JP2017169017A - 車両用通信網装置及び通信方法 - Google Patents

車両用通信網装置及び通信方法 Download PDF

Info

Publication number
JP2017169017A
JP2017169017A JP2016052026A JP2016052026A JP2017169017A JP 2017169017 A JP2017169017 A JP 2017169017A JP 2016052026 A JP2016052026 A JP 2016052026A JP 2016052026 A JP2016052026 A JP 2016052026A JP 2017169017 A JP2017169017 A JP 2017169017A
Authority
JP
Japan
Prior art keywords
information
common key
encrypted data
encryption algorithm
communication network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016052026A
Other languages
English (en)
Other versions
JP6681755B2 (ja
Inventor
和慶 脇田
Kazuyoshi Wakita
和慶 脇田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honda Motor Co Ltd
Original Assignee
Honda Motor Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honda Motor Co Ltd filed Critical Honda Motor Co Ltd
Priority to JP2016052026A priority Critical patent/JP6681755B2/ja
Publication of JP2017169017A publication Critical patent/JP2017169017A/ja
Application granted granted Critical
Publication of JP6681755B2 publication Critical patent/JP6681755B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】データの利用効率を上げつつ、共通鍵の漏洩を回避した通信を確立することができる車両用通信網装置及び通信方法を提供する。【解決手段】第1装置12は、第1情報D1を第1共通鍵K1により暗号化して第1暗号化データを生成し、第2装置14に送信する。第2装置14は、受信した第1暗号化データを、第1情報D1を基に復号化して第2共通鍵K2を生成する。第2装置は、第2情報D2を第2共通鍵K2により暗号化して第2暗号化データを生成し、第1装置12に送信する。第1装置12は、受信した第2暗号化データを、第2情報D2を基に復号化して第3共通鍵K3を生成し、第3共通鍵K3が第1共通鍵K1と一致するかを検証する。第3共通鍵K3と第1共通鍵K1とが一致する場合に、第1共通鍵K1と第2共通鍵K2を基に暗号化通信を開始する。【選択図】図5

Description

本発明は、車両用通信網装置に関し、例えば車体内に設置された複数のECU(電子制御装置)間の信号(パケットを含む)の送受信を監視制御する車両用通信網装置及び通信方法に関する。
従来の車両用通信網装置は、例えばオプション装置に対して車載ネットワークより受信した情報の数値情報を変換し送信するゲートウェイ装置(特許文献1参照)や、通信方式やプロトコルに依存せず、送信パケットのデータを変換する通信ソフトを有する制御装置(特許文献2参照)がある。その他、アプリケーションの共通化のために、固有IDに対して共通IDへ変換するルーター部を設けたソフトウェア構造等も提案されている(特許文献3参照)。
また、従来は、通信の信頼性を保証するために、秘密鍵や公開鍵を用いたり、共通鍵に所定のMAC値を付加して真正性を検証する従来技術が多数存在している。中には、送信する装置を特定するための個別の情報を付加したり、暗号化されたデータから認証情報を作成し付加したり、データをパケット化して再構築するために、煩雑な処理を用いて実施する装置が多数存在している。また、装置の改竄防止を目的として、一般的に使用されている公開鍵の認証方法を用いる方法もある(特許文献4〜6参照)。
特許第5589721号公報 特許第3692820号公報 特許第5692013号公報 特許第5310761号公報 特許第5569401号公報 特許第5732626号公報
ところで、車両用通信網装置では、中継装置を介した装置間の送受信を考慮した送信先装置の故障時や、ネットワーク上の障害による中継装置の受信異常時に対応することができていない。また、各種暗号化通信の従来技術では、共通鍵を予め送受信する装置間で管理する必要があった。また、接続される制御装置が正しいか否かを確認する場合に、装置内のROM上のデータから装置特有の情報、例えば制御装置の正当性を検証するためにのみ用いるデータを、制御装置の数だけ新たに設定し、一致するか否かを照合する必要があった。
本発明は、このような課題を考慮してなされたものであり、データの利用効率を上げつつ、共通鍵の漏洩を回避した通信を確立することができる車両用通信網装置及び通信方法を提供することを目的とする。
[1] 第1の本発明に係る車両用通信網装置は、第1装置と、該第1装置とバスで接続された少なくとも1つの第2装置とを有する車両用通信網装置であって、前記第1装置及び前記第2装置は、互いに共通した、第1情報、第2情報及び暗号化アルゴリズムを保有する。
前記第1装置は、保有する前記第1情報を第1共通鍵により、前記暗号化アルゴリズムによって暗号化して第1暗号化データを生成する手段と、生成した前記第1暗号化データを前記第2装置に送信する手段とを有する。前記第2装置は、受信した前記第1装置からの前記第1暗号化データを、保有する前記第1情報を基に、前記暗号化アルゴリズムの逆演算を行って、第2共通鍵を生成する手段と、保有する前記第2情報を、生成した前記第2共通鍵により前記暗号化アルゴリズムによって暗号化して第2暗号化データを生成する手段と、生成した前記第2暗号化データを前記第1装置に送信する手段とを有する。
前記第1装置は、さらに、受信した前記第2暗号化データを、保有する前記第2情報を基に前記暗号化アルゴリズムの逆演算を行って第3共通鍵を生成する手段と、生成した前記第3共通鍵が、保有する前記第1共通鍵と一致するかを検証する手段とを有する。
そして、前記第1装置と前記第2装置は、前記第3共通鍵と前記第1共通鍵とが一致する場合に、前記第1共通鍵と前記第2共通鍵を基に暗号化通信を開始することを特徴とする。
このように、第1の本発明に係る車両用通信網装置は、第1装置と第2装置間で利用する共通鍵を通信上で交換する必要がないため、不正アクチュエータに対する耐性を向上させることができる。これは、通信の秘匿性と信頼性の向上につながる。
[2] 第2の本発明に係る車両用通信網装置は、第1装置と、該第1装置とバスで接続された少なくとも1つの第2装置とを有する車両用通信網装置であって、前記第1装置及び前記第2装置は、互いに共通した、第2情報及び暗号化アルゴリズムを保有する。
前記第1装置は、保有する前記第2情報を、保有する第1共通鍵により、前記暗号化アルゴリズムによって暗号化して第3暗号化データを生成する手段を有する。前記第2装置は、保有する前記第2情報を、保有する第2共通鍵により前記暗号化アルゴリズムによって暗号化して第4暗号化データを生成する手段と、生成した前記第4暗号化データを前記第1装置に送信する手段とを有する。
前記第1装置は、さらに、受信した前記第4暗号化データが、保有する前記第3暗号化データと一致するかを検証する手段を有する。
前記第1装置と前記第2装置は、前記第4暗号化データと前記第3暗号化データとが一致する場合に、前記第1共通鍵と前記第2共通鍵を基に暗号化通信を開始することを特徴とする。
このように、第2の本発明に係る車両用通信網装置は、第1装置と第2装置間で利用する共通鍵を通信上で交換する必要がないため、不正アクチュエータに対する耐性を向上させることができる。これは、通信の秘匿性と信頼性の向上につながる。また、検証のための処理を簡略化することができる。
[3] 第1の本発明において、前記第1情報及び前記第2情報は、車両で使用される制御データで兼用してもよい。すなわち、第1情報及び第2情報としては、第2装置の正当性を検証するためにのみ用いるデータではなく、例えば第2装置での制御で使用されるエンジン回転数の初期値やしきい値、あるいは代替値等の制御データである。
第1情報及び第2情報として、第2装置の正当性を検証するためにのみ用いるデータを用いた場合、データ設定に手間がかかることと、第2装置の数が多くなると、それだけ管理するデータ量が多くなり、車両用通信網装置の設計や保守が煩雑になるという問題がある。一方、第1の本発明では、第1情報及び第2情報として、第2装置での制御で使用されるエンジン回転数の初期値やしきい値、あるいは代替値等の制御データを兼用するようにしたので、データの利用効率を向上させることができ、しかも、管理するデータ量が増加することもないため、車両用通信網装置の設計や保守が容易になる。
[4] 第1の本発明において、前記第1情報及び前記第2情報は、前記第1装置の起動毎に変化させるようにしてもよい。さらなる通信の秘匿性と信頼性の向上を図ることができる。
[5] この場合、前記第1装置は、前記暗号化通信が開始された後、次回の前記第1装置の起動によって変化する前記第1情報及び前記第2情報の情報を、事前に前記第2装置に転送する手段を有してもよい。
これによって、第1装置での第1情報及び第2情報の組と、第2装置での第1情報及び第2情報の組を対応させることができ、第2装置が正常であったとしても、無効として判断される、ということがなくなり、正当性の検証の信頼性を向上させることができる。
[6] 第2の本発明に係る通信方法は、第1装置と、該第1装置とバスで接続された少なくとも1つの第2装置との通信方法であって、前記第1装置及び前記第2装置は、互いに共通した、第1情報、第2情報及び暗号化アルゴリズムを保有し、前記第1装置と前記第2装置とは、以下のステップにより、共通鍵を用いた暗号化通信を確立させることを特徴とする。
第1ステップ:前記第1装置は、前記第1情報を第1共通鍵により前記暗号化アルゴリズムによって暗号化して第1暗号化データを生成し、当該第1暗号化データを前記第2装置に送信する。
第2ステップ:前記第2装置は、受信した前記第1暗号化データを、保有する前記第1情報を基に前記暗号化アルゴリズムの逆演算を行って、第2共通鍵を生成する。
第3ステップ:前記第2装置は、保有する前記第2情報を前記第2共通鍵により前記暗号化アルゴリズムによって暗号化して第2暗号化データを生成し、当該第2暗号化データを前記第1装置に送信する。
第4ステップ:前記第1装置は、受信した前記第2暗号化データを、保有する前記第2情報を基に前記暗号化アルゴリズムの逆演算を行って、第3共通鍵を生成する。
第5ステップ:前記第1装置は、前記第3共通鍵が、保有する前記第1共通鍵と一致するかを検証する。
第6ステップ:前記第3共通鍵と前記第1共通鍵とが一致する場合に、前記第1装置と前記第2装置は、前記第1共通鍵と前記第2共通鍵を基に暗号化通信を開始する。
このように、第1の本発明に係る通信方法は、第1装置と第2装置間で利用する共通鍵を通信上で交換する必要がないため、不正アクチュエータに対する耐性を向上させることができる。これは、通信の秘匿性と信頼性の向上につながる。
[7] 第2の本発明において、前記第1情報及び前記第2情報は、車両で使用される制御データで兼用してもよい。これにより、データの利用効率を向上させることができ、しかも、管理するデータ量が増加することもないため、車両用通信網装置の設計や保守が容易になる。
本発明に係る車両用通信網装置及び通信方法によれば、データの利用効率を上げつつ、共通鍵の漏洩を回避した通信を確立することができる。
本実施の形態に係る車両用通信網装置を示す構成図である。 第1装置の構成を示す機能ブロック図である。 図3Aは一時IDテーブルの一例を示す説明図であり、図3Bは情報テーブルの一例を示す説明図であり、図3Cは共通鍵テーブルの一例を示す説明図である。 第2装置の構成を示す機能ブロック図である。 第1装置における共通鍵の検証処理の一例を示す動作概念図である。 第1装置の起動時における初期化処理を示すフローチャートである。 第2装置でのコネクションフレームに対する応答処理を示すフローチャートである。 第1装置での応答フレームに対する処理を示すフローチャート(その1)である。 第1装置での応答フレームに対する処理を示すフローチャート(その2)である。 図10A〜図10Cは車両のイグニッションをオンにした段階から、第1装置と3つの第2装置との信号のやりとりの一例を示すタイムチャートである。 第1装置における共通鍵の検証処理の他の例を示す動作概念図である。
以下、本発明に係る車両用通信網装置及び通信方法の実施の形態例を図1〜図11を参照しながら説明する。
本実施の形態に係る車両用通信網装置10は、図1に示すように、第1装置12と、第1装置12とバスで接続された複数の第2装置14(第2装置14A、14B、14C)とを有する。ここでは、説明を簡単にするために、3つの第2装置14A、14B及び14Cを例に説明を行う。なお、以下の説明では、第2装置14A、14B及び14Cを総括していう場合は第2装置14と記す。
第1装置12は、図示しないが、中央処理装置(CPU)と、入出力装置と、各種記憶装置(主メモリ、不揮発性メモリ等)と、これら装置間を接続するバス等を有する。CPUは、記憶装置に格納されたプログラム及びデータを用いる。
第1装置12は、3つの第2装置間の通信を中継及び監視する中継装置として機能する。
各第2装置14もそれぞれ上述した第1装置12と同様に、図示しない中央処理装置(CPU)と、入出力装置と、各種記憶装置と、これら装置間を接続するバス等を有する。CPUは、記憶装置に格納されたプログラム及びデータを用いる。また、各第2装置14は、図4に示すように、2つのタイマを有する。1つは応答待ちタイマ16aで、他の1つはコネクションフレーム待ちタイマ16bである。各タイマ16a及び16bは、第1装置12の制御によって初期化された時点でクロック信号を計数して計時を開始する。
各第2装置14は、例えば車両内に設置され、車両の各部(アクチュエータ等)を制御する電子制御装置(以下、「ECU」ともいう)として機能する。ECUとしては、例えばエンジンECU、電動パワーステアリングシステムECU(以下「EPS−ECU」という)、レーンキープアシストECU(以下「LKAS−ECU」という)、車両挙動安定化制御システムECU(以下「VSA−ECU」という)等を含むことができる。
エンジンECUは、図示しないエンジンの出力を制御する。EPS−ECUは、図示しない電動パワーステアリングシステムを制御する。LKAS−ECUは、図示しないレーンキープアシストシステムの制御を行う。VSA−ECUは、図示しない制動装置を用いて車体を安定化させる制御を行う。
そして、第1装置12は、図2に示すように、例えば不揮発性メモリ18に記憶されたIDテーブル20と、同じく不揮発性メモリ18に記憶されたインデックスデータ22(出荷時の初期値「0」)と、起動時に主メモリに読み出されたIDテーブル(以下、一時IDテーブル24という)と、起動時に主メモリに読み出されたインデックスデータ(以下、カレントインデックス26という)と、暗号通信設定部28と、コネクションフレーム処理部30と、応答フレーム受信部32と、第3共通鍵生成部34と、共通鍵検証部36と、通信無効処理部38と、通常フレーム処理部40と、次回情報設定部42と、転送フレーム処理部44と、待ち時間初期化部46とを有する。
一時IDテーブル24は、図3Aに示すように、各レコードに第2装置のIDと有効/無効ビットが登録されている。
有効/無効ビットは、「0」であれば、対応するIDの第2装置14が有効、すなわち、正当性が検証された第2装置14であることを示し、「1」であれば、対応するIDの第2装置14が無効、すなわち、通信処理を行わない第2装置14であることを示す。
暗号通信設定部28は、情報テーブル48と、共通鍵テーブル50と、インデックス更新部52と、情報設定部54と、共通鍵設定部56とを有する。
情報テーブル48は、図3Bに示すように、各レコードにそれぞれ異なった第1情報と第2情報の組み合わせが登録されている。図3Bでは、3つの第2装置14A、14B及び14Cに対応して3つのレコード1、2及び3を示している。レコード1には第1情報D11及び第2情報D21が登録され、レコード2には第1情報D12及び第2情報D22が登録され、レコード3には第1情報D13及び第2情報D23が登録されている。なお、以下の説明では、第1情報D11、D12及びD13を総括していう場合は第1情報D1と記し、第2情報D21、D22及びD23を総括していう場合は、第2情報D2と記す。
第1情報D1及び第2情報D2としては、第2装置14の正当性を検証するためにのみ用いるデータではなく、例えば第2装置14(各種ECU)での制御で使用されるエンジン回転数の初期値やしきい値、あるいは代替値等の制御データである。
第1情報D1及び第2情報D2として、第2装置14の正当性を検証するためにのみ用いるデータを用いた場合、データ設定に手間がかかることと、第2装置14の数が多くなると、それだけ管理するデータ量が多くなり、車両用通信網装置10の設計や保守が煩雑になるという問題がある。一方、本実施の形態では、第1情報D1及び第2情報D2として、第2装置14(各種ECU)での制御で使用されるエンジン回転数の初期値やしきい値、あるいは代替値等の制御データを兼用するようにしたので、データの利用効率を向上させることができ、しかも、管理するデータ量が増加することもないため、車両用通信網装置10の設計や保守が容易になる。
共通鍵テーブル50は、図3Cに示すように、各レコードにそれぞれ異なった第1共通鍵K11、K12及びK13が登録されている。なお、第1共通鍵K11、K12及びK13を総括して言う場合は第1共通鍵K1と記す。
インデックス更新部52は、第1装置12の起動毎に情報テーブル48、共通鍵テーブル50のアクセス用インデックスである上述したカレントインデックス26を+1更新する。カレントインデックス26が情報テーブル48のレコード数+1となった段階で、該カレントインデックス26を「1」に戻す。すなわち、情報テーブル48をあたかもリングバッファのように取り扱う。これは、共通鍵テーブル50についても同様である。更新後のカレントインデックス26は、不揮発性メモリ18内のインデックスデータ22に上書きされる。
情報設定部54は、各第2装置14について3組の第1情報D1及び第2情報D2から1組の第1情報D1及び第2情報D2を選択し、設定する。
すなわち、情報設定部54は、例えば第2装置14A用として、情報テーブルの第1情報D1及び第2情報D2のうち、カレントインデックス26(=第1インデックス)に対応するレコードの第1情報D1及び第2情報D2を選択する。カレントインデックス26、すなわち、第1インデックスの値が「1」であれば、レコード1の第1情報D11及び第2情報D21が選択される。
同様に、例えば第2装置14B用として、情報テーブル48の第1情報D1及び第2情報D2のうち、第1インデックス+1(=第2インデックス)に対応するレコードの第1情報D1及び第2情報D2を選択する。但し、インデックス更新部52は、第2インデックスが情報テーブル48のレコード数+1となった段階で、第2インデックスを1にする。第1インデックスの値が「1」であれば、第2インデックスが「2」となり、レコード2の第1情報D12及び第2情報D22が選択される。
同様に、例えば第2装置14C用として、情報テーブル48の第1情報D1及び第2情報D2のうち、第2インデックス+1(=第3インデックス)に対応するレコードの第1情報D1及び第2情報D2を選択する。この場合も、インデックス更新部52は、第3インデックスが情報テーブル48のレコード数+1となった段階で、第3インデックスを1にする。第2インデックスの値が「2」であれば、第3インデックスが「3」となり、レコード3の第1情報D13及び第2情報D23が選択される。
共通鍵設定部56は、各第2装置14について3つの第1共通鍵K1から1つの第1共通鍵K1を選択し、設定する。
すなわち、共通鍵設定部56は、例えば第2装置14A用として、共通鍵テーブル50の第1共通鍵K1のうち、第1インデックスに対応するレコードの第1共通鍵K1(例えばK11)を選択する。
同様に、例えば第2装置14B用として、共通鍵テーブル50の第1共通鍵K1のうち、第2インデックスに対応するレコードの共通鍵K1(例えばK12)を選択する。
同様に、例えば第2装置14C用として、共通鍵テーブル50の第1共通鍵K1のうち、第3インデックスに対応するレコードの共通鍵K1(例えばK13)を選択する。
コネクションフレーム処理部30は、ID設定、暗号化データ設定、コネクションフレーム送信、コネクションフレーム再送、通信切断処理等を行う。コネクションフレームFcは、図5に示すように、主にIDと暗号化データEd1にて構成されている。
ID設定は、コネクションフレームFcの例えば先頭に各種IDを設定する。具体的には、少なくとも送信元ID(第1装置のID)と、送信先ID(送信先の第2装置のID)と、フレームID(コネクションフレームFcであることを示すID)を設定する。
暗号化データ設定は、選択された第1情報D1を、設定された第1共通鍵K1により暗号化アルゴリズムによって暗号化して暗号化データEd1を作成し、コネクションフレームFcに設定する。暗号化アルゴリズムとしては、例えば乗算等が挙げられる。
コネクションフレーム送信は、作成したコネクションフレームFcを送信先IDに対応する第2装置14に送信する。
コネクションフレーム再送は、応答待ちタイマ16aが所定時間を経過した第2装置14に対してコネクションフレームFcを再送する。このとき、各第2装置14に対応して設定された再送カウンタのうち、コネクションフレームFcを再送した再送カウンタの値を+1更新する。
通信切断処理は、再送カウンタが所定値以上となった段階で、送信先IDに対応する第2装置14の通信切断を確定する。すなわち、一時IDテーブル24のうち、送信先IDに対応するレコードの有効/無効ビットを「1」にして、その後の送信先IDに対応する第2装置14との通信を遮断する。これは、当該第2装置14が故障している、あるいは、ネットワーク上の障害による中継装置の受信異常があるとして、通信を遮断する。このとき、運転者に知らせるべく、アラーム(音声や表示)を出力するようにしてもよい。
一方、応答フレーム受信部32は、送信先IDに対応する第2装置14からの応答フレームFa(図5参照)を受信する。
第3共通鍵生成部34は、送信先IDに対応する第2装置14からの応答フレームFaに登録された暗号化データEd2を、保有する第2情報(情報設定部54にて設定した第1情報D1及び第2情報D2のうちの第2情報D2)を基に暗号化アルゴリズムの逆演算を行って、第3共通鍵K3を生成する。暗号化アルゴリズムの逆演算としては、例えば除算等が挙げられる。
共通鍵検証部36は、共通鍵設定部56にて設定された第1共通鍵K1と、第3共通鍵生成部34にて生成された第3共通鍵K3とが一致するか否かを判別する。一致した場合、送信先IDに対応する第2装置14の正当性が検証されることになる。
通信無効処理部38は、一時IDテーブル24のうち、受信した応答フレームFaの送信元IDに対応するレコードの有効/無効ビットを「1」にして、その後の送信元IDに対応する第2装置14との通信を遮断する。これは、例えば当該第2装置14が情報セキュリティ上のなりすまし等によって制御不能等になっているものとして、通信を遮断する。この場合も、運転者に知らせるべく、アラーム(音声や表示)を出力するようにしてもよい。
通常フレーム処理部40は、第1装置12を複数の第2装置14間の中継装置として機能させ、正当性が検証された第2装置14との通常の通信を行う処理部であって、通常フレーム受信と通常フレーム送信を行う。
通常フレーム受信は、正当性が検証された第2装置14(送信元)からの通常フレームFn(図示せず)を受信し、受信した通常フレームFnの暗号化データを、送信元の第2装置14に対応する第1共通鍵K1を使用して復号化する。
通常フレーム送信は、先ず、受信した通常フレームFnに登録された送信先IDを読み出す。受信した通常フレームFnの復号化データを、送信先IDの第2装置14に対応する第1共通鍵K1を用いて暗号化して暗号化データにする。その後、送信元IDと、送信先IDと、暗号化データを有する通常フレームFnを作成して、送信先の第2装置14に送信する。通常フレームFnを受信した第2装置14では、通常フレームFnの暗号化データを、保有する第2共通鍵K2を使用して復号化して復号化データにする。当該第2装置14では、復号化データの内容に応じた各種制御を行う。
次回情報設定部42は、各第2装置14について3組の第1情報D1及び第2情報D2から、次回の1組の第1情報D1及び第2情報D2を選択し、設定する。
すなわち、次回情報設定部42は、例えば第2装置14A用として、情報テーブル48の第1情報D1及び第2情報D2のうち、第1インデックス+1(=カレントインデックス+1=第1次回インデックス)に対応するレコードの第1情報D1及び第2情報D2を選択する。但し、インデックス更新部52は、第1次回インデックスが情報テーブル48のレコード数+1となった段階で、第1次回インデックスを1にする。第1インデックスの値が「1」であれば、第1次回インデックスが「2」となり、レコード2の第1情報D12及び第2情報D22が選択される。
同様に、例えば第2装置14B用として、情報テーブル48の第1情報D1及び第2情報D2のうち、第1次回インデックス+1(=第2次回インデックス)に対応するレコードの第1情報D1及び第2情報D2を選択する。但し、インデックス更新部52は、第2次回インデックスが情報テーブル48のレコード数+1となった段階で、第2次回インデックスを1にする。第1次回インデックスの値が「2」であれば、第2次回インデックスが「3」となり、レコード3の第1情報D13及び第2情報D23が選択される。
同様に、例えば第2装置14C用として、情報テーブル48の第1情報D1及び第2情報D2のうち、第2次回インデックス+1(=第3次回インデックス)に対応するレコードの第1情報D1及び第2情報D2を選択する。この場合も、カレントインデックス更新部は、第3次回インデックスが情報テーブル48のレコード数+1となった段階で、第3次回インデックスを1にする。第2次回インデックスの値が「3」であれば、第3次回インデックスが「1」となり、レコード1の第1情報D11及び第2情報D21が選択される。
転送フレーム処理部44は、次回の暗号通信設定のために、予め各第2装置14に次回の第1情報D1及び第2情報D2を転送する。これは以下の理由による。すなわち、情報テーブル48に対するアクセスが固定、例えば第2装置14Aと情報テーブル48の第1レコードが対応し、同様に、第2装置14Bと情報テーブル48の第2レコードが対応する形式であれば、第2装置14Aからの第2情報D2と、情報テーブル48の第1レコードの第2情報D2とが常時対応することになる。
しかし、本実施の形態では、情報テーブル48内の第1情報D1及び第2情報D2の組を、第1装置12が起動する毎に、リングバッファ形式でアクセスするため、第1情報D1及び第2情報D2は、3つの第2装置14に対して固定となっていない。そのため、第2装置14Aに対応して例えば情報テーブル48の第2レコードの第2情報D2を対応させた場合、通常であれば、正当性の検証ができず、第2装置14Aが正常であったとしても、無効として判断されるおそれがある。
そこで、本実施の形態では、出荷後の最初の正当性の検証が済んだ第2装置14に対して、コネクションフレームFcを送る前に、事前に、次回の検証に使用する第1情報D1及び第2情報D2を転送する。これによって、第1装置12での第1情報D1及び第2情報D2の組と、第2装置14での第1情報D1及び第2情報D2の組を対応させることができ、第2装置14が正常であったとしても、無効として判断される、ということがなくなり、正当性の検証の信頼性を向上させることができる。しかも、起動毎に、各第2装置14に対する第1情報D1及び第2情報D2が変化するため、不正アクチュエータに対する耐性を向上させることができる。
転送フレーム処理部44は、先ず、正当性が検証された第2装置14に、次回の第1情報D1を転送する。すなわち、次回の第1情報D1を、第2装置14に対応する第1共通鍵K1にて暗号化して暗号化データとする。そして、この暗号化データと、送信元ID(第1装置12のID)と、送信先ID(送信先の第2装置14のID)と、フレームID(第1転送フレームFt1(図示せず)を示すID)とを含む第1転送フレームFt1を作成して、送信先IDに対応する第2装置14に送信する。
同様に、正当性が検証された第2装置14に、次回の第2情報D2を転送する。すなわち、次回の第2情報D2を、第2装置14に対応する第1共通鍵K1にて暗号化して暗号化データとする。そして、この暗号化データと、送信元ID(第1装置12のID)と、送信先ID(送信先の第2装置14のID)と、フレームID(第2転送フレームFt2(図示せず)を示すID)とを含む第2転送フレームFt2を作成して、送信先IDに対応する第2装置14に送信する。
待ち時間初期化部46は、第1装置12の起動時に、各第2装置14の応答待ちタイマ16a及びコネクションフレーム待ちタイマ16bを初期化する。
一方、第2装置14は、図4に示すように、コネクションフレーム受信処理部60と、第2共通鍵生成部62と、応答処理部64と、通常フレーム受信処理部66と、転送フレーム受信処理部68と、第1情報更新部70Aと、第2情報更新部70Bと、通信切断処理部72と、カレント第1情報格納領域74aと、カレント第2情報格納領域74bと、次回第1情報格納領域76aと、次回第2情報格納領域76bとを有する。
コネクションフレーム受信処理部60は、受信したフレームのフレームIDがコネクションフレームFcを示す場合に動作し、第2共通鍵生成部62、応答処理部64を起動する。
第2共通鍵生成部62は、図5に示すように、コネクションフレームFcの暗号化データEd1を、保有する第1情報D1(カレント第1情報格納領域74aに格納されている第1情報D1)を基に暗号化アルゴリズムの逆演算を行って、第2共通鍵K2を生成する。
応答処理部64は、ID設定、暗号化データ設定、応答フレーム送信を行う。
ID設定は、応答フレームFaの例えば先頭に各種IDを設定する。具体的には、少なくとも送信元ID(当該第2装置14のID)と、送信先ID(第1装置12のID)と、フレームID(応答フレームFaであることを示すID)を設定する。
暗号化データ設定は、保有する第2情報D2(カレント第2情報格納領域74bに格納されている第2情報D2)を、生成した第2共通鍵K2により暗号化アルゴリズムによって暗号化して暗号化データEd1を作成し、応答フレームFaに登録する。
応答フレーム送信は、作成した応答フレームFaを送信先である第1装置12に送信する。
通常フレーム受信処理部66は、受信したフレームのフレームIDが通常フレームFnを示す場合に動作し、通常フレームFnの暗号化データを第2共通鍵K2を使用して復号化して送信データ(別の第2装置14からの制御データ等)を復元する。当該第2装置14は、復元した送信データに基づいて各種制御を行う。
通信切断処理部72は、コネクションフレーム待ちタイマ16bの値(時間)が所定時間を経過しても第1装置12からのコネクションフレームFcが送信されてこない場合に、第1装置12との通信を切断する。
カレント第1情報格納領域74aは、出荷時には初期値「0」が格納される。第2装置14の起動毎に次回第1情報格納領域76aの第1情報D1が格納される。
カレント第2情報格納領域74bは、出荷時には初期値「0」が格納される。第2装置14の起動毎に次回第2情報格納領域76bの第2情報D2が格納される。
次回第1情報格納領域76aは、出荷時に、第1装置D1の情報テーブル48のうち、第1レコードの第1情報D11が登録される。当該第2装置14の起動毎であって、且つ、第2装置14が有効(正当性が検証された第2装置14)である場合に、第1装置12から転送される次回の第1情報D1(復号化データ)が格納される。
次回第2情報格納領域76bは、出荷時に、第1装置12の情報テーブル48のうち、第1レコードの第2情報D21が登録される。当該第2装置14の起動毎であって、且つ、第2装置14が有効(正当性が検証された第2装置14)である場合に、第1装置12から転送される次回の第2情報D2(復号化データ)が格納される。
転送フレーム受信処理部68は、受信したフレームのフレームIDが第1転送フレームFt1又は第2転送フレームFt2を示す場合に動作し、第1情報処理及び第2情報処理を行う。
第1情報処理は、第1転送フレームFt1に登録された暗号化データを第2共通鍵K2を使用して復号化して第1情報D1に復元し、復元した第1情報D1を次回第1情報格納領域76aに格納する。
第2情報処理は、第2転送フレームFt2に登録された暗号化データを第2共通鍵K2を使用して復号化して第2情報D2に復元し、復元した第2情報D2を次回第2情報格納領域76bに格納する。
第1情報更新部70Aは、当該第2装置14の起動毎に、次回第1情報格納領域76a内の第1情報D1をカレント第1情報格納領域74aに格納する。
第2情報更新部70Bは、当該第2装置14の起動毎に、次回第2情報格納領域76b内の第2情報D2をカレント第2情報格納領域74bに格納する。
次に、本実施の形態に係る車両用通信網装置10の処理動作を図5の動作説明図並びに図6〜図9のフローチャートを参照しながら説明する。
最初に、第1装置12の起動時における初期化処理について図5及び図6を参照しながら説明する。
先ず、図6のステップS1において、第1装置12は、不揮発性メモリ18に記憶されたIDテーブル20及びインデックスデータ22を主メモリに読み出して一時IDテーブル24及びカレントインデックス26とする。
ステップS2において、インデックス更新部52は、カレントインデックス26を+1更新する。更新後のカレントインデックス26の値が情報テーブル48のレコード数を超えた場合は、カレントインデックス26の値を「1」にする。
ステップS3において、インデックス更新部52は、更新後のカレントインデックス26を不揮発性メモリ18内のインデックスデータ22に上書きする。
ステップS4において、第2装置14の指定用カウンタmに初期値「1」を格納し、各種テーブルのレコード指定用カウンタnにカレントインデックス26の値を格納する。
ステップS5において、暗号通信設定部28は、m番目の第2装置14に対する第1情報D1及び第1共通鍵K1の設定を行う。すなわち、情報設定部54は、情報テーブル48のnレコードから第1情報D1を読み出す。共通鍵設定部56は、共通鍵テーブル50のnレコードから第1共通鍵K1を読み出す。
ステップS6において、コネクションフレーム処理部30は、コネクションフレームFcを作成し、送信する。
すなわち、コネクションフレーム処理部30は、ID設定と暗号化データ設定を行う。図5に示すように、ID設定では、コネクションフレームFcの例えば先頭に各種IDを設定する。例えば送信元ID(第1装置12のID)と、送信先ID(送信先であるm番目の第2装置14のID)と、フレームID(コネクションフレームFcであることを示すID)を設定する。
暗号化データ設定では、読み出された第1情報D1を、読み出された第1共通鍵K1により暗号化アルゴリズムによって暗号化して暗号化データEd1を作成し、コネクションフレームFcに設定する。
その後、コネクションフレーム処理部30は、作成したコネクションフレームFcをm番目の第2装置14に向けて送信する。
ステップS7において、カウンタnの値を+1更新する。
ステップS8において、更新後のカウンタnの値が情報テーブル48のレコード数を超えているか否かを判別する。超えていれば、ステップS9に進み、更新後のカウンタnの値を1にする。
ステップS10において、カウンタmの値を+1更新する。
ステップS11において、更新後のカウンタmの値が第2装置14の数を超えている否かを判別する。超えていなければ、ステップS5以降の処理を繰り返す。
上記ステップS11において、カウンタmの値が第2装置14の数を超えていると判別された場合は、ステップS12に進み、待ち時間初期化部46は、各第2装置14の応答待ちタイマの値を初期化する。これによって、各第2装置14での応答待ちタイマ16aが計時を開始する。
ステップS13において、待ち時間初期化部46は、各第2装置14のコネクションフレーム待ちタイマ16bの値を初期化する。これによって、各第2装置14でのコネクションフレーム待ちタイマが計時を開始する。
次に、第2装置14での処理動作、特に、コネクションフレームFcに対する応答処理について図5及び図7を参照しながら説明する。
先ず、図7のステップS101において、コネクションフレーム受信処理部60は、第1装置12からのコネクションフレームFcの到来を待つ。受信したフレームのフレームIDがコネクションフレームFcを示す場合に、第2共通鍵生成部62及び応答処理部64を起動する。
ステップS102において、第2共通鍵生成部62は、図5にも示すように、受信したコネクションフレームFcの暗号化データEd1を、保有する第1情報D1を基に暗号化アルゴリズムの逆演算(復号化)を行って、第2共通鍵K2を生成する。
ステップS103〜S105において、応答処理部64は、応答フレームFaの作成及び送信を行う。
すなわち、ステップS103において、応答処理部64はID設定を行う。ID設定は、応答フレームFaの例えば先頭に、少なくとも送信元ID(当該第2装置14のID)と、送信先ID(第1装置12のID)と、フレームID(応答フレームFaであることを示すID)を設定する。
ステップS104において、応答処理部64は暗号化データ設定を行う。暗号化データ設定は、保有する第2情報D2を、生成した第2共通鍵K2により暗号化アルゴリズムによって暗号化して暗号化データEd1を作成し、応答フレームFaに登録する。
ステップS105において、応答処理部64は、作成した応答フレームFaを送信先である第1装置12に送信する。
上記ステップS101において、コネクションフレームFcの受信がないと判別された場合は、ステップS106に進み、通信切断処理部は、コネクションフレーム待ち時間が所定時間経過したか否かを判別する。所定時間が経過していれば、すなわち、コネクションフレーム待ち時間が所定時間を経過しても第1装置12からのコネクションフレームFcが送信されて来ない場合は、ステップS107に進み、第1装置12との通信を切断する。
次に、第1装置12での応答フレームFaに対する処理について図5、図8及び図9を参照しながら説明する。
先ず、図8のステップS201において、応答数のカウンタkに初期値「0」を格納する。
ステップS202において、応答フレーム受信部32は、第2装置14からの応答フレームの到来を待つ。受信したフレームのフレームIDが応答フレームFaを示す場合に、ステップS203に進み、カウンタkを+1更新する。第3共通鍵生成部34等を起動する。
ステップS204において、第3共通鍵生成部34は、図5に示すように、送信先IDに対応する第2装置14からの応答フレームFaに登録された暗号化データEd1を、保有する第2情報D2(情報設定部54にて設定した第1情報D1及び第2情報D2のうちの第2情報D2)を基に暗号化アルゴリズムの逆演算を行って、第3共通鍵K3を生成する。
ステップS205において、共通鍵検証部36は、保有する第1共通鍵K1(共通鍵設定部56にて設定した第1共通鍵K1)と生成した第3共通鍵K3とが一致するか否かを判別する。
一致する場合は、ステップS206において、第1装置12は、正当性が検証された第2装置14に対する通常フレームFnの送受信や、転送フレームの送信等を許可する。
一致しない場合は、ステップS207に進み、通信無効処理部38は、一時IDテーブル24のうち、受信した応答フレームFaの送信元IDに対応するレコードの有効/無効ビットを「1」にして、その後の送信元IDに対応する第2装置14との通信を遮断する。
上記ステップS202において、応答フレームFaの到来がないと判別された場合は、図9のステップS208に進み、待ち時間初期化部46は、応答待ちタイマ16aの値(応答待ち時間)が所定時間経過したか否かを判別する。所定時間経過していれば、ステップS209に進み、コネクションフレーム処理部30は、応答フレームの送信がない第2装置14に対して、コネクションフレームFcを再送する。
その後、ステップS210において、待ち時間初期化部46は、コネクションフレームFcの再送対象の第2装置14の応答待ちタイマ16aを初期化する。これによって、再度、応答時間の計時が開始される。
ステップS211において、コネクションフレームFcを再送した第2装置14の再送カウンタの値を+1更新する。
上記ステップS208において、応答待ちタイマ16aの値(時間)が所定時間経過していないと判別した場合は、次のステップS212に進み、再送カウンタが所定回数以上の第2装置14が存在するか否かを判別する。存在している場合は、次のステップS213に進み、通信無効処理部38は、再送カウンタが所定回数以上となった第2装置14の通信切断を確定する。すなわち、一時IDテーブル24のうち、送信先IDに対応するレコードの有効/無効ビットを「1」にして、その後の送信先IDに対応する第2装置14との通信を遮断する。すなわち、該当する第2装置14を無効にする。
ステップS214において、カウンタkの値にステップS213において無効化された第2装置14の数を加算する。
その後、図8のステップS215において、全ての第2装置14について応答処理が終了したか否かを判別する。この判別は、カウンタkの値が第2装置14の全数以上であるかどうかで行われる。
全ての第2装置14について応答処理が終了していなければ、ステップS202に戻り、該ステップS202以降の処理を繰り返す。全ての第2装置14について応答処理が終了した段階で、この応答処理を終了する。
次に、車両のイグニッションをオンにした段階から、第1装置12と3つの第2装置14A〜14Cとの信号のやりとりの一例を図10A〜図10Cを参照しながら説明する。
先ず、例えば図10Aに示すように、第1装置12よりも第2装置14Aが早く起動した場合を想定すると、起動した第1装置12から第2装置14Aに対してコネクションフレームFcが送信される。
その後、第2装置14Aから応答フレームFaが第1装置12に送信され、検証の結果、第2装置14Aが正常と判定される。その後、第2装置14Aから第1装置12に通常フレームFnの送信が行われ、その間に、第1装置12から第2装置14Aへの第1転送フレームFt1の送信と第2フレームFt2の送信が行われる。
第2装置14Aにおいて、第1転送フレームFt1及び第2転送フレームFt2が受信されることで、その後の正当性の検証において無効として判断されることがなくなる。
次に、図10Bに示すように、第1装置12が第2装置14Bよりも早く起動した場合を想定すると、起動した第1装置12から第2装置14Bに対してコネクションフレームFcが送信される。しかし、第2装置14Bがまだ起動していないため、応答フレームFaは送信されない。当該第2装置14Bに対応する応答待ちタイマ16aが所定時間経過した段階でも応答フレームFaが送信されない場合は、第1装置12からコネクションフレームFcが再送される。
その後、第2装置14Bから応答フレームFaが第1装置12に送信され、検証の結果、第2装置14Bが正常と判定される。その後、第2装置14Bから第1装置12に通常フレームFnの送信が行われ、その間に、第1装置12から第2装置14Bへの第1転送フレームFt1の送信と第2転送フレームFt2の送信が行われる。これにより、第2装置14Bにおいて、第1転送フレームFt1及び第2転送フレームFt2が受信されることで、その後の正当性の検証において無効として判断されることがなくなる。
次に、第2装置14Cとの通信を切断する例について、図10Cを参照しながら説明する。一例として、第1装置12が第2装置14Bよりも早く起動した場合を想定する。先ず、起動した第1装置12から第2装置14Cに対してコネクションフレームFcが送信される。しかし、第2装置14Cがまだ起動していないため、応答フレームFaは送信されない。当該第2装置14Cに対応する応答待ちタイマ16aが所定時間経過した段階でも応答フレームFaが送信されない場合は、第1装置12からコネクションフレームFcが再送される。
それでも、応答フレームFaが送信されない場合は、第1装置12は、所定時間が経過する毎に、コネクションフレームFcを第2装置14に再送する。再送回数が所定回数以上となった段階で、第2装置14Cに対する通信を切断する。
このように、本実施の形態に係る車両用通信網装置10は、第1装置12と第2装置14間で利用する共通鍵を通信上で交換する必要がないため、不正アクチュエータに対する耐性を向上させることができる。これは、通信の秘匿性と信頼性の向上につながる。しかも、第1装置12の起動毎に、各第2装置14に対する第1情報D1及び第2情報D2が変化するため、さらなる通信の秘匿性と信頼性の向上を図ることができる。
また、第1情報D1及び第2情報D2として、第2装置14(各種ECU)での制御で使用されるエンジン回転数の初期値やしきい値、あるいは代替値等の制御データを兼用するようにしたので、データの利用効率を向上させることができ、しかも、管理するデータ量が増加することもないため、車両用通信網装置10の設計や保守が容易になる。
また、出荷後の最初の正当性の検証が済んだ第2装置14に対して、コネクションフレームFcを送る前に、事前に、次回の検証に使用する第1情報D1及び第2情報D2を転送するようにしている。これによって、第1装置12での第1情報D1及び第2情報D2の組と、第2装置14での第1情報D1及び第2情報D2の組を対応させることができ、第2装置14が正常であったとしても、無効として判断される、ということがなくなり、正当性の検証の信頼性を向上させることができる。
また、応答待ちタイマ16aやコネクションフレーム待ちタイマ16bを監視し、また、コネクションフレームFcの再送回数を監視することで、情報セキュリティ上のなりすまし等によって制御不能等に陥っている第2装置14、あるいは、故障状態や通信途絶状態にある第2装置14の早期検出につながり、車両の安全性を高めることもできる。
上述の例では、第1装置12において、受信した暗号化データEd1を、保有する第2情報D2を基に暗号化アルゴリズムの逆演算を行って第3共通鍵K3を生成し、生成した第3共通鍵K3が、保有する第1共通鍵K1と一致するかを検証したが、その他、図11に示すように、他の手法によって共通鍵の検証を行ってもよい。
すなわち、第1装置12は、保有する第2情報D2を、保有する第1共通鍵K1により、暗号化アルゴリズムによって暗号化して暗号化データEd3を生成する。第2装置14は、保有する第2情報D2を、保有する第2共通鍵K2により暗号化アルゴリズムによって暗号化して暗号化データEd4を生成し、生成した第4暗号化データEd4を第1装置12に送信する。そして、第1装置12は、受信した暗号化データEd4が、保有する暗号化データEd3と一致するかを検証する。
第1装置12と第2装置14は、暗号化データEd4と暗号化データEd3とが一致する場合に、第1共通鍵K1と第2共通鍵K2を基に暗号化通信を開始する。この場合、第3共通鍵K3を生成する必要がないため、検証のための処理を簡略化することができる。
本発明は上記した実施形態に限らず、本発明の要旨を逸脱することなく、種々の構成を採り得ることは当然可能である。
上述では、第1装置と3つの第2装置との通信を想定したが、第1装置と1つの第2装置との通信や、第1装置と4つ以上の第2装置との通信も実行することができることはもちろんである。第2装置の数が多くなっても、情報テーブルをリングバッファ形式でアクセスすることで、起動毎に第1情報及び第2情報を変化させるようにしているため、第2装置の数に応じて情報テーブルのレコード数や情報テーブルの数を増やす必要がなく、データの利用効率をさらに向上させることができる。
10…車両用通信網装置 12…第1装置
14、14A、14B、14C…第2装置 22…インデックスデータ
24…一時IDテーブル 28…暗号通信設定部
30…コネクションフレーム処理部 32…応答フレーム処理部
34…第3共通鍵生成部 36…共通鍵検証部
38…通信無効処理部 40…通常フレーム処理部
42…次回情報設定部 44…転送フレーム処理部
46…待ち時間初期化部 48…情報テーブル
50…共通鍵テーブル 52…インデックス更新部
54…情報設定部 56…共通鍵設定部
60…コネクションフレーム受信処理部 62…第2共通鍵生成部
64…応答処理部 66…通常フレーム受信処理部
68…転送フレーム受信処理部 70A…第1情報更新部
70B…第2情報更新部 72…通信切断処理部

Claims (7)

  1. 第1装置と、該第1装置とバスで接続された少なくとも1つの第2装置とを有する車両用通信網装置であって、
    前記第1装置及び前記第2装置は、互いに共通した、第1情報、第2情報及び暗号化アルゴリズムを保有し、
    前記第1装置は、
    保有する前記第1情報を第1共通鍵により、前記暗号化アルゴリズムによって暗号化して第1暗号化データを生成する手段と、
    生成した前記第1暗号化データを前記第2装置に送信する手段とを有し、
    前記第2装置は、
    受信した前記第1装置からの前記第1暗号化データを、保有する前記第1情報を基に、前記暗号化アルゴリズムの逆演算を行って、第2共通鍵を生成する手段と、
    保有する前記第2情報を、生成した前記第2共通鍵により前記暗号化アルゴリズムによって暗号化して第2暗号化データを生成する手段と、
    生成した前記第2暗号化データを前記第1装置に送信する手段とを有し、
    前記第1装置は、さらに、
    受信した前記第2暗号化データを、保有する前記第2情報を基に前記暗号化アルゴリズムの逆演算を行って第3共通鍵を生成する手段と、
    生成した前記第3共通鍵が、保有する前記第1共通鍵と一致するかを検証する手段とを有し、
    前記第1装置と前記第2装置は、前記第3共通鍵と前記第1共通鍵とが一致する場合に、前記第1共通鍵と前記第2共通鍵を基に暗号化通信を開始することを特徴とする車両用通信網装置。
  2. 第1装置と、該第1装置とバスで接続された少なくとも1つの第2装置とを有する車両用通信網装置であって、
    前記第1装置及び前記第2装置は、互いに共通した、第2情報及び暗号化アルゴリズムを保有し、
    前記第1装置は、
    保有する前記第2情報を、保有する第1共通鍵により、前記暗号化アルゴリズムによって暗号化して第3暗号化データを生成する手段を有し、
    前記第2装置は、
    保有する前記第2情報を、保有する第2共通鍵により前記暗号化アルゴリズムによって暗号化して第4暗号化データを生成する手段と、
    生成した前記第4暗号化データを前記第1装置に送信する手段とを有し、
    前記第1装置は、さらに、
    受信した前記第4暗号化データが、前記第3暗号化データと一致するかを検証する手段を有し、
    前記第1装置と前記第2装置は、前記第4暗号化データと前記第3暗号化データとが一致する場合に、前記第1共通鍵と前記第2共通鍵を基に暗号化通信を開始することを特徴とする車両用通信網装置。
  3. 請求項1又は2記載の車両用通信網装置において、
    前記第1情報及び前記第2情報は、車両で使用される制御データで兼用していることを特徴とする車両用通信網装置。
  4. 請求項1〜3のいずれか1項に記載の車両用通信網装置において、
    前記第1情報及び前記第2情報は、前記第1装置の起動毎に変化することを特徴とする車両用通信網装置。
  5. 請求項4記載の車両用通信網装置において、
    前記第1装置は、
    前記暗号化通信が開始された後、次回の前記第1装置の起動によって変化する前記第1情報及び前記第2情報の情報を、事前に前記第2装置に転送する手段を有することを特徴とする車両用通信網装置。
  6. 第1装置と、該第1装置とバスで接続された少なくとも1つの第2装置との通信方法であって、
    前記第1装置及び前記第2装置は、互いに共通した、第1情報、第2情報及び暗号化アルゴリズムを保有し、
    前記第1装置と前記第2装置とは、以下のステップにより、共通鍵を用いた暗号化通信を確立させることを特徴とする通信方法。
    第1ステップ:前記第1装置は、前記第1情報を第1共通鍵により前記暗号化アルゴリズムによって暗号化して第1暗号化データを生成し、当該第1暗号化データを前記第2装置に送信する。
    第2ステップ:前記第2装置は、受信した前記第1暗号化データを、保有する前記第1情報を基に前記暗号化アルゴリズムの逆演算を行って、第2共通鍵を生成する。
    第3ステップ:前記第2装置は、保有する前記第2情報を前記第2共通鍵により前記暗号化アルゴリズムによって暗号化して第2暗号化データを生成し、当該第2暗号化データを前記第1装置に送信する。
    第4ステップ:前記第1装置は、受信した前記第2暗号化データを、保有する前記第2情報を基に前記暗号化アルゴリズムの逆演算を行って、第3共通鍵を生成する。
    第5ステップ:前記第1装置は、前記第3共通鍵が、保有する前記第1共通鍵と一致するかを検証する。
    第6ステップ:前記第3共通鍵と前記第1共通鍵とが一致する場合に、前記第1装置と前記第2装置は、前記第1共通鍵と前記第2共通鍵を基に暗号化通信を開始する。
  7. 請求項6記載の通信方法において、
    前記第1情報及び前記第2情報は、車両で使用される制御データで兼用していることを特徴とする通信方法。
JP2016052026A 2016-03-16 2016-03-16 車両用通信網装置及び通信方法 Expired - Fee Related JP6681755B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016052026A JP6681755B2 (ja) 2016-03-16 2016-03-16 車両用通信網装置及び通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016052026A JP6681755B2 (ja) 2016-03-16 2016-03-16 車両用通信網装置及び通信方法

Publications (2)

Publication Number Publication Date
JP2017169017A true JP2017169017A (ja) 2017-09-21
JP6681755B2 JP6681755B2 (ja) 2020-04-15

Family

ID=59909162

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016052026A Expired - Fee Related JP6681755B2 (ja) 2016-03-16 2016-03-16 車両用通信網装置及び通信方法

Country Status (1)

Country Link
JP (1) JP6681755B2 (ja)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS63146630A (ja) * 1986-12-10 1988-06-18 Fujitsu Ltd 暗号装置間の公開鍵交換方式
JPH0231290A (ja) * 1988-07-21 1990-02-01 Matsushita Electric Ind Co Ltd Icカード装置
JP2002009760A (ja) * 2000-06-16 2002-01-11 Nova Science Kk 情報暗号化伝送方法およびその装置
JP2009296059A (ja) * 2008-06-02 2009-12-17 Tokai Rika Co Ltd 認証システム
JP2012067489A (ja) * 2010-09-22 2012-04-05 Tokai Rika Co Ltd 車両の電子キーシステム

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS63146630A (ja) * 1986-12-10 1988-06-18 Fujitsu Ltd 暗号装置間の公開鍵交換方式
JPH0231290A (ja) * 1988-07-21 1990-02-01 Matsushita Electric Ind Co Ltd Icカード装置
JP2002009760A (ja) * 2000-06-16 2002-01-11 Nova Science Kk 情報暗号化伝送方法およびその装置
JP2009296059A (ja) * 2008-06-02 2009-12-17 Tokai Rika Co Ltd 認証システム
JP2012067489A (ja) * 2010-09-22 2012-04-05 Tokai Rika Co Ltd 車両の電子キーシステム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
中野 将志 ほか: "サイドチャネル攻撃対策AES暗号とPUF技術を用いた車載向け耐タンパ認証システムの設計と実装", 電子情報通信学会技術研究報告, vol. 第113巻,第497号, JPN6016048028, 8 March 2014 (2014-03-08), JP, pages 139 - 144, ISSN: 0004233344 *

Also Published As

Publication number Publication date
JP6681755B2 (ja) 2020-04-15

Similar Documents

Publication Publication Date Title
CN107846395B (zh) 确保车载总线上的通信安全的方法、系统、介质和车辆
CN106576096B (zh) 用于对具有不等能力的设备的认证的装置、方法及介质
JP5783103B2 (ja) 車両用データ通信システム及び車両用データ通信装置
JP5770602B2 (ja) 通信システムにおけるメッセージ認証方法および通信システム
JP2021106401A (ja) ネットワークトラフィックのセキュア通信
US20220276855A1 (en) Method and apparatus for processing upgrade package of vehicle
US10812261B2 (en) Vehicle system and key distribution method
US20130219170A1 (en) Data communication authentication system for vehicle gateway apparatus for vehicle data communication system for vehicle and data communication apparatus for vehicle
US8577036B2 (en) Method and device for transmitting messages in real time
WO2018043386A1 (ja) 車両情報収集システム、車載コンピュータ、車両情報収集装置、車両情報収集方法、及びコンピュータプログラム
WO2018070242A1 (ja) 車載ゲートウェイ、鍵管理装置
KR102450811B1 (ko) 차량 내부 네트워크의 키 관리 시스템
EP2454899A1 (en) Method for securely broadcasting sensitive data in a wireless network
KR101269086B1 (ko) 차량용 데이터의 인증 및 획득 방법 및 시스템
JP2006019975A (ja) 暗号パケット通信システム、これに備えられる受信装置、送信装置、及びこれらに適用される暗号パケット通信方法、受信方法、送信方法、受信プログラム、送信プログラム
JP2018121220A (ja) 車載ネットワークシステム
JP2023519059A (ja) ネットワークのセキュリティ手段を高めるネットワーク上におけるデータ交換のための方法およびシステムおよびその種のシステムを包含する乗り物
JP6203798B2 (ja) 車載制御システム、車両、管理装置、車載コンピュータ、データ共有方法、及びコンピュータプログラム
US11336657B2 (en) Securing communication within a communication network using multiple security functions
JP6681755B2 (ja) 車両用通信網装置及び通信方法
JP4774684B2 (ja) 通信システム、暗号化/復号中継装置、及び通信制御装置
JP6454614B2 (ja) 車載システム、その制御装置および制御方法
CN112740726B (zh) 一种数据传输方法及装置
JP2019125837A (ja) ネットワークシステム
CN107104868B (zh) 一种车载网络加密通信方法及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181127

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190918

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191001

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191126

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200317

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200324

R150 Certificate of patent or registration of utility model

Ref document number: 6681755

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees