WO2020246145A1

WO2020246145A1 - 電子制御装置および通信システム

Info

Publication number: WO2020246145A1
Application number: PCT/JP2020/016512
Authority: WO
Inventors: 昭米谷
Original assignee: 株式会社デンソー
Priority date: 2019-06-04
Filing date: 2020-04-15
Publication date: 2020-12-10
Also published as: DE112020002661T5; US11916904B2; JP7226543B2; JPWO2020246145A1; US20220094684A1

Abstract

送信側ＥＣＵからメッセージおよびフレッシュネス値（ＦＶ）を受信する電子制御装置（２００，２１０）であって、ＦＶはそれぞれの更新条件に従って更新される上位側ビット及び下位側ビットから構成され、当該電子制御装置は、過去に受信したＦＶのうち最も値の大きいＦＶである基準値から大きい順に所定の数のＦＶを示すＦＶリストを保存する保存部（２０２）と、送信側ＥＣＵから送信されたメッセージおよびＦＶを受信する受信部（２０１）と、受信部で受信したＦＶである受信値とＦＶリストとを比較するＦＶ検証部（２０３）と、ＦＶ検証部で比較した結果、受信値が基準値以下且つＦＶリストの中で最も値の小さいＦＶである許容値以上であり、受信値がＦＶリストにない場合に、受信値を保持するようにＦＶリストを更新するリスト更新部（２０４）と、を備える。

Description

電子制御装置および通信システム

関連出願の相互参照

　本出願は、２０１９年６月４日に出願された日本特許出願番号２０１９－１０４７０８号に基づくもので、ここにその記載内容を援用する。

　本出願は、電子制御装置（ＥＣＵ：Electric Control Unit）のセキュリティを確保するためのメッセージの検証に関するものであり、主として車載の電子制御装置に用いるものである。

　近年、自動車は駆動、制動に限らず、車内環境全般、あるいは通信などにも電子制御装置を用いた制御が用いられるようになってきている。また、運転そのものについても、運転者に対する運転サポートを行う安全運転支援システム、さらには運転者そのものが不要な自動運転システムの開発が活発になっている。これらの流れの中で、電子制御装置が接続された車内ネットワークへの不正アクセスが大きな問題となる。電子制御装置が悪意の第三者による不正アクセスによって不正に制御されると、自動車運転の安全性が脅かされることとなる。そこで、車載向け電子制御装置のセキュリティに関する様々な技術が提案されている。

　不正アクセスの１つに、正規のメッセージを盗み取り、盗み取ったメッセージをそのまま送信して正規のメッセージになりすます、再生攻撃（replay attack）と呼ばれるものがある。このような再生攻撃に対しては、メッセージに付与されたカウンタやタイムスタンプを用いて、メッセージが正常なメッセージまたは再生攻撃による不正なメッセージのいずれかを判定する方法が提案されている。

　例えば、特許文献１には、メッセージに付与されたカウント値と、受信側ＥＵＣが保持するカウント値とを比較することにより、再生攻撃による不正なメッセージを検出することが開示されている。特許文献１の手法によればさらに、カウンタが複数の種類のカウント値から構成されていることにより、送信側と受信側との間でカウント値のずれが生じにくくなり、また、カウント値のずれが生じた場合でも送信側と受信側との間で容易に再同期することが可能となる。

　ところで、通信には、通信を開始する前に接続（コネクション）を確立するコネクション型通信と、接続を事前に確立せずに通信を行うコネクションレス型通信がある。コネクション型通信とは異なり、コネクションレス型通信ではパケットの受信順序は保証されないため、送信側でのパケットの送信順序と、受信側でのパケットの受信順序とが異なることが起こりうる。そのため、このようなコネクションレス型通信においてカウント値を用いたメッセージの正／不正判定を行うと、受信側がカウント値を連続して受信することができず、正常なメッセージを異常であると誤って判定する可能性がある。

　これに対し、非特許文献１、２には、シーケンス番号の許容範囲（window）を設定し、送信側電子制御装置から送信されたメッセージに含まれるシーケンス番号が所定の許容範囲であるかどうかに基づいてメッセージの正／不正判定を行うことが記載されている。非特許文献１、２の許容範囲は、過去に受信したシーケンス番号の最大値、および当該最大値から所定の値を差し引いた値を用いて設定される。

特開２０１７－３８３６５号

Datagram Transport Layer Security、https://tools.ietf.org/rfc/rfc4347.txt IP Encapsulating Security Payload (ESP)、https://tools.ietf.org/rfc/rfc2406.txt

　このような許容範囲を設定することにより、受信順序の入れ替わりが発生した場合のメッセージの誤判定をある程度抑制することが可能となる。しかしながら、非特許文献１、２の技術では、実際の通信状況に応じた許容範囲を設定することができない。さらに、本発明者は、特許文献１のようにカウンタが複数の種類のカウント値から構成されている場合はカウンタの値が急激に変化することがあり、このような急激な変化が生じたタイミングで受信順序の入れ替わりが発生すると、非特許文献１、２に記載の許容範囲を利用しても誤判定が起こる可能性があることを知見した。

　そこで、本開示の目的は、メッセージの正／不正を高い精度で判定することができる電子制御装置を提供することにある。

　本開示の一態様による電子制御装置は、メッセージおよび前記メッセージに付与されたフレッシュネス値をコネクションレス型通信を用いて送信する送信側電子制御装置から、前記メッセージおよび前記フレッシュネス値を受信する電子制御装置であって、前記フレッシュネス値は、予め設定された上位更新条件に従って更新される上位側ビット、および予め設定された下位更新条件に従って更新される下位側ビットから構成され、当該電子制御装置は、当該電子制御装置が過去に受信した前記フレッシュネス値のうち、最も値の大きいフレッシュネス値である基準値から大きい順に所定の数のフレッシュネス値を示すＦＶリストを保存する保存部と、前記送信側電子制御装置から送信された前記メッセージおよび前記フレッシュネス値を受信する受信部と、前記受信部で受信した前記フレッシュネス値である受信値と前記ＦＶリストとを比較するＦＶ検証部と、前記ＦＶ検証部で比較した結果、前記受信値が前記基準値以下且つ前記ＦＶリストの中で最も値の小さいフレッシュネス値である許容値以上であり、前記受信値が前記ＦＶリストにない場合に、前記受信値を保持するように前記ＦＶリストを更新するリスト更新部と、を備える。

　本開示の他の態様による通信システムは、コネクションレス型通信を用いてメッセージを送信する送信側電子制御装置、および前記メッセージを受信する受信側電子制御装置で構成される通信システムであって、前記送信側電子制御装置は、前記メッセージ、および前記メッセージに付与され、予め設定された上位更新条件に従って更新される上位側ビットおよび予め設定された下位更新条件に従って更新される下位側ビットから構成されたフレッシュネス値を送信する送信部を備え、前記受信側電子制御装置は、前記受信側電子制御装置が過去に受信した前記フレッシュネス値のうち、最も値の大きいフレッシュネス値である基準値から大きい順に所定の数のフレッシュネス値を示すＦＶリストを保存する保存部と、前記送信側電子制御装置から送信された前記メッセージおよび前記フレッシュネス値を受信する受信部と、前記受信部で受信した前記フレッシュネス値である受信値と前記ＦＶリストとを比較するＦＶ検証部と、前記ＦＶ検証部で比較した結果、前記受信値が前記基準値以下且つ前記ＦＶリストの中で最も値の小さいフレッシュネス値である許容値以上であり、前記受信値が前記ＦＶリストにない場合に、前記受信値を保持するように前記ＦＶリストを更新するリスト更新部と、を備える。

　本開示の他の態様によるメッセージ受信プログラムは、メッセージおよび前記メッセージに付与されたフレッシュネス値をコネクションレス型通信を用いて送信する送信側電子制御装置から前記メッセージおよび前記フレッシュネス値を受信する受信側電子制御装置で実行されるメッセージ受信プログラムであって、前記フレッシュネス値は、予め設定された上位更新条件に従って更新される上位側ビット、および予め設定された下位更新条件に従って更新される下位側ビットから構成され、当該メッセージ受信プログラムは、前記送信側電子制御装置から送信された前記メッセージおよび前記フレッシュネス値を受信し、受信した前記フレッシュネス値である受信値と、前記受信側電子制御装置が過去に受信した前記フレッシュネス値のうち、最も値の大きいフレッシュネス値である基準値から大きい順に所定の数のフレッシュネス値を示すＦＶリストとを比較し、前記受信値と前記ＦＶリストとを比較した結果、前記受信値が前記基準値以下且つ前記ＦＶリストの中で最も値の小さいフレッシュネス値である許容値以上であり、前記受信値が前記ＦＶリストにない場合に、前記受信値を保持するように前記ＦＶリストを更新する。

　本開示の他の態様によるメッセージ受信方法は、メッセージおよび前記メッセージに付与されたフレッシュネス値をコネクションレス型通信を用いて送信する送信側電子制御装置から前記メッセージおよび前記フレッシュネス値を受信する受信側電子制御装置で実行されるメッセージ受信方法であって、前記フレッシュネス値は、予め設定された上位更新条件に従って更新される上位側ビット、および予め設定された下位更新条件に従って更新される下位側ビットから構成され、当該メッセージ受信方法は、前記送信側電子制御装置から送信された前記メッセージおよび前記フレッシュネス値を受信し、受信した前記フレッシュネス値である受信値と、前記受信側電子制御装置が過去に受信した前記フレッシュネス値のうち、最も値の大きいフレッシュネス値である基準値から大きい順に所定の数のフレッシュネス値を示すＦＶリストとを比較し、前記受信値と前記ＦＶリストとを比較した結果、前記受信値が前記基準値以下且つ前記ＦＶリストの中で最も値の小さいフレッシュネス値である許容値以上であり、前記受信値が前記ＦＶリストにない場合に、前記受信値を保持するように前記ＦＶリストを更新する。

　本開示の電子制御装置、通信システム、メッセージ受信プログラム、及びメッセージ受信方法によれば、電子制御装置間の通信状況に応じて自動的に設定される許容範囲を用いてメッセージの正／不正を判定することができるため、判定の精度を高めることができる。また、フレッシュネス値の構成によってフレッシュネス値が急激に変化する場合にも、高い精度でメッセージの正／不正を判定することが可能となる。

図１は、実施形態１の通信システムおよび電子制御装置の構成を説明するブロック図であり、図２は、実施形態１の通信システムで送受信されるフレームを説明する図であり、図３は、実施形態１のフレッシュネス値を説明する図であり、図４は、実施形態１の受信側電子制御装置の動作を説明する図であり、図５は、実施形態１の受信済みフレッシュネス値リストを説明する図であり、図６は、実施形態１の受信済みフレッシュネス値リストの他の例を説明する図であり、図７は、実施形態２の通信システムおよび電子制御装置の構成を説明するブロック図であり、図８は、実施形態２の受信側電子制御装置の動作を説明する図であり、図９は、実施形態２の受信側電子制御装置の動作を説明する図である。

　以下、本開示の実施形態について、図面を参照して説明する。
　なお、以下に示す本発明とは、請求の範囲に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともダブルクォーテーション内の語句は、請求の範囲に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。
　請求の範囲の従属項に記載の構成および方法、従属項に記載の構成および方法に対応する実施形態の構成および方法、並びに請求の範囲に記載がなく実施形態のみに記載の構成および方法は、本発明においては任意の構成および方法である。請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成および方法も、本発明の構成および方法の例示であるという意味で、本発明においては任意の構成および方法である。いずれの場合も、請求の範囲の独立項に記載することで、本発明の必須の構成および方法となる。
　実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。
　複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせても良い。また、複数の実施形態それぞれに開示の構成を集めて組み合わせても良い。
　本開示に記載した知見や課題は公知の課題ではなく、本発明者が独自に知見したものであり、本開示の構成および方法と共に発明の進歩性を肯定する事実である。

　なお、以下の実施形態は、主として自動車の車載用電子制御装置を例として説明するが、本発明は、特許請求の範囲で限定がない限り、車載用途以外の電子制御装置等を含むものである。

（実施形態１）
１．通信システムの構成
　図１は、本実施形態の通信システム１０を示している。通信システム１０は、複数の“電子制御装置”、すなわち、メッセージを格納したフレームを送信する送信側電子制御装置（以下、送信側ＥＣＵ）１００、当該フレームを受信する受信側電子制御装置（以下、受信側ＥＣＵ）２００、およびこれらを接続する通信路からなる。以下の実施形態では、複数の電子制御装置が、Ｅｔｈｅｒｎｅｔ（登録商標）といったコネクションレス型の通信方式を用いてフレームを送受信することを前提として説明するが、この例に限定されるものではない。

　ここで、“電子制御装置”とは、情報を取得又は処理することができ、かつ情報を他の装置との間で送信及び／又は受信できるものであればよく、車載用の電子制御装置の他、例えば、コンピュータ（パーソナルコンピュータ、組み込み型のマイクロコンピュータ等）、通信装置（携帯電話、スマートフォン、タブレット、基地局等）、回路基板、半導体モジュール、半導体などが挙げられ、完成品、半完成品、部品の形態のいずれも含むものである。

２．送信側ＥＣＵの構成
　本実施形態の送信側ＥＣＵ１００は、メッセージ生成部１０１、ＦＶ生成部１０２、および送信部１０３を備える。送信側ＥＣＵ１００、およびこれを構成する個々の機能ブロックは、専用又は汎用の中央演算処理装置、メモリ、バス、およびメモリに展開されて実行されるプログラムによって実現されてもよく、また半導体モジュールや回路基板をはじめとする専用のハードウェアで実現されてもよい。後述の受信側ＥＣＵ２００も同様である。

　メッセージ生成部１０１は、受信側ＥＣＵ２００に送信するメッセージ（ＭＳＧ）を生成する。車両に搭載された車載用のＥＣＵの場合におけるメッセージの具体例として、車両を制御するための各種制御データが挙げられる。車載用以外のＥＣＵの場合は、例えばセンサー等で検知した検出データ、テキストデータ、音声データ、画像データ等が挙げられる。

　ここで、電子制御装置間の通信では、通信方式毎に定められた最大データサイズ（ＭＴＵ：Maximum Transmission Unit）を超えるデータを一度に送受信することができない。そのため、ＭＴＵを超えるデータは、ＭＴＵ以下のサイズに分割する必要がある。そこで、メッセージ生成部１０１は、車両の制御データ等が所定のＭＴＵを超える場合には、送信可能なサイズに分割して、分割メッセージを生成する。
　以下に示す実施形態では、メッセージ生成部１０１がデータを分割して分割メッセージを生成する例を説明するが、制御データのサイズが最大データサイズ以下の場合には、メッセージ生成部１０１はデータを分割することなく受信側ＥＣＵ２００に送信してもよい。

　ＦＶ生成部１０２は、後述の送信部１０３から送信されるフレームの送信回数または送信予定回数に応じて“フレッシュネス値”（ＦＶ：Freshness Value）を生成する。このフレッシュネス値は、予め設定された更新条件に従って更新される値である。ＦＶ生成部１０２は、例えば、フレームに格納されるメッセージに含まれるデータの種類に応じて設定されたメッセージＩＤ毎に送信回数をカウントすることにより、フレッシュネス値を生成する。例えば、メッセージＩＤ＃１が付与されたフレームが４回送信された場合、メッセージ＃１のフレッシュネス値は４（ＦＶ＝４）となる。以下の実施形態では、フレームの送信回数をメッセージカウンタ（MsgCnt）と称する。なお、メッセージカウンタの更新条件（“下位側更新条件”に対応）は、送信側ＥＣＵ１００からのフレームの送信である。

　ここで、“フレッシュネス値”とは、特定のフレームが送信側電子制御装置から送信された回数、又は受信側電子制御装置で受信された回数を示す値であり、カウンタ、シーケンス番号も含む概念である。また、絶対的な値の他、例えばある基準を設けて当該基準からカウントした相対的な値も含む。

　ＦＶ生成部１０２は、フレームの送信回数に加えて、送信側ＥＣＵの“起動”回数を考慮したフレッシュネス値を生成してもよい。ＦＶ生成部１０２は、例えば、送信側ＥＣＵの起動回数、ウェイクアップ回数、リセット回数、あるいは、通信システム１０を搭載する車両のイグニッションがＯＦＦからＯＮになった回数をカウントし、これらのカウント回数を示す値と、フレームの送信回数を示す値とを含むフレッシュネス値を生成する。以下の実施形態では、送信側ＥＣＵの起動回数をトリップカウンタ（TripCnt）と称する。トリップカウンタの更新条件（“上位側更新条件”に対応）は、送信側ＥＣＵ１００の起動である。なお、フレッシュネス値がトリップカウンタおよびメッセージカウンタから構成される場合、トリップカウンタが増加又は初期化する毎に、メッセージカウンタの値が初期化、すなわち、０にリセットされてもよい。

　ここで、“起動”とは、電子制御装置が動作していない状態から動作可能な状態に変化することをいい、電子制御装置の電源が入って起動することはもちろん、スリープ状態にある電子制御装置がウェイクアップすることや、電子制御装置がリセットされた状態から復帰することも含まれる。また、“起動”回数とは、結果的に電子制御装置が起動した回数を示すものであればよく、必ずしも電子制御装置の起動回数をカウントすることによって得られる回数でなくともよい。例えば、電子制御装置を搭載したシステムや車両等が起動する回数をカウントすることによって、当該回数を得てもよい。

　送信部１０３は、メッセージ生成部１０１で生成されたメッセージに、ＦＶ生成部１０２で生成されたフレッシュネス値を付与または挿入し、さらにヘッダを付与したフレームを送信する。送信先として特定の受信側ＥＣＵ２００を指定して送信してもよいが、送信先を指定せずにブロードキャストで送信してもよく、結果的に受信側ＥＣＵ２００で受信できるものであればよい。

　通信システム１０が車載システムの場合、フレッシュネス値の生成およびメッセージへのフレッシュネス値の付与は、例えば、車載電子制御ユニットの標準ソフトウェア・アーキテクチャを策定するＡＵＴＯＳＡＲのＳｅｃＯＣ（Secure Onboard Communication）によって実現することができる。

　図２は、送信側ＥＣＵ１００から送信されるフレームの例を説明する図である。図２のフレームは、分割メッセージ、ＦＶ生成部１０２で生成されたフレッシュネス値（ＦＶ）、トランスポート層で付与されるＵＤＰヘッダ、ネットワーク層で付与されるＩＰヘッダ、およびデータリンク層で付与されるイーサネットヘッダ（Ｅｔｈヘッダ）からそれぞれ構成されている。

　図２では、分割メッセージ１～ｎおよびフレッシュネス値１～ｎが、フレーム１～ｎにそれぞれ格納されている。つまり、メッセージ生成部１０１は制御データを分割してｎ個の分割メッセージを生成するものである。また、これらの分割メッセージに付与されたフレッシュネス値１～ｎは連続する値である。そして、送信部１０３は、図２に示すフレームをフレーム１から順に送信する。

　なお、図２は、コネクションレス型の通信方式を利用する場合のフレームを示しており、メッセージにはＵＤＰヘッダが付与されている。しかしながら、コネクション型の通信方式を利用して通信を行う場合には、ＵＤＰヘッダに代えてＴＣＰヘッダを付与してもよい。

　図３はさらに、フレームに含まれるフレッシュネス値の構成の一例を示している。図３のフレッシュネス値は、トリップカウンタを示す上位側８ビット、およびメッセージカウンタを示す下位側８ビットとから構成されている。例えば、図に示すＦＶ１は、トリップカウンタ“００００１１００”およびメッセージカウンタ“００１００１００”から構成されている。これに対し、ＦＶ２は、ＦＶ１と比較して、上８桁目のトリップカウンタが１増加しており、さらに、トリップカウンタの増加に伴ってメッセージカウンタの値が初期化され、新たに１からカウントを開始した状態を示している。図３に示すように上８桁目の値が増加した場合、フレッシュネス値全体の値としては最大２の８乗（２^８）増加することになる。

　なお、図２のフレーム、および図３のフレッシュネス値はいずれも例示にすぎず、これらの構成に限定されるものではない。例えば、図３に示すフレッシュネス値は、メッセージカウンタを示す上位側ビットと、トリップカウンタを示す下位側ビットから構成されてもよい。あるいは、フレッシュネス値は、メッセージカウンタおよびトリップカウンタ以外の値から構成されてもよく、例えば、トリップカウンタまたはメッセージカウンタに代えて、一定時間ごとに値が増加または減少するカウンタから構成されてもよい。ただし、フレッシュネス値が２以上のカウンタから構成される場合には、上位側ビットを構成するカウンタと下位側ビットを構成するカウンタは、異なる更新条件によって更新される値であることが望ましい。

　また、トリップカウンタやメッセージカウンタの値には、予め最大値が設定されていてもよい。このような場合、カウンタの値が最大値を超えると、つまり、最大値になった後に更新条件が発生すると、カウンタの値を初期化して再びカウントを始める。

３．受信側ＥＣＵの構成
　本実施形態の受信側ＥＣＵ２００は、受信部２０１、保存部２０２、ＦＶ検証部２０３、およびリスト更新部２０４を備える。

　受信部２０１は、送信側ＥＣＵ１００から送信されたフレームを受信する。このフレームは図２に示すフレームであり、すなわち、メッセージおよびメッセージに付与されたフレッシュネス値が格納されたフレームである。

　上述したとおり、本実施形態では、コネクションレス型の通信方式を利用して電子制御装置間の通信を行う。そのため、送信側ＥＣＵ１００が図２に示すフレームをフレーム１から順に送信しても、通信路上でフレームの順序が入れ替わる可能性がある。つまり、受信部２０１は、図２に示すフレーム１よりも先にフレーム２やフレームｎを受信することが起こりうる。

　保存部２０２は、フラッシュメモリやハードディスク（ＨＤＤ）等の不揮発性メモリ、またはＤＲＡＭやＳＲＡＭ等の揮発性メモリであり、受信済みフレッシュネス値リスト（以下、ＦＶリスト）を保存する。ＦＶリストは、送信側ＥＣＵ１００から送信され受信部２０１にて受信したフレッシュネス値のうち、最も値の大きいフレッシュネス値から大きい順に“所定の”数のフレッシュネス値を示すリストである。なお、ＦＶリストには、同一のフレッシュネス値を重複して保持しない。ＦＶリストの中で、最も値の大きいものを基準値とし、最も値の小さいものを許容値とする。許容値は、通信路上でのフレームの順序入れ替わりを考慮し、フレッシュネス値の減少を許容するための値を指す。
　ここで、“所定の”とは、常に一定の場合の他、条件に応じて一意に定まる場合も含む。

　なお、保存部２０２は、メッセージＩＤ毎、メッセージの種別毎にＦＶリストを保存してもよい。この場合、ＦＶリストに含まれるフレッシュネス値の個数は、メッセージＩＤやメッセージの種別に応じてＦＶリスト毎に異なってもよく、それぞれの個数は工場やディーラーで予め設定される。あるいは、後述するように、ＦＶリストに含まれるフレッシュネス値の個数は、種々のパラメータに応じて経時的に変化する値であってもよい。

　保存部２０２に保存されたＦＶリストは、後述するＦＶ検証部２０３においてフレッシュネス値が正常であると判定された場合に、当該正常であると判定されたフレッシュネス値を保持するように更新される。そのため、通信システム１０を搭載した車両が初めて起動した直後は送信側ＥＣＵ１００から送信されたフレッシュネス値はなく、当然のことながら、正常であると判定されたフレッシュネス値もない。また、保存部２０２が揮発性メモリである場合には、車両を新たに起動する、あるいはイグニッションをＯＮした直後も同様である。そこで、工場やディーラーで設定された初期値が、ＦＶリストの基準値として保存部２０２に予め保存されていてもよい。トリップカウンタの値が初期化される場合、保存部２０２に保存されるＦＶリストも同様に初期化され、初期値に戻される。

　なお、フレッシュネス値がトリップカウンタとメッセージカウンタとから構成されている場合、フレッシュネス値のうちトリップカウンタの値を保存部２０２の不揮発性メモリに記憶し、メッセージカウンタの値を揮発性メモリに記憶してもよい。

　ＦＶ検証部２０３は、受信部２０１で受信したフレッシュネス値（以下、受信値）と、保存部２０２に保存されたＦＶリストに含まれるフレッシュネス値とを比較する。比較した結果、受信値が、以下の第１の条件または第２の条件を満たす場合には、受信値は正常であり、検証結果はＯＫであると判定する。ここで、第１の条件とは受信値が基準値よりも大きい（基準値＜受信値）ことである。また、第２の条件とは、受信値が基準値以下且つ許容値以上（許容値≦受信値≦基準値）であり、受信値がＦＶリストにないことである。これに対し、受信値が第１および第２の条件を満たさない場合、例えば、受信値が許容値よりも小さい場合（受信値＜許容値）には、フレッシュネス値は正常ではなく、検証結果がＮＧであると判定する。

　リスト更新部２０４は、ＦＶ検証部２０３が受信値は正常であると判定した場合に、正常であると判定された受信値を保持するようにＦＶリストを更新する。更新後のＦＶリストは、当該受信値を含むリストとなる。

　なお、保存部２０２が複数のＦＶリストを保存している場合には、リスト更新部２０４は、受信値のメッセージＩＤに対応するＦＶリストを更新する。すなわち、受信側ＥＣＵは、検証結果がＯＫとなった場合、フレッシュネス値を保持し、メッセージＩＤに対応するＦＶリストを更新する。そして、ＦＶリストには、これまで保持したフレッシュネス値の内、値の大きい方から数えてｎ（E_ReceivedFreshnessValueListSize）までの値が含まれる。

　リスト更新部２０４はさらに、ＦＶリストに含まれるフレッシュネス値の個数を、通信路におけるフレームの順序入れ替わりの発生状況、フレームの受信頻度、あるいは通信路の混雑状況といった通信システムの通信状況や、メッセージを分割した個数、分割メッセージのサイズに応じて適宜設定してもよい。例えば、リスト更新部２０４は、フレームの順序入れ替わりが発生している場合には、ＦＶリストに含まれるフレッシュネス値の個数を増加させることによってフレッシュネス値の許容範囲を拡張し、フレームの順序入れ替わりが発生していない場合はフレッシュネス値の個数を維持または減少させることによって、フレッシュネス値の許容範囲を拡張しないようにする。なお、フレームの順序入れ替わりが発生しているか否かは、ＦＶ検証部２０３での比較検証結果に応じて、つまり、第１の条件または第２の条件であるかに応じて判定することができる。つまり、ＦＶ検証部２０３での検証結果が第１の条件の場合には順序入れ替わりは発生していないが、第２の条件の場合には順序入れ替わりが発生したと判定する。ＦＶリストに含まれるフレッシュネス値の個数を通信状況に応じて変化させることにより、電子制御装置間の実際の通信状況に適したフレッシュネス値の許容範囲を設定することができる。

４．メッセージ受信方法、および同方法を実行するプログラム
　図４を用いて、受信側ＥＣＵ２００で実行されるメッセージ受信方法を説明する。
　なお、図４は電子制御装置におけるメッセージの受信方法を示すだけでなく、電子制御装置で実行されるプログラムの処理手順を示すものである。また、図４に示す処理の順序は、ある処理が次の処理の前提条件となっていなければ、適宜入れ替えることが可能である。以下の実施形態２においても同様である。

　受信側ＥＣＵ２００は、以下の各ステップを実行する。
　送信側ＥＣＵから送信されたメッセージ、およびメッセージに付与されたフレッシュネス値（ＦＶ）を受信する（Ｓ１０１）。次いで、Ｓ１０１で受信したフレッシュネス値である受信値と、保存部に保存されたＦＶリストの基準値および許容値とを比較する（Ｓ１０２）。
　Ｓ１０２において比較した結果、受信値が基準値以下且つ許容値以上の場合にはさらに、受信値とＦＶリストとを比較し、受信値がＦＶリストにあるかどうかを判定する（Ｓ１０３）。そして、受信値が未受信でありＦＶリストにない場合には受信値は正常であると判定する（Ｓ１０４）。
　また、Ｓ１０２において比較した結果、受信値が基準値よりも大きい場合にも、受信値は正常であると判定する（Ｓ１０４）。
　そして、Ｓ１０４において受信値が正常であると判定されると、正常であると判定された受信値を保持するようにＦＶリストを更新する（Ｓ１０５）。

　一方、Ｓ１０２において比較した結果、受信値が許容値よりも小さい場合は、受信値は正常ではないと判定する（Ｓ１０６）。
　また、Ｓ１０３において比較した結果、受信値がＦＶリストにある場合にも、受信値は正常ではないと判定する（Ｓ１０６）。
　そして、Ｓ１０６において受信値が正常ではないと判定されると、当該受信値が付与されたフレームを廃棄する（Ｓ１０７）。

　図５は、本実施形態のＦＶリストの一例を示している。この例では、初期値として基準値および許容値が予め０に設定されている。また、ＦＶリストが、基準値から数えて順に５個のフレッシュネス値を示す場合を示している。

　図５（ａ）は車両を初めて起動した直後のＦＶリスト１を示している。ＦＶ検証部２０３で正常であると判定されたフレッシュネス値はまだないため、ＦＶリスト１は初期値として設定された基準値および許容値（ＦＶ＝０）のみを示している。

　図５（ａ）に示すＦＶリスト１の状態でフレッシュネス値（ＦＶ＝１）を受信した場合を検討する。受信値（ＦＶ＝１）は基準値（ＦＶ＝０）よりも大きいため、受信値は正常であると判定されＦＶリストが更新される。図５（ｂ）は、ＦＶリスト１を更新した後のＦＶリスト２を示している。ＦＶリスト２では、最大のフレッシュネス値（ＦＶ＝１）が基準値であり、最小のフレッシュネス値（ＦＶ＝０）が許容値である。

　次に、図５（ｂ）に示すＦＶリスト２の状態でフレッシュネス値（ＦＶ＝５）を受信した場合を検討する。受信値（ＦＶ＝５）は、基準値（ＦＶ＝１）以上の値である。そこで、受信値は正常であると判定されＦＶリストが更新される。図５（ｃ）は、ＦＶリスト２を更新した後のＦＶリスト３を示している。

　さらに、図５（ｃ）に示すＦＶリスト３の状態でフレッシュネス値（ＦＶ＝３）を受信した場合、受信値（ＦＶ＝３）は、基準値（ＦＶ＝５）以下且つ許容値（ＦＶ＝０）以上であり、ＦＶリスト３にない値である。そこで、受信値は正常であると判定されＦＶリストが更新される。
　図５（ｄ）は、フレッシュネス値（ＦＶ＝５）の後にさらにフレッシュネス値（ＦＶ＝３，２，６，７）を受信し、受信値がそれぞれ正常であると判定されてＦＶリストが更新された後の状態を示している。図５（ｄ）に示すＦＶリスト４では、最大のフレッシュネス値（ＦＶ＝７）が基準値であり、最小のフレッシュネス値（ＦＶ＝２）が許容値である。ＦＶリスト４によれば、初期値（ＦＶ＝０）や、ＦＶリスト２及び３に記載されているフレッシュネス値（ＦＶ＝１）がリストから除外されたことが分かる。

　本実施形態において、第三者が、送信側ＥＣＵ１００が過去に送信したフレームを用いて再送攻撃をした場合、再送攻撃による不正なフレームに含まれるフレッシュネス値は、受信側ＥＣＵ２００が過去に受信した、受信側ＥＣＵ２００のＦＶリストに含まれるフレッシュネス値と等しいか、あるいは許容値未満の値のフレッシュネス値となる。
　例えば、保存部２０２に保存された図５（ｄ）に示すＦＶリスト４の状態で、第三者がフレッシュネス値（ＦＶ＝６）を含むフレームを用いて再送攻撃をした場合、受信値はＦＶリストにある値と同じとなる。そのため、ＦＶ検証部２０３は、フレッシュネス値（ＦＶ＝６）は正常ではないと判定することができ、ひいては、当該フレッシュネス値が付与されたメッセージは正常ではないと判定することができる。
　また、第三者が、フレッシュネス値（ＦＶ＝１）を含むフレームを用いて再送攻撃をした場合は、受信値はＦＶリストの許容値未満の値である。そのため、ＦＶ検証部２０３は、フレッシュネス値（ＦＶ＝１）は正常ではないと判定することができ、ひいては、当該フレッシュネス値が付与されたメッセージは正常ではないと判定することができる。

　また、本実施形態において、送信側ＥＣＵ１００が送信したフレームの順序が通信路上で入れ替わる場合、受信側ＥＣＵ２００は、既に受信したフレッシュネス値よりも値が小さいフレッシュネス値を受信することになる。図５に示す例では、送信側ＥＣＵ１００は、数値が小さいフレッシュネス値を格納したフレームから順番に送信するが、受信側ＥＣＵ２００はフレッシュネス値（ＦＶ＝１）から順番に受信しておらず、例えば、フレッシュネス値（ＦＶ＝５）の後にフレッシュネス値（ＦＶ＝３）を受信している。しかしながら、本実施形態では、フレッシュネス値の減少を許容する許容値が設定されているため、通信路でフレームの順序が入れ替わった場合でも、正常なフレッシュネス値が誤って正常ではないと判定されるのを防ぐことができる。

　図６はさらに、フレッシュネス値が、図３に示すようにトリップカウンタおよびメッセージカウンタから構成される場合のＦＶリストの例を示している。説明を容易にするため、図６では、フレッシュネス値を３桁の数値で表し、上位１桁がトリップカウンタ、下位２桁がメッセージカウンタを示している。つまり、図６に示すＦＶリストの基準値のフレッシュネス値（ＦＶ＝２０１）は、他のフレッシュネス値（ＦＶ＝１２０，１１９，１１８，１１７）よりもトリップカウンタが増加していることを示している。

　トリップカウンタおよびメッセージカウンタから構成されたフレッシュネス値を格納したフレームの順序が通信路上で入れ替わる場合も、図５の場合と同様に処理が行われる。
　例えば、送信側ＥＣＵ１００が、フレッシュネス値（ＦＶ＝１２１）を送信した後に、当該フレッシュネス値からトリップカウンタが増加したフレッシュネス値（ＦＶ＝２０１）を送信する。通信路上で順序が入れ替わった場合、受信側ＥＣＵ２００は、フレッシュネス値（ＦＶ＝２０１）の後にフレッシュネス値（ＦＶ＝１２１）を受信する。図６に示すＦＶリストは、フレッシュネス値（ＦＶ＝２０１）の受信後、フレッシュネス値（ＦＶ＝１２１）の受信前のリストを示している。この状態でフレッシュネス値（ＦＶ＝１２１）を受信した場合、受信値は基準値（ＦＶ＝２０１）以下且つ許容値（ＦＶ＝１１７）以上であり、ＦＶリストにないため、フレッシュネス値（ＦＶ＝１２１）は正常であると判定される。

　ここで、本実施形態との比較のために、本実施形態とは異なる許容範囲を利用してメッセージの正／不正を判定する場合を検討する。例えば、フレッシュネス値の許容範囲となるＦＶリストには許容値以上且つ基準値以下のフレッシュネス値が含まれており、基準値がこれまでに受信したフレッシュネス値のうち最も値の大きいものであり、許容値が、基準値から所定値を減算して求まる値（基準値－[E_FreshnessValueToleranceWindow]）である場合を検討する。この場合、基準値と許容値の差異は常に一定となる。
　例えば、送信側ＥＣＵと受信側ＥＣＵとの間でコネクションレス型通信を行っても、通信方式、通信路の混雑状況、通信性能といった通信状況によって、フレームの到達順序が入れ替わらない、あるいは、入れ替わりにばらつきが生じることが考えられる。しかしながら、上述した方法によれば基準値と許容値の差異は常に一定となるため、実際の通信状況に応じて適切な許容範囲を設定することは難しい。
　また、例えば、受信側ＥＣＵ２００がフレッシュネス値（ＦＶ＝２０１）を受信し、図６に示すＦＶリストに更新した後にフレッシュネス値（ＦＶ＝１２１）を受信する場合を検討する。当該フレッシュネス値（ＦＶ＝１２１）が正常であると判断されるためには、許容値を求めるために基準値から減算する所定値を“８０”に設定して、ＦＶリストの範囲を広くする必要がある。しかしながら、ＦＶリストの範囲を広く設定した場合、セキュリティ性が低下するおそれがあり、さらに、ＦＶリストを保存するメモリの負荷が増加する。また、所定値を小さくしてＦＶリストの範囲を狭く設定すると、順序が入れ替わったフレッシュネス値は正常ではないと誤判定される可能性が高くなる。例えば、図６の例で所定値を“１０”に設定した場合、許容値は“１９１（２０１－１０）”となるため、フレッシュネス値（ＦＶ＝１２１）は正常ではないと判定されることになる。

　これに対し、本実施形態によれば、ＦＶリストをフレッシュネス値の個数を基準として設定することにより、通信状況に適した許容範囲を自動的に設定することが可能となる。
　さらに、フレッシュネス値の構成によってフレッシュネス値が急激に増加する場合でも、正常なフレッシュネス値が誤判定されるのを防止することができる。

　なお、上述した実施形態では、送信側ＥＣＵ１００から送信されるフレッシュネス値は増加する値であり、それに伴って、ＦＶリストは、受信したフレッシュネス値のうち最も値の大きいフレッシュネス値である基準値から大きい順に所定の数のフレッシュネス値を示すリストである場合を説明した。しかしながら、送信側ＥＣＵ１００から送信されるフレッシュネス値は減少する値であってもよい。この場合、受信側ＥＣＵ２００が保存するＦＶリストは、受信したフレッシュネス値のうち最も値の小さいフレッシュネス値を基準値とし、基準値から小さい順に所定の数のフレッシュネス値を示すリストとしてもよい。この例では、許容値がＦＶリストの中で最も値の大きいフレッシュネス値となる。

（実施形態２）
　実施形態１では、フレッシュネス値およびＦＶリストを利用して、第三者による再送攻撃を防ぎ、通信システムのセキュリティを高める構成を説明した。本実施形態ではさらに、フレッシュネス値に加えて認証子をメッセージに付与して通信システムのセキュリティ性を高める構成を、実施形態１との相違点を中心に説明する。図７は、実施形態２の通信システム１１、および通信システム１１を構成する送信側ＥＣＵ１１０および受信側ＥＣＵ２１０を示している。

１．送信側ＥＣＵの構成
　図７の送信側ＥＣＵ１１０は、図１に示す送信側ＥＣＵ１００の各構成に加えて、ＭＡＣ生成部１１１を備えている。
　ＭＡＣ生成部１１１は、メッセージ生成部１０１で生成されたメッセージ（ＭＳＧ）、およびＦＶ生成部１０２で生成されたフレッシュネス値（ＦＶ）を用いて認証子（ＭＡＣ：Message Authentication Code）を生成する。例えば、メッセージにフレッシュネス値を付与又は挿入したデータに対し、メモリ（図示せず）に保存されたＭＡＣ鍵を用いてＭＡＣアルゴリズムに基づき計算することにより認証子を生成する。

　送信部１０３は、メッセージ生成部１０１で生成されたメッセージに、ＦＶ生成部１０２で生成されたフレッシュネス値、およびＭＡＣ生成部１１１で生成された認証子を付与又は挿入し、さらにヘッダを付与したフレームを送信する。

２．受信側ＥＣＵの構成
　図７の受信側ＥＣＵ２１０は、図１に示す受信側ＥＣＵ２００の各構成に加えて、検証用ＭＡＣ生成部２１１およびＭＡＣ検証部２１２を備えている。

　本実施形態の受信部２０１は、送信側ＥＣＵ１１０から送信されたフレームを受信する。このフレームは、メッセージ、およびメッセージに付与又は挿入されたフレッシュネス値および認証子が格納されたフレームである。

　本実施形態のＦＶ検証部２０３は、実施形態１のＦＶ検証部２０３と同様の処理を行い、フレッシュネス値が正常であると判定した場合、正常であると判定したフレッシュネス値を検証用フレッシュネス値（検証用ＦＶ）として後述する検証用ＭＡＣ生成部２１１に出力する。

　検証用ＭＡＣ生成部２１１は、メモリ（図示せず）に保存されたＭＡＣ鍵を取得し、当該ＭＡＣ鍵、受信部２０１で受信したフレームに格納されているメッセージ、およびＦＶ検証部２０３から出力された検証用フレッシュネス値を用いて検証用認証子（検証用ＭＡＣ）を生成する。例えば、受信部１０１が受信したメッセージに検証用フレッシュネス値を付与又は挿入したデータに対し、ＭＡＣ鍵を用いてＭＡＣアルゴリズムに基づき計算することにより検証用認証子を生成する。なお、検証用ＭＡＣ生成部２１１が使用するＭＡＣ鍵は、送信側ＥＣＵと予め共有する鍵である。

　ＭＡＣ検証部２１２は、受信部２０１で受信したフレームに格納されている認証子と、検証用ＭＡＣ生成部２１１で生成した検証用認証子を比較して検証する。認証子と検証用認証子が一致した場合、認証子は正常であり検証結果が正常（ＯＫ）であると判定して受信したフレームの処理を行う。一致しない場合は、検証が正常ではない（ＮＧ）と判定して、受信したフレームを破棄する。

３．受信側ＥＣＵの動作
　図８、９を参照して、本実施形態の受信側ＥＣＵ２１０の動作を説明する。図４と同じ処理については、図４と同じ符号を付して説明を省略する。

　本実施形態の受信側ＥＣＵ２１０は、送信側ＥＣＵ１１０から送信されたメッセージ、メッセージに付与されたフレッシュネス値、および認証子を受信する（Ｓ２０１）。

　また、Ｓ１０４においてフレッシュネス値の受信値が正常であると判定されると、ＭＡＣ検証を行う（Ｓ２０２）。ＭＡＣ検証として、図９のサブルーチンに示す以下の処理を行う。
　メモリに保存されたＭＡＣ鍵を取得する（Ｓ３０１）。
　図８のＳ１０４において正常であると判定されたフレッシュネス値の受信値を検証用フレッシュネス値として取得する（Ｓ３０２）。
　Ｓ３０１において取得したＭＡＣ鍵、Ｓ３０２において取得した検証用フレッシュネス値、および受信部２０１で受信したメッセージを用いて、検証用認証子を生成する（Ｓ３０３）。
　図８のＳ２０１において受信した認証子と、Ｓ３０３において生成した検証用認証子とを比較する（Ｓ３０４）。
　Ｓ３０４において比較した結果、認証子と検証用認証子とが一致する場合には、図９に示す処理を終了し、図８に示すＳ１０５の処理に進みＦＶリストを更新する。これに対し、認証子と検証用認証子とが一致しない場合には、図８に示すＡに進み、フレームを廃棄する（Ｓ１０７）。

　例えば、第三者が、送信側ＥＣＵ１１０から送信されたフレームの中身を不正に改ざんした場合、フレームに格納された認証子と、受信側ＥＣＵ２１０で生成した検証用認証子とは一致しなくなる。その結果、受信側ＥＣＵ２１０は、不正に改ざんされたメッセージを検出することが可能となる。

　本実施形態によれば、フレッシュネス値とＦＶリストを用いてメッセージの正／不正を高い精度で判定するとともに、フレッシュネス値の検証結果が正常の場合のみ認証子を用いた検証を行うことにより、負荷の大きい認証子の生成処理を抑制するとともに、通信システムのセキュリティ性を高めることが可能となる。

（総括）
　以上、本開示の実施形態における電子制御装置の特徴について説明した。

　実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。

　実施形態の説明に用いたブロック図は、電子制御装置の構成を機能毎に分類および整理したものである。これらの機能ブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明の開示としても把握できるものである。

　各実施形態に記載した処理、フロー、および方法として把握できる機能ブロックについては、一のステップで他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えても良い。

　各実施形態、および請求の範囲で使用する“第１”“第２”の用語は、同種の２以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。

　電子制御装置の例として、部品や半完成品としては、半導体、電子回路、モジュール、あるいはＥＣＵ（エレクトロニックコントロールユニット）が挙げられる。また完成品としては、ドライブレコーダ、カーナビゲーションシステム、スマートフォン、パーソナルコンピュータ、携帯電話、携帯情報端末が挙げられる。

　加えて、本開示は、各実施形態で説明した構成および機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録した本発明を実現するためのプログラム、およびこれを実行可能な専用又は汎用ＣＰＵおよびメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。

　専用や汎用のハードウェアの非遷移的実体的記録媒体（例えば、外部記憶装置（ハードディスク、ＵＳＢメモリ、ＣＤ／ＢＤ、又は内部記憶装置（ＲＡＭ、ＲＯＭ等））に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。

　本開示の電子制御装置等は、各実施形態で自動車に搭載される電子制御装置を念頭に置いて説明したが、自動二輪車、船舶、鉄道、航空機等、移動する移動体全般に適用することが可能でありこれらを含むものである。また、移動体に限らず、コンピュータを包含する製品全般に適用可能である。

Claims

　メッセージおよび前記メッセージに付与されたフレッシュネス値をコネクションレス型通信を用いて送信する送信側電子制御装置（１００，１１０）から、前記メッセージおよび前記フレッシュネス値を受信する電子制御装置（２００，２１０）であって、
　前記フレッシュネス値は、予め設定された上位更新条件に従って更新される上位側ビット、および予め設定された下位更新条件に従って更新される下位側ビットから構成され、
　当該電子制御装置が過去に受信した前記フレッシュネス値のうち、最も値の大きいフレッシュネス値である基準値から大きい順に所定の数のフレッシュネス値を示すＦＶリストを保存する保存部（２０２）と、
　前記送信側電子制御装置から送信された前記メッセージおよび前記フレッシュネス値を受信する受信部（２０１）と、
　前記受信部で受信した前記フレッシュネス値である受信値と前記ＦＶリストとを比較するＦＶ検証部（２０３）と、
　前記ＦＶ検証部で比較した結果、前記受信値が前記基準値以下且つ前記ＦＶリストの中で最も値の小さいフレッシュネス値である許容値以上であり、前記受信値が前記ＦＶリストにない場合に、前記受信値を保持するように前記ＦＶリストを更新するリスト更新部（２０４）と、
　を備える電子制御装置。
　前記リスト更新部はさらに、前記受信値が前記基準値よりも大きい場合に、前記受信値を保持するように前記ＦＶリストを更新する、
　請求項１記載の電子制御装置。
　前記受信部はさらに、前記メッセージに付与された認証子（ＭＡＣ）を受信し、
　当該電子制御装置はさらに、
　前記ＦＶ検証部で比較した結果、前記受信値が前記基準値以下且つ前記許容値以上であり、前記受信値が前記ＦＶリストにない場合に、前記メッセージおよび前記受信値から検証用認証子（ＭＡＣ）を生成する検証用ＭＡＣ生成部（２１１）と、
　前記認証子と前記検証用認証子の同一性を検証するＭＡＣ検証部（２１２）と、
　をさらに備え、
　前記リスト更新部は、前記認証子と前記検証用認証子とが同一の場合に、前記受信値を保持するように前記ＦＶリストを更新する、
　請求項１記載の電子制御装置。
　前記上位側ビットは前記送信側電子制御装置の起動回数を示す値であり、前記下位側ビットは前記送信側電子制御装置による前記メッセージの送信回数を示す値である、
　請求項１記載の電子制御装置。
　前記保存部は不揮発性メモリおよび揮発性メモリを有し、前記受信部で受信した前記フレッシュネス値のうち、前記上位側ビットの値は前記不揮発性メモリに保存し、前記下位側ビットの値は前記揮発性メモリに保存する、
　請求項１記載の電子制御装置。
　前記リスト更新部はさらに、前記所定の数を前記ＦＶ検証部での検証結果に応じて設定する、
　請求項１記載の電子制御装置。
　コネクションレス型通信を用いてメッセージを送信する送信側電子制御装置（１００，１１０）、および前記メッセージを受信する受信側電子制御装置（２００，２１０）で構成される通信システム（１０）であって、
　前記送信側電子制御装置は、
　　前記メッセージ、および前記メッセージに付与され、予め設定された上位更新条件に従って更新される上位側ビットおよび予め設定された下位更新条件に従って更新される下位側ビットから構成されたフレッシュネス値を送信する送信部（１０３）を備え、
　前記受信側電子制御装置は、
　　前記受信側電子制御装置が過去に受信した前記フレッシュネス値のうち、最も値の大きいフレッシュネス値である基準値から大きい順に所定の数のフレッシュネス値を示すＦＶリストを保存する保存部（２０２）と、
　　前記送信側電子制御装置から送信された前記メッセージおよび前記フレッシュネス値を受信する受信部（２０１）と、
　　前記受信部で受信した前記フレッシュネス値である受信値と前記ＦＶリストとを比較するＦＶ検証部（２０３）と、
　　前記ＦＶ検証部で比較した結果、前記受信値が前記基準値以下且つ前記ＦＶリストの中で最も値の小さいフレッシュネス値である許容値以上であり、前記受信値が前記ＦＶリストにない場合に、前記受信値を保持するように前記ＦＶリストを更新するリスト更新部（２０４）と、を備える、
　通信システム。
　メッセージおよび前記メッセージに付与されたフレッシュネス値をコネクションレス型通信を用いて送信する送信側電子制御装置（１００，１１０）から前記メッセージおよび前記フレッシュネス値を受信する受信側電子制御装置（２００，２１０）で実行されるメッセージ受信プログラムであって、
　前記フレッシュネス値は、予め設定された上位更新条件に従って更新される上位側ビット、および予め設定された下位更新条件に従って更新される下位側ビットから構成され、
　当該メッセージ受信プログラムは、
　前記送信側電子制御装置から送信された前記メッセージおよび前記フレッシュネス値を受信し、
　受信した前記フレッシュネス値である受信値と、前記受信側電子制御装置が過去に受信した前記フレッシュネス値のうち、最も値の大きいフレッシュネス値である基準値から大きい順に所定の数のフレッシュネス値を示すＦＶリストとを比較し、
　前記受信値と前記ＦＶリストとを比較した結果、前記受信値が前記基準値以下且つ前記ＦＶリストの中で最も値の小さいフレッシュネス値である許容値以上であり、前記受信値が前記ＦＶリストにない場合に、前記受信値を保持するように前記ＦＶリストを更新する、
　メッセージ受信プログラム。
　メッセージおよび前記メッセージに付与されたフレッシュネス値をコネクションレス型通信を用いて送信する送信側電子制御装置（１００，１１０）から前記メッセージおよび前記フレッシュネス値を受信する受信側電子制御装置（２００，２１０）で実行されるメッセージ受信方法であって、
　前記フレッシュネス値は、予め設定された上位更新条件に従って更新される上位側ビット、および予め設定された下位更新条件に従って更新される下位側ビットから構成され、
　当該メッセージ受信方法は、
　前記送信側電子制御装置から送信された前記メッセージおよび前記フレッシュネス値を受信し、
　受信した前記フレッシュネス値である受信値と、前記受信側電子制御装置が過去に受信した前記フレッシュネス値のうち、最も値の大きいフレッシュネス値である基準値から大きい順に所定の数のフレッシュネス値を示すＦＶリストとを比較し、
　前記受信値と前記ＦＶリストとを比較した結果、前記受信値が前記基準値以下且つ前記ＦＶリストの中で最も値の小さいフレッシュネス値である許容値以上であり、前記受信値が前記ＦＶリストにない場合に、前記受信値を保持するように前記ＦＶリストを更新する、
　メッセージ受信方法。