通信システム
【課題】道路交通における通信システムにおいて、正規ユーザではない第三者のなりすましを、より確実に抑制する。
【解決手段】道路交通における路側機と車載機との通信及び車載機同士での通信に関する通信システムにおいて、路側機2及び車載機3の各々は、通信相手と共通の鍵テーブルを記憶し、道路交通上のエリア区分を記憶する記憶部24,33と、所在しているエリア及び現在時刻が属する期間を把握し、把握したエリア及び期間において、当該エリア及び期間に対応する鍵を鍵テーブルから取得し、取得した鍵を使用してデータの送受信を行う制御・通信部27,37とを備えている。
【解決手段】道路交通における路側機と車載機との通信及び車載機同士での通信に関する通信システムにおいて、路側機2及び車載機3の各々は、通信相手と共通の鍵テーブルを記憶し、道路交通上のエリア区分を記憶する記憶部24,33と、所在しているエリア及び現在時刻が属する期間を把握し、把握したエリア及び期間において、当該エリア及び期間に対応する鍵を鍵テーブルから取得し、取得した鍵を使用してデータの送受信を行う制御・通信部27,37とを備えている。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、高度道路交通システム(ITS:Intelligent Transport System)におけるセキュリティを維持するための、通信システムに関する。
【背景技術】
【0002】
近年、交通安全の促進や交通事故の防止を目的として、道路に設置されたインフラ装置からの情報を受信し、この情報を活用することで車両走行の安全性を向上させる高度道路交通システムが検討されている(例えば、特許文献1参照)。
【0003】
かかる高度道路交通システムは、主として、インフラ側の通信装置である複数の路側機と、道路を走行する各車両に搭載される無線通信装置である車載機とによって構成される。この場合、各通信主体間で行う通信の組み合わせには、路側機同士が行う路路間通信と、路側機と車載機とが相互に行う路車(又は車路ともいう。)間通信と、車載機同士が行う車車間通信とが含まれる。
【0004】
ここで、無線で行われる路車間通信及び車車間通信では、例えば、悪意のある者が車載機になりすましてシステムに入り込む可能性がある。もし、これを許してしまうと、通信を混乱させる攻撃が行われる恐れがある。そこで、そのような事態を未然に防止するために、データの暗号化によるセキュリティの確保が必要である。一般に、暗号化方式としては例えば、共通鍵暗号方式や、公開鍵暗号方式が知られている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特許第2806801号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
上記のような暗号化により、正規ユーザではない第三者の通信装置が、正規ユーザである車載機になりすますことは困難になる。しかしながら、そもそも無線通信の信号傍受は誰でもできるので、偶発的に解読される可能性もあり、さらに安全性を高めることが好ましい。
かかる課題に鑑み、本発明は、道路交通における通信システムにおいて、正規ユーザではない第三者のなりすましを、より確実に抑制することを目的とする。
【課題を解決するための手段】
【0007】
(1)本発明は、道路交通における路側機と車載機との通信及び車載機同士での通信に関する通信システムであって、路側機及び車載機の各々は、
通信相手と共通の鍵テーブルと、道路交通上のエリア区分とを記憶する記憶部、及び、所在しているエリア及び現在時刻が属する期間を把握し、把握したエリア及び期間において、当該エリア及び期間に対応する鍵を前記鍵テーブルから取得し、取得した鍵を使用してデータの送受信を行う制御・通信部、を備えたものである。
【0008】
上記のように構成された通信システムでは、エリア及び期間に対応した鍵を使用してデータの送受信が行われる。これにより、例えば、エリアが異なれば鍵が異なり、また、同じエリアでも、期間が異なれば鍵が異なる、という鍵の使用態様が可能となる。従って、特定の鍵の情報が正規のユーザ以外に漏洩したとしても、その鍵を使用することができるエリア及び期間は限定される。そのため、情報漏洩した鍵で通信を行うのは極めて困難になり、仮に、その困難を乗り越えて悪意で使用されても、被害は限定的であり、大きな被害になることは抑止される。
なお、原則的には、「エリア及び期間」が異なれば、異なる鍵が割り当てられるが、異なるエリアや期間であっても同じ鍵が割り当てられるようにしても構わない。例えば10種類程度の鍵をエリアや期間に応じて割り当てるようにしてもよい。
【0009】
(2)また、上記(1)の通信システムにおいて、あるエリア及び時間で使用されるべき鍵とは異なる鍵を使用して送信されたデータを受信した場合は、これを無効データとして扱い、当該鍵に関する情報を、路側機から認証局に通知するようにしてもよい。
この場合、認証局に情報を集めて、その鍵(異なる鍵)の情報が漏洩した可能性があることを、つきとめることができる。
【0010】
(3)また、上記(1)の通信システムにおいて、鍵テーブルには、エリア及び期間に対応する鍵が複数用意されており、制御・通信部は、当該複数の鍵のいずれかをランダムに選択するようにしてもよい。
この場合、特定の鍵の情報が漏洩したとしても、その鍵を使用することができるエリア及び期間はランダムに変更されていくので、情報漏洩した鍵で通信を行うのは、さらに困難である。
【0011】
(4)また、上記(1)〜(3)の通信システムにおいて、路側機と車載機との通信及び車載機同士での通信で、互いに異なる鍵テーブルを使用するようにしてもよい。
この場合、端末の数の点から漏洩のリスクが、より大きいとも言える車載機同士での通信における鍵テーブルの特定の鍵の情報が漏洩したとしても、直接的には、他の鍵テーブルには被害が及ばない。
【0012】
(5)また、上記(1)〜(4)の通信システムにおいて、鍵は導出関数で求めることが好ましい。
この場合、鍵そのもののランダム性を確保することができる。
【発明の効果】
【0013】
本発明の通信システムによれば、正規ユーザではない第三者のなりすましを、より確実に抑制することができる。
【図面の簡単な説明】
【0014】
【図1】本発明の一実施形態に係る通信システムを含む、高度道路交通システム(ITS)の全体構成における主要部のみを簡略に示す図である。
【図2】路側機と車載機の内部構成を示すブロック図である。
【図3】車載機(路側機もほぼ同様である。)が送信するデータフォーマットの一例を示す図である。
【図4】一例としてのエリアを示す図である。
【図5】エリア、期間、鍵IDの関係を示す図である。
【発明を実施するための形態】
【0015】
《システムの全体構成》
図1は、本発明の一実施形態に係る通信システムを含む、高度道路交通システム(ITS)の全体構成における主要部のみを簡略に示す図である。図1において、例えば道路脇に設置される支柱1には、道路側の通信機である路側機2が、取り付けられている。路側機2のアンテナ20は、支柱1の上部に取り付けられている。車両A,Bにはそれぞれ無線通信機である車載機(図1には図示せず。)が搭載され、アンテナ30を備えている。
【0016】
路側機2は、車載機との間での路車間通信を行うことができる。また、互いに通信可能な距離内にある車両A,Bの車載機間で、例えばキャリアセンス方式により、車車間通信を行うことができる。路車間通信及び車車間通信は、互いに同一の周波数チャネル(700MHz帯)を使用する。なお、路側機2に対しては、交通管制センターの中央装置4から例えば有線で、信号の送受信が行われる。中央装置4は、セキュリティを運用管理する認証局5とも、例えば有線で接続されている。各路側機2は、その周囲に広がるダウンリンクエリア(路側機2の送信信号が十分に届く範囲)をそれぞれ有し、自身のダウンリンクエリアを走行する車両の車載機に、ダウンリンク信号を受信させることができる。
【0017】
各路側機2は、自装置が無線送信するためのタイムスロットをTDMA方式で割り当てており、このタイムスロット以外の時間帯には無線送信を行わない。従って、路側機2用のタイムスロット以外の時間帯は、車載機のためのCSMA方式による送信時間として開放されている。
また、路側機2は、自分の送信タイミングを制御するために他の路側機2との時刻同期機能を有している。この路側機2の時刻同期は、例えば、自分の時計をGPS時刻に合わせるGPS同期や、自分の時計を他の路側機2からの送信信号に合わせるエア同期等によって行われる。
【0018】
《回路ブロック図の構成及び基本的通信動作》
図2は、路側機2と車載機3の内部構成を示すブロック図である。
路側機2は、主として、無線通信のためのアンテナ20が接続された無線通信部21と、中央装置4と双方向通信する有線通信部22と、それらの通信制御を行うCPU等よりなる制御部23と、制御部23に接続されたROMやRAM等の記憶装置よりなる記憶部24とを備えている。
【0019】
路側機2の有線通信部22には、前記中央装置4の他にも、GPS受信機25が接続されている。このGPS受信機25は、GPSアンテナ26により、複数のGPS衛星(図示せず。)からGPS信号を受信する。なお、GPS受信機25は、路側機2内に設けられるものであってもよい。
【0020】
制御部23は、有線通信部22が受信した中央装置4からの交通情報等を、記憶部24に一時的に記憶させ、無線通信部21を介して自己のダウンリンクエリアにブロードキャスト送信することができる。また、制御部23は、無線通信部21が受信した車載機3からの情報を、記憶部24に一時的に記憶させ、有線通信部22を介して中央装置4に転送することができる。
【0021】
また、制御部23は、記憶部24に記憶されたタイムスロットの割当情報を、無線通信部21を介して自己のダウンリンクエリアにブロードキャスト送信する。この割当情報は、路側機2の送信時間を車載機3に通知するためのものである。ダウンリンクエリアを走行する車両の車載機3は、路側機2が送信を行わない時間帯に、キャリアセンス方式による無線送信を行う。
【0022】
一方、車載機3は、無線通信のためのアンテナ30に接続された通信部31と、この通信部31に対する通信制御を行うCPU等よりなる制御部32と、この制御部32に接続されたROMやRAM等の記憶装置よりなる記憶部33とを備えている。また、通信部31には、GPS受信機34及び速度センサ36が接続されている。GPS受信機34は、GPSアンテナ35により、複数のGPS衛星(図示せず。)からGPS信号を受信する。なお、GPS受信機34は、車載機3内に設けられるものであってもよい。
【0023】
車載機3の制御部32は、車車間通信のためのキャリアセンス方式による無線通信を通信部31に行わせるものであり、路側機2との間の時分割多重方式での通信制御機能は有していない。
従って、車載機3の通信部31は、所定の搬送波周波数の受信レベルを常時感知しており、その値がある閾値以上である場合は無線送信を行わず、当該閾値未満になった場合にのみ無線送信を行うようになっている。
【0024】
なお、車載機3の制御部32は、車両(車載機3)の現時点の位置、方向、速度、車種等を含む車両情報を、通信部31を介して無線送信することができる。また、車載機3の制御部32は、他の車両から直接受信した情報や、路側機2から受信した他の車両の情報に含まれる、位置、速度及び方向に基づいて、右直衝突や出合い頭衝突等を回避するための安全運転支援制御を行うことができる。
【0025】
なお、後述するが、図2の構成において、車載機3における制御部32、通信部31及びGPS受信機34は、自己の所在しているエリア及び現在時刻が属する期間を把握し、把握したエリア及び期間においては、他のエリア又は他の期間とは異なる鍵を使用してデータの送受信を行う制御・通信部37を構成している。また、路側機2における制御部23及び無線通信部21も、同様な制御・通信部27を構成している。
【0026】
《セキュリティに関する通信システム》
以上の、路車間通信及び車車間通信は、共通鍵で暗号化される。暗号化及び復調(解読)は、無線通信部21及び通信部31にて行われる。暗号化によって、例えば、悪意のある者が車載機になりすまして通信システムに入り込み、通信を混乱させる、というような事態を防止することができる。上記共通鍵(以下、単に鍵とも言う。)としては、路側機2の記憶部24に記憶された鍵テーブルから、多数のものを使用することができる。同じ鍵テーブルは、車載機3の記憶部33にも記憶されており、使用する鍵のID情報をそれぞれが認識することで、送信側での信号の暗号化及び受信側での解読を行うことができる。鍵は、導出関数(ハッシュ、スクランブル等)を使用して作成される。導出関数の使用により、鍵そのもののランダム性を確保することができる。
【0027】
図3は、車載機3(路側機2もほぼ同様である。)が送信するデータフォーマットの一例を示す図である。図において、車載機3の送信信号には、先頭から順に、L2(MAC)ヘッダ、通信制御ヘッダ、セキュリティヘッダ、L7(アプリ制御)ヘッダ、アプリデータ、及び、セキュリティフッタが含まれている。このうち、セキュリティヘッダには、発信者IDの他、車載機/路側機の識別ID、位置や時刻の情報、認証用乱数等が含まれている。なお、アプリデータにも位置や時刻の情報が含まれる場合があり、その場合には、こちらの情報を利用することも可能である。また、セキュリティフッタには、署名データが含まれている。
【0028】
本実施形態では、共通鍵方式において、原則として、道路交通上のエリアごとに、異なる鍵を使用し、また、同じエリアでも、現在時刻が属する期間ごとに異なる鍵を使用する。
図4は、一例としてのエリアA1〜A9を示す図である。図中の斜め線は道路を表し、交差点の丸印は路側機2を表している。
【0029】
エリア区分は種々可能であるが、例えば、カーナビゲーション装置におけるマップコードのメッシュのように、図示のような緯度・経度で等間隔に分けることができる。また、このような単純な区分以外には、事故が多い路側機、交差点の密集したエリア(例えば都心部)、交通量の多い場所等で、メッシュを小さくするようにしてもよい。また、1つのエリアに入る道路密度や道路の大きさ(幹線/主要/細街路)に応じてメッシュサイズを決めるようにしてもよい。
【0030】
図5の(a)は、エリアA5について、そのエリア、期間、鍵IDの関係を示している。(b)は、エリアA6について、そのエリア、期間、鍵IDの関係を示している。このように、エリア及び期間に、鍵IDがどのように対応するかの関係を示すものが鍵テーブルの1単位であり、これが、例えば日本全国の全てのエリア区分について集大成されたものが、鍵テーブルである。鍵の導出には前述のように関数が用いられている。路側機2や、正規ユーザとしての各車載機3は、同一の(共通の)鍵テーブルをそれぞれの記憶部24及び33に記憶している。また、鍵テーブルの発行元であり、これを管理するのは、認証局5である。
【0031】
図5の(a)において、エリアA5では、例えば1時間ごとに鍵が変わっていくようになっており、この場合は、1日で24の鍵を使う。(b)においても同様に、エリアA6では、1時間ごとに鍵が変わっていくようになっており、1日で24の鍵を使う。この例は、鍵の総数を節約する簡易な例として、エリアA5とエリアA6とで、1時間ごとに鍵IDがずれているように設定することにより、同期間ではエリアA5とエリアA6とで、互いに鍵IDが異なるようにしたものである。但し、これは一例に過ぎず、エリアA5とエリアA6とで、全く異なる(同じものが無い)ように鍵IDを用意してもよい。
【0032】
図5の(a)の場合、仮に鍵1が漏洩したとすると、悪意のある端末は、エリアA5に所在し、かつ、時刻0:00〜0:59という条件を満たさなければ、その鍵1を用いてデータ送信を行うことはできない。また、(b)の場合に鍵1が漏洩したとすると、悪意のある端末は、エリアA6に所在し、かつ、時刻1:00〜1:59という条件を満たさなければ、その鍵1を用いてデータ送信を行うことはできない。しかし、これらの条件を、悪意のある端末は知らない。従って、現実的には、鍵1が漏洩しても、悪意のある端末が通信を混乱させるようなデータ送信を行うことは、極めて困難である。
【0033】
仮に、その困難を乗り越えて悪意でデータ送信がなされても、悪意のある端末がエリアA5を出ると、都合よくエリアA6に1:00〜1:59の期間にいない限りは、鍵1は使えなくなる。また、エリアA5内にとどまっていたとしても、上記の期間を過ぎれば鍵1は使えなくなる。従って、いわば「同時多発テロ」のような形で悪意者から攻撃を受けることを、回避できる。このように、悪意のある端末が仮に、通信を混乱させるようなデータ送信を行い得たとしても、それによる被害は限定的であり、大きな被害になることを抑止できる。
【0034】
なお、エリア及び期間のうちいずれか1つでも満たさない状態で送信されたデータを受信した場合、通信可能範囲内にある路側機2や車載機3は、そのデータを無効データとして扱う。また、データ送信を無効としたのが路側機2であれば、当該路側機2は、認証局5に無効データを送信する。データ送信を無効としたのが車載機3であれば、一定期間無効データを保持し、アップリンクの機会を待って路側機2へ、無効データを送信する。これを受けて路側機2は、認証局5に無効データを送信する。このようにして無効データを収集した認証局5は、無効データから情報を読み取り、漏洩した鍵IDを推定することができる。認証局5は、これを、CRL(Certificate Revocation List:失効したデジタル証明書のリスト)として、路側機2に通知する。
【0035】
すなわち、認証局5は、漏洩したと推定する鍵IDが再び使用される可能性のあるエリアと期間(いわば同一犯が出現する可能性のあるエリアと時間)とを探索し、そのエリア又は周辺の路側機2に対して、例えば、
(a)鍵IDの漏洩の可能性(危険性)を知らせる、
(b)漏洩した可能性のある鍵IDを用いたデータ送信を無視する、または、
(c)代替の鍵IDを通知して被害を未然に防ぐ、
等の対策をとることが可能である。
【0036】
《その他》
なお、路車間通信は、道路交通上の重要交差点付近で行われることが多いので、車車間通信よりも重要度が高い。そのため、悪意の端末がもし、路側機2になりすました場合には、より大きな被害が予想される。そこで、鍵テーブルを、車車間通信用と、路車間通信用とで、別々に設けるということも考えられる。
そもそも車載機の数は路側機の数よりも圧倒的に多く、送信の頻度も多い。従って、車載機なりすましの可能性は、路側機なりすましの可能性より極めて高いと考えられる。そこで、よりリスクの大きい車車間通信用とは別個に路車間通信の鍵テーブルを設けることで、路車間通信の鍵の漏洩のリスクを低減することができる。
【0037】
なお、上記実施形態では、互いに通信する双方で同じ鍵テーブルを保有し、エリア及び期間に対応する鍵を用いるとしたが、さらに、エリア及び期間に対応する鍵(使用が許可された鍵)を鍵テーブルに複数用意しておき、制御・通信部27,37が、それらの複数の鍵のいずれかをランダムに選択するようにしてもよい。
但し、この場合は、使用する鍵IDを通信相手にデータとして通知する必要があり、例えばセキュリティヘッダに鍵IDの情報を含めることになる。また、この場合、特定の鍵が漏洩したとしても、その鍵を使用することができるエリア及び期間はランダムに変更されていくので、漏洩した鍵で通信を行うのは、困難になると考えられる。
【0038】
なお、上記実施形態ではエリアごとの鍵は1つであるが、これは必ずしも1つでなくてもよく、1エリアに複数の路側機が存在する場合は、鍵を複数選択して認証処理を2重以上に行い、送信するようにしてもよい。この場合、検証時間はかかるが、漏洩した鍵を複数知らないと、端末になりすましできない。
【0039】
なお、今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内での全ての変更が含まれることが意図される。
【符号の説明】
【0040】
2:路側機
3:車載機
5:認証局
27:制御・通信部
37:制御・通信部
【技術分野】
【0001】
本発明は、高度道路交通システム(ITS:Intelligent Transport System)におけるセキュリティを維持するための、通信システムに関する。
【背景技術】
【0002】
近年、交通安全の促進や交通事故の防止を目的として、道路に設置されたインフラ装置からの情報を受信し、この情報を活用することで車両走行の安全性を向上させる高度道路交通システムが検討されている(例えば、特許文献1参照)。
【0003】
かかる高度道路交通システムは、主として、インフラ側の通信装置である複数の路側機と、道路を走行する各車両に搭載される無線通信装置である車載機とによって構成される。この場合、各通信主体間で行う通信の組み合わせには、路側機同士が行う路路間通信と、路側機と車載機とが相互に行う路車(又は車路ともいう。)間通信と、車載機同士が行う車車間通信とが含まれる。
【0004】
ここで、無線で行われる路車間通信及び車車間通信では、例えば、悪意のある者が車載機になりすましてシステムに入り込む可能性がある。もし、これを許してしまうと、通信を混乱させる攻撃が行われる恐れがある。そこで、そのような事態を未然に防止するために、データの暗号化によるセキュリティの確保が必要である。一般に、暗号化方式としては例えば、共通鍵暗号方式や、公開鍵暗号方式が知られている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特許第2806801号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
上記のような暗号化により、正規ユーザではない第三者の通信装置が、正規ユーザである車載機になりすますことは困難になる。しかしながら、そもそも無線通信の信号傍受は誰でもできるので、偶発的に解読される可能性もあり、さらに安全性を高めることが好ましい。
かかる課題に鑑み、本発明は、道路交通における通信システムにおいて、正規ユーザではない第三者のなりすましを、より確実に抑制することを目的とする。
【課題を解決するための手段】
【0007】
(1)本発明は、道路交通における路側機と車載機との通信及び車載機同士での通信に関する通信システムであって、路側機及び車載機の各々は、
通信相手と共通の鍵テーブルと、道路交通上のエリア区分とを記憶する記憶部、及び、所在しているエリア及び現在時刻が属する期間を把握し、把握したエリア及び期間において、当該エリア及び期間に対応する鍵を前記鍵テーブルから取得し、取得した鍵を使用してデータの送受信を行う制御・通信部、を備えたものである。
【0008】
上記のように構成された通信システムでは、エリア及び期間に対応した鍵を使用してデータの送受信が行われる。これにより、例えば、エリアが異なれば鍵が異なり、また、同じエリアでも、期間が異なれば鍵が異なる、という鍵の使用態様が可能となる。従って、特定の鍵の情報が正規のユーザ以外に漏洩したとしても、その鍵を使用することができるエリア及び期間は限定される。そのため、情報漏洩した鍵で通信を行うのは極めて困難になり、仮に、その困難を乗り越えて悪意で使用されても、被害は限定的であり、大きな被害になることは抑止される。
なお、原則的には、「エリア及び期間」が異なれば、異なる鍵が割り当てられるが、異なるエリアや期間であっても同じ鍵が割り当てられるようにしても構わない。例えば10種類程度の鍵をエリアや期間に応じて割り当てるようにしてもよい。
【0009】
(2)また、上記(1)の通信システムにおいて、あるエリア及び時間で使用されるべき鍵とは異なる鍵を使用して送信されたデータを受信した場合は、これを無効データとして扱い、当該鍵に関する情報を、路側機から認証局に通知するようにしてもよい。
この場合、認証局に情報を集めて、その鍵(異なる鍵)の情報が漏洩した可能性があることを、つきとめることができる。
【0010】
(3)また、上記(1)の通信システムにおいて、鍵テーブルには、エリア及び期間に対応する鍵が複数用意されており、制御・通信部は、当該複数の鍵のいずれかをランダムに選択するようにしてもよい。
この場合、特定の鍵の情報が漏洩したとしても、その鍵を使用することができるエリア及び期間はランダムに変更されていくので、情報漏洩した鍵で通信を行うのは、さらに困難である。
【0011】
(4)また、上記(1)〜(3)の通信システムにおいて、路側機と車載機との通信及び車載機同士での通信で、互いに異なる鍵テーブルを使用するようにしてもよい。
この場合、端末の数の点から漏洩のリスクが、より大きいとも言える車載機同士での通信における鍵テーブルの特定の鍵の情報が漏洩したとしても、直接的には、他の鍵テーブルには被害が及ばない。
【0012】
(5)また、上記(1)〜(4)の通信システムにおいて、鍵は導出関数で求めることが好ましい。
この場合、鍵そのもののランダム性を確保することができる。
【発明の効果】
【0013】
本発明の通信システムによれば、正規ユーザではない第三者のなりすましを、より確実に抑制することができる。
【図面の簡単な説明】
【0014】
【図1】本発明の一実施形態に係る通信システムを含む、高度道路交通システム(ITS)の全体構成における主要部のみを簡略に示す図である。
【図2】路側機と車載機の内部構成を示すブロック図である。
【図3】車載機(路側機もほぼ同様である。)が送信するデータフォーマットの一例を示す図である。
【図4】一例としてのエリアを示す図である。
【図5】エリア、期間、鍵IDの関係を示す図である。
【発明を実施するための形態】
【0015】
《システムの全体構成》
図1は、本発明の一実施形態に係る通信システムを含む、高度道路交通システム(ITS)の全体構成における主要部のみを簡略に示す図である。図1において、例えば道路脇に設置される支柱1には、道路側の通信機である路側機2が、取り付けられている。路側機2のアンテナ20は、支柱1の上部に取り付けられている。車両A,Bにはそれぞれ無線通信機である車載機(図1には図示せず。)が搭載され、アンテナ30を備えている。
【0016】
路側機2は、車載機との間での路車間通信を行うことができる。また、互いに通信可能な距離内にある車両A,Bの車載機間で、例えばキャリアセンス方式により、車車間通信を行うことができる。路車間通信及び車車間通信は、互いに同一の周波数チャネル(700MHz帯)を使用する。なお、路側機2に対しては、交通管制センターの中央装置4から例えば有線で、信号の送受信が行われる。中央装置4は、セキュリティを運用管理する認証局5とも、例えば有線で接続されている。各路側機2は、その周囲に広がるダウンリンクエリア(路側機2の送信信号が十分に届く範囲)をそれぞれ有し、自身のダウンリンクエリアを走行する車両の車載機に、ダウンリンク信号を受信させることができる。
【0017】
各路側機2は、自装置が無線送信するためのタイムスロットをTDMA方式で割り当てており、このタイムスロット以外の時間帯には無線送信を行わない。従って、路側機2用のタイムスロット以外の時間帯は、車載機のためのCSMA方式による送信時間として開放されている。
また、路側機2は、自分の送信タイミングを制御するために他の路側機2との時刻同期機能を有している。この路側機2の時刻同期は、例えば、自分の時計をGPS時刻に合わせるGPS同期や、自分の時計を他の路側機2からの送信信号に合わせるエア同期等によって行われる。
【0018】
《回路ブロック図の構成及び基本的通信動作》
図2は、路側機2と車載機3の内部構成を示すブロック図である。
路側機2は、主として、無線通信のためのアンテナ20が接続された無線通信部21と、中央装置4と双方向通信する有線通信部22と、それらの通信制御を行うCPU等よりなる制御部23と、制御部23に接続されたROMやRAM等の記憶装置よりなる記憶部24とを備えている。
【0019】
路側機2の有線通信部22には、前記中央装置4の他にも、GPS受信機25が接続されている。このGPS受信機25は、GPSアンテナ26により、複数のGPS衛星(図示せず。)からGPS信号を受信する。なお、GPS受信機25は、路側機2内に設けられるものであってもよい。
【0020】
制御部23は、有線通信部22が受信した中央装置4からの交通情報等を、記憶部24に一時的に記憶させ、無線通信部21を介して自己のダウンリンクエリアにブロードキャスト送信することができる。また、制御部23は、無線通信部21が受信した車載機3からの情報を、記憶部24に一時的に記憶させ、有線通信部22を介して中央装置4に転送することができる。
【0021】
また、制御部23は、記憶部24に記憶されたタイムスロットの割当情報を、無線通信部21を介して自己のダウンリンクエリアにブロードキャスト送信する。この割当情報は、路側機2の送信時間を車載機3に通知するためのものである。ダウンリンクエリアを走行する車両の車載機3は、路側機2が送信を行わない時間帯に、キャリアセンス方式による無線送信を行う。
【0022】
一方、車載機3は、無線通信のためのアンテナ30に接続された通信部31と、この通信部31に対する通信制御を行うCPU等よりなる制御部32と、この制御部32に接続されたROMやRAM等の記憶装置よりなる記憶部33とを備えている。また、通信部31には、GPS受信機34及び速度センサ36が接続されている。GPS受信機34は、GPSアンテナ35により、複数のGPS衛星(図示せず。)からGPS信号を受信する。なお、GPS受信機34は、車載機3内に設けられるものであってもよい。
【0023】
車載機3の制御部32は、車車間通信のためのキャリアセンス方式による無線通信を通信部31に行わせるものであり、路側機2との間の時分割多重方式での通信制御機能は有していない。
従って、車載機3の通信部31は、所定の搬送波周波数の受信レベルを常時感知しており、その値がある閾値以上である場合は無線送信を行わず、当該閾値未満になった場合にのみ無線送信を行うようになっている。
【0024】
なお、車載機3の制御部32は、車両(車載機3)の現時点の位置、方向、速度、車種等を含む車両情報を、通信部31を介して無線送信することができる。また、車載機3の制御部32は、他の車両から直接受信した情報や、路側機2から受信した他の車両の情報に含まれる、位置、速度及び方向に基づいて、右直衝突や出合い頭衝突等を回避するための安全運転支援制御を行うことができる。
【0025】
なお、後述するが、図2の構成において、車載機3における制御部32、通信部31及びGPS受信機34は、自己の所在しているエリア及び現在時刻が属する期間を把握し、把握したエリア及び期間においては、他のエリア又は他の期間とは異なる鍵を使用してデータの送受信を行う制御・通信部37を構成している。また、路側機2における制御部23及び無線通信部21も、同様な制御・通信部27を構成している。
【0026】
《セキュリティに関する通信システム》
以上の、路車間通信及び車車間通信は、共通鍵で暗号化される。暗号化及び復調(解読)は、無線通信部21及び通信部31にて行われる。暗号化によって、例えば、悪意のある者が車載機になりすまして通信システムに入り込み、通信を混乱させる、というような事態を防止することができる。上記共通鍵(以下、単に鍵とも言う。)としては、路側機2の記憶部24に記憶された鍵テーブルから、多数のものを使用することができる。同じ鍵テーブルは、車載機3の記憶部33にも記憶されており、使用する鍵のID情報をそれぞれが認識することで、送信側での信号の暗号化及び受信側での解読を行うことができる。鍵は、導出関数(ハッシュ、スクランブル等)を使用して作成される。導出関数の使用により、鍵そのもののランダム性を確保することができる。
【0027】
図3は、車載機3(路側機2もほぼ同様である。)が送信するデータフォーマットの一例を示す図である。図において、車載機3の送信信号には、先頭から順に、L2(MAC)ヘッダ、通信制御ヘッダ、セキュリティヘッダ、L7(アプリ制御)ヘッダ、アプリデータ、及び、セキュリティフッタが含まれている。このうち、セキュリティヘッダには、発信者IDの他、車載機/路側機の識別ID、位置や時刻の情報、認証用乱数等が含まれている。なお、アプリデータにも位置や時刻の情報が含まれる場合があり、その場合には、こちらの情報を利用することも可能である。また、セキュリティフッタには、署名データが含まれている。
【0028】
本実施形態では、共通鍵方式において、原則として、道路交通上のエリアごとに、異なる鍵を使用し、また、同じエリアでも、現在時刻が属する期間ごとに異なる鍵を使用する。
図4は、一例としてのエリアA1〜A9を示す図である。図中の斜め線は道路を表し、交差点の丸印は路側機2を表している。
【0029】
エリア区分は種々可能であるが、例えば、カーナビゲーション装置におけるマップコードのメッシュのように、図示のような緯度・経度で等間隔に分けることができる。また、このような単純な区分以外には、事故が多い路側機、交差点の密集したエリア(例えば都心部)、交通量の多い場所等で、メッシュを小さくするようにしてもよい。また、1つのエリアに入る道路密度や道路の大きさ(幹線/主要/細街路)に応じてメッシュサイズを決めるようにしてもよい。
【0030】
図5の(a)は、エリアA5について、そのエリア、期間、鍵IDの関係を示している。(b)は、エリアA6について、そのエリア、期間、鍵IDの関係を示している。このように、エリア及び期間に、鍵IDがどのように対応するかの関係を示すものが鍵テーブルの1単位であり、これが、例えば日本全国の全てのエリア区分について集大成されたものが、鍵テーブルである。鍵の導出には前述のように関数が用いられている。路側機2や、正規ユーザとしての各車載機3は、同一の(共通の)鍵テーブルをそれぞれの記憶部24及び33に記憶している。また、鍵テーブルの発行元であり、これを管理するのは、認証局5である。
【0031】
図5の(a)において、エリアA5では、例えば1時間ごとに鍵が変わっていくようになっており、この場合は、1日で24の鍵を使う。(b)においても同様に、エリアA6では、1時間ごとに鍵が変わっていくようになっており、1日で24の鍵を使う。この例は、鍵の総数を節約する簡易な例として、エリアA5とエリアA6とで、1時間ごとに鍵IDがずれているように設定することにより、同期間ではエリアA5とエリアA6とで、互いに鍵IDが異なるようにしたものである。但し、これは一例に過ぎず、エリアA5とエリアA6とで、全く異なる(同じものが無い)ように鍵IDを用意してもよい。
【0032】
図5の(a)の場合、仮に鍵1が漏洩したとすると、悪意のある端末は、エリアA5に所在し、かつ、時刻0:00〜0:59という条件を満たさなければ、その鍵1を用いてデータ送信を行うことはできない。また、(b)の場合に鍵1が漏洩したとすると、悪意のある端末は、エリアA6に所在し、かつ、時刻1:00〜1:59という条件を満たさなければ、その鍵1を用いてデータ送信を行うことはできない。しかし、これらの条件を、悪意のある端末は知らない。従って、現実的には、鍵1が漏洩しても、悪意のある端末が通信を混乱させるようなデータ送信を行うことは、極めて困難である。
【0033】
仮に、その困難を乗り越えて悪意でデータ送信がなされても、悪意のある端末がエリアA5を出ると、都合よくエリアA6に1:00〜1:59の期間にいない限りは、鍵1は使えなくなる。また、エリアA5内にとどまっていたとしても、上記の期間を過ぎれば鍵1は使えなくなる。従って、いわば「同時多発テロ」のような形で悪意者から攻撃を受けることを、回避できる。このように、悪意のある端末が仮に、通信を混乱させるようなデータ送信を行い得たとしても、それによる被害は限定的であり、大きな被害になることを抑止できる。
【0034】
なお、エリア及び期間のうちいずれか1つでも満たさない状態で送信されたデータを受信した場合、通信可能範囲内にある路側機2や車載機3は、そのデータを無効データとして扱う。また、データ送信を無効としたのが路側機2であれば、当該路側機2は、認証局5に無効データを送信する。データ送信を無効としたのが車載機3であれば、一定期間無効データを保持し、アップリンクの機会を待って路側機2へ、無効データを送信する。これを受けて路側機2は、認証局5に無効データを送信する。このようにして無効データを収集した認証局5は、無効データから情報を読み取り、漏洩した鍵IDを推定することができる。認証局5は、これを、CRL(Certificate Revocation List:失効したデジタル証明書のリスト)として、路側機2に通知する。
【0035】
すなわち、認証局5は、漏洩したと推定する鍵IDが再び使用される可能性のあるエリアと期間(いわば同一犯が出現する可能性のあるエリアと時間)とを探索し、そのエリア又は周辺の路側機2に対して、例えば、
(a)鍵IDの漏洩の可能性(危険性)を知らせる、
(b)漏洩した可能性のある鍵IDを用いたデータ送信を無視する、または、
(c)代替の鍵IDを通知して被害を未然に防ぐ、
等の対策をとることが可能である。
【0036】
《その他》
なお、路車間通信は、道路交通上の重要交差点付近で行われることが多いので、車車間通信よりも重要度が高い。そのため、悪意の端末がもし、路側機2になりすました場合には、より大きな被害が予想される。そこで、鍵テーブルを、車車間通信用と、路車間通信用とで、別々に設けるということも考えられる。
そもそも車載機の数は路側機の数よりも圧倒的に多く、送信の頻度も多い。従って、車載機なりすましの可能性は、路側機なりすましの可能性より極めて高いと考えられる。そこで、よりリスクの大きい車車間通信用とは別個に路車間通信の鍵テーブルを設けることで、路車間通信の鍵の漏洩のリスクを低減することができる。
【0037】
なお、上記実施形態では、互いに通信する双方で同じ鍵テーブルを保有し、エリア及び期間に対応する鍵を用いるとしたが、さらに、エリア及び期間に対応する鍵(使用が許可された鍵)を鍵テーブルに複数用意しておき、制御・通信部27,37が、それらの複数の鍵のいずれかをランダムに選択するようにしてもよい。
但し、この場合は、使用する鍵IDを通信相手にデータとして通知する必要があり、例えばセキュリティヘッダに鍵IDの情報を含めることになる。また、この場合、特定の鍵が漏洩したとしても、その鍵を使用することができるエリア及び期間はランダムに変更されていくので、漏洩した鍵で通信を行うのは、困難になると考えられる。
【0038】
なお、上記実施形態ではエリアごとの鍵は1つであるが、これは必ずしも1つでなくてもよく、1エリアに複数の路側機が存在する場合は、鍵を複数選択して認証処理を2重以上に行い、送信するようにしてもよい。この場合、検証時間はかかるが、漏洩した鍵を複数知らないと、端末になりすましできない。
【0039】
なお、今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内での全ての変更が含まれることが意図される。
【符号の説明】
【0040】
2:路側機
3:車載機
5:認証局
27:制御・通信部
37:制御・通信部
【特許請求の範囲】
【請求項1】
道路交通における路側機と車載機との通信及び車載機同士での通信に関する通信システムであって、路側機及び車載機の各々は、
通信相手と共通の鍵テーブルと、道路交通上のエリア区分とを記憶する記憶部、及び、
所在しているエリア及び現在時刻が属する期間を把握し、把握したエリア及び期間において、当該エリア及び期間に対応する鍵を前記鍵テーブルから取得し、取得した鍵を使用してデータの送受信を行う制御・通信部
を備えていることを特徴とする通信システム。
【請求項2】
あるエリア及び時間で使用されるべき鍵とは異なる鍵を使用して送信されたデータを受信した場合は、これを無効データとして扱い、当該鍵に関する情報を、路側機から認証局に通知する請求項1記載の通信システム。
【請求項3】
前記鍵テーブルには、エリア及び期間に対応する鍵が複数用意されており、前記制御・通信部は、当該複数の鍵のいずれかをランダムに選択する請求項1記載の通信システム。
【請求項4】
路側機と車載機との通信及び車載機同士での通信で、互いに異なる鍵テーブルを使用する請求項1〜3のいずれか1項に記載の通信システム。
【請求項5】
鍵を導出関数で求める請求項1〜4のいずれか1項に記載の通信システム。
【請求項1】
道路交通における路側機と車載機との通信及び車載機同士での通信に関する通信システムであって、路側機及び車載機の各々は、
通信相手と共通の鍵テーブルと、道路交通上のエリア区分とを記憶する記憶部、及び、
所在しているエリア及び現在時刻が属する期間を把握し、把握したエリア及び期間において、当該エリア及び期間に対応する鍵を前記鍵テーブルから取得し、取得した鍵を使用してデータの送受信を行う制御・通信部
を備えていることを特徴とする通信システム。
【請求項2】
あるエリア及び時間で使用されるべき鍵とは異なる鍵を使用して送信されたデータを受信した場合は、これを無効データとして扱い、当該鍵に関する情報を、路側機から認証局に通知する請求項1記載の通信システム。
【請求項3】
前記鍵テーブルには、エリア及び期間に対応する鍵が複数用意されており、前記制御・通信部は、当該複数の鍵のいずれかをランダムに選択する請求項1記載の通信システム。
【請求項4】
路側機と車載機との通信及び車載機同士での通信で、互いに異なる鍵テーブルを使用する請求項1〜3のいずれか1項に記載の通信システム。
【請求項5】
鍵を導出関数で求める請求項1〜4のいずれか1項に記載の通信システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2012−147085(P2012−147085A)
【公開日】平成24年8月2日(2012.8.2)
【国際特許分類】
【出願番号】特願2011−1969(P2011−1969)
【出願日】平成23年1月7日(2011.1.7)
【出願人】(000002130)住友電気工業株式会社 (12,747)
【Fターム(参考)】
【公開日】平成24年8月2日(2012.8.2)
【国際特許分類】
【出願日】平成23年1月7日(2011.1.7)
【出願人】(000002130)住友電気工業株式会社 (12,747)
【Fターム(参考)】
[ Back to top ]