JP7003884B2 - 車両用中継装置 - Google Patents
車両用中継装置 Download PDFInfo
- Publication number
- JP7003884B2 JP7003884B2 JP2018172717A JP2018172717A JP7003884B2 JP 7003884 B2 JP7003884 B2 JP 7003884B2 JP 2018172717 A JP2018172717 A JP 2018172717A JP 2018172717 A JP2018172717 A JP 2018172717A JP 7003884 B2 JP7003884 B2 JP 7003884B2
- Authority
- JP
- Japan
- Prior art keywords
- port
- node
- relay device
- communication
- releaser
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
- H04L12/40013—Details regarding a bus controller
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
- B60R16/0231—Circuits relating to the driving or the functioning of the vehicle
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/48—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Mechanical Engineering (AREA)
- Small-Scale Networks (AREA)
Description
本開示は、車両内の通信ネットワークを構成する中継装置に関する。
近年、車両内の通信ネットワークとして、通信速度向上等の観点から、イーサネット(Ethernet)の導入が進んでいる(例えば特許文献1)。なお、イーサネットは登録商標である。
車両内に構築される通信ネットワーク(以降、車載ネットワーク)は、セキュリティ性を確保する必要がある。セキュリティ性を確保するための1つの方法としては、アクセス制御リスト(以降、ACL:Access Control List)等を用いて、中継装置のポート毎に、接続可能なノードを接続許可ノードとして予め登録しておく方法が考えられる。
中継装置の各ポートに接続許可ノードを予め登録しておく構成によれば、接続許可ノードとして登録されていないノード(以降、未登録ノード)は、中継装置に接続できず、当然、中継装置を介して車載ネットワークにも加入できない。なお、ここでの「中継装置に接続できない」とは、物理的に接続できない状態を指すのではなく、仮に物理的に接続されても中継装置を含む他のノードと通信できない状態を意味する。
そのため、中継装置の各ポートに接続許可ノードを予め登録しておく構成によれば、不審なノードが中継装置を介して車載ネットワークに接続する恐れを低減することができる。しかしながら、予め登録された接続許可ノードしか中継装置に接続できない構成では、例えば工場出荷後に、車両の機能の向上等のために、新規のノードを中継装置に追加接続することが困難となる。また、故障等によってノードを取り替える必要が生じた場合も同様に、代替ノードを車載ネットワークに接続することが困難である。
なお、上述のACLは、中継装置において、通過を許可(permit)する通信フレームの条件や、通過を禁止(deny)する通信フレームの条件を列挙したリストに相当する。このようなACLは、車載ネットワークへの接続を許可するノードや、接続を禁止するノードのリストとして機能させることができる。
本開示は、この事情に基づいて成されたものであり、その目的とするところは、車載ネットワークのセキュリティを確保しつつ、車載ネットワークに新規ノードを接続可能に構成されている車両用中継装置を提供することにある。
その目的を達成するための車両用中継装置は、一例として、ノードとしての通信装置とイーサネット規格に準拠した通信を実施するための複数の通信ポート(3、31~36)を備える車両用中継装置であって、通信ポート毎に接続可能なノードである接続許可ノードが予め設定されており、接続許可ノードとして登録されていないノードである未登録ノードとは通信しないように構成されている中継処理部(5)と、所定の解除器が有線接続されるためのポートである解除器用ポート(4)と、解除器用ポートに接続しているデバイスである接続デバイスと通信することにより、接続デバイスが解除器であることを認証する解除器認証部(F1)と、解除器としての接続デバイスから、新規ノードとしての未登録ノードが接続される通信ポートである対象ポートの番号を取得する対象ポート取得部(S34)と、解除器認証部によって解除器用ポートに解除器が接続されていると判定されていることを条件として、対象ポートを介して未登録ノードとも通信を実施するように中継処理部の動作設定を変更する接続条件緩和部(S35)と、対象ポートを介して新規ノードと通信することによって新規ノードの情報を取得し、当該新規ノードを対象ポートの接続許可ノードとして登録するノード追加処理部(S39)と、を備える。
以上の構成によれば、解除器用ポートに解除器が接続されていない場合には、車両用中継装置は、未登録ノードとは通信を実施しない。そのため、車載ネットワークのセキュリティを確保することができる。
また、解除器用ポートに解除器が接続されている場合には、対象ポートに限って、未登録ノードとも通信可能な状態に移行し、対象ポートを介して新規ノードと通信を実施することにより、当該新規ノードを対象ポートの接続許可ノードとして登録する。故に、工場出荷後に、車両の機能の向上等のために、新規のノードを中継装置に追加接続する必要が生じた場合や、故障等によってノードを取り替える必要が生じた場合であっても、柔軟に(換言すれば動的に)、中継装置を介して新規ノードを車載ネットワークに接続させることができる。
なお、特許請求の範囲に記載した括弧内の符号は、一つの態様として後述する実施形態に記載の具体的手段との対応関係を示すものであって、本開示の技術的範囲を限定するものではない。
以下、本開示の実施形態について図を用いて説明する。図1は、本開示に係る車載通信システム100の構成例を示す図である。車載通信システム100は、車両に構築されている通信システムである。本実施形態の車載通信システム100は、車載イーサネットの規格に従って構成されている。以下では、イーサネット通信プロトコルに準拠したデータ通信をイーサネット通信という。また、以降における通信フレームとは、イーサネット通信プロトコルに従った通信フレーム(いわゆるイーサネットフレーム)を指す。
車載通信システム100は、複数のノード1と、少なくとも1つの中継装置2と、を備えている。図1に示す車載通信システム100は一例として、6つのノード1と、2つの中継装置2とを備えている。2つの中継装置2を区別する場合には、中継装置2a、2bと記載する。また、6つのノード1のそれぞれを区別する場合には、ノード1a~1c、1α~1γと記載する。中継装置2が車両用中継装置に相当する。
ノード1a~1cはそれぞれ通信ケーブル9を介して中継装置2aと相互通信可能に接続されている。ノード1α~1γはそれぞれ通信ケーブル9を介して中継装置2bと相互通信可能に接続されている。中継装置2aと中継装置2bもまた通信ケーブル9を介して相互通信可能に接続されている。通信ケーブル9は、たとえば、ツイストペアケーブルである。
なお、車載通信システムを構成するノード1や中継装置2の数は一例であり、適宜変更可能である。また、図1に示す車載通信システム100のネットワークトポロジは一例であってこれに限らない。車載通信システム100のネットワークトポロジは、メッシュ型や、スター型、バス型、リング型などであってもよい。ネットワーク形状も適宜変更可能である。
ノード1は、例えば電子制御装置(以降、ECU:Electronic Control Unit)である。例えばノード1aは自動運転機能を提供するECU(いわゆる自動運転ECU)である。また、ノード1bは、外部サーバと無線通信することによってECUのソフトウェアを更新するためのプログラムを取得し、当該プログラムを用いて、当該プログラムの適用対象となるECUのソフトウェアアップデートを実行するECUである。ノード1cは、スマートエントリ機能を提供するECUである。中継装置2には様々な機能を提供するECUがノード1として接続されうる。
各ノード1は、中継装置2を介して他のノード1とイーサネット通信プロトコルに従ったデータの送受信を実行する。それぞれのノード1は、直接的には、中継装置2とのみ通信を行う。なお、中継装置2に接続されるノード1は、例えば車室外を撮像するカメラや、測距センサなど、ECU以外のものでもよい。ここでのノード1とはイーサネット規格に準拠した通信を実施可能な通信装置を指す。また、中継装置2自身も、別の観点によれば通信ネットワークにおけるノードに相当する。例えば中継装置2aにとって中継装置2bは自装置に接続するノードの1つに該当する。ノード1や中継装置2などにはそれぞれ固有の識別情報(MACアドレス)が付与されている。
中継装置2は、或る通信ケーブル9から入力された通信フレームを、当該通信フレームの宛先に応じた通信ケーブル9に送出する装置である。中継装置2は、車両に搭載されているノード1間を接続する通信ネットワーク(つまり車載ネットワーク)を提供する。中継装置2は図2に示すように、複数のポート3と、解除器用ポート4と、中継処理部5と、マイクロコンピュータ(以降、マイコン6)とを備えている。
ポート3は、イーサネット用の通信ケーブル9と電気的にかつ物理的に接続される構成であって、OSI参照モデルにおける物理層を提供する。中継装置2が備えるポート3の数は、中継装置2が直接的に接続可能なノード1の数に相当する。本実施形態の中継装置2は一例として、最大6つのノード1とイーサネット通信可能なように、6つのポート3を備える。なお、他の構成として、中継装置2が備えるポート3の数は4や8などであっても良い。ポート3が通信ポートに相当する。
中継装置2が備える複数のポート3にはそれぞれ固有のポート番号が設定されている。便宜上、中継装置2が備える複数のポート3をそれぞれ区別する場合には、そのポート3に設定されているポート番号Kを用いて第Kポートと記載する。例えば、第1ポート31はポート番号が1番に設定されているポート3を指し、第2ポート32はポート番号が2番に設定されているポート3を指す。本実施形態の中継装置2は、第1ポート31から第6ポート36までを備える。
なお、ポート3は、通信ケーブル9から入力された信号を、中継処理部5で処理可能なデジタル信号に変換して中継処理部5に出力するとともに、中継処理部5から入力されたデジタル信号を通信ケーブル9へ伝送可能なアナログ信号に変換して出力する。ポート3はアナログ回路などを備えたIC、すなわち、ハードウェア回路である。このようなポート3としては、例えば車載イーサネット用のPHYチップとしてパッケージ化されたものを採用可能である。各ポート3と中継処理部5(具体的にはMAC部)とは、例えばMII(Media Independent Interface)規格で通信するように構成されている。
解除器用ポート4は、別途後述する解除器8が接続されるためのポートである。解除器用ポート4及び解除器8の役務及び作動については別途後述する。解除器用ポート4と解除器8との通信規格は、イーサネットやUSBなど、多様なものを採用可能である。
中継処理部5は、複数のポート3のそれぞれと接続されているとともに、マイコン6とも相互通信可能に接続されている。中継処理部5は、OSI参照モデルにおける第2層(データリンク層)~第3層(いわゆるネットワーク層)の機能を実行できるようにプログラムされている。具体的には、中継処理部5は、MAC部と、スイッチ処理部と、第3層提供部と、を備える。MAC部は、イーサネット通信プロトコルにおける媒体アクセス制御(Medium Access Control)を実施する機能(以降、MAC部)を備える。MAC部は、複数のポート3のそれぞれに対して用意されている。
スイッチ処理部は、MAC部から入力された通信フレームを、当該通信フレームに含まれる宛先MACアドレスとアドレステーブルに基づいて、該通信フレームを送出するべきポート3(厳密にはポート3)を特定する。そして、特定したポート3に対応するMAC部へ当該通信フレームを出力することにより、受信フレームの中継を実施する。アドレステーブルは、各ポート3(具体的には各ポート3)に接続しているノード1のMACアドレスを示すデータである。
各ポート3に接続しているノード1のMACアドレスについてはラーニングブリッジやARP(Address Resolution Protocol)など、多様な方法で学習される。ここではアドレステーブルの生成方法についての詳細な説明は省略する。なお、ポート3毎の接続先のMACアドレスを学習する機能(以降、アドレステーブル更新機能)は、マイコン6が備えていても良い。第3層提供部は、IP(Internet Protocol)アドレスを用いた中継処理を実施する構成である。換言すれば、第3層提供部は、異なるネットワーク間での通信フレームの中継を実施する。なお、OSI参照モデルにおける第3層の機能は、マイコン6が備えていても良い。中継装置2内における機能配置は適宜変更可能である。
当該中継処理部5は、例えばFPGA(field-programmable gate array)を用いて実現されている。なお、中継処理部5は、ASIC(application specific integrated circuit)を用いて実現されていても良い。また、中継処理部5は、MPUや、CPU、GPUを用いて実現されていても良い。なお、上記の機能を備える中継処理部5は、スイッチ(換言すればスイッチングハブ)や、ルータとして作動する構成に相当する。なお、中継処理部5は後述するACLに従って動作する。
マイコン6は、CPU、フラッシュメモリ21、RAMI/O、およびこれらの構成を接続するバスラインなどを備えた汎用的なコンピュータである。ROMには、汎用的なコンピュータを、マイコン6として機能させるためのプログラムが格納されている。CPUが、RAMの一時記憶機能を利用しつつ、フラッシュメモリ21に記憶されたプログラムを実行することで、マイコン6は、OSI参照モデルにおける第4層から第7層までの機能を提供する。
また、マイコン6は、フラッシュメモリ21に保存されているプログラム(以降、中継装置用プログラム)を実行することにより発現される機能ブロックとして、ツール認証部F1、モード変更部F2、及びACL変更部F3を備える。加えて、マイコン6は、ACL記憶部M1を備える。ACL記憶部M1は、当該中継装置2を通過させる通信フレームの条件や、通過させない通信フレームの条件を示すアクセス制御リスト(以降、ACL:Access Control List)を記憶している構成である。ACL記憶部M1は、例えばフラッシュメモリ21が備える記憶領域の一部を用いて実現することができる。ACL記憶部M1は、フラッシュメモリ21とは独立した、不揮発性であって書き換え可能な記憶媒体を用いて実現されていても良い。
ツール認証部F1、モード変更部F2、及びACL変更部F3は、中継装置2に新規ノードを接続するための構成である。中継装置2に新規ノードを接続することは、車載ネットワークに新規ノードを追加することに相当する。ツール認証部F1、モード変更部F2、及びACL変更部F3の作動や、ACLの技術的意義については別途後述する。なお、中継装置用プログラムを記憶する記憶媒体はフラッシュメモリ21に限定されない。中継装置用プログラムは、非遷移的実体的記録媒体(non-transitory tangible storage medium)に記憶されていればよい。
<ACLについて>
以降では、便宜上、適宜中継装置2aを例にとってACLについて説明する。なお、中継装置2aが備える各ポート3は、次のように構成されているものとする。第1ポート31にはノード1aが接続されている。第2ポート32にはノード1bが接続されている。第3ポート33にはノード1cが接続されている。第4ポート34には中継装置2bが接続されている。第5ポート35及び第6ポート36は、ノードが接続されていない(つまり空きポートとなっている)。
以降では、便宜上、適宜中継装置2aを例にとってACLについて説明する。なお、中継装置2aが備える各ポート3は、次のように構成されているものとする。第1ポート31にはノード1aが接続されている。第2ポート32にはノード1bが接続されている。第3ポート33にはノード1cが接続されている。第4ポート34には中継装置2bが接続されている。第5ポート35及び第6ポート36は、ノードが接続されていない(つまり空きポートとなっている)。
中継装置2aを含む各中継装置2には、前述の通り、当該中継装置2を通過させる通信フレームの条件や、通過させない通信フレームの条件を示すACLが設定されている。ACLは、複数のルール(以降、アクセス制御ルール)によって構成されている。ACLが備える個々のアクセス制御ルールは、通過を許可(permit)する通信フレームの条件や、通過を拒否(deny)する通信フレームの条件を示す。アクセス制御ルールを構成する要素としては、送信元のMACアドレスや、宛先MACアドレス、通信フレームのタイプ、プロトコル種別など、多様な要素を採用可能である。複数のアクセス制御ルールはそれぞれ固有の識別番号(以降、ルールID)によって区別される。アクセス制御ルールが通過条件に相当する。
各アクセス制御ルールは、適用対象とするポート3を指定可能に構成されている。各ポート3には、予め定められているノード1のみが接続可能なように、それぞれ異なる組み合わせのアクセス制御ルールが適用されている。換言すれば、本実施形態におけるACLは、中継装置2への接続を許可するノードや、接続を禁止するノードのリストとして機能するように構成及び適用されている。
例えば中継装置2aには、図3に示すように、ルールIDが1~4、及び、97~99のアクセス制御ルールを備えるACLが登録されている。ルールID=1のアクセス制御ルールは、ノード1aを宛先/送信元とする通信フレームを通過させるものであり、ルールID=2のアクセス制御ルールは、ノード1bを宛先/送信元とする通信フレームを通過させるものである。宛先/送信元ノードの識別はMACアドレスによって実施されればよい。
ルールID=3のアクセス制御ルールは、ノード1cを宛先/送信元とする通信フレームを通過させるものであり、ルールID=4のアクセス制御ルールは、中継装置2bを宛先/送信元とする通信フレームを通過させるものである。中継装置2bを宛先/送信元とする通信フレームを通過させるアクセス制御ルールは、ノード1α~1γを宛先/送信元とする通信フレームを通過させるアクセス制御ルールに相当する。
ルールID=97のアクセス制御ルールは、ブロードキャストフレームを通過させるものである。ブロードキャストフレームは、全ノードを宛先とする通信フレームであって、宛先MACアドレスが所定のブロードキャストアドレス(例えば全てのビットが1)に設定されている通信フレームを指す。ルールID=98のアクセス制御ルールは、どんな通信フレームも通過させないものである。どんな通信フレームも通過させないといった主旨のアクセス制御ルールは、一般的に“any deny”や“deny all”とも称される。以降では、当該“any deny”に相当するアクセス制御ルールのことを、全拒否ルールとも記載する。ルールID=99のアクセス制御ルールは、全ての通信フレームを通過させるものである。
各アクセス制御ルールは、前述の通り、当該ルールを適用するポート3を指定可能に構成されている。例えばルールID=1のアクセス制御ルールは、第1ポート31に対して適用されるように設定されている。ルールID=2のアクセス制御ルールは、第2ポート32に対して適用されるように設定されている。ルールID=3のアクセス制御ルールは、第3ポート33に対して適用されるように設定されている。ルールID=4のアクセス制御ルールは、第4ポート34に対して適用されるように設定されている。
ルールID=97のアクセス制御ルールは、第3ポート33に対して適用されるように設定されている。ノード1が接続されている第1ポート31~第4ポート34に適用されるように設定されている。ルールID=98のアクセス制御ルールは、全てのポート3に対して適用されるように設定されている。ルールID=99のアクセス制御ルールは、動的接続モードを実現するためのルールであって、通常の動作時には何れのポート3にも適用されない。
以上の設定により、中継装置2aの各ポートには図4に示すように、種々のアクセス制御ルールが適用される。例えば第1ポート31には、ルールID=1、97、99のアクセス制御ルールが適用される。各ポート3に設定される種々のアクセス制御ルールは、登録順等に応じた優先度が存在する。図4に示す例では左のルールが右のルールよりも優先されることを示している。例えば第1ポート31に対しては、ルールID=1のアクセス制御ルールが最も優先的に適用される。また、ルールID=97のアクセス制御ルールは、ルールID=98のアクセス制御ルールよりも優先的に適用される。優先度が高いルール(換言すれば条件)が適用された場合には、以降のルールはチェックされない。故に、中継処理の対象とする通信フレームがルールID=1のアクセス制御ルールを充足している場合、第1ポート31に関しては、ルールID=97、99のアクセス制御ルールは無視される。
各ポート3には、基本的に、全拒否ルールよりも他のルールが優先されるように種々のアクセス制御ルールが設定されている。例えば、第1ポート31から第4ポート34には、ブロードキャストフレームを通過させるアクセス制御ルール(以降、ブロードキャスト通過ルール)のほうが全拒否ルールよりも優先度は高く設定されている。故に、図4に示す例では、中継装置2はブロードキャストフレームについては、第1ポート31から第4ポート34までの各ポート3を通過させる。
また、図4に示す例では、第5ポート35や第6ポート36には全拒否ルールしか適用されていない。そのため、第5ポート35や第6ポート36には、ブロードキャストフレーム等、どんな通信フレームも通らない。よって仮に第5ポート35に新たにノードを接続した場合であっても、ACLが変更されない限りは、当該第5ポート35に接続されているノードは、中継装置2や他のノード1の何れとも通信することはできない。なお、全拒否ルールは、明文化されずに、暗黙のルールとして全てのポート3に適用されるように構成されていても良い。全拒否ルールは通常、最も優先度が低い(換言すれば最下位の)アクセス制御ルールとして各ポート3に適用される。
上記のACL設定によれば、各ポート3には、所定のノード1しか、接続できない。ここでの「接続できない」とは、物理的に接続できない状態を指すのではなく、中継装置2を含む他のノードと通信できない状態を意味する。例えば中継装置2aの第1ポート31にはノード1aしか他のノードと通信可能な状態で接続できず、第2ポート32にはノード1bしか他のノードと通信可能な状態で接続できない。第3ポート33や第4ポート34もまた、実質的にノード1cや中継装置2bしか接続できない。つまり、本実施形態のACLは、中継装置2への接続を許可するノード(以降、接続許可ノード)をポート3毎に規定するリストとして機能する。
なお、ここでは一例として、1つのACLに99個のアクセス制御ルールを登録可能に構成されている態様を例示しているが、ACLに登録可能なルールの数は適宜変更可能である。図3に示すルールIDの数値もまた一例であり適宜変更可能である。例えば全拒否ルールのIDは1番に設定されていても良い。ルールIDとして100~199までの番号が使用可能に構成されていても良い。
また、中継装置2には複数のACLを設定可能である。図3に示す種々のルールは複数のACLに分けて登録されていてもよい。第1ポート31用のACLや、第2ポート32用のACLなど、複数のポート3のそれぞれに対応するACLが用意されていても良い。複数のACLは、固有の識別番号(ACL-ID)によって識別可能である。各中継装置2が備えるACL記憶部M1は、当該中継装置2に設定されているACLを記憶する構成である。ACL記憶部M1がアクセス制御リスト記憶部に相当する。
<ツール認証部F1、モード変更部F2、及びACL変更部F3について>
次に、ツール認証部F1、モード変更部F2、及びACL変更部F3について説明する。ツール認証部F1は、解除器用ポート4に解除器8が接続されたことを検出する構成である。解除器8は、車載通信システム100(実体的には中継装置2)のネットワークセキュリティを一時的に解除するためのツールである。ここでのセキュリティの解除とは、接続許可ノード以外のノード(以降、未登録ノード)が中継装置2に接続可能な状態にすることを指す。未登録ノードが中継装置2に接続可能な状態とは、未登録ノードが中継装置2やノード1と通信可能な状態を指す。より具体的には、未登録ノードが送信した通信フレームを中継装置2が受信するとともに、中継装置2がその受信した通信フレームの内容に応じた応答処理や転送処理を実行する状態を指す。
次に、ツール認証部F1、モード変更部F2、及びACL変更部F3について説明する。ツール認証部F1は、解除器用ポート4に解除器8が接続されたことを検出する構成である。解除器8は、車載通信システム100(実体的には中継装置2)のネットワークセキュリティを一時的に解除するためのツールである。ここでのセキュリティの解除とは、接続許可ノード以外のノード(以降、未登録ノード)が中継装置2に接続可能な状態にすることを指す。未登録ノードが中継装置2に接続可能な状態とは、未登録ノードが中継装置2やノード1と通信可能な状態を指す。より具体的には、未登録ノードが送信した通信フレームを中継装置2が受信するとともに、中継装置2がその受信した通信フレームの内容に応じた応答処理や転送処理を実行する状態を指す。
解除器8は、例えば対象ECUのソフトウェアの更新や書き換えを行うためのツール(いわゆるリプログラミングツール)や、診断ツール(いわゆるダイアグツール)である。解除器8は、操作者が新規ノードとしての未登録ノードを接続するポート3を指定可能なように、例えばディスプレイとタッチパネルといったHMI(Human Machine Interface)デバイスを備えている。
ツール認証部F1は、解除器用ポート4にデバイスが接続された場合に、当該接続デバイスと通信による認証処理を実行する事により、接続デバイスが所定の解除器8であるか否かを判定する。接続デバイスが解除器8であることを確認するための認証方法は例えばチャレンジ-レスポンス方式など多様な認証方法を採用可能である。ツール認証部F1が解除器認証部に相当する。
モード変更部F2は中継装置2の動作モードを変更する構成である。本実施形態の中継装置2は、動作モードとして、セキュアモードと、動的接続モードと、を備える。セキュアモードは、ACL記憶部M1に保存されているACLに従って中継処理を行うモードである。セキュアモードは、換言すれば、予め登録されているノード1からの通信フレームのみを受信したり中継したりする動作モードである。
故に、セキュアモードで動作している中継装置2の空きポート3に新規ノードが接続されても、ACLによって中継装置2は当該新規ノードからの通信フレームは受信せずに破棄する。故に、新規ノードは、セキュアモードで動作している中継装置2に接続されても、既存のノード1とは通信できない。セキュアモードは、新規ノードが車載ネットワークに加入できない動作モードに相当する。一方、動的接続モードは、新規ノードを車載ネットワークに加入させるための動作モードである。動的接続モードでは、別途後述するように、所定のポート3に対するアクセス制御ルールを部分的に緩和することにより、新規ノードが中継装置2等と通信可能にする。
当該モード変更部F2は、ツール認証部F1によって解除器用ポート4に解除器8が接続していると判定されている場合に、解除器8からの要求に基づいて、中継装置2の動作モードを動的接続モードに設定する。モード変更部F2は、ツール認証部F1によって解除器用ポート4に解除器8が接続していると判定されていない場合には、中継装置2の動作モードをセキュアモードに設定する。
ACL変更部F3は、ACL記憶部M1が保持しているACLを書き換える構成である。ACL変更部F3は、中継装置2が動的接続モードで動作している場合に、解除器8からの要求に基づいて、解除器8から指定されているポート3に対するアクセス制御ルールを変更する。ACLは、中継処理部5の動作態様を規定する要素である。ACLを変更することは、中継処理部5の動作設定を変更することに相当する。
<新規ノードの登録手順について>
次に、図5に示すシーケンス図を用いて、未登録ノードである新規ノード1xが中継装置2を介して車載ネットワークに加入する際の各構成の作動について説明する。便宜上、新規ノード1xを車載ネットワークに加入させるために中継装置2が実行する一連の処理をネットワーク構成変更処理と称する。図5のシーケンス図は、解除器用ポート4に解除器8が物理的に有線接続されてから、新規ノード1xが車載ネットワークに加入して他のノード1と通信可能な状態となるまでの流れの一例を示している。
次に、図5に示すシーケンス図を用いて、未登録ノードである新規ノード1xが中継装置2を介して車載ネットワークに加入する際の各構成の作動について説明する。便宜上、新規ノード1xを車載ネットワークに加入させるために中継装置2が実行する一連の処理をネットワーク構成変更処理と称する。図5のシーケンス図は、解除器用ポート4に解除器8が物理的に有線接続されてから、新規ノード1xが車載ネットワークに加入して他のノード1と通信可能な状態となるまでの流れの一例を示している。
なお、本フロー開始時点においては、中継装置2はセキュアモードで動作している。図5に示すステップS11~S16は解除器8によって実行され、ステップS31~S42は中継装置2(主としてマイコン6)によって実行される。ステップS51~S56は新規ノード1xによって実行される。
まず、解除器8は、作業者による操作に基づいて中継装置2の解除器用ポート4と有線接続されると、中継装置2と接続されたことを検出する(ステップS11)。そして、解除器8は、中継装置2に対して認証処理の実行を要求する信号(以降、認証要求信号)を送信する(ステップS12)。中継装置2は、解除器用ポートに接続されているデバイス(実体的には解除器8)からの認証要求信号を受信すると(ステップS31)、当該接続デバイスと通信を実施し、接続デバイスが解除器8であることの確認(つまり接続デバイスの認証)を実施する(ステップS33)。
例えばツール認証部F1は、接続デバイスに対して乱数を用いてなるコード(いわゆるチャレンジコード)を送信することにより、レスポンスコードを返送させる。レスポンスコードは、接続デバイスに対して当該チャレンジコードに所定の演算処理を実行してなるコードである。そして、ツール認証部F1は、接続デバイスから返送されてきたレスポンスコードと、自身で別途生成した検算用コードとを照らし合わせることで、接続デバイスが解除器8であるか否かの判断を行う。
ツール認証部F1は、接続デバイスが解除器8であると判断した場合には、接続デバイスとしての解除器8に対して、認証が成功したことを示す認証応答信号を送信する(ステップS32)。また、ツール認証部F1が接続デバイスは解除器8であると判断した場合には、モード変更部F2が中継装置2の動作モードをセキュアモードから動的接続モードへと切り替え、解除器8からの指示を待機する(ステップS33)。なお、ツール認証部F1は、接続デバイスの認証が失敗した場合には、接続デバイスに対して認証が失敗したことを示す認証応答信号を送信すればよい。
解除器8は、中継装置2からの認証応答信号を受信すると(ステップS13)、作業者による操作に基づいて、新規ノードを接続するためのポート3の番号(以降、接続ポート番号)を取得する(ステップS14)。例えば解除器8は、中継装置2からの認証応答信号を受信したことをトリガとして、ノード接続用画面を表示する。ノード接続用画面は、例えば作業者がノードを接続するポート3の番号を指定可能に構成されている。
解除器8は、作業者の操作に基づき接続ポート番号を取得すると、当該接続ポート番号を中継装置2に送信する(ステップS15)。中継装置2は、解除器8から送信された接続ポート番号を取得する(ステップS34)。ステップS34を実行する中継装置2の構成(例えばマイコン6)が対象ポート取得部に相当する。そして、ACL変更部F3が、当該接続ポート番号に対応するポート3(以降、対象ポート)に対するアクセス制御ルールを無効化する(ステップS35)。具体的には対象ポートに対して、ルールID=99のアクセス制御ルール、すなわち、全ての通信フレームを通過させるといったルール(以降、全許可ルール)を適用する。
例えば対象ポートとして第5ポート35が指定されている場合には、図6に示すように、第5ポートに対して、全許可ルール(ID=99)を設定する。全許可ルールは全拒否ルール(ID=98)よりも優先されるように設定されていれば良い。また、全拒否ルールは、必ずしも保持される必要はない。図7に示すように対象ポートとしての第5ポートについては、全拒否ルールは解除されても良い。図6及び図7における破線は、図3、図4に対する変更箇所を明示するためのオブジェクトである。ステップS35の処理は、中継装置2に接続するノードの条件を、対象ポートに限って緩和する処理に相当する。故に、以降ではステップS35での処理を接続条件緩和処理とも称する。ステップS35を実行する中継装置2の構成(例えばマイコン6)が接続条件緩和部に相当する。なお、本実施形態の接続条件緩和処理は、対象ポートに接続するノードの条件を無しとする(つまり無条件化する)処理に相当する。
以上の接続条件緩和処理により、中継装置2は、対象ポートを介して新規ノード1xと通信可能な状態となる。以降では適宜、中継装置2の第5ポート35に新規ノード1xを接続する場合を例にとって、各構成の作動を説明する。なお、アクセス制御ルールが無効化された状態とは、どのようなノードからの通信フレームも受信可能な状態に相当する。対象ポート以外のポート3(例えば第6ポート36など)については、通常時のアクセス制御ルールが維持される。
新規ノード1xは、作業者によって対象ポートとしての第5ポート35に接続されると、通信ケーブル9から入力される信号に基づき、中継装置2と接続されたことを検出する(ステップS51)。そして、中継装置2に対して定期的にARPリクエストを送信する(ステップS52~S54)。ARPリクエストは、所定のIPアドレスを有するノードに対してMACアドレスの返送を要求する信号である。宛先とするIPアドレスは、任意のアドレス値が設定されれば良い。ARPリクエストには、送信元である新規ノード1xのMACアドレス等が含まれる。なお、ARPについての詳細な説明はここでは省略する。
なお、ここでは一例としてステップS52、S53でのARPリクエストの送信は、ステップS35以前に実行されたものとし、ステップS54でのARPリクエストの送信は、ステップS35の後に実行されたものとする。ステップS35にて対象ポートのアクセス制御ルールが無効化されるまでは、新規ノード1xが発する通信フレームは全拒否ルール等の、対象ポートに予め設定されているアクセス制御ルールに基づき破棄される。つまり、ステップS52やS53で発せされたARPリクエストは、中継装置2にて受信されない。
一方、ステップS35以降に実施されたステップS54にて発せられたARPリクエストは、中継装置2にて受信される。中継装置2は、新規ノード1xからのARPリクエストを受信すると(ステップS36)、当該ARPリクエストに基づいて、新規のノードについての情報(以降、新規ノード情報)を取得する(ステップS37)。新規ノード情報は、例えば新規ノード1xのMACアドレスである。新規ノード情報は、その他、新規ノード1xのIPアドレス等の情報を含んでいても良い。なお、中継装置2は、新規ノード1xからのARPリクエストを受信すると、ARPリクエストに対する応答フレーム(いわゆるARP応答)を返送する(ステップS38)。
また、中継装置2は、ステップS37で取得した新規ノード情報を用いて、当該新規ノード1xを車載ネットワークに加入させる処理であるネットワーク加入処理を実行する(ステップS39)。具体的にはまずACL変更部F3が、図8に示すように、新規ノード1xを宛先/送信元とする通信フレームを通過させるアクセス制御ルールを、例えばルールID=5としてACLに登録する。そして、当該ルールを対象ポートとしての第5ポート35に適用する。また、第5ポート35に対して、第1ポート31等と同様に、ブロードキャスト通過ルール(ID=97)や、全拒否ルール(ID=98)を適用する。加えて、第5ポート35への全許可ルールの適用は解除する。
以上の処置により、中継装置2が備えるACLは、図9に示すように、第5ポート35は実質的に新規ノード1xのみが接続可能なポート3とするACLへと更新される。その他、中継装置2は、ネットワーク加入処理として、第2層でのスイッチング処理に使用されるアドレステーブルを更新する。すなわち、新規ノード1xのMACアドレスを、第5ポート35に接続するノード1のMACアドレスとして登録する。なお、図8及び図9における破線は、図3、図4に対する変更箇所を明示するためのオブジェクトである。ステップS39を実行する中継装置2の構成(例えばマイコン6)がノード追加処理部に相当する。
また、中継装置2は、ステップS37にて取得した新規ノード情報に基づいて、ARPテーブルを更新する(ステップS40)。具体的には、ARPテーブルに、新規ノードのIPアドレスと、MACアドレス(換言すれば物理アドレス)を対応づけて登録する。ARPテーブルの更新は、ARPによって特定できているIPアドレスとMACアドレスとの対応関係を示すデータ(いわゆるARPキャッシュ)を更新する処理に相当する。
なお、ステップS40の実行タイミングはステップS39よりも前(例えばステップS38の直後)であっても良い。図5に示す各処理の実行順は一例であって、適宜変更可能である。なお、以上の処理によって更新されたARPテーブルやACL、アドレステーブルは、中継処理部5の動作態様を規定するレジスタに速やかに反映される。これにより、中継処理部5は、更新されたACLやアドレステーブル等に基づいて、新規ノード1xを含む種々のノード1からの通信フレームを受信したり中継したりするようになる。
以上の一連の処理が完了するとモード変更部F2は、中継装置2の動作モードを動的接続モードからセキュアモードへと切り戻す(ステップS41)。そして、中継装置2は、解除器8に対して新規ノード1xの登録が完了したことを示す信号(以降、接続完了報告)を出力する(ステップS42)。なお、接続完了報告には、より好ましい態様として、ステップS37で取得したMACアドレス等の新規ノード情報が含まれている。
解除器8は、中継装置2からの接続完了報告を受信すると、新規ノード1xの車載ネットワークへの接続が完了したことを示す接続完了画面をディスプレイに表示する(ステップS16)。本実施形態ではより好ましい態様として、接続完了画面には、接続完了報告に含まれている新規ノード情報が含まれているものとする。このような構成によれば、対象ポートに接続された新規ノード1xの情報が表示されるため、作業者は、予定していたノードが正常に接続されたことを確認することができる。なお、新規ノード1xは、中継装置2でのネットワーク加入処理及びARPテーブルの更新が完了すると、適宜中継装置2を介して他のノード1との通信を開始する(ステップS56)。
<実施形態のまとめ>
上記実施形態では、中継装置2は、基本的にACLを用いて未登録のノードがネットワークに接続することを防ぐように作動する。つまり、中継装置2は、ポート3毎に登録されているノード1とのみ通信を実施するように作動する。一方、中継装置2は、解除器8が解除器用ポート4に接続されていることを条件として、未登録のノードが所定の対象ポートを介して車載ネットワークに接続可能な動作モード(つまり動的接続モード)に移行する。
上記実施形態では、中継装置2は、基本的にACLを用いて未登録のノードがネットワークに接続することを防ぐように作動する。つまり、中継装置2は、ポート3毎に登録されているノード1とのみ通信を実施するように作動する。一方、中継装置2は、解除器8が解除器用ポート4に接続されていることを条件として、未登録のノードが所定の対象ポートを介して車載ネットワークに接続可能な動作モード(つまり動的接続モード)に移行する。
動的接続モードにおいて中継装置2は、解除器8を介して新規ノード1xが接続される対象ポートを特定するとともに、新規ノード1xからの通信フレームを受信可能なように、当該対象ポートに対するアクセス制御ルールを変更する。次に、対象ポートを介して新規ノード1xと通信を実施することによって新規ノード1xの情報を取得し、ACLの内容を、対象ポートを新規ノード1xのみが接続可能なポート3とする内容に変更する。つまり、対象ポートの接続許可ノードとして新規ノード1xを登録する。そして、以上の処理が完了すると、中継装置2は、動的接続モードを終了し、セキュアモードとして動作し始める。
上記構成によれば、車載ネットワークのセキュリティを確保しつつ、車載ネットワークに新規ノードを接続可能となる。また、新規ノードの接続作業として作業者は、中継装置2に新規ノードや解除器8を接続した状態で接続ポート番号の入力をすれば、後は自動的に中継装置2内部のACL等が更新される。故に、作業者の操作数を抑制でき、作業者の負担を減らしたり、作業効率を高めたりすることができる。また、新規ノード1xの車載ネットワークの加入に伴うACLの変更が自動で行われるため、例えば、MACアドレスの入力ミスなどの人為的ミスが発生する恐れを低減することができる。
以上、本開示の実施形態を説明したが、本開示は上述の実施形態に限定されるものではなく、以降で述べる種々の変形例も本開示の技術的範囲に含まれ、さらに、下記以外にも要旨を逸脱しない範囲内で種々変更して実施することができる。例えば下記の種々の変形例は、技術的な矛盾が生じない範囲において適宜組み合わせて実施することができる。なお、前述の実施形態で述べた部材と同一の機能を有する部材については、同一の符号を付し、その説明を省略する。また、構成の一部のみに言及している場合、他の部分については先に説明した実施形態の構成を適用することができる。
[変形例1]
上述した実施形態では、接続条件緩和処理(ステップS35)として、一時的に対象ポートに全許可ルール(ID=99)を適用することにより、新規ノード1xから発せられる通信フレームを中継装置2が受信できるようにする態様を開示したが、これに限らない。接続条件緩和処理は、全許可ルールの代わりに、新規ノード情報を取得するために利用可能な特定の通信フレームのみを通過させるアクセス制御ルールを適用する処理として構成されていてもよい。例えば、接続条件緩和処理は、図10に示すように全許可ルールの代わりにARPリクエストのみを通過させるアクセス制御ルールを対象ポートに適用するものであってもよい。
上述した実施形態では、接続条件緩和処理(ステップS35)として、一時的に対象ポートに全許可ルール(ID=99)を適用することにより、新規ノード1xから発せられる通信フレームを中継装置2が受信できるようにする態様を開示したが、これに限らない。接続条件緩和処理は、全許可ルールの代わりに、新規ノード情報を取得するために利用可能な特定の通信フレームのみを通過させるアクセス制御ルールを適用する処理として構成されていてもよい。例えば、接続条件緩和処理は、図10に示すように全許可ルールの代わりにARPリクエストのみを通過させるアクセス制御ルールを対象ポートに適用するものであってもよい。
また、接続条件緩和処理は、全許可ルールの代わりに、中継装置2に接続可能な新規ノード1xの属性をある程度限定するアクセス制御ルールを適用するものであっても良い。例えば、送信元MACアドレスが特定の範囲内に収まっている通信フレームだけを通過させるアクセス制御ルールを適用するように構成されていても良い。その場合には図11に示すように、送信元MACアドレスが特定の範囲内に収まっている通信フレームだけを通過させるアクセス制御ルールを予め登録しておけばよい。また、接続条件緩和処理は、送信元MACアドレスの上位24ビットが特定の値になっている通信フレームのみを通過させるアクセス制御ルールを対象ポートに適用する処理であっても良い。接続条件緩和処理として対象ポートに一時的に適用するアクセス制御ルールは、特定のベンダーが生成した装置からの通信フレームのみを通すものであっても良い。
[変形例2]
上述した実施形態では中継装置2は、新規ノード1xから送信されたARPリクエストを受信することで新規ノード情報を取得する態様を開示したが、新規ノード情報の取得する利用する通信フレームの種類は、これに限定されない。新規ノード情報を含むものであれば適宜採用可能である。例えば、RARP(Reverse Address Resolution Protocol)リクエストであってもよいし、その他、DHCP(Dynamic Host Configuration Protocol)のDISCOVERフレームや、REQUESTフレームなどであってもよい。
上述した実施形態では中継装置2は、新規ノード1xから送信されたARPリクエストを受信することで新規ノード情報を取得する態様を開示したが、新規ノード情報の取得する利用する通信フレームの種類は、これに限定されない。新規ノード情報を含むものであれば適宜採用可能である。例えば、RARP(Reverse Address Resolution Protocol)リクエストであってもよいし、その他、DHCP(Dynamic Host Configuration Protocol)のDISCOVERフレームや、REQUESTフレームなどであってもよい。
[変形例3]
ACL及びアクセス制御ルールは、中継装置2を通過させる通信パケットの条件や、通過させない通信パケットの条件を示すものであってもよい。例えば、アクセス制御ルールは、宛先/送信元IPアドレスが接続許可ノードに割り当てられているアドレス値となっている通信フレームを通すものであってもよい。本開示は、第2層での通信フレームのフィルタリングと、第3層での通信パケットのフィルタリングのどちらにも(又は両方に)適用可能である。上記の通信フレームは、通信パケットに置き換えて実施することができる。
ACL及びアクセス制御ルールは、中継装置2を通過させる通信パケットの条件や、通過させない通信パケットの条件を示すものであってもよい。例えば、アクセス制御ルールは、宛先/送信元IPアドレスが接続許可ノードに割り当てられているアドレス値となっている通信フレームを通すものであってもよい。本開示は、第2層での通信フレームのフィルタリングと、第3層での通信パケットのフィルタリングのどちらにも(又は両方に)適用可能である。上記の通信フレームは、通信パケットに置き換えて実施することができる。
なお、本開示を第2層における通信フレームのフィルタリングに適用した態様は、中継処理部5が、通信フレームに含まれる送信元MACアドレスを用いて、各ポート3に接続しているノードが接続許可ノードであるか否かを識別する構成に相当する。また、本開示を第3層における通信フレーム(実体的には通信パケット)のフィルタリングに適用した態様は、中継処理部5が、通信フレームに含まれる送信元IPアドレスを用いて、各ポート3に接続しているノードが接続許可ノードであるか否かを識別する構成に相当する。送信元IPアドレス及び送信元MACアドレスは何れも送信元を示すアドレスである。図面に記載の送信元アドレスは、送信元IPアドレスであってもよいし、送信元MACアドレスであってもよい。宛先アドレスも同様に、宛先IPアドレスであってもよいし、宛先MACアドレスであってもよい。
[変形例4]
中継装置2は、ステップS35にて接続条件緩和処理を実行してから所定の待機時間が経過しても、新規ノード1xからARPリクエストが来ない場合は、タイムアウトと判断して対象ポートの接続条件を元に戻すように構成されていても良い。対象ポートの接続条件を元に戻すという表現は、解除器8が接続される前の状態に戻すことを指す。新規ノード1xからARPリクエストが来ない場合には、正しいARPフレームが来ない場合も含まれる。
中継装置2は、ステップS35にて接続条件緩和処理を実行してから所定の待機時間が経過しても、新規ノード1xからARPリクエストが来ない場合は、タイムアウトと判断して対象ポートの接続条件を元に戻すように構成されていても良い。対象ポートの接続条件を元に戻すという表現は、解除器8が接続される前の状態に戻すことを指す。新規ノード1xからARPリクエストが来ない場合には、正しいARPフレームが来ない場合も含まれる。
なお、中継装置2は、タイムアウトに伴って対象ポートの接続条件を元に戻す場合には、解除器8に所定の接続エラー信号を出力することが好ましい。接続エラー信号は、例えば新規ノード1xからの信号を受信できなかったことを示す信号である。解除器8は、接続エラー信号を受信すると、中継装置2が新規ノード1xを発見できなかったことを示すエラー通知画面を表示するように構成されていることが好ましい。
[変形例5]
中継装置2は、ネットワーク加入処理もしくはARPテーブルを更新する処理のいずれかにてエラーが発生した場合には、設定エラーと判断し、解除器8へ設定エラー信号を出力した上で、対象ポートの接続条件を元に戻すように構成されていても良い。接続エラー信号は、中継装置2の動作設定を変更するための処理においてエラーが生じたことを示す信号である。解除器8は、設定エラー信号を受信すると、新規ノード1xを対象ポートの接続許可ノードとして登録する処理が予期しないエラーによって失敗したことを示すエラー通知画面を表示するように構成されていることが好ましい。
中継装置2は、ネットワーク加入処理もしくはARPテーブルを更新する処理のいずれかにてエラーが発生した場合には、設定エラーと判断し、解除器8へ設定エラー信号を出力した上で、対象ポートの接続条件を元に戻すように構成されていても良い。接続エラー信号は、中継装置2の動作設定を変更するための処理においてエラーが生じたことを示す信号である。解除器8は、設定エラー信号を受信すると、新規ノード1xを対象ポートの接続許可ノードとして登録する処理が予期しないエラーによって失敗したことを示すエラー通知画面を表示するように構成されていることが好ましい。
その他、中継装置2は、ネットワーク加入処理もしくはARPテーブルを更新する処理のいずれかにてエラーが発生した場合には、設定エラーと判断し、ネットワーク加入処理とARPテーブル更新のリトライを一定回数繰り返すように構成されていても良い。
<付言>
中継装置2が提供する手段および/または機能は、実体的なメモリ装置に記録されたソフトウェアおよびそれを実行するコンピュータ、ソフトウェアのみ、ハードウェアのみ、あるいはそれらの組合せによって提供することができる。中継装置2が備える機能の一部又は全部はハードウェアとして実現されても良い。或る機能をハードウェアとして実現する態様には、1つ又は複数のICなどを用いて実現する態様が含まれる。中継装置2が備える機能の一部又は全部が、ハードウェアである電子回路によって提供される場合、それは多数の論理回路を含むデジタル回路、またはアナログ回路によって提供することができる。
中継装置2が提供する手段および/または機能は、実体的なメモリ装置に記録されたソフトウェアおよびそれを実行するコンピュータ、ソフトウェアのみ、ハードウェアのみ、あるいはそれらの組合せによって提供することができる。中継装置2が備える機能の一部又は全部はハードウェアとして実現されても良い。或る機能をハードウェアとして実現する態様には、1つ又は複数のICなどを用いて実現する態様が含まれる。中継装置2が備える機能の一部又は全部が、ハードウェアである電子回路によって提供される場合、それは多数の論理回路を含むデジタル回路、またはアナログ回路によって提供することができる。
100 車載通信システム、1・1a~1c・1α~1γ ノード、1x 新規ノード、2 中継装置、3 ポート(通信ポート)、4 解除器用ポート、5 中継処理部、6 マイコン、F1 ツール認証部、F2 モード変更部、F3 ACL更新部、M1 ACL記憶部(アクセス制御リスト記憶部)、S34 対象ポート取得部、S35 接続条件緩和部、S39 ノード追加処理部
Claims (5)
- ノードとしての通信装置とイーサネット規格に準拠した通信を実施するための複数の通信ポート(3、31~36)を備える車両用中継装置であって、
前記通信ポート毎に接続可能なノードである接続許可ノードが予め設定されており、
前記接続許可ノードとして登録されていないノードである未登録ノードとは通信しないように構成されている中継処理部(5)と、
所定の解除器が有線接続されるためのポートである解除器用ポート(4)と、
前記解除器用ポートに接続しているデバイスである接続デバイスと通信することにより、前記接続デバイスが前記解除器であることを認証する解除器認証部(F1)と、
前記解除器としての前記接続デバイスから、新規ノードとしての未登録ノードが接続される前記通信ポートである対象ポートの番号を取得する対象ポート取得部(S34)と、
前記解除器認証部によって前記解除器用ポートに前記解除器が接続されていると判定されていることを条件として、前記対象ポートを介して前記未登録ノードとも通信を実施するように前記中継処理部の動作設定を変更する接続条件緩和部(S35)と、
前記対象ポートを介して前記新規ノードと通信することによって前記新規ノードの情報を取得し、当該新規ノードを前記対象ポートの前記接続許可ノードとして登録するノード追加処理部(S39)と、を備える車両用中継装置。 - 請求項1に記載の車両用中継装置であって、
前記通信ポートを通過させる通信フレームの条件である通過条件を示すアクセス制御リストを記憶するアクセス制御リスト記憶部(M1)を備え、
前記アクセス制御リスト記憶部が記憶している前記アクセス制御リストは、前記通信ポート毎の前記通過条件を備え、
前記通信ポート毎の前記通過条件は、前記通信ポート毎の前記接続許可ノードを表すように構成されており、
前記ノード追加処理部は、前記アクセス制御リストを変更することによって、前記新規ノードを前記対象ポートの前記接続許可ノードとして登録するように構成されている車両用中継装置。 - 請求項1又は2に記載の車両用中継装置であって、
前記解除器認証部によって前記解除器用ポートに前記解除器が接続されていると判定されている場合であっても、前記対象ポート以外の前記通信ポートについては、前記接続許可ノードとして登録されていないノードからの通信フレームは受信しないように構成されている車両用中継装置。 - 請求項1から3の何れか1項に記載の車両用中継装置であって、
前記中継処理部は、通信フレームに含まれる送信元MACアドレスを用いて、前記通信ポートに接続しているノードが前記接続許可ノードであるか否かを識別するように構成されている車両用中継装置。 - 請求項1から4の何れか1項に記載の車両用中継装置であって、
前記中継処理部は、通信フレームに含まれる送信元IPアドレスを用いて、前記通信ポートに接続しているノードが前記接続許可ノードであるか否かを識別するように構成されている車両用中継装置。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018172717A JP7003884B2 (ja) | 2018-09-14 | 2018-09-14 | 車両用中継装置 |
PCT/JP2019/033489 WO2020054396A1 (ja) | 2018-09-14 | 2019-08-27 | 車両用中継装置 |
US17/197,734 US11811553B2 (en) | 2018-09-14 | 2021-03-10 | Vehicle relay device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018172717A JP7003884B2 (ja) | 2018-09-14 | 2018-09-14 | 車両用中継装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020047992A JP2020047992A (ja) | 2020-03-26 |
JP7003884B2 true JP7003884B2 (ja) | 2022-01-21 |
Family
ID=69777548
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018172717A Active JP7003884B2 (ja) | 2018-09-14 | 2018-09-14 | 車両用中継装置 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11811553B2 (ja) |
JP (1) | JP7003884B2 (ja) |
WO (1) | WO2020054396A1 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7355073B2 (ja) * | 2021-05-19 | 2023-10-03 | トヨタ自動車株式会社 | 車両制御装置、車両、車両制御方法及びプログラム |
CN115118740A (zh) * | 2021-12-10 | 2022-09-27 | 长城汽车股份有限公司 | 一种数据通信方法、系统及车辆 |
JP2023132307A (ja) * | 2022-03-10 | 2023-09-22 | トヨタ自動車株式会社 | 通信制御装置、通信制御方法及び通信制御プログラム |
JP2024018015A (ja) * | 2022-07-29 | 2024-02-08 | 株式会社オートネットワーク技術研究所 | 中継装置、監視装置、中継プログラムおよび監視プログラム |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014146997A (ja) | 2013-01-30 | 2014-08-14 | Denso Corp | 車両用ゲートウエイ装置 |
WO2015194323A1 (ja) | 2014-06-16 | 2015-12-23 | 株式会社リコー | ネットワークシステム、通信制御方法および記憶媒体 |
JP2016163244A (ja) | 2015-03-04 | 2016-09-05 | 株式会社デンソー | サービス提供システム、ecu、及び、外部装置 |
WO2017115515A1 (ja) | 2015-12-28 | 2017-07-06 | ソニー株式会社 | 情報処理装置、情報処理方法およびプログラム |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9178715B2 (en) | 2012-10-01 | 2015-11-03 | International Business Machines Corporation | Providing services to virtual overlay network traffic |
JP6069039B2 (ja) * | 2013-03-11 | 2017-01-25 | 日立オートモティブシステムズ株式会社 | ゲートウェイ装置及びサービス提供システム |
US10270778B2 (en) * | 2016-03-21 | 2019-04-23 | Google Llc | Methods and systems for dynamic creation of access control lists |
US10222995B2 (en) * | 2016-04-13 | 2019-03-05 | Samsung Electronics Co., Ltd. | System and method for providing a zero contention parallel data stack |
US10277602B2 (en) * | 2016-05-23 | 2019-04-30 | Bank Of America Corporation | Device blocking tool |
US10182035B2 (en) * | 2016-06-29 | 2019-01-15 | Nicira, Inc. | Implementing logical network security on a hardware switch |
JP6708966B2 (ja) | 2016-09-27 | 2020-06-10 | 住友電気工業株式会社 | 車載通信システム、スイッチ装置および車載通信方法 |
-
2018
- 2018-09-14 JP JP2018172717A patent/JP7003884B2/ja active Active
-
2019
- 2019-08-27 WO PCT/JP2019/033489 patent/WO2020054396A1/ja active Application Filing
-
2021
- 2021-03-10 US US17/197,734 patent/US11811553B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014146997A (ja) | 2013-01-30 | 2014-08-14 | Denso Corp | 車両用ゲートウエイ装置 |
WO2015194323A1 (ja) | 2014-06-16 | 2015-12-23 | 株式会社リコー | ネットワークシステム、通信制御方法および記憶媒体 |
JP2016163244A (ja) | 2015-03-04 | 2016-09-05 | 株式会社デンソー | サービス提供システム、ecu、及び、外部装置 |
WO2017115515A1 (ja) | 2015-12-28 | 2017-07-06 | ソニー株式会社 | 情報処理装置、情報処理方法およびプログラム |
Also Published As
Publication number | Publication date |
---|---|
US20210194726A1 (en) | 2021-06-24 |
US11811553B2 (en) | 2023-11-07 |
WO2020054396A1 (ja) | 2020-03-19 |
JP2020047992A (ja) | 2020-03-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7003884B2 (ja) | 車両用中継装置 | |
CN112805968B (zh) | 车载通信装置、通信控制方法和通信控制程序 | |
JP4903977B2 (ja) | アクセス制御方法 | |
US11196702B2 (en) | In-vehicle communication device, and communication control method | |
US9825950B2 (en) | Method, apparatus, and system for controlling access of user terminal | |
JP2017212726A (ja) | 電子制御ユニット、フレーム生成方法及びプログラム | |
KR102488798B1 (ko) | 서비스 api 호출 방법 및 관련 장치 | |
WO2018230070A1 (ja) | 車載通信システム、スイッチ装置、通信制御方法および通信制御プログラム | |
CN111788796B (zh) | 车载通信系统、交换装置、验证方法和计算机可读存储介质 | |
CN110574344B (zh) | 网络交换机 | |
US10250434B2 (en) | Electronic control apparatus | |
US11102172B2 (en) | Transfer apparatus | |
US10841132B2 (en) | Data diode device with specific packet relay function, and method for specifying same | |
JP6544250B2 (ja) | 中継装置 | |
WO2019187204A1 (ja) | 制御装置、車両内通信システム、通信制御方法及びプログラム | |
CN110401716B (zh) | 边缘节点之间的通信方法及系统 | |
CN104506440B (zh) | 路由器的数据包发送方法和路由表修改方法 | |
JP6601256B2 (ja) | イーサネットスイッチ装置 | |
CN108259420B (zh) | 一种报文处理方法及装置 | |
US20100263024A1 (en) | Methods, apparatus and systems for accessing vehicle operational data using an intelligent network router | |
JP2016163245A (ja) | イーサネットスイッチおよびゲートウェイ装置 | |
JP2020191614A (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP2020072295A (ja) | 車両用中継装置 | |
WO2024095681A1 (ja) | 設定装置及び車載機器 | |
CN113098856B (zh) | 一种透明模式下的虚拟专用网络vpn实现方法及安全设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210318 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211130 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211213 |