特許 6981755 車載ネットワークシステム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6981755

(24)【登録日】2021年11月22日

(45)【発行日】2021年12月17日

(54)【発明の名称】車載ネットワークシステム

(51)【国際特許分類】

   H04L 12/46 20060101AFI20211206BHJP

   B60R 16/023 20060101ALI20211206BHJP

   H04L 12/28 20060101ALI20211206BHJP

【ＦＩ】

   H04L12/46 100C

   B60R16/023 P

   H04L12/28 100A

【請求項の数】4

【全頁数】11

(21)【出願番号】特願2017-11621(P2017-11621)

(22)【出願日】2017年1月25日

(65)【公開番号】特開2018-121220(P2018-121220A)

(43)【公開日】2018年8月2日

【審査請求日】2019年5月9日

【審判番号】不服2020-9636(P2020-9636/J1)

【審判請求日】2020年7月9日

(73)【特許権者】

【識別番号】000003207

【氏名又は名称】トヨタ自動車株式会社

(73)【特許権者】

【識別番号】000004260

【氏名又は名称】株式会社デンソー

(74)【代理人】

【識別番号】100107766

【弁理士】

【氏名又は名称】伊東 忠重

(74)【代理人】

【識別番号】100070150

【弁理士】

【氏名又は名称】伊東 忠彦

(72)【発明者】

【氏名】雁木 瀬里奈

(72)【発明者】

【氏名】小林 純也

(72)【発明者】

【氏名】加藤 和夫

【合議体】

【審判長】 稲葉 和生

【審判官】 富澤 哲生

【審判官】 野崎 大進

(56)【参考文献】

【文献】 特開２０１７−９２８０７（ＪＰ，Ａ）

【文献】 特開２０１０−２４５９３５（ＪＰ，Ａ）

【文献】 特開２０１０−１３６２８６（ＪＰ，Ａ）

【文献】 特開２００５−３４１５２８（ＪＰ，Ａ）

【文献】 特開２００４−２３２３７（ＪＰ，Ａ）

【文献】 国際公開第２０１１／０３４１９６（ＷＯ，Ａ１）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

H04L 12/00-12/955

B60R 16/023

(57)【特許請求の範囲】

【請求項1】

１つの第１ノードと、複数の第２ノードと、を含む車載ネットワークシステムであって、
前記第１ノードに設けられ、前記複数の第２ノードの各々に所定のデータを一斉送信する第１送信部と、
前記第１ノードに設けられ、前記第１送信部により前記複数の第２ノードの各々に前記所定のデータが一斉送信された場合に、前記複数の第２ノードの各々により前記所定のデータが正常に受信されたか否かを検証するための検証用データを、前記複数の第２ノードの各々に一斉送信する第２送信部と、
前記複数の第２ノードの各々に設けられ、前記第１ノードから送信される前記所定のデータを受信する第１受信部と、
前記複数の第２ノードの各々に設けられ、前記第１ノードから送信される前記検証用データを受信する第２受信部と、
前記複数の第２ノードの各々に設けられ、前記第１受信部が受信した前記所定のデータと、前記第２受信部が受信した前記検証用データとに基づき、前記第１受信部が受信した前記所定のデータが正常に受信されたか否かを検証する検証部と、
前記複数の第２ノードの各々に設けられ、前記検証部による検証結果を前記第１ノードに送信する第３送信部と、を備える、
車載ネットワークシステム。

【請求項2】

前記所定のデータは、前記第１ノード及び前記複数の第２ノードの間でのメッセージ認証を行うための暗号鍵のデータである、
請求項１に記載の車載ネットワークシステム。

【請求項3】

前記第１ノードは、外部のネットワークとの通信を中継するゲートウェイ装置である、
請求項１又は２に記載の車載ネットワークシステム。

【請求項4】

前記第１ノードは、マスタノードであり、
前記第２ノードは、スレーブノードである、
請求項１乃至３の何れか一項に記載の車載ネットワークシステム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、車載ネットワークシステムに関する。

【背景技術】

【0002】

従来、一のノードが他のノードの正当性を検証（認証）する手法として、一のノードは、他のノードから送信される検証用データと、自身が生成する検証用データとに基づき、他のノードの正当性を検証（認証）する手法が知られている（例えば、特許文献１参照）。

【先行技術文献】

【特許文献】

【0003】

【特許文献1】国際公開２００９／１４７７３４号

【発明の概要】

【発明が解決しようとする課題】

【0004】

ところで、一のノードから他のノードに対してデータを送信する際、他のノードが正常に当該データを受信できたか否かを一のノード側で検証することがある。

【0005】

しかしながら、上述のノードの正当性の検証のように、一のノードが、他のノードから送信される検証用データと、自己で生成する検証用データとに基づき、他のノードが正常にデータを受信できたか否かを検証する場合、検証完了までに比較的長い時間がかかってしまう可能性がある。例えば、検証対象の他のノードが複数ある場合、一のノードは、複数の他のノードの各々に対する検証を順番に行う必要があるため、検証完了までに時間がかかってしまい、一のノードで行われる他の処理に影響する可能性がある。

【0006】

そこで、上記課題に鑑み、あるノードから複数のノードに送信されるデータが複数のノードの各々で正常に受信できたか否かの検証に要する時間をより短縮することが可能な車載ネットワークシステムを提供することを目的とする。

【課題を解決するための手段】

【0007】

上記目的を達成するため、本発明の一実施形態では、
１つの第１ノードと、複数の第２ノードと、を含む車載ネットワークシステムであって、
前記第１ノードに設けられ、前記複数の第２ノードの各々に所定のデータを一斉送信する第１送信部と、
前記第１ノードに設けられ、前記第１送信部により前記複数の第２ノードの各々に前記所定のデータが一斉送信された場合に、前記複数の第２ノードの各々により前記所定のデータが正常に受信されたか否かを検証するための検証用データを、前記複数の第２ノードの各々に一斉送信する第２送信部と、
前記複数の第２ノードの各々に設けられ、前記第１ノードから送信される前記所定のデータを受信する第１受信部と、
前記複数の第２ノードの各々に設けられ、前記第１ノードから送信される前記検証用データを受信する第２受信部と、
前記複数の第２ノードの各々に設けられ、前記第１受信部が受信した前記所定のデータと、前記第２受信部が受信した前記検証用データとに基づき、前記第１受信部が受信した前記所定のデータが正常に受信されたか否かを検証する検証部と、
前記複数の第２ノードの各々に設けられ、前記検証部による検証結果を前記第１ノードに送信する第３送信部と、を備える、
車載ネットワークシステムが提供される。

【0008】

本実施形態によれば、第１ノードから複数の第２ノードに所定のデータが送信される際、複数の第２ノード（検証部）のそれぞれにおいて、所定のデータが正常に受信されたか否かの検証が並列して行われ、検証結果は複数の第２ノード（第３送信部）の各々から第１ノードに送信される。従って、第１ノードが検証対象となる複数の第２ノードの各々について順番に検証を行う場合と比較して、検証に要する時間をより短縮することができる。

【0010】

また、本実施形態によれば、第１ノードから複数の第２ノードの各々に同一のデータを一斉送信する場合に、複数の第２ノードの各々により同一のデータが正常に受信されたか否かの検証に要する時間をより短縮することができる。

【0011】

また、上述の実施形態において、
前記所定のデータは、前記第１ノード及び前記複数の第２ノードの間でのメッセージ認証を行うための暗号鍵のデータであってもよい。

【0012】

本実施形態によれば、メッセージ認証を行うための暗号鍵を第１ノード及び複数の第２ノードが属する同一ネットワーク内で共有する場合に、複数の第２ノードの各々により暗号鍵のデータが正常に受信されたか否かの検証に要する時間をより短縮することができる。

【0013】

また、上述の実施形態において、
前記第１ノードは、外部のネットワークとの通信を中継するゲートウェイ装置であってもよい。

【0014】

本実施形態によれば、複数の第２ノードで検証が並列して行なわれるため、ゲートウェイ装置（第１ノード）の処理負荷が軽減され、ゲートウェイ装置及び複数の第２ノードを含むネットワーク内における通信や外部との通信への影響を抑制することができる。

【0015】

また、上述の実施形態において、
前記第１ノードは、マスタノードであり、
前記第２ノードは、スレーブノードであってもよい。

【0016】

本実施形態によれば、１つのマスタノード（第１ノード）が複数のスレーブノード（第２ノード）の動作（通信）を制御するマスタ／スレーブ方式を採用する場合に、複数のスレーブノードの各々で検証が並列して行なわれるため、マスタノードの処理負荷を抑制することができる。

【発明の効果】

【0017】

本実施の形態によれば、あるノードから複数のノードに送信されるデータが複数のノードの各々で正常に受信できたか否かの検証に要する時間をより短縮することが可能な車載ネットワークシステムを提供することができる。

【図面の簡単な説明】

【0018】

【図1】車載ネットワークシステムの構成の一例を示すブロック図である。

【図2】マスタノードによる処理の一例を概略的に示すフローチャートである。

【図3】スレーブノードによる処理の一例を概略的に示すフローチャートである。

【図4】車載ネットワークにおける処理の一例を示すシーケンス図である。

【発明を実施するための形態】

【0019】

以下、図面を参照して発明を実施するための形態について説明する。

【0020】

まず、図１を参照して、本実施形態に係る車載ネットワークシステム１の構成について説明をする。

【0021】

図１は、車載ネットワークシステム１の構成の一例を概略的に示すブロック図である。車載ネットワークシステム１は、任意の車両に搭載され、所定の通信プロトコル（例えば、ＣＡＮ（Controller Area Network）、ＬＩＮ（Local Interconnect Network）、イーサネット（登録商標）等）に基づくネットワーク２を介して相互に通信可能な複数（本実施形態では４つ）のＥＣＵ（Electronic Control Unit）１０を含む。以下、ネットワーク２において、ＥＣＵ１０は、イーサネットプロトコルに基づき相互に通信を行う前提で説明を行う。

【0022】

複数のＥＣＵ１０は、それぞれ、所定の機能に関する各種処理を行う電子制御ユニットである。ＥＣＵ１０は、その機能が任意のハードウェア、ソフトウェア、或いはこれらの組み合わせにより実現されてよく、例えば、ＣＰＵ，ＲＡＭ，ＲＯＭ，Ｉ／Ｏ等を含むマイクロコンピュータを中心に構成されてよい。複数のＥＣＵ１０は、マスタ／スレーブ方式における１つのマスタＥＣＵ１１と、複数（本実施形態では、３つ）のスレーブＥＣＵ１２を含む。

【0023】

マスタＥＣＵ１１（第１ノードの一例）は、例えば、ネットワーク２の外部のネットワーク（例えば、同じ車両に搭載される他のローカルネットワークや車両の外部の無線ネットワーク等）との間での通信を中継するゲートウェイＥＣＵ（ゲートウェイ装置の一例）である。マスタＥＣＵ１１は、例えば、１つ以上のプログラムをＣＰＵ上で実行することにより実現される機能部として、通信処理部１１１、暗号鍵生成部１１２、検証用データ生成部１１３、判定部１１４を含む。

【0024】

通信処理部１１１（第１送信部、第２送信部の一例）は、マスタＥＣＵ１１に設けられる所定のインターフェース（例えば、イーサネット通信ＩＣ等）を制御し、他のＥＣＵ１０（スレーブＥＣＵ１２）との間での各種信号（制御信号、情報信号等）の送受信を行う。

【0025】

暗号鍵生成部１１２は、複数のＥＣＵ１０（マスタＥＣＵ１１及びスレーブＥＣＵ１２）の相互間での送受信されるメッセージの認証を行うための暗号鍵を生成する。暗号鍵生成部１１２は、予め規定されたタイミング、例えば、所定周期ごと、或いは、車両に接続されるダイアグツールや遠隔のサーバ等の外部からの指令を受信したとき等に、暗号鍵を生成すると共に、スレーブＥＣＵ１２が復号可能な態様（例えば、初期値として有する暗号鍵や前回受信した暗号鍵で復号可能な態様）で暗号化する。暗号鍵生成部１１２は、通信処理部１１１に送信要求を送り、暗号化した暗号鍵のデータをスレーブＥＣＵ１２に一斉送信（ブロードキャスト送信）させる。

【0026】

検証用データ生成部１１３は、暗号鍵の送信先であるスレーブＥＣＵ１２の各々によって、暗号鍵のデータが正常に受信できたか否かを検証するためのデータ（検証用データ）を生成する。検証用データ生成部１１３は、例えば、検証用データとして、任意に生成される乱数と、スレーブＥＣＵ１２に送信された暗号鍵により復号可能な態様で暗号化された乱数を含むデータを生成してよい。検証用データ生成部１１３は、通信処理部１１１に送信要求を送り、生成した検証用データをスレーブＥＣＵ１２に一斉送信（ブロードキャスト送信）させる。

【0027】

判定部１１４は、通信処理部１１１に送信要求を送り、スレーブＥＣＵ１２に対して、暗号鍵のデータが正常に受信されたか否かの検証結果の問い合わせを送信する。そして、判定部１１４は、スレーブＥＣＵ１２の各々から返信される検証結果に基づき、全てのスレーブＥＣＵ１２で暗号鍵のデータが正常に受信されたか否かを判定する。

【0028】

スレーブＥＣＵ１２（第２ノードの一例）は、各種車載装置（例えば、エンジン、パワーステアリング装置、変速機等の駆動系装置やオーディオ装置、ナビゲーション装置等の情報系装置）を制御する電子制御ユニットである。スレーブＥＣＵ１２は、例えば、１つ以上のプログラムをＣＰＵ上で実行することにより実現される機能部として、通信処理部１２１、検証部１２２を含む。

【0029】

通信処理部１２１（第１受信部、第２受信部、第３送信部の一例）は、スレーブＥＣＵ１２に設けられる所定のインターフェース（例えば、イーサネット通信ＩＣ等）を制御し、他のＥＣＵ１０との間での各種信号（制御信号、情報信号等）の送受信を行う。

【0030】

検証部１２２は、通信処理部１２１により受信される、マスタＥＣＵ１１からの暗号鍵のデータと、検証用データとに基づき、暗号鍵のデータが正常に受信されたか否かを検証する。例えば、検証部１２２は、検証用データに含まれる暗号化された乱数を暗号鍵で復号したものと、検証用データに含まれる暗号化されていない乱数とを比較し、一致する場合、暗号鍵のデータが正常に受信された（受信成功）と判断し、一致しない場合、正常に受信されていない（受信失敗）と判断する。検証部１２２は、通信処理部１２１に送信要求を送り、マスタＥＣＵ１１に検証結果を送信する。

【0031】

次に、図２を参照して、マスタＥＣＵ１１による処理フローについて説明する。

【0032】

図２は、マスタＥＣＵ１１による処理の一例を概略的に示すフローチャートである。

【0033】

ステップＳ１０２にて、暗号鍵生成部１１２は、暗号鍵を生成する。

【0034】

ステップＳ１０４にて、暗号鍵生成部１１２は、生成した暗号鍵を暗号化する。

【0035】

ステップＳ１０６にて、検証用データ生成部１１３は、検証用データを生成する。

【0036】

ステップＳ１０８にて、通信処理部１１１は、暗号鍵生成部１１２からの送信要求に応じて、暗号化された暗号鍵のデータを全てのスレーブＥＣＵ１２にブロードキャスト送信する。

【0037】

ステップＳ１１０にて、通信処理部１１１は、検証用データ生成部１１３からの送信要求に応じて、検証用データを全てのスレーブＥＣＵ１２にブロードキャスト送信する。

【0038】

ステップＳ１１２にて、通信処理部１１１は、判定部１１４からの送信要求に応じて、検証結果の問い合わせをスレーブＥＣＵ１２にブロードキャスト送信する。

【0039】

尚、検証結果は、マスタＥＣＵ１１からの問い合わせなしに、即ち、自動的に、スレーブＥＣＵ１２からマスタＥＣＵ１１に返信される態様であってもよい。この場合、ステップＳ１１２は、省略されてよい。

【0040】

ステップＳ１１４にて、判定部１１４は、問い合わせの送信から所定時間内で、通信処理部１１１により全てのスレーブＥＣＵ１２からの検証結果が受信されているか否かを判定する。当該所定時間は、全てのスレーブＥＣＵ１２から検証結果を受信するのに要する最大時間よりも十分に長い時間として設定されてよい。判定部１１４は、通信処理部１１１により全てのスレーブＥＣＵ１２からの検証結果が受信されている場合、ステップＳ１１６に進み、それ以外の場合、ステップＳ１０８に戻って、ステップＳ１０８〜Ｓ１１４の処理を繰り返す。

【0041】

尚、マスタＥＣＵ１１（判定部１１４）は、通信障害等の発生を把握している場合、通信障害が回復するのを待って、ステップＳ１０８〜Ｓ１１４の処理を再開させてもよい。

【0042】

ステップＳ１１６にて、判定部１１４は、通信処理部１１１によりスレーブＥＣＵ１２から受信された全ての検証結果が"受信成功"であるか否かを判定する。判定部１１４は、
全ての検証結果が"受信成功"である場合、今回の処理を終了し、それ以外の場合、ステップＳ１０８に戻って、ステップＳ１０８〜Ｓ１１６の処理を繰り返す。

【0043】

次に、図３を参照して、スレーブＥＣＵ１２による処理フローについて説明する。

【0044】

図３は、スレーブＥＣＵ１２による処理の一例を概略的に示すフローチャートである。本フローチャートによる処理は、通信処理部１２１がマスタＥＣＵ１１から暗号鍵のデータを受信すると、実行開始される。

【0045】

ステップＳ２０２にて、検証部１２２は、通信処理部１２１により受信された暗号鍵のデータを取得し、暗号鍵のデータを復号すると共に、スレーブＥＣＵ１２のＥＥＰＲＯＭ（Electrically Erasable Programmable Read-Only Memory）等の内部メモリ（不図示）に保存させる。

【0046】

ステップＳ２０４にて、検証部１２２は、暗号鍵のデータの受信から所定時間内で、通信処理部１２１によりマスタＥＣＵ１１から検証用データが受信されたか否かを判定する。当該所定時間は、マスタＥＣＵ１１から検証用データを受信するのに要する最大時間よりも十分に長い時間として設定されてよい。検証部１２２は、通信処理部１２１によりマスタＥＣＵ１１から検証用データが受信されている場合、ステップＳ２０６に進み、それ以外の場合、今回の処理を終了する。

【0047】

ステップＳ２０６にて、検証部１２２は、通信処理部１２１により受信された、マスタＥＣＵ１１からの暗号鍵のデータ（復号済）と、検証用データとに基づき、暗号鍵のデータが正常に受信されたか否かを検証する。

【0048】

ステップＳ２０８にて、検証部１２２は、スレーブＥＣＵ１２のＲＡＭ上のバッファ等に検証結果（"受信成功"或いは"受信失敗"）を保持させる。

【0049】

ステップＳ２１０にて、検証部１２２は、検証用データの受信から所定時間内で、通信処理部１２１によりマスタＥＣＵ１１からの検証結果の問い合わせが受信されたか否かを判定する。当該所定時間は、マスタＥＣＵ１１から検証結果の問い合わせを受信するのに要する最大時間より十分に長い時間として設定されてよい。検証部１２２は、通信処理部１２１によりマスタＥＣＵ１１から検証結果の問い合わせが受信されている場合、ステップＳ２１２に進み、それ以外の場合、今回の処理を終了する。

【0050】

尚、上述の如く、検証結果は、マスタＥＣＵ１１からの問い合わせなしに、即ち、自動的に、スレーブＥＣＵ１２からマスタＥＣＵ１１に返信される態様であってもよい。この場合、ステップＳ２１０は、省略される。

【0051】

ステップＳ２１２にて、通信処理部１２１は、検証部１２２からの送信要求に応じて、ステップＳ２０８で保持された検証結果のデータをマスタＥＣＵ１１に送信する。

【0052】

次に、図４を参照して、図２、図３の処理フローに基づく車載ネットワークシステム１全体としての動作について説明をする。

【0053】

図４は、車載ネットワークシステム１の動作の一例を示すシーケンス図である。

【0054】

ステップＳ１０にて、マスタＥＣＵ１１（暗号鍵生成部１１２）は、暗号鍵を生成すると共に、暗号鍵を暗号化する（図２のステップＳ１０２，Ｓ１０４）。

【0055】

ステップＳ１２にて、マスタＥＣＵ１１（検証用データ生成部１１３）は、検証用データを生成する（図２のステップＳ１０６）。

【0056】

ステップＳ１４にて、マスタＥＣＵ１１（通信処理部１１１）は、暗号化された暗号鍵のデータを全てのスレーブＥＣＵ１２にブロードキャスト送信する（図２のステップＳ１０８）。

【0057】

ステップＳ１６にて、スレーブＥＣＵ１２（検証部１２２）は、それぞれ、マスタＥＣＵ１１から受信した暗号鍵のデータを復号すると共に、スレーブＥＣＵ１２のＥＥＰＲＯＭ等の内部メモリ（不図示）に保存させる。（図３のステップＳ２０２）。

【0058】

一方、ステップＳ１８にて、マスタＥＣＵ１１（通信処理部１１１）は、暗号鍵のデータの送信に次いで、検証用データを全てのスレーブＥＣＵ１２にブロードキャスト送信する（図２のステップＳ１１０）。

【0059】

ステップＳ２０にて、スレーブＥＣＵ１２（検証部１２２）は、それぞれ、通信処理部１２１により受信された、マスタＥＣＵ１１からの暗号鍵のデータ（復号済）と、検証用データとに基づき、暗号鍵のデータが正常に受信されたか否かを検証する（図３のステップＳ２０６）。

【0060】

一方、ステップＳ２２にて、マスタＥＣＵ１１（通信処理部１１１）は、検証用データの送信に次いで、検証結果の問い合わせを全てのスレーブＥＣＵ１２にブロードキャスト送信する（図２のステップＳ１１２）。

【0061】

ステップＳ２４にて、スレーブＥＣＵ１２（通信処理部１２１）は、それぞれ、マスタＥＣＵ１１からの検証結果の問い合わせに応じて、マスタＥＣＵ１１に検証結果のデータを送信する（図３のステップＳ２１２）。

【0062】

ステップＳ２６にて、マスタＥＣＵ１１（判定部１２４）は、通信処理部１１１によりスレーブＥＣＵ１２から受信された全ての検証結果を確認し、全てのスレーブＥＣＵ１２により正常に暗号鍵のデータが受信されているか否かを判定する（図２のステップＳ１１６）。

【0063】

このように、本実施形態では、マスタＥＣＵ１１（第１ノード）の通信処理部１１１は、複数のスレーブＥＣＵ１２（第２ノード）の各々に所定のデータ（暗号鍵のデータ）を送信すると共に、複数のスレーブＥＣＵ１２により当該所定のデータが正常に受信されたか否かを検証するための検証用データを複数のスレーブＥＣＵ１２に送信する。また、複数のスレーブＥＣＵ１２の通信処理部１２１は、それぞれ、マスタＥＣＵ１１から送信される所定のデータを受信すると共に、マスタＥＣＵ１１から送信される検証用データを受信する。そして、複数のスレーブＥＣＵ１２の検証部１２２は、それぞれ、受信した所定のデータと検証用データとに基づき、所定のデータが正常に受信されたか否かを検証すると共に、複数のスレーブＥＣＵ１２の通信処理部１２１は、それぞれ、検証結果をマスタＥＣＵ１１に送信する。これにより、マスタＥＣＵ１１から複数のスレーブＥＣＵ１２に所定のデータが送信される際、複数のスレーブＥＣＵ１２（検証部１２２）のそれぞれにおいて、所定のデータが正常に受信されたか否かの検証が並列して行われ、検証結果は複数の第２ノード（通信処理部１２１）の各々からマスタＥＣＵ１１に送信される。従って、マスタＥＣＵ１１が検証対象となる複数のスレーブＥＣＵ１２の各々について順番に検証を行う場合と比較して、検証に要する時間をより短縮することができる。

【0064】

また、本実施形態では、マスタＥＣＵ１１の通信処理部１１１は、複数のスレーブＥＣＵ１２の各々に、所定のデータとして同一のデータを一斉送信する。そのため、マスタＥＣＵ１１から複数のスレーブＥＣＵ１２の各々に同一のデータを一斉送信する場合に、複数のスレーブＥＣＵ１２の各々により同一のデータが正常に受信されたか否かの検証に要する時間をより短縮することができる。

【0065】

また、本実施形態では、マスタＥＣＵ１１から送信される同一のデータは、マスタＥＣＵ１１及び複数のスレーブＥＣＵ１２の間でのメッセージ認証を行うための暗号鍵のデータである。これにより、メッセージ認証を行うための暗号鍵をマスタＥＣＵ１１及び複数のスレーブＥＣＵ１２が属する同一ネットワーク（即ち、ネットワーク２）内で共有する場合に、複数のスレーブＥＣＵ１２の各々により暗号鍵のデータが正常に受信されたか否かの検証に要する時間をより短縮することができる。

【0066】

また、本実施形態では、マスタＥＣＵ１１は、例えば、外部のネットワークとの通信を中継するゲートウェイＥＣＵ（ゲートウェイ装置）である。これにより、複数のスレーブＥＣＵ１２で検証が並列して行なわれるため、ゲートウェイ装置（マスタＥＣＵ１１）の処理負荷が軽減され、ゲートウェイ装置及び複数のスレーブＥＣＵ１２を含むネットワーク内（即ち、ネットワーク２内）における通信や外部との通信への影響を抑制することができる。

【0067】

また、本実施形態では、複数のＥＣＵ１０のうち、所定のデータ（暗号鍵のデータ）の送信元のノードは、マスタノード（マスタＥＣＵ１１）であり、所定のデータの送信先の複数のノードは、それぞれ、スレーブノード（スレーブＥＣＵ１２）である。これにより、１つのマスタノード（マスタＥＣＵ１１）が複数のスレーブノード（スレーブＥＣＵ１２）の動作（通信）を制御するマスタ／スレーブ方式を採用する場合に、複数のスレーブノードの各々で検証が並列して行なわれるため、マスタノードの処理負荷を抑制することができる。

【0068】

尚、本実施形態では、マスタＥＣＵ１１は、メッセージ認証に用いられる暗号鍵のデータをスレーブＥＣＵ１２に一斉送信するが、暗号鍵以外のデータをスレーブＥＣＵ１２に一斉送信する態様であってもよい。例えば、複数のＥＣＵ１０の何れかが故障し、交換された場合に、マスタＥＣＵ１１に接続される外部ツールからの要求により、マスタＥＣＵ１１から複数のスレーブＥＣＵ１２に仕向け地情報（複数のＥＣＵ１０がどの仕向け地の車両に搭載されるかを示す情報）のデータを一斉送信することがある。かかる場合においても、上述の実施形態と同様の検証方法が実行されてよい。これにより、スレーブＥＣＵ１２における所定の機能に関する制御仕様が車両の仕向け地によって異なる場合、スレーブＥＣＵ１２が故障等により交換されたときに、スレーブＥＣＵ１２は、それぞれ、マスタＥＣＵ１１から送信される仕向け地情報のデータにより車両の仕向け地を把握することができる。そして、この際、スレーブＥＣＵ１２の各々が一斉送信された仕向け地情報が正常に受信されたか否かの検証を実行することにより、マスタＥＣＵ１１は、より短い時間で全てのスレーブＥＣＵ１２により仕向け地情報が正常に受信されたか否かを検証することができる。

【0069】

また、本実施形態では、マスタＥＣＵ１１及び複数のスレーブＥＣＵ１２は、マスタＥＣＵ１１が複数のスレーブＥＣＵ１２に同一のデータを一斉送信する場合に、上述の検証方法を実行するが、複数のスレーブＥＣＵ１２に送信されるデータの内容や送信されるタイミングが異なる場合であっても、同様の検証方法を採用してよい。この場合、マスタＥＣＵ１１（通信処理部１１１）は、スレーブＥＣＵ１２に所定のデータが送信された場合に、当該スレーブＥＣＵ１２により当該所定のデータが正常に受信されたか否かを検証するための検証用データを、当該スレーブＥＣＵ１２に送信するようにすればよい。これにより、マスタＥＣＵ１１から複数のスレーブＥＣＵ１２の各々に送信されるデータの内容や送信されるタイミングに問わず、送信先であるスレーブＥＣＵ１２の各々で検証が実行されるため、マスタＥＣＵ１１は、複数のスレーブＥＣＵ１２に送信される各種データの全てについて、正常に受信されたかを検証する際、同様に、検証に要する時間を短縮できると共に、マスタＥＣＵ１１における処理負荷を低減することができる。

【0070】

また、本実施形態では、複数のＥＣＵ１０において、マスタ／スレーブ方式が採用され、所定のデータ（暗号鍵のデータ）の送信元がマスタであり、送信先が複数のスレーブノードであるが、複数のＥＣＵ１０のうちの１つのＥＣＵ１０が送信元となり、他の複数のＥＣＵ１０が送信先となる態様であればよい。この場合についても、他の複数のＥＣＵ１０の各々が並列して検証を行う同様の検証方法を採用することにより、送信先である他の複数のＥＣＵ１０の各々で所定のデータが正常に受信されたか否かをより短い時間で検証することができる。

【0071】

以上、本発明を実施するための形態について詳述したが、本発明はかかる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。

【符号の説明】

【0072】

１ 車載ネットワークシステム
１０ ＥＣＵ
１１ マスタＥＣＵ（第１ノード、マスタノード）
１２ スレーブＥＣＵ（第２ノード、スレーブノード）
１１１ 通信処理部（第１送信部、第２送信部）
１１２ 暗号鍵生成部
１１３ 検証用データ生成部
１１４ 判定部
１２１ 通信処理部（第１受信部、第２受信部、第３送信部）
１２２ 検証部

【図1】

【図2】

【図3】

【図4】