JP6545966B2 - 中継装置、端末装置および通信方法 - Google Patents

中継装置、端末装置および通信方法 Download PDF

Info

Publication number
JP6545966B2
JP6545966B2 JP2015012877A JP2015012877A JP6545966B2 JP 6545966 B2 JP6545966 B2 JP 6545966B2 JP 2015012877 A JP2015012877 A JP 2015012877A JP 2015012877 A JP2015012877 A JP 2015012877A JP 6545966 B2 JP6545966 B2 JP 6545966B2
Authority
JP
Japan
Prior art keywords
authentication
terminal device
relay
ecu
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015012877A
Other languages
English (en)
Other versions
JP2016139883A (ja
Inventor
直幸 森田
直幸 森田
匡亮 谷本
匡亮 谷本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Renesas Electronics Corp
Original Assignee
Renesas Electronics Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Renesas Electronics Corp filed Critical Renesas Electronics Corp
Priority to JP2015012877A priority Critical patent/JP6545966B2/ja
Priority to CN201510946793.0A priority patent/CN105827587B/zh
Priority to US14/985,242 priority patent/US10284553B2/en
Publication of JP2016139883A publication Critical patent/JP2016139883A/ja
Application granted granted Critical
Publication of JP6545966B2 publication Critical patent/JP6545966B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、通信路を介して認証装置に接続される中継装置、端末装置および通信方法に関し、特に当該中継装置と端末装置についての認証に好適に利用できるものである。
階層的に構成されたシステムにおいて、不正なデバイスを参加させることによる攻撃から当該システムを守る技術の重要性が高まってきている。例えば、車載ネットワークが搭載される自動車は、ゲートウェイを介して外部の認証サーバーへの接続ができるように構成され、自動車自身の認証を受けることができるが、当該車載ネットワークに不正なデバイスが接続されたときにも、その不正なデバイスによる攻撃から当該車載ネットワークに接続される他の真正なデバイスを守る必要がある。
特許文献1には、マシンツーマシン(M2M: machine to machine)デバイスによってサービスを提供する方法が開示されている。M2Mデバイスは、認証情報を含む第1認証に対するリクエストをネットワーク保安部(NSEC)へ送信する送信機と、それと共に拡張可能認証プロトコル(EAP)認証を実行する制御機を有し、認証が成功した場合に、マスターセッションキー(MSK)及びM2Mデバイスの認証情報のうち、少なくとも1つを利用して秘密キーを生成する、キージェネレータを有する。ここで、ネットワーク保安部を示すNSECは、Network Security Capabilityの略語であり、拡張可能認証プロトコルを示すEAPは、Extensible Authentication Protocolの略語であり、マスターセッションキーを示すMSKはMaster Session Keyの略語である。
特許文献2には、ネットワーク内にビザンチン合意による認証の機能およびカバートチャンネルの検証・制御機能を持つコントロールマネージャを設けることにより、情報を改ざんやリーク等から保護することができる認証システムが開示されている。
特許文献3には、複数のコンピュータにより、ファイルシステムを安全に分散管理する方法が開示されている。ディレクトリはビザンチン合意を形成する複数台のコンピュータ(ビザンチングループ)に複製保存することで安全性を確保し、ファイルは複数台のコンピュータに複製保存するがビザンチン合意を用いないことで負荷を軽減する。また、ファイルの内容のダイジェスト値をビザンチングループで複製保存することによって、読み取ったファイルの内容が正しいことを検証できる。
特表2014−513349号公報 特開平11−088325号公報 特開2002−358226号公報
特許文献1、2及び3について本発明者が検討した結果、以下のような新たな課題があることがわかった。
特許文献1に記載される技術によれば、M2Mネットワークが認証局と直接やりとりしなくても、ネットワーク内部の機器認証ができるように当該ネットワーク内のゲートウェイに認証鍵をセキュアに配信することができ、機器をセキュアに起動し、機器同士のセキュアな通信が実現される。しかしながら、機器自体の認証については言及されていない。したがって、不正な機器を排除することができない。
特許文献2に記載される技術によれば、カバートチャンネルによるデータ改ざんの可能性がある場合、あるいは認証システム内のシステム管理者自身が不正を働く可能性がある場合等においても、情報の改ざんや漏洩を発見することができる。しかしながら、不正を働くシステム管理者や一般の端末を排除することはできない。
特許文献3に記載される技術によれば、複数のコンピュータ上に分散したファイルを、コンピュータのいくつかが任意の時刻にアクセス不能にされた場合であっても、当該ファイルを高い信頼性で記憶しアクセス可能な方法で管理し、同時に、無許可ユーザーによるアクセスを防止することができる。しかしながら、複数のコンピュータから不正なコンピュータを排除する方法については言及されていない。
以上のようなシステムでは、正規のデバイスになりすましながら、ランダムに不正な挙動をするという、ビザンチン故障型の攻撃を行う不正なデバイスを排除することができない。そのようなシステムのネットワークでは一般に、通信エラーの発生を想定しており、リトライを繰り返すうちに正しい応答があれば正常とみなすプロトコルが採用されているために、当該ネットワークにおいて一旦デバイス間の相互接続認証が得られてしまうと、ビザンチン故障型の攻撃を通信路のエラーと区別することができないからである。
また、例えば特許文献2や3に記載されるようにビザンチン合意を利用することにより、悪意のあるデバイスがネットワークに加わっていることを前提として、全体で合議制による判断をすることで攻撃の影響を小さくするというような技術が知られているが、悪意のあるデバイスそのものを排除することはできていない。さらに、悪意のあるノードが全体に占める割合が増加すると、通信にかかる計算コストの悪化や通信の失敗率の増加といった事態を防ぐことができず、最悪の場合システムダウンに至る。特に車載システムにおいては、システムがダウンした場合に人命にかかわる重大事故に発展する恐れがあるため特に深刻である。
このような課題を解決するための手段を以下に説明するが、その他の課題と新規な特徴は、本明細書の記述及び添付図面から明らかになるであろう。
一実施の形態によれば、下記の通りである。
すなわち、認証装置と通信可能な中継装置と端末装置と他の装置とが通信路を介して接続される通信システムにおいて、以下のように構成される。
中継装置、端末装置及び他の装置は、それぞれ固有の認証情報を有する。中継装置は、自身の認証情報を認証装置に送出する。中継装置は、通信路に接続される端末装置と他の装置から認証情報を収集して認証装置に送出する。認証装置は受信した認証情報に基づいて、中継装置、端末装置及び他の装置が真正な装置であるか否かを判定する装置認証の機能を備える。
中継装置は、認証装置から装置認証の結果を受信し、その結果に基づいて自身と不真正と判定された装置との通信を遮断するとともに、端末装置及び他の装置に対して不真正と判定された装置との通信を遮断させるための通信制御情報を送出する。端末装置及び他の装置は、通信制御情報に基づいて、自身と不真正と判定された装置との通信を遮断する。
前記一実施の形態によって得られる効果を簡単に説明すれば下記のとおりである。
すなわち、ビザンチン故障型攻撃を行う不正な装置が、他の装置や中継装置が接続されている通信路に接続された場合であっても、その不正な装置を当該通信路から排除することができる。
図1は、基本的な構成を表すブロック図である。 図2は、各デバイスの構成例と装置認証の動作を示す説明図である。 図3は、複数のメーカーから提供される複数のデバイスを含むシステムの構成例を示す、模式的ブロック図である。 図4は、デバイスと認証装置の間の通信についての説明図である。 図5は、図1に例示されるシステム構成に対応する認証情報の収集フローの一例を示すシーケンス図である。 図6は、図5に例示される認証情報の収集フローで送受されるメッセージの一例を示す説明図である。 図7は、さらに新たな下位ノードが接続されたときの認証フローの一例を示すシーケンス図である。 図8は、図7に例示される認証フローで送受されるメッセージの一例を示す説明図である。 図9は、不正ノード情報を通信制御情報とする場合のフローを示す説明図である。 図10は、認証済ノード情報を通信制御情報とする場合のフローを示す説明図である。 図11は、新たな下位ノードが接続されたときの認証フローの別の一例を示すシーケンス図である。 図12は、図11に例示される認証フローで送受されるメッセージの一例を示す説明図である。 図13は、実施形態2のシステム構成例を表すブロック図である。 図14は、実施形態2の別のシステム構成例を表すブロック図である。 図15は、共有バス型接続ネットワークにおける通信パケットの構成例を示す説明図である。 図16は、装置Xに搭載されるバス型ネットワークに接続されるECUの数が5個に増えたときのシステム構成例を表すブロック図である。 図17は、図16に対応するECUの数が5個のスター型接続ネットワークが、装置Xに搭載される場合のシステム構成例を表すブロック図である。 図18は、実施形態3のシステム構成例を表すブロック図である。 図19は、図18に示す階層的なネットワークを階層バスネットワークで構成した例を示す説明図である。 図20は、図19に示す階層バスネットワークを、それと同一視することができる完全グラフ構造のネットワークに置換して構成した例を示す説明図である。 図21は、図20に示す完全グラフ構造のネットワークにおいて、DHCP等の手段によって全域木を構成した例を示す説明図である。 図22は、レガシーなECUを含む複数のECUが接続されるバス型ネットワークによる構成例を示す説明図である。 図23は、許容される通信経路を考慮した上で、図22に示すネットワーク構造と同一視できるネットワーク構造を示す説明図である。 図24は、図23に示すバス型ネットワーク構造について、全域木を構成した例を示す説明図である。 図25は、実施形態4のシステム構成例を表すブロック図である。 図26は、実施形態5のシステム構成例を表すブロック図である。 図27は、図26に示す一般のグラフ構造のネットワークを幅優先探索等で構成した例を示す説明図である。 図28は、図27においてノードDが不正ノードであり、これによる偽の情報によって構成された全域木の例を示す説明図である。 図29は、不正ノードであるノードを排除した状態で、再構成された全域木の例である。
実施の形態について詳述する。
〔実施形態1〕<基本コンセプト>
図1は、基本的な構成を表すブロック図である。装置(X)10は通信路4_1〜4_3によって相互に通信可能な複数の装置であるノード(A〜D)1、2、3_1〜3_2を備える。ゲートウェイとして機能するノード(A)1から外部のネットワーク5を介して認証装置7と通信することができる。基本的な実施の形態に係る中継装置及び端末装置は、認証装置7と通信可能な中継装置(ノードB)2と端末装置(ノードC,D)3_1〜3_2とノードA1とが通信路4_1〜4_3を介して接続される通信システムにおいて、以下のように構成される。中継装置(ノードB)2は、より上位のゲートウェイノードA(1)を介して外部ネットワーク5に接続される認証装置7と通信することができる。必ずしもネットワークである必要はなく、通信媒体は任意である。
中継装置(ノードB)2、端末装置(ノードC,D)3_1〜3_2及びノードA1は、それぞれ固有の認証情報を有する。認証装置7は、それぞれの認証情報に基づいて、中継装置(ノードB)2、端末装置(ノードC,D)3_1〜3_2及びノードA1が真正な装置であるか否かを判定する装置認証の機能を備える。認証装置7は、正規の挙動をするデバイスの一覧表、即ち、ホワイトリストを保持している。ここで、固有の認証情報とは、それぞれの装置が真正であることを証明するための情報であり、例えば、固有の識別子(ID)である。また、各デバイス、即ち、中継装置(ノードB)2、端末装置(ノードC,D)3_1〜3_2及びノードA1には耐タンパ性が確保された状態で固有のIDと固有鍵(共有鍵)が書き込まれている。外部の認証装置7には、真正なデバイスのIDなどの認証情報がリストアップされている一覧表(ホワイトリスト)を備えておくことにより、認証装置7は受信した認証情報を、そのホワイトリストを使って検証し、対応するデバイスが真正な装置か否かの判定を行なうことができる(装置認証の機能)。
中継装置(ノードB)2は、自身の認証情報を認証装置7に送出する。図1に示されるように上位ノード(ノードA)1がある場合はその上位ノード(ノードA)1からネットワーク5を介して認証装置7に認証情報を送る。その後またはこれと並行して、中継装置(ノードB)2は、通信路4_1〜4_3に接続される端末装置(ノードC,D)3_1〜3_2から認証情報を収集して、上位ノード(ノードA)1からネットワーク5を介して認証装置7に送出する。図1に示される上位ノード(ノードA)1は、中継装置(ノードB)2よりも上位に位置するので、中継装置(ノードB)2によって認証情報を収集されるべき他の装置には含まれないが、中継装置(ノードB)2よりも下位に別の中継装置が配置されている場合には、これは中継装置(ノードB)2によって認証情報を収集されるべき他の装置に含まれる。
認証装置7は受信した認証情報を、ホワイトリストを使って検証し、対応するデバイスが真正な装置か否かの判定を行ない、その結果を中継装置(ノードB)2に伝送する。中継装置(ノードB)2は、認証装置7から装置認証の結果を受信し、その結果に基づいて自身と不真正と判定された装置との通信を遮断するとともに、端末装置(ノードC,D)3_1〜3_2に対して不真正と判定された装置との通信を遮断させるための通信制御情報を送出する。端末装置(ノードC,D)3_1〜3_2は、通信制御情報に基づいて、自身と不真正と判定された装置との通信を遮断する。ここで、通信制御情報とは、通信相手のデバイスが真正か否かを判定し、不真正なデバイスとの通信を遮断するための制御情報であり、例えば不正なデバイスのIDがリストアップされたブラックリスト(不正ノード情報)であり、或いは逆に真正なデバイスのIDがリストアップされたホワイトリスト(認証済みノード情報)であってもよい。
ノード(A)1を1つの中継装置として位置付けても良い。図1及び本実施形態1では、中継装置が必ずしもゲートウェイである必要がないことを明示するために、中継装置として機能するノード(B)2よりも上位にゲートウェイノードA(1)が配置される構成を示す。しかし、図示されるような階層的な構造を前提とするものではない。
これにより、ビザンチン故障型攻撃を行う不正な装置が、他の装置や中継装置2が接続されている通信路4_1〜4_3に接続された場合であっても、その不正な装置を当該通信路から排除することができる。また、システム内のデバイスがビザンチン故障的に振る舞うことができなくなるため、以下のような効果が得られる。外部の認証装置7によるホワイトリスト認証を通過したデバイスとしか通信できないので、悪意のあるリダイレクトを行うことはできない。IDなどの認証情報の要求に対して応答がない場合には、認証失敗とみなして接続を切断するため、不正な装置によるデータの中継と不正な装置へのデータの供給が停止され、また、データの改ざんが防止される。データを改ざんすること自体が可能である場合にも、改ざんされたデータを含む通信データはホワイトリスト認証を通過できないので、改ざんされたデータは破棄される。さらに、ホワイトリスト方式のため、不正改造や盗難等の被害にあったことが判明したデバイスを個別に無効化することができる。また、階層化された認証システムとの適合性が高い。認証システムを階層化することによって、秘密情報の分散管理によるリスク低減効果、認証サーバーの負荷分散によるスケーラビリティが得られる。
なお、上述の装置認証に先立って、通信路4_1〜4_3によって相互接続されるデバイスどうしは、予め相互にローカルな認証を行った上で接続されている。例えば、中継装置ノード(B)2は、上位のゲートウェイノードA(1)や端末装置(ノードC,D)3_1〜3_2との間でローカルな相互認証を行う。これにより、外部認証を行うための通信路内のローカル通信が確立される。
図2は、各デバイス、即ち、中継装置(ノードB)2、端末装置(ノードC,D)3_1〜3_2及びノードA1の構成例と認証装置7による装置認証の動作を示す説明図である。各デバイスには、セキュアマイコン11が搭載されている。セキュアマイコン11は、ハードウェアセキュリティモジュール(HSM: Hardware Security Module)12を内蔵するMPU(Micro Processor Unit)である。MPU11は、さらにCPU(Central Processing Unit)15、RAM(Random Access Memory)16及び外部インターフェース(I/F)17を含み、HSM12とともにバス18によって相互に接続されている。HSM12は、例えば暗号処理モジュール13とデバイス固有の識別子(ID)やデバイス固有鍵14などの秘密情報を保持する記憶装置を含んで構成され、耐タンパ性が確保されている。耐タンパ性は、種々の公知技術によって確保することができ、例えば、記憶装置を光学的に観察することによってIDや固有鍵の内容を読みとることができないように、また、暗号化や復号の処理に必要な時間や消費電流波形が、IDや固有鍵の値に依存しないように構成され、さらには故障注入攻撃に対する耐性を持たせて構成されることができる。ROM(Read Only Memory)、割り込み制御回路、ダイレクトメモリアクセスコントローラ、その他、周辺機能モジュールなどをさらに含んで構成されてもよい。また、バス18は階層化されていてもよい。特に制限されないが、MPU11は、例えば、公知のCMOS(Complementary Metal-Oxide-Semiconductor field effect transistor)LSI(Large Scale Integrated circuit)の製造技術を用いて、シリコンなどの単一半導体基板上に形成される。





デバイス固有のIDとデバイス固有鍵は、認証プロトコルに則って認証装置7との間で共有される識別子と共有鍵(Shared Secret)である。IDは当該デバイスの識別子であり、固有鍵はデバイスと認証装置との間で共有される鍵文字列であって、デバイス毎に固有であり、IDと併せて認証のための秘密情報である。デバイス固有IDとデバイス固有鍵は、例えばMPU11を出荷する際に、MPU11の供給元によって当該MPU11に書き込まれる。認証装置7は、例えばMPU11の供給元が提供する認証装置であって、デバイス固有鍵に対応する共有鍵を保持しており、デバイス固有鍵を認証することができる。MPU11の供給元は、認証装置7に正規に出荷したMPU11に書き込んだ固有IDのリストを真正IDリスト(ホワイトリスト)として保有し、合せて当該固有鍵に対応する共有鍵を保持している。
デバイス固有IDとデバイス固有鍵のうち固有鍵はセキュリティ上極めて重要であり、そのために、暗号化された状態でしか、HSM12の外部に読み出すことができない。ただし、暗号化の方式は任意であり、例えば、公開鍵暗号方式や共通鍵暗号方式など、公知の暗号方式を採用することができる。
デバイス固有のIDとデバイス固有鍵は、暗号処理モジュール13によって暗号化され、CPU15がバス18を経由して読出し、外部I/F17を介して外部のネットワーク5に送出することができる。ネットワーク5を介して暗号化された固有IDと固有鍵を受信した認証装置7は、自身が持つ共有鍵を使って認証を行い、暗号化された固有IDを復号する。認証装置7は、復号されて平文となったデバイス固有IDを、保持する真正IDリスト(ホワイトリスト)と照合することにより、当該IDを送信したデバイスが真正なMPUか否かを判定することができる。
図3は、複数のメーカーから提供される複数のデバイスを含むシステムの構成例を示す、模式的ブロック図である。後段の実施形態2で詳述するように、装置(X)10は例えば自動車であり、通信路4_1〜4_5は例えばCAN(Controller Area Network)などの車載ネットワークであり、各デバイスA〜F(1、3_1〜3_5)は例えば電子制御装置(ECU: Electronic Control Unit)である。ネットワーク及びそれに接続される装置は、車載ネットワーク(CAN)と電子制御装置(ECU)で以外のネットワークと装置であってもよく、例えば、医療用のネットワーク及びそれに接続される医療機器、或いは、産業用のネットワーク及びそれに接続される産業機器に変更することができる。また、ネットワークは、有線・無線を問わず種々の形態の通信路であってよく、例えば車載ネットワークの場合には、CAN以外にFlex Ray(登録商標)やMOST(Media Oriented Systems Transport)であってもよい。
上述したように、各デバイスに搭載されるセキュアマイコンなどのMPU11を提供するメーカーは1社に限られない。即ち図3に例示されるように、装置(X)10は、T社製のゲートウェイデバイスA(1)、R社製のデバイスBとC(3_1、3_2)、S社製のデバイスDとE(3_3、3_4)及びT社製のデバイスF(3_5)を含んで構成される。また、認証は、搭載されるMPU11の提供元の他、デバイスの提供元が認証を行う場合、或いは装置(X)10のメーカーが認証を行う場合等、種々の形態が考えられる。そのため、図3に示されるように、各社がそれぞれ認証サーバー(認証装置)7_1〜7_3を持つことになる。このような場合には、ネットワーク5内にブローカーサーバー6が配置され、装置(X)10からの認証要求を一括して受けた後、各社ごとの認証サーバー7_1〜7_3に認証情報を振り分ける。R社製の認証サーバー7_1は、R社製のデバイスに書き込まれた製品ID(bbbb, cccc)のリストを持ち、R社製のデバイスの認証を行う。S社製の認証サーバー7_2は、S社製のデバイスに書き込まれた製品ID(dddd, eeee)のリストを持ち、S社製のデバイスの認証を行う。T社製の認証サーバー7_3は、T社製のデバイスに書き込まれた製品ID(aaaa, ffff)のリストを持ち、T社製のデバイスの認証を行う。
デバイス1、3_1〜3_5と認証サーバー7_1〜7_3の間の通信についてさらに詳しく説明する。
図4は、デバイス1(例えば1、3_1〜3_5又は2)と認証装置7(例えば認証サーバー7_1〜7_3)の間の通信についての説明図である。デバイス1は、認証情報として、例えば、所属(organization)、デバイス固有ID及び認証用の秘密情報(固有鍵)を保持している。所属(organization)は、図3では「ベンダID」として示されており、デバイスをどの組織の認証装置7で認証すべきかを示す情報である。認証が成功か否かをもって所属組織かどうかを判定するように構成することも可能であり、その場合には、所属(organization)は認証情報から除外することができる。ただし、所属(organization)を利用する方が、ブローカーサーバー6の処理を簡略化することができる点で好適である。デバイス固有IDは、例えば、そのデバイスの供給元が出荷時に書き込むIDである。認証用の秘密情報(固有鍵)は、デバイスの供給元の設備によって書き込まれ或いは更新され、または、デバイスの供給元設備との通信によって更新することができる。デバイス1は平文を暗号化した暗号文を認証装置7に送信し、暗号文を受信した認証装置7はこれを復号して平文に戻して検証する。認証装置7からデバイス1への通信も同様である。認証装置7は平文を暗号化した暗号文をデバイス1に送信し、暗号文を受信したデバイス1はこれを復号して平文に戻して検証する。この暗号文は、第三者によっては生成できず、且つ、第三者によっては復号できない。
図1に例示したシステム構成に基づいて、認証情報の収集と認証装置7による認証のフローについてさらに詳しく説明する。
図5は図1に例示されるシステム構成に対応する認証フローの一例を示すシーケンス図であり、図6は図5に例示される認証フローで送受されるメッセージの一例を示す説明図である。上位ノードA(1)は、中間ノードB(2)に対して認証情報を収集するように要求する(S1−1)。上位ノードA(1)から認証情報収集の要求を受け取った中間ノードB(2)は、自身より下位に接続されている各ノード、下位ノードCとD(3_1と3_2)に対して、認証情報を収集するように要求する(S1−2、S1−3)。下位ノードC(3_1)は自身「C」に固有の認証情報を中間ノードB(2)に応答し(S1−4)、下位ノードD(3_2)は自身「D」に固有の認証情報を中間ノードB(2)に応答する(S1−5)。中間ノードB(2)は、下位ノードCとD(3_1と3_2)からの応答と自ノードの認証情報とを結合して上位ノードA(1)に応答する(S1−6)。
実施形態3において詳述するように、中間ノードB(2)の下位にさらに中間ノードを設けて、階層的なネットワークが構成されてもよい。このとき、認証情報収集の要求とそれに対応する応答の深さを限定してもよい。例えば深さを1に限定すると幅優先探索になる。
図7はさらに新たな下位ノードE(3_3)が接続されたときの認証フローの一例を示すシーケンス図であり、図8は図7に例示される認証フローで送受されるメッセージの一例を示す説明図である。図5と図6には2台の下位ノードCとD(3_1と3_2)が接続され認証を受けるフローを例示したが、図7と図8ではその後さらに下位ノードE(3_3)が新たに接続された時の認証フローが示される。図7と図8には既に認証されている下位ノードCとD(3_1と3_2)は図示が省略され、新たに接続された下位ノードE(3_3)のみが示される。
新たな下位ノードE(3_3)が接続されたことを検出した中間ノードB(2)は、当該下位ノードE(3_3)に対して認証情報収集要求を送信する(S2−1)。下位ノードE(3_3)は自身「E」に固有の認証情報を中間ノードB(2)に応答する(S2−2)。中間ノードB(2)は、Eの認証情報を応答として受け取ったのちに、当該認証情報に基づいて下位ノードE(3_3)を認証する要求を上位ノードA(1)に送信する(S2−3)。ここで、中間ノードB(2)は、既に自身は認証されているので、「B」の認証情報を含まず、「E」の認証要求のみを生成して上位ノードA(1)に送信する。Eの認証要求は順次上位ノードへリダイレクトされ、認証装置7に到達する(S2−4)。認証装置7は、自身の保持するホワイトリストを参照してノードE(3_3)が真正な装置か否かを判定し、認証結果を応答する(S2−5)。応答は順次下位へリダイレクトされ、中間ノードB(2)は認証結果を受け取ることができる(S2−6)。
以上図5〜図8を引用して説明したように、中間ノードB(2)は認証装置7から装置認証の結果を受信する(S2−6)。中間ノードB(2)は、その結果に基づいて自身と不真正と判定された装置との通信を遮断するとともに、下位ノードC,D,E(3_1〜3_3)に対して不真正と判定された装置との通信を遮断させるための通信制御情報を送出する。下位ノードC,D,E(3_1〜3_3)は、通信制御情報に基づいて、自身と不真正と判定された装置との通信を遮断する。ここで、通信制御情報は、通信相手のデバイスが真正か否かの判定結果を示し、不真正なデバイスとの通信を遮断するための制御情報であればよく、例えば、不正なデバイスのIDがリストアップされた不正ノード情報か、逆に真正なデバイスのIDがリストアップされた認証済ノード情報であるとよい。
図9は不正ノード情報を通信制御情報とする場合のフローを示す説明図であり、図10は認証済ノード情報を通信制御情報とする場合のフローを示す説明図である。なお、図9と図10には下位ノードとして下位ノードC(3−1)のみが示され、他の下位ノードD,E(3_2〜3_3)は図示が省略されているが、伝送されるメッセージは同様である。
図9に示されるように、中間ノードB(2)は、不正ノード情報を装置認証の結果として認証装置7から受信し(S4−1)、通信制御情報として下位ノードC,D,E(3_1〜3_3)へ送信することができる(S4−2)。
図10に示されるように、中間ノードB(2)は、認証済ノード情報を装置認証の結果として認証装置7から受信し(S5−1)、通信制御情報として下位ノードC,D,E(3_1〜3_3)へ送信することができる(S5−2)。
図11は新たな下位ノードE(3_3)が接続されたときの認証フローの別の一例を示すシーケンス図であり、図12は図11に例示される認証フローで送受されるメッセージの一例を示す説明図である。図7と図8には、図5と図6に示される2台の下位ノードCとD(3_1と3_2)が認証を受けた後に、さらに下位ノードE(3_3)が新たに接続された時の認証フローを示した。図7と図8では新たな下位ノードE(3_3)が接続されたことを中間ノードB(2)が検出して認証情報収集要求を送信するフローを示した。一方ここでは、図11と図12を引用して、新たに接続された下位ノードE(3_3)が主体的に認証を要求する場合の認証フローについて説明する。
新たに中間ノードB(2)に接続された下位ノードE(3_3)は、自身の認証情報に基づいたチケットの取得要求を中間ノードB(2)に送信する(S3−1)。ここで、「チケット」とはノードE(3_3)を認証することができる認証装置にしか生成することができない情報であり、認証装置7はノードE(3_3)の固有IDと鍵を共有していることにより、Eのチケットを生成することができる。ノードE(3_3)からチケット取得要求を受け取った中間ノードB(2)は、それを上位ノードA(1)にリダイレクトする(S3−2)。この要求は認証装置7までリダイレクトされ(S3−3)、認証装置7はEのチケットを生成する。このとき、認証装置7はノードE(3_3)が真正なデバイスである場合にのみ、Eのチケットを生成することができる。例えば不真正なデバイスである場合には、認証装置7は真正なノードE(3_3)とは固有IDと鍵を共有していることにより、Eのチケットを生成することができるが、当該不真正なデバイスとはIDと鍵を共有していないため、対応するチケットを生成することができない。認証装置7で生成されたチケットは、順次下位に向かってリダイレクトされ(S3−4、S3−5)、中間ノードB(2)はチケットを受け取り、ノードE(3_3)にチケットを受け渡す(S3−6)。
これにより、端末装置が新たに通信路に接続された場合に、当該新規の端末装置から主体的に、当該通信路から排除されるべき不正な装置についての情報を得ることができる。
以上説明したような、新たに追加された装置が認証要求の主体となる実施の形態については、実施形態4にさらに詳しく説明する。
〔実施形態2〕<2段階認証>
図13は、実施形態2のシステム構成例を表すブロック図である。
自動車などの装置(X)10には複数の電子制御装置(ECU)即ちゲートウェイECU1、ECU(B)3_1及びECU(C)3_2が搭載されており、それらが装置内部のCANなどのネットワーク4_1〜4_3によって階層的に接続されている。ゲートウェイECU1は、外部の認証装置7と外部ネットワーク5によって通信することができる。外部ネットワーク5は有線・無線を問わない任意の通信ネットワークである。ゲートウェイECU1は外部ネットワーク5上に存在する認証装置7に対して、各デバイス(ゲートウェイECU1、ECU(B)3_1、ECU(C)3_2)の固有IDがホワイトリストに含まれるかどうかを問い合わせることができる。
装置(X)10が起動した後、ゲートウェイECU1、ECU(B)3_1、ECU(C)3_2は、それぞれの間で相互に認証し接続を確立する。これはローカルな相互接続認証である。これと相前後して、ゲートウェイECU1は、自身の認証情報であるIDと固有鍵を暗号化した状態で認証装置7に送信し、認証結果を受け取る。
その後、ゲートウェイECU1は、ECU(B)3_1及びECU(C)3_2と通信を開始するために、各ECUに対して固有IDの送付を要求し、認証情報を取得する。ここで、認証情報とは、例えばそれぞれのECUに固有のIDと固有鍵であり、それぞれのECUによって暗号化された状態で取得する。ゲートウェイECU1は、ECU(B)3_1及びECU(C)3_2から取得した認証情報を、ネットワーク5を経由して認証装置7に送信して認証を要求する。認証要求を受け取った認証装置7は、受信した固有鍵と自身がそれぞれのECUに対応して持つ共有鍵とによる認証プロトコルを実行して各ECUを認証し、合せてECU(B)3_1及びECU(C)3_2のIDがホワイトリストに含まれるかどうかを確認して、その認証結果をゲートウェイECU1に返す。
ここで、ECU(B)3_1については外部認証に成功し、ECU(C)3_2については外部認証に失敗したとする。即ち、ECU(B)3_1の固有IDは認証装置7の保持するホワイトリストに存在したが、ECU(C)3_2の固有IDはホワイトリストに存在しなかったものとする。その認証結果に基づいて、ゲートウェイECU1は、外部認証に成功したECU(B)3_1との通信を開始し、外部認証に失敗したECU(C)3_2との通信を切断し、合せて、ECU(B)3_1に対してECU(C)3_2が認証に失敗したことを通知する。ECU(B)3_1はその情報を受け取り、ECU(C)3_2との通信を切断する。
ここで、ローカルな相互接続認証がされた状態では、通信路4_1〜4_3を介して、外部認証に必要最低限のメッセージの送受のみを許容する状態とし、外部認証が成功した後に、その通信路に限って具体的な制御情報の送受を許容する状態に変更するとよい。一方、外部認証に失敗したECUとの通信路の切断は、物理層で信号を遮断してもよいし、より上位の論理層で信号を破棄するなどの方法でもよい。上述の例では通信路4_2と4_3が切断される。
以上のように、装置(X)10において、外部の認証装置7を利用して2段階認証を行うことにより、装置(X)10内部だけの情報では排除できなかった不正なECU(上述の例ではECU(C)3_2)を排除し、システムの堅牢性を確保することができる。ただし、装置(X)10が自動車で、各ECUが車載の電子制御装置であるような場合、一律に通信を切断すると走行不能となることも考えられるため、ユーザー(自動車の運転者)に対して、不正と判断されたECUとの通信を切断するか否かを問い合わせ、その指示によっては不正と判断されたECUとの通信を維持するように構成しても良い。
<共有バス型接続>
図14は、実施形態2の別のシステム構成例を表すブロック図である。装置(X)10内のネットワークが上述(図13)のようなスター型接続ではなく、共有バス型接続で構成されている。
一般に、共有バス型接続ネットワークにおいては、同一バス上に接続されたデバイスには個別のアドレスが割り振られ、それに基づいて情報の送受信が行われる。ゲートウェイECU1、ECU(B)3_1及びECU(C)3_2には、アドレス12.34.56.1、12.34.56.2及び12.34.56.3が割り付けられているものとして説明する。共有バス型接続ネットワークにおける通信では、このアドレスが利用され、宛先アドレスと送信元アドレスが、ペイロードである送信データに付与されたメッセージ(パケット)がバスに送出される。
図15は、共有バス型接続ネットワークにおける通信パケットの構成例を示す説明図である。ECU(B)3_1からECU(C)3_2を宛先とするパケットが例示される。宛先としてECU(C)3_2のアドレス12.34.56.3が、送信元としてECU(B)3_1のアドレス12.34.56.2が、ペイロードである送信データに付与されている。
このパケットがバス4に送出されたときには、ゲートウェイECU1は、パケットに付される宛先の12.34.56.3が自身のアドレス12.34.56.1に一致しないので受信しない。ECU(C)3_2は宛先が自身のアドレス12.34.56.3に一致するのでこのパケットを受信する。したがって、宛先が12.34.56.3で送信元が12.34.56.2であるような通信は、図13に示される通信路4_3をECU(B)3_1からECU(C)3_2に向かって送信される通信と同一視することができる。
逆に、ECU(B)3_1のアドレス12.34.56.2を宛先とし、ECU(C)3_2のアドレス12.34.56.3を送信元とするパケットは、ECU(C)3_2からECU(B)3_1への通信である。したがって、宛先が12.34.56.2で送信元が12.34.56.3であるような通信は、図13に示される通信路4_3をECU(C)3_2からECU(B)3_1に向かって送信される通信と同一視することができる。
このように、バス上におけるECU(B)3_1とECU(C)3_2の間の通信を1対1のスター型接続の通信路4_3上での通信とみなすことができる。
同様に、宛先12.34.56.1/送信元12.34.56.2および宛先12.34.56.2/送信元12.34.56.1である通信は、ゲートウェイECU1とECU(B)3_1間の、1対1のスター型接続の通信路4_1上での通信とみなすことができる。また、宛先12.34.56.1/送信元12.34.56.3および宛先12.34.56.3/送信元12.34.56.1である通信は、ゲートウェイECU1とECU(C)3_2間の、1対1のスター型接続の通信路4_2上での通信とみなすことができる。
したがって、ゲートウェイECU1、ECU(B)3_1及びECU(C)3_2からなるバス型ネットワーク(図14)は、個々のECUがスター型接続されたネットワーク(図13)に帰着して議論することができる。
バスに接続されるECUの数が増えても、同様の議論ができる。
図16は、装置(X)10に搭載されるバス型ネットワークに接続されるECUの数が5個に増えたときのシステム構成例を表すブロック図である。バス4には、ゲートウェイECU1と、ECU(B1)3_1〜ECU(B4)3_4が接続されている。
図17は、図16に対応するECUの数が5個のスター型接続ネットワークが、装置(X)10に搭載される場合のシステム構成例を表すブロック図である。送信元と宛先の組み合わせの数だけ配線のあるスター型接続ネットワークとみなすことができる。この場合はネットワークの構造が頂点数5の完全グラフになる。
このとき、ブロードキャスト通信もそれぞれのネットワークで実現することができ、2つのネットワークを同一視して議論することができる。図16に示されるバス型ネットワークにおいて、ゲートウェイECU1と、ECU(B1)3_1〜ECU(B4)3_4のアドレスをそれぞれ、12.34.56.1〜12.34.56.5とする。このとき、1つのECU例えばECU(B1)3_1からゲートウェイECU1と他のECU(B2)3_2〜ECU(B4)3_4へのブロードキャスト通信は、宛先として12.34.56.*のように最下位がマスクされたアドレス値を使用することによって実現される。一方、図17に示されるスター型ネットワークにおいては、通信路4_10、4_12、4_13及び4_14への同一データの同時送信によって、ブロードキャスト通信が実現される。
したがって、バスに接続されるECUの数が増えても、同等のスター型ネットワークを構成することができ、バス型ネットワークと同様の議論ができる。
即ち、本実施形態2では、図13と図14に示したように、1個のゲートウェイECUと他の2個のECUを備える装置Xについて説明したが、ECUの数及びネットワーク構造は任意の構成に変更することができる。
〔実施形態3〕<階層的なネットワーク>
装置X内の通信路4は、ECUの数及びネットワーク構造を任意の構成に変更することができることを、上記の実施形態2で説明したが、通信路4を構成するネットワークは階層化されてもよい。ECUのネットワークが多段のツリー構造をなしていても、階層ごとに認証し、信頼できるノードを増やしていくことでシステム全体を認証できる。
図18は、実施形態3のシステム構成例を表すブロック図である。
自動車などの装置(Y)10には、外部の認証装置7と外部ネットワーク5によって通信することができるゲートウェイECU1を含む複数のECUが搭載されており、それらが装置内部のCANなどのネットワーク4_1〜4_8によって階層的に接続されている。ゲートウェイECU1と通信路4_1〜4_4によってそれぞれ直接接続されたECU(B1)3_1、ECU(B2)3_2、ECU(B3)2_1及びECU(B4)3_3が、第1階層である。このうちECU(B3)2_1は第2階層への中継装置(中間ノード)である。中継ECU(B3)2_1と通信路4_5〜4_7によってそれぞれ直接接続されたECU(C1)3_4、ECU(C2)2_2及びECU(C3)3_5が、第2階層である。このうちECU(C2)2_2は第3階層への中継装置(中間ノード)である。中継ECU(C2)2_2と通信路4_8によって直接接続されたECU(D)3_6が、第3階層である。ゲートウェイECU1と直接接続されていないECU(C1〜C3)3_4、2_2、3_5とECU(D)3_6は各自が接続された中継ECU(B3)2_1または中継ECU(C2)2_2を経由してゲートウェイECU1や他の階層のECUと通信する。
装置(Y)10が起動した後、ゲートウェイECU1を含む上記複数のECUは、それぞれの間でローカルな相互接続認証を行い、接続を確立する。これと相前後して、ゲートウェイECU1は、自身の認証情報であるIDと固有鍵を暗号化した状態で認証装置7に送信し、認証結果を受け取る。
その後、ゲートウェイECU1を経由して第1階層の各ECUについて外部認証を受けるための処理を実行する。ゲートウェイECU1は、第1階層のECU(B1)3_1、ECU(B2)3_2、ECU(B3)2_1及びECU(B4)3_3から認証情報を収集し、認証装置7に送信して認証を要求する。認証装置7はホワイトリストによる認証を行い、認証結果をゲートウェイECU1に返送する。ゲートウェイECU1は、第1階層のECU(B1)3_1、ECU(B2)3_2、ECU(B3)2_1及びECU(B4)3_3のうち、外部認証に成功した各ECUと通信を開始する。ローカルな相互認証後の通信は、外部認証のためのメッセージの送受に限定されるが、この段階での通信ではその限定が解除される。
次に、外部認証された中継ECU(B3)2_1を経由して第2階層の各ECUについて外部認証を受けるための処理を実行する。ただし、中継ECU(B3)2_1について外部認証に失敗した場合には、以降の認証処理は実行されない。中継ECU(B3)2_1は、第2階層のECU(C1)3_4、ECU(C2)2_2及びECU(C3)3_5から認証情報を収集し、ゲートウェイECU1に送信して認証を要求する。認証要求を受け取ったゲートウェイECU1は、それを認証装置7に送信して認証を要求する。認証装置7はホワイトリストによる認証を行い、認証結果をゲートウェイECU1に返送する。結果を受け取ったゲートウェイECU1は、それを中継ECU(B3)2_1に転送する(リダイレクト)。中継ECU(B3)2_1は、第2階層のECU(C1)3_4、ECU(C2)2_2及びECU(C3)3_5のうち、外部認証に成功した各ECUと通信を開始する。
次に、外部認証された中継ECU(C2)2_2を経由して第3階層の各ECUについて外部認証を受けるための処理を実行する。ただし、中継ECU(C2)2_2について外部認証に失敗した場合には、以降の認証処理は実行されない。中継ECU(C2)2_2は、第3階層のECU(D)3_6から認証情報を収集し、中継ECU(B3)2_1に送信して認証を要求する。認証要求を受け取ったECU(B3)2_1はゲートウェイECU1に要求をリダイレクトする。中継ECU(B3)2_1から要求を受け取ったゲートウェイECU1は、それを認証装置7に送信して認証を要求する。認証装置7はホワイトリストによる認証を行い、認証結果をゲートウェイECU1に返送する。結果を受け取ったゲートウェイECU1は、それを中継ECU(B3)2_1にリダイレクトする。リダイレクトされた認証結果を受け取った中継ECU(B3)2_1は、それを中継ECU(C2)2_2にさらにリダイレクトする。第3階層のECU(D)3_6が外部認証に成功したときには、中継ECU(C2)2_2はそのECU(D)3_6と通信を開始する。
以上のように、ECUのネットワークが多段のツリー構造をなしていても、階層ごとに認証し、信頼できるノードを増やしていくことでシステム全体を認証できる。
外部認証に失敗した場合には、ゲートウェイECU1、中継ECU(B3)2_1または中継ECU(C2)2_2は、認証に失敗したECUとの通信を切断する。第1階層の各ECUの外部認証の結果、ECU(B1)3_1についての認証が失敗した場合には、ゲートウェイECU1はECU(B1)3_1との通信を切断する。第2階層の各ECUの外部認証の結果、ECU(C1)3_4についての認証が失敗した場合には、ゲートウェイECU1はその結果を中継ECU(B3)2_1にリダイレクトし、中継ECU(B3)2_1はECU(C1)3_4との通信を切断する。第2階層の各ECUの外部認証の結果、中継ECU(C2)2_2についての認証が失敗した場合には、ゲートウェイECU1はその結果を中継ECU(B3)2_1にリダイレクトし、中継ECU(B3)2_1は中継ECU(C2)2_2との通信を切断する。その結果、第3階層のECU(D)3_6についての外部認証は実行されない。
以上は、外部認証を受けるための処理を、階層ごとに順次実行する実施の形態について説明したが、すべてまたは一部を一括して実行することもできる。
装置(Y)10が起動した後、ゲートウェイECU1を含む上記複数のECUは、それぞれの間でローカルな相互接続認証を行い、接続を確立する。これと相前後して、ゲートウェイECU1は、自身の認証情報であるIDと固有鍵を暗号化した状態で認証装置7に送信し、認証結果を受け取る。
まず、ゲートウェイECU1は、第1階層のECU(B1)3_1、ECU(B2)3_2、ECU(B3)2_1及びECU(B4)3_3に対して、認証情報の収集を要求する。中継ECU(B3)2_1は、第2階層のECU(C1)3_4、ECU(C2)2_2及びECU(C3)3_5に対して、認証情報の収集を要求する。中継ECU(C2)2_2は、第3階層のECU(D)3_6に認証情報の収集を要求する。
第1階層のECU(B1)3_1、ECU(B2)3_2及びECU(B4)3_3は、自身の認証情報をゲートウェイECU1に応答として返す。第2階層のECU(C1)3_4及びECU(C3)3_5は、自身の認証情報を中継ECU(B3)2_1に応答として返す。第3階層のECU(D)3_6は、自身の認証情報を中継ECU(C2)2_2に応答として返す。
ゲートウェイECU1は、ECU(B1)3_1、ECU(B2)3_2及びECU(B4)3_3から受け取った認証情報を記憶し、中継ECU(B3)2_1からの応答を待つ。中継ECU(B3)2_1は、ECU(C1)3_4及びECU(C3)3_5から受け取った認証情報を記憶し、中継ECU(C2)2_2からの応答を待つ。
中継ECU(C2)2_2は、ECU(D)3_6から受け取った認証情報と、自身の認証情報とを合わせて中継ECU(B3)2_1に応答として返す。中継ECU(B3)2_1は、中継ECU(C2)2_2から受け取ったECU(D)3_6と中継ECU(C2)2_2の認証情報と、記憶しているECU(C1)3_4及びECU(C3)3_5から受け取った認証情報と、自身の認証情報とを合わせて、ゲートウェイECU1に応答として返す。ゲートウェイECU1は、中継ECU(B3)2_1から受け取ったECU(D)3_6、ECU(C2)2_2、ECU(C1)3_4、ECU(C3)3_5及びECU(B3)2_1の認証情報と、記憶しているECU(B1)3_1、ECU(B2)3_2及びECU(B4)3_3の認証情報と、自身の認証情報とを合わせて、認証装置7に認証要求を送信する。
認証装置7は受け取った認証情報についてそれぞれ認証を実行し、認証結果をゲートウェイECU1に返す。ゲートウェイECU1は外部認証結果に基づき、認証済ノード情報を第1階層のECU(B1)3_1、ECU(B2)3_2、ECU(B3)2_1及びECU(B4)3_3に通知する。中継ECU(B3)2_1は、ゲートウェイECU1から受け取った認証済ノード情報を、第2階層のECU(C1)3_4、ECU(C2)2_2及びECU(C3)3_5にリダイレクトする。中継ECU(C2)2_2は、中継ECU(B3)2_1から受け取った認証済ノード情報を、第3階層のECU(D)3_6にリダイレクトする。ここで、認証済ノード情報に代えて不正ノード情報を送受するように変更してもよい。
以上で装置(Y)10全体の外部認証が完了する。
ここで説明した認証方法において、不正ノード(不真正なECU)が混入していた場合の動作について述べる。一例として、中継ECU(C2)2_2が不正ノード(不真正なECU)であったとする。認証情報の収集要求と応答は、上述の説明と同様であり、ゲートウェイECU1は、ECU(B1)3_1、ECU(B2)3_2、ECU(B3)2_1、ECU(B4)3_3、ECU(C1)3_4、ECU(C2)2_2、ECU(C3)3_5及びECU(D)3_6の認証情報と、自身の認証情報とを合わせて、認証装置7に認証要求を送信する。認証装置7は受け取った認証情報についてそれぞれ認証を実行し、認証結果をゲートウェイECU1に返す。この場合、認証結果には、ECU(C2)2_2については不正なデバイスであるため認証に失敗した旨の結果であり、他のECUについては認証に成功した旨の結果が含まれる。
認証装置7から認証結果を受け取ったゲートウェイECU1は、その認証結果を参照して、第1階層のECU(B1)3_1、ECU(B2)3_2、ECU(B3)2_1及びECU(B4)3_3のうち認証が成功しているECUに対して、不正ノード情報を送信する。この例では、第1階層の各ECUは認証に成功しているので、ゲートウェイECU1は第1階層の全てのECUに不正ノード情報を送信する。中継ECU(B3)2_1は、ゲートウェイECU1から受け取った不正ノード情報を参照して、第2階層のECU(C1)3_4、ECU(C2)2_2及びECU(C3)3_5のうち認証が成功しているECUに対して、その不正ノード情報を送信する。この例では、ECU(C1)3_4とECU(C3)3_5は認証に成功しているので、中継ECU(B3)2_1はECU(C1)3_4とECU(C3)3_5に不正ノード情報を送信するが、中継ECU(C2)2_2は認証に失敗しているので、中継ECU(B3)2_1は中継ECU(C2)2_2との通信を切断する。その結果、中継ECU(C2)2_2よりも下位のECU(D)3_6に対しては不正ノード情報が送信されず、またECU(D)3_6は真正か不真正かに関わらず他のECUと通信することができない。
続いて、ゲートウェイECU1は、認証済ノード情報を第1階層のECU(B1)3_1、ECU(B2)3_2、ECU(B3)2_1及びECU(B4)3_3に通知する。ゲートウェイECU1から認証済みノード情報を受け取った中継ECU(B3)2_1は、不正ノードとして通知されたECU(C2)2_2を除くECU(C1)3_4とECU(C3)3_5に認証済ノード情報をリダイレクトする。このとき認証済ノード情報にはECU(D)3_6が含まれているが、ECU(D)3_6とは通信できないため、個々のECUは不必要と判断すればECU(D)3_6についての情報は破棄してもよい。
以上のように、中継ECU(C2)2_2の外部認証(ホワイトリストによる認証)が失敗した場合は、中継ECU(C2)2_2が正規のデバイスではないことを他のデバイスに通知し、通信を切断させる。さらにECU(C2)2_2を経由した通信は安全性を保証できないため、その下位に接続されるECU(D)3_6との通信も行わない。ただし、装置(Y)10が自動車で、各ECUが車載の電子制御装置であるような場合、一律に通信を切断すると走行不能となることも考えられるため、ユーザー(自動車の運転者)に対して、不正と判断されたECUとの通信を切断するか否かを問い合わせ、その指示によっては不正と判断されたECUとの通信を維持するように構成しても良い。
以上説明した通り、デバイス(ECU)間の通信に複数のデバイスを経由する必要がある場合においても、通信の安全性を段階的に確保していくことにより、システム全体の安全性を保証できる。不正なデバイスがシステムに混入していた場合でも、その影響を当該不正デバイスからのみアクセスできる下位領域に属するデバイスに限局できる。
さらに、図18に示した階層的なネットワークを実現する、階層バスネットワークと全域木によるツリー型構造との対応関係について説明する。
図19は、図18に示す階層的なネットワークを階層バスネットワークで構成した例を示す説明図である。図18と同様に、装置(Y)10には、外部の認証装置7と外部ネットワーク5によって通信することができるゲートウェイECU1を含む複数のECUが搭載されており、それらが装置内部の階層バスネットワークを構成するバス4_21と4_22及び1:1の通信路4_8によって階層的に接続されている。バス4_21は、ゲートウェイECU1と第1階層のECU(B1)3_1、ECU(B2)3_2、ECU(B3)2_1及びECU(B4)3_3とを相互に接続する。このとき、ECU(B3)2_1は第2階層への中継装置(中間ノード)である。バス4_22は、中継ECU(B3)2_1と第2階層のECU(C1)3_4、ECU(C2)2_2及びECU(C3)3_5とを相互に接続する。このとき、ECU(C2)2_2はさらに下位階層への中継装置(中間ノード)である。中継ECU(C2)2_2とECU(D)3_6とは1:1の通信路4_8によって直接接続されている、階層バスネットワークの第3階層である。
図20は、図19に示す階層バスネットワークを、それと同一視することができる完全グラフ構造のネットワークに置換して構成した例を示す説明図である。図19の第1階層のバス4_21は、通信路4_1〜4_4と4_10〜4_15による完全グラフ構造のネットワークに置換される。また図19の第2階層のバス4_22は、通信路4_5〜4_7と4_16〜4_18による完全グラフ構造のネットワークに置換される。このように、ネットワーク全体を、複数の完全グラフが中継ECUで連結された構造とみなすことができる。図に示す例の場合、バス4_21は頂点数5の完全グラフ、バス4_22は頂点数4の完全グラフと同一視でき、中継ECU(B3)2_1を節点として連結されている。
また、バス型ネットワークにおいてDHCP(Dynamic Host Configuration Protocol)等の手段でゲートウェイを発見する動作は、グラフの全域木(spanning tree)を構成することと等価となる。全域木を構成する手段はDHCP以外にも幅優先探索、深さ優先探索等、システムに応じた方法を選択してよい。構成が固定されたシステムにおいては、ネットワークの構造についての情報をあらかじめ各ECUに記憶させておくことで、より効率的に全域木を構成できる。
図21は、図20に示す完全グラフ構造のネットワークにおいて、DHCP等の手段によって全域木を構成した例を示す説明図である。第1階層は、ゲートウェイECU1と、ECU(B1)3_1、ECU(B2)3_2、ECU(B3)2_1及びECU(B4)3_3とをそれぞれ接続する通信路4_1〜4_4(実線)によるツリー構造に帰着される。第2階層は、中継ECU(B3)2_1と、第2階層のECU(C1)3_4、ECU(C2)2_2及びECU(C3)3_5とをそれぞれ接続する通信路4_5〜4_7(実線)によるツリー構造に帰着される。このように、全域木を使うことで、階層バス構造ネットワークにおける外部認証の手順もツリー型構造での認証に帰着できる。ビザンチン故障型攻撃によって誤った全域木が構成されてしまう問題については、仮説保証推論によって安全性を担保することができる。
次に、特定のECUとしか通信できないレガシーなECUがバス上に接続されている場合について述べる。
図22は、レガシーなECUを含む複数のECUが接続されるバス型ネットワークによる構成例を示す説明図である。説明を簡略化するために、バスは1階層のみとし、バス4にゲートウェイECU1とECU(B)3_1とECU(C)3_2とレガシーなECU(D)3_3が接続されている。レガシーECU(D)3_3はバス4に接続されているが、ECU(C)3_2とのみ通信でき、他のECUと直接通信することはできないものとする。
図23は、許容される通信の経路を考慮した上で、図22に示すネットワーク構造と同一視できるネットワーク構造を示す説明図である。この場合のネットワーク構造は、ゲートウェイECU1、ECU(B)3_1及びECU(C)3_2の間には通信路4_1〜4_3が張られ、レガシーECU(D)3_3はECU(C)3_2と間のみに、通信路4_4が張られるような構成と同一視することができる。
この場合について全域木を構成すると、図24のようなツリー構造になる。バスが階層化されている場合についても同様である。
このように、特定のノードとのみ通信が可能なようなレガシーなノードをバスに含む場合にも、全域木を使うことで、バス構造ネットワークにおける外部認証の手順もツリー型構造での認証に帰着できる。
〔実施形態4〕<端末からのチケット要求>
本実施形態4では、既に外部認証された複数のECUを備えた装置に、さらに新たな未認証のECUが追加された場合の外部認証について説明する。
図25は、実施形態4のシステム構成例を表すブロック図である。
自動車などの装置(Z)10には、外部の認証装置7と外部ネットワーク5によって通信することができるゲートウェイECU1を含む複数のECUが搭載されており、それらが装置内部のCANなどのネットワーク4_1〜4_2によって階層的に接続されている。中継ECU(B)2_1とECU(C)3_1及びECU(D)3_2とはバス4_1で接続されており、これらの外部認証は既に完了しているものとする。これに対して、バス4_2を介して未認証のECU(E)3_3が新たに接続されたものとして説明する。
ECU(E)3_3は、ネットワーク5と直接通信できない。また、装置(Z)10に接続された時点では自身と直接接続されているECU(C)3_1及びECU(D)3_2、さらにそれらを経由して接続された中継ECU(B)2_1やその上層にあるゲートウェイECU1の正当性についての情報を持たない。この状態では、不正ノード情報及び認証済ノード情報について、ECU(E)3_3に接続されているECU(C)3_1とECU(D)3_2のそれぞれから、相互に矛盾した通知を送られたとすると、ECU(E)3_3は事前に信頼すべき情報を与えられない限り、どちらからの通知を信用すべきか判定することができない。
今、ゲートウェイECU1、中継ECU(B)2_1及びECU(C)3_1は外部認証に成功しており、ECU(D)3_2は外部認証に失敗しているものとする。
ECU(E)3_3は、動作を開始した後、自身と直接接続されたECU(C)3_1及びECU(D)3_2の両方に対してチケットを要求する。ここでチケットとは、ECU(E)3_3の固有IDと固有鍵などの認証情報を共有している認証装置にしか生成することができない情報である。当該チケットにはECU(E)3_3の供給元の装置でしか生成できない暗号文が含まれており、ECU(E)3_3はそれを復号して検証することで、当該チケットが確かに外部ネットワークを通して正規に送られてきたものであると確認することができる。
ECU(C)3_1に送られたチケット取得要求は、中継ECU(B)2_1にリダイレクトされ、さらにゲートウェイECU1にリダイレクトされ、ゲートウェイECU1からネットワーク5を通して認証装置7に送信される。認証装置7は、自身が持つECU(E)3_3の認証情報に基づいてECU(E)3_3のチケットを生成する。認証装置7がチケットを生成することができない場合、ECU(E)3_3の認証情報に基づいてECU(E)3_3の供給元認証装置にチケット取得要求を送信し、当該供給元認証装置においてECU(E)3_3のチケットが生成され、認証装置7に返送されてもよい。
一方、ECU(D)3_2は外部認証に失敗しているので、中継ECU(B)2_1により通信を切断されているため、チケット取得要求を中継ECU(B)2_1を始めとする上位ノードにリダイレクトすることができない。
認証装置7またはECU(E)3_3の供給元認証装置で生成されたチケットは、認証装置7からネットワーク5を介してゲートウェイECU1に送信され、ゲートウェイECU1から中継ECU(B)2_1にリダイレクトされ、さらにECU(C)3_1にリダイレクトされる。ECU(D)3_2への通信は切断されているので、中継ECU(B)2_1からECU(D)3_2へは送信されない。その結果、チケットはECU(C)3_1からECU(E)3_3に返送され、ECU(D)3_2からは返送されない。
ECU(E)3_3は、チケットを復号して検証することで、当該チケットが確かに外部ネットワークを通して正規に送られてきたものである事を確認する。ECU(E)3_3は、チケット取得要求を送信したECU(C)3_1とECU(D)3_2のうち、チケットを返送してきたECU(C)3_1を真正なデバイスと認め、通信を確立する一方、チケットを返送してこないECU(D)3_2を不真正なデバイスと判断して通信を切断する。ただし、装置(Z)10が自動車で、各ECUが車載の電子制御装置であるような場合、一律に通信を切断すると走行不能となることも考えられるため、ユーザー(自動車の運転者)に対して、不正と判断されたECUとの通信を切断するか否かを問い合わせ、その指示によっては不正と判断されたECUとの通信を維持するように構成しても良い。
これにより、デバイス(ECU(E)3_3)がシステムの外部と直接通信できない状態であっても、デバイス自身が接続されたデバイスおよびシステムの正当性を検証することができる。
〔実施形態5〕<分散ハッシュ>
本実施形態5では、装置V(10)が相互認証機能を持たないレガシーなP2Pネットワークを含む通信路を備える実施の形態について説明する。
図26は、実施形態5のシステム構成例を表すブロック図である。
装置V(10)には、外部の認証装置7と外部ネットワーク5によって通信することができるゲートウェイノードA(1)と中継ノードB(2)とその他のノードC〜I(3_1〜3_7)が搭載されており、それらが通信路4_1〜4_11で構成される内部ネットワーク4によって階層的に接続されている。通信路4_1で接続されるゲートウェイノードA(1)と中継ノードB(2)とは、相互認証が成立し、中継ノードB(2)と他のノードC〜I(3_1〜3_7)及び他のノード相互間は、レガシーなP2Pネットワークであって、相互認証機能を持たないとして説明する。なお、ノードC〜I(3_1〜3_7)の一部のノードは、他のノードに対する中継ノードとして機能する場合があるが、ノードの呼称としては必ずしも「中継」の語を付けない。
上述の各実施形態と同様に、装置V(10)を自動車とし、各ノードをECUとして実現することもできる。ゲートウェイノードA(1)と中継ノードB(2)は、上述の各実施形態と同様の方法により、外部認証を受けることができる。
中継ノードB(2)と相互認証機能を持たない他のノードC〜I(3_1〜3_7)には、それぞれ固有の分散ハッシュ値9_0〜9_7が割り当てられる。レガシーなP2Pネットワークでは、ノード間の通信はこの分散ハッシュ値を頼りに行われる。例えば、ノードB(2)がノードH(3_6)と通信する場合は、ノードB(2)はノードH(3_6)の分散ハッシュ値9_6を用いて経路を探索する。この場合、ノードE(3_3)、ノードF(3_4)及びノードG(3_5)はノードH(3_6)と直接接続されており、ノードH(3_6)への通信を中継することができる。ノードB(2)が通信先であるノードH(3_6)の分散ハッシュ値9_6が付与されたデータを、直接接続されるノードC(3_1)とノードD(3_2)とノードF(3_4)に送信する。ノードC(3_1)は、受信した分散ハッシュ値9_6とは異なる分散ハッシュ値9_1を持つので応答せず、またネットワークの末端であるのでそのデータをリダイレクトもしない。ノードD(3_2)は、受信した分散ハッシュ値9_6とは異なる分散ハッシュ値9_2を持つので応答はしないが、ネットワークの末端ではないので、そのデータを直接接続されるノードE(3_3)にリダイレクトする。ノードF(3_4)は、受信した分散ハッシュ値9_6とは異なる分散ハッシュ値9_4を持つので応答はしないが、ネットワークの末端ではないので、そのデータを、直接接続されるノードG(3_5)、ノードH(3_6)及びノードI(3_7)にリダイレクトする。ノードH(3_6)は、受信した分散ハッシュ値9_6が自身の分散ハッシュ値9_6と一致するので、ノードF(3_4)に応答し、ノードF(3_4)はこの応答をノードB(2)にリダイレクトする。同様に、ノードB(2)−ノードD(3_2)−ノードE(3_3)−ノードH(3_6)の経路、ノードB(2)−ノードD(3_2)−ノードE(3_3)−ノードG(3_5)−ノードH(3_6)の経路、及び、ノードB(2)−ノードF(3_4)−ノードG(3_5)−ノードH(3_6)の経路でも、ノードB(2)とノードH(3_6)との通信は成立し得る。
ネットワーク4がこのように一般のグラフ構造をなしている場合においても、グラフの全域木をあらかじめ構築し、その全域木の上で階層的な認証を行うことで、ネットワーク上の全ノードを認証することができる。
図27は、図26に示す一般のグラフ構造のネットワークを幅優先探索等で構成した例を示す説明図である。幅優先探索で構成された全域木を図中の実線4_2、4_3、4_4、4_5、4_8、4_9、4_10で示す。ただし、全域木を構成する方法、および全域木の構造は図示したもの以外にも複数ありうる。ネットワークの全域木が構成できれば、実施形態3に述べたような階層的なネットワークにおけるデバイス認証が適用できる。即ち、装置V(10)が起動した後、ゲートウェイノードA(1)は、中継ノードB(2)との間でローカルな相互接続認証を行い、接続を確立する。これと相前後して、ゲートウェイノードA(1)は、自身の認証情報であるIDと固有鍵を暗号化した状態で認証装置7に送信し、認証結果を受け取る。次に、ゲートウェイノードA(1)は、中継ノードB(2)に対して、認証情報の収集を要求する。
認証情報の収集を要求された中継ノードB(2)は、直接接続されているノードC(3_1)とノードD(3_2)とノードF(3_4)に対して、認証情報の収集を要求する。ここで、中継ノードB(2)と各ノードの間の通信は、ローカルな相互認証の手段を持たないが、各ノードに割り振られた分散ハッシュ値を使って、通信を行なうことができる。中継ノードB(2)はノードC(3_1)とノードD(3_2)とノードF(3_4)のそれぞれに対して、割り振られた分散ハッシュ値9_1と9_2と9_4をそれぞれ付して認証情報の収集を要求する。ノードC(3_1)は、これに対して自身の認証情報を中継ノードB(2)に応答する。中継ノードB(2)は、受信したノードC(3_1)の認証情報を記憶して、他のノードからの応答を待つ。ノードD(3_2)は中継ノードであるため、認証情報の収集要求をノードE(3_3)へリダイレクトする。ノードE(3_3)は、構成された全域木では末端のノードであるので、自身の認証情報をノードD(3_2)に応答する。ノードD(3_2)は受信したノードE(3_3)の認証情報に自身の認証情報を合せて、中継ノードB(2)に応答する。中継ノードB(2)は、受信したノードD(3_2)とノードE(3_3)の認証情報を記憶して、他のノードからの応答を待つ。ノードF(3_4)もまた中継ノードであるため、認証情報の収集要求をノードG(3_5)、ノードH(3_6)及びノードI(3_7)へリダイレクトする。ノードG(3_5)、ノードH(3_6)及びノードI(3_7)は、構成された全域木ではそれぞれ末端のノードであるので、自身の認証情報をノードF(3_4)に応答する。ノードノードF(3_4)は、受信したノードG(3_5)、ノードH(3_6)及びノードI(3_7)の認証情報に自身の認証情報を合せて、中継ノードB(2)に応答する。中継ノードB(2)は、記憶しているノードC(3_1)、ノードD(3_2)及びノードE(3_3)の認証情報と、受信したノードG(3_5)、ノードH(3_6)、ノードI(3_7)及びノードノードF(3_4)の認証情報に自身の認証情報を合せて、ゲートウェイノードA(1)に応答する。ゲートウェイノードA(1)は、受信した中継ノードB(2)、ノードC(3_1)、ノードD(3_2)、ノードE(3_3)、ノードG(3_5)、ノードH(3_6)、ノードI(3_7)及びノードF(3_4)の認証情報を、ネットワーク5を介して認証装置7へ送って複数のノード個々の認証を要求する。
認証装置7は受け取った認証情報についてそれぞれ認証を実行し、結果をゲートウェイノードA(1)に返す。ゲートウェイノードA(1)は、その認証結果において中継ノードB(2)が真正であると認証されていれば、認証結果を中継ノードB(2)に送る。中継ノードB(2)は、認証結果に基づく認証済ノード情報または不正ノード情報を、認証情報の収集要求と同じ経路で下層の各ノードに伝送する。受信した各ノードは、受信した認証済ノード情報または不正ノード情報に基づいて、自身の通信相手が真正なノードである場合には通信を続けるが、不正ノードである場合には当該不正ノードとの間の通信を遮断する。
次に、ネットワークに不正/敵性ノードが混入しており、誤った全域木が構成された場合について述べる。ここでは、仮にノードD(3_2)が不正ノードであると仮定して説明する。
図28は、図27において、ノードD(3_2)が不正ノードであり、これによる偽の情報によって構成された全域木の例である。不正ノードであるノードD(3_2)による偽の情報によってノードE(3_3)は認証のツリーから外れた状態になっている。このような状況は、例えばノードD(3_2)がノードG(3_5)になりすます、ノードE(3_3)がノードD(3_2)を上位ノードと判定したにもかかわらずノードD(3_2)がノードE(3_3)の情報を破棄する、などの動作によって発生する。
この状況において、上で説明した認証処理と同様に、ゲートウェイノードA(1)は、装置V(10)が起動した後、中継ノードB(2)との間でローカルな相互接続認証を行って接続を確立し、これと相前後して、自身の認証情報であるIDと固有鍵を暗号化した状態で認証装置7に送信して認証結果を受け取る。次に、ゲートウェイノードA(1)は、中継ノードB(2)に対して、認証情報の収集を要求する。
認証情報の収集を要求された中継ノードB(2)は、直接接続されているノードC(3_1)とノードD(3_2)とノードF(3_4)に対して、認証情報の収集を要求する。中継ノードB(2)はノードC(3_1)とノードD(3_2)とノードF(3_4)のそれぞれに対して、割り振られた分散ハッシュ値9_1と9_2と9_4をそれぞれ付して認証情報の収集を要求する。ノードC(3_1)は、これに対して自身の認証情報を中継ノードB(2)に応答する。中継ノードB(2)は、受信したノードC(3_1)の認証情報を記憶して、他のノードからの応答を待つ。ノードD(3_2)は不正ノードであり自らを全域木のネットワークの末端としているので、認証情報の収集要求をノードE(3_3)へリダイレクトすることなく、自身の認証情報を中継ノードB(2)に応答する。中継ノードB(2)は、受信したノードD(3_2)の認証情報を記憶して、他のノードからの応答を待つ。ノードF(3_4)は中継ノードであるため、認証情報の収集要求をノードG(3_5)、ノードH(3_6)及びノードI(3_7)へリダイレクトする。ノードG(3_5)、ノードH(3_6)及びノードI(3_7)は、構成された全域木ではそれぞれ末端のノードであるので、自身の認証情報をノードF(3_4)に応答する。ノードF(3_4)は、受信したノードG(3_5)、ノードH(3_6)及びノードI(3_7)の認証情報に自身の認証情報を合せて、中継ノードB(2)に応答する。中継ノードB(2)は、記憶しているノードC(3_1)及びノードD(3_2)の認証情報と、受信したノードG(3_5)、ノードH(3_6)、ノードI(3_7)及びノードF(3_4)の認証情報に自身の認証情報を合せて、ゲートウェイノードA(1)に応答する。ゲートウェイノードA(1)は、受信した中継ノードB(2)、ノードC(3_1)、ノードD(3_2)、ノードG(3_5)、ノードH(3_6)、ノードI(3_7)及びノードF(3_4)の認証情報を、ネットワーク5を介して認証装置7へ送って複数のノード個々の認証を要求する。
認証装置7は受け取った認証情報についてそれぞれ認証を実行し、結果をゲートウェイノードA(1)に返す。ゲートウェイノードA(1)は、その認証結果において中継ノードB(2)が真正であると認証されていれば、認証結果を中継ノードB(2)に送る。中継ノードB(2)は、認証結果に基づく認証済ノード情報または不正ノード情報を、認証情報の収集要求と同じ経路で下層の各ノードに伝送する。受信した各ノードは、受信した認証済ノード情報または不正ノード情報に基づいて、自身の通信相手が真正なノードである場合には通信を続けるが、不正ノードである場合には当該不正ノードとの間の通信を遮断する。ここでは、中継ノードB(2)は、ノードD(3_2)が不正ノードであるという認証結果に基づいて、ノードD(3_2)との間の通信を遮断し、当該認証結果に基づく認証済ノード情報または不正ノード情報を、ノードD(3_2)を除く各隣接ノードへ伝搬する。これにより、不正ノードであるノードD(3_2)はネットワークから切り離される。
次に、不正ノードであるノードD(3_2)を排除した状態で、全域木を再構成する。
図29は、不正ノードであるノードD(3_2)を排除した状態で、再構成された全域木の例である。不正ノードであるノードD(3_2)との通信路4_3と4_5は切断されている。図27ではノードD(3_2)の下位ノードに位置づけられていたノードE(3_3)は、ノードD(3_2)との通信路4_5が切断されるためにノードF(3_4)からの探索の対象となり、例えばノードG(3_5)の下位ノードに位置づけられる。この再構成された全域木にそって再度認証情報を収集すれば、ノードE(3_3)を含む全てのノードを対象とする認証処理が実行される。もし新たに不正ノードが見つかった場合は、さらにその不正ノードを排除して全域木を再構成した後に再度認証する操作を、不正ノードが新たに発見されなくなるまで繰り返すことで外部認証されたノードのみによるネットワークが再構築できる。
以上のように、不正なノードが混入しているかもしれないP2Pネットワーク上であっても、接続されたノード同士が安全に通信できるように、各ノードに分散ハッシュ値を与えた上で、認証情報の収集を実行することができる。与えられた分散ハッシュ値は、それぞれのノードに固有のIDと共に、認証情報とすることができる。ある不正なノードが認証情報である分散ハッシュ値と固有IDの収集要求に応答しなかった場合は、当該ノードの分散ハッシュ値が承認済ノードのリストに含まれなくなるので、当該ノードは他のノードや外部のネットワークと通信を成立させることができない。仮に、不正ノードが収集要求に正しく応答して分散ハッシュ値を返したとしても、固有IDによるホワイトリスト認証に失敗するため、やはり通信は成立しない。これにより、ビザンチン故障的に振舞うノードをP2Pネットワークから排除することができる。
以上本発明者によってなされた発明を実施形態に基づいて具体的に説明したが、本発明はそれに限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは言うまでもない。
1 上位ノード
2 中継装置(中間ノード)
3 端末装置(下位ノード)
4 通信路、バス
5 (外部)ネットワーク
6 ブローカーサーバー
7 認証装置(認証サーバー)
9 分散ハッシュ値
10 装置(例えば自動車)
11 MPU(Micro-Processor Unit)、セキュアマイコン
12 HSM(Hardware Security Module)
13 暗号処理モジュール
14 デバイス固有ID、デバイス固有鍵
15 CPU(Central Processing Unit)
16 RAM(random Access Memory)
17 外部インターフェース(I/F: interface)
18 バス

Claims (16)

  1. 認証装置と通信可能であり、第1の端末装置及び第2の端末装置が接続された通信路において、下位側にある前記第1の端末装置及び前記第2の端末装置と、上位にある前記認証装置と、の間の通信を中継する中継装置であって、
    前記中継装置、前記第1の端末装置及び前記第2の端末装置は、それぞれ認証情報として、固有の識別子と、固有鍵または固有の分散ハッシュ値とを有し、
    前記中継装置は、
    自機の認証情報を前記認証装置に送出し、
    前記第1の端末装置及び前記第2の端末装置から前記認証情報を収集して、収集した前記認証情報を前記認証装置に送出し、
    真正な装置の前記認証情報が登録されたホワイトリストと前記中継装置、前記第1の端末装置及び前記第2の端末装置の前記認証情報との比較に基づいて前記認証装置が行った前記中継装置、前記第1の端末装置及び前記第2の端末装置のそれぞれについての認証の結果を受信し、
    前記中継装置が真正な装置である場合、前記認証の結果に基づき、前記第1の端末装置及び前記第2の端末装置のうち不真正であると判定された不真正端末装置と、自機との通信を遮断するとともに、前記第1の端末装置及び前記第2の端末装置のうち真正であると判定された真正端末装置に対し、前記不真正端末装置と前記真正端末装置との通信を遮断させるための通信制御情報を送出する、中継装置。
  2. 前記中継装置、前記第1の端末装置及び前記第2の端末装置が、前記認証情報として、前記固有の識別子及び前記固有の固有鍵を有する場合、
    前記中継装置は、前記第1の端末装置及び前記第2の端末装置から前記認証情報を収集する前に、前記第1の端末装置及び前記第2の端末装置との間で相互認証を行う、請求項1に記載の中継装置。
  3. 前記中継装置は、自機の前記識別子及び前記固有鍵を暗号化して前記認証装置に送出し、
    前記第1の端末装置及び前記第2の端末装置から収集した暗号化された前記第1の端末装置及び前記第2の端末装置の前記識別子及び前記固有鍵を前記認証装置に送出し、
    前記認証装置は、前記暗号化された前記識別子及び前記固有鍵を復号し、復号された前記識別子及び前記固有鍵に基づいて前記中継装置、前記第1の端末装置及び前記第2の端末装置が真正な装置であるか否かを判定する、請求項2に記載の中継装置。
  4. 前記中継装置と前記認証装置との間の通信路上に設けられるゲートウェイを含み、
    前記中継装置は、
    自機の認証情報を、前記ゲートウェイを介して前記認証装置に送出し、
    前記第1の端末装置及び前記第2の端末装置から認証情報を収集して、前記ゲートウェイを介して前記第1の端末装置及び前記第2の端末装置の認証情報を前記認証装置に送出し、
    前記認証装置から前記ゲートウェイを介して前記認証の結果を受信し、
    前記中継装置が真正な装置である場合、前記認証の結果に基づき、前記不真正端末装置と、自機との通信を遮断するとともに、
    前記ゲートウェイ以外の前記第1の端末装置及び前記第2の端末装置に対し、前記不真正端末装置との通信を遮断させるための通信制御情報を送出する、請求項1に記載の中継装置。
  5. 前記中継装置、前記第1の端末装置及び前記第2の端末装置は、それぞれ個別の電子制御装置であり、前記通信路は車載ネットワークである、請求項1に記載の中継装置。
  6. 前記中継装置、前記第1の端末装置及び前記第2の端末装置が、前記認証情報として、前記固有の識別子及び前記固有の固有鍵を有する場合、
    前記認証の結果、前記不真正端末装置が存在することが判明したとき、前記中継装置は、前記不真正端末装置との通信を遮断するか否かを、前記車載ネットワークを備えた車両を使用する者に問い合わせる機能を有する、請求項5に記載の中継装置。
  7. 他の端末装置が下位側に接続される中継装置を介して上位側の認証装置と通信可能であり、前記中継装置の下位側において前記中継装置と接続される端末装置であって、
    前記端末装置、前記中継装置及び前記他の端末装置は、それぞれ認証情報として、固有の識別子と、固有鍵または固有の分散ハッシュ値とを有し、
    前記端末装置は、
    前記中継装置からの要求により、自機の認証情報を前記中継装置に送信し、
    前記中継装置に送信された前記自機の認証情報、前記中継装置の前記認証情報及び前記他の端末装置の前記認証情報は、前記中継装置によって前記認証装置に送出され、
    真正な装置の前記認証情報が登録されたホワイトリストと、前記中継装置、前記端末装置及び前記他の端末装置の前記認証情報と、の比較に基づいて前記認証装置が行った前記中継装置、前記端末装置及び前記他の端末装置のそれぞれについての認証の結果は、前記中継装置によって受信され、
    前記端末装置は、
    前記中継装置および端末装置が真正である場合、前記認証の結果に基づき、不真正であると判定された前記他の端末装置との通信を遮断させるための通信制御情報を前記中継装置から受信し、
    前記通信制御情報に基づき、前記認証において不真正であると判定された前記他の端末装置との通信を遮断する、端末装置。
  8. 前記端末装置、前記中継装置及び前記他の端末装置が、前記認証情報として、前記固有の識別子及び前記固有鍵を有する場合、
    前記端末装置は、前記中継装置へ前記認証情報を送信する前に、前記中継装置との間で相互認証を行い、
    前記端末装置は、自機の前記識別子及び前記固有鍵を暗号化して前記中継装置に送出し、
    前記中継装置は、自機の前記識別子及び前記固有鍵を暗号化して前記認証装置に送出し、
    前記中継装置は、前記他の端末装置からそれぞれ暗号化された前記識別子及び前記固有鍵を収集し、前記端末装置から受信した暗号化された前記識別子及び前記固有鍵と、前記他の端末装置から収集した暗号化された前記識別子及び前記固有鍵とを前記認証装置に送出し、
    前記認証装置は、前記暗号化された前記識別子及び前記固有鍵を復号し、復号された前記識別子及び前記固有鍵に基づいて前記端末装置、前記中継装置及び前記他の端末装置が真正な装置であるか否かを判定する、請求項7に記載の端末装置。
  9. 前記端末装置、前記中継装置及び前記他の端末装置は、それぞれ個別の電子制御装置であり、車載ネットワーク上に配置される、請求項7に記載の端末装置。
  10. 前記端末装置、前記中継装置及び前記他の端末装置が、前記認証情報として、前記固有の識別子及び前記固有鍵を有する場合、
    前記端末装置は、前記不真正な端末装置との通信を遮断するとき、前記不真正な端末装置との通信を遮断するか否かを、前記車載ネットワークを備えた車両を使用する者に問い合わせる機能を有する、請求項に記載の端末装置。
  11. 中継装置と、前記中継装置の上位側にある認証装置と、前記中継装置の下位側に接続される第1の端末装置及び第2の端末装置と、を含む通信システムにおいて通信路を介して行われる通信方法であって、
    前記中継装置、前記第1の端末装置及び前記第2の端末装置は、それぞれ認証情報として、固有の識別子と、固有鍵または固有の分散ハッシュ値とを有し、
    前記中継装置は、
    真正な装置の前記認証情報が登録されたホワイトリストと前記中継装置、前記第1の端末装置及び前記第2の端末装置の前記認証情報との比較に基づいて前記中継装置、前記第1の端末装置及び前記第2の端末装置のそれぞれについて認証する前記認証装置に対し、自機の認証情報を送出し、
    前記通信路に接続された前記第1の端末装置及び前記第2の端末装置から前記認証情報を収集し、
    前記認証装置に対し、前記第1の端末装置及び前記第2の端末装置の認証情報を送出し、
    前記認証装置から前記認証の結果を受信し、
    前記中継装置が真正な装置である場合、前記認証の結果に基づき、前記第1の端末装置及び前記第2の端末装置のうち不真正であると判定された不真正端末装置と、自機との通信を遮断するとともに、真正であると判定された真正端末装置に対し、不真正端末装置との通信を遮断させるための通信制御情報を送出する、通信方法。
  12. 前記通信制御情報を受信した前記真正端末装置は、前記通信制御情報に基づき、前記不真正端末装置との通信を遮断する、請求項11に記載の通信方法。
  13. 前記中継装置、前記第1の端末装置及び前記第2の端末装置が、前記認証情報として、前記固有の識別子及び前記固有鍵を有する場合、
    前記他の前記第1の端末装置及び前記第2の端末装置は、前記中継装置へ前記認証情報を送信する前に、前記中継装置との間で相互認証を行い、
    前記中継装置は、自機の前記識別子及び前記固有鍵を暗号化して前記認証装置に送出し、
    前記他の前記第1の端末装置及び前記第2の端末装置は、自機の前記識別子及び前記固有鍵を暗号化して前記中継装置に送出し、
    前記中継装置は、前記通信路に接続された前記第1の端末装置及び前記第2の端末装置からそれぞれ暗号化された前記識別子及び前記固有鍵を収集して前記認証装置に送出し、
    前記認証装置は、前記暗号化された前記識別子及び前記固有鍵を復号し、復号された前記識別子及び前記固有鍵に基づいて前記中継装置、前記第1の端末装置及び前記第2の端末装置が真正な装置であるか否かを判定する、請求項11に記載の通信方法。
  14. 前記他の装置は前記中継装置と前記認証装置との間の通信路上に設けられるゲートウェイを含み、
    前記中継装置は、
    自機の認証情報を、前記ゲートウェイを介して前記認証装置に送出し、
    前記第1の端末装置及び前記第2の端末装置から認証情報を収集し、
    収集した前記認証情報を、前記ゲートウェイを介して前記認証装置に送出し、
    前記認証装置から前記ゲートウェイを介して前記認証の結果を受信する、請求項11に記載の通信方法。
  15. 前記中継装置、前記第1の端末装置及び前記第2の端末装置は、それぞれ個別の電子制御装置であり、前記通信路は車載ネットワークである、請求項11に記載の通信方法。
  16. 前記中継装置、前記第1の端末装置及び前記第2の端末装置が、前記認証情報として、前記固有の識別子及び前記固有の固有鍵を有する場合、
    前記認証の結果、前記不真正端末装置が存在することが判明したとき、前記中継装置または前記真正端末装置は、当該不真正端末装置との通信を遮断するか否かを、前記車載ネットワークを備えた車両を使用する者に問い合わせる、請求項15に記載の通信方法。
JP2015012877A 2015-01-27 2015-01-27 中継装置、端末装置および通信方法 Active JP6545966B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2015012877A JP6545966B2 (ja) 2015-01-27 2015-01-27 中継装置、端末装置および通信方法
CN201510946793.0A CN105827587B (zh) 2015-01-27 2015-12-17 中继设备、终端设备和通信方法
US14/985,242 US10284553B2 (en) 2015-01-27 2015-12-30 Relay apparatus, terminal apparatus, and communication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015012877A JP6545966B2 (ja) 2015-01-27 2015-01-27 中継装置、端末装置および通信方法

Publications (2)

Publication Number Publication Date
JP2016139883A JP2016139883A (ja) 2016-08-04
JP6545966B2 true JP6545966B2 (ja) 2019-07-17

Family

ID=56434296

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015012877A Active JP6545966B2 (ja) 2015-01-27 2015-01-27 中継装置、端末装置および通信方法

Country Status (3)

Country Link
US (1) US10284553B2 (ja)
JP (1) JP6545966B2 (ja)
CN (1) CN105827587B (ja)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6677132B2 (ja) * 2016-09-06 2020-04-08 住友電気工業株式会社 車載通信機、管理装置、管理方法および監視プログラム
US11381472B2 (en) * 2016-09-30 2022-07-05 Faraday & Future Inc. Visualization of intra-vehicular communications networks
JP6724717B2 (ja) * 2016-10-25 2020-07-15 株式会社オートネットワーク技術研究所 車載機器判定システム
JP6547154B2 (ja) * 2016-11-30 2019-07-24 本田技研工業株式会社 通信システム
JP6981755B2 (ja) * 2017-01-25 2021-12-17 トヨタ自動車株式会社 車載ネットワークシステム
JP6784178B2 (ja) * 2017-01-27 2020-11-11 住友電気工業株式会社 車載通信システム、ゲートウェイ、スイッチ装置、通信制御方法および通信制御プログラム
US10630661B2 (en) * 2017-02-03 2020-04-21 Qualcomm Incorporated Techniques for securely communicating a data packet via at least one relay user equipment
GB2561256A (en) 2017-04-05 2018-10-10 Stmicroelectronics Grenoble2 Sas Apparatus for use in a can system
JP6869104B2 (ja) * 2017-05-22 2021-05-12 ルネサスエレクトロニクス株式会社 認証方法
US10993100B2 (en) * 2017-09-07 2021-04-27 Huf Secure Mobile GmbH System and method of low energy mobile device recognition
US10009325B1 (en) * 2017-12-07 2018-06-26 Karamba Security End-to-end communication security
JP6973122B2 (ja) * 2018-01-26 2021-11-24 トヨタ自動車株式会社 車載ネットワークシステム
WO2019167384A1 (ja) * 2018-02-28 2019-09-06 株式会社オートネットワーク技術研究所 車載通信システム、スイッチ装置、検証方法および検証プログラム
DE102019000823B4 (de) 2018-03-13 2022-06-02 Avago Technologies International Sales Pte. Limited System für eine koordinative Sicherheit quer durch mehrschichtige Netzwerke
US11108830B2 (en) * 2018-03-13 2021-08-31 Avago Technologies International Sales Pte. Limited System for coordinative security across multi-level networks
RU2725033C2 (ru) * 2018-03-30 2020-06-29 Акционерное общество "Лаборатория Касперского" Система и способ создания правил
FR3085569A1 (fr) * 2018-08-31 2020-03-06 Psa Automobiles Sa Procede de configuration d’un calculateur de vehicule
CN114640995A (zh) * 2019-06-28 2022-06-17 华为技术有限公司 认证方法、设备及***
JP7372527B2 (ja) * 2019-09-26 2023-11-01 富士通株式会社 通信中継プログラム、中継装置、及び通信中継方法
JP7520580B2 (ja) 2020-06-04 2024-07-23 株式会社東海理化電機製作所 システム、処理装置、およびプログラム
JP7404210B2 (ja) * 2020-09-28 2023-12-25 株式会社東海理化電機製作所 システム、及びプログラム
EP4060947A1 (de) * 2021-03-16 2022-09-21 Siemens Aktiengesellschaft Authentifizieren eines knotens in einem kommunikationsnetz einer automatisierungsanlage
WO2023148951A1 (ja) * 2022-02-07 2023-08-10 日本電気株式会社 情報通信システム、情報通信方法、および記録媒体
CN115348583B (zh) * 2022-10-18 2023-01-03 中国民航信息网络股份有限公司 一种高速移动场景下的通信方法及***

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1188325A (ja) 1997-09-01 1999-03-30 Toyo Commun Equip Co Ltd ネットワークにおける認証システム
US6463474B1 (en) * 1999-07-02 2002-10-08 Cisco Technology, Inc. Local authentication of a client at a network device
JP3502304B2 (ja) * 1999-07-22 2004-03-02 株式会社ネスター 貯蔵庫
US7797367B1 (en) * 1999-10-06 2010-09-14 Gelvin David C Apparatus for compact internetworked wireless integrated network sensors (WINS)
US7062490B2 (en) 2001-03-26 2006-06-13 Microsoft Corporation Serverless distributed file system
US20050136834A1 (en) * 2003-12-19 2005-06-23 Motorola, Inc. Communication system with adopted remote identity
JP4923388B2 (ja) * 2004-05-27 2012-04-25 富士ゼロックス株式会社 内容証明システム
JP4551202B2 (ja) * 2004-12-07 2010-09-22 株式会社日立製作所 アドホックネットワークの認証方法、および、その無線通信端末
CN100389555C (zh) 2005-02-21 2008-05-21 西安西电捷通无线网络通信有限公司 一种适合有线和无线网络的接入认证方法
CN101150406B (zh) * 2006-09-18 2011-06-08 华为技术有限公司 基于802.1x协议的网络设备认证方法及***及相关装置
CN100495963C (zh) 2006-09-23 2009-06-03 西安西电捷通无线网络通信有限公司 一种公钥证书状态的获取及验证方法
CN102209066B (zh) * 2010-03-31 2015-03-11 ***通信集团公司 网络认证的方法和设备
KR102051492B1 (ko) 2011-04-15 2020-01-08 삼성전자주식회사 머신-대-머신 서비스 제공 방법 및 장치
JP2013048374A (ja) * 2011-08-29 2013-03-07 Toyota Motor Corp 保護通信方法
CN103096310A (zh) * 2011-11-08 2013-05-08 ***通信集团公司 传感网通信方法和装置以及传感网节点装置和网关设备
JP6056164B2 (ja) * 2012-03-23 2017-01-11 日本電気株式会社 複数ネットワークによる認証装置、認証方法、認証システム、及びそのためのプログラム
WO2013144962A1 (en) * 2012-03-29 2013-10-03 Arilou Information Security Technologies Ltd. Security system and method for protecting a vehicle electronic system
EP2852100A4 (en) * 2012-05-14 2015-05-06 Toyota Motor Co Ltd COMMUNICATION MANAGEMENT DEVICE AND COMMUNICATION MANAGEMENT PROCESS FOR A VEHICLE-SPECIFIC NETWORK
US9130837B2 (en) * 2012-05-22 2015-09-08 Cisco Technology, Inc. System and method for enabling unconfigured devices to join an autonomic network in a secure manner
CN102724197B (zh) * 2012-06-25 2015-08-12 上海交通大学 无线中继网络中的链路双向安全认证方法
JP5920134B2 (ja) * 2012-09-18 2016-05-18 マツダ株式会社 車両の上部車体構造
JP6301579B2 (ja) * 2012-12-03 2018-03-28 フェリカネットワークス株式会社 通信端末、通信方法、プログラム、及び通信システム
CN103997427A (zh) * 2014-03-03 2014-08-20 浙江大学 通信网络检测与防攻击保护方法、装置、通信设备及***

Also Published As

Publication number Publication date
US20160219051A1 (en) 2016-07-28
US10284553B2 (en) 2019-05-07
CN105827587A (zh) 2016-08-03
CN105827587B (zh) 2021-05-11
JP2016139883A (ja) 2016-08-04

Similar Documents

Publication Publication Date Title
JP6545966B2 (ja) 中継装置、端末装置および通信方法
US11665004B2 (en) Systems and methods for enabling trusted communications between controllers
JP5310761B2 (ja) 車両ネットワークシステム
JP5651615B2 (ja) 車載ネットワークシステム
ES2376143T3 (es) Marco de distribución de clave simétrica para internet.
US8424064B2 (en) Distributed device revocation
CN108616504B (zh) 一种基于物联网的传感器节点身份认证***及方法
CN105530253B (zh) 基于CA证书的Restful架构下的无线传感器网络接入认证方法
KR102177794B1 (ko) 사물인터넷 블록체인 환경에서의 디바이스 분산 인증 방법 및 이를 이용한 디바이스 분산 인증 시스템
JP2020532215A (ja) 車両用のIoTデバイスの安全な通信
US8145917B2 (en) Security bootstrapping for distributed architecture devices
JP2013516685A (ja) コンピューターポリシーを施行するためのシステムおよび方法
CN105516980A (zh) 一种基于Restful架构的无线传感器网络令牌认证方法
JP2014138380A (ja) 車両不正状態検出方法、車載システムにおける制御方法、およびシステム
AU712879B2 (en) Virtual authentication network for secure processors
Li et al. Enhancing the trust of internet routing with lightweight route attestation
CN106027473A (zh) 身份证读卡终端与云认证平台数据传输方法和***
CN110771087B (zh) 私钥更新
CN112261103A (zh) 一种节点接入方法及相关设备
WO2017008556A1 (zh) 一种无线接入点和管理平台鉴权的方法和装置
KR101816582B1 (ko) 차량 및 그 제어방법
CN114386063A (zh) 用于访问物联网设备数据的鉴权***、方法及装置
Priyadharshini et al. An efficient key agreement and anonymous privacy preserving scheme for vehicular ad‐hoc networks with handover authentication
JP4321303B2 (ja) プログラム配信システムおよび車載ゲートウェイ装置
Shannon et al. Blockchain based distributed key provisioning and secure communication over CAN FD

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20170330

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171127

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180629

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180724

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180925

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20190219

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190520

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20190528

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190618

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190620

R150 Certificate of patent or registration of utility model

Ref document number: 6545966

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150