IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 住友電気工業株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 住友電気工業株式会社の特許一覧 ▶ 住友電装株式会社の特許一覧 ▶ 株式会社オートネットワーク技術研究所の特許一覧

特許7476896中継装置、車両通信方法および車両通信プログラム
<>
  • 特許-中継装置、車両通信方法および車両通信プログラム 図1
  • 特許-中継装置、車両通信方法および車両通信プログラム 図2
  • 特許-中継装置、車両通信方法および車両通信プログラム 図3
  • 特許-中継装置、車両通信方法および車両通信プログラム 図4
  • 特許-中継装置、車両通信方法および車両通信プログラム 図5
  • 特許-中継装置、車両通信方法および車両通信プログラム 図6
  • 特許-中継装置、車両通信方法および車両通信プログラム 図7
  • 特許-中継装置、車両通信方法および車両通信プログラム 図8
  • 特許-中継装置、車両通信方法および車両通信プログラム 図9
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-04-22
(45)【発行日】2024-05-01
(54)【発明の名称】中継装置、車両通信方法および車両通信プログラム
(51)【国際特許分類】
   G06F 21/44 20130101AFI20240423BHJP
   H04L 9/08 20060101ALI20240423BHJP
   H04L 9/32 20060101ALI20240423BHJP
   B60R 16/02 20060101ALI20240423BHJP
【FI】
G06F21/44
H04L9/08 D
H04L9/32 100A
B60R16/02 660U
【請求項の数】 7
(21)【出願番号】P 2021530539
(86)(22)【出願日】2020-06-11
(86)【国際出願番号】 JP2020022988
(87)【国際公開番号】W WO2021005949
(87)【国際公開日】2021-01-14
【審査請求日】2022-12-21
(31)【優先権主張番号】P 2019126255
(32)【優先日】2019-07-05
(33)【優先権主張国・地域又は機関】JP
(73)【特許権者】
【識別番号】000002130
【氏名又は名称】住友電気工業株式会社
(73)【特許権者】
【識別番号】000183406
【氏名又は名称】住友電装株式会社
(73)【特許権者】
【識別番号】395011665
【氏名又は名称】株式会社オートネットワーク技術研究所
(74)【代理人】
【識別番号】110000682
【氏名又は名称】弁理士法人ワンディ-IPパ-トナ-ズ
(72)【発明者】
【氏名】陶山 洋次郎
(72)【発明者】
【氏名】藪内 靖弘
(72)【発明者】
【氏名】呉 ダルマワン
(72)【発明者】
【氏名】清水 洋祐
(72)【発明者】
【氏名】萩原 剛志
【審査官】宮司 卓佳
(56)【参考文献】
【文献】国際公開第2016/075869(WO,A1)
【文献】国際公開第2016/204081(WO,A1)
【文献】特開2019-016247(JP,A)
【文献】国際公開第2016/075865(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/44
H04L 9/08
H04L 9/32
B60R 16/02
(57)【特許請求の範囲】
【請求項1】
複数の機能部を備える車両に搭載される中継装置であって、
前記機能部の認証情報を前記車両の外部における外部装置から取得し、取得した前記認証情報を用いて前記機能部の認証処理を行う認証処理部と、
前記認証処理部による前記認証処理の結果に基づいて、前記機能部および他の前記機能部間の情報を中継する中継処理部とを備え、
前記認証処理部は、前記認証情報の有効期限が切れた場合、前記外部装置から新たな前記認証情報を取得し、
前記認証処理部は、前記認証情報の有効期限が切れた場合であって、かつ前記中継装置が前記外部装置と通信できない場合、前記認証情報の有効性を維持する延長処理を行い、有効性を維持した前記認証情報である延長認証情報を用いて、前記認証情報に対応する前記機能部の認証処理を行う、中継装置。
【請求項2】
前記中継処理部は、前記機能部の種別に応じて、前記認証処理部による前記延長認証情報を用いた前記認証処理が成功した場合において中継すべき情報の内容を決定する、請求項に記載の中継装置。
【請求項3】
前記中継処理部は、前記機能部から受信する情報の種別に応じて、前記認証処理部による前記延長認証情報を用いた前記認証処理が成功した場合において中継を行うか否かを決定する、請求項または請求項に記載の中継装置。
【請求項4】
前記認証処理部は、前記認証情報を取得するたびに異なる内容となる前記認証情報を前記外部装置から取得する、請求項1から請求項のいずれか1項に記載の中継装置。
【請求項5】
前記認証処理部は、前記中継装置と前記外部装置との通信が可能であり、かつ前記認証情報の有効期限が切れている状態において、前記車両が走行中である場合、前記外部装置から新たな前記認証情報を取得することなく、前記認証情報の有効性を維持する延長処理を行う、請求項1から請求項のいずれか1項に記載の中継装置。
【請求項6】
複数の機能部を備える車両に搭載される中継装置における車両通信方法であって、
前記機能部の認証情報を前記車両の外部における外部装置から取得するステップと、
取得した前記認証情報を用いて前記機能部の認証処理を行うステップと、
前記認証処理の結果に基づいて、前記機能部および他の前記機能部間の情報を中継するステップと、
前記認証情報の有効期限が切れた場合、前記外部装置から新たな前記認証情報を取得するステップと
前記認証情報の有効期限が切れた場合であって、かつ前記中継装置が前記外部装置と通信できない場合、前記認証情報の有効性を維持する延長処理を行うステップと、
前記延長処理により有効性を維持した前記認証情報である延長認証情報を用いて、前記認証情報に対応する前記機能部の認証処理を行うステップとを含む、車両通信方法。
【請求項7】
複数の機能部を備える車両に搭載される中継装置において用いられる車両通信プログラムであって、
コンピュータを、
前記機能部の認証情報を前記車両の外部における外部装置から取得し、取得した前記認証情報を用いて前記機能部の認証処理を行う認証処理部と、
前記認証処理部による前記認証処理の結果に基づいて、前記機能部および他の前記機能部間の情報を中継する中継処理部、
として機能させるためのプログラムであり、
前記認証処理部は、前記認証情報の有効期限が切れた場合、前記外部装置から新たな前記認証情報を取得し、
前記認証処理部は、前記認証情報の有効期限が切れた場合であって、かつ前記中継装置が前記外部装置と通信できない場合、前記認証情報の有効性を維持する延長処理を行い、有効性を維持した前記認証情報である延長認証情報を用いて、前記認証情報に対応する前記機能部の認証処理を行う、車両通信プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、中継装置および車両通信方法に関する。
この出願は、2019年7月5日に出願された日本出願特願2019-126255号を基礎とする優先権を主張し、その開示のすべてをここに取り込む。
【背景技術】
【0002】
特許文献1(特開2013-193598号公報)には、以下のような車両用認証装置が開示されている。すなわち、車両用認証装置は、車両に搭載され、インターネットプロトコルを用いて車両外の外部装置(3)と無線及び有線のうち少なくとも無線で通信できる車載の通信装置(2)に、車載ネットワークを介して接続される電子制御装置(1)に備えられる車両用認証装置(11)であって、前記外部装置から前記通信装置に当該外部装置を特定するための識別情報を含む情報が送信されてきた場合に、この識別情報を取得する識別情報取得手段(11、S1)と、前記車両の状態が、当該車両の操作を許可された正規のユーザが当該車両に対して操作する或いは操作したことを示す状態であるセキュリティ確保状態に該当するか否かを判定する状態判定手段(11、S5)と、状態判定手段でセキュリティ確保状態に該当すると判定した場合には、識別情報取得手段で取得した識別情報を前記車両に搭載される記憶装置(12)に登録する一方、セキュリティ確保状態に該当しないと判定した場合には、当該識別情報を前記記憶装置に登録しない登録手段(11、S7)と、識別情報取得手段で識別情報を取得した場合に、その識別情報が前記記憶装置に登録されているか否かを判定する登録判定手段(11、S2)と、登録判定手段で識別情報が記憶装置に登録されていると判定した場合に、その識別情報で特定される外部装置と前記電子制御装置との間での情報のやり取りを許可する一方、登録判定手段で識別情報が記憶装置に登録されていないと判定したことをもとに、その識別情報で特定される外部装置と前記電子制御装置との間での情報のやり取りを禁止する認証手段(11、S3、S6)とを備える。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2013-193598号公報
【発明の概要】
【0004】
本開示の中継装置は、複数の機能部を備える車両に搭載される中継装置であって、前記機能部の認証情報を前記車両の外部における外部装置から取得し、取得した前記認証情報を用いて前記機能部の認証処理を行う認証処理部と、前記認証処理部による前記認証処理の結果に基づいて、前記機能部および他の前記機能部間の情報を中継する中継処理部とを備え、前記認証処理部は、前記認証情報の有効期限が切れた場合、前記外部装置から新たな前記認証情報を取得する。
【0005】
本開示の車両通信方法は、複数の機能部を備える車両に搭載される中継装置における車両通信方法であって、前記機能部の認証情報を前記車両の外部における外部装置から取得するステップと、取得した前記認証情報を用いて前記機能部の認証処理を行うステップと、前記認証処理の結果に基づいて、前記機能部および他の前記機能部間の情報を中継するステップと、前記認証情報の有効期限が切れた場合、前記外部装置から新たな前記認証情報を取得するステップとを含む。
【0006】
本開示の一態様は、中継装置の一部または全部を実現する半導体集積回路として実現され得たり、中継装置を含むシステムとして実現され得る。また、本開示の一態様は、中継装置における処理のステップをコンピュータに実行させるためのプログラムとして実現され得る。
【図面の簡単な説明】
【0007】
図1図1は、本開示の実施の形態に係る通信システムの構成を示す図である。
図2図2は、本発明の実施の形態に係る車載通信システムの構成を示す図である。
図3図3は、本開示の実施の形態に係る車載ECUの構成を示す図である。
図4図4は、本開示の実施の形態に係る中継装置の構成を示す図である。
図5図5は、本開示の実施の形態に係る通信システムにおける中継装置が、認証処理の結果に基づいて車載ECU間の情報を中継する際の動作手順を定めたフローチャートである。
図6図6は、本開示の実施の形態に係る通信システムにおける車外認証処理のシーケンスの一例を示す図である。
図7図7は、本開示の実施の形態に係る通信システムにおける車外認証処理および車内認証処理のシーケンスの一例を示す図である。
図8図8は、本開示の実施の形態に係る通信システムにおける車内認証処理のシーケンスの一例を示す図である。
図9図9は、本開示の実施の形態に係る通信システムにおける車外認証処理および車内認証処理のシーケンスの他の例を示す図である。
【発明を実施するための形態】
【0008】
従来、車載ネットワークにおけるセキュリティを向上させるための車載ネットワークシステムが開発されている。
【0009】
[本開示が解決しようとする課題]
このような特許文献1に記載の技術を超えて、車載ネットワークにおけるセキュリティを向上させることが可能な技術が望まれる。
【0010】
本開示は、上述の課題を解決するためになされたもので、その目的は、車載ネットワークにおけるセキュリティを向上させることが可能な中継装置および車両通信方法を提供することである。
【0011】
[本開示の効果]
本開示によれば、車載ネットワークにおけるセキュリティを向上させることができる。
【0012】
[本開示の実施形態の説明]
最初に、本開示の実施形態の内容を列記して説明する。
【0013】
(1)本開示の実施の形態に係る中継装置は、複数の機能部を備える車両に搭載される中継装置であって、前記機能部の認証情報を前記車両の外部における外部装置から取得し、取得した前記認証情報を用いて前記機能部の認証処理を行う認証処理部と、前記認証処理部による前記認証処理の結果に基づいて、前記機能部および他の前記機能部間の情報を中継する中継処理部とを備え、前記認証処理部は、前記認証情報の有効期限が切れた場合、前記外部装置から新たな前記認証情報を取得する。
【0014】
このように、機能部の認証情報を車両の外部における外部装置から取得する構成により、車載ネットワークに新たな未知の機能部が追加された場合であっても、当該機能部の認証情報を取得することができる。さらに、有効期限が切れた場合に新たな認証情報を取得し、取得した認証情報を用いた機能部の認証処理を行い、認証処理の結果に基づいて、機能部間の情報を中継する構成により、車載ネットワークのセキュリティを保証することができるとともに、車両の走行環境によって中継装置および外部装置間の通信環境が悪く、外部装置から新たな認証情報を取得することが困難な状況においても、継続して認証情報を用いて機能部の認証処理を行うことができる。したがって、車載ネットワークにおけるセキュリティを向上させることができる。
【0015】
(2)好ましくは、前記認証処理部は、前記認証情報の有効期限が切れた場合であって、かつ前記中継装置が前記外部装置と通信できない場合、前記認証情報の有効性を維持する延長処理を行い、有効性を維持した前記認証情報である延長認証情報を用いて、前記認証情報に対応する前記機能部の認証処理を行う。
【0016】
このような構成により、認証情報の有効期限が切れたときに、車両の走行環境によって中継装置および外部装置間の通信環境が悪く、新たな認証情報を取得することができない場合でも、認証処理を行い、認証結果に基づく機能部間の情報の中継を継続することができる。これにより、たとえば、車両の外部において認証情報の内容を更新することでセキュリティを向上させる構成において、車両の走行環境によらず、車載ネットワークにおける安定した通信を管理することができる。
【0017】
(3)好ましくは、前記中継処理部は、前記機能部の種別に応じて、前記認証処理部による前記延長認証情報を用いた前記認証処理が成功した場合において中継すべき情報の内容を決定する。
【0018】
このような構成により、機能部の種別に応じて、延長処理を行った場合に中継する情報の一部を制限することができるため、たとえば車両の走行に影響を与える機能部間の情報の中継を継続しつつ、車両の走行に影響を与えない機能部間の情報の中継を停止することにより、車両の良好な走行を維持しながら車載ネットワークにおけるセキュリティの低下を抑制することができる。
【0019】
(4)好ましくは、前記中継処理部は、前記機能部から受信する情報の種別に応じて、前記認証処理部による前記延長認証情報を用いた前記認証処理が成功した場合において中継を行うか否かを決定する。
【0020】
このような構成により、機能部から受信する情報の種別に応じて、延長処理を行った場合に中継する情報の一部を制限することができるため、たとえば車両の走行に影響を与える情報の中継を継続しつつ、車両の走行に影響を与えない情報の中継を停止することにより、車両の良好な走行を維持しながら車載ネットワークにおけるセキュリティの低下を抑制することができる。
【0021】
(5)好ましくは、前記認証処理部は、前記認証情報を取得するたびに異なる内容となる前記認証情報を前記外部装置から取得する。
【0022】
このような構成により、有効期限が切れるたびに新たな内容の認証情報を取得し、当該認証情報を用いて機能部の認証処理を行うことができるため、車載ネットワークにおけるセキュリティをより向上させることができる。
【0023】
(6)好ましくは、前記認証処理部は、前記中継装置と前記外部装置との通信が可能であり、かつ前記認証情報の有効期限が切れている状態において、前記車両が走行中である場合、前記外部装置から新たな前記認証情報を取得することなく、前記認証情報の有効性を維持する延長処理を行う。
【0024】
このような構成により、たとえば、新たな認証情報を用いて認証処理を行うことにより認証エラーが発生し、車両の走行中において機能部間の情報の一部または全部の中継が停止することを回避し、車両の良好な走行を維持することができる。
【0025】
(7)本開示の実施の形態に係る車両通信方法は、複数の機能部を備える車両に搭載される中継装置における車両通信方法であって、前記機能部の認証情報を前記車両の外部における外部装置から取得するステップと、取得した前記認証情報を用いて前記機能部の認証処理を行うステップと、前記認証処理の結果に基づいて、前記機能部および他の前記機能部間の情報を中継するステップと、前記認証情報の有効期限が切れた場合、前記外部装置から新たな前記認証情報を取得するステップとを含む。
【0026】
このように、機能部の認証情報を車両の外部における外部装置から取得する方法により、車載ネットワークに新たな未知の機能部が追加された場合であっても、当該機能部の認証情報を取得することができる。さらに、有効期限が切れた場合に新たな認証情報を取得し、取得した認証情報を用いた機能部の認証処理を行い、認証処理の結果に基づいて、機能部間の情報を中継する方法により、車載ネットワークのセキュリティを保証することができるとともに、車両の走行環境によって中継装置および外部装置間の通信環境が悪く、外部装置から新たな認証情報を取得することが困難な状況においても、継続して認証情報を用いて機能部の認証処理を行うことができる。したがって、車載ネットワークにおけるセキュリティを向上させることができる。
【0027】
以下、本開示の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。
【0028】
[通信システム]
図1は、本開示の実施の形態に係る通信システムの構成を示す図である。
【0029】
図1を参照して、通信システム401は、サーバ181と、車載通信システム301とを備える。車載通信システム301は、車両1に搭載される。
【0030】
図2は、本発明の実施の形態に係る車載通信システムの構成を示す図である。
【0031】
図2を参照して、車載通信システム301は、車載ECU(Electronic Control Unit)200A~200Dと、中継装置100とを備える。
【0032】
以下、車載ECU200A~200Dの各々を、車載ECU200とも称する。車載ECU200および中継装置100は、車載装置の一例である。
【0033】
なお、車載通信システム301は、4つの車載ECU200を備える構成に限らず、3つ以下、または5つ以上の車載ECU200を備える構成であってもよい。また、車載通信システム301は、1つの中継装置100を備える構成に限らず、2つ以上の中継装置100を備える構成であってもよい。
【0034】
車載ECU200および中継装置100は、車載ネットワーク12を構成する。車載ECU200は、車載ネットワーク12における機能部の一例である。
【0035】
車載ネットワーク12では、車載ECU200は、たとえば、イーサネット(登録商標)ケーブル13を介して中継装置100に接続される。
【0036】
中継装置100は、たとえば、スイッチ装置であり、自己に接続される複数の車載ECU200間の情報を中継可能である。より詳細には、中継装置100は、たとえば、レイヤ2、およびレイヤ2よりも上位のレイヤ3に従って中継処理を行うことが可能である。
【0037】
車載ECU200Aは、たとえばTCU(Telematics Communication Unit)である。以下、車載ECU200Aを、TCU200Aとも称する。
【0038】
車載ECU200B~200Dは、たとえば、自動運転ECU(Electronic Control Unit)、センサ、ナビゲーション装置、アクセル制御ECU、ブレーキ制御ECU、ステアリング制御ECU、およびヒューマンマシンインタフェース等である。
【0039】
たとえば、車載ECU200Dは、初期状態では中継装置100に接続されていない。車載ECU200Dは、たとえば、車両1の製造工場、車両1のディーラ、および車両1のアフターパーツの販売店等のいずれかにおいて車両1に設置され、イーサネットケーブルを介して中継装置100に接続される。
【0040】
中継装置100は、イーサネットの通信規格に従って、イーサネットフレームの中継処理を行う。具体的には、中継装置100は、たとえば、車載ECU200間でやり取りされるイーサネットフレームを中継する。イーサネットフレームには、IPパケットが格納される。
【0041】
なお、車載通信システム301では、イーサネットの通信規格に従ってイーサネットフレームの中継が行われる構成に限らず、たとえば、CAN(Controller Area Network)(登録商標)、FlexRay(登録商標)、MOST(Media Oriented Systems Transport)(登録商標)およびLIN(Local Interconnect Network)等の通信規格に従ってデータの中継が行われる構成であってもよい。
【0042】
図1および図2を参照して、TCU200Aは、車両1の外部のサーバ181と通信を行うことが可能である。詳細には、TCU200Aは、たとえば、IPパケットを用いて無線基地局装置161経由でサーバ181と通信することが可能である。
【0043】
より詳細には、TCU200Aは、たとえば、LTE(Long Term Evolution)または3G等の通信規格に従って、車両1の外部の無線基地局装置161と無線通信を行うことが可能である。
【0044】
具体的には、無線基地局装置161は、車両1の外部のサーバ181から外部ネットワーク11経由でIPパケットを受信すると、受信したIPパケットを無線信号に含めてTCU200Aへ送信する。
【0045】
TCU200Aは、たとえば、サーバ181からのIPパケットを含む無線信号を無線基地局装置161から受信すると、受信した無線信号からIPパケットを取得し、取得したIPパケットをイーサネットフレームに格納して中継装置100へ送信する。
【0046】
また、TCU200Aは、中継装置100からイーサネットフレームを受信すると、受信したイーサネットフレームからIPパケットを取得し、取得したIPパケットを無線信号に含めて無線基地局装置161へ送信する。
【0047】
無線基地局装置161は、TCU200Aから無線信号を受信すると、受信した無線信号からIPパケットを取得し、取得したIPパケットを外部ネットワーク11経由でサーバ181へ送信する。
【0048】
[車載ECU]
図3は、本開示の実施の形態に係る車載ECUの構成を示す図である。
【0049】
図3を参照して、車載ECU200は、通信部210と、処理部220と、認証要求部230と、記憶部240とを備える。記憶部240は、たとえばフラッシュメモリである。
【0050】
通信部210は、中継装置100から対応のイーサネットケーブル13経由でイーサネットフレームを受信すると、受信したイーサネットフレームを処理部220へ出力する。
【0051】
処理部220は、通信部210から受けたイーサネットフレームに含まれる情報を取得し、取得した情報を用いて所定の処理を行う。
【0052】
また、処理部220は、他の車載ECU200宛のイーサネットフレームを生成し、生成したイーサネットフレームを通信部210へ出力する。
【0053】
通信部210は、処理部220からイーサネットフレームを受けると、受けたイーサネットフレームを対応のイーサネットケーブル13経由で中継装置100へ送信する。
【0054】
また、処理部220は、通信部210から受けたイーサネットフレームから、後述する共通鍵を取得すると、取得した共通鍵を認証要求部230へ出力する。
【0055】
認証要求部230は、処理部220から共通鍵を受けると、受けた共通鍵を記憶部240に保存する。
【0056】
また、認証要求部230は、自己の車載ECU200がイーサネットケーブル13を介して中継装置100に接続されると、自己のIDたとえばMACアドレスを含む認証要求情報が格納されたイーサネットフレームを生成し、生成したイーサネットフレームを通信部210経由で中継装置100へ送信する。
【0057】
[中継装置]
図4は、本開示の実施の形態に係る中継装置の構成を示す図である。
【0058】
図4を参照して、中継装置100は、通信ポート52A,52B,52C,52Dと、通信部110と、中継処理部120と、検知部130と、認証処理部140と、記憶部150と、タイマ160とを備える。記憶部150は、たとえばフラッシュメモリである。
【0059】
たとえば、中継装置100は、通信ポート52A,52B,52C,52Dに対応する数のタイマ160を備える。具体的には、中継装置100は、タイマ160として、タイマ160A,160B,160C,160Dを備える。
【0060】
以下、通信ポート52A,52B,52C,52Dの各々を、通信ポート52とも称する。通信ポート52は、たとえば、イーサネットケーブルを接続可能な端子である。
【0061】
この例では、通信ポート52A,52B,52Cは、それぞれTCU200A,車載ECU200B,車載ECU200Cに接続されている。
【0062】
通信部110は、ある車載ECU200から対応の通信ポート52経由でイーサネットフレームを受信すると、受信したイーサネットフレームを中継処理部120へ出力する。
【0063】
また、通信部110は、ある車載ECU200宛のイーサネットフレームを中継処理部120から受けると、受けたイーサネットフレームを対応の通信ポート52経由で当該車載ECU200へ送信する。
【0064】
中継処理部120は、車載ECU200間のイーサネットフレームの中継処理を行う。具体的には、中継処理部120は、たとえば、通信部110からイーサネットフレームを受けると、受けたイーサネットフレームに対してレイヤ2の中継処理およびレイヤ3の中継処理を行う。
【0065】
また、中継処理部120は、車載ネットワーク12に新たに追加される車載ECU200から認証要求情報が格納されたイーサネットフレームを受信すると、受信したイーサネットフレームから認証要求情報を取得し、取得した認証要求情報を検知部130へ出力する。
【0066】
[検知部]
検知部130は、車載ネットワーク12に新たに追加された新規機能部を検知する。たとえば、検知部130は、新規機能部として、車載ネットワーク12に新たに追加された車載ECU200Dを検知する。
【0067】
図2および図4を参照して、車載ECU200Dは、イーサネットケーブル13を介して中継装置100における通信ポート52Dに接続される。
【0068】
中継装置100における検知部130は、認証要求情報を中継処理部120経由で車載ECU200Dから受信することにより、車載ネットワーク12への車載ECU200Dの追加を検知する。
【0069】
検知部130は、中継処理部120から受信した認証要求情報を認証処理部140へ出力する。
【0070】
[認証処理部]
認証処理部140は、車載ECU200の認証情報を車両1の外部における外部装置から取得する。
【0071】
より詳細には、認証処理部140は、検知部130から認証要求情報を受けると、たとえばIEEE802.1Xに従う手順で、認証要求情報が示す新規機能部である車載ECU200Dの認証情報をサーバ181から取得する。
【0072】
サーバ181は、たとえばIEEE802.1Xに従う手順で、認証プロトコルを用いて車載ECU200の認証処理を行うことにより、車載ECU200の認証情報を生成する。以下、サーバ181による車載ECU200の認証処理を、車外認証処理とも称する。
【0073】
ここで、サーバ181による車外認証処理における認証方式として、認証処理に用いる認証プロトコルの別に応じて、たとえば、EAP(Extended Authentication Protocol)-MD(Messege Digest algorithm)5、EAP-TLS(Transport Layer Security)、PEAP(Protected EAP)、LEAP(Lightweight EAP)およびEAP-TTLS(EAP-Tunneled Transport Layer Security)等がある。
【0074】
たとえば、記憶部150は、サーバ181による車外認証処理における認証方式を記憶している。
【0075】
認証処理部140は、検知部130から認証要求情報を受けると、サーバ181による車外認証処理における認証方式を記憶部150から取得し、取得した認証方式を示す認証方式情報を、中継処理部120および通信部110経由で認証要求情報が示す新規機能部である車載ECU200Dへ送信する。
【0076】
車載ECU200Dおよびサーバ181は、中継装置100を介して、車外認証処理に必要な情報を含むEAPメッセージのやり取りを行う。
【0077】
中継装置100における認証処理部140は、サーバ181および車載ECU200D間においてやり取りされるEAPメッセージ等を中継する。
【0078】
より詳細には、認証処理部140は、EAPメッセージが格納されたイーサネットフレームを通信部110および中継処理部120経由で車載ECU200Dから受信すると、受信したイーサネットフレームをRADIUS(Remote Authentication Dial In User Service)フレームに変換し、変換したRADIUSフレームを通信部110およびTCU200A経由でサーバ181へ送信する。
【0079】
また、認証処理部140は、RADIUSフレームをTCU200A、通信部110および中継処理部120経由でサーバ181から受信すると、受信したRADIUSフレームをイーサネットフレームに変換し、変換したイーサネットフレームを通信部110経由で車載ECU200Dへ送信する。
【0080】
サーバ181は、中継装置100経由で車載ECU200から受信したEAPメッセージを用いて車載ECU200Dの車外認証処理を行う。そして、サーバ181は、車外認証処理により車載ECU200Dの認証に成功すると、認証成功を示す認証情報を生成し、生成した認証情報を無線基地局装置161およびTCU200A経由で中継装置100へ送信する。
【0081】
一方、サーバ181は、車載ECU200Dの認証に失敗すると、認証失敗を示す認証情報を生成し、生成した認証情報を無線基地局装置161およびTCU200A経由で中継装置100へ送信する。
【0082】
認証処理部140は、TCU200A、通信部110および中継処理部120経由でサーバ181から認証成功を示す認証情報を受信すると、車外認証処理が成功した旨を示す車外認証成功情報を生成し、生成した車外認証成功情報を中継処理部120へ出力する。
【0083】
中継処理部120は、認証処理部140から車外認証成功情報を受けると、受けた車外認証成功情報を通信部110経由で車載ECU200Dへ送信する。
【0084】
ここで、認証処理部140は、通信部110および中継処理部120経由でサーバ181から認証成功を示す認証情報を受信すると、車載ECU200ごとに、認証情報の有効時間をタイマ160にセットする。
【0085】
たとえば、認証処理部140は、通信ポート52Aに接続されるTCU200Aの認証情報の有効時間をタイマ160Aにセットし、通信ポート52Aに接続される車載ECU200Bの認証情報の有効時間をタイマ160Bにセットし、通信ポート52Cに接続される車載ECU200Cの認証情報の有効時間をタイマ160Cにセットし、通信ポート52Dに接続される車載ECU200Dの認証情報の有効時間をタイマ160Dセットする。
【0086】
一方、認証処理部140は、TCU200A、通信部110および中継処理部120経由でサーバ181から認証失敗を示す認証情報を受信すると、接続不許可情報を中継処理部120へ出力する。
【0087】
中継処理部120は、認証処理部140から接続不許可情報を受けると、受けた接続不許可情報を通信部110経由で車載ECU200Dへ送信する。
【0088】
認証処理部140は、サーバ181から取得した、認証成功を示す認証情報を用いて車載ECU200の認証処理を行う。以下、認証処理部140による車載ECU200の認証処理を、車内認証処理とも称する。
【0089】
中継処理部120は、認証処理部140による車内認証処理の結果に基づいて、車載ECU200間の情報を中継する。
【0090】
(認証例1)
たとえば、認証処理部140がサーバ181から受信する、認証成功を示す認証情報には、共通鍵が含まれる。
【0091】
認証処理部140は、TCU200A、通信部110および中継処理部120経由でサーバ181から車載ECU200の認証情報を受信すると、受信した認証情報の所定の有効時間を対応のタイマ160にセットする。
【0092】
そして、認証処理部140は、受信した認証情報から共通鍵を取得し、取得した共通鍵を当該車載ECU200に対応付けて記憶部150に保存する。たとえば、認証処理部140は、取得した共通鍵を通信ポート52に対応付けて記憶部150に保存する。
【0093】
また、認証処理部140は、当該共通鍵を含む車外認証成功情報を生成し、生成した車外認証成功情報を通信部110経由で対応の車載ECU200へ送信する。
【0094】
再び図3を参照して、車載ECU200における認証要求部230は、通信部210経由で中継装置100における認証処理部140から車外認証成功情報を受信すると、受信した車外認証成功情報から共通鍵を取得し、取得した共通鍵を記憶部240に保存する。
【0095】
中継装置100における認証処理部140は、たとえば、定期的または不定期に、記憶部150における共通鍵を用いて、各車載ECU200の車内認証処理を行う。
【0096】
具体的には、認証処理部140は、たとえば、乱数を生成し、生成した乱数を通信部110経由で対応の車載ECU200へ送信する。また、認証処理部140は、生成した乱数を、共通鍵を用いて暗号化することにより、暗号データを生成する。
【0097】
車載ECU200における認証要求部230は、当該乱数を受信すると、受信した乱数を、記憶部240における共通鍵を用いて暗号化することにより、暗号データを生成する。車載ECU200は、生成した暗号データを中継装置100へ送信する。
【0098】
中継装置100における認証処理部140は、通信部110経由で車載ECU200から暗号データを受信すると、受信した暗号データと自己が生成した暗号データとを照合する。
【0099】
認証処理部140は、車載ECU200から受信した暗号データと自己が生成した暗号データとが一致した場合、当該車載ECU200の車内認証処理に成功したと判断する。そして、認証処理部140は、車載ECU200の認証が成功した旨を示す車内認証成功情報を中継処理部120へ出力する。
【0100】
中継処理部120は、認証処理部140から車内認証成功情報を受けると、車載ECU200および他の車載ECU200間の情報の中継を開始または継続する。
【0101】
より詳細には、中継処理部120は、認証処理部140から車内認証成功情報を受けると、車載ECU200および他の車載ECU200間のイーサネットフレームの中継を開始または継続する。
【0102】
一方、認証処理部140は、車載ECU200から受信した暗号データと自己が生成した暗号データとが一致しなかった場合、当該車載ECU200の車内認証処理に失敗したと判断する。そして、認証処理部140は、車載ECU200の認証が失敗した旨を示す車内認証失敗情報を中継処理部120へ出力する。
【0103】
中継処理部120は、認証処理部140から車内認証失敗情報を受けると、車載ECU200および他の車載ECU200間の情報の中継を停止する。
【0104】
より詳細には、中継処理部120は、認証処理部140から車内認証失敗情報を受けると、車載ECU200から受信したイーサネットフレーム、および他の車載ECU200から受信した当該車載ECU200宛のイーサネットフレームの破棄を開始する。
【0105】
また、認証処理部140は、車載ECU200の車内認証処理に失敗した場合、たとえばIEEE802.1Xに従う手順で、当該車載ECU200の新たな認証情報をサーバ181から取得する。
【0106】
認証処理部140は、新たな認証情報として、認証成功を示す認証情報をサーバ181から受信すると、受信した認証情報に含まれる共通鍵を記憶部150に保存するとともに、新たな認証情報の所定の有効時間をタイマ160にセットする。また、認証処理部140は、当該共通鍵を中継処理部120および通信部110経由で車載ECU200へ送信する。
【0107】
そして、認証処理部140は、当該共通鍵を用いて、車載ECU200の車内認証処理を再び行う。具体的には、認証処理部140は、乱数および暗号データの生成、生成した暗号データの車載ECU200への送信、および車載ECU200から受信した暗号データと自己が生成した暗号データとの照合を行う。
【0108】
一方、認証処理部140は、新たな認証情報として、認証失敗を示す認証情報をサーバ181から受信すると、接続不許可情報を中継処理部120へ出力する。
【0109】
(認証例2)
たとえば、認証処理部140がサーバ181から受信する認証情報には、サーバ181において認証済の車載ECU200のMACアドレスが含まれる。以下、認証済の車載ECU200のMACアドレスを認証済MACアドレスとも称する。
【0110】
認証処理部140は、認証処理部140は、TCU200A、通信部110および中継処理部120経由でサーバ181から車載ECU200の認証情報を受信すると、受信した認証情報の所定の有効時間を対応のタイマ160にセットする。
【0111】
そして、認証処理部140は、受信した認証情報から認証済MACアドレスを取得し、取得した認証済MACアドレスを当該車載ECU200に対応付けて記憶部150に保存する。たとえば、認証処理部140は、取得した認証済MACアドレスを通信ポート52に対応付けて記憶部150に保存する。
【0112】
また、認証処理部140は、車外認証成功情報を通信部110経由で対応の車載ECU200へ送信する。
【0113】
認証処理部140は、たとえば、定期的または不定期に、記憶部150における認証済MACアドレスを用いて、各車載ECU200の認証処理を行う。
【0114】
たとえば、認証処理部140は、通信部110が通信ポート52経由で対応の車載ECU200から受信したイーサネットフレームに含まれる送信元MACアドレスを取得し、取得した送信元MACアドレスと、当該通信ポート52と対応付けられた認証済MACアドレスとを照合する。
【0115】
認証処理部140は、取得した送信元MACアドレスと当該認証済MACアドレスとが一致した場合、当該車載ECU200の認証が成功した旨を示す車内認証成功情報を中継処理部120へ出力する。
【0116】
中継処理部120は、認証処理部140から車内認証成功情報を受けると、車載ECU200および他の車載ECU200間の情報の中継を開始または継続する。
【0117】
一方、認証処理部140は、取得した送信元MACアドレスと認証済MACアドレスとが一致しなかった場合、車載ECU200の認証が失敗した旨を示す車内認証失敗情報を中継処理部120へ出力する。
【0118】
中継処理部120は、認証処理部140から車内認証失敗情報を受けると、車載ECU200から受信したイーサネットフレーム、および他の車載ECU200から受信した当該車載ECU200宛のイーサネットフレームの破棄を開始する。
【0119】
また、認証処理部140は、車載ECU200の車内認証処理に失敗した場合、たとえばIEEE802.1Xに従う手順で、当該通信ポート52に接続された車載ECU200の新たな認証情報をサーバ181から取得する。
【0120】
認証処理部140は、新たな認証情報として、認証成功を示す認証情報をサーバ181から受信すると、受信した認証情報に含まれる認証済MACアドレスを記憶部150に保存するとともに、新たな認証情報の所定の有効時間をタイマ160にセットする。
【0121】
そして、認証処理部140は、当該認証済MACアドレスを用いて、車載ECU200の認証処理を再び行う。具体的には、認証処理部140は、通信部110が通信ポート52経由で受信したイーサネットフレームに含まれる送信元MACアドレスを取得し、取得した送信元MACアドレスと、当該通信ポート52と対応付けられた認証済MACアドレスとを照合する。
【0122】
一方、認証処理部140は、新たな認証情報として、認証失敗を示す認証情報をサーバ181から受信すると、接続不許可情報を中継処理部120へ出力する。
【0123】
[認証情報の更新]
認証処理部140は、ある車載ECU200の認証情報の有効期限が切れた場合、サーバ181から当該車載ECU200の新たな認証情報を取得する。
【0124】
より詳細には、認証処理部140は、対応の車載ECU200のタイマ160が満了すると、記憶部150における共通鍵または認証済MACアドレスを破棄する。
【0125】
そして、認証処理部140は、たとえばIEEE802.1Xに従う手順で、車載ECU200の新たな認証情報をサーバ181から取得する。
【0126】
たとえば、サーバ181は、車外認証処理を行って認証に成功するたびに、異なる内容の認証情報を生成する。より詳細には、サーバ181は、車外認証処理を行って認証に成功するたびに、異なる共通鍵を含む認証情報を生成する。
【0127】
すなわち、認証処理部140は、認証情報を取得するたびに異なる内容となる当該認証情報をサーバ181から取得する。より詳細には、認証処理部140は、取得するたびに共通鍵が更新される認証情報をサーバ181から取得する。
【0128】
認証処理部140は、サーバ181から新たな認証情報を受信すると、受信した認証情報に含まれる共通鍵を記憶部150に保存するとともに、認証情報の所定の有効時間をタイマ160にセットする。また、認証処理部140は、当該共通鍵を中継処理部120および通信部110経由で車載ECU200へ送信する。
【0129】
[延長処理]
認証処理部140は、認証情報の有効期限が切れた場合であって、かつ中継装置100がサーバ181と通信できない場合、認証情報の有効性を維持する延長処理を行う。
【0130】
たとえば、認証処理部140は、タイマ160が満了すると、サーバ181との通信が可能な状況であるか否かを確認するために、通信部110およびTCU200A経由で通信確認要求をサーバ181へ送信する。
【0131】
サーバ181は、当該通信確認要求を受信すると、当該通信確認要求に対する応答として、通信可能情報を無線基地局装置161およびTCU200A経由で中継装置100へ送信する。
【0132】
認証処理部140は、通信部110および中継処理部120経由でサーバ181から通信可能情報を受信すると、記憶部150における対応の車載ECU200の共通鍵または認証済MACアドレスを削除する。
【0133】
そして、認証処理部140は、たとえばIEEE802.1Xに従う手順で、車載ECU200の新たな認証情報をサーバ181から取得する。
【0134】
一方、認証処理部140は、通信確認要求を送信してから所定期間内に通信可能情報を受信できなかった場合、中継装置100とサーバ181とが通信できない状態であると判断し、認証情報の有効性を維持する延長処理を行う。
【0135】
より詳細には、認証処理部140は、記憶部150における対応の車載ECU200の共通鍵または認証済MACアドレスを破棄することなく、認証情報の所定の延長時間をタイマ160にセットする。
【0136】
あるいは、認証処理部140は、たとえば、中継装置100とサーバ181との通信が可能であり、かつ認証情報の有効期限が切れている状態において、車両1が走行中である場合、サーバ181から新たな認証情報を取得することなく、延長処理を行う。
【0137】
たとえば、認証処理部140は、自動運転ECU等の車載ECU200から、車両1が走行中であるか否かを示す情報を通信部110および中継処理部120経由で取得する。
【0138】
認証処理部140は、通信部110および中継処理部120経由でサーバ181から通信可能情報を受信した場合であっても、車両1が走行中である場合、記憶部150における対応の車載ECU200の共通鍵または認証済MACアドレスを破棄することなく、認証情報の所定の延長時間をタイマ160にセットする。
【0139】
認証処理部140は、延長処理後、有効性を維持した認証情報である延長認証情報を用いて対応の車載ECU200の車内認証処理を行う。具体的には、延長認証情報に対応する、記憶部150における共通鍵または認証済MACアドレスを用いて、車載ECU200の認証処理を行う。
【0140】
認証処理部140は、延長認証情報を用いて車載ECU200の認証処理を行った結果、車載ECU200の認証に成功すると、延長認証成功情報を中継処理部120へ出力する。
【0141】
中継処理部120は、認証処理部140から当該延長認証成功情報を受信すると、車載ECU200および他の車載ECU200間の情報の中継を継続する。
【0142】
認証処理部140は、延長処理を行った後、定期的または不定期に、通信確認要求をサーバ181へ送信し、新たな認証情報の取得を試みる。
【0143】
認証処理部140は、新たな認証情報を取得するまで、延長認証情報を用いて車載ECU200の認証処理を行う。
【0144】
[延長認証情報に基づく中継処理]
中継処理部120は、車載ECU200の種別に応じて、認証処理部140による延長認証情報を用いた認証処理が成功した場合において中継すべき情報の内容を決定する。
【0145】
あるいは、中継処理部120は、車載ECU200から受信する情報の種別に応じて、認証処理部140による延長認証情報を用いた認証処理が成功した場合において中継を行うか否かを決定する。
【0146】
中継処理部120は、車載ECU200から受信した情報および当該車載ECU200宛の情報のうち、認証処理部140から延長認証成功情報を受けた場合において中継すべき情報の内容を決定する。
【0147】
たとえば、認証処理部140がサーバ181から受信する認証情報には、対応の車載ECU200の通信対象である車載ECU200の、MACアドレス、IPアドレスおよびポート番号、ならびに当該対応の車載ECU200のポート番号等が含まれる。
【0148】
認証処理部140は、認証情報からこれらの情報を取得すると、取得した情報を中継処理部120へ出力する。
【0149】
中継処理部120は、認証処理部140から受けた情報に基づいて、認証処理部140から延長認証成功情報を受けた場合において中継すべき情報の内容を決定する。
【0150】
たとえば、中継処理部120は、自動運転ECU等の、車両1の運転状況に影響を与える車載ECU200および他の車載ECU間の情報はすべて中継する。一方で、中継処理部120は、車両1の運転状況に影響を与えない車載ECU200および他の車載ECU間の情報の中継を停止する。
【0151】
また、たとえば、中継処理部120は、対応の車載ECU200からの情報のポート番号、および対応の車載ECU200の通信対象である車載ECU200からの情報のポート番号に基づいて、車両1の運転状況に影響を与える情報を判別し、車載ECU200および他の車載ECU間の情報のうち、車両1の運転状況に影響を与える情報はすべて中継する。
【0152】
なお、中継処理部120は、車載ECU200の種別および当該車載ECU200から受信する情報の種別の両方に応じて、認証処理部140による延長認証情報を用いた認証処理が成功した場合において一部または全部の情報の中継を行うか否かを決定する構成であってもよい。
【0153】
[動作の流れ]
本開示の実施の形態に通信システムにおける各装置は、メモリを含むコンピュータを備え、当該コンピュータにおけるCPU等の演算処理部は、以下のフローチャートおよびシーケンスの各ステップの一部または全部を含むプログラムを当該メモリから読み出して実行する。これら複数の装置のプログラムは、それぞれ、外部からインストールすることができる。これら複数の装置のプログラムは、それぞれ、記録媒体に格納された状態で流通する。
【0154】
図5は、本開示の実施の形態に係る通信システムにおける中継装置が、認証処理の結果に基づいて車載ECU間の情報を中継する際の動作手順を定めたフローチャートである。
【0155】
図5を参照して、まず、中継装置100は、車載ネットワーク12への新規機能部の追加を待ち受け(ステップS102でNO)、車載ネットワーク12への車載ECU200Dの追加を検知すると(ステップS102でYES)、検知した車載ECU200Dの認証情報をサーバ181から取得する(ステップS104)。
【0156】
次に、中継装置100は、認証失敗を示す認証情報をサーバ181から取得すると(ステップS106でNO)、接続不許可情報を車載ECU200Dへ送信する(ステップS108)。
【0157】
次に、中継装置100は、車載ネットワーク12への新たな新規機能部の追加を待ち受ける(ステップS102でNO)。
【0158】
一方、中継装置100は、認証成功を示す認証情報をサーバ181から取得すると(ステップS106でYES)、車外認証成功情報を対応の車載ECU200Dへ送信する(ステップS110)。
【0159】
次に、中継装置100は、サーバ181から取得した認証情報を用いて車載ECU200Dの車内認証処理を行う(ステップS112)。
【0160】
次に、中継装置100は、車載ECU200Dの車内認証処理に失敗すると(ステップS114でYES)、車載ECU200Dおよび他の車載ECU200間の情報の中継を停止する(ステップS116)。
【0161】
次に、中継装置100は、車載ECU200Dの新たな認証情報をサーバ181から取得する(ステップS104)。
【0162】
一方、中継装置100は、車載ECU200Dの車内認証処理に成功すると(ステップS114でNO)、車載ECU200Dおよび他の車載ECU200間の情報の中継を開始または継続する(ステップS118)。
【0163】
次に、中継装置100は、車載ECU200Dの認証情報の有効期限が切れていない場合(ステップS120でNO)、次の車内認証処理のタイミングで、当該認証情報を用いて車載ECU200Dの車内認証処理を行う(ステップS112)。
【0164】
一方、中継装置100は、車載ECU200Dの認証情報の有効期限が切れると(ステップS120でYES)、サーバ181との通信が可能な状況であるか否かを確認する(ステップS122)。
【0165】
次に、中継装置100は、サーバ181との通信が可能な状況であり(ステップS122でYES)、かつ車両1が走行中ではない場合(ステップS124でYES)、車載ECU200Dの新たな認証情報をサーバ181から取得する(ステップS104)。
【0166】
一方、中継装置100は、サーバ181との通信が可能な状況ではない場合(ステップS122でNO)、または、サーバ181との通信が可能な状況であり(ステップS122でYES)、かつ車両1が走行中である場合(ステップS124でNO)、延長処理を行う(ステップS126)。
【0167】
次に、中継装置100は、次の車内認証処理のタイミングで、延長処理により有効性を維持した認証情報である延長認証情報を用いて、車載ECU200Dの車内認証処理を行う(ステップS112)。
【0168】
図6は、本開示の実施の形態に係る通信システムにおける車外認証処理のシーケンスの一例を示す図である。
【0169】
図6を参照して、まず、車載ネットワーク12に新たに追加される新規機能部である車載ECU200Dは、中継装置100に接続されると、自己のMACアドレスを含む認証要求情報を中継装置100へ送信する(ステップS202)。
【0170】
次に、中継装置100は、車載ECU200Dから認証要求情報を受信すると、車外認証処理における認証方式を示す認証方式情報を車載ECU200Dへ送信する(ステップS204)。
【0171】
次に、車載ECU200Dおよびサーバ181は、中継装置100を介して、車外認証処理に必要な情報を含むEAPメッセージのやり取りを行う(ステップS206)。
【0172】
次に、サーバ181は、中継装置100経由で車載ECU200から受信したEAPメッセージを用いて車載ECU200Dの車外認証処理を行う(ステップS208)。
【0173】
次に、サーバ181は、車外認証処理により車載ECU200Dの認証に成功すると、認証成功を示す認証情報を生成し、生成した認証情報を中継装置100へ送信する(ステップS210)。
【0174】
次に、中継装置100は、サーバ181から認証情報を受信すると、車外認証成功情報を車載ECU200Dへ送信する(ステップS212)。
【0175】
図7は、本開示の実施の形態に係る通信システムにおける車外認証処理および車内認証処理のシーケンスの一例を示す図である。
【0176】
図7を参照して、まず、中継装置100は、共通鍵を用いた車内認証処理の結果に基づいて、車載ECU200Cおよび車載ECU200D間の情報の中継を行っている。すなわち、車載ECU200Cおよび車載ECU200Dは、中継装置100による車内認証処理の結果に基づいて、中継装置100を介して通信を行っている(ステップS302)。
【0177】
次に、中継装置100は、車載ECU200Dの認証情報の有効期限が切れると、通信確認要求をサーバ181へ送信する(ステップS304)。
【0178】
次に、中継装置100は、通信確認要求を送信してから所定時間内に通信可能情報をサーバ181から受信できなかった場合、中継装置100とサーバ181とが通信できない状態であると判断し、共通鍵を含む認証情報の有効性を維持する延長処理を行う(ステップS306)。
【0179】
次に、中継装置100は、共通鍵を用いた車内認証処理の結果に基づく車載ECU200Cおよび車載ECU200D間の情報の中継を継続する。そして、車載ECU200Cおよび車載ECU200Dは、中継装置100による車内認証処理の結果に基づいて、中継装置100を介して通信を行う(ステップS308)。
【0180】
次に、中継装置100は、再び通信確認要求をサーバ181へ送信する(ステップS310)。
【0181】
次に、サーバ181は、通信確認要求を受信すると、当該通信確認要求に対する応答として、通信可能情報を中継装置100へ送信する(ステップS312)。
【0182】
次に、車載ECU200Dおよびサーバ181は、中継装置100を介して、車外認証処理に必要な情報を含むEAPメッセージのやり取りを行う。そして、サーバ181は、中継装置100経由で車載ECU200から受信したEAPメッセージを用いて車載ECU200Dの車外認証処理を行う(ステップS314)。
【0183】
次に、サーバ181は、車外認証処理により車載ECU200Dの認証に成功すると、新たな共通鍵を含む認証情報を生成し、生成した認証情報を中継装置100へ送信する(ステップS316)。
【0184】
次に、中継装置100は、サーバ181から新たな共通鍵を含む認証情報を受信すると、新たな共通鍵を含む車外認証成功情報を車載ECU200Dへ送信する(ステップS318)。
【0185】
次に、中継装置100は、新たな共通鍵を用いた車内認証処理の結果に基づく車載ECU200Cおよび車載ECU200D間の情報の中継を開始する。そして、車載ECU200Cおよび車載ECU200Dは、中継装置100による車内認証処理の結果に基づいて、中継装置100を介して通信を行う(ステップS320)。
【0186】
図8は、本開示の実施の形態に係る通信システムにおける車内認証処理のシーケンスの一例を示す図である。図8は、図7におけるステップS302,S308,S320の処理の詳細を示している。
【0187】
図8を参照して、まず、中継装置100は、乱数を生成する(ステップS402)。
【0188】
次に、中継装置100は、生成した乱数を、車内認証処理の対象である車載ECU200Dへ送信する(ステップS404)。
【0189】
次に、中継装置100は、生成した乱数を、共通鍵を用いて暗号化することにより、暗号データを生成する(ステップS406)。
【0190】
また、車載ECU200Dは、中継装置100から受信した乱数を、共通鍵を用いて暗号化することにより、暗号データを生成する(ステップS408)。
【0191】
次に、車載ECU200Dは、生成した暗号データを中継装置100へ送信する(ステップS410)。
【0192】
中継装置100は、車載ECU200Dから暗号データを受信すると、受信した暗号データと自己が生成した暗号データとを照合する(ステップS412)。
【0193】
次に、中継装置100は、車載ECU200Dから受信した暗号データと自己が生成した暗号データとが一致した場合、車載ECU200Dの車内認証処理に成功したと判断し、車載ECU200Dおよび他の車載ECU200間の情報の中継を開始または継続する(ステップS414)。
【0194】
図9は、本開示の実施の形態に係る通信システムにおける車外認証処理および車内認証処理のシーケンスの他の例を示す図である。
【0195】
図9を参照して、まず、中継装置100は、認証済MACアドレスを用いた車内認証処理の結果に基づいて、車載ECU200Cおよび車載ECU200D間の情報の中継を行っている。すなわち、車載ECU200Cおよび車載ECU200Dは、中継装置100による車内認証処理の結果に基づいて、中継装置100を介して通信を行っている(ステップS502)。
【0196】
次に、中継装置100は、車載ECU200Dの認証情報の有効期限が切れると、通信確認要求をサーバ181へ送信する(ステップS504)。
【0197】
次に、中継装置100は、通信確認要求を送信してから所定時間内に通信可能情報をサーバ181から受信できなかった場合、中継装置100とサーバ181とが通信できない状態であると判断し、認証済MACアドレスを含む認証情報の有効性を維持する延長処理を行う(ステップS506)。
【0198】
次に、中継装置100は、認証済MACアドレスを用いた車内認証処理の結果に基づく車載ECU200Cおよび車載ECU200D間の情報の中継を継続する。そして、車載ECU200Cおよび車載ECU200Dは、中継装置100による車内認証処理の結果に基づいて、中継装置100を介して通信を行う(ステップS508)。
【0199】
次に、中継装置100は、再び通信確認要求をサーバ181へ送信する(ステップS510)。
【0200】
次に、サーバ181は、通信確認要求を受信すると、当該通信確認要求に対する応答として、通信可能情報を中継装置100へ送信する(ステップS512)。
【0201】
次に、車載ECU200Dおよびサーバ181は、中継装置100を介して、車外認証処理に必要な情報を含むEAPメッセージのやり取りを行う。そして、サーバ181は、中継装置100経由で車載ECU200から受信したEAPメッセージを用いて車載ECU200Dの車外認証処理を行う(ステップS514)。
【0202】
次に、サーバ181は、車外認証処理により車載ECU200Dの認証に成功すると、認証済MACアドレスを含む新たな認証情報を中継装置100へ送信する(ステップS516)。
【0203】
次に、中継装置100は、サーバ181から新たな認証情報を受信すると、受信した認証情報に対応する認証済MACアドレスを含む車外認証成功情報を車載ECU200Dへ送信する(ステップS518)。
【0204】
次に、中継装置100は、新たな認証済MACアドレスを用いた車内認証処理の結果に基づく車載ECU200Cおよび車載ECU200D間の情報の中継を開始する。そして、車載ECU200Cおよび車載ECU200Dは、中継装置100による車内認証処理の結果に基づいて、中継装置100を介して通信を行う(ステップS520)。
【0205】
なお、本開示の実施の形態に係る中継装置100では、認証処理部140は、認証情報の有効期限が切れた場合であって、かつ中継装置100がサーバ181と通信できない場合、認証情報の有効性を維持する延長処理を行い、有効性を維持した認証情報である延長認証情報を用いて対応の車載ECU200の車内認証処理を行う構成であるとしたが、これに限定するものではない。認証処理部140は、認証情報の有効期限が切れた場合であって、かつ中継装置100がサーバ181と通信できない場合、延長処理を行うことなく、新たな認証情報を取得するまで車内認証処理を停止する構成であってもよい。また、中継処理部120は、認証処理部140が新たな認証情報を取得し、取得した新たな認証情報を用いて車内認証処理を行うまで、車載ECU200間の情報の中継を停止する構成であってもよい。
【0206】
また、本開示の実施の形態に係る中継装置100では、中継処理部120は、車載ECU200の種別に応じて、認証処理部140による延長認証情報を用いた認証処理が成功した場合において中継すべき情報の内容を決定する構成であるとしたが、これに限定するものではない。中継処理部120は、車載ECU200の種別に関わらず、認証処理部140による延長認証情報を用いた認証処理が成功した場合において、当該車載ECU200および他の車載ECU200間の各種内容を含むすべての情報を中継する構成であってもよい。
【0207】
また、本開示の実施の形態に係る中継装置100では、中継処理部120は、車載ECU200から受信する情報の種別に応じて、認証処理部140による延長認証情報を用いた認証処理が成功した場合において中継を行うか否かを決定する構成であるとしたが、これに限定するものではない。中継処理部120は、車載ECU200から受信する情報の種別に関わらず、認証処理部140による延長認証情報を用いた認証処理が成功した場合において、当該車載ECU200から受信した他の車載ECU200宛のすべての情報を中継する構成であってもよい。
【0208】
また、本開示の実施の形態に係る中継装置100では、認証処理部140は、取得するたびに共通鍵が更新される認証情報をサーバ181から取得する構成であるとしたが、これに限定するものではない。サーバ181は、車外認証処理を行って認証に成功するたびに、対応の同じ共通鍵を含む認証情報を生成し、生成した認証情報を中継装置100へ送信する構成であってもよい。
【0209】
また、本開示の実施の形態に係る中継装置100では、認証処理部140は、中継装置100とサーバ181との通信が可能であり、かつ認証情報の有効期限が切れている状態において、車両1が走行中である場合、サーバ181から新たな認証情報を取得することなく、認証情報の有効性を維持する延長処理を行う構成であるとしたが、これに限定するものではない。認証処理部140は、中継装置100とサーバ181との通信が可能であり、かつ認証情報の有効期限が切れている状態において、車両1が走行中であるか否かに関わらず、サーバ181から新たな認証情報を取得する構成であってもよい。
【0210】
ところで、車載ネットワークにおけるセキュリティを向上させることが可能な技術が望まれる。
【0211】
具体的には、たとえば、既存の車載ネットワークに新たな車載ECUを取り付けることにより新たな車載ネットワークを構成する場合において、新たな車載ネットワークのセキュリティを向上させることが可能な技術が望まれる。
【0212】
これに対して、本開示の実施の形態に係る中継装置100は、複数の車載ECU200を備える車両1に搭載される。認証処理部140は、車載ECU200の認証情報を車両1の外部におけるサーバ181から取得し、取得した認証情報を用いて車載ECU200の認証処理を行う。中継処理部120は、認証処理部140による認証処理の結果に基づいて、車載ECU200および他の車載ECU200間の情報を中継する。認証処理部140は、認証情報の有効期限が切れた場合、サーバ181から新たな認証情報を取得する。
【0213】
このように、車載ECU200の認証情報を車両1の外部におけるサーバ181から取得する構成により、車載ネットワークに新たな未知の車載ECU200が追加された場合であっても、当該車載ECUの認証情報を取得することができる。さらに、有効期限が切れた場合に新たな認証情報を取得し、取得した認証情報を用いて車載ECU200の認証処理を行い、認証処理の結果に基づいて、車載ECU200および他の車載ECU200間の情報を中継する構成により、車載ネットワークのセキュリティを保証することができるとともに、車両1の走行環境によってサーバ181から新たな認証情報を取得することが困難な状況においても、継続して認証情報を用いて車載ECU200の認証処理を行うことができる。
【0214】
したがって、本開示の実施の形態に係る中継装置100では、車載ネットワークにおけるセキュリティを向上させることができる。
【0215】
また、本開示の実施の形態に係る中継装置100では、認証処理部140は、認証情報の有効期限が切れた場合であって、かつ中継装置100がサーバ181と通信できない場合、認証情報の有効性を維持する延長処理を行い、有効性を維持した認証情報である延長認証情報を用いて、当該認証情報に対応する車載ECU200の認証処理を行う。
【0216】
このような構成により、認証情報の有効期限が切れたときに、車両1の走行環境によって中継装置100およびサーバ181間の通信環境が悪く、新たな認証情報を取得することができない場合でも、認証処理を行い、認証結果に基づく車載ECU200間の情報の中継を継続することができる。これにより、たとえば、車両1の外部において認証情報の内容を更新することでセキュリティを向上させる構成において、車両1の走行環境によらず、車載ネットワークにおける安定した通信を管理することができる。
【0217】
また、本開示の実施の形態に係る中継装置100では、中継処理部120は、車載ECU200の種別に応じて、認証処理部140による延長認証情報を用いた認証処理が成功した場合において中継すべき情報の内容を決定する。
【0218】
このような構成により、車載ECU200の種別に応じて、延長処理を行った場合に中継する情報の一部を制限することができるため、たとえば車両1の走行に影響を与える車載ECU200間の情報の中継を継続しつつ、車両1の走行に影響を与えない車載ECU200間の情報の中継を停止することにより、車両1の良好な走行を維持しながら車載ネットワークにおけるセキュリティの低下を抑制することができる。
【0219】
また、本開示の実施の形態に係る中継装置100では、中継処理部120は、車載ECU200から受信する情報の種別に応じて、認証処理部140による延長認証情報を用いた認証処理が成功した場合において中継を行うか否かを決定する。
【0220】
このような構成により、車載ECU200から受信する情報の種別に応じて、延長処理を行った場合に中継する情報の一部を制限することができるため、たとえば車両1の走行に影響を与える情報の中継を継続しつつ、車両1の走行に影響を与えない情報の中継を停止することにより、車両1の良好な走行を維持しながら車載ネットワークにおけるセキュリティの低下を抑制することができる。
【0221】
また、本開示の実施の形態に係る中継装置100では、認証処理部140は、認証情報を取得するたびに異なる内容となる認証情報をサーバ181から取得する。
【0222】
このような構成により、有効期限が切れるたびに新たな内容の認証情報を取得し、当該認証情報を用いて車載ECU200の認証処理を行うことができるため、車載ネットワークにおけるセキュリティをより向上させることができる。
【0223】
また、本開示の実施の形態に係る中継装置100では、認証処理部140は、中継装置100とサーバ181との通信が可能であり、かつ認証情報の有効期限が切れている状態において、車両1が走行中である場合、サーバ181から新たな認証情報を取得することなく、認証情報の有効性を維持する延長処理を行う。
【0224】
このような構成により、たとえば、新たな認証情報を用いて認証処理を行うことにより認証エラーが発生し、車両1の走行中において車載ECU200間の情報の一部または全部の中継が停止することを回避し、車両1の良好な走行を維持することができる。
【0225】
また、本開示の実施の形態に係る車両通信方法は、複数の車載ECU200を備える車両1に搭載される中継装置100における車両通信方法である。この車両通信方法では、まず、車載ECU200の認証情報を車両1の外部における外部装置から取得する。次に、取得した認証情報を用いて車載ECU200の認証処理を行う。次に、認証処理の結果に基づいて、車載ECU200および他の車載ECU200の情報を中継する。次に、認証情報の有効期限が切れた場合、サーバ181から新たな認証情報を取得する。
【0226】
このように、車載ECU200の認証情報を車両1の外部におけるサーバ181から取得する方法により、車載ネットワークに新たな未知の車載ECU200が追加された場合であっても、当該車載ECUの認証情報を取得することができる。さらに、有効期限が切れた場合に新たな認証情報を取得し、取得した認証情報を用いて車載ECU200の認証処理を行い、認証処理の結果に基づいて、車載ECU200および他の車載ECU200間の情報を中継する方法により、車載ネットワークのセキュリティを保証することができるとともに、車両1の走行環境によってサーバ181から新たな認証情報を取得することが困難な状況においても、継続して認証情報を用いて車載ECU200の認証処理を行うことができる。
【0227】
したがって、本開示の実施の形態に係る車両通信方法では、車載ネットワークにおけるセキュリティを向上させることができる。
【0228】
上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
【0229】
以上の説明は、以下に付記する特徴を含む。
[付記1]
複数の機能部を備える車両に搭載される中継装置であって、
前記機能部の認証情報を前記車両の外部における外部装置から取得し、取得した前記認証情報を用いて前記機能部の認証処理を行う認証処理部と、
前記認証処理部による前記認証処理の結果に基づいて、前記機能部および他の前記機能部間の情報を中継する中継処理部とを備え、
前記認証処理部は、前記認証情報の有効期限が切れた場合、前記外部装置から新たな前記認証情報を取得し、
前記認証処理部は、前記認証情報を取得するたびに異なる共通鍵を含む前記認証情報を前記外部装置から取得し、取得した前記認証情報に含まれる前記共通鍵を用いて前記機能部の認証処理を行う、中継装置。
【符号の説明】
【0230】
1 車両
11 外部ネットワーク
12 車載ネットワーク
13 イーサネットケーブル
52 通信ポート
100 中継装置
110 通信部
120 中継処理部
130 検知部
140 認証処理部
150 記憶部
160 タイマ
161 無線基地局装置
181 サーバ
200 車載ECU
210 通信部
220 処理部
230 認証要求部
240 記憶部
301 車載通信システム
401 通信システム
図1
図2
図3
図4
図5
図6
図7
図8
図9
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.