JP2016139883A - 中継装置、端末装置および通信方法 - Google Patents

中継装置、端末装置および通信方法 Download PDF

Info

Publication number
JP2016139883A
JP2016139883A JP2015012877A JP2015012877A JP2016139883A JP 2016139883 A JP2016139883 A JP 2016139883A JP 2015012877 A JP2015012877 A JP 2015012877A JP 2015012877 A JP2015012877 A JP 2015012877A JP 2016139883 A JP2016139883 A JP 2016139883A
Authority
JP
Japan
Prior art keywords
authentication
relay
ecu
node
relay device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015012877A
Other languages
English (en)
Other versions
JP6545966B2 (ja
Inventor
直幸 森田
Naoyuki Morita
直幸 森田
匡亮 谷本
Masaaki Tanimoto
匡亮 谷本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Renesas Electronics Corp
Original Assignee
Renesas Electronics Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Renesas Electronics Corp filed Critical Renesas Electronics Corp
Priority to JP2015012877A priority Critical patent/JP6545966B2/ja
Priority to CN201510946793.0A priority patent/CN105827587B/zh
Priority to US14/985,242 priority patent/US10284553B2/en
Publication of JP2016139883A publication Critical patent/JP2016139883A/ja
Application granted granted Critical
Publication of JP6545966B2 publication Critical patent/JP6545966B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ビザンチン故障型攻撃を行う不正な装置が、他の装置や中継装置が接続されている通信路に接続された場合であっても、その不正な装置を当該通信路から排除する。【解決手段】認証装置と通信可能な中継装置と端末装置と他の装置とが通信路を介して接続される通信システムにおいて、中継装置と端末装置等は、それぞれ固有の認証情報を有する。中継装置は、自身の認証情報と端末装置等から収集した認証情報とを、認証装置に送出する。認証装置は受信した認証情報に基づいて、中継装置と端末装置等が真正な装置であるか否かを判定する。中継装置は、その結果に基づいて自身と不真正と判定された装置との通信を遮断するとともに、端末装置等に対して不真正と判定された装置との通信を遮断させるための通信制御情報を送出する。端末装置等は、通信制御情報に基づいて、自身と不真正と判定された装置との通信を遮断する。【選択図】図1

Description

本発明は、通信路を介して認証装置に接続される中継装置、端末装置および通信方法に関し、特に当該中継装置と端末装置についての認証に好適に利用できるものである。
階層的に構成されたシステムにおいて、不正なデバイスを参加させることによる攻撃から当該システムを守る技術の重要性が高まってきている。例えば、車載ネットワークが搭載される自動車は、ゲートウェイを介して外部の認証サーバーへの接続ができるように構成され、自動車自身の認証を受けることができるが、当該車載ネットワークに不正なデバイスが接続されたときにも、その不正なデバイスによる攻撃から当該車載ネットワークに接続される他の真正なデバイスを守る必要がある。
特許文献1には、マシンツーマシン(M2M: machine to machine)デバイスによってサービスを提供する方法が開示されている。M2Mデバイスは、認証情報を含む第1認証に対するリクエストをネットワーク保安部(NSEC)へ送信する送信機と、それと共に拡張可能認証プロトコル(EAP)認証を実行する制御機を有し、認証が成功した場合に、マスターセッションキー(MSK)及びM2Mデバイスの認証情報のうち、少なくとも1つを利用して秘密キーを生成する、キージェネレータを有する。ここで、ネットワーク保安部を示すNSECは、Network Security Capabilityの略語であり、拡張可能認証プロトコルを示すEAPは、Extensible Authentication Protocolの略語であり、マスターセッションキーを示すMSKはMaster Session Keyの略語である。
特許文献2には、ネットワーク内にビザンチン合意による認証の機能およびカバートチャンネルの検証・制御機能を持つコントロールマネージャを設けることにより、情報を改ざんやリーク等から保護することができる認証システムが開示されている。
特許文献3には、複数のコンピュータにより、ファイルシステムを安全に分散管理する方法が開示されている。ディレクトリはビザンチン合意を形成する複数台のコンピュータ(ビザンチングループ)に複製保存することで安全性を確保し、ファイルは複数台のコンピュータに複製保存するがビザンチン合意を用いないことで負荷を軽減する。また、ファイルの内容のダイジェスト値をビザンチングループで複製保存することによって、読み取ったファイルの内容が正しいことを検証できる。
特表2014−513349号公報 特開平11−088325号公報 特開2002−358226号公報
特許文献1、2及び3について本発明者が検討した結果、以下のような新たな課題があることがわかった。
特許文献1に記載される技術によれば、M2Mネットワークが認証局と直接やりとりしなくても、ネットワーク内部の機器認証ができるように当該ネットワーク内のゲートウェイに認証鍵をセキュアに配信することができ、機器をセキュアに起動し、機器同士のセキュアな通信が実現される。しかしながら、機器自体の認証については言及されていない。したがって、不正な機器を排除することができない。
特許文献2に記載される技術によれば、カバートチャンネルによるデータ改ざんの可能性がある場合、あるいは認証システム内のシステム管理者自身が不正を働く可能性がある場合等においても、情報の改ざんや漏洩を発見することができる。しかしながら、不正を働くシステム管理者や一般の端末を排除することはできない。
特許文献3に記載される技術によれば、複数のコンピュータ上に分散したファイルを、コンピュータのいくつかが任意の時刻にアクセス不能にされた場合であっても、当該ファイルを高い信頼性で記憶しアクセス可能な方法で管理し、同時に、無許可ユーザーによるアクセスを防止することができる。しかしながら、複数のコンピュータから不正なコンピュータを排除する方法については言及されていない。
以上のようなシステムでは、正規のデバイスになりすましながら、ランダムに不正な挙動をするという、ビザンチン故障型の攻撃を行う不正なデバイスを排除することができない。そのようなシステムのネットワークでは一般に、通信エラーの発生を想定しており、リトライを繰り返すうちに正しい応答があれば正常とみなすプロトコルが採用されているために、当該ネットワークにおいて一旦デバイス間の相互接続認証が得られてしまうと、ビザンチン故障型の攻撃を通信路のエラーと区別することができないからである。
また、例えば特許文献2や3に記載されるようにビザンチン合意を利用することにより、悪意のあるデバイスがネットワークに加わっていることを前提として、全体で合議制による判断をすることで攻撃の影響を小さくするというような技術が知られているが、悪意のあるデバイスそのものを排除することはできていない。さらに、悪意のあるノードが全体に占める割合が増加すると、通信にかかる計算コストの悪化や通信の失敗率の増加といった事態を防ぐことができず、最悪の場合システムダウンに至る。特に車載システムにおいては、システムがダウンした場合に人命にかかわる重大事故に発展する恐れがあるため特に深刻である。
このような課題を解決するための手段を以下に説明するが、その他の課題と新規な特徴は、本明細書の記述及び添付図面から明らかになるであろう。
一実施の形態によれば、下記の通りである。
すなわち、認証装置と通信可能な中継装置と端末装置と他の装置とが通信路を介して接続される通信システムにおいて、以下のように構成される。
中継装置、端末装置及び他の装置は、それぞれ固有の認証情報を有する。中継装置は、自身の認証情報を認証装置に送出する。中継装置は、通信路に接続される端末装置と他の装置から認証情報を収集して認証装置に送出する。認証装置は受信した認証情報に基づいて、中継装置、端末装置及び他の装置が真正な装置であるか否かを判定する装置認証の機能を備える。
中継装置は、認証装置から装置認証の結果を受信し、その結果に基づいて自身と不真正と判定された装置との通信を遮断するとともに、端末装置及び他の装置に対して不真正と判定された装置との通信を遮断させるための通信制御情報を送出する。端末装置及び他の装置は、通信制御情報に基づいて、自身と不真正と判定された装置との通信を遮断する。
前記一実施の形態によって得られる効果を簡単に説明すれば下記のとおりである。
すなわち、ビザンチン故障型攻撃を行う不正な装置が、他の装置や中継装置が接続されている通信路に接続された場合であっても、その不正な装置を当該通信路から排除することができる。
図1は、基本的な構成を表すブロック図である。 図2は、各デバイスの構成例と装置認証の動作を示す説明図である。 図3は、複数のメーカーから提供される複数のデバイスを含むシステムの構成例を示す、模式的ブロック図である。 図4は、デバイスと認証装置の間の通信についての説明図である。 図5は、図1に例示されるシステム構成に対応する認証情報の収集フローの一例を示すシーケンス図である。 図6は、図5に例示される認証情報の収集フローで送受されるメッセージの一例を示す説明図である。 図7は、さらに新たな下位ノードが接続されたときの認証フローの一例を示すシーケンス図である。 図8は、図7に例示される認証フローで送受されるメッセージの一例を示す説明図である。 図9は、不正ノード情報を通信制御情報とする場合のフローを示す説明図である。 図10は、認証済ノード情報を通信制御情報とする場合のフローを示す説明図である。 図11は、新たな下位ノードが接続されたときの認証フローの別の一例を示すシーケンス図である。 図12は、図11に例示される認証フローで送受されるメッセージの一例を示す説明図である。 図13は、実施形態2のシステム構成例を表すブロック図である。 図14は、実施形態2の別のシステム構成例を表すブロック図である。 図15は、共有バス型接続ネットワークにおける通信パケットの構成例を示す説明図である。 図16は、装置Xに搭載されるバス型ネットワークに接続されるECUの数が5個に増えたときのシステム構成例を表すブロック図である。 図17は、図16に対応するECUの数が5個のスター型接続ネットワークが、装置Xに搭載される場合のシステム構成例を表すブロック図である。 図18は、実施形態3のシステム構成例を表すブロック図である。 図19は、図18に示す階層的なネットワークを階層バスネットワークで構成した例を示す説明図である。 図20は、図19に示す階層バスネットワークを、それと同一視することができる完全グラフ構造のネットワークに置換して構成した例を示す説明図である。 図21は、図20に示す完全グラフ構造のネットワークにおいて、DHCP等の手段によって全域木を構成した例を示す説明図である。 図22は、レガシーなECUを含む複数のECUが接続されるバス型ネットワークによる構成例を示す説明図である。 図23は、許容される通信経路を考慮した上で、図22に示すネットワーク構造と同一視できるネットワーク構造を示す説明図である。 図24は、図23に示すバス型ネットワーク構造について、全域木を構成した例を示す説明図である。 図25は、実施形態4のシステム構成例を表すブロック図である。 図26は、実施形態5のシステム構成例を表すブロック図である。 図27は、図26に示す一般のグラフ構造のネットワークを幅優先探索等で構成した例を示す説明図である。 図28は、図27においてノードDが不正ノードであり、これによる偽の情報によって構成された全域木の例を示す説明図である。 図29は、不正ノードであるノードを排除した状態で、再構成された全域木の例である。
実施の形態について詳述する。
〔実施形態1〕<基本コンセプト>
図1は、基本的な構成を表すブロック図である。装置(X)10は通信路4_1〜4_3によって相互に通信可能な複数の装置であるノード(A〜D)1、2、3_1〜3_2を備える。ゲートウェイとして機能するノード(A)1から外部のネットワーク5を介して認証装置7と通信することができる。基本的な実施の形態に係る中継装置及び端末装置は、認証装置7と通信可能な中継装置(ノードB)2と端末装置(ノードC,D)3_1〜3_2と他の装置(ノードA)1とが通信路4_1〜4_3を介して接続される通信システムにおいて、以下のように構成される。中継装置(ノードB)2は、より上位のゲートウェイノードA(1)を介して外部ネットワーク5に接続される認証装置7と通信することができる。必ずしもネットワークである必要はなく、通信媒体は任意である。
中継装置(ノードB)2、端末装置(ノードC,D)3_1〜3_2及び他の装置(ノードA)1は、それぞれ固有の認証情報を有する。認証装置7は、それぞれの認証情報に基づいて、中継装置(ノードB)2、端末装置(ノードC,D)3_1〜3_2及び他の装置(ノードA)1が真正な装置であるか否かを判定する装置認証の機能を備える。認証装置7は、正規の挙動をするデバイスの一覧表、即ち、ホワイトリストを保持している。ここで、固有の認証情報とは、それぞれの装置が真正であることを証明するための情報であり、例えば、固有の識別子(ID)である。また、各デバイス、即ち、中継装置(ノードB)2、端末装置(ノードC,D)3_1〜3_2及び他の装置(ノードA)1には耐タンパ性が確保された状態で固有のIDと固有鍵(共有鍵)が書き込まれている。外部の認証装置7には、真正なデバイスのIDなどの認証情報がリストアップされている一覧表(ホワイトリスト)を備えておくことにより、認証装置7は受信した認証情報を、そのホワイトリストを使って検証し、対応するデバイスが真正な装置か否かの判定を行なうことができる(装置認証の機能)。
中継装置(ノードB)2は、自身の認証情報を認証装置7に送出する。図1に示されるように上位ノード(ノードA)1がある場合はその上位ノード(ノードA)1からネットワーク5を介して認証装置7に認証情報を送る。その後またはこれと並行して、中継装置(ノードB)2は、通信路4_1〜4_3に接続される端末装置(ノードC,D)3_1〜3_2から認証情報を収集して、上位ノード(ノードA)1からネットワーク5を介して認証装置7に送出する。図1に示される上位ノード(ノードA)1は、中継装置(ノードB)2よりも上位に位置するので、中継装置(ノードB)2によって認証情報を収集されるべき他の装置には含まれないが、中継装置(ノードB)2よりも下位に別の中継装置が配置されている場合には、これは中継装置(ノードB)2によって認証情報を収集されるべき他の装置に含まれる。
認証装置7は受信した認証情報を、ホワイトリストを使って検証し、対応するデバイスが真正な装置か否かの判定を行ない、その結果を中継装置(ノードB)2に伝送する。中継装置(ノードB)2は、認証装置7から装置認証の結果を受信し、その結果に基づいて自身と不真正と判定された装置との通信を遮断するとともに、端末装置(ノードC,D)3_1〜3_2に対して不真正と判定された装置との通信を遮断させるための通信制御情報を送出する。端末装置(ノードC,D)3_1〜3_2は、通信制御情報に基づいて、自身と不真正と判定された装置との通信を遮断する。ここで、通信制御情報とは、通信相手のデバイスが真正か否かを判定し、不真正なデバイスとの通信を遮断するための制御情報であり、例えば不正なデバイスのIDがリストアップされたブラックリスト(不正ノード情報)であり、或いは逆に真正なデバイスのIDがリストアップされたホワイトリスト(認証済みノード情報)であってもよい。
ノード(A)1を1つの中継装置として位置付けても良い。図1及び本実施形態1では、中継装置が必ずしもゲートウェイである必要がないことを明示するために、中継装置として機能するノード(B)2よりも上位にゲートウェイノードA(1)が配置される構成を示す。しかし、図示されるような階層的な構造を前提とするものではない。
これにより、ビザンチン故障型攻撃を行う不正な装置が、他の装置や中継装置2が接続されている通信路4_1〜4_3に接続された場合であっても、その不正な装置を当該通信路から排除することができる。また、システム内のデバイスがビザンチン故障的に振る舞うことができなくなるため、以下のような効果が得られる。外部の認証装置7によるホワイトリスト認証を通過したデバイスとしか通信できないので、悪意のあるリダイレクトを行うことはできない。IDなどの認証情報の要求に対して応答がない場合には、認証失敗とみなして接続を切断するため、不正な装置によるデータの中継と不正な装置へのデータの供給が停止され、また、データの改ざんが防止される。データを改ざんすること自体が可能である場合にも、改ざんされたデータを含む通信データはホワイトリスト認証を通過できないので、改ざんされたデータは破棄される。さらに、ホワイトリスト方式のため、不正改造や盗難等の被害にあったことが判明したデバイスを個別に無効化することができる。また、階層化された認証システムとの適合性が高い。認証システムを階層化することによって、秘密情報の分散管理によるリスク低減効果、認証サーバーの負荷分散によるスケーラビリティが得られる。
なお、上述の装置認証に先立って、通信路4_1〜4_3によって相互接続されるデバイスどうしは、予め相互にローカルな認証を行った上で接続されている。例えば、中継装置ノード(B)2は、上位のゲートウェイノードA(1)や端末装置(ノードC,D)3_1〜3_2との間でローカルな相互認証を行う。これにより、外部認証を行うための通信路内のローカル通信が確立される。
図2は、各デバイス、即ち、中継装置(ノードB)2、端末装置(ノードC,D)3_1〜3_2及び他の装置(ノードA)1の構成例と認証装置7による装置認証の動作を示す説明図である。各デバイスには、セキュアマイコン11が搭載されている。セキュアマイコン11は、ハードウェアセキュリティモジュール(HSM: Hardware Security Module)12を内蔵するMPU(Micro Processor Unit)である。MPU11は、さらにCPU(Central Processing Unit)15、RAM(Random Access Memory)16及び外部インターフェース(I/F)17を含み、HSM12とともにバス18によって相互に接続されている。HSM12は、例えば暗号処理モジュール13とデバイス固有の識別子(ID)やデバイス固有鍵14などの秘密情報を保持する記憶装置を含んで構成され、耐タンパ性が確保されている。耐タンパ性は、種々の公知技術によって確保することができ、例えば、記憶装置を光学的に観察することによってIDや固有鍵の内容を読みとることができないように、また、暗号化や復号の処理に必要な時間や消費電流波形が、IDや固有鍵の値に依存しないように構成され、さらには故障注入攻撃に対する耐性を持たせて構成されることができる。ROM(Read Only Memory)、割り込み制御回路、ダイレクトメモリアクセスコントローラ、その他、周辺機能モジュールなどをさらに含んで構成されてもよい。また、バス18は階層化されていてもよい。特に制限されないが、MPU11は、例えば、公知のCMOS(Complementary Metal-Oxide-Semiconductor field effect transistor)LSI(Large Scale Integrated circuit)の製造技術を用いて、シリコンなどの単一半導体基板上に形成される。
デバイス固有のIDとデバイス固有鍵は、認証プロトコルに則って認証装置7との間で共有される識別子と共有鍵(Shared Secret)である。IDは当該デバイスの識別子であり、固有鍵はデバイスと認証装置との間で共有される鍵文字列であって、デバイス毎に固有であり、IDと併せて認証のための秘密情報である。デバイス固有IDとデバイス固有鍵は、例えばMPU11を出荷する際に、MPU11の供給元によって当該MPU11に書き込まれる。認証装置7は、例えばMPU11の供給元が提供する認証装置であって、デバイス固有鍵に対応する共有鍵を保持しており、デバイス固有鍵を認証することができる。MPU11の供給元は、認証装置7に正規に出荷したMPU11に書き込んだ固有IDのリストを真正IDリスト(ホワイトリスト)として保有し、合せて当該固有鍵に対応する共有鍵を保持している。
デバイス固有IDとデバイス固有鍵のうち固有鍵はセキュリティ上極めて重要であり、そのために、暗号化された状態でしか、HSM12の外部に読み出すことができない。ただし、暗号化の方式は任意であり、例えば、公開鍵暗号方式や共通鍵暗号方式など、公知の暗号方式を採用することができる。
デバイス固有のIDとデバイス固有鍵は、暗号処理モジュール13によって暗号化され、CPU15がバス18を経由して読出し、外部I/F17を介して外部のネットワーク5に送出することができる。ネットワーク5を介して暗号化された固有IDと固有鍵を受信した認証装置7は、自身が持つ共有鍵を使って認証を行い、暗号化された固有IDを復号する。認証装置7は、復号されて平文となったデバイス固有IDを、保持する真正IDリスト(ホワイトリスト)と照合することにより、当該IDを送信したデバイスが真正なMPUか否かを判定することができる。
図3は、複数のメーカーから提供される複数のデバイスを含むシステムの構成例を示す、模式的ブロック図である。後段の実施形態2で詳述するように、装置(X)10は例えば自動車であり、通信路4_1〜4_5は例えばCAN(Controller Area Network)などの車載ネットワークであり、各デバイスA〜F(1、3_1〜3_5)は例えば電子制御装置(ECU: Electronic Control Unit)である。ネットワーク及びそれに接続される装置は、車載ネットワーク(CAN)と電子制御装置(ECU)で以外のネットワークと装置であってもよく、例えば、医療用のネットワーク及びそれに接続される医療機器、或いは、産業用のネットワーク及びそれに接続される産業機器に変更することができる。また、ネットワークは、有線・無線を問わず種々の形態の通信路であってよく、例えば車載ネットワークの場合には、CAN以外にFlex Ray(登録商標)やMOST(Media Oriented Systems Transport)であってもよい。
上述したように、各デバイスに搭載されるセキュアマイコンなどのMPU11を提供するメーカーは1社に限られない。即ち図3に例示されるように、装置(X)10は、T社製のゲートウェイデバイスA(1)、R社製のデバイスBとC(3_1、3_2)、S社製のデバイスDとE(3_3、3_4)及びT社製のデバイスF(3_5)を含んで構成される。また、認証は、搭載されるMPU11の提供元の他、デバイスの提供元が認証を行う場合、或いは装置(X)10のメーカーが認証を行う場合等、種々の形態が考えられる。そのため、図3に示されるように、各社がそれぞれ認証サーバー(認証装置)7_1〜7_3を持つことになる。このような場合には、ネットワーク5内にブローカーサーバー6が配置され、装置(X)10からの認証要求を一括して受けた後、各社ごとの認証サーバー7_1〜7_3に認証情報を振り分ける。R社製の認証サーバー7_1は、R社製のデバイスに書き込まれた製品ID(bbbb, cccc)のリストを持ち、R社製のデバイスの認証を行う。S社製の認証サーバー7_2は、S社製のデバイスに書き込まれた製品ID(dddd, eeee)のリストを持ち、S社製のデバイスの認証を行う。T社製の認証サーバー7_3は、T社製のデバイスに書き込まれた製品ID(aaaa, ffff)のリストを持ち、T社製のデバイスの認証を行う。
デバイス1、3_1〜3_5と認証サーバー7_1〜7_3の間の通信についてさらに詳しく説明する。
図4は、デバイス1(例えば1、3_1〜3_5又は2)と認証装置7(例えば認証サーバー7_1〜7_3)の間の通信についての説明図である。デバイス1は、認証情報として、例えば、所属(organization)、デバイス固有ID及び認証用の秘密情報(固有鍵)を保持している。所属(organization)は、図3では「ベンダID」として示されており、デバイスをどの組織の認証装置7で認証すべきかを示す情報である。認証が成功か否かをもって所属組織かどうかを判定するように構成することも可能であり、その場合には、所属(organization)は認証情報から除外することができる。ただし、所属(organization)を利用する方が、ブローカーサーバー6の処理を簡略化することができる点で好適である。デバイス固有IDは、例えば、そのデバイスの供給元が出荷時に書き込むIDである。認証用の秘密情報(固有鍵)は、デバイスの供給元の設備によって書き込まれ或いは更新され、または、デバイスの供給元設備との通信によって更新することができる。デバイス1は平文を暗号化した暗号文を認証装置7に送信し、暗号文を受信した認証装置7はこれを復号して平文に戻して検証する。認証装置7からデバイス1への通信も同様である。認証装置7は平文を暗号化した暗号文をデバイス1に送信し、暗号文を受信したデバイス1はこれを復号して平文に戻して検証する。この暗号文は、第三者によっては生成できず、且つ、第三者によっては復号できない。
図1に例示したシステム構成に基づいて、認証情報の収集と認証装置7による認証のフローについてさらに詳しく説明する。
図5は図1に例示されるシステム構成に対応する認証フローの一例を示すシーケンス図であり、図6は図5に例示される認証フローで送受されるメッセージの一例を示す説明図である。上位ノードA(1)は、中間ノードB(2)に対して認証情報を収集するように要求する(S1−1)。上位ノードA(1)から認証情報収集の要求を受け取った中間ノードB(2)は、自身より下位に接続されている各ノード、下位ノードCとD(3_1と3_2)に対して、認証情報を収集するように要求する(S1−2、S1−3)。下位ノードC(3_1)は自身「C」に固有の認証情報を中間ノードB(2)に応答し(S1−4)、下位ノードD(3_2)は自身「D」に固有の認証情報を中間ノードB(2)に応答する(S1−5)。中間ノードB(2)は、下位ノードCとD(3_1と3_2)からの応答と自ノードの認証情報とを結合して上位ノードA(1)に応答する(S1−6)。
実施形態3において詳述するように、中間ノードB(2)の下位にさらに中間ノードを設けて、階層的なネットワークが構成されてもよい。このとき、認証情報収集の要求とそれに対応する応答の深さを限定してもよい。例えば深さを1に限定すると幅優先探索になる。
図7はさらに新たな下位ノードE(3_3)が接続されたときの認証フローの一例を示すシーケンス図であり、図8は図7に例示される認証フローで送受されるメッセージの一例を示す説明図である。図5と図6には2台の下位ノードCとD(3_1と3_2)が接続され認証を受けるフローを例示したが、図7と図8ではその後さらに下位ノードE(3_3)が新たに接続された時の認証フローが示される。図7と図8には既に認証されている下位ノードCとD(3_1と3_2)は図示が省略され、新たに接続された下位ノードE(3_3)のみが示される。
新たな下位ノードE(3_3)が接続されたことを検出した中間ノードB(2)は、当該下位ノードE(3_3)に対して認証情報収集要求を送信する(S2−1)。下位ノードE(3_3)は自身「E」に固有の認証情報を中間ノードB(2)に応答する(S2−2)。中間ノードB(2)は、Eの認証情報を応答として受け取ったのちに、当該認証情報に基づいて下位ノードE(3_3)を認証する要求を上位ノードA(1)に送信する(S2−3)。ここで、中間ノードB(2)は、既に自身は認証されているので、「B」の認証情報を含まず、「E」の認証要求のみを生成して上位ノードA(1)に送信する。Eの認証要求は順次上位ノードへリダイレクトされ、認証装置7に到達する(S2−4)。認証装置7は、自身の保持するホワイトリストを参照してノードE(3_3)が真正な装置か否かを判定し、認証結果を応答する(S2−5)。応答は順次下位へリダイレクトされ、中間ノードB(2)は認証結果を受け取ることができる(S2−6)。
以上図5〜図8を引用して説明したように、中間ノードB(2)は認証装置7から装置認証の結果を受信する(S2−6)。中間ノードB(2)は、その結果に基づいて自身と不真正と判定された装置との通信を遮断するとともに、下位ノードC,D,E(3_1〜3_3)に対して不真正と判定された装置との通信を遮断させるための通信制御情報を送出する。下位ノードC,D,E(3_1〜3_3)は、通信制御情報に基づいて、自身と不真正と判定された装置との通信を遮断する。ここで、通信制御情報は、通信相手のデバイスが真正か否かの判定結果を示し、不真正なデバイスとの通信を遮断するための制御情報であればよく、例えば、不正なデバイスのIDがリストアップされた不正ノード情報か、逆に真正なデバイスのIDがリストアップされた認証済ノード情報であるとよい。
図9は不正ノード情報を通信制御情報とする場合のフローを示す説明図であり、図10は認証済ノード情報を通信制御情報とする場合のフローを示す説明図である。なお、図9と図10には下位ノードとして下位ノードC(3−1)のみが示され、他の下位ノードD,E(3_2〜3_3)は図示が省略されているが、伝送されるメッセージは同様である。
図9に示されるように、中間ノードB(2)は、不正ノード情報を装置認証の結果として認証装置7から受信し(S4−1)、通信制御情報として下位ノードC,D,E(3_1〜3_3)へ送信することができる(S4−2)。
図10に示されるように、中間ノードB(2)は、認証済ノード情報を装置認証の結果として認証装置7から受信し(S5−1)、通信制御情報として下位ノードC,D,E(3_1〜3_3)へ送信することができる(S5−2)。
図11は新たな下位ノードE(3_3)が接続されたときの認証フローの別の一例を示すシーケンス図であり、図12は図11に例示される認証フローで送受されるメッセージの一例を示す説明図である。図7と図8には、図5と図6に示される2台の下位ノードCとD(3_1と3_2)が認証を受けた後に、さらに下位ノードE(3_3)が新たに接続された時の認証フローを示した。図7と図8では新たな下位ノードE(3_3)が接続されたことを中間ノードB(2)が検出して認証情報収集要求を送信するフローを示した。一方ここでは、図11と図12を引用して、新たに接続された下位ノードE(3_3)が主体的に認証を要求する場合の認証フローについて説明する。
新たに中間ノードB(2)に接続された下位ノードE(3_3)は、自身の認証情報に基づいたチケットの取得要求を中間ノードB(2)に送信する(S3−1)。ここで、「チケット」とはノードE(3_3)を認証することができる認証装置にしか生成することができない情報であり、認証装置7はノードE(3_3)の固有IDと鍵を共有していることにより、Eのチケットを生成することができる。ノードE(3_3)からチケット取得要求を受け取った中間ノードB(2)は、それを上位ノードA(1)にリダイレクトする(S3−2)。この要求は認証装置7までリダイレクトされ(S3−3)、認証装置7はEのチケットを生成する。このとき、認証装置7はノードE(3_3)が真正なデバイスである場合にのみ、Eのチケットを生成することができる。例えば不真正なデバイスである場合には、認証装置7は真正なノードE(3_3)とは固有IDと鍵を共有していることにより、Eのチケットを生成することができるが、当該不真正なデバイスとはIDと鍵を共有していないため、対応するチケットを生成することができない。認証装置7で生成されたチケットは、順次下位に向かってリダイレクトされ(S3−4、S3−5)、中間ノードB(2)はチケットを受け取り、ノードE(3_3)にチケットを受け渡す(S3−6)。
これにより、端末装置が新たに通信路に接続された場合に、当該新規の端末装置から主体的に、当該通信路から排除されるべき不正な装置についての情報を得ることができる。
以上説明したような、新たに追加された装置が認証要求の主体となる実施の形態については、実施形態4にさらに詳しく説明する。
〔実施形態2〕<2段階認証>
図13は、実施形態2のシステム構成例を表すブロック図である。
自動車などの装置(X)10には複数の電子制御装置(ECU)即ちゲートウェイECU1、ECU(B)3_1及びECU(C)3_2が搭載されており、それらが装置内部のCANなどのネットワーク4_1〜4_3によって階層的に接続されている。ゲートウェイECU1は、外部の認証装置7と外部ネットワーク5によって通信することができる。外部ネットワーク5は有線・無線を問わない任意の通信ネットワークである。ゲートウェイECU1は外部ネットワーク5上に存在する認証装置7に対して、各デバイス(ゲートウェイECU1、ECU(B)3_1、ECU(C)3_2)の固有IDがホワイトリストに含まれるかどうかを問い合わせることができる。
装置(X)10が起動した後、ゲートウェイECU1、ECU(B)3_1、ECU(C)3_2は、それぞれの間で相互に認証し接続を確立する。これはローカルな相互接続認証である。これと相前後して、ゲートウェイECU1は、自身の認証情報であるIDと固有鍵を暗号化した状態で認証装置7に送信し、認証結果を受け取る。
その後、ゲートウェイECU1は、ECU(B)3_1及びECU(C)3_2と通信を開始するために、各ECUに対して固有IDの送付を要求し、認証情報を取得する。ここで、認証情報とは、例えばそれぞれのECUに固有のIDと固有鍵であり、それぞれのECUによって暗号化された状態で取得する。ゲートウェイECU1は、ECU(B)3_1及びECU(C)3_2から取得した認証情報を、ネットワーク5を経由して認証装置7に送信して認証を要求する。認証要求を受け取った認証装置7は、受信した固有鍵と自身がそれぞれのECUに対応して持つ共有鍵とによる認証プロトコルを実行して各ECUを認証し、合せてECU(B)3_1及びECU(C)3_2のIDがホワイトリストに含まれるかどうかを確認して、その認証結果をゲートウェイECU1に返す。
ここで、ECU(B)3_1については外部認証に成功し、ECU(C)3_2については外部認証に失敗したとする。即ち、ECU(B)3_1の固有IDは認証装置7の保持するホワイトリストに存在したが、ECU(C)3_2の固有IDはホワイトリストに存在しなかったものとする。その認証結果に基づいて、ゲートウェイECU1は、外部認証に成功したECU(B)3_1との通信を開始し、外部認証に失敗したECU(C)3_2との通信を切断し、合せて、ECU(B)3_1に対してECU(C)3_2が認証に失敗したことを通知する。ECU(B)3_1はその情報を受け取り、ECU(C)3_2との通信を切断する。
ここで、ローカルな相互接続認証がされた状態では、通信路4_1〜4_3を介して、外部認証に必要最低限のメッセージの送受のみを許容する状態とし、外部認証が成功した後に、その通信路に限って具体的な制御情報の送受を許容する状態に変更するとよい。一方、外部認証に失敗したECUとの通信路の切断は、物理層で信号を遮断してもよいし、より上位の論理層で信号を破棄するなどの方法でもよい。上述の例では通信路4_2と4_3が切断される。
以上のように、装置(X)10において、外部の認証装置7を利用して2段階認証を行うことにより、装置(X)10内部だけの情報では排除できなかった不正なECU(上述の例ではECU(C)3_2)を排除し、システムの堅牢性を確保することができる。ただし、装置(X)10が自動車で、各ECUが車載の電子制御装置であるような場合、一律に通信を切断すると走行不能となることも考えられるため、ユーザー(自動車の運転者)に対して、不正と判断されたECUとの通信を切断するか否かを問い合わせ、その指示によっては不正と判断されたECUとの通信を維持するように構成しても良い。
<共有バス型接続>
図14は、実施形態2の別のシステム構成例を表すブロック図である。装置(X)10内のネットワークが上述(図13)のようなスター型接続ではなく、共有バス型接続で構成されている。
一般に、共有バス型接続ネットワークにおいては、同一バス上に接続されたデバイスには個別のアドレスが割り振られ、それに基づいて情報の送受信が行われる。ゲートウェイECU1、ECU(B)3_1及びECU(C)3_2には、アドレス12.34.56.1、12.34.56.2及び12.34.56.3が割り付けられているものとして説明する。共有バス型接続ネットワークにおける通信では、このアドレスが利用され、宛先アドレスと送信元アドレスが、ペイロードである送信データに付与されたメッセージ(パケット)がバスに送出される。
図15は、共有バス型接続ネットワークにおける通信パケットの構成例を示す説明図である。ECU(B)3_1からECU(C)3_2を宛先とするパケットが例示される。宛先としてECU(C)3_2のアドレス12.34.56.3が、送信元としてECU(B)3_1のアドレス12.34.56.2が、ペイロードである送信データに付与されている。
このパケットがバス4に送出されたときには、ゲートウェイECU1は、パケットに付される宛先の12.34.56.3が自身のアドレス12.34.56.1に一致しないので受信しない。ECU(C)3_2は宛先が自身のアドレス12.34.56.3に一致するのでこのパケットを受信する。したがって、宛先が12.34.56.3で送信元が12.34.56.2であるような通信は、図13に示される通信路4_3をECU(B)3_1からECU(C)3_2に向かって送信される通信と同一視することができる。
逆に、ECU(B)3_1のアドレス12.34.56.2を宛先とし、ECU(C)3_2のアドレス12.34.56.3を送信元とするパケットは、ECU(C)3_2からECU(B)3_1への通信である。したがって、宛先が12.34.56.2で送信元が12.34.56.3であるような通信は、図13に示される通信路4_3をECU(C)3_2からECU(B)3_1に向かって送信される通信と同一視することができる。
このように、バス上におけるECU(B)3_1とECU(C)3_2の間の通信を1対1のスター型接続の通信路4_3上での通信とみなすことができる。
同様に、宛先12.34.56.1/送信元12.34.56.2および宛先12.34.56.2/送信元12.34.56.1である通信は、ゲートウェイECU1とECU(B)3_1間の、1対1のスター型接続の通信路4_1上での通信とみなすことができる。また、宛先12.34.56.1/送信元12.34.56.3および宛先12.34.56.3/送信元12.34.56.1である通信は、ゲートウェイECU1とECU(C)3_2間の、1対1のスター型接続の通信路4_2上での通信とみなすことができる。
したがって、ゲートウェイECU1、ECU(B)3_1及びECU(C)3_2からなるバス型ネットワーク(図14)は、個々のECUがスター型接続されたネットワーク(図13)に帰着して議論することができる。
バスに接続されるECUの数が増えても、同様の議論ができる。
図16は、装置(X)10に搭載されるバス型ネットワークに接続されるECUの数が5個に増えたときのシステム構成例を表すブロック図である。バス4には、ゲートウェイECU1と、ECU(B1)3_1〜ECU(B4)3_4が接続されている。
図17は、図16に対応するECUの数が5個のスター型接続ネットワークが、装置(X)10に搭載される場合のシステム構成例を表すブロック図である。送信元と宛先の組み合わせの数だけ配線のあるスター型接続ネットワークとみなすことができる。この場合はネットワークの構造が頂点数5の完全グラフになる。
このとき、ブロードキャスト通信もそれぞれのネットワークで実現することができ、2つのネットワークを同一視して議論することができる。図16に示されるバス型ネットワークにおいて、ゲートウェイECU1と、ECU(B1)3_1〜ECU(B4)3_4のアドレスをそれぞれ、12.34.56.1〜12.34.56.5とする。このとき、1つのECU例えばECU(B1)3_1からゲートウェイECU1と他のECU(B2)3_2〜ECU(B4)3_4へのブロードキャスト通信は、宛先として12.34.56.*のように最下位がマスクされたアドレス値を使用することによって実現される。一方、図17に示されるスター型ネットワークにおいては、通信路4_10、4_12、4_13及び4_14への同一データの同時送信によって、ブロードキャスト通信が実現される。
したがって、バスに接続されるECUの数が増えても、同等のスター型ネットワークを構成することができ、バス型ネットワークと同様の議論ができる。
即ち、本実施形態2では、図13と図14に示したように、1個のゲートウェイECUと他の2個のECUを備える装置Xについて説明したが、ECUの数及びネットワーク構造は任意の構成に変更することができる。
〔実施形態3〕<階層的なネットワーク>
装置X内の通信路4は、ECUの数及びネットワーク構造を任意の構成に変更することができることを、上記の実施形態2で説明したが、通信路4を構成するネットワークは階層化されてもよい。ECUのネットワークが多段のツリー構造をなしていても、階層ごとに認証し、信頼できるノードを増やしていくことでシステム全体を認証できる。
図18は、実施形態3のシステム構成例を表すブロック図である。
自動車などの装置(Y)10には、外部の認証装置7と外部ネットワーク5によって通信することができるゲートウェイECU1を含む複数のECUが搭載されており、それらが装置内部のCANなどのネットワーク4_1〜4_8によって階層的に接続されている。ゲートウェイECU1と通信路4_1〜4_4によってそれぞれ直接接続されたECU(B1)3_1、ECU(B2)3_2、ECU(B3)2_1及びECU(B4)3_3が、第1階層である。このうちECU(B3)2_1は第2階層への中継装置(中間ノード)である。中継ECU(B3)2_1と通信路4_5〜4_7によってそれぞれ直接接続されたECU(C1)3_4、ECU(C2)2_2及びECU(C3)3_5が、第2階層である。このうちECU(C2)2_2は第3階層への中継装置(中間ノード)である。中継ECU(C2)2_2と通信路4_8によって直接接続されたECU(D)3_6が、第3階層である。ゲートウェイECU1と直接接続されていないECU(C1〜C3)3_4、2_2、3_5とECU(D)3_6は各自が接続された中継ECU(B3)2_1または中継ECU(C2)2_2を経由してゲートウェイECU1や他の階層のECUと通信する。
装置(Y)10が起動した後、ゲートウェイECU1を含む上記複数のECUは、それぞれの間でローカルな相互接続認証を行い、接続を確立する。これと相前後して、ゲートウェイECU1は、自身の認証情報であるIDと固有鍵を暗号化した状態で認証装置7に送信し、認証結果を受け取る。
その後、ゲートウェイECU1を経由して第1階層の各ECUについて外部認証を受けるための処理を実行する。ゲートウェイECU1は、第1階層のECU(B1)3_1、ECU(B2)3_2、ECU(B3)2_1及びECU(B4)3_3から認証情報を収集し、認証装置7に送信して認証を要求する。認証装置7はホワイトリストによる認証を行い、認証結果をゲートウェイECU1に返送する。ゲートウェイECU1は、第1階層のECU(B1)3_1、ECU(B2)3_2、ECU(B3)2_1及びECU(B4)3_3のうち、外部認証に成功した各ECUと通信を開始する。ローカルな相互認証後の通信は、外部認証のためのメッセージの送受に限定されるが、この段階での通信ではその限定が解除される。
次に、外部認証された中継ECU(B3)2_1を経由して第2階層の各ECUについて外部認証を受けるための処理を実行する。ただし、中継ECU(B3)2_1について外部認証に失敗した場合には、以降の認証処理は実行されない。中継ECU(B3)2_1は、第2階層のECU(C1)3_4、ECU(C2)2_2及びECU(C3)3_5から認証情報を収集し、ゲートウェイECU1に送信して認証を要求する。認証要求を受け取ったゲートウェイECU1は、それを認証装置7に送信して認証を要求する。認証装置7はホワイトリストによる認証を行い、認証結果をゲートウェイECU1に返送する。結果を受け取ったゲートウェイECU1は、それを中継ECU(B3)2_1に転送する(リダイレクト)。中継ECU(B3)2_1は、第2階層のECU(C1)3_4、ECU(C2)2_2及びECU(C3)3_5のうち、外部認証に成功した各ECUと通信を開始する。
次に、外部認証された中継ECU(C2)2_2を経由して第3階層の各ECUについて外部認証を受けるための処理を実行する。ただし、中継ECU(C2)2_2について外部認証に失敗した場合には、以降の認証処理は実行されない。中継ECU(C2)2_2は、第3階層のECU(D)3_6から認証情報を収集し、中継ECU(B3)2_1に送信して認証を要求する。認証要求を受け取ったECU(B3)2_1はゲートウェイECU1に要求をリダイレクトする。中継ECU(B3)2_1から要求を受け取ったゲートウェイECU1は、それを認証装置7に送信して認証を要求する。認証装置7はホワイトリストによる認証を行い、認証結果をゲートウェイECU1に返送する。結果を受け取ったゲートウェイECU1は、それを中継ECU(B3)2_1にリダイレクトする。リダイレクトされた認証結果を受け取った中継ECU(B3)2_1は、それを中継ECU(C2)2_2にさらにリダイレクトする。第3階層のECU(D)3_6が外部認証に成功したときには、中継ECU(C2)2_2はそのECU(D)3_6と通信を開始する。
以上のように、ECUのネットワークが多段のツリー構造をなしていても、階層ごとに認証し、信頼できるノードを増やしていくことでシステム全体を認証できる。
外部認証に失敗した場合には、ゲートウェイECU1、中継ECU(B3)2_1または中継ECU(C2)2_2は、認証に失敗したECUとの通信を切断する。第1階層の各ECUの外部認証の結果、ECU(B1)3_1についての認証が失敗した場合には、ゲートウェイECU1はECU(B1)3_1との通信を切断する。第2階層の各ECUの外部認証の結果、ECU(C1)3_4についての認証が失敗した場合には、ゲートウェイECU1はその結果を中継ECU(B3)2_1にリダイレクトし、中継ECU(B3)2_1はECU(C1)3_4との通信を切断する。第2階層の各ECUの外部認証の結果、中継ECU(C2)2_2についての認証が失敗した場合には、ゲートウェイECU1はその結果を中継ECU(B3)2_1にリダイレクトし、中継ECU(B3)2_1は中継ECU(C2)2_2との通信を切断する。その結果、第3階層のECU(D)3_6についての外部認証は実行されない。
以上は、外部認証を受けるための処理を、階層ごとに順次実行する実施の形態について説明したが、すべてまたは一部を一括して実行することもできる。
装置(Y)10が起動した後、ゲートウェイECU1を含む上記複数のECUは、それぞれの間でローカルな相互接続認証を行い、接続を確立する。これと相前後して、ゲートウェイECU1は、自身の認証情報であるIDと固有鍵を暗号化した状態で認証装置7に送信し、認証結果を受け取る。
まず、ゲートウェイECU1は、第1階層のECU(B1)3_1、ECU(B2)3_2、ECU(B3)2_1及びECU(B4)3_3に対して、認証情報の収集を要求する。中継ECU(B3)2_1は、第2階層のECU(C1)3_4、ECU(C2)2_2及びECU(C3)3_5に対して、認証情報の収集を要求する。中継ECU(C2)2_2は、第3階層のECU(D)3_6に認証情報の収集を要求する。
第1階層のECU(B1)3_1、ECU(B2)3_2及びECU(B4)3_3は、自身の認証情報をゲートウェイECU1に応答として返す。第2階層のECU(C1)3_4及びECU(C3)3_5は、自身の認証情報を中継ECU(B3)2_1に応答として返す。第3階層のECU(D)3_6は、自身の認証情報を中継ECU(C2)2_2に応答として返す。
ゲートウェイECU1は、ECU(B1)3_1、ECU(B2)3_2及びECU(B4)3_3から受け取った認証情報を記憶し、中継ECU(B3)2_1からの応答を待つ。中継ECU(B3)2_1は、ECU(C1)3_4及びECU(C3)3_5から受け取った認証情報を記憶し、中継ECU(C2)2_2からの応答を待つ。
中継ECU(C2)2_2は、ECU(D)3_6から受け取った認証情報と、自身の認証情報とを合わせて中継ECU(B3)2_1に応答として返す。中継ECU(B3)2_1は、中継ECU(C2)2_2から受け取ったECU(D)3_6と中継ECU(C2)2_2の認証情報と、記憶しているECU(C1)3_4及びECU(C3)3_5から受け取った認証情報と、自身の認証情報とを合わせて、ゲートウェイECU1に応答として返す。ゲートウェイECU1は、中継ECU(B3)2_1から受け取ったECU(D)3_6、ECU(C2)2_2、ECU(C1)3_4、ECU(C3)3_5及びECU(B3)2_1の認証情報と、記憶しているECU(B1)3_1、ECU(B2)3_2及びECU(B4)3_3の認証情報と、自身の認証情報とを合わせて、認証装置7に認証要求を送信する。
認証装置7は受け取った認証情報についてそれぞれ認証を実行し、認証結果をゲートウェイECU1に返す。ゲートウェイECU1は外部認証結果に基づき、認証済ノード情報を第1階層のECU(B1)3_1、ECU(B2)3_2、ECU(B3)2_1及びECU(B4)3_3に通知する。中継ECU(B3)2_1は、ゲートウェイECU1から受け取った認証済ノード情報を、第2階層のECU(C1)3_4、ECU(C2)2_2及びECU(C3)3_5にリダイレクトする。中継ECU(C2)2_2は、中継ECU(B3)2_1から受け取った認証済ノード情報を、第3階層のECU(D)3_6にリダイレクトする。ここで、認証済ノード情報に代えて不正ノード情報を送受するように変更してもよい。
以上で装置(Y)10全体の外部認証が完了する。
ここで説明した認証方法において、不正ノード(不真正なECU)が混入していた場合の動作について述べる。一例として、中継ECU(C2)2_2が不正ノード(不真正なECU)であったとする。認証情報の収集要求と応答は、上述の説明と同様であり、ゲートウェイECU1は、ECU(B1)3_1、ECU(B2)3_2、ECU(B3)2_1、ECU(B4)3_3、ECU(C1)3_4、ECU(C2)2_2、ECU(C3)3_5及びECU(D)3_6の認証情報と、自身の認証情報とを合わせて、認証装置7に認証要求を送信する。認証装置7は受け取った認証情報についてそれぞれ認証を実行し、認証結果をゲートウェイECU1に返す。この場合、認証結果には、ECU(C2)2_2については不正なデバイスであるため認証に失敗した旨の結果であり、他のECUについては認証に成功した旨の結果が含まれる。
認証装置7から認証結果を受け取ったゲートウェイECU1は、その認証結果を参照して、第1階層のECU(B1)3_1、ECU(B2)3_2、ECU(B3)2_1及びECU(B4)3_3のうち認証が成功しているECUに対して、不正ノード情報を送信する。この例では、第1階層の各ECUは認証に成功しているので、ゲートウェイECU1は第1階層の全てのECUに不正ノード情報を送信する。中継ECU(B3)2_1は、ゲートウェイECU1から受け取った不正ノード情報を参照して、第2階層のECU(C1)3_4、ECU(C2)2_2及びECU(C3)3_5のうち認証が成功しているECUに対して、その不正ノード情報を送信する。この例では、ECU(C1)3_4とECU(C3)3_5は認証に成功しているので、中継ECU(B3)2_1はECU(C1)3_4とECU(C3)3_5に不正ノード情報を送信するが、中継ECU(C2)2_2は認証に失敗しているので、中継ECU(B3)2_1は中継ECU(C2)2_2との通信を切断する。その結果、中継ECU(C2)2_2よりも下位のECU(D)3_6に対しては不正ノード情報が送信されず、またECU(D)3_6は真正か不真正かに関わらず他のECUと通信することができない。
続いて、ゲートウェイECU1は、認証済ノード情報を第1階層のECU(B1)3_1、ECU(B2)3_2、ECU(B3)2_1及びECU(B4)3_3に通知する。ゲートウェイECU1から認証済みノード情報を受け取った中継ECU(B3)2_1は、不正ノードとして通知されたECU(C2)2_2を除くECU(C1)3_4とECU(C3)3_5に認証済ノード情報をリダイレクトする。このとき認証済ノード情報にはECU(D)3_6が含まれているが、ECU(D)3_6とは通信できないため、個々のECUは不必要と判断すればECU(D)3_6についての情報は破棄してもよい。
以上のように、中継ECU(C2)2_2の外部認証(ホワイトリストによる認証)が失敗した場合は、中継ECU(C2)2_2が正規のデバイスではないことを他のデバイスに通知し、通信を切断させる。さらにECU(C2)2_2を経由した通信は安全性を保証できないため、その下位に接続されるECU(D)3_6との通信も行わない。ただし、装置(Y)10が自動車で、各ECUが車載の電子制御装置であるような場合、一律に通信を切断すると走行不能となることも考えられるため、ユーザー(自動車の運転者)に対して、不正と判断されたECUとの通信を切断するか否かを問い合わせ、その指示によっては不正と判断されたECUとの通信を維持するように構成しても良い。
以上説明した通り、デバイス(ECU)間の通信に複数のデバイスを経由する必要がある場合においても、通信の安全性を段階的に確保していくことにより、システム全体の安全性を保証できる。不正なデバイスがシステムに混入していた場合でも、その影響を当該不正デバイスからのみアクセスできる下位領域に属するデバイスに限局できる。
さらに、図18に示した階層的なネットワークを実現する、階層バスネットワークと全域木によるツリー型構造との対応関係について説明する。
図19は、図18に示す階層的なネットワークを階層バスネットワークで構成した例を示す説明図である。図18と同様に、装置(Y)10には、外部の認証装置7と外部ネットワーク5によって通信することができるゲートウェイECU1を含む複数のECUが搭載されており、それらが装置内部の階層バスネットワークを構成するバス4_21と4_22及び1:1の通信路4_8によって階層的に接続されている。バス4_21は、ゲートウェイECU1と第1階層のECU(B1)3_1、ECU(B2)3_2、ECU(B3)2_1及びECU(B4)3_3とを相互に接続する。このとき、ECU(B3)2_1は第2階層への中継装置(中間ノード)である。バス4_22は、中継ECU(B3)2_1と第2階層のECU(C1)3_4、ECU(C2)2_2及びECU(C3)3_5とを相互に接続する。このとき、ECU(C2)2_2はさらに下位階層への中継装置(中間ノード)である。中継ECU(C2)2_2とECU(D)3_6とは1:1の通信路4_8によって直接接続されている、階層バスネットワークの第3階層である。
図20は、図19に示す階層バスネットワークを、それと同一視することができる完全グラフ構造のネットワークに置換して構成した例を示す説明図である。図19の第1階層のバス4_21は、通信路4_1〜4_4と4_10〜4_15による完全グラフ構造のネットワークに置換される。また図19の第2階層のバス4_22は、通信路4_5〜4_7と4_16〜4_18による完全グラフ構造のネットワークに置換される。このように、ネットワーク全体を、複数の完全グラフが中継ECUで連結された構造とみなすことができる。図に示す例の場合、バス4_21は頂点数5の完全グラフ、バス4_22は頂点数4の完全グラフと同一視でき、中継ECU(B3)2_1を節点として連結されている。
また、バス型ネットワークにおいてDHCP(Dynamic Host Configuration Protocol)等の手段でゲートウェイを発見する動作は、グラフの全域木(spanning tree)を構成することと等価となる。全域木を構成する手段はDHCP以外にも幅優先探索、深さ優先探索等、システムに応じた方法を選択してよい。構成が固定されたシステムにおいては、ネットワークの構造についての情報をあらかじめ各ECUに記憶させておくことで、より効率的に全域木を構成できる。
図21は、図20に示す完全グラフ構造のネットワークにおいて、DHCP等の手段によって全域木を構成した例を示す説明図である。第1階層は、ゲートウェイECU1と、ECU(B1)3_1、ECU(B2)3_2、ECU(B3)2_1及びECU(B4)3_3とをそれぞれ接続する通信路4_1〜4_4(実線)によるツリー構造に帰着される。第2階層は、中継ECU(B3)2_1と、第2階層のECU(C1)3_4、ECU(C2)2_2及びECU(C3)3_5とをそれぞれ接続する通信路4_5〜4_7(実線)によるツリー構造に帰着される。このように、全域木を使うことで、階層バス構造ネットワークにおける外部認証の手順もツリー型構造での認証に帰着できる。ビザンチン故障型攻撃によって誤った全域木が構成されてしまう問題については、仮説保証推論によって安全性を担保することができる。
次に、特定のECUとしか通信できないレガシーなECUがバス上に接続されている場合について述べる。
図22は、レガシーなECUを含む複数のECUが接続されるバス型ネットワークによる構成例を示す説明図である。説明を簡略化するために、バスは1階層のみとし、バス4にゲートウェイECU1とECU(B)3_1とECU(C)3_2とレガシーなECU(D)3_3が接続されている。レガシーECU(D)3_3はバス4に接続されているが、ECU(C)3_2とのみ通信でき、他のECUと直接通信することはできないものとする。
図23は、許容される通信の経路を考慮した上で、図22に示すネットワーク構造と同一視できるネットワーク構造を示す説明図である。この場合のネットワーク構造は、ゲートウェイECU1、ECU(B)3_1及びECU(C)3_2の間には通信路4_1〜4_3が張られ、レガシーECU(D)3_3はECU(C)3_2と間のみに、通信路4_4が張られるような構成と同一視することができる。
この場合について全域木を構成すると、図24のようなツリー構造になる。バスが階層化されている場合についても同様である。
このように、特定のノードとのみ通信が可能なようなレガシーなノードをバスに含む場合にも、全域木を使うことで、バス構造ネットワークにおける外部認証の手順もツリー型構造での認証に帰着できる。
〔実施形態4〕<端末からのチケット要求>
本実施形態4では、既に外部認証された複数のECUを備えた装置に、さらに新たな未認証のECUが追加された場合の外部認証について説明する。
図25は、実施形態4のシステム構成例を表すブロック図である。
自動車などの装置(Z)10には、外部の認証装置7と外部ネットワーク5によって通信することができるゲートウェイECU1を含む複数のECUが搭載されており、それらが装置内部のCANなどのネットワーク4_1〜4_2によって階層的に接続されている。中継ECU(B)2_1とECU(C)3_1及びECU(D)3_2とはバス4_1で接続されており、これらの外部認証は既に完了しているものとする。これに対して、バス4_2を介して未認証のECU(E)3_3が新たに接続されたものとして説明する。
ECU(E)3_3は、ネットワーク5と直接通信できない。また、装置(Z)10に接続された時点では自身と直接接続されているECU(C)3_1及びECU(D)3_2、さらにそれらを経由して接続された中継ECU(B)2_1やその上層にあるゲートウェイECU1の正当性についての情報を持たない。この状態では、不正ノード情報及び認証済ノード情報について、ECU(E)3_3に接続されているECU(C)3_1とECU(D)3_2のそれぞれから、相互に矛盾した通知を送られたとすると、ECU(E)3_3は事前に信頼すべき情報を与えられない限り、どちらからの通知を信用すべきか判定することができない。
今、ゲートウェイECU1、中継ECU(B)2_1及びECU(C)3_1は外部認証に成功しており、ECU(D)3_2は外部認証に失敗しているものとする。
ECU(E)3_3は、動作を開始した後、自身と直接接続されたECU(C)3_1及びECU(D)3_2の両方に対してチケットを要求する。ここでチケットとは、ECU(E)3_3の固有IDと固有鍵などの認証情報を共有している認証装置にしか生成することができない情報である。当該チケットにはECU(E)3_3の供給元の装置でしか生成できない暗号文が含まれており、ECU(E)3_3はそれを復号して検証することで、当該チケットが確かに外部ネットワークを通して正規に送られてきたものであると確認することができる。
ECU(C)3_1に送られたチケット取得要求は、中継ECU(B)2_1にリダイレクトされ、さらにゲートウェイECU1にリダイレクトされ、ゲートウェイECU1からネットワーク5を通して認証装置7に送信される。認証装置7は、自身が持つECU(E)3_3の認証情報に基づいてECU(E)3_3のチケットを生成する。認証装置7がチケットを生成することができない場合、ECU(E)3_3の認証情報に基づいてECU(E)3_3の供給元認証装置にチケット取得要求を送信し、当該供給元認証装置においてECU(E)3_3のチケットが生成され、認証装置7に返送されてもよい。
一方、ECU(D)3_2は外部認証に失敗しているので、中継ECU(B)2_1により通信を切断されているため、チケット取得要求を中継ECU(B)2_1を始めとする上位ノードにリダイレクトすることができない。
認証装置7またはECU(E)3_3の供給元認証装置で生成されたチケットは、認証装置7からネットワーク5を介してゲートウェイECU1に送信され、ゲートウェイECU1から中継ECU(B)2_1にリダイレクトされ、さらにECU(C)3_1にリダイレクトされる。ECU(D)3_2への通信は切断されているので、中継ECU(B)2_1からECU(D)3_2へは送信されない。その結果、チケットはECU(C)3_1からECU(E)3_3に返送され、ECU(D)3_2からは返送されない。
ECU(E)3_3は、チケットを復号して検証することで、当該チケットが確かに外部ネットワークを通して正規に送られてきたものである事を確認する。ECU(E)3_3は、チケット取得要求を送信したECU(C)3_1とECU(D)3_2のうち、チケットを返送してきたECU(C)3_1を真正なデバイスと認め、通信を確立する一方、チケットを返送してこないECU(D)3_2を不真正なデバイスと判断して通信を切断する。ただし、装置(Z)10が自動車で、各ECUが車載の電子制御装置であるような場合、一律に通信を切断すると走行不能となることも考えられるため、ユーザー(自動車の運転者)に対して、不正と判断されたECUとの通信を切断するか否かを問い合わせ、その指示によっては不正と判断されたECUとの通信を維持するように構成しても良い。
これにより、デバイス(ECU(E)3_3)がシステムの外部と直接通信できない状態であっても、デバイス自身が接続されたデバイスおよびシステムの正当性を検証することができる。
〔実施形態5〕<分散ハッシュ>
本実施形態5では、装置V(10)が相互認証機能を持たないレガシーなP2Pネットワークを含む通信路を備える実施の形態について説明する。
図26は、実施形態5のシステム構成例を表すブロック図である。
装置V(10)には、外部の認証装置7と外部ネットワーク5によって通信することができるゲートウェイノードA(1)と中継ノードB(2)とその他のノードC〜I(3_1〜3_7)が搭載されており、それらが通信路4_1〜4_11で構成される内部ネットワーク4によって階層的に接続されている。通信路4_1で接続されるゲートウェイノードA(1)と中継ノードB(2)とは、相互認証が成立し、中継ノードB(2)と他のノードC〜I(3_1〜3_7)及び他のノード相互間は、レガシーなP2Pネットワークであって、相互認証機能を持たないとして説明する。なお、ノードC〜I(3_1〜3_7)の一部のノードは、他のノードに対する中継ノードとして機能する場合があるが、ノードの呼称としては必ずしも「中継」の語を付けない。
上述の各実施形態と同様に、装置V(10)を自動車とし、各ノードをECUとして実現することもできる。ゲートウェイノードA(1)と中継ノードB(2)は、上述の各実施形態と同様の方法により、外部認証を受けることができる。
中継ノードB(2)と相互認証機能を持たない他のノードC〜I(3_1〜3_7)には、それぞれ固有の分散ハッシュ値9_0〜9_7が割り当てられる。レガシーなP2Pネットワークでは、ノード間の通信はこの分散ハッシュ値を頼りに行われる。例えば、ノードB(2)がノードH(3_6)と通信する場合は、ノードB(2)はノードH(3_6)の分散ハッシュ値9_6を用いて経路を探索する。この場合、ノードE(3_3)、ノードF(3_4)及びノードG(3_5)はノードH(3_6)と直接接続されており、ノードH(3_6)への通信を中継することができる。ノードB(2)が通信先であるノードH(3_6)の分散ハッシュ値9_6が付与されたデータを、直接接続されるノードC(3_1)とノードD(3_2)とノードF(3_4)に送信する。ノードC(3_1)は、受信した分散ハッシュ値9_6とは異なる分散ハッシュ値9_1を持つので応答せず、またネットワークの末端であるのでそのデータをリダイレクトもしない。ノードD(3_2)は、受信した分散ハッシュ値9_6とは異なる分散ハッシュ値9_2を持つので応答はしないが、ネットワークの末端ではないので、そのデータを直接接続されるノードE(3_3)にリダイレクトする。ノードF(3_4)は、受信した分散ハッシュ値9_6とは異なる分散ハッシュ値9_4を持つので応答はしないが、ネットワークの末端ではないので、そのデータを、直接接続されるノードG(3_5)、ノードH(3_6)及びノードI(3_7)にリダイレクトする。ノードH(3_6)は、受信した分散ハッシュ値9_6が自身の分散ハッシュ値9_6と一致するので、ノードF(3_4)に応答し、ノードF(3_4)はこの応答をノードB(2)にリダイレクトする。同様に、ノードB(2)−ノードD(3_2)−ノードE(3_3)−ノードH(3_6)の経路、ノードB(2)−ノードD(3_2)−ノードE(3_3)−ノードG(3_5)−ノードH(3_6)の経路、及び、ノードB(2)−ノードF(3_4)−ノードG(3_5)−ノードH(3_6)の経路でも、ノードB(2)とノードH(3_6)との通信は成立し得る。
ネットワーク4がこのように一般のグラフ構造をなしている場合においても、グラフの全域木をあらかじめ構築し、その全域木の上で階層的な認証を行うことで、ネットワーク上の全ノードを認証することができる。
図27は、図26に示す一般のグラフ構造のネットワークを幅優先探索等で構成した例を示す説明図である。幅優先探索で構成された全域木を図中の実線4_2、4_3、4_4、4_5、4_8、4_9、4_10で示す。ただし、全域木を構成する方法、および全域木の構造は図示したもの以外にも複数ありうる。ネットワークの全域木が構成できれば、実施形態3に述べたような階層的なネットワークにおけるデバイス認証が適用できる。即ち、装置V(10)が起動した後、ゲートウェイノードA(1)は、中継ノードB(2)との間でローカルな相互接続認証を行い、接続を確立する。これと相前後して、ゲートウェイノードA(1)は、自身の認証情報であるIDと固有鍵を暗号化した状態で認証装置7に送信し、認証結果を受け取る。次に、ゲートウェイノードA(1)は、中継ノードB(2)に対して、認証情報の収集を要求する。
認証情報の収集を要求された中継ノードB(2)は、直接接続されているノードC(3_1)とノードD(3_2)とノードF(3_4)に対して、認証情報の収集を要求する。ここで、中継ノードB(2)と各ノードの間の通信は、ローカルな相互認証の手段を持たないが、各ノードに割り振られた分散ハッシュ値を使って、通信を行なうことができる。中継ノードB(2)はノードC(3_1)とノードD(3_2)とノードF(3_4)のそれぞれに対して、割り振られた分散ハッシュ値9_1と9_2と9_4をそれぞれ付して認証情報の収集を要求する。ノードC(3_1)は、これに対して自身の認証情報を中継ノードB(2)に応答する。中継ノードB(2)は、受信したノードC(3_1)の認証情報を記憶して、他のノードからの応答を待つ。ノードD(3_2)は中継ノードであるため、認証情報の収集要求をノードE(3_3)へリダイレクトする。ノードE(3_3)は、構成された全域木では末端のノードであるので、自身の認証情報をノードD(3_2)に応答する。ノードD(3_2)は受信したノードE(3_3)の認証情報に自身の認証情報を合せて、中継ノードB(2)に応答する。中継ノードB(2)は、受信したノードD(3_2)とノードE(3_3)の認証情報を記憶して、他のノードからの応答を待つ。ノードF(3_4)もまた中継ノードであるため、認証情報の収集要求をノードG(3_5)、ノードH(3_6)及びノードI(3_7)へリダイレクトする。ノードG(3_5)、ノードH(3_6)及びノードI(3_7)は、構成された全域木ではそれぞれ末端のノードであるので、自身の認証情報をノードF(3_4)に応答する。ノードノードF(3_4)は、受信したノードG(3_5)、ノードH(3_6)及びノードI(3_7)の認証情報に自身の認証情報を合せて、中継ノードB(2)に応答する。中継ノードB(2)は、記憶しているノードC(3_1)、ノードD(3_2)及びノードE(3_3)の認証情報と、受信したノードG(3_5)、ノードH(3_6)、ノードI(3_7)及びノードノードF(3_4)の認証情報に自身の認証情報を合せて、ゲートウェイノードA(1)に応答する。ゲートウェイノードA(1)は、受信した中継ノードB(2)、ノードC(3_1)、ノードD(3_2)、ノードE(3_3)、ノードG(3_5)、ノードH(3_6)、ノードI(3_7)及びノードF(3_4)の認証情報を、ネットワーク5を介して認証装置7へ送って複数のノード個々の認証を要求する。
認証装置7は受け取った認証情報についてそれぞれ認証を実行し、結果をゲートウェイノードA(1)に返す。ゲートウェイノードA(1)は、その認証結果において中継ノードB(2)が真正であると認証されていれば、認証結果を中継ノードB(2)に送る。中継ノードB(2)は、認証結果に基づく認証済ノード情報または不正ノード情報を、認証情報の収集要求と同じ経路で下層の各ノードに伝送する。受信した各ノードは、受信した認証済ノード情報または不正ノード情報に基づいて、自身の通信相手が真正なノードである場合には通信を続けるが、不正ノードである場合には当該不正ノードとの間の通信を遮断する。
次に、ネットワークに不正/敵性ノードが混入しており、誤った全域木が構成された場合について述べる。ここでは、仮にノードD(3_2)が不正ノードであると仮定して説明する。
図28は、図27において、ノードD(3_2)が不正ノードであり、これによる偽の情報によって構成された全域木の例である。不正ノードであるノードD(3_2)による偽の情報によってノードE(3_3)は認証のツリーから外れた状態になっている。このような状況は、例えばノードD(3_2)がノードG(3_5)になりすます、ノードE(3_3)がノードD(3_2)を上位ノードと判定したにもかかわらずノードD(3_2)がノードE(3_3)の情報を破棄する、などの動作によって発生する。
この状況において、上で説明した認証処理と同様に、ゲートウェイノードA(1)は、装置V(10)が起動した後、中継ノードB(2)との間でローカルな相互接続認証を行って接続を確立し、これと相前後して、自身の認証情報であるIDと固有鍵を暗号化した状態で認証装置7に送信して認証結果を受け取る。次に、ゲートウェイノードA(1)は、中継ノードB(2)に対して、認証情報の収集を要求する。
認証情報の収集を要求された中継ノードB(2)は、直接接続されているノードC(3_1)とノードD(3_2)とノードF(3_4)に対して、認証情報の収集を要求する。中継ノードB(2)はノードC(3_1)とノードD(3_2)とノードF(3_4)のそれぞれに対して、割り振られた分散ハッシュ値9_1と9_2と9_4をそれぞれ付して認証情報の収集を要求する。ノードC(3_1)は、これに対して自身の認証情報を中継ノードB(2)に応答する。中継ノードB(2)は、受信したノードC(3_1)の認証情報を記憶して、他のノードからの応答を待つ。ノードD(3_2)は不正ノードであり自らを全域木のネットワークの末端としているので、認証情報の収集要求をノードE(3_3)へリダイレクトすることなく、自身の認証情報を中継ノードB(2)に応答する。中継ノードB(2)は、受信したノードD(3_2)の認証情報を記憶して、他のノードからの応答を待つ。ノードF(3_4)は中継ノードであるため、認証情報の収集要求をノードG(3_5)、ノードH(3_6)及びノードI(3_7)へリダイレクトする。ノードG(3_5)、ノードH(3_6)及びノードI(3_7)は、構成された全域木ではそれぞれ末端のノードであるので、自身の認証情報をノードF(3_4)に応答する。ノードF(3_4)は、受信したノードG(3_5)、ノードH(3_6)及びノードI(3_7)の認証情報に自身の認証情報を合せて、中継ノードB(2)に応答する。中継ノードB(2)は、記憶しているノードC(3_1)及びノードD(3_2)の認証情報と、受信したノードG(3_5)、ノードH(3_6)、ノードI(3_7)及びノードF(3_4)の認証情報に自身の認証情報を合せて、ゲートウェイノードA(1)に応答する。ゲートウェイノードA(1)は、受信した中継ノードB(2)、ノードC(3_1)、ノードD(3_2)、ノードG(3_5)、ノードH(3_6)、ノードI(3_7)及びノードF(3_4)の認証情報を、ネットワーク5を介して認証装置7へ送って複数のノード個々の認証を要求する。
認証装置7は受け取った認証情報についてそれぞれ認証を実行し、結果をゲートウェイノードA(1)に返す。ゲートウェイノードA(1)は、その認証結果において中継ノードB(2)が真正であると認証されていれば、認証結果を中継ノードB(2)に送る。中継ノードB(2)は、認証結果に基づく認証済ノード情報または不正ノード情報を、認証情報の収集要求と同じ経路で下層の各ノードに伝送する。受信した各ノードは、受信した認証済ノード情報または不正ノード情報に基づいて、自身の通信相手が真正なノードである場合には通信を続けるが、不正ノードである場合には当該不正ノードとの間の通信を遮断する。ここでは、中継ノードB(2)は、ノードD(3_2)が不正ノードであるという認証結果に基づいて、ノードD(3_2)との間の通信を遮断し、当該認証結果に基づく認証済ノード情報または不正ノード情報を、ノードD(3_2)を除く各隣接ノードへ伝搬する。これにより、不正ノードであるノードD(3_2)はネットワークから切り離される。
次に、不正ノードであるノードD(3_2)を排除した状態で、全域木を再構成する。
図29は、不正ノードであるノードD(3_2)を排除した状態で、再構成された全域木の例である。不正ノードであるノードD(3_2)との通信路4_3と4_5は切断されている。図27ではノードD(3_2)の下位ノードに位置づけられていたノードE(3_3)は、ノードD(3_2)との通信路4_5が切断されるためにノードF(3_4)からの探索の対象となり、例えばノードG(3_5)の下位ノードに位置づけられる。この再構成された全域木にそって再度認証情報を収集すれば、ノードE(3_3)を含む全てのノードを対象とする認証処理が実行される。もし新たに不正ノードが見つかった場合は、さらにその不正ノードを排除して全域木を再構成した後に再度認証する操作を、不正ノードが新たに発見されなくなるまで繰り返すことで外部認証されたノードのみによるネットワークが再構築できる。
以上のように、不正なノードが混入しているかもしれないP2Pネットワーク上であっても、接続されたノード同士が安全に通信できるように、各ノードに分散ハッシュ値を与えた上で、認証情報の収集を実行することができる。与えられた分散ハッシュ値は、それぞれのノードに固有のIDと共に、認証情報とすることができる。ある不正なノードが認証情報である分散ハッシュ値と固有IDの収集要求に応答しなかった場合は、当該ノードの分散ハッシュ値が承認済ノードのリストに含まれなくなるので、当該ノードは他のノードや外部のネットワークと通信を成立させることができない。仮に、不正ノードが収集要求に正しく応答して分散ハッシュ値を返したとしても、固有IDによるホワイトリスト認証に失敗するため、やはり通信は成立しない。これにより、ビザンチン故障的に振舞うノードをP2Pネットワークから排除することができる。
以上本発明者によってなされた発明を実施形態に基づいて具体的に説明したが、本発明はそれに限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは言うまでもない。
1 上位ノード
2 中継装置(中間ノード)
3 端末装置(下位ノード)
4 通信路、バス
5 (外部)ネットワーク
6 ブローカーサーバー
7 認証装置(認証サーバー)
9 分散ハッシュ値
10 装置(例えば自動車)
11 MPU(Micro-Processor Unit)、セキュアマイコン
12 HSM(Hardware Security Module)
13 暗号処理モジュール
14 デバイス固有ID、デバイス固有鍵
15 CPU(Central Processing Unit)
16 RAM(random Access Memory)
17 外部インターフェース(I/F: interface)
18 バス

Claims (20)

  1. 認証装置と通信可能であり、他の装置が接続される通信路に接続可能な中継装置であって、
    前記中継装置及び前記他の装置は、それぞれ固有の認証情報を有し、
    前記認証装置は前記認証情報に基づいて前記中継装置及び前記他の装置が真正な装置であるか否かを判定する装置認証の機能を備えており、
    前記中継装置は、自身の認証情報を前記認証装置に送出し、前記通信路に接続される前記他の装置から認証情報を収集して前記認証装置に送出し、前記認証装置から前記装置認証の結果を受信し、その結果に基づいて自身と不真正と判定された装置との通信を遮断するとともに、前記他の装置に対して不真正と判定された装置との通信を遮断させるための通信制御情報を送出する、
    中継装置。
  2. 請求項1において、
    前記中継装置は、前記他の装置から認証情報を収集する前に、前記他の装置との間で相互認証を行う、
    中継装置。
  3. 請求項2において、前記認証情報は、それぞれに固有の識別子と前記認証装置と共有される固有鍵であり、
    前記中継装置は、暗号化した識別子と固有鍵とを、前記認証装置に送出し、
    前記中継装置は、前記通信路に接続される前記他の装置からそれぞれ暗号化された識別子と固有鍵を収集して前記認証装置に送出し、
    前記認証装置による前記装置認証は、前記暗号化された識別子を復号し、復号された識別子に基づいて前記中継装置及び前記他の装置が真正な装置であるか否かを判定する機能を含む、
    中継装置。
  4. 請求項1において、前記中継装置及び前記他の装置には、前記認証情報としてそれぞれに紐付けされた分散ハッシュ値が供給され、
    前記中継装置は、自身に紐付けされた分散ハッシュ値を前記認証装置に送出し、
    前記中継装置は、前記通信路に接続される前記他の装置からそれぞれに紐付けされた分散ハッシュ値を収集して前記認証装置に送出し、
    前記認証装置による前記装置認証は、前記分散ハッシュ値に基づいて前記中継装置及び前記他の装置が真正な装置であるか否かを判定する機能を含む、
    中継装置。
  5. 請求項1において、前記他の装置は他の中継装置を含み、
    前記中継装置は、自身の認証情報を前記他の中継装置を介して前記認証装置に送出し、
    前記中継装置は、前記他の中継装置以外の前記他の装置から認証情報を収集して前記他の中継装置を介して前記認証装置に送出し、
    前記中継装置は、前記認証装置から前記他の中継装置を介して前記装置認証の結果を受信し、その結果に基づいて自身と不真正と判定された装置との通信を遮断するとともに、前記他の中継装置以外の前記他の装置に対して不真正と判定された装置との通信を遮断させるための通信制御情報を送出する、
    中継装置。
  6. 請求項1において、前記中継装置及び前記他の装置はそれぞれ電子制御装置であり、前記通信路は車載ネットワークである、
    中継装置。
  7. 請求項6において、前記装置認証の結果、不真正と判定された装置が存在することが判明した時、前記中継装置は、当該不真正と判定された装置との通信を遮断するか否かを、前記車載ネットワークが搭載される車両のユーザーに問い合わせる機能を有する、
    中継装置。
  8. 中継装置を介して認証装置と通信可能であり、前記中継装置と他の装置が接続される通信路に接続可能な端末装置であって、
    前記端末装置、前記中継装置及び前記他の装置は、それぞれ固有の認証情報を有し、
    前記中継装置は、自身の認証情報を前記認証装置に送出する機能と、前記通信路に接続される前記端末装置と前記他の装置から認証情報を収集して前記認証装置に送出する機能とを備え、
    前記認証装置は前記認証情報に基づいて、前記端末装置、前記中継装置及び前記他の装置が真正な装置であるか否かを判定する装置認証の機能を備え、
    前記端末装置は、前記中継装置が受信する前記装置認証の結果に基づいて、自身と不真正と判定された装置との通信を遮断する、
    端末装置。
  9. 請求項8において、前記端末装置、前記中継装置及び前記他の装置のそれぞれは、前記認証情報としてそれぞれに固有の識別子と、前記認証装置と共有されそれぞれに固有の固有鍵と、を有し、
    前記端末装置は、前記中継装置へ認証情報を送信する前に、前記中継装置との間で相互認証を行い、
    前記端末装置は、暗号化した識別子と固有鍵とを前記中継装置に送出し、
    前記中継装置は、暗号化した識別子と固有鍵とを前記認証装置に送出し、
    前記中継装置は、前記通信路に接続される前記他の装置からそれぞれ暗号化された識別子と固有鍵とを収集し、前記端末装置から受信した識別子と固有鍵と前記他の装置から収集した識別子と固有鍵とを前記認証装置に送出し、
    前記認証装置による前記装置認証は、前記暗号化された識別子を復号し、復号された識別子に基づいて前記端末装置、前記中継装置及び前記他の装置が真正な装置であるか否かを判定する機能を含む、
    端末装置。
  10. 請求項8において、前記端末装置、前記中継装置及び前記他の装置には、前記認証情報としてそれぞれに紐付けされた分散ハッシュ値が供給され、
    前記端末装置は、自身に紐付けされた分散ハッシュ値を前記中継装置に送出し、
    前記中継装置は、自身に紐付けされた分散ハッシュ値を前記認証装置に送出し、
    前記中継装置は、前記通信路に接続される前記他の装置からそれぞれに紐付けされた分散ハッシュ値を収集し、前記端末装置から受信した分散ハッシュ値と、前記他の装置から収集した分散ハッシュ値とを前記認証装置に送出し、
    前記認証装置による前記装置認証は、前記分散ハッシュ値に基づいて、前記端末装置、前記中継装置及び前記他の装置が真正な装置であるか否かを判定する機能を含む、
    端末装置。
  11. 請求項8において、
    前記端末装置は、前記通信路に接続された時点で、自身に直接接続されている中継装置または他の装置を介して、前記認証装置に対して前記認証装置によってのみ生成可能な情報を要求し、
    前記認証装置による前記装置認証は、前記端末装置が真正な装置であるか否か判定するとともに、前記認証装置によってのみ生成可能な前記情報を生成して、前記要求を受信した経路に沿って前記端末装置に対して送出し、
    前記端末装置は、自身に直接接続されている中継装置と他の装置のうち、前記認証装置によってのみ生成可能な前記情報を、中継しない装置を不真正な装置と判定しその装置との通信を遮断する、
    端末装置。
  12. 請求項8において、前記他の装置は他の中継装置を含み、
    前記中継装置は、自身の認証情報を前記他の中継装置を介して前記認証装置に送出し、
    前記中継装置は、前記他の中継装置以外の前記他の装置及び前記端末装置から認証情報を収集して前記他の中継装置を介して前記認証装置に送出し、
    前記中継装置は、前記認証装置から前記他の中継装置を介して前記装置認証の結果を受信し、
    前記端末装置は、前記中継装置が受信する前記装置認証の結果に基づいて、自身と不真正と判定された装置との通信を遮断する、
    端末装置。
  13. 請求項8において、前記端末装置、前記中継装置及び前記他の装置はそれぞれ電子制御装置であり、前記通信路は車載ネットワークである、
    端末装置。
  14. 請求項13において、前記装置認証の結果、不真正な装置が存在することが判明した時、前記端末装置は、当該不真正と判定された装置との通信を遮断するか否かを、前記車載ネットワークを備える車両のユーザーに問い合わせる機能を有する、
    端末装置。
  15. 通信路を介して行われる中継装置と端末装置と他の装置との間の通信方法であって、
    前記中継装置、前記端末装置及び前記他の装置は、それぞれ固有の認証情報を有し、
    前記中継装置は認証装置と通信可能であり、自身の認証情報を前記認証装置に送出し、
    前記中継装置は、前記通信路に接続される前記端末装置と前記他の装置から認証情報を収集して前記認証装置に送出し、
    前記認証装置は前記認証情報に基づいて、前記中継装置、前記端末装置及び前記他の装置が真正な装置であるか否かを判定する装置認証の機能を備え、
    前記中継装置は、前記認証装置から前記装置認証の結果を受信し、その結果に基づいて自身と不真正と判定された装置との通信を遮断するとともに、前記端末装置及び前記他の装置に対して不真正と判定された装置との通信を遮断させるための通信制御情報を送出し、
    前記端末装置及び前記他の装置は、前記通信制御情報に基づいて、自身と不真正と判定された装置との通信を遮断する、
    通信方法。
  16. 請求項15において、前記端末装置、前記中継装置及び前記他の装置は、前記認証情報としてそれぞれに固有の識別子と、前記認証装置と共有されそれぞれに固有の固有鍵と、を有し、
    前記端末装置は、前記中継装置へ認証情報を送信する前に、前記中継装置との間で相互認証を行い、
    前記端末装置は、暗号化した識別子と固有鍵とを前記中継装置に送出し、
    前記中継装置は、暗号化した識別子と固有鍵とを前記認証装置に送出し、
    前記中継装置は、前記通信路に接続される前記他の装置からそれぞれ暗号化された識別子を収集して前記認証装置に送出し、
    前記中継装置は、前記通信路に接続される前記他の装置からそれぞれ暗号化された識別子を収集し、前記端末装置から受信した識別子と、前記他の装置から収集した識別子とを前記認証装置に送出し、
    前記認証装置は、前記暗号化された識別子を復号し、復号された識別子に基づいて前記端末装置、前記中継装置及び前記他の装置が真正な装置であるか否かを判定する、
    通信方法。
  17. 請求項15において、前記端末装置、前記中継装置及び前記他の装置には、前記認証情報としてそれぞれに紐付けされた分散ハッシュ値が供給され、
    前記端末装置は、自身に紐付けされた分散ハッシュ値を前記中継装置に送出し、
    前記中継装置は、自身に紐付けされた分散ハッシュ値を前記認証装置に送出し、
    前記中継装置は、前記通信路に接続される前記他の装置からそれぞれに紐付けされた分散ハッシュ値を収集し、前記端末装置から受信した分散ハッシュ値と前記他の装置から収集した分散ハッシュ値とを前記認証装置に送出し、
    前記認証装置は、前記分散ハッシュ値に基づいて、前記端末装置、前記中継装置及び前記他の装置が真正な装置であるか否かを判定する、
    通信方法。
  18. 請求項15において、前記他の装置は他の中継装置を含み、
    前記中継装置は、自身の認証情報を前記他の中継装置を介して前記認証装置に送出し、
    前記中継装置は、前記他の中継装置以外の前記他の装置及び前記端末装置から認証情報を収集し、収集した認証情報を前記他の中継装置を介して前記認証装置に送出し、前記認証装置から前記他の中継装置を介して前記装置認証の結果を受信する、
    通信方法。
  19. 請求項15において、前記端末装置、前記中継装置及び前記他の装置はそれぞれ電子制御装置であり、前記通信路は車載ネットワークである、
    通信方法。
  20. 請求項19において、前記装置認証の結果、不真正な装置が存在することが判明した時、前記端末装置または前記中継装置は、当該不真正と判定された装置との通信を遮断するか否かを、前記車載ネットワークを備える車両のユーザーに問い合わせる、
    通信方法。
JP2015012877A 2015-01-27 2015-01-27 中継装置、端末装置および通信方法 Active JP6545966B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2015012877A JP6545966B2 (ja) 2015-01-27 2015-01-27 中継装置、端末装置および通信方法
CN201510946793.0A CN105827587B (zh) 2015-01-27 2015-12-17 中继设备、终端设备和通信方法
US14/985,242 US10284553B2 (en) 2015-01-27 2015-12-30 Relay apparatus, terminal apparatus, and communication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015012877A JP6545966B2 (ja) 2015-01-27 2015-01-27 中継装置、端末装置および通信方法

Publications (2)

Publication Number Publication Date
JP2016139883A true JP2016139883A (ja) 2016-08-04
JP6545966B2 JP6545966B2 (ja) 2019-07-17

Family

ID=56434296

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015012877A Active JP6545966B2 (ja) 2015-01-27 2015-01-27 中継装置、端末装置および通信方法

Country Status (3)

Country Link
US (1) US10284553B2 (ja)
JP (1) JP6545966B2 (ja)
CN (1) CN105827587B (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018041200A (ja) * 2016-09-06 2018-03-15 住友電気工業株式会社 車載通信機、管理装置、管理方法および監視プログラム
WO2018079385A1 (ja) * 2016-10-25 2018-05-03 株式会社オートネットワーク技術研究所 車載機器判定システム及び情報収集装置
JP2018196085A (ja) * 2017-05-22 2018-12-06 ルネサスエレクトロニクス株式会社 認証方法及び認証システム
JP2019129513A (ja) * 2018-01-26 2019-08-01 トヨタ自動車株式会社 車載ネットワークシステム
WO2023148951A1 (ja) * 2022-02-07 2023-08-10 日本電気株式会社 情報通信システム、情報通信方法、および記録媒体

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11381472B2 (en) * 2016-09-30 2022-07-05 Faraday & Future Inc. Visualization of intra-vehicular communications networks
JP6547154B2 (ja) * 2016-11-30 2019-07-24 本田技研工業株式会社 通信システム
JP6981755B2 (ja) * 2017-01-25 2021-12-17 トヨタ自動車株式会社 車載ネットワークシステム
JP6784178B2 (ja) * 2017-01-27 2020-11-11 住友電気工業株式会社 車載通信システム、ゲートウェイ、スイッチ装置、通信制御方法および通信制御プログラム
US10630661B2 (en) * 2017-02-03 2020-04-21 Qualcomm Incorporated Techniques for securely communicating a data packet via at least one relay user equipment
GB2561256A (en) 2017-04-05 2018-10-10 Stmicroelectronics Grenoble2 Sas Apparatus for use in a can system
US10993100B2 (en) * 2017-09-07 2021-04-27 Huf Secure Mobile GmbH System and method of low energy mobile device recognition
US10009325B1 (en) * 2017-12-07 2018-06-26 Karamba Security End-to-end communication security
WO2019167384A1 (ja) * 2018-02-28 2019-09-06 株式会社オートネットワーク技術研究所 車載通信システム、スイッチ装置、検証方法および検証プログラム
US11108830B2 (en) * 2018-03-13 2021-08-31 Avago Technologies International Sales Pte. Limited System for coordinative security across multi-level networks
DE102019000823B4 (de) 2018-03-13 2022-06-02 Avago Technologies International Sales Pte. Limited System für eine koordinative Sicherheit quer durch mehrschichtige Netzwerke
RU2725033C2 (ru) * 2018-03-30 2020-06-29 Акционерное общество "Лаборатория Касперского" Система и способ создания правил
FR3085569A1 (fr) * 2018-08-31 2020-03-06 Psa Automobiles Sa Procede de configuration d’un calculateur de vehicule
CN112153646B (zh) * 2019-06-28 2022-03-08 华为技术有限公司 认证方法、设备及系统
JP7372527B2 (ja) * 2019-09-26 2023-11-01 富士通株式会社 通信中継プログラム、中継装置、及び通信中継方法
US20210203670A1 (en) * 2019-12-30 2021-07-01 Itron, Inc. Man-In-The-Middle Extender Defense In Data Communications
JP7404210B2 (ja) * 2020-09-28 2023-12-25 株式会社東海理化電機製作所 システム、及びプログラム
EP4060947A1 (de) * 2021-03-16 2022-09-21 Siemens Aktiengesellschaft Authentifizieren eines knotens in einem kommunikationsnetz einer automatisierungsanlage
CN115348583B (zh) * 2022-10-18 2023-01-03 中国民航信息网络股份有限公司 一种高速移动场景下的通信方法及系统

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001033145A (ja) * 1999-07-22 2001-02-09 Nesutaa:Kk 貯蔵庫
JP2005341253A (ja) * 2004-05-27 2005-12-08 Fuji Xerox Co Ltd 内容証明システムおよび方法
JP2008530919A (ja) * 2005-02-21 2008-08-07 西安西▲電▼捷通▲無▼綫▲網▼絡通信有限公司 有線ネットワークおよび無線ネットワークに適したアクセス認証方法
JP2010504670A (ja) * 2006-09-23 2010-02-12 西安西▲電▼捷通▲無▼▲綫▼▲網▼絡通信有限公司 公開鍵証明書状態の取得および確認方法
JP2013048374A (ja) * 2011-08-29 2013-03-07 Toyota Motor Corp 保護通信方法
JP2013200589A (ja) * 2012-03-23 2013-10-03 Nec Corp 複数ネットワークによる認証装置、認証方法、認証システム、及びそのためのプログラム
WO2013171829A1 (ja) * 2012-05-14 2013-11-21 トヨタ自動車 株式会社 車両用ネットワークの通信管理装置及び通信管理方法
JP2014058224A (ja) * 2012-09-18 2014-04-03 Mazda Motor Corp 車両の上部車体構造
US20150020152A1 (en) * 2012-03-29 2015-01-15 Arilou Information Security Technologies Ltd. Security system and method for protecting a vehicle electronic system

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1188325A (ja) 1997-09-01 1999-03-30 Toyo Commun Equip Co Ltd ネットワークにおける認証システム
US6463474B1 (en) * 1999-07-02 2002-10-08 Cisco Technology, Inc. Local authentication of a client at a network device
US7844687B1 (en) * 1999-10-06 2010-11-30 Gelvin David C Method for internetworked hybrid wireless integrated network sensors (WINS)
US7062490B2 (en) 2001-03-26 2006-06-13 Microsoft Corporation Serverless distributed file system
US20050136834A1 (en) * 2003-12-19 2005-06-23 Motorola, Inc. Communication system with adopted remote identity
JP4551202B2 (ja) * 2004-12-07 2010-09-22 株式会社日立製作所 アドホックネットワークの認証方法、および、その無線通信端末
CN101150406B (zh) * 2006-09-18 2011-06-08 华为技术有限公司 基于802.1x协议的网络设备认证方法及系统及相关装置
CN102209066B (zh) * 2010-03-31 2015-03-11 中国移动通信集团公司 网络认证的方法和设备
EP2697992A4 (en) 2011-04-15 2014-09-24 Samsung Electronics Co Ltd METHOD AND APPARATUS FOR PROVIDING MACHINE COMMUNICATION SERVICE
CN103096310A (zh) * 2011-11-08 2013-05-08 中国移动通信集团公司 传感网通信方法和装置以及传感网节点装置和网关设备
US9130837B2 (en) * 2012-05-22 2015-09-08 Cisco Technology, Inc. System and method for enabling unconfigured devices to join an autonomic network in a secure manner
CN102724197B (zh) * 2012-06-25 2015-08-12 上海交通大学 无线中继网络中的链路双向安全认证方法
JP6301579B2 (ja) * 2012-12-03 2018-03-28 フェリカネットワークス株式会社 通信端末、通信方法、プログラム、及び通信システム
CN103997427A (zh) * 2014-03-03 2014-08-20 浙江大学 通信网络检测与防攻击保护方法、装置、通信设备及系统

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001033145A (ja) * 1999-07-22 2001-02-09 Nesutaa:Kk 貯蔵庫
JP2005341253A (ja) * 2004-05-27 2005-12-08 Fuji Xerox Co Ltd 内容証明システムおよび方法
JP2008530919A (ja) * 2005-02-21 2008-08-07 西安西▲電▼捷通▲無▼綫▲網▼絡通信有限公司 有線ネットワークおよび無線ネットワークに適したアクセス認証方法
JP2010504670A (ja) * 2006-09-23 2010-02-12 西安西▲電▼捷通▲無▼▲綫▼▲網▼絡通信有限公司 公開鍵証明書状態の取得および確認方法
JP2013048374A (ja) * 2011-08-29 2013-03-07 Toyota Motor Corp 保護通信方法
JP2013200589A (ja) * 2012-03-23 2013-10-03 Nec Corp 複数ネットワークによる認証装置、認証方法、認証システム、及びそのためのプログラム
US20150020152A1 (en) * 2012-03-29 2015-01-15 Arilou Information Security Technologies Ltd. Security system and method for protecting a vehicle electronic system
WO2013171829A1 (ja) * 2012-05-14 2013-11-21 トヨタ自動車 株式会社 車両用ネットワークの通信管理装置及び通信管理方法
JP2014058224A (ja) * 2012-09-18 2014-04-03 Mazda Motor Corp 車両の上部車体構造

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
RYO KURACHI, ET AL.: "CaCAN-Centralized Authentication System in CAN (Controller Area Network)", 12TH ESCAR EUROPE 2014, JPN6018026383, November 2014 (2014-11-01), ISSN: 0004055111 *
押田 大介 ほか: "繋がる車のセキュリティ", CSS2014 コンピュータセキュリティシンポジウム2014 論文集 [CD−ROM], vol. 2014, no. 2, JPN6017011677, 15 October 2014 (2014-10-15), JP, pages 651 - 658, ISSN: 0003841044 *
本人認証技術の現状に関する調査報告書, JPN6012044734, March 2003 (2003-03-01), JP, pages 13 - 18, ISSN: 0004055110 *
関口 大樹 ほか: "不正CANデータ送信を抑制するホワイトリスト・ハブ", 2014年 暗号と情報セキュリティシンポジウム SCIS2014, vol. 2C1−1, JPN6018027718, 21 January 2014 (2014-01-21), JP, pages 1 - 8, ISSN: 0004055109 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018041200A (ja) * 2016-09-06 2018-03-15 住友電気工業株式会社 車載通信機、管理装置、管理方法および監視プログラム
WO2018079385A1 (ja) * 2016-10-25 2018-05-03 株式会社オートネットワーク技術研究所 車載機器判定システム及び情報収集装置
JP2018072920A (ja) * 2016-10-25 2018-05-10 株式会社オートネットワーク技術研究所 車載機器判定システム及び情報収集装置
JP2018196085A (ja) * 2017-05-22 2018-12-06 ルネサスエレクトロニクス株式会社 認証方法及び認証システム
JP2019129513A (ja) * 2018-01-26 2019-08-01 トヨタ自動車株式会社 車載ネットワークシステム
WO2023148951A1 (ja) * 2022-02-07 2023-08-10 日本電気株式会社 情報通信システム、情報通信方法、および記録媒体

Also Published As

Publication number Publication date
CN105827587A (zh) 2016-08-03
JP6545966B2 (ja) 2019-07-17
US10284553B2 (en) 2019-05-07
CN105827587B (zh) 2021-05-11
US20160219051A1 (en) 2016-07-28

Similar Documents

Publication Publication Date Title
JP6545966B2 (ja) 中継装置、端末装置および通信方法
US11665004B2 (en) Systems and methods for enabling trusted communications between controllers
JP5479408B2 (ja) 車載ネットワークシステム
US20160173530A1 (en) Vehicle-Mounted Network System
CN108616504B (zh) 一种基于物联网的传感器节点身份认证系统及方法
US8145917B2 (en) Security bootstrapping for distributed architecture devices
KR102177794B1 (ko) 사물인터넷 블록체인 환경에서의 디바이스 분산 인증 방법 및 이를 이용한 디바이스 분산 인증 시스템
JPWO2018198297A1 (ja) 車両システム及び鍵配信方法
Li et al. Enhancing the trust of internet routing with lightweight route attestation
CN106027473A (zh) 身份证读卡终端与云认证平台数据传输方法和系统
WO2018235085A1 (en) METHOD OF CERTIFYING ADDRESS PROPERTIES AND ASSOCIATED SYSTEM
CN110771087B (zh) 私钥更新
CN112261103A (zh) 一种节点接入方法及相关设备
Yang et al. A blockchain-based anonymous authentication scheme for Internet of vehicles
WO2008065349A1 (en) Worldwide voting system
CN114386063A (zh) 用于访问物联网设备数据的鉴权系统、方法及装置
US9825952B2 (en) Secure machine to machine communication
JP6830877B2 (ja) 配信システム、鍵生成装置、配信方法、及びコンピュータプログラム
Shannon et al. Blockchain based distributed key provisioning and secure communication over CAN FD
WO2008065348A2 (en) Perpetual data
CN114531234B (zh) 一种分布式系统及其设备注册、验证方法
JP2005165671A (ja) 認証サーバの多重化システム及びその多重化方法
JP2017208731A (ja) 管理システム、管理装置、車載コンピュータ、管理方法、及びコンピュータプログラム
Sakon et al. Simple Cryptographic Key Management Scheme of the Electronic Control Unit in the Lifecycle of a Vehicle
CN116260625A (zh) 自组织网络环境多结点条件下用户的统一认证方法

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20170330

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171127

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180629

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180724

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180925

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20190219

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190520

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20190528

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190618

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190620

R150 Certificate of patent or registration of utility model

Ref document number: 6545966

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150