドレス、ＴＴＬのセットを５つ保持しており、５つのセットは正しい組み合わせであり、メッセージにこれらの組み合わせが含まれている場合はメッセージを転送し、メッセージにその他の組み合わせが含まれている場合については、全てＮＧとして、メッセージを破棄する処理に用いる。

　１．１１　ＴＴＬホワイトリストの判定シーケンス
　図１１は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１００ａによる、ＴＴＬホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。

　（Ｓ１００１）Ｅｔｈｅｒｎｅｔスイッチ１００ａは、保有するＥｔｈｅｒｎｅｔポートからメッセージを受信する。

　（Ｓ１００２）Ｅｔｈｅｒｎｅｔスイッチ１００ａは、受信したメッセージから、送信元ＭＡＣアドレスを取得する。

　（Ｓ１００３）Ｅｔｈｅｒｎｅｔスイッチ１００ａは、受信したメッセージから、送信先ＭＡＣアドレスを取得する。

　（Ｓ１００４）Ｅｔｈｅｒｎｅｔスイッチ１００ａは、受信したメッセージから、ＴＴＬの値を取得する。

　（Ｓ１００５）Ｅｔｈｅｒｎｅｔスイッチ１００ａは、ＴＴＬホワイトリストと照合し、送信元ＭＡＣアドレスと、送信先ＭＡＣアドレスのセットから、受信したＴＴＬの値が正しい値かどうかをチェックする。受信したＴＴＬの値が正しい値の場合（Ｙｅｓの場合）、Ｅｔｈｅｒｎｅｔスイッチ１００ａは、ステップＳ１００７の処理を実行する。受信したＴＴＬの値が正しい値でない場合（Ｎｏの場合）、Ｅｔｈｅｒｎｅｔスイッチ１００ａは、ステップＳ１００６の処理を実行する。

　（Ｓ１００６）Ｅｔｈｅｒｎｅｔスイッチ１００ａは、受信したメッセージを破棄する。

　（Ｓ１００７）Ｅｔｈｅｒｎｅｔスイッチ１００ａは、転送テーブルに従い、送信先ＭＡＣアドレスを持つ機器がつながるポートからメッセージを送信する。

　図８の受信メッセージの例では、送信元ＭＡＣアドレスが0a:0a:0a:0a:0a:0a、送信先ＭＡＣアドレスが0c:0c:0c:0c:0c:0c、ＴＴＬが１である。図１０のＴＴＬホワイトリストに図８のセットが存在するため、Ｅｔｈｅｒｎｅｔスイッチ１００ａは、ステップＳ１００５においてＴＴＬの値は正しいと判定し、メッセージは送信される。

　（実施の形態１の効果）
　実施の形態１では、ＭＡＣアドレスによるＴＴＬホワイトリストによって、予め決められた通信範囲を逸脱するようなメッセージをＥｔｈｅｒｎｅｔスイッチで破棄することが可能となる。

　（実施の形態１の変形例１）
　実施の形態１では、ＴＴＬホワイトリストとしてＭＡＣアドレスを使用したが、これに限られない。例えば、ＩＰレイヤを用いて転送制御を行うＬ３スイッチでは、ＩＰアドレスを使用してＴＴＬホワイトリストを作成することも可能である。これにより、ＭＡＣアドレスの偽装を行うデバイスへのメッセージについてもＥｔｈｅｒｎｅｔスイッチで破棄することが可能となる。以下、ＩＰレイヤを用いて転送制御を行うＥｔｈｅｒｎｅｔスイッチ１１０ａについて、図面を参照しながら説明する。なお、前述の実施の形態と同一の内容については説明を省略する。

　１．１２　Ｅｔｈｅｒｎｅｔスイッチの構成
　図１２は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１１０ａの構成図である。Ｅｔｈｅｒｎｅｔスイッチ１１０ａは、通信部１０１と、転送処理部１０２と、転送テーブル保持部１１３と、ホワイトリスト判定部１１４と、ホワイトリスト保持部１１５と、エラーメッセージ送信部１０６と、から構成される。

　なお、Ｅｔｈｅｒｎｅｔスイッチ１１０ｂは、Ｅｔｈｅｒｎｅｔスイッチ１００ａと同様の構成であるため、説明は省略する。また、図３と同様の構成については同一の符号を付与し、その説明は省略する。

　転送テーブル保持部１１３は、転送テーブルを保持する。転送テーブルの一例は、図１３に示す。

　ホワイトリスト判定部１１４は、ホワイトリスト保持部１１５が保持するホワイトリストと、転送処理部１０２より通知される受信メッセージに応じて、メッセージに対する判定を行い、判定結果を転送処理部１０２と、エラーメッセージ送信部１０６と、に通知する。

　ホワイトリスト保持部１１５は、メッセージの転送可否を判断するためのホワイトリストを保持する。ホワイトリストの一例は図１４に示す。

　１．１３　転送テーブルの構成
　図１３は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１１０ａが持つ転送テーブルの構成の一例を示す図である。なお、Ｅｔｈｅｒｎｅｔスイッチ１１０ｂが持つ、転送テーブルは、Ｅｔｈｅｒｎｅｔスイッチ１１０ａが持つ転送テーブルとほぼ同様であるため、ここでは説明を省略する。

　図１３では、Ｅｔｈｅｒｎｅｔスイッチ１１０ａがＥｔｈｅｒｎｅｔポートを６つ保持し、これらのポート番号をポートＮｏ．１～６としている例を示している。また、ポートＮｏ．１～６の接続先ＩＰアドレスが、それぞれ192.168.0.1、192.168.0.2、192.168.0.3、192.168.0.4、192.168.0.5、192.168.0.127、であることを示している。

　１．１４　ＴＴＬホワイトリストの構成
　図１４は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１１０ａが持つホワイトリストである、ＴＴＬホワイトリストの構成の一例を示す図である。Ｅｔｈｅｒｎｅｔスイッチ１００ｂが持つ、ＴＴＬホワイトリストは、Ｅｔｈｅｒｎｅｔスイッチ１１０ａが持つＴＴＬホワイトリストとほぼ同様であるため、ここでは説明を省略する。

　図１４において、ＴＴＬホワイトリストは、送信元ＩＰアドレス、送信先ＩＰアドレス、ＴＴＬのセットを５つ保持しており、５つのセットは正しい組み合わせであり、メッセージにこれらの組み合わせが含まれている場合はメッセージを転送し、メッセージにその他の組み合わせが含まれている場合については、全てＮＧとして、メッセージを破棄する処理に用いる。

　１．１５　ＴＴＬホワイトリストの判定シーケンス
　図１５は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１１０ａによる、ＴＴＬホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。なお、図１１と同様の処理については同一の番号を付与し、説明を省略する。

　（Ｓ１１０２）Ｅｔｈｅｒｎｅｔスイッチ１１０ａは、受信したメッセージから、送信元ＩＰアドレスを取得する。

　（Ｓ１１０３）Ｅｔｈｅｒｎｅｔスイッチ１１０ａは、受信したメッセージから、送信先ＩＰアドレスを取得する。

　（Ｓ１１０５）Ｅｔｈｅｒｎｅｔスイッチ１１０ａは、ＴＴＬホワイトリストと照合し、送信元ＩＰアドレスと、送信先ＩＰアドレスのセットから、受信したＴＴＬの値が正しい値かどうかをチェックする。受信したＴＴＬの値が正しい値の場合（Ｙｅｓの場合）、Ｅｔｈｅｒｎｅｔスイッチ１００ａは、ステップＳ１１０８の処理を実行する。受信したＴＴＬの値が正しい値でない場合（Ｎｏの場合）、Ｅｔｈｅｒｎｅｔスイッチ１００ａは、ステップＳ１００６の処理を実行する。

　（Ｓ１１０８）Ｅｔｈｅｒｎｅｔスイッチ１１０ａは、受信したＴＴＬの値を１デクリメントして上書きする。

　（Ｓ１１０９）Ｅｔｈｅｒｎｅｔスイッチ１１０ａは、受信したＴＴＬの値が、０となっていないかどうかをチェックする。受信したＴＴＬの値が０となっている場合（Ｎｏの場合）、Ｅｔｈｅｒｎｅｔスイッチ１００ａは、ステップＳ１１１０の処理を実行する。受信したＴＴＬの値が０でない場合（Ｙｅｓの場合）、Ｅｔｈｅｒｎｅｔスイッチ１００ａは、ステップＳ１１０７の処理を実行する。

　（Ｓ１１１０）Ｅｔｈｅｒｎｅｔスイッチ１００ａは、受信したメッセージを破棄する。

　（Ｓ１１０７）Ｅｔｈｅｒｎｅｔスイッチ１００ａは、転送テーブルに従い、送信先ＩＰアドレスを持つ機器がつながるポートからメッセージを送信する。

　（実施の形態１の変形例１の効果）
　実施の形態１の変形例１では、ＩＰアドレスによるＴＴＬホワイトリストによって、予め決められた通信範囲を逸脱するようなメッセージをＥｔｈｅｒｎｅｔスイッチで破棄することが可能となる。また、ＭＡＣアドレスの偽装を実施するデバイスへのメッセージについてもＥｔｈｅｒｎｅｔスイッチで破棄することが可能となる。

　（実施の形態１の変形例２）
　実施の形態１の変形例１では、ＴＴＬホワイトリストとして静的に保持する固定のセットを用いたが、Ｉｎｔｅｒｎｅｔ　Ｃｏｎｔｒｏｌ　Ｍｅｓｓａｇｅ　Ｐｒｏｔｏｃｏｌ（以下ＩＣＭＰ）などを用いて、システム開始後に動的に変更するセットをＴＴＬホワイトリストとして用いることもできる。これにより、ＥＣＵの撤去、置き換えなどの物理的な配置変更や、静的にＩＰアドレスなどを取得しない環境、例えばＤｙｎａｍｉｃ　Ｈｏｓｔ　Ｃｏｎｆｉｇｕｒａｔｉｏｎ　Ｐｒｏｔｏｃｏｌ（以下ＤＨＣＰ）などの環境下においても、ＴＴＬホワイトリストを用いたメッセージの判定が可能となる。以下、システム開始後に動的に変更するＴＴＬホワイトリストを保持するＥｔｈｅｒｎｅｔスイッチ１２０ａについて、図面を参照しながら説明する。なお、前述の実施の形態と同一の内容については説明を省略する。

　１．１６　Ｅｔｈｅｒｎｅｔスイッチの構成
　図１６は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１２０ａの構成図である。Ｅｔｈｅｒｎｅｔスイッチ１２０ａは、通信部１２１と、転送処理部１０２と、転送テーブル保持部１２３と、ホワイトリスト判定部１１４と、ホワイトリスト保持部１２５と、エラーメッセージ送信部１０６と、ホワイトリスト作成部１２７と、から構成される。

　なお、Ｅｔｈｅｒｎｅｔスイッチ１２０ｂは、Ｅｔｈｅｒｎｅｔスイッチ１２０ａと同様の構成である。また、図３と、図１２と、同様の構成については同一の符号を付与し、その説明は省略する。

　通信部１２１は、Ｅｔｈｅｒｎｅｔを介し、他のＥＣＵからメッセージの受信を行い、転送処理部１０２と、ホワイトリスト作成部１２７と、へ通知する。また転送処理部１０２と、エラーメッセージ送信部１０６と、ホワイトリスト作成部１２７と、から通知された送信先ＥＣＵにメッセージを送信する。

　ホワイトリスト保持部１２５は、ホワイトリスト作成部１２７から通知された、メッセージの転送可否を判断するためのホワイトリストを保持する。ホワイトリストの一例は図１４と同様であるため省略する。

　ホワイトリスト作成部１２７は、ＩＣＭＰメッセージを作成し、通信部１２１へと通知する。また、通信部１２１から通知されたＩＣＭＰのリプライメッセージを集計し、ホワイトリストを作成し、ホワイトリスト保持部１２５へと通知する。

　（実施の形態１の変形例２の効果）
　実施の形態１の変形例２では、ＤＨＣＰにより動的に各ノードのＩＰアドレスを設定するような環境下においても、ＩＰアドレスによるＴＴＬホワイトリストによって、予め決められた通信範囲を逸脱するようなメッセージをＥｔｈｅｒｎｅｔスイッチで破棄することが可能となる。

　（実施の形態１の変形例３）
　実施の形態１の変形例１では、ＴＴＬホワイトリストとの照合の上、条件に合致しない場合、メッセージを破棄するとしたが、条件に合致しない場合、ＴＴＬホワイトリストに記載の値で更新するとしても良い。これにより、全てのＥＣＵにて、適切なＴＴＬの設定が困難な場合でも、Ｅｔｈｅｒｎｅｔスイッチにより適切な値が設定され、ＴＴＬホワイトリストの運用が容易となる。以下、ＴＴＬに適切な値を設定する機能を持つＥｔｈｅｒｎｅｔスイッチ１３０ａについて、図面を参照しながら説明する。なお、前述の実施の形態と同一の内容については説明を省略する。

　１．１７　Ｅｔｈｅｒｎｅｔスイッチの構成
　図１７は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１３０ａの構成図である。Ｅｔｈｅｒｎｅｔスイッチ１３０ａは、通信部１０１と、転送処理部１３２と、転送テーブル保持部１０３と、ホワイトリスト判定部１１４と、ホワイトリスト保持部１０５と、エラーメッセージ送信部１０６と、から構成される。なお、Ｅｔｈｅｒｎｅｔスイッチ１３０ｂは、Ｅｔｈｅｒｎｅｔスイッチ１３０ａと同様の構成であるため、説明は省略する。また、図３と、図１２と、同一の構成については、同一の符号を付与し、その説明は省略する。

　転送処理部１３２は、転送テーブル保持部１０３から取得する転送テーブルと、ホワイトリスト判定部１３４の判定結果に応じて、受信メッセージのＴＴＬ値をホワイトリスト上のＴＴＬの値にて更新し、転送先を通信部１０１に通知する。

　ホワイトリスト判定部１３４は、ホワイトリスト保持部１０５が保持するホワイトリストと、転送処理部１３２より通知される受信メッセージに応じて、メッセージに対する判定を行い、判定結果と、ホワイトリスト上のＴＴＬの値を、転送処理部１３２と、エラーメッセージ送信部１０６と、に通知する。

　１．１８　ＥＣＵから送信されるメッセージに含まれるフィールドの一例
　図１８は、本実施の形態におけるＥＣＵ３００ａから送信されるメッセージに含まれるフィールドの一例を示す図である。なお、ＥＣＵ３００ｂ～３００ｅから送信されるメッセージはＥＣＵ３００ａから送信されるメッセージとほぼ同様であるため、ここでは説明は省略する。

　本実施の形態では、ＥＣＵ３００ａは、ＥＣＵ３００ｃにのみセンサデータを送信する仕様であるため、送信元ＭＡＣアドレス、及び、送信元ＩＰアドレスはＥＣＵ３００ａの情報を、送信先ＭＡＣアドレス、及び、送信先ＩＰアドレスは、ＥＣＵ３００ｃの情報を設定している。また、ＴＴＬに対して値を設定していないため、ＴＴＬは上限値である２５５を設定する。

　１．１９　ＴＴＬホワイトリストの判定シーケンス
　図１９は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１３０ａによる、ＴＴＬホワイトリストを用いたメッセージの不正判定シーケンスの一例を示す図である。なお、図１１と同様の処理については同一の番号を付与し、説明を省略する。

　（Ｓ１３０６）Ｅｔｈｅｒｎｅｔスイッチ１３０ａは、ＴＴＬホワイトリストと合致しない場合、受信したメッセージのＴＴＬの値をＴＴＬホワイトリスト記載の値に更新する。

　（実施の形態１の変形例３の効果）
　実施の形態１の変形例３では、全てのＥＣＵにて、適切なＴＴＬの設定が困難な場合でも、Ｅｔｈｅｒｎｅｔスイッチにより適切な値が設定され、ＴＴＬホワイトリストの運用が容易となる。

　（実施の形態２）
　ここでは、本発明の実施の形態として、受信したメッセージに含まれる情報を用いて、送信に係る基準時刻を取得し、ホワイトリストと照合する機能を持つＥｔｈｅｒｎｅｔスイッチ１１１０ａについて図面を参照しながら説明する。なお、前述の実施の形態と同一の内容については説明を省略する。

　２．１　Ｅｔｈｅｒｎｅｔスイッチの構成
　図２０は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１１１０ａの構成図である。Ｅｔｈｅｒｎｅｔスイッチ１１１０ａは、通信部１１１１と、転送処理部１０２と、転送テーブル保持部１１３と、ホワイトリスト判定部１１１４と、ホワイトリスト保持部１１１５と、エラーメッセージ送信部１０６と、ＲＴＴ取得部１１０８と、から構成される。なお、Ｅｔｈｅｒｎｅｔスイッチ１１１０ｂは、Ｅｔｈｅｒｎｅｔスイッチ１１１０ａと同様の構成であるため、説明は省略する。また、図３と、図１２と、同様の構成については同一の符号を付与し、その説明は省略する。

　通信部１１１１は、Ｅｔｈｅｒｎｅｔを介し、他のＥＣＵからメッセージの受信を行い、転送処理部１０２と、ＲＴＴ取得部１１０８と、へ通知する。また転送処理部１０２と、エラーメッセージ送信部１０６と、ＲＴＴ取得部１１０８と、から通知された送信先ＥＣＵにメッセージを送信する。

　ホワイトリスト判定部１１１４は、ホワイトリスト保持部１１１５が保持するホワイトリストと、転送処理部１０２より通知される受信メッセージに応じて、メッセージに対する判定を行い、判定結果を転送処理部１０２と、エラーメッセージ送信部１０６と、に通知する。

　ホワイトリスト保持部１１１５は、メッセージの転送可否を判断するためのＲＴＴホワイトリストを保持する。ＲＴＴホワイトリストの一例は図２１に示す。

　２．２　ＲＴＴホワイトリストの構成
　図２１は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１１１０ａが持つホワイトリストである、ＲＴＴホワイトリストの構成の一例を示す図である。なお、Ｅｔｈｅｒｎｅｔスイッチ１１１０ｂが持つ、ＲＴＴホワイトリストは、Ｅｔｈｅｒｎｅｔスイッチ１１１０ａが持つＲＴＴホワイトリストとほぼ同様であるため、ここでは説明を省略する。

　図２１において、ＲＴＴホワイトリストは、送信元ＩＰアドレス、送信先ＩＰアドレス、ＲＴＴのセットを５つ保持しており、５つのセットは正しい組み合わせであり、メッセージにこれらの組み合わせが含まれている場合はメッセージを転送し、メッセージにその他の組み合わせが含まれている場合については、全てＮＧとして、メッセージを破棄する処理に用いる。

　２．３　ＲＴＴホワイトリストの判定シーケンス
　図２２は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１１１０ａによる、ＲＴＴホワイトリストを用いたメッセージの不正判定シーケンスの一例を示す図である。なお、図１１と同様の処理については同一の符号を付与し、その説明を省略する。

　（Ｓ２００４）Ｅｔｈｅｒｎｅｔスイッチ１１１０ａは、受信したメッセージから、送信先のＩＰアドレス宛にＩＣＭＰメッセージを送信し、返答のあった時刻より、ＲＴＴの値を計算により取得する。

　（Ｓ２００５）Ｅｔｈｅｒｎｅｔスイッチ１１１０ａは、ＲＴＴホワイトリストと照合し、送信元ＩＰアドレスと、送信先ＩＰアドレスのセットから、受信したメッセージから計算されたＲＴＴの値が範囲内の値かどうかをチェックする。計算されたＲＴＴの値がＲＴＴホワイトリストの範囲内の値である場合（Ｙｅｓの場合）、Ｅｔｈｅｒｎｅｔスイッチ１１０ａは、ステップＳ１００７の処理を実行する。計算されたＲＴＴの値がＲＴＴホワイトリストの範囲内の値でない場合（Ｎｏの場合）、Ｅｔｈｅｒｎｅｔスイッチ１１０ａは、ステップＳ１００６の処理を実行する。

　（実施の形態２の効果）
　実施の形態２では、ＩＰアドレスによるＲＴＴホワイトリストによって、予め決められた通信範囲を逸脱するようなメッセージをＥｔｈｅｒｎｅｔスイッチで破棄することが可能となる。また、ＭＡＣアドレスの偽装を実施するデバイスへのメッセージについてもＥｔｈｅｒｎｅｔスイッチで破棄することが可能となる。

　（実施の形態２の変形例１）
　実施の形態２では、ＲＴＴホワイトリストとしてあらかじめ設定した固定のリストを用いたが、ＩＣＭＰなどを用いて、システム開始後に動的に更新するリストをＲＴＴホワイトリストとして使用することもできる。これにより、ＥＣＵの撤去、置き換えなどの物理的な配置変更や、静的にＩＰアドレスなどを取得しない環境、例えばＤＨＣＰなどの環境下においても、ＲＴＴホワイトリストの運用が可能となる。以下、システム開始後に動的に更新するホワイトリストを保持するＥｔｈｅｒｎｅｔスイッチ１１２０ａについて、図面を参照しながら説明する。なお、前述の実施の形態と同一の内容については説明を省略する。

　２．４　Ｅｔｈｅｒｎｅｔスイッチの構成
　図２３は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１１２０ａの構成図である。Ｅｔｈｅｒｎｅｔスイッチ１２０ａは、通信部１１２１と、転送処理部１０２と、転送テーブル保持部１１３と、ホワイトリスト判定部１１１４と、ホワイトリスト保持部１１２５と、エラーメッセージ送信部１０６と、ＲＴＴ取得部１１０８と、ホワイトリスト作成部１１２７と、から構成される。なお、Ｅｔｈｅｒｎｅｔスイッチ１１２０ｂは、Ｅｔｈｅｒｎｅｔスイッチ１１２０ａと同様の構成である。また、図３と、図１２と、図２０と、同様の構成については同一の符号を付与し、その説明は省略する。

　通信部１１２１と、Ｅｔｈｅｒｎｅｔを介し、他のＥＣＵからメッセージの受信を行い、転送処理部１０２と、ＲＴＴ取得部１１０８と、ホワイトリスト作成部１１２７と、へ通知する。また転送処理部１０２と、エラーメッセージ送信部１０６と、ＲＴＴ取得部１１０８と、ホワイトリスト作成部１１２７と、から通知された送信先ＥＣＵにメッセージを送信する。

　ホワイトリスト保持部１１２５と、ホワイトリスト作成部１１２７から通知された、メッセージの転送可否を判断するためのホワイトリストを保持する。ホワイトリストの一例は図２１と同様であるため省略する。

　ホワイトリスト作成部１１２７と、ＩＣＭＰメッセージを作成し、通信部１１２１へと通知する。また、通信部１１２１から通知されたＩＣＭＰのリプライメッセージを集計し、ホワイトリストを作成し、ホワイトリスト保持部１１２５へと通知する。

　（実施の形態２の変形例１の効果）
　実施の形態２の変形例１では、ＤＨＣＰにより動的に各ノードのＩＰアドレスを設定するような環境下においても、ＩＰアドレスによるＲＴＴホワイトリストによって、予め決められた通信範囲を逸脱するようなメッセージをＥｔｈｅｒｎｅｔスイッチで破棄することが可能となる。

　（その他変形例）
　なお、本発明を上記各実施の形態に基づいて説明してきたが、本発明は、上記各実施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる。

　（１）上記実施の形態では、通信装置をＥｔｈｅｒｎｅｔスイッチとしているが、これは本発明における通信装置の一態様であり、メッセージを中継する如何なる装置であってもよい。例えば、ＣＧＷ、各ドメインに配置されるドメインコントローラ、Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　ＮｅｔｗｏｒｋとＥｔｈｅｒｎｅｔの変換装置などであってもよい。

　（２）上記実施の形態では、Ｅｔｈｅｒｎｅｔスイッチはホワイトリストを保持し、ホワイトリストと合致しないメッセージを破棄するとしているが、リストに合致したメッセージのみ破棄するブラックリストであってもよい。また、ホワイトリスト、ブラックリストを両方保持してもよい。

　（３）上記実施の形態では、Ｅｔｈｅｒｎｅｔスイッチはホワイトリストを保持し、ホワイトリストと合致しないメッセージを破棄するとしているが、合致しない場合、正常に転送処理を実施するが、結果をログとして保存するとしてもよい。また、合致しない場合、正常に転送処理を実施するが、ＩＣＭＰを使って、送信元へ判定結果に応じたメッセージを通知するとしても良い。また、リストごとに対応するアクションを切り替えるよう、リストに対応アクションの項目を保持してもよい。例えば、特定のメッセージは破棄しないが、判定結果を常にログとして保存する、あるいは、特定のメッセージは破棄しないが、判定結果がＮＧだった場合のみログとして保存する、とするとしてもよい。

　（４）上記実施の形態１の変形例２、及び、上記実施の形態２の変形例１では、動的な環境の一例としてＤＨＣＰ環境を挙げたが、通信する先のＩＰアドレスだけではなく、サービスごとに通信先を変えるＳＯＭＥ／ＩＰに対応するような環境下において、サービスディスカバリーのプロトコルによる通信関係決定ごとに、ＩＣＭＰなどを用いて、ＴＴＬ、および、ＲＴＴホワイトリストを更新するとしても良い。

　（５）上記実施の形態１の変形例３では、転送テーブルを持つＥｔｈｅｒｎｅｔスイッチとしたが、ＩＰテーブルを持つＥｔｈｅｒｎｅｔスイッチでもよい。また、ＴＴＬは、ホワイトリストに合致しない場合、ホワイトリストの値を使って更新するとしたが、上記に限定しない。例えば、予め設定したＥＣＵごとの特定の値に合致したメッセージのみ、ホワイトリストの値を使って更新するとしても良い。また、前述予め設定したＥＣＵごとの特定の値をホワイトリストに別途保持するとしても良い。

　（６）上記の実施の形態における各装置は、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記ＲＡＭまたはハードディスクユニットには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

　（７）上記の実施の形態における各装置は、構成する構成要素の一部または全部は、１個のシステムＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）から構成されているとしてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどを含んで構成されるコンピュータシステムである。前記ＲＡＭには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、システムＬＳＩは、その機能を達成する。

　また、上記の各装置を構成する構成要素の各部は、個別に１チップ化されていても良いし、一部又はすべてを含むように１チップ化されてもよい。

　また、ここでは、システムＬＳＩとしたが、集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ、ウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）や、ＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサーを利用しても良い。

　さらには、半導体技術の進歩又は派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。

　（８）上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なＩＣカードまたは単体のモジュールから構成されているとしてもよい。ＩＣカードまたは前記モジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどから構成されるコンピュータシステムである。ＩＣカードまたは前記モジュールは、上記の超多機能ＬＳＩを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、ＩＣカードまたはモジュールは、その機能を達成する。このＩＣカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。

　（９）本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。

　また、本発明は、前記コンピュータプログラムまたは前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕ－ｒａｙ（登録商標）　Ｄｉｓｃ）、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよい。

　また、本発明は、コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

　また、本発明は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、メモリは、上記コンピュータプログラムを記録しており、前記マイクロプロセッサは、コンピュータプログラムにしたがって動作するとしてもよい。

　また、プログラムまたは前記デジタル信号を記録媒体に記録して移送することにより、またはプログラムまたは前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　（１０）上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。

　本発明の通信装置は、車載ネットワークシステム内に配置することで、安全な状態の確保を目指す車両の開発に貢献する。

　１０　車載ネットワークシステム
　１００ａ、１００ｂ、１１０ａ、１１０ｂ、１２０ａ、１２０ｂ、１３０ａ、１３０ｂ、１１１０ａ、１１１０ｂ、１１２０ａ、１１２０ｂ　Ｅｔｈｅｒｎｅｔスイッチ
　２００　ＩＶＩ
　３００ａ、３００ｂ、３００ｃ、３００ｄ、３００ｅ　ＥＣＵ
　３１０　前方距離センサ
　３２０　前方カメラ
　３３０　ＡＤＡＳ
　３４０　後方距離センサ
　３５０　後方カメラ
　４００　ＣＧＷ
　５００　ＴＣＵ

Claims

　自動車内に配置され、複数の電子制御装置が通信に用いるネットワークバスに接続される通信装置であって、
　前記電子制御装置から前記ネットワークバス経由で送信されるメッセージを受信する受信部と、
　前記メッセージを転送可能な範囲を示す所定のフィールドに関する判定基準を含むリストを保持するリスト保持部と、
　前記メッセージと、前記リストの比較により、前記メッセージの正当性を判定する判定部と、
　を有することを特徴とする、通信装置。
　前記ネットワークバスとは、ＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）に対応するＥｔｈｅｒｎｅｔであり、
　前記メッセージが転送可能な範囲を示す所定のフィールドに関する判定基準とは、
　前記メッセージに含まれるＴＴＬ（Ｔｉｍｅ　Ｔｏ　Ｌｉｖｅ）の値をリスト内に保持する基準値との比較により判定する基準である、
　ことを特徴とする、請求項１記載の通信装置。
　前記ネットワークバスとは、ＴＣＰ（Ｔｒａｎｓｍｉｓｓｉｏｎ　Ｃｏｎｔｒｏｌ　Ｐｒｏｔｏｃｏｌ）と、ＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）に対応するＥｔｈｅｒｎｅｔであり、
　前記メッセージが転送可能な範囲を示す所定のフィールドに関する判定基準とは、
　前記メッセージに含まれる時刻情報から算出されるＲＴＴ（Ｒａｎｄ　Ｔｒｉｐ　Ｔｉｍｅ）をリスト内に保持する基準値との比較により判定する基準である、
　ことを特徴とする、請求項１記載の通信装置。
　前記リストとは、送信元、あるいは、送信先の情報を含んだリストである、
　ことを特徴とする、請求項２または請求項３記載の通信装置。
　前記送信元、あるいは、送信先の情報とは、ＭＡＣアドレスである、
　ことを特徴とする、請求項４記載の通信装置。
　前記送信元、あるいは、送信先の情報とは、ＩＰアドレスである、
　ことを特徴とする、請求項４記載の通信装置。
　前記リストは、前記通信装置に予め設定された固定のリストである、
　ことを特徴とする、請求項１記載の通信装置。
　前記リストとは、前記電子制御装置の物理的な配置に応じ、動的に更新されるリストである、
　ことを特徴とする、請求項１記載の通信装置。
　前記リストとは、前記電子制御装置が持つ属性情報に応じて、動的に更新されるリストである、
　ことを特徴とする、請求項１記載の通信装置。
　前記リストとは、前記電子制御装置がＳＯＭＥ／ＩＰ（Ｓｃａｌａｂｌｅ　ｓｅｒｖｉｃｅ－Ｏｒｉｅｎｔｅｄ　ＭｉｄｄｌｅｗａｒＥ　ＯＶＥＲ　ＩＰ）プロトコルに従い、通信先を変更する度に、動的に更新されるリストである、
　ことを特徴とする、請求項９記載の通信装置。
　前記判定の結果、基準に合致しない場合、
　前記メッセージに含まれるＴＴＬの値を、基準に合致するよう変更する、
　ことを特徴とする、請求項２記載の通信装置。
　前記判定部の判定結果に基づき、所定のアクションを実施する処理部、
　を持つことを特徴とする、請求項１記載の通信装置。
　前記処理部では、前記メッセージを所定の送信先となる、他の前記電子制御装置への転送可否を判定する、
　ことを特徴とする、請求項１２記載の通信装置。
　前記処理部では、前記判定部の判定結果を記録する、
　ことを特徴とする、請求項１２記載の通信装置。
　前記処理部では送信元となる前記電子制御装置に対して判定結果を通知する、
　ことを特徴とする、請求項１２記載の通信装置。
　自動車内に配置され、複数の電子制御装置が通信に用いるネットワークバスにて用いられる通信方法であって、
　前記電子制御装置が前記ネットワークバスにメッセージを送信する送信ステップと、
　前記メッセージを転送可能な範囲を示す所定のフィールドに関する判定基準となるリストを用いて、前記メッセージの送信可否を判定する判定ステップと、
　を有することを特徴とする、通信方法。
　自動車内に配置される複数の電子制御装置が通信に用いるネットワークバスを含む通信システムであって、
　前記電子制御装置が前記ネットワークバスにメッセージを送信する送信部と、
　前記メッセージが転送可能な範囲を示す所定のフィールドに関する判定基準を含むリストを用いて、前記メッセージの送信可否を判定する判定部と、
　を有することを特徴とする、通信システム。