JP5503692B2 - Wireless control security system - Google Patents

Wireless control security system Download PDF

Info

Publication number
JP5503692B2
JP5503692B2 JP2012131180A JP2012131180A JP5503692B2 JP 5503692 B2 JP5503692 B2 JP 5503692B2 JP 2012131180 A JP2012131180 A JP 2012131180A JP 2012131180 A JP2012131180 A JP 2012131180A JP 5503692 B2 JP5503692 B2 JP 5503692B2
Authority
JP
Japan
Prior art keywords
control device
key
message
ground
apm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012131180A
Other languages
Japanese (ja)
Other versions
JP2012178884A (en
Inventor
英里子 安藤
寧子 福澤
憲一 酒井
田岡  浩志
宣治 江見
修一 石田
庸介 嶋
洋 小貫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2012131180A priority Critical patent/JP5503692B2/en
Publication of JP2012178884A publication Critical patent/JP2012178884A/en
Application granted granted Critical
Publication of JP5503692B2 publication Critical patent/JP5503692B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、列車などの移動体システムと、移動体システムと通信を行う地上システムからなる無線制御システムにおいて、移動体システムの移動に伴うハンドオーバに対応し、移動体システムと地上システムの間で行われる通信のセキュリティを保持するシステムに関する。   The present invention provides a wireless control system that includes a mobile system such as a train and a ground system that communicates with the mobile system. The present invention relates to a system for maintaining communication security.

高密度線区向けなどの列車制御を行うシステムは、地上からの停止位置情報に基づいて車上で速度制御パターンを演算し、制御を行う車上演算主体システムであるCBTC(Communications−Based Train Control)へと発展する方向にある。CBTCの実現において、無線伝送路の利用が考えられており、無線伝送路の利用においては、通信データの改ざんなどの脅威への対処が必須である。   A system that performs train control for high-density line sections, etc., calculates a speed control pattern on the vehicle based on stop position information from the ground, and is a CBTC (Communications-Based Train Control) that is an on-board calculation main system that performs control. ). In realizing CBTC, use of a wireless transmission path is considered, and in using a wireless transmission path, it is essential to deal with threats such as tampering with communication data.

移動体に対する無線制御では、移動に伴う無線の切り替えを行うハンドオーバ技術が必要であるが、接続の切り替えに伴うなりすましを防ぐための認証処理が、ハンドオーバの際に繰り返し認証処理が行われると、セキュリティのオーバーヘッドが増大し、制御データの通信に影響を及ぼすという問題がある。   In radio control for a mobile body, a handover technique is required to perform radio switching associated with movement. However, if authentication processing for preventing spoofing associated with connection switching is repeatedly performed during handover, security is performed. There is a problem that the overhead of communication increases and affects the communication of control data.

このような移動体を制御する無線セキュリティシステムとしては、以下の特許文献1がある。   As a wireless security system for controlling such a moving body, there is the following Patent Document 1.

特開2002−300152号公報JP 2002-300152 A

特許文献1では、複数の基地局と認証サーバから成る基地局側装置と、移動体との間で行われる通信のセキュリティを実現する通信セキュリティ保持システムにおいて、認証確立時に発行された認証継続用鍵によってそれ以後の認証継続時の認証を行うものである。   In Patent Document 1, an authentication continuation key issued at the time of establishing authentication in a communication security holding system that realizes security of communication performed between a mobile station and a base station side device composed of a plurality of base stations and an authentication server. Thus, authentication is performed when authentication is continued thereafter.

基地局側装置の基地局は道路や線路脇に設置されるので、移動体の高速移動に対応するため、基地局に認証継続用のセキュリティ情報などを格納すると、基地局への不正アクセスにより、セキュリティ情報を入手されるおそれがあった。   Since the base station of the base station side device is installed beside the road or the track, if security information for continuation of authentication is stored in the base station in order to support high-speed movement of the moving body, unauthorized access to the base station There was a risk of obtaining security information.

また、既存の構成は、システムが大規模化された場合や多重化された場合の処理については考慮されていない。   In addition, the existing configuration does not consider processing when the system is scaled up or multiplexed.

本発明は、このような事情を鑑みてなされたもので、基地局側のシステムを階層構成にすることで、セキュリティ情報と処理の配置を考慮する。また、セキュリティ処理負荷を各階層に分散させることで基地局側のシステムの拡張を確保しつつ、多重系システムの運用にも対応するものである。   The present invention has been made in view of such circumstances, and considers the arrangement of security information and processing by making the base station side system hierarchical. In addition, by distributing the security processing load to each layer, the expansion of the system on the base station side can be ensured and the operation of the multiplex system can be handled.

すなわち、本発明は移動体に対する基地局側のシステム、すなわち地上システム側の安全性を考慮した無線制御セキュリティシステムであって、その一態様において、以下の3点を特徴とする。
1.地上システムはアクセスポイント(AP)、アクセスポイント制御装置(APM)、地上制御装置の3段構成とする。
2.セキュリティ機能の実現に伴う情報と処理は、地上システムを構成するAP、APM、地上制御装置で分担する。
3.システム運用時に新たに生成されるセキュリティ情報、例えば暗号鍵などは地上制御装置が生成、配信する。 That is, the present invention is a wireless control security system that takes into account the safety on the base station side with respect to the mobile unit, that is, the safety on the ground system side.
1. The ground system has a three-stage configuration of an access point (AP), an access point control device (APM), and a ground control device.
2. Information and processing associated with the realization of the security function are shared by the AP, APM, and ground control device that constitute the ground system.
3. Security information newly generated during system operation, for example, an encryption key, is generated and distributed by the ground control device.

より具体的には、本発明による無線制御セキュリティシステムは、移動体が有する車両制御装置と、地上制御装置とAPMとAPとから成る地上システムから構成される通信システムにおいて、車両制御装置は、固有情報格納部、セキュリティ情報格納部、乱数生成部、セキュリティ情報処理部、制御メッセージ生成・処理部、制御メッセージ保護部を備え、地上制御装置は、固有情報格納部、セキュリティ情報格納部、ネットワーク構成情報格納部、乱数生成部、制御メッセージ生成・処理部、セキュリティ情報配布部、セキュリティ情報地上制御装置間共有部を備え、APMは、固有情報格納部、セキュリティ情報格納部、ネットワーク構成情報格納部、セキュリティ情報処理部、制御メッセージ保護部を備え、APは、固有情報格納部、セキュリティ情報格納部、セキュリティ情報処理部、制御メッセージ保護部を備える。   More specifically, the wireless control security system according to the present invention is a communication system including a vehicle control device included in a mobile body and a ground system including a ground control device, an APM, and an AP. An information storage unit, a security information storage unit, a random number generation unit, a security information processing unit, a control message generation / processing unit, a control message protection unit, a ground control device, a unique information storage unit, a security information storage unit, network configuration information APM includes a storage unit, a random number generation unit, a control message generation / processing unit, a security information distribution unit, and a security information ground control unit sharing unit. APM has a unique information storage unit, a security information storage unit, a network configuration information storage unit, a security unit An information processing unit and a control message protection unit are provided. Security information storage unit, the security information processing unit, a control message protection unit comprises.

地上制御装置は、車両制御装置に対応した乱数、および鍵データを生成し、乱数および鍵データを定期的にAPMに送付し、APMは、地上制御装置から送付された乱数と鍵データをセキュリティ情報格納部に設定し、車両制御装置および地上制御装置が生成したそれぞれの乱数を用いて、車両制御装置と、APを介してセキュリティ情報証処理部で相互認証を行い、認証で得られた車両制御装置IDを使って、鍵データをAPおよび車両制御装置に配信する。認証に必要な固有鍵情報はAPMおよび車両制御装置が予め保有していることを特徴とする。   The ground control device generates a random number and key data corresponding to the vehicle control device, and periodically sends the random number and key data to the APM. The APM uses the random number and key data sent from the ground control device as security information. Vehicle control obtained by authentication by performing mutual authentication between the vehicle control device and the security information certificate processing unit via the AP using the random numbers generated by the vehicle control device and the ground control device set in the storage unit Using the device ID, the key data is distributed to the AP and the vehicle control device. The unique key information necessary for the authentication is previously held by the APM and the vehicle control device.

また、鍵データを用いて、車両制御装置、APMおよびAPは、車両制御装置および地上制御装置が生成する通信データを保護することを特徴とする。   Further, the vehicle control device, APM and AP use the key data to protect communication data generated by the vehicle control device and the ground control device.

また、APMには複数のAPが接続され、地上制御装置には複数のAPMが接続された地上制御システムを基本構成とし、地上制御装置が送出する情報を複数のAPMおよびAPで共有することを特徴とする。   In addition, a basic configuration is a ground control system in which a plurality of APs are connected to the APM and a plurality of APMs are connected to the ground control device, and information transmitted by the ground control device is shared by the plurality of APMs and APs. Features.

また、地上制御装置が送出する情報を複数の論理制御装置間で共有し、車両制御装置と通信を確立している第1の地上制御装置が、車両制御装置に関する位置情報およびセキュリティ情報を第2の地上制御装置と共有し、車両制御装置の移動に伴い、車両制御装置のセキュリティ情報および制御情報を移動元となる第1の地上制御装置が移動先となる第2の地上制御装置に送信し、車両制御装置の移動に伴って取得した車両制御装置の位置情報およびセキュリティ情報を、第2の地上制御装置が第1の地上制御装置に送信することを特徴とする。   In addition, the first ground control device that shares information transmitted by the ground control device among the plurality of logic control devices and establishes communication with the vehicle control device receives the second position information and security information related to the vehicle control device. The first ground control device serving as the movement source transmits the security information and control information of the vehicle control device to the second ground control device serving as the movement destination in accordance with the movement of the vehicle control device. The second ground control device transmits the position information and security information of the vehicle control device acquired with the movement of the vehicle control device to the first ground control device.

また、第1の地上制御装置から第2の地上制御装置への車両制御装置のセキュリティ情報の送信、および第2の地上制御装置から第1の地上制御装置への車両制御装置の位置情報およびセキュリティ情報の送信が定期的に行われることを特徴とする。   Also, transmission of security information of the vehicle control device from the first ground control device to the second ground control device, and location information and security of the vehicle control device from the second ground control device to the first ground control device Information transmission is performed periodically.

また、車両制御装置、地上制御装置部、APM、APのそれぞれは、複数の装置からなる多重系制御構成であり、多重系制御構成の地上制御装置間ではセキュリティ情報を共有することを特徴とする。   Each of the vehicle control device, the ground control device unit, the APM, and the AP has a multi-system control configuration including a plurality of devices, and security information is shared between the ground control devices of the multi-system control configuration. .

上記態様によれば、地上システムが列車などの移動体を捕捉し、列車制御情報を送受信する無線制御セキュリティシステムにおいて、地上システムはAP、APM、地上制御装置の3段構成をとることでセキュリティ処理に伴う負荷を軽減し、大規模なシステムへの拡張を可能とする。   According to the above aspect, in the wireless control security system in which the ground system captures a moving body such as a train and transmits and receives train control information, the ground system has a three-stage configuration of AP, APM, and ground control device, thereby performing security processing. To reduce the load associated with the system and enable expansion to large-scale systems.

本発明によれば、システムの拡張性を確保しつつ、多重系システムの運用にも対応可能となる。   According to the present invention, it is possible to cope with the operation of a multiplex system while ensuring the expandability of the system.

本実施形態のシステム構成を表した図である。It is a figure showing the system configuration | structure of this embodiment. 本実施形態のシステム構成における機器の実現例を表した図である。It is a figure showing the implementation example of the apparatus in the system configuration of this embodiment. 本実施形態の地上制御装置の記憶装置のデータ構成を表した図である。It is a figure showing the data structure of the memory | storage device of the ground control apparatus of this embodiment. 本実施形態の地上制御装置の記憶装置のデータ構成を表した図である。It is a figure showing the data structure of the memory | storage device of the ground control apparatus of this embodiment. 本実施形態のAPMの記憶装置のデータ構成を表した図である。It is a figure showing the data structure of the memory | storage device of APM of this embodiment. 本実施形態のAPMの記憶装置のデータ構成を表した図である。It is a figure showing the data structure of the memory | storage device of APM of this embodiment. 本実施形態の車両制御装置の記憶装置のデータ構成を表した図である。It is a figure showing the data structure of the memory | storage device of the vehicle control apparatus of this embodiment. 本実施形態のAPの記憶装置のデータ構成を表した図である。It is a figure showing the data structure of the memory | storage device of AP of this embodiment. 本実施形態のシステム起動時の正常処理を表したフローチャートである。It is a flowchart showing the normal process at the time of system starting of this embodiment. 本実施形態の制御メッセージの保護通信処理を表したフローチャートである。It is a flowchart showing the protection communication process of the control message of this embodiment. 本実施形態の地上装置システムのセキュリティ情報共有処理を表したフローチャートである。It is a flowchart showing the security information sharing process of the ground device system of this embodiment. 本実施形態の地上装置システムのセキュリティ情報共有処理を表したフローチャートである。It is a flowchart showing the security information sharing process of the ground device system of this embodiment. 本実施形態の地上装置システムのセキュリティ情報共有処理を表したフローチャートである。It is a flowchart showing the security information sharing process of the ground device system of this embodiment. 本実施形態の管理主体が異なる地上制御装置と車両制御装置間の認証処理を表したフローチャートである。It is a flowchart showing the authentication process between the ground control apparatus and vehicle control apparatus from which the management main body of this embodiment differs. 本実施形態の地上制御装置と車両制御装置間の再認証処理を表したフローチャートである。It is a flowchart showing the re-authentication process between the ground control apparatus and vehicle control apparatus of this embodiment. 本実施形態の通信メッセージのデータフォーマットを示す図である。It is a figure which shows the data format of the communication message of this embodiment. 本実施形態の通信メッセージのデータフォーマットを示す図である。It is a figure which shows the data format of the communication message of this embodiment. 本実施形態の通信メッセージのデータフォーマットを示す図である。It is a figure which shows the data format of the communication message of this embodiment.

以下に、本発明を適用する実施形態を説明する。   Embodiments to which the present invention is applied will be described below.

本実施形態は移動体である列車を制御するシステム(無線制御セキュリティシステムを含む通信システム)であり、列車が移動する線路上の一定の列車制御区域を対象とし、この区域内に複数のアクセスポイント(AP)と接続された1つのアクセスポイント制御装置(APM)と、複数のAPMと接続された1つの地上制御装置を一構成とする地上制御システムを設置する。   The present embodiment is a system (communication system including a wireless control security system) for controlling a train that is a moving body, and targets a certain train control area on a track on which the train moves, and a plurality of access points in this area. A ground control system comprising one access point control device (APM) connected to (AP) and one ground control device connected to a plurality of APMs is installed.

地上制御システムを複数設置し、各地上制御システムの地上制御装置を接続することで、システムの大規模化に対応できる。   By installing multiple ground control systems and connecting the ground control devices of each ground control system, it is possible to cope with the large scale of the system.

各地上制御装置は、それぞれが管理するAPを介して、管理下にある列車に対して制御データを送付することで、列車を制御する。列車がある地上制御装置の管理下から隣接する地上制御装置の管理下に移動すれば、二つの地上制御装置が連携することで、列車制御が継続される。   Each ground control device controls the train by sending control data to the train under management via the AP managed by each ground control device. If the train moves from the management of a certain ground control device to the management of an adjacent ground control device, the two ground control devices cooperate to continue the train control.

図1は本実施形態のシステム構成を表した図である。本実施形態は、地上制御装置(101)(102)、APM(103)(104)(105)、AP(106)(107)(108)、列車(112)に装置される車両制御装置(111)、地上子(113)(114)からなるシステムである。列車(112)には複数の車両制御装置(111)を搭載することも可能であるが、ここでは1台が動作するものとする。複数のAP(106)(107)がAPM(103)に接続されており、複数のAPM(103)(104)が地上制御装置(101)に接続されている。また、地上制御装置(101)と地上制御装置(102)は接続されている。車両制御装置(111)は地上子(113)の上を通過する際に、地上子(113)から位置情報を取得する。すなわち、地上子(113)から取得した位置情報が列車(112)の現在の位置となる。   FIG. 1 is a diagram showing the system configuration of the present embodiment. This embodiment is a vehicle control device (111) installed in a ground control device (101) (102), an APM (103) (104) (105), an AP (106) (107) (108), and a train (112). ), Ground unit (113) (114). Although it is possible to mount a plurality of vehicle control devices (111) on the train (112), it is assumed here that one unit operates. A plurality of APs (106) (107) are connected to the APM (103), and a plurality of APMs (103) (104) are connected to the ground control device (101). The ground control device (101) and the ground control device (102) are connected. The vehicle control device (111) acquires position information from the ground unit (113) when passing over the ground unit (113). That is, the position information acquired from the ground unit (113) becomes the current position of the train (112).

図2は本実施形態の地上制御装置(101)(102)、APM(103)(104)(105)、AP(106)(107)(108)、列車(112)に装置される車両制御装置(111)の実施例を示す機器構成図である。端末(201)は、CPU(202)と、メモリ(203)と、記憶装置(204)と、通信IF(205)、周辺機器接続IF(206)を有している。通信IF(205)を介し、さらにネットワーク(210)を介して他の端末(201)に接続し、周辺機器接続IF(206)を介して表示装置(207)と接続する。CPU(202)は、端末(201)の動作を制御する装置である。記憶装置(204)、メモリ(203)では、端末(201)の動作を制御するのに必要な各種処理プログラムやデータの格納やロードが行われる。記憶装置(204)、メモリ(203)に格納された各種処理プログラムをCPU(202)が実行することで、後述する各種処理が実行される。なお、これに限らず、各種処理プログラムが記憶/通信媒体経由で端末(201)にインストールされる構成とすることも可能である。   FIG. 2 shows a vehicle control device installed in the ground control device (101) (102), APM (103) (104) (105), AP (106) (107) (108), and train (112) of this embodiment. It is an apparatus block diagram which shows the Example of (111). The terminal (201) includes a CPU (202), a memory (203), a storage device (204), a communication IF (205), and a peripheral device connection IF (206). The terminal is connected to another terminal (201) via the communication IF (205) and further via the network (210), and is connected to the display device (207) via the peripheral device connection IF (206). The CPU (202) is a device that controls the operation of the terminal (201). In the storage device (204) and the memory (203), various processing programs and data necessary for controlling the operation of the terminal (201) are stored and loaded. When the CPU (202) executes various processing programs stored in the storage device (204) and the memory (203), various processing described later is executed. However, the present invention is not limited to this, and various processing programs may be installed in the terminal (201) via a storage / communication medium.

図3、図4は、地上制御装置(101)(102)の記憶装置(204)に格納されるデータを示す。   3 and 4 show data stored in the storage device (204) of the ground control devices (101) and (102).

図3(a)は、地上制御装置(101)(102)の記憶装置(204)に地上制御装置の識別子R−ID(340)、セキュリティ情報(300)(350)、ネットワーク構成情報(310)(320)、制御処理部(330)が格納されることを示している。R−ID(340)には装置毎に異なる識別子が格納される。   FIG. 3A shows a storage device (204) of the ground control devices (101) and (102), an identifier R-ID (340) of the ground control device, security information (300) (350), and network configuration information (310). (320) indicates that the control processing unit (330) is stored. The R-ID (340) stores a different identifier for each device.

図3(b)は車両制御装置に関するセキュリティ情報(300)であり、車両制御装置ID(301)、暗号鍵(303)、APM−MAC鍵(304)、AP−MAC鍵(309)、ステータス(305)、カウンタ(306)、乱数(307)、メカニズム指定コード(308)、一時暗号鍵(361)、一時APM−MAC鍵(362)、一時AP−MAC鍵(363)、管理外車両用認証鍵(364)、管理外車両フラグ(365)から構成される。   FIG. 3B shows security information (300) related to the vehicle control device. The vehicle control device ID (301), the encryption key (303), the APM-MAC key (304), the AP-MAC key (309), the status ( 305), counter (306), random number (307), mechanism designation code (308), temporary encryption key (361), temporary APM-MAC key (362), temporary AP-MAC key (363), authentication for unmanaged vehicle It consists of a key (364) and an unmanaged vehicle flag (365).

車両制御装置ID(301)は車両を識別する車両固有の識別子であり、予め設定されている。ただし、例えば、新規に列車が追加された場合や他社路線との乗り入れの場合など、管理外の列車の車両制御装置IDは設定されていない。   The vehicle control device ID (301) is a vehicle-specific identifier for identifying the vehicle and is set in advance. However, for example, when a new train is added or when entering a route with another company's route, the vehicle control device ID of an unmanaged train is not set.

暗号鍵(303)、APM−MAC鍵(304)、AP−MAC鍵(309)、カウンタ(306)は、車両と地上制御システムの通信に先立って行われる認証処理で設定され、認証処理後の制御メッセージの保護通信に使用される。   The encryption key (303), the APM-MAC key (304), the AP-MAC key (309), and the counter (306) are set in an authentication process performed prior to communication between the vehicle and the ground control system. Used for secure communication of control messages.

ステータス(305)は、車両制御装置との認証処理がどの段階まで完了しているかを示す。乱数(307)は認証処理で設定され、認証データの生成に使用する。   The status (305) indicates to what level the authentication process with the vehicle control device has been completed. The random number (307) is set in the authentication process and used to generate authentication data.

メカニズム指定コード(308)は認証時に車両制御装置から送られてくる情報である。一時暗号鍵(361)、一時APM−MAC鍵(362)、一時AP−MAC鍵(363)、管理外車両用認証鍵(364)は、該車両制御装置を管理していない地上制御装置へ移動する場合、または該地上制御装置が管理していない車両制御装置が移動してくる場合に設定される。車両制御装置の追加や他社路線乗り入れなどにより管理外の車両制御装置との認証が発生する場合は、管理外車両用認証鍵(364)を使用する。車両制御装置は管理下の地上制御装置から管理外の地上制御装置へ移動する間、一時暗号鍵(361)、一時APM−MAC鍵(362)、一時AP−MAC鍵(363)を使って制御メッセージの保護通信を行う。   The mechanism designation code (308) is information sent from the vehicle control device at the time of authentication. The temporary encryption key (361), the temporary APM-MAC key (362), the temporary AP-MAC key (363), and the unmanaged vehicle authentication key (364) are moved to the ground control device that is not managing the vehicle control device. Or when a vehicle control device that is not managed by the ground control device moves. When authentication with an unmanaged vehicle control device occurs due to the addition of a vehicle control device or entering another company's route, an unmanaged vehicle authentication key (364) is used. The vehicle control device uses the temporary encryption key (361), the temporary APM-MAC key (362), and the temporary AP-MAC key (363) while moving from the managed ground control device to the unmanaged ground control device. Perform message protection communication.

管理外車両フラグ(365)は、該地上制御装置が管理外の車両制御装置の場合にオンとなる。   The unmanaged vehicle flag (365) is turned on when the ground control device is an unmanaged vehicle control device.

図3(c)は、管理主体が異なる地上制御装置に関するセキュリティ情報(350)であり、他社地上制御装置ID(351)、暗号鍵(352)、MAC鍵(353)で構成される。セキュリティ情報(350)の値は予め設定されており、一時暗号鍵(361)、一時APM−MAC鍵(362)、一時AP−MAC鍵(363)を通知する際に使用する。   FIG. 3C shows security information (350) relating to ground control devices with different management entities, and includes a ground control device ID (351) of another company, an encryption key (352), and a MAC key (353). The value of the security information (350) is set in advance and is used when notifying the temporary encryption key (361), the temporary APM-MAC key (362), and the temporary AP-MAC key (363).

図4(a)は、ネットワーク構成情報(310)の構成図であり、路線の識別子である路線ID(311)、各地上制御システムの地上制御装置ID(312)で構成される。つまり、路線IDの地上システムの構成は、地上制御装置R−ID1〜R−IDnからなるそれぞれの地上制御システムによって構成されていることを示す。地上制御装置R−ID1〜R−IDnは管理主体が異なる地上制御装置が含まれる可能性もある。   FIG. 4A is a configuration diagram of the network configuration information (310), and includes a route ID (311) that is a route identifier and a ground control device ID (312) of each ground control system. That is, it shows that the configuration of the ground system of the route ID is configured by each ground control system including the ground control devices R-ID1 to R-IDn. The ground control devices R-ID1 to R-IDn may include ground control devices with different management entities.

図4(b)は、ネットワーク構成情報(320)の構成図であり、地上制御装置に接続しているAPMのAPM ID(321)、各APMに接続しているAPの関連付けられたAPのリスト(322)から成る。   FIG. 4B is a configuration diagram of the network configuration information (320), and the APM ID (321) of the APM connected to the ground control device and a list of APs associated with the APs connected to each APM. (322).

図4(c)は、制御処理部(330)の構成図である。制御メッセージ生成・処理部(331)、乱数生成部(332)、セキュリティ情報配布部(333)、セキュリティ情報地上制御装置間共有部(334)からなる。   FIG. 4C is a configuration diagram of the control processing unit (330). A control message generation / processing unit (331), a random number generation unit (332), a security information distribution unit (333), and a security information ground control unit sharing unit (334).

図5、図6は、APM(103)(104)(105)の記憶装置(204)に格納されるデータを示す。   5 and 6 show data stored in the storage device (204) of the APM (103) (104) (105).

図5(a)は、該当するAPMの識別子であるAPM−ID(550)、APM(103)(104)(105)の記憶装置(204)にはセキュリティ情報(530)(540)、ネットワーク構成情報(310)(510)、制御処理部(520)が格納されることを示している。ネットワーク構成情報(310)は、地上制御装置と同一であることを示す。   FIG. 5A shows the APM-ID (550) which is the identifier of the corresponding APM, the security information (530) (540) in the storage device (204) of the APM (103) (104) (105), and the network configuration. It shows that the information (310) (510) and the control processing unit (520) are stored. The network configuration information (310) indicates that it is the same as the ground control device.

図5(b)は、車両制御装置に関するセキュリティ情報(530)の構成図であり、車両制御装置ID(531)、車両固有鍵(532)、暗号鍵(533)、APM−MAC鍵(534)、ステータス(535)、カウンタ(536)、乱数(537)、メカニズム指定コード(538)、一時暗号鍵(561)、一時APM−MAC鍵(562)、管理外車両用認証鍵(563)、管理外車両フラグ(564)から成る。車両制御装置ID(531)は車両を識別する車両固有の識別子であり、車両固有鍵(532)は車両毎の固有鍵である。車両制御装置ID(531)と車両固有鍵(532)は予め設定されている。ただし、管理外の車両制御装置の車両制御装置IDと車両固有鍵は設定されていない。   FIG. 5B is a configuration diagram of security information (530) related to the vehicle control device. The vehicle control device ID (531), the vehicle unique key (532), the encryption key (533), and the APM-MAC key (534). , Status (535), counter (536), random number (537), mechanism designation code (538), temporary encryption key (561), temporary APM-MAC key (562), unmanaged vehicle authentication key (563), management It consists of an outside vehicle flag (564). The vehicle control device ID (531) is an identifier unique to the vehicle for identifying the vehicle, and the vehicle unique key (532) is a unique key for each vehicle. The vehicle control device ID (531) and the vehicle unique key (532) are set in advance. However, the vehicle control device ID and the vehicle unique key of the unmanaged vehicle control device are not set.

暗号鍵(533)、APM−MAC鍵(534)、カウンタ(536)は、車両と地上制御システムの通信に先立って行われる認証処理で設定される。   The encryption key (533), the APM-MAC key (534), and the counter (536) are set by an authentication process performed prior to communication between the vehicle and the ground control system.

ステータス(535)は、車両制御装置との認証処理がどの段階まで完了しているかを示す。   The status (535) indicates to what level the authentication process with the vehicle control device is completed.

乱数(537)は認証処理で設定され、認証データの生成に使用する。メカニズム指定コード(538)は認証時に車両制御装置から送られてくる情報である。   The random number (537) is set in the authentication process and is used for generating authentication data. The mechanism designation code (538) is information sent from the vehicle control device at the time of authentication.

一時暗号鍵(561)、一時APM−MAC鍵(562)、管理外車両用認証鍵(563)は管理外の車両制御装置の情報であり、管理外の車両制御装置が移動してくる場合に設定される。管理外の車両制御装置との認証には、管理外車両用認証鍵(563)を使用する。管理外の車両制御装置が移動してくる際の制御メッセージの保護通信には、一時暗号鍵(561)、一時APM−MAC鍵(562)を使用する。   The temporary encryption key (561), the temporary APM-MAC key (562), and the unmanaged vehicle authentication key (563) are information on the unmanaged vehicle control device, and when the unmanaged vehicle control device moves. Is set. For authentication with the unmanaged vehicle control device, an unmanaged vehicle authentication key (563) is used. A temporary encryption key (561) and a temporary APM-MAC key (562) are used for protected communication of control messages when an unmanaged vehicle control apparatus moves.

管理外車両フラグ(564)は、管理外の車両制御装置の情報の場合にオンとなる。   The unmanaged vehicle flag (564) is turned on in the case of information on an unmanaged vehicle control device.

図5(c)は、該当APMに接続されているAPに関するセキュリティ情報(540)であり、APを識別するAP ID(541)とAP固有暗号鍵(542)、AP固有MAC鍵(543)から成る。セキュリティ情報(540)は地上制御装置(101)から配布されてもよいが、ここでは事前に設定されているものとする。   FIG. 5C shows security information (540) related to the AP connected to the corresponding APM. From the AP ID (541) for identifying the AP, the AP unique encryption key (542), and the AP unique MAC key (543). Become. The security information (540) may be distributed from the ground control device (101), but is assumed to be set in advance here.

図6(a)は、ネットワーク構成情報(510)であり、該当するAPM(103)(104)(105)が接続する地上制御装置ID(511)が記憶されている。   FIG. 6A shows network configuration information (510) in which the ground control device ID (511) to which the corresponding APM (103) (104) (105) is connected is stored.

図6(b)は、APM(103)(104)(105)の制御処理部(520)の構成図である。制御処理部(520)には、制御メッセージ保護部(521)、セキュリティ情報処理部(522)が格納されている。   FIG. 6B is a configuration diagram of the control processing unit (520) of the APM (103) (104) (105). The control processing unit (520) stores a control message protection unit (521) and a security information processing unit (522).

図7は、車両制御装置(111)の記憶装置(204)に格納されるデータを示す。   FIG. 7 shows data stored in the storage device (204) of the vehicle control device (111).

図7(a)は、車両制御装置(111)の記憶装置(204)には該当する車両制御装置を示す識別子T−ID(730)、セキュリティ情報(700)、制御処理部(720)が格納されることを示している。   In FIG. 7A, the storage device (204) of the vehicle control device (111) stores an identifier T-ID (730) indicating the corresponding vehicle control device, security information (700), and a control processing unit (720). It is shown that.

図7(b)は、セキュリティ情報(700)の構成図であり、車両固有鍵(702)、暗号鍵(703)、APM−MAC鍵(704)、AP−MAC鍵(712)、地上制御装置ID(705)、ステータス(706)、カウンタ(707)、乱数(708)、位置(710)、時刻(709)、メカニズム指定コード(711)、管理外車両用認証鍵(713)から成る。   FIG. 7B is a configuration diagram of the security information (700). The vehicle unique key (702), the encryption key (703), the APM-MAC key (704), the AP-MAC key (712), and the ground control device It consists of ID (705), status (706), counter (707), random number (708), position (710), time (709), mechanism designation code (711), and unmanaged vehicle authentication key (713).

車両固有鍵(702)は予め設定されている。   The vehicle unique key (702) is set in advance.

暗号鍵(703)、APM−MAC鍵(704)、AP−MAC鍵(712)、カウンタ(707)は、車両とAPMが通信に先立って実施する認証処理で設定され、制御メッセージの保護通信に使用される。   The encryption key (703), the APM-MAC key (704), the AP-MAC key (712), and the counter (707) are set in an authentication process that is performed prior to communication between the vehicle and the APM, and are used for protected communication of control messages. used.

地上制御装置ID(705)は、車両への制御を行っている地上制御装置の識別子を示す。すなわち該当の車両制御装置は地上制御装置ID(705)の配下に位置することを意味する。   The ground control device ID (705) indicates an identifier of the ground control device that is controlling the vehicle. That is, it means that the corresponding vehicle control device is located under the ground control device ID (705).

ステータス(706)は、APMとの認証処理がどの段階まで完了しているかを示す。   The status (706) indicates to what level the authentication process with the APM has been completed.

乱数(708)は認証処理時に生成・設定され、APMへ送信される。   The random number (708) is generated and set during the authentication process and transmitted to the APM.

位置(710)と時刻(709)は、地上子(113)(114)の上を列車が通過する際に取得した情報であり、車両制御装置(111)から地上制御装置(101)(102)に送信される制御情報の一つである。   The position (710) and the time (709) are information acquired when the train passes over the ground unit (113) (114), and are transmitted from the vehicle control unit (111) to the ground control unit (101) (102). This is one of the control information transmitted to.

メカニズム指定コード(711)は認証時に使用する暗号アルゴリズムを指定する値である。   The mechanism designation code (711) is a value for designating an encryption algorithm used at the time of authentication.

管理外車両用認証鍵(713)は、管理外の地上システムと認証を行う際に使用する。   The unmanaged vehicle authentication key (713) is used when authenticating with an unmanaged ground system.

図7(c)は、制御処理部(720)の構成図である。制御メッセージ生成・処理部(721)、乱数生成部(722)、セキュリティ情報処理部(723)、制御メッセージ保護部(724)から成る。   FIG. 7C is a configuration diagram of the control processing unit (720). A control message generation / processing unit (721), a random number generation unit (722), a security information processing unit (723), and a control message protection unit (724).

図8は、AP(106)(107)の記憶装置(204)に格納されるデータを示す。   FIG. 8 shows data stored in the storage device (204) of the AP (106) (107).

図8(a)は、AP(106)(107)の記憶装置(204)には該当するAPを示す識別子AP ID(830)、セキュリティ情報(800)(810)、制御処理部(820)が格納されることを示している。   In FIG. 8A, the storage device (204) of the AP (106) (107) includes an identifier AP ID (830) indicating the corresponding AP, security information (800) (810), and a control processing unit (820). Indicates that it will be stored.

図8(b)は、車両制御装置に関するセキュリティ情報(800)の構成図であり、車両制御装置ID(801)、AP−MAC鍵(802)、一時AP―MAC鍵(804)、メカニズム指定コード(803)から成る。車両制御装置ID(801)、AP−MAC鍵(802)、メカニズム指定コード(803)は、認証処理時に設定される。一時AP−MAC鍵(804)は、車両制御装置(111)が管理外の地上制御システムへ移動する場合、または管理外の車両制御装置(111)が移動してくる場合に設定される。   FIG. 8B is a configuration diagram of security information (800) related to the vehicle control device, and includes a vehicle control device ID (801), an AP-MAC key (802), a temporary AP-MAC key (804), and a mechanism designation code. (803). The vehicle control device ID (801), the AP-MAC key (802), and the mechanism designation code (803) are set during the authentication process. The temporary AP-MAC key (804) is set when the vehicle control device (111) moves to an unmanaged ground control system or when the unmanaged vehicle control device (111) moves.

図8(c)は、該当するAPに関するセキュリティ情報(810)の構成図であり、該当するAP固有の鍵であるAP固有暗号鍵(811)、AP固有MAC鍵(812)から成る。セキュリティ情報(810)は事前に設定されているものとする。   FIG. 8C is a configuration diagram of security information (810) regarding the corresponding AP, and includes an AP-specific encryption key (811) and an AP-specific MAC key (812), which are keys specific to the AP. Assume that the security information (810) is set in advance.

図8(d)は、制御処理部(820)の構成図であり、セキュリティ情報処理部(821)、制御メッセージ保護部(822)で構成される。   FIG. 8D is a configuration diagram of the control processing unit (820), which includes a security information processing unit (821) and a control message protection unit (822).

図9は列車(112)が起動する際の処理を示す。車両制御装置(111)はAP(106)を介して、APM(103)、地上制御装置(101)と通信相手が正しい相手であることを確認する認証、および認証以降に車両制御装置(111)と地上システムとの間で通信するデータの秘匿と改ざんを検知するための鍵を共有する。   FIG. 9 shows a process when the train (112) is activated. The vehicle control device (111), via the AP (106), authenticates the APM (103), the ground control device (101) and the communication partner to be a correct partner, and the vehicle control device (111) after the authentication. Share the key to detect the confidentiality and tampering of the data communicated between the computer and the ground system.

起動時の処理は、車両制御装置(111)のセキュリティ情報処理部(723)および乱数生成部(722)、APM(103)のセキュリティ情報処理部(522)、地上制御装置(101)の乱数生成部(332)、セキュリティ情報配布部(333)によって行われる。乱数生成部(722)(332)は、これに限定されるものではないが、例えば一例として、FIPS(Federal Information Processing Standards)186−2に記載の擬似乱数生成系を用いる。   The process at the time of start-up includes a security information processing unit (723) and a random number generation unit (722) of the vehicle control device (111), a security information processing unit (522) of the APM (103), and a random number generation of the ground control device (101). Section (332) and the security information distribution section (333). The random number generation units (722) and (332) are not limited to this, but use, for example, a pseudo random number generation system described in FIPS (Federal Information Processing Standards) 186-2.

車両制御装置(111)では、ステップ(901)において、車両制御装置(111)の電源を投入し、乱数生成部(722)を初期化する。乱数生成部(722)の初期化では、電源投入時に計測できる、物理的な電磁気的な揺らぎ情報を取得し、それをもとに乱数生成部(722)に設定することで、乱数を生成する。この場合には、例えば一例として、毎回異なる値となる物理的な電磁気的な揺らぎ情報を取得し、それをもとに毎回異なる乱数を生成することが考えられる。ステップ(902)において、認証や暗号化を行うアルゴリズムなどのメカニズムC1を指定し、初期化済みの乱数生成部が乱数R1を生成し、メカニズムC1と乱数R1を認証要求メッセージとしてAPM(103)に送信する。   In the vehicle control device (111), in step (901), the vehicle control device (111) is powered on and the random number generation unit (722) is initialized. In initialization of the random number generation unit (722), physical electromagnetic fluctuation information that can be measured when the power is turned on is acquired, and set in the random number generation unit (722) based on the information to generate a random number. . In this case, for example, as an example, it is conceivable to acquire physical electromagnetic fluctuation information having a different value every time, and generate a different random number every time based on the acquired information. In step (902), a mechanism C1 such as an algorithm for authentication and encryption is designated, the initialized random number generator generates a random number R1, and the mechanism C1 and the random number R1 are sent to the APM (103) as an authentication request message. Send.

ここで、送信メッセージのフォーマットについて記載する。図16、図17は、本実施例の通信データフォーマットを示す。   Here, the format of the transmission message will be described. 16 and 17 show the communication data format of this embodiment.

図16(a)は、本実施例の通信データフォーマットの基本構成を示し、ヘッダ(1601)、カウンタ(1602)、データ長(1603)、データ(1604)から構成される。   FIG. 16A shows the basic configuration of the communication data format of this embodiment, which is composed of a header (1601), a counter (1602), a data length (1603), and data (1604).

図16(b)は、ヘッダ(1601)の構成を示しており、メッセージ種別(1611)、送信元ID(1612)、送信先ID(1613)、セキュリティバージョン(1614)から構成される。   FIG. 16B shows the configuration of the header (1601), which includes a message type (1611), a transmission source ID (1612), a transmission destination ID (1613), and a security version (1614).

ステップ(902)で送出される認証要求メッセージの場合、ヘッダ(1601)のメッセージ種別(1611)に認証要求を示す値を、送信元ID(1612)に車両制御装置ID(730)を、送信先ID(1613)にはブロードキャストを示す値を、セキュリティバージョン(1614)に本システムのセキュリティバージョンを示す値を設定する。データ(1604)は、図17(a)に従って設定される。具体的には、乱数1(1701)に乱数を、メカニズム指定コード(1703)に以下の認証などで用いる暗号アルゴリズムなどを設定する。また、メカニズム指定コード(1703)の値は、メカニズム指定コード(711)にも設定される。   In the case of the authentication request message sent in step (902), the message type (1611) of the header (1601) indicates a value indicating the authentication request, the transmission source ID (1612) indicates the vehicle control device ID (730), and the transmission destination. A value indicating broadcast is set in ID (1613), and a value indicating the security version of this system is set in security version (1614). Data (1604) is set according to FIG. Specifically, a random number is set in the random number 1 (1701), and an encryption algorithm used for the following authentication is set in the mechanism designation code (1703). The value of the mechanism designation code (1703) is also set in the mechanism designation code (711).

APM(103)が認証要求メッセージを受信すると、ステップ(911)の認証受付の判定とメカニズムの設定を行う。   When the APM (103) receives the authentication request message, the authentication acceptance determination and the mechanism setting in step (911) are performed.

認証受付の判定では、送信元ID(1612)がセキュリティ情報(300)の車両制御装置ID(301)に登録されているかどうかを確認する。登録されている場合、メカニズム指定コード(1703)をメカニズム指定コード(711)に設定し、乱数要求とメカニズム指定コード(1703)と車両制御装置ID(1702)を地上制御装置(101)に送付する。登録されていない場合、認証要求メッセージを破棄する。   In the determination of acceptance of authentication, it is confirmed whether or not the transmission source ID (1612) is registered in the vehicle control device ID (301) of the security information (300). If registered, the mechanism designation code (1703) is set to the mechanism designation code (711), and the random number request, the mechanism designation code (1703), and the vehicle control device ID (1702) are sent to the ground control device (101). . If it is not registered, discard the authentication request message.

地上制御装置(101)が乱数要求とメカニズム指定コード(1703)を受信すると、ステップ(921)のメカニズム設定と乱数生成を行う。   When the ground control device (101) receives the random number request and the mechanism designation code (1703), the mechanism setting and random number generation in step (921) are performed.

メカニズム設定では、メカニズム指定コード(308)にメカニズム指定コード(1703)を設定する。乱数生成部(332)で乱数を生成し、APM(103)に送付する。   In the mechanism setting, the mechanism specifying code (1703) is set in the mechanism specifying code (308). The random number generation unit (332) generates a random number and sends it to the APM (103).

APM(103)が地上制御装置(101)から乱数を受信すると、ステップ(912)の地上認証データの生成を行い、地上認証データメッセージを生成する。   When the APM (103) receives a random number from the ground control device (101), the ground authentication data is generated in step (912), and a ground authentication data message is generated.

地上認証データメッセージは、図16(a)のフォーマットに従って生成される。ヘッダ(1601)は、図16(b)のフォーマットに従って生成される。ヘッダ(1601)のメッセージ種別(1611)には地上認証データメッセージを示す値を、送信元ID(1612)にはAPM−ID(550)を、送信先ID(1613)には該当する車両制御装置ID(531)を、セキュリティバージョン(1614)には本システムのバージョンを示す値を設定する。カウンタ(1602)は設定しなくてよい。データ長(1603)には地上認証データメッセージ全体の長さを示す値を、データ(1604)にはステップ(912)で生成した地上認証データを設定する。   The ground authentication data message is generated according to the format of FIG. The header (1601) is generated according to the format of FIG. A value indicating the ground authentication data message is set in the message type (1611) of the header (1601), the APM-ID (550) is set in the transmission source ID (1612), and the vehicle control device corresponding to the transmission destination ID (1613). A value indicating the version of this system is set in the ID (531) and the security version (1614). The counter (1602) need not be set. A value indicating the entire length of the ground authentication data message is set in the data length (1603), and the ground authentication data generated in step (912) is set in the data (1604).

地上認証データは、図17(b)のフォーマットに従い、乱数1(1711)に車両制御装置が生成した乱数を、乱数2(1712)に地上制御装置が生成した乱数を設定し、該当する車両制御装置ID(531)のメカニズム指定コード(538)に従って暗号化して生成する。該当する車両制御装置ID(531)が、管理下の車両制御装置の場合は車両固有鍵(532)を、管理外の車両制御装置の場合は管理外車両用認証鍵(563)を用いて暗号化する。   In the ground authentication data, according to the format of FIG. 17B, a random number generated by the vehicle control device is set to random number 1 (1711), and a random number generated by the ground control device is set to random number 2 (1712). It is generated by encryption according to the mechanism designation code (538) of the device ID (531). If the corresponding vehicle control device ID (531) is a managed vehicle control device, the vehicle unique key (532) is used, and if it is an unmanaged vehicle control device, the unmanaged vehicle authentication key (563) is used for encryption. Turn into.

車両制御装置(111)が地上認証データメッセージを受信すると、ステップ(903)の地上認証データの検証、車両認証データの生成を行う。   When the vehicle control device (111) receives the ground authentication data message, verification of the ground authentication data and generation of vehicle authentication data in step (903) are performed.

地上認証データの検証では、受信した地上認証データメッセージのデータ(1604)を復号する。車両制御装置(111)が送信元IDの管理下の場合は車両固有鍵(702)を、異なる場合は管理外車両用認証鍵(713)を復号に使用する。復号した結果がステップ(902)で送付した乱数と一致しなかった場合は、検証失敗として地上認証データメッセージを破棄する。   In the verification of the ground authentication data, the data (1604) of the received ground authentication data message is decrypted. When the vehicle control device (111) is under the control of the transmission source ID, the vehicle unique key (702) is used for decryption, and when it is different, the unmanaged vehicle authentication key (713) is used for decryption. If the decrypted result does not match the random number sent in step (902), the ground authentication data message is discarded as a verification failure.

車両認証データの生成では、図16(a)のフォーマットに従って車両認証データメッセージを生成する。ヘッダ(1601)は、図16(b)のフォーマットに従って生成される。ヘッダ(1601)のメッセージ種別(1611)には車両認証データメッセージを示す値を、送信元ID(1612)には車両制御装置ID(730)を、送信先ID(1613)にはブロードキャストを示す値を、セキュリティバージョン(1614)には本システムのバージョンを示す値を設定する。カウンタ(1602)は設定しなくてよい。データ長(1603)には車両認証データメッセージ全体の長さを示す値を、データ(1604)には車両認証データを設定する。車両認証データは、図17(b)のフォーマットに従い、乱数1(1711)に地上制御装置が生成した乱数を、乱数2(1712)に車両制御装置が生成した乱数を設定し、メカニズム指定コード(711)に従って暗号化され、生成される。暗号化に使用する鍵は地上認証データの検証に使用した鍵を使用する。   In the generation of the vehicle authentication data, a vehicle authentication data message is generated according to the format of FIG. The header (1601) is generated according to the format of FIG. The message type (1611) of the header (1601) is a value indicating a vehicle authentication data message, the transmission source ID (1612) is a vehicle control device ID (730), and the transmission destination ID (1613) is a value indicating broadcast. In the security version (1614), a value indicating the version of this system is set. The counter (1602) need not be set. A value indicating the length of the entire vehicle authentication data message is set in the data length (1603), and vehicle authentication data is set in the data (1604). In the vehicle authentication data, the random number generated by the ground control device is set to random number 1 (1711) and the random number generated by the vehicle control device is set to random number 2 (1712) according to the format of FIG. 711) is encrypted and generated. The key used for encryption uses the key used for verification of ground authentication data.

APM(103)が車両認証データメッセージを受信すると、ステップ(913)の車両認証データの検証を行う。車両認証データの検証は、ステップ(903)の地上認証データの検証と同様の手順で行われる。検証に失敗した場合は、車両認証データメッセージを破棄する。検証に成功した場合は、地上制御装置(101)に鍵情報を要求する。   When the APM (103) receives the vehicle authentication data message, the vehicle authentication data in step (913) is verified. The verification of the vehicle authentication data is performed in the same procedure as the verification of the ground authentication data in step (903). If the verification fails, the vehicle authentication data message is discarded. If the verification is successful, key information is requested from the ground control device (101).

地上制御装置(101)が鍵要求を受信すると、ステップ(922)のカウンタの生成・設定、鍵の生成・設定を行う。   When the ground control device (101) receives the key request, it generates / sets the counter and generates / sets the key in step (922).

カウンタ、鍵はステップ(921)と同様に4つの乱数を生成し、暗号鍵(303)、APM−MAC鍵(304)、AP−MAC鍵(309)、カウンタ(306)に設定するとともに、APM(103)に送付する。   As with the step (921), the counter and key generate four random numbers and set them in the encryption key (303), APM-MAC key (304), AP-MAC key (309), and counter (306). (103).

APM(103)が地上制御装置(101)からカウンタ・鍵を受信すると、ステップ(914)のカウンタ・鍵の設定、鍵の暗号化を行い、鍵メッセージを生成する。   When the APM (103) receives the counter / key from the ground control device (101), the counter / key is set and the key is encrypted in step (914) to generate a key message.

カウンタ・鍵の設定では、地上制御装置(101)から受信したカウンタ・鍵をセキュリティ情報(530)のカウンタ(536)、暗号鍵(533)、APM−MAC鍵(534)に格納する。   In the counter / key setting, the counter / key received from the ground control device (101) is stored in the counter (536), the encryption key (533), and the APM-MAC key (534) of the security information (530).

鍵メッセージは、図16(a)のフォーマットに従って生成される。ヘッダ(1601)は、図16(b)のフォーマットに従って生成される。ヘッダ(1601)のメッセージ種別(1611)には鍵メッセージを示す値を、送信元ID(1612)にはAPM−ID(550)を、送信先ID(1613)には該当する車両制御装置ID(531)を、セキュリティバージョン(1614)には本システムのバージョンを示す値を設定する。カウンタ(1602)にはカウンタ(536)を、データ長(1603)には鍵メッセージ全体の長さを示す値を設定する。データ(1604)には暗号化された鍵データを設定する。   The key message is generated according to the format of FIG. The header (1601) is generated according to the format of FIG. The message type (1611) of the header (1601) has a value indicating a key message, the source ID (1612) has an APM-ID (550), and the destination ID (1613) has a corresponding vehicle control device ID ( 531) and a value indicating the version of this system is set in the security version (1614). A counter (536) is set in the counter (1602), and a value indicating the length of the entire key message is set in the data length (1603). Encrypted key data is set in the data (1604).

暗号化された鍵データは図17(c)に従って生成される。暗号鍵(1731)には暗号鍵(533)を、APM−MAC鍵(1732)にはAPM−MAC鍵(534)を、AP−MAC鍵(1733)にはAP−MAC鍵(535)を、地上制御装置ID(1734)には地上制御装置ID(511)を設定し、メカニズム指定コード(538)に従って暗号化する。該当する車両制御装置ID(531)が、管理下の車両制御装置の場合は車両固有鍵(532)を、管理外の車両制御装置の場合は管理外車両用認証鍵(563)を用いて暗号化する。   The encrypted key data is generated according to FIG. The encryption key (1731) includes the encryption key (533), the APM-MAC key (1732) includes the APM-MAC key (534), the AP-MAC key (1733) includes the AP-MAC key (535), The ground control device ID (511) is set in the ground control device ID (1734), and encryption is performed according to the mechanism designation code (538). If the corresponding vehicle control device ID (531) is a managed vehicle control device, the vehicle unique key (532) is used, and if it is an unmanaged vehicle control device, the unmanaged vehicle authentication key (563) is used for encryption. Turn into.

車両制御装置(111)が鍵メッセージを受信すると、ステップ(904)の鍵の復号、鍵設定、カウンタ設定を行い、認証完了メッセージをAPM(103)に送付する。   When the vehicle control device (111) receives the key message, the key decryption, key setting, and counter setting in step (904) are performed, and an authentication completion message is sent to the APM (103).

鍵の復号では、車両制御装置(111)が送信元IDの管理下の場合は車両固有鍵(702)を、管理外の場合は管理外車両用認証鍵(713)を使用してデータ(1604)を復号する。   In the key decryption, the vehicle control device (111) uses the vehicle unique key (702) when the transmission source ID is managed, and the unmanaged vehicle authentication key (713) when the vehicle control device (111) is under the management of the data (1604). ).

鍵設定では、復号した暗号鍵(1731)を暗号鍵(703)に、復号したAPM−MAC鍵(1732)をAPM−MAC鍵(704)に、復号したAP−MAC鍵(1733)をAP−MAC鍵(712)に、復号した地上制御装置ID(1734)を地上制御装置ID(705)に設定する。   In the key setting, the decrypted encryption key (1731) is used as the encryption key (703), the decrypted APM-MAC key (1732) is used as the APM-MAC key (704), and the decrypted AP-MAC key (1733) is used as the AP- In the MAC key (712), the decrypted ground control device ID (1734) is set as the ground control device ID (705).

カウンタ設定では、カウンタ(1602)をカウンタ(707)に設定する。   In the counter setting, the counter (1602) is set to the counter (707).

APM(103)は認証完了メッセージを受信すると、ステップ(915)の認証完了を行う。認証完了では、該当する車両制御装置IDのステータス(535)を認証済にし、結果を地上制御装置(101)に送信する。地上制御装置(101)でも同様に処理する。   When the APM (103) receives the authentication completion message, it performs the authentication completion in step (915). When the authentication is completed, the status (535) of the corresponding vehicle control device ID is authenticated, and the result is transmitted to the ground control device (101). The same processing is performed in the ground control device (101).

ここで、上記認証処理は、共通鍵暗号を用いた方法で記載してあるが、ISO/IEC 9798やCHAP(Challenge Handshake Authentication Protocol)などが知られており、これらを用いることが可能である。   Here, the authentication process is described by a method using common key cryptography. However, ISO / IEC 9798, CHAP (Challenge Handshake Authentication Protocol), and the like are known, and these can be used.

車両制御装置(111)とAP(106)間の通信は無線のため、電波状況などによりメッセージが届かない場合が考えられるが、APM(106)は定期的に認証処理が完了していない車両制御装置に対して、認証ステータスに応じたメッセージを送信する。また、車両制御装置(111)も定期的に認証ステータスに応じたメッセージを送信することでメッセージがロスした場合にも対応する。   Since the communication between the vehicle control device (111) and the AP (106) is wireless, there may be a case where the message does not reach due to the radio wave condition or the like. However, the APM (106) does not periodically complete the authentication process. A message corresponding to the authentication status is transmitted to the apparatus. The vehicle control device (111) also responds to the case where the message is lost by periodically transmitting a message corresponding to the authentication status.

車両制御装置(111)との相互認証に成功した地上制御装置(101)は、該当する車両制御装置(111)と管理下に存在する全てのAPMおよびAPとの間で制御メッセージの保護通信が可能となるために、地上制御装置(101)に接続するAPM(103)(104)、AP(106)(107)に制御メッセージの保護通信に必要なセキュリティ情報を通知する必要がある。このセキュリティ情報共有処理の手順を図11に示す。   The ground control device (101) that has succeeded in mutual authentication with the vehicle control device (111) performs protected communication of control messages between the corresponding vehicle control device (111) and all APMs and APs that are under management. In order to enable this, it is necessary to notify the APM (103) (104) and AP (106) (107) connected to the ground control device (101) of the security information necessary for the protection communication of the control message. The procedure of this security information sharing process is shown in FIG.

まず地上制御装置(101)は、ステップ(1101)の鍵出力を行う。鍵出力では、図16(a)のフォーマットに従ってAPM用鍵通知メッセージを作成し、定期的にAPMに送信する。ヘッダ(1601)は図16(b)のフォーマットに従って生成される。メッセージ種別(1611)にはAPM用鍵通知メッセージを示す値を、送信元ID(1612)には地上制御装置ID(340)を、送信先ID(1613)にはブロードキャストを示す値を、セキュリティバージョン(1614)には本システムのセキュリティバージョンを設定する。カウンタ(1602)は設定する必要はない。データ長(1603)にはAPM用鍵通知メッセージ全体の長さを示す値を、データ(1604)には図18(a)のフォーマットに従って、制御メッセージの保護通信に必要なセキュリティ情報を設定する。車両制御装置ID(1811)には車両制御装置(111)の車両制御装置ID(301)、暗号鍵(1812)には暗号鍵(303)、APM−MAC鍵(1813)にはAPM−MAC鍵(304)、AP−MAC鍵(1814)にはAP−MAC鍵(309)、メカニズム指定コード(1815)にはメカニズム指定コード(308)を設定する。   First, the ground control device (101) performs key output in step (1101). In the key output, an APM key notification message is created according to the format of FIG. 16A and is periodically transmitted to the APM. The header (1601) is generated in accordance with the format of FIG. The message type (1611) is a value indicating an APM key notification message, the transmission source ID (1612) is a ground control device ID (340), the transmission destination ID (1613) is a value indicating broadcast, and the security version In (1614), the security version of this system is set. The counter (1602) need not be set. In the data length (1603), a value indicating the entire length of the APM key notification message is set, and in the data (1604), security information necessary for protection communication of the control message is set according to the format of FIG. The vehicle control device ID (1811) is the vehicle control device ID (301), the encryption key (1812) is the encryption key (303), and the APM-MAC key (1813) is the APM-MAC key. (304) AP-MAC key (309) is set in AP-MAC key (1814), and mechanism designation code (308) is set in mechanism designation code (1815).

APM(103)(104)がAPM用鍵通知メッセージを受信すると、ステップ(1104)のステータス設定、鍵設定、AP−MAC鍵出力を行う。   When the APM (103) (104) receives the APM key notification message, status setting, key setting, and AP-MAC key output in step (1104) are performed.

ステータス設定は、該当する車両制御装置のステータス(535)を認証済にする。鍵設定は、受信した暗号鍵(1812)、APM−MAC鍵(1813)、メカニズム指定コード(1815)をそれぞれセキュリティ情報(530)の暗号鍵(533)、APM−MAC鍵(534)、メカニズム指定コード(538)に設定する。   In the status setting, the status (535) of the corresponding vehicle control device is authenticated. The key setting includes the received encryption key (1812), APM-MAC key (1813), and mechanism specification code (1815), respectively, the security information (530) encryption key (533), APM-MAC key (534), and mechanism specification. Set to code (538).

AP−MAC鍵出力は、図16(c)のフォーマットに従ってAP用鍵通知メッセージを作成する。ヘッダ(1601)は図16(b)のフォーマットに従って生成される。メッセージ種別(1611)にはAP用鍵通知メッセージを示す値を、送信元ID(1612)にはAPM―ID(550)を、送信先ID(1613)には各APのID(541)を、セキュリティバージョン(1614)には本システムのセキュリティバージョンを設定する。カウンタ(1602)は設定する必要はない。データ長(1603)にはAP用鍵通知メッセージ全体の長さを示す値を、データ(1604)には暗号化されたAP−MAC鍵を設定する。暗号化されたAP−MAC鍵は、図18(b)のフォーマットに従って、車両制御装置ID(1821)には車両制御装置(111)の車両制御装置ID(531)を、AP−MAC鍵(1822)にはAPM用鍵通知メッセージのAP−MAC鍵(1813)を、メカニズム指定コード(1823)にはメカニズム指定コード(1815)を設定し、各AP固有暗号鍵(542)で暗号化して生成される。改ざん検知コード(1625)には、ヘッダ(1601)、カウンタ(1602)、データ長(1603)、データ(1604)を入力とし、各AP固有MAC鍵(543)を用いて生成した改ざん検知コード(MACとも記す)を設定する。   The AP-MAC key output creates an AP key notification message according to the format of FIG. The header (1601) is generated in accordance with the format of FIG. The message type (1611) is a value indicating the AP key notification message, the transmission source ID (1612) is the APM-ID (550), the transmission destination ID (1613) is the ID (541) of each AP, In the security version (1614), the security version of this system is set. The counter (1602) need not be set. A value indicating the entire length of the AP key notification message is set in the data length (1603), and an encrypted AP-MAC key is set in the data (1604). As for the encrypted AP-MAC key, the vehicle control device ID (531) of the vehicle control device (111) is assigned to the vehicle control device ID (1821), and the AP-MAC key (1822) in accordance with the format of FIG. ) Is set with the AP-MAC key (1813) of the APM key notification message, the mechanism specification code (1823) is set with the mechanism specification code (1815), and encrypted with each AP-specific encryption key (542). The In the falsification detection code (1625), the header (1601), the counter (1602), the data length (1603), and the data (1604) are input, and the falsification detection code generated using each AP-specific MAC key (543) ( (Also referred to as MAC).

AP(106)(107)がAP用鍵通知メッセージを受信すると、ステップ(1109)のAP−MAC鍵設定を行う。   When the AP (106) (107) receives the AP key notification message, AP-MAC key setting in step (1109) is performed.

AP−MAC鍵設定では、改ざん検知コードの検証と復号を行う。   In the AP-MAC key setting, the alteration detection code is verified and decrypted.

改ざん検知コードの検証では、受信したAP用鍵通知メッセージのヘッダ(1601)、カウンタ(1602)、データ長(1603)、データ(1604)を入力とし、AP固有MAC鍵(812)で生成した改ざん検知コードが改ざん検知コード(1625)と一致するか確認する。一致しない場合は、改ざん検知コード検証失敗として、AP用鍵通知メッセージを破棄する。   In the verification of the falsification detection code, the received AP key notification message header (1601), counter (1602), data length (1603), and data (1604) are input, and the falsification generated with the AP unique MAC key (812). It is confirmed whether the detection code matches the falsification detection code (1625). If they do not match, the AP key notification message is discarded as the alteration detection code verification failure.

復号では、データ(1604)をAP固有暗号鍵(542)で復号して得られた車両制御装置ID(1821)、AP−MAC鍵(1822)、メカニズム指定コード(1823)を、セキュリティ情報(800)の車両制御装置ID(801)、AP−MAC鍵(802)、メカニズム指定コード(803)にそれぞれ設定する。   In the decryption, the vehicle control device ID (1821), the AP-MAC key (1822), the mechanism designation code (1823) obtained by decrypting the data (1604) with the AP unique encryption key (542), and the security information (800 ), Vehicle control device ID (801), AP-MAC key (802), and mechanism designation code (803).

ここでは、APが盗難された場合、該当するAPの固有暗号鍵と固有MAC鍵を無効にすることでAP−MAC鍵の漏洩を防止する。ただし、システムの要件に応じて全てのAPが同じ暗号鍵とMAC鍵を使用することも可能である。   Here, when an AP is stolen, leakage of the AP-MAC key is prevented by invalidating the unique encryption key and unique MAC key of the corresponding AP. However, it is also possible for all APs to use the same encryption key and MAC key according to the requirements of the system.

図10は地上制御装置(101)と車両制御装置(111)が、APM(103)(104)、AP(106)(107)を介して行う制御メッセージの送受信処理を示す。   FIG. 10 shows control message transmission / reception processing performed by the ground control device (101) and the vehicle control device (111) via the APM (103) (104) and the AP (106) (107).

制御メッセージの送受信は、地上制御装置(101)の制御メッセージ生成・処理部(331)、APM(103)(104)の制御メッセージ保護部(521)、AP(106)(107)の制御メッセージ保護部(822)、車両制御装置(111)の制御メッセージ生成・処理部(721)および制御メッセージ保護部(724)によって処理される。   Control message transmission / reception includes control message generation / processing unit (331) of ground control device (101), control message protection unit (521) of APM (103) (104), and control message protection of AP (106) (107). Part (822), the control message generating / processing part (721) and the control message protecting part (724) of the vehicle control device (111).

地上制御装置(101)はステップ(1001)において該当する車両制御装置(111)に対する制御メッセージを図16(a)(b)のフォーマットに従って生成する。   In step (1001), the ground control device (101) generates a control message for the corresponding vehicle control device (111) in accordance with the format of FIGS.

ヘッダ(1601)のメッセージ種別(1611)には制御メッセージを示す値を、送信元ID(1612)には該当する地上制御装置(101)の地上制御装置ID(340)を、送信先ID(1613)には該当する車両制御装置ID(301)を、セキュリティバージョン(1614)には、暗号化の有無、MAC付与の有無を示す値を設定する。カウンタ(1602)には該当する車両制御装置のカウンタ(306)を、データ長(1603)には制御メッセージ全体の長さを示す値を、データ(1604)には制御情報を設定する。   The message type (1611) of the header (1601) indicates a value indicating a control message, the transmission source ID (1612) indicates the ground control device ID (340) of the corresponding ground control device (101), and the transmission destination ID (1613). ) Is set to the corresponding vehicle control device ID (301), and the security version (1614) is set to a value indicating the presence or absence of encryption and the presence or absence of MAC assignment. A counter (306) of the corresponding vehicle control device is set in the counter (1602), a value indicating the length of the entire control message is set in the data length (1603), and control information is set in the data (1604).

生成した制御メッセージはAPM(103)(104)に送信される。   The generated control message is transmitted to the APM (103) (104).

APM(103)(104)は、地上制御装置(101)から制御メッセージを受信すると、ステップ(1002)でカウンタの格納と制御メッセージの保護(暗号化、MAC付与)を行う。   When the APM (103) (104) receives the control message from the ground control apparatus (101), the APM (103) (104) stores the counter and protects the control message (encryption and MAC assignment) in step (1002).

カウンタの格納は、該当する車両制御装置のカウンタ(536)に受信した制御メッセージのカウンタ(1602)を設定する。   In storing the counter, the counter (1602) of the received control message is set in the counter (536) of the corresponding vehicle control device.

制御メッセージの保護は、制御メッセージのセキュリティバージョン(1614)の値で判断する。制御メッセージのセキュリティバージョン(1614)がメッセージ保護有を示す場合、図16(c)に従って、保護制御メッセージを生成する。   The protection of the control message is determined by the value of the security version (1614) of the control message. When the security version (1614) of the control message indicates that message protection is present, a protection control message is generated according to FIG. 16 (c).

ヘッダ(1601)、カウンタ(1602)には受信した制御メッセージのヘッダ(1601)、カウンタ(1602)の値を、データ長(1603)には受信した制御メッセージのデータ長に改ざん検知コードの長さを加えた値を設定する。データ(1624)には、受信した制御メッセージのデータ(1604)を該当する車両制御装置の暗号鍵(533)で暗号化した値を設定する。MAC(改ざん検知コード1625)には、ヘッダ(1601)、カウンタ(1602)、データ長(1603)、データ(1624)を入力として、該当する車両制御装置のAPM−MAC鍵(534)で生成した改ざん検知コードを設定する。   The header (1601) and counter (1602) have the header (1601) and counter (1602) values of the received control message, and the data length (1603) is the data length of the received control message and the length of the falsification detection code. Set the value after adding. In the data (1624), a value obtained by encrypting the data (1604) of the received control message with the encryption key (533) of the corresponding vehicle control device is set. The MAC (tamper detection code 1625) is generated with the header (1601), counter (1602), data length (1603), and data (1624) as input and the APM-MAC key (534) of the corresponding vehicle control device. Set the tamper detection code.

車両制御装置(111)は、受信した保護制御メッセージに対して、ステップ(1003)でカウンタ検証・格納、改ざん検知コード検証、制御メッセージの復号化を行う。   In step (1003), the vehicle control device (111) performs counter verification / storage, falsification detection code verification, and decryption of the control message for the received protection control message.

カウンタ(1602)の検証は、セキュリティ情報(530)のカウンタ(536)と保護制御メッセージのカウンタ(1602)の差がある閾値以内であることを確認する。閾値以内でない場合は、保護制御メッセージを破棄する。閾値以内の場合はカウンタ(1602)をセキュリティ情報(700)のカウンタ(707)に設定する。   The verification of the counter (1602) confirms that the difference between the counter (536) of the security information (530) and the counter (1602) of the protection control message is within a certain threshold. If it is not within the threshold, the protection control message is discarded. If it is within the threshold, the counter (1602) is set in the counter (707) of the security information (700).

MAC(1625)の検証は、受信した保護制御メッセージのヘッダ(1601)、カウンタ(1602)、データ長(1603)、データ(1624)を入力として、セキュリティ情報(700)のAPM−MAC鍵(704)で改ざん検知コードを生成し、受信した保護制御メッセージのMAC(1625)と同じ値であることを確認する。値が異なる場合、改ざん検知コードの検証失敗として保護制御メッセージを破棄する。値が同じ場合、セキュリティ情報(700)の暗号鍵(703)を使ってデータ(1624)の復号を行い、復号されたデータに従って車両の各種機器に対して制御を実施する。   The MAC (1625) is verified by receiving the header (1601), counter (1602), data length (1603), and data (1624) of the received protection control message, and inputting the APM-MAC key (704) of the security information (700). ) To generate a falsification detection code and confirm that it is the same value as the MAC (1625) of the received protection control message. If the values are different, the protection control message is discarded as a verification failure of the falsification detection code. When the values are the same, the data (1624) is decrypted using the encryption key (703) of the security information (700), and control is performed on various devices of the vehicle according to the decrypted data.

次に車両制御装置(111)は、ステップ(1007)の応答メッセージの生成、応答メッセージの暗号化とMAC付与を行う。   Next, the vehicle control device (111) generates a response message in step (1007), encrypts the response message, and assigns a MAC.

応答メッセージ生成では、図16(a)(b)のフォーマットに従って応答メッセージが生成される。ヘッダ(1601)のメッセージ種別(1611)には応答メッセージを示す値を、ヘッダ(1601)の送信元ID(1612)には車両制御装置ID(730)を、ヘッダ(1601)の送信先ID(1613)にはセキュリティ情報(700)の地上制御装置ID(705)を、カウンタ(1602)にはセキュリティ情報(700)のカウンタ(707)を、データ長(1603)には応答メッセージの長さを設定する。データ(1604)には応答情報を設定する。   In response message generation, a response message is generated in accordance with the formats of FIGS. The message type (1611) in the header (1601) indicates a value indicating a response message, the transmission source ID (1612) in the header (1601) includes the vehicle control device ID (730), and the transmission destination ID (in the header (1601)) ( 1613) is the ground control device ID (705) of the security information (700), the counter (1602) is the security information (700) counter (707), and the data length (1603) is the response message length. Set. Response information is set in the data (1604).

応答メッセージの暗号化とMAC付与では、図16(c)のフォーマットに従って保護応答メッセージが作成される。ヘッダ(1601)、カウンタ(1602)には応答メッセージのヘッダ、カウンタを、データ長(1603)には応答メッセージのデータ長さにAPM用改ざん検知コードとAP用改ざん検知コードの長さを加えた値を設定する。データ(1624)には応答メッセージのデータ(1604)を暗号鍵(703)で暗号化した値を設定する。MAC(1625)には、ヘッダ(1601)、カウンタ(1602)、データ長(1603)、データ(1624)を入力として、APM−MAC鍵(704)とAP−MAC鍵(712)で生成した改ざん検知コードをそれぞれ設定する。   In response message encryption and MAC assignment, a protection response message is created according to the format of FIG. The header and counter of the response message are added to the header (1601) and the counter (1602), and the length of the alteration detection code for APM and the alteration detection code for AP is added to the data length of the response message to the data length (1603). Set the value. A value obtained by encrypting the response message data (1604) with the encryption key (703) is set in the data (1624). For MAC (1625), the header (1601), counter (1602), data length (1603), and data (1624) are input, and the tampering generated with the APM-MAC key (704) and AP-MAC key (712) Set each detection code.

AP(106)は、車両制御装置(111)から保護応答メッセージを受信すると、ステップ(1004)の改ざん検知コード検証処理を行う。改ざん検知コードの検証は、該当する車両制御装置のAP−MAC鍵(802)を使ってステップ(1003)の改ざん検知コードの検証と同様に行う。検証に失敗した場合は、ここで保護応答メッセージを破棄し、成功した場合はAPM(103)に送信する。   When the AP (106) receives the protection response message from the vehicle control device (111), the AP (106) performs the falsification detection code verification process in step (1004). The verification of the falsification detection code is performed in the same manner as the verification of the falsification detection code in step (1003) using the AP-MAC key (802) of the corresponding vehicle control device. If the verification fails, the protection response message is discarded here, and if the verification is successful, it is transmitted to the APM (103).

APM(103)は、ステップ(1005)において、カウンタ(1602)の検証、MAC(1625)の検証、データ(1624)の復号化、応答メッセージの生成を行う。   In step (1005), the APM (103) verifies the counter (1602), verifies the MAC (1625), decrypts the data (1624), and generates a response message.

カウンタ(1602)の検証は、セキュリティ情報(530)のカウンタ(536)を使い、ステップ(1003)のカウンタ検証と同様に行う。カウンタ検証に失敗した場合は、保護応答メッセージを破棄する。   The counter (1602) is verified using the counter (536) of the security information (530) in the same manner as the counter verification in step (1003). If the counter verification fails, the protection response message is discarded.

MAC(1625)の検証は、セキュリティ情報(530)のAPM−MAC鍵(534)を使い、ステップ(1003)のMAC検証と同様の手順で行う。MAC検証に失敗した場合は、保護応答メッセージを破棄する。   The verification of the MAC (1625) is performed in the same procedure as the MAC verification of the step (1003) using the APM-MAC key (534) of the security information (530). If the MAC verification fails, the protection response message is discarded.

データ(1624)の復号化は、セキュリティ情報(530)の暗号鍵(533)を使ってステップ(1003)のデータの復号化と同様の手順で行う。   The decryption of the data (1624) is performed in the same procedure as the decryption of the data in step (1003) using the encryption key (533) of the security information (530).

応答メッセージは、図16(a)のフォーマットに従って生成される。ヘッダ(1601)には受信した保護応答メッセージのヘッダを、カウンタ(1602)には受信した保護応答メッセージのカウンタを、データ長(1603)には受信した保護応答メッセージのデータ長からAP用改ざん検知コードの長さとAPM用改ざん検知コードの長さを引いた値を、データ(1604)には復号したデータを設定する。   The response message is generated according to the format of FIG. The header of the received protection response message is stored in the header (1601), the counter of the received protection response message is stored in the counter (1602), and the alteration of the AP is detected from the data length of the received protection response message in the data length (1603). A value obtained by subtracting the length of the code and the length of the alteration detection code for APM is set in the data (1604), and the decoded data is set.

生成した応答メッセージは、地上制御装置(101)に送信する。   The generated response message is transmitted to the ground control device (101).

地上制御装置(101)が応答メッセージを受信すると、ステップ(1006)にて応答メッセージのカウンタ(1602)の値を1カウントアップし、セキュリティ情報(300)のカウンタ(306)に設定する。   When the ground control device (101) receives the response message, in step (1006), the value of the response message counter (1602) is incremented by 1 and set in the counter (306) of the security information (300).

本処理は定期的に繰り返される。   This process is repeated periodically.

次に、地上制御装置(101)が車両の移動に伴い、地上制御装置(101)配下から移動するタイミングが近付いたことを検知した場合の処理について図11で説明する。図11はセキュリティ情報共有処理を示す。   Next, a process when it is detected that the timing for moving the ground control device (101) from the subordinate of the ground control device (101) as the vehicle moves will be described with reference to FIG. FIG. 11 shows security information sharing processing.

地上制御装置(101)が車両制御装置(111)の移動を検知すると、ステップ(1102)の移動先判定を行う。管理主体が同じ地上制御装置へ移動する場合はステップ(1110)のカウンタ出力、鍵出力を行う。   When the ground control device (101) detects the movement of the vehicle control device (111), a destination determination in step (1102) is performed. When the management subject moves to the same ground control device, the counter output and the key output in step (1110) are performed.

カウンタ出力では、図16(a)(b)のフォーマットに従って生成される。ヘッダ(1601)のメッセージ種別(1611)にはカウンタ通知メッセージを示す値を、送信元ID(1612)には地上制御装置ID(340)を、送信先ID(1613)には移動先の地上制御装置IDを設定する。カウンタ(1602)に設定する必要はない。データ長(1603)にはカウンタ通知メッセージ全体の長さを設定する。データ(1604)は図18(d)のフォーマットに従って生成される。車両制御装置ID(1841)には車両制御装置(101)の車両制御装置ID(301)、カウンタ(1842)にはカウンタ(306)を設定する。鍵出力は、ステップ(1101)と同様の手順で鍵通知メッセージを作成する。作成したカウンタ通知メッセージと鍵通知メッセージを地上制御装置(102)に送信する。   The counter output is generated according to the format of FIGS. The message type (1611) of the header (1601) has a value indicating a counter notification message, the transmission source ID (1612) has a ground control device ID (340), and the transmission destination ID (1613) has a destination ground control. Set the device ID. It is not necessary to set the counter (1602). In the data length (1603), the length of the entire counter notification message is set. Data (1604) is generated in accordance with the format of FIG. A vehicle control device ID (301) of the vehicle control device (101) is set in the vehicle control device ID (1841), and a counter (306) is set in the counter (1842). For key output, a key notification message is created in the same procedure as in step (1101). The created counter notification message and key notification message are transmitted to the ground control device (102).

地上制御装置(102)がカウンタ通知メッセージと鍵通知メッセージを受信すると、ステップ(1106)のステータス変更、カウンタ設定、鍵設定を行う。ステータス変更は、鍵通知メッセージの車両制御装置ID(1811)と同じ車両制御装置ID(301)のステータス(305)を認証済にする。   When the ground control device (102) receives the counter notification message and the key notification message, the status change, counter setting, and key setting in step (1106) are performed. In the status change, the status (305) of the same vehicle control device ID (301) as the vehicle control device ID (1811) of the key notification message is authenticated.

カウンタ設定では、カウンタ通知メッセージの車両制御装置ID(1841)と同じ車両制御装置ID(301)のカウンタ(306)にカウンタ(1842)を設定する。   In the counter setting, the counter (1842) is set to the counter (306) of the same vehicle control device ID (301) as the vehicle control device ID (1841) of the counter notification message.

鍵設定では、鍵通知メッセージの車両制御装置ID(1811)と同じ車両制御装置ID(301)の暗号鍵(303)、APM−MAC鍵(304)、AP−MAC鍵(309)に暗号鍵(1812)、APM−MAC鍵(1813)、AP−MAC鍵(1814)をそれぞれ設定する。   In the key setting, the encryption key (303), APM-MAC key (304), AP-MAC key (309) of the same vehicle control device ID (301) as the vehicle control device ID (1811) of the key notification message is encrypted ( 1812), APM-MAC key (1813), and AP-MAC key (1814) are set.

そして、ステップ(1107)の鍵出力の後、ステップ(1101)と同様に配下にいるAPMへ鍵通知メッセージを送信する。APMもステップ(1104)と同様に鍵設定とAP鍵通知メッセージの送信を行う。APもステップ(1109)と同様に鍵設定を行う。   Then, after outputting the key in step (1107), a key notification message is transmitted to the subordinate APM as in step (1101). APM also performs key setting and transmission of an AP key notification message in the same manner as in step (1104). The AP also performs key setting in the same manner as in step (1109).

地上制御装置(102)が車両制御装置(111)から応答メッセージを受信すると、地上制御装置(102)はステップ(1108)で移動確認後、地上制御装置(101)へ移動通知メッセージを送信して移動が完了したことを通知する。   When the ground control device (102) receives a response message from the vehicle control device (111), the ground control device (102) transmits a movement notification message to the ground control device (101) after confirming the movement in step (1108). Notify that the move is complete.

地上制御装置(101)が移動通知メッセージを受信すると、ステップ(1103)でステータス更新で未認証にし、鍵通知メッセージ送信、カウンタ通知メッセージの送信、車両制御装置(101)への制御メッセージ送信を終了する。   When the ground control device (101) receives the movement notification message, the status update is made unauthenticated in step (1103), and the key notification message transmission, the counter notification message transmission, and the control message transmission to the vehicle control device (101) are finished. To do.

なお、移動通知メッセージが届かなかったとしても、APM(103)(104)から一定時間応答メッセージが届かなくなったことを認識した場合、ステップ(1103)を実施する。   Note that even if the movement notification message has not arrived, if it is recognized that the response message has not arrived from the APM (103) (104) for a certain period of time, step (1103) is performed.

次に、ステップ(1102)で管理外の地上制御装置へ移動すると判定した場合の処理について図12で説明する。図12はセキュリティ情報共有処理を示す。   Next, the processing when it is determined in step (1102) to move to an unmanaged ground control device will be described with reference to FIG. FIG. 12 shows security information sharing processing.

ステップ(1102)で管理外の地上制御装置へ移動すると判定した場合、ステップ(1201)のカウンタ出力、一時鍵生成、一時鍵出力を行う。一時鍵は移動先の地上制御装置(102)と車両制御装置(111)が認証を完了するまでの間の制御メッセージの保護通信に使用される。   If it is determined in step (1102) that the mobile station is to be moved to an unmanaged ground control device, the counter output, temporary key generation, and temporary key output in step (1201) are performed. The temporary key is used for protection communication of control messages until the ground control device (102) at the destination and the vehicle control device (111) complete the authentication.

カウンタ出力では、ステップ(1110)と同様にカウンタ通知メッセージを作成する。   In the counter output, a counter notification message is created as in step (1110).

一時鍵生成では、地上制御装置(101)の乱数生成部(332)で乱数を生成し、生成した乱数を一時暗号鍵、一時APM−MAC鍵、一時AP−MAC鍵、管理外車両用認証鍵とする。生成した一時暗号鍵、一時APM−MAC鍵、一時AP−MAC鍵、管理外車両用認証鍵は、セキュリティ情報(300)の一時暗号鍵(361)、一時APM−MAC鍵(362)、一時AP−MAC鍵(363)、管理外車両用認証鍵(364)にそれぞれ設定する。   In the temporary key generation, a random number is generated by a random number generation unit (332) of the ground control device (101), and the generated random number is used as a temporary encryption key, a temporary APM-MAC key, a temporary AP-MAC key, an unmanaged vehicle authentication key. And The generated temporary encryption key, temporary APM-MAC key, temporary AP-MAC key, and unmanaged vehicle authentication key are the temporary encryption key (361), temporary APM-MAC key (362), and temporary AP of the security information (300). -Set the MAC key (363) and the unmanaged vehicle authentication key (364), respectively.

一時鍵出力では、図16(c)に従った一時鍵通知メッセージを生成する。ヘッダ(1601)は図16(b)のフォーマットに従い、メッセージ種別(1611)には一時鍵通知メッセージを示す値を、送信元ID(1612)には地上制御装置ID(340)を、送信先ID(1613)には送信先の地上制御装置ID(351)を、セキュリティバージョン(1614)には該当するセキュリティバージョンを設定する。カウンタ(1602)には何も指定しない。データ長(1603)には一時鍵通知メッセージ全体の長さを示す値を設定する。データ(1624)には、図18(c)のフォーマットに従い、車両制御装置ID(1831)に車両制御装置ID(301)を、暗号鍵(1832)に一時暗号鍵(361)を、APM−MAC鍵(1833)に一時APM−MAC鍵(362)を、AP−MAC鍵(1834)に生成した一時AP−MAC鍵(363)を、認証鍵(1835)に生成した管理外車両用認証鍵(364)を、メカニズム指定コード(1836)にメカニズム指定コード(308)を設定し、送信先の地上制御装置IDの暗号鍵(352)で暗号化する。改ざん検知コード(1625)には、ヘッダ(1601)、カウンタ(1602)、データ長(1603)、データ(1624)を入力として、MAC鍵(353)で生成した改ざん検知コードを設定する。   In the temporary key output, a temporary key notification message according to FIG. The header (1601) follows the format shown in FIG. 16B, the message type (1611) indicates a value indicating a temporary key notification message, the transmission source ID (1612) indicates a ground control device ID (340), and the transmission destination ID. In (1613), the destination ground control device ID (351) is set, and in the security version (1614), the corresponding security version is set. Nothing is specified for the counter (1602). In the data length (1603), a value indicating the length of the entire temporary key notification message is set. In the data (1624), according to the format of FIG. 18C, the vehicle control device ID (301) is the vehicle control device ID (1831), the temporary encryption key (361) is the encryption key (1832), and the APM-MAC The temporary APM-MAC key (362) as the key (1833), the temporary AP-MAC key (363) generated as the AP-MAC key (1834), and the authentication key for unmanaged vehicle generated as the authentication key (1835) ( 364) is set in the mechanism designation code (1836) with the mechanism designation code (308) and encrypted with the encryption key (352) of the destination ground control apparatus ID. In the falsification detection code (1625), the falsification detection code generated with the MAC key (353) is set with the header (1601), counter (1602), data length (1603), and data (1624) as inputs.

地上制御装置(102)が一時鍵通知メッセージを受信すると、ステップ(1202)の改ざん検知コードの検証、一時鍵通知メッセージの復号化、一時鍵設定、ステータス設定、カウンタ設定、一時鍵出力を行う。   When the ground control device (102) receives the temporary key notification message, it performs verification of the falsification detection code in step (1202), decryption of the temporary key notification message, temporary key setting, status setting, counter setting, and temporary key output.

改ざん検知コードの検証は、受信した鍵通知メッセージのヘッダ(1601)、カウンタ(1602)、データ長(1603)、データ(1624)を入力として、送信元IDと同じ他社地上制御装置ID(351)のMAC鍵(353)で改ざん検知コードを生成し、改ざん検知コード(1625)と同じ値であるか確認する。値が異なる場合は、改ざん検知コード検証失敗として鍵通知メッセージを破棄する。   The tampering detection code is verified by using the received key notification message header (1601), counter (1602), data length (1603), and data (1624) as inputs, and the same manufacturer's ground control device ID (351) as the source ID. The falsification detection code is generated with the MAC key (353), and it is confirmed whether it is the same value as the falsification detection code (1625). If the values are different, the key notification message is discarded as a falsification detection code verification failure.

管理外地上制御装置用鍵通知メッセージの復号は、送信元IDと同じ地上制御装置ID(351)の暗号鍵(352)でデータ(1624)を復号する。   In the decryption of the key notification message for the unmanaged ground control device, the data (1624) is decrypted with the encryption key (352) of the ground control device ID (351) that is the same as the transmission source ID.

鍵設定は、復号したデータ(1624)の車両制御装置ID(1831)、暗号鍵(1832)、APM−MAC鍵(1833)、AP−MAC鍵(1834)、認証鍵(1835)をセキュリティ情報(300)の車両制御装置ID(301)、一時暗号鍵(361)、一時APM−MAC鍵(362)、一時AP−MAC鍵(363)、管理外車両用認証鍵(364)にそれぞれ設定する。また、管理外車両フラグ(365)をオンにする。   The key setting includes the vehicle control device ID (1831), the encryption key (1832), the APM-MAC key (1833), the AP-MAC key (1834), and the authentication key (1835) of the decrypted data (1624) as security information ( 300) vehicle control device ID (301), temporary encryption key (361), temporary APM-MAC key (362), temporary AP-MAC key (363), and unmanaged vehicle authentication key (364). Further, the unmanaged vehicle flag (365) is turned on.

ステータス設定では、ステップ(1104)のステータス設定と同様に一時鍵通知メッセージの車両制御装置ID(1831)のステータス(305)に認証済を設定する。   In the status setting, similarly to the status setting in step (1104), “authenticated” is set in the status (305) of the vehicle control device ID (1831) of the temporary key notification message.

カウンタ設定は、ステップ(1106)と同様に行う。   The counter setting is performed in the same manner as in step (1106).

一時鍵出力では、図16(a)のフォーマットに従ってAPM用一時鍵通知メッセージを生成する。ヘッダ(1601)は図16(b)のフォーマットに従い、メッセージ種別(1611)にAPM用一時鍵通知メッセージを示す値を、送信元ID(1612)に地上制御装置ID(340)を、送信先ID(1613)にブロードキャストを示すIDを、セキュリティバージョン(1614)には本システムのセキュリティバージョンを示す値を設定する。カウンタ(1602)には何も設定しない。データ長(1603)にはAPM用一時鍵通知メッセージの長さを設定する。データ(1604)は図18(c)に従い、車両制御装置ID(1831)、暗号鍵(1832)、APM−MAC鍵(1833)、AP−MAC鍵(1834)、認証鍵(1835)にセキュリティ情報(300)の車両制御装置ID(301)、一時暗号鍵(361)、一時APM−MAC鍵(362)、一時AP−MAC鍵(363)、管理外車両用認証鍵(364)をそれぞれ設定する。ただし、APM用鍵通知メッセージではデータ(1604)の暗号化は行わない。   In the temporary key output, an APM temporary key notification message is generated according to the format of FIG. The header (1601) follows the format of FIG. 16B, the message type (1611) indicates a value indicating the APM temporary key notification message, the transmission source ID (1612) indicates the ground control device ID (340), and the transmission destination ID. An ID indicating broadcasting is set in (1613), and a value indicating the security version of this system is set in the security version (1614). Nothing is set in the counter (1602). In the data length (1603), the length of the APM temporary key notification message is set. According to FIG. 18C, the data (1604) includes security information in the vehicle control device ID (1831), the encryption key (1832), the APM-MAC key (1833), the AP-MAC key (1834), and the authentication key (1835). (300) vehicle control device ID (301), temporary encryption key (361), temporary APM-MAC key (362), temporary AP-MAC key (363), and unmanaged vehicle authentication key (364) are set. . However, the data (1604) is not encrypted in the APM key notification message.

APM(105)がAPM用一時鍵通知メッセージを受信すると、ステップ(1203)の一時鍵設定と一時鍵出力を行う。一時鍵設定では、データ(1604)の車両制御装置ID(1831)、暗号鍵(1832)、APM−MAC鍵(1833)、認証鍵(1835)をセキュリティ情報(530)の車両制御装置ID(531)、一時暗号鍵(561)、一時APM−MAC鍵(562)、管理外車両用認証鍵(563)にそれぞれ設定する。また、管理外車両フラグ(564)をオンにする。   When the APM (105) receives the temporary key notification message for APM, temporary key setting and temporary key output in step (1203) are performed. In the temporary key setting, the vehicle controller ID (1831), the encryption key (1832), the APM-MAC key (1833), and the authentication key (1835) of the data (1604) are used as the vehicle controller ID (531) of the security information (530). ), Temporary encryption key (561), temporary APM-MAC key (562), and unmanaged vehicle authentication key (563). Further, the unmanaged vehicle flag (564) is turned on.

一時鍵出力では、図16(c)のフォーマットに従い、AP用鍵通知メッセージを作成する。ヘッダ(1601)は図16(b)のフォーマットに従い、メッセージ種別(1611)にAP用一時鍵通知メッセージを示す値を、送信元ID(1612)にAPM ID(550)を、送信先ID(1613)にブロードキャストを示すIDを、セキュリティバージョン(1614)には本システムのセキュリティバージョンを示す値を設定する。カウンタ(1602)には何も設定しない。データ長(1603)にはAP用一時鍵通知メッセージの長さを設定する。データ(1624)は図18(b)に従い、車両制御装置ID(1821)に該当する車両制御装置ID(531)を、AP−MAC鍵(1822)には受信したAPM用鍵通知メッセージのAP−MAC鍵(1834)を、メカニズム指定コード(1823)にメカニズム指定コード(1836)を設定し、各APの固有暗号鍵(542)で暗号化した値を設定する。改ざん検知コード(1625)には、ヘッダ(1601)、カウンタ(1602)、データ長(1603)、データ(1624)を入力として、各AP固有MAC鍵(543)で生成した改ざん検知コードを設定する。   In the temporary key output, an AP key notification message is created in accordance with the format of FIG. The header (1601) follows the format of FIG. 16B, the message type (1611) indicates the value indicating the temporary key notification message for AP, the source ID (1612) indicates the APM ID (550), and the destination ID (1613). ) Is set to the ID indicating broadcast, and the security version (1614) is set to a value indicating the security version of this system. Nothing is set in the counter (1602). In the data length (1603), the length of the temporary key notification message for AP is set. In accordance with FIG. 18B, the data (1624) includes the vehicle control device ID (531) corresponding to the vehicle control device ID (1821), and the AP-MAC key (1822) of the received APM key notification message AP- The MAC key (1834), the mechanism specification code (1836) are set in the mechanism specification code (1823), and the value encrypted with the unique encryption key (542) of each AP is set. In the alteration detection code (1625), the header (1601), the counter (1602), the data length (1603), and the data (1624) are input, and the alteration detection code generated with each AP unique MAC key (543) is set. .

APがAP用一時鍵通知メッセージを受信すると、ステップ(1204)でステップ(1109)と同様の手順で改ざん検知コードと復号化を行う。復号したデータ(1624)の車両制御装置ID(1821)、AP−MAC鍵(1822)、メカニズム指定コード(1823)を、セキュリティ情報(800)も車両制御装置ID(801)、一時AP−MAC鍵(804)、メカニズム指定コード(803)にそれぞれ設定する。   When the AP receives the temporary key notification message for AP, in step (1204), the alteration detection code and decryption are performed in the same procedure as in step (1109). The vehicle control device ID (1821), AP-MAC key (1822), mechanism designation code (1823) of the decrypted data (1624), security specification (800), vehicle control device ID (801), and temporary AP-MAC key (804) and the mechanism designation code (803), respectively.

また、ステップ(1102)で管理外の地上制御装置へ移動すると判定した場合の処理について図13で説明する。図13はセキュリティ情報共有処理を示す。   Further, FIG. 13 will be used to explain the processing when it is determined in step (1102) to move to an unmanaged ground control device. FIG. 13 shows security information sharing processing.

ステップ(1102)で管理外の地上制御装置へ移動すると判定した場合、地上制御装置(101)は配下にいるAPM(103)(104)、AP(106)(107)および該当する車両制御装置(111)に一時鍵を通知するために、ステップ(1301)のAPM用一時鍵通知メッセージ、鍵通知メッセージを生成し、制御メッセージと一緒にAPM(103)(104)に送信する。   When it is determined in step (1102) that the ground control device is to be moved to an unmanaged ground control device, the ground control device (101) is subordinate to the APM (103) (104), AP (106) (107) and the corresponding vehicle control device ( 111), a temporary key notification message for APM and a key notification message in step (1301) are generated and transmitted to the APM (103) (104) together with the control message.

APM用鍵通知メッセージの生成はステップ(1202)のAPM用一時鍵通知メッセージの作成、鍵通知メッセージの生成はステップ(1101)、制御メッセージの生成はステップ(1001)と同じ手順である。   The generation of the APM key notification message is the same as the generation of the temporary key notification message for APM in step (1202), the generation of the key notification message is in step (1101), and the generation of the control message is the same as in step (1001).

APM(103)(104)がAPM用一時鍵通知メッセージ、鍵通知メッセージ、制御メッセージを受信すると、ステップ(1302)でステップ(1204)(1104)(1002)と同じ手順で処理を行い、AP用一時鍵通知メッセージおよび保護制御メッセージを作成する。また、車両制御装置用一時鍵通知メッセージを作成する。   When the APM (103) (104) receives the temporary key notification message for APM, the key notification message, and the control message, the processing is performed in the same procedure as steps (1204) (1104) (1002) in step (1302). Create a temporary key notification message and a protection control message. Also, a temporary key notification message for the vehicle control device is created.

AP(106)(107)がAP用一時鍵通知メッセージを受信すると、ステップ(1304)でステップ(1204)と同じ手順で一時鍵を設定する。   When the AP (106) (107) receives the AP temporary key notification message, the temporary key is set in the same procedure as in step (1204) in step (1304).

車両制御装置(111)が車両制御装置用一時鍵通知メッセージおよび保護制御メッセージを受信すると、ステップ(1303)で、保護制御メッセージはステップ(1003)と同じ手順で処理される。車両制御装置用一時鍵通知メッセージは、車両制御装置(111)のAPM−MAC鍵(704)を使って改ざん検知コード(1625)の検証を行う。改ざん検知コードの検証に失敗した場合は、車両制御装置用一時鍵メッセージを破棄する。   When the vehicle control device (111) receives the temporary key notification message for vehicle control device and the protection control message, the protection control message is processed in the same procedure as in step (1003) in step (1303). The temporary key notification message for the vehicle control device verifies the falsification detection code (1625) using the APM-MAC key (704) of the vehicle control device (111). If verification of the falsification detection code fails, the temporary key message for the vehicle control device is discarded.

検証に成功した場合は、暗号鍵(703)を使ってデータ(1624)を復号する。復号したデータの暗号鍵(1731)、APM−MAC鍵(1732)、AP−MAC鍵(1733)、管理外車両用認証鍵(1734)を暗号鍵(703)、APM−MAC鍵(704)、AP−MAC鍵(712)、管理外車両用認証鍵(713)に設定する。   If the verification is successful, the data (1624) is decrypted using the encryption key (703). Decrypted data encryption key (1731), APM-MAC key (1732), AP-MAC key (1733), unmanaged vehicle authentication key (1734) encryption key (703), APM-MAC key (704), The AP-MAC key (712) and the unmanaged vehicle authentication key (713) are set.

そして、管理主体が異なる地上制御装置と車両制御装置間の認証処理を行う。この処理について図14で説明する。図14はこの認証処理を示す。   And the authentication process between the ground control apparatus and vehicle control apparatus from which a management main body differs is performed. This process will be described with reference to FIG. FIG. 14 shows this authentication process.

車両制御装置(101)は、ステップ(1401)で、ステップ(1004)と同様の手順による保護応答メッセージの生成、ステップ(902)と同様の手順による認証要求メッセージを生成する。ただし、保護応答メッセージのメッセージ種別(1611)には認証メッセージ付き応答メッセージを示す値を設定する。生成した保護応答メッセージおよび認証要求メッセージはAPM(103)(104)に送信する。   In step (1401), the vehicle control device (101) generates a protection response message according to the same procedure as in step (1004), and generates an authentication request message according to the same procedure as in step (902). However, a value indicating a response message with an authentication message is set in the message type (1611) of the protection response message. The generated protection response message and authentication request message are transmitted to the APM (103) (104).

APM(103)(104)が保護応答メッセージと認証要求メッセージを受信すると、ステップ(1402)で、ステップ(1005)と同様の手順による保護応答メッセージの検証とステップ(911)と同様の手順による認証要求の受付を行う。ただし、保護応答メッセージの検証に使用する鍵は一時暗号鍵(561)、一時APM−MAC鍵(562)を使用する。応答メッセージと乱数要求を地上制御装置(101)に送信する。   When the APM (103) (104) receives the protection response message and the authentication request message, in step (1402), the verification of the protection response message by the same procedure as in step (1005) and the authentication by the same procedure as in step (911) are performed. Accept the request. However, a temporary encryption key (561) and a temporary APM-MAC key (562) are used as keys for verification of the protection response message. A response message and a random number request are transmitted to the ground control apparatus (101).

地上制御装置(101)が応答メッセージと乱数要求を受信すると、ステップ(1403)で、ステップ(1001)と同様の手順による制御メッセージの作成、ステップ(921)と同様の手順によるメカニズムの設定と乱数の生成・設定を行い、APM(103)(104)に通知する。   When the ground control device (101) receives the response message and the random number request, in step (1403), a control message is created in the same procedure as in step (1001), a mechanism is set in the same procedure as in step (921), and a random number is created. The APM (103) (104) is notified.

APM(103)(104)が制御メッセージと乱数を受信すると、ステップ(1404)で地上認証データの生成と制御メッセージの保護を行う。地上認証データの生成は、該当車両制御装置(101)の管理外車両用認証鍵(563)を用いてステップ(912)と同様の手順で実施される。制御メッセージの保護は、一時暗号鍵(561)、一時APM−MAC鍵(562)を用いてステップ(1001)から(1006)と同様の手順で実施される。   When the APM (103) (104) receives the control message and the random number, the ground authentication data is generated and the control message is protected in step (1404). The generation of the ground authentication data is performed in the same procedure as in step (912) using the unmanaged vehicle authentication key (563) of the corresponding vehicle control device (101). The protection of the control message is performed in the same procedure as steps (1001) to (1006) using the temporary encryption key (561) and the temporary APM-MAC key (562).

また、再認証処理は図15の手順で行われる。図15はこの再認証処理を示す。図15に示すように、ステップ(1511)で地上制御装置が再認証要求を車両制御装置(101)に送ると、ステップ(1401)から(1406)と同様に通常の制御メッセージの保護通信を行いながら、ステップ(1501)から(1509)で再認証処理を行う。   The re-authentication process is performed according to the procedure shown in FIG. FIG. 15 shows this re-authentication process. As shown in FIG. 15, when the ground control device sends a re-authentication request to the vehicle control device (101) in step (1511), the normal control message protection communication is performed as in steps (1401) to (1406). However, re-authentication processing is performed in steps (1501) to (1509).

ここでは、認証に関係するメッセージと制御に関係するメッセージをそれぞれ作成し、合わせて送信したが、1つのメッセージとして処理してもよいし、送信可能なメッセージ長が制限されている場合は、その長さに合わせて認証メッセージを分割してもよい。   Here, a message related to authentication and a message related to control are created and sent together, but may be processed as one message, and if the message length that can be sent is limited, The authentication message may be divided according to the length.

また、ここでは、地上制御システムの通信路、すなわち地上制御装置間、地上制御装置とAPM間の通信路は安全と仮定して、該当通信路に対してはセキュリティ対策を施していないが、それぞれにおいても、認証や鍵共有技術で同等に保護するこが可能である。また、メカニズム指定コードなどは、システムとして同一のメカニズム(暗号アルゴリズムなど)を用いるとする場合には、省略可能である。   In addition, here, the communication path of the ground control system, that is, the communication path between the ground control devices and between the ground control device and the APM is assumed to be safe, and security measures are not taken for the corresponding communication routes. Can be equally protected by authentication and key sharing technology. Also, the mechanism designation code or the like can be omitted when the same mechanism (encryption algorithm or the like) is used as the system.

このように、本実施形態によれば、列車などの移動体を捕捉し、制御する無線制御セキュリティシステムにおいて、地上システムをAP、APM、地上制御装置の3段構成とすることでセキュリティ処理に伴う負荷を軽減し、大規模なシステムへの拡張を可能とし、後方の装置である地上制御装置がセキュリティ状態を生成することで多重系の端末立ち上げ処理が容易な無線制御セキュリティシステムを提供できる。もちろん、これらの特徴を一つだけ採用することも可能である。   Thus, according to the present embodiment, in a wireless control security system that captures and controls a moving body such as a train, the ground system is associated with security processing by adopting a three-stage configuration of AP, APM, and ground control device. It is possible to provide a wireless control security system that reduces the load, enables expansion to a large-scale system, and allows a terrestrial control device, which is a device behind, to generate a security state and facilitate multi-terminal startup processing. Of course, it is possible to adopt only one of these features.

本システムは、列車などの制御だけでなく、車や歩行者などの移動体に関するサービスシステムなどに応用することができる。   This system can be applied not only to control of trains and the like, but also to service systems related to moving objects such as cars and pedestrians.

101、102:地上制御装置、103、104、105:APM、106、107、108:AP、111:車両制御装置、112:列車、113、114:地上子、201:端末、202:CPU、203:メモリ、204:記憶装置、205:通信IF、206:周辺機器接続IF、207:表示装置、210:ネットワーク。   101, 102: Ground control device, 103, 104, 105: APM, 106, 107, 108: AP, 111: Vehicle control device, 112: Train, 113, 114: Ground child, 201: Terminal, 202: CPU, 203 : Memory, 204: Storage device, 205: Communication IF, 206: Peripheral device connection IF, 207: Display device, 210: Network.

Claims (3)

移動体が有する車両制御装置と、前記車両制御装置と通信を行う地上システムとを含む無線制御セキュリティシステムであって、
前記地上システムは、複数のアクセスポイントと、前記複数のアクセスポイントに接続される複数のアクセスポイント制御装置と、前記複数のアクセスポイント制御装置に接続される1つまたは複数の地上制御装置との3段構成から成り、
前記地上制御装置が、セキュリティ機能実現するための鍵を生成し、生成された前記鍵を前記アクセスポイント制御装置に送信し、
前記アクセスポイント制御装置が、受信した前記鍵を暗号化した鍵メッセージを生成して前記車両制御装置に送信する
ことを特徴とする無線制御セキュリティシステム。 A wireless control security system including a vehicle control device included in a moving body and a ground system that communicates with the vehicle control device,
The ground system includes a plurality of access points, a plurality of access point control devices connected to the plurality of access points, and one or a plurality of ground control devices connected to the plurality of access point control devices. Consisting of a stage structure,
The ground train control unit generates a key for realizing the security function sends the generated the key to the access point control apparatus,
The wireless control security system, wherein the access point control device generates a key message obtained by encrypting the received key and transmits the key message to the vehicle control device . 請求項1に記載の無線制御セキュリティシステムにおいて、
前記車両制御装置が、前記アクセスポイント制御装置から受信した前記鍵メッセージに基づいて、前記鍵の復号を行い、認証完了メッセージを前記アクセスポイント制御装置に送信し、
前記アクセスポイント制御装置が、前記認証完了メッセージを受信すると認証完了とし、結果を前記地上制御装置に送信し、
前記地上制御装置が、前記結果を受信すると認証完了とし、
前記地上制御装置は、認証完了の場合、更にアクセスポイント制御装置用鍵通知メッセージを作成し、前記アクセスポイント制御装置に送信し、
前記アクセスポイント制御装置は、前記アクセスポイント制御装置用鍵通知メッセージを受信すると、アクセスポイント用鍵通知メッセージを作成し、前記アクセスポイントに送信する
ことを特徴とする無線制御セキュリティシステム。 The wireless control security system according to claim 1,
The vehicle control device performs decryption of the key based on the key message received from the access point control device, and transmits an authentication completion message to the access point control device.
When the access point control device receives the authentication completion message, authentication is completed, and the result is sent to the ground control device.
When the ground control device receives the result, the authentication is completed,
The ground control device, when authentication is completed, further creates a key notification message for the access point control device, and transmits to the access point control device,
When the access point control device receives the access point control device key notification message, the access point control device creates an access point key notification message and transmits it to the access point . 請求項2に記載の無線制御セキュリティシステムにおいて、
前記アクセスポイントが盗難された場合、盗難された前記アクセスポイントの固有暗号鍵と固有MAC鍵とを無効にする
ことを特徴とする無線制御セキュリティシステム。 The wireless control security system according to claim 2,
A wireless control security system, wherein when the access point is stolen, the unique encryption key and the unique MAC key of the stolen access point are invalidated .
JP2012131180A 2006-06-07 2012-06-08 Wireless control security system Expired - Fee Related JP5503692B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012131180A JP5503692B2 (en) 2006-06-07 2012-06-08 Wireless control security system

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2006157982 2006-06-07
JP2006157982 2006-06-07
JP2012131180A JP5503692B2 (en) 2006-06-07 2012-06-08 Wireless control security system

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2007148705A Division JP5016394B2 (en) 2006-06-07 2007-06-05 Wireless control security system

Publications (2)

Publication Number Publication Date
JP2012178884A JP2012178884A (en) 2012-09-13
JP5503692B2 true JP5503692B2 (en) 2014-05-28

Family

ID=46980371

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012131180A Expired - Fee Related JP5503692B2 (en) 2006-06-07 2012-06-08 Wireless control security system

Country Status (1)

Country Link
JP (1) JP5503692B2 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6004905B2 (en) * 2012-11-14 2016-10-12 三菱電機株式会社 Train radio system
CN105142137B (en) * 2015-07-27 2018-10-12 北京交通大学 Vehicle-ground wireless communication of urban railway transport system authentication key configures system and method
CN105025479B (en) * 2015-07-27 2019-03-05 北京交通大学 Vehicle-ground wireless communication of urban railway transport system authentication key configures system and method
RU2671808C1 (en) * 2017-10-16 2018-11-07 Федеральное государственное бюджетное учреждение "16 Центральный научно-исследовательский испытательный ордена Красной Звезды институт имени маршала войск связи А.И. Белова" Министерства обороны Российской Федерации Mobile communication control hardware
CN110049386B (en) 2018-01-17 2022-02-25 华为技术有限公司 Communication network and related devices

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5420883A (en) * 1993-05-17 1995-05-30 Hughes Aircraft Company Train location and control using spread spectrum radio communications
JPH09327057A (en) * 1996-06-06 1997-12-16 Hitachi Ltd Mobile communication system and its communication control method
WO1998041435A1 (en) * 1997-03-19 1998-09-24 Hitachi, Ltd. Method and system for controlling train by radio
JPH1159421A (en) * 1997-08-28 1999-03-02 Hitachi Ltd Train control method using wireless communication having backup system
US6065406A (en) * 1998-06-24 2000-05-23 Katzer; Matthew A. Model train control system
JP3451543B2 (en) * 1998-11-24 2003-09-29 株式会社日立製作所 Train control device
JP3424910B2 (en) * 1998-12-01 2003-07-07 株式会社日立製作所 Method of determining ground-side wireless transmission device to which train moves and mobile communication system
JP3997319B2 (en) * 1999-02-17 2007-10-24 財団法人鉄道総合技術研究所 Digital communication system for train control
CA2263031A1 (en) * 1999-02-26 2000-08-26 Kasten Chase Applied Research Limited Communications based train control
JP3920583B2 (en) * 2001-03-29 2007-05-30 株式会社日立製作所 COMMUNICATION SECURITY MAINTAINING METHOD, APPARATUS THEREOF, AND PROCESSING PROGRAM THEREOF
US6587763B2 (en) * 2001-11-12 2003-07-01 East Japan Railway Company Train control system and method therefor
JP2003154935A (en) * 2001-11-19 2003-05-27 Hitachi Ltd Method and device for train control
JP2003318919A (en) * 2002-04-26 2003-11-07 Sato Kogyo Co Ltd Integrated information management system
US20030223387A1 (en) * 2002-05-31 2003-12-04 Davenport David Michael Remote vehicle communication associate
JP2004133585A (en) * 2002-10-09 2004-04-30 Mitsubishi Heavy Ind Ltd Operation control system for mobile object
JP3997146B2 (en) * 2002-11-22 2007-10-24 財団法人鉄道総合技術研究所 Mobile communication system, network system, and mobile communication method
JP2004306821A (en) * 2003-04-08 2004-11-04 Mitsubishi Electric Corp Personal authentication system
JP4619858B2 (en) * 2004-09-30 2011-01-26 株式会社日立製作所 Encryption key update method, encryption key update system, and wireless base station constituting encryption key update system in distributed environment
JP4710579B2 (en) * 2005-12-06 2011-06-29 日本電気株式会社 Train radio interference avoidance system and in-train radio terminal

Also Published As

Publication number Publication date
JP2012178884A (en) 2012-09-13

Similar Documents

Publication Publication Date Title
JP5016394B2 (en) Wireless control security system
JP5261614B2 (en) Communication system, in-vehicle terminal, roadside device
US9602290B2 (en) System and method for vehicle messaging using a public key infrastructure
CN105827586B (en) V2X communication equipment, system and nonvolatile memory
US8051489B1 (en) Secure configuration of a wireless sensor network
CN109963279B (en) Hybrid encryption method applied to dynamic ad hoc network
US8069470B1 (en) Identity and authentication in a wireless network
JP3920583B2 (en) COMMUNICATION SECURITY MAINTAINING METHOD, APPARATUS THEREOF, AND PROCESSING PROGRAM THEREOF
KR100749846B1 (en) Device for realizing security function in mac of portable internet system and authentication method using the device
JP5587239B2 (en) Vehicle-to-vehicle / road-vehicle communication system
US20130182844A1 (en) Terminal apparatuses and base station apparatus for transmitting or receiving a signal containing predetermined information
CN101356759A (en) Token-based distributed generation of security keying material
CN107710676B (en) Gateway device and control method thereof
JP5503692B2 (en) Wireless control security system
WO2008021855A2 (en) Ad-hoc network key management
CN108650028B (en) Multiple identity authentication system and method based on quantum communication network and true random number
KR101314751B1 (en) Apparatus for managing installation of DRM and method thereof
JP6092548B2 (en) Radio system and train control system
KR20090111315A (en) Power distribution system secure access communication system and method
CN101420686A (en) Industrial wireless network security communication implementation method based on cipher key
CN101022418B (en) HMIP identifying method, equipment and system
KR20110058067A (en) System and method for authenticating sink using mobile network
WO2011003352A1 (en) Method and device for protecting terminal privacy
CN104703174A (en) Wireless Mesh network routing security protection method
JP4540681B2 (en) COMMUNICATION SECURITY MAINTAINING METHOD, APPARATUS THEREOF, AND PROCESSING PROGRAM THEREOF

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120608

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131029

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131226

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140218

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140314

R150 Certificate of patent or registration of utility model

Ref document number: 5503692

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees