WO2017010172A1 - ゲートウェイ装置およびその制御方法 - Google Patents

ゲートウェイ装置およびその制御方法 Download PDF

Info

Publication number
WO2017010172A1
WO2017010172A1 PCT/JP2016/065246 JP2016065246W WO2017010172A1 WO 2017010172 A1 WO2017010172 A1 WO 2017010172A1 JP 2016065246 W JP2016065246 W JP 2016065246W WO 2017010172 A1 WO2017010172 A1 WO 2017010172A1
Authority
WO
WIPO (PCT)
Prior art keywords
domain
message
key
gateway device
domains
Prior art date
Application number
PCT/JP2016/065246
Other languages
English (en)
French (fr)
Inventor
伸義 森田
信 萱島
大和田 徹
恵輔 伯田
Original Assignee
日立オートモティブシステムズ株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日立オートモティブシステムズ株式会社 filed Critical 日立オートモティブシステムズ株式会社
Priority to US15/743,691 priority Critical patent/US10560286B2/en
Priority to CN201680034661.3A priority patent/CN107710676B/zh
Priority to EP16824152.9A priority patent/EP3324574B1/en
Publication of WO2017010172A1 publication Critical patent/WO2017010172A1/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1475Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored

Definitions

  • the present invention has been made in view of the above problems, and an object thereof is to reduce the management burden of a key for generating a message tampering detection code.
  • the in-vehicle bus 40 may be, for example, CAN or CAN FD (Flexible Data-Rate). Further, the number of in-vehicle buses 40 may be two, and the number of domains may be two.
  • the GW apparatus 10 includes an out-of-vehicle communication unit 11, a replacement processing unit 12, a routing processing unit 13, an in-vehicle communication unit 14, and a key related information storage unit 15.
  • the vehicle exterior communication unit 11 is connected to a device or center outside the vehicle 30 via a network (wired or wireless) 50, and transmits / receives messages to / from the vehicle exterior.
  • the replacement processing unit 12 determines whether the received message is a MAC replacement target.
  • the MAC replacement determination information 151 is information used to determine whether or not the message received by the replacement processing unit 12 is a replacement target.
  • the key information 152 is key information of each domain divided by the GW apparatus 10, and the replacement processing unit 12 calculates a MAC corresponding to the communication destination domain using the domain key acquired from the key information 152.
  • the message generating unit 23 generates a message by assigning the MAC calculated using the domain key selected by the key using unit 22.
  • the key related information storage unit 24 holds usage key information 241.
  • the usage key information 241 is domain key information added to the message, and the message generation unit 23 calculates the MAC using the domain key acquired from the usage key information 241.
  • the inter-domain key is a short cycle (high cycle) message, a message transmitted to a plurality of domains, a message prioritized in communication arbitration, or a domain having high importance in terms of security and functional safety. Although it may be set individually for a message to be communicated, it is not limited to this example.
  • the inter-domain key target column 1514 is used in the second embodiment.
  • FIG. 6 shows an example of the table configuration of the key information 152 referred to in step 102.
  • the domain column 1521 shows the domain of the in-vehicle network (in-vehicle bus 40) divided by the GW device 10.
  • the domain key column 1522 indicates a domain key set for each domain in the domain column 1521.
  • the total number of domains that are communication destinations acquired at step 1007 and the number of transmitted messages are managed, and the number of messages is counted up every time a message is transmitted. You may determine by comparing the number of transmitted messages.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

2以上のドメイン間でメッセージを中継するゲートウェイ装置であって、前記2以上のドメインの中の第1のドメインに対応する第1の改ざん検知符号と第1のデータを含む第1のメッセージを前記第1のドメインから受信し、前記2以上のドメインの中の第2のドメインに対応する第2の改ざん検知符号と前記第1のデータを含む第2のメッセージを前記第2のドメインへ送信する。

Description

ゲートウェイ装置およびその制御方法
 本発明は、ゲートウェイ装置およびその制御方法に関するものである。
 自動車の車載ネットワークにおける代表的な標準プロトコルとしてController Area Network(以下、CAN)が普及している。このような車載ネットワークでは、OBD2(On-Board-Diagnostics 2)ポートのような車載ネットワークに直接繋がっているインタフェースに不正な機器を接続し、リプレイ攻撃が行なわれる危険性がある。ここで、リプレイ攻撃とは、通信路上を流れるメッセージを盗聴して事前に取得し、取得したメッセージを再送することで不正な動作を引き起こす攻撃である。
 他にも、車外のシステムと連携する情報処理装置がマルウェアに感染し、感染した装置が偽メッセージを車載ネットワークに送信し、メッセージを受信した制御装置が誤動作を引き起こすといった危険性もある。
 通常、これらの脅威に対しては、各情報処理装置間を流れるメッセージに対して、改ざん検知符号としてMAC(Message Authentication Code)を用いたメッセージ認証を実施することが有効とされている。MACは暗号化用の鍵を利用し、所定の暗号アルゴリズムを用いて生成されるため、各制御装置において鍵の管理が必要となる。
 このような技術に関して、特許文献1には、通信フレーム部分にメッセージ種別の識別子とともにセキュリティ情報(改ざん検知符号)を含ませ、セキュリティ情報は各正規ノードの通信のセッション鍵とする技術が開示されている(要約)。
特開2014-183395号公報
 特許文献1に開示された技術を用いれば、正規の通信であることを確認することは可能である。しかしながら、特許文献1には鍵を管理する技術に関する開示はない。車載システムでは各装置の処理能力に制約があるため、鍵の管理においても負担の少ない技術が必要とされている。
 そこで、本発明は、以上の問題に鑑みてなされたものであり、メッセージの改ざん検知符号を生成する鍵の管理負担の低減を目的とする。
 上記目的を達成するために、本発明に係る代表的なゲートウェイ装置は、2以上のドメイン間でメッセージを中継するゲートウェイ装置であって、前記2以上のドメインの中の第1のドメインに対応する第1の改ざん検知符号と第1のデータを含む第1のメッセージを前記第1のドメインから受信し、前記2以上のドメインの中の第2のドメインに対応する第2の改ざん検知符号と前記第1のデータを含む第2のメッセージを前記第2のドメインへ送信することを特徴とする。
 本発明によれば、メッセージの改ざん検知符号を生成する鍵の管理負担を低減することが可能になる。
車載システムの構成の例を示す図である。 ドメイン間通信の処理シーケンスの例を示す図である。 送信制御装置の処理フローの例を示す図である。 GW装置の処理フローの例を示す図である。 受信制御装置の処理フローの例を示す図である。 鍵情報のテーブル構成の例を示す図である。 MAC付け替え判定情報のテーブル構成の例を示す図である。 送信制御装置のドメイン間鍵処理を含む処理フローの例を示す図である。 GW装置のドメイン間鍵処理を含む処理フローの例を示す図である。 受信制御装置のドメイン間鍵処理を含む処理フローの例を示す図である。 利用鍵情報のテーブル構成の例を示す図である。 ナンスを含むドメイン間通信の処理シーケンスの例を示す図である。
 以下、本発明の実施形態について、実施例を用い、図面を参照しながら詳細に説明する。
 実施例1では、各制御装置がドメインごとに共有されるドメイン鍵を管理し、メッセージに対して、ドメイン鍵を用いて算出したMACを付与し、GW装置は付け替え処理部とMAC付け替え判定情報を用いて受信したメッセージがMACの付け替え対象なのかどうかを判定し、付け替え対象のメッセージに対してMACの付け替えを行い、ルーティング処理部を用いて通信先のドメインにメッセージを送信することを可能とする鍵管理の例を説明する。
 ただし、実施例1の構成は、この例に限定されるものではない。なお、各装置で利用する暗号用の鍵は、製品開発時やメンテナンス時などの任意のタイミングで安全に配布、更新されていることが好ましい。
 図1は、車載システムの構成の例を示す図である。車両30に搭載されているGW装置10は、車内バス40を介して、制御装置20と互いに接続されている。なお、車内バス40-1、40-2、・・・40-n(nは3以上の自然数)を区別なく代表して表す場合は車内バス40と記載し、制御装置20-1a、20-1b、20-2、・・・20-nを区別なく代表して表す場合は制御装置20と記載する。
 ここで、車内バス40としては、例えば、CANやCAN FD(Flexible Data-Rate)であってもよい。また、車内バス40の個数は2であってもよく、ドメインの個数も2であってもよい。
 GW装置10は、車外通信部11、付け替え処理部12、ルーティング処理部13、車内通信部14、鍵関連情報記憶部15から成る。車外通信部11はネットワーク(有線、無線)50を介して車両30の外の装置、或いはセンタ等と接続し、車外とのメッセージの送受信を行なう。付け替え処理部12は受信したメッセージがMACの付け替え対象なのかどうかを判定する。
 ルーティング処理部13は付け替え処理部12の判定結果に基づいて通信先の制御装置20を特定し、送信するメッセージを作成する。車内通信部14はルーティング処理部13が生成したメッセージを該当するドメインの車内バス40に送信する。鍵関連情報記憶部15はMAC付け替え判定情報151と鍵情報152を保持する。
 MAC付け替え判定情報151は付け替え処理部12の受信したメッセージが付け替え対象であるのか否かを判定するために利用される情報である。鍵情報152はGW装置10によって分割された各ドメインの鍵情報であり、付け替え処理部12は鍵情報152から取得したドメイン鍵を用いて通信先のドメインに対応するMACを算出する。
 制御装置20は、車内通信部21、鍵利用部22、メッセージ生成部23、鍵関連情報記憶部24から成る。車内通信部21は車内バス40にメッセージを送信する、或いは車内バス40からメッセージを受信する。鍵利用部22は制御装置20が接続されているドメインに設定されたドメイン鍵を選択し、例えばMACの生成および検証を行なう。
 メッセージ生成部23は、鍵利用部22が選択したドメイン鍵を用いて算出したMACを付与してメッセージを生成する。鍵関連情報記憶部24は利用鍵情報241を保持する。利用鍵情報241はメッセージに付与するドメイン鍵の情報であり、メッセージ生成部23は利用鍵情報241から取得したドメイン鍵を用いてMACを算出する。
 なお、制御装置20は、車両30を制御するための図示を省略したセンサ機器やアクチュエータ等と接続されてもよく、それらを備えてもよい。また、制御装置20-1aと制御装置20-1bが車内バス40-1に接続されているように、複数の制御装置20が1つの車内バス40に接続され、1つのドメインに属してもよい。
 また、利用鍵情報241、MAC付け替え判定情報151、鍵情報152のそれぞれの情報は、図示を省略した入力装置から予め設定されてもよいし、ネットワーク50経由で予め設定されてもよい。
 図2は、制御装置20がGW装置10を介して異なるドメインの制御装置20に対してメッセージを送信する、すなわちドメイン間通信における概要処理シーケンスの例を示す図である。なお、送信制御装置20-3と受信制御装置20-4は、複数の制御装置20の中から送信する制御装置20と受信する制御装置20の例として挙げたものであり、制御装置20と同じ構成を有している。
 以下のステップ2101からステップ2104は送信制御装置20-3の処理である。ステップ2101では、メッセージ生成部23が、車両30の走行制御に用いる制御パラメータ情報を、例えば送信制御装置20-3に備わるセンサ機器等から取得する。
 ステップ2102では、鍵利用部22が、利用鍵情報241から送信制御装置20-3が接続されたドメインのドメイン鍵を取得し、取得したドメイン鍵を用いてMACを算出する。例えば、取得した制御パラメータ情報をメッセージのデータとし、メッセージのID情報等の送受信に必要な情報をメッセージのヘッダとして、データとヘッダへドメイン鍵を適用することによりMACを算出してもよい。また、データのみにドメイン鍵を適用することによりMACを算出してもよい。
 ステップ2103では、メッセージ生成部23が、メッセージのデータとなるステップ2101で取得した制御パラメータ情報と、ステップ2102で算出したMACをもとに、通信用のメッセージを生成する。なお、メッセージはヘッダや図示を省略したフッタ等を含んでもよい。ステップ2104では、メッセージ生成部23が、車内通信部21を用いてステップ2103で生成したメッセージを車内バス40に送信する。
 ステップ101では、付け替え処理部12は、車内通信部14から受信したメッセージのID情報がMACの付け替え対象であるのか否かを、MAC付け替え判定情報151をもとに判定する。受信したメッセージがMACの付け替え対象と判定した場合はステップ102に進み、MACの付け替え対象ではないと判定した場合は処理を終了し、エラー処理に移行する。
 図7に、ステップ101で参照されるMAC付け替え判定情報151のテーブル構成の例を示す。CAN-ID欄1511は、メッセージを識別する情報すなわちメッセージのID情報を示す。図7では、CAN-IDを情報の例とし、CAN-ID欄1511としたが、メッセージを識別可能な情報であればCAN-ID以外の情報を用いてもよい。
 通信関係ドメイン欄1512は、CAN-ID欄1511の値を使用するメッセージで通信関係のあるドメインを示す。MAC付け替え要否欄1513は、CAN-ID欄1511の値を使用するメッセージがMACの付け替え対象なのか、非対象なのかを示す。MAC付け替え要否欄1513の値が「要」の場合はメッセージに付与されたMACは付け替えの対象となり、「否」の場合はメッセージに付与されたMACは付け替えの対象とならない。
 ドメイン間鍵対象欄1514は、CAN-ID欄1511の値を使用するメッセージがドメイン間鍵の対象であるのか、非対象であるのかを示す。ドメイン間鍵対象欄1514の値が「該当」の場合はドメイン間鍵を用いてMACを算出する対象であることを示し、「非該当」の場合はドメイン間鍵を用いないことを示す。
 ここで、ドメイン間鍵は、周期の短い(高周期の)メッセージ、或いは複数のドメインに送信されるメッセージ、通信調停において優先されるメッセージ、或いはセキュリティや機能安全の観点で重要度の高いドメインと通信されるメッセージ等に対して個々に設定してもよいが、この例に限らないものである。なお、ドメイン間鍵対象欄1514は実施例2で用いられる。
 ステップ102では、付け替え処理部12は、受信したメッセージ(ヘッダとデータ)と鍵情報152から取得したドメイン鍵を用いてMACを算出し、受信したメッセージに付与されたMACと、算出したMACを比較し、MACの値が一致している場合はステップ103に進み、MACの値が一致していない場合は本処理を終了して、エラー処理に移行する。
 図6に、ステップ102で参照される鍵情報152のテーブル構成の例を示す。ドメイン欄1521は、GW装置10によって分割される車載ネットワーク(車内バス40)のドメインを示す。ドメイン鍵欄1522は、ドメイン欄1521のドメインごとに設定されるドメイン鍵を示す。
 鍵情報152のテーブルのドメインとドメイン鍵の設定は、図示を省略した入力画面を表示して、それぞれドメインとドメイン鍵との組合せが入力されることによる設定であってもよい。また、予め設定されたドメインを入力画面に表示し、各ドメインに対応するドメイン鍵の入力枠を表示して、各入力枠にドメイン鍵が入力されることによる設定であってもよい。ここで、図1に示すようにドメイン1には制御装置20-1aと制御装置20-1bの2つが属する場合もあるため、ドメイン鍵の入力枠の表示の個数は、制御装置20の個数よりも少ない個数であってもよい。
 ステップ103では、付け替え処理部12が、受信したメッセージが送られてきた車内バス40のドメインと、通信関係ドメイン欄1512をもとに、通信先のドメインを特定し、特定した通信先のドメインをもとに鍵情報152から取得したドメイン鍵を用いてMACを算出する。ステップ104では、付け替え処理部12が、受信したメッセージのMACをステップ103で生成したMACに付け替える。
 ステップ105では、ルーティング処理部13が、ステップ103で特定した通信先となるドメインの情報を取得する。ここで、ステップ103において付け替え処理部12が、図示を省略した一時的なメモリ上に通信先のドメインの情報を格納しておいてもよい。ステップ106では、ルーティング処理部13が、ステップ104で生成したメッセージを、ステップ105で取得した通信先となるドメインの車内バス40に送信する。
 なお、ステップ103からステップ106までの処理を、通信先のドメインの数だけ繰り返し実施する。
 以下のステップ2201からステップ2202は受信制御装置20-4の処理である。ステップ2201では、鍵利用部22が、利用鍵情報241から受信制御装置20-4が接続されているドメインのドメイン鍵を取得し、受信したメッセージ(ヘッダ、データ)をもとにMACを算出し、算出したMACと受信したメッセージに付与されたMACを比較する。
 MACの値が一致している場合はステップ2202に進み、MACの値が一致していない場合は本処理を終了し、エラー処理に移行する。ステップ2202では、受信制御装置20-4が受信したメッセージのデータである制御パラメータ情報をもとに走行制御を実施する。
 以上のステップにより、制御装置20はGW装置10を介したドメイン間通信において、異なるドメインの制御装置20にメッセージを送信できる。なお、GW装置10の処理負荷を低減するために、ステップ102におけるMACの検証処理を省略してもよい。
 また、MACは暗号化用の鍵を利用して所定の暗号アルゴリズムにより生成されるため、MACの生成の代わりに暗号化されたデータを生成してメッセージに含め、暗号化のもととなったデータはメッセージに含めず、メッセージを送信してもよい。このように暗号化されたデータがメッセージに含められて送信される場合は、MACの値が一致するかを比較して判定するMAC検証処理を省略してもよい。
 図3は、図2のステップ2101からステップ2104までの、送信制御装置20-3の詳細な処理フローの例を示す図である。ステップ21001では、メッセージ生成部23が、車両の走行制御に用いる制御パラメータ情報を、例えば送信制御装置20-3に備わるセンサ機器等から取得する。
 ステップ21002では、メッセージ生成部23が、ステップ21001で取得した制御パラメータ情報に対応するCAN-IDを取得する。なお、予め制御パラメータ情報の種類に応じてCAN-IDが設定され、図示を省略したメモリ等に記憶されている。
 ステップ21003では、鍵利用部22が、ステップ21002で取得したCAN-IDがメッセージ認証の対象であるのか否かを判定する。メッセージ認証の対象となる場合はステップ21004に進み、メッセージ認証の対象とならない場合はステップ21006に進む。なお、予めメッセージ認証の対象となるCAN-IDのリストが設定され、図示を省略したメモリ等に記憶されている。
 ステップ21004では、鍵利用部22が、利用鍵情報241から送信制御装置20-3の接続されたドメインのドメイン鍵を取得する。ステップ21005では、鍵利用部22が、ステップ21004で取得したドメイン鍵を用いてMACを算出する。
 ステップ21006では、メッセージ生成部23が、ステップ21003においてメッセージ認証の対象外となった場合は、ステップ21001で取得した制御パラメータ情報をもとに通信用メッセージを生成する。一方、ステップ21003においてメッセージ認証の対象となった場合は、ステップ21001で取得した制御パラメータ情報と、ステップ21005で算出したMACをもとに、通信用のメッセージを生成する。
 ステップ21007では、メッセージ生成部23が、車内通信部21を用いて、ステップ21006で生成したメッセージを車内バス40に送信する。
 以上のステップ21001からステップ21007により、送信制御装置20-3は、ドメイン鍵を用いて算出したMACを付与したメッセージを車内バス40に送信できる。
 図4は、図2のステップ101からステップ106までの、GW装置10の詳細な処理フローの例を示す図である。ステップ1001では、付け替え処理部12が、受信したメッセージに付与されたCAN-IDを取得する。
 ステップ1002では、付け替え処理部12が、MAC付け替え判定情報151を参照し、ステップ1001で取得したCAN-IDと一致するCAN-ID欄1511のCAN-IDに対応するMAC付け替え要否欄1513の情報を取得し、取得したMAC付け替え要否欄1513の情報が「要」の場合はステップ1003に進み、「否」の場合は本処理を終了する。
 ステップ1003では、付け替え処理部12が、受信したメッセージが送られてきた車内バス40のドメインすなわち通信元のドメインを取得し、取得したドメインと一致するドメイン欄1521のドメインに対応するドメイン鍵欄1522のドメイン鍵を取得する。
 ここで、図1に示した例のように車内通信部14へドメイン1の車内バス40-1、ドメイン2の車内バス40-2、ドメインnの車内バス40-nが独立して接続され、どの接続の車内バス40から受信したかに応じて、受信したメッセージが送られてきた車内バス40のドメインを取得してもよいし、メッセージにドメインを特定する情報が含まれて、その情報からドメインを取得してもよい。
 ステップ1004では、付け替え処理部12が、受信したメッセージとステップ1003で取得したドメイン鍵を用いてMACを算出し、受信したメッセージに付与されているMACと算出したMACを比較して検証する。ここで、2つのMACの値が一致した場合は正しく、一致しなかった場合は正しくないとする。
 ステップ1005では、付け替え処理部12が、ステップ1004におけるMACの比較の結果、MACが一致して正しかった場合はステップ1007に進み、一致せずにMACが正しくなかった場合はステップ1006に進む。ステップ1006では、付け替え処理部12が、例えばエラーが発生したことを車内バス40経由で各制御装置等に通知し、本処理を終了する。
 ステップ1007では、付け替え処理部12が、ステップ1001で取得したCAN-IDと一致するCAN-ID欄1511のCAN-IDに対応する通信関係ドメイン欄1512のドメインを取得する。この通信関係ドメイン欄1512から取得したドメインの中で、ステップ1003で取得した通信元のドメイン以外のドメインを通信先のドメインとして取得する。そして、取得した通信先のドメインと一致するドメイン欄1521のドメインに対応するドメイン鍵欄1522のドメイン鍵を鍵情報152から取得する。
 ステップ1008では、付け替え処理部12が、受信したメッセージとステップ1007で取得した通信先のドメインのドメイン鍵を用いてMACを算出する。ステップ1009では、付け替え処理部12は、受信したメッセージに付与されたMACの代わりに、ステップ1008で算出したMACを付与し、メッセージを再生成する。
 ステップ1010では、ルーティング処理部13が、ステップ1009で生成したメッセージをステップ1007で取得した通信先となるドメインの車内バス40に送信する。
 ステップ1011では、ルーティング処理部13が、対象となる全ての通信先のドメインに対して、ステップ1009で生成したメッセージを送信した場合は本処理を終了し、対象となる全ての通信先のドメインに対してメッセージを送信できていない場合は、ステップ1008に戻る。
 ステップ1011の判定として、例えば、ステップ1007で取得した通信先となるドメインの総数と送信したメッセージ数を管理し、メッセージを送信するたびにメッセージ数をカウントアップし、通信先となるドメインの総数と送信したメッセージ数を比較することで判定してもよい。
 以上のステップ1001からステップ1011により、GW装置10はMACの付け替えが必要なメッセージに対して、MACを付け替えた上で、通信先となるドメインにメッセージを転送できる。
 図5は、図2のステップ2201からステップ2202までの、受信制御装置20-4の詳細な処理フローの例を示す図である。ステップ22001では、鍵利用部22が、受信したメッセージに付与されたCAN-IDを取得する。
 ステップ22002では、鍵利用部22が、ステップ22002で取得したCAN-IDがメッセージ認証の対象であるのか否かを判定する。メッセージ認証の対象となる場合はステップ22003に進み、メッセージ認証の対象とならない場合はステップ22007に進む。なお、予めメッセージ認証の対象となるCAN-IDのリストが設定され、図示を省略したメモリ等に記憶されている。
 ステップ22003では、鍵利用部22が、受信制御装置20-4の接続された車内バス40のドメインに該当するドメイン鍵を利用鍵情報241から取得する。ステップ22004では、鍵利用部22が、受信したメッセージとステップ22003で取得したドメイン鍵を用いてMACを算出し、受信したメッセージに付与されたMACと算出したMACを比較して検証する。ここで、MACの値が一致した場合は正しく、一致しなかった場合は正しくないとする。
 ステップ22005では、鍵利用部22が、ステップ22004におけるMACの比較の結果、MACが一致して正しかった場合はステップ22007に進み、MACが一致せずに正しくなかった場合はステップ22006に進む。ステップ22006では、鍵利用部22が、例えばエラーが発生したことを車内バス40経由で各制御装置等に通知し、本処理を終了する。ステップ22007では、受信制御装置20-4が、受信したメッセージをもとに走行制御を実施する。
 以上のステップ22001からステップ22007により、受信制御装置20-4は、車内バス40を介して受信したメッセージに対してドメイン鍵を用いてMACを検証し、走行制御を実施できる。
 以上、実施例1によれば、各制御装置20はドメインごとに共有されるドメイン鍵を管理し、GW装置10は受信したメッセージがMACの付け替え対象であるのか否かを判定し、付け替え対象のメッセージに対してMACの付け替えを行い、通信先のドメインにメッセージを送信することが可能となる。
 これにより、ドメイン鍵を管理すればよいので、制御装置20毎に鍵を管理する構成と比較して、管理する鍵数を減らすことができ、鍵の更新負荷も減らすことができる。そして、車載システムのようにGW装置10の処理能力に制限のあるシステムにおいても鍵を管理することが可能になる。また、1つの鍵が漏洩しても車載システムとしての影響を抑えることができる。
 なお、実施例1では車載ネットワークを対象にした例を説明したが、これに限定するものではなく、他の制御系システムや情報系システムにおける装置にも適用可能である。
 実施例2として、各制御装置がドメインごとに共有されるドメイン鍵に加えて、ドメイン間で共有されるドメイン間鍵も管理し、メッセージに対して、メッセージのID情報に基づいてドメイン鍵、或いはドメイン間鍵を用いて算出したMACを付与し、GW装置は付け替え処理部とMAC付け替え判定情報を用いて受信したメッセージがMACの付け替え対象なのかどうかを判定するとともに、MACの算出に用いた鍵がドメイン鍵なのか、ドメイン間鍵なのかを判定し、ドメイン鍵を用いたメッセージに対してはMACの付け替えを行い、ドメイン間鍵を用いたメッセージに対してはMACの付け替えを行なわず、ルーティング処理部を用いて通信先のドメインにメッセージを送信し、GW装置における処理負荷を低減することを可能とする鍵管理の例を説明する。
 車載システムの構成は、制御装置20の利用鍵情報241が利用鍵情報2141であることを除き、実施例1の図1を用いて説明した構成と同じであり、各部の動作が以下で説明するように実施例1とは異なる。
 図8は、図3のステップ21003とステップ21005の間に、MACの算出に用いる鍵の種類を判定する送信制御装置20-3の詳細な処理フローの例を示す図である。ステップ21001からステップ21003までの各ステップは、実施例1の図3を用いて説明したステップ21001からステップ21003までの各ステップと同様である。
 ステップ21008では、鍵利用部22が、図11を用いて説明する利用鍵情報2141を参照し、ステップ21002で取得したCAN-IDがドメイン鍵の対象であるのか否かを判定し、ドメイン鍵の対象である場合はステップ21004に進み、ドメイン鍵の対象ではない場合はステップ21009に進む。
 図11に、ステップ21008で参照される利用鍵情報2141のテーブル構成の例を示す。CAN-ID欄21411は、メッセージを識別する情報を示す。メッセージを識別可能な情報であればCAN-ID以外の情報を用いてもよい。利用鍵欄21412は、CAN-ID欄21411のCAN-IDに応じてMACの生成に用いる鍵情報を示す。ドメイン鍵対象欄21413はCAN-ID欄21411のCAN-IDで識別されるメッセージが、ドメイン鍵の対象であるのか否かを示す。
 例えば、ステップ21008において、鍵利用部22は、ステップ21002で取得したCAN-IDと一致するCAN-ID欄21411のCAN-IDに対応するドメイン鍵対象欄21413の情報を取得し、ドメイン鍵対象欄21413の情報が「該当」の場合は、MACの生成においてドメイン鍵を利用し、「非該当」の場合は、MACの生成においてドメイン間鍵を利用する。
 このため、ステップ21009では、鍵利用部22が、ステップ21002で取得したCAN-IDと一致するCAN-ID欄21411のCAN-IDに対応する利用鍵欄21412のドメイン間鍵を取得する。
 ステップ21004からステップ21007までの各ステップは、実施例1の図3を用いて説明したステップ21004からステップ21007までの各ステップと同様である。
 以上のステップ21001からステップ21009により、送信制御装置20-3は、メッセージのCAN-IDに応じてドメイン鍵、或いはドメイン間鍵を用いたMACを生成できるようになる。
 図9は、図4のステップ1002において、MAC付け替え対象ではないと判定された場合に、ドメイン間鍵の対象メッセージであるのか否かを判定するGW装置10の詳細な処理フローの例を示す図である。ステップ1001、およびステップ1003からステップ1011までの各ステップは、実施例1の図4を用いて説明したステップ1001、およびステップ1003からステップ1011までの各ステップと同様である。
 ステップ1002では、付け替え処理部12が、MAC付け替え判定情報151を参照し、ステップ1001で取得したCAN-IDと一致するCAN-ID欄1511のCAN-IDに対応するMAC付け替え要否欄1513の情報を取得し、取得したMAC付け替え要否欄1513の情報が「要」の場合はステップ1003に進み、「否」の場合はステップ1012に進む。
 ステップ1012では、付け替え処理部12が、MAC付け替え判定情報151を参照し、ステップ1001で取得したCAN-IDと一致するCAN-ID欄1511のCAN-IDに対応するドメイン間鍵対象欄1514の情報を取得し、取得したドメイン間鍵対象欄1514の情報が「該当」の場合はステップ1013に進み、「非該当」の場合は本処理を終了する。
 ステップ1013では、付け替え処理部12が、受信したメッセージが送られてきた車内バス40のドメインすなわち通信元のドメインを取得する。そして、ステップ1001で取得したCAN-IDと一致する通信関係ドメイン欄1512のドメインを取得し、この通信関係ドメイン欄1512から取得したドメインの中で、通信元のドメイン以外のドメインを通信先のドメインとして取得する。
 ステップ1014では、ルーティング処理部13が、受信したメッセージをステップ1013で取得した通信先となる全てのドメインの車内バス40に送信する。
 以上のステップ1001からステップ1014により、GW装置10は、CAN-IDに応じて、ドメイン鍵を用いたMACが付与されたメッセージのMACを付け替え、ドメイン間鍵を用いたMACが付与されたメッセージのMACを付け替えずに、通信先となるドメインにメッセージを送信できる。MACを付け替えない場合は、GW装置10の処理負荷を低減できる。
 図10は、図5のステップ22002とステップ22004の間に、MACの検証に用いる鍵の種類を判定する受信制御装置20-4の詳細な処理フローの例を示す図である。ステップ22001とステップ22002の各ステップは、実施例1の図5を用いて説明したステップ22001とステップ22002の各ステップと同様である。
 ステップ22008では、鍵利用部22が、利用鍵情報2141を参照し、ステップ22001で取得したCAN-IDと一致するCAN-ID欄21411のCAN-IDに対応するドメイン鍵対象欄21413の情報を取得し、ドメイン鍵対象欄21413の情報が「該当」の場合は、ステップ22003に進み、「非該当」の場合は、ステップ22009に進む。
 ステップ22009では、鍵利用部22が、利用鍵情報2141を参照し、ステップ22001で取得したCAN-IDと一致するCAN-ID欄21411のCAN-IDに対応する利用鍵欄21412のドメイン間鍵を取得する。
 ステップ22003からステップ22007までの各ステップは、実施例1の図5を用いて説明したステップ22003からステップ22007までの各ステップと同様である。
 以上のステップ22001からステップ22009により、受信制御装置20-4は、CAN-IDに応じてドメイン鍵、或いはドメイン間鍵を用いたMACの検証を実施できるようになる。
 以上、実施例2によれば、各制御装置20はドメインごとに共有されるドメイン鍵に加えて、ドメイン間で共有されるドメイン間鍵を管理し、GW装置10はCAN-IDに応じて、ドメイン鍵を用いたMACが付与されたメッセージのMACを付け替え、ドメイン間鍵を用いたMACが付与されたメッセージのMACを付け替えずに、通信先となるドメインにメッセージを送信することで、GW装置10の処理負荷を低減できる。
 実施例3として、各制御装置がメッセージに対してナンス(nonce:使い捨て番号)を付与し、GW装置は受信したメッセージに付与されたナンスが正しいかを判定し、通信先のドメインにメッセージを送信し、GW装置における処理負荷を低減することを可能とする鍵管理の例を説明する。車載システムの構成は、実施例1の図1を用いて説明した構成であってもよい。
 図12は、図2のステップ2103、ステップ102、ステップ104にナンスの処理を加えたドメイン間通信における概要処理シーケンスの例を示す図である。送信制御装置20-3のステップ2101とステップ2102の各ステップは、実施例1の図2を用いて説明したステップ2101とステップ2102の各ステップと同様である。
 ステップ2105では、メッセージ生成部23が、ナンスの値を生成し、メッセージのデータとなる制御パラメータ情報とMACとナンスをもとに、通信用のメッセージを作成する。ここで、メッセージはヘッダや図示を省略したフッタ等を含んでもよい。ステップ2106では、メッセージ生成部23が、車内通信部21を用いてステップ2105で生成したナンスを含むメッセージを車内バス40に送信する。
 ナンスの値は、例えば通信のシーケンス番号であってもよいし、乱数等であってもよい。送信制御装置20-3とGW装置10とが同じナンスの値を得るために、ステップ2106より前の任意の時点で送信制御装置20-3とGW装置10がナンスの値を通信してもよいし、送信制御装置20-3とGW装置10とが同じアルゴリズムを実現する生成回路をそれぞれ備え、それぞれの生成回路でナンスの同じ値を生成してもよいし、送信制御装置20-3とGW装置10の同じアルゴリズムを実現する生成回路間でナンスの値を同期する通信を行ってもよい。
 GW装置10のステップ101、ステップ103からステップ105の各ステップは、実施例1の図2を用いて説明したステップ101、ステップ103からステップ105の各ステップと同様である。ステップ107では、付け替え処理部12が、ナンスの値を生成し、受信したメッセージのナンスの値と生成したナンスの値を比較し、ナンスの値が一致している場合はステップ103に進み、ナンスの値が一致していない場合は本処理を終了して、エラー処理に移行する。
 ステップ108では、ルーティング処理部13が、ステップ104で生成したナンスを含むメッセージを、ステップ105で取得した通信先となるドメインの車内バス40に送信する。この例では、メッセージのフォーマットを統一するためにナンスを含むメッセージとしている。
 受信制御装置20-4のステップ2201とステップ2202の各ステップは、実施例1の図2を用いて説明したステップ2201とステップ2202の各ステップと同様である。
 なお、ステップ2201ではナンスの値が検証されないため、ステップ108ではメッセージにナンスを含めずに送信してもよい。逆に、受信制御装置20-4もナンスの値を生成し、ステップ2201で鍵利用部22が、MACの値の一致を比較しての検証に加えて、ナンスの値の一致を比較しての検証を行ってもよい。
 以上、実施例3によれば、各制御装置20はナンスを付与してメッセージを送信し、GW装置10は受信したメッセージをナンスで検証可能となり、GW装置10の処理負荷を低減できる。
 10 GW装置
 20 制御装置
 30 車両
 40 車内バス

Claims (12)

  1.  2以上のドメイン間でメッセージを中継するゲートウェイ装置であって、
     前記2以上のドメインの中の第1のドメインに対応する第1の改ざん検知符号と第1のデータを含む第1のメッセージを前記第1のドメインから受信し、
     前記2以上のドメインの中の第2のドメインに対応する第2の改ざん検知符号と前記第1のデータを含む第2のメッセージを前記第2のドメインへ送信すること
    を特徴とするゲートウェイ装置。
  2.  前記ゲートウェイ装置は、
     さらに、前記2以上のドメインの中の第3のドメインに対応する第3の改ざん検知符号と前記第1のデータを含む第3のメッセージを前記第3のドメインへ送信すること
    を特徴とする請求項1に記載のゲートウェイ装置。
  3.  前記ゲートウェイ装置は、
     前記第1のドメインと前記第2のドメインのそれぞれに対応するドメイン鍵を管理し、
     前記第2のドメインに対応するドメイン鍵と前記第1のデータに基づいて前記第2の改ざん検知符号を生成し、
     前記第1のデータと前記第2の改ざん検知符号を含む前記第2のメッセージを生成し、
     前記第2のメッセージを前記第2のドメインへ送信すること
    を特徴とする請求項1に記載のゲートウェイ装置。
  4.  前記ゲートウェイ装置は、
     前記第1のメッセージに含まれる前記第1のメッセージを識別するID情報に基づいて、前記第2のメッセージを生成するか否かを判定し、
     前記第2のドメインを特定すること
    を特徴とする請求項3に記載のゲートウェイ装置。
  5.  前記ゲートウェイ装置は、
     前記第1のドメインに対応するドメイン鍵と前記第1のデータに基づいて改ざん検知符号を生成し、
     前記第1のメッセージに含まれる前記第1の改ざん検知符号と比較して一致すると判定した場合、前記第2の改ざん検知符号を生成し、前記第2のメッセージを生成し、前記第2のメッセージを送信すること
    を特徴とする請求項4に記載のゲートウェイ装置。
  6.  前記ゲートウェイ装置は、
     使い捨て番号を生成し、
     前記第1のメッセージに含まれる使い捨て番号と比較して一致すると判定した場合、前記第2の改ざん検知符号を生成し、前記第2のメッセージを生成し、前記第2のメッセージを送信すること
    を特徴とする請求項4に記載のゲートウェイ装置。
  7.  前記ゲートウェイ装置は、
     メッセージを識別するID情報に対して送受信される複数のドメインを管理し、
     前記第1のメッセージを識別するID情報に基づいて、前記第1のメッセージの送受信される複数のドメインを特定し、
     前記特定された複数のドメインの中の前記第1のドメインを除くドメインを送信先のドメインとして特定すること
    を特徴とする請求項5に記載のゲートウェイ装置。
  8.  前記ゲートウェイ装置は、
     前記2以上のドメインの中の第4のドメインと前記第1のドメインに共通のドメイン間鍵を管理し、
     前記ID情報に基づいて、前記第2のメッセージを生成しないと判定した場合、前記ドメイン間鍵の対象であると判定すると、前記第1のメッセージを前記第4のドメインへ送信すること
    を特徴とする請求項7に記載のゲートウェイ装置。
  9.  1以上の制御装置を含む1以上の第1のドメインと2以上の制御装置を含む1以上の第2のドメインを含む複数のドメイン間でメッセージを中継し、ドメイン鍵に基づく改ざん検知符号を前記メッセージに付与するゲートウェイ装置へ情報を設定する入力装置であって、
     前記複数のドメインの個数の入力枠を表示し、
     前記入力枠に入力された前記ドメイン鍵を前記ゲートウェイ装置へ設定すること
    を特徴とする入力装置。
  10.  2以上のドメイン間でメッセージを中継し、前記2以上のドメインの中の第1のドメインと第2のドメインのそれぞれに対応するドメイン鍵を管理するゲートウェイ装置の制御方法であって、
     前記第1のドメインに対応する第1の改ざん検知符号と第1のデータを含む第1のメッセージを前記第1のドメインから受信し、
     前記第2のドメインに対応する第2の改ざん検知符号と前記第1のデータを含む第2のメッセージを前記第2のドメインへ送信すること
    を特徴とするゲートウェイ装置の制御方法。
  11.  前記第2のメッセージを前記第2のドメインへ送信するために、
     前記第2のドメインに対応するドメイン鍵と前記第1のデータに基づいて前記第2の改ざん検知符号を生成し、
     前記第1のデータと前記第2の改ざん検知符号を含む前記第2のメッセージを生成すること
    を特徴とする請求項10に記載のゲートウェイ装置の制御方法。
  12.  前記第1のメッセージに含まれる前記第1のメッセージを識別するID情報に基づいて、前記第2のメッセージを生成するか否かを判定し、前記第2のドメインを特定すること
    を特徴とする請求項11に記載のゲートウェイ装置の制御方法。
PCT/JP2016/065246 2015-07-15 2016-05-24 ゲートウェイ装置およびその制御方法 WO2017010172A1 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US15/743,691 US10560286B2 (en) 2015-07-15 2016-05-24 Gateway device and control method for the same
CN201680034661.3A CN107710676B (zh) 2015-07-15 2016-05-24 网关装置及其控制方法
EP16824152.9A EP3324574B1 (en) 2015-07-15 2016-05-24 Gateway device and control method therefor

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2015-141509 2015-07-15
JP2015141509A JP6484519B2 (ja) 2015-07-15 2015-07-15 ゲートウェイ装置およびその制御方法

Publications (1)

Publication Number Publication Date
WO2017010172A1 true WO2017010172A1 (ja) 2017-01-19

Family

ID=57756901

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2016/065246 WO2017010172A1 (ja) 2015-07-15 2016-05-24 ゲートウェイ装置およびその制御方法

Country Status (5)

Country Link
US (1) US10560286B2 (ja)
EP (1) EP3324574B1 (ja)
JP (1) JP6484519B2 (ja)
CN (1) CN107710676B (ja)
WO (1) WO2017010172A1 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6693368B2 (ja) * 2016-09-21 2020-05-13 株式会社オートネットワーク技術研究所 通信システム、中継装置及び通信方法
DE102016221690A1 (de) * 2016-11-04 2018-05-09 Audi Ag Verfahren zum Übertragen von Datenpaketen zwischen einem Ethernet und einem Bussystem in einem Kraftfahrzeug sowie Gatewayvorrichtung und Kraftfahrzeug
JP6719413B2 (ja) * 2017-03-28 2020-07-08 株式会社Kddi総合研究所 セキュリティゲートウェイ装置、方法、及びプログラム
CN108737073B (zh) * 2018-06-22 2021-09-28 北京智芯微电子科技有限公司 分组加密运算中抵抗能量分析攻击的方法和装置
US10922439B2 (en) * 2018-06-29 2021-02-16 Intel Corporation Technologies for verifying memory integrity across multiple memory regions
DE102018220498A1 (de) * 2018-11-28 2020-05-28 Robert Bosch Gmbh Teilnehmerstationen für ein serielles Bussystem und Verfahren zum Übertragen einer Nachricht in einem seriellen Bussystem
JP2020092318A (ja) * 2018-12-04 2020-06-11 株式会社東芝 中継装置、中継方法及びコンピュータプログラム
JP7328419B2 (ja) * 2019-01-09 2023-08-16 国立大学法人東海国立大学機構 車載通信システム、車載通信装置、コンピュータプログラム及び通信方法
CN115378581A (zh) * 2019-07-12 2022-11-22 华为技术有限公司 一种认证方法、设备和系统
US11436342B2 (en) 2019-12-26 2022-09-06 Intel Corporation TDX islands with self-contained scope enabling TDX KeyID scaling

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000062480A2 (en) * 1999-04-13 2000-10-19 Nortel Networks, Inc. Apparatus and method for transmitting messages across different multicast domains
JP2007013366A (ja) * 2005-06-29 2007-01-18 Sony Corp 通信処理装置、通信処理システム、および方法、並びにコンピュータ・プログラム
JP2007135011A (ja) * 2005-11-10 2007-05-31 Auto Network Gijutsu Kenkyusho:Kk 中継接続ユニットおよび仮想車載lanシステム
JP2007336267A (ja) * 2006-06-15 2007-12-27 Toyota Motor Corp 車載通信システム
JP2012141660A (ja) * 2010-12-28 2012-07-26 Brother Ind Ltd 制御装置及びプログラム
JP2013048374A (ja) * 2011-08-29 2013-03-07 Toyota Motor Corp 保護通信方法
JP2014141154A (ja) * 2013-01-23 2014-08-07 Denso Corp 車両の暗号キー登録装置
JP2015114907A (ja) * 2013-12-12 2015-06-22 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6041166A (en) * 1995-07-14 2000-03-21 3Com Corp. Virtual network architecture for connectionless LAN backbone
JP4333351B2 (ja) * 2003-12-05 2009-09-16 株式会社デンソー 通信システム
US7400596B1 (en) * 2005-08-17 2008-07-15 Rockwell Collins, Inc. Dynamic, multicast routing using a quality of service manager
US8320567B2 (en) * 2007-01-05 2012-11-27 Cisco Technology, Inc. Efficient data path encapsulation between access point and access switch
CN101594616B (zh) * 2009-07-08 2012-05-23 华为终端有限公司 认证方法、服务器、用户设备及通信系统
KR101356476B1 (ko) * 2012-01-13 2014-01-29 고려대학교 산학협력단 차량용 데이터의 인증 및 획득 방법
WO2013128317A1 (en) * 2012-03-01 2013-09-06 Nds Limited Anti-replay counter measures
JP2014183395A (ja) 2013-03-18 2014-09-29 Hitachi Automotive Systems Ltd 車載ネットワークシステム
JP5954236B2 (ja) * 2013-03-28 2016-07-20 日立金属株式会社 ネットワーク中継装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000062480A2 (en) * 1999-04-13 2000-10-19 Nortel Networks, Inc. Apparatus and method for transmitting messages across different multicast domains
JP2007013366A (ja) * 2005-06-29 2007-01-18 Sony Corp 通信処理装置、通信処理システム、および方法、並びにコンピュータ・プログラム
JP2007135011A (ja) * 2005-11-10 2007-05-31 Auto Network Gijutsu Kenkyusho:Kk 中継接続ユニットおよび仮想車載lanシステム
JP2007336267A (ja) * 2006-06-15 2007-12-27 Toyota Motor Corp 車載通信システム
JP2012141660A (ja) * 2010-12-28 2012-07-26 Brother Ind Ltd 制御装置及びプログラム
JP2013048374A (ja) * 2011-08-29 2013-03-07 Toyota Motor Corp 保護通信方法
JP2014141154A (ja) * 2013-01-23 2014-08-07 Denso Corp 車両の暗号キー登録装置
JP2015114907A (ja) * 2013-12-12 2015-06-22 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See also references of EP3324574A4 *

Also Published As

Publication number Publication date
JP2017028345A (ja) 2017-02-02
EP3324574A1 (en) 2018-05-23
US10560286B2 (en) 2020-02-11
EP3324574B1 (en) 2020-07-08
CN107710676A (zh) 2018-02-16
CN107710676B (zh) 2021-03-23
US20180205576A1 (en) 2018-07-19
JP6484519B2 (ja) 2019-03-13
EP3324574A4 (en) 2019-01-23

Similar Documents

Publication Publication Date Title
JP6484519B2 (ja) ゲートウェイ装置およびその制御方法
CN106664311B (zh) 支持异构电子设备之间差异化的安全通信
CN106576096B (zh) 用于对具有不等能力的设备的认证的装置、方法及介质
CN105187376B (zh) 车联网中汽车内部网络的安全通信方法
CN107784223B (zh) 用于将证书传输到设备中的仪器的计算机装置
US11804967B2 (en) Systems and methods for verifying a route taken by a communication
KR20170045120A (ko) 차량의 보안 통신을 위한 방법
EP2859700A1 (en) Using neighbor discovery to create trust information for other applications
CN113016201B (zh) 密钥供应方法以及相关产品
JP2017091360A (ja) データ配布装置、通信システム、移動体およびデータ配布方法
JP2019041321A (ja) データ受信装置、データ伝送システム、及び鍵生成装置
JP2017121091A (ja) Ecu、及び車用ネットワーク装置
US11228602B2 (en) In-vehicle network system
CN107852406A (zh) 安全组通信
JP2014123816A (ja) 通信システム、通信装置及び通信方法
JP2008017463A (ja) 無線制御セキュリティシステム
US20160323266A1 (en) Method, management apparatus and device for certificate-based authentication of communication partners in a device
CN110741660A (zh) 终端与相关联服务器之间的数据传输
CN105981028A (zh) 通信网络上的网络元件认证
CN110312232B (zh) 车辆通信系统和车辆通信方法
JP2016134834A (ja) 車載ゲートウェイ装置及び車載ネットワークシステム
CN109587134A (zh) 接口总线的安全认证的方法、装置、设备和介质
US20170222810A1 (en) User permission check system
CN110999353A (zh) 终端与网络服务器之间的通信的管理
KR20220135899A (ko) 차량의 전자 제어 장치, 게이트웨이 장치 및 이들을 포함하는 차량

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16824152

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 15743691

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 2016824152

Country of ref document: EP