JP6394650B2 - 認証システム、故障診断ツール、車載通信システム及び認証方法 - Google Patents
認証システム、故障診断ツール、車載通信システム及び認証方法 Download PDFInfo
- Publication number
- JP6394650B2 JP6394650B2 JP2016136051A JP2016136051A JP6394650B2 JP 6394650 B2 JP6394650 B2 JP 6394650B2 JP 2016136051 A JP2016136051 A JP 2016136051A JP 2016136051 A JP2016136051 A JP 2016136051A JP 6394650 B2 JP6394650 B2 JP 6394650B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- signal
- communication system
- unit
- request signal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Description
本発明は、車載通信システムと故障診断ツールとの間の通信を適切に認証する技術に関する。
車載通信システムは、自動車に対する様々な制御に利用される。しかしながら、近年、車載通信システムの脆弱性がしばしば指摘されている。特許文献1は、従来の車載通信システムが抱える脆弱性を克服するための技術を開示する。
特許文献1の開示技術は、車載通信システム内での通信の脆弱性の改善に貢献する。しかしながら、特許文献1の開示技術は、車載通信システムに接続される外部機器を用いた不正アクセスを防止することには不向きである。
特許文献2は、外部機器として用いられる故障診断テスタを開示する。故障診断テスタは、所定の処理(たとえば、ECUからのデータの読み出し、ECUへのデータの書き込みや特定のアクチュエータに所定の動作をさせるためのECUの制御)の実行を車載通信システムに要求する要求信号を生成する。要求信号は、故障診断テスタから車載通信システムへ送信される。車載通信システムは、要求信号に応じて、所定の動作を実行する。
従来の車載通信システムは、適切な故障診断テスタが車載通信システムに接続されているか否かを認証する認証処理を実行することもある。従来の認証処理は、故障診断テスタと車載通信システムとの間の通信の開始時に実行される。しかしながら、不正に取り付けられた外部装置から不正な信号が、故障診断テスタの認証後に車載通信システムへ送られるならば、従来の車載通信システムは、不正アクセスに曝されることになる。
本発明は、車載通信システムと故障診断ツールとの間の通信を適切に認証する信頼性高い技術を提供することを目的とする。
本発明の一局面に係る認証システムは、外部機器が接続される接続ポートを有する車載通信システムと、前記車載通信システムとの通信を認証する認証処理を前記車載通信システムに要求する認証要求信号を、前記車載通信システムへ繰り返し送信する送信部を有し、且つ、前記接続ポートに接続される故障診断ツールと、を備える。前記車載通信システムは、前記認証要求信号の受信の度に、前記認証処理を実行する認証部と、前記認証要求信号を受信する受信部と、を含む。前記故障診断ツールは、(i)前記認証要求信号と、前記認証処理の後に所定の処理の実行を前記車載通信システムに要求する処理要求信号と、を、生成する信号生成部と、(ii)前記認証要求信号として第1信号が送信されてから前記認証要求信号として第2信号が送信されるまでの期間において、前記処理要求信号が前記車載通信システムにいくつ送られたかを表す第1カウント値を生成する第1カウント部と、を含む。前記信号生成部は、前記第1カウント値を表す情報を前記認証要求信号に組み込む。前記車載通信システムは、前記受信部が、前記処理要求信号を前記外部機器から前記接続ポートを通じていくつ受け取ったかを表す第2カウント値を生成する第2カウント部を含む。前記認証部は、前記第1カウント値が前記第2カウント値に一致することを条件として前記通信を許可する。
上記構成によれば、故障診断ツールの送信部は、車載通信システムとの通信を認証する認証処理を車載通信システムに要求する認証要求信号を、車載通信システムへ繰り返し送信し、且つ、車載通信システムの認証部は、認証要求信号の受信の度に、認証処理を実行するので、認証処理は、従来技術よりも高い頻度で実行される。したがって、認証システムは、不正アクセスを信頼性高く防止し、車載通信システムと故障診断ツールとの間の通信を適切に認証することができる。故障診断ツールが生成する第1カウント値は、故障診断ツールが実際に送信した処理要求信号の数を表す。車載通信システムの第2カウント値は、受信部が実際に受信した処理要求信号の数を表す。車載通信システムの認証部は、第1カウント値が第2カウント値に一致することを条件として、認証処理の実行を許可するので、認証システムは、車載通信システムと故障診断ツールとの間の通信を適切に認証することができる。
上記構成に関して前記受信部が、前記認証要求信号を所定期間受信しないならば、前記認証部は、前記通信を拒否してもよい。
上記構成によれば、受信部が、認証要求信号を所定期間受信しないならば、認証部は、通信を拒否するので、認証システムは、認証要求信号を繰り返し送信する機能を有さない不正な外部機器から車載通信システムへのアクセスを適切に防止することができる。
上記構成に関して、前記信号生成部は、前記第1信号と前記第2信号とに加えて、前記第2信号の後に前記送信部から前記認証要求信号として送信される第3信号を生成してもよい。前記第2信号の送信時刻と前記第3信号の送信時刻との間の送信間隔は、前記第1信号の送信時刻と前記第2信号の送信時刻との間の送信間隔に一致してもよい。
上記構成によれば、第2信号の送信時刻と第3信号の送信時刻との間の送信間隔は、第1信号の送信時刻と第2信号の送信時刻との間の送信間隔に一致するので、認証要求信号の生成処理は、簡素化される。
上記構成に関して、前記信号生成部は、前記第1信号と前記第2信号とに加えて、前記第2信号の後に前記送信部から前記認証要求信号として送信される第3信号を生成してもよい。前記第2信号の送信時刻と前記第3信号の送信時刻との間の送信間隔は、前記第1信号の送信時刻と前記第2信号の送信時刻との間の送信間隔とは異なってもよい。
上記構成によれば、第2信号の送信時刻と第3信号の送信時刻との間の送信間隔は、第1信号の送信時刻と第2信号の送信時刻との間の送信間隔とは異なるので、故障診断ツールになりすまそうとする不正な外部機器は製造されにくい。
上記構成に関して、前記信号生成部は、前記認証要求信号を符号化する符号化部を含み、前記車載通信システムは、前記符号化された認証要求信号を復号する復号部を含んでもよい。
上記構成によれば、認証処理は、符号化された認証要求信号に応じて実行されるので、認証システムは、車載通信システムと故障診断ツールとの間の通信を適切に認証することができる。
上記構成に関して、前記符号化部は、メッセージ認証符号とセッション鍵を用いて、前記認証要求信号を符号化してもよい。前記復号部は、前記セッション鍵を用いて、前記認証要求信号を復号してもよい。
上記構成によれば、車載通信システムの復号部は、認証要求信号の符号化に用いられたセッション鍵を用いて、認証要求信号を復号するので、認証システムは、セッション鍵を共有しない外部機器から車載通信システムへの不正アクセスを高い信頼性を以て防止することができる。
本発明の他の局面に係る故障診断ツールは、認証要求信号に応じて故障診断ツールとの通信を認証処理を実行するとともに前記認証処理の後に受信した処理要求信号に応じて所定の処理を実行する車載通信システムの接続ポートに接続される。故障診断ツールは前記認証要求信号と前記処理要求信号とを生成する信号生成部と、前記認証要求信号を前記車載通信システムへ繰り返し送信するとともに前記認証要求信号の後に前記処理要求信号を送信する送信部と、前記認証要求信号として第1信号が送信されてから前記第1信号の次に前記認証要求信号として第2信号が送信されるまでの期間において、前記処理要求信号が前記車載通信システムにいくつ送られたかを表す第1カウント値を生成する第1カウント部と、を備える。前記信号生成部は、前記第1カウント値を表す情報を前記認証要求信号に組み込む。前記車載通信システムは前記認証要求信号を所定期間受信しないならば前記通信を拒否する。前記車載通信システムは、前記車載通信システムが前記処理要求信号をいくつ受け取ったかをカウントし得られた第2カウント値を前記認証要求信号に組み込まれた前記第1カウント値と比較し、前記第1カウント値が前記第2カウント値に一致することを条件として前記通信を許可する。
上記構成によれば、故障診断ツールの送信部は、車載通信システムとの通信を認証する認証処理を車載通信システムに要求する認証要求信号を、車載通信システムへ繰り返し送信するので、故障診断ツールは、認証処理を繰り返し受けることとなる。したがって、故障診断ツールになりすまそうとする不正な外部機器から車載通信システムへの不正アクセスは、信頼性高く防止される。信号生成部は、第1カウント値を表す情報を認証要求信号に組み込むので、車載通信システムは、故障診断ツールが実際に送信した処理要求信号の数を認識することができる。
本発明の更に他の局面に係る車載通信システムは、外部機器が接続される接続ポートを有する。車載通信システムは、前記故障診断ツールと前記車載通信システムとの間の通信を認証する認証処理を前記車載通信システムに要求する認証要求信号を繰り返し受信するとともに前記認証処理の後に所定の処理の実行を前記車載通信システムに要求する処理要求信号を受信する受信部と、前記処理要求信号を前記故障診断ツールから前記接続ポートを通じていくつ受け取ったかを表す第2カウント値を生成する第2カウント部と、前記認証要求信号の受信の度に、前記認証処理を実行する認証部と、を備える。前記認証要求信号は、前記認証要求信号として送信された第1信号と前記第1信号の次に前記認証要求信号として送信された第2信号との間に前記処理要求信号がいくつ存在するかを表す第1カウント値に関する情報を含む。前記認証部は、前記第1カウント値が前記第2カウント値に一致することを条件として前記通信を許可する。
上記構成によれば、車載通信システムの認証部は、認証要求信号の受信の度に、認証処理を実行するか否かを決定するので、認証処理は、従来技術よりも高い頻度で実行される。したがって、車載通信システムは、故障診断ツールになりすまそうとする不正な外部機器からの不正アクセスを、信頼性高く防止することができる。認証要求信号は、第1カウント値を表す情報を含むので、車載通信システムは、故障診断ツールが実際に送信した処理要求信号の数を認識することができる。車載通信システムの第2カウント値は、受信部が実際に受信した処理要求信号の数を表す。車載通信システムの認証部は、第1カウント値が第2カウント値に一致することを条件として、認証処理の実行を許可するので、車載通信システムは、車載通信システムと故障診断ツールとの間の通信を適切に認証することができる。
上記構成に関して、前記受信部が、前記認証要求信号を所定期間受信しないならば、前記認証部は、前記通信を拒否してもよい。
上記構成によれば、受信部が、認証要求信号を所定期間受信しないならば、認証部は、通信を拒否するので、認証要求信号を繰り返し送信する機能を有さない不正な外部機器から車載通信システムへのアクセスは、適切に防止される。
本発明の更に他の局面に係る認証方法は、車載通信システムの接続ポートに接続された故障診断ツールを認証することができる。認証方法は、前記故障診断ツールと前記車載通信システムとの間での通信を認証する認証処理を要求する認証要求信号を前記故障診断ツールが前記車載通信システムへ繰り返し送信する段階と、前記認証要求信号の受信の度に前記車載通信システムが前記認証処理を実行する段階と、前記故障診断ツールが前記認証処理の後に所定の処理の実行を前記車載通信システムに要求する処理要求信号を送信するとともに前記処理要求信号を前記車載通信システムが受信する段階と、を備える。前記故障診断ツールが前記認証要求信号を繰り返し送信する段階は、前記認証要求信号として送信された第1信号と前記第1信号の次に前記認証要求信号として送信された第2信号との間に前記処理要求信号がいくつ存在するかを表す第1カウント値に関する情報を前記故障診断ツールが前記認証要求信号に組み込むことを含む。前記車載通信システムが前記認証処理を実行する段階が実行する段階は、前記車載通信システムが、前記処理要求信号を前記故障診断ツールから前記接続ポートを通じていくつ受け取ったかを表す第2カウント値と前記認証要求信号に組み込まれた前記情報が表す第1カウント値とを比較し、前記第1カウント値が前記第2カウント値に一致することを条件として前記通信を許可することを含む。
上記構成によれば、故障診断ツールと車載通信システムとの間での通信の認証する認証処理を要求する認証要求信号は、故障診断ツールから車載通信システムへ繰り返し送信され、且つ、認証処理は、認証要求信号の受信の度に実行されるので、認証処理は、従来技術よりも高い頻度で実行される。したがって、不正アクセスは、信頼性高く防止される。故障診断ツールが生成する第1カウント値は、故障診断ツールが実際に送信した処理要求信号の数を表す。車載通信システムの第2カウント値は、受信部が実際に受信した処理要求信号の数を表す。車載通信システムの認証部は、第1カウント値が第2カウント値に一致することを条件として、認証処理の実行を許可するので、認証システムは、車載通信システムと故障診断ツールとの間の通信を適切に認証することができる。
上記構成に関して、前記認証処理を実行する前記段階は、所定期間において、前記故障診断ツールから前記車載通信システムへの送信が不存在であるならば、前記認証処理を拒否することを含んでもよい。
上記構成によれば、認証処理を実行する段階は、所定期間において、故障診断ツールから車載通信システムへの送信が不存在であるならば、通信を拒否するので、認証要求信号を繰り返し送信する機能を有さない不正な外部機器から車載通信システムへのアクセスは、適切に防止される。
上述の技術は、車載通信システムと故障診断ツールとの間の通信を適切に認証することに貢献する。
<第1実施形態>
故障診断ツールと車載通信システムとの間の認証処理が繰り返し行われるならば、認証処理後に車載通信システムに取り付けられた不正な外部機器や認証処理後に車載通信システムに不正な信号を出力する外部機器から車載通信システムへの不正なアクセスは、信頼性高く防止される。第1実施形態において、認証処理を繰り返し実行する認証システムが説明される。
故障診断ツールと車載通信システムとの間の認証処理が繰り返し行われるならば、認証処理後に車載通信システムに取り付けられた不正な外部機器や認証処理後に車載通信システムに不正な信号を出力する外部機器から車載通信システムへの不正なアクセスは、信頼性高く防止される。第1実施形態において、認証処理を繰り返し実行する認証システムが説明される。
図1は、第1実施形態の認証システム100の例示的な機能構成を表す概念的なブロック図である。図1を参照して、認証システム100が説明される。
認証システム100は、故障診断ツール200と車載通信システム(以下、「通信システム300」と称される)とを備える。故障診断ツール200は、通信システム300とデータを通信し、車両(図示せず)の故障を診断する。例えば、故障診断ツール200は、通信システム300からデータを読み出し、読み出されたデータを解析してもよい。必要に応じて、故障診断ツール200は、通信システム300にデータを書き込んでもよい。通信システム300は、車両の制御を司る。通信システム300は、既知のコントローラエリアネットワーク(CAN:Control Area Network)の技術に基づいて構築されてもよい。
故障診断ツール200は、信号生成部210と、通信部220と、復号部230と、を含む。信号生成部210及び復号部230は、故障診断ツール200に内蔵されたCPU(Central Processing Unit)であってもよい。通信部220は、通信システム300への接続に用いられる接続ポートや接続ケーブルであってもよい。
信号生成部210は、故障診断ツール200と通信システム300との間の通信の認証を通信システム300に要求するための認証要求信号CRSを生成する。認証要求信号CRSは、通信部220へ伝達される。
通信部220は、送信部221と受信部222とを含む。送信部221は、信号生成部210から認証要求信号CRSを受け取る。認証要求信号CRSは、送信部221から繰り返し送信される。認証要求信号CRSの送信間隔は、一定であってもよいし、不定であってもよい。
受信部222及び復号部230は、故障診断ツール200と通信システム300との間の通信の認証のための認証処理に用いられる。受信部222は、所定のデータを表す符号化信号を通信システム300から受け取る。符号化信号は、受信部222から復号部230へ伝達される。復号部230は、符号化信号を復号し、符号化信号に含まれるデータを信号生成部210へ伝達する。
信号生成部210は、復号部230から受け取ったデータを表す受領通知信号を生成する。受領通知信号は、信号生成部210から送信部221へ伝達される。送信部221は、受領通知信号を、通信システム300へ送信する。
通信システム300は、接続ポート310と、通信部320と、計時部330と、認証部340と、を含む。故障診断ツール200や他の外部機器は、接続ポート310に物理的に接続される。接続ポート310は、一般的なOBD−IIポートであってもよい。
接続ポート310は、第1ポート311と第2ポート312とを含む。第1ポート311は、故障診断ツール200から通信システム300への信号伝達に用いられる。第2ポート312は、通信システム300から故障診断ツール200への信号伝達に用いられる。
第1ポート311は、認証要求信号CRSを送信部221から繰り返し受け取る。故障診断ツール200と通信システム300との間の通信の認証処理中に、第1ポート311は、受領通知信号を送信部221から受け取る。認証要求信号CRS及び受領通知信号は、第1ポート311から通信部320へ伝達される。
通信部320は、受信部321と送信部322とを含む。受信部321は、認証要求信号CRSを、第1ポート311を通じて繰り返し受け取る。故障診断ツール200と通信システム300との間の通信の認証処理中に、受信部321は、受領通知信号を、第1ポート311を通じて受け取る。認証要求信号CRSが、第1ポート311から受信部321へ伝達されると、受信部321は、認証部340に認証要求信号CRSを伝達する。
認証部340は、認証要求信号CRSの受信の度に、所定の認証処理を実行する。たとえば、認証部340は、乱数データから選択された数値を表すデータを含む符号化信号を生成してもよい。符号化信号は、その後、認証部340から送信部322へ伝達される。送信部322は、符号化信号を、第2ポート312を通じて、故障診断ツール200の受信部222へ出力する。符号化信号は、受信部222から復号部230へ伝達される。復号部230は、符号化信号を復号する。符号化信号が含むデータは、復号部230から信号生成部210へ伝達される。
信号生成部210は、データの伝達に応じて、符号化信号が含むデータを表す受領通知信号を生成する。受領通知信号は、信号生成部210から送信部221へ伝達される。受領通知信号は、その後、第1ポート311を通じて、送信部221から通信システム300の受信部321へ出力される。受信部321は、受領通知信号を、認証部340へ伝達する。認証部340は、受領通知信号に含まれるデータを参照する。受領通知信号に含まれるデータが表す数値が、認証部340が符号化信号として出力した数値に一致するならば、認証部340は、故障診断ツール200と通信システム300との間の通信を許可するリスポンス信号を生成する。受領通知信号に含まれるデータが表す数値が、認証部340が符号化信号として出力した数値に一致しないならば、認証部340は、故障診断ツール200と通信システム300との間の通信を拒否するリスポンス信号を生成する。これらのリスポンス信号は、送信部322及び第2ポート312を通じて、故障診断ツール200の受信部222へ出力される。
本実施形態において、故障診断ツール200と通信システム300との間の通信の認証処理は、乱数データが用いられる。代替的に、他の既知の認証処理技術が、故障診断ツール200と通信システム300との間の通信の認証処理に用いられてもよい。本実施形態の原理は、特定の認証処理に限定されない。
故障診断ツール200と通信システム300との間の通信を許可するリスポンス信号は、認証部340から計時部330へも出力される。計時部330は、リスポンス信号に応じて、計時を開始する。この結果、計時値は、計時部330のリスポンス信号の受信の度にゼロから増大する。計時値が所定の閾値を超えると、計時部330は、トリガ信号を生成する。トリガ信号は、計時部330から認証部340へ出力される。認証部340は、トリガ信号に応じて、故障診断ツール200と通信システム300との間の以後の通信を拒否する。本実施形態において、所定期間は、計時部330が設定する閾値によって定められた期間によって例示される。
図2は、認証要求信号CRSの生成処理を表す概略的なフローチャートである。図1及び図2を参照して、認証要求信号CRSの生成処理が説明される。
(ステップS110)
故障診断ツール200は、接続ポート310への接続を待つ。故障診断ツール200が接続ポート310に接続されると、ステップS120が実行される。
故障診断ツール200は、接続ポート310への接続を待つ。故障診断ツール200が接続ポート310に接続されると、ステップS120が実行される。
(ステップS120)
信号生成部210は、計時を開始する。この結果、計時値「T1」は、ゼロから増加する。計時の開始の後、ステップS130が実行される。
信号生成部210は、計時を開始する。この結果、計時値「T1」は、ゼロから増加する。計時の開始の後、ステップS130が実行される。
(ステップS130)
信号生成部210は、認証要求信号CRSを生成する。認証要求信号CRSは、信号生成部210から送信部221へ伝達される。その後、ステップS140が実行される。
信号生成部210は、認証要求信号CRSを生成する。認証要求信号CRSは、信号生成部210から送信部221へ伝達される。その後、ステップS140が実行される。
(ステップS140)
送信部221は、認証要求信号CRSを、第1ポート311へ出力する。その後、ステップS150が実行される。
送信部221は、認証要求信号CRSを、第1ポート311へ出力する。その後、ステップS150が実行される。
(ステップS150)
信号生成部210は、計時値「T1」が、閾値「TH1」を超えるのを待つ。閾値「TH1」は、一定であってもよいし、認証要求信号CRSの度に変更されてもよい。図1は、認証要求信号CRSの送信時刻「t1」,「t2」,「t3」(「t1」<「t2」<「t3」)を示す。閾値「TH1」が、一定であるならば、送信時刻「t2」から送信時刻「t3」までの間隔は、送信時刻「t1」から送信時刻「t2」までの間隔に略等しい。閾値「TH1」が、認証要求信号CRSの度に変更されるならば、送信時刻「t2」から送信時刻「t3」までの間隔は、送信時刻「t1」から送信時刻「t2」までの間隔とは相違する。本実施形態において、第1信号は、送信時刻「t1」において送信部221から第1ポート311へ出力される認証要求信号CRSによって例示される。第2信号は、送信時刻「t2」において送信部221から第1ポート311へ出力される認証要求信号CRSによって例示される。第3信号は、送信時刻「t3」において送信部221から第1ポート311へ出力される認証要求信号CRSによって例示される。計時値「T1」が、閾値「TH1」を超えると、ステップS160が実行される。
