JP6508188B2

JP6508188B2 - 暗号通信システム

Info

Publication number: JP6508188B2
Application number: JP2016251969A
Authority: JP
Inventors: 中川　真志; 真志中川
Original assignee: Toyota Motor Corp
Current assignee: Toyota Motor Corp
Priority date: 2016-12-26
Filing date: 2016-12-26
Publication date: 2019-05-08
Anticipated expiration: 2036-12-26
Also published as: US20180183773A1; EP3340202B1; JP2018107622A; US10885723B2; US20210118247A1; CN108243184A; EP3340202A1; CN108243184B; US11436873B2

Description

本発明は、車両外部のサーバとの間で暗号通信を行う暗号通信システムに関する。

こうした暗号通信システムの一例として、例えば特許文献１に記載のシステムは、車載機器を備える移動局が基地局の無線通信可能エリアに進入した際に、基地局との間で無線通信セッションを確立して相互認証を行う。そして、基地局は、相互認証が成立したときに移動局が正当なクライアントであることをサーバに伝える。その結果、サーバは、移動局との間で共有する暗号鍵を生成して基地局を介して移動局に提供する。そして、こうして移動局とサーバとの間で暗号鍵が共有されることにより、移動局の移動に伴って無線通信セッションを確立する対象となる基地局が移行したとしても、移動局に関するクライアント検証を新たに行うことは不要となるため、移動局とサーバとの間での暗号通信の高速化が図られる。

特開２００７−１３７５４号公報

ところで、上記文献に記載のシステムでは、移動局とサーバとが一対一で暗号通信を行う構成を前提としている。しかし、車両に搭載された複数の車載機器がサーバとの間で独立して暗号通信を行う場合もある。この場合、複数の車載機器が固有の暗号鍵を用いてサーバとの間で暗号通信を行う構成とすると、暗号通信の主体となる車載機器の数に応じてサーバが暗号通信処理にかかるリソースが増大してしまうという問題があった。

本発明は、このような実情に鑑みてなされたものであり、その目的は、車両外部のサーバが暗号通信処理にかかるリソースを低減しつつ、複数の車載機器がサーバとの間で暗号通信を独立して行うことを可能にした暗号通信システムを提供することにある。

上記課題を解決する暗号通信システムは、車両外部のサーバとの間で暗号通信を行うことが可能な複数の車載機器を備える暗号通信システムであって、各車載機器は、車載機器ごとに固有の暗号鍵を用いて前記サーバとの間で暗号通信を行う暗号通信部と、前記暗号通信部による暗号通信を行うときの前記車載機器同士の優先度を設定する優先度設定部とを有し、前記サーバとの間で暗号通信を実行する際、自身よりも相対的に高い優先度が前記優先度設定部により設定された前記車載機器があるときには、当該車載機器の前記暗号通信部を通じて前記サーバとの間で暗号通信を行う。

上記構成によれば、同一の車両に暗号通信部を有する複数の車載機器が搭載されていたとしても、それら車載機器は、相対的に高い優先度が設定された車載機器が管理する共通の暗号鍵を用いてサーバとの間で暗号通信を行う。これにより、車載機器ごとに固有の暗号鍵を用いて車両外部のサーバとの間で暗号通信を行う場合と比較して、サーバが暗号通信処理にかかるリソースを低減しつつ、複数の車載機器がサーバとの間で暗号通信を独立して行うことが可能となる。

上記暗号通信システムにおいて、前記優先度設定部は、前記複数の車載機器のうち、前記サーバとの間で暗号通信を実施済みの前記車載機器が含まれるときには、当該車載機器に対して他の車載機器よりも高い優先度を設定することが好ましい。

複数の車載機器のうち、サーバとの間で暗号通信を実施済みの車載機器が含まれるときには、当該車載機器との暗号通信に用いる暗号鍵がサーバに既に保持されている。そこで、上記構成によるように、暗号通信が未実施の車載機器がサーバに対して通信データを送信するときに、暗号通信を実施済みの車載機器が管理する暗号鍵を用いて通信データの暗号化を行うことにより、新規の暗号鍵をサーバが取得することなく、車載機器とサーバとの暗号通信を行うことが可能となる。これにより、サーバが暗号通信処理にかかるリソースを確保しつつ、複数の車載機器とサーバとの間での暗号通信を独立して行うことが可能となる。

上記暗号通信システムにおいて、前記優先度設定部は、前記サーバとの間で暗号通信を行う車載機器が新たに追加されたとき、前記複数の車載機器のうち、前記サーバとの間で暗号通信を実施済みの前記車載機器が含まれるときには、当該車載機器に対して前記追加された車載機器よりも高い優先度を設定することが好ましい。

上記構成によれば、サーバとの間で暗号通信を行う車載機器が新たに追加されたときにも、新たに追加された車載機器がサーバに対して通信データを送信するときに、暗号通信を実施済みの車載機器が管理する暗号鍵を用いて通信データの暗号化を行う。これにより、サーバとの間で暗号通信を行う車載機器の追加に併せてサーバが暗号通信処理にかかるリソースが増大することが抑えられる。

上記暗号通信システムにおいて、前記優先度設定部は、前記複数の車載機器のうち、前記サーバとの間で暗号通信を実施済みの前記車載機器が含まれないときには、暗号通信の強度が相対的に強い車載機器に対して他の車載機器よりも高い優先度を設定することが好ましい。

上記構成によれば、サーバとの間で暗号通信を実施済みの車載機器が含まれないときには、例えば暗号鍵のビット数や暗号化のアルゴリズム等に基づき暗号通信の強度を評価し、暗号通信の強度が相対的に強い車載機器とサーバとの間で暗号通信が確立される。そして、こうしてサーバとの間で暗号通信が確立された車載機器により他の車載機器も含めて通信データの暗号化が行われる。これにより、サーバが暗号通信処理にかかるリソースを低減しつつも、複数の車載機器とサーバとの暗号通信のセキュリティレベルを高めることが可能となる。

上記暗号通信システムにおいて、前記優先度設定部は、前記サーバとの間で暗号通信を行う車載機器が新たに追加されたとき、前記複数の車載機器のうち、前記サーバとの間で暗号通信を実施済みの前記車載機器が含まれないとき、前記追加された車載機器が前記複数の車載機器よりも暗号通信の強度が相対的に強いときには、前記追加された車載機器に対して他の車載機器よりも高い優先度を設定する。

上記構成によれば、サーバが暗号通信処理にかかるリソースを低減しつつも、暗号通信の強度を高めた車載機器を新たに追加することにより、車両に搭載された車載機器の全体とサーバとの暗号通信のセキュリティレベルを高めることが可能となる。

上記暗号通信システムにおいて、前記複数の車載機器には、前記車載機器同士を個別に接続する通信線が接続されており、各車載機器は、前記サーバとの暗号通信の実行に際し、自身よりも高い優先度が設定された前記車載機器が含まれるときには、暗号化前の通信データを前記通信線を通じて暗号化の主体となる前記車載機器に送信することが好ましい。

上記構成によれば、車載機器が暗号化前の通信データを他の車載機器に送信する際の通信経路として、３つ以上の車載機器を相互に接続する車両ネットワークと比較して情報のセキュリティを確保しやすい通信線を用いている。そのため、車載機器同士で車両ネットワークを介して暗号化前の通信データを送信する構成と比較して、暗号化前の通信データが外部に傍受されるリスクが抑えられ、結果として、複数の車載機器とサーバとの暗号通信のセキュリティレベルをより一層高めることができる。

暗号通信システムの一実施の形態の概略構成を示すブロック図。（ａ）、（ｂ）は、優先度テーブルの設定内容の一例を示す模式図。（ａ）、（ｂ）は、優先度テーブルの設定内容の他の一例を示す模式図。同実施の形態の暗号通信システムがセンターとの間で暗号通信を実行するときの情報の流れを示すシーケンスチャート。同実施の形態の暗号通信システムがセンターとの間で暗号通信を実行するときの情報の流れを示すシーケンスチャート。

以下、暗号通信システムの一実施の形態について図面を参照して説明する。
本実施の形態の暗号通信システムは、車載機器としてのＥＣＵ（電子制御装置）と、車両外部のサーバとして複数の車両の走行情報を管理するセンターとの間で暗号通信を行うシステムである。

具体的には、図１に示すように、第１のＥＣＵ１００及び第２のＥＣＵ２００は、例えばＣＰＵ１１０，２１０（中央演算装置）、ＲＯＭ１２０，２２０（読み出し専用メモリ）、ＲＡＭ１３０，２３０（ランダムアクセスメモリ）、Ｉ／Ｏ部１４０，２４０（入出力ポート部）、通信コントローラ１５０，２５０、及び暗号通信部１６０，２６０が通信バスＮＷ１，ＮＷ２を介して相互に接続されている。また、第１のＥＣＵ１００の通信コントローラ１５０と第２のＥＣＵ２００の通信コントローラ２５０との間には車両ネットワークＮＷ４が接続されている。これら第１のＥＣＵ１００及び第２のＥＣＵ２００の一例としては、例えばエンジンやブレーキ、ステアリング等を制御する駆動系のＥＣＵや、エアコンや車両の各種状態を表示するメータ等を制御するボディ系のＥＣＵや、現在地から目的地までの経路案内等を行うカーナビゲーションシステム等を制御する情報系のＥＣＵが挙げられる。そして、各ＥＣＵ１００，２００の通信コントローラ１５０，２５０は、車両ネットワークＮＷ４を介して、各種のセンサデータや制御データなどの通信データを送受信する。なお、本実施の形態では、車両ネットワークＮＷ４は、ＣＡＮ（コントローラ・エリア・ネットワーク）に規定された通信プロトコルに従って通信データの送受信を行う。

また、第１のＥＣＵ１００及び第２のＥＣＵ２００は、車両ネットワークＮＷ４を介して車載通信機３００に接続されている。すなわち、車両ネットワークＮＷ４には、第１のＥＣＵ１００、第２のＥＣＵ２００、及び車載通信機３００を含めた３つ以上の車載機器が相互に接続されている。車載通信機３００は、例えばＣＰＵ３１０、ＲＯＭ３２０、ＲＡＭ３３０、Ｉ／Ｏ部３４０、及び通信コントローラ３５０に加えて、車両外部と通信する外部インターフェース３６０が通信バスＮＷ３を介して相互に接続されている。この場合、車両ネットワークＮＷ４と外部のネットワークとの間で通信が行われることから、通信に際して外部のネットワーク上に存在する通信相手との間でデータ通信を行うときには、通信データの秘匿化が求められる。

そこで、本実施の形態では、第１のＥＣＵ１００及び第２のＥＣＵ２００は、車両外部のセンター４００との間でＳＳＬ（ＳｅｃｕｒｅＳｏｃｋｅｔＬａｙｅｒ）等を利用した暗号通信を行う暗号通信部１６０，２６０を備えている。暗号通信部１６０，２６０は、自身が送信するデータを暗号化する暗号化部１６１，２６１を有している。暗号化部１６１，２６１は、通信データを送信する際、自身が管理する暗号鍵１６３，２６３を用いて通信データを暗号化して秘匿データに変換する。なお、本実施の形態では、暗号鍵１６３，２６３は、センター４００との暗号通信を実行する際に、センター４００から送付される電子証明書に付されるセンター４００の公開鍵である。このとき、暗号通信部１６０，２６０は、センター４００から送付される電子証明書に基づき、公開鍵の送付元が正規のセンター４００である旨を併せて認証する。なお、第１のＥＣＵ１００が保持する暗号鍵１６３と、第２のＥＣＵ２００が保持する暗号鍵２６３とは互いに異なる鍵データとなる。また、暗号通信部１６０，２６０は、センター４００との間で暗号通信を実行するときには、暗号鍵１６３，２６３により暗号化した通信データと併せて、自身のＩＤをセンター４００に送付する。また、暗号通信部１６０，２６０は、暗号化された通信データをセンター４００から取得したときには、当該取得した通信データを自身が管理する暗号鍵１６３，２６３を用いて復号化する復号化部１６２，２６２を有している。復号化部１６２，２６２は、暗号通信部１６０，２６０から暗号化された通信データを取得したときには、送信元となる暗号通信部１６０，２６０のＩＤに対応する暗号鍵（秘密鍵）を自身が管理するデータベースから読み出すとともに、当該読み出した暗号鍵を用いて通信データを復号化する。

ここで、第１のＥＣＵ１００及び第２のＥＣＵ２００が自身の暗号通信部１６０，２６０を通じてセンター４００との間で暗号通信を個別に行うとすると、センター４００は、第１のＥＣＵ１００との暗号通信に用いる暗号鍵、及び、第２のＥＣＵ２００との暗号通信に用いる暗号鍵の双方を管理する必要がある。すなわち、暗号通信の主体となるＥＣＵの数が多くなるに連れて、センター４００が暗号通信処理にかかるリソースが増大してしまう。

そこで、本実施の形態では、第１のＥＣＵ１００及び第２のＥＣＵ２００は、車両外部のセンター４００との暗号通信に際してまず、ＥＣＵ１００，２００同士の暗号通信の優先度を設定した優先度設定部としての優先度テーブル１２１，２２１を参照する。そして、各ＥＣＵ１００，２００は、相手方のＥＣＵの方が優先度が相対的に高いときには、相手方のＥＣＵの暗号通信部を通じてセンター４００との間で暗号通信を行う。

図２（ａ）は、優先度テーブル１２１，２２１に設定されているデータ内容の一例を示している。同図に示す例では、優先度テーブル１２１，２２１は、第１のＥＣＵ１００及び第２のＥＣＵ２００の双方とも、センター４００との暗号通信を過去に実施したことが無いことから、第１のＥＣＵ１００との暗号通信に用いられる暗号鍵、及び、第２のＥＣＵ２００との暗号通信に用いる暗号鍵の何れもがセンター４００によって未だに保持されていない。また、この例では、第１のＥＣＵ１００による暗号鍵１６３を用いた暗号通信の強度が「弱」に分類される一方で、第２のＥＣＵ２００による暗号鍵２６３を用いた暗号通信の強度が「中」に分類されており、第２のＥＣＵ２００による暗号通信の強度の方が、第１のＥＣＵ１００による暗号通信の強度よりも相対的に強い。そのため、第１のＥＣＵ１００及び第２のＥＣＵ２００のうち、暗号通信の優先フラグが第２のＥＣＵ２００に設定されており、第２のＥＣＵ２００には、第１のＥＣＵ１００よりも相対的に高い優先度が設定されている。

また、図２（ｂ）は、先の図２（ａ）に示した例において、車両ネットワークＮＷ４に対して新たに第３のＥＣＵが接続されたときに、優先度テーブル１２１，２２１に設定されているデータ内容の一例を示している。同図に示す例では、優先度テーブル１２１，２２１は、追加された第３のＥＣＵによる暗号通信の強度が「強」に分類されており、第３のＥＣＵによる暗号通信の強度の方が、第１のＥＣＵ１００及び第２のＥＣＵ２００による暗号通信の強度よりも相対的に強い。そのため、暗号通信の優先フラグの対象が第２のＥＣＵ２００から第３のＥＣＵに切り替わっており、第３のＥＣＵには、第１のＥＣＵ１００及び第２のＥＣＵ２００よりも相対的に高い優先度が設定されている。

また、図３（ａ）は、優先度テーブル１２１，２２１に設定されているデータ内容の他の一例を示している。同図に示す例では、優先度テーブル１２１，２２１は、第１のＥＣＵ１００及び第２のＥＣＵ２００のうち、第２のＥＣＵ２００のみがセンター４００との暗号通信を過去に実施したことがあることから、第２のＥＣＵ２００との暗号通信に用いる暗号鍵はセンター４００により既に保持されている。そのため、第１のＥＣＵ１００及び第２のＥＣＵ２００のうち、暗号通信の優先フラグが第２のＥＣＵ２００に設定されており、第２のＥＣＵ２００には、第１のＥＣＵ１００よりも相対的に高い優先度が設定されている。

また、図３（ｂ）は、先の図３（ａ）に示した例において、車両ネットワークＮＷ４に新たに第３のＥＣＵが接続されたときに、優先度テーブル１２１，２２１に設定されているデータ内容の一例を示している。同図に示す例では、優先度テーブル１２１，２２１は、追加された第３のＥＣＵによる暗号通信の強度が「強」に分類されており、第３のＥＣＵによる暗号通信の強度の方が、第１のＥＣＵ１００及び第２のＥＣＵ２００による暗号通信の強度よりも相対的に強い。ただし、上述のように、第２のＥＣＵ２００はセンター４００との暗号通信を過去に実施したことがあり、第２のＥＣＵ２００との暗号通信に用いる暗号鍵がセンター４００により既に保持されていることから、暗号通信の優先フラグの対象は第３のＥＣＵに切り替わることなく、第２のＥＣＵ２００に維持される。そのため、第２のＥＣＵ２００には、第１のＥＣＵ１００及び第３のＥＣＵよりも相対的に高い優先度が設定されている。

また、図１に示すように、第１のＥＣＵ１００のＩ／Ｏ部１４０と第２のＥＣＵ２００のＩ／Ｏ部２４０との間には、上述した車両ネットワークＮＷ４とは異なる通信経路として、ＥＣＵ１００，２００同士を個別に接続する通信線ＮＷ５が接続されている。また同様に、第２のＥＣＵ２００のＩ／Ｏ部２４０と車載通信機３００のＩ／Ｏ部３４０との間にも、上述した車両ネットワークＮＷ４とは異なる通信経路として、第２のＥＣＵ２００と車載通信機３００とを個別に接続する通信線ＮＷ６が接続されている。これら通信線ＮＷ５，ＮＷ６としては、例えばＵＳＢ通信ケーブル、ＰＣＩ−Ｅバス、シリアル接続線等を用いることができる。なお、ＥＣＵ１００，２００同士、又は、第２のＥＣＵ２００と車載通信機３００とを個別に接続する通信線ＮＷ５，ＮＷ６の通信速度は、複数のＥＣＵ１００，２００同士及び車載通信機３００を相互に接続する車両ネットワークＮＷ４の通信速度よりも速い傾向にある。また、通信線ＮＷ５，ＮＷ６は、車両ネットワークＮＷ４と比較して、外部からの不正アクセスに対する情報の秘匿性を確保しやすい。

そこで、本実施の形態では、第１のＥＣＵ１００及び第２のＥＣＵ２００は、センター４００との間で暗号通信を実行する際、上述した優先度テーブル１２１，２２１を参照して自身よりも優先度が相対的に高いＥＣＵがあるときには、当該ＥＣＵに向けて暗号化前の通信データを通信線ＮＷ５を介して送信する。そして、ＥＣＵは、他のＥＣＵから暗号化前の通信データを受信したときには、当該受信した通信データを自身が管理する暗号鍵を用いて暗号化した上で、通信線ＮＷ５，ＮＷ６を介して車載通信機３００に送信する。その後、車載通信機３００は、こうしてＥＣＵから受信した通信データを外部インターフェース３６０を通じて車両外部のセンター４００に対して送信する。

次に、本実施の形態の暗号通信システムの動作について、特に、第１のＥＣＵ１００及び第２のＥＣＵ２００とセンター４００との間で暗号通信が行われる際の動作について説明する。

図４に示すように、通信データの通信主体が第１のＥＣＵ１００であるときには、第１のＥＣＵ１００はまず、センター４００との間での暗号通信の実施の有無を第２のＥＣＵ２００との間で共有する。

そして、第１のＥＣＵ１００は、各ＥＣＵ１００，２００による暗号通信の実施の有無に基づき、優先度テーブル１２１を参照して暗号通信の通信主体を判定する。なお、本実施の形態では、先の図２（ａ）又は図３（ａ）に示したように、第１のＥＣＵ１００及び第２のＥＣＵ２００のうち、第２のＥＣＵ２００に対して相対的に高い優先度が設定されていることから、第２のＥＣＵ２００を暗号通信の通信主体として判定する。また、第１のＥＣＵ１００は、センター４００と第２のＥＣＵ２００との暗号通信の確立を第２のＥＣＵ２００に要求する。

続いて、第２のＥＣＵ２００は、第１のＥＣＵ１００からの要求に基づき、センター４００との暗号通信の確立を車載通信機３００に要求する。そして、車載通信機３００は、第２のＥＣＵ２００からの暗号通信の確立の要求をセンター４００に転送する。これにより、第２のＥＣＵ２００とセンター４００との間に暗号通信が確立する。

そして、第２のＥＣＵ２００は、センター４００との暗号通信が確立したときには、その旨を第１のＥＣＵ１００に通知する。これにより、第１のＥＣＵ１００は、自身が管理する暗号化前の通信データを通信線ＮＷ５を介して第２のＥＣＵ２００に転送する。

また、第２のＥＣＵ２００は、第１のＥＣＵ１００から転送された通信データに対して自身が管理する暗号鍵２６３を用いて暗号化を行うとともに、当該暗号化された通信データの転送を車載通信機３００に要求する。そして、車載通信機３００は、第２のＥＣＵ２００からの要求に基づき、暗号化された通信データをセンター４００に転送する。

その後、センター４００は、第２のＥＣＵ２００のＩＤに対応する暗号鍵を自身のデータベースから読み出すとともに、当該読み出した暗号鍵を用いて車載通信機３００から転送された通信データを復号化することにより、暗号化前の通信データを取得する。

また、図５に示すように、通信データの通信主体が第２のＥＣＵ２００であるときには、第２のＥＣＵ２００はまず、センター４００との間での暗号通信の実施の有無を第１のＥＣＵ１００との間で共有する。

そして、第２のＥＣＵ２００は、各ＥＣＵ１００，２００による暗号通信の実施の有無に基づき、優先度テーブル２２１を参照して暗号通信の通信主体を判定する。なお、上述のように、本実施の形態では、第１のＥＣＵ１００及び第２のＥＣＵ２００のうち、第２のＥＣＵ２００に対して相対的に高い優先度が設定されていることから、第２のＥＣＵ２００を暗号通信の通信主体として判定する。

続いて、第２のＥＣＵ２００は、センター４００との暗号通信の確立を車載通信機３００に要求する。そして、車載通信機３００は、第２のＥＣＵ２００からの暗号通信の確立の要求をセンター４００に転送する。これにより、第２のＥＣＵ２００とセンター４００との間に暗号通信が確立する。

また、第２のＥＣＵ２００は、センター４００との暗号通信が確立したときには、自身が管理する通信データに対して自身が管理する暗号鍵２６３を用いて暗号化を行うとともに、当該暗号化された通信データの転送を車載通信機３００に要求する。そして、車載通信機３００は、第２のＥＣＵ２００からの要求に基づき、暗号化された通信データをセンター４００に転送する。

次に、本実施の形態の暗号通信システムの作用について説明する。
一般に、車両に搭載された複数のＥＣＵが車両外部のセンター４００との間で個別に暗号通信を実行する際、通常であれば、ＥＣＵごとに個別の暗号鍵（秘密鍵）をセンター４００が自身のデータベースに管理することが必要となる。ただし、この構成では、暗号通信の主体となるＥＣＵの数が多くなるに連れて、センター４００が暗号通信処理にかかるリソースが増大してしまうという問題があった。

この点、本実施の形態では、第１のＥＣＵ１００及び第２のＥＣＵ２００のうち、所定のＥＣＵがセンターとの間で暗号通信を実行する際、まず最初に優先度テーブル１２１，２２１を参照して暗号通信を行うときのＥＣＵ１００，２００同士の優先度を確認する。そして、所定のＥＣＵは、自身よりも優先度が相対的に高いＥＣＵがあるときには、当該ＥＣＵが管理する暗号鍵を用いてセンター４００との間で暗号通信を行う。これにより、暗号通信の主体となるＥＣＵの数が増大したとしても、センター４００が暗号通信処理にかかるリソースが低減される。

特に、本実施の形態では、所定のＥＣＵがセンター４００との間で暗号通信を行うとき、第１のＥＣＵ１００及び第２のＥＣＵ２００のうち、センター４００との間で暗号通信を実施済みのＥＣＵが含まれるときには、当該ＥＣＵに対して他のＥＣＵよりも相対的に高い優先度が設定されている。すなわち、第１のＥＣＵ１００及び第２のＥＣＵ２００のうち、何れかのＥＣＵがセンター４００との間で暗号通信を実施済みであるときには、当該ＥＣＵが管理する暗号鍵を、他のＥＣＵの通信データをセンター４００との間で暗号通信するときにも適用する。これにより、暗号通信の主体となるＥＣＵの数が多くなったとしても、センター４００は、最初に暗号通信を確立したＥＣＵとの暗号通信に用いる暗号鍵のみを管理すればよいため、センター４００が暗号通信処理にかかるリソースが低減される。

また、本実施の形態では、車両ネットワークＮＷ４に対して新たに第３のＥＣＵが接続されたときにも、車両ネットワークＮＷ４に接続されていた第１のＥＣＵ１００及び第２のＥＣＵ２００のうち、センター４００との間で暗号通信を実施済みのＥＣＵが含まれるときには、当該ＥＣＵに対し、上述のようにして追加された第３のＥＣＵよりも相対的に高い優先度を設定する。これにより、新たに追加された第３のＥＣＵがセンター４００との間で暗号通信を実行するときには、センター４００が既に保持している暗号鍵を用いて通信データの暗号化及び復号化を行えばよい。すなわち、車両ネットワークＮＷ４に新たに第３のＥＣＵを接続したとしても、第３のＥＣＵの追加に併せてセンター４００が暗号通信処理にかかるリソースが増大することが抑えられる。

また、本実施の形態では、所定のＥＣＵがセンター４００との間で暗号通信を行うとき、車両に搭載された第１のＥＣＵ１００及び第２のＥＣＵ２００の双方がセンター４００との間で暗号通信を未実施であるときには、各ＥＣＵ１００，２００の暗号通信部１６０，２６０による暗号通信の強度が比較される。そして、暗号通信の強度が相対的に高いＥＣＵに対して他のＥＣＵよりも相対的に高い優先度が設定される。すなわち、第１のＥＣＵ１００及び第２のＥＣＵ２００のうち、双方のＥＣＵがセンター４００との間で暗号通信を未実施であるときには、暗号通信の強度が相対的に強いＥＣＵが管理する暗号鍵を、他のＥＣＵの通信データをセンター４００との間で暗号通信するときにも適用する。これにより、センター４００が暗号通信処理にかかるリソースを低減しつつも、各ＥＣＵ１００，２００とセンター４００との間の暗号通信のセキュリティレベルが高められる。

また、本実施の形態では、車両ネットワークＮＷ４に対して新たに第３のＥＣＵが接続されたときにも、第１のＥＣＵ１００及び第２のＥＣＵ２００の双方がセンター４００との間で暗号通信を未実施であるときには、新たに追加された第３のＥＣＵも含めて、車両ネットワークＮＷ４に接続されているＥＣＵ同士の暗号通信の強度が比較される。そして、暗号通信の強度が相対的に高いＥＣＵに対して他のＥＣＵよりも相対的に高い優先度が設定される。すなわち、新たに追加された第３のＥＣＵの暗号通信の強度が他のＥＣＵよりも相対的に強いときには、当該ＥＣＵが管理する暗号鍵を、他のＥＣＵの通信データをセンター４００との間で暗号通信するときにも適用する。これにより、センター４００が暗号通信処理にかかるリソースを低減しつつも、暗号通信の強度を高めたＥＣＵを車両ネットワークＮＷ４に新たに接続することにより、車両ネットワークＮＷ４に接続されたＥＣＵの全体とセンター４００との暗号通信のセキュリティレベルを高めることが可能となる。

以上説明したように、上記実施の形態によれば、以下に示す効果を得ることができる。
（１）同一の車両に暗号通信部１６０，２６０を有する複数のＥＣＵ１００，２００が搭載されていたとしても、それらＥＣＵ１００，２００は、相対的に高い優先度が設定されたＥＣＵが管理する暗号鍵を用いてセンター４００との間で暗号通信を行う。これにより、ＥＣＵ１００，２００ごとに固有の暗号鍵を用いて車両外部のセンター４００との間で暗号通信を行う場合と比較して、センター４００が暗号通信処理にかかるリソースを低減しつつ、複数のＥＣＵ１００，２００がセンター４００との間で暗号通信を独立して行うことが可能となる。

（２）複数のＥＣＵ１００，２００のうち、暗号通信が未実施のＥＣＵがセンター４００に対して通信データを送信するときに、暗号通信を実施済みのＥＣＵが管理する暗号鍵を用いて通信データの暗号化を行う。これにより、新規の暗号鍵をセンター４００が取得することなく、ＥＣＵとセンター４００との暗号通信を行うことが可能となる。これにより、センター４００が暗号通信処理にかかるリソースを低減しつつ、複数のＥＣＵ１００，２００とセンター４００との間での暗号通信を独立して行うことが可能となる。

（３）センター４００との間で暗号通信を行うＥＣＵが新たに追加されたときにも、新たに追加されたＥＣＵがセンター４００に対して通信データを送信するときに、暗号通信を実施済みのＥＣＵが管理する暗号鍵を用いて通信データの暗号化を行う。これにより、センター４００との間で暗号通信を行うＥＣＵの追加に併せてセンター４００が暗号通信処理にかかるリソースが増大することが抑えられる。

（４）複数のＥＣＵ１００，２００の中に、センター４００との間で暗号通信を実施済みのＥＣＵが含まれないときには、暗号通信の強度が相対的に強いＥＣＵとセンター４００との間で暗号通信が確立される。そして、こうしてセンター４００との間で暗号通信が確立されたＥＣＵにより他のＥＣＵも含めて通信データの暗号化が行われる。これにより、センター４００が暗号通信処理にかかるリソースを低減しつつも、複数のＥＣＵ１００，２００とセンター４００との暗号通信のセキュリティレベルを高めることが可能となる。

（５）センター４００との間で暗号通信を行うＥＣＵが新たに追加されたとき、既存のＥＣＵ１００，２００の中に、センター４００との間で暗号通信を実施済みのＥＣＵが含まれないときには、新たに追加されたＥＣＵが既存のＥＣＵ１００，２００よりも暗号通信の強度が強いことを条件に、新たに追加されたＥＣＵとセンター４００との間で暗号通信が確立される。そして、新たに追加されたＥＣＵにより他のＥＣＵも含めて通信データの暗号化が行われる。これにより、センター４００が暗号通信処理にかかるリソースを低減しつつも、暗号通信の強度を高めたＥＣＵを新たに追加することにより、車両に搭載されたＥＣＵの全体とセンター４００との暗号通信のセキュリティレベルを高めることが可能となる。

（６）ＥＣＵが暗号化前の通信データを他のＥＣＵに送信する際の通信経路として、車両ネットワークＮＷ４よりも情報のセキュリティを確保しやすい通信線ＮＷ５，ＮＷ６を用いている。そのため、複数のＥＣＵ１００，２００が相互に接続された車両ネットワークＮＷ４を介して暗号化前の通信データを送信する構成と比較して、暗号化前の通信データが外部に傍受されるリスクが抑えられ、結果として、複数のＥＣＵ１００，２００とセンター４００との暗号通信のセキュリティレベルをより一層高めることができる。

なお、上記実施の形態は、以下のような形態にて実施することもできる。
・上記実施の形態においては、センター４００との間で暗号通信を行うＥＣＵが新たに追加されたとき、既存のＥＣＵ１００，２００の中に、センター４００との間で暗号通信を実施済みのＥＣＵが含まれるときには、新たに追加されたＥＣＵの暗号通信の強度を考慮することなく、暗号通信を実施済みのＥＣＵが管理する暗号鍵を用いて通信データの暗号化を行うようにした。これに代えて、既存のＥＣＵ１００，２００の中に、センター４００との間で暗号通信を実施済みのＥＣＵが含まれるときにも、暗号通信の実施の有無に関するデータを必要に応じてリセットすることにより、新たに追加されたＥＣＵが管理する暗号鍵を用いて既存のＥＣＵ１００，２００も含めて通信データの暗号化を行うようにしてもよい。

・上記実施の形態においては、ＥＣＵが暗号化前の通信データを他のＥＣＵに送信する際の通信経路として、車両ネットワークＮＷ４よりも情報のセキュリティを確保しやすい通信線ＮＷ５，ＮＷ６を用いるようにした。ただし、車両ネットワークＮＷ４を介した情報のセキュリティを確保できるのであれば、暗号化前の通信データを車両ネットワークＮＷ４を介してＥＣＵ間で送受信するようにしてもよい。この場合、ＥＣＵ１００，２００同士、又は、第２のＥＣＵ２００と車載通信機３００とを個別に接続する通信線ＮＷ５，ＮＷ６を省略した構成としてもよい。

・上記実施の形態においては、車両ネットワークＮＷ４に接続された全てのＥＣＵがセンター４００との暗号通信を未実施であるときには、それらＥＣＵの暗号通信の強度に基づき、暗号通信の優先度を事前に設定するようにした。これに代えて、車両ネットワークＮＷ４に接続された全てのＥＣＵがセンター４００との暗号通信を未実施であるときには、それらＥＣＵの暗号通信の強度を何ら考慮することなく、それ以降にセンター４００との間で最初に暗号通信を実行したＥＣＵに対して他のＥＣＵよりも相対的に高い優先度を設定するようにしてもよい。

・上記実施の形態においては、車両ネットワークＮＷ４に接続されたＥＣＵ１００，２００同士で暗号通信の強度に差がある場合を例に挙げて説明した。ただし、車両ネットワークＮＷ４に接続されたＥＣＵ１００，２００同士で必ずしも暗号通信の強度に差がある必要はない。この場合、例えば、それらＥＣＵに対して暗号通信の優先度を事前に設定することなく、それ以降にセンター４００との間で最初に暗号通信を実行したＥＣＵに対して他のＥＣＵよりも相対的に高い優先度を設定するようにすればよい。

・上記実施の形態においては、車両ネットワークＮＷ４に接続された全てのＥＣＵがセンター４００との暗号通信を未実施であるときには、それらＥＣＵの暗号通信の強度に基づき、暗号通信の優先度を事前に設定するようにした。ただし、暗号通信の優先度を事前に設定する際に判断基準としては、暗号通信の強度以外にも、例えばＥＣＵに搭載されているＣＰＵの処理性能や、通信線ＮＷ５，ＮＷ６を介した車載通信機３００とのネットワーク上での距離等、その他の要素を適用することも可能である。

・上記実施の形態においては、ＥＣＵ１００，２００とセンター４００との間で公開鍵暗号方式による暗号通信が行われる場合を例に挙げて説明した。ただし、ＥＣＵ１００，２００とセンター４００との暗号通信の方式は、必ずしも公開鍵暗号方式に限られず、例えば共通鍵暗号方式等、他の暗号通信の方式を採用するようにしてもよい。

１００…第１のＥＣＵ、１１０…ＣＰＵ、１２０…ＲＯＭ、１２１…優先度テーブル、１３０…ＲＡＭ、１４０…Ｉ／Ｏ部、１５０…通信コントローラ、１６０…暗号通信部、１６１…暗号化部、１６２…復号化部、１６３…暗号鍵、２００…第２のＥＣＵ、２１０…ＣＰＵ、２２０…ＲＯＭ、２２１…優先度テーブル、２３０…ＲＡＭ、２４０…Ｉ／Ｏ部、２５０…通信コントローラ、２６０…暗号通信部、２６１…暗号化部、２６２…復号化部、２６３…暗号鍵、３００…車載通信機、３１０…ＣＰＵ、３２０…ＲＯＭ、３３０…ＲＡＭ、３４０…Ｉ／Ｏ部、３５０…通信コントローラ、３６０…外部インターフェース、４００…センター、ＮＷ１〜ＮＷ３…通信バス、ＮＷ４…車両ネットワーク、ＮＷ５，ＮＷ６…通信線。

Claims

車両外部のサーバとの間で暗号通信を行うことが可能な複数の車載機器を備える暗号通信システムであって、
各車載機器は、
車載機器ごとに固有の暗号鍵を用いて前記サーバとの間で暗号通信を行う暗号通信部と、
前記暗号通信部による暗号通信を行うときの前記車載機器同士の優先度を設定する優先度設定部とを有し、
前記サーバとの間で暗号通信を実行する際、自身よりも相対的に高い優先度が前記優先度設定部により設定された前記車載機器があるときには、当該車載機器の前記暗号通信部を通じて前記サーバとの間で暗号通信を行う
ことを特徴とする暗号通信システム。
前記優先度設定部は、前記複数の車載機器のうち、前記サーバとの間で暗号通信を実施済みの前記車載機器が含まれるときには、当該車載機器に対して他の車載機器よりも高い優先度を設定する
請求項１に記載の暗号通信システム。
前記優先度設定部は、前記サーバとの間で暗号通信を行う車載機器が新たに追加されたとき、前記複数の車載機器のうち、前記サーバとの間で暗号通信を実施済みの前記車載機器が含まれるときには、当該車載機器に対して前記追加された車載機器よりも高い優先度を設定する
請求項２に記載の暗号通信システム。
前記優先度設定部は、前記複数の車載機器のうち、前記サーバとの間で暗号通信を実施済みの前記車載機器が含まれないときには、暗号通信の強度が相対的に強い車載機器に対して他の車載機器よりも高い優先度を設定する
請求項２又は請求項３に記載の暗号通信システム。
前記優先度設定部は、前記サーバとの間で暗号通信を行う車載機器が新たに追加されたとき、前記複数の車載機器のうち、前記サーバとの間で暗号通信を実施済みの前記車載機器が含まれないとき、前記追加された車載機器が前記複数の車載機器よりも暗号通信の強度が相対的に強いときには、前記追加された車載機器に対して他の車載機器よりも高い優先度を設定する
請求項４に記載の暗号通信システム。
前記複数の車載機器には、前記車載機器同士を個別に接続する通信線が接続されており、
各車載機器は、前記サーバとの暗号通信の実行に際し、自身よりも高い優先度が設定された前記車載機器が含まれるときには、暗号化前の通信データを前記通信線を通じて暗号化の主体となる前記車載機器に送信する
請求項１〜５の何れか一項に記載の暗号通信システム。