JP2018050183A - 通信システム、中継装置、通信装置及び通信方法 - Google Patents

通信システム、中継装置、通信装置及び通信方法 Download PDF

Info

Publication number
JP2018050183A
JP2018050183A JP2016184503A JP2016184503A JP2018050183A JP 2018050183 A JP2018050183 A JP 2018050183A JP 2016184503 A JP2016184503 A JP 2016184503A JP 2016184503 A JP2016184503 A JP 2016184503A JP 2018050183 A JP2018050183 A JP 2018050183A
Authority
JP
Japan
Prior art keywords
message
shared information
update
communication
received
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016184503A
Other languages
English (en)
Other versions
JP2018050183A5 (ja
JP6693368B2 (ja
Inventor
友洋 水谷
Tomohiro Mizutani
友洋 水谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Original Assignee
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Wiring Systems Ltd, AutoNetworks Technologies Ltd, Sumitomo Electric Industries Ltd filed Critical Sumitomo Wiring Systems Ltd
Priority to JP2016184503A priority Critical patent/JP6693368B2/ja
Priority to US16/335,179 priority patent/US20190349389A1/en
Priority to DE112017004752.8T priority patent/DE112017004752T5/de
Priority to PCT/JP2017/032072 priority patent/WO2018056054A1/ja
Priority to CN201780053753.0A priority patent/CN109661797B/zh
Publication of JP2018050183A publication Critical patent/JP2018050183A/ja
Publication of JP2018050183A5 publication Critical patent/JP2018050183A5/ja
Application granted granted Critical
Publication of JP6693368B2 publication Critical patent/JP6693368B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/568Storing data temporarily at an intermediate stage, e.g. caching
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • H04L9/16Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms the keys or algorithms being changed during operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Abstract

【課題】値が変化し得る共有情報を用いたメッセージの送受信を可能とする通信システム、中継装置、通信装置及び通信方法を提供する。【解決手段】一又は複数の通信装置が接続された複数の通信線の間の通信を中継装置が中継する。通信装置及び中継装置は、共有情報を記憶し、共有情報を用いたメッセージを生成し、生成したメッセージを他の装置へ送信すると共に、他の装置からのメッセージを受信し、共有情報に基づいて受信したメッセージの正否を判定する。通信装置及び中継装置のうちの少なくとも1つの装置は、共有情報を更新させる更新命令を他の装置へ送信する。通信装置及び中継装置は、更新命令を受信した場合に、記憶した共有情報を更新する。通信装置又は中継装置は、共有情報の更新から所定期間が経過するまでの間、更新前の共有情報を用いて生成されたメッセージを受信した場合に、このメッセージを正当なメッセージと判定する。【選択図】図4

