JP2019114916A - 通信装置 - Google Patents

通信装置 Download PDF

Info

Publication number
JP2019114916A
JP2019114916A JP2017246538A JP2017246538A JP2019114916A JP 2019114916 A JP2019114916 A JP 2019114916A JP 2017246538 A JP2017246538 A JP 2017246538A JP 2017246538 A JP2017246538 A JP 2017246538A JP 2019114916 A JP2019114916 A JP 2019114916A
Authority
JP
Japan
Prior art keywords
message
authentication
communication device
communication
received
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017246538A
Other languages
English (en)
Inventor
広大 片山
Kodai Katayama
広大 片山
中川 哲夫
Tetsuo Nakagawa
哲夫 中川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2017246538A priority Critical patent/JP2019114916A/ja
Publication of JP2019114916A publication Critical patent/JP2019114916A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】通信のセキュリティ性と、送受信のための処理負荷及びバス負荷の低減とを、両立させる。【解決手段】メッセージに添付された認証子によりメッセージ認証を行う通信装置は、S320にて、受信予定の全てのメッセージについて認証に成功したと判定すると、S330にて、他の通信装置に対して、当該通信装置宛のメッセージに認証子を添付することが不要なことを示す不要通知を送信し、S340にて、当該通信装置では認証処理を行うことなく受信メッセージを取り込むようにする非認証設定を行う。また、他の通信装置からの前記不要通知を受信すると、その不要通知の送信元を宛先とするメッセージについて、認証子の算出及び添付を行うことなく送信する非添付設定を行う。そして、伝送路に新たな機器が接続されたと判定すると、上記非認証設定及び非添付設定を解除する。【選択図】図5

Description

本開示は、メッセージ認証の機能を有する通信装置に関する。
例えば、車両に搭載される通信システムにおけるセキュリティ対策の手法として、MACと呼ばれる認証子を用いたメッセージ認証がある。MACは、「Message Authentication Code」の略であり、即ち、メッセージ認証コードの略である。
認証子を用いたメッセージ認証では、送信側において、送信対象のメッセージから所定のアルゴリズで認証子が算出され、この算出された認証子が送信対象のメッセージに添付される。そして、送信側からは、認証子が添付されたメッセージが送信される。受信側においては、受信されたメッセージから、送信側と同じアルゴリズムで認証子が算出される。そして、算出された認証子と、受信されたメッセージに添付されていた認証子とが比較され、両方の認証子が一致すれば、受信されたメッセージが適正な通信装置から送信されたものである(即ち、正当)と判定される。逆に、両方の認証子が一致しない場合には、受信されたメッセージが不正な通信装置から送信されたものである(即ち、正当でない)と判定される。
一方、例えば下記の特許文献1には、データ傍受を防止するための技術の一部として、通信バスにノードが接続されたことを、通信バスのインピーダンスの測定値に基づいて検出することが記載されている。
特開2014−83874号公報
認証子を用いたメッセージ認証を行う通信装置では、メッセージの送信と受信とのそれぞれにおいて認証子を算出することとなり、送受信のための処理負荷が大きくなる。また、メッセージに認証子が添付されるため、通信システムにおける伝送路に流れるデータ量(即ち、バス負荷)も大きくなる。
そこで、本開示の1つの局面は、通信のセキュリティ性と、送受信のための処理負荷及びバス負荷の低減とを、両立させることが可能な通信装置を提供する。
本開示の1つの態様による通信装置が用いられる通信システム(1)では、複数の通信装置の間でのメッセージの認証が、該メッセージに添付された認証子を用いて行われる。
そして、本開示の1つの態様による通信装置(11〜14)は、送信処理部(S110〜S150)と、受信処理部(S210〜S250)と、不要判定部(S320)と、第1設定部(S330,S340)と、第2設定部(S420,S430)と、接続判定部(S510,S610〜S630)と、解除部(S520)と、を備える。
送信処理部は、メッセージを送信する場合に、送信対象のメッセージから所定のアルゴリズムにより認証子を算出して、該算出した認証子を送信対象のメッセージに添付する算出添付処理を行い、この認証子が添付されたメッセージを、当該メッセージの宛先へと送信する処理を行う。
受信処理部は、当該通信装置宛のメッセージが受信された場合に、当該受信されたメッセージである受信メッセージの正当性を、当該受信メッセージに添付されている認証子を用いて判定する認証処理を行い、該認証処理により正当と判定したならば、当該受信メッセージを所定の記憶領域に取り込む。
不要判定部は、当該通信装置が起動してから所定の認証不要条件が成立したか否かを判定する。
第1設定部は、不要判定部により認証不要条件が成立したと判定された場合に、他の通信装置に対して、当該通信装置宛のメッセージに認証子を添付することが不要なことを示す不要通知を送信すると共に、受信処理部が前記認証処理を行うことなく受信メッセージを前記記憶領域に取り込むようにさせる非認証設定を行う。
第2設定部は、他の通信装置から送信された前記不要通知が受信されると、当該不要通知の送信元の通信装置を宛先とするメッセージについて、送信処理部が前記算出添付処理を行うことなく、当該メッセージを送信する処理を行うようにさせる非添付設定を行う。
接続判定部は、当該通信装置が接続されている通信システムの伝送路に、新たな機器が接続されたか否かを判定する。
解除部は、接続判定部により新たな機器が接続されたと判定された場合に、第1設定部による非認証設定と第2設定部による非添付設定とを、解除する。
このような通信装置を複数用いて通信システムを構成した場合の作用について説明する。ここでは、通信システムにおける通信装置が、通信装置Aと通信装置Bとの2つであるとして説明するが、通信装置の数は3つ以上であっても同様である。
各通信装置A,Bにおいて、不要判定部により認証不要条件が成立したと判定されるまでは、送信処理部がメッセージの送信時に算出添付処理を行い、受信処理部がメッセージの受信時に認証処理を行う。このため、例えば、通信装置Aから通信装置B宛てのメッセージが送信される場合、通信装置Aでは、算出添付処理が行われて、認証子が添付されたメッセージが送信される。そして、通信装置Aからのメッセージを受信した通信装置Bでは、受信メッセージに対して認証処理が行われ、この認証処理により正当と判定されれば、受信メッセージが所定の記憶領域に取り込まれる。つまり、各通信装置A,Bでは、メッセージの送受信に関して、認証子を用いたメッセージ認証用の処理が行われる。
その後、例えば通信装置Aにおいて、不要判定部により認証不要条件が成立したと判定されたとする。
すると、通信装置Aでは、第1設定部により、通信装置Bに対して不要通知が送信されると共に、非認証設定が行われる。このため、通信装置Aにおいて、受信処理部は、認証処理を行うことなく受信メッセージを所定の記憶領域に取り込むようになる。また、通信装置Bでは、通信装置Aからの不要通知を受信することにより、第2設定部が、非添付設定を行う。このため、通信装置Bにおいて、送信処理部は、通信装置A宛てのメッセージを、算出添付処理を行うことなく、つまり、認証子を算出して添付することなく、送信するようになる。よって、通信装置Bから通信装置Aへのメッセージの転送は、メッセージ認証用の処理無しで実施されるようになる。
同様に、通信装置Bにおいて、不要判定部により認証不要条件が成立したと判定されたならば、通信装置Aから通信装置Bへのメッセージの転送が、メッセージ認証用の処理無しで実施されるようになる。
よって、通信システムにおける全ての通信装置で認証不要条件が成立すると、全ての通信装置間のメッセージが、メッセージ認証用の処理無しで転送されることとなる。このため、各通信装置において送受信のための処理負荷が低減される。更に、伝送路に流れるメッセージに認証子が添付されなくなるため、バス負荷も低減される。
その後、伝送路に新たな機器が接続され、このことが各通信装置A,Bにおける接続判定部によって判定されると、各通信装置A,Bにおいて、第1設定部による非認証設定と第2設定部による非添付設定とが、解除される。
よって、各通信装置A,Bは、メッセージの送受信に関して、メッセージ認証用の処理を行う状態に戻る。このため、伝送路に不正な機器が接続された場合に、通信のセキュリティ性が確保される。
以上のことから、本開示の1つの態様による通信装置によれば、通信のセキュリティ性と、送受信のための処理負荷及びバス負荷の低減とを、両立させることができる。
尚、この欄及び特許請求の範囲に記載した括弧内の符号は、一つの態様として後述する実施形態に記載の具体的手段との対応関係を示すものであって、本開示の技術的範囲を限定するものではない。
実施態様の通信システムの構成を示すブロック図である。 CANフレームを説明する説明図。 送信時処理を表すフローチャートである。 受信時処理を表すフローチャートである。 第1の切替制御処理を表すフローチャートである。 第2の切替制御処理を表すフローチャートである。 認証復帰処理を表すフローチャートである。 機器接続検出処理を表すフローチャートである。
以下、図面を参照しながら、本開示の実施形態を説明する。
[1.通信システムの全体構成]
図1に示す実施態様の通信システム1は、例えば車両に搭載される通信システムであり、伝送路10を介して互いに通信する複数の通信装置として、複数(例えば4つ)の電子制御装置(以下、ECU)11〜14を備える。ECUは、「Electronic Control Unit」の略である。通信システム1における通信プロトコルは、例えばCANである。このため、伝送路10は、2本の信号線を備えたCANバスである。CANは、「Controller Area Network」の略であり、登録商標である。
ECU11〜14は、CANの通信フレームであるCANフレームによって通信されるメッセージの正当性を、認証子としてのMAC(即ち、メッセージ認証コード)に基づいて判断する。
図2に示すように、MACは、CANフレームのデータフィールドに、転送対象の制御データとともに配置される。また、CANフレームの先頭には、データの内容を識別するためのID(即ち、CAN−ID)が配置される。IDにより、CANフレームの宛先も特定される。CANフレームに含まれる転送対象の制御データは、ECU11〜14間でやりとりされるメッセージに該当する。このため、以下では、CANフレームに含まれて転送される制御データのことを、メッセージという。尚、通信プロトコルは、CAN以外であっても良い。また、通信装置としてのECUの数は、4以外であっても良い。
[2.各ECUに共通の構成]
図1に示すように、各ECU11〜14は、当該ECUの動作を司る演算部として、マイクロコンピュータ(以下、マイコン)21を備える。
マイコン21は、CPUと、例えばRAM又はROM等の半導体メモリ(以下、メモリ)と、を有する。マイコン21が果たす各機能は、上記CPUが非遷移的実体的記録媒体に格納されたプログラムを実行することにより実現される。この例では、上記メモリが、プログラムを格納した非遷移的実体的記録媒体に該当する。このプログラムが実行されることで、プログラムに対応する方法が実行される。
また、マイコン21は、受信されたメッセージ(即ち、制御データ)が記憶される記憶領域(以下、受信データ領域)30を備える。受信データ領域30に記憶されたメッセージは、制御対象の制御に使用される。受信データ領域30は、例えば、マイコン21に備えられたRAMの一部の記憶領域である。
尚、マイコン21が果たす機能の一部又は全部は、一つあるいは複数のハードウェアを用いて実現されても良い。例えば、上記機能がハードウェアである電子回路によって実現される場合、その電子回路は、デジタル回路、又はアナログ回路、あるいはこれらの組合せによって実現されても良い。
更に、各ECU11〜14は、記憶部22と、伝送路10に接続されたトランシーバ24と、マイコン21とトランシーバ24との間に設けられた通信コントローラ23と、を備える。
記憶部22は、例えば書き換え可能な不揮発性メモリによって構成されている。記憶部22には、MACの算出に用いられる暗号鍵が、予め記憶されている。暗号鍵は、各ECU11〜14に共通の共通鍵である。
通信コントローラ23は、マイコン21とトランシーバ24との間におけるデータ信号の入出力を、CANプロトコルに基づき実施する。トランシーバ24は、マイコン21から通信コントローラ23を介して与えられるハイ又はローの信号(即ち、送信信号)に応じて、伝送路10の電位を変化させる送信動作と、伝送路10の電位をハイ又はローの受信信号に変換して通信コントローラ23に出力する受信動作と、を行う。
よって、マイコン21から通信コントローラ23に出力されるデータは、通信コントローラ23及びトランシーバ24を介して伝送路10に出力される。そして、伝送路10に流れるデータは、トランシーバ24及び通信コントローラ23を介して、マイコン21に入力される。
また、マイコン21は、MAC演算部31と、認証部32とを備える。
MAC演算部31は、当該ECUからメッセージを送信する場合に、送信対象のメッセージと、記憶部22内の暗号鍵とから、所定の暗号化アルゴリズムにより、MACを算出する。例えば、メッセージとしての制御データとMACとの各データ長は、4バイトである。算出されたMACは、図2に示したように、送信対象のメッセージに添付される。具体的には、送信対象のメッセージと、算出されたMACとが、CANフレームのデータフィールドに配置される。そして、CANフレームの先頭には、当該CANフレームの宛先、即ち、当該フレームに含まれるメッセージの宛先を、特定可能なIDが配置される。よって、各ECU11〜14から伝送路10には、CANフレームが、「ID→メッセージ→MAC」の順で送出される。受信側は、CANフレームにおける先頭のIDにより、当該CANフレームの宛先を判別する。
また、当該ECU宛のCANフレームがトランシーバ24及び通信コントローラ23を介してマイコン21に入力された場合、即ち、当該ECU宛のメッセージが受信された場合には、受信メッセージの正当性を判定する認証処理が、MAC演算部31と認証部32により実施される。受信メッセージとは、受信されたメッセージのことであり、本実施形態では、受信されたCANフレームに含まれているメッセージである。
当該ECU宛のメッセージが受信された場合、MAC演算部31は、受信メッセージからMACを算出する。詳しくは、MAC演算部31は、受信メッセージと記憶部22内の暗号鍵とから、上記暗号化アルゴリズムにより、MACを算出する。
そして、認証部32が、MAC演算部31にて受信メッセージから算出されたMACと、受信されたMACとを比較することにより、受信メッセージの正当性を判断する。つまり、認証部32は、受信メッセージから算出されたMACと、受信されたMACとが、一致していれば、受信メッセージが正当なものであると判定するが、2つのMACが不一致ならば、受信メッセージは正当なものではないと判定する。尚、受信されたMACとは、受信されたCANフレームに含まれていたMACであり、即ち、受信メッセージに添付されていたMACである。また、認証部32により正当と判定された受信メッセージは、前述の受信データ領域30に取り込まれて、制御対象の制御に使用される。
[3.上記2.以外の構成]
図1に示すように、ECU11〜14のうちの1つ(例えばECU11)は、インピーダンス測定部25を備える。
インピーダンス測定部25は、マイコン21からの指令に従って、伝送路10のインピーダンスを測定し、その測定結果をマイコン21に出力する。インピーダンス測定部25は、例えば、伝送路10に所定の周波数及び振幅の交流電圧を印加して、伝送路10に流れる電流と伝送路10の電圧とを測定し、その測定した電流及び電圧の値から、伝送路10のインピーダンスを算出する。このようなインピーダンス測定部25については、例えば前述の特許文献1に記載されている。そして、ECU11のマイコン21は、インピーダンス測定部25によるインピーダンスの測定値に基づいて、伝送路10に新たな機器が接続されたか否かを判定する。尚、電流及び電圧の値からインピーダンスを算出する処理は、マイコン21で実施されても良い。
[4.各ECUに共通の処理]
次に、各ECU11〜14のマイコン21が実行する処理について、図3〜図6を用いて説明する。
[4−1.送信時処理]
マイコン21は、メッセージを送信するタイミングにて、図3の送信時処理を行う。
図3に示すように、マイコン21は、送信時処理を開始すると、S110にて、メッセージの宛先のECUについて、後述する図6のS430により非添付設定がされているか否かを判定する。非添付設定とは、MACの算出及び添付を行うことなくメッセージを送信する、という設定である。そして、この非添付設定は、他のECU毎に存在する設定である。非添付設定の有無は、例えば、他のECU毎について設けられた非添付設定フラグがオンかオフかによって判別される。
マイコン21は、S110にて、非添付設定がされていないと判定した場合には、S120に進み、送信対象のメッセージと、記憶部22内の暗号鍵とから、暗号化アルゴリズムにより、MACを算出する。このS120の処理は、MAC演算部31による処理である。
マイコン21は、次のS130にて、S120で算出されたMACを、送信対象のメッセージに添付する処理を行う。具体的には、マイコン21は、送信するCANフレームのデータフィールドに、メッセージとMACとを図2のように配置する処理を行う。S120及びS130の処理は、MACを算出してメッセージに添付する処理(以下、算出添付処理)である。
そして、マイコン21は、次の140にて、S130の処理によりMACが添付されたメッセージを当該メッセージの宛先へと送信する処理を行う。具体的には、マイコン21は、S140では、送信するCANフレームの先頭に前述のIDを付加し、当該IDが付加されたCANフレームのデータ列を、通信コントローラ23に出力する。CANフレームは、通信コントローラ23に出力されることで、トランシーバ24により伝送路10へと送出される。そして、その後、マイコン21は、当該送信時処理を終了する。
また、マイコン21は、上記S110にて、メッセージの宛先のECUについて非添付設定がされていると判定した場合には、S150に進む。
マイコン21は、S150では、MACの算出及び添付を行うことなく、送信対象のメッセージを送信する処理を行う。具体的には、マイコン21は、S150では、送信するCANフレームのデータフィールドに、MACを配置することなく、メッセージを配置する。そして、S140と同様に、送信するCANフレームの先頭にIDを付加し、当該IDが付加されたCANフレームのデータ列を、通信コントローラ23に出力する。その後、マイコン21は、当該送信時処理を終了する。
尚、S140とS150のそれぞれでは、マイコン21から通信コントローラ23に、データフィールドのデータ列が出力されると共に、付加するIDが指示され、通信コントローラ23にて、CANフレームの先頭にIDを付加する処理が実施されても良い。
[4−2.受信時処理]
マイコン21は、トランシーバ24及び通信コントローラ23により、当該ECU宛のCANフレームが受信された場合、即ち、当該ECU宛のメッセージが受信された場合に、図4の受信時処理を行う。
図4に示すように、マイコン21は、受信時処理を開始すると、S210にて、後述する図5のS340により非認証設定がされているか否かを判定する。非認証設定とは、MAC演算部31及び認証部32による認証処理を行うことなく、受信メッセージを受信データ領域30に取り込む、という設定である。非認証設定の有無は、例えば、非認証設定フラグがオンかオフかによって判別される。
マイコン21は、S210にて、非認証設定がされていないと判定した場合には、S220に進み、受信メッセージと、記憶部22内の暗号鍵とから、暗号化アルゴリズムにより、MACを算出する。このS220の処理は、MAC演算部31による処理である。
マイコン21は、次のS230にて、S220で受信メッセージから算出されたMACと、受信されたMACとを比較して、両MACが一致しているか否かを判定する。このS230の処理は、認証部32による処理である。
マイコン21は、上記S230にて、両MACが一致していると判定した場合には、受信メッセージが正当なものであると判定して、S240に進み、受信メッセージを受信データ領域30に取り込む(即ち、記憶する)。その後、マイコン21は、当該受信時処理を終了する。
また、マイコン21は、上記S230にて、両MACが一致していないと判定した場合には、受信メッセージが正当なものではないと判定して、S250に進み、受信メッセージを破棄する。その後、マイコン21は、当該受信時処理を終了する。
また、マイコン21は、上記S210にて、非認証設定がされていると判定した場合には、S220及びS230の認証処理を行うことなく、S240に進み、受信メッセージを受信データ領域30に取り込む。その後、マイコン21は、当該受信時処理を終了する。
[4−3.第1の切替制御処理]
マイコン21は、起動すると、図5に示す第1の切替制御処理を行う。尚、マイコン21は、例えば、車両の電源がオンされてECU11〜14に動作用電力が供給されると、起動する。また、第1の切替制御処理は、他の処理と例えばマルチタスクの形で並列的に実施される。
図5に示すように、マイコン21は、第1の切替制御処理を開始すると、S310にて、非認証設定を解除する。例えば、前述の非認証設定フラグをオフにする。つまり、図4の受信時処理においてS220及びS230の認証処理が実施されるようにする。
マイコン21は、次のS320にて、当該ECUが通信システム1における他のECUから受信する予定の全てのメッセージについて、上記S220及びS230の認証処理により、認証に成功したか否かを判定する。認証に成功したとは、正当と判定された、ということである。マイコン21は、このS320にて、受信予定の全メッセージについて認証に成功したと判定するまで待つ。
そして、マイコン21は、上記S320にて、受信予定の全メッセージについて認証に成功したと判定した場合には、認証不要条件が成立したと判定して、S330進む。
マイコン21は、S330では、当該ECU宛のメッセージにMACを添付することが不要なことを示す不要通知を、通信システム1における他のECUに送信する。
尚、不要通知も、例えばCANフレームとして送信される。不要通知としてのCANフレームに付加されるIDは、通信システム1における他の全てのECUが宛先となるIDである。また、不要通知としてのCANフレームのデータフィールドには、データとして、例えば、当該CANフレームが不要通知であることを示すデータと、当該CANフレームの送信元を特定可能なデータとが配置される。更に、そのデータフィールドには、MACも配置される。
そして、マイコン21は、次のS340にて、非認証設定を行う。例えば、前述の非認証設定フラグをオンにする。その後、マイコン21は、当該第1の切替制御処理を終了する。
つまり、マイコン21は、S320にて認証不要条件が成立したと判定すると、他のECUに不要通知を送信して、当該ECU宛のメッセージにMACを添付しないようにさせ、その上で、非認証設定を行う。
[4−4.第2の切替制御処理]
マイコン21は、起動すると、図6に示す第2の切替制御処理を行う。第2の切替制御処理も、第1の切替制御処理と同様に、他の処理と例えばマルチタスクの形で並列的に実施される。
図6に示すように、マイコン21は、第2の切替制御処理を開始すると、S410にて、他のECU毎の非添付設定を全て解除する。例えば、他のECU毎に対応して設けられた非添付設定フラグを全てオフにする。つまり、図3の送信時処理において、S120〜S140の処理が実施されるようにする。
マイコン21は、次のS420にて、他のECUが送信した前述の不要通知を受信したか否かを判定する。マイコン21は、このS420にて、他のECUからの不要通知を受信したと判定するまで待つ。
そして、マイコン21は、上記S420にて、他のECUからの不要通知を受信したと判定した場合には、S430に進み、受信した不要通知の送信元ECUについての非添付設定を行う。例えば、不要通知の送信元ECUに対応する非添付設定フラグをオンする。そして、マイコン21は、その後、S420に戻る。
このため、マイコン21は、他のECUからの不要通知を受信すると、その不要通知の送信元ECUを宛先とするメッセージについては、MACの算出及び添付を行うことなく宛先へと送信する処理(即ち、図3のS150)を行うようになる。
[4−5.認証復帰処理]
マイコン21は、図7に示す認証復帰処理を、例えば一定時間毎に実施する。
図7に示すように、マイコン21は、認証復帰処理を開始すると、S510にて、伝送路10に新たな機器が接続されたか否か(以下、機器接続の有無)を判定する。
尚、インピーダンス測定部25を備えるECU11のマイコン21は、後述する図8の機器接続検出処理を実施することにより、機器接続の有無を判定する。このため、ECU11のマイコン21は、S510では、機器接続検出処理の判定結果を参照することで、機器接続の有無を判定する。また、インピーダンス測定部25を備えないECU12〜14のマイコン21は、S510では、ECU11から送信される後述の機器接続通知に基づいて、機器接続の有無を判定する。
マイコン21は、上記S510にて、伝送路10に新たな機器が接続されていないと判定した場合には、そのまま当該認証復帰処理を終了する。
また、マイコン21は、上記S510にて、伝送路10に新たな機器が接続された(即ち、機器接続あり)と判定した場合は、S520に進む。そして、マイコン21は、S520では、図5のS340による非認証設定と、図6のS430による非添付設定とを、全て解除し、その後、当該認証復帰処理を終了する。尚、S520の解除処理が行われると、その後のマイコン21の動作中において、図5及び図6の各処理は実施されなくなる。
[5.機器接続検出処理]
ECU11のマイコン21は、図8に示す機器接続検出処理を、例えば一定時間毎に実施する。
図8に示すように、ECU11のマイコン21は、機器接続検出処理を開始すると、S610にて、伝送路10のインピーダンスをインピーダンス測定部25によって測定する。
ECU11のマイコン21は、次のS620にて、例えば記憶部22から、予め記憶されている判定値を読み出す。判定値は、伝送路10のインピーダンスの初期値である。判定値は、例えば、車両の製造工場において、通信システム1の車両への組み付けが完了したときに測定された、伝送路10のインピーダンス値である。判定値としてのインピーダンス値の測定には、インピーダンス測定部25が用いられても良いし、車両製造ラインに設けられた測定装置が用いられて良い。
そして、ECU11のマイコン21は、次のS630にて、S610で測定されたインピーダンスの測定値と、判定値とを比較することにより、機器接続の有無を判定する。具体的には、S630では、測定値と判定値との差、即ち「測定値−判定値」が、所定値以上であるか否かが判定され、差が所定値以上であれば、「機器接続あり」と判定される。
ECU11のマイコン21は、次のS640にて、S630での判定結果が「機器接続あり」であるか否かを判定し、判定結果が「機器接続あり」でなければ、当該機器接続検出処理を終了するが、判定結果が「機器接続あり」であれば、S650に進む。
ECU11のマイコン21は、S650では、機器接続通知を他のECU12〜14に送信し、その後、当該機器接続検出処理を終了する。機器接続通知も、前述の不要通知と同様にCANフレームとして送信される。
他のECU12〜14のマイコン21は、ECU11からの機器接続通知を受信すると、図7のS510にて「機器接続あり」と判定することとなる。尚、機器接続通知は、機器接続検出処理の判定結果として、「機器接続あり」を示す通知となっているが、「機器接続の有無」を示す通知としても良い。
[6.作用と効果]
ECU11〜14が起動してから、ECU11〜14の何れかにおいて、図5のS320で「YES」と判定されるまで、即ち、認証不要条件が成立したと判定されるまでは、各ECU11〜14において、メッセージの送受信に関してメッセージ認証用の処理が行われる。つまり、メッセージの送信に関しては、図3のS120及びS130の算出添付処理が行われて、メッセージがMACと共に送信され、メッセージの受信に関しては、図4のS220及びS230の認証処理が行われる。
その後、例えばECU11において、図5のS320で認証不要条件が成立したと判定されたとする。
すると、ECU11では、図5のS330,S340により、他のECU12〜14に対して不要通知が送信されると共に、非認証設定が行われる。ECU12〜13では、ECU11からの不要通知を受信することにより、図6のS430にて、ECU11についての非添付設定が行われる。このため、ECU12〜14において、ECU11宛てのメッセージについては、図3のS120及びS130の算出添付処理が行われず、MACが添付されずに送信される。そして、ECU11では、他のECU12〜14から当該ECU11宛てのメッセージを、図4のS220及びS230の認証処理を行うことなく、受信データ領域30に取り込むようになる。
よって、ECU12〜14からECU11へのメッセージの転送が、メッセージ認証用の処理無しで実施されるようになる。
同様に、例えばECU12において、図5のS320で認証不要条件が成立したと判定されると、ECU11,13,14からECU12へのメッセージの転送が、メッセージ認証用の処理無しで実施されるようになる。
よって、全てのECU11〜14において、図5のS320で認証不要条件が成立したと判定されると、全てのECU11〜14間のメッセージが、メッセージ認証用の処理無しで転送されるようになる。
このため、各ECU11〜14における送受信のための処理負荷が低減される。更に、伝送路10に流れるメッセージにMACが添付されなくなり、バス負荷も低減される。
その後、伝送路10に新たな機器が接続されたとする。
すると、ECU11においては、図8の機器接続検出処理により、「機器接続あり」と判定されて、他のECU12〜13への機器接続通知が送信されると共に、図7のS510で「機器接続あり」と判定されて、図7のS520により、非認証設定と非添付設定とが解除される。そして、ECU12〜14においても、ECU11からの機器接続通知が受信されることにより、図7のS510で「機器接続あり」と判定されて、図7のS520により、非認証設定と非添付設定とが解除される。
よって、各ECU11〜14は、メッセージの送受信に関して、メッセージ認証用の処理を行う状態に戻る。このため、伝送路10に不正な機器が接続された場合に、通信のセキュリティ性が確保される。
このように、ECU11〜14によれば、通信のセキュリティ性と送受信のための処理負荷及びバス負荷の低減とを両立させることができる、という効果が得られる。
更に、以上詳述した実施形態によれば、下記の効果も奏する。
図5のS320では、メッセージ認証を実施しなくする認証不要条件として、受信予定の全メッセージについて認証処理により認証に成功した、という条件が成立したか否かが判定される。
このため、通信相手の全てのECUの正当性が確認されてから、その通信相手との間のメッセージ認証を止めるようにすることができ、セキュリティ性を確保することができる。
尚、変形例として、マイコン21は、図5のS320では、例えば、受信予定の全メッセージについて2回以上である所定回以上ずつ認証に成功したか否かを、判定するようになっていても良い。また、マイコン21は、図5のS320では、例えば、起動してから一定時間が経過したか否かを判定しても良い。この一定時間としては、例えば、受信予定の全メッセージの受信を完了すると想定される時間以上に設定することができる。
ECU11では、マイコン21が図8の処理を行うことで、伝送路10のインピーダンスを測定すると共に、その測定値に基づいて、伝送路10への機器接続の有無を判定する。このため、ECU11では、機器接続の有無を、他のECUからの通知に依らずに、当該ECU11単独で判定することができる。
また、ECU11から他のECU12〜14へは、機器接続の有無の判定結果を示す通知として、機器接続通知が送信される。このため、ECU12〜14では、図8の処理を行わなくても、図7のS510にて機器接続の有無を判定することができる。
また、ECU11のマイコン21は、図8のS630では、通信システム1の車両への組み付けが完了したときに測定された伝送路10のインピーダンス値である判定値と、インピーダンスの測定値とを比較することにより、機器接続の有無を判定する。このため、機器接続の有無の判定精度を高くすることができる。
尚、ECU11〜14では、マイコン21が行う処理のうち、S110〜S150が、送信処理部としての処理に相当し、S210〜S250が、受信処理部としての処理に相当する。そして、S320が、不要判定部としての処理に相当し、S330,S340が、第1設定部としての処理に相当し、S420,S430が、第2設定部としての処理に相当する。また、ECU11では、S510,S610〜S630が、接続判定部としての処理に相当し、S650が、結果通知部としての処理に相当する。また、ECU12〜14では、S510が、接続判定部としての処理に相当する。そして、ECU11〜14では、S520が、解除部としての処理に相当する。
[7.他の実施形態]
以上、本開示の実施形態について説明したが、本開示は上述の実施形態に限定されることなく、種々変形して実施することができる。
例えば、通信システム1における各ECU11〜14がインピーダンス測定部25を備え、各ECU11〜14のマイコン21が、図8のS610〜S630の処理を行っても良い。
また、図8のS620では、インピーダンスの判定値として、複数の基準範囲が読み出されても良い。そして、図8のS630では、S610で測定されたインピーダンスの測定値が、複数の基準範囲の何れかに入っているか否かが判定され、インピーダンスの測定値が複数の基準範囲の何れにも入っていなければ、「機器接続あり」と判定されても良い。このように構成されたECUによれば、伝送路10のインピーダンスの標準値が異なる複数通りの通信システム、具体的には、例えばECUの数が異なる複数通りの通信システムに、対応することができるようになる。
また、上記実施形態における1つの構成要素が有する複数の機能を、複数の構成要素によって実現したり、1つの構成要素が有する1つの機能を、複数の構成要素によって実現したりしても良い。また、複数の構成要素が有する複数の機能を、1つの構成要素によって実現したり、複数の構成要素によって実現される1つの機能を、1つの構成要素によって実現したりしても良い。また、上記実施形態の構成の一部を省略しても良い。尚、特許請求の範囲に記載した文言から特定される技術思想に含まれるあらゆる態様が本開示の実施形態である。
また、上述したECUの他、当該ECUを構成要素とする通信システム、当該ECUとしてコンピュータを機能させるためのプログラム、このプログラムを記録した半導体メモリ等の非遷移的実態的記録媒体、通信方法など、種々の形態で本開示を実現することもできる。
1…通信システム、10…伝送路、11〜14…ECU

Claims (6)

  1. 複数の通信装置の間でのメッセージの認証が、該メッセージに添付された認証子を用いて行われる通信システム(1)において、前記各通信装置として用いられる通信装置(11〜14)であって、
    メッセージを送信する場合に、送信対象のメッセージから所定のアルゴリズムにより認証子を算出して、該算出した認証子を前記送信対象のメッセージに添付する算出添付処理を行い、前記認証子が添付された前記メッセージを、当該メッセージの宛先へと送信する処理を行うように構成された送信処理部(S110〜S150)と、
    当該通信装置宛のメッセージが受信された場合に、当該受信されたメッセージである受信メッセージの正当性を、当該受信メッセージに添付されている認証子を用いて判定する認証処理を行い、該認証処理により正当と判定したならば、当該受信メッセージを所定の記憶領域に取り込むように構成された受信処理部(S210〜S250)と、
    当該通信装置が起動してから所定の認証不要条件が成立したか否かを判定するように構成された不要判定部(S320)と、
    前記不要判定部により前記認証不要条件が成立したと判定された場合に、他の通信装置に対して、当該通信装置宛のメッセージに前記認証子を添付することが不要なことを示す不要通知を送信すると共に、前記受信処理部が前記認証処理を行うことなく前記受信メッセージを前記記憶領域に取り込むようにさせる非認証設定を行うように構成された第1設定部(S330,S340)と、
    他の通信装置から送信された前記不要通知が受信されると、当該不要通知の送信元の通信装置を宛先とするメッセージについて、前記送信処理部が前記算出添付処理を行うことなく、当該メッセージを送信する処理を行うようにさせる非添付設定を行うように構成された第2設定部(S420,S430)と、
    前記通信システムの伝送路(10)に、新たな機器が接続されたか否かを判定するように構成された接続判定部(S510,S610〜S630)と、
    前記接続判定部により新たな機器が接続されたと判定された場合に、前記非認証設定と前記非添付設定とを、解除するように構成された解除部(S520)と、
    を備える通信装置。
  2. 請求項1に記載の通信装置であって、
    前記認証不要条件には、当該通信装置が受信する予定の全てのメッセージが前記認証処理により正当と判定された、という条件が含まれる、
    通信装置。
  3. 請求項1又は請求項2に記載の通信装置(11)であって、
    前記接続判定部(S610〜S630)は、
    前記伝送路のインピーダンスを測定し、該測定値に基づいて、前記伝送路に新たな機器が接続されたか否かを判定するように構成されている、
    通信装置。
  4. 請求項3に記載の通信装置であって、
    当該通信装置は、車両に搭載される通信システムを構成する通信装置であり、
    前記接続判定部は、
    当該通信装置を含む前記通信システムの前記車両への組み付けが、完了したときに測定された前記伝送路のインピーダンス値と、前記測定値とを比較することにより、前記伝送路に新たな機器が接続されたか否かを判定するように構成されている、
    通信装置。
  5. 請求項3に記載の通信装置であって、
    前記接続判定部は、
    前記測定値が、予め定められた複数の基準範囲の何れかに入っているか否かを判定し、前記測定値が前記複数の基準範囲の何れにも入っていないと判定した場合に、前記伝送路に新たな機器が接続されたと判定するように構成されている、
    通信装置。
  6. 請求項3ないし請求項5の何れか1項に記載の通信装置であって、
    前記接続判定部による判定結果を、他の通信装置に通知するように構成された結果通知部(S650)を、更に備える、
    通信装置。
JP2017246538A 2017-12-22 2017-12-22 通信装置 Pending JP2019114916A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017246538A JP2019114916A (ja) 2017-12-22 2017-12-22 通信装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017246538A JP2019114916A (ja) 2017-12-22 2017-12-22 通信装置

Publications (1)

Publication Number Publication Date
JP2019114916A true JP2019114916A (ja) 2019-07-11

Family

ID=67222847

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017246538A Pending JP2019114916A (ja) 2017-12-22 2017-12-22 通信装置

Country Status (1)

Country Link
JP (1) JP2019114916A (ja)

Similar Documents

Publication Publication Date Title
JP6555209B2 (ja) 通信システム、管理ノード、通信ノード、カウンタ同期方法、カウント値配信方法、カウント値初期化方法、プログラム、記録媒体
US9866570B2 (en) On-vehicle communication system
US9331854B2 (en) Message authentication method in communication system and communication system
JP6267596B2 (ja) 通信システム、通信制御装置及び不正情報送信防止方法
WO2017026359A1 (ja) 通信装置
JP5286659B2 (ja) 車載装置中継システム、車載装置中継方法及び中継装置
JP2017050643A (ja) 中継装置
WO2018173732A1 (ja) 車載通信装置、コンピュータプログラム及びメッセージ判定方法
JP5522154B2 (ja) 中継システム及び、当該中継システムを構成する中継装置、通信装置
JP2016116132A (ja) 通信制御装置、通信制御方法、および、通信制御プログラム
JP6730578B2 (ja) 監視方法および監視システム
JP2018121220A (ja) 車載ネットワークシステム
CN109274636B (zh) 数据安全传输方法及其装置、系统、列车
US20110007897A1 (en) Communication node and network system
WO2019225369A1 (ja) 車載通信システム、判定装置、通信装置、判定方法及びコンピュータプログラム
JP2019114916A (ja) 通信装置
JP2017038145A (ja) 通信システム
JP6348150B2 (ja) 通信システム、通信制御装置及び不正情報送信防止方法
WO2018056054A1 (ja) 通信システム、中継装置、通信装置及び通信方法
US20130227157A1 (en) Terminal apparatus, operation method of terminal apparatus, and program product
JP6674854B2 (ja) 演算装置
WO2020145086A1 (ja) 車載通信システム、車載通信制御装置、車載通信装置、通信制御方法及び通信方法
WO2017026361A1 (ja) 通信システム、管理ノード、通常ノード、カウンタ同期方法、プログラム、記録媒体
JP7110950B2 (ja) ネットワークシステム
JP2016100842A (ja) 通信制御装置、通信制御方法、および、通信制御プログラム