[go: up one dir, main page]

JP2005203882A - Communication system and key transmitting method - Google Patents

Communication system and key transmitting method Download PDF

Info

Publication number
JP2005203882A
JP2005203882A JP2004005781A JP2004005781A JP2005203882A JP 2005203882 A JP2005203882 A JP 2005203882A JP 2004005781 A JP2004005781 A JP 2004005781A JP 2004005781 A JP2004005781 A JP 2004005781A JP 2005203882 A JP2005203882 A JP 2005203882A
Authority
JP
Japan
Prior art keywords
key
communication device
communication
communication system
key transmission
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004005781A
Other languages
Japanese (ja)
Inventor
Takehiro Iwamura
剛宏 岩村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2004005781A priority Critical patent/JP2005203882A/en
Publication of JP2005203882A publication Critical patent/JP2005203882A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To prevent deterioration in security level of cipher communication in a vehicle. <P>SOLUTION: In a communication system consisting of a plurality of electronic control units (ECU) 10(1), 10(2) and so forth which are mounted on an automobile, the ignition key of the automobile is turned on, ECU 10(1) as a center node transmits a session key used for encryption transmission to the other ECUs 10(2), 10(3) and so forth. On the other hand, the ECU 10(2) as a backup node performs an inquiry to the ECU 10(1), if the session key is not transmitted when a predetermined time elapses after the ignition switch is turned on. Then, as a result of inquiry, if it is judged that the ECU 10(1) is in a state that it cannot transmit the session key, the ECU 10(2) transmits the session key instead of the ECU 10(1). <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、車両に搭載された複数の通信装置間で行われる暗号通信に関するものである。   The present invention relates to encrypted communication performed between a plurality of communication devices mounted on a vehicle.

従来、通信データの盗聴や改ざん等を防止するための技術として、送信側と受信側とで暗号鍵を共有し、送信側が、その暗号鍵を用いてデータを暗号化して送信し、受信側が、受信したデータをその暗号鍵を用いて復号化する暗号通信が知られている。   Conventionally, as a technique for preventing eavesdropping, tampering, etc. of communication data, the transmission side and the reception side share an encryption key, the transmission side encrypts the data using the encryption key, and the reception side Cryptographic communication that decrypts received data using its encryption key is known.

例えば、センタ装置が、あらかじめ記憶している複数の暗号鍵の中から乱数に従い1つの暗号鍵をランダムに選択して端末装置へ送信することにより、その暗号鍵を用いて通信データの暗号化を行うようにしたものがある(例えば、特許文献1参照。)。
特開平5−37523号公報 For example, the center device randomly selects one encryption key from a plurality of encryption keys stored in advance according to a random number and transmits it to the terminal device, thereby encrypting communication data using the encryption key. There is what was made to perform (for example, refer to Patent Document 1).
JP-A-5-37523

ところで、例えば自動車においては、自動車の各部を制御する複数の電子制御装置が通信バスを介して通信を行うようになっている。今後は、エンジン制御に関するデータ等の重要なデータについても通信すると予想されることから、自動車内においても暗号通信を行う必要性が高い。暗号通信のセキュリティレベルの低下を防ぐためには、特開平5−37523と同様鍵を変化させる手法を取り入れるのが一般的である。特に自動車では、高い安全性を要求されることから、確実に鍵を変更できる仕組みを作る必要があるが、従来の方法では、センタ装置が、何かしらの原因で動かない場合は、鍵を変更することが出来ず、セキュリティレベルが低下する恐れがある。   By the way, in a car, for example, a plurality of electronic control devices that control each part of the car communicate with each other via a communication bus. In the future, it is expected that important data such as data related to engine control will also be communicated. Therefore, it is highly necessary to perform encrypted communication even in an automobile. In order to prevent a decrease in the security level of encryption communication, it is common to adopt a technique for changing a key, as in JP-A-5-37523. Especially in automobiles, high security is required, so it is necessary to create a mechanism that can change the key reliably. In the conventional method, if the center device does not move for some reason, the key is changed. May not be possible and the security level may be reduced.

本発明は、こうした問題にかんがみてなされたものであり、車両内における暗号通信のセキュリティレベルの低下を防止することを目的としている。   The present invention has been made in view of these problems, and an object thereof is to prevent a decrease in the security level of encryption communication in a vehicle.

上記目的を達成するためになされた請求項1に記載の通信システムは、車両に搭載された複数の通信装置間で暗号鍵を用いた暗号通信を行うためのものである。そして、本通信システムでは、鍵送信用通信装置が、暗号鍵を変更するための所定の鍵変更タイミングごとに、暗号通信に用いる新たな暗号鍵を他の通信装置へ送信する鍵送信処理を行う。一方、予備用通信装置が、鍵送信用通信装置が鍵送信処理を行うことのできる状態であるか否かを判断し、鍵送信処理を行うことのできる状態でないと判断した場合には、鍵送信用通信装置の代わりに鍵送信処理を行う。   The communication system according to claim 1, which has been made to achieve the above object, is for performing encrypted communication using an encryption key between a plurality of communication devices mounted on a vehicle. In this communication system, the key transmission communication device performs key transmission processing for transmitting a new encryption key used for encryption communication to another communication device at every predetermined key change timing for changing the encryption key. . On the other hand, if the standby communication device determines whether or not the key transmission communication device can perform the key transmission processing, and determines that the standby communication device is not capable of performing the key transmission processing, A key transmission process is performed instead of the transmission communication device.

このように、本通信システムでは、車両内の通信装置間で暗号通信を行うようにしているため、車両制御用のデータの盗聴や改ざん等を防止することができる。また、本通信システムでは、所定の鍵変更タイミングごとに暗号鍵を変更するようにしているため、セキュリティレベルを高くすることができる。特に、本通信システムでは、予備用通信装置が設けられているため、仮に鍵送信用通信装置が鍵送信処理を行うことのできない状態になったとしても、暗号通信のセキュリティレベルが低下してしまうことを防ぐことができる。   As described above, in this communication system, since encryption communication is performed between communication devices in the vehicle, it is possible to prevent wiretapping or falsification of vehicle control data. Further, in the present communication system, the encryption level is changed at every predetermined key change timing, so that the security level can be increased. In particular, in this communication system, since a spare communication device is provided, even if the key transmission communication device cannot perform key transmission processing, the security level of encryption communication is lowered. Can be prevented.

ところで、鍵送信用通信装置が鍵送信処理を行うことのできる状態であるか否かは、
例えば、請求項2又は3のように判断するとよい。
すなわち、請求項2に記載の通信システムでは、上記請求項1の通信システムにおいて、予備用通信装置が、鍵変更タイミングから所定の待機時間が経過しても暗号鍵が送信されない場合に、鍵送信用通信装置が鍵送信処理を行うことのできる状態でないと判断する。この構成によれば、鍵送信用通信装置が鍵送信処理を行うことのできる状態であるか否かを容易に判断することができる。 By the way, whether or not the key transmission communication device is in a state where the key transmission processing can be performed,
For example, it may be determined as in claim 2 or 3.
That is, in the communication system according to claim 2, in the communication system according to claim 1, when the standby communication apparatus does not transmit an encryption key even if a predetermined waiting time elapses from the key change timing, It is determined that the trusted communication device is not in a state where key transmission processing can be performed. According to this configuration, it is possible to easily determine whether or not the key transmission communication device is in a state in which key transmission processing can be performed.

一方、請求項3に記載の通信システムでは、上記請求項1の通信システムにおいて、予備用通信装置が、鍵変更タイミングから所定の待機時間が経過しても暗号鍵が送信されない場合に、鍵送信用通信装置に対して問い合わせ処理(例えば、正常であるか否かを確認できるような返答を求める処理)を行い、この問い合わせ処理により、鍵送信用通信装置が鍵送信処理を行うことのできる状態であるか否かを判断する。この構成によれば、鍵送信用通信装置が鍵送信処理を行うことのできる状態であるか否かを正確に判断することができる。   On the other hand, in the communication system according to claim 3, in the communication system according to claim 1, when the standby communication apparatus does not transmit an encryption key even if a predetermined waiting time has elapsed from the key change timing, Inquiry processing (for example, processing for requesting a reply that can be confirmed to be normal or not) is performed on the trusted communication device, and the key transmission communication device can perform key transmission processing by this inquiry processing. It is determined whether or not. According to this configuration, it is possible to accurately determine whether or not the key transmission communication device is in a state in which key transmission processing can be performed.

次に、請求項4に記載の通信システムは、上記請求項2又3の通信システムにおいて、予備用通信装置を複数備えている。すなわち、予備用通信装置が1つの場合、万が一、鍵送信用通信装置のみならず予備用通信装置も鍵送信処理を行うことのできない状態になったとすると、暗号鍵が変更されなくなり、セキュリティレベルが低下してしまう。そこで、1つの予備用通信装置が鍵送信処理を行うことができない状態となっても、他の予備用通信装置で鍵送信処理を行うことができるようにしているのである。このようにすることで、セキュリティレベルの低下をより確実に防止することができる。特に、本通信システムでは、予備用通信装置が、待機時間として、それぞれ異なる長さの待機時間を用いるように構成されているため、複数の予備用通信装置が同一の処理を同時に行ってしまうことを防ぐことができる。   Next, a communication system according to a fourth aspect is the communication system according to the second or third aspect, comprising a plurality of spare communication devices. That is, in the case where there is one spare communication device, if the spare communication device as well as the key transmission communication device cannot perform the key transmission process, the encryption key is not changed and the security level is reduced. It will decline. Therefore, even if one spare communication apparatus cannot perform the key transmission process, the other spare communication apparatus can perform the key transmission process. By doing in this way, the fall of a security level can be prevented more reliably. In particular, in the present communication system, the standby communication devices are configured to use different lengths of standby time as standby times, so that a plurality of backup communication devices simultaneously perform the same processing. Can be prevented.

ところで、鍵送信用通信装置は、例えば請求項5に記載のように、車両制御用の処理を行う通信装置(例えば、エンジンの制御を行う電子制御装置等)を流用したものであってもよく、また、例えば請求項6に記載のように、鍵送信処理を行うための専用の通信装置であってもよい。   By the way, the communication device for key transmission may be a device that diverts a communication device that performs processing for vehicle control (for example, an electronic control device that controls an engine, for example) as described in claim 5. Further, for example, as described in claim 6, a dedicated communication device for performing key transmission processing may be used.

同様に、予備用通信装置は、例えば請求項7に記載のように、車両制御用の処理を行う通信装置を流用したものであってもよく、また、例えば請求項8に記載のように、鍵送信用通信装置の代わりに鍵送信処理を行うための専用の通信装置であってもよい。   Similarly, the standby communication device may be a device that diverts a communication device that performs processing for vehicle control, for example, as described in claim 7, and, for example, as described in claim 8, A dedicated communication device for performing key transmission processing may be used instead of the key transmission communication device.

一方、暗号鍵を変更するための鍵変更タイミングは、例えば所定時間の経過ごとや所定時刻ごとにすることもできるが、例えば請求項9に記載のように、車両のイグニッションスイッチがオンされたタイミングにすれば、暗号鍵を適度に変更することができる。   On the other hand, the key change timing for changing the encryption key can be, for example, every elapse of a predetermined time or every predetermined time. For example, the timing when the ignition switch of the vehicle is turned on as described in claim 9 If so, the encryption key can be changed appropriately.

次に、請求項10に記載の通信システムでは、上記請求項1〜9のいずれかの通信システムにおいて、鍵送信用通信装置が、暗号鍵とともに、送信データの種類を表す種類情報を送信する。また、予備用通信装置が、暗号鍵とともに、鍵送信用通信装置が暗号鍵とともに送信する種類情報と同一の種類情報を送信する。   Next, in the communication system according to a tenth aspect, in the communication system according to any one of the first to ninth aspects, the key transmission communication device transmits type information indicating a type of transmission data together with the encryption key. Further, the standby communication device transmits the same type information as the type information transmitted by the key transmission communication device together with the encryption key together with the encryption key.

このため、本通信システムにおいては、鍵送信用通信装置及び予備用通信装置により送信される暗号鍵は、同一の種類情報とともに送信されることとなる。
したがって、本通信システムによれば、暗号鍵がいずれの通信装置により送信されたかに関係なく、暗号鍵を受信する側の処理を共通にすることができる。 For this reason, in this communication system, the encryption key transmitted by the key transmission communication device and the standby communication device is transmitted together with the same type information.
Therefore, according to this communication system, it is possible to make the processing on the side receiving the encryption key common regardless of which communication device has transmitted the encryption key.

一方、請求項11に記載の通信システムでは、上記請求項1〜9のいずれかの通信システムにおいて、鍵送信用通信装置が、暗号鍵とともに、送信データの種類を表す種類情報を送信する。また、予備用通信装置が、暗号鍵とともに、鍵送信用通信装置が暗号鍵とともに送信する種類情報とは異なる種類情報を送信する。   On the other hand, in the communication system according to an eleventh aspect, in the communication system according to any one of the first to ninth aspects, the key transmission communication device transmits type information indicating the type of transmission data together with the encryption key. In addition, the spare communication device transmits, together with the encryption key, type information different from the type information transmitted by the key transmission communication device together with the encryption key.

このため、本通信システムにおいては、鍵送信用通信装置により送信される暗号鍵と、予備用通信装置により送信される暗号鍵とは、それぞれ異なる種類情報とともに送信されることとなる。   For this reason, in this communication system, the encryption key transmitted by the key transmission communication device and the encryption key transmitted by the backup communication device are transmitted together with different types of information.

したがって、本通信システムによれば、仮に鍵送信用通信装置と予備用通信装置との両方から暗号鍵が送信された場合にも、受信側の通信装置において、それらの暗号鍵が異なる通信装置によって送信されたものであると判断することができる。この結果、例えば優先順位の高い通信装置からの暗号鍵を用いるといった処理を行うことができる。   Therefore, according to this communication system, even when an encryption key is transmitted from both the key transmission communication device and the standby communication device, the communication device on the receiving side has different encryption keys depending on the communication device. It can be determined that it has been transmitted. As a result, it is possible to perform processing such as using an encryption key from a communication device with a high priority.

次に、請求項12に記載の通信システムでは、上記請求項1〜11のいずれかの通信システムにおいて、鍵送信用通信装置が、鍵送信処理として、車両に搭載された複数の通信装置で共有するその車両に固有の秘密鍵を用いて暗号鍵を暗号化して他の通信装置へ送信する処理を行い、他の通信装置が、受信した暗号鍵を秘密鍵を用いて復号化する。この通信システムによれば、暗号鍵をそのまま送信しないため、暗号鍵が見破られてしまうことを防ぐことができる。そして特に、本通信システムでは、車両固有の秘密鍵を用いて暗号鍵の暗号化及び復号化を行うようにしているため、ある通信装置を他の車両に組み込んだ場合に、その通信装置が作動しないようにすることができる。この結果、通信装置の盗難を防止することができる。   Next, in a communication system according to a twelfth aspect, in the communication system according to any one of the first to eleventh aspects, a key transmission communication device is shared by a plurality of communication devices mounted on a vehicle as a key transmission process. The encryption key is encrypted using a secret key unique to the vehicle to be transmitted and transmitted to another communication device, and the other communication device decrypts the received encryption key using the secret key. According to this communication system, since the encryption key is not transmitted as it is, it is possible to prevent the encryption key from being overlooked. In particular, in this communication system, since the encryption key is encrypted and decrypted using the vehicle-specific secret key, when the communication device is incorporated in another vehicle, the communication device operates. You can avoid it. As a result, theft of the communication device can be prevented.

次に、請求項13に記載の鍵送信方法は、車両に搭載された複数の通信装置間で行われる暗号通信に用いられる暗号鍵を、1つの通信装置から他の通信装置へ送信するための方法である。そして、本鍵送信方法は、暗号鍵を変更するための所定の鍵変更タイミングとなった時点で、あらかじめ決められた鍵送信用通信装置が、暗号通信に用いる新たな暗号鍵を他の通信装置へ送信する鍵送信処理を行い、鍵変更タイミングから所定の待機時間が経過しても暗号鍵が送信されない場合に、あらかじめ決められた予備用通信装置が、鍵送信用通信装置の代わりに鍵送信処理を行うこと、を特徴としている。このため、本鍵送信方法によれば、上記請求項2の通信システムについて述べた効果と同様の効果を得ることができる。   Next, a key transmission method according to claim 13 is for transmitting an encryption key used for encryption communication performed between a plurality of communication devices mounted on a vehicle from one communication device to another communication device. Is the method. Then, in this key transmission method, when a predetermined key change timing for changing the encryption key is reached, a predetermined key transmission communication device transmits a new encryption key used for encryption communication to another communication device. If the encryption key is not transmitted even after a predetermined waiting time has elapsed from the key change timing, the predetermined spare communication device transmits the key instead of the key transmission communication device. It is characterized by performing processing. For this reason, according to the present key transmission method, it is possible to obtain the same effect as that described for the communication system of claim 2.

一方、請求項14に記載の鍵送信方法も、上記請求項12の鍵送信方法と同様、車両に搭載された複数の通信装置間で行われる暗号通信に用いられる暗号鍵を、1つの通信装置から他の通信装置へ送信するための方法である。そして、本鍵送信方法は、暗号鍵を変更するための所定の鍵変更タイミングとなった時点で、あらかじめ決められた鍵送信用通信装置が、暗号通信に用いる新たな暗号鍵を他の通信装置へ送信する鍵送信処理を行い、鍵変更タイミングから所定の待機時間が経過しても暗号鍵が送信されない場合に、あらかじめ決められた予備用通信装置が、鍵送信用通信装置に対して問い合わせ処理を行うとともに、この問い合わせ処理により、鍵送信用通信装置が鍵送信処理を行うことのできる状態でないと判断した場合に、鍵送信用通信装置の代わりに鍵送信処理を行うこと、を特徴としている。このため、本鍵送信方法によれば、上記請求項3の通信システムについて述べた効果と同様の効果を得ることができる。   On the other hand, the key transmission method according to the fourteenth aspect is similar to the key transmission method according to the twelfth aspect in that one encryption device is used for encryption communication performed between a plurality of communication devices mounted on the vehicle. This is a method for transmitting from one to another communication device. Then, in this key transmission method, when a predetermined key change timing for changing the encryption key is reached, a predetermined key transmission communication device transmits a new encryption key used for encryption communication to another communication device. If the encryption key is not transmitted even if a predetermined waiting time has elapsed from the key change timing, the predetermined standby communication device performs inquiry processing to the key transmission communication device. And the key transmission processing is performed instead of the key transmission communication device when it is determined by this inquiry processing that the key transmission communication device is not in a state capable of performing the key transmission processing. . For this reason, according to this key transmission method, it is possible to obtain the same effect as that described for the communication system according to the third aspect.

以下、本発明が適用された実施形態について、図面を用いて説明する。
図1は、第1実施形態の通信システムの概略構成を表すブロック図である。
この通信システムでは、車両としての自動車に搭載され自動車の各部を制御する複数の電子制御装置(以下「ECU」という。)10(1),10(2),…が、通信バス2を介してデータ通信可能に接続されている。ここで、各ECU10は、自動車の各部を制御するための制御処理や他のECU10と通信を行うための処理等を実行するCPU11と、CPU11によって与えられる送信データを通信バス2へ出力するとともに、通信バス2上のデータをCPU11に入力する通信ドライバ12とを備えている。また、各ECU10は、自動車のイグニッションスイッチがオンされている間、図示しないバッテリから電力が供給されて作動する。なお、本通信システムにおいて、通信バス2を介して行うECU10間のデータ通信には、車載ネットワークで一般的に利用されているCAN(Controller Area Network)プロトコルが用いられている。 Embodiments to which the present invention is applied will be described below with reference to the drawings.
FIG. 1 is a block diagram illustrating a schematic configuration of a communication system according to the first embodiment.
In this communication system, a plurality of electronic control units (hereinafter referred to as “ECUs”) 10 (1), 10 (2),... Mounted on a vehicle as a vehicle and controlling each part of the vehicle are connected via a communication bus 2. Connected for data communication. Here, each ECU 10 outputs control data for controlling each part of the automobile, processing for communicating with other ECUs 10, and the like, and transmission data provided by the CPU 11 to the communication bus 2. And a communication driver 12 for inputting data on the communication bus 2 to the CPU 11. Each ECU 10 operates by being supplied with electric power from a battery (not shown) while the ignition switch of the automobile is turned on. In this communication system, the CAN (Controller Area Network) protocol generally used in the in-vehicle network is used for data communication between the ECUs 10 via the communication bus 2.

一方、本通信システムにおいて、ECU10間のデータ通信は、暗号鍵を用いた暗号通信により行われる。すなわち、各ECU10は、送信すべきデータを暗号鍵により暗号化した上で送信し、受信したデータをその暗号鍵により復号化した上で認識する。そして、本通信システムを構成するECU10(1),10(2),…は、暗号鍵を送信(配信)する機能の面から、暗号鍵の送信を行うセンターノードと、センターノードが暗号鍵を送信できない場合に暗号鍵の送信を行うバックアップノードと、暗号鍵の送信を全く行わないノーマルノードとに大別される。ここで、本第1実施形態の通信システムでは、ECU10(1)が、センターノードとして機能する。また、ECU10(2)が、バックアップノードとして機能する。そして、その他のECU10(3),10(4),…が、ノーマルノードとして機能する。   On the other hand, in this communication system, data communication between the ECUs 10 is performed by encryption communication using an encryption key. That is, each ECU 10 transmits the data to be transmitted after being encrypted with the encryption key, and recognizes the received data after being decrypted with the encryption key. The ECUs 10 (1), 10 (2),... Constituting the communication system have a center node that transmits the encryption key and a center node that transmits the encryption key in terms of the function of transmitting (distributing) the encryption key. When it cannot be transmitted, it is divided roughly into a backup node that transmits an encryption key and a normal node that does not transmit an encryption key at all. Here, in the communication system of the first embodiment, the ECU 10 (1) functions as a center node. Moreover, ECU10 (2) functions as a backup node. The other ECUs 10 (3), 10 (4),... Function as normal nodes.

次に、本通信システムにおける暗号通信用の暗号鍵の送信方法について説明する。
本通信システムを構成する各ECU10は、あらかじめ共通の秘密鍵(種鍵)Aを記憶している。つまり、本通信システムのすべてのECU10(1),10(2),…で、秘密鍵Aを共有している。また、この秘密鍵Aは、自動車ごとに固有の情報でもある。 Next, a method for transmitting an encryption key for encryption communication in the communication system will be described.
Each ECU 10 constituting the communication system stores a common secret key (seed key) A in advance. That is, the secret key A is shared by all the ECUs 10 (1), 10 (2),. The secret key A is also information unique to each car.

そして、本通信システムでは、自動車のイグニッションスイッチがオンされたタイミング(本発明の鍵変更タイミングに相当する。)で、本通信システムにおいてセンターノードとして機能するECU10(1)が、秘密鍵Aを元に、暗号通信用の暗号鍵としてのセッション鍵を生成する。さらに、ECU10(1)は、このセッション鍵を秘密鍵Aを用いて暗号化し、この暗号化したセッション鍵のデータを、他のすべてのECU10(2),10(3),…へ送信する。つまり、イグニッションスイッチがオンされることにより、ECU10(1)から他のECU10(2),10(3),…へセッション鍵が送信されるようになっている。ここで、本通信システムにおいて送信される送信データには、そのデータの種類を表すID(CANプロトコルで用いられるIDであり、本発明の種類情報に相当する。)が含まれており、ECU10(1)は、IDを「1」(本通信システムでは、セッション鍵のデータであることを示す。)としてセッション鍵のデータを送信するようになっている。   In this communication system, the ECU 10 (1) functioning as the center node in the communication system at the timing when the ignition switch of the automobile is turned on (corresponding to the key change timing of the present invention) In addition, a session key is generated as an encryption key for encryption communication. Further, the ECU 10 (1) encrypts the session key using the secret key A, and transmits the encrypted session key data to all other ECUs 10 (2), 10 (3),. That is, when the ignition switch is turned on, the session key is transmitted from the ECU 10 (1) to the other ECUs 10 (2), 10 (3),. Here, the transmission data transmitted in the communication system includes an ID indicating the type of the data (which is an ID used in the CAN protocol and corresponds to the type information of the present invention). In 1), session key data is transmitted with an ID “1” (in the present communication system, indicating session key data).

一方、他の各ECU10は、ECU10(1)からのデータを受信すると、その受信したデータのIDが「1」であることから、そのデータがセッション鍵のデータであると判断する。そして、その受信したデータを、秘密鍵Aを用いて復号化することにより、セッション鍵を取得(認識)する。こうして、本通信システムを構成するECU10(1),10(2),…で、セッション鍵が共有される。そして、各ECU10は、このセッション鍵を用いて送信データの暗号化及び受信データの復号化を行う。これにより、暗号通信が実現される。   On the other hand, when the other ECUs 10 receive the data from the ECU 10 (1), the ID of the received data is “1”, so that the data is determined to be the session key data. Then, the received data is decrypted using the secret key A, thereby acquiring (recognizing) the session key. In this way, the session key is shared by the ECUs 10 (1), 10 (2),. Each ECU 10 encrypts transmission data and decrypts reception data using the session key. Thereby, encryption communication is realized.

また、本通信システムにおいて、セッション鍵は、自動車のイグニッションスイッチがオンされるごとにECU10(1)で生成され、他のECU10(2),10(3),…へ送信される。つまり、イグニッションスイッチがオンされるごとに、暗号通信に用いるセッション鍵を新たなセッション鍵に変更するようになっている。このようにセッション鍵を変更することで、高いセキュリティレベルを維持することができる。   In this communication system, the session key is generated by the ECU 10 (1) every time the ignition switch of the automobile is turned on, and transmitted to the other ECUs 10 (2), 10 (3),. That is, each time the ignition switch is turned on, the session key used for encrypted communication is changed to a new session key. By changing the session key in this way, a high security level can be maintained.

ところで、センターノードとして機能するECU10(1)が、何らかの異常等によりセッション鍵の送信を行うことができなくなった場合に、セッション鍵が変更されなくなるとすると、セキュリティレベルが著しく低下してしまう。   By the way, if the ECU 10 (1) functioning as the center node cannot transmit the session key due to some abnormality or the like, if the session key is not changed, the security level is significantly lowered.

そこで、本通信システムでは、センターノードとしてのECU10(1)がセッション鍵の送信を行うことができなくなった場合には、バックアップノードとしてのECU10(2)が、ECU10(1)の代わりにセッション鍵の送信を行うようになっている。具体的には、イグニッションスイッチがオンしてからあらかじめ決められた一定時間(本発明の待機時間に相当する。)Tが経過してもECU10(1)によるセッション鍵の送信が行われない場合に、ECU10(2)がECU10(1)に対して問い合わせを行う。この問い合わせにより、ECU10(1)がセッション鍵の送信を行うことのできない異常状態であることを確認すると、ECU10(2)が、ECU10(1)に代わってセッション鍵の送信を行う。   Therefore, in this communication system, when the ECU 10 (1) as the center node cannot transmit the session key, the ECU 10 (2) as the backup node replaces the session key with the ECU 10 (1). To send. Specifically, when the session key is not transmitted by the ECU 10 (1) even after a predetermined time (corresponding to the standby time of the present invention) T has elapsed after the ignition switch is turned on. The ECU 10 (2) makes an inquiry to the ECU 10 (1). If it is confirmed by the inquiry that the ECU 10 (1) is in an abnormal state where the session key cannot be transmitted, the ECU 10 (2) transmits the session key instead of the ECU 10 (1).

次に、上述した暗号鍵の送信方法を実現するために、センターノードとしてのECU10(1)と、バックアップノードとしてのECU10(2)とのそれぞれが行う処理について説明する。   Next, in order to realize the above-described encryption key transmission method, processes performed by the ECU 10 (1) as the center node and the ECU 10 (2) as the backup node will be described.

まず、ECU10(1)のCPU11(1)により実行されるセンターノード処理について、図2のフローチャートを用いて説明する。なお、本センターノード処理は、当該ECU10(1)の作動開始時(つまり、自動車のイグニッションスイッチがオンされた時)に開始される。   First, center node processing executed by the CPU 11 (1) of the ECU 10 (1) will be described with reference to the flowchart of FIG. The center node process is started when the operation of the ECU 10 (1) is started (that is, when the ignition switch of the automobile is turned on).

このセンターノード処理が開始されると、まずS110で、秘密鍵Aを元に新たなセッション鍵を生成する。
続いて、S120では、S110で生成したセッション鍵を、通信ドライバ12(1)を介して他のECU10(2),10(3),…へ送信する。具体的には、生成したセッション鍵を秘密鍵Aを用いて暗号化し、その暗号化したデータを、IDを「1」として送信する。その後、本センターノード処理を終了する。なお、このS120の処理が、本発明の鍵送信処理に相当する。 When the center node process is started, first, a new session key is generated based on the secret key A in S110.
Subsequently, in S120, the session key generated in S110 is transmitted to the other ECUs 10 (2), 10 (3),... Via the communication driver 12 (1). Specifically, the generated session key is encrypted using the secret key A, and the encrypted data is transmitted with the ID set to “1”. Thereafter, the center node process is terminated. The process of S120 corresponds to the key transmission process of the present invention.

次に、ECU10(2)のCPU11(2)により実行されるバックアップノード処理について、図3のフローチャートを用いて説明する。なお、本バックアップノード処理は、当該ECU10(2)の作動開始時(つまり、上記センターノード処理(図2)と同様、自動車のイグニッションスイッチがオンされた時)に開始される。   Next, backup node processing executed by the CPU 11 (2) of the ECU 10 (2) will be described with reference to the flowchart of FIG. The backup node process is started when the operation of the ECU 10 (2) is started (that is, when the ignition switch of the automobile is turned on as in the center node process (FIG. 2)).

このバックアップノード処理が開始されると、まずS210で、ECU10(2)において計時を行うために用いるタイマをリセットする。
続いて、S220では、通信ドライバ12(2)を介してセッション鍵のデータを受信したか否かを判定する。ここで、受信したデータがセッション鍵のデータであるか否かは、そのデータのIDが「1」であるか否かにより判断する。 When this backup node process is started, first, in S210, a timer used for measuring time in the ECU 10 (2) is reset.
Subsequently, in S220, it is determined whether or not session key data has been received via the communication driver 12 (2). Here, whether or not the received data is session key data is determined by whether or not the ID of the data is “1”.

そして、S220で、セッション鍵のデータを受信したと判定した場合には、本バックアップノード処理を終了する。
一方、S220で、セッション鍵のデータを受信していないと判定した場合には、S230へ移行し、タイマの計時時間が一定時間Tを経過したか否かを判定する。ここで、一定時間Tは、ECU10(2)があらかじめ記憶している値である。 If it is determined in S220 that session key data has been received, the backup node processing is terminated.
On the other hand, if it is determined in S220 that the session key data has not been received, the process proceeds to S230, and it is determined whether or not the time measured by the timer has passed the predetermined time T. Here, the fixed time T is a value stored in advance by the ECU 10 (2).

そして、S230で、タイマの計時時間が一定時間Tを経過していないと判定した場合には、S220へ戻る。
一方、S230で、タイマの計時時間が一定時間Tを経過したと判定した場合には、S240へ移行し、センターノードとしてのECU10(1)に対し、セッション鍵の送信処理を行うことのできない状態であるか否かを問い合わせる。つまり、イグニッションスイッチがオンされてから一定時間Tが経過するまでの間にセッション鍵の送信が行われない場合には、直接問い合わせを行うのである。なお、このS240の処理が、本発明の問い合わせ処理に相当する。 If it is determined in S230 that the time measured by the timer has not passed the predetermined time T, the process returns to S220.
On the other hand, if it is determined in S230 that the time measured by the timer has passed the predetermined time T, the process proceeds to S240, and the session key transmission process cannot be performed for the ECU 10 (1) as the center node. Inquire whether or not. That is, if the session key is not transmitted during the period from when the ignition switch is turned on until the predetermined time T elapses, a direct inquiry is made. The process of S240 corresponds to the inquiry process of the present invention.

続いて、S250では、S240で問い合わせた結果に基づき、ECU10(1)がセッション鍵の送信処理を行うことのできない状態であるか否かを判定する。
そして、S250で、ECU10(1)がセッション鍵の送信処理を行うことのできない状態でないと判定した場合(例えば、問い合わせに対する何らかの反応があった場合)には、S210へ戻る。つまり、再び一定時間Tの間待機するようになっている。 Subsequently, in S250, based on the result inquired in S240, it is determined whether or not the ECU 10 (1) is in a state where the session key transmission process cannot be performed.
If it is determined in S250 that the ECU 10 (1) is not in a state in which the session key transmission process cannot be performed (for example, if there is some reaction to the inquiry), the process returns to S210. That is, it waits for a certain time T again.

一方、S250で、ECU10(1)がセッション鍵の送信処理を行うことのできない状態であると判定した場合(例えば、問い合わせに対して何の反応もない場合)には、S260へ移行し、秘密鍵Aを元に新たなセッション鍵を生成する。さらに、S270へ移行し、S260で生成したセッション鍵を、通信ドライバ12(2)を介して他のECU10へ送信する。具体的には、生成したセッション鍵を秘密鍵Aを用いて暗号化し、その暗号化したデータを、ECU10(1)と同様、IDを「1」として送信する。その後、本バックアップノード処理を終了する。つまり、ECU10(1)がセッション鍵を送信することのできる状態でないと判断した場合には(S250:YES)、ECU10(1)が行うべき上記センターノード処理(図2)で行われる処理(S110,S120)と同様の処理(S260,S270)を行うようになっている。   On the other hand, when it is determined in S250 that the ECU 10 (1) is in a state where the session key transmission process cannot be performed (for example, when there is no response to the inquiry), the process proceeds to S260 and the secret is sent. A new session key is generated based on the key A. Furthermore, it transfers to S270 and transmits the session key produced | generated by S260 to other ECU10 via the communication driver 12 (2). Specifically, the generated session key is encrypted using the secret key A, and the encrypted data is transmitted with the ID “1”, as in the ECU 10 (1). Thereafter, the backup node process is terminated. In other words, if the ECU 10 (1) determines that the session key cannot be transmitted (S250: YES), the process performed in the center node process (FIG. 2) to be performed by the ECU 10 (1) (S110). , S120), the same processing (S260, S270) is performed.

なお、本第1実施形態の通信システムでは、各ECU10が、本発明の通信装置に相当し、センターノードとしてのECU10(1)が、本発明の鍵送信用通信装置に相当し、バックアップノードとしてのECU10(2)が、本発明の予備用通信装置に相当する。   In the communication system of the first embodiment, each ECU 10 corresponds to the communication device of the present invention, and the ECU 10 (1) as the center node corresponds to the key transmission communication device of the present invention and serves as a backup node. The ECU 10 (2) corresponds to the spare communication device of the present invention.

以上説明したように、本第1実施形態の通信システムによれば、下記(a)〜(f)の効果を得ることができる。
(a)本通信システムでは、車両内のECU10間で暗号通信を行うため、車両制御用のデータの盗聴や改ざん等を防止することができる。また、本通信システムでは、イグニッションスイッチがオンするごとにセッション鍵を変更するようにしているため、セキュリティレベルを高くすることができる。特に、本通信システムでは、バックアップノードとしてのECU10(2)の存在により、仮にセンターノードとしてのECU10(1)がセッション鍵の送信を行うことのできない状態となったとしても、暗号通信のセキュリティレベルが低下してしまうことを防ぐことができる。この結果、自動車内でセキュリティレベルの高い暗号通信を実現することができる。 As described above, according to the communication system of the first embodiment, the following effects (a) to (f) can be obtained.
(A) Since this communication system performs encryption communication between the ECUs 10 in the vehicle, it is possible to prevent eavesdropping or falsification of data for vehicle control. Further, in this communication system, since the session key is changed every time the ignition switch is turned on, the security level can be increased. In particular, in this communication system, even if the ECU 10 (1) as the center node cannot transmit the session key due to the presence of the ECU 10 (2) as the backup node, the security level of the encryption communication Can be prevented from decreasing. As a result, encryption communication with a high security level can be realized in the automobile.

(b)また、本通信システムでは、バックアップノードとしてのECU10(2)が、イグニッションスイッチがオンしてからあらかじめ決められた一定時間Tが経過してもECU10(1)によるセッション鍵の送信が行われない場合に、ECU10(1)に対して問い合わせを行い、この問い合わせにより、ECU10(1)がセッション鍵の送信を行うことのできない異常状態であることを確認した場合に、ECU10(1)に代わってセッション鍵の送信を行う。このため、本通信システムによれば、ECU10(1)がセッション鍵を送信することのできる状態であるか否かを正確に判断することができる。   (B) Further, in this communication system, the ECU 10 (2) as a backup node transmits a session key by the ECU 10 (1) even if a predetermined time T elapses after the ignition switch is turned on. If the ECU 10 (1) confirms that the ECU 10 (1) is in an abnormal state in which the session key cannot be transmitted, the ECU 10 (1) is inquired of the ECU 10 (1). Instead, it sends a session key. For this reason, according to this communication system, it is possible to accurately determine whether or not the ECU 10 (1) is in a state where the session key can be transmitted.

(c)さらに、本通信システムでは、車両制御用の処理を行うECU10(1)をセンターノードとして流用し、同じく車両制御用の処理を行うECU10(2)をバックアップノードとして流用している。このため、本通信システムによれば、専用のセンターノードやバックアップノードを設ける場合に比べ、低コストで構成することができる。   (C) Further, in this communication system, the ECU 10 (1) that performs vehicle control processing is diverted as a center node, and the ECU 10 (2) that also performs vehicle control processing is diverted as a backup node. For this reason, according to this communication system, it can comprise at low cost compared with the case where a dedicated center node and a backup node are provided.

(d)加えて、本通信システムでは、イグニッションスイッチがオンされるごとにセッション鍵を変更するようにしているため、セッション鍵を適度に変更することができる。
(e)一方、本通信システムでは、ECU10(2)が、セッション鍵を送信する際のIDとして、ECU10(1)がセッション鍵を送信する際のIDと同じIDを用いている。このため、本通信システムによれば、他のECU10が、ECU10(2)からのセッション鍵を、ECU10(1)からのセッション鍵に対する処理と同じ処理で受信することができる。 (D) In addition, in the present communication system, the session key is changed every time the ignition switch is turned on, so that the session key can be changed appropriately.
(E) On the other hand, in this communication system, the same ID as the ID when the ECU 10 (1) transmits the session key is used as the ID when the ECU 10 (2) transmits the session key. For this reason, according to this communication system, other ECU10 can receive the session key from ECU10 (2) by the same process as the process with respect to the session key from ECU10 (1).

(f)また、本通信システムでは、秘密鍵Aを用いてセッション鍵の暗号化及び復号化を行うようにしているため、セッション鍵が見破られてしまうことを防ぐことができる。特に、秘密鍵Aは車両に固有の情報でもあるため、ECU10を他の自動車に搭載しても暗号通信が行えないこととなる。この結果、ECU10の盗難を防ぐことができる。   (F) Moreover, in this communication system, since the session key is encrypted and decrypted using the secret key A, it is possible to prevent the session key from being overlooked. In particular, since the secret key A is also information unique to the vehicle, encryption communication cannot be performed even if the ECU 10 is installed in another automobile. As a result, the ECU 10 can be prevented from being stolen.

なお、上記第1実施形態の通信システムでは、バックアップノードとしてのECU10(2)が、セッション鍵を送信する際のIDとして、センターノードとしてのECU10(1)がセッション鍵を送信する際のIDと同じIDを用いるようにしているが、これに限ったものではなく、異なるIDを用いるようにしてもよい。このようにすれば、セッション鍵を受信する側のECU10は、セッション鍵の送信元のECU10を把握することができる。このため、仮に、ECU10(2)が、ECU10(1)が正常であるにもかかわらず異常であると誤判断すること等により、ECU10(1)とECU10(2)との両方からセッション鍵が送信されてきたとしても、受信側のECU10において、優先度の高い方(例えばECU10(1))からのセッション鍵を用いるといった対処をすることができる。   In the communication system of the first embodiment, the ECU 10 (2) as the backup node transmits the session key as the ID when the ECU 10 (1) as the center node transmits the session key. Although the same ID is used, the present invention is not limited to this, and a different ID may be used. In this way, the ECU 10 on the side that receives the session key can grasp the ECU 10 that has transmitted the session key. For this reason, if the ECU 10 (2) erroneously determines that the ECU 10 (1) is normal even though the ECU 10 (1) is normal, the session key is received from both the ECU 10 (1) and the ECU 10 (2). Even if it is transmitted, the ECU 10 on the receiving side can take measures such as using a session key from the higher priority (for example, the ECU 10 (1)).

次に、第2実施形態の通信システムについて説明する。
本第2実施形態の通信システムは、上記第1実施形態の通信システムと比較すると、バックアップノードとしてのECU10(2)によるセッション鍵の送信方法が異なる。そこで、この相違点について説明する。 Next, a communication system according to the second embodiment will be described.
The communication system of the second embodiment differs from the communication system of the first embodiment in the session key transmission method by the ECU 10 (2) as a backup node. Therefore, this difference will be described.

本第2実施形態の通信システムでは、イグニッションスイッチがオンしてからあらかじめ決められた一定時間(本発明の待機時間に相当する。)Tが経過してもECU10(1)によるセッション鍵の送信が行われない場合に、ECU10(2)が、ECU10(1)に代わってセッション鍵の送信を行う。つまり、本第2実施形態の通信システムでは、上記第1実施形態の通信システムのような問い合わせを行わない。   In the communication system according to the second embodiment, the session key is transmitted by the ECU 10 (1) even after a predetermined time (corresponding to the standby time of the present invention) T has elapsed since the ignition switch was turned on. If not, the ECU 10 (2) transmits a session key in place of the ECU 10 (1). That is, the communication system according to the second embodiment does not make an inquiry like the communication system according to the first embodiment.

また、本第2実施形態の通信システムでは、ECU10(2)が、セッション鍵(具体的には、セッション鍵を秘密鍵Aを用いて暗号化したデータ)を、IDを「2」として送信する。つまり、ECU10(1)がセッション鍵を送信する際のIDと異なるIDを用いるようになっている。なお、本通信システムでは、IDが「1」,「2」のいずれであっても、セッション鍵のデータであることを示す。   In the communication system according to the second embodiment, the ECU 10 (2) transmits a session key (specifically, data obtained by encrypting the session key using the secret key A) with an ID “2”. . That is, an ID different from the ID used when the ECU 10 (1) transmits the session key is used. In this communication system, the ID of “1” or “2” indicates session key data.

ここで、上記第1実施形態のバックアップノード処理(図3)に代えて実行される図4のバックアップノード処理について説明する。なお、図4のバックアップノード処理は、上記第1実施形態のバックアップノード処理(図3)と比較すると、S240及びS250の処理を行わない点が異なる。その他、同一内容の処理については、同一の符号を付しているため、詳細な説明は省略する。   Here, the backup node process of FIG. 4 executed in place of the backup node process (FIG. 3) of the first embodiment will be described. 4 differs from the backup node process (FIG. 3) of the first embodiment in that the processes of S240 and S250 are not performed. In addition, about the process of the same content, since the same code | symbol is attached | subjected, detailed description is abbreviate | omitted.

図4のバックアップノード処理が開始されると、まずS210で、タイマをリセットする。
続いて、S220では、セッション鍵のデータを受信したか否かを判定する。 When the backup node process of FIG. 4 is started, first, in S210, the timer is reset.
Subsequently, in S220, it is determined whether or not session key data has been received.

そして、S220で、セッション鍵のデータを受信したと判定した場合には、本バックアップノード処理を終了する。
一方、S220で、セッション鍵のデータを受信していないと判定した場合には、S230へ移行し、タイマの計時時間が一定時間Tを経過したか否かを判定する。 If it is determined in S220 that session key data has been received, the backup node processing is terminated.
On the other hand, if it is determined in S220 that the session key data has not been received, the process proceeds to S230, and it is determined whether or not the time measured by the timer has passed the predetermined time T.

そして、S230で、タイマの計時時間が一定時間Tを経過していないと判定した場合には、S220へ戻る。
一方、S230で、タイマの計時時間が一定時間Tを経過したと判定した場合には、S260へ移行し、秘密鍵Aを元に新たなセッション鍵を生成する。さらに、S270へ移行し、S260で生成したセッション鍵を他のECU10へ送信する。その後、本バックアップノード処理を終了する。なお、本バックアップノード処理のS260では、生成したセッション鍵を秘密鍵Aを用いて暗号化し、その暗号化したデータを、IDを「2」として送信する。 If it is determined in S230 that the time measured by the timer has not passed the predetermined time T, the process returns to S220.
On the other hand, when it is determined in S230 that the time measured by the timer has passed the predetermined time T, the process proceeds to S260, and a new session key is generated based on the secret key A. Furthermore, it transfers to S270 and transmits the session key produced | generated by S260 to other ECU10. Thereafter, the backup node process is terminated. In S260 of the backup node process, the generated session key is encrypted using the secret key A, and the encrypted data is transmitted with the ID “2”.

以上説明したように、本第2実施形態の通信システムによれば、上記第1実施形態の(a),(c),(d),(f)の効果を得ることができる。
また、本通信システムでは、バックアップノードとしてのECU10(2)が、イグニッションスイッチがオンしてからあらかじめ決められた一定時間Tが経過してもECU10(1)によるセッション鍵の送信が行われない場合に、ECU10(1)に代わってセッション鍵の送信を行う。このため、本通信システムによれば、ECU10(1)がセッション鍵を送信することのできる状態であるか否かを容易に判断することができる。 As described above, according to the communication system of the second embodiment, the effects (a), (c), (d), and (f) of the first embodiment can be obtained.
In this communication system, when the ECU 10 (2) as a backup node does not transmit a session key by the ECU 10 (1) even after a predetermined time T has elapsed since the ignition switch was turned on. In addition, the session key is transmitted in place of the ECU 10 (1). For this reason, according to this communication system, it is possible to easily determine whether or not the ECU 10 (1) is in a state where the session key can be transmitted.

さらに、本通信システムでは、ECU10(2)が、セッション鍵を送信する際のIDとして、ECU10(1)がセッション鍵を送信する際のIDと異なるIDを用いている。このため、本通信システムによれば、仮に、ECU10(2)が、ECU10(1)が正常であるにもかかわらず異常であると誤判断すること等により、ECU10(1)とECU10(2)との両方からセッション鍵が送信されてきたとしても、受信側のECU10において、優先度の高い方(例えばECU10(1))からのセッション鍵を用いるといった対処をすることができる。   Furthermore, in this communication system, the ECU 10 (2) uses an ID different from the ID used when the ECU 10 (1) transmits the session key as the ID used when the session key is transmitted. Therefore, according to the present communication system, if the ECU 10 (2) erroneously determines that the ECU 10 (1) is abnormal even though the ECU 10 (1) is normal, the ECU 10 (1) and the ECU 10 (2) Even if the session key is transmitted from both of them, the ECU 10 on the receiving side can take measures such as using the session key from the higher priority (for example, the ECU 10 (1)).

以上、本発明の一実施形態について説明したが、本発明は、種々の形態を採り得ることは言うまでもない。
例えば、上記各実施形態の通信システムでは、バックアップノードを1つ設けているが、これに限ったものではなく、バックアップノードを複数設けてもよい。すなわち、バックアップノードが1つの場合、万が一、センターノードのみならずバックアップノードもセッション鍵の送信を行うことのできない状態になったとすると、セッション鍵が変更されなくなり、セキュリティレベルが低下してしまう。そこで、1つのバックアップノードがセッション鍵の送信を行うことができない状態となっても、他のバックアップノードでセッション鍵の送信を行うことができるようにするのである。このようにすることで、セキュリティレベルの低下をより確実に防止することができる。ここで、各バックアップノードが待機する上記一定時間Tは、それぞれ異なる長さとしておくことが好ましい。このようにすれば、複数のバックアップノードからセッション鍵が一度に送信されてしまうことを防ぐことができる。 As mentioned above, although one Embodiment of this invention was described, it cannot be overemphasized that this invention can take a various form.
For example, in the communication system of each of the above embodiments, one backup node is provided. However, the present invention is not limited to this, and a plurality of backup nodes may be provided. That is, in the case where there is one backup node, if it becomes a state where not only the center node but also the backup node cannot transmit the session key, the session key is not changed and the security level is lowered. Therefore, even when one backup node cannot transmit the session key, the other backup node can transmit the session key. By doing in this way, the fall of a security level can be prevented more reliably. Here, it is preferable that the predetermined time T during which each backup node waits has a different length. In this way, it is possible to prevent session keys from being transmitted from a plurality of backup nodes at once.

また、上記各実施形態では、センターノードとして車両制御用の処理を行うECU10(1)を流用し、バックアップノードとして同じく車両制御用の処理を行うECU10(2)を流用しているが、これに限ったものではなく、例えば、センターノードやバックアップノードとして専用の装置を用いてもよい。   In each of the above embodiments, the ECU 10 (1) that performs vehicle control processing is diverted as the center node, and the ECU 10 (2) that also performs vehicle control processing is diverted as the backup node. For example, a dedicated device may be used as a center node or a backup node.

実施形態の通信システムの概略構成を表すブロック図である。It is a block diagram showing the schematic structure of the communication system of embodiment. センターノード処理のフローチャートである。It is a flowchart of a center node process. 第1実施形態のバックアップノード処理のフローチャートである。It is a flowchart of the backup node process of 1st Embodiment. 第2実施形態のバックアップノード処理のフローチャートである。It is a flowchart of the backup node process of 2nd Embodiment.

符号の説明Explanation of symbols

2…通信バス、10…ECU、11…CPU、12…通信ドライバ   2 ... Communication bus, 10 ... ECU, 11 ... CPU, 12 ... Communication driver

Claims (14)

車両に搭載された複数の通信装置間で暗号鍵を用いた暗号通信を行う通信システムであって、
前記暗号鍵を変更するための所定の鍵変更タイミングごとに、前記暗号通信に用いる新たな暗号鍵を他の通信装置へ送信する鍵送信処理を行う鍵送信用通信装置と、
該鍵送信用通信装置が前記鍵送信処理を行うことのできる状態であるか否かを判断し、該鍵送信処理を行うことのできる状態でないと判断した場合には、前記鍵送信用通信装置の代わりに前記鍵送信処理を行う予備用通信装置と、
を備えたことを特徴とする通信システム。 A communication system that performs encryption communication using an encryption key between a plurality of communication devices mounted on a vehicle,
A key transmission communication device that performs a key transmission process for transmitting a new encryption key used for the encryption communication to another communication device for each predetermined key change timing for changing the encryption key;
If it is determined whether or not the key transmission communication device is in a state where the key transmission processing can be performed, and if it is determined that the key transmission processing is not possible, the key transmission communication device A spare communication device for performing the key transmission process instead of
A communication system comprising: 請求項1に記載の通信システムにおいて、
前記予備用通信装置は、前記鍵変更タイミングから所定の待機時間が経過しても前記暗号鍵が送信されない場合に、前記鍵送信用通信装置が前記鍵送信処理を行うことのできる状態でないと判断すること、
を特徴とする通信システム。 The communication system according to claim 1,
The spare communication device determines that the key transmission communication device is not in a state in which the key transmission processing can be performed when the encryption key is not transmitted even if a predetermined standby time has elapsed from the key change timing. To do,
A communication system characterized by the above. 請求項1に記載の通信システムにおいて、
前記予備用通信装置は、前記鍵変更タイミングから所定の待機時間が経過しても前記暗号鍵が送信されない場合に、前記鍵送信用通信装置に対して問い合わせ処理を行い、この問い合わせ処理により、前記鍵送信用通信装置が前記鍵送信処理を行うことのできる状態であるか否かを判断すること、
を特徴とする通信システム。 The communication system according to claim 1,
When the encryption key is not transmitted even after a predetermined waiting time has elapsed from the key change timing, the standby communication device performs an inquiry process on the key transmission communication apparatus, and the inquiry process Determining whether or not the key transmission communication device is in a state in which the key transmission processing can be performed;
A communication system characterized by the above. 請求項2又は請求項3に記載の通信システムにおいて、
前記予備用通信装置を複数備え、各予備用通信装置は、前記待機時間として、それぞれ異なる長さの待機時間を用いること、
を特徴とする通信システム。 In the communication system according to claim 2 or claim 3,
A plurality of spare communication devices are provided, and each spare communication device uses a different standby time as the standby time,
A communication system characterized by the above. 請求項1ないし請求項4のいずれか1項に記載の通信システムにおいて、
前記鍵送信用通信装置は、車両制御用の処理を行う通信装置を流用したものであること、
を特徴とする通信システム。 The communication system according to any one of claims 1 to 4,
The key transmission communication device is a diversion of a communication device that performs processing for vehicle control,
A communication system characterized by the above. 請求項1ないし請求項4のいずれか1項に記載の通信システムにおいて、
前記鍵送信用通信装置は、前記鍵送信処理を行うための専用の通信装置であること、
を特徴とする通信システム。 The communication system according to any one of claims 1 to 4,
The key transmission communication device is a dedicated communication device for performing the key transmission processing;
A communication system characterized by the above. 請求項1ないし請求項6のいずれか1項に記載の通信システムにおいて、
前記予備用通信装置は、車両制御用の処理を行う通信装置を流用したものであること、
を特徴とする通信システム。 The communication system according to any one of claims 1 to 6,
The preliminary communication device is a communication device that performs processing for vehicle control,
A communication system characterized by the above. 請求項1ないし請求項6のいずれか1項に記載の通信システムにおいて、
前記予備用通信装置は、前記鍵送信用通信装置の代わりに前記鍵送信処理を行うための専用の通信装置であること、
を特徴とする通信システム。 The communication system according to any one of claims 1 to 6,
The spare communication device is a dedicated communication device for performing the key transmission processing instead of the key transmission communication device;
A communication system characterized by the above. 請求項1ないし請求項8のいずれか1項に記載の通信システムにおいて、
前記鍵変更タイミングは、前記車両のイグニッションスイッチがオンされたタイミングであること、
を特徴とする通信システム。 The communication system according to any one of claims 1 to 8,
The key change timing is a timing when an ignition switch of the vehicle is turned on;
A communication system characterized by the above. 請求項1ないし請求項9のいずれか1項に記載の通信システムにおいて、
前記鍵送信用通信装置は、前記暗号鍵とともに、送信データの種類を表す種類情報を送信するように構成されており、
前記予備用通信装置は、前記暗号鍵とともに、前記鍵送信用通信装置が前記暗号鍵とともに送信する前記種類情報と同一の種類情報を送信するように構成されていること、
を特徴とする通信システム。 The communication system according to any one of claims 1 to 9,
The key transmission communication device is configured to transmit, together with the encryption key, type information indicating a type of transmission data,
The spare communication device is configured to transmit, together with the encryption key, the same type information as the type information transmitted by the key transmission communication device together with the encryption key;
A communication system characterized by the above. 請求項1ないし請求項9のいずれか1項に記載の通信システムにおいて、
前記鍵送信用通信装置は、前記暗号鍵とともに、送信データの種類を表す種類情報を送信するように構成されており、
前記予備用通信装置は、前記暗号鍵とともに、前記鍵送信用通信装置が前記暗号鍵とともに送信する前記種類情報とは異なる種類情報を送信するように構成されていること、
を特徴とする通信システム。 The communication system according to any one of claims 1 to 9,
The key transmission communication device is configured to transmit, together with the encryption key, type information indicating a type of transmission data,
The spare communication device is configured to transmit, together with the encryption key, type information different from the type information transmitted by the key transmission communication device together with the encryption key;
A communication system characterized by the above. 請求項1ないし請求項11のいずれか1項に記載の通信システムにおいて、
前記鍵送信用通信装置は、前記鍵送信処理として、前記車両に搭載された複数の通信装置で共有する該車両に固有の秘密鍵を用いて前記暗号鍵を暗号化して他の通信装置へ送信する処理を行い、該他の通信装置は、受信した暗号鍵を前記秘密鍵を用いて復号化すること、
を特徴とする通信システム。 The communication system according to any one of claims 1 to 11,
The key transmission communication device encrypts the encryption key using a secret key unique to the vehicle shared by a plurality of communication devices mounted on the vehicle and transmits the encrypted key to another communication device as the key transmission processing. The other communication device decrypts the received encryption key using the secret key,
A communication system characterized by the above. 車両に搭載された複数の通信装置間で行われる暗号通信に用いられる暗号鍵を、1つの通信装置から他の通信装置へ送信するための鍵送信方法であって、
前記暗号鍵を変更するための所定の鍵変更タイミングとなった時点で、あらかじめ決められた鍵送信用通信装置が、前記暗号通信に用いる新たな暗号鍵を他の通信装置へ送信する鍵送信処理を行い、前記鍵変更タイミングから所定の待機時間が経過しても前記暗号鍵が送信されない場合に、あらかじめ決められた予備用通信装置が、前記鍵送信用通信装置の代わりに前記鍵送信処理を行うこと、
を特徴とする鍵送信方法。 A key transmission method for transmitting an encryption key used for encryption communication performed between a plurality of communication devices mounted on a vehicle from one communication device to another communication device,
Key transmission processing in which a predetermined key transmission communication device transmits a new encryption key used for the cryptographic communication to another communication device at a predetermined key change timing for changing the encryption key When the encryption key is not transmitted even after a predetermined waiting time has elapsed from the key change timing, a predetermined spare communication device performs the key transmission processing instead of the key transmission communication device. What to do,
A key transmission method characterized by the above. 車両に搭載された複数の通信装置間で行われる暗号通信に用いられる暗号鍵を、1つの通信装置から他の通信装置へ送信するための鍵送信方法であって、
前記暗号鍵を変更するための所定の鍵変更タイミングとなった時点で、あらかじめ決められた鍵送信用通信装置が、前記暗号通信に用いる新たな暗号鍵を他の通信装置へ送信する鍵送信処理を行い、前記鍵変更タイミングから所定の待機時間が経過しても前記暗号鍵が送信されない場合に、あらかじめ決められた予備用通信装置が、前記鍵送信用通信装置に対して問い合わせ処理を行うとともに、この問い合わせ処理により、前記鍵送信用通信装置が前記鍵送信処理を行うことのできる状態でないと判断した場合に、前記鍵送信用通信装置の代わりに前記鍵送信処理を行うこと、
を特徴とする鍵送信方法。 A key transmission method for transmitting an encryption key used for encryption communication performed between a plurality of communication devices mounted on a vehicle from one communication device to another communication device,
Key transmission processing in which a predetermined key transmission communication device transmits a new encryption key used for the cryptographic communication to another communication device at a predetermined key change timing for changing the encryption key When the encryption key is not transmitted even if a predetermined waiting time has elapsed from the key change timing, a predetermined standby communication device performs inquiry processing on the key transmission communication device. When the inquiry process determines that the key transmission communication device is not ready to perform the key transmission processing, the key transmission processing is performed instead of the key transmission communication device.
A key transmission method characterized by the above.
JP2004005781A 2004-01-13 2004-01-13 Communication system and key transmitting method Pending JP2005203882A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004005781A JP2005203882A (en) 2004-01-13 2004-01-13 Communication system and key transmitting method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004005781A JP2005203882A (en) 2004-01-13 2004-01-13 Communication system and key transmitting method

Publications (1)

Publication Number Publication Date
JP2005203882A true JP2005203882A (en) 2005-07-28

Family

ID=34819984

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004005781A Pending JP2005203882A (en) 2004-01-13 2004-01-13 Communication system and key transmitting method

Country Status (1)

Country Link
JP (1) JP2005203882A (en)

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005341528A (en) * 2004-04-28 2005-12-08 Denso Corp Communication system, key distribution apparatus, encryption processor, and antitheft device
JP2012049993A (en) * 2010-08-30 2012-03-08 Toyota Infotechnology Center Co Ltd Encryption key update system, smart key system, and encryption key update method
WO2013065689A1 (en) * 2011-10-31 2013-05-10 株式会社トヨタIt開発センター Message authentication method in communication system and communication system
KR101360679B1 (en) * 2008-12-05 2014-02-07 현대자동차주식회사 System for saving accident, vehicle for using the same and method thereof
JP2015511905A (en) * 2012-03-06 2015-04-23 コンチネンタル・テベス・アーゲー・ウント・コンパニー・オーハーゲー Method for improving functional safety and increasing the availability of electronic closed loop control systems, and electronic closed loop control systems
WO2015170452A1 (en) * 2014-05-08 2015-11-12 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ In-car network system, electronic control unit and update processing method
WO2016075869A1 (en) * 2014-11-13 2016-05-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Key management method, vehicle-mounted network system and key management device
JP2016100632A (en) * 2014-11-18 2016-05-30 株式会社東芝 Communication system and communication apparatus
WO2016093368A1 (en) * 2014-12-12 2016-06-16 Kddi株式会社 Management device, key generating device, vehicle, maintenance tool, management system, management method, and computer program
JP2016116216A (en) * 2014-12-12 2016-06-23 Kddi株式会社 Management device, key generation device, vehicle, maintenance tool, management system, management method, and computer program
JP2017157976A (en) * 2016-02-29 2017-09-07 Kddi株式会社 On-vehicle control system, vehicle, key distribution device, control device, key distribution method, and computer program
WO2018037894A1 (en) * 2016-08-25 2018-03-01 株式会社オートネットワーク技術研究所 Authentication device for vehicles
US9992178B2 (en) 2015-09-09 2018-06-05 Hyundai Motor Company Method, apparatus and system for dynamically controlling secure vehicle communication based on ignition
US9998476B2 (en) 2015-11-13 2018-06-12 Kabushiki Kaisha Toshiba Data distribution apparatus, communication system, moving object, and data distribution method
JP2018107622A (en) * 2016-12-26 2018-07-05 トヨタ自動車株式会社 Cryptographic communication system
US10931459B2 (en) 2015-12-28 2021-02-23 Kddi Corporation Onboard computer system, vehicle, management method, and computer program
CN112514322A (en) * 2018-08-03 2021-03-16 大陆-特韦斯贸易合伙股份公司及两合公司 Method for managing keys inside a vehicle
WO2023221401A1 (en) * 2022-05-19 2023-11-23 第五力科技有限公司 Wallet system and transaction method
US20230410092A1 (en) * 2022-05-19 2023-12-21 Fifth Force Technology Limited Wallet system and transaction method

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05143564A (en) * 1991-11-22 1993-06-11 Mitsubishi Electric Corp Computer system
JPH1051438A (en) * 1996-07-30 1998-02-20 Matsushita Electric Works Ltd Cryptographic communication system
JP2002314685A (en) * 2001-04-18 2002-10-25 Ntt Docomo Inc Switching system monitoring system, aggregation device, and switching system monitoring method
JP2003108254A (en) * 2001-09-26 2003-04-11 Okaya Koki Kk Software rental system and computer equipment and software used for it
JP2003288623A (en) * 2002-03-27 2003-10-10 Denso Corp Traveling distance odometer for vehicle

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05143564A (en) * 1991-11-22 1993-06-11 Mitsubishi Electric Corp Computer system
JPH1051438A (en) * 1996-07-30 1998-02-20 Matsushita Electric Works Ltd Cryptographic communication system
JP2002314685A (en) * 2001-04-18 2002-10-25 Ntt Docomo Inc Switching system monitoring system, aggregation device, and switching system monitoring method
JP2003108254A (en) * 2001-09-26 2003-04-11 Okaya Koki Kk Software rental system and computer equipment and software used for it
JP2003288623A (en) * 2002-03-27 2003-10-10 Denso Corp Traveling distance odometer for vehicle

Cited By (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005341528A (en) * 2004-04-28 2005-12-08 Denso Corp Communication system, key distribution apparatus, encryption processor, and antitheft device
KR101360679B1 (en) * 2008-12-05 2014-02-07 현대자동차주식회사 System for saving accident, vehicle for using the same and method thereof
JP2012049993A (en) * 2010-08-30 2012-03-08 Toyota Infotechnology Center Co Ltd Encryption key update system, smart key system, and encryption key update method
WO2013065689A1 (en) * 2011-10-31 2013-05-10 株式会社トヨタIt開発センター Message authentication method in communication system and communication system
JP2013098719A (en) * 2011-10-31 2013-05-20 Toyota Infotechnology Center Co Ltd Message authentication method for communication system, and communication system
US9576137B2 (en) 2012-03-06 2017-02-21 Continental Teves Ag & Co. Ohg Method and system for analyzing integrity of encrypted data in electronic control system for motor vehicle
JP2015511905A (en) * 2012-03-06 2015-04-23 コンチネンタル・テベス・アーゲー・ウント・コンパニー・オーハーゲー Method for improving functional safety and increasing the availability of electronic closed loop control systems, and electronic closed loop control systems
WO2015170452A1 (en) * 2014-05-08 2015-11-12 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ In-car network system, electronic control unit and update processing method
CN105594155A (en) * 2014-05-08 2016-05-18 松下电器(美国)知识产权公司 Vehicle network system, electronic control unit and update processing method
CN105594155B (en) * 2014-05-08 2019-08-02 松下电器(美国)知识产权公司 Vehicle network system, electronic control unit and update processing method
US10227053B2 (en) 2014-05-08 2019-03-12 Panasonic Intellectual Property Corporation Of America In-vehicle network system, electronic control unit, and update processing method
JPWO2015170452A1 (en) * 2014-05-08 2017-04-20 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America In-vehicle network system, electronic control unit, and update processing method
JPWO2016075869A1 (en) * 2014-11-13 2017-08-24 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Key management method, in-vehicle network system, and key management device
CN105794146A (en) * 2014-11-13 2016-07-20 松下电器(美国)知识产权公司 Key management method, vehicle network system and key management device
WO2016075869A1 (en) * 2014-11-13 2016-05-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Key management method, vehicle-mounted network system and key management device
JP2016100632A (en) * 2014-11-18 2016-05-30 株式会社東芝 Communication system and communication apparatus
JP2016116216A (en) * 2014-12-12 2016-06-23 Kddi株式会社 Management device, key generation device, vehicle, maintenance tool, management system, management method, and computer program
WO2016093368A1 (en) * 2014-12-12 2016-06-16 Kddi株式会社 Management device, key generating device, vehicle, maintenance tool, management system, management method, and computer program
US10419220B2 (en) 2014-12-12 2019-09-17 Kiddi Corporation Management device, key generating device, vehicle, maintenance tool, management system, management method, and computer program
US9992178B2 (en) 2015-09-09 2018-06-05 Hyundai Motor Company Method, apparatus and system for dynamically controlling secure vehicle communication based on ignition
US9998476B2 (en) 2015-11-13 2018-06-12 Kabushiki Kaisha Toshiba Data distribution apparatus, communication system, moving object, and data distribution method
US10931459B2 (en) 2015-12-28 2021-02-23 Kddi Corporation Onboard computer system, vehicle, management method, and computer program
JP2017157976A (en) * 2016-02-29 2017-09-07 Kddi株式会社 On-vehicle control system, vehicle, key distribution device, control device, key distribution method, and computer program
WO2018037894A1 (en) * 2016-08-25 2018-03-01 株式会社オートネットワーク技術研究所 Authentication device for vehicles
JP2018107622A (en) * 2016-12-26 2018-07-05 トヨタ自動車株式会社 Cryptographic communication system
CN112514322A (en) * 2018-08-03 2021-03-16 大陆-特韦斯贸易合伙股份公司及两合公司 Method for managing keys inside a vehicle
JP2021532686A (en) * 2018-08-03 2021-11-25 コンティネンタル・テーベス・アクチエンゲゼルシヤフト・ウント・コンパニー・オッフェネ・ハンデルスゲゼルシヤフト How to manage encryption keys in the car
JP7273947B2 (en) 2018-08-03 2023-05-15 コンティネンタル・テーベス・アクチエンゲゼルシヤフト・ウント・コンパニー・オッフェネ・ハンデルスゲゼルシヤフト Methods for managing encryption keys in the vehicle
US11811922B2 (en) 2018-08-03 2023-11-07 Continental Teves Ag & Co. Ohg Key generation device, a vehicle-internal communication system, and a method for the vehicle-internal management of cryptographic keys
CN112514322B (en) * 2018-08-03 2024-05-28 大陆汽车科技有限公司 Methods for managing keys within the vehicle
WO2023221401A1 (en) * 2022-05-19 2023-11-23 第五力科技有限公司 Wallet system and transaction method
US20230410092A1 (en) * 2022-05-19 2023-12-21 Fifth Force Technology Limited Wallet system and transaction method
GB2623142A (en) * 2022-05-19 2024-04-10 Fifth Force Tech Limited Wallet system and transaction method
US12288204B2 (en) * 2022-05-19 2025-04-29 Fifth Force Technology Limited Wallet system and transaction method

Similar Documents

Publication Publication Date Title
JP2005203882A (en) Communication system and key transmitting method
CN108536118B (en) Vehicle ECU, system and method for ECU to provide diagnostic information
US20240106630A1 (en) Id-based control unit-key fob pairing
JP4576997B2 (en) Communication system, key distribution device, cryptographic processing device
CN106240522B (en) Autonomous vehicle theft prevention
US9577997B2 (en) Authentication system and authentication method
Woo et al. A practical wireless attack on the connected car and security protocol for in-vehicle CAN
JP6477281B2 (en) In-vehicle relay device, in-vehicle communication system, and relay program
US10279775B2 (en) Unauthorized access event notification for vehicle electronic control units
EP2663018B1 (en) Electronic key registration system
US11436873B2 (en) Encrypted communication system and method for controlling encrypted communication system
US11228602B2 (en) In-vehicle network system
CN110312232B (en) Vehicle communication system and vehicle communication method
JP3991927B2 (en) Anti-theft system
KR102144408B1 (en) Method and communication system for a secure data transmission
US11599335B2 (en) Vehicle and method of controlling the same
JP2019197999A (en) Electronic control system for vehicle and electronic control unit for vehicle
JP2013121071A (en) Relay system, and relay device and external device forming the same
JP2015023307A (en) Authentication device and authentication system
EP3618385B1 (en) Method and arrangement for encoding/decoding a signal at a first and second communication node in a road vehicle
WO2018037894A1 (en) Authentication device for vehicles
JP2017050795A (en) Method for data transfer between automobile electronic control devices
JP2023085958A (en) On-vehicle device, program, and information processing method
Yousef Methods of securing in-vehicle networks
JP2024055384A (en) Vehicle control device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060227

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081125

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090121

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090512

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090805

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20090819

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20100205