WO2022190580A1

WO2022190580A1 - 車載中継装置、管理装置、車載システムおよび通信管理方法

Info

Publication number: WO2022190580A1
Application number: PCT/JP2021/048221
Authority: WO
Inventors: 礒山芳一; 福田國統
Original assignee: 住友電気工業株式会社
Priority date: 2021-03-12
Filing date: 2021-12-24
Publication date: 2022-09-15
Also published as: JPWO2022190580A1; US20240157893A1; DE112021007272T5

Abstract

車載中継装置は、複数の車載装置からそれぞれ受信した複数のフレームを、宛先の前記車載装置へそれぞれ送信する中継処理を行う中継部と、前記複数のフレームが、前記複数の車載装置間の通信のセッションの開始要求を含むこと、および前記開始要求に対する開始応答を含むことを判断する判断部と、前記判断部により前記開始要求を含むと判断された前記フレームの送信元の前記車載装置と、前記判断部により前記開始応答を含むと判断された前記フレームの送信元の１または複数の前記車載装置とが参加する前記セッションに用いる共通鍵を前記セッションごとに生成する生成部と、前記共通鍵を、前記セッションに参加する前記各車載装置へ前記中継部経由で送信する送信部とを備える。

Description

車載中継装置、管理装置、車載システムおよび通信管理方法

　本開示は、車載中継装置、管理装置、車載システムおよび通信管理方法に関する。
　この出願は、２０２１年３月１２日に出願された日本出願特願２０２１－３９７９４号および２０２１年８月２０日に出願された日本出願特願２０２１－１３４４７９号を基礎とする優先権を主張し、その開示のすべてをここに取り込む。

　特許文献１（特開２０１８－２６７９１号公報）には、以下のようなフレーム伝送阻止装置が開示されている。すなわち、フレーム伝送阻止装置は、複数の電子制御ユニットがバスを介して通信するネットワークシステムにおける当該バスに接続されるフレーム伝送阻止装置であって、前記バスからフレームを受信する受信部と、フレームの伝送の阻止を許容するか否かを示す管理情報に基づいて、前記受信部により受信されたフレームが所定条件を満たす場合に当該フレームの伝送を阻止する所定処理を実行するか否かを切り替える処理部とを備える。

特開２０１８－２６７９１号公報

　本開示の車載中継装置は、複数の車載装置からそれぞれ受信した複数のフレームを、宛先の前記車載装置へそれぞれ送信する中継処理を行う中継部と、前記複数のフレームが、前記複数の車載装置間の通信のセッションの開始要求を含むこと、および前記開始要求に対する開始応答を含むことを判断する判断部と、前記判断部により前記開始要求を含むと判断された前記フレームの送信元の前記車載装置と、前記判断部により前記開始応答を含むと判断された前記フレームの送信元の１または複数の前記車載装置とが参加する前記セッションに用いる共通鍵を前記セッションごとに生成する生成部と、前記共通鍵を、前記セッションに参加する前記各車載装置へ前記中継部経由で送信する送信部とを備える。

　本開示の管理装置は、複数の車載装置を備える車載システムに用いられる管理装置であって、前記複数の車載装置のうちの一部または全部である複数の前記車載装置間の通信のセッションの開始要求、および前記開始要求に対する開始応答を、複数の前記車載装置からそれぞれ受信する受信部と、前記開始要求および前記開始応答に紐づく前記セッションに用いる、前記セッションに固有の共通鍵を生成する生成部と、前記共通鍵を前記セッションに参加する前記各車載装置へ送信する送信部とを備える。

　本開示の車載システムは、第１の車載装置および第２の車載装置を含む複数の車載装置と、車載中継装置とを備え、前記車載中継装置は、前記複数の車載装置からそれぞれ受信した複数のフレームを、宛先の前記車載装置へそれぞれ送信する中継処理を行い、前記第１の車載装置は、前記複数の車載装置のうちの一部または全部である複数の前記車載装置間の通信のセッションの開始要求を含む第１のフレームを前記車載中継装置へ送信し、前記第２の車載装置は、前記開始要求に対する開始応答を含む第２のフレームを前記車載中継装置へ送信し、前記車載中継装置は、受信した前記第１のフレームの送信元の前記第１の車載装置と、受信した前記第２のフレームの送信元の前記第２の車載装置とが参加する前記セッションに用いる共通鍵を前記セッションごとに生成し、生成した前記共通鍵を前記セッションに参加する前記各車載装置へ送信する。

　本開示の車載システムは、第１の車載装置および第２の車載装置を含む複数の車載装置と、管理装置とを備え、前記第１の車載装置は、前記複数の車載装置のうちの一部または全部である複数の前記車載装置間の通信のセッションの開始要求を前記管理装置へ送信し、前記第２の車載装置は、前記開始要求に対する開始応答を前記管理装置へ送信し、前記管理装置は、受信した前記開始要求および前記開始応答に紐づく前記セッションに用いる、前記セッションに固有の共通鍵を生成し、生成した前記共通鍵を前記セッションに参加する前記各車載装置へ送信する。

　本開示の通信管理方法は、複数の車載装置からそれぞれ受信した複数のフレームを、宛先の前記車載装置へそれぞれ送信する中継処理を行う車載中継装置における通信管理方法であって、前記複数のフレームが、前記複数の車載装置間の通信のセッションの開始要求を含むこと、および前記開始要求に対する開始応答を含むことを判断するステップと、前記開始要求を含むと判断した前記フレームの送信元の前記車載装置と、前記開始応答を含むと判断した前記フレームの送信元の１または複数の前記車載装置とが参加する前記セッションに用いる共通鍵を前記セッションごとに生成するステップと、生成した前記共通鍵を前記セッションに参加する前記各車載装置へ送信するステップとを含む。

　本開示の通信管理方法は、複数の車載装置を備える車載システムに用いられる管理装置における通信管理方法であって、前記複数の車載装置のうちの一部または全部である複数の前記車載装置間の通信のセッションの開始要求、および前記開始要求に対する開始応答を、複数の前記車載装置からそれぞれ受信するステップと、受信した前記開始要求および前記開始応答に紐づく前記セッションに用いる、前記セッションに固有の共通鍵を生成するステップと、生成した前記共通鍵を前記セッションに参加する前記各車載装置へ送信するステップとを含む。

　本開示の通信管理方法は、第１の車載装置および第２の車載装置を含む複数の車載装置と、前記複数の車載装置からそれぞれ受信した複数のフレームを、宛先の前記車載装置へそれぞれ送信する中継処理を行う車載中継装置とを備える車載システムにおける通信管理方法であって、前記第１の車載装置が、前記複数の車載装置のうちの一部または全部である複数の前記車載装置間の通信のセッションの開始要求を含む第１のフレームを前記車載中継装置へ送信するステップと、前記第２の車載装置が、前記開始要求に対する開始応答を含む第２のフレームを前記車載中継装置へ送信するステップと、前記車載中継装置が、受信した前記第１のフレームの送信元の前記第１の車載装置と、受信した前記第２のフレームの送信元の前記第２の車載装置とが参加する前記セッションに用いる共通鍵を前記セッションごとに生成し、生成した前記共通鍵を前記セッションに参加する前記各車載装置へ送信するステップとを含む。

　本開示の通信管理方法は、第１の車載装置および第２の車載装置を含む複数の車載装置と、管理装置とを備える車載システムにおける通信管理方法であって、前記第１の車載装置が、前記複数の車載装置のうちの一部または全部である複数の前記車載装置間の通信のセッションの開始要求を前記管理装置へ送信するステップと、前記第２の車載装置が、前記開始要求に対する開始応答を前記管理装置へ送信するステップと、前記管理装置が、受信した前記開始要求および前記開始応答に紐づく前記セッションに用いる、前記セッションに固有の共通鍵を生成し、生成した前記共通鍵を前記セッションに参加する前記各車載装置へ送信するステップとを含む。

　本開示の一態様は、このような特徴的な処理部を備える車載中継装置として実現され得るだけでなく、車載中継装置の一部または全部を実現する半導体集積回路として実現され得たり、車載中継装置における処理のステップをコンピュータに実行させるためのプログラムとして実現され得たり、車載中継装置を備える車載システムの一部または全部を実現する半導体集積回路として実現され得たり、車載システムにおける処理のステップをコンピュータに実行させるためのプログラムとして実現され得る。

　本開示の一態様は、このような特徴的な処理部を備える管理装置として実現され得るだけでなく、管理装置の一部または全部を実現する半導体集積回路として実現され得たり、管理装置における処理のステップをコンピュータに実行させるためのプログラムとして実現され得たり、管理装置を備える車載システムの一部または全部を実現する半導体集積回路として実現され得たり、車載システムにおける処理のステップをコンピュータに実行させるためのプログラムとして実現され得る。

図１は、本開示の第１の実施の形態に係る車載システムの構成を示す図である。図２は、本開示の第１の実施の形態に係る車載システムにおいて送受信されるイーサネットフレームの一例を示す図である。図３は、本開示の第１の実施の形態に係る車載システムにおいて送受信されるＳＯＭＥ／ＩＰ－ＳＤメッセージの一例を示す図である。図４は、本開示の第１の実施の形態に係る車載システムにおいて送受信されるＳＯＭＥ／ＩＰメッセージの一例を示す図である。図５は、本開示の第１の実施の形態に係る車載ＥＣＵの構成を示す図である。図６は、本開示の第１の実施の形態に係る中継装置の構成を示す図である。図７は、本開示の第１の実施の形態に係る中継装置における記憶部が記憶する接続先リストの一例を示す図である。図８は、本開示の第１の実施の形態に係る中継装置における記憶部における不正ログリストの一例を示す図である。図９は、本開示の第１の実施の形態に係る中継装置における記憶部におけるセッションログリストの一例を示す図である。図１０は、本開示の第１の実施の形態に係る車載システムにおけるサーバおよびクライアント間のセッションの一例を示す図である。図１１は、本開示の第１の実施の形態に係る中継装置がセッション鍵を配布する際の動作手順の一例を定めたフローチャートである。図１２は、本開示の第１の実施の形態に係る中継装置がセッション鍵を配布する際の動作手順の一例を定めたフローチャートである。図１３は、本開示の第１の実施の形態に係る車載システムにおける通信のシーケンスの一例を示す図である。図１４は、本開示の第１の実施の形態に係る車載システムにおける通信のシーケンスの他の例を示す図である。図１５は、本開示の第２の実施の形態に係る車載システムの構成を示す図である。図１６は、本開示の第２の実施の形態に係る管理装置の構成を示す図である。図１７は、本開示の第２の実施の形態に係る管理装置がセッション鍵を配布する際の動作手順の一例を定めたフローチャートである。図１８は、本開示の第２の実施の形態に係る車載システムにおける通信のシーケンスの一例を示す図である。図１９は、本開示の第２の実施の形態に係る車載システムにおける通信のシーケンスの他の例を示す図である。

　従来、車載ネットワークにおけるセキュリティを向上させるための技術が開発されている。

　［本開示が解決しようとする課題］
　特許文献１に記載のフレーム伝送阻止装置では、ＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）において送受信されるデータフレームすなわちメッセージの内容、およびメッセージの送受信周期に基づいて、不正メッセージを検知する。

　ところで、近年、サービス指向型の通信を行う車載システムの開発が進んでいる。このような車載システムでは、突発的なメッセージ、およびペイロードを含まないメッセージが送受信される。特許文献１に記載のフレーム伝送阻止装置では、突発的なメッセージ、およびペイロードを含まないメッセージが送受信される車載システムにおいて、不正メッセージを検知することが困難であるという問題があった。

　本開示は、上述の課題を解決するためになされたもので、その目的は、車載ネットワークにおけるセキュリティをより向上させることが可能な車載中継装置、管理装置、車載システムおよび通信管理方法を提供することである。

　［本開示の効果］
　本開示によれば、車載ネットワークにおけるセキュリティをより向上させることができる。

　［本開示の実施形態の説明］
　最初に、本開示の実施形態の内容を列記して説明する。

　（１）本開示の実施の形態に係る車載中継装置は、複数の車載装置からそれぞれ受信した複数のフレームを、宛先の前記車載装置へそれぞれ送信する中継処理を行う中継部と、前記複数のフレームが、前記複数の車載装置間の通信のセッションの開始要求を含むこと、および前記開始要求に対する開始応答を含むことを判断する判断部と、前記判断部により前記開始要求を含むと判断された前記フレームの送信元の前記車載装置と、前記判断部により前記開始応答を含むと判断された前記フレームの送信元の１または複数の前記車載装置とが参加する前記セッションに用いる共通鍵を前記セッションごとに生成する生成部と、前記共通鍵を、前記セッションに参加する前記各車載装置へ前記中継部経由で送信する送信部とを備える。

　このように、車載中継装置において、受信したフレームが開始要求を含むこと、および受信したフレームが開始応答を含むことを判断し、開始要求を含むフレームの送信元の車載装置と、開始応答を含むフレームの送信元の１または複数の車載装置とが参加するセッションに用いる共通鍵をセッションごとに生成して各車載装置へ送信する構成により、車載装置間においてセッションごとに個別の共通鍵を用いた通信を行うことができるので、車載装置間の通信のセキュリティを向上することができる。また、たとえば、開始要求の送信元の車載装置および開始応答の送信元の車載装置の認証を行った上で共通鍵の生成および送信を行うことにより、不正機器によるセッションへの参加を防止することができる。したがって、車載ネットワークにおけるセキュリティをより向上させることができる。

　（２）前記車載中継装置は、さらに、前記各車載装置の固有ＩＤを記憶する記憶部を備え、前記送信部は、１つの前記固有ＩＤを暗号鍵として用いて暗号化された前記共通鍵を、暗号化に用いた前記固有ＩＤを有する前記車載装置へ前記中継部経由で送信する構成であってもよい。

　このような構成により、セッションに参加することができる正当な車載装置のみが共通鍵を復号することができるので、たとえば不正な車載装置への共通鍵の漏洩を防止することができる。

　（３）前記送信部は、１つの前記固有ＩＤと前記共通鍵とを用いて算出されたハッシュ値を、前記ハッシュ値の算出に用いた前記固有ＩＤを有する前記車載装置へ前記中継部経由でさらに送信する構成であってもよい。

　このような構成により、車載中継装置から共通鍵を受信した車載装置において、自己の固有ＩＤと車載中継装置からの共通鍵とを用いて算出したハッシュ値と、車載中継装置から受信したハッシュ値とを照合することにより、車載中継装置から受信した共通鍵が改ざんされているか否かを確認することができる。

　（４）前記車載中継装置は、さらに、前記共通鍵が用いられる前記セッションに関するセッション情報を記録する記録部を備える構成であってもよい。

　このような構成により、車載中継装置が記録したセッション情報をたとえばデジタルフォレンジックに用いることができる。また、各車載装置にセッション情報を記憶する機能を付与することなく、複数のセッションに関するセッション情報を車載中継装置に集約することができるので、たとえば車載システムにおいて開始されたすべてのセッションに関するセッション情報を簡易な構成で記録することができる。

　（５）前記記録部は、前記セッション情報として、前記共通鍵の前記中継部による送信時刻を記録する構成であってもよい。

　このような構成により、車載中継装置がセッションの開始を記録することができる。

　（６）前記判断部は、前記中継部により受信された前記フレームが、前記セッションの終了要求を含むことを判断し、前記記録部は、前記セッション情報として、前記終了要求を含む前記フレームの前記中継部による受信時刻を記録する構成であってもよい。

　このような構成により、車載中継装置がセッションの終了を記録することができる。

　（７）前記判断部は、前記中継部により受信された前記フレームが前記開始要求または前記開始応答を含むとの判断結果に応じて、前記フレームの適否を判断し、前記中継部は、前記判断部による前記フレームの適否の判断結果に応じて、前記フレームの前記中継処理または破棄を行う構成であってもよい。

　このような構成により、不正機器からの開始要求および開始応答を検知し、不正機器によるセッションへの参加を防止することができる。

　（８）本開示の実施の形態に係る管理装置は、複数の車載装置を備える車載システムに用いられる管理装置であって、前記複数の車載装置のうちの一部または全部である複数の前記車載装置間の通信のセッションの開始要求、および前記開始要求に対する開始応答を、複数の前記車載装置からそれぞれ受信する受信部と、前記開始要求および前記開始応答に紐づく前記セッションに用いる、前記セッションに固有の共通鍵を生成する生成部と、前記共通鍵を前記セッションに参加する前記各車載装置へ送信する送信部とを備える。

　このように、セッションの開始要求および開始応答を車載装置から受信し、セッションに用いる、セッションに固有の共通鍵を生成して各車載装置へ送信する構成により、車載装置間においてセッションごとに個別の共通鍵を用いた通信を行うことができるので、車載装置間の通信のセキュリティを向上することができる。また、たとえば、開始要求の送信元の車載装置の認証を行うことにより、不正機器からの開始要求を検知することができる。したがって、車載ネットワークにおけるセキュリティをより向上させることができる。

　（９）前記管理装置は、さらに、前記各車載装置の固有ＩＤを記憶する記憶部を備え、前記送信部は、１つの前記固有ＩＤを暗号鍵として用いて暗号化された前記共通鍵を、暗号化に用いた前記固有ＩＤを有する前記車載装置へ送信してもよい。

　（１０）前記送信部は、１つの前記固有ＩＤと前記共通鍵とを用いて算出されたハッシュ値を、前記ハッシュ値の算出に用いた前記固有ＩＤを有する前記車載装置へさらに送信してもよい。

　このような構成により、管理装置から共通鍵を受信した車載装置において、自己の固有ＩＤと管理装置からの共通鍵とを用いて算出したハッシュ値と、管理装置から受信したハッシュ値とを照合することにより、管理装置から受信した共通鍵が改ざんされているか否かを確認することができる。

　（１１）前記受信部は、前記セッションの終了要求を前記車載装置から受信し、前記送信部は、前記受信部による前記終了要求の受信に基づいて、前記セッションを終了させる終了指示を前記セッションに参加している他の前記車載装置へ送信してもよい。

　このような構成により、管理装置がセッションの終了に関与し、終了要求の送信元の車載装置およびセッションの終了時刻を記録することができるので、記録した情報をたとえばデジタルフォレンジックに用いることができる。

　（１２）前記管理装置は、さらに、前記共通鍵が用いられる前記セッションに関するセッション情報を記録する記録部を備える構成であってもよい。

　このような構成により、管理装置が記録したセッション情報をたとえばデジタルフォレンジックに用いることができる。また、各車載装置にセッション情報を記憶する機能を付与することなく、複数のセッションに関するセッション情報を管理装置に集約することができるので、たとえば車載システムにおいて開始されたすべてのセッションに関するセッション情報を簡易な構成で記録することができる。

　（１３）前記記録部は、前記セッション情報として、前記共通鍵の前記送信部による送信時刻を記録してもよい。

　このような構成により、管理装置がセッションの開始を記録することができる。

　（１４）前記管理装置は、さらに、前記共通鍵が用いられる前記セッションに関するセッション情報を記録する記録部を備え、前記記録部は、前記セッション情報として、前記終了要求の前記受信部による受信時刻を記録してもよい。

　このような構成により、管理装置がセッションの終了に関与し、セッションの終了を記録することができる。

　（１５）本開示の実施の形態に係る車載システムは、第１の車載装置および第２の車載装置を含む複数の車載装置と、車載中継装置とを備え、前記車載中継装置は、前記複数の車載装置からそれぞれ受信した複数のフレームを、宛先の前記車載装置へそれぞれ送信する中継処理を行い、前記第１の車載装置は、前記複数の車載装置のうちの一部または全部である複数の前記車載装置間の通信のセッションの開始要求を含む第１のフレームを前記車載中継装置へ送信し、前記第２の車載装置は、前記開始要求に対する開始応答を含む第２のフレームを前記車載中継装置へ送信し、前記車載中継装置は、受信した前記第１のフレームの送信元の前記第１の車載装置と、受信した前記第２のフレームの送信元の前記第２の車載装置とが参加する前記セッションに用いる共通鍵を前記セッションごとに生成し、生成した前記共通鍵を前記セッションに参加する前記各車載装置へ送信する。

　このように、第１の車載装置が開始要求を車載中継装置へ送信し、第２の車載装置が開始応答を車載中継装置へ送信し、車載中継装置が、第１の車載装置および第２の車載装置が参加するセッションに用いる共通鍵をセッションごとに生成して各車載装置へ送信する構成により、車載装置間においてセッションごとに個別の共通鍵を用いた通信を行うことができるので、車載装置間の通信のセキュリティを向上することができる。また、たとえば、開始要求の送信元の車載装置および開始応答の送信元の車載装置の認証を行った上で共通鍵の生成および送信を行うことにより、不正機器によるセッションへの参加を防止することができる。したがって、車載ネットワークにおけるセキュリティをより向上させることができる。

　（１６）前記車載中継装置と、前記第１の車載装置および前記第２の車載装置とは、他の中継装置を介さずに接続される構成であってもよい。

　このような構成により、車載中継装置において、第１の車載装置により送信されるフレームおよび第２の車載装置により送信されるフレームを受信することができるので、第１の車載装置および第２の車載装置が参加するセッションの共通鍵の生成および送信を簡単に行うことができる。

　（１７）前記車載装置は、複数の前記車載装置へマルチキャストにより情報を送信している状態において、前記車載システムにおける異常を検知した場合、複数の前記車載装置へユニキャストにより情報を送信する状態に切り替えてもよい。

　このような構成により、車載システムにおいて、たとえば不正機器に侵入される等の異常が生じた場合において、少なくとも正当な車載装置間における安全な通信が可能な状態を維持することができる。

　（１８）前記車載中継装置は、前記車載システムにおける前記各車載装置の固有ＩＤを記憶する記憶部を備え、前記車載中継装置は、１つの前記固有ＩＤと前記共通鍵とを用いて算出されたハッシュ値を、前記ハッシュ値の算出に用いた前記固有ＩＤを有する前記車載装置へさらに送信し、前記車載装置は、前記車載中継装置から受信した前記共通鍵と自己の前記固有ＩＤとを用いて算出されるハッシュ値と、前記車載中継装置から受信した前記ハッシュ値とを照合してもよい。

　このような構成により、車載装置において、算出したハッシュ値と、車載中継装置から受信したハッシュ値との照合結果に基づいて、車載中継装置から受信した共通鍵が改ざんされているか否かを確認することができる。

　（１９）本開示の実施の形態に係る車載システムは、第１の車載装置および第２の車載装置を含む複数の車載装置と、管理装置とを備え、前記第１の車載装置は、前記複数の車載装置のうちの一部または全部である複数の前記車載装置間の通信のセッションの開始要求を前記管理装置へ送信し、前記第２の車載装置は、前記開始要求に対する開始応答を前記管理装置へ送信し、前記管理装置は、受信した前記開始要求および前記開始応答に紐づく前記セッションに用いる、前記セッションに固有の共通鍵を生成し、生成した前記共通鍵を前記セッションに参加する前記各車載装置へ送信する。

　このように、第１の車載装置がセッションの開始要求を管理装置へ送信し、第２の車載装置が、開始要求に対する開始応答を管理装置へ送信し、管理装置が、セッションに用いる、セッションに固有の共通鍵を生成して各車載装置へ送信する構成により、車載装置間においてセッションごとに個別の共通鍵を用いた通信を行うことができるので、車載装置間の通信のセキュリティを向上することができる。また、たとえば、開始要求の送信元の車載装置の認証を行うことにより、不正機器からの開始要求を検知することができる。したがって、車載ネットワークにおけるセキュリティをより向上させることができる。

　（２０）前記車載装置は、複数の前記車載装置へマルチキャストにより情報を送信している状態において、前記車載システムにおける異常を検知した場合、複数の前記車載装置へユニキャストにより情報を送信する状態に切り替えてもよい。

　（２１）前記管理装置は、前記車載システムにおける前記各車載装置の固有ＩＤを記憶する記憶部を備え、前記管理装置は、１つの前記固有ＩＤと前記共通鍵とを用いて算出されたハッシュ値を、前記ハッシュ値の算出に用いた前記固有ＩＤを有する前記車載装置へさらに送信し、前記車載装置は、前記管理装置から受信した前記共通鍵と自己の前記固有ＩＤとを用いて算出されるハッシュ値と、前記管理装置から受信した前記ハッシュ値とを照合してもよい。

　このような構成により、車載装置において、算出したハッシュ値と、管理装置から受信したハッシュ値との照合結果に基づいて、管理装置から受信した共通鍵が改ざんされているか否かを確認することができる。

　（２２）本開示の実施の形態に係る通信管理方法は、複数の車載装置からそれぞれ受信した複数のフレームを、宛先の前記車載装置へそれぞれ送信する中継処理を行う車載中継装置における通信管理方法であって、前記複数のフレームが、前記複数の車載装置間の通信のセッションの開始要求を含むこと、および前記開始要求に対する開始応答を含むことを判断するステップと、前記開始要求を含むと判断した前記フレームの送信元の前記車載装置と、前記開始応答を含むと判断した前記フレームの送信元の１または複数の前記車載装置とが参加する前記セッションに用いる共通鍵を前記セッションごとに生成するステップと、生成した前記共通鍵を前記セッションに参加する前記各車載装置へ送信するステップとを含む。

　このように、車載中継装置において、受信したフレームが開始要求を含むこと、および受信したフレームが開始応答を含むことを判断し、開始要求を含むフレームの送信元の車載装置と、開始応答を含むフレームの送信元の１または複数の車載装置とが参加するセッションに用いる共通鍵をセッションごとに生成して各車載装置へ送信する方法により、車載装置間においてセッションごとに個別の共通鍵を用いた通信を行うことができるので、車載装置間の通信のセキュリティを向上することができる。また、たとえば、開始要求の送信元の車載装置および開始応答の送信元の車載装置の認証を行った上で共通鍵の生成および送信を行うことにより、不正機器によるセッションへの参加を防止することができる。したがって、車載ネットワークにおけるセキュリティをより向上させることができる。

　（２３）本開示の実施の形態に係る通信管理方法は、複数の車載装置を備える車載システムに用いられる管理装置における通信管理方法であって、前記複数の車載装置のうちの一部または全部である複数の前記車載装置間の通信のセッションの開始要求、および前記開始要求に対する開始応答を、複数の前記車載装置からそれぞれ受信するステップと、受信した前記開始要求および前記開始応答に紐づく前記セッションに用いる、前記セッションに固有の共通鍵を生成するステップと、生成した前記共通鍵を前記セッションに参加する前記各車載装置へ送信するステップとを含む。

　このように、セッションの開始要求および開始応答を車載装置から受信し、セッションに用いる、セッションに固有の共通鍵を生成して各車載装置へ送信する方法により、車載装置間においてセッションごとに個別の共通鍵を用いた通信を行うことができるので、車載装置間の通信のセキュリティを向上することができる。また、たとえば、開始要求の送信元の車載装置の認証を行うことにより、不正機器からの開始要求を検知することができる。したがって、車載ネットワークにおけるセキュリティをより向上させることができる。

　（２４）本開示の実施の形態に係る通信管理方法は、第１の車載装置および第２の車載装置を含む複数の車載装置と、前記複数の車載装置からそれぞれ受信した複数のフレームを、宛先の前記車載装置へそれぞれ送信する中継処理を行う車載中継装置とを備える車載システムにおける通信管理方法であって、前記第１の車載装置が、前記複数の車載装置のうちの一部または全部である複数の前記車載装置間の通信のセッションの開始要求を含む第１のフレームを前記車載中継装置へ送信するステップと、前記第２の車載装置が、前記開始要求に対する開始応答を含む第２のフレームを前記車載中継装置へ送信するステップと、前記車載中継装置が、受信した前記第１のフレームの送信元の前記第１の車載装置と、受信した前記第２のフレームの送信元の前記第２の車載装置とが参加する前記セッションに用いる共通鍵を前記セッションごとに生成し、生成した前記共通鍵を前記セッションに参加する前記各車載装置へ送信するステップとを含む。

　このように、第１の車載装置が開始要求を車載中継装置へ送信し、第２の車載装置が開始応答を車載中継装置へ送信し、車載中継装置が、第１の車載装置および第２の車載装置が参加するセッションに用いる共通鍵をセッションごとに生成して各車載装置へ送信する方法により、車載装置間においてセッションごとに個別の共通鍵を用いた通信を行うことができるので、車載装置間の通信のセキュリティを向上することができる。また、たとえば、開始要求の送信元の車載装置および開始応答の送信元の車載装置の認証を行った上で共通鍵の生成および送信を行うことにより、不正機器によるセッションへの参加を防止することができる。したがって、車載ネットワークにおけるセキュリティをより向上させることができる。

　（２５）本開示の実施の形態に係る通信管理方法は、第１の車載装置および第２の車載装置を含む複数の車載装置と、管理装置とを備える車載システムにおける通信管理方法であって、前記第１の車載装置が、前記複数の車載装置のうちの一部または全部である複数の前記車載装置間の通信のセッションの開始要求を前記管理装置へ送信するステップと、前記第２の車載装置が、前記開始要求に対する開始応答を前記管理装置へ送信するステップと、前記管理装置が、受信した前記開始要求および前記開始応答に紐づく前記セッションに用いる、前記セッションに固有の共通鍵を生成し、生成した前記共通鍵を前記セッションに参加する前記各車載装置へ送信するステップとを含む。

　このように、第１の車載装置がセッションの開始要求を管理装置へ送信し、第２の車載装置が、開始要求に対する開始応答を管理装置へ送信し、管理装置が、セッションに用いる、セッションに固有の共通鍵を生成して各車載装置へ送信する方法により、車載装置間においてセッションごとに個別の共通鍵を用いた通信を行うことができるので、車載装置間の通信のセキュリティを向上することができる。また、たとえば、開始要求の送信元の車載装置の認証を行うことにより、不正機器からの開始要求を検知することができる。したがって、車載ネットワークにおけるセキュリティをより向上させることができる。

　以下、本開示の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。

　〔第１の実施の形態〕
　［構成および基本動作］
　＜車載システム＞
　図１は、本開示の第１の実施の形態に係る車載システムの構成を示す図である。図１を参照して、車載システム３０１は、中継装置１０１と、複数の車載ＥＣＵ１１１とを備える。中継装置１０１は、車載中継装置の一例である。車載ＥＣＵ１１１は、車載装置の一例である。車載システム３０１は、車両１に搭載される。中継装置１０１は、車載システム３０１に用いられる。

　中継装置１０１は、ケーブル１４を介して各車載ＥＣＵ１１１と接続される。たとえば、中継装置１０１と、車載ＥＣＵ１１１とは、他の中継装置を介さずに接続される。ケーブル１４は、たとえば、イーサネット（登録商標）ケーブルである。中継装置１０１および車載ＥＣＵ１１１は、車載ネットワークを構成する。

　車載ＥＣＵ１１１は、たとえば、電動パワーステアリング（Ｅｌｅｃｔｒｉｃ　Ｐｏｗｅｒ　Ｓｔｅｅｒｉｎｇ：ＥＰＳ）、ブレーキ制御装置、アクセル制御装置、ステアリング制御装置、運転支援システム（Ａｄｖａｎｃｅｄ　Ｄｒｉｖｅｒ－Ａｓｓｉｓｔａｎｃｅ　Ｓｙｓｔｅｍ：ＡＤＡＳ）における各種装置への指示等を行う運転支援装置、またはセンサ等である。

　図２は、本開示の第１の実施の形態に係る車載システムにおいて送受信されるイーサネットフレームの一例を示す図である。図２を参照して、イーサネットフレームは、イーサネットヘッダと、ＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）ヘッダと、ＴＣＰ（Ｔｒａｎｓｍｉｓｓｉｏｎ　Ｃｏｎｔｒｏｌ　Ｐｒｏｔｏｃｏｌ）ヘッダと、データフィールドと、ＦＣＳ（Ｆｒａｍｅ　Ｃｈｅｃｋ　Ｓｅｑｕｅｎｃｅ）とを有する。イーサネットヘッダには、宛先ＭＡＣ（Ｍｅｄｉａ　Ａｃｃｅｓｓ　Ｃｏｎｔｒｏｌ）アドレスと、送信元ＭＡＣアドレスと、タイプとが格納される。

　車載ＥＣＵ１１１は、他の車載ＥＣＵ１１１宛のイーサネットフレームを生成し、生成したイーサネットフレームを中継装置１０１へ送信する。

　中継装置１０１は、車載ＥＣＵ１１１と通信を行うことが可能である。中継装置１０１は、車載ＥＣＵ１１１から受信したイーサネットフレームを他の車載ＥＣＵ１１１へ送信する中継処理を行う。たとえば、中継装置１０１は、レイヤ２に従って中継処理を行う。なお、中継装置１０１は、レイヤ２よりも上位のレイヤ３に従って中継処理を行う構成であってもよい。

　（ＳＯＭＥ／ＩＰ）
　車載システム３０１においては、たとえば、インターネットプロトコル群におけるセッション層以上の層のプロトコルであるＳＯＭＥ／ＩＰ（Ｓｃａｌａｂｌｅ　ｓｅｒｖｉｃｅ－Ｏｒｉｅｎｔｅｄ　ＭｉｄｄｌｅｗａｒＥ　ｏｖｅｒ　ＩＰ）に従って、メッセージの送受信が行われる。より詳細には、車載ＥＣＵ１１１は、各種情報が格納されたメッセージをイーサネットフレームのデータフィールドに格納し、当該イーサネットフレームを、ＳＯＭＥ／ＩＰに従って中継装置１０１経由で他の車載ＥＣＵ１１１へ送信する。

　たとえば、車載ＥＣＵ１１１は、複数の車載ＥＣＵ１１１間の通信のセッションを開始する。そして、当該セッションに参加する複数の車載ＥＣＵ１１１は、メッセージの送受信を行う。セッションに参加する車載ＥＣＵ１１１の組み合わせは、固定的ではなく、動的に変化する。

　一例として、車載ＥＣＵ１１１であるセンサと、他の車載ＥＣＵ１１１である運転支援装置とがセッションを開始する。この場合、当該センサは、サービスの提供として、車両１の走行状態または周囲の状態に関するセンサ情報をメッセージに格納して当該運転支援装置へ送信する。運転支援装置は、受信したメッセージから、サービスとして提供されたセンサ情報を取得し、当該センサ情報を用いて、車両１の運転に関する各種制御情報を生成し、生成した各種制御情報をブレーキ制御装置およびステアリング制御装置等へ送信する。

　以下、サービスの提供を行う側の車載ＥＣＵ１１１を「サーバ」とも称する。また、サービスの提供を受ける側の車載ＥＣＵ１１１を「クライアント」とも称する。車載ＥＣＵ１１１は、サーバとしてのみ機能してもよいし、クライアントとしてのみ機能してもよいし、セッションにおけるサービスの内容に応じてサーバまたはクライアントとして機能してもよい。サーバは、第１の車載装置の一例である。クライアントは、第２の車載装置の一例である。

　（Ａ）セッションの開始
　ＳＯＭＥ／ＩＰに従う通信では、Ｓｅｒｖｉｃｅ　Ｄｉｓｃｏｖｅｒｙが実行されることにより、セッションが開始する。より詳細には、複数の車載ＥＣＵ１１１は、ＳＯＭＥ／ＩＰ－ＳＤメッセージを送受信することにより、セッションを開始する。

　図３は、本開示の第１の実施の形態に係る車載システムにおいて送受信されるＳＯＭＥ／ＩＰ－ＳＤメッセージの一例を示す図である。図３を参照して、ＳＯＭＥ／ＩＰ－ＳＤメッセージは、ＳＯＭＥ／ＩＰヘッダと、ＳＯＭＥ／ＩＰ－ＳＤヘッダとを有する。

　（Ａ－１）Ｏｆｆｅｒメッセージ
　一例として、Ｓｅｒｖｉｃｅ　Ｄｉｓｃｏｖｅｒｙの機能により、サーバがサービスの提供を申し出て、クライアントとサーバとの間のセッションが開始する。

　たとえば、ある車載ＥＣＵ１１１は、サーバとして、定期的または不定期に、ＳＯＭＥ／ＩＰ－ＳＤメッセージの一例であるＯｆｆｅｒメッセージをマルチキャストする。より詳細には、サーバは、当該サーバが提供可能なサービスに対応するサービスＩＤがＳＯＭＥ／ＩＰ－ＳＤヘッダに格納されたＯｆｆｅｒメッセージを生成する。そして、サーバは、データフィールドにＯｆｆｅｒメッセージが格納され、かつ宛先ＭＡＣアドレスとしてマルチキャストアドレスが格納されたイーサネットフレームを生成し、生成したイーサネットフレームを中継装置１０１へ送信する。当該Ｏｆｆｅｒメッセージは、セッションの開始要求の一例である。

　中継装置１０１経由でサーバからＯｆｆｅｒメッセージを受信した複数の車載ＥＣＵ１１１のうち、Ｏｆｆｅｒメッセージに含まれるサービスＩＤに対応するサービスを必要とする車載ＥＣＵ１１１は、クライアントとして、ＳＯＭＥ／ＩＰ－ＳＤメッセージの一例であるＳｕｂｓｃｒｉｂｅメッセージを中継装置１０１経由でサーバへ送信する。より詳細には、クライアントは、データフィールドにＳｕｂｓｃｒｉｂｅメッセージが格納されたイーサネットフレームを生成し、生成したイーサネットフレームを中継装置１０１経由でサーバへ送信する。当該Ｓｕｂｓｃｒｉｂｅメッセージは、セッションの開始要求に対する開始応答の一例である。

　サーバは、中継装置１０１経由でクライアントからＳｕｂｓｃｒｉｂｅメッセージを受信すると、クライアントへのサービスの提供を開始する。

　（Ａ－２）Ｆｉｎｄメッセージ
　他の例として、Ｓｅｒｖｉｃｅ　Ｄｉｓｃｏｖｅｒｙの機能により、クライアントがサービスの提供元であるサーバを探索して、クライアントとサーバとの間の通信のセッションが開始する。

　たとえば、ある車載ＥＣＵ１１１は、クライアントとして、定期的または不定期に、ＳＯＭＥ／ＩＰ－ＳＤメッセージの一例であるＦｉｎｄメッセージをマルチキャストする。より詳細には、クライアントは、提供を受けようとするサービスに対応するサービスＩＤがＳＯＭＥ／ＩＰ－ＳＤヘッダに格納されたＦｉｎｄメッセージを生成する。そして、クライアントは、データフィールドにＦｉｎｄメッセージが格納され、かつ宛先ＭＡＣアドレスとしてマルチキャストアドレスが格納されたイーサネットフレームを生成し、生成したイーサネットフレームを中継装置１０１へ送信する。当該Ｆｉｎｄメッセージは、セッションの探索要求の一例である。

　中継装置１０１経由でクライアントからＦｉｎｄメッセージを受信した複数の車載ＥＣＵ１１１のうち、Ｆｉｎｄメッセージに含まれるサービスＩＤに対応するサービスを提供可能な車載ＥＣＵ１１１は、サーバとして、ＳＯＭＥ／ＩＰ－ＳＤメッセージの一例であるＯｆｆｅｒメッセージを中継装置１０１経由でクライアントへ送信する。より詳細には、サーバは、データフィールドにＯｆｆｅｒメッセージが格納されたイーサネットフレームを生成し、生成したイーサネットフレームを中継装置１０１経由でクライアントへ送信する。当該Ｏｆｆｅｒメッセージは、セッションの探索要求に対する開始要求の一例である。

　クライアントは、中継装置１０１経由でサーバからＯｆｆｅｒメッセージを受信すると、ＳＯＭＥ／ＩＰ－ＳＤメッセージの一例であるＳｕｂｓｃｒｉｂｅメッセージを中継装置１０１経由でサーバへ送信する。より詳細には、クライアントは、データフィールドにＳｕｂｓｃｒｉｂｅメッセージが格納されたイーサネットフレームを生成し、生成したイーサネットフレームを中継装置１０１経由でサーバへ送信する。当該Ｓｕｂｓｃｒｉｂｅメッセージは、セッションの開始要求に対する開始応答の一例である。

　（Ｂ）セッションにおける通信
　ＳＯＭＥ／ＩＰに従う通信では、サーバおよびクライアントのセッションにおいて、当該サーバから当該クライアントへのＳＯＭＥ／ＩＰメッセージの送信が行われる。

　図４は、本開示の第１の実施の形態に係る車載システムにおいて送受信されるＳＯＭＥ／ＩＰメッセージの一例を示す図である。図４を参照して、ＳＯＭＥ／ＩＰメッセージは、ＳＯＭＥ／ＩＰヘッダと、ペイロードとを有する。

　たとえば、サーバは、定期的または不定期に、ＳＯＭＥ／ＩＰメッセージの一例であるセッションメッセージを中継装置１０１経由でクライアントへ送信する。より詳細には、サーバは、サービスとして提供すべき情報がペイロードに格納されたセッションメッセージを生成する。そして、サーバは、データフィールドにセッションメッセージが格納されたイーサネットフレームを生成し、生成したイーサネットフレームを中継装置１０１経由でクライアントへ送信する。

　（Ｃ）セッションの終了
　ＳＯＭＥ／ＩＰに従う通信では、Ｓｅｒｖｉｃｅ　Ｄｉｓｃｏｖｅｒｙが実行されることにより、セッションが終了する。より詳細には、複数の車載ＥＣＵ１１１は、ＳＯＭＥ／ＩＰ－ＳＤメッセージを送受信することにより、セッションを終了する。

　（Ｃ－１）ＳｔｏｐＯｆｆｅｒメッセージ
　一例として、Ｓｅｒｖｉｃｅ　Ｄｉｓｃｏｖｅｒｙの機能により、サーバがサービスの提供の停止を申し出て、セッションが終了する。

　たとえば、サーバは、サービスの提供を停止する場合、ＳＯＭＥ／ＩＰ－ＳＤメッセージの一例であるＳｔｏｐＯｆｆｅｒメッセージをクライアントへ送信する。より詳細には、サーバは、提供を停止するサービスに対応するサービスＩＤがＳＯＭＥ／ＩＰ－ＳＤヘッダに格納されたＳｔｏｐＯｆｆｅｒメッセージを生成する。そして、サーバは、データフィールドにＳｔｏｐＯｆｆｅｒメッセージが格納されたイーサネットフレームを生成し、生成したイーサネットフレームを中継装置１０１経由でクライアントへ送信する。当該ＳｔｏｐＯｆｆｅｒメッセージは、セッションの終了要求の一例である。

　サーバは、中継装置１０１経由でクライアントへＳｔｏｐＯｆｆｅｒメッセージを送信した後、クライアントへのサービスの提供を終了する。

　（Ｃ－２）ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージ
　他の例として、Ｓｅｒｖｉｃｅ　Ｄｉｓｃｏｖｅｒｙの機能により、クライアントがサービスの享受の停止を申し出て、セッションが終了する。

　たとえば、クライアントは、サービスの享受を停止する場合、ＳＯＭＥ／ＩＰ－ＳＤメッセージの一例であるＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージをサーバへ送信する。より詳細には、クライアントは、享受を停止するサービスに対応するサービスＩＤがＳＯＭＥ／ＩＰ－ＳＤヘッダに格納されたＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージを生成する。そして、クライアントは、データフィールドにＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージが格納されたイーサネットフレームを生成し、生成したイーサネットフレームを中継装置１０１経由でサーバへ送信する。当該ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージは、セッションの終了要求の一例である。

　サーバは、中継装置１０１経由でクライアントからＳｕｂｓｃｒｉｂｅメッセージを受信すると、クライアントへのサービスの提供を終了する。

　＜車載ＥＣＵおよび中継装置における処理の概要＞
　図５は、本開示の第１の実施の形態に係る車載ＥＣＵの構成を示す図である。図５を参照して、車載ＥＣＵ１１１は、通信部１１と、処理部１２と、記憶部１３とを備える。通信部１１および処理部１２は、たとえば、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）およびＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）等のプロセッサにより実現される。記憶部１３は、たとえば不揮発性メモリである。

　車載ＥＣＵ１１１における記憶部１３は、当該車載ＥＣＵ１１１の固有ＩＤと、当該車載ＥＣＵ１１１の識別子であるＥＣＵ識別子と、当該車載ＥＣＵ１１１のエンドポイント情報と、中継装置１０１のエンドポイント情報とを記憶している。固有ＩＤは、たとえば車両１の出荷時に記憶部１３に書き込まれる。固有ＩＤは、ＥＣＵ識別子と比べて秘匿性が高い。エンドポイント情報は、ＩＰアドレスと論理ポート番号とを含む。

　また、記憶部１３は、車載システム３０１において提供されるサービスの内容と、サービスＩＤとの対応関係を示すサービスリストを記憶している。

　図６は、本開示の第１の実施の形態に係る中継装置の構成を示す図である。図６を参照して、中継装置１０１は、複数の通信ポート２１と、中継部２２と、処理部２３と、ログ生成部２４と、記憶部２５とを備える。処理部２３は、判断部の一例であり、生成部の一例であり、かつ送信部の一例である。ログ生成部２４は、記録部の一例である。中継部２２、処理部２３およびログ生成部２４は、たとえば、ＣＰＵおよびＤＳＰ等のプロセッサにより実現される。記憶部２５は、たとえば不揮発性メモリである。

　通信ポート２１は、ケーブル１４を接続可能な端子である。通信ポート２１は、ケーブル１４を介して車載ＥＣＵ１１１に接続されている。なお、通信ポート２１は、集積回路の端子であってもよい。

　記憶部２５は、通信ポート２１のポート番号と、通信ポート２１に接続された車載ＥＣＵ１１１のＭＡＣアドレスとの対応関係を示すアドレステーブルＴｂ１を記憶する。

　また、記憶部２５は、車載システム３０１における各車載ＥＣＵ１１１の固有ＩＤを記憶する。たとえば、記憶部２５は、サービスＩＤごとに、サービスに関与し得るサーバおよびクライアントの、エンドポイント情報と、ＥＣＵ識別子と、固有ＩＤとを示す接続先リストを記憶する。

　図７は、本開示の第１の実施の形態に係る中継装置における記憶部が記憶する接続先リストの一例を示す図である。図７を参照して、接続先リストには、サービスＩＤが「０ｘ０００１」であるサービスに関与し得る２つのサーバおよび２つのクライアントのエンドポイント情報等、ならびにサービスＩＤが「０ｘ０００２」であるサービスに関与し得る１つのサーバおよび２つのクライアントのエンドポイント情報等が登録されている。具体的には、接続先リストには、たとえばサービスＩＤが「０ｘ０００２」であるサービスに関与し得るサーバとして、エンドポイント情報が「ＡＡＡ」であり、ＥＣＵ識別子が「ＥＣＵ＿１」であり、かつ固有ＩＤが「ＩＤ＿Ａ」である車載ＥＣＵ１１１が登録されている。ここで、「０ｘ」で始まる数字は、「０ｘ」以降の数字が１６進数で表されていることを意味する。

　中継部２２は、複数の車載ＥＣＵ１１１からそれぞれ受信した複数のイーサネットフレームを、宛先の車載ＥＣＵ１１１へそれぞれ送信する中継処理を行う。後述するように、中継部２２は、処理部２３からの指示により、受信したイーサネットフレームを宛先の車載ＥＣＵ１１１へ中継することなく破棄する場合がある。

　より詳細には、中継部２２は、ある車載ＥＣＵ１１１から対応の通信ポート２１経由でイーサネットフレームを受信すると、受信したイーサネットフレームを記憶部２５に保存する。

　処理部２３は、中継部２２により受信されたイーサネットフレームがＳＯＭＥ／ＩＰ－ＳＤメッセージを含むか否かを判断する。たとえば、処理部２３は、中継部２２により記憶部２５にイーサネットフレームが保存されると、当該イーサネットフレームのデータフィールドにＳＯＭＥ／ＩＰ－ＳＤヘッダが含まれているか否かを確認する。

　処理部２３は、中継部２２により記憶部２５に保存されたイーサネットフレームのデータフィールドにＳＯＭＥ／ＩＰ－ＳＤヘッダが含まれていない場合、当該イーサネットフレームはＳＯＭＥ／ＩＰ－ＳＤメッセージを含まないと判断し、当該イーサネットフレームの中継処理を行うべき旨を示す中継指示を中継部２２へ出力する。

　中継部２２は、処理部２３から中継指示を受けた場合、中継指示が示すイーサネットフレームを記憶部２５から取得し、当該イーサネットフレームの中継処理を行う。具体的には、中継部２２は、記憶部２５におけるアドレステーブルＴｂ１を参照し、イーサネットフレームの宛先ＭＡＣアドレスに対応するポート番号の通信ポート２１経由で当該イーサネットフレームを宛先の車載ＥＣＵ１１１へ送信する。

　一方、処理部２３は、中継部２２により記憶部２５に保存されたイーサネットフレームのデータフィールドにＳＯＭＥ／ＩＰ－ＳＤヘッダが含まれている場合、当該イーサネットフレームはＳＯＭＥ／ＩＰ－ＳＤメッセージを含むと判断する。そして、処理部２３は、ＳＯＭＥ／ＩＰ－ＳＤヘッダを参照することにより、当該イーサネットフレームがＯｆｆｅｒメッセージを含むことを判断する。あるいは、処理部２３は、中継部２２により記憶部２５に保存されたイーサネットフレームのＳＯＭＥ／ＩＰ－ＳＤヘッダを参照することにより、当該イーサネットフレームがＦｉｎｄメッセージを含むことを判断する。あるいは、処理部２３は、中継部２２により記憶部２５に保存されたイーサネットフレームのＳＯＭＥ／ＩＰ－ＳＤヘッダを参照することにより、当該イーサネットフレームがＳｕｂｓｃｒｉｂｅメッセージを含むことを判断する。あるいは、処理部２３は、中継部２２により記憶部２５に保存されたイーサネットフレームのＳＯＭＥ／ＩＰ－ＳＤヘッダを参照することにより、当該イーサネットフレームがＳｔｏｐＯｆｆｅｒメッセージを含むことを判断する。あるいは、処理部２３は、中継部２２により記憶部２５に保存されたイーサネットフレームのＳＯＭＥ／ＩＰ－ＳＤヘッダを参照することにより、当該イーサネットフレームがＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージを含むことを判断する。

　また、処理部２３は、中継部２２により記憶部２５に保存されたイーサネットフレームがＳＯＭＥ／ＩＰ－ＳＤメッセージを含むと判断した場合、当該イーサネットフレームの適否を判断する。

　中継部２２は、処理部２３による当該イーサネットフレームの適否の判断結果に応じて、当該イーサネットフレームの中継処理または破棄を行う。

　より詳細には、処理部２３は、当該イーサネットフレームが不適切であると判断した場合、当該イーサネットフレームを破棄すべき旨を示す破棄指示を中継部２２へ出力する。

　中継部２２は、処理部２３から破棄指示を受けた場合、記憶部２５における、中継指示が示すイーサネットフレームを破棄する。

　一方、処理部２３は、当該イーサネットフレームが適切であると判断した場合、当該イーサネットフレームの中継処理を行うべき旨を示す中継指示を中継部２２へ出力する。

　中継部２２は、処理部２３から中継指示を受けた場合、中継指示が示すイーサネットフレームを記憶部２５から取得し、当該イーサネットフレームの中継処理を行う。

　処理部２３は、Ｏｆｆｅｒメッセージ等の開始要求を含むと判断したイーサネットフレームの送信元の車載ＥＣＵ１１１と、Ｓｕｂｓｃｒｉｂｅメッセージ等の開始応答を含むと判断したイーサネットフレームの送信元の１または複数の車載ＥＣＵ１１１とが参加するセッションに用いるセッション鍵Ｋをセッションごとに生成する。セッション鍵Ｋは、共通鍵の一例であり、たとえば使用する暗号方式に従った鍵長の乱数である。たとえば、処理部２３は、セッションごとにランダムな内容のセッション鍵Ｋを生成する。

　処理部２３は、生成したセッション鍵Ｋを当該セッションに参加する各車載ＥＣＵ１１１へ中継部２２経由で送信する。ログ生成部２４は、処理部２３により生成されたセッション鍵Ｋが用いられるセッションに関するセッション情報を記録する。

　（１）Ｓｅｒｖｉｃｅ　Ｄｉｓｃｏｖｅｒｙにおける処理例１
　（１－１）サーバによるＯｆｆｅｒメッセージの送信
　再び図５を参照して、サーバである車載ＥＣＵ１１１において、処理部１２は、記憶部１３におけるサービスリストを参照し、当該車載ＥＣＵ１１１が提供可能なサービスに対応するサービスＩＤを取得する。また、処理部１２は、記憶部１３からＥＣＵ識別子および当該車載ＥＣＵ１１１のエンドポイント情報を取得する。処理部１２は、取得したサービスＩＤ、ＥＣＵ識別子およびエンドポイント情報を含むＯｆｆｅｒメッセージを生成する。

　処理部１２は、生成したＯｆｆｅｒメッセージおよび記憶部１３における固有ＩＤに基づいてＭＡＣ（Ｍｅｓｓａｇｅ　Ａｕｔｈｅｎｔｉｃａｔｉｏｎ　Ｃｏｄｅ）値を算出する。処理部１２は、データフィールドに当該Ｏｆｆｅｒメッセージおよび当該ＭＡＣ値が格納され、かつ宛先ＭＡＣアドレスとしてマルチキャストアドレスが格納されたイーサネットフレームを生成する。処理部１２は、生成したイーサネットフレームを通信部１１へ出力する。

　通信部１１は、処理部１２から受けたイーサネットフレームを中継装置１０１へ送信する。

　（１－２）中継装置によるＯｆｆｅｒメッセージの適否の判断
　再び図６を参照して、中継装置１０１における中継部２２は、サーバから対応の通信ポート経由でイーサネットフレームを受信し、受信したイーサネットフレームにタイムスタンプを付し、イーサネットフレームを記憶部２５に保存する。

　処理部２３は、中継部２２により記憶部２５にイーサネットフレームが保存されると、当該イーサネットフレームのデータフィールドにＳＯＭＥ／ＩＰ－ＳＤヘッダが含まれていることを確認し、ＳＯＭＥ／ＩＰ－ＳＤヘッダを参照することにより、当該イーサネットフレームはＯｆｆｅｒメッセージを含むと判断する。そして、処理部２３は、当該イーサネットフレームの適否を判断する。

　より詳細には、処理部２３は、当該イーサネットフレームからＯｆｆｅｒメッセージ、ＭＡＣ値およびタイムスタンプを取得する。また、処理部２３は、取得したＯｆｆｅｒメッセージからサービスＩＤ、車載ＥＣＵ１１１のエンドポイント情報およびＥＣＵ識別子を取得する。そして、処理部２３は、記憶部２５における接続先リストを参照し、Ｏｆｆｅｒメッセージから取得したサービスＩＤが示すサービスに関与し得るサーバとして、Ｏｆｆｅｒメッセージから取得したエンドポイント情報およびＥＣＵ識別子により特定される車載ＥＣＵ１１１が接続先リストに登録されているか否かを確認する。

　一例として、処理部２３は、Ｏｆｆｅｒメッセージから取得したサービスＩＤ、エンドポイント情報およびＥＣＵ識別子が、それぞれ、「０ｘ０００１」、「ＢＢＢ」および「ＥＣＵ＿２」である場合、当該サービスＩＤが示すサービスに関与し得るサーバとして、当該ＥＣＵ識別子および当該エンドポイント情報により特定される車載ＥＣＵ１１１が接続先リストに登録されていると判断する。

　また、処理部２３は、接続先リストを参照し、Ｏｆｆｅｒメッセージから取得したエンドポイント情報等により特定される車載ＥＣＵ１１１の固有ＩＤを取得する。処理部２３は、Ｏｆｆｅｒメッセージおよび取得した固有ＩＤに基づいてＭＡＣ値を算出する。そして、処理部２３は、イーサネットフレームから取得したＭＡＣ値と、自己が算出したＭＡＣ値とを照合することにより、当該イーサネットフレームが改ざんされているか否かを判断する。

　処理部２３は、Ｏｆｆｅｒメッセージから取得したエンドポイント情報等により特定される車載ＥＣＵ１１１が接続先リストに登録されており、かつイーサネットフレームが改ざんされていないと判断した場合、中継部２２により受信されたイーサネットフレームは適切であると判断する。一方、処理部２３は、Ｏｆｆｅｒメッセージから取得したエンドポイント情報等により特定される車載ＥＣＵ１１１が接続先リストに登録されていない場合、またはイーサネットフレームが改ざんされていると判断した場合、中継部２２により受信されたイーサネットフレームは不適切であると判断する。

　処理部２３は、イーサネットフレームが適切であると判断した場合、Ｏｆｆｅｒメッセージから取得したＥＣＵ識別子およびエンドポイント情報をサーバ情報として記憶部２５に保存する。

　また、処理部２３は、中継部２２により受信されたイーサネットフレームが適切であると判断した場合、記憶部２５におけるイーサネットフレームに含まれるＯｆｆｅｒメッセージからＥＣＵ識別子およびエンドポイント情報を消去する。そして、処理部２３は、当該イーサネットフレームの中継処理を行うべき旨を示す中継指示を中継部２２へ出力する。

　中継部２２は、処理部２３から中継指示を受けた場合、中継指示が示すイーサネットフレームを記憶部２５から取得し、当該イーサネットフレームの中継処理を行う。具体的には、中継部２２は、処理部２３によりＥＣＵ識別子およびエンドポイント情報が消去されたイーサネットフレームを、当該イーサネットフレームの宛先ＭＡＣアドレスであるマルチキャストアドレスに従って、当該イーサネットフレームの送信元の車載ＥＣＵ１１１以外の車載ＥＣＵ１１１へ送信する。

　一方、処理部２３は、中継部２２により受信されたイーサネットフレームが不適切であると判断した場合、当該イーサネットフレームを破棄すべき旨を示す破棄指示を中継部２２へ出力する。

　中継部２２は、処理部２３から破棄指示を受けた場合、破棄指示が示すイーサネットフレームを破棄する。

　また、処理部２３は、中継部２２により受信されたイーサネットフレームが不適切であると判断した場合、Ｏｆｆｅｒメッセージおよびタイムスタンプをログ生成部２４へ出力する。ログ生成部２４は、処理部２３により不適切であると判断されたイーサネットフレームに含まれるメッセージに関する情報を記録する。

　図８は、本開示の第１の実施の形態に係る中継装置における記憶部における不正ログリストの一例を示す図である。図８を参照して、記憶部２５は、処理部２３により不適切と判断されたイーサネットフレームに含まれるメッセージのバイト列と、当該イーサネットフレームの送信元の車載ＥＣＵ１１１のＥＣＵ識別子と、当該イーサネットフレームの受信時刻とを示す不正ログのリストである不正ログリストＲ１を記憶している。

　ログ生成部２４は、処理部２３からＯｆｆｅｒメッセージおよびタイムスタンプを受けて、受けたＯｆｆｅｒメッセージに含まれるＥＣＵ識別子を取得し、当該Ｏｆｆｅｒメッセージのバイト列、取得したＥＣＵ識別子および受信時刻を不正ログとして記憶部２５における不正ログリストＲ１に書き込む。

　（１－３）クライアントによるＳｕｂｓｃｒｉｂｅメッセージの送信
　再び図５を参照して、クライアントである車載ＥＣＵ１１１において、処理部１２は、通信部１１経由で中継装置１０１からイーサネットフレームを受信し、受信したイーサネットフレームから送信元ＭＡＣアドレスおよびＯｆｆｅｒメッセージを取得する。また、処理部１２は、取得したＯｆｆｅｒメッセージからサービスＩＤを取得する。

　処理部１２は、記憶部１３におけるサービスリストを参照し、取得したサービスＩＤが示すサービスの要否を判断する。処理部１２は、当該サービスが必要であると判断した場合、記憶部１３からＥＣＵ識別子および当該車載ＥＣＵ１１１のエンドポイント情報を取得し、当該サービスに対応するサービスＩＤ、取得したＥＣＵ識別子および取得したエンドポイント情報を含むＳｕｂｓｃｒｉｂｅメッセージを生成する。一方、処理部１２は、当該サービスが不要であると判断した場合、Ｓｕｂｓｃｒｉｂｅメッセージの生成を行わない。

　処理部１２は、生成したＳｕｂｓｃｒｉｂｅメッセージおよび記憶部１３における固有ＩＤに基づいてＭＡＣ値を算出する。処理部１２は、データフィールドに当該Ｓｕｂｓｃｒｉｂｅメッセージおよび当該ＭＡＣ値が格納され、かつ宛先ＭＡＣアドレスとしてサーバのＭＡＣアドレスが格納されたイーサネットフレームを生成する。処理部１２は、生成したイーサネットフレームを通信部１１へ出力する。

　（１－４）中継装置によるＳｕｂｓｃｒｉｂｅメッセージの適否の判断
　再び図６を参照して、中継装置１０１における中継部２２は、クライアントから対応の通信ポート経由でイーサネットフレームを受信し、受信したイーサネットフレームにタイムスタンプを付し、イーサネットフレームを記憶部２５に保存する。

　処理部２３は、中継部２２により記憶部２５にイーサネットフレームが保存されると、当該イーサネットフレームのデータフィールドにＳＯＭＥ／ＩＰ－ＳＤヘッダが含まれていることを確認し、ＳＯＭＥ／ＩＰ－ＳＤヘッダを参照することにより、当該イーサネットフレームはＳｕｂｓｃｒｉｂｅメッセージを含むと判断する。そして、処理部２３は、当該イーサネットフレームの適否を判断する。

　より詳細には、処理部２３は、当該イーサネットフレームからＳｕｂｓｃｒｉｂｅメッセージ、ＭＡＣ値およびタイムスタンプを取得する。また、処理部２３は、取得したＳｕｂｓｃｒｉｂｅメッセージからサービスＩＤ、車載ＥＣＵ１１１のエンドポイント情報およびＥＣＵ識別子を取得する。そして、処理部２３は、記憶部２５における接続先リストを参照し、Ｓｕｂｓｃｒｉｂｅメッセージから取得したサービスＩＤが示すサービスに関与し得るクライアントとして、Ｓｕｂｓｃｒｉｂｅメッセージから取得したエンドポイント情報およびＥＣＵ識別子により特定される車載ＥＣＵ１１１が接続先リストに登録されているか否かを確認する。

　一例として、処理部２３は、Ｓｕｂｓｃｒｉｂｅメッセージから取得したサービスＩＤ、エンドポイント情報およびＥＣＵ識別子が、それぞれ、「０ｘ０００１」、「ＣＣＣ」および「ＥＣＵ＿３」である場合、当該サービスＩＤが示すサービスに関与し得るクライアントとして、当該ＥＣＵ識別子および当該エンドポイント情報により特定される車載ＥＣＵ１１１が接続先リストに登録されていると判断する。

　また、処理部２３は、接続先リストを参照し、Ｓｕｂｓｃｒｉｂｅメッセージから取得したエンドポイント情報等により特定される車載ＥＣＵ１１１の固有ＩＤを取得する。処理部２３は、Ｓｕｂｓｃｒｉｂｅメッセージおよび取得した固有ＩＤに基づいてＭＡＣ値を算出する。そして、処理部２３は、イーサネットフレームから取得したＭＡＣ値と、自己が算出したＭＡＣ値とを照合することにより、当該イーサネットフレームが改ざんされているか否かを判断する。

　処理部２３は、Ｓｕｂｓｃｒｉｂｅメッセージから取得したエンドポイント情報等により特定される車載ＥＣＵ１１１が接続先リストに登録されており、かつイーサネットフレームが改ざんされていないと判断した場合、中継部２２により受信されたイーサネットフレームは適切であると判断する。一方、処理部２３は、Ｓｕｂｓｃｒｉｂｅメッセージから取得したエンドポイント情報等により特定される車載ＥＣＵ１１１が接続先リストに登録されていない場合、またはイーサネットフレームが改ざんされていると判断した場合、中継部２２により受信されたイーサネットフレームは不適切であると判断する。

　処理部２３は、イーサネットフレームが適切であると判断した場合、Ｓｕｂｓｃｒｉｂｅメッセージから取得したＥＣＵ識別子およびエンドポイント情報をクライアント情報として記憶部２５に保存する。

　また、処理部２３は、中継部２２により受信されたイーサネットフレームが不適切であると判断した場合、Ｓｕｂｓｃｒｉｂｅメッセージおよびタイムスタンプをログ生成部２４へ出力する。ログ生成部２４は、処理部２３により不適切であると判断されたイーサネットフレームに含まれるメッセージに関する情報を記憶部２５における不正ログリストＲ１に書き込む。

　（１－５）中継装置によるセッション鍵の生成および配布
　中継装置１０１における処理部２３は、Ｓｕｂｓｃｒｉｂｅメッセージが格納されたイーサネットフレームが適切であると判断し、クライアント情報を記憶部２５に保存すると、記憶部２５に保存したサーバ情報およびクライアント情報がそれぞれ示すサーバおよびクライアント間のセッションを確立することを決定する。

　そして、処理部２３は、当該セッションに用いるセッション鍵Ｋと、セッション鍵ＫのＩＤである鍵ＩＤとを生成し、生成したセッション鍵Ｋおよび鍵ＩＤを当該セッションに参加するサーバおよびクライアントへ配布する。また、処理部２３は、生成したセッション鍵Ｋおよび鍵ＩＤを、サービスＩＤに対応付けて記憶部２５に保存する。

　たとえば、処理部２３は、固有ＩＤを暗号鍵として用いてセッション鍵Ｋを暗号化する。また、たとえば、処理部２３は、固有ＩＤとセッション鍵Ｋとを用いてハッシュ値ＨＶを算出する。そして、処理部２３は、暗号化したセッション鍵Ｋおよびハッシュ値ＨＶを、セッション鍵Ｋの暗号化およびハッシュ値ＨＶの算出に用いた固有ＩＤを有する車載ＥＣＵ１１１へ中継部２２経由で送信する。

　より詳細には、処理部２３は、記憶部２５における接続先リストを参照し、サーバ情報が示すサーバの固有ＩＤを取得し、取得した固有ＩＤを暗号鍵として用いてセッション鍵Ｋを暗号化することにより、暗号化されたサーバ用のセッション鍵Ｋである暗号化鍵ＫＳを生成する。そして、処理部２３は、記憶部２５におけるイーサネットフレームに含まれるＳｕｂｓｃｒｉｂｅメッセージに暗号化鍵ＫＳおよび対応の鍵ＩＤを含め、当該Ｓｕｂｓｃｒｉｂｅメッセージとサーバの固有ＩＤとを所定のハッシュ関数に与えることによりハッシュ値ＨＶＳを算出する。処理部２３は、当該イーサネットフレームに、算出したハッシュ値ＨＶＳをさらに格納する。そして、処理部２３は、当該イーサネットフレームの中継処理を行うべき旨を示す中継指示を中継部２２へ出力する。

　中継部２２は、処理部２３から中継指示を受けた場合、中継指示が示すイーサネットフレームを記憶部２５から取得し、当該イーサネットフレームの中継処理を行う。具体的には、中継部２２は、暗号化鍵ＫＳ、鍵ＩＤおよびハッシュ値ＨＶＳが格納されたイーサネットフレームを、当該イーサネットフレームの宛先ＭＡＣアドレスに従ってサーバへ送信する。

　また、処理部２３は、記憶部２５における接続先リストを参照し、クライアント情報が示すクライアントの固有ＩＤを取得し、取得した固有ＩＤを暗号鍵として用いてセッション鍵Ｋを暗号化することにより、暗号化されたクライアント用のセッション鍵Ｋである暗号化鍵ＫＣを生成する。そして、処理部２３は、サーバのエンドポイント情報、暗号化鍵ＫＣおよび対応の鍵ＩＤを含む開始メッセージＭＣを生成し、生成した開始メッセージＭＣと取得した固有ＩＤとを所定のハッシュ関数に与えることによりハッシュ値ＨＶＣを算出する。処理部２３は、生成した開始メッセージＭＣおよび算出したハッシュ値ＨＶＣを含むクライアント宛のイーサネットフレームを生成し、生成したイーサネットフレームを中継部２２経由でクライアントへ送信する。

　処理部２３は、確立するセッションにおいて提供されるサービスのサービスＩＤ、Ｓｕｂｓｃｒｉｂｅメッセージの宛先であるサーバのＥＣＵ識別子、開始メッセージＭＣの宛先であるクライアントのＥＣＵ識別子、ならびにＳｕｂｓｃｒｉｂｅメッセージおよび開始メッセージＭＣの出力時刻ｔｓを示すセッション情報をログ生成部２４へ出力する。出力時刻ｔｓは、セッション鍵Ｋの中継部２２による送信時刻を示す。

　図９は、本開示の第１の実施の形態に係る中継装置における記憶部におけるセッションログリストの一例を示す図である。図９を参照して、記憶部２５は、確立するセッションにおいて提供されるサービスのサービスＩＤと、セッション鍵Ｋの配布先であるサーバおよびクライアントの各ＥＣＵ識別子と、セッションの開始時刻と、セッションの終了時刻とを示すセッションログのリストであるセッションログリストＲ２を記憶している。

　ログ生成部２４は、処理部２３からセッション情報を受けて、受けたセッション情報に含まれるサービスＩＤ、ＥＣＵ識別子および出力時刻ｔｓを、それぞれ、セッションログの「サービスＩＤ」、「ＥＣＵ識別子」および「開始時刻」としてセッションログリストＲ２に書き込む。

　（１－６）サーバによるセッション鍵の受信
　再び図５を参照して、サーバにおいて、処理部１２は、通信部１１経由で中継装置１０１からイーサネットフレームを受信し、受信したイーサネットフレームからＳｕｂｓｃｒｉｂｅメッセージおよびハッシュ値ＨＶＳを取得する。処理部１２は、中継装置１０１から受信したセッション鍵Ｋと自己の固有ＩＤとを用いて算出されるハッシュ値と、中継装置１０１から受信したハッシュ値ＨＶＳとを照合する。

　より詳細には、処理部１２は、記憶部１３から固有ＩＤを取得し、Ｓｕｂｓｃｒｉｂｅメッセージおよび固有ＩＤとを所定のハッシュ関数に与えることによりハッシュ値を算出する。処理部１２は、ハッシュ値ＨＶＳと、自己が算出したハッシュ値とを照合することにより、Ｓｕｂｓｃｒｉｂｅメッセージが改ざんされているか否かを判断する。

　処理部１２は、Ｓｕｂｓｃｒｉｂｅメッセージが改ざんされていると判断した場合、当該Ｓｕｂｓｃｒｉｂｅメッセージを破棄する。一方、処理部１２は、Ｓｕｂｓｃｒｉｂｅメッセージが改ざんされていないと判断した場合、当該Ｓｕｂｓｃｒｉｂｅメッセージから、クライアントのエンドポイント情報、暗号化鍵ＫＳおよび鍵ＩＤを取得する。そして、処理部１２は、固有ＩＤを用いて当該暗号化鍵ＫＳを復号することによりセッション鍵Ｋを取得する。

　処理部１２は、過去に取得したセッション鍵Ｋの鍵ＩＤが記憶部１３に保存されている場合、記憶部１３における鍵ＩＤと、新たに取得した鍵ＩＤとを比較する。処理部１２は、記憶部１３における鍵ＩＤと、新たに取得した鍵ＩＤとが異なることを確認すると、新たに取得したクライアントのエンドポイント情報、セッション鍵Ｋおよび鍵ＩＤを記憶部１３に保存する。

　一方、処理部１２は、記憶部１３における鍵ＩＤと、新たに取得した鍵ＩＤとが一致する場合、セッション鍵Ｋの再送信を要求する旨のメッセージを通信部１１経由で中継装置１０１へ送信する。中継装置１０１は、当該メッセージを受信した場合、新たなセッション鍵Ｋを生成してサーバおよびクライアントへ送信する。これにより、過去のセッションにおいて用いられたセッション鍵Ｋと同じセッション鍵Ｋがサーバおよびクライアントへ配布された場合、中継装置１０１にセッション鍵Ｋの再生成を促すことができるので、異なるセッションにおいて同じセッション鍵Ｋが用いられることによるセキュリティの低下を回避することができる。

　（１－７）クライアントによるセッション鍵の受信
　クライアントにおいて、処理部１２は、通信部１１経由で中継装置１０１からイーサネットフレームを受信し、受信したイーサネットフレームから開始メッセージＭＣおよびハッシュ値ＨＶＣを取得する。処理部１２は、中継装置１０１から受信したセッション鍵Ｋと自己の固有ＩＤとを用いて算出されるハッシュ値と、中継装置１０１から受信したハッシュ値ＨＶＣとを照合する。

　より詳細には、処理部１２は、記憶部１３から固有ＩＤを取得し、開始メッセージＭＣおよび固有ＩＤとを所定のハッシュ関数に与えることによりハッシュ値を算出する。処理部１２は、ハッシュ値ＨＶＣと、自己が算出したハッシュ値とを照合することにより、開始メッセージＭＣが改ざんされているか否かを判断する。

　処理部１２は、開始メッセージＭＣが改ざんされていると判断した場合、当該開始メッセージＭＣを破棄する。一方、処理部１２は、開始メッセージＭＣが改ざんされていないと判断した場合、当該開始メッセージＭＣから、サーバのエンドポイント情報、暗号化鍵ＫＣおよび鍵ＩＤを取得する。そして、処理部１２は、固有ＩＤを用いて当該暗号化鍵ＫＣを復号することによりセッション鍵Ｋを取得する。

　処理部１２は、過去に取得したセッション鍵Ｋの鍵ＩＤが記憶部１３に保存されている場合、記憶部１３における鍵ＩＤと、新たに取得した鍵ＩＤとを比較する。処理部１２は、記憶部１３における鍵ＩＤと、新たに取得した鍵ＩＤとが異なることを確認すると、新たに取得したサーバのエンドポイント情報、セッション鍵Ｋおよび鍵ＩＤを記憶部１３に保存する。

　一方、処理部１２は、記憶部１３における鍵ＩＤと、新たに取得した鍵ＩＤとが一致する場合、セッション鍵Ｋの再送信を要求する旨のメッセージを通信部１１経由で中継装置１０１へ送信する。中継装置１０１は、当該メッセージを受信した場合、新たなセッション鍵Ｋを生成してサーバおよびクライアントへ送信する。

　ここで、中継装置１０１において生成可能な、異なるセッション鍵Ｋの数は有限であるので、中継装置１０１は、あるセッション鍵Ｋの配布後、十分な時間を開けて当該セッション鍵Ｋと同じセッション鍵Ｋを配布する場合がある。そのため、サーバおよびクライアントにおける処理部１２は、記憶部１３に鍵ＩＤを保存してから十分な時間が経過した後、当該鍵ＩＤを記憶部１３から削除する。

　（２）Ｓｅｒｖｉｃｅ　Ｄｉｓｃｏｖｅｒｙにおける処理例２
　（２－１）クライアントによるＦｉｎｄメッセージの送信
　クライアントである車載ＥＣＵ１１１において、処理部１２は、記憶部１３におけるサービスリストを参照し、提供を受けようとするサービスに対応するサービスＩＤを取得する。また、処理部１２は、記憶部１３からＥＣＵ識別子および当該車載ＥＣＵ１１１のエンドポイント情報を取得する。処理部１２は、取得したサービスＩＤ、ＥＣＵ識別子およびエンドポイント情報を含むＦｉｎｄメッセージを生成する。

　処理部１２は、生成したＦｉｎｄメッセージおよび記憶部１３における固有ＩＤに基づいてＭＡＣ値を算出する。処理部１２は、データフィールドに当該Ｆｉｎｄメッセージおよび当該ＭＡＣ値が格納され、かつ宛先ＭＡＣアドレスとしてマルチキャストアドレスが格納されたイーサネットフレームを生成する。処理部１２は、生成したイーサネットフレームを通信部１１へ出力する。

　（２－２）中継装置によるＦｉｎｄメッセージの適否の判定
　再び図６を参照して、中継装置１０１における中継部２２は、サーバから対応の通信ポート経由でイーサネットフレームを受信し、受信したイーサネットフレームにタイムスタンプを付し、イーサネットフレームを記憶部２５に保存する。

　処理部２３は、中継部２２により記憶部２５にイーサネットフレームが保存されると、当該イーサネットフレームのデータフィールドにＳＯＭＥ／ＩＰ－ＳＤヘッダが含まれていることを確認し、ＳＯＭＥ／ＩＰ－ＳＤヘッダを参照することにより、当該イーサネットフレームはＦｉｎｄメッセージを含むと判断する。そして、処理部２３は、当該イーサネットフレームの適否を判断する。

　より詳細には、処理部２３は、当該イーサネットフレームからＦｉｎｄメッセージ、ＭＡＣ値およびタイムスタンプを取得する。また、処理部２３は、取得したＦｉｎｄメッセージからサービスＩＤ、車載ＥＣＵ１１１のエンドポイント情報およびＥＣＵ識別子を取得する。そして、処理部２３は、記憶部２５における接続先リストを参照し、Ｆｉｎｄメッセージから取得したサービスＩＤが示すサービスに関与し得るクライアントとして、Ｆｉｎｄメッセージから取得したエンドポイント情報およびＥＣＵ識別子により特定される車載ＥＣＵ１１１が接続先リストに登録されているか否かを確認する。

　一例として、処理部２３は、Ｆｉｎｄメッセージから取得したサービスＩＤ、エンドポイント情報およびＥＣＵ識別子が、それぞれ、「０ｘ０００１」、「ＣＣＣ」および「ＥＣＵ＿３」である場合、当該サービスＩＤが示すサービスに関与し得るクライアントとして、当該ＥＣＵ識別子および当該エンドポイント情報により特定される車載ＥＣＵ１１１が接続先リストに登録されていると判断する。

　また、処理部２３は、接続先リストを参照し、Ｆｉｎｄメッセージから取得したエンドポイント情報等により特定される車載ＥＣＵ１１１の固有ＩＤを取得する。処理部２３は、Ｆｉｎｄメッセージおよび取得した固有ＩＤに基づいてＭＡＣ値を算出する。そして、処理部２３は、イーサネットフレームから取得したＭＡＣ値と、自己が算出したＭＡＣ値とを照合することにより、イーサネットフレームが改ざんされているか否かを判断する。

　処理部２３は、Ｆｉｎｄメッセージから取得したエンドポイント情報等により特定される車載ＥＣＵ１１１が接続先リストに登録されており、かつイーサネットフレームが改ざんされていないと判断した場合、中継部２２により受信されたイーサネットフレームは適切であると判断する。一方、処理部２３は、Ｆｉｎｄメッセージから取得したエンドポイント情報等により特定される車載ＥＣＵ１１１が接続先リストに登録されていない場合、またはイーサネットフレームが改ざんされていると判断した場合、中継部２２により受信されたイーサネットフレームは不適切であると判断する。

　処理部２３は、イーサネットフレームが適切であると判断した場合、Ｆｉｎｄメッセージから取得したＥＣＵ識別子およびエンドポイント情報をクライアント情報として記憶部２５に保存する。

　また、処理部２３は、中継部２２により受信されたイーサネットフレームが適切であると判断した場合、記憶部２５におけるイーサネットフレームに含まれるＦｉｎｄメッセージからＥＣＵ識別子およびエンドポイント情報を消去する。そして、処理部２３は、当該イーサネットフレームの中継処理を行うべき旨を示す中継指示を中継部２２へ出力する。

　また、処理部２３は、中継部２２により受信されたイーサネットフレームが不適切であると判断した場合、Ｆｉｎｄメッセージおよびタイムスタンプをログ生成部２４へ出力する。

　ログ生成部２４は、処理部２３からＦｉｎｄメッセージおよびタイムスタンプを受けて、受けたＦｉｎｄメッセージに含まれるＥＣＵ識別子を取得し、当該Ｆｉｎｄメッセージのバイト列、取得したＥＣＵ識別子および受信時刻を不正ログとして記憶部２５における不正ログリストＲ１に書き込む。

　（２－３）サーバによるＯｆｆｅｒメッセージの送信
　再び図５を参照して、サーバである車載ＥＣＵ１１１において、処理部１２は、通信部１１経由で中継装置１０１からイーサネットフレームを受信し、受信したイーサネットフレームから送信元ＭＡＣアドレスおよびＦｉｎｄメッセージを取得する。また、処理部１２は、取得したＦｉｎｄメッセージからサービスＩＤを取得する。

　処理部１２は、記憶部１３におけるサービスリストを参照し、取得したサービスＩＤが示すサービスの提供の可否を判断する。処理部１２は、当該サービスの提供が可能であると判断した場合、記憶部１３からＥＣＵ識別子および当該車載ＥＣＵ１１１のエンドポイント情報を取得し、当該サービスに対応するサービスＩＤ、取得したＥＣＵ識別子および取得したエンドポイント情報を含むＯｆｆｅｒメッセージを生成する。一方、処理部１２は、当該サービスの提供が不可能であると判断した場合、Ｏｆｆｅｒメッセージの生成を行わない。

　処理部１２は、生成したＯｆｆｅｒメッセージおよび記憶部１３における固有ＩＤに基づいてＭＡＣ値を算出する。処理部１２は、データフィールドに当該Ｏｆｆｅｒメッセージおよび当該ＭＡＣ値が格納され、かつ宛先ＭＡＣアドレスとしてＦｉｎｄメッセージの送信元のクライアントのＭＡＣアドレスが格納されたイーサネットフレームを生成する。処理部１２は、生成したイーサネットフレームを通信部１１へ出力する。

　（２－４）中継装置によるＯｆｆｅｒメッセージの適否の判断
　再び図６を参照して、中継装置１０１における中継部２２は、サーバから対応の通信ポート経由でイーサネットフレームを受信し、受信したイーサネットフレームにタイムスタンプを付し、イーサネットフレームを記憶部２５に保存する。

　処理部２３は、上述した「（１－２）中継装置によるＯｆｆｅｒメッセージの適否の判断」と同様にして、中継部２２により受信されたイーサネットフレームの適否を判断する。そして、処理部２３は、当該イーサネットフレームが適切であると判断した場合、記憶部２５へのサーバ情報の保存、および中継部２２への中継指示の出力を行う。

　（２－５）クライアントによるＳｕｂｓｃｒｉｂｅメッセージの送信
　再び図５を参照して、クライアントである車載ＥＣＵ１１１において、処理部１２は、上述した「（１－３）クライアントによるＳｕｂｓｃｒｉｂｅメッセージの送信」と同様にして、データフィールドにＳｕｂｓｃｒｉｂｅメッセージおよびＭＡＣ値が格納され、かつ宛先ＭＡＣアドレスとしてＯｆｆｅｒメッセージの送信元のサーバのＭＡＣアドレスが格納されたイーサネットフレームを生成し、生成したイーサネットフレームを通信部１１経由で中継装置１０１へ送信する。

　（２－６）中継装置によるＳｕｂｓｃｒｉｂｅメッセージの適否の判断
　再び図６を参照して、中継装置１０１における中継部２２は、クライアントから対応の通信ポート経由でイーサネットフレームを受信し、受信したイーサネットフレームにタイムスタンプを付し、イーサネットフレームを記憶部２５に保存する。

　処理部２３は、上述した「（１－４）中継装置によるＳｕｂｓｃｒｉｂｅメッセージの適否の判断」と同様にして、中継部２２により受信されたイーサネットフレームの適否を判断する。そして、処理部２３は、当該イーサネットフレームが適切であると判断した場合、Ｓｕｂｓｃｒｉｂｅメッセージから取得したＥＣＵ識別子およびエンドポイント情報をクライアント情報として記憶部２５に保存する。

　（２－７）中継装置によるセッション鍵の生成および配布
　中継装置１０１における処理部２３は、上述した「（１－５）中継装置によるセッション鍵の生成および配布」と同様にして、サーバおよびクライアント間のセッションを確立することを決定し、当該セッションに用いるセッション鍵Ｋと、セッション鍵ＫのＩＤである鍵ＩＤとを生成し、生成したセッション鍵Ｋおよび鍵ＩＤを当該セッションに参加するサーバおよびクライアントへ配布する。

　（２－８）サーバおよびクライアントによるセッション鍵の受信
　再び図５を参照して、サーバにおいて、処理部１２は、上述した「（１－６）サーバによるセッション鍵の受信」と同様にして、中継装置１０１から受信したセッション鍵Ｋと自己の固有ＩＤとを用いて算出されるハッシュ値と、中継装置１０１から受信したハッシュ値ＨＶＳとを照合する。

　また、クライアントにおいて、処理部１２は、上述した「（１－７）クライアントによるセッション鍵の受信」と同様にして、中継装置１０１から受信したセッション鍵Ｋと自己の固有ＩＤとを用いて算出されるハッシュ値と、中継装置１０１から受信したハッシュ値ＨＶＣとを照合する。

　（セッションにおける通信）
　サーバおよびクライアントは、セッション鍵Ｋを取得すると、当該セッション鍵Ｋを用いた通信のセッションを開始する。

　具体的には、サーバにおいて、処理部１２は、サービスとして提供すべき情報が格納されたセッションメッセージを、記憶部１３におけるセッション鍵Ｋを用いて暗号化し、暗号化したセッションメッセージをイーサネットフレームに含めて通信部１１および中継装置１０１経由でクライアントへ送信する。

　また、クライアントにおいて、処理部１２は、中継装置１０１および通信部１１経由でサーバから受信したイーサネットフレームからセッションメッセージを取得し、取得したセッションメッセージを、記憶部１３におけるセッション鍵Ｋを用いて復号し、復号したセッションメッセージから情報を取得する。

　（既存セッションへの参加）
　たとえば、サーバにおける処理部１２は、あるクライアントとのセッションの開始後においても、定期的または不定期にＯｆｆｅｒメッセージをマルチキャストする。

　より詳細には、中継装置１０１における処理部２３は、サーバＳ１およびクライアントＣ１間のセッションの確立後において、中継部２２により他のクライアントＣ２からのＳｕｂｓｃｒｉｂｅメッセージが格納されたイーサネットフレームが受信され、当該イーサネットフレームが適切であると判断した場合、当該サーバＳ１およびクライアントＣ２間のセッションを確立することを決定する。すなわち、処理部２３は、たとえばサーバＳ１およびクライアントＣ１へセッション鍵Ｋ１を配布した後、サーバＳ１およびクライアントＣ２間のセッションを確立することを決定する。

　この場合、たとえば、処理部２３は、サーバＳ１およびクライアントＣ２間のセッションに用いるセッション鍵Ｋとして、サーバＳ１およびクライアントＣ１へ配布したセッション鍵Ｋ１とは異なるセッション鍵Ｋ２を生成し、生成したセッション鍵Ｋ２をサーバＳ１およびクライアントＣ２へ配布する。

　すなわち、処理部２３は、サーバとクライアントとの組み合わせごとに異なるセッション鍵Ｋを生成して配布する。

　（サーバからクライアントへのマルチキャスト）
　車載システム３０１では、サーバは、セッションメッセージをクライアントへユニキャストする構成に限定されない。サーバは、セッションメッセージを複数のクライアントへマルチキャストする構成であってもよい。

　たとえば、中継装置１０１における処理部２３は、Ｏｆｆｅｒメッセージ等の開始要求を含むと判断したイーサネットフレームの送信元の車載ＥＣＵ１１１と、Ｓｕｂｓｃｒｉｂｅメッセージ等の開始応答を含むと判断したイーサネットフレームの送信元の複数の車載ＥＣＵ１１１とが参加するセッションに用いるセッション鍵Ｋをセッションごとに生成する。より詳細には、処理部２３は、１つのサーバとのセッションにおける通信を行うクライアントの数が所定数となった場合、当該サーバおよび複数のクライアント間のセッションに用いるセッション鍵Ｋであるセッション鍵ＫＭを生成し、生成したセッション鍵ＫＭを当該サーバおよび当該複数のクライアントへ配布する。

　すなわち、処理部２３は、たとえば、サーバＳ１とクライアントＣ１，Ｃ２との間の２つのセッションをそれぞれ確立した状態において、サーバＳ１およびクライアントＣ３間のセッションを確立することを決定した場合、サーバＳ１およびクライアントＣ３間のセッションに用いるセッション鍵Ｋ３を生成してサーバＳ１およびクライアントＣ３へ配布する。さらに、処理部２３は、サーバＳ１およびクライアントＣ１，Ｃ２，Ｃ３間のセッションに用いるセッション鍵ＫＭと、サーバＳ１およびクライアントＣ１，Ｃ２，Ｃ３のエンドポイント情報に基づくマルチキャストアドレスとをさらに生成し、生成したセッション鍵ＫＭおよびマルチキャストアドレスをサーバＳ１およびクライアントＣ１，Ｃ２，Ｃ３へ配布する。

　サーバＳ１およびクライアントＣ１，Ｃ２，Ｃ３は、セッション鍵ＫＭおよびマルチキャストアドレスを取得すると、セッション鍵ＫＭおよびマルチキャストアドレスを用いた通信のセッションを開始する。

　図１０は、本開示の第１の実施の形態に係る車載システムにおけるサーバおよびクライアント間のセッションの一例を示す図である。図１０を参照して、サーバＳ１は、クライアントＣ１との間のセッションに用いるセッション鍵Ｋ１と、クライアントＣ２との間のセッションに用いるセッション鍵Ｋ２と、クライアントＣ３との間のセッションに用いるセッション鍵Ｋ３と、クライアントＣ１，Ｃ２，Ｃ３との間のセッションに用いるセッション鍵ＫＭとを有している。クライアントＣ１は、セッション鍵Ｋ１，ＫＭを有している。クライアントＣ２は、セッション鍵Ｋ２，ＫＭを有している。クライアントＣ３は、セッション鍵Ｋ３，ＫＭを有している。

　サーバＳ１において、処理部１２は、サービスとして提供すべき情報が格納されたセッションメッセージを、セッション鍵ＫＭを用いて暗号化し、暗号化したセッションメッセージをイーサネットフレームに含めてクライアントＣ１，Ｃ２，Ｃ３へマルチキャストする。

　たとえば、サーバＳ１は、クライアントＣ１，Ｃ２，Ｃ３へマルチキャストにより情報を送信している状態において、車載システム３０１における異常を検知した場合、複数のクライアントＣ１，Ｃ２，Ｃ３へユニキャストにより情報を送信する状態に切り替える。

　一例として、クライアントＣ１を乗っ取った不正機器が、サーバＳ１になりすまし、セッション鍵ＫＭを用いて暗号化されたセッションメッセージをイーサネットフレームに含めてサーバＳ１およびクライアントＣ２，Ｃ３へマルチキャストする場合を考える。

　サーバＳ１における処理部１２は、通信部１１経由で当該不正機器からセッションメッセージを受信した場合、自己がセッションメッセージの送信元であるにも関わらず自己がセッションメッセージを受信したことから、車載システム３０１において異常が発生したと判断する。

　この場合、サーバＳ１における処理部１２は、セッションメッセージの送信をマルチキャストからユニキャストへ切り替える。具体的には、処理部１２は、セッション鍵Ｋ１を用いて暗号化したセッションメッセージを通信部１１経由でクライアントＣ１へユニキャストし、セッション鍵Ｋ２を用いて暗号化したセッションメッセージを通信部１１経由でクライアントＣ２へユニキャストし、セッション鍵Ｋ３を用いて暗号化したセッションメッセージを通信部１１経由でクライアントＣ３へユニキャストする。

　（３）Ｓｅｒｖｉｃｅ　Ｄｉｓｃｏｖｅｒｙにおける処理例３
　（３－１）クライアントによるＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージの送信
　再び図５を参照して、クライアントにおいて、処理部１２は、サービスの享受を停止する場合、当該サービスに対応するサービスＩＤ、ＥＣＵ識別子およびエンドポイント情報を含むＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージを生成する。

　処理部１２は、生成したＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージおよび記憶部１３における固有ＩＤに基づいてＭＡＣ値を算出する。また、処理部１２は、ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージを、記憶部１３におけるセッション鍵Ｋを用いて暗号化する。そして、処理部１２は、データフィールドに暗号化したＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージおよび当該ＭＡＣ値が格納され、かつ宛先ＭＡＣアドレスとしてサーバのＭＡＣアドレスが格納されたイーサネットフレームを生成し、生成したイーサネットフレームを通信部１１経由で中継装置１０１へ送信する。

　また、処理部１２は、記憶部１３におけるセッション鍵Ｋおよびサーバのエンドポイント情報を破棄する。

　（３－２）中継装置によるＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージの適否の判断
　再び図６を参照して、中継装置１０１における中継部２２は、クライアントから対応の通信ポート経由でイーサネットフレームを受信し、受信したイーサネットフレームにタイムスタンプを付し、イーサネットフレームを記憶部２５に保存する。

　処理部２３は、中継部２２により記憶部２５にイーサネットフレームが保存されると、当該イーサネットフレームのデータフィールドにＳＯＭＥ／ＩＰ－ＳＤヘッダが含まれていることを確認し、ＳＯＭＥ／ＩＰ－ＳＤヘッダを参照することにより、当該イーサネットフレームはＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージを含むと判断する。そして、処理部２３は、当該イーサネットフレームの適否を判断する。

　より詳細には、処理部２３は、当該イーサネットフレームからＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージ、ＭＡＣ値およびタイムスタンプを取得する。また、処理部２３は、取得したＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージからサービスＩＤ、車載ＥＣＵ１１１のエンドポイント情報およびＥＣＵ識別子を取得する。そして、処理部２３は、記憶部２５における接続先リストを参照し、ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージから取得したサービスＩＤが示すサービスに関与し得るサーバとして、ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージから取得したエンドポイント情報およびＥＣＵ識別子により特定される車載ＥＣＵ１１１が接続先リストに登録されているか否かを確認する。

　また、処理部２３は、接続先リストを参照し、ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージから取得したエンドポイント情報等により特定される車載ＥＣＵ１１１の固有ＩＤを取得する。処理部２３は、ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージおよび取得した固有ＩＤに基づいてＭＡＣ値を算出する。そして、処理部２３は、イーサネットフレームから取得したＭＡＣ値と、自己が算出したＭＡＣ値とを照合することにより、当該イーサネットフレームが改ざんされているか否かを判断する。

　処理部２３は、ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージから取得したエンドポイント情報等により特定される車載ＥＣＵ１１１が接続先リストに登録されており、かつイーサネットフレームが改ざんされていないと判断した場合、中継部２２により受信されたイーサネットフレームは適切であると判断する。一方、処理部２３は、ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージから取得したエンドポイント情報等により特定される車載ＥＣＵ１１１が接続先リストに登録されていない場合、またはイーサネットフレームが改ざんされていると判断した場合、中継部２２により受信されたイーサネットフレームは不適切であると判断する。

　処理部２３は、イーサネットフレームが適切であると判断した場合、記憶部２５における、ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージに含まれるサービスＩＤに対応するセッション鍵Ｋおよび鍵ＩＤを破棄する。

　また、処理部２３は、イーサネットフレームが適切であると判断した場合、当該イーサネットフレームから取得したタイムスタンプが示す受信時刻ｔｅをログ生成部２４へ通知する。

　ログ生成部２４は、セッション情報として、ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージの中継部２２による受信時刻を記録する。より詳細には、ログ生成部２４は、処理部２３から受信時刻ｔｅの通知を受けて、通知された受信時刻ｔｅをセッションログの「終了時刻」としてセッションログリストＲ２に書き込む。

　たとえば、中継部２２は、処理部２３によりＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージを含むと判断されたイーサネットフレームであって、処理部２３により適切と判断されたイーサネットフレームについての中継処理を行う。

　より詳細には、処理部２３は、中継部２２により受信されたイーサネットフレームが適切であると判断した場合、記憶部２５におけるイーサネットフレームに含まれるＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージからＥＣＵ識別子およびエンドポイント情報を消去する。そして、処理部２３は、当該イーサネットフレームの中継処理を行うべき旨を示す中継指示を中継部２２へ出力する。

　また、処理部２３は、中継部２２により受信されたイーサネットフレームが不適切であると判断した場合、ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージおよびタイムスタンプをログ生成部２４へ出力する。

　ログ生成部２４は、ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージおよびタイムスタンプ受けて、受けたＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージに含まれるＥＣＵ識別子を取得し、当該ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージのバイト列、取得したＥＣＵ識別子および受信時刻を不正ログとして記憶部２５における不正ログリストＲ１に書き込む。

　（３－３）サーバによるＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージの受信
　再び図５を参照して、サーバにおいて、処理部１２は、通信部１１経由で中継装置１０１からイーサネットフレームを受信し、受信したイーサネットフレームからＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージを取得する。処理部１２は、取得したＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージを、記憶部１３におけるセッション鍵Ｋを用いて復号する。処理部１２は、記憶部１３におけるセッション鍵Ｋおよびクライアントのエンドポイント情報を破棄する。

　（４）Ｓｅｒｖｉｃｅ　Ｄｉｓｃｏｖｅｒｙにおける処理例４
　（４－１）サーバによるＳｔｏｐＯｆｆｅｒメッセージの送信
　サーバにおいて、処理部１２は、サービスの提供を停止する場合、当該サービスに対応するサービスＩＤ、ＥＣＵ識別子およびエンドポイント情報を含むＳｔｏｐＯｆｆｅｒメッセージを生成する。

　処理部１２は、生成したＳｔｏｐＯｆｆｅｒメッセージおよび記憶部１３における固有ＩＤに基づいてＭＡＣ値を算出する。また、処理部１２は、ＳｔｏｐＯｆｆｅｒメッセージを、記憶部１３におけるセッション鍵Ｋを用いて暗号化する。そして、処理部１２は、データフィールドに暗号化したＳｔｏｐＯｆｆｅｒメッセージおよび当該ＭＡＣ値が格納され、かつ宛先ＭＡＣアドレスとしてクライアントのＭＡＣアドレスが格納されたイーサネットフレームを生成し、生成したイーサネットフレームを通信部１１経由で中継装置１０１へ送信する。

　また、処理部１２は、記憶部１３におけるセッション鍵Ｋおよびクライアントのエンドポイント情報を破棄する。

　（４－２）中継装置によるＳｔｏｐＯｆｆｅｒメッセージの適否の判断
　再び図６を参照して、中継装置１０１における中継部２２は、サーバから対応の通信ポート経由でイーサネットフレームを受信し、受信したイーサネットフレームにタイムスタンプを付し、イーサネットフレームを記憶部２５に保存する。

　処理部２３は、中継部２２により記憶部２５にイーサネットフレームが保存されると、当該イーサネットフレームのデータフィールドにＳＯＭＥ／ＩＰ－ＳＤヘッダが含まれていることを確認し、ＳＯＭＥ／ＩＰ－ＳＤヘッダを参照することにより、当該イーサネットフレームはＳｔｏｐＯｆｆｅｒメッセージを含むと判断する。そして、処理部２３は、当該イーサネットフレームの適否を判断する。

　より詳細には、処理部２３は、当該イーサネットフレームからＳｔｏｐＯｆｆｅｒメッセージ、ＭＡＣ値およびタイムスタンプを取得する。また、処理部２３は、取得したＳｔｏｐＯｆｆｅｒメッセージからサービスＩＤ、車載ＥＣＵ１１１のエンドポイント情報およびＥＣＵ識別子を取得する。そして、処理部２３は、記憶部２５における接続先リストを参照し、ＳｔｏｐＯｆｆｅｒメッセージから取得したサービスＩＤが示すサービスに関与し得るクライアントとして、ＳｔｏｐＯｆｆｅｒメッセージから取得したエンドポイント情報およびＥＣＵ識別子により特定される車載ＥＣＵ１１１が接続先リストに登録されているか否かを確認する。

　また、処理部２３は、接続先リストを参照し、ＳｔｏｐＯｆｆｅｒメッセージから取得したエンドポイント情報等により特定される車載ＥＣＵ１１１の固有ＩＤを取得する。処理部２３は、ＳｔｏｐＯｆｆｅｒメッセージおよび取得した固有ＩＤに基づいてＭＡＣ値を算出する。そして、処理部２３は、イーサネットフレームから取得したＭＡＣ値と、自己が算出したＭＡＣ値とを照合することにより、当該イーサネットフレームが改ざんされているか否かを判断する。

　処理部２３は、ＳｔｏｐＯｆｆｅｒメッセージから取得したエンドポイント情報等により特定される車載ＥＣＵ１１１が接続先リストに登録されており、かつイーサネットフレームが改ざんされていないと判断した場合、中継部２２により受信されたイーサネットフレームは適切であると判断する。一方、処理部２３は、ＳｔｏｐＯｆｆｅｒメッセージから取得したエンドポイント情報等により特定される車載ＥＣＵ１１１が接続先リストに登録されていない場合、またはイーサネットフレームが改ざんされていると判断した場合、中継部２２により受信されたイーサネットフレームは不適切であると判断する。

　処理部２３は、イーサネットフレームが適切であると判断した場合、記憶部２５における、ＳｔｏｐＯｆｆｅｒメッセージに含まれるサービスＩＤに対応するセッション鍵Ｋおよび鍵ＩＤを破棄する。

　ログ生成部２４は、セッション情報として、ＳｔｏｐＯｆｆｅｒメッセージの中継部２２による受信時刻を記録する。より詳細には、ログ生成部２４は、処理部２３から受信時刻ｔｅの通知を受けて、通知された受信時刻ｔｅをセッションログの「終了時刻」としてセッションログリストＲ２に書き込む。

　たとえば、中継部２２は、処理部２３によりＳｔｏｐＯｆｆｅｒメッセージを含むと判断されたイーサネットフレームであって、処理部２３により適切と判断されたイーサネットフレームについての中継処理を行う。

　より詳細には、処理部２３は、中継部２２により受信されたイーサネットフレームが適切であると判断した場合、記憶部２５におけるイーサネットフレームに含まれるＳｔｏｐＯｆｆｅｒメッセージからＥＣＵ識別子およびエンドポイント情報を消去する。そして、処理部２３は、当該イーサネットフレームの中継処理を行うべき旨を示す中継指示を中継部２２へ出力する。

　また、処理部２３は、中継部２２により受信されたイーサネットフレームが不適切であると判断した場合、ＳｔｏｐＯｆｆｅｒメッセージおよびタイムスタンプをログ生成部２４へ出力する。

　ログ生成部２４は、ＳｔｏｐＯｆｆｅｒメッセージおよびタイムスタンプ受けて、受けたＳｔｏｐＯｆｆｅｒメッセージに含まれるＥＣＵ識別子を取得し、当該ＳｔｏｐＯｆｆｅｒメッセージのバイト列、取得したＥＣＵ識別子および受信時刻を不正ログとして記憶部２５における不正ログリストＲ１に書き込む。

　（４－３）クライアントよるＳｔｏｐＯｆｆｅｒメッセージの受信
　再び図５を参照して、クライアントにおいて、処理部１２は、通信部１１経由で中継装置１０１からイーサネットフレームを受信し、受信したイーサネットフレームからＳｔｏｐＯｆｆｅｒメッセージを取得する。処理部１２は、取得したＳｔｏｐＯｆｆｅｒメッセージを、記憶部１３におけるセッション鍵Ｋを用いて復号する。処理部１２は、記憶部１３におけるセッション鍵Ｋおよびサーバのエンドポイント情報を破棄する。

　［動作の流れ］
　本開示の実施の形態に係る車載システムにおける各装置は、メモリを含むコンピュータを備え、当該コンピュータにおけるＣＰＵ等の演算処理部は、以下のフローチャートおよびシーケンスの各ステップの一部または全部を含むプログラムを当該メモリから読み出して実行する。これら複数の装置のプログラムは、それぞれ、外部からインストールすることができる。これら複数の装置のプログラムは、それぞれ、記録媒体に格納された状態でまたは通信回線を介して流通する。

　図１１は、本開示の第１の実施の形態に係る中継装置がセッション鍵を配布する際の動作手順の一例を定めたフローチャートである。

　図１１を参照して、まず、中継装置１０１は、車載ＥＣＵ１１１からのイーサネットフレームを待ち受け（ステップＳ１０２でＮＯ）、イーサネットフレームを受信すると（ステップＳ１０２でＹＥＳ）、受信したイーサネットフレームがＳＯＭＥ／ＩＰ－ＳＤメッセージを含むことを判断する。たとえば、中継装置１０１は、受信したイーサネットフレームがＳＯＭＥ／ＩＰ－ＳＤメッセージを含むか否かを判断する（ステップＳ１０４）。

　次に、中継装置１０１は、受信したイーサネットフレームがＳＯＭＥ／ＩＰ－ＳＤメッセージを含まないと判断した場合（ステップＳ１０６でＮＯ）、当該イーサネットフレームの中継処理を行う（ステップＳ１０８）。

　次に、中継装置１０１は、車載ＥＣＵ１１１からの新たなイーサネットフレームを待ち受ける（ステップＳ１０２でＮＯ）。

　一方、中継装置１０１は、受信したイーサネットフレームがＳＯＭＥ／ＩＰ－ＳＤメッセージを含むと判断した場合（ステップＳ１０６でＹＥＳ）、当該イーサネットフレームの適否を判断する（ステップＳ１１０）。

　次に、中継装置１０１は、受信したイーサネットフレームが適切であると判断した場合（ステップＳ１１２でＹＥＳ）、当該イーサネットフレームの中継処理等を行う（ステップＳ１１４）。ステップＳ１１４の詳細については、後述する。

　一方、中継装置１０１は、受信したイーサネットフレームが不適切であると判断した場合（ステップＳ１１２でＮＯ）、当該イーサネットフレームに含まれるメッセージのバイト列、当該メッセージに含まれるＥＣＵ識別子、および当該イーサネットフレームの受信時刻を不正ログとして不正ログリストＲ１に書き込む（ステップＳ１１６）。

　次に、中継装置１０１は、受信したイーサネットフレームを破棄し（ステップＳ１１８）、車載ＥＣＵ１１１からの新たなイーサネットフレームを待ち受ける（ステップＳ１０２でＮＯ）。

　図１２は、本開示の第１の実施の形態に係る中継装置がセッション鍵を配布する際の動作手順の一例を定めたフローチャートである。図１２は、図１１におけるステップＳ１１４の詳細を示している。

　図１２を参照して、まず、中継装置１０１は、受信したイーサネットフレームがＯｆｆｅｒメッセージまたはＦｉｎｄメッセージを含むと判断した場合（ステップＳ２０２でＹＥＳ）、サーバ情報またはクライアント情報を記憶部２５に保存する。より詳細には、中継装置１０１は、受信したイーサネットフレームがＯｆｆｅｒメッセージを含むと判断した場合、Ｏｆｆｅｒメッセージから取得したＥＣＵ識別子およびエンドポイント情報をサーバ情報として記憶部２５に保存する。一方、中継装置１０１は、受信したイーサネットフレームがＦｉｎｄメッセージを含むと判断した場合、Ｆｉｎｄメッセージから取得したＥＣＵ識別子およびエンドポイント情報をクライアント情報として記憶部２５に保存する（ステップＳ２０４）。

　次に、中継装置１０１は、受信したイーサネットフレームの中継処理を行う（ステップＳ２０６）。

　一方、中継装置１０１は、受信したイーサネットフレームがＳｕｂｓｃｒｉｂｅメッセージを含むと判断した場合（ステップＳ２０２でＮＯかつステップＳ２０８でＹＥＳ）、Ｓｕｂｓｃｒｉｂｅメッセージから取得したＥＣＵ識別子およびエンドポイント情報をクライアント情報として記憶部２５に保存する（ステップＳ２１０）。

　次に、中継装置１０１は、サーバおよびクライアント間のセッションを確立することを決定し、当該セッションに用いるセッション鍵Ｋを生成する（ステップＳ２１２）。

　次に、中継装置１０１は、生成したセッション鍵Ｋを当該セッションに参加するクライアントへ送信する。より詳細には、中継装置１０１は、暗号化鍵ＫＣを含む開始メッセージＭＣを生成し、生成した開始メッセージＭＣを含むイーサネットフレームをクライアントへ送信する（ステップＳ２１４）。

　次に、中継装置１０１は、受信したイーサネットフレームの中継処理を行う。より詳細には、中継装置１０１は、受信したイーサネットフレームに含まれるＳｕｂｓｃｒｉｂｅメッセージに暗号化鍵ＫＳを含めて、当該イーサネットフレームをサーバへ送信する（ステップＳ２１６）。

　次に、中継装置１０１は、確立するセッションにおいて提供されるサービスのサービスＩＤ、セッション鍵Ｋの宛先であるサーバおよびクライアントの各ＥＣＵ識別子、ならびにセッションの開始時刻を、それぞれ、セッションログの「サービスＩＤ」、「ＥＣＵ識別子」および「開始時刻」としてセッションログリストＲ２に書き込む（ステップＳ２１８）。

　一方、中継装置１０１は、受信したイーサネットフレームがＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージまたはＳｔｏｐＯｆｆｅｒメッセージを含むと判断した場合（ステップＳ２０２でＮＯかつステップＳ２０８でＮＯ）、当該イーサネットフレームの受信時刻ｔｅをセッションログの「終了時刻」としてセッションログリストＲ２に書き込む（ステップＳ２２０）。

　次に、中継装置１０１は、受信したイーサネットフレームの中継処理を行う（ステップＳ２２２）。

　図１３は、本開示の第１の実施の形態に係る車載システムにおける通信のシーケンスの一例を示す図である。図１３は、サーバＳ１およびクライアントＣ１，Ｃ２を備える車載システム３０１における通信のシーケンスを示している。

　図１３を参照して、まず、サーバＳ１は、データフィールドにＯｆｆｅｒメッセージが格納され、かつ宛先ＭＡＣアドレスとしてマルチキャストアドレスが格納されたイーサネットフレームを中継装置１０１へ送信する（ステップＳ３０２）。

　次に、中継装置１０１は、サーバＳ１から受信したイーサネットフレームがＯｆｆｅｒメッセージを含むと判断し、当該イーサネットフレームの適否を判断する。そして、中継装置１０１は、当該イーサネットフレームは適切であると判断し、当該イーサネットフレームの中継処理を行う（ステップＳ３０４）。

　次に、たとえば、クライアントＣ１は、中継装置１０１経由でサーバＳ１から受信したイーサネットフレームからＯｆｆｅｒメッセージを取得し、サーバＳ１により提供されるサービスが必要であると判断する。そして、クライアントＣ１は、データフィールドにＳｕｂｓｃｒｉｂｅメッセージが格納され、かつ宛先ＭＡＣアドレスとしてサーバＳ１のＭＡＣアドレスが格納されたイーサネットフレームを中継装置１０１へ送信する（ステップＳ３０６）。

　次に、中継装置１０１は、クライアントＣ１から受信したイーサネットフレームがＳｕｂｓｃｒｉｂｅメッセージを含むと判断し、当該イーサネットフレームの適否を判断する。そして、中継装置１０１は、当該イーサネットフレームは適切であると判断し、サーバＳ１およびクライアントＣ１間のセッションを確立することを決定し、当該セッションに用いるセッション鍵Ｋ１を生成する。また、このとき、中継装置１０１は、確立するセッションにおいて提供されるサービスのサービスＩＤ、サーバＳ１およびクライアントＣ１の各ＥＣＵ識別子、セッションの開始時刻を、それぞれ、セッションログの「サービスＩＤ」、「ＥＣＵ識別子」および「開始時刻」としてセッションログリストＲ２に書き込む（ステップＳ３０８）。

　次に、中継装置１０１は、クライアントＣ１から受信したイーサネットフレームに含まれるＳｕｂｓｃｒｉｂｅメッセージにセッション鍵Ｋ１を含めて、当該イーサネットフレームをサーバＳ１へ送信する（ステップＳ３１０）。

　また、中継装置１０１は、セッション鍵Ｋ１を含む開始メッセージＭＣを生成し、生成した開始メッセージＭＣを含むイーサネットフレームをクライアントＣ１へ送信する（ステップＳ３１２）。

　次に、サーバＳ１は、たとえば定期的に、セッション鍵Ｋ１を用いて暗号化されたセッションメッセージが格納されたイーサネットフレームを生成し、生成したイーサネットフレームを中継装置１０１経由でクライアントＣ１へ送信する（ステップＳ３１４）。

　次に、たとえば、クライアントＣ２は、中継装置１０１経由でサーバＳ１から受信したイーサネットフレームからＯｆｆｅｒメッセージを取得し、サーバＳ１により提供されるサービスが必要であると判断する。そして、クライアントＣ２は、データフィールドにＳｕｂｓｃｒｉｂｅメッセージが格納され、かつ宛先ＭＡＣアドレスとしてサーバＳ１のＭＡＣアドレスが格納されたイーサネットフレームを中継装置１０１へ送信する（ステップＳ３１６）。

　次に、中継装置１０１は、クライアントＣ２から受信したイーサネットフレームがＳｕｂｓｃｒｉｂｅメッセージを含むと判断し、当該イーサネットフレームの適否を判断する。そして、中継装置１０１は、当該イーサネットフレームは適切であると判断し、サーバＳ１およびクライアントＣ２間のセッションを確立することを決定し、当該セッションに用いるセッション鍵Ｋ２を生成する。また、このとき、中継装置１０１は、確立するセッションにおいて提供されるサービスのサービスＩＤ、サーバＳ１およびクライアントＣ２の各ＥＣＵ識別子、ならびにセッションの開始時刻を、それぞれ、セッションログの「サービスＩＤ」、「ＥＣＵ識別子」および「開始時刻」としてセッションログリストＲ２に書き込む（ステップＳ３１８）。

　次に、中継装置１０１は、クライアントＣ２から受信したイーサネットフレームに含まれるＳｕｂｓｃｒｉｂｅメッセージにセッション鍵Ｋ２を含めて、当該イーサネットフレームをサーバＳ１へ送信する（ステップＳ３２０）。

　また、中継装置１０１は、セッション鍵Ｋ２を含む開始メッセージＭＣを生成し、生成した開始メッセージＭＣを含むイーサネットフレームをクライアントＣ２へ送信する（ステップＳ３２２）。

　次に、サーバＳ１は、たとえば定期的に、セッション鍵Ｋ１を用いて暗号化されたセッションメッセージが格納されたイーサネットフレームを生成し、生成したイーサネットフレームを中継装置１０１経由でクライアントＣ１へ送信する（ステップＳ３２４）。

　また、サーバＳ１は、たとえば定期的に、セッション鍵Ｋ２を用いて暗号化されたセッションメッセージが格納されたイーサネットフレームを生成し、生成したイーサネットフレームを中継装置１０１経由でクライアントＣ２へ送信する（ステップＳ３２６）。

　次に、たとえば、クライアントＣ１は、データフィールドにＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージが格納され、かつ宛先ＭＡＣアドレスとしてサーバＳ１のＭＡＣアドレスが格納されたイーサネットフレームを中継装置１０１へ送信する（ステップＳ３２８）。

　次に、中継装置１０１は、クライアントＣ１から受信したイーサネットフレームがＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージを含むと判断し、当該イーサネットフレームの適否を判断する。そして、中継装置１０１は、当該イーサネットフレームは適切であると判断し、当該イーサネットフレームの中継処理を行う。また、このとき、中継装置１０１は、当該イーサネットフレームの受信時刻ｔｅをセッションログの「終了時刻」としてセッションログリストＲ２に書き込む（ステップＳ３３０）。

　次に、クライアントＣ１は、記憶部１３におけるセッション鍵Ｋ１およびサーバＳ１のエンドポイント情報を破棄する（ステップＳ３３２）。

　また、サーバＳ１は、記憶部１３におけるセッション鍵Ｋ１およびクライアントＣ１のエンドポイント情報を破棄する（ステップＳ３３４）。

　次に、サーバＳ１は、セッションメッセージが格納されたイーサネットフレームのクライアントＣ２への送信を継続する（ステップＳ３３６）。

　図１４は、本開示の第１の実施の形態に係る車載システムにおける通信のシーケンスの他の例を示す図である。図１４は、サーバＳ２，Ｓ３およびクライアントＣ１を備える車載システム３０１における通信のシーケンスを示している。

　図１４を参照して、まず、クライアントＣ１は、データフィールドにＦｉｎｄメッセージが格納され、かつ宛先ＭＡＣアドレスとしてマルチキャストアドレスが格納されたイーサネットフレームを中継装置１０１へ送信する（ステップＳ４０２）。

　次に、中継装置１０１は、クライアントＣ１から受信したイーサネットフレームがＦｉｎｄメッセージを含むと判断し、当該イーサネットフレームの適否を判断する。そして、中継装置１０１は、当該イーサネットフレームは適切であると判断し、当該イーサネットフレームの中継処理を行う（ステップＳ４０４）。

　次に、たとえば、サーバＳ２は、データフィールドにＯｆｆｅｒメッセージが格納され、かつ宛先ＭＡＣアドレスとしてクライアントＣ１のＭＡＣアドレスが格納されたイーサネットフレームを中継装置１０１へ送信する（ステップＳ４０６）。

　次に、中継装置１０１は、サーバＳ２から受信したイーサネットフレームがＯｆｆｅｒメッセージを含むと判断し、当該イーサネットフレームの適否を判断する。そして、中継装置１０１は、当該イーサネットフレームは適切であると判断し、当該イーサネットフレームの中継処理を行う（ステップＳ４０８）。

　次に、クライアントＣ１は、データフィールドにＳｕｂｓｃｒｉｂｅメッセージが格納され、かつ宛先ＭＡＣアドレスとしてサーバＳ２のＭＡＣアドレスが格納されたイーサネットフレームを中継装置１０１へ送信する（ステップＳ４１０）。

　次に、中継装置１０１は、クライアントＣ１から受信したイーサネットフレームがＳｕｂｓｃｒｉｂｅメッセージを含むと判断し、当該イーサネットフレームの適否を判断する。そして、中継装置１０１は、当該イーサネットフレームは適切であると判断し、サーバＳ２およびクライアントＣ１間のセッションを確立することを決定し、当該セッションに用いるセッション鍵Ｋ３を生成する。また、このとき、中継装置１０１は、確立するセッションにおいて提供されるサービスのサービスＩＤ、サーバＳ３およびクライアントＣ１の各ＥＣＵ識別子、セッションの開始時刻を、それぞれ、セッションログの「サービスＩＤ」、「ＥＣＵ識別子」および「開始時刻」としてセッションログリストＲ２に書き込む（ステップＳ４１２）。

　次に、中継装置１０１は、クライアントＣ１から受信したイーサネットフレームに含まれるＳｕｂｓｃｒｉｂｅメッセージにセッション鍵Ｋ３を含めて、当該イーサネットフレームをサーバＳ２へ送信する（ステップＳ４１４）。

　また、中継装置１０１は、セッション鍵Ｋ３を含む開始メッセージＭＣを生成し、生成した開始メッセージＭＣを含むイーサネットフレームをクライアントＣ１へ送信する（ステップＳ４１６）。

　次に、サーバＳ２は、たとえば定期的に、セッション鍵Ｋ３を用いて暗号化されたセッションメッセージが格納されたイーサネットフレームを生成し、生成したイーサネットフレームを中継装置１０１経由でクライアントＣ１へ送信する（ステップＳ４１８）。

　次に、たとえば、サーバＳ２は、データフィールドにＳｔｏｐＯｆｆｅｒメッセージが格納され、かつ宛先ＭＡＣアドレスとしてクライアントＣ１のＭＡＣアドレスが格納されたイーサネットフレームを中継装置１０１へ送信する（ステップＳ４２０）。

　次に、中継装置１０１は、サーバＳ２から受信したイーサネットフレームがＳｔｏｐＯｆｆｅｒメッセージを含むと判断し、当該イーサネットフレームの適否を判断する。そして、中継装置１０１は、当該イーサネットフレームは適切であると判断し、当該イーサネットフレームの中継処理を行う。また、このとき、中継装置１０１は、当該イーサネットフレームの受信時刻ｔｅをセッションログの「終了時刻」としてセッションログリストＲ２に書き込む（ステップＳ４２２）。

　次に、サーバＳ２は、記憶部１３におけるセッション鍵Ｋ３およびクライアントＣ１のエンドポイント情報を破棄する（ステップＳ４２４）。

　また、クライアントＣ１は、記憶部１３におけるセッション鍵Ｋ３およびサーバＳ１のエンドポイント情報を破棄する（ステップＳ４２６）。

　なお、本開示の第１の実施の形態に係る車載システム３０１では、サーバは、複数のクライアントへマルチキャストにより情報を送信している状態において、車載システム３０１における異常を検知した場合、複数のクライアントへユニキャストにより情報を送信する状態に切り替える構成であるとしたが、これに限定するものではない。サーバは、複数のクライアントへユニキャストにより情報を送信する状態に切り替えない構成であってもよい。また、サーバは、複数のクライアントへユニキャストにより情報を送信する一方で、マルチキャストにより情報を送信することができない構成であってもよい。

　また、本開示の第１の実施の形態に係る車載システム３０１では、中継装置１０１と、車載ＥＣＵ１１１とは、他の中継装置を介さずに接続される構成であるとしたが、これに限定するものではない。中継装置１０１と、車載ＥＣＵ１１１とは、他の中継装置を介して接続される構成であってもよい。この場合、たとえば、当該他の中継装置は、当該他の中継装置に接続された車載ＥＣＵ１１１から受信したすべてのイーサネットフレームを中継装置１０１へ中継する。

　また、本開示の第１の実施の形態に係る中継装置１０１では、処理部２３は、固有ＩＤを暗号鍵として用いて暗号化されたセッション鍵Ｋを、当該固有ＩＤを有する車載ＥＣＵ１１１へ中継部２２経由で送信する構成であるとしたが、これに限定するものではない。処理部２３は、暗号化されていないセッション鍵Ｋを車載ＥＣＵ１１１へ中継部２２経由で送信する構成であってもよい。

　また、本開示の第１の実施の形態に係る中継装置１０１では、処理部２３は、固有ＩＤとセッション鍵Ｋとを用いて算出したハッシュ値ＨＶを、当該固有ＩＤを有する車載ＥＣＵ１１１へ中継部２２経由で送信する構成であるとしたが、これに限定するものではない。処理部２３は、ハッシュ値ＨＶを車載ＥＣＵ１１１へ送信しない構成であってもよい。

　また、本開示の第１の実施の形態に係る中継装置１０１は、ログ生成部２４を備える構成であるとしたが、これに限定するものではない。中継装置１０１は、ログ生成部２４を備えない構成であってもよい。

　また、本開示の第１の実施の形態に係る中継装置１０１では、ログ生成部２４は、セッションの開始時刻および終了時刻をセッションログリストＲ２に書き込む構成であるとしたが、これに限定するものではない。ログ生成部２４は、セッションにおいて提供されるサービスのサービスＩＤ、セッションに参加するサーバのＥＣＵ識別子、およびセッションに参加するクライアントのＥＣＵ識別子をセッションログリストＲ２に書き込む一方で、セッションの開始時刻および終了時刻の少なくともいずれか一方をセッションログリストＲ２に書き込まない構成であってもよい。

　また、本開示の第１の実施の形態に係る中継装置１０１では、処理部２３は、中継部２２により受信されたイーサネットフレームがＳＯＭＥ／ＩＰ－ＳＤメッセージを含むと判断した場合、当該イーサネットフレームの適否を判断する構成であるとしたが、これに限定するものではない。処理部２３は、ＳＯＭＥ／ＩＰ－ＳＤメッセージを含むイーサネットフレームの適否の判断を行わない構成であってもよい。

　また、本開示の第１の実施の形態に係る中継装置１０１では、処理部２３は、セッションごとにランダムな内容のセッション鍵Ｋを生成する構成であるとしたが、これに限定するものではない。処理部２３は、セッションごとに規則的な内容のセッション鍵Ｋを生成する構成であってもよい。

　ところで、車載ネットワークにおけるセキュリティをより向上させることが可能な技術が望まれる。より詳細には、たとえばサービス指向型の通信を行う車載システムにおいて、車載ネットワークにおけるセキュリティをより向上させることが可能な技術が望まれる。

　これに対して、本開示の第１の実施の形態に係る中継装置１０１では、中継部２２は、複数の車載ＥＣＵ１１１からそれぞれ受信した複数のイーサネットフレームを、宛先の車載ＥＣＵ１１１へ送信する中継処理を行う。処理部２３は、中継部２２により受信された複数のイーサネットフレームが、開始要求を含むことおよび開始応答を含むことを判断する。処理部２３は、開始要求を含むと判断したイーサネットフレームの送信元の車載ＥＣＵ１１１と、開始応答を含むと判断したイーサネットフレームの送信元の１または複数の車載ＥＣＵ１１１とが参加するセッションに用いるセッション鍵Ｋをセッションごとに生成する。処理部２３は、生成したセッション鍵Ｋを、セッションに参加する各車載ＥＣＵ１１１へ中継部２２経由で送信する。

　このように、中継装置１０１において、受信したフレームが開始要求を含むこと、および受信したフレームが開始応答を含むことを判断し、開始要求を含むフレームの送信元の車載ＥＣＵ１１１と、開始応答を含むフレームの送信元の１または複数の車載ＥＣＵ１１１とが参加するセッションに用いるセッション鍵Ｋをセッションごとに生成して各車載ＥＣＵ１１１へ送信する構成により、車載ＥＣＵ１１１間においてセッションごとに個別のセッション鍵Ｋを用いた通信を行うことができるので、車載ＥＣＵ１１１間の通信のセキュリティを向上することができる。また、たとえば、開始要求の送信元の車載ＥＣＵ１１１および開始応答の送信元の車載ＥＣＵ１１１の認証を行った上で共通鍵の生成および送信を行うことにより、不正機器によるセッションへの参加を防止することができる。したがって、車載ネットワークにおけるセキュリティをより向上させることができる。

　また、中継装置１０１では、処理部２３が、１つのサーバとセッションにおける通信を行うクライアントの数が所定数となった場合、当該サーバおよび複数のクライアント間のセッションに用いるセッション鍵ＫＭを生成し、生成したセッション鍵ＫＭを当該サーバおよび当該複数のクライアントへ配布する構成により、当該サーバおよび当該複数のクライアントにおいて、セッション鍵ＫＭを用いたマルチキャスト通信を行うことができる。したがって、ＳＯＭＥ／ＩＰに従うメッセージの送受信が行われる車載ネットワークにおけるセキュリティを向上させることができる。

　また、中継装置１０１がセッション鍵Ｋを生成する構成により、中継装置１０１以外の管理装置が開始要求および開始応答を受信してセッション鍵Ｋの生成を行う構成と比べて、車載ＥＣＵ１１１間において既存の仕様に従って開始要求および開始応答のやり取りを行いながら、中継装置１０１においてセッション鍵Ｋを生成することができる。また、中継装置１０１以外の管理装置が開始要求および開始応答を受信してセッション鍵Ｋの生成を行う構成と比べて、ハードウェア構成を簡略化することができるとともに、開始要求を含むフレームおよび開始応答を含むフレームを中継装置から管理装置へ転送する必要がないので車載ネットワークにおける通信トラフィックを低減することができる。

　次に、本開示の他の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。

　〔第２の実施の形態〕
　本実施の形態は、第１の実施の形態に係る車載システム３０１と比べて、中継装置１０１とは別の装置である管理装置２０１がセッション鍵Ｋを生成する車載システム３０２に関する。以下で説明する内容以外は第１の実施の形態に係る車載システム３０１と同様である。

　＜車載システム＞
　図１５は、本開示の第２の実施の形態に係る車載システムの構成を示す図である。図１５を参照して、車載システム３０２は、車載システム３０１と比べて、中継装置１０１の代わりに中継装置１０２を備え、管理装置２０１をさらに備える。車載ＥＣＵ１１１および中継装置１０２は、車載装置の一例である。車載システム３０２は、車両１に搭載される。管理装置２０１は、車載システム３０２に用いられる。

　中継装置１０２は、ケーブル１４を介して管理装置２０１および各車載ＥＣＵ１１１と接続されている。管理装置２０１、車載ＥＣＵ１１１および中継装置１０２は、車載ネットワークを構成する。

　中継装置１０２は、たとえば、セントラルゲートウェイ（Ｃｅｎｔｒａｌ　Ｇａｔｅｗａｙ：ＣＧＷ）であり、管理装置２０１および車載ＥＣＵ１１１と通信を行うことが可能である。中継装置１０２は、たとえば、異なるケーブル１４に接続された複数の車載ＥＣＵ１１１間でやり取りされる情報、車載ＥＣＵ１１１と管理装置２０１との間でやり取りされる情報を中継する中継処理を行う。以下、車載ＥＣＵ１１１間の通信、および管理装置２０１と車載ＥＣＵ１１１との間の通信は、特に断りがない限り中継装置１０２経由で行われるものとする。

　（Ｏｆｆｅｒメッセージ）
　たとえば、ある車載ＥＣＵ１１１は、サーバとして、定期的または不定期に、自己が提供可能なサービスに対応するサービスＩＤを含むＯｆｆｅｒメッセージを管理装置２０１へ送信する。当該Ｏｆｆｅｒメッセージは、セッションの開始要求の一例である。

　管理装置２０１は、サーバからＯｆｆｅｒメッセージを受信し、受信したＯｆｆｅｒメッセージの適否を判断する。管理装置２０１は、受信したＯｆｆｅｒメッセージが不適切であると判断した場合、当該Ｏｆｆｅｒメッセージを破棄する。一方、管理装置２０１は、受信したＯｆｆｅｒメッセージが適切であると判断した場合、Ｏｆｆｅｒメッセージを複数の車載ＥＣＵ１１１へマルチキャストする。

　管理装置２０１からＯｆｆｅｒメッセージを受信した複数の車載ＥＣＵ１１１のうち、Ｏｆｆｅｒメッセージに含まれるサービスＩＤに対応するサービスを必要とする車載ＥＣＵ１１１は、クライアントとして、サービスを要求することを示すＳｕｂｓｃｒｉｂｅメッセージを管理装置２０１へ送信する。当該Ｓｕｂｓｃｒｉｂｅメッセージは、セッションの開始要求に対する開始応答の一例である。

　管理装置２０１は、クライアントからＳｕｂｓｃｒｉｂｅメッセージを受信した場合、サーバおよびクライアント間のセッションを確立することを決定する。そして、管理装置２０１は、当該セッションに用いる、当該セッションに固有のセッション鍵Ｋを生成する。すなわち、管理装置２０１は、当該セッションに用いるセッション鍵Ｋをセッションごとに生成する。セッション鍵Ｋは、共通鍵の一例であり、たとえば使用する暗号方式に従った鍵長の乱数である。たとえば、管理装置２０１は、セッションごとにランダムな内容のセッション鍵Ｋを生成する。管理装置２０１は、生成したセッション鍵Ｋをセッションに参加するサーバおよびクライアントへ送信する。

　（Ｆｉｎｄメッセージ）
　たとえば、ある車載ＥＣＵ１１１は、クライアントとして、定期的または不定期に、提供を受けようとするサービスに対応するサービスＩＤを含むＦｉｎｄメッセージを管理装置２０１へ送信する。当該Ｆｉｎｄメッセージは、セッションの探索要求の一例である。

　管理装置２０１は、クライアントからＦｉｎｄメッセージを受信し、受信したＦｉｎｄメッセージの適否を判断する。管理装置２０１は、受信したＦｉｎｄメッセージが不適切であると判断した場合、当該Ｆｉｎｄメッセージを破棄する。一方、管理装置２０１は、受信したＦｉｎｄメッセージが適切であると判断した場合、Ｆｉｎｄメッセージを複数の車載ＥＣＵ１１１へマルチキャストする。

　管理装置２０１からＦｉｎｄメッセージを受信した複数の車載ＥＣＵ１１１のうち、Ｆｉｎｄメッセージに含まれるサービスＩＤに対応するサービスを提供可能な車載ＥＣＵ１１１は、サーバとして、サービスの提供が可能であることを示すＯｆｆｅｒメッセージを管理装置２０１へ送信する。当該Ｏｆｆｅｒメッセージは、セッションの探索要求に対する開始要求の一例である。

　管理装置２０１は、サーバからＯｆｆｅｒメッセージを受信し、受信したＯｆｆｅｒメッセージの適否を判断する。管理装置２０１は、受信したＯｆｆｅｒメッセージが不適切であると判断した場合、当該Ｏｆｆｅｒメッセージを破棄する。一方、管理装置２０１は、受信したＯｆｆｅｒメッセージが適切であると判断した場合、Ｏｆｆｅｒメッセージをクライアントへ送信する。

　管理装置２０１からＯｆｆｅｒメッセージを受信したクライアントは、Ｓｕｂｓｃｒｉｂｅメッセージを管理装置２０１へ送信する。当該Ｓｕｂｓｃｒｉｂｅメッセージは、セッションの開始要求に対する開始応答の一例である。

　管理装置２０１は、クライアントからＳｕｂｓｃｒｉｂｅメッセージを受信した場合、サーバおよびクライアント間のセッションを確立することを決定する。そして、管理装置２０１は、当該セッションに用いる、当該セッションに固有のセッション鍵Ｋを生成する。管理装置２０１は、生成したセッション鍵Ｋをセッションに参加するサーバおよびクライアントへ送信する。

　＜車載ＥＣＵおよび管理装置における処理＞
　図１６は、本開示の第２の実施の形態に係る管理装置の構成を示す図である。図１６を参照して、管理装置２０１は、受信部３１と、送信部３２と、処理部３３と、ログ生成部３４と、記憶部３５とを備える。処理部３３は、生成部の一例である。ログ生成部３４は、記録部の一例である。受信部３１、送信部３２、処理部３３およびログ生成部３４は、たとえば、ＣＰＵおよびＤＳＰ等のプロセッサにより実現される。記憶部３５は、たとえば不揮発性メモリである。

　受信部３１は、セッションの開始要求および当該開始要求に対する開始応答を、複数の車載ＥＣＵ１１１からそれぞれ受信する。処理部３３は、受信部３１により受信された開始要求および開始応答に紐づくセッションに用いる、当該セッションに固有のセッション鍵Ｋを生成する。すなわち、処理部３３は、受信部３１により受信された開始要求の送信元の車載ＥＣＵ１１１、および受信部３１により受信された開始応答の送信元の車載ＥＣＵ１１１が参加するセッションに用いるセッション鍵Ｋを生成する。たとえば、処理部３３は、セッションごとにランダムな内容のセッション鍵Ｋを生成する。送信部３２は、処理部３３により生成されたセッション鍵Ｋを当該セッションに参加する各車載ＥＣＵ１１１へ送信する。ログ生成部３４は、処理部３３により生成されたセッション鍵Ｋが用いられるセッションに関するセッション情報を記録する。

　記憶部３５は、車載システム３０２における各車載ＥＣＵ１１１の固有ＩＤを記憶する。たとえば、記憶部３５は、図７に示す接続先リストを記憶する。

　（１）Ｓｅｒｖｉｃｅ　Ｄｉｓｃｏｖｅｒｙにおける処理例１
　（１－１）サーバによるＯｆｆｅｒメッセージの送信
　再び図５を参照して、サーバである車載ＥＣＵ１１１において、処理部１２は、記憶部１３におけるサービスリストを参照し、自己が提供可能なサービスに対応するサービスＩＤを取得する。また、処理部１２は、記憶部１３からＥＣＵ識別子および自己の車載ＥＣＵ１１１のエンドポイント情報を取得する。処理部１２は、取得したサービスＩＤ、ＥＣＵ識別子およびエンドポイント情報を含むＯｆｆｅｒメッセージを生成する。

　処理部１２は、生成したＯｆｆｅｒメッセージおよび記憶部１３における固有ＩＤに基づいてＭＡＣ値を算出する。処理部１２は、生成したＯｆｆｅｒメッセージおよび算出したＭＡＣ値を通信部１１へ出力する。

　通信部１１は、処理部１２からＯｆｆｅｒメッセージおよびＭＡＣ値を受けて、受けたＯｆｆｅｒメッセージおよびＭＡＣ値を管理装置２０１へ送信する。

　（１－２）管理装置によるＯｆｆｅｒメッセージの適否の判断
　再び図１６を参照して、管理装置２０１における受信部３１は、サーバからＯｆｆｅｒメッセージおよびＭＡＣ値を受信する。受信部３１は、受信したＯｆｆｅｒメッセージにタイムスタンプを付し、ＯｆｆｅｒメッセージおよびＭＡＣ値を処理部３３へ出力する。

　処理部３３は、受信部３１からＯｆｆｅｒメッセージおよびＭＡＣ値を受けて、受けたＯｆｆｅｒメッセージの適否を判断する。

　より詳細には、処理部３３は、ＯｆｆｅｒメッセージからサービスＩＤ、車載ＥＣＵ１１１のエンドポイント情報およびＥＣＵ識別子を取得する。そして、処理部３３は、記憶部３５における接続先リストを参照し、Ｏｆｆｅｒメッセージから取得したサービスＩＤが示すサービスに関与し得るサーバとして、Ｏｆｆｅｒメッセージから取得したエンドポイント情報およびＥＣＵ識別子により特定される車載ＥＣＵ１１１が接続先リストに登録されているか否かを確認する。

　一例として、処理部３３は、Ｏｆｆｅｒメッセージから取得したサービスＩＤ、エンドポイント情報およびＥＣＵ識別子が、それぞれ、「０ｘ０００１」、「ＢＢＢ」および「ＥＣＵ＿２」である場合、当該サービスＩＤが示すサービスに関与し得るサーバとして、当該ＥＣＵ識別子および当該エンドポイント情報により特定される車載ＥＣＵ１１１が接続先リストに登録されていると判断する。

　また、処理部３３は、接続先リストを参照し、Ｏｆｆｅｒメッセージから取得したエンドポイント情報等により特定される車載ＥＣＵ１１１の固有ＩＤを取得する。処理部３３は、Ｏｆｆｅｒメッセージおよび取得した固有ＩＤに基づいてＭＡＣ値を算出する。そして、処理部３３は、受信部３１から受けたＭＡＣ値と、自己が算出したＭＡＣ値とを照合することにより、Ｏｆｆｅｒメッセージが改ざんされているか否かを判断する。

　処理部３３は、Ｏｆｆｅｒメッセージから取得したエンドポイント情報等により特定される車載ＥＣＵ１１１が接続先リストに登録されており、かつＯｆｆｅｒメッセージが改ざんされていないと判断した場合、受信部３１により受信されたＯｆｆｅｒメッセージは適切であると判断する。一方、処理部３３は、Ｏｆｆｅｒメッセージから取得したエンドポイント情報等により特定される車載ＥＣＵ１１１が接続先リストに登録されていない場合、またはＯｆｆｅｒメッセージが改ざんされていると判断した場合、受信部３１により受信されたＯｆｆｅｒメッセージは不適切であると判断する。

　処理部３３は、受信部３１により受信されたＯｆｆｅｒメッセージが適切であると判断した場合、Ｏｆｆｅｒメッセージから取得したＥＣＵ識別子およびエンドポイント情報をサーバ情報として記憶部３５に保存する。また、処理部３３は、Ｏｆｆｅｒメッセージを送信部３２へ出力する。

　送信部３２は、処理部３３から受けたＯｆｆｅｒメッセージを複数のクライアントへマルチキャストする。たとえば、送信部３２は、記憶部３５における接続先リストを参照し、サービスＩＤが「０ｘ０００１」であるサービスを必要とし得る複数のクライアントへマルチキャストする。

　一方、処理部３３は、受信部３１により受信されたＯｆｆｅｒメッセージが不適切であると判断した場合、Ｏｆｆｅｒメッセージをログ生成部３４へ出力する。ログ生成部３４は、処理部３３により不適切であると判断されたメッセージに関する情報を記録する。

　記憶部３５は、処理部３３により不適切と判断されたメッセージのバイト列と、当該メッセージの送信元の車載ＥＣＵ１１１のＥＣＵ識別子と、当該メッセージの受信時刻とを示す不正ログのリストである不正ログリストＲ１１を記憶している。不正ログリストＲ１１は、図８に示す不正ログリストＲ１と同じ内容のリストである。

　ログ生成部３４は、処理部３３からＯｆｆｅｒメッセージを受けて、受けたＯｆｆｅｒメッセージに含まれるＥＣＵ識別子と、受信時刻を示すタイムスタンプとを取得し、当該Ｏｆｆｅｒメッセージのバイト列ならびに取得したＥＣＵ識別子および受信時刻を不正ログとして記憶部３５における不正ログリストＲ１１に書き込む。その後、ログ生成部３４は、Ｏｆｆｅｒメッセージを破棄する。

　（１－３）クライアントによるＳｕｂｓｃｒｉｂｅメッセージの送信
　再び図５を参照して、クライアントである車載ＥＣＵ１１１において、通信部１１は、管理装置２０１からＯｆｆｅｒメッセージを受信し、受信したＯｆｆｅｒメッセージを処理部１２へ出力する。

　処理部１２は、通信部１１からＯｆｆｅｒメッセージを受けて、受けたＯｆｆｅｒメッセージからサービスＩＤを取得する。処理部１２は、記憶部１３におけるサービスリストを参照し、取得したサービスＩＤが示すサービスの要否を判断する。処理部１２は、当該サービスが必要であると判断した場合、返信指示を通信部１１へ出力する。一方、処理部１２は、当該サービスが不要であると判断した場合、返信指示の出力を行わない。

　通信部１１は、処理部１２から返信指示を受けて、記憶部１３からＥＣＵ識別子、および自己の車載ＥＣＵ１１１のエンドポイント情報を取得する。そして、通信部１１は、ＥＣＵ識別子およびエンドポイント情報を含むＳｕｂｓｃｒｉｂｅメッセージを生成し、生成したＳｕｂｓｃｒｉｂｅメッセージを管理装置２０１へ送信する。

　（１－４）管理装置によるセッション確立の決定
　再び図１６を参照して、管理装置２０１における受信部３１は、クライアントからＳｕｂｓｃｒｉｂｅメッセージを受信し、受信したＳｕｂｓｃｒｉｂｅメッセージを処理部３３へ出力する。

　処理部３３は、受信部３１からＳｕｂｓｃｒｉｂｅメッセージを受けて、受けたＳｕｂｓｃｒｉｂｅメッセージからＥＣＵ識別子およびエンドポイント情報を取得する。処理部３３は、取得したＥＣＵ識別子およびエンドポイント情報をクライアント情報として記憶部３５に保存する。

　処理部３３は、記憶部３５に保存したサーバ情報およびクライアント情報がそれぞれ示すサーバおよびクライアント間のセッションを確立することを決定する。処理部３３は、セッションを確立することを決定した場合、セッション鍵Ｋを生成してサーバおよびクライアントへ配布する。

　たとえば、処理部３３は、送信部３２経由でＯｆｆｅｒメッセージをクライアントへ送信してから所定時間が経過するまでに、受信部３１経由でクライアントからＳｕｂｓｃｒｉｂｅメッセージを受信しなかった場合、サービスを必要とするクライアントが存在しなかった旨を示すメッセージを送信部３２経由でサーバへ送信する。

　（１－５）管理装置によるセッション鍵の配布
　処理部３３は、確立することを決定したセッションに用いるセッション鍵Ｋと、セッション鍵ＫのＩＤである鍵ＩＤとを生成し、生成したセッション鍵Ｋおよび鍵ＩＤを当該セッションに参加するサーバおよびクライアントへ配布する。

　たとえば、処理部３３は、固有ＩＤを暗号鍵として用いてセッション鍵Ｋを暗号化する。また、たとえば、処理部３３は、固有ＩＤとセッション鍵Ｋとを用いて算出されたハッシュ値ＨＶを算出する。

　より詳細には、処理部３３は、記憶部３５における接続先リストを参照し、サーバ情報が示すサーバの固有ＩＤを取得し、取得した固有ＩＤを暗号鍵として用いてセッション鍵Ｋを暗号化することにより、暗号化されたサーバ用のセッション鍵Ｋである暗号化鍵ＫＳを生成する。そして、処理部３３は、暗号化鍵ＫＳおよび対応の鍵ＩＤを、クライアントから受信したＳｕｂｓｃｒｉｂｅメッセージに含め、当該Ｓｕｂｓｃｒｉｂｅメッセージと取得した固有ＩＤとを所定のハッシュ関数に与えることによりハッシュ値ＨＶＳを算出する。なお、処理部３３は、サービスを必要とするクライアントが存在した旨を示す情報を当該Ｓｕｂｓｃｒｉｂｅメッセージにさらに含めてもよい。

　また、処理部３３は、記憶部３５における接続先リストを参照し、クライアント情報が示すクライアントの固有ＩＤを取得し、取得した固有ＩＤを暗号鍵として用いてセッション鍵Ｋを暗号化することにより、暗号化されたクライアント用のセッション鍵Ｋである暗号化鍵ＫＣを生成する。そして、処理部３３は、サーバのエンドポイント情報、暗号化鍵ＫＣおよび対応の鍵ＩＤを含む開始メッセージＭＣを生成し、生成した開始メッセージＭＣと取得した固有ＩＤとを所定のハッシュ関数に与えることによりハッシュ値ＨＶＣを算出する。なお、処理部３３は、サービスを提供可能なサーバが存在した旨を示す情報を開始メッセージＭＣに含めてもよい。

　処理部３３は、生成した開始メッセージＭＣおよびＳｕｂｓｃｒｉｂｅメッセージ、ならびに算出したハッシュ値ＨＶＳ，ＨＶＣを送信部３２へ出力する。

　送信部３２は、処理部３３から受けたＳｕｂｓｃｒｉｂｅメッセージを、暗号化鍵ＫＳの暗号化に用いた固有ＩＤを有するサーバへ送信する。また、送信部３２は、開始メッセージＭＣを、暗号化鍵ＫＣの暗号化に用いた固有ＩＤを有するクライアントへ送信する。また、送信部３２は、ハッシュ値ＨＶＳを当該サーバへ送信し、ハッシュ値ＨＶＣを当該クライアントへ送信する。

　処理部３３は、確立するセッションにおいて提供されるサービスのサービスＩＤ、Ｓｕｂｓｃｒｉｂｅメッセージの宛先であるサーバのＥＣＵ識別子、開始メッセージＭＣの宛先であるクライアントのＥＣＵ識別子、ならびにＳｕｂｓｃｒｉｂｅメッセージおよび開始メッセージＭＣの出力時刻ｔｓを示すセッション情報をログ生成部３４へ出力する。出力時刻ｔｓは、セッション鍵Ｋの送信部３２による送信時刻を示す。

　ログ生成部３４は、処理部３３により生成されたセッション鍵Ｋが用いられるセッションに関するセッション情報を記録する。

　記憶部３５は、確立するセッションにおいて提供されるサービスのサービスＩＤと、セッション鍵Ｋの配布先であるサーバおよびクライアントの各ＥＣＵ識別子と、セッションの開始時刻と、セッションの終了時刻とを示すセッションログのリストであるセッションログリストＲ１２を記憶している。セッションログリストＲ１２は、図９に示すセッションログリストＲ１２と同じ内容のリストである。

　ログ生成部３４は、処理部３３からセッション情報を受けて、受けたセッション情報に含まれるサービスＩＤ、ＥＣＵ識別子および出力時刻ｔｓを、それぞれ、セッションログの「サービスＩＤ」、「ＥＣＵ識別子」および「開始時刻」としてセッションログリストＲ１２に書き込む。

　再び図５を参照して、サーバにおいて、通信部１１は、管理装置２０１からＳｕｂｓｃｒｉｂｅメッセージおよびハッシュ値ＨＶＳを受信して処理部１２へ出力する。処理部１２は、通信部１１により受信された管理装置２０１からのセッション鍵Ｋと自己の固有ＩＤとを用いて算出されるハッシュ値と、通信部１１により受信された管理装置２０１からのハッシュ値ＨＶＳとを照合する。

　より詳細には、処理部１２は、通信部１１からＳｕｂｓｃｒｉｂｅメッセージおよびハッシュ値ＨＶＳを受けて、記憶部１３から固有ＩＤを取得し、受けたＳｕｂｓｃｒｉｂｅメッセージおよび取得した固有ＩＤとを所定のハッシュ関数に与えることによりハッシュ値を算出する。処理部１２は、ハッシュ値ＨＶＳと、自己が算出したハッシュ値とを照合することにより、Ｓｕｂｓｃｒｉｂｅメッセージが改ざんされているか否かを判断する。

　一方、処理部１２は、記憶部１３における鍵ＩＤと、新たに取得した鍵ＩＤとが一致する場合、セッション鍵Ｋの再送信を要求する旨のメッセージを通信部１１経由で管理装置２０１へ送信する。管理装置２０１は、当該メッセージを受信した場合、新たなセッション鍵Ｋを生成してサーバおよびクライアントへ送信する。これにより、過去のセッションにおいて用いられたセッション鍵Ｋと同じセッション鍵Ｋがサーバおよびクライアントへ配布された場合、管理装置２０１にセッション鍵Ｋの再生成を促すことができるので、異なるセッションにおいて同じセッション鍵Ｋが用いられることによるセキュリティの低下を回避することができる。

　また、クライアントにおいて、通信部１１は、管理装置２０１から開始メッセージＭＣおよびハッシュ値ＨＶＣを受信して処理部１２へ出力する。処理部１２は、通信部１１により受信された管理装置２０１からのセッション鍵Ｋと自己の固有ＩＤとを用いて算出されるハッシュ値と、通信部１１により管理装置２０１から受信されたハッシュ値ＨＶＣとを照合する。

　より詳細には、処理部１２は、通信部１１から開始メッセージＭＣおよびハッシュ値ＨＶＣを受けて、記憶部１３から固有ＩＤを取得し、受けた開始メッセージＭＣおよび取得した固有ＩＤとを所定のハッシュ関数に与えることによりハッシュ値を算出する。処理部１２は、ハッシュ値ＨＶＣと、自己が算出したハッシュ値とを照合することにより、開始メッセージＭＣが改ざんされているか否かを判断する。

　一方、処理部１２は、記憶部１３における鍵ＩＤと、新たに取得した鍵ＩＤとが一致する場合、セッション鍵Ｋの再送信を要求する旨のメッセージを通信部１１経由で管理装置２０１へ送信する。管理装置２０１は、当該メッセージを受信した場合、新たなセッション鍵Ｋを生成してサーバおよびクライアントへ送信する。

　ここで、管理装置２０１において生成可能な、異なるセッション鍵Ｋの数は有限であるので、管理装置２０１は、あるセッション鍵Ｋの配布後、十分な時間を開けて当該セッション鍵Ｋと同じセッション鍵Ｋを配布する場合がある。そのため、サーバおよびクライアントにおける処理部１２は、記憶部１３に鍵ＩＤを保存してから十分な時間が経過した後、当該鍵ＩＤを記憶部１３から削除する。

　（２）Ｓｅｒｖｉｃｅ　Ｄｉｓｃｏｖｅｒｙにおける処理例２
　（２－１）クライアントによるＦｉｎｄメッセージの送信
　再び図５を参照して、クライアントである車載ＥＣＵ１１１において、処理部１２は、記憶部１３におけるサービスリストを参照し、自己が提供を受けようとするサービスに対応するサービスＩＤを取得する。また、処理部１２は、記憶部１３からＥＣＵ識別子および自己の車載ＥＣＵ１１１のエンドポイント情報を取得する。処理部１２は、取得したサービスＩＤ、ＥＣＵ識別子およびエンドポイント情報を含むＦｉｎｄメッセージを生成する。

　処理部１２は、生成したＦｉｎｄメッセージおよび記憶部１３における固有ＩＤに基づいてＭＡＣ値を算出する。処理部１２は、生成したＦｉｎｄメッセージおよび算出したＭＡＣ値を通信部１１へ出力する。

　通信部１１は、処理部１２からＦｉｎｄメッセージおよびＭＡＣ値を受けて、受けたＦｉｎｄメッセージおよびＭＡＣ値を管理装置２０１へ送信する。

　（２－２）管理装置によるＦｉｎｄメッセージの適否の判定
　再び図１６を参照して、管理装置２０１における受信部３１は、クライアントからＦｉｎｄメッセージおよびＭＡＣ値を受信する。受信部３１は、受信したＦｉｎｄメッセージにタイムスタンプを付し、ＦｉｎｄメッセージおよびＭＡＣ値を処理部３３へ出力する。

　処理部３３は、受信部３１からＦｉｎｄメッセージおよびＭＡＣ値を受けて、受けたＦｉｎｄメッセージの適否を判断する。

　より詳細には、処理部３３は、ＦｉｎｄメッセージからサービスＩＤ、車載ＥＣＵ１１１のエンドポイント情報およびＥＣＵ識別子を取得する。そして、処理部３３は、記憶部３５における接続先リストを参照し、Ｆｉｎｄメッセージから取得したサービスＩＤが示すサービスに関与し得るクライアントとして、Ｆｉｎｄメッセージから取得したエンドポイント情報およびＥＣＵ識別子により特定される車載ＥＣＵ１１１が接続先リストに登録されているか否かを確認する。

　一例として、処理部３３は、Ｆｉｎｄメッセージから取得したサービスＩＤ、エンドポイント情報およびＥＣＵ識別子が、それぞれ、「０ｘ０００１」、「ＣＣＣ」および「ＥＣＵ＿３」である場合、当該サービスＩＤが示すサービスに関与し得るクライアントとして、当該ＥＣＵ識別子および当該エンドポイント情報により特定される車載ＥＣＵ１１１が接続先リストに登録されていると判断する。

　また、処理部３３は、接続先リストを参照し、Ｆｉｎｄメッセージから取得したエンドポイント情報等により特定される車載ＥＣＵ１１１の固有ＩＤを取得する。処理部３３は、Ｆｉｎｄメッセージおよび取得した固有ＩＤに基づいてＭＡＣ値を算出する。そして、処理部３３は、受信部３１から受けたＭＡＣ値と、自己が算出したＭＡＣ値とを照合することにより、Ｆｉｎｄメッセージが改ざんされているか否かを判断する。

　処理部３３は、Ｆｉｎｄメッセージから取得したエンドポイント情報等により特定される車載ＥＣＵ１１１が接続先リストに登録されており、かつＦｉｎｄメッセージが改ざんされていないと判断した場合、受信部３１により受信されたＦｉｎｄメッセージは適切であると判断する。一方、処理部３３は、Ｆｉｎｄメッセージから取得したエンドポイント情報等により特定される車載ＥＣＵ１１１が接続先リストに登録されていない場合、またはＦｉｎｄメッセージが改ざんされていると判断した場合、受信部３１により受信されたＦｉｎｄメッセージは不適切であると判断する。

　処理部３３は、受信部３１により受信されたＦｉｎｄメッセージが適切であると判断した場合、Ｆｉｎｄメッセージから取得したＥＣＵ識別子およびエンドポイント情報をクライアント情報として記憶部３５に保存する。また、処理部３３は、Ｆｉｎｄメッセージを送信部３２へ出力する。

　送信部３２は、処理部３３から受けたＦｉｎｄメッセージを複数のサーバへマルチキャストする。たとえば、送信部３２は、記憶部３５における接続先リストを参照し、サービスＩＤが「０ｘ０００１」であるサービスを提供し得る複数のサーバへマルチキャストする。

　一方、処理部３３は、受信部３１により受信されたＦｉｎｄメッセージが不適切であると判断した場合、Ｆｉｎｄメッセージをログ生成部３４へ出力する。

　ログ生成部３４は、処理部３３からＦｉｎｄメッセージを受けて、受けたＦｉｎｄメッセージに含まれるＥＣＵ識別子と、受信時刻を示すタイムスタンプとを取得し、当該Ｆｉｎｄメッセージのバイト列ならびに取得したＥＣＵ識別子および受信時刻を不正ログとして記憶部３５における不正ログリストＲ１１に書き込む。その後、ログ生成部３４は、Ｆｉｎｄメッセージを破棄する。

　（２－３）サーバによるＯｆｆｅｒメッセージの送信
　再び図５を参照して、サーバである車載ＥＣＵ１１１において、通信部１１は、管理装置２０１からＦｉｎｄメッセージを受信し、受信したＦｉｎｄメッセージを処理部１２へ出力する。

　処理部１２は、通信部１１からＦｉｎｄメッセージを受けて、受けたＦｉｎｄメッセージからサービスＩＤを取得する。処理部１２は、記憶部１３におけるサービスリストを参照し、取得したサービスＩＤが示すサービスの提供の可否を判断する。処理部１２は、当該サービスの提供が可能であると判断した場合、返信指示を通信部１１へ出力する。一方、処理部１２は、当該サービスの提供が不可能であると判断した場合、返信指示の出力を行わない。

　通信部１１は、処理部１２から返信指示を受けて、記憶部１３からＥＣＵ識別子、および自己の車載ＥＣＵ１１１のエンドポイント情報を取得する。そして、通信部１１は、ＥＣＵ識別子およびエンドポイント情報を含むＯｆｆｅｒメッセージを生成し、生成したＯｆｆｅｒメッセージを管理装置２０１へ送信する。

　（２－４）管理装置によるＯｆｆｅｒメッセージの適否の判断
　管理装置２０１は、上述した「（１－２）管理装置によるＯｆｆｅｒメッセージの適否の判断」と同様にして、サーバから受信したＯｆｆｅｒメッセージの適否を判断する。そして、管理装置２０１は、当該Ｏｆｆｅｒメッセージが適切であると判断した場合、当該Ｏｆｆｅｒメッセージをクライアントへ送信する。

　（２－５）クライアントによるＳｕｂｓｃｒｉｂｅメッセージの送信
　再び図５を参照して、クライアントである車載ＥＣＵ１１１は、上述した「（１－３）クライアントによるＳｕｂｓｃｒｉｂｅメッセージの送信」と同様にして、Ｓｕｂｓｃｒｉｂｅメッセージを管理装置２０１へ送信する。

　（２－６）管理装置によるセッション確立の決定
　管理装置２０１は、上述した「（１－４）管理装置によるセッション確立の決定」と同様にして、セッションを確立することを決定し、セッション鍵Ｋを生成してサーバおよびクライアントへ配布する。

　（２－７）管理装置によるセッション鍵の配布
　管理装置２０１は、上述した「（１－５）管理装置によるセッション鍵の配布」と同様にして、セッション鍵Ｋおよび鍵ＩＤを当該セッションに参加するサーバおよびクライアントへ配布する。

　また、サーバおよびクライアントは、上述した「（１－５）管理装置によるセッション鍵の配布」と同様にして、セッション鍵Ｋを取得する。

　（セッションにおける通信）
　サーバおよびクライアントは、セッション鍵Ｋを用いた通信のセッションを開始する。

　具体的には、サーバにおいて、処理部１２は、サービスとして提供すべき情報が格納されたセッションメッセージを、記憶部１３におけるセッション鍵Ｋを用いて暗号化し、暗号化したセッションメッセージを通信部１１へ出力する。通信部１１は、処理部１２から受けたセッションメッセージを、記憶部１３におけるエンドポイント情報が示すクライアントへユニキャストする。

　また、クライアントにおいて、処理部１２は、通信部１１経由でサーバから受信したセッションメッセージを、記憶部１３におけるセッション鍵Ｋを用いて復号し、復号したセッションメッセージから情報を取得する。

　（既存セッションへの参加）
　たとえば、サーバにおける処理部１２は、あるクライアントとのセッションの開始後においても、定期的または不定期にＯｆｆｅｒメッセージを通信部１１経由で管理装置２０１へ送信する。

　管理装置２０１における処理部３３は、サーバおよびクライアント間のセッションの確立後において、当該サーバのＯｆｆｅｒメッセージに対する他のクライアントからのＳｕｂｓｃｒｉｂｅメッセージを受信部３１経由で受信した場合、当該サーバおよび当該他のクライアント間のセッションを確立することを決定する。

　すなわち、処理部３３は、たとえばサーバＳ１およびクライアントＣ１へセッション鍵Ｋ１を配布した後、サーバＳ１のＯｆｆｅｒメッセージに対するクライアントＣ２からのＳｕｂｓｃｒｉｂｅメッセージを受信部３１経由で受信した場合、サーバＳ１およびクライアントＣ２間のセッションを確立することを決定する。

　この場合、たとえば、処理部３３は、サーバＳ１およびクライアントＣ２間のセッションに用いるセッション鍵Ｋとして、サーバＳ１およびクライアントＣ１へ配布したセッション鍵Ｋ１とは異なるセッション鍵Ｋ２を生成し、生成したセッション鍵Ｋ２をサーバＳ１およびクライアントＣ２へ配布する。

　すなわち、処理部３３は、サーバとクライアントとの組み合わせごとに異なるセッション鍵Ｋを生成して配布する。

　（サーバからクライアントへのマルチキャスト）
　車載システム３０２では、サーバは、セッションメッセージをクライアントへユニキャストする構成に限定されない。サーバは、セッションメッセージを複数のクライアントへマルチキャストする構成であってもよい。

　より詳細には、管理装置２０１における処理部３３は、１つのサーバとのセッションにおける通信を行うクライアントの数が所定数となった場合、当該サーバおよび複数のクライアント間のセッションに用いるセッション鍵Ｋであるセッション鍵ＫＭを生成し、生成したセッション鍵ＫＭを当該サーバおよび当該複数のクライアントへ配布する。

　すなわち、処理部３３は、たとえば、サーバＳ１とクライアントＣ１，Ｃ２との間の２つのセッションをそれぞれ確立した状態において、サーバＳ１のＯｆｆｅｒメッセージに対するクライアントＣ３からのＳｕｂｓｃｒｉｂｅメッセージを受信部３１経由で受信した場合、サーバＳ１およびクライアントＣ３間のセッションに用いるセッション鍵Ｋ３を生成してサーバＳ１およびクライアントＣ３へ配布する。さらに、処理部３３は、サーバＳ１およびクライアントＣ１，Ｃ２，Ｃ３間のセッションに用いるセッション鍵ＫＭと、サーバＳ１およびクライアントＣ１，Ｃ２，Ｃ３のエンドポイント情報に基づくマルチキャストアドレスとをさらに生成し、生成したセッション鍵ＫＭおよびマルチキャストアドレスをサーバＳ１およびクライアントＣ１，Ｃ２，Ｃ３へ配布する。

　再び図７を参照して、サーバＳ１は、クライアントＣ１との間のセッションに用いるセッション鍵Ｋ１と、クライアントＣ２との間のセッションに用いるセッション鍵Ｋ２と、クライアントＣ３との間のセッションに用いるセッション鍵Ｋ３と、クライアントＣ１，Ｃ２，Ｃ３との間のセッションに用いるセッション鍵ＫＭとを有している。クライアントＣ１は、セッション鍵Ｋ１，ＫＭを備えている。クライアントＣ２は、セッション鍵Ｋ２，ＫＭを有している。クライアントＣ３は、セッション鍵Ｋ３，ＫＭを有している。

　サーバＳ１において、処理部１２は、サービスとして提供すべき情報が格納されたセッションメッセージを、セッション鍵ＫＭを用いて暗号化し、暗号化したセッションメッセージを通信部１１経由でクライアントＣ１，Ｃ２，Ｃ３へマルチキャストする。

　たとえば、サーバＳ１は、クライアントＣ１，Ｃ２，Ｃ３へマルチキャストにより情報を送信している状態において、車載システム３０２における異常を検知した場合、複数のクライアントＣ１，Ｃ２，Ｃ３へユニキャストにより情報を送信する状態に切り替える。

　一例として、クライアントＣ１を乗っ取った不正機器が、サーバＳ１になりすまし、セッション鍵ＫＭを用いて暗号化されたセッションメッセージをサーバＳ１およびクライアントＣ２，Ｃ３へマルチキャストする場合を考える。

　サーバＳ１における処理部１２は、通信部１１経由で当該不正機器からセッションメッセージを受信した場合、自己がセッションメッセージの送信元であるにも関わらず自己がセッションメッセージを受信したことから、車載システム３０２において異常が発生したと判断する。

　（クライアント側からのセッションの終了）
　クライアントにおいて、処理部１２は、サービスの提供を受けることを停止する場合、サービスＩＤを含むＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージを、記憶部１３におけるセッション鍵Ｋを用いて暗号化して通信部１１経由で管理装置２０１へ送信する。また、処理部１２は、記憶部１３におけるセッション鍵Ｋおよびサーバのエンドポイント情報を破棄する。

　再び図１６を参照して、管理装置２０１において、受信部３１は、クライアントからＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージを受信する。受信部３１は、受信したＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージにタイムスタンプを付して処理部３３へ出力する。受信部３１により受信されるクライアントからのＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージは、終了要求の一例である。

　処理部３３は、受信部３１からＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージを受けて、受けたＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージを送信部３２へ出力する。また、処理部３３は、ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージに付されたタイムスタンプが示す受信時刻ｔｅをログ生成部３４へ通知する。

　送信部３２は、受信部３１によるＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージの受信に基づいて、セッションを終了させるＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージをセッションに参加している他の車載ＥＣＵ１１１すなわちサーバへ送信する。より詳細には、送信部３２は、処理部３３から受けたＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージをサーバへ送信する。送信部３２により送信されるサーバへのＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージは、終了指示の一例である。

　再び図１６を参照して、ログ生成部３４は、処理部３３から受信時刻ｔｅの通知を受けて、通知された受信時刻ｔｅをセッションログの「終了時刻」としてセッションログリストＲ１２に書き込む。

　サーバにおいて、処理部１２は、管理装置２０１から通信部１１経由でＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージを受信し、受信したＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージを、記憶部１３におけるセッション鍵Ｋを用いて復号する。処理部１２は、記憶部１３におけるセッション鍵Ｋおよびクライアントのエンドポイント情報を破棄する。

　（サーバ側からのセッションの終了）
　サーバにおいて、処理部１２は、サービスの提供を停止する場合、サービスＩＤを含むＳｔｏｐＯｆｆｅｒメッセージを、記憶部１３におけるセッション鍵Ｋを用いて暗号化して通信部１１経由で管理装置２０１へ送信する。また、処理部１２は、記憶部１３におけるセッション鍵Ｋおよびクライアントのエンドポイント情報を破棄する。

　再び図１６を参照して、管理装置２０１において、受信部３１は、クライアントからＳｔｏｐＯｆｆｅｒメッセージを受信する。受信部３１は、受信したＳｔｏｐＯｆｆｅｒメッセージにタイムスタンプを付して処理部３３へ出力する。受信部３１により受信されるサーバからのＳｔｏｐＯｆｆｅｒメッセージは、終了要求の一例である。

　処理部３３は、受信部３１からＳｔｏｐＯｆｆｅｒメッセージを受けて、受けたＳｔｏｐＯｆｆｅｒメッセージを送信部３２へ出力する。また、処理部３３は、ＳｔｏｐＯｆｆｅｒメッセージに付されたタイムスタンプが示す受信時刻ｔｅをログ生成部３４へ通知する。

　送信部３２は、受信部３１によりＳｔｏｐＯｆｆｅｒメッセージが受信されたことに伴い、セッションを終了すべき旨のＳｔｏｐＯｆｆｅｒメッセージをセッションに参加している他の車載ＥＣＵ１１１すなわちクライアントへ送信する。より詳細には、送信部３２は、処理部３３から受けたＳｔｏｐＯｆｆｅｒメッセージをクライアントへ送信する。送信部３２により送信されるクライアントへのＳｔｏｐＯｆｆｅｒメッセージは、終了指示の一例である。

　再び図６を参照して、ログ生成部３４は、処理部３３から受信時刻ｔｅの通知を受けて、通知された受信時刻ｔｅをセッションログの「終了時刻」としてセッションログリストＲ１２に書き込む。

　クライアントにおいて、処理部１２は、管理装置２０１から通信部１１経由でＳｔｏｐＯｆｆｅｒメッセージを受信し、受信したＳｔｏｐＯｆｆｅｒメッセージを、記憶部１３におけるセッション鍵Ｋを用いて復号する。処理部１２は、記憶部１３におけるセッション鍵Ｋおよびサーバのエンドポイント情報を破棄する。

　［動作の流れ］
　図１７は、本開示の第２の実施の形態に係る管理装置がセッション鍵を配布する際の動作手順の一例を定めたフローチャートである。

　図１７を参照して、まず、管理装置２０１は、サーバからのＯｆｆｅｒメッセージ、クライアントからのＦｉｎｄメッセージ、またはクライアントからのＳｕｂｓｃｒｉｂｅメッセージを待ち受ける（ステップＳ５０２でＮＯ）。

　次に、管理装置２０１は、サーバからのＯｆｆｅｒメッセージまたはクライアントからのＦｉｎｄメッセージを受信した場合（ステップＳ５０２でＹＥＳかつステップＳ５０４でＹＥＳ）、受信したメッセージの適否を判断する（ステップＳ５０６）。

　次に、管理装置２０１は、受信したメッセージは不適切であると判断した場合（ステップＳ５０８でＮＯ）、当該メッセージに含まれるＥＣＵ識別子と、受信時刻を示すタイムスタンプとを取得し、当該メッセージのバイト列ならびに取得したＥＣＵ識別子および受信時刻を不正ログとして不正ログリストＲ１１に書き込む（ステップＳ５１０）。

　次に、管理装置２０１は、当該メッセージを破棄し（ステップＳ５１２）、サーバまたはクライアントからの新たなメッセージを待ち受ける（ステップＳ５０２でＮＯ）。

　一方、管理装置２０１は、受信したメッセージは適切であると判断した場合（ステップＳ５０８でＹＥＳ）、当該メッセージをマルチキャストする。より詳細には、管理装置２０１は、当該メッセージがＯｆｆｅｒメッセージである場合、当該メッセージを複数のクライアントへマルチキャストし、当該メッセージがＦｉｎｄメッセージである場合、当該メッセージを複数のサーバへマルチキャストする（ステップＳ５１２）。

　一方、管理装置２０１は、クライアントからのＳｕｂｓｃｒｉｂｅメッセージを受信した場合（ステップＳ５０２でＹＥＳかつステップＳ５０４でＮＯ）、サーバおよびクライアント間のセッションを確立することを決定し、当該セッションに用いるセッション鍵Ｋおよび鍵ＩＤを生成する（ステップＳ５１６）。

　次に、管理装置２０１は、セッション鍵Ｋを暗号化する。より詳細には、管理装置２０１は、サーバの固有ＩＤを暗号鍵として用いてセッション鍵Ｋを暗号化することにより暗号化鍵ＫＳを生成する。また、管理装置２０１は、クライアントの固有ＩＤを暗号鍵として用いてセッション鍵Ｋを暗号化することにより暗号化鍵ＫＣを生成する（ステップＳ５１８）。

　次に、管理装置２０１は、ハッシュ値を算出する（ステップＳ５２０）。

　より詳細には、管理装置２０１は、暗号化鍵ＫＳをＳｕｂｓｃｒｉｂｅメッセージに含め、当該Ｓｕｂｓｃｒｉｂｅメッセージとサーバの固有ＩＤとを所定のハッシュ関数に与えることによりハッシュ値ＨＶＳを算出する。また、管理装置２０１は、暗号化鍵ＫＣを含む開始メッセージＭＣを生成し、生成した開始メッセージＭＣとクライアントの固有ＩＤとを所定のハッシュ関数に与えることによりハッシュ値ＨＶＣを算出する。

　次に、管理装置２０１は、セッション鍵Ｋおよびハッシュ値を送信する。より詳細には、管理装置２０１は、暗号化鍵ＫＳを含むＳｕｂｓｃｒｉｂｅメッセージ、およびハッシュ値ＨＶＳをサーバへ送信し、暗号化鍵ＫＣを含む開始メッセージＭＣ、およびハッシュ値ＨＶＣをクライアントへ送信する（ステップＳ５２２）。

　次に、管理装置２０１は、確立するセッションにおいて提供されるサービスのサービスＩＤ、セッション鍵Ｋの宛先であるサーバおよびクライアントの各ＥＣＵ識別子、ならびにセッションの開始時刻を、それぞれ、セッションログの「サービスＩＤ」、「ＥＣＵ識別子」および「開始時刻」としてセッションログリストＲ１２に書き込む（ステップＳ５２４）。

　次に、管理装置２０１は、サーバからの新たなＯｆｆｅｒメッセージ、クライアントからの新たなＦｉｎｄメッセージ、またはクライアントからの新たなＳｕｂｓｃｒｉｂｅメッセージを待ち受ける（ステップＳ５０２でＮＯ）。

　図１８は、本開示の第２の実施の形態に係る車載システムにおける通信のシーケンスの一例を示す図である。

　図１８を参照して、まず、サーバＳ１は、Ｏｆｆｅｒメッセージを管理装置２０１へ送信する（ステップＳ６０２）。

　次に、管理装置２０１は、サーバＳ１から受信したＯｆｆｅｒメッセージの適否を判断する（ステップＳ６０４）。

　次に、管理装置２０１は、Ｏｆｆｅｒメッセージは適切であると判断した場合、ＯｆｆｅｒメッセージをクライアントＣ１，Ｃ２へマルチキャストする（ステップＳ６０６）。

　次に、たとえば、クライアントＣ１は、管理装置２０１から受信したＯｆｆｅｒメッセージからサービスＩＤを取得し、取得したサービスＩＤが示すサービスが必要であると判断し、Ｓｕｂｓｃｒｉｂｅメッセージを管理装置２０１へ送信する（ステップＳ６０８）。

　次に、管理装置２０１は、クライアントＣ１からのＳｕｂｓｃｒｉｂｅメッセージを受信し、サーバＳ１およびクライアントＣ１間のセッションを確立することを決定し、当該セッションに用いるセッション鍵Ｋ１を生成する（ステップＳ６１０）。また、このとき、管理装置２０１は、確立するセッションにおいて提供されるサービスのサービスＩＤ、サーバＳ１およびクライアントＣ１の各ＥＣＵ識別子、セッションの開始時刻を、それぞれ、セッションログの「サービスＩＤ」、「ＥＣＵ識別子」および「開始時刻」としてセッションログリストＲ１２に書き込む。

　次に、管理装置２０１は、生成したセッション鍵Ｋ１をＳｕｂｓｃｒｉｂｅメッセージに含めてサーバＳ１へ配布する（ステップＳ６１２）。また、管理装置２０１は、生成したセッション鍵Ｋ１を開始メッセージＭＣに含めてクライアントＣ１へ配布する（ステップＳ６１４）。

　次に、サーバＳ１は、たとえば定期的に、セッション鍵Ｋ１を用いて暗号化したセッションメッセージをクライアントＣ１へユニキャストする（ステップＳ６１６）。

　次に、たとえば、クライアントＣ２は、管理装置２０１から受信したＯｆｆｅｒメッセージからサービスＩＤを取得し、取得したサービスＩＤが示すサービスが必要であると判断し、Ｓｕｂｓｃｒｉｂｅメッセージを管理装置２０１へ送信する（ステップＳ６１８）。

　次に、管理装置２０１は、クライアントＣ２からのＳｕｂｓｃｒｉｂｅメッセージを受信し、サーバＳ１およびクライアントＣ２間のセッションを確立することを決定し、当該セッションに用いるセッション鍵Ｋ２を生成する（ステップＳ６２０）。また、このとき、管理装置２０１は、確立するセッションにおいて提供されるサービスのサービスＩＤ、サーバＳ１およびクライアントＣ２の各ＥＣＵ識別子、ならびにセッションの開始時刻を、それぞれ、セッションログの「サービスＩＤ」、「ＥＣＵ識別子」および「開始時刻」としてセッションログリストＲ１２に書き込む。

　次に、管理装置２０１は、生成したセッション鍵Ｋ２をＳｕｂｓｃｒｉｂｅメッセージに含めてサーバＳ１へ配布する（ステップＳ６２２）。また、管理装置２０１は、生成したセッション鍵Ｋ２を開始メッセージＭＣに含めてクライアントＣ２へ配布する（ステップＳ６２４）。

　次に、サーバＳ１は、たとえば定期的に、セッション鍵Ｋ１を用いて暗号化したセッションメッセージをクライアントＣ１へユニキャストする（ステップＳ６２６）。

　また、サーバＳ１は、たとえば定期的に、セッション鍵Ｋ２を用いて暗号化したセッションメッセージをクライアントＣ２へユニキャストする（ステップＳ６２８）。

　次に、たとえば、クライアントＣ１は、サービスの提供を受けることを停止するために、ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージを管理装置２０１へ送信する（ステップＳ６３０）。

　次に、管理装置２０１は、クライアントＣ１からＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージを受信し、ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージをサーバＳ１へ送信する（ステップＳ６３２）。また、このとき、管理装置２０１は、セッションの終了時刻をセッションログの「終了時刻」としてセッションログリストＲ１２に書き込む。

　次に、クライアントＣ１は、記憶部１３におけるセッション鍵Ｋ１およびサーバＳ１のエンドポイント情報を破棄する（ステップＳ６３４）。

　また、サーバＳ１は、記憶部１３におけるセッション鍵Ｋ１およびクライアントＣ１のエンドポイント情報を破棄する（ステップＳ６３６）。

　次に、サーバＳ１は、クライアントＣ２へのセッションメッセージのユニキャストを継続する（ステップＳ６３８）。

　図１９は、本開示の第２の実施の形態に係る車載システムにおける通信のシーケンスの他の例を示す図である。

　図１９を参照して、まず、クライアントＣ１は、Ｆｉｎｄメッセージを管理装置２０１へ送信する（ステップＳ７０２）。

　次に、管理装置２０１は、クライアントＣ１から受信したＦｉｎｄメッセージの適否を判断する（ステップＳ７０４）。

　次に、管理装置２０１は、Ｆｉｎｄメッセージは適切であると判断した場合、ＦｉｎｄメッセージをサーバＳ１，Ｓ２へマルチキャストする（ステップＳ７０６）。

　次に、たとえば、サーバＳ１は、管理装置２０１から受信したＦｉｎｄメッセージからサービスＩＤを取得し、取得したサービスＩＤが示すサービスの提供が可能であると判断し、Ｏｆｆｅｒメッセージを管理装置２０１へ送信する（ステップＳ７０８）。

　次に、管理装置２０１は、サーバＳ１から受信したＯｆｆｅｒメッセージの適否を判断する（ステップＳ７１０）。

　次に、管理装置２０１は、Ｏｆｆｅｒメッセージは適切であると判断した場合、ＯｆｆｅｒメッセージをクライアントＣ１へ送信する（ステップＳ７１２）。

　次に、クライアントＣ１は、管理装置２０１からＯｆｆｅｒメッセージを受信し、Ｓｕｂｓｃｒｉｂｅメッセージを管理装置２０１へ送信する（ステップＳ７１４）。

　次に、管理装置２０１は、クライアントＣ１からのＳｕｂｓｃｒｉｂｅメッセージを受信し、サーバＳ１およびクライアントＣ１間のセッションを確立することを決定し、当該セッションに用いるセッション鍵Ｋ３を生成する（ステップＳ７１６）。また、このとき、管理装置２０１は、確立するセッションにおいて提供されるサービスのサービスＩＤ、サーバＳ１およびクライアントＣ１の各ＥＣＵ識別子、ならびにセッションの開始時刻を、それぞれ、セッションログの「サービスＩＤ」、「ＥＣＵ識別子」および「開始時刻」としてセッションログリストＲ１２に書き込む。

　次に、管理装置２０１は、生成したセッション鍵Ｋ１を開始メッセージＭＣに含めてクライアントＣ１へ配布する（ステップＳ７１８）。また、管理装置２０１は、生成したセッション鍵Ｋ３をＳｕｂｓｃｒｉｂｅメッセージに含めてサーバＳ１へ配布する（ステップＳ７２０）。

　次に、サーバＳ１は、たとえば定期的に、セッション鍵Ｋ３を用いて暗号化したセッションメッセージをクライアントＣ１へユニキャストする（ステップＳ７２２）。

　次に、たとえば、サーバＳ１は、サービスの提供を停止するために、ＳｔｏｐＯｆｆｅｒメッセージを管理装置２０１へ送信する（ステップＳ７２４）。

　次に、管理装置２０１は、サーバＳ１からＳｔｏｐＯｆｆｅｒメッセージを受信し、ＳｔｏｐＯｆｆｅｒメッセージをクライアントＣ１へ送信する（ステップＳ７２６）。また、このとき、管理装置２０１は、セッションの終了時刻をセッションログの「終了時刻」としてセッションログリストＲ１２に書き込む。

　次に、サーバＳ１は、記憶部１３におけるセッション鍵Ｋ３およびクライアントＣ１のエンドポイント情報を破棄する（ステップＳ７２８）。

　また、クライアントＣ１は、記憶部１３におけるセッション鍵Ｋ３およびサーバＳ１のエンドポイント情報を破棄する（ステップＳ７３０）。

　なお、図１９におけるステップＳ７２４においてサーバＳ１がＳｔｏｐＯｆｆｅｒメッセージを管理装置２０１へ送信する代わりに、クライアントＣ１がＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージを管理装置２０１へ送信してもよい。また、図１８におけるステップＳ６３０においてクライアントＣ１がＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージを管理装置２０１へ送信する代わりに、サーバＳ１がＳｔｏｐＯｆｆｅｒメッセージを管理装置２０１へ送信してもよい。この場合、管理装置２０１は、ＳｔｏｐＯｆｆｅｒメッセージをクライアントＣ１，Ｃ２へ送信する。

　なお、本開示の第２の実施の形態に係る車載システム３０２では、サーバは、複数のクライアントへマルチキャストにより情報を送信している状態において、車載システム３０２における異常を検知した場合、複数のクライアントへユニキャストにより情報を送信する状態に切り替える構成であるとしたが、これに限定するものではない。サーバは、複数のクライアントへユニキャストにより情報を送信する状態に切り替えない構成であってもよい。また、サーバは、複数のクライアントへユニキャストにより情報を送信する一方で、マルチキャストにより情報を送信することができない構成であってもよい。

　また、本開示の第２の実施の形態に係る管理装置２０１では、処理部３３は、暗号化鍵ＫＳを含むＳｕｂｓｃｒｉｂｅメッセージおよび暗号化鍵ＫＣを含む開始メッセージＭＣを送信部３２へ出力する構成であるとしたが、これに限定するものではない。処理部３３は、暗号化されていないセッション鍵Ｋを含む、Ｓｕｂｓｃｒｉｂｅメッセージおよび開始メッセージＭＣを送信部３２へ出力する構成であってもよい。この場合、送信部３２は、当該Ｓｕｂｓｃｒｉｂｅをサーバへ送信し、当該開始メッセージＭＣをクライアントへ送信する。

　また、本開示の第２の実施の形態に係る管理装置２０１では、送信部３２は、ハッシュ値ＨＶＳをサーバへ送信し、ハッシュ値ＨＶＣをクライアントへ送信する構成であるとしたが、これに限定するものではない。送信部３２は、Ｓｕｂｓｃｒｉｂｅメッセージをサーバへ送信する一方で、ハッシュ値ＨＶＳを送信しない構成であってもよい。また、送信部３２は、開始メッセージＭＣをクライアントへ送信する一方で、ハッシュ値ＨＶＣを送信しない構成であってもよい。

　また、本開示の第２の実施の形態に係る管理装置２０１では、受信部３１は、ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージをクライアントから受信し、ＳｔｏｐＯｆｆｅｒメッセージをサーバから受信する構成であるとしたが、これに限定するものではない。受信部３１は、ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージおよびＳｔｏｐＯｆｆｅｒメッセージを受信しない構成であってもよい。この場合、たとえば、車載システム３０２では、クライアントは、ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージを管理装置２０１へ送信する代わりに、ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージをサーバへ送信する。また、サーバは、ＳｔｏｐＯｆｆｅｒメッセージを管理装置２０１へ送信する代わりに、ＳｔｏｐＯｆｆｅｒメッセージをクライアントへ送信する。

　また、本開示の第２の実施の形態に係る管理装置２０１は、ログ生成部３４を備える構成であるとしたが、これに限定するものではない。管理装置２０１は、ログ生成部３４を備えない構成であってもよい。

　また、本開示の第２の実施の形態に係る管理装置２０１では、ログ生成部３４は、セッションの開始時刻および終了時刻をセッションログリストＲ１２に書き込む構成であるとしたが、これに限定するものではない。ログ生成部３４は、セッションにおいて提供されるサービスのサービスＩＤ、Ｓｕｂｓｃｒｉｂｅメッセージの宛先であるサーバのＥＣＵ識別子、および開始メッセージＭＣの宛先であるクライアントのＥＣＵ識別子をセッションログリストＲ１２に書き込む一方で、セッションの開始時刻および終了時刻をセッションログリストＲ１２に書き込まない構成であってもよい。

　また、本開示の第２の実施の形態に係る管理装置２０１では、処理部３３は、セッションごとにランダムな内容のセッション鍵Ｋを生成する構成であるとしたが、これに限定されない。処理部３３は、セッションごとに規則的な内容のセッション鍵Ｋを生成する構成であってもよい。

　また、本開示の第２の実施の形態に係る管理装置２０１では、処理部３３は、第１の実施の形態に係る中継装置１０１における処理部２３と同様に、Ｓｕｂｓｃｒｉｂｅメッセージの適否の判断をさらに行う構成であってもよいし、ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージの適否の判断をさらに行う構成であってもよいし、ＳｔｏｐＯｆｆｅｒメッセージの適否の判断をさらに行う構成であってもよい。

　これに対して、本開示の第２の実施の形態に係る管理装置２０１では、受信部３１は、Ｏｆｆｅｒメッセージをサーバから受信する。また、受信部３１は、Ｓｕｂｓｃｒｉｂｅメッセージをクライアントから受信する。処理部３３は、受信部３１により受信されたＯｆｆｅｒメッセージおよびＳｕｂｓｃｒｉｂｅメッセージに紐づくセッションに用いる、当該セッションに固有のセッション鍵Ｋを生成する。送信部３２は、処理部３３により生成されたセッション鍵をセッションに参加するサーバおよびクライアントへ送信する。

　このように、Ｏｆｆｅｒメッセージをサーバから受信し、Ｓｕｂｓｃｒｉｂｅメッセージをクライアントから受信し、セッションに固有のセッション鍵Ｋを生成してサーバおよびクライアントへ送信する構成により、サーバおよびクライアント間においてセッションごとに個別のセッション鍵Ｋを用いた通信を行うことができるので、サーバおよびクライアント間の通信のセキュリティを向上することができる。また、たとえば、Ｏｆｆｅｒメッセージの送信元のサーバおよびＦｉｎｄメッセージの送信元のクライアントの認証を行うことにより、不正機器からのＯｆｆｅｒメッセージおよびＦｉｎｄメッセージを検知することができる。したがって、車載ネットワークにおけるセキュリティをより向上させることができる。

　また、管理装置２０１では、処理部３３が、１つのサーバとセッションにおける通信を行うクライアントの数が所定数となった場合、当該サーバおよび複数のクライアント間のセッションに用いるセッション鍵ＫＭを生成し、生成したセッション鍵ＫＭを当該サーバおよび当該複数のクライアントへ配布する構成により、当該サーバおよび当該複数のクライアントにおいて、セッション鍵ＫＭを用いたマルチキャスト通信を行うことができる。したがって、ＳＯＭＥ／ＩＰに従うメッセージの送受信が行われる車載ネットワークにおけるセキュリティを向上させることができる。

　上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。

　以上の説明は、以下に付記する特徴を含む。
　［付記１］
　複数の車載装置からそれぞれ受信した複数のフレームを、宛先の前記車載装置へそれぞれ送信する中継処理を行う中継部と、
　前記複数のフレームが、前記複数の車載装置間の通信のセッションの開始要求を含むこと、および前記開始要求に対する開始応答を含むことを判断する判断部と、
　前記判断部により前記開始要求を含むと判断された前記フレームの送信元の前記車載装置と、前記判断部により前記開始応答を含むと判断された前記フレームの送信元の１または複数の前記車載装置とが参加する前記セッションに用いる共通鍵を前記セッションごとに生成する生成部と、
　前記共通鍵を、前記セッションに参加する前記各車載装置へ前記中継部経由で送信する送信部とを備え、
　前記中継部は、サービスＩＤと、前記開始要求の送信元の前記車載装置のエンドポイント情報と、前記開始要求の送信元の前記車載装置のＥＣＵ識別子とを含む第１の前記フレームを受信し、
　前記生成部は、前記サービスＩＤ、前記エンドポイント情報および前記ＥＣＵ識別子に基づいて、前記第１のフレームの適否を判断し、
　前記中継部は、サービスＩＤと、前記開始応答の送信元の前記車載装置のエンドポイント情報と、前記開始応答の送信元の前記車載装置のＥＣＵ識別子とを含む第２の前記フレームを受信し、
　前記生成部は、前記サービスＩＤ、前記エンドポイント情報および前記ＥＣＵ識別子に基づいて、前記第２のフレームの適否を判断する、車載中継装置。

　［付記２］
　複数の車載装置と、
　車載中継装置とを備え、
　前記車載中継装置は、前記複数の車載装置からそれぞれ受信した複数のフレームを、宛先の前記車載装置へそれぞれ送信する中継処理を行い、
　前記複数の車載装置の１つである第１の車載装置は、複数の前記車載装置間の通信のセッションの開始要求を含む第１のフレームを前記車載中継装置へ送信し、
　前記複数の車載装置の１つである第２の車載装置は、前記開始要求に対する開始応答を含む第２のフレームを前記車載中継装置へ送信し、
　前記車載中継装置は、受信した前記第１のフレームの送信元の前記第１の車載装置と、受信した前記第２のフレームの送信元の前記第２の車載装置とが参加する前記セッションに用いる共通鍵を前記セッションごとに生成し、生成した前記共通鍵を前記セッションに参加する前記各車載装置へ送信し、
　前記第１の車載装置は、サービスＩＤと、前記第１の車載装置のエンドポイント情報と、前記第１の車載装置のＥＣＵ識別子とを含む前記第１のフレームを前記車載中継装置へ送信し、
　前記車載中継装置は、前記サービスＩＤ、前記エンドポイント情報および前記ＥＣＵ識別子に基づいて、前記第１のフレームの適否を判断し、
　前記第２の車載装置は、サービスＩＤと、前記第２の車載装置のエンドポイント情報と、前記第２の車載装置のＥＣＵ識別子とを含む前記第２のフレームを前記車載中継装置へ送信し、
　前記車載中継装置は、前記サービスＩＤ、前記エンドポイント情報および前記ＥＣＵ識別子に基づいて、前記第２のフレームの適否を判断する、車載システム。

　［付記３］
　複数の車載装置を備える車載システムに用いられる管理装置であって、
　前記複数の車載装置のうちの一部または全部である複数の前記車載装置間の通信のセッションの開始要求を前記車載装置から受信する受信部と、
　前記開始要求に紐づく前記セッションに用いる、前記セッションに固有の共通鍵を生成する生成部と、
　前記共通鍵を前記セッションに参加する前記各車載装置へ送信する送信部とを備え、
　前記受信部は、サービスＩＤと、前記開始要求の送信元の前記車載装置のエンドポイント情報と、前記開始要求の送信元の前記車載装置のＥＣＵ識別子とを含む前記開始要求を受信し、
　前記生成部は、前記サービスＩＤ、前記エンドポイント情報および前記ＥＣＵ識別子に基づいて、前記開始要求の適否を判断する、管理装置。

　［付記４］
　複数の車載装置と、
　管理装置とを備え、
　前記車載装置は、前記複数の車載装置のうちの一部または全部である複数の前記車載装置間の通信のセッションの開始要求を前記管理装置へ送信し、
　前記管理装置は、受信した前記開始要求に紐づく前記セッションに用いる、前記セッションに固有の共通鍵を生成し、生成した前記共通鍵を前記セッションに参加する前記各車載装置へ送信し、
　前記車載装置は、サービスＩＤと、自己のエンドポイント情報と、自己のＥＣＵ識別子とを含む前記開始要求を前記管理装置へ送信し、
　前記管理装置は、前記サービスＩＤ、前記エンドポイント情報および前記ＥＣＵ識別子に基づいて、前記開始要求の適否を判断する、車載システム。

　１　　　車両
　１１　　通信部
　１２　　処理部
　１３　　記憶部
　１４　　ケーブル
　２１　　通信ポート
　２２　　中継部
　２３　　処理部（判断部、生成部、送信部）
　２４　　ログ生成部（記録部）
　２５　　記憶部
　３１　　受信部
　３２　　送信部
　３３　　処理部
　３４　　ログ生成部
　３５　　記憶部
　１０１　中継装置（車載中継装置）
　１０２　中継装置
　１１１　車載ＥＣＵ（車載装置）
　２０１　管理装置
　３０１，３０２　車載システム
　Ｒ１，Ｒ１１　　不正ログリスト
　Ｒ２，Ｒ１２　　セッションログリスト
　Ｓ１　サーバ
　Ｃ１，Ｃ２，Ｃ３　クライアント

Claims

　複数の車載装置からそれぞれ受信した複数のフレームを、宛先の前記車載装置へそれぞれ送信する中継処理を行う中継部と、
　前記複数のフレームが、前記複数の車載装置間の通信のセッションの開始要求を含むこと、および前記開始要求に対する開始応答を含むことを判断する判断部と、
　前記判断部により前記開始要求を含むと判断された前記フレームの送信元の前記車載装置と、前記判断部により前記開始応答を含むと判断された前記フレームの送信元の１または複数の前記車載装置とが参加する前記セッションに用いる共通鍵を前記セッションごとに生成する生成部と、
　前記共通鍵を、前記セッションに参加する前記各車載装置へ前記中継部経由で送信する送信部とを備える、車載中継装置。
　前記車載中継装置は、さらに、
　前記各車載装置の固有ＩＤを記憶する記憶部を備え、
　前記送信部は、１つの前記固有ＩＤを暗号鍵として用いて暗号化された前記共通鍵を、暗号化に用いた前記固有ＩＤを有する前記車載装置へ前記中継部経由で送信する、請求項１に記載の車載中継装置。
　前記送信部は、１つの前記固有ＩＤと前記共通鍵とを用いて算出されたハッシュ値を、前記ハッシュ値の算出に用いた前記固有ＩＤを有する前記車載装置へ前記中継部経由でさらに送信する、請求項２に記載の車載中継装置。
　前記車載中継装置は、さらに、
　前記共通鍵が用いられる前記セッションに関するセッション情報を記録する記録部を備える、請求項１から請求項３のいずれか１項に記載の車載中継装置。
　前記記録部は、前記セッション情報として、前記共通鍵の前記中継部による送信時刻を記録する、請求項４に記載の車載中継装置。
　前記判断部は、前記中継部により受信された前記フレームが、前記セッションの終了要求を含むことを判断し、
　前記記録部は、前記セッション情報として、前記終了要求を含む前記フレームの前記中継部による受信時刻を記録する、請求項４または請求項５に記載の車載中継装置。
　前記判断部は、前記中継部により受信された前記フレームが前記開始要求または前記開始応答を含むとの判断結果に応じて、前記フレームの適否を判断し、
　前記中継部は、前記判断部による前記フレームの適否の判断結果に応じて、前記フレームの前記中継処理または破棄を行う、請求項１から請求項６のいずれか１項に記載の車載中継装置。
　複数の車載装置を備える車載システムに用いられる管理装置であって、
　前記複数の車載装置のうちの一部または全部である複数の前記車載装置間の通信のセッションの開始要求、および前記開始要求に対する開始応答を、複数の前記車載装置からそれぞれ受信する受信部と、
　前記開始要求および前記開始応答に紐づく前記セッションに用いる、前記セッションに固有の共通鍵を生成する生成部と、
　前記共通鍵を前記セッションに参加する前記各車載装置へ送信する送信部とを備える、管理装置。
　前記管理装置は、さらに、
　前記各車載装置の固有ＩＤを記憶する記憶部を備え、
　前記送信部は、１つの前記固有ＩＤを暗号鍵として用いて暗号化された前記共通鍵を、暗号化に用いた前記固有ＩＤを有する前記車載装置へ送信する、請求項８に記載の管理装置。
　前記送信部は、１つの前記固有ＩＤと前記共通鍵とを用いて算出されたハッシュ値を、前記ハッシュ値の算出に用いた前記固有ＩＤを有する前記車載装置へさらに送信する、請求項９に記載の管理装置。
　前記受信部は、前記セッションの終了要求を前記車載装置から受信し、
　前記送信部は、前記受信部による前記終了要求の受信に基づいて、前記セッションを終了させる終了指示を前記セッションに参加している他の前記車載装置へ送信する、請求項８から請求項１０のいずれか１項に記載の管理装置。
　前記管理装置は、さらに、
　前記共通鍵が用いられる前記セッションに関するセッション情報を記録する記録部を備える、請求項８から請求項１１のいずれか１項に記載の管理装置。
　前記記録部は、前記セッション情報として、前記共通鍵の前記送信部による送信時刻を記録する、請求項１２に記載の管理装置。
　前記管理装置は、さらに、
　前記共通鍵が用いられる前記セッションに関するセッション情報を記録する記録部を備え、
　前記記録部は、前記セッション情報として、前記終了要求の前記受信部による受信時刻を記録する、請求項１１に記載の管理装置。
　第１の車載装置および第２の車載装置を含む複数の車載装置と、
　車載中継装置とを備え、
　前記車載中継装置は、前記複数の車載装置からそれぞれ受信した複数のフレームを、宛先の前記車載装置へそれぞれ送信する中継処理を行い、
　前記第１の車載装置は、前記複数の車載装置のうちの一部または全部である複数の前記車載装置間の通信のセッションの開始要求を含む第１のフレームを前記車載中継装置へ送信し、
　前記第２の車載装置は、前記開始要求に対する開始応答を含む第２のフレームを前記車載中継装置へ送信し、
　前記車載中継装置は、受信した前記第１のフレームの送信元の前記第１の車載装置と、受信した前記第２のフレームの送信元の前記第２の車載装置とが参加する前記セッションに用いる共通鍵を前記セッションごとに生成し、生成した前記共通鍵を前記セッションに参加する前記各車載装置へ送信する、車載システム。
　前記車載中継装置と、前記第１の車載装置および前記第２の車載装置とは、他の中継装置を介さずに接続される、請求項１５に記載の車載システム。
　前記車載装置は、複数の前記車載装置へマルチキャストにより情報を送信している状態において、前記車載システムにおける異常を検知した場合、複数の前記車載装置へユニキャストにより情報を送信する状態に切り替える、請求項１５または請求項１６に記載の車載システム。
　前記車載中継装置は、前記車載システムにおける前記各車載装置の固有ＩＤを記憶する記憶部を備え、
　前記車載中継装置は、１つの前記固有ＩＤと前記共通鍵とを用いて算出されたハッシュ値を、前記ハッシュ値の算出に用いた前記固有ＩＤを有する前記車載装置へさらに送信し、
　前記車載装置は、前記車載中継装置から受信した前記共通鍵と自己の前記固有ＩＤとを用いて算出されるハッシュ値と、前記車載中継装置から受信した前記ハッシュ値とを照合する、請求項１５から請求項１７のいずれか１項に記載の車載システム。
　第１の車載装置および第２の車載装置を含む複数の車載装置と、
　管理装置とを備え、
　前記第１の車載装置は、前記複数の車載装置のうちの一部または全部である複数の前記車載装置間の通信のセッションの開始要求を前記管理装置へ送信し、
　前記第２の車載装置は、前記開始要求に対する開始応答を前記管理装置へ送信し、
　前記管理装置は、受信した前記開始要求および前記開始応答に紐づく前記セッションに用いる、前記セッションに固有の共通鍵を生成し、生成した前記共通鍵を前記セッションに参加する前記各車載装置へ送信する、車載システム。
　前記車載装置は、複数の前記車載装置へマルチキャストにより情報を送信している状態において、前記車載システムにおける異常を検知した場合、複数の前記車載装置へユニキャストにより情報を送信する状態に切り替える、請求項１９に記載の車載システム。
　前記管理装置は、前記車載システムにおける前記各車載装置の固有ＩＤを記憶する記憶部を備え、
　前記管理装置は、１つの前記固有ＩＤと前記共通鍵とを用いて算出されたハッシュ値を、前記ハッシュ値の算出に用いた前記固有ＩＤを有する前記車載装置へさらに送信し、
　前記車載装置は、前記管理装置から受信した前記共通鍵と自己の前記固有ＩＤとを用いて算出されるハッシュ値と、前記管理装置から受信した前記ハッシュ値とを照合する、請求項１９または請求項２０に記載の車載システム。
　複数の車載装置からそれぞれ受信した複数のフレームを、宛先の前記車載装置へそれぞれ送信する中継処理を行う車載中継装置における通信管理方法であって、
　前記複数のフレームが、前記複数の車載装置間の通信のセッションの開始要求を含むこと、および前記開始要求に対する開始応答を含むことを判断するステップと、
　前記開始要求を含むと判断した前記フレームの送信元の前記車載装置と、前記開始応答を含むと判断した前記フレームの送信元の１または複数の前記車載装置とが参加する前記セッションに用いる共通鍵を前記セッションごとに生成するステップと、
　生成した前記共通鍵を前記セッションに参加する前記各車載装置へ送信するステップとを含む、通信管理方法。
　複数の車載装置を備える車載システムに用いられる管理装置における通信管理方法であって、
　前記複数の車載装置のうちの一部または全部である複数の前記車載装置間の通信のセッションの開始要求、および前記開始要求に対する開始応答を、複数の前記車載装置からそれぞれ受信するステップと、
　受信した前記開始要求および前記開始応答に紐づく前記セッションに用いる、前記セッションに固有の共通鍵を生成するステップと、
　生成した前記共通鍵を前記セッションに参加する前記各車載装置へ送信するステップとを含む、通信管理方法。
　第１の車載装置および第２の車載装置を含む複数の車載装置と、前記複数の車載装置からそれぞれ受信した複数のフレームを、宛先の前記車載装置へそれぞれ送信する中継処理を行う車載中継装置とを備える車載システムにおける通信管理方法であって、
　前記第１の車載装置が、前記複数の車載装置のうちの一部または全部である複数の前記車載装置間の通信のセッションの開始要求を含む第１のフレームを前記車載中継装置へ送信するステップと、
　前記第２の車載装置が、前記開始要求に対する開始応答を含む第２のフレームを前記車載中継装置へ送信するステップと、
　前記車載中継装置が、受信した前記第１のフレームの送信元の前記第１の車載装置と、受信した前記第２のフレームの送信元の前記第２の車載装置とが参加する前記セッションに用いる共通鍵を前記セッションごとに生成し、生成した前記共通鍵を前記セッションに参加する前記各車載装置へ送信するステップとを含む、通信管理方法。
　第１の車載装置および第２の車載装置を含む複数の車載装置と、管理装置とを備える車載システムにおける通信管理方法であって、
　前記第１の車載装置が、前記複数の車載装置のうちの一部または全部である複数の前記車載装置間の通信のセッションの開始要求を前記管理装置へ送信するステップと、
　前記第２の車載装置が、前記開始要求に対する開始応答を前記管理装置へ送信するステップと、
　前記管理装置が、受信した前記開始要求および前記開始応答に紐づく前記セッションに用いる、前記セッションに固有の共通鍵を生成し、生成した前記共通鍵を前記セッションに参加する前記各車載装置へ送信するステップとを含む、通信管理方法。