信号生成部210は、計時値「T1」が、閾値「TH1」を超えるのを待つ。閾値「TH1」は、一定であってもよいし、認証要求信号CRSの度に変更されてもよい。図1は、認証要求信号CRSの送信時刻「t1」,「t2」,「t3」(「t1」<「t2」<「t3」)を示す。閾値「TH1」が、一定であるならば、送信時刻「t2」から送信時刻「t3」までの間隔は、送信時刻「t1」から送信時刻「t2」までの間隔に略等しい。閾値「TH1」が、認証要求信号CRSの度に変更されるならば、送信時刻「t2」から送信時刻「t3」までの間隔は、送信時刻「t1」から送信時刻「t2」までの間隔とは相違する。本実施形態において、第1信号は、送信時刻「t1」において送信部221から第1ポート311へ出力される認証要求信号CRSによって例示される。第2信号は、送信時刻「t2」において送信部221から第1ポート311へ出力される認証要求信号CRSによって例示される。第3信号は、送信時刻「t3」において送信部221から第1ポート311へ出力される認証要求信号CRSによって例示される。計時値「T1」が、閾値「TH1」を超えると、ステップS160が実行される。
(ステップS160)
故障診断ツール200と接続ポート310との間の接続が解除されるならば、認証要求信号CRSの処理は終了する。他の場合には、ステップS120が実行される。
故障診断ツール200と接続ポート310との間の接続が解除されるならば、認証要求信号CRSの処理は終了する。他の場合には、ステップS120が実行される。
図3は、例示的な認証処理の概略的なフローチャートである。図1及び図3を参照して、認証処理が説明される。
(ステップS205)
計時部330は、計時値「T2」をゼロに設定する。その後、ステップS210が実行される。
計時部330は、計時値「T2」をゼロに設定する。その後、ステップS210が実行される。
(ステップS210)
受信部321は、認証要求信号CRSを待つ。受信部321が、認証要求信号CRSを、第1ポート311を通じて受信するならば、認証要求信号CRSは、受信部321から認証部340へ伝達される。その後、ステップS215が実行される。他の場合には、ステップS255が実行される。
受信部321は、認証要求信号CRSを待つ。受信部321が、認証要求信号CRSを、第1ポート311を通じて受信するならば、認証要求信号CRSは、受信部321から認証部340へ伝達される。その後、ステップS215が実行される。他の場合には、ステップS255が実行される。
(ステップS215)
認証部340は、所定のデータを含む信号を生成する。認証部340は、生成された信号を符号化し、符号化信号を生成する。符号化信号は、認証部340から送信部322へ伝達される。その後、ステップS220が実行される。
認証部340は、所定のデータを含む信号を生成する。認証部340は、生成された信号を符号化し、符号化信号を生成する。符号化信号は、認証部340から送信部322へ伝達される。その後、ステップS220が実行される。
(ステップS220)
符号化信号は、第2ポート312を通じて、送信部322から受信部222へ伝達される。受信部222は、その後、符号化信号を、復号部230へ伝達する。その後、ステップS225が実行される。
符号化信号は、第2ポート312を通じて、送信部322から受信部222へ伝達される。受信部222は、その後、符号化信号を、復号部230へ伝達する。その後、ステップS225が実行される。
(ステップS225)
復号部230は、符号化信号を復号する。符号化信号に含まれるデータは、その後、復号部230から信号生成部210へ伝達される。その後、ステップS230が実行される。
復号部230は、符号化信号を復号する。符号化信号に含まれるデータは、その後、復号部230から信号生成部210へ伝達される。その後、ステップS230が実行される。
(ステップS230)
信号生成部210は、復号部230から受け取ったデータを含む受領通知信号を生成する。受領通知信号は、信号生成部210から送信部221へ伝達される。その後、ステップS235が実行される。
信号生成部210は、復号部230から受け取ったデータを含む受領通知信号を生成する。受領通知信号は、信号生成部210から送信部221へ伝達される。その後、ステップS235が実行される。
(ステップS235)
受領通知信号は、第1ポート311を通じて、故障診断ツール200の送信部221から通信システム300の受信部321へ伝達される。受信部321は、受領通知信号を、認証部340へ伝達する。その後、ステップS240が実行される。
受領通知信号は、第1ポート311を通じて、故障診断ツール200の送信部221から通信システム300の受信部321へ伝達される。受信部321は、受領通知信号を、認証部340へ伝達する。その後、ステップS240が実行される。
(ステップS240)
認証部340は、受領通知信号が含むデータが、符号化信号に組み込まれたデータと一致するか否かを判定する。受領通知信号が含むデータが、符号化信号に組み込まれたデータと一致するならば、ステップS245が実行される。故障診断ツール200になりすます外部機器の多くは、符号化信号を復号できない。したがって、故障診断ツール200になりすます外部機器の多くは、符号化信号に組み込まれたデータと一致するデータを受領通知信号に含ませることはできない。この場合、受領通知信号が含むデータが、符号化信号に組み込まれたデータと一致しないので、ステップS260が実行される。
認証部340は、受領通知信号が含むデータが、符号化信号に組み込まれたデータと一致するか否かを判定する。受領通知信号が含むデータが、符号化信号に組み込まれたデータと一致するならば、ステップS245が実行される。故障診断ツール200になりすます外部機器の多くは、符号化信号を復号できない。したがって、故障診断ツール200になりすます外部機器の多くは、符号化信号に組み込まれたデータと一致するデータを受領通知信号に含ませることはできない。この場合、受領通知信号が含むデータが、符号化信号に組み込まれたデータと一致しないので、ステップS260が実行される。
(ステップS245)
認証部340は、故障診断ツール200と通信システム300との間の通信を許可するリスポンス信号を生成する。リスポンス信号は、認証部340から送信部322と計時部330とに伝達される。認証部340から送信部322へ伝達されたリスポンス信号は、第2ポート312を通じて、通信システム300の送信部322から故障診断ツール200の受信部222へ送信される。故障診断ツール200は、故障診断ツール200と通信システム300との間の通信を許可するリスポンス信号に応じて、所定の動作を行う。たとえば、故障診断ツール200は、リスポンス信号に応じて、故障診断ツール200と通信システム300との間の通信が許可されたことを表す画像(図示せず)を表示してもよい。本実施形態の原理は、故障診断ツール200と通信システム300との間の通信を許可するリスポンス信号に応じた故障診断ツール200の特定の動作に限定されない。認証部340から計時部330へのリスポンス信号の伝達の後、ステップS250が実行される。
認証部340は、故障診断ツール200と通信システム300との間の通信を許可するリスポンス信号を生成する。リスポンス信号は、認証部340から送信部322と計時部330とに伝達される。認証部340から送信部322へ伝達されたリスポンス信号は、第2ポート312を通じて、通信システム300の送信部322から故障診断ツール200の受信部222へ送信される。故障診断ツール200は、故障診断ツール200と通信システム300との間の通信を許可するリスポンス信号に応じて、所定の動作を行う。たとえば、故障診断ツール200は、リスポンス信号に応じて、故障診断ツール200と通信システム300との間の通信が許可されたことを表す画像(図示せず)を表示してもよい。本実施形態の原理は、故障診断ツール200と通信システム300との間の通信を許可するリスポンス信号に応じた故障診断ツール200の特定の動作に限定されない。認証部340から計時部330へのリスポンス信号の伝達の後、ステップS250が実行される。
(ステップS250)
計時部330は、計時を開始する。この結果、計時値「T2」は、ゼロから増大する。その後、ステップS210が実行される。
計時部330は、計時を開始する。この結果、計時値「T2」は、ゼロから増大する。その後、ステップS210が実行される。
(ステップS255)
計時部330は、計時値「T2」が、閾値「TH2」を超えているか否かを判定する。計時値「T2」が、閾値「TH2」を超えているならば、計時部330は、トリガ信号を生成する。トリガ信号は、計時部330から認証部340へ伝達される。その後、ステップS260が実行される。計時値「T2」が、閾値「TH2」を超えていないならば、ステップS210が実行される。
計時部330は、計時値「T2」が、閾値「TH2」を超えているか否かを判定する。計時値「T2」が、閾値「TH2」を超えているならば、計時部330は、トリガ信号を生成する。トリガ信号は、計時部330から認証部340へ伝達される。その後、ステップS260が実行される。計時値「T2」が、閾値「TH2」を超えていないならば、ステップS210が実行される。
(ステップS260)
認証部340は、故障診断ツール200と通信システム300との間の通信を拒否するリスポンス信号を生成する。リスポンス信号は、認証部340から送信部322に伝達される。リスポンス信号は、その後、第2ポート312を通じて、通信システム300の送信部322から故障診断ツール200の受信部222へ送信される。
認証部340は、故障診断ツール200と通信システム300との間の通信を拒否するリスポンス信号を生成する。リスポンス信号は、認証部340から送信部322に伝達される。リスポンス信号は、その後、第2ポート312を通じて、通信システム300の送信部322から故障診断ツール200の受信部222へ送信される。
ステップS255からステップS260への処理は、最初の認証処理が成功裏に終えられても、その後の認証処理は失敗することを意味する。したがって、使用者が、正規の故障診断ツール200を用いて最初の認証処理を成功させ、その後、不正な外部機器を接続ポート310に接続しても、不正な外部機器と通信システム300との間での通信は中断されることとなる。
<第2実施形態>
第1実施形態に関連して説明された認証システムは、接続ポートに事後的に接続された外部機器から車載通信システムへの不正アクセスを信頼性高く防止することができる。第2実施形態において、事後的に接続された外部機器から車載通信システムへの不正アクセスに対する防止技術が説明される。
第1実施形態に関連して説明された認証システムは、接続ポートに事後的に接続された外部機器から車載通信システムへの不正アクセスを信頼性高く防止することができる。第2実施形態において、事後的に接続された外部機器から車載通信システムへの不正アクセスに対する防止技術が説明される。
図4は、第2実施形態の認証システム100Aの概略的なブロック図である。図1、図3及び図4を参照して、認証システム100Aが説明される。
認証システム100Aは、故障診断ツール200Aと車載通信システム(以下、「通信システム300A」と称される)とを備える。故障診断ツール200Aは、図1を参照して説明された故障診断ツール200に対応する。故障診断ツール200に関する説明は、故障診断ツール200Aに援用される。
通信システム300Aは、接続ポート310Aと、ゲートウェイECU301と、6つのECU302,303,304,305,306,307と、3つのバス351,352,353と、を含む。接続ポート310Aは、図1を参照して説明された接続ポート310に対応する。接続ポート310に関する説明は、接続ポート310Aに援用される。
ゲートウェイECU301は、図1を参照して説明された通信部320と、計時部330と、認証部340と、を含む。通信部320は、ゲートウェイECU301のトランシーバであってもよい。計時部330及び認証部340は、ゲートウェイECU301のCPUであってもよい。通信部320、計時部330及び認証部340に関する説明は、ゲートウェイECU301に援用される。
バス351は、ゲートウェイECU301を接続ポート310Aに通信可能に接続する。故障診断ツール200Aが、接続ポート310Aに接続されると、ゲートウェイECU301は、バス351及び接続ポート310Aを通じて、故障診断ツール200Aと通信することができる。
バス352,353は、ゲートウェイECU301から延びる。ECU302,303,304は、バス352に接続される。ECU305,306,307は、バス353に接続される。例えば、ECU302,303,304は、バス352を通じて、制御データを交換し、エンジンを制御してもよい。ECU305,306,307は、バス353を通じて、制御データを交換し、ブレーキを制御してもよい。ECU302,303,304,305,306,307及びバス352,353は、既知のコントローラエリアネットワークの技術に基づいて構築されてもよい。
第1実施形態に関連して説明された如く、故障診断ツール200Aが、認証要求信号を通信システム300Aへ出力すると、ゲートウェイECU301は、所定の認証処理を行い、故障診断ツール200Aと通信システム300Aとの間の通信を許可する(図3のステップS245を参照)。図4は、不正な外部機器201を示す。使用者は、故障診断ツール200Aを接続ポート310Aから取り外し、外部機器201を接続ポート310Aに接続することもある。
外部機器201が、認証要求信号を出力する機能を有さないならば、あるいは、外部機器201が、ゲートウェイECU301を騙すほど精緻な認証要求信号を出力できないならば、図3を参照して説明されたステップS255において、計時値「T2」は、閾値「TH2」を超えることとなる。したがって、ゲートウェイECU301は、外部機器201からの不正アクセスを強制的に中断させることができる。
<第3実施形態>
第1実施形態の認証システムに関し、故障診断ツールが、車載通信システムから送信された信号を復号できるならば、故障診断ツールと車載通信システムとの間の通信は、許可される。代替的に、或いは、追加的に、故障診断ツールから車載通信システムへ送信された信号の数が、故障診断ツールと車載通信システムとの間の通信の許否の判断基準として用いられてもよい。第3実施形態において、故障診断ツールから車載通信システムへ送信された信号の数を、故障診断ツールと車載通信システムとの間の通信の許否の判断基準として用いる認証システムが説明される。
第1実施形態の認証システムに関し、故障診断ツールが、車載通信システムから送信された信号を復号できるならば、故障診断ツールと車載通信システムとの間の通信は、許可される。代替的に、或いは、追加的に、故障診断ツールから車載通信システムへ送信された信号の数が、故障診断ツールと車載通信システムとの間の通信の許否の判断基準として用いられてもよい。第3実施形態において、故障診断ツールから車載通信システムへ送信された信号の数を、故障診断ツールと車載通信システムとの間の通信の許否の判断基準として用いる認証システムが説明される。
図5は、第3実施形態の認証システム100Bの例示的な機能構成を表す概念的なブロック図である。図2乃至図5を参照して、認証システム100Bが説明される。上述の実施形態の説明は、上述の実施形態と同一の符号が付された要素に援用される。
認証システム100Bは、故障診断ツール200Bと車載通信システム(以下、「通信システム300B」と称される)とを備える。故障診断ツール200Bは、通信システム300Bとデータを通信し、車両(図示せず)の故障を診断する。例えば、故障診断ツール200Bは、通信システム300Bからデータを読み出し、読み出されたデータを解析してもよい。必要に応じて、故障診断ツール200Bは、通信システム300Bにデータを書き込んでもよい。通信システム300Bは、車両の制御を司る。通信システム300Bは、既知のコントローラエリアネットワークの技術に基づいて構築されてもよい。
故障診断ツール200Bは、信号生成部210Bと、通信部220Bと、第1カウント部240と、診断処理部250と、を含む。信号生成部210Bは、通信システム300Bへ出力される信号を生成する。信号は、信号生成部210Bから通信部220Bへ伝達される。信号生成部210Bから通信部220Bへ伝達された信号は、その後、通信部220Bから通信システム300Bへ送信される。通信部220Bは、通信システム300Bへ信号を送信するだけでなく、通信システム300Bから信号を受信する。診断処理部250は、通信システム300Bから受け取った信号に応じて、所定の診断処理を実行する。信号生成部210B、第1カウント部240及び診断処理部250は、故障診断ツール200BのCPUであってもよい。通信部220Bは、通信システム300Bへの接続に用いられる接続ポートや接続ケーブルであってもよい。
信号生成部210Bは、第1信号生成部211と第2信号生成部212とを含む。第1信号生成部211は、故障診断ツール200Bと通信システム300Bとの間の通信の認証に用いられる認証要求信号を生成する。第2信号生成部212は、故障診断に利用される処理を通信システム300Bに要求する処理要求信号を、診断処理部250の制御下で生成する。たとえば、処理要求信号は、通信システム300Bに組み込まれた特定のECU(たとえば、ECU302(図4を参照))が保持するデータの読み出しを要求してもよい。あるいは、処理要求信号は、通信システム300Bに組み込まれた特定のECUへのデータの書き込みを要求してもよい。本実施形態の原理は、処理要求信号が要求する特定の処理内容に限定されない。
処理要求信号は、第2信号生成部212から通信部220B及び第1カウント部240へ伝達される。通信部220Bへ伝達された処理要求信号は、その後、通信部220Bから通信システム300Bへ送信される。第1カウント部240は、処理要求信号に応じて、第1カウント値を増大させる。
第1信号生成部211は、閾値「TH1」(図2を参照)によって定められた時間間隔で、認証要求信号を生成する。第1信号生成部211が、認証要求信号を生成するとき、第1カウント部240の第1カウント値は、第1信号生成部211によって参照される。第1カウント値が、第1カウント部240から第1信号生成部211へ読み出されると、第1カウント部240は、第1カウント値をゼロに設定する。第1信号生成部211は、第1カウント値を表すメッセージを含む認証要求信号を生成する。認証要求信号は、その後、第1信号生成部211から通信部220Bへ伝達される。
通信部220Bは、送信部221Bと受信部222Bとを含む。送信部221Bは、認証要求信号を、第1信号生成部211から受け取る。その後、送信部221Bは、認証要求信号を、通信システム300Bへ送信する。送信部221Bは、処理要求信号を、第2信号生成部212から受け取る。その後、送信部221Bは、処理要求信号を、通信システム300Bへ送信する。受信部222Bは、通信システム300Bからリスポンス信号を受け取る。リスポンス信号は、その後、受信部222Bから診断処理部250へ伝達される。
第1実施形態と同様に、通信システム300Bは、計時部330を含む。第1実施形態の説明は、計時部330に援用される。
通信システム300Bは、接続ポート310Bと、通信部320Bと、認証部340Bと、第2カウント部350と、要求処理部360と、を含む。故障診断ツール200Bや他の外部機器は、接続ポート310Bに物理的に接続される。接続ポート310Bは、一般的なOBD−IIポートであってもよい。
接続ポート310Bは、第1ポート311Bと第2ポート312Bとを含む。第1ポート311Bは、故障診断ツール200Bの送信部221Bから認証要求信号及び処理要求信号を受け取る。証要求信号及び処理要求信号は、第1ポート311Bから通信部320Bへ伝達される。第2ポート312Bは、通信部320Bからリスポンス信号を受け取る。リスポンス信号は、その後、第2ポート312Bから故障診断ツール200Bの受信部222Bへ出力される。
通信部320Bは、受信部321Bと送信部322Bとを含む。受信部321Bは、認証要求信号及び処理要求信号を、第1ポート311Bを通じて受け取る。認証要求信号が、第1ポート311Bから受信部321Bへ伝達されるならば、受信部321Bは、認証要求信号を、認証部340Bへ伝達する。処理要求信号が、第1ポート311Bから受信部321Bへ伝達されるならば、受信部321Bは、処理要求信号を、第2カウント部350及び要求処理部360へ伝達する。
要求処理部360は、処理要求信号に応じて、処理要求信号によって要求される処理を実行する。要求処理部360は、処理要求信号の受信又は処理要求信号によって要求される処理の完了に応じてリスポンス信号を生成する。要求処理部360は、処理要求信号によって要求されたデータをリスポンス信号に含めてもよい。リスポンス信号は、要求処理部360から送信部322Bへ伝達される。第2カウント部350は、処理要求信号に応じて、第2カウント値を増大させる。
認証部340Bは、認証要求信号の受信の度に、第2カウント部350から第2カウント値を読み出す。認証部340Bが、第2カウント値を、第2カウント部350から読み出すと、第2カウント部350は、第2カウント値をゼロに設定する。認証部340Bは、その後、認証要求信号によって表される第1カウント値が、第2カウント値に一致するか否かを判定する。第1カウント値が、第2カウント値に一致するならば、認証部340Bは、故障診断ツール200Bと通信システム300Bとの間の通信を許可するリスポンス信号を生成する。この場合、リスポンス信号は、認証部340Bから送信部322Bと計時部330とに伝達される。計時部330は、リスポンス信号に応じて計時値「T2」をゼロに設定する。第1カウント値が、第2カウント値に一致しないならば、認証部340Bは、故障診断ツール200Bと通信システム300Bとの間の通信を拒否するリスポンス信号を生成する。この場合、リスポンス信号は、認証部340Bから送信部322Bへ伝達される。
上述の如く、送信部322Bは、リスポンス信号を、認証部340B及び要求処理部360から受け取る。これらのリスポンス信号は、第2ポート312B及び受信部222Bを通じて、送信部322Bから診断処理部250へ伝達される。診断処理部250が、故障診断ツール200Bと通信システム300Bとの間の通信を許可するリスポンス信号を受け取るならば、診断処理部250は、車両(図示せず)の故障を診断するための診断処理を開始又は再開する。診断処理部250が、故障診断ツール200Bと通信システム300Bとの間の通信を拒否するリスポンス信号を受け取るならば、車両の故障を診断するための診断処理を中断する処理(たとえば、故障診断ツール200Bと通信システム300Bとの間の通信が無効化されたことを表す画像を表示する処理)を実行する。要求処理部360によって生成されたリスポンス信号が、診断処理部250へ伝達されるならば、診断処理部250は、リスポンス信号に含まれるデータを用いて、診断処理を実行してもよい。
図6は、故障診断ツール200Bの動作を表す概略的なフローチャートである。図5及び図6を参照して、故障診断ツール200Bの動作が説明される。
(ステップS310)
故障診断ツール200Bは、接続ポート310Bへの接続を待つ。故障診断ツール200Bが接続ポート310Bに接続されると、ステップS320が実行される。
故障診断ツール200Bは、接続ポート310Bへの接続を待つ。故障診断ツール200Bが接続ポート310Bに接続されると、ステップS320が実行される。
(ステップS320)
第1カウント部240は、第1カウント値「CT1」をゼロに設定する。その後、ステップS330が実行される。
第1カウント部240は、第1カウント値「CT1」をゼロに設定する。その後、ステップS330が実行される。
(ステップS330)
故障診断ツール200Bは、通信システム300Bと協働して、認証処理を実行する。認証処理が、成功裏に終えるならば(すなわち、認証部340Bが、故障診断ツール200Bと通信システム300Bとの間の通信を許可するならば)、ステップS340が実行される。認証処理が、失敗に終わるならば(すなわち、認証部340Bが、故障診断ツール200Bと通信システム300Bとの間の通信を拒否するならば)、故障診断ツール200Bの動作は終了する。
故障診断ツール200Bは、通信システム300Bと協働して、認証処理を実行する。認証処理が、成功裏に終えるならば(すなわち、認証部340Bが、故障診断ツール200Bと通信システム300Bとの間の通信を許可するならば)、ステップS340が実行される。認証処理が、失敗に終わるならば(すなわち、認証部340Bが、故障診断ツール200Bと通信システム300Bとの間の通信を拒否するならば)、故障診断ツール200Bの動作は終了する。
(ステップS340)
故障診断ツール200Bは、故障診断のための診断処理を実行する。診断処理の継続が必要とされるならば、ステップS330が実行される。診断処理が完了するならば、故障診断ツール200Bの動作は終了する。
故障診断ツール200Bは、故障診断のための診断処理を実行する。診断処理の継続が必要とされるならば、ステップS330が実行される。診断処理が完了するならば、故障診断ツール200Bの動作は終了する。
図7は、診断処理(図6のステップS340)の概略的なフローチャートである。図5乃至図7を参照して、診断処理が説明される。
(ステップS341)
第1信号生成部211は、計時を開始する。この結果、計時値「T1」は、ゼロから増加する。計時の開始の後、ステップS342が実行される。
第1信号生成部211は、計時を開始する。この結果、計時値「T1」は、ゼロから増加する。計時の開始の後、ステップS342が実行される。
(ステップS342)
第2信号生成部212は、診断処理部250の制御下で、処理要求信号を生成する。処理要求信号は、第2信号生成部212から第1カウント部240と送信部221Bとに伝達される。送信部221Bへ伝達された処理要求信号は、その後、通信システム300Bへ送信される。処理要求信号の生成及び伝達の後、ステップS343が実行される。
第2信号生成部212は、診断処理部250の制御下で、処理要求信号を生成する。処理要求信号は、第2信号生成部212から第1カウント部240と送信部221Bとに伝達される。送信部221Bへ伝達された処理要求信号は、その後、通信システム300Bへ送信される。処理要求信号の生成及び伝達の後、ステップS343が実行される。
(ステップS343)
第1カウント部240は、処理要求信号に応じて、第1カウント値「CT1」を「1」だけ増大させる。第1カウント値「CT1」の変更の後、ステップS344が実行される。
第1カウント部240は、処理要求信号に応じて、第1カウント値「CT1」を「1」だけ増大させる。第1カウント値「CT1」の変更の後、ステップS344が実行される。
(ステップS344)
診断処理部250は、故障診断のために必要とされる処理全てが完了したか否かを判定する。故障診断のために必要とされる処理全てが完了しているならば、故障診断ツール200Bの動作は終了する。故障診断のために必要とされる処理全てが完了していないならば、ステップS345が実行される。
診断処理部250は、故障診断のために必要とされる処理全てが完了したか否かを判定する。故障診断のために必要とされる処理全てが完了しているならば、故障診断ツール200Bの動作は終了する。故障診断のために必要とされる処理全てが完了していないならば、ステップS345が実行される。
(ステップS345)
第1信号生成部211は、計時値「T1」が閾値「TH1」を超えているか否かを判定する。計時値「T1」が、閾値「TH1」を超えているならば、認証処理(ステップS330)が実行される。計時値「T1」が、閾値「TH1」を超えていないならば、ステップS342が実行される。
第1信号生成部211は、計時値「T1」が閾値「TH1」を超えているか否かを判定する。計時値「T1」が、閾値「TH1」を超えているならば、認証処理(ステップS330)が実行される。計時値「T1」が、閾値「TH1」を超えていないならば、ステップS342が実行される。
図8は、認証処理(図6のステップS330)の概略的なフローチャートである。図5、図6及び図8を参照して、診断処理が説明される。
(ステップS331)
第1信号生成部211は、第1カウント部240から第1カウント値「CT1」を読み出す。その後、ステップS332が実行される。
第1信号生成部211は、第1カウント部240から第1カウント値「CT1」を読み出す。その後、ステップS332が実行される。
(ステップS332)
第1カウント部240は、第1カウント値「CT1」をゼロに設定する。その後、ステップS333が実行される。
第1カウント部240は、第1カウント値「CT1」をゼロに設定する。その後、ステップS333が実行される。
(ステップS333)
第1信号生成部211は、ステップS331において、第1カウント部240から読み出した第1カウント値「CT1」を示すメッセージを含む認証要求信号を生成する。認証要求信号は、第1信号生成部211から送信部221Bへ伝達される。その後、認証要求信号は、送信部221Bから通信システム300Bへ送信される。認証要求信号の送信の後、ステップS334が実行される。
第1信号生成部211は、ステップS331において、第1カウント部240から読み出した第1カウント値「CT1」を示すメッセージを含む認証要求信号を生成する。認証要求信号は、第1信号生成部211から送信部221Bへ伝達される。その後、認証要求信号は、送信部221Bから通信システム300Bへ送信される。認証要求信号の送信の後、ステップS334が実行される。
(ステップS334)
通信システム300Bへの認証要求信号の送信の結果、受信部222Bは、故障診断ツール200Bと通信システム300Bとの間の通信の許否を表すリスポンス信号を受信する。受信部222Bが受信したリスポンス信号が、故障診断ツール200Bと通信システム300Bとの間の通信の許可を表すならば、診断処理(ステップS340)が実行される。他の場合には、故障診断ツール200Bの動作は終了する。
通信システム300Bへの認証要求信号の送信の結果、受信部222Bは、故障診断ツール200Bと通信システム300Bとの間の通信の許否を表すリスポンス信号を受信する。受信部222Bが受信したリスポンス信号が、故障診断ツール200Bと通信システム300Bとの間の通信の許可を表すならば、診断処理(ステップS340)が実行される。他の場合には、故障診断ツール200Bの動作は終了する。
図9は、通信システム300Bの動作を表す概略的なフローチャートである。図5、図8及び図9を参照して、通信システム300Bの動作が説明される。
(ステップS410)
通信システム300Bは、接続ポート310Bへの故障診断ツール200Bの接続を待つ。故障診断ツール200Bが接続ポート310Bに接続されると、ステップS420が実行される。
通信システム300Bは、接続ポート310Bへの故障診断ツール200Bの接続を待つ。故障診断ツール200Bが接続ポート310Bに接続されると、ステップS420が実行される。
(ステップS420)
第2カウント部350は、第2カウント値「CT2」をゼロに設定する。計時部330は、計時値「T2」をゼロに設定する。その後、ステップS430が実行される。
第2カウント部350は、第2カウント値「CT2」をゼロに設定する。計時部330は、計時値「T2」をゼロに設定する。その後、ステップS430が実行される。
(ステップS430)
計時部330は、計時値「T2」を、閾値「TH2」と比較する。計時値「T2」が、閾値「TH2」よりも大きいならば、ステップS440が実行される。他の場合には、ステップS460が実行される。
計時部330は、計時値「T2」を、閾値「TH2」と比較する。計時値「T2」が、閾値「TH2」よりも大きいならば、ステップS440が実行される。他の場合には、ステップS460が実行される。
(ステップS440)
計時部330は、トリガ信号を生成する。トリガ信号は、計時部330から認証部340Bへ伝達される。その後、ステップS450が実行される。
計時部330は、トリガ信号を生成する。トリガ信号は、計時部330から認証部340Bへ伝達される。その後、ステップS450が実行される。
(ステップS450)
認証部340Bは、トリガ信号に応じて、故障診断ツール200Bと通信システム300Bとの間の通信の拒否を表すリスポンス信号を生成する。リスポンス信号は、認証部340Bから送信部322Bへ伝達される。その後、リスポンス信号は、第2ポート312B及び故障診断ツール200Bの受信部222Bを通じて、故障診断ツール200Bの診断処理部250へ伝達される。この結果、図8を参照して説明されたステップS334の実行の後、故障診断ツール200Bと通信システム300Bとの間の通信は中断される。
認証部340Bは、トリガ信号に応じて、故障診断ツール200Bと通信システム300Bとの間の通信の拒否を表すリスポンス信号を生成する。リスポンス信号は、認証部340Bから送信部322Bへ伝達される。その後、リスポンス信号は、第2ポート312B及び故障診断ツール200Bの受信部222Bを通じて、故障診断ツール200Bの診断処理部250へ伝達される。この結果、図8を参照して説明されたステップS334の実行の後、故障診断ツール200Bと通信システム300Bとの間の通信は中断される。
(ステップS460)
受信部321Bは、故障診断ツール200Bからの信号の受信を待つ。受信部321Bが、信号を、故障診断ツール200Bから受信すると、ステップS470が実行される。他の場合には、ステップS430が実行される。
受信部321Bは、故障診断ツール200Bからの信号の受信を待つ。受信部321Bが、信号を、故障診断ツール200Bから受信すると、ステップS470が実行される。他の場合には、ステップS430が実行される。
(ステップS470)
受信部321Bは、故障診断ツール200Bからの信号が、処理要求信号であるか否かを判定する。故障診断ツール200Bからの信号が、処理要求信号であるならば、ステップS480が実行される。他の場合には、ステップS490が実行される。
受信部321Bは、故障診断ツール200Bからの信号が、処理要求信号であるか否かを判定する。故障診断ツール200Bからの信号が、処理要求信号であるならば、ステップS480が実行される。他の場合には、ステップS490が実行される。
(ステップS480)
通信システム300Bは、故障診断のための診断処理を実行する。
通信システム300Bは、故障診断のための診断処理を実行する。
(ステップS490)
通信システム300Bは、認証処理を実行する。
通信システム300Bは、認証処理を実行する。
図10は、診断処理(図9のステップS480)の概略的なフローチャートである。図5、図9及び図10を参照して、診断処理が説明される。
(ステップS481)
処理要求信号は、受信部321Bから第2カウント部350及び要求処理部360へ伝達される。その後、ステップS482が実行される。
処理要求信号は、受信部321Bから第2カウント部350及び要求処理部360へ伝達される。その後、ステップS482が実行される。
(ステップS482)
第2カウント部350は、処理要求信号に応じて、第2カウント値「CT2」を「1」だけ増大させる。第2カウント値「CT2」の変更の後、ステップS483が実行される。
第2カウント部350は、処理要求信号に応じて、第2カウント値「CT2」を「1」だけ増大させる。第2カウント値「CT2」の変更の後、ステップS483が実行される。
(ステップS483)
要求処理部360は、処理要求信号によって要求される所定の処理を実行し、リスポンス信号を生成する。リスポンス信号は、診断処理部250のその後の診断処理に利用されるデータを含んでもよい。代替的に、リスポンス信号は、処理要求信号によって要求された処理の完了を表すメッセージを含んでもよい。更に代替的に、リスポンス信号は、処理要求信号の受信を表すメッセージを含んでもよい。本実施形態の原理は、リスポンス信号が表す特定の内容に限定されない。ステップS453の後、ステップS460(図9を参照)が実行される。
要求処理部360は、処理要求信号によって要求される所定の処理を実行し、リスポンス信号を生成する。リスポンス信号は、診断処理部250のその後の診断処理に利用されるデータを含んでもよい。代替的に、リスポンス信号は、処理要求信号によって要求された処理の完了を表すメッセージを含んでもよい。更に代替的に、リスポンス信号は、処理要求信号の受信を表すメッセージを含んでもよい。本実施形態の原理は、リスポンス信号が表す特定の内容に限定されない。ステップS453の後、ステップS460(図9を参照)が実行される。
図11は、認証処理(図9のステップS490)の概略的なフローチャートである。図5、図8、図9及び図11を参照して、認証処理が説明される。
(ステップS491)
認証要求信号は、受信部321Bから認証部340Bへ伝達される。その後、ステップS492が実行される。
認証要求信号は、受信部321Bから認証部340Bへ伝達される。その後、ステップS492が実行される。
(ステップS492)
認証部340Bは、認証要求信号に応じて、第2カウント部350から第2カウント値「CT2」を読み出す。その後、ステップS493が実行される。
認証部340Bは、認証要求信号に応じて、第2カウント部350から第2カウント値「CT2」を読み出す。その後、ステップS493が実行される。
(ステップS493)
第2カウント部350は、第2カウント値「CT2」をゼロに設定する。その後、ステップS494が実行される。
第2カウント部350は、第2カウント値「CT2」をゼロに設定する。その後、ステップS494が実行される。
(ステップS494)
認証部340Bは、認証要求信号が表す第1カウント値「CT1」を、ステップS492において読み出された第2カウント値「CT2」と比較する。第1カウント値「CT1」が、第2カウント値「CT2」と一致するならば、ステップS495が実行される。他の場合には、ステップS497が実行される。
認証部340Bは、認証要求信号が表す第1カウント値「CT1」を、ステップS492において読み出された第2カウント値「CT2」と比較する。第1カウント値「CT1」が、第2カウント値「CT2」と一致するならば、ステップS495が実行される。他の場合には、ステップS497が実行される。
(ステップS495)
認証部340Bは、故障診断ツール200Bと通信システム300Bとの間の通信の許可を表すリスポンス信号を生成する。リスポンス信号は、認証部340Bから送信部322B及び計時部330へ伝達される。送信部322Bへ伝達されたリスポンス信号は、その後、第2ポート312B及び故障診断ツール200Bの受信部222Bを通じて、故障診断ツール200Bの診断処理部250へ伝達される。リスポンス信号の伝達の後、ステップS496が実行される。
認証部340Bは、故障診断ツール200Bと通信システム300Bとの間の通信の許可を表すリスポンス信号を生成する。リスポンス信号は、認証部340Bから送信部322B及び計時部330へ伝達される。送信部322Bへ伝達されたリスポンス信号は、その後、第2ポート312B及び故障診断ツール200Bの受信部222Bを通じて、故障診断ツール200Bの診断処理部250へ伝達される。リスポンス信号の伝達の後、ステップS496が実行される。
(ステップS496)
計時部330は、計時を開始する。この結果、計時値「CT2」は、ゼロから増大する。その後、ステップS460(図9を参照)が、実行される。
計時部330は、計時を開始する。この結果、計時値「CT2」は、ゼロから増大する。その後、ステップS460(図9を参照)が、実行される。
(ステップS497)
認証部340Bは、故障診断ツール200Bと通信システム300Bとの間の通信の拒否を表すリスポンス信号を生成する。リスポンス信号は、認証部340Bから送信部322Bへ伝達される。その後、リスポンス信号は、第2ポート312B及び故障診断ツール200Bの受信部222Bを通じて、故障診断ツール200Bの診断処理部250へ伝達される。この結果、図8を参照して説明されたステップS334の実行の後、故障診断ツール200Bと通信システム300Bとの間の通信は中断される。
認証部340Bは、故障診断ツール200Bと通信システム300Bとの間の通信の拒否を表すリスポンス信号を生成する。リスポンス信号は、認証部340Bから送信部322Bへ伝達される。その後、リスポンス信号は、第2ポート312B及び故障診断ツール200Bの受信部222Bを通じて、故障診断ツール200Bの診断処理部250へ伝達される。この結果、図8を参照して説明されたステップS334の実行の後、故障診断ツール200Bと通信システム300Bとの間の通信は中断される。
図12は、故障診断ツール200Bと通信システム300Bとの間の通信を表す概略的なタイムチャートである。図7及び図12を参照して、故障診断ツール200Bと通信システム300Bとの間の通信が説明される。
図12は、n回目の認証処理及び(n+1)回目の認証処理を示す(nは、自然数)。n回目の認証処理において、認証要求信号CR1が、故障診断ツール200Bから通信システム300Bへ送信される。通信システム300Bは、認証要求信号CR1に応じて、故障診断ツール200Bと通信システム300Bとの間の通信の許可を表すリスポンス信号RA1を生成する。リスポンス信号RA1は、通信システム300Bから故障診断ツール200Bへ伝達される。(n+1)回目の認証処理において、認証要求信号CR2が、故障診断ツール200Bから通信システム300Bへ送信される。認証要求信号CR1,CR2の送信間隔は、図7を参照して説明された閾値「TH1」によって定められる期間に略等しい。本実施形態において、第1信号は、認証要求信号CR1によって例示される。第2信号は、認証要求信号CR2によって例示される。第1信号が送信されてから第2信号が送信されるまでの期間は、閾値「TH1」によって定められる期間によって例示される。
図12は、n回目の認証処理と(n+1)回目の認証処理との間で実行される診断処理中における故障診断ツール200Bと通信システム300Bとの間の通信を示す。
故障診断ツール200Bは、リスポンス信号RA1に応じて、診断処理を開始又は再開する。故障診断ツール200Bは、診断処理を実行するために、3つの処理要求信号PRを生成する。3つの処理要求信号PRは、故障診断ツール200Bから通信システム300Bへ順次送信される。通信システム300Bは、3つの処理要求信号PRそれぞれに応じて、リスポンス信号RPを故障診断ツール200Bへ返す。
第1カウント値「CT1」は、故障診断ツール200Bから通信システム300Bへの処理要求信号PRの送信の度に「1」ずつ増加する。第2カウント値「CT2」は、通信システム300Bが、処理要求信号PRを受信する度に、「1」ずつ増加する。
(n+1)回目の認証処理において故障診断ツール200Bから通信システム300Bへ送信される認証要求信号CR2は、第1カウント値「CT1」が「3」であることを表すメッセージを含む。このとき、通信システム300Bは、第2カウント値「CT2」が「3」であることを表すデータを保持している。第1カウント値「CT1」及び第2カウント値「CT2」はともに「3」であるので、故障診断ツール200Bと通信システム300Bとの間の通信の許可を表すリスポンス信号RA2が、通信システム300Bから故障診断ツール200Bへ伝達される。
<第4実施形態>
第3実施形態に関連して説明された認証システムは、故障診断ツールと接続ポートとの間に介挿された外部機器から車載通信システムへの不正アクセスを信頼性高く防止することができる。第4実施形態において、故障診断ツールと接続ポートとの間に介挿された外部機器から車載通信システムへの不正アクセスに対する防止技術が説明される。
第3実施形態に関連して説明された認証システムは、故障診断ツールと接続ポートとの間に介挿された外部機器から車載通信システムへの不正アクセスを信頼性高く防止することができる。第4実施形態において、故障診断ツールと接続ポートとの間に介挿された外部機器から車載通信システムへの不正アクセスに対する防止技術が説明される。
図13は、第4実施形態の認証システム100Cの概略的なブロック図である。図5及び図13を参照して、認証システム100Cが説明される。上述の実施形態の説明は、上述の実施形態と同一の符号が付された要素に援用される。
認証システム100Cは、故障診断ツール200Cと車載通信システム(以下、「通信システム300C」と称される)とを備える。故障診断ツール200Cは、図5を参照して説明された故障診断ツール200Bに対応する。故障診断ツール200Bに関する説明は、故障診断ツール200Cに援用される。
第2実施形態と同様に、通信システム300Cは、6つのECU302,303,304,305,306,307と、3つのバス351,352,353と、を含む。第2実施形態の説明は、これらの要素に援用される。
通信システム300Cは、接続ポート310Cと、ゲートウェイECU301Cと、を更に含む。接続ポート310Cは、図5を参照して説明された接続ポート310Bに対応する。接続ポート310Bに関する説明は、接続ポート310Cに援用される。
ゲートウェイECU301Cは、図5を参照して説明された通信部320Bと、計時部330と、認証部340Bと、第2カウント部350と、要求処理部360と、を含む。通信部320Bは、ゲートウェイECU301Cのトランシーバであってもよい。計時部330、認証部340B、第2カウント部350及び要求処理部360は、ゲートウェイECU301CのCPUであってもよい。計時部330、認証部340B、第2カウント部350及び要求処理部360に関する説明は、ゲートウェイECU301Cに援用される。
図13は、不正な外部機器201Cを示す。外部機器201Cは、故障診断ツール200Cと接続ポート310Cとに接続されている。外部機器201Cは、故障診断ツール200Cが出力した信号の通過を許容する。したがって、認証要求信号は、故障診断ツール200Cから通信システム300Cへ繰り返し伝達される。
外部機器201Cは、不正な処理要求信号を生成する。不正な処理要求信号は、外部機器201Cから通信システム300Cへ伝達される。
図14は、故障診断ツール200Cと通信システム300Cとの間の通信を表す概略的なタイムチャートである。図11乃至図14を参照して、故障診断ツール200Cと通信システム300Cとの間の通信が説明される。
図12と同様に、図14は、n回目の認証処理と、(n+1)回目の認証処理と、診断処理と、2つの認証要求信号CR1,CR2と、3つの処理要求信号PRと、リスポンス信号RA1と、3つのリスポンス信号RPと、を示す。第3実施形態の説明は、これらに援用される。
第1カウント値「CT1」は、故障診断ツール200Cから通信システム300Cへの処理要求信号PRの送信の度に「1」ずつ増加する。したがって、(n+1)回目の認証処理の実行時において、故障診断ツール200Cは、「3」の値の第1カウント値「CT1」のデータを保持している。
外部機器201Cは、診断処理の間に、2つの処理要求信号PSを、通信システム300Cへ送信する。2つの処理要求信号PSは、不正な信号である。通信システム300Cは、これらの処理要求信号PSを、正規の信号要求信号(すなわち、故障診断ツール200Cから送信された処理要求信号PR)と誤認し得る。
図14に示される如く、通信システム300Cは、合計5つの処理要求信号PR,PSを受け取る。この結果、(n+1)回目の認証処理の実行時において、故障診断ツール200Cは、「5」の値の第2カウント値「CT2」のデータを保持している。
通信システム300Cは、図11を参照して説明されたステップS494を実行する。第1カウント値「CT1」(=3)は、第2カウント値「CT2」(=5)に一致しないので、通信システム300Cは、その後、ステップS497を実行する。したがって、(n+1)回目の認証処理において、故障診断ツール200Cと通信システム300Cとの間の通信の拒否を表すリスポンス信号RRが、通信システム300Cから故障診断ツール200Cへ送信される。この結果、外部機器201Cの不正アクセスは、強制的に中断されることとなる。
<第5実施形態>
故障診断ツールは、認証要求信号を符号化してもよい。車載通信システムは、認証要求信号の符号化に用いられたセッション鍵を用いて、認証要求信号を復号してもよい。この場合、不正な外部機器からのアクセスは、更に困難になる。第5実施形態において、認証要求信号を符号化及び復号する認証システムが説明される。
故障診断ツールは、認証要求信号を符号化してもよい。車載通信システムは、認証要求信号の符号化に用いられたセッション鍵を用いて、認証要求信号を復号してもよい。この場合、不正な外部機器からのアクセスは、更に困難になる。第5実施形態において、認証要求信号を符号化及び復号する認証システムが説明される。
図15は、第5実施形態の認証システム100Dの例示的な機能構成を表す概念的なブロック図である。図9及び図15を参照して、認証システム100Dが説明される。上述の実施形態の説明は、上述の実施形態と同一の符号が付された要素に援用される。
認証システム100Dは、故障診断ツール200Dと車載通信システム(以下、「通信システム300D」と称される)とを備える。故障診断ツール200Dは、通信システム300Dとデータを通信し、車両(図示せず)の故障を診断する。例えば、故障診断ツール200Dは、通信システム300Dからデータを読み出し、読み出されたデータを解析してもよい。必要に応じて、故障診断ツール200Dは、通信システム300Dにデータを書き込んでもよい。通信システム300Dは、車両の制御を司る。通信システム300Dは、既知のコントローラエリアネットワークの技術に基づいて構築されてもよい。
第3実施形態と同様に、故障診断ツール200Dは、通信部220Bと、第1カウント部240と、診断処理部250と、を含む。第3実施形態の説明は、これらの要素に援用される。
故障診断ツール200Dは、信号生成部210Dを更に含む。第3実施形態と同様に、信号生成部210Dは、第1信号生成部211と第2信号生成部212とを含む。第3実施形態の説明は、これらの要素に援用される。
信号生成部210Dは、符号化部213を更に含む。符号化部213は、第1信号生成部211によって生成された認証要求信号を符号化する。たとえば、認証要求信号は、メッセージ認証符号(MAC:Message Authentication Code)と所定のセッション鍵を用いて、符号化される。代替的に、他の符号化技術が、認証要求信号の符号化に用いられてもよい。本実施形態の原理は、特定の符号化技術に限定されない。
符号化された認証要求信号は、符号化部213から送信部221Bへ伝達される。送信部221Bは、符号化された認証要求信号を、通信システム300Dへ送信される。
第3実施形態と同様に、通信システム300Dは、接続ポート310Bと、通信部320Bと、計時部330と、認証部340Bと、第2カウント部350と、要求処理部360と、を含む。第3実施形態の説明は、これらの要素に援用される。
通信システム300Dは、復号部370を更に含む。復号部370は、符号化された認証要求信号を、第1ポート311B及び受信部321Bを通じて、故障診断ツール200Dの送信部221Bから受け取る。図9を参照して説明されたステップS470において、受信部321Bが受け取った信号が符号化されているならば、受信部321Bは、信号が、認証要求信号であると判断してもよい。一方、受信部321Bが受け取った信号が符号化されていないならば、受信部321Bは、信号が、処理要求信号であると判断してもよい。
復号部370は、認証要求信号の符号化に用いられたセッション鍵と同一のセッション鍵を用いて、認証要求信号を復号する。復号された認証要求信号は、復号部370から認証部340Bへ伝達される。
<第6実施形態>
上述の実施形態に関連して説明された認証要求信号の送信間隔は、一定であってもよいし、不定であってもよい。認証要求信号の送信間隔が一定でないならば、不正アクセスを実行する外部機器の設計は、更に困難になる。第6実施形態において、認証要求信号の送信間隔を変動させる例示的な生成処理が説明される。
上述の実施形態に関連して説明された認証要求信号の送信間隔は、一定であってもよいし、不定であってもよい。認証要求信号の送信間隔が一定でないならば、不正アクセスを実行する外部機器の設計は、更に困難になる。第6実施形態において、認証要求信号の送信間隔を変動させる例示的な生成処理が説明される。
図16は、閾値「TH1」(図7を参照)を変動させる処理を表すフローチャートである。図7、図9及び図16を参照して、認証要求信号の送信間隔を変動させる技術が説明される。
図16に示される処理は、図7のステップS345において実行される。
(ステップS510)
第1信号生成部211は、所定の値「TH」にランダム関数から得られた値を加算し、閾値「TH1」を設定する。値「TH」は、一定である。第1信号生成部211は、ランダム関数に代えて、他の関数から得られた値を用いて、閾値「TH1」を設定してもよい。例えば、計時値「T1」を変数とする関数は、閾値「TH1」を設定するために好適に利用可能である。閾値「TH1」の設定の後、ステップS520が実行される。
第1信号生成部211は、所定の値「TH」にランダム関数から得られた値を加算し、閾値「TH1」を設定する。値「TH」は、一定である。第1信号生成部211は、ランダム関数に代えて、他の関数から得られた値を用いて、閾値「TH1」を設定してもよい。例えば、計時値「T1」を変数とする関数は、閾値「TH1」を設定するために好適に利用可能である。閾値「TH1」の設定の後、ステップS520が実行される。
(ステップS520)
第1信号生成部211は、閾値「TH1」が、閾値「TH2」(図9を参照)よりも小さいか否かを判定する。閾値「TH1」が、閾値「TH2」よりも小さいならば、ステップS530が実行される。他の場合には、ステップS510が実行される。
第1信号生成部211は、閾値「TH1」が、閾値「TH2」(図9を参照)よりも小さいか否かを判定する。閾値「TH1」が、閾値「TH2」よりも小さいならば、ステップS530が実行される。他の場合には、ステップS510が実行される。
(ステップS530)
第1信号生成部211は、閾値「TH1」を計時値「T1」と比較する。
第1信号生成部211は、閾値「TH1」を計時値「T1」と比較する。
上述の様々な実施形態の原理は、車両に対する要求に適合するように、組み合わされてもよい。上述の様々な実施形態のうち1つに関連して説明された様々な特徴のうち一部が、他のもう1つの実施形態に関連して説明された認証システムに適用されてもよい。
上述の実施形態の原理は、様々な車両の故障診断に好適に利用される。
100・・・・・・・・・・・・・・・・・・・・認証システム
100A〜100D・・・・・・・・・・・・・・認証システム
200・・・・・・・・・・・・・・・・・・・・故障診断ツール
200A〜200D・・・・・・・・・・・・・・故障診断ツール
201,201C・・・・・・・・・・・・・・・外部機器
210,210B,210D・・・・・・・・・・信号生成部
213・・・・・・・・・・・・・・・・・・・・符号化部
221,221B・・・・・・・・・・・・・・・送信部
240・・・・・・・・・・・・・・・・・・・・第1カウント部
300・・・・・・・・・・・・・・・・・・・・通信システム
300A〜300D・・・・・・・・・・・・・・通信システム
310,310A,310B,310C・・・・・接続ポート
321,321B・・・・・・・・・・・・・・・受信部
340,340B・・・・・・・・・・・・・・・認証部
350・・・・・・・・・・・・・・・・・・・・第2カウント部
370・・・・・・・・・・・・・・・・・・・・復号部
CR1,CR2,CRS・・・・・・・・・・・・認証要求信号
CT1・・・・・・・・・・・・・・・・・・・・第1カウント値
CT2・・・・・・・・・・・・・・・・・・・・第2カウント値
PR・・・・・・・・・・・・・・・・・・・・・処理要求信号
100A〜100D・・・・・・・・・・・・・・認証システム
200・・・・・・・・・・・・・・・・・・・・故障診断ツール
200A〜200D・・・・・・・・・・・・・・故障診断ツール
201,201C・・・・・・・・・・・・・・・外部機器
210,210B,210D・・・・・・・・・・信号生成部
213・・・・・・・・・・・・・・・・・・・・符号化部
221,221B・・・・・・・・・・・・・・・送信部
240・・・・・・・・・・・・・・・・・・・・第1カウント部
300・・・・・・・・・・・・・・・・・・・・通信システム
300A〜300D・・・・・・・・・・・・・・通信システム
310,310A,310B,310C・・・・・接続ポート
321,321B・・・・・・・・・・・・・・・受信部
340,340B・・・・・・・・・・・・・・・認証部
350・・・・・・・・・・・・・・・・・・・・第2カウント部
370・・・・・・・・・・・・・・・・・・・・復号部
CR1,CR2,CRS・・・・・・・・・・・・認証要求信号
CT1・・・・・・・・・・・・・・・・・・・・第1カウント値
CT2・・・・・・・・・・・・・・・・・・・・第2カウント値
PR・・・・・・・・・・・・・・・・・・・・・処理要求信号
Claims (11)
- 外部機器が接続される接続ポートを有する車載通信システムと、
前記車載通信システムとの通信を認証する認証処理を前記車載通信システムに要求する認証要求信号を、前記車載通信システムへ繰り返し送信する送信部を有し、且つ、前記接続ポートに接続される故障診断ツールと、を備え、
前記車載通信システムは、前記認証要求信号の受信の度に、前記認証処理を実行する認証部と、前記認証要求信号を受信する受信部と、を含み、
前記故障診断ツールは(i)前記認証要求信号と前記認証処理の後に所定の処理の実行を前記車載通信システムに要求する処理要求信号とを生成する信号生成部と、(ii)前記認証要求信号として第1信号が送信されてから前記第1信号の次に前記認証要求信号として第2信号が送信されるまでの期間において、前記処理要求信号が前記車載通信システムにいくつ送られたかを表す第1カウント値を生成する第1カウント部と、を含み、
前記信号生成部は、前記第1カウント値を表す情報を前記認証要求信号に組み込み、
前記車載通信システムは、前記受信部が前記処理要求信号を前記外部機器から前記接続ポートを通じていくつ受け取ったかを表す第2カウント値を生成する第2カウント部を含み、
前記認証部は、前記第1カウント値が前記第2カウント値に一致することを条件として前記通信を許可する
認証システム。 - 前記受信部が、前記認証要求信号を所定期間受信しないならば、前記認証部は、前記通信を拒否する
請求項1に記載の認証システム。 - 前記信号生成部は、前記認証要求信号を符号化する符号化部を含み、
前記車載通信システムは、前記符号化された認証要求信号を復号する復号部を含む
請求項1又は2に記載の認証システム。 - 前記信号生成部は、前記第1信号と前記第2信号とに加えて、前記第2信号の後に前記送信部から前記認証要求信号として送信される第3信号を生成し、
前記第2信号の送信時刻と前記第3信号の送信時刻との間の送信間隔は、前記第1信号の送信時刻と前記第2信号の前記送信時刻との間の送信間隔に一致する
請求項1乃至3のいずれか1項に記載の認証システム。 - 前記信号生成部は、前記第1信号と前記第2信号とに加えて、前記第2信号の後に前記送信部から前記認証要求信号として送信される第3信号を生成し、
前記第2信号の送信時刻と前記第3信号の送信時刻との間の送信間隔は、前記第1信号の送信時刻と前記第2信号の前記送信時刻との間の送信間隔とは異なる
請求項1乃至3のいずれか1項に記載の認証システム。 - 前記符号化部は、メッセージ認証符号とセッション鍵を用いて、前記認証要求信号を符号化し、
前記復号部は、前記セッション鍵を用いて、前記認証要求信号を復号する
請求項3に記載の認証システム。 - 認証要求信号に応じて故障診断ツールとの通信を認証処理を実行するとともに前記認証処理の後に受信した処理要求信号に応じて所定の処理を実行する車載通信システムの接続ポートに接続される故障診断ツールであって、
前記認証要求信号と前記処理要求信号とを生成する信号生成部と、
前記認証要求信号を前記車載通信システムへ繰り返し送信するとともに前記認証要求信号の後に前記処理要求信号を送信する送信部と、
前記認証要求信号として第1信号が送信されてから前記第1信号の次に前記認証要求信号として第2信号が送信されるまでの期間において、前記処理要求信号が前記車載通信システムにいくつ送られたかを表す第1カウント値を生成する第1カウント部と、を備え、
前記信号生成部は、前記第1カウント値を表す情報を前記認証要求信号に組み込み、
前記車載通信システムは前記認証要求信号を所定期間受信しないならば前記通信を拒否し、
前記車載通信システムは、前記車載通信システムが前記処理要求信号をいくつ受け取ったかをカウントし得られた第2カウント値を前記認証要求信号に組み込まれた前記第1カウント値と比較し、前記第1カウント値が前記第2カウント値に一致することを条件として前記通信を許可する
故障診断ツール。 - 故障診断ツールが接続される接続ポートを有する車載通信システムであって、
前記故障診断ツールと前記車載通信システムとの間の通信を認証する認証処理を前記車載通信システムに要求する認証要求信号を繰り返し受信するとともに前記認証処理の後に所定の処理の実行を前記車載通信システムに要求する処理要求信号を受信する受信部と、
前記処理要求信号を前記故障診断ツールから前記接続ポートを通じていくつ受け取ったかを表す第2カウント値を生成する第2カウント部と、
前記認証要求信号の受信の度に前記認証処理を実行する認証部と、を備え、
前記認証要求信号は、前記認証要求信号として送信された第1信号と前記第1信号の次に前記認証要求信号として送信された第2信号との間に前記処理要求信号がいくつ存在するかを表す第1カウント値に関する情報を含み、
前記認証部は、前記第1カウント値が前記第2カウント値に一致することを条件として前記通信を許可する
車載通信システム。 - 前記受信部が前記認証要求信号を所定期間受信しないならば、前記認証部は前記通信を拒否する
請求項8に記載の車載通信システム。 - 車載通信システムの接続ポートに接続された故障診断ツールを認証する認証方法であって、
前記故障診断ツールと前記車載通信システムとの間での通信を認証する認証処理を要求する認証要求信号を前記故障診断ツールが前記車載通信システムへ繰り返し送信する段階と、
前記認証要求信号の受信の度に前記車載通信システムが前記認証処理を実行する段階と、
前記故障診断ツールが前記認証処理の後に所定の処理の実行を前記車載通信システムに要求する処理要求信号を送信するとともに前記処理要求信号を前記車載通信システムが受信する段階と、を備え、
前記故障診断ツールが前記認証要求信号を繰り返し送信する前記段階は、前記認証要求信号として送信された第1信号と前記第1信号の次に前記認証要求信号として送信された第2信号との間に前記処理要求信号がいくつ存在するかを表す第1カウント値に関する情報を前記故障診断ツールが前記認証要求信号に組み込むことを含み、
前記車載通信システムが前記認証処理を実行する前記段階は、前記車載通信システムが、前記処理要求信号を前記故障診断ツールから前記接続ポートを通じていくつ受け取ったかを表す第2カウント値と前記認証要求信号に組み込まれた前記情報が表す第1カウント値とを比較し、前記第1カウント値が前記第2カウント値に一致することを条件として前記通信を許可することを含む
認証方法。 - 前記車載通信システムが前記認証処理を実行する前記段階は、所定期間において、前記故障診断ツールから前記車載通信システムへの送信が不存在であるならば、前記通信を拒否することを含む
請求項10に記載の認証方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016136051A JP6394650B2 (ja) | 2016-07-08 | 2016-07-08 | 認証システム、故障診断ツール、車載通信システム及び認証方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016136051A JP6394650B2 (ja) | 2016-07-08 | 2016-07-08 | 認証システム、故障診断ツール、車載通信システム及び認証方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018007204A JP2018007204A (ja) | 2018-01-11 |
| JP6394650B2 true JP6394650B2 (ja) | 2018-09-26 |
Family
ID=60948189
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016136051A Active JP6394650B2 (ja) | 2016-07-08 | 2016-07-08 | 認証システム、故障診断ツール、車載通信システム及び認証方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6394650B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SG11202103770SA (en) | 2018-10-15 | 2021-05-28 | Paylessgate Corp | Position determination system, position determination apparatus, position determination method, position determination program, and computer-readable storage medium and storage device |
| CA3116142A1 (en) * | 2018-10-15 | 2021-04-12 | Paylessgate Corporation | Authentication-gaining apparatus, authentication apparatus, authentication request transmitting method, authentication method, and program |
| JP7097347B2 (ja) | 2019-12-25 | 2022-07-07 | 本田技研工業株式会社 | 不正診断機検出装置 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110083161A1 (en) * | 2008-06-04 | 2011-04-07 | Takayuki Ishida | Vehicle, maintenance device, maintenance service system, and maintenance service method |
| WO2013076823A1 (ja) * | 2011-11-22 | 2013-05-30 | 学校法人日本大学 | 携帯端末の認証システム及びその方法 |
| CN104025544B (zh) * | 2011-12-01 | 2017-05-24 | 日本电气方案创新株式会社 | 机密信息泄露防止系统和机密信息泄露防止方法 |
| JP5900007B2 (ja) * | 2012-02-20 | 2016-04-06 | 株式会社デンソー | 車両用データ通信認証システム及び車両用ゲートウェイ装置 |
| JP5664579B2 (ja) * | 2012-03-14 | 2015-02-04 | 株式会社デンソー | 通信システム、中継装置、車外装置及び通信方法 |
| JP2014050064A (ja) * | 2012-09-04 | 2014-03-17 | Sony Corp | 情報処理装置、情報処理システム、情報処理方法、プログラム及びクライアント端末 |
| JP5730338B2 (ja) * | 2013-01-21 | 2015-06-10 | オムロンオートモーティブエレクトロニクス株式会社 | 通信システム及び通信装置 |
| JP2014142699A (ja) * | 2013-01-22 | 2014-08-07 | Denso Corp | 乱数発生装置およびそれを用いた車両制御装置 |
-
2016
- 2016-07-08 JP JP2016136051A patent/JP6394650B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018007204A (ja) | 2018-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11303661B2 (en) | System and method for detection and prevention of attacks on in-vehicle networks | |
| US20230129603A1 (en) | Key management method used in encryption processing for safely transmitting and receiving messages | |
| US10685124B2 (en) | Evaluation apparatus, evaluation system, and evaluation method | |
| JP6477281B2 (ja) | 車載中継装置、車載通信システム及び中継プログラム | |
| JP6394650B2 (ja) | 認証システム、故障診断ツール、車載通信システム及び認証方法 | |
| JP2018133744A (ja) | 通信システム、車両、および監視方法 | |
| CN108076045B (zh) | 通信装置、通信系统、通信方法以及计算机可读存储介质 | |
| KR20170120029A (ko) | 데이터 전송 조작을 방지하기 위한 방법 및 장치 | |
| JP5522154B2 (ja) | 中継システム及び、当該中継システムを構成する中継装置、通信装置 | |
| US20230083716A1 (en) | Devices, methods, and computer program for releasing transportation vehicle components, and vehicle-to-vehicle communication module | |
| CN113169979B (zh) | 用于检测对网络的分布式现场总线的入侵的方法及其系统 | |
| US11895127B2 (en) | Vehicle communication device, method of determining communication abnormality, and storage medium storing program | |
| JP7067508B2 (ja) | ネットワークシステム | |
| JP4954249B2 (ja) | 電子端末装置及び電子連動装置 | |
| JP6950540B2 (ja) | ネットワークシステム | |
| JP2018088665A (ja) | 通信システム | |
| JP2001202266A (ja) | 車載制御ユニットの検査方法 | |
| JP2018007211A (ja) | 車載通信システム | |
| CN112977331A (zh) | 汽车远程控制装置、车身控制设备、系统及控制方法 | |
| JP6919430B2 (ja) | ネットワークシステム | |
| JP2013121071A (ja) | 中継システム及び、当該中継システムを構成する中継装置、外部装置 | |
| JP6885305B2 (ja) | ネットワークシステム | |
| JP7328419B2 (ja) | 車載通信システム、車載通信装置、コンピュータプログラム及び通信方法 | |
| JP6954167B2 (ja) | ネットワークシステム | |
| JP2022086429A (ja) | 通信装置、通信装置が行なう通信異常判定方法、および通信装置を制御するためのプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180522 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180712 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180731 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180813 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6394650 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |