JP6969450B2 - Network system - Google Patents
Network system Download PDFInfo
- Publication number
- JP6969450B2 JP6969450B2 JP2018040817A JP2018040817A JP6969450B2 JP 6969450 B2 JP6969450 B2 JP 6969450B2 JP 2018040817 A JP2018040817 A JP 2018040817A JP 2018040817 A JP2018040817 A JP 2018040817A JP 6969450 B2 JP6969450 B2 JP 6969450B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- ecu
- proxy
- authentication
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本開示は、ネットワークシステムに関する。 This disclosure relates to a network system.
セキュリティ処理CPUが故障した場合でも、セキュリティ処理CPUに代わって、汎用処理CPUが、データの暗号化、復号、認証等を実行するように構成された情報処理装置が提案されている(例えば、特許文献1参照。)。 An information processing device has been proposed in which a general-purpose processing CPU is configured to execute data encryption, decryption, authentication, etc. instead of the security processing CPU even if the security processing CPU fails (for example, a patent). See Document 1).
しかし、上記特許文献1に記載の情報処理装置では、暗号ハードウェアにおいてセキュリティ処理CPU以外の箇所が故障した場合には、データの認証等を実行できなくなるおそれがある。一例を挙げれば、例えば上記特許文献1に記載の情報処理装置において、セキュア記憶装置が故障した場合には、汎用処理CPUからセキュア記憶装置へのアクセスでエラーが発生し、汎用処理CPUではデータの認証等を実行できなくなるおそれがある。 However, in the information processing apparatus described in Patent Document 1, if a part other than the security processing CPU in the cryptographic hardware fails, there is a possibility that data authentication or the like cannot be executed. For example, in the information processing device described in Patent Document 1, when the secure storage device fails, an error occurs in the access from the general-purpose processing CPU to the secure storage device, and the general-purpose processing CPU generates data. There is a risk that authentication etc. cannot be executed.
本開示の一局面においては、データの認証に失敗した際に上記従来技術とは別の手法でデータの認証を実行可能なネットワークシステムを提供することが望ましい。 In one aspect of the present disclosure, it is desirable to provide a network system capable of executing data authentication by a method different from the above-mentioned prior art when data authentication fails.
本開示の一態様は、ネットワークシステムである。当該ネットワークシステムは、複数の電子装置(2A,2B,2C,2D)を含む。複数の電子装置は、第一ネットワーク(1A)のノードとして機能し、かつ、第一ネットワークとは独立に構築される第二ネットワーク(1B)のノードとしても機能するように構成される。複数の電子装置は、第一ネットワーク及び第二ネットワークの外部にある外部機器とは、第一ネットワーク経由で通信可能に構成される。 One aspect of the disclosure is a network system. The network system includes a plurality of electronic devices (2A, 2B, 2C, 2D). The plurality of electronic devices are configured to function as nodes of the first network (1A) and also as nodes of the second network (1B) constructed independently of the first network. The plurality of electronic devices are configured to be able to communicate with the first network and external devices outside the second network via the first network.
複数の電子装置のうちの少なくとも一つの電子装置は、依頼元装置(2B)として機能可能に構成される。複数の電子装置のうちの少なくとも一つの電子装置は、依頼先装置(2C)として機能可能に構成される。複数の電子装置のうちの一つの電子装置が依頼元装置として機能する際に、依頼元装置とは別の少なくとも一つの電子装置が依頼先装置として機能可能に構成される。 At least one of the plurality of electronic devices is configured to be functional as a requesting device (2B). At least one of the plurality of electronic devices is configured to be functional as a requested device (2C). When one of the plurality of electronic devices functions as the requesting device, at least one electronic device different from the requesting device is configured to be able to function as the requesting device.
依頼元装置は、認証処理の対象とされる認証対象データが第一ネットワーク経由で依頼元装置宛に伝送された場合に、認証対象データを受信して、認証対象データに対する認証処理を実行する(S124,S142−S150)。依頼元装置は、認証に成功した場合には、当該認証成功以降の処理において認証対象データの内容を利用する(S128)。依頼元装置は、認証に失敗した場合には、依頼先装置に対して認証処理の代行を依頼するための代行依頼データを、第二ネットワーク経由で依頼先装置へと送信して、非依頼状態から依頼状態に移行するように構成される(S130−S134)。 When the authentication target data to be authenticated is transmitted to the requesting device via the first network, the requesting device receives the authentication target data and executes the authentication processing for the authentication target data (the requesting device receives the authentication target data). S124, S142-S150). If the authentication is successful, the requesting device uses the content of the authentication target data in the processing after the successful authentication (S128). If the authentication fails, the requesting device sends proxy request data for requesting the requesting device to perform authentication processing to the requesting device via the second network, and is in a non-requested state. It is configured to shift to the request state from (S130-S134).
依頼先装置は、代行依頼データの受信後は、非代行状態から代行状態に移行して(S204−S206,S222)、第一ネットワーク経由で依頼元装置宛に認証対象データが伝送されるたびに、認証対象データを受信して(S302,S306,S308,S322,S324)認証対象データに対する認証処理を実行する(S326)。依頼先装置は、認証に成功した場合には、認証に成功した認証対象データの内容を含む認証済みデータを第二ネットワーク経由で依頼元装置に対して送信するように構成される(S328,S330)。依頼元装置は、依頼状態へ移行した際には、認証済みデータを受信して(S402)、認証済みデータに含まれる認証対象データの内容を利用するように構成される(S406,S430)。 After receiving the proxy request data, the request destination device shifts from the non-proxy state to the proxy state (S204-S206, S222), and each time the authentication target data is transmitted to the request source device via the first network. , Receives the authentication target data (S302, S306, S308, S322, S324) and executes the authentication process for the authentication target data (S326). When the authentication is successful, the request destination device is configured to transmit the authenticated data including the contents of the authentication target data for which the authentication is successful to the request source device via the second network (S328, S330). ). When the request source device shifts to the request state, it is configured to receive the authenticated data (S402) and use the contents of the authentication target data included in the authenticated data (S406, S430).
依頼元装置は、外部機器から代行中止要求データが送信された際に(S108)、依頼状態にある場合には、依頼状態から非依頼状態に復帰するように構成される(S110,S166,S172,S412,S414,S442,S446,S448)。依頼先装置は、外部機器から代行中止要求データが送信された際に(S208)、代行状態にある場合には、代行状態から非代行状態に復帰するように構成されている(S210,S242−S248)。 The requesting device is configured to return from the requested state to the non-requested state when the proxy cancellation request data is transmitted from the external device (S108), if it is in the requested state (S110, S166, S172). , S421, S414, S442, S446, S448). The request destination device is configured to return from the proxy state to the non-proxy state when the proxy cancellation request data is transmitted from the external device (S208) (S208). S248).
このように構成されたネットワークシステムによれば、依頼元装置において認証対象データの認証に失敗した場合でも、依頼先装置において認証対象データの認証に成功すれば、依頼元装置は認証済みデータに含まれる認証対象データを利用することができる。したがって、例えば、依頼元装置において認証処理を実行するために必要となるハードウェア又はソフトウェアに故障等の問題が生じていたとしても、依頼元装置は認証済みの認証対象データを利用することができる。 According to the network system configured in this way, even if the authentication target data fails to be authenticated in the requesting device, if the authentication target data is successfully authenticated in the requesting device, the requesting device is included in the authenticated data. The authentication target data can be used. Therefore, for example, even if there is a problem such as a failure in the hardware or software required to execute the authentication process in the requesting device, the requesting device can use the authenticated authentication target data. ..
また、依頼先装置は、代行依頼データの受信後は、第一ネットワーク経由で依頼元装置宛に認証対象データが伝送されるたびに、認証対象データを受信して認証対象データに対する認証処理を実行して、認証済みデータを依頼元装置へ送信する。したがって、依頼元装置では、認証対象データを受信するたびに依頼先装置に対して代行依頼データを送信しなくても、依頼先装置から認証済みデータを継続的に受信することができる。よって、依頼元装置が認証対象データを受信するたびに依頼先装置へ代行依頼データを送信するように構成されている場合に比べ、依頼元装置にかかる負荷を軽減することができる。また、代行依頼データの送信頻度が低下する分だけ、ネットワークにかかる負荷も低減することができる。 In addition, after receiving the proxy request data, the request destination device receives the authentication target data and executes the authentication process for the authentication target data every time the authentication target data is transmitted to the request source device via the first network. Then, the authenticated data is sent to the requesting device. Therefore, the requesting device can continuously receive the authenticated data from the requesting device without transmitting the proxy request data to the requesting device each time the authentication target data is received. Therefore, the load on the requesting device can be reduced as compared with the case where the requesting device is configured to send the proxy request data to the requesting device each time it receives the authentication target data. In addition, the load on the network can be reduced as the frequency of transmission of proxy request data decreases.
さらに、依頼元装置は、外部機器から代行中止要求データが送信された際に、依頼状態にある場合には、依頼状態から非依頼状態に復帰する。依頼先装置は、外部機器から代行中止要求データが送信された際に、代行状態にある場合には、代行状態から非代行状態に復帰する。したがって、認証処理の代行が必要となっていた原因が修理等によって解消された際には、外部機器から代行中止要求データを送信することにより、依頼元装置及び依頼先装置を容易に通常の状態に戻すことができる。これにより、電子装置には、認証処理の代行に起因する負荷がかからなくなり、システムにかかる負荷を軽減することができる。 Further, the requesting device returns from the requested state to the non-requested state if it is in the requested state when the proxy cancellation request data is transmitted from the external device. When the requesting device is in the proxy state when the proxy stop request data is transmitted from the external device, the request destination device returns from the proxy state to the non-proxy state. Therefore, when the cause of the need for proxy processing is resolved by repair, etc., the requesting device and the requesting device can be easily put into a normal state by transmitting the proxy stop request data from the external device. Can be returned to. As a result, the load caused by the proxy of the authentication process is not applied to the electronic device, and the load on the system can be reduced.
上述の認証対象データ、代行依頼データ、認証済みデータ及び代行中止要求データは、各データともに一回の伝送単位で伝送されるデータであってもよいし、複数回の伝送単位に分割されて順次伝送されるデータであってもよい。複数回の伝送単位に分割されて順次伝送される場合は、送信側から受信側へ一単位分のデータは伝送されるたびに、受信側から送信側へデータの一単位分のデータ受信を完了した旨を示すデータが伝送されてもよい。すなわち、認証対象データ、代行依頼データ及び認証済みデータの送信開始から送信完了までの間に、他のデータの伝送が行われてもよい。 The above-mentioned authentication target data, proxy request data, authenticated data, and proxy cancellation request data may be data transmitted in one transmission unit, or may be divided into a plurality of transmission units and sequentially. It may be data to be transmitted. When the data is divided into multiple transmission units and transmitted sequentially, each time one unit of data is transmitted from the transmitting side to the receiving side, the data reception of one unit of data is completed from the receiving side to the transmitting side. Data indicating that this has been done may be transmitted. That is, other data may be transmitted between the start of transmission of the authentication target data, the proxy request data, and the authenticated data and the completion of transmission.
なお、この欄及び特許請求の範囲に記載した括弧内の符号は、後述する実施形態において一態様として例示する具体的な構成との対応関係を理解しやすくするために記載したものである。当該記載は、本開示の技術的範囲が後述する実施形態と同一な範囲に限定されることを意味する記載ではない。 In addition, the reference numerals in parentheses described in this column and the scope of claims are described in order to make it easier to understand the correspondence with the specific configuration exemplified as one embodiment in the embodiment described later. The description does not mean that the technical scope of the present disclosure is limited to the same scope as the embodiments described below.
次に、上述のネットワークシステムについて、例示的な実施形態を挙げて説明する。
(1)第一実施形態
[ネットワークシステムの構成]
図1に示すネットワークシステム1は、例えば自動車に搭載される車載ネットワークシステムである。ネットワークシステム1は、複数のECU2A,2B,2C,2D,3A,3B,3C,3D,3E,3F,3G,3H、CGW4、複数のグローバルバス5A,5B,5C及びローカルバス6等を有する。ECUは「Electronic Control Unit」の略称である。CGWは「Central Gateway」の略称である。
Next, the above-mentioned network system will be described with reference to exemplary embodiments.
(1) First Embodiment [Network system configuration]
The network system 1 shown in FIG. 1 is, for example, an in-vehicle network system mounted on an automobile. The network system 1 has a plurality of
ECU3A,3B,2A,2Bは、グローバルバス5Aに接続されている。ECU2C,2D,3C,3Dは、グローバルバス5Bに接続されている。ECU3E,3F,3G,3Hは、グローバルバス5Cに接続されている。各グローバルバス5A〜5Cには、例えば、機能的に同系統に分類されるECUが接続されている。一例を挙げれば、例えば、グローバルバス5Aにはボデー系ECUが接続される。グローバルバス5Bには制御系ECUが接続される。グローバルバス5Cには情報系ECUが接続される。
The
グローバルバス5A〜5Cは、CGW4を介して相互に接続されている。これらの構成により、ECU2A〜2D,ECU3A〜3H、CGW4及びグローバルバス5A〜5Cは、第一ネットワーク1Aを構成している。ECU2A〜2Dは、ローカルバス6に接続されている。これにより、ECU2A〜2D及びローカルバス6は、第二ネットワーク1Bを構成している。すなわち、ECU2A〜2Dは、第一ネットワーク1Aのノードとして機能するように構成され、かつ、第二ネットワーク1Bのノードとしても機能するように構成されている。このように構成されたECU2A〜2Dが、本開示でいう電子装置に相当する。
The
第一ネットワーク1A及び第二ネットワーク1Bでは、各ネットワークを構成するノードに対してブロードキャスト通信によってデータが伝送される。ただし、第一ネットワーク1Aと第二ネットワーク1Bは、互いに独立したネットワークである。そのため、例えば、第一ネットワーク1Aにおいてデータが伝送された場合でも、そのデータが第二ネットワーク1Bへと伝送されることはない。同様に、第二ネットワーク1Bにおいてデータが伝送された場合でも、そのデータが第一ネットワーク1Aへと伝送されることはない。
In the
CGW4は、グローバルバス5A〜5Cの間に介在して、いずれか一つのグローバルバスから残りのグローバルバスへデータを中継する。また、CGW4は、外部通信路7に接続可能に構成され、外部通信路7とグローバルバス5A〜5Cとの間でデータを中継する。これにより、ECU2A〜2D及びECU3A〜3Hは、第一ネットワーク1A経由で外部機器(例えば、図1中に例示する外部ツール9。)と通信可能となっている。外部ツール9は、自動車ディーラ等において車両の故障診断等を実施する際に使用される装置である。本実施形態においては、後述する処理の中でECU2A〜2D等に対してコマンドを送信する装置として使用される。第二ネットワーク1Bには、外部通信路に接続可能なノードが設けられていない。そのため、第二ネットワーク1Bのノードが第二ネットワーク1B経由で外部機器と通信することはできない。
The CGW 4 intervenes between the
外部通信路7は、無線通信路及び有線通信路のうちの少なくとも一方であればよい。また、外部通信路7は、単一の機器と接続可能な通信路及び複数の機器と接続可能な通信路のうちの少なくとも一方であればよい。複数の機器と接続可能な通信路としては、例えば複数の機器がノードとして含まれる外部ネットワークに接続可能な通信路であればよい。外部通信路7は、全部が専用線で構成されていてもよいし、一部が公衆回線で構成されていてもよい。
The
本実施形態では上記三つのグローバルバス5A〜5Cを例示してあるが、グローバルバスの数は任意である。例えば、グローバルバスの数は、二つ以下又は四つ以上であってもよい。本実施形態では上記十二個のECU2A〜2D及びECU3A〜3Hを例示してあるが、ECU数は任意である。例えば、ECUの数は、十一個以下又は十三個以上であってもよい。本実施形態では上記ECU2A〜2Dがローカルバス6に接続されている例を示したが、ECU3A〜3Hのうちの少なくとも一つがローカルバス6に接続されていてもよい。あるいは、ECU3A〜3Hのうちの少なくとも一つがローカルバス6とは別のローカルバスに接続されていてもよい。
In this embodiment, the above three
[ECUの構成]
次に、ECUの内部構成について説明する。以下の説明では、図2に示すECU2Bを例に挙げる。ただし、本実施形態において、ECU2A,2C,2Dは、ECU2Bと同様に構成される。また、本実施形態において、ECU3A〜3Hは、第二ネットワーク1Bに接続されていない点で、ECU2Bとは相違するが、その他の点はECU2Bと同様に構成される。
[ECU configuration]
Next, the internal configuration of the ECU will be described. In the following description, the
ECU2Bは、図2に示すように、CPU11、RAM12、フラッシュメモリ13、第一通信部16及び第二通信部17等を有する。第一通信部16は、グローバルバス5Aに接続するためのネットワークインターフェースである。第二通信部17は、ローカルバス6に接続するためのネットワークインターフェースである。ECU2A〜2Dの各種機能は、CPU11が非遷移的実体的記録媒体に格納されたプログラムに従って各種処理を実行することにより実現される。この例では、フラッシュメモリ13が、非遷移的実体的記録媒体に該当する。
As shown in FIG. 2, the
CPU11がプログラムに従って各種処理を実行する際には、フラッシュメモリ13に格納されたプログラムをRAM12によって構成されるメインメモリにロードするように構成されていてもよい。この場合、CPU11は、メインメモリに格納されたプログラムに従って各種処理を実行する。CPU11がプログラムに従って各種処理を実行することにより、プログラムに対応する方法が実行され、ECU2A〜2Dが備える各種機能が実現される。ただし、ECU2A〜2Dが備える各種機能を実現する手法はソフトウェアに限るものではなく、機能の一部又は全部を、ディジタル回路やアナログ回路等を組み合わせたハードウェアを用いて実現してもよい。
When the
RAM12及びフラッシュメモリ13には、各種記憶領域が確保される。本実施形態に関連する主要な記憶領域としては、RAM12には受信データバッファ12Aが確保される。フラッシュメモリ13には、共通鍵記憶部13A及びCVN記憶部13Bが確保される。受信データバッファ12Aは、第一ネットワーク1A経由で受信したデータを一時的に蓄積するためのバッファである。
Various storage areas are secured in the
受信データバッファ12Aには受信したデータが順次格納され、格納領域が満杯になった場合には、最も古いデータが格納されている領域に新しいデータが上書きで格納される。受信データバッファ12Aのサイズは、第一ネットワーク1A経由で受信するデータ量が最大となる状況を考慮して、少なくとも一定期間分(例えば20ミリ秒分。)のデータについては確実に蓄積できる程度のサイズが確保される。
The received data is sequentially stored in the
共通鍵記憶部13Aには、後述する処理の中で、受信データに対するメッセージ認証を実行する際に使用する共通鍵が記憶されている。CVN記憶部13Bには、後述する処理の中で、データの送信元が正当な依頼先装置か否かを確認する際に必要となるCVNのリストが記憶されている。CVNは「Calibration Verification Numbers」の略称である。CVNは、ECUに実装されたソフトウェア等に基づいて生成される照合用コードである。
The common
車両に搭載されるECUには、CVNの生成及び出力を行う機能を実装することが法令等によって義務づけられている。車両に搭載される複数のECUがCVNを生成すると、ECUごとに異なるCVNが生成される。本実施形態においては、ECU2A〜2Dにおいて生成、出力されるCVNが、車両生産時に収集、リスト化されて、CVN記憶部13Bに記憶されている。
It is obligatory by laws and regulations to equip the ECU mounted on the vehicle with a function of generating and outputting a CVN. When a plurality of ECUs mounted on a vehicle generate CVNs, different CVNs are generated for each ECU. In the present embodiment, the CVNs generated and output by the
ECUに実装されたソフトウェアが更新された場合、あるいはECUに実装されたソフトウェアが改ざんされた場合には、ECUにおいて生成されるCVNが変化する。したがって、車両生産時にCVN記憶部13Bに記憶されたCVNと、ECUから出力されたCVNとを比較して、その比較結果が一致しなければ、CVNを出力したECUの換装ないしはソフトウェアの改ざん等があったのではないかと疑うことができる。ECUに実装されたソフトウェアが正当に更新される場合には、その更新後のECUから出力されるCVNでCVN記憶部13Bに記憶されているCVNを更新すればよい。
When the software mounted on the ECU is updated or the software mounted on the ECU is tampered with, the CVN generated in the ECU changes. Therefore, the CVN stored in the
[認証処理の概要]
第一ネットワーク1Aのノードは、外部通信路7経由で到来するデータを受信することができる。そのため、例えば外部通信路7に接続された不正な外部機器から悪意のある不正なデータが伝送され得ることも想定して、そのような不正なデータに対して適切な対処をすることが重要となる。また、ECU2A〜2D及びECU3A〜3Hにおいてプログラムの改ざんが行われた場合、あるいは不正なECUへの換装が行われた場合にも、そのような不正なECUから伝送される不正なデータに対し、適切な対処をすることが重要である。
[Overview of authentication process]
The node of the
そこで、本実施形態のネットワークシステム1において、ECU2A〜2D及びECU3A〜3Hは、第一ネットワーク1A経由でデータを受信した際に認証処理を実行し、データの正当性を確認する。本実施形態において、ECU2A〜2D及びECU3A〜3Hは、メッセージ認証によってデータの正当性を確認する。図3に示すように、第一ネットワーク1Aにおいて伝送されるデータD1には、ID、通常データ及び暗号データ等が含まれる。なお、データD1には、これら以外の制御コードやデータ等も含まれるが、本処理には関連しないので説明を省略する。
Therefore, in the network system 1 of the present embodiment, the
IDは、データの種別を示す情報、データの内容を示す情報、送信元のノードを示す情報、送信先のノードを示す情報及び通信時の優先度を示す情報等、様々な情報を含み得る識別子である。送信元のノードからブロードキャスト通信によって第一ネットワーク1Aへと送出されるデータD1は、第一ネットワーク1Aにおける送信元ノード以外のノード全てにおいて受信される。データD1を受信したノードは、データD1中に含まれるIDに基づいて、処理対象とすべきデータか否かを判断することができる。
The ID is an identifier that can include various information such as information indicating the type of data, information indicating the content of data, information indicating the node of the source, information indicating the node of the destination, and information indicating the priority during communication. Is. The data D1 transmitted from the source node to the
通常データは、送信元ノードが送信先ノードへ送信しようとしたデータの実体部分である。暗号データは、第一ネットワーク1Aのノードが共通に使用する共通鍵を使って、所定の暗号化方式により通常データを暗号化したデータである。共通鍵は、上述の共通鍵記憶部13Aに記憶されている。データD1中に含まれる暗号データは、データD1を送信する送信元ノードにおいて、共通鍵を使って通常データを暗号化し、その暗号化済みのデータの一部を抽出したものである。暗号化済みのデータの一部を抽出するのはデータ量を削減するためである。データ量の削減が不要であれば、暗号化済みのデータの全部を暗号データとして利用してもよい。
Normal data is the actual part of the data that the source node attempts to send to the destination node. The encrypted data is data obtained by encrypting normal data by a predetermined encryption method using a common key commonly used by the nodes of the
以上のようなデータD1を受信したノードにおいて、メッセージ認証を実施する際には、データD1中に含まれる通常データを取り出し、取り出した通常データを送信元ノードと同様の手順で暗号化し、その暗号化済みのデータの一部を抽出する。このようにして受信側ノードで生成される暗号データは、送信元ノードと同じ共通鍵を使って生成されるので、通常は、データD1中に含まれる暗号データと一致する。 When performing message authentication on the node that has received the data D1 as described above, the normal data contained in the data D1 is taken out, the taken out normal data is encrypted by the same procedure as the source node, and the encryption is performed. Extract a part of the converted data. Since the encrypted data generated in the receiving node in this way is generated using the same common key as the source node, it usually matches the encrypted data contained in the data D1.
しかし、通常データが伝送途中で改ざんされた場合やデータ化けした場合には、受信側ノードで生成される暗号データとデータD1中に含まれる暗号データとが不一致となる。あるいは、共通鍵を知らない不正なノードがデータを送信した場合には、適正な暗号データを生成できないため、受信側ノードで生成される暗号データとデータD1中に含まれる暗号データとが不一致となる。したがって、受信側ノードでは、受信側ノードで生成される暗号データとデータD1中に含まれる暗号データが一致する場合には、認証が成立したと判断する。一方、受信側ノードで生成される暗号データとデータD1中に含まれる暗号データとが不一致となった場合には、認証に失敗したと判断する。 However, if the normal data is falsified during transmission or if the data is garbled, the encrypted data generated by the receiving node and the encrypted data contained in the data D1 will not match. Alternatively, if an unauthorized node that does not know the common key sends data, proper encrypted data cannot be generated, so the encrypted data generated by the receiving node and the encrypted data contained in the data D1 do not match. Become. Therefore, on the receiving side node, if the cryptographic data generated by the receiving side node and the cryptographic data contained in the data D1 match, it is determined that the authentication has been established. On the other hand, if the encrypted data generated by the receiving node and the encrypted data contained in the data D1 do not match, it is determined that the authentication has failed.
また、本実施形態のネットワークシステム1において、ECU2A〜2Dは、第二ネットワーク1B経由でデータを伝送することができる。ただし、第二ネットワーク1Bは、第一ネットワーク1Aとは異なり、第二ネットワーク1Bの外部とは隔離されたネットワークとなっている。そのため、第一ネットワーク1Aとは異なり、少なくとも第二ネットワーク1Bの外部から不正なデータが伝送されてくることはない。
Further, in the network system 1 of the present embodiment, the
そこで、ECU2A〜2Dは、第二ネットワーク1B経由でデータを受信した際には、第一ネットワーク1Aの場合とは異なり、認証処理を実行しない。そのため、第二ネットワーク1Bにおいて伝送されるデータD2は、図3に示すように、ID及び通常データ等が含まれるものの、暗号データは含まれないデータとされている。
Therefore, when the
[認証代行の仕組み]
上述の認証処理において認証に成功した場合、ECU2A〜2D及びECU3A〜3Hは、当該認証成功以降の処理において上述のデータD1を利用する。具体例を挙げれば、例えば、データD1中から通常データが取り出され、その通常データを変数として用いた演算処理、通常データに基づく制御、通常データに応じて判断が分かれる分岐処理等が実行される。
[Authentication agency mechanism]
When the authentication is successful in the above-mentioned authentication process, the
一方、ECU2A〜2D及びECU3A〜3Hのうち、ECU2A〜2Dは、いずれかが上述の認証処理において認証に失敗した場合に、他のECUに認証の代行を依頼する。これは、データD1が不正なために認証に失敗したのではなく、認証処理を実行するECUの故障等が原因で認証に失敗した可能性もあるからである。認証に失敗したECUは、認証に失敗したことを契機として依頼元装置となる。
On the other hand, among the
ここでは、ECU2Bが認証処理において認証に失敗して依頼元装置となる場合を想定して説明を続ける。依頼元装置となったECU2Bは、ECU2A,2C,2D(すなわち、依頼元装置以外のECU。)の中から依頼先装置を選定する。ここでは、ECU2BがECU2Cを依頼先装置として選定した場合を想定して説明を続ける。依頼元装置となるECU2Bは、依頼先装置として選定されたECU2Cへ第二ネットワーク1B経由でデータを送信することにより、認証処理の代行を依頼する。
Here, the description will be continued on the assumption that the
以下の説明においては、依頼元装置において第一ネットワーク1A経由で受信して、認証処理の対象とされるデータD1のことを認証対象データと称する。また、認証処理の代行を依頼するため、依頼元装置から第二ネットワーク1B経由で依頼先装置へと伝送するデータのことを代行依頼データと称する。本実施形態の場合、代行依頼データであること、及びどのECUが依頼先装置として選定されたのかは、代行依頼データ中のIDによって示される。
In the following description, the data D1 that is received by the requesting device via the
具体的には、代行依頼データであることを示すIDとしては、依頼先装置として選定され得るECU2A〜2Dそれぞれに対応付けられた複数のIDが用意されている。ECU2Cへ認証処理の代行を依頼する際には、ECU2Cに対応するIDを選択し、そのIDを含む代行依頼データをブロードキャスト通信により第二ネットワーク1Bへと送出する。
Specifically, as the ID indicating that the data is the proxy request data, a plurality of IDs associated with each of the
ECU2Cでは、代行依頼データを受信した際、そのデータ中に含まれるIDに基づいてECU2Cが依頼先装置に選定されたことを認識し、それを契機にして依頼先装置としての処理を実行する。なお、ECU2A,2Dにおいても、ECU2Bから送信された代行依頼データを受信する。ただし、そのデータ中に含まれるIDに基づいてECU2A,2Dでの対処が必要なデータではないと判断できるので、その判断以降の処理は実行しない。
When the
依頼先装置となるECU2Cでは、認証対象データに対してメッセージ認証による認証処理を実行する。本実施形態において、ECU2Cは、上述のような受信データバッファ12Aを有し、第一ネットワーク1A経由で受信したデータを一定期間分だけ受信データバッファ12Aに蓄積している。そのため、ECU2Cが代行依頼データを受信した際、ECU2Cは、代行依頼データ中に含まれる情報に基づいて、対象となる認証対象データを受信データバッファ12Aの中から探し出し、認証対象データに対する認証処理を実行する。なお、上述のような受信データバッファ12Aを使う代わりに、ECU2BからECU2Cへ認証対象データが提供されてもよい。
The
依頼先装置であるECU2Cにおいて認証対象データに対する認証に成功した場合、ECU2Cは、認証に成功した認証対象データの内容を含む認証済みデータを第二ネットワーク1B経由でECU2Bに対して送信する。認証済みデータであることは、認証済みデータ中のIDによって示される。依頼元装置であるECU2Bでは、認証済みデータを受信したことにより、依頼先装置での認証に成功したことを認識することができる。そこで、ECU2Bでは、認証済みデータを受信した場合、ECU2Bは認証済みデータに含まれる認証対象データを利用して、所期の処理を実行することができる。
When the authentication target data is successfully authenticated in the request
したがって、このように構成されたネットワークシステム1によれば、ECU2Bにおいて認証対象データの認証に失敗した場合でも、ECU2Cにおいて認証対象データの認証に成功すれば、ECU2Bは認証済みデータに含まれる認証対象データを利用することができる。よって、例えば、ECU2Bにおいて認証処理を実行するために必要となるハードウェア又はソフトウェアに故障等の問題が生じていたとしても、ECU2Bは認証済みの認証対象データを利用することができる。
Therefore, according to the network system 1 configured in this way, even if the authentication of the authentication target data fails in the
[依頼元装置及び依頼先装置において実行される処理の詳細]
次に、上述の依頼元装置及び依頼先装置において実行される処理について、図4〜図15に示すフローチャートに基づいて説明する。ここでは、先に挙げた例と同様に、ECU2Bが依頼元装置となり、ECU2Cが依頼先装置として選定される場合を想定して説明を続ける。まず、図4〜図7に示す処理について説明する。図4〜図7に示す処理は、ECU2Bにおいてグローバルバス5Aからデータを受信する際に実行される処理である。
[Details of processing executed in the requesting device and the requesting device]
Next, the processes executed in the request source device and the request destination device described above will be described with reference to the flowcharts shown in FIGS. 4 to 15. Here, as in the example given above, the description will be continued assuming that the
ECU2Bは、図4に示すように、S102において、グローバルバス5Aからデータを受信する。続いて、ECU2Bは、S104において、グローバルバス5Aから受信したデータが認証対象データか否かを判断する。認証対象データは、ECU2B,2C以外のECUがブロードキャスト通信によって第一ネットワーク1Aへと送信したデータである。ここでは、一例として、ECU3Hが認証対象データを送信したものとして、以降の説明を続ける。ECU3Hが認証対象データを送信した場合、認証対象データは第一ネットワーク1AにおいてECU3H以外のノード全てに届く。認証対象データを受信したノードは、認証対象データ中に含まれるIDに基づいて、処理対象とすべきデータか否か等を判断する。また、本実施形態の場合、少なくともECU2A〜2Dにおいては、認証対象データを受信したら、認証対象データを受信データバッファ12Aに格納する。
As shown in FIG. 4, the
S104において、認証対象データであった場合はYESと判断され、S106へと進む。S106において、ECU2Bは、認証対象データに対応する処理を実行する。S106の詳細を図5に示す。図5に示す処理を開始すると、S122において、ECU2Bは、代行依頼済みフラグがオフか否かを判断する。代行依頼済みフラグは、初期値がオフにされていて、後述する処理の中でECU2Bが他のECUに対して認証の代行を依頼すると、後述するS134においてオンにされるフラグである。ここでは、代行依頼済みフラグが初期値(すなわち、オフ。)になっているものとして説明を続ける。
In S104, if the data is the authentication target data, it is determined as YES, and the process proceeds to S106. In S106, the
代行依頼済みフラグがオフとなっている場合は、S122においてYESと判断され、S124へと進む。S124において、ECU2Bは、メッセージ認証処理を実行する。このメッセージ認証処理の詳細を図6に示す。メッセージ認証処理を開始すると、ECU2Bは、図6に示すように、S142において、処理対象となるデータに含まれる通常データと暗号データを取り出す。ここでいう処理対象となるデータは、S102において受信した認証対象データである。
If the proxy request flag is off, it is determined to be YES in S122, and the process proceeds to S124. In S124, the
続いて、ECU2Bは、S144において、通常データを共通鍵で暗号化し、暗号データを生成する。ここで暗号化されるデータは、S142において処理対象となるデータから取り出された通常データである。続いて、ECU2Bは、S146において、受信した暗号データと生成したデータが一致するか否かを判断する。受信した暗号データと生成したデータが一致する場合は、S146においてYESと判断され、S148へと進む。
Subsequently, the
S148へ進んだ場合は、ECU2Bにおいて認証が成立したことになり、図6に示す処理を終了して、図5のS126へと進む。一方、受信した暗号データと生成したデータが一致しない場合は、S146においてNOと判断され、S150へと進む。S150へ進んだ場合は、ECU2Bにおいて認証に失敗したことになり、図6に示す処理を終了して、図5のS126へと進む。
If the process proceeds to S148, the authentication is established in the
ECU2Bは、S126において、認証が成立したか否かを判断する。上述のS148において認証が成立している場合は、S126においてYESと判断され、S128へと進む。ECU2Bは、S128において、認証対象データに含まれる通常データを取り出して、以降の処理で利用する。ここでいう「以降の処理」としては、ECU2Bの機能に応じた様々な処理を考え得るが、当該処理そのものは本実施形態における要部ではないので、これ以上の説明は省略する。S128の実行後は図5に示す処理を終了する。これにより、図4のS106を終了し、図4に示す処理を終了する。
The
一方、上述のS150において認証に失敗している場合には、S126においてNOと判断され、S130へと進む。ECU2Bは、S130において、認証対象データに含まれるIDを取り出して他の部分は破棄する。続いて、ECU2Bは、S132において、取り出したIDを含む代行依頼データを作成し、一つの依頼先装置に対して認証代行依頼をするためのIDを代行依頼データに設定し、代行依頼データをローカルバス6へ送信する。
On the other hand, if the authentication fails in S150 described above, it is determined as NO in S126, and the process proceeds to S130. In S130, the
本実施形態においては、上述の通り、ECU2Cが依頼先装置として選定される場合を想定している。そのため、S132では、ECU2Cに対して認証代行依頼をするためのIDを代行依頼データに設定する。認証代行依頼をするためのIDとしては、依頼先装置となり得るECUごとに異なる複数のIDがあらかじめ用意されている。詳しくは後述するが、ECU2Bが、S132においてECU2Cに対して認証の代行を依頼した場合、以降、ECU2Bは、ECU2Cから認証済みデータを受け取るようになる。
In the present embodiment, as described above, it is assumed that the
S132を終えたら、続いて、ECU2Bは、S134において、代行依頼済みフラグをオンにする。代行依頼済みフラグは、S132においてECU2BがECU2Cに対して認証の代行を依頼した場合に、S134においてオンとなる。S134の実行後は図5に示す処理を終了する。これにより、図4のS106を終了し、図4に示す処理を終了する。
After finishing S132, the
図4に示す処理は、ECU2Bがグローバルバス5Aからデータを受信するたびに、ECU2Bにおいて実行される。図4に示す処理が複数回にわたって実行される中で、複数回にわたって認証対象データを受信する場合、S134において代行依頼済みフラグがオンにされると、次に図4に示す処理が実行される際にはS122においてNOと判断される。この場合、ECU2Bは、S136において、受信データを破棄する。S136を終えたら図5に示す処理を終了する。これにより、図4のS106を終了し、図4に示す処理を終了する。
The process shown in FIG. 4 is executed in the
S104において、認証対象データではない場合はNOと判断され、S108へと進む。ただし、S108及びS110については、他箇所の説明をした後の方が理解しやすいので、ここでの説明は保留し、後で詳述することにする。S108においてNOと判断された場合は、S112へと進む。S112において、ECU2Bは、他の受信データに対応する処理を実行する。S112において実行される処理としては、ECU2Bの機能に応じた様々な処理を考え得るが、当該処理そのものは本実施形態における要部ではないので、これ以上の説明は省略する。S112の実行後は図4に示す処理を終了する。
In S104, if the data is not the authentication target data, it is determined as NO, and the process proceeds to S108. However, since it is easier to understand S108 and S110 after explaining other parts, the explanation here is withheld and will be described in detail later. If NO is determined in S108, the process proceeds to S112. In S112, the
次に、図8〜図10に示す処理について説明する。図8〜図10に示す処理は、ECU2Cにおいてローカルバス6からデータを受信する際に実行される処理である。ECU2Cは、図8に示すように、S202において、ローカルバス6からデータを受信する。続いて、ECU2Cは、S204において、上記S202で受信したデータがECU2C宛の代行依頼データか否かを判断する。ここで、代行依頼データであること、及びECU2C宛であることは、受信データ中に含まれるIDに基づいて判断することができる。ECU2Bにおいて上述のS132が実行された場合、代行依頼データはブロードキャスト通信によって第二ネットワーク1Bへと送信される。そのため、代行依頼データは第二ネットワーク1BにおいてECU2B以外のノード全てに届く。
Next, the processes shown in FIGS. 8 to 10 will be described. The processes shown in FIGS. 8 to 10 are processes executed when data is received from the local bus 6 in the
ECU2CにおいてECU2C宛の代行依頼データを受信した場合、ECU2Cでは、S204においてYESと判断されて、S206へと進む。S206において、ECU2Cは、代行依頼データに対応する処理を実行する。S206の詳細を図9に示す。図9に示す処理を開始すると、S222において、ECU2Cは、代行継続フラグをオンにする。続いて、ECU2Cは、S224において、処理対象となる認証対象データを受信データバッファ12Aから取得する。上述の通り、ECU2BがS132で代行依頼データを作成する際には、認証対象データから取り出されたIDを含む代行依頼データが作成される。そこで、S224では、ECU2Cは、代行依頼データ中に含まれている「認証対象データから取り出されたID」と一致するIDを持つデータを、受信データバッファ12Aから探し出し、そのデータを処理対象となる認証対象データとして取得する。
When the
続いて、ECU2Cは、S226において、受信データバッファ12Aから探し出された認証対象データに対し、メッセージ認証処理を実行する。このメッセージ認証処理は、図6に示した処理となる。ただし、図6に示した処理については既に詳細を説明したので、重ねての説明は省略する。S226においてメッセージ認証処理を実行する場合、図6のS142における「処理対象となるデータ」は、S224において受信データバッファ12Aから探し出された認証対象データである。
Subsequently, the
続いて、ECU2Cは、S228において、認証が成立したか否かを判断する。S226で認証が成立している場合は、S228においてYESと判断され、S230へと進む。ECU2Cは、S230において、認証対象データに含まれる通常データを取り出して、その通常データを含む認証済みデータを作成し、認証済みデータにCVNを付加して、ローカルバス6へ送信する。認証済みデータであることは、認証済みデータ中に含まれるIDによって示すことができる。
Subsequently, the
認証済みデータに付加されるCVNは、ECU2Cにおいて生成されるCVNである。S230の実行後は図9に示す処理を終了する。これにより、図8のS206を終了し、図8に示す処理を終了する。一方、S226で認証に失敗している場合には、S228においてNOと判断され、S232へと進む。ECU2Cは、S232において、認証失敗を示す失敗通知データをローカルバス6へ送信する。失敗通知データであることは、失敗通知データ中に含まれるIDによって示すことができる。S232の実行後は図9に示す処理を終了する。これにより、図8のS206を終了し、図8に示す処理を終了する。
The CVN added to the authenticated data is a CVN generated in the
ECU2Cにおいて上述のS230が実行された場合、認証済みデータはブロードキャスト通信によって第二ネットワーク1Bへと送信される。そのため、ECU2Cから送信される認証済みデータは、第二ネットワーク1BにおいてECU2C以外のノード全てに届く。ECU2Cにおいて上述のS232が実行された場合、失敗通知データはブロードキャスト通信によって第二ネットワーク1Bへと送信される。そのため、ECU2Cから送信される失敗通知データは、第二ネットワーク1BにおいてECU2C以外のノード全てに届く。
When the above-mentioned S230 is executed in the
上述のS204において代行依頼データではなかった場合は、S204においてNOと判断され、S208へと進む。ただし、S208及びS210については、他箇所の説明をした後の方が理解しやすいので、ここでの説明は保留し、後で詳述することにする。S208においてNOと判断された場合は、S212へと進む。S212において、ECU2Cは、他の受信データに対応する処理を実行する。S212において実行される処理としては、ECU2Cの機能に応じた様々な処理を考え得るが、当該処理そのものは本実施形態における要部ではないので、これ以上の説明は省略する。S212の実行後は図8に示す処理を終了する。
If it is not the proxy request data in S204 described above, it is determined as NO in S204, and the process proceeds to S208. However, since it is easier to understand S208 and S210 after explaining other parts, the explanation here will be withheld and will be described in detail later. If NO is determined in S208, the process proceeds to S212. In S212, the
次に、図11及び図12に示す処理について説明する。図11及び図12に示す処理は、ECU2Cにおいてグローバルバス5Bからデータを受信する際に実行される処理である。ECU2Cは、図11に示すように、S302において、グローバルバス5Bからデータを受信する。続いて、ECU2Cは、S304において、受信データを受信データバッファ12Aに保存する。S304が実行されることにより、既に説明した通り、受信データバッファ12Aには、最新の一定期間を対象にして第一ネットワーク1A経由で受信したデータが蓄積される。
Next, the processes shown in FIGS. 11 and 12 will be described. The processes shown in FIGS. 11 and 12 are processes executed when data is received from the
続いて、ECU2Cは、S306において、受信データが他のECU宛か否かを判断する。受信データが他のECU宛であった場合は、S306においてYESと判断されて、S308へと進む。S308において、ECU2Cは、他のECU宛のデータに対応する処理を実行する。S308の詳細を図12に示す。図12に示す処理を開始すると、ECU2Cは、S322において、代行継続フラグがオンとなっているか否かを判断する。代行継続フラグがオンとなっている場合は、S322においてYESと判断され、ECU2Cは、S324において、処理対象となる認証対象データか否かを判断する。
Subsequently, the
ECU2Bが認証代行の依頼元装置、ECU2Cが認証代行の依頼先装置となる場合、グローバルバス5Bから受信するデータのうち、ECU2B宛かつ認証が必要なデータが、S324でいう処理対象となる認証対象データに該当する。S302においてECU2Cによって受信されたデータがECU2B宛のデータである場合、S306ではYESと判断される。また、先に説明したS222において、代行継続フラグがオンとされた場合、S322ではYESと判断される。そして、S302においてECU2Cによって受信されたデータが、処理対象となる認証対象データである場合、S324ではYESと判断されて、S326へと進む。
When the
ECU2Cは、S326において、S302においてECU2Cによって受信された認証対象データに対し、メッセージ認証処理を実行する。このメッセージ認証処理は、図6に示した処理となる。ただし、図6に示した処理については既に詳細を説明したので、重ねての説明は省略する。S326においてメッセージ認証処理を実行する場合、図6のS142における「処理対象となるデータ」は、S302においてECU2Cによって受信された認証対象データである。続いて、ECU2Cは、S328において、認証が成立したか否かを判断する。
In S326, the
S326で認証が成立している場合は、S328においてYESと判断され、S330へと進む。ECU2Cは、S330において、認証対象データに含まれる通常データを取り出して、その通常データを含む認証済みデータを作成し、認証済みデータにCVNを付加して、ローカルバス6へ送信する。認証済みデータであることは、認証済みデータ中に含まれるIDによって示すことができる。S330は、先に説明したS230と同様の処理ステップである。S330の実行後は図12に示す処理を終了する。これにより、図11のS308を終了し、図11に示す処理を終了する。
If the authentication is established in S326, it is determined as YES in S328, and the process proceeds to S330. In S330, the
一方、図12のS326で認証に失敗している場合には、S328においてNOと判断され、S332へと進む。ECU2Cは、S332において、認証失敗を示す失敗通知データをローカルバス6へ送信する。S332は、先に説明したS232と同様の処理ステップである。S332の実行後は図12に示す処理を終了する。これにより、図11のS308を終了し、図11に示す処理を終了する。
On the other hand, if the authentication fails in S326 of FIG. 12, it is determined as NO in S328, and the process proceeds to S332. In S332, the
図12に示す処理中、上述のS322において代行継続フラグがオンでない場合(すなわち、オフである場合。)は、S322においてNOと判断される。この場合は、他のECUから認証の代行を依頼されていない場合なので、S334において、受信データを破棄する。S334の実行後は図12に示す処理を終了する。これにより、図11のS308を終了し、図11に示す処理を終了する。 During the process shown in FIG. 12, if the surrogate continuation flag is not on (that is, is off) in S322 described above, it is determined to be NO in S322. In this case, since the authentication is not requested by another ECU, the received data is discarded in S334. After the execution of S334, the process shown in FIG. 12 is terminated. As a result, S308 in FIG. 11 is terminated, and the process shown in FIG. 11 is terminated.
また、上述のS324において、処理対象となる認証対象データではなかった場合は、S324においてNOと判断される。この場合は、他のECUから認証の代行を依頼されている場合ではあるものの、処理対象となる認証対象データではないので、S334において、受信データを破棄する。S334の実行後は図12に示す処理を終了する。これにより、図11のS308を終了し、図11に示す処理を終了する。 Further, in the above-mentioned S324, if the data is not the authentication target data to be processed, it is determined as NO in S324. In this case, although the authentication is requested by another ECU, the received data is discarded in S334 because it is not the authentication target data to be processed. After the execution of S334, the process shown in FIG. 12 is terminated. As a result, S308 in FIG. 11 is terminated, and the process shown in FIG. 11 is terminated.
図11のS306において、受信データが他のECU宛ではない場合(すなわち、ECU2C宛のデータである場合。)は、S306においてNOと判断され、その場合、ECU2Cは、S310において、他の受信データに対応する処理を実行する。S310において実行される処理としては、ECU2Cの機能に応じた様々な処理を考え得るが、当該処理そのものは本実施形態における要部ではないので、これ以上の説明は省略する。S310の実行後は図11に示す処理を終了する。
In S306 of FIG. 11, when the received data is not destined for another ECU (that is, the data is destined for
次に、図13〜図15に示す処理について説明する。図13〜図15に示す処理は、ECU2Bにおいてローカルバス6からデータを受信する際に実行される処理である。ECU2Bは、図13に示すように、S402において、ローカルバス6からデータを受信する。続いて、ECU2Bは、S404において、上記S402で受信したデータが認証済みデータか否かを判断する。ここで、認証済みデータであることは、受信データ中に含まれるIDに基づいて判断することができる。ECU2Cにおいて上述のS230又はS330が実行された場合、認証済みデータはブロードキャスト通信によって第二ネットワーク1Bへと送信される。そのため、認証済みデータは第二ネットワーク1BにおいてECU2C以外のノード全てに届く。
Next, the processes shown in FIGS. 13 to 15 will be described. The processes shown in FIGS. 13 to 15 are processes executed when data is received from the local bus 6 in the
上述のS404において認証済みデータであった場合は、S404においてYESと判断され、S406へと進む。S406において、ECU2Bは、認証済みデータに対応する処理を実行する。S406の詳細を図14に示す。図14に示す処理を開始すると、ECU2Bは、S422において、なりすまし確認OKフラグがオフか否かを判断する。なりすまし確認OKフラグは、初期値がオフにされていて、後述するS424,S426においてなりすまし確認が適正に実行されると、後述するS428においてオンにされるフラグである。ここでは、なりすまし確認OKフラグが初期値(すなわち、オフ。)になっているものとして説明を続ける。
If the data is authenticated in S404 described above, it is determined to be YES in S404, and the process proceeds to S406. In S406, the
なりすまし確認OKフラグがオフになっている場合、S422においてYESと判断される。その場合、ECU2Bは、S424及びS426を実行することにより、認証済みデータに対するなりすまし確認を実施する。具体的には、ECU2Bは、S424において、認証済みデータに付加されたCVNを取り出す。そして、S426において、CVNが適正か否かを判断する。S426では、受信した認証済みデータから取り出されたCVNと、CVN記憶部13Bに記憶されたCVNとを比較する。CVN記憶部13Bには、ECU2A〜2Dにおいて生成、出力されたCVNが記憶されているので、S426では、ECU2Cに対応するCVNが比較対象として選択される。
If the spoofing confirmation OK flag is off, it is determined to be YES in S422. In that case, the
この比較の結果、両者が一致すれば、CVNは適正であり、S426においてYESと判断され、S428へと進む。S428へ進んだ場合、なりすまし確認が適正に実行されたことになり、ECU2Bは、なりすまし確認OKフラグをオンにする。そして、ECU2Bは、S430において、認証済みデータに含まれる通常データを取り出して、以降の処理で利用する。ここでいう「以降の処理」としては、ECU2Bの機能に応じた様々な処理を考え得るが、当該処理そのものは本実施形態における要部ではないので、これ以上の説明は省略する。S430の実行後は図14に示す処理を終了する。これにより、図13のS406を終了し、図13に示す処理を終了する。
As a result of this comparison, if both are in agreement, the CVN is appropriate, and it is determined to be YES in S426, and the process proceeds to S428. If the process proceeds to S428, it means that the spoofing confirmation has been properly executed, and the
一方、上述のS426において、比較結果が一致しなければ、受信した認証済みデータから取り出されたCVNが不適正である可能性が高い。この場合、ECU2C以外のノードがECU2Cになりすまして認証済みデータを送信している可能性がある。あるいは、ECU2Cのソフトウェアが改ざんされている可能性や、ECU2Cが換装されている可能性もある。よって、このような状況下では、認証済みデータを受信したとしても、認証済みデータそのものの信頼性が低い。
On the other hand, in S426 described above, if the comparison results do not match, there is a high possibility that the CVN extracted from the received authenticated data is inappropriate. In this case, there is a possibility that a node other than the
そこで、上述のS426における比較結果が一致しなければ、CVNが不適正であり、S426においてNOと判断され、S432へと進む。S432において、ECU2Bは、受信した認証済みデータを破棄して、フェイルセーフデータを以降の処理で利用する。フェイルセーフデータは、ECU2Bが受信する認証対象データや認証済みデータに問題があって使用できない場合に、代替使用されるデータである。
Therefore, if the comparison results in S426 described above do not match, the CVN is inappropriate, it is determined to be NO in S426, and the process proceeds to S432. In S432, the
このようなフェイルセーフデータは、例えばフラッシュメモリ13にあらかじめ記憶されていればよい。あるいは、認証対象データを過去に一定期間以上の長期にわたって受信できていた場合は、その平均値、最大値、あるいは最小値等を経時的に算出し、いつでもフェイルセーフデータとして利用できるように準備しておいてもよい。どのようなかたちでフェイルセーフデータを用意するかは、ECU2Bによる制御対象の挙動なども考慮して最適化されていればよい。S432の実行後は図14に示す処理を終了する。これにより、図13のS406を終了し、図13に示す処理を終了する。
Such fail-safe data may be stored in advance in, for example, the
図13に示す処理は、ECU2Bがローカルバス6からデータを受信するたびに、ECU2Bにおいて実行される。その際、再びS406へと進んだとしても、S424−S428の処理ステップは、一回実行されていれば、以降は、毎回実行しなくても認証済みデータは信頼できるものと考えられる。そこで、なりすまし確認OKフラグがオフではない場合(すなわち、オンである場合。)は、S422においてはNOと判断され、S424−S428を実行することなく、S430へと進む。これにより、S424−S428を実行しない分だけ、ECU2Bにかかる負荷を軽減することができる。
The process shown in FIG. 13 is executed in the
また、上述のS404において、上記S402で受信したデータが認証済みデータではなかった場合は、S404においてNOと判断され、その場合、ECU2Bは、S408において、上記S402で受信したデータが失敗通知データか否かを判断する。ここで、失敗通知データであることは、受信データ中に含まれるIDに基づいて判断することができる。失敗通知データであった場合は、S408においてYESと判断され、S410へと進む。S410において、ECU2Bは、受信した認証済みデータを破棄して、フェイルセーフデータを以降の処理で利用する。S410は、上述のS432と同様の処理である。S410の実行後は図13に示す処理を終了する。
Further, in the above-mentioned S404, if the data received in the above-mentioned S402 is not the authenticated data, it is determined as NO in the S404, and in that case, the
上述のS408において失敗通知データではなかった場合は、S408においてNOと判断され、S412へと進む。ただし、S412及びSS414については、他箇所の説明をした後の方が理解しやすいので、ここでの説明は保留し、後で詳述することにする。S412においてNOと判断された場合は、S416へと進む。S416において、ECU2Bは、他の受信データに対応する処理を実行する。S416において実行される処理としては、ECU2Bの機能に応じた様々な処理を考え得るが、当該処理そのものは本実施形態における要部ではないので、これ以上の説明は省略する。S416の実行後は図13に示す処理を終了する。
If it is not the failure notification data in S408 described above, it is determined as NO in S408, and the process proceeds to S412. However, since it is easier to understand S412 and SS414 after explaining other parts, the explanation here is withheld and will be described in detail later. If NO is determined in S412, the process proceeds to S416. In S416, the
次に、上述した説明の中で、説明を保留した箇所について説明する。既に説明した通り、上述のネットワークシステム1では、ECU2Bが依頼元装置となり、ECU2Cが依頼先装置となって、ECU2CがECU2Bに代わって認証処理を実行する。ただし、自動車ディーラ等において修理等が実施されて、ECU2Bが自ら認証処理を実行できる環境が整った場合には、ECU2B,ECU2Cともに、本来の稼働状態に復帰することが好ましい。
Next, in the above-mentioned explanation, the part where the explanation is withheld will be described. As described above, in the above-mentioned network system 1, the
そこで、本実施形態のネットワークシステム1は、外部ツール9からネットワークシステム1のノードに対してメッセージを送信することにより、ECU2B,ECU2Cを本来の稼働状態に復帰させることができるように構成されている。具体的には、外部ツール9は、ネットワークシステム1のノードに対し、第一ネットワーク1A経由で代行中止要求を送信する。
Therefore, the network system 1 of the present embodiment is configured so that the
このとき、ECU2Bは、既に説明した図4のS102において、グローバルバス5Aから代行中止要求を受信する。この場合、S108においてYESと判断され、S110へと進む。S110において、ECU2Bは、代行中止要求に対応する処理を実行する。S110の詳細を図7に示す。図7に示す処理を開始すると、S162において、ECU2Bは、メッセージ認証処理を実行する。このメッセージ認証処理は、図6に示した処理となる。ただし、図6に示した処理については既に詳細を説明したので、重ねての説明は省略する。S162においてメッセージ認証処理を実行する場合、図6のS142における「処理対象となるデータ」は、外部ツール9から受信した代行中止要求である。
At this time, the
続いて、ECU2Bは、S164において、認証が成立したか否かを判断する。S162で認証が成立している場合は、S164においてYESと判断され、S166へと進む。ECU2Bは、S166において、ECU2Bにおける処理の状態が、「通常処理中」、「フェールセーフ処理中」及び「代行依頼中」のいずれであるのかを判断する。S166において「通常処理中」であった場合、ECU2Bは、S168において、「認証成立通知」及び「代行実行中IDの通知依頼」をローカルバス6へ送信する。
Subsequently, the
「認証成立通知」は、外部ツール9から受信した代行中止要求に対する認証が成立したことを、他のノードに対して通知するためのデータである。「代行実行中IDの通知依頼」は、ECU2Bが他のノードに対して過去に代行を依頼したIDをECU2Bに対して知らせてほしい旨を他のノードに対して依頼するためのデータである。S168を終えたら、図7に示す処理を終了する。これにより、図4のS110を終了し、図4に示す処理を終了する。
The "authentication establishment notification" is data for notifying other nodes that the authentication for the proxy cancellation request received from the external tool 9 has been established. The "request for notification of the proxy execution ID" is data for requesting the other node to notify the
S166において「フェイルセーフ処理中」であった場合、ECU2Bは、S170において、ECU2Bにおける処理の状態を「フェイルセーフ処理中」から「通常処理中」へ変更する。S170を終えたら、図7に示す処理を終了する。これにより、図4のS110を終了し、図4に示す処理を終了する。S166において「代行依頼中」であった場合、ECU2Bは、S172において、「認証成立通知」及び「代行実行中IDの通知依頼」をローカルバス6へ送信する。S172は、S168と同様の処理ステップなので、ここでの説明は省略する。続いて、ECU2Bは、S174において、ECU2Bにおける処理の状態を「代行依頼中」のままにして、図7に示す処理を終了する。これにより、図4のS110を終了し、図4に示す処理を終了する。なお、上述S162で認証に失敗している場合は、S164においてNOと判断される。この場合、ECU2Bは、図7に示す処理を終了する。これにより、図4のS110を終了し、図4に示す処理を終了する。
When "fail-safe processing is in progress" in S166, the
S168又はS172において認証成立通知が送信された場合、ECU2Cは、認証成立通知を図8のS202で受信し、その場合、S208においてYESと判断されて、S210へと進む。S210において、ECU2Cは、認証成立通知に対応する処理を実行する。S210の詳細を図10に示す。図10に示す処理を開始すると、ECU2Cは、S242において、ECU2Cにおける処理の状態が、「通常処理中」及び「代行実行中」のいずれであるのかを判断する。S242において「通常処理中」であった場合、図10に示す処理を終了する。これにより、図8のS210を終了し、図8に示す処理を終了する。
When the authentication establishment notification is transmitted in S168 or S172, the
S242において「代行実行中」であった場合、ECU2Cは、S244において、「代行実行中IDの通知」をローカルバス6へ送信する。代行実行中IDは、ECU2Bから認証代行を依頼されていたIDである。続いて、ECU2Cは、S246において、代行継続フラグをオフにする。そして、ECU2Cは、S248において、ECU2Cにおける処理の状態を「代行実行中」から「通常処理中」へ変更する。S248を終えたら、図10に示す処理を終了する。これにより、図8のS210を終了し、図8に示す処理を終了する。なお、第一実施形態においては、図8に示す処理を終了した時点で、ECU2Cは、認証代行処理を終了し、通常の状態に復帰することになる。
If it is "on behalf of execution" in S242, the
S244において「代行実行中IDの通知」が送信された場合、ECU2Bは、「代行実行中IDの通知」を図13のS402で受信し、その場合、S412でYESと判断されて、S414へと進む。S414において、ECU2Bは、「代行実行中IDの通知」に対応する処理を実行する。S414の詳細を図15に示す。図15に示す処理を開始すると、ECU2Bは、S442において、ECU2Bにおける処理の状態が、「通常処理中」及び「代行依頼中」のいずれであるのかを判断する。
When the "notification of the proxy execution ID" is transmitted in S244, the
S442において「通常処理中」であった場合、ECU2Bは、S444において、グローバルバス5A経由で外部ツール9へECU2Bの状態を通知する。これにより、外部ツール9では、ECU2Bが通常処理中であったことを把握することができる。なお、外部ツール9では、ECU2Bが通常処理中であった旨の表示を行ったり、ECU2Bが通常処理中であった旨のログを記録したりすることができる。S444を終えたら、図15に示す処理を終了する。これにより、図13のS414を終了し、図13に示す処理を終了する。
When "normal processing is in progress" in S442, the
S442において「代行依頼中」であった場合、ECU2Bは、S446において、代行依頼済みフラグをオフにする。続いて、ECU2Bは、S448において、ECU2Bにおける処理の状態を「代行依頼中」から「通常処理中」へ変更する。S448を終えたら、S444へ進み、グローバルバス5A経由で外部ツール9へECU2Bの状態を通知する。これにより、外部ツール9では、ECU2Bが代行依頼中から通常処理中へ変更されたことを把握することができる。なお、外部ツール9では、ECU2Bが代行依頼中から通常処理中へ変更された旨の表示を行ったり、ECU2Bが代行依頼中から通常処理中へ変更された旨のログを記録したりすることができる。S444を終えたら、図15に示す処理を終了する。これにより、図13のS414を終了し、図13に示す処理を終了する。
If it is "on behalf of" in S442, the
[効果]
以上説明した通り、上記ネットワークシステム1によれば、ECU2Bにおいて認証対象データの認証に失敗した場合でも、依頼先装置となるECU2Cにおいて認証対象データの認証に成功すれば、依頼元装置となるECU2Bは認証済みデータに含まれる認証対象データの内容を利用することができる。したがって、例えば、ECU2Bにおいて認証処理を実行するために必要となるハードウェア又はソフトウェアに故障等の問題が生じていたとしても、ECU2BはECU2Cにおいて認証された認証対象データの内容を利用して、所期の処理を実行することができる。
[effect]
As described above, according to the network system 1, even if the authentication of the authentication target data fails in the
また、本実施形態の場合、依頼先装置であるECU2Cは、代行依頼データの受信後は、S222において代行継続フラグをオンにする。これ以降、ECU2Cは、第一ネットワーク1A経由で依頼元装置であるECU2B宛に認証対象データが伝送されるたびに、S306−S330を実行し、認証済みデータをECU2Bへ送信する。したがって、ECU2Bでは、認証対象データを受信するたびにECU2Cに対して代行依頼データを送信しなくても、ECU2Cから認証済みデータを継続的に受信することができる。よって、ECU2Bが認証対象データを受信するたびにECU2Cへ代行依頼データを送信するように構成されている場合に比べ、ECU2Bにかかる負荷を軽減することができる。また、代行依頼データの送信頻度が低下する分だけ、第二ネットワーク1Bにかかる負荷も低減することができる。
Further, in the case of the present embodiment, the
また、本実施形態の場合、ECU2Bは、外部ツールから代行中止要求が送信された際に、依頼状態にある場合には、依頼状態から非依頼状態に復帰する。ECU2Cは、外部ツール9から代行中止要求が送信された際に、代行状態にある場合には、代行状態から非代行状態に復帰する。したがって、認証処理の代行が必要となっていた原因が修理等によって解消された際には、外部ツール9から代行中止要求を送信することにより、ECU2B及びECU2Cを容易に通常の状態に戻すことができる。これにより、ECU2B及びECU2Cには、認証処理の代行に起因する負荷がかからなくなり、ネットワークシステム1にかかる負荷を軽減することができる。
Further, in the case of the present embodiment, when the proxy cancellation request is transmitted from the external tool, the
また、本実施形態の場合、修理が実施された後、外部ツール9による代行中止要求の送信を契機として、ECU2Bにおいて認証処理を実行することにより、ECU2Bでの認証処理が実行できるようになったかどうかを判定することができる。
Further, in the case of the present embodiment, after the repair is carried out, is it possible to execute the authentication process in the
また、本実施形態の場合、ECU2Bは、代行中止要求に対する認証処理の結果を、ECU2Cへ送信する。したがって、ECU2Bでの認証が成立する状態にあるのか否かをECU2Cへ伝達することができる。
Further, in the case of the present embodiment, the
また、本実施形態の場合、ECU2Cは、代行中止要求に対する認証処理の結果をECU2Bから受信した場合に、ECU2Cが代行状態から非代行状態に復帰する。したがって、ECU2CでECU2Bでの認証が成立しているか否かを把握しないまま、ECU2C側だけの判断で代行を中止する場合に比べ、システム全体としての信頼性が向上する。
Further, in the case of the present embodiment, when the
また、本実施形態の場合、ECU2Bは、外部ツール9から代行中止要求が送信された後、依頼状態にあるのか非依頼状態にあるのかを外部ツール9に対して通知する。したがって、外部ツール9において、ECU2Bが依頼状態にあるのか非依頼状態にあるのかを把握することができる。したがって、例えば、外部ツール9においてECU2Bの状態を表示することが可能となり、作業者はECU2Bの状態を容易に知ることができるようになる。
Further, in the case of the present embodiment, the
(2)第二実施形態
次に、第二実施形態について説明する。なお、第二実施形態は、第一実施形態で例示した構成の一部を変更した実施形態に相当する。そこで、以下の説明では、第一実施形態との相違点を中心に詳述し、第一実施形態と同様な部分に関しては、その詳細な説明を省略する。
(2) Second Embodiment Next, the second embodiment will be described. The second embodiment corresponds to an embodiment in which a part of the configuration exemplified in the first embodiment is modified. Therefore, in the following description, the differences from the first embodiment will be mainly described, and the detailed description of the same parts as those of the first embodiment will be omitted.
[依頼元装置及び依頼先装置において実行される処理の詳細]
第二実施形態のECU2Cは、第一実施形態で図10に例示した処理の代わりに、図16に示す処理を実行する。図16に示す処理では、図10に示す処理に対してS243,S247,S252及びS254の各処理ステップが追加されている。図16に示す処理を開始すると、ECU2Cは、S242において、ECU2Cにおける処理の状態が、「通常処理中」及び「代行実行中」のいずれであるのかを判断する。S242において「代行実行中」であった場合、ECU2Cは、S243において、代行中止要求フラグがオンか否かを判断する。代行中止要求フラグがオンであった場合は、S243においてYESと判断され、ECU2Cは、S244において、「代行実行中IDの通知」をローカルバス6へ送信する。代行実行中IDは、ECU2Bから認証代行を依頼されていたIDである。
[Details of processing executed in the requesting device and the requesting device]
The
続いて、ECU2Cは、S246において、代行継続フラグをオフにする。続いて、ECU2Cは、S247において、代行中止要求フラグをオフにする。そして、ECU2Cは、S248において、ECU2Cにおける処理の状態を「代行実行中」から「通常処理中」へ変更する。S248を終えたら、S254へ進み、ECU2Cは、グローバルバス5B経由で外部ツール9へECU2Cの状態を通知する。これにより、外部ツール9では、ECU2Cの状態が代行実行中から通常処理中へ変更されたことを把握することができる。なお、外部ツール9では、ECU2Cの状態が代行実行中から通常処理中へ変更された旨の表示を行ったり、ECU2Cの状態が代行依頼中から通常処理中へ変更された旨のログを記録したりすることができる。S254を終えたら、図16に示す処理を終了する。
Subsequently, the
S243において代行中止要求フラグがオフであった場合はNOと判断され、ECU2Cは、S252において、ECU2Cにおける処理の状態を「代行実行中」のままとする。S252を終えたら、S254へ進み、ECU2Cは、グローバルバス5B経由で外部ツール9へECU2Cの状態を通知する。これにより、外部ツール9では、ECU2Cの状態が代行実行中のままとされたことを把握することができる。S254を終えたら、図16に示す処理を終了する。S242において「通常処理中」であった場合、S254へ進み、ECU2Cは、グローバルバス5B経由で外部ツール9へECU2Cの状態を通知する。これにより、外部ツール9では、ECU2Cの状態が通常処理中であることを把握することができる。S254を終えたら、図16に示す処理を終了する。
If the proxy stop request flag is off in S243, it is determined as NO, and the
第二実施形態のECU2Cは、第一実施形態で図11に例示した処理の代わりに、図17に示す処理を実行する。図17に示す処理では、図11に示す処理に対してS342及びS344の各処理ステップが追加されている。図17に示す処理を開始すると、ECU2Cは、S302からS306までの各処理ステップを実行する。S302からS306までの各処理ステップは、第一実施形態と同様なので、第二実施形態での説明は省略する。S306において受信データが他のECU宛ではない場合(すなわち、ECU2C宛のデータである場合。)は、S306においてNOと判断され、その場合、ECU2Cは、S342において、外部ツール9から送信される代行中止要求か否かを判断する。
The
代行中止要求である場合は、S342においてYESと判断され、その場合、ECU2Cは、S344において、代行中止要求に対応する処理を実行する。S344の詳細を図18に示す。図18に示す処理を開始すると、S352において、ECU2Cは、メッセージ認証処理を実行する。このメッセージ認証処理は、図6に示した処理となる。ただし、図6に示した処理については既に詳細を説明したので、重ねての説明は省略する。S352においてメッセージ認証処理を実行する場合、図6のS142における「処理対象となるデータ」は、外部ツール9から受信した代行中止要求である。
If it is a proxy cancellation request, it is determined to be YES in S342, and in that case, the
続いて、ECU2Cは、S354において、認証が成立したか否かを判断する。S352で認証が成立している場合は、S354においてYESと判断され、S356へと進む。ECU2Cは、S356において、ECU2Cにおける処理の状態が、「通常処理中」及び「代行実行中」のいずれであるのかを判断する。S356において「通常処理中」であった場合、図18に示す処理を終了する。これにより、図17に示すS344を終了し、図17に示す処理を終了する。
Subsequently, the
一方、S356において、ECU2Cにおける処理の状態が「代行実行中」であった場合、ECU2Cは、S358において代行中止要求フラグをオンにして、図18に示す処理を終了する。これにより、図17に示すS344を終了し、図17に示す処理を終了する。なお、S352で認証に失敗している場合は、S354においてNOと判断され、図18に示す処理を終了する。これにより、図17に示すS344を終了し、図17に示す処理を終了する。
On the other hand, in S356, when the state of the process in the
[効果]
以上説明した第二実施形態のネットワークシステム1でも、第一実施形態と同様の作用、効果を奏する。したがって、例えば、ECU2Bにおいて認証処理を実行するために必要となるハードウェア又はソフトウェアに故障等の問題が生じていたとしても、ECU2BはECU2Cにおいて認証された認証対象データの内容を利用して、所期の処理を実行することができる。
[effect]
The network system 1 of the second embodiment described above also has the same operations and effects as those of the first embodiment. Therefore, for example, even if there is a problem such as a failure in the hardware or software required to execute the authentication process in the
また、第一実施形態同様、ECU2Bでは、認証対象データを受信するたびにECU2Cに対して代行依頼データを送信しなくても、ECU2Cから認証済みデータを継続的に受信することができる。
Further, as in the first embodiment, the
また、第一実施形態同様、ECU2Bは、外部ツールから代行中止要求が送信された際に、依頼状態にある場合には、依頼状態から非依頼状態に復帰する。ECU2Cは、外部ツール9から代行中止要求が送信された際に、代行状態にある場合には、代行状態から非代行状態に復帰する。したがって、認証処理の代行が必要となっていた原因が修理等によって解消された際には、外部ツール9から代行中止要求を送信することにより、ECU2B及びECU2Cを容易に通常の状態に戻すことができる。これにより、ECU2B及びECU2Cには、認証処理の代行に起因する負荷がかからなくなり、ネットワークシステム1にかかる負荷を軽減することができる。
Further, as in the first embodiment, when the proxy cancellation request is transmitted from the external tool, the
さらに、第二実施形態の場合、ECU2Cは、外部ツール9から代行中止要求が送信された際に、第一ネットワーク1A経由で代行中止要求を受信し、代行状態から非代行状態に復帰する。したがって、ECU2Cでの認証代行を中止する際に、ECU2Bに頼ることなく非代行状態に復帰することが可能となる。あるいは、ECU2Cでの認証代行を中止する際に、自ら代行中止要求を受信するとともに、ECU2Bから代行中止に関する情報を受け取ることもでき、この場合は、二重の確認をすることにより、システムの信頼性を向上させることができる。これらいずれの構成を採用するかは、システムにかかる負荷の軽減を重視するかシステムの信頼性向上を重視するかに応じて、所望の構成を採用すればよい。
Further, in the case of the second embodiment, when the proxy cancellation request is transmitted from the external tool 9, the
また、第二実施形態の場合、ECU2Cが外部ツール9へECU2Cの状態を通知するので、外部ツール9において、ECU2Cが代行状態にあるのか非代行状態にあるのかを把握することができる。したがって、例えば、外部ツール9においてECU2Cの状態を表示することが可能となり、作業者はECU2Cの状態を容易に知ることができるようになる。
Further, in the case of the second embodiment, since the
(3)他の実施形態
以上、ネットワークシステムについて、例示的な実施形態を挙げて説明したが、上述の実施形態は本開示の一態様として例示されるものにすぎない。すなわち、本開示は、上述の例示的な実施形態に限定されるものではなく、本開示の技術的思想を逸脱しない範囲内において、様々な形態で実施することができる。
(3) Other Embodiments Although the network system has been described above with reference to exemplary embodiments, the above-described embodiments are merely exemplified as one aspect of the present disclosure. That is, the present disclosure is not limited to the above-mentioned exemplary embodiments, and can be implemented in various forms within a range that does not deviate from the technical idea of the present disclosure.
例えば、上記実施形態では、ECU2Bが依頼元装置となり、ECU2Cが依頼先装置となる例を示したが、ECU2A〜2Dはいずれが依頼元装置となってもよい。また、ECU2A〜2Dのうち、依頼元装置以外のECUは、いずれが依頼先装置となってもよい。さらに、ECU3A〜3Hがローカルバス6に接続されていてもよく、その場合は、ECU3A〜3Hが依頼元装置又は依頼先装置となってもよい。
For example, in the above embodiment, the
また、上記実施形態では、メッセージ認証による認証処理を実施する例を示したが、メッセージ認証以外の方式で認証を行ってもよいし、メッセージ認証とメッセージ認証以外の方式とを併用してもよい。例えば、上記実施形態では、通常データと暗号データとを伝送し、受信側において通常データを暗号化して、その暗号化されたデータと暗号データとを比較して認証成立か否かを判断していたが、他の認証手順を採用することもできる。一例を挙げれば、例えば、通常データと暗号データとを伝送し、受信側において暗号データを復号して、その復号されたデータと通常データとを比較して認証成立か否かを判断してもよい。 Further, in the above embodiment, an example of performing authentication processing by message authentication is shown, but authentication may be performed by a method other than message authentication, or message authentication and a method other than message authentication may be used in combination. .. For example, in the above embodiment, the normal data and the encrypted data are transmitted, the normal data is encrypted on the receiving side, and the encrypted data and the encrypted data are compared to determine whether or not the authentication is successful. However, other authentication procedures can be adopted. For example, even if normal data and encrypted data are transmitted, the encrypted data is decrypted on the receiving side, and the decrypted data is compared with the normal data to determine whether or not authentication is successful. good.
また、上記実施形態では、認証済みデータを送信する際にCVNを送信することにより、受信側で認証済みデータの送信元が適正なノードか否かを確認するようにしていたが、認証済みデータの送信元が適正なノードか否かを確認できるような固有値を送信できれば、その固有値がCVNであるか否かは任意である。さらに、上記実施形態で例示した仕組み以外に、認証済みデータの送信元が適正なノードか否かを確認可能な仕組みを別途備えている場合には、上記実施形態で例示した適正なノードか否かを確認する仕組みを省略してもよい。あるいは、認証済みデータの送信元が適正なノードであると十分に信頼できる場合についても、上記実施形態で例示した適正なノードか否かを確認する仕組みを省略してもよい。 Further, in the above embodiment, by transmitting the CVN when transmitting the authenticated data, the receiving side confirms whether or not the source of the authenticated data is an appropriate node. However, the authenticated data is transmitted. If an eigenvalue can be transmitted so that it can be confirmed whether or not the source of the node is an appropriate node, it is arbitrary whether or not the eigenvalue is CVN. Further, if a mechanism for confirming whether or not the source of the authenticated data is an appropriate node is separately provided in addition to the mechanism exemplified in the above embodiment, whether or not the node is an appropriate node exemplified in the above embodiment. You may omit the mechanism to confirm whether or not. Alternatively, even when it is sufficiently reliable that the source of the authenticated data is an appropriate node, the mechanism for confirming whether or not the node is an appropriate node exemplified in the above embodiment may be omitted.
また、上記実施形態では、認証済みデータの送信元が適正なノードか否かを一度確認したら、二回目以降は確認を省略する例を示したが、二回目以降も同様な確認を省略することなく実施してもよい。 Further, in the above embodiment, once it is confirmed whether or not the source of the authenticated data is an appropriate node, the confirmation is omitted from the second time onward, but the same confirmation is omitted from the second time onward. It may be carried out without.
また、上記実施形態では、単一のCGW4によって複数のグローバルバス5A,5B,5Cを相互に接続していたが、複数のグローバルバス5A,5B,5Cを相互に接続可能に構成されていれば、複数のゲートウェイを採用してもよい。例えば、第一のゲートウェイでグローバルバス5Aとグローバルバス5Bとを接続し、第二のゲートウェイでグローバルバス5Bとグローバルバス5Cとを接続することにより、グローバルバス5Aとグローバルバス5Cは、二つのゲートウェイ及びグローバルバス5Bを介して通信可能に構成されていてもよい。
Further, in the above embodiment, a plurality of
以上の他、上記各実施形態における一つの構成要素によって実現していた機能を、複数の構成要素によって実現するように構成してもよい。また、複数の構成要素によって実現していた機能を一つの構成要素によって実現するように構成してもよい。また、上記各実施形態の構成の一部を省略してもよい。また、上記各実施形態の構成の少なくとも一部を、他の上記実施形態の構成に対して付加、置換等してもよい。なお、特許請求の範囲に記載の文言から特定される技術思想に含まれる全ての態様が本開示の実施形態に該当する。 In addition to the above, the function realized by one component in each of the above embodiments may be configured to be realized by a plurality of components. Further, the function realized by a plurality of components may be configured to be realized by one component. Further, a part of the configuration of each of the above embodiments may be omitted. Further, at least a part of the configuration of each of the above embodiments may be added or replaced with respect to the configuration of the other embodiments. In addition, all aspects included in the technical idea specified from the wording described in the claims fall under the embodiment of the present disclosure.
また、上述したネットワークシステムの他、本開示のネットワークシステムを構成可能な電子装置、本開示のネットワークシステムを備えた車両、本開示でいう電子装置としてコンピュータを機能させるためのプログラム、このプログラムを記録した記録媒体など、種々の形態で本開示を実現することもできる。 In addition to the network system described above, an electronic device that can configure the network system of the present disclosure, a vehicle equipped with the network system of the present disclosure, a program for operating a computer as the electronic device of the present disclosure, and this program are recorded. The present disclosure can also be realized in various forms such as a recording medium.
(4)補足
なお、以上説明した例示的な実施形態から明らかなように、本開示のネットワークシステムは、更に以下に挙げるような構成を備えていてもよい。
(4) Supplement As is clear from the exemplary embodiments described above, the network system of the present disclosure may further include the following configurations.
まず、本開示のネットワークシステムにおいて、依頼元装置は、外部機器から送信された代行中止要求データを受信した際に(S110,S108)、代行中止要求データに対する認証処理を実行するように構成されていてもよい(S110,S162)。 First, in the network system of the present disclosure, the requesting device is configured to execute the authentication process for the proxy cancellation request data when the proxy cancellation request data transmitted from the external device is received (S110, S108). It may be (S110, S162).
このように構成されたネットワークシステムによれば、電子装置や通信路に対する修理が実施された後、外部機器による代行中止要求データの送信を契機として、依頼元装置において認証処理を実行することにより、依頼元装置での認証処理が実行できるようになったかどうかを判定することができる。 According to the network system configured in this way, after the electronic device and the communication path are repaired, the requesting device executes the authentication process triggered by the transmission of the proxy stop request data by the external device. It is possible to determine whether or not the authentication process can be executed on the requesting device.
また、本開示のネットワークシステムにおいて、依頼元装置は、代行中止要求データに対する認証処理の結果を、依頼先装置へ送信するように構成されていてもよい(S172)。 Further, in the network system of the present disclosure, the requesting device may be configured to transmit the result of the authentication process for the proxy cancellation request data to the requesting device (S172).
このように構成されたネットワークシステムによれば、依頼元装置での認証が成立する状態にあるのか否かを依頼先装置へ伝達することができる。
また、本開示のネットワークシステムにおいて、依頼先装置は、代行中止要求データに対する認証処理の結果を依頼元装置から受信した場合に(S202,S208)、代行状態から非代行状態に復帰するように構成されていてもよい(S210,S242−S248)。
According to the network system configured in this way, it is possible to transmit to the requesting device whether or not the authentication in the requesting device is established.
Further, in the network system of the present disclosure, the request destination device is configured to return from the proxy state to the non-proxy state when the result of the authentication process for the proxy stop request data is received from the request source device (S202, S208). It may be (S210, S242-S248).
このように構成されたネットワークシステムによれば、依頼元装置での認証が成立する状態にある場合に、依頼先装置が代行状態から非代行状態に復帰する。したがって、依頼先装置で依頼元装置での認証が成立しているか否かを把握しないまま、依頼先装置側だけの判断で代行を中止する場合に比べ、システム全体としての信頼性が向上する。 According to the network system configured in this way, when the request source device is in a state where authentication is established, the request destination device returns from the proxy state to the non-proxy state. Therefore, the reliability of the system as a whole is improved as compared with the case where the agency is stopped only by the judgment of the requesting device side without knowing whether or not the authentication of the requesting device is established in the requesting device.
また、本開示のネットワークシステムにおいて、依頼先装置は、外部機器から代行中止要求データが送信された際に、第一ネットワーク経由で代行中止要求データを受信した場合に(S302,S342)、代行状態から非代行状態に復帰するように構成されていてもよい(S344,S352−S358)。 Further, in the network system of the present disclosure, when the request destination device receives the substitute stop request data via the first network when the substitute stop request data is transmitted from the external device (S302, S342), the request destination device is in the substitute state. It may be configured to return to the non-substitute state from (S344, S352-S358).
このように構成されたネットワークシステムによれば、依頼先装置は、外部機器から代行中止要求データを受信すれば、代行状態から非代行状態に復帰する。したがって、依頼先装置での認証代行を中止する際に、依頼元装置には余計な負荷をかけなくても済む。 According to the network system configured in this way, when the request destination device receives the proxy cancellation request data from the external device, the request destination device returns from the proxy state to the non-proxy state. Therefore, when the authentication agency of the requesting device is stopped, it is not necessary to put an extra load on the requesting device.
また、本開示のネットワークシステムにおいて、依頼元装置は、外部機器から代行中止要求データが送信された後、依頼状態にあるのか非依頼状態にあるのかを外部機器に対して通知するように構成されていてもよい(S444)。 Further, in the network system of the present disclosure, the requesting device is configured to notify the external device whether it is in the requested state or the non-requested state after the proxy cancellation request data is transmitted from the external device. It may be (S444).
このように構成されたネットワークシステムによれば、外部機器において、依頼元装置が依頼状態にあるのか非依頼状態にあるのかを把握することができる。したがって、例えば、外部機器において依頼元装置の状態を表示することが可能となり、作業者は依頼元装置の状態を容易に知ることができるようになる。 According to the network system configured in this way, it is possible to grasp whether the requesting device is in the requested state or the non-requested state in the external device. Therefore, for example, the status of the requesting device can be displayed on the external device, and the operator can easily know the status of the requesting device.
また、本開示のネットワークシステムにおいて、依頼先装置は、外部機器から代行中止要求データが送信された後、代行状態にあるのか非代行状態にあるのかを外部機器に対して通知するように構成されていてもよい(S254)。 Further, in the network system of the present disclosure, the request destination device is configured to notify the external device whether it is in the proxy state or the non-proxy state after the proxy cancellation request data is transmitted from the external device. It may be (S254).
このように構成されたネットワークシステムによれば、外部機器において、依頼先装置が代行状態にあるのか非代行状態にあるのかを把握することができる。したがって、例えば、外部機器において依頼先装置の状態を表示することが可能となり、作業者は依頼先装置の状態を容易に知ることができるようになる。 According to the network system configured in this way, it is possible to grasp whether the requested device is in the proxy state or the non-proxy state in the external device. Therefore, for example, the status of the requested device can be displayed on the external device, and the operator can easily know the status of the requested device.
1…ネットワークシステム、1A…第一ネットワーク、1B…第二ネットワーク、2A,2B,2C,2D,3A,3B,3C,3D,3E,3F,3G,3H…ECU、5A,5B,5C…グローバルバス、6…ローカルバス、7…外部通信路、11…CPU、12…RAM、12A…受信データバッファ、13…フラッシュメモリ、13A…共通鍵記憶部、13B…CVN記憶部、16…第一通信部、17…第二通信部。 1 ... Network system, 1A ... First network, 1B ... Second network, 2A, 2B, 2C, 2D, 3A, 3B, 3C, 3D, 3E, 3F, 3G, 3H ... ECU, 5A, 5B, 5C ... Global Bus, 6 ... local bus, 7 ... external communication path, 11 ... CPU, 12 ... RAM, 12A ... received data buffer, 13 ... flash memory, 13A ... common key storage, 13B ... CVN storage, 16 ... first communication Department, 17 ... Second communication department.
Claims (7)
前記複数の電子装置は、前記第一ネットワーク及び前記第二ネットワークの外部にある外部機器とは、前記第一ネットワーク経由で通信可能に構成され、
前記複数の電子装置のうちの少なくとも一つの電子装置は、依頼元装置(2B)として機能可能に構成され、
前記複数の電子装置のうちの少なくとも一つの電子装置は、依頼先装置(2C)として機能可能に構成され、
前記複数の電子装置のうちの一つの電子装置が前記依頼元装置として機能する際に、前記依頼元装置とは別の少なくとも一つの電子装置が前記依頼先装置として機能可能に構成され、
前記依頼元装置は、認証処理の対象とされる認証対象データが前記第一ネットワーク経由で前記依頼元装置宛に伝送された場合に、前記認証対象データを受信して、前記認証対象データに対する認証処理を実行し(S124,S142−S150)、認証に成功した場合には、当該認証成功以降の処理において前記認証対象データの内容を利用し(S128)、認証に失敗した場合には、前記依頼先装置に対して認証処理の代行を依頼するための代行依頼データを、前記第二ネットワーク経由で前記依頼先装置へと送信して、非依頼状態から依頼状態に移行するように構成され(S130−S134)、
前記依頼先装置は、前記代行依頼データの受信後は、非代行状態から代行状態に移行して(S204−S206,S222)、前記第一ネットワーク経由で前記依頼元装置宛に前記認証対象データが伝送されるたびに、前記認証対象データを受信して(S302,S306,S308,S322,S324)前記認証対象データに対する認証処理を実行し(S326)、認証に成功した場合には、認証に成功した前記認証対象データの内容を含む認証済みデータを前記第二ネットワーク経由で前記依頼元装置に対して送信するように構成され(S328,S330)、
前記依頼元装置は、前記依頼状態へ移行した際には、前記認証済みデータを受信して(S402)、前記認証済みデータに含まれる前記認証対象データの内容を利用するように構成され(S406,S430)、
前記依頼元装置は、前記外部機器から代行中止要求データが送信された際に(S108)、前記依頼状態にある場合には、前記依頼状態から前記非依頼状態に復帰するように構成され(S110,S166,S172,S412,S414,S442,S446,S448)、
前記依頼先装置は、前記外部機器から代行中止要求データが送信された際に(S208)、前記代行状態にある場合には、前記代行状態から前記非代行状態に復帰するように構成されている(S210,S242−S248)
ネットワークシステム。 A plurality of electronic devices (2A, 2B) configured to function as a node of the first network (1A) and also as a node of the second network (1B) constructed independently of the first network. , 2C, 2D), including
The plurality of electronic devices are configured to be communicable with the first network and external devices outside the second network via the first network.
At least one of the plurality of electronic devices is configured to be functional as a requesting device (2B).
At least one of the plurality of electronic devices is configured to be functional as a requested device (2C).
When one of the plurality of electronic devices functions as the requesting device, at least one electronic device different from the requesting device is configured to be able to function as the requesting device.
When the authentication target data to be authenticated is transmitted to the request source device via the first network, the request source device receives the authentication target data and authenticates the authentication target data. The process is executed (S124, S142-S150), and if the authentication is successful, the content of the authentication target data is used in the process after the authentication is successful (S128), and if the authentication fails, the request is made. It is configured to transmit the proxy request data for requesting the destination device to perform the authentication process to the request destination device via the second network, and to shift from the non-request state to the request state (S130). -S134),
After receiving the proxy request data, the request destination device shifts from the non-proxy state to the proxy state (S204-S206, S222), and the authentication target data is sent to the request source device via the first network. Each time the data is transmitted, the authentication target data is received (S302, S306, S308, S322, S324), the authentication process for the authentication target data is executed (S326), and if the authentication is successful, the authentication is successful. It is configured to transmit the authenticated data including the contents of the authentication target data to the requesting device via the second network (S328, S330).
When the request source device shifts to the request state, the request source device is configured to receive the authenticated data (S402) and use the content of the authentication target data included in the authenticated data (S406). , S430),
The requesting device is configured to return from the requested state to the non-requested state when the requesting device is in the requested state when the proxy cancellation request data is transmitted from the external device (S108). , S166, S172, S421, S414, S442, S446, S448),
The request destination device is configured to return from the proxy state to the non-proxy state when the proxy stop request data is transmitted from the external device (S208), if the request destination device is in the proxy state. (S210, S242-S248)
Network system.
前記依頼元装置は、前記外部機器から送信された前記代行中止要求データを受信した際に(S110,S108)、前記代行中止要求データに対する認証処理を実行するように構成されている(S110,S162)
ネットワークシステム。 The network system according to claim 1.
When the requesting device receives the proxy cancellation request data transmitted from the external device (S110, S108), the requesting device is configured to execute an authentication process for the proxy cancellation request data (S110, S162). )
Network system.
前記依頼元装置は、前記代行中止要求データに対する認証処理の結果を、前記依頼先装置へ送信するように構成されている(S172)
ネットワークシステム。 The network system according to claim 2.
The requesting device is configured to transmit the result of the authentication process for the proxy cancellation request data to the requesting device (S172).
Network system.
前記依頼先装置は、前記代行中止要求データに対する認証処理の結果を前記依頼元装置から受信した場合に(S202,S208)、前記代行状態から前記非代行状態に復帰するように構成されている(S210,S242−S248)
ネットワークシステム。 The network system according to claim 3.
The request destination device is configured to return from the proxy state to the non-proxy state when the result of the authentication process for the proxy cancellation request data is received from the request source device (S202, S208) (S202, S208). S210, S242-S248)
Network system.
前記依頼先装置は、前記外部機器から前記代行中止要求データが送信された際に、前記第一ネットワーク経由で前記代行中止要求データを受信した場合に(S302,S342)、前記代行状態から前記非代行状態に復帰するように構成されている(S344,S352−S358)
ネットワークシステム。 The network system according to any one of claims 1 to 4.
When the request destination device receives the substitute stop request data via the first network when the substitute stop request data is transmitted from the external device (S302, S342), the request destination device does not change from the substitute state. It is configured to return to the proxy state (S344, S352-S358).
Network system.
前記依頼元装置は、前記外部機器から前記代行中止要求データが送信された後、前記依頼状態にあるのか前記非依頼状態にあるのかを前記外部機器に対して通知するように構成されている(S444)
ネットワークシステム。 The network system according to any one of claims 1 to 5.
The requesting device is configured to notify the external device whether it is in the requested state or the non-requested state after the proxy cancellation request data is transmitted from the external device ( S444)
Network system.
前記依頼先装置は、前記外部機器から前記代行中止要求データが送信された後、前記代行状態にあるのか前記非代行状態にあるのかを前記外部機器に対して通知するように構成されている(S254)
ネットワークシステム。 The network system according to any one of claims 1 to 6.
The request destination device is configured to notify the external device whether it is in the proxy state or the non-proxy state after the proxy cancellation request data is transmitted from the external device ( S254)
Network system.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018040817A JP6969450B2 (en) | 2018-03-07 | 2018-03-07 | Network system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018040817A JP6969450B2 (en) | 2018-03-07 | 2018-03-07 | Network system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019161259A JP2019161259A (en) | 2019-09-19 |
JP6969450B2 true JP6969450B2 (en) | 2021-11-24 |
Family
ID=67993693
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018040817A Active JP6969450B2 (en) | 2018-03-07 | 2018-03-07 | Network system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6969450B2 (en) |
-
2018
- 2018-03-07 JP JP2018040817A patent/JP6969450B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2019161259A (en) | 2019-09-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111131313B (en) | Safety guarantee method and system for replacing ECU (electronic control Unit) of intelligent networked automobile | |
JP6773617B2 (en) | Update controller, software update system and update control method | |
US8458455B2 (en) | Techniques for handling SSL certificate expiration and renewal | |
CN110708388B (en) | Vehicle body safety anchor node device, method and network system for providing safety service | |
US20180234248A1 (en) | Communication system, vehicle, and monitoring method | |
JP6238939B2 (en) | In-vehicle computer system, vehicle, management method, and computer program | |
JP2010011400A (en) | Cipher communication system of common key system | |
US20180270052A1 (en) | Cryptographic key distribution | |
CN115396121B (en) | Security authentication method for security chip OTA data packet and security chip device | |
JP6260064B2 (en) | Communication network system and vehicle | |
JP2011108167A (en) | Computer system | |
JP5772692B2 (en) | In-vehicle control device authentication system and in-vehicle control device authentication method | |
CN112994898A (en) | Vehicle intranet communication safety authentication method and device | |
JP2004192278A (en) | Communication system and onboard gateway device | |
JP6625293B2 (en) | Key management device and communication equipment | |
JP2016134671A (en) | Data generation device, communication device, communication system, mobile, data generation method and program | |
CN113613250A (en) | Bluetooth vehicle control method, system and computer readable storage medium | |
JP6969450B2 (en) | Network system | |
JP7067508B2 (en) | Network system | |
JP6476462B2 (en) | In-vehicle computer system, vehicle, management method, and computer program | |
JP6950539B2 (en) | Network system | |
JP2023084378A (en) | Authentication system, server, on-vehicle device, authentication method, and authentication program | |
JP6919430B2 (en) | Network system | |
JP2019125838A (en) | Network system | |
JP6954167B2 (en) | Network system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210120 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210909 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210928 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211011 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6969450 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |