JP2019161605A - Master electronic controller, slave electronic controller, electronic control system, communication control method, and communication control program - Google Patents
Master electronic controller, slave electronic controller, electronic control system, communication control method, and communication control program Download PDFInfo
- Publication number
- JP2019161605A JP2019161605A JP2018049813A JP2018049813A JP2019161605A JP 2019161605 A JP2019161605 A JP 2019161605A JP 2018049813 A JP2018049813 A JP 2018049813A JP 2018049813 A JP2018049813 A JP 2018049813A JP 2019161605 A JP2019161605 A JP 2019161605A
- Authority
- JP
- Japan
- Prior art keywords
- key
- timing
- electronic control
- slave
- master
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、鍵の送受信を必要とする通信ネットワークにおけるマスタ電子制御装置、スレーブ電子制御装置、電子制御システム、通信制御方法及び通信制御プログラムに関する。 The present invention relates to a master electronic control device, a slave electronic control device, an electronic control system, a communication control method, and a communication control program in a communication network that requires key transmission / reception.
従来から、通信ネットワークの外部からの不正なアクセスやデータがないかを検知するネットワークシステムに関する研究開発が行われている。例えば、特許文献1では、複数の装置間でセッション鍵を共有し、送受信するメッセージに関してセッション鍵を照合することで、不正を検知する。また、特許文献2では、複数の装置間で共有された鍵に基づいて生成されるメッセージ認証子(Message Authentication Code)を利用して、送受信されるメッセージの不正を検知する。 Conventionally, research and development have been conducted on network systems that detect unauthorized access and data from outside a communication network. For example, in Patent Document 1, an injustice is detected by sharing a session key between a plurality of devices and collating the session key with respect to a message to be transmitted and received. Moreover, in patent document 2, the fraud of the message transmitted / received is detected using the message authenticator (Message Authentication Code) produced | generated based on the key shared among several apparatuses.
このように、不正検知に用いられる鍵を複数の装置間で共有するにあたり、特許文献1では、イグニッションON時に新たな鍵を送受信する。しかしながら、通信負荷が高い場合には、一部の装置では新たな鍵を遅れて取得する可能性がある。その場合、当該一部の装置では、受信したメッセージの認証に失敗する恐れが生じ得る。 As described above, in sharing a key used for fraud detection among a plurality of devices, in Patent Document 1, a new key is transmitted and received when the ignition is turned on. However, when the communication load is high, some devices may acquire a new key with a delay. In that case, there is a possibility that some of the devices may fail to authenticate the received message.
本開示は、上述の事情に鑑みてされたものであり、複数の装置間で鍵を共有する際の同期化を目的とする電子制御システム、マスタ電子制御装置、スレーブ電子制御装置、通信制御方法及び通信制御プログラムを提供することを目的とする。 The present disclosure has been made in view of the above-described circumstances, and an electronic control system, a master electronic control device, a slave electronic control device, and a communication control method for synchronization when a key is shared among a plurality of devices And a communication control program.
本開示の一態様である電子制御システムは、第1スレーブ電子制御装置及び第2スレーブ電子制御装置と、通信ネットワーク(15)を介して前記第1スレーブ電子制御装置及び前記第2スレーブ電子制御装置とメッセージを送受信するマスタ電子制御装置と、を備える電子制御システム(1)であって、前記マスタ電子制御装置は、前記第1スレーブ電子制御装置との前記メッセージの認証に用いる鍵として、有効である第1有効鍵と未だ有効でない第1未有効鍵とを記憶し、前記第2スレーブ電子制御装置との前記メッセージの認証に用いる鍵として、有効である第2有効鍵と未だ有効でない第2未有効鍵とを記憶するマスタ側鍵記憶部(112)と、前記第1スレーブ電子制御装置の第1のタイミングで前記第1未有効鍵を前記通信ネットワークを介して前記第1スレーブ電子制御装置と共有し、前記第2スレーブ電子制御装置の第1のタイミングで前記第2未有効鍵を前記通信ネットワークを介して前記第2スレーブ電子制御装置と共有するマスタ側鍵通信制御部(111)と、前記第1スレーブ電子制御装置の前記第1のタイミングよりも後で、前記第2スレーブ電子制御装置の前記第1のタイミングよりも後の、第2のタイミングで前記マスタ側記憶部に記憶された前記第1未有効鍵及び前記第2未有効鍵を有効化するマスタ側鍵有効化部(113)と、を備え、前記第1スレーブ電子制御装置は、前記第1有効鍵、及び前記第1未有効鍵を記憶する第1スレーブ側鍵記憶部(122−1)と、前記第1スレーブ電子制御装置の前記第1のタイミングで前記第1未有効鍵を前記通信ネットワークを介して前記マスタ電子制御装置と共有する第1スレーブ側鍵通信制御部(121−1)と、前記第2のタイミングで前記第1スレーブ側鍵記憶部に記憶された前記第1未有効鍵を有効化する第1スレーブ側鍵有効化部(123−1)と、を備え、前記第2スレーブ電子制御装置は、前記第2有効鍵、及び前記第2未有効鍵を記憶する第2スレーブ側鍵記憶部(122−2)と、前記第2スレーブ電子制御装置の前記第1のタイミングで前記第2未有効鍵を前記通信ネットワークを介して前記マスタ電子制御装置と共有する第2スレーブ側鍵通信制御部(121−2)と、前記第2のタイミングで前記第2スレーブ側鍵記憶部に記憶された前記第2未有効鍵を有効化する第2スレーブ側鍵有効化部(123−2)と、を備えることを特徴とする電子制御システムである。 An electronic control system according to an aspect of the present disclosure includes a first slave electronic control device, a second slave electronic control device, and the first slave electronic control device and the second slave electronic control device via a communication network (15). And an electronic control system (1) comprising a master electronic control device for transmitting and receiving messages, wherein the master electronic control device is effective as a key used for authentication of the message with the first slave electronic control device. A first valid key that is not yet valid and a first invalid key that is not yet valid are stored, and a second valid key that is valid and a second that is not yet valid are used as keys for authenticating the message with the second slave electronic control unit. A master-side key storage unit (112) that stores an invalid key and the first invalid key at the first timing of the first slave electronic control unit. Shared with the first slave electronic control unit via a network, and shared with the second slave electronic control unit via the communication network at the first timing of the second slave electronic control unit A master-side key communication control unit (111) that performs a second after the first timing of the first slave electronic control device and after the first timing of the second slave electronic control device. A master-side key validation unit (113) that validates the first and second non-valid keys stored in the master-side storage unit at the timing of the first slave electronic control unit Includes a first slave side key storage unit (122-1) for storing the first valid key and the first non-valid key, and at the first timing of the first slave electronic control unit. Effectiveness The first slave side key communication control unit (121-1) sharing the master electronic control unit with the master electronic control unit via the communication network, and the first slave side key storage unit stored in the first slave side key storage unit at the second timing. A first slave side key validating unit (123-1) for validating one ineffective key, and the second slave electronic control unit stores the second effective key and the second ineffective key. And the second slave side key storage unit (122-2) that shares the second invalid key with the master electronic control unit via the communication network at the first timing of the second slave electronic control unit Second slave-side key communication control unit (121-2) and second slave-side key validation for validating the second ineffective key stored in the second slave-side key storage unit at the second timing Part (123-2), It is an electronic control system characterized by comprising.
上述のような構成により、複数の装置間で鍵を共有する際の同期化を行うことができる。 With the configuration as described above, synchronization can be performed when a key is shared among a plurality of devices.
以下、本発明の電子制御システム1、並びにそれに含まれるマスタ電子制御装置11及びスレーブ電子制御装置12の構成及び機能について、図面を参照して説明する。
ここで、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。
また、少なくとも鉤括弧内の語は、特許請求の範囲又は課題を解決するための手段の項に記載された語を意味し、同じく以下の実施形態に限定されるものではない。
さらに特許請求の範囲の従属項に記載の構成及び方法、従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに特許請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明においては任意の構成及び方法である。
なお、各実施形態に開示の構成は、各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。
発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の手段と共に発明の進歩性を肯定する事実である。
Hereinafter, the configurations and functions of the electronic control system 1 of the present invention, and the master electronic control device 11 and the slave electronic control device 12 included therein will be described with reference to the drawings.
Here, the present invention means the invention described in the section of the claims or means for solving the problems, and is not limited to the following embodiments.
Further, at least the words in square brackets mean the words described in the claims or the means for solving the problems, and are not limited to the following embodiments.
Furthermore, the configurations and methods described in the dependent claims, the configurations and methods of the embodiments corresponding to the configurations and methods described in the dependent claims, and the configurations and methods described only in the embodiments that are not described in the claims. The method is any configuration and method in the present invention.
Note that the configuration disclosed in each embodiment is not closed only by each embodiment, and can be combined across the embodiments.
The problem described in the problem to be solved by the invention is not a publicly known problem, but has been independently found by the inventor and is a fact that confirms the inventive step together with the means of the present invention.
図1に示されるように、電子制御システム1は、外部装置8に通信接続されている。外部装置8は、有線通信により接続されるツールでもよいし、無線通信により接続されるセンタでもよい。また外部装置8とは接続されない構成であってもよい。電子制御システム1は、例えば車両に載置された車両ネットワークシステムとして構成される。電子制御システム1は、通信ネットワーク15に接続されたマスタ電子制御装置11及び複数のスレーブ電子制御装置12を有している。本実施形態においては、複数のスレーブ電子制御装置12は、nを2以上の整数として、第1〜第nスレーブ電子制御装置12と呼ぶこともある。通信ネットワーク15には、CAN(登録商標)等のシリアル通信規格、Ethernet(登録商標)やWi−Fi(登録商標)等のLAN(Local Area Network)通信規格その他の通信方式を用いることができる。また、本実施形態においては、マスタ電子制御装置11は、外部装置8と接続されたゲートウェイ等のプロトコル変換機能を有する装置とするが、プロトコル変換機能を有さない電子制御装置として構成されていてもよい。 As shown in FIG. 1, the electronic control system 1 is communicatively connected to an external device 8. The external device 8 may be a tool connected by wired communication or a center connected by wireless communication. Moreover, the structure which is not connected with the external apparatus 8 may be sufficient. The electronic control system 1 is configured as a vehicle network system mounted on a vehicle, for example. The electronic control system 1 includes a master electronic control device 11 and a plurality of slave electronic control devices 12 connected to a communication network 15. In the present embodiment, the plurality of slave electronic control devices 12 may be referred to as first to nth slave electronic control devices 12 where n is an integer of 2 or more. For the communication network 15, a serial communication standard such as CAN (registered trademark), a LAN (Local Area Network) communication standard such as Ethernet (registered trademark) or Wi-Fi (registered trademark), and other communication methods can be used. In the present embodiment, the master electronic control device 11 is a device having a protocol conversion function such as a gateway connected to the external device 8, but is configured as an electronic control device having no protocol conversion function. Also good.
マスタ電子制御装置11、複数のスレーブ電子制御装置12及び外部装置8は、例えば、主に半導体装置で構成され、CPU(Central Processing Unit)、RAM(Random Access Memory)等の揮発性記憶部等を有する、いわゆる情報処理装置として構成されていてもよい。情報処理装置は、フラッシュメモリ等の不揮発性記憶部、通信ネットワーク15等に接続されるネットワークインターフェース部等を更に有していてもよい。また、このような情報処理装置はパッケージ化された半導体装置であっても、配線基板において各半導体装置が配線接続された構成であってもよい。 The master electronic control device 11, the plurality of slave electronic control devices 12, and the external device 8 are mainly composed of semiconductor devices, for example, and include a volatile storage unit such as a CPU (Central Processing Unit) and a RAM (Random Access Memory). It may be configured as a so-called information processing apparatus. The information processing apparatus may further include a nonvolatile storage unit such as a flash memory, a network interface unit connected to the communication network 15, and the like. Further, such an information processing apparatus may be a packaged semiconductor device or a configuration in which each semiconductor device is connected by wiring on a wiring board.
図2に示されるように、マスタ電子制御装置11は、マスタ側鍵通信制御部111、マスタ側鍵記憶部112、マスタ側鍵有効化部113、有効化指示制御部114、情報取得部115及び外部通信部116を有している。マスタ側鍵通信制御部111は、第1のタイミングで、「メッセージの認証に使用する鍵」であって「未だ有効でない未有効鍵」を、通信ネットワーク15を介した「複数の通信先」と「共有」する。マスタ側鍵記憶部112は、不揮発性メモリにより構成され、マスタ電子制御装置11で使用する「有効な鍵」である有効鍵、及び「未だ有効でない鍵」である未有効鍵を記憶する。マスタ側鍵有効化部113は、有効化指示制御部114が有効化指示を送信したときに、未有効鍵を有効化する。 As shown in FIG. 2, the master electronic control unit 11 includes a master side key communication control unit 111, a master side key storage unit 112, a master side key validation unit 113, an validation instruction control unit 114, an information acquisition unit 115, and An external communication unit 116 is included. At the first timing, the master-side key communication control unit 111 converts the “key used for message authentication”, which is not yet valid, to “multiple communication destinations” via the communication network 15. "Share. The master-side key storage unit 112 is configured by a non-volatile memory, and stores an effective key that is an “effective key” and an ineffective key that is an “invalid key” used in the master electronic control device 11. The master-side key validation unit 113 validates the invalid key when the validation instruction control unit 114 transmits the validation instruction.
有効化指示制御部114は、第1のタイミングより後の第2のタイミングで、メッセージ認証に使用するために未有効鍵を有効にする有効化指示を、通信ネットワーク15を介して、複数の通信先に「同時に送信」する。情報取得部115は、鍵を使用した情報要求の送信と、情報要求に係る、その鍵を使用した情報を受信する。外部通信部116は、通信ネットワーク15とは異なる外部ネットワークから情報の外部要求を受信し、情報取得部115で取得した情報を外部要求の発信元に送信する。 The validation instruction control unit 114 sends a validation instruction for validating an invalid key to be used for message authentication at a second timing after the first timing via the communication network 15. "Send at the same time" first. The information acquisition unit 115 receives an information request using the key and information related to the information request using the key. The external communication unit 116 receives an external request for information from an external network different from the communication network 15, and transmits the information acquired by the information acquisition unit 115 to the source of the external request.
ここで、本発明の「メッセージの認証」には、メッセージの送信元の認証やメッセージが改ざんされていないことの認証の他、暗号化・復号化が含まれていてもよい。「メッセージの認証に使用する鍵」は、送信元の認証やメッセージが改ざんされていないことを認証する「メッセージの認証」で使用する鍵であり、例えばMACにおける共通鍵を意味する。「複数の通信先」は、複数の物理的に異なる装置だけでなく、単一の装置であっても、例えば、鍵がそれぞれ独立して異なる記憶領域に記憶されて、装置における異なる種類のメッセージに対してそれぞれ使用されるものである等の場合には、「複数の通信先」に含まれるものとする。鍵の「共有」は、通信を行う装置間で使用する鍵が、それぞれの装置に保持される状態、つまり共有される状態にすることを意味する。共有される状態は、送信及び受信の他、送信のみ又は受信のみによっても達成される。本実施形態においては鍵の送受信を鍵の交換もしくは共有と呼ぶこともある。複数の通信先と鍵を送受信する場合、通信先ごとに異なる鍵を使用してもよいし、同一の鍵を使用してもよい。 Here, “message authentication” of the present invention may include encryption / decryption in addition to authentication of a message transmission source and authentication that a message has not been tampered with. The “key used for message authentication” is a key used for “message authentication” for authenticating the sender and authenticating that the message has not been tampered with, and means, for example, a common key in the MAC. “Multiple communication destinations” are not only a plurality of physically different devices, but also a single device, for example, keys are stored independently in different storage areas and different types of messages in the devices. In the case where each of them is used, it is included in “multiple communication destinations”. “Sharing” a key means that a key used between communicating devices is held in each device, that is, is shared. The shared state is achieved not only by transmission and reception but also by transmission only or reception only. In this embodiment, key transmission / reception may be referred to as key exchange or sharing. When transmitting / receiving a key to / from a plurality of communication destinations, a different key may be used for each communication destination, or the same key may be used.
「同時に送信」は、例えばブロードキャストのように1つのメッセージが複数の送信先で同時に受信される場合の他、送信バッファに個々の送信先のメッセージが連続して保存されることにより、連続して送信されるような場合を含む。「有効な鍵」とは、メッセージの送信及び受信のいずれか又は両方において、メッセージの認証に使用されている鍵をいい、「未だ有効でない鍵」は、未だメッセージの認証に使用されないが、将来「有効な鍵」が無効となる際に「有効な鍵」となる鍵を意味する。 “Send at the same time” is a case where a single message is received simultaneously at a plurality of destinations, for example, in the case of broadcast. Includes cases where it is transmitted. “Valid key” means a key that is used to authenticate a message in either or both of sending and receiving a message, and “not yet valid key” is not yet used to authenticate a message, but in the future It means a key that becomes an “valid key” when an “valid key” becomes invalid.
このような構成とすることにより、より効率的に鍵の取得及び有効化を行うことができる。また、例えば2つ以上の通信先間、特にこの場合にはマスタ電子制御装置11と複数のスレーブ電子制御装置12間で共通の鍵を使用する場合においても、同じタイミングで有効化することができるため、通信エラーの発生を抑えてメッセージの送受信を行うことができる。マスタ電子制御装置11のマスタ側鍵有効化部113は、有効化指示制御部114が有効化指示を送信するタイミングで、マスタ電子制御装置11内の有効な鍵を無効にすると共に、未有効鍵を有効化する。例えば、マスタ側鍵記憶部112に記憶された有効な鍵を未有効鍵で上書きすることで無効にしてもよいし、マスタ側鍵記憶部112に記憶された有効な鍵を削除することで無効にしてもよいし、マスタ側鍵記憶部112に記憶された有効な鍵が無効であることを示すフラグを設けてもよい。 With such a configuration, it is possible to more efficiently acquire and validate the key. Further, for example, even when a common key is used between two or more communication destinations, particularly in this case, between the master electronic control device 11 and the plurality of slave electronic control devices 12, it can be activated at the same timing. Therefore, it is possible to transmit and receive messages while suppressing the occurrence of communication errors. The master side key validating unit 113 of the master electronic control device 11 invalidates the valid key in the master electronic control device 11 at the timing when the validation instruction control unit 114 transmits the validation instruction, and also the invalid key. Activate. For example, the valid key stored in the master side key storage unit 112 may be invalidated by overwriting it with an invalid key, or the valid key stored in the master side key storage unit 112 may be invalidated. Alternatively, a flag indicating that the valid key stored in the master side key storage unit 112 is invalid may be provided.
ここで、「第1のタイミング」は、電源ONやイグニッションON等のタイミングである第1の電源ONタイミングから所定時間経過したタイミングとする。例えば、電源ON時における、通信ネットワーク15に接続された機器の初期処理に伴う通信が混雑する時間を所定時間と定め、所定時間の経過後に、鍵の送受信を行うこととする。これにより、通信遅延を抑制した鍵の交換を行うことができると共に、電源ON時の通信混雑を緩和することができる。
ここで、本発明の「第1の電源ONタイミング」とは、電子制御システム1の起動タイミングの他、各電子制御装置の電源ONタイミングとしてもよく、例えば車両に載置されるマスタ電子制御装置11においては、電源ON又はイグニッションONのタイミングとしてもよい。「所定時間」は、予め定められた時間であり、例えばタイマーにより第1の電源ONタイミングからの時間を計測することとしてもよい。
Here, the “first timing” is a timing at which a predetermined time has elapsed from the first power-on timing, which is a timing such as power-on or ignition-on. For example, when the power is turned on, the time during which communication associated with the initial processing of the devices connected to the communication network 15 is congested is defined as a predetermined time, and the key is transmitted and received after the predetermined time has elapsed. As a result, it is possible to exchange keys while suppressing communication delay, and to reduce communication congestion when the power is turned on.
Here, the “first power-on timing” of the present invention may be the power-on timing of each electronic control device in addition to the start timing of the electronic control system 1, for example, a master electronic control device mounted on a vehicle. 11 may be the timing of power ON or ignition ON. The “predetermined time” is a predetermined time, and for example, the time from the first power-on timing may be measured by a timer.
また、第2のタイミングは、「第2の電源ONタイミング」とすることができる。ここで、本発明の「第2の電源ONタイミング」とは、電子制御システム1の起動タイミングの他、各電子制御装置の電源ONタイミングとしてもよく、例えば車両に載置されるマスタ電子制御装置においては、電源ON又はイグニッションONのタイミングとしてもよい。また、マスタ側鍵通信制御部が鍵を送受信する際に参照するタイミングである第1の電源ONタイミングと、有効化指示制御部が有効化指示を送信するタイミングである第2の電源ONタイミングとは、同じ条件であっても異なっていてもよい。同じ場合には、第1の電源ONタイミングの後に発生する第2の電源ONタイミングにおいて、第1の電源ONタイミング後に交換された未有効鍵が第2の電源ONタイミングにおいて有効化される。以上は、後述のスレーブ電子制御装置においても同様である。
これにより、第2の電源ONタイミングにおいて同時に鍵を有効化することができるため、より安全にメッセージを送受信することができる。本実施形態において鍵は、一時的に有効なセッション鍵を例に説明するが、本開示の電子制御システム1はセッション鍵の共有及び有効化に限らず、他の種類の鍵に対しても用いることができる。
The second timing can be a “second power-on timing”. Here, the “second power-on timing” of the present invention may be the power-on timing of each electronic control device in addition to the start timing of the electronic control system 1, for example, a master electronic control device mounted on a vehicle. In this case, the timing may be when the power is turned on or the ignition is turned on. In addition, a first power-on timing that is a timing that is referred to when the master-side key communication control unit transmits and receives a key, and a second power-on timing that is a timing at which the validation instruction control unit transmits an validation instruction; May be the same or different. In the same case, the non-valid key exchanged after the first power-on timing is validated at the second power-on timing at the second power-on timing generated after the first power-on timing. The same applies to the slave electronic control device described later.
As a result, the key can be validated simultaneously at the second power-on timing, so that the message can be transmitted and received more safely. In the present embodiment, a description will be given by using a temporarily valid session key as an example. However, the electronic control system 1 according to the present disclosure is not limited to sharing and validating a session key, and is also used for other types of keys. be able to.
図3に示されるように、スレーブ電子制御装置12は、スレーブ側鍵通信部121、スレーブ側鍵記憶部122、及びスレーブ側鍵有効化部123を有している。ここで、各スレーブ電子制御装置12である第1スレーブ電子制御装置12−1〜第nスレーブ電子制御装置12−nに係る各構成について示すときは、それぞれ第1スレーブ側鍵通信制御部121−1〜第nスレーブ側鍵通信制御部121−n、第1スレーブ側鍵記憶部122−1〜第nスレーブ側鍵記憶部122−n、及び第1スレーブ側鍵有効化部123−1〜第nスレーブ側鍵有効化部123−nの符号を用いて示すこととする。スレーブ側鍵通信制御部121は、第1のタイミングで、「メッセージの認証に使用する鍵」であって「未だ有効でない未有効鍵」を、通信ネットワーク15を介して通信先と「共有」する。スレーブ側鍵記憶部122は、不揮発性メモリにより構成され、「有効な鍵」である有効鍵、及び「未だ有効でない鍵」である未有効鍵を記憶する。スレーブ側鍵有効化部123は、通信ネットワーク15に接続される他の装置内に記憶された未有効鍵をメッセージ認証に使用するために有効化する第2のタイミングで、スレーブ側鍵記憶部122に記憶された未有効鍵を有効化する。ここで、スレーブ側鍵有効化部123は、通信ネットワーク15を介して、未有効を有効にする指示である有効化指示を受信したときに未有効鍵を有効化する。 As shown in FIG. 3, the slave electronic control device 12 includes a slave side key communication unit 121, a slave side key storage unit 122, and a slave side key validation unit 123. Here, when each configuration related to the first slave electronic control device 12-1 to the n-th slave electronic control device 12-n, which is each slave electronic control device 12, is shown, the first slave side key communication control unit 121- 1st to n-th slave side key communication control unit 121-n, 1st slave-side key storage unit 122-1 to n-th slave-side key storage unit 122-n, and 1st slave-side key validation unit 123-1 to 1st This is indicated by using the code of the n slave side key enabling unit 123-n. The slave-side key communication control unit 121 “shares” the “key that is used for message authentication” and that is not yet valid with the communication destination via the communication network 15 at the first timing. . The slave-side key storage unit 122 is configured by a nonvolatile memory, and stores an effective key that is an “effective key” and an ineffective key that is an “invalid key”. The slave side key validating unit 123 is a second timing for validating the non-valid key stored in another device connected to the communication network 15 for use in message authentication. Activate the invalid key stored in. Here, the slave-side key validation unit 123 validates the invalid key when receiving the validation instruction that is an instruction to validate invalidity via the communication network 15.
図4に示すマスタ電子制御装置11及び複数のスレーブ電子制御装置12の処理シーケンス図を用いて、電子制御装置間の鍵交換及び鍵有効化の方法を説明する。一例として、マスタ側鍵記憶部112及びスレーブ側鍵記憶部122に、有効鍵が記憶されている状態で、新たな鍵を交換及び有効化する場合について説明する。 A method of key exchange and key validation between the electronic control devices will be described using the processing sequence diagram of the master electronic control device 11 and the plurality of slave electronic control devices 12 shown in FIG. As an example, a case where a new key is exchanged and validated in a state where a valid key is stored in the master side key storage unit 112 and the slave side key storage unit 122 will be described.
図4の電子制御システム1のシーケンス図に示されるように、まず、ステップS11において、電子制御システム1の電源ONやイグニッションON等により第1の電源ONタイミングが発生する。ここで、マスタ側鍵通信制御部111及びスレーブ側鍵通信制御部121は、第1の電源ONタイミングから所定時間経過した第1のタイミングにおいて、ステップS20の鍵の交換処理を行う。所定時間の経過を待って鍵を交換することにより、例えば電源ON時における、通信ネットワーク15に接続された機器の初期処理に伴う通信が混雑する所定時間の経過後に、鍵の送受信を行うことができるため、より効率的に鍵の取得を行うことができると共に、初期時の通信混雑を緩和することができる。 As shown in the sequence diagram of the electronic control system 1 in FIG. 4, first, in step S <b> 11, the first power-on timing is generated due to the power-on, ignition-on, etc. of the electronic control system 1. Here, the master-side key communication control unit 111 and the slave-side key communication control unit 121 perform the key exchange process in step S20 at a first timing after a predetermined time has elapsed from the first power-on timing. By exchanging the key after the elapse of the predetermined time, for example, when the power is turned on, the key can be transmitted / received after the elapse of the predetermined time when communication associated with the initial process of the device connected to the communication network 15 is congested. Therefore, the key can be acquired more efficiently, and the initial communication congestion can be reduced.
次にステップS20において、マスタ電子制御装置11は、第1〜第nスレーブ電子制御装置12のそれぞれと機器認証を行うと共に、第1〜第n鍵の交換を行う。機器認証は、例えばチャレンジレスポンス方式により行い、正しいノードであることが確認できた後に鍵の交換を行う。事前に機器認証の処理が終了している場合や必要のない場合等において、機器認証の処理は省略可能である。交換する鍵である第1〜第n鍵はすべて異なっていてもよいし、一部又は全部を同じ鍵としてもよい。また、送受信するメッセージの種類等に応じて異なる鍵を使用してもよいし、同じ鍵を使用してもよい。 Next, in step S20, the master electronic control device 11 performs device authentication with each of the first to nth slave electronic control devices 12, and exchanges the first to nth keys. The device authentication is performed by, for example, a challenge response method, and the key is exchanged after confirming that the node is correct. The device authentication process can be omitted when the device authentication process has been completed in advance or is unnecessary. The first to n-th keys to be exchanged may all be different, or some or all may be the same key. Different keys may be used depending on the type of message to be transmitted and received, or the same key may be used.
本実施形態においてステップS20は、ステップS21において第1スレーブ電子制御装置12、ステップS22において第2スレーブ電子制御装置12、ステップS23において第nスレーブ電子制御装置12と、それぞれ機器認証及び鍵交換を順次行っている。このように、マスタ側鍵通信制御部111は、複数の通信先のうち一の通信先との鍵の送受信の完了を待った上で、順次他の一の通信先との鍵の送受信を開始する。これにより、通信ネットワーク15を一時期に混雑させることなく鍵の交換を行うことができる。しかしながら、マスタ側鍵通信制御部111は、複数の通信先に対するそれぞれの鍵の送受信は、互いに「重複する時間」に行うこととしてもよい。つまり、複数の通信先のうち一の通信先との鍵の送受信の完了を待つことなく、並行して他の通信先との鍵の送受信を行う。これにより、より短時間で複数の通信先との鍵の交換処理を完了することができる。
ここで、本発明の「重複する時間」は、送受信が同時に行われる場合の他、鍵の送受信に関係するメッセージの送受信に要する時間が重複している場合を含む。
In this embodiment, step S20 sequentially performs device authentication and key exchange with the first slave electronic control device 12 at step S21, the second slave electronic control device 12 at step S22, and the nth slave electronic control device 12 at step S23. Is going. As described above, the master-side key communication control unit 111 waits for completion of key transmission / reception with one communication destination among a plurality of communication destinations, and then sequentially starts transmission / reception of keys with another communication destination. . Thereby, it is possible to exchange keys without congesting the communication network 15 at one time. However, the master-side key communication control unit 111 may perform transmission / reception of each key to / from a plurality of communication destinations at “duplicate time”. In other words, keys are exchanged with other communication destinations in parallel without waiting for completion of key transmission / reception with one of the plurality of communication destinations. Thus, the key exchange process with a plurality of communication destinations can be completed in a shorter time.
Here, “overlapping time” of the present invention includes not only the case where transmission and reception are performed simultaneously but also the case where the time required for transmission and reception of messages related to key transmission and reception overlaps.
次に、第1のタイミングより後の第2のタイミングが発生する。本実施形態においては、第2のタイミングは、第1の電源ONタイミングより後に発生する次の電源ONやイグニッションON等のタイミングである第2の電源ONタイミング(ステップ13)としている。しかしながら第2のタイミングは、例えば第1のタイミングから鍵の交換処理S20終了後の予め見積もられた時間に発生することとしてもよい。この第2の電源ONタイミングを契機として、ステップS14において、マスタ電子制御装置11の有効化指示制御部114は、鍵を有効にする有効化指示を、通信ネットワーク15を介して、複数のスレーブ電子制御装置12に同時に送信する。このステップS13における第2の電源ONタイミングにおいても、前述した鍵交換の処理と同様に、所定時間経過の後、有効化指示を送信(ステップ14)するようにしてもよい。 Next, a second timing after the first timing occurs. In the present embodiment, the second timing is a second power ON timing (step 13) that is a timing such as the next power ON or ignition ON that occurs after the first power ON timing. However, the second timing may occur, for example, at a previously estimated time after the end of the key exchange process S20 from the first timing. In response to the second power ON timing, in step S14, the activation instruction control unit 114 of the master electronic control device 11 sends an activation instruction for validating the key to the plurality of slave electronic devices via the communication network 15. It transmits to the control apparatus 12 simultaneously. Also at the second power-on timing in step S13, an activation instruction may be transmitted (step 14) after a predetermined time has elapsed, as in the key exchange process described above.
なお、有効化指示制御部114による有効化指示を同時に送信する第2のタイミングは、「時間周期的なタイミング」とすることもできる。時間周期的なタイミングとする場合には、有効化指示のタイミングから、次の時間周期の有効化指示のタイミングまでの間に新たな鍵を交換しておく。これにより、予め定められた時間間隔により新たな鍵を有効化することができるため、より安全にメッセージを送受信することができる。
ここで、本発明の「時間周期的なタイミング」とは、所定時間経過毎に発生するタイミングを意味する。
Note that the second timing at which the activation instruction by the activation instruction control unit 114 is transmitted at the same time may be “time-periodic timing”. In the case of time period timing, a new key is exchanged between the timing of the activation instruction and the timing of the activation instruction of the next time period. Thereby, since a new key can be validated at a predetermined time interval, messages can be transmitted and received more safely.
Here, the “time periodic timing” of the present invention means a timing that occurs every time a predetermined time elapses.
また、有効化指示制御部114による有効化指示を同時に送信するタイミングは、車両の所定走行距離に達する毎のタイミングとしてもよい。車両の所定走行距離に達する毎のタイミングとする場合には、有効化指示のタイミングから、次の所定走行距離に達した際の有効化指示のタイミングまでの間に新たな鍵を交換しておく。これにより、予め定められた走行距離により鍵を有効化することができるため、より安全にメッセージを送受信することができる。 Further, the timing at which the activation instruction by the activation instruction control unit 114 is transmitted at the same time may be the timing at which the vehicle reaches a predetermined travel distance. In the case of timing every time the vehicle reaches a predetermined travel distance, a new key is exchanged between the timing of the activation instruction and the timing of the activation instruction when the next predetermined travel distance is reached. . As a result, the key can be validated with a predetermined travel distance, so that messages can be transmitted and received more safely.
また、メッセージの種類等に応じて異なる鍵を使用する場合、新たな鍵に更新する頻度は、鍵が使用されるメッセージの秘匿性が高い程、高いものとすることができる。例えば、マスタ電子制御装置11は、メッセージの種類毎の秘匿性に応じて、上述した時間周期を、秘匿性が高いほど短く、秘匿性が低いほど長く設定しておく。また、所定走行距離を走行する毎に新たな鍵を有効化する前提の下、所定走行距離を、秘匿性が高いほど短く、秘匿性が低いほど長く設定してもよい。そして、設定した時間周期で新たな鍵に更新されるよう、マスタ側鍵通信制御部111は事前に鍵を共有し、有効化指示制御部114は時間周期のタイミングで有効化指示を送信する。これにより、秘匿性が高いメッセージについて、より安全性を高めることができると共に、秘匿性が低いメッセージについては、処理の負担を低減することができる。また、新たな鍵に更新する頻度は、メッセージの送受信の頻度が高い程、高いものとしてもよい。例えば、マスタ電子制御装置11は、メッセージの種類毎の送受信頻度を計測し、上述した時間周期を、送受信頻度が高いほど短く、送受信頻度が低いほど長く設定する。これにより、送受信の頻度が高いメッセージについて、より安全性を高めることができると共に、送受信の頻度が低いメッセージについては、処理の負担を低減することができる。 Further, when a different key is used depending on the message type or the like, the frequency of updating to a new key can be higher as the confidentiality of the message using the key is higher. For example, the master electronic control unit 11 sets the above-described time period to be shorter as the secrecy is higher and longer as the secrecy is lower, according to the secrecy of each message type. Alternatively, the predetermined travel distance may be set shorter as the confidentiality is higher and longer as the confidentiality is lower, on the assumption that a new key is validated every time the predetermined travel distance is traveled. Then, the master side key communication control unit 111 shares the key in advance so that the key is updated with the set time period, and the activation instruction control unit 114 transmits the activation instruction at the timing of the time period. As a result, it is possible to improve the safety of a message with high confidentiality, and to reduce the processing burden for a message with low confidentiality. The frequency of updating to a new key may be higher as the frequency of message transmission / reception is higher. For example, the master electronic control unit 11 measures the transmission / reception frequency for each message type, and sets the above-described time period to be shorter as the transmission / reception frequency is higher and to be longer as the transmission / reception frequency is lower. As a result, it is possible to improve the safety of a message having a high frequency of transmission / reception, and to reduce the processing load of a message having a low frequency of transmission / reception.
ステップS15において、マスタ側鍵有効化部113は、有効化指示制御部114の有効化指示の送信後又は送信と同時に、有効化指示に係る未有効鍵である第1〜第n鍵を有効化する。マスタ電子制御装置11が送信する有効化指示は、有効化する鍵を識別する識別子を含めてもよい。一方、通信ネットワーク15を介して、鍵を有効にする有効化指示を受信した第1〜第nスレーブ電子制御装置12のスレーブ側鍵有効化部123は、それぞれステップS16〜S18において、スレーブ側鍵記憶部122に保存された未有効鍵のうち、有効化指示にて指定された識別子に対応する未有効鍵を有効化する。スレーブ電子制御装置12は、有効化した結果をマスタ電子制御装置11に応答してもよい。有効化指示が複数の未有効鍵に対して同じタイミングで送信されることにより、第1〜第nスレーブ電子制御装置12においては、同じタイミングで鍵の有効化を行うことができる。 In step S15, the master side key validation unit 113 validates the first to nth keys that are the invalid keys related to the validation instruction after or simultaneously with the transmission of the validation instruction from the validation instruction control unit 114. To do. The activation instruction transmitted by the master electronic control unit 11 may include an identifier for identifying the key to be activated. On the other hand, the slave-side key validation unit 123 of the first to n-th slave electronic control devices 12 that has received the validation instruction for validating the key via the communication network 15 performs the slave-side key in steps S16 to S18, respectively. Of the invalid keys stored in the storage unit 122, the invalid key corresponding to the identifier specified by the activation instruction is validated. The slave electronic control unit 12 may respond to the master electronic control unit 11 with the validated result. By transmitting the activation instruction to the plurality of ineffective keys at the same timing, the first to nth slave electronic control devices 12 can perform the key activation at the same timing.
ここで、マスタ電子制御装置11及び各スレーブ電子制御装置12は、有効化指示を送受信することなく、同じタイミングで有効化するよう構成してもよい。例えば、マスタ側鍵有効化部113及びスレーブ側鍵有効化部123は、内部クロックを用いて、予め定められた時間経過もしくは時刻に未有効鍵の有効化を行う。また、マスタ電子制御装置11及び各スレーブ電子制御装置12が、電源ON等を検知したタイミングや、通信ネットワークを介して取得した車両の走行距離が所定走行距離に達する毎のタイミング等の第2のタイミングで未有効鍵の有効化を行う。この場合、所定走行距離等の条件は、マスタ電子制御装置11及び各スレーブ電子制御装置12の間で、予め共有しておく。また、スレーブ側鍵有効化部123は、鍵が使用されるメッセージの秘匿性が高い程、高い頻度で未有効鍵を有効化することができる。例えば、マスタ電子制御装置11及びスレーブ電子制御装置12は、上述した時間周期として、メッセージの種類の秘匿性に応じた時間周期を、メッセージの種類毎に予め共有しておく。秘匿性が高いメッセージに対応する時間周期は短く、秘匿性が低いメッセージに対応する時間周期は長いものとする。そして、マスタ側鍵有効化部113及びスレーブ側鍵有効化部123は、例えば内部クロックを用いて、共有した時間周期に合わせてメッセージの種類に応じた未有効鍵の有効化を行う。これにより、秘匿性が高いメッセージについて、より安全性を高めることができると共に、秘匿性が低いメッセージについては、処理の負担を低減することができる。また、スレーブ側鍵有効化部123は、メッセージの送受信の頻度が高い程、高い頻度で未有効鍵を有効化することとしてもよい。例えば、マスタ電子制御装置11は、メッセージの種類毎の送受信頻度を計測し、上述した時間周期を、送受信頻度が高いほど短く、送受信頻度が低いほど長く設定する。この時間周期を、メッセージの種類毎に、予めスレーブ電子制御装置12と共有しておく。これにより、送受信の頻度が高いメッセージについて、より安全性を高めることができると共に、送受信の頻度が低いメッセージについては、処理の負担を低減することができる。 Here, the master electronic control device 11 and each slave electronic control device 12 may be configured to be activated at the same timing without transmitting / receiving an activation instruction. For example, the master side key validating unit 113 and the slave side key validating unit 123 use the internal clock to validate the invalid key at a predetermined time or time. In addition, the second timing such as the timing when the master electronic control device 11 and each slave electronic control device 12 detect power-on or the like, or the timing when the travel distance of the vehicle acquired via the communication network reaches a predetermined travel distance, etc. The invalid key is validated at the timing. In this case, conditions such as the predetermined travel distance are shared in advance between the master electronic control device 11 and each slave electronic control device 12. In addition, the slave-side key validation unit 123 can validate the invalid key at a higher frequency as the confidentiality of the message in which the key is used is higher. For example, the master electronic control device 11 and the slave electronic control device 12 share in advance the time period corresponding to the confidentiality of the message type for each message type as the above-described time period. It is assumed that the time period corresponding to a message with high confidentiality is short and the time period corresponding to a message with low confidentiality is long. Then, the master side key validating unit 113 and the slave side key validating unit 123 use an internal clock, for example, to validate the invalid key according to the type of message in accordance with the shared time period. As a result, it is possible to improve the safety of a message with high confidentiality, and to reduce the processing burden for a message with low confidentiality. The slave-side key validation unit 123 may validate the invalid key at a higher frequency as the frequency of message transmission / reception increases. For example, the master electronic control unit 11 measures the transmission / reception frequency for each message type, and sets the above-described time period to be shorter as the transmission / reception frequency is higher and to be longer as the transmission / reception frequency is lower. This time period is shared with the slave electronic control device 12 in advance for each message type. As a result, it is possible to improve the safety of a message having a high frequency of transmission / reception, and to reduce the processing load of a message having a low frequency of transmission / reception.
次にステップS30において、マスタ電子制御装置11は、第1〜第nスレーブ電子制御装置12から情報を取得する。具体的には、まず、マスタ電子制御装置11の情報取得部115が、ステップS31において、第1スレーブ電子制御装置12に対して、鍵を使用して生成された認証子と共に、第1情報を要求する。引き続き、要求を受信した第1スレーブ電子制御装置12は、ステップS32において、要求に係る第1情報を、鍵を使用した認証子と共にマスタ電子制御装置11に送信する。次に、マスタ電子制御装置11の情報取得部115が、ステップS33において、第2スレーブ電子制御装置12に対して、鍵を使用して生成された認証子と共に、第2情報を要求する。引き続き、要求を受信した第2スレーブ電子制御装置12は、ステップS34において、要求に係る第2情報を、鍵を使用した認証子と共にマスタ電子制御装置11に送信する。最後に、マスタ電子制御装置11の情報取得部115が、ステップS35において、第nスレーブ電子制御装置12に対して、鍵を使用して生成された認証子と共に、第n情報を要求する。引き続き、要求を受信した第nスレーブ電子制御装置12は、ステップS36において、要求に係る第n情報を、鍵を使用した認証子と共にマスタ電子制御装置11に送信する。マスタ電子制御装置11の情報取得部115は、第1〜第n情報を受信し、それぞれ対応する第1〜第n鍵により受信した情報を認証する。 Next, in step S <b> 30, the master electronic control unit 11 acquires information from the first to nth slave electronic control units 12. Specifically, first, the information acquisition unit 115 of the master electronic control device 11 sends the first information to the first slave electronic control device 12 together with the authenticator generated using the key in step S31. Request. Subsequently, in step S32, the first slave electronic control device 12 that has received the request transmits the first information related to the request to the master electronic control device 11 together with the authenticator using the key. Next, in step S33, the information acquisition unit 115 of the master electronic control device 11 requests the second information together with the authenticator generated using the key from the second slave electronic control device 12. Subsequently, the second slave electronic control device 12 that has received the request transmits the second information related to the request to the master electronic control device 11 together with the authenticator using the key in step S34. Finally, in step S35, the information acquisition unit 115 of the master electronic control device 11 requests the nth information together with the authenticator generated using the key from the nth slave electronic control device 12. Subsequently, the nth slave electronic control device 12 that has received the request transmits the nth information related to the request to the master electronic control device 11 together with the authenticator using the key in step S36. The information acquisition unit 115 of the master electronic control device 11 receives the first to nth information and authenticates the information received using the corresponding first to nth keys.
なお、上述のスレーブ側鍵通信制御部121、スレーブ側鍵記憶部122及びスレーブ側鍵有効化部123のそれぞれの構成及び機能は、マスタ側鍵通信制御部111、マスタ側鍵記憶部112及びマスタ側鍵有効化部113の構成及び機能にも適用することができる。 The configurations and functions of the slave side key communication control unit 121, the slave side key storage unit 122, and the slave side key validation unit 123 described above are the same as the master side key communication control unit 111, the master side key storage unit 112, and the master. The present invention can also be applied to the configuration and function of the side key validation unit 113.
図5を用いて外部装置との情報の授受について説明する。
図5のシーケンス図において、図4のステップS11の第1の電源ONタイミングからステップS18の第n鍵有効化までと同様の処理は事前に行われているものとする。この図に示されるように、まずステップS41において、外部装置8とマスタ電子制御装置11との間で機器認証が行われる。互いの機器が認証されると、引き続き、ステップS42において、外部装置8は第1〜第n情報の要求するメッセージを、外部鍵により署名し、ステップS43において送信する。ここで、外部鍵とは、外部装置8とマスタ電子制御装置11との間で送受信されるメッセージを認証するために用いられる鍵である。
Information exchange with an external device will be described with reference to FIG.
In the sequence diagram of FIG. 5, it is assumed that the same processing from the first power-on timing in step S11 of FIG. 4 to the activation of the n-th key in step S18 is performed in advance. As shown in this figure, first, in step S41, device authentication is performed between the external device 8 and the master electronic control device 11. When the mutual devices are authenticated, in step S42, the external apparatus 8 signs the message requested by the first to nth information with the external key, and transmits it in step S43. Here, the external key is a key used for authenticating a message transmitted / received between the external device 8 and the master electronic control device 11.
マスタ電子制御装置11の外部通信部116は第1〜第n情報要求のメッセージを受信し、引き続き情報取得部115が、ステップS30において、第1〜第nスレーブ電子制御装置12から情報を取得する。ステップS30の処理は、図4のステップS30と同様であるため説明を省略する。マスタ電子制御装置11の情報取得部115により認証された第1〜第n情報は、ステップS44において、外部通信部116により外部鍵で署名され、ステップS45において外部装置8に送信される。 The external communication unit 116 of the master electronic control device 11 receives the first to nth information request messages, and the information acquisition unit 115 continues to acquire information from the first to nth slave electronic control devices 12 in step S30. . The process in step S30 is the same as step S30 in FIG. The first to n-th information authenticated by the information acquisition unit 115 of the master electronic control device 11 is signed with the external key by the external communication unit 116 in step S44 and transmitted to the external device 8 in step S45.
図6を用いて鍵の有効期間の例を説明する。図6において鍵の有効期間は、電源ONのタイミングから次の電源ONのタイミング迄としている。例えば、イグニッションONを契機に未有効鍵を交換し、次回イグニッションONで未有効鍵を同時に有効化する。また、鍵の送受信に際して参照する第1の電源ONタイミングすなわち所定時間の開始の起算点は、鍵の有効化を行うタイミングである第2のタイミングと同じ電源ONタイミングとしている。第1〜第nスレーブ電子制御装置12の各々のスレーブ側鍵有効化部123は、第2のタイミングである電源ON時において、それぞれ第1〜第n鍵を有効化する。次の第1〜第n鍵は、第1の電源ONタイミングである電源ON時から所定時間の経過を待って、送受信を開始する。図6においては、第1〜第n鍵は、対応する第1〜第nスレーブ電子制御装置12において順次送受信されることとしているが、第1〜第n鍵の送受信は、互いに重複する時間に行われてもよい。 An example of the key validity period will be described with reference to FIG. In FIG. 6, the key valid period is from the power-on timing to the next power-on timing. For example, an invalid key is exchanged when the ignition is turned on, and the invalid key is simultaneously validated when the ignition is turned on next time. Further, the first power-on timing that is referred to when the key is transmitted / received, that is, the starting point of the start of the predetermined time, is the same power-on timing as the second timing that is the timing at which the key is activated. Each of the slave-side key validation units 123 of the first to n-th slave electronic control devices 12 validates the first to n-th keys when the power is turned on, which is the second timing. The next first to n-th keys start transmission / reception after a predetermined time has elapsed since the power-on, which is the first power-on timing. In FIG. 6, the first to n-th keys are sequentially transmitted and received in the corresponding first to n-th slave electronic control devices 12, but the first to n-th keys are transmitted and received at overlapping times. It may be done.
送受信された新たな第1〜第n鍵は、未有効な鍵としてそれぞれのスレーブ側鍵記憶部122に保存される。有効な第1〜第n鍵は、次の電源ONタイミングにおいて無効化され、それと共に未有効な新たな第1〜第n鍵が有効化される。これにより、より効率的に鍵の取得及び有効化を行うことができる。また、例えば2つ以上の通信先間、特にこの場合にはマスタ電子制御装置11と複数のスレーブ電子制御装置12間で共通の鍵を使用する場合においても、同じタイミングで有効化することができるため、通信エラーの発生を抑えてメッセージの送受信を行うことができる。ここで各スレーブ側鍵有効化部123による鍵の有効化は、マスタ電子制御装置11の有効化指示制御部114により送信された有効化指示を受信することを契機として行われることとしてもよい。 The new first to n-th keys transmitted and received are stored in the respective slave-side key storage units 122 as invalid keys. The valid first to n-th keys are invalidated at the next power-on timing, and new invalid first to n-th keys are validated at the same time. As a result, the key can be acquired and validated more efficiently. Further, for example, even when a common key is used between two or more communication destinations, particularly in this case, between the master electronic control device 11 and the plurality of slave electronic control devices 12, it can be activated at the same timing. Therefore, it is possible to transmit and receive messages while suppressing the occurrence of communication errors. Here, the key validation by each slave-side key validation unit 123 may be triggered by receiving the validation instruction transmitted by the validation instruction control unit 114 of the master electronic control device 11.
図7を用いて鍵の有効期間の他の例を説明する。図7において鍵の有効期間は、すなわち第2のタイミングが発生する周期は、予め定められた時間周期としている。この図に示されるように、第1〜第nスレーブ電子制御装置12の各々のスレーブ側鍵有効化部123は、時間周期ごとにそれぞれ第1〜第n鍵を有効化する。次の第1〜第n鍵は、時間周期が開始されると送受信されるが、その間に電源ON等の第1の電源ONタイミングが発生すると鍵の送受信は行わず、所定時間の経過を待って、鍵の送受信を再開する。図7においては、第1〜第n鍵は、対応する第1〜第nスレーブ電子制御装置12において順次送受信されることとしているが、第1〜第n鍵の送受信は、互いに重複する時間に行われてもよい。 Another example of the key validity period will be described with reference to FIG. In FIG. 7, the key validity period, that is, the period at which the second timing occurs is a predetermined time period. As shown in this figure, each slave-side key validation unit 123 of each of the first to n-th slave electronic control devices 12 validates the first to n-th keys for each time period. The next 1st to nth keys are transmitted / received when the time period starts, but when the first power-on timing such as power-on occurs during that time, the keys are not transmitted / received, and a predetermined time has passed. To resume key transmission / reception. In FIG. 7, the first to n-th keys are sequentially transmitted and received in the corresponding first to n-th slave electronic control devices 12, but the first to n-th keys are transmitted and received at times overlapping each other. It may be done.
新たな第1〜第n鍵は、図6と同様に、未有効な鍵としてそれぞれのスレーブ側鍵記憶部122に保存される。有効な第1〜第n鍵は、次の時間周期の開始時において無効化され、それと共に未有効な次の第1〜第n鍵が有効化される。これにより、図6と同様に、より効率的に鍵の取得及び有効化を行うことができる。また、例えば2つ以上の通信先間、特にこの場合にはマスタ電子制御装置11と複数のスレーブ電子制御装置12間で共通の鍵を使用する場合においても、同じタイミングで有効化することができるため、通信エラーの発生を抑えてメッセージの送受信を行うことができる。ここで各スレーブ側鍵有効化部123による鍵の有効化は、マスタ電子制御装置11の有効化指示制御部114により送信された有効化指示を受信することを契機として行われることとしてもよい。 The new first to n-th keys are stored in the respective slave-side key storage units 122 as invalid keys, as in FIG. The valid first to nth keys are invalidated at the beginning of the next time period, and the next invalid first to nth keys are validated along with it. Thereby, the key can be acquired and validated more efficiently as in FIG. Further, for example, even when a common key is used between two or more communication destinations, particularly in this case, between the master electronic control device 11 and the plurality of slave electronic control devices 12, it can be activated at the same timing. Therefore, it is possible to transmit and receive messages while suppressing the occurrence of communication errors. Here, the key validation by each slave-side key validation unit 123 may be triggered by receiving the validation instruction transmitted by the validation instruction control unit 114 of the master electronic control device 11.
マスタ電子制御装置11の処理S50について、図8を参照して説明する。なお、以下、生成とは、マスタ電子制御装置11において鍵を取得することをいい、その方法は問わない。例えば、外部装置8のような他の装置から受信してもよいし、自身で新たに生成してもよい。図8のマスタ電子制御装置11の処理S50に示されるように、マスタ電子制御装置11は、ステップS51において、新たな鍵が生成済みかどうかを判定する。次の鍵が生成済みの場合には(ステップS51:Yes)、ステップS55に移行する。次の鍵が生成済みでない場合には、ステップS52において、第1の電源ONタイミングから所定時間経過しているかどうかを判定する。所定時間経過していない場合には(ステップS52:No)、ステップS55に移行する。所定時間経過している場合には(ステップS52:Yes)、ステップS53において鍵を生成し、マスタ側鍵記憶部112に鍵を保存すると共に、ステップS54においてスレーブ電子制御装置12に鍵を送信し、ステップS55に移行する。 The process S50 of the master electronic control unit 11 will be described with reference to FIG. Hereinafter, generation refers to obtaining a key in the master electronic control device 11, and the method is not limited. For example, it may be received from another device such as the external device 8 or may be newly generated by itself. As shown in the process S50 of the master electronic control device 11 in FIG. 8, the master electronic control device 11 determines in step S51 whether a new key has been generated. When the next key has been generated (step S51: Yes), the process proceeds to step S55. If the next key has not been generated, it is determined in step S52 whether a predetermined time has elapsed since the first power-on timing. If the predetermined time has not elapsed (step S52: No), the process proceeds to step S55. If the predetermined time has elapsed (step S52: Yes), a key is generated in step S53, the key is stored in the master-side key storage unit 112, and the key is transmitted to the slave electronic control unit 12 in step S54. The process proceeds to step S55.
ステップS55では、鍵の有効化条件を満たすかどうかを判定する。すなわち、上述の「第2のタイミング」であるか否かを判定し、例えば、有効化指示を送信するタイミングであるか否かを判定する。有効化条件を満たさない場合には(ステップS55:No)、処理を終了する。有効化条件を満たす場合には(ステップS55:Yes)、ステップS56において鍵の有効化処理を行う。ここで有効化処理には、マスタ側鍵有効化部113によるマスタ電子制御装置11の鍵を有効化する処理の他、有効化指示制御部114により有効化指示をスレーブ電子制御装置12に送信する場合には、有効化指示の送信を含む。また、有効化条件は、例えば、電源ONタイミング、時間周期、車両の所定走行距離に達する毎のタイミング等その他のタイミングである第2の電源ONタイミングとすることができる。また、有効化の頻度は、鍵が使用されるメッセージの秘匿性が高い程、高くすることができる。また、有効化の頻度は、メッセージの送受信の頻度が高い程、高くすることができる。 In step S55, it is determined whether a key validation condition is satisfied. That is, it is determined whether it is the above-mentioned “second timing”, and for example, it is determined whether it is the timing for transmitting the activation instruction. If the validation condition is not satisfied (step S55: No), the process is terminated. If the validation condition is satisfied (step S55: Yes), a key validation process is performed in step S56. Here, in the activation process, the activation instruction control unit 114 transmits an activation instruction to the slave electronic control apparatus 12 in addition to the process of validating the key of the master electronic control apparatus 11 by the master side key activation unit 113. In some cases, it includes sending an activation instruction. The validation condition can be, for example, a second power-on timing that is another timing such as a power-on timing, a time period, and a timing each time the vehicle reaches a predetermined travel distance. In addition, the frequency of activation can be increased as the confidentiality of the message in which the key is used is higher. The frequency of activation can be increased as the frequency of message transmission / reception increases.
スレーブ電子制御装置12の処理S60について、図9を参照して説明する。スレーブ電子制御装置12は、ステップS61において、次の鍵の交換要求を受信したかどうかを判定する。次の鍵の交換要求を受信していない場合には(ステップS61:No)、ステップS63に移行する。次の鍵の交換要求を受信している場合には(ステップS61:Yes)、ステップS62において鍵を受信し、ステップS63に移行する。 The process S60 of the slave electronic control device 12 will be described with reference to FIG. In step S61, the slave electronic control unit 12 determines whether or not the next key exchange request has been received. When the next key exchange request has not been received (step S61: No), the process proceeds to step S63. If the next key exchange request has been received (step S61: Yes), the key is received in step S62, and the process proceeds to step S63.
ステップS63では、鍵の有効化条件を満たすかどうかを判定する。すなわち、上述の「第2のタイミング」であるか否かを判定する。有効化条件を満たさない場合には(ステップS63:No)、処理を終了する。有効化条件を満たす場合には(ステップS63:Yes)、ステップS56において鍵の有効化処理を行う。ここで有効化条件は、上述のマスタ電子制御装置11における有効化条件の他、有効化指示を受信することも有効化条件に含まれる。 In step S63, it is determined whether a key validation condition is satisfied. That is, it is determined whether or not it is the above-mentioned “second timing”. If the validation condition is not satisfied (step S63: No), the process is terminated. If the validation condition is satisfied (step S63: Yes), a key validation process is performed in step S56. In this case, the validation condition includes receiving the validation instruction in addition to the validation condition in the master electronic control device 11 described above.
すなわち、本実施形態に係る電子制御システム1では、複数のスレーブ電子制御装置12が第1スレーブ電子制御装置12−1及び第2スレーブ電子制御装置12−2であるとして言い換えると、第1スレーブ電子制御装置12−1及び第2スレーブ電子制御装置12−2と、通信ネットワーク15を介して第1スレーブ電子制御装置12−1及び第2スレーブ電子制御装置12−2とメッセージを送受信するマスタ電子制御装置11と、を備える電子制御システム1であって、マスタ電子制御装置11は、第1スレーブ電子制御装置12−1とのメッセージの認証に用いる鍵として、有効である第1有効鍵と未だ有効でない第1未有効鍵とを記憶し、第2スレーブ電子制御装置12−2とのメッセージの認証に用いる鍵として、有効である第2有効鍵と未だ有効でない第2未有効鍵とを記憶するマスタ側鍵通信制御部111と、第1スレーブ電子制御装置12−1の第1のタイミングで第1未有効鍵を通信ネットワーク15を介して第1スレーブ電子制御装置12−1と共有し、第2スレーブ電子制御装置12−2の第1のタイミングで第2未有効鍵を通信ネットワーク15を介して第2スレーブ電子制御装置12−2と共有するマスタ側鍵通信制御部111と、第1スレーブ電子制御装置12−1の第1のタイミングよりも後で、第2スレーブ電子制御装置12−2の第1のタイミングよりも後の、第2のタイミングでマスタ側記憶部に記憶された第1未有効鍵及び第2未有効鍵を有効化するマスタ側鍵有効化部113と、を備え、第1スレーブ電子制御装置12−1は、第1有効鍵、及び第1未有効鍵を記憶する第1スレーブ側鍵記憶部122−1と、第1スレーブ電子制御装置12−1の第1のタイミングで第1未有効鍵を通信ネットワーク15を介してマスタ電子制御装置11と共有する第1スレーブ側鍵通信制御部121−1と、第2のタイミングで第1スレーブ側鍵記憶部122−1に記憶された第1未有効鍵を有効化する第1スレーブ側鍵有効化部123−1と、を備え、第2スレーブ電子制御装置12−2は、第2有効鍵、及び第2未有効鍵を記憶する第2スレーブ側鍵記憶部122−2と、第2スレーブ電子制御装置12−2の第1のタイミングで第2未有効鍵を通信ネットワーク15を介してマスタ電子制御装置11と共有する第2スレーブ側鍵通信制御部121−2と、第2のタイミングで第2スレーブ側鍵記憶部122−2に記憶された第2未有効鍵を有効化する第2スレーブ側鍵有効化部123−2と、を備えることを特徴とする。ここで、第1スレーブ電子制御装置12−1の第1のタイミングと、第2スレーブ電子制御装置12−2の第1のタイミングとは同じであっても、異なっていてもよい。 That is, in the electronic control system 1 according to the present embodiment, in other words, the plurality of slave electronic control devices 12 are the first slave electronic control device 12-1 and the second slave electronic control device 12-2. Master electronic control for transmitting / receiving messages to / from the control device 12-1 and the second slave electronic control device 12-2 and the first slave electronic control device 12-1 and the second slave electronic control device 12-2 via the communication network 15 The electronic control system 1 includes the device 11, and the master electronic control device 11 is a valid first valid key and a still valid key as a key used for message authentication with the first slave electronic control device 12-1. The first non-valid key that is not valid and is valid as a key used for message authentication with the second slave electronic control unit 12-2 The master side key communication control unit 111 that stores the two valid keys and the second invalid key that is not yet valid, and the first invalid key at the first timing of the first slave electronic control device 12-1 And the second slave electronic control device 12-1 via the communication network 15 at the first timing of the second slave electronic control device 12-2. 2 and the first timing of the second slave electronic control device 12-2 later than the first timing of the master side key communication control unit 111 and the first slave electronic control device 12-1. A master-side key validation unit 113 that validates the first and second invalid keys stored in the master-side storage unit at the second timing, and the first slave electronic control device 12-1 Is the first The first slave key storage unit 122-1 for storing the effective key and the first invalid key, and the first invalid key via the communication network 15 at the first timing of the first slave electronic control device 12-1. The first slave side key communication control unit 121-1 shared with the master electronic control unit 11 and the first ineffective key stored in the first slave side key storage unit 122-1 at the second timing are validated. The second slave electronic control device 12-2 stores a second valid key and a second non-valid key, and a second slave side key storage unit 122- 2 and a second slave side key communication control unit 121-2 for sharing the second ineffective key with the master electronic control unit 11 via the communication network 15 at the first timing of the second slave electronic control unit 12-2. , The second scan at the second timing And a second slave-side key validation unit 123-2 that validates the second non-valid key stored in the slave-side key storage unit 122-2. Here, the first timing of the first slave electronic control device 12-1 and the first timing of the second slave electronic control device 12-2 may be the same or different.
以上説明したように、本実施形態に係るマスタ電子制御装置、スレーブ電子制御装置及び電子制御システムは、複数の装置間で鍵を共有する際の同期化を行うことができる。また、例えば他の未有効鍵を記憶する2つ以上の通信先間で共通の鍵を使用する場合においても、同じタイミングで有効化することができるため、通信エラーの発生を抑えてメッセージの送受信を行うことができる。 As described above, the master electronic control device, the slave electronic control device, and the electronic control system according to the present embodiment can perform synchronization when a key is shared among a plurality of devices. In addition, for example, even when a common key is used between two or more communication destinations that store other ineffective keys, since it can be activated at the same timing, it is possible to transmit and receive messages while suppressing the occurrence of communication errors. It can be performed.
なお、図8及び図9では、鍵の生成及び送信はマスタ電子制御装置11により行われるものとしたが、鍵の生成及び送信をスレーブ電子制御装置12により行われるものとしてもよい。例えば、各スレーブ電子制御装置12で共通な鍵を使用する場合には、マスタ電子制御装置11で鍵の生成及び送信を行い、各スレーブ電子制御装置12で異なる鍵を使用する場合には、各スレーブ電子制御装置12で鍵の生成及び送信を行うこととしてもよい。 8 and 9, the key generation and transmission are performed by the master electronic control device 11, but the key generation and transmission may be performed by the slave electronic control device 12. For example, when a common key is used in each slave electronic control unit 12, a key is generated and transmitted by the master electronic control unit 11, and when a different key is used in each slave electronic control unit 12, The slave electronic control device 12 may generate and transmit a key.
上述のマスタ電子制御装置11の処理S50及びスレーブ電子制御装置12の処理S60は、例えば半導体メモリ等の記録媒体である非遷移的実体的記録媒体にプログラムが格納され、CPU等の処理装置においてプログラムに対応する方法が実行されることによる処理とすることができる。また、ソフトウェアに限らず、デジタル回路又はアナログ回路を含むハードウェアによる処理、又はソフトウェアとハードウェアの協働による処理とすることができる。 In the processing S50 of the master electronic control device 11 and the processing S60 of the slave electronic control device 12 described above, a program is stored in a non-transitional tangible recording medium that is a recording medium such as a semiconductor memory. It can be set as processing by executing a method corresponding to. Further, the processing is not limited to software, and may be processing by hardware including a digital circuit or an analog circuit, or processing by cooperation of software and hardware.
以上、本発明の実施形態におけるマスタ電子制御装置、スレーブ電子制御装置、電子制御システム、通信制御方法及び通信制御プログラムについて説明した。 The master electronic control device, slave electronic control device, electronic control system, communication control method, and communication control program in the embodiment of the present invention have been described above.
本発明のマスタ電子制御装置及びスレーブ電子制御装置は、車載の各種電子制御装置(ECU)すべてが該当する。また本発明の電子制御装置の形態の例として、半導体、電子回路、モジュール、マイクロコンピュータが挙げられる。またこれらにアンテナや通信用インターフェースなど、必要な機能を追加してもよい。また、カーナビゲーションシステム、スマートフォン、パーソナルコンピュータ、携帯情報端末のような形態をとることも可能である。 The on-board various electronic control units (ECU) correspond to the master electronic control unit and the slave electronic control unit of the present invention. Examples of the form of the electronic control device of the present invention include a semiconductor, an electronic circuit, a module, and a microcomputer. In addition, necessary functions such as an antenna and a communication interface may be added to these. It is also possible to take forms such as a car navigation system, a smartphone, a personal computer, and a portable information terminal.
加えて、本発明は、上述の専用のハードウェア(例えばゲートウェイ装置としての「マスタ電子制御装置」やECUとしての「スレーブ電子制御装置」)で実現できるものだけでなく、メモリやハードディスク等の記録媒体に記録したプログラム、及びこれを実行可能な専用又は汎用のハードウェアに提供することもできる。これによりプログラムのアップグレードを通じて常に最新の機能を提供することができる。すなわち、マスタ電子制御装置及びスレーブ電子制御装置の通信制御方法をコンピュータにて実行可能な通信制御プログラムも本発明に含まれる。 In addition, the present invention can be realized not only by the above-described dedicated hardware (for example, a “master electronic control device” as a gateway device or a “slave electronic control device” as an ECU), but also in a memory, a hard disk, or the like. The program recorded on the medium and dedicated or general-purpose hardware that can execute the program can also be provided. As a result, the latest functions can always be provided through program upgrades. That is, a communication control program capable of executing the communication control method of the master electronic control device and the slave electronic control device with a computer is also included in the present invention.
なお、本発明の「マスタ電子制御装置」は、図1のように車載のゲートウェイ装置を念頭に置いて説明したが、図1の外部装置8を本発明の「マスタ電子制御装置」とし、スレーブ電子制御装置と直接又はゲートウェイ等を介して間接に通信を行うものであってもよい。すなわち、本発明の「マスタ電子制御装置」は、車載として設けられていても、車外に設けられていてもよい。 The “master electronic control device” of the present invention has been described with the in-vehicle gateway device in mind as shown in FIG. 1, but the external device 8 of FIG. You may communicate with an electronic controller directly or indirectly via a gateway. That is, the “master electronic control device” of the present invention may be provided on the vehicle or outside the vehicle.
本発明のマスタ電子制御装置、スレーブ電子制御装置、電子制御システム、通信制御方法及び通信制御プログラムは、実施形態において自動車に搭載される車載ネットワークを念頭において説明したが、自動二輪車、船舶、鉄道、航空機等、移動する移動体全般に適用することが可能である。また、移動体に限らず通信ネットワークに接続された情報通信機器に関する製品全般に適用可能である。 The master electronic control device, the slave electronic control device, the electronic control system, the communication control method, and the communication control program of the present invention have been described with the in-vehicle network mounted in the automobile in the embodiment, but motorcycles, ships, railways, The present invention can be applied to all moving objects such as airplanes. Further, the present invention is applicable not only to mobile objects but also to all products related to information communication equipment connected to a communication network.
1 電子制御システム、8 外部装置、11 マスタ電子制御装置、12 スレーブ電子制御装置、15 通信ネットワーク、111 マスタ側鍵通信制御部、112 マスタ側鍵記憶部、113 マスタ側鍵有効化部、114 有効化指示制御部、115 情報取得部、116 外部通信部、121 スレーブ側鍵通信制御部、122 スレーブ側鍵記憶部、123 スレーブ側鍵有効化部
DESCRIPTION OF SYMBOLS 1 Electronic control system, 8 External apparatus, 11 Master electronic control apparatus, 12 Slave electronic control apparatus, 15 Communication network, 111 Master side key communication control part, 112 Master side key memory | storage part, 113 Master side key validation part, 114 Effective Control instruction unit, 115 information acquisition unit, 116 external communication unit, 121 slave side key communication control unit, 122 slave side key storage unit, 123 slave side key validation unit
Claims (25)
前記マスタ電子制御装置は、
前記第1スレーブ電子制御装置との前記メッセージの認証に用いる鍵として、有効である第1有効鍵と未だ有効でない第1未有効鍵とを記憶し、前記第2スレーブ電子制御装置との前記メッセージの認証に用いる鍵として、有効である第2有効鍵と未だ有効でない第2未有効鍵とを記憶するマスタ側鍵記憶部(112)と、
前記第1スレーブ電子制御装置の第1のタイミングで前記第1未有効鍵を前記通信ネットワークを介して前記第1スレーブ電子制御装置と共有し、前記第2スレーブ電子制御装置の第1のタイミングで前記第2未有効鍵を前記通信ネットワークを介して前記第2スレーブ電子制御装置と共有するマスタ側鍵通信制御部(111)と、
前記第1スレーブ電子制御装置の前記第1のタイミングよりも後で、前記第2スレーブ電子制御装置の前記第1のタイミングよりも後の、第2のタイミングで前記マスタ側記憶部に記憶された前記第1未有効鍵及び前記第2未有効鍵を有効化するマスタ側鍵有効化部(113)と、を備え、
前記第1スレーブ電子制御装置は、
前記第1有効鍵、及び前記第1未有効鍵を記憶する第1スレーブ側鍵記憶部(122−1)と、
前記第1スレーブ電子制御装置の前記第1のタイミングで前記第1未有効鍵を前記通信ネットワークを介して前記マスタ電子制御装置と共有する第1スレーブ側鍵通信制御部(121−1)と、
前記第2のタイミングで前記第1スレーブ側鍵記憶部に記憶された前記第1未有効鍵を有効化する第1スレーブ側鍵有効化部(123−1)と、を備え、
前記第2スレーブ電子制御装置は、
前記第2有効鍵、及び前記第2未有効鍵を記憶する第2スレーブ側鍵記憶部(122−2)と、
前記第2スレーブ電子制御装置の前記第1のタイミングで前記第2未有効鍵を前記通信ネットワークを介して前記マスタ電子制御装置と共有する第2スレーブ側鍵通信制御部(121−2)と、
前記第2のタイミングで前記第2スレーブ側鍵記憶部に記憶された前記第2未有効鍵を有効化する第2スレーブ側鍵有効化部(123−2)と、を備えることを特徴とする電子制御システム。 A first slave electronic control device and a second slave electronic control device; and a master electronic control device that transmits and receives messages to and from the first slave electronic control device and the second slave electronic control device via a communication network (15). An electronic control system comprising:
The master electronic control unit is
As a key used for authentication of the message with the first slave electronic control unit, a valid first valid key and a first invalid key that is not yet valid are stored, and the message with the second slave electronic control unit is stored. A master side key storage unit (112) for storing a valid second valid key and a second invalid key that is not yet valid as keys used for authentication of
The first ineffective key is shared with the first slave electronic control unit via the communication network at a first timing of the first slave electronic control unit, and at a first timing of the second slave electronic control unit. A master side key communication control unit (111) for sharing the second ineffective key with the second slave electronic control unit via the communication network;
Stored in the master-side storage unit at a second timing after the first timing of the first slave electronic control device and after the first timing of the second slave electronic control device A master-side key validation unit (113) that validates the first and second invalid keys,
The first slave electronic controller is
A first slave side key storage unit (122-1) for storing the first valid key and the first non-valid key;
A first slave-side key communication control unit (121-1) for sharing the first ineffective key with the master electronic control unit via the communication network at the first timing of the first slave electronic control unit;
A first slave side key validation unit (123-1) that validates the first ineffective key stored in the first slave side key storage unit at the second timing,
The second slave electronic controller is
A second slave side key storage unit (122-2) for storing the second effective key and the second ineffective key;
A second slave side key communication control unit (121-2) for sharing the second ineffective key with the master electronic control unit via the communication network at the first timing of the second slave electronic control unit;
A second slave-side key validation unit (123-2) that validates the second ineffective key stored in the second slave-side key storage unit at the second timing. Electronic control system.
前記未有効鍵、及び有効な前記鍵である有効鍵を記憶するマスタ側鍵記憶部(112)と、
前記第1のタイミングより後の第2のタイミングで、メッセージ認証に使用するために前記未有効鍵を有効にする有効化指示を、前記通信ネットワークを介して、前記複数の通信先に同時に送信する有効化指示制御部(114)と、
前記有効化指示制御部が前記有効化指示を送信したときに、前記未有効鍵を有効化するマスタ側鍵有効化部(113)と、を備えるマスタ電子制御装置(11)。 A master-side key communication control unit (111) that shares an invalid key that is used to authenticate a message and is not yet valid with a plurality of communication destinations via the communication network (15) at a first timing;
A master side key storage unit (112) for storing the ineffective key and an effective key that is the effective key;
At a second timing after the first timing, an activation instruction for validating the invalid key to be used for message authentication is simultaneously transmitted to the plurality of communication destinations via the communication network. An activation instruction control unit (114);
A master electronic control device (11) comprising: a master side key validating unit (113) that validates the non-validated key when the validation instruction control unit transmits the validation instruction.
前記通信ネットワークとは異なる外部ネットワークから前記情報の外部要求を受信し、前記情報取得部を介して、前記情報取得部で取得した前記情報を前記外部要求の発信元に送信する外部通信部(116)と、を更に備える、請求項3乃至12のいずれか一項に記載のマスタ電子制御装置。 An information acquisition unit (115) for transmitting an information request using the key and receiving information related to the information request;
An external communication unit (116) that receives an external request for the information from an external network different from the communication network, and transmits the information acquired by the information acquisition unit to the source of the external request via the information acquisition unit. The master electronic control device according to any one of claims 3 to 12, further comprising:
前記未有効鍵、及び有効な前記鍵である有効鍵を記憶するスレーブ側鍵記憶部(122)と、
前記第1のタイミングより後であって、前記通信ネットワークに接続される他の装置内に記憶された前記未有効鍵をメッセージ認証に使用するために有効化する第2のタイミングで、前記スレーブ側鍵記憶部に記憶された前記未有効鍵を有効化するスレーブ側鍵有効化部(123)と、を備えるスレーブ電子制御装置(12)。 A slave-side key communication control unit (121) that shares a non-valid key that is used to authenticate a message and is not valid at the first timing with a communication destination via the communication network (15);
A slave side key storage unit (122) for storing the ineffective key and an effective key that is the effective key;
After the first timing, at the second timing for enabling the invalid key stored in another device connected to the communication network to be used for message authentication, the slave side A slave electronic control unit (12), comprising: a slave side key validation unit (123) that validates the invalid key stored in the key storage unit.
マスタ側鍵記憶部(112)が、前記未有効鍵、及び有効な前記鍵である有効鍵を記憶し、
有効化指示制御部(114)が、前記第1のタイミングより後の第2のタイミングで、メッセージ認証に使用するために前記未有効鍵を有効にする有効化指示を、前記通信ネットワークを介して、前記複数の通信先に同時に送信し、
マスタ側鍵有効化部(113)が、前記有効化指示制御部が前記有効化指示を送信したときに、前記未有効鍵を有効化する通信制御方法。 At the first timing, the master side key communication control unit (111) shares an invalid key that is used for message authentication and is not yet valid with a plurality of communication destinations via the communication network (15). ,
The master side key storage unit (112) stores the invalid key and the valid key which is the valid key,
An activation instruction control unit (114) sends an activation instruction for validating the invalid key for use in message authentication at a second timing after the first timing via the communication network. , Transmit to the plurality of communication destinations simultaneously,
A communication control method in which a master-side key validation unit (113) validates the invalid key when the validation instruction control unit transmits the validation instruction.
スレーブ側鍵記憶部(122)が、前記未有効鍵、及び有効な前記鍵である有効鍵を記憶し、
スレーブ側鍵有効化部(123)が、前記第1のタイミングより後であって、前記通信ネットワークに接続される他の装置内に記憶された前記未有効鍵をメッセージ認証に使用するために有効化する第2のタイミングで、前記スレーブ側鍵記憶部に記憶された前記未有効鍵を有効化する、通信制御方法。 The slave-side key communication control unit (121) shares, at the first timing, an invalid key that is a key used for message authentication but not yet valid with a communication destination via the communication network (15),
A slave-side key storage unit (122) stores the invalid key and the valid key which is the valid key;
The slave side key validating unit (123) is effective for using the invalid key stored in another device connected to the communication network for message authentication after the first timing. A communication control method for validating the invalid key stored in the slave-side key storage unit at a second timing to be activated.
前記未有効鍵、及び有効な前記鍵である有効鍵を記憶する工程と、
前記第1のタイミングより後の第2のタイミングで、メッセージ認証に使用するために前記未有効鍵を有効にする有効化指示を、前記通信ネットワークを介して、前記複数の通信先に同時に送信する工程と、
前記有効化指示制御部が前記有効化指示を送信したときに、前記未有効鍵を有効化する工程と、を処理装置に実行させるための通信制御プログラム。 Sharing a non-valid key that is used to authenticate a message and is not valid at a first timing with a plurality of communication destinations via the communication network (15);
Storing the ineffective key and an effective key that is the effective key;
At a second timing after the first timing, an activation instruction for validating the invalid key to be used for message authentication is simultaneously transmitted to the plurality of communication destinations via the communication network. Process,
A communication control program for causing a processing device to execute the step of validating the non-valid key when the validation instruction control unit transmits the validation instruction.
スレーブ側鍵記憶部(122)が、前記未有効鍵、及び有効な前記鍵である有効鍵を記憶する工程と、
前記第1のタイミングより後であって、前記通信ネットワークに接続される他の装置内に記憶された前記未有効鍵をメッセージ認証に使用するために有効化する第2のタイミングで、前記スレーブ側鍵記憶部に記憶された前記未有効鍵を有効化する工程と、を処理装置に実行させるための通信制御プログラム。
Sharing a non-valid key that is used to authenticate a message and is not valid at a first timing with a communication destination via the communication network (15);
A slave-side key storage unit (122) storing the invalid key and the valid key that is the valid key;
After the first timing, at the second timing for enabling the invalid key stored in another device connected to the communication network to be used for message authentication, the slave side A communication control program for causing a processing device to execute a step of validating the invalid key stored in a key storage unit.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018049813A JP2019161605A (en) | 2018-03-16 | 2018-03-16 | Master electronic controller, slave electronic controller, electronic control system, communication control method, and communication control program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018049813A JP2019161605A (en) | 2018-03-16 | 2018-03-16 | Master electronic controller, slave electronic controller, electronic control system, communication control method, and communication control program |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2019161605A true JP2019161605A (en) | 2019-09-19 |
Family
ID=67996431
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018049813A Pending JP2019161605A (en) | 2018-03-16 | 2018-03-16 | Master electronic controller, slave electronic controller, electronic control system, communication control method, and communication control program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2019161605A (en) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09319673A (en) * | 1996-05-27 | 1997-12-12 | Matsushita Electric Works Ltd | Method and system for updating cryptographic key |
| JP2005341528A (en) * | 2004-04-28 | 2005-12-08 | Denso Corp | Communication system, key distribution apparatus, encryption processor, and antitheft device |
| JP2009212850A (en) * | 2008-03-04 | 2009-09-17 | Panasonic Electric Works Co Ltd | Encrypted communication system |
| JP2012068930A (en) * | 2010-09-24 | 2012-04-05 | Akimichi Kume | Password authentication system and method, and encrypted communication system and method |
| WO2015170453A1 (en) * | 2014-05-08 | 2015-11-12 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | On-vehicle network system, fraud-detection electronic control unit, and method for tackling fraud |
| JP2016092716A (en) * | 2014-11-10 | 2016-05-23 | パナソニックIpマネジメント株式会社 | Key management communication device and key distribution method |
| JP2017038143A (en) * | 2015-08-07 | 2017-02-16 | 株式会社デンソー | Communication system, transmission node, and reception node |
| JP2017168931A (en) * | 2016-03-14 | 2017-09-21 | Kddi株式会社 | Communication network system, vehicle, counter value notification node, counter value sharing method, and computer program |
-
2018
- 2018-03-16 JP JP2018049813A patent/JP2019161605A/en active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09319673A (en) * | 1996-05-27 | 1997-12-12 | Matsushita Electric Works Ltd | Method and system for updating cryptographic key |
| JP2005341528A (en) * | 2004-04-28 | 2005-12-08 | Denso Corp | Communication system, key distribution apparatus, encryption processor, and antitheft device |
| JP2009212850A (en) * | 2008-03-04 | 2009-09-17 | Panasonic Electric Works Co Ltd | Encrypted communication system |
| JP2012068930A (en) * | 2010-09-24 | 2012-04-05 | Akimichi Kume | Password authentication system and method, and encrypted communication system and method |
| WO2015170453A1 (en) * | 2014-05-08 | 2015-11-12 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | On-vehicle network system, fraud-detection electronic control unit, and method for tackling fraud |
| JP2016092716A (en) * | 2014-11-10 | 2016-05-23 | パナソニックIpマネジメント株式会社 | Key management communication device and key distribution method |
| JP2017038143A (en) * | 2015-08-07 | 2017-02-16 | 株式会社デンソー | Communication system, transmission node, and reception node |
| JP2017168931A (en) * | 2016-03-14 | 2017-09-21 | Kddi株式会社 | Communication network system, vehicle, counter value notification node, counter value sharing method, and computer program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6065113B2 (en) | Data authentication apparatus and data authentication method | |
| JP5949732B2 (en) | Program update system and program update method | |
| JP4742120B2 (en) | Authentication method and apparatus | |
| US9425963B2 (en) | Securing electronic control units using message authentication codes | |
| JP6477281B2 (en) | In-vehicle relay device, in-vehicle communication system, and relay program | |
| JP5435022B2 (en) | In-vehicle system and communication method | |
| CN111131313B (en) | Safety guarantee method and system for replacing ECU (electronic control Unit) of intelligent networked automobile | |
| US11546173B2 (en) | Methods, application server, IoT device and media for implementing IoT services | |
| EP3893108A1 (en) | Vehicle-mounted device upgrading method, and related apparatus | |
| JP6348019B2 (en) | COMMUNICATION SYSTEM, COMMUNICATION DEVICE, AUTOMOBILE, AND COMMUNICATION METHOD | |
| JP6484519B2 (en) | Gateway device and control method thereof | |
| JP2014138380A (en) | Vehicle illegal state detection method, on-vehicle system control method and system | |
| TWI600334B (en) | Security certificate management method for a vehicular network node and vehicular network node applying the same | |
| JP2016163265A (en) | Key management system, key management method, and computer program | |
| JP6981755B2 (en) | In-vehicle network system | |
| US20220131839A1 (en) | Systems, methods and controllers for secure communications | |
| WO2023279283A1 (en) | Method for establishing secure vehicle communication, and vehicle, terminal and system | |
| US11228453B2 (en) | Secure provisioning of electronic lock controllers | |
| US20140256366A1 (en) | Network Traffic Control via SMS Text Messaging | |
| JP2019161605A (en) | Master electronic controller, slave electronic controller, electronic control system, communication control method, and communication control program | |
| US10967836B2 (en) | Phone as a key vehicle access based on time policies, license information and validation and accuracy of a vehicle real time clock | |
| JP7003832B2 (en) | Electronic control system for vehicles and electronic control device for vehicles | |
| JP2020113852A (en) | On-vehicle communication system, on-vehicle communication control apparatus, on-vehicle communication apparatus, computer program, communication control method and communication method | |
| US20240134987A1 (en) | Digital shadows for remote attestation of vehicle software | |
| JP2015222552A (en) | Authentication system, authentication server, device, and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210120 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210930 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211012 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20220412 |