车辆通信监视装置、车辆通信监视方法以及车辆通信监视程序与流程

本发明涉及具有面向车辆的攻击检测方式的车辆通信监视装置、车辆通信监视方法以及车辆通信监视程序。

背景技术：

近年来，汽车导航或音响主机(headunit)这样的车载装置具有与车辆外部的网络进行通信的功能，进行与互联网之间的连接或提供远程服务功能。另外，车载装置与移动电话、智能手机或pc(个人计算机)这样的持有设备通过无线lan(localareanetwork：局域网)或bluetooth(注册商标)这样的通信方式而连接。另一方面，由于向这样的车载装置搭载通信功能，因此，经由互联网或恶意使用持有设备这样的汽车的入侵风险提高。作为入侵对策，研究了基于防火墙(firewall)的包过滤以及攻击检测方式这样的各种技术。

在专利文献1中公开了如下攻击检测技术：监视在车辆网络中传输的通信消息，在接收间隔比规定的适当的接收间隔短的情况下，判定为在通信消息的通信状态中发生了异常。另外，在专利文献1中公开了如下方法：在比规定的接收间隔长的情况下，判定为其他通信消息的通信状态发生了异常。

另外，在专利文献2中，公开了如下车辆网络监视装置：在车辆网络中监视通信数据，在通信数据的通信形式与规定的通信形式不同时判断为不正当数据，由此，将车辆网络的安全维持得较高。

现有技术文献

专利文献

专利文献1：日本特开2014-187445号公报

专利文献2：日本特许第5522160号公报

技术实现要素：

发明要解决的课题

现有的攻击检测技术由于通过通信周期来检测攻击，因此存在如下课题：不能应对通信周期或通信量根据车辆的状态而变化的通信。另外，假设通信量中包含通信的许可或禁止。另外，现有的攻击检测技术还存在如下课题：不适合于因互联网那样的外部原因而导致接收时刻变化的通信。

在通信数据的通信形式与规定的通信形式不同时判断为不正当数据的情况下，也同样地存在如下课题：未考虑通信周期或通信量根据车辆的状态而变化的通信。

本发明的目的在于根据行驶中或停车中、及门打开或关闭这样的车辆的状态来阻止不正当消息，从而保护车载系统。

用于解决课题的手段

本发明的车辆通信监视装置具有：存储部，其存储消息信息，该消息信息是将表示车辆的状态的车辆状态、确定进行通信的消息的消息属性、和表示由所述消息属性确定的消息的通信是否被许可的许可与否信息对应起来而成的；状态取得部，其取得所述车辆的当前的状态作为当前状态；消息取得部，其取得在搭载于所述车辆的车载系统与未搭载于所述车辆的外部系统之间进行通信的消息作为通信消息；以及判定部，其取得确定所述通信消息的消息属性作为通信消息属性，并根据所述当前状态、所述通信消息属性和所述消息信息，判定在所述车辆处于所述当前状态的情况下所述通信消息的通信是否被许可。

发明效果

在本发明的车辆通信监视装置中，存储部存储消息信息，该消息信息是将表示车辆的状态的车辆状态、确定进行通信的消息的消息属性、和表示由该消息属性确定的消息的通信是否被许可的许可与否信息对应起来而成的。状态取得部取得所述车辆的当前的状态作为当前状态。消息取得部取得在搭载于所述车辆的车载系统与未搭载于所述车辆的外部系统之间进行通信的消息作为通信消息。判定部取得确定所述通信消息的消息属性作为通信消息属性，根据所述当前状态、所述通信消息属性和所述消息信息，判定在所述车辆处于所述当前状态的情况下所述通信消息的通信是否被许可。因而，根据本发明的车辆通信监视装置，能够按照车辆的状态判定消息的通信的许可与否，能够更准确地监视车辆通信。

附图说明

图1是实施方式1的车辆通信监视装置100的结构图。

图2是实施方式1的消息信息181的例子。

图3是实施方式1的消息信息181x的例子。

图4是实施方式1的消息信息181y的例子。

图5是示出实施方式1的消息信息取得处理s10的流程图。

图6是示出实施方式1的状态取得处理s20的流程图。

图7是示出实施方式1的判定处理s30的流程图。

图8是示出实施方式1的消息取得处理s40的流程图。

图9是实施方式1的变形例的车辆通信监视装置100的结构图。

图10是实施方式2的车辆通信监视装置100a的结构图。

图11是实施方式2的消息信息181a的例子。

图12是示出实施方式2的通信量取得处理s50的流程图。

图13是示出实施方式2的判定处理s30a的流程图。

图14是示出实施方式2的消息取得处理s40a的流程图。

具体实施方式

以下，使用附图对本发明的实施方式进行说明。另外，在各图中，对相同或相当的部分标注相同的标号。在实施方式的说明中，对相同或相当的部分，适当省略或简化说明。

实施方式1

＊＊＊结构的说明＊＊＊

使用图1对本实施方式的车辆通信监视装置100的结构进行说明。

车辆通信监视装置100是搭载在车辆的车载网关。车辆通信监视装置100控制搭载在车辆上的车载系统602与未搭载在车辆上的外部系统601之间的通信，并且，监视车载系统602与外部系统601之间的通信。

搭载在车辆上的车载系统602包含headunit、ecu(electroniccontrolunit：电子控制设备)和汽车导航系统这样的设备、以及连接这些设备的车辆内部网络。

此外，未搭载在车辆上的外部系统601包含车辆外部网络和持有设备这样的设备。具体而言，持有设备是移动电话、智能手机、pc、obd(on-boarddiagnostics：车载诊断系统)工具这样的设备。

如图1所示，车辆通信监视装置100是计算机。

车辆通信监视装置100包含处理器910、存储装置920、输入接口930、输出接口940、外部接口951及内部通信接口952这样的硬件。存储装置920包含存储器921和辅助存储装置922。

车辆通信监视装置100具有外部发送控制部110、外部接收控制部120、内部发送控制部130、内部接收控制部140、协议转换部150、判定部160、状态取得部170和存储部180作为功能结构。

外部发送控制部110、外部接收控制部120、内部发送控制部130、内部接收控制部140、协议转换部150、判定部160、状态取得部170各自的功能通过软件来实现。在以下的说明中，将外部发送控制部110、外部接收控制部120、内部发送控制部130、内部接收控制部140、协议转换部150、判定部160、状态取得部170称为车辆通信监视装置100的各部分。在车辆通信监视装置100的各部分中不包含存储部180。

在存储部180中存储有消息信息181和当前状态182。

存储部180通过存储器921实现。另外，存储部180也可以仅通过辅助存储装置922实现，或者通过存储器921和辅助存储装置922实现。存储部180的实现方法是任意的。

处理器910通过信号线而与其他硬件连接，并且控制这些其他硬件。处理器910是进行运算处理的ic(integratedcircuit：集成电路)。处理器910的具体例是cpu(centralprocessingunit：中央处理器)、dsp(digitalsignalprocessor：数字信号处理器)、gpu(graphicsprocessingunit：图形处理器)。

存储器921是暂时存储数据的存储装置。存储器921的具体例是sram(staticrandomaccessmemory：静态随机存取存储器)、dram(dynamicrandomaccessmemory：动态随机存取存储器)。

辅助存储装置922是保管数据的存储装置。辅助存储装置922的具体例是hdd(harddiskdrive：硬盘驱动器)。此外，辅助存储装置922也可以是sd(注册商标)(securedigital：安全数字)存储卡、cf(compactflash：压缩闪存)、nand闪存、软盘、光盘、压缩盘、蓝光(注册商标)盘、dvd(digitalversatiledisk：数字多功能盘)这样的可移动存储介质。

输入接口930是与键盘或触摸板这样的输入装置连接的端口。具体而言，输入接口930是usb(universalserialbus：通用串行总线)端子。另外，输入接口930也可以是与lan连接的端口。

输出接口940是连接有显示器这样的显示设备的缆线的端口。具体而言，输出接口940是usb端子或hdmi(注册商标)(highdefinitionmultimediainterface：高清多媒体接口)端子。具体而言，显示器是lcd(liquidcrystaldisplay：液晶显示器)。

外部接口951具有作为车载网关的车辆通信监视装置100与未搭载于车辆的外部系统601之间的通信功能。具体而言，外部接口951具有车辆通信监视装置100与持有设备或者互联网这样的车辆外部的网络之间的通信功能。

内部接口952具有作为车载网关的车辆通信监视装置100与搭载于车辆的车载系统602之间的通信功能。具体而言，内部接口952具有车辆通信监视装置100与headunit或ecu这样的车辆内部的网络上的设备之间的通信功能。

在辅助存储装置922中存储有实现车辆通信监视装置100的各部分的功能的程序。将实现车辆通信监视装置100的各部分的功能的程序也称为车辆通信监视程序620。该程序被加载到存储器921中，并被读入到处理器910中，而由处理器910执行。另外，辅助存储装置922有os。存储在辅助存储装置922中的os的至少一部分被加载到存储器921中。处理器910一边执行os，一边执行车辆通信监视程序620。

车辆通信监视装置100可以仅具有一个处理器910，也可以具有多个处理器910。多个处理器910也可以协作地执行实现车辆通信监视装置100的各部分的功能的程序。

表示车辆通信监视装置100的各部分的处理结果的信息、数据、信号值及变量值存储于车辆通信监视装置100的辅助存储装置922、存储器921或处理器910内的寄存器或高速缓冲存储器。

实现车辆通信监视装置100的各部分的功能的程序也可以存储在可移动记录介质中。具体而言，可移动记录介质是磁盘、软盘、光盘、压缩盘、蓝光(注册商标)盘、dvd(digitalversatiledisc：数字多功能盘)或者sd(注册商标)卡这样的存储卡。

另外，车辆通信监视程序产品是记录有车辆通信监视程序620的存储介质以及存储装置。车辆通信监视程序产品与外观无关，是指加载计算机可读取的程序的产品。

＊＊＊功能的说明＊＊＊

使用图1对本实施方式的车辆通信监视装置100的各部分以及存储部180的功能进行说明。

外部发送控制部110从协议转换部150接受消息，并向持有设备或互联网这样的车辆外部网络发送消息。另外，外部接收控制部120从持有设备或互联网这样的车辆外部网络接收消息，并向协议转换部150输出消息。

外部发送控制部110和外部接收控制部120分别在与持有设备或互联网这样的车辆外部网络之间的通信中使用无线lan、bluetooth(注册商标)、usb、obd、3g或lte(注册商标)这样的连接方式。另外，对于连接方式没有限定。

另一方面，内部发送控制部130从协议转换部150接受消息，并向车辆内部网络发送消息。另外，内部接收控制部140从车辆内部网络接收消息，并向协议转换部150输出消息。内部发送控制部130和内部接收控制部140分别在与车辆内部网络之间的通信中使用can、flexray、most、lin、或者ethernet(注册商标)这样的连接方式。另外，对于连接方式没有限定。

协议转换部150从外部接收控制部120接受通过外部接口951接收到的消息。然后，协议转换部150通过处理器910执行存储在存储器921中的程序，并按照用于与车辆内部网络上的设备进行通信的协议来转换消息。然后，协议转换部150将转换后的消息作为通信消息501输出到判定部160，如果没有判断为攻击，则向内部发送控制部130输出转换后的消息。另一方面，协议转换部150从内部接收控制部140接受通过内部接口952接收到的消息。然后，协议转换部150通过处理器910执行存储在存储器921中的程序，并按照用于与持有设备或互联网这样的外部的装置进行通信的协议来转换消息。然后，协议转换部150将转换后的消息作为通信消息501输出到判定部160，如果没有判断为攻击，则向外部发送控制部110输出转换后的消息。

协议转换部150是消息取得部50的例子，该消息取得部50取得在搭载于车辆的车载系统602与未搭载于车辆的外部系统601之间通信的消息，作为通信消息501。

判定部160通过处理器910执行存储在存储器921中的程序，进行下述的动作。判定部160在作为车载网关的车辆通信监视装置100启动时，从存储部180取得消息信息181。另外，判定部160从状态取得部170接受关于车辆的当前状态的通知。判定部160若从协议转换部150接收到消息，则根据消息信息181和车辆的当前状态判定可否传送消息，并将结果通知给协议转换部150。

判定部160也称为检测针对车辆通信的攻击的攻击检测部。

使用图2对本实施方式的消息信息181的例子进行说明。

存储部180存储消息信息181，该消息信息181将表示车辆的状态的车辆状态811、确定进行通信的消息的消息属性812、以及表示由消息属性确定的消息的通信是否被许可的许可与否信息813对应起来。消息信息181也被称为攻击检测列表。

具体而言，在消息信息181中登记有行号81、消息类别82、车辆状态811及详细消息内容83这样的信息。

消息类别82的具体例是diag或交通信号信息这样的类别。

详细消息内容83表示消息的内容。详细消息内容83是将消息类别更详细地分类而得的，关于其具体例，能够实现传感器信息取得指令这样的指定、或者“全部”这样的指定。

消息信息181包含消息类别82和作为消息的内容的详细消息内容83作为确定进行通信的消息的消息属性812。

车辆状态811表示车辆的状态。车辆状态811的具体例是停车中、行驶中、门打开或门关闭这样的车辆的状态。消息信息181包含停车中或行驶中这样的车辆的行驶状态、以及门打开或者门关闭这样的车辆的门的开闭状态中的至少任意一种状态作为车辆状态811。

另外，这里所示的消息信息181的项目和内容是一例，消息信息181的项目和内容也可以不限定于该例。

图2所示的消息信息181是作为如下的许可与否信息813的白名单：设定了消息属性812表示由消息属性812确定的消息的通信被许可。即，在消息信息181中设定了许可通信和传送的消息。此时，成为在消息信息181中设定的消息属性812表示消息的通信被许可的许可与否信息813。

使用图3对本实施方式的消息信息181x的例子进行说明。

如图3的消息信息181x所示，消息信息181x也可以是作为如下的许可与否信息813x的黑名单：设定了消息属性表示由消息属性确定的消息的通信不被许可。即，也可以在消息信息181x中设定禁止通信和传送的消息。此时，成为在消息信息181x中设定的消息属性表示消息的通信被禁止的许可与否信息813x。

使用图4对作为本实施方式的消息信息181的其他例的消息信息181y进行说明。

如图4的消息信息181y所示，消息信息181y可以具有标志作为许可与否信息813y，该标志通过有效/无效来表示是否许可消息的通信。

＊＊＊动作的说明＊＊＊

使用图5至图8对本实施方式的车辆通信监视方法610及车辆通信监视程序620的车辆通信监视处理s100进行说明。图5至图8是示出作为搭载在车辆上的车载网关的车辆通信监视装置100从持有设备或互联网这样的外部系统601接收到消息时的流程图的一例的图。另外，图5至图8的流程图记载了使用图2所示的白名单型的消息信息181的情况。

车辆通信监视处理s100具有消息信息取得处理s10、状态取得处理s20、判定处理s30、消息取得处理s40。

<消息信息取得处理s10>

使用图5对本实施方式的消息信息取得处理s10进行说明。

在步骤s11中，判定部160从存储部180取得消息信息181。

＜状态取得处理s20＞

使用图6对本实施方式的状态取得处理s20进行说明。

在状态取得处理s20中，状态取得部170取得车辆的当前状态作为当前状态182。状态取得处理s20的具体的处理如下所述。

在步骤s21中，状态取得部170从内部接收控制部140接收与车辆的状态相关联的消息。

在步骤s22中，状态取得部170根据从内部接收控制部140接受到的消息判定车辆的当前状态。具体而言，状态取得部170根据车速信息判定车辆处于行驶中还是停车中。

在步骤s23中，状态取得部170将存储在存储部180中的当前状态182与在步骤s22中判定出的车辆的当前状态进行比较。在车辆的当前状态与当前状态182不同、即车辆的当前状态相对于当前状态182发生了变化的情况下，状态取得部170进入步骤s24。在车辆的当前状态与当前状态182相同、即车辆的当前状态相对于当前状态182没有变化的情况下，状态取得部170结束处理。

在步骤s24中，状态取得部170用车辆的当前状态覆盖存储部180中的当前状态182。

＜判定处理s30＞

使用图7对本实施方式的判定处理s30进行说明。

在判定处理s30中，判定部160取得确定在车载系统602与外部系统601之间通信的通信消息501的消息属性，作为通信消息属性502。判定部160基于当前状态182、通信消息属性502和消息信息181，判定在车辆处于当前状态182的情况下通信消息501的通信是否被许可。然后，判定部160将通信消息501的通信是否被许可的判定结果161输出到消息取得部50。判定处理s30的具体处理如下所述。

在步骤s31中，判定部160从协议转换部150接受通信消息501。判定部160取得确定通信消息501的通信消息属性502。通信消息属性502包含通信消息501的消息类别和通信消息501的消息的内容。

在步骤s32中，判定部160确认在消息信息取得处理s10中取得的消息信息181的消息类别82中是否存在与通信消息属性502所包含的消息类别相符的消息类别。当存在的情况下，处理进入步骤s33。当不存在的情况下，处理进入步骤s35。

在步骤s33中，判定部160分析通信消息501，取得通信消息501的消息内容。

在步骤s34中，判定部160基于消息信息181、车辆的当前状态182、通信消息501的消息内容，判定通信消息501的传送在车辆处于当前状态182的情况下是否被许可。在被许可的情况下，处理进入步骤s36。在不被许可的情况下，处理进入步骤s35。

在步骤s35中，判定部160向协议转换部150输出不可传送的判定结果161。

在步骤s36中，判定部160向协议转换部150输出许可传送的判定结果161。

<消息取得处理s40>

使用图8说明本实施方式的消息取得处理s40。

在消息取得处理s40中，协议转换部150取得在搭载于车辆的车载系统602和未搭载于车辆的外部系统601之间通信的消息作为通信消息501。协议转换部150对通信消息501实施协议转换，并将转换后的通信消息501输出到判定部160。然后，接受来自判定部160的判定结果161，并根据判定结果161控制通信消息501的通信。消息取得部50在判定结果161为不可通信的情况下，将通信消息501废弃。此外，也可以是，消息取得部50在判定结果161为不可通信的情况下，将通信消息501废弃，并且将通信消息501不可通信这一内容输出到输出装置。消息取得处理s40也称为协议转换处理。消息取得处理s40的具体的处理如下。

在步骤s41中，协议转换部150从外部接收控制部120接受通信消息501。

在步骤s42中，协议转换部150将从外部接收控制部120接受到的通信消息501转换为车辆内部网络的协议，该车辆内部网络是成为目的地的车载系统602。

在步骤s43中，协议转换部150将转换后的通信消息501输出到判定部160。

在步骤s44中，协议转换部150待机，直到存在来自判定部160的响应为止。协议转换部150在接受到判定结果161作为响应时，进入步骤s45。

在步骤s45中，在来自判定部160的判定结果161为许可传送的情况下，协议转换部150进入步骤s46。在来自判定部160的判定结果161为不可传送的情况下，协议转换部150进入步骤s47。

在步骤s46中，协议转换部150将通信消息501输出到内部发送控制部130。即，由于判定为通信消息501并非不正当的消息，所以协议转换部150对通信消息501进行通常的处理。

在步骤s47中，协议转换部150将通信消息501废弃。即，由于判定为通信消息501是不正当的消息，所以协议转换部150通过将通信消息501废弃来进行阻止。

＊＊＊其他结构＊＊＊

本实施方式的车辆通信监视装置100可以具有在阻止了不正当的消息时，通过显示器或扬声器这样的输出装置，向车辆的驾驶员通知阻止了不正当的消息的功能。通过这样的功能，驾驶员能够识别出车载系统602被攻击，并进行使车辆停车这样的应对。

在本实施方式中，详细说明了针对从车辆外部向车辆内部的消息的攻击检测方式。但是，针对从车辆内部向车辆外部的消息，也可以同样地进行处理。由此，能够防止车载系统602的不正当操作所导致的机密信息或个人信息的泄漏。另外，在处理从车辆内部向车辆外部的消息时，协议转换部将从内部接收控制部接收到的协议转换前的消息作为通信消息而发送给判定部。然后，在来自判定部的判定结果为许可传送的情况下，协议转换部对通信消息的协议进行转换，并将转换后的通信消息输出到外部发送控制部。

在本实施方式中，车辆通信监视装置100的各部分的功能通过软件实现。但是，作为变形例，也可以通过硬件来实现车辆通信监视装置100的各部分的功能。

使用图9对本实施方式的变形例的车辆通信监视装置100的结构进行说明。

如图9所示，车辆通信监视装置100具有处理电路909、输入接口930、输出接口940、外部接口951及内部通信接口这样的硬件。

处理电路909是实现上述车辆通信监视装置100的各部分的功能和存储部180的专用的电子电路。具体而言，处理电路909是单一电路、复合电路、程序化的处理器、并行程序化的处理器、逻辑ic、ga、asic、或是fpga。ga是gatearray的缩写。asic是applicationspecificintegratedcircuit的缩写。fpga是field-programmablegatearray的缩写。

车辆通信监视装置100的各部分的功能可以由一个处理电路909实现，也可以分散在多个处理电路909中实现。

作为其他变形例，车辆通信监视装置100的各部分的功能也可以通过软件和硬件的组合来实现。即，也可以通过专用的硬件来实现车辆通信监视装置100的一部分功能，通过软件来实现剩余的功能。

将车辆通信监视装置100的处理器910、存储装置920以及处理电路909统称为“处理线路(processingcircuitry)”。即，无论车辆通信监视装置100的结构是图1以及图9的哪一个所示的结构，车辆通信监视装置100的各部分的功能以及存储部180都通过处理线路来实现。

也可以将“部”换作“工序”或“步骤”或“处理”。另外，也可以通过固件来实现“部”的功能。

＊＊＊本实施方式的效果的说明＊＊＊

如上所述，本实施方式的车辆通信监视装置100掌握车辆状态，禁止传送在现状的车辆状态下不被许可的消息。因此，根据本实施方式的车辆通信监视装置100，防御了由于不正当消息侵入车辆内部网络而导致的车载系统602入侵。

实施方式2

在本实施方式中，主要对与实施方式1不同的点进行说明。

＊＊＊结构的说明＊＊＊

使用图10对本实施方式的车辆通信监视装置100a的结构进行说明。在图10中，对与实施方式1中说明的结构相同的结构标注相同的标号，并省略其说明。

本实施方式的车辆通信监视装置100a除了在实施方式1中说明的车辆通信监视装置100a的功能结构之外，还具有通信量测定部190。另外，在存储部180中，除了在实施方式1中说明的当前状态182之外，还存储消息信息181a和通信量183。其他功能结构及硬件与实施方式1相同。

通信量测定部190从协议转换部150接收通信消息501，测定在一定时间内接收到的通信消息的通信量。针对通信消息501的消息类别，通信量测定部190将测定出的通信量作为在当前状态182下接收到的通信量，来更新存储部180中的通信量183。

使用图11对本实施方式的消息信息181a进行说明。

图11所示的消息信息181a是白名单，在表中记载了许可通信的消息。在消息信息181a中，设定有许可通信以及传送的消息。此时，成为在消息信息181a中设定的消息属性812表示消息的通信被许可的许可与否信息813a。但是，与实施方式1同样，消息信息181a也可以在表中记载禁止通信的消息作为黑名单。此外，消息信息181a也可以采用具有用于判定通信的许可与否的标志的结构。

在图11所示的消息信息181a中，登记了行号81、消息类别82、车辆状态811以及通信量阈值84。行号81、消息类别82及车辆状态811与实施方式1的图2相同。通信量阈值84是确定消息的消息属性812的一例。通信量阈值84是进行通信的消息的通信量的阈值。具体而言，通信量阈值84是针对各消息类别82而言，在各车辆状态811下被许可的通信量的阈值。在图11的具体例中，diag消息表示在停车中，许可至500kbyte/min。

＊＊＊动作的说明＊＊＊

使用图5、图6及图12至图14对本实施方式的车辆通信监视方法610a及车辆通信监视程序620a的车辆通信监视处理s100a进行说明。图5、图6及图12至图14是示出车辆通信监视装置100a从外部系统601接收到消息时流程图的一例的图。另外，图5、图6以及图12至图14的流程图记载了使用图11所示的白名单型的消息信息181a的情况。

车辆通信监视处理s100a具有图5的消息信息取得处理s10、图6的状态取得处理s20、图12的通信量取得处理s50、图13的判定处理s30a以及图14的消息取得处理s40a。

<消息信息取得处理s10和状态取得处理s20>

消息信息取得处理s10和状态取得处理s20与在实施方式1的图5和图6中说明的内容相同。

＜通信量取得处理s50＞

使用图12说明本实施方式的通信量取得处理s50。

在通信量取得处理s50中，通信量测定部190取得车辆的当前状态作为当前状态182。状态取得处理s20的具体处理如下所述。

在步骤s51中，通信量测定部190从协议转换部150接受通信消息501。

在步骤s52中，通信量测定部190取得从协议转换部150接受到的通信消息501的消息类别。此外，通信量测定部190从存储部180取得当前状态182。

在步骤s53中，通信量测定部190对取得的通信消息501测定在xx时间接收到的通信量。另外，xx时间为任意的时间。针对通信消息501的消息类别，通信量测定部190将测定出的通信量作为在当前状态182下接收到的通信量，覆盖存储部180中的通信量183。另外，xx为任意的时间。

＜判定处理s30a＞

在判定处理s30a中，判定部160根据当前状态182、通信消息501的通信量183以及消息信息181a，判定在车辆处于当前状态182的情况下，通信量183是否在通信量阈值84以内。判定部160根据通信量183是否在通信量阈值84以内，判定通信消息501的通信是否被许可。判定处理s30a的具体处理如下所述。

使用图13对本实施方式的判定处理s30a进行说明。

在步骤s31中，判定部160从协议转换部150接受通信消息501。判定部160取得确定通信消息501的通信消息属性502。通信消息属性502包含通信消息501的消息类别。

在步骤s32中，判定部160确认在消息信息取得处理s10中取得的消息信息181的消息类别82中是否存在与通信消息属性502所包含的消息类别相符的消息类别。当存在的情况下，处理进入步骤s33a。当不存在的情况下，处理进入步骤s35。

另外，步骤s31和步骤s32的处理与在实施方式1的图7中说明的处理相同。

在步骤s33a中，判定部160分析通信消息501，从存储部180取得与通信消息501对应的通信量183。

在步骤s34a中，判定部160基于消息信息181、车辆的当前状态182、通信消息501的通信量183，判定通信消息501的通信量183是否在车辆处于当前状态182时的通信量阈值84以内。当在通信量阈值84以内的情况下，处理进入步骤s36。在不许可的情况下，处理进入步骤s35。

在步骤s35中，判定部160向协议转换部150输出不可传送的判定结果161。

在步骤s36中，判定部160向协议转换部150输出许可传送的判定结果161。

另外，步骤s35和步骤s36的处理与在实施方式1的图7中说明的处理相同。

<消息取得处理s40a>

使用图14说明本实施方式的消息取得处理s40a。

步骤s41到步骤s42的处理、以及步骤s44到步骤s47的处理与在实施方式1的图8中说明的处理相同。与实施方式1的图8不同的处理是步骤s43a。

在步骤s43a中，协议转换部150将转换后的通信消息501输出到判定部160和通信量测定部190。

＊＊＊其他结构＊＊＊

与实施方式1同样地，本实施方式的车辆通信监视装置100a也可以具有在阻止了不正当消息时，通过车载显示器或扬声器这样的输出装置向驾驶员通知的功能。通过该功能，驾驶员能够识别出车载系统602被攻击，并进行使车辆停车这样的应对。

另外，在本实施方式中，也可以与实施方式1同样地，针对从车辆内部向车辆外部的消息，同样地进行处理。由此，能够防止车载系统602的不正当操作所导致的机密信息或个人信息的泄漏。另外，在处理从车辆内部向车辆外部的消息时，协议转换部将从内部接收控制部接收到的协议转换前的消息作为通信消息发送给判定部和接收量测定部。然后，在来自判定部的判定结果为许可传送的情况下，协议转换部对通信消息的协议进行转换，并将转换后的通信消息输出到外部发送控制部。

＊＊＊本实施方式的效果的说明＊＊＊

在本实施方式的车辆通信监视装置100a中，通过掌握车辆状态，禁止传送超过了在现状的车辆状态下许可的通信量的消息，防止不正当消息通过侵入车辆内部网络而入侵车载系统602。根据本实施方式的车辆通信监视装置100a，由于不确认消息的详细消息内容，因此，如果能够判别作为发送目的地的headunit或ecu这样的消息的目的地，则即使是加密的通信，也能够阻止不正当消息。

以上，对实施方式1和2进行了说明。在实施方式1和2中，车辆通信监视装置的各部分作为独立的功能块而构成车辆通信监视装置。但是，也可以不是上述实施方式那样的结构，车辆通信监视装置的结构是任意的。构成车辆通信监视装置的功能块只要能够实现在上述实施方式中说明的功能，则是任意的。也可以将这些功能块以其他任意的组合或任意的块结构来构成车辆通信监视装置。

另外，车辆通信监视装置也可以不是一个装置，而是由多个装置构成的系统。

对实施方式1和2进行了说明，但也可以将这些实施方式中的多个部分组合来实施。或者，也可以实施这些实施方式中的一个部分。除此之外，也可以将这些实施方式作为整体或部分地、以任意方式组合来实施。

另外，上述实施方式是本质上优选的例示，并非意图限制本发明、其适用物以及用途的范围，可以根据需要进行各种变更。

标号说明

50：消息取得部；100、100a：车辆通信监视装置；110：外部发送控制部；120：外部接收控制部；130：内部发送控制部；140：内部接收控制部；150：协议转换部；160：判定部；161：判定结果；170：状态取得部；180：存储部；181、181a、181x、181y：消息信息；182：当前状态；183：通信量；190：通信量测定部；81：行号；82：消息类别；83：详细消息内容；84：通信量阈值；501：通信消息；502：通信消息属性；601：外部系统；602：车载系统；610、610a：车辆通信监视方法；620、620a：车辆通信监视程序；811：车辆状态；812：消息属性；813、813x、813y：许可与否信息；909：处理电路；910：处理器；920：存储装置；921：存储器；922：辅助存储装置；930：输入接口；940：输出接口；951：外部接口；952：内部接口；s100：车辆通信监视处理；s10：消息信息取得处理；s20：状态取得处理；s30、s30a：判定处理；s40：消息取得处理；s50：通信量取得处理。