Description

本発明は、複数の通信線間の通信を中継装置が中継する構成の通信システム、中継装置、通信装置及び通信方法に関する。
近年、例えば車両に搭載されたネットワークにおいて、不正な通信装置の接続又は正規の通信装置の乗っ取り等によってネットワークに対する不正なメッセージ送信が行われることを防止するための対応策として、メッセージ認証子(MAC:Message Authentication Code)を用いたメッセージ送受信を行うことが提案されている。ただしMACは、正規の通信装置が共有する暗号鍵と送信する情報とから生成され、暗号鍵と送信情報との組み合わせが同じ場合には同じ値となる。このためMACを用いる方法では、過去にネットワーク上を送受信された正規のメッセージを取得し、取得したメッセージを再送する再送攻撃に対して効果がなかった。
メッセージの再送攻撃に対して、例えば定期的に変化する情報などをMAC生成の演算に組み込むことによって、過去の正規メッセージを無効化する対応策がとり得る。ただしこの対応策を実現するためには、ネットワーク中の複数の通信装置が定期的に変化する情報を共有する必要があり、複数の通信装置が共有情報を同期して変化させる必要がある。
特許文献1には、ネットワーク中の各通信装置が、チェック値を用いてMACを生成してこのMACを含むメッセージを送信し、受信したメッセージに含まれるMACから再生した再生値とチェック値との比較によりメッセージの正否を判定する通信システムが記載されている。特許文献1に記載の通信システムでは、チェック値の更新を指示する内容を含むメッセージに基づいて、各通信装置のチェック値が同期される。
国際公開番号WO2013/175633
特許文献1に記載の通信装置にて行われる特定のメッセージを用いたチェック値の同期方法は、メッセージを送受信する複数の通信装置が1つの共通の通信線に接続された構成の通信システムにおいては問題なく運用され得る。しかしながら、複数の通信線がゲートウェイ又はルータ等の中継装置を介して接続され、各通信線に接続された通信線が非同期にメッセージの送受信を行う構成の通信システムにおいては、チェック値を同期させるメッセージの中継に遅延又は衝突等が発生することによって、一時的に同期にズレが生じる虞がある。
本発明は、斯かる事情に鑑みてなされたものであって、その目的とするところは、複数の通信線間の通信が中継装置にて中継される構成において、値が変化し得る共有情報を用いたメッセージの送受信を可能とする通信システム、中継装置、通信装置及び通信方法を提供することにある。
本発明に係る通信システムは、一又は複数の通信装置が通信線に接続され、複数の前記通信線の間の通信を中継装置が中継する通信システムにおいて、前記通信装置及び前記中継装置は、共有情報を記憶する記憶部と、前記共有情報を用いたメッセージを生成するメッセージ生成部と、前記メッセージ生成部が生成したメッセージを他の装置へ送信するメッセージ送信部と、他の装置からのメッセージを受信するメッセージ受信部と、前記共有情報に基づいて前記メッセージ受信部が受信したメッセージの正否を判定する判定部とをそれぞれ有し、前記通信装置及び前記中継装置のうちの少なくとも1つの装置は、前記共有情報を更新させる更新命令を他の装置へ送信する更新命令送信部を有し、前記通信装置及び前記中継装置は、前記更新命令を受信した場合に、前記記憶部に記憶された共有情報を更新する更新部を更に有し、前記通信装置又は前記中継装置は、前記共有情報の更新から所定期間が経過するまでの間、更新前の共有情報を用いて生成されたメッセージを受信した場合に、該メッセージを前記判定部が正当なメッセージと判定することを特徴とする。
また、本発明に係る通信システムは、前記中継装置が、前記共有情報の更新から所定期間が経過するまでの間、更新前の共有情報を用いて生成されたメッセージを受信した場合に、該メッセージを更新後の共有情報を用いたメッセージに修正するメッセージ修正部を有し、前記メッセージ修正部が修正したメッセージを中継することを特徴とする。
また、本発明に係る通信システムは、前記メッセージ生成部が生成するメッセージには、前記共有情報の更新状態を示す更新状態情報を含み、前記判定部は、前記共有情報及び受信したメッセージに含まれる更新状態情報に基づいてメッセージの正否を判定することを特徴とする。
また、本発明に係る通信システムは、前記更新状態情報が、前記更新命令に応じて値が所定の規則で変化する情報であることを特徴とする。
また、本発明に係る通信システムは、前記更新状態情報が、前記更新命令に応じて値が反転するトグルビットであることを特徴とする。
また、本発明に係る通信システムは、前記メッセージ生成部が生成するメッセージには、前記共有情報と前記メッセージに含まれる情報とに基づいて生成されたメッセージ認証子を含み、前記判定部は、受信したメッセージに含まれる情報及びメッセージ認証子と、記憶部に記憶された前記共有情報とに基づいて前記メッセージの正否を判定することを特徴とする。
また、本発明に係る中継装置は、それぞれに一又は複数の通信装置が接続された複数の通信線間の通信を中継する中継装置において、前記通信装置との間で共有する共有情報を記憶する記憶部と、前記共有情報を用いて生成されたメッセージを前記通信装置から受信するメッセージ受信部と、前記共有情報に基づいて前記メッセージ受信部が受信したメッセージの正否を判定する判定部と、前記記憶部に記憶された共有情報を更新する更新部と、前記共有情報の更新から所定期間が経過するまでの間、更新前の共有情報を用いて生成されたメッセージを受信した場合に、該メッセージを更新後の共有情報を用いたメッセージに修正するメッセージ修正部とを備えることを特徴とする。
また、本発明に係る通信装置は、少なくとも中継装置が接続された通信線に接続され、前記通信線及び前記中継装置を介して通信を行う通信装置において、前記中継装置との間で共有する共有情報を記憶する記憶部と、前記共有情報を用いたメッセージを生成するメッセージ生成部と、前記メッセージ生成部が生成したメッセージを他の装置へ送信するメッセージ送信部と、他の装置からのメッセージを受信するメッセージ受信部と、前記共有情報に基づいて前記メッセージ受信部が受信したメッセージの正否を判定する判定部と、他の装置から送信される前記共有情報の更新命令を受信した場合に、前記記憶部に記憶された共有情報を更新する更新部とを有し、前記共有情報の更新から所定期間が経過するまでの間、更新前の共有情報を用いて生成されたメッセージを受信した場合に、該メッセージを前記判定部が正当なメッセージと判定することを特徴とする。
また、本発明に係る通信方法は、通信線に一又は複数の通信装置が接続され、複数の前記通信線が接続された中継装置が前記通信線間の通信を中継する通信方法において、前記通信装置及び前記中継装置が、共有情報を記憶し、前記共有情報を用いたメッセージを生成して他の装置へ送信し、他の装置から受信したメッセージの正否を前記共有情報に基づいて判定し、前記通信装置及び前記中継装置のうちの少なくとも1つの装置が、前記共有情報を更新させる更新命令を他の装置へ送信し、前記通信装置及び前記中継装置が、前記更新命令を受信した場合に前記共有情報を更新し、前記通信装置又は前記中継装置が、前記共有情報の更新から所定期間が経過するまでの間、更新前の共有情報を用いて生成されたメッセージを受信した場合に、該メッセージを正当なメッセージと判定することを特徴とする。
本発明において通信システムは、一つの通信線に一又は複数の通信装置が接続され、このような複数の通信線が中継装置に接続されて、中継装置が通信線間の通信を中継する構成である。各通信線にて行われる通信のプロトコルは、必ずしも同じプロトコルでなくてよく、異なるプロトコル間の通信を中継装置が変換して中継してよい。また、複数の中継装置が更に上位の中継装置に接続される階層的なシステム構成が採用されてもよい。
通信システムに含まれる通信装置及び中継装置は、共有情報を記憶しており、他の装置へのメッセージの生成及び送信と、他の装置から受信したメッセージの正否判定とを、記憶した共有情報を用いて行う。通信装置及び中継装置が記憶する共有情報は可変であり、通信システムに含まれる通信装置及び中継装置のうちの少なくとも1つの装置が送信する更新命令によって更新される。即ち、1つの装置が送信した更新命令がネットワークを伝わって通信装置及び中継装置にて受信され、更新命令を受信した通信装置及び中継装置が自身の記憶する共有情報を更新する。なお共有情報の更新は、例えば1秒、1分、1時間、1日又は1週間等の所定周期で行ってもよく、また例えば通信システムが車両に搭載されるものであれば車両のイグニッション信号がオン状態へ変化する毎など、何らかのイベント発生毎に行ってもよい。
1つの装置が送信する更新命令は、送信の際又は通信線間を中継される際等に衝突又は遅延等が発生する可能性がある。そこで本発明に係る通信システムの中継装置は、共有情報の更新を行うタイミングから所定の期間が経過するまでの間、更新前の共有情報を用いて生成されたメッセージと、更新後の共有情報を用いて生成されたメッセージとの両方を正当のメッセージとして扱い、中継の対象とする。又は、本発明に係る通信システムの通信装置は、共有情報の更新を行うタイミングから所定の期間が経過するまでの間、更新前の共有情報を用いて生成されたメッセージと、更新後の共有情報を用いて生成されたメッセージとの両方を正当なメッセージとして受信する。なお共有情報の更新を行うタイミングは、更新命令を送信する装置の場合、自身の共有情報を更新したタイミング又は更新命令を送信したタイミング等とすることができ、更新命令を受信する装置の場合には、更新命令を受信したタイミング又は自身の共有情報を更新したタイミング等とすることができる。
これにより、1つの装置が送信した更新命令が通信システムに含まれる全ての装置で受信されるまでの一定の期間において、更新前の共有情報を用いて生成されたメッセージと更新後の共有情報を用いて生成されたメッセージとが送受信可能となる。よって複数の通信線間の通信を中継装置が中継する構成の通信システムであっても、値が変化する共有情報を用いたメッセージ送受信を実現できる。
また本発明において中継装置は、更新前の共有情報を用いて生成されたメッセージを受信した場合には、このメッセージを更新後の共有情報を用いたメッセージに修正して中継する。これにより中継先の通信装置は、更新された共有情報を用いたメッセージを受信することができる。このため通信装置は、共有情報の更新から所定期間が経過するまでに受信した更新前の共有情報を用いたメッセージを正当なメッセージとして扱う処理を行う必要がなくなる。
また本発明においては、共有情報の更新状態を示す更新状態情報をメッセージに含める。更新状態情報は、更新命令に応じて値が所定の規則で変化する情報、例えば更新命令に応じて値が反転するトグルビットとすることができる。このような更新状態情報をメッセージに含めることによって、中継装置及び通信装置は、受信したメッセージが更新前の共有情報を用いたものであるか、又は、更新後の共有情報を用いたものであるかを容易に判断することが可能となる。
また本発明において、メッセージ送信を行う装置は、共有情報と送信するメッセージに含まれる情報とに基づいてメッセージ認証子を生成し、このメッセージ認証子を含むメッセージを他の装置へ送信する。メッセージを受信した装置は、受信メッセージに含まれる情報と自信が記憶する共有情報とに基づいて受信メッセージに含まれるメッセージ認証子の正否を判定し、受信メッセージの正否を判定する。これにより通信システムにて送受信されるメッセージの信頼性を高めることができると共に、更新される共有情報を用いたメッセージ認証子が付されることで再送攻撃に対する耐性を高めることができる。
本発明による場合は、共有情報の更新から所定の期間が経過するまでの間、更新前の共有情報を用いて生成されたメッセージと、更新後の共有情報を用いて生成されたメッセージとの両方を正当のメッセージとして扱うことにより、複数の通信線間の通信が中継装置にて中継されるシステム構成において、値が変化し得る共有情報を用いたメッセージの送受信を行うことができる。
実施の形態1に係る通信システムの構成を示すブロック図である。 実施の形態1に係る通信システムにて送受信されるメッセージの構成を説明するための模式図である。 共有情報のズレにより生じる問題点を説明するための模式図である。 共有情報のズレにより生じる問題点の解決法を説明するための模式図である。 トグルビットとメッセージの中継可否との関係を説明するための模式図である。 ECUの構成を示すブロック図である。 ゲートウェイの構成を示すブロック図である。 ECUが行うメッセージ送信処理の手順を示すフローチャートである。 ECUが行うメッセージ受信処理の手順を示すフローチャートである。 ECUが行う共有情報の更新処理の手順を示すフローチャートである。 ゲートウェイが行う更新処理の手順を示すフローチャートである。 ゲートウェイが行うメッセージ中継処理の手順を示すフローチャートである。 ゲートウェイが行うメッセージ中継処理の手順を示すフローチャートである。 実施の形態2に係る通信システムの構成を示すブロック図である。 実施の形態2に係る通信システムによるメッセージ送受信及び共有情報更新の第1例を示す模式図である。 実施の形態2に係る通信システムによるメッセージ送受信及び共有情報更新の第1例を示す模式図である。 実施の形態2に係る通信システムによるメッセージ送受信及び共有情報更新の第1例を示す模式図である。 実施の形態2に係る通信システムによるメッセージ送受信及び共有情報更新の第1例を示す模式図である。 実施の形態2に係る通信システムによるメッセージ送受信及び共有情報更新の第1例を示す模式図である。 実施の形態2に係る通信システムによるメッセージ送受信及び共有情報更新の第2例を示す模式図である。 実施の形態2に係る通信システムによるメッセージ送受信及び共有情報更新の第2例を示す模式図である。 実施の形態2に係る通信システムによるメッセージ送受信及び共有情報更新の第2例を示す模式図である。 実施の形態2に係る通信システムによるメッセージ送受信及び共有情報更新の第2例を示す模式図である。
(実施の形態1)
図1は、実施の形態1に係る通信システムの構成を示すブロック図である。本実施の形態に係る通信システムは、車両1に搭載された複数のECU(Electronic Control Unit)2が、車両1内に配された通信線1a,1b及びゲートウェイ4を介して相互に通信を行うシステムである。本実施の形態に係る通信システムは、ゲートウェイ4が中継装置に相当し、ECU2が通信装置に相当する。また図示の例では、車内の通信線1aに2つのECU2が接続され、通信線1bに3つのECU2が接続され、2本の通信線1a,1bがゲートウェイ4に接続されたシステム構成であり、ゲートウェイ4が通信線1a,1b間の通信を中継することによって、全てのECU2が他のECU2との間でデータの送受信を行うことができる。
ECU2は、例えば車両1のエンジンの動作を制御するECU、ドアのロック/アンロックを制御するECU、ライトの点灯/消灯を制御するECU、エアバッグの動作を制御するECU、及び、ABS(Antilock Brake System)の動作を制御するECU等の種々のECUが含まれ得る。各ECU2は、車両1に配された通信線1a又は1bに接続され、通信線1a,1bを介して他のECU2及びゲートウェイ10との間でデータの送受信を行うことができる。
ゲートウェイ4は、車両1の車内ネットワークを構成する複数の通信線1a,bが接続され、通信線間のデータの送受信を中継する処理を行う。図1に示す例においては、ゲートウェイ4には2つの通信線1a,1b、即ち2つのECU2が接続された第1の通信線1a、及び、3つのECU2が接続された第2の通信線1bが接続されている。ゲートウェイ4は、いずれかの通信線1a,1bから受信したデータを他の通信線1a,1bへ送信することによって、データの中継を行う。
本実施の形態に係る通信システムでは、ECU2及びゲートウェイ4がCAN(Controller Area Network)の通信プロトコルに従った通信を行っている。ただし、本実施の形態に係る通信システムにて採用されるCANの通信プロトコルには、メッセージ認証子(MAC)の技術が導入されている。ECU2及びゲートウェイ4が送信するメッセージにはMACが付され、メッセージを受信したECU2及びゲートウェイ4はメッセージに付されたMACの正否を判定することによって、受信メッセージが正当なものであるか否かの判定を行う。
図2は、実施の形態1に係る通信システムにて送受信されるメッセージの構成を説明するための模式図である。なお図2には、CANの通信プロトコルにて送受信されるメッセージに含まれるデータフィールドの8バイト分のみを示し、これ以外のアービトレーションフィールド及びコントロールフィールド等のフィールドについては図示を省略してある。CANの通信プロトコルにて送受信されるメッセージのデータフィールドは、8バイト(64ビット)の2値情報の連なりで構成されている。実施の形態1に係る通信システムにて送受信されるメッセージのデータフィールドは、先頭の1ビットをトグルビットとし、続く31ビットをMACとし、以降の32ビットをデータとしている。
5バイト目から8バイト目までの32ビットのデータは、例えばあるECU2が他のECU2に対して送信すべき情報である。31ビットのMACは、32ビットのデータと、ECU2及びゲートウェイ4が共有している暗号鍵及び共有情報に基づいて生成されるものである。1ビットのトグルビットは、ECU2及びゲートウェイ4が共有する共有情報の更新処理に用いられる情報であり、更新処理が行われる毎に0/1が反転するビットである。ECU2は、送信すべき情報と記憶している暗号鍵及び共有情報とに基づいてMACを生成し、トグルビット及びMACをデータ(送信すべき情報)に付したデータフィールドを生成する。CANの通信プロトコルのメッセージを構成する他のフィールドについては、ECU2は通常のCANの通信プロトコルの手順に従って生成すればよい。
メッセージを受信したECU2は、受信メッセージに含まれるデータフィールドのトグルビットの値に基づいて共有情報の更新処理が正しく行われているか否かを判定する。共有情報の更新処理が正しく行われている場合、ECU2は、自身が記憶する暗号鍵及び共有情報と、受信メッセージに含まれる32ビットのデータとに基づいてMACを生成し、生成したMACと受信メッセージに含まれるMACとが一致するか否かに基づいて、受信メッセージが正当なものであるか否かを判定する。
本実施の形態に係る通信システムでは、ECU2及びゲートウェイ4が有する共有情報が所定のタイミングで更新される。本実施の形態においては、ゲートウェイ4が所定のタイミングで更新用の新たな共有情報を生成し、自身が記憶する共有情報を新たな共有情報に更新すると共に、生成した共有情報を更新命令と共に全ECU2へ送信する。更新命令を受信したECU2は、自身が記憶している共有情報を、更新命令に付された新たな共有情報に置き換えることによって、共有情報を更新する。このときにゲートウェイ4は、更新命令を2つの通信線1a,1bに同時的に送信するが、例えば一方の通信線1a又は1bにてメッセージの衝突などが発生した場合などに、一方の更新命令の送信が遅延する可能性がある。更新命令の送信に遅延が発生した場合、通信線1aに接続されたECU2と、通信線1bに接続されたECU2とでは共有情報の値が異なる時間帯が生じる。
図3は、共有情報のズレにより生じる問題点を説明するための模式図である。なお本図及び次図においては、車両1に搭載された複数のECU2について、通信線1aに接続されているものをECU2aとし、通信線1bに接続されているものをECU2bとして区別している。図3上段に示すように、例えばゲートウェイ4が更新のために新たな共有情報(図中において「共有情報(新)」と記載する)を生成し、新たな共有情報を付した更新命令を通信線1a及び1bへ同時的に送信しようとしたとする。しかし、通信線1aに接続されたECU2aが、ゲートウェイ4による更新命令の送信よりもわずかに早く、メッセージの送信を行っていた場合、ゲートウェイ4は通信線1aへの更新命令の送信を行うことができず、更新命令の送信が遅延される。このときにECU2aが送信するメッセージは、更新前の古い共有情報(図中において「共有情報(旧)」と記載する)を用いて生成されたMACが付されている(このようなメッセージを図中において「メッセージ(旧)」と記載する)。またゲートウェイ4からの更新命令を受信した通信線1bに接続されたECU2bは、自身が記憶する古い共有情報を、更新命令に付された新たな共有情報に置き換えることで、共有情報を更新する(図中において「共有情報(旧)→(新)」と記載する)。
図3下段に示すように、ゲートウェイ4は、ECU2aのメッセージ送信が終了した後、通信線1aへ更新命令を送信する。更新命令を受信したECU2aは、自身が記憶する古い共有情報を、更新命令に付された新たな共有情報に置き換えることで、共有情報を更新する。またゲートウェイ4は、通信線1aにて受信したECU2aからのメッセージを通信線1bへ送信することによって、メッセージの中継を行う。しかしながらこのときに中継されるメッセージは、更新前の古い共有情報を用いて生成されたMACが付されたメッセージである。このため、このメッセージを受信したECU2bは、自身が記憶している新たな共有情報を用いて生成したMACと、受信メッセージに付されたMACとが一致せず、受信メッセージを正当なメッセージではないと判定する。
なお図3に示す例では、ECU1aから更新前の古い共有情報を用いて生成されたMACが付されたメッセージを受信したゲートウェイ4が、このメッセージをECU2bへ中継しているが、これはゲートウェイ4にてMACの正否を判定しない場合である。ゲートウェイ4がECU1aから受信したメッセージのMACの正否を判定する場合、更新前の古い共有情報を用いて生成されたMACが付されたメッセージは、ゲートウェイ4において正当なメッセージではないと判定され、ECU2bへの中継は行われない。ゲートウェイ4が受信メッセージのMACを判定するか否かに応じて結果に若干の差異が生じるが、いずれの場合であっても共有情報のズレにより更新前の古い共有情報を用いて生成されたMACが付されたメッセージは、正当なメッセージではないと判定される。
図4は、共有情報のズレにより生じる問題点の解決法を説明するための模式図である。なお図4の上段に示す図は、図3の上段に示したものと同じである。本実施の形態に係る通信システムにおいて、ゲートウェイ4は、共有情報のズレによりECU1aから更新前の古い共有情報を用いて生成されたMACが付されたメッセージを受信した場合、共有情報の更新を行ってから所定期間が経過するまでの間は、このメッセージを正当なメッセージとして中継の対象とする。ただし、ゲートウェイ4が受信メッセージを単に中継した場合、図3下段に示したように、中継先のECU2bにてこのメッセージは正当なものではないと判定される。そこで本実施の形態に係るゲートウェイ4は、受信メッセージに付されている更新前の古い共有情報を用いて生成されたMACを、自身が記憶している更新後の新しい共有情報を用いて生成したMACに置き換えるメッセージの修正を行い、修正後のメッセージをECU2bへ中継する。
なお、更新前の古い共有情報を用いて生成されたMACが付されたメッセージ、及び、更新後の新たな共有情報を用いて生成されたMACが付されたメッセージの両方をゲートウェイ4が正当なメッセージとして受け付ける所定期間は、通信システムの設計段階などにおいて予め定められる。例えば所定期間は、ゲートウェイ4が送信する更新命令が遅延する可能性がある最大の時間を設定しておくことができる。
また上記の処理を行うために、ゲートウェイ4は、少なくとも共有情報の更新を行ってから所定期間が経過するまでの間は、更新前の古い共有情報と、更新後の新たな共有情報との2つの共有情報を記憶しておく必要がある。またゲートウェイ4は、受信したメッセージに付されたMACが、いずれの共有情報を用いて生成されたものであるかを判断する必要がある。このために本実施の形態に係る通信システムでは、MACが更新前後のいずれの共有情報を用いて生成されたものであるかを判断するための情報として、メッセージにトグルビットを付している。
トグルビットは、更新処理が行われる毎に値が反転されるビットである。トグルビットの値は、通信システムに含まれる装置毎に個別管理されている。例えば、初期値としてトグルビット=0で通信システムの通信が開始された場合、通信システム中の各ECU2及びゲートウェイ4は、トグルビットを0としたメッセージを生成して送信する。所定のタイミングにおいてゲートウェイ4が更新処理を開始し、新たな共有情報を生成して自身の共有情報を更新した場合、ゲートウェイ4が管理するトグルビットは1に変化する。その後、ゲートウェイ4が更新命令を送信し、この更新命令を受信したECU2は、自身の共有情報を更新すると共に、自身が管理するトグルビットを1に変化させる。
よってゲートウェイ4は、例えば自身が管理するトグルビットの値が1であるのに対し、受信したメッセージに付されたトグルビットの値が0である場合、このメッセージは更新前の古い共有情報を用いて生成されたMACが付されている可能性があると判断できる。そこでゲートウェイ4は、更新前の古い共有情報を用いて受信メッセージに付されたMACの正否を判定し、MACが正当なものである場合に、上述のメッセージ修正を行う。即ちゲートウェイ4は、自身が管理するトグルビットの値と受信メッセージに付されたトグルビットの値とが一致する場合には、受信メッセージに付されたMACが更新後の新たな共有情報を用いて生成されたものと判断し、トグルビットの値が一致しない場合には、受信メッセージに付されたMACが更新前の古い共有情報を用いて生成されたものと判断することができる。
図5は、トグルビットとメッセージの中継可否との関係を説明するための模式図である。基本的にゲートウェイ4は、自身が管理するトグルビットの値が0である場合には、トグルビットの値が0のメッセージのみを有効なメッセージとして中継処理を行い、自身が管理するトグルビットの値が1である場合には、トグルビットの値が1のメッセージのみを有効なメッセージとして中継処理を行う。ただし更新処理から所定期間Taが経過するまでの間は、ゲートウェイ4は、自身が管理するトグルビットの値に関わらず、トグルビットの値が0のメッセージ及びトグルビットの値が1のメッセージの両方を有効なメッセージとして中継処理を行う。なおゲートウェイ4は、更新処理から所定期間Taが経過するまでの間、自身が管理するトグルビットの値と異なる値のトグルビットが付されたメッセージを受信した場合には、受信メッセージのトグルビット及びMACの値を修正した後で中継を行う。
図6は、ECU2の構成を示すブロック図である。なお本図においては、複数のECU2に共通の機能ブロックを抜き出して示しており、ECU2毎に異なる機能ブロックについては図示を省略している。本実施の形態に係るECU2は、処理部21、記憶部22及び通信部23等を備えて構成されている。処理部21は、例えばCPU(Central Processing Unit)又はMPU(Micro-Processing Unit)等の演算処理装置を用いて構成され、記憶部22又は図示しないROM(Read Only Memory)等に記憶されたプログラムを読み出して実行することにより、種々の演算処理を行う。なお処理部21にて実行されるプログラムは、ECU2毎にその内容が異なっている。
記憶部22は、フラッシュメモリ又はEEPROM(Electrically Erasable Programmable Read Only Memory)等の不揮発性のメモリ素子を用いて構成されている。本実施の形態において記憶部22には、送信するメッセージに付すMACを生成するための情報として、暗号鍵22aと共有情報22bとが記憶されている。暗号鍵22aは、例えば共有鍵方式による暗号化及び復号を行うための情報であり、通信システムに含まれる全てのECU2及びゲートウェイ4が共通して有する情報である。共有情報22bも同様に通信システムに含まれる全てのECU2及びゲートウェイ4が共通して有する情報であるが、共有情報22bは比較的頻繁に更新される情報である。
通信部23は、車内ネットワークを構成する通信線1a又は1bに接続され、CANの通信プロトコルに従ってデータの送受信を行う。通信部23は、処理部21から与えられたデータを電気信号に変換して通信線1a又は1bへ出力することによってデータを送信すると共に、通信線1a又は1bの電位をサンプリングして取得することによりデータを受信し、受信したデータを処理部21へ与える。
また本実施の形態に係るECU2の処理部21には、記憶部22又はROM等に記憶されたプログラムが実行されることによって、メッセージ生成部21a、メッセージ判定部21b及び更新処理部21c等がソフトウェア的な機能ブロックとして実現される。メッセージ生成部21aは、他のECU2へ送信すべき情報が存在する場合に、この情報と、記憶部22に記憶された暗号鍵22a及び共有情報22bとを用いて所定の暗号化演算を行うことによりMACを生成する。メッセージ生成部21aは、自身が管理するトグルビットの値と、生成したMACと、他のECU2へ送信すべき情報(データ)とを含むデータフィールドを生成し、アービトレーションフィールド及びコントロールフィールド等と結合することによって送信用のメッセージを生成する。メッセージ生成部21aが生成したメッセージを通信部23へ与えることにより、このメッセージが通信線1a,1bへ送信され、他のECU2にて受信される。なおトグルビットの値は、例えば記憶部22に記憶され、共有情報22bが更新される毎に値が反転される。
メッセージ判定部21bは、通信部23にて受信したメッセージが正当なメッセージであるか否かの判定を行う。メッセージ判定部21bは、受信メッセージに含まれるデータと、記憶部22に記憶された暗号鍵22a及び共有情報22bとを用いて所定の暗号化演算を行うことにより確認用のMACを生成する。なおメッセージ生成部21aによる暗号化演算と、メッセージ判定部21bによる暗号化演算とは同じ内容の処理である。メッセージ判定部21bは、受信メッセージに含まれるMACと、自身が生成したMACとを比較し、両MACが一致する場合に受信メッセージが正当なものであると判定し、両MACが一致しない場合に受信メッセージが正当なものではないと判定する。なお本実施の形態においては、ECU2のメッセージ判定部21bは、受信メッセージに含まれるトグルビットを使用しない。
更新処理部21cは、ゲートウェイ4が送信する更新命令を通信部23にて受信した場合に、記憶部22に記憶された共有情報22bを更新する処理を行う。ゲートウェイ4が送信する更新命令は、例えばデータフィールドのデータとして新たな共有情報が格納され、更新前の古い共有情報を用いて生成したMACが付されたメッセージとすることができる。通信部23にて更新命令が受信された場合、通常のメッセージと同様に、メッセージ判定部21bにて正当な更新命令であるか否かの判定がなされる。正当な更新命令であると判定された場合、更新処理部21cは、更新命令に含まれる新たな共有情報を記憶部22に記憶された共有情報22bに上書きすることによって、共有情報の更新を行う。
図7は、ゲートウェイ4の構成を示すブロック図である。本実施の形態に係るゲートウェイ4は、処理部41、記憶部42、及び、2つの車内通信部43等を備えて構成されている。処理部41は、例えばCPU又はMPU等の演算処理装置を用いて構成され、記憶部42又は図示しないROM等に記憶されたプログラムを読み出して実行することにより、種々の演算処理を行う。本実施の形態において処理部41は、車内ネットワークの通信線1a,1b間のメッセージ送受信を中継する処理、及び、共有情報の更新処理等に必要な演算処理を行う。
記憶部42は、フラッシュメモリ又はEEPROM等の不揮発性のメモリ素子を用いて構成されている。記憶部42は、ECU2が記憶部22に記憶している暗号鍵22a及び共有情報22bと同様の暗号鍵42a及び共有情報42bを記憶している。また本実施の形態においてゲートウェイ4の記憶部42には、現時点でメッセージの送受信に用いている共有情報42bと共に、更新前の古い共有情報42cが記憶されている。また記憶部42は、処理部41が実行するプログラム及びこのプログラムの実行に必要なデータ、並びに、処理部41の処理の過程で生成されたデータなどを記憶してもよい。
2つの通信部43は、車内ネットワークを構成する通信線1a,1bにそれぞれ接続され、CANの通信プロトコルに従ってデータの送受信を行う。通信部43は、処理部41から与えられたデータを電気信号に変換して通信線1a,1bへ出力することによって情報を送信すると共に、通信線1a,1bの電位をサンプリングして取得することによりデータを受信し、受信したデータを処理部41へ与える。
また処理部41には、記憶部42又はROM等に記憶されたプログラムが実行されることによって、メッセージ生成部41a、メッセージ判定部41b、更新処理部41c、更新命令送信部41d及びメッセージ修正部41e等がソフトウェア的な機能ブロックとして実現される。メッセージ生成部41aが行う処理は、ECU2のメッセージ生成部21aが行う処理と略同じである。即ちメッセージ生成部41aは、他の装置へ送信すべき情報が存在する場合に、この情報と、記憶部42に記憶された暗号鍵42a及び共有情報42bとを用いて所定の暗号化演算を行うことによりMACを生成する。メッセージ生成部41aは、自身が管理するトグルビットの値と、生成したMACと、他の装置へ送信すべき情報(データ)とを含むデータフィールドを生成し、アービトレーションフィールド及びコントロールフィールド等と結合することによって送信用のメッセージを生成する。メッセージ生成部41aが生成したメッセージを通信部43へ与えることにより、このメッセージが通信線1a,1bへ送信され、この通信線1a,1bに接続されたECU2にて受信される。なおトグルビットの値は、例えば記憶部42に記憶され、共有情報42bが更新される毎に値が反転される。
メッセージ判定部41bが行う処理は、ECU2のメッセージ判定部21bが行う処理と略同じである。即ちメッセージ判定部41bは、通信部43にて受信したメッセージが正当なメッセージであるか否かの判定を行う。メッセージ判定部41bは、受信メッセージに含まれるデータと、記憶部42に記憶された暗号鍵42aと、共有情報42b又は42cとを用いて所定の暗号化演算を行うことにより確認用のMACを生成する。メッセージ判定部41bは、受信メッセージに含まれるMACと、自身が生成したMACとを比較し、両MACが一致する場合に受信メッセージが正当なものであると判定し、両MACが一致しない場合に受信メッセージが正当なものではないと判定する。
また本実施の形態においてゲートウェイ4は、上述のように共有情報42bの更新から所定期間が経過するまでの間は、更新前の古い共有情報を用いて生成したMACが付されたメッセージも正当なメッセージとして受け付ける。このためゲートウェイ4のメッセージ判定部41bは、共有情報42bの更新から所定期間が経過するまでの間、受信メッセージに含まれるトグルビットの値に応じて、記憶部42に記憶された更新後の新たな共有情報42b又は更新前の古い共有情報42cのいずれを用いて確認用のMACを生成するかを判断する。即ちメッセージ判定部41bは、受信メッセージに含まれるトグルビットの値が記憶部42に記憶されたトグルビットの値と一致する場合、記憶部42に記憶された更新後の新たな共有情報42bを用いて確認用のMACを生成し、受信メッセージの正否を判定する。これに対して、受信メッセージに含まれるトグルビットの値が記憶部42に記憶されたトグルビットの値と一致しない場合、メッセージ判定部41bは、記憶部42に記憶された更新前の古い共有情報42cを用いて確認用のMACを生成し、受信メッセージの正否を判定する。なお、共有情報42bの更新から所定期間が経過した後、メッセージ判定部41bは、受信メッセージに含まれるトグルビットの値が記憶部42に記憶されたトグルビットの値と一致しない場合には、この受信メッセージを正当なものではないと判定してよい。
更新処理部41cは、通信システムに含まれるECU2及びゲートウェイ4が有する共有情報の更新を行うタイミングに至ったか否かを判断する。更新処理部41cは、例えば前回の更新処理から1秒、1分、1時間、1日又は1週間等の所定周期が経過した場合に更新を行うタイミングに至ったと判断する構成としてもよく、また例えば車両1のイグニッションスイッチがオフ状態からオン状態へ切り替えられた場合に更新を行うタイミングに至ったと判断する構成としてもよく、これ以外のタイミングを更新タイミングと判断する構成としてもよい。
更新処理部41cは、更新処理を行うタイミングに至ったと判断した場合、新たな共有情報の生成を行う。更新処理部41cは、例えば所定の乱数発生アルゴリズムによって乱数を発生させ、この乱数に基づいて共有情報を生成する。更新処理部41cは、記憶部42に記憶された新たな共有情報42bを古い共有情報42cとし、生成した共有情報を新たな共有情報42bとして記憶部42に記憶することによって、共有情報42bを更新する。
更新命令送信部41dは、更新処理部41による自装置の更新処理が行われた場合に、通信線1a,1bに接続されたECU2に対して更新処理を行わせるための更新命令を、通信部43から送信する処理を行う。更新命令送信部41dは、更新処理部41cが生成した新たな共有情報をデータとし、記憶部42に記憶された更新前の古い共有情報42cを用いて生成されたMACを付したメッセージを更新命令として、2つの通信部43から全てのECU2に対して更新命令を一斉送信する。
メッセージ修正部41eは、共有情報の更新から所定期間が経過するまでの間、メッセージに含まれるトグルビットの値が記憶部42に記憶されたトグルビットの値と一致しないメッセージを受信し、この受信メッセージがメッセージ判定部41bにより正当なメッセージであると判定された場合に、受信メッセージのトグルビット及びMACを修正する処理を行う。このときにメッセージ修正部41eは、受信メッセージに含まれるトグルビットの値を反転する。またメッセージ修正部41eは、受信メッセージに含まれるデータと、記憶部42に記憶された暗号鍵22aと、更新後の新たな共有情報22bとに基づいて新たなMACを生成し、受信メッセージに含まれるMACを新たに生成したMACに交換することで、受信メッセージを修正する。メッセージ修正部41eが修正されたメッセージは、元のメッセージを受信した通信部43とは別の通信部43から送信され、ECU2へ中継される。
図8は、ECU2が行うメッセージ送信処理の手順を示すフローチャートである。ECU2の処理部21は、他のECU2へ情報送信が必要となった場合に、以下のメッセージ送信処理を開始する。処理部21のメッセージ生成部21aは、記憶部22に記憶された暗号鍵22aを読み出すと共に(ステップS1)、記憶部22に記憶された共有情報22bを読み出す(ステップS2)。メッセージ生成部21aは、他のECU2へ送信すべき情報と、ステップS1にて読み出した暗号鍵22aと、ステップS2にて読み出した共有情報22bとを用いてMACを生成する(ステップS3)。メッセージ生成部21aは、記憶部22に記憶されたトグルビットと、ステップS3にて生成したMACと、他のECU2へ送信すべき情報とを含むメッセージを生成する(ステップS4)。処理部21は、メッセージ生成部21aが生成したメッセージを通信部23へ与えることにより、他のECU2へのメッセージ送信を行い(ステップS5)、処理を終了する。
図9は、ECU2が行うメッセージ受信処理の手順を示すフローチャートである。ECU2の処理部21は、通信部23にて他のECU2又はゲートウェイ4からのメッセージを受信したか否かを判定する(ステップS11)。メッセージを受信していない場合(S11:NO)、処理部21は、メッセージを受信するまで待機する。メッセージを受信した場合(S11:YES)、処理部21のメッセージ判定部21bは、受信メッセージに含まれるデータを取得する(ステップS12)。メッセージ判定部21bは、記憶部22に記憶された暗号鍵22aを読み出すと共に(ステップS13)、記憶部22に記憶された共有情報22bを読み出す(ステップS14)。メッセージ判定部21bは、ステップS12にて取得したデータと、ステップS13にて読み出した暗号鍵22aと、ステップS14にて読み出した共有情報22bとを用いて確認用のMACを生成する(ステップS15)。またメッセージ判定部21bは、受信メッセージに含まれるMACを取得する(ステップS16)。
メッセージ判定部21bは、ステップS15にて生成した確認用のMACと、ステップS16にて取得したMACとが一致するか否かを判定する(ステップS17)。両MACが一致する場合(S17:YES)、メッセージ判定部21bは、受信メッセージを正当なメッセージと判定する(ステップS18)。処理部21は、受信メッセージに含まれるデータの内容に応じた適宜の処理を行って(ステップS19)、メッセージ受信処理を終了する。これに対して、両MACが一致しない場合(S17:NO)、メッセージ判定部21bは、受信メッセージを正当でないメッセージと判定する(ステップS20)。処理部21は、エラー処理などを行い(ステップS21)、メッセージ受信処理を終了する。
図10は、ECU2が行う共有情報の更新処理の手順を示すフローチャートである。ECU2の処理部21は、通信部23にてゲートウェイ4からの更新命令を受信したか否かを判定する(ステップS31)。更新命令を受信していない場合(S31:NO)、処理部21は、更新命令を受信するまで待機する。更新命令を受信した場合(S31:YES)、処理部21は、受信した更新命令が正当な更新命令であるか否かを判定する(ステップS32)。なお更新命令が正当なものであるか否かの判定は、図9のメッセージ受信処理にて示した受信メッセージが正当なものであるか否かの判定と同様の処理で行われるため、本図では詳細を省略する。
受信した更新命令が正当な更新命令である場合(S32:YES)、処理部21の更新処理部21cは、更新命令に含まれる共有情報を取得する(ステップS33)。更新処理部21cは、取得した共有情報を、記憶部22に記憶された共有情報22bに対して上書きすることによって更新を行い(ステップS34)、更新処理を終了する。受信した更新命令が正当な更新命令出ない場合(S32:NO)、処理部21は、エラー処理などを行い(ステップS35)、共有情報22bを更新することなく、更新処理を終了する。
図11は、ゲートウェイ4が行う更新処理の手順を示すフローチャートである。なお本処理においては、0又は1の値を保持する”更新処理フラグ”を用いて処理を行うが、このフラグは例えば処理部41のレジスタなどの記憶領域を用いて実現され得る。更新処理フラグは、共有情報の更新から所定期間が経過するまでの期間に値が1に設定され、それ以外の期間に0が設定される。まず、ゲートウェイ4の処理部41の更新処理部41cは、更新処理フラグの値を0に初期化する(ステップS41)。更新処理部41cは、所定の更新処理を行うタイミングに至ったか否かを判定する(ステップS42)。更新処理を行うタイミングに至っていない場合(S42:NO)、更新処理部41cは、更新処理を行うタイミングに至るまで待機する。
更新処理を行うタイミングに至った場合(S42:YES)、更新処理部41cは、その時点で使用していた記憶部42の共有情報42bを、更新前の古い共有情報42cとして記憶部42bに保存する(ステップS43)。更新処理部41cは、例えば乱数を発生させるなどの方法により、新たな共有情報を生成する(ステップS44)。更新処理部41cは、生成した共有情報を、記憶部42に更新後の新たな共有情報42bとして記憶する(ステップS45)。なおこのときに更新処理部41cは、記憶部42に記憶されたトグルビットの値を反転させる。
次いで処理部41は、更新処理フラグの値を1に設定する(ステップS46)。処理部41は、自身のタイマ機能などを用いて、共有情報の更新からの所定期間の計時を開始する(ステップS47)。処理部41の更新命令送信部41dは、ステップS44にて生成した新たな共有情報を含む更新命令を生成する(ステップS48)。更新命令送信部41dは、生成した更新命令を、全ての通信部43にて送信する(ステップS49)。
その後、処理部41は、ステップS47の計時開始から所定期間が経過したか否かを判定する(ステップS50)。所定期間が経過していない場合(S50:NO)、処理部41は、所定期間が経過するまで待機する。所定期間が経過した場合(S50:YES)、処理部41は、所定期間の計時を終了する(ステップS51)。処理部41は、更新処理フラグの値を0に設定し(ステップS52)、更新処理を終了する。
図12及び図13は、ゲートウェイ4が行うメッセージ中継処理の手順を示すフローチャートである。なお本処理において用いる更新処理フラグは、図11の更新処理にて用いたものと同じものである。ゲートウェイ4の処理部41は、いずれかの通信部43にてメッセージを受信したか否かを判定する(ステップS61)。メッセージを受信していない場合(S61:NO)、処理部41は、メッセージを受信するまで待機する。
いずれかの通信部43にてメッセージを受信した場合(S61:YES)、処理部41のメッセージ判定部41bは、受信メッセージに含まれるトグルビットの値を取得する(ステップS62)。メッセージ判定部41bは、ステップS62にて取得したトグルビットの値と、記憶部42に記憶されたトグルビットの値とを比較し、両トグルビットが一致するか否かを判定する(ステップS63)。トグルビットが一致する場合(S63:YES)、この受信メッセージに付されたMACは更新後の新たな共有情報を用いて生成されたものであるため、メッセージ判定部41bは、記憶部42に記憶された更新後の新たな共有情報42bを読み出す(ステップS64)。メッセージ判定部41bは、ステップS64にて読み出した更新後の新たな共有情報42bに基づいて、受信メッセージが正当なものであるか否かの判定を行う(ステップS65)。受信メッセージが正当なものであると判定した場合(S65:YES)、処理部41は、メッセージを受信した通信部43とは異なる通信部43にて、受信したメッセージを送信することによってメッセージを中継し(ステップS66)、中継処理を終了する。受信メッセージが正当なもの出ないと判定した場合(S65:NO)、処理部41は、エラー処理などを行い(ステップS68)、メッセージを中継することなく、中継処理を終了する。
トグルビットが一致しない場合(S63:NO)、メッセージ判定部41bは、更新処理フラグの値が0であるか否かを判定する(ステップS67)。更新処理フラグの値が0である場合(S67:YES)、この受信メッセージは更新後の新たな共有情報を用いて生成されたMACが付されておらず、且つ、共有情報の更新から所定期間内でないため、処理部41は、受信メッセージが正当なものでないと判断し、エラー処理などを行って(ステップS68)、メッセージを中継することなく、中継処理を終了する。
更新処理フラグの値が0でない場合(S67:NO)、即ち更新処理フラグの値が1である場合、この受信メッセージに付されたMACは更新前の古い共有情報を用いて生成されたものであるため、メッセージ判定部41bは、記憶部42に記憶された更新前の古い共有情報42cを読み出す(ステップS71)。メッセージ判定部41bは、ステップS71にて読み出した更新前の古い共有情報42cに基づいて、受信メッセージが正当なものであるか否かの判定を行う(ステップS72)。
受信メッセージが正当なものであると判定した場合(S72:YES)、処理部41のメッセージ修正部41eは、記憶部42に記憶された更新後の新たな共有情報42bを読み出す(ステップS73)。メッセージ修正部41eは、ステップS73にて読み出した更新後の新たな共有情報42bを用いて、受信メッセージに含まれるデータと記憶部42に記憶された暗号鍵22aとに基づいて新たなMACを生成する(ステップS74)。メッセージ修正部41eは、受信メッセージのトグルビットを反転させると共に、受信メッセージのMACをステップS74にて生成したMACと入れ替えることによりメッセージを修正する(ステップS75)。処理部41は、メッセージを受信した通信部43とは異なる通信部43にて、ステップS75にて修正したメッセージを送信することでメッセージを中継し(ステップS76)、中継処理を終了する。また受信メッセージが正当なものでないと判定した場合(S72:NO)、処理部41は、エラー処理など行って(ステップS77)、メッセージを中継することなく、中継処理を終了する。
以上の構成の本実施の形態に係る通信システムは、一つの通信線1a,1bに複数のECU2が接続され、このような複数の通信線1a,1bがゲートウェイ4に接続されて、ゲートウェイ4が通信線1a,1b間の通信を中継する構成である。通信システムに含まれるECU2及びゲートウェイ4は、共有情報を記憶しており、他の装置へのメッセージの生成及び送信と、他の装置から受信したメッセージの正否判定とを、記憶した共有情報を用いて行う。ECU2及びゲートウェイ4が記憶する共有情報は可変の情報であり、ゲートウェイ4が送信する更新命令により更新される。即ち、ゲートウェイ4が送信した更新命令が通信線1a,1bを介してECU2にて受信され、更新命令を受信したECU2が自身の記憶する共有情報を更新する。なお共有情報の更新は、例えば1秒、1分、1時間、1日又は1週間等の所定期間で周期的に行ってもよく、また例えば車両1のイグニッションスイッチがオフ状態からオン状態へ切り替えられる都度など、何らかのイベント発生毎に行ってもよい。
ゲートウェイ4が送信する更新命令は、送信の際に又は通信線1a,1b間を中継される際等に、衝突又は遅延等が発生する可能性がある。そこで本実施の形態に係る通信システムのゲートウェイ4は、共有情報の更新を行うタイミングから所定の期間が経過するまでの間、更新前の古い共有情報を用いて生成されたメッセージと、更新後の新たな共有情報を用いて生成されたメッセージとの両方を正当なメッセージとして扱い、中継の対象とする。なお所定期間の起点となる共有情報の更新タイミングは、例えば自身の記憶部42に記憶された共有情報42bを更新したタイミング、又は、ECU2への更新命令を送信したタイミング等とすることができる。
これにより本実施の形態に係る通信システムでは、ゲートウェイ4が送信した更新命令が全てのECU2で受信されて更新処理が行われるまでの一定の期間において、更新前の古い共有情報を用いて生成されたメッセージと、更新後の新たな共有情報を用いて生成されたメッセージとが送受信可能となる。よって複数の通信線1a,1b間の通信をゲートウェイ4が中継する構成の通信システムであっても、値が変化する共有情報を用いたメッセージ送受信を実現できる。
また本実施の形態に係るゲートウェイ4は、共有情報の更新から所定期間が経過するまでの間に、更新前の古い共有情報を用いて生成されたメッセージを受信した場合には、このメッセージを更新後の新たな共有情報を用いてメッセージに修正して中継する。これにより中継先のECU2は、更新後の新たな共有情報を用いたメッセージを受信することができる。
また本実施の形態に係る通信システムでは、共有情報の更新状態を示す更新状態情報として、トグルビットをメッセージに含める。これによりゲートウェイ4は、受信したメッセージが更新前の古い共有情報を用いたものであるか、又は、更新後の新たな共有情報を用いたものであるかを容易に判断することが可能となる。
またECU2は、送信すべきデータと、記憶部22に記憶された暗号鍵22a及び共有情報22bとに基づいてMACを生成し、このMACを含むメッセージを他のECU2へ送信する。メッセージを受信したECU2は、受信メッセージに含まれるデータと、記憶部22に記憶された暗号鍵22a及び共有情報22bとに基づいて確認用のMACを生成し、受信メッセージに含まれるMACと比較することによって受信メッセージの正否を判定する。これにより通信システムにて送受信されるメッセージの信頼性を高めることができると共に、更新される共有情報を用いたMACが付されることで再送攻撃に対する耐性を高めることができる。
なお本実施の形態においては、ゲートウェイ4が共有情報の生成及び更新命令の送信等を行う構成としたが、これに限るものではなく、通信システムに含まれる複数のECU2のいずれかが共有情報の生成及び更新命令の送信等を行う構成としてもよい。また共有情報の更新のためにゲートウェイ4からECU2へ新たな共有情報を送信する構成としたが、これに限るものではなくい。例えば共有情報をカウンタの値とし、更新命令の受信に応じてECU2がカウンタを増減させるなど、全てのECU2及びゲートウェイ4が同じ規則で共有情報を生成する構成であってもよい。
また本実施の形態においては、MACを付したメッセージを送受信する構成としたが、これに限るものではなく、例えばECU2が送信すべき情報を暗号化したものにトグルビットを付したメッセージを送受信する構成としてもよい。またメッセージに付す更新状態情報はトグルビットでなくてもよく、例えば更新処理を行う毎に値が増減するカウンタ値など、何らかの規則により値が変化する情報であればよい。更にはメッセージにトグルビットなどの更新状態情報を付さない構成としてもよく、この場合にゲートウェイ4は共有情報の更新から所定期間が経過するまでの間に受信したメッセージに対して、更新後の新たな共有情報を用いたメッセージの正否判定と、更新前の古い共有情報を用いたメッセージの正否判定との両方を行う構成とすることができる。
また本実施の形態に係る通信システムは、車両1に搭載されるシステムとしたが、これに限るものではなく、車載以外の通信システムであってよい。また通信装置はECU2以外の通信機能を有する種々の装置であってよく、中継装置はゲートウェイ4以外の中継機能を有する種々の装置であってよい。
(変形例)
また、共有情報の更新から所定期間が経過するまでの間、ゲートウェイ4が、更新前の古い共有情報を用いたメッセージと、更新後の新たな共有情報を用いたメッセージとを有効なものとして扱う構成としたが、これに限るものではない。
変形例に係る通信システムでは、各ECU2が、共有情報の更新から所定期間が経過するまでの間、更新前の古い共有情報を用いたメッセージと、更新後の新たな共有情報を用いたメッセージとを有効なものとして受信する。この場合にゲートウェイ4は、受信したメッセージの正否判定を行わずにこのメッセージを中継する構成としてもよく、又は、共有情報の更新から所定期間が経過するまでの間、更新前の古い共有情報を用いたメッセージと、更新後の新たな共有情報を用いたメッセージとを有効なものとして受信し、メッセージの修正は行わずに中継する構成としてもよい。
(実施の形態2)
実施の形態2に係る通信システムは、複数の通信プロトコルが混在し、且つ、複数の中継装置が階層的に接続された構成である。図14は、実施の形態2に係る通信システムの構成を示すブロック図である。実施の形態2に係る通信システムは、中継装置として複数のDCU(Domain Control Unit)200〜204と、通信装置として複数のECU203a〜203lとを備えて構成されている。実施の形態2に係る通信システムは、イーサネット(登録商標)の通信プロトコルにより1Gbpsの通信速度で通信を行うネットワークと、イーサネットの通信プロトコルにより100Mbpsの通信速度で通信を行うネットワークと、CAN−FDの通信プロトコルにより2Mbpsの通信速度で通信を行うネットワークとが混在している。
実施の形態2に係る通信システムでは、1つのDCU200に4つのDCU201〜204が接続され、各DCU201〜204に複数のECUが接続された階層構造をなしている。1つのDCU200と4つのDCU201〜204とは、それぞれ個別の通信線を介して接続されており、イーサネットの通信プロトコルにより1Gbpsの通信速度で通信を行う。また実施の形態2に係る通信システムの4つのDCU201〜204は、DCU200に接続される通信線とは別に、一又は複数のECUを接続するための6つの通信線がそれぞれ接続可能とされている。各DCU201〜204に接続される複数の通信線は、通信プロトコルが異なるものが混在していてよい。
図示の例においてDCU203には、通信速度が2MbpsのCAN−FDの通信プロトコルに対応した通信線が3つと、通信速度が100Mbpsのイーサネットの通信プロトコルに対応した通信線が3つ接続されている。CANの通信プロトコルに対応した第1の通信線には3つのECU203a〜203cが接続され、第2の通信線にはECU203d〜203fが接続され、第3の通信線にはECU203g〜203iが接続されている。またイーサネットの通信規格に対応した第4の通信線にはECU203jが接続され、第5の通信線にはECU203kが接続され、第6の通信線にはECU203lが接続されている。他のDCU201,202及び204についても同様に複数のECUが接続されているが、図示を省略する。
例えばECU230jがメッセージを送信した場合、このメッセージはDCU203にて受信される。DCU203は、受信したメッセージを中継する処理を行っており、ECU230jから受信したメッセージの内容(例えばデータ又はヘッダ情報等)に基づいてこのメッセージの中継先を決定し、中継先と決定した通信線に対してメッセージを送信する。なお実施の形態2に係る通信システムでは、メッセージを受信したDCU200〜201は、このメッセージを必ずしもすべての通信線に対して中継する必要はなく、このメッセージを必要とするECUが存在する通信線に対してメッセージを中継すればよい。またDCU201〜204は、受信メッセージを必要とするECUが自身に直接的には接続されていない場合、このメッセージをDCU200へ送信することによって、DCU200及び他のDCU201〜204を介して目的のECUへメッセージを送信する。
実施の形態2に係る通信システムでは、全てのDCU200〜204及びECU203a〜203lが記憶部に共有情報を記憶しており、DCU200が所定のタイミングで共有情報の更新処理を開始する。即ち、DCU200は新たな共有情報を生成して自身の記憶部に記憶された共有情報を更新すると共に、共有情報の更新命令を他のDCU201〜204へ送信する。DCU200からの更新命令を受信したDCU201〜204はそれぞれ、自身の記憶部に記憶された共有情報を更新すると共に、ECUが接続された6つの通信線に対して共有情報の更新命令を送信する。例えばDCU203からの更新命令を受信したECU203a〜203lは、自身の記憶部に記憶された共有情報を更新する。
また実施の形態2に係る通信システムでは、共有情報の更新から所定期間が経過するまでの間について、更新前の古い共有情報を用いて生成されたMACが付されたメッセージと、更新後の新たな共有情報を用いて生成されたMACが付されたメッセージとを正当なメッセージとして受信して中継する処理を、DCU200〜204が行う。またこのときにDCU200〜204は、更新前の古い共有情報を用いて生成されたMACが付されたメッセージを受信した場合には、このメッセージのMACを、更新後の新たな共有情報を用いて生成したMACに置き換えるメッセージ修正処理を行い、修正後のメッセージを中継する。
図15〜図19は、実施の形態2に係る通信システムによるメッセージ送受信及び共有情報更新の第1例を示す模式図であり、図15から図19へメッセージの送受信状況などを時系列的に示してある。図15は、更新処理を行うタイミングに至り、DCU200が共有情報の更新処理を開始した状況である。DCU200は、新たな共有情報を用いて生成し、自身が記憶している共有情報の更新処理を行う。図15に示す状況では、DCU200はまだ更新命令を送信しておらず、他のDCU201〜204及びECU203a〜203lが記憶している共有情報は、更新前の古い共有情報である。この状況において、ECU203jが更新前の古い共有情報を用いて生成されたMACが付されたメッセージ(図中において一点鎖線の矢印で示す、以下の図面において同じ)を送信し、このメッセージがDCU203にて受信されたものとする。
次いで図16に示す状況では、ECU203jからのメッセージを受信したDCU203が、受信メッセージに含まれるMACに基づいてこのメッセージが正当なものであると判定し、このメッセージをDCU200及びECU203a〜203cへ中継すべく、各装置が接続された通信線へメッセージを送信している。なおこのときのDCU203による判定は、更新前の古い共有情報を用いて行われる。DCU203が中継したメッセージは、DCU200及びECU203a〜203cにて受信されている。またこのときに、DCU203によるメッセージの送信より少し遅れて、DCU200が共有情報の更新命令をDCU201〜204へ一斉送信している(図中において破線の矢印で示す、以下の図面において同じ)。
次いで図17に示す状況では、DCU200から共有情報の更新命令を受信したDCU201〜204が更新処理を行い、各DCU201〜204が記憶する共有情報がDCU200から与えられた新たな共有情報に更新される。またこのときにDCU200は、DCU203から受信した更新前の古い共有情報を用いて生成されたMACが付されたメッセージについて、共有情報の更新から所定期間が経過するまでの間に受信したものと判断し、更新後の新たな共有情報を用いてMACを生成し、受信メッセージに含まれるMACと交換することによって、メッセージ修正を行っている。
次いで図18に示す状況では、共有情報の更新を終えたDCU201〜204が、自身に接続された全ての通信線(ただしDCU200が接続された通信線を除く)に対して、共有情報の更新命令を一斉送信している。例えばDCU203から共有情報の更新命令を受信したECU203a〜203lは、更新処理を開始する。またこのときに、メッセージの修正を完了したDCU200は、修正後のメッセージをDCU202へ送信している(図中において二点鎖線の矢印で示す、以下の図面において同じ)。このときDCU200から送信されるメッセージは更新後の新たな共有情報を用いて生成されたMACが付されたメッセージであり、このメッセージを受信するDCU202は更新処理を終えた状態であるため、自身が記憶している更新後の新たな共有情報を用いて受信メッセージの正否を判定することができる。
次いで図19に示す状況では、DUC200からのメッセージを正当なものであると判定したDCU202が、このメッセージを中継している。またDCU201〜204に接続されたECUでは共有情報の更新が完了している。よってDCU202からのメッセージを受信したECUは、自身が記憶している更新後の新たな共有情報を用いて、受信メッセージの正否を判定することができる。
図20〜図23は、実施の形態2に係る通信システムによるメッセージ送受信及び共有情報更新の第2例を示す模式図であり、図20から図23へメッセージの送受信状況などを時系列的に示してある。第2例は、第1例と似た状況ではあるが、ECU203jから更新前の古い共有情報を用いて生成されたMACが付されたメッセージをDCU203が受信するより早く、更新処理を完了したDCU200からの更新命令がDCU203にて受信される。
図20に示す状況では、更新処理を完了したDCU200がDCU201〜204へ共有情報の更新命令を一斉送信し、これを受信したDCU201〜204にて更新処理が開始されている。このときにECU203jは、更新前の古い共有情報を用いて生成されたMACが付されたメッセージを、DCU203へ送信している。
次いで図21に示す状況では、ECU203jが送信したメッセージがDCU203にて受信されている。またこのメッセージの受信後又は受信と同時期に、共有情報の更新処理を完了したDCU201〜204が、ECUに対して共有情報の更新命令を一斉送信している。DCU201〜204からの更新命令を受信したECUは、自身が記憶している共有情報の更新処理を開始する。
次いで図22に示す状況では、DCU203は、ECU203jから受信した更新前の古い共有情報を用いて生成されたMACが付されたメッセージについて、共有情報の更新から所定期間が経過するまでの間に受信したものと判断し、更新後の新たな共有情報を用いてMACを生成し、受信メッセージに含まれるMACと交換することによって、メッセージ修正を行っている。
次いで図23に示す状況では、メッセージの修正を完了したDCU203は、修正後のメッセージをDCU200及びECU203a〜203cへ送信している。このときDCU203から送信されるメッセージは更新後の新たな共有情報を用いて生成されたMACが付されたメッセージであり、このメッセージを受信するDCU200及びECU203a〜203cは更新処理を終えた状態であるため、自身が記憶している更新後の新たな共有情報を用いて受信メッセージの正否を判定することができる。
以上の構成の実施の形態2に係る通信システムは、いわゆるドメインアーキテクチャを採用した通信システムである。このような構成の通信システムであっても、実施の形態1に係る通信システムのゲートウェイ4と同様の機能、即ち共有情報の更新から所定期間が経過するまでの間は更新前の古い共有情報を用いたメッセージと更新後の新たな共有情報を用いたメッセージとの両方を正当なメッセージと判定する機能をDCU200〜204が備えることによって、値が変化する共有情報を用いたメッセージ送受信を実現できる。
なお実施の形態2においては、中継装置であるDCU200〜204が有情報の更新から所定期間が経過するまでの間は更新前の古い共有情報を用いたメッセージと更新後の新たな共有情報を用いたメッセージとの両方を正当なメッセージと判定する機能を備える構成としたが、これに限るものではない。実施の形態1の変形例にて説明したように、ECU203a〜203lがこの機能を備える構成としてもよい。また図14〜図23に示した通信システムの構成、メッセージ又は更新命令の送信タイミング等は、一例であって、これに限るものではない。
1 車両
1a,1b 通信線
2、2a,2b ECU(通信装置)
4 ゲートウェイ(中継装置)
21 処理部
21a メッセージ生成部
21b メッセージ判定部(判定部)
21c 更新処理部(更新部)
22 記憶部
22a 暗号鍵
22b 共有情報
23 通信部(メッセージ送信部、メッセージ受信部)
41 処理部
41a メッセージ生成部
41b メッセージ判定部(判定部)
41c 更新処理部(更新部)
41d 更新命令送信部
41e メッセージ修正部
42 記憶部
42a 暗号鍵
42b 共有情報
42c 共有情報
43 通信部(メッセージ送信部、メッセージ受信部)
200〜204 DCU(中継装置)
203a〜203l ECU(通信装置)

Claims (9)

  1. 一又は複数の通信装置が通信線に接続され、複数の前記通信線の間の通信を中継装置が中継する通信システムにおいて、
    前記通信装置及び前記中継装置は、
    共有情報を記憶する記憶部と、
    前記共有情報を用いたメッセージを生成するメッセージ生成部と、
    前記メッセージ生成部が生成したメッセージを他の装置へ送信するメッセージ送信部と、
    他の装置からのメッセージを受信するメッセージ受信部と、
    前記共有情報に基づいて前記メッセージ受信部が受信したメッセージの正否を判定する判定部と
    をそれぞれ有し、
    前記通信装置及び前記中継装置のうちの少なくとも1つの装置は、前記共有情報を更新させる更新命令を他の装置へ送信する更新命令送信部を有し、
    前記通信装置及び前記中継装置は、前記更新命令を受信した場合に、前記記憶部に記憶された共有情報を更新する更新部を更に有し、
    前記通信装置又は前記中継装置は、前記共有情報の更新から所定期間が経過するまでの間、更新前の共有情報を用いて生成されたメッセージを受信した場合に、該メッセージを前記判定部が正当なメッセージと判定すること
    を特徴とする通信システム。
  2. 前記中継装置は、前記共有情報の更新から所定期間が経過するまでの間、更新前の共有情報を用いて生成されたメッセージを受信した場合に、該メッセージを更新後の共有情報を用いたメッセージに修正するメッセージ修正部を有し、前記メッセージ修正部が修正したメッセージを中継すること
    を特徴とする請求項1に記載の通信システム。
  3. 前記メッセージ生成部が生成するメッセージには、前記共有情報の更新状態を示す更新状態情報を含み、
    前記判定部は、前記共有情報及び受信したメッセージに含まれる更新状態情報に基づいてメッセージの正否を判定すること
    を特徴とする請求項1又は請求項2に記載の通信システム。
  4. 前記更新状態情報は、前記更新命令に応じて値が所定の規則で変化する情報であること
    を特徴とする請求項3に記載の通信システム。
  5. 前記更新状態情報は、前記更新命令に応じて値が反転するトグルビットであること
    を特徴とする請求項4に記載の通信システム。
  6. 前記メッセージ生成部が生成するメッセージには、前記共有情報と前記メッセージに含まれる情報とに基づいて生成されたメッセージ認証子を含み、
    前記判定部は、受信したメッセージに含まれる情報及びメッセージ認証子と、記憶部に記憶された前記共有情報とに基づいて前記メッセージの正否を判定すること
    を特徴とする請求項1乃至請求項5のいずれか1つに記載の通信システム。
  7. それぞれに一又は複数の通信装置が接続された複数の通信線間の通信を中継する中継装置において、
    前記通信装置との間で共有する共有情報を記憶する記憶部と、
    前記共有情報を用いて生成されたメッセージを前記通信装置から受信するメッセージ受信部と、
    前記共有情報に基づいて前記メッセージ受信部が受信したメッセージの正否を判定する判定部と、
    前記記憶部に記憶された共有情報を更新する更新部と、
    前記共有情報の更新から所定期間が経過するまでの間、更新前の共有情報を用いて生成されたメッセージを受信した場合に、該メッセージを更新後の共有情報を用いたメッセージに修正するメッセージ修正部と
    を備えることを特徴とする中継装置。
  8. 少なくとも中継装置が接続された通信線に接続され、前記通信線及び前記中継装置を介して通信を行う通信装置において、
    前記中継装置との間で共有する共有情報を記憶する記憶部と、
    前記共有情報を用いたメッセージを生成するメッセージ生成部と、
    前記メッセージ生成部が生成したメッセージを他の装置へ送信するメッセージ送信部と、
    他の装置からのメッセージを受信するメッセージ受信部と、
    前記共有情報に基づいて前記メッセージ受信部が受信したメッセージの正否を判定する判定部と、
    他の装置から送信される前記共有情報の更新命令を受信した場合に、前記記憶部に記憶された共有情報を更新する更新部と
    を有し、
    前記共有情報の更新から所定期間が経過するまでの間、更新前の共有情報を用いて生成されたメッセージを受信した場合に、該メッセージを前記判定部が正当なメッセージと判定すること
    を特徴とする通信装置。
  9. 通信線に一又は複数の通信装置が接続され、複数の前記通信線が接続された中継装置が前記通信線間の通信を中継する通信方法において、
    前記通信装置及び前記中継装置が、共有情報を記憶し、前記共有情報を用いたメッセージを生成して他の装置へ送信し、他の装置から受信したメッセージの正否を前記共有情報に基づいて判定し、
    前記通信装置及び前記中継装置のうちの少なくとも1つの装置が、前記共有情報を更新させる更新命令を他の装置へ送信し、
    前記通信装置及び前記中継装置が、前記更新命令を受信した場合に前記共有情報を更新し、
    前記通信装置又は前記中継装置が、前記共有情報の更新から所定期間が経過するまでの間、更新前の共有情報を用いて生成されたメッセージを受信した場合に、該メッセージを正当なメッセージと判定すること
    を特徴とする通信方法。
JP2016184503A 2016-09-21 2016-09-21 通信システム、中継装置及び通信方法 Active JP6693368B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2016184503A JP6693368B2 (ja) 2016-09-21 2016-09-21 通信システム、中継装置及び通信方法
US16/335,179 US20190349389A1 (en) 2016-09-21 2017-09-06 Communication system, relay device, communication device and communication method
DE112017004752.8T DE112017004752T5 (de) 2016-09-21 2017-09-06 Kommunikationssystem, Relaisvorrichtung, Kommunikationsvorrichtung und Kommunkationsverfahren
PCT/JP2017/032072 WO2018056054A1 (ja) 2016-09-21 2017-09-06 通信システム、中継装置、通信装置及び通信方法
CN201780053753.0A CN109661797B (zh) 2016-09-21 2017-09-06 通信系统、中继装置及通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016184503A JP6693368B2 (ja) 2016-09-21 2016-09-21 通信システム、中継装置及び通信方法

Publications (3)

Publication Number Publication Date
JP2018050183A true JP2018050183A (ja) 2018-03-29
JP2018050183A5 JP2018050183A5 (ja) 2019-01-31
JP6693368B2 JP6693368B2 (ja) 2020-05-13

Family

ID=61690952

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016184503A Active JP6693368B2 (ja) 2016-09-21 2016-09-21 通信システム、中継装置及び通信方法

Country Status (5)

Country Link
US (1) US20190349389A1 (ja)
JP (1) JP6693368B2 (ja)
CN (1) CN109661797B (ja)
DE (1) DE112017004752T5 (ja)
WO (1) WO2018056054A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11373520B2 (en) * 2018-11-21 2022-06-28 Industrial Technology Research Institute Method and device for sensing traffic environment

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002290396A (ja) * 2001-03-23 2002-10-04 Toshiba Corp 暗号鍵更新システムおよび暗号鍵更新方法
WO2015170453A1 (ja) * 2014-05-08 2015-11-12 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、不正検知電子制御ユニット及び不正対処方法
JP2016100632A (ja) * 2014-11-18 2016-05-30 株式会社東芝 通信システム及び通信装置

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4665617B2 (ja) * 2005-06-10 2011-04-06 沖電気工業株式会社 メッセージ認証システム,メッセージ送信装置,メッセージ受信装置,メッセージ送信方法,メッセージ受信方法およびプログラム
WO2013175633A1 (ja) 2012-05-25 2013-11-28 トヨタ自動車 株式会社 通信装置、通信システム及び通信方法
CN104662864B (zh) * 2012-08-03 2018-03-09 威斯科数据安全国际有限公司 使用了移动认证应用的用户方便的认证方法和装置
KR102166184B1 (ko) * 2012-11-30 2020-10-15 한국전자통신연구원 무선랜 시스템에서의 자원 할당 방법, 무선랜 시스템
JP6024564B2 (ja) * 2013-03-28 2016-11-16 株式会社オートネットワーク技術研究所 車載通信システム
US20150124704A1 (en) * 2013-11-06 2015-05-07 Qualcomm Incorporated Apparatus and methods for mac header compression
US10101716B2 (en) * 2014-12-04 2018-10-16 Belkin International, Inc. Autonomous, distributed, rule-based intelligence
US9577888B2 (en) * 2014-08-22 2017-02-21 Verizon Patent And Licensing Inc. Method and apparatus for verifying and managing a client system network and network devices
US10257159B2 (en) * 2014-12-04 2019-04-09 Belkin International, Inc. Methods, systems, and apparatuses for providing a single network address translation connection for multiple devices
JP6218184B2 (ja) * 2014-11-13 2017-10-25 日立オートモティブシステムズ株式会社 情報処理装置、メッセージ認証方法
US9407624B1 (en) * 2015-05-14 2016-08-02 Delphian Systems, LLC User-selectable security modes for interconnected devices
JP6484519B2 (ja) * 2015-07-15 2019-03-13 日立オートモティブシステムズ株式会社 ゲートウェイ装置およびその制御方法
US20190147431A1 (en) * 2017-11-16 2019-05-16 Blockmason Inc. Credit Protocol

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002290396A (ja) * 2001-03-23 2002-10-04 Toshiba Corp 暗号鍵更新システムおよび暗号鍵更新方法
WO2015170453A1 (ja) * 2014-05-08 2015-11-12 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、不正検知電子制御ユニット及び不正対処方法
JP2016100632A (ja) * 2014-11-18 2016-05-30 株式会社東芝 通信システム及び通信装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
菅島 健司 他: "セキュアかつ効率的な車載鍵管理の提案", SCIS2016 [USB] SCIS2016 2016 SYMPOSIUM ON CRYPTOGR, JPN6017044944, 22 January 2016 (2016-01-22), pages 1 - 6, ISSN: 0004153178 *

Also Published As

Publication number Publication date
CN109661797A (zh) 2019-04-19
DE112017004752T5 (de) 2019-06-27
US20190349389A1 (en) 2019-11-14
JP6693368B2 (ja) 2020-05-13
CN109661797B (zh) 2021-07-20
WO2018056054A1 (ja) 2018-03-29

Similar Documents

Publication Publication Date Title
CN104717201B (zh) 网络装置以及网络系统
EP3038318B1 (en) Communication control apparatus, communication control method and communication control program
JP5770602B2 (ja) 通信システムにおけるメッセージ認証方法および通信システム
JP6477281B2 (ja) 車載中継装置、車載通信システム及び中継プログラム
JP6899378B2 (ja) ネットワークノード
JP6512023B2 (ja) 通信システム、送信ノード、及び受信ノード
JP6814549B2 (ja) 演算装置、認証システム、認証方法
JP2013048374A (ja) 保護通信方法
WO2018017566A1 (en) Hash-chain based sender identification scheme
JP2016116132A (ja) 通信制御装置、通信制御方法、および、通信制御プログラム
JP2017121091A (ja) Ecu、及び車用ネットワーク装置
JP2013121070A (ja) 中継システム及び、当該中継システムを構成する中継装置、通信装置
WO2017026360A1 (ja) 通信システム
US20230037778A1 (en) Method and system for data exchange on a network to enhance security measures of the network, vehicle comprising such system
JP2018121220A (ja) 車載ネットワークシステム
WO2018056054A1 (ja) 通信システム、中継装置、通信装置及び通信方法
JP6375962B2 (ja) 車載ゲートウェイ装置及び電子制御装置
JP6804026B2 (ja) 暗号化通信システム
JP2018182767A (ja) Ecu、ネットワーク装置、及び車用ネットワーク装置
CN107624229B (zh) 用于在网络中产生机密或密钥的方法
JP2017130756A (ja) 中継装置
WO2020145086A1 (ja) 車載通信システム、車載通信制御装置、車載通信装置、通信制御方法及び通信方法
JP2016151871A (ja) 車載システム、及び、ecu
JP7110950B2 (ja) ネットワークシステム
JP2013121071A (ja) 中継システム及び、当該中継システムを構成する中継装置、外部装置

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181212

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191119

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200114

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200317

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200330

R150 Certificate of patent or registration of utility model

Ref document number: 6693368

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250