CN111788796A - 车载通信系统、交换装置、验证方法和验证程序 - Google Patents
车载通信系统、交换装置、验证方法和验证程序 Download PDFInfo
- Publication number
- CN111788796A CN111788796A CN201880090220.4A CN201880090220A CN111788796A CN 111788796 A CN111788796 A CN 111788796A CN 201880090220 A CN201880090220 A CN 201880090220A CN 111788796 A CN111788796 A CN 111788796A
- Authority
- CN
- China
- Prior art keywords
- unit
- functional unit
- communication
- authentication
- switching apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Abstract
车载通信系统包括:多个功能单元;以及一个或多个交换装置,每个交换装置被配置为执行在功能单元之间中继通信数据的中继处理。当已经检测到功能单元的未授权通信时,交换装置执行验证除未授权通信功能单元之外的功能单元的验证处理,该未授权通信功能单元是已经针对其检测到未授权通信的功能单元。
Description
技术领域
本发明涉及车载通信系统、交换装置、验证方法和验证程序。
本申请要求于2018年2月28日提交的日本专利申请No.2018-34044的优先权,该申请的全部内容以引用方式并入本文中。
背景技术
专利文献1(日本特开专利公开No.2017-123639)公开了如下的未授权活动检测方法。即,该方法是用于检测在具有经由总线执行通信的多个电子控制单元的车载网络系统中已经发生未授权状态的未授权活动检测方法。未授权活动检测方法包括:利用指示第一条件的未授权活动检测规则信息来确定从总线接收的一组帧是否满足第一条件,所述第一条件是关于具有第一标识符的帧和具有与第一标识符不同的标识符的帧之间的内容的关系的条件;以及在不满足第一条件的情况下,检测出已经发生了未授权状态。
引文清单
[专利文献]
专利文献1:日本特开专利公开No.2017-123639
发明内容
(1)本公开的车载通信系统包括:多个功能单元;以及一个或多个交换装置,每个交换装置被配置为执行在功能单元之间中继通信数据的中继处理。当已经检测到功能单元的未授权通信时,交换装置执行验证除未授权通信功能单元之外的功能单元的验证处理,所述未授权通信功能单元是已经检测到未授权通信的功能单元。
(9)用于本公开的车载通信系统中的交换装置包括:交换单元,其被配置为执行在多个功能单元之间中继通信数据的中继处理;以及验证单元,其被配置为当已经检测到功能单元的未授权通信时,执行验证除未授权通信功能单元之外的功能单元的验证处理,所述未授权通信功能单元是已经检测到未授权通信的功能单元。
(10)本公开的验证方法是在车载通信系统中执行的验证方法。车载通信系统包括多个功能单元以及一个或多个交换装置,每个交换装置被配置为执行在功能单元之间中继通信数据的中继处理。验证方法包括以下步骤:由交换装置执行获取由功能单元执行的未授权通信的检测结果;由交换装置执行将确认请求发送到用作未授权通信功能单元的通信对方的功能单元,所述未授权通信功能单元是已经检测到未授权通信的功能单元;以及由用作未授权通信功能单元的通信对方的功能单元执行将对确认请求的响应信息发送到交换装置。
(11)本公开的验证方法是在交换装置中执行的验证方法,该交换装置被配置为执行在多个功能单元之间中继通信数据的中继处理。验证方法包括以下步骤:获取由功能单元执行的未授权通信的检测结果;以及在已经检测到由功能单元执行的未授权通信时执行验证除未授权通信功能单元之外的功能单元的验证处理,所述未授权通信功能单元是已经检测到未授权通信的功能单元。
(12)本公开的验证程序是在交换装置中使用的验证程序。该验证程序被配置为使计算机用作:交换单元,其被配置为执行在多个功能单元之间中继通信数据的中继处理;以及验证单元,其被配置为当已经检测到功能单元的未授权通信时,执行验证除未授权通信功能单元之外的功能单元的验证处理,所述未授权通信功能单元是已经检测到未授权通信的功能单元。
本公开的一种模式不仅可以被实施为包括这种特性处理单元的车载通信系统,而且可以被实施为用于使计算机执行这种特性处理的程序。本公开的一种模式可以被实施为实现车载通信系统的一部分或整体的半导体集成电路。
本公开的一种模式不仅可以被实施为包括这种特性处理单元的交换装置,而且可以被实施为实现交换装置的一部分或整体的半导体集成电路。
附图说明
图1示出了根据本公开的实施例的车载通信系统的配置。
图2示出了根据本公开的实施例的车载通信系统中的每个装置的VID、MAC地址和IP地址的示例。
图3示出了根据本公开的实施例的车载通信系统中的交换装置的配置。
图4示出了根据本公开的实施例的交换装置中的中继信息的示例。
图5示出了根据本公开的实施例的车载通信系统中的功能单元的配置的示例。
图6示出了根据本公开的实施例的管理列表的示例。
图7示出了根据本公开的实施例的交换装置中的中继信息的另一示例。
图8示出了根据本公开的实施例的交换装置保存的校验值表的示例。
图9示出了根据本公开的实施例的验证车载通信系统中的未授权通信的处理的序列。
图10是描述根据本公开的实施例的操作处理的流程图,根据该操作处理,交换装置执行验证未授权通信的验证处理。
具体实施方式
迄今为止,已经开发了用于改善车载网络的安全性的车载网络系统。
【本公开要解决的问题】
在专利文献1中描述的车载网络中,提供了中继在车载ECU(电子控制单元)之间发送/接收的通信数据的通信网关。
需要一种可以适当地应对车载网络中已经发生未授权状态的情况的技术。
为了解决以上问题提出了本公开。本发明的目的是提供一种可以改善应对车载网络中的未授权活动的功能的车载通信系统、交换装置、验证方法和验证程序。
【本公开的效果】
根据本公开,可以改善应对车载网络中的未授权活动的功能。
【本公开的实施例的描述】
首先,列出并描述了本公开的实施例的内容。
(1)根据本公开的实施例的车载通信系统包括:多个功能单元;以及一个或多个交换装置,每个交换装置被配置为执行在功能单元之间中继通信数据的中继处理。当已经检测到功能单元的未授权通信时,交换装置执行验证除未授权通信功能单元之外的功能单元的验证处理,所述未授权通信功能单元是已经检测到未授权通信的功能单元。
利用该配置,当例如由于未授权的重写到功能单元中的固件中而已经执行了未授权通信时,验证用作可能处于未授权或异常状态的功能单元的通信对方的功能单元。因此,可以抑制损坏的增加。因此,可以改善应对车载网络中的未授权活动的功能。
(2)优选地,交换装置执行以下处理:通过利用指示功能单元之间的通信关系的中继信息,执行中继处理;作为验证处理,基于中继信息来识别用作未授权通信功能单元的通信对方的功能单元,所述未授权通信功能单元是已经检测到未授权通信的功能单元;以及验证所识别的功能单元。
利用该配置,可以准确且容易地识别和验证与已经执行未授权通信的功能单元通信的功能单元。
(3)优选地,作为验证处理,交换装置还验证辅助功能单元,所述辅助功能单元是用作异常功能单元的通信对方的功能单元,所述异常功能单元是在验证处理中被确定为具有异常的功能单元。
利用以这种方式逐步执行验证的配置,可以识别可能处于未授权或异常状态的功能单元,并且可以在损坏被增加之前采取适当的测量。
(4)优选地,车载通信系统包括多个交换装置,每个交换装置保存指示未授权通信功能单元和异常功能单元中的至少一者的列表,所述异常功能单元是在验证处理中被确定为具有异常的功能单元。
利用该配置,可以通过利用指示所识别的功能单元的列表来容易地采取各种类型的测量。
(5)更优选地,交换装置执行以下处理:当作为用作异常功能单元的通信对方的功能单元的辅助功能单元连接到另一交换装置时,将列表提供到另一交换装置并且使另一交换装置验证辅助功能单元。
利用该配置,相对于不直接连接到交换装置的功能单元,可以经由另一交换装置来执行验证处理。
(6)更优选地,每当交换装置更新列表时,交换装置将经更新的列表发送到另一交换装置。
利用该配置,所识别的功能单元的信息可以总是在交换装置之间被共享,并且可以执行较宽范围内的验证处理。
(7)优选地,在验证处理中,交换装置从功能单元获取用于存储的数据的验证数据,并且通过利用所获取的验证数据来验证功能单元。
利用该配置,在交换装置中,可以检测诸如功能单元的固件篡改的异常。
(8)优选地,在验证处理中,交换装置从功能单元获取用于存储的数据的认证数据,并且通过利用所获取的认证数据来验证功能单元。
利用该配置,可以通过较简单的处理来检测诸如固件篡改的异常。
(9)根据本公开的实施例的交换装置是在车载通信系统中使用的交换装置。交换装置包括:交换单元,其被配置为执行在多个功能单元之间中继通信数据的中继处理;以及验证单元,其被配置为当已经检测到功能单元的未授权通信时,执行验证除未授权通信功能单元之外的功能单元的验证处理,所述未授权通信功能单元是已经检测到未授权通信的功能单元。
利用该配置,当例如由于未授权的重写到功能单元中的固件中而已经执行了未授权通信时,验证用作可能处于未授权或异常状态的功能单元的通信对方的功能单元。因此,可以抑制损坏的增加。因此,可以改善应对车载网络中的未授权活动的功能。
(10)根据本公开的实施例的验证方法是在车载通信系统中执行的验证方法。车载通信系统包括多个功能单元以及一个或多个交换装置,每个交换装置被配置为执行在功能单元之间中继通信数据的中继处理。验证方法包括以下步骤:由交换装置执行获取由功能单元执行的未授权通信的检测结果;由交换装置执行将确认请求发送到用作未授权通信功能单元的通信对方的功能单元,所述未授权通信功能单元是已经检测到未授权通信的功能单元;以及由用作未授权通信功能单元的通信对方的功能单元执行将对确认请求的响应信息发送到交换装置。
利用该配置,当例如由于未授权的重写到功能单元中的固件中而已经执行了未授权通信时,验证用作可能处于未授权或异常状态的功能单元的通信对方的功能单元。因此,可以抑制损坏的增加。因此,可以改善应对车载网络中的未授权活动的功能。
(11)根据本公开的实施例的验证方法是在交换装置中执行的验证方法,该交换装置被配置为执行在多个功能单元之间中继通信数据的中继处理。验证方法包括以下步骤:获取由功能单元执行的未授权通信的检测结果;以及在已经检测到由功能单元执行的未授权通信时,执行验证除未授权通信功能单元之外的功能单元的验证处理,所述未授权通信功能单元是已经检测到未授权通信的功能单元。
利用该配置,当例如由于未授权的重写到功能单元中的固件中而已经执行了未授权通信时,验证用作可能处于未授权或异常状态的功能单元的通信对方的功能单元。因此,可以抑制损坏的增加。因此,可以改善应对车载网络中的未授权活动的功能。
(12)根据本公开的实施例的验证程序是在交换装置中使用的验证程序。验证程序被配置为使计算机用作:交换单元,其被配置为执行在多个功能单元之间中继通信数据的中继处理;以及验证单元,其被配置为当已经检测到功能单元的未授权通信时,执行验证除未授权通信功能单元之外的功能单元的验证处理,所述未授权通信功能单元是已经检测到未授权通信的功能单元。
利用该配置,当例如由于未授权的重写到功能单元中的固件中而已经执行了未授权通信时,验证用作可能处于未授权或异常状态的功能单元的通信对方的功能单元。因此,可以抑制损坏的增加。因此,可以改善应对车载网络中的未授权活动的功能。
在下文中,将参照附图描述本公开的实施例。在附图中,相同或对应的部分由相同的附图标记表示,并且不重复其描述。以下描述的实施例的至少一些部分可以根据需要组合在一起。
【配置和基本操作】
图1示出了根据本公开的实施例的车载通信系统的配置。
参照图1,车载通信系统301包括交换装置101A、101B和功能单元111C、111D、111E、111F。车载通信系统301安装在车辆1中。
在下文中,交换装置101A、101B中的每一个还将被称为交换装置101。功能单元111C、111D、111E、111F中的每一个还将被称为功能单元111。
车载通信系统301的配置不限于包括两个交换装置101的配置,但是可以是包括一个、三个或更多个交换装置101的配置。
车载通信系统301的配置不限于包括四个功能单元111的配置,但是可以是包括两个、三个、四个、六个或更多个功能单元111的配置。
功能单元111是例如自动驾驶ECU(电子控制单元)、驾驶支持装置、传感器等,并且可以执行与交换装置101的通信。
例如,车辆1的车载网络中的每个交换装置101与每个功能单元111之间的连接关系是固定的。
例如,交换装置101和功能单元111通过车载以太网(注册商标)通信电缆(在下文中,还被称为以太网电缆)10彼此连接。
交换装置101和功能单元111通过利用以太网电缆10彼此进行通信。例如,在交换装置101与功能单元111之间,通信数据通过利用根据IEEE802.3的以太网帧进行通信。
图2示出了根据本公开的实施例的车载通信系统中的每个装置的VID、MAC地址和IP地址的示例。
参照图2,例如,在车载网络中,功能单元111C、111D和功能单元111E、111F属于彼此不同的VLAN(虚拟局域网)。
在该示例中,功能单元111C、111D所属的VLAN的ID(在下文中,还被称为VID)为1。功能单元111E、111F所属的VID为2。
交换装置101和功能单元111各自具有唯一的MAC(媒体访问控制)地址和IP(互联网协议)地址。
再次参照图1,交换装置101执行在车载网络中的功能单元111之间中继数据的中继处理。
更具体地,例如,交换装置101可以根据层2和比层2更高阶的层3来执行中继处理。
具体地,在车载网络中,例如,根据IP协议,通过利用IP分组来发送/接收信息。IP分组存储在以太网帧中并被发送。
交换装置101中继车载网络中的数据。具体地,交换装置101中继功能单元111之间发送的以太网帧。
具体地,交换装置101根据具有多个层的通信协议操作。更具体地,交换装置101可以用作L2(层2)交换器,并且中继属于同一VLAN的功能单元111之间发送的以太网帧。
交换装置101还可以用作L3(层3)中继装置,并且中继属于不同VLAN的功能单元111之间的以太网帧。
具体地,当功能单元111C将IP分组发送到功能单元111D时,该IP分组包括分别作为发送源IP地址和发送目的地IP地址的IP-C和IP-D。
由于功能单元111C和功能单元111D属于同一VLAN,因此功能单元111C将分别作为VID、发送源MAC地址和发送目的地MAC地址的1、MAC-C和MAC-D写入以太网帧中。
功能单元111C将具有存储在其中的IP分组的以太网帧发送到交换装置101A。
当从功能单元111C接收到以太网帧时,交换装置101A在接收到的以太网帧上执行层2的交换处理,从而将以太网帧发送到功能单元111D。
当功能单元111C将IP分组发送到功能单元111E时,该IP分组包括分别作为发送源IP地址和发送目的地IP地址的IP-C和IP-E。
由于功能单元111C和功能单元111E属于不同的VLAN,因此功能单元111C将分别作为VID、发送目的地MAC地址和发送源MAC地址的1、MAC-A(即,用作默认网关的交换装置101A的MAC地址)和MAC-C写入以太网帧中。
功能单元111C将具有存储在其中的IP分组的以太网帧发送到交换装置101A。
当从功能单元111C接收到以太网帧时,交换装置101A在接收到的以太网帧上执行层3的中继处理,从而将以太网帧发送到功能单元111E。
【问题】
例如,交换装置101A可以检测未授权通信,诸如在不同于通常定时的定时发送数据。在此情况下,当交换装置101A已经检测到与功能单元111C的未授权通信时,例如,交换装置101A采取措施,诸如停止与功能单元111C的通信。
然而,在此情况下,由于未授权通信的影响,连接到交换装置101A的功能单元111D和交换装置101B会受到负面影响。另外,连接到交换装置101B的功能单元111E和功能单元111F也会受到负面影响。
为此,根据本公开的实施例的交换装置通过如下所述的配置和操作来解决上述问题。
【交换装置的配置】
图3示出了根据本公开的实施例的车载通信系统中的交换装置的配置。
参照图3,交换装置101包括交换单元51、控制单元52、存储单元53、多个通信端口54和验证单元55。
作为示例,图1中所示的交换装置101A包括交换单元51A、控制单元52A、存储单元53A、多个通信端口54A和验证单元55A。交换装置101B包括交换单元51B、控制单元52B、存储单元53B、多个通信端口54B和验证单元55B。
例如,交换装置101中的通信端口54是以太网电缆10可以连接到的端子。通信端口54可以是集成电路的端子。
多个通信端口54中的每一个经由以太网电缆10连接到多个功能单元111中的任一个。例如,多个通信端口54中的每一个与VLAN相关联。
交换单元51通过利用指示功能单元111之间的通信关系的中继信息来执行中继通信数据的中继处理。存储单元53保存应中继的通信数据。
图4示出了根据本公开的实施例的交换装置中的中继信息的示例。
参照图4,中继信息Tab1示出了通信数据的发送源与发送目的地之间的对应关系。在中继信息Tab1中,IP-D被登记为与作为发送源IP地址的IP-C对应的发送目的地IP地址,IP-E被登记为与作为发送源IP地址的IP-D对应的发送目的地IP地址。
通过监测由交换单元51执行的中继处理,控制单元52获取由交换单元51中继的通信数据的通信路径,并且将该通信路径登记到中继信息Tab1中。交换装置101将中继信息Tab1存储在存储单元53中。
更具体地,例如,交换单元51操作为L2交换器,并且在属于同一VLAN的功能单元111之间中继以太网帧。
具体地,例如,交换单元51保存指示通信端口54的端口号、VLAN的ID和连接目的地装置的MAC地址之间的对应关系的地址表。
例如,在交换装置101A中,当交换单元51A已经从功能单元111C接收到以太网帧时,交换单元51A将所接收到的以太网帧存储到存储单元53A中,并确认以太网帧的目的地MAC地址。
此时,当控制单元52A已经确认交换单元51A已将经由对应通信端口54A从功能单元111C接收的以太网帧存储到存储单元53A中时,控制单元52A确认存储在存储单元53A中的以太网帧中包括的发送源IP地址和发送目的地IP地址,即,作为发送源IP地址的功能单元111C的IP地址以及作为发送目的地IP地址的功能单元111D的IP地址。
然后,控制单元52A将分别作为“发送源IP地址”和“发送目的地IP地址”的经确认的IP地址登记到中继信息Tab1中。
在中继信息Tab1中,通过利用“发送源IP地址”和“发送目的地IP地址”来登记通信路径。然而,不限于此,可以通过利用“接收源MAC地址”和“发送目的地MAC地址”或者“接收源的通信端口54A的端口号”和“发送目的地的通信端口54A的端口号”来登记通信路径。
通过参照地址表,交换单元51A识别与经确认的目的地MAC地址对应的通信端口54A。这里,交换单元51识别连接到功能单元111D的通信端口54A。
然后,交换单元51从存储单元53A获取以太网帧,并且经由所识别的通信端口54A将所获取的以太网帧发送到功能单元111D。
同时,例如,交换单元51操作为L3交换器或L4交换器,并且在属于不同VLAN的功能单元111之间中继通信数据。
具体地,例如,交换单元51保存指示VLAN的ID与网络地址之间的对应关系的网络表。例如,交换单元51针对VLAN的每个ID保存指示IP地址与MAC地址之间的对应关系的ARP(地址解析协议)表。
例如,在交换装置101A中,当交换单元51A已经从功能单元111D接收到以太网帧时,交换单元51A确认目的地MAC地址是交换单元51A的MAC地址,并且从接收到的以太网帧取出IP分组。
通过参照网络表,交换单元51A识别与包括在IP分组中的目的地IP地址对应的VLAN的ID。
然后,通过参照与VLAN的所识别的ID对应的ARP表,交换单元51A获取与目的地IP地址对应的VLAN的网关的MAC地址。
交换单元51A创建包括所获取的MAC地址作为目的地MAC地址并且包括IP分组的以太网帧,并且将以太网帧存储到存储单元53中。
此时,当控制单元52A已经确认交换单元51A已经将以太网帧存储到存储单元53A中时,控制单元52A确认存储在存储单元53A中的以太网帧中包括的发送源IP地址和发送目的地IP地址,即,作为发送源IP地址的功能单元111D的IP地址和作为发送目的地IP地址的功能单元111E的IP地址。
然后,控制单元52A将功能单元111D的IP地址和功能单元111E的IP地址分别作为“发送目的地IP地址”和“发送目的地IP地址”登记到中继信息Tab1中。
通过参照地址表,交换单元51A识别与目的地MAC地址对应的通信端口54,即,连接到交换装置101B的通信端口54。
然后,交换单元51A从存储单元53获取以太网帧,并且经由所识别的通信端口54将所获取的以太网帧发送到交换装置101B。
交换装置101B相对于从交换装置101A发送的以太网帧操作为L2交换器,并且将以太网帧中继到功能单元111E。
同时,当交换装置101已经检测到由功能单元111执行的未授权通信时,交换装置101执行验证连接到交换装置101的另一功能单元111(即,未授权通信功能单元,其是已经针对其检测到未授权通信的功能单元111)的验证处理。
更具体地,控制单元52可以检测未授权通信,诸如在不同于通常定时的定时发送数据。当检测到未授权通信时,控制单元52将关于已经检测到未授权通信的效果的信息和指示已经检测到未授权通信的通信端口54的端口号的信息输出到验证单元55。
验证单元55参照由交换单元51保存的地址表,并且基于已经检测到未授权通信的通信端口54的端口号来获取连接目的地功能单元111的MAC地址。
然后,验证单元55参照由交换单元51保存的ARP表,并且获取与所获取的MAC地址对应的IP地址。
然后,作为验证处理,验证单元55基于存储在存储单元53中的中继信息Tab1来识别用作未授权通信功能单元的通信对方的功能单元111。
在下面,不是未授权通信功能单元而是未授权通信功能单元的通信对方的这种功能单元111还将被称为主要功能单元。
更具体地,验证单元55参照存储在存储单元53中的中继信息Tab1,并且获取通信路径的发送目的地IP地址,针对该通信路径,所获取的IP地址(即,未授权通信功能单元的IP地址)被登记为发送源IP地址,从而验证单元55识别该主要功能单元。
验证单元55验证所识别的主要功能单元。例如,当图1中所示的功能单元111C是未授权通信功能单元,并且功能单元111D的IP地址被登记为中继信息Tab1中的对应的发送目的地IP地址时,验证单元55A验证功能单元111D。即,验证单元55确定功能单元111D是否具有异常。
具体地,例如,验证单元55A生成包括重置命令的以太网帧,并且将以太网帧输出到交换单元51A。
交换单元51A将分别作为发送源MAC地址和发送目的地MAC地址的MAC-A和MAC-D写入以太网帧中。
通过参照地址表,交换单元51A识别与发送目的地MAC地址对应的通信端口54A,并且交换单元51A经由所识别的通信端口54A将从验证单元55A接收的以太网帧发送到功能单元111D。
功能单元111D接收包括重置命令的以太网帧,并重启。
图5示出了根据本公开的实施例的车载通信系统中的功能单元的配置的示例。
参照图5,功能单元111包括处理器21、FROM(闪存只读存储器)26、DRAM(动态随机存取存储器)27和通信单元28。处理器21包括内置硬件(HW)22、核心单元23和安全ROM 24。
内置硬件22是专用于安全性的硬件(诸如密码加速器),并且验证存储在FROM 26中的数据是否正确。
例如,FROM 26已经在其中存储了包括数据、应用程序等的目标数据TD911以及验证值VV911。存储在FROM 26中的数据是可重写的。
安全ROM 24已经在其中存储了用于验证目标数据TD911的第一加密密钥,并且是不能从处理器21的外部访问的存储区域。
更具体地,安全ROM 24是仅允许从内置硬件22进行访问的安全存储区域。例如,第一加密密钥在在产品出厂之前存储在安全ROM24中。
存储在安全ROM 24中的第一加密密钥可以仅通过内置硬件22获取,并且不可重写。
更具体地,在安全ROM 24中,作为由密钥生成工具生成的第一加密密钥的示例的验证密钥VK11在功能单元111的生成期间被存储为验证值验证密钥。
另外,在安全ROM 24中,生成密钥GK1被存储为与验证密钥VK11对应的验证值生成密钥。
例如,当功能单元111D已经重启时,核心单元23将针对目标数据TD911的验证请求输出到内置硬件22。
当从核心单元23接收到验证请求时,内置硬件22根据所接收到的验证请求从安全ROM 24获取验证密钥VK11和生成密钥GK1。
另外,内置硬件22根据验证请求从FROM 26获取目标数据TD911和验证值VV911。
内置硬件22通过利用已经获取的目标数据TD911、验证密钥VK11、生成密钥GK1和验证值VV911来验证目标数据TD911。
更具体地,内置硬件22基于生成密钥GK1和目标数据TD911通过利用哈希函数HF1来生成目标数据TD911的摘要。另外,内置硬件22通过利用验证密钥VK11通过对验证值VV911进行解码来生成摘要。
内置硬件22将所生成的摘要彼此进行核对。如果摘要彼此匹配,则内置硬件22确定目标数据TD911正确,如果摘要彼此不匹配,则内置硬件22确定目标数据TD911不正确。
例如,当诸如存储在FROM 26中的固件的数据由于未授权通信的影响而被伪造时,摘要彼此不匹配。因此,内置硬件22可以检测功能单元111中的异常。
然后,例如,内置硬件22将指示确定结果的验证结果信息存储到FROM 26中,并且另外将验证结果信息输出到核心单元23。
当从内置硬件22接收到验证结果信息时,核心单元23从FROM26获取目标数据TD911。
通过执行引导加载程序和OS程序,核心单元23根据OS程序进行操作,并使功能单元111的状态转变为初始状态。
例如,当功能单元111D的状态已经转变为初始状态时,功能单元111D变得能够与交换装置101A进行通信。
作为交换装置101A变得能够与功能单元111进行通信的结果,交换装置101A检测到功能单元111的重启完成。然后,交换装置101A将确认请求发送到功能单元111D。
更具体地,验证单元55A生成包括指示请求验证结果信息的验证结果请求作为确认请求的以太网帧,并将以太网帧输出到交换单元51A。
交换单元51A将发送源MAC地址和发送目的地MAC地址写入以太网帧中,并且参照地址表,从而标示与发送目的地MAC地址对应的通信端口54。然后,交换单元51A经由所识别的通信端口54将从验证单元55A接收的以太网帧发送到功能单元111D。
当功能单元111D中的通信单元28已经从交换装置101A接收到包括验证结果请求的以太网帧时,通信单元28获取包括在以太网帧中的验证结果请求,并且将验证结果请求输出到处理器21。
当处理器21中的核心单元23已经从通信单元28接收到验证结果请求时,核心单元23从FROM 26获取验证结果信息,并且将验证结果信息输出到通信单元28。
通信单元28生成包括从核心单元23接收的验证结果信息的以太网帧,并将以太网帧发送到交换装置101A。
当接收到从功能单元111D发送的以太网帧时,交换装置101A将所接收到的以太网帧存储到存储单元53A中。
验证单元55A确认存储在存储单元53A中的以太网帧中包括的验证结果信息,从而确定功能单元111D是否具有异常。
交换装置101A保存指示异常功能单元和未授权通信功能单元中的至少一个的列表,该异常功能单元是在验证处理中被确定为具有异常的功能单元111,该未授权通信功能单元是已经检测到未授权通信的功能单元111。在下面,这种列表也被称为管理列表。
更具体地,在交换装置101A中,验证单元55A参照由交换单元51A保存的地址表。然后,验证单元55A基于已经检测到未授权通信的通信端口54A的端口号来获取连接目的地功能单元111的MAC地址,从而创建管理列表。可替换地,验证单元55A通过将所获取的MAC地址登记到管理列表中来更新已经创建的管理列表。然后,验证单元55A将管理列表存储到存储单元53A中。
另外,验证单元55A通过将异常功能单元的MAC地址登记到管理列表中来更新管理列表。
图6示出了根据本公开的实施例的管理列表的示例。
参照图6,例如,分别作为图1中所示的功能单元111C和功能单元111D的MAC地址的MAC-C和MAC-D被登记在管理列表中。
例如,功能单元111C是未授权通信功能单元,功能单元111D是异常功能单元。
每当验证单元55A更新管理列表时,验证单元55A将经更新的管理列表发送到另一交换装置。例如,由于图1中所示的交换装置101A连接到交换装置101B,因此交换装置101A将更新的管理列表A发送到交换装置101B。
更具体地,验证单元55A生成包括经更新的管理列表A的以太网帧,并且将以太网帧输出到交换单元51。例如,如图6中所示,功能单元111C被登记为未授权通信功能单元,功能单元111D被登记为经更新的管理列表A中的异常功能单元。
交换单元51A将分别作为发送源MAC地址和发送目的地MAC地址的MAC-A和MAC-B写入以太网帧中。
通过参照地址表,交换单元51A识别与发送目的地MAC地址对应的通信端口54A,交换单元51A经由所识别的通信端口54A将从验证单元55A接收的以太网帧发送到交换装置101B。
在交换装置101B中,当交换单元51B已经从交换装置101A接收到包括管理列表A的以太网帧时,交换单元51B将包括在所接收到的以太网帧中的管理列表A存储到存储单元53B中。
当交换装置101B已经具有存储在存储单元53B中的管理列表B时,验证单元55将管理列表A和管理列表B合并在一起,从而创建新的管理列表C。
交换装置101B将所创建的管理列表C发送到诸如交换装置101A等的另一交换装置101。
在作为用作异常功能单元(其是在验证处理中被确定为具有异常的功能单元111)的通信对方的功能单元111的辅助功能单元连接到另一交换装置101的情况下,交换装置101A执行为其它交换装置101提供管理列表并且使其它交换装置101验证辅助功能单元的处理。
具体地,例如,验证单元55A识别被登记为管理列表A中的异常功能单元的功能单元111D的通信对方。
验证单元55A参照管理列表A,并且获取功能单元111D的MAC地址。验证单元55A参照ARP表,并且获取与所获取的MAC地址对应的IP地址。通过参照图4中所示的中继信息Tab1,验证单元55A获取功能单元111E的IP地址,该IP地址是用于通信路径的发送目的地IP地址,其获取的IP地址被登记为发送源IP地址。
验证单元55A参照地址表、ARP表和网络表,并且确认与发送目的地IP地址对应的功能单元111E不连接到交换装置101A,而是连接到交换装置101B。
然后,验证单元55A将管理列表A发送到交换装置101B。更具体地,验证单元55A生成包括管理列表A的以太网帧,并且将以太网帧输出到交换单元51。
交换单元51A将分别作为发送源MAC地址和发送目的地MAC地址的MAC-A和MAC-B写入以太网帧中。
通过参照地址表,交换单元51A识别与发送目的地MAC地址对应的通信端口54A,交换单元51A经由所识别的通信端口54A将从验证单元55A接收的以太网帧发送到交换装置101B。
在交换装置101B中,交换单元51B从交换装置101A接收包括管理列表A的以太网帧,并将包括在以太网帧中的管理列表A存储到存储单元53B中。
验证单元55B参照存储在存储单元53B中的管理列表A,并且获取与未授权通信功能单元和登记在管理列表A中的异常功能单元对应的MAC地址。验证单元55B参照ARP表,并且获取与所获取的MAC地址对应的IP地址。然后,验证单元55B搜索具有所获取的IP地址的功能单元111,所获取的IP地址被登记为存储单元53B中存储的中继信息Tab2中的发送源IP地址。
图7示出了根据本公开的实施例的交换装置中的中继信息的另一示例。
参照图7,IP-D被登记为发送源IP地址,IP-E被登记为存储单元53B中存储的中继信息Tab2中的发送目的地IP地址。
具体地,由于功能单元111D被登记为管理列表A中的异常功能单元,因此验证单元55B参照中继信息Tab2,并搜索被登记为发送源IP地址的IP-D。
验证单元55B获取IP-E,该IP-E是通信路径的发送目的地IP地址,针对该通信路径,IP-D被登记为发送源IP地址,从而验证单元55B将功能单元111E识别为辅助功能单元。
然后,作为验证处理,验证单元55B还验证已经被识别为辅助功能单元的功能单元111E。在用于功能单元111E的验证处理中,当验证单元55B已经确定功能单元111E具有异常时,验证单元55B将作为异常功能单元的功能单元111E登记到管理列表A中,从而更新管理列表A。
然后,验证单元55B将经更新的管理列表A发送到交换装置101A。
另外,通过执行与上面相似的处理,验证单元55B搜索用于被识别为异常功能单元的功能单元111E的辅助功能单元。当存在辅助功能单元时,验证单元55B验证辅助功能单元。
验证单元55B继续上述处理,直到验证了与登记在管理列表A中的所有异常功能单元对应的辅助功能单元为止。
验证单元55B可以在以上验证处理结束之后创建管理列表,然后登记未授权通信功能单元和异常功能单元。
【修改1】
在验证处理中,交换装置101从功能单元111获取用于存储的数据的验证数据,并且通过利用所获取的验证数据来验证功能单元111。
在车载通信系统301中,例如,当功能单元111不包括图5中所示的安全ROM 24时,交换装置101从功能单元111获取用于存储的数据的验证数据,并且通过利用所获取的验证数据来验证功能单元111。
更具体地,例如,在功能单元111的生成期间、在功能单元的固件的更新期间等,交换装置101执行关于功能单元111的固件的写入。
利用哈希函数,交换装置101计算要写入的固件的哈希值。另外,交换装置101计算要写入的固件的校验和。
交换装置101将与功能单元111相关联的所计算的哈希值和校验和保存在存储单元53中。
图8示出了根据本公开的实施例的由交换装置保存的校验值表的示例。
参照图8,例如,通过交换装置101A写入功能单元111C中的固件的哈希值和校验和分别是HASH-C和SUM-C,通过交换装置101A写入功能单元111D中的固件的哈希值和校验和分别是HASH-D和SUM-D。
在验证处理中,例如,交换装置101A将重置命令发送到功能单元111D,并且强制使功能单元111D重启。
当已经完成重启并且该状态被转变为初始状态时,功能单元111D变得能够与交换装置101A进行通信。
作为交换装置101A变得能够与功能单元111D进行通信的结果,交换装置101A检测到功能单元111D的重启完成。然后,交换装置101A将确认请求发送到功能单元111D。
更具体地,验证单元55A生成包括作为确认请求的指示请求了验证数据的验证数据请求的以太网帧,并将以太网帧输出到交换单元51A。
交换单元51A将发送源MAC地址和发送目的地MAC地址写入以太网帧中,并且参照地址表,从而识别与发送目的地MAC地址对应的通信端口54。然后,交换单元51A经由所识别的通信端口54将从验证单元55A接收的以太网帧发送到功能单元111D。
当功能单元111D中的通信单元28已经从交换装置101A接收到包括验证数据请求的以太网帧时,通信单元28获取包括在以太网帧中的验证数据请求,并且将验证数据请求输出到处理器21。
当处理器21中的核心单元23已经从通信单元28接收到验证数据请求时,例如,核心单元23获取作为存储在FROM 26中的验证数据的固件的写入的哈希值和校验和,并且将哈希值和校验和输出到通信单元28。
通信单元28生成包括从核心单元23接收的验证数据的以太网帧,并且将以太网帧发送到交换装置101A。
当接收到从功能单元111D发送的以太网帧时,交换装置101A将接收到的以太网帧存储到存储单元53A中。
验证单元55A获取存储在存储单元53A中的以太网帧中包括的哈希值和校验和。
验证单元55A将所获取的哈希值和校验和以及存储在存储单元53A中的校验值表中的哈希值和校验和彼此进行核对。
如果已经核对的哈希值和校验和彼此不匹配,则验证单元55A确定对应的功能单元111具有异常。
【修改2】
在验证处理中,交换装置101从功能单元111获取用于存储的数据的认证数据,并且通过利用所获取的认证数据来验证功能单元111。
更具体地,例如,在验证处理中,交换装置101A将重置命令发送到功能单元111D,并且强制使功能单元111D重启。
当已经完成重启并且该状态已经转变为初始状态时,功能单元111D变得能够与交换装置101A进行通信。
作为交换装置101A变得能够与功能单元111D进行通信的结果,交换装置101A检测到功能单元111D的重启完成。然后,交换装置101A将确认请求发送到功能单元111D。
更具体地,例如,交换装置101A通过利用预定协议经由ID和密码来请求认证。
更具体地,验证单元55A生成包括作为确认请求的指示请求了认证数据的认证数据请求的以太网帧,并将以太网帧输出到交换单元51A。
交换单元51A将发送源MAC地址和发送目的地MAC地址写入以太网帧中,并且参照地址表,从而识别与发送目的地MAC地址对应的通信端口54。然后,交换单元51A经由所识别的通信端口54将从验证单元55A接收的以太网帧发送到功能单元111D。
当功能单元111D中的通信单元28已经从交换装置101A接收到包括认证数据请求的以太网帧时,通信单元28获取包括在以太网帧中的认证数据请求,并将认证数据请求输出到处理器21。
例如,当处理器21中的核心单元23已经从通信单元28接收到认证数据请求时,核心单元23获取作为存储在FROM 26中的认证数据的ID和密码,并将ID和密码输出到通信单元28。
通信单元28生成包括从核心单元23接收的认证数据的以太网帧,并将以太网帧发送到交换装置101A。
当接收到从功能单元111D发送的以太网帧时,交换装置101A将所接收到的以太网帧存储在存储单元53A中。
验证单元55A获取包括在所存储的以太网帧中的ID和密码,并且通过利用所获取的ID和密码来执行关于功能单元111D的认证。当不重新认证功能单元111D时,验证单元55A确定功能单元111D具有异常。
【操作流程】
车载通信系统301中的装置中的每一个包括计算机。计算机中的诸如CPU的算法处理单元从存储器(未示出)读出包括以下描述的序列图或流程图中的部分或全部步骤的程序,并执行该程序。可以从外部安装用于多个装置的程序。用于多个装置的程序各自以被存储在存储介质中的状态被分发。
图9示出了根据本公开的实施例的在车载通信系统中验证未授权通信的处理的序列。图9示出了其中交换装置101A和交换装置101B验证未授权通信的代表性处理。
参照图9,首先,交换装置101A在其通信端口54检测到未授权通信(步骤S101)。
接下来,交换装置101A将功能单元111C识别为作为未授权通信中的发送源的未授权通信功能单元(步骤S102)。
接下来,交换装置101A参照中继信息Tab1以搜索主要功能单元,并将功能单元111D识别为主要功能单元(步骤S103)。
接下来,交换装置101A将重置命令发送到功能单元111D(步骤S104)。
接下来,功能单元111D根据所接收的重置命令进行重启。当已经完成重启并且该状态已经转变为初始状态时,功能单元111D变得能够与交换装置101A进行通信(步骤S105)。
接下来,当检测到完成功能单元111D的重启时,交换装置101A将请求各种类型的数据(即,验证结果信息、验证数据或认证数据)的确认请求发送到功能单元111D(步骤S106)。
接下来,功能单元111D将验证结果信息、验证数据或认证数据发送到交换装置101A(步骤S107)。
接下来,作为确认验证结果信息、验证数据或认证数据的结果,交换装置101A确定功能单元111D是异常功能单元(步骤S108)。
接下来,交换装置101A搜索作为用作异常功能单元的通信对方的功能单元111的辅助功能单元,并将功能单元111E识别为辅助功能单元(步骤S109)。
接下来,交换装置101A参照中继信息Tab1,确认功能单元111E连接到交换装置101B,并且将作为未授权通信功能单元的功能单元111C和作为异常功能单元的功能单元111D登记到管理列表中(步骤S110)。
接下来,交换装置101A将管理列表发送到交换装置101B(步骤S111)。
接下来,交换装置101B参照所接收的管理列表和中继信息Tab2,并且搜索主要功能单元和辅助功能单元,从而将功能单元111E识别为辅助功能单元(步骤S112)。
接下来,交换装置101B将重置命令发送到功能单元111E(步骤S113)。
接下来,功能单元111E根据所接收的重置命令进行重启。当已经完成重启并且该状态已经转变为初始状态时,功能单元111E变得能够与交换装置101B进行通信(步骤S114)。
接下来,当检测到完成功能单元111E的重启时,交换装置101B将请求各种类型的数据(即,验证结果信息、验证数据或认证数据)的确认请求发送到功能单元111E(步骤S115)。
接下来,功能单元111E将验证结果信息、验证数据或认证数据发送到交换装置101B(步骤S116)。
接下来,作为确认验证结果信息、验证数据或认证数据的结果,交换装置101B确定功能单元111E是异常功能单元(步骤S117)。
接下来,交换装置101B将功能单元111E登记到管理列表中(步骤S118)。
接下来,交换装置101B将管理列表发送到交换装置101A(步骤S119)。
图10是描述根据本公开的实施例的操作处理的流程图,交换装置根据该操作处理执行验证未授权通信的验证处理。
参照图10,首先,交换装置101在其通信端口54检测到未授权通信(步骤S201)。
接下来,交换装置101识别作为未授权通信中的发送源的未授权通信功能单元(步骤S202)。
接下来,交换装置101参照中继信息Tab1,并搜索主要功能单元(步骤S203)。
接下来,当不存在主要功能单元(步骤S203中的否)时,交换装置101生成或更新管理列表(步骤S209),并将管理列表发送到另一交换装置101(步骤S210)。
同时,当存在主要功能单元(步骤S203中的是)并且主要功能单元连接到另一交换装置101(步骤S204中的否)时,交换装置101将管理列表发送到其它交换装置101(步骤S210)。
同时,当主要功能单元连接到交换装置101(步骤S204中的是)时,交换装置101验证主要功能单元(步骤S205)。
接下来,当在验证处理中已经确定主要功能单元正常(步骤S205中的否)时,交换装置101生成或更新管理列表(步骤S209),并将管理列表发送到另一交换装置101(步骤S210)。
同时,当已经在验证处理中确定主要功能单元具有异常(步骤S205中的是)时,交换装置101参照中继信息Tab1,并搜索作为用作异常功能单元的通信对方的功能单元111的辅助功能单元(步骤S206)。
接下来,当不存在辅助功能单元(步骤S206中的否)时,交换装置101生成或更新管理列表(步骤S209),并将管理列表发送到另一交换装置101(步骤S210)。
同时,当存在辅助功能单元(步骤S206中的是)并且辅助功能单元连接到另一交换装置101(步骤S207中的否)时,交换装置101生成或更新更新管理列表(步骤S209),并将管理列表发送到另一交换装置101(步骤S210)。
同时,当辅助功能单元连接到交换装置101(步骤S207中的是)时,交换装置101验证辅助功能单元(步骤S208)。
接下来,当已经在验证处理中确定辅助功能单元正常(步骤S208中的否)时,交换装置101生成或更新管理列表(步骤S209),并将管理列表发送到另一交换装置101(步骤S210)。
同时,当已经在验证处理中确定辅助功能单元具有异常(步骤S208中的是)时,交换装置101参照中继信息Tab1,并搜索作为用作异常功能单元的通信对方的功能单元111的辅助功能单元(步骤S206)。
在根据本公开的实施例的交换装置中,控制单元52检测未授权通信。然而,本公开不限于此。例如,交换装置101可以被配置为从另一交换装置101或连接到交换装置101的功能单元111获取指示已经检测到未授权通信的信息。在此情况下,当获取到指示已经检测到未授权通信的信息时,控制单元52将该信息输出到验证单元55。
在根据本公开的实施例的交换装置中,验证单元55确定功能单元111是否具有异常作为验证处理。然而,本公开不限于此。验证单元55可以被配置为确定功能单元111具有异常的可能性作为验证处理。
在根据本公开的实施例的车载通信系统中,交换装置101基于中继信息来识别主要功能单元,并验证主要功能单元。然而,本公开不限于此。例如,交换装置101可以被配置为在不使用中继信息的情况下验证连接到交换装置101的所有功能单元111。
在根据本公开的实施例的车载通信系统中,交换装置101还验证辅助功能单元。然而,本公开不限于此。交换装置101可以被配置为执行仅主要功能单元的验证。
在根据本公开的实施例的车载通信系统中,交换装置101保存管理列表。然而,本公开不限于此。交换装置101可以被配置为在不保存管理列表的情况下执行验证处理。
在根据本公开的实施例的车载通信系统中,交换装置101将管理列表发送到连接到交换装置101的另一交换装置101,并使另一交换装置101验证连接到另一交换装置101的功能单元111。然而,本公开不限于此。交换装置101可以被配置为不将管理列表发送到另一交换装置101。
在根据本公开的实施例的车载通信系统中,每当交换装置101更新管理列表时,交换装置101都将管理列表发送到另一交换装置。然而,本公开不限于此。交换装置101可以被配置为以预定定时将管理列表发送到另一交换装置。
同时,需要一种可以适当地应对已在车载网络中发生未授权状态的情况的技术。
为此,在根据本公开的实施例的车载通信系统中,交换装置101执行在多个功能单元111之间中继通信数据的中继处理。当已经检测到功能单元111的未授权通信时,交换装置101执行验证功能单元111而不是未授权通信功能单元的验证处理,该未授权通信功能单元是已经检测到未授权通信的功能单元111。
利用该配置,当由于例如未授权的重写到功能单元111中的固件中而已经执行未授权通信时,验证用作可能处于未授权或异常状态的功能单元111的通信对方的功能单元111。因此,可以抑制损坏的增加。
因此,在根据本公开的实施例的车载通信系统中,可以改善应对车载网络中的未授权活动的功能。
在根据本公开的实施例的车载通信系统中,交换装置101:通过利用指示功能单元111之间的通信关系的中继信息来执行中继处理;作为验证处理,基于中继信息来识别用作未授权通信功能单元的通信对方的功能单元111,该未授权通信功能单元是已经检测到未授权通信的功能单元111;以及验证所识别的功能单元111。
利用该配置,与已经执行未授权通信的功能单元111进行通信的功能单元111可以被准确且容易地识别和验证。
在根据本公开的实施例的车载通信系统中,作为验证处理,交换装置101还验证作为用作异常功能单元的通信对方的功能单元111的辅助功能单元,该异常功能单元是在验证处理中被确定为具有异常的功能单元111。
利用其中以该方式逐步执行验证的配置,可以识别可能处于未授权或异常状态的功能单元111,并且可以在损伤增强之前采取适当的测量。
在根据本公开的实施例的车载通信系统中,交换装置101保存指示未授权通信功能单元和异常功能单元中的至少一个的管理列表,该未授权通信功能单元是已经检测到未授权通信的功能单元111,该异常功能单元是在验证处理中被确定为具有异常的功能单元111。
利用该配置,可以通过利用指示所识别的功能单元111的管理列表来容易地采取各种类型的测量。
在根据本公开的实施例的车载通信系统中,交换装置101执行以下处理:当作为用作异常功能单元(其是在验证处理中被确定为具有异常的功能单元111)的通信对方的功能单元111的辅助功能单元连接到另一交换装置101时,将管理列表提供到另一交换装置101并且使另一交换装置101验证辅助功能单元。
利用该配置,相对于不直接连接到交换装置101的功能单元111,可以经由另一交换装置101执行验证处理。
在根据本公开的实施例的车载通信系统中,每当交换装置101更新管理列表时,交换装置101将经更新的管理列表发送到另一交换装置101。
利用该配置,所识别的功能单元111的信息可以总是在交换装置101之间被共享,并且可以执行在较宽范围内的验证处理。
在根据本公开的实施例的车载通信系统中,在验证处理中,交换装置101从功能单元111获取用于存储的数据的验证数据,并且通过利用所获取的验证数据来验证功能单元111。
利用该配置,在交换装置101中,可以检测诸如功能单元111的固件篡改的异常。
在根据本公开的实施例的车载通信系统中,在验证处理中,交换装置101从功能单元111获取用于存储的数据的认证数据,并且通过利用所获取的认证数据来验证功能单元111。
利用该配置,可以通过较简单的处理来检测诸如固件篡改的异常。
在根据本公开的实施例的交换装置中,交换单元51执行在多个功能单元之间中继通信数据的中继处理。当已经检测到功能单元111的未授权通信时,验证单元55执行验证功能单元111而不是未授权通信功能单元的验证处理,该未授权通信功能单元是已经检测到未授权通信的功能单元111。
利用该配置,当由于例如未授权的重写到功能单元111中的固件中而已经执行未授权通信时,验证用作可能处于未授权或异常状态的功能单元111的通信对方的功能单元111。因此,可以抑制损坏的增加。
因此,在根据本公开的实施例的交换装置中,可以改善应对车载网络中的未授权活动的功能。
在根据本公开的实施例的车载通信系统中要执行的验证方法中,首先,交换装置101获取由功能单元111执行的未授权通信的检测结果。接下来,交换装置101将确认请求发送到用作未授权通信功能单元的通信对方的功能单元111,该未授权通信功能单元是已经检测到未授权通信的功能单元111。接下来,用作未授权通信功能单元的通信对方的功能单元111将对确认请求的响应信息发送到交换装置101。
利用该配置,当由于例如未授权的重写到功能单元111中的固件中而已经执行未授权通信时,验证用作可能处于未授权或异常状态的功能单元111的通信对方的功能单元111。因此,可以抑制损坏的增加。
因此,在根据本公开的实施例的车载通信系统中要执行的验证方法中,可以改善应对车载网络中的未授权活动的功能。
在根据本公开的实施例的交换装置中要执行的验证方法中,首先,获取由功能单元111执行的未授权通信的检测结果。接下来,当已经检测到由功能单元111执行的未授权通信时,执行验证功能单元111而不是未授权通信功能单元的验证处理,该未授权通信功能单元是已经检测到未授权通信的功能单元111。
利用该配置,当由于例如未授权的重写到功能单元111中的固件中而已经执行未授权通信时,验证用作可能处于未授权或异常状态的功能单元111的通信对方的功能单元111。因此,可以抑制损坏的增加。
因此,在根据本公开的实施例的交换装置中要执行的验证方法中,可以改善应对车载网络中的未授权活动的功能。
以上实施例在所有方面仅是说明性的,并且不应被认为是限制性的。本公开的范围由权利要求书而不是由以上描述来限定,并且意图包括等同于权利要求书的范围的含义以及所述范围内的所有修改。
以上描述包括以下附加说明中的特征。
【附加说明1】
一种车载通信系统,包括:
多个功能单元;以及
一个或多个交换装置,每个交换装置被配置为执行在功能单元之间中继通信数据的中继处理,其中,
当已经检测到功能单元的未授权通信时,交换装置执行验证除未授权通信功能单元之外的功能单元的验证处理,该未授权通信功能单元是已经检测到未授权通信的功能单元,并且
作为验证处理,交换装置将确认请求发送到除未授权通信功能单元之外的功能单元,并且从除未授权通信功能单元之外的功能单元接收指示其数据是否正确的确定结果的信息。
【附加说明2】
一种在车载通信系统中使用的交换装置,该交换装置包括:
交换单元,其被配置为执行在多个功能单元之间中继通信数据的中继处理;以及
验证单元,其被配置为当已经检测到功能单元的未授权通信时,执行验证除未授权通信功能单元之外的功能单元的验证处理,该未授权通信功能单元是已经检测到未授权通信的功能单元,其中,
作为验证处理,验证单元经由交换单元将确认请求发送到除未授权通信功能单元之外的功能单元,并且
交换单元从除未授权通信功能单元之外的功能单元接收指示其数据是否正确的确定结果的信息。
附图符号列表
1 车辆
10 以太网电缆
21 处理器
22 内置HW
23 核心单元
24 安全ROM
26 FROM
27 DRAM
28 通信单元
51 交换单元
52 控制单元
53 存储单元
54 通信端口
55 验证单元
101 交换装置
111 功能单元
301 车载通信系统
Claims (12)
1.一种车载通信系统,包括:
多个功能单元;以及
一个或多个交换装置,每个交换装置被配置为执行在所述功能单元之间中继通信数据的中继处理,其中
当已经检测到功能单元的未授权通信时,所述交换装置执行验证除未授权通信功能单元之外的功能单元的验证处理,所述未授权通信功能单元是已经检测到所述未授权通信的功能单元。
2.根据权利要求1所述的车载通信系统,其中
所述交换装置执行以下处理:通过利用指示所述功能单元之间的通信关系的中继信息,执行所述中继处理;作为所述验证处理,基于所述中继信息来识别用作所述未授权通信功能单元的通信对方的功能单元;以及验证所识别的功能单元。
3.根据权利要求1或2所述的车载通信系统,其中
作为所述验证处理,所述交换装置还验证辅助功能单元,所述辅助功能单元是用作异常功能单元的通信对方的功能单元,所述异常功能单元是在所述验证处理中被确定为具有异常的功能单元。
4.根据权利要求1至3中任一项所述的车载通信系统,其中
所述车载通信系统包括多个所述交换装置,并且
每个交换装置保存指示所述未授权通信功能单元和异常功能单元中的至少一者的列表,所述异常功能单元是在所述验证处理中被确定为具有异常的功能单元。
5.根据权利要求4所述的车载通信系统,其中
所述交换装置执行以下处理:当作为用作异常功能单元的通信对方的功能单元的辅助功能单元连接到另一交换装置时,将所述列表提供到所述另一交换装置并且使所述另一交换装置验证所述辅助功能单元。
6.根据权利要求4或5所述的车载通信系统,其中
每当所述交换装置更新所述列表时,所述交换装置将经更新的列表发送到另一交换装置。
7.根据权利要求1至6中任一项所述的车载通信系统,其中
在所述验证处理中,所述交换装置从所述功能单元获取用于存储的数据的验证数据,并且通过利用所获取的验证数据来验证所述功能单元。
8.根据权利要求1至6中任一项所述的车载通信系统,其中
在所述验证处理中,所述交换装置从所述功能单元获取用于存储的数据的认证数据,并且通过利用所获取的认证数据来验证所述功能单元。
9.一种用于车载通信系统中的交换装置,所述交换装置包括:
交换单元,其被配置为执行在多个功能单元之间中继通信数据的中继处理;以及
验证单元,其被配置为当已经检测到功能单元的未授权通信时,执行验证除未授权通信功能单元之外的功能单元的验证处理,所述未授权通信功能单元是已经检测到所述未授权通信的功能单元。
10.一种在车载通信系统中执行的验证方法,所述车载通信系统包括多个功能单元以及一个或多个交换装置,每个交换装置被配置为执行在所述功能单元之间中继通信数据的中继处理,
所述验证方法包括以下步骤:
由所述交换装置执行获取由功能单元执行的未授权通信的检测结果;
由所述交换装置执行将确认请求发送到用作未授权通信功能单元的通信对方的功能单元,所述未授权通信功能单元是已经检测到所述未授权通信的功能单元;以及
由用作所述未授权通信功能单元的通信对方的功能单元执行将对所述确认请求的响应信息发送到所述交换装置。
11.一种在交换装置中执行的验证方法,所述交换装置被配置为执行在多个功能单元之间中继通信数据的中继处理,
所述验证方法包括以下步骤:
获取由功能单元执行的未授权通信的检测结果;以及
在已经检测到由所述功能单元执行的未授权通信时,执行验证除未授权通信功能单元之外的功能单元的验证处理,所述未授权通信功能单元是已经检测到所述未授权通信的功能单元。
12.一种在交换装置中使用的验证程序,所述验证程序被配置为使计算机用作:
交换单元,其被配置为执行在多个功能单元之间中继通信数据的中继处理;以及
验证单元,其被配置为当已经检测到功能单元的未授权通信时,执行验证除未授权通信功能单元之外的功能单元的验证处理,所述未授权通信功能单元是已经检测到所述未授权通信的功能单元。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018034044 | 2018-02-28 | ||
| JP2018-034044 | 2018-02-28 | ||
| PCT/JP2018/046201 WO2019167384A1 (ja) | 2018-02-28 | 2018-12-14 | 車載通信システム、スイッチ装置、検証方法および検証プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111788796A true CN111788796A (zh) | 2020-10-16 |
| CN111788796B CN111788796B (zh) | 2022-10-18 |
Family
ID=67805694
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880090220.4A Active CN111788796B (zh) | 2018-02-28 | 2018-12-14 | 车载通信系统、交换装置、验证方法和计算机可读存储介质 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11558404B2 (zh) |
| JP (1) | JP7115536B2 (zh) |
| CN (1) | CN111788796B (zh) |
| WO (1) | WO2019167384A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114553634A (zh) * | 2020-11-24 | 2022-05-27 | 上海汽车集团股份有限公司 | 一种数据处理方法和相关装置 |
| CN114679289A (zh) * | 2021-01-28 | 2022-06-28 | 北京新能源汽车股份有限公司 | 一种车载通信系统及车辆 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021002013A1 (ja) * | 2019-07-04 | 2021-01-07 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知装置および異常検知方法 |
| US11528267B2 (en) * | 2019-12-06 | 2022-12-13 | Bank Of America Corporation | System for automated image authentication and external database verification |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030009271A1 (en) * | 2001-07-06 | 2003-01-09 | Susumu Akiyama | Vehicular relay device, in-vehicle communication system, failure diagnostic system, vehicle management device, server device and detection and diagnostic program |
| CN1579068A (zh) * | 2002-09-02 | 2005-02-09 | 索尼株式会社 | 装置验证设备及方法、信息处理设备及方法和计算机程序 |
| US20100241744A1 (en) * | 2009-03-18 | 2010-09-23 | Yuji Fujiwara | Network Monitoring Apparatus and Network Monitoring Method |
| CN105827587A (zh) * | 2015-01-27 | 2016-08-03 | 瑞萨电子株式会社 | 中继设备、终端设备和通信方法 |
| JP2017005617A (ja) * | 2015-06-15 | 2017-01-05 | 株式会社デンソー | 中継装置、電子装置および通信システム |
| CN106534156A (zh) * | 2016-11-30 | 2017-03-22 | 北京洋浦伟业科技发展有限公司 | 车辆电子控制单元之间的身份认证方法和装置及设备 |
| US20180244238A1 (en) * | 2015-09-10 | 2018-08-30 | Robert Bosch Gmbh | Unauthorized access event notification for vehicle electronic control units |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5651615B2 (ja) | 2012-02-16 | 2015-01-14 | 日立オートモティブシステムズ株式会社 | 車載ネットワークシステム |
| JP6684690B2 (ja) | 2016-01-08 | 2020-04-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム |
| JP6601256B2 (ja) * | 2016-02-19 | 2019-11-06 | トヨタ自動車株式会社 | イーサネットスイッチ装置 |
| KR20190115470A (ko) * | 2017-03-23 | 2019-10-11 | 히다치 오토모티브 시스템즈 가부시키가이샤 | 차량 제어 장치 |
| US20190182267A1 (en) * | 2017-12-13 | 2019-06-13 | International Business Machines Corporation | Vehicle security manager |
| US11283598B2 (en) * | 2019-01-25 | 2022-03-22 | Infineon Technologies Ag | Selective real-time cryptography in a vehicle communication network |
-
2018
- 2018-12-14 JP JP2020502819A patent/JP7115536B2/ja active Active
- 2018-12-14 WO PCT/JP2018/046201 patent/WO2019167384A1/ja active Application Filing
- 2018-12-14 CN CN201880090220.4A patent/CN111788796B/zh active Active
- 2018-12-14 US US16/955,323 patent/US11558404B2/en active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030009271A1 (en) * | 2001-07-06 | 2003-01-09 | Susumu Akiyama | Vehicular relay device, in-vehicle communication system, failure diagnostic system, vehicle management device, server device and detection and diagnostic program |
| CN1579068A (zh) * | 2002-09-02 | 2005-02-09 | 索尼株式会社 | 装置验证设备及方法、信息处理设备及方法和计算机程序 |
| US20100241744A1 (en) * | 2009-03-18 | 2010-09-23 | Yuji Fujiwara | Network Monitoring Apparatus and Network Monitoring Method |
| CN105827587A (zh) * | 2015-01-27 | 2016-08-03 | 瑞萨电子株式会社 | 中继设备、终端设备和通信方法 |
| JP2017005617A (ja) * | 2015-06-15 | 2017-01-05 | 株式会社デンソー | 中継装置、電子装置および通信システム |
| US20180244238A1 (en) * | 2015-09-10 | 2018-08-30 | Robert Bosch Gmbh | Unauthorized access event notification for vehicle electronic control units |
| CN106534156A (zh) * | 2016-11-30 | 2017-03-22 | 北京洋浦伟业科技发展有限公司 | 车辆电子控制单元之间的身份认证方法和装置及设备 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114553634A (zh) * | 2020-11-24 | 2022-05-27 | 上海汽车集团股份有限公司 | 一种数据处理方法和相关装置 |
| CN114679289A (zh) * | 2021-01-28 | 2022-06-28 | 北京新能源汽车股份有限公司 | 一种车载通信系统及车辆 |
| CN114679289B (zh) * | 2021-01-28 | 2024-01-30 | 北京新能源汽车股份有限公司 | 一种车载通信系统及车辆 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019167384A1 (ja) | 2019-09-06 |
| US20210021615A1 (en) | 2021-01-21 |
| CN111788796B (zh) | 2022-10-18 |
| US11558404B2 (en) | 2023-01-17 |
| JP7115536B2 (ja) | 2022-08-09 |
| JPWO2019167384A1 (ja) | 2021-02-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111788796B (zh) | 车载通信系统、交换装置、验证方法和计算机可读存储介质 | |
| US11444939B2 (en) | Authentication control device, authentication control method, and authentication control program | |
| US20180278616A1 (en) | In-vehicle communication system, communication management device, and vehicle control device | |
| US11063908B2 (en) | On-vehicle communication device, communication control method, and communication control program | |
| US9923722B2 (en) | Message authentication library | |
| US11930021B2 (en) | Unauthorized frame detection device and unauthorized frame detection method | |
| US20190123908A1 (en) | Arithmetic Device, Authentication System, and Authentication Method | |
| JP6888437B2 (ja) | 車載通信装置、通信制御方法および通信制御プログラム | |
| JP2020047992A (ja) | 車両用中継装置 | |
| US20220264293A1 (en) | Relay device and vehicle communication method | |
| CN113557697A (zh) | 管理装置、车辆通信系统、车辆、车辆通信管理方法及车辆通信管理程序 | |
| US20200134937A1 (en) | Vehicle-mounted communications device, log collection method, and log collection program | |
| JP6544250B2 (ja) | 中継装置 | |
| KR20180072340A (ko) | 운송 수단 내부 네트워크에서의 제어 데이터를 보안 전송하는 방법 | |
| JP2022173922A (ja) | 車載中継装置 | |
| JP7067508B2 (ja) | ネットワークシステム | |
| CN113853769B (zh) | 设定装置、通信系统以及车辆通信管理方法 | |
| JP2017123570A (ja) | 中継装置及び通信システム | |
| JP7476896B2 (ja) | 中継装置、車両通信方法および車両通信プログラム | |
| JP2020096320A (ja) | 不正信号処理装置 | |
| WO2022185828A1 (ja) | 車両用装置、サーバ、及び通信管理方法 | |
| KR20210075771A (ko) | 차량 내부 네트워크 경량 보안 통신 장치 및 방법 | |
| JP2022173923A (ja) | 車載中継装置 | |
| JP2022078868A (ja) | 車両通信システム、通信方法及び通信プログラム | |
| JP2020096322A (ja) | 不正信号処理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |