JP6536251B2 - 通信中継装置、通信ネットワーク、通信中継プログラム及び通信中継方法 - Google Patents

通信中継装置、通信ネットワーク、通信中継プログラム及び通信中継方法 Download PDF

Info

Publication number
JP6536251B2
JP6536251B2 JP2015146621A JP2015146621A JP6536251B2 JP 6536251 B2 JP6536251 B2 JP 6536251B2 JP 2015146621 A JP2015146621 A JP 2015146621A JP 2015146621 A JP2015146621 A JP 2015146621A JP 6536251 B2 JP6536251 B2 JP 6536251B2
Authority
JP
Japan
Prior art keywords
authentication
unit
ecu
child
parent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2015146621A
Other languages
English (en)
Other versions
JP2017028567A (ja
Inventor
純 矢嶋
純 矢嶋
長谷部 高行
高行 長谷部
保彦 阿部
保彦 阿部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2015146621A priority Critical patent/JP6536251B2/ja
Priority to US15/194,793 priority patent/US10298578B2/en
Priority to DE102016212752.7A priority patent/DE102016212752A1/de
Publication of JP2017028567A publication Critical patent/JP2017028567A/ja
Application granted granted Critical
Publication of JP6536251B2 publication Critical patent/JP6536251B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Small-Scale Networks (AREA)
  • Power Engineering (AREA)

Description

本発明は、通信装置間の通信の制御に関する。
自動車の車載ネットワークやファクトリーオートメーションなどに使用される装置間で、データや制御情報を送受信するために、CAN(Controller Area Network)と呼ばれるネットワーク技術が使用されることがある。CANが用いられるシステムは、複数のECU(Electronic Control Unit)を含む。ECU同士はメッセージを送受信することにより通信を行う。CAN通信に使用されるメッセージには、メッセージの識別情報(ID)が含まれている。また、各ECUは、受信するメッセージのIDを予め記憶している。メッセージはブロードキャストされ、各ECUは、設定されたIDを含むメッセージを受信するが、受信対象に設定されていないIDを含むメッセージは破棄する。
CANのネットワークに関し、車両を制御する車両制御装置のデータを書き換える技術が知られている。車両にはCANバスに送信されるデータの送信状況を監視し、この監視するデータ送信状況に適応させて、書き換え用データのデータフレームをCANバスに送信する書き換え用データ送信制御装置が搭載されている(例えば、特許文献1を参照)。
車両の電子制御装置をアクセスする車外装置、例えば、メンテナンス装置の正当性を車両が認証処理を行って判定する技術が知られている。車両はその判定結果に従ってメンテナンス装置による電子制御装置へのアクセス可能な範囲を決定する。車外装置による車両の電子制御装置に対する所望しないアクセスを抑止する(例えば、特許文献2を参照)。
車外装置と車内通信システムとの間の通信にて生じ得る不都合な事象の発生を抑制する技術が知られている。車内通信システムに至る通信路としての迂回路を有する。迂回路には、上流と下流とを接続及び遮断するスイッチが設けられる。正当な外部ツールからの迂回路接続要求を受信すると、迂回路が接続され、それ以外の場合には、迂回路が遮断されるようにスイッチを制御する(例えば、特許文献3を参照)。
車載通信ネットワークに送信される不正メッセージを小さな処理負荷で検知する車両制御装置が知られている。送信されるメッセージに対して該メッセージに含まれる識別子が自身の識別子と一致するか否かに基づいて正当性の判断を含むメッセージ処理を行う。他の制御装置から送信されるメッセージに対してはメッセージ処理を行う一方、自身が送信したメッセージに対してはメッセージ処理を行わないように制御する(例えば、特許文献4を参照)。
特開2012−178035号公報 国際公開第2009/147734号 特開2015−5825号公報 特開2015−65546号公報
CANにおいて、或る通信ノード(ECU)が悪意ある第3者によって別の通信ノード(ECU)に置き換えられたとする。置き換えられた通信ノードからはIDを成りすましたデータ、つまり、別の通信ノードが送信するIDを持つメッセージが発信され、このデータは、全ての通信ノードに到達する。成りすましたIDが自装置で受け取るべきIDである通信ノードは、このデータを受信してしまい、その結果、意図しない動作を引き起こされる可能性がある。
上記攻撃対策として、各通信ノードに自身が発信する可能性があるIDを登録しておき、受信データに含まれるIDと登録IDを比較することが考えられる。他通信ノードから受信したデータに自身が発信する可能性があるIDが含まれている場合、他の通信ノードの何れかが不正な通信ノードに置き換わり、自身に成りすましていることを認識できる。
しかしながら、上述の対策では、置き換えられた通信ノードの存在は検知できるが、どの通信ノードが置き換えられたかは特定できない。置き換えられた通信ノードがどれであったのか、なるべく1箇所に集約した情報として確認できることが好ましい。
本発明は、1つの側面において、不正に置き換えられた通信ノードを特定できる手法を提供することを目的とする。
通信中継装置は、バスを介して複数の通信ノードが互いにデータ通信を行う通信ネットワークにおいて、対応する前記通信ノードと前記バスの間に介在する。通信中継装置は、第1の認証部、記憶部、第2の認証部、通知部を備える。第1の認証部は、バスに接続された管理装置との間で認証処理を行う。記憶部は、対応する前記通信ノードの送信データに含まれる可能性がある識別情報を記憶する。第2の認証部は、対応する通信ノードの送信データに含まれる識別情報と記憶部に記憶された識別情報との比較結果に応じた認証処理を行う。通知部は、第1の認証部における認証処理が成功した場合、第2の認証部における認証結果を管理装置に通知する。
本発明によれば、不正に置き換えられた通信ノードを管理装置が特定することができる。
検知器を備えた複数のECUを含むCANの例を説明する図である。 第1の実施形態に係るシステムの例を説明する図である。 第1の実施形態に係るシステムの例を説明する図である。 ハードウェア構成の例を説明する図である。 第1の実施形態に係る親機の処理の例を説明するフローチャートである。 第1の実施形態に係る子機の処理の例を説明するフローチャートである。 第2の実施形態に係る子機と親機の例を説明する図である。 第2の実施形態に係る子機の処理の例を説明するフローチャートである。
以下、図面を参照しながら、実施形態を詳細に説明する。
図1は、検知器を備えた複数のECUを含むCANの例を説明する図である。システム1001は、CAN101とECU111(111a〜111f)を含む。ECU111a〜111fの各々は、CAN101で接続されている。そのため、ECU同士は、メッセージの送受信をすることができる。ECU111a〜111fの各々は、CAN101に接続されるインターフェースに検知器112a(ECU111aに対応)〜112f(ECU111fに対応)を備える。検知器は、ECUが送信するメッセージのIDを、ホワイトリストとして保持している。ここで、ECUの各々は、複数種類のメッセージが送信可能であり、種類毎のメッセージに対応したIDが設定される。なお、システム1001内で異なるECUが同一のIDを持つメッセージを送信することはないものとする。検知器は、自ECUが送信する可能性のある複数種類のメッセージのIDの何れかを含むメッセージを受信した場合に、異常を検知する。また、検知器は、ECUが送信する可能性のある複数種類のメッセージのIDの何れかを含むメッセージを受信した場合に、システム1001に異常があることを検知できる。
システム1002は、システム1001のECU111bが、何者かによって不正にECU111gに置き換えられたシステムの例である。システム1002におけるCAN101、ECU111a、ECU111c〜111fはシステム1001と同じものである。ECU111gには、ECU111aが送信する可能性のある複数種類のメッセージのIDの何れかを含むメッセージを送信する。ECU111gがメッセージを送信すると、該メッセージは、ECU111a、ECU111c〜111fに到達する。すると、ECU111aの検知器112aは、自ECU111aが送信する可能性のある複数種類のメッセージのIDの何れかを含むメッセージを受信するため、異常を検知できる。
図1のシステム1002において、ECU111aは、自身が送信する可能性のある複数種類のメッセージのIDの何れかを含むメッセージを受信することで、システム1002内の何れかのECU111が何者かによって置き換えられていることを検知できる。一方、図1のシステム1002において、何れかのECU111が何者かによって置き換えられていることは検知可能であるものの、どのECU111(以下、「通信ノード」とも称す)が置き換えられたかまでは特定できない。
車内ネットワーク(CAN)において、ECUの不正な置き換えや、改竄される脅威が存在する。これらの脅威に対しては、ECU同士が認証を行うことで解決する方法も考えうる。しかし、ECU同士が認証を行うためには、認証用の機能を備えるようにECUを改造することになり、CANに対してそのまま適用できない。そのため、ECUを改造しないでも、これらの脅威に対抗できる車内ネットワークが求められる。
そこで本発明では、認証機能をECUではなく、子機に持たせる。しかし、認証機能を子機に持たせただけでは、不正に置き換えられたECUを特定できない。そこで親機と複数の子機とをCANで接続し、親機と各子機間での親子間の認証機能を導入する。なお、各子機1個につき、ECU1個を接続する。子機は、対応して接続された(予め登録された)ECUからのデータだけをCAN側に通過させる。そのために、子機には、対応して接続されたECUが送信するメッセージに対応したIDのホワイトリストが登録される。また、子機は、ECUから送信されてくるメッセージの送信周期の情報を備えてもよい。
子機は、ECU側からのデータについて、ホワイトリストに登録されたID以外のIDを持つデータが到着した場合、又は、メッセージの送信周期以外のタイミングでメッセージが到着した場合、ECUが異常であると判定する。異常があると判定した場合、どのECUも使用しないIDを用いて親機に通知する。これにより、車内ネットワークへの攻撃(ECU置き換えや改竄)を防ぎ、不正に置き換えられた通信ノードを管理装置が特定することができる。
図2A及び図2Bは、第1の実施形態に係るシステムの例を説明する図である。システム2000は、CAN210、ECU201(201a〜201f)、子機202(202a〜202f)、親機220を含む。子機の各々はCAN210で接続されている。CAN210は、例えば、CANバスである。また、親機220も子機とCAN210を介して通信可能に接続されている。ECU201a〜201fは、子機202a(ECU201aと対応)〜202f(ECU201fと対応)と対応付けられており、CAN210を介して通信可能に接続されている。子機202は、ECU201と1対1でCAN210を介して通信可能に接続される。
図2Bには、図1Aのシステム2000に含まれる親機220、子機202bの機能部が示されている。子機202bは、CANトランシーバ231、記憶部232、第1の認証部233、第2の認証部234、制御部235、CANトランシーバ236を備える。なお、子機202a〜202fの各々は、子機202bと同様である。CANトランシーバ231は、子機202bが他の子機、親機220とCAN210を介して通信をする際に使用される通信インターフェースである。CANトランシーバ236は、子機202bが自身に対応づけて設定されるECU201bと通信をする際に使用される通信インターフェースである。記憶部232は、ECU201が送信する可能性のある複数種類のメッセージのIDをホワイトリストとして記憶する。ホワイトリストは、子機202と1対1で予め設置されたECUが送信するメッセージに対応したIDが登録されている。第1の認証部233は、親機220と通信をし、親機220と子機202bとの間の認証処理をする。第2の認証部234は、子機202bに対応して接続されているECU201bと子機202bとの認証処理をする。制御部235は、第1の認証部233、第2の認証部234などの処理を制御する。なお、図2Bの子機202b内に記載されている矢印は、データの流れを示す図である。
親機220は、CANトランシーバ221、第1の認証部222、記憶部223、制御部224を備える。CANトランシーバ221は、子機202a〜202fとCAN210を介して通信をする際に使用される通信インターフェースである。第1の認証部222は、子機202の第1の認証部233との間で親子間認証を実行する。記憶部223は、親機220と子機202との認証結果と、子機202と対応するECU201と子機202との間の認証結果とを記憶する。制御部224は、第1の認証部222の処理などを制御する。
以下に、第1の実施形態に係る親機220と子機202bの処理の例を順に説明する。
(A1)ECU201bから子機202bに対してメッセージが送信される。
(A2)子機202bのCANトランシーバ236は、ECU201bからのメッセージを受信する。
(A3)第2の認証部234は、ECU201bの認証処理を開始する。第2の認証部234は、受信したメッセージに含まれるIDが記憶部232に保持されているホワイトリストに含まれているか否かを判定する。ここではECU201bは、未だ不正にECU201´に置き換えられていないものとする。そのため、第2の認証部234は、ECU201bから受信したメッセージに含まれるIDが記憶部232のホワイトリストに保持されているため、ECU201bの認証を成功と判定する。子機202は、(A1)〜(A3)の処理を繰り返し実行する。
(A4)子機202bの第1の認証部233は、親機220との親子間認証処理を開始する。親子間認証は、定期的に実行されてもよい。該親子間認証は、第2の認証部234の認証結果を親機220に通知するための前処理として実行される。具体的には、CANトランシーバ231は、親機220に対して親子間認証を実施する要求を通知する。
(A5)親機220の第1の認証部222は、該要求に応じて親子間認証を行う。第1の認証部222は、子機202bと親機220との親子間認証に成功する。CANトランシーバ221は、親子間認証の結果を子機202bに対して通知する。親機220の制御部224によって、親子間認証の結果が記憶部223に記憶される。
(A6)親子間認証が問題なければ、CANトランシーバ231は、ECU201bとの認証結果(成功したこと)を親機220に対して通知する。
(A7)親機220の制御部224の制御によって、子機202bから送られてきた認証結果が、記憶部223に記憶される。
(A1)〜(A7)の処理は、子機202a〜202fと親機220の夫々により実行される。これにより、親機220は、親機220と各子機202との間の親子間認証の結果と、子機202と各子機202a〜202fに対応するECU201間の認証結果とを収集することができる。なお、CANトランシーバ231は、子機202の通知部として動作してもよい。CANトランシーバ231の処理は、例えば、制御部235により制御される。CANトランシーバ221の処理は、例えば、制御部224により制御される。ECU201は、通信ノードであってもよい。図2のシステム2000は、ECU201や子機202の台数を限定するものではない。
ここで、ECU201bが、不正にECU201´に置き換えられたものとする。以下に、システム2000内のECU201bが、不正なECU201´に置き換えられた場合の親機220と子機202bの処理の例を順に説明する。ECU201´は、不正に置き換えられたECUであるため、ECU201bが送信するメッセージと異なるIDを含むメッセージを送信するものとする。
(B1)ECU201´から子機202に対してメッセージが送信される。
(B2)子機202bのCANトランシーバ236は、ECU201´からのメッセージを受信する。
(B3)第2の認証部234は、ECU201´の認証処理を開始する。第2の認証部234は、受信したメッセージに含まれるIDが記憶部232に保持されているホワイトリストに含まれているか否かを判定する。第2の認証部234は、ECU201´から受信したメッセージに含まれるIDを、記憶部232のホワイトリストに保持していないため、ECU201´の認証を失敗と判定する。
(B4)子機202bの第1の認証部233は、親機220との親子間認証処理を開始する。親子間認証は、定期的に実行されてもよい。該親子間認証は、第2の認証部234の認証結果(失敗したこと)を親機220に通知するための前処理として行われる。具体的には、CANトランシーバ231は、親子間認証を実施する要求を親機220に対して通知する。
(B5)親機220の第1の認証部222は、該要求に応じて親子間認証を行う。第1の認証部222は、子機202bと親機220との親子間認証に成功する。CANトランシーバ221は、親子間認証の結果を子機202bに対して通知する。親機220の制御部224の制御によって、親子間認証の結果が記憶部223に記憶される。
(B6)CANトランシーバ231は、親子間認証が問題なければ、ECU201´との認証結果(失敗したこと)を、親機220に対して通知する。
(B7)親機220の制御部224の制御によって、子機202bから送られてきた認証結果(失敗したこと)が、記憶部223に記憶される。
ECU201が不正に置き換えられた場合、不正なECU201´と通信をする子機202(202a〜202f)は、(B1)〜(B7)の処理を実行する。親機220は、子機202a〜202fから自身に接続されているECU201が不正に置き換えられていないかの認証結果を収集可能である。そのため、親機220は該認証結果を収集することで、不正に置き換えられたECU201(通信ノード)を特定することができる。言い換えると、子機202は、不正に置き換えられたECU201を検知し、親機220に不正に置き換えられたECU201を通知する。このことで、親機220は、その不正なECUを特定することができる。親機220の制御部224は、画面などに不正に置き換えられたと特定したECU201´を表示させるなどをして、ユーザに対して異常を通知してもよい。又、親機220の制御部224は、システム2000外のシステムに対して、不正に置き換えられたECU201´があることを通知してもよい。なお、システム2000では、子機202と親機220と記載しているものの、子機202を、「中継装置」、親機220を中継装置及びECUを管理する「管理装置」と称してもよい。
図3は、ハードウェア構成の例を説明する図である。親機220、子機202のいずれも、図3に示すハードウェアによって実現される。子機202は、CANトランシーバ301、CANコントローラ302、処理回路303を含む。処理回路303は、プロセッサ304とメモリ305を備える。
CANトランシーバ301は、子機202がCANネットワークを介して他の装置と通信するための処理を行う。CANコントローラ302は、受信したメッセージ内のデータやIDなどを抽出する。CANコントローラ302は、データをプロセッサ304に出力する。プロセッサ304は、任意の処理回路である。プロセッサは、メモリ305に格納されたプログラムを読み込み、処理を行う。
親機220において、CANトランシーバ221は、CANトランシーバ301とCANコントローラ302で実現される。プロセッサ304は、第1の認証部222、制御部224として動作する。メモリ305は、記憶部223として動作する。
子機202のCANトランシーバ231とCANトランシーバ236は、CANトランシーバ301とCANコントローラ302で実現される。プロセッサ304は、第1の認証部233、第2の認証部234、制御部235として動作する。メモリ305は、記憶部232として動作する。
<チャレンジ&レスポンス形式を用いた第1の実施形態に係るシステムの例>
図2Bのシステム2000の例を用いて、チャレンジ&レスポンス形式を用いた子機202と親機220の処理の例を順に説明する。ECU201bは、0x123、0x456、0x789の3つのIDの何れかを含めてメッセージを送信するものとする。なお、子機202と親機220とは、共通鍵と対応付けられた認証用アルゴリズムを保持しているものとする。共通鍵と認証用アルゴリズムは、記憶部223と記憶部232に保持されていればよい。また以下の処理において、「通知」とはブロードキャスト通信のことである。
(C1)ECU201bは、0x123、0x456、0x789の3つのIDの何れかを含むメッセージを子機202bに対して送信する。
(C2)子機202bのCANトランシーバ236は、ECU201bからのメッセージを受信する。
(C3)第2の認証部234は、ECU201bの認証処理を開始する。第2の認証部234は、受信したメッセージに含まれるIDが記憶部232に保持されているホワイトリストに含まれているか否かを判定する。子機202bのホワイトリストは、0x123、0x456、0x789の3つのIDを保持している。第2の認証部234は、受信したメッセージに含まれるIDとホワイトリストに保持されているIDとを比較し、ECU201bの認証を成功と判定する。子機202は、(C1)〜(C3)の処理を繰り返し実行する。
(C4)子機202bの第1の認証部233は、親機220との親子間認証処理を開始する。親子間認証は、定期的に実行されてもよい。親子間認証は、チャレンジ&レスポンス形式の認証などを用いる。該親子間認証は、第2の認証部234の認証結果を親機220に通知するための前処理として実行される。子機は親機に対してチャレンジ&レスポンス認証の開始を要求する。親機の第1の認証部222は子機からの認証要求(子機202bを識別するID(例えば0x2)を含む)に応じて、チャレンジ&レスポンス形式の認証に用いる乱数を生成する。CANトランシーバ221は、乱数と親子認証用のID(例えば0x777)と子機202bを識別するID(例えば0x2)とを含めたメッセージを、親機220に対して通知する。このメッセージは、チャレンジ&レスポンス形式の認証における「チャレンジ」である。
(C5)子機202bの第1の認証部233は、親子認証用のID(0x777)を含むメッセージを受け取ると、メッセージに含まれる乱数と、保持している共通鍵を用いて乱数を暗号化する。以下、暗号化された乱数を「暗号文」と称し、暗号文の生成には認証用アルゴリズムが用いられる。CANトランシーバ231は、暗号文と親子認証用のID(0x777)と子機202bを識別するID(0x2)を含めたメッセージを、親機220に対して通知する。このメッセージは、チャレンジ&レスポンス形式の認証における「レスポンス」である。さらに、子機202bの第1の認証部233は乱数を生成して、上記乱数と子機202それぞれを識別するIDを含めたメッセージを親機220に送信する。また、乱数を共通鍵で暗号化し、結果を保持する。
(C6)子機220の第1の認証部222は、(C4)の処理で生成した乱数と保持している共通鍵とから予想される暗号文と、レスポンスとして受け取ったメッセージに含まれる暗号文とが一致するかを判定する。暗号文が一致する場合、親機220の第1の認証部222は、親子間認証に問題がないと判定する。
(C7)親機220の第1の認証部222は、レスポンスとして受け取ったメッセージに含まれる暗号文から乱数と子機202を識別するIDを抽出する。第1の認証部222は、レスポンスとして受け取ったメッセージから抽出した乱数と共通鍵とから、暗号文を生成する。
(C8)CANトランシーバ221は、暗号文と親子認証用のID(0x777)と子機202bを識別するID(0x2)を含めたメッセージを子機202bに対して通知する。
(C9)子機220の第1の認証部233は、(C5)で生成した暗号文と、(C8)で親機220から通知された暗号文とが一致するかを判定する。暗号文が一致する場合、子機202bの第1の認証部233は、親子間認証に問題がないと判定する。認証結果を親機に通知する。この通知は暗号化されていても良い。
(C4)〜(C9)では、親機と子機の双方を認証する親子間認証を、親機側が開始している。しかし、認証は子機側から開始してもよい。また、親機と子機の双方の認証をせずに、親機が子機を認証する方法でもよい。同様に、親機と子機の双方の認証をせずに、子機が親機を認証する方法でもよい。
(C10)親機220の第1の認証部222は、送られてきた子機202bの第1の認証結果と、第2の認証部234の認証結果を復号化して(暗号化されている場合)取得する。
(C11)親機220の制御部224の制御によって、子機202bから送られてきた認証結果が記憶部223に記憶される。
(C1)〜(C11)の処理は、子機202a〜202fと親機220の夫々により実行される。これにより、親機220は、親機220と各子機202との間の親子間認証の結果と、子機202と各子機202a〜202fに対応するECU201間の認証結果とを収集することができる。
次に、ECU201bが不正にECU201´に置き換えられたものとする。以下に、システム2000内のECU201bが、不正なECU201´に置き換えられた場合の親機220と子機202bの処理の例を順に説明する。ECU201´は、0x111のIDを含むメッセージを送信し、他のECU201を誤動作させようとする。
(D1)ECU201´から子機202に対してメッセージが送信される。
(D2)子機202bのCANトランシーバ236は、ECU201´からのメッセージを受信する。
(D3)第2の認証部234は、ECU201´の認証処理を開始する。第2の認証部234は、受信したメッセージに含まれるIDである0x111が記憶部232に保持されているホワイトリスト(0x123、0x456、0x789を含む)に含まれているか否かを判定する。第2の認証部234は、ECU201´から受信したメッセージに含まれるID0x111を、記憶部232のホワイトリスト(0x123、0x456、0x789を含む)に保持していないため、ECU201´の認証を失敗と判定する。
(D4)親機の第1の認証部222は子機からの認証要求(子機202bを識別するID(例えば0x2)を含む)に応じて、子機機202bとの親子間認証処理を開始する。親子間認証は、チャレンジ&レスポンス形式の認証などを用いる。親子間認証は、定期的に実行されてもよい。該親子間認証は、第2の認証部234の認証結果(失敗したこと)を親機220に通知するための前処理として実行される。親機220の第1の認証部222は、チャレンジ&レスポンス形式の認証に用いる乱数を生成する。CANトランシーバ221は、乱数と親子認証用のID(例えば0x777)と子機202bを識別するID(例えば0x2)とを含めたメッセージ(チャレンジ)を、子機202bに対して通知する。
(D5)子機202bの第1の認証部233は、親子認証用のID(0x777)を含むメッセージを受け取ると、メッセージに含まれる乱数と、保持している共通鍵を用いて乱数を暗号化する。CANトランシーバ231は、暗号文と親子認証用のID(0x777)と子機202bを識別するID(0x2)を含めたメッセージ(レスポンス)を、親機220に対して通知する。さらに、子機202bの第1の認証部233は乱数を生成して、上記乱数と子機202それぞれを識別するIDを含めたメッセージを親機220に送信する。また、乱数を共通鍵で暗号化し、結果を保持する。
(D6)親機220の第1の認証部221は、(D4)の処理で生成した乱数と保持している共通鍵とから予想される暗号文と、レスポンスとして受け取ったメッセージに含まれる暗号文とが一致するかを判定する。暗号文が一致する場合、親機220の第1の認証部221は、親子間認証に問題がないと判定する。
(D7)親機220の第1の認証部222は、レスポンスとして受け取ったメッセージに含まれる暗号文から乱数と子機202を識別するIDを抽出する。第1の認証部222は、レスポンスとして受け取ったメッセージから抽出した乱数と共通鍵とから、暗号文を生成する。
(D8)CANトランシーバ221は、暗号文と親子認証用のID(0x777)と子機202bを識別するID(0x2)を含めたメッセージを子機202bに対して通知する。
(D9)子機220の第1の認証部233は、(C5)で生成した暗号文と、(C8)で親機220から通知された暗号文とが一致するかを判定する。暗号文が一致する場合、子機202bの第1の認証部233は、親子間認証に問題がないと判定する。認証結果を親機に通知する。この通知は暗号化されていても良い。
(D4)〜(D9)では、親機と子機の双方を認証する親子間認証を、親機側が開始している。しかし、認証は子機側から開始してもよい。また、親機と子機の双方の認証をせずに、親機が子機を認証する方法でもよい。同様に、親機と子機の双方の認証をせずに、子機が親機を認証する方法でもよい。
(D10)親機220の第1の認証部222は、送られてきた子機202bの第2の認証部234の認証結果を復号化して(暗号化されている場合)取得する。
(D11)親機220の制御部224の制御によって、子機202bから送られてきた認証結果が、記憶部223に記憶される。
ECU201が不正に置き換えられた場合、不正なECU201´と通信をする子機202(202a〜202f)は、(D1)〜(D11)の処理を実行する。親機220は、子機202a〜202fから自身に接続されているECU201が不正に置き換えられたかどうかを示す認証結果を収集可能である。そのため、親機220は該認証結果を収集することで、不正に置き換えられたECU201(通信ノード)を特定することができる。言い換えると、子機202は、自身で不正に置き換えられたECU201を検知し、親機220に不正に置き換えられたECU201を特定させることができる。なお、チャレンジ&レスポンス方式の親子認証において、乱数は子機202b側で生成して親機のみを認証してもよいし、親機220と子機202b双方で生成し、互いに認証を行っても良い。
図4は、第1の実施形態に係る親機の処理の例を説明するフローチャートである。親機220の第1の認証部222は、親子間認証を実行する(ステップS101)。親機220の制御部224の制御によって、親子間認証の結果が記憶部223に記憶される(ステップS102)。制御部224は、親子間認証に問題があったか否かを判定する(ステップS103)。親子間認証に問題がない場合(ステップS103でNO)、親機220の第1の認証部222は、CANトランシーバ221を介してECU201と子機202との間の認証結果を取得する(ステップS104)。親機220の制御部224の制御によって、ECU201と子機202との間の認証結果が記憶部223に記憶される(ステップS105)。制御部224は、ECU201と子機202との間の認証に問題があったか否かを判定する(ステップS106)。親子間認証に異常があった場合(ステップS103でYES)とECU201と子機202との間の認証で異常があった場合(ステップS106でYES)、制御部224は、親機220が通信可能な装置に異常を検知したことを通知する(ステップS107)。ステップS106又はステップS107の処理が終了すると、親機220の第1の実施形態に係る処理を終了する。親機220は、ステップS101〜S107の処理を、子機202a〜202f毎に実行する。また、該処理を定期的に実行する。
図5は、第1の実施形態に係る子機の処理の例を説明するフローチャートである。CANトランシーバ236は、ECU201からのメッセージを受信する(ステップS201)。子機202の第2の認証部234は、メッセージに含まれるIDと記憶部232内の記憶部232に保持されているホワイトリストに該IDが含まれるか否かを判定する(ステップS202)。子機202の第1の認証部233は、親機220との親子間認証を実施する(ステップS203)。CANトランシーバ231は、子機が親機を認証する必要がある場合には親子間認証の結果を親機220に通知する(ステップS204)。CANトランシーバ231は、ECU201と子機202との認証結果(ステップ202の結果)を親機220に通知する(ステップS205)。なお、ステップS204とステップS205の処理は、並列して実行されてもよいし、逐次実行されてもよい。図5の処理は、ECU201から子機202がメッセージを受信する毎に実行される。
図4と図5の処理により、親機220は、子機202a〜202fから自身に接続されているECU201が不正に置き換えられていないかの認証結果を収集可能である。そのため、親機220は該認証結果を収集することで、不正に置き換えられたECU201(通信ノード)を特定することができる。言い換えると、子機202は、不正に置き換えられたECU201を検知し、親機220に不正に置き換えられたECU201を通知することで特定させることができる。親機220の制御部224は、画面などに不正に置き換えられたECU201´を表示させるなどをして、ユーザに対して異常を通知してもよい。又、親機220の制御部224は、システム2000外のシステムに対して、不正に置き換えられたECU201´があることを通知してもよい。
図6は、第2の実施形態に係る子機と親機の例を説明する図である。第2の実施形態に係る子機202と親機220とは、図2Bに示した第1の実施形態に係る子機202と親機220と同じブロック構成を備える。そのため、図6では、図2Bと同じものには同じ番号を付す。図6に示す子機202bにおいて、データの流れを示す矢印が図2Bに示す子機202bのものと異なる。より詳しくは、図2Bに示す子機202bにおいて、ECU201からのメッセージを受信すると、第2の認証部234が子機202とECU201間の認証を実行し、その後に、第1の認証部233が親子間認証を実行する。第2の実施形態のおいては、第2の認証部234の認証処理と第1の認証部233の認証処理との順番が異なる。
(E1)システム2000に備えられている全ての装置(親機220と子機202)の電源が投入される。システム2000に備えられている全ての装置(親機220と子機202)の電源投入が完了すると、第1の認証部222は、全ての子機202と親機220との間の親子間認証を実行する。
(E2)親機220の制御部224の制御によって、各子機202と親機220との間の親子間認証の結果が記憶部223に記憶される。
(E3)親子間認証で問題のない子機202は、ECU201からのメッセージがある場合に、該メッセージの受信を開始する。
(E4)ECU201bから子機202bに対してメッセージが送信される。
(E5)子機202bのCANトランシーバ236は、ECU201bからのメッセージを受信する。
(E6)第2の認証部234は、ECU201bの認証処理を開始する。第2の認証部234は、受信したメッセージに含まれるIDが記憶部232に保持されているホワイトリストに含まれているか否かを判定する。ここではECU201bは、未だ不正にECU201´に置き換えられていないものとする。そのため、第2の認証部234は、ECU201bから受信したメッセージに含まれるIDが記憶部232のホワイトリストに保持されているため、ECU201bの認証を成功と判定する。
(E7)CANトランシーバ231は、子機202bにおけるECU201bの認証結果を親機220に通知する。CANトランシーバ231は、制御部235に制御されて通知処理を実行する。子機202bにおけるECU201bの認証結果は、親機220に暗号化されて通知されてもよい。
(E8)親機220の制御部224の制御によって、子機202bから送られてきた認証結果(成功したこと)が記憶部223に記憶される。
(E1)〜(E2)の処理は、親機220と子機202の電源が投入された場合に実行され、システム内の全ての子機202と親機220との間で親子間認証が実行される。その後、(E4)〜(E8)の処理が子機202と親機220とで繰り返される。このように電源投入時に親子間認証を済ませておくことで、その後のECU201と子機202との認証処理毎の親子間認証処理を省くことができる。これにより、第1の実施形態に係るシステム2000と比べて、親子間認証の処理の回数を減らすことができ、親機220の負荷を軽減することができる。
ここで、ECU201bが、不正にECU201´に置き換えられたものとする。ECU201´は、不正に置き換えられたECUであるため、ECU201bが送信するメッセージと異なるIDを含むメッセージを送信するものとする。
(E9)ECU201´から子機202に対してメッセージが送信される。
(E10)子機202bのCANトランシーバ236は、ECU201´からのメッセージを受信する。
(E11)第2の認証部234は、ECU201´の認証処理を開始する。第2の認証部234は、受信したメッセージに含まれるIDが記憶部232に保持されているホワイトリストに含まれているか否かを判定する。第2の認証部234は、ECU201´から受信したメッセージに含まれるIDを、記憶部232のホワイトリストに保持していないため、ECU201´の認証を失敗と判定する。
(E12)CANトランシーバ231は、ECU201´との認証結果(失敗したこと)を、親機220に対して通知する。子機202bにおけるECU201bの認証結果は、親機220に暗号化されて通知されてもよい。
(E13)親機220の制御部224によって、子機202bから送られてきた認証結果(失敗したこと)が記憶部223に記憶される。
ECU201が不正に置き換えられた場合、不正なECU201´と通信をする子機202(202a〜202f)と親機220は、(E9)〜(E13)の処理を実行する。親機220は、子機202a〜202fから自身に接続されているECU201が不正に置き換えられていないかの認証結果を収集可能である。そのため、親機220は該認証結果を収集することで、不正に置き換えられたECU201(通信ノード)を特定することができる。言い換えると、子機202は、不正に置き換えられたECU201を検知し、親機220に不正に置き換えられたECU201を通知することで特定させることができる。親機220の制御部224は、画面などに不正に置き換えられたECU201´を表示させるなどをして、ユーザに対して異常を通知してもよい。又、親機220の制御部224は、システム2000外のシステムに対して、不正に置き換えられたECU201´があることを通知してもよい。また、(E9)〜(E13)の処理では、ECU201と子機202との認証結果を親機220に通知する際に、親子間認証処理が実行されない。そのため、第1の実施形態に係るシステム2000と比べて、親機220の負荷を軽減することができる。
<チャレンジ&レスポンス形式を用いた第2の実施形態に係るシステムの例>
図6を用いて、チャレンジ&レスポンス形式を用いた子機202と親機220の処理の例を順に説明する。ECU201bは、0x123、0x456、0x789の3つのIDの何れかを含めてメッセージを送信するものとする。
(F1)システム2000に備えられている全ての装置(親機220と子機202)の電源が投入される。システム2000に備えられている全ての装置(親機220と子機202)の電源投入が完了すると、親機220は、システム2000内の全ての子機202と親子間認証処理を開始する。親子間認証は、チャレンジ&レスポンス形式の認証などを用いる。
(F2)親機220の第1の認証部222は、親機220に接続されている子機202の数の乱数を生成する。乱数は、チャレンジ&レスポンス形式の認証に用いられる。なお、生成された乱数には、各子機202に対応するIDが含まれる。そのため、生成された乱数は、各子機202に対応して生成される。CANトランシーバ221は、乱数と親子認証用のID(例えば0x777)と子機202bを識別するID(例えば0x2)とを含めたメッセージを、子機202に対して通知する。このメッセージは、チャレンジ&レスポンス形式の認証におけるチャレンジである。
(F3)子機202の第1の認証部233は、親子認証用のID(0x777)を含むメッセージを受け取ると、メッセージに含まれる乱数と、保持している共通鍵を用いて乱数を暗号化する。CANトランシーバ231は、暗号文と親子認証用のID(0x777)と子機202bを識別するID(0x2)を含めたメッセージを、親機220に対して通知する。このメッセージは、チャレンジ&レスポンス形式の認証におけるレスポンスである。
(F4)親機220の第1の認証部222は、(F2)の処理で生成した乱数と保持している共通鍵とから予想される暗号文と、レスポンスとして受け取ったメッセージに含まれる暗号文とが一致するかを判定する。暗号文が一致する場合、親機220の第1の認証部222は、親子間認証に問題がないと判定する。子機202の第一の認証部233は乱数を生成して、上記乱数と子機202それぞれを識別するIDを含めたメッセージを親機220に送信する。
(F5)親機220の第1の認証部222は、レスポンスとして受け取ったメッセージに含まれる暗号文と乱数と子機202を識別するIDを抽出する。第1の認証部222は、メッセージに含まれる子機202を識別するIDが、該レスポンスを送ってきた子機202を示すIDと一致するかを判定する。IDが一致する場合、親機220の第1の認証部222は、レスポンスとして受け取ったメッセージから抽出した乱数と共通鍵とから、暗号文を生成する。
(F6)CANトランシーバ221は、暗号文と親子認証用のID(0x777)と子機202bを識別するID(0x2)を含めたメッセージを子機202bに対して通知する。
(F7)子機202の第1の認証部233は、(F3)で生成した暗号文と、(F6)で親機220から通知された暗号文とが一致するかを判定する。暗号文が一致する場合、子機202の第1の認証部233は、親子間認証に問題がないと判定する。併せて、子機202の第1の認証部233は、(F6)で親機220から通知されたメッセージに含まれる子機202を識別するIDが、自子機202のIDであるかを判定する。IDが一致する、且つ、親子間認証に問題がない場合、CANトランシーバ231は、親子間認証の結果(問題ないこと)と親子認証用のID(0x777)と子機202bを識別するID(0x2)を含めたメッセージを親機220に対して通知する。なお、親子間認証の結果は、暗号化されていてもよい。
(F8)親機220の第1の認証部222は、送られてきた子機202bの第2の認証部234の認証結果を復号化して(暗号化されている場合)取得する。
(F9)親機220の制御部224の制御によって、子機202bから送られてきた認証結果が記憶部223に記憶される。
(F10)親子間認証で問題のない子機202は、ECU201からのメッセージがある場合に、該メッセージの受信を開始する。ECU201bから子機202bに対してメッセージが送信される。
(F11)子機202bのCANトランシーバ236は、ECU201bからのメッセージを受信する。
(F12)第2の認証部234は、ECU201bの認証処理を開始する。第2の認証部234は、受信したメッセージに含まれるIDが記憶部232に保持されているホワイトリストに含まれているか否かを判定する。ここではECU201bは、未だ不正にECU201´に置き換えられていないものとする。そのため、第2の認証部234は、ECU201bから受信したメッセージに含まれるIDが記憶部232のホワイトリストに保持されているため、ECU201bの認証を成功と判定する。
(F13)CANトランシーバ231は、子機202bにおけるECU201bの認証結果と認証用のID(0x777)と子機202bを識別するID(0x2)を含めたメッセージを親機220に通知する。子機202bにおけるECU201bの認証結果を定期的に親機220に通知するようにしてもよい。なお、認証結果は、暗号化されて通知されてもよい。
(F14)親機220の制御部224の制御によって、子機202bから送られてきた認証結果(成功したこと)が記憶部223に記憶される。
(F1)〜(F9)の処理は、親機220と子機202の電源が投入された場合に実行され、システム内の全ての子機202と親機220との間で親子間認証が実行される。その後、(F10)〜(F14)の処理が子機202と親機220とで繰り返される。このように電源投入時に親子間認証を済ませておくことで、その後のECU201と子機202との認証処理毎の親子間認証処理を省くことができる。これにより、第1の実施形態に係るシステム2000と比べて、親子間認証の処理の回数を減らすことができ、親機220の負荷を軽減することができる。
ここで、ECU201bが、不正にECU201´に置き換えられたものとする。ECU201´は、不正に置き換えられたECUであるため、ECU201bが送信するメッセージ(0x123、0x456、0x789)と異なるID(0x111)を含むメッセージを送信するものとする。
(F15)ECU201´から子機202に対してメッセージが送信される。
(F16)子機202bのCANトランシーバ236は、ECU201´からのメッセージを受信する。
(F17)第2の認証部234は、ECU201´の認証処理を開始する。第2の認証部234は、受信したメッセージに含まれるIDである0x111が記憶部232に保持されているホワイトリスト(0x123、0x456、0x789
を含む)に含まれているか否かを判定する。第2の認証部234は、ECU201´から受信したメッセージに含まれるID0x111を、記憶部232のホワイトリスト(0x123、0x456、0x789を含む)に保持していないため、ECU201´の認証を失敗と判定する。
(F18)CANトランシーバ231は、子機202bにおけるECU201bの認証結果と認証用のID(0x777)と子機202bを識別するID(0x2)を含めたメッセージを親機220に通知する。なお、認証結果は、暗号化されて通知されてもよい。
(F19)親機220の制御部224の制御によって、子機202bから送られてきた認証結果(失敗したこと)が記憶部223に記憶される。
なお、(F13)の処理では、子機202bにおけるECU201bの認証結果(成功したこと)を親機220に通知すると記載している。しかし、子機202bにおけるECU201bの認証結果が失敗と判定された場合に、子機220は、親機220に認証結果を通知してもよい。
ECU201が不正に置き換えられた場合、不正なECU201´と通信をする子機202(202a〜202f)は、(F15)〜(F19)の処理を実行する。親機220は、子機202a〜202fから自身に接続されているECU201が不正に置き換えられたかどうかを示す認証結果を収集可能である。そのため、親機220は該認証結果を収集することで、不正に置き換えられたECU201(通信ノード)を特定することができる。言い換えると、子機202は、自身で不正に置き換えられたECU201を検知し、親機220に不正に置き換えられたECU201を特定させることができる。なお、チャレンジ&レスポンス方式の親子認証において、乱数は親機220側で生成して子機を認証する形式であってもよいし、子機202で生成して親機を認証する形式でも良い。
図7は、第2の実施形態に係る子機の処理の例を説明するフローチャートである。子機202の第1の認証部233は、親機220からの要求により親子間認証を実行する(ステップS301)。CANトランシーバ231は、親機220に親子間認証の結果を通知する(ステップS302)。CANトランシーバ236は、ECU201からのメッセージを受信する(ステップS303)。第2の認証部234は、ECU201から受信したメッセージに含まれるIDが記憶部232に保持されているホワイトリストに含まれているか否かを判定する(ステップS304)。ECU201から受信したメッセージに含まれるIDが記憶部232に保持されているホワイトリストに含まれている場合(ステップS304でYES)、子機202は、処理をステップS303から繰り返す。ECU201から受信したメッセージに含まれるIDが記憶部232に保持されているホワイトリストに含まれていない場合(ステップS304でNO)、CANトランシーバ231は、不正なECU201を検知したことを親機220に通知する(ステップS305)。子機202は、ステップS305の処理が終了すると処理を終了する。
ECU201が不正に置き換えられた場合、親機220は、子機202a〜202fから自身に接続されているECU201が不正に置き換えられたかどうかを示す認証結果を収集可能である。そのため、親機220は該認証結果を収集することで、不正に置き換えられたECU201(通信ノード)を特定することができる。言い換えると、子機202は、自身で不正に置き換えられたECU201を検知し、親機220が不正に置き換えられたECU201を特定することができる。
1001、1002、2000 システム
101、210 CAN
111、111a〜111f、111b´ ECU
112、112a〜112f 検知器
201、201a〜201e ECU
202、202a〜202f 子機
220 親機
221、231,236、301 CANトランシーバ
222、233 第1の認証部
223、232 記憶部
224、235 制御部
234 第2の認証部
302 CANコントローラ
303 処理回路
304 プロセッサ
305 メモリ

Claims (10)

  1. バスを介して複数の通信ノードが互いにデータ通信を行う通信ネットワークにおける、対応する前記通信ノードと前記バスの間に介在する通信中継装置であって、
    前記バスに接続された管理装置との間で認証処理を行う第1の認証部と、
    対応する前記通信ノードの送信データに含まれる可能性がある識別情報を記憶する記憶部と、
    対応する前記通信ノードの送信データに含まれる識別情報と前記記憶部に記憶された識別情報との比較結果に応じた認証処理を行う第2の認証部と、
    前記第1の認証部における認証処理が成功した場合、前記第2の認証部における認証結果を前記管理装置に通知する通知部と、
    を有することを特徴とする通信中継装置。
  2. 前記第1の認証部が、前記管理装置と前記通信中継装置の電源が投入されると、前記管理装置との間で認証処理を行い、
    前記第1の認証部における認証処理が成功した場合で、且つ、前記第2の認証部における認証結果が失敗である場合に、前記通知部が、前記第2の認証部における認証結果を通知する
    ことを特徴とする請求項1に記載の通信中継装置。
  3. 前記第1の認証部は、前記管理装置との認証処理をチャレンジ&レスポンス形式の認証を用いて行う
    ことを特徴とする請求項1に記載の通信中継装置。
  4. バスを介して複数の通信ノードが互いにデータ通信を行う通信ネットワークにおける、対応する前記通信ノードと前記バスの間に介在する通信中継装置で実行されるプログラムであって、
    前記バスに接続された管理装置との間で第1の認証処理を行い、
    対応する前記通信ノードの送信データに含まれる可能性がある識別情報を記憶部に記憶し、
    対応する前記通信ノードの送信データに含まれる識別情報と前記記憶部に記憶された識別情報との比較結果に応じた第2の認証処理を行い、
    前記第1の認証処理が成功した場合、前記第2の認証処理の結果を前記管理装置に通知する
    ことを特徴とする通信中継プログラム。
  5. 前記プログラムは、
    前記管理装置と前記通信中継装置の電源が投入されると、前記管理装置との間で認証処理を行い、
    前記第1の認証処理が成功した場合で、且つ、前記第2の認証処理が失敗である場合に、前記第2の認証処理の結果を前記管理装置に通知する処理を含む
    ことを特徴とする請求項4に記載の通信中継プログラム。
  6. 前記第1の認証処理は、前記管理装置との認証処理をチャレンジ&レスポンス形式の認証を用いて行われる
    ことを特徴とする請求項4に記載の通信中継プログラム。
  7. バスを介して複数の通信ノードが互いにデータ通信を行う通信ネットワークにおける、対応する前記通信ノードと前記バスの間に介在する通信中継装置が、
    前記バスに接続された管理装置との間で第1の認証処理を行い、
    対応する前記通信ノードの送信データに含まれる可能性がある識別情報を記憶部に記憶し、
    対応する前記通信ノードの送信データに含まれる識別情報と前記記憶部に記憶された識別情報との比較結果に応じた第2の認証処理を行い、
    前記第1の認証処理が成功した場合、前記第2の認証処理の結果を前記管理装置に通知する
    ことを特徴とする通信中継方法。
  8. 前記管理装置と前記通信中継装置の電源が投入されると、前記管理装置との間で認証処理を行い、
    前記第1の認証処理が成功した場合で、且つ、前記第2の認証処理が失敗である場合に、前記第2の認証処理の結果を前記管理装置に通知する
    ことを特徴とする請求項7に記載の通信中継方法。
  9. 前記第1の認証処理は、前記管理装置との認証処理をチャレンジ&レスポンス形式の認証を用いて行われる
    ことを特徴とする請求項7に記載の通信中継方法。
  10. バスを介して複数の通信ノードが互いにデータ通信を行う通信ネットワークにおける、対応する前記通信ノードと前記バスの間に介在する通信中継装置と、対応する前記通信ノードと前記通信中継装置を管理する管理装置とを含むシステムであって、
    前記通信中継装置は、
    前記バスに接続された管理装置との間で第1の認証処理を行い、
    対応する前記通信ノードの送信データに含まれる可能性がある識別情報を記憶部に記憶し、
    対応する前記通信ノードの送信データに含まれる識別情報と前記記憶部に記憶された識別情報との比較結果に応じた第2の認証処理を行い、
    前記第1の認証処理が成功した場合、前記第2の認証処理の結果を前記管理装置に通知し、
    前記管理装置は、
    複数の通信ノードのうち、前記第2の認証処理の結果が失敗している通信ノードを不正に置きえられた通信ノードとして特定する
    ことを特徴とするシステム。
JP2015146621A 2015-07-24 2015-07-24 通信中継装置、通信ネットワーク、通信中継プログラム及び通信中継方法 Expired - Fee Related JP6536251B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2015146621A JP6536251B2 (ja) 2015-07-24 2015-07-24 通信中継装置、通信ネットワーク、通信中継プログラム及び通信中継方法
US15/194,793 US10298578B2 (en) 2015-07-24 2016-06-28 Communication relay device, communication network, and communication relay method
DE102016212752.7A DE102016212752A1 (de) 2015-07-24 2016-07-13 Kommunikations-relaisvorrichtung, kommunikationsnetzwerk; kommunikationsrelais-programm und kommunikationsrelais-verfahren

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015146621A JP6536251B2 (ja) 2015-07-24 2015-07-24 通信中継装置、通信ネットワーク、通信中継プログラム及び通信中継方法

Publications (2)

Publication Number Publication Date
JP2017028567A JP2017028567A (ja) 2017-02-02
JP6536251B2 true JP6536251B2 (ja) 2019-07-03

Family

ID=57739133

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015146621A Expired - Fee Related JP6536251B2 (ja) 2015-07-24 2015-07-24 通信中継装置、通信ネットワーク、通信中継プログラム及び通信中継方法

Country Status (3)

Country Link
US (1) US10298578B2 (ja)
JP (1) JP6536251B2 (ja)
DE (1) DE102016212752A1 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6683588B2 (ja) * 2016-11-10 2020-04-22 Kddi株式会社 再利用システム、サーバ装置、再利用方法、及びコンピュータプログラム
JP7094670B2 (ja) * 2017-07-03 2022-07-04 矢崎総業株式会社 設定装置及びコンピュータ
US10956555B2 (en) 2017-08-01 2021-03-23 Panasonic Intellectual Property Corporation Of America Management system, vehicle, and information processing method
WO2019026833A1 (ja) * 2017-08-04 2019-02-07 日本電産株式会社 認証システム、当該認証システムにおいて用いられる電子機器および認証方法
CN108123805A (zh) * 2017-12-15 2018-06-05 上海汽车集团股份有限公司 车载ecu间通讯安全认证方法
US10706651B2 (en) * 2018-03-28 2020-07-07 Denso International America, Inc. Systems and methods for communication bus security in a vehicle
CN111434077B (zh) * 2018-05-23 2023-02-24 松下电器(美国)知识产权公司 通信控制装置、移动网络系统、通信控制方法以及存储介质
CN110771099B (zh) * 2018-05-23 2022-08-26 松下电器(美国)知识产权公司 异常检测装置、异常检测方法以及记录介质
JP6833143B2 (ja) * 2018-12-25 2021-02-24 三菱電機株式会社 Ecu、監視ecuおよびcanシステム
CN112118095A (zh) * 2020-08-27 2020-12-22 江苏徐工工程机械研究院有限公司 一种工程机械can总线随机数生成方法、系统及身份认证系统
US11505161B2 (en) * 2020-10-13 2022-11-22 Ford Global Technologies, Llc Authenticating privilege elevation on a transportation service
US11665516B2 (en) * 2021-07-02 2023-05-30 Ettifos Co. Method and apparatus for relaying or receiving message

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4920878B2 (ja) * 2004-07-14 2012-04-18 日本電気株式会社 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム
US8948395B2 (en) * 2006-08-24 2015-02-03 Qualcomm Incorporated Systems and methods for key management for wireless communications systems
JP4841519B2 (ja) * 2006-10-30 2011-12-21 富士通株式会社 通信方法、通信システム、鍵管理装置、中継装置及びコンピュータプログラム
US20110083161A1 (en) 2008-06-04 2011-04-07 Takayuki Ishida Vehicle, maintenance device, maintenance service system, and maintenance service method
JP5256516B2 (ja) 2009-01-29 2013-08-07 ソフトバンクBb株式会社 基地局
JP5395036B2 (ja) * 2010-11-12 2014-01-22 日立オートモティブシステムズ株式会社 車載ネットワークシステム
JP5267598B2 (ja) 2011-02-25 2013-08-21 トヨタ自動車株式会社 車両制御装置のデータ書き換え支援システム及びデータ書き換え支援方法
JP5310824B2 (ja) * 2011-11-10 2013-10-09 株式会社リコー 伝送管理装置、プログラム、伝送管理システムおよび伝送管理方法
JP6136174B2 (ja) * 2012-10-05 2017-05-31 株式会社リコー 通信システム及び通信方法
JP6097158B2 (ja) 2013-06-19 2017-03-15 日本電信電話株式会社 故障復旧方法及びネットワーク管理装置
JP6036569B2 (ja) 2013-06-19 2016-11-30 株式会社デンソー セキュリティ装置
JP2015065546A (ja) 2013-09-25 2015-04-09 日立オートモティブシステムズ株式会社 車両制御装置

Also Published As

Publication number Publication date
US10298578B2 (en) 2019-05-21
DE102016212752A1 (de) 2017-01-26
JP2017028567A (ja) 2017-02-02
US20170026373A1 (en) 2017-01-26

Similar Documents

Publication Publication Date Title
JP6536251B2 (ja) 通信中継装置、通信ネットワーク、通信中継プログラム及び通信中継方法
CN105656941B (zh) 身份认证装置和方法
JP2019097218A (ja) 電子制御装置、通信方法およびプログラム
CN107979467B (zh) 验证方法及装置
WO2015143554A1 (en) Management and distribution of security policies in a communication system
JP2016019280A (ja) 産業用制御システム冗長通信/制御モジュール認証
JP7579299B2 (ja) 安全な産業用制御システムのためのイメージ・キャプチャ・デバイス
WO2018153362A1 (zh) 接入物联网平台的方法、物联网平台和物联网设备
CN107710676A (zh) 网关装置及其控制方法
US20100070755A1 (en) Method and device for confirming authenticity of a public key infrastructure (pki) transaction event
CN110796220B (zh) 一种基于公共交通的识别码发码系统
CN110855427B (zh) 一种无人机身份认证方法及系统
EP4162662A1 (en) System and method for authenticating a device on a network
JP6520515B2 (ja) ネットワーク監視システム、ネットワーク監視プログラム及びネットワーク監視方法
JP6453351B2 (ja) 通信ネットワークにおけるネットワーク要素の認証
CN105744555A (zh) 一种终端维护方法、维护装置以及网管服务器
WO2019239191A1 (en) Methods, wireless modules, electronic devices and server devices
US8355508B2 (en) Information processing apparatus, information processing method, and computer readable recording medium
CN113767595B (zh) 设备监视方法、设备监视装置以及程序记录介质
CN101616087A (zh) 关联至安全设备的路由器
CN107040928B (zh) 非法wifi检测方法、终端、aaa服务器和系统
US9825952B2 (en) Secure machine to machine communication
JP5940013B2 (ja) 車載通信システム及び通信装置
CN102811196A (zh) 自动交换光网络中的网络安全保护方法、装置和系统
CN108076046A (zh) 通信系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180413

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190206

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190219

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190328

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190507

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190520

R150 Certificate of patent or registration of utility model

Ref document number: 6536251

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees