Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6954167B2 - Network system - Google Patents
[go: Go Back, main page]

JP6954167B2 - Network system - Google Patents

Network system Download PDF

Info

Publication number
JP6954167B2
JP6954167B2 JP2018024291A JP2018024291A JP6954167B2 JP 6954167 B2 JP6954167 B2 JP 6954167B2 JP 2018024291 A JP2018024291 A JP 2018024291A JP 2018024291 A JP2018024291 A JP 2018024291A JP 6954167 B2 JP6954167 B2 JP 6954167B2
Authority
JP
Japan
Prior art keywords
target data
ecu
authentication
data
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018024291A
Other languages
Japanese (ja)
Other versions
JP2019140615A (en
Inventor
大幸 川田
大幸 川田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2018024291A priority Critical patent/JP6954167B2/en
Publication of JP2019140615A publication Critical patent/JP2019140615A/en
Application granted granted Critical
Publication of JP6954167B2 publication Critical patent/JP6954167B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本開示は、ネットワークシステムに関する。 The present disclosure relates to network systems.

データの暗号化、復号、認証等を実行するように構成された情報処理装置が提案されている(例えば、特許文献1参照。)。特許文献1に記載の情報処理装置は、セキュリティ処理CPUが故障した場合でも、セキュリティ処理CPUに代わって、汎用処理CPUが、データの暗号化、復号、認証等を実行するように構成されている。 An information processing device configured to perform data encryption, decryption, authentication, etc. has been proposed (see, for example, Patent Document 1). The information processing device described in Patent Document 1 is configured such that a general-purpose processing CPU executes data encryption, decryption, authentication, etc. instead of the security processing CPU even if the security processing CPU fails. ..

特開2015−119357号公報Japanese Unexamined Patent Publication No. 2015-119357

ネットワーク経由で送信元ノードから送信先ノードへデータを送信する際には、例えばメッセージ認証等を利用することにより、データの改ざんを検知可能とすることができる。メッセージ認証を実施する場合、送信元ノード及び送信先ノードは、双方が共通鍵を記憶している。送信元ノードでは、送信対象とされる送信対象データに対し、共通鍵を用いて暗号化を施すことにより、暗号化データを作成する。そして、送信対象データと暗号化データとを含む認証対象データを、ネットワーク経由で送信元ノードから送信先ノードへと送信する。 When data is transmitted from the source node to the destination node via the network, falsification of the data can be detected by using, for example, message authentication. When performing message authentication, both the source node and the destination node store the common key. The source node creates encrypted data by encrypting the transmission target data to be transmitted by using a common key. Then, the authentication target data including the transmission target data and the encrypted data is transmitted from the source node to the destination node via the network.

送信先ノードでは、認証対象データに対する認証処理を実行する。認証処理では、認証対象データ中に含まれる送信対象データに対し、共通鍵を用いて暗号化を施し、暗号化データを作成する。送信先ノードで作成された暗号化データと、認証対象データ中に含まれる暗号化データとを比較し、両者が一致すれば認証が成立し、データが改ざんされていないことを確認できることになる。 The destination node executes the authentication process for the data to be authenticated. In the authentication process, the transmission target data included in the authentication target data is encrypted using a common key to create encrypted data. The encrypted data created by the destination node is compared with the encrypted data contained in the data to be authenticated, and if both match, authentication is established and it can be confirmed that the data has not been tampered with.

ただし、例えば送信元ノードの故障等が原因で、送信元ノードにおいて不正な認証対象データが作成されたような場合、そのような不正な認証対象データが送信元ノードから送信先ノードへ送信されると、送信先ノードでは認証に失敗するおそれがある。ここで、例えば上記特許文献1に記載の技術を利用すれば、送信元ノードの故障を検出できる可能性がある。 However, when invalid authentication target data is created in the source node due to, for example, a failure of the source node, such invalid authentication target data is transmitted from the source node to the destination node. And, the destination node may fail to authenticate. Here, for example, if the technique described in Patent Document 1 is used, there is a possibility that a failure of the source node can be detected.

しかし、特許文献1に記載の技術を利用する場合、送信元ノードには、専用の故障監視装置等が内蔵されることになる。そのため、同様な故障監視装置等が内蔵されていない場合に比べ、送信元ノードの構成は複雑化し、送信元ノード内における各種制御も複雑化する。 However, when the technique described in Patent Document 1 is used, a dedicated failure monitoring device or the like is built in the source node. Therefore, as compared with the case where a similar failure monitoring device or the like is not built in, the configuration of the source node becomes complicated, and various controls in the source node also become complicated.

本開示の一局面においては、従来技術とは異なる手法で、送信元ノードが正常な認証対象データを作成できない状態にあることを判定可能なネットワークシステムを提供することが望ましい。 In one aspect of the present disclosure, it is desirable to provide a network system capable of determining that the source node cannot create normal authentication target data by a method different from the prior art.

本開示の一態様は、ネットワークシステム(1)である。当該ネットワークシステムは、複数の電子装置(2A,2B,2C,2D)を含む。複数の電子装置は、第一ネットワーク(1A)のノードとして機能し、かつ、第一ネットワークとは独立に構築される第二ネットワーク(1B)のノードとしても機能するように構成される。複数の電子装置のうちの少なくとも一つの電子装置(2A)は、送信元装置として機能可能に構成される。複数の電子装置のうちの少なくとも二つの電子装置(2B,2C,2D)は、送信先装置として機能可能に構成される。 One aspect of the present disclosure is a network system (1). The network system includes a plurality of electronic devices (2A, 2B, 2C, 2D). The plurality of electronic devices are configured to function as nodes of the first network (1A) and also as nodes of the second network (1B) constructed independently of the first network. At least one electronic device (2A) of the plurality of electronic devices is configured to be functional as a source device. At least two of the plurality of electronic devices (2B, 2C, 2D) are configured to be functional as destination devices.

送信元装置は、送信対象とされる送信対象データに基づいて認証処理の対象とされる認証対象データを作成し(S130,S530)、当該認証対象データを第一ネットワーク経由で少なくとも二つの送信先装置へと送信するように構成される(S140,S540)。少なくとも二つの送信先装置は、送信元装置から認証対象データを受信した場合に、認証対象データに対する認証処理を実行する(S350)。少なくとも二つの送信先装置は、認証処理において認証に成功したか否かを示す認証結果データを、第二ネットワーク経由で送信元装置へと送信するように構成される(S360)。送信元装置は、少なくとも二つの送信先装置それぞれから認証結果データを受信した場合に、認証結果データに基づいて、送信元装置において適正な認証対象データを作成可能か否かを判断する判断処理を実行するように構成されている(S230−S250)。 The source device creates authentication target data to be authenticated based on the transmission target data to be transmitted (S130, S530), and sends the authentication target data to at least two destinations via the first network. It is configured to transmit to the device (S140, S540). When at least two destination devices receive the authentication target data from the source device, they execute the authentication process for the authentication target data (S350). At least two destination devices are configured to transmit authentication result data indicating whether or not the authentication is successful in the authentication process to the source device via the second network (S360). When the source device receives the authentication result data from each of at least two destination devices, the source device performs a judgment process for determining whether or not the source device can create appropriate authentication target data based on the authentication result data. It is configured to perform (S230-S250).

このように構成されたネットワークシステムによれば、送信元装置は、少なくとも二つの送信先装置それぞれから認証結果データを受信して判断処理を実行し、送信元装置において適正な認証対象データを作成可能か否かを判断する。そのため、送信元装置が故障検出のために専用の構成を内蔵していなくても、適正な認証対象データを作成可能か否かを判断することができる。したがって、送信元装置が適正な認証対象データを作成できないと判断された場合には、例えば認証対象データの作成及び送信を中止する等、当該場合に対応したフェイルセーフ処理等を実行することができる。また、上記判断処理を実行する際には、少なくとも二つの送信先装置それぞれから認証結果データを受信する。したがって、単一の送信先装置から認証結果データを受信する場合に比べ、判断処理において信頼性の高い判断を行うことができる。 According to the network system configured in this way, the source device can receive the authentication result data from each of at least two destination devices, execute the judgment process, and create appropriate authentication target data in the source device. Judge whether or not. Therefore, even if the source device does not have a built-in dedicated configuration for failure detection, it is possible to determine whether or not appropriate authentication target data can be created. Therefore, when it is determined that the source device cannot create the appropriate authentication target data, fail-safe processing or the like corresponding to the case can be executed, for example, the creation and transmission of the authentication target data are stopped. .. Further, when executing the above determination process, authentication result data is received from each of at least two destination devices. Therefore, as compared with the case where the authentication result data is received from a single destination device, it is possible to make a highly reliable judgment in the judgment process.

なお、この欄及び特許請求の範囲に記載した括弧内の符号は、後述する実施形態において一態様として例示する具体的な構成との対応関係を理解しやすくするために記載したものである。当該記載は、本開示の技術的範囲が後述する実施形態と同一な範囲に限定されることを意味する記載ではない。 In addition, the reference numerals in parentheses described in this column and the scope of claims are described in order to make it easier to understand the correspondence with the specific configuration exemplified as one aspect in the embodiment described later. The description does not mean that the technical scope of the present disclosure is limited to the same scope as the embodiments described later.

図1はネットワークシステムを示す説明図である。FIG. 1 is an explanatory diagram showing a network system. 図2はECUを示す説明図である。FIG. 2 is an explanatory diagram showing an ECU. 図3はECU間において伝送されるデータの構造を示す説明図である。FIG. 3 is an explanatory diagram showing a structure of data transmitted between ECUs. 図4は送信元ECUにおいてデータ送信時に実行される処理のフローチャートである。FIG. 4 is a flowchart of processing executed at the time of data transmission in the source ECU. 図5は送信元ECUにおいてデータ受信時に実行される処理のフローチャートである。FIG. 5 is a flowchart of processing executed at the time of data reception in the source ECU. 図6は代行ECUにおいて実行される処理のフローチャートである。FIG. 6 is a flowchart of processing executed in the proxy ECU. 図7は送信先ECUにおいて実行される処理のフローチャートである。FIG. 7 is a flowchart of processing executed in the transmission destination ECU. 図8は送信元ECUにおいて認証対象データの送信頻度を変更する場合に対応するフローチャートである。FIG. 8 is a flowchart corresponding to a case where the transmission frequency of the authentication target data is changed in the transmission source ECU.

次に、上述のネットワークシステムについて、例示的な実施形態を挙げて説明する。
(1)第一実施形態
[ネットワークシステムの構成]
図1に示すネットワークシステム1は、例えば自動車に搭載される車載ネットワークシステムである。ネットワークシステム1は、複数のECU2A,2B,2C,2D,3A,3B,3C,3D,3E,3F,3G,3H、CGW4、複数のグローバルバス5A,5B,5C及びローカルバス6等を有する。ECUは「Electronic Control Unit」の略称である。CGWは「Central Gateway」の略称である。
Next, the above-mentioned network system will be described with reference to exemplary embodiments.
(1) First Embodiment [Network system configuration]
The network system 1 shown in FIG. 1 is, for example, an in-vehicle network system mounted on an automobile. The network system 1 has a plurality of ECUs 2A, 2B, 2C, 2D, 3A, 3B, 3C, 3D, 3E, 3F, 3G, 3H, CGW4, a plurality of global buses 5A, 5B, 5C, a local bus 6, and the like. ECU is an abbreviation for "Electronic Control Unit". CGW is an abbreviation for "Central Gateway".

ECU3A,3B,2A,2Bは、グローバルバス5Aに接続されている。ECU2C,2D,3C,3Dは、グローバルバス5Bに接続されている。ECU3E,3F,3G,3Hは、グローバルバス5Cに接続されている。各グローバルバス5A〜5Cには、例えば、機能的に同系統に分類されるECUが接続されている。一例を挙げれば、例えば、グローバルバス5Aにはボデー系ECUが接続される。グローバルバス5Bには制御系ECUが接続される。グローバルバス5Cには情報系ECUが接続される。 The ECUs 3A, 3B, 2A, and 2B are connected to the global bus 5A. The ECUs 2C, 2D, 3C, and 3D are connected to the global bus 5B. The ECUs 3E, 3F, 3G, and 3H are connected to the global bus 5C. For example, ECUs that are functionally classified into the same system are connected to the global buses 5A to 5C. For example, a body ECU is connected to the global bus 5A. A control system ECU is connected to the global bus 5B. An information system ECU is connected to the global bus 5C.

グローバルバス5A〜5Cは、CGW4を介して相互に接続されている。これらの構成により、ECU2A〜2D,ECU3A〜3H、CGW4及びグローバルバス5A〜5Cは、第一ネットワーク1Aを構成している。ECU2A〜2Dは、ローカルバス6に接続されている。これにより、ECU2A〜2D及びローカルバス6は、第二ネットワーク1Bを構成している。すなわち、ECU2A〜2Dは、第一ネットワーク1Aのノードとして機能するように構成され、かつ、第二ネットワーク1Bのノードとしても機能するように構成されている。このように構成されたECU2A〜2Dが、本開示でいう電子装置に相当する。 The global buses 5A to 5C are connected to each other via CGW4. With these configurations, the ECUs 2A to 2D, the ECUs 3A to 3H, the CGW 4 and the global buses 5A to 5C form the first network 1A. The ECUs 2A to 2D are connected to the local bus 6. As a result, the ECUs 2A to 2D and the local bus 6 form the second network 1B. That is, the ECUs 2A to 2D are configured to function as the nodes of the first network 1A and also to function as the nodes of the second network 1B. The ECUs 2A to 2D configured in this way correspond to the electronic device referred to in the present disclosure.

第一ネットワーク1A及び第二ネットワーク1Bでは、各ネットワークを構成するノードに対してブロードキャスト通信によってデータが伝送される。ただし、第一ネットワーク1Aと第二ネットワーク1Bは、互いに独立したネットワークである。そのため、例えば、第一ネットワーク1Aにおいてデータが伝送された場合でも、そのデータが第二ネットワーク1Bへと伝送されることはない。同様に、第二ネットワーク1Bにおいてデータが伝送された場合でも、そのデータが第一ネットワーク1Aへと伝送されることはない。 In the first network 1A and the second network 1B, data is transmitted by broadcast communication to the nodes constituting each network. However, the first network 1A and the second network 1B are independent networks. Therefore, for example, even when data is transmitted in the first network 1A, the data is not transmitted to the second network 1B. Similarly, even if data is transmitted in the second network 1B, the data is not transmitted to the first network 1A.

CGW4は、グローバルバス5A〜5Cの間に介在して、いずれか一つのグローバルバスから残りのグローバルバスへデータを中継する。また、CGW4は、外部通信路7に接続可能に構成され、外部通信路7とグローバルバス5A〜5Cとの間でデータを中継する。これにより、ECU2A〜2D及びECU3A〜3Hは、第一ネットワーク1A経由で図示しない外部機器と通信可能となっている。第二ネットワーク1Bには、外部通信路に接続可能なノードが設けられていない。そのため、第二ネットワーク1Bのノードが第二ネットワーク1B経由で外部機器と通信することはできない。 The CGW 4 intervenes between the global buses 5A to 5C and relays data from one of the global buses to the remaining global buses. Further, the CGW 4 is configured to be connectable to the external communication path 7, and relays data between the external communication path 7 and the global buses 5A to 5C. As a result, the ECUs 2A to 2D and the ECUs 3A to 3H can communicate with an external device (not shown) via the first network 1A. The second network 1B is not provided with a node that can be connected to an external communication path. Therefore, the node of the second network 1B cannot communicate with the external device via the second network 1B.

外部通信路7は、無線通信路及び有線通信路のうちの少なくとも一方であればよい。また、外部通信路7は、単一の機器と接続可能な通信路及び複数の機器と接続可能な通信路のうちの少なくとも一方であればよい。複数の機器と接続可能な通信路としては、例えば複数の機器がノードとして含まれる外部ネットワークに接続可能な通信路であればよい。外部通信路7は、全部が専用線で構成されていてもよいし、一部が公衆回線で構成されていてもよい。 The external communication path 7 may be at least one of a wireless communication path and a wired communication path. Further, the external communication path 7 may be at least one of a communication path that can be connected to a single device and a communication path that can be connected to a plurality of devices. The communication path that can be connected to a plurality of devices may be, for example, a communication path that can be connected to an external network in which a plurality of devices are included as nodes. The external communication path 7 may be entirely composed of a dedicated line or partially composed of a public line.

本実施形態では上記三つのグローバルバス5A〜5Cを例示してあるが、グローバルバスの数は任意である。例えば、グローバルバスの数は、二つ以下又は四つ以上であってもよい。本実施形態では上記十二個のECU2A〜2D及びECU3A〜3Hを例示してあるが、ECUの数は任意である。例えば、ECUの数は、十一個以下又は十三個以上であってもよい。本実施形態では上記ECU2A〜2Dがローカルバス6に接続されている例を示したが、ECU3A〜3Hのうちの少なくとも一つがローカルバス6に接続されていてもよい。あるいは、ECU3A〜3Hのうちの少なくとも一つがローカルバス6とは別のローカルバスに接続されていてもよい。 In this embodiment, the above three global buses 5A to 5C are illustrated, but the number of global buses is arbitrary. For example, the number of global buses may be two or less or four or more. In this embodiment, the above twelve ECUs 2A to 2D and ECUs 3A to 3H are illustrated, but the number of ECUs is arbitrary. For example, the number of ECUs may be 11 or less or 13 or more. In the present embodiment, the above ECUs 2A to 2D are connected to the local bus 6, but at least one of the ECUs 3A to 3H may be connected to the local bus 6. Alternatively, at least one of ECUs 3A to 3H may be connected to a local bus different from the local bus 6.

[ECUの構成]
次に、ECUの内部構成について説明する。以下の説明では、図2に示すECU2Aを例に挙げる。ただし、本実施形態において、ECU2B,2C,2Dは、ECU2Aと同様に構成される。また、本実施形態において、ECU3A〜3Hは、第二ネットワーク1Bに接続されていない点で、ECU2Aとは相違するが、その他の点はECU2Aと同様に構成される。
[ECU configuration]
Next, the internal configuration of the ECU will be described. In the following description, the ECU 2A shown in FIG. 2 will be taken as an example. However, in the present embodiment, the ECUs 2B, 2C, and 2D are configured in the same manner as the ECU 2A. Further, in the present embodiment, the ECUs 3A to 3H are different from the ECU 2A in that they are not connected to the second network 1B, but are configured in the same manner as the ECU 2A in other points.

ECU2Aは、図2に示すように、CPU11、RAM12、フラッシュメモリ13、第一通信部16及び第二通信部17等を有する。第一通信部16は、グローバルバス5Aに接続するためのネットワークインターフェースである。第二通信部17は、ローカルバス6に接続するためのネットワークインターフェースである。ECU2A〜2Dの各種機能は、CPU11が非遷移的実体的記録媒体に格納されたプログラムに従って各種処理を実行することにより実現される。この例では、フラッシュメモリ13が、非遷移的実体的記録媒体に該当する。 As shown in FIG. 2, the ECU 2A includes a CPU 11, a RAM 12, a flash memory 13, a first communication unit 16, a second communication unit 17, and the like. The first communication unit 16 is a network interface for connecting to the global bus 5A. The second communication unit 17 is a network interface for connecting to the local bus 6. The various functions of the ECUs 2A to 2D are realized by the CPU 11 executing various processes according to a program stored in the non-transitional substantive recording medium. In this example, the flash memory 13 corresponds to a non-transitional substantive recording medium.

CPU11がプログラムに従って各種処理を実行する際には、フラッシュメモリ13に格納されたプログラムをRAM12によって構成されるメインメモリにロードするように構成されていてもよい。この場合、CPU11は、メインメモリに格納されたプログラムに従って各種処理を実行する。CPU11がプログラムに従って各種処理を実行することにより、プログラムに対応する方法が実行され、ECU2A〜2Dが備える各種機能が実現される。ただし、ECU2A〜2Dが備える各種機能を実現する手法はソフトウェアに限るものではなく、機能の一部又は全部を、ディジタル回路やアナログ回路等を組み合わせたハードウェアを用いて実現してもよい。 When the CPU 11 executes various processes according to the program, the program stored in the flash memory 13 may be configured to be loaded into the main memory configured by the RAM 12. In this case, the CPU 11 executes various processes according to the program stored in the main memory. When the CPU 11 executes various processes according to the program, the method corresponding to the program is executed, and various functions included in the ECUs 2A to 2D are realized. However, the method for realizing various functions included in the ECUs 2A to 2D is not limited to software, and a part or all of the functions may be realized by using hardware in which a digital circuit, an analog circuit, or the like is combined.

RAM12及びフラッシュメモリ13には、各種記憶領域が確保される。本実施形態に関連する主要な記憶領域として、フラッシュメモリ13には、共通鍵記憶部13Aが確保される。共通鍵記憶部13Aには、後述する処理の中で、受信データに対するメッセージ認証を実行する際に使用する共通鍵が記憶されている。 Various storage areas are secured in the RAM 12 and the flash memory 13. As a main storage area related to the present embodiment, a common key storage unit 13A is secured in the flash memory 13. The common key storage unit 13A stores a common key used when executing message authentication for received data in a process described later.

[認証処理の概要]
第一ネットワーク1Aのノードは、外部通信路7経由で到来するデータを受信することができる。そのため、例えば外部通信路7に接続された不正な外部機器から悪意のある不正なデータが伝送され得ることも想定して、そのような不正なデータに対して適切な対処をすることが重要となる。また、ECU2A〜2D及びECU3A〜3Hにおいてプログラムの改ざんが行われた場合、あるいは不正なECUへの換装が行われた場合にも、そのような不正なECUから伝送される不正なデータに対し、適切な対処をすることが重要である。
[Overview of authentication process]
The node of the first network 1A can receive the data arriving via the external communication path 7. Therefore, for example, it is important to take appropriate measures against such malicious data on the assumption that malicious malicious data may be transmitted from an unauthorized external device connected to the external communication path 7. Become. Further, even when the programs are tampered with in the ECUs 2A to 2D and the ECUs 3A to 3H, or when the ECU is replaced with an illegal ECU, the illegal data transmitted from such an illegal ECU is dealt with. It is important to take appropriate measures.

そこで、本実施形態のネットワークシステム1において、ECU2A〜2D及びECU3A〜3Hは、第一ネットワーク1A経由でデータを受信した際に認証処理を実行し、データの正当性を確認する。本実施形態において、ECU2A〜2D及びECU3A〜3Hは、メッセージ認証によってデータの正当性を確認する。図3に示すように、第一ネットワーク1Aにおいて伝送されるデータD1には、ID、送信対象データ及び暗号化データ等が含まれる。なお、データD1には、これら以外の制御コードやデータ等も含まれるが、本処理には関連しないので説明を省略する。 Therefore, in the network system 1 of the present embodiment, the ECUs 2A to 2D and the ECUs 3A to 3H execute the authentication process when the data is received via the first network 1A, and confirm the validity of the data. In the present embodiment, the ECUs 2A to 2D and the ECUs 3A to 3H confirm the validity of the data by message authentication. As shown in FIG. 3, the data D1 transmitted in the first network 1A includes an ID, transmission target data, encrypted data, and the like. Although the data D1 includes control codes, data, and the like other than these, the description thereof will be omitted because they are not related to this processing.

IDは、データの種別を示す情報、データの内容を示す情報、送信元のノードを示す情報、送信先のノードを示す情報及び通信時の優先度を示す情報等、様々な情報を含み得る識別子である。送信元のノードからブロードキャスト通信によって第一ネットワーク1Aへと送出されるデータD1は、第一ネットワーク1Aにおける送信元ノード以外のノード全てにおいて受信される。データD1を受信したノードは、データD1中に含まれるIDに基づいて、処理対象とすべきデータか否かを判断することができる。 The ID is an identifier that can include various information such as information indicating the type of data, information indicating the content of data, information indicating the node of the source, information indicating the node of the destination, and information indicating the priority during communication. Is. The data D1 transmitted from the source node to the first network 1A by broadcast communication is received by all the nodes other than the source node in the first network 1A. The node that has received the data D1 can determine whether or not the data should be processed based on the ID included in the data D1.

送信対象データは、送信元ノードが送信先ノードへ送信しようとしたデータの実体部分である。暗号化データは、第一ネットワーク1Aのノードが共通に使用する共通鍵を使って、所定の暗号化方式により送信対象データを暗号化したデータである。共通鍵は、上述の共通鍵記憶部13Aに記憶されている。データD1中に含まれる暗号化データは、データD1を送信する送信元ノードにおいて、共通鍵を使って送信対象データを暗号化し、その暗号化済みのデータの一部を抽出したものである。暗号化済みのデータの一部を抽出するのはデータ量を削減するためである。データ量の削減が不要であれば、暗号化済みのデータの全部を暗号化データとして利用してもよい。 The data to be transmitted is an actual part of the data that the source node tries to transmit to the destination node. The encrypted data is data in which the data to be transmitted is encrypted by a predetermined encryption method using a common key commonly used by the nodes of the first network 1A. The common key is stored in the above-mentioned common key storage unit 13A. The encrypted data included in the data D1 is obtained by encrypting the transmission target data using a common key at the source node that transmits the data D1 and extracting a part of the encrypted data. The reason for extracting a part of the encrypted data is to reduce the amount of data. If it is not necessary to reduce the amount of data, all of the encrypted data may be used as encrypted data.

以上のようなデータD1を受信したノードにおいて、メッセージ認証を実施する際には、データD1中に含まれる送信対象データを取り出し、取り出した送信対象データを送信元ノードと同様の手順で暗号化し、その暗号化済みのデータの一部を抽出する。このようにして受信側ノードで生成される暗号化データは、送信元ノードと同じ共通鍵を使って生成されるので、通常は、データD1中に含まれる暗号化データと一致する。 When performing message authentication on the node that has received the data D1 as described above, the transmission target data contained in the data D1 is taken out, and the taken out transmission target data is encrypted in the same procedure as the source node. Extract a part of the encrypted data. Since the encrypted data generated in the receiving node in this way is generated using the same common key as the source node, it usually matches the encrypted data contained in the data D1.

しかし、送信対象データが伝送途中で改ざんされた場合やデータ化けした場合には、受信側ノードで生成される暗号化データとデータD1中に含まれる暗号化データとが不一致となる。あるいは、共通鍵を知らない不正なノードがデータを送信した場合には、適正な暗号化データを生成できないため、受信側ノードで生成される暗号化データとデータD1中に含まれる暗号化データとが不一致となる。したがって、受信側ノードでは、受信側ノードで生成される暗号化データとデータD1中に含まれる暗号化データが一致する場合には、認証が成立したと判断する。一方、受信側ノードで生成される暗号化データとデータD1中に含まれる暗号化データとが不一致となった場合には、認証に失敗したと判断する。 However, if the data to be transmitted is falsified or garbled during transmission, the encrypted data generated by the receiving node and the encrypted data contained in the data D1 will not match. Alternatively, when an unauthorized node that does not know the common key transmits data, proper encrypted data cannot be generated. Therefore, the encrypted data generated by the receiving node and the encrypted data contained in the data D1 Will be inconsistent. Therefore, on the receiving side node, if the encrypted data generated by the receiving side node and the encrypted data included in the data D1 match, it is determined that the authentication has been established. On the other hand, if the encrypted data generated by the receiving node and the encrypted data contained in the data D1 do not match, it is determined that the authentication has failed.

また、本実施形態のネットワークシステム1において、ECU2A〜2Dは、第二ネットワーク1B経由でデータを伝送することができる。ただし、第二ネットワーク1Bは、第一ネットワーク1Aとは異なり、第二ネットワーク1Bの外部とは隔離されたネットワークとなっている。そのため、第一ネットワーク1Aとは異なり、少なくとも第二ネットワーク1Bの外部から不正なデータが伝送されてくることはない。 Further, in the network system 1 of the present embodiment, the ECUs 2A to 2D can transmit data via the second network 1B. However, unlike the first network 1A, the second network 1B is a network isolated from the outside of the second network 1B. Therefore, unlike the first network 1A, at least illegal data is not transmitted from the outside of the second network 1B.

そこで、ECU2A〜2Dは、第二ネットワーク1B経由でデータを受信した際には、第一ネットワーク1Aの場合とは異なり、認証処理を実行しない。そのため、第二ネットワーク1Bにおいて伝送されるデータD2は、図3に示すように、ID及び送信対象データ等が含まれるものの、暗号化データは含まれないデータとされている。 Therefore, when the ECUs 2A to 2D receive the data via the second network 1B, they do not execute the authentication process unlike the case of the first network 1A. Therefore, as shown in FIG. 3, the data D2 transmitted in the second network 1B is data that includes an ID, transmission target data, and the like, but does not include encrypted data.

[送信元ノードの故障判定と代行装置による代行の仕組み]
以下、ECU2Aが送信元ノードとなる場合を例に挙げて、ECU2A〜2Dにおいて実行される処理について説明する。また、以下の説明では、上述の認証処理の対象とされるデータD1のことを認証対象データと称する。ECU2Aが送信元ノードとなって、認証対象データを第一ネットワーク1A経由で送信する場合、ECU2B〜2D及びECU3A〜3H等は、認証対象データを受信する。
[Failure judgment of source node and proxy mechanism by proxy device]
Hereinafter, the processes executed in the ECUs 2A to 2D will be described by taking the case where the ECU 2A serves as the source node as an example. Further, in the following description, the data D1 that is the target of the above-mentioned authentication processing is referred to as the authentication target data. When the ECU 2A serves as a transmission source node and transmits the authentication target data via the first network 1A, the ECUs 2B to 2D, the ECUs 3A to 3H, and the like receive the authentication target data.

ECU2B〜2D及びECU3A〜3Hは、認証対象データ中のIDに基づいて、自身が認証対象データの送信先とされているか否かを判断する。ECU2B〜2D及びECU3A〜3Hは、自身が送信先となっている場合、上述の認証処理を実行する。ECU2A〜2D及びECU3A〜3Hは、認証に成功した場合、認証成功以降の処理において認証対象データ中に含まれる送信対象データを利用する。具体例を挙げれば、例えば、送信対象データを変数として用いた演算処理、送信対象データに基づく制御、送信対象データに応じて判断が分かれる分岐処理等が実行される。 The ECUs 2B to 2D and the ECUs 3A to 3H determine whether or not they are the transmission destination of the authentication target data based on the ID in the authentication target data. When the ECUs 2B to 2D and the ECUs 3A to 3H themselves are the transmission destinations, the ECUs 2B to 2D and the ECUs 3A to 3H execute the above-mentioned authentication process. When the authentication is successful, the ECUs 2A to 2D and the ECUs 3A to 3H use the transmission target data included in the authentication target data in the processing after the successful authentication. To give a specific example, for example, arithmetic processing using transmission target data as a variable, control based on transmission target data, branch processing in which judgment is divided according to transmission target data, and the like are executed.

一方、ECU2B〜2D及びECU3A〜3Hは、認証に失敗した場合には、認証対象データを利用せずに破棄するか、利用するとしても限定的な利用に留める。認証対象データを破棄するか限定的に利用するかは、認証対象データの内容、各ECUの機能や重要度等によっても変わり得る。ただし、各ECUにおいて認証に失敗した場合に、各ECUにおいて認証対象データそのものをどのように扱うかは本開示の要部ではないので、これ以上の説明は省略する。 On the other hand, when the authentication fails, the ECUs 2B to 2D and the ECUs 3A to 3H either discard the authentication target data without using it, or use it only in a limited way. Whether to discard or use the authentication target data in a limited manner may change depending on the content of the authentication target data, the function and importance of each ECU, and the like. However, since it is not the main part of the present disclosure how to handle the authentication target data itself in each ECU when the authentication fails in each ECU, further description will be omitted.

ECU2B〜2Dは、認証処理の実行後に、認証が成立したか否かの結果を示す認証結果データを、第二ネットワーク1B経由でECU2Aに対して送信する。ECU2Aは、認証結果データを受信し、認証結果データに基づいて判断処理を実行する。判断処理では、ECU2Aにおいて適正な認証対象データを作成可能か否かが判断される。本実施形態においては、ECU2B〜2Dの全てにおいて認証に失敗した場合に、ECU2Aが適正な認証対象データを作成できなかったことに認証失敗の原因があると推定し、ECU2Aが適正な認証対象データを作成不能であると判断する。 After executing the authentication process, the ECUs 2B to 2D transmit the authentication result data indicating the result of whether or not the authentication is established to the ECU 2A via the second network 1B. The ECU 2A receives the authentication result data and executes the determination process based on the authentication result data. In the determination process, it is determined whether or not the ECU 2A can create appropriate authentication target data. In the present embodiment, when authentication fails in all of the ECUs 2B to 2D, it is presumed that the cause of the authentication failure is that the ECU 2A could not create the appropriate authentication target data, and the ECU 2A determines the appropriate authentication target data. Is determined to be uncreateable.

判断処理において、ECU2Aが適正な認証対象データを作成不能であると判断された場合、ECU2Aは、ECU2B〜2Dのいずれかを代行装置として、代行装置に対してデータ送信の代行を依頼する。以下、ECU2Aが、ECU2Bを代行装置として選定した場合を例に挙げて説明を続ける。ECU2Bが代行装置となる場合、ECU2Aは、本来であればECU2Aが送信すべき送信対象データを、第二ネットワーク1B経由でECU2Bへと送信する。 When it is determined in the determination process that the ECU 2A cannot create appropriate data to be authenticated, the ECU 2A requests the agency device to act as a proxy for data transmission, using any of the ECUs 2B to 2D as a proxy device. Hereinafter, the description will be continued with an example of a case where the ECU 2A selects the ECU 2B as a substitute device. When the ECU 2B acts as a proxy device, the ECU 2A transmits the transmission target data that should normally be transmitted by the ECU 2A to the ECU 2B via the second network 1B.

ECU2Bは、ECU2Aから受信した送信対象データに基づいて認証対象データを作成する。具体的には、ECU2Aから受信した送信対象データを暗号化して暗号化データを作成し、ECU2Aから受信した送信対象データとECU2Bにおいて作成した暗号化データとを含む認証対象データを作成する。ECU2Bにおいて作成された認証対象データは、ECU2Bから第一ネットワーク1A経由でECU2B〜2D及びECU3A〜3Hへと送信される。 The ECU 2B creates the authentication target data based on the transmission target data received from the ECU 2A. Specifically, the transmission target data received from the ECU 2A is encrypted to create encrypted data, and the authentication target data including the transmission target data received from the ECU 2A and the encrypted data created by the ECU 2B is created. The authentication target data created in the ECU 2B is transmitted from the ECU 2B to the ECUs 2B to 2D and the ECUs 3A to 3H via the first network 1A.

すなわち、本来であればECU2Aから送信すべき認証対象データが、ECU2Bから送信されることになる。したがって、例えば、ECU2Aにおいてデータの暗号化を実行するために必要となるハードウェア又はソフトウェアに故障等の問題が生じていたとしても、ECU2Bにおいて適正な認証対象データが作成される。よって、ECU2C〜2D及びECU3A〜3Hでは、適正な認証対象データを利用することができる。 That is, the authentication target data that should normally be transmitted from the ECU 2A is transmitted from the ECU 2B. Therefore, for example, even if there is a problem such as a failure in the hardware or software required to execute data encryption in the ECU 2A, appropriate authentication target data is created in the ECU 2B. Therefore, the ECUs 2C to 2D and the ECUs 3A to 3H can use appropriate authentication target data.

[ECUにおいて実行される処理の詳細]
次に、ECU2A〜2Dそれぞれにおいて実行される処理について、図4〜図7に示すフローチャートに基づいて説明する。送信元ノードとなるECU2Aでは、図4及び図5に示す処理が実行される。送信先ノード及び代行装置となるECU2Bでは、図6に示す処理が実行される。送信先ノードとなるECU2C,2Dでは、図7に示す処理が実行される。
[Details of processing executed in the ECU]
Next, the processes executed in each of the ECUs 2A to 2D will be described with reference to the flowcharts shown in FIGS. 4 to 7. The ECU 2A, which is the source node, executes the processes shown in FIGS. 4 and 5. The process shown in FIG. 6 is executed in the destination node and the ECU 2B serving as the proxy device. The processes shown in FIG. 7 are executed in the ECUs 2C and 2D that are the destination nodes.

以下の説明では、送信元ノードとなるECU2Aのことを送信元ECU2Aとも称する。また、代行装置となるECU2Bのことを代行ECU2Bとも称する。また、送信先ノードとなるECU2B〜2D及びECU3A〜3Hのことを送信先ECU2B〜2D及び送信先ECU3A〜3Hとも称する。送信元ECU2Aは、本開示でいう送信元装置に相当する。代行ECU2Bは、本開示でいう代行装置に相当する。送信先ECU2B〜2Dは、本開示でいう送信先装置に相当する。 In the following description, the ECU 2A serving as the source node is also referred to as the source ECU 2A. Further, the ECU 2B serving as a proxy device is also referred to as a proxy ECU 2B. Further, the ECUs 2B to 2D and the ECUs 3A to 3H which are the transmission destination nodes are also referred to as the transmission destination ECUs 2B to 2D and the transmission destination ECUs 3A to 3H. The source ECU 2A corresponds to the source device referred to in the present disclosure. The proxy ECU 2B corresponds to the proxy device referred to in the present disclosure. The destination ECUs 2B to 2D correspond to the destination device referred to in the present disclosure.

まず、ECU2Aにおいて実行される処理について説明する。ECU2Aは、図4に示すように、S110において、送信元ECU2Aの鍵状態を判定する。S110でいう鍵状態としては、共通鍵記憶部13Aから正しい共通鍵を読み取れる状態と、正しい共通鍵を読み取れない状態とを考え得る。以下の説明では、共通鍵記憶部13Aから正しい共通鍵を読み取れる状態にあることを、鍵状態が正常と表現する。また、共通鍵記憶部13Aから正しい共通鍵を読み取れない状態にあることを、鍵状態が異常と表現する。共通鍵記憶部13Aから正しい共通鍵を読み取れない状態にある場合、その具体的な理由としては、例えばフラッシュメモリ13の故障や、外来ノイズ等に起因する一過性の障害など、様々な理由を考え得る。 First, the process executed in the ECU 2A will be described. As shown in FIG. 4, the ECU 2A determines the key state of the source ECU 2A in S110. As the key state referred to in S110, a state in which the correct common key can be read from the common key storage unit 13A and a state in which the correct common key cannot be read can be considered. In the following description, the state in which the correct common key can be read from the common key storage unit 13A is expressed as a normal key state. Further, the fact that the correct common key cannot be read from the common key storage unit 13A is expressed as an abnormal key state. When the correct common key cannot be read from the common key storage unit 13A, the specific reasons may be various reasons such as a failure of the flash memory 13 or a transient failure due to external noise or the like. I can think of it.

S110において、送信元ECU2Aの鍵状態が正常か異常かの判定を行う際には、後から詳述するS240又はS250での判定結果が参照される。ただし、S240又はS250での判定が一度もなされていない場合は、ECU2Aの鍵状態が正常と判定すればよい。S110での判定の結果、送信元ECU2Aの鍵状態が正常であった場合は、S120においてYESと判断されて、S130へと進む。S130では、ECU2Aは、送信対象データに基づいて認証対象データを作成する。そして、ECU2Aは、S140において、グローバルバス5A経由で送信先ECU2B〜2D及び送信先ECU3A〜3Hへ認証対象データを送信する。S140を終えたら、図4に示す処理を終了する。 When determining whether the key state of the source ECU 2A is normal or abnormal in S110, the determination result in S240 or S250, which will be described in detail later, is referred to. However, if the determination in S240 or S250 has never been made, it may be determined that the key state of the ECU 2A is normal. As a result of the determination in S110, if the key state of the source ECU 2A is normal, it is determined to be YES in S120, and the process proceeds to S130. In S130, the ECU 2A creates the authentication target data based on the transmission target data. Then, the ECU 2A transmits the authentication target data to the destination ECUs 2B to 2D and the destination ECUs 3A to 3H via the global bus 5A in S140. When S140 is finished, the process shown in FIG. 4 is finished.

一方、S110での判定の結果、送信元ECU2Aの鍵状態が異常であった場合は、S120においてNOと判断されて、S150へと進む。ECU2Aは、S150において、ローカルバス6経由で代行ECU2Bへ代行要求を送信する。そして、ECU2Aは、S160において、ローカルバス6経由で代行ECU2Bへ送信対象データを送信する。ECU2Aは、S160を終えたら、図4に示す処理を終了する。 On the other hand, if the key state of the source ECU 2A is abnormal as a result of the determination in S110, it is determined as NO in S120 and the process proceeds to S150. In S150, the ECU 2A transmits a proxy request to the proxy ECU 2B via the local bus 6. Then, the ECU 2A transmits the transmission target data to the proxy ECU 2B via the local bus 6 in S160. When the ECU 2A finishes S160, the ECU 2A finishes the process shown in FIG.

ECU2Aにおいて、図4に示す処理が実行されている際に、ECU2Bでは、図6に示す処理が実行される。ECU2Bにおいて図6に示す処理が開始されると、ECU2Bは、S310において、代行要求があるか否かを判断する。代行要求は、上述のS150においてECU2AからECU2Bへと送信される要求である。代行要求がある場合は、S310においてYESと判断されてS320へと進む。 When the process shown in FIG. 4 is being executed in the ECU 2A, the process shown in FIG. 6 is executed in the ECU 2B. When the process shown in FIG. 6 is started in the ECU 2B, the ECU 2B determines in S310 whether or not there is a proxy request. The proxy request is a request transmitted from the ECU 2A to the ECU 2B in the above-mentioned S150. If there is a proxy request, it is determined as YES in S310 and the process proceeds to S320.

ECU2Bは、S320において、ローカルバス6経由で送信元ECU2Aから送信対象データを受信する。S320で受信する送信対象データは、上述のS160においてECU2AからECU2Bへと送信されるデータである。続いて、ECU2Bは、S330において、送信対象データに基づいて認証対象データを作成する。そして、ECU2Bは、S340において、グローバルバス5A経由で送信先ECU2C,2Dへ認証対象データを送信する。S340を終えたら、ECU2Bは、図6に示す処理を終了する。 The ECU 2B receives transmission target data from the transmission source ECU 2A via the local bus 6 in S320. The transmission target data received in S320 is the data transmitted from the ECU 2A to the ECU 2B in the above-mentioned S160. Subsequently, the ECU 2B creates the authentication target data in S330 based on the transmission target data. Then, the ECU 2B transmits the authentication target data to the destination ECUs 2C and 2D via the global bus 5A in S340. After finishing S340, the ECU 2B ends the process shown in FIG.

一方、代行要求がない場合は、S310においてNOと判断されてS350へと進む。ECU2Bは、S350において、グローバルバス5A経由で送信元ECU2Aから認証対象データを受信し、認証処理を実行する。S350で受信する認証対象データは、上述のS140においてECU2AからECU2Bへと送信されるデータである。ECU2Bは、認証処理を実行した結果、認証が成立すれば、認証対象データ中に含まれる送信対象データを取り出し、以降の処理又は制御で利用する。続いて、ECU2Bは、S360において、ローカルバス6経由で送信元ECU2Aへ認証結果データを送信する。S360を終えたら、図6に示す処理を終了する。 On the other hand, if there is no proxy request, it is determined as NO in S310 and the process proceeds to S350. The ECU 2B receives the authentication target data from the source ECU 2A via the global bus 5A in S350, and executes the authentication process. The authentication target data received in S350 is the data transmitted from the ECU 2A to the ECU 2B in the above-mentioned S140. If the authentication is established as a result of executing the authentication process, the ECU 2B takes out the transmission target data included in the authentication target data and uses it in the subsequent processing or control. Subsequently, the ECU 2B transmits the authentication result data to the source ECU 2A via the local bus 6 in S360. When S360 is finished, the process shown in FIG. 6 is finished.

ECU2Aにおいて、図4に示す処理が実行されている際に、ECU2C,2Dでは、図7に示す処理が実行される。あるいは、ECU2Bにおいて、図6に示す処理が実行されている際に、ECU2C,2Dでは、図7に示す処理が実行される。ECU2C,2Dにおいて図7に示す処理が開始されると、ECU2C,2Dは、S410において、グローバルバス5B経由で送信元ECU2A又は代行ECU2Bから認証対象データを受信し、認証処理を実行する。S410で受信する認証対象データは、上述のS140においてECU2AからECU2C,2Dへと送信されるデータ、又は上述のS340においてECU2BからECU2C,2Dへと送信されるデータである。 When the process shown in FIG. 4 is being executed in the ECU 2A, the process shown in FIG. 7 is executed in the ECUs 2C and 2D. Alternatively, while the process shown in FIG. 6 is being executed in the ECU 2B, the process shown in FIG. 7 is executed in the ECUs 2C and 2D. When the process shown in FIG. 7 is started in the ECUs 2C and 2D, the ECUs 2C and 2D receive the authentication target data from the source ECU 2A or the substitute ECU 2B via the global bus 5B in S410, and execute the authentication process. The authentication target data received in S410 is the data transmitted from the ECU 2A to the ECUs 2C and 2D in the above-mentioned S140, or the data transmitted from the ECU 2B to the ECUs 2C and 2D in the above-mentioned S340.

ECU2C,2Dは、認証処理を実行した結果、認証が成立すれば、認証対象データ中に含まれる送信対象データを取り出し、以降の処理又は制御で利用する。続いて、ECU2C,2Dは、S420において、ローカルバス6経由で送信元ECU2Aへ認証結果データを送信する。S420を終えたら、ECU2C,2Dは、図7に示す処理を終了する。なお、本実施形態において、ECU2C,2Dは、送信元ECU2A又は代行ECU2Bのいずれから認証対象データを受信したのかを切り分けることはしない。そのため、認証結果データは、常にECU2C,2DからECU2Aへと送信される。ただし、代行ECU2Bが認証対象データを送信している状況下では、ECU2Aは認証結果データを無視する。よって、ECU2C,2Dが認証結果データを送信しても、ECU2Aでの処理には何の影響もない。 If the authentication is established as a result of executing the authentication process, the ECUs 2C and 2D take out the transmission target data included in the authentication target data and use it in the subsequent processing or control. Subsequently, the ECUs 2C and 2D transmit the authentication result data to the source ECU 2A via the local bus 6 in S420. After finishing S420, the ECUs 2C and 2D finish the process shown in FIG. 7. In the present embodiment, the ECUs 2C and 2D do not distinguish whether the authentication target data is received from the source ECU 2A or the proxy ECU 2B. Therefore, the authentication result data is always transmitted from the ECUs 2C and 2D to the ECU 2A. However, under the situation where the proxy ECU 2B is transmitting the authentication target data, the ECU 2A ignores the authentication result data. Therefore, even if the ECUs 2C and 2D transmit the authentication result data, there is no effect on the processing in the ECU 2A.

ECU2Bにおいて図6に示す処理が実行され、ECU2C,2Dにおいて図7に示す処理が実行される際、ECU2Aでは、図5に示す処理が実行される。ECU2Aにおいて図5に示す処理が開始されると、ECU2Aは、S210において、送信元ECU2Aが認証対象データを送信しているか否かを判断する。ECU2Aが上述のS140を実行している場合、S210においてYESと判断されてS220へと進む。 When the process shown in FIG. 6 is executed in the ECU 2B and the process shown in FIG. 7 is executed in the ECUs 2C and 2D, the process shown in FIG. 5 is executed in the ECU 2A. When the process shown in FIG. 5 is started in the ECU 2A, the ECU 2A determines in S210 whether or not the source ECU 2A is transmitting the authentication target data. When the ECU 2A is executing the above-mentioned S140, it is determined as YES in S210 and proceeds to S220.

ECU2Aは、S220において、ローカルバス6に接続された全ての送信先ECU2B,2C,2Dからローカルバス6経由で認証結果データを受信する。S220で受信する認証結果データは、上述のS360及びS420においてECU2B,2C,2DからECU2Aへと送信されるデータである。続いて、ECU2Aは、S230において、全ての送信先ECU2B,2C,2Dにおいて認証に失敗したか否かを判断する。ここで、送信先ECU2B,2C,2Dにおける認証結果の組み合わせとしては、下記表1に挙げるような組み合わせを考え得る。 In S220, the ECU 2A receives the authentication result data from all the destination ECUs 2B, 2C, and 2D connected to the local bus 6 via the local bus 6. The authentication result data received in S220 is the data transmitted from the ECUs 2B, 2C, 2D to the ECU 2A in the above-mentioned S360 and S420. Subsequently, the ECU 2A determines in S230 whether or not the authentication has failed in all the destination ECUs 2B, 2C, and 2D. Here, as a combination of authentication results in the destination ECUs 2B, 2C, and 2D, the combinations listed in Table 1 below can be considered.

Figure 0006954167
Figure 0006954167

多くの場合、送信先ECU2B,2C,2Dでは認証が成立するので、この場合、送信元ECU2A及び送信先ECU2B,2C,2Dは全て正常と見なすことができる。一方、送信先ECU2B,2C,2Dのうち、いずれか一つの送信先ECUで認証が成立しない場合は、その認証が成立しない送信先ECUにおいて鍵異常等の障害が発生している可能性が高いと推定できる。 In many cases, authentication is established in the destination ECUs 2B, 2C, 2D, and in this case, the source ECU 2A and the destination ECUs 2B, 2C, 2D can all be regarded as normal. On the other hand, if authentication is not established in any one of the destination ECUs 2B, 2C, and 2D, there is a high possibility that a failure such as a key error has occurred in the destination ECU for which the authentication is not established. Can be estimated.

送信先ECU2B,2C,2Dのうち、二つの送信先ECUで認証が成立しない場合は、送信元ECU2Aから二つの送信先ECUに至る伝送経路上で何らかの異常が発生している可能性が高いと推定できる。なお、二つの送信先ECUにおいて同時に鍵異常等の障害が発生している可能性もあるが、複数の障害が同時に発生する確率が低いことを考慮すれば、伝送経路上で障害が発生している可能性は相応に高いと考えられる。 If authentication is not established in two of the destination ECUs 2B, 2C, and 2D, it is highly possible that some abnormality has occurred in the transmission path from the source ECU 2A to the two destination ECUs. Can be estimated. It should be noted that there is a possibility that a failure such as a key abnormality occurs in the two destination ECUs at the same time, but considering that the probability that a plurality of failures occur at the same time is low, a failure occurs on the transmission path. It is considered that the possibility of being present is correspondingly high.

送信先ECU2B,2C,2Dの全てで認証が成立しない場合は、送信元ECU2Aにおいて鍵異常等の障害が発生している可能性が高いと推定できる。なお、全ての送信先ECUにおいて同時に障害が発生している可能性もあるが、複数の障害が同時に発生する確率が低いことを考慮すれば、送信元ECU2Aにおいて障害が発生している可能性は相応に高いと考えられる。 If authentication is not established in all of the destination ECUs 2B, 2C, and 2D, it can be estimated that there is a high possibility that a failure such as a key abnormality has occurred in the source ECU 2A. It should be noted that there is a possibility that all the destination ECUs have a failure at the same time, but considering that the probability that a plurality of failures occur at the same time is low, there is a possibility that a failure has occurred in the source ECU 2A. It is considered to be reasonably expensive.

そこで、全ての送信先ECU2B,2C,2Dにおいて認証に失敗している場合に、S230ではYESと判断されてS240へと進む。ECU2Aは、S240において、送信元ECU2Aの鍵状態を異常と判定する。S240を終えたら、ECU2Aは、図5に示す処理を終了する。一方、送信先ECU2B,2C,2Dのうち、少なくとも一つのECUで認証に成功している場合に、S230ではNOと判断されてS250へと進む。ECU2Aは、S250において、送信元ECU2Aの鍵状態を正常と判定する。S250を終えたら、ECU2Aは、図5に示す処理を終了する。S240又はS250での判定結果は、既に説明した通り、図4のS110において、送信元ECU2Aの鍵状態が正常か異常かの判定を行う際には、後から詳述するS240又はS250での判定結果が参照される。 Therefore, when the authentication fails in all the destination ECUs 2B, 2C, and 2D, it is determined as YES in S230 and the process proceeds to S240. The ECU 2A determines in S240 that the key state of the source ECU 2A is abnormal. After finishing S240, the ECU 2A ends the process shown in FIG. On the other hand, when at least one of the destination ECUs 2B, 2C, and 2D has succeeded in authentication, S230 determines NO and proceeds to S250. The ECU 2A determines in S250 that the key state of the source ECU 2A is normal. After finishing S250, the ECU 2A ends the process shown in FIG. As described above, the determination result in S240 or S250 is determined in S240 or S250, which will be described in detail later, when determining whether the key state of the source ECU 2A is normal or abnormal in S110 of FIG. The result is referenced.

[効果]
上記ネットワークシステム1によれば、送信元ECU2Aは、三つの送信先ECU2B〜2Dから認証結果データを受信してS230〜S250の判断処理を実行し、送信元ECU2Aにおいて適正な認証対象データを作成可能か否かを判断する。そのため、送信元ECU2Aが故障検出のために専用の構成を内蔵していなくても、適正な認証対象データを作成可能か否かを判断することができる。したがって、送信元ECU2Aが適正な認証対象データを作成できないと判断された場合には、例えば送信元ECU2Aでは認証対象データの作成及び送信を中止する等、当該場合に対応したフェイルセーフ処理等を実行することができる。
[effect]
According to the network system 1, the source ECU 2A can receive authentication result data from the three destination ECUs 2B to 2D, execute the determination process of S230 to S250, and create appropriate authentication target data in the source ECU 2A. Judge whether or not. Therefore, even if the source ECU 2A does not have a built-in dedicated configuration for failure detection, it can be determined whether or not appropriate authentication target data can be created. Therefore, when it is determined that the source ECU 2A cannot create appropriate authentication target data, for example, the source ECU 2A executes fail-safe processing corresponding to the case, such as canceling the creation and transmission of the authentication target data. can do.

また、送信元ECU2Aが上記判断処理を実行する際には、三つの送信先ECU2B〜2Dから認証結果データを受信する。したがって、単一の送信先ECUから認証結果データを受信する場合に比べ、判断処理において信頼性の高い判断を行うことができる。また、本実施形態の場合、送信元ECU2Aは、三つの送信先ECU2B〜2Dそれぞれから受信した認証結果データの全てが認証に失敗したことを示している場合に、送信元ECU2Aにおいて適正な認証対象データを作成不能と判断する。したがって、少なくとも一つの送信先ECUにおいて認証に成功している場合に、送信元ECU2Aには問題がないと適切に判断することができる。 Further, when the transmission source ECU 2A executes the above determination process, the authentication result data is received from the three transmission destination ECUs 2B to 2D. Therefore, as compared with the case where the authentication result data is received from a single destination ECU, it is possible to make a highly reliable judgment in the judgment process. Further, in the case of the present embodiment, when the source ECU 2A indicates that all the authentication result data received from each of the three destination ECUs 2B to 2D have failed in the authentication, the source ECU 2A is an appropriate authentication target. Judge that the data cannot be created. Therefore, when the authentication is successful in at least one transmission destination ECU, it can be appropriately determined that there is no problem in the transmission source ECU 2A.

また、本実施形態の場合、送信元ECU2Aにおいて適正な認証対象データを作成不能と判断された場合に、当該判断後は、代行ECU2Bにおいて認証対象データを作成し、認証対象データを他の送信先ECU2C,2Dへと送信する。したがって、送信元ECU2Aでは認証対象データの送信が中止されるにもかかわらず、送信先ECU2C,2Dでは代行ECU2Bから送信される認証対象データを受信して、認証対象データに応じた処理や制御を実行することができる。 Further, in the case of the present embodiment, when it is determined that the source ECU 2A cannot create the appropriate authentication target data, after the determination, the proxy ECU 2B creates the authentication target data and sends the authentication target data to another destination. It transmits to ECU2C and 2D. Therefore, although the source ECU 2A cancels the transmission of the authentication target data, the destination ECUs 2C and 2D receive the authentication target data transmitted from the proxy ECU 2B and perform processing and control according to the authentication target data. Can be executed.

(2)第二実施形態
次に、第二実施形態について説明する。なお、第二実施形態は、第一実施形態で例示した構成の一部を変更しただけなので、第一実施形態との相違点を中心に詳述し、第一実施形態と同様な部分に関しては、その詳細な説明を省略する。
(2) Second Embodiment Next, the second embodiment will be described. Since the second embodiment is only a part of the configuration illustrated in the first embodiment, the differences from the first embodiment will be mainly described, and the same parts as those in the first embodiment will be described. , The detailed description thereof will be omitted.

[ECUにおいて実行される処理の詳細]
第一実施形態において、送信元ECU2Aは、図4に示す処理を実行するように構成されていたが、第二実施形態においては、送信元ECU2Aが、図4に示す処理の代わりに、図8に示す処理を実行するように構成されている。以下、図8に示す処理について説明する。
[Details of processing executed in the ECU]
In the first embodiment, the source ECU 2A is configured to execute the process shown in FIG. 4, but in the second embodiment, the source ECU 2A replaces the process shown in FIG. 4 with FIG. It is configured to perform the processing shown in. Hereinafter, the processing shown in FIG. 8 will be described.

ECU2Aは、図8に示すように、S510において、送信元ECU2Aの鍵状態を判定する。S510は、図4のS110と同等な処理ステップであり、図5のS240又はS250での判定結果が参照される点も、第一実施形態と同様である。 As shown in FIG. 8, the ECU 2A determines the key state of the source ECU 2A in S510. S510 is a processing step equivalent to S110 in FIG. 4, and the point that the determination result in S240 or S250 in FIG. 5 is referred to is also the same as in the first embodiment.

S510での判定の結果、送信元ECU2Aの鍵状態が正常であった場合は、S520においてYESと判断されて、S530へと進む。S530では、ECU2Aは、送信対象データに基づいて認証対象データを作成する。そして、ECU2Aは、S540において、グローバルバス5A経由で送信先ECU2B〜2D及び送信先ECU3A〜3Hへ認証対象データを送信する。S540を終えたら、図8に示す処理を終了する。 As a result of the determination in S510, if the key state of the source ECU 2A is normal, it is determined to be YES in S520, and the process proceeds to S530. In S530, the ECU 2A creates the authentication target data based on the transmission target data. Then, the ECU 2A transmits the authentication target data to the destination ECUs 2B to 2D and the destination ECUs 3A to 3H via the global bus 5A in S540. When S540 is finished, the process shown in FIG. 8 is finished.

一方、S510での判定の結果、送信元ECU2Aの鍵状態が異常であった場合は、S520においてNOと判断されて、S550へと進む。ECU2Aは、S550において、前回の鍵状態の判定から所定以上の時間が経過したか否かを判断する。S550では、最後にS240又はS250が実行されてから所定以上の時間(例えば10分以上。)が経過したか否かが判断される。 On the other hand, if the key state of the source ECU 2A is abnormal as a result of the determination in S510, it is determined as NO in S520 and the process proceeds to S550. In S550, the ECU 2A determines whether or not a predetermined time or more has elapsed from the previous determination of the key state. In S550, it is determined whether or not a predetermined time or more (for example, 10 minutes or more) has elapsed since the last execution of S240 or S250.

S550において、前回の鍵状態の判定から所定以上の時間が経過していない場合はNOと判断されて、S560へと進む。ECU2Aは、S560において、ローカルバス6経由で代行ECU2Bへ代行要求を送信する。そして、ECU2Aは、S570において、ローカルバス6経由で代行ECU2Bへ送信対象データを送信する。ECU2Aは、S570を終えたら、図8に示す処理を終了する。 In S550, if a predetermined time or more has not passed since the previous determination of the key state, NO is determined and the process proceeds to S560. In S560, the ECU 2A transmits a proxy request to the proxy ECU 2B via the local bus 6. Then, the ECU 2A transmits the transmission target data to the proxy ECU 2B via the local bus 6 in S570. When the ECU 2A finishes S570, the ECU 2A finishes the process shown in FIG.

S550において、前回の鍵状態の判定から所定以上の時間が経過している場合はYESと判断されて、S580へと進む。ECU2Aは、S580において、ローカルバス6経由で代行ECU2Bへ代行停止要求を送信する。これにより、代行ECU2Bでは、図6のS310においてNOと判断されるようになり、ECU2Bは、代行ECUとしての機能を停止する。S580を終えたらS530へと進む。 In S550, if a predetermined time or more has passed since the previous determination of the key state, it is determined as YES, and the process proceeds to S580. In S580, the ECU 2A transmits a proxy stop request to the proxy ECU 2B via the local bus 6. As a result, the substitute ECU 2B is determined to be NO in S310 of FIG. 6, and the ECU 2B stops functioning as the substitute ECU. After finishing S580, proceed to S530.

これにより、ECU2Aは、上述の通り、送信対象データに基づいて認証対象データを作成する。そして、ECU2Aは、S540において、グローバルバス5A経由で送信先ECU2B〜2D及び送信先ECU3A〜3Hへ認証対象データを送信する。S540を終えたら、図8に示す処理を終了する。S580を経てS530及びS540へと進んだ場合、少なくとも一回はECU2Aから送信先ECU2B〜2D及び送信先ECU3A〜3Hへグローバルバス5A経由で認証対象データが送信される。 As a result, the ECU 2A creates the authentication target data based on the transmission target data as described above. Then, the ECU 2A transmits the authentication target data to the destination ECUs 2B to 2D and the destination ECUs 3A to 3H via the global bus 5A in S540. When S540 is finished, the process shown in FIG. 8 is finished. When proceeding to S530 and S540 via S580, the authentication target data is transmitted from the ECU 2A to the destination ECUs 2B to 2D and the destination ECUs 3A to 3H at least once via the global bus 5A.

この場合、送信先ECU2B〜2Dから送信元ECU2Aへは認証結果データが伝送される。送信先ECU2B〜2Dから送信元ECU2Aへ認証結果データが伝送された場合、ECU2Aは、図5に示す処理により、送信元ECU2Aの鍵状態を判定する。その判定の結果、鍵状態が正常であれば、図8に示す処理では、S510→S520→S530→S540の順序で処理が進行する。すなわち、ECU2Aは、自ら認証対象データを送信する状態に復帰する。 In this case, the authentication result data is transmitted from the transmission destination ECUs 2B to 2D to the transmission source ECU 2A. When the authentication result data is transmitted from the destination ECUs 2B to 2D to the source ECU 2A, the ECU 2A determines the key state of the source ECU 2A by the process shown in FIG. As a result of the determination, if the key state is normal, in the process shown in FIG. 8, the process proceeds in the order of S510 → S520 → S530 → S540. That is, the ECU 2A returns to the state of transmitting the authentication target data by itself.

一方、図5に示す処理による判定の結果、鍵状態が異常であれば、図8に示す処理では、S510→S520→S550の順序で処理が進行する。そして、S550では、前回の鍵状態の判定から所定以上の時間が経過している場合にのみ、S550→S580→S530→S540の順序で処理が進行し、それ以外の場合はS550→S560→S570の順序で処理が進行する。したがって、鍵状態が異常な場合は、鍵状態が正常な場合に比べ、S530及びS540を実行する頻度が低下する。 On the other hand, if the key state is abnormal as a result of the determination by the process shown in FIG. 5, in the process shown in FIG. 8, the process proceeds in the order of S510 → S520 → S550. Then, in S550, the process proceeds in the order of S550 → S580 → S530 → S540 only when a predetermined time or more has elapsed from the previous determination of the key state, and in other cases, S550 → S560 → S570. Processing proceeds in the order of. Therefore, when the key state is abnormal, the frequency of executing S530 and S540 is lower than when the key state is normal.

[効果]
以上説明したような第二実施形態の構成であっても、第一実施形態と同様の作用、効果を奏し、送信元ECU2Aが故障検出のために専用の構成を内蔵していなくても、適正な認証対象データを作成可能か否かを判断することができる。したがって、送信元ECU2Aが適正な認証対象データを作成できないと判断された場合には、例えば送信元ECU2Aでは認証対象データの作成及び送信を中止する等、当該場合に対応したフェイルセーフ処理等を実行することができる。
[effect]
Even with the configuration of the second embodiment as described above, the same operations and effects as those of the first embodiment are obtained, and it is appropriate even if the source ECU 2A does not have a built-in dedicated configuration for failure detection. It is possible to judge whether or not it is possible to create various authentication target data. Therefore, when it is determined that the source ECU 2A cannot create appropriate authentication target data, for example, the source ECU 2A executes fail-safe processing corresponding to the case, such as canceling the creation and transmission of the authentication target data. can do.

また、第二実施形態の場合、送信元ECU2Aは、送信元ECU2Aにおいて適正な認証対象データを作成不能と判断された場合に、当該判断後は、S550によってS530及びS540の実行頻度を低下させる。これにより、認証対象データの送信頻度を第一の頻度から当該第一の頻度よりも低い第二の頻度へと低下させる。したがって、送信元ECU2Aにおいて適正な認証対象データを作成不能と判断された場合には、認証対象データの送信頻度が低下するので、ネットワークにかかる負荷を低減することができる。 Further, in the case of the second embodiment, when the source ECU 2A determines that the source ECU 2A cannot create appropriate authentication target data, S550 reduces the execution frequency of S530 and S540 after the determination. As a result, the transmission frequency of the data to be authenticated is reduced from the first frequency to the second frequency lower than the first frequency. Therefore, when it is determined that the source ECU 2A cannot create the appropriate authentication target data, the frequency of transmitting the authentication target data is reduced, so that the load on the network can be reduced.

また、第二実施形態の場合、上述のように認証対象データの送信頻度を低下させた後、改めて送信元ECU2Aにおいて適正な認証対象データを作成可能と判断された場合には、S520からS530へと進むことにより、認証対象データの送信頻度を第一の頻度へと復帰させる。したがって、例えば一時的な問題が原因となって認証対象データの送信頻度を低下させたとしても、その後、一時的な問題が解消すれば認証対象データの送信頻度を元通りに戻すことができる。 Further, in the case of the second embodiment, after reducing the transmission frequency of the authentication target data as described above, if it is determined that the source ECU 2A can create the appropriate authentication target data again, the process is changed from S520 to S530. By proceeding with, the transmission frequency of the authentication target data is returned to the first frequency. Therefore, even if the transmission frequency of the authentication target data is reduced due to, for example, a temporary problem, the transmission frequency of the authentication target data can be restored once the temporary problem is resolved.

(3)他の実施形態
以上、ネットワークシステムについて、例示的な実施形態を挙げて説明したが、上述の実施形態は本開示の一態様として例示されるものにすぎない。すなわち、本開示は、上述の例示的な実施形態に限定されるものではなく、本開示の技術的思想を逸脱しない範囲内において、様々な形態で実施することができる。
(3) Other Embodiments Although the network system has been described above with reference to exemplary embodiments, the above-described embodiments are merely exemplified as one aspect of the present disclosure. That is, the present disclosure is not limited to the above-described exemplary embodiments, and can be implemented in various forms without departing from the technical ideas of the present disclosure.

例えば、上記実施形態では、ECU2Aが適正な認証対象データを作成不能となる原因として、ECU2Aにおいて、フラッシュメモリ13の共通鍵記憶部13Aから正しい共通鍵を読み取れない、という状態にある場合を想定していたが、当該原因は一例として例示する原因にすぎない。すなわち、他の原因によってECU2Aが適正な認証対象データを作成不能となる場合であっても、本開示の構成を適用することが可能である。 For example, in the above embodiment, it is assumed that the reason why the ECU 2A cannot create proper authentication target data is that the ECU 2A cannot read the correct common key from the common key storage unit 13A of the flash memory 13. However, the cause is only an example. That is, even when the ECU 2A cannot create appropriate authentication target data due to other causes, the configuration of the present disclosure can be applied.

また、上記実施形態では、送信元ECU2Aの鍵状態が異常な場合に、ECU2Bに対して認証対象データの代行送信を要求するように構成してあったが、送信元ECU2Aが認証対象データの代行送信を要求するか否かは任意である。例えば、送信元ECU2Aの鍵状態が異常な場合に、送信元ECU2Aが、フェイルセーフ処理として、単に認証対象データの送信を中止するように構成してもよい。 Further, in the above embodiment, when the key state of the source ECU 2A is abnormal, the ECU 2B is configured to request the proxy transmission of the authentication target data, but the source ECU 2A acts as a proxy for the authentication target data. Whether or not to request transmission is optional. For example, when the key state of the source ECU 2A is abnormal, the source ECU 2A may be configured to simply stop the transmission of the authentication target data as a fail-safe process.

また、上記実施形態では、ECU2Aが送信元ECUとして機能し、ECU2Bが代行ECUとして機能する例を示したが、ECU2A〜2Dはいずれが送信元ECUとなってもよい。また、ECU2A〜2Dのうち、送信元ECU以外のECUは、いずれが代行ECUとなってもよい。さらに、ECU3A〜3Hがローカルバス6に接続されていてもよく、その場合は、ECU3A〜3Hが送信元ECU又は代行ECUとして機能してもよい。 Further, in the above embodiment, the example in which the ECU 2A functions as the source ECU and the ECU 2B functions as the substitute ECU is shown, but any of the ECUs 2A to 2D may serve as the source ECU. Further, among the ECUs 2A to 2D, any of the ECUs other than the source ECU may be a substitute ECU. Further, the ECUs 3A to 3H may be connected to the local bus 6, and in that case, the ECUs 3A to 3H may function as a source ECU or a substitute ECU.

また、上記実施形態では、メッセージ認証による認証処理を実施する例を示したが、メッセージ認証以外の方式で認証を行ってもよいし、メッセージ認証とメッセージ認証以外の方式とを併用してもよい。例えば、上記実施形態では、送信対象データと暗号化データとを伝送し、受信側において送信対象データを暗号化して、その暗号化されたデータと暗号化データとを比較して認証成立か否かを判断していたが、他の認証手順を採用することもできる。一例を挙げれば、例えば、送信対象データと暗号化データとを伝送し、受信側において暗号化データを復号して、その復号されたデータと送信対象データとを比較して認証成立か否かを判断してもよい。 Further, in the above embodiment, an example of performing the authentication process by message authentication is shown, but the authentication may be performed by a method other than the message authentication, or the message authentication and the method other than the message authentication may be used together. .. For example, in the above embodiment, the transmission target data and the encrypted data are transmitted, the transmission target data is encrypted on the receiving side, and the encrypted data and the encrypted data are compared to determine whether or not the authentication is successful. However, other authentication procedures can be adopted. For example, the transmission target data and the encrypted data are transmitted, the encrypted data is decrypted on the receiving side, and the decrypted data is compared with the transmission target data to determine whether or not the authentication is successful. You may judge.

また、上記実施形態では、単一のCGW4によって複数のグローバルバス5A,5B,5Cを相互に接続していたが、複数のグローバルバス5A,5B,5Cを相互に接続可能に構成されていれば、複数のゲートウェイを採用してもよい。例えば、第一のゲートウェイでグローバルバス5Aとグローバルバス5Bとを接続し、第二のゲートウェイでグローバルバス5Bとグローバルバス5Cとを接続することにより、グローバルバス5Aとグローバルバス5Cは、二つのゲートウェイ及びグローバルバス5Bを介して通信可能に構成されていてもよい。 Further, in the above embodiment, a plurality of global buses 5A, 5B, 5C are connected to each other by a single CGW 4, but if a plurality of global buses 5A, 5B, 5C are configured to be connectable to each other. , Multiple gateways may be adopted. For example, by connecting the global bus 5A and the global bus 5B at the first gateway and connecting the global bus 5B and the global bus 5C at the second gateway, the global bus 5A and the global bus 5C are two gateways. And may be configured to be communicable via the global bus 5B.

以上の他、上記各実施形態における一つの構成要素によって実現していた機能を、複数の構成要素によって実現するように構成してもよい。また、複数の構成要素によって実現していた機能を一つの構成要素によって実現するように構成してもよい。また、上記各実施形態の構成の一部を省略してもよい。また、上記各実施形態の構成の少なくとも一部を、他の上記実施形態の構成に対して付加、置換等してもよい。なお、特許請求の範囲に記載の文言から特定される技術思想に含まれる全ての態様が本開示の実施形態に該当する。 In addition to the above, the function realized by one component in each of the above embodiments may be configured to be realized by a plurality of components. Further, the function realized by a plurality of components may be configured to be realized by one component. Further, a part of the configuration of each of the above embodiments may be omitted. In addition, at least a part of the configuration of each of the above embodiments may be added or replaced with respect to the configuration of the other embodiment. In addition, all aspects included in the technical idea specified from the wording described in the claims correspond to the embodiment of the present disclosure.

また、上述したネットワークシステムの他、本開示のネットワークシステムを構成可能な電子装置、本開示のネットワークシステムを備えた車両、本開示でいう電子装置としてコンピュータを機能させるためのプログラム、このプログラムを記録した記録媒体など、種々の形態で本開示を実現することもできる。 In addition to the network system described above, an electronic device capable of configuring the network system of the present disclosure, a vehicle equipped with the network system of the present disclosure, a program for operating a computer as the electronic device referred to in the present disclosure, and this program are recorded. The present disclosure can also be realized in various forms such as a recording medium.

(4)補足
なお、以上説明した例示的な実施形態から明らかなように、本開示のネットワークシステムは、更に以下に挙げるような構成を備えていてもよい。
(4) Supplement As is clear from the exemplary embodiments described above, the network system of the present disclosure may further include the following configurations.

まず、本開示のネットワークシステムにおいて、送信元装置は、判断処理を実行した際、少なくとも二つの送信先装置それぞれから受信した認証結果データの全てが、認証に失敗したことを示している場合に、送信元装置において適正な認証対象データを作成不能と判断するように構成されていてもよい(S230,S240)。 First, in the network system of the present disclosure, when the source device executes the determination process, when all of the authentication result data received from each of at least two destination devices indicates that the authentication has failed. The source device may be configured to determine that appropriate authentication target data cannot be created (S230, S240).

このように構成されたネットワークシステムによれば、少なくとも一つの送信先装置において認証に成功している場合に、送信元装置には問題がないと適切に判断することができる。 According to the network system configured in this way, when the authentication is successful in at least one destination device, it can be appropriately determined that there is no problem in the source device.

また、本開示のネットワークシステムにおいて、複数の電子装置のうちの少なくとも一つの電子装置(2B)は、代行装置として機能可能に構成されてもよい。この場合、送信元装置は、判断処理において、送信元装置において適正な認証対象データを作成不能と判断された場合に、当該判断後は、送信対象データを第二ネットワーク経由で代行装置へと送信するように構成されているとよい(S150,S160)。また、代行装置は、送信元装置から送信対象データを受信した場合に、送信対象データに基づいて認証対象データを作成し(S330)、当該認証対象データを第一ネットワーク経由で少なくとも二つの送信先装置(2C,2D)へと送信するように構成されているとよい(S340)。 Further, in the network system of the present disclosure, at least one electronic device (2B) among the plurality of electronic devices may be configured to be functional as a proxy device. In this case, if the source device determines in the determination process that the source device cannot create appropriate authentication target data, the source device transmits the transmission target data to the proxy device via the second network after the determination. It is preferable that the configuration is such that (S150, S160). Further, when the proxy device receives the transmission target data from the source device, it creates the authentication target data based on the transmission target data (S330), and sends the authentication target data to at least two destinations via the first network. It may be configured to transmit to the device (2C, 2D) (S340).

このように構成されたネットワークシステムによれば、判断処理において、送信元装置において適正な認証対象データを作成不能と判断された場合に、当該判断後は、代行装置が、認証対象データを作成し、当該認証対象データを送信先装置へと送信する。したがって、送信元装置では認証対象データの送信が中止されるにもかかわらず、送信先装置では代行装置から送信される認証対象データを受信して、認証対象データに応じた処理等を実行することができる。 According to the network system configured in this way, when it is determined in the determination process that the source device cannot create the appropriate authentication target data, the proxy device creates the authentication target data after the determination. , The authentication target data is transmitted to the destination device. Therefore, even though the source device stops transmitting the authentication target data, the destination device receives the authentication target data transmitted from the proxy device and executes processing or the like according to the authentication target data. Can be done.

また、本開示のネットワークシステムにおいて、送信元装置は、判断処理において、送信元装置において適正な認証対象データを作成不能と判断された場合に、当該判断後は、認証対象データの送信頻度を第一の頻度から当該第一の頻度よりも低い第二の頻度へと低下させるように構成されていてもよい(S550−S580)。 Further, in the network system of the present disclosure, when the source device determines in the determination process that the source device cannot create appropriate authentication target data, the transmission frequency of the authentication target data is determined after the determination. It may be configured to decrease from one frequency to a second frequency lower than the first frequency (S550-S580).

このように構成されたネットワークシステムによれば、送信元装置において適正な認証対象データを作成不能と判断された場合に、認証対象データの送信頻度が低下する。したがって、ネットワークにかかる負荷を低減することができる。 According to the network system configured in this way, when it is determined that the source device cannot create appropriate authentication target data, the transmission frequency of the authentication target data is reduced. Therefore, the load on the network can be reduced.

また、本開示のネットワークシステムにおいて、送信元装置は、認証対象データの送信頻度を低下させた後、判断処理において、送信元装置において適正な認証対象データを作成可能と判断された場合に、当該判断後は、認証対象データの送信頻度を第一の頻度へと復帰させるように構成されていてもよい(S510−S540)。 Further, in the network system of the present disclosure, when the source device determines in the determination process that it is possible to create appropriate authentication target data in the determination process after reducing the transmission frequency of the authentication target data, the said After the determination, the transmission frequency of the authentication target data may be restored to the first frequency (S510-S540).

このように構成されたネットワークシステムによれば、送信元装置が認証対象データの送信頻度を低下させた場合でも、その後、送信元装置において適正な認証対象データを作成可能との判断がなされれば、認証対象データの送信頻度を第一の頻度へと復帰させる。したがって、例えば一時的な問題が原因となって認証対象データの送信頻度を低下させたとしても、その後、一時的な問題が解消すれば認証対象データの送信頻度を元通りに戻すことができる。 According to the network system configured in this way, even if the source device reduces the frequency of transmitting the authentication target data, if it is determined that the source device can create appropriate authentication target data thereafter. , The transmission frequency of the authentication target data is returned to the first frequency. Therefore, even if the transmission frequency of the authentication target data is reduced due to, for example, a temporary problem, the transmission frequency of the authentication target data can be restored once the temporary problem is resolved.

1…ネットワークシステム、1A…第一ネットワーク、1B…第二ネットワーク、2A,2B,2C,2D,3A,3B,3C,3D,3E,3F,3G,3H…ECU、5A,5B,5C…グローバルバス、6…ローカルバス、7…外部通信路、11…CPU、12…RAM、13…フラッシュメモリ、13A…共通鍵記憶部、16…第一通信部、17…第二通信部。 1 ... Network system, 1A ... First network, 1B ... Second network, 2A, 2B, 2C, 2D, 3A, 3B, 3C, 3D, 3E, 3F, 3G, 3H ... ECU, 5A, 5B, 5C ... Global Bus, 6 ... local bus, 7 ... external communication path, 11 ... CPU, 12 ... RAM, 13 ... flash memory, 13A ... common key storage unit, 16 ... first communication unit, 17 ... second communication unit.

Claims (5)

第一ネットワーク(1A)のノードとして機能し、かつ、前記第一ネットワークとは独立に構築される第二ネットワーク(1B)のノードとしても機能するように構成された複数の電子装置(2A,2B,2C,2D)を含み、
前記複数の電子装置のうちの少なくとも一つの電子装置(2A)は、送信元装置として機能可能に構成され、
前記複数の電子装置のうちの少なくとも二つの電子装置(2B,2C,2D)は、送信先装置として機能可能に構成され、
前記送信元装置は、送信対象とされる送信対象データに基づいて認証処理の対象とされる認証対象データを作成し(S130,S530)、当該認証対象データを前記第一ネットワーク経由で少なくとも二つの前記送信先装置へと送信するように構成され(S140,S540)、
前記少なくとも二つの送信先装置は、前記送信元装置から前記認証対象データを受信した場合に、前記認証対象データに対する認証処理を実行し(S350)、前記認証処理において認証に成功したか否かを示す認証結果データを、前記第二ネットワーク経由で前記送信元装置へと送信するように構成され(S360)、
前記送信元装置は、前記少なくとも二つの送信先装置それぞれから前記認証結果データを受信した場合に、前記認証結果データに基づいて、前記送信元装置において適正な前記認証対象データを作成可能か否かを判断する判断処理を実行するように構成されている(S230−S250)
ネットワークシステム。
A plurality of electronic devices (2A, 2B) configured to function as a node of the first network (1A) and also as a node of the second network (1B) constructed independently of the first network. , 2C, 2D)
At least one of the plurality of electronic devices (2A) is configured to be functional as a source device.
At least two of the plurality of electronic devices (2B, 2C, 2D) are configured to be functional as destination devices.
The source device creates authentication target data to be authenticated based on transmission target data to be transmitted (S130, S530), and at least two authentication target data are transmitted via the first network. It is configured to transmit to the destination device (S140, S540).
When the at least two destination devices receive the authentication target data from the source device, the authentication target data is subjected to an authentication process (S350), and whether or not the authentication is successful in the authentication process is determined. The authentication result data shown is configured to be transmitted to the source device via the second network (S360).
Whether or not the source device can create appropriate authentication target data in the source device based on the authentication result data when the authentication result data is received from each of the at least two destination devices. Is configured to execute a judgment process for determining (S230-S250).
Network system.
請求項1に記載のネットワークシステムであって、
前記送信元装置は、前記判断処理を実行した際、前記少なくとも二つの送信先装置それぞれから受信した前記認証結果データの全てが、認証に失敗したことを示している場合に、前記送信元装置において適正な前記認証対象データを作成不能と判断するように構成されている(S230,S240)
ネットワークシステム。
The network system according to claim 1.
When the source device executes the determination process, the source device determines that all of the authentication result data received from each of the at least two destination devices indicates that the authentication has failed. It is configured to determine that the appropriate authentication target data cannot be created (S230, S240).
Network system.
請求項1又は請求項2に記載のネットワークシステムであって、
前記複数の電子装置のうちの少なくとも一つの電子装置(2B)は、代行装置として機能可能に構成され、
前記送信元装置は、前記判断処理において、前記送信元装置において適正な前記認証対象データを作成不能と判断された場合に、当該判断後は、前記送信対象データを前記第二ネットワーク経由で前記代行装置へと送信するように構成され(S150,S160)、
前記代行装置は、前記送信元装置から前記送信対象データを受信した場合に、前記送信対象データに基づいて前記認証対象データを作成し(S330)、当該認証対象データを前記第一ネットワーク経由で少なくとも二つの前記送信先装置(2C,2D)へと送信するように構成されている(S340)
ネットワークシステム。
The network system according to claim 1 or 2.
At least one of the plurality of electronic devices (2B) is configured to be able to function as a surrogate device.
When the source device determines in the determination process that the source device cannot create the appropriate authentication target data, after the determination, the transmission target data is transmitted to the proxy via the second network. Configured to transmit to the device (S150, S160),
When the proxy device receives the transmission target data from the transmission source device, the proxy device creates the authentication target data based on the transmission target data (S330), and at least transmits the authentication target data via the first network. It is configured to transmit to the two destination devices (2C, 2D) (S340).
Network system.
請求項1から請求項3までのいずれか一項に記載のネットワークシステムであって、
前記送信元装置は、前記判断処理において、前記送信元装置において適正な前記認証対象データを作成不能と判断された場合に、当該判断後は、前記認証対象データの送信頻度を第一の頻度から当該第一の頻度よりも低い第二の頻度へと低下させるように構成されている(S550−S580)
ネットワークシステム。
The network system according to any one of claims 1 to 3.
When the source device determines in the determination process that the source device cannot create the appropriate authentication target data, after the determination, the transmission frequency of the authentication target data is set from the first frequency. It is configured to reduce to a second frequency that is lower than the first frequency (S550-S580).
Network system.
請求項4に記載のネットワークシステムであって、
前記送信元装置は、前記認証対象データの送信頻度を低下させた後、前記判断処理において、前記送信元装置において適正な前記認証対象データを作成可能と判断された場合に、当該判断後は、前記認証対象データの送信頻度を前記第一の頻度へと復帰させるように構成されている(S510−S540)
ネットワークシステム。
The network system according to claim 4.
After reducing the frequency of transmission of the authentication target data, the source device determines in the determination process that the source device can create appropriate authentication target data. It is configured to return the transmission frequency of the authentication target data to the first frequency (S510-S540).
Network system.
JP2018024291A 2018-02-14 2018-02-14 Network system Active JP6954167B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018024291A JP6954167B2 (en) 2018-02-14 2018-02-14 Network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018024291A JP6954167B2 (en) 2018-02-14 2018-02-14 Network system

Publications (2)

Publication Number Publication Date
JP2019140615A JP2019140615A (en) 2019-08-22
JP6954167B2 true JP6954167B2 (en) 2021-10-27

Family

ID=67695561

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018024291A Active JP6954167B2 (en) 2018-02-14 2018-02-14 Network system

Country Status (1)

Country Link
JP (1) JP6954167B2 (en)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003283489A (en) * 2002-03-20 2003-10-03 Hitachi Ltd Packet authentication system and authentication method, and group management server and group member device
JP2005275690A (en) * 2004-03-24 2005-10-06 Vodafone Kk Authentication agent method, distribution management device, and authentication agent method program
JP2005284452A (en) * 2004-03-29 2005-10-13 Matsushita Electric Ind Co Ltd Authentication device, authentication system, authentication method and method program
JP6390520B2 (en) * 2015-06-02 2018-09-19 株式会社デンソー In-vehicle communication system
JP6502832B2 (en) * 2015-11-13 2019-04-17 株式会社東芝 Inspection apparatus, communication system, mobile unit and inspection method
JP6658045B2 (en) * 2016-02-11 2020-03-04 株式会社デンソー Communication device

Also Published As

Publication number Publication date
JP2019140615A (en) 2019-08-22

Similar Documents

Publication Publication Date Title
US10360018B2 (en) Update control apparatus, software update system, and update control method
JP6477281B2 (en) In-vehicle relay device, in-vehicle communication system, and relay program
JP6190443B2 (en) In-vehicle computer system, vehicle, management method, and computer program
JP2018157463A (en) On-vehicle communication system, communication management device, and vehicle controller
US20180270052A1 (en) Cryptographic key distribution
JP6981755B2 (en) In-vehicle network system
JP6192673B2 (en) Key management system, key management method, and computer program
JP2016134671A (en) Data generation device, communication device, communication system, mobile, data generation method and program
CN107306185A (en) Method and apparatus for avoiding the manipulation to data transfer
CN114785532A (en) Security chip communication method and device based on bidirectional signature authentication
JP7067508B2 (en) Network system
JP2018093370A (en) On-vehicle electronic control device, on-vehicle electronic control system, and relay device
KR20190070076A (en) Method of distributed consensus protocol for consistent key in blockchain based dynamic key generation environment of intra vehicle network
JP6468133B2 (en) In-vehicle network system
JP6954167B2 (en) Network system
JP6950540B2 (en) Network system
JP6950539B2 (en) Network system
JP6919430B2 (en) Network system
JP7771695B2 (en) Authentication system, on-board device, and authentication program
JP6885305B2 (en) Network system
JP2020188314A (en) Network system
JP7425016B2 (en) In-vehicle relay device
JP2023144496A (en) Systems, vehicles and methods
JP6969450B2 (en) Network system
JP2006140881A (en) Network identifier generating device with authentication information and device authentication device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201209

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210816

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210831

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210913

R151 Written notification of patent or utility model registration

Ref document number: 6954167

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250