JP6954167B2 - Network system - Google Patents
Network system Download PDFInfo
- Publication number
- JP6954167B2 JP6954167B2 JP2018024291A JP2018024291A JP6954167B2 JP 6954167 B2 JP6954167 B2 JP 6954167B2 JP 2018024291 A JP2018024291 A JP 2018024291A JP 2018024291 A JP2018024291 A JP 2018024291A JP 6954167 B2 JP6954167 B2 JP 6954167B2
- Authority
- JP
- Japan
- Prior art keywords
- target data
- ecu
- authentication
- data
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本開示は、ネットワークシステムに関する。 The present disclosure relates to network systems.
データの暗号化、復号、認証等を実行するように構成された情報処理装置が提案されている(例えば、特許文献1参照。)。特許文献1に記載の情報処理装置は、セキュリティ処理CPUが故障した場合でも、セキュリティ処理CPUに代わって、汎用処理CPUが、データの暗号化、復号、認証等を実行するように構成されている。
An information processing device configured to perform data encryption, decryption, authentication, etc. has been proposed (see, for example, Patent Document 1). The information processing device described in
ネットワーク経由で送信元ノードから送信先ノードへデータを送信する際には、例えばメッセージ認証等を利用することにより、データの改ざんを検知可能とすることができる。メッセージ認証を実施する場合、送信元ノード及び送信先ノードは、双方が共通鍵を記憶している。送信元ノードでは、送信対象とされる送信対象データに対し、共通鍵を用いて暗号化を施すことにより、暗号化データを作成する。そして、送信対象データと暗号化データとを含む認証対象データを、ネットワーク経由で送信元ノードから送信先ノードへと送信する。 When data is transmitted from the source node to the destination node via the network, falsification of the data can be detected by using, for example, message authentication. When performing message authentication, both the source node and the destination node store the common key. The source node creates encrypted data by encrypting the transmission target data to be transmitted by using a common key. Then, the authentication target data including the transmission target data and the encrypted data is transmitted from the source node to the destination node via the network.
送信先ノードでは、認証対象データに対する認証処理を実行する。認証処理では、認証対象データ中に含まれる送信対象データに対し、共通鍵を用いて暗号化を施し、暗号化データを作成する。送信先ノードで作成された暗号化データと、認証対象データ中に含まれる暗号化データとを比較し、両者が一致すれば認証が成立し、データが改ざんされていないことを確認できることになる。 The destination node executes the authentication process for the data to be authenticated. In the authentication process, the transmission target data included in the authentication target data is encrypted using a common key to create encrypted data. The encrypted data created by the destination node is compared with the encrypted data contained in the data to be authenticated, and if both match, authentication is established and it can be confirmed that the data has not been tampered with.
ただし、例えば送信元ノードの故障等が原因で、送信元ノードにおいて不正な認証対象データが作成されたような場合、そのような不正な認証対象データが送信元ノードから送信先ノードへ送信されると、送信先ノードでは認証に失敗するおそれがある。ここで、例えば上記特許文献1に記載の技術を利用すれば、送信元ノードの故障を検出できる可能性がある。
However, when invalid authentication target data is created in the source node due to, for example, a failure of the source node, such invalid authentication target data is transmitted from the source node to the destination node. And, the destination node may fail to authenticate. Here, for example, if the technique described in
しかし、特許文献1に記載の技術を利用する場合、送信元ノードには、専用の故障監視装置等が内蔵されることになる。そのため、同様な故障監視装置等が内蔵されていない場合に比べ、送信元ノードの構成は複雑化し、送信元ノード内における各種制御も複雑化する。
However, when the technique described in
本開示の一局面においては、従来技術とは異なる手法で、送信元ノードが正常な認証対象データを作成できない状態にあることを判定可能なネットワークシステムを提供することが望ましい。 In one aspect of the present disclosure, it is desirable to provide a network system capable of determining that the source node cannot create normal authentication target data by a method different from the prior art.
本開示の一態様は、ネットワークシステム(1)である。当該ネットワークシステムは、複数の電子装置(2A,2B,2C,2D)を含む。複数の電子装置は、第一ネットワーク(1A)のノードとして機能し、かつ、第一ネットワークとは独立に構築される第二ネットワーク(1B)のノードとしても機能するように構成される。複数の電子装置のうちの少なくとも一つの電子装置(2A)は、送信元装置として機能可能に構成される。複数の電子装置のうちの少なくとも二つの電子装置(2B,2C,2D)は、送信先装置として機能可能に構成される。 One aspect of the present disclosure is a network system (1). The network system includes a plurality of electronic devices (2A, 2B, 2C, 2D). The plurality of electronic devices are configured to function as nodes of the first network (1A) and also as nodes of the second network (1B) constructed independently of the first network. At least one electronic device (2A) of the plurality of electronic devices is configured to be functional as a source device. At least two of the plurality of electronic devices (2B, 2C, 2D) are configured to be functional as destination devices.
送信元装置は、送信対象とされる送信対象データに基づいて認証処理の対象とされる認証対象データを作成し(S130,S530)、当該認証対象データを第一ネットワーク経由で少なくとも二つの送信先装置へと送信するように構成される(S140,S540)。少なくとも二つの送信先装置は、送信元装置から認証対象データを受信した場合に、認証対象データに対する認証処理を実行する(S350)。少なくとも二つの送信先装置は、認証処理において認証に成功したか否かを示す認証結果データを、第二ネットワーク経由で送信元装置へと送信するように構成される(S360)。送信元装置は、少なくとも二つの送信先装置それぞれから認証結果データを受信した場合に、認証結果データに基づいて、送信元装置において適正な認証対象データを作成可能か否かを判断する判断処理を実行するように構成されている(S230−S250)。 The source device creates authentication target data to be authenticated based on the transmission target data to be transmitted (S130, S530), and sends the authentication target data to at least two destinations via the first network. It is configured to transmit to the device (S140, S540). When at least two destination devices receive the authentication target data from the source device, they execute the authentication process for the authentication target data (S350). At least two destination devices are configured to transmit authentication result data indicating whether or not the authentication is successful in the authentication process to the source device via the second network (S360). When the source device receives the authentication result data from each of at least two destination devices, the source device performs a judgment process for determining whether or not the source device can create appropriate authentication target data based on the authentication result data. It is configured to perform (S230-S250).
このように構成されたネットワークシステムによれば、送信元装置は、少なくとも二つの送信先装置それぞれから認証結果データを受信して判断処理を実行し、送信元装置において適正な認証対象データを作成可能か否かを判断する。そのため、送信元装置が故障検出のために専用の構成を内蔵していなくても、適正な認証対象データを作成可能か否かを判断することができる。したがって、送信元装置が適正な認証対象データを作成できないと判断された場合には、例えば認証対象データの作成及び送信を中止する等、当該場合に対応したフェイルセーフ処理等を実行することができる。また、上記判断処理を実行する際には、少なくとも二つの送信先装置それぞれから認証結果データを受信する。したがって、単一の送信先装置から認証結果データを受信する場合に比べ、判断処理において信頼性の高い判断を行うことができる。 According to the network system configured in this way, the source device can receive the authentication result data from each of at least two destination devices, execute the judgment process, and create appropriate authentication target data in the source device. Judge whether or not. Therefore, even if the source device does not have a built-in dedicated configuration for failure detection, it is possible to determine whether or not appropriate authentication target data can be created. Therefore, when it is determined that the source device cannot create the appropriate authentication target data, fail-safe processing or the like corresponding to the case can be executed, for example, the creation and transmission of the authentication target data are stopped. .. Further, when executing the above determination process, authentication result data is received from each of at least two destination devices. Therefore, as compared with the case where the authentication result data is received from a single destination device, it is possible to make a highly reliable judgment in the judgment process.
なお、この欄及び特許請求の範囲に記載した括弧内の符号は、後述する実施形態において一態様として例示する具体的な構成との対応関係を理解しやすくするために記載したものである。当該記載は、本開示の技術的範囲が後述する実施形態と同一な範囲に限定されることを意味する記載ではない。 In addition, the reference numerals in parentheses described in this column and the scope of claims are described in order to make it easier to understand the correspondence with the specific configuration exemplified as one aspect in the embodiment described later. The description does not mean that the technical scope of the present disclosure is limited to the same scope as the embodiments described later.
次に、上述のネットワークシステムについて、例示的な実施形態を挙げて説明する。
(1)第一実施形態
[ネットワークシステムの構成]
図1に示すネットワークシステム1は、例えば自動車に搭載される車載ネットワークシステムである。ネットワークシステム1は、複数のECU2A,2B,2C,2D,3A,3B,3C,3D,3E,3F,3G,3H、CGW4、複数のグローバルバス5A,5B,5C及びローカルバス6等を有する。ECUは「Electronic Control Unit」の略称である。CGWは「Central Gateway」の略称である。
Next, the above-mentioned network system will be described with reference to exemplary embodiments.
(1) First Embodiment [Network system configuration]
The
ECU3A,3B,2A,2Bは、グローバルバス5Aに接続されている。ECU2C,2D,3C,3Dは、グローバルバス5Bに接続されている。ECU3E,3F,3G,3Hは、グローバルバス5Cに接続されている。各グローバルバス5A〜5Cには、例えば、機能的に同系統に分類されるECUが接続されている。一例を挙げれば、例えば、グローバルバス5Aにはボデー系ECUが接続される。グローバルバス5Bには制御系ECUが接続される。グローバルバス5Cには情報系ECUが接続される。
The
グローバルバス5A〜5Cは、CGW4を介して相互に接続されている。これらの構成により、ECU2A〜2D,ECU3A〜3H、CGW4及びグローバルバス5A〜5Cは、第一ネットワーク1Aを構成している。ECU2A〜2Dは、ローカルバス6に接続されている。これにより、ECU2A〜2D及びローカルバス6は、第二ネットワーク1Bを構成している。すなわち、ECU2A〜2Dは、第一ネットワーク1Aのノードとして機能するように構成され、かつ、第二ネットワーク1Bのノードとしても機能するように構成されている。このように構成されたECU2A〜2Dが、本開示でいう電子装置に相当する。
The
第一ネットワーク1A及び第二ネットワーク1Bでは、各ネットワークを構成するノードに対してブロードキャスト通信によってデータが伝送される。ただし、第一ネットワーク1Aと第二ネットワーク1Bは、互いに独立したネットワークである。そのため、例えば、第一ネットワーク1Aにおいてデータが伝送された場合でも、そのデータが第二ネットワーク1Bへと伝送されることはない。同様に、第二ネットワーク1Bにおいてデータが伝送された場合でも、そのデータが第一ネットワーク1Aへと伝送されることはない。
In the
CGW4は、グローバルバス5A〜5Cの間に介在して、いずれか一つのグローバルバスから残りのグローバルバスへデータを中継する。また、CGW4は、外部通信路7に接続可能に構成され、外部通信路7とグローバルバス5A〜5Cとの間でデータを中継する。これにより、ECU2A〜2D及びECU3A〜3Hは、第一ネットワーク1A経由で図示しない外部機器と通信可能となっている。第二ネットワーク1Bには、外部通信路に接続可能なノードが設けられていない。そのため、第二ネットワーク1Bのノードが第二ネットワーク1B経由で外部機器と通信することはできない。
The CGW 4 intervenes between the
外部通信路7は、無線通信路及び有線通信路のうちの少なくとも一方であればよい。また、外部通信路7は、単一の機器と接続可能な通信路及び複数の機器と接続可能な通信路のうちの少なくとも一方であればよい。複数の機器と接続可能な通信路としては、例えば複数の機器がノードとして含まれる外部ネットワークに接続可能な通信路であればよい。外部通信路7は、全部が専用線で構成されていてもよいし、一部が公衆回線で構成されていてもよい。
The
本実施形態では上記三つのグローバルバス5A〜5Cを例示してあるが、グローバルバスの数は任意である。例えば、グローバルバスの数は、二つ以下又は四つ以上であってもよい。本実施形態では上記十二個のECU2A〜2D及びECU3A〜3Hを例示してあるが、ECUの数は任意である。例えば、ECUの数は、十一個以下又は十三個以上であってもよい。本実施形態では上記ECU2A〜2Dがローカルバス6に接続されている例を示したが、ECU3A〜3Hのうちの少なくとも一つがローカルバス6に接続されていてもよい。あるいは、ECU3A〜3Hのうちの少なくとも一つがローカルバス6とは別のローカルバスに接続されていてもよい。
In this embodiment, the above three
[ECUの構成]
次に、ECUの内部構成について説明する。以下の説明では、図2に示すECU2Aを例に挙げる。ただし、本実施形態において、ECU2B,2C,2Dは、ECU2Aと同様に構成される。また、本実施形態において、ECU3A〜3Hは、第二ネットワーク1Bに接続されていない点で、ECU2Aとは相違するが、その他の点はECU2Aと同様に構成される。
[ECU configuration]
Next, the internal configuration of the ECU will be described. In the following description, the
ECU2Aは、図2に示すように、CPU11、RAM12、フラッシュメモリ13、第一通信部16及び第二通信部17等を有する。第一通信部16は、グローバルバス5Aに接続するためのネットワークインターフェースである。第二通信部17は、ローカルバス6に接続するためのネットワークインターフェースである。ECU2A〜2Dの各種機能は、CPU11が非遷移的実体的記録媒体に格納されたプログラムに従って各種処理を実行することにより実現される。この例では、フラッシュメモリ13が、非遷移的実体的記録媒体に該当する。
As shown in FIG. 2, the
CPU11がプログラムに従って各種処理を実行する際には、フラッシュメモリ13に格納されたプログラムをRAM12によって構成されるメインメモリにロードするように構成されていてもよい。この場合、CPU11は、メインメモリに格納されたプログラムに従って各種処理を実行する。CPU11がプログラムに従って各種処理を実行することにより、プログラムに対応する方法が実行され、ECU2A〜2Dが備える各種機能が実現される。ただし、ECU2A〜2Dが備える各種機能を実現する手法はソフトウェアに限るものではなく、機能の一部又は全部を、ディジタル回路やアナログ回路等を組み合わせたハードウェアを用いて実現してもよい。
When the
RAM12及びフラッシュメモリ13には、各種記憶領域が確保される。本実施形態に関連する主要な記憶領域として、フラッシュメモリ13には、共通鍵記憶部13Aが確保される。共通鍵記憶部13Aには、後述する処理の中で、受信データに対するメッセージ認証を実行する際に使用する共通鍵が記憶されている。
Various storage areas are secured in the
[認証処理の概要]
第一ネットワーク1Aのノードは、外部通信路7経由で到来するデータを受信することができる。そのため、例えば外部通信路7に接続された不正な外部機器から悪意のある不正なデータが伝送され得ることも想定して、そのような不正なデータに対して適切な対処をすることが重要となる。また、ECU2A〜2D及びECU3A〜3Hにおいてプログラムの改ざんが行われた場合、あるいは不正なECUへの換装が行われた場合にも、そのような不正なECUから伝送される不正なデータに対し、適切な対処をすることが重要である。
[Overview of authentication process]
The node of the
そこで、本実施形態のネットワークシステム1において、ECU2A〜2D及びECU3A〜3Hは、第一ネットワーク1A経由でデータを受信した際に認証処理を実行し、データの正当性を確認する。本実施形態において、ECU2A〜2D及びECU3A〜3Hは、メッセージ認証によってデータの正当性を確認する。図3に示すように、第一ネットワーク1Aにおいて伝送されるデータD1には、ID、送信対象データ及び暗号化データ等が含まれる。なお、データD1には、これら以外の制御コードやデータ等も含まれるが、本処理には関連しないので説明を省略する。
Therefore, in the
IDは、データの種別を示す情報、データの内容を示す情報、送信元のノードを示す情報、送信先のノードを示す情報及び通信時の優先度を示す情報等、様々な情報を含み得る識別子である。送信元のノードからブロードキャスト通信によって第一ネットワーク1Aへと送出されるデータD1は、第一ネットワーク1Aにおける送信元ノード以外のノード全てにおいて受信される。データD1を受信したノードは、データD1中に含まれるIDに基づいて、処理対象とすべきデータか否かを判断することができる。
The ID is an identifier that can include various information such as information indicating the type of data, information indicating the content of data, information indicating the node of the source, information indicating the node of the destination, and information indicating the priority during communication. Is. The data D1 transmitted from the source node to the
送信対象データは、送信元ノードが送信先ノードへ送信しようとしたデータの実体部分である。暗号化データは、第一ネットワーク1Aのノードが共通に使用する共通鍵を使って、所定の暗号化方式により送信対象データを暗号化したデータである。共通鍵は、上述の共通鍵記憶部13Aに記憶されている。データD1中に含まれる暗号化データは、データD1を送信する送信元ノードにおいて、共通鍵を使って送信対象データを暗号化し、その暗号化済みのデータの一部を抽出したものである。暗号化済みのデータの一部を抽出するのはデータ量を削減するためである。データ量の削減が不要であれば、暗号化済みのデータの全部を暗号化データとして利用してもよい。
The data to be transmitted is an actual part of the data that the source node tries to transmit to the destination node. The encrypted data is data in which the data to be transmitted is encrypted by a predetermined encryption method using a common key commonly used by the nodes of the
以上のようなデータD1を受信したノードにおいて、メッセージ認証を実施する際には、データD1中に含まれる送信対象データを取り出し、取り出した送信対象データを送信元ノードと同様の手順で暗号化し、その暗号化済みのデータの一部を抽出する。このようにして受信側ノードで生成される暗号化データは、送信元ノードと同じ共通鍵を使って生成されるので、通常は、データD1中に含まれる暗号化データと一致する。 When performing message authentication on the node that has received the data D1 as described above, the transmission target data contained in the data D1 is taken out, and the taken out transmission target data is encrypted in the same procedure as the source node. Extract a part of the encrypted data. Since the encrypted data generated in the receiving node in this way is generated using the same common key as the source node, it usually matches the encrypted data contained in the data D1.
しかし、送信対象データが伝送途中で改ざんされた場合やデータ化けした場合には、受信側ノードで生成される暗号化データとデータD1中に含まれる暗号化データとが不一致となる。あるいは、共通鍵を知らない不正なノードがデータを送信した場合には、適正な暗号化データを生成できないため、受信側ノードで生成される暗号化データとデータD1中に含まれる暗号化データとが不一致となる。したがって、受信側ノードでは、受信側ノードで生成される暗号化データとデータD1中に含まれる暗号化データが一致する場合には、認証が成立したと判断する。一方、受信側ノードで生成される暗号化データとデータD1中に含まれる暗号化データとが不一致となった場合には、認証に失敗したと判断する。 However, if the data to be transmitted is falsified or garbled during transmission, the encrypted data generated by the receiving node and the encrypted data contained in the data D1 will not match. Alternatively, when an unauthorized node that does not know the common key transmits data, proper encrypted data cannot be generated. Therefore, the encrypted data generated by the receiving node and the encrypted data contained in the data D1 Will be inconsistent. Therefore, on the receiving side node, if the encrypted data generated by the receiving side node and the encrypted data included in the data D1 match, it is determined that the authentication has been established. On the other hand, if the encrypted data generated by the receiving node and the encrypted data contained in the data D1 do not match, it is determined that the authentication has failed.
また、本実施形態のネットワークシステム1において、ECU2A〜2Dは、第二ネットワーク1B経由でデータを伝送することができる。ただし、第二ネットワーク1Bは、第一ネットワーク1Aとは異なり、第二ネットワーク1Bの外部とは隔離されたネットワークとなっている。そのため、第一ネットワーク1Aとは異なり、少なくとも第二ネットワーク1Bの外部から不正なデータが伝送されてくることはない。
Further, in the
そこで、ECU2A〜2Dは、第二ネットワーク1B経由でデータを受信した際には、第一ネットワーク1Aの場合とは異なり、認証処理を実行しない。そのため、第二ネットワーク1Bにおいて伝送されるデータD2は、図3に示すように、ID及び送信対象データ等が含まれるものの、暗号化データは含まれないデータとされている。
Therefore, when the
[送信元ノードの故障判定と代行装置による代行の仕組み]
以下、ECU2Aが送信元ノードとなる場合を例に挙げて、ECU2A〜2Dにおいて実行される処理について説明する。また、以下の説明では、上述の認証処理の対象とされるデータD1のことを認証対象データと称する。ECU2Aが送信元ノードとなって、認証対象データを第一ネットワーク1A経由で送信する場合、ECU2B〜2D及びECU3A〜3H等は、認証対象データを受信する。
[Failure judgment of source node and proxy mechanism by proxy device]
Hereinafter, the processes executed in the
ECU2B〜2D及びECU3A〜3Hは、認証対象データ中のIDに基づいて、自身が認証対象データの送信先とされているか否かを判断する。ECU2B〜2D及びECU3A〜3Hは、自身が送信先となっている場合、上述の認証処理を実行する。ECU2A〜2D及びECU3A〜3Hは、認証に成功した場合、認証成功以降の処理において認証対象データ中に含まれる送信対象データを利用する。具体例を挙げれば、例えば、送信対象データを変数として用いた演算処理、送信対象データに基づく制御、送信対象データに応じて判断が分かれる分岐処理等が実行される。
The
一方、ECU2B〜2D及びECU3A〜3Hは、認証に失敗した場合には、認証対象データを利用せずに破棄するか、利用するとしても限定的な利用に留める。認証対象データを破棄するか限定的に利用するかは、認証対象データの内容、各ECUの機能や重要度等によっても変わり得る。ただし、各ECUにおいて認証に失敗した場合に、各ECUにおいて認証対象データそのものをどのように扱うかは本開示の要部ではないので、これ以上の説明は省略する。
On the other hand, when the authentication fails, the
ECU2B〜2Dは、認証処理の実行後に、認証が成立したか否かの結果を示す認証結果データを、第二ネットワーク1B経由でECU2Aに対して送信する。ECU2Aは、認証結果データを受信し、認証結果データに基づいて判断処理を実行する。判断処理では、ECU2Aにおいて適正な認証対象データを作成可能か否かが判断される。本実施形態においては、ECU2B〜2Dの全てにおいて認証に失敗した場合に、ECU2Aが適正な認証対象データを作成できなかったことに認証失敗の原因があると推定し、ECU2Aが適正な認証対象データを作成不能であると判断する。
After executing the authentication process, the
判断処理において、ECU2Aが適正な認証対象データを作成不能であると判断された場合、ECU2Aは、ECU2B〜2Dのいずれかを代行装置として、代行装置に対してデータ送信の代行を依頼する。以下、ECU2Aが、ECU2Bを代行装置として選定した場合を例に挙げて説明を続ける。ECU2Bが代行装置となる場合、ECU2Aは、本来であればECU2Aが送信すべき送信対象データを、第二ネットワーク1B経由でECU2Bへと送信する。
When it is determined in the determination process that the
ECU2Bは、ECU2Aから受信した送信対象データに基づいて認証対象データを作成する。具体的には、ECU2Aから受信した送信対象データを暗号化して暗号化データを作成し、ECU2Aから受信した送信対象データとECU2Bにおいて作成した暗号化データとを含む認証対象データを作成する。ECU2Bにおいて作成された認証対象データは、ECU2Bから第一ネットワーク1A経由でECU2B〜2D及びECU3A〜3Hへと送信される。
The
すなわち、本来であればECU2Aから送信すべき認証対象データが、ECU2Bから送信されることになる。したがって、例えば、ECU2Aにおいてデータの暗号化を実行するために必要となるハードウェア又はソフトウェアに故障等の問題が生じていたとしても、ECU2Bにおいて適正な認証対象データが作成される。よって、ECU2C〜2D及びECU3A〜3Hでは、適正な認証対象データを利用することができる。
That is, the authentication target data that should normally be transmitted from the
[ECUにおいて実行される処理の詳細]
次に、ECU2A〜2Dそれぞれにおいて実行される処理について、図4〜図7に示すフローチャートに基づいて説明する。送信元ノードとなるECU2Aでは、図4及び図5に示す処理が実行される。送信先ノード及び代行装置となるECU2Bでは、図6に示す処理が実行される。送信先ノードとなるECU2C,2Dでは、図7に示す処理が実行される。
[Details of processing executed in the ECU]
Next, the processes executed in each of the
以下の説明では、送信元ノードとなるECU2Aのことを送信元ECU2Aとも称する。また、代行装置となるECU2Bのことを代行ECU2Bとも称する。また、送信先ノードとなるECU2B〜2D及びECU3A〜3Hのことを送信先ECU2B〜2D及び送信先ECU3A〜3Hとも称する。送信元ECU2Aは、本開示でいう送信元装置に相当する。代行ECU2Bは、本開示でいう代行装置に相当する。送信先ECU2B〜2Dは、本開示でいう送信先装置に相当する。
In the following description, the
まず、ECU2Aにおいて実行される処理について説明する。ECU2Aは、図4に示すように、S110において、送信元ECU2Aの鍵状態を判定する。S110でいう鍵状態としては、共通鍵記憶部13Aから正しい共通鍵を読み取れる状態と、正しい共通鍵を読み取れない状態とを考え得る。以下の説明では、共通鍵記憶部13Aから正しい共通鍵を読み取れる状態にあることを、鍵状態が正常と表現する。また、共通鍵記憶部13Aから正しい共通鍵を読み取れない状態にあることを、鍵状態が異常と表現する。共通鍵記憶部13Aから正しい共通鍵を読み取れない状態にある場合、その具体的な理由としては、例えばフラッシュメモリ13の故障や、外来ノイズ等に起因する一過性の障害など、様々な理由を考え得る。
First, the process executed in the
S110において、送信元ECU2Aの鍵状態が正常か異常かの判定を行う際には、後から詳述するS240又はS250での判定結果が参照される。ただし、S240又はS250での判定が一度もなされていない場合は、ECU2Aの鍵状態が正常と判定すればよい。S110での判定の結果、送信元ECU2Aの鍵状態が正常であった場合は、S120においてYESと判断されて、S130へと進む。S130では、ECU2Aは、送信対象データに基づいて認証対象データを作成する。そして、ECU2Aは、S140において、グローバルバス5A経由で送信先ECU2B〜2D及び送信先ECU3A〜3Hへ認証対象データを送信する。S140を終えたら、図4に示す処理を終了する。
When determining whether the key state of the
一方、S110での判定の結果、送信元ECU2Aの鍵状態が異常であった場合は、S120においてNOと判断されて、S150へと進む。ECU2Aは、S150において、ローカルバス6経由で代行ECU2Bへ代行要求を送信する。そして、ECU2Aは、S160において、ローカルバス6経由で代行ECU2Bへ送信対象データを送信する。ECU2Aは、S160を終えたら、図4に示す処理を終了する。
On the other hand, if the key state of the
ECU2Aにおいて、図4に示す処理が実行されている際に、ECU2Bでは、図6に示す処理が実行される。ECU2Bにおいて図6に示す処理が開始されると、ECU2Bは、S310において、代行要求があるか否かを判断する。代行要求は、上述のS150においてECU2AからECU2Bへと送信される要求である。代行要求がある場合は、S310においてYESと判断されてS320へと進む。
When the process shown in FIG. 4 is being executed in the
ECU2Bは、S320において、ローカルバス6経由で送信元ECU2Aから送信対象データを受信する。S320で受信する送信対象データは、上述のS160においてECU2AからECU2Bへと送信されるデータである。続いて、ECU2Bは、S330において、送信対象データに基づいて認証対象データを作成する。そして、ECU2Bは、S340において、グローバルバス5A経由で送信先ECU2C,2Dへ認証対象データを送信する。S340を終えたら、ECU2Bは、図6に示す処理を終了する。
The
一方、代行要求がない場合は、S310においてNOと判断されてS350へと進む。ECU2Bは、S350において、グローバルバス5A経由で送信元ECU2Aから認証対象データを受信し、認証処理を実行する。S350で受信する認証対象データは、上述のS140においてECU2AからECU2Bへと送信されるデータである。ECU2Bは、認証処理を実行した結果、認証が成立すれば、認証対象データ中に含まれる送信対象データを取り出し、以降の処理又は制御で利用する。続いて、ECU2Bは、S360において、ローカルバス6経由で送信元ECU2Aへ認証結果データを送信する。S360を終えたら、図6に示す処理を終了する。
On the other hand, if there is no proxy request, it is determined as NO in S310 and the process proceeds to S350. The
ECU2Aにおいて、図4に示す処理が実行されている際に、ECU2C,2Dでは、図7に示す処理が実行される。あるいは、ECU2Bにおいて、図6に示す処理が実行されている際に、ECU2C,2Dでは、図7に示す処理が実行される。ECU2C,2Dにおいて図7に示す処理が開始されると、ECU2C,2Dは、S410において、グローバルバス5B経由で送信元ECU2A又は代行ECU2Bから認証対象データを受信し、認証処理を実行する。S410で受信する認証対象データは、上述のS140においてECU2AからECU2C,2Dへと送信されるデータ、又は上述のS340においてECU2BからECU2C,2Dへと送信されるデータである。
When the process shown in FIG. 4 is being executed in the
ECU2C,2Dは、認証処理を実行した結果、認証が成立すれば、認証対象データ中に含まれる送信対象データを取り出し、以降の処理又は制御で利用する。続いて、ECU2C,2Dは、S420において、ローカルバス6経由で送信元ECU2Aへ認証結果データを送信する。S420を終えたら、ECU2C,2Dは、図7に示す処理を終了する。なお、本実施形態において、ECU2C,2Dは、送信元ECU2A又は代行ECU2Bのいずれから認証対象データを受信したのかを切り分けることはしない。そのため、認証結果データは、常にECU2C,2DからECU2Aへと送信される。ただし、代行ECU2Bが認証対象データを送信している状況下では、ECU2Aは認証結果データを無視する。よって、ECU2C,2Dが認証結果データを送信しても、ECU2Aでの処理には何の影響もない。
If the authentication is established as a result of executing the authentication process, the
ECU2Bにおいて図6に示す処理が実行され、ECU2C,2Dにおいて図7に示す処理が実行される際、ECU2Aでは、図5に示す処理が実行される。ECU2Aにおいて図5に示す処理が開始されると、ECU2Aは、S210において、送信元ECU2Aが認証対象データを送信しているか否かを判断する。ECU2Aが上述のS140を実行している場合、S210においてYESと判断されてS220へと進む。
When the process shown in FIG. 6 is executed in the
ECU2Aは、S220において、ローカルバス6に接続された全ての送信先ECU2B,2C,2Dからローカルバス6経由で認証結果データを受信する。S220で受信する認証結果データは、上述のS360及びS420においてECU2B,2C,2DからECU2Aへと送信されるデータである。続いて、ECU2Aは、S230において、全ての送信先ECU2B,2C,2Dにおいて認証に失敗したか否かを判断する。ここで、送信先ECU2B,2C,2Dにおける認証結果の組み合わせとしては、下記表1に挙げるような組み合わせを考え得る。
In S220, the
多くの場合、送信先ECU2B,2C,2Dでは認証が成立するので、この場合、送信元ECU2A及び送信先ECU2B,2C,2Dは全て正常と見なすことができる。一方、送信先ECU2B,2C,2Dのうち、いずれか一つの送信先ECUで認証が成立しない場合は、その認証が成立しない送信先ECUにおいて鍵異常等の障害が発生している可能性が高いと推定できる。
In many cases, authentication is established in the
送信先ECU2B,2C,2Dのうち、二つの送信先ECUで認証が成立しない場合は、送信元ECU2Aから二つの送信先ECUに至る伝送経路上で何らかの異常が発生している可能性が高いと推定できる。なお、二つの送信先ECUにおいて同時に鍵異常等の障害が発生している可能性もあるが、複数の障害が同時に発生する確率が低いことを考慮すれば、伝送経路上で障害が発生している可能性は相応に高いと考えられる。
If authentication is not established in two of the
送信先ECU2B,2C,2Dの全てで認証が成立しない場合は、送信元ECU2Aにおいて鍵異常等の障害が発生している可能性が高いと推定できる。なお、全ての送信先ECUにおいて同時に障害が発生している可能性もあるが、複数の障害が同時に発生する確率が低いことを考慮すれば、送信元ECU2Aにおいて障害が発生している可能性は相応に高いと考えられる。
If authentication is not established in all of the
そこで、全ての送信先ECU2B,2C,2Dにおいて認証に失敗している場合に、S230ではYESと判断されてS240へと進む。ECU2Aは、S240において、送信元ECU2Aの鍵状態を異常と判定する。S240を終えたら、ECU2Aは、図5に示す処理を終了する。一方、送信先ECU2B,2C,2Dのうち、少なくとも一つのECUで認証に成功している場合に、S230ではNOと判断されてS250へと進む。ECU2Aは、S250において、送信元ECU2Aの鍵状態を正常と判定する。S250を終えたら、ECU2Aは、図5に示す処理を終了する。S240又はS250での判定結果は、既に説明した通り、図4のS110において、送信元ECU2Aの鍵状態が正常か異常かの判定を行う際には、後から詳述するS240又はS250での判定結果が参照される。
Therefore, when the authentication fails in all the
[効果]
上記ネットワークシステム1によれば、送信元ECU2Aは、三つの送信先ECU2B〜2Dから認証結果データを受信してS230〜S250の判断処理を実行し、送信元ECU2Aにおいて適正な認証対象データを作成可能か否かを判断する。そのため、送信元ECU2Aが故障検出のために専用の構成を内蔵していなくても、適正な認証対象データを作成可能か否かを判断することができる。したがって、送信元ECU2Aが適正な認証対象データを作成できないと判断された場合には、例えば送信元ECU2Aでは認証対象データの作成及び送信を中止する等、当該場合に対応したフェイルセーフ処理等を実行することができる。
[effect]
According to the
また、送信元ECU2Aが上記判断処理を実行する際には、三つの送信先ECU2B〜2Dから認証結果データを受信する。したがって、単一の送信先ECUから認証結果データを受信する場合に比べ、判断処理において信頼性の高い判断を行うことができる。また、本実施形態の場合、送信元ECU2Aは、三つの送信先ECU2B〜2Dそれぞれから受信した認証結果データの全てが認証に失敗したことを示している場合に、送信元ECU2Aにおいて適正な認証対象データを作成不能と判断する。したがって、少なくとも一つの送信先ECUにおいて認証に成功している場合に、送信元ECU2Aには問題がないと適切に判断することができる。
Further, when the
また、本実施形態の場合、送信元ECU2Aにおいて適正な認証対象データを作成不能と判断された場合に、当該判断後は、代行ECU2Bにおいて認証対象データを作成し、認証対象データを他の送信先ECU2C,2Dへと送信する。したがって、送信元ECU2Aでは認証対象データの送信が中止されるにもかかわらず、送信先ECU2C,2Dでは代行ECU2Bから送信される認証対象データを受信して、認証対象データに応じた処理や制御を実行することができる。
Further, in the case of the present embodiment, when it is determined that the
(2)第二実施形態
次に、第二実施形態について説明する。なお、第二実施形態は、第一実施形態で例示した構成の一部を変更しただけなので、第一実施形態との相違点を中心に詳述し、第一実施形態と同様な部分に関しては、その詳細な説明を省略する。
(2) Second Embodiment Next, the second embodiment will be described. Since the second embodiment is only a part of the configuration illustrated in the first embodiment, the differences from the first embodiment will be mainly described, and the same parts as those in the first embodiment will be described. , The detailed description thereof will be omitted.
[ECUにおいて実行される処理の詳細]
第一実施形態において、送信元ECU2Aは、図4に示す処理を実行するように構成されていたが、第二実施形態においては、送信元ECU2Aが、図4に示す処理の代わりに、図8に示す処理を実行するように構成されている。以下、図8に示す処理について説明する。
[Details of processing executed in the ECU]
In the first embodiment, the
ECU2Aは、図8に示すように、S510において、送信元ECU2Aの鍵状態を判定する。S510は、図4のS110と同等な処理ステップであり、図5のS240又はS250での判定結果が参照される点も、第一実施形態と同様である。
As shown in FIG. 8, the
S510での判定の結果、送信元ECU2Aの鍵状態が正常であった場合は、S520においてYESと判断されて、S530へと進む。S530では、ECU2Aは、送信対象データに基づいて認証対象データを作成する。そして、ECU2Aは、S540において、グローバルバス5A経由で送信先ECU2B〜2D及び送信先ECU3A〜3Hへ認証対象データを送信する。S540を終えたら、図8に示す処理を終了する。
As a result of the determination in S510, if the key state of the
一方、S510での判定の結果、送信元ECU2Aの鍵状態が異常であった場合は、S520においてNOと判断されて、S550へと進む。ECU2Aは、S550において、前回の鍵状態の判定から所定以上の時間が経過したか否かを判断する。S550では、最後にS240又はS250が実行されてから所定以上の時間(例えば10分以上。)が経過したか否かが判断される。
On the other hand, if the key state of the
S550において、前回の鍵状態の判定から所定以上の時間が経過していない場合はNOと判断されて、S560へと進む。ECU2Aは、S560において、ローカルバス6経由で代行ECU2Bへ代行要求を送信する。そして、ECU2Aは、S570において、ローカルバス6経由で代行ECU2Bへ送信対象データを送信する。ECU2Aは、S570を終えたら、図8に示す処理を終了する。
In S550, if a predetermined time or more has not passed since the previous determination of the key state, NO is determined and the process proceeds to S560. In S560, the
S550において、前回の鍵状態の判定から所定以上の時間が経過している場合はYESと判断されて、S580へと進む。ECU2Aは、S580において、ローカルバス6経由で代行ECU2Bへ代行停止要求を送信する。これにより、代行ECU2Bでは、図6のS310においてNOと判断されるようになり、ECU2Bは、代行ECUとしての機能を停止する。S580を終えたらS530へと進む。
In S550, if a predetermined time or more has passed since the previous determination of the key state, it is determined as YES, and the process proceeds to S580. In S580, the
これにより、ECU2Aは、上述の通り、送信対象データに基づいて認証対象データを作成する。そして、ECU2Aは、S540において、グローバルバス5A経由で送信先ECU2B〜2D及び送信先ECU3A〜3Hへ認証対象データを送信する。S540を終えたら、図8に示す処理を終了する。S580を経てS530及びS540へと進んだ場合、少なくとも一回はECU2Aから送信先ECU2B〜2D及び送信先ECU3A〜3Hへグローバルバス5A経由で認証対象データが送信される。
As a result, the
この場合、送信先ECU2B〜2Dから送信元ECU2Aへは認証結果データが伝送される。送信先ECU2B〜2Dから送信元ECU2Aへ認証結果データが伝送された場合、ECU2Aは、図5に示す処理により、送信元ECU2Aの鍵状態を判定する。その判定の結果、鍵状態が正常であれば、図8に示す処理では、S510→S520→S530→S540の順序で処理が進行する。すなわち、ECU2Aは、自ら認証対象データを送信する状態に復帰する。
In this case, the authentication result data is transmitted from the
一方、図5に示す処理による判定の結果、鍵状態が異常であれば、図8に示す処理では、S510→S520→S550の順序で処理が進行する。そして、S550では、前回の鍵状態の判定から所定以上の時間が経過している場合にのみ、S550→S580→S530→S540の順序で処理が進行し、それ以外の場合はS550→S560→S570の順序で処理が進行する。したがって、鍵状態が異常な場合は、鍵状態が正常な場合に比べ、S530及びS540を実行する頻度が低下する。 On the other hand, if the key state is abnormal as a result of the determination by the process shown in FIG. 5, in the process shown in FIG. 8, the process proceeds in the order of S510 → S520 → S550. Then, in S550, the process proceeds in the order of S550 → S580 → S530 → S540 only when a predetermined time or more has elapsed from the previous determination of the key state, and in other cases, S550 → S560 → S570. Processing proceeds in the order of. Therefore, when the key state is abnormal, the frequency of executing S530 and S540 is lower than when the key state is normal.
[効果]
以上説明したような第二実施形態の構成であっても、第一実施形態と同様の作用、効果を奏し、送信元ECU2Aが故障検出のために専用の構成を内蔵していなくても、適正な認証対象データを作成可能か否かを判断することができる。したがって、送信元ECU2Aが適正な認証対象データを作成できないと判断された場合には、例えば送信元ECU2Aでは認証対象データの作成及び送信を中止する等、当該場合に対応したフェイルセーフ処理等を実行することができる。
[effect]
Even with the configuration of the second embodiment as described above, the same operations and effects as those of the first embodiment are obtained, and it is appropriate even if the
また、第二実施形態の場合、送信元ECU2Aは、送信元ECU2Aにおいて適正な認証対象データを作成不能と判断された場合に、当該判断後は、S550によってS530及びS540の実行頻度を低下させる。これにより、認証対象データの送信頻度を第一の頻度から当該第一の頻度よりも低い第二の頻度へと低下させる。したがって、送信元ECU2Aにおいて適正な認証対象データを作成不能と判断された場合には、認証対象データの送信頻度が低下するので、ネットワークにかかる負荷を低減することができる。
Further, in the case of the second embodiment, when the
また、第二実施形態の場合、上述のように認証対象データの送信頻度を低下させた後、改めて送信元ECU2Aにおいて適正な認証対象データを作成可能と判断された場合には、S520からS530へと進むことにより、認証対象データの送信頻度を第一の頻度へと復帰させる。したがって、例えば一時的な問題が原因となって認証対象データの送信頻度を低下させたとしても、その後、一時的な問題が解消すれば認証対象データの送信頻度を元通りに戻すことができる。
Further, in the case of the second embodiment, after reducing the transmission frequency of the authentication target data as described above, if it is determined that the
(3)他の実施形態
以上、ネットワークシステムについて、例示的な実施形態を挙げて説明したが、上述の実施形態は本開示の一態様として例示されるものにすぎない。すなわち、本開示は、上述の例示的な実施形態に限定されるものではなく、本開示の技術的思想を逸脱しない範囲内において、様々な形態で実施することができる。
(3) Other Embodiments Although the network system has been described above with reference to exemplary embodiments, the above-described embodiments are merely exemplified as one aspect of the present disclosure. That is, the present disclosure is not limited to the above-described exemplary embodiments, and can be implemented in various forms without departing from the technical ideas of the present disclosure.
例えば、上記実施形態では、ECU2Aが適正な認証対象データを作成不能となる原因として、ECU2Aにおいて、フラッシュメモリ13の共通鍵記憶部13Aから正しい共通鍵を読み取れない、という状態にある場合を想定していたが、当該原因は一例として例示する原因にすぎない。すなわち、他の原因によってECU2Aが適正な認証対象データを作成不能となる場合であっても、本開示の構成を適用することが可能である。
For example, in the above embodiment, it is assumed that the reason why the
また、上記実施形態では、送信元ECU2Aの鍵状態が異常な場合に、ECU2Bに対して認証対象データの代行送信を要求するように構成してあったが、送信元ECU2Aが認証対象データの代行送信を要求するか否かは任意である。例えば、送信元ECU2Aの鍵状態が異常な場合に、送信元ECU2Aが、フェイルセーフ処理として、単に認証対象データの送信を中止するように構成してもよい。
Further, in the above embodiment, when the key state of the
また、上記実施形態では、ECU2Aが送信元ECUとして機能し、ECU2Bが代行ECUとして機能する例を示したが、ECU2A〜2Dはいずれが送信元ECUとなってもよい。また、ECU2A〜2Dのうち、送信元ECU以外のECUは、いずれが代行ECUとなってもよい。さらに、ECU3A〜3Hがローカルバス6に接続されていてもよく、その場合は、ECU3A〜3Hが送信元ECU又は代行ECUとして機能してもよい。
Further, in the above embodiment, the example in which the
また、上記実施形態では、メッセージ認証による認証処理を実施する例を示したが、メッセージ認証以外の方式で認証を行ってもよいし、メッセージ認証とメッセージ認証以外の方式とを併用してもよい。例えば、上記実施形態では、送信対象データと暗号化データとを伝送し、受信側において送信対象データを暗号化して、その暗号化されたデータと暗号化データとを比較して認証成立か否かを判断していたが、他の認証手順を採用することもできる。一例を挙げれば、例えば、送信対象データと暗号化データとを伝送し、受信側において暗号化データを復号して、その復号されたデータと送信対象データとを比較して認証成立か否かを判断してもよい。 Further, in the above embodiment, an example of performing the authentication process by message authentication is shown, but the authentication may be performed by a method other than the message authentication, or the message authentication and the method other than the message authentication may be used together. .. For example, in the above embodiment, the transmission target data and the encrypted data are transmitted, the transmission target data is encrypted on the receiving side, and the encrypted data and the encrypted data are compared to determine whether or not the authentication is successful. However, other authentication procedures can be adopted. For example, the transmission target data and the encrypted data are transmitted, the encrypted data is decrypted on the receiving side, and the decrypted data is compared with the transmission target data to determine whether or not the authentication is successful. You may judge.
また、上記実施形態では、単一のCGW4によって複数のグローバルバス5A,5B,5Cを相互に接続していたが、複数のグローバルバス5A,5B,5Cを相互に接続可能に構成されていれば、複数のゲートウェイを採用してもよい。例えば、第一のゲートウェイでグローバルバス5Aとグローバルバス5Bとを接続し、第二のゲートウェイでグローバルバス5Bとグローバルバス5Cとを接続することにより、グローバルバス5Aとグローバルバス5Cは、二つのゲートウェイ及びグローバルバス5Bを介して通信可能に構成されていてもよい。
Further, in the above embodiment, a plurality of
以上の他、上記各実施形態における一つの構成要素によって実現していた機能を、複数の構成要素によって実現するように構成してもよい。また、複数の構成要素によって実現していた機能を一つの構成要素によって実現するように構成してもよい。また、上記各実施形態の構成の一部を省略してもよい。また、上記各実施形態の構成の少なくとも一部を、他の上記実施形態の構成に対して付加、置換等してもよい。なお、特許請求の範囲に記載の文言から特定される技術思想に含まれる全ての態様が本開示の実施形態に該当する。 In addition to the above, the function realized by one component in each of the above embodiments may be configured to be realized by a plurality of components. Further, the function realized by a plurality of components may be configured to be realized by one component. Further, a part of the configuration of each of the above embodiments may be omitted. In addition, at least a part of the configuration of each of the above embodiments may be added or replaced with respect to the configuration of the other embodiment. In addition, all aspects included in the technical idea specified from the wording described in the claims correspond to the embodiment of the present disclosure.
また、上述したネットワークシステムの他、本開示のネットワークシステムを構成可能な電子装置、本開示のネットワークシステムを備えた車両、本開示でいう電子装置としてコンピュータを機能させるためのプログラム、このプログラムを記録した記録媒体など、種々の形態で本開示を実現することもできる。 In addition to the network system described above, an electronic device capable of configuring the network system of the present disclosure, a vehicle equipped with the network system of the present disclosure, a program for operating a computer as the electronic device referred to in the present disclosure, and this program are recorded. The present disclosure can also be realized in various forms such as a recording medium.
(4)補足
なお、以上説明した例示的な実施形態から明らかなように、本開示のネットワークシステムは、更に以下に挙げるような構成を備えていてもよい。
(4) Supplement As is clear from the exemplary embodiments described above, the network system of the present disclosure may further include the following configurations.
まず、本開示のネットワークシステムにおいて、送信元装置は、判断処理を実行した際、少なくとも二つの送信先装置それぞれから受信した認証結果データの全てが、認証に失敗したことを示している場合に、送信元装置において適正な認証対象データを作成不能と判断するように構成されていてもよい(S230,S240)。 First, in the network system of the present disclosure, when the source device executes the determination process, when all of the authentication result data received from each of at least two destination devices indicates that the authentication has failed. The source device may be configured to determine that appropriate authentication target data cannot be created (S230, S240).
このように構成されたネットワークシステムによれば、少なくとも一つの送信先装置において認証に成功している場合に、送信元装置には問題がないと適切に判断することができる。 According to the network system configured in this way, when the authentication is successful in at least one destination device, it can be appropriately determined that there is no problem in the source device.
また、本開示のネットワークシステムにおいて、複数の電子装置のうちの少なくとも一つの電子装置(2B)は、代行装置として機能可能に構成されてもよい。この場合、送信元装置は、判断処理において、送信元装置において適正な認証対象データを作成不能と判断された場合に、当該判断後は、送信対象データを第二ネットワーク経由で代行装置へと送信するように構成されているとよい(S150,S160)。また、代行装置は、送信元装置から送信対象データを受信した場合に、送信対象データに基づいて認証対象データを作成し(S330)、当該認証対象データを第一ネットワーク経由で少なくとも二つの送信先装置(2C,2D)へと送信するように構成されているとよい(S340)。 Further, in the network system of the present disclosure, at least one electronic device (2B) among the plurality of electronic devices may be configured to be functional as a proxy device. In this case, if the source device determines in the determination process that the source device cannot create appropriate authentication target data, the source device transmits the transmission target data to the proxy device via the second network after the determination. It is preferable that the configuration is such that (S150, S160). Further, when the proxy device receives the transmission target data from the source device, it creates the authentication target data based on the transmission target data (S330), and sends the authentication target data to at least two destinations via the first network. It may be configured to transmit to the device (2C, 2D) (S340).
このように構成されたネットワークシステムによれば、判断処理において、送信元装置において適正な認証対象データを作成不能と判断された場合に、当該判断後は、代行装置が、認証対象データを作成し、当該認証対象データを送信先装置へと送信する。したがって、送信元装置では認証対象データの送信が中止されるにもかかわらず、送信先装置では代行装置から送信される認証対象データを受信して、認証対象データに応じた処理等を実行することができる。 According to the network system configured in this way, when it is determined in the determination process that the source device cannot create the appropriate authentication target data, the proxy device creates the authentication target data after the determination. , The authentication target data is transmitted to the destination device. Therefore, even though the source device stops transmitting the authentication target data, the destination device receives the authentication target data transmitted from the proxy device and executes processing or the like according to the authentication target data. Can be done.
また、本開示のネットワークシステムにおいて、送信元装置は、判断処理において、送信元装置において適正な認証対象データを作成不能と判断された場合に、当該判断後は、認証対象データの送信頻度を第一の頻度から当該第一の頻度よりも低い第二の頻度へと低下させるように構成されていてもよい(S550−S580)。 Further, in the network system of the present disclosure, when the source device determines in the determination process that the source device cannot create appropriate authentication target data, the transmission frequency of the authentication target data is determined after the determination. It may be configured to decrease from one frequency to a second frequency lower than the first frequency (S550-S580).
このように構成されたネットワークシステムによれば、送信元装置において適正な認証対象データを作成不能と判断された場合に、認証対象データの送信頻度が低下する。したがって、ネットワークにかかる負荷を低減することができる。 According to the network system configured in this way, when it is determined that the source device cannot create appropriate authentication target data, the transmission frequency of the authentication target data is reduced. Therefore, the load on the network can be reduced.
また、本開示のネットワークシステムにおいて、送信元装置は、認証対象データの送信頻度を低下させた後、判断処理において、送信元装置において適正な認証対象データを作成可能と判断された場合に、当該判断後は、認証対象データの送信頻度を第一の頻度へと復帰させるように構成されていてもよい(S510−S540)。 Further, in the network system of the present disclosure, when the source device determines in the determination process that it is possible to create appropriate authentication target data in the determination process after reducing the transmission frequency of the authentication target data, the said After the determination, the transmission frequency of the authentication target data may be restored to the first frequency (S510-S540).
このように構成されたネットワークシステムによれば、送信元装置が認証対象データの送信頻度を低下させた場合でも、その後、送信元装置において適正な認証対象データを作成可能との判断がなされれば、認証対象データの送信頻度を第一の頻度へと復帰させる。したがって、例えば一時的な問題が原因となって認証対象データの送信頻度を低下させたとしても、その後、一時的な問題が解消すれば認証対象データの送信頻度を元通りに戻すことができる。 According to the network system configured in this way, even if the source device reduces the frequency of transmitting the authentication target data, if it is determined that the source device can create appropriate authentication target data thereafter. , The transmission frequency of the authentication target data is returned to the first frequency. Therefore, even if the transmission frequency of the authentication target data is reduced due to, for example, a temporary problem, the transmission frequency of the authentication target data can be restored once the temporary problem is resolved.
1…ネットワークシステム、1A…第一ネットワーク、1B…第二ネットワーク、2A,2B,2C,2D,3A,3B,3C,3D,3E,3F,3G,3H…ECU、5A,5B,5C…グローバルバス、6…ローカルバス、7…外部通信路、11…CPU、12…RAM、13…フラッシュメモリ、13A…共通鍵記憶部、16…第一通信部、17…第二通信部。 1 ... Network system, 1A ... First network, 1B ... Second network, 2A, 2B, 2C, 2D, 3A, 3B, 3C, 3D, 3E, 3F, 3G, 3H ... ECU, 5A, 5B, 5C ... Global Bus, 6 ... local bus, 7 ... external communication path, 11 ... CPU, 12 ... RAM, 13 ... flash memory, 13A ... common key storage unit, 16 ... first communication unit, 17 ... second communication unit.
Claims (5)
前記複数の電子装置のうちの少なくとも一つの電子装置(2A)は、送信元装置として機能可能に構成され、
前記複数の電子装置のうちの少なくとも二つの電子装置(2B,2C,2D)は、送信先装置として機能可能に構成され、
前記送信元装置は、送信対象とされる送信対象データに基づいて認証処理の対象とされる認証対象データを作成し(S130,S530)、当該認証対象データを前記第一ネットワーク経由で少なくとも二つの前記送信先装置へと送信するように構成され(S140,S540)、
前記少なくとも二つの送信先装置は、前記送信元装置から前記認証対象データを受信した場合に、前記認証対象データに対する認証処理を実行し(S350)、前記認証処理において認証に成功したか否かを示す認証結果データを、前記第二ネットワーク経由で前記送信元装置へと送信するように構成され(S360)、
前記送信元装置は、前記少なくとも二つの送信先装置それぞれから前記認証結果データを受信した場合に、前記認証結果データに基づいて、前記送信元装置において適正な前記認証対象データを作成可能か否かを判断する判断処理を実行するように構成されている(S230−S250)
ネットワークシステム。 A plurality of electronic devices (2A, 2B) configured to function as a node of the first network (1A) and also as a node of the second network (1B) constructed independently of the first network. , 2C, 2D)
At least one of the plurality of electronic devices (2A) is configured to be functional as a source device.
At least two of the plurality of electronic devices (2B, 2C, 2D) are configured to be functional as destination devices.
The source device creates authentication target data to be authenticated based on transmission target data to be transmitted (S130, S530), and at least two authentication target data are transmitted via the first network. It is configured to transmit to the destination device (S140, S540).
When the at least two destination devices receive the authentication target data from the source device, the authentication target data is subjected to an authentication process (S350), and whether or not the authentication is successful in the authentication process is determined. The authentication result data shown is configured to be transmitted to the source device via the second network (S360).
Whether or not the source device can create appropriate authentication target data in the source device based on the authentication result data when the authentication result data is received from each of the at least two destination devices. Is configured to execute a judgment process for determining (S230-S250).
Network system.
前記送信元装置は、前記判断処理を実行した際、前記少なくとも二つの送信先装置それぞれから受信した前記認証結果データの全てが、認証に失敗したことを示している場合に、前記送信元装置において適正な前記認証対象データを作成不能と判断するように構成されている(S230,S240)
ネットワークシステム。 The network system according to claim 1.
When the source device executes the determination process, the source device determines that all of the authentication result data received from each of the at least two destination devices indicates that the authentication has failed. It is configured to determine that the appropriate authentication target data cannot be created (S230, S240).
Network system.
前記複数の電子装置のうちの少なくとも一つの電子装置(2B)は、代行装置として機能可能に構成され、
前記送信元装置は、前記判断処理において、前記送信元装置において適正な前記認証対象データを作成不能と判断された場合に、当該判断後は、前記送信対象データを前記第二ネットワーク経由で前記代行装置へと送信するように構成され(S150,S160)、
前記代行装置は、前記送信元装置から前記送信対象データを受信した場合に、前記送信対象データに基づいて前記認証対象データを作成し(S330)、当該認証対象データを前記第一ネットワーク経由で少なくとも二つの前記送信先装置(2C,2D)へと送信するように構成されている(S340)
ネットワークシステム。 The network system according to claim 1 or 2.
At least one of the plurality of electronic devices (2B) is configured to be able to function as a surrogate device.
When the source device determines in the determination process that the source device cannot create the appropriate authentication target data, after the determination, the transmission target data is transmitted to the proxy via the second network. Configured to transmit to the device (S150, S160),
When the proxy device receives the transmission target data from the transmission source device, the proxy device creates the authentication target data based on the transmission target data (S330), and at least transmits the authentication target data via the first network. It is configured to transmit to the two destination devices (2C, 2D) (S340).
Network system.
前記送信元装置は、前記判断処理において、前記送信元装置において適正な前記認証対象データを作成不能と判断された場合に、当該判断後は、前記認証対象データの送信頻度を第一の頻度から当該第一の頻度よりも低い第二の頻度へと低下させるように構成されている(S550−S580)
ネットワークシステム。 The network system according to any one of claims 1 to 3.
When the source device determines in the determination process that the source device cannot create the appropriate authentication target data, after the determination, the transmission frequency of the authentication target data is set from the first frequency. It is configured to reduce to a second frequency that is lower than the first frequency (S550-S580).
Network system.
前記送信元装置は、前記認証対象データの送信頻度を低下させた後、前記判断処理において、前記送信元装置において適正な前記認証対象データを作成可能と判断された場合に、当該判断後は、前記認証対象データの送信頻度を前記第一の頻度へと復帰させるように構成されている(S510−S540)
ネットワークシステム。 The network system according to claim 4.
After reducing the frequency of transmission of the authentication target data, the source device determines in the determination process that the source device can create appropriate authentication target data. It is configured to return the transmission frequency of the authentication target data to the first frequency (S510-S540).
Network system.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018024291A JP6954167B2 (en) | 2018-02-14 | 2018-02-14 | Network system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018024291A JP6954167B2 (en) | 2018-02-14 | 2018-02-14 | Network system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019140615A JP2019140615A (en) | 2019-08-22 |
| JP6954167B2 true JP6954167B2 (en) | 2021-10-27 |
Family
ID=67695561
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018024291A Active JP6954167B2 (en) | 2018-02-14 | 2018-02-14 | Network system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6954167B2 (en) |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003283489A (en) * | 2002-03-20 | 2003-10-03 | Hitachi Ltd | Packet authentication system and authentication method, and group management server and group member device |
| JP2005275690A (en) * | 2004-03-24 | 2005-10-06 | Vodafone Kk | Authentication agent method, distribution management device, and authentication agent method program |
| JP2005284452A (en) * | 2004-03-29 | 2005-10-13 | Matsushita Electric Ind Co Ltd | Authentication device, authentication system, authentication method and method program |
| JP6390520B2 (en) * | 2015-06-02 | 2018-09-19 | 株式会社デンソー | In-vehicle communication system |
| JP6502832B2 (en) * | 2015-11-13 | 2019-04-17 | 株式会社東芝 | Inspection apparatus, communication system, mobile unit and inspection method |
| JP6658045B2 (en) * | 2016-02-11 | 2020-03-04 | 株式会社デンソー | Communication device |
-
2018
- 2018-02-14 JP JP2018024291A patent/JP6954167B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019140615A (en) | 2019-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10360018B2 (en) | Update control apparatus, software update system, and update control method | |
| JP6477281B2 (en) | In-vehicle relay device, in-vehicle communication system, and relay program | |
| JP6190443B2 (en) | In-vehicle computer system, vehicle, management method, and computer program | |
| JP2018157463A (en) | On-vehicle communication system, communication management device, and vehicle controller | |
| US20180270052A1 (en) | Cryptographic key distribution | |
| JP6981755B2 (en) | In-vehicle network system | |
| JP6192673B2 (en) | Key management system, key management method, and computer program | |
| JP2016134671A (en) | Data generation device, communication device, communication system, mobile, data generation method and program | |
| CN107306185A (en) | Method and apparatus for avoiding the manipulation to data transfer | |
| CN114785532A (en) | Security chip communication method and device based on bidirectional signature authentication | |
| JP7067508B2 (en) | Network system | |
| JP2018093370A (en) | On-vehicle electronic control device, on-vehicle electronic control system, and relay device | |
| KR20190070076A (en) | Method of distributed consensus protocol for consistent key in blockchain based dynamic key generation environment of intra vehicle network | |
| JP6468133B2 (en) | In-vehicle network system | |
| JP6954167B2 (en) | Network system | |
| JP6950540B2 (en) | Network system | |
| JP6950539B2 (en) | Network system | |
| JP6919430B2 (en) | Network system | |
| JP7771695B2 (en) | Authentication system, on-board device, and authentication program | |
| JP6885305B2 (en) | Network system | |
| JP2020188314A (en) | Network system | |
| JP7425016B2 (en) | In-vehicle relay device | |
| JP2023144496A (en) | Systems, vehicles and methods | |
| JP6969450B2 (en) | Network system | |
| JP2006140881A (en) | Network identifier generating device with authentication information and device authentication device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201209 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210816 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210831 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210913 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6954167 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |