CN109661797B - 通信系统、中继装置及通信方法 - Google Patents
通信系统、中继装置及通信方法 Download PDFInfo
- Publication number
- CN109661797B CN109661797B CN201780053753.0A CN201780053753A CN109661797B CN 109661797 B CN109661797 B CN 109661797B CN 201780053753 A CN201780053753 A CN 201780053753A CN 109661797 B CN109661797 B CN 109661797B
- Authority
- CN
- China
- Prior art keywords
- message
- update
- communication
- information
- common information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/568—Storing data temporarily at an intermediate stage, e.g. caching
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
- H04L9/16—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms the keys or algorithms being changed during operation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Abstract
提供一种能够进行使用了值可发生变化的共有信息的报文的收发的通信系统、中继装置、通信装置及通信方法。中继装置对连接有一个或多个通信装置的多个通信线之间的通信进行中继。通信装置及中继装置存储共有信息,生成使用了共有信息的报文,向其他装置发送生成的报文,并接收来自其他装置的报文,基于共有信息来判定接收到的报文是否正确。通信装置和中继装置中的至少1个装置向其他装置发送使共有信息更新的更新命令。通信装置及中继装置在接收到更新命令的情况下对存储的共有信息进行更新。通信装置或中继装置在从共有信息的更新至经过预定期间为止的期间接收到使用更新前的共有信息而生成的报文的情况下,将该报文判定为正当的报文。
Description
技术领域
本发明涉及中继装置对多个通信线间的通信进行中继的结构的通信系统、中继装置、通信装置及通信方法。
背景技术
近年来,在例如搭载于车辆的网络中,作为用于防止非法的通信装置的连接或者通过正规的通信装置的接管等而进行对于网络的非法的报文发送的对应策略,提出了进行使用报文认证码(MAC:Message Authentication Code)的报文收发的方案。但是,MAC根据正规的通信装置共有的密钥和发送的信息而生成,在密钥与发送信息的组合相同的情况下成为相同值。因此,在使用MAC的方法中,对于过去取得在网络上收发的正规的报文并将取得的报文再次发送的重发攻击没有效果。
对于报文的重发攻击,可采取例如通过将定期地变化的信息等组入于MAC生成的运算而使过去的正规报文无效化的对应策略。但是为了实现该对应策略,网络中的多个通信装置需要共有定期地变化的信息,多个通信装置需要使共有信息同步变化。
专利文献1记载了如下的通信系统:网络中的各通信装置使用校验值来生成MAC并发送包含该MAC的报文,通过根据接收到的报文包含的MAC而再生的再生值与校验值的比较来判定报文是否正确。在专利文献1记载的通信系统中,基于包含对校验值的更新进行指示的内容的报文,将各通信装置的校验值同步。
在先技术文献
专利文献
专利文献1:国际公开编号WO2013/175633
发明内容
发明要解决的课题
利用专利文献1记载的通信装置进行的使用了特定的报文的校验值的同步方法在收发报文的多个通信装置连接于1个共用的通信线的结构的通信系统中能没有问题地运用。然而,在将多个通信线经由网关或路由器等中继装置连接且与各通信线连接的通信装置非同步地进行报文的收发的结构的通信系统中,使校验值同步的报文的中继发生延迟或冲突等,由此存在暂时性地同步产生偏差的可能性。
本发明鉴于这样的情况而作出,其目的是提供在多个通信线间的通信由中继装置中继的结构中能够进行使用了值可发生变化的共有信息的报文的收发的通信系统、中继装置、通信装置及通信方法。
用于解决课题的方案
本发明的通信系统是一个或多个通信装置连接于通信线且中继装置对多个所述通信线之间的通信进行中继的通信系统,其特征在于,所述通信装置和所述中继装置分别具有:存储部,存储共有信息;报文生成部,生成使用了所述共有信息的报文;报文发送部,向其他装置发送所述报文生成部生成的报文;报文接收部,接收来自其他装置的报文;及判定部,基于所述共有信息来判定所述报文接收部接收到的报文是否正确,所述通信装置和所述中继装置中的至少一个装置具有向其他装置发送使所述共有信息更新的更新命令的更新命令发送部,所述通信装置及所述中继装置还具有在接收到所述更新命令的情况下对所述存储部存储的共有信息进行更新的更新部,当所述通信装置或所述中继装置在从所述共有信息的更新至经过预定期间为止的期间接收到使用更新前的共有信息而生成的报文的情况下,所述判定部将该报文判定为正当的报文。
另外,本发明的通信系统的特征在于,所述中继装置具有报文修正部,在从所述共有信息的更新至经过预定期间为止的期间接收到使用更新前的共有信息而生成的报文的情况下所述报文修正部将该报文修正为使用了更新后的共有信息的报文,所述中继装置对所述报文修正部修正了的报文进行中继。
另外,本发明的通信系统的特征在于,所述报文生成部生成的报文包含表示所述共有信息的更新状态的更新状态信息,所述判定部基于所述共有信息及接收到的报文包含的更新状态信息来判定报文是否正确。
另外,本发明的通信系统的特征在于,所述更新状态信息是按照所述更新命令使值以预定的规则变化的信息。
另外,本发明的通信系统的特征在于,所述更新状态信息是按照所述更新命令使值反转的触发位(toggle bit)。
另外,本发明的通信系统的特征在于,所述报文生成部生成的报文包括基于所述共有信息和所述报文包含的信息而生成的报文认证码,所述判定部基于接收到的报文包含的信息及报文认证码和存储部存储的所述共有信息来判定所述报文是否正确。
另外,本发明的中继装置对分别连接有一个或多个通信装置的多个通信线间的通信进行中继,其特征在于,具备:存储部,存储与所述通信装置之间共有的共有信息;报文接收部,从所述通信装置接收使用所述共有信息而生成的报文;判定部,基于所述共有信息来判定所述报文接收部接收到的报文是否正确;更新部,对所述存储部存储的共有信息进行更新;及报文修正部,在从所述共有信息的更新至经过预定期间为止的期间接收到使用更新前的共有信息而生成的报文的情况下,将该报文修正为使用了更新后的共有信息的报文。
另外,本发明的通信装置与至少连接有中继装置的通信线连接,经由所述通信线及所述中继装置进行通信,其特征在于,具备:存储部,存储与所述中继装置之间共有的共有信息;报文生成部,生成使用了所述共有信息的报文;报文发送部,向其他装置发送所述报文生成部生成的报文;报文接收部,接收来自其他装置的报文;判定部,基于所述共有信息来判定所述报文接收部接收到的报文是否正确;及更新部,在接收到从其他装置发送的所述共有信息的更新命令的情况下,对所述存储部存储的共有信息进行更新,在从所述共有信息的更新至经过预定期间为止的期间接收到使用更新前的共有信息而生成的报文的情况下,所述判定部将该报文判定为正当的报文。
另外,本发明的通信方法是一个或多个通信装置连接于通信线且连接有多个所述通信线的中继装置对所述通信线间的通信进行中继的通信方法,其特征在于,所述通信装置及所述中继装置存储共有信息,生成使用了所述共有信息的报文而向其他装置发送,基于所述共有信息来判定从其他装置接收到的报文是否正确,所述通信装置和所述中继装置中的至少一个装置向其他装置发送使所述共有信息更新的更新命令,所述通信装置及所述中继装置在接收到所述更新命令的情况下对所述共有信息进行更新,所述通信装置或所述中继装置在从所述共有信息的更新至经过预定期间为止的期间接收到使用更新前的共有信息而生成的报文的情况下,将该报文判定为正当的报文。
在本发明中,通信系统是一个或多个通信装置连接于一个通信线、这样的多个通信线连接于中继装置、中继装置对通信线间的通信进行中继的结构。在各通信线进行的通信的协议可以不必为相同的协议,可以是中继装置对不同的协议间的通信进行转换并中继。而且,可以采用多个中继装置连接于更上位的中继装置的分级性的系统结构。
通信系统包含的通信装置及中继装置存储共有信息,使用存储的共有信息进行向其他装置的报文的生成及发送和从其他装置接收到的报文是否正确的判定。通信装置及中继装置存储的共有信息可变,通过通信系统包含的通信装置和中继装置中的至少1个装置发送的更新命令而更新。即,1个装置发送的更新命令在网络中传递而由通信装置及中继装置接收,接收到更新命令的通信装置及中继装置对自身存储的共有信息进行更新。需要说明的是,共有信息的更新可以例如以1秒钟、1分钟、1小时、1天或1周等预定周期进行,而且,例如通信系统只要搭载于车辆即可,可以每当车辆的点火信号变化为接通状态时等某些事件发生时进行。
1个装置发送的更新命令在发送时或在通信线间被中继时等可能会发生冲突或延迟等。因此,本发明的通信系统的中继装置在从进行共有信息的更新的定时至经过预定的期间为止的期间,将使用更新前的共有信息而生成的报文和使用更新后的共有信息而生成的报文这两方作为正当的报文进行处理,设为中继的对象。或者,本发明的通信系统的通信装置在从进行共有信息的更新的定时至经过预定的期间为止的期间,接收使用更新前的共有信息而生成的报文和使用更新后的共有信息而生成的报文这两方作为正当的报文。需要说明的是,进行共有信息的更新的定时在发送更新命令的装置的情况下,可以设为更新了自身的共有信息的定时或发送了更新命令的定时等,在接收更新命令的装置的情况下,可以设为接收到更新命令的定时或更新了自身的共有信息的定时等。
由此,在从1个装置发送的更新命令被通信系统包含的全部的装置接收为止的一定的期间内,能够收发使用更新前的共有信息而生成的报文和使用更新后的共有信息而生成的报文。由此,即使在中继装置对多个通信线间的通信进行中继的结构的通信系统中,也能够实现使用了值变化的共有信息的报文收发。
另外,在本发明中,中继装置在接收到使用更新前的共有信息而生成的报文的情况下,将该报文修正为使用了更新后的共有信息的报文并进行中继。由此,中继目的地的通信装置能够接收使用了更新后的共有信息的报文。因此,通信装置无需进行将从共有信息的更新至经过预定期间为止接收到的使用了更新前的共有信息的报文处理为正当的报文的处理。
另外,在本发明中,表示共有信息的更新状态的更新状态信息包含于报文。更新状态信息可以设为根据更新命令使值以预定的规则进行变化的信息,例如根据更新命令使值反转的触发位。通过将这样的更新状态信息包含于报文,中继装置及通信装置能够容易地判断接收到的报文是使用了更新前的共有信息的报文还是使用了更新后的共有信息的报文。
另外,在本发明中,进行报文发送的装置基于共有信息和发送的报文包含的信息来生成报文认证码,向其他装置发送包含该报文认证码的报文。接收到报文的装置基于接收报文包含的信息和自身存储的共有信息来判定接收报文包含的报文认证码是否正确,判定接收报文是否正确。由此,能够提高在通信系统收发的报文的可靠性,并且通过附有使用了更新的共有信息的报文认证码而能够提高对于重发攻击的耐性。
发明效果
在本发明的情况下,在从共有信息的更新至经过预定的期间为止的期间,将使用更新前的共有信息而生成的报文和使用更新后的共有信息而生成的报文这两方作为正当的报文进行处理,由此多个通信线间的通信由中继装置中继的系统结构中,能够进行使用了值可发生变化的共有信息的报文的收发。
附图说明
图1是表示实施方式1的通信系统的结构的框图。
图2是用于说明利用实施方式1的通信系统收发的报文的结构的示意图。
图3是用于说明由于共有信息的偏差而产生的问题点的示意图。
图4是用于说明由于共有信息的偏差而产生的问题点的解决方法的示意图。
图5是用于说明触发位与报文是否中继的关系的示意图。
图6是表示ECU的结构的框图。
图7是表示网关的结构的框图。
图8是表示ECU进行的报文发送处理的次序的流程图。
图9是表示ECU进行的报文接收处理的次序的流程图。
图10是表示ECU进行的共有信息的更新处理的次序的流程图。
图11是表示网关进行的更新处理的次序的流程图。
图12是表示网关进行的报文中继处理的次序的流程图。
图13是表示网关进行的报文中继处理的次序的流程图。
图14是表示实施方式2的通信系统的结构的框图。
图15是表示实施方式2的通信系统的报文收发及共有信息更新的第一例的示意图。
图16是表示实施方式2的通信系统的报文收发及共有信息更新的第一例的示意图。
图17是表示实施方式2的通信系统的报文收发及共有信息更新的第一例的示意图。
图18是表示实施方式2的通信系统的报文收发及共有信息更新的第一例的示意图。
图19是表示实施方式2的通信系统的报文收发及共有信息更新的第一例的示意图。
图20是表示实施方式2的通信系统的报文收发及共有信息更新的第二例的示意图。
图21是表示实施方式2的通信系统的报文收发及共有信息更新的第二例的示意图。
图22是表示实施方式2的通信系统的报文收发及共有信息更新的第二例的示意图。
图23是表示实施方式2的通信系统的报文收发及共有信息更新的第二例的示意图。
具体实施方式
(实施方式1)
图1是表示实施方式1的通信系统的结构的框图。本实施方式的通信系统是搭载于车辆1的多个ECU(Electronic Control Unit)2经由配设在车辆1内的通信线1a、1b及网关4而相互进行通信的系统。本实施方式的通信系统中,网关4相当于中继装置,ECU2相当于通信装置。而且,在图示的例子中,是在车内的通信线1a上连接2个ECU2、在通信线1b上连接3个ECU2、且2根通信线1a、1b连接于网关4的系统结构,通过网关4对通信线1a、1b间的通信进行中继而全部的ECU2能够与其他ECU2之间进行数据的收发。
ECU2可包括例如对车辆1的发动机的动作进行控制的ECU、对车门的锁定/开锁进行控制的ECU、对灯的点亮/熄灭进行控制的ECU、对气囊的动作进行控制的ECU及对ABS(Antilock Brake System)的动作进行控制的ECU等各种ECU。各ECU2连接于在车辆1配设的通信线1a或1b,经由通信线1a、1b而能够与其他ECU2及网关4之间进行数据的收发。
网关4连接有车辆1的构成车内网络的多个通信线1a、1b,进行对通信线间的数据的收发进行中继的处理。在图1所示的例子中,在网关4连接有2个通信线1a、1b,即,将2个ECU2连接的第一通信线1a及将3个ECU2连接的第二通信线1b。网关4通过将从任一通信线1a、1b接收到的数据向其他通信线1a、1b发送而进行数据的中继。
在本实施方式的通信系统中,ECU2及网关4进行按照CAN(Controller AreaNetwork)的通信协议的通信。但是,在本实施方式的通信系统所采用的CAN的通信协议中导入报文认证码(MAC)的技术。在ECU2及网关4发送的报文附有MAC,接收到报文的ECU2及网关4通过判定报文附有的MAC是否正确,来进行接收报文是否正当的判定。
图2是用于说明利用实施方式1的通信系统收发的报文的结构的示意图。需要说明的是,图2仅示出以CAN的通信协议收发的报文包含的数据字段的8字节量,关于除此以外的仲裁字段及控制字段等字段省略图示。以CAN的通信协议收发的报文的数据字段由8字节(64位)的二值信息的范围构成。利用实施方式1的通信系统收发的报文的数据字段将排头的1位作为触发位,将接下来的31位作为MAC,将之后的32位作为数据。
从第5字节至第8字节的32位的数据是例如某ECU2对于其他ECU2应发送的信息。31位的MAC是基于32位的数据和ECU2及网关4共有的密钥及共有信息而生成的值。1位的触发位是ECU2及网关4共有的共有信息的更新处理中使用的信息,是每当进行更新处理时0/1反转的位。ECU2基于应发送的信息和存储的密钥及共有信息而生成MAC,生成将触发位及MAC附加于数据(应发送的信息)的数据字段。关于构成CAN的通信协议的报文的其他字段,ECU2只要按照通常的CAN的通信协议的次序来生成即可。
接收到报文的ECU2基于接收报文包含的数据字段的触发位的值来判定共有信息的更新处理是否正确地进行。在共有信息的更新处理正确地进行时,ECU2基于自身存储的密钥及共有信息和接收报文包含的32位的数据来生成MAC,基于生成的MAC与接收报文包含的MAC是否一致,来判定接收报文是否正当。
在本实施方式的通信系统中,ECU2及网关4具有的共有信息在预定的定时被更新。在本实施方式中,网关4在预定的定时生成更新用的新的共有信息,将自身存储的共有信息更新为新的共有信息,并将生成的共有信息与更新命令一起向全ECU2发送。接收到更新命令的ECU2将自身存储的共有信息置换为更新命令附有的新的共有信息,由此对共有信息进行更新。此时,网关4将更新命令向2个通信线1a、1b同时发送,但是在例如一方的通信线1a或1b产生报文的冲突等的情况下等,一方的更新命令的发送可能会延迟。在更新命令的发送发生了延迟的情况下,在与通信线1a连接的ECU2和与通信线1b连接的ECU2中,产生共有信息的值不同的时间带。
图3是用于说明由于共有信息的偏差而产生的问题点的示意图。需要说明的是,在本图及接下来的图中,关于搭载于车辆1的多个ECU2,将与通信线1a连接的ECU2区别为ECU2a,将与通信线1b连接的ECU2区别为ECU2b。如图3上段所示,例如网关4为了更新而生成新的共有信息(在图中记载为“共有信息(新)”),将附有新的共有信息的更新命令向通信线1a及1b同时发送。然而,与通信线1a连接的ECU2a比基于网关4的更新命令的发送稍早,在进行报文的发送的情况下,网关4无法进行向通信线1a的更新命令的发送,更新命令的发送延迟。此时ECU2a发送的报文附有使用更新前的旧的共有信息(在图中记载为“共有信息(旧)”)而生成的MAC(将这样的报文在图中记载为“报文(旧)”)。而且,与接收到来自网关4的更新命令的通信线1b连接的ECU2b将自身存储的旧的共有信息置换成更新命令附有的新的共有信息,由此对共有信息进行更新(在图中记载为“共有信息(旧)→(新)”)。
如图3下段所示,网关4在ECU2a的报文发送结束之后,向通信线1a发送更新命令。接收到更新命令的ECU2a将自身存储的旧的共有信息置换为更新命令附有的新的共有信息,由此对共有信息进行更新。而且,网关4将利用通信线1a接收的来自ECU2a的报文向通信线1b发送,由此进行报文的中继。然而,此时中继的报文是附有使用更新前的旧的共有信息而生成的MAC的报文。因此,接收到该报文的ECU2b由于使用自身存储的新的共有信息而生成的MAC与接收报文附有的MAC不一致,将接收报文判定为不是正当的报文。
需要说明的是,在图3所示的例子中,从ECU2a接收到附有使用更新前的旧的共有信息而生成的MAC的报文的网关4将该报文向ECU2b中继,但这是利用网关4未判定MAC是否正确的情况。在网关4判定从ECU2a接收到的报文的MAC是否正确的情况下,附有使用更新前的旧的共有信息而生成的MAC的报文在网关4中判定为不是正当的报文,不进行向ECU2b的中继。虽然根据网关4是否判定接收报文的MAC而结果产生些许的差异,但是无论在哪种情况下,由于共有信息的偏差而附有使用更新前的旧的共有信息而生成的MAC的报文都判定为不是正当的报文。
图4是用于说明由于共有信息的偏差而产生的问题点的解决方法的示意图。需要说明的是,图4的上段所示的图与图3的上段所示的图相同。在本实施方式的通信系统中,网关4在由于共有信息的偏差而从ECU2a接收到附有使用更新前的旧的共有信息而生成的MAC的报文的情况下,从进行共有信息的更新至经过预定期间为止的期间,将该报文作为正当的报文而设为中继的对象。但是,在网关4仅对接收报文进行中继的情况下,如图3下段所示,在中继目的地的ECU2b将该报文判定为不是正当的报文。因此,本实施方式的网关4进行将使用接收报文附有的更新前的旧的共有信息而生成的MAC置换为使用自身存储的更新后的新的共有信息而生成的MAC的报文的修正,将修正后的报文向ECU2b进行中继。
需要说明的是,网关4受理附有使用更新前的旧的共有信息而生成的MAC的报文及附有使用更新后的新的共有信息而生成的MAC的报文这两方作为正当的报文的预定期间在通信系统的设计阶段等预先确定。例如预定期间可以预先设定网关4发送的更新命令发生延迟的可能性存在的最大的时间。
另外,为了进行上述的处理,网关4至少在从进行共有信息的更新至经过预定期间为止的期间,需要预先存储更新前的旧的共有信息和更新后的新的共有信息这2个共有信息。而且,网关4需要判断接收到的报文附有的MAC是使用哪个共有信息而生成的值。为此,在本实施方式的通信系统中,作为用于判断MAC是使用更新前后的哪个共有信息而生成的值的信息,向报文附加触发位。
触发位是每当进行更新处理时值反转的位。触发位的值按照通信系统包含的各装置而单独管理。例如,在作为初始值而以触发位=0开始了通信系统的通信时,通信系统中的各ECU2及网关4生成将触发位设为0的报文并发送。在预定的定时,网关4开始更新处理,在生成新的共有信息而对自身的共有信息进行了更新的情况下,网关4管理的触发位变化为1。然后,网关4发送更新命令,接收到该更新命令的ECU2对自身的共有信息进行更新,并使自身管理的触发位变化为1。
由此,网关4例如自身管理的触发位的值为1,相对于此,在接收到的报文附有的触发位的值为0的情况下,能够判断为该报文可能附有使用更新前的旧的共有信息而生成的MAC。因此,网关4使用更新前的旧的共有信息来判定接收报文附有的MAC是否正确,在MAC正当的情况下,进行上述的报文修正。即,网关4能够在自身管理的触发位的值与接收报文附有的触发位的值一致的情况下,将接收报文附有的MAC判断为使用更新后的新的共有信息而生成的值,在触发位的值不一致的情况下,将接收报文附有的MAC判断为使用更新前的旧的共有信息而生成的值。
图5是用于说明触发位与报文是否中继的关系的示意图。基本上,网关4在自身管理的触发位的值为0的情况下,仅将触发位的值为0的报文作为有效的报文而进行中继处理,在自身管理的触发位的值为1的情况下,仅将触发位的值为1的报文作为有效的报文而进行中继处理。但是从更新处理至经过预定期间Ta为止的期间,网关4无论自身管理的触发位的值如何,都将触发位的值为0的报文及触发位的值为1的报文这两方作为有效的报文而进行中继处理。需要说明的是,网关4在从更新处理至经过预定期间Ta为止的期间接收到附有与自身管理的触发位的值不同的值的触发位的报文的情况下,在修正了接收报文的触发位及MAC的值之后进行中继。
图6是表示ECU2的结构的框图。需要说明的是,在本图中,选出多个ECU2共用的功能块来表示,关于对应各ECU2不同的功能块,省略图示。本实施方式的ECU2具备处理部21、存储部22及通信部23等而构成。处理部21使用例如CPU(Central Processing Unit)或MPU(Micro-Processing Unit)等运算处理装置而构成,通过将存储部22或未图示的ROM(ReadOnly Memory)等存储的程序读出并执行,由此进行各种运算处理。需要说明的是,利用处理部21执行的程序按照各ECU2而其内容不同。
存储部22使用闪存或EEPROM(Electrically Erasable Programmable Read OnlyMemory)等非易失性的存储器元件而构成。在本实施方式中,在存储部22存储有密钥22a和共有信息22b作为用于生成向发送的报文附加的MAC的信息。密钥22a是例如用于进行基于公钥方式的加密及解密的信息,是通信系统包含的全部的ECU2及网关4共同具有的信息。共有信息22b也同样是通信系统包含的全部的ECU2及网关4共同具有的信息,但是共有信息22b是比较频繁地被更新的信息。
通信部23连接于构成车内网络的通信线1a或1b,按照CAN的通信协议进行数据的收发。通信部23通过将从处理部21提供的数据转换成电信号而向通信线1a或1b输出来发送数据,并通过采样取得通信线1a或1b的电位来接收数据,将接收到的数据向处理部21提供。
另外,通过在本实施方式的ECU2的处理部21执行存储部22或ROM等存储的程序,而报文生成部21a、报文判定部21b及更新处理部21c等作为软件性的功能块来实现。报文生成部21a在向其他ECU2应发送的信息存在的情况下,通过使用该信息和存储部22存储的密钥22a及共有信息22b进行预定的加密运算来生成MAC。报文生成部21a生成包含自身管理的触发位的值、生成的MAC、向其他ECU2应发送的信息(数据)的数据字段,通过与仲裁字段及控制字段等结合来生成发送用的报文。通过将报文生成部21a生成的报文向通信部23提供而将该报文向通信线1a、1b发送,利用其他ECU2接收。需要说明的是,触发位的值例如存储于存储部22,每当共有信息22b被更新时值反转。
报文判定部21b进行在通信部23接收到的报文是否为正当的报文的判定。报文判定部21b通过使用接收报文包含的数据和存储部22存储的密钥22a及共有信息22b进行预定的加密运算来生成确认用的MAC。需要说明的是,基于报文生成部21a的加密运算与基于报文判定部21b的加密运算为相同内容的处理。报文判定部21b将接收报文包含的MAC与自身生成的MAC进行比较,在两MAC一致的情况下判定为接收报文正当,在两MAC不一致的情况下判定为接收报文不正当。需要说明的是,在本实施方式中,ECU2的报文判定部21b不使用接收报文包含的触发位。
更新处理部21c在通信部23接收到网关4发送的更新命令的情况下,进行对存储部22存储的共有信息22b进行更新的处理。网关4发送的更新命令作为例如数据字段的数据而保存新的共有信息,可以设为附有使用更新前的旧的共有信息而生成的MAC的报文。在通信部23接收到更新命令的情况下,与通常的报文同样,在报文判定部21b进行是否为正当的更新命令的判定。在判定为是正当的更新命令的情况下,更新处理部21c将更新命令包含的新的共有信息向存储部22存储的共有信息22b覆写,由此进行共有信息的更新。
图7是表示网关4的结构的框图。本实施方式的网关4具备处理部41、存储部42及2个通信部43等而构成。处理部41例如使用CPU或MPU等运算处理装置而构成,通过将存储部42或未图示的ROM等存储的程序读出并执行,而进行各种运算处理。在本实施方式中,处理部41进行对车内网络的通信线1a、1b间的报文收发进行中继的处理及共有信息的更新处理等所需的运算处理。
存储部42使用闪存或EEPROM等非易失性的存储器元件而构成。存储部42存储有与ECU2向存储部22存储的密钥22a及共有信息22b同样的密钥42a及共有信息42b。而且,在本实施方式中,在网关4的存储部42,将更新前的旧的共有信息42c与当前时刻使用于报文的收发的共有信息42b一起存储。而且,存储部42也可以存储处理部41执行的程序及该程序的执行所需的数据、以及在处理部41的处理的过程中生成的数据等。
2个通信部43分别连接于构成车内网络的通信线1a、1b,按照CAN的通信协议进行数据的收发。通信部43通过将从处理部41提供的数据转换成电信号并向通信线1a、1b输出来发送信息,并且通过采样取得通信线1a、1b的电位来接收数据,将接收到的数据向处理部41提供。
另外,通过在处理部41执行存储部42或ROM等存储的程序,而报文生成部41a、报文判定部41b、更新处理部41c、更新命令发送部41d及报文修正部41e等作为软件性的功能块来实现。报文生成部41a进行的处理与ECU2的报文生成部21a进行的处理大致相同。即,报文生成部41a在向其他装置应发送的信息存在时,通过使用该信息和存储部42存储的密钥42a及共有信息42b进行预定的加密运算来生成MAC。报文生成部41a生成包含自身管理的触发位的值、生成的MAC、向其他装置应发送的信息(数据)的数据字段,通过与仲裁字段及控制字段等结合而生成发送用的报文。通过将报文生成部41a生成的报文向通信部43提供而将该报文向通信线1a、1b发送,利用与该通信线1a、1b连接的ECU2进行接收。需要说明的是,触发位的值例如存储于存储部42,每当共有信息42b更新时值反转。
报文判定部41b进行的处理与ECU2的报文判定部21b进行的处理大致相同。即,报文判定部41b进行利用通信部43接收到的报文是否为正当的报文的判定。报文判定部41b通过使用接收报文包含的数据、存储部42存储的密钥42a、共有信息42b或42c进行预定的加密运算来生成确认用的MAC。报文判定部41b将接收报文包含的MAC与自身生成的MAC进行比较,在两MAC一致的情况下判定为接收报文正当,在两MAC不一致的情况下判定为接收报文不是正当的报文。
另外,在本实施方式中,网关4如上所述在从共有信息42b的更新至经过预定期间为止的期间,也受理附有使用更新前的旧的共有信息而生成的MAC的报文作为正当的报文。因此,网关4的报文判定部41b在从共有信息42b的更新至预定期间经过为止的期间,根据接收报文包含的触发位的值,判断使用存储部42存储的更新后的新的共有信息42b或更新前的旧的共有信息42c的哪一个来生成确认用的MAC。即,报文判定部41b在接收报文包含的触发位的值与存储部42存储的触发位的值一致的情况下,使用存储部42存储的更新后的新的共有信息42b来生成确认用的MAC,判定接收报文是否正确。相对于此,在接收报文包含的触发位的值与存储部42存储的触发位的值不一致的情况下,报文判定部41b使用存储部42存储的更新前的旧的共有信息42c来生成确认用的MAC,并判定接收报文是否正确。需要说明的是,在从共有信息42b的更新经过了预定期间之后,报文判定部41b在接收报文包含的触发位的值与存储部42存储的触发位的值不一致的情况下,可以将该接收报文判定为不是正当的报文。
更新处理部41c判断是否到达进行通信系统包含的ECU2及网关4具有的共有信息的更新的定时。更新处理部41c可以设为例如在从上次的更新处理起经过了1秒钟、1分钟、1小时、1天或1周等预定周期的情况下判断为到达进行更新的定时的结构,而且也可以设为例如车辆1的点火开关从断开状态向接通状态切换的情况下判断为到达进行更新的定时的结构,还可以设为将这以外的定时判断为更新定时的结构。
更新处理部41c在判断为到达进行更新处理的定时的情况下,进行新的共有信息的生成。更新处理部41c例如通过预定的随机数产生算法而产生随机数,基于该随机数来生成共有信息。更新处理部41c将存储部42存储的新的共有信息42b作为旧的共有信息42c,将生成的共有信息作为新的共有信息42b而存储于存储部42,由此对共有信息42b进行更新。
更新命令发送部41d在进行了更新处理部41c对本装置的更新处理的情况下,进行从通信部43发送用于对与通信线1a、1b连接的ECU2进行更新处理的更新命令的处理。更新命令发送部41d将更新处理部41c生成的新的共有信息作为数据,将附有使用存储部42存储的更新前的旧的共有信息42c而生成的MAC的报文作为更新命令,从2个通信部43对于全部的ECU2一齐发送更新命令。
报文修正部41e在从共有信息的更新至经过预定期间为止的期间,接收报文包含的触发位的值与存储部42存储的触发位的值不一致的报文,在该接收报文通过报文判定部41b判定为是正当的报文的情况下,进行修正接收报文的触发位及MAC的处理。此时,报文修正部41e使接收报文包含的触发位的值反转。而且,报文修正部41e基于接收报文包含的数据、存储部42存储的密钥22a、更新后的新的共有信息22b来生成新的MAC,将接收报文包含的MAC更换为新生成的MAC,由此来修正接收报文。报文修正部41e修正后的报文从与接收到原本的报文的通信部43不同的通信部43发送,向ECU2中继。
图8是表示ECU2进行的报文发送处理的次序的流程图。ECU2的处理部21在需要向其他ECU2进行信息发送的情况下,开始以下的报文发送处理。处理部21的报文生成部21a读出存储部22存储的密钥22a(步骤S1),并读出存储部22存储的共有信息22b(步骤S2)。报文生成部21a使用向其他ECU2应发送的信息、在步骤S1中读出的密钥22a、在步骤S2中读出的共有信息22b来生成MAC(步骤S3)。报文生成部21a生成包含存储部22存储的触发位、在步骤S3中生成的MAC、向其他ECU2应发送的信息的报文(步骤S4)。处理部21通过将报文生成部21a生成的报文向通信部23提供而进行向其他ECU2的报文发送(步骤S5),结束处理。
图9是表示ECU2进行的报文接收处理的次序的流程图。ECU2的处理部21判定在通信部23是否接收到来自其他ECU2或网关4的报文(步骤S11)。在未接收到报文的情况下(S11:否),处理部21等待至接收到报文为止。在接收到报文的情况下(S11:是),处理部21的报文判定部21b取得接收报文包含的数据(步骤S12)。报文判定部21b读出存储部22存储的密钥22a(步骤S13),并读出存储部22存储的共有信息22b(步骤S14)。报文判定部21b使用在步骤S12中取得的数据、在步骤S13中读出的密钥22a、在步骤S14中读出的共有信息22b来生成确认用的MAC(步骤S15)。而且,报文判定部21b取得接收报文包含的MAC(步骤S16)。
报文判定部21b判定在步骤S15中生成的确认用的MAC与在步骤S16中取得的MAC是否一致(步骤S17)。在两MAC一致的情况下(S17:是),报文判定部21b将接收报文判定为正当的报文(步骤S18)。处理部21进行与接收报文包含的数据的内容对应的适当的处理(步骤S19),结束报文接收处理。相对于此,在两MAC不一致的情况下(S17:否),报文判定部21b将接收报文判定为不正当的报文(步骤S20)。处理部21进行错误处理等(步骤S21),结束报文接收处理。
图10是表示ECU2进行的共有信息的更新处理的次序的流程图。ECU2的处理部21判定在通信部23是否接收到来自网关4的更新命令(步骤S31)。在未接收到更新命令的情况下(S31:否),处理部21等待至接收到更新命令为止。在接收到更新命令的情况下(S31:是),处理部21判定接收到的更新命令是否为正当的更新命令(步骤S32)。需要说明的是,更新命令是否正当的判定通过与在图9的报文接收处理中表示的接收报文是否正当的判定同样的处理进行,因此在本图中省略详情。
在接收到的更新命令为正当的更新命令的情况下(S32:是),处理部21的更新处理部21c取得更新命令包含的共有信息(步骤S33)。更新处理部21c通过将取得的共有信息对于存储部22存储的共有信息22b进行覆写而进行更新(步骤S34),结束更新处理。在接收到的更新命令不是正当的更新命令的情况下(S32:否),处理部21进行错误处理等(步骤S35),不对共有信息22b进行更新而结束更新处理。
图11是表示网关4进行的更新处理的次序的流程图。需要说明的是,在本处理中,使用保持0或1的值的“更新处理标志”进行处理,但是该标志例如使用处理部41的寄存器等的存储区域能实现。更新处理标志在从共有信息的更新至经过预定期间为止的期间将值设定为1,在除此以外的期间设定为0。首先,网关4的处理部41的更新处理部41c将更新处理标志的值初始化为0(步骤S41)。更新处理部41c判定是否到达进行预定的更新处理的定时(步骤S42)。在未到达进行更新处理的定时的情况下(S42:否),更新处理部41c等待至到达进行更新处理的定时为止。
在到达进行更新处理的定时的情况下(S42:是),更新处理部41c将在该时刻使用的存储部42的共有信息42b作为更新前的旧的共有信息42c而保存于存储部42(步骤S43)。更新处理部41c通过例如产生随机数等的方法,来生成新的共有信息(步骤S44)。更新处理部41c将生成的共有信息作为更新后的新的共有信息42b而存储于存储部42(步骤S45)。需要说明的是,此时,更新处理部41c使存储部42存储的触发位的值反转。
接下来,处理部41将更新处理标志的值设定为1(步骤S46)。处理部41使用自身的计时功能等,开始从共有信息的更新起的预定期间的计时(步骤S47)。处理部41的更新命令发送部41d生成包含在步骤S44中生成的新的共有信息的更新命令(步骤S48)。更新命令发送部41d将生成的更新命令在全部的通信部43进行发送(步骤S49)。
然后,处理部41判定从步骤S47的计时开始起是否经过了预定期间(步骤S50)。在未经过预定期间的情况下(S50:否),处理部41等待至经过预定期间为止。在经过了预定期间的情况下(S50:是),处理部41结束预定期间的计时(步骤S51)。处理部41将更新处理标志的值设定为0(步骤S52),结束更新处理。
图12及图13是表示网关4进行的报文中继处理的次序的流程图。需要说明的是,在本处理中使用的更新处理标志与在图11的更新处理中使用的标志相同。网关4的处理部41判定是否在任一通信部43接收到报文(步骤S61)。在未接收到报文的情况下(S61:否),处理部41等待至接收到报文为止。
在任一通信部43接收到报文的情况下(S61:是),处理部41的报文判定部41b取得接收报文包含的触发位的值(步骤S62)。报文判定部41b将在步骤S62中取得的触发位的值与存储部42存储的触发位的值进行比较,判定两触发位是否一致(步骤S63)。在触发位一致的情况下(S63:是),该接收报文附有的MAC是使用更新后的新的共有信息而生成的值,因此报文判定部41b读出存储部42存储的更新后的新的共有信息42b(步骤S64)。报文判定部41b基于在步骤S64中读出的更新后的新的共有信息42b,进行接收报文是否正当的判定(步骤S65)。在判定为接收报文正当的情况下(S65:是),处理部41利用与接收到报文的通信部43不同的通信部43对接收到的报文进行发送,由此对报文进行中继(步骤S66),结束中继处理。在判定为接收报文不正当的情况下(S65:否),处理部41进行错误处理等(步骤S68),不对报文进行中继而结束中继处理。
在触发位不一致的情况下(S63:否),报文判定部41b判定更新处理标志的值是否为0(步骤S67)。在更新处理标志的值为0的情况下(S67:是),该接收报文未附有使用更新后的新的共有信息而生成的MAC,且不是从共有信息的更新起的预定期间内,因此处理部41判断为接收报文不正当,进行错误处理等(步骤S68),不对报文进行中继而结束中继处理。
在更新处理标志的值不为0时(S67:否),即更新处理标志的值为1时,该接收报文附有的MAC是使用更新前的旧的共有信息而生成的值,因此报文判定部41b读出存储部42存储的更新前的旧的共有信息42c(步骤S71)。报文判定部41b基于在步骤S71中读出的更新前的旧的共有信息42c,进行接收报文是否正当的判定(步骤S72)。
在判定为接收报文正当的情况下(S72:是),处理部41的报文修正部41e读出存储部42存储的更新后的新的共有信息42b(步骤S73)。报文修正部41e使用在步骤S73中读出的更新后的新的共有信息42b,基于接收报文包含的数据和存储部42存储的密钥22a来生成新的MAC(步骤S74)。报文修正部41e使接收报文的触发位反转,并将接收报文的MAC与在步骤S74中生成的MAC替换,由此来修正报文(步骤S75)。处理部41利用与接收到报文的通信部43不同的通信部43来发送在步骤S75中修正后的报文,由此对报文进行中继(步骤S76),结束中继处理。而且,在判定为接收报文不正当的情况下(S72:否),处理部41进行错误处理等(步骤S77),不对报文进行中继而结束中继处理。
以上的结构的本实施方式的通信系统是多个ECU2连接于一个通信线1a、1b、这样的多个通信线1a、1b连接于网关4、网关4对通信线1a、1b间的通信进行中继的结构。通信系统包含的ECU2及网关4存储共有信息,使用存储的共有信息进行向其他装置的报文的生成及发送和从其他装置接收到的报文是否正确的判定。ECU2及网关4存储的共有信息为可变的信息,通过网关4发送的更新命令来更新。即,网关4发送的更新命令经由通信线1a、1b由ECU2接收,接收到更新命令的ECU2对自身存储的共有信息进行更新。需要说明的是,共有信息的更新可以例如以1秒钟、1分钟、1小时、1天或1周等预定期间周期性地进行,而且也可以例如每当车辆1的点火开关从断开状态向接通状态切换时等,每当某些事件发生时进行。
网关4发送的更新命令在发送时或在通信线1a、1b间被中继时等,可能会发生冲突或延迟等。因此,本实施方式的通信系统的网关4在从进行共有信息的更新的定时至经过预定的期间为止的期间,将使用更新前的旧的共有信息而生成的报文和使用更新后的新的共有信息而生成的报文这两方作为正当的报文来处理,作为中继的对象。需要说明的是,成为预定期间的起点的共有信息的更新定时可以设为例如对自身的存储部42存储的共有信息42b进行更新的定时,或者发送了向ECU2的更新命令的定时等。
由此,在本实施方式的通信系统中,在网关4发送的更新命令被全部的ECU2接收而进行更新处理之前的一定的期间内,能够收发使用更新前的旧的共有信息而生成的报文和使用更新后的新的共有信息而生成的报文。由此,即使是网关4对多个通信线1a、1b间的通信进行中继的结构的通信系统,也能够实现使用了值变化的共有信息的报文收发。
另外,本实施方式的网关4在从共有信息的更新至经过预定期间为止的期间接收到使用更新前的旧的共有信息而生成的报文的情况下,将该报文使用更新后的新的共有信息修正为报文而进行中继。由此中继目的地的ECU2能够接收到使用了更新后的新的共有信息的报文。
另外,在本实施方式的通信系统中,将触发位作为表示共有信息的更新状态的更新状态信息而包含于报文。由此,网关4能够容易地判断接收到的报文是使用了更新前的旧的共有信息的报文,还是使用了更新后的新的共有信息的报文。
另外,ECU2基于应发送的数据、存储部22存储的密钥22a及共有信息22b来生成MAC,向其他ECU2发送包含该MAC的报文。接收到报文的ECU2基于接收报文包含的数据和存储部22存储的密钥22a及共有信息22b来生成确认用的MAC,通过与接收报文包含的MAC进行比较来判定接收报文是否正确。由此,能够提高在通信系统收发的报文的可靠性,并且通过附有使用了更新的共有信息的MAC而能够提高对于重发攻击的耐性。
需要说明的是,在本实施方式中,网关4设为进行共有信息的生成及更新命令的发送等的结构,但是并不局限于此,可以设为通信系统包含的多个ECU2中的任一个进行共有信息的生成及更新命令的发送等的结构。而且,设为为了共有信息的更新而从网关4向ECU2发送新的共有信息的结构,但是并不局限于此。可以是例如将共有信息设为计数器的值、根据更新命令的接收而ECU2使计数器增减等、全部的ECU2及网关4以相同规则来生成共有信息的结构。
另外,在本实施方式中,设为对附有MAC的报文进行收发的结构,但是并不局限于此,可以设为例如对于将ECU2应发送的信息加密后的信息附有触发位的报文进行收发的结构。而且,报文附有的更新状态信息可以不是触发位,只要是例如每当进行更新处理时值增减的计数值等根据某些规则而使值变化的信息即可。而且也可以设为在报文未附有触发位等更新状态信息的结构,在这种情况下,网关4可以设为对于从共有信息的更新至经过预定期间为止的期间接收到的报文进行使用了更新后的新的共有信息的报文是否正确的判定和使用了更新前的旧的共有信息的报文是否正确的判定这两方的结构。
另外,本实施方式的通信系统设为搭载于车辆1的系统,但是并不局限于此,也可以是车载以外的通信系统。而且,通信装置可以是ECU2以外的具有通信功能的各种装置,中继装置可以是网关4以外的具有中继功能的各种装置。
(变形例)
另外,在从共有信息的更新至经过预定期间为止的期间,网关4设为将使用了更新前的旧的共有信息的报文和使用了更新后的新的共有信息的报文作为有效的报文进行处理的结构,但是并不局限于此。
在变形例的通信系统中,各ECU2在从共有信息的更新至经过预定期间为止的期间,将使用了更新前的旧的共有信息的报文和使用了更新后的新的共有信息的报文作为有效的报文进行接收。在这种情况下,网关4可以设为不进行接收到的报文是否正确的判定而对该报文进行中继的结构,或者,可以设为在从共有信息的更新至经过预定期间为止的期间、将使用了更新前的旧的共有信息的报文和使用了更新后的新的共有信息的报文作为有效的报文进行接收、不进行报文的修正而进行中继的结构。
(实施方式2)
实施方式2的通信系统是多个通信协议混杂且多个中继装置分级连接的结构。图14是表示实施方式2的通信系统的结构的框图。实施方式2的通信系统具备多个DCU(DomainControl Unit)200~204作为中继装置并具备多个ECU203a~203l作为通信装置而构成。实施方式2的通信系统混杂有按照以太网(注册商标)的通信协议而以1Gbps的通信速度进行通信的网络、按照以太网(注册商标)的通信协议而以100Mbps的通信速度进行通信的网络、按照CAN-FD的通信协议而以2Mbps的通信速度进行通信的网络。
在实施方式2的通信系统中,成为在1个DCU200连接有4个DCU201~204并在各DCU201~204连接有多个ECU的分级结构。1个DCU200与4个DCU201~204分别经由单独的通信线而连接,按照以太网(注册商标)的通信协议以1Gbps的通信速度进行通信。而且,实施方式2的通信系统的4个DCU201~204能够与连接于DCU200的通信线另行地分别连接用于将一或多个ECU连接的6个通信线。与各DCU201~204连接的多个通信线可以混杂有通信协议不同的通信线。
在图示的例子中,在DCU203上连接有与通信速度为2Mbps的CAN-FD的通信协议对应的3个通信线和与通信速度为100Mbps的以太网(注册商标)的通信协议对应的3个通信线。在与CAN的通信协议对应的第一通信线上连接3个ECU203a~203c,在第二通信线上连接ECU203d~203f,在第三通信线上连接ECU203g~203i。而且,在与以太网(注册商标)的通信标准对应的第四通信线上连接ECU203j,在第五通信线上连接ECU203k,在第六通信线上连接ECU203l。关于其他DCU201、202及204也同样地连接多个ECU,但是省略图示。
例如在ECU230j发送报文的情况下,该报文由DCU203接收。DCU203进行对接收到的报文进行中继的处理,基于从ECU230j接收到的报文的内容(例如数据或标题信息等)来决定该报文的中继目的地,对于决定了中继目的地的通信线发送报文。需要说明的是,在实施方式2的通信系统中,接收到报文的DCU200~201不必将该报文对于全部的通信线进行中继,只要对于需要该报文的ECU存在的通信线来中继报文即可。而且,DCU201~204在需要接收报文的ECU未直接连接于自身的情况下,通过将该报文向DCU200发送而经由DCU200及其他DCU201~204向目标的ECU发送报文。
在实施方式2的通信系统中,全部的DCU200~204及ECU203a~203l在存储部存储共有信息,DCU200在预定的定时开始共有信息的更新处理。即,DCU200生成新的共有信息而对自身的存储部存储的共有信息进行更新,并将共有信息的更新命令向其他DCU201~204发送。接收到来自DCU200的更新命令的DCU201~204分别对自身的存储部存储的共有信息进行更新,并对于连接有ECU的6个通信线发送共有信息的更新命令。例如接收到来自DCU203的更新命令的ECU203a~203l对自身的存储部存储的共有信息进行更新。
另外,在实施方式2的通信系统中,关于从共有信息的更新至经过预定期间为止的期间,DCU200~204进行将附有使用更新前的旧的共有信息而生成的MAC的报文和附有使用更新后的新的共有信息而生成的MAC的报文作为正当的报文进行接收并中继的处理。而且,此时,DCU200~204在接收到附有使用更新前的旧的共有信息而生成的MAC的报文的情况下,进行将该报文的MAC置换为使用更新后的新的共有信息而生成的MAC的报文修正处理,对修正后的报文进行中继。
图15~图19是表示实施方式2的通信系统的报文收发及共有信息更新的第一例的示意图,从图15至图19时序地示出报文的收发状况等。图15是到达进行更新处理的定时而DCU200开始共有信息的更新处理的状况。DCU200使用新的共有信息而生成,并进行自身存储的共有信息的更新处理。在图15所示的状况下,DCU200还未发送更新命令,其他DCU201~204及ECU203a~203l存储的共有信息是更新前的旧的共有信息。在该状况下,ECU203j发送附有使用更新前的旧的共有信息而生成的MAC的报文(在图中由单点划线的箭头表示,在以下的附图中相同),该报文由DCU203接收。
接下来,在图16所示的状况下,接收到来自ECU203j的报文的DCU203基于接收报文包含的MAC而判定为该报文正当,为了将该报文向DCU200及ECU203a~203c中继而向连接有各装置的通信线发送报文。需要说明的是,此时的基于DCU203的判定使用更新前的旧的共有信息进行。DCU203中继的报文由DCU200及ECU203a~203c接收。而且,此时,比基于DCU203的报文的发送稍延迟地,DCU200将共有信息的更新命令向DCU201~204一齐发送(在图中由虚线的箭头表示,在以下的附图中相同)。
接下来,在图17所示的状况下,从DCU200接收到共有信息的更新命令的DCU201~204进行更新处理,将各DCU201~204存储的共有信息更新为从DCU200提供的新的共有信息。而且,此时,DCU200关于附有使用从DCU203接收到的更新前的旧的共有信息而生成的MAC的报文,判断为是从共有信息的更新至经过预定期间为止的期间接收到的报文,使用更新后的新的共有信息来生成MAC,并与接收报文包含的MAC进行更换,由此进行报文修正。
接下来,在图18所示的状况下,结束了共有信息的更新的DCU201~204对于在自身连接的全部的通信线(但是连接有DCU200的通信线除外)一齐发送共有信息的更新命令。例如从DCU203接收到共有信息的更新命令的ECU203a~203l开始更新处理。而且,此时,完成了报文的修正的DCU200将修正后的报文向DCU202发送(在图中由双点划线的箭头表示,在以下的附图中相同)。此时,从DCU200发送的报文是附有使用更新后的新的共有信息而生成的MAC的报文,接收到该报文的DCU202为结束了更新处理的状态,因此能够使用自身存储的更新后的新的共有信息来判定接收报文是否正确。
接下来,在图19所示的状况下,判定为来自DCU200的报文正当的DCU202对该报文进行中继。而且,在与DCU201~204连接的ECU中,共有信息的更新完成。由此,接收到来自DCU202的报文的ECU使用自身存储的更新后的新的共有信息,能够判定接收报文是否正确。
图20~图23是表示基于实施方式2的通信系统的报文收发及共有信息更新的第二例的示意图,从图20至图23时序地表示报文的收发状况等。第二例是与第一例类似的状况,但是比DCU203从ECU203j接收附有使用更新前的旧的共有信息而生成的MAC的报文更早,来自更新处理完成的DCU200的更新命令由DCU203接收。
在图20所示的状况下,完成了更新处理的DCU200向DCU201~204一齐发送共有信息的更新命令,在接收到该更新命令的DCU201~204开始更新处理。此时,ECU203j将附有使用更新前的旧的共有信息而生成的MAC的报文向DCU203发送。
接下来,在图21所示的状况下,ECU203j发送的报文由DCU203接收。而且,在该报文的接收后或与接收同时期,完成了共有信息的更新处理的DCU201~204对于ECU一齐发送共有信息的更新命令。接收到来自DCU201~204的更新命令的ECU开始自身存储的共有信息的更新处理。
接下来,在图22所示的状况下,DCU203关于附有使用从ECU203j接收到的更新前的旧的共有信息而生成的MAC的报文,判断为是在从共有信息的更新至经过预定期间的期间接收到的报文,使用更新后的新的共有信息来生成MAC,通过与接收报文包含的MAC进行更换来进行报文修正。
接下来,在图23所示的状况下,完成了报文的修正的DCU203将修正后的报文向DCU200及ECU203a~203c发送。此时,从DCU203发送的报文是附有使用更新后的新的共有信息而生成的MAC的报文,接收到该报文的DCU200及ECU203a~203c为结束了更新处理的状态,因此能够使用自身存储的更新后的新的共有信息来判定接收报文是否正确。
以上的结构的实施方式2的通信系统是采用了所谓领域架构的通信系统。即使是这样的结构的通信系统,通过DCU200~204具备与实施方式1的通信系统的网关4同样的功能,即,在从共有信息的更新至经过预定期间为止的期间将使用了更新前的旧的共有信息的报文和使用了更新后的新的共有信息的报文这两方判定为正当的报文的功能,也能够实现使用了值变化的共有信息的报文收发。
需要说明的是,在实施方式2中,设为作为中继装置的DCU200~204具备在从共有信息的更新至经过预定期间为止的期间将使用了更新前的旧的共有信息的报文和使用了更新后的新的共有信息的报文这两方判定为正当的报文的功能的结构,但是并不局限于此。也可以如在实施方式1的变形例中说明那样,设为ECU203a~203l具备该功能的结构。而且,图14~图23所示的通信系统的结构、报文或更新命令的发送定时等为一例,并不局限于此。
附图标记说明
1 车辆
1a、1b 通信线
2、2a、2b ECU(通信装置)
4 网关(中继装置)
21 处理部
21a 报文生成部
21b 报文判定部(判定部)
21c 更新处理部(更新部)
22 存储部
22a 密钥
22b 共有信息
23 通信部(报文发送部、报文接收部)
41 处理部
41a 报文生成部
41b 报文判定部(判定部)
41c 更新处理部(更新部)
41d 更新命令发送部
41e 报文修正部
42 存储部
42a 密钥
42b 共有信息
42c 共有信息
43 通信部(报文发送部、报文接收部)
200~204 DCU(中继装置)
203a~203l ECU(通信装置)。
Claims (7)
1.一种通信系统,一个或多个通信装置连接于通信线,中继装置对多个所述通信线之间的通信进行中继,所述通信系统的特征在于,
所述通信装置和所述中继装置分别具有:
存储部,存储共有信息;
报文生成部,生成使用了所述共有信息的报文;
报文发送部,向其他装置发送所述报文生成部生成的报文;
报文接收部,接收来自其他装置的报文;及
判定部,基于所述共有信息来判定所述报文接收部接收到的报文是否正确,
所述通信装置和所述中继装置中的至少一个装置具有向其他装置发送使所述共有信息更新的更新命令的更新命令发送部,
所述通信装置及所述中继装置还具有在接收到所述更新命令的情况下对所述存储部存储的共有信息进行更新的更新部,
当所述通信装置或所述中继装置在从所述共有信息的更新至经过预定期间为止的期间接收到使用更新前的共有信息而生成的报文的情况下,所述判定部将该报文判定为正当的报文,
所述中继装置具有报文修正部,在从所述共有信息的更新至经过预定期间为止的期间接收到使用更新前的共有信息而生成的报文的情况下所述报文修正部将该报文修正为使用了更新后的共有信息的报文,所述中继装置对所述报文修正部修正了的报文进行中继。
2.根据权利要求1所述的通信系统,其特征在于,
所述报文生成部生成的报文包含表示所述共有信息的更新状态的更新状态信息,
所述判定部基于所述共有信息及接收到的报文包含的更新状态信息来判定报文是否正确。
3.根据权利要求2所述的通信系统,其特征在于,
所述更新状态信息是按照所述更新命令使值以预定的规则变化的信息。
4.根据权利要求3所述的通信系统,其特征在于,
所述更新状态信息是按照所述更新命令使值反转的触发位。
5.根据权利要求1~4中任一项所述的通信系统,其特征在于,
所述报文生成部生成的报文包括基于所述共有信息和所述报文包含的信息而生成的报文认证码,
所述判定部基于接收到的报文包含的信息及报文认证码和存储部存储的所述共有信息来判定所述报文是否正确。
6.一种中继装置,对分别连接有一个或多个通信装置的多个通信线间的通信进行中继,所述中继装置的特征在于,具备:
存储部,存储与所述通信装置之间共有的共有信息;
报文接收部,从所述通信装置接收使用所述共有信息而生成的报文;
判定部,基于所述共有信息来判定所述报文接收部接收到的报文是否正确;
更新部,对所述存储部存储的共有信息进行更新;及
报文修正部,在从所述共有信息的更新至经过预定期间为止的期间接收到使用更新前的共有信息而生成的报文的情况下,将该报文修正为使用了更新后的共有信息的报文。
7.一种通信方法,一个或多个通信装置连接于通信线且连接有多个所述通信线的中继装置对所述通信线间的通信进行中继,所述通信方法的特征在于,
所述通信装置及所述中继装置存储共有信息,生成使用了所述共有信息的报文而向其他装置发送,基于所述共有信息来判定从其他装置接收到的报文是否正确,
所述通信装置和所述中继装置中的至少一个装置向其他装置发送使所述共有信息更新的更新命令,
所述通信装置及所述中继装置在接收到所述更新命令的情况下对所述共有信息进行更新,
所述通信装置或所述中继装置在从所述共有信息的更新至经过预定期间为止的期间接收到使用更新前的共有信息而生成的报文的情况下,将该报文判定为正当的报文,
在从所述共有信息的更新至经过预定期间为止的期间接收到使用更新前的共有信息而生成的报文的情况下,所述中继装置将该报文修正为使用了更新后的共有信息的报文,并对修正了的报文进行中继。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016184503A JP6693368B2 (ja) | 2016-09-21 | 2016-09-21 | 通信システム、中継装置及び通信方法 |
| JP2016-184503 | 2016-09-21 | ||
| PCT/JP2017/032072 WO2018056054A1 (ja) | 2016-09-21 | 2017-09-06 | 通信システム、中継装置、通信装置及び通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109661797A CN109661797A (zh) | 2019-04-19 |
| CN109661797B true CN109661797B (zh) | 2021-07-20 |
Family
ID=61690952
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780053753.0A Active CN109661797B (zh) | 2016-09-21 | 2017-09-06 | 通信系统、中继装置及通信方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20190349389A1 (zh) |
| JP (1) | JP6693368B2 (zh) |
| CN (1) | CN109661797B (zh) |
| DE (1) | DE112017004752T5 (zh) |
| WO (1) | WO2018056054A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11373520B2 (en) * | 2018-11-21 | 2022-06-28 | Industrial Technology Research Institute | Method and device for sensing traffic environment |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002290396A (ja) * | 2001-03-23 | 2002-10-04 | Toshiba Corp | 暗号鍵更新システムおよび暗号鍵更新方法 |
| CN104079456A (zh) * | 2013-03-28 | 2014-10-01 | 株式会社自动网络技术研究所 | 车载通信系统以及车载中继装置 |
| WO2016076358A1 (ja) * | 2014-11-13 | 2016-05-19 | 日立オートモティブシステムズ株式会社 | 情報処理装置、メッセージ認証方法 |
| JP2016100632A (ja) * | 2014-11-18 | 2016-05-30 | 株式会社東芝 | 通信システム及び通信装置 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4665617B2 (ja) * | 2005-06-10 | 2011-04-06 | 沖電気工業株式会社 | メッセージ認証システム,メッセージ送信装置,メッセージ受信装置,メッセージ送信方法,メッセージ受信方法およびプログラム |
| WO2013175633A1 (ja) | 2012-05-25 | 2013-11-28 | トヨタ自動車 株式会社 | 通信装置、通信システム及び通信方法 |
| CN104662864B (zh) * | 2012-08-03 | 2018-03-09 | 威斯科数据安全国际有限公司 | 使用了移动认证应用的用户方便的认证方法和装置 |
| KR102166184B1 (ko) * | 2012-11-30 | 2020-10-15 | 한국전자통신연구원 | 무선랜 시스템에서의 자원 할당 방법, 무선랜 시스템 |
| US20150124704A1 (en) * | 2013-11-06 | 2015-05-07 | Qualcomm Incorporated | Apparatus and methods for mac header compression |
| CN110696746B (zh) * | 2014-05-08 | 2023-03-24 | 松下电器(美国)知识产权公司 | 不正常应对方法、车载网络系统及电子控制单元 |
| US10101716B2 (en) * | 2014-12-04 | 2018-10-16 | Belkin International, Inc. | Autonomous, distributed, rule-based intelligence |
| US9577888B2 (en) * | 2014-08-22 | 2017-02-21 | Verizon Patent And Licensing Inc. | Method and apparatus for verifying and managing a client system network and network devices |
| US10257159B2 (en) * | 2014-12-04 | 2019-04-09 | Belkin International, Inc. | Methods, systems, and apparatuses for providing a single network address translation connection for multiple devices |
| US9407624B1 (en) * | 2015-05-14 | 2016-08-02 | Delphian Systems, LLC | User-selectable security modes for interconnected devices |
| JP6484519B2 (ja) * | 2015-07-15 | 2019-03-13 | 日立オートモティブシステムズ株式会社 | ゲートウェイ装置およびその制御方法 |
| US20190147431A1 (en) * | 2017-11-16 | 2019-05-16 | Blockmason Inc. | Credit Protocol |
-
2016
- 2016-09-21 JP JP2016184503A patent/JP6693368B2/ja active Active
-
2017
- 2017-09-06 DE DE112017004752.8T patent/DE112017004752T5/de active Pending
- 2017-09-06 CN CN201780053753.0A patent/CN109661797B/zh active Active
- 2017-09-06 WO PCT/JP2017/032072 patent/WO2018056054A1/ja active Application Filing
- 2017-09-06 US US16/335,179 patent/US20190349389A1/en not_active Abandoned
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002290396A (ja) * | 2001-03-23 | 2002-10-04 | Toshiba Corp | 暗号鍵更新システムおよび暗号鍵更新方法 |
| CN104079456A (zh) * | 2013-03-28 | 2014-10-01 | 株式会社自动网络技术研究所 | 车载通信系统以及车载中继装置 |
| WO2016076358A1 (ja) * | 2014-11-13 | 2016-05-19 | 日立オートモティブシステムズ株式会社 | 情報処理装置、メッセージ認証方法 |
| JP2016100632A (ja) * | 2014-11-18 | 2016-05-30 | 株式会社東芝 | 通信システム及び通信装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109661797A (zh) | 2019-04-19 |
| JP2018050183A (ja) | 2018-03-29 |
| DE112017004752T5 (de) | 2019-06-27 |
| US20190349389A1 (en) | 2019-11-14 |
| JP6693368B2 (ja) | 2020-05-13 |
| WO2018056054A1 (ja) | 2018-03-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104717201B (zh) | 网络装置以及网络系统 | |
| US10104094B2 (en) | On-vehicle communication system | |
| JP5770602B2 (ja) | 通信システムにおけるメッセージ認証方法および通信システム | |
| CN108353015B (zh) | 中继装置 | |
| JP6409849B2 (ja) | 通信システム及び通信方法 | |
| EP3038318B1 (en) | Communication control apparatus, communication control method and communication control program | |
| WO2018017566A1 (en) | Hash-chain based sender identification scheme | |
| JP2013048374A (ja) | 保護通信方法 | |
| JP6814549B2 (ja) | 演算装置、認証システム、認証方法 | |
| JP2018529292A (ja) | ネットワークノード | |
| CN107836095B (zh) | 用于在网络中产生秘密或密钥的方法 | |
| JP2017038143A (ja) | 通信システム、送信ノード、及び受信ノード | |
| JP2017121091A (ja) | Ecu、及び車用ネットワーク装置 | |
| CN109661797B (zh) | 通信系统、中继装置及通信方法 | |
| US20230037778A1 (en) | Method and system for data exchange on a network to enhance security measures of the network, vehicle comprising such system | |
| WO2017026360A1 (ja) | 通信システム | |
| JP2018182767A (ja) | Ecu、ネットワーク装置、及び車用ネットワーク装置 | |
| CN107624229B (zh) | 用于在网络中产生机密或密钥的方法 | |
| JP2016151871A (ja) | 車載システム、及び、ecu | |
| Murvay et al. | Accommodating time-triggered authentication to FlexRay demands | |
| JP6683105B2 (ja) | 通信システム | |
| JP2013121071A (ja) | 中継システム及び、当該中継システムを構成する中継装置、外部装置 | |
| JP6615721B2 (ja) | 通信システム、受信装置、受信方法およびプログラム | |
| WO2017065100A1 (ja) | 車載通信システム及び監視装置 | |
| JP2020141414A (ja) | Ecu、ネットワーク装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |