JP4576997B2 - 通信システム、鍵配信装置、暗号処理装置 - Google Patents

通信システム、鍵配信装置、暗号処理装置 Download PDF

Info

Publication number
JP4576997B2
JP4576997B2 JP2004355907A JP2004355907A JP4576997B2 JP 4576997 B2 JP4576997 B2 JP 4576997B2 JP 2004355907 A JP2004355907 A JP 2004355907A JP 2004355907 A JP2004355907 A JP 2004355907A JP 4576997 B2 JP4576997 B2 JP 4576997B2
Authority
JP
Japan
Prior art keywords
key
encryption key
node
confirmation
area network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004355907A
Other languages
English (en)
Other versions
JP2005341528A (ja
Inventor
剛宏 岩村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2004355907A priority Critical patent/JP4576997B2/ja
Priority to US11/116,415 priority patent/US7602915B2/en
Publication of JP2005341528A publication Critical patent/JP2005341528A/ja
Application granted granted Critical
Publication of JP4576997B2 publication Critical patent/JP4576997B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • H04L2209/601Broadcast encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、ローカルエリアネットワークを介して暗号通信を行う通信システム、その通信システムを構成するノードに搭載される鍵配信装置,暗号処理装置に関する。
従来より、通信システムにおいては、通信データの盗聴・改竄や、部外者のなりすましを防ぐために、通信データを暗号化することが行われており、その暗号化の一つとして、通信を行う両者が共通の暗号鍵(以下「共通鍵」と称する。)を使用する共通鍵暗号がある。
そして、共通鍵暗号では、部外者に知られることなく、通信を行う両者に共通鍵を共有させることが重要であり、これを実現する一つの方法として、信頼できる第三者機関を介して鍵交換を行う第三者認証技術(例えば、SSL:Secure Socket Layer やKerberos等)が知られている(例えば、非特許文献1参照。)。
以下、この第三者認証技術にて実行される鍵交換を、図5(a)に示す説明図を参照して説明する。
図5(a)に示すように、通信を行う各ノードA,Bには、それぞれ互いに異なった種鍵Ka,Kbが予め割り当てられ、また、第三者機関である鍵配送センターSには、全てのノードの種鍵Ka,Kbが予め登録されている。
そして、ノードBとの通信を希望するノードAが、鍵配送センターSに対してその旨(A,B)を通知すると、鍵配送センターSは、ノードA,B間の通信に使用する共通鍵Kabを生成し、その共通鍵Kabを、ノードAに割り当てられた種鍵Ka及びノードBに割り当てられた種鍵Kbを用いてそれぞれ暗号化することで暗号文Ea及びEbを生成し、ノードAに配信する。
すると、ノードAは、種鍵Kaを用いて暗号文Eaを復号することで共通鍵Kabを取得し、更に、その共通鍵Kabを用いて暗号化した暗号文Eabs と鍵配送センターSから配信された暗号文EbとをノードBに送信する。
すると、ノードBは、種鍵Kbを用いて暗号文Ebを復号することで共通鍵Kabを取得し、更に、この共通鍵Kabを用いて暗号文Eabs を復号し、復号に成功すれば、共通鍵Kabを用いて暗号化した暗号文Eabr をノードAに送信する。以後のノードBは、ノードAとの暗号通信に共通鍵Kabを使用する。
一方、暗号文Eabr を受信したノードAも、暗号文Eabr を共通鍵Kabを用いて復号し、復号に成功すれば、以後、ノードBとの暗号通信に共通鍵Kabを使用する。これにより、共通鍵Kabが、ノードA,Bによって共有されることになる。
岡本龍明,山本博資著、「現代暗号」、産業図書、p198〜p199
ところで、車両においては、制御の高度化やサービスの充実を図るために、電子制御ユニット(ECU)等の車載機器同士をローカルエリアネットワーク(いわゆる車載LAN)を介して相互に接続し、車載機器間でデータを共有することが行われている。そして、今後、このような車載LANにおいても、セキュリティ強化のために暗号通信を導入することが予想される。
この種の車載LANに、上述した共通鍵を用いる暗号通信を適用した場合、図5(b)に示すように、車載LANに接続される全てのECUの組合せに対して共通鍵を割り当てる必要があるため、ECUの数をN個とすると、N×(N−1)/2個もの共通鍵が必要となる。通常、車載LANには、十数個〜数十個ものECUが接続されるため、生成すべき鍵数は膨大なものとなる。
また、共通鍵を用いた暗号通信の場合、セキュリティ強度を高めるためには、定期的に鍵交換を行って共通鍵を更新する必要もある。
しかし、この場合、全てのECUの組合せについて鍵交換が実施されるため、図6に示すように、車載LANが長期間に渡って、鍵交換(鍵の配信,確認)のための通信に占有されることになる。
つまり、上述の鍵交換を車載LANに適用した場合には、膨大な数の共通鍵が必要となり、共通鍵の生成,配信のために長い処理時間を費やさなければならなくなる。
そして、通常、鍵交換を行うタイミングとして、イグニッションスイッチがオンされた時が考えられるが、この場合、鍵交換が終了してECU同士が通信可能となり、通常の車両制御が可能な状態となるまでに、長い待ち時間が生じてしまい、ドライバーに違和感を与えてしまうという問題があった。このような問題は、車載LANに限らず、高い応答性が要求されるLANにおいて共通である。
また、近年、欧米では、車両本体ではなく車両に取り付けられたECU等の各種部品を目的とした車両の盗難が頻発しており、この種の盗難を抑制するために、盗難品を無効化する技術も望まれている。
そこで本発明は、上記問題点を解決するために、ローカルエリアネットワークを介して共通の暗号鍵を用いた暗号通信を行う通信システムにおいて、鍵交換に要する時間の短縮を図ることを目的とする。
上記目的を達成するためになされた請求項1に記載の第一発明、請求項2に記載の第二発明、請求項5に記載の第三発明の通信システムは、ローカルエリアネットワークに接続された三つ以上のノードが、共通の暗号鍵を用いて通信データを暗号化及び復号する暗号通信を行うように構成されている。
このように構成された本発明の通信システムでは、ノードの数によらず鍵交換の際には暗号鍵を一つだけ生成すればよいため、鍵の生成に要する時間を大幅に削減することができる。
具体的には、共通の暗号鍵を用いるノードの数をNとした場合、従来装置と比較して鍵数は、2/{N(N−1)}倍となるため、ノード数Nが多いほど、大きな効果が得られる。
そして、特に車載LAN等のように、基本的に限られたノード間でのみ通信を行い、不特定多数との通信を行う必要がない閉じた通信システムでは、全てのノードで共通の暗号鍵を使用しても、セキュリティの強度を大きく低下させてしまうことがないため、本発明を好適に適用することができる。
また、第一〜第三発明の通信システムは、ローカルエリアネットワークに接続されるノードのいずれか一つが主ノードとなって暗号鍵の生成を行い、その暗号鍵を主ノード以外のノードである従ノードにローカルエリアネットワークを介して放送形式で配信する鍵交換を実行することで、各ノードに暗号鍵を共有させている。
このため、本発明の通信システムによれば、暗号鍵の生成だけでなく、暗号鍵の配信に要する時間も大幅に削減することができる。
お、暗号鍵の配信の際には、暗号鍵を秘密に保つために、暗号鍵自体を暗号化して配信する必要がある。このため、ノードのそれぞれには、予め共通の種鍵を割当てておき、鍵交換では、この種鍵を用いて暗号鍵を暗号化するように構成することが望ましい。
また、鍵交換は、例えば、一定時間が経過する毎に周期的に実行したり、外部からの指令に従って実行したりすることが考えられるが、システムの起動,停止が比較的短い間隔で繰り返されるような場合には、その起動毎に実行するように構成してもよい。
そして、当該通信システムの起動時に鍵交換を実行する場合には、システムの起動後、各ノードにおいて通信データを生成,処理するデータ処理部の初期化が終了するまでの間に、そのデータ処理部の初期化と並行して鍵交換を実行するように構成することが望ましい。
この場合、データ処理部の初期化が終了すると、ローカルエリアネットワークを介した他のノードとの暗号通信を直ちに開始することができ、システムを速やかに立ち上げることができる。
ところで、第一及び第三発明の通信システムでは、従ノードは、暗号鍵の配信を受けた場合に、ローカルエリアネットワークを介して主ノードに確認信号を返信し、主ノードは、暗号鍵を共有すべき従ノードの中で、確認信号の返信のない未確認従ノードが存在する場合に、鍵交換を再実行する。
つまり、鍵交換の時に、主ノードや従ノードの異常や故障によらない何等かの外部要因(例えば外来ノイズなど)で、従ノードが暗号鍵を受信できなかったり、主ノードが確認信号を受信できない可能性がある。このような場合に、鍵交換を再実行することで、ノードの異常や故障ではないにも関わらず、暗号通信が実行不能となってしまうことを防止できる。
そして特に、第一発明の通信システムでは、主ノードは、確認信号の返信のあった従ノードを示した鍵確認リストを、ローカルエリアネットワークを介して放送形式で配信し、従ノードは、鍵確認リストに自ノードが示されていない場合のみ、鍵交換の再実行による暗号鍵の再配信に対して確認信号を返信する。
つまり、主ノードにて暗号鍵の取得が確認されなかった従ノードのみ、再配信された暗号鍵に対する処理を実行させることにより、暗号鍵の取得が確認されている従ノードに不要な処理を強いることなく、鍵交換の再実行を必要最小限の処理量にて実現することができる。
また、特に第二発明の通信システムでは、上述のように確認信号に基づいて生成した鍵確認リストを送信する代わりに、主ノードは、鍵交換の実行前に、暗号鍵を共有すべき従ノードを示した通知リストを、ローカルエリアネットワークを介して放送形式で配信し、従ノードは、通知リストに自ノードが示され、且つ、暗号鍵の配信を受けた場合に、ローカルエリアネットワークを介して主ノードに確認信号を返信する。
更に、主ノードは、通知リストに示された従ノードの中で、確認信号の返信のない未確認従ノードが存在する場合に、その未確認従ノードを示した通知リストを配信後、鍵交換を再実行するように構成することが望ましい。
この場合、上述した通知リストを用いて鍵交換を再実行する場合と同様に、ノードの異常や故障ではないにも関わらず、暗号通信が実行不能となってしまうことを防止できる。
また、鍵交換の再実行に先立って配信される通知リストには、主ノードにて暗号鍵の取得が確認されなかった従ノードのみ示されるため、暗号鍵の取得が確認されている従ノードに不要な処理を強いることなく、鍵交換の再実行を必要最小限の処理量にて実現することができる。
ところで、主ノードを置換する不正が行われた場合、その置換された不正な主ノードが、正当な主ノードから従ノードに対して送信された信号のコピーを送信するように構成されていると、従ノードでは、その受信した信号が正当な主ノードから送信されたものであるか、置換された不正な主ノードから送信されたものであるかを識別することができない(いわゆるリプレイ攻撃)。
これに対して、第三発明の通信システムでは、従ノードは、当該従ノードにて発生させた乱数を確認信号とし、その確認信号を鍵交換によって取得した暗号鍵で暗号化して送信し、主ノードは、確認信号を受信すると、確認信号を復号することで抽出した乱数に予め設定された認証子を付加してなる確認応答信号を、暗号鍵で暗号化し、ローカルエリアネットワークを介して返信するように構成されている。
この場合、確認信号には、鍵交換毎に異なる乱数が添付されるため、主ノードでは、その乱数を抽出できなければ、即ち、暗号鍵を知っていなければ、正しい確認応答信号を生成することができない。従って、従ノードでは、この確認応答信号を調べることで、確認応答信号の送信元が正当な主ノードであるか否かを識別することができ、このような主ノードを置換する不正を防止することができる。
また、従ノードは、鍵交換が実行されるべきタイミングで、予め設定された鍵待ち時間内に暗号鍵の配信を受けることができなかった場合、主ノードに対して鍵交換の実行を要求する要求信号をローカルエリアネットワークを介して送信するように構成してもよい。
この場合、例えば、従ノードに異常が生じて再起動(自己リセット)した場合等に、再起動した従ノードは、主ノードに対して鍵交換を要求することになるため、再起動後、速やかに暗号鍵を再取得することができ、従ノードにおける暗号通信の途絶を必要最小限に抑えることができる。
次に、第四発明の鍵配信装置は、ローカルエリアネットワークを介して暗号通信を行う通信システムにおいて、その通信システムを構成するノードのいずれか一つに搭載される。そして、鍵生成手段が、通信データの暗号化及び復号に用いる暗号鍵を、予め設定された鍵生成タイミングで生成すると、鍵配信手段が、その暗号鍵を予め用意された種鍵を用いて暗号化し、ローカルエリアネットワークを介して配信する。
また、リスト生成手段が、鍵配信手段が配信した暗号鍵を受信した他ノードからの確認信号をローカルエリアネットワークを介して受信し、その確認信号の返信があったノードを示した鍵確認リストを生成する。
すると、リスト配信手段が、その鍵確認リストを、ローカルエリアネットワークを介し
て放送形式で配信する。
このように構成された本発明の鍵配信装置は、第一〜第三発明の通信システムにおいて、暗号鍵の生成,配信、及び鍵確認リストの配信を行う主ノードを構成する際に、好適に用いることができる。
また、本発明の鍵配信装置では、暗号鍵を共有すべきノードの中で、確認信号の返信のない未確認ノードが存在する場合、再配信手段が、暗号鍵を再配信するように構成してもよい。
この場合、未確認ノードとのみ、鍵交換が再実行されるため、鍵交換の再実行に要する処理量を必要最小限に抑えることができる。
なお、リスト生成手段は、鍵配信手段による暗号鍵の配信後、予め設定された確認待ち待時間内に受信した確認信号に基づいて、鍵確認リストを生成することが望ましい。
この場合、一部のノードの異常により、期待する全てのノードから確認信号の返信が得られなくても、確認信号の返信が得られたノード間でのみ暗号通信を実行することができる。
次に、第五発明の鍵配信装置は、ローカルエリアネットワークを介して暗号通信を行う通信システムにおいて、その通信システムを構成するノードのいずれか一つに搭載される。そして、鍵生成手段が、通信データの暗号化及び復号に用いる暗号鍵を、予め設定された鍵生成タイミングで生成し、通知リスト配信手段が、暗号鍵が配信されるべきノードを示した通知リストを、ローカルエリアネットワークを介して放送形式で配信する。
この通知リスト配信手段による通知リストの配信後、鍵配信手段が、鍵生成手段により生成された暗号鍵を、予め用意された種鍵を用いて暗号化し、ローカルエリアネットワークを介して放送形式で配信する。
このように構成された本発明の鍵配信装置は、第一〜第三発明の通信システムにおいて、通知リストの配信、及び暗号鍵の生成,配信を行う主ノードを構成する際に、好適に用いることができる。
また、本発明の鍵配信装置では、再配信手段が、鍵配信手段が配信した暗号鍵を受信した他ノードからの確認信号を前記ローカルエリアネットワークを介して受信し、通知リストに示したノードの中で、確認信号の返信のない未確認ノードが存在する場合に、その未確認ノードを示した通知リスト及び暗号鍵を再配信するように構成してもよい。
この場合、未確認ノードとのみ鍵交換が再実行されるため、鍵交換の再実行に要する処理量を必要最小限に抑えることができる。
ところで、暗号鍵を共有すべき他ノードから受信する確認信号に乱数が含まれている場合、第四及び第五発明の鍵配信装置では、確認応答送信手段が、確認信号が受信されると、その確認信号を復号することで抽出した乱数に予め設定された認証子を付加してなる確認応答信号を、暗号鍵で暗号化し、ローカルエリアネットワークを介して送信するように構成することが望ましい。
この場合、確認応答信号の返信を受けたノードでは、確認応答信号を復号することで得られる乱数と認証子とが正しいものであるか否かを調べることで、鍵配信装置が搭載されたノードの正当性を確認することができる。
次に、第六発明の暗号処理装置は、ローカルエリアネットワークを介して暗号通信を行
う通信システムにおいて、該通信システムを構成するノードに搭載される。
そして、暗号鍵設定手段が、予め設定された種鍵を用いて暗号化された暗号鍵をローカルエリアネットワークを介して受信すると、その旨を示す確認信号をローカルエリアネットワークを介して返信する。
すると、暗号処理手段が、暗号鍵受信手段により受信された暗号鍵を用いて、ローカルエリアネットワークを介して送受信される通信データの暗号化及び復号を行う。
このように構成された本発明の暗号処理装置は、第一〜第三発明の通信システムにおいて、暗号鍵の配信を受けるノードを構成する際に、好適に用いることができる。
また、本発明の暗号処理装置では、確認リスト受信手段が、ローカルエリアネットワークを介して、確認信号を返信したノードが示された鍵確認リストを受信し、その鍵確認リストに自ノードが示されている場合に、暗号鍵受信手段の作動を禁止する。
従って、本発明の暗号処理装置によれば、鍵確認リストに自ノードが示されている場合、即ち、暗号鍵の配信元との間で鍵交換が成功した場合に、その後、鍵交換に失敗したノードのために再実行される鍵交換に対して、無駄に応答してしまうことを防止することができる。
そして、上述の暗号鍵受信手段を備えている場合には、要求送信手段が、当該装置の起動後、予め設定された鍵待ち時間内に暗号鍵を受信できない場合、又は暗号鍵受信手段が確認信号を返信したにも関わらず鍵確認リストに自ノードが示されていない場合に、暗号鍵の配信元に対して暗号鍵の再配信を要求する要求信号をローカルエリアネットワークを介して送信するように構成することが望ましい。
この場合、暗号処理装置を搭載したノードが再起動したり、送信した確認信号が伝送中に紛失した場合に、要求信号の送信によって鍵交換を再実行させることができるため、自ノードが正常であるにも関わらず暗号鍵を共有できないという事態の発生を回避することができる。
また、本発明の暗号処理装置では、確認リスト受信手段の代わりに、通知リスト受信手段を設け、この通知リスト受信手段が、ローカルエリアネットワークを介して、暗号鍵を共有すべきノードが示された通知リストを受信し、その通知リストに自ノードが示されている場合に、暗号鍵受信手段を作動させるように構成してもよい。
そして、このような通知リスト受信手段を備えている場合には、更に、要求送信手段が、当該装置の起動後、予め設定されたリスト待ち時間内に通知リストを受信できない場合、又は通知リストの受信後、予め設定された鍵待ち時間内に暗号鍵を受信できない場合に、暗号鍵の配信元に対して暗号鍵の再配信を要求する要求信号をローカルエリアネットワークを介して送信するように構成することが望ましい。
このように構成された本発明の暗号処理装置によれば、暗号鍵の送信元が、鍵交換に失敗したノードのために鍵交換を再実行する際に、再送付される通知リストから鍵交換に成功したノードを除外するようにしておけば、鍵交換に成功したノードが、再実行される鍵交換に対して、無駄に応答してしまうことを防止することができる。
ところで、本発明の暗号処理装置では、暗号鍵受信手段を、当該装置にて発生された乱数を確認信号とし、その確認信号を前記暗号鍵で暗号化して送信するように構成し、更に、異常判定手段が、ローカルエリアネットワークを介して確認信号に対する確認応答信号を受信した場合、その確認応答信号を暗号鍵で復号した結果が、確認信号として送信した乱数、及び予め設定された認証子とは異なる場合に、暗号鍵の送信元に異常があると判定するように構成してもよい。
この場合、確認応答信号の送信元は、配信した暗号鍵を用いて確認信号を正しく復号することができなければ、正常な確認応答信号を生成することができないため、この確認応答信号を復調した結果を調べることで、確認応答信号の送信元、即ち、暗号鍵の送信元の正当性を判定することができる。
以下に本発明の実施形態を図面と共に説明する。
[第1実施形態]
図1は、本実施形態の車両制御システムの概略構成を示すブロック図である。
本実施形態の車両制御システム1は、図1に示すように、それぞれバス状の通信線(以下「バスライン」と称する。)L1,L2に接続された複数の電子制御ユニット(ECU)20からなる第1及び第2の車載ローカルエリアネットワーク(LAN)3,5と、第1及び第2の車載LAN3,5を相互に接続するゲートウェイECU10と、車両の盗難を防止するための機能を提供する盗難防止装置30とを備えている。
このうち、ECU20は、いずれも基本的には同様の構成をしており、バスラインL1(又はL2)へのデータの送出、バスラインL1(又はL2)からのデータの取込を行うトランシーバ21と、周知のCANプロトコルに従って車載LAN3(又は5)を介した通信を制御するCANコントローラ22と、CANコントローラ22を介して送受信される通信データの暗号化及び復号を行うと共に、後述するECU側認証処理を実行する暗号処理部23と、CPU,ROM,RAM,I/Oを中心に構成され、CANコントローラ22を制御して他のECUとの通信を行うことにより、他のECUと連動して、自ECUに割り当てられた機能を実現するための各種処理を実行するマイクロコンピュータ(マイコン)24とを備えている。
但し、マイコン24を構成するI/Oには、図示しないが、自ECU20に割り当てられた機能に応じて、その機能を実現するために必要なセンサやアクチュエータ等の各種機器が接続されている。また、暗号処理部23は、暗号通信を可能なECUの一覧である鍵確認リスト、及び通信データの暗号化及び復号に用いる暗号鍵を記憶するための書換可能なメモリと、暗号鍵を取得する際に使用する種鍵が予め記憶された不揮発性メモリとを備えている。なお、書換可能なメモリに記憶される鍵確認リストについては、マイコン24からの参照が可能なように構成されている。また、不揮発性メモリに記憶される種鍵は、全てのECU20に共通であるが、車両毎に異なったものが割り当てられる。
ゲートウェイECU10は、ECU20を構成するトランシーバ21、CANコントローラ22、マイコン24と同様に構成されたトランシーバ11,12、CANコントローラ14、マイコン16を備えている。但し、トランシーバ11はバスラインL1に接続され、トランシーバ12はバスラインL2に接続されている。
また、ゲートウェイECU10は、トランシーバ11,12及びCANコントローラ14から取り込んだデータの通過,不通過を、そのデータの宛先に従って制御するフィルタ13と、CANコントローラ14を制御して他のECUとの通信を行うことにより、後述するGW側認証処理を実行すると共に、この認証処理に基づいて、車載LAN3,5に接続されたECU20の異常の有無を盗難防止装置30に通知する鍵交換処理部15とを備えている。
なお、鍵交換処理部15は、暗号鍵の生成に使用する乱数を発生させる乱数発生装置と、鍵確認リストを記憶するための書換可能なメモリと、暗号鍵の配信に使用する種鍵が予め記憶された不揮発性メモリとを備えている。但し、不揮発性メモリに記憶される種鍵はECU20の暗号処理部23に記憶されるものと同じものである。また、乱数発生装置は、例えば、疑似ランダムパターン発生回路,時計,ノイズ等を利用して乱数を発生させるように構成されている。
このように構成されたゲートウェイECU10及びECU20は、図示しないイグニションスイッチがオンされ、車両各部への電源供給が開始されることにより起動する。
そして、ECU20では、マイコン24がECU20内各部の初期化を実行すると共に、CANコントローラ22がマイコン24によって初期化されると、暗号処理部23がマイコン24からの指令によらず、自律的にECU側認証処理を実行する。
このECU側認証処理により、暗号処理部23は、ゲートウェイECU10から暗号鍵を取得し、以後、マイコン24が生成,処理する通信データの暗号化,復号を、この取得した暗号鍵を用いて行う。
そして、マイコン24による初期化と、暗号処理部23のECU側認証処理が終了すると、マイコン24は、自ECUに割り当てられた機能を実現するための通常処理を開始する。この通常処理では、他のECU20と暗号通信を行って、互いのデータを共有し合うことにより、全てのECU20が連動して車両制御を実現する。
ここで、ゲートウェイECU10の鍵交換処理部15が実行するGW側認証処理、及び各ECU20の暗号処理部23が実行するECU側認証処理の詳細を、図2に示すフローチャートに沿って説明する。
GW側認証処理では、まず、乱数発生装置を用いて暗号鍵を生成し(S110)、生成した暗号鍵を種鍵を用いて暗号化し、その暗号化により得られた暗号化データを、放送形式により、全てのECU20に一括して配信する(S120)。
そして、暗号鍵を取得したことを示す確認信号を、暗号鍵を共有すべき全てのECU20から受信するか(S130)、或いは、先のS120にて暗号鍵の配信を行ってから予め設定された確認待ち時間が経過するまで待機し(S140)、暗号鍵を共有すべき全てのECUから確認信号を受信するか、確認待ち時間が経過した場合には、鍵確認リストの生成を行う(S150)。
なお、確認信号は、後述するように配信した暗号鍵で暗号化されているため、ECU20から受信した暗号化データを暗号鍵で復号し、その復号に成功した場合にのみ、その確認信号の送信元であるECU20を、鍵確認リストに登録する。つまり、この鍵確認リストに登録されたECU20が、認証に成功したものとされる。
このようにして生成された鍵確認リストを暗号鍵を用いて暗号化し、この暗号化データを、放送形式により全てのECU20に一括して配信する(S160)と共に、認証処理の結果を盗難防止装置30に通知して(S170)、本処理を終了する。なお、認証処理の結果は、一つでも認証に失敗したECU20がある場合には、異常ありとして通知する。
一方、ECU側認証処理では、ゲートウェイECU10から放送形式で配信されてくる暗号化データを受信するまで待機する(S210)。
暗号化データを受信すると、その暗号化データを種鍵を用いて復号し、その復号により得られたデータを暗号鍵としてメモリに保存する(S220)。そして、暗号鍵を取得したことを表す確認信号(少なくとも自ECUを識別するためのIDを含む)を生成し、これを先に保存した暗号鍵を用いて暗号化して、ゲートウェイECU10に対して送信する(S230)。
その後、再び、放送形式で配信されてくる暗号化データを受信するまで待機し(S240)、暗号化データを受信すると、これをS220にて記憶した暗号鍵を用いて復号し、その復号により得られた鍵確認リストを、マイコン24からアクセス可能なメモリに保存して(S250)、本処理を終了する。これにより、各ECU20のマイコン24は、鍵確認リストに示されたECU20との暗号通信が可能となる。
つまり、ゲートウェイECU10及び他のECU20が上述した認証処理を実行すると、図3に示すように、ゲートウェイECU10にて生成された暗号鍵(種鍵を用いて暗号化)が放送形式で全てのECU20(図中ではECU1〜ECUN)に一括して配信され、これを受信した各ECU20からは、ゲートウェイECU10に対して、それぞれ個別に確認信号(暗号鍵を用いて暗号化)が返送される。するとゲートウェイECU10からは、受信した確認信号に基づいて作成された鍵確認リスト(暗号鍵を用いて暗号化)が、放送形式で全てのECU20に一括して配信されることになる。
次に、盗難防止装置30が実行する盗難防止処理を、図4に示すフローチャートに沿って説明する。
なお、盗難防止装置30は、図1に示すように、ゲートウェイECU10の鍵交換処理部15からの認証結果通知、車室内への侵入者の有無を検出する侵入センサ32からの侵入検知信号、携帯型送信機から送信される各種指令を受信する受信機33からの受信データを入力し、これらの入力に基づいて、エンジンを始動するスタータ34、警報(室内灯,ハザードランプ,テールランプ,ヘッドランプ等を点滅させたり、ホーンを鳴らす等)を発生させる警報装置35、車両外部のセキュリティ会社や警察に無線通信による通報を行う通報装置36を制御するように構成されている。また、盗難防止装置30は、常時起動しており、盗難防止処理も常時実行される。
図4に示すように、盗難防止処理では、まず、イグニッションスイッチがオンされるまでの間(S320:NO)は、侵入センサ32からの侵入検知信号に基づいて、車室内への侵入者が検知されたか否かを判断し(S310)、侵入者が検知されたのであれば、警報装置35を作動させることにより、警報によって車両周囲への報知を行うと共に、通報装置36を作動させて、セキュリティ会社や警察等への通報を行って(S370)、本処理を終了する。
そして、イグニッションスイッチがオンされると(S320:YES)、受信機33を介して受信した携帯型送信機からの受信データに基づいて、イグニッションスイッチをオンする指令を出した携帯型送信機の認証を行い(S330)、認証に失敗した場合には、S370に移行し警報装置35及び通報装置36を作動させて本処理を終了する。
一方、認証に成功した場合には、ゲートウェイECU10の鍵交換処理部15から認証結果通知を受信するまで待機する(S340)。そして、認証結果通知を受信すると、その通知の内容が「異常あり」であるか否かを判断し(S350)、「異常あり」であれば、S370に移行し警報装置35及び通報装置36を作動させて本処理を終了する。
一方、認証結果通知の内容が「異常なし」であれば、スタータ34を作動させることでエンジンを始動して(S360)、本処理を終了する。
以上説明したように、本実施形態では、図3に示すように、一つのECU(ここではゲートウェイECU)10が暗号鍵を生成し、その暗号鍵を放送形式で他の全てのECU20に配信するようにされている。
従って、本実施形態では、個々のノード(ECU)同士が、それぞれ個別に鍵交換を実行する従来のものと比較して、暗号鍵の数、及びその暗号鍵を共有する鍵交換のために必要な処理量(ひいては鍵交換に要する時間)を大幅に削減することができる。
また、本実施形態では、車両制御システム1が起動される毎に鍵交換を実行して暗号鍵を更新しているため、高いセキュリティ強度を保持することができ、しかも、鍵交換に要する時間が短いため、車両制御システム1の立ち上げに要する時間を増大させることもない。
また、本実施形態の車両制御システム1を搭載した車両では、盗難品であるECUを車載LAN3,4に接続すると、その盗難品ECUは鍵交換を正常に行うことができず、ゲートウェイECU10の鍵交換処理部15が生成する認証結果通知が「異常あり」となって、自動的に警報装置35や通報装置36が作動し、またエンジンを始動させることもできなくなる。
その結果、車両の所有者が盗難品を購入する意味がなくなり、盗難品を売ることが困難になるため、ECU等の部品を目的とした車両盗難を抑止することができる。
なお、本実施形態において、S110が鍵生成手段、S120が鍵配信手段、S150がリスト生成手段、S160がリスト配信手段、S210〜S230が暗号鍵受信手段、暗号処理部23が暗号処理手段、S350〜S370が異常対応手段に相当する。
[第2実施形態]
次に第2実施形態について説明する。
本実施形態では、ゲートウェイECU10のマイコン16が実行するGW側認証処理、及び他のECU20のマイコン24が実行するECU側認証処理の一部が、第1実施形態と異なるだけであるため、これらの処理についてのみ説明する。
まず、GW側認証処理を図5に示すフローチャートに沿って説明する。
なお、第1実施形態と同じ処理には、同一のステップ番号を付与して説明を省略し、新たに追加されたステップを中心に説明する。
図5に示すように、S110〜S170は、第1実施形態と同様であり、S170にて盗難防止装置30に対するECU認証結果通知を実行した後、暗号鍵を共有すべきECU20の中で、S150にて作成された鍵確認リストに未登録のもの(以下「未登録ECU」と称する。)が存在するか否かを判断する(S180)。そして、未登録ECUが存在しなければ、ECU20のいずれかから、車載LAN3,5を介して後述する鍵交換要求信号の受信するまで待機し(S185)、鍵交換要求信号を受信すると、その鍵交換要求信号の送信元ECU20を、鍵確認リストから除外し(S190)、S120で配信したものと同じ暗号鍵を再配信して(S195)、S130に戻る。
また、先のS180にて、未登録ECUが存在すると判定された場合には、S185,S190を実行することなく、S195に移行して、暗号鍵の再配信を直ちに実行する。
但し、暗号鍵の再配信では、これを受信したECU20が、S120による初回の配信と識別できるように、CANプロトコルによって伝送データに付与するIDとして、初回の配信で付与されるもの(以下「初回配布用ID」と称する。)とは異なるもの(以下「再配布用ID」と称する。)を使用する。
次に、ECU側認証処理を、図6に示すフローチャートに沿って説明する。
なお、第1実施形態と同じ処理には、同一のステップ番号を付与して説明を省略し、新たに追加されたステップを中心に説明する。
図6に示すように、S210〜S240は、第1実施形態と同様であり、S210にて暗号鍵の受信がないと判定された場合、本処理(又は本ECU20)の起動後、又は後述するS245にて否定判定された後、予め設定された鍵待ち時間が経過したか否かを判断し(S270)、鍵待ち時間が経過していなければ、S210に戻り、鍵待ち時間が経過していれば、ゲートウェイECU10に対して鍵交換の実行を要求する鍵交換要求信号を送信して(S275)、S210に戻る。
また、S240にて、鍵確認リストの受信が有ったと判定された場合、その受信した鍵確認リストに、自ECU20の登録が有るか否かを判断し(S245)、鍵確認リストに自ECU20の登録が無ければ、S210に戻る。
この場合、その後、鍵待ち時間を経過しても、暗号鍵の再配布を受けることができない場合には(S270:YES)、鍵交換要求信号を送信する(S275)ことになる。
一方、鍵確認リストに自ECU20の登録が有れば、その鍵確認リストを保存し(S250)、新たな暗号鍵を受信するまで待機する(S260)。そして、新たな暗号鍵を受信すると、その暗号鍵に付与されたIDが再配布用IDであるか否かを判断し(S265)、再配布用のIDであれば、鍵交換(受信した暗号鍵を保存や確認信号の返信)を行うことなく、S240に戻り、一方、再配布用のIDでなければ、即ち、初回配布用のIDであれば、ゲートウェイECU10が再起動したものとして、S220に戻って、再度鍵交換(受信した暗号鍵の保存,確認信号の送信)を実行する。
つまり、ゲートウェイECU10及び他のECU20が上述した認証処理を実行すると、図7(a)に示すように、ゲートウェイECU10にて生成された暗号鍵(種鍵を用いて暗号化)が初回配布用IDを用いて放送形式で全てのECU20(図中ではECU1〜ECUN)に一括して配信され、この配信された暗号鍵が各ECU20にて保存されると共に、暗号鍵を受信した各ECU20からは、ゲートウェイECU10に対して、それぞれ個別に鍵確認(暗号鍵を用いて暗号化)が返送される。
この時、ECU1〜ECUNのいずれか(図ではECU2)から送信された確認信号が、ノイズによる通信不良等により、ゲートウェイECU10で受信されなかった場合、ゲートウェイECU10からは、確認信号の返信のないECU2が除外された鍵確認リスト(暗号鍵を用いて暗号化)が、放送形式で全てのECU20に一括して配信され、この配信された鍵確認リストが各ECU20にて保存される。
この鍵確認リストに続けて、ゲートウェイECU10からは、先に送付したものと同じ暗号鍵が、再配布用IDを用いて放送形式で全てのECU20に一括して配信される。すると、鍵確認リストから除外されているECU2からのみ、確認信号が返信され、これを受信したゲートウェイECU10からは、新たに確認信号の返信が確認されたECU2を追加した鍵確認リストが、放送形式で全てのECU20に一括して配信され、この配信された確認リストが各ECU20にて改めて保存される。
また、図7(b)に示すように、鍵交換が正常に終了した後、暗号鍵を共有するECU1〜ECUNのいずれか(図ではECU2)が、何等かの理由によって再起動した場合、その再起動したECU2からは、鍵交換要求信号が送信され、これを受信したゲートウェイECU10からは、先に送付したものと同じ暗号鍵が、再配布用IDを用いて放送形式で全てのECU20に一括して配信される。以下、先に説明した場合と同様に、ECU2からの確認信号の送信、ゲートウェイECU10からの鍵確認リストの再配布が実行される。
以上説明したように、本実施形態の車両制御システム1においては、第1実施形態で行う処理に加えて、ゲートウェイECU10は、暗号鍵を共有すべきECU20の中で、暗号鍵の配信に対する確認信号の返信のないものが存在する時には、鍵交換を再実行する処理を行い、また、ECU20は、ゲートウェイECU10から暗号鍵や鍵確認リストを受信できなかった時に、鍵交換要求信号を送信して、ゲートウェイECU10に鍵交換を再実行させる処理を行うようにされている。
従って、本実施形態の車両制御システム1によれば、第1実施形態の場合と同様の効果を得ることができるだけでなく、通信不良やECU20の再起動が発生した場合でも、そのECU20に暗号鍵を確実に共有させることができる。
つまり、ゲートウェイECU10や他のECU20の異常や故障ではないにも関わらず、何らかの外部要因(例えば外来ノイズによる通信不良等)によって、暗号通信が実行不能となってしまうことを確実に防止することができる。
また、本実施形態では、鍵交換を再実行した際には、鍵確認リストに未登録のECU20のみが確認信号を返信するようにされているため、鍵交換に成功した(鍵確認リストに登録済の)ECU20に不要な処理を強いることなく、鍵交換の再実行を必要最小限の処理量にて実現することができる。
なお、本実施形態において、S180,S195が再配信手段(請求項12)、S240〜S260が確認リスト受信手段、S270,S275が要求送信手段に相当する。
[第3実施形態]
次に第3実施形態について説明する。
本実施形態では、ゲートウェイECU10のマイコン16が実行するGW側認証処理、及び他のECU20のマイコン24が実行するECU側認証処理が、第1実施形態のものと異なるだけであるため、これらの処理についてのみ説明する。
図8は、ゲートウェイECU10の鍵交換処理部15が実行するGW側認証処理、及び各ECU20の暗号処理部23が実行するECU側認証処理の詳細を表すフローチャートである。
図8に示すように、GW側認証処理では、まず、乱数発生装置を用いて暗号鍵を生成し(S310)、暗号鍵を共有すべきECU20を示した通知リストを、放送形式により全てのECU20に一括して配信する(S320)。なお、通知リストは、そのまま配信してもよいし、種鍵で暗号化したものを配信してもよい。
その後、S310にて生成した暗号鍵を種鍵を用いて暗号化し、その暗号化により得られた暗号化データを、放送形式により、全てのECU20に一括して配信する(S330)。
そして、暗号鍵を取得したことを示す確認信号を、通知リストに示した全てのECU20から受信するか(S340)、或いは、先のS330にて暗号鍵の配信を行ってから予め設定された確認待ち時間が経過するまで待機し(S350)、通知リストに示した全てのECU20から確認信号を受信するか、確認待ち時間が経過した場合には、受信した確認信号に基づいて判定したECU20の認証結果を盗難防止装置30に通知して(S360)、本処理を終了する。
なお、確認信号は、後述するように配信した暗号鍵で暗号化されているため、ECU20から受信した暗号化データを暗号鍵で復号する。そして、通知リストに示した全ECU20からの確認信号について、その復号に成功した場合には、認証結果は異常なしとして通知し、確認信号の返信のないECU20が一つでも存在する場合、或いは復号に失敗した確認信号が一つでも存在する場合には、認証結果は異常ありとして通知する。
一方、ECU側認証処理では、ゲートウェイECU10から放送形式で配信されてくる通知リストを受信するまで待機する(S410)。
通知リストを受信すると、その通知リストに自ECU20が示されているか否か、即ち、鍵交換が必要なECU20であるか否かを判断し(S420)、通知リストに自ECU20が示されていなければ、鍵交換は不要であるとして、そのまま本処理を終了する。
一方、通知リストに自ECU20が示されていれば、鍵交換が必要であるとして、暗号鍵を受信するまで待機し(S430)、暗号鍵を受信すると、その暗号鍵をメモリに保存する(S440)。なお、暗号鍵は、種鍵を用いて暗号化されているため、メモリには、受信した暗号化データを種鍵を用いて復号した結果を保存する。
そして、暗号鍵を取得したことを表す確認信号を生成し、これを先に保存した暗号鍵を用いて暗号化して、ゲートウェイECU10に対して送信して(S450)、本処理を終了する。
これにより、確認信号を返信したECU20のマイコン24は、通知リストに示されたECU20との暗号通信が可能となる。
つまり、ゲートウェイECU10及び他のECU20が上述した認証処理を実行すると、図9に示すように、ゲートウェイECU10からは、通知リスト、暗号鍵(種鍵を用い手暗号化)が、その順番で放送形式で全てのECU20(図中ではECU1〜ECUN)に一括して配信される。そして、これら通知リスト及び暗号鍵を受信した各ECU20のうち、通知リストに示されたECU20から、ゲートウェイECU10に対して、それぞれ個別に確認信号(暗号鍵を用いて暗号化)が返信される。
以上説明したように、本実施形態では、鍵交換後に、その鍵交換の結果(暗号鍵の共有が確認されたECU20)を示した鍵確認リストを各ECU20に配信する代わりに、鍵交換前に、鍵交換を必要とする(暗号鍵を共有すべき)ECUを示した通知リストを各ECU20に配信する以外は、第1実施形態のものと同様に構成されている。従って、第1実施形態の場合と同様の効果を得ることができる。
なお、本実施形態において、S310が鍵生成手段、S320が通知リスト配信手段、S330が鍵配信手段、S410,S420が通知リスト受信手段、S430が暗号鍵受信手段に相当する。
[第4実施形態]
次に第4実施形態について説明する。
本実施形態では、ゲートウェイECU10のマイコン16が実行するGW側認証処理、及び他のECU20のマイコン24が実行するECU側認証処理の一部が、第3実施形態と異なるだけであるため、これらの処理についてのみ説明する。
まず、GW側認証処理を図10に示すフローチャートに沿って説明する。
なお、第3実施形態と同じ処理には、同一のステップ番号を付与して説明を省略し、新たに追加されたステップを中心に説明する。
図10に示すように、S310〜S360は、第3実施形態と同様であり、S360にて盗難防止装置30に対するECU認証結果通知を実行した後、先に配信した通知リストに示したECU20の中で、確認信号の返信のないもの(以下「未確認ECU」と称する。)が存在するか否かを判断する(S370)。
そして、未確認ECUが存在しなければ、ECU20のいずれかから、後述する鍵交換要求信号を受信するまで待機し(S380)、鍵交換要求信号を受信すると、その鍵交換要求信号の送信元ECU20を示した通知リストを、放送形式で再配信して(S390)、S330に戻る。
一方、先のS370にて、未確認ECUが存在すると判定された場合には、その未確認ECUを示した通知リストを、放送形式で再配信して(S395)、S330に戻る。
次に、ECU側認証処理を、図11に示すフローチャートに沿って説明する。
なお、第3実施形態と同じ処理には、同一のステップ番号を付与して説明を省略し、新たに追加されたステップを中心に説明する。
図11に示すように、S410〜S450は、第3実施形態と同様である。但し、S410にて通知リストの受信がないと判定された場合、本処理(又は本ECU20)の起動後、予め設定された通知待ち時間が経過したか否かを判断し(S470)、通知待ち時間が経過していなければ、S410に戻り、通知待ち時間が経過していれば、ゲートウェイECU10に対して鍵交換の実行を要求する鍵交換要求信号を送信して(S490)、S410に戻る。
また、S430にて、暗号鍵の受信がないと判定された場合、通知リストの受信後、予め設定された鍵待ち時間が経過したか否かを判断する(S480)。そして、鍵待ち時間が経過していなければ、S430に戻り、鍵待ち時間が経過していれば、S490に移行して、鍵交換要求信号を送信し(S490)、S410に戻る。
また、S420にて、通知リストに自ECU20が示されておらず、鍵交換が不要であると判定された場合、又はS450にて確認信号を送信した後は、通知リストを受信するまで待機し(S460)、通知リストを受信すると、S420に戻る。
つまり、ゲートウェイECU10及び他のECU20が上述した認証処理を実行すると、図12(a)に示すように、ゲートウェイECU10からは通知リストが、暗号鍵を共有すべきECU20(図中ではECU1〜ECUN)が示された通知リストが、放送形式で全てのECU20に一括して配信され、これに続けて暗号鍵(種鍵を用いて暗号化)が放送形式で全てのECU20に一括して配信される。
この配信された暗号鍵が、通知リストに示された各ECU20にて保存されると共に、暗号鍵を保存した各ECU20からは、ゲートウェイECU10に対して、それぞれ個別に鍵確認(暗号鍵を用いて暗号化)が返送される。
この時、ECU1〜ECUNのいずれか(図ではECU2)から送信された確認信号が、ノイズによる通信不良等により、ゲートウェイECU10で受信されなかった場合、ゲートウェイECU10からは、確認信号の返信のないECU2が示された通知リストが、放送形式で全てのECU20に一括して配信され、これに続けて、先に送付したものと同じ暗号鍵が放送形式で全てのECU20に一括して再配信される。
すると、この配信された暗号鍵が通知リストに示されたECU2にて保存されると共に、通知リストに示され且つ暗号鍵を保存したECU2からのみ確認信号が返信される。この確認信号がゲートウェイECU10にて受信された場合には鍵交換が終了し、確認信号が受信されなかった場合には、鍵交換が再実行される。
また、図12(b)に示すように、鍵交換が正常に終了した後、暗号鍵を共有するECU1〜ECUNのいずれか(図ではECU2)が、何等かの理由によって再起動した場合、その再起動したECU2からは、鍵交換要求信号が送信される。
この鍵交換要求信号を受信したゲートウェイECU10からは、鍵交換要求信号の送信元であるECU2を示した通知リストが放送形式で全てのECU20に一括して配信され、これに続けて、先に送付したものと同じ暗号鍵が、放送形式で全てのECU20に一括して再配信される。以下、先に説明した場合と同様に、ECU2からの確認信号の返信が行われ、確認信号の返信の有無によって、鍵交換が終了或いは再実行される。
以上説明したように、本実施形態の車両制御システム1においては、第3実施形態で行う処理に加えて、ゲートウェイECU10は、通知リストに示した(即ち、暗号鍵を共有すべき)ECU20の中で、暗号鍵の配信に対する確認信号の返信のないものが存在する時には、鍵交換を再実行する処理を行い、また、ECU20は、ゲートウェイECU10から通知リストや暗号鍵を受信できなかった時に、鍵交換要求信号を送信して、ゲートウェイECU10に鍵交換を再実行させる処理を行うようにされている。
従って、本実施形態の車両制御システムによれば、第3実施形態の場合と同様の効果を得ることができるだけでなく、通信不良やECU20の再起動が発生した場合でも、各ECU20に暗号鍵を確実に共有させることができる。
つまり、ゲートウェイECU10や他のECU20の異常や故障ではないにも関わらず、何らかの外部要因(例えば外来ノイズによる通信不良等)によって、暗号通信が実行不能となってしまうことを防止することができる。
また、本実施形態では、通知リストに示されたECU20のみが鍵交換を実行し、鍵交換を再実行する際には、鍵交換に成功したECU20を通知リストから除外するようにされているため、鍵交換に成功したECU20に不要な処理を強いることなく、鍵交換の再実行を必要最小限の処理量にて実現することができる。
なお、本実施形態において、S370〜SS95が再配信手段(請求項15)、S410〜S420が通知リスト受信手段、S470〜S490が要求送信手段に相当する。
[第5実施形態]
次に、第5実施形態について説明する。
本実施形態では、ECU20が暗号鍵生成に用いるものとは異なる第2の乱数発生装置(図示せず)を備えている点、及び、ゲートウェイECU10のマイコン16が実行するGW側認証処理、及び他のECU20のマイコン24が実行するECU側認証処理の一部が追加,変更されている点が、第1実施形態と異なるだけであるため、これらについてのみ説明する。
なお、GW側認証処理では、第1実施形態のS130〜S140の代わりに、図13(a)に示すフローチャートが挿入され、ECU側認証処理では、第1実施形態のS240とS250の間に、図13(b)に示すフローチャートが挿入されているだけであるため、第1実施形態と同じ処理には、同一のステップ番号を付与して説明を省略し、新たに追加されたステップを中心に説明する。
まず、GW側認証処理では、S110〜S120は第1実施形態の場合と同様であり、S120にて暗号鍵の配信を行った後、暗号鍵を取得したことを示す確認信号を受信するか(S510)、或いは、先のS120にて暗号鍵の配信を行ってから予め設定された確認待ち時間が経過するまで待機する(S540)。
そして、確認信号を受信した場合は、確認信号を暗号鍵で復号することで抽出される乱数に、予め設定された認証子を付加することで確認応答信号を生成し、この確認応答信号を暗号鍵で暗号化して、確認信号の送信元に返信する(S520)。更に、暗号鍵を共有すべき全てのECU20から確認信号の返信を受けたか否かを判断し(S530)、未だ確認信号の返信を受けていないECU20があれば、S540に移行し、暗号鍵を共有すべき全てのECU20から確認信号の返信を受けていれば、S150に移行する。
また、S540にて、確認待ち時間が経過したと判定された場合も、S150に移行する。そして、S150〜S190は、第1実施形態と同様である。
次に、ECU側認証処理では、S210〜S240は第1実施形態の場合と同様であり、S240にて、暗号鍵を受信したと判定されると、第2の乱数発生装置から乱数を取得し(S610)、取得した乱数を確認信号として、この確認信号を配信を受けた暗号鍵で暗号化して、ゲートウェイECU10に送信する(S620)。
その後、ゲートウェイECU10から、確認応答信号を受信するか(S630)、S620にて確認信号を送信後、予め設定された確認応答待ち時間が経過するまで待機する(S640)。
そして、確認応答信号を受信した場合には、確認応答信号を復号することで得られた乱数が、確認信号として送信したものと一致し、且つその乱数に正しい認証子が付加されているか否かを判断し(S650)、肯定判定された場合は、S250に移行する。このS250は、第1実施形態と同様である。
一方、確認応答信号に異常があり、S650にて否定判定されるか、或いはS640にて確認応答待ち時間が経過したと判定された場合、確認応答信号の送信元であるゲートウェイECU10に異常があるものとして、異常対応処理を実行して(S660)、本処理を終了する。なお、異常対応処理としては、ECU20の機能を停止すること等が考えられる。
つまり、ゲートウェイECU10及び他のECU20が上述した認証処理を実行すると、図14に示すように、ゲートウェイECU10にて生成された暗号鍵(種鍵を用いて暗号化)が放送形式で全てのECU20(図中ではECU1〜ECUN)に一括して配信されると、これを受信した各ECU20からは、ゲートウェイECU10に対して、それぞれ個別に自ECU20内で発生させた乱数からなる確認信号(暗号鍵を用いて暗号化)が返信される。するとゲートウェイECU10からは、各確認信号毎に、その確認信号から抽出した乱数に認証子を付加した確認応答信号(暗号鍵を用いて暗号化)が、各ECU20に対して個別に返信される。
以上説明したように、本実施形態の車両制御システム1においては、第1実施形態での処理に加えて、確認信号に対する応答である確認応答信号をゲートウェイECU10に送信させる処理を行うようにされており、しかも、暗号鍵を知っていなければ、正しい確認応答信号を生成することができないようにすることにより、確認応答信号からゲートウェイECU10の正当性をECU20側で判定できるようにされている。
従って、本実施形態の車両制御システム1によれば、第1実施形態の場合と同様の効果を得ることができるだけでなく、ゲートウェイECU10を置換する不正が行われたとしても、これを検出して異常対処処理を実行することができ、このような不正を防止することができる。
なお、本実施形態において、S510〜S520が確認応答送信手段、S650〜S660が異常判定手段に相当する。
また、本実施形態では、図13(a)に示すフローチャートを第1実施形態に適用したが、第2実施形態のS130〜S140、又は第3,第4実施形態のS340〜S350の代わりに、図13(a)に示すフローチャートを挿入し、第2実施形態のS240とS250の間、又は第3,第4実施形態のS430とS440の間に、図13(b)に示すフローチャートを挿入してもよい。
[他の実施形態]
以上、本発明のいくつかの実施形態について説明したが、本発明は上記実施形態に限定されるものではなく、様々な態様にて実施することが可能である。
例えば、上記実施形態では、ゲートウェイECU10を介して接続された二つの車載LAN3,5は、同じ暗号鍵を用いているが、車載LAN毎に異なる暗号鍵を用いるように構成してもよい。この場合、ゲートウェイECU10には、ゲートウェイECU10を通過する暗号化データがある場合、その暗号化データを一端復号し、再度暗号化する機能を付加する必要がある。
また、上記実施形態では、ECU20は、暗号処理部23をマイコン24とは別の構成として設けられているが、イグニッションスイッチの状態によらず常時起動状態にあるECUでは、暗号処理部23を省略して、その機能をマイコン24が実行するように構成してもよい。
また、上記実施形態では、車載LAN3,5としてバス型のものを用いているが、スター型や、バス型とスター型とを複合した車載LAN(例えばFlex Ray)等を用いてもよい。
実施形態の車両制御システムの構成を示すブロック図である。 第1実施形態におけるGW側認証処理、及びECU側認証処理の内容を示すフローチャートである。 第1実施形態におけるゲートウェイECUと他のECUとの間で実行される認証処理(鍵交換)を実行した時のデータの流れを示す説明図である。 盗難防止処理の内容を示すフローチャートである。 第2実施形態におけるGW側認証処理の内容を示すフローチャートである。 第2実施形態におけるECU側認証処理の内容を示すフローチャートである。 第2実施形態におけるゲートウェイECUと他のECUとの間で実行される認証処理(鍵交換)を実行した時のデータの流れを示す説明図である。 第3実施形態におけるGW側認証処理、及びECU側認証処理の内容を示すフローチャートである。 第3実施形態におけるゲートウェイECUと他のECUとの間で実行される認証処理(鍵交換)を実行した時のデータの流れを示す説明図である。 第4実施形態におけるGW側認証処理の内容を示すフローチャートである。 第4実施形態におけるECU側認証処理の内容を示すフローチャートである。 第4実施形態におけるゲートウェイECUと他のECUとの間で実行される認証処理(鍵交換)を実行した時のデータの流れを示す説明図である。 第5実施形態におけるGW側認証処理、及びECU側認証処理の内容を示すフローチャートである。 第5実施形態におけるゲートウェイECUと他のECUとの間で実行される認証処理(鍵交換)を実行した時のデータの流れを示す説明図である。 従来装置の構成、及び動作を示す説明図である。 従来装置にて認証処理(鍵交換)を実行した時のデータの流れを示す説明図である。
符号の説明
1…車両制御システム、3,5…車載LAN、10…ゲートウェイECU、11,12,21…トランシーバ、13…フィルタ、14,22…CANコントローラ、15…鍵交換処理部、16,24…マイコン、20…ECU、23…暗号処理部、30…盗難防止装置、32…侵入センサ、33…受信機、34…スタータ、35…警報装置、36…通報装置、L1,L2…バスライン。

Claims (21)

  1. ローカルエリアネットワークに接続された三つ以上のノードが、共通の暗号鍵を用いて通信データを暗号化及び復号する暗号通信を行う通信システムであって、
    前記ノードのいずれか一つが主ノードとなって前記暗号鍵の生成を行い、該暗号鍵を前記主ノード以外のノードである従ノードに前記ローカルエリアネットワークを介して放送形式で配信する鍵交換を実行することで、各ノードに前記暗号鍵を共有させ、
    前記従ノードは、前記暗号鍵の配信を受けた場合に、前記ローカルエリアネットワークを介して前記主ノードに確認信号を返信し、
    前記主ノードは、前記暗号鍵を共有すべき従ノードの中で、前記確認信号の返信のない未確認従ノードが存在する場合に、前記鍵交換を再実行すると共に、前記確認信号の返信のあった従ノードを示した鍵確認リストを、前記ローカルエリアネットワークを介して放送形式で配信し、
    前記従ノードは、前記鍵確認リストに自ノードが示されていない場合のみ、前記鍵交換の再実行による暗号鍵の再配信に対して前記確認信号を返信することを特徴とする通信システム。
  2. ローカルエリアネットワークに接続された三つ以上のノードが、共通の暗号鍵を用いて通信データを暗号化及び復号する暗号通信を行う通信システムであって、
    前記ノードのいずれか一つが主ノードとなって前記暗号鍵の生成を行い、該暗号鍵を前記主ノード以外のノードである従ノードに前記ローカルエリアネットワークを介して放送形式で配信する鍵交換を実行することで、各ノードに前記暗号鍵を共有させ、
    前記主ノードは、前記鍵交換の実行前に、前記暗号鍵を共有すべき従ノードを示した通知リストを、前記ローカルエリアネットワークを介して放送形式で配信し、
    前記従ノードは、前記通知リストに自ノードが示され、且つ、前記暗号鍵の配信を受けた場合に、前記ローカルエリアネットワークを介して前記主ノードに確認信号を返信することを特徴とする通信システム。
  3. 前記主ノードは、前記通知リストに示された従ノードの中で、前記確認信号の返信のない未確認従ノードが存在する場合に、該未確認従ノードを示した通知リストを配信後、前記鍵交換を再実行することを特徴とする請求項2に記載の通信システム。
  4. 前記従ノードは、前記暗号鍵の配信を受けた場合に、前記ローカルエリアネットワークを介して前記主ノードに確認信号を返信し、
    前記主ノードは、前記暗号鍵を共有すべき従ノードの中で、前記確認信号の返信のない未確認従ノードが存在する場合に、前記鍵交換を再実行することを特徴とする請求項2又は3に記載の通信システム。
  5. ローカルエリアネットワークに接続された三つ以上のノードが、共通の暗号鍵を用いて通信データを暗号化及び復号する暗号通信を行う通信システムであって、
    前記ノードのいずれか一つが主ノードとなって前記暗号鍵の生成を行い、該暗号鍵を前記主ノード以外のノードである従ノードに前記ローカルエリアネットワークを介して放送形式で配信する鍵交換を実行することで、各ノードに前記暗号鍵を共有させ、
    前記従ノードは、前記暗号鍵の配信を受けた場合に、前記ローカルエリアネットワークを介して前記主ノードに確認信号を返信し、
    前記主ノードは、前記暗号鍵を共有すべき従ノードの中で、前記確認信号の返信のない未確認従ノードが存在する場合に、前記鍵交換を再実行し、
    更に、前記従ノードは、当該従ノードにて発生させた乱数を前記確認信号とし、該確認信号を前記鍵交換によって取得した暗号鍵で暗号化して送信し、
    前記主ノードは、前記確認信号を受信すると、前記確認信号を復号することで抽出した乱数に予め設定された認証子を付加してなる確認応答信号を、前記暗号鍵で暗号化し、前記ローカルエリアネットワークを介して返信することを特徴とする記載の通信システム。
  6. 前記主ノードは、前記確認信号の返信のあった従ノードを示した鍵確認リストを、前記ローカルエリアネットワークを介して放送形式で配信し、
    前記従ノードは、前記鍵確認リストに自ノードが示されていない場合のみ、前記鍵交換の再実行による暗号鍵の再配信に対して前記確認信号を返信することを特徴とする請求項4又は5に記載の通信システム。
  7. 前記ノードのそれぞれには、予め共通の種鍵が用意され、
    前記鍵交換では、前記種鍵を用いて前記暗号鍵を暗号化することを特徴とする請求項1〜6のいずれかに記載の通信システム。
  8. 前記鍵交換を、当該通信システムの起動毎に実行することを特徴とする請求項1〜7のいずれかに記載の通信システム。
  9. 当該通信システムの起動後、各ノードにおいて通信データを生成,処理するデータ処理部の初期化が終了するまでの間に、該データ処理部の初期化と並行して前記鍵交換を実行することを特徴とする請求項8に記載の通信システム。
  10. 前記従ノードは、前記鍵交換が実行されるべきタイミングで、予め設定された鍵待ち時間内に前記暗号鍵の配信を受けることができなかった場合、前記主ノードに対して前記鍵交換の実行を要求する要求信号を前記ローカルエリアネットワークを介して送信することを特徴とする請求項1〜9のいずれかに記載の通信システム。
  11. ローカルエリアネットワークを介して暗号通信を行う通信システムにおいて、該通信システムを構成するノードのいずれか一つに搭載される鍵配信装置であって、
    通信データの暗号化及び復号に用いる暗号鍵を、予め設定された鍵生成タイミングで生成する鍵生成手段と、
    該鍵生成手段により生成された暗号鍵を、予め用意された種鍵を用いて暗号化し、前記ローカルエリアネットワークを介して放送形式で配信する鍵配信手段と、
    該鍵配信手段が配信した暗号鍵を受信した他ノードからの確認信号を、前記ローカルエリアネットワークを介して受信し、該確認信号の返信があったノードを示した鍵確認リストを生成するリスト生成手段と、
    該リスト生成手段が生成した鍵確認リストを、前記ローカルエリアネットワークを介して放送形式で配信するリスト配信手段と、
    を備えることを特徴とする鍵配信装置。
  12. 前記暗号鍵を共有すべきノードの中で、前記確認信号の返信のない未確認ノードが存在する場合、前記暗号鍵を再配信する再配信手段を備えることを特徴とする請求項11に記載の鍵配信装置。
  13. 前記リスト生成手段は、前記鍵配信手段による暗号鍵の配信後、予め設定された確認待時間内に受信した確認信号に基づいて、前記鍵確認リストを生成することを特徴とする請求項11又は12に記載の鍵配信装置。
  14. ローカルエリアネットワークを介して暗号通信を行う通信システムにおいて、該通信システムを構成するノードのいずれか一つに搭載される鍵配信装置であって、
    通信データの暗号化及び復号に用いる暗号鍵を、予め設定された鍵生成タイミングで生成する鍵生成手段と、
    前記暗号鍵が配信されるべきノードを示した通知リストを、前記ローカルエリアネットワークを介して放送形式で配信する通知リスト配信手段と、
    該通知リスト配信手段による通知リストの配信後、前記鍵生成手段により生成された暗号鍵を、予め用意された種鍵を用いて暗号化し、前記ローカルエリアネットワークを介して放送形式で配信する鍵配信手段と、
    を備えることを特徴とする鍵配信装置。
  15. 前記鍵配信手段が配信した暗号鍵を受信した他ノードからの確認信号を前記ローカルエリアネットワークを介して受信し、前記通知リストに示したノードの中で、前記確認信号の返信のない未確認ノードが存在する場合に、該未確認ノードを示した通知リスト及び前記暗号鍵を再配信する再配信手段を備えることを特徴とする請求項14に記載の鍵配信装置。
  16. 前記確認信号には乱数が含まれており、
    前記確認信号が受信されると、該確認信号を復号することで抽出した乱数に予め設定された認証子を付加してなる確認応答信号を、前記暗号鍵で暗号化し、前記ローカルエリアネットワークを介して送信する確認応答送信手段を備えることを特徴とする請求項11〜15のいずれかに記載の鍵配信装置。
  17. ローカルエリアネットワークを介して暗号通信を行う通信システムにおいて、該通信シ
    ステムを構成するノードに搭載される暗号処理装置であって、
    予め設定された種鍵を用いて暗号化された暗号鍵を前記ローカルエリアネットワークを介して受信すると、その旨を示す確認信号を前記ローカルエリアネットワークを介して返信する暗号鍵受信手段と、
    前記暗号鍵受信手段により受信された暗号鍵を用いて、前記ローカルエリアネットワークを介して送受信される通信データを暗号化及び復号する暗号処理手段と、
    前記ローカルエリアネットワークを介して、前記確認信号を返信したノードが示された鍵確認リストを受信し、該鍵確認リストに自ノードが示されている場合に、前記暗号鍵受信手段の作動を禁止する確認リスト受信手段と、
    を備えることを特徴とする暗号処理装置。
  18. 当該装置の起動後、予め設定された鍵待ち時間内に前記暗号鍵を受信できない場合、又は前記暗号鍵受信手段が前記確認信号を返信したにも関わらず前記鍵確認リストに自ノードが示されていない場合に、前記暗号鍵の配信元に対して前記暗号鍵の再配信を要求する要求信号を前記ローカルエリアネットワークを介して送信する要求送信手段を備えることを特徴とする請求項17に記載の暗号処理装置。
  19. 前記ローカルエリアネットワークを介して、前記暗号鍵を共有すべきノードが示された通知リストを受信し、該通知リストに自ノードが示されている場合に、前記暗号鍵受信手段を作動させる通知リスト受信手段を備えることを特徴とする請求項17又は18に記載の暗号処理装置。
  20. 当該装置の起動後、予め設定されたリスト待ち時間内に前記通知リストを受信できない場合、又は前記通知リストの受信後、予め設定された鍵待ち時間内に前記暗号鍵を受信できない場合に、前記暗号鍵の配信元に対して前記暗号鍵の再配信を要求する要求信号を前記ローカルエリアネットワークを介して送信する要求送信手段を備えることを特徴とする請求項19に記載の暗号処理装置。
  21. 前記暗号鍵受信手段は、当該装置にて発生された乱数を前記確認信号とし、該確認信号を前記暗号鍵で暗号化して送信し、
    前記ローカルエリアネットワークを介して前記確認信号に対する確認応答信号を受信した場合、該確認応答信号を前記暗号鍵で復号した結果が、前記確認信号として送信した乱数、及び予め設定された認証子とは異なる場合に、前記暗号鍵の送信元に異常があると判定する異常判定手段と、
    を備えることを特徴とする請求項17〜20のいずれかに記載の暗号処理装置。
JP2004355907A 2004-04-28 2004-12-08 通信システム、鍵配信装置、暗号処理装置 Expired - Fee Related JP4576997B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2004355907A JP4576997B2 (ja) 2004-04-28 2004-12-08 通信システム、鍵配信装置、暗号処理装置
US11/116,415 US7602915B2 (en) 2004-04-28 2005-04-28 Communication system having plurality of nodes sharing a common cipher key, cipher key dispatching apparatus for use in the system, and anti-theft apparatus utilizing information derived from cipher key utilization

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2004133971 2004-04-28
JP2004355907A JP4576997B2 (ja) 2004-04-28 2004-12-08 通信システム、鍵配信装置、暗号処理装置

Publications (2)

Publication Number Publication Date
JP2005341528A JP2005341528A (ja) 2005-12-08
JP4576997B2 true JP4576997B2 (ja) 2010-11-10

Family

ID=35494532

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004355907A Expired - Fee Related JP4576997B2 (ja) 2004-04-28 2004-12-08 通信システム、鍵配信装置、暗号処理装置

Country Status (2)

Country Link
US (1) US7602915B2 (ja)
JP (1) JP4576997B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3675414A1 (en) 2015-05-08 2020-07-01 Panasonic Intellectual Property Management Co., Ltd. Authentication method, authentication system, and controller

Families Citing this family (54)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4665617B2 (ja) * 2005-06-10 2011-04-06 沖電気工業株式会社 メッセージ認証システム,メッセージ送信装置,メッセージ受信装置,メッセージ送信方法,メッセージ受信方法およびプログラム
EP1793606A1 (en) * 2005-12-05 2007-06-06 Microsoft Corporation Distribution of keys for encryption/decryption
JP4791301B2 (ja) * 2006-09-13 2011-10-12 株式会社オートネットワーク技術研究所 車載lanシステム
CN100463391C (zh) * 2006-09-23 2009-02-18 西安西电捷通无线网络通信有限公司 一种网络密钥管理及会话密钥更新方法
US20090288175A1 (en) * 2008-05-14 2009-11-19 Sun chun-yi Electronic anti-theft system for vehicle components
WO2012043167A1 (ja) * 2010-09-27 2012-04-05 日本電気株式会社 情報処理システム、車両のチェック方法、及び、車両のチェックプログラム
KR20120096969A (ko) * 2011-02-24 2012-09-03 삼성전자주식회사 암복호화 장치 및 이를 포함하는 시스템
JP2013031151A (ja) 2011-06-20 2013-02-07 Renesas Electronics Corp 暗号通信システムおよび暗号通信方法
JP5479408B2 (ja) * 2011-07-06 2014-04-23 日立オートモティブシステムズ株式会社 車載ネットワークシステム
US8978109B2 (en) * 2011-09-12 2015-03-10 Toyota Jidosha Kabushiki Kaisha Electronic control device for a vehicle
JP5811784B2 (ja) * 2011-11-08 2015-11-11 住友電気工業株式会社 無線通信システム、情報提供装置、移動体端末、及び移動体端末へ情報を提供する方法
JP2013138304A (ja) * 2011-12-28 2013-07-11 Toyota Motor Corp セキュリティシステム及び鍵データの運用方法
DE102013101508A1 (de) 2012-02-20 2013-08-22 Denso Corporation Datenkommunikationsauthentifizierungssystem für ein Fahrzeug, Netzkopplungsvorrichtung für ein Fahrzeug, Datenkommunikationssystem für ein Fahrzeug und Datenkommunikationsvorrichtung für ein Fahrzeug
EP2832070B1 (en) 2012-03-29 2020-05-20 Arilou Information Security Technologies Ltd. Device for protecting a vehicle electronic system
KR101413427B1 (ko) 2012-12-18 2014-07-01 주식회사 유라코퍼레이션 차량용 네트워크의 보안 메시지 송수신 장치 및 방법
US20150033016A1 (en) * 2013-07-23 2015-01-29 Battelle Memorial Institute Systems and methods for securing real-time messages
JP2013236397A (ja) * 2013-07-23 2013-11-21 Nti Corp 送受信システム、送信装置、受信装置、それらで実行される方法、並びにプログラム
CN106030600B (zh) * 2014-02-28 2018-10-16 日立汽车系统株式会社 认证系统、车载控制装置
EP3157191B1 (en) 2014-06-10 2018-09-19 Panasonic Intellectual Property Management Co., Ltd. Authentication method, authentication system, and controller
JP6181032B2 (ja) * 2014-11-18 2017-08-16 株式会社東芝 通信システム及び通信装置
WO2016093368A1 (ja) * 2014-12-12 2016-06-16 Kddi株式会社 管理装置、鍵生成装置、車両、メンテナンスツール、管理システム、管理方法、及びコンピュータプログラム
JP6173411B2 (ja) * 2014-12-12 2017-08-02 Kddi株式会社 管理装置、車両、管理システム、管理方法、及びコンピュータプログラム
JP6573819B2 (ja) * 2015-01-20 2019-09-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
WO2016132719A1 (ja) * 2015-02-16 2016-08-25 日本電気株式会社 通信システム、ノード装置、通信端末、キー管理方法及びプログラムが格納された非一時的なコンピュータ可読媒体
US9756024B2 (en) * 2015-09-18 2017-09-05 Trillium Incorporated Computer-implemented cryptographic method for improving a computer network, and terminal, system and computer-readable medium for the same
JP6515766B2 (ja) * 2015-09-30 2019-05-22 ヤマハ株式会社 制御端末装置および機器制御方法
JP6436038B2 (ja) * 2015-09-30 2018-12-12 パナソニックIpマネジメント株式会社 通信装置、マルチホップ通信システム、及び、通信方法
US10200371B2 (en) * 2015-11-09 2019-02-05 Silvercar, Inc. Vehicle access systems and methods
JP6502832B2 (ja) * 2015-11-13 2019-04-17 株式会社東芝 検査装置、通信システム、移動体および検査方法
JP6523143B2 (ja) 2015-11-13 2019-05-29 株式会社東芝 データ配布装置、通信システム、移動体およびデータ配布方法
JP6190443B2 (ja) 2015-12-28 2017-08-30 Kddi株式会社 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
WO2017147207A1 (en) * 2016-02-22 2017-08-31 Continental Automotive Systems, Inc. Method to establish and update keys for secure in-vehicle network communication
JP6223484B2 (ja) * 2016-02-29 2017-11-01 Kddi株式会社 車載制御システム、車両、鍵配信装置、制御装置、鍵配信方法、及びコンピュータプログラム
US9866563B2 (en) * 2016-04-12 2018-01-09 Gaurdknox Cyber Technologies Ltd. Specially programmed computing systems with associated devices configured to implement secure communication lockdowns and methods of use thereof
JP2017208731A (ja) * 2016-05-19 2017-11-24 Kddi株式会社 管理システム、管理装置、車載コンピュータ、管理方法、及びコンピュータプログラム
WO2018026030A1 (ko) 2016-08-03 2018-02-08 엘지전자 주식회사 차량 및 그 제어방법
KR101816582B1 (ko) * 2016-08-03 2018-01-09 엘지전자 주식회사 차량 및 그 제어방법
JP6677132B2 (ja) * 2016-09-06 2020-04-08 住友電気工業株式会社 車載通信機、管理装置、管理方法および監視プログラム
US10285051B2 (en) * 2016-09-20 2019-05-07 2236008 Ontario Inc. In-vehicle networking
JP6683588B2 (ja) * 2016-11-10 2020-04-22 Kddi株式会社 再利用システム、サーバ装置、再利用方法、及びコンピュータプログラム
CN106685985B (zh) * 2017-01-17 2019-11-29 同济大学 一种基于信息安全技术的车辆远程诊断系统及方法
JP6981755B2 (ja) 2017-01-25 2021-12-17 トヨタ自動車株式会社 車載ネットワークシステム
JP6724829B2 (ja) * 2017-03-16 2020-07-15 株式会社デンソー 制御装置
JP6855918B2 (ja) * 2017-05-16 2021-04-07 株式会社デンソー 暗号鍵の処理を行う車両用システム及び電子制御装置
CN107105060B (zh) * 2017-05-27 2020-12-08 天津恒天新能源汽车研究院有限公司 一种实现电动汽车信息安全的方法
US20190068361A1 (en) * 2017-08-30 2019-02-28 Ford Global Technologies, Llc In-vehicle group key distribution
US10009325B1 (en) * 2017-12-07 2018-06-26 Karamba Security End-to-end communication security
JP2019161605A (ja) * 2018-03-16 2019-09-19 株式会社デンソー マスタ電子制御装置、スレーブ電子制御装置、電子制御システム、通信制御方法及び通信制御プログラム
JP7003832B2 (ja) * 2018-05-09 2022-01-21 株式会社デンソー 車両用電子制御システムおよび車両用電子制御装置
JP6555559B1 (ja) * 2018-06-15 2019-08-07 パナソニックIpマネジメント株式会社 電子制御装置、監視方法、プログラム及びゲートウェイ装置
US20200112439A1 (en) * 2018-10-03 2020-04-09 Panasonic Automotive Systems Company Of America, Division Of Panasonic Corporation Of North America Secure controller area network in vehicles
DE102020212772A1 (de) * 2020-10-09 2022-04-14 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Vorrichtung zum Verwalten von kryptografischen Schlüsseln
US11509466B2 (en) 2021-01-14 2022-11-22 Ford Global Technologies, Llc Transmission of authentication keys
CN113259933B (zh) * 2021-06-15 2023-08-29 北京天融信网络安全技术有限公司 一种密钥更新的方法、网关、控制装置、电子设备及介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000284808A (ja) * 1999-03-31 2000-10-13 Mitsubishi Electric Corp 車両制御通信システム
JP2002337633A (ja) * 2001-05-17 2002-11-27 Denso Corp 車載システム用電源制御システム
JP2003212093A (ja) * 2002-01-21 2003-07-30 Denso Corp 車両の盗難防止装置及びプログラム
JP2003283481A (ja) * 2002-03-22 2003-10-03 Canon Inc 無線システム、無線通信方法、記録媒体及びプログラム
JP2004015305A (ja) * 2002-06-05 2004-01-15 Denso Corp 暗号化通信方式、および通信装置
JP2004023237A (ja) * 2002-06-13 2004-01-22 Mitsubishi Electric Corp 暗号通信システム、暗号通信方法およびその方法をコンピュータに実行させるプログラム
JP2004023156A (ja) * 2002-06-12 2004-01-22 Denso Corp 暗号化通信方式、および通信装置
JP2005203882A (ja) * 2004-01-13 2005-07-28 Denso Corp 通信システム及び鍵送信方法

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS59100068U (ja) * 1982-12-25 1984-07-06 富士重工業株式会社 自動車ドアのキ−レスエントリ−装置
JP3308561B2 (ja) * 1990-11-14 2002-07-29 株式会社東芝 電子メール通信方法および送信側端末
JPH088565B2 (ja) * 1992-09-11 1996-01-29 日本電気株式会社 同報鍵配送装置
JPH1051438A (ja) * 1996-07-30 1998-02-20 Matsushita Electric Works Ltd 暗号通信システム
US7079655B1 (en) * 1999-10-25 2006-07-18 Kabushiki Kaisha Toshiba Encryption algorithm management system
JP2001155466A (ja) * 1999-11-24 2001-06-08 Toshiba Corp 画像付音声情報を記録するシステム
EP1104799A1 (en) * 1999-11-30 2001-06-06 Patent-Treuhand-Gesellschaft für elektrische Glühlampen mbH Red emitting luminescent material
US6580224B2 (en) * 2000-06-05 2003-06-17 Kabushiki Kaisha Toshiba Backlight for color liquid crystal, color liquid crystal display device, and EL element for backlight of color liquid crystal device
JP2002321569A (ja) 2001-04-26 2002-11-05 Matsushita Electric Ind Co Ltd 車載用電子機器
US20020076044A1 (en) * 2001-11-16 2002-06-20 Paul Pires Method of and system for encrypting messages, generating encryption keys and producing secure session keys
US10562492B2 (en) * 2002-05-01 2020-02-18 Gtj Ventures, Llc Control, monitoring and/or security apparatus and method
US7152693B2 (en) * 2003-05-30 2006-12-26 International Business Machines Corporation Password security utility
US20050182966A1 (en) * 2004-02-17 2005-08-18 Duc Pham Secure interprocess communications binding system and methods
US8278816B2 (en) * 2004-09-30 2012-10-02 Global Tungsten & Powders Corp. High CRI electroluminescent lamp
US7452483B2 (en) * 2004-09-30 2008-11-18 Global Tungsten & Powders Corp. Yellow-emitting phosphor blend for electroluminescent lamps

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000284808A (ja) * 1999-03-31 2000-10-13 Mitsubishi Electric Corp 車両制御通信システム
JP2002337633A (ja) * 2001-05-17 2002-11-27 Denso Corp 車載システム用電源制御システム
JP2003212093A (ja) * 2002-01-21 2003-07-30 Denso Corp 車両の盗難防止装置及びプログラム
JP2003283481A (ja) * 2002-03-22 2003-10-03 Canon Inc 無線システム、無線通信方法、記録媒体及びプログラム
JP2004015305A (ja) * 2002-06-05 2004-01-15 Denso Corp 暗号化通信方式、および通信装置
JP2004023156A (ja) * 2002-06-12 2004-01-22 Denso Corp 暗号化通信方式、および通信装置
JP2004023237A (ja) * 2002-06-13 2004-01-22 Mitsubishi Electric Corp 暗号通信システム、暗号通信方法およびその方法をコンピュータに実行させるプログラム
JP2005203882A (ja) * 2004-01-13 2005-07-28 Denso Corp 通信システム及び鍵送信方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3675414A1 (en) 2015-05-08 2020-07-01 Panasonic Intellectual Property Management Co., Ltd. Authentication method, authentication system, and controller

Also Published As

Publication number Publication date
JP2005341528A (ja) 2005-12-08
US7602915B2 (en) 2009-10-13
US20060115085A1 (en) 2006-06-01

Similar Documents

Publication Publication Date Title
JP4576997B2 (ja) 通信システム、鍵配信装置、暗号処理装置
JP6903834B2 (ja) Idベースの制御ユニットキーフォブペアリング
US9947153B2 (en) Secure smartphone based access and start authorization system for vehicles
US20190281052A1 (en) Systems and methods for securing an automotive controller network
US10279775B2 (en) Unauthorized access event notification for vehicle electronic control units
US9641329B2 (en) In-vehicle system and communication method
US20150095997A1 (en) Authentication system and authentication method
US10885723B2 (en) Encrypted communication system and method for controlling encrypted communication system
US11418328B2 (en) System for key control for in-vehicle network
JP2005203882A (ja) 通信システム及び鍵送信方法
US11228602B2 (en) In-vehicle network system
JP3991927B2 (ja) 盗難防止システム
CN113162928B (zh) 通信方法、装置、ecu、车辆及存储介质
US11218309B2 (en) Vehicle communication system and vehicle communication method
JP6950540B2 (ja) ネットワークシステム
JP2020137009A (ja) ネットワークシステム
JP7003832B2 (ja) 車両用電子制御システムおよび車両用電子制御装置
JP2017034555A (ja) データ通信システム、データ通信機器及びデータ通信方法
JP2013121071A (ja) 中継システム及び、当該中継システムを構成する中継装置、外部装置
WO2018037894A1 (ja) 車両用認証装置
JP6919430B2 (ja) ネットワークシステム
JP2024055384A (ja) 車両用制御装置
JP2019140615A (ja) ネットワークシステム
JP2017169017A (ja) 車両用通信網装置及び通信方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070125

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100518

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100709

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100727

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100809

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130903

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130903

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees