WO2021005949A1

WO2021005949A1 - 中継装置および車両通信方法

Info

Publication number: WO2021005949A1
Application number: PCT/JP2020/022988
Authority: WO
Inventors: 陶山洋次郎; 藪内靖弘; 呉ダルマワン; 清水洋祐; 萩原剛志
Original assignee: 住友電気工業株式会社; 住友電装株式会社; 株式会社オートネットワーク技術研究所
Priority date: 2019-07-05
Filing date: 2020-06-11
Publication date: 2021-01-14
Also published as: JP2024088803A; CN113853766B; CN113853766A; CN118074912A; JPWO2021005949A1; JP7476896B2; US20220264293A1

Abstract

中継装置は、複数の機能部を備える車両に搭載される中継装置であって、前記機能部の認証情報を前記車両の外部における外部装置から取得し、取得した前記認証情報を用いて前記機能部の認証処理を行う認証処理部と、前記認証処理部による前記認証処理の結果に基づいて、前記機能部および他の前記機能部間の情報を中継する中継処理部とを備え、前記認証処理部は、前記認証情報の有効期限が切れた場合、前記外部装置から新たな前記認証情報を取得する。

Description

中継装置および車両通信方法

　本開示は、中継装置および車両通信方法に関する。
　この出願は、２０１９年７月５日に出願された日本出願特願２０１９－１２６２５５号を基礎とする優先権を主張し、その開示のすべてをここに取り込む。

　特許文献１（特開２０１３－１９３５９８号公報）には、以下のような車両用認証装置が開示されている。すなわち、車両用認証装置は、車両に搭載され、インターネットプロトコルを用いて車両外の外部装置（３）と無線及び有線のうち少なくとも無線で通信できる車載の通信装置（２）に、車載ネットワークを介して接続される電子制御装置（１）に備えられる車両用認証装置（１１）であって、前記外部装置から前記通信装置に当該外部装置を特定するための識別情報を含む情報が送信されてきた場合に、この識別情報を取得する識別情報取得手段（１１、Ｓ１）と、前記車両の状態が、当該車両の操作を許可された正規のユーザが当該車両に対して操作する或いは操作したことを示す状態であるセキュリティ確保状態に該当するか否かを判定する状態判定手段（１１、Ｓ５）と、状態判定手段でセキュリティ確保状態に該当すると判定した場合には、識別情報取得手段で取得した識別情報を前記車両に搭載される記憶装置（１２）に登録する一方、セキュリティ確保状態に該当しないと判定した場合には、当該識別情報を前記記憶装置に登録しない登録手段（１１、Ｓ７）と、識別情報取得手段で識別情報を取得した場合に、その識別情報が前記記憶装置に登録されているか否かを判定する登録判定手段（１１、Ｓ２）と、登録判定手段で識別情報が記憶装置に登録されていると判定した場合に、その識別情報で特定される外部装置と前記電子制御装置との間での情報のやり取りを許可する一方、登録判定手段で識別情報が記憶装置に登録されていないと判定したことをもとに、その識別情報で特定される外部装置と前記電子制御装置との間での情報のやり取りを禁止する認証手段（１１、Ｓ３、Ｓ６）とを備える。

特開２０１３－１９３５９８号公報

　本開示の中継装置は、複数の機能部を備える車両に搭載される中継装置であって、前記機能部の認証情報を前記車両の外部における外部装置から取得し、取得した前記認証情報を用いて前記機能部の認証処理を行う認証処理部と、前記認証処理部による前記認証処理の結果に基づいて、前記機能部および他の前記機能部間の情報を中継する中継処理部とを備え、前記認証処理部は、前記認証情報の有効期限が切れた場合、前記外部装置から新たな前記認証情報を取得する。

　本開示の車両通信方法は、複数の機能部を備える車両に搭載される中継装置における車両通信方法であって、前記機能部の認証情報を前記車両の外部における外部装置から取得するステップと、取得した前記認証情報を用いて前記機能部の認証処理を行うステップと、前記認証処理の結果に基づいて、前記機能部および他の前記機能部間の情報を中継するステップと、前記認証情報の有効期限が切れた場合、前記外部装置から新たな前記認証情報を取得するステップとを含む。

　本開示の一態様は、中継装置の一部または全部を実現する半導体集積回路として実現され得たり、中継装置を含むシステムとして実現され得る。また、本開示の一態様は、中継装置における処理のステップをコンピュータに実行させるためのプログラムとして実現され得る。

図１は、本開示の実施の形態に係る通信システムの構成を示す図である。図２は、本発明の実施の形態に係る車載通信システムの構成を示す図である。図３は、本開示の実施の形態に係る車載ＥＣＵの構成を示す図である。図４は、本開示の実施の形態に係る中継装置の構成を示す図である。図５は、本開示の実施の形態に係る通信システムにおける中継装置が、認証処理の結果に基づいて車載ＥＣＵ間の情報を中継する際の動作手順を定めたフローチャートである。図６は、本開示の実施の形態に係る通信システムにおける車外認証処理のシーケンスの一例を示す図である。図７は、本開示の実施の形態に係る通信システムにおける車外認証処理および車内認証処理のシーケンスの一例を示す図である。図８は、本開示の実施の形態に係る通信システムにおける車内認証処理のシーケンスの一例を示す図である。図９は、本開示の実施の形態に係る通信システムにおける車外認証処理および車内認証処理のシーケンスの他の例を示す図である。

　従来、車載ネットワークにおけるセキュリティを向上させるための車載ネットワークシステムが開発されている。

　［本開示が解決しようとする課題］
　このような特許文献１に記載の技術を超えて、車載ネットワークにおけるセキュリティを向上させることが可能な技術が望まれる。

　本開示は、上述の課題を解決するためになされたもので、その目的は、車載ネットワークにおけるセキュリティを向上させることが可能な中継装置および車両通信方法を提供することである。

　［本開示の効果］
　本開示によれば、車載ネットワークにおけるセキュリティを向上させることができる。

　［本開示の実施形態の説明］
　最初に、本開示の実施形態の内容を列記して説明する。

　（１）本開示の実施の形態に係る中継装置は、複数の機能部を備える車両に搭載される中継装置であって、前記機能部の認証情報を前記車両の外部における外部装置から取得し、取得した前記認証情報を用いて前記機能部の認証処理を行う認証処理部と、前記認証処理部による前記認証処理の結果に基づいて、前記機能部および他の前記機能部間の情報を中継する中継処理部とを備え、前記認証処理部は、前記認証情報の有効期限が切れた場合、前記外部装置から新たな前記認証情報を取得する。

　このように、機能部の認証情報を車両の外部における外部装置から取得する構成により、車載ネットワークに新たな未知の機能部が追加された場合であっても、当該機能部の認証情報を取得することができる。さらに、有効期限が切れた場合に新たな認証情報を取得し、取得した認証情報を用いた機能部の認証処理を行い、認証処理の結果に基づいて、機能部間の情報を中継する構成により、車載ネットワークのセキュリティを保証することができるとともに、車両の走行環境によって中継装置および外部装置間の通信環境が悪く、外部装置から新たな認証情報を取得することが困難な状況においても、継続して認証情報を用いて機能部の認証処理を行うことができる。したがって、車載ネットワークにおけるセキュリティを向上させることができる。

　（２）好ましくは、前記認証処理部は、前記認証情報の有効期限が切れた場合であって、かつ前記中継装置が前記外部装置と通信できない場合、前記認証情報の有効性を維持する延長処理を行い、有効性を維持した前記認証情報である延長認証情報を用いて、前記認証情報に対応する前記機能部の認証処理を行う。

　このような構成により、認証情報の有効期限が切れたときに、車両の走行環境によって中継装置および外部装置間の通信環境が悪く、新たな認証情報を取得することができない場合でも、認証処理を行い、認証結果に基づく機能部間の情報の中継を継続することができる。これにより、たとえば、車両の外部において認証情報の内容を更新することでセキュリティを向上させる構成において、車両の走行環境によらず、車載ネットワークにおける安定した通信を管理することができる。

　（３）好ましくは、前記中継処理部は、前記機能部の種別に応じて、前記認証処理部による前記延長認証情報を用いた前記認証処理が成功した場合において中継すべき情報の内容を決定する。

　このような構成により、機能部の種別に応じて、延長処理を行った場合に中継する情報の一部を制限することができるため、たとえば車両の走行に影響を与える機能部間の情報の中継を継続しつつ、車両の走行に影響を与えない機能部間の情報の中継を停止することにより、車両の良好な走行を維持しながら車載ネットワークにおけるセキュリティの低下を抑制することができる。

　（４）好ましくは、前記中継処理部は、前記機能部から受信する情報の種別に応じて、前記認証処理部による前記延長認証情報を用いた前記認証処理が成功した場合において中継を行うか否かを決定する。

　このような構成により、機能部から受信する情報の種別に応じて、延長処理を行った場合に中継する情報の一部を制限することができるため、たとえば車両の走行に影響を与える情報の中継を継続しつつ、車両の走行に影響を与えない情報の中継を停止することにより、車両の良好な走行を維持しながら車載ネットワークにおけるセキュリティの低下を抑制することができる。

　（５）好ましくは、前記認証処理部は、前記認証情報を取得するたびに異なる内容となる前記認証情報を前記外部装置から取得する。

　このような構成により、有効期限が切れるたびに新たな内容の認証情報を取得し、当該認証情報を用いて機能部の認証処理を行うことができるため、車載ネットワークにおけるセキュリティをより向上させることができる。

　（６）好ましくは、前記認証処理部は、前記中継装置と前記外部装置との通信が可能であり、かつ前記認証情報の有効期限が切れている状態において、前記車両が走行中である場合、前記外部装置から新たな前記認証情報を取得することなく、前記認証情報の有効性を維持する延長処理を行う。

　このような構成により、たとえば、新たな認証情報を用いて認証処理を行うことにより認証エラーが発生し、車両の走行中において機能部間の情報の一部または全部の中継が停止することを回避し、車両の良好な走行を維持することができる。

　（７）本開示の実施の形態に係る車両通信方法は、複数の機能部を備える車両に搭載される中継装置における車両通信方法であって、前記機能部の認証情報を前記車両の外部における外部装置から取得するステップと、取得した前記認証情報を用いて前記機能部の認証処理を行うステップと、前記認証処理の結果に基づいて、前記機能部および他の前記機能部間の情報を中継するステップと、前記認証情報の有効期限が切れた場合、前記外部装置から新たな前記認証情報を取得するステップとを含む。

　このように、機能部の認証情報を車両の外部における外部装置から取得する方法により、車載ネットワークに新たな未知の機能部が追加された場合であっても、当該機能部の認証情報を取得することができる。さらに、有効期限が切れた場合に新たな認証情報を取得し、取得した認証情報を用いた機能部の認証処理を行い、認証処理の結果に基づいて、機能部間の情報を中継する方法により、車載ネットワークのセキュリティを保証することができるとともに、車両の走行環境によって中継装置および外部装置間の通信環境が悪く、外部装置から新たな認証情報を取得することが困難な状況においても、継続して認証情報を用いて機能部の認証処理を行うことができる。したがって、車載ネットワークにおけるセキュリティを向上させることができる。

　以下、本開示の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。

　［通信システム］
　図１は、本開示の実施の形態に係る通信システムの構成を示す図である。

　図１を参照して、通信システム４０１は、サーバ１８１と、車載通信システム３０１とを備える。車載通信システム３０１は、車両１に搭載される。

　図２は、本発明の実施の形態に係る車載通信システムの構成を示す図である。

　図２を参照して、車載通信システム３０１は、車載ＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）２００Ａ～２００Ｄと、中継装置１００とを備える。

　以下、車載ＥＣＵ２００Ａ～２００Ｄの各々を、車載ＥＣＵ２００とも称する。車載ＥＣＵ２００および中継装置１００は、車載装置の一例である。

　なお、車載通信システム３０１は、４つの車載ＥＣＵ２００を備える構成に限らず、３つ以下、または５つ以上の車載ＥＣＵ２００を備える構成であってもよい。また、車載通信システム３０１は、１つの中継装置１００を備える構成に限らず、２つ以上の中継装置１００を備える構成であってもよい。

　車載ＥＣＵ２００および中継装置１００は、車載ネットワーク１２を構成する。車載ＥＣＵ２００は、車載ネットワーク１２における機能部の一例である。

　車載ネットワーク１２では、車載ＥＣＵ２００は、たとえば、イーサネット（登録商標）ケーブル１３を介して中継装置１００に接続される。

　中継装置１００は、たとえば、スイッチ装置であり、自己に接続される複数の車載ＥＣＵ２００間の情報を中継可能である。より詳細には、中継装置１００は、たとえば、レイヤ２、およびレイヤ２よりも上位のレイヤ３に従って中継処理を行うことが可能である。

　車載ＥＣＵ２００Ａは、たとえばＴＣＵ（Ｔｅｌｅｍａｔｉｃｓ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｕｎｉｔ）である。以下、車載ＥＣＵ２００Ａを、ＴＣＵ２００Ａとも称する。

　車載ＥＣＵ２００Ｂ～２００Ｄは、たとえば、自動運転ＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）、センサ、ナビゲーション装置、アクセル制御ＥＣＵ、ブレーキ制御ＥＣＵ、ステアリング制御ＥＣＵ、およびヒューマンマシンインタフェース等である。

　たとえば、車載ＥＣＵ２００Ｄは、初期状態では中継装置１００に接続されていない。車載ＥＣＵ２００Ｄは、たとえば、車両１の製造工場、車両１のディーラ、および車両１のアフターパーツの販売店等のいずれかにおいて車両１に設置され、イーサネットケーブルを介して中継装置１００に接続される。

　中継装置１００は、イーサネットの通信規格に従って、イーサネットフレームの中継処理を行う。具体的には、中継装置１００は、たとえば、車載ＥＣＵ２００間でやり取りされるイーサネットフレームを中継する。イーサネットフレームには、ＩＰパケットが格納される。

　なお、車載通信システム３０１では、イーサネットの通信規格に従ってイーサネットフレームの中継が行われる構成に限らず、たとえば、ＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）（登録商標）、ＦｌｅｘＲａｙ（登録商標）、ＭＯＳＴ（Ｍｅｄｉａ　Ｏｒｉｅｎｔｅｄ　Ｓｙｓｔｅｍｓ　Ｔｒａｎｓｐｏｒｔ）（登録商標）およびＬＩＮ（Ｌｏｃａｌ　Ｉｎｔｅｒｃｏｎｎｅｃｔ　Ｎｅｔｗｏｒｋ）等の通信規格に従ってデータの中継が行われる構成であってもよい。

　図１および図２を参照して、ＴＣＵ２００Ａは、車両１の外部のサーバ１８１と通信を行うことが可能である。詳細には、ＴＣＵ２００Ａは、たとえば、ＩＰパケットを用いて無線基地局装置１６１経由でサーバ１８１と通信することが可能である。

　より詳細には、ＴＣＵ２００Ａは、たとえば、ＬＴＥ（Ｌｏｎｇ　Ｔｅｒｍ　Ｅｖｏｌｕｔｉｏｎ）または３Ｇ等の通信規格に従って、車両１の外部の無線基地局装置１６１と無線通信を行うことが可能である。

　具体的には、無線基地局装置１６１は、車両１の外部のサーバ１８１から外部ネットワーク１１経由でＩＰパケットを受信すると、受信したＩＰパケットを無線信号に含めてＴＣＵ２００Ａへ送信する。

　ＴＣＵ２００Ａは、たとえば、サーバ１８１からのＩＰパケットを含む無線信号を無線基地局装置１６１から受信すると、受信した無線信号からＩＰパケットを取得し、取得したＩＰパケットをイーサネットフレームに格納して中継装置１００へ送信する。

　また、ＴＣＵ２００Ａは、中継装置１００からイーサネットフレームを受信すると、受信したイーサネットフレームからＩＰパケットを取得し、取得したＩＰパケットを無線信号に含めて無線基地局装置１６１へ送信する。

　無線基地局装置１６１は、ＴＣＵ２００Ａから無線信号を受信すると、受信した無線信号からＩＰパケットを取得し、取得したＩＰパケットを外部ネットワーク１１経由でサーバ１８１へ送信する。

　[車載ＥＣＵ]
　図３は、本開示の実施の形態に係る車載ＥＣＵの構成を示す図である。

　図３を参照して、車載ＥＣＵ２００は、通信部２１０と、処理部２２０と、認証要求部２３０と、記憶部２４０とを備える。記憶部２４０は、たとえばフラッシュメモリである。

　通信部２１０は、中継装置１００から対応のイーサネットケーブル１３経由でイーサネットフレームを受信すると、受信したイーサネットフレームを処理部２２０へ出力する。

　処理部２２０は、通信部２１０から受けたイーサネットフレームに含まれる情報を取得し、取得した情報を用いて所定の処理を行う。

　また、処理部２２０は、他の車載ＥＣＵ２００宛のイーサネットフレームを生成し、生成したイーサネットフレームを通信部２１０へ出力する。

　通信部２１０は、処理部２２０からイーサネットフレームを受けると、受けたイーサネットフレームを対応のイーサネットケーブル１３経由で中継装置１００へ送信する。

　また、処理部２２０は、通信部２１０から受けたイーサネットフレームから、後述する共通鍵を取得すると、取得した共通鍵を認証要求部２３０へ出力する。

　認証要求部２３０は、処理部２２０から共通鍵を受けると、受けた共通鍵を記憶部２４０に保存する。

　また、認証要求部２３０は、自己の車載ＥＣＵ２００がイーサネットケーブル１３を介して中継装置１００に接続されると、自己のＩＤたとえばＭＡＣアドレスを含む認証要求情報が格納されたイーサネットフレームを生成し、生成したイーサネットフレームを通信部２１０経由で中継装置１００へ送信する。

　[中継装置]
　図４は、本開示の実施の形態に係る中継装置の構成を示す図である。

　図４を参照して、中継装置１００は、通信ポート５２Ａ，５２Ｂ，５２Ｃ，５２Ｄと、通信部１１０と、中継処理部１２０と、検知部１３０と、認証処理部１４０と、記憶部１５０と、タイマ１６０とを備える。記憶部１５０は、たとえばフラッシュメモリである。

　たとえば、中継装置１００は、通信ポート５２Ａ，５２Ｂ，５２Ｃ，５２Ｄに対応する数のタイマ１６０を備える。具体的には、中継装置１００は、タイマ１６０として、タイマ１６０Ａ，１６０Ｂ，１６０Ｃ，１６０Ｄを備える。

　以下、通信ポート５２Ａ，５２Ｂ，５２Ｃ，５２Ｄの各々を、通信ポート５２とも称する。通信ポート５２は、たとえば、イーサネットケーブルを接続可能な端子である。

　この例では、通信ポート５２Ａ，５２Ｂ，５２Ｃは、それぞれＴＣＵ２００Ａ，車載ＥＣＵ２００Ｂ，車載ＥＣＵ２００Ｃに接続されている。

　通信部１１０は、ある車載ＥＣＵ２００から対応の通信ポート５２経由でイーサネットフレームを受信すると、受信したイーサネットフレームを中継処理部１２０へ出力する。

　また、通信部１１０は、ある車載ＥＣＵ２００宛のイーサネットフレームを中継処理部１２０から受けると、受けたイーサネットフレームを対応の通信ポート５２経由で当該車載ＥＣＵ２００へ送信する。

　中継処理部１２０は、車載ＥＣＵ２００間のイーサネットフレームの中継処理を行う。具体的には、中継処理部１２０は、たとえば、通信部１１０からイーサネットフレームを受けると、受けたイーサネットフレームに対してレイヤ２の中継処理およびレイヤ３の中継処理を行う。

　また、中継処理部１２０は、車載ネットワーク１２に新たに追加される車載ＥＣＵ２００から認証要求情報が格納されたイーサネットフレームを受信すると、受信したイーサネットフレームから認証要求情報を取得し、取得した認証要求情報を検知部１３０へ出力する。

　［検知部］
　検知部１３０は、車載ネットワーク１２に新たに追加された新規機能部を検知する。たとえば、検知部１３０は、新規機能部として、車載ネットワーク１２に新たに追加された車載ＥＣＵ２００Ｄを検知する。

　図２および図４を参照して、車載ＥＣＵ２００Ｄは、イーサネットケーブル１３を介して中継装置１００における通信ポート５２Ｄに接続される。

　中継装置１００における検知部１３０は、認証要求情報を中継処理部１２０経由で車載ＥＣＵ２００Ｄから受信することにより、車載ネットワーク１２への車載ＥＣＵ２００Ｄの追加を検知する。

　検知部１３０は、中継処理部１２０から受信した認証要求情報を認証処理部１４０へ出力する。

　［認証処理部］
　認証処理部１４０は、車載ＥＣＵ２００の認証情報を車両１の外部における外部装置から取得する。

　より詳細には、認証処理部１４０は、検知部１３０から認証要求情報を受けると、たとえばＩＥＥＥ８０２．１Ｘに従う手順で、認証要求情報が示す新規機能部である車載ＥＣＵ２００Ｄの認証情報をサーバ１８１から取得する。

　サーバ１８１は、たとえばＩＥＥＥ８０２．１Ｘに従う手順で、認証プロトコルを用いて車載ＥＣＵ２００の認証処理を行うことにより、車載ＥＣＵ２００の認証情報を生成する。以下、サーバ１８１による車載ＥＣＵ２００の認証処理を、車外認証処理とも称する。

　ここで、サーバ１８１による車外認証処理における認証方式として、認証処理に用いる認証プロトコルの別に応じて、たとえば、ＥＡＰ（Ｅｘｔｅｎｄｅｄ　Ａｕｔｈｅｎｔｉｃａｔｉｏｎ　Ｐｒｏｔｏｃｏｌ）－ＭＤ（Ｍｅｓｓｅｇｅ　Ｄｉｇｅｓｔ　ａｌｇｏｒｉｔｈｍ）５、ＥＡＰ－ＴＬＳ（Ｔｒａｎｓｐｏｒｔ　Ｌａｙｅｒ　Ｓｅｃｕｒｉｔｙ）、ＰＥＡＰ（Ｐｒｏｔｅｃｔｅｄ　ＥＡＰ）、ＬＥＡＰ（Ｌｉｇｈｔｗｅｉｇｈｔ　ＥＡＰ）およびＥＡＰ－ＴＴＬＳ（ＥＡＰ－Ｔｕｎｎｅｌｅｄ　Ｔｒａｎｓｐｏｒｔ　Ｌａｙｅｒ　Ｓｅｃｕｒｉｔｙ）等がある。

　たとえば、記憶部１５０は、サーバ１８１による車外認証処理における認証方式を記憶している。

　認証処理部１４０は、検知部１３０から認証要求情報を受けると、サーバ１８１による車外認証処理における認証方式を記憶部１５０から取得し、取得した認証方式を示す認証方式情報を、中継処理部１２０および通信部１１０経由で認証要求情報が示す新規機能部である車載ＥＣＵ２００Ｄへ送信する。

　車載ＥＣＵ２００Ｄおよびサーバ１８１は、中継装置１００を介して、車外認証処理に必要な情報を含むＥＡＰメッセージのやり取りを行う。

　中継装置１００における認証処理部１４０は、サーバ１８１および車載ＥＣＵ２００Ｄ間においてやり取りされるＥＡＰメッセージ等を中継する。

　より詳細には、認証処理部１４０は、ＥＡＰメッセージが格納されたイーサネットフレームを通信部１１０および中継処理部１２０経由で車載ＥＣＵ２００Ｄから受信すると、受信したイーサネットフレームをＲＡＤＩＵＳ（Ｒｅｍｏｔｅ　Ａｕｔｈｅｎｔｉｃａｔｉｏｎ　Ｄｉａｌ　Ｉｎ　Ｕｓｅｒ　Ｓｅｒｖｉｃｅ）フレームに変換し、変換したＲＡＤＩＵＳフレームを通信部１１０およびＴＣＵ２００Ａ経由でサーバ１８１へ送信する。

　また、認証処理部１４０は、ＲＡＤＩＵＳフレームをＴＣＵ２００Ａ、通信部１１０および中継処理部１２０経由でサーバ１８１から受信すると、受信したＲＡＤＩＵＳフレームをイーサネットフレームに変換し、変換したイーサネットフレームを通信部１１０経由で車載ＥＣＵ２００Ｄへ送信する。

　サーバ１８１は、中継装置１００経由で車載ＥＣＵ２００から受信したＥＡＰメッセージを用いて車載ＥＣＵ２００Ｄの車外認証処理を行う。そして、サーバ１８１は、車外認証処理により車載ＥＣＵ２００Ｄの認証に成功すると、認証成功を示す認証情報を生成し、生成した認証情報を無線基地局装置１６１およびＴＣＵ２００Ａ経由で中継装置１００へ送信する。

　一方、サーバ１８１は、車載ＥＣＵ２００Ｄの認証に失敗すると、認証失敗を示す認証情報を生成し、生成した認証情報を無線基地局装置１６１およびＴＣＵ２００Ａ経由で中継装置１００へ送信する。

　認証処理部１４０は、ＴＣＵ２００Ａ、通信部１１０および中継処理部１２０経由でサーバ１８１から認証成功を示す認証情報を受信すると、車外認証処理が成功した旨を示す車外認証成功情報を生成し、生成した車外認証成功情報を中継処理部１２０へ出力する。

　中継処理部１２０は、認証処理部１４０から車外認証成功情報を受けると、受けた車外認証成功情報を通信部１１０経由で車載ＥＣＵ２００Ｄへ送信する。

　ここで、認証処理部１４０は、通信部１１０および中継処理部１２０経由でサーバ１８１から認証成功を示す認証情報を受信すると、車載ＥＣＵ２００ごとに、認証情報の有効時間をタイマ１６０にセットする。

　たとえば、認証処理部１４０は、通信ポート５２Ａに接続されるＴＣＵ２００Ａの認証情報の有効時間をタイマ１６０Ａにセットし、通信ポート５２Ａに接続される車載ＥＣＵ２００Ｂの認証情報の有効時間をタイマ１６０Ｂにセットし、通信ポート５２Ｃに接続される車載ＥＣＵ２００Ｃの認証情報の有効時間をタイマ１６０Ｃにセットし、通信ポート５２Ｄに接続される車載ＥＣＵ２００Ｄの認証情報の有効時間をタイマ１６０Ｄセットする。

　一方、認証処理部１４０は、ＴＣＵ２００Ａ、通信部１１０および中継処理部１２０経由でサーバ１８１から認証失敗を示す認証情報を受信すると、接続不許可情報を中継処理部１２０へ出力する。

　中継処理部１２０は、認証処理部１４０から接続不許可情報を受けると、受けた接続不許可情報を通信部１１０経由で車載ＥＣＵ２００Ｄへ送信する。

　認証処理部１４０は、サーバ１８１から取得した、認証成功を示す認証情報を用いて車載ＥＣＵ２００の認証処理を行う。以下、認証処理部１４０による車載ＥＣＵ２００の認証処理を、車内認証処理とも称する。

　中継処理部１２０は、認証処理部１４０による車内認証処理の結果に基づいて、車載ＥＣＵ２００間の情報を中継する。

　（認証例１）
　たとえば、認証処理部１４０がサーバ１８１から受信する、認証成功を示す認証情報には、共通鍵が含まれる。

　認証処理部１４０は、ＴＣＵ２００Ａ、通信部１１０および中継処理部１２０経由でサーバ１８１から車載ＥＣＵ２００の認証情報を受信すると、受信した認証情報の所定の有効時間を対応のタイマ１６０にセットする。

　そして、認証処理部１４０は、受信した認証情報から共通鍵を取得し、取得した共通鍵を当該車載ＥＣＵ２００に対応付けて記憶部１５０に保存する。たとえば、認証処理部１４０は、取得した共通鍵を通信ポート５２に対応付けて記憶部１５０に保存する。

　また、認証処理部１４０は、当該共通鍵を含む車外認証成功情報を生成し、生成した車外認証成功情報を通信部１１０経由で対応の車載ＥＣＵ２００へ送信する。

　再び図３を参照して、車載ＥＣＵ２００における認証要求部２３０は、通信部２１０経由で中継装置１００における認証処理部１４０から車外認証成功情報を受信すると、受信した車外認証成功情報から共通鍵を取得し、取得した共通鍵を記憶部２４０に保存する。

　中継装置１００における認証処理部１４０は、たとえば、定期的または不定期に、記憶部１５０における共通鍵を用いて、各車載ＥＣＵ２００の車内認証処理を行う。

　具体的には、認証処理部１４０は、たとえば、乱数を生成し、生成した乱数を通信部１１０経由で対応の車載ＥＣＵ２００へ送信する。また、認証処理部１４０は、生成した乱数を、共通鍵を用いて暗号化することにより、暗号データを生成する。

　車載ＥＣＵ２００における認証要求部２３０は、当該乱数を受信すると、受信した乱数を、記憶部２４０における共通鍵を用いて暗号化することにより、暗号データを生成する。車載ＥＣＵ２００は、生成した暗号データを中継装置１００へ送信する。

　中継装置１００における認証処理部１４０は、通信部１１０経由で車載ＥＣＵ２００から暗号データを受信すると、受信した暗号データと自己が生成した暗号データとを照合する。

　認証処理部１４０は、車載ＥＣＵ２００から受信した暗号データと自己が生成した暗号データとが一致した場合、当該車載ＥＣＵ２００の車内認証処理に成功したと判断する。そして、認証処理部１４０は、車載ＥＣＵ２００の認証が成功した旨を示す車内認証成功情報を中継処理部１２０へ出力する。

　中継処理部１２０は、認証処理部１４０から車内認証成功情報を受けると、車載ＥＣＵ２００および他の車載ＥＣＵ２００間の情報の中継を開始または継続する。

　より詳細には、中継処理部１２０は、認証処理部１４０から車内認証成功情報を受けると、車載ＥＣＵ２００および他の車載ＥＣＵ２００間のイーサネットフレームの中継を開始または継続する。

　一方、認証処理部１４０は、車載ＥＣＵ２００から受信した暗号データと自己が生成した暗号データとが一致しなかった場合、当該車載ＥＣＵ２００の車内認証処理に失敗したと判断する。そして、認証処理部１４０は、車載ＥＣＵ２００の認証が失敗した旨を示す車内認証失敗情報を中継処理部１２０へ出力する。

　中継処理部１２０は、認証処理部１４０から車内認証失敗情報を受けると、車載ＥＣＵ２００および他の車載ＥＣＵ２００間の情報の中継を停止する。

　より詳細には、中継処理部１２０は、認証処理部１４０から車内認証失敗情報を受けると、車載ＥＣＵ２００から受信したイーサネットフレーム、および他の車載ＥＣＵ２００から受信した当該車載ＥＣＵ２００宛のイーサネットフレームの破棄を開始する。

　また、認証処理部１４０は、車載ＥＣＵ２００の車内認証処理に失敗した場合、たとえばＩＥＥＥ８０２．１Ｘに従う手順で、当該車載ＥＣＵ２００の新たな認証情報をサーバ１８１から取得する。

　認証処理部１４０は、新たな認証情報として、認証成功を示す認証情報をサーバ１８１から受信すると、受信した認証情報に含まれる共通鍵を記憶部１５０に保存するとともに、新たな認証情報の所定の有効時間をタイマ１６０にセットする。また、認証処理部１４０は、当該共通鍵を中継処理部１２０および通信部１１０経由で車載ＥＣＵ２００へ送信する。

　そして、認証処理部１４０は、当該共通鍵を用いて、車載ＥＣＵ２００の車内認証処理を再び行う。具体的には、認証処理部１４０は、乱数および暗号データの生成、生成した暗号データの車載ＥＣＵ２００への送信、および車載ＥＣＵ２００から受信した暗号データと自己が生成した暗号データとの照合を行う。

　一方、認証処理部１４０は、新たな認証情報として、認証失敗を示す認証情報をサーバ１８１から受信すると、接続不許可情報を中継処理部１２０へ出力する。

　（認証例２）
　たとえば、認証処理部１４０がサーバ１８１から受信する認証情報には、サーバ１８１において認証済の車載ＥＣＵ２００のＭＡＣアドレスが含まれる。以下、認証済の車載ＥＣＵ２００のＭＡＣアドレスを認証済ＭＡＣアドレスとも称する。

　認証処理部１４０は、認証処理部１４０は、ＴＣＵ２００Ａ、通信部１１０および中継処理部１２０経由でサーバ１８１から車載ＥＣＵ２００の認証情報を受信すると、受信した認証情報の所定の有効時間を対応のタイマ１６０にセットする。

　そして、認証処理部１４０は、受信した認証情報から認証済ＭＡＣアドレスを取得し、取得した認証済ＭＡＣアドレスを当該車載ＥＣＵ２００に対応付けて記憶部１５０に保存する。たとえば、認証処理部１４０は、取得した認証済ＭＡＣアドレスを通信ポート５２に対応付けて記憶部１５０に保存する。

　また、認証処理部１４０は、車外認証成功情報を通信部１１０経由で対応の車載ＥＣＵ２００へ送信する。

　認証処理部１４０は、たとえば、定期的または不定期に、記憶部１５０における認証済ＭＡＣアドレスを用いて、各車載ＥＣＵ２００の認証処理を行う。

　たとえば、認証処理部１４０は、通信部１１０が通信ポート５２経由で対応の車載ＥＣＵ２００から受信したイーサネットフレームに含まれる送信元ＭＡＣアドレスを取得し、取得した送信元ＭＡＣアドレスと、当該通信ポート５２と対応付けられた認証済ＭＡＣアドレスとを照合する。

　認証処理部１４０は、取得した送信元ＭＡＣアドレスと当該認証済ＭＡＣアドレスとが一致した場合、当該車載ＥＣＵ２００の認証が成功した旨を示す車内認証成功情報を中継処理部１２０へ出力する。

　一方、認証処理部１４０は、取得した送信元ＭＡＣアドレスと認証済ＭＡＣアドレスとが一致しなかった場合、車載ＥＣＵ２００の認証が失敗した旨を示す車内認証失敗情報を中継処理部１２０へ出力する。

　中継処理部１２０は、認証処理部１４０から車内認証失敗情報を受けると、車載ＥＣＵ２００から受信したイーサネットフレーム、および他の車載ＥＣＵ２００から受信した当該車載ＥＣＵ２００宛のイーサネットフレームの破棄を開始する。

　また、認証処理部１４０は、車載ＥＣＵ２００の車内認証処理に失敗した場合、たとえばＩＥＥＥ８０２．１Ｘに従う手順で、当該通信ポート５２に接続された車載ＥＣＵ２００の新たな認証情報をサーバ１８１から取得する。

　認証処理部１４０は、新たな認証情報として、認証成功を示す認証情報をサーバ１８１から受信すると、受信した認証情報に含まれる認証済ＭＡＣアドレスを記憶部１５０に保存するとともに、新たな認証情報の所定の有効時間をタイマ１６０にセットする。

　そして、認証処理部１４０は、当該認証済ＭＡＣアドレスを用いて、車載ＥＣＵ２００の認証処理を再び行う。具体的には、認証処理部１４０は、通信部１１０が通信ポート５２経由で受信したイーサネットフレームに含まれる送信元ＭＡＣアドレスを取得し、取得した送信元ＭＡＣアドレスと、当該通信ポート５２と対応付けられた認証済ＭＡＣアドレスとを照合する。

　［認証情報の更新］
　認証処理部１４０は、ある車載ＥＣＵ２００の認証情報の有効期限が切れた場合、サーバ１８１から当該車載ＥＣＵ２００の新たな認証情報を取得する。

　より詳細には、認証処理部１４０は、対応の車載ＥＣＵ２００のタイマ１６０が満了すると、記憶部１５０における共通鍵または認証済ＭＡＣアドレスを破棄する。

　そして、認証処理部１４０は、たとえばＩＥＥＥ８０２．１Ｘに従う手順で、車載ＥＣＵ２００の新たな認証情報をサーバ１８１から取得する。

　たとえば、サーバ１８１は、車外認証処理を行って認証に成功するたびに、異なる内容の認証情報を生成する。より詳細には、サーバ１８１は、車外認証処理を行って認証に成功するたびに、異なる共通鍵を含む認証情報を生成する。

　すなわち、認証処理部１４０は、認証情報を取得するたびに異なる内容となる当該認証情報をサーバ１８１から取得する。より詳細には、認証処理部１４０は、取得するたびに共通鍵が更新される認証情報をサーバ１８１から取得する。

　認証処理部１４０は、サーバ１８１から新たな認証情報を受信すると、受信した認証情報に含まれる共通鍵を記憶部１５０に保存するとともに、認証情報の所定の有効時間をタイマ１６０にセットする。また、認証処理部１４０は、当該共通鍵を中継処理部１２０および通信部１１０経由で車載ＥＣＵ２００へ送信する。

　［延長処理］
　認証処理部１４０は、認証情報の有効期限が切れた場合であって、かつ中継装置１００がサーバ１８１と通信できない場合、認証情報の有効性を維持する延長処理を行う。

　たとえば、認証処理部１４０は、タイマ１６０が満了すると、サーバ１８１との通信が可能な状況であるか否かを確認するために、通信部１１０およびＴＣＵ２００Ａ経由で通信確認要求をサーバ１８１へ送信する。

　サーバ１８１は、当該通信確認要求を受信すると、当該通信確認要求に対する応答として、通信可能情報を無線基地局装置１６１およびＴＣＵ２００Ａ経由で中継装置１００へ送信する。

　認証処理部１４０は、通信部１１０および中継処理部１２０経由でサーバ１８１から通信可能情報を受信すると、記憶部１５０における対応の車載ＥＣＵ２００の共通鍵または認証済ＭＡＣアドレスを削除する。

　一方、認証処理部１４０は、通信確認要求を送信してから所定期間内に通信可能情報を受信できなかった場合、中継装置１００とサーバ１８１とが通信できない状態であると判断し、認証情報の有効性を維持する延長処理を行う。

　より詳細には、認証処理部１４０は、記憶部１５０における対応の車載ＥＣＵ２００の共通鍵または認証済ＭＡＣアドレスを破棄することなく、認証情報の所定の延長時間をタイマ１６０にセットする。

　あるいは、認証処理部１４０は、たとえば、中継装置１００とサーバ１８１との通信が可能であり、かつ認証情報の有効期限が切れている状態において、車両１が走行中である場合、サーバ１８１から新たな認証情報を取得することなく、延長処理を行う。

　たとえば、認証処理部１４０は、自動運転ＥＣＵ等の車載ＥＣＵ２００から、車両１が走行中であるか否かを示す情報を通信部１１０および中継処理部１２０経由で取得する。

　認証処理部１４０は、通信部１１０および中継処理部１２０経由でサーバ１８１から通信可能情報を受信した場合であっても、車両１が走行中である場合、記憶部１５０における対応の車載ＥＣＵ２００の共通鍵または認証済ＭＡＣアドレスを破棄することなく、認証情報の所定の延長時間をタイマ１６０にセットする。

　認証処理部１４０は、延長処理後、有効性を維持した認証情報である延長認証情報を用いて対応の車載ＥＣＵ２００の車内認証処理を行う。具体的には、延長認証情報に対応する、記憶部１５０における共通鍵または認証済ＭＡＣアドレスを用いて、車載ＥＣＵ２００の認証処理を行う。

　認証処理部１４０は、延長認証情報を用いて車載ＥＣＵ２００の認証処理を行った結果、車載ＥＣＵ２００の認証に成功すると、延長認証成功情報を中継処理部１２０へ出力する。

　中継処理部１２０は、認証処理部１４０から当該延長認証成功情報を受信すると、車載ＥＣＵ２００および他の車載ＥＣＵ２００間の情報の中継を継続する。

　認証処理部１４０は、延長処理を行った後、定期的または不定期に、通信確認要求をサーバ１８１へ送信し、新たな認証情報の取得を試みる。

　認証処理部１４０は、新たな認証情報を取得するまで、延長認証情報を用いて車載ＥＣＵ２００の認証処理を行う。

　［延長認証情報に基づく中継処理］
　中継処理部１２０は、車載ＥＣＵ２００の種別に応じて、認証処理部１４０による延長認証情報を用いた認証処理が成功した場合において中継すべき情報の内容を決定する。

　あるいは、中継処理部１２０は、車載ＥＣＵ２００から受信する情報の種別に応じて、認証処理部１４０による延長認証情報を用いた認証処理が成功した場合において中継を行うか否かを決定する。

　中継処理部１２０は、車載ＥＣＵ２００から受信した情報および当該車載ＥＣＵ２００宛の情報のうち、認証処理部１４０から延長認証成功情報を受けた場合において中継すべき情報の内容を決定する。

　たとえば、認証処理部１４０がサーバ１８１から受信する認証情報には、対応の車載ＥＣＵ２００の通信対象である車載ＥＣＵ２００の、ＭＡＣアドレス、ＩＰアドレスおよびポート番号、ならびに当該対応の車載ＥＣＵ２００のポート番号等が含まれる。

　認証処理部１４０は、認証情報からこれらの情報を取得すると、取得した情報を中継処理部１２０へ出力する。

　中継処理部１２０は、認証処理部１４０から受けた情報に基づいて、認証処理部１４０から延長認証成功情報を受けた場合において中継すべき情報の内容を決定する。

　たとえば、中継処理部１２０は、自動運転ＥＣＵ等の、車両１の運転状況に影響を与える車載ＥＣＵ２００および他の車載ＥＣＵ間の情報はすべて中継する。一方で、中継処理部１２０は、車両１の運転状況に影響を与えない車載ＥＣＵ２００および他の車載ＥＣＵ間の情報の中継を停止する。

　また、たとえば、中継処理部１２０は、対応の車載ＥＣＵ２００からの情報のポート番号、および対応の車載ＥＣＵ２００の通信対象である車載ＥＣＵ２００からの情報のポート番号に基づいて、車両１の運転状況に影響を与える情報を判別し、車載ＥＣＵ２００および他の車載ＥＣＵ間の情報のうち、車両１の運転状況に影響を与える情報はすべて中継する。

　なお、中継処理部１２０は、車載ＥＣＵ２００の種別および当該車載ＥＣＵ２００から受信する情報の種別の両方に応じて、認証処理部１４０による延長認証情報を用いた認証処理が成功した場合において一部または全部の情報の中継を行うか否かを決定する構成であってもよい。

　［動作の流れ］
　本開示の実施の形態に通信システムにおける各装置は、メモリを含むコンピュータを備え、当該コンピュータにおけるＣＰＵ等の演算処理部は、以下のフローチャートおよびシーケンスの各ステップの一部または全部を含むプログラムを当該メモリから読み出して実行する。これら複数の装置のプログラムは、それぞれ、外部からインストールすることができる。これら複数の装置のプログラムは、それぞれ、記録媒体に格納された状態で流通する。

　図５は、本開示の実施の形態に係る通信システムにおける中継装置が、認証処理の結果に基づいて車載ＥＣＵ間の情報を中継する際の動作手順を定めたフローチャートである。

　図５を参照して、まず、中継装置１００は、車載ネットワーク１２への新規機能部の追加を待ち受け（ステップＳ１０２でＮＯ）、車載ネットワーク１２への車載ＥＣＵ２００Ｄの追加を検知すると（ステップＳ１０２でＹＥＳ）、検知した車載ＥＣＵ２００Ｄの認証情報をサーバ１８１から取得する（ステップＳ１０４）。

　次に、中継装置１００は、認証失敗を示す認証情報をサーバ１８１から取得すると（ステップＳ１０６でＮＯ）、接続不許可情報を車載ＥＣＵ２００Ｄへ送信する（ステップＳ１０８）。

　次に、中継装置１００は、車載ネットワーク１２への新たな新規機能部の追加を待ち受ける（ステップＳ１０２でＮＯ）。

　一方、中継装置１００は、認証成功を示す認証情報をサーバ１８１から取得すると（ステップＳ１０６でＹＥＳ）、車外認証成功情報を対応の車載ＥＣＵ２００Ｄへ送信する（ステップＳ１１０）。

　次に、中継装置１００は、サーバ１８１から取得した認証情報を用いて車載ＥＣＵ２００Ｄの車内認証処理を行う（ステップＳ１１２）。

　次に、中継装置１００は、車載ＥＣＵ２００Ｄの車内認証処理に失敗すると（ステップＳ１１４でＹＥＳ）、車載ＥＣＵ２００Ｄおよび他の車載ＥＣＵ２００間の情報の中継を停止する（ステップＳ１１６）。

　次に、中継装置１００は、車載ＥＣＵ２００Ｄの新たな認証情報をサーバ１８１から取得する（ステップＳ１０４）。

　一方、中継装置１００は、車載ＥＣＵ２００Ｄの車内認証処理に成功すると（ステップＳ１１４でＮＯ）、車載ＥＣＵ２００Ｄおよび他の車載ＥＣＵ２００間の情報の中継を開始または継続する（ステップＳ１１８）。

　次に、中継装置１００は、車載ＥＣＵ２００Ｄの認証情報の有効期限が切れていない場合（ステップＳ１２０でＮＯ）、次の車内認証処理のタイミングで、当該認証情報を用いて車載ＥＣＵ２００Ｄの車内認証処理を行う（ステップＳ１１２）。

　一方、中継装置１００は、車載ＥＣＵ２００Ｄの認証情報の有効期限が切れると（ステップＳ１２０でＹＥＳ）、サーバ１８１との通信が可能な状況であるか否かを確認する（ステップＳ１２２）。

　次に、中継装置１００は、サーバ１８１との通信が可能な状況であり（ステップＳ１２２でＹＥＳ）、かつ車両１が走行中ではない場合（ステップＳ１２４でＹＥＳ）、車載ＥＣＵ２００Ｄの新たな認証情報をサーバ１８１から取得する（ステップＳ１０４）。

　一方、中継装置１００は、サーバ１８１との通信が可能な状況ではない場合（ステップＳ１２２でＮＯ）、または、サーバ１８１との通信が可能な状況であり（ステップＳ１２２でＹＥＳ）、かつ車両１が走行中である場合（ステップＳ１２４でＮＯ）、延長処理を行う（ステップＳ１２６）。

　次に、中継装置１００は、次の車内認証処理のタイミングで、延長処理により有効性を維持した認証情報である延長認証情報を用いて、車載ＥＣＵ２００Ｄの車内認証処理を行う（ステップＳ１１２）。

　図６は、本開示の実施の形態に係る通信システムにおける車外認証処理のシーケンスの一例を示す図である。

　図６を参照して、まず、車載ネットワーク１２に新たに追加される新規機能部である車載ＥＣＵ２００Ｄは、中継装置１００に接続されると、自己のＭＡＣアドレスを含む認証要求情報を中継装置１００へ送信する（ステップＳ２０２）。

　次に、中継装置１００は、車載ＥＣＵ２００Ｄから認証要求情報を受信すると、車外認証処理における認証方式を示す認証方式情報を車載ＥＣＵ２００Ｄへ送信する（ステップＳ２０４）。

　次に、車載ＥＣＵ２００Ｄおよびサーバ１８１は、中継装置１００を介して、車外認証処理に必要な情報を含むＥＡＰメッセージのやり取りを行う（ステップＳ２０６）。

　次に、サーバ１８１は、中継装置１００経由で車載ＥＣＵ２００から受信したＥＡＰメッセージを用いて車載ＥＣＵ２００Ｄの車外認証処理を行う（ステップＳ２０８）。

　次に、サーバ１８１は、車外認証処理により車載ＥＣＵ２００Ｄの認証に成功すると、認証成功を示す認証情報を生成し、生成した認証情報を中継装置１００へ送信する（ステップＳ２１０）。

　次に、中継装置１００は、サーバ１８１から認証情報を受信すると、車外認証成功情報を車載ＥＣＵ２００Ｄへ送信する（ステップＳ２１２）。

　図７は、本開示の実施の形態に係る通信システムにおける車外認証処理および車内認証処理のシーケンスの一例を示す図である。

　図７を参照して、まず、中継装置１００は、共通鍵を用いた車内認証処理の結果に基づいて、車載ＥＣＵ２００Ｃおよび車載ＥＣＵ２００Ｄ間の情報の中継を行っている。すなわち、車載ＥＣＵ２００Ｃおよび車載ＥＣＵ２００Ｄは、中継装置１００による車内認証処理の結果に基づいて、中継装置１００を介して通信を行っている（ステップＳ３０２）。

　次に、中継装置１００は、車載ＥＣＵ２００Ｄの認証情報の有効期限が切れると、通信確認要求をサーバ１８１へ送信する（ステップＳ３０４）。

　次に、中継装置１００は、通信確認要求を送信してから所定時間内に通信可能情報をサーバ１８１から受信できなかった場合、中継装置１００とサーバ１８１とが通信できない状態であると判断し、共通鍵を含む認証情報の有効性を維持する延長処理を行う（ステップＳ３０６）。

　次に、中継装置１００は、共通鍵を用いた車内認証処理の結果に基づく車載ＥＣＵ２００Ｃおよび車載ＥＣＵ２００Ｄ間の情報の中継を継続する。そして、車載ＥＣＵ２００Ｃおよび車載ＥＣＵ２００Ｄは、中継装置１００による車内認証処理の結果に基づいて、中継装置１００を介して通信を行う（ステップＳ３０８）。

　次に、中継装置１００は、再び通信確認要求をサーバ１８１へ送信する（ステップＳ３１０）。

　次に、サーバ１８１は、通信確認要求を受信すると、当該通信確認要求に対する応答として、通信可能情報を中継装置１００へ送信する（ステップＳ３１２）。

　次に、車載ＥＣＵ２００Ｄおよびサーバ１８１は、中継装置１００を介して、車外認証処理に必要な情報を含むＥＡＰメッセージのやり取りを行う。そして、サーバ１８１は、中継装置１００経由で車載ＥＣＵ２００から受信したＥＡＰメッセージを用いて車載ＥＣＵ２００Ｄの車外認証処理を行う（ステップＳ３１４）。

　次に、サーバ１８１は、車外認証処理により車載ＥＣＵ２００Ｄの認証に成功すると、新たな共通鍵を含む認証情報を生成し、生成した認証情報を中継装置１００へ送信する（ステップＳ３１６）。

　次に、中継装置１００は、サーバ１８１から新たな共通鍵を含む認証情報を受信すると、新たな共通鍵を含む車外認証成功情報を車載ＥＣＵ２００Ｄへ送信する（ステップＳ３１８）。

　次に、中継装置１００は、新たな共通鍵を用いた車内認証処理の結果に基づく車載ＥＣＵ２００Ｃおよび車載ＥＣＵ２００Ｄ間の情報の中継を開始する。そして、車載ＥＣＵ２００Ｃおよび車載ＥＣＵ２００Ｄは、中継装置１００による車内認証処理の結果に基づいて、中継装置１００を介して通信を行う（ステップＳ３２０）。

　図８は、本開示の実施の形態に係る通信システムにおける車内認証処理のシーケンスの一例を示す図である。図８は、図７におけるステップＳ３０２，Ｓ３０８，Ｓ３２０の処理の詳細を示している。

　図８を参照して、まず、中継装置１００は、乱数を生成する（ステップＳ４０２）。

　次に、中継装置１００は、生成した乱数を、車内認証処理の対象である車載ＥＣＵ２００Ｄへ送信する（ステップＳ４０４）。

　次に、中継装置１００は、生成した乱数を、共通鍵を用いて暗号化することにより、暗号データを生成する（ステップＳ４０６）。

　また、車載ＥＣＵ２００Ｄは、中継装置１００から受信した乱数を、共通鍵を用いて暗号化することにより、暗号データを生成する（ステップＳ４０８）。

　次に、車載ＥＣＵ２００Ｄは、生成した暗号データを中継装置１００へ送信する（ステップＳ４１０）。

　中継装置１００は、車載ＥＣＵ２００Ｄから暗号データを受信すると、受信した暗号データと自己が生成した暗号データとを照合する（ステップＳ４１２）。

　次に、中継装置１００は、車載ＥＣＵ２００Ｄから受信した暗号データと自己が生成した暗号データとが一致した場合、車載ＥＣＵ２００Ｄの車内認証処理に成功したと判断し、車載ＥＣＵ２００Ｄおよび他の車載ＥＣＵ２００間の情報の中継を開始または継続する（ステップＳ４１４）。

　図９は、本開示の実施の形態に係る通信システムにおける車外認証処理および車内認証処理のシーケンスの他の例を示す図である。

　図９を参照して、まず、中継装置１００は、認証済ＭＡＣアドレスを用いた車内認証処理の結果に基づいて、車載ＥＣＵ２００Ｃおよび車載ＥＣＵ２００Ｄ間の情報の中継を行っている。すなわち、車載ＥＣＵ２００Ｃおよび車載ＥＣＵ２００Ｄは、中継装置１００による車内認証処理の結果に基づいて、中継装置１００を介して通信を行っている（ステップＳ５０２）。

　次に、中継装置１００は、車載ＥＣＵ２００Ｄの認証情報の有効期限が切れると、通信確認要求をサーバ１８１へ送信する（ステップＳ５０４）。

　次に、中継装置１００は、通信確認要求を送信してから所定時間内に通信可能情報をサーバ１８１から受信できなかった場合、中継装置１００とサーバ１８１とが通信できない状態であると判断し、認証済ＭＡＣアドレスを含む認証情報の有効性を維持する延長処理を行う（ステップＳ５０６）。

　次に、中継装置１００は、認証済ＭＡＣアドレスを用いた車内認証処理の結果に基づく車載ＥＣＵ２００Ｃおよび車載ＥＣＵ２００Ｄ間の情報の中継を継続する。そして、車載ＥＣＵ２００Ｃおよび車載ＥＣＵ２００Ｄは、中継装置１００による車内認証処理の結果に基づいて、中継装置１００を介して通信を行う（ステップＳ５０８）。

　次に、中継装置１００は、再び通信確認要求をサーバ１８１へ送信する（ステップＳ５１０）。

　次に、サーバ１８１は、通信確認要求を受信すると、当該通信確認要求に対する応答として、通信可能情報を中継装置１００へ送信する（ステップＳ５１２）。

　次に、車載ＥＣＵ２００Ｄおよびサーバ１８１は、中継装置１００を介して、車外認証処理に必要な情報を含むＥＡＰメッセージのやり取りを行う。そして、サーバ１８１は、中継装置１００経由で車載ＥＣＵ２００から受信したＥＡＰメッセージを用いて車載ＥＣＵ２００Ｄの車外認証処理を行う（ステップＳ５１４）。

　次に、サーバ１８１は、車外認証処理により車載ＥＣＵ２００Ｄの認証に成功すると、認証済ＭＡＣアドレスを含む新たな認証情報を中継装置１００へ送信する（ステップＳ５１６）。

　次に、中継装置１００は、サーバ１８１から新たな認証情報を受信すると、受信した認証情報に対応する認証済ＭＡＣアドレスを含む車外認証成功情報を車載ＥＣＵ２００Ｄへ送信する（ステップＳ５１８）。

次に、中継装置１００は、新たな認証済ＭＡＣアドレスを用いた車内認証処理の結果に基づく車載ＥＣＵ２００Ｃおよび車載ＥＣＵ２００Ｄ間の情報の中継を開始する。そして、車載ＥＣＵ２００Ｃおよび車載ＥＣＵ２００Ｄは、中継装置１００による車内認証処理の結果に基づいて、中継装置１００を介して通信を行う（ステップＳ５２０）。

　なお、本開示の実施の形態に係る中継装置１００では、認証処理部１４０は、認証情報の有効期限が切れた場合であって、かつ中継装置１００がサーバ１８１と通信できない場合、認証情報の有効性を維持する延長処理を行い、有効性を維持した認証情報である延長認証情報を用いて対応の車載ＥＣＵ２００の車内認証処理を行う構成であるとしたが、これに限定するものではない。認証処理部１４０は、認証情報の有効期限が切れた場合であって、かつ中継装置１００がサーバ１８１と通信できない場合、延長処理を行うことなく、新たな認証情報を取得するまで車内認証処理を停止する構成であってもよい。また、中継処理部１２０は、認証処理部１４０が新たな認証情報を取得し、取得した新たな認証情報を用いて車内認証処理を行うまで、車載ＥＣＵ２００間の情報の中継を停止する構成であってもよい。

　また、本開示の実施の形態に係る中継装置１００では、中継処理部１２０は、車載ＥＣＵ２００の種別に応じて、認証処理部１４０による延長認証情報を用いた認証処理が成功した場合において中継すべき情報の内容を決定する構成であるとしたが、これに限定するものではない。中継処理部１２０は、車載ＥＣＵ２００の種別に関わらず、認証処理部１４０による延長認証情報を用いた認証処理が成功した場合において、当該車載ＥＣＵ２００および他の車載ＥＣＵ２００間の各種内容を含むすべての情報を中継する構成であってもよい。

　また、本開示の実施の形態に係る中継装置１００では、中継処理部１２０は、車載ＥＣＵ２００から受信する情報の種別に応じて、認証処理部１４０による延長認証情報を用いた認証処理が成功した場合において中継を行うか否かを決定する構成であるとしたが、これに限定するものではない。中継処理部１２０は、車載ＥＣＵ２００から受信する情報の種別に関わらず、認証処理部１４０による延長認証情報を用いた認証処理が成功した場合において、当該車載ＥＣＵ２００から受信した他の車載ＥＣＵ２００宛のすべての情報を中継する構成であってもよい。

　また、本開示の実施の形態に係る中継装置１００では、認証処理部１４０は、取得するたびに共通鍵が更新される認証情報をサーバ１８１から取得する構成であるとしたが、これに限定するものではない。サーバ１８１は、車外認証処理を行って認証に成功するたびに、対応の同じ共通鍵を含む認証情報を生成し、生成した認証情報を中継装置１００へ送信する構成であってもよい。

　また、本開示の実施の形態に係る中継装置１００では、認証処理部１４０は、中継装置１００とサーバ１８１との通信が可能であり、かつ認証情報の有効期限が切れている状態において、車両１が走行中である場合、サーバ１８１から新たな認証情報を取得することなく、認証情報の有効性を維持する延長処理を行う構成であるとしたが、これに限定するものではない。認証処理部１４０は、中継装置１００とサーバ１８１との通信が可能であり、かつ認証情報の有効期限が切れている状態において、車両１が走行中であるか否かに関わらず、サーバ１８１から新たな認証情報を取得する構成であってもよい。

　ところで、車載ネットワークにおけるセキュリティを向上させることが可能な技術が望まれる。

　具体的には、たとえば、既存の車載ネットワークに新たな車載ＥＣＵを取り付けることにより新たな車載ネットワークを構成する場合において、新たな車載ネットワークのセキュリティを向上させることが可能な技術が望まれる。

　これに対して、本開示の実施の形態に係る中継装置１００は、複数の車載ＥＣＵ２００を備える車両１に搭載される。認証処理部１４０は、車載ＥＣＵ２００の認証情報を車両１の外部におけるサーバ１８１から取得し、取得した認証情報を用いて車載ＥＣＵ２００の認証処理を行う。中継処理部１２０は、認証処理部１４０による認証処理の結果に基づいて、車載ＥＣＵ２００および他の車載ＥＣＵ２００間の情報を中継する。認証処理部１４０は、認証情報の有効期限が切れた場合、サーバ１８１から新たな認証情報を取得する。

　このように、車載ＥＣＵ２００の認証情報を車両１の外部におけるサーバ１８１から取得する構成により、車載ネットワークに新たな未知の車載ＥＣＵ２００が追加された場合であっても、当該車載ＥＣＵの認証情報を取得することができる。さらに、有効期限が切れた場合に新たな認証情報を取得し、取得した認証情報を用いて車載ＥＣＵ２００の認証処理を行い、認証処理の結果に基づいて、車載ＥＣＵ２００および他の車載ＥＣＵ２００間の情報を中継する構成により、車載ネットワークのセキュリティを保証することができるとともに、車両１の走行環境によってサーバ１８１から新たな認証情報を取得することが困難な状況においても、継続して認証情報を用いて車載ＥＣＵ２００の認証処理を行うことができる。

　したがって、本開示の実施の形態に係る中継装置１００では、車載ネットワークにおけるセキュリティを向上させることができる。

　また、本開示の実施の形態に係る中継装置１００では、認証処理部１４０は、認証情報の有効期限が切れた場合であって、かつ中継装置１００がサーバ１８１と通信できない場合、認証情報の有効性を維持する延長処理を行い、有効性を維持した認証情報である延長認証情報を用いて、当該認証情報に対応する車載ＥＣＵ２００の認証処理を行う。

　このような構成により、認証情報の有効期限が切れたときに、車両１の走行環境によって中継装置１００およびサーバ１８１間の通信環境が悪く、新たな認証情報を取得することができない場合でも、認証処理を行い、認証結果に基づく車載ＥＣＵ２００間の情報の中継を継続することができる。これにより、たとえば、車両１の外部において認証情報の内容を更新することでセキュリティを向上させる構成において、車両１の走行環境によらず、車載ネットワークにおける安定した通信を管理することができる。

　また、本開示の実施の形態に係る中継装置１００では、中継処理部１２０は、車載ＥＣＵ２００の種別に応じて、認証処理部１４０による延長認証情報を用いた認証処理が成功した場合において中継すべき情報の内容を決定する。

　このような構成により、車載ＥＣＵ２００の種別に応じて、延長処理を行った場合に中継する情報の一部を制限することができるため、たとえば車両１の走行に影響を与える車載ＥＣＵ２００間の情報の中継を継続しつつ、車両１の走行に影響を与えない車載ＥＣＵ２００間の情報の中継を停止することにより、車両１の良好な走行を維持しながら車載ネットワークにおけるセキュリティの低下を抑制することができる。

　また、本開示の実施の形態に係る中継装置１００では、中継処理部１２０は、車載ＥＣＵ２００から受信する情報の種別に応じて、認証処理部１４０による延長認証情報を用いた認証処理が成功した場合において中継を行うか否かを決定する。

　このような構成により、車載ＥＣＵ２００から受信する情報の種別に応じて、延長処理を行った場合に中継する情報の一部を制限することができるため、たとえば車両１の走行に影響を与える情報の中継を継続しつつ、車両１の走行に影響を与えない情報の中継を停止することにより、車両１の良好な走行を維持しながら車載ネットワークにおけるセキュリティの低下を抑制することができる。

　また、本開示の実施の形態に係る中継装置１００では、認証処理部１４０は、認証情報を取得するたびに異なる内容となる認証情報をサーバ１８１から取得する。

　このような構成により、有効期限が切れるたびに新たな内容の認証情報を取得し、当該認証情報を用いて車載ＥＣＵ２００の認証処理を行うことができるため、車載ネットワークにおけるセキュリティをより向上させることができる。

　また、本開示の実施の形態に係る中継装置１００では、認証処理部１４０は、中継装置１００とサーバ１８１との通信が可能であり、かつ認証情報の有効期限が切れている状態において、車両１が走行中である場合、サーバ１８１から新たな認証情報を取得することなく、認証情報の有効性を維持する延長処理を行う。

　このような構成により、たとえば、新たな認証情報を用いて認証処理を行うことにより認証エラーが発生し、車両１の走行中において車載ＥＣＵ２００間の情報の一部または全部の中継が停止することを回避し、車両１の良好な走行を維持することができる。

　また、本開示の実施の形態に係る車両通信方法は、複数の車載ＥＣＵ２００を備える車両１に搭載される中継装置１００における車両通信方法である。この車両通信方法では、まず、車載ＥＣＵ２００の認証情報を車両１の外部における外部装置から取得する。次に、取得した認証情報を用いて車載ＥＣＵ２００の認証処理を行う。次に、認証処理の結果に基づいて、車載ＥＣＵ２００および他の車載ＥＣＵ２００の情報を中継する。次に、認証情報の有効期限が切れた場合、サーバ１８１から新たな認証情報を取得する。

　このように、車載ＥＣＵ２００の認証情報を車両１の外部におけるサーバ１８１から取得する方法により、車載ネットワークに新たな未知の車載ＥＣＵ２００が追加された場合であっても、当該車載ＥＣＵの認証情報を取得することができる。さらに、有効期限が切れた場合に新たな認証情報を取得し、取得した認証情報を用いて車載ＥＣＵ２００の認証処理を行い、認証処理の結果に基づいて、車載ＥＣＵ２００および他の車載ＥＣＵ２００間の情報を中継する方法により、車載ネットワークのセキュリティを保証することができるとともに、車両１の走行環境によってサーバ１８１から新たな認証情報を取得することが困難な状況においても、継続して認証情報を用いて車載ＥＣＵ２００の認証処理を行うことができる。

　したがって、本開示の実施の形態に係る車両通信方法では、車載ネットワークにおけるセキュリティを向上させることができる。

　上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。

　以上の説明は、以下に付記する特徴を含む。
　［付記１］
　複数の機能部を備える車両に搭載される中継装置であって、
　前記機能部の認証情報を前記車両の外部における外部装置から取得し、取得した前記認証情報を用いて前記機能部の認証処理を行う認証処理部と、
　前記認証処理部による前記認証処理の結果に基づいて、前記機能部および他の前記機能部間の情報を中継する中継処理部とを備え、
　前記認証処理部は、前記認証情報の有効期限が切れた場合、前記外部装置から新たな前記認証情報を取得し、
　前記認証処理部は、前記認証情報を取得するたびに異なる共通鍵を含む前記認証情報を前記外部装置から取得し、取得した前記認証情報に含まれる前記共通鍵を用いて前記機能部の認証処理を行う、中継装置。

　１　　　車両
　１１　　外部ネットワーク
　１２　　車載ネットワーク
　１３　　イーサネットケーブル
　５２　　通信ポート
　１００　中継装置
　１１０　通信部
　１２０　中継処理部
　１３０　検知部
　１４０　認証処理部
　１５０　記憶部
　１６０　タイマ
　１６１　無線基地局装置
　１８１　サーバ
　２００　車載ＥＣＵ
　２１０　通信部
　２２０　処理部
　２３０　認証要求部
　２４０　記憶部
　３０１　車載通信システム
　４０１　通信システム

Claims

　複数の機能部を備える車両に搭載される中継装置であって、
　前記機能部の認証情報を前記車両の外部における外部装置から取得し、取得した前記認証情報を用いて前記機能部の認証処理を行う認証処理部と、
　前記認証処理部による前記認証処理の結果に基づいて、前記機能部および他の前記機能部間の情報を中継する中継処理部とを備え、
　前記認証処理部は、前記認証情報の有効期限が切れた場合、前記外部装置から新たな前記認証情報を取得する、中継装置。
　前記認証処理部は、前記認証情報の有効期限が切れた場合であって、かつ前記中継装置が前記外部装置と通信できない場合、前記認証情報の有効性を維持する延長処理を行い、有効性を維持した前記認証情報である延長認証情報を用いて、前記認証情報に対応する前記機能部の認証処理を行う、請求項１に記載の中継装置。
　前記中継処理部は、前記機能部の種別に応じて、前記認証処理部による前記延長認証情報を用いた前記認証処理が成功した場合において中継すべき情報の内容を決定する、請求項２に記載の中継装置。
　前記中継処理部は、前記機能部から受信する情報の種別に応じて、前記認証処理部による前記延長認証情報を用いた前記認証処理が成功した場合において中継を行うか否かを決定する、請求項２または請求項３に記載の中継装置。
　前記認証処理部は、前記認証情報を取得するたびに異なる内容となる前記認証情報を前記外部装置から取得する、請求項１から請求項４のいずれか１項に記載の中継装置。
　前記認証処理部は、前記中継装置と前記外部装置との通信が可能であり、かつ前記認証情報の有効期限が切れている状態において、前記車両が走行中である場合、前記外部装置から新たな前記認証情報を取得することなく、前記認証情報の有効性を維持する延長処理を行う、請求項１から請求項５のいずれか１項に記載の中継装置。
　複数の機能部を備える車両に搭載される中継装置における車両通信方法であって、
　前記機能部の認証情報を前記車両の外部における外部装置から取得するステップと、
　取得した前記認証情報を用いて前記機能部の認証処理を行うステップと、
　前記認証処理の結果に基づいて、前記機能部および他の前記機能部間の情報を中継するステップと、
　前記認証情報の有効期限が切れた場合、前記外部装置から新たな前記認証情報を取得するステップとを含む、車両通信方法。