WO2019021995A1 - 通信装置、通信方法及び通信システム - Google Patents

Abstract

通信装置（１００ａ）は、モビリティに搭載されるネットワークであり、複数の電子制御装置が通信に用いるネットワークであるモビリティネットワークに接続される通信装置であって、モビリティネットワーク上のメッセージに対して定められる転送可能な経路範囲を示す範囲情報を保持する保持部（１０５）と、モビリティネットワーク上のメッセージを受信する受信部（１０１）と、受信されたメッセージの正当性を、範囲情報を用いて判定する判定部（１０４）とを備える。

Description

通信装置、通信方法及び通信システム

　本開示は、モビリティネットワークに接続される通信装置等に関する。

　特許文献１は、同一グループ内に位置する機器を通信にかかる時間で判定する装置を開示している。また、特許文献２は、ＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）フレームのＴＴＬ（Ｔｉｍｅ　Ｔｏ　Ｌｉｖｅ）フィールドの値を用いて、コンテンツの共有範囲を制限する装置を開示している。

特許第４１２９２１６号公報 特許第４１８１９５１号公報

　しかしながら、特許文献１及び特許文献２では、送信元の通信装置がデータの流出を抑制するための制御を行う。したがって、送信元の通信装置が改ざんされることなどにより、正常な動作が行われず、データが流出するという可能性が存在する。

　そこで、本開示は、データの流出を抑制することができる通信装置等を提供することを目的とする。

　本開示の一態様に係る通信装置は、モビリティに搭載されるネットワークであり、複数の電子制御装置が通信に用いるネットワークであるモビリティネットワークに接続される通信装置であって、前記モビリティネットワーク上のメッセージに対して定められる転送可能な経路範囲を示す範囲情報を保持する保持部と、前記モビリティネットワーク上の前記メッセージを受信する受信部と、受信された前記メッセージの正当性を、前記範囲情報を用いて判定する判定部とを備える。

　なお、これらの包括的又は具体的な態様は、システム、装置、方法、集積回路、コンピュータプログラム、又は、コンピュータ読み取り可能なＣＤ－ＲＯＭなどの非一時的な記録媒体で実現されてもよく、システム、装置、方法、集積回路、コンピュータプログラム、及び、記録媒体の任意な組み合わせで実現されてもよい。

　本開示の一態様に係る通信装置は、データの流出を抑制することができる。

図１は、実施の形態１における車載ネットワークシステムの全体構成の一例を示す図である。 図２は、実施の形態１におけるＩＰアドレス及びＭＡＣアドレスの一覧表の一例を示す図である。 図３は、実施の形態１におけるＥｔｈｅｒｎｅｔスイッチの構成の一例を示す図である。 図４は、実施の形態１におけるＩＶＩの構成の一例を示す図である。 図５は、実施の形態１におけるＥＣＵの構成の一例を示す図である。 図６は、実施の形態１におけるＣＧＷの構成の一例を示す図である。 図７は、実施の形態１におけるＴＣＵの構成の一例を示す図である。 図８は、実施の形態１におけるＥＣＵから送信されるメッセージに含まれるフィールドの一例を示す図である。 図９は、実施の形態１における転送テーブルの構成の一例を示す図である。 図１０は、実施の形態１におけるＴＴＬホワイトリストの構成の一例を示す図である。 図１１は、実施の形態１におけるＴＴＬホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。 図１２は、実施の形態１の変形例１におけるＥｔｈｅｒｎｅｔスイッチの構成の一例を示す図である。 図１３は、実施の形態１の変形例１における転送テーブルの構成の一例を示す図である。 図１４は、実施の形態１の変形例１におけるＴＴＬホワイトリストの構成の一例を示す図である。 図１５は、実施の形態１の変形例１におけるＴＴＬホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。 図１６は、実施の形態１の変形例２におけるＥｔｈｅｒｎｅｔスイッチの構成の一例を示す図である。 図１７は、実施の形態１の変形例３におけるＥｔｈｅｒｎｅｔスイッチの構成の一例を示す図である。 図１８は、実施の形態１の変形例３におけるＥＣＵから送信されるメッセージに含まれるフィールドの一例を示す図である。 図１９は、実施の形態１の変形例３におけるＴＴＬホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。 図２０は、実施の形態２におけるＥｔｈｅｒｎｅｔスイッチの構成の一例を示す図である。 図２１は、実施の形態２におけるＲＴＴ（Ｒｏｕｎｄ　Ｔｒｉｐ　Ｔｉｍｅ）ホワイトリストの構成の一例を示す図である。 図２２は、実施の形態２におけるＲＴＴホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。 図２３は、実施の形態２の変形例におけるＥｔｈｅｒｎｅｔスイッチの構成の一例を示す図である。 図２４は、実施の形態３における車載ネットワークシステムの全体構成の一例を示す図である。 図２５は、実施の形態３におけるＩＰアドレス及びＭＡＣアドレスの一覧表の一例を示す図である。 図２６は、実施の形態３におけるＥｔｈｅｒｎｅｔスイッチの構成の一例を示す図である。 図２７は、実施の形態３におけるＥＣＵから送信されるメッセージに含まれるフィールドの一例を示す図である。 図２８は、実施の形態３における転送テーブルの構成の一例を示す図である。 図２９は、実施の形態３におけるＴＴＬホワイトリストの構成の一例を示す図である。 図３０は、実施の形態３におけるＴＴＬホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。 図３１は、実施の形態３の変形例におけるＴＴＬホワイトリストの構成の一例を示す図である。 図３２は、実施の形態３の変形例におけるＴＴＬホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。 図３３は、実施の形態４におけるＥｔｈｅｒｎｅｔスイッチの構成の一例を示す図である。 図３４は、実施の形態４におけるＲＴＴホワイトリストの構成の一例を示す図である。 図３５は、実施の形態４におけるＲＴＴホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。

　（本開示の基礎となった知見）
　近年、自動車の中のシステムには、電子制御ユニット（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ、以下、ＥＣＵ）と呼ばれる装置が多数配置されており、これらのＥＣＵをつなぐネットワークは、車載ネットワークと呼ばれる。車載ネットワークには、多数の規格が存在する。また、一般の情報ネットワークとして既に実績のあるＥｔｈｅｒｎｅｔ（登録商標）を車載ネットワークに適応しようとする動きがあり、近年注目を集めている。

　Ｅｔｈｅｒｎｅｔの採用により、帯域幅の大幅な増加、及び、自動車分野以外でのこれまでの技術資産の活用が可能となり、コスト削減効果などが期待される一方、セキュリティリスクの可能性が高まるとの懸念も指摘されている。

　また、自動車の電子システムは今後も進化を続けることが予想され、扱うデータ量も膨大となる可能性がある。今後増加が予想されるデータとは、自動運転技術などに必須となる、各種センサデータ及び映像データなどである。これらのデータを外部からモニタリングするだけで、自動車が今現在どこを走っており、周囲の状況がどういった状況かが判明してしまうため、これらのデータが意図せず外部に流出してしまわないような対策が重要である。

　車両内に存在する特定のノードが不正に改ざんされ、車両内のネットワークのみに送信すべきメッセージが意図せず車外へ送信される可能性がある。このようなケースを想定し、例えば送信先が車両内か車両外か等のようにメッセージが届く範囲に従ってメッセージの正当性を判定する通信装置について、これまで十分に検討はされていなかった。

　特許文献１は、同一グループ内に位置する機器を通信にかかる時間で判定する装置を開示している。また、特許文献２は、ＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）フレームのＴＴＬ（Ｔｉｍｅ　Ｔｏ　Ｌｉｖｅ）フィールドの値を用いて、コンテンツの共有範囲を制限する装置を開示している。

　しかしながら、特許文献１及び特許文献２では、送信元の通信装置がデータの流出を抑制するための制御を行う。したがって、送信元の通信装置が改ざんされることなどにより、正常な動作が行われず、データが流出するという可能性が存在する。

　そこで、本開示の一態様に係る通信装置は、モビリティに搭載されるネットワークであり、複数の電子制御装置が通信に用いるネットワークであるモビリティネットワークに接続される通信装置であって、前記モビリティネットワーク上のメッセージに対して定められる転送可能な経路範囲を示す範囲情報を保持する保持部と、前記モビリティネットワーク上の前記メッセージを受信する受信部と、受信された前記メッセージの正当性を、前記範囲情報を用いて判定する判定部とを備える。

　これにより、通信装置は、モビリティネットワーク上のメッセージが想定の範囲を超えて転送されることを抑制することができ、データの流出を抑制することができる。

　例えば、前記範囲情報は、ＴＴＬ（Ｔｉｍｅ　Ｔｏ　Ｌｉｖｅ）の範囲を前記転送可能な経路範囲として示し、前記判定部は、受信された前記メッセージの正当性を、受信された前記メッセージに含まれるＴＴＬの値と、前記範囲情報によって示されるＴＴＬの範囲との比較により判定してもよい。

　これにより、通信装置は、メッセージにＴＴＬの値が適切に設定されているか否かに従って、メッセージの正当性を判定することができる。したがって、通信装置は、メッセージが想定の範囲を超えて転送されることを抑制することができ、データの流出を抑制することができる。

　また、例えば、前記範囲情報は、ＲＴＴ（Ｒｏｕｎｄ　Ｔｒｉｐ　Ｔｉｍｅ）の範囲を前記転送可能な経路範囲として示し、前記判定部は、受信された前記メッセージの正当性を、受信された前記メッセージに含まれる情報を用いて導出されるＲＴＴの値と、前記範囲情報によって示されるＲＴＴの範囲との比較により判定してもよい。

　これにより、通信装置は、メッセージに対するＲＴＴの値が適切な範囲であるか否かに従って、メッセージの正当性を判定することができる。したがって、通信装置は、メッセージが想定の範囲を超えて転送されることを抑制することができ、データの流出を抑制することができる。

　また、例えば、前記範囲情報は、送信元又は送信先に応じて定められる前記転送可能な経路範囲を示してもよい。

　これにより、通信装置は、送信元又は送信先に応じて定められる転送可能な経路範囲を示す範囲情報を用いて、メッセージの正当性を適切に判定することができる。

　また、例えば、前記範囲情報は、前記送信元のＭＡＣアドレス、又は、前記送信先のＭＡＣアドレスに応じて定められる前記転送可能な経路範囲を示してもよい。

　これにより、通信装置は、例えばＭＡＣアドレスを用いてメッセージを転送するＬ２スイッチである場合でも、ＭＡＣアドレスに応じて定められる転送可能な経路範囲を示す範囲情報を用いて、メッセージの正当性を適切に判定することができる。

　また、例えば、前記範囲情報は、前記送信元のＩＰアドレス、又は、前記送信先のＩＰアドレスに応じて定められる前記転送可能な経路範囲を示してもよい。

　これにより、通信装置は、例えばＩＰアドレスを用いてメッセージを転送するＬ３スイッチである場合でも、ＩＰアドレスに応じて定められる転送可能な経路範囲を示す範囲情報を用いて、メッセージの正当性を適切に判定することができる。

　また、例えば、前記範囲情報は、前記モビリティの状態に応じて定められる前記転送可能な経路範囲を示してもよい。

　これにより、通信装置は、モビリティの状態の変化に応じて転送可能な経路範囲が変化する場合でも、モビリティの状態に応じて定められる転送可能な経路範囲を示す範囲情報を用いて、メッセージの正当性を適切に判定することができる。

　また、例えば、前記モビリティの状態は、前記モビリティが移動しているか停止しているかに関連する状態であってもよい。

　これにより、通信装置は、移動中における転送可能な経路範囲と停止中における転送可能な経路範囲とが異なる場合でも、各状態に応じて定められる転送可能な経路範囲を示す範囲情報を用いて、メッセージの正当性を適切に判定することができる。

　また、例えば、前記範囲情報は、静的に予め定められた固定の範囲を前記転送可能な経路範囲として示してもよい。

　これにより、通信装置は、例えば静的な環境下において、静的に定められる範囲情報を用いて、メッセージの正当性を適切に判定することができる。

　また、例えば、前記通信装置は、さらに、前記複数の電子制御装置の更新に応じて、前記範囲情報を動的に更新する更新部を備えてもよい。

　これにより、通信装置は、例えば電子制御装置の追加又は削除に対応する物理的な変更等に伴って、範囲情報を更新することができ、更新された範囲情報を用いて、メッセージの正当性を適切に判定することができる。すなわち、通信装置は、より柔軟に定められる範囲情報を用いて、メッセージの正当性を適切に判定することができる。

　また、例えば、前記更新部は、前記複数の電子制御装置の属性情報の更新に応じて、前記範囲情報を動的に更新してもよい。

　これにより、通信装置は、例えば電子制御装置のＩＰアドレスなどに対応する属性情報が動的に変更される環境下においても、動的に定められる範囲情報を用いて、メッセージの正当性を適切に判定することができる。

　また、例えば、前記属性情報は、ＳＯＭＥ／ＩＰ（Ｓｃａｌａｂｌｅ　ｓｅｒｖｉｃｅ－Ｏｒｉｅｎｔｅｄ　ＭｉｄｄｌｅｗａｒＥ　ｏｖｅｒ　ＩＰ）プロトコルを用いて更新されてもよい。

　これにより、通信装置は、ＳＯＭＥ／ＩＰに基づくファームウェアのアップデートなどにより電子制御装置の属性情報が動的に変更される環境下においても、動的に定められる範囲情報を用いて、メッセージの正当性を適切に判定することができる。

　また、例えば、前記通信装置は、さらに、受信された前記メッセージの正当性の判定結果に基づいて、所定のアクションを実施する処理部を備えてもよい。

　これにより、通信装置は、判定結果に基づいて、適切な処理を実施することができ、モビリティネットワークのシステム全体の安全性を高めることができる。

　また、例えば、前記処理部は、前記判定結果に基づいて、受信された前記メッセージの転送可否を制御してもよい。

　これにより、通信装置は、メッセージの転送可否を適切に制御することができ、モビリティネットワークのシステム全体の安全性を高めることができる。

　また、例えば、前記処理部は、前記判定結果を記録してもよい。

　これにより、通信装置は、後で判定結果の分析を可能にすることができる。そして、通信装置は、範囲情報によって示される転送可能な経路範囲の適切な更新を可能にすることができる。

　また、例えば、前記処理部は、受信された前記メッセージの送信元に対して、前記判定結果を通知してもよい。

　これにより、通信装置は、適切なメッセージを送信するよう送信元を誘導することができる。

　また、例えば、前記通信装置は、さらに、受信された前記メッセージが正当でないと判定された場合、受信された前記メッセージに含まれるＴＴＬの値を前記範囲情報によって示されるＴＴＬの範囲内に更新することにより、受信された前記メッセージを更新し、更新された前記メッセージを転送する処理部を備えてもよい。

　これにより、送信元がメッセージに適切なＴＴＬの値を設定することが難しい環境下において、通信装置がメッセージに適切なＴＴＬの値を設定することができる。

　また、本開示の一態様に係る通信方法は、モビリティに搭載されるネットワークであり、複数の電子制御装置が通信に用いるネットワークであるモビリティネットワーク上の通信方法であって、前記モビリティネットワーク上のメッセージを受信する受信ステップと、受信された前記メッセージの正当性を、前記モビリティネットワーク上の前記メッセージに対して定められる転送可能な経路範囲を示す範囲情報を用いて判定する判定ステップとを含む通信方法であってもよい。

　これにより、モビリティネットワーク上のメッセージが想定の範囲を超えて転送されることが抑制され得る。したがって、データの流出が抑制され得る。

　また、本開示の一態様に係る通信システムは、モビリティに搭載されるネットワークであり、複数の電子制御装置が通信に用いるネットワークであるモビリティネットワークの通信システムであって、前記モビリティネットワーク上のメッセージに対して定められる転送可能な経路範囲を示す範囲情報を保持する保持部と、前記モビリティネットワーク上の前記メッセージを受信する受信部と、受信された前記メッセージの正当性を、前記範囲情報を用いて判定する判定部とを備える通信システムであってもよい。

　これにより、通信システムは、モビリティネットワーク上のメッセージが想定の範囲を超えて転送されることを抑制することができ、データの流出を抑制すことができる。

　さらに、これらの包括的又は具体的な態様は、システム、装置、方法、集積回路、コンピュータプログラム、又は、コンピュータ読み取り可能なＣＤ－ＲＯＭなどの非一時的な記録媒体で実現されてもよく、システム、装置、方法、集積回路、コンピュータプログラム、及び、記録媒体の任意な組み合わせで実現されてもよい。

　以下、図面を参照しながら、実施の形態に関わる通信装置、通信方法及び通信システムについて説明する。

　なお、以下で説明する実施の形態は、いずれも包括的又は具体的な例を示す。つまり、以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置及び接続形態、ステップ、ステップの順序などは、一例であり、請求の範囲を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。

　（実施の形態１）
　本実施の形態では、受信したメッセージに含まれるＴＴＬ（Ｔｉｍｅ　Ｔｏ　Ｌｉｖｅ）が、予め定められたホワイトリストによってチェックされる。以下、受信したメッセージに含まれるＴＴＬを予め定められたホワイトリストによってチェックする機能を持つ通信装置について、図面を参照しながら説明する。

　［１．１　車載ネットワークシステムの全体構成］
　図１は、本実施の形態における車載ネットワークシステムの全体構成の一例を示す図である。車載ネットワークシステム１０は、Ｅｔｈｅｒｎｅｔスイッチ１００ａ、１００ｂと、Ｉｎ－Ｖｅｈｉｃｌｅ　Ｉｎｆｏｔａｉｎｍｅｎｔ　Ｓｙｓｔｅｍ（以下、ＩＶＩ）２００と、ＥＣＵ３００ａ、３００ｂ、３００ｃ、３００ｄ、３００ｅと、Ｃｅｎｔｒａｌ　Ｇａｔｅｗａｙ（以下、ＣＧＷ）４００と、Ｔｅｌｅｍａｔｉｃｓ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ（以下、ＴＣＵ）５００とを備える。

　Ｅｔｈｅｒｎｅｔスイッチ１００ａと、Ｅｔｈｅｒｎｅｔスイッチ１００ｂとは、それぞれスイッチングハブであり、ＣＧＷ４００及びＥｔｈｅｒｎｅｔケーブルを介して互いに接続されている。また、Ｅｔｈｅｒｎｅｔスイッチ１００ａは、ＥＣＵ３００ａ～３００ｅと、それぞれＥｔｈｅｒｎｅｔケーブルを介して接続されている。また、Ｅｔｈｅｒｎｅｔスイッチ１００ｂは、ＩＶＩ２００と、ＴＣＵ５００と、それぞれＥｔｈｅｒｎｅｔケーブルを介して接続されている。Ｅｔｈｅｒｎｅｔスイッチ１００ａ及び１００ｂは、それぞれのポートから受信するメッセージを、その他のポート、あるいは、全てのポートに転送する機能を持つ。

　ＩＶＩ２００は、Ｅｔｈｅｒｎｅｔスイッチ１００ｂとＥｔｈｅｒｎｅｔケーブルを介して接続されている。また、ＩＶＩ２００は、ディスプレイを有する。そして、ＩＶＩ２００は、ドライバーに対して情報を提示する機能を持つ。

　ＥＣＵ３００ａ～３００ｅは、それぞれ、前方距離センサ３１０、前方カメラ３２０、高度運転支援機能（以下、ＡＤＡＳ）３３０、後方距離センサ３４０、及び、後方カメラ３５０に接続されている。また、ＥＣＵ３００ａ～３００ｅは、それぞれ、接続されている装置から情報を取得し、取得された情報をメッセージとして別のＥＣＵに送信する機能を持つ。

　ＣＧＷ４００は、Ｅｔｈｅｒｎｅｔスイッチ１００ａと、Ｅｔｈｅｒｎｅｔスイッチ１００ｂとに、それぞれＥｔｈｅｒｎｅｔを介して接続されている。そして、ＣＧＷ４００は、各ドメインを分割するルータの機能を持つ。

　ＴＣＵ５００は、Ｅｔｈｅｒｎｅｔスイッチ１００ａとＥｔｈｅｒｎｅｔケーブルを介して接続されている。また、ＴＣＵ５００は、３Ｇ又はＬＴＥ（登録商標）などの無線通信を介して基地局６００と通信し、車内で必要な情報を車外から取得する、あるいは、車内の情報を外部へ送信する機能を持つ。基地局６００の説明は省略する。

　［１．２　ＩＰアドレス及びＭＡＣアドレス一覧表］
　図２は、本実施の形態におけるＩＰアドレス及びＭＡＣアドレスの一覧表の一例を示す図である。例えば、ＭＡＣアドレスは、製造時に搭載される部品により一意に設定され、ＩＰアドレスはシステム構築時に静的に与えられる。

　［１．３　Ｅｔｈｅｒｎｅｔスイッチの構成］
　図３は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１００ａの構成の一例を示す図である。Ｅｔｈｅｒｎｅｔスイッチ１００ａは、通信部１０１と、転送処理部１０２と、転送テーブル保持部１０３と、ホワイトリスト判定部１０４と、ホワイトリスト保持部１０５と、エラーメッセージ送信部１０６とを備える。

　なお、Ｅｔｈｅｒｎｅｔスイッチ１００ｂは、Ｅｔｈｅｒｎｅｔスイッチ１００ａと同様の構成であるため、説明は省略する。

　通信部１０１は、Ｅｔｈｅｒｎｅｔを介し、他のＥＣＵからメッセージを受信し、転送処理部１０２へ通知する。また、転送処理部１０２又はエラーメッセージ送信部１０６から通知された送信先ＥＣＵにメッセージを送信する。

　転送処理部１０２は、転送テーブル保持部１０３から取得する転送テーブルと、ホワイトリスト判定部１０４の判定結果とに基づき、メッセージの転送可否を決定する。そして、転送処理部１０２は、メッセージが転送可能である場合、転送先を通信部１０１に通知する。転送処理部１０２は、メッセージが転送可能でない場合、メッセージが転送可能でないことをエラーメッセージ送信部１０６に通知してもよい。

　転送テーブル保持部１０３は、転送テーブルを保持する。転送テーブルの詳細は、図９を用いて後述する。

　ホワイトリスト判定部１０４は、ホワイトリスト保持部１０５が保持するホワイトリストと、転送処理部１０２より通知される受信メッセージとに応じて、メッセージに対する判定を行う。そして、ホワイトリスト判定部１０４は、判定結果を転送処理部１０２と、エラーメッセージ送信部１０６とに通知する。

　ホワイトリスト保持部１０５は、メッセージの転送可否を判断するためのホワイトリストを保持する。ホワイトリストの詳細は、図１０を用いて後述する。

　エラーメッセージ送信部１０６は、転送処理部１０２又はホワイトリスト判定部１０４から通知された結果に基づき、エラーメッセージを送信するよう、通信部１０１に通知を行う。

　［１．４　ＩＶＩの構成］
　図４は、本実施の形態におけるＩＶＩ２００の構成の一例を示す図である。ＩＶＩ２００は、通信部２０１と、メッセージ処理部２０２と、表示部２０３と、操作部２０４とを備える。

　通信部２０１は、Ｅｔｈｅｒｎｅｔを介し、他のＥＣＵからメッセージを受信し、メッセージ処理部２０２へメッセージを通知する。また、通信部２０１は、メッセージ処理部２０２から通知されたメッセージを他のＥＣＵへ送信する。

　メッセージ処理部２０２は、通信部２０１から通知された受信メッセージから、表示対象の内容を抽出し、表示部２０３へ通知する。また、操作部２０４からの通知内容に応じて、送信対象のメッセージを作成し、通信部２０１へ通知する。

　表示部２０３は、メッセージ処理部２０２から通知された表示対象の内容を画面に表示する処理を行う。

　操作部２０４は、ドライバーによる操作に対応する内容をメッセージ処理部２０２へ通知する。

　［１．５　ＥＣＵの構成］
　図５は、本実施の形態におけるＥＣＵ３００ａの構成の一例を示す図である。ＥＣＵ３００ａは、通信部３０１と、メッセージ処理部３０２と、センサ通信部３０３とを備える。なお、ＥＣＵ３００ｂ～３００ｄは、ＥＣＵ３００ａと同様の構成であるため、説明を省略する。

　通信部３０１は、Ｅｔｈｅｒｎｅｔを介し、他のＥＣＵからメッセージを受信し、メッセージ処理部３０２へ通知する。また、通信部３０１は、メッセージ処理部３０２から通知されたメッセージを他のＥＣＵへ送信する。

　メッセージ処理部３０２は、通信部３０１から通知された受信メッセージから、センサ等に対する指示内容を抽出し、センサ通信部３０３へ通知する。また、メッセージ処理部３０２は、センサ通信部３０３からの通知内容に応じて、送信対象のメッセージを作成し、通信部３０１へ通知する。

　センサ通信部３０３は、外部にあるセンサ等から情報を取得し、その情報の内容をメッセージ処理部３０２へ通知する。また、センサ通信部３０３は、メッセージ処理部３０２から通知された指示内容に応じて、外部のセンサ等へ指示を送る。

　ＥＣＵ３００ａの通信部３０１が他のＥＣＵへ送信するメッセージの一例は、図８を用いて後述する。

　［１．６　ＣＧＷの構成］
　図６は、本実施の形態におけるＣＧＷ４００の構成の一例を示す図である。ＣＧＷ４００は、通信部４０１と、転送処理部４０２と、転送テーブル保持部４０３と、エラーメッセージ送信部４０４とを備える。

　通信部４０１は、Ｅｔｈｅｒｎｅｔを介し、他のＥＣＵからメッセージを受信し、転送処理部４０２へ通知する。また、通信部４０１は、転送処理部４０２又はエラーメッセージ送信部４０４から通知された通信先ＥＣＵにメッセージを送信する。

　転送処理部４０２は、転送テーブル保持部４０３から取得する転送テーブルに基づき、転送先を通信部４０１に通知する。転送処理部４０２は、転送テーブルに基づき、メッセージが転送可能でない場合、メッセージが転送可能でないことをエラーメッセージ送信部４０４に通知してもよい。

　転送テーブル保持部４０３は、転送テーブルを保持する。

　エラーメッセージ送信部４０４は、転送処理部４０２から通知された結果に基づきエラーメッセージを送信するよう、通信部４０１に通知を行う。

　［１．７　ＴＣＵの構成］
　図７は、本実施の形態におけるＴＣＵ５００の構成の一例を示す図である。ＴＣＵ５００は、車内通信部５０１と、メッセージ処理部５０２と、車外通信部５０３とを備える。

　車内通信部５０１は、Ｅｔｈｅｒｎｅｔを介し、他のＥＣＵからメッセージを受信し、メッセージ処理部５０２へ通知する。また、車内通信部５０１は、メッセージ処理部５０２から通知されたメッセージを他のＥＣＵへ送信する。

　メッセージ処理部５０２は、車内通信部５０１から通知された受信メッセージから、外部に対する送信対象の内容を抽出し、車外通信部５０３へ通知する。また、メッセージ処理部５０２は、車外通信部５０３からの通知内容に応じて、車内に対する送信対象のメッセージを作成し、車内通信部５０１へ通知する。

　車外通信部５０３は、車外にある基地局６００と通信を行い、受信メッセージをメッセージ処理部５０２へ通知する。また、車外通信部５０３は、メッセージ処理部５０２から通知された送信対象の内容に応じて、車外の基地局６００へメッセージを送信する。

　［１．８　ＥＣＵから送信されるメッセージに含まれるフィールドの一例］
　図８は、本実施の形態におけるＥＣＵ３００ａから送信されるメッセージに含まれるフィールドの一例を示す図である。なお、ＥＣＵ３００ｂ～３００ｅから送信されるメッセージはＥＣＵ３００ａから送信されるメッセージとほぼ同様であるため、ここでは説明は省略する。

　ＭＡＣヘッダには、送信元ＭＡＣアドレスと、送信先ＭＡＣアドレスとが含まれる。ＩＰヘッダには、ＴＴＬと、送信元ＩＰアドレスと、送信先ＩＰアドレスとが含まれる。ＩＰヘッダには、さらに、パケット種別が含まれていてもよい。ＩＰペイロードには、センサデータ等のデータ本体が含まれる。例えば、ＩＰレイヤにおいて、メッセージが装置を経由する度に、メッセージに含まれるＴＴＬの値から１が減らされる。そして、メッセージが送信先に到達する前に、メッセージに含まれるＴＴＬの値が０になれば、メッセージは破棄される。

　本実施の形態では、ＥＣＵ３００ａは、ＥＣＵ３００ｃにのみセンサデータを送信する。そのため、ＥＣＵ３００ａは、送信元ＭＡＣアドレス、及び、送信元ＩＰアドレスにＥＣＵ３００ａの情報を設定し、送信先ＭＡＣアドレス、及び、送信先ＩＰアドレスにＥＣＵ３００ｃの情報を設定する。また、ＥＣＵ３００ａは、ＴＴＬに、途中に中継器を介さないことを示す１を設定する。

　［１．９　転送テーブルの構成］
　図９は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１００ａが持つ転送テーブルの構成の一例を示す図である。Ｅｔｈｅｒｎｅｔスイッチ１００ｂが持つ転送テーブルは、Ｅｔｈｅｒｎｅｔスイッチ１００ａが持つ転送テーブルとほぼ同様であるため、ここでは説明を省略する。図９の転送テーブルでは、ＭＡＣアドレスがＥｔｈｅｒｎｅｔポートに対応付けられている。

　図９では、Ｅｔｈｅｒｎｅｔスイッチ１００ａが、６つのＥｔｈｅｒｎｅｔポートを保持し、これらのポート番号は、ポートＮｏ．１～６である。また、ポートＮｏ．１～６の接続先ＭＡＣアドレスは、それぞれ、0a:0a:0a:0a:0a:0a、0b:0b:0b:0b:0b:0b、0c:0c:0c:0c:0c:0c、0d:0d:0d:0d:0d:0d、0e:0e:0e:0e:0e:0e、及び、04:04:04:04:04:04である。

　［１．１０　ＴＴＬホワイトリストの構成］
　図１０は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１００ａが持つホワイトリストであるＴＴＬホワイトリストの構成の一例を示す図である。Ｅｔｈｅｒｎｅｔスイッチ１００ｂが持つＴＴＬホワイトリストは、Ｅｔｈｅｒｎｅｔスイッチ１００ａが持つＴＴＬホワイトリストとほぼ同様であるため、ここでは説明を省略する。

　図１０において、ＴＴＬホワイトリストは、送信元ＭＡＣアドレスと、送信先ＭＡＣアドレスと、ＴＴＬとのセットでそれぞれが構成される５つのセットを含む。これらの５つのセットは、正しい組み合わせである。メッセージがこれらの組み合わせに含まれている場合、メッセージは転送され、メッセージがこれらの組み合わせに含まれていない場合、メッセージはＮＧとして破棄される。

　［１．１１　ＴＴＬホワイトリストの判定シーケンス］
　図１１は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１００ａによる、ＴＴＬホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。

　ステップＳ１００１において、Ｅｔｈｅｒｎｅｔスイッチ１００ａは、Ｅｔｈｅｒｎｅｔスイッチ１００ａが保有するＥｔｈｅｒｎｅｔポートからメッセージを受信する。

　ステップＳ１００２において、Ｅｔｈｅｒｎｅｔスイッチ１００ａは、受信したメッセージから、送信元ＭＡＣアドレスを取得する。

　ステップＳ１００３において、Ｅｔｈｅｒｎｅｔスイッチ１００ａは、受信したメッセージから、送信先ＭＡＣアドレスを取得する。

　ステップＳ１００４において、Ｅｔｈｅｒｎｅｔスイッチ１００ａは、受信したメッセージから、ＴＴＬの値を取得する。

　ステップＳ１００５において、Ｅｔｈｅｒｎｅｔスイッチ１００ａは、受信したメッセージと、ＴＴＬホワイトリストとを照合する。そして、Ｅｔｈｅｒｎｅｔスイッチ１００ａは、送信元ＭＡＣアドレスと送信先ＭＡＣアドレスとに応じたＴＴＬホワイトリストのＴＴＬの値に基づいて、受信したメッセージのＴＴＬの値が正しい値かどうかをチェックする。つまり、Ｅｔｈｅｒｎｅｔスイッチ１００ａは、受信したメッセージから得られるＴＴＬがＴＴＬホワイトリストに適合するか否かを判定する。

　例えば、受信したメッセージのＴＴＬの値が、ＴＴＬホワイトリストのＴＴＬの値以下である場合、Ｅｔｈｅｒｎｅｔスイッチ１００ａは、受信したメッセージのＴＴＬの値が正しい値であると判定する。受信したメッセージのＴＴＬの値が、ＴＴＬホワイトリストのＴＴＬの値以下でない場合、Ｅｔｈｅｒｎｅｔスイッチ１００ａは、受信したメッセージのＴＴＬの値が正しい値でないと判定する。

　受信したメッセージのＴＴＬの値が正しい値の場合（Ｙｅｓの場合）、Ｅｔｈｅｒｎｅｔスイッチ１００ａは、ステップＳ１００７の処理を実行する。受信したメッセージのＴＴＬの値が正しい値でない場合（Ｎｏの場合）、Ｅｔｈｅｒｎｅｔスイッチ１００ａは、ステップＳ１００６の処理を実行する。

　ステップＳ１００６において、Ｅｔｈｅｒｎｅｔスイッチ１００ａは、受信したメッセージを破棄する。

　ステップＳ１００７において、Ｅｔｈｅｒｎｅｔスイッチ１００ａは、転送テーブルに従い、送信先ＭＡＣアドレスを持つ機器がつながるポートを介してメッセージを送信する。

　図８の受信メッセージの例では、送信元ＭＡＣアドレスが0a:0a:0a:0a:0a:0aであり、送信先ＭＡＣアドレスが0c:0c:0c:0c:0c:0cであり、ＴＴＬが１である。図１０のＴＴＬホワイトリストに図８のセットが適合するため、Ｅｔｈｅｒｎｅｔスイッチ１００ａは、ステップＳ１００５においてＴＴＬの値は正しいと判定し、メッセージを転送する。

　（実施の形態１の効果）
　本実施の形態では、ＭＡＣアドレスによるＴＴＬホワイトリストに基づいて、予め決められた通信範囲を逸脱するようなメッセージが破棄される。したがって、データの流出が抑制される。

　（実施の形態１の変形例１）
　実施の形態１の基本的な態様では、ＭＡＣアドレスに対応付けられたＴＴＬホワイトリストが用いられているが、ＴＴＬホワイトリストはこれに限られない。本変形例では、ＩＰレイヤで転送制御を行うＬ３スイッチにおいて、ＩＰアドレスに対応付けられたＴＴＬホワイトリストが用いられる。これにより、ＭＡＣアドレスの偽装によらず、ＩＰアドレスに基づいて、メッセージの正当性が適切に判定される。

　また、本変形例では、図１に示されたＥｔｈｅｒｎｅｔスイッチ１００ａの代わりに、Ｅｔｈｅｒｎｅｔスイッチ１００ａの変形例であるＥｔｈｅｒｎｅｔスイッチ１１０ａが用いられる。Ｅｔｈｅｒｎｅｔスイッチ１１０ａは、ＩＰレイヤで転送制御を行うＬ３スイッチである。Ｅｔｈｅｒｎｅｔスイッチ１００ｂについても、Ｅｔｈｅｒｎｅｔスイッチ１００ｂの代わりに、Ｅｔｈｅｒｎｅｔスイッチ１００ｂの変形例が用いられるが、Ｅｔｈｅｒｎｅｔスイッチ１１０ａとほぼ同じであるため、説明を省略する。

　以下、ＩＰレイヤで転送制御を行うＥｔｈｅｒｎｅｔスイッチ１１０ａについて、図面を参照しながら説明する。なお、前述の実施の形態の基本的な態様と同一の内容については説明を省略する。

　［１．１２　Ｅｔｈｅｒｎｅｔスイッチの構成］
　図１２は、本変形例におけるＥｔｈｅｒｎｅｔスイッチ１１０ａの構成の一例を示す図である。Ｅｔｈｅｒｎｅｔスイッチ１１０ａは、通信部１０１と、転送処理部１０２と、転送テーブル保持部１１３と、ホワイトリスト判定部１１４と、ホワイトリスト保持部１１５と、エラーメッセージ送信部１０６とを備える。なお、図３と同様の構成については同一の符号を付与し、その説明は省略する。

　転送テーブル保持部１１３は、転送テーブルを保持する。転送テーブルの詳細は、図１３を用いて後述する。

　ホワイトリスト判定部１１４は、ホワイトリスト保持部１１５が保持するホワイトリストと、転送処理部１０２より通知される受信メッセージとに応じて、メッセージに対する判定を行う。そして、ホワイトリスト判定部１１４は、判定結果を転送処理部１０２と、エラーメッセージ送信部１０６とに通知する。

　ホワイトリスト保持部１１５は、メッセージの転送可否を判断するためのホワイトリストを保持する。ホワイトリストの詳細は、図１４を用いて後述する。

　［１．１３　転送テーブルの構成］
　図１３は、本変形例におけるＥｔｈｅｒｎｅｔスイッチ１１０ａが持つ転送テーブルの構成の一例を示す図である。図１３の転送テーブルでは、ＩＰアドレスがＥｔｈｅｒｎｅｔポートに対応付けられている。

　図１３では、Ｅｔｈｅｒｎｅｔスイッチ１１０ａが、６つのＥｔｈｅｒｎｅｔポートを保持し、これらのポート番号は、ポートＮｏ．１～６である。また、ポートＮｏ．１～６の接続先ＩＰアドレスは、それぞれ192.168.0.1、192.168.0.2、192.168.0.3、192.168.0.4、192.168.0.5、及び、192.168.0.127、である。

　［１．１４　ＴＴＬホワイトリストの構成］
　図１４は、本変形例におけるＥｔｈｅｒｎｅｔスイッチ１１０ａが持つホワイトリストであるＴＴＬホワイトリストの構成の一例を示す図である。

　図１４において、ＴＴＬホワイトリストは、送信元ＩＰアドレスと、送信先ＩＰアドレスと、ＴＴＬとのセットでそれぞれが構成される５つのセットを含む。これらの５つのセットは、正しい組み合わせである。メッセージがこれらの組み合わせに含まれている場合、メッセージは転送され、メッセージがこれらの組み合わせに含まれていない場合、メッセージはＮＧとして破棄される。

　［１．１５　ＴＴＬホワイトリストの判定シーケンス］
　図１５は、本変形例におけるＥｔｈｅｒｎｅｔスイッチ１１０ａによる、ＴＴＬホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。なお、図１１と同様の処理については同一の番号を付与し、説明を省略する。

　ステップＳ１１０２において、Ｅｔｈｅｒｎｅｔスイッチ１１０ａは、受信したメッセージから、送信元ＩＰアドレスを取得する。

　ステップＳ１１０３において、Ｅｔｈｅｒｎｅｔスイッチ１１０ａは、受信したメッセージから、送信先ＩＰアドレスを取得する。

　ステップＳ１１０５において、Ｅｔｈｅｒｎｅｔスイッチ１１０ａは、受信したメッセージと、ＴＴＬホワイトリストとを照合する。そして、Ｅｔｈｅｒｎｅｔスイッチ１１０ａは、送信元ＩＰアドレスと送信先ＩＰアドレスとに応じたＴＴＬホワイトリストのＴＴＬの値に基づいて、受信したメッセージのＴＴＬの値が正しい値かどうかをチェックする。つまり、Ｅｔｈｅｒｎｅｔスイッチ１１０ａは、受信したメッセージから得られるＴＴＬがＴＴＬホワイトリストに適合するか否かを判定する。

　例えば、受信したメッセージのＴＴＬの値が、ＴＴＬホワイトリストのＴＴＬの値以下である場合、Ｅｔｈｅｒｎｅｔスイッチ１１０ａは、受信したメッセージのＴＴＬの値が正しい値であると判定する。受信したメッセージのＴＴＬの値が、ＴＴＬホワイトリストのＴＴＬの値以下でない場合、Ｅｔｈｅｒｎｅｔスイッチ１１０ａは、受信したメッセージのＴＴＬの値が正しい値でないと判定する。

　受信したメッセージのＴＴＬの値が正しい値の場合（Ｙｅｓの場合）、Ｅｔｈｅｒｎｅｔスイッチ１１０ａは、ステップＳ１１０８の処理を実行する。受信したメッセージのＴＴＬの値が正しい値でない場合（Ｎｏの場合）、Ｅｔｈｅｒｎｅｔスイッチ１１０ａは、ステップＳ１００６の処理を実行する。

　ステップＳ１１０８において、Ｅｔｈｅｒｎｅｔスイッチ１１０ａは、受信したメッセージのＴＴＬの値を１デクリメントして上書きする。

　ステップＳ１１０９において、Ｅｔｈｅｒｎｅｔスイッチ１１０ａは、受信したメッセージのＴＴＬの値が、０とは異なるかどうか、つまり０よりも大きいか否かをチェックする。受信したメッセージのＴＴＬの値が０である場合（Ｎｏの場合）、Ｅｔｈｅｒｎｅｔスイッチ１１０ａは、ステップＳ１１１０の処理を実行する。受信したメッセージのＴＴＬの値が０とは異なる場合（Ｙｅｓの場合）、Ｅｔｈｅｒｎｅｔスイッチ１１０ａは、ステップＳ１１０７の処理を実行する。

　ステップＳ１１１０において、Ｅｔｈｅｒｎｅｔスイッチ１１０ａは、受信したメッセージを破棄する。

　ステップＳ１１０７において、Ｅｔｈｅｒｎｅｔスイッチ１１０ａは、転送テーブルに従い、送信先ＩＰアドレスを持つ機器がつながるポートを介してメッセージを送信する。

　（実施の形態１の変形例１の効果）
　本変形例では、ＩＰアドレスによるＴＴＬホワイトリストによって、予め決められた通信範囲を逸脱するようなメッセージが、Ｅｔｈｅｒｎｅｔスイッチで破棄される。また、ＭＡＣアドレスの偽装によらず、ＩＰアドレスに基づいて、メッセージの正当性が適切に判定される。

　（実施の形態１の変形例２）
　実施の形態１の変形例１では、静的なＩＰアドレスの固定のセットを用いたＴＴＬホワイトリストが用いられている。本変形例では、システム開始後にＩｎｔｅｒｎｅｔ　Ｃｏｎｔｒｏｌ　Ｍｅｓｓａｇｅ　Ｐｒｏｔｏｃｏｌ（以下ＩＣＭＰ）などを用いて変更される動的なＩＰアドレスのセットを含むＴＴＬホワイトリストが用いられる。

　これにより、静的にＩＰアドレスなどが取得されない環境、例えばＤｙｎａｍｉｃ　Ｈｏｓｔ　Ｃｏｎｆｉｇｕｒａｔｉｏｎ　Ｐｒｏｔｏｃｏｌ（以下ＤＨＣＰ）などの環境下において、ＥＣＵの撤去又は置き換えなどの物理的な変更が発生しても、ＴＴＬホワイトリストを用いたメッセージの判定が適切に行われる。

　また、本変形例では、図１に示されたＥｔｈｅｒｎｅｔスイッチ１００ａの代わりに、Ｅｔｈｅｒｎｅｔスイッチ１００ａの変形例であるＥｔｈｅｒｎｅｔスイッチ１２０ａが用いられる。Ｅｔｈｅｒｎｅｔスイッチ１２０ａは、ＩＰレイヤで転送制御を行うＬ３スイッチであって、システム開始後に動的に変更されるＴＴＬホワイトリストを保持する。Ｅｔｈｅｒｎｅｔスイッチ１００ｂについても、Ｅｔｈｅｒｎｅｔスイッチ１００ｂの代わりに、Ｅｔｈｅｒｎｅｔスイッチ１００ｂの変形例が用いられるが、Ｅｔｈｅｒｎｅｔスイッチ１２０ａとほぼ同じであるため、説明を省略する。

　以下、システム開始後に動的に変更されるＴＴＬホワイトリストを保持するＥｔｈｅｒｎｅｔスイッチ１２０ａについて、図面を参照しながら説明する。なお、前述の実施の形態の基本的な態様又は変形例と同一の内容については説明を省略する。

　［１．１６　Ｅｔｈｅｒｎｅｔスイッチの構成］
　図１６は、本変形例におけるＥｔｈｅｒｎｅｔスイッチ１２０ａの構成の一例を示す図である。Ｅｔｈｅｒｎｅｔスイッチ１２０ａは、通信部１２１と、転送処理部１０２と、転送テーブル保持部１２３と、ホワイトリスト判定部１１４と、ホワイトリスト保持部１２５と、エラーメッセージ送信部１０６と、ホワイトリスト作成部１２７とを備える。なお、図３又は図１２と、同様の構成については同一の符号を付与し、その説明は省略する。

　通信部１２１は、Ｅｔｈｅｒｎｅｔを介し、他のＥＣＵからメッセージを受信し、転送処理部１０２又はホワイトリスト作成部１２７へ通知する。また、通信部１２１は、転送処理部１０２、エラーメッセージ送信部１０６、又は、ホワイトリスト作成部１２７から通知された送信先ＥＣＵにメッセージを送信する。

　ホワイトリスト保持部１２５は、ホワイトリスト作成部１２７から通知された、メッセージの転送可否を判断するためのホワイトリストを保持する。ホワイトリストの一例は、図１４と同様であるため、その説明を省略する。

　ホワイトリスト作成部１２７は、ＩＣＭＰメッセージを作成し、通信部１２１へ通知する。また、ホワイトリスト作成部１２７は、通信部１２１から通知されたＩＣＭＰのリプライメッセージを集計し、ホワイトリストを作成し、ホワイトリスト保持部１２５へ通知する。

　例えば、ホワイトリストの作成は、不正な機器が車載ネットワークに接続されていないことが確認された状態で行われる。ホワイトリスト作成部１２７は、ホワイトリストの作成前に、通信部１２１を介して、ＩＣＭＰメッセージの送信先に対して、チャレンジレスポンス認証等によって機器認証を行ってもよい。そして、ホワイトリスト作成部１２７は、通信部１２１を介して、機器認証が行われた装置に対して、ＩＣＭＰメッセージを送信し、その応答に従って、ホワイトリストを作成してもよい。

　また、ホワイトリスト作成部１２７は、ＥＣＵの撤去又は置き換えなどが発生した時に、ホワイトリストを作成し直してもよい。つまり、ホワイトリスト作成部１２７は、ＥＣＵの撤去又は置き換えなどが発生した時に、ホワイトリストを更新してもよい。

　具体的には、ホワイトリスト作成部１２７は、ＥＣＵに割り当てられるＩＰアドレスの更新を検知して、ホワイトリストを更新してもよい。あるいは、ホワイトリスト作成部１２７は、周期的にホワイトリストを更新してもよい。これにより、ＥＣＵの撤去又は置き換えなどに伴って、ホワイトリストが変更される。

　（実施の形態１の変形例２の効果）
　本変形例では、ＤＨＣＰにより動的に各ノードのＩＰアドレスが設定されるような環境下においても、動的に定められる通信範囲を逸脱するようなメッセージがＥｔｈｅｒｎｅｔスイッチで破棄される。

　（実施の形態１の変形例３）
　実施の形態１の変形例１では、メッセージとＴＴＬホワイトリストとが照合され、メッセージがＴＴＬホワイトリストに適合しない場合、メッセージが破棄される。本変形例では、メッセージがＴＴＬホワイトリストに適合しない場合、ＴＴＬホワイトリストの値でメッセージにおけるＴＴＬが更新される。これにより、全てのＥＣＵのそれぞれがメッセージにおけるＴＴＬに適切な値を設定することが困難である場合でも、Ｅｔｈｅｒｎｅｔスイッチにより適切な値が設定される。したがって、ＴＴＬホワイトリストが適切に適用される。

　また、本変形例では、図１に示されたＥｔｈｅｒｎｅｔスイッチ１００ａの代わりに、Ｅｔｈｅｒｎｅｔスイッチ１００ａの変形例であるＥｔｈｅｒｎｅｔスイッチ１３０ａが用いられる。Ｅｔｈｅｒｎｅｔスイッチ１２０ａは、ＩＰレイヤで転送制御を行うＬ３スイッチであって、ＴＴＬに適切な値を設定する機能を持つ。Ｅｔｈｅｒｎｅｔスイッチ１００ｂについても、Ｅｔｈｅｒｎｅｔスイッチ１００ｂの代わりに、Ｅｔｈｅｒｎｅｔスイッチ１００ｂの変形例が用いられるが、Ｅｔｈｅｒｎｅｔスイッチ１３０ａとほぼ同じであるため、説明を省略する。

　以下、ＴＴＬに適切な値を設定する機能を持つＥｔｈｅｒｎｅｔスイッチ１３０ａについて、図面を参照しながら説明する。なお、前述の実施の形態の基本的な態様又は変形例と同一の内容については説明を省略する。

　［１．１７　Ｅｔｈｅｒｎｅｔスイッチの構成］
　図１７は、本変形例におけるＥｔｈｅｒｎｅｔスイッチ１３０ａの構成の一例を示す図である。Ｅｔｈｅｒｎｅｔスイッチ１３０ａは、通信部１０１と、転送処理部１３２と、転送テーブル保持部１０３と、ホワイトリスト判定部１３４と、ホワイトリスト保持部１０５と、エラーメッセージ送信部１０６とを備える。なお、図３又は図１２と、同一の構成については、同一の符号を付与し、その説明は省略する。

　転送処理部１３２は、転送テーブル保持部１０３から取得する転送テーブルと、ホワイトリスト判定部１３４の判定結果とに応じて、受信メッセージのＴＴＬ値をホワイトリスト上のＴＴＬの値で更新し、転送先を通信部１０１に通知する。

　ホワイトリスト判定部１３４は、ホワイトリスト保持部１０５が保持するホワイトリストと、転送処理部１３２より通知される受信メッセージとに応じて、メッセージに対する判定を行う。そして、ホワイトリスト判定部１３４は、判定結果と、ホワイトリスト上のＴＴＬの値を、転送処理部１３２と、エラーメッセージ送信部１０６とに通知する。

　［１．１８　ＥＣＵから送信されるメッセージに含まれるフィールドの一例］
　図１８は、本変形例におけるＥＣＵ３００ａから送信されるメッセージに含まれるフィールドの一例を示す図である。なお、ＥＣＵ３００ｂ～３００ｅから送信されるメッセージはＥＣＵ３００ａから送信されるメッセージとほぼ同様であるため、ここでは説明は省略する。

　ＭＡＣヘッダには、送信元ＭＡＣアドレスと、送信先ＭＡＣアドレスとが含まれる。ＩＰヘッダには、ＴＴＬと、送信元ＩＰアドレスと、送信先ＩＰアドレスとが含まれる。ＩＰヘッダには、さらに、パケット種別が含まれていてもよい。ＩＰペイロードには、センサデータ等のデータ本体が含まれる。

　本変形例では、ＥＣＵ３００ａは、ＥＣＵ３００ｃにのみセンサデータを送信する。そのため、ＥＣＵ３００ａは、送信元ＭＡＣアドレス、及び、送信元ＩＰアドレスにＥＣＵ３００ａの情報を設定し、送信先ＭＡＣアドレス、及び、送信先ＩＰアドレスにＥＣＵ３００ｃの情報を設定する。また、ＥＣＵ３００ａは、ＴＴＬに値を個別に設定せず、ＴＴＬに上限値である２５５を設定する。

　［１．１９　ＴＴＬホワイトリストの判定シーケンス］
　図１９は、本変形例におけるＥｔｈｅｒｎｅｔスイッチ１３０ａによる、ＴＴＬホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。なお、図１１と同様の処理については同一の番号を付与し、説明を省略する。

　Ｓ１３０６において、Ｅｔｈｅｒｎｅｔスイッチ１３０ａは、ＴＴＬホワイトリストと合致しない場合（Ｓ１００５でＮｏの場合）、受信したメッセージのＴＴＬの値をＴＴＬホワイトリストにおける値に更新する。そして、Ｅｔｈｅｒｎｅｔスイッチ１３０ａは、ステップＳ１００７の処理を実行する。

　（実施の形態１の変形例３の効果）
　本変形例では、全てのＥＣＵのそれぞれが適切なＴＴＬを設定することが困難である場合でも、Ｅｔｈｅｒｎｅｔスイッチにより適切な値が設定される。したがって、ＴＴＬホワイトリストが適切に適用される。

　（実施の形態２）
　実施の形態１では、受信したメッセージに含まれる情報とホワイトリストとが照合される。本実施の形態では、受信したメッセージに含まれる情報を用いて、送信にかかる時間を取得し、送信にかかる時間とホワイトリストとが照合される。

　また、本実施の形態では、図１に示されたＥｔｈｅｒｎｅｔスイッチ１００ａの代わりに、Ｅｔｈｅｒｎｅｔスイッチ１００ａの変形例であるＥｔｈｅｒｎｅｔスイッチ１１１０ａが用いられる。Ｅｔｈｅｒｎｅｔスイッチ１１１０ａは、ＩＰレイヤで転送制御を行うＬ３スイッチであって、受信したメッセージに含まれる情報を用いて、送信にかかる時間を取得し、送信にかかる時間とホワイトリストとを照合する機能を持つ。Ｅｔｈｅｒｎｅｔスイッチ１００ｂについても、Ｅｔｈｅｒｎｅｔスイッチ１００ｂの代わりに、Ｅｔｈｅｒｎｅｔスイッチ１００ｂの変形例が用いられるが、Ｅｔｈｅｒｎｅｔスイッチ１１１０ａとほぼ同じであるため、説明を省略する。

　本実施の形態では、受信したメッセージに含まれる情報を用いて、送信にかかる時間を取得し、送信にかかる時間とホワイトリストとを照合する機能を持つＥｔｈｅｒｎｅｔスイッチ１１１０ａについて図面を参照しながら説明する。なお、前述の実施の形態又は変形例と同一の内容については説明を省略する。

　［２．１　Ｅｔｈｅｒｎｅｔスイッチの構成］
　図２０は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１１１０ａの構成の一例を示す図である。Ｅｔｈｅｒｎｅｔスイッチ１１１０ａは、通信部１１１１と、転送処理部１０２と、転送テーブル保持部１１３と、ホワイトリスト判定部１１１４と、ホワイトリスト保持部１１１５と、エラーメッセージ送信部１０６と、ＲＴＴ取得部１１０８とを備える。なお、図３又は図１２と、同様の構成については同一の符号を付与し、その説明は省略する。

　通信部１１１１は、Ｅｔｈｅｒｎｅｔを介し、他のＥＣＵからメッセージを受信し、転送処理部１０２と、ＲＴＴ取得部１１０８とへ通知する。また、通信部１１１１は、転送処理部１０２、エラーメッセージ送信部１０６、又は、ＲＴＴ取得部１１０８から通知された送信先ＥＣＵにメッセージを送信する。

　ホワイトリスト判定部１１１４は、ホワイトリスト保持部１１１５が保持するホワイトリストと、転送処理部１０２より通知される受信メッセージとに応じて、メッセージに対する判定を行う。そして、ホワイトリスト判定部１１１４は、判定結果を転送処理部１０２と、エラーメッセージ送信部１０６とに通知する。

　ホワイトリスト保持部１１１５は、メッセージの転送可否を判断するためのＲＴＴホワイトリストを保持する。ＲＴＴホワイトリストの詳細は、図２１を用いて後述する。

　［２．２　ＲＴＴホワイトリストの構成］
　図２１は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１１１０ａが持つホワイトリストであるＲＴＴホワイトリストの構成の一例を示す図である。

　図２１において、ＲＴＴホワイトリストは、送信元ＩＰアドレスと、送信先ＩＰアドレスと、ＲＴＴとのセットでそれぞれが構成される５つのセットを含む。これらの５つのセットは、正しい組み合わせである。メッセージがこれらの組み合わせに含まれている場合、メッセージは転送され、メッセージがこれらの組み合わせに含まれていない場合、メッセージはＮＧとして破棄される。

　ＲＴＴ（Ｒｏｕｎｄ　Ｔｒｉｐ　Ｔｉｍｅ）は、例えば、信号を発してから応答が返ってくるまでの時間であり、メッセージの送信にかかる時間に対応する。例えば、Ｅｔｈｅｒｎｅｔスイッチ１１１０ａが持つＲＴＴホワイトリストにおけるＲＴＴは、Ｅｔｈｅｒｎｅｔスイッチ１１１０ａが送信先ＩＰアドレスに信号を送信してから応答が返ってくるまでの時間の上限に対応する。

　［２．３　ＲＴＴホワイトリストの判定シーケンス］
　図２２は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１１１０ａによる、ＲＴＴホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。なお、図１１又は図１５と同様の処理については同一の符号を付与し、その説明を省略する。

　Ｓ２００４において、Ｅｔｈｅｒｎｅｔスイッチ１１１０ａは、受信したメッセージの送信先のＩＰアドレス宛にＩＣＭＰメッセージを送信し、その返答時間に基づいて、ＲＴＴの値を取得する。

　Ｅｔｈｅｒｎｅｔスイッチ１１１０ａは、メッセージを受信する度に、メッセージに含まれる送信先にＩＣＭＰメッセージを送信し、その返答時間に基づいて、ＲＴＴの値を取得してもよい。また、Ｅｔｈｅｒｎｅｔスイッチ１１１０ａは、ＩＰＣＭメッセージを送信してＲＴＴの値を取得してから所定の期間において、同じ送信先にＩＰＣＭメッセージを送信せずに、前回の送信結果に基づいて、ＲＴＴの値を取得してもよい。

　Ｓ２００５において、Ｅｔｈｅｒｎｅｔスイッチ１１１０ａは、受信したメッセージから取得されたＲＴＴの値と、ＲＴＴホワイトリストとを照合する。そして、Ｅｔｈｅｒｎｅｔスイッチ１１１０ａは、受信したメッセージから取得されたＲＴＴの値が、送信元ＩＰアドレスと送信先ＩＰアドレスとに応じたＲＴＴホワイトリストの範囲内の値かどうかをチェックする。つまり、Ｅｔｈｅｒｎｅｔスイッチ１１１０ａは、受信したメッセージから取得されたＲＴＴの値が、ＲＴＴホワイトリストに適合するか否かを判定する。

　ここで、取得されたＲＴＴの値がＲＴＴホワイトリストの範囲内の値である場合（Ｙｅｓの場合）、Ｅｔｈｅｒｎｅｔスイッチ１１１０ａは、ステップＳ１１０７の処理を実行する。一方、取得されたＲＴＴの値がＲＴＴホワイトリストの範囲内の値でない場合（Ｎｏの場合）、Ｅｔｈｅｒｎｅｔスイッチ１１１０ａは、ステップＳ１００６の処理を実行する。

　なお、Ｅｔｈｅｒｎｅｔスイッチ１１１０ａは、図１５の例のように、メッセージに含まれるＴＴＬのデクリメントを行ってもよい。

　また、本実施の形態において、ＲＴＴは、Ｅｔｈｅｒｎｅｔスイッチ１１１０ａから送信先へ信号が送信されてから応答が返ってくるまでの時間に対応する。しかしながら、ＲＴＴは、送信元から送信先へ信号が送信されてから送信先から送信元へ応答が返ってくるまでの時間に対応していてもよい。この場合、Ｅｔｈｅｒｎｅｔスイッチ１１１０ａは、送信先に信号を送信してから応答を受信するまでの時間と、送信元に信号を送信してから応答を受信するまでの時間との合計時間をＲＴＴとして取得してもよい。

　（実施の形態２の効果）
　本実施の形態では、ＩＰアドレスによるＲＴＴホワイトリストによって、予め決められた通信範囲を逸脱するようなメッセージがＥｔｈｅｒｎｅｔスイッチで破棄される。また、ＭＡＣアドレスの偽装によらず、ＩＰアドレスに基づいて、メッセージの正当性が適切に判定される。

　（実施の形態２の変形例）
　実施の形態２の基本的な態様では、ＲＴＴホワイトリストとして予め設定した固定のリストが用いられる。本変形例では、システム開始後にＩＣＭＰなどを用いて動的に更新されるリストがＲＴＴホワイトリストとして用いられる。

　これにより、静的にＩＰアドレスなどが取得されない環境、例えばＤＨＣＰなどの環境下において、ＥＣＵの撤去又は置き換えなどの物理的な変更が発生しても、適切にメッセージの正当性が判定される。

　また、本変形例では、図１に示されたＥｔｈｅｒｎｅｔスイッチ１００ａの代わりに、Ｅｔｈｅｒｎｅｔスイッチ１００ａの変形例であるＥｔｈｅｒｎｅｔスイッチ１１２０ａが用いられる。Ｅｔｈｅｒｎｅｔスイッチ１１２０ａは、ＩＰレイヤで転送制御を行うＬ３スイッチであって、システム開始後に動的に変更されるＲＴＴホワイトリストを保持する。Ｅｔｈｅｒｎｅｔスイッチ１００ｂについても、Ｅｔｈｅｒｎｅｔスイッチ１００ｂの代わりに、Ｅｔｈｅｒｎｅｔスイッチ１００ｂの変形例が用いられるが、Ｅｔｈｅｒｎｅｔスイッチ１１２０ａとほぼ同じであるため、説明を省略する。

　以下、システム開始後に動的に更新されるホワイトリストを保持するＥｔｈｅｒｎｅｔスイッチ１１２０ａについて、図面を参照しながら説明する。なお、前述の実施の形態又は変形例と同一の内容については説明を省略する。

　［２．４　Ｅｔｈｅｒｎｅｔスイッチの構成］
　図２３は、本変形例におけるＥｔｈｅｒｎｅｔスイッチ１１２０ａの構成を示す図である。Ｅｔｈｅｒｎｅｔスイッチ１１２０ａは、通信部１１２１と、転送処理部１０２と、転送テーブル保持部１１３と、ホワイトリスト判定部１１１４と、ホワイトリスト保持部１１２５と、エラーメッセージ送信部１０６と、ＲＴＴ取得部１１０８と、ホワイトリスト作成部１１２７とを備える。なお、図３、図１２又は図２０と、同様の構成については同一の符号を付与し、その説明は省略する。

　通信部１１２１は、Ｅｔｈｅｒｎｅｔを介し、他のＥＣＵからメッセージを受信し、転送処理部１０２、ＲＴＴ取得部１１０８又はホワイトリスト作成部１１２７へ通知する。また、通信部１１２１は、転送処理部１０２、エラーメッセージ送信部１０６、ＲＴＴ取得部１１０８、又は、ホワイトリスト作成部１１２７から通知された送信先ＥＣＵにメッセージを送信する。

　ホワイトリスト保持部１１２５は、ホワイトリスト作成部１１２７から通知された、メッセージの転送可否を判断するためのホワイトリストを保持する。ホワイトリストの一例は、図２１と同様であるため、その説明を省略する。

　ホワイトリスト作成部１１２７は、ＩＣＭＰメッセージを作成し、通信部１１２１へ通知する。また、ホワイトリスト作成部１１２７は、通信部１１２１から通知されたＩＣＭＰのリプライメッセージを集計し、ホワイトリストを作成し、ホワイトリスト保持部１１２５へ通知する。

　（実施の形態２の変形例の効果）
　本変形例では、ＤＨＣＰにより動的に各ノードのＩＰアドレスが設定されるような環境下においても、動的に定められる通信範囲を逸脱するようなメッセージがＥｔｈｅｒｎｅｔスイッチで破棄される。したがって、データの流出が抑制される。

　（実施の形態３）
　本実施の形態では、メッセージの正当性の判定において、車両の状態に対応付けられたＴＴＬホワイトリストが用いられる。これにより、車両の状態に応じて、メッセージの正当性が適切に判定される。

　［３．１　車載ネットワークシステムの全体構成］
　図２４は、本実施の形態における車載ネットワークシステムの全体構成の一例を示す図である。車載ネットワークシステム４０は、Ｅｔｈｅｒｎｅｔスイッチ１４０ａ、１４０ｂと、ＩＶＩ２００と、ＥＣＵ３００ａと、ＣＧＷ４００と、ＴＣＵ５００とを備える。なお、図１と同様の構成については同一の符号を付与し、その説明は省略する。

　Ｅｔｈｅｒｎｅｔスイッチ１４０ａと、Ｅｔｈｅｒｎｅｔスイッチ１４０ｂとは、それぞれ、ＣＧＷ４００及びＥｔｈｅｒｎｅｔケーブルを介して接続されている。また、Ｅｔｈｅｒｎｅｔスイッチ１４０ａは、ＥＣＵ３００ａと、Ｅｔｈｅｒｎｅｔケーブルを介して接続されている。また、Ｅｔｈｅｒｎｅｔスイッチ１４０ｂは、ＩＶＩ２００と、ＴＣＵ５００と、それぞれＥｔｈｅｒｎｅｔケーブルを介して接続されている。Ｅｔｈｅｒｎｅｔスイッチ１４０ａ及び１４０ｂは、それぞれのポートから受信するメッセージを、その他のポート、あるいは、全てのポートに転送する機能を持つ。

　本実施の形態において、ＥＣＵ３００ａは、低電力ＧＰＳ（Ｇｌｏｂａｌ　Ｐｏｓｉｔｉｏｎｉｎｇ　Ｓｙｓｔｅｍ）３６０に接続されている。また、ＥＣＵ３００ａは、低電力ＧＰＳ３６０から情報を取得し、取得された情報をメッセージとして別のＥＣＵに送信する機能を持つ。

　また、図示されない多数のＥＣＵが車両に搭載されていてもよい。そして、車両の多数の装置が、多数のＥＣＵによって制御されてもよい。

　そして、多数のＥＣＵ及び多数の装置のうち、いくつかのＥＣＵ及び装置が車両の走行中のみにおいて動作してもよい。また、いくつかのＥＣＵ及び装置が車両の停車中のみにおいて動作してもよい。また、いくつかのＥＣＵ及び装置が車両の走行中及び停車中の両方において動作してもよい。ＥＣＵ３００ａ及び低電力ＧＰＳ３６０は、車両の走行中及び停車中の両方において動作するＥＣＵ及び装置の例である。

　車両が走行しているか停車しているかの状態の変化に応じて、通信範囲も変化する可能性がある。そのため、Ｅｔｈｅｒｎｅｔスイッチ１４０ａ及び１４０ｂは、車両の状態に応じたホワイトリストを保持する。

　［３．２　ＩＰアドレス及びＭＡＣアドレス一覧表］
　図２５は、本実施の形態におけるＩＰアドレス及びＭＡＣアドレスの一覧表の一例を示す図である。図２５の例は、図２の例と基本的に同じであるが、図２５の例では、便宜上、図２の例の一部が省略されている。また、より多くのＥＣＵが車両に搭載される場合、より多くのＥＣＵのＩＰアドレス及びＭＡＣアドレスが一覧表に含まれ得る。

　［３．３　Ｅｔｈｅｒｎｅｔスイッチの構成］
　図２６は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１４０ａの構成の一例を示す図である。Ｅｔｈｅｒｎｅｔスイッチ１４０ａは、通信部１０１と、転送処理部１０２と、転送テーブル保持部１０３と、ホワイトリスト判定部１４４と、ホワイトリスト保持部１４５と、エラーメッセージ送信部１０６とを備える。

　なお、Ｅｔｈｅｒｎｅｔスイッチ１４０ｂは、Ｅｔｈｅｒｎｅｔスイッチ１４０ａと同様の構成であるため、説明は省略する。また、図３と同様の構成については同一の符号を付与し、その説明は省略する。

　ホワイトリスト判定部１４４は、車両の状態と、ホワイトリスト保持部１４５が保持するホワイトリストと、転送処理部１０２より通知される受信メッセージとに応じて、メッセージに対する判定を行う。そして、ホワイトリスト判定部１４４は、判定結果を転送処理部１０２と、エラーメッセージ送信部１０６とに通知する。

　ホワイトリスト保持部１４５は、車両の状態に応じてメッセージの転送可否を判断するためのホワイトリストを保持する。ホワイトリストの詳細は、図２９を用いて後述する。

　［３．４　ＥＣＵから送信されるメッセージに含まれるフィールドの一例］
　図２７は、本実施の形態におけるＥＣＵ３００ａから送信されるメッセージに含まれるフィールドの一例を示す図である。

　ＭＡＣヘッダには、送信元ＭＡＣアドレスと、送信先ＭＡＣアドレスとが含まれる。ＩＰヘッダには、ＴＴＬと、送信元ＩＰアドレスと、送信先ＩＰアドレスとが含まれる。ＩＰヘッダには、さらに、パケット種別が含まれていてもよい。ＩＰペイロードには、センサデータ等のデータ本体が含まれる。

　ＥＣＵ３００ａは、送信元ＭＡＣアドレス及び送信元ＩＰアドレスにＥＣＵ３００ａの情報を設定する。そして、ＥＣＵ３００ａは、送信先ＭＡＣアドレス及び送信先ＩＰアドレスに、適宜、送信先の情報を設定する。図２７の送信先ＭＡＣアドレス及び送信先ＩＰアドレスには、仮の値が示されている。例えば、ＥＣＵ３００ａは、図２４に図示されない送信先のＥＣＵのＭＡＣアドレス及びＩＰアドレスをメッセージにおける送信先ＭＡＣアドレス及び送信先ＩＰアドレスに設定する。

　また、図２７の例において、ＥＣＵ３００ａは、メッセージにおけるＴＴＬに、３１回の転送許容回数を示す３２を設定する。

　［３．５　転送テーブルの構成］
　図２８は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１４０ａが持つ転送テーブルの構成の一例を示す図である。Ｅｔｈｅｒｎｅｔスイッチ１４０ｂが持つ転送テーブルは、Ｅｔｈｅｒｎｅｔスイッチ１４０ａが持つ転送テーブルとほぼ同様であるため、ここでは説明を省略する。図２８の転送テーブルでは、ＭＡＣアドレスがＥｔｈｅｒｎｅｔポートに対応付けられている。

　図２８では、Ｅｔｈｅｒｎｅｔスイッチ１４０ａが、２つのＥｔｈｅｒｎｅｔポートを保持し、これらのポート番号は、ポートＮｏ．１～２である。また、ポートＮｏ．１～２の接続先ＭＡＣアドレスは、それぞれ、0a:0a:0a:0a:0a:0a、及び、04:04:04:04:04:04である。

　また、Ｅｔｈｅｒｎｅｔスイッチ１４０ａは、より多くのＥｔｈｅｒｎｅｔポートを保持していてもよい。そして、より多くのＥＣＵが車両に搭載される場合、より多くのＥＣＵのＭＡＣアドレスが、それぞれ、より多くのＥｔｈｅｒｎｅｔポートに対応付けられていてもよい。

　［３．６　ＴＴＬホワイトリストの構成］
　図２９は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１４０ａが持つホワイトリストであるＴＴＬホワイトリストの構成の一例を示す図である。Ｅｔｈｅｒｎｅｔスイッチ１４０ｂが持つＴＴＬホワイトリストは、Ｅｔｈｅｒｎｅｔスイッチ１４０ａが持つＴＴＬホワイトリストとほぼ同様であるため、ここでは説明を省略する。

　図２９において、ＴＴＬホワイトリストは、送信元ＭＡＣアドレスと、送信先ＭＡＣアドレスと、状態と、ＴＴＬとのセットでそれぞれが構成される２つのセットを含む。これらの２つのセットは、正しい組み合わせである。メッセージがこれらの組み合わせに含まれている場合、メッセージは転送され、メッセージがこれらの組み合わせに含まれていない場合、メッセージはＮＧとして破棄される。

　ＴＴＬホワイトリストにおける状態は、車両の状態に対応し、例えば、車両が停車している状態、及び、車両が走行している状態を含む複数の状態のうちのいずれかである。また、図２９の例において、送信先ＭＡＣアドレスが「＊」で示されている。この「＊」は、あらゆるＭＡＣアドレスに対応する。

　図２９の例におけるＴＴＬホワイトリストでは、送信元がＥＣＵ３００ａであり、車両が停車中であれば、送信先にかかわらず、ＴＴＬが３２に制限される。また、送信元がＥＣＵ３００ａであり、車両が走行中であれば、送信先にかかわらず、ＴＴＬが２に制限される。

　［３．７　ＴＴＬホワイトリストの判定シーケンス］
　図３０は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１４０ａによる、ＴＴＬホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。なお、図１１と同様の処理については同一の番号を付与し、説明を省略する。

　ステップＳ１４０１において、Ｅｔｈｅｒｎｅｔスイッチ１４０ａは、車両の状態を取得する。Ｅｔｈｅｒｎｅｔスイッチ１４０ａは、図示しないＥＣＵ又はセンサ等から車両の状態を取得してもよい。

　ステップＳ１４０５において、Ｅｔｈｅｒｎｅｔスイッチ１４０ａは、受信されたメッセージと、ＴＴＬホワイトリストとを車両の状態に応じて照合する。そして、Ｅｔｈｅｒｎｅｔスイッチ１４０ａは、送信元ＭＡＣアドレスと送信先ＭＡＣアドレスと車両の状態とに応じたＴＴＬホワイトリストのＴＴＬの値に基づいて、受信したメッセージのＴＴＬの値が正しい値かどうかをチェックする。つまり、Ｅｔｈｅｒｎｅｔスイッチ１４０ａは、受信されたメッセージから得られるＴＴＬが、ＴＴＬホワイトリストに適合するか否かを判定する。

　例えば、受信したメッセージのＴＴＬの値が、ＴＴＬホワイトリストのＴＴＬの値以下である場合、Ｅｔｈｅｒｎｅｔスイッチ１４０ａは、受信したメッセージのＴＴＬの値が正しい値であると判定する。受信したメッセージのＴＴＬの値が、ＴＴＬホワイトリストのＴＴＬの値以下でない場合、Ｅｔｈｅｒｎｅｔスイッチ１４０ａは、受信したメッセージのＴＴＬの値が正しい値でないと判定する。本実施の形態において、ＴＴＬホワイトリストのＴＴＬの値は、車両の状態に依存する。

　受信したメッセージのＴＴＬの値が正しい値の場合（Ｙｅｓの場合）、Ｅｔｈｅｒｎｅｔスイッチ１４０ａは、ステップＳ１００７の処理を実行する。受信したメッセージのＴＴＬの値が正しい値でない場合（Ｎｏの場合）、Ｅｔｈｅｒｎｅｔスイッチ１４０ａは、ステップＳ１００６の処理を実行する。

　図２７の受信メッセージの例では、送信元ＭＡＣアドレスが0a:0a:0a:0a:0a:0aであり、ＴＴＬが３２である。

　車両が停車中において、図２９のＴＴＬホワイトリストに図２７のセットが適合するため、Ｅｔｈｅｒｎｅｔスイッチ１４０ａは、ステップＳ１４０５においてＴＴＬの値は正しいと判定し、メッセージを転送する。一方、車両が走行中において、図２９のＴＴＬホワイトリストに図２７のセットが適合しないため、Ｅｔｈｅｒｎｅｔスイッチ１４０ａは、ステップＳ１４０５においてＴＴＬの値は正しくないと判定し、メッセージを破棄する。

　（実施の形態３の効果）
　本実施の形態では、ＭＡＣアドレスによるＴＴＬホワイトリストによって、車両の状態に応じた通信範囲を逸脱するようなメッセージがＥｔｈｅｒｎｅｔスイッチで破棄される。

　（実施の形態３の変形例）
　実施の形態３の基本的な態様では、車両の状態と、送信元のＭＡＣアドレスと、送信先のＭＡＣアドレスと、ＴＴＬとが対応付けられたＴＴＬホワイトリストが用いられる。本変形例では、車両の状態と、送信元のＩＰアドレスと、送信先のＩＰアドレスと、ＴＴＬとが対応付けられたＴＴＬホワイトリストが用いられる。

　これにより、車両の状態、及び、ＩＰアドレスに応じて、メッセージの正当性が適切に判定される。そして、例えば、ＩＰレイヤで転送制御を行うＬ３スイッチにおいて、車両の状態に応じて、メッセージの正当性が適切に判定され、メッセージの転送及び破棄が適切に制御される。

　以下、ＩＰレイヤで転送制御を行うＥｔｈｅｒｎｅｔスイッチ１４０ａについて、図面を参照しながら説明する。なお、前述の実施の形態又は変形例と同一の内容については説明を省略する。また、Ｅｔｈｅｒｎｅｔスイッチ１４０ｂは、Ｅｔｈｅｒｎｅｔスイッチ１４０ａと同様の構成であるため、説明は省略する。

　［３．８　Ｅｔｈｅｒｎｅｔスイッチの構成］
　本変形例におけるＥｔｈｅｒｎｅｔスイッチ１４０ａの構成は、図２６に示された実施の形態３の基本的な態様におけるＥｔｈｅｒｎｅｔスイッチ１４０ａの構成とほぼ同じである。ただし、転送テーブル保持部１０３が保持する転送テーブルの詳細、ホワイトリスト判定部１４４が行う判定処理の詳細、及び、ホワイトリスト保持部１４５が保持するホワイトリストの詳細が、実施の形態３の基本的な態様とは異なる。

　［３．９　転送テーブルの構成］
　本変形例における転送テーブルでは、ＭＡＣアドレスの代わりにＩＰアドレスがＥｔｈｅｒｎｅｔポートに対応付けられている。具体的には、図２８の例における転送テーブルが、ＭＡＣアドレスの代わりにＩＰアドレスを含むように変更される。そして、0a:0a:0a:0a:0a:0aの代わりに192.168.0.1が用いられ、04:04:04:04:04:04の代わりに192.168.0.127が用いられる。

　［３．１０　ＴＴＬホワイトリストの構成］
　図３１は、本変形例におけるＥｔｈｅｒｎｅｔスイッチ１４０ａが持つホワイトリストであるＴＴＬホワイトリストの構成の一例を示す図である。

　図３１において、ＴＴＬホワイトリストは、送信元ＩＰアドレスと、送信先ＩＰアドレスと、状態と、ＴＴＬとのセットでそれぞれが構成される２つのセットを含む。これらの２つのセットは、正しい組み合わせである。メッセージがこれらの組み合わせに含まれている場合、メッセージは転送され、メッセージがこれらの組み合わせに含まれていない場合、メッセージはＮＧとして破棄される。

　図２９と同様に、図３１に示されたＴＴＬホワイトリストにおける状態は、車両の状態に対応し、例えば、車両が停車している状態、及び、車両が走行している状態を含む複数の状態のうちのいずれかである。また、図３１の例において、送信先ＩＰアドレスが「＊」で示されている。この「＊」は、あらゆるＩＰアドレスに対応する。

　また、図２９の例と同様に、図３１の例におけるＴＴＬホワイトリストでは、送信元がＥＣＵ３００ａであり、車両が停車中であれば、送信先にかかわらず、ＴＴＬが３２に制限される。また、送信元がＥＣＵ３００ａであり、車両が走行中であれば、送信先にかかわらず、ＴＴＬが２に制限される。

　［３．１１　ＴＴＬホワイトリストの判定シーケンス］
　図３２は、本変形例におけるＥｔｈｅｒｎｅｔスイッチ１４０ａによる、ＴＴＬホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。なお、図３０又は図１５と同様の処理については同一の番号を付与し、説明を省略する。

　ステップＳ１５０５において、Ｅｔｈｅｒｎｅｔスイッチ１４０ａは、受信したメッセージと、ＴＴＬホワイトリストとを車両の状態に応じて照合する。そして、Ｅｔｈｅｒｎｅｔスイッチ１４０ａは、送信元ＩＰアドレスと送信先ＩＰアドレスと車両の状態に応じたＴＴＬホワイトリストのＴＴＬの値に基づいて、受信したメッセージのＴＴＬの値が正しい値かどうかをチェックする。つまり、Ｅｔｈｅｒｎｅｔスイッチ１４０ａは、受信したメッセージから得られるＴＴＬが、ＴＴＬホワイトリストに適合するか否かを判定する。

　例えば、受信したメッセージのＴＴＬの値が、ＴＴＬホワイトリストのＴＴＬの値以下である場合、Ｅｔｈｅｒｎｅｔスイッチ１４０ａは、受信したメッセージのＴＴＬの値が正しい値であると判定する。受信したメッセージのＴＴＬの値が、ＴＴＬホワイトリストのＴＴＬの値以下でない場合、Ｅｔｈｅｒｎｅｔスイッチ１４０ａは、受信したメッセージのＴＴＬの値が正しい値でないと判定する。

　受信したメッセージのＴＴＬの値が正しい値の場合（Ｙｅｓの場合）、Ｅｔｈｅｒｎｅｔスイッチ１４０ａは、ステップＳ１１０８の処理を実行する。受信したメッセージのＴＴＬの値が正しい値でない場合（Ｎｏの場合）、Ｅｔｈｅｒｎｅｔスイッチ１４０ａは、ステップＳ１００６の処理を実行する。

　（実施の形態３の変形例の効果）
　本変形例では、車両の状態、及び、ＩＰアドレスに応じて、メッセージの正当性が適切に判定される。そして、例えば、ＩＰレイヤで転送制御を行うＬ３スイッチにおいて、車両の状態に応じて、メッセージの正当性が適切に判定され、メッセージの転送及び破棄が適切に制御される。

　（実施の形態４）
　本実施の形態では、実施の形態２と同様にＲＴＴホワイトリストが用いられ、かつ、実施の形態３と同様に車両の状態に応じてメッセージの正当性が判定される。

　また、本実施の形態では、図２４に示された実施の形態３のＥｔｈｅｒｎｅｔスイッチ１４０ａの代わりに、Ｅｔｈｅｒｎｅｔスイッチ１４０ａの変形例であるＥｔｈｅｒｎｅｔスイッチ１１４０ａが用いられる。Ｅｔｈｅｒｎｅｔスイッチ１４０ｂについても、Ｅｔｈｅｒｎｅｔスイッチ１４０ｂの代わりに、Ｅｔｈｅｒｎｅｔスイッチ１４０ｂの変形例が用いられるが、Ｅｔｈｅｒｎｅｔスイッチ１１４０ａとほぼ同じであるため、説明を省略する。

　以下、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１１４０ａについて図面を参照しながら説明する。なお、前述の実施の形態又は変形例と同一の内容については説明を省略する。

　［４．１　Ｅｔｈｅｒｎｅｔスイッチの構成］
　図３３は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１１４０ａの構成の一例を示す図である。Ｅｔｈｅｒｎｅｔスイッチ１１４０ａは、通信部１１１１と、転送処理部１０２と、転送テーブル保持部１１３と、ホワイトリスト判定部１１４４と、ホワイトリスト保持部１１４５と、エラーメッセージ送信部１０６と、ＲＴＴ取得部１１０８とを備える。

　なお、図３又は図１２と、同様の構成については同一の符号を付与し、その説明は省略する。

　ホワイトリスト判定部１１４４は、ホワイトリスト保持部１１４５が保持するホワイトリストと、転送処理部１０２より通知される受信メッセージとに応じて、メッセージに対する判定を行う。そして、ホワイトリスト判定部１１４４は、判定結果を転送処理部１０２と、エラーメッセージ送信部１０６とに通知する。ホワイトリスト判定部１１４４が行う判定の詳細は、図３５を用いて後述する。

　ホワイトリスト保持部１１４５は、メッセージの転送可否を判断するためのＲＴＴホワイトリストを保持する。ホワイトリスト保持部１１４５が保持するＲＴＴホワイトリストの詳細は、図３４を用いて後述する。

　［４．２　ＲＴＴホワイトリストの構成］
　図３４は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１１４０ａが持つホワイトリストであるＲＴＴホワイトリストの構成の一例を示す図である。

　図３４において、ＲＴＴホワイトリストは、送信元ＩＰアドレスと、送信先ＩＰアドレスと、状態と、ＲＴＴとのセットでそれぞれが構成される２つのセットを含む。これらの２つのセットは、正しい組み合わせである。メッセージがこれらの組み合わせに含まれている場合、メッセージは転送され、メッセージがこれらの組み合わせに含まれていない場合、メッセージはＮＧとして破棄される。

　図３１と同様に、図３４に示されたＲＴＴホワイトリストにおける状態は、車両の状態に対応し、例えば、車両が停車している状態、及び、車両が走行している状態を含む複数の状態のうちのいずれかである。また、図３４において、送信先ＩＰアドレスが「＊」で示されている。この「＊」は、あらゆるＩＰアドレスに対応する。

　また、図３４の例におけるＲＴＴホワイトリストでは、送信元がＥＣＵ３００ａであり、車両が停車中であれば、送信先にかかわらず、ＲＴＴが３２［ｍｓｅｃ］に制限される。また、送信元がＥＣＵ３００ａであり、車両が走行中であれば、送信先にかかわらず、ＲＴＴが２［ｍｓｅｃ］に制限される。

　［４．３　ＲＴＴホワイトリストの判定シーケンス］
　図３５は、本実施の形態におけるＥｔｈｅｒｎｅｔスイッチ１１４０ａによる、ＲＴＴホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。なお、図２２又は図３０と同様の処理については同一の符号を付与し、その説明を省略する。

　Ｓ２４０５において、Ｅｔｈｅｒｎｅｔスイッチ１１４０ａは、受信したメッセージから取得されたＲＴＴの値と、ＲＴＴホワイトリストとを車両の状態に応じて照合する。そして、Ｅｔｈｅｒｎｅｔスイッチ１１４０ａは、受信したメッセージから取得されたＲＴＴの値が、送信元ＩＰアドレスと送信先ＩＰアドレスと車両の状態とに応じたＲＴＴホワイトリストの範囲内の値かどうかをチェックする。

　つまり、Ｅｔｈｅｒｎｅｔスイッチ１１４０ａは、受信したメッセージから取得されたＲＴＴの値が、ＲＴＴホワイトリストに適合するか否かを判定する。取得されたＲＴＴの値がＲＴＴホワイトリストの範囲内の値である場合（Ｙｅｓの場合）、Ｅｔｈｅｒｎｅｔスイッチ１１４０ａは、ステップＳ１１０７の処理を実行する。取得されたＲＴＴの値がＲＴＴホワイトリストの範囲内の値でない場合（Ｎｏの場合）、Ｅｔｈｅｒｎｅｔスイッチ１１４０ａは、ステップＳ１００６の処理を実行する。

　（実施の形態４の効果）
　本実施の形態では、ＩＰアドレスによるＲＴＴホワイトリストによって、車両の状態に応じた通信範囲を逸脱するようなメッセージがＥｔｈｅｒｎｅｔスイッチで破棄される。

　（その他変形例）
　通信装置の態様を上記の複数の実施の形態及び複数の変形例に基づいて説明してきたが、通信装置の態様は、上記の複数の実施の形態及び複数の変形例に限定されない。通信装置の態様は、以下のような態様であってもよい。

　（１）上記の複数の実施の形態及び複数の変形例において、Ｅｔｈｅｒｎｅｔスイッチが示されているが、Ｅｔｈｅｒｎｅｔスイッチは通信装置の例であり、通信装置はメッセージを中継する如何なる装置であってもよい。例えば、ＣＧＷ、各ドメインに配置されるドメインコントローラ、又は、Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　ＮｅｔｗｏｒｋとＥｔｈｅｒｎｅｔとの間の変換装置などであってもよい。また、通信装置は、メッセージを中継せずに、メッセージの正当性を判定する装置であってもよい。

　（２）上記の複数の実施の形態及び複数の変形例において、Ｅｔｈｅｒｎｅｔスイッチは、ホワイトリストを保持し、ホワイトリストに適合するメッセージを転送し、ホワイトリストに適合しないメッセージを破棄している。しかし、Ｅｔｈｅｒｎｅｔスイッチは、ブラックリストを保持し、ブラックリストに適合しないメッセージを転送し、ブラックリストに適合するメッセージを破棄してもよい。また、Ｅｔｈｅｒｎｅｔスイッチは、ホワイトリスト及びブラックリストの両方を保持してもよい。

　（３）上記の複数の実施の形態及び複数の変形例において、Ｅｔｈｅｒｎｅｔスイッチは、ホワイトリストを保持し、ホワイトリストに適合しないメッセージを破棄している。しかし、Ｅｔｈｅｒｎｅｔスイッチは、メッセージがホワイトリストに適合しない場合、メッセージを転送しつつ、非適合の結果をログとして保存するとしてもよい。ログを保存する処理は、エラーメッセージ送信部によって行われてもよいし、転送処理部によって行われてもよい。また、ログは、図示しないログ保持部に保存されてもよい。

　また、Ｅｔｈｅｒｎｅｔスイッチは、メッセージがホワイトリストに適合しない場合、送信先へメッセージを転送しつつ、ＩＣＭＰを使って、送信元へ判定結果に応じたメッセージを通知してもよい。この通知は、通信部を介して、エラーメッセージ送信部によって行われてもよいし、転送処理部によって行われてもよい。

　また、Ｅｔｈｅｒｎｅｔスイッチは、メッセージの種別ごとに対応するアクションを切り替えるよう、リストに種別及び対応アクションの項目を保持してもよい。例えば、Ｅｔｈｅｒｎｅｔスイッチは、特定の種別のメッセージを破棄しないが、判定結果を常にログとして保存してもよい。あるいは、Ｅｔｈｅｒｎｅｔスイッチは、特定の種別のメッセージを破棄しないが、判定結果がＮＧだった場合のみ判定結果をログとして保存してもよい。メッセージの種別に代えて、メッセージの送信元又は送信先が用いられてもよい。

　（４）実施の形態１の変形例２、及び、実施の形態２の変形例において、動的な環境の一例としてＤＨＣＰ環境が説明されている。しかし、Ｅｔｈｅｒｎｅｔスイッチは、ＤＨＣＰの環境に限らず、サービスごとに通信先を変えるＳＯＭＥ／ＩＰに対応する環境下において、サービスディスカバリーのプロトコルによる通信関係が決定される度に、ＩＣＭＰなどを用いて、ＴＴＬホワイトリスト又はＲＴＴホワイトリストを更新してもよい。

　つまり、ＤＨＣＰに限らず、ＳＯＭＥ／ＩＰに従って、送信元のＩＰアドレス、又は、送信先のＩＰアドレスが変更されてもよい。そして、送信元のＩＰアドレス、又は、送信先のＩＰアドレスの変更に伴って、ＴＴＬホワイトリスト又はＲＴＴホワイトリストが変更されてもよい。

　（５）実施の形態１の変形例３では、Ｅｔｈｅｒｎｅｔスイッチが、ＭＡＣアドレスに対応付けられたホワイトリストを持つ。しかし、Ｅｔｈｅｒｎｅｔスイッチが、ＩＰアドレスに対応付けられたホワイトリストを持っていてもよい。

　また、実施の形態１の変形例３では、メッセージのＴＴＬがホワイトリストに適合しない場合、Ｅｔｈｅｒｎｅｔスイッチがホワイトリストの値を使ってメッセージを更新する。しかし、更新の態様は、実施の形態１の変形例３に示された例に限定されない。例えば、Ｅｔｈｅｒｎｅｔスイッチは、ＥＣＵごとに予め設定される特定の値に適合するメッセージのみ、ホワイトリストの値を使って更新してもよい。また、Ｅｔｈｅｒｎｅｔスイッチは、ＥＣＵごとに予め設定される特定の値をホワイトリストに別途保持してもよい。

　（６）上記の複数の実施の形態及び複数の変形例において、車載ネットワークはＥｔｈｅｒｎｅｔのネットワークであるが、車載ネットワークはＥｔｈｅｒｎｅｔのネットワークに限定されない。車載ネットワークは、ＣＡＮ、ＣＡＮ－ＦＤ、ＬＩＮ、又は、Ｆｌｅｘｒａｙであってもよいし、これらの全部又は一部が組み合わされたネットワークであってもよい。また、Ｅｔｈｅｒｎｅｔに対応するＩＥＥＥ８０２．３規格等に適合する有線ＬＡＮが用いられてもよい。

　また、上記の複数の実施の形態及び複数の変形例において、自動車に搭載される車載ネットワークにおけるサイバーセキュリティ対策が説明されている。本開示のサイバーセキュリティ対策の適用範囲は、自動車に搭載される車載ネットワークに限られない。本開示のサイバーセキュリティ対策は、建機、農機、船舶、鉄道、又は、飛行機などのモビリティに搭載されるモビリティネットワークに適用されてもよい。すなわち、モビリティネットワーク及びモビリティネットワークシステムにおいて本開示のサイバーセキュリティ対策は適用可能である。

　（７）上記の複数の実施の形態及び複数の変形例における各装置は、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ、ハードディスクユニット、ディスプレイユニット、キーボード及びマウスなどを備えるコンピュータシステムである。ＲＡＭ又はハードディスクユニットには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するための、コンピュータに対する指令を示す命令コードの複数の組み合わせで構成される。

　（８）上記の複数の実施の形態及び複数の変形例における各装置を構成する構成要素は、例えば、電気回路である。複数の構成要素は、全体として１つの電気回路に対応していてもよいし、それぞれ別々の複数の電気回路に対応していてもよい。また、これらの電気回路は、所定の動作を行うための専用のハードウェアに対応していてもよいし、所定の動作を行うためのコンピュータプログラム等を実行する汎用のハードウェアに対応していてもよい。

　また、情報を保持する構成要素はメモリであってもよいし、情報を処理する構成要素はプロセッサであってもよい。

　（９）上記の複数の実施の形態及び複数の変形例における各装置を構成する構成要素の一部又は全部は、１個のシステムＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）で構成されていてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、及び、ＲＡＭなどを含んで構成されるコンピュータシステムに対応する。ＲＡＭには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、システムＬＳＩは、その機能を達成する。

　また、上記の各装置を構成する構成要素の各部は、個別に１チップ化されていても良いし、一部又はすべてを含むように１チップ化されてもよい。

　また、ここでは、システムＬＳＩとしたが、集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ、又は、ウルトラＬＳＩと呼称される場合もある。また、集積回路は、ＬＳＩに限られず、専用回路又は汎用プロセッサで実現されてもよい。また、ＬＳＩ製造後にプログラミング可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）、又は、ＬＳＩ内部の回路セルの接続及び設定を再構成可能なリコンフィギュラブル・プロセッサが利用されても良い。

　さらには、半導体技術の進歩又は派生する別技術によりＬＳＩに置き換わる集積回路の技術が登場すれば、当然、その技術を用いて機能ブロックが集積化されてもよい。バイオ技術の適用等が可能性としてありえる。

　（１０）上記の各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なＩＣカード又は単体のモジュールで構成されていてもよい。ＩＣカード又はモジュールは、マイクロプロセッサ、ＲＯＭ及びＲＡＭなどを備えるコンピュータシステムで用いられる。ＩＣカード又はモジュールは、上記の超多機能ＬＳＩを含んでもよい。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、ＩＣカード又はモジュールは、その機能を達成する。このＩＣカード又はこのモジュールは、耐タンパ性を有してもよい。

　（１１）本開示は、上記の複数の実施の形態及び複数の変形例において示された方法として用いられてもよい。また、本開示は、これらの方法をコンピュータが実行するためのコンピュータプログラムとして用いられてもよいし、コンピュータプログラムで構成されるデジタル信号として用いられてもよい。

　また、本開示は、コンピュータプログラム又はデジタル信号が記録されたコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕ－ｒａｙ（登録商標）　Ｄｉｓｃ）、又は、半導体メモリなどに用いられてもよい。また、本開示は、これらの記録媒体に記録されているコンピュータプログラム又はデジタル信号に用いられてもよい。

　また、コンピュータプログラム又はデジタル信号は、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、又は、データ放送等を経由して伝送されてもよい。

　また、マイクロプロセッサとメモリとを備えるコンピュータシステムにおいて、メモリが、コンピュータプログラムを記録しており、マイクロプロセッサが、コンピュータプログラムに従って動作してもよい。

　また、コンピュータプログラム又はデジタル信号が、記録媒体に記録されて移送されることにより、あるいは、ネットワーク等を経由して移送されることにより、独立した他のコンピュータシステムにおいて用いられてもよい。

　（１２）上記の複数の実施の形態及び上記の複数の変形例が部分的又は全体的に組み合わされてもよい。例えば、特定の実施の形態の変形例が、他の実施の形態に適用されてもよい。

　（結び）
　以下に、上記の複数の実施の形態及び上記の複数の変形例等に示された基本的な構成及び代表的な変形例等を示す。これらは、部分的又は全体的に互いに組み合わされてもよいし、上記の実施の形態等の一部と組み合わされてもよい。また、以下に示されていない構成要素は、実装されなくてもよい。

　（１）例えば、本開示の一態様における通信装置（１００ａ、１００ｂ、１１０ａ、１２０ａ、１３０ａ、１４０ａ、１４０ｂ、１１１０ａ、１１２０ａ、１１４０ａ）は、モビリティネットワークに接続される。モビリティネットワークは、モビリティに搭載されるネットワークであり、複数の電子制御装置が通信に用いるネットワークである。

　通信装置（１００ａ、１００ｂ、１１０ａ、１２０ａ、１３０ａ、１４０ａ、１４０ｂ、１１１０ａ、１１２０ａ、１１４０ａ）は、保持部（１０５、１１５、１２５、１４５、１１１５、１１２５、１１４５）と、受信部（１０１、１２１、１１１１、１１２１）と、判定部（１０４、１１４、１３４、１４４、１１１４、１１４４）とを備える。

　保持部（１０５、１１５、１２５、１４５、１１１５、１１２５、１１４５）は、モビリティネットワーク上のメッセージに対して定められる転送可能な経路範囲を示す範囲情報を保持する。受信部（１０１、１２１、１１１１、１１２１）は、モビリティネットワーク上のメッセージを受信する。判定部（１０４、１１４、１３４、１４４、１１１４、１１４４）は、受信されたメッセージの正当性を、範囲情報を用いて判定する。

　これにより、通信装置（１００ａ、１００ｂ、１１０ａ、１２０ａ、１３０ａ、１４０ａ、１４０ｂ、１１１０ａ、１１２０ａ、１１４０ａ）は、モビリティネットワーク上のメッセージが想定の範囲を超えて転送されることを抑制することができ、データの流出を抑制することができる。

　（２）例えば、上記の通信装置（１００ａ、１００ｂ、１１０ａ、１２０ａ、１３０ａ、１４０ａ、１４０ｂ）において、範囲情報は、ＴＴＬ（Ｔｉｍｅ　Ｔｏ　Ｌｉｖｅ）の範囲を転送可能な経路範囲として示す。そして、判定部（１０４、１１４、１３４、１４４）は、受信されたメッセージの正当性を、受信されたメッセージに含まれるＴＴＬの値と、範囲情報によって示されるＴＴＬの範囲との比較により判定する。

　これにより、通信装置（１００ａ、１００ｂ、１１０ａ、１２０ａ、１３０ａ、１４０ａ、１４０ｂ）は、メッセージにＴＴＬの値が適切に設定されているか否かに従って、メッセージの正当性を判定することができる。したがって、通信装置（１００ａ、１００ｂ、１１０ａ、１２０ａ、１３０ａ、１４０ａ、１４０ｂ）は、メッセージが想定の範囲を超えて転送されることを抑制することができ、データの流出を抑制することができる。

　（３）例えば、上記の通信装置（１１１０ａ、１１２０ａ、１１４０ａ）において、範囲情報は、ＲＴＴ（Ｒｏｕｎｄ　Ｔｒｉｐ　Ｔｉｍｅ）の範囲を転送可能な経路範囲として示す。そして、判定部（１１１４、１１４４）は、受信されたメッセージの正当性を、受信されたメッセージに含まれる情報を用いて導出されるＲＴＴの値と、範囲情報によって示されるＲＴＴの範囲との比較により判定する。

　これにより、通信装置（１１１０ａ、１１２０ａ、１１４０ａ）は、メッセージに対するＲＴＴの値が適切な範囲であるか否かに従って、メッセージの正当性を判定することができる。したがって、通信装置（１１１０ａ、１１２０ａ、１１４０ａ）は、メッセージが想定の範囲を超えて転送されることを抑制することができ、データの流出を抑制することができる。

　（４）例えば、上記の通信装置（１００ａ、１００ｂ、１１０ａ、１２０ａ、１３０ａ、１４０ａ、１４０ｂ、１１１０ａ、１１２０ａ、１１４０ａ）において、範囲情報は、送信元又は送信先に応じて定められる転送可能な経路範囲を示す。これにより、通信装置（１００ａ、１００ｂ、１１０ａ、１２０ａ、１３０ａ、１４０ａ、１４０ｂ、１１１０ａ、１１２０ａ、１１４０ａ）は、送信元又は送信先に応じて定められる転送可能な経路範囲を示す範囲情報を用いて、メッセージの正当性を適切に判定することができる。

　（５）例えば、上記の通信装置（１００ａ、１００ｂ、１４０ａ、１４０ｂ）において、範囲情報は、送信元のＭＡＣアドレス、又は、送信先のＭＡＣアドレスに応じて定められる転送可能な経路範囲を示す。これにより、通信装置（１００ａ、１００ｂ、１４０ａ、１４０ｂ）は、例えばＭＡＣアドレスを用いてメッセージを転送するＬ２スイッチである場合でも、ＭＡＣアドレスに応じて定められる転送可能な経路範囲を示す範囲情報を用いて、メッセージの正当性を適切に判定することができる。

　（６）例えば、上記の通信装置（１１０ａ、１２０ａ、１３０ａ、１１１０ａ、１１２０ａ、１１４０ａ）において、範囲情報は、送信元のＩＰアドレス、又は、送信先のＩＰアドレスに応じて定められる転送可能な経路範囲を示す。これにより、通信装置（１１０ａ、１２０ａ、１３０ａ、１１１０ａ、１１２０ａ、１１４０ａ）は、例えばＩＰアドレスを用いてメッセージを転送するＬ３スイッチである場合でも、ＩＰアドレスに応じて定められる転送可能な経路範囲を示す範囲情報を用いて、メッセージの正当性を適切に判定することができる。

　（７）例えば、上記の通信装置（１４０ａ、１４０ｂ、１１４０ａ）において、範囲情報は、モビリティの状態に応じて定められる転送可能な経路範囲を示す。これにより、通信装置（１４０ａ、１４０ｂ、１１４０ａ）は、モビリティの状態の変化に応じて転送可能な経路範囲が変化する場合でも、モビリティの状態に応じて定められる転送可能な経路範囲を示す範囲情報を用いて、メッセージの正当性を適切に判定することができる。

　（８）例えば、上記の通信装置（１４０ａ、１４０ｂ、１１４０ａ）において、モビリティの状態は、モビリティが移動しているか停止しているかに関連する状態である。これにより、通信装置（１４０ａ、１４０ｂ、１１４０ａ）は、移動中における転送可能な経路範囲と停止中における転送可能な経路範囲とが異なる場合でも、各状態に応じて定められる転送可能な経路範囲を示す範囲情報を用いて、メッセージの正当性を適切に判定することができる。

　（９）例えば、上記の通信装置（１００ａ、１００ｂ、１１０ａ、１３０ａ、１４０ａ、１４０ｂ、１１１０ａ、１１４０ａ）において、範囲情報は、静的に予め定められた固定の範囲を転送可能な経路範囲として示す。これにより、通信装置（１００ａ、１００ｂ、１１０ａ、１３０ａ、１４０ａ、１４０ｂ、１１１０ａ、１１４０ａ）は、例えば静的な環境下において、静的に定められる範囲情報を用いて、メッセージの正当性を適切に判定することができる。

　（１０）例えば、上記の通信装置（１２０ａ、１１２０ａ）は、さらに、更新部（１２７、１１２７）を備える。更新部（１２７、１１２７）は、複数の電子制御装置の更新に応じて、範囲情報を動的に更新する。

　これにより、通信装置（１２０ａ、１１２０ａ）は、例えば電子制御装置の追加又は削除に対応する物理的な変更等に伴って、範囲情報を更新することができ、更新された範囲情報を用いて、メッセージの正当性を適切に判定することができる。すなわち、通信装置（１２０ａ、１１２０ａ）は、より柔軟に定められる範囲情報を用いて、メッセージの正当性を適切に判定することができる。

　（１１）例えば、上記の通信装置（１２０ａ、１１２０ａ）において、更新部（１２７、１１２７）は、複数の電子制御装置の属性情報の更新に応じて、範囲情報を動的に更新する。

　これにより、通信装置（１２０ａ、１１２０ａ）は、例えば電子制御装置のＩＰアドレスなどに対応する属性情報が動的に変更される環境下においても、動的に定められる範囲情報を用いて、メッセージの正当性を適切に判定することができる。

　（１２）例えば、上記の通信装置（１２０ａ、１１２０ａ）において、属性情報は、ＳＯＭＥ／ＩＰ（Ｓｃａｌａｂｌｅ　ｓｅｒｖｉｃｅ－Ｏｒｉｅｎｔｅｄ　ＭｉｄｄｌｅｗａｒＥ　ｏｖｅｒ　ＩＰ）プロトコルを用いて更新される。

　これにより、通信装置（１２０ａ、１１２０ａ）は、ＳＯＭＥ／ＩＰに基づくファームウェアのアップデートなどにより電子制御装置の属性情報が動的に変更される環境下においても、動的に定められる範囲情報を用いて、メッセージの正当性を適切に判定することができる。

　（１３）例えば、通信装置（１００ａ、１００ｂ、１１０ａ、１２０ａ、１３０ａ、１４０ａ、１４０ｂ、１１１０ａ、１１２０ａ、１１４０ａ）は、さらに、処理部（１０２、１０６、１３２）を備える。処理部（１０２、１０６、１３２）は、受信されたメッセージの正当性の判定結果に基づいて、所定のアクションを実施する。

　これにより、通信装置（１００ａ、１００ｂ、１１０ａ、１２０ａ、１３０ａ、１４０ａ、１４０ｂ、１１１０ａ、１１２０ａ、１１４０ａ）は、判定結果に基づいて、適切な処理を実施することができ、モビリティネットワークのシステム全体の安全性を高めることができる。

　（１４）例えば、上記の通信装置（１００ａ、１００ｂ、１１０ａ、１２０ａ、１４０ａ、１４０ｂ、１１１０ａ、１１２０ａ、１１４０ａ）において、処理部（１０２）は、判定結果に基づいて、受信されたメッセージの転送可否を制御する。

　これにより、通信装置（１００ａ、１００ｂ、１１０ａ、１２０ａ、１４０ａ、１４０ｂ、１１１０ａ、１１２０ａ、１１４０ａ）は、メッセージの転送可否を適切に制御することができ、モビリティネットワークのシステム全体の安全性を高めることができる。

　（１５）例えば、通信装置（１００ａ、１００ｂ、１１０ａ、１２０ａ、１３０ａ、１４０ａ、１４０ｂ、１１１０ａ、１１２０ａ、１１４０ａ）において、処理部（１０２、１０６、１３２）は、判定結果を記録する。

　これにより、通信装置（１００ａ、１００ｂ、１１０ａ、１２０ａ、１３０ａ、１４０ａ、１４０ｂ、１１１０ａ、１１２０ａ、１１４０ａ）は、後で判定結果の分析を可能にすることができる。そして、通信装置（１００ａ、１００ｂ、１１０ａ、１２０ａ、１３０ａ、１４０ａ、１４０ｂ、１１１０ａ、１１２０ａ、１１４０ａ）は、範囲情報によって示される転送可能な経路範囲の適切な更新を可能にすることができる。

　（１６）例えば、通信装置（１００ａ、１００ｂ、１１０ａ、１２０ａ、１３０ａ、１４０ａ、１４０ｂ、１１１０ａ、１１２０ａ、１１４０ａ）において、処理部（１０２、１０６、１３２）は、受信されたメッセージの送信元に対して、判定結果を通知する。これにより、通信装置（１００ａ、１００ｂ、１１０ａ、１２０ａ、１３０ａ、１４０ａ、１４０ｂ、１１１０ａ、１１２０ａ、１１４０ａ）は、適切なメッセージを送信するよう送信元を誘導することができる。

　（１７）例えば、通信装置（１３０ａ）は、さらに、処理部（１３２）を備える。処理部（１３２）は、受信されたメッセージが正当でないと判定された場合、受信されたメッセージに含まれるＴＴＬの値を範囲情報によって示されるＴＴＬの範囲内に更新することにより、受信されたメッセージを更新し、更新されたメッセージを転送する。これにより、送信元がメッセージに適切なＴＴＬの値を設定することが難しい環境下において、通信装置（１３０ａ）がメッセージに適切なＴＴＬの値を設定することができる。

　（１８）例えば、本開示の一態様における通信方法は、モビリティネットワーク上の通信方法である。モビリティネットワークは、モビリティに搭載されるネットワークであり、複数の電子制御装置が通信に用いるネットワークである。

　通信方法は、受信ステップ（Ｓ１００１）と、判定ステップ（Ｓ１００５、Ｓ１１０５、Ｓ１４０５、Ｓ１５０５、Ｓ２００５、Ｓ２４０５）とを含む。受信ステップ（Ｓ１００１）では、モビリティネットワーク上のメッセージが受信される。判定ステップ（Ｓ１００５、Ｓ１１０５、Ｓ１４０５、Ｓ１５０５、Ｓ２００５、Ｓ２４０５）では、受信されたメッセージの正当性を、モビリティネットワーク上のメッセージに対して定められる転送可能な経路範囲を示す範囲情報を用いて判定する。

　これにより、モビリティネットワーク上のメッセージが想定の範囲を超えて転送されることが抑制され得る。したがって、データの流出が抑制され得る。

　（１９）例えば、本開示の一態様に係る通信システム（１０、４０）は、モビリティネットワークの通信システム（１０、４０）である。モビリティネットワークは、モビリティに搭載されるネットワークであり、複数の電子制御装置が通信に用いるネットワークである。通信システム（１０、４０）は、保持部（１０５、１１５、１２５、１４５、１１１５、１１２５、１１４５）と、受信部（１０１、１２１、１１１１、１１２１）と、判定部（１０４、１１４、１３４、１４４、１１１４、１１４４）とを備える。

　保持部（１０５、１１５、１２５、１４５、１１１５、１１２５、１１４５）は、モビリティネットワーク上のメッセージに対して定められる転送可能な経路範囲を示す範囲情報を保持する。受信部（１０１、１２１、１１１１、１１２１）は、モビリティネットワーク上のメッセージを受信する。判定部（１０４、１１４、１３４、１４４、１１１４、１１４４）は、受信されたメッセージの正当性を、範囲情報を用いて判定する。

　これにより、通信システム（１０、４０）は、モビリティネットワーク上のメッセージが想定の範囲を超えて転送されることを抑制することができ、データの流出を抑制すことができる。

　（２０）例えば、上記の通信装置（１００ａ、１００ｂ、１１０ａ、１２０ａ、１３０ａ、１４０ａ、１４０ｂ、１１１０ａ、１１２０ａ、１１４０ａ）は、Ｅｔｈｅｒｎｅｔスイッチ１００ａ、１００ｂ、１１０ａ、１２０ａ、１３０ａ、１４０ａ、１４０ｂ、１１１０ａ、１１２０ａ及び１１４０ａ等に対応する。上記の通信システム（１０、４０）は、車載ネットワークシステム１０及び４０等に対応する。

　上記の保持部（１０５、１１５、１２５、１４５、１１１５、１１２５、１１４５）は、ホワイトリスト保持部１０５、１１５、１２５、１４５、１１１５、１１２５及び１１４５等に対応する。上記の受信部（１０１、１２１、１１１１、１１２１）は、通信部１０１、１２１、１１１１及び１１２１等に対応する。上記の判定部（１０４、１１４、１３４、１４４、１１１４、１１４４）は、ホワイトリスト判定部１０４、１１４、１３４、１４４、１１１４及び１１４４等に対応する。上記の更新部（１２７、１１２７）は、ホワイトリスト作成部１２７及び１１２７等に対応する。上記の処理部（１０２、１０６、１３２）は、転送処理部１０２及び１３２、並びに、エラーメッセージ送信部１０６等に対応する。

　本開示の一態様に係る通信装置等は、モビリティネットワーク上のメッセージの正当性を判定する通信装置等として利用可能であり、モビリティネットワークを利用する様々なシステムに適用可能である。

　１０、４０　車載ネットワークシステム
　１００ａ、１００ｂ、１１０ａ、１２０ａ、１３０ａ、１４０ａ、１４０ｂ、１１１０ａ、１１２０ａ、１１４０ａ　Ｅｔｈｅｒｎｅｔスイッチ
　１０１、１２１、２０１、３０１、４０１、１１１１、１１２１　通信部
　１０２、１３２、４０２　転送処理部
　１０３、１１３、１２３、４０３　転送テーブル保持部
　１０４、１１４、１３４、１４４、１１１４、１１４４　ホワイトリスト判定部
　１０５、１１５、１２５、１４５、１１１５、１１２５、１１４５　ホワイトリスト保持部
　１０６、４０４　エラーメッセージ送信部
　１２７、１１２７　ホワイトリスト作成部
　２００　ＩＶＩ
　２０２、３０２、５０２　メッセージ処理部
　２０３　表示部
　２０４　操作部
　３００ａ、３００ｂ、３００ｃ、３００ｄ、３００ｅ　ＥＣＵ
　３０３　センサ通信部
　３１０　前方距離センサ
　３２０　前方カメラ
　３３０　ＡＤＡＳ
　３４０　後方距離センサ
　３５０　後方カメラ
　３６０　低電力ＧＰＳ
　４００　ＣＧＷ
　５００　ＴＣＵ
　５０１　車内通信部
　５０３　車外通信部
　６００　基地局
　１１０８　ＲＴＴ取得部

Claims (19)

1. 　モビリティに搭載されるネットワークであり、複数の電子制御装置が通信に用いるネットワークであるモビリティネットワークに接続される通信装置であって、
   　前記モビリティネットワーク上のメッセージに対して定められる転送可能な経路範囲を示す範囲情報を保持する保持部と、
   　前記モビリティネットワーク上の前記メッセージを受信する受信部と、
   　受信された前記メッセージの正当性を、前記範囲情報を用いて判定する判定部とを備える
   　通信装置。
2. 　前記範囲情報は、ＴＴＬ（Ｔｉｍｅ　Ｔｏ　Ｌｉｖｅ）の範囲を前記転送可能な経路範囲として示し、
   　前記判定部は、受信された前記メッセージの正当性を、受信された前記メッセージに含まれるＴＴＬの値と、前記範囲情報によって示されるＴＴＬの範囲との比較により判定する
   　請求項１に記載の通信装置。
3. 　前記範囲情報は、ＲＴＴ（Ｒｏｕｎｄ　Ｔｒｉｐ　Ｔｉｍｅ）の範囲を前記転送可能な経路範囲として示し、
   　前記判定部は、受信された前記メッセージの正当性を、受信された前記メッセージに含まれる情報を用いて導出されるＲＴＴの値と、前記範囲情報によって示されるＲＴＴの範囲との比較により判定する
   　請求項１に記載の通信装置。
4. 　前記範囲情報は、送信元又は送信先に応じて定められる前記転送可能な経路範囲を示す
   　請求項１～３のいずれか１項に記載の通信装置。
5. 　前記範囲情報は、前記送信元のＭＡＣアドレス、又は、前記送信先のＭＡＣアドレスに応じて定められる前記転送可能な経路範囲を示す
   　請求項４に記載の通信装置。
6. 　前記範囲情報は、前記送信元のＩＰアドレス、又は、前記送信先のＩＰアドレスに応じて定められる前記転送可能な経路範囲を示す
   　請求項４に記載の通信装置。
7. 　前記範囲情報は、前記モビリティの状態に応じて定められる前記転送可能な経路範囲を示す
   　請求項１～６のいずれか１項に記載の通信装置。
8. 　前記モビリティの状態は、前記モビリティが移動しているか停止しているかに関連する状態である
   　請求項７に記載の通信装置。
9. 　前記範囲情報は、静的に予め定められた固定の範囲を前記転送可能な経路範囲として示す
   　請求項１～８のいずれか１項に記載の通信装置。
10. 　前記通信装置は、さらに、前記複数の電子制御装置の更新に応じて、前記範囲情報を動的に更新する更新部を備える
    　請求項１～８のいずれか１項に記載の通信装置。
11. 　前記更新部は、前記複数の電子制御装置の属性情報の更新に応じて、前記範囲情報を動的に更新する
    　請求項１０に記載の通信装置。
12. 　前記属性情報は、ＳＯＭＥ／ＩＰ（Ｓｃａｌａｂｌｅ　ｓｅｒｖｉｃｅ－Ｏｒｉｅｎｔｅｄ　ＭｉｄｄｌｅｗａｒＥ　ｏｖｅｒ　ＩＰ）プロトコルを用いて更新される
    　請求項１１に記載の通信装置。
13. 　前記通信装置は、さらに、受信された前記メッセージの正当性の判定結果に基づいて、所定のアクションを実施する処理部を備える
    　請求項１～１２のいずれか１項に記載の通信装置。
14. 　前記処理部は、前記判定結果に基づいて、受信された前記メッセージの転送可否を制御する
    　請求項１３に記載の通信装置。
15. 　前記処理部は、前記判定結果を記録する
    　請求項１３又は１４に記載の通信装置。
16. 　前記処理部は、受信された前記メッセージの送信元に対して、前記判定結果を通知する
    　請求項１３～１５のいずれか１項に記載の通信装置。
17. 　前記通信装置は、さらに、受信された前記メッセージが正当でないと判定された場合、受信された前記メッセージに含まれるＴＴＬの値を前記範囲情報によって示されるＴＴＬの範囲内に更新することにより、受信された前記メッセージを更新し、更新された前記メッセージを転送する処理部を備える
    　請求項２に記載の通信装置。
18. 　モビリティに搭載されるネットワークであり、複数の電子制御装置が通信に用いるネットワークであるモビリティネットワーク上の通信方法であって、
    　前記モビリティネットワーク上のメッセージを受信する受信ステップと、
    　受信された前記メッセージの正当性を、前記モビリティネットワーク上の前記メッセージに対して定められる転送可能な経路範囲を示す範囲情報を用いて判定する判定ステップとを含む
    　通信方法。
19. 　モビリティに搭載されるネットワークであり、複数の電子制御装置が通信に用いるネットワークであるモビリティネットワークの通信システムであって、
    　前記モビリティネットワーク上のメッセージに対して定められる転送可能な経路範囲を示す範囲情報を保持する保持部と、
    　前記モビリティネットワーク上の前記メッセージを受信する受信部と、
    　受信された前記メッセージの正当性を、前記範囲情報を用いて判定する判定部とを備える
    　通信システム。

Images