JP7016783B2 - 情報処理装置、管理装置 - Google Patents
情報処理装置、管理装置 Download PDFInfo
- Publication number
- JP7016783B2 JP7016783B2 JP2018196082A JP2018196082A JP7016783B2 JP 7016783 B2 JP7016783 B2 JP 7016783B2 JP 2018196082 A JP2018196082 A JP 2018196082A JP 2018196082 A JP2018196082 A JP 2018196082A JP 7016783 B2 JP7016783 B2 JP 7016783B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- synchronization
- information processing
- counter
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40052—High-speed IEEE 1394 serial bus
- H04L12/40097—Interconnection with other networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40052—High-speed IEEE 1394 serial bus
- H04L12/40104—Security; Encryption; Content protection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L7/00—Arrangements for synchronising receiver with transmitter
- H04L7/0054—Detection of the synchronisation error by features other than the received signal transition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、情報処理装置、および管理装置に関する。
自動車の車載ネットワークにおける代表的な標準プロトコルとしてCAN(Controller Area Network)(登録商標)が普及している。このような車載ネットワークでは、たとえばOBD2(On-Board-Diagnostics 2)ポートのような車載ネットワークに直接繋がっているインタフェースに不正な機器を接続し、不正なメッセージを車載ネットワークに送信される危険性がある。CANの通信データには発信元(ソースアドレス)を示すフィールドがなく、なりすましが容易であり、特にリプレイ攻撃に対して脆弱である。リプレイ攻撃とは、通信路上を流れるメッセージを盗聴して事前に取得し、取得したメッセージを再送することで不正な動作を引き起こす攻撃である。
通常、このような脅威に対しては、各情報処理装置間を流れるメッセージに改ざん検知符号としてメッセージ認証コード(MAC:message authentication code)を活用し、再送攻撃対策も考慮したメッセージ認証を実施することが有効とされている。しかしながら、車載システムに再送攻撃対策も考慮したメッセージ認証を適用する場合、たとえば情報処理装置における予期せぬリセットなどの異常が発生してしまうと、送受信関係にある情報処理装置間で共有されている通信用カウンタ値の同期がずれてしまう。その結果、情報処理装置は受信するメッセージを正しく検証できなくなる問題がある。
特許文献1には、相互に接続された複数のノードを備え、各ノードはカウンタのカウント値を用いてメッセージ認証コードを生成し、該メッセージ認証コードを用いて、前記ノード間で送受信されるメッセージを検証する通信システムであって、前記ノードの一つを管理ノード、前記メッセージの送受信を行う前記ノードを通常ノードとし、前記カウンタのカウント値を2分割した上位側を上位カウント値、下位側を下位カウント値として、前記管理ノードは、前記上位カウント値を保持する上位カウント値保持部と、予め設定された上位更新条件に従って前記上位カウント値を更新する上位カウント値更新部と、前記上位カウント値保持部が保持する前記上位カウント値を、予め設定された配信条件に従って前記通常ノードに配信する上位カウント値配信部と、を備え、前記通常ノードは、前記カウント値を保持するカウント値保持部と、予め設定された下位更新条件に従って前記カウント値保持部が保持する前記下位カウント値を更新する下位更新部と、前記管理ノードから配信される前記上位カウント値を用いて、前記カウント値保持部が保持する前記上位カウント値を更新する上位更新部と、前記上位更新部によって前記上位カウント値が更新されると、前記下位カウント値を初期化する下位初期化部と、を備える通信システムが開示されている。
特許文献1に記載されている発明では、特定の装置のみを同期の対象とできない。
本発明の第1の態様による情報処理装置は、種別を示す通信IDが付されたメッセージを送受信する情報処理装置であって、通信の最新性を検証するための通信用カウンタを前記通信IDごとに記憶する記憶部と、前記通信用カウンタを所定の条件に基づき更新する最新性情報管理部と、発生した異常の影響範囲を特定する異常監視部と、前記通信用カウンタの同期を依頼するメッセージであることを示す前記通信ID、および前記異常監視部が特定した影響範囲を示す同期対象識別子を含む同期依頼メッセージを生成するメッセージ生成部とを備える。
本発明の第2の態様による管理装置は、上述した情報処理装置が接続される通信セグメント同士の通信を中継する管理装置であって、複数の前記情報処理装置は、2以上のセグメントに分かれて配置され、前記2以上のセグメントのそれぞれと通信する通信部と、前記同期依頼メッセージを受信すると、前記同期依頼メッセージに基づき前記通信用カウンタを同期すべき前記情報処理装置が属する前記セグメントにのみ前記同期依頼メッセージを転送する転送部とを備える。
本発明の第2の態様による管理装置は、上述した情報処理装置が接続される通信セグメント同士の通信を中継する管理装置であって、複数の前記情報処理装置は、2以上のセグメントに分かれて配置され、前記2以上のセグメントのそれぞれと通信する通信部と、前記同期依頼メッセージを受信すると、前記同期依頼メッセージに基づき前記通信用カウンタを同期すべき前記情報処理装置が属する前記セグメントにのみ前記同期依頼メッセージを転送する転送部とを備える。
本発明によれば、特定の装置のみを同期の対象とできる。
―第1の実施の形態―
以下、図1~図10を参照して、情報処理装置の第1の実施の形態を説明する。
以下、図1~図10を参照して、情報処理装置の第1の実施の形態を説明する。
(構成)
図1は、第1の実施の形態における情報処理装置1の構成を示す図である。第1情報処理装置1Aは、第2情報処理装置1Bおよび第3情報処理装置1Cと通信バス2を介して互いに接続されている。ただし第1情報処理装置1A、第2情報処理装置1B、および第3情報処理装置1Cの構成は同一である。以下では第1情報処理装置1A、第2情報処理装置1B、および第3情報処理装置1Cを特に区別しない場合は「情報処理装置1」と呼ぶ。また図1では3つの情報処理装置1を図示しているが、4以上の情報処理装置1が接続されてもよい。
図1は、第1の実施の形態における情報処理装置1の構成を示す図である。第1情報処理装置1Aは、第2情報処理装置1Bおよび第3情報処理装置1Cと通信バス2を介して互いに接続されている。ただし第1情報処理装置1A、第2情報処理装置1B、および第3情報処理装置1Cの構成は同一である。以下では第1情報処理装置1A、第2情報処理装置1B、および第3情報処理装置1Cを特に区別しない場合は「情報処理装置1」と呼ぶ。また図1では3つの情報処理装置1を図示しているが、4以上の情報処理装置1が接続されてもよい。
通信バス2は、たとえばCANに対応する。通信バス2を流れるメッセージは、そのメッセージの種別を示す通信IDが付与されている。メッセージとはたとえばCANのフレームであり、通信IDはたとえばCAN-IDである。すなわちメッセージは、フレーム、データグラム、パケットなどと同じ意味である。
情報処理装置1は、通信部10と、異常監視部11、異常検知部11A、同期範囲特定部12、最新性情報管理部13、最新性情報算出部14、メッセージ生成部15、同期処理実行判定部16、最新性情報検証部17、メッセージ検証部18、同期処理制御部19、記憶部19A、およびRAM19Bを備える。通信部10は、通信バス2を介して、他の情報処理装置1からのメッセージの受信、および他の情報処理装置1に対してメッセージの送信を行う。
同期回復処理関連情報記憶部19Aには、同期回復処理に関する情報である影響範囲情報191、最新性関連情報192、および通信関係情報193が格納される。影響範囲情報191とは、検知された異常とその異常が影響を及ぼす範囲を示す情報である。最新性関連情報192とは、後述する同期回復処理時に更新される同期用カウンタと、通信が行われるたびに更新される通信用カウンタのそれぞれが、通信IDごとに記録されたものである。通信関係情報193とは、通信IDごとにその通信を受信する装置を示す情報である。
影響範囲情報191および通信関係情報193は、通信バス2に接続されたすべての情報処理装置1で共通した内容でもよいし、それぞれの情報処理装置1に必須の情報のみが含まれてもよい。本実施の形態で説明する範囲では、影響範囲情報191および通信関係情報193に格納される情報は固定、すなわち更新されない。最新性関連情報192は、情報処理装置1ごとに独立して値が更新される。詳述すると、同期用カウンタの値および通信用カウンタの値は、情報処理装置1ごとに更新される。なお処理が正常に行われていれば全ての情報処理装置1で同一の値となる。
RAM19Bには、記憶領域である複数の通信IDスロットおよび複数の装置IDスロットが確保され、それぞれに通信IDおよび装置IDが格納される。RAM19Bに格納される情報は通信バス2に接続される全ての情報処理装置1で同一である。そのためスロットを少量のみ用意し、それぞれのスロットにスロットの識別情報よりも長い情報を格納することで、通信バス2を流れる通信データの総量を削減できる。RAM19Bに格納される情報の例は後述する。ただしRAM19Bに格納される情報は不図示のCPUのキャッシュメモリや記憶部19Aに格納されてもよい。
異常監視部11は、影響範囲情報191に基づいて異常を検知する。異常検知部11Aは、異常を検出して後述する異常コード1911を作成する。同期範囲特定部12は、影響範囲情報191を用いて同期範囲を特定する。最新性情報管理部13は、最新性関連情報192を管理する。最新性情報算出部14は、同期範囲特定部12によって指定された範囲で新たな最新性情報を算出する。メッセージ生成部15は、通信部10を介して他の情報処理装置に送信する、制御データを含むメッセージや同期依頼を含むメッセージを生成する。以下では、同期依頼を含むメッセージを「同期依頼メッセージ」と呼ぶ。同期依頼メッセージの具体例は後述する。また本実施の形態では、同期依頼メッセージ以外のメッセージを「通常メッセージ」と呼ぶ。
同期処理実行判定部16は、受信した同期依頼メッセージが自身に関連するかどうかを判定する。最新性情報検証部17は、受信したメッセージの最新性を検証する。メッセージ検証部18は、通信メッセージの完全性を検証する。同期処理制御部19は、各種検証結果が正しい場合において、最新性情報管理部13を用いて所定のルールに従って設定される最新性関連情報192の値を新たな最新性情報として登録する。最新性関連情報192に含まれる通信用カウンタは起動時に不揮発性メモリから揮発性メモリに読み出され、停止時に不揮発性メモリに格納されてもよい。
通信部10はたとえばCANに対応する通信モジュールなど、通信を行うハードウエアを含んで構成される。記憶部19Aは、不揮発性の記憶装置、たとえばフラッシュメモリである。
異常監視部11、異常検知部11A、同期範囲特定部12、最新性情報管理部13、最新性情報算出部14、メッセージ生成部15、同期処理実行判定部16、最新性情報検証部17、メッセージ検証部18、および同期処理制御部19は、情報処理装置1に備えられる不図示の中央演算装置であるCPUがプログラムを実行することで実現される。各プログラムは、あらかじめ、情報処理装置1内に不図示のメモリ、またはROM(Read Only Memory)等に格納されていてもよいし、入出力インタフェースを情報処理装置1に具備しておき、必要なときに、入出力インタフェースと情報処理装置1が利用可能な媒体を介して、他の装置から不揮発性メモリ、またはROMに導入されてもよい。ここで媒体とは、たとえば入出力インタフェースに着脱可能な記憶媒体、または通信媒体(すなわち有線、無線、光などのネットワーク、または当該ネットワークを伝搬する搬送波やディジタル信号)を指す。
ただし異常監視部11、異常検知部11A、同期範囲特定部12、最新性情報管理部13、最新性情報算出部14、メッセージ生成部15、同期処理実行判定部16、最新性情報検証部17、メッセージ検証部18、および同期処理制御部19は、書き換え可能な論理回路であるFPGA(Field Programmable Gate Array)や特定用途向け集積回路であるASIC(Application Specific Integrated Circuit)により実現されてもよい。またそれらは、CPU、ROM、およびRAMの組み合わせの代わりに、異なる構成の組み合わせ、たとえばCPU、ROM、RAMとFPGAの組み合わせにより実現されてもよい。
(スロット)
図2は、RAM19Bに格納される情報の一例を示す図である。RAM19Bには、通信IDスロットと装置IDスロットのそれぞれについて、スロットIDと通信IDの組み合わせ、およびスロットIDと装置IDの組み合わせが格納されている。たとえばスロットIDは4ビットで表現可能な1~16であり、それぞれのスロットIDに対応する通信IDや装置IDの情報量、すなわち対応するデータのビット長はスロットIDのビット長よりも長い。
図2は、RAM19Bに格納される情報の一例を示す図である。RAM19Bには、通信IDスロットと装置IDスロットのそれぞれについて、スロットIDと通信IDの組み合わせ、およびスロットIDと装置IDの組み合わせが格納されている。たとえばスロットIDは4ビットで表現可能な1~16であり、それぞれのスロットIDに対応する通信IDや装置IDの情報量、すなわち対応するデータのビット長はスロットIDのビット長よりも長い。
通信IDは所定の長さを有する情報であり、たとえば11ビットの長さを有する。ここで、通信メッセージのペイロードに通信IDの情報を含める場合を考える。ペイロードに通信IDをそのまま含める場合には、ペイロードは必ず11ビット以上となる。しかし通信IDの代わりに通信IDが格納された通信IDスロットのスロットIDをペイロードを用いれば、小さいデータ量、たとえば4ビットに短縮できる。なお図2は単なる例示であり、スロットIDは4ビット以上でもよいし、通信IDスロットのスロットIDと装置IDスロットのスロットIDは独立していてもよい。
(影響範囲情報191)
図3は、影響範囲情報191の一例を示す図である。影響範囲情報191は複数のレコードから構成され、各レコードは異常コード1911、異常内容1912、異常影響範囲コード1913、および影響範囲1914から構成される。異常コード1911は、発生した異常の種類ごとに定義されたコードである。異常内容欄1912は、発生した異常の種類を示す。異常影響範囲コード1913は、発生した異常が影響を及ぼす範囲ごとに定義されたコードを示す。影響範囲1914は影響範囲を示す。
図3は、影響範囲情報191の一例を示す図である。影響範囲情報191は複数のレコードから構成され、各レコードは異常コード1911、異常内容1912、異常影響範囲コード1913、および影響範囲1914から構成される。異常コード1911は、発生した異常の種類ごとに定義されたコードである。異常内容欄1912は、発生した異常の種類を示す。異常影響範囲コード1913は、発生した異常が影響を及ぼす範囲ごとに定義されたコードを示す。影響範囲1914は影響範囲を示す。
影響範囲1914はたとえば、通信ID単体、通信IDの組み合わせ、情報処理装置で管理されるすべての通信ID、ネットワークのドメイン、車載システム全体等である。たとえば予期せぬタイミングで電源が消失した場合、情報処理装置1は異常コード1911の「0x101」に対する異常影響範囲コード1913に基づいて影響範囲を特定する。また、異常影響範囲コード1913が「0xf03」と判定された場合、同期回復処理を実行するのではなく、たとえば縮退稼動に移行し、自動車を安全に停車させることが望ましい。
(最新性関連情報192)
図4は、最新性関連情報192の一例を示す図である。最新性関連情報192は、通信ID1921ごとに最新性情報1923を有する。最新性情報1923は、同期用カウンタ1924と通信用カウンタ1925から構成される。図4に示す例では、最新性情報1923の上位ビットが同期用カウンタ1924として用いられ、下位ビットが通信用カウンタ1925として用いられる。
図4は、最新性関連情報192の一例を示す図である。最新性関連情報192は、通信ID1921ごとに最新性情報1923を有する。最新性情報1923は、同期用カウンタ1924と通信用カウンタ1925から構成される。図4に示す例では、最新性情報1923の上位ビットが同期用カウンタ1924として用いられ、下位ビットが通信用カウンタ1925として用いられる。
(同期依頼メッセージ)
図5は、メッセージ生成部15が生成する同期依頼メッセージの構造の一例を示す図である。同期依頼メッセージは、同期依頼用通信ID701と、同期対象識別子702と、最新性情報703と、MAC704とから構成される。同期依頼用通信ID701は、同期依頼用の通信メッセージであることを示す識別子である。同期対象識別子702は、この同期依頼メッセージを受信して同期回復処理を実行する対象を示す識別子である。最新性情報703はステップ213で更新した最新性情報1923、または最新性情報1923に含まれる同期用カウンタ1924を示す。MAC704は、当該同期依頼用通信ID701、同期対象識別子702、最新性情報703と、不図示の事前共有鍵とを用いて算出されるメッセージ認証コード(MAC)である。ただし算出したMACをそのままMAC704としてもよいし、算出したMACに対してAES128などの暗号化を施したものをMAC704としてもよい。
図5は、メッセージ生成部15が生成する同期依頼メッセージの構造の一例を示す図である。同期依頼メッセージは、同期依頼用通信ID701と、同期対象識別子702と、最新性情報703と、MAC704とから構成される。同期依頼用通信ID701は、同期依頼用の通信メッセージであることを示す識別子である。同期対象識別子702は、この同期依頼メッセージを受信して同期回復処理を実行する対象を示す識別子である。最新性情報703はステップ213で更新した最新性情報1923、または最新性情報1923に含まれる同期用カウンタ1924を示す。MAC704は、当該同期依頼用通信ID701、同期対象識別子702、最新性情報703と、不図示の事前共有鍵とを用いて算出されるメッセージ認証コード(MAC)である。ただし算出したMACをそのままMAC704としてもよいし、算出したMACに対してAES128などの暗号化を施したものをMAC704としてもよい。
(同期対象識別子702)
図6は、図5に示した同期対象識別子702のデータ構造の一例を示す図である。図6(a)は同期依頼用通信IDを情報処理装置ごとに割り当てることができる場合の例、図6(b)は同期依頼用通信IDを情報処理装置ごとに割り当てることができない場合の例を示す。同期依頼用通信IDを情報処理装置ごとに割り当てることができる場合には、たとえば第1情報処理装置1Aから第2情報処理装置1Bへの同期依頼の通信IDと、第1情報処理装置1Aから第3情報処理装置1Cへの同期依頼の通信IDと、第3情報処理装置1Cから第2情報処理装置1Bへの同期依頼の通信IDとがすべて異なるものになる。
図6は、図5に示した同期対象識別子702のデータ構造の一例を示す図である。図6(a)は同期依頼用通信IDを情報処理装置ごとに割り当てることができる場合の例、図6(b)は同期依頼用通信IDを情報処理装置ごとに割り当てることができない場合の例を示す。同期依頼用通信IDを情報処理装置ごとに割り当てることができる場合には、たとえば第1情報処理装置1Aから第2情報処理装置1Bへの同期依頼の通信IDと、第1情報処理装置1Aから第3情報処理装置1Cへの同期依頼の通信IDと、第3情報処理装置1Cから第2情報処理装置1Bへの同期依頼の通信IDとがすべて異なるものになる。
まず図6(a)を参照して同期依頼用通信ID701を情報処理装置ごとに割り当てることができる場合の構成を説明する。この場合は、同期対象の情報端末装置に対応するIDを同期依頼用通信ID701とし、同期を回復する範囲を同期範囲801とし、同期対象となる通信IDを特定するためのスロットのIDを同期対象スロット802とする。ただし同期範囲801は「0」または「1」の値をとり、同期範囲801の値により同期対象スロット802に格納された値の解釈が異なる。
同期範囲801の値が「0」の場合は同期範囲を通信ID単位で設定することを示し、同期範囲801の値が「1」の場合は同期範囲を通信先の情報処理装置単位で設定することを示す。同期範囲801の値が「0」の場合は、同期対象スロット802には通信IDを特定するためのスロットIDの情報が格納される。たとえば、同期対象となる通信IDを示す通信IDスロットのスロットIDが格納されてもよいし、通信IDスロットのスロットIDごとに対象か否かを示すビットを並べてもよい。たとえば図2に示す例で通信ID「0x250」と「0x7ff」が対象の場合に、対象のスロットIDである「2,4」としてもよいし、スロットID1~4の順に対象を「1」で表して「0101」としてもよい。
同期範囲801の値が「1」の場合は、同期対象通信IDスロットの値は「0」として、同期依頼用通信ID701が示す情報処理装置に関るすべての通信IDが同期対象となる。同期対象となる具体的な通信IDは、同期依頼メッセージを受信した情報処理装置1が判断する。
次に図6(b)を参照して同期依頼用通信ID701を情報処理装置ごとに割り当てることができない場合の構成を説明する。この場合には同期対象識別子702は、同期範囲801、同期対象スロット802、および装置ID803から構成される。装置ID803には各情報処理装置を区別できる識別子が格納される。なお、同期対象識別子は該当する情報処理装置や通信IDを特定できればよく、同期依頼用通信ID701と合わせて一つの識別子としてもよい。
(通信関係情報193)
図7は、通信関係情報193の一例を示す図である。通信関係情報193は、通信IDと通信先の情報処理装置1との対応を示す。通信関係情報193は、通信ID1931と、通信先情報処理装置1932とから構成される。通信ID1931には、通信IDが格納され、通信先情報処理装置1932には、通信ID1931を用いた通信メッセージの送受信関係にあたる情報処理装置の名称などが格納される。たとえば、同期対象識別子702に含まれる装置ID803が「情報処理装置1」を示す場合、同期依頼メッセージを受信した情報処理装置は、次の通信IDを同期対象と判断する。すなわち、「情報処理装置1」に紐付けられた「0x001」、「0x010」、および「0x014」の3つの通信IDが同期対象と判断される。
図7は、通信関係情報193の一例を示す図である。通信関係情報193は、通信IDと通信先の情報処理装置1との対応を示す。通信関係情報193は、通信ID1931と、通信先情報処理装置1932とから構成される。通信ID1931には、通信IDが格納され、通信先情報処理装置1932には、通信ID1931を用いた通信メッセージの送受信関係にあたる情報処理装置の名称などが格納される。たとえば、同期対象識別子702に含まれる装置ID803が「情報処理装置1」を示す場合、同期依頼メッセージを受信した情報処理装置は、次の通信IDを同期対象と判断する。すなわち、「情報処理装置1」に紐付けられた「0x001」、「0x010」、および「0x014」の3つの通信IDが同期対象と判断される。
(通常メッセージの処理)
通常メッセージ、すなわち同期依頼メッセージ以外のメッセージの処理を説明する。情報処理装置1のメッセージ生成部15は、たとえば制御データを送信する場合には、通信ID、制御データ、通信用カウンタの値、およびMACを含むメッセージを生成する。このメッセージに含まれる通信用カウンタの値は、送信する通信IDに対応するものであり最新性関連情報192に格納されている値である。ただしメッセージ生成部15が通信カウンタの値を読み出す直前に、最新性情報管理部13がその通信IDの通信用カウンタの値を1だけ増加させる。
通常メッセージ、すなわち同期依頼メッセージ以外のメッセージの処理を説明する。情報処理装置1のメッセージ生成部15は、たとえば制御データを送信する場合には、通信ID、制御データ、通信用カウンタの値、およびMACを含むメッセージを生成する。このメッセージに含まれる通信用カウンタの値は、送信する通信IDに対応するものであり最新性関連情報192に格納されている値である。ただしメッセージ生成部15が通信カウンタの値を読み出す直前に、最新性情報管理部13がその通信IDの通信用カウンタの値を1だけ増加させる。
また通常メッセージに含まれるMACは、その通常メッセージの通信ID、制御データ、および通信用カウンタの値を処理対象とし、不図示の事前共有鍵を用いて算出したメッセージ認証コードである。通常メッセージを受信すると、情報処理装置1のメッセージ検証部18および最新性情報検証部17がメッセージの完全性を確認する。完全性が確認できれば通常メッセージに含まれる制御データを用いた制御が行われ、完全性が確認できなければそのメッセージは破棄される。なおメッセージ検証部18および最新性情報検証部17が動作する順番は任意であり、同時に動作してもよい。両者の検証で問題がないことが確認されて初めて、完全性が確認されたことになる。
最新性情報検証部17は、受信した通常メッセージの通信IDに対応する通信用カウンタの値を最新性関連情報192から読み出す。そして読み出した値よりも受信した通常メッセージに含まれる通常用カウンタの値の方が新しい、すなわちより大きな数字である場合に最新性が確認されたと判断する。ただし両者の差が所定の閾値よりも大きい場合は、不正に大きな値が送信されたとして最新性が確認されないと判断してもよい。
メッセージ検証部18によるMACの検証は次のとおりである。メッセージ検証部18はまず、受信した通常メッセージに含まれる通信ID、制御データ、および最新性情報を処理対象とし、不図示の事前共有鍵を用いてMACを算出する。そしてメッセージ検証部18は、算出したMACと受信した通常メッセージに含まれるMACとが一致するか否かを判断する。メッセージ検証部18は、両者が一致する場合は問題がないと判断し、両者が一致しない場合は問題が発生、すなわち不正なメッセージと判断する。
(再同期処理の概要)
図8は、依頼側装置1Pと検証側装置1Qとの間における通信用カウンタ値の再同期処理シーケンスを示す図である。なお、依頼側装置1Pと検証側装置1Qは便宜的に付した名称であり、実際にはいずれかの情報処理装置1である。
図8は、依頼側装置1Pと検証側装置1Qとの間における通信用カウンタ値の再同期処理シーケンスを示す図である。なお、依頼側装置1Pと検証側装置1Qは便宜的に付した名称であり、実際にはいずれかの情報処理装置1である。
ステップ211では、異常検知部11Aが生成した影響範囲情報191に基づいて異常監視部11が異常を検知し、異常を検知するとステップ212に進む。異常監視部11は影響範囲情報191を起動時に確認してもよいし、定期的に確認してもよいし、異常を検知するたびに確認してもよい。
ステップ212では、同期範囲特定部12はステップ211で取得した異常影響範囲コード1913に基づいて同期範囲を特定する。たとえば、異常影響範囲コード1913が「0xf02」だった場合、自身が管理するすべての通信IDに影響を及ぼすと判定し、最新性関連情報192に記載されるすべての通信IDを同期範囲として特定する。
続くステップ213では、最新性情報管理部13はステップ212で特定した同期範囲に関する通信IDの最新性情報を最新性関連情報192から取得し、最新性情報算出部14は新たな最新性情報を算出する。
続くステップ213では、最新性情報管理部13はステップ212で特定した同期範囲に関する通信IDの最新性情報を最新性関連情報192から取得し、最新性情報算出部14は新たな最新性情報を算出する。
たとえばすべての通信IDを同期対象として判定した場合は、ステップ213において、最新性情報管理部13は、最新性関連情報192に登録されているすべての通信ID1921に紐付けられる同期用カウンタ1924を取得し、最新性情報算出部14は、その中の最大値に「1」をインクリメントした値を上位ビットとする新たな最新性情報を算出する。なお、新たな最新性情報は、通信IDごとに算出して更新してもよい。なおここで算出される新たな最新性情報は、同期処理により他の情報処理装置1に書き込まれるので、新たな最新性情報は「同期後の」最新性情報と呼ぶこともできる。
続くステップ214では、メッセージ生成部15はステップ213で更新した最新性情報と、同期依頼用通信ID等を用いてMACを算出し、同期対象として特定した対象を示す同期対象識別子、同期依頼用通信ID、最新性情報、およびMACを含む同期依頼メッセージを生成する。ステップ215では、通信部10はステップ214で生成した同期依頼メッセージを通信バス2を介して他の情報処理装置に送信する。続くステップ216では、同期処理制御部19はステップ213で算出した最新性情報を最新性関連情報192に登録する。
検証側装置1Qは、依頼側装置1Pがステップ215において送信した同期依頼メッセージを受信するとステップ230を実行する。ステップ230では検証側装置1Qは、受信した同期依頼メッセージの同期依頼用通信ID701および同期対象識別子702を参照し、同期の要否を判断する。検証側装置1Qは同期が必要と判断するとステップ231に進み、同期が不要と判断すると図8の処理を終了する。
ステップ231では検証側装置1Qはカウンタ処理として次の2つの処理を行う。検証側装置1Qは、まず最新性情報管理部13は該当する通信ID1931に該当する通信用カウンタ1925から取得した通信用カウンタを所定のルールに従って更新する。次に検証側装置1Qは、該当する同期用カウンタ1924の値を取得してステップ232に進む。
ステップ232では最新性情報検証部17は、受信した通信メッセージに付与された最新性情報703に含まれる同期用カウンタと、ステップ231で取得した同期用カウンタ1924の値を比較して最新性を検証する。換言すると最新性情報検証部17は、受信した最新性情報703に含まれる同期用カウンタの値が、同期用カウンタ1924の値よりも新しいことを確認する。検証側装置1Qは最新性が確認できるとステップ233に進み、最新性が確認できない場合は図8の処理を終了する。
最新性の検証は、受信した最新性情報703の値が同期用カウンタ1924の値よりも大きい場合に最新であると判断することができる。さらに、受信した最新性情報703に含まれる同期用カウンタの値と同期用カウンタ1924の値との差が所定の閾値以内の場合のみ最新と判断してもよい。仮に両者の差が閾値を超える場合は、不正なカウンタ値を受信したと判断して本処理を終了する。
なお検証側装置1Qのメッセージ検証部18は、受信したメッセージに含まれるMAC704を検証し、一致しないと判断する場合は図8に示す処理を終了してもよい。詳述するとメッセージ検証部18は、最新性が確認された最新性情報703に含まれる同期用カウンタの値と、更新された通信用カウンタの値と、同期依頼用通信ID701を用いてMACを算出する。そしてメッセージ検証部18は、受信したMAC704と算出したMACを比較し、一致している場合はステップ233に進み、一致していない場合は本処理を終了する。
ステップ233では同期処理制御部19は、受信した最新性情報703に含まれる同期用カウンタの値を同期用カウンタ1924に格納し、ステップ232で更新された通信用カウンタの値を通信用カウンタ1925に格納する。すなわち本ステップの処理により同期用カウンタ1924の値が更新される。続くステップ234では、メッセージ生成部15は同期完了ID、情報処理装置IDを含んだ同期完了メッセージを生成する。ステップ235では、通信部10はステップ234で生成した同期完了メッセージを通信バス2を介して他の情報処理装置に送信する。
依頼側装置1Pは、検証側装置1Qから同期完了メッセージを受信するとステップ217を実行する。ステップ217では、依頼側装置1Pの通信部10は、同期処理制御部19を用いて同期回復処理を完了し、通常モードに移行する。
以上説明したように、依頼側装置1Pは検証側装置1Qに同期依頼メッセージを送信し、検証側装置1Qは所定のルールに従って同期用カウンタ1924及び通信用カウンタ1925を更新する。これにより、依頼側装置1Pと検証側装置1Qとで通信用カウンタ1925の値が再同期される。換言すると、両者で通信用カウンタ1925の値が共有される。
(同期依頼側の詳細)
図9は、図8のステップ211からステップ216までの詳細な処理を示すフローチャートである。ステップ301では、異常監視部11は異常検知部11Aの出力の有無、すなわち異常の発生有無を監視する。ステップ302では異常監視部11は、ステップ301で異常を検知するとステップ303に進み、異常を検知しないとステップ311に進む。ステップ303では、同期範囲特定部12は異常検知部11Aが出力した異常コード1911を取得する。
図9は、図8のステップ211からステップ216までの詳細な処理を示すフローチャートである。ステップ301では、異常監視部11は異常検知部11Aの出力の有無、すなわち異常の発生有無を監視する。ステップ302では異常監視部11は、ステップ301で異常を検知するとステップ303に進み、異常を検知しないとステップ311に進む。ステップ303では、同期範囲特定部12は異常検知部11Aが出力した異常コード1911を取得する。
ステップ304では、同期範囲特定部12は影響範囲情報191を参照し、ステップ303において取得した異常コード1911に対応する異常影響範囲コード1913および影響範囲1914を取得する。そして同期範囲特定部12は、影響範囲1914に基づいて同期回復処理の実行可否を判定する。具体的には、影響範囲1914が同期不可であれば同期回復処理が実行不可能と判断し、それ以外の場合は同期回復処理を実行可能と判断する。
ステップ305では、同期処理実行判定部16はステップ304の判定が同期回復処理を実行可能であればステップ306に進み、実行不可能であればステップ312に進む。ステップ306では、ステップ304において読み込んだ影響範囲1914に基づき、具体的な最新性情報1923の影響範囲を特定する。たとえば影響範囲1914が通信IDの場合は、異常が発生した通信ID1921を影響範囲として特定する。またたとえば影響範囲1914が情報処理装置の場合は、当該情報処理装置1が管理する通信ID1921のすべてを影響範囲として特定する。
続くステップ307では、最新性情報算出部14は、ステップ306で特定した影響範囲における新たな最新性情報を算出する。たとえば、影響範囲における同期用カウンタ1924の最大値に「1」を加算し、通信用カウンタの値を「0」とした値を影響範囲に該当する通信IDの新たな最新性情報とする。前述のとおり、最新性情報の上位ビットが同期用カウンタ、下位ビットが通信用カウンタなので、通信用カウンタの値をゼロにリセットしても、同期用カウンタ1924の値が増加することで最新性情報の値は大きくなる。
続くステップ308では、メッセージ生成部15は同期依頼メッセージを生成する。この同期依頼メッセージには、ステップ307で算出した最新性情報703、同期依頼用の通信ID701、同期対象範囲を示す同期対象識別子702、およびこれらの情報から算出されるMAC704が含まれる。続くステップ309では、通信部10はステップ308で生成した同期依頼メッセージを通信バス2を介して検証側装置1Qに送信する。続くステップ310では、同期処理制御部19はステップ307で算出した最新性情報を最新性関連情報192の該当する通信ID1921に紐づく最新性情報1923として登録する。
ステップ302において否定判断されると実行されるステップ311では、同期処理制御部19は通常の制御処理を継続する。ステップ305において否定判断されると実行されるステップ312では、同期処理制御部19は機能を縮退させて稼動するフェールセーフモードに移行するように指示を出す。以上のステップにより、依頼側装置1Pは、異常を検知した場合に生成する同期依頼メッセージを検証側装置1Qに送信する。そして図8に示したように検証側装置1Qから同期完了通知を受信することで、同期が取れたことを確認できる。
(同期検証側の詳細)
図10は、図8のステップ231からステップ235までの詳細な処理を示すフローチャートである。ステップ401では、メッセージ検証部18は通信部10を用いて受信した同期依頼メッセージを確認する。具体的にはメッセージ検証部18は、受信した同期依頼メッセージから同期対象識別子702を取得し、通信関係情報193を参照して当該同期対象識別子702に該当する通信IDの有無を検証する。たとえば図10に示すフローチャートを実行している検証側装置1Qが第2情報処理装置1Bであり、通信関係情報193が図7に示すものの場合に、通信ID1931に「0x00d」が含まれるか否かを検証する。
図10は、図8のステップ231からステップ235までの詳細な処理を示すフローチャートである。ステップ401では、メッセージ検証部18は通信部10を用いて受信した同期依頼メッセージを確認する。具体的にはメッセージ検証部18は、受信した同期依頼メッセージから同期対象識別子702を取得し、通信関係情報193を参照して当該同期対象識別子702に該当する通信IDの有無を検証する。たとえば図10に示すフローチャートを実行している検証側装置1Qが第2情報処理装置1Bであり、通信関係情報193が図7に示すものの場合に、通信ID1931に「0x00d」が含まれるか否かを検証する。
ステップ402では、同期処理実行判定部16はステップ401の検証に基づき、同期対象識別子702に該当する通信IDがあると判断するとステップ403に進み、該当する通信IDがないと判断するとステップ409に進む。
ステップ403ではまず、最新性情報管理部13は、該当する通信ID1931に該当する通信用カウンタ1925の値を所定のルールに従って更新する。次に最新性情報検証部17は、該当する同期用カウンタ1924の値を取得して、受信した通信メッセージに付与された最新性情報703に含まれる同期用カウンタと比較する。そして最新性情報検証部17は、受信した最新性情報703に含まれる同期用カウンタの値が同期用カウンタ1924よりも新しいことを確認する。
ステップS403ではさらに、メッセージ検証部18は、最新性が確認された最新性情報703に含まれる同期用カウンタの値と、更新された通信用カウンタの値と、同期依頼用通信ID701等を用いてMACを算出する。そしてメッセージ検証部18は、算出したMACと受信したMAC704とが一致することを確認する。受信した最新性情報703に含まれる同期用カウンタの値が同期用カウンタ1924よりも新しいことが確認できない場合、または算出したMACと受信したMAC704との一致が確認できない場合はステップ409に進み、それ以外の場合はステップ404に進む。
ステップ404では、最新性情報管理部13はステップ403で確認した最新性情報を新たな最新性情報として更新する。続くステップ405では、同期処理制御部19はステップ401で該当した通信ID1931を同期対象範囲として特定する。続くステップ406では、最新性情報管理部13はステップ404で更新した最新性情報を405で特定した同期対象範囲の通信ID1931に紐付いた最新性情報1923として登録する。
続くステップ407では、メッセージ生成部15は同期完了ID、および情報処理装置IDを含んだ同期完了メッセージを生成する。続くステップ408では、通信部10はステップ407で生成した同期完了メッセージを通信バス2を介して他の情報処理装置に送信して図10に示す処理を終了する。ステップ409では、同期処理制御部19は受信した同期依頼メッセージを破棄して図10に示す処理を終了する。
上述した第1の実施の形態によれば、次の作用効果が得られる。
(1)情報処理装置1は、種別を示す通信IDが付されたメッセージを送受信する。情報処理装置1は、通信の最新性を検証するための通信用カウンタ1925を通信IDごとに記憶する記憶部19Aと、通信用カウンタを所定の条件に基づき更新する最新性情報管理部13と、発生した異常の影響範囲を特定する異常監視部11と、通信用カウンタの同期を依頼するメッセージであることを示す通信ID、および異常監視部が特定した影響範囲を示す同期対象識別子を含む同期依頼メッセージを生成するメッセージ生成部15とを備える。そのため特定の情報処理装置1のみを同期の対象とでき、同期の対象外の装置は通常どおりの動作が可能である。
(1)情報処理装置1は、種別を示す通信IDが付されたメッセージを送受信する。情報処理装置1は、通信の最新性を検証するための通信用カウンタ1925を通信IDごとに記憶する記憶部19Aと、通信用カウンタを所定の条件に基づき更新する最新性情報管理部13と、発生した異常の影響範囲を特定する異常監視部11と、通信用カウンタの同期を依頼するメッセージであることを示す通信ID、および異常監視部が特定した影響範囲を示す同期対象識別子を含む同期依頼メッセージを生成するメッセージ生成部15とを備える。そのため特定の情報処理装置1のみを同期の対象とでき、同期の対象外の装置は通常どおりの動作が可能である。
(2)記憶部19には、異常の種類と影響範囲との対応を示す影響範囲情報191が格納される。異常監視部11は特定された異常の種類と影響範囲情報191に基づき影響範囲を特定する。そのため異常の種類に応じて適切な装置と同期できる。
(3)記憶部19には、通信用カウンタ1925の同期の検証に用いられる同期用カウンタ1924が格納される。最新性情報管理部13は、同期後の通信用カウンタの値および同期後の同期用カウンタ1924の値を決定する。同期依頼メッセージには、同期後の通信用カウンタ1925の値および同期後の同期用カウンタ1924の値を示す情報が含まれる。そのため同期後のカウンタの値を完全に一致させることができる。
(4)最新性情報管理部13は、同期対象となる通信IDが複数存在する場合は、同期対象となる複数の通信IDに対応する同期用カウンタ1924の値のうち、最も大きい同期用カウンタ1924の値に基づき、同期後の同期用カウンタ1924の値を決定する。そのため効率的に同期を行うことができる。
(5)最新性情報管理部13は、同期対象となる通信IDが複数存在する場合は、同期対象となる複数の通信IDに対応する同期用カウンタ1924の値のうち、最も大きい同期用カウンタ1924の値に1を加えて同期後の同期用カウンタ1924の値とし、同期後の通信用カウンタ1925の値をゼロとする。
(6)同期対象識別子702には、同期対象となる通信IDを示す情報、または異常が発生した情報処理装置を示す情報が含まれる。そのため同期依頼メッセージを受信したそれぞれの情報処理装置1が同期の要否を判断するので、通信バス2に接続される情報処理装置1が増加しても同期依頼メッセージは特に変更する必要がなく、ネットワーク構成の変更が容易である。
(7)最新性情報管理部13は、メッセージを受信すると受信したメッセージに含まれる通信IDに対応する通信用カウンタの値を1増加させる。最新性情報管理部13は、受信したメッセージに含まれる通信IDが通信用カウンタ1925の同期を依頼するメッセージであることを示す通信ID以外の場合は、受信したメッセージに含まれる通信用カウンタ1925の値と、最新性情報管理部13が1増加させた後の通信用カウンタ1925の値とを比較することで受信したメッセージの最新性を確認する。
(変形例1)
上述した実施の形態では、異常検知部11Aは情報処理装置1に備えられた。しかし情報処理装置1は異常検知部11Aを備えず、通信バス2に接続された他の装置に異常検知部11Aが備えられてもよい。その場合は異常監視部11は、他の装置に備えられた異常検知部11Aから異常コード1911を受信する。
上述した実施の形態では、異常検知部11Aは情報処理装置1に備えられた。しかし情報処理装置1は異常検知部11Aを備えず、通信バス2に接続された他の装置に異常検知部11Aが備えられてもよい。その場合は異常監視部11は、他の装置に備えられた異常検知部11Aから異常コード1911を受信する。
(変形例2)
通信バス2は、IEEE802.3、MOST、FlexRayなどCAN以外の通信プロトコルに対応する通信バスでもよい。通信バス2がIEEE802.3に対応する場合は、通信IDは宛先IPアドレスと送信元IPアドレスの組み合わせでもよいし、ペイロードに含まれる情報であってもよい。たとえばIEEE802.3のパケットのペイロードの特定の領域に本実施の形態で説明した通信IDを含めて、これを用いてもよい。すなわち通信IDは、通信プロトコルのヘッダ部に格納される情報に限定されない。
通信バス2は、IEEE802.3、MOST、FlexRayなどCAN以外の通信プロトコルに対応する通信バスでもよい。通信バス2がIEEE802.3に対応する場合は、通信IDは宛先IPアドレスと送信元IPアドレスの組み合わせでもよいし、ペイロードに含まれる情報であってもよい。たとえばIEEE802.3のパケットのペイロードの特定の領域に本実施の形態で説明した通信IDを含めて、これを用いてもよい。すなわち通信IDは、通信プロトコルのヘッダ部に格納される情報に限定されない。
(変形例3)
情報処理装置1のRAM19Bにはスロット情報が格納されなくてもよい。その場合には、通常メッセージにはスロットIDではなく通信IDや装置IDを格納する。
情報処理装置1のRAM19Bにはスロット情報が格納されなくてもよい。その場合には、通常メッセージにはスロットIDではなく通信IDや装置IDを格納する。
(変形例4)
上述した実施の形態では、情報処理装置1は車載ネットワークに搭載された。しかし情報処理装置1が搭載される場所はこれに限定されず、制御系システムや情報系システムにも適用可能である。
上述した実施の形態では、情報処理装置1は車載ネットワークに搭載された。しかし情報処理装置1が搭載される場所はこれに限定されず、制御系システムや情報系システムにも適用可能である。
(変形例5)
同期依頼メッセージに同期後の通信用カウンタの値を含めず、事前に取り決めた値、たとえばゼロを用いることにしてもよい。
同期依頼メッセージに同期後の通信用カウンタの値を含めず、事前に取り決めた値、たとえばゼロを用いることにしてもよい。
―第2の実施の形態―
図11~図13を参照して、情報処理装置の第2の実施の形態を説明する。以下の説明では、第1の実施の形態と同じ構成要素には同じ符号を付して相違点を主に説明する。特に説明しない点については、第1の実施の形態と同じである。本実施の形態では、主に、通信バス上に管理装置が存在する点で、第1の実施の形態と異なる。
図11~図13を参照して、情報処理装置の第2の実施の形態を説明する。以下の説明では、第1の実施の形態と同じ構成要素には同じ符号を付して相違点を主に説明する。特に説明しない点については、第1の実施の形態と同じである。本実施の形態では、主に、通信バス上に管理装置が存在する点で、第1の実施の形態と異なる。
図11は、第2の実施の形態における情報処理装置1を含むネットワークNの構成図である。ネットワークNには、第1情報処理装置1A、第2情報処理装置1B、第3情報処理装置1C、第4情報処理装置1D、第5情報処理装置1E、第6情報処理装置1F、第7情報処理装置1G、第8情報処理装置1H、第9情報処理装置1I、および管理装置950が接続される。以下では、第1情報処理装置1A、第2情報処理装置1B、第3情報処理装置1C、第4情報処理装置1D、第5情報処理装置1E、第6情報処理装置1F、第7情報処理装置1G、第8情報処理装置1H、および第9情報処理装置1Iを区別しない場合にこれらを情報処理装置1と呼ぶ。
第1情報処理装置1A、第2情報処理装置1B、および第3情報処理装置1Cは第1セグメント21に接続される。第4情報処理装置1D、第5情報処理装置1E、および第6情報処理装置1Fは第2セグメント22に接続される。第7情報処理装置1G、第8情報処理装置1H、および第9情報処理装置1Iは第3セグメント23に接続される。管理装置950は、第1セグメント21、第2セグメント22、および第3セグメント23に接続される。
管理装置950はあるセグメントから受信した通信メッセージを他のセグメントに送信する。ただし管理装置950は、後述するように同期依頼メッセージはその内容に基づき送信するセグメントを決定する。すなわち管理装置950は、特定の条件に合致する同期依頼メッセージは、あるセグメントには送信しないことがある。
図11において、それぞれの情報処理装置1の内部には、その情報処理装置1が送信する通信メッセージに付されるメッセージIDを「送信ID」として記載し、その情報処理装置1が受信する通信メッセージに付されるメッセージIDを「受信ID」として記載している。たとえば第1情報処理装置1Aの送信IDは「0x001」および「0x002」であり、第1情報処理装置1Aの受信IDは「0x003」および「0x005」である。第1情報処理装置1Aが送信するIDが「0x001」の通信メッセージを受信する情報処理装置1は、受信IDが「0x001」と記載されている情報処理装置1なので、第2情報処理装置1Bおよび第7情報処理装置1Gである。
管理装置950には、各セグメントにおいて送受信される通信メッセージのIDの情報があらかじめ格納されている。ただし管理装置950にはそれぞれの情報処理装置1単位での送信IDや受信IDの情報が格納されていなくてもよい。図11では、後述する動作例の説明のために、第7情報処理装置1Gが送受信する通信IDを太字で記載している。
(管理装置950の構成)
図12は管理装置950の構成を示す図である。管理装置950は、通信部951と、転送部952と、記憶部960とを備える。通信部951はたとえばCANに対応する通信インタフェースであり、第1セグメント21、第2セグメント22、および第3セグメント23と通信する。転送部952は、たとえば不図示のROMに格納されたプログラムをCPUがRAMに展開して実行することで実現される。転送部952は、管理装置950がいずれかのセグメントから同期依頼メッセージを受信すると、同期依頼メッセージに基づき通信用カウンタを同期すべき情報処理装置1が属するセグメントにのみ同期依頼メッセージを転送する。転送部952の動作は後述する。
図12は管理装置950の構成を示す図である。管理装置950は、通信部951と、転送部952と、記憶部960とを備える。通信部951はたとえばCANに対応する通信インタフェースであり、第1セグメント21、第2セグメント22、および第3セグメント23と通信する。転送部952は、たとえば不図示のROMに格納されたプログラムをCPUがRAMに展開して実行することで実現される。転送部952は、管理装置950がいずれかのセグメントから同期依頼メッセージを受信すると、同期依頼メッセージに基づき通信用カウンタを同期すべき情報処理装置1が属するセグメントにのみ同期依頼メッセージを転送する。転送部952の動作は後述する。
記憶部960は不揮発性の記憶装置、たとえばフラッシュメモリであり、宛先対応表961、ネットワーク情報962、およびスロット情報963が格納される。宛先対応表961とは、同期依頼用通信IDを情報処理装置1ごとに割り当てることができる場合における、同期依頼用通信ID701と宛先の情報処理装置1との対応を示す情報である。ネットワーク情報962とは、図11に示す情報である。すなわち、ネットワーク情報962とはそれぞれの情報処理装置1についての、属するセグメント、送信ID、および受信IDの情報が格納される。スロット情報963とは、通信メッセージに含まれるスロットIDの情報であり、たとえば図2に示したような通信IDスロットのスロットIDと通信IDの対応、および装置IDスロットのスロットIDと装置IDの対応である。
(管理装置950の動作)
図13は管理装置950の転送部952の動作を示すフローチャートである。ステップ501では管理装置950は、同期依頼用通信IDが情報処理装置ごとに割り当てられているか否かを判断する。第1の実施の形態で説明したように、同期依頼用通信IDが情報処理装置ごとに割り当てられているか否かは使用可能な通信IDの数と情報処理装置1の数などで制約され、ネットワークの設計事項となる。そのため同期依頼用通信IDが情報処理装置ごとに割り当てられているか否かはあらかじめ決定され、その情報は管理装置950の記憶部960に格納される。管理装置950はステップ501を肯定判断するとステップ502に進み、否定判断するとステップ503に進む。
図13は管理装置950の転送部952の動作を示すフローチャートである。ステップ501では管理装置950は、同期依頼用通信IDが情報処理装置ごとに割り当てられているか否かを判断する。第1の実施の形態で説明したように、同期依頼用通信IDが情報処理装置ごとに割り当てられているか否かは使用可能な通信IDの数と情報処理装置1の数などで制約され、ネットワークの設計事項となる。そのため同期依頼用通信IDが情報処理装置ごとに割り当てられているか否かはあらかじめ決定され、その情報は管理装置950の記憶部960に格納される。管理装置950はステップ501を肯定判断するとステップ502に進み、否定判断するとステップ503に進む。
ステップ502では、管理装置950は宛先対応表961を参照し、受信した同期依頼メッセージに含まれる同期依頼用通信ID701に対応する情報処理装置1、すなわちその同期依頼メッセージの宛先となる情報処理装置1を特定する。さらに管理装置950は、ネットワーク情報962を参照し、その特定した情報処理装置1が属するセグメントを特定してステップ510に進む。
ステップ503では管理装置950は、受信した同期依頼メッセージに含まれる同期範囲801の値を判断する。管理装置950は、同期範囲801の値が「0」と判断する場合はステップ504に進み、「1」と判断する場合はステップ507に進む。ステップ504では管理装置950は、同期対象スロット802に格納されているスロットIDを通信スロットIDとして解釈し、スロット情報963と合わせることで同期対象の通信IDを特定してステップ505に進む。たとえばスロット情報963が図2に示す例であり、同期対象スロット802に格納されているスロットIDが「1」の場合は、通信IDは「0x001」と特定される。
ステップ505では管理装置950は、ステップ504またはステップ508で特定した通信IDが受信されるセグメントを特定する。たとえば特定された通信IDが「0x001」の場合は、ネットワーク情報962を参照して送信IDまたは受信IDが「0x001」の情報処理装置1が含まれるセグメントを特定する。すなわち、第1情報処理装置1Aおよび第2情報処理装置1Bが属する第1セグメント21と、第7情報処理装置1Gが属する第3セグメント23が特定される。
ステップ507では管理装置950は、装置ID803を参照して送信元の情報処理装置1を特定してステップ505に進む。続くステップ508では管理装置950は、特定した情報処理装置1に関連する通信IDをネットワーク情報962を参照して特定する。たとえば特定した情報処理装置1が第7情報処理装置1Gの場合は、たとえば図11に示す第7情報処理装置1Gが送信または受信するIDである5つのIDが特定される。
ステップ502またはステップ505の次に実行されるステップ510では管理装置950は、ステップ502またはステップ505で特定したセグメントに対して、受信した同期依頼メッセージと同一の同期依頼メッセージを送信する。ただし管理装置950は、同期依頼メッセージを受信したセグメントに対しては、その同期依頼メッセージの送信は行わない。
(動作例)
第7情報処理装置1Gが第7情報処理装置1G自身の異常なリセットを検出して、同期依頼メッセージを送信したケースの動作を説明する。このケースでは、第7情報処理装置1Gが送信するメッセージIDおよび第7情報処理装置1Gが受信するIDについて同期が必要となる。具体的には、第1情報処理装置1A、第2情報処理装置1B、第8情報処理装置1H、および第9情報処理装置1Iが送信または受信する、図8において太字で示すIDが同期が必要となる。第7情報処理装置1Gが送信した同期依頼メッセージは、同一の第3セグメント23に属する第8情報処理装置1Hおよび第9情報処理装置1Iには、直接に届けられる。またこの同期依頼メッセージは、管理装置950にも受信される。
第7情報処理装置1Gが第7情報処理装置1G自身の異常なリセットを検出して、同期依頼メッセージを送信したケースの動作を説明する。このケースでは、第7情報処理装置1Gが送信するメッセージIDおよび第7情報処理装置1Gが受信するIDについて同期が必要となる。具体的には、第1情報処理装置1A、第2情報処理装置1B、第8情報処理装置1H、および第9情報処理装置1Iが送信または受信する、図8において太字で示すIDが同期が必要となる。第7情報処理装置1Gが送信した同期依頼メッセージは、同一の第3セグメント23に属する第8情報処理装置1Hおよび第9情報処理装置1Iには、直接に届けられる。またこの同期依頼メッセージは、管理装置950にも受信される。
管理装置950は、前述の処理を行い、ステップ502またはステップ505において第1セグメント21および第3セグメント23を特定する。そして管理装置950はステップ510において、その同期依頼メッセージはもともと第3セグメント23から受信したものなので、送信先から第3セグメント23を除いた第1セグメント21へのみ送信する。そのため第2セグメント22には、第7情報処理装置1Gが送信した同期依頼メッセージそのものが流れないので第2セグメント22の通信量を削減できる。
上述した第2の実施の形態によれば、次の作用効果が得られる。
(8)管理装置950は、情報処理装置1が接続される通信セグメント同士の通信を中継する。複数の情報処理装置1は、2以上のセグメントに分かれて配置される。管理装置950は、2以上のセグメントのそれぞれと通信する通信部951と、同期依頼メッセージを受信すると、同期依頼メッセージに基づき通信用カウンタを同期すべき情報処理装置1が属するセグメントにのみ同期依頼メッセージを転送する転送部952とを備える。そのため管理装置950は、同期依頼メッセージを必要なセグメントのみに送信し、同期が不要なセグメントへの影響を排除できる。
(8)管理装置950は、情報処理装置1が接続される通信セグメント同士の通信を中継する。複数の情報処理装置1は、2以上のセグメントに分かれて配置される。管理装置950は、2以上のセグメントのそれぞれと通信する通信部951と、同期依頼メッセージを受信すると、同期依頼メッセージに基づき通信用カウンタを同期すべき情報処理装置1が属するセグメントにのみ同期依頼メッセージを転送する転送部952とを備える。そのため管理装置950は、同期依頼メッセージを必要なセグメントのみに送信し、同期が不要なセグメントへの影響を排除できる。
上述した各実施の形態および変形例において、各装置で利用する暗号用の鍵およびシードは安全に配布、管理、更新されていればよく、エンジン起動時/停止時、製品開発時、メンテナンス時などの任意のタイミングで配布や更新が行なわれてもよい。上述した各実施の形態および変形例は、それぞれ組み合わせてもよい。では、種々の実施の形態および変形例を説明したが、本発明はこれらの内容に限定されるものではない。本発明の技術的思想の範囲内で考えられるその他の態様も本発明の範囲内に含まれる。
1…情報処理装置
10…通信部
11…異常監視部
12…同期範囲特定部
13…最新性情報管理部
14…最新性情報算出部
15…メッセージ生成部
16…同期処理実行判定部
17…最新性情報検証部
18…メッセージ検証部
19…同期処理制御部
191…影響範囲情報
192…最新性関連情報
193…通信関係情報
702…同期対象識別子
703…最新性情報
950…管理装置
960…記憶部
961…宛先対応表
962…ネットワーク情報
963…スロット情報
10…通信部
11…異常監視部
12…同期範囲特定部
13…最新性情報管理部
14…最新性情報算出部
15…メッセージ生成部
16…同期処理実行判定部
17…最新性情報検証部
18…メッセージ検証部
19…同期処理制御部
191…影響範囲情報
192…最新性関連情報
193…通信関係情報
702…同期対象識別子
703…最新性情報
950…管理装置
960…記憶部
961…宛先対応表
962…ネットワーク情報
963…スロット情報
Claims (8)
- 種別を示す通信IDが付されたメッセージを送受信する情報処理装置であって、
通信の最新性を検証するための通信用カウンタを前記通信IDごとに記憶する記憶部と、
前記通信用カウンタを所定の条件に基づき更新する最新性情報管理部と、
発生した異常の影響範囲を特定する異常監視部と、
前記通信用カウンタの同期を依頼するメッセージであることを示す前記通信ID、および前記異常監視部が特定した影響範囲を示す同期対象識別子を含む同期依頼メッセージを生成するメッセージ生成部とを備える情報処理装置。 - 請求項1に記載の情報処理装置において、
前記記憶部には、異常の種類と前記影響範囲との対応を示す対応情報がさらに格納され、
前記異常監視部は特定された異常の種類と前記対応情報に基づき前記影響範囲を特定する情報処理装置。 - 請求項1に記載の情報処理装置において、
前記記憶部には、前記通信用カウンタの同期の検証に用いられる同期用カウンタがさらに格納され、
前記最新性情報管理部は、同期後の前記通信用カウンタの値および同期後の前記同期用カウンタの値を決定し、
前記同期依頼メッセージには、同期後の前記通信用カウンタの値および同期後の前記同期用カウンタの値を示す情報がさらに含まれる情報処理装置。 - 請求項3に記載の情報処理装置において、
前記最新性情報管理部は、同期対象となる前記通信IDが複数存在する場合は、同期対象となる複数の前記通信IDに対応する前記同期用カウンタの値のうち、最も大きい前記同期用カウンタの値に基づき、同期後の前記同期用カウンタの値を決定する情報処理装置。 - 請求項3に記載の情報処理装置において、
前記最新性情報管理部は、同期対象となる前記通信IDが複数存在する場合は、同期対象となる複数の前記通信IDに対応する前記同期用カウンタの値のうち、最も大きい前記同期用カウンタの値に1を加えて同期後の前記同期用カウンタの値とし、同期後の前記通信用カウンタの値をゼロとする情報処理装置。 - 請求項1に記載の情報処理装置において、
前記同期対象識別子には、同期対象となる前記通信IDを示す情報、または異常が発生した情報処理装置を示す情報が含まれる情報処理装置。 - 請求項1に記載の情報処理装置において、
前記最新性情報管理部は、メッセージを受信すると受信したメッセージに含まれる前記通信IDに対応する前記通信用カウンタの値を1増加させ、
前記最新性情報管理部は、受信したメッセージに含まれる前記通信IDが前記通信用カウンタの同期を依頼するメッセージであることを示す前記通信ID以外の場合は、受信したメッセージに含まれる前記通信用カウンタの値と、前記最新性情報管理部が1増加させた後の前記通信用カウンタの値とを比較することで受信したメッセージの最新性を確認する情報処理装置。 - 請求項1に記載の情報処理装置が接続される通信セグメント同士の通信を中継する管理装置であって、
複数の前記情報処理装置は、2以上のセグメントに分かれて配置され、
前記2以上のセグメントのそれぞれと通信する通信部と、
前記同期依頼メッセージを受信すると、前記同期依頼メッセージに基づき前記通信用カウンタを同期すべき前記情報処理装置が属する前記セグメントにのみ前記同期依頼メッセージを転送する転送部とを備える管理装置。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018196082A JP7016783B2 (ja) | 2018-10-17 | 2018-10-17 | 情報処理装置、管理装置 |
| US17/284,489 US11888645B2 (en) | 2018-10-17 | 2019-10-10 | Information processing device and management device |
| DE112019004692.6T DE112019004692T5 (de) | 2018-10-17 | 2019-10-10 | Datenverarbeitungsvorrichtung und managementvorrichtung |
| PCT/JP2019/040100 WO2020080259A1 (ja) | 2018-10-17 | 2019-10-10 | 情報処理装置、管理装置 |
| CN201980068361.0A CN112930662B (zh) | 2018-10-17 | 2019-10-10 | 信息处理装置、管理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018196082A JP7016783B2 (ja) | 2018-10-17 | 2018-10-17 | 情報処理装置、管理装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020065176A JP2020065176A (ja) | 2020-04-23 |
| JP7016783B2 true JP7016783B2 (ja) | 2022-02-07 |
Family
ID=70284596
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018196082A Active JP7016783B2 (ja) | 2018-10-17 | 2018-10-17 | 情報処理装置、管理装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11888645B2 (ja) |
| JP (1) | JP7016783B2 (ja) |
| CN (1) | CN112930662B (ja) |
| DE (1) | DE112019004692T5 (ja) |
| WO (1) | WO2020080259A1 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115190578B (zh) * | 2022-07-19 | 2023-10-24 | 北京汽车研究总院有限公司 | 车载通信中信息更新方法及装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017026360A1 (ja) | 2015-08-07 | 2017-02-16 | 株式会社デンソー | 通信システム |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS63228854A (ja) * | 1987-03-17 | 1988-09-22 | Omron Tateisi Electronics Co | Idシステムの通信制御装置 |
| US6247059B1 (en) * | 1997-09-30 | 2001-06-12 | Compaq Computer Company | Transaction state broadcast method using a two-stage multicast in a multiple processor cluster |
| JP5770602B2 (ja) * | 2011-10-31 | 2015-08-26 | トヨタ自動車株式会社 | 通信システムにおけるメッセージ認証方法および通信システム |
| JP2015122058A (ja) * | 2013-11-20 | 2015-07-02 | 株式会社リコー | 情報共有システムおよび情報共有方法 |
| WO2015170453A1 (ja) * | 2014-05-08 | 2015-11-12 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車載ネットワークシステム、不正検知電子制御ユニット及び不正対処方法 |
| CN111181732A (zh) * | 2014-05-08 | 2020-05-19 | 松下电器(美国)知识产权公司 | 车载网络系统、电子控制单元及不正常检测方法 |
| JP6199335B2 (ja) * | 2014-06-05 | 2017-09-20 | Kddi株式会社 | 通信ネットワークシステム及びメッセージ検査方法 |
| JP6218184B2 (ja) * | 2014-11-13 | 2017-10-25 | 日立オートモティブシステムズ株式会社 | 情報処理装置、メッセージ認証方法 |
| JP6555209B2 (ja) | 2015-08-07 | 2019-08-07 | 株式会社デンソー | 通信システム、管理ノード、通信ノード、カウンタ同期方法、カウント値配信方法、カウント値初期化方法、プログラム、記録媒体 |
| JP6534913B2 (ja) * | 2015-11-06 | 2019-06-26 | 日立オートモティブシステムズ株式会社 | 情報処理装置および不正メッセージ検知方法 |
| JP6730578B2 (ja) * | 2015-11-12 | 2020-07-29 | 富士通株式会社 | 監視方法および監視システム |
| JP6409849B2 (ja) * | 2016-10-31 | 2018-10-24 | トヨタ自動車株式会社 | 通信システム及び通信方法 |
| CN107948176A (zh) * | 2017-12-03 | 2018-04-20 | 吴武飞 | 一种面向can网络的信息安全增强方法及控制器 |
-
2018
- 2018-10-17 JP JP2018196082A patent/JP7016783B2/ja active Active
-
2019
- 2019-10-10 US US17/284,489 patent/US11888645B2/en active Active
- 2019-10-10 WO PCT/JP2019/040100 patent/WO2020080259A1/ja active Application Filing
- 2019-10-10 CN CN201980068361.0A patent/CN112930662B/zh active Active
- 2019-10-10 DE DE112019004692.6T patent/DE112019004692T5/de active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017026360A1 (ja) | 2015-08-07 | 2017-02-16 | 株式会社デンソー | 通信システム |
Non-Patent Citations (1)
| Title |
|---|
| 森田 伸義 Nobuyoshi Morita,車載通信向け通信シーケンス番号の再同期方式 A Method of Resynchronization of the Communication Sequence Number for Automotive Networks,CSS2016 コンピュータセキュリティシンポジウム2016 論文集 合同開催 マルウェア対策研究人材育成ワークショップ2016 プライバシーワークショップ2016 情報処理学会シンポジウムシリーズ Vol.2016 No.2 [CD-ROM] ,日本,一般社団法人情報処理学会 コンピュータセキュリティ研究会 セキュリティ心理学とトラスト研究会,2016年10月04日,第2016巻,第384-390頁 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20210377073A1 (en) | 2021-12-02 |
| CN112930662B (zh) | 2022-06-10 |
| WO2020080259A1 (ja) | 2020-04-23 |
| JP2020065176A (ja) | 2020-04-23 |
| DE112019004692T5 (de) | 2021-06-24 |
| CN112930662A (zh) | 2021-06-08 |
| US11888645B2 (en) | 2024-01-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11134100B2 (en) | Network device and network system | |
| CN108810887B (zh) | 多个管理器或接入点在无线网络中的不相交安全 | |
| JP6814549B2 (ja) | 演算装置、認証システム、認証方法 | |
| Lu et al. | LEAP: A lightweight encryption and authentication protocol for in-vehicle communications | |
| US20060077908A1 (en) | Method for generating and authenticating address automatically in IPv6-based internet and data structure thereof | |
| WO2017038500A1 (ja) | 中継装置 | |
| US20190288849A1 (en) | Hash-chain based sender identification scheme | |
| US10425231B2 (en) | Information processing apparatus and method for authenticating message | |
| US10311005B2 (en) | Message translator | |
| JP2017121091A (ja) | Ecu、及び車用ネットワーク装置 | |
| WO2018214701A1 (zh) | 一种数据报文发送方法、网络设备、控制设备及网络系统 | |
| KR20150135032A (ko) | Puf를 이용한 비밀키 업데이트 시스템 및 방법 | |
| CN113632419A (zh) | 用于对要在总线系统(bu)、特别是机动车辆的总线系统中传输的至少一个数据分组进行生成和认证检查的装置和方法 | |
| JP7016783B2 (ja) | 情報処理装置、管理装置 | |
| JP2018182767A (ja) | Ecu、ネットワーク装置、及び車用ネットワーク装置 | |
| US10581609B2 (en) | Log message authentication with replay protection | |
| Došek et al. | Secure high level communication protocol for CAN bus | |
| Horvat et al. | Protection of CAN communication on embedded platform using symmetric encryption | |
| US20220078138A1 (en) | Trusted remote management unit | |
| JP2020141414A (ja) | Ecu、ネットワーク装置 | |
| KR20230121137A (ko) | 데이터 전송 방법 및 장치 | |
| Janků et al. | SECURE HIGH LEVEL COMMUNICATION PROTOCOL FOR CAN BUS. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210219 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220105 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220126 |