攻击检测系统以及攻击检测方法与流程

本发明涉及攻击检测系统，特别涉及检测基于针对车辆发送的交通信息进行的攻击的攻击检测系统。

背景技术：

近年来，使车辆具备通信功能并根据从其它车辆、路侧设备发送的信息来进行驾驶支援、自动驾驶的系统得到了研究和开发。在从外部发送的信息不正确的情况下，如果根据该信息进行控制，则存在对交通引起混乱的可能性。例如，设想通过向周围发送实际不存在的车辆存在这样的信息而阻碍正常的交通这样的攻击。因此，期望验证从外部发送的信息的合理性。

在专利文献1中，公开了如下内容：从车载系统中的发送ECU和接收ECU这双方接收验证消息，并确认这些验证消息是否一致，由此检测针对车载系统的攻击。

在专利文献2中，公开了如下内容：根据各程序的访问权限等级和各信息的访问许可等级，限制伴随程序的执行而发生的向车辆网络的信息的访问。

在专利文献3中，公开了在分析网络攻击日志来得到了未登记的攻击模式的情况下，进行该攻击模式的登记以及程序的更新的非法访问解析系统。在专利文献3的技术中，使用专利文献1、2的手法来解析攻击模式，并登记所解析出的攻击模式，由此能够检测针对车辆的攻击。

但是，专利文献1是考虑了车辆系统内部的通信的攻击检测技术，专利文献2是从外部装置针对车辆内部的访问中的攻击检测技术。不论是哪一个，都无法检测从外部发送的信息是否正确。

作为验证所发送的信息的合理性的技术而存在电子署名，但这只能检测出发送的信息未被窜改以及未发生发送者的冒充，而无法验证所发送的信息本身正确。

专利文献1：日本特开2014-138380号公报

专利文献2：日本特开2014-168219号公报

专利文献3：日本特开2010-250607号公报

技术实现要素：

考虑上述那样的问题，本发明的目的在于，提供一种在车辆从外部通过通信接收信息的系统中能够检测利用该通信进行的攻击的技术。

为了达成上述目的，在本发明中，比较车辆通过无线通信接收的交通信息和车辆从传感器取得的传感器信息，在交通信息与传感器信息之间有矛盾的情况下，判断为该交通信息是不合理的信息。

交通信息是与交通关联的任意的信息，作为一个例子，包括车辆的位置/移动速度/移动方向等与车辆有关的信息、与信号灯有关的信息、与道路上的障碍物有关的信息、与拥堵有关的信息、与路面状况有关的信息等。

例如，在交通信息中示出在某个位置存在车辆的情况下，有时从传感器信息示出在该位置什么也没有。在这样的情况下，交通信息和传感器信息矛盾，交通信息是不合理的信息的可能性高。此处举出的车辆的位置仅为一个例子。只要交通信息是根据传感器信息生成的信息，就能够使用传感器信息来验证其正确性。

本发明的一个方式是包括能够相互无线通信的服务器装置和多个车辆的攻击检测系统。所述多个车辆中的各个车辆具备：传感器；传感器信息取得单元，从所述传感器取得传感器信息；交通信息接收单元，通过无线通信接收交通信息；和发送单元，将所述传感器信息以及所述交通信息发送到所述服务器装置。所述服务器装置具备：接收单元，从所述多个车辆中的至少某一个车辆接收所述传感器信息以及所述交通信息；验证单元，验证在所述传感器信息与所述交通信息之间是否有矛盾；和通知单元，在所述传感器信息与所述交通信息之间有矛盾的情况下，通知给所述多个车辆中的至少某一个车辆。此处，比较的交通信息和传感器信息既可以是通过同一车辆取得的信息，也可以是通过不同的车辆取得的信息。

这样，通过将车辆取得的交通信息以及传感器信息发送到服务器装置，并在服务器装置中进行解析，从而能够检测使用了交通信息的攻击。

在本方式中，所述通知单元对所述多个车辆中的至少某一个车辆通知表示在与传感器信息之间有矛盾的交通信息的特征的签名信息，所述多个车辆中的各个车辆具有存储从所述服务器装置接收的签名信息的存储单元，不信任与从所述通知单元被通知到的签名信息一致的交通信息。

根据这样的结构，能够在各个车辆中检测服务器装置检测到的攻击。

签名信息是表示交通信息的特征的信息。例如，在交通信息中包括该交通信息的发送者的标识符的情况下，作为签名信息，能够使用该交通信息的发送者的标识符。

另外，在本方式中，以下也是优选的：在所述交通信息中包括在道路上存在的物体的位置，所述验证单元在能够根据所述传感器信息推测在通过所述交通信息示出的物体的位置不存在该物体的情况下，判断为在所述传感器信息与所述交通信息之间有矛盾。此处，在道路上存在的物体包括车辆、障碍物等。在交通信息的发送者是车辆的情况下，表示发送者车辆的位置的信息相当于交通信息，发送者车辆本身相当于在道路上存在的物体。

例如，能够通过摄像机(可见光摄像机、红外摄像机)、雷达(毫米波雷达、准毫米波雷达、近红外线激光雷达)、超声波声纳，检测在道路上存在的物体的有无、位置。因此，在无法根据这些传感器信息确认在通过交通信息示出的位置存在物体的情况下，能够判断为该交通信息与传感器信息矛盾。另外，即使在交通信息示出的位置存在任意物体的情况下，在能够根据传感器信息掌握存在与通过交通信息示出的种类的物体(例如车辆)不同的物体的情况下，能够判断为该交通信息与传感器信息矛盾。

在本方式中，还能够如下：在所述交通信息中还包括所述物体的移动速度以及移动方向中的至少某一个，所述验证单元在能够根据所述传感器信息推测在通过所述交通信息示出的物体的位置存在的物体的移动速度或者移动方向与通过所述交通信息示出的所述移动速度或者所述移动方向不一致的情况下，判断为在所述传感器信息与所述交通信息之间有矛盾。

在本方式中，还能够如下：在所述交通信息中包括与道路的状况有关的信息，所述验证单元在通过所述交通信息示出的道路的状况和从所述传感器信息得到的道路的状况不一致的情况下，判断为在所述传感器信息与所述交通信息之间有矛盾。在道路的状况中，包括有无拥堵、有无道路工事、行车道限制、结冰等路面状况。

本发明的第2方式是攻击检测系统，该攻击检测系统具备：第1取得单元，取得从车辆具备的传感器取得的传感器信息；第2取得单元，取得车辆通过无线通信接收到的交通信息；和验证单元，验证在传感器信息与交通信息之间是否有矛盾。

本方式的攻击检测系统只要能够取得传感器信息和交通信息，则其结构、取得方法没有特别限定。例如，攻击检测系统的上述各单元设置于与车辆不同的装置，能够从车辆通过无线通信取得传感器信息、交通信息。或者，攻击检测系统的上述各单元设置于车辆，能够从搭载于车辆的传感器、无线通信装置取得传感器信息、交通信息。

本发明的第3方式是车辆，该车辆具备：传感器；传感器信息取得单元，从所述传感器取得传感器信息；交通信息接收单元，通过无线通信接收交通信息；发送单元，将所述传感器信息以及所述交通信息发送到所述服务器装置；和验证单元，验证在所述传感器信息与所述交通信息之间是否有矛盾。

根据本方式，车辆根据自身的传感器信息，检测交通信息是否正确。

在本方式中，优选为还具备通知单元，该通知单元将表示由所述验证单元判断为与传感器信息矛盾的交通信息的特征的签名信息发送到周围的车辆或者服务器装置。

根据这样的结构，能够对周围的车辆直接或者经由服务器装置通知不合理的交通信息的存在。

另外，本发明能够看作具备上述单元中的至少一部分的攻击检测系统、车辆、或者服务器装置。另外，本发明还能够看作执行上述单元进行的处理中的至少一部分的方法。另外，本发明还能够看作用于使计算机执行该方法的计算机程序、或者非临时地存储了该计算机程序的计算机可读取的存储介质。上述单元以及处理的各个能够尽可能相互组合而构成本发明。

根据本发明，在车辆从外部接收信息的系统中，能够检测利用该通信的攻击。

附图说明

图1是示出第1实施方式的系统概要的图。

图2A是车辆的功能框图，图2B是服务器装置的功能框图。

图3A是示出交通信息的消息格式的图，图3B是示出传感器信息的消息格式的图。

图4是示出第1实施方式中的车辆的动作的流程图。

图5是示出第1实施方式中的车辆中的交通信息验证处理的流程图。

图6是示出第1实施方式中的服务器装置中的交通信息验证处理的流程图。

图7是示出第2实施方式的系统概要的图。

图8是示出第2实施方式中的车辆中的交通信息验证处理的流程图。

图9是示出第3实施方式的系统概要的图。

图10A是说明针对车与车间通信系统的攻击的图，图10B是说明该攻击的检测方法的图。

具体实施方式

(系统概要)

自动驾驶车辆使用从自身具有的传感器得到的传感器信息和从周围的车辆、路侧设备通过通信得到的交通信息，进行车辆的控制。设想通过针对这样的自动驾驶车辆发送错误的交通信息以使得产生交通的混乱这样的攻击。

例如，考虑如图10A所示，针对进入到交叉路口的车辆A，从路侧设备X发送本来不存在的车辆Y存在这样的交通信息(1001)。在该交叉路口的视野差而车辆A无法使用自身的传感器来检测(1002)的情况下，车辆A等待向交叉路口的进入。

在这样的状况下，如图10B所示，从其它方向接近交叉路口的车辆B能够使用车辆B的传感器来检测出通过来自路侧设备X的交通信息被通知存在的车辆Y实际上不存在(1003)。即，车辆B能够判断为从路侧设备X发送的交通信息是错误的信息。因此，通过从车辆B对车辆A进行通知，车辆A不信任来自路侧设备X的交通信息而能够自动驾驶。

此处，说明了发送不合理交通信息的装置是路侧设备的情况，但也可以从车辆、其它无线通信装置发送不合理交通信息。另外，利用了从周围发送的交通信息的控制不限于自动驾驶，也可以是驾驶支援、其它任意的控制。

(第1实施方式)

<结构>

本实施方式是检测针对车辆发送的交通信息是否为不合理的信息的攻击检测系统。如图1所示，本攻击检测系统包括可相互无线通信的多个车辆100和服务器装置200。

在本实施方式中，多个车辆100各自将从周围接收到的交通信息和通过自身的传感器取得的传感器信息，发送到服务器装置200。服务器装置200积蓄从车辆100收集的交通信息和传感器信息，确定与传感器信息矛盾的交通信息(以下称为不合理交通信息)。服务器装置200确定表示不合理交通信息的特征的签名信息，通知给车辆100。车辆100具备侵入检测系统(Intrusion Detection System：IDS)或者侵入防止系统(Intrusion Prevention System：IPS)，使用从服务器装置200被通知到的签名信息来检测不合理交通信息。

[车辆]

图2A是示出车辆100的结构的框图。如图所示，车辆100具有传感器群102、无线通信装置104、车辆控制部106、存储器108、辅助存储装置110、运算处理部112。

传感器群102包括用于取得车辆的内部状态、车辆周围的环境的状态的多个传感器。在用于取得车辆的内部状态的传感器中，包括位置信息传感器、方位传感器、速度传感器、加速度传感器、偏航率传感器、操舵角传感器、加速器开度传感器、刹车压传感器、发动机转速传感器等。在用于取得车辆周围的环境的状态的传感器中，包括摄像机(可见光摄像机、红外摄像机)、雷达(毫米波雷达、准毫米波雷达、近红外线激光雷达)、超声波声纳、照度传感器等。

无线通信装置104是用于与其它车辆100、服务器装置200进行无线通信的装置。无线通信的标准不限于特定的方式，能够采用无线LAN(IEEE 802.11a/b/g/n/ac)、Mobile WiMAX(IEEE 802.16e)、iBurst、WAVE(IEEE 802.20)、DSRC(专用短程通信)、便携电话通信(3G、LTE)等。用于与其它车辆100通信的无线通信装置和用于与服务器装置200通信的无线通信装置既可以是同一装置，也可以是不同的装置。

车辆控制部106由进行发动机(驱动力)、方向盘(操舵)、刹车(制动)等行驶所需的控制的一个或者多个ECU(Electronic Control Unit，电子控制单元)构成。

存储器108是RAM(Random Access Memory，随机存取单元)等主存储装置。辅助存储装置110是磁盘、半导体存储器等。车辆100除了具备这些装置以外，还优选为具备触摸面板、按钮等输入装置、显示器、扬声器等输出装置。

运算处理部112是CPU(Central Processing Unit，中央处理单元)、MPU(Micro Processing Unit，微处理单元)等处理器，通过将保存在辅助存储装置110中的程序读入到存储器108并执行，实现各种功能。运算处理部112实现例如传感器信息取得部114、交通信息发送部115、交通信息接收部116、信息上传部118、签名信息接收部120、攻击检测部122、密码处理部124的各功能。但是，也可以使用ASIC(Application Specific Integrated Circuit，专用集成电路)、FPGA(Field Programmable Gate Array，现场可编程门阵列)、DSP(Digital Signal Processor，数字信号处理器)等来实现这些功能的一部分或者全部。另外，运算处理部112无需构成为1个处理器，也可以由多个处理器构成。例如，密码处理部124优选使用专用的安全芯片来安装。

传感器信息取得部114从传感器群102定期地或者根据需要取得传感器信息。取得的传感器信息存储于存储器108、辅助存储装置110(以下总称为存储部)。

交通信息发送部115发送根据传感器信息取得部114取得的传感器信息生成的交通信息。交通信息是与交通关联的任意的信息。交通信息的一个例子是车辆的位置/移动速度/移动方向等与车辆有关的信息、与信号灯有关的信息、与道路上的障碍物有关的信息、与拥堵有关的信息、与路面状况有关的信息等。在本实施方式中，交通信息发送部115定期地发送图3A所示的格式的交通信息30。

所发送的交通信息30包括发送源ID31、发送目的地ID32、发送时刻33、位置信息34、移动速度35、行进方向36、车辆状态37，并且还附加针对这些信息的电子署名38。发送源ID31是用于确定发送交通信息30的车辆的标识符。发送目的地ID32是用于确定交通信息30的发送目的地车辆的标识符。在广播交通信息30的情况下，在发送目的地ID32中保存表示是广播的意思的值。发送时刻33是生成交通信息30的时刻。位置信息34是从例如GPS装置那样的位置信息传感器取得的信息，按照纬度/经度/高度的形式表示、或者按照地图代码的形式表示。移动速度35是从速度传感器取得的车辆100的移动速度。行进方向36是从方位传感器取得的车辆100的行进方向。车辆状态37是表示车辆100的其它任意的状态的信息。电子署名38是为了检测冒充以及检测窜改而附加的。电子署名38能够采用基于例如公开密钥密码方式的数字署名。

交通信息接收部116经由无线通信装置104，从周围的车辆、路侧设备接收交通信息。在交通信息中附加有电子署名的情况下，通过密码处理部124进行电子署名的验证。另外，通过攻击检测部122验证所接收到的交通信息是否为合理的信息。判断为合理的交通信息被存储于存储部，被用于自动驾驶等车辆控制。

信息上传部118将传感器信息取得部114取得的传感器信息、交通信息接收部116接收到的交通信息，经由无线通信装置104发送(上传)到服务器装置200。所上传的交通信息的格式既能够设为与向车辆发送的情况相同(图3A)，也能够设为不同的格式。

图3B示出所上传的传感器信息的格式。所上传的传感器信息40包括发送源ID41、发送目的地ID42、发送时刻43、位置信息44、传感时刻45、传感位置46、传感器信息47，并且还附加有针对这些信息的电子署名48。发送源ID41、发送目的地ID42、发送时刻43、位置信息44、电子署名48与交通信息30中包含的信息相同。传感时刻45是取得了传感器信息47的时刻。传感位置46是取得了传感器信息47时的车辆100的位置。传感器信息47是从传感器群102得到的传感器信息。此处，示出了在1个消息中仅保存1个传感器信息而发送的例子，但也可以在1个消息中保存多个传感器信息而发送。在该情况下，既可以集中发送传感时刻和传感位置大致相等的多个传感器信息，也可以针对每个传感器信息保存传感时刻和传感位置而集中发送任意的传感器信息。

签名信息接收部120从服务器装置200接收表示不合理交通信息的特征的签名信息(与电子署名不同)。接收到的签名信息存储于存储部，在攻击检测部122检测不合理的信息时使用。

攻击检测部122从通过无线通信接收到的信息，检测不合理的信息。具体而言，攻击检测部122将与存储部中存储的签名信息一致的信息判断为是不合理的信息。

密码处理部124进行电子署名的赋予、验证、加密处理、解密处理等。在本实施方式中，利用公开密钥方式的电子署名，所以密码处理部124实施电子署名的赋予、验证。通过密码处理部124，能够验证从周围的车辆100发送的交通信息、从服务器装置200发送的签名信息是合理的信息。另外，密码处理部124针对对周围的车辆100发送的交通信息、对服务器装置200发送的传感器信息以及交通信息，赋予电子署名。

[服务器装置]

图2B是示出服务器装置200的结构的框图。如图所示，服务器装置200是通用的计算机，具有无线通信装置204、存储器208、辅助存储装置210、运算处理部212。这些结构与车辆100具有的结构相同，所以省略说明。

运算处理部212实现传感器信息收集部214、交通信息收集部216、交通信息验证部218、签名信息决定部220、签名信息发送部222、密码处理部224的功能。

传感器信息收集部214经由无线通信装置204接收从车辆100发送的传感器信息，并存储于存储部。交通信息收集部216经由无线通信装置204接收从车辆100发送的交通信息，并存储于存储部。

交通信息验证部218验证通过交通信息收集部216收集的交通信息是否与通过传感器信息收集部214收集的传感器信息矛盾。交通信息和传感器信息矛盾例如相当于如下情况：在交通信息中示出在某个位置存在车辆，但传感器信息示出在该位置什么也没有或者存在车辆以外的物体。或者，虽然在交通信息中示出的位置存在车辆，但通过交通信息示出的移动速度或者行进方向与通过传感器信息示出的移动速度或者行进方向不同的情况也相当于交通信息和传感器信息矛盾的情况。

在后面根据流程图详细地说明利用交通信息验证部218进行的验证处理的详细内容，所以此处简单地说明。交通信息验证部218针对通过交通信息收集部216收集的交通信息的各个，验证关联的传感器信息与交通信息一致还是矛盾。交通信息验证部218在与交通信息矛盾的传感器信息多的情况下，判断为该交通信息是不合理的信息。

签名信息决定部220决定表示由交通信息验证部218判断为不合理的交通信息的特征的签名信息。签名信息也可以说是定义了不合理的信息的模式的信息。例如在某个特定的车辆发送了不合理的交通信息的情况下，签名信息决定部220将发送源ID31与该车辆的ID相等这样的模式决定为签名信息。另外，在从车辆ID不同的多个车辆发送了例如位置信息34/移动速度35/行进方向36具有特定的值的交通信息的情况下，还能够将这些字段具有该特定的值这样的模式决定为签名信息。签名信息只要能够确定不合理交通信息，则可以是任意的信息。

签名信息发送部222将通过签名信息决定部220决定的不合理交通信息的签名信息经由无线通信装置204发送到车辆100。由此，车辆100的攻击检测部122能够根据最新的签名信息进行攻击检测。

密码处理部224进行电子署名的赋予、验证、加密处理、解密处理等。通过密码处理部224，能够验证从车辆100发送的交通信息、传感器信息是合理的信息。另外，密码处理部224针对对车辆100发送的签名信息赋予电子署名。

<处理>

[车辆的动作]

参照图4、图5的流程图，说明车辆100进行的处理。另外，在流程图中，示出为依次进行各个处理，但这些处理未必按照该顺序进行，也可以按照不同的顺序执行或者并行地执行多个处理。

首先，传感器信息取得部114从传感器群102取得传感器信息(S101)。另外，定期地进行传感器信息的取得。取得的时间间隔既可以根据传感器而不同，也可以针对所有传感器相同。传感器信息取得部114将取得的传感器信息存储于存储部。

另外，交通信息接收部116经由无线通信装置104从其它车辆接收交通信息(S102)。车辆100进行接收到的交通信息的验证处理(S103)。参照图5的流程图，详细说明交通信息的验证处理S103的详细内容。首先，使用密码处理部124，进行交通信息的电子署名38的验证(S201)。在验证失败的情况下(S202-“否”)，在信息内容中有窜改或者进行了冒充，所以能够判断为接收到的交通信息不合理(S206)。另一方面，在署名验证成功的情况下(S202-“是”)，可知既未窜改也未冒充。即使在该情况下，也有交通信息的内容不正确的可能性，所以，进而，攻击检测部122使用签名信息来进行交通信息的验证(S203)。攻击检测部122调查交通信息是否与签名信息一致，在一致的情况下(S204-“是”)，判断为交通信息不合理(S206)。另一方面，在接收到的交通信息与签名信息不一致的情况下(S204-“否”)，能够判断为接收到的交通信息合理(S205)。

返回到图4的流程图。交通信息验证处理S103的结果，在判断为交通信息不合理的情况下(S104-“否”)，车辆100丢弃接收到的交通信息(S105)。在判断为交通信息合理的情况下(S104-“是”)，原样地接纳该交通信息。

车辆控制部106使用从传感器群102得到的传感器信息和被验证了合理性的交通信息，来进行车辆100的自动驾驶控制。另外，在图4的流程图的处理中，判定交通信息是否合理，判断为不合理的交通信息被丢弃而不用于控制。但是，也可以代替丢弃交通信息，而在认识到是无法信任的交通信息的基础之上用于控制。例如，在得到了无法信任的交通信息的情况下，能够根据从传感器群102得到的传感器信息确认该交通信息是否正确、或者通过传感器群102再次进行传感。另外，也可以在认识到交通信息是不合理的基础之上，为了安全而降低速度或者采取事先的回避行动。另外，在图4的流程图的处理中，进行交通信息是合理还是不合理的二选一的判断，但还能够以3个等级以上评价交通信息是合理的可能性，并在考虑其评价值(可信度)的基础之上，将交通信息用于自动驾驶控制。

车辆100判断是否为向服务器装置200上传信息的上传定时(S107)。如果是上传定时(S107-“是”)，则信息上传部118将传感器信息取得部114取得的传感器信息和交通信息接收部116接收到的交通信息发送到服务器装置200。关于向服务器装置200的上传定时不特别限定，例如，既可以设为能够与服务器装置200通信的任意的定时，进而也可以以车辆100停止为条件。另外，也可以在车辆100的发动机停止时，一并地上传传感器信息和交通信息。

[服务器装置的动作]

参照图6的流程图，说明服务器装置200进行的处理。另外，在流程图中，示出为依次进行各个处理，但这些处理未必按照该顺序进行，也可以按照不同的顺序执行或者并行地执行多个处理。

传感器信息收集部214经由无线通信装置204从车辆100接收传感器信息(S301)，并存储于存储部。另外，交通信息收集部216经由无线通信装置204从车辆100接收交通信息(S302)，并存储于存储部。虽然在流程图中未记载，但通过密码处理部224验证传感器信息、交通信息的电子署名38、48，优选丢弃电子署名的验证失败的传感器信息、交通信息。

交通信息验证部218从接收到的交通信息中，选择验证未完成的交通信息(S303)。存在多个未验证的交通信息的情况的选择基准也可以是任意的。交通信息验证部218通过调查所选择的交通信息是否与传感器信息矛盾，验证该交通信息是否为正确的信息。

具体而言，交通信息验证部218首先选择具有与所选择的交通信息的发送时刻和发送位置(发送时刻33以及位置信息34)接近的取得时刻和取得位置(传感时刻45以及传感信息46)的传感器信息(S304)。这是用于缩减能够验证通过交通信息示出的信息是否正确的传感器信息的处理。因此，与交通信息的位置、时刻“接近”的传感器信息意味着能够判断通过交通信息示出的信息是否正确的可能性高的传感器信息。例如，在验证通知车辆的存在的交通信息的情况下，选择从在大致相同的时刻在相同的道路上行驶的车辆得到的传感器信息。

交通信息验证部218判断在步骤S304中选择的传感器信息的各个是否与在步骤S303中选择的交通信息矛盾(S305)。例如，关于车辆的存在，在能够根据传感器信息推测在交通信息所示出的位置存在车辆的情况下，能够判断为交通信息和传感器信息不矛盾而一致。另一方面，在能够推测在交通信息所示出的位置什么也没有、或者存在车辆以外的物体的情况下，能够判断为交通信息和传感器信息矛盾。另外，在无法根据传感器信息获知在交通信息所示出的位置是否存在车辆的情况下，在本实施方式中，判断为交通信息和传感器信息不矛盾。

此处，说明了车辆的位置信息的验证，但交通信息验证部218针对车辆的速度、行进方向也判断是否与传感器信息一致。在通过交通信息示出的位置存在的车辆的移动速度或者移动方向与从传感器信息得到的该车辆的移动速度、移动方向不同的情况下，判断为交通信息与传感器信息矛盾。即，在交通信息所包含的信息中的任意信息与传感器信息矛盾的情况下，判断为该交通信息与传感器信息矛盾。

在交通信息验证部218中，如果针对在步骤S304中选择的所有传感器信息结束了与交通信息的比较，则判断与交通信息矛盾的传感器信息的数量是否为预定数以上(S306)。此处预定数能够被设为预先决定的固定值。但是，预定数既可以是与在步骤S304中取得的传感器信息的数量对应的值，也可以是与在步骤S304中取得的传感器信息中的与交通信息一致的传感器信息的数量对应的值。

在步骤S306的判定中，与交通信息矛盾的传感器信息存在多个的情况下(S306-“是”)，判断为该交通信息是不合理的信息。关于该判定，可以根据矛盾的传感器信息的数量(单纯和)是否为预定数以上来进行，但更优选针对各传感器信息附加与信息的质量对应的权重，并根据矛盾的传感器信息的权重的合计是否为预定数以上来进行。签名信息决定部220决定表示不合理交通信息的特征的签名信息(S307)。例如，能够将不合理交通信息的发送源ID31决定为签名信息。签名信息发送部222将决定的签名信息经由无线通信装置204发送到车辆100(S308)。由此，车辆100能够使用所发送的签名信息检测不合理交通信息。

在步骤S306的判定中，与交通信息矛盾的传感器信息的数量少的情况下(S306-“否”)，判断为交通信息是正确的信息，不进行签名信息的决定以及发送处理。

通过以上，针对在步骤S303中选择的交通信息的处理结束。在存在未验证的交通信息的情况下(S309-“是”)，返回到步骤S303，针对未验证的交通信息进行与上述同样的处理。如果针对所有交通信息的验证处理结束(S309-“否”)，则结束处理。

<本实施方式的有利的效果>

根据本实施方式，能够在车辆中将与车辆通过传感器得到的信息(传感器信息)矛盾的交通信息判断为是不合理交通信息即攻击。即使在车辆无法通过自身的传感器信息来检测交通信息不合理的情况下，也能够经由服务器装置，根据与其它车辆的传感器信息的矛盾，检测攻击。

在交通信息中附加有电子署名，所以在车辆中也能够检测到基于冒充、窜改的攻击，但在正当的发送者有意地或者无意地发送了不合理交通信息的情况下，通过电子署名的规格是无法检测到攻击的。通过如本实施方式那样使用不合理交通信息的签名信息，这样的攻击也能够检测到。

在本实施方式中，在服务器装置中进行了使用了传感器信息的交通信息的验证。这样的验证需要比较高的计算能力，但服务器装置相比于车载装置具有高度的计算能力，所以能够实施复杂的解析。

<变形例>

在上述说明中，在交通信息的验证处理中，择一地决定了交通信息是合理还是不合理。但是，也可以以3个阶段以上评价交通信息的可信度。例如，交通信息验证部218也可以根据与交通信息矛盾的传感器信息的数量，决定交通信息的可信度。另外，在即便交通信息和传感器信息确实矛盾还是确实一致也无法判断的情况下，也可以使用其准确度来决定交通信息的可信度。在车辆侧，优选根据交通信息的可信度，决定以何种程度信赖交通信息来进行车辆的控制。例如，关于可信度最低的交通信息进行忽略来进行控制，另一方面，关于可信度是中等程度的交通信息，在既有可能正确也有可能错误这样的前提下进行控制即可。

在上述说明中，说明为从车辆发送的交通信息包括该车辆的位置/移动速度/移动方向，但只要是交通信息所包含的与交通关联的信息，则可以是任意的信息。例如，是与信号灯有关的信息、与在道路上存在的障碍物有关的信息、与拥堵有关的信息、与路面状况有关的信息等。不论是什么样的交通信息，从车辆发送的交通信息是能够根据车辆的传感器信息而生成的信息。因此，关于这些交通信息，能够通过与车辆的传感器信息的比较来验证是否为正确的信息。

在上述说明中，车辆使用从周围发送的交通信息来进行了自动驾驶控制，但基于交通信息的控制也可以是任意的控制。例如，也可以是驾驶的支援控制、针对车辆的乘客的信息提供控制等。

(第2实施方式)

本发明的第2实施方式是不使用服务器装置而仅通过车辆来检测不合理交通信息的实施方式。本实施方式中的车辆的结构除了具有与根据传感器信息验证交通信息的交通信息验证部218等同的功能的点和不具有进行与服务器装置的发送接收的功能的点以外，与图2A相同。

图7示出本实施方式的系统概要。车辆71当从周围的车辆72接收到交通信息时，与从本车辆的传感器得到的传感器信息进行比较，验证所接收到的交通信息是否为不合理的信息。在接收到的交通信息是不合理的信息的情况下，车辆71对周围通知该交通信息是不合理的信息的意思。接收到该通知的车辆73能够知道该交通信息是不合理的信息。车辆71能够通过自身的传感器验证从车辆72发送的交通信息的正确与否，但在车辆73利用自身的传感器信息无法进行验证的情况下，这特别有效。

图8是示出本实施方式中的车辆实施的交通信息验证处理的流程的流程图。车辆71通过密码处理部124，验证所接收到的交通信息的电子署名38(S401)。在验证失败的情况下(S402-“否”)，信息内容有窜改或者被进行了冒充，所以能够判断为所接收到的交通信息不合理(S407)。另一方面，在署名验证成功的情况下(S402-“是”)，可知既未被窜改也未被冒充。即使在该情况下也有交通信息的内容不正确的可能性，所以，进而，攻击检测部122判断所接收到的交通信息是否与从周围的车辆被通知为是不合理的交通信息一致(S403)。此处，在接受到所接收到的交通信息不合理这样的通知的情况下(S403-“是”)，能够判断为所接收到的交通信息不合理(S407)。另一方面，在未接受到所接收到的交通信息不合理这样的通知的情况下(S403-“否”)，验证所接收到的交通信息的内容是否与从本装置的传感器得到的传感器信息矛盾(S404)。在接收到的交通信息的内容与传感器信息矛盾的情况下(S404-“是”)，能够判断为接收到的交通信息不合理。因此，车辆71对周围的车辆通知该交通信息不合理的意思(S405)。关于该通知，既可以通知不合理交通信息的发送源ID，也可以通知不合理交通信息的消息ID，也可以是与第1实施方式同样的签名信息。在接收到的交通信息与传感器信息不矛盾的情况下(S404-“否”)，能够判断为该交通信息是正确的信息(S406)。

根据本实施方式，无需使用服务器装置而仅通过车辆能够进行不合理交通信息的检测和向周围车辆的通知。无需使用服务器装置而通过车辆实时地验证交通信息的合理性，所以具有能够迅速地通知不合理交通信息这样的优点。

另外，在上述处理中，仅在通过本车辆得到的传感器信息和交通信息矛盾的情况下(S404-“否”)，向周围的车辆发送交通信息不合理的意思的通知，但在判断为交通信息不合理的情况下始终发送上述通知，这也是优选的。

(第3实施方式)

本发明的第3实施方式与第2实施方式大致相同，但不同点在于，不仅从车辆发送不合理交通信息的通知，而且从服务器装置也发送不合理交通信息的通知。

图9示出本实施方式的系统概要。车辆91当从周围的车辆92接收到交通信息时，与从本车辆的传感器得到的传感器信息进行比较，验证所接收到的交通信息是否为不合理的信息。在接收到的交通信息是不合理的信息的情况下，车辆91对周围通知该交通信息是不合理的信息的意思。接收到该通知的车辆93能够知道该交通信息是不合理的信息。车辆91能够通过自身的传感器验证从车辆92发送的交通信息的正确与否，但在车辆93利用自身的传感器信息无法进行验证的情况下，这特别有效。到此为止与上述第2实施方式相同。

在本实施方式中，车辆91不仅针对周围的车辆93发送不合理交通信息的存在，而且针对服务器装置94也发送不合理交通信息的存在。而且，服务器装置94将不合理交通信息的通知还发送到其它车辆95。

在第2实施方式中，只能对检测到与传感器信息的矛盾的车辆71的周围进行通知。在本实施方式中，服务器装置94发送与不合理交通信息有关的信息(签名信息等)，从而能够针对宽的范围的车辆通知不合理交通信息。

另外，在本实施方式中，服务器装置验证交通信息是不合理这样的来自车辆的通报是正确的通报，这也是优选的。例如，在只有接收到相同的交通信息的车辆中的极部分车辆通报了是不合理交通信息的意思的情况下，也可以判断为该通报是错误的。

(第4实施方式)

还优选提供组合了上述第1实施方式和上述第2或者第3实施方式的系统。即，还优选提供如下系统：将交通信息以及传感器信息发送到服务器装置而在服务器装置中检测不合理交通信息，并且在车辆中也通过与自身的传感器信息的比较来检测不合理交通信息。

服务器装置中的验证具有能够根据大量的传感器信息进行更高度的解析这样的优点，但存在直至车辆能够使用该验证结果来检测攻击为止的时间长这样的缺点。另一方面，车辆中的验证虽然只能够进行基于自身的传感器信息的解析，但具有能够对周围迅速地通知不合理交通信息这样的优点。根据本实施方式，能够弥补相互的缺点来提供更高效的系统。

(其它实施方式)

本发明由具备微型处理器、CPU(中央运算装置)等通用处理器和保存在存储器中的程序的计算机构成，并通过由通用处理器执行上述程序来能够实现。另外，本发明能够通过ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)、DSP(Digital Signal Processor)那样的专用处理器实现。专用处理器以及执行程序的通用处理器都可以说是构成为提供特定的功能的处理器、或者构成为作为特定的功能部发挥功能的处理器。另外，也可以通过通用处理器(以及程序)提供本发明的一部分的功能，通过专用处理器实现其它功能。另外，本发明的某一个功能也可以通过通用处理器(以及程序)和专用处理器这两方实现。

上述实施方式以及变形例的说明仅为用于说明本发明的实施方式的例示，并非将本发明限定于该公开的范围的要旨。另外，在上述实施方式以及各变形例中说明的要素技术分别能够在技术上不矛盾的范围内组合来实施本发明。