CN113273144B - 车载通信系统、车载通信控制装置、车载通信装置、通信控制方法及通信方法 - Google Patents
车载通信系统、车载通信控制装置、车载通信装置、通信控制方法及通信方法 Download PDFInfo
- Publication number
- CN113273144B CN113273144B CN201980087960.7A CN201980087960A CN113273144B CN 113273144 B CN113273144 B CN 113273144B CN 201980087960 A CN201980087960 A CN 201980087960A CN 113273144 B CN113273144 B CN 113273144B
- Authority
- CN
- China
- Prior art keywords
- vehicle
- authentication code
- message
- mac
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
Abstract
本发明提供一种能够实现设定了不同安全等级的多个装置混合存在的情况的车载通信系统、车载通信控制装置、车载通信装置、通信控制方法及通信方法。在本实施方式的车载通信系统中,多个车载通信装置被分类成多个安全等级,且针对每个安全等级规定有公共密钥。车载通信装置存储与该车载通信装置自身的安全等级相应的公共密钥,对发送的消息附加使用公共密钥而生成的认证码,并使用公共密钥来判定接收到的消息所附加的认证码是否正当。车载通信控制装置存储各安全等级的公共密钥,使用对应的公共密钥来判定接收到的消息所附加的认证码是否正当,在判定为认证码不正当的情况下,对未存储在该判定中使用的公共密钥的车载通信装置进行通知。
Description
技术领域
本公开涉及搭载于车辆的多个装置进行通信的车载通信系统、车载通信控制装置、车载通信装置、通信控制方法及通信方法。
背景技术
近年来,人们研究开发车辆的自动驾驶或驾驶辅助等技术,推进车辆的高功能化。伴随着车辆的高功能化,在搭载于车辆的ECU(Electronic Control Unit,电子控制单元)等装置中,硬件及软件变得高功能化及复杂化。对此,存在可能通过对车辆系统进行不正当装置或软件的注入而进行例如车辆的劫持等攻击这样的问题。为了防止针对车辆的不正当攻击,研究例如对通信进行加密等各自对策。
在专利文献1中记载有如下的通信系统:对公共CAN(Controller Area Network,控制器局域网)总线连接有多个ECU和监视装置,各ECU向CAN总线输出附加有认证信息的发送帧,监视装置判定向CAN总线输出的帧的认证信息是否正当,并进行使ECU将判定为认证信息不正当的帧丢弃的处理。
现有技术文献
专利文献
专利文献1:日本特开2016-21623号公报
发明内容
发明要解决的课题
如专利文献1所记载的通信系统那样,连接于公共通信线的各装置对消息附加认证码等信息并发送对于安全性能提升有效。但是,伴随着搭载于车辆的装置的增加及高功能化等,可以预想到每个装置所要求的安全等级存在差异。到此为止未设想设定了不同安全等级的多个装置在车辆内混合存在的状况。
本公开鉴于上述情形而完成,其目的在于提供一种能够实现将设定了不同安全等级的多个装置混合存在的情况的车载通信系统、车载通信控制装置、车载通信装置、通信控制方法及通信方法。
用于解决课题的方案
本方式涉及一种车载通信系统,具备:多个车载通信装置,连接于公共通信线;及车载通信控制装置,连接于所述公共通信线,并进行与所述多个车载通信装置的通信相关的控制,其中,所述多个车载通信装置被分类成多个安全等级,且针对每个所述安全等级规定有公共密钥,所述车载通信装置具有:第一存储部,存储与所述车载通信装置自身的安全等级相应的公共密钥;第一认证码生成部,使用存储在所述第一存储部中的公共密钥来生成对发送的消息附加的认证码;及第一认证码判定部,使用存储在所述第一存储部中的公共密钥来判定接收到的消息所附加的认证码是否正当,所述车载通信控制装置具有:第二存储部,存储各安全等级的公共密钥;第二认证码判定部,使用存储在所述第二存储部中的对应的公共密钥来判定接收到的消息所附加的认证码是否正当;及第二通知部,在所述第二认证码判定部判定为接收到的消息所附加的认证码不正当的情况下,对未存储所述第二认证码判定部在该判定中使用的公共密钥的车载通信装置进行通知。
此外,本申请不仅能够实现为具备这样的特征性的处理部的车载通信控制装置或车载通信装置,而且能够实现为将上述特征性的处理作为步骤的通信控制方法或通信方法,或者实现为用于使计算机执行上述步骤的计算机程序。另外,能够实现为将车载通信控制装置或车载通信装置的一部分或全部实现的半导体集成电路,或者实现为包括车载通信控制装置或车载通信装置的其他装置或系统。
发明效果
根据上述,能够实现设定了不同安全等级的多个装置混合存在的情况。
附图说明
图1是用于说明本实施方式的车载通信系统的概要的示意图。
图2是用于说明本实施方式的车载通信系统的概要的示意图。
图3是表示基于DC及ECU的消息收发的一例的示意图。
图4是表示从DC向ECU的通知的一例的示意图。
图5是表示本实施方式的DC的结构的框图。
图6是表示存储在表中的与加密密钥相关的信息的一例的示意图。
图7是表示本实施方式的ECU的结构的框图。
图8是用于说明DC的通知消息的发送定时的示意图。
图9是表示本实施方式的ECU所进行的消息的接收处理的步骤的流程图。
图10是表示本实施方式的ECU所进行的保活信号的发送处理的步骤的流程图。
图11是表示本实施方式的DC所进行的通知消息的发送处理的步骤的流程图。
图12是表示本实施方式的DC所进行的通知消息的发送处理的步骤的流程图。
图13是表示实施方式2的基于DC及ECU的消息收发的一例的示意图。
图14是表示实施方式2的DC所进行的处理的步骤的流程图。
图15是表示实施方式3的基于DC及ECU的消息收发的一例的示意图。
图16是用于说明实施方式3的基于DC的消息丢弃的示意图。
图17是表示实施方式3的DC所进行的处理的步骤的流程图。
具体实施方式
[本公开的实施方式的说明]
首先,列举本公开的实施方式来进行说明。另外,也可以任意组合以下记载的实施方式中的至少一部分。
(1)本方式涉及一种车载通信系统,具备:多个车载通信装置,连接于公共通信线;及车载通信控制装置,连接于所述公共通信线,并进行与所述多个车载通信装置的通信相关的控制,其中,所述多个车载通信装置被分类成多个安全等级,且针对每个所述安全等级规定有公共密钥,所述车载通信装置具有:第一存储部,存储与所述车载通信装置自身的安全等级相应的公共密钥;第一认证码生成部,使用存储在所述第一存储部中的公共密钥来生成对发送的消息附加的认证码;及第一认证码判定部,使用存储在所述第一存储部中的公共密钥来判定接收到的消息所附加的认证码是否正当,所述车载通信控制装置具有:第二存储部,存储各安全等级的公共密钥;第二认证码判定部,使用存储在所述第二存储部中的对应的公共密钥来判定接收到的消息所附加的认证码是否正当;及第二通知部,在所述第二认证码判定部判定为接收到的消息所附加的认证码不正当的情况下,对未存储所述第二认证码判定部在该判定中使用的公共密钥的车载通信装置进行通知。
在本方式中,在公共通信线连接有车载通信控制装置和多个车载通信装置。多个车载通信装置被分类成多个安全等级,且针对每个安全等级规定有公共密钥。各车载通信装置存储与所述车载通信装置自身的安全等级相应的公共密钥,将使用存储的公共密钥而生成的认证码附加于消息中并发送,并且判定接收到的消息所附加的认证码是否正当。附加有使用不同的公共密钥而生成的认证码的消息通过公共通信线来进行收发,因此,各车载通信装置能够判定附加有以与所述车载通信装置自身的公共密钥相同的公共密钥生成的认证码的消息是否正当,但是无法判定附加有以与所述车载通信装置自身的公共密钥不同的公共密钥生成的认证码的消息是否正当。
车载通信控制装置存储各安全等级的公共密钥,并使用与接收到的消息所附加的认证码对应的公共密钥来进行判定。因此,车载通信控制装置能够对经由公共通信线收发的全部消息判定消息所附加的认证码是否正当。车载通信控制装置在接收到附加有不正当认证码的消息的情况下,对未存储该认证码的判定所使用的公共密钥的车载通信装置进行通知。
由此,对于能够以所述车载通信装置自身存储的公共密钥判定认证码是否正当的消息,各车载通信装置所述车载通信装置自身进行判定,对于所述车载通信装置自身无法判定的消息,能够通过接收来自车载通信控制装置的通知来判断不正当消息被发送到公共通信线的情况,因此,能够实现不同安全等级的车载通信装置的混合存在。
(2)优选的是,能够对消息附加多个认证码,所述车载通信装置在所述第一存储部中存储针对所述车载通信装置自身的安全等级规定的公共密钥和针对比该安全等级低的安全等级规定的公共密钥,所述第一认证码生成部使用存储在所述第一存储部中的一个或多个公共密钥来生成对发送的消息附加的一个或多个认证码。
在本方式中,能够对消息附加多个认证码。车载通信装置存储针对所述车载通信装置自身的安全等级规定的公共密钥和针对比所述车载通信装置自身的安全等级低的安全等级规定的公共密钥。存储有多个公共密钥的车载通信装置使用该多个公共密钥来生成多个认证码,对消息附加所生成的多个认证码并发送。由此,车载通信装置能够向与所述车载通信装置自身相同安全等级的车载通信装置和比其低的安全等级的车载通信装置发送消息。
(3)优选的是,所述车载通信装置的第一认证码判定部对接收到的消息所附加的认证码中的能够使用存储在所述车载通信装置自身的第一存储部中的一个或多个公共密钥来判定是否正当的认证码进行判定。
在本方式中,接收到附加有多个认证码的消息的车载通信装置对能够使用所述车载通信装置自身存储的公共密钥来判定是否正当的至少一个认证码进行是否正当的判定。由此,对于车载通信装置,即使是比所述车载通信装置自身的安全等级高的安全等级的车载通信装置发送的消息,只要是附加有能够以所述车载通信装置自身存储的公共密钥来判定是否正当的识别码的消息,则也能够判定消息是否正当来接收。因此,连接于公共通信线的多个车载通信装置能够对包括不同安全等级的车载通信装置在内的多个车载通信装置进行消息的一齐发送(广播)。
(4)优选的是,对消息附加一个认证码,所述车载通信装置在所述第一存储部中存储针对所述车载通信装置自身的安全等级规定的一个公共密钥,所述第一认证码生成部使用存储在所述第一存储部中的一个公共密钥来生成对发送的其他消息附加的一个认证码。
在本方式中,对对消息附加一个认证码。车载通信装置存储针对所述车载通信装置自身的安全等级规定的一个公共密钥,使用该公共密钥来生成一个认证码,对消息附加生成的一个认证码并发送。由此,能够简化各车载通信装置的结构。另外,易于将不同安全等级的车载通信装置分离来处理。
(5)优选的是,所述车载通信控制装置具有:第二认证码生成部,在所述第二认证码判定部判定为接收到的消息所附加的认证码正当的情况下,使用与该认证码的判定所使用的公共密钥不同的公共密钥来生成另外的认证码;及中继部,通过对所述接收到的消息附加所述第二认证码生成部所生成的另外的认证码并发送,来对不同安全等级的车载通信装置之间的消息收发进行中继。
在本方式中,存储有各公共密钥的车载通信控制装置接收车载通信装置发送的消息并判定是否正当,对判定为正当的消息附加使用与用于判定的公共密钥不同的公共密钥而生成的识别码,并对公共通信线发送附加有新识别码的消息。由此,车载通信控制装置能够对安全等级不同的车载通信装置之间的消息的收发进行中继。各车载通信装置能够经由车载通信控制装置对连接于公共通信线的全部车载通信装置发送消息。
(6)优选的是,所述车载通信装置具有第一通知部,该第一通知部在所述第一认证码判定部判定为接收到的消息所附加的认证码不正当的情况下,对所述车载通信控制装置进行通知,所述车载通信控制装置的所述第二通知部在所述第二认证码判定部判定为接收到的消息所附加的认证码不正当且接收到来自所述车载通信装置的所述第一通知部的通知的情况下进行通知。
在本方式中,在判定为接收到的消息所附加的认证码不正当的情况下,各车载通信装置进行对于车载通信控制装置的通知。车载通信控制装置在由所述车载通信装置自身判定为消息所附加的认证码不正当且接收到来自车载通信装置的通知的情况下,进行向其他车载通信装置的通知。由此,能够提高从车载通信控制装置向车载通信装置的通知的可靠性。
(7)优选的是,所述车载通信装置周期性地对所述公共通信线发送保活信号,所述第一通知部通过所述保活信号来进行对于所述车载通信控制装置的通知。
在本方式中,车载通信装置使用周期性地发送的保活信号来进行从车载通信装置向车载通信控制装置的通知。由此,能够抑制从车载通信装置向车载通信控制装置的通知阻碍正常的消息收发的情况。车载通信控制装置能够基于保活信号所包含的信息来检测与通信相关的异常,另外,即使在未接收到保活信号的情况下,也能够检测某些异常的发生。
(8)本方式涉及一种车载通信系统,具备:多个车载通信装置,连接于公共通信线;及车载通信控制装置,连接于所述公共通信线,并进行与所述多个车载通信装置的通信相关的控制,其中,针对每个所述车载通信装置规定有加密密钥,所述车载通信装置具有:第一存储部,存储针对所述车载通信装置自身规定的加密密钥;及第一认证码生成部,使用存储在所述第一存储部中的加密密钥来生成对发送的消息附加的认证码,所述车载通信控制装置具有:第二存储部,存储各车载通信装置的加密密钥;及第二认证码判定部,使用存储在所述第二存储部中的对应的加密密钥来判定接收到的消息所附加的认证码是否正当。
在本方式中,针对连接于公共通信线的多个车载通信装置规定单独的加密密钥(可以是公共密钥,也可以是私钥及公钥)。车载通信装置存储针对所述车载通信装置自身规定的加密密钥,对消息附加使用该加密密钥而生成的认证码并发送。车载通信控制装置存储针对连接于公共通信线的各车载通信装置规定的各加密密钥,并使用所存储的任一个加密密钥来判定接收到的消息所附加的认证码是否正当。由此,成为连接于公共通信线的多个车载通信装置被安全地单独地分离且各车载通信装置与车载通信控制装置各自单独地进行消息的收发的方式,因此能够提高安全。
(9)优选的是,所述车载通信装置具有第一认证码判定部,该第一认证码判定部使用存储在所述第一存储部中的加密密钥来判定接收到的消息所附加的认证码是否正当,所述车载通信控制装置具有:第二认证码生成部,在所述第二认证码判定部判定为接收到的消息所附加的认证码正当的情况下,使用与该认证码的判定所使用的加密密钥不同的加密密钥来生成另外的认证码;及中继部,通过对所述接收到的消息附加所述第二认证码生成部所生成的另外的认证码并发送,来对不同安全等级的车载通信装置之间的消息收发进行中继。
在本方式中,各车载通信装置使用所述车载通信装置自身的加密密钥来判定接收到的消息所附加的认证码是否正当。车载通信控制装置在判定为接收到的消息所附加的认证码正当的情况下,使用与用于判定的加密密钥不同的加密密钥来生成认证码,并发送附加有所生成的认证码的消息。由此,车载通信控制装置能够对车载通信装置之间的消息的收发进行中继。车载通信装置能够通过经由车载通信控制装置来与其他车载通信装置之间收发消息。
(10)优选的是,所述车载通信控制装置在消息的发送完成之前进行基于所述第二认证码判定部的判定,所述车载通信控制装置具有丢弃处理部,在所述第二认证码判定部判定为所述消息所附加的认证码不正当的情况下,该丢弃处理部在该消息的发送完成之前,进行使所述车载通信装置丢弃该消息的处理。
在本方式中,在车载通信装置的消息的发送完成之前,车载通信控制装置判定该消息所附加的认证码是否正当。在判定为认证码不正当的情况下,车载通信控制装置在该消息的发送完成之前针对连接于公共通信线的多个车载通信装置进行使其丢弃该消息的处理。由此,各车载通信装置不需要判定消息所附加的认证码是否正当,能够在不对未由车载通信控制装置使其丢弃的消息判定认证码是否正当的情况下,进行接收并用于其后的处理。
(11)本方式涉及一种车载通信控制装置,与连接有多个车载通信装置的公共通信线连接,并进行与所述多个车载通信装置的通信相关的控制,其中,所述多个车载通信装置被分类成多个安全等级,且针对每个所述安全等级规定有公共密钥,所述车载通信控制装置具备:存储部,存储各安全等级的公共密钥;认证码判定部,使用存储在所述存储部中的对应的公共密钥来判定接收到的消息所附加的认证码是否正当;及通知部,在所述认证码判定部判定为接收到的消息所附加的认证码不正当的情况下,对未存储所述认证码判定部在该判定中使用的公共密钥的车载通信装置进行通知。
在本方式中,与方式(1)同样地,能够实现不同安全等级的车载通信装置的混合存在。
(12)优选的是,所述车载通信控制装置具备:认证码生成部,在所述认证码判定部判定为接收到的消息所附加的认证码正当的情况下,使用与该认证码的判定所使用的公共密钥不同的公共密钥来生成另外的认证码;及中继部,通过对所述接收到的消息附加所述认证码生成部所生成的另外的认证码并发送,来对不同安全等级的车载通信装置之间的消息收发进行中继。
在本方式中,与方式(5)同样地,能够使车载通信控制装置对安全等级不同的车载通信装置之间的消息的收发进行中继。
(13)优选的是,所述车载通信装置在判定为接收到的消息所附加的认证码不正当的情况下进行通知,所述通知部在所述认证码判定部判定为接收到的消息所附加的认证码不正当且接收到来自所述车载通信装置的通知的情况下进行通知。
在本方式中,与方式(6)同样地,能够提高从车载通信控制装置向车载通信装置的通知的可靠性。
(14)本方式涉及一种车载通信装置,连接于公共通信线,其中,连接于所述公共通信线的多个车载通信装置被分类成多个安全等级,且针对每个所述安全等级规定有公共密钥,所述车载通信装置具备:存储部,存储与所述车载通信装置自身的安全等级相应的公共密钥;认证码生成部,使用存储在所述存储部中的公共密钥来生成对发送的消息附加的认证码;认证码判定部,使用存储在所述存储部中的公共密钥来判定接收到的消息所附加的认证码是否正当;及通知部,在所述认证码判定部判定为接收到的消息所附加的认证码不正当的情况下,对连接于所述公共通信线的其他装置进行通知。
在本方式中,与方式(6)同样地,能够提高从车载通信控制装置向车载通信装置的通知的可靠性。
(15)优选的是,所述通知部通过周期性地对所述公共通信线发送的保活信号来进行通知。
在本方式中,与方式(7)同样地,由此能够抑制从车载通信装置向车载通信控制装置的通知阻碍正常的消息收发的情况。
(16)优选的是,能够对消息附加多个认证码,所述存储部存储针对所述车载通信装置自身的安全等级规定的公共密钥和针对比该安全等级低的安全等级规定的公共密钥,所述认证码生成部使用存储在所述存储部中的一个或多个公共密钥来生成对发送的消息附加的一个或多个认证码。
在本方式中,与方式(2)同样地,车载通信装置能够向与所述车载通信装置自身相同的安全等级的车载通信装置和比其低的安全等级的车载通信装置发送消息。
(17)优选的是,所述认证码判定部对接收到的消息所附加的认证码中的能够使用存储在所述车载通信装置自身的存储部中的一个或多个公共密钥来判定是否正当的认证码进行判定。
在本方式中,与方式(3)同样地,连接于公共通信线的多个车载通信装置能够对包括不同安全等级的车载通信装置在内的多个车载通信装置进行消息的一齐发送(广播)。
(18)优选的是,对消息附加一个认证码,所述存储部存储针对所述车载通信装置自身的安全等级规定的一个公共密钥,所述认证码生成部使用存储在所述存储部中的一个公共密钥来生成对发送的其他消息附加的一个认证码。
在本方式中,与方式(4)同样地,能够简化各车载通信装置的结构,易于将不同安全等级的车载通信装置分离来处理。
(19)本方式涉及一种通信控制方法,与连接有多个车载通信装置的公共通信线连接的车载通信控制装置进行与所述多个车载通信装置的通信相关的控制,其中,所述多个车载通信装置被分类成多个安全等级,且针对每个所述安全等级规定有公共密钥,将各安全等级的公共密钥存储于存储部,使用存储在所述存储部中的对应的公共密钥来判定接收到的消息所附加的认证码是否正当,在判定为接收到的消息所附加的认证码不正当的情况下,对未存储在该判定中使用的公共密钥的车载通信装置进行通知。
在本方式中,与方式(11)同样地,能够实现不同安全等级的车载通信装置的混合存在。
(20)本方式涉及一种通信方法,连接于公共通信线的车载通信装置进行与通信相关的处理,其中,连接于所述公共通信线的多个车载通信装置被分类成多个安全等级,针对每个所述安全等级规定有公共密钥,将与所述车载通信装置自身的安全等级相应的公共密钥存储于存储部,使用存储在所述存储部中的公共密钥来生成对发送的消息附加的认证码,使用存储在所述存储部中的公共密钥来判定接收到的消息所附加的认证码是否正当,在判定为接收到的消息所附加的认证码不正当的情况下,对连接于所述公共通信线的其他装置进行通知。
在本方式中,与方式(14)同样地,能够提高从车载通信控制装置向车载通信装置的通知的可靠性。
[本公开的实施方式的详情]
以下参照附图来说明本公开的实施方式的车载通信系统的具体例。此外,本公开不限于这些示例,而由权利要求书示出,意在包括与权利要求书等同的意思及范围内的全部变更。
<实施方式1>
图1及图2是用于说明本实施方式的车载通信系统的概要的示意图。本实施方式的车载通信系统具备搭载于车辆1的CGW(Central Gate Way,中央网关)2、三个DC(DomainController,域控制器)3A~3C和九个ECU(Electronic Control Unit,电子控制单元)4A~4I来构成。CGW2经由单独的通信线分别连接于三个DC3A~3C。DC3A经由公共通信线(所谓的总线)连接于三个ECU4A~4C。DC3B经由总线连接于三个ECU4D~4F。DC3C经由单独的通信线分别连接于三个ECU4G~4I。
在本实施方式中,例如以如下方式构建系统:针对车辆1的每个功能将多个ECU4A~4I分类,针对每个功能设置一个DC3A~3C并经由通信线连接对应的ECU4A~4I,多个DC3A~3C经由CGW2来连接。各DC3A~3C对连接于自身的ECU4A~4I的动作进行控制,实现车辆1的各功能。再通过DC3A~3C彼此进行信息交换来协同动作,各功能协作而实现车辆1的整体上的功能。
CGW2及三个DC3A~3C通过进行依照例如以太网(注册商标)的通信协议的通信来收发消息。CGW2例如将从一个DC3A~3C接收到的消息向其他两个DC3A~3C发送,从而对三个DC3A~3C之间的消息的收发进行中继。由此,DC3A~3C能够经由CGW2在与其他DC3A~3C之间进行消息的收发。在本实施方式中,CGW2设为仅对三个DC3A~3C之间的消息进行中继的装置,但也可以进行例如针对来自一个DC3A~3C的接收消息进行运算处理并将运算结果作为消息向其他DC3A~3C发送等更高度的处理。
DC3A及三个ECU4A~4C通过进行依照例如CAN的通信协议的通信来进行经由CAN总线的消息收发。一个ECU4A~4C发送的消息能够由其他ECU4A~4C及DC3A接收。DC3A发送的消息能够由ECU4A~4C接收。
同样地,DC3B及三个ECU4D~4F通过进行依照例如CAN的通信协议的通信来进行经由CAN总线的消息收发。一个ECU4D~4F发送的消息能够由其他ECU4D~4F及DC3B接收。DC3B发送的消息能够由ECU4D~4F接收。
DC3C及三个ECU4G~4I通过进行依照例如以太网的通信协议的通信来收发消息。DC3C与ECU4G~4I各自经由单独的通信线来连接,进行一对一的消息收发。DC3C能够通过将从一个ECU4G~4I接收到的消息向其他ECU4G~4I发送来对三个ECU4G~4I之间的消息的收发进行中继。由此,ECU4G~4I能够经由DC3B在与其他ECU4G~4I之间进行消息的收发。
另外,例如也能够从连接于DC3A的ECU4A向连接于DC3C的ECU4I发送消息。在该情况下,从ECU4A发送的消息由DC3A、CGW2及DC3中继,且被ECU4I接收。这样,通过CGW2及DC3A~3C进行消息的中继,ECU4A~4I能够收发消息。
在本实施方式的车载通信系统中,针对构成系统的各装置规定安全等级。如图1所示,在本例中,针对CGW2及三个DC3A~3C规定安全等级3,针对ECU4A、4G~4I规定安全等级2,针对ECU4B~4F规定安全等级1。此外,在图1中,以“LV?”的标签示出各装置的安全等级。另外,关于安全等级,其数值越大,则表示安全性能越高。
在本实施方式的车载通信系统中,对各装置收发的消息附加MAC(MessageAuthentication Code,消息认证码)。消息包含例如表示消息的类别的ID及应该在装置之间共享的信息等数据。MAC是通过针对消息所包含的数据进行使用预定的加密密钥的加密处理而得到的信息。各装置使用自身具有的加密密钥来生成MAC,并发送附加有生成的MAC的消息。接收到该消息的各装置使用自身具有的加密密钥来判定消息所附加的MAC是否正当。此时,各装置能够针对接收到的消息所包含的数据进行使用加密密钥的加密处理来生成MAC,并根据自身生成的MAC与消息所附加的MAC是否一致来判定MAC是否正当。
在本实施方式中,在收发消息的装置之间存储公共的加密密钥即共享密钥,进行MAC的生成及判定。在图2中,将各装置具有的加密密钥图示为以虚线圈出的密钥a~e。例如,安全等级3的CGW2及DC3A~3C使用安全等级3的密钥e来进行MAC的生成及判定。安全等级3的DC3B及安全等级1的ECU4D~4F使用安全等级1的密钥c来进行MAC的生成及判定。另外,DC3B在例如将来自ECU4D~4F的消息向CGW2中继的情况下,从接收到的消息中删除使用密钥c而生成的MAC,且对消息附加使用密钥e而生成的MAC并向CGW2发送。DC3B在例如将来自CGW2的消息向ECU4D~4F中继的情况下,从接收到的消息中删除使用密钥e而生成的MAC,且对消息附加使用密钥c而生成的MAC并向ECU4D~4F发送。
同样地,安全等级3的DC3C及安全等级2的ECU4G~4I使用安全等级2的密钥d来进行MAC的生成及判定。另外,DC3C在例如将来自ECU4G~4I的消息向CGW2中继的情况下,从接收到的消息中删除使用密钥d而生成的MAC,且对消息附加使用密钥e而生成的MAC并向CGW2发送。另外,DC3C在例如将来自CGW2的消息向ECU4G~4I中继的情况下,从接收到的消息中删除使用密钥e而生成的MAC,且对消息附加使用密钥d而生成的MAC并向ECU4G~4I发送。
这样,在本实施方式的车载通信系统中,例如能够针对根据车辆1的功能等来分类的DC3A~3C及ECU4A~4I各组将用于组内的通信所使用的MAC的生成及判定的加密密钥设成彼此不同的加密密钥。由此,能够将构成车载通信系统的多个装置安全地分离成多个组,能够设定适合于各组的安全等级。安全等级例如根据用于生成MAC的加密处理的算法的强度及用于加密处理的加密密钥的信息量(位长)等来确定。所使用的加密处理的算法的强度越高且加密密钥的信息量越多,则安全等级越高。
另外,在本实施方式的车载通信系统中,如图1及图2的DC3A及ECU4A~4C所示,即使物理网络结构为一个(公用),也能够使多个安全等级混合存在。在安全等级3的DC3A、安全等级2的ECU4A及安全等级1的ECU4B、4C中,进行使用安全等级1的密钥a及安全等级2的密钥b这两个加密密钥的消息的收发。以下,对安全等级混合存在的网络中的消息收发进行说明。
图3是表示基于DC3A及ECU4A~4C的消息收发的一例的示意图。如上所述,DC3A及ECU4A~4C连接于公共CAN总线,进行依照CAN的通信协议的消息收发。在图示的例子中,设定等级1或等级2作为各装置的安全等级(图中记载为Lv1或Lv2)。在本例中,安全等级设为其数值越高则等级越高,且等级2的安全等级比等级1高。DC3A及ECU4A设定为安全等级2,ECU4B、4C设定为安全等级1。另外,在本例中,设定密钥a作为针对安全等级1的加密密钥,设定密钥b作为针对安全等级2的加密密钥。例如,密钥b是位长比密钥a长的加密密钥。
在本实施方式的车载通信系统中,各装置存储与自身的安全等级对应的加密密钥和与比自身的安全等级低的安全等级对应的加密密钥。例如,安全等级1的ECU4B、4C存储与自身的安全等级1对应的密钥a。另外,例如,安全等级2的DC3A及ECU4A存储与自身的安全等级2对应的密钥b和与比自身的安全等级2低的安全等级1对应的密钥a。
例如,存储两个密钥a、b的安全等级2的ECU4A针对应该发送的消息附加使用密钥a而生成的MAC(a)和使用密钥b而生成的MAC(b),并向CAN总线发送。接收到该消息的安全等级1的ECU4B、4C使用自身存储的密钥a来判定MAC(a)是否正当,不判定(无法判定)MAC(b)是否正当。ECU4B、4C在消息所附加的MAC(a)正当的情况下,判断为该消息正当。另外,接收到该消息的安全等级2的DC3A使用自身存储的密钥b来判定MAC(b)是否正当,使用密钥a来判定MAC(a)是否正当。DC3A在MAC(b)及MAC(a)正当的情况下,判断为该消息正当。不过,也可以是,DC3A仅进行安全等级较高的MAC(b)是否正当的判定,而不进行安全等级较低的MAC(a)是否正当的判定。
另外,例如,存储一个密钥a的安全等级1的ECU4B针对应该发送的消息附加使用密钥a而生成的MAC(a),并向CAN总线发送。接收到该消息的DC3A及ECU4A、4C使用自身存储的密钥a来判定MAC(a)是否正当。DC3A及ECU4A、4C在MAC(a)正当的情况下,判断为该消息正当。
此外,存储两个密钥a、b的安全等级2的ECU4A也可以对于例如安全等级1的ECU4B、4C不需要的消息仅附加MAC(b)并发送。仅附加有MAC(b)的消息由于在未存储密钥b的ECU4B、4C中无法判定是否正当而被丢弃。该消息由存储密钥b的DC3A接收。
在此,在例如恶意的装置连接于CAN总线的情况或任一个装置被劫持的情况等之下,存在MAC不正当的消息被发送到CAN总线上的可能性。附加有不正当MAC(a)的消息在全部DC3A及ECU4A~4C中被检测到不正当,因此能够在各装置中进行丢弃消息等处理。与此相对地,附加有正当MAC(a)且附加有不正当MAC(b)的消息在存储密钥b的DC3A及ECU4A中被检测到不正当,但在未存储密钥b的ECU4B、4C中无法检测不正当。
因此,在本实施方式的车载通信系统中,在接收到附加有不正当MAC的消息的情况下,DC3A对ECU4A~4C进行通知。DC3A对设定了比判定为不正当的MAC的安全等级低的安全等级的ECU4A~4C进行通知。例如,在对于安全等级2的MAC(b)判定为不正当的情况下,DC3A对比安全等级2低的安全等级1的ECU4B、4C进行通知,对安全等级2的ECU4A不进行通知。不过,也可以构成为,与安全等级无关地,DC3A对全部ECU4A~4C进行通知。另外,在对于安全等级1的MAC(a)判定为不正当的情况下,由于不存在比其低的安全等级,DC3A可以不进行通知。
图4是表示从DC3A向ECU4A~4C的通知的一例的示意图。在本实施方式的车载通信系统中,除了用于正常的消息的收发的加密密钥之外,各装置还存储用于通知不正当MAC的检测等异常时的通知消息的收发的加密密钥。在图示的例子中,ECU4A存储密钥α,ECU4B存储密钥β,ECU4C存储密钥γ。即,能够接收通知消息的装置存储彼此不同的通知用的加密密钥。DC3A存储可能成为通知消息的发送目的地的各ECU4A~4C的密钥α、β、γ。密钥α是安全等级2的加密密钥,密钥β、γ是安全等级1的加密密钥。此外,在本实施方式中,密钥α、β、γ设为共享密钥,但不限于此,也可以将ECU4A~4C具有的密钥α、β、γ设为私钥,将DC3A具有的密钥α、β、γ设为与各私钥对应的公钥。
DC3A在检测到某些异常等而向ECU4A~4C发送通知消息的情况下,针对需要通知的ECU4A~4C单独地发送通知消息。DC3A在向ECU4A发送通知消息的情况下,发送附加有使用ECU4A具有的密钥α而生成的MAC(α)的通知消息。附加有MAC(α)的通知消息仅能够由具有密钥α的ECU4A判定是否正当,因此仅被ECU4A接收,而被ECU4B、4C丢弃。同样地,DC3A在向ECU4B发送通知消息的情况下,发送附加有使用ECU4B具有的密钥β而生成的MAC(β)的通知消息。
由此,即使在例如任一个ECU4A~4C被劫持的情况下,用于除此以外的ECU4A~4C所具有的用于收发通知消息的密钥也不会泄漏,因此能够防止从DC3A向ECU4A~4C的通知消息的发送被阻碍的情况。
此外,在本例的情况下,ECU4A对于MAC(α)及MAC(b)中的任一个都能够进行是否正当的判定,不需要基于不正当MAC的检测的来自DC3A的通知消息,因此不需要存储用于收发通知消息的密钥α。不过,在DC3A进行不正当MAC的检测以外的通知的情况下,DC3A有可能发送附加有使用密钥α的MAC(α)的通知消息,优选ECU4A存储密钥α。
另外,DC3A也可以构成为对通知消息附加多个MAC并发送。在例如向ECU4B、4C发送通知消息的情况下,DC3A也可以发送附加有MAC(β)及MAC(γ)的通知消息。接收到该通知消息的ECU4B、4C在使用自身存储的密钥β、γ而判定为某一个MAC正当的情况下,将该通知消息作为正当消息来处理。
图5是表示本实施方式的DC3A的结构的框图。此外,关于其他DC3B、3C,由于是与DC3A相同的结构,省略图示及说明。本实施方式的DC3A具备处理部(处理器)31、存储部(存储器)32、CAN通信部(收发器)33及以太网通信部(收发器)34等来构成。处理部31使用CPU(Central Processing Unit,中央处理器)或MPU(Micro-Processing Unit,微处理器)等运算处理装置来构成。处理部31通过读取并执行被存储在存储部32中的程序32a,来进行与CGW2及ECU4A~4C等之间的消息的收发、基于MAC的不正当消息的检测及向ECU4A~4C的通知等。
存储部32使用例如闪存或EEPROM(Electrically Erasable Programmable ReadOnly Memory,电可擦可编程只读存储器)等非易失性存储器元件来构成。存储部32存储处理部31执行的各种程序及处理部31的处理所需的各种数据。在本实施方式中,存储部32存储处理部31执行的程序32a,并且设置有存储MAC的生成及判定所使用的加密密钥的密钥存储部32b。此外,程序32a可以在例如DC3A的制造阶段中写入存储部32中,另外,例如也可以是,DC3A通过通信来获取远程服务器装置等传送的程序32a,另外,例如也可以是,DC3A对记录在存储卡或光盘等记录介质99中的程序32a进行读取并存储于存储部32,另外,例如也可以是,写入装置读取被记录在记录介质99中的程序32a并写入DC3A的存储部32中。程序32a可以以经由网络的传送的方式来提供,也可以以记录在记录介质99中的方式来提供。
存储部32的密钥存储部32b存储有用于进行在与ECU4A~4C之间收发的消息所附加的MAC的生成及判定的密钥a、b和用于进行在与CGW2之间收发的消息所附加的MAC的生成及判定的密钥e。另外,密钥存储部32b存储有用于进行在异常探测时与ECU4A~4C之间收发的通知消息所附加的MAC的生成及判定的密钥α、β、γ。此外,存储在密钥存储部32b中的加密密钥在DC3A~3C中彼此不同。
另外,DC3A将存储在密钥存储部32b中的多个与加密密钥相关的信息例如存储为表。图6是表示存储在表中的与加密密钥相关的信息的一例的示意图。在例示的表中存储有作为DC3A的消息收发的对象的装置、该装置的安全等级、该装置发送的消息所附加的ID(例如CAN-ID)、该装置存储的加密密钥和该装置存储的通知消息用的加密密钥的对应。DC3A在例如接收到来自ECU4A~4C的例如消息的情况下,能够基于消息所附加的ID来判断作为消息发送源的装置并从密钥存储部32b读取所对应的加密密钥来判定MAC。
CAN通信部33进行依照CAN的通信协议的有线通信。CAN通信部33能够使用所谓的CAN收发器的IC来构成。CAN通信部33经由配置在车辆1内的CAN总线而连接于多个ECU4A~4C,在与这些ECU4A~4C之间进行依照CAN的通信协议的通信。CAN通信部33将从处理部31提供的发送用消息转换成与CAN的通信协议相应的电信号并向通信线输出,从而进行向ECU4A~4C的消息发送。另外,CAN通信部33通过采样并获取通信线的电位来接收来自ECU4A~4C的消息,并向处理部31提供接收到的消息。
以太网通信部34进行依照以太网的通信协议的有线通信。以太网通信部34经由配置在车辆1内的以太网用的通信线而连接于CGW2,在与CGW2之间进行依照以太网的通信协议的通信。以太网通信部34将从处理部31提供的发送用消息转换成与以太网的通信协议相应的电信号并向通信线输出,从而进行向CGW2的消息发送。另外,以太网通信部34通过采样并获取通信线的电位来接收来自CGW2的消息,并向处理部31提供接收到的消息。此外,在图1及图2所例示的系统结构中,DC3C不具备CAN通信部33而具备多个以太网通信部34。
另外,在本实施方式的DC3A中,通过处理部31读取并执行被存储在存储部32中的程序32a,MAC生成部31a、MAC判定部31b、收发处理部31c及通知处理部31d等在处理部31中实现为软件性功能块。MAC生成部31a通过针对应该向CGW2或ECU4A~4C发送的消息进行使用在密钥存储部32b中存储的加密密钥的加密处理,来进行生成用于认证该消息的MAC的处理。MAC生成部31a针对应该向CGW2发送的消息进行使用在密钥存储部32b中存储的密钥e的MAC的生成。另外,MAC生成部31a针对应该向ECU4A~4C发送的消息进行使用在密钥存储部32b中存储的密钥a的MAC的生成和使用密钥b的MAC的生成。
MAC判定部31b进行判定从CGW2或ECU4A~4C接收到的消息所附加的MAC是否正当的处理。MAC判定部31b基于接收到的消息所包含的ID,参照图5所示的表来判断用于判定的加密密钥。MAC判定部31b针对接收到的消息进行使用加密密钥的MAC的生成,根据生成的MAC与接收到的消息所附加的MAC是否一致来判定MAC是否正当。MAC判定部31b对从CGW2接收到的消息进行使用在密钥存储部32b中存储的密钥e的MAC的判定。MAC判定部31b对从ECU4A接收到的消息进行使用在密钥存储部32b中存储的密钥a、b的MAC的判定。MAC判定部31b对从ECU4B、4C接收到的消息进行使用在密钥存储部32b中存储的密钥a的MAC的判定。
收发处理部31c进行在与CGW2或ECU4A~4C之间收发消息的处理。收发处理部31c对应该发送的消息附加MAC生成部31a生成的MAC,并向CAN通信部33或以太网通信部34提供附加有MAC的消息,从而向ECU4A~4C或CGW2发送消息。另外,收发处理部31c通过MAC判定部31b对由CAN通信部33或以太网通信部34接收到的消息所附加的MAC进行是否正当的判定,将附加有正规的MAC的消息作为接收消息来处理,并且丢弃附加有不正当MAC的消息。
在由MAC判定部31b判定为MAC不正当的情况下,通知处理部31d进行向ECU4A~4C发送通知消息的处理。通知处理部31d查询由MAC判定部31b判定为不正当的MAC的安全等级,并对不具有与该安全等级对应的加密密钥的ECU4A~4C、在本实施方式中设定了比该安全等级低的安全等级的ECU4A~4C发送通知消息。通知消息可能包含例如判定为不正当的MAC的安全等级、附加有该MAC的消息所包含的ID、作为该消息发送源的ECU4A~4C的识别信息等信息。接收到通知消息的ECU4A~4C存储通知消息所包含的信息,在之后接收到相同消息的情况下,能够进行将其丢弃等处理。
图7是表示本实施方式的ECU4A的结构的框图。此外,对于其他ECU4B~4I,由于是与ECU4A相同的结构,省略图示及说明。本实施方式的ECU4A具备处理部(处理器)41、存储部(存储器)42及CAN通信部(收发器)43等来构成。处理部41使用CPU或MPU等运算处理装置来构成。处理部41通过读取并执行被存储在存储部42中的程序42a,进行与DC3A及其他ECU4B、4C的消息收发及基于MAC的不正当消息的检测等。
存储部42使用例如闪存或EEPROM等非易失性存储器元件来构成。存储部42存储处理部41执行的各种程序及处理部41的处理所需的各种数据。在本实施方式中,存储部42存储处理部41执行的程序42a,并且设置有存储MAC的生成及判定所使用的加密密钥的密钥存储部42b。此外,程序42a可以在例如ECU4A的制造阶段中写入存储部42中,另外,例如也可以是,ECU4A通过通信来获取远程服务器装置等传送的程序42a,另外,例如也可以是,ECU4A对记录在存储卡或光盘等记录介质98中的程序42a进行读取并存储于存储部42,另外,例如也可以是,写入装置读取被记录在记录介质98中的程序42a并写入ECU4A的存储部42中。程序42a可以以经由网络的传送的方式来提供,也可以以记录在记录介质98中的方式来提供。
存储部42的密钥存储部42b存储有用于进行在与DC3A及其他ECU4B、4C之间收发的消息所附加的MAC的生成及判定的密钥a、b。另外,密钥存储部42b存储有用于进行在异常探测时与DC3A之间收发的通知消息所附加的MAC的生成及判定的密钥α。此外,存储在密钥存储部42b中的加密密钥在ECU4A~4I中彼此不同。
CAN通信部43进行依照CAN的通信协议的有线通信。CAN通信部43能够使用所谓的CAN收发器的IC来构成。CAN通信部43经由配置在车辆1内的CAN总线而连接于DC3A及其他ECU4B、4C,在与这些DC3A及ECU4B、4C之间进行依照CAN的通信协议的通信。CAN通信部43将从处理部41提供的发送用消息转换成与CAN的通信协议相应的电信号并向通信线输出,从而进行向DC3A及ECU4B、4C的消息发送。另外,CAN通信部43通过采用并获取通信线的电位来接收来自DC3A及ECU4B、4C的消息,并向处理部41提供接收到的消息。此外,在图1及图2所例示的系统结构中,ECU4G~4I不具备CAN通信部43,而是具备进行依照以太网的通信协议的通信的以太网通信部。
另外,在本实施方式的ECU4A中,通过处理部41读取并执行被存储在存储部42中的程序42a,MAC生成部41a、MAC判定部41b、收发处理部41c及通知处理部41d等在处理部41中实现为软件性功能块。MAC生成部41a通过针对应该向DC3A及ECU4B、4C发送的消息进行使用在密钥存储部42b中存储的加密密钥的加密处理,来进行生成用于认证该消息的MAC的处理。MAC生成部41a进行使用在密钥存储部32b中存储的密钥a的MAC的生成和使用密钥b的MAC的生成。
MAC判定部41b进行判定从DC3A或ECU4B、4C接收到的消息所附加的MAC是否正当的处理。MAC判定部41b针对接收到的消息进行使用加密密钥的MAC的生成,根据生成的MAC与接收到的消息所附加的MAC是否一致来判定MAC是否正当。MAC判定部41b在接收到的消息附加有两个MAC的情况下,将两个密钥a、b针对各自对应的MAC使用来进行是否正当的判定。另外,MAC判定部41b在接收到的消息附加有一个MAC的情况下,使用一个密钥a来进行是否正当的判定。
收发处理部41c进行在与DC3A及ECU4B、4C之间收发消息的处理。收发处理部41c对应该发送的消息附加MAC生成部41a生成的MAC,并向CAN通信部43提供附加有MAC的消息,从而向DC3A及ECU4B、4C发送消息。另外,收发处理部41c通过MAC判定部41b对由CAN通信部43接收到的消息所附加的MAC进行是否正当的判定,将附加有正规的MAC的消息作为接收消息来处理,并且丢弃附加有不正当MAC的消息。
通知处理部41d通过以预定周期进行针对CAN总线的信号发送,来进行向DC3A及ECU4B、4C通知自身正常地动作的处理。由该通知处理部41d进行的周期性的信号发送为所谓的保活功能,以下将该周期性地发送的信号称为保活信号。在本实施方式中,在由MAC判定部41b判定为MAC不正当的情况下,通知处理部41d通过将与不正当判定相关的信息包含在保活信号中进行发送,向DC3A通知检测到不正当MAC的意思。此时,通知处理部41d能够使例如检测到不正当MAC的次数、判定为不正当的MAC的安全等级或附加有判定为不正当的MAC的消息的ID等信息包含在保活信号中。
在本实施方式的车载通信系统中,如上所述,DC3A根据不正当MAC的检测来进行通知消息的发送。该DC3A的通知消息的发送定时能够采用以下的三个变形。DC3A对于与通知消息相关的三个发送定时,可以采用任一个。
(1)实时通知
(2)单数共识通知
(3)复数共识通知
图8是用于说明DC3A的通知消息的发送定时的示意图。本图是将横轴设为时刻t的时序图,且将DC3A检测到不正当MAC的定时设为时刻t0。另外,将DC3A从第一个ECU接收到通知探测到不正当MAC的意思的保活信号的定时设为时刻t1,将从第二个ECU接收到相同的保活信号的定时设为时刻t2,将从第三个ECU接收到相同的保活信号的定时设为时刻t3。此外,在本例中,不是图3及图4等所示的网络结构,而是设想更多的ECU经由CAN总线连接于DC3A的网络结构。
(1)实时通知
DC3A在MAC判定部31b对于自身接收到的消息所附加的MAC判定为不正当之后立刻发送通知消息。在该情况下,DC3A仅基于自身的MAC判定部31b的判定来进行通知消息的发送。是能够在最早的定时下发送通知消息的方法。
(2)单数共识通知
DC3A在MAC判定部31b对于自身接收到的消息所附加的MAC判定为不正当之后,等待其他ECU定期地发送的保活信号的接收。在从任一个ECU接收到包含检测到不正当MAC的意思的信息在内的保活信号的情况下,DC3A对需要通知的ECU进行通知消息的发送。ECU在保活信号中,与例如检测到的不正当MAC的安全等级或附加有该MAC的消息的ID等建立对应地包含上次发送保活信号之后检测到不正当MAC的次数等信息而发送。DC3A在从任一个ECU针对与自身检测到不正当MAC的安全等级相同的安全等级接收到包含检测到不正当MAC的意思的信息在内的保活信号的情况下,向设定了比该安全等级低的安全等级的ECU发送通知消息。DC3A在来自ECU的保活信号的接收之后立刻发送通知消息。DC3A构成为不仅基于自身的判断还等待至少其他一个ECU的判断来发送通知消息,能够提高通知消息的可靠性。
(3)复数共识通知
对于设定了判定为不正当的MAC的安全等级以上的安全等级的多个ECU,DC3A在从预定数量(例如过半数)的ECU接收到包含检测到不正当MAC的意思的信息在内的保活信号的情况下,向设定了比该安全等级低的安全等级的ECU发送通知消息。在图示的例子中,在接收到来自三个ECU的保活信号之后,DC3A立刻发送通知消息。通过DC3A等待来自多个ECU的保活信号来发送通知消息,能够进一步提升通知消息的可靠性。
图9是表示本实施方式的ECU4A所进行的消息的接收处理的步骤的流程图。此外,对于其他ECU4B~4I也进行相同的处理。本实施方式的ECU4A的处理部41的收发处理部41c判定是否由CAN通信部43接收到来自其他ECU4B、4C或DC3A的消息(步骤S1)。在未接收到消息的情况下(S1:否),收发处理部41c待机直到接收到消息为止。在接收到消息的情况下(S1:是),收发处理部41c获取接收到的消息所附加的MAC(步骤S2)。
处理部41的MAC判定部41b判定在步骤S2中获取的MAC是否正当(步骤S3)。此时,MAC判定部41b根据使用存储在密钥存储部42b中的加密密钥而从接收消息生成的MAC与在步骤S2中获取的MAC是否一致,来判定MAC是否正当。在MAC正当的情况下(S3:是),收发处理部41c结束消息的接收处理。
在MAC不正当的情况下(S3:否),收发处理部41c丢弃接收到的消息(步骤S4)。另外,ECU4A例如在存储部42中存储针对每个安全等级的MAC的错误数。收发处理部41c存储与在步骤S3中判定为不正当的MAC的安全等级对应的错误数(步骤S5),并结束消息的接收处理。
图10是表示本实施方式的ECU4A所进行的保活信号的发送处理的步骤的流程图。本实施方式的ECU4A的处理部41的通知处理部41d判定是否到达周期性地发送的保活(KA)信号的发送定时(步骤S11)。在未到达保活信号的发送定时的情况下(S11:否),通知处理部41d待机直到到达保活信号的发送定时为止。在到达保活信号的发送定时的情况下(S11:是),通知处理部41d通过参照存储在存储部42中的每个安全等级的错误数来判定是否有与MAC相关的错误(步骤S12)。
在未发生错误的情况下(S12:否),即从上次的保活信号的发送中未检测到不正当MAC的情况下,通知处理部41d需要发送不包含与不正当MAC相关的信息在内的正常的保活信号。因此,处理部41的MAC生成部41a针对正常的保活信号生成并赋予MAC(步骤S15)。通知处理部41d通过CAN通信部43来发送被赋予了MAC的保活信号(步骤S16),并结束处理。
在发生了错误的情况下(S12:是),通知处理部41d将例如存储在存储部42中的每个安全等级的错误数等这样的与不正当MAC的检测相关的信息赋予到保活信号(步骤S13)。另外,通知处理部41d将存储在存储部42中的每个安全等级的错误数初始化(步骤S14)。其后,MAC生成部41a针对被赋予了不正MAC的信息的保活信号生成并赋予MAC(步骤S15)。通知处理部41d通过CAN通信部43来发送被赋予了MAC的保活信号(步骤S16),并结束处理。
图11是表示本实施方式的DC3A所进行的通知消息的发送处理的步骤的流程图,且是上述的(1)实时通知的情况下的步骤。本实施方式的DC3A的处理部31的收发处理部31c判定是否由CAN通信部33接收到来自ECU4A~4C的消息(步骤S21)。在未接收到消息的情况下(S21:否),收发处理部31c待机直到接收到消息为止。在接收到消息的情况下(S21:是),收发处理部31c获取接收到的消息所附加的MAC(步骤S22)。
处理部31的MAC判定部31b判定在步骤S22中获取的MAC是否正当(步骤S23)。此时,MAC判定部31b通过参照图6所示的表,来判断应该用于接收到的消息所附加的MAC是否正当的判定的加密密钥。MAC判定部31b根据使用存储在密钥存储部32b中的加密密钥而从接收消息生成的MAC与在步骤S22中获取的MAC是否一致,来判定MAC是否正当。在MAC正当的情况下(S23:是),收发处理部41c在不发送通知消息的情况下结束处理。
在MAC不正当的情况下(S23:否),收发处理部41c丢弃接收到的消息(步骤S24)。接着,处理部31的通知处理部31d生成通知检测到不正当MAC的意思的通知消息(步骤S25)。通知消息包含例如判定为不正当的MAC的安全等级或附加有该MAC的消息的ID等信息。处理部31的MAC生成部31a针对在步骤S25中生成的通知消息生成并赋予MAC(步骤S26)。此时,MAC生成部31a从密钥存储部32b读取针对应该发送通知消息的ECU4A~4C存储的通知用的密钥信息,并针对每个ECU4A~4C生成彼此不同的MAC。因此,在对多个ECU4A~4C发送通知消息的情况下,生成附加有不同的MAC的多个通知消息。通知处理部31d通过CAN通信部33来发送附加有MAC的通知消息(步骤S27),并结束处理。
图12是表示本实施方式的DC3A所进行的通知消息的发送处理的步骤的流程图,且是上述的(2)单数共识通知的情况下的步骤。本实施方式的DC3A的处理部31的收发处理部31c判定是否由CAN通信部33接收到来自ECU4A~4C的消息(步骤S31)。在未接收到消息的情况下(S31:否),收发处理部31c待机直到接收到消息为止。在接收到消息的情况下(S31:是),收发处理部31c获取接收到的消息所附加的MAC(步骤S32)。处理部31的MAC判定部31b判定在步骤S32中获取的MAC是否正当(步骤S33)。在MAC正当的情况下(S33:是),收发处理部41c在不发送通知消息的情况下结束处理。在MAC不正当的情况下(S33:否),收发处理部31c丢弃接收到的消息(步骤S34)。
其后,通知处理部31d判定是否由CAN通信部33接收到从ECU4A~4C发送的保活信号(步骤35)。在接收到保活信号的情况下(S35:是),通知处理部31d在确认了接收到的保活信号所附加的MAC正当之后,判定接收到的保活信号是否附加有与不正当MAC的检测相关的信息(步骤S36)。在保活信号附加有不正MAC的信息的情况下(S36:是),通知处理部31d判定保活信号所附加的信息所示的不正MAC的判定结果与在步骤S33中进行的自身的不正MAC的判定结果是否一致(步骤S37)。
在未从ECU4A~4C接收到保活信号的情况下(S35:否),在接收到的保活信号未附加有不正MAC的信息的情况下(S36:否),或者,在保活信号所附加的信息所示的判定结果与自身的判定结果不一致的情况下(S37:否),通知处理部31d使处理返回到步骤S35,待机直到接收到附加有与自身的判定结果一致的不正MAC的信息的保活信号为止。
在保活信号所附加的信息所示的判定结果与自身的判定结果一致的情况下(S37:是),通知处理部31d生成通知检测到不正当MAC的意思的通知消息,对该通知消息附加使用通知用的密钥信息的MAC,通过CAN通信部33来发送附加有MAC的通知消息(步骤S38),并结束处理。
此外,在上述(3)复数共识通知的情况下的通知消息的发送处理的步骤中,将上述的步骤S35~S37所示的与保活信号相关的处理针对多个ECU4A~4C反复进行即可。省略该情况下的流程图的图示及步骤的详细说明。
以上结构的本实施方式的车载通信系统中,对公共CAN总线连接有DC3A及多个ECU4A~4C。多个ECU4A~4C分类成多个安全等级(等级1、2),针对每个安全等级规定有公共密钥(密钥a、b)。各ECU4A~4C根据自身的安全等级在密钥存储部42b中存储一个或多个密钥a、b,将使用所存储的密钥a、b而生成的MAC附于消息并发送,并且判定接收到的消息所附加的MAC是否正当。由于附加有使用不同的密钥a、b而生成的MAC的消息在公共CAN总线上进行收发,因此各ECU4A~4C能够判定附加有以与自身具有的密钥a、b相同的密钥a、b生成的MAC的消息是否正当,但是无法判定附加有以自身不具有的密钥a、b生成的MAC的消息是否正当。
DC3A将各安全等级的密钥a、b存储在密钥存储部32b中,并使用与接收到的消息所附加的MAC对应的密钥a、b来进行判定。DC3A能够对经由公共CAN总线收发的全部消息判定消息所附加的MAC是否正当。DC3A在接收到附加有不正当MAC的消息的情况下,对不具有该MAC的判定所使用的密钥a、b的ECU4A~4C发送通知消息。
由此,对于能够以自身存储的密钥a、b判定MAC是否正当的消息,各ECU4A~4C自身进行判定,对于自身无法判定的消息,能够通过接收来自DC3A的通知消息来判断不正当消息被发送到公共CAN总线的情况。因此,能够在公共CAN总线中混合存在不同安全等级的ECU4A~4C。
另外,在本实施方式的车载通信系统中,能够对消息附加多个MAC。ECU4A~4C存储针对自身的安全等级规定的密钥a、b和针对比自身的安全等级低的安全等级规定的密钥a、b。存储有多个密钥a、b的ECU4A~4C使用该多个密钥a、b来生成多个MAC,对消息附加所生成的多个MAC并发送。由此,ECU4A~4C能够向与自身相同安全等级的ECU4A~4C和比其低的安全等级的ECU4A~4C发送消息。
另外,在本实施方式的车载通信系统中,接收到附加有多个MAC的消息的ECU4A~4C对能够使用自身存储的密钥a、b来判定是否正当的至少一个MAC进行是否正当的判定。由此,对于ECU4A~4C,即使是比自身的安全等级高的安全等级的ECU4A~4C发送的消息,只要是附加有能够以自身存储的密钥a、b来判定是否正当的MAC的消息,则也能够判定消息是否正当来接收。因此,连接于公共CAN总线的多个ECU4A~4C能够对包括不同安全等级的ECU4A~4C在内的多个ECU4A~4C进行消息的一齐发送。
另外,在本实施方式的车载通信系统中,在判定为接收到的消息所附加的MAC不正当的情况下,各ECU4A~4C使用保活信号来进行对于DC3A的通知。DC3A在自身判断为消息所附加的MAC不正当且接收到来自ECU4A~4C的通知的情况下,对ECU4A~4C发送检测到不正当MAC的意思的通知消息。由此,能够提高从DC3A向ECU4A~4C的通知消息的可靠性。另外,通过使用保活信号来进行从ECU4A~4C向DC3A的通知,能够防止从ECU4A~4C向DC3A的通知妨碍正常的消息收发。DC3A能够基于保活信号所包含的信息来检测与通信相关的异常,另外,即使在未接收到保活信号的情况下,也能够检测某些异常的发生。
此外,在本实施方式中,为了从DC3A向ECU4A~4C的通知消息所附加的MAC的生成及判定,构成为各ECU4A~4C存储单独的密钥α、β、γ,但不限于此。也可以构成为,DC3A及ECU4A~4C不为了收发通知消息而具有特别的加密密钥。另外,也可以是,通知消息不向各ECU4A~4C单独地发送,而向全部ECU4A~4C一齐发送。
另外,图示的车载通信系统的装置结构、网络结构及系统结构等为一例而不限于此。另外,图6的表所示的安全等级的分类及公共密钥的分配等为一例,而不限于此。
<实施方式2>
图13是表示实施方式2的基于DC3A及ECU4A~4C的消息收发的一例的示意图。在实施方式2的车载通信系统中,各ECU4A~4C仅存储与自身的安全等级相应的一个密钥a、b,不存储比自身的安全等级低的安全等级的密钥a、b。各ECU4A~4C使用自身存储的一个密钥a、b来生成MAC,并发送附加有一个MAC的消息。在图示的例子中,存储有与安全等级2对应的密钥b的ECU4A生成使用密钥b的MAC(b),对消息附加MAC(b)并发送。该消息不被未存储密钥b的ECU4B、4C接收。DC3A存储全安全等级的密钥a、b,能够使用与接收到的消息所附加的MAC(b)对应的密钥b来判定该消息是否正当。
在实施方式2的车载通信系统中,ECU4A~4C无法在与不具有与自身相同密钥a、b的其他ECU4A~4C之间进行直接性的消息收发。因此,实施方式2的DC3A进行对不同安全等级之间的消息进行中继的处理。在图示的例子中,从ECU4A接收到附加有MAC(b)的消息的DC3A在使用自身存储的密钥b而判定为该消息正当之后,使用自身存储的密钥a生成MAC(a)并赋予到该消息,将附加有MAC(a)的消息向ECU4B、4C发送。ECU4B、4C能够使用自身存储的密钥a来判定来自DC3A的消息所附加的MAC(a)是否正当并接收该消息。
DC3A在判定为接收到的消息所附加的MAC不正当的情况下发送通知消息。在实施方式1中,DC3A针对比不正当MAC的安全等级低的安全等级的ECU4A~4C发送了通知消息。与此相对地,实施方式2的DC3A针对与不正当MAC的安全等级不同的安全等级的ECU4A~4C发送通知消息。在图示的例子中,在例如判定为ECU4B发送的消息所附加的MAC(a)不正当的情况下,DC3A针对与MAC(a)的安全等级1不同的安全等级2的ECU4A即不具有MAC(a)的判定所需的密钥a的ECU4A发送通知消息。
图14是表示实施方式2的DC3A所进行的处理的步骤的流程图。实施方式2的DC3A的处理部31的收发处理部31c判定是否由CAN通信部33接收到来自ECU4A~4C的消息(步骤S41)。在未接收到消息的情况下(S41:否),收发处理部31c待机直到接收到消息为止。在接收到消息的情况下(S41:是),收发处理部31c获取接收到的消息所附加的MAC(步骤S42)。
处理部31的MAC判定部31b判定在步骤S42中获取的MAC是否正当(步骤S43)。在MAC不正当的情况下(S43:否),收发处理部41c丢弃接收到的消息(步骤44)。接着,处理部31的通知处理部31d生成通知检测到不正当MAC的意思的通知消息(步骤S45)。处理部31的MAC生成部31a生成MAC并赋予到在步骤S45中生成的通知消息(步骤S46)。通知处理部31d通过CAN通信部33来发送附加有MAC的通知消息(步骤S47),并结束处理。
在MAC正当的情况下(S43:是),收发处理部41c从密钥存储部32b读取与判定为正当的MAC不同的安全等级的加密密钥,并生成针对接收到的消息的不同安全等级的MAC(步骤S48)。收发处理部41c删除接收到的消息所附加的MAC,并对消息附加在步骤S48中生成的MAC,从而更换消息的MAC(步骤S49)。收发处理部41c通过CAN通信部33来发送更换了MAC的消息,从而对不同安全等级之间的消息进行中继(步骤S50),并结束处理。
在以上结构的实施方式2的车载通信系统中,对消息附加有一个MAC。ECU4A~4C存储针对自身的安全等级规定的一个密钥a、b,使用该密钥a、b来生成一个MAC,对消息附加生成的一个MAC并发送。由此,能够简化各ECU4A~4C的结构。另外,易于将不同安全等级的ECU4A~4C分离来处理。
另外,实施方式2的DC3A接收ECU4A~4C发送的消息来判定MAC是否正当,对判定为正当的消息附加使用与用于判定的密钥a、b不同的密钥a、b而生成的MAC,并对CAN总线发送附加有新MAC的消息。由此,DC3A能够对安全等级不同的ECU4A~4C之间的消息的收发进行中继。各ECU4A~4C能够经由DC3A对连接于CAN总线的全部ECU4A~4C发送消息。
此外,实施方式2的车载通信系统的其他结构与实施方式1的车载通信系统相同,因此对相同的部位标注相同标号并省略详细的说明。
<实施方式3>
图15是表示实施方式3的基于DC303A及ECU304A~304C的消息收发的一例的示意图。在实施方式3的车载通信系统中,连接于公共CAN总线的多个ECU304A~304C存储一个彼此不同的密钥x~z。连接于该CAN总线的DC303A存储ECU304A~304C的密钥x~z。各ECU304A~304C使用自身存储的一个密钥x~z来生成MAC,并发送附加有一个MAC的消息。在图示的例子中,存储有密钥x的ECU304A生成使用密钥x的MAC(x),对消息附加MAC(x)并发送。
在实施方式3的车载通信系统中,各ECU304A~304C不判定接收到的消息所附加的MAC是否正当。因此,附加有ECU403A发送的MAC(x)的消息也能够被未存储密钥x的ECU304B、304C接收。ECU304B、304C不会判定接收到的消息所附加的MAC(x)是否正当,而将该消息用于自身的处理。
在实施方式3的车载通信系统中,由DC303A进行ECU403A~403C发送的消息所附加的MAC是否正当的判定。在实施方式3的车载通信系统中收发的消息能够采用CAN的通信协议的数据帧的结构。CAN的数据帧例如由开始帧、仲裁字段、控制字段、数据字段、CRC字段、ACK字段及结束帧等多个字段构成。MAC例如存储于数据字段的一部分。
图16是用于说明实施方式3的基于DC303A的消息丢弃的示意图。实施方式3的DC303A监视任一个ECU304A~304C针对CAN总线的消息发送。在开始消息的发送之后,DC303A在数据字段的发送完成的时间点下判定数据字段所包含的MAC是否正当。DC303A在判定为MAC不正当的情况下,在该消息的发送完成之前发送CAN的通信协议所规定的错误帧,从而阻碍该消息的发送。由此,附加有不正当MAC的消息的发送被中断,在ECU304A~304C中丢弃该消息。
此外,实施方式3的DC303A所进行的MAC的判定及错误帧的发送等处理需要在由ECU304A~304C完成消息发送之前实施。因此,优选CAN通信部33进行这些处理,而不是DC303A的处理部31进行。
另外,DC303A使ECU304A~304C丢弃消息的方法不限于错误帧的发送。例如也可以构成为,DC303A通过对CAN总线输出使消息所包含的预定位的数据反转的信号而使ECU304A~304C丢弃。DC303A在消息的发送完成之前使该消息变化成使ECU304A~304C无法判断为正当消息,从而能够使ECU304A~304C丢弃消息。
图17是表示实施方式3的DC303A所进行的处理的步骤的流程图。实施方式3的DC303A判定是否有由连接于CAN总线的任一个ECU304A~304C进行的消息发送(步骤S61)。在未进行消息发送的情况下(S61:否),DC303A待机直到进行消息发送为止。在进行消息发送的情况下(S61:是),DC303A判定该消息所包含的MAC的发送是否已结束(步骤S62)。在MAC的发送未结束的情况下(S62:否),DC303A待机直到MAC的发送结束为止。
在MAC的发送已结束的情况下(S62:是),DC303A对正在发送的消息进行MAC是否正当的判定(步骤S63)。在判定为MAC不正当的情况下(S63:否),DC303A在该消息的发送完成之前对CAN总线发送错误帧(步骤S64),并结束处理。在判定为MAC正当的情况下(S63:是),DC303A接收该消息(步骤S65),并结束处理。
以上结构的实施方式3的车载通信系统针对连接于公共CAN总线的多个ECU304A~304C规定单独的密钥x、y、z。ECU304A~304C存储针对自身规定的密钥x、y、z,对消息附加使用该密钥x、y、z而生成的MAC并发送。DC303A存储针对连接于公共CAN总线的各ECU304A~304C规定的密钥x、y、z,并使用所存储的任一个密钥x、y、z来判定被发送到CAN总线的消息所附加的MAC是否正当。由此,成为连接于公共CAN总线的多个ECU304A~304C被安全地单独地分离且各ECU304A~304C与DC303A各自单独地进行消息的收发的方式,因此能够提高安全性。
另外,在实施方式3的车载通信系统中,各ECU304A~304C使用自身的密钥x、y、z来判定接收到的消息所附加的MAC是否正当。DC303A在判定为接收到的消息所附加的MAC正当的情况下,使用与用于判定的密钥x、y、z不同的密钥x、y、z来生成MAC,并向CAN总线发送附加有生成的MAC的消息。由此,DC303A能够对ECU304A~304C之间的消息的收发进行中继。ECU304A~304C能够通过经由DC303A来与其他ECU304A~304C之间收发消息。
另外,在实施方式3的车载通信系统中,在ECU304A~304C的消息发送完成之前,DC303A判定该消息所附加的MAC是否正当。在判定为MAC不正当的情况下,DC303A在该消息的发送完成之前发送错误帧,从而使ECU304A~304C丢弃该消息。由此,各ECU304A~304C不需要判定消息所附加的MAC是否正当,能够在不对未由DC303A使其丢弃的消息判定MAC是否正当的情况下,进行接收并用于其后的处理。
此外,在实施方式3中,构成为ECU304A~304C不判定消息所附加的MAC是否正当,而是DC303A判定MAC是否正当并使ECU304A~304C丢弃不正当消息,但不限于此。也可以构成为,与实施方式1、2同样地,各ECU304A~304C及DC303A判定MAC是否正当,在检测到不正当MAC的情况下,DC303A向ECU304A~304C发送通知消息。另外,反之,实施方式1、2的车载通信系统也可以构成为,不是DC3A发送通知消息,而是通过在消息的发送完成之前发送错误帧来丢弃不正当消息。
此外,实施方式3的车载通信系统的其他结构与实施方式1的车载通信系统相同,因此对相同的部位标注相同标号并省略详细的说明。
车载系统中的各装置具备包括微处理器、ROM及RAM等来构成的计算机。微处理器等运算处理部可以从ROM、RAM等存储部分别读取并执行包括图9~图12、图14及图17所示那样的序列图或流程图的各步骤的一部分或全部在内的计算机程序。这些多个装置的计算机程序能够各自从外部的服务器装置等安装。另外,这些多个装置的计算机程序各自在存储在CD-ROM、DVD-ROM、半导体存储器等记录介质中的状态下流通。
应该理解为,本次公开的实施方式在全部方面均为示例,而不是限制性的内容。本公开的范围并不由上述的意思示出,而由权利要求书示出,意在包括与权利要求书等同的意思及范围内的全部变更。
标号说明
1 车辆
2 CGW
3A~3C DC
4A~4I ECU
31 处理部
31a MAC生成部
31b MAC判定部
31c 收发处理部
31d 通知处理部
32 存储部
32a 程序
32b 密钥存储部
33 CAN通信部
34 以太网通信部
41 处理部
41a MAC生成部
41b MAC判定部
41c 收发处理部
41d 通知处理部
42 存储部
42a 程序
42b 密钥存储部
43 CAN通信部
98、99 记录介质
303A DC
304A~304C ECU
Claims (17)
1.一种车载通信系统,具备:多个车载通信装置,连接于公共通信线;及车载通信控制装置,连接于所述公共通信线,并进行与所述多个车载通信装置的通信相关的控制,其中,
所述多个车载通信装置被分类成多个安全等级,且针对每个所述安全等级规定有公共密钥,
所述车载通信装置具有:
第一存储部,存储与所述车载通信装置自身的安全等级相应的公共密钥;
第一认证码生成部,使用存储在所述第一存储部中的公共密钥来生成对发送的消息附加的认证码;及
第一认证码判定部,使用存储在所述第一存储部中的公共密钥来判定接收到的消息所附加的认证码是否正当,
所述车载通信控制装置具有:
第二存储部,存储各安全等级的公共密钥;
第二认证码判定部,使用存储在所述第二存储部中的对应的公共密钥来判定接收到的消息所附加的认证码是否正当;及
第二通知部,在所述第二认证码判定部判定为接收到的消息所附加的认证码不正当的情况下,对未存储所述第二认证码判定部在该判定中使用的公共密钥的车载通信装置进行通知。
2.根据权利要求1所述的车载通信系统,其中,
能够对消息附加多个认证码,
所述车载通信装置在所述第一存储部中存储针对所述车载通信装置自身的安全等级规定的公共密钥和针对比该安全等级低的安全等级规定的公共密钥,
所述第一认证码生成部使用存储在所述第一存储部中的一个或多个公共密钥来生成对发送的消息附加的一个或多个认证码。
3.根据权利要求2所述的车载通信系统,其中,
所述车载通信装置的第一认证码判定部对接收到的消息所附加的认证码中的能够使用存储在所述车载通信装置自身的第一存储部中的一个或多个公共密钥来判定是否正当的认证码进行判定。
4.根据权利要求1所述的车载通信系统,其中,
对消息附加一个认证码,
所述车载通信装置在所述第一存储部中存储针对所述车载通信装置自身的安全等级规定的一个公共密钥,
所述第一认证码生成部使用存储在所述第一存储部中的一个公共密钥来生成对发送的其他消息附加的一个认证码。
5.根据权利要求4所述的车载通信系统,其中,
所述车载通信控制装置具有:
第二认证码生成部,在所述第二认证码判定部判定为接收到的消息所附加的认证码正当的情况下,使用与该认证码的判定所使用的公共密钥不同的公共密钥来生成另外的认证码;及
中继部,通过对所述接收到的消息附加所述第二认证码生成部所生成的另外的认证码并发送,来对不同安全等级的车载通信装置之间的消息收发进行中继。
6.根据权利要求1至5中的任一项所述的车载通信系统,其中,
所述车载通信装置具有第一通知部,该第一通知部在所述第一认证码判定部判定为接收到的消息所附加的认证码不正当的情况下,对所述车载通信控制装置进行通知,
所述车载通信控制装置的所述第二通知部在所述第二认证码判定部判定为接收到的消息所附加的认证码不正当且接收到来自所述车载通信装置的所述第一通知部的通知的情况下进行通知。
7.根据权利要求6所述的车载通信系统,其中,
所述车载通信装置周期性地对所述公共通信线发送保活信号,
所述第一通知部通过所述保活信号来进行对于所述车载通信控制装置的通知。
8.一种车载通信系统,具备:多个车载通信装置,连接于公共通信线;及车载通信控制装置,连接于所述公共通信线,并进行与所述多个车载通信装置的通信相关的控制,其中,
针对每个所述车载通信装置规定有加密密钥,
所述车载通信装置具有:
第一存储部,存储针对所述车载通信装置自身规定的加密密钥;及
第一认证码生成部,使用存储在所述第一存储部中的加密密钥来生成对发送的消息附加的认证码,
所述车载通信控制装置具有:
第二存储部,存储各车载通信装置的加密密钥;
第二认证码判定部,在所述车载通信装置进行的消息的发送完成之前,使用存储在所述第二存储部中的对应的加密密钥来判定接收到的消息所附加的认证码是否正当;及
丢弃处理部,在所述第二认证码判定部判定为所述消息所附加的认证码不正当的情况下,在该消息的发送完成之前,进行使所述车载通信装置丢弃该消息的处理。
9.一种车载通信控制装置,与连接有多个车载通信装置的公共通信线连接,并进行与所述多个车载通信装置的通信相关的控制,其中,
所述多个车载通信装置被分类成多个安全等级,且针对每个所述安全等级规定有公共密钥,
所述车载通信控制装置具备:
存储部,存储各安全等级的公共密钥;
认证码判定部,使用存储在所述存储部中的对应的公共密钥来判定接收到的消息所附加的认证码是否正当;及
通知部,在所述认证码判定部判定为接收到的消息所附加的认证码不正当的情况下,对未存储所述认证码判定部在该判定中使用的公共密钥的车载通信装置进行通知。
10.根据权利要求9所述的车载通信控制装置,其中,
所述车载通信控制装置具备:
认证码生成部,在所述认证码判定部判定为接收到的消息所附加的认证码正当的情况下,使用与该认证码的判定所使用的公共密钥不同的公共密钥来生成另外的认证码;及
中继部,通过对所述接收到的消息附加所述认证码生成部所生成的另外的认证码并发送,来对不同安全等级的车载通信装置之间的消息收发进行中继。
11.根据权利要求10所述的车载通信控制装置,其中,
所述车载通信装置在判定为接收到的消息所附加的认证码不正当的情况下进行通知,
所述通知部在所述认证码判定部判定为接收到的消息所附加的认证码不正当且接收到来自所述车载通信装置的通知的情况下进行通知。
12.一种车载通信装置,连接于公共通信线,其中,
连接于所述公共通信线的多个车载通信装置被分类成多个安全等级,且针对每个所述安全等级规定有公共密钥,
所述车载通信装置具备:
存储部,存储与所述车载通信装置自身的安全等级相应的公共密钥;
认证码生成部,使用存储在所述存储部中的公共密钥来生成对发送的消息附加的认证码;
认证码判定部,使用存储在所述存储部中的公共密钥来判定接收到的消息所附加的认证码是否正当;及
通知部,在所述认证码判定部判定为接收到的消息所附加的认证码不正当的情况下,通过周期性地对所述公共通信线发送的保活信号来对连接于所述公共通信线的其他装置进行通知。
13.根据权利要求12所述的车载通信装置,其中,
能够对消息附加多个认证码,
所述存储部存储针对所述车载通信装置自身的安全等级规定的公共密钥和针对比该安全等级低的安全等级规定的公共密钥,
所述认证码生成部使用存储在所述存储部中的一个或多个公共密钥来生成对发送的消息附加的一个或多个认证码。
14.根据权利要求13所述的车载通信装置,其中,
所述认证码判定部对接收到的消息所附加的认证码中的能够使用存储在所述车载通信装置自身的存储部中的一个或多个公共密钥来判定是否正当的认证码进行判定。
15.根据权利要求12所述的车载通信装置,其中,
对消息附加一个认证码,
所述存储部存储针对所述车载通信装置自身的安全等级规定的一个公共密钥,
所述认证码生成部使用存储在所述存储部中的一个公共密钥来生成对发送的其他消息附加的一个认证码。
16.一种通信控制方法,与连接有多个车载通信装置的公共通信线连接的车载通信控制装置进行与所述多个车载通信装置的通信相关的控制,其中,
所述多个车载通信装置被分类成多个安全等级,且针对每个所述安全等级规定有公共密钥,
将各安全等级的公共密钥存储于存储部,
使用存储在所述存储部中的对应的公共密钥来判定接收到的消息所附加的认证码是否正当,
在判定为接收到的消息所附加的认证码不正当的情况下,对未存储在该判定中使用的公共密钥的车载通信装置进行通知。
17.一种通信方法,连接于公共通信线的车载通信装置进行与通信相关的处理,其中,
连接于所述公共通信线的多个车载通信装置被分类成多个安全等级,针对每个所述安全等级规定有公共密钥,
将与所述车载通信装置自身的安全等级相应的公共密钥存储于存储部,
使用存储在所述存储部中的公共密钥来生成对发送的消息附加的认证码,
使用存储在所述存储部中的公共密钥来判定接收到的消息所附加的认证码是否正当,
在判定为接收到的消息所附加的认证码不正当的情况下,通过周期性地对所述公共通信线发送的保活信号来对连接于所述公共通信线的其他装置进行通知。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019-002124 | 2019-01-09 | ||
| JP2019002124A JP7132132B2 (ja) | 2019-01-09 | 2019-01-09 | 車載通信システム、車載通信制御装置、車載通信装置、コンピュータプログラム、通信制御方法及び通信方法 |
| PCT/JP2019/050009 WO2020145086A1 (ja) | 2019-01-09 | 2019-12-20 | 車載通信システム、車載通信制御装置、車載通信装置、通信制御方法及び通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113273144A CN113273144A (zh) | 2021-08-17 |
| CN113273144B true CN113273144B (zh) | 2022-10-25 |
Family
ID=71521616
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980087960.7A Active CN113273144B (zh) | 2019-01-09 | 2019-12-20 | 车载通信系统、车载通信控制装置、车载通信装置、通信控制方法及通信方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20220094540A1 (zh) |
| JP (1) | JP7132132B2 (zh) |
| CN (1) | CN113273144B (zh) |
| WO (1) | WO2020145086A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2022059395A (ja) * | 2020-10-01 | 2022-04-13 | 株式会社村田製作所 | 通信システム |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010011400A (ja) * | 2008-06-30 | 2010-01-14 | National Institute Of Advanced Industrial & Technology | 共通鍵方式の暗号通信システム |
| JP2016116075A (ja) * | 2014-12-15 | 2016-06-23 | トヨタ自動車株式会社 | 車載通信システム |
| JP2017017443A (ja) * | 2015-06-29 | 2017-01-19 | クラリオン株式会社 | 車載情報通信システム及び認証方法 |
| CN106458112A (zh) * | 2014-11-12 | 2017-02-22 | 松下电器(美国)知识产权公司 | 更新管理方法、更新管理装置以及控制程序 |
| CN106899404A (zh) * | 2017-02-15 | 2017-06-27 | 同济大学 | 基于预共享密钥的车载can fd总线通信系统及方法 |
| JP2018007211A (ja) * | 2016-07-08 | 2018-01-11 | マツダ株式会社 | 車載通信システム |
| CN108243184A (zh) * | 2016-12-26 | 2018-07-03 | 丰田自动车株式会社 | 加密通信系统以及其控制方法 |
| CN108989024A (zh) * | 2018-06-29 | 2018-12-11 | 百度在线网络技术(北京)有限公司 | 控制在车辆中电子控制单元间通信的方法、装置、设备、存储介质以及相应车辆 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3860042B1 (en) * | 2014-05-08 | 2023-08-02 | Panasonic Intellectual Property Corporation of America | In-vehicle network system, fraud-sensing electronic control unit, and anti-fraud method |
| JP6787697B2 (ja) * | 2015-08-31 | 2020-11-18 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | ゲートウェイ装置、車載ネットワークシステム及び転送方法 |
| JP6423402B2 (ja) * | 2015-12-16 | 2018-11-14 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ処理方法及びサーバ |
| CN107819736B (zh) * | 2016-09-13 | 2021-12-31 | 现代自动车株式会社 | 基于车辆网络中的汽车安全完整性等级的通信方法及设备 |
| US10991175B2 (en) * | 2018-12-27 | 2021-04-27 | Beijing Voyager Technology Co., Ltd. | Repair management system for autonomous vehicle in a trusted platform |
| JP7354180B2 (ja) * | 2021-05-10 | 2023-10-02 | ダイハツ工業株式会社 | 車載中継装置 |
| JP2023171038A (ja) * | 2022-05-20 | 2023-12-01 | 株式会社オートネットワーク技術研究所 | 車載装置、情報処理方法、及びプログラム |
-
2019
- 2019-01-09 JP JP2019002124A patent/JP7132132B2/ja active Active
- 2019-12-20 CN CN201980087960.7A patent/CN113273144B/zh active Active
- 2019-12-20 US US17/420,862 patent/US20220094540A1/en active Pending
- 2019-12-20 WO PCT/JP2019/050009 patent/WO2020145086A1/ja active Application Filing
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010011400A (ja) * | 2008-06-30 | 2010-01-14 | National Institute Of Advanced Industrial & Technology | 共通鍵方式の暗号通信システム |
| CN106458112A (zh) * | 2014-11-12 | 2017-02-22 | 松下电器(美国)知识产权公司 | 更新管理方法、更新管理装置以及控制程序 |
| JP2016116075A (ja) * | 2014-12-15 | 2016-06-23 | トヨタ自動車株式会社 | 車載通信システム |
| JP2017017443A (ja) * | 2015-06-29 | 2017-01-19 | クラリオン株式会社 | 車載情報通信システム及び認証方法 |
| JP2018007211A (ja) * | 2016-07-08 | 2018-01-11 | マツダ株式会社 | 車載通信システム |
| CN108243184A (zh) * | 2016-12-26 | 2018-07-03 | 丰田自动车株式会社 | 加密通信系统以及其控制方法 |
| CN106899404A (zh) * | 2017-02-15 | 2017-06-27 | 同济大学 | 基于预共享密钥的车载can fd总线通信系统及方法 |
| CN108989024A (zh) * | 2018-06-29 | 2018-12-11 | 百度在线网络技术(北京)有限公司 | 控制在车辆中电子控制单元间通信的方法、装置、设备、存储介质以及相应车辆 |
Non-Patent Citations (1)
| Title |
|---|
| 刘毅等.车载控制器局域网络安全协议.《西安交通大学学报》.2018,(第05期), * |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020113852A (ja) | 2020-07-27 |
| CN113273144A (zh) | 2021-08-17 |
| WO2020145086A1 (ja) | 2020-07-16 |
| JP7132132B2 (ja) | 2022-09-06 |
| US20220094540A1 (en) | 2022-03-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6477281B2 (ja) | 車載中継装置、車載通信システム及び中継プログラム | |
| US20200220716A1 (en) | Update management method, update management system, and non-transitory recording medium | |
| CN107005447B (zh) | 通信控制装置及通信系统 | |
| US11113382B2 (en) | Vehicle network system whose security is improved using message authentication code | |
| US9866570B2 (en) | On-vehicle communication system | |
| CN110610092B (zh) | 车载网络系统、网关装置以及不正常检测方法 | |
| CN108353015B (zh) | 中继装置 | |
| CN108028855B (zh) | 车载通信系统 | |
| WO2018173732A1 (ja) | 車載通信装置、コンピュータプログラム及びメッセージ判定方法 | |
| EP3324574A1 (en) | Gateway device and control method therefor | |
| KR101972457B1 (ko) | Can 통신 기반 해킹공격 탐지 방법 및 시스템 | |
| CN113273144B (zh) | 车载通信系统、车载通信控制装置、车载通信装置、通信控制方法及通信方法 | |
| JP2018121220A (ja) | 車載ネットワークシステム | |
| CN108632242B (zh) | 通信装置及接收装置 | |
| JP7328419B2 (ja) | 車載通信システム、車載通信装置、コンピュータプログラム及び通信方法 | |
| JP2017050719A (ja) | 車載ネットワークシステム | |
| EP4231594A1 (en) | Relay device, communication network system and communication control method | |
| CN114128157A (zh) | 车载中继装置、车载通信系统、通信程序及通信方法 | |
| JP7110950B2 (ja) | ネットワークシステム | |
| KR20200076218A (ko) | 일반 can 메시지의 전송지연을 예측하는 can 네트워크에 대한 메시지플러딩 공격 완화 시스템 | |
| KR102649908B1 (ko) | 차량 통신 시스템, 통신 방법 및 통신 프로그램을 기록한 기록 매체 | |
| JP2013121071A (ja) | 中継システム及び、当該中継システムを構成する中継装置、外部装置 | |
| US11971978B2 (en) | Vehicle network system whose security is improved using message authentication code | |
| CN108076046B (zh) | 通信系统 | |
| JP2017085197A (ja) | 通信システム、送信装置、及び通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |