JP5413225B2 - Program, in-vehicle device, and information processing device - Google Patents

Program, in-vehicle device, and information processing device Download PDF

Info

Publication number
JP5413225B2
JP5413225B2 JP2010023805A JP2010023805A JP5413225B2 JP 5413225 B2 JP5413225 B2 JP 5413225B2 JP 2010023805 A JP2010023805 A JP 2010023805A JP 2010023805 A JP2010023805 A JP 2010023805A JP 5413225 B2 JP5413225 B2 JP 5413225B2
Authority
JP
Japan
Prior art keywords
information
authentication
vehicle
notification
vehicle device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010023805A
Other languages
Japanese (ja)
Other versions
JP2011164729A (en
Inventor
洋輝 林
和彦 志手
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2010023805A priority Critical patent/JP5413225B2/en
Publication of JP2011164729A publication Critical patent/JP2011164729A/en
Application granted granted Critical
Publication of JP5413225B2 publication Critical patent/JP5413225B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Description

本発明は認証用情報の生成に関する。   The present invention relates to generation of authentication information.

多くのサービスにおいて、識別情報とパスワードの組み合わせによる認証が行われている。サービスを提供するシステムによって、パスワードが文字列で表されることもあるし、図形や画像などの文字以外の要素を利用したパスワードが使われることもある。   In many services, authentication is performed by a combination of identification information and a password. Depending on the system that provides the service, the password may be represented as a character string, or a password that uses elements other than characters such as graphics and images may be used.

例えば、あるパスワード方式は、グリッド表示されるディスプレイと、このディスプレイ上に表示された任意のグリッドを位置座標として入力する位置入力手段と、この位置入力手段により入力されたグリッド座標を基準点として記憶する基準位置記憶部を備える。   For example, in a certain password method, a grid-displayed display, a position input means for inputting an arbitrary grid displayed on the display as position coordinates, and the grid coordinates input by the position input means are stored as reference points. A reference position storage unit is provided.

また、当該パスワード方式は、基準点とされたグリッド座標が入力された後に位置入力手段より入力されたグリッド座標の、基準位置記憶部に記憶された基準点に対する相対座標を計算する相対位置計算部を備える。そして、当該パスワード方式は、この相対位置計算部により計算された相対座標を、位置入力手段により入力されたグリッド座標の入力順序にしたがって、順序列として記憶する読みとり図形一時記憶部を備える。   In addition, the password method includes a relative position calculation unit that calculates a relative coordinate of a grid coordinate input from the position input unit with respect to the reference point stored in the reference position storage unit after the grid coordinate set as the reference point is input Is provided. The password method includes a read figure temporary storage unit that stores the relative coordinates calculated by the relative position calculation unit as an order string according to the input order of the grid coordinates input by the position input unit.

さらに、当該パスワード方式は、ディスプレイ上に表示されたグリッドの1つを基準点として、この基準点に対するグリッドの相対座標の順序列を予め記憶しておく図形パスワード登録部も備える。そして、当該パスワード方式は、この図形パスワード登録部に記憶された相対座標の順序列と、読みとり図形一時記憶部に記憶された相対座標の順序列とが一致するか否かを判定する照合検索部を備える。   Further, the password method also includes a graphic password registration unit that stores in advance a sequence of relative coordinates of the grid with respect to the reference point with one of the grids displayed on the display as a reference point. The password method includes a collation search unit that determines whether or not the relative coordinate order sequence stored in the graphic password registration unit matches the relative coordinate order sequence stored in the read graphic temporary storage unit. Is provided.

また、ある個人認証システムでは、情報処理システムの使用者が身近な空間をモデル化した格子状の場面に、その身近な空間内に存在するような物体をモデル化した複数の図柄イメージを格子に沿って配置し、その配置の組み合わせ情報を暗証データとする。   Also, in a personal authentication system, a grid-like scene where a user of an information processing system models a familiar space, and a plurality of design images that model objects that exist in the familiar space are used as a grid. The combination information of the arrangement is used as the password data.

そして、パスワード入力操作を簡素化し、誤操作を防ぐための個人認証方法も提案されている。当該個人認証方法では、情報処理システムの使用者の個人認証を行うために、表示装置の表示画面に表示された複数のイメージの中で、使用者に割り当てられた複数のイメージを選択し、選択された複数のイメージが正規か否かを判定することにより個人認証を行う。   A personal authentication method for simplifying password input operations and preventing erroneous operations has also been proposed. In the personal authentication method, in order to perform personal authentication of the user of the information processing system, a plurality of images assigned to the user are selected and selected from a plurality of images displayed on the display screen of the display device. The personal authentication is performed by determining whether or not the plurality of images obtained are authentic.

具体的には、当該個人認証方法では、複数のイメージが複数のグループに分けられ、複数のグループごとに1つのイメージを選択するためのGraphical User Interface(GUI)が表示画面に表示される。そして、GUIにより選択された複数のイメージの組み合わせがパスワードを示す文字列に変換され、正規か否かが判定される。   Specifically, in the personal authentication method, a plurality of images are divided into a plurality of groups, and a graphical user interface (GUI) for selecting one image for each of the plurality of groups is displayed on the display screen. Then, a combination of a plurality of images selected by the GUI is converted into a character string indicating a password, and it is determined whether or not it is authentic.

また、利用者に複数の表示画像の所定部分を順次指定させ、当該表示画像に対する指定情報を認証用のパスワードとして入力するパスワード入力装置も知られている。当該パスワード入力装置において、画像表示制御部は、利用者によってパスワード入力用の画像として予め選択された標準画像および当該標準画像のように見せかけたダミー画像をタッチパネル部に表示するように制御する。そして、パスワード入力制御部は、標準画像に対する指定情報を認証用のパスワードとして入力し、ダミー画像に対する指定情報を認証用のパスワードとして入力しないように制御する。   There is also known a password input device that allows a user to sequentially specify predetermined portions of a plurality of display images, and inputs specification information for the display images as an authentication password. In the password input device, the image display control unit controls the touch panel unit to display a standard image preselected as a password input image by the user and a dummy image that looks like the standard image. Then, the password input control unit controls the designation information for the standard image as an authentication password, and does not input the designation information for the dummy image as an authentication password.

以上のように、認証技術に関する観点の1つとして、パスワードを表すのに図形や画像などの文字以外の要素を利用するか否かという点が挙げられる。また、別の観点としては、パスワードを安全に送信する方法が挙げられる。   As described above, one of the viewpoints related to the authentication technique is whether or not an element other than characters such as a figure or an image is used to represent a password. Another aspect is a method for securely transmitting a password.

例えば、セキュリティを高めることを目的としたある通信システムにおいては、第1送受信者と第2送受信者との間が、物理的に離間された第1回線および第2回線で接続される。そして、第1送受信者が乱数を発生して第1回線を用いて第2送受信者に送信し、乱数を受信した第2送受信者は、乱数に対して秘密情報を加工し、第2回線を用いて第1送受信者に秘密情報の加工情報を送信する。すると、第1送受信者は、乱数を基に加工情報を解読する。   For example, in a communication system aimed at increasing security, a first transmitter / receiver and a second transmitter / receiver are connected by a physically separated first line and second line. Then, the first transmitter / receiver generates a random number and transmits it to the second transmitter / receiver using the first line. The second transmitter / receiver that receives the random number processes the secret information for the random number, The processing information of the secret information is transmitted to the first sender / receiver. Then, the first sender / receiver decrypts the processing information based on the random number.

特開昭60−171560号公報JP 60-171560 A 特開2003−345757号公報JP 2003-345757 A 特開2001−282738号公報JP 2001-282737 A 国際公開WO03/079204号公報International Publication WO 03/079204 特開2002−92499号公報JP 2002-92499 A

ところで、近年の情報化社会の進展にともなって、認証をともなうサービスの車載装置を介した提供も広まってゆくと予想される。そして、車載装置を介したサービスの提供において行われる認証では、車載装置ならではの特性が考慮されることが好ましい。   By the way, with the progress of the information society in recent years, provision of services with authentication via in-vehicle devices is expected to spread. In the authentication performed in providing the service via the in-vehicle device, it is preferable to consider characteristics unique to the in-vehicle device.

例えば、車載装置を介したサービスの提供においては、認証にかかる時間は短いことが好ましい。また、車載装置を介したサービスは無線通信を利用して提供されるので、セキュリティ強化の対策を取ることが好ましい。   For example, in providing a service via an in-vehicle device, it is preferable that the time required for authentication is short. In addition, since the service via the in-vehicle device is provided using wireless communication, it is preferable to take measures to enhance security.

そこで本発明は、車載装置に好適な認証用情報の生成技術を提供することを目的とする。   Therefore, an object of the present invention is to provide a technique for generating authentication information suitable for an in-vehicle device.

一態様によるプログラムは、コンピュータに、第1の記憶ステップ、第1の生成ステップ、第1の送信ステップ、第2の生成ステップ、第2の送信ステップ、受信ステップ、および第2の記憶ステップを実行させる。   A program according to one aspect executes a first storage step, a first generation step, a first transmission step, a second generation step, a second transmission step, a reception step, and a second storage step in a computer. Let

前記第1の記憶ステップは、ユーザからの入力から得られる第1の情報を記憶するステップである。また、前記第1の生成ステップは、前記第1の情報と、予め記憶装置に記憶されている第2の情報とを用いて、認証用の第3の情報を生成するステップである。そして、前記第1の送信ステップは、無線通信により前記第3の情報を送信するステップである。   The first storing step is a step of storing first information obtained from an input from a user. The first generation step is a step of generating third information for authentication using the first information and the second information stored in the storage device in advance. The first transmission step is a step of transmitting the third information by wireless communication.

また、前記第2の生成ステップは、前記第2の情報の更新を要求する更新要求を生成するステップであり、前記第2の送信ステップは、前記コンピュータを搭載した車両の状態に基づいたタイミングで前記無線通信により前記更新要求を送信するステップである。   The second generation step is a step of generating an update request for requesting an update of the second information, and the second transmission step is a timing based on a state of a vehicle on which the computer is mounted. It is a step of transmitting the update request by the wireless communication.

そして、前記受信ステップは、前記更新要求に応じて前記無線通信により送信される新たな第2の情報を受信するステップであり、前記第2の記憶ステップは、受信した前記新たな第2の情報を前記記憶装置に記憶するステップである。   The receiving step is a step of receiving new second information transmitted by the wireless communication in response to the update request, and the second storing step is the received new second information. Is stored in the storage device.

上記のプログラムによれば、コンピュータは、第2の記憶ステップで記憶した新たな第2の情報を、再び上記プログラムを実行するときの第1の生成ステップにおいて用いることができる。よって、上記プログラムは、第2の情報の事前の取得を可能とすることで1回の認証にかかる時間を短縮する効果がある。つまり、上記プログラムによれば、第1の情報を得るためのユーザからの入力が行われてから認証が終わるまでにかかる時間が、認証用の第3の情報を生成する直前に第2の情報を取得する場合と比較して、第2の情報の取得にかかる時間の分、短縮される。   According to the program, the computer can use the new second information stored in the second storage step in the first generation step when the program is executed again. Therefore, the program has an effect of shortening the time required for one authentication by making it possible to obtain the second information in advance. That is, according to the above program, the time taken from the input from the user for obtaining the first information to the end of the authentication is the second information immediately before generating the third information for authentication. Compared with the case where the second information is acquired, the time required for acquiring the second information is shortened.

また、上記のプログラムによれば、上記のプログラムをコンピュータが再度実行する際には、新たな第2の情報を用いて認証用の第3の情報が生成されるので、生成される第3の情報の内容も異なる。よって、上記のプログラムによれば、いつも同じ内容の第3の情報を送信する場合と比べて高いセキュリティが実現される。   Also, according to the above program, when the computer executes the above program again, the third information for authentication is generated using the new second information. The content of the information is also different. Therefore, according to said program, high security is implement | achieved compared with the case where the 3rd information of the same content is always transmitted.

したがって、上記のプログラムによれば、車載装置に好適な仕方で認証情報の生成が行われる。   Therefore, according to the above program, the authentication information is generated in a manner suitable for the in-vehicle device.

車載装置の構成図である。It is a block diagram of a vehicle-mounted apparatus. システム構成図である。It is a system configuration diagram. システムが適用される環境の例を示す図である。It is a figure which shows the example of the environment where a system is applied. 第1実施形態における車載装置の動作のフローチャートである。It is a flowchart of operation | movement of the vehicle-mounted apparatus in 1st Embodiment. 第1実施形態において、認証サーバが車載装置から情報を受信したときの処理のフローチャートである。In 1st Embodiment, it is a flowchart of a process when an authentication server receives information from a vehicle-mounted apparatus. 乱数とエリアの対応づけの例を示す図(その1)である。It is FIG. (1) which shows the example of matching of a random number and an area. 乱数とエリアの対応づけの例を示す図(その2)である。It is FIG. (2) which shows the example of matching of a random number and an area. フレームの例を説明する図(その1)である。FIG. 6 is a diagram (part 1) illustrating an example of a frame. フレームの例を説明する図(その2)である。It is FIG. (2) explaining the example of a frame. 第2実施形態における車載装置の動作のフローチャートである。It is a flowchart of operation | movement of the vehicle-mounted apparatus in 2nd Embodiment. 第2実施形態で認証に成功する場合のタイミングチャートの例である。It is an example of a timing chart in case authentication succeeds in a 2nd embodiment. 第3実施形態における車載装置の動作のフローチャートである。It is a flowchart of operation | movement of the vehicle-mounted apparatus in 3rd Embodiment. 第3実施形態において、認証サーバが車載装置から情報を受信したときの処理のフローチャートである。In 3rd Embodiment, it is a flowchart of a process when an authentication server receives information from a vehicle-mounted apparatus. コンピュータの構成図である。It is a block diagram of a computer.

以下、実施形態について、図面を参照しながら詳細に説明する。説明の順序は次のとおりである。
まず、第1〜3実施形態の共通点について図1〜3を参照して説明する。次に、図4〜5を参照して第1実施形態における装置の動作について説明し、図6〜8Bを参照して第1実施形態で使われる情報の具体例を説明する。なお、図示の都合上、図8Bには一部、第2〜3実施形態で使われる情報も含まれる。 Hereinafter, embodiments will be described in detail with reference to the drawings. The order of explanation is as follows.
First, common points of the first to third embodiments will be described with reference to FIGS. Next, the operation of the apparatus in the first embodiment will be described with reference to FIGS. 4 to 5, and specific examples of information used in the first embodiment will be described with reference to FIGS. 6 to 8B. For convenience of illustration, FIG. 8B partially includes information used in the second to third embodiments.

その後、第1実施形態との違いを中心に、図9〜10を参照して第2実施形態について説明し、図11〜12を参照して第3実施形態について説明する。なお、第1実施形態と同様の点については説明を適宜省略する。最後に、第1〜3実施形態に関連するコンピュータのハードウェア構成について図13を参照して説明し、第1〜3実施形態に関するいくつかの変形例についても説明する。   Then, focusing on differences from the first embodiment, the second embodiment will be described with reference to FIGS. 9 to 10, and the third embodiment will be described with reference to FIGS. Note that description of the same points as in the first embodiment will be omitted as appropriate. Finally, the hardware configuration of the computer related to the first to third embodiments will be described with reference to FIG. 13, and some modified examples related to the first to third embodiments will also be described.

さて、図1は車載装置の構成図である。図1の車載装置100は、自動車に搭載され、例えば何らかのサービスを受けるにあたっての認証のために用いられる端末装置である。車載装置100は、認証用情報を送信し、認証に成功したか否かの結果を受信する。以下ではまず車載装置100の用途と動作の概要を説明し、その後で図1を参照しながら車載装置100の具体的な構成を説明する。   FIG. 1 is a configuration diagram of the in-vehicle device. The in-vehicle device 100 in FIG. 1 is a terminal device that is mounted on a car and used for authentication when receiving some service, for example. The in-vehicle device 100 transmits authentication information and receives a result indicating whether or not the authentication is successful. Below, the outline | summary of the use and operation | movement of the vehicle-mounted apparatus 100 is demonstrated first, and the specific structure of the vehicle-mounted apparatus 100 is demonstrated referring FIG. 1 after that.

近年ではElectronic Toll Collection(ETC)システムやVehicle Information and Communication System(VICS)など、Intelligent Transport System(ITS)サービスの普及が進みつつある。今後も、各種のITSサービスの利用が広まってゆくと予想され、サービスの種類によってはユーザ認証をともなう。   In recent years, Intelligent Transport System (ITS) services such as Electronic Toll Collection (ETC) system and Vehicle Information and Communication System (VICS) have been spreading. In the future, the use of various ITS services is expected to become widespread, and some types of services are accompanied by user authentication.

車載装置100は、ITSサービスにおけるユーザ認証に使われる。例えば、警察車両などの緊急車両に対して進路上の信号機を青に設定するサービスや、カーシェアリングにおける課金のために、車載装置100を介したユーザ認証が利用可能である。   The in-vehicle device 100 is used for user authentication in the ITS service. For example, user authentication via the in-vehicle device 100 can be used for a service for setting a traffic light on a route to blue for an emergency vehicle such as a police vehicle or for charging in car sharing.

ところで、コンピュータシステムにおけるユーザ認証では、キーボードやテンキーなどから入力される文字によるユーザ名とパスワードの組み合わせが使われることが多い。しかし、ユーザの入力の手間と時間を削減するために、図形的な情報(換言すれば空間的な情報)を利用したパスワードが使われることもある。図形的な情報としては、例えばユーザの手書き署名などが利用可能である。   By the way, in user authentication in a computer system, a combination of a user name and a password using characters input from a keyboard or a numeric keypad is often used. However, a password using graphical information (in other words, spatial information) may be used in order to reduce user input and time. As the graphical information, for example, a user's handwritten signature can be used.

一般に、セキュリティを高めるためには、他者に類推されにくいパスワードを利用することが有効だが、文字によるパスワードでは、他者に類推されにくいパスワードは得てしてユーザ本人も記憶しにくく、忘れやすい。それに対して、図形的な情報を利用したパスワードは、ユーザ本人にとって覚えやすく、他者には真似しにくい。また、図形的な情報は、例えばタッチスクリーンを介して簡便に入力することができる。   In general, in order to increase security, it is effective to use a password that is difficult to guess by others. However, a password that is difficult to guess by other people is difficult to remember because the password is difficult to guess by others. On the other hand, passwords using graphical information are easy for the user to remember and difficult to imitate others. Further, the graphical information can be easily input through, for example, a touch screen.

そして、ITSサービスの受益者たるユーザは、車両の運転者でもあるので、車両の運転以外の操作であるパスワード入力操作などは、なるべく簡便に済ませられることが好ましい。よって、入力の簡便性とパスワードの安全性を両立させるため、車載装置100では、図形的な情報を利用したパスワードが利用される。   Since the user who is the beneficiary of the ITS service is also the driver of the vehicle, it is preferable that the password input operation, which is an operation other than the driving of the vehicle, be as simple as possible. Therefore, in order to achieve both ease of input and password security, the in-vehicle device 100 uses a password using graphical information.

なお、車載装置100には予め一意なIDentification(ID)が割り当てられている。以下では当該IDを「車載装置ID」という。そして、第1〜3実施形態では、車載装置IDが認証対象のアカウントの識別に用いられる。また、車載装置100が送信する上記「認証用情報」とは、図形的な情報を利用したパスワードに対応する情報であって、パスワードを加工することで得られる。   Note that a unique IDentification (ID) is assigned to the in-vehicle device 100 in advance. Hereinafter, the ID is referred to as “vehicle-mounted device ID”. In the first to third embodiments, the in-vehicle device ID is used for identifying an account to be authenticated. The “authentication information” transmitted by the in-vehicle device 100 is information corresponding to a password using graphical information, and is obtained by processing the password.

また、車載装置100と他の装置(具体的には路側機)との間の通信は、当然ながら無線通信により行われる。そして、無線通信は傍受可能なので、車載装置100を介したユーザ認証のためには、セキュリティ向上のための工夫を行うことが望ましい。具体的には、ワンタイム・パスワードのように認証のたびに異なる情報を用いる手法が、リプレイ攻撃によるなりすましの防止に役立ち、高いセキュリティ実現のために有効である。   In addition, communication between the in-vehicle device 100 and another device (specifically, a roadside device) is naturally performed by wireless communication. And since radio | wireless communication is interceptable, it is desirable to devise for the security improvement for the user authentication via the vehicle-mounted apparatus 100. FIG. Specifically, a technique that uses different information for each authentication, such as a one-time password, is useful for preventing spoofing due to a replay attack and effective for realizing high security.

そこで、車載装置100は、認証のたびに異なる認証用情報を生成することで高いセキュリティを実現する。具体的には、車載装置100は、認証用情報の生成のたびに異なる情報(以下、説明の便宜上「鍵情報」という)を用いて認証用情報を生成することで、認証のたびに異なる認証用情報が使われるようにする。   Therefore, the in-vehicle device 100 realizes high security by generating different authentication information for each authentication. Specifically, the in-vehicle device 100 generates authentication information using different information (hereinafter referred to as “key information” for convenience of explanation) each time the authentication information is generated, so that different authentication is performed for each authentication. Make sure that information is used.

ところで、認証用情報の生成のたびに異なる鍵情報を用いるには、2つの方法が考えられる。1つ目の方法は、チャレンジ・レスポンス方式でのワンタイム・パスワードの生成と同様に、認証を行う装置(以下「認証サーバ」という)から車載装置100が認証のたびに新たな鍵情報を取得する方法である。そして、2つ目の方法は、タイム・シンクロナス方式でのワンタイム・パスワードの生成と同様に、認証サーバと車載装置100が同期して認証のたびに同じ新たな鍵情報をそれぞれ生成する方法である。   By the way, two methods can be considered to use different key information each time the authentication information is generated. The first method is to acquire new key information each time the in-vehicle device 100 performs authentication from a device that performs authentication (hereinafter referred to as “authentication server”), as in the case of one-time password generation using the challenge-response method. It is a method to do. The second method is a method in which the authentication server and the in-vehicle device 100 generate the same new key information each time authentication is performed in the same manner as the one-time password generation in the time-synchronous method. It is.

車載装置100は、具体的には1つ目の方法をとることで、認証用情報の生成のたびに異なる鍵情報を用いることを可能とする。しかし、もし「車載装置100が認証を要求しようとする段になってから、新たな鍵情報を認証サーバに要求し、認証サーバが要求に応じて新たな鍵情報を送信する」と仮定すれば、ユーザからの入力の受け付けから認証の完了までの時間が長くなるおそれがある。その理由は、車載装置100が、高速に移動可能な移動体である車両に搭載されており、車載装置100の無線通信環境が急激に変わることがあるためである。   Specifically, the in-vehicle device 100 can use different key information each time the authentication information is generated by taking the first method. However, if it is assumed that “the in-vehicle device 100 is about to request authentication and then requests new key information from the authentication server, and the authentication server transmits new key information in response to the request”. There is a possibility that the time from the reception of the input from the user to the completion of the authentication becomes long. The reason is that the in-vehicle device 100 is mounted on a vehicle that is a movable body that can move at high speed, and the wireless communication environment of the in-vehicle device 100 may change abruptly.

つまり、上記の仮定のもとでは、認証に際して、新たな鍵情報の要求、新たな鍵情報の通知、新たな鍵情報を用いて生成された認証情報による認証の要求、および認証結果の通知という一連の通信が、車載装置100と認証サーバとの間で行われる。換言すれば、認証のために2往復の通信が行われる。   In other words, under the above assumption, upon authentication, a request for new key information, a notification of new key information, a request for authentication using authentication information generated using the new key information, and a notification of authentication results A series of communications is performed between the in-vehicle device 100 and the authentication server. In other words, two round-trip communications are performed for authentication.

しかし、車載装置100を搭載する車両は、車載装置100が路側機を介して認証サーバと通信している間にも高速に移動しているかもしれない。すると、通信断が生じ、その結果、通信のリトライが生じるかもしれない。   However, the vehicle on which the in-vehicle device 100 is mounted may be moving at high speed while the in-vehicle device 100 is communicating with the authentication server via the roadside device. Then, communication interruption may occur, and as a result, communication retry may occur.

また、道路上には他の多くの車両が存在するかもしれないので、車載装置100が路側機を介して認証サーバと通信している最中に、車載装置100を搭載した車両と路側機の間が他の車両により遮蔽されるかもしれない。すると、やはり通信断が生じ、その結果、通信のリトライが生じるかもしれない。   In addition, since many other vehicles may exist on the road, while the in-vehicle device 100 is communicating with the authentication server via the roadside device, the vehicle and the roadside device in which the in-vehicle device 100 is mounted The space may be shielded by other vehicles. Then, the communication is also disconnected, and as a result, communication retry may occur.

さらに、「通信環境の悪化を防ぐために、あらゆる道路において通信不可領域が生じないように、大量の路側機を設置する」といった対策は非現実的であり、路側機同士の間はある程度離れている。よって、車載装置100を搭載している車両自体の走行や他の車両による遮蔽などの影響で通信断が生じた場合、次の路側機と車載装置100の間で通信のリトライが行われるまでには、ある程度の時間が経過してしまう。   Furthermore, measures such as “install a large number of roadside devices so that communication impossible areas do not occur on every road in order to prevent the deterioration of the communication environment” are unrealistic, and the roadside devices are separated to some extent. . Therefore, when communication disconnection occurs due to the travel of the vehicle on which the in-vehicle device 100 is mounted or the shielding by other vehicles, etc., communication is retried between the next roadside device and the in-vehicle device 100. A certain amount of time will elapse.

以上のような理由から、車載装置100と認証サーバの間の通信は、場合によっては時間がかかることがある。つまり、認証に比較的長い時間がかかってしまう可能性がある。他方で、ITSサービスの中には、車両のエンジンがかけられてすぐにでもサービスを開始することが好ましいものもあり、認証はなるべく短時間で終えることが好ましい。   For the reasons described above, communication between the in-vehicle device 100 and the authentication server may take time depending on circumstances. In other words, authentication may take a relatively long time. On the other hand, some ITS services preferably start the service as soon as the vehicle engine is started, and the authentication is preferably completed in as short a time as possible.

そこで、車載装置100は、上記の仮定のように認証を要求しようとする段になってから認証サーバとの間で2往復の通信を行う代わりに、最初の1往復の通信を予め済ませておくことで、認証にかかる時間を短縮する。つまり、車載装置100は、予め新たな鍵情報を認証サーバに要求し、認証サーバから新たな鍵情報を取得して記憶しておく。そして、車載装置100は、ユーザから図形的な情報の入力を受け付けて認証を要求するときには、予め記憶しておいた新たな鍵情報(すなわち、認証用情報の生成には未使用の鍵情報)を用いて認証用情報を生成する。   Therefore, the in-vehicle device 100 performs the first round-trip communication in advance, instead of performing two round-trip communications with the authentication server after entering the stage of requesting authentication as described above. This shortens the time required for authentication. That is, the in-vehicle device 100 requests new key information from the authentication server in advance, and acquires and stores new key information from the authentication server. And when the vehicle-mounted apparatus 100 receives the input of graphical information from a user and requests | requires authentication, the new key information memorize | stored beforehand (namely, unused key information for the production | generation of the information for authentication) Generate authentication information using.

すると、車載装置100がユーザから入力を受け付けてから認証が完了するまでの間に、車載装置100と認証サーバとの間で行われる通信は、新たな鍵情報を用いて生成された認証情報による認証の要求と認証結果の通知という1往復の通信のみでよい。よって、上記の仮定のように2往復の通信を行う場合と比べて、車載装置100は認証にかかる時間を短縮することができる。   Then, communication performed between the in-vehicle device 100 and the authentication server between the time when the in-vehicle device 100 receives an input from the user and the time when the authentication is completed is based on the authentication information generated using the new key information. Only one round-trip communication is required for authentication request and authentication result notification. Therefore, in-vehicle device 100 can shorten the time required for authentication as compared with the case of performing two-way communication as described above.

また、新たな鍵情報の要求と新たな鍵情報の通知という1往復の通信が行われるタイミングは、当該新たな鍵情報を使って生成される認証用情報による認証より前であれば任意である。しかし、好適なタイミングは、「当該新たな鍵情報を使って生成される認証用情報による認証の前回の認証が完了した直後、『通信品質が良好であろう』という判定が得られ次第」というタイミングか、「前回の認証と同時」というタイミングである。   Also, the timing for performing one round-trip communication of requesting new key information and notifying new key information is arbitrary as long as it is prior to authentication using authentication information generated using the new key information. . However, the preferred timing is “as soon as the determination that“ communication quality will be good ”is obtained immediately after the previous authentication of the authentication by the authentication information generated using the new key information is completed”. It is timing or “simultaneous with the previous authentication”.

その理由の1つは、いつ認証が行われるかが予測不能なためであり、もう1つの理由は、車載装置100の無線通信環境は変動が大きいからである。よって、車載装置100は、現在の鍵情報を用いて生成した認証用情報による認証が完了した直後、「通信品質が良好であろう」という判定が得られ次第、次の認証のための新たな鍵情報を認証サーバに要求する。あるいは、車載装置100は、現在の鍵情報を用いて生成した認証用情報による認証と同時に、次の認証のための新たな鍵情報を認証サーバに要求する。   One of the reasons is that it is unpredictable when authentication is performed, and the other reason is that the wireless communication environment of the in-vehicle device 100 varies greatly. Therefore, immediately after the authentication with the authentication information generated using the current key information is completed, the in-vehicle device 100 has a new communication for the next authentication as soon as a determination that “communication quality will be good” is obtained. Request key information from the authentication server. Alternatively, the in-vehicle device 100 requests the authentication server for new key information for the next authentication simultaneously with the authentication using the authentication information generated using the current key information.

換言すれば、車載装置100は、現在の鍵情報を使用した直後に、「通信品質が悪そうだ」といった阻害要因さえなければすぐに、次の認証のための新たな鍵情報を認証サーバに要求する。すると、たとえすぐに次の認証を行うことになったとしても、車載装置100は既に未使用の新たな鍵情報を保持しているので、認証は短時間で完了する。   In other words, immediately after using the current key information, the in-vehicle device 100 requests the authentication server for new key information for the next authentication as long as there is no hindrance such as “communication quality is likely to be bad”. To do. Then, even if the next authentication is to be performed immediately, the in-vehicle device 100 already holds the new unused key information, so that the authentication is completed in a short time.

以上のとおり、車載装置100は、車両に搭載される装置に適した様々な利点を有する。続いて、図1を参照しながら車載装置100の具体的構成について説明する。なお、各部の具体的動作については、実施形態ごとにフローチャートを参照して後述する。   As described above, the in-vehicle device 100 has various advantages suitable for a device mounted on a vehicle. Next, a specific configuration of the in-vehicle device 100 will be described with reference to FIG. The specific operation of each unit will be described later with reference to a flowchart for each embodiment.

図1の車載装置100は、外部とのインタフェースとして、画面インタフェース部101と上位機器インタフェース部102を有する。また、車載装置100は、情報受信処理部103と情報送信処理部104と格納部105と画面エリア判定部106と画面乱数処理部107と車両状態判定部108をさらに有する。そして、車載装置100は、同じ車両に搭載されている外部センサ110と接続されている。   The in-vehicle device 100 in FIG. 1 includes a screen interface unit 101 and a host device interface unit 102 as an interface with the outside. The in-vehicle device 100 further includes an information reception processing unit 103, an information transmission processing unit 104, a storage unit 105, a screen area determination unit 106, a screen random number processing unit 107, and a vehicle state determination unit 108. And the vehicle equipment 100 is connected with the external sensor 110 mounted in the same vehicle.

画面インタフェース部101は、タッチスクリーンを含むユーザインタフェース装置である。画面インタフェース部101は、車載装置100のユーザからのタッチスクリーンへの入力を受け取り、入力された内容を情報受信処理部103へ出力する。つまり、画面インタフェース部101は、画面への接触を感知し、接触を感知した画面上の位置を表す情報を情報受信処理部103へ出力する。さらに、画面インタフェース部101は、画面上に入力プロンプトなどを表示してもよい。なお、ユーザからの入力は、タッチスクリーンの種類に応じて、ユーザの指による入力でもよいし、スタイラスペンなどの装置を介した入力でもよい。   The screen interface unit 101 is a user interface device including a touch screen. The screen interface unit 101 receives an input to the touch screen from the user of the in-vehicle device 100 and outputs the input content to the information reception processing unit 103. That is, the screen interface unit 101 senses a touch on the screen and outputs information indicating the position on the screen where the touch is sensed to the information reception processing unit 103. Further, the screen interface unit 101 may display an input prompt or the like on the screen. Note that the input from the user may be input by a user's finger or input via a device such as a stylus pen according to the type of touch screen.

また、以下ではタッチスクリーンを単に「画面」ということがある。そして、以下では説明の便宜上、画面インタフェース部101が接触を感知した位置を表す情報とは、具体的には画面上の位置を表す2次元座標であるものとする。   Hereinafter, the touch screen may be simply referred to as “screen”. In the following, for convenience of explanation, it is assumed that the information representing the position where the screen interface unit 101 senses contact is specifically two-dimensional coordinates representing the position on the screen.

上位機器インタフェース部102は、無線通信インタフェース装置であり、アナログ・ディジタル変換、変復調、符号化・復号化などの各種処理を行う回路や、アンテナなどのハードウェアを含む。なお、「上位機器」とは、具体的には、図2を参照して後述する路側機201、認証サーバ202および交通管制サーバ203のことである。   The host device interface unit 102 is a wireless communication interface device, and includes a circuit that performs various processes such as analog / digital conversion, modulation / demodulation, encoding / decoding, and hardware such as an antenna. The “higher-level equipment” specifically refers to a roadside machine 201, an authentication server 202, and a traffic control server 203, which will be described later with reference to FIG.

上位機器インタフェース部102は、無線フレームを受信し、無線フレームにおいて暗号化されているペイロードの復号などの処理を適宜行い、受信した無線フレームのデータ(例えばヘッダと復号されたペイロードの内容)を情報受信処理部103に出力する。また、上位機器インタフェース部102は、情報送信処理部104から出力されるデータに対して、無線フレームのヘッダの設定、ペイロードの暗号化、同期用プリアンブルの追加などの処理を行うことで無線フレームを生成し、生成した無線フレームを送信する。   The host device interface unit 102 receives a radio frame, appropriately performs processing such as decryption of the payload encrypted in the radio frame, and receives data of the received radio frame (for example, header and decrypted payload contents) as information The data is output to the reception processing unit 103. In addition, the higher-level device interface unit 102 performs processing such as setting of a radio frame header, payload encryption, and addition of a synchronization preamble on the data output from the information transmission processing unit 104, thereby processing the radio frame. Generate and transmit the generated radio frame.

なお、上位機器インタフェース部102が無線通信に用いる無線通信プロトコルは実施形態に応じて任意である。例えば、Institute of Electrical and Electronics Engineers(IEEE)802.11p規格にしたがって無線通信が行われてもよい。IEEE802.11p規格は、Wireless Access in Vehicular Environments(WAVE)方式と呼ばれる無線Local Area Network(LAN)規格である。また、記載の簡略化のため、以下では「無線フレーム」を単に「フレーム」という。   Note that the wireless communication protocol used by the host device interface unit 102 for wireless communication is arbitrary depending on the embodiment. For example, wireless communication may be performed according to the Institute of Electrical and Electronics Engineers (IEEE) 802.11p standard. The IEEE 802.11p standard is a wireless local area network (LAN) standard called a Wireless Access in Vehicular Environments (WAVE) system. For the sake of simplicity, the “radio frame” is hereinafter simply referred to as “frame”.

情報受信処理部103は、画面インタフェース部101または上位機器インタフェース部102から出力される情報を受け取り、情報の種類に応じて、受け取った情報を格納部105に格納するか、または画面エリア判定部106に出力する。また、詳しくは図4とともに説明するが、情報受信処理部103は、上位機器インタフェース部102を介したフレームの受信をトリガとして検出し、トリガの検出を情報送信処理部104に通知することがある。   The information reception processing unit 103 receives the information output from the screen interface unit 101 or the higher-level device interface unit 102, and stores the received information in the storage unit 105 or the screen area determination unit 106 according to the type of information. Output to. Further, as will be described in detail with reference to FIG. 4, the information reception processing unit 103 may detect the reception of a frame via the higher-level device interface unit 102 as a trigger and notify the information transmission processing unit 104 of the detection of the trigger. .

他方、情報送信処理部104は、画面インタフェース部101に対して、画面に出力する情報を指示する。また、情報送信処理部104は、上位機器インタフェース部102に対して、上位機器インタフェース部102から送信するフレームに含める情報を指示する。情報送信処理部104は、上記のような指示を、情報受信処理部103、画面乱数処理部107または車両状態判定部108からの入力に応じて行う。   On the other hand, the information transmission processing unit 104 instructs the screen interface unit 101 to output information on the screen. Further, the information transmission processing unit 104 instructs the upper device interface unit 102 to include information to be included in a frame transmitted from the upper device interface unit 102. The information transmission processing unit 104 gives the above instruction in response to an input from the information reception processing unit 103, the screen random number processing unit 107, or the vehicle state determination unit.

格納部105は、情報を格納するための不揮発性の記憶装置を含む。例えば、ハードディスク装置や、フラッシュメモリなどの不揮発性の半導体メモリ装置などが、格納部105として利用可能である。   The storage unit 105 includes a nonvolatile storage device for storing information. For example, a hard disk device or a nonvolatile semiconductor memory device such as a flash memory can be used as the storage unit 105.

なお、格納部105として使われる記憶装置は、耐タンパ性を備えたものでもよい。また、格納部105は、不揮発性の記憶装置に格納された情報を一時的に格納するための、Random Access Memory(RAM)などの揮発性の記憶装置をさらに含んでもよい。   Note that the storage device used as the storage unit 105 may have tamper resistance. The storage unit 105 may further include a volatile storage device such as a random access memory (RAM) for temporarily storing information stored in the nonvolatile storage device.

詳しくは後述するが、格納部105は、画面をメッシュ状に複数のエリアに細分化する仕方を規定する細分化エリア情報と、複数のエリアにそれぞれランダムな値を対応づける乱数情報を格納する。なお、細分化エリア情報は、予め固定的に決められた情報でもよいし、更新可能な可変の情報でもよい。   As will be described in detail later, the storage unit 105 stores segmented area information that defines how to subdivide the screen into a plurality of areas in a mesh shape, and random number information that associates random values with the plurality of areas. The subdivision area information may be information that is fixedly determined in advance or may be variable information that can be updated.

乱数情報と細分化エリア情報は、認証用情報の生成のために使われる情報である。すなわち、上記の鍵情報とは、具体的には乱数情報と細分化エリア情報を含む情報である。
乱数情報は、上位機器インタフェース部102において受信されるフレームに含まれ、上位機器インタフェース部102から情報受信処理部103に出力され、情報受信処理部103によって格納部105に書き込まれる。そして、乱数情報は画面乱数処理部107により読み出される。 The random number information and the subdivision area information are information used for generating authentication information. That is, the key information is specifically information including random number information and segmented area information.
The random number information is included in a frame received by the higher-level device interface unit 102, is output from the higher-level device interface unit 102 to the information reception processing unit 103, and is written into the storage unit 105 by the information reception processing unit 103. The random number information is read by the screen random number processing unit 107.

固定的な場合の細分化エリア情報は、予め格納部105に格納される。他方、可変な場合の細分化エリア情報は、上位機器インタフェース部102において受信されるフレームに含まれ、上位機器インタフェース部102から情報受信処理部103に出力され、情報受信処理部103によって格納部105に書き込まれる。そして、固定的であるにしろ可変であるにしろ、細分化エリア情報は、画面エリア判定部106により読み出される。   The subdivision area information in the fixed case is stored in the storage unit 105 in advance. On the other hand, the variable subdivision area information is included in a frame received by the higher-level device interface unit 102, is output from the higher-level device interface unit 102 to the information reception processing unit 103, and is stored in the storage unit 105 by the information reception processing unit 103. Is written to. Then, whether it is fixed or variable, the segmented area information is read out by the screen area determination unit 106.

さらに、格納部105は、信号機の位置などを表す地図情報も格納する。地図情報は、予め用意されて格納部105に格納され、車両状態判定部108により参照される。
画面エリア判定部106は、画面インタフェース部101を介して入力される図形を描く軌跡が、画面(厳密には、画面内においてユーザからの入力を受け付ける入力領域)を細分化する複数のエリアのうち、どのエリアを通るのかを判定する。あるいは、実施形態によっては、画面エリア判定部106は、画面インタフェース部101を介して順次指定される複数の位置のそれぞれが、複数のエリアのうちどのエリアにあるのかを判定してもよい。画面エリア判定部106は、細分化エリア情報を参照して上記のような判定を行う。 Furthermore, the storage unit 105 also stores map information indicating the position of the traffic light. The map information is prepared in advance and stored in the storage unit 105, and is referenced by the vehicle state determination unit 108.
The screen area determination unit 106 includes a plurality of areas in which a trajectory of a figure input via the screen interface unit 101 subdivides a screen (strictly speaking, an input region that accepts input from the user in the screen). , Determine which area to go through. Alternatively, depending on the embodiment, the screen area determination unit 106 may determine which of the plurality of areas each of the plurality of positions sequentially designated via the screen interface unit 101 is. The screen area determination unit 106 performs the above determination with reference to the segmented area information.

また、画面エリア判定部106は、時間の経過と入力の進行との間の関係をさらに判定してもよい。時間の経過と入力の進行との間の関係としては、例えば、時間の経過にともなう軌跡の変化が利用可能であり、具体的にはエリアの通過順や各エリアの通過にかかる時間により表すことができる。あるいは、時間の経過と入力の進行との間の関係は、画面上の複数の位置が指定される順序、間隔、または順序と間隔の組み合わせにより表すこともできる。   Further, the screen area determination unit 106 may further determine the relationship between the passage of time and the progress of input. As the relationship between the passage of time and the progress of input, for example, a change in trajectory with the passage of time can be used, and specifically, it is expressed by the order of passing through the areas and the time taken to pass through each area. Can do. Alternatively, the relationship between the passage of time and the progress of input can be expressed by an order in which a plurality of positions on the screen are designated, an interval, or a combination of an order and an interval.

画面乱数処理部107は、画面エリア判定部106による判定結果と、格納部105に格納されている乱数情報とを用いて、車載装置100のユーザの認証に使うための認証用情報を生成する。そして、画面乱数処理部107は、生成した認証用情報を情報送信処理部104に出力する。   The screen random number processing unit 107 uses the determination result by the screen area determination unit 106 and the random number information stored in the storage unit 105 to generate authentication information to be used for user authentication of the in-vehicle device 100. Then, the screen random number processing unit 107 outputs the generated authentication information to the information transmission processing unit 104.

車両状態判定部108は、車載装置100と接続された外部センサ110からの入力と格納部105に格納された地図情報に基づいて、車載装置100が搭載されている車両の状態を判定する。そして、車両状態判定部108は、上位機器インタフェース部102からの送信のタイミングを車両の状態に応じて制御するためのタイミング制御情報を情報送信処理部104に出力する。   The vehicle state determination unit 108 determines the state of the vehicle on which the in-vehicle device 100 is mounted based on the input from the external sensor 110 connected to the in-vehicle device 100 and the map information stored in the storage unit 105. Then, the vehicle state determination unit 108 outputs timing control information for controlling the transmission timing from the higher-level device interface unit 102 according to the vehicle state to the information transmission processing unit 104.

なお、車両状態判定部108は、第3実施形態では省略されてもよい。また、外部センサ110は、第1〜2実施形態では、具体的には、車速センサと位置センサを含む。第3実施形態では、外部センサ110は、なくてもよいし、車速センサと位置センサの一方のみを含んでもよいし、車速センサと位置センサの双方を含んでもよい。   The vehicle state determination unit 108 may be omitted in the third embodiment. In the first and second embodiments, the external sensor 110 specifically includes a vehicle speed sensor and a position sensor. In the third embodiment, the external sensor 110 may be omitted, may include only one of the vehicle speed sensor and the position sensor, or may include both the vehicle speed sensor and the position sensor.

位置センサとしては、具体的には、Global Positioning System(GPS)受信機や、GPS受信機とその他のセンサ(例えばジャイロセンサや加速度センサ)を含むカーナビゲーション装置などが利用可能である。   Specifically, as the position sensor, a Global Positioning System (GPS) receiver, a car navigation device including a GPS receiver and other sensors (for example, a gyro sensor or an acceleration sensor) can be used.

車速センサからの車両状態判定部108への入力は、例えば車速パルスでもよいし、車速パルスから計算された車速を示す数値でもよい。また、位置センサから車両状態判定部108への入力は、例えば、車載装置100が搭載された車両が位置する緯度と経度を表す測位情報でもよい。車両状態判定部108は、車速と車両の位置と地図情報を用いて車両の状態を判定する。なお、外部センサ110または車両状態判定部108は、マップマッチングなどの手法を用いて、車両の位置を示す情報を補正してもよい。   The input from the vehicle speed sensor to the vehicle state determination unit 108 may be, for example, a vehicle speed pulse or a numerical value indicating the vehicle speed calculated from the vehicle speed pulse. Further, the input from the position sensor to the vehicle state determination unit 108 may be, for example, positioning information representing the latitude and longitude where the vehicle on which the in-vehicle device 100 is mounted is located. The vehicle state determination unit 108 determines the vehicle state using the vehicle speed, the vehicle position, and the map information. Note that the external sensor 110 or the vehicle state determination unit 108 may correct the information indicating the position of the vehicle using a technique such as map matching.

図2はシステム構成図である。図2に示すシステム200は、複数の車載装置100a〜100c、複数の路側機201a〜201c、認証サーバ202、および交通管制サーバ203を含む。また、システム200において、路側機201a〜201cと認証サーバ202と交通管制サーバ203は、ネットワーク204に接続されている。   FIG. 2 is a system configuration diagram. A system 200 illustrated in FIG. 2 includes a plurality of in-vehicle devices 100a to 100c, a plurality of roadside devices 201a to 201c, an authentication server 202, and a traffic control server 203. In the system 200, roadside devices 201 a to 201 c, an authentication server 202, and a traffic control server 203 are connected to a network 204.

なお、本実施形態において複数の路側機201a〜201cは互いに同様の構成を有するので、以下の説明において路側機一般について述べるときは、「201」という参照符号を使う。また、図2の複数の車載装置100a〜100cは図1の車載装置100と同様の構成を有するので、以下の説明において車載装置一般について述べるときは、図1に示した「100」という参照符号を使う。   In addition, in this embodiment, since the several roadside machines 201a-201c have the mutually same structure, when describing a roadside machine generally in the following description, the referential mark "201" is used. 2 has the same configuration as that of the in-vehicle device 100 in FIG. 1, when the general in-vehicle device is described in the following description, the reference numeral “100” shown in FIG. use.

路側機201は、道路の近傍に設置される中継装置である。なお、「道路の近傍」には路面上空の空間を含むものとする。路側機201は車載装置100との間で無線通信を行うことで、車載装置100と認証サーバ202の間または車載装置100と交通管制サーバ203の間の通信を中継する。   The roadside machine 201 is a relay device installed near the road. Note that “near the road” includes a space above the road surface. The roadside device 201 relays communication between the in-vehicle device 100 and the authentication server 202 or between the in-vehicle device 100 and the traffic control server 203 by performing wireless communication with the in-vehicle device 100.

認証サーバ202は、車載装置100からいずれかの路側機201を介して送信された認証用情報を、ネットワーク204を介して受信し、受信した認証用情報を用いて車載装置100の認証を行う。そして、認証サーバ202は、ネットワーク204と路側機201を介して、認証結果を車載装置100に送信する。さらに、認証に成功した場合は、認証サーバ202は、ネットワーク204を介して交通管制サーバ203にも認証結果を送信する。   The authentication server 202 receives the authentication information transmitted from the in-vehicle device 100 via any one of the roadside devices 201 via the network 204, and authenticates the in-vehicle device 100 using the received authentication information. Then, the authentication server 202 transmits an authentication result to the in-vehicle device 100 via the network 204 and the roadside device 201. Further, when the authentication is successful, the authentication server 202 transmits the authentication result to the traffic control server 203 via the network 204.

また、認証サーバ202は、鍵情報の更新を要求する鍵情報更新要求を、路側機201とネットワーク204を介して、車載装置100から受信する。そして、認証サーバ202は、新たな鍵情報を生成し、ネットワーク204と路側機201を介して、新たな鍵情報を車載装置100に送信する。   Further, the authentication server 202 receives a key information update request for requesting update of key information from the in-vehicle device 100 via the roadside device 201 and the network 204. Then, the authentication server 202 generates new key information, and transmits the new key information to the in-vehicle device 100 via the network 204 and the roadside device 201.

交通管制サーバ203は、認証サーバ202から通知された認証結果を利用して、車載装置100に各種サービスを提供する。例えば、車載装置100が搭載されている車両が救急車、消防車、警察車両などの緊急車両である場合、認証サーバ202による認証が成功すると、交通管制サーバ203は車載装置100に対して、進路上の信号機を青にするといったサービスを提供してもよい。あるいは、交通管制サーバ203は、緊急車両に搭載された車載装置100に対して「この経路上の信号機は青に設定してあるのでこの経路を通るとよい」と経路を指定する情報を提供してもよい。   The traffic control server 203 provides various services to the in-vehicle device 100 using the authentication result notified from the authentication server 202. For example, when the vehicle on which the in-vehicle device 100 is mounted is an emergency vehicle such as an ambulance, a fire engine, or a police car, when the authentication by the authentication server 202 is successful, the traffic control server 203 is on the path to the in-vehicle device 100. A service may be provided, such as turning the traffic light blue. Alternatively, the traffic control server 203 provides information for designating the route to the in-vehicle device 100 mounted on the emergency vehicle, “Since the traffic light on this route is set to blue, it is good to pass this route”. May be.

ネットワーク204は、例えば、LAN、Wide Area Network(WAN)、インターネット、またはそれらの任意の組み合わせである。また、ネットワーク204は有線ネットワークでもよいし、一部に無線通信路を含むネットワークであってもよい。   The network 204 is, for example, a LAN, a wide area network (WAN), the Internet, or any combination thereof. Further, the network 204 may be a wired network or a network partially including a wireless communication path.

また、第1〜3実施形態において、ネットワーク204はInternet Protocol(IP)ネットワークである。また、上記のとおり、上位機器インタフェース部102が無線通信に用いる無線通信プロトコルは実施形態に応じて任意である。   In the first to third embodiments, the network 204 is an Internet Protocol (IP) network. Further, as described above, the wireless communication protocol used by the higher-level device interface unit 102 for wireless communication is arbitrary depending on the embodiment.

よって、中継装置である路側機201は、車載装置100からフレームを受信した場合は、フレームから適宜のフィールドのデータを取り出し、取り出したデータをペイロードに含むIPパケットを生成する。例えば、路側機201は、車載装置100から受信したフレームのヘッダとペイロードの全体をカプセル化してIPパケットのペイロードに含めてもよい。そして、路側機201は、生成したIPパケットを、ネットワーク204を介して認証サーバ202または交通管制サーバ203に送信する。   Therefore, when the roadside device 201 serving as the relay device receives a frame from the in-vehicle device 100, the roadside device 201 extracts data of an appropriate field from the frame and generates an IP packet including the extracted data in the payload. For example, the roadside device 201 may encapsulate the entire header and payload of the frame received from the in-vehicle device 100 and include them in the payload of the IP packet. The roadside machine 201 transmits the generated IP packet to the authentication server 202 or the traffic control server 203 via the network 204.

なお、車載装置100と路側機201の間の通信は暗号化される。そこで、路側機201は、車載装置100から受信したフレーム(すなわち暗号化されたペイロードを含むフレーム)の適宜の範囲(例えばヘッダとペイロードの全体)をそのままカプセル化したIPパケットを生成してもよい。あるいは、路側機201は、車載装置100から受信した暗号化フレームを一旦復号して適宜のフィールドのデータを取り出し、取り出したデータを再度暗号化してIPパケットのペイロードに含めてもよい。   The communication between the in-vehicle device 100 and the roadside device 201 is encrypted. Therefore, the roadside device 201 may generate an IP packet that encapsulates an appropriate range (for example, the entire header and payload) of a frame received from the in-vehicle device 100 (that is, a frame including an encrypted payload). . Alternatively, the roadside device 201 may once decrypt the encrypted frame received from the in-vehicle device 100 to extract data in an appropriate field, encrypt the extracted data again, and include it in the payload of the IP packet.

なお、IPパケットの生成にあたり、路側機201は、フレームの種別を示す種別情報をIPパケットに設定する。路側機201は、車載装置100から受信したフレーム内にもともと含まれているフィールドを、そのまま種別情報として利用してIPパケットに含めてもよい。   In generating the IP packet, the roadside device 201 sets type information indicating the type of the frame in the IP packet. The roadside device 201 may use the field originally included in the frame received from the in-vehicle device 100 as it is as the type information and include it in the IP packet.

また、路側機201は、自らのIPアドレスを送信元IPアドレスとして設定する。また、路側機201は、車載装置100から受信したフレームの種別に応じて宛先を認証サーバ202または交通管制サーバ203と決め、決めた宛先のIPアドレスを送信先IPアドレスとして設定する。   The roadside device 201 sets its own IP address as the source IP address. The roadside device 201 determines the destination as the authentication server 202 or the traffic control server 203 according to the type of frame received from the in-vehicle device 100, and sets the determined destination IP address as the destination IP address.

逆に、路側機201は、認証サーバ202または交通管制サーバ203からネットワーク204を介してIPパケットを受信した場合は、IPパケットのペイロードから適宜のデータを取り出し、取り出したデータを使ってフレームを生成して送信する。   Conversely, when the roadside device 201 receives an IP packet from the authentication server 202 or the traffic control server 203 via the network 204, it extracts appropriate data from the payload of the IP packet and generates a frame using the extracted data. Then send.

なお、IPパケットのペイロードも適宜暗号化されている。例えば、認証サーバ202または交通管制サーバ203から路側機201へ送信されるIPパケットには、路側機201が送信する無線フレームで使われるヘッダと、同じく無線フレームで使われる暗号化されたペイロードがカプセル化されていてもよい。その場合、路側機201は、IPパケットのペイロードにカプセル化されているデータを取り出し、無線通信の同期用プリアンブルを付加することでフレームを生成することができる。あるいは、路側機201は、受信したIPパケットにおいて暗号化されているデータを一旦復号し、復号したデータを再度暗号化してフレームのペイロードに設定してもよい。   Note that the payload of the IP packet is also encrypted as appropriate. For example, an IP packet transmitted from the authentication server 202 or the traffic control server 203 to the roadside device 201 includes a header used in a radio frame transmitted by the roadside device 201 and an encrypted payload used in the same radio frame. It may be made. In this case, the roadside device 201 can generate a frame by taking out the data encapsulated in the payload of the IP packet and adding a synchronization preamble for wireless communication. Alternatively, the roadside device 201 may once decrypt the encrypted data in the received IP packet, encrypt the decrypted data again, and set it in the payload of the frame.

以上のように、路側機201における中継時に、中継されるデータの形式は変更され、必要に応じてヘッダの設定などが行われる。しかし、中継されるデータの内容自体は変わらない。よって、以下では形式の違いに取り立てて注目する場合以外は、「認証要求」のようなデータの内容を示す名前によってデータを名指すこととし、形式の違いを明示的に示す場合に「認証要求のフレーム」のように表現することにする。また、車載装置100における暗号化と復号の処理と、路側機201において実施形態に応じて行われることがある復号と再暗号化の処理については、以下では説明の簡略化のため特に明記しないこともある。   As described above, when relaying in the roadside device 201, the format of data to be relayed is changed, and a header is set as necessary. However, the content of the relayed data itself does not change. Therefore, in the following, except when paying attention to the difference in format, data is named by the name indicating the contents of the data such as `` authentication request '', and when the difference in format is explicitly indicated, `` authentication request It will be expressed as "frame of". In addition, the encryption and decryption processing in the in-vehicle device 100 and the decryption and re-encryption processing that may be performed according to the embodiment in the roadside device 201 are not particularly specified for simplification of description below. There is also.

なお、図2において、車載装置100aの矩形と路側機201aの矩形の間の直線は、車載装置100aと路側機201aの間の無線通信路を示す。しかし、車載装置100aは車両の走行にともなって移動し、路側機201aは路側に固定的に設置されているので、車載装置100aと路側機201aの間の無線通信路は恒久的なものではない。つまり、車載装置100aと路側機201aの間の無線通信路は、路側機201aと無線通信可能な位置に車載装置100aが存在する間だけ一時的に確立されるものである。   In FIG. 2, a straight line between the rectangle of the in-vehicle device 100a and the rectangle of the roadside device 201a indicates a wireless communication path between the in-vehicle device 100a and the roadside device 201a. However, since the vehicle-mounted device 100a moves as the vehicle travels and the roadside device 201a is fixedly installed on the roadside, the wireless communication path between the vehicle-mounted device 100a and the roadside device 201a is not permanent. . That is, the wireless communication path between the in-vehicle device 100a and the roadside device 201a is temporarily established only while the in-vehicle device 100a exists at a position where wireless communication with the roadside device 201a exists.

同様に、図2に示した車載装置100bと路側機201bの間の無線通信路も、一時的に確立されるものであり、車載装置100cと路側機201cの間の無線通信路も、一時的に確立されるものである。このように、システム200内においてどの車載装置100とどの路側機201の間に無線通信路が存在するかは、時々刻々と動的に変化する。   Similarly, the wireless communication path between the in-vehicle device 100b and the roadside device 201b illustrated in FIG. 2 is also temporarily established, and the wireless communication path between the in-vehicle device 100c and the roadside device 201c is also temporarily Is established. In this way, which in-vehicle device 100 and which roadside device 201 exist in the system 200 dynamically changes from moment to moment.

さて、図3は、システムが適用される環境の例を示す図である。図3には、紙面縦方向に延びる道路301a〜301bと紙面横方向に延びる道路301c〜301gが図示されている。   FIG. 3 is a diagram illustrating an example of an environment to which the system is applied. FIG. 3 shows roads 301a to 301b extending in the vertical direction of the paper and roads 301c to 301g extending in the horizontal direction of the paper.

道路301aと301cは交差点302aにおいて丁字路をなしており、道路301aと301dは交差点302bにおいて丁字路をなしている。また、道路301aと301eは交差点302cで十字路をなしており、道路301eと301bは交差点302dで丁字路をなしている。そして、道路301aと301fは交差点302eで丁字路をなしており、道路301aと301gは交差点302fで十字路をなしている。   The roads 301a and 301c form a street at the intersection 302a, and the roads 301a and 301d form a street at the intersection 302b. Further, the roads 301a and 301e form a crossroad at an intersection 302c, and the roads 301e and 301b form a letterhead at an intersection 302d. The roads 301a and 301f form a cross street at the intersection 302e, and the roads 301a and 301g form a crossroad at the intersection 302f.

また、交差点302aには、道路301c上に設置された信号機303aと道路301a上に設置された信号機303bがある。そして、信号機303bには路側機201bが取り付けられている。さらに、交差点302bには、道路301a上に設置された信号機303cがあり、信号機303cには路側機201cが取り付けられている。   At the intersection 302a, there is a traffic light 303a installed on the road 301c and a traffic light 303b installed on the road 301a. A roadside device 201b is attached to the traffic light 303b. Furthermore, there is a traffic light 303c installed on the road 301a at the intersection 302b, and a roadside machine 201c is attached to the traffic light 303c.

そして、道路301e上には、交差点302cのところに信号機303dが、交差点302dのところに信号機303eが、それぞれ設置されている。また、交差点302cには、道路301a上に設置された信号機303fもある。しかし、これらの信号機303d、303eおよび303fには、路側機201は取り付けられていない。   On the road 301e, a traffic light 303d is installed at an intersection 302c, and a traffic light 303e is installed at an intersection 302d. There is also a traffic light 303f installed on the road 301a at the intersection 302c. However, the roadside device 201 is not attached to these traffic lights 303d, 303e, and 303f.

また、交差点302dには、道路301b上に設置された信号機303gもある。信号機303gには路側機201gが取り付けられている。
そして、交差点302eには、道路301f上に設置された信号機303hと道路301a上に設置された信号機303iがある。なお、信号機303hには路側機201hが取り付けられているが、信号機303iには路側機201は取り付けられていない。 There is also a traffic light 303g installed on the road 301b at the intersection 302d. A roadside device 201g is attached to the traffic light 303g.
At the intersection 302e, there is a traffic light 303h installed on the road 301f and a traffic light 303i installed on the road 301a. The roadside machine 201h is attached to the traffic light 303h, but the roadside machine 201 is not attached to the traffic light 303i.

また、交差点302fには、道路301g上に設置された信号機303jと道路301a上に設置された信号機303kがある。信号機303kには路側機201kが取り付けられているが信号機303jには路側機201は取り付けられていない。   At the intersection 302f, there are a traffic light 303j installed on the road 301g and a traffic light 303k installed on the road 301a. The roadside machine 201k is attached to the traffic light 303k, but the roadside machine 201 is not attached to the traffic light 303j.

以上例示したように、路側機201は、例えば信号機に取り付けられてもよいが、すべての信号機に必ず路側機201が取り付けられているわけではない。また、路側機201は、信号機に取り付けられるのでなくてもよく、例えば歩道上に設置されてもよいし、道路沿いの建物の壁面などに設置されてもよい。   As illustrated above, the roadside device 201 may be attached to, for example, a traffic light, but the roadside device 201 is not necessarily attached to all the traffic lights. Moreover, the roadside machine 201 does not need to be attached to the traffic light, and may be installed on a sidewalk, for example, or may be installed on a wall surface of a building along the road.

また、図3には、道路301d沿いに存在する駐車場304と、駐車場304に駐車中の車両305も図示してある。以下では特に断らない限り、図1の車載装置100が車両305に搭載されている場合を例にして説明する。   FIG. 3 also shows a parking lot 304 existing along the road 301d and a vehicle 305 parked in the parking lot 304. Hereinafter, a case where the in-vehicle device 100 of FIG. 1 is mounted on the vehicle 305 will be described as an example unless otherwise specified.

以上、図1〜3を参照して第1〜3実施形態の共通点について説明したので、続いて、第1〜3実施形態についてそれぞれ具体的に説明する。
図4は、第1実施形態における車載装置の動作のフローチャートである。図4の処理は、車載装置100に電源が入れられると開始される。なお、車載装置100は、車載装置100が搭載される車両305のエンジンがかけられると自動的に電源が入れられるように設定されていてもよい。 The common points of the first to third embodiments have been described above with reference to FIGS. 1 to 3, and then the first to third embodiments will be specifically described.
FIG. 4 is a flowchart of the operation of the in-vehicle device in the first embodiment. The process of FIG. 4 is started when the vehicle-mounted device 100 is turned on. The in-vehicle device 100 may be set so that the power is automatically turned on when the engine of the vehicle 305 on which the in-vehicle device 100 is mounted is started.

さて、ステップS101で情報受信処理部103は、画面インタフェース部101を介した図形の入力を受け付ける。ステップS101で受け付けられる図形は、予めユーザごとに決められて認証サーバ202に登録された図形である。例えば、ユーザの手書き署名などがステップS101での図形として好適だが、署名以外の図形ももちろん利用可能である。また、第1実施形態では、説明の簡単化のため、ユーザと車載装置100が1対1に対応し、車載装置IDによりユーザが識別されるものとする。   In step S <b> 101, the information reception processing unit 103 receives a graphic input via the screen interface unit 101. The graphic accepted in step S101 is a graphic that is predetermined for each user and registered in the authentication server 202. For example, a user's handwritten signature or the like is suitable as the graphic in step S101, but a graphic other than the signature can of course be used. Further, in the first embodiment, for simplification of explanation, it is assumed that the user and the in-vehicle device 100 have a one-to-one correspondence, and the user is identified by the in-vehicle device ID.

具体的には、画面インタフェース部101は、画面上で接触を感知すると、接触を感知した位置の2次元座標を情報受信処理部103に出力する。すると、情報受信処理部103は、画面インタフェース部101から出力された2次元座標と、2次元座標が画面インタフェース部101から情報受信処理部103に入力されたタイミングの組み合わせから軌跡情報を生成する。軌跡情報は、時間の経過とともに入力がどのような軌跡を描いていくのかを示す情報である。情報受信処理部103は、軌跡情報を画面エリア判定部106に出力する。   Specifically, when the screen interface unit 101 detects contact on the screen, the screen interface unit 101 outputs two-dimensional coordinates of the position where the contact is detected to the information reception processing unit 103. Then, the information reception processing unit 103 generates trajectory information from the combination of the two-dimensional coordinates output from the screen interface unit 101 and the timing at which the two-dimensional coordinates are input from the screen interface unit 101 to the information reception processing unit 103. The trajectory information is information indicating what kind of trajectory the input draws as time passes. The information reception processing unit 103 outputs the trajectory information to the screen area determination unit 106.

つまり、ステップS101は、ユーザからの入力から得られる軌跡情報を、画面エリア判定部106の一部としてのRAMに記憶するステップである。そして、画面エリア判定部106が軌跡情報を受け取ってRAMに記憶すると、処理はステップS101からS102へ移行する。   That is, step S101 is a step of storing the trajectory information obtained from the input from the user in the RAM as a part of the screen area determination unit 106. When the screen area determination unit 106 receives the trajectory information and stores it in the RAM, the process proceeds from step S101 to S102.

なお、ステップS101における入力の完了は、ユーザから明示的に指示されてもよいし、暗黙的な状況の変化に応じて情報受信処理部103が自動的に判断してもよい。
例えば、情報送信処理部104は、終了ボタンを画面上に表示するよう画面インタフェース部101に指示してもよい。そして、情報受信処理部103は、画面インタフェース部101から入力された2次元座標が終了ボタンの範囲内に含まれるか否かを判断してもよい。この場合、情報受信処理部103は、入力された2次元座標が終了ボタンの範囲内に含まれれば、「ステップS101における入力が完了した」と判断することができる。 Note that the completion of the input in step S101 may be explicitly instructed by the user, or the information reception processing unit 103 may automatically determine according to an implicit situation change.
For example, the information transmission processing unit 104 may instruct the screen interface unit 101 to display an end button on the screen. Then, the information reception processing unit 103 may determine whether the two-dimensional coordinates input from the screen interface unit 101 are included in the range of the end button. In this case, the information reception processing unit 103 can determine that “the input in step S101 has been completed” if the input two-dimensional coordinates are included in the range of the end button.

あるいは、情報受信処理部103は、画面インタフェース部101からの2次元座標の入力が一旦始まった後、所定の時間以上にわたって2次元座標の入力が途切れたとき、「ステップS101における入力が完了した」と判断してもよい。入力される図形は必ずしも一筆書きが可能な図形とは限らないので、図形の入力の途中で画面インタフェース部101からの2次元座標の入力が途切れることもある。しかし、例えば2秒間などの所定の時間以上の中断が生じれば、情報受信処理部103は、「図形の入力の途中でスタイラスペン(あるいは指)が一時的に画面から離れたのではなく、図形の入力が終了した」と判断してもよい。   Alternatively, when the input of the two-dimensional coordinates from the screen interface unit 101 once started and then the input of the two-dimensional coordinates is interrupted for a predetermined time or longer, the information reception processing unit 103 “the input in step S101 is completed”. You may judge. Since the figure to be input is not necessarily a figure that can be drawn with a single stroke, the input of the two-dimensional coordinates from the screen interface unit 101 may be interrupted during the input of the figure. However, if an interruption for a predetermined time, such as 2 seconds, occurs, the information reception processing unit 103 indicates that “the stylus pen (or finger) is not temporarily separated from the screen during the input of the figure, It may be determined that the figure input has been completed.

いずれにせよ、情報受信処理部103は上記のようにして図形の入力の完了を検知することができる。よって、情報受信処理部103は、入力の完了を検知した段階で軌跡情報を完成させ、完成させた軌跡情報を画面エリア判定部106に出力することができる。   In any case, the information reception processing unit 103 can detect the completion of the input of the graphic as described above. Therefore, the information reception processing unit 103 can complete the trajectory information when detecting the completion of the input, and can output the completed trajectory information to the screen area determination unit 106.

そして、ステップS102では、以上のようにして入力された図形から得られる軌跡情報と、格納部105に予め記憶されている鍵情報とを使って、車載装置100が認証用情報を生成する。   In step S102, the in-vehicle device 100 generates authentication information using the trajectory information obtained from the graphic input as described above and the key information stored in advance in the storage unit 105.

なお、上記のとおり、第1実施形態において鍵情報は細分化エリア情報と乱数情報を含む。認証用情報の生成は、具体的には以下のようにして行われる。まず、画面エリア判定部106が、細分化エリア情報と軌跡情報に基づいて、下記(a1)、(a2)、または(a1)と(a2)の双方を判定する。   As described above, in the first embodiment, the key information includes subdivision area information and random number information. Specifically, the generation of the authentication information is performed as follows. First, the screen area determination unit 106 determines the following (a1), (a2), or both (a1) and (a2) based on the segmentation area information and the trajectory information.

(a1)入力された軌跡を描いて移動する点が、細分化エリア情報により規定される複数のエリアのうち、どのエリアをどういう順序で通過していったか。
(a2)入力された軌跡を描いて移動する点が、細分化エリア情報により規定される各エリアを通過するのにかかった時間。 (A1) Which point of the plurality of areas defined by the subdivision area information and the order in which the points moving along the input locus have passed in what order.
(A2) Time taken for the point moving along the input trajectory to pass through each area defined by the subdivision area information.

なお、(a1)は入力された軌跡が描く形状と書き順(描き順)を表し、(a2)はユーザの入力スピードとユーザの入力癖を表す。例えば、入力する図形として手書きの署名が登録されているユーザの場合、ユーザ本人が書きなれた自分の署名を入力する時間と、悪意のある他人が真似をしながら慎重に当該ユーザの署名を入力する時間とでは差がある。よって、(a2)の時間は、ユーザ認証に利用するのに好適な情報である。   Note that (a1) represents the shape drawn by the input trajectory and the drawing order (drawing order), and (a2) represents the user input speed and the user input habit. For example, in the case of a user who has a handwritten signature registered as a figure to be input, input the user's signature carefully while imitating a malicious other person while imitating the user's own signature. There is a difference in time to do. Therefore, the time (a2) is information suitable for use in user authentication.

そして、画面エリア判定部106は、判定結果を画面乱数処理部107に出力する。すると、画面乱数処理部107は、格納部105から乱数情報を読み出し、画面エリア判定部106による判定結果と乱数情報から、認証用情報を作成する。あるいは、画面乱数処理部107は、乱数情報を使わずに画面エリア判定部106による判定結果から、認証用情報を作成してもよい。いずれにせよ、ステップS102では画面エリア判定部106と画面乱数処理部107が協働して、軌跡情報と鍵情報を用いて認証用情報を生成する第1の生成手段として機能する。   Then, screen area determination unit 106 outputs the determination result to screen random number processing unit 107. Then, the screen random number processing unit 107 reads the random number information from the storage unit 105 and creates authentication information from the determination result by the screen area determination unit 106 and the random number information. Alternatively, the screen random number processing unit 107 may create authentication information from the determination result by the screen area determination unit 106 without using the random number information. In any case, in step S102, the screen area determination unit 106 and the screen random number processing unit 107 cooperate to function as a first generation unit that generates authentication information using trajectory information and key information.

認証用情報の作成のためのアルゴリズムは任意である。ここで、認証用情報の作成のためのアルゴリズムについて説明するため、以下の(b1)〜(b4)のような記法を導入することにする。   An algorithm for creating authentication information is arbitrary. Here, in order to describe an algorithm for creating authentication information, the following notation such as (b1) to (b4) will be introduced.

(b1)細分化エリア情報により規定される複数のエリアを、area,area,……,areaとする(n>1)。細分化エリア情報は、画面においてユーザからの入力がなされる入力領域をn個の分割領域(つまりn個のエリア)に分割するパターンを表す情報であれば、形式は任意である。 A plurality of areas defined by (b1) subdividing the area information, area 1, area 2, ...... , and area n (n> 1). The subdivision area information can be of any format as long as it represents information that divides an input area where a user inputs on the screen into n divided areas (that is, n areas).

例えば、各エリアが矩形の場合は、細分化エリア情報は、各エリアarea(1≦j≦n)についての、上端、下端、左端および右端の座標の組により表されていてもよい。あるいは、「画面を水平方向に何等分し、垂直方向に何等分するか」という分割の数によって細分化エリア情報が表されていてもよい。 For example, when each area is rectangular, the subdivision area information may be represented by a set of coordinates of the upper end, the lower end, the left end, and the right end for each area area j (1 ≦ j ≦ n). Alternatively, the subdivision area information may be represented by the number of divisions “how much the screen is divided horizontally and how much is divided vertically”.

あるいは、画面を何行・何列に細分化するかということが固定的に決められていてもよい。その場合、細分化エリア情報は、各行の高さと各列の幅を指定する情報であってもよい。すると、行ごとに高さが異なっていたり、列ごとに幅が異なっていたりする細分化の仕方を細分化エリア情報により規定することができる。もちろん、行の高さと列の幅の一方のみが可変という実施形態も可能である。   Alternatively, it may be fixedly determined how many rows and columns the screen is subdivided. In that case, the subdivision area information may be information specifying the height of each row and the width of each column. Then, the subdivision method in which the height is different for each row or the width is different for each column can be defined by the subdivision area information. Of course, an embodiment in which only one of the row height and the column width is variable is possible.

さらに、エリアの形状は実施形態に応じて任意であり、エリアは例えば三角形や六画形でもよい。また、細分化エリア情報において各エリアは、頂点の座標により表されてもよいし、重心の座標と大きさにより表されてもよい。   Furthermore, the shape of the area is arbitrary according to the embodiment, and the area may be, for example, a triangle or a hexagon. In the segmented area information, each area may be represented by vertex coordinates, or may be represented by the center of gravity coordinates and size.

(b2)乱数情報において、エリアareaに対応づけられているランダムな値をrandとする(1≦j≦n)。ランダムな値randは、数値でもよいし、文字列でもよい。乱数情報は、画面においてユーザからの入力がなされる入力領域をn個の分割領域に分割するパターンに対応するn個のランダムな値を表現することができる情報であれば、どのような形式でもよい。 (B2) In the random number information, a random value associated with the area area j is set as rand j (1 ≦ j ≦ n). The random value rand j may be a numerical value or a character string. The random number information may be in any format as long as it can express n random values corresponding to a pattern that divides an input area where a user inputs on the screen into n divided areas. Good.

例えば、エリアareaとランダムな値randは、ランダムな値randの乱数情報内での順序を介して対応づけられていてもよい。例えば、エリアareaの頂点の座標の組によりエリアareaを定義する情報が細分化エリア情報内でj番目にあり、ランダムな値randが乱数情報内で同じくj番目にあるのでもよい。 For example, the area area j and the random value rand j may be associated with each other through the order of the random value rand j in the random number information. For example, the j-th information within a subdivided area information defining a set by the area area j of the vertices of the area area j coordinates, or may be the random value rand j is in the same j th in random number information.

または、エリアareaとランダムな値randは、エリアareaに割り当てられるIDを介して対応づけられていてもよい。例えば、細分化エリア情報においてはエリアareaを定義する座標などの情報がエリアareaのIDと対応づけられており、乱数情報においてはランダムな値randがエリアareaのIDと対応づけられていてもよい。 Alternatively, the area area j and the random value rand j may be associated with each other through an ID assigned to the area area j . For example, information such as coordinates that define the area area j in subdivided area information has been correlated with the ID of the area area j, a random value rand j is associated with the ID of the area area j in random number information It may be.

(b3)入力された軌跡は、重複も含めて延べm個のエリアを通過したとする。このとき、入力された軌跡を描いて移動する点がk番目(1≦k≦m)に通過したエリアをareat(k)とする。 (B3) It is assumed that the input trajectory has passed through a total of m areas including overlapping. At this time, an area (k) is an area where the k-th (1 ≦ k ≦ m) point that moves while drawing the input locus is passed.

この表記によれば、細分化エリア情報と軌跡情報に基づいて得られる上記(a1)の判定結果は、〈areat(1),areat(2),……,areat(m)〉というエリアの並びとして表すことができる。なお、エリアareat(k)に対応づけられているランダムな値は、上記(b2)より、randt(k)と表記することができる。 According to this notation, the determination result of (a1) obtained based on the subdivision area information and the trajectory information is <area t (1) , area t (2) , ..., area t (m) >. It can be expressed as an array of areas. Note that the random value associated with the area area t (k) can be expressed as rand t (k) from the above (b2).

(b4)入力された軌跡を描いて移動する点が、k番目のエリアareat(k)を通過するのにかかった時間をpasst(k)とする。
この表記によれば、細分化エリア情報と軌跡情報に基づいて得られる上記(a2)の判定結果は、〈passt(1),passt(2),……,passt(m)〉という時間の並びとして表すことができる。 (B4) The time taken for the point moving along the input trajectory to pass through the k-th area area t (k) is defined as pass t (k) .
According to this notation, the determination result of (a2) obtained based on the subdivision area information and the trajectory information is <pass t (1) , pass t (2) ,..., Pass t (m) >. It can be expressed as a sequence of time.

さてここで、認証用情報をαと記すことにして、以上の(b1)〜(b4)の記法を用いて説明すると、ステップS102において画面乱数処理部107は、実施形態に応じて下記の式(1)〜(3)のいずれかにしたがって認証用情報αを生成する。
α=f(randt(1),……,randt(m)) (1)
α=f(passt(1),……,passt(m)) (2)
α=f(randt(1),passt(1),……,
randt(m),passt(m)) (3) Here, when the authentication information is denoted as α and described using the above notations (b1) to (b4), the screen random number processing unit 107 in step S102 determines the following formula according to the embodiment: The authentication information α is generated according to any one of (1) to (3).
α = f A (rand t (1) ,..., land t (m) ) (1)
α = f B (pass t (1) ,..., pass t (m) ) (2)
α = f C (rand t (1) , pass t (1) ,...
rand t (m) , pass t (m) ) (3)

式(1)の関数fと式(2)のfはいずれも、例えば、m個の引数を文字列としてそのまま連結する関数でもよいし、所定のデリミタで区切りながらm個の引数を文字列として連結する関数でもよい。あるいは、関数fとfは、m個の各引数を所定の関数gで変換した結果を、文字列としてそのまま(あるいは所定のデリミタで区切りながら)連結する関数でもよい。なお、関数gには逆関数g−1が存在するものとする。 Both the function f A in the expression (1) and f B in the expression (2) may be, for example, a function that directly concatenates m arguments as a character string, or the m arguments are separated by a predetermined delimiter. It may be a function concatenated as a column. Alternatively, the functions f A and f B may be functions that concatenate the results obtained by converting each of m arguments with a predetermined function g as they are (or separated by a predetermined delimiter). Note that the function g has an inverse function g- 1 .

また、関数fとfはいずれも、所定の規則にしたがってm個の引数の順序を入れ換えてから、上記いずれかの連結を行う関数でもよい。所定の規則による順序の入れ換えは、逆変換が存在する変換であれば任意であり、例えば、「順序を逆にする」、「最初から2個ずつ組にして組の中で順序を逆にする」などの入れ換えが利用可能である。 Further, both of the functions f A and f B may be functions that perform any of the above connections after changing the order of m arguments according to a predetermined rule. The change of order according to a predetermined rule is arbitrary as long as the reverse transformation exists. For example, “reverse the order”, “reverse two orders from the beginning, and reverse the order in the set. Can be used.

同様に、式(3)の関数fは、2m個の引数を、文字列としてそのまま(あるいは所定のデリミタで区切りながら)連結する関数でもよい。あるいは、関数fは、奇数番目の各引数を所定の関数gで変換してから連結を行う関数であってもよいし、偶数番目の各引数を所定の関数gで変換してから連結を行う関数であってもよい。なお、関数gとgにはそれぞれ逆関数g −1とg −1が存在するものとする。また、関数fは、所定の規則にしたがって2m個の引数の順序を入れ換えてから、上記いずれかの連結を行う関数でもよい。 Similarly, the function f C in Expression (3) may be a function that concatenates 2m arguments as a character string as they are (or separated by a predetermined delimiter). Alternatively, the function f C may be a function that performs concatenation after converting each odd-numbered argument with a predetermined function g A , or after converting each even-numbered argument with a predetermined function g B. It may be a function that performs concatenation. It is assumed that inverse functions g A −1 and g B −1 exist in the functions g A and g B , respectively. Further, the function f C may be a function that performs any of the above connections after changing the order of 2m arguments according to a predetermined rule.

また、関数f、fおよびfは、認証用情報αから元の引数を一意に求めることができるように定義される。デリミタを使うことにより、あるいは各引数(もしくは引数を関数gなどによって変換した結果)を固定長の文字列とすることにより、認証用情報αから元の引数を一意に求めることができるように関数f、fおよびfを定義することが可能である。 The functions f A , f B and f C are defined so that the original argument can be uniquely obtained from the authentication information α. A function so that the original argument can be uniquely obtained from the authentication information α by using a delimiter or by making each argument (or the result of converting the argument by the function g etc.) into a fixed-length character string. It is possible to define f A , f B and f C.

さて、画面乱数処理部107は、ステップS102において以上のようにして式(1)〜(3)のいずれかにしたがって認証用情報αを生成すると、生成した認証用情報αを情報送信処理部104に出力する。   When the screen random number processing unit 107 generates the authentication information α according to any one of the expressions (1) to (3) as described above in step S102, the screen random number processing unit 107 transmits the generated authentication information α to the information transmission processing unit 104. Output to.

すると、次のステップS103で情報送信処理部104は、認証用情報と車載装置100自身の車載装置IDを含む認証要求のフレーム用のデータ(例えばヘッダと、暗号化する前のペイロードのデータ)を生成する。そして、情報送信処理部104は、生成したデータを上位機器インタフェース部102に出力し、フレームの送信を上位機器インタフェース部102に命じる。   Then, in the next step S103, the information transmission processing unit 104 sends authentication request frame data (for example, header and payload data before encryption) including the authentication information and the in-vehicle device ID of the in-vehicle device 100 itself. Generate. The information transmission processing unit 104 then outputs the generated data to the higher-level device interface unit 102 and instructs the higher-level device interface unit 102 to transmit a frame.

すると、上位機器インタフェース部102は命令にしたがって、ペイロードを暗号化したりフレームの先頭にプリアンブルを付加したりする適宜の処理を行い、認証要求のフレームを生成する。そして、上位機器インタフェース部102は認証要求のフレームを送信する。   Then, in accordance with the command, the higher-level device interface unit 102 performs appropriate processing such as encrypting the payload or adding a preamble to the head of the frame, and generates an authentication request frame. Then, the upper device interface unit 102 transmits an authentication request frame.

また、情報送信処理部104は、タイマをタイムアウト検出用の所定の時間に設定する。なお、認証要求の再送に備えて、情報送信処理部104は、認証用情報か、または生成した認証要求のフレーム用のデータを保持する。   Further, the information transmission processing unit 104 sets the timer to a predetermined time for time-out detection. In preparation for retransmission of the authentication request, the information transmission processing unit 104 holds authentication information or data for the generated authentication request frame.

なお、車載装置100のユーザである運転者は、ステップS101における図形の入力を行った後は運転に専念していてよい。例えば、図3のように駐車場304に駐車されている車両305にエンジンがかけられ、車載装置100に電源が入れられたとすると、ステップS103の時点で車両305は、まだ駐車場304内で停止したままかもしれないし、既に走り出しているかもしれない。   Note that the driver who is the user of the in-vehicle device 100 may concentrate on driving after inputting the graphic in step S101. For example, if the vehicle 305 parked in the parking lot 304 as shown in FIG. 3 is started and the vehicle-mounted device 100 is turned on, the vehicle 305 is still stopped in the parking lot 304 at step S103. You may have left it or you may have already started running.

続いて、ステップS104で情報送信処理部104は、後続の処理を行うためのトリガとなるイベントの発生を待つ。そして、トリガとなるイベントが発生すると、処理はステップS105に移行する。本実施形態ではステップS104でトリガとなるイベントには、認証通知の受信と、拒否通知の受信と、タイムアウトの3種類があり、具体的には以下のようにして検出される。   Subsequently, in step S104, the information transmission processing unit 104 waits for the occurrence of an event serving as a trigger for performing subsequent processing. Then, when an event serving as a trigger occurs, the process proceeds to step S105. In the present embodiment, there are three types of events that are triggered in step S104: reception of an authentication notification, reception of a rejection notification, and timeout, and specifically, they are detected as follows.

ステップS103で上位機器インタフェース部102から送信された認証要求のフレームは、車載装置100と路側機201との間の通信品質が良好であれば、路側機201に受信される。そして、認証要求は、路側機201からネットワーク204を介して、認証サーバ202に送信され、認証サーバ202に到達する。   The authentication request frame transmitted from the higher-level device interface unit 102 in step S103 is received by the roadside device 201 if the communication quality between the in-vehicle device 100 and the roadside device 201 is good. Then, the authentication request is transmitted from the roadside device 201 to the authentication server 202 via the network 204 and reaches the authentication server 202.

例えば、駐車場304を出た車両305が信号機303c付近で徐行あるいは停止しているときにステップS103が実行されるとする。この場合、大型車両などの遮蔽物によって車両305と路側機201cとの間が遮られていなければ、上位機器インタフェース部102と、信号機303cに取り付けられた路側機201cとの間の通信品質は良好であることが多い。   For example, it is assumed that step S103 is executed when the vehicle 305 exiting the parking lot 304 is slowing down or stopping near the traffic light 303c. In this case, if the space between the vehicle 305 and the roadside device 201c is not blocked by a shield such as a large vehicle, the communication quality between the host device interface unit 102 and the roadside device 201c attached to the traffic light 303c is good. Often.

上位機器インタフェース部102と路側機201cとの間の通信品質が良好なとき、認証要求のフレームは、路側機201cにおいて成功裡に受信される。すると、認証要求は路側機201cにより中継され、ネットワーク204を介して認証サーバ202に送信される。   When the communication quality between the host device interface unit 102 and the roadside device 201c is good, the authentication request frame is successfully received by the roadside device 201c. Then, the authentication request is relayed by the roadside device 201 c and transmitted to the authentication server 202 via the network 204.

そして、認証要求が認証サーバ202に到達すると、詳しくは図5とともに後述するように、認証サーバ202は認証要求に含まれる認証用情報と車載装置IDに基づいて認証処理を行う。   When the authentication request reaches the authentication server 202, as will be described in detail later with reference to FIG. 5, the authentication server 202 performs an authentication process based on the authentication information and the in-vehicle device ID included in the authentication request.

認証サーバ202は、認証処理の結果、認証用情報が正当な情報か不正な情報かを判断する。そして、認証用情報が正当な情報であると判断した場合、認証サーバ202は認証通知を送信する。他方、認証用情報が不正な情報であると判断した場合、認証サーバ202は拒否通知を送信する。そして、認証通知または拒否通知は、ネットワーク204と路側機201を介して車載装置100に到達し、上位機器インタフェース部102において受信される。   The authentication server 202 determines whether the authentication information is valid information or illegal information as a result of the authentication process. If the authentication server 202 determines that the authentication information is valid information, the authentication server 202 transmits an authentication notification. On the other hand, when it is determined that the authentication information is invalid information, the authentication server 202 transmits a rejection notice. Then, the authentication notification or rejection notification reaches the in-vehicle device 100 via the network 204 and the roadside device 201 and is received by the higher-level device interface unit 102.

例えば、上記のように路側機201cを介して認証要求が送信された場合、車両305は認証要求の送信後にもまだ路側機201cの付近に位置しているかもしれないし、既に路側機201cから離れているかもしれない。そこで、詳しくは図5とともに後述するように、認証サーバ202は、路側機201cだけでなく、路側機201cから所定の範囲内にある他の路側機201(例えば路側機201bなど)にも宛てて、認証通知または拒否通知を送信する。   For example, when an authentication request is transmitted through the roadside machine 201c as described above, the vehicle 305 may still be located near the roadside machine 201c after the transmission of the authentication request, or has already been separated from the roadside machine 201c. May have. Therefore, as will be described in detail later with reference to FIG. 5, the authentication server 202 is addressed not only to the roadside machine 201c but also to other roadside machines 201 (for example, the roadside machine 201b) within a predetermined range from the roadside machine 201c. , Send authentication notification or rejection notification.

そして、認証サーバ202から認証通知または拒否通知を受信した路側機201cや路側機201bなどは、所定の長さの期間にわたり、認証通知または拒否通知のフレームの送信を適宜の間隔で繰り返す。   The roadside device 201c, the roadside device 201b, and the like that have received the authentication notification or rejection notification from the authentication server 202 repeat the transmission of the authentication notification or rejection notification frame at appropriate intervals over a predetermined length of time.

例えば、上記の「所定の範囲」を規定する距離あるいは道のりを、適宜に想定された平均的な車速で移動するのにかかる時間が、30秒であるとする。すると、上記「所定の長さ」とは、30秒間でもよいし、30秒に適宜のマージンを加えた長さでもよい。また、上記「適宜の間隔」とは、例えば、1台の路側機201の通信可能範囲を、上記の適宜に想定された平均的な車速で端から端まで移動するのにかかる時間よりも短い時間である。   For example, it is assumed that the time required to move the distance or road that defines the “predetermined range” at an average vehicle speed that is appropriately assumed is 30 seconds. Then, the “predetermined length” may be 30 seconds or a length obtained by adding an appropriate margin to 30 seconds. Further, the “appropriate interval” is shorter than the time taken to move from one end to the other at the average vehicle speed assumed as appropriate in the communicable range of one roadside device 201, for example. It's time.

よって、認証サーバ202が宛先に路側機201を適切に選択し、かつ上記の期間と間隔が適切に設定されていれば、車載装置100の上位機器インタフェース部102は、認証通知または拒否通知のフレームを受信することができる。例えば、上位機器インタフェース部102は、車両305が信号機303bの付近で停止したとき、あるいは信号機303bの付近を通過するときに、路側機201bから認証通知または拒否通知のフレームを受信するかもしれない。   Therefore, if the authentication server 202 appropriately selects the roadside device 201 as a destination, and the above-described period and interval are appropriately set, the host device interface unit 102 of the in-vehicle device 100 may receive an authentication notification or rejection notification frame. Can be received. For example, the host device interface unit 102 may receive an authentication notification or rejection notification frame from the roadside device 201b when the vehicle 305 stops in the vicinity of the traffic light 303b or passes through the vicinity of the traffic light 303b.

すると、上位機器インタフェース部102は、受信した認証通知または拒否通知のフレームに対して、例えば同期用のプリアンブルを除いたり、ペイロードにおいて暗号化されている部分を復号したりする処理を行う。そして、上位機器インタフェース部102は、認証通知または拒否通知のフレームの処理後のデータを情報受信処理部103に出力する。   Then, the higher-level device interface unit 102 performs processing for removing, for example, the synchronization preamble or decrypting the encrypted portion of the payload for the received authentication notification or rejection notification frame. Then, the higher-level device interface unit 102 outputs the data after processing the authentication notification or rejection notification frame to the information reception processing unit 103.

また、情報受信処理部103は、上位機器インタフェース部102からのデータの入力を、認証通知または拒否通知の受信というトリガの発生として検出し、トリガの検出を情報送信処理部104に通知する。すると、情報送信処理部104は、ステップS103で設定したタイマを無効化し、再送用に保持していた認証用情報または認証要求のフレーム用のデータを破棄する。   Further, the information reception processing unit 103 detects the input of data from the higher-level device interface unit 102 as the occurrence of a trigger for receiving an authentication notification or a rejection notification, and notifies the information transmission processing unit 104 of the detection of the trigger. Then, the information transmission processing unit 104 invalidates the timer set in step S103 and discards the authentication information or authentication request frame data held for retransmission.

なお、タイマに設定される上記所定の時間は、ネットワーク204の構成、認証サーバ202のスループット、もしくは路側機201の設置間隔などに応じて適切に決められているものとする。ネットワーク204の構成と認証サーバ202のスループットは、認証のためのラウンドトリップタイムに影響する。   It is assumed that the predetermined time set in the timer is appropriately determined according to the configuration of the network 204, the throughput of the authentication server 202, the installation interval of the roadside device 201, or the like. The configuration of the network 204 and the throughput of the authentication server 202 affect the round trip time for authentication.

また、例えば、認証サーバ202が宛先の路側機201を決めるのに用いる上記の「所定の範囲」を規定する距離あるいは道のりは、路側機201の設置間隔を考慮して決められてもよい。そして、上記の「所定の範囲」を規定する距離あるいは道のりを、適宜に想定された平均的な車速で移動するのにかかる時間が、例えば30秒であるとする。すると、タイマに設定されるのに適切な時間は、30秒以上の時間である。つまり、タイマに設定されるのに適切な時間は、路側機201の設置間隔を間接的に考慮に入れて決められてもよい。   Further, for example, the distance or distance that defines the “predetermined range” used by the authentication server 202 to determine the destination roadside device 201 may be determined in consideration of the installation interval of the roadside device 201. Then, it is assumed that the time required to move the distance or road that defines the “predetermined range” at an average vehicle speed that is appropriately assumed is, for example, 30 seconds. Then, an appropriate time to be set in the timer is 30 seconds or more. That is, an appropriate time to be set in the timer may be determined by indirectly taking into account the installation interval of the roadside machine 201.

タイマに適切な時間が設定されれば、認証通知または拒否通知の受信というトリガは、もし発生するならば、例外的な場合を除いて、タイマがタイムアウトする前に発生することになる。以下では、タイマに設定される時間は予め適切に決められているものとする。   If an appropriate time is set in the timer, the trigger to receive an authentication notification or a rejection notification will occur before the timer times out, except in exceptional cases. In the following, it is assumed that the time set in the timer is appropriately determined in advance.

他方、ステップS103において車載装置100と路側機201との間の通信品質が良好でなければ、ステップS103で上位機器インタフェース部102から送信された認証要求のフレームは、どの路側機201にも受信されず、認証サーバ202にも到達しない。この場合、当然、認証サーバ202が認証処理を行うこともなく、認証通知または拒否通知が認証サーバ202から車載装置100へと送信されることもない。   On the other hand, if the communication quality between the in-vehicle device 100 and the roadside device 201 is not good in step S103, the authentication request frame transmitted from the higher-level device interface unit 102 in step S103 is received by any roadside device 201. In addition, the authentication server 202 is not reached. In this case, naturally, the authentication server 202 does not perform the authentication process, and the authentication notification or the rejection notification is not transmitted from the authentication server 202 to the in-vehicle device 100.

例えば、車両305がまだ駐車場304に位置しているときにステップS103が実行された場合、車両305の付近(つまり車両305に搭載された車載装置100と無線通信が可能な範囲内)には路側機201が存在しない。よって、車載装置100はどの路側機201との間の通信品質も良好とは言えず、送信された認証要求は認証サーバ202に到達しない。   For example, when step S103 is executed when the vehicle 305 is still located at the parking lot 304, the vehicle 305 is located in the vicinity of the vehicle 305 (that is, within a range where wireless communication with the vehicle-mounted device 100 mounted on the vehicle 305 is possible). The roadside machine 201 does not exist. Therefore, it cannot be said that the in-vehicle device 100 has good communication quality with any roadside device 201, and the transmitted authentication request does not reach the authentication server 202.

よって、この場合は、情報送信処理部104がステップS103でタイマに設定した時間以内に認証通知のフレームも拒否通知のフレームも受信されずに、タイマがタイムアウトする。そして、情報送信処理部104はタイムアウトをトリガの発生として検出する。例えば、タイムアウトが検出された時点で、車両305は、既に駐車場304から出て交差点302e付近を走行しているかもしれない。   Therefore, in this case, the timer times out without receiving the authentication notification frame or the rejection notification frame within the time set by the information transmission processing unit 104 in step S103. Then, the information transmission processing unit 104 detects a timeout as a trigger occurrence. For example, when a time-out is detected, the vehicle 305 may have already left the parking lot 304 and traveled near the intersection 302e.

以上のようにして、情報送信処理部104がトリガの発生を、情報受信処理部103からの通知またはタイマのタイムアウトにより認識すると、処理はステップS105に移行する。   As described above, when the information transmission processing unit 104 recognizes the occurrence of the trigger by the notification from the information reception processing unit 103 or the timeout of the timer, the process proceeds to step S105.

そして、ステップS105で情報送信処理部104は、トリガとして検出されたイベントの種類を判断する。検出されたトリガが拒否通知の受信であれば、図4の処理が終了し、検出されたトリガが認証通知の受信であれば、処理はステップS106に移行する。また、検出されたトリガがタイムアウトであれば、処理はステップS103に戻る。   In step S105, the information transmission processing unit 104 determines the type of event detected as a trigger. If the detected trigger is reception of a rejection notification, the process of FIG. 4 ends. If the detected trigger is reception of an authentication notification, the process proceeds to step S106. If the detected trigger is a timeout, the process returns to step S103.

以上のステップS103〜S105の処理により、通信環境が悪ければ必要に応じて認証要求のフレームの再送が繰り返される。よって、いずれは結局、認証通知と拒否通知のいずれかの受信がトリガとして検出される。   As a result of the processes in steps S103 to S105, if the communication environment is bad, retransmission of the authentication request frame is repeated as necessary. Accordingly, in any event, reception of either the authentication notification or the rejection notification is detected as a trigger.

つまり、ステップS101で入力された図形が正当な図形であれば、遅かれ早かれ認証通知の受信がトリガとして検出され、処理がステップS106に移行する。また、ステップS101で入力された図形が不正な図形であれば、遅かれ早かれ拒否通知の受信がトリガとして検出され、図4の処理が終了する。   That is, if the graphic input in step S101 is a valid graphic, the reception of the authentication notification is detected as a trigger sooner or later, and the process proceeds to step S106. If the figure input in step S101 is an illegal figure, the reception of the rejection notice is detected as a trigger sooner or later, and the process of FIG. 4 ends.

ステップS106〜S111の処理は、次回の認証に備えて鍵情報の更新を認証サーバ202に要求し、鍵情報を更新するための処理である。
ステップS106で情報送信処理部104は、地図情報と車速から推測される通信品質が良好であるか否かを判断する。なお、第1実施形態では、車両状態判定部108が地図情報と車速から車両305の状態を判定し、通信品質は車両305の状態から推測される。 The processes in steps S106 to S111 are processes for requesting the authentication server 202 to update the key information in preparation for the next authentication and updating the key information.
In step S106, the information transmission processing unit 104 determines whether or not the communication quality estimated from the map information and the vehicle speed is good. In the first embodiment, the vehicle state determination unit 108 determines the state of the vehicle 305 from the map information and the vehicle speed, and the communication quality is estimated from the state of the vehicle 305.

具体的には、車載装置100が搭載されている車両305が信号機の付近で停車していると見なせる状態か否かを車両状態判定部108が判定する。
つまり、車両状態判定部108は、格納部105から地図情報を読み出し、外部センサ110からの出力が示す車両305の位置との距離が閾値D以下の範囲に信号機があるか否かを、地図情報から判定する。そして、車両状態判定部108は、車両305の位置との距離が閾値D以下の範囲に信号機があれば、「車両305は信号機の付近にある」と判定し、車両305の位置との距離が閾値D以下の範囲に信号機がなければ、「車両305は信号機の付近にはない」と判定する。閾値Dは、上位機器インタフェース部102が良好な通信品質で路側機201との間で無線通信を行うことが可能な距離に基づいて決められる。 Specifically, the vehicle state determination unit 108 determines whether or not the vehicle 305 on which the in-vehicle device 100 is mounted can be regarded as being stopped near the traffic light.
That is, the vehicle state determination unit 108 reads the map information from the storage unit 105, and determines whether there is a traffic signal in the range where the distance from the position of the vehicle 305 indicated by the output from the external sensor 110 is equal to or less than the threshold D. Judgment from. The vehicle state determination unit 108 determines that “the vehicle 305 is in the vicinity of the traffic signal” if there is a traffic signal in the range where the distance from the position of the vehicle 305 is equal to or less than the threshold D, and the distance from the position of the vehicle 305 is If there is no traffic light in the range below the threshold D, it is determined that “the vehicle 305 is not in the vicinity of the traffic light”. The threshold value D is determined based on a distance at which the higher-level device interface unit 102 can perform wireless communication with the roadside device 201 with good communication quality.

なお、この例に限らず、閾値との比較は、実施形態により「閾値を超えるか、それとも閾値以下か」でもよいし、「閾値以上か、それとも閾値未満か」でもよく、適宜方針を定めることができる。   In addition to this example, the comparison with the threshold value may be “whether it exceeds the threshold value or less than the threshold value” or “whether it is more than the threshold value or less than the threshold value” depending on the embodiment. Can do.

また、車両状態判定部108は、外部センサ110からの出力が示す車速と閾値Vを比較し、車速が閾値V以下であれば「車両305は停止していると見なせる」と判定し、車速が閾値Vを超えていれば「車両305は停止しているとは見なせない」と判定する。なお、閾値Vはゼロでもよいし、小さな正の値でもよい。   Further, the vehicle state determination unit 108 compares the vehicle speed indicated by the output from the external sensor 110 with the threshold value V, and determines that the vehicle 305 can be regarded as stopped if the vehicle speed is equal to or lower than the threshold value V. If the threshold value V is exceeded, it is determined that “the vehicle 305 cannot be regarded as stopped”. The threshold value V may be zero or a small positive value.

そして、車両状態判定部108は、「車両305は信号機の付近にあり、かつ停止していると見なせる」という条件が成立するか否かを判定し、判定結果を情報送信処理部104に出力する。車両状態判定部108による判定結果は、以下の説明から明らかなように、ある種のフレームの送信のタイミングを車両305の状態に応じて制御するためのタイミング制御情報として利用される。   Then, the vehicle state determination unit 108 determines whether or not the condition “the vehicle 305 is in the vicinity of the traffic light and can be regarded as being stopped” is satisfied, and the determination result is output to the information transmission processing unit 104. . The determination result by the vehicle state determination unit 108 is used as timing control information for controlling the transmission timing of a certain type of frame according to the state of the vehicle 305, as will be apparent from the following description.

なお、車両状態判定部108は、例えば定期的に車両305の状態を判定し、判定のたびに判定結果を情報送信処理部104に出力してもよい。あるいは、ステップS106において、車両305の状態の判定を行うよう情報送信処理部104が車両状態判定部108に明示的な指示を与え、車両状態判定部108が指示にしたがって車両305の状態を判定してもよい。いずれにしろ、車両状態判定部108は、車両305が信号機の付近で停止していると見なせる状態か否かを示す情報を、情報送信処理部104に出力する。   Note that the vehicle state determination unit 108 may periodically determine the state of the vehicle 305, for example, and output the determination result to the information transmission processing unit 104 for each determination. Alternatively, in step S106, the information transmission processing unit 104 gives an explicit instruction to the vehicle state determination unit 108 to determine the state of the vehicle 305, and the vehicle state determination unit 108 determines the state of the vehicle 305 according to the instruction. May be. In any case, the vehicle state determination unit 108 outputs information indicating whether or not the vehicle 305 can be regarded as being stopped near the traffic signal to the information transmission processing unit 104.

そして、車両状態判定部108から「車両305が信号機の付近で停止していると見なせる状態である」と示す情報が入力された場合、情報送信処理部104は、「通信品質が良好だろう」と推測する。逆に、車両状態判定部108から「車両305は信号機の付近で停止していると見なせる状態ではない」と示す情報が入力された場合、情報送信処理部104は、「通信品質が良好ではないだろう」と推測する。情報送信処理部104がこのような推測を行う理由は次のとおりである。   When information indicating that “the vehicle 305 is in a state where it can be regarded as being stopped near the traffic light” is input from the vehicle state determination unit 108, the information transmission processing unit 104 determines that “communication quality is good”. I guess. Conversely, when information indicating that “the vehicle 305 is not in a state where it can be regarded as being stopped near a traffic light” is input from the vehicle state determination unit 108, the information transmission processing unit 104 determines that “communication quality is not good. I guess. " The reason why the information transmission processing unit 104 performs such estimation is as follows.

第1に、例えば図3の例のように、路側機201は信号機に取り付けられることが多い。よって、車両305が信号機の付近にあれば車両305の付近に路側機201が存在する場合が多い。つまり、車両305が信号機の付近にあれば、車載装置100と路側機201との間に通信品質の良い無線通信路を確立することができる蓋然性が高い。   First, as in the example of FIG. 3, for example, the roadside device 201 is often attached to a traffic signal. Therefore, if the vehicle 305 is in the vicinity of the traffic signal, the roadside unit 201 often exists in the vicinity of the vehicle 305. That is, if the vehicle 305 is in the vicinity of the traffic signal, there is a high probability that a wireless communication path with good communication quality can be established between the in-vehicle device 100 and the roadside device 201.

第2に、無線通信においては、移動局の移動速度が速いほど通信路は不安定であり、通信断などが発生しやすい。他方、移動局が停止していれば、通信路は安定した通信品質を保ちやすい。しかも、車両305が信号機の付近で停止していれば、車両305は、赤信号のために停止している蓋然性が高く、信号機が赤の間しばらくは動かないと推測される。つまり、通信が途中で切断されるおそれがあまりない。   Second, in wireless communication, the higher the moving speed of the mobile station, the more unstable the communication path, and the more likely the communication is interrupted. On the other hand, if the mobile station is stopped, the communication path tends to maintain stable communication quality. Moreover, if the vehicle 305 is stopped in the vicinity of the traffic light, the vehicle 305 has a high probability of being stopped due to a red light, and it is estimated that the traffic light does not move for a while during the red light. That is, there is no possibility that communication is cut off in the middle.

したがって、上記の第1と第2の理由から、車両305が信号機の付近で停車した状態であれば、車両305と路側機201との間に、フレームの受信が完了するまでにかかる時間の間、通信品質の良好な無線通信路が安定的に確立される蓋然性が高い。つまり、車載装置100と路側機201の間の通信が成功する蓋然性が高い。   Therefore, for the above first and second reasons, if the vehicle 305 is stopped near the traffic light, the time required for the frame reception between the vehicle 305 and the roadside device 201 to be completed is completed. There is a high probability that a wireless communication channel with good communication quality will be established stably. That is, there is a high probability that communication between the in-vehicle device 100 and the roadside device 201 will be successful.

また、付加的な第3の理由として、カーナビゲーション装置などのための既存の地図情報は信号機の位置を示す情報を含むことが多いことが挙げられる。つまり、車両305が信号機の付近に存在するか否かという判定のためには、既存の地図情報を流用することが可能であり、地図情報作成のための初期コストは不要である。コストの抑制は車載装置100の普及にとって有利な点である。   As an additional third reason, existing map information for a car navigation device or the like often includes information indicating the position of a traffic light. That is, in order to determine whether or not the vehicle 305 exists in the vicinity of the traffic light, it is possible to divert existing map information, and an initial cost for creating map information is unnecessary. Cost reduction is advantageous for the spread of the in-vehicle device 100.

さて、以上のようにしてステップS106において情報送信処理部104は、通信品質を推測する。そして、情報送信処理部104は、通信が成功する蓋然性の高いタイミングを見計らって通信を行うために、推測される通信品質が良好になるまで待機する。推測される通信品質が良好であれば、処理はステップS107に移行する。   As described above, in step S106, the information transmission processing unit 104 estimates the communication quality. Then, the information transmission processing unit 104 waits until the estimated communication quality is good in order to perform communication in anticipation of timing with a high probability of successful communication. If the estimated communication quality is good, the process proceeds to step S107.

ステップS107の処理は、推測される通信品質が良好なとき、すなわち路側機201との通信に成功する蓋然性の高いときに実行される。
具体的には、ステップS107で情報送信処理部104は、鍵情報の更新を認証サーバ202に要求するための鍵情報更新要求のフレーム用のデータ(例えばヘッダとペイロード)を生成し、生成したデータを上位機器インタフェース部102に出力する。そして、情報送信処理部104は、フレームの送信を上位機器インタフェース部102に命じる。すると、上位機器インタフェース部102は命令にしたがって、必要に応じてフレームの先頭にプリアンブルを付加するなどの処理を行い、鍵情報更新要求のフレームを送信する。 The process of step S107 is executed when the estimated communication quality is good, that is, when there is a high probability that communication with the roadside device 201 will be successful.
Specifically, in step S107, the information transmission processing unit 104 generates data for a key information update request frame (for example, header and payload) for requesting the authentication server 202 to update the key information, and the generated data Is output to the higher-level device interface unit 102. Then, the information transmission processing unit 104 instructs the higher-level device interface unit 102 to transmit a frame. Then, in accordance with the command, the higher-level device interface unit 102 performs processing such as adding a preamble to the head of the frame as necessary, and transmits a key information update request frame.

このように、ステップS107において情報送信処理部104と上位機器インタフェース部102は、協働して、更新要求を生成する第2の生成手段として機能する。また、車両状態判定部108と情報送信処理部104と上位機器インタフェース部102は、協働して、車載装置100を搭載した車両305の状態に基づいたタイミングで無線通信により更新要求を送信する送信手段としても機能する。つまり、車両状態判定部108と情報送信処理部104は、送信手段の一部としてタイミングの制御を行い、上位機器インタフェース部102は、送信手段の一部としてフレームの送信を実現する。   As described above, in step S107, the information transmission processing unit 104 and the higher-level device interface unit 102 cooperate to function as a second generation unit that generates an update request. Further, the vehicle state determination unit 108, the information transmission processing unit 104, and the higher-level device interface unit 102 cooperate to transmit an update request by wireless communication at a timing based on the state of the vehicle 305 on which the in-vehicle device 100 is mounted. It also functions as a means. That is, the vehicle state determination unit 108 and the information transmission processing unit 104 perform timing control as part of the transmission unit, and the higher-level device interface unit 102 realizes frame transmission as part of the transmission unit.

また、情報送信処理部104は、フレームの送信を上位機器インタフェース部102に命じた後、タイマをタイムアウト検出用の所定の時間に設定する。なお、フレームの再送に備えて、情報送信処理部104は、生成した鍵情報更新要求のフレーム用のデータを保持してもよい。   In addition, the information transmission processing unit 104 instructs the host device interface unit 102 to transmit a frame, and then sets a timer to a predetermined time for time-out detection. In preparation for retransmission of the frame, the information transmission processing unit 104 may hold data for the generated key information update request frame.

また、ステップS107でタイマに設定される値は、ステップS103でタイマに設定される値と同じでもよいし、違っていてもよいが、適切な値が定められているものとする。つまり、ステップS107でタイマに設定される値も、ネットワーク204の構成、認証サーバ202のスループット、路側機201の設置間隔などに応じて適切に決められているものとする。   The value set in the timer in step S107 may be the same as or different from the value set in the timer in step S103, but it is assumed that an appropriate value is set. That is, it is assumed that the value set in the timer in step S107 is also appropriately determined according to the configuration of the network 204, the throughput of the authentication server 202, the installation interval of the roadside device 201, and the like.

続いて、ステップS108で情報送信処理部104は、後続の処理を行うためのトリガとなるイベントの発生を待つ。そして、トリガとなるイベントが発生すると、処理はステップS109に移行する。本実施形態ではステップS108でトリガとなるイベントには、鍵情報更新通知の受信とタイムアウトの2種類があり、具体的には以下のようにして検出される。   Subsequently, in step S108, the information transmission processing unit 104 waits for the occurrence of an event serving as a trigger for performing subsequent processing. Then, when an event serving as a trigger occurs, the process proceeds to step S109. In the present embodiment, there are two types of events that are triggered in step S108: reception of a key information update notification and timeout, and are specifically detected as follows.

ステップS107で上位機器インタフェース部102から送信された鍵情報更新要求は、車載装置100と路側機201との間の通信品質が良好であれば、路側機201とネットワーク204を介して、認証サーバ202に到達する。その場合、詳しくは図5とともに後述するが、認証サーバ202は車載装置100用の新たな鍵情報を生成し、新たな鍵情報を含む鍵情報更新通知を車載装置100に返信する。   If the communication quality between the in-vehicle device 100 and the roadside device 201 is good, the key information update request transmitted from the higher-level device interface unit 102 in step S107 is the authentication server 202 via the roadside device 201 and the network 204. To reach. In this case, as will be described in detail later with reference to FIG. 5, the authentication server 202 generates new key information for the in-vehicle device 100 and returns a key information update notification including the new key information to the in-vehicle device 100.

そして、鍵情報更新通知は、ネットワーク204と路側機201を介して車載装置100に到達し、上位機器インタフェース部102において受信される。
すると、上位機器インタフェース部102は受信した鍵情報更新通知のフレームのデータ(例えばヘッダとペイロード)を情報受信処理部103に出力する。つまり、上位機器インタフェース部102と情報受信処理部103は、協働して、更新要求に応じて無線通信により送信される新たな鍵情報を受信する受信手段として機能する。また、情報受信処理部103は、上位機器インタフェース部102からのデータの入力を、鍵情報更新通知の受信というトリガの発生として検出し、トリガの検出を情報送信処理部104に通知する。 The key information update notification reaches the in-vehicle device 100 via the network 204 and the roadside device 201 and is received by the higher-level device interface unit 102.
Then, the host device interface unit 102 outputs the received key information update notification frame data (for example, header and payload) to the information reception processing unit 103. That is, the host device interface unit 102 and the information reception processing unit 103 cooperate to function as a reception unit that receives new key information transmitted by wireless communication in response to an update request. In addition, the information reception processing unit 103 detects the input of data from the higher-level device interface unit 102 as the occurrence of a trigger called reception of the key information update notification, and notifies the information transmission processing unit 104 of the detection of the trigger.

すると、情報送信処理部104は、ステップS107で設定したタイマを無効化する。また、情報送信処理部104は、もし再送用に鍵情報更新要求のフレーム用のデータを保持しているのであれば、鍵情報更新要求のフレーム用のデータを破棄する。   Then, the information transmission processing unit 104 invalidates the timer set in step S107. Further, if the information transmission processing unit 104 holds the data for the key information update request frame for retransmission, the information transmission processing unit 104 discards the data for the key information update request frame.

例えば、ステップS106において、「車両305が信号機303hの付近で停止していると見なせる」と車両状態判定部108が判定したとする。すると、特に遮蔽物などがなければ、ステップS107で送信された鍵情報更新要求のフレームは、信号機303hに取り付けられた路側機201hにおいて成功裡に受信される。   For example, in step S106, it is assumed that the vehicle state determination unit 108 determines that “the vehicle 305 can be regarded as being stopped near the traffic light 303h”. Then, if there is no particular obstacle or the like, the key information update request frame transmitted in step S107 is successfully received by the roadside device 201h attached to the traffic light 303h.

すると、鍵情報更新要求が路側機201hからネットワーク204を介して認証サーバ202に送信されるので、認証サーバ202は、新たな鍵情報を生成し、路側機201hに鍵情報更新通知を送信する。よって、車両305がしばらく信号機303hの付近にとどまっていれば、車載装置100は路側機201hから鍵情報更新通知のフレームを受信することができる。   Then, since the key information update request is transmitted from the roadside device 201h to the authentication server 202 via the network 204, the authentication server 202 generates new key information and transmits a key information update notification to the roadside device 201h. Therefore, if the vehicle 305 stays in the vicinity of the traffic light 303h for a while, the in-vehicle device 100 can receive the key information update notification frame from the roadside device 201h.

あるいは、車載装置100が鍵情報更新要求のフレームを送信した直後に車両305が動き出してしまい、鍵情報更新通知を受信しないうちに(あるいは受信の途中で)路側機201hと無線通信が可能な範囲から車載装置100が出てしまうこともありうる。しかし、そのような場合にも、車載装置100は鍵情報更新通知のフレームを受信することができることがある。   Alternatively, the vehicle 305 starts moving immediately after the in-vehicle device 100 transmits the key information update request frame, and the wireless communication with the roadside device 201h is possible before (or during the reception of) the key information update notification. It is possible that the in-vehicle device 100 comes out from. However, even in such a case, the in-vehicle device 100 may be able to receive the key information update notification frame.

なぜなら、第1に、認証サーバ202は、路側機201hだけでなく、例えば路側機201kなどの路側機201hの近くの他の路側機201にも、鍵情報更新通知を送信するからである。そして、第2に、路側機201は、認証通知または拒否通知のフレームの場合と同様に他の種別のフレームの場合でも、所定の長さの期間にわたり適宜の間隔でフレームの送信を繰り返すからである。例えば、車両305が信号機303kの付近まで来たときに、ステップS108で上位機器インタフェース部102が鍵情報更新通知のフレームを路側機201kから受信することもある。   This is because, firstly, the authentication server 202 transmits the key information update notification not only to the roadside machine 201h but also to other roadside machines 201 near the roadside machine 201h such as the roadside machine 201k. Second, the roadside device 201 repeats frame transmission at appropriate intervals over a predetermined length of time even in the case of other types of frames as in the case of authentication notification or rejection notification frames. is there. For example, when the vehicle 305 comes to the vicinity of the traffic signal 303k, the higher-level device interface unit 102 may receive a key information update notification frame from the roadside device 201k in step S108.

他方、ステップS106における「通信品質が良好であろう」という推測にもかかわらず、実際の通信品質が良好ではない場合、ステップS107で送信された鍵情報更新要求のフレームは、どの路側機201にも受信されない。よって、鍵情報更新要求は認証サーバ202に到達しない。   On the other hand, if the actual communication quality is not good despite the assumption that “communication quality will be good” in step S106, the key information update request frame transmitted in step S107 is sent to which roadside device 201. Is not received. Therefore, the key information update request does not reach the authentication server 202.

例えば、車両305が交差点302cで停止しているとき、車両状態判定部108は、「車両305は信号機303dの付近で停止していると見なせる」と判定する。その結果、情報送信処理部104は、「通信品質は良好であろう」と推測する。しかし、図3のように信号機303dには路側機201が取り付けられていないので、ステップS107で送信された鍵情報更新要求のフレームは、どの路側機201にも受信されない。   For example, when the vehicle 305 is stopped at the intersection 302c, the vehicle state determination unit 108 determines that “the vehicle 305 can be regarded as being stopped near the traffic light 303d”. As a result, the information transmission processing unit 104 estimates that “communication quality will be good”. However, since the roadside device 201 is not attached to the traffic light 303d as shown in FIG. 3, the key information update request frame transmitted in step S107 is not received by any roadside device 201.

よって、この場合は、情報送信処理部104がステップS107でタイマに設定した時間以内に鍵情報更新要求のフレームが受信されることなく、タイマがタイムアウトする。そして、ステップS108において情報送信処理部104はタイムアウトをトリガの発生として検出する。   Therefore, in this case, the timer times out without receiving the key information update request frame within the time set by the information transmission processing unit 104 in step S107. In step S108, the information transmission processing unit 104 detects a timeout as the occurrence of a trigger.

以上のようにして、情報送信処理部104がトリガの発生を、情報受信処理部103からの通知またはタイマのタイムアウトにより認識すると、処理はステップS109に移行する。   As described above, when the information transmission processing unit 104 recognizes the occurrence of the trigger by the notification from the information reception processing unit 103 or the timeout of the timer, the process proceeds to step S109.

そして、ステップS109で情報送信処理部104は、トリガとして検出されたイベントの種類を判断する。検出されたトリガが鍵情報更新通知の受信であれば、処理はステップS110に移行する。また、検出されたトリガがタイムアウトであれば、処理はステップS106に戻る。   In step S109, the information transmission processing unit 104 determines the type of event detected as a trigger. If the detected trigger is reception of a key information update notification, the process proceeds to step S110. If the detected trigger is timed out, the process returns to step S106.

以上のステップS106〜S109の処理により、情報送信処理部104は、通信環境が良さそうなタイミングを見計らって鍵情報更新要求のフレームを送信するための制御を行う。そして、たとえ情報送信処理部104による通信品質の推測が間違っていたとしても、必要に応じて鍵情報更新要求のフレームの再送が繰り返される。よって、いずれは結局、鍵情報更新通知の受信がトリガとして検出される。   Through the processes in steps S106 to S109 described above, the information transmission processing unit 104 performs control for transmitting a key information update request frame in anticipation of a timing at which the communication environment is likely to be good. Even if the communication quality estimation by the information transmission processing unit 104 is wrong, retransmission of the key information update request frame is repeated as necessary. Therefore, eventually, reception of the key information update notification is detected as a trigger.

なお、ほとんどの信号機に路側機201が取り付けられているような、路側機201が十分に整備された環境においては、ステップS106における推測が当たる確率が高い。そして、ステップS106における推測が正しい場合、タイムアウト用の時間が適切に設定されていれば、ステップS108でトリガとしてタイムアウトが検出されることはほとんどない。よって、路側機201が十分に整備された環境においては、フレームの再送はあまり生じず、ステップS106の処理により無線リソースの無駄な消費を抑えることができる。   Note that in an environment where the roadside machine 201 is sufficiently prepared such that the roadside machine 201 is attached to almost all traffic signals, there is a high probability that the estimation in step S106 will be successful. If the estimation in step S106 is correct, if the time for timeout is set appropriately, the timeout is hardly detected as a trigger in step S108. Therefore, in an environment where the roadside device 201 is sufficiently prepared, the retransmission of the frame does not occur so much, and wasteful consumption of radio resources can be suppressed by the processing in step S106.

さて、次のステップS110では、情報受信処理部103が、ステップS108で上位機器インタフェース部102から出力された鍵情報更新通知から新たな鍵情報を取り出し、格納部105に格納されている現在の鍵情報を新たな鍵情報で上書き更新する。   In the next step S110, the information reception processing unit 103 extracts new key information from the key information update notification output from the higher-level device interface unit 102 in step S108, and stores the current key stored in the storage unit 105. The information is overwritten and updated with new key information.

具体的には、新たな鍵情報には新たな乱数情報が含まれるので、情報受信処理部103は格納部105内の乱数情報を新たな乱数情報で上書きする。また、細分化エリア情報が可変の場合は、新たな鍵情報には新たな細分化エリア情報が含まれるので、情報受信処理部103は格納部105内の細分化エリア情報を新たな細分化エリア情報で上書きする。   Specifically, since the new key information includes new random number information, the information reception processing unit 103 overwrites the random number information in the storage unit 105 with the new random number information. If the subdivision area information is variable, the new key information includes new subdivision area information. Therefore, the information reception processing unit 103 converts the subdivision area information in the storage unit 105 into a new subdivision area. Overwrite with information.

そして、次のステップS111で情報送信処理部104は、鍵情報を更新したことを認証サーバ202に通知するための鍵情報受領通知のフレーム用のデータ(例えばヘッダとペイロード)を生成し、生成したデータを上位機器インタフェース部102に出力する。さらに、情報送信処理部104は、フレームの送信を上位機器インタフェース部102に命じる。   In step S111, the information transmission processing unit 104 generates and generates key information receipt notification frame data (for example, header and payload) for notifying the authentication server 202 that the key information has been updated. The data is output to the higher-level device interface unit 102. Further, the information transmission processing unit 104 instructs the higher-level device interface unit 102 to transmit a frame.

すると、上位機器インタフェース部102は命令にしたがって必要に応じてフレームの先頭にプリアンブルを付加するなどの処理を行い、鍵情報受領通知のフレームを送信する。そして、図4の処理は終了する。   Then, the higher-level device interface unit 102 performs processing such as adding a preamble to the head of the frame as necessary according to the command, and transmits a key information receipt notification frame. Then, the process of FIG. 4 ends.

なお、ステップS110とS111の実行順は逆でもよい。あるいは、ステップS110とS111の処理が並行して行われてもよい。
また、鍵情報更新通知のフレームが受信可能ということは、上位機器インタフェース部102がいずれかの路側機201と通信可能ということである。そして、鍵情報更新通知のフレームの受信からステップS111の実行までの時間は非常に短い。さらに、一種の制御フレームである鍵情報更新通知のフレーム長は短いので、より長いフレームの送受信には失敗する場合であっても、鍵情報更新通知のフレームの送受信は成功することも大いにありうる。 Note that the execution order of steps S110 and S111 may be reversed. Or the process of step S110 and S111 may be performed in parallel.
In addition, the fact that the key information update notification frame can be received means that the higher-level device interface unit 102 can communicate with any one of the roadside devices 201. The time from the reception of the key information update notification frame to the execution of step S111 is very short. Furthermore, since the frame length of the key information update notification, which is a kind of control frame, is short, even if transmission / reception of a longer frame fails, transmission / reception of the key information update notification frame can succeed. .

よって、第1実施形態では、「鍵情報更新通知のフレームの受信の直後に送信される鍵情報受領通知のフレームは、成功裡に路側機201において受信され、認証サーバ202に鍵情報受領通知が届く」と仮定している。まれにこの仮定が成立しない場合の対策については、後述の(f12)の観点からの変形例として述べる。   Therefore, in the first embodiment, “the key information receipt notification frame transmitted immediately after the reception of the key information update notification frame is successfully received by the roadside device 201, and the authentication server 202 receives the key information receipt notification. Is assumed to arrive. A countermeasure in the case where this assumption is rarely met will be described as a modified example from the viewpoint of (f12) described later.

続いて、第1実施形態における認証サーバ202の動作を説明する。認証サーバ202は、任意のタイミングで任意の車載装置100から任意の路側機201を介して情報を受信する可能性があり、情報の受信を契機として各種処理を行う。   Next, the operation of the authentication server 202 in the first embodiment will be described. The authentication server 202 may receive information from an arbitrary in-vehicle device 100 via an arbitrary roadside device 201 at an arbitrary timing, and performs various processes triggered by the reception of the information.

図5は、第1実施形態において、認証サーバ202が車載装置100から情報を受信したときの処理のフローチャートである。なお、図5に関する説明においては、図5の処理の開始の契機となった情報の送信元の車載装置100を「送信元の車載装置100」という。   FIG. 5 is a flowchart of processing when the authentication server 202 receives information from the in-vehicle device 100 in the first embodiment. In the description of FIG. 5, the in-vehicle device 100 that is the transmission source of the information that triggered the start of the process in FIG.

ステップS201で認証サーバ202は、送信元の車載装置100から路側機201とネットワーク204を介して受信した情報の内容が、認証要求、鍵情報更新要求、鍵情報受領通知のいずれであるかを判断する。   In step S201, the authentication server 202 determines whether the content of the information received from the in-vehicle device 100 that is the transmission source via the roadside device 201 and the network 204 is an authentication request, a key information update request, or a key information receipt notification. To do.

上記のとおり、路側機201は、認証サーバ202に送信するIPパケットのペイロードに、送信元の車載装置100から路側機201が受信したフレームの種別を示す種別情報を含める。よって、認証サーバ202は、ネットワーク204を介して路側機201から受信したIPパケットから種別情報を取り出して、種別情報に基づいてステップS201の判断を行うことができる。   As described above, the roadside device 201 includes type information indicating the type of frame received by the roadside device 201 from the in-vehicle device 100 that is the transmission source in the payload of the IP packet transmitted to the authentication server 202. Therefore, the authentication server 202 can extract the type information from the IP packet received from the roadside device 201 via the network 204 and perform the determination in step S201 based on the type information.

認証要求が受信された場合、処理はステップS202に移行する。鍵情報更新要求が受信された場合、処理はステップS208に移行する。また、鍵情報受領通知が受信された場合、処理はステップS211に移行する。   If the authentication request is received, the process proceeds to step S202. When the key information update request is received, the process proceeds to step S208. If the key information receipt notification is received, the process proceeds to step S211.

ステップS202で認証サーバ202は、認証要求に含まれる認証用情報からパスワードを取り出す。
具体的には、認証サーバ202は、ネットワーク204を介して路側機201から受信した認証要求のIPパケットから、送信元の車載装置100の車載装置IDと認証用情報を取り出す。また、認証サーバ202は、必要に応じて、送信元の車載装置100の車載装置IDと対応づけて「認証利用版」として記憶している鍵情報を読み出す。 In step S202, the authentication server 202 extracts a password from the authentication information included in the authentication request.
Specifically, the authentication server 202 extracts the in-vehicle device ID and authentication information of the in-vehicle device 100 that is the transmission source from the IP packet of the authentication request received from the roadside device 201 via the network 204. Further, the authentication server 202 reads the key information stored as “authentication use version” in association with the in-vehicle device ID of the in-vehicle device 100 that is the transmission source, as necessary.

なお、後述のステップS208およびS211とも関連するが、認証サーバ202は、各車載装置100の車載装置IDと対応づけて、「最新送信版」と「認証利用版」の鍵情報を記憶する。その理由は、認証サーバ202が単に新たな鍵情報を含む鍵情報更新通知を送信するだけでは、「鍵情報更新通知が車載装置100で正常に受信されて、認証サーバ202と車載装置100の間で新たな鍵情報が共有される」とは保証されないからである。   Although related to steps S208 and S211 described later, the authentication server 202 stores the key information of “latest transmission version” and “authentication use version” in association with the in-vehicle device ID of each in-vehicle device 100. The reason is that the authentication server 202 simply transmits the key information update notification including the new key information, “the key information update notification is normally received by the in-vehicle device 100, and the authentication server 202 and the in-vehicle device 100 This is because it is not guaranteed that new key information will be shared with.

そこで、認証サーバ202は、車載装置100との間での共有が確認された鍵情報を認証利用版として記憶するとともに、車載装置100に送信済みだが車載装置100との間での共有がまだ確認されていない鍵情報を最新送信版として記憶する。よって、ステップS202で認証サーバ202が参照するのは、認証利用版の鍵情報である。   Therefore, the authentication server 202 stores the key information confirmed to be shared with the in-vehicle device 100 as an authentication use version, and has been transmitted to the in-vehicle device 100 but has not yet been confirmed to be shared with the in-vehicle device 100. The key information that has not been recorded is stored as the latest transmission version. Therefore, what is referred to by the authentication server 202 in step S202 is authentication-use version key information.

ステップS202において認証サーバ202はさらに、必要に応じて鍵情報を使い、認証用情報からパスワードを取り出す。なお、「パスワード」とは、具体的には下記(c1)〜(c3)いずれかの情報のことである。   In step S202, the authentication server 202 further uses the key information as necessary to extract a password from the authentication information. The “password” specifically refers to any of the following information (c1) to (c3).

(c1)画面乱数処理部107が式(1)により認証用情報αを生成することに決められている場合は、パスワードは、上記(b3)に示した〈areat(1),areat(2),……,areat(m)〉というエリアの並びを示す情報である。例えば、パスワードは、各エリアareat(1),areat(2),……,areat(m)を識別するID(あるいは行と列の組)の並びとして表されてもよい。 (C1) If the screen random number processing unit 107 is determined to generate the authentication information α according to the equation (1), the passwords are represented by <area t (1) , area t ( 2) ,..., Area (m) > is information indicating the arrangement of areas. For example, the password may be represented as a sequence of IDs (or combinations of rows and columns ) that identify each area area (1) , area (2) ,..., Area (m) .

この場合、認証サーバ202は、認証要求のIPパケットから認証用情報αを取り出し、送信元の車載装置100の車載装置IDと対応づけて認証利用版として記憶している鍵情報を読み出す。ここで、上記のとおり、式(1)の関数fは、認証用情報αから元の引数を一意に求めることができるように定義されている。よって、認証サーバ202は、認証用情報αから関数fのm個の引数(すなわちm個のランダムな値)randt(1),……,randt(m)を求めることができる。 In this case, the authentication server 202 extracts the authentication information α from the IP packet of the authentication request, and reads the key information stored as the authentication use version in association with the in-vehicle device ID of the in-vehicle device 100 that is the transmission source. Here, as described above, the function f A in Expression (1) is defined so that the original argument can be uniquely obtained from the authentication information α. Therefore, the authentication server 202 can obtain m arguments (that is, m random values) rand t (1) ,..., Rand t (m) of the function f A from the authentication information α.

そして、認証サーバ202は、読み出した鍵情報を用いて、求めたm個のランダムな値randt(1),……,randt(m)にそれぞれ対応するエリアareat(1),areat(2),……,areat(m)を特定する。以上の処理により、認証サーバ202はパスワードを得ることができる。 Then, the authentication server 202 uses the read key information, and the areas area t (1) and area t corresponding to the m random values obtained t (1) ,..., Land t (m) , respectively. (2) ..., Area (m) is specified. Through the above processing, the authentication server 202 can obtain a password.

(c2)画面乱数処理部107が式(2)により認証用情報αを生成することに決められている場合は、パスワードは、上記(b4)に示した〈passt(1),passt(2),……,passt(m)〉という時間の並びである。 (C2) When the screen random number processing unit 107 is determined to generate the authentication information α by the expression (2), the password is <pass t (1) , pass t ( 2) ..., Pass t (m) >.

この場合、認証サーバ202は、認証要求のIPパケットから認証用情報αを取り出す。上記のとおり、式(2)の関数fは、認証用情報αから元の引数を一意に求めることができるように定義されている。よって、認証サーバ202は、認証用情報αから関数fのm個の引数passt(1),passt(2),……,passt(m)を求めることができる。つまり、認証サーバ202はパスワードを得ることができる。 In this case, the authentication server 202 extracts the authentication information α from the authentication request IP packet. As described above, the function f B in Expression (2) is defined so that the original argument can be uniquely obtained from the authentication information α. Therefore, the authentication server 202, m number of arguments pass t (1) of the function f B from the authentication information α, pass t (2), ......, it is possible to determine the pass t (m). That is, the authentication server 202 can obtain a password.

(c3)画面乱数処理部107が式(3)により認証用情報αを生成することに決められている場合は、パスワードは、上記(c1)と(c2)の組み合わせである。つまり、パスワードは上記(b3)に示した〈areat(1),areat(2),……,areat(m)〉というエリアの並びを示す情報と上記(b4)に示した〈passt(1),passt(2),……,passt(m)〉という時間の並びの組み合わせである。 (C3) When the screen random number processing unit 107 is determined to generate the authentication information α by the expression (3), the password is a combination of the above (c1) and (c2). In other words, the password is information indicating the arrangement of the areas <area t (1) , area t (2) ,..., Area t (m) > shown in (b3) above and <pass shown in (b4) above. t (1) , pass t (2) ,..., pass t (m) >.

上記のとおり、式(3)の関数fは、認証用情報αから元の引数を一意に求めることができるように定義されている。よって、認証サーバ202は、認証用情報αから関数fの2m個の引数randt(1),passt(1),……,randt(m),passt(m)を求めることができる。そして、認証サーバ202は、求めた2m個の引数のうちで奇数番目に当たるm個のランダムな値randt(1),……,randt(m)にそれぞれ対応するエリアareat(1),areat(2),……,areat(m)を、読み出した鍵情報を用いて特定する。以上の処理により、認証サーバ202はパスワードを得ることができる。 As described above, the function f C in Expression (3) is defined so that the original argument can be uniquely obtained from the authentication information α. Therefore, the authentication server 202 obtains 2m arguments rand t (1) , pass t (1) ,..., Rand t (m) , pass t (m) of the function f C from the authentication information α. it can. Then, the authentication server 202 uses the areas area t (1) , 2 corresponding to the m random values rand t (1) ,..., Rand t (m) corresponding to the odd number among the obtained 2m arguments. area t (2) ,..., area t (m) are specified using the read key information. Through the above processing, the authentication server 202 can obtain a password.

以上のように、パスワードが(c1)〜(c3)のいずれの情報であれ、認証サーバ202はステップS202でパスワードを取り出すことができる。そして、次のステップS203で認証サーバ202は、受信した情報が経由してきた路側機201(以下「送信元路側機」という)とその近傍の路側機201(以下「送信元近傍路側機」という)を、返信時の中継点として選択する。   As described above, the authentication server 202 can retrieve the password in step S202 regardless of the information of the passwords (c1) to (c3). Then, in the next step S203, the authentication server 202 determines that the roadside machine 201 (hereinafter referred to as “source roadside machine”) through which the received information has passed and the roadside machine 201 in the vicinity thereof (hereinafter referred to as “source side neighboring roadside machine”). Is selected as a relay point when replying.

具体的には、認証サーバ202は、受信した認証要求のIPパケットのヘッダから、送信元IPアドレスを取り出す。送信元IPアドレスには、車載装置100からの認証要求を中継した送信元路側機のIPアドレスが設定されているので、こうして認証サーバ202は送信元路側機を特定することができる。   Specifically, the authentication server 202 extracts the transmission source IP address from the header of the IP packet of the received authentication request. Since the IP address of the source roadside device that relays the authentication request from the in-vehicle device 100 is set in the source IP address, the authentication server 202 can identify the source roadside device in this way.

また、認証サーバ202は、どの路側機201同士が近傍にあるのかを表す路側機配置情報を保持している。よって、認証サーバ202は、路側機配置情報を参照することで、送信元近傍路側機を特定することができる。なお、送信元近傍路側機は複数台のこともある。路側機配置情報は、例えば下記(d1)〜(d3)のいずれかであってもよい。   In addition, the authentication server 202 holds roadside machine arrangement information indicating which roadside machines 201 are in the vicinity. Therefore, the authentication server 202 can identify the transmission source neighboring roadside device by referring to the roadside device arrangement information. There may be a plurality of transmission source neighboring roadside units. The roadside machine arrangement information may be any of the following (d1) to (d3), for example.

(d1)路側機配置情報は、路側機201のIPアドレスに対応づけて、各路側機201の位置を、例えば緯度と経度の組により示す情報でもよい。その場合、認証サーバ202は、送信元路側機の位置からの距離が所定の閾値以下の位置にある路側機201を送信元近傍路側機として特定し、送信元近傍路側機のIPアドレスを得ることができる。例えば、送信元路側機が図3の路側機201cであり、路側機201cからの距離が所定の閾値以下の位置にあるのが路側機201bのみであれば、認証サーバ202は、路側機201bのみを送信元近傍路側機として特定する。   (D1) The roadside device arrangement information may be information indicating the position of each roadside device 201 by a pair of latitude and longitude, for example, in association with the IP address of the roadside device 201. In this case, the authentication server 202 identifies the roadside device 201 whose distance from the position of the transmission source roadside device is equal to or less than a predetermined threshold as the transmission source roadside device, and obtains the IP address of the transmission source roadside device. Can do. For example, if the source roadside machine is the roadside machine 201c in FIG. 3 and only the roadside machine 201b has a distance from the roadside machine 201c that is equal to or less than a predetermined threshold, the authentication server 202 includes only the roadside machine 201b. Is identified as the transmission source neighboring roadside device.

(d2)路側機配置情報は、上記(d1)の情報に加えてさらに、道路地図の情報を含んでいてもよい。その場合、認証サーバ202は、送信元路側機からの道路沿いの道のりが所定の閾値以下となる路側機201を送信元近傍路側機として特定してもよい。例えば、送信元路側機が図3の路側機201cであり、路側機201cからの道のりが所定の閾値以下となるのが路側機201bのみであれば、認証サーバ202は、路側機201bのみを送信元近傍路側機として特定してもよい。   (D2) The roadside device arrangement information may further include road map information in addition to the information of (d1). In this case, the authentication server 202 may identify the roadside machine 201 whose road along the road from the transmission source roadside machine is equal to or less than a predetermined threshold as the transmission source neighboring roadside machine. For example, if the transmission source roadside machine is the roadside machine 201c in FIG. 3 and the road from the roadside machine 201c is only the roadside machine 201b that is equal to or less than a predetermined threshold, the authentication server 202 transmits only the roadside machine 201b. You may specify as a former neighborhood roadside machine.

または、認証サーバ202は、「送信元路側機からの道路に沿った経路上に通信可能範囲が重なる他の路側機201の個数が所定の閾値Q以下」という条件を満たす路側機201を、送信元近傍路側機として特定してもよい。例えば、送信元路側機が図3の路側機201cであり、Q=0とする。その場合、図3が示すように、送信元近傍路側機の条件を満たすのは、路側機201b、201g、および201hである。   Alternatively, the authentication server 202 transmits a roadside device 201 that satisfies the condition that “the number of other roadside devices 201 whose communication range overlaps the route along the road from the transmission source roadside device is equal to or less than a predetermined threshold Q”. You may specify as a former neighborhood roadside machine. For example, the transmission source roadside machine is the roadside machine 201c of FIG. In that case, as shown in FIG. 3, the roadside devices 201b, 201g, and 201h satisfy the conditions of the transmission source neighboring roadside devices.

例えば、路側機201cから路側機201hまでの経路上には、他の路側機201が設置されておらず、他の路側機201の通信可能範囲も重なっていない。よって、路側機201hは上記の条件を満たす。   For example, the other roadside machine 201 is not installed on the route from the roadside machine 201c to the roadside machine 201h, and the communicable range of the other roadside machine 201 does not overlap. Therefore, the roadside machine 201h satisfies the above conditions.

また、道路301a上には、路側機201cと路側機201kの間に他の路側機201はない。しかし、交差点302e付近の路側機201hの通信可能範囲が、路側機201cから路側機201kまでの経路上に一部重なるので、路側機201kは上記の条件を満たさない。   Further, there is no other roadside machine 201 between the roadside machine 201c and the roadside machine 201k on the road 301a. However, since the communicable range of the roadside machine 201h near the intersection 302e partially overlaps the path from the roadside machine 201c to the roadside machine 201k, the roadside machine 201k does not satisfy the above condition.

(d3)路側機配置情報は、任意の2つの路側機201について互いに近傍にあるか否かを示す情報であってもよい。また、路側機配置情報において、各路側機201はIPアドレスにより識別されていてもよい。各路側機201は固定されているので、任意の2つの路側機201について互いに近傍にあるか否かを示す情報を、例えば認証サーバ202が予め作成することも可能である。   (D3) The roadside device arrangement information may be information indicating whether or not any two roadside devices 201 are close to each other. In the roadside device arrangement information, each roadside device 201 may be identified by an IP address. Since each roadside device 201 is fixed, for example, the authentication server 202 can create in advance information indicating whether any two roadside devices 201 are close to each other.

つまり、認証サーバ202は、任意の2つの路側機201間の距離もしくは道のり、または2つの路側機201間の道路沿いの経路上に通信可能範囲が重なる他の路側機201の個数を所定の閾値と比較してもよい。そして、認証サーバ202は比較結果に基づいて、当該2つの路側機201同士が近傍にあるか否かを判断し、判断の結果を路側機配置情報として記憶してもよい。   That is, the authentication server 202 determines the number or the distance between any two roadside devices 201 or the number of other roadside devices 201 whose communication range overlaps the route along the road between the two roadside devices 201 as a predetermined threshold value. May be compared. Then, the authentication server 202 may determine whether or not the two roadside devices 201 are in the vicinity based on the comparison result, and may store the determination result as roadside device arrangement information.

以上の(d1)〜(d3)に例示したように、路側機配置情報は実施形態によって様々であってよいが、いずれにせよ認証サーバ202は、路側機配置情報を参照することで送信元近傍路側機を特定することができる。そして、認証サーバ202は、送信元路側機と送信元近傍路側機を、返信時の中継点として選択する。   As illustrated in the above (d1) to (d3), the roadside device arrangement information may vary depending on the embodiment, but in any case, the authentication server 202 refers to the roadside device arrangement information, so that the vicinity of the transmission source A roadside machine can be specified. Then, the authentication server 202 selects the transmission source roadside device and the transmission source neighboring roadside device as relay points at the time of reply.

なお、ステップS202とS203は実行順が逆でもよい。あるいは、認証サーバ202はステップS202とS203の処理を並行して行ってもよい。
続いて、次のステップS204で認証サーバ202は、ステップS202で取り出したパスワードが正しいか否かを判断する。パスワードが正しい場合、処理はステップS205に移行し、パスワードが正しくない場合、処理はステップS207に移行する。認証サーバ202は、例えば適宜のパターンマッチングアルゴリズムを用いてパスワード照合を行うこともできる。 Steps S202 and S203 may be executed in reverse order. Alternatively, the authentication server 202 may perform the processes of steps S202 and S203 in parallel.
Subsequently, in the next step S204, the authentication server 202 determines whether or not the password extracted in step S202 is correct. If the password is correct, the process proceeds to step S205. If the password is not correct, the process proceeds to step S207. The authentication server 202 can also perform password verification using an appropriate pattern matching algorithm, for example.

すなわち、認証サーバ202は、各車載装置100の車載装置IDに対応づけて、当該車載装置100のユーザにより予め登録された図形の軌跡情報を記憶している。よって、認証サーバ202は、記憶している軌跡情報と、車載装置IDに対応づけて認証利用版として記憶している鍵情報内の細分化エリア情報から、正しいパスワードを認識することができる。   That is, the authentication server 202 stores the locus information of the graphic registered in advance by the user of the in-vehicle device 100 in association with the in-vehicle device ID of each in-vehicle device 100. Therefore, the authentication server 202 can recognize the correct password from the stored trajectory information and the segmented area information in the key information stored as the authentication use version in association with the in-vehicle device ID.

つまり、認証サーバ202は、ステップS202で取り出した車載装置IDに対応づけてそれぞれ記憶している軌跡情報と細分化エリア情報から、当該軌跡情報が表す軌跡上を移動する点が、どのエリアをどういう順序で通過するのかを認識することができる。また、認証サーバ202は、当該軌跡情報が表す軌跡上を移動する点が、各エリアを通過するのにかかる時間も、軌跡情報と細分化エリア情報から認識することができる。したがって、認証サーバ202は、正しいパスワードを表すエリアの並び、時間の並び、またはその組み合わせを取得することができる。   That is, the authentication server 202 determines which area is the point that moves on the trajectory represented by the trajectory information from the trajectory information and the segmented area information stored in association with the vehicle-mounted device ID extracted in step S202. It can be recognized whether it passes in order. The authentication server 202 can also recognize the time taken for the point moving on the trajectory represented by the trajectory information to pass through each area from the trajectory information and the segmented area information. Accordingly, the authentication server 202 can acquire an array of areas representing correct passwords, an array of times, or a combination thereof.

そこで、認証サーバ202はステップS204において、正しいパスワードと、ステップS202で取り出したパスワードを比較する。比較に際しては、認証サーバ202は適宜のパターンマッチングアルゴリズムを用いることができる。   In step S204, the authentication server 202 compares the correct password with the password extracted in step S202. In comparison, the authentication server 202 can use an appropriate pattern matching algorithm.

図形的な情報の入力においては、図形の描き出し位置が入力のたびに少々ずれたり、入力される図形の大きさに揺れがあったり、入力スピードに揺れがあったりするのが普通である。よって、認証サーバ202は、一定範囲内のずれまたは揺れを誤差として許容するために、適宜のパターンマッチングアルゴリズムを用いることができる。つまり、認証サーバ202は、パスワード同士をパターン同士として、適宜のパターンマッチングアルゴリズムにより比較する。   When inputting graphic information, it is common that the drawing position of the graphic is slightly shifted each time the input is performed, the size of the input graphic is fluctuated, or the input speed is fluctuated. Therefore, the authentication server 202 can use an appropriate pattern matching algorithm in order to allow deviation or fluctuation within a certain range as an error. That is, the authentication server 202 compares the passwords as patterns with each other by an appropriate pattern matching algorithm.

比較の結果、両パスワードが許容範囲内の誤差で一致すれば、認証サーバ202は、「ステップS202で取り出したパスワードが正しい」と判断する。逆に、両パスワードが許容範囲内の誤差で一致しなければ、認証サーバ202は、「ステップS202で取り出したパスワードは不正である」と判断する。   As a result of the comparison, if the two passwords match with each other within an allowable range, the authentication server 202 determines that “the password extracted in step S202 is correct”. On the other hand, if the two passwords do not coincide with each other within an allowable range, the authentication server 202 determines that “the password extracted in step S202 is invalid”.

なお、実施形態によっては、書き順を反映した軌跡ではなく、図形の形状だけに基づいて認証サーバ202がパスワード照合を行ってもよい。つまり、式(1)によって認証用情報αを得る実施形態において、パスワードは、{areat(1),areat(2),……,areat(m)}というエリアの集合(正確には重複を許す多重集合)を示す情報であってもよい。すると、軌跡が各エリアを通過する順序は無視され、形状のみがパスワード照合において考慮される。なぜなら、集合を示す情報では要素の並び順が無視されるからである。 Note that, depending on the embodiment, the authentication server 202 may perform password verification based only on the shape of the figure instead of the locus reflecting the writing order. In other words, in the embodiment in which the authentication information α is obtained by the expression (1), the password is a set of areas {area t (1) , area t (2) ,..., Area t (m) } (more precisely, It may be information indicating multiple sets that allow duplication). Then, the order in which the trajectory passes through each area is ignored, and only the shape is considered in the password verification. This is because the order of elements is ignored in the information indicating the set.

さて、ステップS204において「パスワードは正しい」と判断した場合、次のステップS205で認証サーバ202は、送信元の車載装置100へのサービス提供者である交通管制サーバ203に、ネットワーク204を介して、認証結果を知らせる。すなわち、認証サーバ202は、「送信元の車載装置100の車載装置IDについて認証が成功した」ということを交通管制サーバ203に通知する。   When it is determined in step S204 that “the password is correct”, in the next step S205, the authentication server 202 sends the traffic control server 203, which is a service provider to the in-vehicle device 100 of the transmission source, to the traffic control server 203 via the network 204. Inform the authentication result. That is, the authentication server 202 notifies the traffic control server 203 that “the authentication is successful for the in-vehicle device ID of the in-vehicle device 100 that is the transmission source”.

そして、次のステップS206で認証サーバ202は、ネットワーク204とステップS203で選択した路側機201とを介して、送信元の車載装置100へ認証通知を返信する。   Then, in the next step S206, the authentication server 202 returns an authentication notification to the in-vehicle device 100 that is the transmission source via the network 204 and the roadside device 201 selected in step S203.

具体的には、認証サーバ202は、ステップS203で中継点として選択した送信元路側機と送信元近傍路側機のそれぞれについて、以下の処理を行う。すなわち、認証サーバ202は、当該中継点となる路側機201のIPアドレスを送信先IPアドレスとして設定し、送信元の車載装置100の認証に成功したことを示す情報をペイロードに設定したIPパケットを生成する。そして、認証サーバ202は、生成したIPパケットをネットワーク204へ送出する。なお、送信元の車載装置100の認証に成功したことを示す情報は、送信元の車載装置100の車載装置IDを含む。   Specifically, the authentication server 202 performs the following processing for each of the transmission source roadside device and the transmission source neighboring roadside device selected as relay points in step S203. That is, the authentication server 202 sets the IP address of the roadside device 201 serving as the relay point as a transmission destination IP address, and sets an IP packet in which information indicating that the authentication of the in-vehicle device 100 as the transmission source is successful is set in the payload. Generate. Then, the authentication server 202 sends the generated IP packet to the network 204. Note that the information indicating that the authentication of the transmission source in-vehicle device 100 is successful includes the in-vehicle device ID of the transmission source in-vehicle device 100.

以上のようにして、中継点として選択した送信元路側機と送信元近傍路側機それぞれへのIPパケットの送信が完了すると、図5の処理も終了する。
また、ステップS204において「パスワードが不正である」と判断した場合、認証サーバ202は、ステップS207において、ネットワーク204とステップS203で選択した路側機201とを介して、送信元の車載装置100へ拒否通知を返信する。つまり、認証サーバ202は、送信元の車載装置100の認証に失敗したことを示す情報をペイロードに設定する以外はステップS206と同様の処理を行う。なお、送信元の車載装置100の認証に失敗したことを示す情報も、送信元の車載装置100の車載装置IDを含む。 As described above, when the transmission of the IP packet to each of the transmission source roadside device selected as the relay point and the transmission source neighboring roadside device is completed, the processing in FIG. 5 is also ended.
If it is determined in step S204 that “the password is invalid”, the authentication server 202 rejects the transmission in-vehicle device 100 via the network 204 and the roadside device 201 selected in step S203 in step S207. Reply to notification. That is, the authentication server 202 performs the same processing as step S206 except that information indicating that the authentication of the in-vehicle device 100 as the transmission source has failed is set in the payload. The information indicating that the authentication of the transmission source in-vehicle device 100 has failed also includes the in-vehicle device ID of the transmission source in-vehicle device 100.

そして、ステップS207において、以上のようにして、中継点として選択した送信元路側機と送信元近傍路側機それぞれへのIPパケットの送信が完了すると、図5の処理は終了する。   In step S207, when the transmission of the IP packet to each of the transmission source roadside device selected as the relay point and the transmission source neighboring roadside device is completed as described above, the processing in FIG. 5 ends.

また、受信したIPパケットが鍵情報更新要求のIPパケットであった場合、認証サーバ202はステップS208において、新たな鍵情報を作成する。そして、認証サーバ202は、送信元の車載装置100の車載装置IDと対応づけて、作成した鍵情報を最新送信版として記憶する。なお、認証サーバ202は、鍵情報更新要求のIPパケットのペイロードから車載装置IDを取り出し、認識することができる。   If the received IP packet is a key information update request IP packet, the authentication server 202 creates new key information in step S208. Then, the authentication server 202 stores the created key information as the latest transmission version in association with the in-vehicle device ID of the in-vehicle device 100 that is the transmission source. Note that the authentication server 202 can extract and recognize the in-vehicle device ID from the payload of the IP packet of the key information update request.

また、実施形態に応じて、認証サーバ202は、ステップS208において細分化エリア情報と乱数情報の双方を新たに作成してもよいし、一方のみを新たに作成してもよい。例えば、認証サーバ202が細分化エリア情報のみを新たに作成する場合、新たな鍵情報とは、現在認証利用版として記憶している乱数情報と、新たに作成した細分化エリア情報の組み合わせである。また、認証サーバ202が乱数情報のみを新たに作成する場合、新たな鍵情報とは、現在認証利用版として記憶している細分化エリア情報と、新たに作成した乱数情報の組み合わせである。   Further, depending on the embodiment, the authentication server 202 may newly create both the subdivision area information and the random number information in step S208, or may newly create only one of them. For example, when the authentication server 202 newly creates only the segmented area information, the new key information is a combination of the random number information currently stored as the authentication use version and the newly created segmented area information. . Further, when the authentication server 202 newly creates only random number information, the new key information is a combination of the segmented area information currently stored as the authentication use version and the newly created random number information.

続いて、次のステップS209で認証サーバ202は、ステップS203と同様に、受信した情報が経由してきた路側機201とその近傍の路側機201を、返信時の中継点として選択する。   Subsequently, in the next step S209, as in step S203, the authentication server 202 selects the roadside machine 201 through which the received information has passed and the roadside machine 201 in the vicinity thereof as relay points at the time of reply.

さらに、続くステップS210で認証サーバ202は、ネットワーク204とステップS209で選択した路側機201とを介して、最新送信版の鍵情報を送信元の車載装置100に返信する。つまり、認証サーバ202は、最新送信版の鍵情報と送信元の車載装置100の車載装置IDを含む情報をペイロードに設定する以外はステップS206と同様の処理を行う。   Further, in the subsequent step S210, the authentication server 202 returns the latest transmission version key information to the in-vehicle device 100 as the transmission source via the network 204 and the roadside device 201 selected in step S209. That is, the authentication server 202 performs the same process as step S206 except that information including the latest transmission version key information and the in-vehicle device ID of the in-vehicle device 100 of the transmission source is set in the payload.

そして、ステップS210において、以上のようにして、中継点として選択した送信元路側機と送信元近傍路側機それぞれへのIPパケットの送信が完了すると、図5の処理は終了する。   In step S210, when the transmission of the IP packet to each of the transmission source roadside device and the transmission source neighboring roadside device selected as the relay point is completed as described above, the processing in FIG. 5 ends.

また、受信したIPパケットが鍵情報受領通知のIPパケットであった場合、認証サーバ202はステップS211において、送信元の車載装置100の車載装置IDに対応する認証利用版の鍵情報を更新する。つまり、認証サーバ202は、送信元の車載装置100の車載装置IDに対応する最新送信版の鍵情報を、当該車載装置IDに対応する認証利用版の鍵情報としてコピーする。なお、認証サーバ202は、鍵情報受領通知のIPパケットのペイロードから車載装置IDを取り出し、認識することができる。   If the received IP packet is a key information receipt notification IP packet, the authentication server 202 updates the key information of the authentication use version corresponding to the in-vehicle device ID of the in-vehicle device 100 of the transmission source in step S211. That is, the authentication server 202 copies the latest transmission version key information corresponding to the in-vehicle device ID of the in-vehicle device 100 of the transmission source as key information of the authentication use version corresponding to the in-vehicle device ID. Note that the authentication server 202 can extract and recognize the in-vehicle device ID from the payload of the IP packet of the key information receipt notification.

ステップS211の処理により、認証サーバ202は、「送信元の車載装置100に対して認証サーバ202が最新送信版として以前送信した鍵情報を、送信元の車載装置100が確かに受信した」と認識することができる。つまり、認証サーバ202は、「送信元の車載装置100が将来再度認証要求を送信してくる場合に、認証のためには、認証利用版の鍵情報としてコピーした最新送信版の鍵情報を使えばよい」と認識することができる。そして、最新送信版の鍵情報のコピーの後、図5の処理は終了する。   By the processing in step S211, the authentication server 202 recognizes that “the key information that the authentication server 202 previously transmitted to the transmission source in-vehicle device 100 as the latest transmission version has been received by the transmission source in-vehicle device 100 certainly”. can do. That is, the authentication server 202 uses the latest transmission version key information copied as the authentication use version key information for authentication when the in-vehicle device 100 of the transmission source transmits an authentication request again in the future. Can be recognized. Then, after copying the key information of the latest transmission version, the processing in FIG. 5 ends.

続いて、図6〜8Bを参照して、上記の車載装置100と認証サーバ202の動作の説明における各種情報の具体例を説明する。
さて、図6と7は、乱数とエリアの対応づけの例を示す図である。図6と7では、「鍵情報に含まれる細分化エリア情報と乱数情報が、エリアを介してどのように対応づけられるのか」ということが模式的に示されている。図6と7ではさらに、「画面と鍵情報がエリアを介してどのように対応づけられるのか」ということも、模式的に示されている。 Next, with reference to FIGS. 6 to 8B, specific examples of various information in the description of the operations of the in-vehicle device 100 and the authentication server 202 will be described.
FIGS. 6 and 7 are diagrams showing examples of correspondence between random numbers and areas. 6 and 7 schematically show how “the subdivision area information and the random number information included in the key information are associated with each other through the area”. Further, FIGS. 6 and 7 also schematically show how “the screen and the key information are associated with each other through the area”.

図6には、鍵情報401を模式的に図示した説明図と、画面と鍵情報の対応づけ402の例が示されている。
鍵情報401は、乱数情報のバージョンを示す“R20091231103547”という値と、細分化エリア情報のバージョンを示す“S20091231103547”という値を含む。なお、乱数情報と細分化エリア情報のバージョンは、認証サーバ202が図5のステップS208で鍵情報401を生成するときに割り当てられる。例えば生成日時に基づく値を使うことで、認証サーバ202は鍵情報の生成のたびに異なる値をバージョンとして割り当てることができる。また、実施形態によっては、乱数情報と細分化エリア情報のバージョンとして共通の値が使われてもよい。 FIG. 6 shows an explanatory diagram schematically showing the key information 401 and an example of the association 402 between the screen and the key information.
The key information 401 includes a value “R2001231033547” indicating a version of random number information and a value “S20091231033547” indicating a version of segmentation area information. Note that the versions of the random number information and the segmented area information are assigned when the authentication server 202 generates the key information 401 in step S208 of FIG. For example, by using a value based on the generation date and time, the authentication server 202 can assign a different value as a version each time key information is generated. In some embodiments, a common value may be used as the version of the random number information and the segmented area information.

さらに、鍵情報401は、水平方向に5列、垂直方向に8行の、計40(=5×8)個のエリアに画面を等分することを示す細分化エリア情報と、40個の4桁の乱数を40個のエリアそれぞれに対応づける乱数情報を含む。鍵情報401によれば、例えば3行目の2列目のエリアには、1882という乱数が対応づけられている。   Further, the key information 401 includes subdivided area information indicating that the screen is equally divided into a total of 40 (= 5 × 8) areas of 5 columns in the horizontal direction and 8 rows in the vertical direction, and 40 pieces of 4 information. Random number information that associates a digit random number with each of the 40 areas is included. According to the key information 401, for example, a random number 1882 is associated with the area in the second column of the third row.

また、図4のステップS101において、以上のように40個のエリアに細分化される画面上で、軌跡403を描くように三角形が入力されたとする。図6によれば、軌跡403は、1行目の1列目のエリアから始まり、2行目の1列目のエリア、3行目の1列目のエリア、3行目の2列目のエリア、2行目の2列目のエリア、2行目の1列目のエリアを経由し、1行目の1列目のエリアで終わる。よって、画面エリア判定部106は、軌跡403を示す軌跡情報と、鍵情報401に含まれる細分化エリア情報から、「軌跡403を描いて移動する点は、上記の延べ7つのエリアを順に通過する」と判定することができる。   Also, in step S101 in FIG. 4, it is assumed that a triangle is input so as to draw a trajectory 403 on the screen that is subdivided into 40 areas as described above. According to FIG. 6, the trajectory 403 starts from the area of the first column of the first row, the area of the first column of the second row, the area of the first column of the third row, the second column of the third row. The area passes through the area in the second row, the second row, the second row, the first row, and the first row in the first row. Therefore, the screen area determination unit 106 determines that “the point moving along the trajectory 403 passes through the above seven areas in order from the trajectory information indicating the trajectory 403 and the segmented area information included in the key information 401. Can be determined.

そして、軌跡403が通過する上記の延べ7つのエリアにそれぞれ乱数情報において対応づけられている延べ7つの乱数は、図6によれば、順に、2615、3673、5732、1882、9433、3673、2615である。   Then, according to FIG. 6, the total seven random numbers associated with the total seven areas through which the trajectory 403 passes are, in order, 2615, 3673, 5732, 1882, 9433, 3673, 2615, respectively. It is.

なお、以下では説明の便宜上、入力された軌跡を描いて移動する点が上記の延べ7つのエリアの各々を通過するのにかかった時間が、順に、0.3秒、0.4秒、0.6秒、1.0秒、0.4秒、0.2秒、0.1秒であったとする。よって、画面エリア判定部106は、軌跡403を示す軌跡情報と、鍵情報401に含まれる細分化エリア情報から、軌跡403を描いて移動する点が上記の延べ7つのエリアをそれぞれ通過するのにかかった時間が上記のとおりであったことも認識する。   In the following, for the convenience of explanation, the time taken for the point moving along the input trajectory to pass through each of the above seven areas is, in order, 0.3 seconds, 0.4 seconds, 0 .6 seconds, 1.0 seconds, 0.4 seconds, 0.2 seconds, and 0.1 seconds. Therefore, the screen area determination unit 106 uses the trajectory information indicating the trajectory 403 and the segmented area information included in the key information 401 so that the points moving along the trajectory 403 pass through each of the above seven areas. It also recognizes that the time taken was as described above.

もちろん、画面上には40個のエリアに細分化する分割線や各乱数は表示されないが、図6では説明の便宜上、画面上の軌跡403と鍵情報401との対応づけを、画面と鍵情報の対応づけ402として図示してある。   Of course, dividing lines and random numbers that are subdivided into 40 areas are not displayed on the screen, but in FIG. 6, for convenience of explanation, the correspondence between the trajectory 403 on the screen and the key information 401 is represented by the screen and the key information. The correspondence 402 is illustrated.

以上の図6の例を、(b1)〜(b4)の表記を用いて表すと、以下の式(4)〜(18)のとおりである。
m=7 (4)
randt(1)=2615 (5)
randt(2)=3673 (6)
randt(3)=5732 (7)
randt(4)=1882 (8)
randt(5)=9433 (9)
randt(6)=3673 (10)
randt(7)=2615 (11)
passt(1)=0.3 (12)
passt(2)=0.4 (13)
passt(3)=0.6 (14)
passt(4)=1.0 (15)
passt(5)=0.4 (16)
passt(6)=0.2 (17)
passt(7)=0.1 (18) When the example of FIG. 6 is represented using the notations (b1) to (b4), the following expressions (4) to (18) are obtained.
m = 7 (4)
rand t (1) = 2615 (5)
rand t (2) = 3673 (6)
rand t (3) = 5732 (7)
rand t (4) = 1882 (8)
rand t (5) = 9433 (9)
rand t (6) = 3673 (10)
rand t (7) = 2615 (11)
pass t (1) = 0.3 (12)
pass t (2) = 0.4 (13)
pass t (3) = 0.6 (14)
pass t (4) = 1.0 (15)
pass t (5) = 0.4 (16)
pass t (6) = 0.2 (17)
pass t (7) = 0.1 (18)

例えば、画面乱数処理部107が式(1)の関数fにより認証用情報αを求める実施形態において、関数fが、所定のデリミタ“−”で区切りながらm個の引数を連結する関数であるとする。この場合、式(4)〜(11)より、図6の鍵情報401と軌跡403から得られる認証用情報αは、式(19)のとおりである。
α=“2615−3673−5732−1882−9433−3673−2615”
(19) For example, in the embodiment in which the screen random number processing unit 107 obtains the authentication information α using the function f A in the equation (1), the function f A is a function that concatenates m arguments while separating them with a predetermined delimiter “−”. Suppose there is. In this case, from the equations (4) to (11), the authentication information α obtained from the key information 401 and the locus 403 in FIG. 6 is as the equation (19).
α = “2615-3673-5732-1882-9433-3673-2615”
(19)

なお、式(19)から明らかなとおり、認証サーバ202は、式(19)で表される認証用情報αから、認証用情報αを得るのに用いた関数fの7つの引数の値を一意に得ることができる。具体的には、認証サーバ202は、認証用情報αを所定のデリミタ“−”で分割するだけで、関数fの7つの引数の値(すなわち式(5)〜(11)に示した7つの値)を得ることができる。 As is clear from the equation (19), the authentication server 202 determines the values of the seven arguments of the function f A used to obtain the authentication information α from the authentication information α represented by the equation (19). Can be obtained uniquely. Specifically, the authentication server 202 simply divides the authentication information α by a predetermined delimiter “−”, and the values of the seven arguments of the function f A (that is, 7 shown in the equations (5) to (11)). One value).

また、画面乱数処理部107が式(2)の関数fにより認証用情報αを求める実施形態において、関数fが、m個の各引数を所定の関数gで変換した結果を、所定のデリミタ“−”で区切りながら連結する関数であるとする。そして、関数gは、秒単位で表された数値を100倍して切り捨てにより整数に変換し、得られた整数を4桁の数字で表す関数であるとする。この場合、式(4)、(12)〜(18)より、図6の鍵情報401と軌跡403から得られる認証用情報αは、式(20)のとおりである。
α=“0030−0040−0060−0100−0040−0020−0010”
(20) Also, the screen the random number processing unit 107 in the embodiment by the function f B obtains the authentication information α of formula (2), the function f B is the result of converting the m-number of each argument a predetermined function g, predetermined It is assumed that the functions are connected while being delimited by a delimiter “-”. The function g is assumed to be a function in which a numerical value expressed in seconds is multiplied by 100 and converted into an integer by rounding down, and the obtained integer is expressed by a 4-digit number. In this case, from the expressions (4) and (12) to (18), the authentication information α obtained from the key information 401 and the trajectory 403 in FIG. 6 is as the expression (20).
α = “0030-0040-0060-0100-0040-0020-0010”
(20)

なお、式(20)から明らかなとおり、認証サーバ202は、式(20)で表される認証用情報αから、認証用情報αを得るのに用いた関数fの7つの引数の値を一意に得ることができる。具体的には、認証サーバ202は、認証用情報αを所定のデリミタ“−”で分割し、分割により得られる7つの文字列を関数gの逆関数g−1で変換することで、関数fの7つの引数の値(すなわち式(12)〜(18)に示した7つの値)を得ることができる。 As is clear from the equation (20), the authentication server 202 determines the values of the seven arguments of the function f B used to obtain the authentication information α from the authentication information α represented by the equation (20). Can be obtained uniquely. Specifically, the authentication server 202 divides the authentication information α with a predetermined delimiter “−”, and converts the seven character strings obtained by the division with the inverse function g −1 of the function g, thereby obtaining the function f The values of the seven arguments of B (that is, the seven values shown in the equations (12) to (18)) can be obtained.

また、画面乱数処理部107が式(3)の関数fにより認証用情報αを求める実施形態において、関数fが、奇数番目の引数はそのままの文字列として、偶数番目の引数は関数gで変換してから、デリミタ“−”で区切りながら連結する関数であるとする。そして、関数gは、秒単位で表された数値を100倍して切り捨てにより整数に変換し、得られた整数を4桁の数字列で表す関数であるとする。この場合、式(4)〜(18)より、図6の鍵情報401と軌跡403から得られる認証用情報αは、式(21)のとおりである。
α=“2615−0030−3673−0040−5732−0060−1882−0100−9433−0040−3673−0020−2615−0010”
(21) Further, in the embodiment the screen the random number processing unit 107 obtains the α authentication information by a function f C of the formula (3), the function f C is, as odd the argument as a string, even-argument function g It is assumed that the function is connected after being converted by B and delimited by a delimiter “-”. The function g B is assumed to be a function in which a numerical value expressed in units of seconds is multiplied by 100 and converted into an integer by rounding down, and the obtained integer is represented by a 4-digit number string. In this case, from the equations (4) to (18), the authentication information α obtained from the key information 401 and the locus 403 in FIG. 6 is as the equation (21).
α = “2615-0030-3673-0040-5732-0060-1882-0100-9433-0040-3673-0020-2615-0010”
(21)

なお、式(21)から明らかなとおり、認証サーバ202は、式(21)で表される認証用情報αから、認証用情報αを得るのに用いた関数fの14個の引数の値を一意に得ることができる。具体的には、認証サーバ202は、認証用情報αを所定のデリミタ“−”で分割し、分割により得られる14個の値のうち偶数番目の文字列をそれぞれ関数gの逆関数g −1で変換する。すると、認証サーバ202は、関数fの14個の引数の値(すなわち式(5)〜(18)に示した14個の値)を得ることができる。 As is clear from the equation (21), the authentication server 202 uses the values of the 14 arguments of the function f C used to obtain the authentication information α from the authentication information α represented by the equation (21). Can be obtained uniquely. Specifically, the authentication server 202, authentication information α predetermined delimiter "-" is divided by the inverse function g B of each function g B even-numbered string of fourteen value obtained by dividing Convert by -1 . Then, the authentication server 202 can obtain the values of the 14 arguments of the function f C (that is, the 14 values shown in the equations (5) to (18)).

また、上記の式(19)〜(21)の例から容易に理解されるように、認証用情報αは、人間が見ても一貫性を感じにくく覚えにくい内容となっており、かつ、適切な鍵情報と適切な関数f、fまたはfを使うことで、十分に長くすることができる。このような認証用情報αの性質は、セキュリティの観点から見て好ましい性質である。そして、ユーザ自身は、長くて複雑かつ不規則な認証用情報αそのものを記憶する必要がないので、ユーザにとっての利便性が損なわれることはない。 Further, as easily understood from the examples of the above formulas (19) to (21), the authentication information α is content that is difficult to remember and difficult to remember even when viewed by humans, and is appropriate. By using correct key information and an appropriate function f A , f B or f C , it can be made sufficiently long. Such a property of the authentication information α is a desirable property from the viewpoint of security. And since the user himself / herself does not need to memorize long, complicated and irregular authentication information α itself, the convenience for the user is not impaired.

続いて、図7に示す別の具体例についても説明する。図7には、水平方向に5列、垂直方向に4行の、計20(=5×4)個のエリアに画面を細分化することを示す細分化エリア情報が使われる場合の例が示されている。図7の例では、乱数情報により、例えば3行目の4列目のエリアには、9496という乱数が対応づけられている。   Next, another specific example shown in FIG. 7 will be described. FIG. 7 shows an example in which subdivision area information indicating that the screen is subdivided into a total of 20 (= 5 × 4) areas of 5 columns in the horizontal direction and 4 rows in the vertical direction is used. Has been. In the example of FIG. 7, for example, a random number of 9496 is associated with the area of the fourth column of the third row by the random number information.

図7に示すように、「水平方向に5列、垂直方向に4行の、計20(=5×4)個のエリアに画面を細分化する」という点では同じでも、細分化エリア情報の具体的内容によって、20個のエリアの大きさが違うことがある。   As shown in FIG. 7, although the same in that “the screen is subdivided into a total of 20 (= 5 × 4) areas of 5 columns in the horizontal direction and 4 rows in the vertical direction”, Depending on the specific contents, the size of the 20 areas may be different.

例えば、図7の上半分に示した画面と鍵情報の対応づけ404の図では、細分化エリア情報が、20個のエリアをすべて同じ大きさに定義している。よって、画面と鍵情報の対応づけ404によれば、軌跡405は、4行目の4列目、3行目の4列目、4行目の4列目、4行目の5列目、3行目の5列目、3行目の4列目、4行目の4列目、4行目の5列目、3行目の5列目という延べ9個のエリアを通過する。   For example, in the diagram 404 of the screen and key information 404 shown in the upper half of FIG. 7, the subdivision area information defines all 20 areas to be the same size. Therefore, according to the association 404 between the screen and the key information, the trajectory 405 is the fourth column in the fourth row, the fourth column in the third row, the fourth column in the fourth row, the fourth column in the fourth row, the fifth column in the fourth row, It passes through a total of nine areas of the third row, the fifth row, the third row, the fourth row, the fourth row, the fourth row, the fourth row, the fifth row, and the third row.

他方、図7の下半分に示した画面と鍵情報の対応づけ406の図では、20個のエリアの間で大きさの違いがあるように、細分化エリア情報が細分化の仕方を規定している。具体的には、細分化エリア情報により、1〜2行目の高さは3〜4行目の高さより高く定義され、1列目の幅は2〜5列目より広く定義されている。換言すれば、細分化エリア情報は、3〜4行目の2〜5列目の8個のエリアが他の12個のエリアよりも小さくなるように画面の細分化の仕方を規定している。   On the other hand, in the screen 406 shown in the lower half of FIG. 7, the subdivision area information defines the subdivision method so that there is a difference in size among the 20 areas. ing. Specifically, according to the segmentation area information, the height of the first and second rows is defined higher than the height of the third and fourth rows, and the width of the first column is defined wider than the second to fifth columns. In other words, the subdivision area information defines how to subdivide the screen so that the 8 areas in the 2nd to 5th columns of the 3rd to 4th rows are smaller than the other 12 areas. .

そして、画面と鍵情報の対応づけ406によれば、軌跡405と同じ軌跡407が通過するエリアは、4行目の3列目、3行目の3列目、3行目の4列目、4行目の4列目、3行目の4列目、4行目の4列目、4行目の5列目、3行目の5列目という延べ8個である。   Then, according to the association 406 between the screen and the key information, the area through which the same trajectory 407 as the trajectory 405 passes is the third column in the fourth row, the third column in the third row, the fourth column in the third row, There are a total of eight columns, the fourth column of the fourth row, the fourth column of the third row, the fourth column of the fourth row, the fourth column of the fourth row, the fifth column of the fourth row, and the fifth column of the third row.

すなわち、細分化エリア情報が異なれば、同じ軌跡405と407でも、画面エリア判定部106による判定結果が異なり、したがって、得られる認証用情報αも異なる。そして、図7の例では行数と列数は変わらないが、もちろん、行数、列数、またはエリアの形状が異なる細分化エリア情報が使われれば、同じ軌跡でも画面エリア判定部106による判定結果が異なる。   That is, if the subdivision area information is different, the determination result by the screen area determination unit 106 is different even in the same trajectories 405 and 407, and thus the obtained authentication information α is also different. In the example of FIG. 7, the number of rows and the number of columns do not change. Of course, if segmented area information having different numbers of rows, columns, or areas is used, the screen area determination unit 106 determines the same trajectory. Results are different.

例えば、あるユーザに対応して登録されている図形が、軌跡405や407のように、画面の右下に固まっているとする。あるいは、あるユーザに対応して登録されている図形が、画面の右下以外の部分にも広がってはいるが、画面の右下において相対的に複雑な形状であり、右下以外の部分において相対的に簡単な形状であるとする。   For example, it is assumed that a figure registered corresponding to a certain user is solidified at the lower right of the screen like a locus 405 or 407. Or, the figure registered for a certain user extends to the part other than the lower right part of the screen, but it has a relatively complicated shape in the lower right part of the screen. Let it be a relatively simple shape.

その場合、例えば画面と鍵情報の対応づけ406として図7に例示されているような、画面の右下のエリアを小さく定義する細分化エリア情報が好適である。なぜなら、もし逆に画面の右下のエリアが大きいとすれば、他の図形との区別がつかなくなる(あるいは区別がつきづらくなる)からである。   In that case, for example, subdivision area information that defines the lower right area of the screen as small as illustrated in FIG. 7 as the association 406 of the screen and key information is suitable. This is because if the area at the lower right of the screen is large, it is difficult to distinguish from other figures (or it becomes difficult to distinguish).

例えば、画面の右下のエリアを大きく定義する細分化エリア情報が使われると、軌跡407は、最下行の最右列にある1つのエリアしか通過しないかもしれない。すると、画面の最下行の最右列にある1つのエリアの範囲内に収まる図形であれば、たとえ軌跡407とはまったく異なる形状の図形が入力されても、「入力される軌跡はどのエリアを通過したか」という点ではまったく軌跡407と区別がつかない。そのため、画面乱数処理部107が認証用情報αを例えば式(1)によって求める場合は、軌跡407を描く図形が入力されるか軌跡407とはまったく異なる図形が入力されるかにかかわらず、まったく同じ認証用情報αが得られるおそれがある。   For example, if segmented area information that greatly defines the lower right area of the screen is used, the trajectory 407 may pass through only one area in the rightmost column of the lowermost row. Then, as long as the figure fits within the range of one area in the rightmost column in the bottom row of the screen, even if a figure with a shape completely different from the locus 407 is entered, “ It is completely indistinguishable from the locus 407 in terms of “has passed?”. Therefore, when the screen random number processing unit 107 obtains the authentication information α by, for example, Expression (1), regardless of whether a graphic drawing the trajectory 407 or a graphic completely different from the trajectory 407 is input, The same authentication information α may be obtained.

よって、あるユーザに対応して登録されている図形が、画面内の特定の部分(例えば右下の部分)に固まっていたり、特定の部分において他の部分よりも複雑であったりする場合には、特定の部分のエリアを小さく定義する細分化エリア情報が好ましい。つまり、ユーザごとの図形の特徴を判別するのに十分な程度に細かな粒度で、特定の部分においてエリアを細分化する細分化エリア情報が使われることが好ましい。   Therefore, when a figure registered for a certain user is stuck in a specific part (for example, the lower right part) in the screen or is more complicated than the other part in a specific part The subdivision area information that defines the area of a specific part to be small is preferable. That is, it is preferable to use segmented area information that subdivides an area in a specific portion with a granularity that is fine enough to discriminate the feature of the figure for each user.

続いて、車載装置100と路側機201との間で送受信されるフレームの具体例を説明する。
図8Aと8Bは、フレームの例を説明する図である。図示の便宜のため、図8Aと8Bの双方に、第1実施形態におけるフレーム500一般の形式が示されている。フレーム500は、プリアンブルと、プリアンブルに続くヘッダと、ヘッダに続くペイロードを有する。 Subsequently, a specific example of a frame transmitted and received between the in-vehicle device 100 and the roadside device 201 will be described.
8A and 8B are diagrams illustrating an example of a frame. For convenience of illustration, the general format of the frame 500 in the first embodiment is shown in both FIGS. 8A and 8B. The frame 500 has a preamble, a header following the preamble, and a payload following the header.

また、以下では、車載装置100から路側機201へ送信される方向を「UpLink(UL)方向」といい、逆方向を「DownLink(DL)」方向という。図8Aと8Bには、各フレームの横に、どちらの方向に送信されるフレームなのかを示す文字が示されている。   Hereinafter, a direction transmitted from the in-vehicle device 100 to the roadside device 201 is referred to as an “UpLink (UL) direction”, and a reverse direction is referred to as a “DownLink (DL)” direction. In FIGS. 8A and 8B, characters indicating in which direction the frame is transmitted are shown beside each frame.

プリアンブルは、無線通信路で送受信されるフレーム500の先頭に同期用に付加される所定パターンのビット列である。
また、ヘッダには、データマップ情報と車載装置IDが含まれる。データマップ情報は、フレーム500のどの位置に何のフィールドのデータがあるかを示す情報である。 The preamble is a bit string of a predetermined pattern added for synchronization at the head of the frame 500 transmitted / received through the wireless communication path.
Further, the header includes data map information and an in-vehicle device ID. The data map information is information indicating which field of data exists at which position in the frame 500.

例えば、ペイロード内の各フィールドの長さがフレーム500の種別ごとに固定されている実施形態では、データマップ情報としては、フレーム500の種別を示す値が利用可能である。あるいは、可変長のフィールドがペイロードに含まれる実施形態では、フレーム500の種別を示す値と、可変長のフィールドの長さを示す値がデータマップ情報に含まれてもよい。   For example, in an embodiment in which the length of each field in the payload is fixed for each type of frame 500, a value indicating the type of frame 500 can be used as the data map information. Alternatively, in an embodiment in which a variable-length field is included in the payload, a value indicating the type of the frame 500 and a value indicating the length of the variable-length field may be included in the data map information.

車載装置IDは、フレーム500がDL方向に送信される場合は送信先の車載装置100を指定するフィールドとして使われる。また、フレーム500がUL方向に送信される場合は、車載装置IDは送信元の車載装置100を表すフィールドとして使われる。   The in-vehicle device ID is used as a field for designating the destination in-vehicle device 100 when the frame 500 is transmitted in the DL direction. When the frame 500 is transmitted in the UL direction, the in-vehicle device ID is used as a field representing the in-vehicle device 100 that is the transmission source.

そして、ペイロードには、平文の部分と暗号化された部分があり、フレーム500の種別に応じて一部のフィールドは省略可能である。平文の部分には公開DL情報が含まれ、暗号化された部分には、認証フラグと、秘密DL情報と、乱数情報と、細分化エリア情報と、秘密UL情報が含まれる。なお、実施形態によっては、ペイロードのすべてのフィールドが暗号化されていてもよい。   The payload includes a plain text part and an encrypted part, and some fields can be omitted depending on the type of the frame 500. The plain text part includes public DL information, and the encrypted part includes an authentication flag, secret DL information, random number information, segmented area information, and secret UL information. In some embodiments, all fields of the payload may be encrypted.

また、暗号化方式は任意だが、例えば車載装置100ごとに固有の暗号化鍵を利用した対称鍵暗号化方式が利用可能である。車載装置100ごとに固有の暗号化鍵は、予め決められた固定されたものでもよいし、適宜の鍵交換アルゴリズムにしたがって適宜のタイミングで更新されるものでもよい。   Although the encryption method is arbitrary, for example, a symmetric key encryption method using an encryption key unique to each in-vehicle device 100 can be used. The encryption key unique to each in-vehicle device 100 may be fixed in advance, or may be updated at an appropriate timing according to an appropriate key exchange algorithm.

公開DL情報は、DL方向に送信されるフレーム500の場合に使われる。公開DL情報は、車載装置100宛の、秘密にする必要のないオープンな情報である。公開DL情報の具体的内容は実施形態に応じて任意だが、例えば、公開DL情報は、渋滞が生じている地点に関する情報、交通規制に関する情報、天気予報に関する情報などを含んでもよい。   Public DL information is used in the case of a frame 500 transmitted in the DL direction. The public DL information is open information addressed to the in-vehicle device 100 and does not need to be kept secret. Although the specific content of the public DL information is arbitrary depending on the embodiment, for example, the public DL information may include information on a point where a traffic jam occurs, information on traffic regulation, information on a weather forecast, and the like.

認証フラグは2ビットのフィールドである。1ビット目は、認証プロセス自体と関係のあるフレーム500か否かを示し、認証プロセス自体と関係がある場合の値は“0”、認証プロセス自体と関係がない場合の値は“1”である。例えば、認証に成功した後に、認証済みの車載装置100に対して送信されるフレーム500では、認証フラグの1ビット目の値は“1”である。また、認証フラグの2ビット目は、“0”のとき、認証が済んでいないか認証に失敗したことを示し、“1”のとき、認証に成功したことを示す。なお、フレーム500の種別は、データマップ情報と認証フラグの一方または双方から判別可能である。   The authentication flag is a 2-bit field. The first bit indicates whether or not the frame 500 is related to the authentication process itself. The value when the relation is related to the authentication process itself is “0”, and the value when the relation is not related to the authentication process itself is “1”. is there. For example, in the frame 500 transmitted to the authenticated in-vehicle device 100 after successful authentication, the value of the first bit of the authentication flag is “1”. The second bit of the authentication flag indicates that the authentication has not been completed or the authentication has failed when “0”, and that the authentication has been successful when the value is “1”. The type of the frame 500 can be determined from one or both of the data map information and the authentication flag.

ペイロード内のその他のフィールドは、フレーム500の種類に応じて具体的な内容が異なるので、詳細は後述する。また、図8Aと8Bでは省略されているが、実施形態によっては、ペイロードの後にさらに、例えば誤り検出のためのFrame Check Sequence(FCS)あるいは電子署名などのトレイラがあってもよい。
以上のようなフレーム500には、具体的には以下のような様々な種類がある。なお、図8Aと8Bにおいて、使われないフィールドは斜線で示されている。 Since other fields in the payload have different specific contents depending on the type of the frame 500, details will be described later. Although omitted in FIGS. 8A and 8B, in some embodiments, a trailer such as a frame check sequence (FCS) for detecting an error or an electronic signature may be provided after the payload.
Specifically, there are various types of the frame 500 as described above. In FIGS. 8A and 8B, unused fields are indicated by hatching.

さて、図8Aの認証要求501は、例えば、図4のステップS103で送信される。認証要求501は、所定パターンのビット列が指定されたプリアンブルに続いて、ヘッダとして、認証要求501におけるフィールドの配置を示すデータマップ情報と、車載装置IDを含む。また、図8Aの認証要求501は、“123456789”という車載装置IDを持つ車載装置100から送信される場合の例である。   Now, the authentication request 501 in FIG. 8A is transmitted in, for example, step S103 in FIG. The authentication request 501 includes, as a header, data map information indicating a field arrangement in the authentication request 501 and an in-vehicle device ID, following a preamble in which a bit string of a predetermined pattern is designated. Further, the authentication request 501 in FIG. 8A is an example in the case where the request is transmitted from the in-vehicle device 100 having the in-vehicle device ID “123456789”.

認証要求501はUL方向に送信されるフレーム500なので、認証要求501において公開DL情報は使われない。また、図8Aの認証要求501では、暗号化されるフィールドのうちでは、認証フラグと秘密UL情報以外のフィールドは使われない。   Since the authentication request 501 is a frame 500 transmitted in the UL direction, public DL information is not used in the authentication request 501. In the authentication request 501 of FIG. 8A, fields other than the authentication flag and the secret UL information are not used among the fields to be encrypted.

なお、認証要求501は、認証プロセス自体に関係があり、まだ認証が済んでいないときに認証を要求するために送信されるので、認証要求501における認証フラグの値は“00”である。そして、秘密UL情報には、秘密の情報である認証用情報が設定される。   Note that the authentication request 501 is related to the authentication process itself, and is transmitted to request authentication when authentication has not been completed. Therefore, the value of the authentication flag in the authentication request 501 is “00”. In the secret UL information, authentication information that is secret information is set.

また、認証通知502は、認証に成功したときに、認証に対する肯定応答(acknowledgement;ACK)としてDL方向に送信され、例えば図4のステップS104で受信される。認証通知502は、所定パターンのビット列が指定されたプリアンブルに続いて、ヘッダとして、認証通知502におけるフィールドの配置を示すデータマップ情報と、車載装置IDを含む。また、図8Aの認証通知502は、“123456789”という車載装置IDを持つ車載装置100の認証に成功した場合の例である。   Further, when the authentication is successful, the authentication notification 502 is transmitted in the DL direction as an acknowledgment (ACK) for authentication, and is received, for example, in step S104 of FIG. The authentication notification 502 includes, as a header, data map information indicating the arrangement of fields in the authentication notification 502 and an in-vehicle device ID as a header following a preamble in which a bit string of a predetermined pattern is designated. Further, the authentication notification 502 in FIG. 8A is an example when the in-vehicle device 100 having the in-vehicle device ID “123456789” has been successfully authenticated.

認証通知502は、DL方向に送信されるフレーム500なので、公開DL情報を含んでいてもよい。もちろん、公開DL情報は省略されてもよい。
なお、認証通知502は、認証プロセス自体に関係があり、認証に成功したときに送信されるので、認証通知502における認証フラグの値は“01”である。そして、ペイロード内の他のフィールドは、認証通知502では省略される。 Since the authentication notification 502 is a frame 500 transmitted in the DL direction, the authentication notification 502 may include public DL information. Of course, the public DL information may be omitted.
The authentication notification 502 is related to the authentication process itself, and is transmitted when the authentication is successful. Therefore, the value of the authentication flag in the authentication notification 502 is “01”. The other fields in the payload are omitted in the authentication notification 502.

また、拒否通知503は、認証に失敗したときに、認証に対する否定応答(negative acknowledgement;NACK)としてDL方向に送信され、例えば図4のステップS104で受信される。拒否通知503は、所定パターンのビット列が指定されたプリアンブルに続いて、ヘッダとして、拒否通知503におけるフィールドの配置を示すデータマップ情報と、車載装置IDを含む。また、図8Aの拒否通知503は、“123456789”という車載装置IDを持つ車載装置100の認証に失敗した場合の例である。   Further, the rejection notification 503 is transmitted in the DL direction as a negative acknowledgment (NACK) for authentication when authentication fails, and is received, for example, in step S104 of FIG. The rejection notification 503 includes, as a header, data map information indicating the arrangement of fields in the rejection notification 503 and an in-vehicle device ID, following a preamble in which a bit string of a predetermined pattern is specified. Further, the rejection notification 503 in FIG. 8A is an example when authentication of the in-vehicle device 100 having the in-vehicle device ID “123456789” has failed.

拒否通知503は、DL方向に送信されるフレーム500なので、公開DL情報を含んでいてもよい。もちろん、公開DL情報は省略されてもよい。
なお、拒否通知503は、認証プロセス自体に関係があり、認証に失敗したときに送信されるので、拒否通知503における認証フラグの値は“00”である。そして、ペイロード内の他のフィールドは、拒否通知503では省略される。 Since the rejection notification 503 is a frame 500 transmitted in the DL direction, it may include public DL information. Of course, the public DL information may be omitted.
The rejection notification 503 is related to the authentication process itself, and is transmitted when the authentication fails. Therefore, the value of the authentication flag in the rejection notification 503 is “00”. The other fields in the payload are omitted in the rejection notification 503.

また、鍵情報更新要求504は、例えば図4のステップS107において、鍵情報の更新を要求するためにUL方向に送信される。鍵情報更新要求504は、所定パターンのビット列が指定されたプリアンブルに続いて、ヘッダとして、鍵情報更新要求504におけるフィールドの配置を示すデータマップ情報と、車載装置IDを含む。また、図8Aの鍵情報更新要求504は、“123456789”という車載装置IDを持つ車載装置100が鍵情報の更新を要求する場合の例である。   Also, the key information update request 504 is transmitted in the UL direction in order to request an update of the key information, for example, in step S107 of FIG. The key information update request 504 includes, as a header, data map information indicating the field arrangement in the key information update request 504 and an in-vehicle device ID as a header following a preamble in which a bit string of a predetermined pattern is designated. Further, the key information update request 504 in FIG. 8A is an example in a case where the in-vehicle device 100 having the in-vehicle device ID “123456789” requests an update of the key information.

鍵情報更新要求504はUL方向に送信されるフレーム500なので、鍵情報更新要求504において公開DL情報は使われない。また、図8Aの鍵情報更新要求504では、認証フラグ以外のペイロード内のフィールドは使われない。   Since the key information update request 504 is the frame 500 transmitted in the UL direction, the public DL information is not used in the key information update request 504. In the key information update request 504 in FIG. 8A, fields in the payload other than the authentication flag are not used.

なお、鍵情報更新要求504は、認証が成功した後に送信されるものであり、認証プロセス自体とは関係がない。よって、鍵情報更新要求504における認証フラグの値は“11”である。   Note that the key information update request 504 is transmitted after successful authentication and has nothing to do with the authentication process itself. Therefore, the value of the authentication flag in the key information update request 504 is “11”.

また、鍵情報更新通知505は、例えば図4のステップS108で受信される。鍵情報更新通知505は、所定パターンのビット列が指定されたプリアンブルに続いて、ヘッダとして、鍵情報更新通知505におけるフィールドの配置を示すデータマップ情報と、車載装置IDを含む。また、図8Aの鍵情報更新通知505は、“123456789”という車載装置IDを持つ車載装置100に新たな鍵情報が通知される場合の例である。   Also, the key information update notification 505 is received, for example, in step S108 of FIG. The key information update notification 505 includes, as a header, data map information indicating a field arrangement in the key information update notification 505 and an in-vehicle device ID as a header following a preamble in which a bit string of a predetermined pattern is designated. Further, the key information update notification 505 in FIG. 8A is an example in the case where new key information is notified to the in-vehicle device 100 having the in-vehicle device ID “123456789”.

鍵情報更新通知505は、DL方向に送信されるフレーム500なので、公開DL情報を含んでいてもよい。もちろん、公開DL情報は省略されてもよい。
なお、鍵情報更新通知505は、認証が成功した後に送信されるものであり、認証プロセス自体とは関係がない。よって、鍵情報更新通知505における認証フラグの値は“11”である。 Since the key information update notification 505 is the frame 500 transmitted in the DL direction, the key information update notification 505 may include public DL information. Of course, the public DL information may be omitted.
Note that the key information update notification 505 is transmitted after successful authentication and has nothing to do with the authentication process itself. Therefore, the value of the authentication flag in the key information update notification 505 is “11”.

そして鍵情報更新通知505のペイロードのうち、乱数情報のフィールドには新たな乱数情報が設定され、細分化エリア情報のフィールドには新たな細分化エリア情報が設定される。ペイロード内の他のフィールドは、鍵情報更新通知505では省略される。   In the payload of the key information update notification 505, new random number information is set in the random number information field, and new subdivided area information is set in the subdivided area information field. Other fields in the payload are omitted in the key information update notification 505.

また、鍵情報受領通知506は、例えば図4のステップS111において、新たな鍵情報を受領したことを認証サーバ202に通知するためにUL方向に送信される。鍵情報受領通知506は、所定パターンのビット列が指定されたプリアンブルに続いて、ヘッダとして、鍵情報受領通知506におけるフィールドの配置を示すデータマップ情報と、車載装置IDを含む。また、図8Aの鍵情報受領通知506は、“123456789”という車載装置IDを持つ車載装置100が新たな鍵情報を受領した場合の例である。   Also, the key information receipt notification 506 is transmitted in the UL direction in order to notify the authentication server 202 that new key information has been received, for example, in step S111 of FIG. The key information receipt notification 506 includes, as a header, data map information indicating the field arrangement in the key information receipt notification 506 and an in-vehicle device ID, following a preamble in which a bit string of a predetermined pattern is designated. The key information receipt notification 506 in FIG. 8A is an example when the in-vehicle device 100 having the in-vehicle device ID “123456789” receives new key information.

鍵情報受領通知506はUL方向に送信されるフレーム500なので、鍵情報受領通知506において公開DL情報は使われない。
なお、鍵情報受領通知506は、認証が成功した後に送信されるものであり、認証プロセス自体とは関係がない。よって、鍵情報受領通知506における認証フラグの値は“11”である。 Since the key information receipt notification 506 is the frame 500 transmitted in the UL direction, the public DL information is not used in the key information receipt notification 506.
Note that the key information receipt notification 506 is transmitted after successful authentication and has nothing to do with the authentication process itself. Therefore, the value of the authentication flag in the key information receipt notification 506 is “11”.

そしてペイロードのうち、乱数情報のフィールドには、受領した新たな乱数情報のバージョンが設定され、細分化エリア情報のフィールドには受領した新たな細分化エリア情報のバージョンが設定される。ペイロード内の他のフィールドは、鍵情報受領通知506では省略される。   In the payload, the received random number information version is set in the random number information field, and the received new segmented area information version is set in the segmented area information field. Other fields in the payload are omitted in the key information receipt notification 506.

なお、情報送信処理部104は、格納部105内の鍵情報を参照することで鍵情報のバージョンを認識することもできるし、情報受信処理部103が情報送信処理部104に新たな鍵情報のバージョンを通知してもよい。よって、情報送信処理部104は、図4のステップS111において、細分化エリア情報と乱数情報のバージョンを含むデータを、鍵情報受領通知506用のデータとして上位機器インタフェース部102に出力することができる。   The information transmission processing unit 104 can also recognize the version of the key information by referring to the key information in the storage unit 105, and the information reception processing unit 103 sends a new key information to the information transmission processing unit 104. The version may be notified. Therefore, the information transmission processing unit 104 can output data including the version of the segmentation area information and the random number information to the higher-level device interface unit 102 as data for the key information receipt notification 506 in step S111 in FIG. .

そして、鍵情報受領通知506が図8Bの鍵情報受領通知506のように新たな鍵情報のバージョンを示す情報を含む場合は、図5のステップS211で認証サーバ202は、バージョンの確認を行ってもよい。   If the key information receipt notification 506 includes information indicating a new version of key information like the key information receipt notification 506 in FIG. 8B, the authentication server 202 confirms the version in step S211 in FIG. Also good.

つまり、認証サーバ202は、最新送信版として保持している鍵情報のバージョンと、受信した鍵情報受領通知506に含まれるバージョンが一致するか否かを確認してもよい。そして、認証サーバ202は、バージョンが一致すれば最新送信版の鍵情報を認証利用版の鍵情報としてコピーし、逆に、バージョンが不一致であれば適宜のエラー処理を行ってもよい。   That is, the authentication server 202 may check whether the version of the key information held as the latest transmission version matches the version included in the received key information receipt notification 506. Then, the authentication server 202 may copy the latest transmission version key information as the authentication use version key information if the versions match, and may perform appropriate error processing if the versions do not match.

例えば、認証サーバ202は、エラー処理として、最新送信版の鍵情報を含む鍵情報更新通知を車載装置100に再送してもよい。そして、車載装置100は、自ら送信した鍵情報更新要求504に対する直接の返信としてではなくエラー処理の結果として再送されてくる鍵情報更新通知505に関しても、受信を契機として図4のステップS110およびS111と同様の処理を行ってもよい。   For example, the authentication server 202 may retransmit the key information update notification including the latest transmission version key information to the in-vehicle device 100 as error processing. The in-vehicle device 100 receives the key information update notification 505 that is retransmitted as a result of error processing instead of as a direct reply to the key information update request 504 transmitted by itself, and the steps S110 and S111 in FIG. The same processing may be performed.

また、図8Bサービス中通信507は、認証に成功した後に交通管制サーバ203から車両305が受けるサービスにおいて、DL方向に送信されるフレーム500である。なお、サービスを受けるためのクライアントは、車載装置100に含まれていてもよいし、車載装置100と同じ車両305に搭載された車載装置100以外の装置であってもよい。後者の場合、サービス中通信507の受信とサービス中通信508の送信は、クライアントたる装置が行ってもよい。   8B is a frame 500 transmitted in the DL direction in the service received by the vehicle 305 from the traffic control server 203 after successful authentication. The client for receiving the service may be included in the in-vehicle device 100, or may be a device other than the in-vehicle device 100 mounted in the same vehicle 305 as the in-vehicle device 100. In the latter case, reception of the in-service communication 507 and transmission of the in-service communication 508 may be performed by a client device.

サービス中通信507は、所定パターンのビット列が指定されたプリアンブルに続いて、ヘッダとして、サービス中通信507におけるフィールドの配置を示すデータマップ情報と、車載装置IDを含む。また、図8Bのサービス中通信507は、“123456789”という車載装置IDで識別されるアカウントに対するサービスにおいて送信されるフレーム500の例である。   The in-service communication 507 includes, as a header, data map information indicating an arrangement of fields in the in-service communication 507 and an in-vehicle device ID as a header following a preamble in which a bit pattern having a predetermined pattern is designated. 8B is an example of the frame 500 transmitted in the service for the account identified by the in-vehicle device ID “123456789”.

サービス中通信507は、DL方向に送信されるフレーム500なので、サービス中通信507は公開DL情報を含んでいてもよい。図8Bには、サービス中通信507における公開DL情報の例として、渋滞、事故、交通規制などについて示す一般的交通情報を示してある。   Since the in-service communication 507 is the frame 500 transmitted in the DL direction, the in-service communication 507 may include public DL information. FIG. 8B shows general traffic information indicating traffic jams, accidents, traffic restrictions, and the like as examples of public DL information in the in-service communication 507.

なお、サービス中通信507は、認証が成功した後に送信されるものであり、認証プロセス自体とは関係がない。よって、サービス中通信507における認証フラグの値は“11”である。   The in-service communication 507 is transmitted after successful authentication and has nothing to do with the authentication process itself. Therefore, the value of the authentication flag in the in-service communication 507 is “11”.

そして、ペイロードのうち秘密DL情報のフィールドには、交通管制サーバ203からのサービスに関する情報が含まれる。図8Bのサービス中通信507は、具体的には、警察車両、消防車、救急車などの緊急車両向けのサービスにおいて送信されるフレーム500の例である。   And the information regarding the service from the traffic control server 203 is contained in the field of secret DL information among payloads. The in-service communication 507 in FIG. 8B is an example of a frame 500 transmitted in a service for an emergency vehicle such as a police vehicle, a fire engine, an ambulance, or the like.

よって、サービス中通信507の秘密DL情報のフィールドには、交通管制サーバ203により信号が青に制御される経路を案内するための緊急車両用案内情報が設定されている。また、ペイロード内の他のフィールドは、サービス中通信507では省略される。もちろん、サービスの内容に応じて、秘密DL情報のフィールドの内容も様々であってよい。   Therefore, emergency vehicle guidance information for guiding a route whose signal is controlled to be blue by the traffic control server 203 is set in the secret DL information field of the in-service communication 507. Other fields in the payload are omitted in the in-service communication 507. Of course, the content of the field of the secret DL information may be varied depending on the content of the service.

また、サービス中通信508は、認証に成功した後に交通管制サーバ203から車両305がサービスを受けるためにUL方向に送信されるフレーム500である。サービス中通信508は、所定パターンのビット列が指定されたプリアンブルに続いて、ヘッダとして、サービス中通信508におけるフィールドの配置を示すデータマップ情報と、車載装置IDを含む。また、図8Bのサービス中通信508は、“123456789”という車載装置IDで識別されるアカウントに対するサービスにおいて送信されるフレーム500の例である。   The in-service communication 508 is a frame 500 transmitted in the UL direction so that the vehicle 305 receives a service from the traffic control server 203 after successful authentication. The in-service communication 508 includes, as a header, data map information indicating a field arrangement in the in-service communication 508 and an in-vehicle device ID, following a preamble in which a bit string of a predetermined pattern is designated. 8B is an example of the frame 500 transmitted in the service for the account identified by the in-vehicle device ID “123456789”.

サービス中通信508は、UL方向に送信されるフレーム500なので、サービス中通信508において公開DL情報は使われない。
なお、サービス中通信508は、認証が成功した後に送信されるものであり、認証プロセス自体とは関係がない。よって、サービス中通信508における認証フラグの値は“11”である。 Since the in-service communication 508 is the frame 500 transmitted in the UL direction, the public DL information is not used in the in-service communication 508.
The in-service communication 508 is transmitted after successful authentication, and has nothing to do with the authentication process itself. Therefore, the value of the authentication flag in the in-service communication 508 is “11”.

そして、ペイロードのうち秘密UL情報のフィールドが使われ、他のフィールドは省略される。図8Bには、サービスを受けるにあたってユーザの個人情報(例えばクレジットカード番号などでもよい)が秘密UL情報として設定される場合の例が示されている。もちろん、秘密UL情報は個人情報以外の情報であってもよい。   The secret UL information field is used in the payload, and other fields are omitted. FIG. 8B shows an example in which personal information of a user (for example, a credit card number) may be set as secret UL information when receiving a service. Of course, the secret UL information may be information other than personal information.

なお、図8Bの認証要求兼更新要求509と認証通知兼更新通知510は、第2実施形態で使われるフレーム500である。また、位置通知511は、第3実施形態で使われるフレーム500である。よって、これら3種類のフレーム500についての詳細な説明はここでは省略し、後述する。   Note that the authentication request / update request 509 and the authentication notification / update notification 510 in FIG. 8B are frames 500 used in the second embodiment. The position notification 511 is a frame 500 used in the third embodiment. Therefore, detailed description of these three types of frames 500 will be omitted here and will be described later.

さて、続いて図9〜10を参照して、第1実施形態との違いを中心に、第2実施形態について説明する。第2実施形態では、図8Aの認証要求501と鍵情報更新要求504の役割を兼ねる図8Bの認証要求兼更新要求509が使われ、図8Aの認証通知502と鍵情報更新通知505の役割を兼ねる図8Bの認証通知兼更新通知510が使われる。   Now, with reference to FIGS. 9 to 10, the second embodiment will be described focusing on the difference from the first embodiment. In the second embodiment, the authentication request / update request 509 in FIG. 8B that also serves as the authentication request 501 and key information update request 504 in FIG. 8A is used, and the roles of the authentication notification 502 and key information update notification 505 in FIG. 8A are used. The authentication notification / update notification 510 shown in FIG. 8B is also used.

図9は、第2実施形態における車載装置の動作のフローチャートである。
ステップS301で情報受信処理部103は、図4のステップS101と同様にして、画面インタフェース部101を介した図形の入力を受け付け、軌跡情報を生成し、軌跡情報を画面エリア判定部106に出力する。 FIG. 9 is a flowchart of the operation of the in-vehicle device in the second embodiment.
In step S <b> 301, the information reception processing unit 103 receives a graphic input via the screen interface unit 101 in the same manner as in step S <b> 101 of FIG. 4, generates trajectory information, and outputs the trajectory information to the screen area determination unit 106. .

そして、次のステップS302で車載装置100は、図4のステップS102と同様にして、入力された図形から得られる軌跡情報と、格納部105に予め記憶されている鍵情報とを使って、認証用情報を生成する。   Then, in the next step S302, the in-vehicle device 100 performs authentication using the trajectory information obtained from the input graphic and the key information stored in advance in the storage unit 105 in the same manner as in step S102 of FIG. Information is generated.

つまり、細分化エリア情報と軌跡情報に基づいて画面エリア判定部106は上記(a1)、(a2)、または(a1)と(a2)の双方を判定し、判定結果を画面乱数処理部107に出力する。そして、画面乱数処理部107は、格納部105から乱数情報を読み出し、画面エリア判定部106による判定結果と乱数情報から認証用情報を作成する。あるいは、画面乱数処理部107は、乱数情報を使わずに画面エリア判定部106による判定結果から、認証用情報を作成してもよい。いずれにせよ、画面乱数処理部107は生成した認証用情報を情報送信処理部104に出力する。   That is, the screen area determination unit 106 determines (a1), (a2), or both (a1) and (a2) based on the subdivision area information and the trajectory information, and sends the determination result to the screen random number processing unit 107. Output. The screen random number processing unit 107 reads the random number information from the storage unit 105 and creates authentication information from the determination result by the screen area determination unit 106 and the random number information. Alternatively, the screen random number processing unit 107 may create authentication information from the determination result by the screen area determination unit 106 without using the random number information. In any case, the screen random number processing unit 107 outputs the generated authentication information to the information transmission processing unit 104.

すると、次のステップS303で情報送信処理部104は、図4のステップS106と同様に、地図情報と車速から推測される通信品質が良好であるか否かを判断する。具体的には、車両状態判定部108が「車載装置100が搭載されている車両305が信号機の付近で停止していると見なせる状態か否か」ということを判定する。   Then, in the next step S303, the information transmission processing unit 104 determines whether or not the communication quality estimated from the map information and the vehicle speed is good as in step S106 of FIG. Specifically, the vehicle state determination unit 108 determines whether or not the vehicle 305 on which the in-vehicle device 100 is mounted is in a state where it can be regarded as being stopped near the traffic light.

そして、車両状態判定部108から「車両305が信号機の付近で停止していると見なせる状態である」と示す情報が入力された場合、情報送信処理部104は、「通信品質が良好だろう」と推測する。逆に、車両状態判定部108から「車両305は信号機の付近で停止していると見なせる状態ではない」と示す情報が入力された場合、情報送信処理部104は、「通信品質が良好ではないだろう」と推測する。そして、情報送信処理部104は、推測される通信品質が良好になるまで待機する。推測される通信品質が良好であれば、処理はステップS304に移行する。   When information indicating that “the vehicle 305 is in a state where it can be regarded as being stopped near the traffic light” is input from the vehicle state determination unit 108, the information transmission processing unit 104 determines that “communication quality is good”. I guess. Conversely, when information indicating that “the vehicle 305 is not in a state where it can be regarded as being stopped near a traffic light” is input from the vehicle state determination unit 108, the information transmission processing unit 104 determines that “communication quality is not good. I guess. " And the information transmission process part 104 waits until the estimated communication quality becomes favorable. If the estimated communication quality is good, the process proceeds to step S304.

ステップS304で情報送信処理部104は、認証と鍵情報の更新をあわせて認証サーバ202に要求するための認証要求兼更新要求のフレーム用のデータ(例えばヘッダとペイロード)を生成し、生成したデータを上位機器インタフェース部102に出力する。そして、情報送信処理部104は、フレームの送信を上位機器インタフェース部102に命じる。すると、上位機器インタフェース部102は命令にしたがって、必要に応じて暗号化やプリアンブルの付加などの処理を行い、認証要求兼更新要求のフレームを送信する。   In step S304, the information transmission processing unit 104 generates data for an authentication request / update request frame (for example, header and payload) for requesting the authentication server 202 together with the update of the authentication and key information, and the generated data Is output to the higher-level device interface unit 102. Then, the information transmission processing unit 104 instructs the higher-level device interface unit 102 to transmit a frame. Then, in accordance with the command, the higher-level device interface unit 102 performs processing such as encryption and preamble addition as necessary, and transmits an authentication request / update request frame.

ステップS304で送信される認証要求兼更新要求のフレームは、例えば、図8Bの認証要求兼更新要求509のような形式である。認証要求兼更新要求509は、図8Aの認証要求501と鍵情報更新要求504の役割を兼ねる。   The authentication request / update request frame transmitted in step S304 has a format such as an authentication request / update request 509 in FIG. 8B, for example. The authentication request / update request 509 also serves as the authentication request 501 and the key information update request 504 in FIG. 8A.

具体的には、認証要求兼更新要求509は、所定パターンのビット列が指定されたプリアンブルに続いて、ヘッダとして、認証要求兼更新要求509におけるフィールドの配置を示すデータマップ情報と、車載装置IDを含む。図8Bの認証要求兼更新要求509は、“123456789”という車載装置IDを持つ車載装置100から送信される場合の例である。   Specifically, the authentication request / update request 509 includes, as a header, data map information indicating the field arrangement in the authentication request / update request 509, and an in-vehicle device ID as a header, following a preamble in which a bit string of a predetermined pattern is designated. Including. The authentication request / update request 509 in FIG. 8B is an example in the case of being transmitted from the in-vehicle device 100 having the in-vehicle device ID “123456789”.

認証要求兼更新要求509はUL方向に送信されるフレーム500なので、認証要求兼更新要求509において公開DL情報は使われない。また、図8Bの認証要求兼更新要求509ではペイロードのフィールドのうちでは認証フラグと秘密UL情報以外のフィールドは使われない。   Since the authentication request / update request 509 is the frame 500 transmitted in the UL direction, the public DL information is not used in the authentication request / update request 509. In the authentication request / update request 509 in FIG. 8B, fields other than the authentication flag and the secret UL information are not used in the payload fields.

なお、認証要求兼更新要求509は認証プロセス自体に関係があり、まだ認証が済んでいないときに送信されるので、認証要求兼更新要求509における認証フラグの値は、認証要求501と同様に“00”である。そして、秘密UL情報には、秘密の情報である認証用情報が認証要求501と同様に設定される。   The authentication request / update request 509 is related to the authentication process itself and is transmitted when the authentication has not been completed. Therefore, the value of the authentication flag in the authentication request / update request 509 is “ 00 ”. In the secret UL information, authentication information that is secret information is set in the same manner as the authentication request 501.

さて、ここで図9の説明に戻る。ステップS304において、認証要求兼更新要求のフレームの送信を上位機器インタフェース部102に命じた後、情報送信処理部104は、タイマをタイムアウト検出用の所定の時間に設定する。なお、フレームの再送に備えて、情報送信処理部104は、認証用情報または認証要求兼更新要求のフレーム用のデータを保持する。また、第1実施形態における想定と同様に、第2実施形態においても、ステップS304でタイマに設定される値は、ネットワーク204の構成、認証サーバ202のスループット、路側機201の設置間隔などに応じて適切に定められているものとする。   Now, it returns to description of FIG. In step S304, after instructing the host device interface unit 102 to transmit an authentication request / update request frame, the information transmission processing unit 104 sets a timer to a predetermined time for detecting timeout. In preparation for frame retransmission, the information transmission processing unit 104 holds authentication information or authentication request / update request frame data. As in the assumption in the first embodiment, also in the second embodiment, the value set in the timer in step S304 depends on the configuration of the network 204, the throughput of the authentication server 202, the installation interval of the roadside device 201, and the like. And appropriately determined.

続いて、ステップS305で情報送信処理部104は、後続の処理を行うためのトリガとなるイベントの発生を待つ。そして、トリガとなるイベントが発生すると、処理はステップS306に移行する。本実施形態ではステップS305でトリガとなるイベントには認証通知兼更新通知の受信と、拒否通知の受信と、タイムアウトの3種類があり、具体的には以下のようにして検出される。   Subsequently, in step S305, the information transmission processing unit 104 waits for the occurrence of an event serving as a trigger for performing subsequent processing. Then, when an event serving as a trigger occurs, the process proceeds to step S306. In the present embodiment, there are three types of events that trigger in step S305: reception of an authentication notification / update notification, reception of a rejection notification, and timeout, which are specifically detected as follows.

ステップS304で上位機器インタフェース部102から送信された認証要求兼更新要求のフレームは、車載装置100と路側機201との間の通信品質が良好であれば、路側機201に受信される。そして、認証要求兼更新要求は、路側機201からネットワーク204を介して、認証サーバ202に送信される。   The authentication request / update request frame transmitted from the host device interface unit 102 in step S304 is received by the roadside device 201 if the communication quality between the in-vehicle device 100 and the roadside device 201 is good. Then, the authentication request / update request is transmitted from the roadside device 201 to the authentication server 202 via the network 204.

そして、認証要求兼更新要求が認証サーバ202に到達すると、認証サーバ202は認証要求兼更新要求に含まれる認証用情報と車載装置IDに基づいて認証処理を行い、認証用情報が正当な情報か不正な情報かを判断する。認証サーバ202による認証処理と判断は、図5のステップS202およびS204と同様である。また、認証サーバ202は図5のステップS203と同様に、返信時の中継点となる路側機201の選択も行う。   When the authentication request / update request reaches the authentication server 202, the authentication server 202 performs an authentication process based on the authentication information and the in-vehicle device ID included in the authentication request / update request, and whether the authentication information is valid information. Determine whether the information is invalid. The authentication process and determination by the authentication server 202 are the same as steps S202 and S204 in FIG. Further, the authentication server 202 also selects the roadside device 201 that is a relay point at the time of reply, as in step S203 of FIG.

そして、認証用情報が正当な情報であると判断した場合、認証サーバ202は、図5のステップS205と同様に交通管制サーバ203に対して認証結果を知らせ、図5のステップS208と同様に新たな鍵情報を作成して最新送信版として記憶する。そして、認証サーバ202は、認証通知兼更新通知を作成し、選択した路側機201に宛てて送信する。他方、認証用情報が不正な情報であると判断した場合、認証サーバ202は図5のステップS207と同様にして、選択した路側機201に宛てて拒否通知を送信する。   If the authentication server 202 determines that the authentication information is valid information, the authentication server 202 notifies the traffic control server 203 of the authentication result in the same manner as in step S205 in FIG. Key information is created and stored as the latest transmission version. Then, the authentication server 202 creates an authentication notification / update notification and transmits it to the selected roadside device 201. On the other hand, if it is determined that the authentication information is illegal information, the authentication server 202 transmits a rejection notice to the selected roadside device 201 in the same manner as in step S207 of FIG.

そして、認証通知兼更新通知または拒否通知は、ネットワーク204と路側機201を介して車載装置100に到達し、上位機器インタフェース部102において受信される。例えば、上位機器インタフェース部102において受信される拒否通知は、第1実施形態における図8Aの拒否通知503と同様である。また、上位機器インタフェース部102において受信される認証通知兼更新通知は、例えば図8Bに示す認証通知兼更新通知510のような形式である。   Then, the authentication notification / update notification or rejection notification reaches the in-vehicle device 100 via the network 204 and the roadside device 201 and is received by the higher-level device interface unit 102. For example, the rejection notification received by the higher-level device interface unit 102 is the same as the rejection notification 503 in FIG. 8A in the first embodiment. Further, the authentication notification / update notification received by the higher-level device interface unit 102 has a format such as an authentication notification / update notification 510 shown in FIG. 8B, for example.

図8Bの認証通知兼更新通知510は、図8Aの認証通知502と鍵情報更新通知505の役割を兼ねる。具体的には、認証通知兼更新通知510は、所定パターンのビット列が指定されたプリアンブルに続いて、ヘッダとして、認証通知兼更新通知510におけるフィールドの配置を示すデータマップ情報と、車載装置IDを含む。図8Bの認証通知兼更新通知510は、“123456789”という車載装置IDを持つ車載装置100の認証に成功し、当該車載装置100に新たな鍵情報を通知する場合の例である。   The authentication notification / update notification 510 in FIG. 8B also serves as the authentication notification 502 and the key information update notification 505 in FIG. 8A. Specifically, the authentication notification / update notification 510 includes, as a header, data map information indicating an arrangement of fields in the authentication notification / update notification 510 and an in-vehicle device ID as a header following a preamble in which a bit string of a predetermined pattern is designated. Including. The authentication notification / update notification 510 in FIG. 8B is an example of a case where the in-vehicle device 100 having the in-vehicle device ID “123456789” has been successfully authenticated and new key information is notified to the in-vehicle device 100.

認証通知兼更新通知510は、DL方向に送信されるフレーム500なので、公開DL情報を含んでいてもよい。もちろん、公開DL情報は省略されてもよい。
なお、認証通知兼更新通知510は、認証プロセス自体に関係があり、認証に成功したときに送信されるので、認証通知兼更新通知510における認証フラグの値は認証通知502と同様に“01”である。 Since the authentication notification / update notification 510 is the frame 500 transmitted in the DL direction, it may include public DL information. Of course, the public DL information may be omitted.
Note that the authentication notification / update notification 510 is related to the authentication process itself and is transmitted when the authentication is successful. Therefore, the value of the authentication flag in the authentication notification / update notification 510 is “01” as in the authentication notification 502. It is.

そして、認証通知兼更新通知510では、鍵情報更新通知505と同様に、ペイロードのうち、乱数情報のフィールドには新たな乱数情報が設定され、細分化エリア情報のフィールドには新たな細分化エリア情報が設定される。ペイロード内の他のフィールドは、認証通知兼更新通知510では省略される。   In the authentication notification / update notification 510, as in the key information update notification 505, new random number information is set in the random information field of the payload, and a new subdivision area is set in the subdivision area information field. Information is set. Other fields in the payload are omitted in the authentication notification / update notification 510.

さて、認証通知兼更新通知または拒否通知を上位機器インタフェース部102が受信すると、上位機器インタフェース部102は認証通知兼更新通知または拒否通知のデータを情報受信処理部103に出力する。そして、情報受信処理部103は、上位機器インタフェース部102からのデータの入力を、認証通知兼更新通知または拒否通知の受信というトリガの発生として検出し、トリガの検出を情報送信処理部104に通知する。すると、情報送信処理部104は、ステップS304で設定したタイマを無効化し、再送用に保持していた認証用情報または認証要求兼更新要求のフレーム用のデータを破棄する。   When the upper device interface unit 102 receives the authentication notification / update notification or rejection notification, the upper device interface unit 102 outputs the authentication notification / update notification or rejection notification data to the information reception processing unit 103. Then, the information reception processing unit 103 detects the input of data from the higher-level device interface unit 102 as the occurrence of a trigger of receiving an authentication notification / update notification or a rejection notification, and notifies the information transmission processing unit 104 of the detection of the trigger. To do. Then, the information transmission processing unit 104 invalidates the timer set in step S304 and discards the authentication information or authentication request / update request frame data held for retransmission.

他方、ステップS303における「通信品質が良好であろう」という推測にもかかわらず、実際の通信品質が良好ではない場合、ステップS304で送信された認証要求兼更新要求のフレームは、どの路側機201にも受信されない。よって、認証要求兼更新要求は認証サーバ202には到達しない。よって、この場合は、情報送信処理部104がステップS304でタイマに設定した時間以内に認証通知兼更新通知のフレームが受信されることなく、タイマがタイムアウトする。そして、ステップS305において情報送信処理部104はタイムアウトをトリガの発生として検出する。   On the other hand, if the actual communication quality is not good in spite of the assumption that “communication quality will be good” in step S303, the frame of the authentication request / update request transmitted in step S304 is which roadside device 201. Also not received. Therefore, the authentication request / update request does not reach the authentication server 202. Therefore, in this case, the timer times out without receiving the authentication notification / update notification frame within the time set by the information transmission processing unit 104 in step S304. In step S305, the information transmission processing unit 104 detects a timeout as a trigger occurrence.

以上のようにして、情報送信処理部104がトリガの発生を、情報受信処理部103からの通知またはタイマのタイムアウトにより認識すると、処理はステップS306に移行する。   As described above, when the information transmission processing unit 104 recognizes the occurrence of the trigger by the notification from the information reception processing unit 103 or the timeout of the timer, the process proceeds to step S306.

そして、ステップS306で情報送信処理部104は、トリガとして検出されたイベントの種類を判断する。検出されたトリガが拒否通知の受信であれば、図9の処理が終了し、検出されたトリガが認証通知兼更新通知の受信であれば、処理はステップS307に移行する。また、検出されたトリガがタイムアウトであれば、処理はステップS303に戻る。   In step S306, the information transmission processing unit 104 determines the type of event detected as a trigger. If the detected trigger is reception of a rejection notification, the process of FIG. 9 ends. If the detected trigger is reception of an authentication notification / update notification, the process proceeds to step S307. If the detected trigger is a timeout, the process returns to step S303.

以上のステップS303〜S306の処理により、通信環境が悪ければ必要に応じて認証要求兼更新要求のフレームの再送が繰り返される。よって、いずれは結局、認証通知兼更新通知と拒否通知のいずれかの受信がトリガとして検出される。   As a result of the processes in steps S303 to S306, if the communication environment is bad, retransmission of the authentication request / update request frame is repeated as necessary. Therefore, in any case, reception of either an authentication notification / update notification or a rejection notification is detected as a trigger.

つまり、ステップS301で入力された図形が正当な図形であれば、遅かれ早かれ認証通知兼更新通知の受信がトリガとして検出され、処理がステップS307に移行する。また、ステップS301で入力された図形が不正な図形であれば、遅かれ早かれ拒否通知の受信がトリガとして検出され、図9の処理が終了する。   That is, if the graphic input in step S301 is a valid graphic, the reception of the authentication notification / update notification is detected as a trigger sooner or later, and the process proceeds to step S307. Also, if the graphic input in step S301 is an illegal graphic, the reception of the rejection notice is detected as a trigger sooner or later, and the process of FIG. 9 ends.

そして、認証通知兼更新通知の受信がトリガとして検出された場合、ステップS307で情報受信処理部103が、図4のステップS110と同様にして鍵情報の更新を行う。すなわち、情報受信処理部103は、ステップS305で上位機器インタフェース部102から出力された認証通知兼更新通知から新たな鍵情報を取り出し、格納部105に格納されている現在の鍵情報を新たな鍵情報で上書き更新する。   If the reception of the authentication notification / update notification is detected as a trigger, the information reception processing unit 103 updates the key information in the same manner as in step S110 of FIG. 4 in step S307. That is, the information reception processing unit 103 extracts new key information from the authentication notification / update notification output from the higher-level device interface unit 102 in step S305, and uses the current key information stored in the storage unit 105 as a new key. Overwrite and update with information.

そして、次のステップS308で車載装置100は、図4のステップS111と同様にして鍵情報受領通知のフレームを送信する。つまり、情報送信処理部104が鍵情報受領通知のフレーム用のデータ(例えばヘッダとペイロード)を生成し、生成したデータを上位機器インタフェース部102に出力し、上位機器インタフェース部102にフレームの送信を命じる。そして、上位機器インタフェース部102は命令にしたがって、必要に応じて暗号化やプリアンブルの付加などの処理を行い、鍵情報受領通知のフレームを送信し、図9の処理が終了する。   In step S308, the in-vehicle device 100 transmits a key information receipt notification frame in the same manner as in step S111 of FIG. That is, the information transmission processing unit 104 generates data for a key information receipt notification frame (for example, header and payload), outputs the generated data to the higher-level device interface unit 102, and transmits the frame to the higher-level device interface unit 102. Order. Then, the higher-level device interface unit 102 performs processing such as encryption and preamble addition as necessary according to the command, transmits a key information receipt notification frame, and the processing in FIG. 9 ends.

なお、ステップS307とS308の実行順は逆でもよい。あるいは、ステップS307とS308の処理が並行して行われてもよい。また、鍵情報受領通知を受信したときに認証サーバ202が行う処理は第1実施形態と同様である。   Note that the order of execution of steps S307 and S308 may be reversed. Or the process of step S307 and S308 may be performed in parallel. The processing performed by the authentication server 202 when receiving the key information receipt notification is the same as in the first embodiment.

以上説明した第2実施形態では、第1実施形態と比較して車載装置100と認証サーバ202の間のトラフィックが少ない。よって、ネットワーク204の負荷が第1実施形態よりも軽くて済む。   In the second embodiment described above, the traffic between the in-vehicle device 100 and the authentication server 202 is less than that in the first embodiment. Therefore, the load on the network 204 can be lighter than that in the first embodiment.

続いて、図9の処理の具体例について図10を参照して説明する。図10は、第2実施形態で認証に成功する場合のタイミングチャートの例である。
ステップS401において、ユーザが、図3の駐車場304に駐車されている車両305のエンジンをかけ、車載装置100の電源をオンにする。すると、車載装置100は図9の処理を開始する。 Next, a specific example of the process of FIG. 9 will be described with reference to FIG. FIG. 10 is an example of a timing chart when authentication is successful in the second embodiment.
In step S401, the user turns on the engine of the vehicle 305 parked in the parking lot 304 of FIG. Then, the in-vehicle device 100 starts the process of FIG.

続くステップS402は、図9のステップS301に相当する。ステップS402でユーザが予め決められた図形を入力し、車載装置100は画面インタフェース部101を介して図形の入力を受け付ける。   The subsequent step S402 corresponds to step S301 in FIG. In step S <b> 402, the user inputs a predetermined graphic, and the in-vehicle device 100 receives the graphic input via the screen interface unit 101.

そして、次のステップS403は図9のステップS302に相当し、車載装置100は認証用情報を生成する。
ところで、ユーザは、ステップS401での図形の入力後は、運転に専念することができる。よって、車載装置100がステップS403で認証用情報を生成するのと並行して、ユーザは車両305を運転して駐車場304から道路301dに向かっているかもしれない。 The next step S403 corresponds to step S302 in FIG. 9, and the in-vehicle device 100 generates authentication information.
By the way, the user can concentrate on driving | operation after the input of the figure in step S401. Therefore, in parallel with the in-vehicle device 100 generating the authentication information in step S403, the user may drive the vehicle 305 and go from the parking lot 304 toward the road 301d.

具体的には、図10の例では、ユーザの運転操作にしたがって車両305は次の経路に沿って移動するものとする。すなわち、車両305は、駐車場304から道路301dに出た後、交差点302bに向かい、交差点302bを右折し、次の交差点302cも右折し、さらに次の交差点302dを左折するものとする。   Specifically, in the example of FIG. 10, it is assumed that the vehicle 305 moves along the next route according to the driving operation of the user. That is, after the vehicle 305 exits from the parking lot 304 to the road 301d, turns to the intersection 302b, turns right at the intersection 302b, turns right at the next intersection 302c, and further turns left at the next intersection 302d.

上記の経路に沿って車両305が移動する場合、図3に示すとおり、車両305にとって初めて近傍を通過することになる信号機は、交差点302bの信号機303cである。また、図10の例では、車両305が、交差点302bを右折する前に一時停止したとする。   When the vehicle 305 moves along the above route, as shown in FIG. 3, the traffic light that will pass through the vicinity for the first time for the vehicle 305 is the traffic light 303c at the intersection 302b. In the example of FIG. 10, it is assumed that the vehicle 305 temporarily stops before turning right at the intersection 302b.

すると、車両305が停止した際に、図9のステップS303において情報送信処理部104が「地図情報と車速から推測される通信品質が良好である」と判断する。よって、図10にステップS404として示すように、車載装置100は図9のステップS304で図8Bの認証要求兼更新要求509を送信する。   Then, when the vehicle 305 stops, the information transmission processing unit 104 determines that “the communication quality estimated from the map information and the vehicle speed is good” in step S303 of FIG. Therefore, as shown as step S404 in FIG. 10, the in-vehicle device 100 transmits the authentication request / update request 509 of FIG. 8B in step S304 of FIG.

そして、図3に示すように交差点302bに設置された信号機303cには、路側機201cが取り付けられている。よって、ステップS404で送信された認証要求兼更新要求509は、ステップS405において路側機201cに無事に受信される。   And as shown in FIG. 3, the roadside machine 201c is attached to the traffic signal 303c installed in the intersection 302b. Therefore, the authentication request / update request 509 transmitted in step S404 is successfully received by the roadside device 201c in step S405.

すると、路側機201cは、受信した認証要求兼更新要求509から、認証サーバ202宛の認証要求兼更新要求のIPパケットを生成し、生成したIPパケットをネットワーク204に送出する。具体的には、路側機201cは、認証要求兼更新要求509から車載装置IDの値と秘密UL情報として設定された認証用情報を取り出してIPパケットのペイロードに含める。また、路側機201cは、送信元IPアドレスに路側機201c自身のIPアドレスを設定し、送信先IPアドレスに認証サーバ202のIPアドレスを設定する。   Then, the roadside device 201 c generates an IP packet for an authentication request / update request addressed to the authentication server 202 from the received authentication request / update request 509, and sends the generated IP packet to the network 204. Specifically, the roadside device 201c extracts the authentication information set as the in-vehicle device ID value and the secret UL information from the authentication request / update request 509, and includes the information in the payload of the IP packet. Further, the roadside device 201c sets the IP address of the roadside device 201c itself as the transmission source IP address, and sets the IP address of the authentication server 202 as the transmission destination IP address.

なお、路側機201cは、送信するIPパケットが認証要求兼更新要求であることを示すため、認証要求兼更新要求509からデータマップ情報を取り出してIPパケットのペイロードに含めてもよい。あるいは、路側機201cは、認証要求兼更新要求という種別を示す特定の値をIPパケットのペイロードに含めてもよい。   The roadside device 201c may extract the data map information from the authentication request / update request 509 and include it in the payload of the IP packet to indicate that the IP packet to be transmitted is an authentication request / update request. Alternatively, the roadside device 201c may include a specific value indicating the type of authentication request / update request in the payload of the IP packet.

以上のようにして路側機201cで生成されたIPパケットは、ネットワーク204を介して認証サーバ202に送信され、ステップS406で認証サーバ202において受信される。すると、認証サーバ202はIPパケットのペイロードから、車載装置100の車載装置IDと認証用情報を取り出し、認証処理を行う。図10の例は、認証に成功する場合の例である。また、認証サーバ202は図5のステップS203と同様に返信時の中継点となる路側機201の選択を行う。   The IP packet generated by the roadside device 201c as described above is transmitted to the authentication server 202 via the network 204, and is received by the authentication server 202 in step S406. Then, the authentication server 202 extracts the in-vehicle device ID and authentication information of the in-vehicle device 100 from the payload of the IP packet, and performs authentication processing. The example of FIG. 10 is an example when authentication is successful. Further, the authentication server 202 selects the roadside device 201 that is a relay point at the time of reply, as in step S203 of FIG.

そして、次のステップS407で認証サーバ202は、認証通知兼更新通知のIPパケットを生成し、送信する。
具体的には、認証サーバ202は、送信元路側機が路側機201cであると認識する。また、認証サーバ202は、上記(d1)〜(d3)に例示したような路側機配置情報を保持している。図10の例では、認証サーバ202が路側機配置情報から、路側機201bと201gと201hを送信元近傍路側機として特定したとする。すると、認証サーバ202は、ステップS407で、送信元路側機と送信元近傍路側機のそれぞれに宛てて、認証通知兼更新通知のIPパケットを送信する。 In step S407, the authentication server 202 generates and transmits an IP packet for authentication notification / update notification.
Specifically, the authentication server 202 recognizes that the transmission source roadside machine is the roadside machine 201c. The authentication server 202 holds roadside device arrangement information as exemplified in the above (d1) to (d3). In the example of FIG. 10, it is assumed that the authentication server 202 identifies the roadside devices 201b, 201g, and 201h as the transmission source neighboring roadside devices from the roadside device arrangement information. In step S407, the authentication server 202 transmits an authentication notification / update notification IP packet to each of the transmission source roadside device and the transmission source neighboring roadside device.

そして、ステップS408において、路側機201gは、認証通知兼更新通知のIPパケットを受信し、受信したIPパケットに基づいて図8Bの認証通知兼更新通知510を送信する。   In step S408, the roadside device 201g receives the authentication notification / update notification IP packet and transmits the authentication notification / update notification 510 of FIG. 8B based on the received IP packet.

ここで、車両305は、上記の経路上を交差点302dの付近まで進んできたとする。すると、車両305に搭載されている車載装置100は、交差点302dに設置された信号機303gに取り付けられた路側機201gから送信された認証通知兼更新通知510を、ステップS409において受信する。つまり、ステップS409は、図9のステップS305においてトリガとして認証通知兼更新通知が検出される場合の例である。   Here, it is assumed that the vehicle 305 has traveled on the above route to the vicinity of the intersection 302d. Then, the in-vehicle device 100 mounted on the vehicle 305 receives the authentication notification / update notification 510 transmitted from the roadside device 201g attached to the traffic light 303g installed at the intersection 302d in step S409. That is, step S409 is an example in which an authentication notification / update notification is detected as a trigger in step S305 of FIG.

なお、ステップS407で認証サーバ202から送信された認証通知兼更新通知のIPパケットは、ステップS410において、送信元近傍送信機である路側機201bに受信される。そして、路側機201bは認証通知兼更新通知510を送信する。しかし、車載装置100を搭載した車両305は路側機201bの付近にはないので、路側機201bが送信した認証通知兼更新通知510は車載装置100に受信されない。   Note that the IP packet for authentication notification / update notification transmitted from the authentication server 202 in step S407 is received by the roadside device 201b, which is a transmission source neighboring transmitter, in step S410. Then, the roadside device 201b transmits an authentication notification / update notification 510. However, since the vehicle 305 equipped with the in-vehicle device 100 is not in the vicinity of the roadside device 201b, the authentication notification / update notification 510 transmitted by the roadside device 201b is not received by the in-vehicle device 100.

同様に、ステップS407で認証サーバ202から送信された認証通知兼更新通知のIPパケットは、ステップS411において、送信元送信機である路側機201cに受信される。そして、路側機201cは認証通知兼更新通知510を送信する。   Similarly, the authentication notification / update notification IP packet transmitted from the authentication server 202 in step S407 is received by the roadside device 201c, which is the transmission source transmitter, in step S411. Then, the roadside device 201c transmits an authentication notification / update notification 510.

しかし、図10の例では、ステップS411の時点で、車載装置100を搭載した車両305は既にステップS404にいた位置から離れており、路側機201cとの通信範囲から出てしまっている。そのため、路側機201cが送信した認証通知兼更新通知510は車載装置100に受信されない。   However, in the example of FIG. 10, at the time of step S411, the vehicle 305 on which the in-vehicle device 100 is mounted is already away from the position in step S404, and has gone out of the communication range with the roadside device 201c. Therefore, the in-vehicle apparatus 100 does not receive the authentication notification / update notification 510 transmitted by the roadside device 201c.

また、ステップS407で認証サーバ202から送信された認証通知兼更新通知のIPパケットは、ステップS412において、送信元近傍送信機である路側機201hに受信される。そして、路側機201hは認証通知兼更新通知510を送信する。しかし、車載装置100を搭載した車両305は路側機201hの付近にはないので、路側機201hが送信した認証通知兼更新通知510は車載装置100に受信されない。   Further, the IP packet for authentication notification / update notification transmitted from the authentication server 202 in step S407 is received in step S412 by the roadside device 201h which is a transmission source neighboring transmitter. Then, the roadside device 201h transmits an authentication notification / update notification 510. However, since the vehicle 305 equipped with the in-vehicle device 100 is not near the roadside device 201h, the authentication notification / update notification 510 transmitted by the roadside device 201h is not received by the in-vehicle device 100.

さて、車載装置100においては、ステップS409での認証通知兼更新通知510の受信を契機として、ステップS413において図9のステップS307の処理が行われる。すなわち、ステップS413で車載装置100は鍵情報を更新する。   Now, in the in-vehicle device 100, in response to the reception of the authentication notification / update notification 510 in step S409, the processing of step S307 in FIG. 9 is performed in step S413. That is, in-vehicle device 100 updates key information in step S413.

そして、続くステップS414は図9のステップS308に相当し、ステップS414で車載装置100は、鍵情報受領通知506を送信する。なお、ステップS409からステップS414までの時間は、実際には非常に短いので、ステップS414の時点でも、車両305はまだ交差点302dの付近にあり、車載装置100は路側機201gの通信範囲内にある。   The subsequent step S414 corresponds to step S308 in FIG. 9, and the in-vehicle device 100 transmits a key information receipt notification 506 in step S414. Since the time from step S409 to step S414 is actually very short, even at the time of step S414, the vehicle 305 is still in the vicinity of the intersection 302d and the in-vehicle device 100 is within the communication range of the roadside device 201g. .

よって、ステップS414で送信された鍵情報受領通知506は、ステップS415で無事に路側機201gに受信される。そして、路側機201gは、ネットワーク204を介して鍵情報受領通知のIPパケットを認証サーバ202に送信する。   Therefore, the key information receipt notification 506 transmitted in step S414 is safely received by the roadside device 201g in step S415. Then, the roadside device 201 g transmits an IP packet of key information receipt notification to the authentication server 202 via the network 204.

すると、ステップS416で認証サーバ202は、ステップS407で送信した認証通知兼更新通知に対する返信としての鍵情報受領通知を受信する。そして、認証サーバ202は図5のステップS211と同様に、最新送信版の鍵情報を認証利用版としてコピーする。   In step S416, the authentication server 202 receives the key information receipt notification as a reply to the authentication notification / update notification transmitted in step S407. And the authentication server 202 copies the key information of the latest transmission version as an authentication utilization version similarly to step S211 of FIG.

したがって、車両305がいずれ走行を終えて車載装置100の電源が切られ、次に再び車載装置100の電源が入れられたとき、車載装置100は認証に使うための新たな鍵情報を既に格納部105に保持していることになる。よって、次回の認証を行おうとする段になって改めて車載装置100が新たな鍵情報を要求する必要はない。   Therefore, when the vehicle 305 eventually finishes running and the power of the vehicle-mounted device 100 is turned off and then the vehicle-mounted device 100 is turned on again, the vehicle-mounted device 100 already stores new key information for use in authentication. 105. Therefore, it is not necessary for the in-vehicle device 100 to request new key information again at the stage of next authentication.

つまり、次に再び車載装置100の電源が入れられたとき、車載装置100は、格納部105に格納済みの鍵情報を用いて図9の処理を行うことができる。換言すれば、車載装置100への電源投入から認証結果の受信までの時間は、鍵情報の更新にかかる時間が含まれない分だけ、短くて済む。なお、この時間短縮の効果は、他の実施形態においても同様に得られる。   That is, when the vehicle-mounted device 100 is turned on again next time, the vehicle-mounted device 100 can perform the process of FIG. 9 using the key information stored in the storage unit 105. In other words, the time from turning on the power to the in-vehicle device 100 to receiving the authentication result can be shortened by an amount not including the time required for updating the key information. The effect of shortening the time can be similarly obtained in other embodiments.

さて、続いて第3実施形態について、第1実施形態との違いを中心に説明する。第3実施形態は、無線通信路の通信品質に関して車載装置100ではなく認証サーバ202が推測を行う実施形態である。   Now, the third embodiment will be described focusing on differences from the first embodiment. In the third embodiment, not the in-vehicle device 100 but the authentication server 202 estimates the communication quality of the wireless communication path.

つまり、第3実施形態における車載装置100は、UL方向のフレームの送信に関して、特に通信品質を考慮することなく単純にフレームの送信を行い、認証サーバ202からの返信がなければタイムアウトしてフレームを再送するだけである。他方、認証サーバ202は、車載装置100の位置を把握し、把握した位置に基づいて、車載装置100がいずれかの路側機201との間で無線通信可能な状態か否かを推測する。   In other words, the in-vehicle device 100 according to the third embodiment simply transmits a frame without regard to communication quality particularly regarding transmission of a frame in the UL direction, and if there is no reply from the authentication server 202, the frame is timed out. Just resend it. On the other hand, the authentication server 202 grasps the position of the in-vehicle device 100 and estimates whether or not the in-vehicle device 100 can wirelessly communicate with any one of the roadside devices 201 based on the grasped position.

具体的には、車載装置100は、車載装置100自身の位置を示す情報を位置通知として送信する。そして、認証サーバ202は、車載装置100から送信されてきた位置通知を利用して、車載装置100がいずれかの路側機201との間で無線通信可能な状態か否かを推測する。認証サーバ202は、推測結果にしたがい、車載装置100への鍵情報の送信のタイミングを決定し、送信時の中継点となる路側機201を選択する。   Specifically, the in-vehicle device 100 transmits information indicating the position of the in-vehicle device 100 itself as a position notification. Then, the authentication server 202 uses the position notification transmitted from the in-vehicle device 100 to estimate whether the in-vehicle device 100 is in a state where wireless communication is possible with any roadside device 201. The authentication server 202 determines the transmission timing of the key information to the in-vehicle device 100 according to the estimation result, and selects the roadside device 201 that is a relay point at the time of transmission.

なお、車載装置100からの位置通知の送信は、定期的に行われてもよいし、不定期に行われてもよい。以下では説明の便宜上、車載装置100が、電源投入後から、認証に関する処理とは独立して、位置通知の送信を繰り返すものとする。   The transmission of the position notification from the in-vehicle device 100 may be performed regularly or irregularly. In the following, for convenience of explanation, it is assumed that the in-vehicle device 100 repeats the transmission of the position notification independently from the process related to authentication after the power is turned on.

例えば、外部センサ110が位置センサを含む場合、車載装置100の情報送信処理部104は、位置センサから出力される位置情報(例えば緯度と経度の組)を含む位置通知のフレームのデータを定期的に作成してもよい。そして、情報送信処理部104は、上位機器インタフェース部102にフレームの送信を命じ、上位機器インタフェース部102が位置通知のフレームを送信してもよい。   For example, when the external sensor 110 includes a position sensor, the information transmission processing unit 104 of the in-vehicle device 100 periodically transmits position notification frame data including position information (for example, a combination of latitude and longitude) output from the position sensor. You may create it. The information transmission processing unit 104 may instruct the higher-level device interface unit 102 to transmit a frame, and the higher-level device interface unit 102 may transmit a position notification frame.

あるいは、路側機201がビーコンフレームをブロードキャストしてもよい。そして、車載装置100がビーコンフレームの受信に反応して返すフレームが位置通知として使われてもよい。   Alternatively, the roadside device 201 may broadcast a beacon frame. A frame returned by the in-vehicle device 100 in response to reception of the beacon frame may be used as the position notification.

なお、路側機201によるビーコンフレームの送信間隔は任意だが、路側機201は、例えば所定の間隔でビーコンフレームを送信してもよい。送信間隔は、例えば、信号機が赤の期間中に複数回の送信が行われる程度の間隔でもよい。   The beacon frame transmission interval by the roadside device 201 is arbitrary, but the roadside device 201 may transmit the beacon frame at a predetermined interval, for example. The transmission interval may be, for example, an interval at which the signal is transmitted a plurality of times during the red period.

また、ビーコンフレームには、送信元の路側機201を識別する路側機識別情報が含まれてもよい。路側機識別情報は、例えば下記(e1)〜(e4)のような情報であり、認証サーバ202にも予め登録されている。
(e1)路側機201に予め割り当てられているID。
(e2)路側機201のIPアドレス。
(e3)路側機201の位置を示す緯度と経度の組。
(e4)上記(e1)〜(e3)のうち2つ以上の任意の組み合わせ。 Further, the beacon frame may include roadside device identification information for identifying the roadside device 201 of the transmission source. The roadside machine identification information is, for example, the following information (e1) to (e4), and is registered in the authentication server 202 in advance.
(E1) ID assigned to the roadside device 201 in advance.
(E2) The IP address of the roadside device 201.
(E3) A pair of latitude and longitude indicating the position of the roadside machine 201.
(E4) Any combination of two or more of (e1) to (e3) above.

例えば、車載装置100を搭載した車両305が図3の交差点302bを通過するとき、車載装置100は、路側機201cからのビーコンフレームを受信するかもしれない。そして、車両305が道路301aを直進して交差点302fに至り、そのとき信号機303kが赤になっていれば、車両305はしばらく停止し、車載装置100は路側機201kからのビーコンフレームを複数回受信するかもしれない。車載装置100は、具体的には以下のようにして、ビーコンフレームの受信のたびに位置通知のフレームを送信することができる。   For example, when the vehicle 305 equipped with the in-vehicle device 100 passes through the intersection 302b in FIG. 3, the in-vehicle device 100 may receive a beacon frame from the roadside device 201c. If the vehicle 305 goes straight on the road 301a to the intersection 302f and the traffic light 303k is red at that time, the vehicle 305 stops for a while and the in-vehicle device 100 receives a beacon frame from the roadside device 201k a plurality of times. Might do. Specifically, the in-vehicle device 100 can transmit a position notification frame every time a beacon frame is received as follows.

すなわち、車載装置100において上位機器インタフェース部102は、ビーコンフレームを受信すると、ビーコンフレームに含まれる路側機識別情報を情報受信処理部103に出力する。すると、情報受信処理部103は路側機識別情報を情報送信処理部104に出力し、情報送信処理部104は路側機識別情報から位置通知のフレームのデータを生成する。そして、情報送信処理部104はフレームの送信を上位機器インタフェース部102に命じ、上位機器インタフェース部102はフレームを送信する。   That is, in the in-vehicle device 100, when receiving the beacon frame, the higher-level device interface unit 102 outputs roadside device identification information included in the beacon frame to the information reception processing unit 103. Then, the information reception processing unit 103 outputs roadside device identification information to the information transmission processing unit 104, and the information transmission processing unit 104 generates position notification frame data from the roadside device identification information. Then, the information transmission processing unit 104 instructs the higher-level device interface unit 102 to transmit a frame, and the higher-level device interface unit 102 transmits the frame.

以上のように、外部センサ110である位置センサの出力または路側機201からのビーコンフレームに含まれる路側機識別情報に基づいて、車載装置100は位置通知のフレームを送信することができる。車載装置100が送信する位置通知のフレームの具体例は、例えば、図8Bの位置通知511である。   As described above, the in-vehicle device 100 can transmit the position notification frame based on the output of the position sensor that is the external sensor 110 or the roadside unit identification information included in the beacon frame from the roadside unit 201. A specific example of the position notification frame transmitted by the in-vehicle device 100 is, for example, the position notification 511 in FIG. 8B.

位置通知511は、車載装置100の位置を認証サーバ202に通知するためにUL方向に送信される。位置通知511は、所定パターンのビット列が指定されたプリアンブルに続いて、ヘッダとして、位置通知511におけるフィールドの配置を示すデータマップ情報と、車載装置IDを含む。また、図8Bの位置通知511は、“123456789”という車載装置IDを持つ車載装置100が位置を通知する場合の例である。   The position notification 511 is transmitted in the UL direction to notify the authentication server 202 of the position of the in-vehicle device 100. The location notification 511 includes, as a header, data map information indicating the arrangement of fields in the location notification 511 and an in-vehicle device ID as a header following a preamble in which a bit string of a predetermined pattern is designated. 8B is an example in the case where the in-vehicle device 100 having the in-vehicle device ID of “123456789” notifies the position.

位置通知511はUL方向に送信されるフレーム500なので、位置通知511において公開DL情報は使われない。
なお、位置通知511は、認証とは独立して送信されるので、認証フラグの2ビット目の値は便宜的に“0”に設定され、認証フラグ全体の値は“10”である。また、ペイロードのうち、秘密UL情報のフィールドには、車両305の位置を示す位置情報が設定される。位置情報は、外部センサ110である位置センサから出力される緯度と経度の組でもよいし、車両305の位置を近似的に示す路側機識別情報でもよい。ペイロード内の他のフィールドは、位置通知511では省略される。 Since the location notification 511 is the frame 500 transmitted in the UL direction, the public DL information is not used in the location notification 511.
Since the location notification 511 is transmitted independently of the authentication, the value of the second bit of the authentication flag is set to “0” for convenience, and the value of the entire authentication flag is “10”. In the payload, position information indicating the position of the vehicle 305 is set in the secret UL information field. The position information may be a pair of latitude and longitude output from the position sensor that is the external sensor 110, or roadside machine identification information that approximately indicates the position of the vehicle 305. Other fields in the payload are omitted in the position notification 511.

以上のような位置情報を含む位置通知が路側機201により中継されると、認証サーバ202は位置情報から車載装置100の位置を把握することができる。あるいは、より単純に、認証サーバ202は次のようにして車載装置100の位置を把握してもよい。   When the position notification including the position information as described above is relayed by the roadside device 201, the authentication server 202 can grasp the position of the in-vehicle device 100 from the position information. Or, more simply, the authentication server 202 may grasp the position of the in-vehicle device 100 as follows.

すなわち、路側機201はビーコンフレームを送信する。このビーコンフレームには路側機識別情報が含まれなくてもよい。車載装置100は、ビーコンフレームを受信すると、ビーコンフレームの受信を通知する受信通知のフレームを、位置通知のフレームとして送信する。この場合、位置通知のフレームは、図8Bの位置通知511とは異なり、秘密UL情報を持たなくてもよい。その理由は次のとおりである。   That is, the roadside device 201 transmits a beacon frame. This beacon frame may not include roadside machine identification information. When receiving the beacon frame, the in-vehicle device 100 transmits a reception notification frame for notifying reception of the beacon frame as a position notification frame. In this case, unlike the position notification 511 in FIG. 8B, the position notification frame may not have the secret UL information. The reason is as follows.

もし位置通知のフレームが路側機201において無事受信されるならば、路側機201は位置通知を認証サーバ202に中継する。その際、位置通知のIPパケットの送信元IPアドレスとして、路側機201は路側機201自身のIPアドレスを設定する。すると、位置通知のIPパケットを受信した認証サーバ202は、送信元IPアドレスから、車載装置100がどの路側機201の近傍にいるときに位置通知のフレームを送信したのかを把握することができる。つまり、認証サーバ202は、送信元IPアドレスに基づいて、車載装置100の位置を路側機201の位置により近似して把握することができる。   If the position notification frame is successfully received by the roadside device 201, the roadside device 201 relays the position notification to the authentication server 202. At this time, the roadside device 201 sets the IP address of the roadside device 201 itself as the transmission source IP address of the IP packet for the location notification. Then, the authentication server 202 that has received the location notification IP packet can grasp from the source IP address which roadside device 201 the in-vehicle device 100 is in the vicinity of which the location notification frame was transmitted. That is, the authentication server 202 can grasp the position of the in-vehicle device 100 by approximating the position of the roadside device 201 based on the transmission source IP address.

よって、車載装置100が位置通知として送信するフレームおよび路側機201が位置通知として中継するIPパケットには、図8Bの位置通知511に含まれるような位置情報があってもよいし、なくてもよい。いずれにしろ、認証サーバ202は位置通知から車載装置100の位置を把握することができる。   Therefore, the frame information transmitted by the in-vehicle device 100 as the position notification and the IP packet relayed by the roadside device 201 as the position notification may or may not have position information included in the position notification 511 of FIG. 8B. Good. In any case, the authentication server 202 can grasp the position of the in-vehicle device 100 from the position notification.

以下、第3実施形態において車載装置100と認証サーバ202がそれぞれ行う処理について、図11〜12を参照してさらに詳しく説明する。
図11は、第3実施形態における車載装置の動作のフローチャートである。 Hereinafter, processes performed by the in-vehicle device 100 and the authentication server 202 in the third embodiment will be described in more detail with reference to FIGS.
FIG. 11 is a flowchart of the operation of the in-vehicle device in the third embodiment.

ステップS501〜S505は、図4のステップS101〜S105とそれぞれ同じなので、説明を省略する。なお、検出されたトリガが拒否通知の受信であるとステップS505で判断されれば、図11の処理が終了し、検出されたトリガが認証通知の受信であれば、処理はステップS505からステップS506に移行する。また、検出されたトリガがタイムアウトであれば、処理はステップS505からステップS503に戻る。   Steps S501 to S505 are the same as steps S101 to S105 in FIG. If it is determined in step S505 that the detected trigger is reception of a rejection notification, the processing in FIG. 11 ends. If the detected trigger is reception of an authentication notification, processing proceeds from step S505 to step S506. Migrate to If the detected trigger is a timeout, the process returns from step S505 to step S503.

以上のステップS501〜S505の処理により、通信環境が悪ければ必要に応じて認証要求のフレームの再送が繰り返される。よって、いずれは結局、認証通知と拒否通知のいずれかの受信がトリガとして検出される。   As a result of the processing in steps S501 to S505, if the communication environment is bad, retransmission of the authentication request frame is repeated as necessary. Accordingly, in any event, reception of either the authentication notification or the rejection notification is detected as a trigger.

ステップS506で情報送信処理部104は、図4のステップS107と同様に、鍵情報更新要求のフレーム用のデータを生成し、生成したデータを上位機器インタフェース部102に出力する。そして、情報送信処理部104は、フレームの送信を上位機器インタフェース部102に命じる。すると、上位機器インタフェース部102は命令にしたがって、必要に応じて暗号化やプリアンブルの付加などの処理を行い、鍵情報更新要求のフレームを送信する。   In step S506, the information transmission processing unit 104 generates data for the key information update request frame, and outputs the generated data to the higher-level device interface unit 102, as in step S107 of FIG. Then, the information transmission processing unit 104 instructs the higher-level device interface unit 102 to transmit a frame. Then, in accordance with the command, the higher-level device interface unit 102 performs processing such as encryption and preamble addition as necessary, and transmits a key information update request frame.

また、情報送信処理部104は、フレームの送信を上位機器インタフェース部102に命じた後、タイマをタイムアウト検出用の所定の時間に設定する。なお、フレームの再送に備えて、情報送信処理部104は、鍵情報更新要求のフレーム用のデータを保持してもよい。また、タイムアウト検出用の時間の長さに関しては、ステップS508の説明の後で説明する。   In addition, the information transmission processing unit 104 instructs the host device interface unit 102 to transmit a frame, and then sets a timer to a predetermined time for time-out detection. In preparation for retransmission of the frame, the information transmission processing unit 104 may hold data for the key information update request frame. Further, the length of time for time-out detection will be described after the description of step S508.

続いて、ステップS507で情報送信処理部104は、後続の処理を行うためのトリガとなるイベントの発生を待つ。そして、トリガとなるイベントが発生すると、処理はステップS508に移行する。本実施形態ではステップS507でトリガとなるイベントには、鍵情報更新通知の受信とタイムアウトの2種類がある。   Subsequently, in step S507, the information transmission processing unit 104 waits for the occurrence of an event serving as a trigger for performing subsequent processing. Then, when an event serving as a trigger occurs, the process proceeds to step S508. In this embodiment, there are two types of events that are triggered in step S507: reception of a key information update notification and timeout.

もしステップS506においていずれかの路側機201との間に良好な品質の無線通信路が確立されていれば、ステップS506で送信した鍵情報更新要求は認証サーバ202に到達する。その場合、タイムアウト検出用の所定の時間が適切に設定されていれば、タイマがタイムアウトする前に、上位機器インタフェース部102は鍵情報更新通知のフレームを受信する。   If a wireless communication path of good quality is established with any roadside device 201 in step S506, the key information update request transmitted in step S506 reaches the authentication server 202. In this case, if a predetermined time for time-out detection is set appropriately, the host device interface unit 102 receives the key information update notification frame before the timer times out.

すると、上位機器インタフェース部102は受信した鍵情報更新通知のフレームのデータを情報受信処理部103に出力する。また、情報受信処理部103は、上位機器インタフェース部102からのデータの入力を、鍵情報更新通知の受信というトリガの発生として検出し、トリガの検出を情報送信処理部104に通知する。   Then, the higher-level device interface unit 102 outputs the received key information update notification frame data to the information reception processing unit 103. In addition, the information reception processing unit 103 detects the input of data from the higher-level device interface unit 102 as the occurrence of a trigger called reception of the key information update notification, and notifies the information transmission processing unit 104 of the detection of the trigger.

すると、情報送信処理部104は、ステップS506で設定したタイマを無効化する。また、情報送信処理部104は、もし再送用に鍵情報更新要求のフレーム用のデータを保持しているのであれば、鍵情報更新要求のフレーム用のデータを破棄する。   Then, the information transmission processing unit 104 invalidates the timer set in step S506. Further, if the information transmission processing unit 104 holds the data for the key information update request frame for retransmission, the information transmission processing unit 104 discards the data for the key information update request frame.

他方、鍵情報更新通知の受信というトリガの発生が情報受信処理部103から通知される前にタイマがタイムアウトすると、情報送信処理部104は、ステップS507においてタイムアウトをトリガの発生として検出する。   On the other hand, if the timer times out before the occurrence of the trigger for receiving the key information update notification is notified from the information reception processing unit 103, the information transmission processing unit 104 detects the timeout as the occurrence of the trigger in step S507.

以上のようにして、情報送信処理部104がトリガの発生を、情報受信処理部103からの通知またはタイマのタイムアウトにより認識すると、処理はステップS508に移行する。   As described above, when the information transmission processing unit 104 recognizes the occurrence of the trigger by the notification from the information reception processing unit 103 or the timeout of the timer, the process proceeds to step S508.

ステップS508で情報送信処理部104は、トリガとして検出されたイベントの種類を判断する。検出されたトリガが鍵情報更新通知の受信であれば、処理はステップS509に移行する。また、検出されたトリガがタイムアウトであれば、処理はステップS506に戻る。   In step S508, the information transmission processing unit 104 determines the type of event detected as a trigger. If the detected trigger is reception of a key information update notification, the process proceeds to step S509. If the detected trigger is a timeout, the process returns to step S506.

以上のステップS506〜S508の処理により、必要に応じて鍵情報更新要求のフレームの再送が繰り返される。よって、いずれは結局、鍵情報更新通知の受信がトリガとして検出される。なお、ステップS507でのタイムアウトの時間は、第1実施形態の図4のステップS107で設定されるタイムアウトの時間と同じでもよいし、それより長くてもよいし、それより短くてもよい。   Through the processes in steps S506 to S508 described above, retransmission of the key information update request frame is repeated as necessary. Therefore, eventually, reception of the key information update notification is detected as a trigger. Note that the timeout time in step S507 may be the same as the timeout time set in step S107 of FIG. 4 of the first embodiment, or may be longer or shorter than that.

例えば、車両305が走行している最中に車載装置100がステップS506で鍵情報更新要求504を送信することがある。その場合でも、鍵情報更新要求504はペイロードが非常に短いフレームなので、たまたま近傍に路側機201があれば、路側機201が鍵情報更新要求504の受信に成功することがある。すると、認証サーバ202に鍵情報更新要求が到達する。   For example, the in-vehicle device 100 may transmit the key information update request 504 in step S506 while the vehicle 305 is traveling. Even in that case, since the key information update request 504 has a very short payload, if the roadside device 201 happens to be in the vicinity, the roadside device 201 may successfully receive the key information update request 504. Then, the key information update request reaches the authentication server 202.

他方、車両305はなかなか赤信号に遭遇せずに走行を続けるかもしれない。そして、鍵情報更新通知505のように、鍵情報更新要求504と比べてペイロードのデータ量が多く、フレーム長の長いフレームの受信が成功するのは、ある程度安定した良好な通信品質の通信環境においてである。よって、もし車両305が赤信号に遭遇せずに高速で走行し続けている場合、なかなか安定した良好な通信品質の通信環境にはならないかもしれない。   On the other hand, the vehicle 305 may continue to travel without encountering a red light. Then, as in the key information update notification 505, the payload data amount is large compared to the key information update request 504, and reception of a frame with a long frame length is successful in a communication environment with a certain level of good communication quality. It is. Therefore, if the vehicle 305 continues to run at a high speed without encountering a red light, it may not be a stable communication environment with good communication quality.

以上のような場合を考慮に入れて重視するならば、ステップS506で設定されるタイムアウトの時間は、ステップS107で設定されるタイムアウトの時間より長くてもよい。   If importance is taken in consideration of the above case, the timeout time set in step S506 may be longer than the timeout time set in step S107.

逆に、「車両305が走行している最中に送信した鍵情報更新要求504を路側機201が偶然うまく受信するような場合は無視する」という方針も考えられる。この方針にしたがうならば、ステップS506で設定されるタイムアウトの時間は、ステップS107で設定されるタイムアウトの時間より短くてもよい。   Conversely, a policy of “ignoring the case where the roadside machine 201 successfully receives the key information update request 504 transmitted while the vehicle 305 is traveling” is also conceivable. If this policy is followed, the timeout time set in step S506 may be shorter than the timeout time set in step S107.

ステップS506で設定されるタイムアウトの時間が適切に短ければ、鍵情報更新要求504の送信から鍵情報更新通知505の受信までの間、同じ路側機201との間で安定して良好な通信品質が保てるような環境でない限り、車載装置100はタイムアウトする。そして、車載装置100は、タイムアウトのたびに鍵情報更新要求504を再送する。   If the timeout time set in step S506 is appropriately short, stable and good communication quality can be obtained with the same roadside device 201 from the transmission of the key information update request 504 to the reception of the key information update notification 505. Unless it is the environment which can be kept, the vehicle-mounted apparatus 100 will time out. The in-vehicle device 100 retransmits the key information update request 504 every time out.

さて、ステップS509では、情報受信処理部103が、図4のステップS110と同様にして鍵情報の更新を行う。また、第3実施形態においては鍵情報更新通知の送信タイミングを認証サーバ202が制御するために位置通知が使われるので、鍵情報の更新後は位置通知の送信は不要である。よって、情報受信処理部103は、位置通知の送信を停止させる。   In step S509, the information reception processing unit 103 updates the key information in the same manner as in step S110 in FIG. In the third embodiment, since the location notification is used for the authentication server 202 to control the transmission timing of the key information update notification, the location notification need not be transmitted after the key information is updated. Therefore, the information reception processing unit 103 stops the transmission of the position notification.

さらに、次のステップS510では、情報送信処理部104と上位機器インタフェース部102が協働して、図4のステップS111と同様にして鍵情報受領通知のフレームを送信する。そして、図11の処理は終了する。
なお、ステップS509とS510の実行順は逆でもよい。あるいは、ステップS509とS510の処理が並行して行われてもよい。 Further, in the next step S510, the information transmission processing unit 104 and the higher-level device interface unit 102 cooperate to transmit a key information receipt notification frame in the same manner as in step S111 of FIG. Then, the process of FIG. 11 ends.
Note that the execution order of steps S509 and S510 may be reversed. Alternatively, the processes in steps S509 and S510 may be performed in parallel.

続いて、第3実施形態における認証サーバ202の動作を説明する。第3実施形態においても、認証サーバ202は、任意のタイミングで任意の車載装置100から任意の路側機201を介して情報を受信する可能性があり、情報の受信を契機として各種処理を行う。   Next, the operation of the authentication server 202 in the third embodiment will be described. Also in the third embodiment, the authentication server 202 may receive information from an arbitrary in-vehicle device 100 via an arbitrary roadside device 201 at an arbitrary timing, and performs various processes triggered by the reception of the information.

図12は、第3実施形態において、認証サーバが車載装置から情報を受信したときの処理のフローチャートである。なお、図12に関する説明においては、図12の処理の開始の契機となった情報の送信元の車載装置100を「送信元の車載装置100」という。   FIG. 12 is a flowchart of processing when the authentication server receives information from the in-vehicle device in the third embodiment. In the description of FIG. 12, the in-vehicle device 100 that is the transmission source of the information that triggered the start of the process in FIG.

ステップS601で認証サーバ202は、送信元の車載装置100から受信した情報の内容が認証要求、鍵情報更新要求、位置通知、鍵情報受領通知のいずれであるかを判断する。認証要求が受信された場合、処理はステップS602に移行し、鍵情報更新要求が受信された場合、処理はステップS608に移行し、位置通知が受信された場合、処理はステップS612に移行し、鍵情報受領通知が受信された場合、処理はステップS613に移行する。   In step S601, the authentication server 202 determines whether the content of the information received from the in-vehicle device 100 that is the transmission source is an authentication request, a key information update request, a location notification, or a key information receipt notification. If an authentication request is received, the process proceeds to step S602. If a key information update request is received, the process proceeds to step S608. If a position notification is received, the process proceeds to step S612. When the key information receipt notification is received, the process proceeds to step S613.

ステップS602〜S607はそれぞれ図5のステップS202〜S207と同じなので説明を省略する。
また、受信したIPパケットが鍵情報更新要求のIPパケットであった場合、認証サーバ202はステップS608において、図5のステップS208と同様にして、新たな鍵情報を作成する。そして、認証サーバ202は、送信元の車載装置100の車載装置IDと対応づけて、作成した鍵情報を最新送信版として記憶する。 Steps S602 to S607 are the same as steps S202 to S207 in FIG.
If the received IP packet is a key information update request IP packet, the authentication server 202 creates new key information in step S608, as in step S208 of FIG. Then, the authentication server 202 stores the created key information as the latest transmission version in association with the in-vehicle device ID of the in-vehicle device 100 that is the transmission source.

続いて、次のステップS609で認証サーバ202は、送信元の車載装置100を搭載した車両305の位置から推測される通信品質が良好になるまで待機する。第3実施形態において認証サーバ202は、位置通知に基づいて送信元の車載装置100の位置(つまり車両305の位置)を認識しているので、位置から通信品質を推測することができる。   Subsequently, in the next step S609, the authentication server 202 stands by until the communication quality estimated from the position of the vehicle 305 on which the in-vehicle device 100 of the transmission source is mounted becomes good. In the third embodiment, since the authentication server 202 recognizes the position of the in-vehicle device 100 that is the transmission source (that is, the position of the vehicle 305) based on the position notification, it can estimate the communication quality from the position.

例えば、位置通知に、位置センサの出力した緯度と経度により表される位置情報が含まれる場合、認証サーバ202は、車載装置100から直近に受信した位置通知に含まれる位置情報が示す位置と、鍵情報更新要求を中継した路側機201の位置を比較してもよい。車載装置100による位置通知の送信間隔が適宜に定められていれば、認証サーバ202は、2つの位置が所定の距離内にあるとき、通信品質が良好であると推測することができる。   For example, when the position notification includes position information represented by the latitude and longitude output from the position sensor, the authentication server 202 includes the position indicated by the position information included in the position notification most recently received from the in-vehicle device 100; You may compare the position of the roadside machine 201 which relayed the key information update request. If the transmission interval of the position notification by the in-vehicle device 100 is appropriately determined, the authentication server 202 can estimate that the communication quality is good when the two positions are within a predetermined distance.

なぜなら、2つの位置が所定の距離内にあれば、「車両305がしばらく1箇所で停止しているか、速度が遅いためにせいぜい上記の所定の距離しか移動することができない間に、直近の位置通知と今回受信した鍵情報更新要求が送信された」と見なせるからである。車両305が停止ないし徐行していれば通信環境が安定していると期待され、また、停止ないし徐行している最中に直近の位置通知と今回受信した鍵情報更新要求が送信されたとすれば、車載装置100はいずれかの路側機201と通信可能な位置にある。よって、認証サーバ202は、比較した2つの位置が所定の距離内にあるとき、通信品質が良好であると推測してもよい。なお、ここでの「所定の距離」は、例えば路側機201の通信可能範囲の大きさに応じて定められることが望ましい。   Because, if the two positions are within the predetermined distance, “the vehicle 305 has been stopped at one place for a while or the speed is slow, so that the closest position can be This is because the notification and the key information update request received this time have been transmitted. If the vehicle 305 is stopped or slowing down, it is expected that the communication environment is stable, and if the latest position notification and the key information update request received this time are transmitted while the vehicle 305 is stopped or slowing down, The in-vehicle device 100 is in a position where it can communicate with any one of the roadside devices 201. Therefore, the authentication server 202 may estimate that the communication quality is good when the two compared positions are within a predetermined distance. The “predetermined distance” here is preferably determined according to the size of the communicable range of the roadside device 201, for example.

あるいは、認証サーバ202は、送信元の車載装置100から直近の位置通知を受信した受信時刻と現在時刻の差から、通信品質を推測してもよい。すなわち、認証サーバ202は、受信時刻と現在時刻の差が所定の閾値以下のとき、通信品質が良好であると推測してもよい。   Alternatively, the authentication server 202 may estimate the communication quality from the difference between the reception time at which the latest position notification is received from the in-vehicle device 100 that is the transmission source and the current time. That is, the authentication server 202 may estimate that the communication quality is good when the difference between the reception time and the current time is equal to or less than a predetermined threshold.

例えば、車載装置100が10秒間隔で位置通知のフレームを送信する場合に、直近の位置通知を受信した受信時刻と現在時刻の差が25秒あったとする。この場合、車載装置100が位置通知のフレームを送信したにもかかわらず、いずれの路側機201によっても中継されず、認証サーバ202に到達しなかった位置通知が2回あったということである。   For example, when the in-vehicle device 100 transmits a position notification frame at an interval of 10 seconds, it is assumed that there is a difference of 25 seconds between the reception time at which the latest position notification is received and the current time. In this case, despite the fact that the in-vehicle device 100 has transmitted a position notification frame, there are two position notifications that are not relayed by any roadside device 201 and have not reached the authentication server 202.

この場合、車載装置100を搭載した車両305は、例えば路側機201の存在しないところを走行中なのかもしれないし、他の車両によって路側機201との間が遮蔽されてしまったのかもしれない。いずれにせよ、車載装置100と路側機201との間の通信品質は良好でないと推測される。つまり、鍵情報更新要求は、通信品質が安定していて良好だったから受信可能だったというよりも、偶然、受信されたのかもしれない。   In this case, the vehicle 305 on which the in-vehicle device 100 is mounted may be traveling in a place where the roadside machine 201 does not exist, for example, or may be shielded from the roadside machine 201 by another vehicle. In any case, it is estimated that the communication quality between the in-vehicle device 100 and the roadside device 201 is not good. That is, the key information update request may have been received by chance rather than being received because the communication quality was stable and good.

他方、直近の位置通知を受信した受信時刻と現在時刻の差が例えば1秒といった短い時間であれば、車載装置100はまだ路側機201の付近に位置していると推測される。つまり、車載装置100と路側機201との間で通信可能な状態がまだ持続していると推測される。そこで、認証サーバ202は、直近の位置通知を受信した受信時刻と現在時刻の差が所定の閾値以下のとき、通信品質が良好であると推測してもよい。   On the other hand, if the difference between the reception time at which the latest position notification is received and the current time is a short time such as 1 second, it is estimated that the in-vehicle device 100 is still located in the vicinity of the roadside device 201. That is, it is estimated that the state where communication is possible between the in-vehicle device 100 and the roadside device 201 is still continued. Therefore, the authentication server 202 may estimate that the communication quality is good when the difference between the reception time at which the latest location notification is received and the current time is equal to or less than a predetermined threshold.

あるいは、認証サーバ202は、受信した位置通知の履歴を使って通信品質を推測してもよい。例えば、直近の2回あるいはそれ以上の位置通知が同じ路側機201を介して認証サーバ202に中継された場合、車両305は、中継点の路側機201の付近で停止ないし徐行していると推測される。したがって、車載装置100と中継点の路側機201との間の無線通信路の通信品質は、安定した良好なものだと推測される。よって、認証サーバ202は、受信した直近の所定回数(例えば2回)の位置通知を中継した路側機201が同じとき、通信品質が良好であると推測してもよい。   Alternatively, the authentication server 202 may estimate the communication quality using the received location notification history. For example, when the latest two or more position notifications are relayed to the authentication server 202 via the same roadside device 201, it is assumed that the vehicle 305 is stopped or slowed down near the roadside device 201 at the relay point. Is done. Therefore, it is presumed that the communication quality of the wireless communication path between the in-vehicle device 100 and the roadside unit 201 at the relay point is stable and good. Therefore, the authentication server 202 may estimate that the communication quality is good when the roadside unit 201 that relays the received position notifications of the most recent predetermined number of times (for example, twice) is the same.

また、認証サーバ202は、信号機の状態を表す信号機情報を交通管制サーバ203から受け取り、信号機情報と受信した位置通知の履歴を使って通信品質を推測してもよい。位置通知の送信間隔が適切に定められていれば、受信した位置通知の履歴から、認証サーバ202は、車両305の走行方向を認識することができる。よって、信号機情報を用いることで、認証サーバ202は、車両305が赤信号で停止するタイミングを推測することができる。   Further, the authentication server 202 may receive the traffic signal information indicating the traffic signal status from the traffic control server 203 and estimate the communication quality using the traffic signal information and the received location notification history. If the transmission interval of the position notification is appropriately determined, the authentication server 202 can recognize the traveling direction of the vehicle 305 from the received position notification history. Therefore, by using the traffic signal information, the authentication server 202 can estimate the timing at which the vehicle 305 stops at a red light.

例えば、車両305が、図3の道路301aを交差点302aから交差点302fに向かって走行するとする。この場合、認証サーバ202は、順に、路側機201b、201c、201h、201kを介して位置通知を受信するかもしれない。そして、路側機201kを介した位置通知の受信と前後して、認証サーバ202は、同じく路側機201kを介して鍵情報更新要求を受信するかもしれない。   For example, it is assumed that the vehicle 305 travels on the road 301a in FIG. 3 from the intersection 302a toward the intersection 302f. In this case, the authentication server 202 may sequentially receive the position notification via the roadside devices 201b, 201c, 201h, and 201k. Then, the authentication server 202 may receive a key information update request via the roadside machine 201k, similarly to the reception of the position notification via the roadside machine 201k.

この場合、認証サーバ202は、位置通知の受信履歴から、車両305は道路301a上を走行していることを認識することができる。また、認証サーバ202は、交通管制サーバ203から信号機情報を得て、車両305の走行方向の進行の可否を示す信号機303kの状態を認識することができる。   In this case, the authentication server 202 can recognize that the vehicle 305 is traveling on the road 301a from the position notification reception history. Further, the authentication server 202 can obtain the traffic signal information from the traffic control server 203 and recognize the state of the traffic signal 303k indicating whether or not the vehicle 305 can travel in the traveling direction.

もし信号機303kが赤信号であれば、認証サーバ202は、「車両305は、路側機201kの近傍で赤信号による停止中であるから、車載装置100と路側機201kとの間の通信路の通信品質は良好である」と推測する。他方、信号機303kが青信号であれば、認証サーバ202は、「たまたま路側機201kを介した通信が成功したが、車両305は停止中とは限らず、したがって、通信品質も良好であるとは限らない」と推測する。黄信号に関しては、実施形態に応じて認証サーバ202は「通信品質が良好」と推測することにしてもよいし、「通信品質が良好であるとは限らない」と推測することにしてもよい。   If the traffic light 303k is a red signal, the authentication server 202 indicates that “the vehicle 305 is stopped by the red light in the vicinity of the roadside device 201k, and therefore the communication path communication between the in-vehicle device 100 and the roadside device 201k. "The quality is good." On the other hand, if the traffic light 303k is a green light, the authentication server 202 indicates that the communication via the roadside machine 201k happens to be successful, but the vehicle 305 is not always stopped, and therefore the communication quality is not always good. Guess not. " Regarding the yellow signal, the authentication server 202 may infer that “communication quality is good” or “communication quality is not necessarily good” depending on the embodiment. .

以上、ステップS609における認証サーバ202の判断基準についていくつか例示したが、いずれの判断基準にしたがうにしろ、認証サーバ202は、送信元の車載装置100の位置から推測される通信品質が良好になるまで待機する。そして、通信品質が良好だという推測結果を認証サーバ202が得ると、処理はステップS610に移行する。   As described above, some of the determination criteria of the authentication server 202 in step S609 have been exemplified. However, according to any of the determination criteria, the authentication server 202 has good communication quality estimated from the position of the in-vehicle device 100 that is the transmission source. Wait until. Then, when the authentication server 202 obtains an estimation result that the communication quality is good, the process proceeds to step S610.

そして、次のステップS610で認証サーバ202は、車両305の近傍の路側機201を、返信時の中継点として選択する。具体的には、認証サーバ202は、直近の位置通知を中継した路側機201を、返信時の中継点として選択する。   Then, in the next step S610, the authentication server 202 selects the roadside device 201 in the vicinity of the vehicle 305 as a relay point at the time of reply. Specifically, the authentication server 202 selects the roadside device 201 that relayed the latest position notification as a relay point at the time of reply.

続くステップS611では、認証サーバ202が、ネットワーク204とステップS610で選択した路側機201とを介して、最新送信版の鍵情報を送信元の車載装置100に返信する。そして、図12の処理は終了する。   In the subsequent step S611, the authentication server 202 returns the latest transmission version key information to the transmission source in-vehicle apparatus 100 via the network 204 and the roadside device 201 selected in step S610. Then, the process of FIG. 12 ends.

また、認証サーバ202は、位置通知を受信したとき、ステップS612において送信元の車載装置100の車載装置IDに対応づけて、受信した位置通知が示す位置情報を記憶する。上記のように、認証サーバ202が受信する位置通知は、実施形態に応じて、緯度と経度の組により車載装置100の位置を示す位置情報を含んでいることもある。あるいは、位置通知は、実施形態に応じて、当該位置通知を中継した路側機201のIDやIPアドレスなどにより近似的に車載装置100の位置を表していてもよい。   Further, when receiving the position notification, the authentication server 202 stores the position information indicated by the received position notification in association with the in-vehicle device ID of the in-vehicle device 100 that is the transmission source in step S612. As described above, the position notification received by the authentication server 202 may include position information indicating the position of the in-vehicle device 100 using a combination of latitude and longitude, depending on the embodiment. Alternatively, the position notification may approximately represent the position of the in-vehicle device 100 by the ID or IP address of the roadside device 201 that relayed the position notification, according to the embodiment.

よって、認証サーバ202は、ステップS612において、位置通知の形式に応じて、例えば、車載装置IDと緯度と経度を対応づけて記憶してもよい。あるいは、認証サーバ202は、車載装置IDと、位置通知を中継した路側機201のIPアドレスとを対応づけて記憶してもよい。また、認証サーバ202は、さらに、位置通知を受信した受信時刻を記憶してもよい。   Therefore, in step S612, the authentication server 202 may store, for example, the in-vehicle device ID, the latitude, and the longitude in association with the format of the position notification. Alternatively, the authentication server 202 may store the in-vehicle device ID and the IP address of the roadside device 201 that relayed the position notification in association with each other. Further, the authentication server 202 may further store the reception time when the position notification is received.

なお、緯度と経度の組により車載装置100の位置を示す位置情報を位置通知が含む場合、認証サーバ202は、マップマッチングを行うことで位置情報を補正し、補正した位置情報を記憶してもよい。   In the case where the position notification includes position information indicating the position of the in-vehicle device 100 based on a combination of latitude and longitude, the authentication server 202 corrects the position information by performing map matching, and stores the corrected position information. Good.

また、実施形態に応じて、認証サーバ202は各車載装置IDごとに最新の位置通知についてのみ記憶してもよいし、位置通知の履歴を取ってもよい。位置通知の履歴を取る場合、認証サーバ202は、必要に応じて古い履歴を削除する処理も行う。   Further, depending on the embodiment, the authentication server 202 may store only the latest location notification for each vehicle-mounted device ID, or may take a location notification history. When taking the location notification history, the authentication server 202 also performs processing to delete the old history as necessary.

以上のようにして位置通知の受信を契機として認証サーバ202が車載装置100の位置を記憶すると、図12の処理も終了する。
なお、認証サーバ202が鍵情報受領通知を受信したときに行うステップS613の処理は、図5のステップS211の処理と同じなので、説明を省略する。 When the authentication server 202 stores the position of the in-vehicle device 100 in response to the reception of the position notification as described above, the processing in FIG.
Note that the processing in step S613 performed when the authentication server 202 receives the key information receipt notification is the same as the processing in step S211 in FIG.

ところで、上記のどの実施形態においても、車載装置100はコンピュータを使って実現することができる。また、認証サーバ202と交通管制サーバ203は、それぞれ、汎用的なコンピュータなどの適宜の情報処理装置により実現することができる。   Incidentally, in any of the above-described embodiments, the in-vehicle device 100 can be realized using a computer. The authentication server 202 and the traffic control server 203 can each be realized by an appropriate information processing device such as a general-purpose computer.

また、認証サーバ202と交通管制サーバ203が物理的には1台の同じコンピュータにより実現されていてもよい。あるいは逆に、複数のコンピュータにより認証サーバ202が実現されてもよいし、複数のコンピュータにより交通管制サーバ203が実現されてもよい。   Further, the authentication server 202 and the traffic control server 203 may be physically realized by a single computer. Or conversely, the authentication server 202 may be realized by a plurality of computers, or the traffic control server 203 may be realized by a plurality of computers.

そこで、次に図13を参照してコンピュータの構成例について説明する。また、図1の車載装置100および図2の認証サーバ202と図13のコンピュータの各部との関係についても説明する。   Next, a configuration example of the computer will be described with reference to FIG. The relationship between the in-vehicle device 100 in FIG. 1 and the authentication server 202 in FIG. 2 and each part of the computer in FIG.

図13のコンピュータ600は、Central Processing Unit(CPU)601、Read Only Memory(ROM)602、RAM603および通信インタフェース604を有する。また、コンピュータ600は、入力装置605、出力装置606、記憶装置607および可搬型記憶媒体610の駆動装置608を有する。そして、CPU601、ROM602、RAM603、通信インタフェース604、入力装置605、出力装置606、記憶装置607および駆動装置608は、バス609により互いに接続されている。   A computer 600 in FIG. 13 includes a central processing unit (CPU) 601, a read only memory (ROM) 602, a RAM 603, and a communication interface 604. The computer 600 includes an input device 605, an output device 606, a storage device 607, and a drive device 608 for a portable storage medium 610. The CPU 601, ROM 602, RAM 603, communication interface 604, input device 605, output device 606, storage device 607, and drive device 608 are connected to each other via a bus 609.

通信インタフェース604は、コンピュータ600がネットワーク204を介して他の装置と通信するためのインタフェースであり、有線通信インタフェース、無線通信インタフェース、またはその双方である。ネットワーク204には、プログラム提供者611である他のコンピュータがさらに接続されていてもよい。また、車載装置100に使われるコンピュータ600においては、通信インタフェース604は、ネットワーク204との間のインタフェースに加えて、路側機201との間の無線通信のためのインタフェースを含む。   The communication interface 604 is an interface for the computer 600 to communicate with other devices via the network 204, and is a wired communication interface, a wireless communication interface, or both. Another computer which is the program provider 611 may be further connected to the network 204. Further, in the computer 600 used in the in-vehicle device 100, the communication interface 604 includes an interface for wireless communication with the roadside device 201 in addition to an interface with the network 204.

また、図13では入力装置605と出力装置606が別々に図示されているが、入力装置605と出力装置606は、タッチスクリーンとして統合されていてもよい。もちろん、コンピュータ600は、入力装置605としてさらに、キーボード、あるいはマウスなどのポインティングデバイスを有していてもよい。また、コンピュータ600は、出力装置606としてさらに、スピーカやプリンタを有していてもよいし、タッチスクリーンではないディスプレイ装置を出力装置606として有していてもよい。   In FIG. 13, the input device 605 and the output device 606 are illustrated separately, but the input device 605 and the output device 606 may be integrated as a touch screen. Of course, the computer 600 may further include a pointing device such as a keyboard or a mouse as the input device 605. The computer 600 may further include a speaker or a printer as the output device 606, or may include a display device that is not a touch screen as the output device 606.

記憶装置607は、ハードディスク装置、フラッシュメモリなどの不揮発性の半導体メモリ装置、またはその組み合わせである。記憶装置607の少なくとも一部が耐タンパ性を有していてもよい。耐タンパ性の記憶装置607は、鍵情報の保持に好適である。   The storage device 607 is a non-volatile semiconductor memory device such as a hard disk device or a flash memory, or a combination thereof. At least a part of the storage device 607 may have tamper resistance. The tamper resistant storage device 607 is suitable for holding key information.

また、可搬型記憶媒体610としては、Compact Disc(CD)やDigital Versatile Disk(DVD)などの光ディスク、光磁気ディスク、磁気ディスク、フラッシュメモリなどの不揮発性の半導体メモリカードなどが利用可能である。   As the portable storage medium 610, an optical disk such as a Compact Disc (CD) or a Digital Versatile Disk (DVD), a non-volatile semiconductor memory card such as a magneto-optical disk, a magnetic disk, or a flash memory can be used.

CPU601は、RAM603にプログラムをロードしてRAM603をワークエリアとして用いながらプログラムを実行する。そして、CPU601が実行する上記プログラムは、予めROM602または記憶装置607にインストールされていてもよいし、可搬型記憶媒体610に格納されて提供され、駆動装置608により読み取られて記憶装置607にコピーされてもよい。あるいは、上記プログラムは、プログラム提供者611からネットワーク204を介して記憶装置607にダウンロードされてもよい。   The CPU 601 loads the program into the RAM 603 and executes the program while using the RAM 603 as a work area. The program executed by the CPU 601 may be installed in advance in the ROM 602 or the storage device 607, provided by being stored in the portable storage medium 610, read by the drive device 608, and copied to the storage device 607. May be. Alternatively, the program may be downloaded from the program provider 611 to the storage device 607 via the network 204.

そして、以上のようなコンピュータ600は、図2の認証サーバ202を実現することもできるし、交通管制サーバ203を実現することもできる。例えば、認証サーバ202がコンピュータ600により実現される場合、記憶装置607には、車載装置IDと対応づけられた認証利用版と最新送信版の鍵情報や、路側機配置情報が記憶される。また、第3実施形態の場合はさらに、記憶装置607に、車載装置IDと対応づけられた位置情報が記憶される。   The computer 600 as described above can realize the authentication server 202 of FIG. 2 or the traffic control server 203. For example, when the authentication server 202 is realized by the computer 600, the storage device 607 stores the key information of the authentication use version and the latest transmission version associated with the in-vehicle device ID, and roadside device arrangement information. In the case of the third embodiment, the storage device 607 further stores position information associated with the in-vehicle device ID.

また、図1の車載装置100は、専用のハードウェアを使って実現することもできるが、少なくとも一部についてはプログラムを実行する汎用のコンピュータ600を用いて実現することができる。もちろん、車載装置100は、専用のハードウェアとコンピュータ600の両者によって実現されていてもよい。   1 can be realized using dedicated hardware, but at least a part thereof can be realized using a general-purpose computer 600 that executes a program. Of course, the in-vehicle device 100 may be realized by both dedicated hardware and the computer 600.

例えば、図13のコンピュータ600を用いて図1の車載装置100を次のように実現することが可能である。
画面インタフェース部101は、入力装置605と、出力装置606と、入力装置605と出力装置606を制御するプログラム(つまりデバイスドライバ)を実行するCPU601と、ワークエリアとしてのRAM603によって実現することができる。また、上位機器インタフェース部102は、通信インタフェース604に対応する。 For example, the in-vehicle device 100 of FIG. 1 can be realized as follows using the computer 600 of FIG.
The screen interface unit 101 can be realized by an input device 605, an output device 606, a CPU 601 that executes a program (that is, a device driver) for controlling the input device 605 and the output device 606, and a RAM 603 as a work area. The upper device interface unit 102 corresponds to the communication interface 604.

そして、情報受信処理部103と、情報送信処理部104と、画面エリア判定部106と、画面乱数処理部107は、プログラムを実行するCPU601と、ワークエリアとしてのRAM603により実現することができる。なお、RAM603は、ユーザからの入力から得られる第1の情報(具体的には例えば軌跡情報)を記憶する第1の記憶手段としても機能する。   The information reception processing unit 103, the information transmission processing unit 104, the screen area determination unit 106, and the screen random number processing unit 107 can be realized by a CPU 601 that executes a program and a RAM 603 as a work area. The RAM 603 also functions as a first storage unit that stores first information (specifically, for example, trajectory information) obtained from input from the user.

また、格納部105は、例えば鍵情報を格納する記憶装置607により実現されてもよい。あるいは、メモリカードなどの可搬型記憶媒体610に鍵情報が格納され、格納部105が可搬型記憶媒体610と駆動装置608により実現されてもよい。いずれにせよ、格納部105は、第2の情報(具体的には例えば鍵情報)を記憶する第2の記憶手段の一例である。   The storage unit 105 may be realized by a storage device 607 that stores key information, for example. Alternatively, key information may be stored in a portable storage medium 610 such as a memory card, and the storage unit 105 may be realized by the portable storage medium 610 and the driving device 608. In any case, the storage unit 105 is an example of a second storage unit that stores second information (specifically, for example, key information).

なお、細分化エリア情報が固定されている場合、細分化エリア情報は、画面エリア判定部106を実現するためのプログラム内において各種定数として定義されていてもよい。その場合も、プログラムはROM602、記憶装置607、または駆動装置608を介して参照される可搬型記憶媒体610に格納されているので、細分化エリア情報を格納する格納部105は、ROM602、記憶装置607、または可搬型記憶媒体610と駆動装置608により実現されていると言える。   When the subdivision area information is fixed, the subdivision area information may be defined as various constants in the program for realizing the screen area determination unit 106. Also in that case, since the program is stored in the ROM 602, the storage device 607, or the portable storage medium 610 that is referred to via the drive device 608, the storage unit 105 that stores the segmentation area information includes the ROM 602, the storage device 607 or a portable storage medium 610 and a driving device 608.

また、車両状態判定部108は、外部センサ110とコンピュータ600との間の不図示のインタフェースと、当該インタフェースを介して受け取ったデータを使ってプログラムを実行するCPU601と、RAM603により実現することができる。外部センサ110とコンピュータ600との間のインタフェースは、専用のインタフェースカードなどを含んでもよいし、Universal Serial Bus(USB)などの汎用的なインタフェースでもよい。   Further, the vehicle state determination unit 108 can be realized by an interface (not shown) between the external sensor 110 and the computer 600, a CPU 601 that executes a program using data received through the interface, and a RAM 603. . The interface between the external sensor 110 and the computer 600 may include a dedicated interface card or a general-purpose interface such as a universal serial bus (USB).

なお、上記実施形態は様々に変形可能である。以下に、上記実施形態を変形するいくつかの観点を例示する。例えば、上記実施形態は、下記(f1)〜(f15)の観点から様々に変形することができ、上記実施形態および下記の変形は、相互に矛盾しない限り、任意に組み合わせることが可能である。   The above embodiment can be variously modified. Below, some viewpoints which modify the above-mentioned embodiment are illustrated. For example, the above-described embodiment can be variously modified from the viewpoints of the following (f1) to (f15), and the above-described embodiment and the following modification can be arbitrarily combined as long as they do not contradict each other.

(f1)鍵情報の更新の契機に関する変形
上記第1〜3実施形態では、鍵情報の更新は、車載装置100からの鍵情報更新要求(あるいは鍵情報更新要求の役割を兼ねている認証要求兼更新要求)の送信を契機として行われる。しかし、実施形態によっては、車載装置100から鍵情報の更新を要求することなく、認証サーバ202が鍵情報の更新のタイミングを制御してもよい。また、上記第1〜3実施形態では、鍵情報の更新は、認証に成功したときにのみ行われるが、鍵情報の更新は、認証の成否とは独立していてもよい。 (F1) Modification Regarding Trigger of Key Information Update In the first to third embodiments, the key information update is a key information update request from the in-vehicle device 100 (or an authentication request that also serves as a key information update request). Update request) is sent as a trigger. However, depending on the embodiment, the authentication server 202 may control the update timing of the key information without requesting the update of the key information from the in-vehicle device 100. In the first to third embodiments, the key information is updated only when the authentication is successful. However, the key information may be updated independently of the success or failure of the authentication.

例えば、第1実施形態は、次のように変形されてもよい。すなわち、車載装置100は、図4のステップS105において、検出されたトリガの種類が認証通知の受信であると判断した場合、図4の処理を終えてもよい。そして、車載装置100は、図4の処理とは独立して、認証サーバ202からの鍵情報更新通知の受信の有無を監視し、鍵情報更新通知を受信したら図4のステップS110とS111の処理を行ってもよい。   For example, the first embodiment may be modified as follows. That is, the in-vehicle device 100 may end the process in FIG. 4 when determining in step S105 in FIG. 4 that the detected trigger type is reception of the authentication notification. Then, the in-vehicle device 100 monitors whether or not the key information update notification is received from the authentication server 202 independently of the processing in FIG. 4, and when receiving the key information update notification, the processing in steps S110 and S111 in FIG. May be performed.

また、この場合、認証サーバ202は、車載装置100の位置を考慮に入れずに鍵情報更新通知を送信してもよいし、車載装置100の位置を考慮に入れて鍵情報更新通知を送信してもよい。   In this case, the authentication server 202 may transmit the key information update notification without taking the position of the in-vehicle device 100 into consideration, or transmit the key information update notification by taking the position of the in-vehicle device 100 into consideration. May be.

例えば、認証サーバ202は、車載装置100の位置を考慮に入れずに、システム200内のすべての路側機201に対して定期的に車載装置100に対する鍵情報更新通知を送信してもよい。すると、車載装置100は、もしいずれかの路側機201からたまたま鍵情報更新通知を受信することができれば、受信を契機として、図4のステップS110とS111のように鍵情報の更新と鍵情報受領通知の送信を行う。この場合、認証サーバ202は車載装置100の位置を考慮する必要がないので、車載装置100からの位置通知も不要である。   For example, the authentication server 202 may periodically transmit the key information update notification for the in-vehicle device 100 to all the roadside devices 201 in the system 200 without taking the position of the in-vehicle device 100 into consideration. Then, if the in-vehicle device 100 can receive a key information update notification from any roadside device 201, the on-vehicle device 100 receives the key information update and the key information reception as shown in steps S110 and S111 of FIG. Send notifications. In this case, since the authentication server 202 does not need to consider the position of the in-vehicle device 100, the position notification from the in-vehicle device 100 is also unnecessary.

あるいは、車載装置100が位置通知を送信し、認証サーバ202は鍵情報更新通知の送信のタイミングの制御および中継点となる路側機201の選択を位置通知に基づいて行い、鍵情報更新通知を送信してもよい。つまり、認証サーバ202は、図12のステップS608〜S611の処理を、鍵情報更新要求の受信を契機として行うのではなく、例えば定期的なスケジュールにしたがって行ってもよい。   Alternatively, the in-vehicle device 100 transmits a position notification, and the authentication server 202 performs control of the transmission timing of the key information update notification and selection of the roadside device 201 as a relay point based on the position notification, and transmits the key information update notification. May be. In other words, the authentication server 202 may perform the processing of steps S608 to S611 in FIG. 12 not according to reception of the key information update request, but according to a regular schedule, for example.

なお、ステップS608〜S611の処理を行う契機が何であれ、通信インタフェース604とCPU601とRAM603は、協働して、車載装置100から車両305の位置を示す位置情報を受信する受信手段として機能する。また、ステップS609において、CPU601とRAM603は、複数の送信機(すなわち複数の路側機201)にそれぞれ対応する複数の範囲のいずれかに車両305の位置が含まれるか否かを位置情報に基づいて判断する判断手段として機能する。そして、ステップS610とS611では、通信インタフェース604とCPU601とRAM603は、協働して、車両305の位置を含むと判断された範囲に対応する送信機に対して鍵情報を送信する送信手段として機能する。なおここで、「車両305の位置を含むと判断された範囲に対応する送信機」とは、換言すれば、通信範囲内に車載装置100があると判断され、中継点として選択された路側機201のことである。   Whatever the trigger for performing the processing of steps S608 to S611, the communication interface 604, the CPU 601, and the RAM 603 cooperate to function as receiving means for receiving position information indicating the position of the vehicle 305 from the in-vehicle device 100. In step S609, the CPU 601 and the RAM 603 determine whether or not the position of the vehicle 305 is included in any of a plurality of ranges corresponding to a plurality of transmitters (that is, a plurality of roadside devices 201). It functions as a determination means for determining. In steps S610 and S611, the communication interface 604, the CPU 601 and the RAM 603 cooperate to function as a transmission unit that transmits key information to the transmitter corresponding to the range determined to include the position of the vehicle 305. To do. Here, “the transmitter corresponding to the range determined to include the position of the vehicle 305”, in other words, the roadside device that is determined to have the in-vehicle device 100 within the communication range and is selected as a relay point. 201.

(f2)鍵情報の更新タイミングに関する変形
実施形態によっては、車載装置100に電源が入れられてから電源が切断されるまでの間に、1回だけ認証が行われるかもしれないし、複数回の認証が行われるかもしれない。 (F2) Modification Regarding Update Timing of Key Information Depending on the embodiment, authentication may be performed only once during a period from when the power is turned on to the vehicle-mounted device 100 until the power is turned off. May be done.

例えば、交通管制サーバ203が異なる種類の複数のサービスを提供し、複数のサービスの認証をいずれも認証サーバ202が担う場合、認証サーバ202はサービスごとに認証を行ってもよい。そして、車載装置100に電源が入れられてから電源が切断されるまでの間に、車両305が複数のサービスを受けることもありうる。また、例えば駐車場の料金支払いのようにユーザへの課金をともなうサービスの場合は、課金のたびに認証が行われてもよい。   For example, when the traffic control server 203 provides a plurality of different types of services and the authentication server 202 is responsible for authentication of the plurality of services, the authentication server 202 may perform authentication for each service. The vehicle 305 may receive a plurality of services during the period from when the power is turned on to the vehicle-mounted device 100 until the power is turned off. In addition, for example, in the case of a service that involves charging a user, such as payment of a fee for a parking lot, authentication may be performed each time charging is performed.

このように、車載装置100に電源が入れられてから電源が切断されるまでの間に複数回の認証が行われる場合、ユーザからの入力は車載装置100への電源投入直後の最初の1回だけに限ることがユーザビリティの観点から好ましい。しかし、鍵情報の更新は、認証が済むたびに行われることが望ましい。そのために、画面乱数処理部107は、画面エリア判定部106から出力された判定結果を、車載装置100の電源が切断されるまでの間、RAM603に保持し続けてもよい。   As described above, when the authentication is performed a plurality of times from when the power is turned on to the vehicle-mounted device 100 until the power is turned off, the input from the user is the first time immediately after the power is turned on to the vehicle-mounted device 100. It is preferable from the viewpoint of usability to limit to only. However, it is desirable to update the key information every time authentication is completed. Therefore, the screen random number processing unit 107 may continue to hold the determination result output from the screen area determination unit 106 in the RAM 603 until the in-vehicle device 100 is powered off.

また、複数回の認証のために、上記実施形態は次のように変形されてもよい。例えば、車載装置100は、図4のステップS101とS102の処理を行った後、ステップS103〜S111の処理を認証のたびに繰り返してもよい。あるいは、車載装置100は、図9のステップS301とS302の処理を行った後、ステップS303〜S308の処理を認証のたびに繰り返してもよい。また、車載装置100は、図11のステップS501とS502の処理を行った後、ステップS503〜S510の処理を認証のたびに繰り返してもよい。   Further, the above embodiment may be modified as follows for a plurality of authentications. For example, after performing the processes of steps S101 and S102 in FIG. 4, the in-vehicle device 100 may repeat the processes of steps S103 to S111 every time authentication is performed. Or after performing the process of step S301 and S302 of FIG. 9, the vehicle equipment 100 may repeat the process of step S303-S308 for every authentication. Moreover, after performing the process of step S501 and S502 of FIG. 11, the vehicle-mounted apparatus 100 may repeat the process of step S503 to S510 for every authentication.

ただし、車載装置100が拒否通知を受信した場合は、ステップS101、S301、またはS501での入力が不正だったと認証サーバ202により判断されたということである。よって、拒否通知を受信した場合、たとえ車載装置100がステップS103〜S111、S303〜S308、またはS503〜S510の処理を繰り返したとしても、認証は再度失敗することが明らかである。したがって、車載装置100は、拒否通知を受信した場合は上記の繰り返しを行うことなく、処理を終えてよい。   However, when the in-vehicle device 100 receives the rejection notification, the authentication server 202 determines that the input in step S101, S301, or S501 is invalid. Therefore, when the rejection notification is received, even if the in-vehicle device 100 repeats the processing of steps S103 to S111, S303 to S308, or S503 to S510, it is clear that the authentication fails again. Therefore, when receiving the rejection notification, the in-vehicle device 100 may end the process without performing the above repetition.

また、上記(f1)でも述べたが、鍵情報の更新のタイミングは、認証の成否とは独立していてもよい。あるいは、1回認証が成功した後で、車載装置100の電源がオンになっている間は、車載装置100は鍵情報の更新を繰り返し行ってもよい。   As described in (f1) above, the update timing of the key information may be independent of the success or failure of the authentication. Alternatively, after the authentication is successful once, the in-vehicle device 100 may repeatedly update the key information while the power of the in-vehicle device 100 is turned on.

例えば、車載装置100は、図4のステップS101〜S105の処理を行った後、認証が成功したか否かによらず、ステップS106〜S111の処理を繰り返してもよい。ステップS106〜S111の処理の繰り返しは、所定の間隔で行われてもよいし、ステップS111の処理の直後にステップS106の処理が行われてもよい。   For example, after performing the processing of steps S101 to S105 in FIG. 4, the in-vehicle device 100 may repeat the processing of steps S106 to S111 regardless of whether the authentication is successful. The process of steps S106 to S111 may be repeated at a predetermined interval, or the process of step S106 may be performed immediately after the process of step S111.

同様に、車載装置100は、図11のステップS501〜S505の処理を行った後、認証が成功したか否かによらず、ステップS506〜S510の処理を繰り返してもよい。ステップS506〜S510の処理の繰り返しは、所定の間隔で行われてもよいし、ステップS510の処理の直後にステップS506の処理が行われてもよい。   Similarly, after performing the processing of steps S501 to S505 in FIG. 11, the in-vehicle device 100 may repeat the processing of steps S506 to S510 regardless of whether or not the authentication is successful. The process of steps S506 to S510 may be repeated at a predetermined interval, or the process of step S506 may be performed immediately after the process of step S510.

あるいは、車載装置100は、認証が成功した場合に、図4のステップS111または図9のステップS308の送信を行った後に、ステップS106〜S111の処理を繰り返してもよい。ステップS106〜S111の処理の繰り返しは、所定の間隔で行われてもよいし、ステップS111の処理の直後にステップS106の処理が行われてもよい。   Alternatively, when the authentication is successful, the in-vehicle device 100 may repeat the processes in steps S106 to S111 after performing the transmission in step S111 in FIG. 4 or step S308 in FIG. The process of steps S106 to S111 may be repeated at a predetermined interval, or the process of step S106 may be performed immediately after the process of step S111.

例えば上記のように鍵情報を繰り返し更新することにより、ある認証から次の認証までの時間が比較的長い場合にも、できるだけ新しい鍵情報が次の認証用情報の生成において使われることになる。このように、古い情報の使用をできるだけ避けることで、古い情報が盗まれることによるセキュリティ低下のリスクを減らすことができる。   For example, by repeatedly updating the key information as described above, even when the time from one authentication to the next authentication is relatively long, the newest key information as much as possible is used in the generation of the next authentication information. Thus, by avoiding the use of old information as much as possible, it is possible to reduce the risk of security degradation due to the old information being stolen.

このように、上記実施形態は様々に変形することができるが、図4のステップS106とS107は、いずれの変形例においても、車両305の状態に基づいたタイミングで無線通信により更新要求を送信するステップに相当する。より詳しくは、ステップS106が、車両305が信号機から所定の範囲内で停止していると見なせる停止状態のときに更新要求を送信するよう、タイミングを決定する決定ステップに相当する。   As described above, the above-described embodiment can be variously modified, but in any modification, steps S106 and S107 in FIG. 4 transmit an update request by wireless communication at a timing based on the state of the vehicle 305. It corresponds to a step. More specifically, step S106 corresponds to a determination step of determining timing so that an update request is transmitted when the vehicle 305 is in a stopped state where it can be considered that the vehicle 305 is stopped within a predetermined range from the traffic light.

同様に、図9のステップS303とS304も、いずれの変形例においても、車両305の状態に基づいたタイミングで無線通信により更新要求(具体的には認証要求兼更新要求)を送信するステップに相当する。より詳しくは、ステップS303がステップS106と同様に上記決定ステップに相当する。
また、ステップS108とS305は、いずれも、更新要求に応じて無線通信により送信される新たな鍵情報を受信する受信ステップを含む。 Similarly, steps S303 and S304 in FIG. 9 correspond to steps of transmitting an update request (specifically, an authentication request / update request) by wireless communication at a timing based on the state of the vehicle 305 in any of the modifications. To do. More specifically, step S303 corresponds to the determination step as in step S106.
Steps S108 and S305 both include a reception step of receiving new key information transmitted by wireless communication in response to an update request.

(f3)更新対象の鍵情報に関する変形
鍵情報のうち、細分化エリア情報と乱数情報の双方が更新対象でもよいし、細分化エリア情報のみが更新対象でもよいし、乱数情報のみが更新対象でもよい。図7から明らかなように、細分化エリア情報のみが更新されるだけでも、細分化エリア情報の更新に応じて異なる認証用情報αが生成されることになる。また、式(1)と(3)から明らかなように、乱数情報のみが更新されるだけでも、画面乱数処理部107が例えば関数fまたはfを用いて認証用情報αを生成する場合には、乱数情報の更新に応じて異なる認証用情報αが生成されることになる。 (F3) Modification of key information to be updated Among the key information, both the segmented area information and the random number information may be updated, only the segmented area information may be updated, or only the random number information may be updated. Good. As apparent from FIG. 7, even if only the subdivision area information is updated, different authentication information α is generated according to the update of the subdivision area information. Further, as is apparent from the equations (1) and (3), when only the random number information is updated, the screen random number processing unit 107 generates the authentication information α using the function f A or f C , for example. In this case, different authentication information α is generated according to the update of the random number information.

(f4)認証サーバ202による中継点の路側機201の選択に関する変形
認証サーバ202は、車載装置100への通信の中継点となる路側機201を選択する際に、路側機は位置情報と車載装置100の位置の双方を考慮に入れてもよい。 (F4) Modification related to selection of roadside device 201 as relay point by authentication server 202 When the authentication server 202 selects the roadside device 201 as a relay point of communication to the in-vehicle device 100, the roadside device detects the position information and the in-vehicle device. Both 100 positions may be taken into account.

例えば、車載装置100からの位置通知を何回か認証サーバ202が受信している場合、認証サーバ202は、車載装置100を搭載した車両305がどの道路をどの方向に走行中かを認識することができる。つまり、認証サーバ202は、位置通知により通知された車載装置100の位置を必要に応じてマップマッチングなどの処理により補正し、複数の位置通知でそれぞれ通知された位置の変化から、車両305が走行中の道路と走行方向を認識することができる。そこで、認証サーバ202は、複数の送信元近傍路側機のうち、送信元路側機から見て車両305の走行方向と逆側にあるものは、IPパケットの送信先から除外してもよい。   For example, when the authentication server 202 has received the position notification from the in-vehicle device 100 several times, the authentication server 202 recognizes which road the vehicle 305 equipped with the in-vehicle device 100 is traveling in which direction. Can do. That is, the authentication server 202 corrects the position of the in-vehicle device 100 notified by the position notification by processing such as map matching as necessary, and the vehicle 305 travels from the change in position notified by the plurality of position notifications. The road inside and the direction of travel can be recognized. Therefore, the authentication server 202 may exclude, from among the plurality of transmission source neighboring roadside devices, those that are on the side opposite to the traveling direction of the vehicle 305 when viewed from the transmission source roadside device from the transmission destination of the IP packet.

(f5)認証要求の送信タイミングに関する変形
第1実施形態において車載装置100は、図4に示すように、認証要求501に関しては通信品質の良さの推測を行わずに単に送信を行い、鍵情報更新要求504に関しては通信品質の良さの推測を行って送信タイミングを調整する。しかし、実施形態によっては、車載装置100は、認証要求501に関しても図4のステップS106と同様に通信品質の良さの推測を行って送信タイミングを調整してもよい。それにより、結果的に失敗に終わる無駄な送信を減らすことができる。 (F5) Modification Regarding Transmission Timing of Authentication Request In the first embodiment, as shown in FIG. 4, the in-vehicle device 100 simply transmits the authentication request 501 without estimating the communication quality and updates the key information. Regarding the request 504, the transmission timing is adjusted by estimating the good communication quality. However, depending on the embodiment, the in-vehicle device 100 may adjust the transmission timing by estimating the communication quality with respect to the authentication request 501 as in step S106 of FIG. As a result, it is possible to reduce useless transmissions resulting in failure.

(f6)入力支援に関する変形
画面インタフェース部101がユーザからの入力を受け付けるにあたり、情報送信処理部104は、入力支援のための情報を画面に表示するよう、画面インタフェース部101を制御してもよい。入力支援により、ユーザビリティが向上する。 (F6) Modification related to input support When the screen interface unit 101 receives an input from the user, the information transmission processing unit 104 may control the screen interface unit 101 to display information for input support on the screen. . Input support improves usability.

例えば、情報送信処理部104は、図形の入力を開始する位置を、矢印や丸などによりハイライト表示するよう、画面インタフェース部101を制御してもよい。すると、「入力位置のずれが原因で、正しい入力が不正な入力と判断される」といった事態が避けやすくなる。   For example, the information transmission processing unit 104 may control the screen interface unit 101 so as to highlight and display the position where the input of the graphic is started with an arrow or a circle. Then, a situation such as “a correct input is determined to be an illegal input due to a shift in the input position” can be easily avoided.

なお、ハイライト表示する対象となる入力開始位置が、ユーザが図形を認証サーバ202に登録したときの入力開始位置に固定される場合は、格納部105には予め、固定される当該入力開始位置を示す情報が登録されるものとする。そして、情報送信処理部104は、格納部105に登録された情報を読み出して、上記のように画面インタフェース部101にハイライト表示の指示を与える。   Note that when the input start position to be highlighted is fixed to the input start position when the user registers the figure in the authentication server 202, the input start position fixed in advance in the storage unit 105. It is assumed that information indicating is registered. Then, the information transmission processing unit 104 reads the information registered in the storage unit 105, and gives a highlight display instruction to the screen interface unit 101 as described above.

逆に、情報送信処理部104は、ユーザからの入力の受け付けのたびにランダムな位置を選び、選んだ位置をハイライト表示するよう、画面インタフェース部101を制御してもよい。このようにハイライト表示する対象となる入力開始位置が可変の場合は、情報受信処理部103は、入力開始位置として選んだ位置の座標を、認証用情報とあわせて認証要求のフレームに含め、認証サーバ202に通知する。   Conversely, the information transmission processing unit 104 may control the screen interface unit 101 so as to select a random position each time an input from the user is accepted and to highlight the selected position. In this way, when the input start position to be highlighted is variable, the information reception processing unit 103 includes the coordinates of the position selected as the input start position in the authentication request frame together with the authentication information, The authentication server 202 is notified.

また、「入力位置のずれが原因で、正しい入力が不正な入力と判断される」といった事態を避けるためには、情報受信処理部103は、ガイド表示として画面上に例えば格子を表示するよう、画面インタフェース部101を制御してもよい。すると、ユーザは、格子を頼りに、ユーザが図形を認証サーバ202に登録したときの入力開始位置に近い位置から入力を開始することができるようになるので、ユーザビリティが向上する。   Further, in order to avoid a situation such as “a correct input is determined to be an illegal input due to a shift in the input position”, the information reception processing unit 103 displays, for example, a grid as a guide display on the screen. The screen interface unit 101 may be controlled. Then, the user can start input from a position close to the input start position when the user registers the figure in the authentication server 202, relying on the grid, so that usability is improved.

(f7)ユーザからの入力の内容に関する変形
上記実施形態においては、ユーザから入力される図形的な情報として、手書きの署名、図6の軌跡403、図7の軌跡405、および軌跡407を例示した。しかし、実施形態によっては、ユーザから入力される図形的な情報は、上記の例が示すような連続的な軌跡を描くものでなくてもよい。 (F7) Modification Regarding Contents of Input from User In the above embodiment, the handwritten signature, the trajectory 403 in FIG. 6, the trajectory 405 in FIG. 7, and the trajectory 407 are illustrated as graphical information input from the user. . However, in some embodiments, the graphical information input from the user does not have to draw a continuous trajectory as shown in the above example.

例えば、画面インタフェース部101はソフトウェアキーボード機能を有していてもよい。なお、画面インタフェース部101は、キーの位置を固定して画面に表示してもよいし、表示のたびにキーの位置をランダムに入れ換えて画面上にキーボードあるいはテンキーなどを表示してもよい。   For example, the screen interface unit 101 may have a software keyboard function. Note that the screen interface unit 101 may display the screen with the key positions fixed, or may display a keyboard or a numeric keypad on the screen by randomly replacing the key positions each time the information is displayed.

具体的には、画面インタフェース部101は、画面上にキーボードあるいはテンキーなどを表示し、画面上に表示されたどのキーをユーザが指定したか、そして、キーが指定された順序と間隔はどうだったかを検出してもよい。つまり、画面インタフェース部101は、空間内の複数の位置がユーザからの入力により指定される順序、間隔、またはその組み合わせを情報受信処理部103に出力してもよい。   Specifically, the screen interface unit 101 displays a keyboard or a numeric keypad on the screen, which key displayed on the screen is specified by the user, and what is the order and interval in which the keys are specified. It may be detected. That is, the screen interface unit 101 may output to the information reception processing unit 103 the order, interval, or combination thereof in which a plurality of positions in the space are designated by input from the user.

この場合、細分化エリア情報は各キーが表示されるエリアを規定する情報であり、乱数情報は、各キーが表示されるエリアにそれぞれランダムな値を対応づける情報である。また、画面乱数処理部107は、認証用情報αの生成にあたり、エリアの通過にかかった時間の代わりに、キーが指定される間隔またはキーに接触されていた時間を使うことができる。   In this case, the subdivision area information is information that defines the area where each key is displayed, and the random number information is information that associates a random value with the area where each key is displayed. Further, the screen random number processing unit 107 can use the interval at which the key is specified or the time when the key is touched, instead of the time taken to pass the area when generating the authentication information α.

例えば、ソフトウェアキーボード機能により画面上に表示される“X”と“Y”と“Z”という3つのキーがこの順で指定され、“X”と“Y”の指定の間隔は1.0秒、“Y”と“Z”の指定の間隔は0.7秒であったとする。また、“X”と“Y”と“Z”という3つのキーが表示されるエリアにそれぞれ対応する乱数が、1935と4018と6253であるとする。   For example, three keys “X”, “Y”, and “Z” displayed on the screen by the software keyboard function are designated in this order, and the designated interval of “X” and “Y” is 1.0 second. Assume that the designated interval between “Y” and “Z” is 0.7 seconds. Further, it is assumed that random numbers corresponding to areas where three keys “X”, “Y”, and “Z” are displayed are 1935, 4018, and 6253, respectively.

すると、画面乱数処理部107は、実施形態に応じて、1935と4018と6253という3つの乱数を引数とする関数により認証用情報αを生成してもよいし、1.0と0.7という2つの時間を引数とする関数により認証用情報αを生成してもよい。あるいは、画面乱数処理部107は、1935と1.0と4018と0.7と6253という計5つの値を引数とする関数により認証用情報αを生成してもよい。   Then, the screen random number processing unit 107 may generate the authentication information α using a function having three random numbers 1935, 4018, and 6253 as arguments, depending on the embodiment, and may be 1.0 and 0.7. The authentication information α may be generated by a function having two times as arguments. Alternatively, the screen random number processing unit 107 may generate the authentication information α by using a function having a total of five values of 1935, 1.0, 4018, 0.7, and 6253 as arguments.

また、画面乱数処理部107は、認証用情報αの生成において、キーが指定される間隔の代わりに、またはキーが指定される間隔とともに、キーが表示されるエリア内での画面への接触が持続していた時間を用いてもよい。   In addition, the screen random number processing unit 107, in generating the authentication information α, makes contact with the screen in the area where the key is displayed instead of the interval at which the key is specified or together with the interval at which the key is specified. The lasting time may be used.

そして、上記のソフトウェアキーボードに関する変形例と同様に、画面インタフェース部101がハードウェアキーボードを介してユーザから文字による入力を受け付ける変形例も可能である。この場合、鍵情報は細分化エリア情報を含まなくてよい。そして、乱数情報は、各キーにそれぞれランダムな値を対応づける情報である。また、画面乱数処理部107は、認証用情報αの生成にあたり、エリアの通過にかかった時間の代わりに、キーの押されていた時間、キーが押される間隔、またはその組み合わせを使うことができる。   Further, similarly to the above-described modified example related to the software keyboard, a modified example in which the screen interface unit 101 receives input by characters from the user via the hardware keyboard is also possible. In this case, the key information may not include the segmentation area information. The random number information is information that associates a random value with each key. In addition, the screen random number processing unit 107 can use the time during which the key is pressed, the interval at which the key is pressed, or a combination thereof instead of the time taken to pass through the area when generating the authentication information α. .

(f8)鍵情報に関する変形
例えば、認証サーバ202は、あるとき、画面を8行・5列に40分割する図6の鍵情報401を車載装置100に通知してもよい。そして、車載装置100の画面エリア判定部106は、いくつかのエリアを併合することで、鍵情報401が規定する細分化よりも粗く画面を細分化するパターンを作成し、作成したパターンにおいて定義したエリアに基づいて、上記(a1)と(a2)の判定を行ってもよい。 (F8) Modification Regarding Key Information For example, the authentication server 202 may notify the in-vehicle device 100 of the key information 401 shown in FIG. 6 that divides the screen into 40 rows and 8 columns. Then, the screen area determination unit 106 of the in-vehicle device 100 creates a pattern that subdivides the screen more roughly than the subdivision defined by the key information 401 by merging several areas, and defines the pattern in the created pattern. The above determinations (a1) and (a2) may be made based on the area.

例えば、画面エリア判定部106は、1〜4行目を併合し、5〜8行目を併合することで、画面を2行・5列に10分割するパターンを作成してもよい。すると、図6の軌跡403は、併合後の1行目の1列目のエリア、併合後の1行目の2列目のエリア、併合後の1行目の1列目のエリア、という延べ3つのエリアを通ると判定される。   For example, the screen area determination unit 106 may create a pattern in which the screen is divided into 10 by 2 rows and 5 columns by merging the first to fourth rows and merging the fifth to eighth rows. Then, the trajectory 403 in FIG. 6 is a total of the first column area after the first merge, the second column area after the first merge, and the first column area after the first merge. It is determined that the vehicle passes through three areas.

そして、軌跡403が併合後の1行目の1列目のエリアを最初に通過するときの通過時間は、式(12)〜(14)によれば1.3(=0.3+0.4+0.6)秒である。また、併合後の1行目の2列目のエリアの通過時間は、式(15)と(16)によれば1.4(=1.0+0.4)秒である。そして、軌跡403が併合後の1行目の1列目のエリアを最後に通過するときの通過時間は、式(17)と(18)によれば0.3(=0.2+0.1)秒である。   The transit time when the trajectory 403 first passes through the area of the first row and the first column after merging is 1.3 (= 0.3 + 0.4 + 0. 6) Second. Further, according to the equations (15) and (16), the passing time of the area in the first row and the second column after the merge is 1.4 (= 1.0 + 0.4) seconds. And the passage time when the trajectory 403 finally passes through the area of the first row and the first column after merging is 0.3 (= 0.2 + 0.1) according to the equations (17) and (18). Seconds.

また、画面エリア判定部106は、併合後の各エリアに対応する乱数を、併合前のエリアの乱数を連結することで求めることができる。例えば、元の鍵情報401における1列目において1〜4行目の4つのエリアを併合したエリアに対応する乱数は、元の4つのエリアに対応する4つの乱数を文字列として連結した2615367357320044である。同様に、併合後の1行目の2列目のエリアに対応する乱数は、5499943318825812である。   Further, the screen area determination unit 106 can obtain a random number corresponding to each area after merging by concatenating the random numbers in the area before merging. For example, the random number corresponding to the area obtained by merging the four areas of the first to fourth rows in the first column in the original key information 401 is 26153673577320044 in which the four random numbers corresponding to the original four areas are concatenated as character strings. is there. Similarly, the random number corresponding to the area in the second column of the first row after merging is 54999433188258812.

したがって、この場合、画面乱数処理部107は下記の式(22)〜(28)を用いて認証用情報αを求める。
m=3 (22)
randt(1)=2615367357320044 (23)
randt(2)=5499943318825812 (24)
randt(3)=2615367357320044 (25)
passt(1)=1.3 (26)
passt(2)=1.4 (27)
passt(3)=0.3 (28) Therefore, in this case, the screen random number processing unit 107 obtains the authentication information α using the following equations (22) to (28).
m = 3 (22)
rand t (1) = 26153675737320044 (23)
rand t (2) = 54999433188258812 (24)
rand t (3) = 26153675737320044 (25)
pass t (1) = 1.3 (26)
pass t (2) = 1.4 (27)
pass t (3) = 0.3 (28)

また、画面乱数処理部107は、「1〜4行目を併合し、5〜8行目を併合することで、画面を2行・5列に10分割するパターンを用いた」ということを示す情報(以下「細分化変更情報」という)を、認証用情報αとあわせて、情報送信処理部104に出力する。すると、情報送信処理部104は、認証用情報αだけでなく細分化変更情報も認証要求501の秘密UL情報のフィールドに設定する。   Further, the screen random number processing unit 107 indicates that “the pattern in which the screen is divided into 10 by 2 rows and 5 columns is used by merging the 1st to 4th rows and the 5th to 8th rows”. Information (hereinafter referred to as “subdivision change information”) is output to the information transmission processing unit 104 together with the authentication information α. Then, the information transmission processing unit 104 sets not only the authentication information α but also the segmentation change information in the secret UL information field of the authentication request 501.

その結果、認証サーバ202も細分化変更情報を認識することができ、細分化変更情報を考慮に入れて、パスワードを抽出することができる。なお、以上のように、認証サーバ202から通知された細分化エリア情報に対して、車載装置100が粗い分割の仕方を定めることには、次のような効果がある。すなわち、「細分化エリア情報によって定義されているエリアが小さいために、ユーザの入力の微妙なずれが原因で、認証に失敗してしまう」といった事態が防ぎやすくなる。   As a result, the authentication server 202 can also recognize the segmentation change information, and can extract the password in consideration of the segmentation change information. As described above, the in-vehicle device 100 determining the rough division method for the subdivision area information notified from the authentication server 202 has the following effects. That is, it is easy to prevent a situation such as “authentication failure due to a subtle shift in user input because the area defined by the subdivision area information is small”.

また、この場合、認証のたびに鍵情報の更新を行うのではなく、鍵情報の更新は何回かの認証ごとに1度でもよい。その代わりに、エリアの併合の仕方(換言すれば細分化変更情報の内容)を認証のたびに適宜変えれば、認証のたびに異なる認証用情報αが生成される。   In this case, the key information is not updated every time authentication is performed, but the key information may be updated once every several times of authentication. Instead, if the method of merging the areas (in other words, the content of the subdivision change information) is appropriately changed for each authentication, different authentication information α is generated for each authentication.

あるいは、実施形態によっては、上記とは逆に、認証サーバ202が細分化変更情報を指定してもよい。
例えば、認証サーバ202は、ある鍵情報更新要求の受信を契機に、鍵情報401のような40分割の鍵情報401とともに細分化変更情報も含む鍵情報更新通知を車載装置100に返信してもよい。そして、認証サーバ202は、次の鍵情報更新要求の受信したときは、エリアの併合の仕方を変えた細分化変更情報のみを車載装置100に返信してもよい。さらに次の鍵情報更新要求を受信したときも、認証サーバ202は同様にエリアの併合の仕方を変えた細分化変更情報のみを車載装置100に返信してもよい。そして、さらに次の鍵情報更新要求を受信したとき、認証サーバ202は新たな鍵情報を生成し、新たな細分化変更情報とともに車載装置100に通知してもよい。 Alternatively, depending on the embodiment, contrary to the above, the authentication server 202 may specify the segmentation change information.
For example, when the authentication server 202 receives a key information update request, the authentication server 202 returns a key information update notification including the segmentation change information together with the 40-part key information 401 such as the key information 401 to the in-vehicle device 100. Good. Then, when the next key information update request is received, the authentication server 202 may return only the segmentation change information in which the area merging method is changed to the in-vehicle device 100. Further, even when the next key information update request is received, the authentication server 202 may similarly return only the segmentation change information in which the area merging method is changed to the in-vehicle device 100. Further, when the next key information update request is received, the authentication server 202 may generate new key information and notify the in-vehicle device 100 together with the new segmentation change information.

以上の例は、「鍵情報自体の更新が3回の認証ごとに1回だけ行われ、残りの2回は細分化変更情報の更新のみが行われる」という例である。もちろん、この「3回」という数値は単なる例示であり、実施形態に応じて適宜変更されてよい。   The above example is an example in which “updating the key information itself is performed only once every three authentications, and only the subdivision change information is updated for the remaining two times”. Of course, the numerical value “3 times” is merely an example, and may be appropriately changed according to the embodiment.

(f9)画面インタフェース部101に関する変形
第1〜3実施形態の画面インタフェース部101はタッチスクリーンを用いて実現される。しかし、実施形態によっては、タッチスクリーン以外の、空間的情報の入力用の他のユーザインタフェース装置により、画面インタフェース部101が実現されてもよい。 (F9) Modification Regarding Screen Interface Unit 101 The screen interface unit 101 of the first to third embodiments is realized using a touch screen. However, depending on the embodiment, the screen interface unit 101 may be realized by another user interface device for inputting spatial information other than the touch screen.

例えば、画面インタフェース部101が、ペンタブレットやマウスなどのポインティングデバイスと、ディスプレイとを含んでもよい。そして、画面インタフェース部101は、ディスプレイ上にカーソルを表示し、ポインティングデバイスからの入力に応じてカーソルを移動させてもよい。そして、画面インタフェース部101は、ポインティングデバイスを介して指定される画面上の位置を表す2次元座標を、情報受信処理部103に出力してもよい。   For example, the screen interface unit 101 may include a pointing device such as a pen tablet or a mouse and a display. The screen interface unit 101 may display a cursor on the display and move the cursor in accordance with an input from the pointing device. Then, the screen interface unit 101 may output, to the information reception processing unit 103, two-dimensional coordinates representing the position on the screen designated via the pointing device.

また、ポインティングデバイスとしては、データグローブなどの3次元の空間的情報の入力用の装置が使われてもよい。その場合は、画面インタフェース部101が情報受信処理部103に出力する情報は3次元座標を含み、細分化エリア情報は3次元空間を複数のエリアに細分化する仕方を表し、各エリアは2次元ではなく3次元のエリアである。   As the pointing device, a device for inputting three-dimensional spatial information such as a data glove may be used. In that case, the information output from the screen interface unit 101 to the information reception processing unit 103 includes three-dimensional coordinates, and the subdivision area information represents a method of subdividing the three-dimensional space into a plurality of areas. It is not a three-dimensional area.

(f10)フレーム500に関する変形
図8Aと8Bに示した各種フレームの形式と、“123456789”や“00”などの値は、例示に過ぎない。各種情報は、実施形態に応じたその他の任意の形式の無線通信フレームとして送受信されてもよい。また、図8Aと8Bに例示した2ビットの認証フラグは、データマップ情報によりフレーム500の種別が一意に特定可能な場合は省略されてもよい。 (F10) Modification Regarding Frame 500 The various frame formats shown in FIGS. 8A and 8B and the values such as “123456789” and “00” are merely examples. Various types of information may be transmitted and received as a wireless communication frame of any other format according to the embodiment. Further, the 2-bit authentication flag illustrated in FIGS. 8A and 8B may be omitted when the type of the frame 500 can be uniquely specified by the data map information.

また、第3実施形態に関連して、位置通知のフレームは位置通知511の形式に限らず、位置通知のフレームに位置情報が明示的に含まれていなくてもよいと説明したが、逆に、位置通知のフレームは、車両305の速度を示す速度情報をさらに含んでいてもよい。この場合、路側機201を介して認証サーバ202に速度情報も通知されるので、認証サーバ202は図12のステップS612で速度情報も記憶することができる。   Further, in relation to the third embodiment, it has been described that the position notification frame is not limited to the format of the position notification 511, but the position information frame may not explicitly include the position information. The position notification frame may further include speed information indicating the speed of the vehicle 305. In this case, since the speed information is also notified to the authentication server 202 via the roadside machine 201, the authentication server 202 can also store the speed information in step S612 of FIG.

すると、認証サーバ202はステップS609において、直近に受信した位置通知に含まれていた速度情報に基づいて、車両305が停止していると見なせるか否かを判断することができる。そこで、認証サーバ202は、車両305の位置(あるいは位置の履歴)だけからステップS609の判断を行う代わりに、車両305が停止していると見なせるときに鍵情報を送信するよう、送信タイミングを制御してもよい。   Then, in step S609, the authentication server 202 can determine whether the vehicle 305 can be considered to be stopped based on the speed information included in the most recently received position notification. Therefore, the authentication server 202 controls the transmission timing so that the key information is transmitted when the vehicle 305 can be regarded as stopped, instead of performing the determination in step S609 only from the position (or position history) of the vehicle 305. May be.

(f11)路側機201の配置と車両状態判定部108に関する変形
例えば、高速道路など、信号機が存在しない区間が長い道路においては、路側機201は信号機とは無関係に適宜の間隔で道路沿いに設置されてもよい。その場合も、車両状態判定部108は、路側機201が設置された位置に関する情報を含む地図情報を参照することにより、車載装置100が搭載されている車両305が路側機201の近傍に位置しているか否かを判断することができる。 (F11) Arrangement of roadside device 201 and modification of vehicle state determination unit 108 For example, on a road with a long section where there is no traffic light, such as a highway, the roadside device 201 is installed along the road at an appropriate interval regardless of the traffic light. May be. Also in this case, the vehicle state determination unit 108 refers to the map information including the information regarding the position where the roadside machine 201 is installed, so that the vehicle 305 on which the in-vehicle device 100 is mounted is located in the vicinity of the roadside machine 201. It can be determined whether or not.

また、車両状態判定部108は車両305の状態を判定するのに車速を用いなくてもよい。つまり、実施形態によっては、車両状態判定部108は、路側機201の近傍に車両305が位置しているか否かだけを判定してもよい。   The vehicle state determination unit 108 may not use the vehicle speed to determine the state of the vehicle 305. That is, depending on the embodiment, the vehicle state determination unit 108 may determine only whether or not the vehicle 305 is located in the vicinity of the roadside device 201.

あるいは、外部センサ110が電波受信状態を感知することができる場合、車両状態判定部108は、位置と車速から無線通信路の通信品質を推測する代わりに、電波受信状態から直接的に通信品質を判定してもよい。例えば、外部センサ110が、スペクトラムアナライザを含んでいたり、路側機201との間の通信に使われる特定の周波数の電波の受信強度を感知するセンサを含んでいたりする場合、外部センサ110は電波受信状態を感知することができる。   Alternatively, when the external sensor 110 can detect the radio wave reception state, the vehicle state determination unit 108 determines the communication quality directly from the radio wave reception state instead of estimating the communication quality of the wireless communication path from the position and the vehicle speed. You may judge. For example, when the external sensor 110 includes a spectrum analyzer or includes a sensor that senses the reception intensity of a radio wave having a specific frequency used for communication with the roadside device 201, the external sensor 110 receives the radio wave. The state can be sensed.

(f12)鍵情報受領通知と鍵情報の版管理に関する変形
まれに、「路側機201から送信される鍵情報更新通知のフレームが車載装置100に受信されるにもかかわらず、車載装置100から送信される鍵情報受領通知のフレームを路側機201が受信することができない」という場合が起こりうる。 (F12) Modification related to key information receipt notification and key information version management In rare cases, “the key information update notification frame transmitted from the roadside device 201 is transmitted from the in-vehicle device 100 even though the frame is received by the in-vehicle device 100. The roadside device 201 cannot receive a key information receipt notification frame ”.

そこで、認証サーバ202は、図5のステップS204または図12のステップS604において認証利用版の鍵情報を使って認証に失敗した場合は、最新送信版の鍵情報を使って認証を再度試してもよい。そして、最新送信版の鍵情報を使った認証に成功すれば、認証サーバ202は「パスワードは正しい」と判断してもよい。   Accordingly, if the authentication server 202 fails to authenticate using the key information of the authentication use version in step S204 of FIG. 5 or step S604 of FIG. 12, the authentication server 202 may try authentication again using the key information of the latest transmission version. Good. If the authentication using the latest transmission version key information is successful, the authentication server 202 may determine that the password is correct.

なお、車載装置100と認証サーバ202との間での鍵情報の同期を確実にするために、例えば、認証サーバ202は、最新送信版の鍵情報を使った認証に成功した場合は、図5のステップS211や図12のステップS613と同様の処理を行ってもよい。あるいは、認証サーバ202は、鍵情報更新通知または認証通知兼更新通知の送信後、一定時間が経過しても鍵情報受領通知を受信することができなければ、最新送信版の鍵情報を再度車載装置100に送信してもよい。   In order to ensure the synchronization of the key information between the in-vehicle device 100 and the authentication server 202, for example, the authentication server 202, when succeeding in the authentication using the key information of the latest transmission version, FIG. The same processing as step S211 of FIG. 12 or step S613 of FIG. 12 may be performed. Alternatively, if the authentication server 202 cannot receive the key information receipt notification after the key information update notification or the authentication notification / update notification is transmitted even after a certain period of time has elapsed, the authentication server 202 re-installs the latest transmission version of the key information on the vehicle. You may transmit to the apparatus 100.

(f13)認証処理において用いられる情報に関する変形
図8Aと8Bに例示した各種フレームのヘッダには、車載装置IDが指定されている。しかし、実施形態に応じて、車載装置IDの代わりに、あるいは車載装置IDとともに、ユーザID、車両ID、またはその双方がフレームに含まれていてもよい。 (F13) Modification regarding information used in authentication processing In-vehicle device IDs are specified in the headers of various frames illustrated in FIGS. 8A and 8B. However, depending on the embodiment, the user ID, the vehicle ID, or both may be included in the frame instead of the in-vehicle device ID or together with the in-vehicle device ID.

ユーザと車載装置100と車両305は、実施形態によって1対1対1に対応することもあるし、n対1対1など、それ以外の対応関係の場合もある。ユーザと車載装置100と車両305の対応関係に応じて、適宜のIDが認証対象のアカウントの識別のために利用可能である。   The user, the in-vehicle device 100, and the vehicle 305 may correspond one-to-one on a one-to-one basis depending on the embodiment, or may have other correspondence relationships such as n-to-one one-to-one. Depending on the correspondence between the user, the in-vehicle device 100, and the vehicle 305, an appropriate ID can be used for identifying the account to be authenticated.

つまり、画面インタフェース部101は、必要に応じて、ユーザからユーザIDの入力をさらに受け付けてもよい。また、格納部105は、必要に応じて、車載装置100が搭載される車両305に予め割り当てられている車両IDを格納していてもよい。   That is, the screen interface unit 101 may further accept an input of a user ID from the user as necessary. Further, the storage unit 105 may store a vehicle ID assigned in advance to the vehicle 305 on which the in-vehicle device 100 is mounted, as necessary.

(f14)装置の種類に関する変形
車載装置100は、例えばカーナビゲーション装置を兼ねていてもよい。その場合、格納部105が格納する地図情報は、カーナビゲーション装置で使われる既存の地図情報であってよい。また、図1では車載装置100の外部に外部センサ110があるが、もちろん、実施形態によっては、車載装置100が外部センサ110を含んでいてもよい。 (F14) Modification regarding type of device The in-vehicle device 100 may also serve as a car navigation device, for example. In that case, the map information stored in the storage unit 105 may be existing map information used in the car navigation device. In FIG. 1, the external sensor 110 is provided outside the in-vehicle device 100, but of course, the in-vehicle device 100 may include the external sensor 110 depending on the embodiment.

また、上記の各種実施形態に関して、車載装置100における鍵情報の更新について詳細に説明したが、車載装置100以外の装置に上記の各種実施形態を適用することもできる。例えば、認証をともなう何らかのサービスを受けようとする携帯端末装置は、上記の実施形態における車載装置100と同様にして、認証の前に予め新たな鍵情報を取得することで認証にかかる時間を短縮することができる。なお、その場合、携帯端末装置は、鍵情報更新要求または認証要求兼更新要求を送信するタイミングを決めるのに、地図情報と移動速度から通信品質を推測する代わりに、受信電波強度から直接的に通信品質を判断すればよい。   Further, regarding the various embodiments described above, the update of the key information in the in-vehicle device 100 has been described in detail. However, the various embodiments described above can also be applied to devices other than the in-vehicle device 100. For example, a mobile terminal device that wants to receive some service with authentication shortens the time required for authentication by acquiring new key information in advance before authentication in the same manner as the in-vehicle device 100 in the above embodiment. can do. In this case, the mobile terminal device determines the transmission timing of the key information update request or the authentication request / update request directly from the received signal strength instead of estimating the communication quality from the map information and the moving speed. What is necessary is just to judge communication quality.

また、他の装置と有線接続される有線端末装置に対しても、上記の各種実施形態を適用することができる。その場合も、認証時に認証サーバとの間で2往復の通信が生じるのではなく1往復の通信で済む分だけ、時間短縮の効果が得られる。   Also, the above-described various embodiments can be applied to a wired terminal device connected by wire to another device. In this case as well, the time reduction effect can be obtained by the amount required for one round-trip communication rather than two round-trip communications with the authentication server during authentication.

(f15)認証の結果通知を契機とする車載装置100の動作に関する変形
認証通知、拒否通知、または認証通知兼更新通知を受信したとき、車載装置100は、さらに、何らかの処理を行ってもよい。例えば、サービスを受けるためのクライアントが、認証の成否を外部から受け取る仕様になっている場合、情報受信処理部103は、認証通知、拒否通知、または認証通知兼更新通知の受信を契機として、認証の成否をクライアントに通知してもよい。あるいは、情報受信処理部103は、認証通知または認証通知兼更新通知の受信を契機として、サービスを受けるためのクライアントを起動してもよい。 (F15) Modification regarding operation of in-vehicle device 100 triggered by notification of authentication result When receiving an authentication notification, a rejection notification, or an authentication notification / update notification, the in-vehicle device 100 may further perform some processing. For example, when the client for receiving the service is configured to receive authentication success / failure from the outside, the information reception processing unit 103 performs authentication upon receiving the authentication notification, the rejection notification, or the authentication notification / update notification. The client may be notified of success or failure. Alternatively, the information reception processing unit 103 may activate a client for receiving a service when receiving an authentication notification or an authentication notification / update notification.

以上、(f1)〜(f15)の観点から様々な変形を例示したが、いずれにしろ、車載装置100がユーザからの入力を受け付けた段階では既に、まだ認証用情報の生成に用いていない新たな鍵情報が格納部105に格納されている。よって、車載装置100は、ユーザからの入力を受け付けてから改めて鍵情報の更新を行う必要なしに、すぐさま認証用情報を生成することができる。なお、例えば車載装置100の製造時に製造工場において格納部105に初回用の鍵情報を格納することで、ユーザが車載装置100の購入後に初めて認証を行う場合にも、「未使用の鍵情報が格納部105に格納されている」という条件を成立させることができる。   As described above, various modifications have been exemplified from the viewpoints of (f1) to (f15). However, anyway, new ones that have not yet been used for generating authentication information when the in-vehicle device 100 accepts an input from the user. Key information is stored in the storage unit 105. Therefore, the in-vehicle device 100 can immediately generate the authentication information without having to update the key information again after receiving the input from the user. Even when the user authenticates for the first time after purchasing the in-vehicle device 100 by storing the key information for the first time in the storage unit 105 at the manufacturing factory when the in-vehicle device 100 is manufactured, for example, The condition “stored in the storage unit 105” can be established.

したがって、上記の各種の実施形態によれば、ユーザからの入力の受け付けから認証の完了までの時間が短くて済む。このように短時間で認証が終了すると、車両305あるいはそこに搭載されている機器は、車両305のエンジン始動からできるだけすぐに交通管制サーバ203からのサービスの提供が受けられるようになる。そのため、エンジン始動からサービス開始までの時間が短いほど好ましいITSシステムにとって、上記の各種の実施形態による鍵情報の更新と認証は有益である。   Therefore, according to the various embodiments described above, the time from the reception of the input from the user to the completion of the authentication can be shortened. When the authentication is completed in such a short time, the vehicle 305 or the device mounted on the vehicle 305 can receive service from the traffic control server 203 as soon as the engine of the vehicle 305 is started. Therefore, for the ITS system that is preferable as the time from the engine start to the service start is shorter, the update and authentication of the key information according to the various embodiments described above is beneficial.

また、上記の各種の実施形態によれば認証のたびに異なる鍵情報が使われ、認証サーバ202に送られる認証用情報も認証のたびに異なる。認証用情報が認証のたびに異なることは、無線通信を介した認証を行う車載装置100にとって、セキュリティ強度の向上のために有益である。   Further, according to the various embodiments described above, different key information is used for each authentication, and the authentication information sent to the authentication server 202 is also different for each authentication. The fact that the authentication information is different for each authentication is beneficial for the in-vehicle device 100 that performs authentication via wireless communication in order to improve the security strength.

最後に、上記の種々の実施形態に関して、さらに下記の付記を開示する。
(付記1)
コンピュータに、
ユーザからの入力から得られる第1の情報を記憶する第1の記憶ステップと、
前記第1の情報と、予め記憶装置に記憶されている第2の情報とを用いて、認証用の第3の情報を生成する第1の生成ステップと、
無線通信により前記第3の情報を送信する第1の送信ステップと、
前記第2の情報の更新を要求する更新要求を生成する第2の生成ステップと、
前記コンピュータを搭載した車両の状態に基づいたタイミングで前記無線通信により前記更新要求を送信する第2の送信ステップと、
前記更新要求に応じて前記無線通信により送信される新たな第2の情報を受信する受信ステップと、
受信した前記新たな第2の情報を前記記憶装置に記憶する第2の記憶ステップと、
を実行させるプログラム。
(付記2)
前記第2の送信ステップは、
前記車両が信号機から所定の範囲内で停止していると見なせる停止状態のときに前記更新要求を送信するよう、前記タイミングを決定する決定ステップを含む
ことを特徴とする付記1に記載のプログラム。
(付記3)
前記第1の情報は、
前記ユーザからの入力が描く軌跡の形状、
時間の経過にともなう前記軌跡の変化、または
空間内の複数の位置が前記ユーザからの入力により指定される順序、間隔、もしくは前記順序と前記間隔の組み合わせ
を示し、
前記第2の情報は、
前記ユーザからの入力がなされる入力領域を第1の個数の分割領域に分割する第1のパターンに対応する前記第1の個数のランダムな値、
前記入力領域を第2の個数の分割領域に分割する第2のパターン、または
前記入力領域を第3の個数の分割領域に分割する第3のパターンと前記第3のパターンに対応する前記第3の個数のランダムな値との組み合わせ
を示す
ことを特徴とする付記1または2に記載のプログラム。
(付記4)
前記第2の送信ステップが前記第1の送信ステップを兼ねており、前記第3の情報が前記更新要求とともに送信される
ことを特徴とする付記1から3のいずれか1項に記載のプログラム。
(付記5)
車載装置であって、
ユーザからの入力から得られる第1の情報を記憶する第1の記憶手段と、
第2の情報を記憶する第2の記憶手段と、
前記第1の情報と前記第2の情報を用いて、認証用の第3の情報を生成する第1の生成手段と、
第2の情報の更新を要求する更新要求を生成する第2の生成手段と、
無線通信により前記第3の情報を送信し、前記車載装置を搭載した車両の状態に基づいたタイミングで前記無線通信により前記更新要求を送信する送信手段と、
前記更新要求に応じて前記無線通信により送信される新たな第2の情報を受信する受信手段とを備え、
前記受信手段が受信した前記新たな第2の情報を前記第2の記憶手段に記憶する
ことを特徴とする車載装置。
(付記6)
コンピュータに、
車両に搭載された車載装置から前記車両の位置を示す位置情報を受信する第1の受信ステップと、
複数の送信機にそれぞれ対応する複数の範囲のいずれかに前記車両の前記位置が含まれるか否かを、前記位置情報に基づいて判断する第1の判断ステップと、
前記車両の前記位置が前記複数の範囲のいずれかに含まれると判断した場合に、前記複数の送信機のうち、前記車両の前記位置を含むと判断された当該範囲に対応する送信機を送信先として選択し、前記送信先の前記送信機に対して、前記車載装置が認証用情報を生成するのに用いる情報である鍵情報を送信する送信ステップと、
を実行させるプログラム。
(付記7)
前記車両の速度を示す速度を前記車載装置から受信する第2の受信ステップと、
前記速度情報に基づいて、前記車両が停止していると見なせるか否かを判断する第2の判断ステップ
をさらに前記コンピュータに実行させ、
前記車両が停止していると見なせると判断された場合に、前記送信ステップにおいて前記送信先への前記鍵情報の送信を前記コンピュータに行わせる
ことを特徴とする付記6に記載のプログラム。
(付記8)
前記鍵情報は、
前記車載装置が前記認証用情報を生成するのに前記鍵情報とともに利用する空間的情報が入力される入力領域を第1の個数の分割領域に分割する第1のパターンに対応する前記第1の個数のランダムな値、
前記入力領域を第2の個数の分割領域に分割する第2のパターン、または
前記入力領域を第3の個数の分割領域に分割する第3のパターンと前記第3のパターンに対応する前記第3の個数のランダムな値との組み合わせ
を示す
ことを特徴とする付記6または7に記載のプログラム。
(付記9)
車両に搭載された車載装置から前記車両の位置を示す位置情報を受信する受信手段と、
複数の送信機にそれぞれ対応する複数の範囲のいずれかに前記車両の前記位置が含まれるか否かを、前記位置情報に基づいて判断する判断手段と、
前記車両の前記位置が前記複数の範囲のいずれかに含まれると前記判断手段が判断した場合に、前記複数の送信機のうち前記車両の前記位置を含むと判断された当該範囲に対応する送信機に対して、前記車載装置が認証用情報を生成するのに用いる情報である鍵情報を送信する送信手段と、
を備えることを特徴とする情報処理装置。 Finally, the following additional notes are disclosed regarding the various embodiments described above.
(Appendix 1)
On the computer,
A first storage step for storing first information obtained from input from a user;
A first generation step of generating third information for authentication using the first information and the second information stored in advance in a storage device;
A first transmission step of transmitting the third information by wireless communication;
A second generation step of generating an update request for requesting an update of the second information;
A second transmission step of transmitting the update request by wireless communication at a timing based on a state of a vehicle equipped with the computer;
A receiving step of receiving new second information transmitted by the wireless communication in response to the update request;
A second storage step of storing the received new second information in the storage device;
A program that executes
(Appendix 2)
The second transmission step includes
The program according to claim 1, further comprising a determination step of determining the timing so that the update request is transmitted when the vehicle is in a stop state in which it can be considered that the vehicle is stopped within a predetermined range from the traffic light.
(Appendix 3)
The first information is:
The shape of the trajectory drawn by the input from the user,
A change in the trajectory over time, or an order in which a plurality of positions in space are specified by input from the user, an interval, or a combination of the order and the interval;
The second information is:
The first number of random values corresponding to a first pattern that divides the input area into which the input from the user is made into a first number of divided areas;
A second pattern for dividing the input area into a second number of divided areas, or a third pattern for dividing the input area into a third number of divided areas and the third pattern corresponding to the third pattern. The program according to appendix 1 or 2, wherein a combination of a random number and a random value is indicated.
(Appendix 4)
The program according to any one of appendices 1 to 3, wherein the second transmission step also serves as the first transmission step, and the third information is transmitted together with the update request.
(Appendix 5)
An in-vehicle device,
First storage means for storing first information obtained from input from a user;
Second storage means for storing second information;
First generation means for generating third information for authentication using the first information and the second information;
Second generation means for generating an update request for requesting update of the second information;
Transmitting means for transmitting the third information by wireless communication and transmitting the update request by wireless communication at a timing based on a state of a vehicle on which the in-vehicle device is mounted;
Receiving means for receiving new second information transmitted by the wireless communication in response to the update request,
The in-vehicle apparatus, wherein the new second information received by the receiving unit is stored in the second storage unit.
(Appendix 6)
On the computer,
A first receiving step of receiving position information indicating the position of the vehicle from an in-vehicle device mounted on the vehicle;
A first determination step of determining whether or not the position of the vehicle is included in any of a plurality of ranges corresponding to a plurality of transmitters based on the position information;
When it is determined that the position of the vehicle is included in any of the plurality of ranges, a transmitter corresponding to the range determined to include the position of the vehicle is transmitted from the plurality of transmitters. A transmission step of selecting as a destination and transmitting key information, which is information used by the in-vehicle device to generate authentication information, to the transmitter of the transmission destination;
A program that executes
(Appendix 7)
A second receiving step of receiving a speed indicating the speed of the vehicle from the in-vehicle device;
Based on the speed information, causing the computer to further execute a second determination step of determining whether or not the vehicle can be regarded as stopped.
The program according to appendix 6, wherein the computer is caused to transmit the key information to the transmission destination in the transmission step when it is determined that the vehicle is stopped.
(Appendix 8)
The key information is
The first pattern corresponding to a first pattern that divides an input area into which a spatial information used together with the key information to generate the authentication information is divided into a first number of divided areas. Random number of pieces,
A second pattern for dividing the input area into a second number of divided areas, or a third pattern for dividing the input area into a third number of divided areas and the third pattern corresponding to the third pattern. The program according to appendix 6 or 7, characterized by indicating a combination of the number of random values.
(Appendix 9)
Receiving means for receiving position information indicating the position of the vehicle from an in-vehicle device mounted on the vehicle;
Determining means for determining whether or not the position of the vehicle is included in any of a plurality of ranges corresponding to a plurality of transmitters based on the position information;
A transmission corresponding to the range determined to include the position of the vehicle among the plurality of transmitters when the determination unit determines that the position of the vehicle is included in any of the plurality of ranges. Transmitting means for transmitting key information, which is information used by the in-vehicle device to generate authentication information, to the machine;
An information processing apparatus comprising:

100 車載装置
101 画面インタフェース部
102 上位機器インタフェース部
103 情報受信処理部
104 情報送信処理部
105 格納部
106 画面エリア判定部
107 画面乱数処理部
108 車両状態判定部
110 外部センサ
200 システム
201a〜201k 路側機
202 認証サーバ
203 交通管制サーバ
204 ネットワーク
301a〜301g 道路
302a〜302f 交差点
303a〜303k 信号機
304 駐車場
305 車両
401 鍵情報
402、404、406 画面と鍵情報の対応づけ
403、405、407 軌跡
500 フレーム
501 認証要求
502 認証通知
503 拒否通知
504 鍵情報更新要求
505 鍵情報更新通知
506 鍵情報受領通知
507、508 サービス中通信
509 認証要求兼更新要求
510 認証通知兼更新通知
511 位置通知
600 コンピュータ
601 CPU
602 ROM
603 RAM
604 通信インタフェース
605 入力装置
606 出力装置
607 記憶装置
608 駆動装置
609 バス
610 可搬型記憶媒体
611 プログラム提供者 DESCRIPTION OF SYMBOLS 100 In-vehicle apparatus 101 Screen interface part 102 Host apparatus interface part 103 Information reception process part 104 Information transmission process part 105 Storage part 106 Screen area determination part 107 Screen random number process part 108 Vehicle state determination part 110 External sensor 200 System 201a-201k Roadside machine 202 Authentication server 203 Traffic control server 204 Network 301a to 301g Road 302a to 302f Intersection 303a to 303k Traffic light 304 Parking lot 305 Vehicle 401 Key information 402, 404, 406 Correspondence between screen and key information 403, 405, 407 Trajectory 500 Frame 501 Authentication request 502 Authentication notification 503 Rejection notification 504 Key information update request 505 Key information update notification 506 Key information receipt notification 507, 508 Communication in service 509 Authentication request Update request 510 authentication notification and update notification 511 position notification 600 computer 601 CPU
602 ROM
603 RAM
604 Communication interface 605 Input device 606 Output device 607 Storage device 608 Drive device 609 Bus 610 Portable storage medium 611 Program provider

Claims (6)

コンピュータに、
ユーザからの入力から得られる第1の情報を記憶する第1の記憶ステップと、
前記第1の情報と、予め記憶装置に記憶されている第2の情報とを用いて、認証用の第3の情報を生成する第1の生成ステップと、
無線通信により前記第3の情報を送信する第1の送信ステップと、
前記第2の情報の更新を要求する更新要求を生成する第2の生成ステップと、
前記コンピュータを搭載した車両の状態に基づいたタイミングで前記無線通信により前記更新要求を送信する第2の送信ステップと、
前記更新要求に応じて前記無線通信により送信される新たな第2の情報を受信する受信ステップと、
受信した前記新たな第2の情報を前記記憶装置に記憶する第2の記憶ステップと、
を実行させるプログラム。 On the computer,
A first storage step for storing first information obtained from input from a user;
A first generation step of generating third information for authentication using the first information and the second information stored in advance in a storage device;
A first transmission step of transmitting the third information by wireless communication;
A second generation step of generating an update request for requesting an update of the second information;
A second transmission step of transmitting the update request by wireless communication at a timing based on a state of a vehicle equipped with the computer;
A receiving step of receiving new second information transmitted by the wireless communication in response to the update request;
A second storage step of storing the received new second information in the storage device;
A program that executes 前記第2の送信ステップは、
前記車両が信号機から所定の範囲内で停止していると見なせる停止状態のときに前記更新要求を送信するよう、前記タイミングを決定する決定ステップを含む
ことを特徴とする請求項1に記載のプログラム。 The second transmission step includes
2. The program according to claim 1, further comprising a determination step of determining the timing so that the update request is transmitted when the vehicle is in a stop state in which it can be considered that the vehicle is stopped within a predetermined range from the traffic light. . 前記第1の情報は、
前記ユーザからの入力が描く軌跡の形状、
時間の経過にともなう前記軌跡の変化、または
空間内の複数の位置が前記ユーザからの入力により指定される順序、間隔、もしくは前記順序と前記間隔の組み合わせ
を示し、
前記第2の情報は、
前記ユーザからの入力がなされる入力領域を第1の個数の分割領域に分割する第1のパターンに対応する前記第1の個数のランダムな値、
前記入力領域を第2の個数の分割領域に分割する第2のパターン、または
前記入力領域を第3の個数の分割領域に分割する第3のパターンと前記第3のパターンに対応する前記第3の個数のランダムな値との組み合わせ
を示す
ことを特徴とする請求項1または2に記載のプログラム。 The first information is:
The shape of the trajectory drawn by the input from the user,
A change in the trajectory over time, or an order in which a plurality of positions in space are specified by input from the user, an interval, or a combination of the order and the interval;
The second information is:
The first number of random values corresponding to a first pattern that divides the input area into which the input from the user is made into a first number of divided areas;
A second pattern for dividing the input area into a second number of divided areas, or a third pattern for dividing the input area into a third number of divided areas and the third pattern corresponding to the third pattern. The program according to claim 1, wherein a combination of a random number and a random value is indicated. 前記第2の送信ステップが前記第1の送信ステップを兼ねており、前記第3の情報が前記更新要求とともに送信される
ことを特徴とする請求項1から3のいずれか1項に記載のプログラム。 The program according to any one of claims 1 to 3, wherein the second transmission step also serves as the first transmission step, and the third information is transmitted together with the update request. . 車載装置であって、
ユーザからの入力から得られる第1の情報を記憶する第1の記憶手段と、
第2の情報を記憶する第2の記憶手段と、
前記第1の情報と前記第2の情報を用いて、認証用の第3の情報を生成する第1の生成手段と、
第2の情報の更新を要求する更新要求を生成する第2の生成手段と、
無線通信により前記第3の情報を送信し、前記車載装置を搭載した車両の状態に基づいたタイミングで前記無線通信により前記更新要求を送信する送信手段と、
前記更新要求に応じて前記無線通信により送信される新たな第2の情報を受信する受信手段とを備え、
前記受信手段が受信した前記新たな第2の情報を前記第2の記憶手段に記憶する
ことを特徴とする車載装置。 An in-vehicle device,
First storage means for storing first information obtained from input from a user;
Second storage means for storing second information;
First generation means for generating third information for authentication using the first information and the second information;
Second generation means for generating an update request for requesting update of the second information;
Transmitting means for transmitting the third information by wireless communication and transmitting the update request by wireless communication at a timing based on a state of a vehicle on which the in-vehicle device is mounted;
Receiving means for receiving new second information transmitted by the wireless communication in response to the update request,
The in-vehicle apparatus, wherein the new second information received by the receiving unit is stored in the second storage unit. 車両に搭載された車載装置から前記車両の位置を示す位置情報を受信する受信手段と、
複数の送信機にそれぞれ対応する複数の範囲のいずれかに前記車両の前記位置が含まれるか否かを、前記位置情報に基づいて判断する判断手段と、
前記車両の前記位置が前記複数の範囲のいずれかに含まれると前記判断手段が判断した場合に、前記複数の送信機のうち前記車両の前記位置を含むと判断された当該範囲に対応する送信機に対して、前記車載装置が認証用情報を生成するのに用いる情報である鍵情報を送信する送信手段と、
を備えることを特徴とする情報処理装置。 Receiving means for receiving position information indicating the position of the vehicle from an in-vehicle device mounted on the vehicle;
Determining means for determining whether or not the position of the vehicle is included in any of a plurality of ranges corresponding to a plurality of transmitters based on the position information;
A transmission corresponding to the range determined to include the position of the vehicle among the plurality of transmitters when the determination unit determines that the position of the vehicle is included in any of the plurality of ranges. Transmitting means for transmitting key information, which is information used by the in-vehicle device to generate authentication information, to the machine;
An information processing apparatus comprising:
JP2010023805A 2010-02-05 2010-02-05 Program, in-vehicle device, and information processing device Expired - Fee Related JP5413225B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010023805A JP5413225B2 (en) 2010-02-05 2010-02-05 Program, in-vehicle device, and information processing device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010023805A JP5413225B2 (en) 2010-02-05 2010-02-05 Program, in-vehicle device, and information processing device

Publications (2)

Publication Number Publication Date
JP2011164729A JP2011164729A (en) 2011-08-25
JP5413225B2 true JP5413225B2 (en) 2014-02-12

Family

ID=44595374

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010023805A Expired - Fee Related JP5413225B2 (en) 2010-02-05 2010-02-05 Program, in-vehicle device, and information processing device

Country Status (1)

Country Link
JP (1) JP5413225B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022133018A3 (en) * 2020-12-16 2022-08-11 NAD Grid Corp. Methods and systems for facilitating charging sessions for electric vehicles, with improved user interface operation modes

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5958535B2 (en) * 2012-05-29 2016-08-02 トヨタ自動車株式会社 Authentication system and authentication method
CN104570965A (en) * 2013-10-15 2015-04-29 上海申铁信息工程有限公司 Safety production operation control system for railway communication segment
JP6364611B2 (en) * 2014-04-02 2018-08-01 パナソニックIpマネジメント株式会社 Radio communication apparatus and control method for control station of radio communication apparatus
US11146401B2 (en) * 2016-08-10 2021-10-12 Ford Global Technologies, Llc Software authentication before software update
JP7163813B2 (en) * 2019-02-18 2022-11-01 日本電気株式会社 Key management system, key management method and program

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002133481A (en) * 2000-10-20 2002-05-10 Matsushita Electric Ind Co Ltd On-vehicle communication device between road and vehicle
JP2004350054A (en) * 2003-05-22 2004-12-09 Casio Comput Co Ltd Network connection system, terminal equipment used for the system, and network connection method
WO2006031212A1 (en) * 2004-09-09 2006-03-23 Authernative, Inc. Authentication system and method based upon random partial digitized path recognition
GB2434472A (en) * 2005-12-01 2007-07-25 Jonathan Geoffrey Milt Craymer Verification using one-time transaction codes
JP2010011188A (en) * 2008-06-27 2010-01-14 Mitsubishi Electric Corp Network diversity system, diversity device, and handover method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022133018A3 (en) * 2020-12-16 2022-08-11 NAD Grid Corp. Methods and systems for facilitating charging sessions for electric vehicles, with improved user interface operation modes

Also Published As

Publication number Publication date
JP2011164729A (en) 2011-08-25

Similar Documents

Publication Publication Date Title
JP5413225B2 (en) Program, in-vehicle device, and information processing device
Pan et al. Divert: A distributed vehicular traffic re-routing system for congestion avoidance
Zeadally et al. Vehicular ad hoc networks (VANETS): status, results, and challenges
CN106427828B (en) Method and apparatus for plug-in type wireless security device
Bhoi et al. Vehicular communication: a survey
Ros et al. A survey on modeling and simulation of vehicular networks: Communications, mobility, and tools
Sun et al. Mix-zones optimal deployment for protecting location privacy in VANET
Tanuja et al. A survey on VANET technologies
CN107580048A (en) A kind of VANETs location privacy protection system and methods based on virtual Mix zone
US11386778B2 (en) Road user detecting and communication device and method
Alodadi et al. Cooperative volunteer protocol to detect non-line of sight nodes in vehicular ad hoc networks
Bitam et al. Bio-inspired routing protocols for vehicular ad-hoc networks
CN104010302A (en) Vehicle-mounted self-organizing network traffic data trust evaluation method
Vaas et al. Get in line: Ongoing co-presence verification of a vehicle formation based on driving trajectories
Upadhyay et al. An enhanced hybrid glowworm swarm optimization algorithm for traffic-aware vehicular networks
Arvind Narayan et al. Secured congestion control in VANET using greedy perimeter stateless routing (GPSR)
Jeong et al. Survey on protocols and applications for vehicular sensor networks
Sharma et al. Cognitive radio adhoc vehicular network (CRAVENET): Architecture, applications, security requirements and challenges
TW201540098A (en) Beacon signal reception system, storage device, terminal device, and beacon signal reception method
Santa et al. Comprehensive vehicular networking platform for V2I and V2V communications within the walkie-talkie project
Kaviarasan et al. Localizing non‐line‐of‐sight nodes in Vehicluar Adhoc Networks using gray wolf methodology
Younis et al. Dynamic road management in the era of cav
Nayak High Speed Vehicle Detection in Vehicular Ad-hoc Network
Jeyaram et al. Message propagation in vehicular ad hoc networks: a review
Mistareehi Message dissemination scheme for rural areas using VANET (Hardware Implementation)

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20121005

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131009

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131015

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131028

R150 Certificate of patent or registration of utility model

Ref document number: 5413225

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees