JP6327344B2 - ネットワークシステム、通信制御方法および記憶媒体 - Google Patents

ネットワークシステム、通信制御方法および記憶媒体 Download PDF

Info

Publication number
JP6327344B2
JP6327344B2 JP2016529196A JP2016529196A JP6327344B2 JP 6327344 B2 JP6327344 B2 JP 6327344B2 JP 2016529196 A JP2016529196 A JP 2016529196A JP 2016529196 A JP2016529196 A JP 2016529196A JP 6327344 B2 JP6327344 B2 JP 6327344B2
Authority
JP
Japan
Prior art keywords
communication
ecu
unit
communication node
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016529196A
Other languages
English (en)
Other versions
JPWO2015194323A1 (ja
Inventor
秀一 瀬川
秀一 瀬川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Publication of JPWO2015194323A1 publication Critical patent/JPWO2015194323A1/ja
Application granted granted Critical
Publication of JP6327344B2 publication Critical patent/JP6327344B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0894Packet rate
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Description

本開示の一側面は、ネットワークシステムに関する。
車載通信ネットワークには、様々な通信ノードが参加することが想定され、その中には、通信ノードのプログラムの不正な書き換えなどの不正行為が行われた信用できない通信ノードが含まれる可能性がある。車載通信ネットワークに、信用できない通信ノードの接続が許可されることによって、周辺デバイスの損傷、通信帯域が食いつぶされるなどの問題が発生するおそれがある。
認証に基づいて車載通信ネットワークへのアクセスを制御することによって、信用できる通信ノードの通信を許可する技術が知られている(例えば、特許文献1参照)。この技術では、外部装置接続用のコネクタに接続されたツールが正規品であるか否かを識別することで、該コネクタを介して、車載通信ネットワークに接続された車載装置に対する不正行為が行われることを阻止する。
特開2013−135311号公報
しかし、従来の車載通信ネットワークへのアクセス制御方式では、証明書やパスワードによって認証を行った通信ノードの接続の可否を制御している。このため、認証できない通信ノードについては、正常に動作することが見込まれるものでも一律に接続が拒否されるため、機能させることができない。
仮に、正規品でないために、認証できない通信ノードの接続を許可するようにした場合、車載通信ネットワークへの悪影響が懸念される。
そこで、本開示の一側面は、車載通信ネットワークに接続する通信ノードの信頼性に応じて、その通信ノードを機能させることを目的とする。
本開示の一側面によれば、1以上の通信ノード、およびゲートウェイを含むネットワークシステムが提供される。前記ゲートウェイは、前記ネットワークシステムに新たに接続される通信ノードから認証要求を受信して前記通信ノードを認証する第1の認証処理部と、
前記第1の認証処理部により認証された前記通信ノードとの通信における通信パラメータを監視する監視部と、通信ノードの信頼性レベルに基づいて定められた通信パラメータを用い、前記監視部によって監視される通信ノードにより送信されたパケットが、前記通信パラメータを満たすか否かを判定し、前記通信パラメータが信頼性レベルに関連付けられた通信条件を満たす場合に前記監視部によって監視される通信ノードの信頼性レベルを
下げる通信制御部とを有し、前記通信制御部は、前記新たに接続される通信ノードから送信される信頼性を表す情報に基づいて前記通信条件を設定し、前記新たに接続される通信ノードは、前記ゲートウェイへ前記認証要求を送信する際に、該新たに接続される通信ノードの信頼性を表す情報を送信する第2の認証処理部とを有する。
本開示の一側面によれば、車載通信ネットワークに接続する通信ノードの信頼性に応じて、その通信ノードを機能させることができる。
車載通信ネットワークの一実施例を示す図である。 図1に示す車載通信ネットワークの一部分を示す図である。 ECUのハードウェア構成の一実施例を示す図である。 ネットワークコントローラのハードウェア構成の一実施例を示す図である。 ECU、およびネットワークコントローラの一実施例を示す機能ブロック図である。 信頼性レベル通信制御対応テーブルの一例を示す図である。 信頼性レベル通信制御内容対応テーブルの一例を示す図である。 車載通信ネットワークの動作の一実施例を示すシーケンスチャートである。 車載通信ネットワークの動作の一実施例を示すシーケンスチャートである。 車載通信ネットワークの動作の一実施例を示すフローチャートである。 車載通信ネットワークの適用例を示す図である。 ネットワークコントローラのハードウェア構成の一変形例を示す図である。 ネットワークコントローラの一変形例を示す機能ブロック図である。 車載通信ネットワークの一変形例を示す図である。 車載通信ネットワークの一変形例を示す図である。
次に、本発明を実施するための形態を、以下の実施例に基づき図面を参照しつつ説明する。以下で説明する実施例は一例に過ぎず、本発明が適用される実施の形態は、以下の実施例に限られない。なお、実施例を説明するための全図において、同一機能を有するものは同一符号を用い、繰り返しの説明は省略する。
<実施例>
<車載通信ネットワーク>
図1は、車載通信ネットワークの一実施例を示す。
車載通信ネットワークは1つのネットワークまたは複数のネットワークが結合された集合体によって構成され、各ネットワークには、1または複数の部品、デバイス、電子制御ユニット(ECU: Electronic Control Unit)などの通信ノードが接続される。車載通信ネットワークには、車両診断用装置などのツールが接続される外部接続ポートなども接続されることがある。
各通信ノードは修理の際に置き換えられたり、ネットワークに正規品ではない社外品、カスタム品などの非正規品が接続される可能性がある。さらに、外部接続ポートに不特定のツールや計測装置などが接続される可能性がある。ここでは、通信ノードの一例として、ECUを適用する。
車載通信ネットワークは、ヘッドユニット100、ECU102、ECU104、ネットワークコントローラ106、ECU110、自己故障診断(OBD: On-board diagnostics)ポート202、ECU204、情報デバイス302、ネットワークユニット304、および無線デバイス400を備える。
ヘッドユニット100、ECU102、ECU104、およびネットワークコントローラ106は、第1の通信バス108によって接続されることによりCAN(Controller Area Network)、イーサネット(Ethernet)(登録商標)、ローカルエリアネットワーク(LAN: Local Area Network)などの第1のネットワークを構成する。ヘッドユニット100、OBDポート202、およびECU204は、第2の通信バス206によって接続されることによりCAN、イーサネット(登録商標)、ローカルエリアネットワークなどの第2のネットワークを構成する。ヘッドユニット100、情報デバイス302、およびネットワークユニット304は、第3の通信バス306によって接続されることによりCAN、イーサネット(登録商標)、ローカルエリアネットワークなどの第3のネットワークを構成する。ネットワークコントローラ106、およびECU110は、第4の通信バス112によって接続されることによりCAN、イーサネット(登録商標)、ローカルエリアネットワークなどの第4のネットワークを構成する。
ヘッドユニット100は、ナビゲーションやオーディオ、ビデオなどのマルチメディア機能を有し、無線デバイス400との間で無線通信を行い、無線デバイス400から送信される音楽や動画データを再生する。さらに、後述するが、ヘッドユニット100は、ネットワークユニット304から入力される情報に基づいて動作する。
ECU102、104、110、および204は、主に、点火時期や燃料調整、スロットル開度、バルブタイミング、アイドリング調整などのエンジン制御を行う。また、ECU102、104、110、および204は、アンチロック・ブレーキ・システム(ABS: Antilock Brake System)などのブレーキ制御、トラクションコントロールの制御、エアバッグ、エアコン、各メーター類、イモビライザー、ルームランプなどの電装品を制御するようにすることもできる。
ネットワークコントローラ106は、ECU110の信頼性に応じてECU110を第1のネットワークに接続するか否かを判断するとともに、接続するものについては、その信頼性に応じて、ECU110へ割り当てる帯域を設定したり、第1のネットワークに出力するECU110が送信するパケットを設定したりするなどの送信制御を行う。例えば、ネットワークコントローラ106は、ECU110に対する通信パラメータを調整することによって、割り当てる帯域を制限したり、第1のネットワークに転送するパケットを制限したりする。
OBDポート202は、OBDが記録した故障診断した内容を取得する際に、専用端末などを接続するポートである。車両の整備士などは、OBDポート202から取得した故障診断した内容を取得し、その内容を解析できる。例えば、OBDは故障診断した際に、故障の箇所や内容をランプの点灯や明滅あるいはブザー音などの鳴動で通知し、その内容に応じたコードを記録する。また、OBDポート202には、レーダー探知機、外部メータなどを接続することもでき、走行中の水温やブースト圧、燃費などを計測することもできる。
情報デバイス302は、ネットワークユニット304によって取得される情報を格納するとともに、ヘッドユニット100へ出力する。
ネットワークユニット304は、アクセスポイント500との間で無線通信を行うことによって、アクセスポイント500と接続されるネットワーク(図示なし)に接続されるサーバ(図示無し)などから地図データの取得を行ったり、音楽データのダウンロードなどを行うことができる。例えば、ヘッドユニット100がナビゲーションとして機能する場合には、ネットワークユニット304は更新された地図データをダウンロードし、ヘッドユニット100がオーディオとして機能する場合には、ネットワークユニット304は音楽や動画データをダウンロードする。さらに、後述するが、ネットワークユニット304は、アクセスポイント500との間で無線通信を行うことによって、アクセスポイント500と接続されるネットワーク(図示なし)に接続されるサーバ(図示無し)などからサービスの提供を受けることができる。
無線デバイス400は、無線LANモジュールなどの無線装置を備え、ヘッドユニット100との間で無線通信を行う。
図1に示す車載通信ネットワークにおいて、ネットワークコントローラ106、およびECU110は、一旦車載通信ネットワークが構成された後に、新たに追加されたものである。つまり、第1のネットワークに新たにECU110などの通信ノードを追加する場合、第1の通信バス108にネットワークコントローラ106を接続し、そのネットワークコントローラ106に新たに追加するECU110を接続する。
ここでは、第1のネットワークに新たにECU110などの通信ノードを追加する場合について説明する。第2のネットワーク、第3のネットワークに新たにECUなどの通信ノードを追加する場合についても適用できる。
図2は、図1の車載通信ネットワークの第1のネットワークを示す。図2に示されるように、第1のネットワークはバス型のネットワークであり、第1の通信バス108に、ヘッドユニット100、複数のECU102、104、およびネットワークコントローラ106が接続され、ネットワークコントローラ106にECU110が接続される。
<ECU102のハードウェア構成>
図3は、本実施形態に係るECU102のハードウェア構成図である。図3に示されているように、本実施形態に係るECU102は、ECU102全体の動作を制御するCPU(Central Processing Unit)1024、およびCPU1024の駆動に用いられるプログラムを記憶したROM(Read Only Memory)1026を備える。さらに、ECU102は、CPU1024のワークエリアとして使用されるRAM(Random Access Memory)1028、および上記各構成要素を図3に示されているように電気的に接続するためのアドレスバスやデータバスなどのバスライン1023を備える。
また、ECU102は、CPU1024から入力される送信データをトランシーバ1032へ出力することによって、第1の通信バス108へ送信するとともに、トランシーバ1032から入力される受信データをCPU1024へ入力する通信部1030を備える。CPU1024、ROM1026、RAM1028、通信部1030、およびバスライン1023をマイクロコントローラ1022として構成することもできる。また、ECU102は、通信部1030から入力される送信データを第1の通信バス108へ送信するとともに、第1の通信バス108から受信される受信データを通信部1030へ入力するトランシーバ1032を備える。
図3に示すECU102のハードウェア構成は、ECU104、ECU110、ECU204にも適用できる。
<ネットワークコントローラ106のハードウェア構成>
図4は、本実施形態に係るネットワークコントローラ106のハードウェア構成図である。図4に示されているように、本実施形態のネットワークコントローラ106は、ネットワークコントローラ106全体の動作を制御するCPU1064、およびCPU1064の駆動に用いられるプログラムを記憶したROM1066を備える。さらに、ネットワークコントローラ106は、CPU1064のワークエリアとして使用されるRAM1068、および上記各構成要素を図4に示されているように電気的に接続するためのアドレスバスやデータバスなどのバスライン1063を備える。
また、ネットワークコントローラ106は、CPU1064から入力される送信データを第1のトランシーバ1072、第2のトランシーバ1074へ出力することによって、それぞれ第1の通信バス108、第4の通信バス112へ送信するとともに、第1のトランシーバ1072、または第2のトランシーバ1074から入力される受信データをCPU1064へ入力する通信部1070を備える。CPU1064、ROM1066、RAM1068、および通信部1063をマイクロコントローラ1062として構成することもできる。
また、ネットワークコントローラ106は、通信部1070から入力される送信データを第1の通信バス108へ送信するとともに、第1の通信バス108から受信される受信データを通信部1070へ入力する第1のトランシーバ1072、通信部1070から入力される送信データを第4の通信バス112へ送信するとともに、第4の通信バス112から受信される受信データを通信部1070へ入力する第2のトランシーバ1074を備える。
<機能構成>
次に、本実施形態の機能構成について説明する。図5は、本実施形態のネットワークコントローラ106、およびECU110の機能ブロック図である。図5に示されるように、ネットワークコントローラ106とECU110とは、通信可能なように有線接続されている。
<ECU110の機能構成>
ECU110は、送受信部1102、認証処理部1104、送信データ作成部1106、記憶・読出処理部1108、記憶部1110、および通信制御部1112を有している。これら各部は、図3に示されている各構成要素のいずれかが、ROM1026からRAM1028上に展開されたECU用プログラムに従ったCPU1024からの命令によって動作することで実現される機能、または機能される手段である。
(ECU110の各機能構成の説明)
次に、図3および図5を用いて、ECU110の各機能構成について詳細に説明する。なお、以下では、ECU110の各機能構成部を説明するにあたって、図3に示されている各構成要素のうち、ECU110の各機能構成部を実現させるための主な構成要素との関係も説明する。
図5に示されているECU110の送受信部1102は、図3に示されているCPU1024からの命令、図3に示されている通信部1030によって実現され、第4のネットワークを介して、ネットワークコントローラ106と各種データ(または情報)の送受信を行う。
図5に示されているECU110の記憶・読出処理部1108は、図3に示されているCPU1024からの命令によって実現され、記憶部1110に各種データを記憶したり、記憶部1110に記憶された各種データを読み出す処理を行う。この記憶部1110には、ECU110を識別するためのノードID、ECU110の信頼性レベル、およびネットワークコントローラ106と共有されるパスワードなどの認証キーが記憶される。なお、ノードIDは予め記憶部1110に記憶されていてもよいし、ECU110の利用者が利用する際に記憶部1110に入力してもよい。
なお、本実施形態のノードIDは、ECUを一意に識別するために使われる言語、文字、記号、または各種のしるし等の識別情報を示す。また、ノードIDは、上記言語、文字、記号、および各種のしるしのうち、少なくとも2つが組み合わされた識別情報であってもよい。
図5に示されているECU110の記憶部1110は、図3に示されているROM1026によって実現され、ECU110のノードID、ECU110の信頼性レベル、およびネットワークコントローラ106と共有するパスワードなどの認証キーを記憶する。
図5に示されているECU110の認証処理部1104は、図3に示されているCPU1024からの命令によって実現され、ネットワークコントローラ106へ認証を要求する。認証処理部1104は、記憶・読出処理部1108に記憶部1110に格納されたノードID、および信頼性レベルを読み出させ、そのノードID、および信頼性レベルを付帯した認証要求を作成し、送受信部1102から送信する。さらに、ネットワークコントローラ106から送信されるチャレンジが送受信部1102によって受信されると、認証処理部1104は、そのチャレンジに付帯されたNonce(乱数)を取得するとともに、記憶・読出処理部1108に記憶部1110に格納された認証キーを読み出させる。さらに、認証処理部1104は、取得したNonce、および認証キーを組み合わせて所定の演算を行い、その演算結果をレスポンスとして、送受信部1102から送信する。さらに、ネットワークコントローラ106から送信される認証応答が送受信部1102によって受信されると、認証処理部1104は、その認証応答が通信を許可することを示す場合には、通信制御部1112へ認証されたことを通知する。また、例えば、認証処理部1104は、EAP−TLSによって、ネットワークコントローラ106との間で相互で証明書による認証を行うことや、PEAPによって認証を行うことができる。ネットワークコントローラ106をRADIUSサーバとして機能させることもできる。
図5に示されているECU110の送信データ作成部1106は、図3に示されているCPU1024からの命令によって実現され、他の通信ノードへ送信する各種データ(または情報)を作成し、送受信部1102から送信する。
図5に示されているECU110の通信制御部1112は、図3に示されているCPU1024からの命令、図3に示される通信部1030によって実現される。通信制御部1112は、送信データ作成部1106によって作成した送信データの送信制御を行う。
<ネットワークコントローラ106の機能構成>
ネットワークコントローラ106は、第1の送受信部1076、認証処理部1078、レベル設定部1080、監視部1082、記憶・読出処理部1084、記憶部1086、通信制御部1088、帯域計測部1090、および第2の送受信部1092を有している。これら各部は、図4に示されている各構成要素のいずれかが、ROM1066からRAM1068上に展開されたネットワークコントローラ用プログラムに従ったCPU1062からの命令によって動作することで実現される機能、または機能される手段である。
(ネットワークコントローラ106の各機能構成の説明)
次に、図4および図5を用いて、ネットワークコントローラ106の各機能構成について詳細に説明する。なお、以下では、ネットワークコントローラ106の各機能構成部を説明するにあたって、図4に示されている各構成要素のうち、ネットワークコントローラ106の各機能構成部を実現させるための主な構成要素との関係も説明する。
図5に示されているネットワークコントローラ106の第1の送受信部1076は、図4に示されているCPU1064からの命令、図4に示されている通信部1070によって実現され、第1のネットワークを介して、他のECU(ECU102、104)、またはヘッドユニット100と各種データ(または情報)の送受信を行う。
図5に示されているネットワークコントローラ106の第2の送受信部1092は、図4に示されているCPU1064からの命令、図4に示されている通信部1070によって実現され、第4のネットワークを介して、ECU110と各種データ(または情報)の送受信を行う。
図5に示されているネットワークコントローラ106のレベル設定部1080は、図4に示されているCPU1064からの命令によって実現され、ECU110の信頼性のレベルを設定する。信頼性のレベルは、正規品レベル、準正規品レベル、市場品レベル、準市場品レベル、および非認証レベルに分類される。
<信頼性レベル>
正規品レベルのECUは、車両などの製品を製造販売するメーカーによって販売されている純正品であり、製品を製造販売するメーカーによって認定されたものであり、最も信頼性が高い。
準正規品レベルのECUは、車両などの製品を製造販売するメーカーが部品メーカーなどの部品製造会社に指示して製造させた特殊な規格や性能を持つものであり、正規品レベルのECUと同等以上の性能を有し、正規品レベルのECUに次いで信頼性が高い。
市場品レベルのECUは、一般的な規格でつくられた汎用部品であり、正規品レベルのECUと同等の性能を有し、正規品レベルのECUと互換性を有する非純正品であり、準正規品レベルのECUに次いで信頼性が高い。
準市場品レベルのECUは、一般的な規格でつくられた汎用部品であり、正規品レベルのECUと同等の性能を有するが、正規品レベルのECUと互換性を有することは保証されていない。準市場品レベルのECUは、市場品レベルのECUに次いで信頼性が高い。
非認証レベルのECUは、一般的な規格で製造された汎用部品であり、正規品レベルのECUと互換性を有することは保証されていない。非認証レベルのECUは最も信頼性が低い。上記信頼性のレベルは、一例であり、2−4種類で分類することや、6種類以上に分類することもできる。また、各分類の内容についても適宜設定できる。
図5に戻り説明を続ける。図5に示されているネットワークコントローラ106の記憶・読出処理部1084は、図4に示されているCPU1064からの命令によって実現され、記憶部1086に各種データを記憶し、記憶部1086に記憶された各種データを読み出す処理を行う。
図5に示されているネットワークコントローラ106の記憶部1086は、図4に示されているROM1066によって実現され、ECUを認証する際に通信可能なECUを識別するためのノードIDが記載されたノードIDテーブル、およびECU110と共有されるパスワードなどの認証キーが記憶される。さらに、記憶部1086には、信頼性レベル通信制御内容対応テーブルが格納される。信頼性レベル通信制御内容対応テーブルについては後述する。
図6は、信頼性レベルと通信制御の内容とを対応づけた信頼性レベル通信制御対応テーブルを示す。図6に示すように、信頼性レベルが正規品レベルであるECUは、利用する帯域(利用帯域)として設定できる通信帯域は送信側が制御し、機能をフルに利用できる。信頼性レベルが準正規品レベルであるECUは、利用帯域は送信側が制御するが、機能は制限される。信頼性レベルが市場品レベルであるECUは、利用帯域はネットワークコントローラ106が制御し、機能は制限される。信頼性レベルが準市場品レベルであるECUは、利用帯域、および機能は安全性が保証できるレベルに制限されるとともに、周辺のノードに危険な状態であることを通知し、危険なノードを安全に切断できる状態へ移行させる。信頼性レベルが非認証レベルであるECUは、利用帯域、および機能は安全性が保証できるレベルに強く制限される。
図6に示されるのは一例であり、図6とは異なるように通信制御の内容が設定されてもよい。
<信頼性レベル通信制御内容対応テーブル>
図7は、信頼性レベル通信制御内容対応テーブルの一例を示す。信頼性レベル通信制御内容対応テーブルは、信頼性レベルの各々について、通信制御の具体的内容を紐付けることによって対応付ける。
図7に示すように、信頼性レベル、通信帯域、通信対象、利用機能、違反基準、および違反時アクションが紐付けられることによって対応付けられる。ここで、通信帯域はネットワークコントローラ106とECU110との間の通信に使用する帯域であり、通信対象はECU100の通信できる相手である。また、利用機能はECU110が利用できる機能であり、ECU110が参照できる情報や、取得できる情報である。また、違反基準はECUの振る舞いを判定する基準であり、違反時アクションは違反基準に該当すると判定されたECUに対して行われる処理である。
信頼性レベルが正規品レベルであるECUは、通信帯域、通信対象、および利用機能の制限は行われず、違反基準、および違反時アクションについても設定されない。
信頼性レベルが準正規品レベルであるECUは、通信帯域は1Mbpsなどの信頼性レベルが正規品レベルであるECUよりも狭い範囲で制御でき、通信対象はセンシティブな通信ノード以外と通信でき、利用機能はそのECUを供給するベンダーによって公開された機能に制限される。違反基準は、1Mbpsを超えた帯域でアクセスしようとした場合またはベンダーによって公開された機能以外の機能にアクセスしようとした場合であり、違反時には信頼性のレベルが、例えば、市場品レベルなどの信頼性が低いレベルへ変更される。
信頼性レベルが市場品レベルであるECUは、通信帯域は100kbpsなどの信頼性レベルが準正規品レベルであるECUよりも狭い範囲で制御でき、通信対象は市場品レベルのECUがアクセスできる通信ノードとして指定されたノードに制限され、利用機能はそのECUを供給するベンダーによって公開された機能に制限される。違反基準は、アクセスできるノードとして指定された通信ノード以外の通信ノードにアクセスしようとした場合またはベンダーによって公開された機能以外の機能にアクセスしようとした場合であり、違反時には信頼性のレベルが、例えば、準市場品レベルなどの信頼性が低いレベルへ変更される。
信頼性レベルが準市場品レベルであるECUは、通信帯域は10kbpsなどの信頼性レベルが市場品レベルであるECUよりも狭い範囲で制御でき、通信対象は市場品レベルのECUがアクセスできるノードとして指定されたノードに制限され、利用機能はそのECUを供給するベンダーによって公開された機能に制限される。違反基準、および違反時アクションについても設定されない。信頼性レベルが準市場品レベルであるECUは、通信帯域および機能は安全性が保証できるレベルに強く制限されているためである。
信頼性レベルが非認証品レベルであるECUは、利用帯域は10kbpsなどの信頼性レベルが市場品レベルであるECUよりも狭い範囲で制御でき、通信対象はヘッドユニット100に制限され、利用機能は速度情報の取得に制限される。違反基準、および違反時アクションについても設定されない。信頼性レベルが非認証品レベルであるECUは、通信帯域および機能は安全性が保証できるレベルに強く制限されているためである。図7に示されるのは一例であり、図7とは異なるように通信制御の内容が設定されてもよい。
図5に戻り説明を続ける。図5に示されているネットワークコントローラ106の認証処理部1078は、図4に示されているCPU1064からの命令によって実現され、ECU110を認証する。認証処理部1078は、第2の送受信部1092によってECU110から送信される認証要求が受信された場合に、その認証要求に付帯されるノードID、および信頼性レベルを取得する。
さらに、認証処理部1078は、記憶・読出処理部1084に記憶部1086に格納されたノードIDテーブルを読み出させ、認証要求に付帯されるノードIDが記載されているか否かを判定する。認証処理部1078は、ノードIDテーブルに認証要求に付帯されるノードIDが記載されている場合には、Nonce(乱数)を生成し、第2の送受信部1092から送信する。さらに、認証処理部1078は、生成したNonce、および認証キーを組み合わせてECU110と同様に、所定の演算を行い、ECU110からそのECU110により演算された結果が第2の送受信部1092によって受信された場合、第2の送受信部1092によって受信された演算結果と、認証処理部1078による演算結果とを照合することによって、認証処理を行う。認証処理部1078は、照合の結果一致する場合には認証できたことを表す情報を付帯した認証応答を作成し、照合の結果一致しない場合には認証できなかったことを表す情報を付帯した認証応答を作成し、第2の送受信部1092から送信する。認証処理部1078は、照合の結果一致する場合には、通信制御部1088に認証ができたことを通知する。また、例えば、認証処理部1078は、EAP−TLS(Extensible Authentication Protocol Transport Layer Security)によって、ECU110との間で相互に証明書による認証を行うことや、PEAP(protected EAP)によって認証を行うことができる。ネットワークコントローラ106をRADIUSサーバとして機能させることもできる。
図5に示されているネットワークコントローラ106の監視部1082は、図4に示されているCPU1064からの命令、図4に示される通信部1070によって実現され、新たに接続されるECU110がパケットを送信する帯域、ECU110のアクセス先などのECU110の振る舞いを監視する。
図5に示されているネットワークコントローラ106の通信制御部1088は、図4に示されているCPU1064からの命令、図4に示される通信部1070によって実現される。通信制御部1088は、認証処理部1078から認証できたことが通知されると、記憶・読出処理部1084に記憶部1086に格納された信頼性レベル通信制御内容対応テーブルを読み出させ、レベル設定部1080によって判断された信頼性レベルに紐付けられた通信帯域、通信対象、利用機能に基づいて、ECU110を制御する。また、通信制御部1088は、ECU110との間で通信中に監視部1082によって監視されるECU110の振る舞いに応じて、違反基準に該当するか否かを判断し、該当する場合には違反時アクションにしたがって信頼性レベルを変更すると判断し、レベル設定部1080へ設定されている信頼性レベルを更新する。
図5に示されているネットワークコントローラ106の帯域計測部1090は、図4に示されているCPU1064からの命令、図4に示される通信部1070によって実現され、ネットワークコントローラ106とECU110との間の通信に利用された帯域を計測する。
<車載通信ネットワークの動作>
図8は、車載通信ネットワークの動作の一実施例を示す。
図8に示される車載通信ネットワークの動作の前提として、ECU110、およびネットワークコントローラ106にはパスワードなどの認証キーが予め設定され、ECU110、およびネットワークコントローラ106は予め決定されるアルゴリズムにしたがって認証キー、およびNonceを組み合わせて演算する。
ステップS802では、ECU110の認証処理部1104は、ノードID、および信頼性レベルを付帯した認証要求を作成する。
ステップS804では、ECU110の送受信部1102は、認証処理部1104によって作成した認証要求をネットワークコントローラ106へ送信する。
ステップS806では、ネットワークコントローラ106の第2の送受信部1092によって認証要求が受信されると、認証処理部1078はその認証要求を取得する。認証処理部1078は、認証要求に付帯されているノードID、および信頼性レベルをチェックする。
ステップS808では、ネットワークコントローラ106の認証処理部1078は、ノードIDに基づいて自ネットワークコントローラ106とECU110との間で通信可能であることが確認できた後に、Nonceを発生する。ここで、認証処理部1075は、ノードIDに基づいてネットワークコントローラ106とECU110との間で通信可能であることが確認できない場合には、再度ノードIDをECU110へ問い合わせることもできる。所定の回数問い合わせても通信可能であることが確認できない場合には、そのアカウントとしてのノードIDをアカウントロックすることもできる。
ステップS810では、ネットワークコントローラ106の第2の送受信部1092は、認証処理部1078によって発生したNonce(チャレンジ)をECU110へ送信する。
ステップS812では、ECU110の送受信部1102によってNonceを受信すると、認証処理部1104は、認証キー、および送受信部1102によって受信したNonceを組み合わせて演算する。
ステップS814では、ネットワークコントローラ106の認証処理部1078は、認証キー、および発生したNonceを組み合わせて演算する。
ステップS816では、ECU110の送受信部1102は、認証処理部1104によって演算した結果をレスポンスとして、ネットワークコントローラ106へ送信する。
ステップS818では、ネットワークコントローラ106の第2の送受信部1092によってレスポンスを受信すると、認証処理部1078は、ステップS814における演算結果と、ステップS816においてECU110から送信された演算結果とを照合することによって、ECU110を認証する。
ステップS820では、ネットワークコントローラ106の認証処理部1078は、第2の送受信部1092からステップS818における認証結果をECU110へ送信する。
ステップS818においてECU110の認証が成功した場合には、認証処理部1078は、ECU110の信頼性レベルをレベル設定部1080に設定するとともに、通信制御部1088に認証が成功したことを通知する。
これによってネットワークコントローラ106は、新たに接続されるECU110との間で通信できるか否かを判断できるとともに、通信できる場合にECU110の信頼性レベルを設定できる。
図8に示すシーケンスチャートは一例であり、このシーケンスチャートの順番とは異なる順番で処理することも可能である。例えば、ステップS814とS816は逆の順番としてもよい。
図9は、車載通信ネットワークの動作の一実施例を示す。
図9は、ネットワークコントローラ106によってECU110が認証された以降の動作を示す。
ステップS902では、ネットワークコントローラ106の認証処理部1078によって、ECU110の認証が行われる。ここでは、認証処理部1078は、ECU110の認証に成功する。
ステップS904では、ネットワークコントローラ106の認証処理部1078は、ECU110の認証が成功すると、レベル設定部1080にECU110の信頼性レベルを設定するとともに、通信制御部1088にECU110の認証が成功したことを通知する。
ステップS906では、ネットワークコントローラ106の通信制御部1088は、第2の送受信部1076から、第1のネットワークを構成するヘッドユニット100、ECU102およびECU104にエンティティが追加されたことを通知する。
ステップS908では、ECU110の送信データ作成部1106は、送信データを付帯したパケットを作成し、通信制御部1112は、送信データ作成部1106が作成したパケットを送受信部1102から送信する。
ステップS910では、ECU110から送信されたパケットは、ネットワークコントローラ106の第2の送受信部1092によって受信され、通信制御部1088へ入力される。通信制御部1088は、第2の送受信部1092からパケットが入力されると、記憶・読出処理部1084に記憶部1086に格納された信頼性レベル通信制御内容対応テーブルを取得させるとともに、パケットが送信された通信帯域、パケットの通信対象、およびパケットによって利用する機能を特定する。
通信制御部1088は、信頼性レベル通信制御内容対応テーブルのECU110の信頼性レベルに紐付けられた通信帯域、通信対象、および利用する機能を参照し、ECU110から送信されたパケットが満たすか否かを判定する。
ステップS912では、信頼性レベル通信制御内容対応テーブルにおいて、ECU110の信頼性レベルに紐付けられた通信帯域、通信対象、および利用する機能を、ECU110から送信されたパケットが満たすと判定された場合、通信制御部1088は、パケットを第1の送受信部1076から第1のネットワークへ送信する。
ステップS914では、ECU110の送信データ作成部1106は、送信データを付帯したパケットを作成し、通信制御部1112は、送信データ作成部1106が作成したパケットを送受信部1102から送信する。
ステップS916では、ECU110から送信されたパケットは、ネットワークコントローラ106の第2の送受信部1092によって受信され、通信制御部1088へ入力される。通信制御部1088は、第2の送受信部1092からパケットが入力されると、記憶・読出処理部1084に記憶部1086に格納された信頼性レベル通信制御内容対応テーブルを取得させるとともに、パケットが送信された通信帯域、パケットの通信対象、およびパケットによって利用する機能を特定する。通信制御部1088は、信頼性レベル通信制御内容対応テーブルのECU110の信頼性レベルに紐付けられた通信帯域、通信対象、および利用する機能を参照し、ECU110から送信されたパケットが満たすか否かを判定する。
ステップS918では、信頼性レベル通信制御内容対応テーブルにおいて、ECU110の信頼性レベルに紐付けられた通信帯域、通信対象、および利用する機能を、ECU110から送信されたパケットが満たさないと判定した場合、通信制御部1088は、パケットの転送を拒絶する。さらに、通信制御部1088は、信頼性レベル通信制御内容対応テーブルのECU110の信頼性レベルに紐付けられた違反基準に該当するか否かを判定し、該当する場合ECU110の信頼性レベルを変更する。
ステップS918において、信頼性レベル通信制御内容対応テーブルのECU110の信頼性レベルに紐付けられた通信帯域、通信対象、および利用する機能を、ECU110から送信されたパケットが満たさないと判定した場合、通信制御部1088は、その判定した後にECU110から送信されるパケットによって利用しようとする機能を制限することもできる。また、通信制御部1088は、その判定した後にECU110から送信されるパケットの通信帯域を狭くすることによって制限することもできる。
また、ステップS918において、信頼性レベル通信制御内容対応テーブルのECU110の信頼性レベルに紐付けられた通信帯域、通信対象、および利用する機能を、ECU110から送信されたパケットが満たさないと判定した場合、通信制御部1088は、そのパケットを遅延させて送信することもできる。さらに、通信制御部1088は、ECU110からのパケットを転送する頻度を下げることもできる。また、通信制御部1088は、ECU110からのパケットの一部を転送し、残のパケットは壊すことなどによって無効化することもできる。
これによってネットワークコントローラ106は、新たに接続されるECU110の信頼性レベルに応じて、ECU110から送信されるパケットを第1のネットワークに転送するか否かを判定できる。したがって、ネットワークコントローラ106がECU110を認証した後であっても、ECU110から送信されるパケットのうち、第1のネットワークへ転送しても、セキュリティ上安全なパケットを転送できる。
図10は、車載通信ネットワークの動作の一実施例を示す。
図10は、ネットワークコントローラ106がECU110から送信されるパケットを判定する処理を示す。つまり、図9のステップS910、S916、およびS918の処理を示す。
ステップS1002では、ネットワークコントローラ106の監視部1082は、ECU110から送信されるパケットを解析する。具体的には、監視部1082は、ECU110がパケットを送信する帯域、パケットによって利用する機能などを解析する。
ステップS1004では、ネットワークコントローラ106の通信制御部1088は、記憶・読出処理部1084に記憶部1086に格納された信頼性レベル通信制御内容対応テーブルを読み出させる。さらに、通信制御部1088は、監視部1082によって解析されたパケットの利用機能が信頼性レベル通信制御内容対応テーブルの利用機能と合致するか否か判断する。
ステップS1006では、監視部1082によって解析されたパケットの利用機能が信頼性レベル通信制御内容対応テーブルの利用機能と合致する場合、通信制御部1088は、監視部1082によって解析されたパケットの通信帯域が信頼性レベル通信制御内容対応テーブルの通信帯域を満たすか否かを判断する。
ステップS1008では、監視部1082によって解析されたパケットの通信帯域が信頼性レベル通信制御内容対応テーブルの通信帯域を満たすと判定した場合、通信制御部1088は、そのパケットを第1の送受信部1076から送信する。
ステップS1010では、ネットワークコントローラ106の帯域計測部1090は、ネットワークコントローラ106とECU110との間の通信に利用された帯域を計測し、更新する。ここで、更新された帯域は、その後に送信されるパケットに対して、ステップS1006で通信帯域を判断する際に使用される。
ステップS1012では、ステップS1004で監視部1082によって解析されたパケットの利用機能が信頼性レベル通信制御内容対応テーブルの利用機能と合致しない場合、またはステップS1006で監視部1082によって解析されたパケットの通信帯域が信頼性レベル通信制御内容対応テーブルの通信帯域を満たさない場合、通信制御部1088は、そのパケットを送信しない。
ステップS1014では、ネットワークコントローラ106の通信制御部1088は、監視部1082によって監視されるECU110の振る舞いに応じて、違反基準に該当するか否かを判断し、該当する場合には、違反時アクションにしたがって、信頼性レベルを変更すると判断し、レベル設定部1080に設定される信頼性レベルを更新する。
これにより、ネットワークコントローラ106は、新たに接続されるECU110から送信されるパケットが安全であるか否かを判定でき、安全であると判定したパケットを第1のネットワークへ転送できる。図10では、パケットの送信された帯域および利用機能でパケットが安全であるか否かを判定したが、さらに通信相手などの他の要素に基づいて判定することもできる。
上述した実施例では、第1のバス108に、ヘッドユニット100、複数のECU102、104、およびネットワークコントローラ106が接続され、ネットワークコントローラ106にECU110が接続される、いわゆるバス型のネットワークについて説明したが、バス型のネットワークに限られない。
図11は、第1のネットワークをスター型のネットワークに適用した例を示す。図11に示すように、第1のネットワークをスター型のネットワークに適用した場合、ネットワークコントローラ114をハブとして、ネットワークコントローラ114にヘッドユニット100、ECU102、ECU104、およびECU110が放射状に接続される。図11において、ECU110は、新たに接続される通信ノードである。第1のネットワークをスター型のネットワークに適用した場合、新たに接続されるECU110は、既に第1のネットワークを構成しているネットワークコントローラ114に接続される。
ここでは、第1のネットワークをスター型のネットワークに適用する場合について説明するが、第1のネットワーク以外のネットワーク、例えば、第2−第4のネットワークにも適用できる。
ネットワークコントローラ114およびヘッドユニット100は第5の通信バス116によって接続され、ネットワークコントローラ114およびECU102は第6の通信バス118によって接続され、ネットワークコントローラ114およびECU104は第7の通信バス120によって接続され、ネットワークコントローラ114およびECU110は第8の通信バス122によって接続される。ここで、ECU102、ECU104、およびECU110については、上述した構成を適用できるが、ネットワークコントローラ114は、4つのノードが接続されるため、ネットワークコントローラ106の構成とは異なる。
図12は、ネットワークコントローラ114のハードウェア構成図である。図12に示すように、ネットワークコントローラ114は、ネットワークコントローラ114全体の動作を制御するCPU1144、およびCPU1144の駆動に用いられるプログラムを記憶したROM1146を備える。さらに、ネットワークコントローラ114は、CPU1144のワークエリアとして使用されるRAM1148、および上記各構成要素を図12に示されているように電気的に接続するためのアドレスバスやデータバスなどのバスライン1143を備える。
また、ネットワークコントローラ114は、CPU1144から入力される送信データを第1のトランシーバ1152、第2のトランシーバ1154、第3のトランシーバ1156、および第4のトランシーバ1158へ出力することによって、それぞれ第5の通信バス116、第6の通信バス118、第7の通信バス120、および第8の通信バス122へ送信し、第1のトランシーバ1152、第2のトランシーバ1154、第3のトランシーバ1156、および第4のトランシーバ1158から入力される受信データをCPU1144へ入力する通信部1150を備える。CPU1144、ROM1146、RAM1148、および通信部1150をマイクロコントローラ1142として構成することもできる。
さらに、ネットワークコントローラ114は、通信部1150から入力される送信データを第5の通信バス116へ送信するとともに、第5の通信バス116から受信される受信データを通信部1150へ入力する第1のトランシーバ1152を備える。ネットワークコントローラ114は、通信部1150から入力される送信データを第6の通信バス118へ送信するとともに、第6の通信バス118から受信される受信データを通信部1150へ入力する第2のトランシーバ1154を備える。
さらに、ネットワークコントローラ114は、通信部1150から入力される送信データを第7の通信バス120へ送信するとともに、第7の通信バス120から受信される受信データを通信部1150へ入力する第3のトランシーバ1156を備える。ネットワークコントローラ114は、通信部1150から入力される送信データを第8の通信バス122へ送信するとともに、第8の通信バス122から受信される受信データを通信部1150へ入力する第4のトランシーバ1158を備える。
<ネットワークコントローラ114の機能構成>
図13は、ネットワークコントローラ114の機能ブロック図である。
ネットワークコントローラ114は、第1の送受信部1160、第2の送受信部1162、第3の送受信部1164、第4の送受信部1166、認証処理部1168、レベル設定部1170、監視部1172、記憶・読出処理部1174、記憶部1176、通信制御部1178、および帯域計測部1180を有している。これら各部は、図12に示されている各構成要素のいずれかが、ROM1146からRAM1148上に展開されたネットワークコントローラ用プログラムに従ったCPU1144からの命令によって動作することで実現される機能、または機能される手段である。
(ネットワークコントローラ114の各機能構成の説明)
次に、図12および図13を用いて、ネットワークコントローラ114の各機能構成について詳細に説明する。なお、以下では、ネットワークコントローラ114の各機能構成部を説明するにあたって、図12に示されている各構成要素のうち、ネットワークコントローラ114の各機能構成部を実現させるための主な構成要素との関係も説明する。
図13に示されているネットワークコントローラ114の第1の送受信部1160は、図12に示されているCPU1144からの命令、図12に示されている通信部1150によって実現され、第5の通信バス116を介して、ヘッドユニット100と各種データ(または情報)の送受信を行う。
図13に示されているネットワークコントローラ114の第2の送受信部1162は、図12に示されているCPU1144からの命令、図12に示されている通信部1150によって実現され、第6の通信バス118を介して、ECU102と各種データ(または情報)の送受信を行う。
図13に示されているネットワークコントローラ114の第3の送受信部1164は、図12に示されているCPU1144からの命令、図12に示されている通信部1150によって実現され、第7の通信バス120を介して、ECU104と各種データ(または情報)の送受信を行う。
図13に示されているネットワークコントローラ114の第4の送受信部1166は、図12に示されているCPU1144からの命令、図12に示されている通信部1150によって実現され、第8の通信バス122を介して、ECU110と各種データ(または情報)の送受信を行う。
図13に示されているネットワークコントローラ114のレベル設定部1170は、図12に示されているCPU1144からの命令によって実現され、ECU110の信頼性のレベルを設定する。信頼性のレベルは、正規品レベル、準正規品レベル、市場品レベル、準市場品レベル、および非認証レベルに分類される。信頼性レベルについては、上述したものを適用できる。
図13に示されているネットワークコントローラ114の記憶・読出処理部1174は、図12に示されているCPU1144からの命令によって実現され、記憶部1176に各種データを記憶し、記憶部1176に記憶された各種データを読み出す処理を行う。この記憶部1176には、ECUを認証する際に通信可能なECUを識別するためのノードIDが記載されたノードIDテーブルが記憶される。さらに、記憶部1176には、信頼性レベル通信制御内容対応テーブルが格納される。信頼性レベル通信制御内容対応テーブルについては上述したものを適用できる。
図13に示されているネットワークコントローラ114の記憶部1176は、図12に示されているROM1146によって実現され、ECUを認証する際に通信可能なECUを識別するためのノードIDが記載されたノードIDテーブル、およびECU110と共有されるパスワードなどの認証キーが記憶される。さらに、記憶部1076には、信頼性レベル通信制御内容対応テーブルが格納される。信頼性レベル通信制御内容対応テーブルは上述したものを適用できる。
図13に示されているネットワークコントローラ114の認証処理部1168は、図12に示されているCPU1144からの命令によって実現され、ECU110を認証する。認証処理部1168は、第4の送受信部1166がECU110から送信される認証要求を受信した場合に、その認証要求に付帯されるノードID、および信頼性レベルを取得する。
さらに、認証処理部1168は、記憶・読出処理部1174に記憶部1176に格納されたノードIDテーブルを読み出させ、認証要求に付帯されるノードIDが記載されているか否かを判定する。認証処理部1168は、ノードIDテーブルに認証要求に付帯されるノードIDが記載されている場合には、Nonce(乱数)を生成し、第4の送受信部1166から送信する。さらに、認証処理部1168は、生成したNonce、および認証キーを組み合わせてECU110と同様に、所定の演算を行い、ECU110からそのECU110により演算された結果が第4の送受信部1166によって受信された場合、第4の送受信部1166によって受信された演算結果と、認証処理部1168による演算結果とを照合することによって、認証処理を行う。認証処理部1168は、照合の結果一致する場合には認証できたことを表す情報を付帯した認証応答を作成し、照合の結果一致しない場合には認証できなかったことを表す情報を付帯した認証応答を作成し、第4の送受信部1166から送信する。認証処理部1168は、照合の結果一致する場合には、通信制御部1178に認証ができたことを通知する。また、例えば、認証処理部1168は、EAP−TLSによって、ECU110との間で相互に証明書による認証を行うことや、PEAPによって認証を行うことができる。ネットワークコントローラ106をRADIUSサーバとして機能させることもできる。
図13に示されているネットワークコントローラ114の監視部1172は、図12に示されているCPU1144からの命令、図12に示される通信部1150によって実現され、新たに接続されるECU110がパケットを送信する帯域、ECU110のアクセス先などのECU110の振る舞いを監視する。
図13に示されているネットワークコントローラ114の通信制御部1178は、図12に示されているCPU1144からの命令、図12に示される通信部1150によって実現される。通信制御部1178は、認証処理部1168から認証できたことが通知されると、記憶・読出処理部1174に記憶部1176に格納された信頼性レベル通信制御内容対応テーブルを読み出させ、レベル設定部1170によって判断された信頼性レベルに紐付けられた通信帯域、通信対象、利用機能に基づいて、ECU110を制御する。また、通信制御部1178は、ECU110との間で通信中に監視部1172によって監視されるECU110の振る舞いに応じて、違反基準に該当するか否かを判断し、該当する場合には違反時アクションにしたがって信頼性レベルを変更すると判断し、レベル設定部1170へ設定されている信頼性レベルを更新する。
図13に示されているネットワークコントローラ114の帯域計測部1180は、図12に示されているCPU1144からの命令、図12に示される通信部1150によって実現され、ネットワークコントローラ114とECU110との間の通信に利用された帯域を計測する。
このように、車載通信ネットワークは、バス型のネットワーク限らず、スター型のネットワークにも適用できる。
図11に示す第1のネットワークをスター型のネットワークに適用した例において、ヘッドユニット100、およびECU102によって第1のサブネットワークを構成し、ECU104、およびECU110によって第2のサブネットワークを構成することもできる。この場合、ネットワークコントローラ114は、異なるサブネットワークに属する通信ノード間、例えば、ヘッドユニット100と、ECU104またはECU110間の通信や、ECU102と、ECU104またはECU110間の通信などの通信について、上述した処理を行うこともできる。
車載通信ネットワークの一実施例によれば、車載通信ネットワークに参加するECUや、ツールについて、その信頼性レベルに応じて、機能を制限することができる。
<変形例1>
図14は、車載通信ネットワークの一変形例を示す。車載通信ネットワークの一変形例は、車載通信ネットワークにツールを接続する。
車載通信ネットワークは、ECU502、ECU504、ECU506、ECU508、およびネットワークコントローラ510を備える。
ECU502、ECU504、ECU506、ECU508、およびネットワークコントローラ510は、第9の通信バス550によって接続されることによりCAN、イーサネット(登録商標)、ローカルエリアネットワークなどの第5のネットワークを構成する。
ECU502、ECU504、ECU506、およびECU508は図3、図5に示したECUを適用でき、この場合トランシーバ1032は第9の通信バス550に接続される。ネットワークコントローラ510は、図4、図5に示したネットワークコントローラ106を適用でき、この場合第1のトランシーバ1072は第9の通信バス550に接続され、第2のトランシーバ1074は第10の通信バス560に接続される。さらに、ネットワークコントローラ510は、ゲートウェイ、データリンクコネクタ(DLC: Data Link Connector)、診断用の接続用ポートとして機能させることもできる。
データリンクコネクタとしても機能するネットワークコントローラ510に、新たにネットワーク通信ノード600が接続される。ここで、ネットワーク通信ノード600の構成は、図3、図5に示したECU110を適用できる。また、診断用の接続用ポートとしても機能するネットワークコントローラ510に、エンジン調整用デバッグツール、開発用デバッグツールなどの診断用ツールを接続することもできる。この場合、ネットワークコントローラ510は、診断用ツールの信頼性レベルに応じて、アクセス対象、利用機能などを設定することによって調整できる。
また、車両がハイブリッドカー(Hybrid car)や、電気自動車(electric car)などである場合には、ネットワークコントローラ510に、サプライパーツとしての電池を接続することもできる。この場合、ネットワークコントローラ510は、正規品の電池については、より細かい管理サービスを提供できる。
<変形例2>
図1のネットワークユニット304にネットワークコントローラ106の機能を搭載することもできる。ネットワークユニット304は、WiFi(Wi-Fi: Wireless Fidelity)、Bluetooth(登録商標)、移動体通信などの無線通信によってアクセスポイントを経由して、サーバ(図示無し)と通信を行うことができ、ネットワークコントローラ106の機能によって、運転手が車両の所有者か非所有者かによって、無線通信によって得られる情報に基づくサービスを変えることができる。また、ネットワークコントローラ106の機能によって、無線通信によって得られる情報に基づいて、アクセスポイント500との間の通信帯域や、情報デバイス302へ入力する情報の優先度を調整することもできる。また、無線通信によって得られる情報に基づいて、ECUなどへのアクセスレベルを変更することもできる。例えば、無線通信によって得られる情報がOEM(original equipment manufacturer)によって提供されるサービスであるか、サプライヤ、販売店によって提供されるサービスであるかによって、車両へのアクセスレベルを変更することができる。
<変形例3>
図15は、車載通信ネットワークの一変形例3を示す。図15に示すように、車載通信ネットワークは、ヘッドユニット100、ネットワークコントローラ106、ECU110、およびネットワークユニット304によって構成される。ここで、ヘッドユニット100、ネットワークコントローラ106、ECU110、およびネットワークユニット304は、上述したもの(図3−図5)である。
さらに、車載通信ネットワークの一変形例3では、ネットワークコントローラ106は、ヘッドユニット100を経由して、ネットワークユニット304に、認証サービスを提供するクラウドサーバ700にアクセスさせ、クラウドサーバ700からの認証の結果にしたがって処理を行う。
具体的には、ネットワークコントローラ106は、ECU110から送信される認証要求をヘッドユニット100を経由して、ネットワークユニット304へ送信する。ネットワークユニット304は、ネットワークコントローラ106から送信される認証要求を、アクセスポイント500を経由して、認証サービスを提供するクラウドサーバ700へ無線送信することによってリダイレクトする。例えば、ネットワークユニット304は、WiFi、Bluetooth(登録商標)、移動体通信などの無線通信によって、アクセスポイント500を経由して、認証サービスを提供するクラウドサーバ700へアクセスする。ネットワークユニット304は、認証サービスを提供するクラウドサーバ700からの応答に基づいて、ECU110を認証する。ここで、ネットワークユニット304は、認証サービスを提供するクラウドサーバ700によって処理された情報をキャッシュすることもできる。これによって、ネットワークユニット304のパフォーマンスを向上させることができる。さらに、クラウドサーバ700には、最新の情報が格納されていることが想定され、その最新の情報に基づいて認証処理が行われるため、よりセキュリティを高めることができる。
本実施例、および変形例において、車載ネットワークはネットワークシステムの一例であり、ECUは通信ノードの一例であり、ネットワークコントローラはゲートウェイの一例である。また、通信帯域、通信対象、および利用機能は通信パラメータの一例であり、違反基準は通信条件の一例である。
本発明は特定の実施例、変形例を参照しながら説明されてきたが、各実施例、変形例は単なる例示に過ぎず、当業者は様々な変形例、修正例、代替例、置換例等を理解するであろう。説明の便宜上、本発明の実施例に従った装置は機能的なブロック図を用いて説明されたが、そのような装置はハードウェアで、ソフトウエアでまたはそれらの組み合わせで実現されてもよい。本発明は上記実施例に限定されず、本発明の精神から逸脱することなく、様々な変形例、修正例、代替例、置換例等が包含される。
本願は2014年6月16日に出願した日本国特許出願第2014−123046号に基づきその優先権を主張するものであり、同日本国出願の全内容を参照することにより本願に援用する。
100 ヘッドユニット
102 ECU
104 ECU
106 ネットワークコントローラ
108 第1の通信バス
110 ECU
112 第4の通信バス
202 OBDポート
204 ECU
206 第2の通信バス
302 情報デバイス
304 ネットワークユニット
306 第3の通信バス
400 無線デバイス
500 アクセスポイント
1022 マイクロコントローラ
1024 CPU
1026 ROM
1028 RAM
1030 通信部
1032 トランシーバ
1062 マイクロコントローラ
1064 CPU
1066 ROM
1068 RAM
1070 通信部
1072 第1のトランシーバ
1074 第2のトランシーバ
1076 第1の送受信部
1078 認証処理部
1080 レベル設定部
1082 監視部
1084 記憶・読出処理部
1086 記憶部
1088 通信制御部
1090 帯域計測部
1092 第2の送受信部
1102 送受信部
1104 認証処理部
1106 送信データ作成部
1108 記憶・読出処理部
1110 記憶部
1112 通信制御部

Claims (6)

  1. 1以上の通信ノード、およびゲートウェイを含むネットワークシステムであって、
    前記ゲートウェイは、
    前記ネットワークシステムに新たに接続される通信ノードから認証要求を受信して前記通信ノードを認証する第1の認証処理部と、
    前記第1の認証処理部により認証された前記通信ノードとの通信における通信パラメータを監視する監視部と、
    通信ノードの信頼性レベルに基づいて定められた通信パラメータを用い、前記監視部によって監視される通信ノードにより送信されたパケットが、前記通信パラメータを満たすか否かを判定し、前記通信パラメータが信頼性レベルに関連付けられた通信条件を満たす場合に前記監視部によって監視される通信ノードの信頼性レベルを下げる通信制御部とを有し、
    前記通信制御部は、前記新たに接続される通信ノードから送信される信頼性を表す情報に基づいて前記通信条件を設定し、
    前記新たに接続される通信ノードは、
    前記ゲートウェイへ前記認証要求を送信する際に、該新たに接続される通信ノードの信頼性を表す情報を送信する第2の認証処理部
    を有する、ネットワークシステム。
  2. 前記第1の認証処理部は、前記新たに接続される通信ノードの認証を、認証サービスを提供するクラウドサーバに要求するとともに、該クラウドサーバから認証結果を取得し、
    前記監視部は、前記第1の認証処理部からの認証結果が成功したことを示す場合に、前記新たに接続される通信ノードとの通信における通信パラメータを監視し、
    前記通信制御部は、前記新たに接続される通信ノードから送信される信頼性を表す情報に基づいて前記通信条件を設定し、
    前記新たに接続される通信ノードは、
    前記ゲートウェイへ前記認証要求を送信する際に、該新たに接続される通信ノードの信頼性を表す情報を送信する第2の認証処理部
    を有する、請求項1に記載のネットワークシステム。
  3. 前記ネットワークシステムは、複数の前記通信ノードを含み、
    前記複数の通信ノードによって複数のサブネットワークが構成され、
    前記通信制御部は、各通信ノードが異なるサブネットワークに属する通信ノードと通信を行う際に、通信ノードの信頼性レベルに基づいて定められた通信パラメータを用い、前記監視部によって監視される通信ノードにより送信されたパケットが、前記通信パラメータを満たすか否かを判定し、前記通信パラメータが信頼性レベルに関連付けられた通信条件を満たす場合に前記監視部によって監視される通信ノードの信頼性レベルを下げる、請求項1に記載のネットワークシステム。
  4. 前記監視部は、前記新たに接続される通信ノードとの通信に使用される帯域、該通信ノードの通信相手、該通信ノードが利用できる機能のいずれかを監視する、請求項1に記載のネットワークシステム。
  5. 1以上の通信ノード、およびゲートウェイを含むネットワークシステムにおいて、ゲートウェイが実行する通信制御方法であって、
    前記ネットワークシステムに新たに接続される通信ノードから認証要求を受信して前記通信ノードを認証する認証処理手順と、
    前記認証処理手順により認証された前記通信ノードとの通信における通信パラメータを監視する監視手順と、
    通信ノードの信頼性レベルに基づいて定められた通信パラメータを用い、前記監視手順によって監視される通信ノードにより送信されたパケットが、前記通信パラメータを満たすか否かを判定し、前記通信パラメータが信頼性レベルに関連付けられた通信条件を満たす場合に前記監視手順によって監視される通信ノードの信頼性レベルを下げる通信制御手順とを実行し、
    前記通信制御手順は、前記新たに接続される通信ノードから送信される信頼性を表す情報を受信し、前記信頼性を表す情報に基づいて前記通信条件を設定する手順を含む通信制御方法。
  6. 1以上の通信ノード、およびゲートウェイを含むネットワークシステムにおけるゲートウェイに、
    前記ネットワークシステムに新たに接続される通信ノードから認証要求を受信して前記通信ノードを認証する認証処理手順と、
    前記認証処理手順により認証された前記通信ノードとの通信における通信パラメータを監視する監視手順と、
    通信ノードの信頼性レベルに基づいて定められた通信パラメータを用い、前記監視手順によって監視される通信ノードにより送信されたパケットが、前記通信パラメータを満たすか否かを判定し、前記通信パラメータが信頼性レベルに関連付けられた通信条件を満たす場合に前記監視手順によって監視される通信ノードの信頼性レベルを下げる通信制御手順とを実行させ、
    前記通信制御手順は、前記新たに接続される通信ノードから送信される信頼性を表す情報を受信し、前記信頼性を表す情報に基づいて前記通信条件を設定する手順を含む
    プログラムを格納した、コンピュータ読み取り可能な記憶媒体。
JP2016529196A 2014-06-16 2015-05-25 ネットワークシステム、通信制御方法および記憶媒体 Active JP6327344B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2014123046 2014-06-16
JP2014123046 2014-06-16
PCT/JP2015/064955 WO2015194323A1 (ja) 2014-06-16 2015-05-25 ネットワークシステム、通信制御方法および記憶媒体

Publications (2)

Publication Number Publication Date
JPWO2015194323A1 JPWO2015194323A1 (ja) 2017-04-20
JP6327344B2 true JP6327344B2 (ja) 2018-05-23

Family

ID=54935317

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016529196A Active JP6327344B2 (ja) 2014-06-16 2015-05-25 ネットワークシステム、通信制御方法および記憶媒体

Country Status (6)

Country Link
US (1) US20170099201A1 (ja)
EP (1) EP3157203B1 (ja)
JP (1) JP6327344B2 (ja)
CN (1) CN106464566B (ja)
RU (1) RU2659489C1 (ja)
WO (1) WO2015194323A1 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016206630A1 (de) * 2016-04-20 2017-11-09 Robert Bosch Gmbh Verfahren und Vorrichtung zur Vermeidung von Manipulation einer Datenübertragung
JP6485429B2 (ja) * 2016-11-04 2019-03-20 トヨタ自動車株式会社 車載ネットワークシステム
CN108694849B (zh) * 2018-06-05 2021-02-19 宁波市鄞州智伴信息科技有限公司 汽车辅助驾驶导航系统
JP7003884B2 (ja) * 2018-09-14 2022-01-21 株式会社デンソー 車両用中継装置
CN113709123B (zh) * 2018-10-31 2023-07-28 百度在线网络技术(北京)有限公司 安全控制方法、装置和计算机设备
CN112148325A (zh) * 2019-06-28 2020-12-29 长城汽车股份有限公司 一种车载信息通信终端升级系统、方法及车辆
CN112448816B (zh) * 2019-08-31 2021-10-19 华为技术有限公司 一种身份验证方法及装置
CN112689982B (zh) * 2020-04-15 2022-04-29 华为技术有限公司 数据验证方法、装置及存储介质
JP7355073B2 (ja) * 2021-05-19 2023-10-03 トヨタ自動車株式会社 車両制御装置、車両、車両制御方法及びプログラム
WO2022254521A1 (ja) * 2021-05-31 2022-12-08 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 監視システム、監視方法、監視装置および機能制限装置
WO2023137728A1 (zh) * 2022-01-21 2023-07-27 Oppo广东移动通信有限公司 通信方法及通信装置

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2129038T3 (es) * 1992-11-27 1999-06-01 Ibm Encaminamiento a destinos multiples entre dominios.
US8140658B1 (en) * 1999-10-06 2012-03-20 Borgia/Cummins, Llc Apparatus for internetworked wireless integrated network sensors (WINS)
US7065454B2 (en) * 2003-08-21 2006-06-20 Csi Technology, Inc. Analysis of particles in fluid
US8041942B2 (en) * 2006-09-05 2011-10-18 Panasonic Corporation Robust peer-to-peer networks and methods of use thereof
JP4195480B2 (ja) * 2006-10-04 2008-12-10 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。
US8769611B2 (en) * 2007-05-31 2014-07-01 Qualcomm Incorporated Methods and apparatus for providing PMIP key hierarchy in wireless communication networks
US8931038B2 (en) * 2009-06-19 2015-01-06 Servicemesh, Inc. System and method for a cloud computing abstraction layer
JP2010087800A (ja) * 2008-09-30 2010-04-15 Fujitsu Ltd 機器使用管理システム、情報機器、その方法及びプログラム
EP2410700B1 (en) * 2009-03-19 2016-08-31 Nec Corporation Network communication system, communication apparatus, network cooperation method, and program
JP5689333B2 (ja) * 2011-02-15 2015-03-25 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体
US8862774B2 (en) * 2011-09-12 2014-10-14 Cisco Technology, Inc. Dynamic keepalive parameters for reverse path validation in computer networks
JP2013110458A (ja) * 2011-11-17 2013-06-06 Denso Corp ゲートウェイ装置
JP2013135311A (ja) * 2011-12-26 2013-07-08 Denso Corp ゲートウェイ装置
DE102013101508A1 (de) * 2012-02-20 2013-08-22 Denso Corporation Datenkommunikationsauthentifizierungssystem für ein Fahrzeug, Netzkopplungsvorrichtung für ein Fahrzeug, Datenkommunikationssystem für ein Fahrzeug und Datenkommunikationsvorrichtung für ein Fahrzeug
US9800483B2 (en) * 2012-04-13 2017-10-24 CirrusWorks, Inc. Method and apparatus for dynamic bandwidth allocation for optimizing network utilization
US8942120B2 (en) * 2012-05-24 2015-01-27 Mitsubishi Electric Research Laboratories, Inc. Reputation-based routing and error-correction coding in ad hoc networks
US8688110B1 (en) * 2012-09-13 2014-04-01 Qualcomm Incorporated Apparatus and method for limiting searches for a home PLMN according to its proximity
DE112012006919B8 (de) * 2012-09-19 2018-07-05 Toyota Jidosha Kabushiki Kaisha Kommunikationsvorrichtung und Kommunikationsverfahren zur Vorhersage von Leerlaufzeiten eines Busses aufgrund erhaltener Nutzungszustandsangaben

Also Published As

Publication number Publication date
CN106464566B (zh) 2020-01-21
US20170099201A1 (en) 2017-04-06
EP3157203B1 (en) 2018-07-04
CN106464566A (zh) 2017-02-22
EP3157203A1 (en) 2017-04-19
EP3157203A4 (en) 2017-07-26
WO2015194323A1 (ja) 2015-12-23
RU2659489C1 (ru) 2018-07-02
JPWO2015194323A1 (ja) 2017-04-20

Similar Documents

Publication Publication Date Title
JP6327344B2 (ja) ネットワークシステム、通信制御方法および記憶媒体
US11618394B2 (en) Vehicle secure messages based on a vehicle private key
US11755713B2 (en) System and method for controlling access to an in-vehicle communication network
KR101480605B1 (ko) 차량 네트워크 접속 장치 및 그 접속 제어 방법
CN106154903B (zh) 用于整车网络与外设进行信息交互的系统和方法
US10377346B2 (en) Anticipatory vehicle state management
US10135866B2 (en) Method of preventing drive-by hacking, and apparatus and system therefor
US11366885B2 (en) Vehicle security system and vehicle security method
CN109428716A (zh) 车内组的密钥分配
JP6561811B2 (ja) 車載通信装置、車載通信システム及び車両特定処理禁止方法
CN112423266A (zh) 一种车辆诊断方法、装置及汽车
CN109286595A (zh) 汽车及其控制方法和控制装置及计算机设备
KR20150089697A (ko) 모바일 단말을 이용한 스마트 카 보안 시스템 및 그 방법
JP6140874B1 (ja) 制御装置、制御方法、及びコンピュータプログラム
Mokhadder et al. Evaluation of vehicle system performance of an SAE J1939-91C network security implementation
JP6470344B2 (ja) 制御装置、制御方法、及びコンピュータプログラム
US20200404504A1 (en) A method and a system for establishing a connection between an on-board vehicle network service and an external application
JP2020086540A (ja) メンテナンスサーバ装置、車両メンテナンスシステム、コンピュータプログラム及び車両メンテナンス方法
KR20130052865A (ko) 차량 네트워크 통신 장치 및 방법
CN117195216A (zh) 车辆校验方法、相关装置及系统
MASTHAN et al. A Practical Wireless Attack on the Connected Car and Security Protocol for In-Vehicle CAN
HEMANTH et al. To Prevent Wireless Attack Happens in Automobile is Rectified by a Security Protocol using CAN
CN116095635A (zh) 一种基于DoIP的车辆安全诊断通信方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20161208

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170926

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171116

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180109

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180306

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180320

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180402

R151 Written notification of patent or utility model registration

Ref document number: 6327344

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151