WO2022137661A1

WO2022137661A1 - 検知装置、検知方法および検知プログラム

Info

Publication number: WO2022137661A1
Application number: PCT/JP2021/032961
Authority: WO
Inventors: 塚本博之; 上田浩史
Original assignee: 住友電気工業株式会社; 住友電装株式会社; 株式会社オートネットワーク技術研究所
Priority date: 2020-12-25
Filing date: 2021-09-08
Publication date: 2022-06-30
Also published as: JPWO2022137661A1; CN116530060A; US20240114028A1

Abstract

検知装置は、車載ネットワークにおけるメッセージとして、送信元の識別情報およびシーケンス番号が付された、周期的に送信される周期メッセージおよび不定期に送信されるイベントメッセージを監視する監視部と、車載ネットワークからイベントメッセージを検知装置が受信すると、識別情報に対応するカウンタ値を変更するカウンタ部と、監視部による監視結果に基づいて、シーケンス番号とカウンタ値とを比較し、比較結果に基づいて不正メッセージの検知の仮判定を行う検知部とを備え、検知部は、同じ前記識別情報が付された前記メッセージの中で、前記シーケンス番号に関する所定条件を満たすメッセージの間隔、および周期メッセージの所定の送信周期に基づいて、不正メッセージの検知の本判定を行う。

Description

検知装置、検知方法および検知プログラム

　本開示は、検知装置、検知方法および検知プログラムに関する。
　この出願は、２０２０年１２月２５日に出願された日本出願特願２０２０－２１６８３４号を基礎とする優先権を主張し、その開示のすべてをここに取り込む。

　特許文献１（特開２０１４－１４６８６８号公報）には、以下のようなネットワーク装置が開示されている。すなわち、ネットワーク装置は、データを受信する通信部と、データを受信した受信時間を管理する時間管理部と、受信したデータを処理する制御部とを有し、周期的にデータを受信して処理するネットワーク装置において、前記制御部は、前記通信部で受信したデータが有する識別子毎に前記時間管理部における受信時刻を記録し、基準とするデータと同じ識別子を持つデータを受信した間隔が所定周期より短い第１のデータを受信した場合に、前記基準とするデータを受信した時刻から前記所定周期経過するまでに前記第１のデータと同じ識別子を持つ第２のデータを受信した時には、周期異常検出時処理を行い、前記所定周期経過するまでに前記第１のデータと同じ識別子を持つデータを受信しなかった時には、前記第１のデータについて所定の処理を行う。

特開２０１４－１４６８６８号公報

　本開示の検知装置は、車載ネットワークにおける不正メッセージを検知する検知装置であって、前記車載ネットワークにおけるメッセージとして、送信元の識別情報およびシーケンス番号が付された、周期的に送信される周期メッセージおよび不定期に送信されるイベントメッセージを監視する監視部と、前記車載ネットワークから前記イベントメッセージを前記検知装置が受信すると、前記識別情報に対応するカウンタ値を変更するカウンタ部と、前記監視部による監視結果に基づいて、前記シーケンス番号と前記カウンタ値とを比較し、比較結果に基づいて不正メッセージの検知の仮判定を行う検知部とを備え、前記検知部は、同じ前記識別情報が付された前記メッセージの中で、前記シーケンス番号に関する所定条件を満たす前記メッセージの間隔、および前記周期メッセージの所定の送信周期に基づいて、前記不正メッセージの検知の本判定を行う。

　本開示の検知装置は、車載ネットワークにおける不正メッセージを検知する検知装置であって、前記車載ネットワークにおいて、送信元の識別情報が付された、周期的に送信される周期メッセージおよび不定期にかつ前記周期メッセージの送信周期よりも短い間隔で２つ以上連続して送信されるイベントメッセージを監視する監視部と、前記監視部による監視結果に基づいて、同じ前記識別情報が付され、かつ、連続して送信された前記イベントメッセージの数をカウントし、カウント結果に基づいて不正メッセージの検知の仮判定を行う検知部とを備える。

　本開示の検知方法は、車載ネットワークにおける不正メッセージを検知する検知装置における検知方法であって、前記車載ネットワークにおけるメッセージとして、送信元の識別情報およびシーケンス番号が付された、周期的に送信される周期メッセージおよび不定期に送信されるイベントメッセージを監視するステップと、前記車載ネットワークから前記イベントメッセージを前記検知装置が受信すると、前記識別情報に対応するカウンタ値を変更するステップと、監視結果に基づいて、前記シーケンス番号と前記カウンタ値とを比較し、比較結果に基づいて不正メッセージの検知の仮判定を行うステップと、監視された、同じ前記識別情報が付された前記メッセージの中で、前記シーケンス番号に関する所定条件を満たす前記メッセージの間隔、および前記周期メッセージの所定の送信周期に基づいて、前記不正メッセージの検知の本判定を行うステップとを含む。

　本開示の検知プログラムは、車載ネットワークにおける不正メッセージを検知する検知装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおけるメッセージとして、送信元の識別情報およびシーケンス番号が付された、周期的に送信される周期メッセージおよび不定期に送信されるイベントメッセージを監視する監視部と、前記車載ネットワークから前記イベントメッセージを前記検知装置が受信すると、前記識別情報に対応するカウンタ値を変更するカウンタ部と、前記監視部による監視結果に基づいて、前記シーケンス番号と前記カウンタ値とを比較し、比較結果に基づいて不正メッセージの検知の仮判定を行う検知部、として機能させるためのプログラムであり、前記検知部は、同じ前記識別情報が付された前記メッセージの中で、前記シーケンス番号に関する所定条件を満たす前記メッセージの間隔、および前記周期メッセージの所定の送信周期に基づいて、前記不正メッセージの検知の本判定を行う。

　本開示の一態様は、検知装置の一部または全部を実現する半導体集積回路として実現され得たり、検知装置を備えるシステムとして実現され得る。また、本開示の一態様は、検知装置を備えるシステムの一部または全部を実現する半導体集積回路として実現され得る。

図１は、本開示の第１の実施の形態に係る車載通信システムの構成を示す図である。図２は、本開示の第１の実施の形態に係るバス接続装置群の構成を示す図である。図３は、本開示の第１の実施の形態に係る車載通信システムにおける制御装置およびゲートウェイ装置のハードウェア構成の一例を示す図である。図４は、本開示の第１の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。図５は、本開示の第１の実施の形態に係るゲートウェイ装置において、受信したメッセージが正当メッセージであると判定する場合の一例を示す図である。図６は、本開示の第１の実施の形態に係るゲートウェイ装置において、受信したメッセージが不正メッセージであると判定する場合の一例を示す図である。図７は、本開示の第１の実施の形態に係るゲートウェイ装置が検知結果を修正する場合の一例を示す図である。図８は、本開示の第１の実施の形態に係る車載通信システムにおいてゲートウェイ装置が検知処理を行う際の動作手順の一例を定めたフローチャートである。図９は、本開示の第１の実施の形態の変形例１に係る車載通信システムにおいて、周期メッセージの一部が欠損した場合の一例を示す図である。図１０は、本開示の第１の実施の形態の変形例１に係る車載通信システムにおいてゲートウェイ装置が検知処理を行う際の動作手順の一例を定めたフローチャートである。図１１は、本開示の第２の実施の形態に係るゲートウェイ装置において、受信したメッセージが不正メッセージであると判定する場合の一例を示す図である。図１２は、本開示の第２の実施の形態に係るゲートウェイ装置において、受信したメッセージが不正メッセージであると判定する場合の一例を示す図である。図１３は、本開示の第２の実施の形態に係る車載通信システムにおいてゲートウェイ装置が検知処理を行う際の動作手順の一例を定めたフローチャートである。図１４は、本開示の第２の実施の形態に係る車載通信システムにおいてゲートウェイ装置が検知処理を行う際の動作手順の一例を定めたフローチャートである。図１５は、本開示の第３の実施の形態に係るゲートウェイ装置において、受信したメッセージが不正メッセージであると判定する場合の一例を示す図である。図１６は、本開示の第３の実施の形態に係る車載通信システムにおいてゲートウェイ装置が検知処理を行う際の動作手順の一例を定めたフローチャートである。図１７は、本開示の第３の実施の形態の変形例に係る車載通信システムにおいて、受信したメッセージが不正メッセージであると判定する場合の一例を示す図である。図１８は、本開示の実施の形態に係る車載ネットワークの接続トポロジの一例を示す図である。

　従来、車載ネットワークにおけるセキュリティを向上させるための技術が開発されている。

　［本開示が解決しようとする課題］
　特許文献１に記載の技術を超えて、車載ネットワークにおける不正メッセージをより正しく検知することを可能とする技術が望まれる。

　本開示は、上述の課題を解決するためになされたもので、その目的は、車載ネットワークにおける不正メッセージをより正しく検知することが可能な検知装置、検知方法および検知プログラムを提供することである。

　［本開示の効果］
　本開示によれば、車載ネットワークにおける不正メッセージをより正しく検知することが可能である。

　［本開示の実施形態の説明］
　最初に、本開示の実施形態の内容を列記して説明する。

　（１）本開示の実施の形態に係る検知装置は、車載ネットワークにおける不正メッセージを検知する検知装置であって、前記車載ネットワークにおけるメッセージとして、送信元の識別情報およびシーケンス番号が付された、周期的に送信される周期メッセージおよび不定期に送信されるイベントメッセージを監視する監視部と、前記車載ネットワークから前記イベントメッセージを前記検知装置が受信すると、前記識別情報に対応するカウンタ値を変更するカウンタ部と、前記監視部による監視結果に基づいて、前記シーケンス番号と前記カウンタ値とを比較し、比較結果に基づいて不正メッセージの検知の仮判定を行う検知部とを備え、前記検知部は、同じ前記識別情報が付された前記メッセージの中で、前記シーケンス番号に関する所定条件を満たす前記メッセージの間隔、および前記周期メッセージの所定の送信周期に基づいて、前記不正メッセージの検知の本判定を行う。

　このように、検知部が、シーケンス番号に関する所定条件を満たすメッセージの間隔、および周期メッセージの所定の送信周期に基づいて、仮判定における不正メッセージの検知結果を修正し得る本判定を行う構成により、シーケンス番号をカウンタ値に合わせた不正メッセージが送信され、当該不正メッセージを正当メッセージと判定し、正当メッセージを不正メッセージと誤検知したとしても、その検知結果の妥当性を検証し、必要に応じて検知結果を修正することができる。したがって、車載ネットワークにおける不正メッセージをより正しく検知することができる。

　（２）前記メッセージには、前記メッセージに付されるシーケンス番号として、前記周期メッセージおよび前記イベントメッセージが送信される毎に変更される第１のシーケンス番号が付され、前記カウンタ部は、前記検知装置が前記周期メッセージおよび前記イベントメッセージをそれぞれ受信したときに前記カウンタ値を変更してもよい。

　このような構成により、周期メッセージおよびイベントメッセージを判別する必要がなく、全てのメッセージをシーケンス番号で管理することができ、検知装置の構成を簡素にすることができる。

　（３）前記間隔は、第１のメッセージと前記第１のメッセージの前記第１のシーケンス番号よりも１つ前の前記第１のシーケンス番号を有する第２のメッセージとの受信間隔であってもよい。

　このような構成により、不正メッセージが送信されたタイミングを簡易な処理である程度特定することができる。

　（４）前記メッセージには、前記メッセージに付されるシーケンス番号として、前記周期メッセージおよび前記イベントメッセージが送信される毎に変更される第１のシーケンス番号が付され、前記検知部は、前記監視結果に基づいて、前記周期メッセージの欠損を検知し、欠損した前記周期メッセージの数に基づいて、前記カウンタ値を補正し、前記第１のシーケンス番号と補正した前記カウンタ値とを比較し、比較結果に基づいて前記不正メッセージを検知してもよい。

　このような構成により、正当メッセージである周期メッセージが何らかの要因で欠損したとしても、欠損を考慮して不正メッセージの検知を行うことができ、誤検知の発生を抑制することができる。

　（５）前記メッセージには、前記メッセージに付されるシーケンス番号として、前記周期メッセージが送信される場合には変更されず、前記イベントメッセージが送信される毎に変更される第２のシーケンス番号が付され、前記カウンタ部は、前記周期メッセージおよび前記イベントメッセージのうち、前記検知装置が前記イベントメッセージを受信したときに前記カウンタ値を変更してもよい。

　このような構成により、周期メッセージおよびイベントメッセージを判別し、イベントメッセージについての異常から不正メッセージを検知することができる。

　（６）前記間隔は、第３のメッセージと前記第３のメッセージの前記第２のシーケンス番号と同じ前記第２のシーケンス番号を有する第４のメッセージとの受信間隔であってもよい。

　（７）前記検知部は、前記仮判定における不正メッセージの検知結果を前記本判定において修正した後、過渡状態に遷移し、前記過渡状態において、同じ前記識別情報が付された前記メッセージの中で、時間的に連続して受信された前記メッセージの受信間隔、および前記シーケンス番号に基づいて前記不正メッセージを検知してもよい。

　このような構成により、カウンタ値を用いて不正メッセージと判定した結果の修正処理を行った後も不正メッセージの検知を継続することができる。

　（８）本開示の実施の形態に係る検知装置は、車載ネットワークにおける不正メッセージを検知する検知装置であって、前記車載ネットワークにおいて、送信元の識別情報が付された、周期的に送信される周期メッセージおよび不定期にかつ前記周期メッセージの送信周期よりも短い間隔で２つ以上連続して送信されるイベントメッセージを監視する監視部と、前記監視部による監視結果に基づいて、同じ前記識別情報が付され、かつ、連続して送信された前記イベントメッセージの数をカウントし、カウント結果に基づいて不正メッセージを検知する検知部とを備える。

　このように、検知部が、連続して送信されたイベントメッセージの数をカウントし、カウント結果に基づいて不正メッセージを検知する構成により、イベントメッセージになりすました不正メッセージを容易に検知することができる。したがって、車載ネットワークにおける不正メッセージをより正しく検知することができる。

　（９）本開示の実施の形態に係る検知方法は、車載ネットワークにおける不正メッセージを検知する検知装置における検知方法であって、前記車載ネットワークにおけるメッセージとして、送信元の識別情報およびシーケンス番号が付された、周期的に送信される周期メッセージおよび不定期に送信されるイベントメッセージを監視するステップと、前記車載ネットワークから前記イベントメッセージを前記検知装置が受信すると、前記識別情報に対応するカウンタ値を変更するステップと、監視結果に基づいて、前記シーケンス番号と前記カウンタ値とを比較し、比較結果に基づいて不正メッセージの検知の仮判定を行うステップと、監視された、同じ前記識別情報が付された前記メッセージの中で、前記シーケンス番号に関する所定条件を満たす前記メッセージの間隔、および前記周期メッセージの所定の送信周期に基づいて、前記不正メッセージの検知の本判定を行うステップとを含む。

　このように、シーケンス番号に関する所定条件を満たすメッセージの間隔、および周期メッセージの所定の送信周期に基づいて、仮判定における不正メッセージの検知結果を修正し得る本判定を行う構成により、シーケンス番号をカウンタ値に合わせた不正メッセージが送信され、当該不正メッセージを正当メッセージと判定し、正当メッセージを不正メッセージと誤検知したとしても、その検知結果の妥当性を検証し、必要に応じて検知結果を修正することができる。したがって、車載ネットワークにおける不正メッセージをより正しく検知することができる。

　（１０）本開示の実施の形態に係る検知プログラムは、車載ネットワークにおける不正メッセージを検知する検知装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおけるメッセージとして、送信元の識別情報およびシーケンス番号が付された、周期的に送信される周期メッセージおよび不定期に送信されるイベントメッセージを監視する監視部と、前記車載ネットワークから前記イベントメッセージを前記検知装置が受信すると、前記識別情報に対応するカウンタ値を変更するカウンタ部と、前記監視部による監視結果に基づいて、前記シーケンス番号と前記カウンタ値とを比較し、比較結果に基づいて不正メッセージの検知の仮判定を行う検知部、として機能させるためのプログラムであり、前記検知部は、同じ前記識別情報が付された前記メッセージの中で、前記シーケンス番号に関する所定条件を満たす前記メッセージの間隔、および前記周期メッセージの所定の送信周期に基づいて、前記不正メッセージの検知の本判定を行う。

　以下、本開示の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。

　＜第１の実施の形態＞
　［構成および基本動作］
　図１は、本開示の第１の実施の形態に係る車載通信システムの構成を示す図である。

　図１を参照して、車両１に搭載される車載通信システム３０１は、ゲートウェイ装置１０１と、複数の車載通信機１１１と、複数のバス接続装置群１２１とを備える。ゲートウェイ装置１０１は、検知装置の一例である。ゲートウェイ装置１０１は、バス１３を介して各バス接続装置群１２１と接続され、バス１４を介して各車載通信機１１１と接続される。バス１３，１４で接続されたゲートウェイ装置１０１、複数の車載通信機１１１および複数のバス接続装置群１２１は、車載ネットワーク１２を構成する。

　図２は、本開示の第１の実施の形態に係るバス接続装置群の構成を示す図である。

　図２を参照して、バス接続装置群１２１は、複数の制御装置１２２を含む。なお、バス接続装置群１２１は、複数の制御装置１２２を備える構成に限らず、１つの制御装置１２２を含む構成であってもよい。

　車載通信システム３０１は、車両１の内部における装置である車載装置を複数含む。具体的には、車載通信システム３０１は、車載装置の一例である、複数の車載通信機１１１および複数の制御装置１２２を含む。なお、車載通信システム３０１は、複数の車載装置を含む構成であれば、複数の車載通信機１１１を含みかつ制御装置１２２を含まない構成であってもよいし、車載通信機１１１を含まずかつ複数の制御装置１２２を含む構成であってもよいし、１つの車載通信機１１１および１つの制御装置１２２を含む構成であってもよい。

　車載通信システム３０１において、車載通信機１１１は、たとえば、車両１の外部における装置と通信する。具体的には、車載通信機１１１は、たとえば、ＴＣＵ（Ｔｅｌｅｍａｔｉｃｓ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｕｎｉｔ）、近距離無線端末装置、およびＩＴＳ（Ｉｎｔｅｌｌｉｇｅｎｔ　Ｔｒａｎｓｐｏｒｔ　Ｓｙｓｔｅｍｓ）無線機である。

　ＴＣＵは、たとえば、ＬＴＥ（Ｌｏｎｇ　Ｔｅｒｍ　Ｅｖｏｌｕｔｉｏｎ）または５Ｇ等の通信規格に従って、無線基地局装置と無線通信を行うことが可能であり、かつゲートウェイ装置１０１と通信を行うことが可能である。ＴＣＵは、たとえば、ナビゲーション、車両盗難防止、リモートメンテナンスおよびＦＯＴＡ（Ｆｉｒｍｗａｒｅ　Ｏｖｅｒ　Ｔｈｅ　Ａｉｒ）等のサービスに用いる情報を中継する。

　近距離無線端末装置は、たとえば、Ｗｉ－Ｆｉ（登録商標）およびＢｌｕｅｔｏｏｔｈ（登録商標）等の通信規格に従って、車両１に乗車している人間すなわち搭乗者の保持するスマートホン等の無線端末装置と無線通信を行うことが可能であり、かつゲートウェイ装置１０１と通信を行うことが可能である。当該近距離無線端末装置は、たとえば、エンターテイメント等のサービスに用いる情報を中継する。

　また、近距離無線端末装置は、たとえば、所定の通信規格に従って、搭乗者の保持するスマートキー等の無線端末装置、およびタイヤに設けられた無線端末装置とＬＦ（Ｌｏｗ　Ｆｒｅｑｕｅｎｃｙ）帯またはＵＨＦ（Ｕｌｔｒａ　Ｈｉｇｈ　Ｆｒｅｑｕｅｎｃｙ）帯の電波を用いて無線通信を行うことが可能であり、かつゲートウェイ装置１０１と通信を行うことが可能である。当該近距離無線端末装置は、たとえば、スマートエントリおよびＴＰＭＳ（Ｔｉｒｅ　Ｐｒｅｓｓｕｒｅ　Ｍｏｎｉｔｏｒｉｎｇ　Ｓｙｓｔｅｍ）等のサービスに用いる情報を中継する。

　ＩＴＳ無線機は、たとえば、道路の近傍に設けられた光ビーコン、電波ビーコンおよびＩＴＳスポット等の路側機と路車間通信を行うことが可能であり、他の車両に搭載された車載端末と車車間通信を行うことが可能であり、かつゲートウェイ装置１０１と通信を行うことが可能である。ＩＴＳ無線機は、たとえば、渋滞緩和、安全運転支援およびルートガイダンス等のサービスに用いる情報を中継する。

　ゲートウェイ装置１０１は、たとえば、ファームウェアのアップデート等のデータ、およびゲートウェイ装置１０１により蓄積されたデータ等を車両１の外部における整備用端末装置とポート１１２を介して送受信することが可能である。

　ゲートウェイ装置１０１は、たとえばバス１３，１４を介して車載装置と接続する。具体的には、バス１３，１４は、たとえば、ＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）（登録商標）、ＦｌｅｘＲａｙ（登録商標）、ＭＯＳＴ（Ｍｅｄｉａ　Ｏｒｉｅｎｔｅｄ　Ｓｙｓｔｅｍｓ　Ｔｒａｎｓｐｏｒｔ）（登録商標）、イーサネット（登録商標）、およびＬＩＮ（Ｌｏｃａｌ　Ｉｎｔｅｒｃｏｎｎｅｃｔ　Ｎｅｔｗｏｒｋ）等の規格に従うバスである。

　この例では、車載通信機１１１は、イーサネットの規格に従う対応のバス１４を介してゲートウェイ装置１０１と接続されている。また、バス接続装置群１２１における各制御装置１２２は、ＣＡＮの規格に従う対応のバス１３を介してゲートウェイ装置１０１と接続されている。

　バス１３は、たとえば系統別に設けられる。具体的には、バス１３は、たとえば、駆動系バス、シャーシ／安全系バス、ボディ／電装系バスおよびＡＶ／情報系バスである。

　駆動系バスには、制御装置１２２の一例であるエンジン制御装置、ＡＴ（Ａｕｔｏｍａｔｉｃ　Ｔｒａｎｓｍｉｓｓｉｏｎ）制御装置およびＨＥＶ（Ｈｙｂｒｉｄ　Ｅｌｅｃｔｒｉｃ　Ｖｅｈｉｃｌｅ）制御装置が接続されている。エンジン制御装置、ＡＴ制御装置およびＨＥＶ制御装置は、エンジン、ＡＴ、およびエンジンとモータとの切替をそれぞれ制御する。

　シャーシ／安全系バスには、制御装置１２２の一例であるブレーキ制御装置、シャーシ制御装置およびステアリング制御装置が接続されている。ブレーキ制御装置、シャーシ制御装置およびステアリング制御装置は、ブレーキ、シャーシおよびステアリングをそれぞれ制御する。

　ボディ／電装系バスには、制御装置１２２の一例である計器表示制御装置、エアコン制御装置、盗難防止制御装置、エアバック制御装置およびスマートエントリ制御装置が接続されている。計器表示制御装置、エアコン制御装置、盗難防止制御装置、エアバック制御装置およびスマートエントリ制御装置は、計器、エアコン、盗難防止機構、エアバック機構およびスマートエントリをそれぞれ制御する。

　ＡＶ／情報系バスには、制御装置１２２の一例であるナビゲーション制御装置、オーディオ制御装置、ＥＴＣ（Ｅｌｅｃｔｒｏｎｉｃ　Ｔｏｌｌ　Ｃｏｌｌｅｃｔｉｏｎ　Ｓｙｓｔｅｍ）（登録商標）制御装置および電話制御装置が接続されている。ナビゲーション制御装置、オーディオ制御装置、ＥＴＣ制御装置および電話制御装置は、ナビゲーション装置、オーディオ装置、ＥＴＣ装置および携帯電話をそれぞれ制御する。

　また、バス１３には、制御装置１２２が接続される構成に限らず、制御装置１２２以外の装置が接続されてもよい。

　ゲートウェイ装置１０１は、たとえば、セントラルゲートウェイ（Ｃｅｎｔｒａｌ　Ｇａｔｅｗａｙ：ＣＧＷ）であり、車載装置と通信を行うことが可能である。

　ゲートウェイ装置１０１は、たとえば、車両１において異なるバス１３に接続された制御装置１２２間でやり取りされる情報、各車載通信機１１１間でやり取りされる情報、制御装置１２２および車載通信機１１１間でやり取りされる情報を中継する中継処理を行う。

　より詳細には、車両１では、車載通信システム３０１におけるメッセージとして、たとえば、所定の取り決めに従って、ある車載装置から他の車載装置へ周期メッセージおよびイベントメッセージが送信される。周期メッセージは、ある車載装置から他の車載装置へ周期的に送信される。イベントメッセージは、ある車載装置から他の車載装置へ不定期に送信される。

　この例では、２つの車載装置間、すなわち、ある制御装置１２２から他の制御装置１２２へ送信されるメッセージについて説明するが、制御装置１２２および車載通信機１１１間におけるメッセージ、ならびに各車載通信機１１１間におけるメッセージについても同様である。

　図３は、本開示の第１の実施の形態に係る車載通信システムにおける制御装置およびゲートウェイ装置のハードウェア構成の一例を示す図である。

　図３を参照して、制御装置１２２の一例である制御装置１２２Ａ，１２２Ｂは、バス１３を介してゲートウェイ装置１０１と接続される。制御装置１２２Ａは、発振器１３１Ａと、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）およびＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）等のプロセッサ１３２Ａと、ＣＡＮトランシーバ１３３Ａとを備える。また、制御装置１２２Ｂは、制御装置１２２Ａと同様の構成であり、発信機１３１Ｂと、プロセッサ１３２Ｂと、ＣＡＮトランシーバ１３３Ｂとを備える。

　ゲートウェイ装置１０１は、ＣＰＵおよびＤＳＰ等のプロセッサ１４１と、ＣＡＮトランシーバ１４２と、発振器１４３とを備える。

　制御装置１２２Ａは、所定の送信周期で周期メッセージを送信する。より詳細には、制御装置１２２Ａにおけるプロセッサ１３２Ａは、発振器１３１Ａからの発振信号に基づいて生成されるクロックのタイミングに従って、ＣＡＮトランシーバ１３３Ａ経由で周期メッセージを送信する。また、制御装置１２２Ａは、不定期にイベントメッセージを送信する。より詳細には、制御装置１２２Ａにおけるプロセッサ１３２Ａは、ＣＡＮトランシーバ１３３Ａ経由でイベントメッセージを不定期に送信する。

　制御装置１２２Ａは、周期メッセージおよびイベントメッセージに識別情報の一例であるメッセージＩＤ（Ｉｄｅｎｔｉｆｉｅｒ）を付して送信する。メッセージＩＤは、周期メッセージおよびイベントメッセージの送信元を示している。なお、メッセージＩＤは、送信優先順位、周期メッセージであるかまたはイベントメッセージであるかを示すメッセージ送信タイプおよびメッセージ内容等をさらに示してもよい。

　また、メッセージには、周期メッセージおよびイベントメッセージが送信される毎に変更されるシーケンス番号（第１のシーケンス番号）が付されている。より詳細には、制御装置１２２Ａは、周期メッセージおよびイベントメッセージに、周期メッセージおよびイベントメッセージが送信される毎に１ずつ増加するシーケンス番号を含める。要するに、制御装置１２２Ａは、周期メッセージおよびイベントメッセージの種別を問わず、送信するメッセージに連続する番号を付す。

　なお、ある制御装置１２２が、周期メッセージおよびイベントメッセージを複数の制御装置１２２と通信する場合、制御装置１２２は、メッセージＩＤ毎に、シーケンス番号を設定する。また、ある制御装置１２２がメッセージの内容に応じて複数のメッセージＩＤを使い分ける場合、制御装置１２２はメッセージＩＤ毎にシーケンス番号を設定する。

　［ゲートウェイ装置の構成］
　図４は、本開示の第１の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。

　図４を参照して、ゲートウェイ装置１０１は、通信処理部５１と、監視部５２と、カウンタ部５３と、検知部５４と、記憶部５５とを備える。図３に示すプロセッサ１４１は、監視部５２、カウンタ部５３および検知部５４の一部または全部を実現し、ＣＡＮトランシーバ１４２は、通信処理部５１の一部または全部を実現する。記憶部５５は、たとえばフラッシュメモリである。

　ゲートウェイ装置１０１は、検知装置として機能し、車載ネットワーク１２における不正メッセージを検知する検知処理を行う。

　［通信処理部］
　通信処理部５１は、車載ネットワーク１２におけるバス１３，１４上のメッセージを受信する。通信処理部５１は、メッセージを受信すると、当該メッセージの受信時刻を示すタイムスタンプを付与し、監視部５２および検知部５４へメッセージ受信通知を出力する。

　［監視部］
　監視部５２は、車載ネットワーク１２におけるメッセージとして、送信元の識別情報であるメッセージＩＤおよびシーケンス番号が付された、周期的に送信される周期メッセージおよび不定期に送信されるイベントメッセージを監視する。

　再び図３を参照して、監視部５２は、車載ネットワーク１２におけるメッセージを監視することにより、周期メッセージの受信時刻およびイベントメッセージの受信時刻を取得する。

　監視部５２は、たとえば、通信処理部５１から受信通知を受けると、通信処理部５１によって受信されたメッセージに含まれるメッセージＩＤ、ならびに予め記憶部５５に保存されている周期メッセージのメッセージＩＤおよびイベントメッセージのメッセージＩＤを確認する。

　そして、監視部５２は、通信処理部５１によって受信されたメッセージに含まれるメッセージＩＤが記憶部５５に保存されているメッセージＩＤと一致する場合、当該メッセージに付与されたタイムスタンプを参照することにより、メッセージの受信時刻を取得する。

　監視部５２は、受信時刻を取得すると、取得した受信時刻を示す受信情報を、シーケンス番号と対応付けて検知部５４へ出力する。

　［カウンタ部］
　カウンタ部５３は、車載ネットワーク１２から少なくともイベントメッセージをゲートウェイ装置１０１が受信すると、識別情報に対応するカウンタ値を変更する。カウンタ値は、メッセージＩＤ毎に設定される。本実施の形態では、カウンタ部５３は、ゲートウェイ装置１０１が周期メッセージおよびイベントメッセージをそれぞれ受信したときにカウンタ値を変更する。

　より詳細には、カウンタ部５３は、後述するように受信したメッセージが検知部５４によって正当メッセージと判定された場合、カウンタ値を１つ増加させる。カウンタ部５３は、増加させたカウンタ値を記憶部５５に保存する。

　カウンタ部５３は、複数の制御装置１２２がそれぞれメッセージを送信する場合、メッセージＩＤ毎に別個のカウンタ値を設定する。なお、カウンタ部５３は、ある１つの制御装置１２２がメッセージの内容に応じて複数のメッセージＩＤを使い分ける場合、メッセージＩＤ毎にカウンタ値を設定する。

　［検知部］
　検知部５４は、監視部５２による監視結果に基づいて、シーケンス番号とカウンタ値とを比較し、比較結果に基づいて不正メッセージの検知の仮判定を行う。

　より詳細には、検知部５４は、通信処理部５１からメッセージ受信通知を受けると、メッセージのシーケンス番号およびカウンタ値を記憶部５５から取得する。検知部５４は、取得したシーケンス番号とカウンタ値とを比較し、シーケンス番号とカウンタ値とが同じ値の場合、受信したメッセージは正当メッセージであると判定し、シーケンス番号とカウンタ値とが異なる値の場合、受信したメッセージは不正メッセージであると判定する。

　図５は、本開示の第１の実施の形態に係るゲートウェイ装置において、受信したメッセージが正当メッセージであると判定する場合の一例を示す図である。

　図５を参照して、制御装置１２２Ａが最初に送信するメッセージＡにはシーケンス番号「０１」が付されている。また、ゲートウェイ装置１０１におけるカウンタ部５３のカウンタ値の初期値は、「０１」に設定されている。

　ゲートウェイ装置１０１におけるカウンタ部５３は、制御装置１２２Ａからバス１３経由でシーケンス番号「０１」が付された周期メッセージＡをゲートウェイ装置１０１において受信すると、カウンタ値を１つ増加させて「０２」に設定する。

　次に、検知部５４は、ゲートウェイ装置１０１がシーケンス番号「０２」が付された周期メッセージＢを受信すると、シーケンス番号とカウンタ値とは「０２」で一致するため、周期メッセージＢを正当メッセージと判定する。その後、カウンタ部５３は、カウンタ値を１つ増加させて「０３」に設定する。

　次に、検知部５４は、ゲートウェイ装置１０１がシーケンス番号「０３」が付されたイベントメッセージＣを受信すると、シーケンス番号とカウンタ値とは「０３」で一致するため、イベントメッセージＣを正当メッセージと判定する。その後、カウンタ部５３は、カウンタ値を「０４」に設定する。

　このようにして、検知部５４は、その後に受信するメッセージＤ～Ｇについても正当メッセージであるか否かを判定する。そして、図５に示す例では、検知部５４は、メッセージＤ～Ｇを正当メッセージであると判定する。

　図６は、本開示の第１の実施の形態に係るゲートウェイ装置において、受信したメッセージが不正メッセージであると判定する場合の一例を示す図である。図６は、ゲートウェイ装置１０１が、イベントメッセージＣを受信した後に不正メッセージＨを受信する点で図５と異なる。

　図６を参照して、ゲートウェイ装置１０１がメッセージＡ～Ｃを受信した後、カウンタ部５３はカウンタ値を「０４」に設定する。その後、検知部５４は、ゲートウェイ装置１０１がシーケンス番号「０５」が付されたメッセージＨを受信すると、シーケンス番号とカウンタ値とが一致しないため、メッセージＨを不正メッセージと判定する。

　（検知結果の修正）
　検知部５４は、不正メッセージを検知した場合、検知結果が妥当であるか否かを判定する。より詳細には、検知部５４は、仮判定において不正メッセージを検知した場合、監視部５２によって監視されたメッセージであって、同じ識別情報が付されたメッセージの中で、シーケンス番号に関する所定条件を満たすメッセージの間隔、および周期メッセージの所定の送信周期に基づいて、不正メッセージの検知の本判定を行い、仮判定における不正メッセージの検知結果を修正する修正処理を行う。本実施の形態において、上記メッセージの間隔は、第１のメッセージと第１のメッセージよりも１つ前のシーケンス番号を有する第２のメッセージとの受信間隔である。

　（修正しない例１）
　まず、図６に示す例において、検知部５４が検知結果を修正しない場合について説明する。図６に示す例において、上記第１のメッセージは、一旦不正メッセージと判定されたメッセージＨであり、そのカウンタ値は「０５」である。そして、上記第２のメッセージはメッセージＨよりも１カウント前のシーケンス番号「０４」が付されたメッセージであるところ、ゲートウェイ装置１０１は、メッセージＨを受信するよりも前にカウンタ値「０４」が付されたメッセージを受信していない。したがって、検知部５４は、図６に示す例では、第２のメッセージに相当するメッセージが存在しないため、検知結果を修正せず、メッセージＨを不正メッセージと判定する。

　なお、カウンタ部５３は、ゲートウェイ装置１０１が不正メッセージＨを受信した場合、カウンタ値を変更せずに「０４」を維持する。そして、検知部５４は、その後に受信するメッセージＤ～Ｇを正当メッセージと判定する。

　（修正しない例２）
　また、図６に示す例において、メッセージＨのシーケンス番号が「０２」であったとする。この場合、メッセージＨのシーケンス番号とカウンタ部５３のカウンタ値とが一致しないため、メッセージＨは、一旦、不正メッセージと判定される。検知部５４は、不正メッセージを検知したため、上述と同様に、検知結果の妥当性を判定する。この場合、第１のメッセージであるメッセージＨよりも１カウント前のシーケンス番号「０１」を有するメッセージは、メッセージＡである。しかしながら、ゲートウェイ装置１０１は、メッセージＡとメッセージＨとの間にメッセージＢおよびＣを受信しているため、メッセージＡは、メッセージＨに対して時間的に連続して送信されたメッセージではなく、上記第２のメッセージに相当しない。したがって、この場合であっても、検知部５４は、検知結果を修正せず、メッセージＨを不正メッセージと判定する。

　（修正する例）
　次に、検知部５４が検知結果を修正する場合について説明する。図６に示す例では、検知部５４は、メッセージＨのシーケンス番号が、カウンタ部５３のカウンタ値と異なる値であるため、メッセージＨが不正メッセージであると判定している。しかしながら、メッセージＨのシーケンス番号が、カウンタ部５３のカウンタ値と同じである場合、不正メッセージであるメッセージＨが正当メッセージと判定され、正当メッセージであるメッセージＤが不正メッセージと判定されることになる。本実施の形態に係るゲートウェイ装置１０１は、このように、本来正当メッセージであるはずのメッセージが不正メッセージと判定された場合であっても、検知結果を修正することで誤検知を低減することができる。

　図７は、本開示の第１の実施の形態に係るゲートウェイ装置が検知結果を修正する場合の一例を示す図である。

　図７を参照して、まず、ゲートウェイ装置１０１は、メッセージＡ～Ｃを順に受信する。検知部５４は、メッセージＡ～Ｃの各々については、シーケンス番号とカウンタ値とが一致するため、正当メッセージと判定する。この状態で、カウンタ部５３のカウンタ値は「０４」に設定されている。

　次に、ゲートウェイ装置１０１は、不正メッセージＨを受信する。検知部５４は、この不正メッセージＨにはシーケンス番号「０４」が付されているため、不正メッセージＨを正当メッセージと判定する。カウンタ部５３は、カウンタ値を「０５」に増加させる。

　次に、ゲートウェイ装置１０１は、メッセージＤを受信する。このメッセージＤは、制御装置１２２ＡからメッセージＣの次に送信されたメッセージであるため、シーケンス番号「０４」を有している。しかしながら、検知部５４は、カウンタ部５３のカウンタ値は「０５」であり、シーケンス番号とカウンタ値とが一致しないため、本来正当メッセージであるメッセージＤを不正メッセージであると仮判定する。

　次に、検知部５４は、メッセージＤを不正メッセージとした検知結果の妥当性を判定する。上述したように、検知部５４は、同じ識別情報が付されたメッセージの中で、シーケンス番号に関する所定条件を満たすメッセージの間隔および周期メッセージの所定の送信周期に基づいて、検知結果を修正するか否かを判定する。

　ここで、所定条件を満たすメッセージの間隔とは、ゲートウェイ装置１０１が実際に時間的に連続して受信したメッセージの間隔ではなく、あるメッセージと当該メッセージのシーケンス番号の直前の番号として付与されたシーケンス番号を有するメッセージとの間隔、すなわち、あるメッセージと当該メッセージの１つ前に本来受信しているべきメッセージとの間隔を意味する。

　具体的には、不正メッセージと判定されたメッセージＤに対して、実際に時間的に連続して受信されたメッセージは、メッセージＨである。しかしながら、本実施の形態において制御装置１２２Ａは、周期メッセージおよびイベントメッセージの種別を問わず、送信するメッセージに順にシーケンス番号を付している。そのため、メッセージＤの前に本来受信しているべきメッセージは、メッセージＤと同じシーケンス番号「０４」を有するメッセージＨではなく、メッセージＤよりも１つ前のシーケンス番号「０３」を有するメッセージＣである。したがって、図７に示す例では、検知部５４は、第１のメッセージであるメッセージＤと第２のメッセージであるメッセージＣとの受信間隔および周期メッセージの送信周期に基づいて、検知結果を修正するか否かを決定する。

　より詳細には、検知部５４は、メッセージＤおよびメッセージＣの受信時刻、ならびに周期メッセージの所定の送信周期を記憶部５５から取得する。検知部５４は、取得したメッセージＤおよびメッセージＣの受信時刻の差分から受信間隔を算出する。検知部５４は、算出した受信間隔と周期メッセージの所定の送信周期とを比較し、受信間隔が送信周期未満または送信周期に所定のマージンを加えた値未満であるか否かを判定する。以下、この判定基準、すなわち送信周期または送信周期に所定のマージンを加えた値を許容値と称する。本実施の形態では、一例として、周期メッセージの所定の送信周期は２０ｍｓであり、マージンは＋６ｍｓである。

　より詳細には、本実施の形態において、メッセージＤとメッセージＣとの受信間隔は、２０ｍｓであり、許容値未満である。この場合、メッセージＤは、正当メッセージであるメッセージＣから所定の送信周期２０ｍｓ後に送信された正当な周期メッセージである可能性が高い。したがって、検知部５４は、受信間隔が許容値未満である場合、メッセージＤを不正メッセージとする検知結果を修正し、メッセージＤを正当メッセージと判定する。なお、送信周期およびマージンは上記に限定されず、適宜設定可能であり、また、マージンは設けなくてもよい。

　検知部５４は、検知結果を修正すると、メッセージＤよりも前に不正メッセージを受信していると判定し、不正メッセージを検知した旨を示す検知結果を通信処理部５１へ出力する。

　一方、メッセージＤとメッセージＣとの受信間隔が、許容値以上の場合、メッセージＤは不正メッセージである可能性が高い。したがって、検知部５４は、検知結果を維持し、メッセージＤを不正メッセージと判定し、不正メッセージを検知した旨を示す検知結果を通信処理部５１へ出力する。

　通信処理部５１は、検知部５４から検知結果を受けて、バス１３において不正メッセージが伝送されていることを示す警報情報を車両１内または車両１外における上位装置へ送信する。

　［動作の流れ］
　本開示の実施の形態に係る車載通信システムにおける各装置は、メモリを含むコンピュータを備え、当該コンピュータにおけるＣＰＵ等の演算処理部は、以下のフローチャートおよびシーケンスの各ステップの一部または全部を含むプログラムを当該メモリから読み出して実行する。これら複数の装置のプログラムは、それぞれ、外部からインストールすることができる。これら複数の装置のプログラムは、それぞれ、記録媒体に格納された状態で流通する。

　図８は、本開示の第１の実施の形態に係る車載通信システムにおいてゲートウェイ装置が検知処理を行う際の動作手順の一例を定めたフローチャートである。図８は、ある同一のメッセージＩＤを有するメッセージに対する検知処理を示しており、他のメッセージＩＤを有するメッセージについても同様の検知処理が行われる。

　図８を参照して、まず、ゲートウェイ装置１０１は、車載通信システム３０１における周期メッセージおよびイベントメッセージを監視し、周期メッセージおよびイベントメッセージの受信時刻を取得する（ステップＳ１０１）。

　次に、ゲートウェイ装置１０１は、受信した周期メッセージまたはイベントメッセージのシーケンス番号およびカウンタ部５３におけるカウンタ値を取得する。ゲートウェイ装置１０１は、取得したシーケンス番号とカウンタ値とを比較し、シーケンス番号とカウンタ値とが一致する場合（ステップＳ１０２でＹＥＳ）、受信したメッセージを正当メッセージと判定する（ステップＳ１０３）。

　次に、ゲートウェイ装置１０１は、受信したメッセージを正当メッセージと判定すると、カウンタ部５３のカウンタ値を１つ増加させる（ステップＳ１０４）。

　次に、ゲートウェイ装置１０１は、受信したメッセージの受信時刻を記憶部５５に保存し（ステップＳ１０５）、車載通信システム３０１における周期メッセージおよびイベントメッセージの監視を継続する（ステップＳ１０１）。

　一方、ゲートウェイ装置１０１は、取得したシーケンス番号とカウンタ値とが一致しない場合（ステップＳ１０２でＮＯ）、受信したメッセージを不正メッセージと仮判定する（ステップＳ１０６）。

　次に、ゲートウェイ装置１０１は、不正メッセージと仮判定した第１のメッセージと第１のメッセージよりも１カウント前のシーケンス番号を有する第２のメッセージとの受信間隔が、周期メッセージの許容値未満であるか否かを判定する。ゲートウェイ装置１０１は、第１のメッセージと第２のメッセージとの受信間隔が周期メッセージの許容値未満である場合（ステップＳ１０７でＹＥＳ）、仮判定で不正メッセージとした第１のメッセージについての検知結果を修正し、第１のメッセージを正当メッセージと判定する（ステップＳ１０８）。

　次に、ゲートウェイ装置１０１は、検知結果を修正すると、第１のメッセージよりも前に不正メッセージを受信していると判定し、バス１３において不正メッセージが伝送されている旨を示す警報情報を車両１内または車両１外における上位装置へ送信する（ステップＳ１０９）。

　ゲートウェイ装置１０１は、第１のメッセージと第２のメッセージとの受信間隔が周期メッセージの許容値以上の場合（ステップＳ１０７でＮＯ）、仮判定で不正メッセージとした第１のメッセージについての検知結果を維持し、第１のメッセージを正式に不正メッセージと判定する（ステップＳ１１０）。

　次に、ゲートウェイ装置１０１は、バス１３において不正メッセージが伝送されている旨を示す警報情報を車両１内または車両１外における上位装置へ送信し（ステップＳ１１１）、車載通信システム３０１における周期メッセージおよびイベントメッセージの監視を継続する（ステップＳ１０１）。

　［変形例１］
　図９は、本開示の第１の実施の形態の変形例１に係る車載通信システムにおいて、周期メッセージの一部が欠損した場合の一例を示す図である。

　図９を参照して、検知部５４は、メッセージＡ～Ｃについて、シーケンス番号とカウンタ値とが一致するため、正当メッセージと判定する。ゲートウェイ装置１０１は、メッセージＣの受信後、周期メッセージＤを受信する予定である。しかしながら、ゲートウェイ装置１０１は、周期メッセージＤが何らかの要因により欠損したため、シーケンス番号「０５」が付された周期メッセージＥを受信する。

　この場合、検知部５４は、カウンタ値が「０４」であり周期メッセージＥのシーケンス番号「０５」と一致しないため、正当メッセージである周期メッセージＥを不正メッセージと仮判定してしまう。

　そこで、第１の実施の形態における変形例１に係るゲートウェイ装置１０１において、検知部５４は、監視部５２による監視結果に基づいて、周期メッセージの欠損を検知し、欠損した周期メッセージの数に基づいて、カウンタ値を補正し、シーケンス番号と補正したカウンタ値とを比較し、比較結果に基づいて不正メッセージの検知の仮判定を行う。

　より詳細には、検知部５４は、周期メッセージＥを不正メッセージであると仮判定した後、検知結果の修正処理を行う前に、周期メッセージの欠損の有無を検知する処理を行う。

　具体的には、検知部５４は、メッセージＥの受信時刻および前回受信したメッセージであるメッセージＣの受信時刻、ならびに周期メッセージの所定の送信周期を記憶部５５から取得する。検知部５４は、取得したメッセージＥおよびメッセージＣの受信時刻の差分から受信間隔を算出する。検知部５４は、算出した受信間隔と周期メッセージの所定の送信周期とを比較する。図９に示す例では、メッセージＥおよびメッセージＣの受信間隔は許容値の２倍、すなわち、メッセージＣから概ね１周期遅れてゲートウェイ装置１０１がメッセージＥを受信したとする。

　この場合、検知部５４は、周期メッセージが１つ欠損していると判断し、記憶部５５から取得したカウンタ値「０４」に欠損した周期メッセージの数を加算し、「０５」に補正する。検知部５４は、補正したカウンタ値と周期メッセージＥのシーケンス番号とを比較し、カウンタ値「０５」と周期メッセージＥのシーケンス番号「０５」とが一致するため、仮判定結果を修正し、周期メッセージＥを正当メッセージと仮判定する。

　また、検知部５４は、周期メッセージの欠損数を示す欠損情報をカウンタ部５３へ出力する。カウンタ部５３は、検知部５４から欠損情報を受けて、現在のカウンタ値を「０５」に変更し、記憶部５５に保存する。

　図１０は、本開示の第１の実施の形態の変形例１に係る車載通信システムにおいてゲートウェイ装置が検知処理を行う際の動作手順の一例を定めたフローチャートである。図１０は、ある同一のメッセージＩＤを有するメッセージに対する検知処理を示しており、他のメッセージＩＤを有するメッセージについても同様の検知処理が行われる。

　図１０を参照して、まず、ゲートウェイ装置１０１は、車載通信システム３０１における、周期メッセージおよびイベントメッセージを監視し、周期メッセージおよびイベントメッセージの受信時刻を取得する（ステップＳ２０１）。

　次に、ゲートウェイ装置１０１は、受信した周期メッセージまたはイベントメッセージのシーケンス番号およびカウンタ部５３におけるカウンタ値を取得する。ゲートウェイ装置１０１は、取得したシーケンス番号とカウンタ値とを比較し、シーケンス番号とカウンタ値とが一致する場合（ステップＳ２０２でＹＥＳ）、受信したメッセージを正当メッセージと判定する（ステップＳ２０３）。

　次に、ゲートウェイ装置１０１は、受信したメッセージを正当メッセージと判定すると、カウンタ部５３のカウンタ値を１つ増加させる（ステップＳ２０４）。

　次に、ゲートウェイ装置１０１は、受信したメッセージの受信時刻を記憶部５５に保存し（ステップＳ２０５）、車載通信システム３０１における周期メッセージおよびイベントメッセージの監視を継続する（ステップＳ２０１）。

　一方、ゲートウェイ装置１０１は、取得したシーケンス番号とカウンタ値とが一致しない場合（ステップＳ２０２でＮＯ）、受信したメッセージを不正メッセージと仮判定する（ステップＳ２０６）。

　次に、ゲートウェイ装置１０１は、受信したメッセージよりも前に、周期メッセージの欠損があったか否かを判定し、欠損を検知した場合（ステップＳ２０７でＹＥＳ）、カウンタ部５３におけるカウンタ値を欠損した数だけ増加させる（ステップＳ２０８）。

　次に、ゲートウェイ装置１０１は、記憶部５５から取得したカウンタ値を検知した欠損数に基づいて補正し、取得したシーケンス番号と補正したカウンタ値とを比較し、シーケンス番号と補正したカウンタ値とが一致する場合（ステップＳ２０９でＹＥＳ）、受信したメッセージを正当メッセージと判定する（ステップＳ２０３）。

　一方、ゲートウェイ装置１０１は、取得したシーケンス番号と補正したカウンタ値とが一致しない場合（ステップＳ２０９でＮＯ）、受信したメッセージを不正メッセージと再度仮判定する。

　ステップＳ２１０～Ｓ２１４の処理は、図８に示すステップＳ１０７～Ｓ１１１と同様であるため詳細な説明は行わない。

　ところで、車載通信システムにおける不正メッセージをより正しく検知することを可能とする技術が望まれる。

　たとえば、周期的および不定期に送信されるメッセージに順番に付されたシーケンス番号に基づいて、不正メッセージを検知する方法が考えられる。

　しかしながら、このような方法では、本来次に送信される予定の正当メッセージのシーケンス番号になりすましたシーケンス番号を有する不正メッセージを検知することは難しく、不正メッセージの次に送信された正当メッセージを不正メッセージと誤検知する可能性がある。

　これに対して、本開示の第１の実施の形態に係るゲートウェイ装置１０１では、検知部５４が、同じ識別情報が付されたメッセージの中で、シーケンス番号に関する所定条件を満たすメッセージの間隔および周期メッセージの所定の送信周期に基づいて、不正メッセージの検知の本判定を行い、仮判定における不正メッセージの検知結果を修正する修正処理を行う。これにより、ゲートウェイ装置１０１は、不正メッセージを正当メッセージと誤判定したことで、後の正当メッセージを不正メッセージと誤検知したとしても、その検知結果の妥当性を検証し、必要に応じて検知結果を修正することができる。

　したがって、本開示の第１の実施の形態に係るゲートウェイ装置１０１では、車載通信システム３０１における不正メッセージをより正しく検知することができる。

　［変形例２］
　上述の説明では、制御装置１２２Ａが最初に送信するメッセージのシーケンス番号およびカウンタ部５３のカウンタ値の初期値は「０１」である場合について説明した。しかしながら、制御装置１２２Ａが最初に送信するメッセージのシーケンス番号およびカウンタ部５３のカウンタ値の初期値はこれに限定されず、他の値であってもよい。

　また、上述の説明では、検知部５４は、メッセージのシーケンス番号とカウンタ値とが一致する場合に当該メッセージを正当メッセージと判定する場合について説明した。しかしながら、検知部５４は、たとえば、メッセージのシーケンス番号とカウンタ値との差分が所定の値である場合に当該メッセージを正当メッセージと判定してもよい。

　また、上述の説明では、メッセージのシーケンス番号およびカウンタ値は、１ずつ値が増加する場合について説明した。しかしながら、メッセージのシーケンス番号およびカウンタ値は、他の値の単位で増加または減少してもよいし、規則性を持って変更されてもよい。

　次に、本開示の他の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。

　＜第２の実施の形態＞
　本実施の形態は、第１の実施の形態に係る車載通信システム３０１と比べてメッセージの送信方法および不正メッセージの検知方法を変更した車載通信システムに関する。以下で説明する内容以外は第１の実施の形態に係る車載通信システムと同様である。

　図１１は、本開示の第２の実施の形態に係るゲートウェイ装置において、受信したメッセージが不正メッセージであると判定する場合の一例を示す図である。

　図１１を参照して、制御装置１２２Ａが最初に送信する周期メッセージＡにはシーケンス番号「０１」が付されている。また、ゲートウェイ装置１０１におけるカウンタ部５３のカウンタ値の初期値は、「０２」に設定されている。

　本実施の形態において、メッセージには、周期メッセージが送信される場合には変更されず、イベントメッセージが送信される毎に変更されるシーケンス番号（第２のシーケンス番号）が付される。

　より詳細には、制御装置１２２Ａは、周期メッセージＡおよび周期メッセージＡの次に送信する周期メッセージＢには、同じシーケンス番号「０１」を含める。制御装置１２２Ａは、周期メッセージＢの次に送信するイベントメッセージＣには、シーケンス番号を１つ増加させて「０２」を含める。制御装置１２２Ａは、イベントメッセージＣの次に送信する周期メッセージＤには、イベントメッセージＣと同じシーケンス番号「０２」を含める。

　検知部５４は、受信したメッセージが、周期メッセージおよびイベントメッセージのいずれであるかを判定する。より詳細には、検知部５４は、通信処理部５１からメッセージ受信通知を受けると、今回受信したメッセージに対して時間的に連続するメッセージ、すなわち前回受信したメッセージの受信時刻、および周期メッセージの所定の送信周期を記憶部５５から取得する。検知部５４は、今回受信したメッセージと前回受信したメッセージとの受信間隔を算出する。検知部５４は、算出した受信間隔と当該所定の送信周期とを比較し、受信間隔が所定の送信周期と一致するか否かを判定する。たとえば、検知部５４は、受信間隔と送信周期との差の絶対値が所定値未満である場合、受信間隔と送信周期とが一致すると判断する。

　たとえば、検知部５４は、ゲートウェイ装置１０１がメッセージＢを受信すると、メッセージＢと前回受信したメッセージＡとの受信間隔を算出する。本例では、メッセージＢとメッセージＡとの受信間隔は、所定の送信周期と一致する。したがって、検知部５４は、メッセージＢを周期メッセージと判定する。

　次に、検知部５４は、ゲートウェイ装置１０１がメッセージＣを受信すると、メッセージＣと前回受信したメッセージＢとの受信間隔を算出する。本例では、メッセージＣとメッセージＢとの受信間隔は、所定の送信周期未満である。したがって、検知部５４は、メッセージＣをイベントメッセージと判定する。

　次に、検知部５４は、受信したメッセージをイベントメッセージと判定すると、当該イベントメッセージのシーケンス番号、およびカウンタ値を記憶部５５から取得する。検知部５４は、取得したシーケンス番号とカウンタ値とを比較し、シーケンス番号とカウンタ値とが同じ値の場合、受信したイベントメッセージは正当メッセージであると判定する。

　具体的には、ゲートウェイ装置１０１が受信したイベントメッセージＣのシーケンス番号は「０２」であり、カウンタ値「０２」と一致する。したがって、検知部５４は、イベントメッセージＣを正当メッセージであると判定する。検知部５４は、イベントメッセージＣを正当メッセージと判定すると、カウンタ値変更通知をカウンタ部５３へ出力する。

　カウンタ部５３は、周期メッセージおよびイベントメッセージのうち、ゲートウェイ装置１０１がイベントメッセージを受信したときにカウンタ値を変更する。より詳細には、カウンタ部５３は、検知部５４からカウンタ値変更通知を受けて、カウンタ値を１つ増加させる。カウンタ部５３は、増加させたカウンタ値を記憶部５５に保存する。

　一方、検知部５４は、シーケンス番号とカウンタ値とが異なる値の場合、受信したイベントメッセージは不正メッセージであると判定する。

　たとえば、ゲートウェイ装置１０１がメッセージＡ～Ｃを受信した後、不正メッセージＨを受信する場合を想定する。ゲートウェイ装置１０１がメッセージＡ～Ｃを受信した後、カウンタ部５３はカウンタ値を「０３」に設定する。その後、検知部５４は、ゲートウェイ装置１０１が仮に、シーケンス番号「０５」が付されたメッセージＨを受信すると、シーケンス番号とカウンタ値とが一致しないため、メッセージＨを不正メッセージと判定する。

　しかしながら、不正メッセージＨのシーケンス番号が、カウンタ部５３のカウンタ値と同じ「０３」である場合、不正メッセージＨが正当メッセージと判定され、正当メッセージであるメッセージＤが不正メッセージと判定されることになる。

　そこで、第１の実施の形態と同様に、本実施の形態においても、検知部５４は、仮判定において不正メッセージを検知した場合、監視部５２によって監視されたメッセージであって、同じ識別情報が付されたメッセージの中で、シーケンス番号に関する所定条件を満たすメッセージの間隔および周期メッセージの所定の送信周期に基づいて、不正メッセージの検知の本判定を行い、仮判定における不正メッセージの検知結果を修正する修正処理を行う。本実施の形態において、上記メッセージの間隔は、第３のメッセージであるメッセージＤと、第３のメッセージと同じシーケンス番号を有する第４のメッセージであるメッセージＣとの受信間隔である。

　より詳細には、まず、ゲートウェイ装置１０１は、メッセージＡ～Ｃを順に受信する。検知部５４は、周期メッセージＡおよびＢについては、受信間隔が所定の送信周期と一致するため、正当メッセージと判定する。検知部５４は、イベントメッセージＣについては、シーケンス番号とカウンタ値とが一致するため、正当メッセージと判定する。この状態で、カウンタ部５３のカウンタ値は初期値から１つ増加され「０３」に設定される。

　次に、ゲートウェイ装置１０１は、不正メッセージＨを受信する。検知部５４は、不正メッセージＨと前回受信したイベントメッセージＣとの受信間隔が所定の送信周期未満であるため、不正メッセージＨをイベントメッセージと判定する。そして、検知部５４は、この不正メッセージＨにはカウンタ値と同じ値であるシーケンス番号「０３」が付されているため、不正メッセージＨを正当メッセージと判定する。カウンタ部５３は、カウンタ値を「０４」に増加させる。

　次に、ゲートウェイ装置１０１は、メッセージＤを受信する。このメッセージＤは、制御装置１２２ＡからイベントメッセージＣの次に送信された周期メッセージであるため、イベントメッセージＣと同じシーケンス番号「０２」を有している。しかしながら、検知部５４は、周期メッセージＤと前回受信した不正メッセージＨとの受信間隔が所定の送信周期未満であるため、周期メッセージＤをイベントメッセージと判定する。そして、検知部５４は、カウンタ部５３のカウンタ値は「０４」であり、周期メッセージＤのシーケンス番号とカウンタ値とが一致しないため、本来正当メッセージである周期メッセージＤを不正メッセージであると仮判定する。

　次に、検知部５４は、周期メッセージＤを不正メッセージとした検知結果の妥当性を判定する。上述したように、検知部５４は、同じ識別情報が付されたメッセージの中で、シーケンス番号に関する所定条件を満たすメッセージの間隔および周期メッセージの所定の送信周期に基づいて、検知結果を修正するか否かを判定する。

　ここで、本実施の形態では、所定条件を満たすメッセージの間隔とは、ゲートウェイ装置１０１が実際に時間的に連続して受信したメッセージの間隔ではなく、あるメッセージと、当該メッセージと同じシーケンス番号を有するメッセージであって最も新しいメッセージとの間隔、すなわち、あるメッセージと当該メッセージの１つ前に本来受信しているべきメッセージとの間隔を意味する。

　具体的には、不正メッセージと判定された周期メッセージＤと同じシーケンス番号「０２」を有するメッセージであって最も新しいメッセージは、イベントメッセージＣである。したがって、検知部５４は、第３のメッセージである周期メッセージＤと第４のメッセージであるメッセージＣとの受信間隔および周期メッセージの送信周期に基づいて、検知結果を修正するか否かを決定する。

　より詳細には、検知部５４は、メッセージＤおよびメッセージＣの受信時刻、ならびに周期メッセージの所定の送信周期を記憶部５５から取得する。検知部５４は、取得したメッセージＤおよびメッセージＣの受信時刻の差分から受信間隔を算出する。検知部５４は、算出した受信間隔と周期メッセージの所定の送信周期とを比較し、受信間隔が所定の送信周期と一致するか否かを判定する。

　本実施の形態において、メッセージＤとメッセージＣとの受信間隔は、２０ｍｓであり、所定の送信周期の長さである。この場合、メッセージＤは、正当メッセージであるメッセージＣから所定の送信周期２０ｍｓ後に送信された正当な周期メッセージである可能性が高い。したがって、検知部５４は、受信間隔が所定の送信周期と一致する場合、メッセージＤを不正メッセージとする検知結果を修正し、メッセージＤを正当メッセージと判定する。

　一方、メッセージＤとメッセージＣとの受信間隔が、所定の送信周期と一致しない場合、メッセージＤは不正メッセージである可能性が高い。したがって、検知部５４は、検知結果を維持し、メッセージＤを不正メッセージと判定し、不正メッセージを検知した旨を示す検知結果を通信処理部５１へ出力する。

　［変形例１］
　検知部５４は、検知結果の修正処理を行った後、過渡状態に遷移し、過渡状態において、監視部５２によって監視されたメッセージであって、同じ識別情報が付されたメッセージの中で、時間的に連続して受信されたメッセージの受信間隔、およびシーケンス番号に基づいて不正メッセージを検知する構成であってもよい。より詳細には、検知部５４は、周期メッセージＤを正当メッセージと判定し直した後、遷移通知をカウンタ部５３へ出力する。

　カウンタ部５３は、検知部５４から遷移通知を受けて、カウンタ値を「無し」に設定する。すなわち、検知部５４は、過渡状態において、不正メッセージの判定にカウンタ値を用いない。

　その後、ゲートウェイ装置１０１は、周期メッセージＤから１周期後にメッセージＥを受信する。検知部５４は、受信したメッセージＥと周期メッセージＤとの受信間隔から、メッセージＥを周期メッセージと判定し、かつ正当メッセージと判定する。

　検知部５４は、過渡状態において正当メッセージと判定した周期メッセージＥのシーケンス番号を記憶部５５から取得し、周期メッセージＥのシーケンス番号を示すシーケンス番号情報をカウンタ部５３へ出力する。

　カウンタ部５３は、検知部５４からシーケンス番号情報を受けて、シーケンス番号情報が示すシーケンス番号の値を１つ増加させた「０３」を新たにカウンタ値として設定し、過渡状態を解除する。

　一方、ゲートウェイ装置１０１が、検知部５４が過渡状態であるときに、不正メッセージを受信した場合は、次のような処理を行う。

　図１２は、本開示の第２の実施の形態に係るゲートウェイ装置において、受信したメッセージが不正メッセージであると判定する場合の一例を示す図である。図１２では、図１１に示す場合において検知部が過渡状態であるときにシーケンス番号「０３」の不正メッセージＩを受信する場合を示している。

　図１２を参照して、ゲートウェイ装置１０１は、周期メッセージＤから１周期経過する前にメッセージＩを受信する。検知部５４は、受信したメッセージＩと周期メッセージＤとの受信間隔から、メッセージＩをイベントメッセージと判定する。

　検知部５４は、イベントメッセージと判定したメッセージＩおよび前回受信した周期メッセージＤのシーケンス番号を記憶部５５から取得する。検知部５４は、取得したメッセージＩおよび周期メッセージＤのシーケンス番号を比較し、シーケンス番号とカウンタ値とが異なる値の場合、受信したメッセージＩを正当メッセージと判定し、シーケンス番号とカウンタ値とが同じ値の場合、受信したメッセージＩを不正メッセージと判定する。本例では、メッセージＩおよびメッセージＤのシーケンス番号は異なる値である。したがって、検知部５４は、不正メッセージであるメッセージＩを正当メッセージと判定する。

　検知部５４は、過渡状態において正当メッセージと判定したメッセージＩのシーケンス番号を示すシーケンス番号情報をカウンタ部５３へ出力する。

　カウンタ部５３は、検知部５４からシーケンス番号情報を受けて、シーケンス番号情報が示すシーケンス番号の値を１つ増加させた「０４」を新たにカウンタ値として設定し、過渡状態を解除する。

　その後、ゲートウェイ装置１０１は、周期メッセージＥを受信する。この周期メッセージＥは、制御装置１２２Ａから周期メッセージＤの次に送信された周期メッセージであるため、イベントメッセージＤと同じシーケンス番号「０２」を有している。しかしながら、検知部５４は、周期メッセージＥと前回受信した不正メッセージＩとの受信間隔が所定の送信周期未満であるため、周期メッセージＥをイベントメッセージと判定する。そして、検知部５４は、カウンタ部５３のカウンタ値が「０４」であり、周期メッセージＥのシーケンス番号とカウンタ値とが一致しないため、本来正当メッセージである周期メッセージＥを不正メッセージであると仮判定する。

　次に、検知部５４は、上述と同様に、周期メッセージＥを不正メッセージとした検知結果の妥当性を判定する。すなわち、検知部５４は、不正メッセージと判定された周期メッセージＥと同じシーケンス番号「０２」を有するメッセージであって最も新しいメッセージである周期メッセージＤとの受信間隔が、上述した許容値未満であるか否かを判定する。

　本例では、周期メッセージＥと周期メッセージＤとの受信間隔は、所定の送信周期と一致する。そのため、検知部５４は、メッセージＥを不正メッセージとする検知結果を修正し、メッセージＥを正当メッセージと判定する。

　検知部５４は、検知結果を修正すると、メッセージＥよりも前に不正メッセージを受信していると判定し、不正メッセージを検知した旨を示す検知結果を通信処理部５１へ出力し、再び過渡状態へ遷移する。

　［動作の流れ］
　図１３および図１４は、本開示の第２の実施の形態に係る車載通信システムにおいてゲートウェイ装置が検知処理を行う際の動作手順の一例を定めたフローチャートである。図１３および図１４は、ある同一のメッセージＩＤを有するメッセージに対する検知処理を示しており、他のメッセージＩＤを有するメッセージについても同様の検知処理が行われる。

　図１３を参照して、まず、ゲートウェイ装置１０１は、車載通信システム３０１における周期メッセージおよびイベントメッセージを監視し、周期メッセージおよびイベントメッセージの受信時刻を取得する（ステップＳ３０１）。

　次に、ゲートウェイ装置１０１は、検知部５４が過渡状態であるか否かを確認し、過渡状態でない場合（ステップＳ３０２でＮＯ）、今回受信したメッセージおよび前回受信したメッセージの受信間隔が所定の送信周期と一致するか否かを判定する。ゲートウェイ装置１０１は、メッセージの受信間隔が所定の送信周期と一致する場合（ステップＳ３０３でＹＥＳ）、受信したメッセージが周期メッセージであり、かつ、正当メッセージであると判定する（ステップＳ３０４）。

　次に、ゲートウェイ装置１０１は、受信したメッセージの受信時刻を記憶部５５に保存し（ステップＳ３０５）、車載通信システム３０１における周期メッセージおよびイベントメッセージの監視を継続する（ステップＳ３０１）。

　一方、ゲートウェイ装置１０１は、メッセージの受信間隔が所定の送信周期と一致しない場合（ステップＳ３０３でＮＯ）、受信したメッセージがイベントメッセージであると判定し、当該メッセージのシーケンス番号およびカウンタ部５３におけるカウンタ値を取得する。ゲートウェイ装置１０１は、取得したシーケンス番号とカウンタ値とを比較し、シーケンス番号とカウンタ値とが一致する場合（ステップＳ３０６でＹＥＳ）、カウンタ部５３のカウンタ値を１つ増加させ（ステップＳ３０７）、受信したメッセージを正当メッセージと判定する（ステップＳ３０４）。

　一方、ゲートウェイ装置１０１は、取得したシーケンス番号とカウンタ値とが一致しない場合（ステップＳ３０６でＮＯ）、受信したメッセージを不正メッセージと仮判定する（ステップＳ３０８）。

　次に、ゲートウェイ装置１０１は、不正メッセージと仮判定した第３のメッセージと当該メッセージと同じシーケンス番号を有する最新のメッセージである第４のメッセージとの受信間隔が、周期メッセージの許容値未満であるか否かを判定する。ゲートウェイ装置１０１は、第３のメッセージと第４のメッセージとの受信間隔が周期メッセージの許容値未満である場合（ステップＳ３０９でＹＥＳ）、仮判定で不正メッセージとした第３のメッセージについての検知結果を修正し、第３のメッセージを正当メッセージと判定する（ステップＳ３１０）。

　次に、ゲートウェイ装置１０１は、検知結果を修正すると、第３のメッセージよりも前に不正メッセージを受信していると判定し、バス１３において不正メッセージが伝送されている旨を示す警報情報を車両１内または車両１外における上位装置へ送信する（ステップＳ３１１）。

　次に、ゲートウェイ装置１０１における検知部５４は、過渡状態へ遷移し（ステップＳ３１２）、受信したメッセージの受信時刻を記憶部５５に保存し（ステップＳ３０５）、車載通信システム３０１における周期メッセージおよびイベントメッセージの監視を継続する（ステップＳ３０１）。

　一方、ゲートウェイ装置１０１は、第３のメッセージと第４のメッセージとの受信間隔が周期メッセージの許容値以上である場合（ステップＳ３０９でＮＯ）、仮判定で不正メッセージとした第３のメッセージについての検知結果を維持し、第３のメッセージを正式に不正メッセージと判定する（ステップＳ３１３）。

　次に、ゲートウェイ装置１０１は、バス１３において不正メッセージが伝送されている旨を示す警報情報を車両１内または車両１外における上位装置へ送信し（ステップＳ３１４）、車載通信システム３０１における周期メッセージおよびイベントメッセージの監視を継続する（ステップＳ３０１）。

　一方、ゲートウェイ装置１０１は、検知部５４が過渡状態である場合（ステップＳ３０２でＹＥＳ）、今回受信したメッセージおよび前回受信したメッセージの受信間隔が所定の送信周期と一致するか否かを判定する。

　図１４を参照して、ゲートウェイ装置１０１は、メッセージの受信間隔が所定の送信周期と一致する場合（ステップＳ３１５でＹＥＳ）、受信したメッセージが周期メッセージであり、かつ、正当メッセージであると判定する（ステップＳ３１６）。

　次に、ゲートウェイ装置１０１は、受信したメッセージのシーケンス番号を記憶部５５から取得し、シーケンス番号を１つ増加させた値をカウンタ部５３におけるカウンタ値として設定し、過渡状態を解除する（ステップＳ３１７）。

　次に、ゲートウェイ装置１０１は、受信したメッセージの受信時刻を記憶部５５に保存し（ステップＳ３１８）、車載通信システム３０１における周期メッセージおよびイベントメッセージの監視を継続する（ステップＳ３０１）。

　一方、ゲートウェイ装置１０１は、メッセージの受信間隔が所定の送信周期と一致しない場合（ステップＳ３１５でＮＯ）、受信したメッセージがイベントメッセージであると判定し、当該メッセージのシーケンス番号および前回受信したメッセージのシーケンス番号を記憶部５５から取得する。ゲートウェイ装置１０１は、取得したシーケンス番号同士を比較し、両シーケンス番号が一致しない場合（ステップＳ３１９でＮＯ）、受信したメッセージを正当メッセージと判定する（ステップＳ３１６）。

　一方、ゲートウェイ装置１０１は、取得した両シーケンス番号が一致する場合（ステップＳ３１９でＹＥＳ）、受信したメッセージを不正メッセージと判定し（ステップＳ３２０）、車載通信システム３０１における周期メッセージおよびイベントメッセージの、過渡状態での監視を継続する（ステップＳ３０１）。

　なお、ゲートウェイ装置１０１の検知部５４は、過渡状態へ遷移しない構成であってもよい。具体的には、検知部５４は、図１３および図１４に示す例において、ステップＳ３０２、Ｓ３１２、およびＳ３１５～Ｓ３２０の処理を行わない構成であってもよい。

　［変形例２］
　上述の説明では、検知部５４は、検知結果の修正処理を行った後、過渡状態に遷移する場合について説明した。しかしながら、検知部５４は、過渡状態に遷移しない構成であってもよい。

　より詳細には、検知部５４は、検知結果の修正処理を行った後、修正完了通知をカウンタ部５３へ出力する。カウンタ部５３は、検知部５４から修正完了通知を受けて、カウンタ値を１つ前の値に戻す。たとえば、図１１に示す例において、不正メッセージと仮判定したメッセージＤの検知結果を修正した後、カウンタ部５３は、カウンタ値を現在の値である「０４」から１つ前の値である「０３」に設定する。

　カウンタ値をこのように設定し直すことで、検知部５４が過渡状態に遷移しない場合であっても、後に受信する周期メッセージＤ，ＥおよびイベントメッセージＦを正当メッセージとして受信することができる。

　［変形例３］
　上述の説明では、制御装置１２２Ａが最初に送信するメッセージのシーケンス番号は「０１」、カウンタ部５３のカウンタ値の初期値は「０２」である場合について説明した。しかしながら、制御装置１２２Ａが最初に送信するメッセージのシーケンス番号およびカウンタ部５３のカウンタ値の初期値はこれに限定されず、他の値であってよい。

　＜第３の実施の形態＞
　本実施の形態は、第１の実施の形態に係る車載通信システム３０１と比べて不正メッセージの検知方法を変更した車載通信システムに関する。以下で説明する内容以外は第１の実施の形態に係る車載通信システムと同様である。

　図１５は、本開示の第３の実施の形態に係るゲートウェイ装置において、受信したメッセージが不正メッセージであると判定する場合の一例を示す図である。図１５では、ゲートウェイ装置が不正メッセージＦ，Ｇ，Ｈを受信する場合を示している。

　図１５を参照して、制御装置１２２Ａが最初に送信する周期メッセージＡにはシーケンス番号「０１」が付されている。メッセージには、周期メッセージおよびイベントメッセージが送信される毎に変更されるシーケンス番号が付されている。

　ゲートウェイ装置１０１におけるカウンタ部５３のカウンタ値の初期値は、「０２」に設定されている。カウンタ部５３は、ゲートウェイ装置１０１が周期メッセージおよびイベントメッセージをそれぞれ受信したときにカウンタ値を変更し、記憶部５５に保存する。

　また、カウンタ部５３は、カウンタ値に加えて連続イベントカウンタ値を有している。連続イベントカウンタ値の初期値は、「０」に設定されている。カウンタ部５３は、ゲートウェイ装置１０１がイベントメッセージを受信したときに連続イベントカウンタ値を変更し、記憶部５５に保存する。

　監視部５２は、車載通信システム３０１において、周期的に送信される周期メッセージ、および不定期にかつ周期メッセージの送信周期よりも短い間隔で２つ以上連続して送信されるイベントメッセージを監視する。

　より詳細には、監視部５２は、通信処理部５１によって中継されるメッセージを監視することにより、周期メッセージの受信時刻およびイベントメッセージの受信時刻を取得する。

　監視部５２は、たとえば、中継処理を行うべき周期メッセージまたはイベントメッセージを通信処理部５１が受信すると、通信処理部５１によって受信されたメッセージに含まれるメッセージＩＤ、ならびに予め記憶部５５に保存されている周期メッセージのメッセージＩＤおよびイベントメッセージのメッセージＩＤを確認する。

　そして、監視部５２は、通信処理部５１によって受信されたメッセージに含まれるメッセージＩＤが記憶部５５に保存されているメッセージＩＤと一致する場合、通信処理部５１によって受信されたメッセージが中継処理を行うべきメッセージであると認識し、当該メッセージに付与されたタイムスタンプを参照することにより、メッセージの受信時刻を取得する。

　検知部５４は、監視部５２による監視結果に基づいて、連続して送信されたイベントメッセージの数をカウントし、カウント結果に基づいて不正メッセージを検知する。

　より詳細には、検知部５４は、監視部５２から受信情報を受けて、前回受信したメッセージの受信時刻および周期メッセージの所定の送信周期を記憶部５５から取得する。検知部５４は、受信情報が示す受信時刻および取得した受信時刻に基づき、今回受信したメッセージと前回受信したメッセージとの受信間隔を算出する。

　検知部５４は、算出した受信間隔が所定の送信周期と一致するか否かを判定する。検知部５４は、受信間隔が所定の送信周期と一致しない場合、受信したメッセージをイベントメッセージと判定し、受信間隔が所定の送信周期と一致する場合、受信したメッセージを周期メッセージと判定する。

　具体的には、検知部５４は、受信間隔が所定の送信周期と一致するメッセージＡおよびＢについては、周期メッセージと判定する。検知部５４は、メッセージＢから所定の送信周期未満の間隔で送信されたメッセージＣについては、イベントメッセージと判定する。検知部５４は、周期メッセージまたはイベントメッセージを受信すると、メッセージの種別を示す種別情報をカウンタ部５３へ出力する。

　カウンタ部５３は、検知部５４から種別情報を受けると、種別情報に示されるメッセージの種別に関わらず、カウンタ値を１つ増加させる。カウンタ部５３は、種別情報に示されるメッセージの種別がイベントメッセージである場合、連続イベントカウンタ値を１つ増加させる。カウンタ部５３は、種別情報に示されるメッセージの種別が周期メッセージである場合、連続イベントカウンタ値を「０」に設定する。

　ここで、図１５に示す例において、ゲートウェイ装置１０１が、正当メッセージである周期メッセージＡ，ＢおよびイベントメッセージＣを受信した後、イベントメッセージになりすました不正メッセージＦを受信する場合について説明する。

　ゲートウェイ装置１０１がイベントメッセージＣを受信した後、カウンタ部５３におけるカウンタ値は「０４」、連続イベントカウンタ値は「１」となっている。

　検知部５４は、不正メッセージＦのシーケンス番号が前回受信したイベントメッセージＣのシーケンス番号よりも１つ増えた「０４」である場合、シーケンス番号とカウンタ値とが一致するため、不正メッセージＦを正当メッセージと判定する。そして、カウンタ部５３におけるカウンタ値は「０５」、連続イベントカウンタ値は「２」に設定される。

　次に、ゲートウェイ装置１０１は、イベントメッセージＣから１周期遅れた周期メッセージになりすました不正メッセージＧを受信する。検知部５４は、不正メッセージＧのシーケンス番号は「０５」であるため、不正メッセージＧを正当メッセージと判定する。また、検知部５４は、不正メッセージＧと前回受信した不正メッセージＦとの受信間隔が所定の送信周期未満であるため、不正メッセージＧをイベントメッセージと判定する。この場合、カウンタ部５３におけるカウンタ値は「０６」、連続イベントカウンタ値は「３」に設定される。

　ここで、ゲートウェイ装置１０１の記憶部５５には、予め連続イベントカウンタ値の上限値が登録されている。本例では、たとえば、連続イベントカウンタ値の上限値は「２」であるとする。ただし、連続イベントカウンタ値の上限値は、これに限定されず、適宜設定される。

　検知部５４は、イベントメッセージを受信する毎に、連続イベントカウンタ値の上限値を示す制限情報を記憶部５５から取得する。検知部５４は、不正メッセージＧをイベントメッセージと判定するとともに、制限情報および連続イベントカウンタ値を記憶部５５から取得し、比較する。

　検知部５４は、記憶部５５から取得した連続イベントカウンタ値「３」が連続イベントカウンタ値の上限値「２」を超えているため、不正メッセージＧの前に不正メッセージを受信したと判定し、不正メッセージを検知した旨を示す検知結果を通信処理部５１へ出力する。

　［動作の流れ］
　図１６は、本開示の第３の実施の形態に係る車載通信システムにおいてゲートウェイ装置が検知処理を行う際の動作手順の一例を定めたフローチャートである。図１６は、ある同一のメッセージＩＤを有するメッセージに対する検知処理を示しており、他のメッセージＩＤを有するメッセージについても同様の検知処理が行われる。

　図１６を参照して、まず、ゲートウェイ装置１０１は、車載通信システム３０１における周期メッセージおよびイベントメッセージを監視し、周期メッセージおよびイベントメッセージの受信時刻を取得する（ステップＳ４０１）。

　次に、ゲートウェイ装置１０１は、受信した周期メッセージまたはイベントメッセージのシーケンス番号およびカウンタ部５３におけるカウンタ値を取得する。ゲートウェイ装置１０１は、取得したシーケンス番号とカウンタ値とを比較し、シーケンス番号とカウンタ値とが一致しない場合（ステップＳ４０２でＮＯ）、受信したメッセージを不正メッセージと判定する（ステップＳ４０３）。

　次に、ゲートウェイ装置１０１は、バス１３において不正メッセージが伝送されている旨を示す警報情報を車両１内または車両１外における上位装置へ送信し（ステップＳ４０４）、車載通信システム３０１における周期メッセージおよびイベントメッセージの監視を継続する（ステップＳ４０１）。

　一方、ゲートウェイ装置１０１は、取得したシーケンス番号とカウンタ値とが一致する場合（ステップＳ４０２でＹＥＳ）、今回受信したメッセージと前回受信したメッセージ、すなわち受信したメッセージよりも１カウント前のシーケンス番号を有するメッセージとの受信間隔が、所定の送信周期と一致するか否かを判定する。ゲートウェイ装置１０１は、受信間隔が所定の送信周期と一致する場合（ステップＳ４０５でＹＥＳ）、受信したメッセージを正当メッセージと判定する（ステップＳ４０６）。

　次に、ゲートウェイ装置１０１は、カウンタ部５３の連続イベントカウンタ値を「０」に設定し（ステップＳ４０７）、車載通信システム３０１における周期メッセージおよびイベントメッセージの監視を継続する（ステップＳ４０１）。

　一方、ゲートウェイ装置１０１は、受信間隔が所定の送信周期と一致しない場合（ステップＳ４０５でＮＯ）、連続イベントカウンタ値および連続イベントカウンタ値の上限値を記憶部５５から取得し、比較する。ゲートウェイ装置１０１は、取得した連続イベントカウンタ値が上限値よりも大きい場合（ステップＳ４０８でＹＥＳ）、受信したメッセージを不正メッセージと判定する（ステップＳ４０９）。

　次に、ゲートウェイ装置１０１は、バス１３において不正メッセージが伝送されている旨を示す警報情報を車両１内または車両１外における上位装置へ送信し（ステップＳ４１０）、車載通信システム３０１における周期メッセージおよびイベントメッセージの監視を継続する（ステップＳ４０１）。

　一方、ゲートウェイ装置１０１は、取得した連続イベントカウンタ値が上限値以下の場合（ステップＳ４０８でＮＯ）、受信したメッセージを正当メッセージと判定し（ステップＳ４１１）、車載通信システム３０１における周期メッセージおよびイベントメッセージの監視を継続する（ステップＳ４０１）。

　［変形例］
　図１７は、本開示の第３の実施の形態の変形例に係る車載通信システムにおいて、受信したメッセージが不正メッセージであると判定する場合の一例を示す図である。図１７では、ゲートウェイ装置が不正メッセージＦ，Ｇ，Ｈを受信する場合を示している。

　図１７を参照して、図１５に示す例において、メッセージには、周期メッセージが送信される場合には変更されず、イベントメッセージが送信される毎に変更されるシーケンス番号が付される構成であってもよい。

　この場合、ゲートウェイ装置１０１が不正メッセージＧを受信した後、カウンタ部５３における連続イベントカウンタ値は「３」となり、上限値を超える。したがって、検知部５４は、このような構成であっても不正メッセージを検知することができる。

　本開示の第３の実施の形態に係るゲートウェイ装置１０１では、検知部５４が、連続して送信されたイベントメッセージの数をカウントし、カウント結果に基づいて不正メッセージを検知する。これにより、たとえば、ゲートウェイ装置１０１のカウンタ値にシーケンス番号を合わせた不正なイベントメッセージが送信されたとしても、不正メッセージを容易に検知することができる。したがって、車載通信システム３０１における不正メッセージをより正しく検知することができる。

　上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。

　たとえば、上述の第１～第３の実施の形態に係る車載通信システム３０１では、ゲートウェイ装置１０１が、車載ネットワーク１２においてある制御装置１２２Ａが他の制御装置へメッセージを直接送信する構成について説明した。しかしながら、車載通信システム３０１では、制御装置１２２Ａが送信したメッセージをゲートウェイ装置１０１が中継する構成であってもよい。具体的には、図１を参照して、ゲートウェイ装置１０１は、バス１３を介してバス接続装置群１２１（制御装置１２２Ａ）からメッセージを受信し、車載通信機１１１へバス１４を介して送信する構成であってもよい。この場合、ゲートウェイ装置１０１における通信処理部５１は、制御装置１２２Ａから対応のバス１３経由でメッセージを受信すると、監視部５２および検知部５４へメッセージ受信通知を出力する。そして、監視部５２は、通信処理部５１によって受信されたメッセージに含まれるメッセージＩＤが記憶部５５に保存されているメッセージＩＤと一致する場合、通信処理部５１によって受信されたメッセージが中継処理を行うべきメッセージであると認識し、当該メッセージに付与されたタイムスタンプを参照することにより、メッセージの受信時刻を取得する。

　たとえば、上述の第１～第３の実施の形態に係る車載通信システム３０１では、ゲートウェイ装置１０１が車載通信システム３０１における不正メッセージを検知する構成について説明した。しかしながら、車載通信システム３０１では、ゲートウェイ装置１０１とは別の検知装置が、車載通信システム３０１における不正メッセージを検知する構成であってもよい。

　また、上述の第１～第３の実施の形態に係る車載通信システム３０１では、検知装置であるゲートウェイ装置１０１が、メッセージを送信する制御装置１２２Ａおよびメッセージを受信する制御装置１２２Ｂとは別に設けられる構成について説明した。しかしながら、検知装置は、メッセージを送信する車載装置またはメッセージを受信する車載装置に含まれる構成であってもよい。

　また、上述の第１～第３の実施の形態に係る車載通信システム３０１では、検知装置として機能するゲートウェイ装置１０１がバス１３に直接接続される構成について説明した。しかしながら、車載通信システム３０１は、これに限定されるものではない。

　図１８は、本開示の実施の形態に係る車載通信システム３０１の接続トポロジの一例を示す図である。

　図１８を参照して、検知装置１５１が、車載装置たとえば制御装置１２２を介してバス１３に接続される構成であってもよい。この場合、検知装置１５１は、たとえば、当該車載装置が送受信するメッセージを監視することにより、バス１３に伝送される不正メッセージを検知する。なお、検知装置１５１は、たとえばイーサネットまたはＣＡＮの規格に従うバスを介して車載装置と接続される。

　検知装置１５１の動作は、第１および第２の実施の形態に係る車載通信システム３０１におけるゲートウェイ装置１０１と同様である。たとえば、検知装置１５１の検知部５４は、制御装置１２２が送信する周期メッセージおよびイベントメッセージのシーケンス番号とカウンタ値とを比較し、比較結果に基づいて不正メッセージの検知の仮判定を行う。検知部５４は、同じ識別情報が付されたメッセージの中で、シーケンス番号に関する所定条件を満たすメッセージの間隔、および周期メッセージの所定の送信周期に基づいて、不正メッセージの検知の本判定を行う。

　あるいは、検知装置１５１の動作は、第３の実施の形態に係る車載通信システム３０１におけるゲートウェイ装置１０１と同様である。たとえば、検知装置１５１の検知部５４は、制御装置１２２から連続して送信されたイベントメッセージの数をカウントし、カウント結果に基づいて不正メッセージを検知する。

　以上の説明は、以下に付記する特徴を含む。
　［付記１］
　車載ネットワークにおける不正メッセージを検知する検知装置であって、
　前記車載ネットワークにおけるメッセージとして、送信元の識別情報およびシーケンス番号が付された、周期的に送信される周期メッセージおよび不定期に送信されるイベントメッセージを監視する監視部と、
　前記車載ネットワークから前記イベントメッセージを前記検知装置が受信すると、前記識別情報に対応するカウンタ値を変更するカウンタ部と、
　前記監視部による監視結果に基づいて、前記シーケンス番号と前記カウンタ値とを比較し、比較結果に基づいて不正メッセージの検知の仮判定を行う検知部とを備え、
　前記検知部は、同じ前記識別情報が付された前記メッセージの中で、前記シーケンス番号に関する所定条件を満たす前記メッセージの間隔、および前記周期メッセージの所定の送信周期に基づいて、前記不正メッセージの検知の本判定を行い、
　前記所定の送信周期は、前記周期メッセージの送信周期に所定のマージンを含む、検知装置。

　１　　　　　車両
　１２　　　　車載ネットワーク
　１３，１４　バス
　５１　　　　通信処理部
　５２　　　　監視部
　５３　　　　カウンタ部
　５４　　　　検知部
　５５　　　　記憶部
　１０１　　　ゲートウェイ装置
　１１１　　　車載通信機
　１１２　　　ポート
　１２１　　　バス接続装置群
　１２２，１２２Ａ，１２２Ｂ　　　制御装置
　１３１，１３１Ａ，１３１Ｂ，１４３　　　発振器
　１３２，１３２Ａ，１３２Ｂ，１４１　　　プロセッサ
　１３３，１３３Ａ，１３３Ｂ，１４２　　　ＣＡＮトランシーバ
　１５１　　　検知装置
　３０１　　　車載通信システム

Claims

　車載ネットワークにおける不正メッセージを検知する検知装置であって、
　前記車載ネットワークにおけるメッセージとして、送信元の識別情報およびシーケンス番号が付された、周期的に送信される周期メッセージおよび不定期に送信されるイベントメッセージを監視する監視部と、
　前記車載ネットワークから前記イベントメッセージを前記検知装置が受信すると、前記識別情報に対応するカウンタ値を変更するカウンタ部と、
　前記監視部による監視結果に基づいて、前記シーケンス番号と前記カウンタ値とを比較し、比較結果に基づいて不正メッセージの検知の仮判定を行う検知部とを備え、
　前記検知部は、同じ前記識別情報が付された前記メッセージの中で、前記シーケンス番号に関する所定条件を満たす前記メッセージの間隔、および前記周期メッセージの所定の送信周期に基づいて、前記不正メッセージの検知の本判定を行う、検知装置。
　前記メッセージには、前記メッセージに付されるシーケンス番号として、前記周期メッセージおよび前記イベントメッセージが送信される毎に変更される第１のシーケンス番号が付され、
　前記カウンタ部は、前記検知装置が前記周期メッセージおよび前記イベントメッセージをそれぞれ受信したときに前記カウンタ値を変更する、請求項１に記載の検知装置。
　前記間隔は、第１のメッセージと前記第１のメッセージの前記第１のシーケンス番号よりも１つ前の前記第１のシーケンス番号を有する第２のメッセージとの受信間隔である、請求項２に記載の検知装置。
　前記メッセージには、前記メッセージに付されるシーケンス番号として、前記周期メッセージおよび前記イベントメッセージが送信される毎に変更される第１のシーケンス番号が付され、
　前記検知部は、前記監視結果に基づいて、前記周期メッセージの欠損を検知し、欠損した前記周期メッセージの数に基づいて、前記カウンタ値を補正し、前記第１のシーケンス番号と補正した前記カウンタ値とを比較し、比較結果に基づいて前記不正メッセージの検知の仮判定を行う、請求項１から請求項３のいずれか１項に記載の検知装置。
　前記メッセージには、前記メッセージに付されるシーケンス番号として、前記周期メッセージが送信される場合には変更されず、前記イベントメッセージが送信される毎に変更される第２のシーケンス番号が付され、
　前記カウンタ部は、前記周期メッセージおよび前記イベントメッセージのうち、前記検知装置が前記イベントメッセージを受信したときに前記カウンタ値を変更する、請求項１に記載の検知装置。
　前記間隔は、第３のメッセージと前記第３のメッセージの前記第２のシーケンス番号と同じ前記第２のシーケンス番号を有する第４のメッセージとの受信間隔である、請求項５に記載の検知装置。
　前記検知部は、前記仮判定における不正メッセージの検知結果を前記本判定において修正した後、過渡状態に遷移し、前記過渡状態において、同じ前記識別情報が付された前記メッセージの中で、時間的に連続して受信された前記メッセージの受信間隔、および前記シーケンス番号に基づいて前記不正メッセージを検知する、請求項６に記載の検知装置。
　車載ネットワークにおける不正メッセージを検知する検知装置であって、
　前記車載ネットワークにおいて、送信元の識別情報が付された、周期的に送信される周期メッセージおよび不定期にかつ前記周期メッセージの送信周期よりも短い間隔で２つ以上連続して送信されるイベントメッセージを監視する監視部と、
　前記監視部による監視結果に基づいて、同じ前記識別情報が付され、かつ、連続して送信された前記イベントメッセージの数をカウントし、カウント結果に基づいて不正メッセージを検知する検知部とを備える、検知装置。
　車載ネットワークにおける不正メッセージを検知する検知装置における検知方法であって、
　前記車載ネットワークにおけるメッセージとして、送信元の識別情報およびシーケンス番号が付された、周期的に送信される周期メッセージおよび不定期に送信されるイベントメッセージを監視するステップと、
　前記車載ネットワークから前記イベントメッセージを前記検知装置が受信すると、前記識別情報に対応するカウンタ値を変更するステップと、
　監視結果に基づいて、前記シーケンス番号と前記カウンタ値とを比較し、比較結果に基づいて不正メッセージの検知の仮判定を行うステップと、
　同じ前記識別情報が付された前記メッセージの中で、前記シーケンス番号に関する所定条件を満たす前記メッセージの間隔、および前記周期メッセージの所定の送信周期に基づいて、前記不正メッセージの検知の本判定を行うステップとを含む、検知方法。
　車載ネットワークにおける不正メッセージを検知する検知装置において用いられる検知プログラムであって、
　コンピュータを、
　前記車載ネットワークにおけるメッセージとして、送信元の識別情報およびシーケンス番号が付された、周期的に送信される周期メッセージおよび不定期に送信されるイベントメッセージを監視する監視部と、
　前記車載ネットワークから前記イベントメッセージを前記検知装置が受信すると、前記識別情報に対応するカウンタ値を変更するカウンタ部と、
　前記監視部による監視結果に基づいて、前記シーケンス番号と前記カウンタ値とを比較し、比較結果に基づいて不正メッセージの検知の仮判定を行う検知部、として機能させるためのプログラムであり、
　前記検知部は、同じ前記識別情報が付された前記メッセージの中で、前記シーケンス番号に関する所定条件を満たす前記メッセージの間隔、および前記周期メッセージの所定の送信周期に基づいて、前記不正メッセージの検知の本判定を行う、検知プログラム。