JP2017028345A - ゲートウェイ装置およびその制御方法 - Google Patents

ゲートウェイ装置およびその制御方法 Download PDF

Info

Publication number
JP2017028345A
JP2017028345A JP2015141509A JP2015141509A JP2017028345A JP 2017028345 A JP2017028345 A JP 2017028345A JP 2015141509 A JP2015141509 A JP 2015141509A JP 2015141509 A JP2015141509 A JP 2015141509A JP 2017028345 A JP2017028345 A JP 2017028345A
Authority
JP
Japan
Prior art keywords
domain
message
key
gateway device
domains
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015141509A
Other languages
English (en)
Other versions
JP6484519B2 (ja
Inventor
伸義 森田
Nobuyoshi Morita
伸義 森田
信 萱島
Makoto Kayashima
信 萱島
大和田 徹
Toru Owada
徹 大和田
恵輔 伯田
Keisuke Hakuta
恵輔 伯田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Automotive Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Automotive Systems Ltd filed Critical Hitachi Automotive Systems Ltd
Priority to JP2015141509A priority Critical patent/JP6484519B2/ja
Priority to US15/743,691 priority patent/US10560286B2/en
Priority to CN201680034661.3A priority patent/CN107710676B/zh
Priority to EP16824152.9A priority patent/EP3324574B1/en
Priority to PCT/JP2016/065246 priority patent/WO2017010172A1/ja
Publication of JP2017028345A publication Critical patent/JP2017028345A/ja
Application granted granted Critical
Publication of JP6484519B2 publication Critical patent/JP6484519B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1475Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】
メッセージの改ざん検知符号を生成する鍵の管理負担の低減をする。
【解決手段】
2以上のドメイン間でメッセージを中継するゲートウェイ装置であって、前記2以上のドメインの中の第1のドメインに対応する第1の改ざん検知符号と第1のデータを含む第1のメッセージを前記第1のドメインから受信し、前記2以上のドメインの中の第2のドメインに対応する第2の改ざん検知符号と前記第1のデータを含む第2のメッセージを前記第2のドメインへ送信する。
【選択図】 図2

Description

本発明は、ゲートウェイ装置およびその制御方法に関するものである。
自動車の車載ネットワークにおける代表的な標準プロトコルとしてController Area Network(以下、CAN)が普及している。このような車載ネットワークでは、OBD2(On−Board−Diagnostics 2)ポートのような車載ネットワークに直接繋がっているインタフェースに不正な機器を接続し、リプレイ攻撃が行なわれる危険性がある。ここで、リプレイ攻撃とは、通信路上を流れるメッセージを盗聴して事前に取得し、取得したメッセージを再送することで不正な動作を引き起こす攻撃である。
他にも、車外のシステムと連携する情報処理装置がマルウェアに感染し、感染した装置が偽メッセージを車載ネットワークに送信し、メッセージを受信した制御装置が誤動作を引き起こすといった危険性もある。
通常、これらの脅威に対しては、各情報処理装置間を流れるメッセージに対して、改ざん検知符号としてMAC(Message Authentication Code)を用いたメッセージ認証を実施することが有効とされている。MACは暗号化用の鍵を利用し、所定の暗号アルゴリズムを用いて生成されるため、各制御装置において鍵の管理が必要となる。
このような技術に関して、特許文献1には、通信フレーム部分にメッセージ種別の識別子とともにセキュリティ情報(改ざん検知符号)を含ませ、セキュリティ情報は各正規ノードの通信のセッション鍵とする技術が開示されている(要約)。
特開2014−183395号公報
特許文献1に開示された技術を用いれば、正規の通信であることを確認することは可能である。しかしながら、特許文献1には鍵を管理する技術に関する開示はない。車載システムでは各装置の処理能力に制約があるため、鍵の管理においても負担の少ない技術が必要とされている。
そこで、本発明は、以上の問題に鑑みてなされたものであり、メッセージの改ざん検知符号を生成する鍵の管理負担の低減を目的とする。
上記目的を達成するために、本発明に係る代表的なゲートウェイ装置は、2以上のドメイン間でメッセージを中継するゲートウェイ装置であって、前記2以上のドメインの中の第1のドメインに対応する第1の改ざん検知符号と第1のデータを含む第1のメッセージを前記第1のドメインから受信し、前記2以上のドメインの中の第2のドメインに対応する第2の改ざん検知符号と前記第1のデータを含む第2のメッセージを前記第2のドメインへ送信することを特徴とする。
本発明によれば、メッセージの改ざん検知符号を生成する鍵の管理負担を低減することが可能になる。
車載システムの構成の例を示す図である。 ドメイン間通信の処理シーケンスの例を示す図である。 送信制御装置の処理フローの例を示す図である。 GW装置の処理フローの例を示す図である。 受信制御装置の処理フローの例を示す図である。 鍵情報のテーブル構成の例を示す図である。 MAC付け替え判定情報のテーブル構成の例を示す図である。 送信制御装置のドメイン間鍵処理を含む処理フローの例を示す図である。 GW装置のドメイン間鍵処理を含む処理フローの例を示す図である。 受信制御装置のドメイン間鍵処理を含む処理フローの例を示す図である。 利用鍵情報のテーブル構成の例を示す図である。 ナンスを含むドメイン間通信の処理シーケンスの例を示す図である。
以下、本発明の実施形態について、実施例を用い、図面を参照しながら詳細に説明する。
実施例1では、各制御装置がドメインごとに共有されるドメイン鍵を管理し、メッセージに対して、ドメイン鍵を用いて算出したMACを付与し、GW装置は付け替え処理部とMAC付け替え判定情報を用いて受信したメッセージがMACの付け替え対象なのかどうかを判定し、付け替え対象のメッセージに対してMACの付け替えを行い、ルーティング処理部を用いて通信先のドメインにメッセージを送信することを可能とする鍵管理の例を説明する。
ただし、実施例1の構成は、この例に限定されるものではない。なお、各装置で利用する暗号用の鍵は、製品開発時やメンテナンス時などの任意のタイミングで安全に配布、更新されていることが好ましい。
図1は、車載システムの構成の例を示す図である。車両30に搭載されているGW装置10は、車内バス40を介して、制御装置20と互いに接続されている。なお、車内バス40−1、40−2、・・・40−n(nは3以上の自然数)を区別なく代表して表す場合は車内バス40と記載し、制御装置20−1a、20−1b、20−2、・・・20−nを区別なく代表して表す場合は制御装置20と記載する。
ここで、車内バス40としては、例えば、CANやCAN FD(Flexible Data−Rate)であってもよい。また、車内バス40の個数は2であってもよく、ドメインの個数も2であってもよい。
GW装置10は、車外通信部11、付け替え処理部12、ルーティング処理部13、車内通信部14、鍵関連情報記憶部15から成る。車外通信部11はネットワーク(有線、無線)50を介して車両30の外の装置、或いはセンタ等と接続し、車外とのメッセージの送受信を行なう。付け替え処理部12は受信したメッセージがMACの付け替え対象なのかどうかを判定する。
ルーティング処理部13は付け替え処理部12の判定結果に基づいて通信先の制御装置20を特定し、送信するメッセージを作成する。車内通信部14はルーティング処理部13が生成したメッセージを該当するドメインの車内バス40に送信する。鍵関連情報記憶部15はMAC付け替え判定情報151と鍵情報152を保持する。
MAC付け替え判定情報151は付け替え処理部12の受信したメッセージが付け替え対象であるのか否かを判定するために利用される情報である。鍵情報152はGW装置10によって分割された各ドメインの鍵情報であり、付け替え処理部12は鍵情報152から取得したドメイン鍵を用いて通信先のドメインに対応するMACを算出する。
制御装置20は、車内通信部21、鍵利用部22、メッセージ生成部23、鍵関連情報記憶部24から成る。車内通信部21は車内バス40にメッセージを送信する、或いは車内バス40からメッセージを受信する。鍵利用部22は制御装置20が接続されているドメインに設定されたドメイン鍵を選択し、例えばMACの生成および検証を行なう。
メッセージ生成部23は、鍵利用部22が選択したドメイン鍵を用いて算出したMACを付与してメッセージを生成する。鍵関連情報記憶部24は利用鍵情報241を保持する。利用鍵情報241はメッセージに付与するドメイン鍵の情報であり、メッセージ生成部23は利用鍵情報241から取得したドメイン鍵を用いてMACを算出する。
なお、制御装置20は、車両30を制御するための図示を省略したセンサ機器やアクチュエータ等と接続されてもよく、それらを備えてもよい。また、制御装置20−1aと制御装置20−1bが車内バス40−1に接続されているように、複数の制御装置20が1つの車内バス40に接続され、1つのドメインに属してもよい。
また、利用鍵情報241、MAC付け替え判定情報151、鍵情報152のそれぞれの情報は、図示を省略した入力装置から予め設定されてもよいし、ネットワーク50経由で予め設定されてもよい。
図2は、制御装置20がGW装置10を介して異なるドメインの制御装置20に対してメッセージを送信する、すなわちドメイン間通信における概要処理シーケンスの例を示す図である。なお、送信制御装置20−3と受信制御装置20−4は、複数の制御装置20の中から送信する制御装置20と受信する制御装置20の例として挙げたものであり、制御装置20と同じ構成を有している。
以下のステップ2101からステップ2104は送信制御装置20−3の処理である。ステップ2101では、メッセージ生成部23が、車両30の走行制御に用いる制御パラメータ情報を、例えば送信制御装置20−3に備わるセンサ機器等から取得する。
ステップ2102では、鍵利用部22が、利用鍵情報241から送信制御装置20−3が接続されたドメインのドメイン鍵を取得し、取得したドメイン鍵を用いてMACを算出する。例えば、取得した制御パラメータ情報をメッセージのデータとし、メッセージのID情報等の送受信に必要な情報をメッセージのヘッダとして、データとヘッダへドメイン鍵を適用することによりMACを算出してもよい。また、データのみにドメイン鍵を適用することによりMACを算出してもよい。
ステップ2103では、メッセージ生成部23が、メッセージのデータとなるステップ2101で取得した制御パラメータ情報と、ステップ2102で算出したMACをもとに、通信用のメッセージを生成する。なお、メッセージはヘッダや図示を省略したフッタ等を含んでもよい。ステップ2104では、メッセージ生成部23が、車内通信部21を用いてステップ2103で生成したメッセージを車内バス40に送信する。
ステップ101では、付け替え処理部12は、車内通信部14から受信したメッセージのID情報がMACの付け替え対象であるのか否かを、MAC付け替え判定情報151をもとに判定する。受信したメッセージがMACの付け替え対象と判定した場合はステップ102に進み、MACの付け替え対象ではないと判定した場合は処理を終了し、エラー処理に移行する。
図7に、ステップ101で参照されるMAC付け替え判定情報151のテーブル構成の例を示す。CAN−ID欄1511は、メッセージを識別する情報すなわちメッセージのID情報を示す。図7では、CAN−IDを情報の例とし、CAN−ID欄1511としたが、メッセージを識別可能な情報であればCAN−ID以外の情報を用いてもよい。
通信関係ドメイン欄1512は、CAN−ID欄1511の値を使用するメッセージで通信関係のあるドメインを示す。MAC付け替え要否欄1513は、CAN−ID欄1511の値を使用するメッセージがMACの付け替え対象なのか、非対象なのかを示す。MAC付け替え要否欄1513の値が「要」の場合はメッセージに付与されたMACは付け替えの対象となり、「否」の場合はメッセージに付与されたMACは付け替えの対象とならない。
ドメイン間鍵対象欄1514は、CAN−ID欄1511の値を使用するメッセージがドメイン間鍵の対象であるのか、非対象であるのかを示す。ドメイン間鍵対象欄1514の値が「該当」の場合はドメイン間鍵を用いてMACを算出する対象であることを示し、「非該当」の場合はドメイン間鍵を用いないことを示す。
ここで、ドメイン間鍵は、周期の短い(高周期の)メッセージ、或いは複数のドメインに送信されるメッセージ、通信調停において優先されるメッセージ、或いはセキュリティや機能安全の観点で重要度の高いドメインと通信されるメッセージ等に対して個々に設定してもよいが、この例に限らないものである。なお、ドメイン間鍵対象欄1514は実施例2で用いられる。
ステップ102では、付け替え処理部12は、受信したメッセージ(ヘッダとデータ)と鍵情報152から取得したドメイン鍵を用いてMACを算出し、受信したメッセージに付与されたMACと、算出したMACを比較し、MACの値が一致している場合はステップ103に進み、MACの値が一致していない場合は本処理を終了して、エラー処理に移行する。
図6に、ステップ102で参照される鍵情報152のテーブル構成の例を示す。ドメイン欄1521は、GW装置10によって分割される車載ネットワーク(車内バス40)のドメインを示す。ドメイン鍵欄1522は、ドメイン欄1521のドメインごとに設定されるドメイン鍵を示す。
鍵情報152のテーブルのドメインとドメイン鍵の設定は、図示を省略した入力画面を表示して、それぞれドメインとドメイン鍵との組合せが入力されることによる設定であってもよい。また、予め設定されたドメインを入力画面に表示し、各ドメインに対応するドメイン鍵の入力枠を表示して、各入力枠にドメイン鍵が入力されることによる設定であってもよい。ここで、図1に示すようにドメイン1には制御装置20−1aと制御装置20−1bの2つが属する場合もあるため、ドメイン鍵の入力枠の表示の個数は、制御装置20の個数よりも少ない個数であってもよい。
ステップ103では、付け替え処理部12が、受信したメッセージが送られてきた車内バス40のドメインと、通信関係ドメイン欄1512をもとに、通信先のドメインを特定し、特定した通信先のドメインをもとに鍵情報152から取得したドメイン鍵を用いてMACを算出する。ステップ104では、付け替え処理部12が、受信したメッセージのMACをステップ103で生成したMACに付け替える。
ステップ105では、ルーティング処理部13が、ステップ103で特定した通信先となるドメインの情報を取得する。ここで、ステップ103において付け替え処理部12が、図示を省略した一時的なメモリ上に通信先のドメインの情報を格納しておいてもよい。ステップ106では、ルーティング処理部13が、ステップ104で生成したメッセージを、ステップ105で取得した通信先となるドメインの車内バス40に送信する。
なお、ステップ103からステップ106までの処理を、通信先のドメインの数だけ繰り返し実施する。
以下のステップ2201からステップ2202は受信制御装置20−4の処理である。ステップ2201では、鍵利用部22が、利用鍵情報241から受信制御装置20−4が接続されているドメインのドメイン鍵を取得し、受信したメッセージ(ヘッダ、データ)をもとにMACを算出し、算出したMACと受信したメッセージに付与されたMACを比較する。
MACの値が一致している場合はステップ2202に進み、MACの値が一致していない場合は本処理を終了し、エラー処理に移行する。ステップ2202では、受信制御装置20−4が受信したメッセージのデータである制御パラメータ情報をもとに走行制御を実施する。
以上のステップにより、制御装置20はGW装置10を介したドメイン間通信において、異なるドメインの制御装置20にメッセージを送信できる。なお、GW装置10の処理負荷を低減するために、ステップ102におけるMACの検証処理を省略してもよい。
また、MACは暗号化用の鍵を利用して所定の暗号アルゴリズムにより生成されるため、MACの生成の代わりに暗号化されたデータを生成してメッセージに含め、暗号化のもととなったデータはメッセージに含めず、メッセージを送信してもよい。このように暗号化されたデータがメッセージに含められて送信される場合は、MACの値が一致するかを比較して判定するMAC検証処理を省略してもよい。
図3は、図2のステップ2101からステップ2104までの、送信制御装置20−3の詳細な処理フローの例を示す図である。ステップ21001では、メッセージ生成部23が、車両の走行制御に用いる制御パラメータ情報を、例えば送信制御装置20−3に備わるセンサ機器等から取得する。
ステップ21002では、メッセージ生成部23が、ステップ21001で取得した制御パラメータ情報に対応するCAN−IDを取得する。なお、予め制御パラメータ情報の種類に応じてCAN−IDが設定され、図示を省略したメモリ等に記憶されている。
ステップ21003では、鍵利用部22が、ステップ21002で取得したCAN−IDがメッセージ認証の対象であるのか否かを判定する。メッセージ認証の対象となる場合はステップ21004に進み、メッセージ認証の対象とならない場合はステップ21006に進む。なお、予めメッセージ認証の対象となるCAN−IDのリストが設定され、図示を省略したメモリ等に記憶されている。
ステップ21004では、鍵利用部22が、利用鍵情報241から送信制御装置20−3の接続されたドメインのドメイン鍵を取得する。ステップ21005では、鍵利用部22が、ステップ21004で取得したドメイン鍵を用いてMACを算出する。
ステップ21006では、メッセージ生成部23が、ステップ21003においてメッセージ認証の対象外となった場合は、ステップ21001で取得した制御パラメータ情報をもとに通信用メッセージを生成する。一方、ステップ21003においてメッセージ認証の対象となった場合は、ステップ21001で取得した制御パラメータ情報と、ステップ21005で算出したMACをもとに、通信用のメッセージを生成する。
ステップ21007では、メッセージ生成部23が、車内通信部21を用いて、ステップ21006で生成したメッセージを車内バス40に送信する。
以上のステップ21001からステップ21007により、送信制御装置20−3は、ドメイン鍵を用いて算出したMACを付与したメッセージを車内バス40に送信できる。
図4は、図2のステップ101からステップ106までの、GW装置10の詳細な処理フローの例を示す図である。ステップ1001では、付け替え処理部12が、受信したメッセージに付与されたCAN−IDを取得する。
ステップ1002では、付け替え処理部12が、MAC付け替え判定情報151を参照し、ステップ1001で取得したCAN−IDと一致するCAN−ID欄1511のCAN−IDに対応するMAC付け替え要否1513欄の情報を取得し、取得したMAC付け替え要否欄1513の情報が「要」の場合はステップ1003に進み、「否」の場合は本処理を終了する。
ステップ1003では、付け替え処理部12が、受信したメッセージが送られてきた車内バス40のドメインすなわち通信元のドメインを取得し、取得したドメインと一致するドメイン欄1521のドメインに対応するドメイン鍵欄1522のドメイン鍵を取得する。
ここで、図1に示した例のように車内通信部14へドメイン1の車内バス40−1、ドメイン2の車内バス40−2、ドメインnの車内バス40−nが独立して接続され、どの接続の車内バス40から受信したかに応じて、受信したメッセージが送られてきた車内バス40のドメインを取得してもよいし、メッセージにドメインを特定する情報が含まれて、その情報からドメインを取得してもよい。
ステップ1004では、付け替え処理部12が、受信したメッセージとステップ1003で取得したドメイン鍵を用いてMACを算出し、受信したメッセージに付与されているMACと算出したMACを比較して検証する。ここで、2つのMACの値が一致した場合は正しく、一致しなかった場合は正しくないとする。
ステップ1005では、付け替え処理部12が、ステップ1004におけるMACの比較の結果、MACが一致して正しかった場合はステップ1007に進み、一致せずにMACが正しくなかった場合はステップ1006に進む。ステップ1006では、付け替え処理部12が、例えばエラーが発生したことを車内バス40経由で各制御装置等に通知し、本処理を終了する。
ステップ1007では、付け替え処理部12が、ステップ1001で取得したCAN−IDと一致するCAN−ID欄1511のCAN−IDに対応する通信関係欄ドメイン1512のドメインを取得する。この通信関係ドメイン欄1512から取得したドメインの中で、ステップ1003で取得した通信元のドメイン以外のドメインを通信先のドメインとして取得する。そして、取得した通信先のドメインと一致するドメイン欄1521のドメインに対応するドメイン鍵1522のドメイン鍵を鍵情報152から取得する。
ステップ1008では、付け替え処理部12が、受信したメッセージとステップ1007で取得した通信先のドメインのドメイン鍵を用いてMACを算出する。ステップ1009では、付け替え処理部12は、受信したメッセージに付与されたMACの代わりに、ステップ1008で算出したMACを付与し、メッセージを再生成する。
ステップ1010では、ルーティング処理部13が、ステップ1009で生成したメッセージをステップ1007で取得した通信先となるドメインの車内バス40に送信する。
ステップ1011では、ルーティング処理部13が、対象となる全ての通信先のドメインに対して、ステップ1009で生成したメッセージを送信した場合は本処理を終了し、対象となる全ての通信先のドメインに対してメッセージを送信できていない場合は、ステップ1008に戻る。
ステップ1011の判定として、例えば、ステップ1007で取得した通信先となるドメインの総数と送信したメッセージ数を管理し、メッセージを送信するたびにメッセージ数をカウントアップし、通信先となるドメインの総数と送信したメッセージ数を比較することで判定してもよい。
以上のステップ1001からステップ1011により、GW装置10はMACの付け替えが必要なメッセージに対して、MACを付け替えた上で、通信先となるドメインにメッセージを転送できる。
図5は、図2のステップ2201からステップ2202までの、受信制御装置20−4の詳細な処理フローの例を示す図である。ステップ22001では、鍵利用部22が、受信したメッセージに付与されたCAN−IDを取得する。
ステップ22002では、鍵利用部22が、ステップ22002で取得したCAN−IDがメッセージ認証の対象であるのか否かを判定する。メッセージ認証の対象となる場合はステップ22003に進み、メッセージ認証の対象とならない場合はステップ22007に進む。なお、予めメッセージ認証の対象となるCAN−IDのリストが設定され、図示を省略したメモリ等に記憶されている。
ステップ22003では、鍵利用部22が、受信制御装置20−4の接続された車内バス40のドメインに該当するドメイン鍵を利用鍵情報241から取得する。ステップ22004では、鍵利用部22が、受信したメッセージとステップ22003で取得したドメイン鍵を用いてMACを算出し、受信したメッセージに付与されたMACと算出したMACを比較して検証する。ここで、MACの値が一致した場合は正しく、一致しなかった場合は正しくないとする。
ステップ22005では、鍵利用部22が、ステップ22004におけるMACの比較の結果、MACが一致して正しかった場合はステップ22007に進み、MACが一致せずに正しくなかった場合はステップ22006に進む。ステップ22006では、鍵利用部22が、例えばエラーが発生したことを車内バス40経由で各制御装置等に通知し、本処理を終了する。ステップ22007では、受信制御装置20−4が、受信したメッセージをもとに走行制御を実施する。
以上のステップ22001からステップ22007により、受信制御装置20−4は、車内バス40を介して受信したメッセージに対してドメイン鍵を用いてMACを検証し、走行制御を実施できる。
以上、実施例1によれば、各制御装置20はドメインごとに共有されるドメイン鍵を管理し、GW装置10は受信したメッセージがMACの付け替え対象であるのか否かを判定し、付け替え対象のメッセージに対してMACの付け替えを行い、通信先のドメインにメッセージを送信することが可能となる。
これにより、ドメイン鍵を管理すればよいので、制御装置20毎に鍵を管理する構成と比較して、管理する鍵数を減らすことができ、鍵の更新負荷も減らすことができる。そして、車載システムのようにGW装置10の処理能力に制限のあるシステムにおいても鍵を管理することが可能になる。また、1つの鍵が漏洩しても車載システムとしての影響を抑えることができる。
なお、実施例1では車載ネットワークを対象にした例を説明したが、これに限定するものではなく、他の制御系システムや情報系システムにおける装置にも適用可能である。
実施例2として、各制御装置がドメインごとに共有されるドメイン鍵に加えて、ドメイン間で共有されるドメイン間鍵も管理し、メッセージに対して、メッセージのID情報に基づいてドメイン鍵、或いはドメイン間鍵を用いて算出したMACを付与し、GW装置は付け替え処理部とMAC付け替え判定情報を用いて受信したメッセージがMACの付け替え対象なのかどうかを判定するとともに、MACの算出に用いた鍵がドメイン鍵なのか、ドメイン間鍵なのかを判定し、ドメイン鍵を用いたメッセージに対してはMACの付け替えを行い、ドメイン間鍵を用いたメッセージに対してはMACの付け替えを行なわず、ルーティング処理部を用いて通信先のドメインにメッセージを送信し、GW装置における処理負荷を低減することを可能とする鍵管理の例を説明する。
車載システムの構成は、制御装置20の利用鍵情報241が利用鍵情報2141であることを除き、実施例1の図1を用いて説明した構成と同じであり、各部の動作が以下で説明するように実施例1とは異なる。
図8は、図3のステップ21003とステップ21005の間に、MACの算出に用いる鍵の種類を判定する送信制御装置20−3の詳細な処理フローの例を示す図である。ステップ21001からステップ21003までの各ステップは、実施例1の図3を用いて説明したステップ21001からステップ21003までの各ステップと同様である。
ステップ21008では、鍵利用部22が、図11を用いて説明する利用鍵情報2141を参照し、ステップ21002で取得したCAN−IDがドメイン鍵の対象であるのか否かを判定し、ドメイン鍵の対象である場合はステップ21004に進み、ドメイン鍵の対象ではない場合はステップ21009に進む。
図11に、ステップ21008で参照される利用鍵情報2141のテーブル構成の例を示す。CAN−ID欄21411は、メッセージを識別する情報を示す。メッセージを識別可能な情報であればCAN−ID以外の情報を用いてもよい。利用鍵欄21412は、CAN−ID欄21411のCAN−IDに応じてMACの生成に用いる鍵情報を示す。ドメイン鍵対象欄21413はCAN−ID欄21411のCAN−IDで識別されるメッセージが、ドメイン鍵の対象であるのか否かを示す。
例えば、ステップ21008において、鍵利用部22は、ステップ21002で取得したCAN−IDと一致するCAN−ID欄21411のCAN−IDに対応するドメイン鍵対象21413の情報を取得し、ドメイン鍵対象21413の情報が「該当」の場合は、MACの生成においてドメイン鍵を利用し、「非該当」の場合は、MACの生成においてドメイン間鍵を利用する。
このため、ステップ21009では、鍵利用部22が、ステップ21002で取得したCAN−IDと一致するCAN−ID欄21411のCAN−IDに対応する利用鍵欄21412のドメイン間鍵を取得する。
ステップ21004からステップ21007までの各ステップは、実施例1の図3を用いて説明したテップ21004からステップ21007までの各ステップと同様である。
以上のステップ21001からステップ21009により、送信制御装置20−3は、メッセージのCAN−IDに応じてドメイン鍵、或いはドメイン間鍵を用いたMACを生成できるようになる。
図9は、図4のステップ1002において、MAC付け替え対象ではないと判定された場合に、ドメイン間鍵の対象メッセージであるのか否かを判定するGW装置10の詳細な処理フローの例を示す図である。ステップ1001、およびステップ1003からステップ1011までの各ステップは、実施例1の図4を用いて説明したステップ1001、およびステップ1003からステップ1011までの各ステップと同様である。
ステップ1002では、付け替え処理部12が、MAC付け替え判定情報151を参照し、ステップ1001で取得したCAN−IDと一致するCAN−ID欄1511のCAN−IDに対応するMAC付け替え要否欄1513の情報を取得し、取得したMAC付け替え要否欄1513の情報が「要」の場合はステップ1003に進み、「否」の場合はステップ1012に進む。
ステップ1012では、付け替え処理部12が、MAC付け替え判定情報151を参照し、ステップ1001で取得したCAN−IDと一致するCAN−ID欄1511のCAN−IDに対応するドメイン間鍵対応欄1514の情報を取得し、取得したドメイン間鍵対応欄1514の情報が「該当」の場合はステップ1013に進み、「非該当」の場合は本処理を終了する。
ステップ1013では、付け替え処理部12が、受信したメッセージが送られてきた車内バス40のドメインすなわち通信元のドメインを取得する。そして、ステップ1001で取得したCAN−IDと一致する通信関係ドメイン欄1512のドメインを取得し、この通信関係ドメイン欄1512から取得したドメインの中で、通信元のドメイン以外のドメインを通信先のドメインとして取得する。
ステップ1014では、ルーティング処理部13が、受信したメッセージをステップ1013で取得した通信先となる全てのドメインの車内バス40に送信する。
以上のステップ1001からステップ1014により、GW装置10は、CAN−IDに応じて、ドメイン鍵を用いたMACが付与されたメッセージのMACを付け替え、ドメイン間鍵を用いたMACが付与されたメッセージのMACを付け替えずに、通信先となるドメインにメッセージを送信できる。MACを付け替えない場合は、GW装置10の処理負荷を低減できる。
図10は、図5のステップ22002とステップ22004の間に、MACの検証に用いる鍵の種類を判定する受信制御装置20−4の詳細な処理フローの例を示す図である。ステップ22001とステップ22002の各ステップは、実施例1の図5を用いて説明したステップ22001とステップ22002の各ステップと同様である。
ステップ22008では、鍵利用部22が、利用鍵情報2141を参照し、ステップ22001で取得したCAN−IDと一致するCAN−ID欄21411のCAN−IDに対応するドメイン鍵対象欄21413の情報を取得し、ドメイン鍵対象欄21413の情報が「該当」の場合は、ステップ22003に進み、「非該当」の場合は、ステップ22009に進む。
ステップ22009では、鍵利用部22が、利用鍵情報2141を参照し、ステップ22001で取得したCAN−IDと一致するCAN−ID欄21411のCAN−IDに対応する利用鍵欄21412のドメイン間鍵を取得する。
ステップ22003からステップ22007までの各ステップは、実施例1の図5を用いて説明したステップ22003からステップ22007までの各ステップと同様である。
以上のステップ22001からステップ22009により、受信制御装置20−4は、CAN−IDに応じてドメイン鍵、或いはドメイン間鍵を用いたMACの検証を実施できるようになる。
以上、実施例2によれば、各制御装置20はドメインごとに共有されるドメイン鍵に加えて、ドメイン間で共有されるドメイン間鍵を管理し、GW装置10はCAN−IDに応じて、ドメイン鍵を用いたMACが付与されたメッセージのMACを付け替え、ドメイン間鍵を用いたMACが付与されたメッセージのMACを付け替えずに、通信先となるドメインにメッセージを送信することで、GW装置10の処理負荷を低減できる。
実施例3として、各制御装置がメッセージに対してナンス(nonce:使い捨て番号)を付与し、GW装置は受信したメッセージに付与されたナンスが正しいかを判定し、通信先のドメインにメッセージを送信し、GW装置における処理負荷を低減することを可能とする鍵管理の例を説明する。車載システムの構成は、実施例1の図1を用いて説明した構成であってもよい。
図12は、図2のステップ2103、ステップ102、ステップ104にナンスの処理を加えたドメイン間通信における概要処理シーケンスの例を示す図である。送信制御装置20−3のステップ2101とステップ2102の各ステップは、実施例1の図2を用いて説明したステップ2101とステップ2102の各ステップと同様である。
ステップ2105では、メッセージ生成部23が、ナンスの値を生成し、メッセージのデータとなる制御パラメータ情報とMACとナンスをもとに、通信用のメッセージを作成する。ここで、メッセージはヘッダや図示を省略したフッタ等を含んでもよい。ステップ2106では、メッセージ生成部23が、車内通信部21を用いてステップ2105で生成したナンスを含むメッセージを車内バス40に送信する。
ナンスの値は、例えば通信のシーケンス番号であってもよいし、乱数等であってもよい。送信制御装置20−3とGW装置10とが同じナンスの値を得るために、ステップ2106より前の任意の時点で送信制御装置20−3とGW装置10がナンスの値を通信してもよいし、送信制御装置20−3とGW装置10とが同じアルゴリズムを実現する生成回路をそれぞれ備え、それぞれの生成回路でナンスの同じ値を生成してもよいし、送信制御装置20−3とGW装置10の同じアルゴリズムを実現する生成回路間でナンスの値を同期する通信を行ってもよい。
GW装置10のステップ101、ステップ103からステップ105の各ステップは、実施例1の図2を用いて説明したステップ101、ステップ103からステップ105の各ステップと同様である。ステップ107では、付け替え処理部12が、ナンスの値を生成し、受信したメッセージのナンスの値と生成したナンスの値を比較し、ナンスの値が一致している場合はステップ103に進み、ナンスの値が一致していない場合は本処理を終了して、エラー処理に移行する。
ステップ108では、ルーティング処理部13が、ステップ104で生成したナンスを含むメッセージを、ステップ105で取得した通信先となるドメインの車内バス40に送信する。この例では、メッセージのフォーマットを統一するためにナンスを含むメッセージとしている。
受信制御装置20−4のステップ2201とステップ2202の各ステップは、実施例1の図2を用いて説明したステップ2201とステップ2202の各ステップと同様である。
なお、ステップ2201ではナンスの値が検証されないため、ステップ108ではメッセージにナンスを含めずに送信してもよい。逆に、受信制御装置20−4もナンスの値を生成し、ステップ2201で鍵利用部22が、MACの値の一致を比較しての検証に加えて、ナンスの値の一致を比較しての検証を行ってもよい。
以上、実施例3によれば、各制御装置20はナンスを付与してメッセージを送信し、GW装置10は受信したメッセージをナンスで検証可能となり、GW装置10の処理負荷を低減できる。
10 GW装置
20 制御装置
30 車両
40 車内バス

Claims (12)

  1. 2以上のドメイン間でメッセージを中継するゲートウェイ装置であって、
    前記2以上のドメインの中の第1のドメインに対応する第1の改ざん検知符号と第1のデータを含む第1のメッセージを前記第1のドメインから受信し、
    前記2以上のドメインの中の第2のドメインに対応する第2の改ざん検知符号と前記第1のデータを含む第2のメッセージを前記第2のドメインへ送信すること
    を特徴とするゲートウェイ装置。
  2. 前記ゲートウェイ装置は、
    さらに、前記2以上のドメインの中の第3のドメインに対応する第3の改ざん検知符号と前記第1のデータを含む第3のメッセージを前記第3のドメインへ送信すること
    を特徴とする請求項1に記載のゲートウェイ装置。
  3. 前記ゲートウェイ装置は、
    前記第1のドメインと前記第2のドメインのそれぞれに対応するドメイン鍵を管理し、
    前記第2のドメインに対応するドメイン鍵と前記第1のデータに基づいて前記第2の改ざん検知符号を生成し、
    前記第1のデータと前記第2の改ざん検知符号を含む前記第2のメッセージを生成し、
    前記第2のメッセージを前記第2のドメインへ送信すること
    を特徴とする請求項1に記載のゲートウェイ装置。
  4. 前記ゲートウェイ装置は、
    前記第1のメッセージに含まれる前記第1のメッセージを識別するID情報に基づいて、前記第2のメッセージを生成するか否かを判定し、
    前記第2のドメインを特定すること
    を特徴とする請求項3に記載のゲートウェイ装置。
  5. 前記ゲートウェイ装置は、
    前記第1のドメインに対応するドメイン鍵と前記第1のデータに基づいて改ざん検知符号を生成し、
    前記第1のメッセージに含まれる前記第1の改ざん検知符号と比較して一致すると判定した場合、前記第2の改ざん検知符号を生成し、前記第2のメッセージを生成し、前記第2のメッセージを送信すること
    を特徴とする請求項4に記載のゲートウェイ装置。
  6. 前記ゲートウェイ装置は、
    使い捨て番号を生成し、
    前記第1のメッセージに含まれる使い捨て番号と比較して一致すると判定した場合、前記第2の改ざん検知符号を生成し、前記第2のメッセージを生成し、前記第2のメッセージを送信すること
    を特徴とする請求項4に記載のゲートウェイ装置。
  7. 前記ゲートウェイ装置は、
    メッセージを識別するID情報に対して送受信される複数のドメインを管理し、
    前記第1のメッセージを識別するID情報に基づいて、前記第1のメッセージの送受信される複数のドメインを特定し、
    前記特定された複数のドメインの中の前記第1のドメインを除くドメインを送信先のドメインとして特定すること
    を特徴とする請求項5に記載のゲートウェイ装置。
  8. 前記ゲートウェイ装置は、
    前記2以上のドメインの中の第4のドメインと前記第1のドメインに共通のドメイン間鍵を管理し、
    前記ID情報に基づいて、前記第2のメッセージを生成しないと判定した場合、前記ドメイン間鍵の対象であると判定すると、前記第1のメッセージを前記第4のドメインへ送信すること
    を特徴とする請求項7に記載のゲートウェイ装置。
  9. 1以上の制御装置を含む1以上の第1のドメインと2以上の制御装置を含む1以上の第2のドメインを含む複数のドメイン間でメッセージを中継し、ドメイン鍵に基づく改ざん検知符号を前記メッセージに付与するゲートウェイ装置へ情報を設定する入力装置であって、
    前記複数のドメインの個数の入力枠を表示し、
    前記入力枠に入力された前記ドメイン鍵を前記ゲートウェイ装置へ設定すること
    を特徴とする入力装置。
  10. 2以上のドメイン間でメッセージを中継し、前記2以上のドメインの中の第1のドメインと前記第2のドメインのそれぞれに対応するドメイン鍵を管理するゲートウェイ装置の制御方法であって、
    前記第1のドメインに対応する第1の改ざん検知符号と第1のデータを含む第1のメッセージを前記第1のドメインから受信し、
    前記第2のドメインに対応する第2の改ざん検知符号と前記第1のデータを含む第2のメッセージを前記第2のドメインへ送信すること
    を特徴とするゲートウェイ装置の制御方法。
  11. 前記第2のメッセージを前記第2のドメインへ送信するために、
    前記第2のドメインに対応するドメイン鍵と前記第1のデータに基づいて前記第2の改ざん検知符号を生成し、
    前記第1のデータと前記第2の改ざん検知符号を含む前記第2のメッセージを生成すること
    を特徴とする請求項10に記載のゲートウェイ装置の制御方法。
  12. 前記第1のメッセージに含まれる前記第1のメッセージを識別するID情報に基づいて、前記第2のメッセージを生成するか否かを判定し、前記第2のドメインを特定すること
    を特徴とする請求項11に記載のゲートウェイ装置の制御方法。
JP2015141509A 2015-07-15 2015-07-15 ゲートウェイ装置およびその制御方法 Active JP6484519B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2015141509A JP6484519B2 (ja) 2015-07-15 2015-07-15 ゲートウェイ装置およびその制御方法
US15/743,691 US10560286B2 (en) 2015-07-15 2016-05-24 Gateway device and control method for the same
CN201680034661.3A CN107710676B (zh) 2015-07-15 2016-05-24 网关装置及其控制方法
EP16824152.9A EP3324574B1 (en) 2015-07-15 2016-05-24 Gateway device and control method therefor
PCT/JP2016/065246 WO2017010172A1 (ja) 2015-07-15 2016-05-24 ゲートウェイ装置およびその制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015141509A JP6484519B2 (ja) 2015-07-15 2015-07-15 ゲートウェイ装置およびその制御方法

Publications (2)

Publication Number Publication Date
JP2017028345A true JP2017028345A (ja) 2017-02-02
JP6484519B2 JP6484519B2 (ja) 2019-03-13

Family

ID=57756901

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015141509A Active JP6484519B2 (ja) 2015-07-15 2015-07-15 ゲートウェイ装置およびその制御方法

Country Status (5)

Country Link
US (1) US10560286B2 (ja)
EP (1) EP3324574B1 (ja)
JP (1) JP6484519B2 (ja)
CN (1) CN107710676B (ja)
WO (1) WO2017010172A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018165951A (ja) * 2017-03-28 2018-10-25 株式会社Kddi総合研究所 セキュリティゲートウェイ装置、方法、及びプログラム
JP2020092318A (ja) * 2018-12-04 2020-06-11 株式会社東芝 中継装置、中継方法及びコンピュータプログラム
JP7328419B2 (ja) 2019-01-09 2023-08-16 国立大学法人東海国立大学機構 車載通信システム、車載通信装置、コンピュータプログラム及び通信方法

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6693368B2 (ja) * 2016-09-21 2020-05-13 株式会社オートネットワーク技術研究所 通信システム、中継装置及び通信方法
DE102016221690A1 (de) * 2016-11-04 2018-05-09 Audi Ag Verfahren zum Übertragen von Datenpaketen zwischen einem Ethernet und einem Bussystem in einem Kraftfahrzeug sowie Gatewayvorrichtung und Kraftfahrzeug
CN108737073B (zh) * 2018-06-22 2021-09-28 北京智芯微电子科技有限公司 分组加密运算中抵抗能量分析攻击的方法和装置
US10922439B2 (en) * 2018-06-29 2021-02-16 Intel Corporation Technologies for verifying memory integrity across multiple memory regions
DE102018220498A1 (de) * 2018-11-28 2020-05-28 Robert Bosch Gmbh Teilnehmerstationen für ein serielles Bussystem und Verfahren zum Übertragen einer Nachricht in einem seriellen Bussystem
CN115378580A (zh) * 2019-07-12 2022-11-22 华为技术有限公司 一种认证方法、设备和系统
US11436342B2 (en) 2019-12-26 2022-09-06 Intel Corporation TDX islands with self-contained scope enabling TDX KeyID scaling

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000062480A2 (en) * 1999-04-13 2000-10-19 Nortel Networks, Inc. Apparatus and method for transmitting messages across different multicast domains
JP2005167942A (ja) * 2003-12-05 2005-06-23 Denso Corp 通信システム及びパケット構造
JP2007013366A (ja) * 2005-06-29 2007-01-18 Sony Corp 通信処理装置、通信処理システム、および方法、並びにコンピュータ・プログラム
JP2007135011A (ja) * 2005-11-10 2007-05-31 Auto Network Gijutsu Kenkyusho:Kk 中継接続ユニットおよび仮想車載lanシステム
JP2012141660A (ja) * 2010-12-28 2012-07-26 Brother Ind Ltd 制御装置及びプログラム
WO2013128317A1 (en) * 2012-03-01 2013-09-06 Nds Limited Anti-replay counter measures
JP2015114907A (ja) * 2013-12-12 2015-06-22 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6041166A (en) * 1995-07-14 2000-03-21 3Com Corp. Virtual network architecture for connectionless LAN backbone
US7400596B1 (en) * 2005-08-17 2008-07-15 Rockwell Collins, Inc. Dynamic, multicast routing using a quality of service manager
JP2007336267A (ja) * 2006-06-15 2007-12-27 Toyota Motor Corp 車載通信システム
US8320567B2 (en) * 2007-01-05 2012-11-27 Cisco Technology, Inc. Efficient data path encapsulation between access point and access switch
CN101594616B (zh) * 2009-07-08 2012-05-23 华为终端有限公司 认证方法、服务器、用户设备及通信系统
JP2013048374A (ja) * 2011-08-29 2013-03-07 Toyota Motor Corp 保護通信方法
KR101356476B1 (ko) * 2012-01-13 2014-01-29 고려대학교 산학협력단 차량용 데이터의 인증 및 획득 방법
JP2014141154A (ja) 2013-01-23 2014-08-07 Denso Corp 車両の暗号キー登録装置
JP2014183395A (ja) 2013-03-18 2014-09-29 Hitachi Automotive Systems Ltd 車載ネットワークシステム
JP5954236B2 (ja) * 2013-03-28 2016-07-20 日立金属株式会社 ネットワーク中継装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000062480A2 (en) * 1999-04-13 2000-10-19 Nortel Networks, Inc. Apparatus and method for transmitting messages across different multicast domains
JP2005167942A (ja) * 2003-12-05 2005-06-23 Denso Corp 通信システム及びパケット構造
JP2007013366A (ja) * 2005-06-29 2007-01-18 Sony Corp 通信処理装置、通信処理システム、および方法、並びにコンピュータ・プログラム
JP2007135011A (ja) * 2005-11-10 2007-05-31 Auto Network Gijutsu Kenkyusho:Kk 中継接続ユニットおよび仮想車載lanシステム
JP2012141660A (ja) * 2010-12-28 2012-07-26 Brother Ind Ltd 制御装置及びプログラム
WO2013128317A1 (en) * 2012-03-01 2013-09-06 Nds Limited Anti-replay counter measures
JP2015114907A (ja) * 2013-12-12 2015-06-22 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018165951A (ja) * 2017-03-28 2018-10-25 株式会社Kddi総合研究所 セキュリティゲートウェイ装置、方法、及びプログラム
JP2020092318A (ja) * 2018-12-04 2020-06-11 株式会社東芝 中継装置、中継方法及びコンピュータプログラム
JP7328419B2 (ja) 2019-01-09 2023-08-16 国立大学法人東海国立大学機構 車載通信システム、車載通信装置、コンピュータプログラム及び通信方法

Also Published As

Publication number Publication date
US10560286B2 (en) 2020-02-11
JP6484519B2 (ja) 2019-03-13
WO2017010172A1 (ja) 2017-01-19
EP3324574A1 (en) 2018-05-23
US20180205576A1 (en) 2018-07-19
EP3324574A4 (en) 2019-01-23
CN107710676A (zh) 2018-02-16
EP3324574B1 (en) 2020-07-08
CN107710676B (zh) 2021-03-23

Similar Documents

Publication Publication Date Title
JP6484519B2 (ja) ゲートウェイ装置およびその制御方法
CN106664311B (zh) 支持异构电子设备之间差异化的安全通信
CN106576096B (zh) 用于对具有不等能力的设备的认证的装置、方法及介质
CN107784223B (zh) 用于将证书传输到设备中的仪器的计算机装置
US11804967B2 (en) Systems and methods for verifying a route taken by a communication
US9544300B2 (en) Method and system for providing device-specific operator data for an automation device in an automation installation
KR20170045120A (ko) 차량의 보안 통신을 위한 방법
EP2859700A1 (en) Using neighbor discovery to create trust information for other applications
CN109428715B (zh) 数据接收设备、数据传输系统和密钥生成设备
CN113016201B (zh) 密钥供应方法以及相关产品
JP2017091360A (ja) データ配布装置、通信システム、移動体およびデータ配布方法
JP2017121091A (ja) Ecu、及び車用ネットワーク装置
CN107836095A (zh) 用于在网络中产生秘密或秘钥的方法
US11228602B2 (en) In-vehicle network system
US20160323266A1 (en) Method, management apparatus and device for certificate-based authentication of communication partners in a device
JP2014123816A (ja) 通信システム、通信装置及び通信方法
JP6730578B2 (ja) 監視方法および監視システム
JP2011525765A (ja) セキュアデバイスに関連付けられるルータ
CN107624229A (zh) 用于在网络中产生机密或密钥的方法
JP2020113852A (ja) 車載通信システム、車載通信制御装置、車載通信装置、コンピュータプログラム、通信制御方法及び通信方法
US20220231997A1 (en) Setting device, communication system, and vehicle communication management method
JP6615721B2 (ja) 通信システム、受信装置、受信方法およびプログラム
CN117353904A (zh) 信息处理方法、节点及计算机可读存储介质
KR20220135899A (ko) 차량의 전자 제어 장치, 게이트웨이 장치 및 이들을 포함하는 차량
WO2017065100A1 (ja) 車載通信システム及び監視装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171212

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180710

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180830

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190205

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190218

R150 Certificate of patent or registration of utility model

Ref document number: 6484519

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250