[go: up one dir, main page]

JP2018125659A - Communication system, communication method, program, and non-temporary storage medium - Google Patents

Communication system, communication method, program, and non-temporary storage medium Download PDF

Info

Publication number
JP2018125659A
JP2018125659A JP2017015459A JP2017015459A JP2018125659A JP 2018125659 A JP2018125659 A JP 2018125659A JP 2017015459 A JP2017015459 A JP 2017015459A JP 2017015459 A JP2017015459 A JP 2017015459A JP 2018125659 A JP2018125659 A JP 2018125659A
Authority
JP
Japan
Prior art keywords
authentication
nodes
risk level
message
logic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017015459A
Other languages
Japanese (ja)
Inventor
勉 五関
Tsutomu Goseki
勉 五関
勇義 苑田
Isayoshi Sonoda
勇義 苑田
大朋 塚原
Hirotomo Tsukahara
大朋 塚原
成郎 吉澤
Shigeo Yoshizawa
成郎 吉澤
圭紀 片桐
Yoshinori Katagiri
圭紀 片桐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Priority to JP2017015459A priority Critical patent/JP2018125659A/en
Publication of JP2018125659A publication Critical patent/JP2018125659A/en
Pending legal-status Critical Current

Links

Images

Abstract

【課題】不正アクセスおよび認証ロジックの解析が困難であり、拡張性に優れ、状況の変化に応じて適度な難読化を行う、改善された通信システム、通信方法、プログラム、および非一時的記録媒体を提供する。【解決手段】本開示の一態様に係る通信システムは、ネットワークに接続された複数のノードを備える通信システムであって、複数のノードの各ノードは、複数のノードの他ノードから受信したメッセージの正当性を認証するのに用いられる認証ロジックが複数のノードの間で同一となるように、認証ロジックを複数の認証ロジックの間で切り替える認証ロジック切替制御部と、認証ロジックを用いてメッセージの正当性を認証するメッセージ認証部と、を備える構成を採る。【選択図】図3PROBLEM TO BE SOLVED: To improve communication system, communication method, program, and non-temporary recording medium which are difficult to analyze unauthorized access and authentication logic, have excellent expandability, and perform appropriate obfuscation in response to changes in circumstances. I will provide a. A communication system according to one aspect of the present disclosure is a communication system including a plurality of nodes connected to a network, and each node of the plurality of nodes is a message received from another node of the plurality of nodes. The authentication logic switching control unit that switches the authentication logic between multiple authentication logics so that the authentication logic used to authenticate the validity is the same among multiple nodes, and the legitimacy of the message using the authentication logic. A configuration is adopted in which a message authentication unit for authenticating sex is provided. [Selection diagram] Fig. 3

Description

本開示は、通信システム、通信方法、プログラム、および非一時的記録媒体に関する。   The present disclosure relates to a communication system, a communication method, a program, and a non-transitory recording medium.

近年、車両の電装化に伴い、CAN(Controller Area Network)、LIN(Local Interconnect Network)、FlexRay、Most(Media oriented systems transport)等の車載LANを用いる通信の重要性が、ますます高まっている。これに伴い、車載LANに接続されたモジュールを介した外部からの不正アクセス等に対する防御機能のニーズが高まっており、防御機能を備える車載LANの通信要件が数多く提案されている(特許文献1、特許文献2)。   In recent years, the importance of communication using in-vehicle LANs such as CAN (Controller Area Network), LIN (Local Interconnect Network), FlexRay, Most (Media oriented systems transport) and the like has been increased along with the electrification of vehicles. Accordingly, there is an increasing need for a defense function against unauthorized access from the outside via a module connected to the in-vehicle LAN, and many in-vehicle LAN communication requirements with a protection function have been proposed (Patent Document 1, Patent Document 2).

特開2013−098719号公報JP2013-098719A 特開2016−158204号公報JP 2016-158204 A

しかしながら、特許文献1に記載のロジックは、単純であり、パラメータが固定されたメッセージに絞られることによって、認証ロジックが解析され易く、不正アクセスを招来し易い問題がある。また、特許文献1および特許文献2においては、車載LANであるCANに接続されたECU(Electronic Control Unit)のCAN ID毎に、各ECUがカウンタを備える必要があり、管理が複雑になり、システムの拡張性が低くなる問題がある。また、カウンタが多くなるのに伴い、通信エラーなどにより発生する同期ずれが多くなり、不正なメッセージの認証成功確率が高くなるという問題がある。   However, the logic described in Patent Document 1 is simple, and there is a problem that authentication logic is easily analyzed and unauthorized access is likely to be caused by focusing on messages with fixed parameters. Moreover, in patent document 1 and patent document 2, each ECU needs to be provided with a counter for every CAN ID of ECU (Electronic Control Unit) connected to CAN which is vehicle-mounted LAN, management becomes complicated, and a system There is a problem that the extensibility of. In addition, as the number of counters increases, there is a problem that synchronization loss due to a communication error or the like increases, and the probability of successful authentication of illegal messages increases.

さらに、特許文献1および特許文献2においては、難読化のレベルが常に一定であるため、必要以上の難読化または不十分な難読化となる場合が発生してしまう問題がある。   Further, in Patent Document 1 and Patent Document 2, since the level of obfuscation is always constant, there is a problem that obfuscation more than necessary or insufficient obfuscation may occur.

本開示の目的は、不正アクセスおよび認証ロジックの解析が困難であり、拡張性に優れ、状況の変化に応じて適度な難読化を行う、改善された通信システム、通信方法、プログラム、および非一時的記録媒体を提供することである。   The purpose of this disclosure is an improved communication system, communication method, program, and non-temporary that is difficult to analyze unauthorized access and authentication logic, is highly scalable, and moderately obfuscates in response to changing circumstances Providing a static recording medium.

本開示の一態様に係る通信システムは、ネットワークに接続された複数のノードを備える通信システムであって、前記複数のノードの各ノードは、前記複数のノードの他ノードから受信したメッセージの正当性を認証するのに用いられる認証ロジックが前記複数のノードの間で同一となるように、前記認証ロジックを複数の認証ロジックの間で切り替える認証ロジック切替制御部と、前記認証ロジックを用いて前記メッセージの正当性を認証するメッセージ認証部と、を備える構成を採る。   A communication system according to an aspect of the present disclosure is a communication system including a plurality of nodes connected to a network, wherein each node of the plurality of nodes is valid of a message received from another node of the plurality of nodes. An authentication logic switching control unit that switches the authentication logic between the plurality of authentication logics so that the authentication logic used to authenticate the plurality of nodes is the same, and the message using the authentication logic And a message authenticating unit that authenticates the validity.

本開示の一態様に係る通信方法は、ネットワークに接続された複数のノードを備える通信システムにおける通信方法であって、前記複数のノードの他ノードから受信したメッセージの正当性を認証するのに用いられる認証ロジックが前記複数のノードの間で同一となるように、前記認証ロジックを複数の認証ロジックの間で切り替えるステップと、前記認証ロジックを用いて前記メッセージの正当性を認証するステップと、を備える構成を採る。   A communication method according to an aspect of the present disclosure is a communication method in a communication system including a plurality of nodes connected to a network, and is used to authenticate the validity of a message received from another node of the plurality of nodes. Switching the authentication logic between a plurality of authentication logics, and authenticating the validity of the message using the authentication logic, such that the authentication logic to be used is the same between the plurality of nodes. The structure to be provided is taken.

本開示の一態様に係るプログラムは、ネットワークに接続された複数のノードを備える通信システムにおいて、前記複数のノードがそれぞれ備えるコンピュータに、前記複数のノードの他ノードから受信したメッセージの正当性を認証するのに用いられる認証ロジックが前記複数のノードの間で同一となるように、前記認証ロジックを複数の認証ロジックの間で切り替えるステップと、前記認証ロジックを用いて前記メッセージの正当性を認証するステップと、を実行させる、構成を採る。   A program according to an aspect of the present disclosure authenticates validity of a message received from another node of the plurality of nodes in a computer provided in each of the plurality of nodes in a communication system including the plurality of nodes connected to the network. Switching the authentication logic between a plurality of authentication logics so that the authentication logic used to do the same among the plurality of nodes and authenticating the validity of the message using the authentication logic And a step is executed.

本開示の一態様に係る非一時的記録媒体は、コンピュータ読み取り可能なプログラムを記録した非一時的記録媒体であって、ネットワークに接続された複数のノードを備える通信システムにおいて、前記複数のノードがそれぞれ備えるコンピュータに、前記複数のノードの他ノードから受信したメッセージの正当性を認証するのに用いられる認証ロジックが前記複数のノードの間で同一となるように、前記認証ロジックを複数の認証ロジックの間で切り替えるステップと、前記認証ロジックを用いて前記メッセージの正当性を認証するステップと、を実行させる、プログラムを記録する構成を採る。   A non-transitory recording medium according to an aspect of the present disclosure is a non-temporary recording medium that records a computer-readable program, and the communication system includes a plurality of nodes connected to a network. The plurality of authentication logics are configured so that authentication logic used to authenticate the validity of messages received from other nodes of the plurality of nodes is the same among the plurality of nodes. And a step of authenticating the validity of the message using the authentication logic and recording a program.

本開示によれば、不正アクセスおよび認証ロジックの解析が困難であり、拡張性に優れ、状況の変化に応じて適度な難読化を行う、改善された通信システム、通信方法、プログラム、および非一時的記録媒体を提供することができる。   According to the present disclosure, an improved communication system, communication method, program, and non-temporary that are difficult to analyze unauthorized access and authentication logic, have excellent scalability, and perform moderate obfuscation in response to changes in circumstances Recording medium can be provided.

本開示に係る通信システムの説明図である。It is explanatory drawing of the communication system which concerns on this indication. 本開示に係るマスタノードの構成図である。FIG. 3 is a configuration diagram of a master node according to the present disclosure. 本開示に係るスレーブノードの構成図である。It is a lineblock diagram of a slave node concerning this indication. 本開示に係るセキュリティリスクに対するマスタノードの動作フローを示すフローチャートである。It is a flowchart which shows the operation | movement flow of the master node with respect to the security risk which concerns on this indication. セキュリティリスクのリスクレベルと認証ロジックとの間の関係の説明図である。It is explanatory drawing of the relationship between the risk level of a security risk, and an authentication logic. 本開示に係る車両状態の変化に対するマスタノードの動作フローを示すフローチャートである。It is a flowchart which shows the operation | movement flow of the master node with respect to the change of the vehicle state which concerns on this indication. 車両状態のリスクレベルと認証ロジックとの間の関係の説明図である。It is explanatory drawing of the relationship between the risk level of a vehicle state, and authentication logic. コンピュータのハードウェア構成の一例を示す図である。It is a figure which shows an example of the hardware constitutions of a computer.

以下、本開示の実施の形態について、図面を参照して詳細に説明する。   Hereinafter, embodiments of the present disclosure will be described in detail with reference to the drawings.

(第1の実施の形態)
図1は、本開示に係る通信システム1000の説明図である。図2は、本開示に係るマスタノード100Aの構成図である。図3は、本開示に係るスレーブノード100Bの構成図である。図1から図3において、同一の符号が付された構成要素は、同一の構成要素を表す。 (First embodiment)
FIG. 1 is an explanatory diagram of a communication system 1000 according to the present disclosure. FIG. 2 is a configuration diagram of the master node 100A according to the present disclosure. FIG. 3 is a configuration diagram of the slave node 100B according to the present disclosure. In FIG. 1 to FIG. 3, components having the same reference numerals represent the same components.

通信システム1000は、複数のノード100(100−1,100−2,…,100−n)と、ネットワーク200とを備える。複数のノード100は、それぞれが備える送受信器110(110−1,110−2,…,110−n)を介して、ネットワーク200に接続される。   The communication system 1000 includes a plurality of nodes 100 (100-1, 100-2,..., 100-n) and a network 200. The plurality of nodes 100 are connected to the network 200 via transceivers 110 (110-1, 110-2,..., 110-n) included in each of the nodes 100.

通信システム1000は、車両に設けられるLAN(車載LAN)である。車載LANは、例えば、CAN、LIN、FlexRay、Mostである。ノード100は、例えば、ECUである。一例において、ネットワーク200は、例えば、図1に示されるように、CANバスやLINバス等のバス型ネットワークである。他の一例において、ネットワーク200は、FlexRayネットワーク等のスター型ネットワーク、Mostネットワーク等のリング型ネットワークである。   The communication system 1000 is a LAN (in-vehicle LAN) provided in a vehicle. The in-vehicle LAN is, for example, CAN, LIN, FlexRay, Most. The node 100 is, for example, an ECU. In one example, the network 200 is, for example, a bus network such as a CAN bus or a LIN bus as shown in FIG. In another example, the network 200 is a star network such as a FlexRay network or a ring network such as a Most network.

一例において、複数のノード100は、その全てが、車速等の車両状態や、通信システム1000におけるセキュリティ侵害等のセキュリティリスクを監視するマスタノード100Aである。この場合、複数のノード100は、マルチマスタ構成をとる。この場合、マスタノード100Aは、他のノード100に動作を切り替える指示をする必要はない。   In one example, the plurality of nodes 100 are all master nodes 100 </ b> A that monitor vehicle conditions such as vehicle speed and security risks such as security breaches in the communication system 1000. In this case, the plurality of nodes 100 have a multi-master configuration. In this case, the master node 100A does not need to instruct the other node 100 to switch the operation.

他の一例において、複数のノード100のいずれかが、マスタノード100Aであり、マスタノード100A以外のノードは、マスタノード100Aの指示に応じて動作を切り替えるスレーブノード100Bである。   In another example, any of the plurality of nodes 100 is the master node 100A, and the nodes other than the master node 100A are slave nodes 100B that switch operations in accordance with instructions from the master node 100A.

さらに他の一例において、2つ以上のノード100からの指示に対する動作に関する整合性が担保されている限りにおいて、複数のノード100の2つ以上のノード100がマスタノード100Aであり、マスタノード100A以外のノード100がスレーブノード100Bである。この場合、2つ以上のマスタノード100Aの間で、役割分担する構成もとりうる。例えば、車速等の車両状態を監視するマスタノード100Aと、セキュリティリスクを監視するマスタノード100Aとを、2つのマスタノード100Aとしてもよい。   In yet another example, two or more nodes 100 of the plurality of nodes 100 are the master nodes 100A and other than the master node 100A as long as the consistency with respect to the operation for the instructions from the two or more nodes 100 is ensured. The node 100 is the slave node 100B. In this case, a configuration in which roles are shared between two or more master nodes 100A may be employed. For example, the master node 100A that monitors the vehicle state such as the vehicle speed and the master node 100A that monitors the security risk may be two master nodes 100A.

まず、マスタノード100Aおよびスレーブノード100Bがノード100として共通して備える構成要素を説明する。   First, components that the master node 100A and the slave node 100B have in common as the node 100 will be described.

ノード100は、それぞれ、送受信器110と、メッセージ制御部120と、算出ロジック記憶装置130と、認証キー記憶装置140と、認証ロジック切替制御部150と、を備える。一例において、ノード100は、それぞれ、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)等を備える。CPUは、例えばROMから処理内容に応じたプログラムを読み出してRAMに展開し、展開したプログラムと協働して、メッセージ制御部120および認証ロジック切替制御部150の動作を集中制御する。   Each of the nodes 100 includes a transceiver 110, a message control unit 120, a calculation logic storage device 130, an authentication key storage device 140, and an authentication logic switching control unit 150. In one example, each of the nodes 100 includes a CPU (Central Processing Unit), a ROM (Read Only Memory), a RAM (Random Access Memory), and the like. For example, the CPU reads out a program corresponding to the processing content from the ROM, expands it in the RAM, and centrally controls the operations of the message control unit 120 and the authentication logic switching control unit 150 in cooperation with the expanded program.

送受信器110は、受信器111および送信器112を備える。   The transceiver 110 includes a receiver 111 and a transmitter 112.

メッセージ制御部120は、送信データ入力部121、メッセージ生成部122、メッセージ検証部123、受信データ出力部124、およびMAC値生成部125として機能する。   The message control unit 120 functions as a transmission data input unit 121, a message generation unit 122, a message verification unit 123, a reception data output unit 124, and a MAC value generation unit 125.

送信データ入力部121は、ノード100が他のノードに送信すべきデータ(送信データ)を、ノード100が備える他の構成要素(図示せず)から入力する。   The transmission data input unit 121 inputs data (transmission data) that the node 100 should transmit to other nodes from other components (not shown) included in the node 100.

MAC値生成部125は、認証キーとメッセージ認証符号値の算出ロジック(以下、単に算出ロジックと記載する)とを用いて、送信データに対してメッセージ認証符号値を算出する。   The MAC value generation unit 125 calculates a message authentication code value for transmission data using an authentication key and a message authentication code value calculation logic (hereinafter simply referred to as calculation logic).

認証キーは、複数のノード100の間で共有されかつ秘匿され、第三者が知らない、所定のビット長を有する値である。一例において、認証キーは、暗号鍵である。   The authentication key is a value having a predetermined bit length that is shared and concealed among the plurality of nodes 100 and is unknown to a third party. In one example, the authentication key is an encryption key.

メッセージ認証符号値は、後述するように、メッセージ検証部123が受信データの正当性を検証するために用いる挿入用メッセージ認証符号値を生成するのに用いられる値である。   As will be described later, the message authentication code value is a value used by the message verification unit 123 to generate a message authentication code value for insertion used for verifying the validity of the received data.

算出ロジックは、同一の認証キーおよび同一の内容をもつ複数のデータに対して、同一のメッセージ認証符号値を算出するロジックである。さらに、算出されたメッセージ認証符号値からは、元の送信データを復元することはできない。即ち、算出ロジックは、不可逆性を備える。一例において、算出ロジックは、SHA−256等のハッシュ関数を用いて計算するHMACアルゴリズムである。また、一例において、算出ロジックは、ブロック暗号に基づくメッセージ認証符号アルゴリズムであるCMACアルゴリズムである。   The calculation logic is logic for calculating the same message authentication code value for a plurality of data having the same authentication key and the same content. Furthermore, the original transmission data cannot be restored from the calculated message authentication code value. That is, the calculation logic has irreversibility. In one example, the calculation logic is an HMAC algorithm that calculates using a hash function such as SHA-256. In one example, the calculation logic is a CMAC algorithm that is a message authentication code algorithm based on a block cipher.

一例において、算出ロジックは、ノード100の識別番号(ID)や、送信データのCRC(Cyclic Redundancy Check)値等のパラメータにも依存する。この場合、算出ロジックは、同一の認証キーおよびパラメータと同一の内容をもつ複数のデータとに対して、同一のメッセージ認証符号値を算出するロジックである。   In one example, the calculation logic also depends on parameters such as an identification number (ID) of the node 100 and a CRC (Cyclic Redundancy Check) value of transmission data. In this case, the calculation logic is a logic for calculating the same message authentication code value for a plurality of data having the same contents with the same authentication key and parameter.

MAC値生成部125は、算出したメッセージ認証符号値から、挿入用メッセージ認証符号値を生成する。一例において、MAC値生成部125は、メッセージ認証符号値の一部を、挿入用メッセージ認証符号値とする。例えば、MAC値生成部125は、メッセージ認証符号値の特定のオフセット位置にあるウィンドウに含まれるビット列を切り出すことにより、挿入用メッセージ認証符号値を生成する。例えば、オフセット位置は、通信システム1000全体のパラメータとして共有される所定の位置であってもよい。   The MAC value generation unit 125 generates a message authentication code value for insertion from the calculated message authentication code value. In one example, the MAC value generation unit 125 sets a part of the message authentication code value as an insertion message authentication code value. For example, the MAC value generation unit 125 generates a message authentication code value for insertion by cutting out a bit string included in a window at a specific offset position of the message authentication code value. For example, the offset position may be a predetermined position shared as a parameter of the entire communication system 1000.

メッセージ生成部122は、送信データをデータフィールドに含むメッセージ(メインメッセージ)を生成する。さらに、メッセージ生成部122は、送信データに対して、MAC値生成部125が生成した挿入用メッセージ認証符号値をデータフィールドに含むメッセージ(MACメッセージ)を生成する。一例において、メインメッセージおよびMACメッセージは、一体化されたメッセージである。   The message generator 122 generates a message (main message) including transmission data in the data field. Further, the message generator 122 generates a message (MAC message) including the message authentication code value for insertion generated by the MAC value generator 125 in the data field for the transmission data. In one example, the main message and the MAC message are unified messages.

一例において、メッセージ生成部122は、メインメッセージおよびMACメッセージを、公開鍵暗号方式を用いて、暗号化する。   In one example, the message generation unit 122 encrypts the main message and the MAC message using a public key cryptosystem.

送信器112は、メッセージ生成部122が生成したメッセージを、ネットワーク200に送出する。   The transmitter 112 sends the message generated by the message generation unit 122 to the network 200.

受信器111は、ネットワーク200から、自分宛のメッセージ(メインメッセージおよびMACメッセージ)を取得する。   The receiver 111 acquires a message (main message and MAC message) addressed to itself from the network 200.

メインメッセージおよびMACメッセージが公開鍵暗号方式を用いて暗号化されている場合、メッセージ検証部123は、公開鍵に対応する秘密鍵を用いてメインメッセージおよびMACメッセージを復号する。   When the main message and the MAC message are encrypted using a public key cryptosystem, the message verification unit 123 decrypts the main message and the MAC message using a secret key corresponding to the public key.

メッセージ検証部123は、受信器111が受信したメインメッセージから、メッセージのデータフィールドに含まれるデータ(受信データ)を抽出する。さらに、メッセージ検証部123は、受信器111が受信したMACメッセージから、メッセージのデータフィールドに含まれるメッセージ認証符号値を抽出する。   The message verification unit 123 extracts data (received data) included in the data field of the message from the main message received by the receiver 111. Further, the message verification unit 123 extracts a message authentication code value included in the data field of the message from the MAC message received by the receiver 111.

MAC値生成部125は、送信データに対してメッセージ認証符号値を算出するのに用いられる認証キー、算出ロジック、およびパラメータと同じものを用いて、受信データに対してメッセージ認証符号値を算出し、算出したメッセージ認証符号値から挿入用メッセージ認証符号値を生成する。   The MAC value generation unit 125 calculates the message authentication code value for the received data using the same authentication key, calculation logic, and parameters used to calculate the message authentication code value for the transmission data. The message authentication code value for insertion is generated from the calculated message authentication code value.

メッセージ検証部123は、受信されたMACメッセージから抽出された挿入用メッセージ認証符号値が、受信データに対して生成された挿入用メッセージ認証符号値に一致するか否かを判定することにより、受信データの正当性を検証する。ここで、データの正当性とは、データが本来の送信元以外のエンティティによって作成または改ざんされたものでないことを意味する。例えば、算出ロジックおよびパラメータが既知であっても、認証キーを知らない限り、挿入用メッセージ認証符号値を生成することができない。また、受信データおよび挿入用メッセージ認証符号値から、メッセージ認証符号値の算出に用いられた認証キーを推定することも、不可能或いは極めて困難である。これらの性質を利用して、メッセージ検証部123は、受信データの正当性を検証することができる。   The message verification unit 123 receives the message by determining whether the message authentication code value for insertion extracted from the received MAC message matches the message authentication code value for insertion generated for the received data. Verify the validity of the data. Here, the validity of data means that the data is not created or altered by an entity other than the original transmission source. For example, even if the calculation logic and parameters are known, the message authentication code value for insertion cannot be generated unless the authentication key is known. It is also impossible or extremely difficult to estimate the authentication key used for calculating the message authentication code value from the received data and the message authentication code value for insertion. Using these properties, the message verification unit 123 can verify the validity of the received data.

受信データ出力部124は、正当性が検証された受信データを、ノード100が備える他の構成要素(図示せず)に出力する。   The reception data output unit 124 outputs the reception data whose validity has been verified to another component (not shown) included in the node 100.

算出ロジック記憶装置130は、複数の算出ロジックを記憶する。複数のノード100の全ての算出ロジック記憶装置130が、同一の複数の算出ロジックを記憶することによって、複数のノード100は、複数の算出ロジックを共有する。例えば、算出ロジック記憶装置130は、フラッシュメモリ等の不揮発性の記憶媒体を備え、記憶媒体に複数の算出ロジックを、プログラムとして記憶する。   The calculation logic storage device 130 stores a plurality of calculation logics. Since all the calculation logic storage devices 130 of the plurality of nodes 100 store the same plurality of calculation logics, the plurality of nodes 100 share the plurality of calculation logics. For example, the calculation logic storage device 130 includes a nonvolatile storage medium such as a flash memory, and stores a plurality of calculation logics as programs in the storage medium.

一例において、複数の算出ロジックは、複雑度(計算コスト)および安全度が異なる。例えば、複数の算出ロジックには、ハッシュ関数MD5、SHA−1、SHA−256、SHA−384、SHA−512を用いるものが含まれる。   In one example, the plurality of calculation logics are different in complexity (calculation cost) and safety. For example, the plurality of calculation logics include those using hash functions MD5, SHA-1, SHA-256, SHA-384, and SHA-512.

一例において、算出ロジック記憶装置130は、それぞれが1つの算出ロジックに関連付けられた複数の算出ロジック識別子を、さらに記憶する。例えば、算出ロジック記憶装置130は、算出ロジックと算出ロジック識別子とをテーブルの形式で記憶する。この場合、複数のノード100の全ての算出ロジック記憶装置130が、同一のテーブルを記憶する。また、一例において、算出ロジック記憶装置130は、各算出ロジックについて、算出ロジックの複雑度を、算出ロジック識別子に関連付けて記憶する。   In one example, the calculation logic storage device 130 further stores a plurality of calculation logic identifiers, each associated with one calculation logic. For example, the calculation logic storage device 130 stores the calculation logic and the calculation logic identifier in the form of a table. In this case, all the calculation logic storage devices 130 of the plurality of nodes 100 store the same table. In one example, the calculation logic storage device 130 stores the calculation logic complexity in association with the calculation logic identifier for each calculation logic.

認証キー記憶装置140は、複数の認証キーを記憶する。複数のノード100の全ての認証キー記憶装置140が、同一の複数の認証キーを記憶することによって、複数のノード100は、複数の認証キーを共有する。一例において、認証キーは、複数のノード100の間で共有されかつ秘匿される暗号鍵である。例えば、認証キー記憶装置140は、フラッシュメモリ等の不揮発性の記憶媒体を備え、記憶媒体に複数の認証キーを記憶する。   The authentication key storage device 140 stores a plurality of authentication keys. Since all the authentication key storage devices 140 of the plurality of nodes 100 store the same plurality of authentication keys, the plurality of nodes 100 share the plurality of authentication keys. In one example, the authentication key is an encryption key that is shared and concealed among the plurality of nodes 100. For example, the authentication key storage device 140 includes a non-volatile storage medium such as a flash memory, and stores a plurality of authentication keys in the storage medium.

一例において、認証キー記憶装置140は、それぞれが1つの認証キーに関連付けられた複数の認証キー識別子を、さらに記憶する。例えば、認証キー記憶装置140は、認証キーと認証キー識別子とをテーブルの形式で記憶する。この場合、複数のノード100の全ての認証キー記憶装置140が、同一のテーブルを記憶する。   In one example, the authentication key storage device 140 further stores a plurality of authentication key identifiers, each associated with one authentication key. For example, the authentication key storage device 140 stores an authentication key and an authentication key identifier in the form of a table. In this case, all the authentication key storage devices 140 of the plurality of nodes 100 store the same table.

認証ロジック切替制御部150は、MAC値生成部125が用いる認証ロジックを、複数の認証ロジックの間で切り替える制御を行う。ここで、認証ロジックとは、算出ロジックおよび算出ロジックのパラメータとして用いられる認証キーとの組み合わせを指す。MAC値生成部125は、認証ロジック切替制御部150が切り替えた後の認証ロジックに含まれる算出ロジックおよび認証キーを用いて、送信データおよび受信データに対してメッセージ認証符号値を算出する。   The authentication logic switching control unit 150 performs control to switch the authentication logic used by the MAC value generation unit 125 among a plurality of authentication logics. Here, the authentication logic refers to a combination of calculation logic and an authentication key used as a parameter of the calculation logic. The MAC value generation unit 125 calculates a message authentication code value for transmission data and reception data using a calculation logic and an authentication key included in the authentication logic after the authentication logic switching control unit 150 switches.

認証ロジック切替制御部150は、算出ロジック切替部151および認証キー切替部152として機能する。算出ロジック切替部151は、MAC値生成部125が用いる算出ロジックを切り替える。認証キー切替部152は、MAC値生成部125が用いる算出ロジックのパラメータとして用いられる認証キーを切り替える。   The authentication logic switching control unit 150 functions as a calculation logic switching unit 151 and an authentication key switching unit 152. The calculation logic switching unit 151 switches the calculation logic used by the MAC value generation unit 125. The authentication key switching unit 152 switches an authentication key used as a parameter of calculation logic used by the MAC value generation unit 125.

認証ロジック切替制御部150による切り替えの制御は、MAC値生成部125が用いる認証ロジックが、複数のノード100の間で同一となるように行われる。例えば、マスタノード100Aの算出ロジック切替部151による算出ロジックの切り替えに同期して、スレーブノード100Bの算出ロジック切替部151が、同一の算出ロジックに切り替える。また、例えば、スレーブノード100Bの認証キー切替部152による認証キーの切り替えに同期して、スレーブノード100Bの認証キー切替部152が、同一の認証キーに切り替える。   Switching control by the authentication logic switching control unit 150 is performed so that the authentication logic used by the MAC value generation unit 125 is the same among the plurality of nodes 100. For example, the calculation logic switching unit 151 of the slave node 100B switches to the same calculation logic in synchronization with the calculation logic switching by the calculation logic switching unit 151 of the master node 100A. Further, for example, in synchronization with switching of the authentication key by the authentication key switching unit 152 of the slave node 100B, the authentication key switching unit 152 of the slave node 100B switches to the same authentication key.

一例において、スレーブノード100Bが備える算出ロジック切替部151は、ネットワーク200または専用の通信路(図示せず)を介して、マスタノード100Aが備える算出ロジック切替部151から、算出ロジックの切り替えを指示する情報を受信する。算出ロジックの切り替えを指示する情報は、例えば、切り替え先の算出ロジック(の算出ロジック識別子)と、切り替えタイミングを示す情報とを含む。次いで、スレーブノード100Bが備える算出ロジック切替部151は、受信された算出ロジック識別子に関連付けられた算出ロジックを、算出ロジック記憶装置130から取得して、切り替えタイミングを示す情報に示されたタイミングで、取得した算出ロジックに切り替える。   In one example, the calculation logic switching unit 151 included in the slave node 100B instructs switching of calculation logic from the calculation logic switching unit 151 included in the master node 100A via the network 200 or a dedicated communication path (not shown). Receive information. The information for instructing the switching of the calculation logic includes, for example, the calculation logic (the calculation logic identifier) of the switching destination and information indicating the switching timing. Next, the calculation logic switching unit 151 included in the slave node 100B acquires the calculation logic associated with the received calculation logic identifier from the calculation logic storage device 130, and at the timing indicated in the information indicating the switching timing. Switch to the obtained calculation logic.

一例において、スレーブノード100Bが備える認証キー切替部152は、ネットワーク200または専用の通信路(図示せず)を介して、マスタノード100Aが備える認証キー切替部152から、認証キーの切り替え指示する情報を受信する。認証キーの切り替えを指示する情報は、例えば、切り替え先の認証キー(の認証キー識別子)と、切り替えタイミングを示す情報とを含む。次いで、スレーブノード100Bが備える認証キー切替部152は、受信された認証キー識別子に関連付けられた認証キーを、認証キー記憶部140から取得し、切り替えタイミングを示す情報に示されたタイミングで、取得した認証キーに切り替える。   In one example, the authentication key switching unit 152 included in the slave node 100B is information that instructs to switch the authentication key from the authentication key switching unit 152 included in the master node 100A via the network 200 or a dedicated communication path (not shown). Receive. The information for instructing switching of the authentication key includes, for example, a switching destination authentication key (an authentication key identifier thereof) and information indicating switching timing. Next, the authentication key switching unit 152 included in the slave node 100B acquires the authentication key associated with the received authentication key identifier from the authentication key storage unit 140, and acquires the authentication key at the timing indicated in the information indicating the switching timing. Switch to the authentication key.

スレーブノード100Bが備える認証ロジック切替制御部150は、算出ロジックの切り替えを指示する情報と、認証キーの切り替え指示する情報とを、まとめて、認証ロジックの切り替えを指示する情報としてマスタノード100Aから受信してもよい。   The authentication logic switching control unit 150 included in the slave node 100B collectively receives information that instructs calculation logic switching and information that instructs authentication key switching from the master node 100A as information that instructs authentication logic switching. May be.

次に、スレーブノード100Bが備えないマスタノード100Aに固有の構成要素を説明する。   Next, components unique to the master node 100A that the slave node 100B does not have will be described.

マスタノード100Aは、さらに、認証ロジック決定制御部160を備える。マスタノード100AのCPUは、例えばROMから処理内容に応じたプログラムを読み出してRAMに展開し、展開したプログラムと協働して、認証ロジック決定制御部160の動作を集中制御する。認証ロジック決定制御部160は、走行経路決定部161、車両状態検出部162、セキュリティリスク検出部163、リスクレベル決定部164、および認証キー更新指示部165として機能する。   The master node 100A further includes an authentication logic determination control unit 160. The CPU of the master node 100A, for example, reads a program corresponding to the processing content from the ROM and expands it in the RAM, and performs centralized control of the operation of the authentication logic determination control unit 160 in cooperation with the expanded program. The authentication logic determination control unit 160 functions as a travel route determination unit 161, a vehicle state detection unit 162, a security risk detection unit 163, a risk level determination unit 164, and an authentication key update instruction unit 165.

走行経路決定部161は、車両の走行経路を決定する。一例において、車両がGPS(図示せず)等から車両の位置情報を取得することが可能であって、かつカーナビゲーションシステム(図示せず)等から地図情報を取得することが可能である場合、走行経路決定部161は、取得した車両の位置情報および地図情報に基づいて、車両の走行経路を決定する。他の一例において、走行経路決定部161は、自動運転システム(図示せず)が決定した走行経路を取得し、流用する。この場合、走行経路決定部161は、自動運転システムの一部であってもよい。   The travel route determination unit 161 determines the travel route of the vehicle. In one example, when the vehicle can acquire vehicle position information from a GPS (not shown) or the like and can acquire map information from a car navigation system (not shown) or the like, The travel route determination unit 161 determines the travel route of the vehicle based on the acquired position information and map information of the vehicle. In another example, the travel route determination unit 161 acquires and diverts a travel route determined by an automatic driving system (not shown). In this case, the travel route determination unit 161 may be a part of the automatic driving system.

車両状態検出部162は、車両状態を検出する。ここで、車両状態とは、車両状態検出部162が取得した情報に基づいて判断することができる車両に関する状態をさす。一例において、車両状態検出部162は、車両から取得可能である車両の制御情報に基づいて、車両状態を検出する。この場合、車両状態は、例えば、車速、ハンドルの蛇角、ギアの状態、ブレーキの状態である。   The vehicle state detection unit 162 detects the vehicle state. Here, the vehicle state refers to a state relating to a vehicle that can be determined based on information acquired by the vehicle state detection unit 162. In one example, the vehicle state detection unit 162 detects the vehicle state based on vehicle control information that can be acquired from the vehicle. In this case, the vehicle state is, for example, a vehicle speed, a steering wheel horn, a gear state, or a brake state.

一例において、車両状態検出部162は、車載センサ(図示せず)から取得した情報に基づいて、車両状態を検出する。車載センサは、例えば、車内カメラ、車外カメラ、ソナーである。この場合、車両状態は、例えば、車両の進行方向の障害物の有無、カーブの有無である。   In one example, the vehicle state detection unit 162 detects the vehicle state based on information acquired from an in-vehicle sensor (not shown). The in-vehicle sensor is, for example, an in-vehicle camera, an out-of-vehicle camera, or a sonar. In this case, the vehicle state is, for example, the presence / absence of an obstacle in the traveling direction of the vehicle and the presence / absence of a curve.

セキュリティリスク検出部163は、通信システム1000におけるセキュリティリスクを検出する。ここで、セキュリティリスクとは、ノード100のセキュリティを害する可能性のあるリスクのことである。セキュリティリスクは、例えば、ノード100の乗っ取りやなりすまし等のセキュリティ侵害、正当性が認証されたメッセージ数の全メッセージ数に対する割合の低下である。セキュリティ侵害の検出については、任意の公知の方法を適用することができる。   The security risk detection unit 163 detects a security risk in the communication system 1000. Here, the security risk is a risk that may harm the security of the node 100. The security risk is, for example, a security breach such as hijacking or spoofing of the node 100, or a decrease in the ratio of the number of messages whose validity is authenticated to the total number of messages. Any known method can be applied for detecting a security breach.

リスクレベル決定部164は、車両が置かれた状況の危険度を示すリスクレベルを決定する。一例において、リスクレベル決定部164は、車両状態検出部162から取得した車両状態に応じて、リスクレベルを決定する。   The risk level determination unit 164 determines a risk level indicating the degree of danger in the situation where the vehicle is placed. In one example, the risk level determination unit 164 determines the risk level according to the vehicle state acquired from the vehicle state detection unit 162.

一般に、車速が上がるほどサイバー攻撃による車両としての影響度が高くなる。そこで、一例において、リスクレベル決定部164は、車両状態に含まれる車速が大きいほど、より高いリスクレベルを決定する。こうすると、車速に応じてメッセージ認証のレベルを強化することができる。   In general, the higher the vehicle speed, the higher the influence of the cyber attack on the vehicle. Therefore, in one example, the risk level determination unit 164 determines a higher risk level as the vehicle speed included in the vehicle state increases. In this way, the level of message authentication can be strengthened according to the vehicle speed.

一例において、リスクレベル決定部164は、セキュリティリスク検出部163が検出したセキュリティリスクに対して、リスクレベルを決定する。例えば、セキュリティリスク検出部163がセキュリティ侵害を検出した場合、リスクレベル決定部164は、セキュリティ侵害が検出されなかった場合に決定するリスクレベルよりも高いリスクレベルを決定する。また、例えば、リスクレベル決定部164は、正当性が認証されたメッセージ数の全メッセージ数に対する割合が低いほど、高いリスクレベルを決定する。   In one example, the risk level determination unit 164 determines a risk level for the security risk detected by the security risk detection unit 163. For example, when the security risk detection unit 163 detects a security breach, the risk level determination unit 164 determines a risk level that is higher than the risk level determined when a security breach is not detected. Further, for example, the risk level determination unit 164 determines a higher risk level as the ratio of the number of messages whose validity is authenticated to the total number of messages is lower.

一例において、リスクレベル決定部164は、車両状態検出部162が検出した車両状態によって走行経路決定部161が決定した走行経路を車両が維持することが可能であるか否かを判定する。次いで、維持することが可能でないと判定した場合、リスクレベル決定部164は、維持することが可能であると判定した場合に決定するリスクレベルよりも高いリスクレベルを決定する。   In one example, the risk level determination unit 164 determines whether or not the vehicle can maintain the travel route determined by the travel route determination unit 161 according to the vehicle state detected by the vehicle state detection unit 162. Next, when it is determined that it cannot be maintained, the risk level determination unit 164 determines a risk level higher than the risk level determined when it is determined that it can be maintained.

一例において、車両状態検出部162が検出した車両状態が車両の直進または蛇行を含む。例えば、走行経路決定部161が決定した走行経路が直線経路である場合、蛇行に応じて決定されるリスクレベルは、直進に応じて決定されるリスクレベルより高い。また、例えば、走行経路決定部161が決定した走行経路が曲線経路である場合、直進に応じて決定されるリスクレベルは、蛇行に応じて決定されるリスクレベルより高い。これらの場合、車両が本来の走行経路を逸脱している可能性が高い。一般的に、車両が本来の走行経路を逸脱する理由としては、様々な理由が考えられるが、例えば、車両の制御に関わるノード100が乗っ取られた結果、車両が本来の走行経路を逸脱するように制御を受けている場合も考えられる。このような場合であっても、リスクレベル決定部164がより高いリスクレベルを決定することによって、セキュリティリスク検出部163が検出に失敗した巧妙な乗っ取りについても、間接的に対処することができる。   In one example, the vehicle state detected by the vehicle state detection unit 162 includes straight traveling or meandering of the vehicle. For example, when the travel route determined by the travel route determination unit 161 is a straight route, the risk level determined according to meandering is higher than the risk level determined according to straight travel. Further, for example, when the travel route determined by the travel route determination unit 161 is a curved route, the risk level determined according to straight travel is higher than the risk level determined according to meandering. In these cases, there is a high possibility that the vehicle deviates from the original travel route. In general, there are various reasons why the vehicle deviates from the original travel route. For example, as a result of taking over the node 100 related to the control of the vehicle, the vehicle deviates from the original travel route. It is also conceivable that it is under control. Even in such a case, the risk level determination unit 164 can determine a higher risk level, so that it is possible to indirectly cope with a clever takeover that the security risk detection unit 163 has failed to detect.

一例において、車両状態検出部162が車両の進行方向の障害物の有無を検出することができる場合、リスクレベル決定部164は、走行経路決定部161が決定した走行経路上にある障害物に応じて、リスクレベルを決定する。例えば、障害物がある場合に決定されるリスクレベルは、障害物がない場合に決定されるリスクレベルよりも高い。   In one example, when the vehicle state detection unit 162 can detect the presence or absence of an obstacle in the traveling direction of the vehicle, the risk level determination unit 164 responds to the obstacle on the travel route determined by the travel route determination unit 161. To determine the risk level. For example, the risk level determined when there is an obstacle is higher than the risk level determined when there is no obstacle.

リスクレベル決定部164は、複雑度および安全度の異なる複数の認証ロジックの中から、決定したリスクレベルに応じた認証ロジックへの切り替えを、認証ロジック切替制御部150に指示する。認証ロジック切替制御部150は、リスクレベル決定部164からの指示に応じて、MAC値生成部125が用いる認証ロジックを切り替える。   The risk level determination unit 164 instructs the authentication logic switching control unit 150 to switch to an authentication logic according to the determined risk level from a plurality of authentication logics having different complexity levels and safety levels. The authentication logic switching control unit 150 switches the authentication logic used by the MAC value generation unit 125 in response to an instruction from the risk level determination unit 164.

認証キー更新指示部165は、認証キーを更新すべきタイミングにおいて、認証キーの更新を、認証キー切替部152に指示する。一例において、認証キー更新指示部165は、定期的に、認証キーの更新を、認証キー切替部152に指示する。   The authentication key update instruction unit 165 instructs the authentication key switching unit 152 to update the authentication key at a timing when the authentication key should be updated. In one example, the authentication key update instructing unit 165 periodically instructs the authentication key switching unit 152 to update the authentication key.

一例において、リスクレベル決定部164は、決定したリスクレベルに応じて、認証キーの更新頻度を認証キー更新指示部165に指示する。認証キー更新指示部165は、指示された更新頻度に応じて、認証キーの更新を、認証キー切替部152に指示する。   In one example, the risk level determination unit 164 instructs the authentication key update instruction unit 165 to update the authentication key according to the determined risk level. The authentication key update instruction unit 165 instructs the authentication key switching unit 152 to update the authentication key according to the instructed update frequency.

なお、全てのノード100がマスタノード100Aである場合、全てのマスタノード100Aの構成要素が、構成要素毎に同じ入力を有する、同じ認証ロジック決定制御部160を備えることによっても、算出ロジックの切り替えおよび認証キーの切り替えを同期させることができる。   When all the nodes 100 are the master nodes 100A, the calculation logic can be switched by including the same authentication logic determination control unit 160 having the same input for each of the components of all the master nodes 100A. And authentication key switching can be synchronized.

図4は、本開示に係るセキュリティリスクに対するマスタノード100Aの動作フローを示すフローチャートである。この処理は、例えば車両のエンジンが起動されることに伴い、マスタノード100AのCPUがROMに格納されているプログラムを読み出して定期的に実行することにより実現される。   FIG. 4 is a flowchart illustrating an operation flow of the master node 100A with respect to the security risk according to the present disclosure. This process is realized, for example, when the CPU of the master node 100A reads a program stored in the ROM and periodically executes it when the vehicle engine is started.

ステップS11において、マスタノード100Aは、セキュリティリスクを検出したか否かを判定する(セキュリティリスク検出部163としての処理)。一例において、セキュリティリスク検出部163は、ノード100の乗っ取りまたはなりすましを検出した場合、セキュリティリスクを検出したと判定する。また、一例において、正当性が認証された受信メッセージの全ての受信メッセージに対する割合が所定の第1の割合よりも低下した場合、セキュリティリスク検出部163は、セキュリティリスクを検出したと判定する。セキュリティリスクを検出したと判定した場合(ステップS11:Yes)、ステップS12に進む。一方、セキュリティリスクを検出しなかったと判定した場合(ステップS11:No)、ステップS11に戻る。   In step S11, master node 100A determines whether or not a security risk has been detected (processing as security risk detection unit 163). In one example, the security risk detection unit 163 determines that a security risk has been detected when the hijacking or spoofing of the node 100 is detected. Further, in one example, when the ratio of the received messages whose validity is authenticated to all the received messages is lower than the predetermined first ratio, the security risk detection unit 163 determines that a security risk has been detected. When it determines with having detected the security risk (step S11: Yes), it progresses to step S12. On the other hand, when it is determined that no security risk has been detected (step S11: No), the process returns to step S11.

ステップS12において、マスタノード100Aは、検出されたセキュリティリスクに対するリスクレベルを決定する(リスクレベル決定部164としての処理)。   In step S12, master node 100A determines the risk level for the detected security risk (processing as risk level determination unit 164).

一例において、正当性が認証された受信メッセージ数の全受信メッセージ数に対する割合が所定の第2の割合よりも大きい場合、リスクレベル決定部164は、第1のリスクレベルを決定する。一方、所定の第2の割合よりも小さい場合、リスクレベル決定部164は、第1のリスクレベルよりも高い第2のリスクレベルを決定する。ここで、所定の第2の割合は、所定の第1の割合よりも大きい割合である。   In one example, when the ratio of the number of received messages whose validity is authenticated to the total number of received messages is greater than a predetermined second ratio, the risk level determination unit 164 determines a first risk level. On the other hand, when it is smaller than the predetermined second ratio, the risk level determination unit 164 determines a second risk level that is higher than the first risk level. Here, the predetermined second ratio is a ratio larger than the predetermined first ratio.

一例において、リスクレベル決定部164は、ノード100の乗っ取りまたはなりすましを検出した場合、第2のリスクレベルを決定する。   In one example, when the risk level determination unit 164 detects hijacking or impersonation of the node 100, the risk level determination unit 164 determines a second risk level.

ステップS13において、マスタノード100Aは、決定したリスクレベルが高いか否かを判定する(リスクレベル決定部164としての処理)。一例において、リスクレベル決定部164は、決定したリスクレベルが第1のリスクレベルである場合、リスクレベルが高くないと判定し、決定したリスクレベルが第2のリスクレベルである場合、リスクレベルが高いと判定する。   In step S13, the master node 100A determines whether or not the determined risk level is high (processing as the risk level determination unit 164). In one example, when the determined risk level is the first risk level, the risk level determination unit 164 determines that the risk level is not high, and when the determined risk level is the second risk level, the risk level is Judge as high.

リスクレベルが高いと判定された場合(S13:Yes)、ステップS14に進む。ステップS14において、マスタノード100Aは、複雑度および安全度の異なる複数の算出ロジックの中から、複雑度が高いが安全度も高い算出ロジックへの切り替えを指示する(リスクレベル決定部164としての処理)。これにより、決定されるリスクレベルが高いセキュリティリスクが検出された場合に、メッセージ認証の安全度がより担保される。なお、既に複雑度が高い算出ロジックが用いられている場合は、算出ロジックを切り替えなくてもよいし、複雑度が高い別の算出ロジックに切り替えてもよい。   When it is determined that the risk level is high (S13: Yes), the process proceeds to step S14. In step S <b> 14, the master node 100 </ b> A instructs switching from a plurality of calculation logics having different complexity levels and safety levels to a calculation logic having a high complexity level but a high safety level (processing as the risk level determination unit 164). ). Thereby, when a security risk having a high risk level to be determined is detected, the security level of message authentication is further secured. If a calculation logic having a high complexity is already used, the calculation logic may not be switched, or may be switched to another calculation logic having a high complexity.

算出ロジックの切り替えの指示に応じて、マスタノード100Aは、算出ロジックを切り替える(算出ロジック切替部151としての処理)。   In response to the calculation logic switching instruction, the master node 100A switches the calculation logic (processing as the calculation logic switching unit 151).

一方、リスクレベルが高くないと判定された場合(S13:No)、ステップS14をスキップしてステップS15に進む。これにより、決定されるリスクレベルが高いセキュリティリスクが既に検出されており、複雑度が高い算出ロジックが用いられている場合は、そのまま、複雑度が高い算出ロジックが用いられる。また、決定されるリスクレベルが高いセキュリティリスクが未だ検出されていない通常の場合は、複雑度が低い算出ロジックを用いることにより、ノード100の計算処理の負荷を低減することができる。   On the other hand, when it is determined that the risk level is not high (S13: No), step S14 is skipped and the process proceeds to step S15. Thereby, when a security risk with a high risk level to be determined has already been detected and a calculation logic with a high complexity is used, a calculation logic with a high complexity is used as it is. Further, in a normal case where a security risk having a high risk level to be determined has not yet been detected, the calculation processing load of the node 100 can be reduced by using a calculation logic with low complexity.

ステップS15において、マスタノード100Aは、認証キー切替部152に対して、認証キーの切り替えを指示する(リスクレベル決定部164としての処理)。指示に応じて、マスタノード100Aは、認証キーを切り替える(認証キー切替部152としての処理)。   In step S15, the master node 100A instructs the authentication key switching unit 152 to switch the authentication key (processing as the risk level determination unit 164). In response to the instruction, master node 100A switches authentication keys (processing as authentication key switching unit 152).

次いで、ステップS16において、マスタノード100Aは、スレーブノード100Bに認証ロジックの切り替えを指示する(算出ロジック切替部151および認証キー切替部152としての処理)。これにより、全てのノード100において、同一の認証キーおよび算出ロジックに切り替えられる。なお、全てのノード100がマスタノード100Aであるマルチマスタ構成の場合、ステップS16はスキップすることができる。   Next, in step S16, the master node 100A instructs the slave node 100B to switch authentication logic (processing as the calculation logic switching unit 151 and the authentication key switching unit 152). Thereby, in all the nodes 100, it switches to the same authentication key and calculation logic. In the case of a multi-master configuration in which all nodes 100 are master nodes 100A, step S16 can be skipped.

図5は、セキュリティリスクのリスクレベルと認証ロジックとの間の関係の説明図である。図5に示される関係は、図4に示されるフローチャートにおいて用いられる。   FIG. 5 is an explanatory diagram of the relationship between the risk level of the security risk and the authentication logic. The relationship shown in FIG. 5 is used in the flowchart shown in FIG.

図5に示されるように、決定されたリスクレベルが低いと判断された場合、算出ロジックの複雑度の低い認証ロジック1に切り替えられる。決定されたリスクレベルが高いと判断された場合、算出ロジックの複雑度の高い認証ロジック2に切り替えられる。   As shown in FIG. 5, when it is determined that the determined risk level is low, the authentication logic 1 with a low complexity of the calculation logic is switched. When it is determined that the determined risk level is high, the authentication logic 2 having a high complexity of calculation logic is switched to.

このように、検出されたセキュリティリスクに対して決定されたリスクレベルの高さに応じて、複数の認証ロジックを使い分けることができるので、決定されるリスクレベルの低い通常の場合、複雑度の低い算出ロジックを用いることができる。   In this way, since multiple authentication logics can be used properly according to the level of the risk level determined for the detected security risk, the complexity is low in the normal case where the determined risk level is low Calculation logic can be used.

図6は、本開示に係る車両状態の変化に対するマスタノード100Aの動作フローを示すフローチャートである。この処理は、例えば車両のエンジンが起動されることに伴い、マスタノード100AのCPUがROMに格納されているプログラムを読み出して定期的に実行することにより実現される。   FIG. 6 is a flowchart showing an operation flow of the master node 100A in response to a change in the vehicle state according to the present disclosure. This process is realized, for example, when the CPU of the master node 100A reads a program stored in the ROM and periodically executes it when the vehicle engine is started.

ステップS21において、マスタノード100Aは、車両状態の変化を検出したか否かを判定する(車両状態検出部162としての処理)。一例において、車両状態検出部162は、車速の変化を検出した場合、車両状態の変化を検出したと判定する。車両状態の変化を検出したと判定した場合(ステップS21:Yes)、ステップS22に進む。一方、車両状態の変化を検出しなかった判定した場合(ステップS21:No)、ステップS21に戻る。   In step S <b> 21, master node 100 </ b> A determines whether or not a change in the vehicle state has been detected (processing as vehicle state detection unit 162). In one example, the vehicle state detection unit 162 determines that a change in the vehicle state has been detected when a change in the vehicle speed is detected. When it determines with having detected the change of the vehicle state (step S21: Yes), it progresses to step S22. On the other hand, when it determines with not detecting the change of a vehicle state (step S21: No), it returns to step S21.

ステップS22において、マスタノード100Aは、変化後の車両状態に対するリスクレベルを決定する(リスクレベル決定部164としての処理)。一例において、車速が小さい(例えば、時速60km/h未満である)場合、リスクレベル決定部164は、第3のリスクレベルを決定する。また、車速が中くらい(例えば、時速60km/h以上100km/h未満)である場合、リスクレベル決定部164は、第3のリスクレベルより高い第4のリスクレベルを決定する。また、車速が大きい(例えば、100km/h以上である)場合、リスクレベル決定部164は、第4のリスクレベルより高い第5のリスクレベルを決定する。   In step S <b> 22, master node 100 </ b> A determines a risk level for the changed vehicle state (processing as risk level determination unit 164). In one example, when the vehicle speed is low (for example, less than 60 km / h), the risk level determination unit 164 determines the third risk level. In addition, when the vehicle speed is medium (for example, 60 km / h or more and less than 100 km / h), the risk level determination unit 164 determines a fourth risk level that is higher than the third risk level. When the vehicle speed is high (for example, 100 km / h or more), the risk level determination unit 164 determines a fifth risk level that is higher than the fourth risk level.

ステップS23において、マスタノード100Aは、決定したリスクレベルの高さを判定する(リスクレベル決定部164としての処理)。   In step S23, the master node 100A determines the height of the determined risk level (processing as the risk level determination unit 164).

リスクレベルが低いと判定した場合(例えば、決定したリスクレベルが第3のリスクレベルである場合)、ステップS24−1に進む。リスクレベルが中くらいであると判定した場合(例えば、決定したリスクレベルが第4のリスクレベルである場合)、ステップS24−2に進む。リスクレベルが高いと判定した場合(例えば、決定したリスクレベルが第5のリスクレベルである場合)、ステップS24−3に進む。   When it is determined that the risk level is low (for example, when the determined risk level is the third risk level), the process proceeds to step S24-1. When it is determined that the risk level is medium (for example, when the determined risk level is the fourth risk level), the process proceeds to step S24-2. When it is determined that the risk level is high (for example, when the determined risk level is the fifth risk level), the process proceeds to step S24-3.

ステップS24−1に進んだ場合、マスタノード100Aは、複雑度および安全度の異なる複数の算出ロジックの中から、安全度も低いが複雑度も低い算出ロジックへの切り替えを指示する(リスクレベル決定部164としての処理)。なお、既に複雑度が低い算出ロジックが用いられている場合は、算出ロジックを切り替えなくてもよいし、複雑度が低い別の算出ロジックに切り替えてもよい。   When the process proceeds to step S24-1, the master node 100A instructs switching from a plurality of calculation logics having different complexity and safety levels to a calculation logic having a low safety level but a low complexity level (risk level determination). Processing as the unit 164). If a calculation logic with low complexity is already used, the calculation logic may not be switched, or may be switched to another calculation logic with low complexity.

ステップS24−2に進んだ場合、マスタノード100Aは、複雑度および安全度の異なる複数の算出ロジックの中から、複雑度が中くらいであり安全度も中くらいである算出ロジックへの切り替えを指示する(リスクレベル決定部164としての処理)。なお、既に複雑度が中くらいである算出ロジックが用いられている場合は、算出ロジックを切り替えなくてもよいし、複雑度が中くらいである別の算出ロジックに切り替えてもよい。   When the process proceeds to step S24-2, the master node 100A instructs switching from a plurality of calculation logics having different complexity levels and safety levels to a calculation logic having a medium complexity level and a medium safety level. (Processing as the risk level determination unit 164). If a calculation logic with a medium complexity is already used, the calculation logic may not be switched, or may be switched to another calculation logic with a medium complexity.

ステップS24−3に進んだ場合、マスタノード100Aは、複雑度および安全度の異なる複数の算出ロジックの中から、複雑度が高いが安全度も高い算出ロジックへの切り替えを指示する(リスクレベル決定部164としての処理)。なお、既に複雑度が高い算出ロジックが用いられている場合は、算出ロジックを切り替えなくてもよいし、複雑度が高い別の算出ロジックに切り替えてもよい。   In the case of proceeding to Step S24-3, the master node 100A instructs to switch to a calculation logic having a high complexity but a high safety from a plurality of calculation logics having different complexity and safety (risk level determination). Processing as the unit 164). If a calculation logic having a high complexity is already used, the calculation logic may not be switched, or may be switched to another calculation logic having a high complexity.

算出ロジックの切り替えの指示に応じて、マスタノード100Aは、算出ロジックを切り替える(算出ロジック切替部151としての処理)。   In response to the calculation logic switching instruction, the master node 100A switches the calculation logic (processing as the calculation logic switching unit 151).

ステップS25において、マスタノード100Aは、認証キー切替部152に対して、認証キーの切り替えを指示する(リスクレベル決定部164としての処理)。指示に応じて、マスタノード100Aは、認証キーを切り替える(認証キー切替部152としての処理)。   In step S25, the master node 100A instructs the authentication key switching unit 152 to switch the authentication key (processing as the risk level determination unit 164). In response to the instruction, master node 100A switches authentication keys (processing as authentication key switching unit 152).

次いで、ステップS26において、マスタノード100Aは、スレーブノード100Bに認証ロジックの切り替えを指示する(算出ロジック切替部151および認証キー切替部152としての処理)。これにより、全てのノード100において、同一の認証キーおよび算出ロジックに切り替えられる。なお、全てのノード100がマスタノード100Aであるマルチマスタ構成の場合、ステップS26はスキップすることができる。   Next, in step S26, the master node 100A instructs the slave node 100B to switch authentication logic (processing as the calculation logic switching unit 151 and the authentication key switching unit 152). Thereby, in all the nodes 100, it switches to the same authentication key and calculation logic. Note that in the case of a multi-master configuration in which all nodes 100 are master nodes 100A, step S26 can be skipped.

図7は、車両状態のリスクレベルと認証ロジックとの間の関係の説明図である。図7に示される関係は、図6に示されるフローチャートにおいて用いられる。   FIG. 7 is an explanatory diagram of the relationship between the risk level of the vehicle state and the authentication logic. The relationship shown in FIG. 7 is used in the flowchart shown in FIG.

図7に示されるように、車両状態に対して決定されたリスクレベルが低いと判定された場合、算出ロジックの複雑度の低い認証ロジック1に切り替えられる。車両状態に対して決定されたリスクレベルが中くらいであると判定された場合、算出ロジックの複雑度の中くらいである認証ロジック2に切り替えられる。車両状態に対して決定されたリスクレベルが高いと判定された場合、算出ロジックの複雑度の高い認証ロジック3に切り替えられる。   As shown in FIG. 7, when it is determined that the risk level determined for the vehicle state is low, the authentication logic 1 with a low complexity of the calculation logic is switched. If the risk level determined for the vehicle state is determined to be medium, the authentication logic 2 is switched to the medium complexity of the calculation logic. When it is determined that the risk level determined for the vehicle state is high, the authentication logic 3 is switched to a high complexity of the calculation logic.

このように、検出された車両状態に対して決定されたリスクレベルの高さに応じて、複数の認証ロジックを使い分けることができる。決定されたリスクレベルの低い通常の車両状態の場合、複雑度の低い算出ロジックを用いることができる。   In this manner, a plurality of authentication logics can be used properly according to the level of the risk level determined for the detected vehicle state. In the case of a normal vehicle state with a determined low risk level, a low-complexity calculation logic can be used.

このように、第1の実施の形態に係る通信システム1000は、ネットワーク200に接続された複数のノード100を備える車両の通信システム1000であって、複数のノード100の各ノード100−iは、複数のノード100の他ノード100−jから受信したメッセージの正当性を認証するのに用いられる認証ロジックが複数のノード100の間で同一となるように、認証ロジックを複数の認証ロジックの間で切り替える認証ロジック切替制御部150と、認証ロジックを用いてメッセージの正当性を認証するメッセージ認証部123と、を備える構成を採る。   As described above, the communication system 1000 according to the first embodiment is a vehicle communication system 1000 including a plurality of nodes 100 connected to the network 200, and each node 100-i of the plurality of nodes 100 includes: The authentication logic is set between the plurality of authentication logics so that the authentication logic used to authenticate the validity of the message received from the other node 100-j of the plurality of nodes 100 is the same among the plurality of nodes 100. The configuration includes an authentication logic switching control unit 150 that switches, and a message authentication unit 123 that authenticates the validity of a message using the authentication logic.

本開示によれば、認証ロジックが複数の認証ロジックの間で切り替えられることにより、不正アクセスおよび認証ロジックの解析が困難である通信システムを提供することができる。また、車載LANの既存の通信規格にそのまま適用することができるので、拡張性に優れた通信システムを提供することができる。また、決定されたリスクレベルに応じて適度な複雑度を備える認証ロジックに切り替えることができるので、状況の変化に応じて適度な難読化を行うことができる。   According to the present disclosure, it is possible to provide a communication system in which unauthorized access and analysis of authentication logic are difficult by switching authentication logic between a plurality of authentication logics. Moreover, since it can be applied as it is to the existing communication standard of the in-vehicle LAN, it is possible to provide a communication system with excellent extensibility. Moreover, since it can switch to the authentication logic provided with moderate complexity according to the determined risk level, moderate obfuscation can be performed according to the change of a condition.

本開示によれば、車両状態(安全上のリスクが高い走行状態か否か)、サイバー攻撃状況、不正アクセス回数、不正アクセス時のコマンドが及ぼす影響の大きさ等に応じて、動的に認証ロジックを切り替えることができ、適切なセキュリティレベルに切り替えることができるので、セキュリティリスクへ柔軟に対応することができる。   According to the present disclosure, dynamic authentication is performed according to the vehicle state (whether the vehicle is in a driving state with a high safety risk), the cyber attack status, the number of unauthorized accesses, the magnitude of the influence of unauthorized commands, etc. Since the logic can be switched and an appropriate security level can be switched, the security risk can be flexibly dealt with.

また、本開示によれば、通信システム1000に接続されたノード100毎のカウンタを各ノードが備える必要がないので、管理が容易であり、拡張性も高い。   Further, according to the present disclosure, since each node does not need to have a counter for each node 100 connected to the communication system 1000, management is easy and scalability is high.

このように、本開示は、通信データのプロージビリティを検証するための1つの方法を提供する。本開示によれば、一定の秘匿性を維持するように通信メッセージ上にメッセージ認証用データを組み込むことができる。また、本開示によれば、セキュリティリスク、車両状態等に応じて認証処理を段階的に変化させる柔軟性を持ったセキュリティ対策を提供することができる。   Thus, the present disclosure provides one method for verifying the probability of communication data. According to the present disclosure, message authentication data can be incorporated into a communication message so as to maintain a certain level of confidentiality. Further, according to the present disclosure, it is possible to provide a security measure that has the flexibility to change the authentication process in stages according to the security risk, the vehicle state, and the like.

図8は、コンピュータのハードウェア構成の一例を示す図である。上述した各実施の形態および各変形例における各部の機能は、コンピュータ2100が実行するプログラムにより実現される。   FIG. 8 is a diagram illustrating an example of a hardware configuration of a computer. The function of each part in each embodiment and each modification described above is realized by a program executed by the computer 2100.

図8に示すように、コンピュータ2100は、入力ボタン、タッチパッドなどの入力装置2101、ディスプレイ、スピーカなどの出力装置2102、CPU(Central Processing Unit)2103、ROM(Read Only Memory)2104、RAM(Random Access Memory)2105を備える。また、コンピュータ2100は、ハードディスク装置、SSD(Solid State Drive)などの記憶装置2106、DVD−ROM(Digital Versatile Disk Read Only Memory)、USB(Universal Serial Bus)メモリなどの記録媒体から情報を読み取る読取装置2107、ネットワークを介して通信を行う送受信装置2108を備える。上述した各部は、バス2109により接続される。   As shown in FIG. 8, a computer 2100 includes an input device 2101 such as an input button and a touch pad, an output device 2102 such as a display and a speaker, a CPU (Central Processing Unit) 2103, a ROM (Read Only Memory) 2104, and a RAM (Random Access Memory) 2105 is provided. The computer 2100 also reads information from a recording medium such as a hard disk device, a storage device 2106 such as an SSD (Solid State Drive), a DVD-ROM (Digital Versatile Disk Read Only Memory), or a USB (Universal Serial Bus) memory. 2107, a transmission / reception device 2108 that performs communication via a network is provided. Each unit described above is connected by a bus 2109.

そして、読取装置2107は、上記各部の機能を実現するためのプログラムを記録した記録媒体からそのプログラムを読み取り、記憶装置2106に記憶させる。あるいは、送受信装置2108が、ネットワークに接続されたサーバ装置と通信を行い、サーバ装置からダウンロードした上記各部の機能を実現するためのプログラムを記憶装置2106に記憶させる。   Then, the reading device 2107 reads the program from a recording medium on which a program for realizing the functions of the above-described units is recorded, and stores the program in the storage device 2106. Alternatively, the transmission / reception device 2108 communicates with the server device connected to the network, and causes the storage device 2106 to store a program for realizing the function of each unit downloaded from the server device.

そして、CPU2103が、記憶装置2106に記憶されたプログラムをRAM2105にコピーし、そのプログラムに含まれる命令をRAM2105から順次読み出して実行することにより、上記各部の機能が実現される。また、プログラムを実行する際、RAM2105または記憶装置2106には、各実施の形態で述べた各種処理で得られた情報が記憶され、適宜利用される。   Then, the CPU 2103 copies the program stored in the storage device 2106 to the RAM 2105, and sequentially reads out and executes the instructions included in the program from the RAM 2105, thereby realizing the functions of the above-described units. Further, when executing the program, the RAM 2105 or the storage device 2106 stores information obtained by various processes described in each embodiment, and is used as appropriate.

(その他の実施の形態)
第1の実施の形態においては、走行経路決定部161、車両状態検出部162、およびセキュリティリスク検出部163は、いずれもマスタノード100Aに含まれる。これに代えて、走行経路決定部161、車両状態検出部162、およびセキュリティリスク検出部163の少なくとも1つがノード100と別体に設けられる実施の形態も考えられる。さらに、走行経路決定部161が決定する走行経路、車両状態検出部162が検出する車両状態、およびセキュリティリスク検出部163が検出するセキュリティリスクを、それらを示す情報の形式で、ノード100が外部の構成要素から取得する実施の形態も考えられる。例えば、車両が自動運転車両である場合、ノード100は、自動運転を司る自動運転システムから、走行経路を取得してもよい。 (Other embodiments)
In the first embodiment, travel route determination unit 161, vehicle state detection unit 162, and security risk detection unit 163 are all included in master node 100A. Instead of this, an embodiment in which at least one of the travel route determination unit 161, the vehicle state detection unit 162, and the security risk detection unit 163 is provided separately from the node 100 is also conceivable. Further, the travel route determined by the travel route determination unit 161, the vehicle state detected by the vehicle state detection unit 162, and the security risk detected by the security risk detection unit 163 in the form of information indicating them, and the node 100 is externally Embodiments obtained from the components are also conceivable. For example, when the vehicle is an automatic driving vehicle, the node 100 may acquire a travel route from an automatic driving system that controls automatic driving.

上記の実施の形態においては、リスクレベル決定部164が、車両の走行経路、車両状態、およびセキュリティリスクに基づいて、リスクレベルを決定している。車両の走行経路、車両状態、およびセキュリティリスクについて、監視対象とすべき範囲も動的に切り替える実施の形態も考えられる。例えば、車速が所定の速度よりも低い場合、車両の走行経路を監視対象から外す、或いは検出すべき障害物までの距離を短くしてもよい。こうすると、マスタノード100Aの計算処理の負荷をさらに低減することができる。   In the above embodiment, the risk level determination unit 164 determines the risk level based on the travel route of the vehicle, the vehicle state, and the security risk. An embodiment is also conceivable in which the range to be monitored is dynamically switched with respect to the vehicle travel route, vehicle state, and security risk. For example, when the vehicle speed is lower than a predetermined speed, the travel route of the vehicle may be excluded from the monitoring target, or the distance to the obstacle to be detected may be shortened. This can further reduce the calculation processing load of the master node 100A.

上記の実施の形態においては、2段階または3段階のリスクレベルを決定する場合について説明している。これに加えて、4段階以上のリスクレベルを決定する実施の形態も考えられる。また、算出ロジックの複雑度も、4段階以上あってもよい。   In the above-described embodiment, the case where the risk level of two or three levels is determined has been described. In addition to this, an embodiment in which four or more levels of risk are determined is also conceivable. Further, the complexity of the calculation logic may be four or more.

上記の実施の形態においては、認証ロジックを切り替える場合、認証キーを必ず切り替えている。これに代えて、認証ロジックを切り替える場合に、認証ロジックに含まれる算出ロジックのみを切り替えて、認証キーを切り替えない実施の形態も考えられる。   In the above embodiment, when switching the authentication logic, the authentication key is always switched. Instead of this, when switching the authentication logic, an embodiment in which only the calculation logic included in the authentication logic is switched and the authentication key is not switched is also conceivable.

本開示に係る通信システムは、車載LANに適用されるのに好適である。   The communication system according to the present disclosure is suitable for being applied to an in-vehicle LAN.

100,100−1,100−2,…,100−n ノード
100A マスタノード
100B スレーブノード
110,110−1,110−2,…,110−n 送受信器
111 受信器
112 送信器
120 メッセージ制御部
121 送信データ入力部
122 メッセージ生成部
123 メッセージ検証部
124 受信データ出力部
125 MAC値生成部
130 算出ロジック記憶装置
140 認証キー記憶装置
150 認証ロジック切替制御部
151 算出ロジック切替部
152 認証キー切替部
160 認証ロジック決定制御部
161 走行経路決定部
162 車両状態検出部
163 セキュリティリスク検出部
164 リスクレベル決定部
165 認証キー更新指示部
200 ネットワーク 100, 100-1, 100-2,..., 100-n Node 100A Master node 100B Slave node 110, 110-1, 110-2,..., 110-n Transceiver 111 Receiver 112 Transmitter 120 Message control unit 121 Transmission data input unit 122 Message generation unit 123 Message verification unit 124 Reception data output unit 125 MAC value generation unit 130 Calculation logic storage device 140 Authentication key storage device 150 Authentication logic switching control unit 151 Calculation logic switching unit 152 Authentication key switching unit 160 Authentication Logic determination control unit 161 Travel route determination unit 162 Vehicle state detection unit 163 Security risk detection unit 164 Risk level determination unit 165 Authentication key update instruction unit 200 Network

Claims (17)

ネットワークに接続された複数のノードを備える通信システムであって、前記複数のノードの各ノードは、
前記複数のノードの他ノードから受信したメッセージの正当性を認証するのに用いられる認証ロジックが前記複数のノードの間で同一となるように、前記認証ロジックを複数の認証ロジックの間で切り替える認証ロジック切替制御部と、
前記認証ロジックを用いて前記メッセージの正当性を認証するメッセージ認証部と、
を備える、通信システム。 A communication system comprising a plurality of nodes connected to a network, each node of the plurality of nodes,
Authentication for switching the authentication logic between the plurality of authentication logics such that the authentication logic used to authenticate the validity of the messages received from other nodes of the plurality of nodes is the same among the plurality of nodes. A logic switching control unit;
A message authentication unit that authenticates the validity of the message using the authentication logic;
A communication system comprising: 前記複数のノードの少なくとも1つのノードが、車両が置かれた状況の危険度を示すリスクレベルを決定するリスクレベル決定部を備え、
前記複数のノードの前記認証ロジック切替制御部は、前記リスクレベルに応じて前記認証ロジックを切り替える、請求項1に記載の通信システム。 At least one of the plurality of nodes includes a risk level determining unit that determines a risk level indicating a degree of danger of a situation where a vehicle is placed;
The communication system according to claim 1, wherein the authentication logic switching control unit of the plurality of nodes switches the authentication logic according to the risk level. 前記複数のノードの前記認証ロジック切替制御部は、より高い前記リスクレベルに対して、より複雑度の高い前記認証ロジックに切り替える、請求項2に記載の通信システム。   The communication system according to claim 2, wherein the authentication logic switching control unit of the plurality of nodes switches to the authentication logic having a higher complexity for the higher risk level. 前記複数のノードの少なくとも1つのノードが、前記通信システムにおけるセキュリティリスクを検出するセキュリティリスク検出部を備え、
前記リスクレベル決定部は、検出された前記セキュリティリスクに対して前記リスクレベルを決定する、請求項2または3に記載の通信システム。 At least one node of the plurality of nodes includes a security risk detection unit that detects a security risk in the communication system,
The communication system according to claim 2 or 3, wherein the risk level determination unit determines the risk level with respect to the detected security risk. 前記セキュリティリスクは、乗っ取りまたはなりすましである、請求項4に記載の通信システム。   The communication system according to claim 4, wherein the security risk is hijacking or impersonation. 前記車両に関する状態である車両状態を検出する車両状態検出部を備え、
前記リスクレベル決定部は、前記車両状態に応じて前記リスクレベルを決定する、請求項2から5のいずれかに記載の通信システム。 A vehicle state detection unit for detecting a vehicle state that is a state relating to the vehicle;
The communication system according to claim 2, wherein the risk level determination unit determines the risk level according to the vehicle state. 前記車両状態は、車速を含み、
前記リスクレベル決定部は、前記車速が大きいほどより高い前記リスクレベルを決定する、請求項6に記載の通信システム。 The vehicle state includes a vehicle speed,
The communication system according to claim 6, wherein the risk level determination unit determines the higher risk level as the vehicle speed increases. 前記車両の走行経路を決定する走行経路決定部を備え、
前記リスクレベル決定部は、前記車両が前記車両状態によって前記走行経路を維持することが可能であるか否かを判定することにより、前記リスクレベルを決定する、請求項6または7に記載の通信システム。 A travel route determination unit for determining a travel route of the vehicle;
The communication according to claim 6 or 7, wherein the risk level determination unit determines the risk level by determining whether or not the vehicle can maintain the travel route according to the vehicle state. system. 前記車両状態は、前記車両の直進または蛇行を含み、
前記走行経路が直線経路である場合、前記蛇行に応じて決定される前記リスクレベルは、前記直進に応じて決定される前記リスクレベルより高い、請求項8に記載の通信システム。 The vehicle state includes straight traveling or meandering of the vehicle,
The communication system according to claim 8, wherein when the travel route is a straight route, the risk level determined according to the meander is higher than the risk level determined according to the straight traveling. 前記車両状態は、前記車両の直進または蛇行を含み、
前記走行経路が曲線経路である場合、前記直進に応じて決定される前記リスクレベルは、前記蛇行に応じて決定される前記リスクレベルより高い、請求項8に記載の通信システム。 The vehicle state includes straight traveling or meandering of the vehicle,
The communication system according to claim 8, wherein when the travel route is a curved route, the risk level determined according to the straight traveling is higher than the risk level determined according to the meandering. 前記車両状態検出部は、前記車両の進行方向の障害物を検出するセンサを備え、
前記リスクレベル決定部は、前記走行経路上にある前記障害物に応じて、前記リスクレベルを決定する、請求項8から10のいずれかに記載の通信システム。 The vehicle state detection unit includes a sensor that detects an obstacle in the traveling direction of the vehicle,
The communication system according to claim 8, wherein the risk level determination unit determines the risk level according to the obstacle on the travel route. 前記認証ロジックは、認証キーと、前記認証キーを用いて前記メッセージに対するメッセージ認証符号値を算出するために用いる算出ロジックと、を含み、
前記メッセージ認証部は、前記認証キーおよび前記算出ロジックを用いて前記メッセージに対して算出された前記メッセージ認証符号値の少なくとも一部が前記メッセージに含まれるメッセージ認証符号値の少なくとも一部と一致するか否かを判定することにより、前記メッセージの正当性を認証する、請求項1から11のいずれかに記載の通信システム。 The authentication logic includes an authentication key and a calculation logic used to calculate a message authentication code value for the message using the authentication key,
The message authentication unit matches at least a part of the message authentication code value calculated for the message using the authentication key and the calculation logic with at least a part of the message authentication code value included in the message. The communication system according to claim 1, wherein the validity of the message is authenticated by determining whether or not the message is valid. 前記複数のノードの少なくとも1つのノードが、認証キーの更新を指示する認証キー更新指示部を備え、
前記少なくとも1つのノードの前記認証ロジック切替制御部は、前記指示に応じて前記認証キーを切り替える、請求項12に記載の通信システム。 At least one of the plurality of nodes includes an authentication key update instruction unit that instructs to update an authentication key;
The communication system according to claim 12, wherein the authentication logic switching control unit of the at least one node switches the authentication key according to the instruction. 前記認証ロジック切替制御部は、前記認証ロジックの切り替えを指示する情報の前記他ノードからの受信に応じて、前記認証ロジックを切り替える、請求項1から13のいずれかに記載の通信システム。   The communication system according to claim 1, wherein the authentication logic switching control unit switches the authentication logic in response to reception from the other node of information instructing switching of the authentication logic. ネットワークに接続された複数のノードを備える通信システムにおける通信方法であって、
前記複数のノードの他ノードから受信したメッセージの正当性を認証するのに用いられる認証ロジックが前記複数のノードの間で同一となるように、前記認証ロジックを複数の認証ロジックの間で切り替えるステップと、
前記認証ロジックを用いて前記メッセージの正当性を認証するステップと、
を備える、通信方法。 A communication method in a communication system comprising a plurality of nodes connected to a network,
Switching the authentication logic between the plurality of authentication logics such that the authentication logic used to authenticate the validity of messages received from other nodes of the plurality of nodes is the same between the plurality of nodes. When,
Authenticating the validity of the message using the authentication logic;
A communication method comprising: ネットワークに接続された複数のノードを備える通信システムにおいて、前記複数のノードがそれぞれ備えるコンピュータに、
前記複数のノードの他ノードから受信したメッセージの正当性を認証するのに用いられる認証ロジックが前記複数のノードの間で同一となるように、前記認証ロジックを複数の認証ロジックの間で切り替えるステップと、
前記認証ロジックを用いて前記メッセージの正当性を認証するステップと、
を実行させる、プログラム。 In a communication system including a plurality of nodes connected to a network, the computers provided in each of the plurality of nodes,
Switching the authentication logic between the plurality of authentication logics such that the authentication logic used to authenticate the validity of messages received from other nodes of the plurality of nodes is the same between the plurality of nodes. When,
Authenticating the validity of the message using the authentication logic;
A program that executes コンピュータ読み取り可能なプログラムを記録した非一時的記録媒体であって、
ネットワークに接続された複数のノードを備える通信システムにおいて、前記複数のノードがそれぞれ備えるコンピュータに、
前記複数のノードの他ノードから受信したメッセージの正当性を認証するのに用いられる認証ロジックが前記複数のノードの間で同一となるように、前記認証ロジックを複数の認証ロジックの間で切り替えるステップと、
前記認証ロジックを用いて前記メッセージの正当性を認証するステップと、
を実行させる、プログラムを記録した非一時的記録媒体。 A non-transitory recording medium storing a computer-readable program,
In a communication system including a plurality of nodes connected to a network, the computers provided in each of the plurality of nodes,
Switching the authentication logic between the plurality of authentication logics such that the authentication logic used to authenticate the validity of messages received from other nodes of the plurality of nodes is the same between the plurality of nodes. When,
Authenticating the validity of the message using the authentication logic;
A non-transitory recording medium on which a program is recorded.
JP2017015459A 2017-01-31 2017-01-31 Communication system, communication method, program, and non-temporary storage medium Pending JP2018125659A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017015459A JP2018125659A (en) 2017-01-31 2017-01-31 Communication system, communication method, program, and non-temporary storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017015459A JP2018125659A (en) 2017-01-31 2017-01-31 Communication system, communication method, program, and non-temporary storage medium

Publications (1)

Publication Number Publication Date
JP2018125659A true JP2018125659A (en) 2018-08-09

Family

ID=63109727

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017015459A Pending JP2018125659A (en) 2017-01-31 2017-01-31 Communication system, communication method, program, and non-temporary storage medium

Country Status (1)

Country Link
JP (1) JP2018125659A (en)

Similar Documents

Publication Publication Date Title
US11665004B2 (en) Systems and methods for enabling trusted communications between controllers
JP5949572B2 (en) Vehicle improper state detection method, control method in vehicle system, and system
US10279775B2 (en) Unauthorized access event notification for vehicle electronic control units
JP2010011400A (en) Cipher communication system of common key system
US10482255B2 (en) Controlled secure code authentication
EP3506553A1 (en) Vehicle information collection system, vehicle-mounted computer, vehicle information collection device, vehicle information collection method, and computer program
JP6523143B2 (en) Data distribution device, communication system, mobile unit and data distribution method
JP5772692B2 (en) In-vehicle control device authentication system and in-vehicle control device authentication method
JP2017174111A (en) In-vehicle gateway device, storage control method, and program
WO2014196181A1 (en) Data authentication device, and data authentication method
US10461938B2 (en) Method for manipulation protection
WO2019159593A1 (en) Electronic control device and communication system
JP2013138304A (en) Security system and key data operation method
JP6190404B2 (en) Receiving node, message receiving method and computer program
US12120506B2 (en) Devices, methods, and computer program for releasing transportation vehicle components, and vehicle-to-vehicle communication module
JP2016134671A (en) Data generation device, communication device, communication system, mobile, data generation method and program
JP6233041B2 (en) Wireless communication apparatus and wireless communication method
US20220377068A1 (en) Vehicle control device, vehicle, vehicle control method, and non-transitory recording medium
KR101780280B1 (en) Method of providing secure odometer management by changing secret key and appratus for implementing the same
JP2016134834A (en) In-vehicle gateway device and in-vehicle network system
KR20210110408A (en) Method, device, and computer-readable storage medium comprising instructions for signing measurement values of a sensor
Giri et al. An integrated safe and secure approach for authentication and secret key establishment in automotive cyber-physical systems
US10263976B2 (en) Method for excluding a participant from a group having authorized communication
JP2013142963A (en) Authentication system for on-vehicle control device
JP2018125659A (en) Communication system, communication method, program, and non-temporary storage medium