CN116830522A - 车载中继装置、管理装置、车载系统及通信管理方法 - Google Patents
车载中继装置、管理装置、车载系统及通信管理方法 Download PDFInfo
- Publication number
- CN116830522A CN116830522A CN202180093430.0A CN202180093430A CN116830522A CN 116830522 A CN116830522 A CN 116830522A CN 202180093430 A CN202180093430 A CN 202180093430A CN 116830522 A CN116830522 A CN 116830522A
- Authority
- CN
- China
- Prior art keywords
- vehicle
- session
- message
- relay
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 189
- 238000007726 management method Methods 0.000 title claims description 265
- 238000012545 processing Methods 0.000 claims abstract description 452
- 230000005540 biological transmission Effects 0.000 claims abstract description 101
- 230000004044 response Effects 0.000 claims abstract description 91
- 238000000034 method Methods 0.000 claims description 29
- 230000005856 abnormality Effects 0.000 claims description 12
- 238000004364 calculation method Methods 0.000 claims description 9
- 238000013500 data storage Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 32
- 230000006870 function Effects 0.000 description 17
- 230000008569 process Effects 0.000 description 12
- 230000000903 blocking effect Effects 0.000 description 4
- 239000004065 semiconductor Substances 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 102100034112 Alkyldihydroxyacetonephosphate synthase, peroxisomal Human genes 0.000 description 1
- 101000799143 Homo sapiens Alkyldihydroxyacetonephosphate synthase, peroxisomal Proteins 0.000 description 1
- 238000000848 angular dependent Auger electron spectroscopy Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000017525 heat dissipation Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Landscapes
- Small-Scale Networks (AREA)
Abstract
车载中继装置具备:中继部,进行将从多个车载装置分别接收到的多个帧分别向目的地的所述车载装置发送的中继处理;判断部,判断所述多个帧是否包括所述多个车载装置间的通信的会话的开始请求、以及是否包括针对所述开始请求的开始响应;生成部,对每个所述会话生成所述会话中使用的公共密钥,所述会话有由所述判断部判断为包括所述开始请求的所述帧的发送源的所述车载装置、和由所述判断部判断为包括所述开始响应的所述帧的发送源的一个或多个所述车载装置参加;以及发送部,将所述公共密钥经由所述中继部向参加所述会话的各个所述车载装置发送。
Description
技术领域
本公开涉及车载中继装置、管理装置、车载系统及通信管理方法。
本申请主张以2021年3月12日申请的日本申请特愿2021-39794号及2021年8月20日申请的日本申请特愿2021-134479号为基础的优先权,这里引用其公开的全部内容。
背景技术
专利文献1(日本特开2018-26791号公报)中公开了以下的帧传输阻止装置。即,帧传输阻止装置是与多个电子控制单元经由总线进行通信的网络系统中的该总线连接的帧传输阻止装置,具备:接收部,从所述总线接收帧;以及处理部,基于表示是否允许阻止帧的传输的管理信息,在由所述接收部接收到的帧满足规定条件的情况下,切换是否执行阻止该帧的传输的规定处理。
在先技术文献
专利文献
专利文献1:日本特开2018-26791号公报
发明内容
本公开的车载中继装置具备:中继部,进行将从多个车载装置分别接收到的多个帧分别向目的地的所述车载装置发送的中继处理;判断部,判断所述多个帧是否包括所述多个车载装置间的通信的会话的开始请求、以及是否包括针对所述开始请求的开始响应;生成部,对每个所述会话生成所述会话中使用的公共密钥,所述会话有由所述判断部判断为包括所述开始请求的所述帧的发送源的所述车载装置、和由所述判断部判断为包括所述开始响应的所述帧的发送源的一个或多个所述车载装置参加;以及发送部,将所述公共密钥经由所述中继部向参加所述会话的各个所述车载装置发送。
本公开的管理装置是具备多个车载装置的车载系统中使用的管理装置,具备:接收部,从多个所述车载装置分别接收作为所述多个车载装置中的一部分或全部的多个所述车载装置间的通信的会话的开始请求、以及针对所述开始请求的开始响应;生成部,生成与所述开始请求及所述开始响应相关联的所述会话中使用的、所述会话所固有的公共密钥;以及发送部,将所述公共密钥向参加所述会话的各个所述车载装置发送。
本公开的车载系统具备包括第一车载装置及第二车载装置的多个车载装置、以及车载中继装置,所述车载中继装置进行将从所述多个车载装置分别接收到的多个帧分别向目的地的所述车载装置发送的中继处理,所述第一车载装置将包括作为所述多个车载装置中的一部分或全部的多个所述车载装置间的通信的会话的开始请求的第一帧向所述车载中继装置发送,所述第二车载装置将包括针对所述开始请求的开始响应的第二帧向所述车载中继装置发送,所述车载中继装置对每个所述会话生成所述会话中使用的公共密钥,并将所生成的所述公共密钥向参加所述会话的各个所述车载装置发送,所述会话有接收到的所述第一帧的发送源的所述第一车载装置和接收到的所述第二帧的发送源的所述第二车载装置参加。
本公开的车载系统具备包括第一车载装置及第二车载装置的多个车载装置、以及管理装置,所述第一车载装置将作为所述多个车载装置中的一部分或全部的多个所述车载装置间的通信的会话的开始请求向所述管理装置发送,所述第二车载装置将针对所述开始请求的开始响应向所述管理装置发送,所述管理装置生成与接收到的所述开始请求及所述开始响应相关联的所述会话中使用的、所述会话所固有的公共密钥,并将所生成的所述公共密钥向参加所述会话的各个所述车载装置发送。
本公开的通信管理方法是进行将从多个车载装置分别接收到的多个帧分别向目的地的所述车载装置发送的中继处理的车载中继装置中的通信管理方法,包括:判断所述多个帧是否包括所述多个车载装置间的通信的会话的开始请求、以及是否包括针对所述开始请求的开始响应的步骤;对每个所述会话生成所述会话中使用的公共密钥的步骤,所述会话有判断为包括所述开始请求的所述帧的发送源的所述车载装置、和判断为包括所述开始响应的所述帧的发送源的一个或多个所述车载装置参加;以及将所生成的所述公共密钥向参加所述会话的各个所述车载装置发送的步骤。
本公开的通信管理方法是具备多个车载装置的车载系统中使用的管理装置中的通信管理方法,包括:从多个所述车载装置分别接收作为所述多个车载装置中的一部分或全部的多个所述车载装置间的通信的会话的开始请求、以及针对所述开始请求的开始响应的步骤;生成与接收到的所述开始请求及所述开始响应相关联的所述会话中使用的、所述会话所固有的公共密钥的步骤;以及将所生成的所述公共密钥向参加所述会话的各个所述车载装置发送的步骤。
本公开的通信管理方法是具备包括第一车载装置及第二车载装置的多个车载装置、以及进行将从所述多个车载装置分别接收到的多个帧分别向目的地的所述车载装置发送的中继处理的车载中继装置的车载系统中的通信管理方法,包括:所述第一车载装置将包括作为所述多个车载装置中的一部分或全部的多个所述车载装置间的通信的会话的开始请求的第一帧向所述车载中继装置发送的步骤;所述第二车载装置将包括针对所述开始请求的开始响应的第二帧向所述车载中继装置发送的步骤;以及所述车载中继装置对每个所述会话生成所述会话中使用的公共密钥,并将所生成的所述公共密钥向参加所述会话的各个所述车载装置发送的步骤,所述会话有接收到的所述第一帧的发送源的所述第一车载装置和接收到的所述第二帧的发送源的所述第二车载装置参加。
本公开的通信管理方法是具备包括第一车载装置及第二车载装置的多个车载装置、以及管理装置的车载系统中的通信管理方法,包括:所述第一车载装置将作为所述多个车载装置中的一部分或全部的多个所述车载装置间的通信的会话的开始请求向所述管理装置发送的步骤;所述第二车载装置将针对所述开始请求的开始响应向所述管理装置发送的步骤;以及所述管理装置生成与接收到的所述开始请求及所述开始响应相关联的所述会话中使用的、所述会话所固有的公共密钥,并将所生成的所述公共密钥向参加所述会话的各个所述车载装置发送的步骤。
本公开的一方式不仅能够作为具备这样的特征性的处理部的车载中继装置实现,还能够作为实现车载中继装置中的一部分或全部的半导体集成电路实现,或者能够作为用于使计算机执行车载中继装置中的处理的步骤的程序实现,或者能够作为实现具备车载中继装置的车载系统中的一部分或全部的半导体集成电路实现,或者能够作为用于使计算机执行车载系统中的处理的步骤的程序实现。
本公开的一方式不仅能够作为具备这样的特征性的处理部的管理装置实现,还能够作为实现管理装置中的一部分或全部的半导体集成电路实现,或者能够作为用于使计算机执行管理装置中的处理的步骤的程序实现,或者能够作为实现具备管理装置的车载系统中的一部分或全部的半导体集成电路实现,或者能够作为用于使计算机执行车载系统中的处理的步骤的程序实现。
附图说明
图1是示出本公开的第一实施方式所涉及的车载系统的结构的图。
图2是示出在本公开的第一实施方式所涉及的车载系统中收发的以太网帧的一例的图。
图3是示出在本公开的第一实施方式所涉及的车载系统中收发的SOME/IP-SD消息的一例的图。
图4是示出在本公开的第一实施方式所涉及的车载系统中收发的SOME/IP消息的一例的图。
图5是示出本公开的第一实施方式所涉及的车载ECU的结构的图。
图6是示出本公开的第一实施方式所涉及的中继装置的结构的图。
图7是示出本公开的第一实施方式所涉及的中继装置中的存储部所存储的连接目的地列表的一例的图。
图8是示出本公开的第一实施方式所涉及的中继装置中的存储部中的非法日志列表的一例的图。
图9是示出本公开的第一实施方式所涉及的中继装置中的存储部中的会话日志列表的一例的图。
图10是示出本公开的第一实施方式所涉及的车载系统中的服务器及客户端间的会话的一例的图。
图11是确定本公开的第一实施方式所涉及的中继装置分发会话密钥时的动作过程的一例的流程图。
图12是确定本公开的第一实施方式所涉及的中继装置分发会话密钥时的动作过程的一例的流程图。
图13是示出本公开的第一实施方式所涉及的车载系统中的通信的时序的一例的图。
图14是示出本公开的第一实施方式所涉及的车载系统中的通信的时序的其他例的图。
图15是示出本公开的第二实施方式所涉及的车载系统的结构的图。
图16是示出本公开的第二实施方式所涉及的管理装置的结构的图。
图17是确定本公开的第二实施方式所涉及的管理装置分发会话密钥时的动作过程的一例的流程图。
图18是示出本公开的第二实施方式所涉及的车载系统中的通信的时序的一例的图。
图19是示出本公开的第二实施方式所涉及的车载系统中的通信的时序的其他例的图。
具体实施方式
以往,开发了用于提高车载网络中的安全性的技术。
本公开要解决的技术问题
在专利文献1所记载的帧传输阻止装置中,基于在ECU(Electronic ControlUnit:电子控制单元)中收发的数据帧即消息的内容、以及消息的收发周期,来检测非法消息。
然而,近年来,推进了进行服务指向型的通信的车载系统的开发。在这样的车载系统中,会收发突发的消息、以及不包括有效载荷的消息。在专利文献1所记载的帧传输阻止装置中,在收发突发的消息、以及不包括有效载荷的消息的车载系统中,存在难以检测非法消息的问题。
本公开为了解决上述技术问题而提出,其目的在于提供能够进一步提高车载网络中的安全性的车载中继装置、管理装置、车载系统及通信管理方法。
本公开的效果
根据本公开,能够进一步提高车载网络中的安全性。
本公开的实施方式的说明
首先,列出本公开的实施方式的内容进行说明。
(1)本公开的实施方式所涉及的车载中继装置具备:中继部,进行将从多个车载装置分别接收到的多个帧分别向目的地的所述车载装置发送的中继处理;判断部,判断所述多个帧是否包括所述多个车载装置间的通信的会话的开始请求、以及是否包括针对所述开始请求的开始响应;生成部,对每个所述会话生成所述会话中使用的公共密钥,所述会话有由所述判断部判断为包括所述开始请求的所述帧的发送源的所述车载装置、和由所述判断部判断为包括所述开始响应的所述帧的发送源的一个或多个所述车载装置参加;以及发送部,将所述公共密钥经由所述中继部向参加所述会话的各个所述车载装置发送。
像这样,在车载中继装置中,根据判断接收到的帧包括开始请求、以及接收到的帧包括开始响应,对每个会话生成包括开始请求的帧的发送源的车载装置和包括开始响应的帧的发送源的一个或多个车载装置参加的会话中使用的公共密钥并向各车载装置发送的结构,由于能够在车载装置间对每个会话进行使用了单独的公共密钥的通信,因此能够提高车载装置间的通信的安全性。另外,例如,通过在进行开始请求的发送源的车载装置及开始响应的发送源的车载装置的认证的基础上进行公共密钥的生成及发送,能够防止非法设备参加会话。因此,能够进一步提高车载网络中的安全性。
(2)所述车载中继装置也可以是如下结构:进一步具备存储各个所述车载装置的固有ID的存储部,所述发送部将使用一个所述固有ID作为加密密钥进行加密后的所述公共密钥经由所述中继部向具有加密中使用的所述固有ID的所述车载装置发送。
根据这样的结构,由于只有能够参加会话的正当的车载装置能够对公共密钥进行解密,因此例如能够防止向非法的车载装置泄漏公共密钥。
(3)所述发送部也可以是如下结构:进一步将使用一个所述固有ID和所述公共密钥计算出的散列值经由所述中继部向具有所述散列值的计算中使用的所述固有ID的所述车载装置发送。
根据这样的结构,在从车载中继装置接收到公共密钥的车载装置中,通过对照使用自身的固有ID和来自车载中继装置的公共密钥计算出的散列值与从车载中继装置接收到的散列值,能够确认从车载中继装置接收到的公共密钥是否被篡改。
(4)所述车载中继装置也可以是如下结构:进一步具备记录与使用所述公共密钥的所述会话相关的会话信息的记录部。
根据这样的结构,能够将车载中继装置所记录的会话信息例如用于数字取证。另外,由于能够不对各车载装置赋予存储会话信息的功能,而将与多个会话相关的会话信息集中到车载中继装置,因此例如能够以简易的结构记录与在车载系统中开始的全部会话相关的会话信息。
(5)所述记录部也可以是如下结构:记录由所述中继部发送所述公共密钥的发送时刻作为所述会话信息。
根据这样的结构,车载中继装置能够记录会话的开始。
(6)也可以是如下结构:所述判断部判断由所述中继部接收到的所述帧是否包括所述会话的结束请求,所述记录部记录由所述中继部接收包括所述结束请求的所述帧的接收时刻作为所述会话信息。
根据这样的结构,车载中继装置能够记录会话的结束。
(7)也可以是如下结构:所述判断部根据由所述中继部接收到的所述帧包括所述开始请求或所述开始响应的判断结果,判断所述帧是否适当,所述中继部根据所述判断部对所述帧是否适当的判断结果,进行所述帧的所述中继处理或废弃。
根据这样的结构,能够检测来自非法设备的开始请求及开始响应,防止非法设备参加会话。
(8)本公开的实施方式所涉及的管理装置是具备多个车载装置的车载系统中使用的管理装置,具备:接收部,从多个所述车载装置分别接收作为所述多个车载装置中的一部分或全部的多个所述车载装置间的通信的会话的开始请求、以及针对所述开始请求的开始响应;生成部,生成与所述开始请求及所述开始响应相关联的所述会话中使用的、所述会话所固有的公共密钥;以及发送部,将所述公共密钥向参加所述会话的各个所述车载装置发送。
像这样,根据从车载装置接收会话的开始请求及开始响应,生成会话中使用的、会话所固有的公共密钥并向各车载装置发送的结构,由于能够在车载装置间对每个会话进行使用了单独的公共密钥的通信,因此能够提高车载装置间的通信的安全性。另外,例如,通过进行开始请求的发送源的车载装置的认证,能够检测来自非法设备的开始请求。因此,能够进一步提高车载网络中的安全性。
(9)所述管理装置也可以进一步具备存储各个所述车载装置的固有ID的存储部,所述发送部将使用一个所述固有ID作为加密密钥进行加密后的所述公共密钥向具有加密中使用的所述固有ID的所述车载装置发送。
根据这样的结构,由于只有能够参加会话的正当的车载装置能够对公共密钥进行解密,因此例如能够防止向非法的车载装置泄漏公共密钥。
(10)所述发送部也可以进一步将使用一个所述固有ID和所述公共密钥计算出的散列值向具有所述散列值的计算中使用的所述固有ID的所述车载装置发送。
根据这样的结构,在从管理装置接收到公共密钥的车载装置中,通过对照使用自身的固有ID和来自管理装置的公共密钥计算出的散列值与从管理装置接收到的散列值,能够确认从管理装置接收到的公共密钥是否被篡改。
(11)所述接收部也可以从所述车载装置接收所述会话的结束请求,所述发送部基于所述接收部对所述结束请求的接收,将结束所述会话的结束指示向参加所述会话的其他所述车载装置发送。
根据这样的结构,由于管理装置能够参与会话的结束,记录结束请求的发送源的车载装置及会话的结束时刻,因此能够将所记录的信息例如用于数字取证。
(12)所述管理装置也可以是如下结构:进一步具备记录与使用所述公共密钥的所述会话相关的会话信息的记录部。
根据这样的结构,能够将管理装置所记录的会话信息例如用于数字取证。另外,由于能够不对各车载装置赋予存储会话信息的功能,而将与多个会话相关的会话信息集中到管理装置,因此例如能够以简易的结构记录与在车载系统中开始的全部会话相关的会话信息。
(13)所述记录部也可以记录由所述发送部发送所述公共密钥的发送时刻作为所述会话信息。
根据这样的结构,管理装置能够记录会话的开始。
(14)所述管理装置也可以进一步具备记录与使用所述公共密钥的所述会话相关的会话信息的记录部,所述记录部记录由所述接收部接收所述结束请求的接收时刻作为所述会话信息。
根据这样的结构,管理装置能够参与会话的结束,并记录会话的结束。
(15)本公开的实施方式所涉及的车载系统具备包括第一车载装置及第二车载装置的多个车载装置、以及车载中继装置,所述车载中继装置进行将从所述多个车载装置分别接收到的多个帧分别向目的地的所述车载装置发送的中继处理,所述第一车载装置将包括作为所述多个车载装置中的一部分或全部的多个所述车载装置间的通信的会话的开始请求的第一帧向所述车载中继装置发送,所述第二车载装置将包括针对所述开始请求的开始响应的第二帧向所述车载中继装置发送,所述车载中继装置对每个所述会话生成所述会话中使用的公共密钥,并将所生成的所述公共密钥向参加所述会话的各个所述车载装置发送,所述会话有接收到的所述第一帧的发送源的所述第一车载装置和接收到的所述第二帧的发送源的所述第二车载装置参加。
像这样,根据第一车载装置将开始请求向车载中继装置发送,第二车载装置将开始响应向车载中继装置发送,车载中继装置对每个会话生成第一车载装置及第二车载装置参加的会话中使用的公共密钥并向各车载装置发送的结构,由于能够在车载装置间对每个会话进行使用了单独的公共密钥的通信,因此能够提高车载装置间的通信的安全性。另外,例如,通过在进行开始请求的发送源的车载装置及开始响应的发送源的车载装置的认证的基础上进行公共密钥的生成及发送,能够防止非法设备参加会话。因此,能够进一步提高车载网络中的安全性。
(16)也可以是如下结构:所述车载中继装置与所述第一车载装置及所述第二车载装置不经由其他中继装置而连接。
根据这样的结构,在车载中继装置中,由于能够接收由第一车载装置发送的帧以及由第二车载装置发送的帧,因此能够简单地进行第一车载装置及第二车载装置参加的会话的公共密钥的生成及发送。
(17)所述车载装置在通过多播向多个所述车载装置发送信息的状态下,在检测到所述车载系统中的异常的情况下,也可以切换为通过单播向多个所述车载装置发送信息的状态。
根据这样的结构,在车载系统中,例如在发生了被非法设备侵入等异常的情况下,至少能够维持能够进行正当的车载装置间的安全的通信的状态。
(18)所述车载中继装置也可以具备存储所述车载系统中的各个所述车载装置的固有ID的存储部,所述车载中继装置进一步将使用一个所述固有ID和所述公共密钥计算出的散列值向具有所述散列值的计算中使用的所述固有ID的所述车载装置发送,所述车载装置对照使用从所述车载中继装置接收到的所述公共密钥和自身的所述固有ID计算出的散列值与从所述车载中继装置接收到的所述散列值。
根据这样的结构,在车载装置中,基于计算出的散列值与从车载中继装置接收到的散列值的对照结果,能够确认从车载中继装置接收到的公共密钥是否被篡改。
(19)本公开的实施方式所涉及的车载系统具备包括第一车载装置及第二车载装置的多个车载装置、以及管理装置,所述第一车载装置将作为所述多个车载装置中的一部分或全部的多个所述车载装置间的通信的会话的开始请求向所述管理装置发送,所述第二车载装置将针对所述开始请求的开始响应向所述管理装置发送,所述管理装置生成与接收到的所述开始请求及所述开始响应相关联的所述会话中使用的、所述会话所固有的公共密钥,并将所生成的所述公共密钥向参加所述会话的各个所述车载装置发送。
像这样,根据第一车载装置将会话的开始请求向管理装置发送,第二车载装置将针对开始请求的开始响应向管理装置发送,管理装置生成会话中使用的、会话所固有的公共密钥并向各车载装置发送的结构,由于能够在车载装置间对每个会话进行使用了单独的公共密钥的通信,因此能够提高车载装置间的通信的安全性。另外,例如,通过进行开始请求的发送源的车载装置的认证,能够检测来自非法设备的开始请求。因此,能够进一步提高车载网络中的安全性。
(20)所述车载装置在通过多播向多个所述车载装置发送信息的状态下,在检测到所述车载系统中的异常的情况下,也可以切换为通过单播向多个所述车载装置发送信息的状态。
根据这样的结构,在车载系统中,例如在发生了被非法设备侵入等异常的情况下,至少能够维持能够进行正当的车载装置间的安全的通信的状态。
(21)所述管理装置也可以具备存储所述车载系统中的各个所述车载装置的固有ID的存储部,所述管理装置进一步将使用一个所述固有ID和所述公共密钥计算出的散列值向具有所述散列值的计算中使用的所述固有ID的所述车载装置发送,所述车载装置对照使用从所述管理装置接收到的所述公共密钥和自身的所述固有ID计算出的散列值与从所述管理装置接收到的所述散列值。
根据这样的结构,在车载装置中,基于计算出的散列值与从管理装置接收到的散列值的对照结果,能够确认从管理装置接收到的公共密钥是否被篡改。
(22)本公开的实施方式所涉及的通信管理方法是进行将从多个车载装置分别接收到的多个帧分别向目的地的所述车载装置发送的中继处理的车载中继装置中的通信管理方法,包括:判断所述多个帧是否包括所述多个车载装置间的通信的会话的开始请求、以及是否包括针对所述开始请求的开始响应的步骤;对每个所述会话生成所述会话中使用的公共密钥的步骤,所述会话有判断为包括所述开始请求的所述帧的发送源的所述车载装置、和判断为包括所述开始响应的所述帧的发送源的一个或多个所述车载装置参加;以及将所生成的所述公共密钥向参加所述会话的各个所述车载装置发送的步骤。
像这样,在车载中继装置中,根据判断接收到的帧包括开始请求、以及接收到的帧包括开始响应,对每个会话生成包括开始请求的帧的发送源的车载装置和包括开始响应的帧的发送源的一个或多个车载装置参加的会话中使用的公共密钥并向各车载装置发送的方法,由于能够在车载装置间对每个会话进行使用了单独的公共密钥的通信,因此能够提高车载装置间的通信的安全性。另外,例如,通过在进行开始请求的发送源的车载装置及开始响应的发送源的车载装置的认证的基础上进行公共密钥的生成及发送,能够防止非法设备参加会话。因此,能够进一步提高车载网络中的安全性。
(23)本公开的实施方式所涉及的通信管理方法是具备多个车载装置的车载系统中使用的管理装置中的通信管理方法,包括:从多个所述车载装置分别接收作为所述多个车载装置中的一部分或全部的多个所述车载装置间的通信的会话的开始请求、以及针对所述开始请求的开始响应的步骤;生成与接收到的所述开始请求及所述开始响应相关联的所述会话中使用的、所述会话所固有的公共密钥的步骤;以及将所生成的所述公共密钥向参加所述会话的各个所述车载装置发送的步骤。
像这样,根据从车载装置接收会话的开始请求及开始响应,生成会话中使用的、会话所固有的公共密钥并向各车载装置发送的方法,由于能够在车载装置间对每个会话进行使用了单独的公共密钥的通信,因此能够提高车载装置间的通信的安全性。另外,例如,通过进行开始请求的发送源的车载装置的认证,能够检测来自非法设备的开始请求。因此,能够进一步提高车载网络中的安全性。
(24)本公开的实施方式所涉及的通信管理方法是具备包括第一车载装置及第二车载装置的多个车载装置、以及进行将从所述多个车载装置分别接收到的多个帧分别向目的地的所述车载装置发送的中继处理的车载中继装置的车载系统中的通信管理方法,包括:所述第一车载装置将包括作为所述多个车载装置中的一部分或全部的多个所述车载装置间的通信的会话的开始请求的第一帧向所述车载中继装置发送的步骤;所述第二车载装置将包括针对所述开始请求的开始响应的第二帧向所述车载中继装置发送的步骤;以及所述车载中继装置对每个所述会话生成所述会话中使用的公共密钥,并将所生成的所述公共密钥向参加所述会话的各个所述车载装置发送的步骤,所述会话有接收到的所述第一帧的发送源的所述第一车载装置和接收到的所述第二帧的发送源的所述第二车载装置参加。
像这样,根据第一车载装置将开始请求向车载中继装置发送,第二车载装置将开始响应向车载中继装置发送,车载中继装置对每个会话生成第一车载装置及第二车载装置参加的会话中使用的公共密钥并向各车载装置发送的方法,由于能够在车载装置间对每个会话进行使用了单独的公共密钥的通信,因此能够提高车载装置间的通信的安全性。另外,例如,通过在进行开始请求的发送源的车载装置及开始响应的发送源的车载装置的认证的基础上进行公共密钥的生成及发送,能够防止非法设备参加会话。因此,能够进一步提高车载网络中的安全性。
(25)本公开的实施方式所涉及的通信管理方法是具备包括第一车载装置及第二车载装置的多个车载装置、以及管理装置的车载系统中的通信管理方法,包括:所述第一车载装置将作为所述多个车载装置中的一部分或全部的多个所述车载装置间的通信的会话的开始请求向所述管理装置发送的步骤;所述第二车载装置将针对所述开始请求的开始响应向所述管理装置发送的步骤;以及所述管理装置生成与接收到的所述开始请求及所述开始响应相关联的所述会话中使用的、所述会话所固有的公共密钥,并将所生成的所述公共密钥向参加所述会话的各个所述车载装置发送的步骤。
像这样,根据第一车载装置将会话的开始请求向管理装置发送,第二车载装置将针对开始请求的开始响应向管理装置发送,管理装置生成会话中使用的、会话所固有的公共密钥并向各车载装置发送的方法,由于能够在车载装置间对每个会话进行使用了单独的公共密钥的通信,因此能够提高车载装置间的通信的安全性。另外,例如,通过进行开始请求的发送源的车载装置的认证,能够检测来自非法设备的开始请求。因此,能够进一步提高车载网络中的安全性。
以下,使用附图对本公开的实施方式进行说明。需要说明的是,对图中相同或相当部分标注相同的附图标记,不重复其说明。另外,也可以任意组合以下所记载的实施方式中的至少一部分。
〔第一实施方式〕
[结构及基本动作]
<车载系统>
图1是示出本公开的第一实施方式所涉及的车载系统的结构的图。参照图1,车载系统301具备中继装置101和多个车载ECU111。中继装置101是车载中继装置的一例。车载ECU111是车载装置的一例。车载系统301搭载于车辆1。中继装置101用于车载系统301。
中继装置101经由线缆14与各车载ECU111连接。例如,中继装置101与车载ECU111不经由其他中继装置而连接。线缆14例如是以太网(注册商标)线缆。中继装置101及车载ECU111构成车载网络。
车载ECU111例如是进行对电动助力转向装置(Electric Power Steering:EPS)、制动控制装置、加速器控制装置、转向控制装置、以及驾驶辅助系统(Advanced Driver-Assistance System:ADAS)中的各种装置的指示等的驾驶辅助装置或传感器等。
图2是示出在本公开的第一实施方式所涉及的车载系统中收发的以太网帧的一例的图。参照图2,以太网帧具有以太网报头、IP(Internet Protocol:互联网协议)报头、TCP(Transmission Control Protocol:传输控制协议)报头、数据字段及FCS(Frame CheckSequence:帧校验序列)。以太网报头中储存有目的地MAC(Media Access Control:媒体访问控制)地址、发送源MAC地址及类型。
车载ECU111生成发往其他车载ECU111的以太网帧,并将所生成的以太网帧向中继装置101发送。
中继装置101能够与车载ECU111进行通信。中继装置101进行将从车载ECU111接收到的以太网帧向其他车载ECU111发送的中继处理。例如,中继装置101按照层2进行中继处理。需要说明的是,中继装置101也可以是按照比层2靠上层的层3进行中继处理的结构。
(SOME/IP)
在车载系统301中,例如按照作为互联网协议组中的会话层以上的层的协议的SOME/IP(Scalable service-Oriented MiddlewarE over IP:基于互联网协议的可扩展的面向服务的中间件)进行消息的收发。更详细而言,车载ECU111将储存有各种信息的消息储存在以太网帧的数据字段中,并按照SOME/IP将该以太网帧经由中继装置101向其他车载ECU111发送。
例如,车载ECU111开始多个车载ECU111间的通信的会话。然后,参加该会话的多个车载ECU111进行消息的收发。参加会话的车载ECU111的组合并不固定,而是动态地变化。
作为一例,作为车载ECU111的传感器与作为其他车载ECU111的驾驶辅助装置开始会话。在这种情况下,作为提供的服务,该传感器将与车辆1的行驶状态或周围的状态相关的传感器信息储存在消息中并向该驾驶辅助装置发送。驾驶辅助装置从接收到的消息中获取作为服务提供的传感器信息,使用该传感器信息生成与车辆1的驾驶相关的各种控制信息,并将所生成的各种控制信息向制动控制装置及转向控制装置等发送。
以下,也将进行服务的提供的一侧的车载ECU111称为“服务器”。另外,也将接受服务的提供的一侧的车载ECU111称为“客户端”。车载ECU111可以仅作为服务器发挥功能,也可以仅作为客户端发挥功能,也可以根据会话中的服务的内容而作为服务器或客户端发挥功能。服务器是第一车载装置的一例。客户端是第二车载装置的一例。
(A)会话的开始
在按照SOME/IP的通信中,通过执行服务发现而开始会话。更详细而言,多个车载ECU111通过收发SOME/IP-SD消息而开始会话。
图3是示出在本公开的第一实施方式所涉及的车载系统中收发的SOME/IP-SD消息的一例的图。参照图3,SOME/IP-SD消息具有SOME/IP报头和SOME/IP-SD报头。
(A-1)Offer消息
作为一例,服务器通过服务发现功能申请提供服务,客户端与服务器之间的会话开始。
例如,某车载ECU111作为服务器定期或不定期地对作为SOME/IP-SD消息的一例的Offer消息进行多播。更详细而言,服务器生成在SOME/IP-SD报头中储存有与该服务器能够提供的服务对应的服务ID的Offer消息。然后,服务器生成在数据字段中储存有Offer消息、且作为目的地MAC地址储存有多播地址的以太网帧,并将所生成的以太网帧向中继装置101发送。该Offer消息是会话的开始请求的一例。
在经由中继装置101从服务器接收到Offer消息的多个车载ECU111中,需要与Offer消息所包括的服务ID对应的服务的车载ECU111作为客户端,经由中继装置101将作为SOME/IP-SD消息的一例的Subscribe消息向服务器发送。更详细而言,客户端生成在数据字段中储存有Subscribe消息的以太网帧,并经由中继装置101将所生成的以太网帧向服务器发送。该Subscribe消息是针对会话的开始请求的开始响应的一例。
若服务器经由中继装置101从客户端接收到Subscribe消息,则开始向客户端提供服务。
(A-2)Find消息
作为其他例,客户端通过服务发现功能搜索作为服务的提供源的服务器,客户端与服务器之间的通信的会话开始。
例如,某车载ECU111作为客户端定期或不定期地对作为SOME/IP-SD消息的一例的Find消息进行多播。更详细而言,客户端生成在SOME/IP-SD报头中储存有与要接受提供的服务对应的服务ID的Find消息。然后,客户端生成在数据字段中储存有Find消息、且作为目的地MAC地址储存有多播地址的以太网帧,并将所生成的以太网帧向中继装置101发送。该Find消息是会话的搜索请求的一例。
在经由中继装置101从客户端接收到Find消息的多个车载ECU111中,能够提供与Find消息所包括的服务ID对应的服务的车载ECU111作为服务器,经由中继装置101将作为SOME/IP-SD消息的一例的Offer消息向客户端发送。更详细而言,服务器生成在数据字段中储存有Offer消息的以太网帧,并经由中继装置101将所生成的以太网帧向客户端发送。该Offer消息是针对会话的搜索请求的开始请求的一例。
若客户端经由中继装置101从服务器接收到Offer消息,则经由中继装置101将作为SOME/IP-SD消息的一例的Subscribe消息向服务器发送。更详细而言,客户端生成在数据字段中储存有Subscribe消息的以太网帧,并经由中继装置101将所生成的以太网帧向服务器发送。该Subscribe消息是针对会话的开始请求的开始响应的一例。
若服务器经由中继装置101从客户端接收到Subscribe消息,则开始向客户端提供服务。
(B)会话中的通信
在按照SOME/IP的通信中,在服务器及客户端的会话中,从该服务器向该客户端发送SOME/IP消息。
图4是示出在本公开的第一实施方式所涉及的车载系统中收发的SOME/IP消息的一例的图。参照图4,SOME/IP消息具有SOME/IP报头和有效载荷。
例如,服务器定期或不定期地经由中继装置101将作为SOME/IP消息的一例的会话消息向客户端发送。更详细而言,服务器生成在有效载荷中储存有应作为服务提供的信息的会话消息。然后,服务器生成在数据字段中储存有会话消息的以太网帧,并经由中继装置101将所生成的以太网帧向客户端发送。
(C)会话的结束
在按照SOME/IP的通信中,通过执行服务发现而结束会话。更详细而言,多个车载ECU111通过收发SOME/IP-SD消息而结束会话。
(C-1)StopOffer消息
作为一例,服务器通过服务发现功能申请停止提供服务,会话结束。
例如,服务器在停止提供服务的情况下,将作为SOME/IP-SD消息的一例的StopOffer消息向客户端发送。更详细而言,服务器生成在SOME/IP-SD报头中储存有与停止提供的服务对应的服务ID的StopOffer消息。然后,服务器生成在数据字段中储存有StopOffer消息的以太网帧,并经由中继装置101将所生成的以太网帧向客户端发送。该StopOffer消息是会话的结束请求的一例。
服务器在经由中继装置101将StopOffer消息向客户端发送之后,结束向客户端提供服务。
(C-2)StopSubscribe消息
作为其他例,客户端通过服务发现功能申请停止享受服务,会话结束。
例如,客户端在停止享受服务的情况下,将作为SOME/IP-SD消息的一例的StopSubscribe消息向服务器发送。更详细而言,客户端生成在SOME/IP-SD报头中储存有与停止享受的服务对应的服务ID的StopSubscribe消息。然后,客户端生成在数据字段中储存有StopSubscribe消息的以太网帧,并经由中继装置101将所生成的以太网帧向服务器发送。该StopSubscribe消息是会话的结束请求的一例。
若服务器经由中继装置101从客户端接收到Subscribe消息,则结束向客户端提供服务。
<车载ECU及中继装置中的处理的概要>
图5是示出本公开的第一实施方式所涉及的车载ECU的结构的图。参照图5,车载ECU111具备通信部11、处理部12及存储部13。通信部11及处理部12例如由CPU(CentralProcessing Unit:中央处理单元)及DSP(Digital Signal Processor:数字信号处理器)等处理器实现。存储部13例如是非易失性存储器。
车载ECU111中的存储部13存储该车载ECU111的固有ID、作为该车载ECU111的标识符的ECU标识符、该车载ECU111的端点信息及中继装置101的端点信息。固有ID例如在车辆1出厂时被写入存储部13。固有ID与ECU标识符相比隐匿性高。端点信息包括IP地址和逻辑端口号。
另外,存储部13存储表示在车载系统301中提供的服务的内容与服务ID的对应关系的服务列表。
图6是示出本公开的第一实施方式所涉及的中继装置的结构的图。参照图6,中继装置101具备多个通信端口21、中继部22、处理部23、日志生成部24及存储部25。处理部23是判断部的一例,是生成部的一例,且是发送部的一例。日志生成部24是记录部的一例。中继部22、处理部23及日志生成部24例如由CPU及DSP等处理器实现。存储部25例如是非易失性存储器。
通信端口21是能够连接线缆14的端子。通信端口21经由线缆14与车载ECU111连接。需要说明的是,通信端口21也可以是集成电路的端子。
存储部25存储表示通信端口21的端口号与连接于通信端口21的车载ECU111的MAC地址的对应关系的地址表Tb1。
另外,存储部25存储车载系统301中的各车载ECU111的固有ID。例如,存储部25针对每个服务ID存储表示能够参与服务的服务器及客户端的端点信息、ECU标识符、固有ID的连接目的地列表。
图7是示出本公开的第一实施方式所涉及的中继装置中的存储部所存储的连接目的地列表的一例的图。参照图7,在连接目的地列表中登记有能够参与服务ID为“0x0001”的服务的两个服务器及两个客户端的端点信息等、以及能够参与服务ID为“0x0002”的服务的一个服务器及两个客户端的端点信息等。具体而言,在连接目的地列表中,例如作为能够参与服务ID为“0x0002”的服务的服务器,登记有端点信息为“AAA”、ECU标识符为“ECU_1”、且固有ID为“ID_A”的车载ECU111。这里,以“0x”开始的数字意味着用16进制数表示“0x”以后的数字。
中继部22进行将从多个车载ECU111分别接收到的多个以太网帧分别向目的地的车载ECU111发送的中继处理。如后所述,存在中继部22根据来自处理部23的指示,不将接收到的以太网帧中继到目的地的车载ECU111而废弃的情况。
更详细而言,若中继部22从某车载ECU111经由对应的通信端口21接收到以太网帧,则将接收到的以太网帧保存在存储部25中。
处理部23判断由中继部22接收到的以太网帧是否包括SOME/IP-SD消息。例如,若由中继部22将以太网帧保存在存储部25中,则处理部23确认该以太网帧的数据字段中是否包括SOME/IP-SD报头。
处理部23在由中继部22保存在存储部25中的以太网帧的数据字段中不包括SOME/IP-SD报头的情况下,判断为该以太网帧不包括SOME/IP-SD消息,将表示应进行该以太网帧的中继处理的意思的中继指示向中继部22输出。
中继部22在从处理部23接收到中继指示的情况下,从存储部25中获取中继指示所示的以太网帧,并进行该以太网帧的中继处理。具体而言,中继部22参照存储部25中的地址表Tb1,经由与以太网帧的目的地MAC地址对应的端口号的通信端口21将该以太网帧向目的地的车载ECU111发送。
另一方面,处理部23在由中继部22保存在存储部25中的以太网帧的数据字段中包括SOME/IP-SD报头的情况下,判断为该以太网帧包括SOME/IP-SD消息。然后,处理部23通过参照SOME/IP-SD报头,来判断该以太网帧包括Offer消息。或者,处理部23通过参照由中继部22保存在存储部25中的以太网帧的SOME/IP-SD报头,来判断该以太网帧包括Find消息。或者,处理部23通过参照由中继部22保存在存储部25中的以太网帧的SOME/IP-SD报头,来判断该以太网帧包括Subscribe消息。或者,处理部23通过参照由中继部22保存在存储部25中的以太网帧的SOME/IP-SD报头,来判断该以太网帧包括StopOffer消息。或者,处理部23通过参照由中继部22保存在存储部25中的以太网帧的SOME/IP-SD报头,来判断该以太网帧包括StopSubscribe消息。
另外,处理部23在判断为由中继部22保存在存储部25中的以太网帧包括SOME/IP-SD消息的情况下,判断该以太网帧是否适当。
中继部22根据处理部23对该以太网帧是否适当的判断结果,进行该以太网帧的中继处理或废弃。
更详细而言,处理部23在判断为该以太网帧不适当的情况下,将表示应废弃该以太网帧的意思的废弃指示向中继部22输出。
中继部22在从处理部23接收到废弃指示的情况下,废弃存储部25中的中继指示所示的以太网帧。
另一方面,处理部23在判断为该以太网帧适当的情况下,将表示应进行该以太网帧的中继处理的意思的中继指示向中继部22输出。
中继部22在从处理部23接收到中继指示的情况下,从存储部25中获取中继指示所示的以太网帧,并进行该以太网帧的中继处理。
处理部23对每个会话生成会话中使用的会话密钥K,该会话有判断为包括Offer消息等的开始请求的以太网帧的发送源的车载ECU111、和判断为包括Subscribe消息等的开始响应的以太网帧的发送源的一个或多个车载ECU111参加。会话密钥K是公共密钥的一例,例如是按照所使用的加密方式的密钥长度的随机数。例如,处理部23对每个会话生成随机的内容的会话密钥K。
处理部23经由中继部22将所生成的会话密钥K向参加该会话的各车载ECU111发送。日志生成部24记录与使用由处理部23生成的会话密钥K的会话相关的会话信息。
(1)服务发现中的处理例1
(1-1)由服务器进行的Offer消息的发送
再次参照图5,在作为服务器的车载ECU111中,处理部12参照存储部13中的服务列表,获取与该车载ECU111能够提供的服务对应的服务ID。另外,处理部12从存储部13中获取ECU标识符及该车载ECU111的端点信息。处理部12生成包括所获取的服务ID、ECU标识符及端点信息的Offer消息。
处理部12基于所生成的Offer消息及存储部13中的固有ID,计算MAC(MessageAuthentication Code:消息认证码)值。处理部12生成在数据字段中储存有该Offer消息及该MAC值、且作为目的地MAC地址储存有多播地址的以太网帧。处理部12将所生成的以太网帧向通信部11输出。
通信部11将从处理部12接收到的以太网帧向中继装置101发送。
(1-2)由中继装置进行的Offer消息是否适当的判断
再次参照图6,中继装置101中的中继部22从服务器经由对应的通信端口接收以太网帧,对接收到的以太网帧附加时间戳,并将以太网帧保存在存储部25中。
若由中继部22将以太网帧保存在存储部25中,则处理部23确认该以太网帧的数据字段中包括SOME/IP-SD报头,通过参照SOME/IP-SD报头,从而判断为该以太网帧包括Offer消息。然后,处理部23判断该以太网帧是否适当。
更详细而言,处理部23从该以太网帧中获取Offer消息、MAC值及时间戳。另外,处理部23从所获取的Offer消息中获取服务ID、车载ECU111的端点信息及ECU标识符。然后,处理部23参照存储部25中的连接目的地列表,确认作为能够参与从Offer消息中获取的服务ID所示的服务的服务器,由从Offer消息中获取的端点信息及ECU标识符确定的车载ECU111是否登记在连接目的地列表中。
作为一例,处理部23在从Offer消息中获取的服务ID、端点信息及ECU标识符分别为“0x0001”、“BBB”及“ECU_2”的情况下,判断为作为能够参与该服务ID所示的服务的服务器,由该ECU标识符及该端点信息确定的车载ECU111登记在连接目的地列表中。
另外,处理部23参照连接目的地列表,获取由从Offer消息中获取的端点信息等确定的车载ECU111的固有ID。处理部23基于Offer消息及所获取的固有ID来计算MAC值。然后,处理部23通过对照从以太网帧中获取的MAC值与自身计算出的MAC值,来判断该以太网帧是否被篡改。
处理部23在由从Offer消息中获取的端点信息等确定的车载ECU111登记在连接目的地列表中、且判断为以太网帧没有被篡改的情况下,判断为由中继部22接收到的以太网帧适当。另一方面,处理部23在由从Offer消息中获取的端点信息等确定的车载ECU111未登记在连接目的地列表中的情况下、或者在判断为以太网帧被篡改的情况下,判断为由中继部22接收到的以太网帧不适当。
处理部23在判断为以太网帧适当的情况下,将从Offer消息中获取的ECU标识符及端点信息作为服务器信息保存在存储部25中。
另外,处理部23在判断为由中继部22接收到的以太网帧适当的情况下,从存储部25中的以太网帧所包括的Offer消息中删除ECU标识符及端点信息。然后,处理部23将表示应进行该以太网帧的中继处理的意思的中继指示向中继部22输出。
中继部22在从处理部23接收到中继指示的情况下,从存储部25中获取中继指示所示的以太网帧,并进行该以太网帧的中继处理。具体而言,中继部22将由处理部23删除了ECU标识符及端点信息的以太网帧,按照作为该以太网帧的目的地MAC地址的多播地址向该以太网帧的发送源的车载ECU111以外的车载ECU111发送。
另一方面,处理部23在判断为由中继部22接收到的以太网帧不适当的情况下,将表示应废弃该以太网帧的意思的废弃指示向中继部22输出。
中继部22在从处理部23接收到废弃指示的情况下,废弃废弃指示所示的以太网帧。
另外,处理部23在判断为由中继部22接收到的以太网帧不适当的情况下,将Offer消息及时间戳向日志生成部24输出。日志生成部24记录与由处理部23判断为不适当的以太网帧所包括的消息相关的信息。
图8是示出本公开的第一实施方式所涉及的中继装置中的存储部中的非法日志列表的一例的图。参照图8,存储部25存储表示由处理部23判断为不适当的以太网帧所包括的消息的字节串、该以太网帧的发送源的车载ECU111的ECU标识符、以及该以太网帧的接收时刻的、作为非法日志的列表的非法日志列表R1。
日志生成部24从处理部23接收Offer消息及时间戳,获取接收到的Offer消息所包括的ECU标识符,并将该Offer消息的字节串、所获取的ECU标识符及接收时刻作为非法日志写入存储部25中的非法日志列表R1。
(1-3)由客户端进行的Subscribe消息的发送
再次参照图5,在作为客户端的车载ECU111中,处理部12经由通信部11从中继装置101接收以太网帧,从接收到的以太网帧中获取发送源MAC地址及Offer消息。另外,处理部12从所获取的Offer消息中获取服务ID。
处理部12参照存储部13中的服务列表,判断是否需要所获取的服务ID所示的服务。处理部12在判断为需要该服务的情况下,从存储部13中获取ECU标识符及该车载ECU111的端点信息,生成包括与该服务对应的服务ID、所获取的ECU标识符及所获取的端点信息的Subscribe消息。另一方面,处理部12在判断为不需要该服务的情况下,不进行Subscribe消息的生成。
处理部12基于所生成的Subscribe消息及存储部13中的固有ID来计算MAC值。处理部12生成在数据字段中储存有该Subscribe消息及该MAC值、且作为目的地MAC地址储存有服务器的MAC地址的以太网帧。处理部12将所生成的以太网帧向通信部11输出。
通信部11将从处理部12接收到的以太网帧向中继装置101发送。
(1-4)由中继装置进行的Subscribe消息是否适当的判断
再次参照图6,中继装置101中的中继部22从客户端经由对应的通信端口接收以太网帧,对接收到的以太网帧附加时间戳,并将以太网帧保存在存储部25中。
若由中继部22将以太网帧保存在存储部25中,则处理部23确认该以太网帧的数据字段中包括SOME/IP-SD报头,通过参照SOME/IP-SD报头,从而判断为该以太网帧包括Subscribe消息。然后,处理部23判断该以太网帧是否适当。
更详细而言,处理部23从该以太网帧中获取Subscribe消息、MAC值及时间戳。另外,处理部23从所获取的Subscribe消息中获取服务ID、车载ECU111的端点信息及ECU标识符。然后,处理部23参照存储部25中的连接目的地列表,确认作为能够参与从Subscribe消息中获取的服务ID所示的服务的客户端,由从Subscribe消息中获取的端点信息及ECU标识符确定的车载ECU111是否登记在连接目的地列表中。
作为一例,处理部23在从Subscribe消息中获取的服务ID、端点信息及ECU标识符分别为“0x0001”、“CCC”及“ECU_3”的情况下,判断为作为能够参与该服务ID所示的服务的客户端,由该ECU标识符及该端点信息确定的车载ECU111登记在连接目的地列表中。
另外,处理部23参照连接目的地列表,获取由从Subscribe消息中获取的端点信息等确定的车载ECU111的固有ID。处理部23基于Subscribe消息及所获取的固有ID来计算MAC值。然后,处理部23通过对照从以太网帧中获取的MAC值与自身计算出的MAC值,来判断该以太网帧是否被篡改。
处理部23在由从Subscribe消息中获取的端点信息等确定的车载ECU111登记在连接目的地列表中、且判断为以太网帧没有被篡改的情况下,判断为由中继部22接收到的以太网帧适当。另一方面,处理部23在由从Subscribe消息中获取的端点信息等确定的车载ECU111未登记在连接目的地列表中的情况下、或者在判断为以太网帧被篡改的情况下,判断为由中继部22接收到的以太网帧不适当。
处理部23在判断为以太网帧适当的情况下,将从Subscribe消息中获取的ECU标识符及端点信息作为客户端信息保存在存储部25中。
另一方面,处理部23在判断为由中继部22接收到的以太网帧不适当的情况下,将表示应废弃该以太网帧的意思的废弃指示向中继部22输出。
中继部22在从处理部23接收到废弃指示的情况下,废弃废弃指示所示的以太网帧。
另外,处理部23在判断为由中继部22接收到的以太网帧不适当的情况下,将Subscribe消息及时间戳向日志生成部24输出。日志生成部24将与由处理部23判断为不适当的以太网帧所包括的消息相关的信息写入存储部25中的非法日志列表R1。
(1-5)由中继装置进行的会话密钥的生成及分发
若中继装置101中的处理部23判断为储存有Subscribe消息的以太网帧适当,并将客户端信息保存在存储部25中,则决定建立存储部25中保存的服务器信息及客户端信息分别所示的服务器及客户端间的会话。
然后,处理部23生成该会话中使用的会话密钥K和作为会话密钥K的ID的密钥ID,并将所生成的会话密钥K及密钥ID分发给参加该会话的服务器及客户端。另外,处理部23将所生成的会话密钥K及密钥ID与服务ID对应地保存在存储部25中。
例如,处理部23将固有ID作为加密密钥对会话密钥K进行加密。另外,例如,处理部23使用固有ID和会话密钥K计算散列值HV。然后,处理部23经由中继部22将加密后的会话密钥K及散列值HV向具有在会话密钥K的加密及散列值HV的计算中使用的固有ID的车载ECU111发送。
更详细而言,处理部23通过参照存储部25中的连接目的地列表,获取服务器信息所示的服务器的固有ID,并使用所获取的固有ID作为加密密钥对会话密钥K进行加密,从而生成作为加密后的服务器用的会话密钥K的加密密钥KS。然后,处理部23在存储部25中的以太网帧所包括的Subscribe消息中包括加密密钥KS及对应的密钥ID,通过将该Subscribe消息和服务器的固有ID赋予规定的散列函数来计算散列值HVS。处理部23进一步将计算出的散列值HVS储存在该以太网帧中。然后,处理部23将表示应进行该以太网帧的中继处理的意思的中继指示向中继部22输出。
中继部22在从处理部23接收到中继指示的情况下,从存储部25中获取中继指示所示的以太网帧,并进行该以太网帧的中继处理。具体而言,中继部22将储存有加密密钥KS、密钥ID及散列值HVS的以太网帧,按照该以太网帧的目的地MAC地址向服务器发送。
另外,处理部23通过参照存储部25中的连接目的地列表,获取客户端信息所示的客户端的固有ID,并使用所获取的固有ID作为加密密钥对会话密钥K进行加密,从而生成作为加密后的客户端用的会话密钥K的加密密钥KC。然后,处理部23生成包括服务器的端点信息、加密密钥KC及对应的密钥ID的开始消息MC,通过将所生成的开始消息MC和所获取的固有ID赋予规定的散列函数来计算散列值HVC。处理部23生成包括所生成的开始消息MC及计算出的散列值HVC的发往客户端的以太网帧,并经由中继部22将所生成的以太网帧向客户端发送。
处理部23将表示在所建立的会话中提供的服务的服务ID、作为Subscribe消息的目的地的服务器的ECU标识符、作为开始消息MC的目的地的客户端的ECU标识符、以及Subscribe消息及开始消息MC的输出时刻ts的会话信息向日志生成部24输出。输出时刻ts表示由中继部22发送会话密钥K的发送时刻。
图9是示出本公开的第一实施方式所涉及的中继装置中的存储部中的会话日志列表的一例的图。参照图9,存储部25存储表示在所建立的会话中提供的服务的服务ID、作为会话密钥K的分发目的地的服务器及客户端的各ECU标识符、会话的开始时刻及会话的结束时刻的、作为会话日志的列表的会话日志列表R2。
日志生成部24从处理部23接收会话信息,并将接收到的会话信息所包括的服务ID、ECU标识符及输出时刻ts分别作为会话日志的“服务ID”、“ECU标识符”及“开始时刻”写入会话日志列表R2。
(1-6)由服务器进行的会话密钥的接收
再次参照图5,在服务器中,处理部12经由通信部11从中继装置101接收以太网帧,并从接收到的以太网帧中获取Subscribe消息及散列值HVS。处理部12对照使用从中继装置101接收到的会话密钥K和自身的固有ID计算出的散列值与从中继装置101接收到的散列值HVS。
更详细而言,处理部12从存储部13中获取固有ID,通过将Subscribe消息及固有ID赋予规定的散列函数来计算散列值。处理部12通过对照散列值HVS与自身计算出的散列值,来判断Subscribe消息是否被篡改。
处理部12在判断为Subscribe消息被篡改的情况下,废弃该Subscribe消息。另一方面,处理部12在判断为Subscribe消息没有被篡改的情况下,从该Subscribe消息中获取客户端的端点信息、加密密钥KS及密钥ID。然后,处理部12通过使用固有ID对该加密密钥KS进行解密来获取会话密钥K。
处理部12在过去获取的会话密钥K的密钥ID保存在存储部13中的情况下,比较存储部13中的密钥ID与新获取的密钥ID。处理部12若确认存储部13中的密钥ID与新获取的密钥ID不同,则将新获取的客户端的端点信息、会话密钥K及密钥ID保存在存储部13中。
另一方面,处理部12在存储部13中的密钥ID与新获取的密钥ID一致的情况下,经由通信部11将请求重新发送会话密钥K的意思的消息向中继装置101发送。中继装置101在接收到该消息的情况下,生成新的会话密钥K并向服务器及客户端发送。由此,在与在过去的会话中使用的会话密钥K相同的会话密钥K被分发给服务器及客户端的情况下,能够促使中继装置101重新生成会话密钥K,因此能够避免因在不同的会话中使用相同的会话密钥K而导致的安全性的降低。
(1-7)由客户端进行的会话密钥的接收
在客户端中,处理部12经由通信部11从中继装置101接收以太网帧,并从接收到的以太网帧中获取开始消息MC及散列值HVC。处理部12对照使用从中继装置101接收到的会话密钥K和自身的固有ID计算出的散列值与从中继装置101接收到的散列值HVC。
更详细而言,处理部12从存储部13中获取固有ID,通过将开始消息MC及固有ID赋予规定的散列函数来计算散列值。处理部12通过对照散列值HVC与自身计算出的散列值,来判断开始消息MC是否被篡改。
处理部12在判断为开始消息MC被篡改的情况下,废弃该开始消息MC。另一方面,处理部12在判断为开始消息MC没有被篡改的情况下,从该开始消息MC中获取服务器的端点信息、加密密钥KC及密钥ID。然后,处理部12通过使用固有ID对该加密密钥KC进行解密来获取会话密钥K。
处理部12在过去获取的会话密钥K的密钥ID保存在存储部13中的情况下,比较存储部13中的密钥ID与新获取的密钥ID。处理部12若确认存储部13中的密钥ID与新获取的密钥ID不同,则将新获取的服务器的端点信息、会话密钥K及密钥ID保存在存储部13中。
另一方面,处理部12在存储部13中的密钥ID与新获取的密钥ID一致的情况下,经由通信部11将请求重新发送会话密钥K的意思的消息向中继装置101发送。中继装置101在接收到该消息的情况下,生成新的会话密钥K并向服务器及客户端发送。
这里,由于在中继装置101中能够生成的不同的会话密钥K的数量是有限的,因此存在中继装置101在分发某会话密钥K后,隔开充分的时间来分发与该会话密钥K相同的会话密钥K的情况。因此,服务器及客户端中的处理部12在从在存储部13中保存密钥ID起经过了充分的时间之后,将该密钥ID从存储部13中删除。
(2)服务发现中的处理例2
(2-1)由客户端进行的Find消息的发送
在作为客户端的车载ECU111中,处理部12参照存储部13中的服务列表,获取与要接受提供的服务对应的服务ID。另外,处理部12从存储部13中获取ECU标识符及该车载ECU111的端点信息。处理部12生成包括所获取的服务ID、ECU标识符及端点信息的Find消息。
处理部12基于所生成的Find消息及存储部13中的固有ID来计算MAC值。处理部12生成在数据字段中储存有该Find消息及该MAC值、且作为目的地MAC地址储存有多播地址的以太网帧。处理部12将所生成的以太网帧向通信部11输出。
通信部11将从处理部12接收到的以太网帧向中继装置101发送。
(2-2)由中继装置进行的Find消息是否适当的判定
再次参照图6,中继装置101中的中继部22从服务器经由对应的通信端口接收以太网帧,对接收到的以太网帧附加时间戳,并将以太网帧保存在存储部25中。
若由中继部22将以太网帧保存在存储部25中,则处理部23确认该以太网帧的数据字段中包括SOME/IP-SD报头,通过参照SOME/IP-SD报头,从而判断为该以太网帧包括Find消息。然后,处理部23判断该以太网帧是否适当。
更详细而言,处理部23从该以太网帧中获取Find消息、MAC值及时间戳。另外,处理部23从所获取的Find消息中获取服务ID、车载ECU111的端点信息及ECU标识符。然后,处理部23参照存储部25中的连接目的地列表,确认作为能够参与从Find消息中获取的服务ID所示的服务的客户端,由从Find消息中获取的端点信息及ECU标识符确定的车载ECU111是否登记在连接目的地列表中。
作为一例,处理部23在从Find消息中获取的服务ID、端点信息及ECU标识符分别为“0x0001”、“CCC”及“ECU_3”的情况下,判断为作为能够参与该服务ID所示的服务的客户端,由该ECU标识符及该端点信息确定的车载ECU111登记在连接目的地列表中。
另外,处理部23参照连接目的地列表,获取由从Find消息中获取的端点信息等确定的车载ECU111的固有ID。处理部23基于Find消息及所获取的固有ID来计算MAC值。然后,处理部23通过对照从以太网帧中获取的MAC值与自身计算出的MAC值,来判断以太网帧是否被篡改。
处理部23在由从Find消息中获取的端点信息等确定的车载ECU111登记在连接目的地列表中、且判断为以太网帧没有被篡改的情况下,判断为由中继部22接收到的以太网帧适当。另一方面,处理部23在由从Find消息中获取的端点信息等确定的车载ECU111未登记在连接目的地列表中的情况下、或者在判断为以太网帧被篡改的情况下,判断为由中继部22接收到的以太网帧不适当。
处理部23在判断为以太网帧适当的情况下,将从Find消息中获取的ECU标识符及端点信息作为客户端信息保存在存储部25中。
另外,处理部23在判断为由中继部22接收到的以太网帧适当的情况下,从存储部25中的以太网帧所包括的Find消息中删除ECU标识符及端点信息。然后,处理部23将表示应进行该以太网帧的中继处理的意思的中继指示向中继部22输出。
中继部22在从处理部23接收到中继指示的情况下,从存储部25中获取中继指示所示的以太网帧,并进行该以太网帧的中继处理。
另一方面,处理部23在判断为由中继部22接收到的以太网帧不适当的情况下,将表示应废弃该以太网帧的意思的废弃指示向中继部22输出。
中继部22在从处理部23接收到废弃指示的情况下,废弃废弃指示所示的以太网帧。
另外,处理部23在判断为由中继部22接收到的以太网帧不适当的情况下,将Find消息及时间戳向日志生成部24输出。
日志生成部24从处理部23接收Find消息及时间戳,获取接收到的Find消息所包括的ECU标识符,并将该Find消息的字节串、所获取的ECU标识符及接收时刻作为非法日志写入存储部25中的非法日志列表R1。
(2-3)由服务器进行的Offer消息的发送
再次参照图5,在作为服务器的车载ECU111中,处理部12经由通信部11从中继装置101接收以太网帧,并从接收到的以太网帧中获取发送源MAC地址及Find消息。另外,处理部12从所获取的Find消息中获取服务ID。
处理部12参照存储部13中的服务列表,判断是否能够提供所获取的服务ID所示的服务。处理部12在判断为能够提供该服务的情况下,从存储部13中获取ECU标识符及该车载ECU111的端点信息,生成包括与该服务对应的服务ID、所获取的ECU标识符及所获取的端点信息的Offer消息。另一方面,在处理部12判断为不能提供该服务的情况下,不进行Offer消息的生成。
处理部12基于所生成的Offer消息及存储部13中的固有ID来计算MAC值。处理部12生成在数据字段中储存有该Offer消息及该MAC值、且作为目的地MAC地址储存有Find消息的发送源的客户端的MAC地址的以太网帧。处理部12将所生成的以太网帧向通信部11输出。
通信部11将从处理部12接收到的以太网帧向中继装置101发送。
(2-4)由中继装置进行的Offer消息是否适当的判断
再次参照图6,中继装置101中的中继部22从服务器经由对应的通信端口接收以太网帧,对接收到的以太网帧附加时间戳,并将以太网帧保存在存储部25中。
处理部23与上述“(1-2)由中继装置进行的Offer消息是否适当的判断”同样地,判断由中继部22接收到的以太网帧是否适当。然后,处理部23在判断为该以太网帧适当的情况下,进行向存储部25的服务器信息的保存、以及向中继部22的中继指示的输出。
中继部22在从处理部23接收到中继指示的情况下,从存储部25中获取中继指示所示的以太网帧,并进行该以太网帧的中继处理。
(2-5)由客户端进行的Subscribe消息的发送
再次参照图5,在作为客户端的车载ECU111中,处理部12与上述“(1-3)由客户端进行的Subscribe消息的发送”同样地,生成在数据字段中储存有Subscribe消息及MAC值、且作为目的地MAC地址储存有Offer消息的发送源的服务器的MAC地址的以太网帧,并经由通信部11将所生成的以太网帧向中继装置101发送。
(2-6)由中继装置进行的Subscribe消息是否适当的判断
再次参照图6,中继装置101中的中继部22从客户端经由对应的通信端口接收以太网帧,对接收到的以太网帧附加时间戳,并将以太网帧保存在存储部25中。
处理部23与上述“(1-4)由中继装置进行的Subscribe消息是否适当的判断”同样地,判断由中继部22接收到的以太网帧是否适当。然后,处理部23在判断为该以太网帧适当的情况下,将从Subscribe消息中获取的ECU标识符及端点信息作为客户端信息保存在存储部25中。
(2-7)由中继装置进行的会话密钥的生成及分发
中继装置101中的处理部23与上述“(1-5)由中继装置进行的会话密钥的生成及分发”同样地,决定建立服务器及客户端间的会话,生成该会话中使用的会话密钥K和作为会话密钥K的ID的密钥ID,并将所生成的会话密钥K及密钥ID分发给参加该会话的服务器及客户端。
(2-8)由服务器及客户端进行的会话密钥的接收
再次参照图5,在服务器中,处理部12与上述“(1-6)由服务器进行的会话密钥的接收”同样地,对照使用从中继装置101中接收到的会话密钥K和自身的固有ID计算出的散列值与从中继装置101接收到的散列值HVS。
另外,在客户端中,处理部12与上述“(1-7)由客户端进行的会话密钥的接收”同样地,对照使用从中继装置101接收到的会话密钥K和自身的固有ID计算出的散列值与从中继装置101接收到的散列值HVC。
(会话中的通信)
若服务器及客户端获取会话密钥K,则开始使用了该会话密钥K的通信的会话。
具体而言,在服务器中,处理部12使用存储部13中的会话密钥K对储存有应作为服务提供的信息的会话消息进行加密,将加密后的会话消息包括在以太网帧中并经由通信部11及中继装置101向客户端发送。
另外,在客户端中,处理部12从经由中继装置101及通信部11从服务器接收到的以太网帧中获取会话消息,使用存储部13中的会话密钥K对所获取的会话消息进行解密,并从解密后的会话消息中获取信息。
(参加现有会话)
例如,服务器中的处理部12即使在与某客户端的会话开始后,也定期或不定期地对Offer消息进行多播。
更详细而言,中继装置101中的处理部23在服务器S1及客户端C1间的会话建立后,在由中继部22接收到储存有来自其他客户端C2的Subscribe消息的以太网帧、并判断为该以太网帧适当的情况下,决定建立该服务器S1及客户端C2间的会话。即,处理部23例如在向服务器S1及客户端C1分发会话密钥K1之后,决定建立服务器S1及客户端C2间的会话。
在这种情况下,例如,作为服务器S1及客户端C2间的会话中使用的会话密钥K,处理部23生成与分发给服务器S1及客户端C1的会话密钥K1不同的会话密钥K2,并将所生成的会话密钥K2分发给服务器S1及客户端C2。
即,处理部23对每个服务器和客户端的组合生成不同的会话密钥K并分发。
(从服务器向客户端的多播)
在车载系统301中,服务器并不限定于将会话消息向客户端单播的结构。服务器也可以是将会话消息向多个客户端多播的结构。
例如,中继装置101中的处理部23对每个会话生成会话中使用的会话密钥K,该会话有判断为包括Offer消息等的开始请求的以太网帧的发送源的车载ECU111、和判断为包括Subscribe消息等的开始响应的以太网帧的发送源的多个车载ECU111参加。更详细而言,处理部23在进行与一个服务器的会话中的通信的客户端的数量达到规定数量的情况下,生成作为该服务器及多个客户端间的会话中使用的会话密钥K的会话密钥KM,并将所生成的会话密钥KM分发给该服务器及该多个客户端。
即,例如处理部23在分别建立了服务器S1与客户端C1、C2之间的两个会话的状态下决定建立服务器S1及客户端C3间的会话的情况下,生成服务器S1及客户端C3间的会话中使用的会话密钥K3并分发给服务器S1及客户端C3。进而,处理部23进一步生成服务器S1及客户端C1、C2、C3间的会话中使用的会话密钥KM、以及基于服务器S1及客户端C1、C2、C3的端点信息的多播地址,并将所生成的会话密钥KM及多播地址分发给服务器S1及客户端C1、C2、C3。
若服务器S1及客户端C1、C2、C3获取会话密钥KM及多播地址,则开始使用了会话密钥KM及多播地址的通信的会话。
图10是示出本公开的第一实施方式所涉及的车载系统中的服务器及客户端间的会话的一例的图。参照图10,服务器S1具有在与客户端C1之间的会话中使用的会话密钥K1、在与客户端C2之间的会话中使用的会话密钥K2、在与客户端C3之间的会话中使用的会话密钥K3、以及在与客户端C1、C2、C3之间的会话中使用的会话密钥KM。客户端C1具有会话密钥K1、KM。客户端C2具有会话密钥K2、KM。客户端C3具有会话密钥K3、KM。
在服务器S1中,处理部12使用会话密钥KM对储存有应作为服务提供的信息的会话消息进行加密,并将加密后的会话消息包括在以太网帧中向客户端C1、C2、C3多播。
例如,服务器S1在通过多播向客户端C1、C2、C3发送信息的状态下,在检测到车载系统301中的异常的情况下,切换为通过单播向多个客户端C1、C2、C3发送信息的状态。
作为一例,考虑劫持了客户端C1的非法设备冒充服务器S1,将使用会话密钥KM加密后的会话消息包括在以太网帧中向服务器S1及客户端C2、C3多播的情况。
服务器S1中的处理部12在经由通信部11从该非法设备接收到会话消息的情况下,由于尽管自身是会话消息的发送源,但自身接收到了会话消息,因此判断为在车载系统301中发生了异常。
在这种情况下,服务器S1中的处理部12将会话消息的发送从多播切换为单播。具体而言,处理部12经由通信部11将使用会话密钥K1加密后的会话消息向客户端C1单播,经由通信部11将使用会话密钥K2加密后的会话消息向客户端C2单播,经由通信部11将使用会话密钥K3加密后的会话消息向客户端C3单播。
(3)服务发现中的处理例3
(3-1)由客户端进行的StopSubscribe消息的发送
再次参照图5,在客户端中,处理部12在停止享受服务的情况下,生成包括与该服务对应的服务ID、ECU标识符及端点信息的StopSubscribe消息。
处理部12基于所生成的StopSubscribe消息及存储部13中的固有ID来计算MAC值。另外,处理部12使用存储部13中的会话密钥K对StopSubscribe消息进行加密。然后,处理部12生成在数据字段中储存有加密后的StopSubscribe消息及该MAC值、且作为目的地MAC地址储存有服务器的MAC地址的以太网帧,并经由通信部11将所生成的以太网帧向中继装置101发送。
另外,处理部12废弃存储部13中的会话密钥K及服务器的端点信息。
(3-2)由中继装置进行的StopSubscribe消息是否适当的判断
再次参照图6,中继装置101中的中继部22从客户端经由对应的通信端口接收以太网帧,对接收到的以太网帧附加时间戳,并将以太网帧保存在存储部25中。
若由中继部22将以太网帧保存在存储部25中,则处理部23确认该以太网帧的数据字段中包括SOME/IP-SD报头,通过参照SOME/IP-SD报头,从而判断为该以太网帧包括StopSubscribe消息。然后,处理部23判断该以太网帧是否适当。
更详细而言,处理部23从该以太网帧中获取StopSubscribe消息、MAC值及时间戳。另外,处理部23从所获取的StopSubscribe消息中获取服务ID、车载ECU111的端点信息及ECU标识符。然后,处理部23参照存储部25中的连接目的地列表,确认作为能够参与从StopSubscribe消息中获取的服务ID所示的服务的服务器,由从StopSubscribe消息中获取的端点信息及ECU标识符确定的车载ECU111是否登记在连接目的地列表中。
另外,处理部23参照连接目的地列表,获取由从StopSubscribe消息中获取的端点信息等确定的车载ECU111的固有ID。处理部23基于StopSubscribe消息及所获取的固有ID来计算MAC值。然后,处理部23通过对照从以太网帧中获取的MAC值与自身计算出的MAC值,来判断该以太网帧是否被篡改。
处理部23在由从StopSubscribe消息中获取的端点信息等确定的车载ECU111登记在连接目的地列表中、且判断为以太网帧没有被篡改的情况下,判断为由中继部22接收到的以太网帧适当。另一方面,处理部23在由从StopSubscribe消息中获取的端点信息等确定的车载ECU111未登记在连接目的地列表中的情况下、或者在判断为以太网帧被篡改的情况下,判断为由中继部22接收到的以太网帧不适当。
处理部23在判断为以太网帧适当的情况下,废弃存储部25中的、与StopSubscribe消息所包括的服务ID对应的会话密钥K及密钥ID。
另外,处理部23在判断为以太网帧适当的情况下,将从该以太网帧中获取的时间戳所示的接收时刻te通知日志生成部24。
日志生成部24记录由中继部22接收StopSubscribe消息的接收时刻作为会话信息。更详细而言,日志生成部24从处理部23接收接收时刻te的通知,并将所通知的接收时刻te作为会话日志的“结束时刻”写入会话日志列表R2。
例如,中继部22进行对以太网帧的中继处理,该以太网帧是由处理部23判断为包括StopSubscribe消息的以太网帧,且由处理部23判断为适当。
更详细而言,处理部23在判断为由中继部22接收到的以太网帧适当的情况下,从存储部25中的以太网帧所包括的StopSubscribe消息中删除ECU标识符及端点信息。然后,处理部23将表示应进行该以太网帧的中继处理的意思的中继指示向中继部22输出。
中继部22在从处理部23接收到中继指示的情况下,从存储部25中获取中继指示所示的以太网帧,并进行该以太网帧的中继处理。
另一方面,处理部23在判断为由中继部22接收到的以太网帧不适当的情况下,将表示应废弃该以太网帧的意思的废弃指示向中继部22输出。
中继部22在从处理部23接收到废弃指示的情况下,废弃废弃指示所示的以太网帧。
另外,处理部23在判断为由中继部22接收到的以太网帧不适当的情况下,将StopSubscribe消息及时间戳向日志生成部24输出。
日志生成部24接收StopSubscribe消息及时间戳,获取接收到的StopSubscribe消息所包括的ECU标识符,并将该StopSubscribe消息的字节串、所获取的ECU标识符及接收时刻作为非法日志写入存储部25中的非法日志列表R1。
(3-3)由服务器进行的StopSubscribe消息的接收
再次参照图5,在服务器中,处理部12经由通信部11从中继装置101接收以太网帧,并从接收到的以太网帧中获取StopSubscribe消息。处理部12使用存储部13中的会话密钥K对所获取的StopSubscribe消息进行解密。处理部12废弃存储部13中的会话密钥K及客户端的端点信息。
(4)服务发现中的处理例4
(4-1)由服务器进行的StopOffer消息的发送
在服务器中,处理部12在停止提供服务的情况下,生成包括与该服务对应的服务ID、ECU标识符及端点信息的StopOffer消息。
处理部12基于所生成的StopOffer消息及存储部13中的固有ID来计算MAC值。另外,处理部12使用存储部13中的会话密钥K对StopOffer消息进行加密。然后,处理部12生成在数据字段中储存有加密后的StopOffer消息及该MAC值、且作为目的地MAC地址储存有客户端的MAC地址的以太网帧,并经由通信部11将所生成的以太网帧向中继装置101发送。
另外,处理部12废弃存储部13中的会话密钥K及客户端的端点信息。
(4-2)由中继装置进行的StopOffer消息是否适当的判断
再次参照图6,中继装置101中的中继部22从服务器经由对应的通信端口接收以太网帧,对接收到的以太网帧附加时间戳,并将以太网帧保存在存储部25中。
若由中继部22将以太网帧保存在存储部25中,则处理部23确认该以太网帧的数据字段中包括SOME/IP-SD报头,通过参照SOME/IP-SD报头,从而判断为该以太网帧包括StopOffer消息。然后,处理部23判断该以太网帧是否适当。
更详细而言,处理部23从该以太网帧中获取StopOffer消息、MAC值及时间戳。另外,处理部23从所获取的StopOffer消息中获取服务ID、车载ECU111的端点信息及ECU标识符。然后,处理部23参照存储部25中的连接目的地列表,确认作为能够参与从StopOffer消息中获取的服务ID所示的服务的客户端,由从StopOffer消息中获取的端点信息及ECU标识符确定的车载ECU111是否登记在连接目的地列表中。
另外,处理部23参照连接目的地列表,获取由从StopOffer消息中获取的端点信息等确定的车载ECU111的固有ID。处理部23基于StopOffer消息及所获取的固有ID来计算MAC值。然后,处理部23通过对照从以太网帧中获取的MAC值与自身计算出的MAC值,来判断该以太网帧是否被篡改。
处理部23在由从StopOffer消息中获取的端点信息等确定的车载ECU111登记在连接目的地列表中、且判断为以太网帧没有被篡改的情况下,判断为由中继部22接收到的以太网帧适当。另一方面,处理部23在由从StopOffer消息中获取的端点信息等确定的车载ECU111未登记在连接目的地列表中的情况下、或者在判断为以太网帧被篡改的情况下,判断为由中继部22接收到的以太网帧不适当。
处理部23在判断为以太网帧适当的情况下,废弃存储部25中的、与StopOffer消息所包括的服务ID对应的会话密钥K及密钥ID。
另外,处理部23在判断为以太网帧适当的情况下,将从该以太网帧中获取的时间戳所示的接收时刻te通知日志生成部24。
日志生成部24记录由中继部22接收StopOffer消息的接收时刻作为会话信息。更详细而言,日志生成部24从处理部23接收接收时刻te的通知,并将所通知的接收时刻te作为会话日志的“结束时刻”写入会话日志列表R2。
例如,中继部22进行对以太网帧的中继处理,该以太网帧是由处理部23判断为包括StopOffer消息的以太网帧,且由处理部23判断为适当。
更详细而言,处理部23在判断为由中继部22接收到的以太网帧适当的情况下,从存储部25中的以太网帧所包括的StopOffer消息中删除ECU标识符及端点信息。然后,处理部23将表示应进行该以太网帧的中继处理的意思的中继指示向中继部22输出。
中继部22在从处理部23接收到中继指示的情况下,从存储部25中获取中继指示所示的以太网帧,并进行该以太网帧的中继处理。
另一方面,处理部23在判断为由中继部22接收到的以太网帧不适当的情况下,将表示应废弃该以太网帧的意思的废弃指示向中继部22输出。
中继部22在从处理部23接收到废弃指示的情况下,废弃废弃指示所示的以太网帧。
另外,处理部23在判断为由中继部22接收到的以太网帧不适当的情况下,将StopOffer消息及时间戳向日志生成部24输出。
日志生成部24接收StopOffer消息及时间戳,获取接收到的StopOffer消息所包括的ECU标识符,并将该StopOffer消息的字节串、所获取的ECU标识符及接收时刻作为非法日志写入存储部25中的非法日志列表R1。
(4-3)由客户端进行的StopOffer消息的接收
再次参照图5,在客户端中,处理部12经由通信部11从中继装置101接收以太网帧,并从接收到的以太网帧中获取StopOffer消息。处理部12使用存储部13中的会话密钥K对所获取的StopOffer消息进行解密。处理部12废弃存储部13中的会话密钥K及服务器的端点信息。
[动作流程]
本公开的实施方式所涉及的车载系统中的各装置具备包括存储器的计算机,该计算机中的CPU等运算处理部从该存储器读出包括以下的流程图及时序的各步骤的一部分或者全部的程序并执行。这些多个装置的程序能够分别从外部安装。这些多个装置的程序分别在储存于记录介质的状态下或经由通信线路流通。
图11是确定本公开的第一实施方式所涉及的中继装置分发会话密钥时的动作过程的一例的流程图。
参照图11,首先,中继装置101等待来自车载ECU111的以太网帧(步骤S102中为“否”),若接收到以太网帧(步骤S102中为“是”),则判断接收到的以太网帧包括SOME/IP-SD消息。例如,中继装置101判断接收到的以太网帧是否包括SOME/IP-SD消息(步骤S104)。
接着,中继装置101在判断为接收到的以太网帧不包括SOME/IP-SD消息的情况下(步骤S106中为“否”),进行该以太网帧的中继处理(步骤S108)。
接着,中继装置101等待来自车载ECU111的新的以太网帧(步骤S102中为“否”)。
另一方面,中继装置101在判断为接收到的以太网帧包括SOME/IP-SD消息的情况下(步骤S106中为“是”),判断该以太网帧是否适当(步骤S110)。
接着,中继装置101在判断为接收到的以太网帧适当的情况下(步骤S112中为“是”),进行该以太网帧的中继处理等(步骤S114)。关于步骤S114的详情,将在后面叙述。
接着,中继装置101等待来自车载ECU111的新的以太网帧(步骤S102中为“否”)。
另一方面,中继装置101在判断为接收到的以太网帧不适当的情况下(步骤S112中为“否”),将该以太网帧所包括的消息的字节串、该消息所包括的ECU标识符、以及该以太网帧的接收时刻作为非法日志写入非法日志列表R1(步骤S116)。
接着,中继装置101废弃接收到的以太网帧(步骤S118),等待来自车载ECU111的新的以太网帧(步骤S102中为“否”)。
图12是确定本公开的第一实施方式所涉及的中继装置分发会话密钥时的动作过程的一例的流程图。图12示出图11中的步骤S114的详情。
参照图12,首先,中继装置101在判断为接收到的以太网帧包括Offer消息或Find消息的情况下(步骤S202中为“是”),将服务器信息或客户端信息保存在存储部25中。更详细而言,中继装置101在判断为接收到的以太网帧包括Offer消息的情况下,将从Offer消息中获取的ECU标识符及端点信息作为服务器信息保存在存储部25中。另一方面,中继装置101在判断为接收到的以太网帧包括Find消息的情况下,将从Find消息中获取的ECU标识符及端点信息作为客户端信息保存在存储部25中(步骤S204)。
接着,中继装置101进行接收到的以太网帧的中继处理(步骤S206)。
另一方面,中继装置101在判断为接收到的以太网帧包括Subscribe消息的情况下(步骤S202中为“否”且步骤S208中为“是”),将从Subscribe消息中获取的ECU标识符及端点信息作为客户端信息保存在存储部25中(步骤S210)。
接着,中继装置101决定建立服务器及客户端间的会话,生成该会话中使用的会话密钥K(步骤S212)。
接着,中继装置101将所生成的会话密钥K向参加该会话的客户端发送。更详细而言,中继装置101生成包括加密密钥KC的开始消息MC,并将包括所生成的开始消息MC的以太网帧向客户端发送(步骤S214)。
接着,中继装置101进行接收到的以太网帧的中继处理。更详细而言,中继装置101在接收到的以太网帧所包括的Subscribe消息中包括加密密钥KS,并将该以太网帧向服务器发送(步骤S216)。
接着,中继装置101将在所建立的会话中提供的服务的服务ID、作为会话密钥K的目的地的服务器及客户端的各ECU标识符、以及会话的开始时刻分别作为会话日志的“服务ID”、“ECU标识符”及“开始时刻”写入会话日志列表R2(步骤S218)。
另一方面,中继装置101在判断为接收到的以太网帧包括StopSubscribe消息或StopOffer消息的情况下(步骤S202中为“否”且步骤S208中为“否”),将该以太网帧的接收时刻te作为会话日志的“结束时刻”写入会话日志列表R2(步骤S220)。
接着,中继装置101进行接收到的以太网帧的中继处理(步骤S222)。
图13是示出本公开的第一实施方式所涉及的车载系统中的通信的时序的一例的图。图13示出具备服务器S1及客户端C1、C2的车载系统301中的通信的时序。
参照图13,首先,服务器S1将在数据字段中储存有Offer消息、且作为目的地MAC地址储存有多播地址的以太网帧向中继装置101发送(步骤S302)。
接着,中继装置101判断为从服务器S1接收到的以太网帧包括Offer消息,并判断该以太网帧是否适当。然后,中继装置101判断为该以太网帧适当,并进行该以太网帧的中继处理(步骤S304)。
接着,例如,客户端C1从经由中继装置101从服务器S1接收到的以太网帧中获取Offer消息,并判断为需要由服务器S1提供的服务。然后,客户端C1将在数据字段中储存有Subscribe消息、且作为目的地MAC地址储存有服务器S1的MAC地址的以太网帧向中继装置101发送(步骤S306)。
接着,中继装置101判断为从客户端C1接收到的以太网帧包括Subscribe消息,并判断该以太网帧是否适当。然后,中继装置101判断为该以太网帧适当,决定建立服务器S1及客户端C1间的会话,并生成该会话中使用的会话密钥K1。另外,此时,中继装置101将在所建立的会话中提供的服务的服务ID、服务器S1及客户端C1的各ECU标识符、会话的开始时刻分别作为会话日志的“服务ID”、“ECU标识符”及“开始时刻”写入会话日志列表R2(步骤S308)。
接着,中继装置101在从客户端C1接收到的以太网帧所包括的Subscribe消息中包括会话密钥K1,并将该以太网帧向服务器S1发送(步骤S310)。
另外,中继装置101生成包括会话密钥K1的开始消息MC,并将包括所生成的开始消息MC的以太网帧向客户端C1发送(步骤S312)。
接着,服务器S1例如定期地生成储存有使用会话密钥Kl加密后的会话消息的以太网帧,并经由中继装置101将所生成的以太网帧向客户端C1发送(步骤S314)。
接着,例如,客户端C2从经由中继装置101从服务器S1接收到的以太网帧中获取Offer消息,并判断为需要由服务器S1提供的服务。然后,客户端C2将在数据字段中储存有Subscribe消息、且作为目的地MAC地址储存有服务器S1的MAC地址的以太网帧向中继装置101发送(步骤S316)。
接着,中继装置101判断为从客户端C2接收到的以太网帧包括Subscribe消息,并判断该以太网帧是否适当。然后,中继装置101判断为该以太网帧适当,决定建立服务器S1及客户端C2间的会话,并生成该会话中使用的会话密钥K2。另外,此时,中继装置101将在所建立的会话中提供的服务的服务ID、服务器S1及客户端C2的各ECU标识符、以及会话的开始时刻分别作为会话日志的“服务ID”、“ECU标识符”及“开始时刻”写入会话日志列表R2(步骤S318)。
接着,中继装置101在从客户端C2接收到的以太网帧所包括的Subscribe消息中包括会话密钥K2,并将该以太网帧向服务器S1发送(步骤S320)。
另外,中继装置101生成包括会话密钥K2的开始消息MC,并将包括所生成的开始消息MC的以太网帧向客户端C2发送(步骤S322)。
接着,服务器S1例如定期地生成储存有使用会话密钥Kl加密后的会话消息的以太网帧,并经由中继装置101将所生成的以太网帧向客户端C1发送(步骤S324)。
另外,服务器S1例如定期地生成储存有使用会话密钥K2加密后的会话消息的以太网帧,并经由中继装置101将所生成的以太网帧向客户端C2发送(步骤S326)。
接着,例如,客户端C1将在数据字段中储存有StopSubscribe消息、且作为目的地MAC地址储存有服务器S1的MAC地址的以太网帧向中继装置101发送(步骤S328)。
接着,中继装置101判断为从客户端C1接收到的以太网帧包括StopSubscribe消息,并判断该以太网帧是否适当。然后,中继装置101判断为该以太网帧适当,并进行该以太网帧的中继处理。另外,此时,中继装置101将该以太网帧的接收时刻te作为会话日志的“结束时刻”写入会话日志列表R2(步骤S330)。
接着,客户端C1废弃存储部13中的会话密钥K1及服务器S1的端点信息(步骤S332)。
另外,服务器S1废弃存储部13中的会话密钥K1及客户端C1的端点信息(步骤S334)。
接着,服务器S1继续向客户端C2发送储存有会话消息的以太网帧(步骤S336)。
图14是示出本公开的第一实施方式所涉及的车载系统中的通信的时序的其他例的图。图14示出具备服务器S2、S3及客户端C1的车载系统301中的通信的时序。
参照图14,首先,客户端C1将在数据字段中储存有Find消息、且作为目的地MAC地址储存有多播地址的以太网帧向中继装置101发送(步骤S402)。
接着,中继装置101判断为从客户端C1接收到的以太网帧包括Find消息,并判断该以太网帧是否适当。然后,中继装置101判断为该以太网帧适当,并进行该以太网帧的中继处理(步骤S404)。
接着,例如,服务器S2将在数据字段中储存有Offer消息、且作为目的地MAC地址储存有客户端C1的MAC地址的以太网帧向中继装置101发送(步骤S406)。
接着,中继装置101判断为从服务器S2接收到的以太网帧包括Offer消息,并判断该以太网帧是否适当。然后,中继装置101判断为该以太网帧适当,并进行该以太网帧的中继处理(步骤S408)。
接着,客户端C1将在数据字段中储存有Subscribe消息、且作为目的地MAC地址储存有服务器S2的MAC地址的以太网帧向中继装置101发送(步骤S410)。
接着,中继装置101判断为从客户端C1接收到的以太网帧包括Subscribe消息,并判断该以太网帧是否适当。然后,中继装置101判断为该以太网帧适当,决定建立服务器S2及客户端C1间的会话,并生成该会话中使用的会话密钥K3。另外,此时,中继装置101将在所建立的会话中提供的服务的服务ID、服务器S3及客户端C1的各ECU标识符、会话的开始时刻分别作为会话日志的“服务ID”、“ECU标识符”及“开始时刻”写入会话日志列表R2(步骤S412)。
接着,中继装置101在从客户端C1接收到的以太网帧所包括的Subscribe消息中包括会话密钥K3,并将该以太网帧向服务器S2发送(步骤S414)。
另外,中继装置101生成包括会话密钥K3的开始消息MC,并将包括所生成的开始消息MC的以太网帧向客户端C1发送(步骤S416)。
接着,服务器S2例如定期地生成储存有使用会话密钥K3加密后的会话消息的以太网帧,并经由中继装置101将所生成的以太网帧向客户端C1发送(步骤S418)。
接着,例如,服务器S2将在数据字段中储存有StopOffer消息、且作为目的地MAC地址储存有客户端C1的MAC地址的以太网帧向中继装置101发送(步骤S420)。
接着,中继装置101判断为从服务器S2接收到的以太网帧包括StopOffer消息,并判断该以太网帧是否适当。然后,中继装置101判断为该以太网帧适当,并进行该以太网帧的中继处理。另外,此时,中继装置101将该以太网帧的接收时刻te作为会话日志的“结束时刻”写入会话日志列表R2(步骤S422)。
接着,服务器S2废弃存储部13中的会话密钥K3及客户端C1的端点信息(步骤S424)。
另外,客户端C1废弃存储部13中的会话密钥K3及服务器S1的端点信息(步骤S426)。
需要说明的是,在本公开的第一实施方式所涉及的车载系统301中,服务器是在通过多播向多个客户端发送信息的状态下,在检测到车载系统301中的异常的情况下,切换为通过单播向多个客户端发送信息的状态的结构,但并不限定于此。服务器也可以是不切换为通过单播向多个客户端发送信息的状态的结构。另外,服务器也可以是通过单播向多个客户端发送信息,但无法通过多播发送信息的结构。
另外,在本公开的第一实施方式所涉及的车载系统301中,中继装置101与车载ECU111是不经由其他中继装置而连接的结构,但并不限定于此。中继装置101与车载ECU111也可以是经由其他中继装置而连接的结构。在这种情况下,例如,该其他中继装置将从与该其他中继装置连接的车载ECU111接收到的所有以太网帧中继到中继装置101。
另外,在本公开的第一实施方式所涉及的中继装置101中,处理部23是经由中继部22将使用固有ID作为加密密钥加密后的会话密钥K向具有该固有ID的车载ECU111发送的结构,但并不限定于此。处理部23也可以是经由中继部22将未加密的会话密钥K向车载ECU111发送的结构。
另外,在本公开的第一实施方式所涉及的中继装置101中,处理部23是经由中继部22将使用固有ID和会话密钥K计算出的散列值HV向具有该固有ID的车载ECU111发送的结构,但并不限定于此。处理部23也可以是不将散列值HV向车载ECU111发送的结构。
另外,本公开的第一实施方式所涉及的中继装置101是具备日志生成部24的结构,但并不限定于此。中继装置101也可以是不具备日志生成部24的结构。
另外,在本公开的第一实施方式所涉及的中继装置101中,日志生成部24是将会话的开始时刻及结束时刻写入会话日志列表R2的结构,但并不限定于此。日志生成部24也可以是将在会话中提供的服务的服务ID、参加会话的服务器的ECU标识符、以及参加会话的客户端的ECU标识符写入会话日志列表R2,但不将会话的开始时刻及结束时刻中的至少任一方写入会话日志列表R2的结构。
另外,在本公开的第一实施方式所涉及的中继装置101中,处理部23是在判断为由中继部22接收到的以太网帧包括SOME/IP-SD消息的情况下,判断该以太网帧是否适当的结构,但并不限定于此。处理部23也可以是不进行包括SOME/IP-SD消息的以太网帧是否适当的判断的结构。
另外,在本公开的第一实施方式所涉及的中继装置101中,处理部23是对每个会话生成随机的内容的会话密钥K的结构,但并不限定于此。处理部23也可以是对每个会话生成规则性的内容的会话密钥K的结构。
另外,期望能够进一步提高车载网络中的安全性的技术。更详细而言,例如在进行服务指向型的通信的车载系统中,期望能够进一步提高车载网络中的安全性的技术。
对此,在本公开的第一实施方式所涉及的中继装置101中,中继部22进行将从多个车载ECU111分别接收到的多个以太网帧向目的地的车载ECU111发送的中继处理。处理部23判断由中继部22接收到的多个以太网帧是否包括开始请求以及是否包括开始响应。处理部23对每个会话生成会话中使用的会话密钥K,该会话有判断为包括开始请求的以太网帧的发送源的车载ECU111、和判断为包括开始响应的以太网帧的发送源的一个或多个车载ECU111参加。处理部23经由中继部22将所生成的会话密钥K向参加会话的各车载ECU111发送。
像这样,在中继装置101中,根据判断接收到的帧包括开始请求、以及接收到的帧包括开始响应,对每个会话生成包括开始请求的帧的发送源的车载ECU111和包括开始响应的帧的发送源的一个或多个车载ECU111参加的会话中使用的会话密钥K并向各车载ECU111发送的结构,由于能够在车载ECU111间对每个会话进行使用了单独的会话密钥K的通信,因此能够提高车载ECU111间的通信的安全性。另外,例如,通过在进行开始请求的发送源的车载ECU111及开始响应的发送源的车载ECU111的认证的基础上进行公共密钥的生成及发送,能够防止非法设备参加会话。因此,能够进一步提高车载网络中的安全性。
另外,在中继装置101中,根据处理部23在与一个服务器进行会话中的通信的客户端的数量达到规定数量的情况下,生成该服务器及多个客户端间的会话中使用的会话密钥KM,并将所生成的会话密钥KM分发给该服务器及该多个客户端的结构,在该服务器及该多个客户端中,能够进行使用了会话密钥KM的多播通信。因此,能够提高进行按照SOME/IP的消息的收发的车载网络中的安全性。
另外,根据中继装置101生成会话密钥K的结构,与中继装置101以外的管理装置接收开始请求及开始响应而进行会话密钥K的生成的结构相比,能够在车载ECU111间按照现有的规格进行开始请求及开始响应的交互,同时在中继装置101中生成会话密钥K。另外,与中继装置101以外的管理装置接收开始请求及开始响应而进行会话密钥K的生成的结构相比,能够简化硬件结构,并且不需要将包括开始请求的帧以及包括开始响应的帧从中继装置传送到管理装置,因此能够降低车载网络中的通信流量。
接着,使用附图对本公开的其他实施方式进行说明。需要说明的是,对图中相同或相当部分标注相同的附图标记,不重复其说明。
〔第二实施方式〕
本实施方式涉及车载系统302,该车载系统302与第一实施方式所涉及的车载系统301相比,作为与中继装置101不同的装置的管理装置201生成会话密钥K。以下说明的内容以外与第一实施方式所涉及的车载系统301相同。
<车载系统>
图15是示出本公开的第二实施方式所涉及的车载系统的结构的图。参照图15,车载系统302与车载系统301相比,代替中继装置101而具备中继装置102,进一步具备管理装置201。车载ECU111及中继装置102是车载装置的一例。车载系统302搭载于车辆1。管理装置201用于车载系统302。
中继装置102经由线缆14与管理装置201及各车载ECU111连接。管理装置201、车载ECU111及中继装置102构成车载网络。
中继装置102例如是中央网关(Central Gateway:CGW),能够与管理装置201及车载ECU111进行通信。中继装置102例如进行对在与不同的线缆14连接的多个车载ECU111间交互的信息、在车载ECU111与管理装置201之间交互的信息进行中继的中继处理。以下,在没有特别说明的情况下,车载ECU111间的通信、以及管理装置201与车载ECU111之间的通信经由中继装置102进行。
(Offer消息)
例如,某车载ECU111作为服务器定期或不定期地将包括与自身能够提供的服务对应的服务ID的Offer消息向管理装置201发送。该Offer消息是会话的开始请求的一例。
管理装置201从服务器接收Offer消息,并判断接收到的Offer消息是否适当。管理装置201在判断为接收到的Offer消息不适当的情况下,废弃该Offer消息。另一方面,管理装置201在判断为接收到的Offer消息适当的情况下,将Offer消息向多个车载ECU111多播。
从管理装置201接收到Offer消息的多个车载ECU111中,需要与Offer消息所包括的服务ID对应的服务的车载ECU111作为客户端将表示请求服务的Subscribe消息向管理装置201发送。该Subscribe消息是针对会话的开始请求的开始响应的一例。
管理装置201在从客户端接收到Subscribe消息的情况下,决定建立服务器及客户端间的会话。然后,管理装置201生成该会话中使用的、该会话所固有的会话密钥K。即,管理装置201按每个会话生成该会话中使用的会话密钥K。会话密钥K是公共密钥的一例,例如是按照所使用的加密方式的密钥长度的随机数。例如,管理装置201对每个会话生成随机的内容的会话密钥K。管理装置201将所生成的会话密钥K向参加会话的服务器及客户端发送。
(Find消息)
例如,某车载ECU111作为客户端定期或不定期地将包括与要接受提供的服务对应的服务ID的Find消息向管理装置201发送。该Find消息是会话的搜索请求的一例。
管理装置201从客户端接收Find消息,并判断接收到的Find消息是否适当。管理装置201在判断为接收到的Find消息不适当的情况下,废弃该Find消息。另一方面,管理装置201在判断为接收到的Find消息适当的情况下,将Find消息向多个车载ECU111多播。
从管理装置201接收到Find消息的多个车载ECU111中,能够提供与Find消息所包括的服务ID对应的服务的车载ECU111作为服务器将表示能够提供服务的Offer消息向管理装置201发送。该Offer消息是针对会话的搜索请求的开始请求的一例。
管理装置201从服务器接收Offer消息,并判断接收到的Offer消息是否适当。管理装置201在判断为接收到的Offer消息不适当的情况下,废弃该Offer消息。另一方面,管理装置201在判断为接收到的Offer消息适当的情况下,将Offer消息向客户端发送。
从管理装置201接收到Offer消息的客户端将Subscribe消息向管理装置201发送。该Subscribe消息是针对会话的开始请求的开始响应的一例。
管理装置201在从客户端接收到Subscribe消息的情况下,决定建立服务器及客户端间的会话。然后,管理装置201生成该会话中使用的、该会话所固有的会话密钥K。管理装置201将所生成的会话密钥K向参加会话的服务器及客户端发送。
<车载ECU及管理装置中的处理>
图16是示出本公开的第二实施方式所涉及的管理装置的结构的图。参照图16,管理装置201具备接收部31、发送部32、处理部33、日志生成部34及存储部35。处理部33是生成部的一例。日志生成部34是记录部的一例。接收部31、发送部32、处理部33及日志生成部34例如由CPU及DSP等处理器实现。存储部35例如是非易失性存储器。
接收部31从多个车载ECU111分别接收会话的开始请求及针对该开始请求的开始响应。处理部33生成与由接收部31接收到的开始请求及开始响应相关联的会话中使用的、该会话所固有的会话密钥K。即,处理部33生成由接收部31接收到的开始请求的发送源的车载ECU111、和由接收部31接收到的开始响应的发送源的车载ECU111参加的会话中使用的会话密钥K。例如,处理部33对每个会话生成随机的内容的会话密钥K。发送部32将由处理部33生成的会话密钥K向参加该会话的各车载ECU111发送。日志生成部34记录与使用由处理部33生成的会话密钥K的会话相关的会话信息。
存储部35存储车载系统302中的各车载ECU111的固有ID。例如,存储部35存储图7所示的连接目的地列表。
(1)服务发现中的处理例1
(1-1)由服务器进行的Offer消息的发送
再次参照图5,在作为服务器的车载ECU111中,处理部12参照存储部13中的服务列表,获取与自身能够提供的服务对应的服务ID。另外,处理部12从存储部13中获取ECU标识符及自身的车载ECU111的端点信息。处理部12生成包括所获取的服务ID、ECU标识符及端点信息的Offer消息。
处理部12基于所生成的Offer消息及存储部13中的固有ID来计算MAC值。处理部12将所生成的Offer消息及计算出的MAC值向通信部11输出。
通信部11从处理部12接收Offer消息及MAC值,并将接收到的Offer消息及MAC值向管理装置201发送。
(1-2)由管理装置进行的Offer消息是否适当的判断
再次参照图16,管理装置201中的接收部31从服务器接收Offer消息及MAC值。接收部31对接收到的Offer消息附加时间戳,并将Offer消息及MAC值向处理部33输出。
处理部33从接收部31接收Offer消息及MAC值,并判断接收到的Offer消息是否适当。
更详细而言,处理部33从Offer消息中获取服务ID、车载ECU111的端点信息及ECU标识符。然后,处理部33参照存储部35中的连接目的地列表,确认作为能够参与从Offer消息中获取的服务ID所示的服务的服务器,由从Offer消息中获取的端点信息及ECU标识符确定的车载ECU111是否登记在连接目的地列表中。
作为一例,处理部33在从Offer消息中获取的服务ID、端点信息及ECU标识符分别为“0x0001”、“BBB”及“ECU_2”的情况下,判断为作为能够参与该服务ID所示的服务的服务器,由该ECU标识符及该端点信息确定的车载ECU111登记在连接目的地列表中。
另外,处理部33参照连接目的地列表,获取由从Offer消息中获取的端点信息等确定的车载ECU111的固有ID。处理部33基于Offer消息及所获取的固有ID来计算MAC值。然后,处理部33通过对照从接收部31接收到的MAC值与自身计算出的MAC值,来判断Offer消息是否被篡改。
处理部33在由从Offer消息中获取的端点信息等确定的车载ECU111登记在连接目的地列表中、且判断为Offer消息没有被篡改的情况下,判断为由接收部31接收到的Offer消息适当。另一方面,处理部33在由从Offer消息中获取的端点信息等确定的车载ECU111未登记在连接目的地列表中的情况下、或者在判断为Offer消息被篡改的情况下,判断为由接收部31接收到的Offer消息不适当。
处理部33在判断为由接收部31接收到的Offer消息适当的情况下,将从Offer消息中获取的ECU标识符及端点信息作为服务器信息保存在存储部35中。另外,处理部33将Offer消息向发送部32输出。
发送部32将从处理部33接收到的Offer消息向多个客户端多播。例如,发送部32参照存储部35中的连接目的地列表,向可能需要服务ID为“0x0001”的服务的多个客户端多播。
另一方面,处理部33在判断为由接收部31接收到的Offer消息不适当的情况下,将Offer消息向日志生成部34输出。日志生成部34记录与由处理部33判断为不适当的消息相关的信息。
存储部35存储表示由处理部33判断为不适当的消息的字节串、该消息的发送源的车载ECU111的ECU标识符、以及该消息的接收时刻的、作为非法日志的列表的非法日志列表R11。非法日志列表R11是与图8所示的非法日志列表R1相同内容的列表。
日志生成部34从处理部33接收Offer消息,获取接收到的Offer消息所包括的ECU标识符及表示接收时刻的时间戳,并将该Offer消息的字节串以及所获取的ECU标识符及接收时刻作为非法日志写入存储部35中的非法日志列表R11。然后,日志生成部34废弃Offer消息。
(1-3)由客户端进行的Subscribe消息的发送
再次参照图5,在作为客户端的车载ECU111中,通信部11从管理装置201接收Offer消息,并将接收到的Offer消息向处理部12输出。
处理部12从通信部11接收Offer消息,并从接收到的Offer消息中获取服务ID。处理部12参照存储部13中的服务列表,判断是否需要所获取的服务ID所示的服务。处理部12在判断为需要该服务的情况下,将回复指示向通信部11输出。另一方面,处理部12在判断为不需要该服务的情况下,不进行回复指示的输出。
通信部11从处理部12接收回复指示,并从存储部13中获取ECU标识符以及自身的车载ECU111的端点信息。然后,通信部11生成包括ECU标识符及端点信息的Subscribe消息,并将所生成的Subscribe消息向管理装置201发送。
(1-4)由管理装置进行的建立会话的决定
再次参照图16,管理装置201中的接收部31从客户端接收Subscribe消息,并将接收到的Subscribe消息向处理部33输出。
处理部33从接收部31接收Subscribe消息,并从接收到的Subscribe消息中获取ECU标识符及端点信息。处理部33将所获取的ECU标识符及端点信息作为客户端信息保存在存储部35中。
处理部33决定建立保存在存储部35中的服务器信息及客户端信息分别所示的服务器及客户端间的会话。处理部33在决定建立会话的情况下,生成会话密钥K并分发给服务器及客户端。
例如,处理部33在从经由发送部32将Offer消息向客户端发送起经过规定时间为止,没有经由接收部31从客户端接收到Subscribe消息的情况下,经由发送部32将表示不存在需要服务的客户端的意思的消息向服务器发送。
(1-5)由管理装置进行的会话密钥的分发
处理部33生成在决定建立的会话中使用的会话密钥K、以及作为会话密钥K的ID的密钥ID,并将所生成的会话密钥K及密钥ID分发给参加该会话的服务器及客户端。
例如,处理部33使用固有ID作为加密密钥对会话密钥K进行加密。另外,例如,处理部33计算使用固有ID和会话密钥K计算出的散列值HV。
更详细而言,处理部33通过参照存储部35中的连接目的地列表,获取服务器信息所示的服务器的固有ID,并使用所获取的固有ID作为加密密钥对会话密钥K进行加密,从而生成作为加密后的服务器用的会话密钥K的加密密钥KS。然后,处理部33将加密密钥KS及对应的密钥ID包括在从客户端接收到的Subscribe消息中,通过将该Subscribe消息和所获取的固有ID赋予规定的散列函数来计算散列值HVS。需要说明的是,处理部33也可以进一步将表示存在需要服务的客户端的意思的信息包括在该Subscribe消息中。
另外,处理部33通过参照存储部35中的连接目的地列表,获取客户端信息所示的客户端的固有ID,并使用所获取的固有ID作为加密密钥对会话密钥K进行加密,从而生成作为加密后的客户端用的会话密钥K的加密密钥KC。然后,处理部33生成包括服务器的端点信息、加密密钥KC及对应的密钥ID的开始消息MC,通过将所生成的开始消息MC和所获取的固有ID赋予规定的散列函数来计算散列值HVC。需要说明的是,处理部33也可以将表示存在能够提供服务的服务器的意思的信息包括在开始消息MC中。
处理部33将所生成的开始消息MC及Subscribe消息、以及计算出的散列值HVS、HVC向发送部32输出。
发送部32将从处理部33接收到的Subscribe消息向具有加密密钥KS的加密中使用的固有ID的服务器发送。另外,发送部32将开始消息MC向具有加密密钥KC的加密中使用的固有ID的客户端发送。另外,发送部32将散列值HVS向该服务器发送,将散列值HVC向该客户端发送。
处理部33将表示在所建立的会话中提供的服务的服务ID、作为Subscribe消息的目的地的服务器的ECU标识符、作为开始消息MC目的地的客户端的ECU标识符、以及Subscribe消息及开始消息MC的输出时刻ts的会话信息向日志生成部34输出。输出时刻ts表示由发送部32发送会话密钥K的发送时刻。
日志生成部34记录与使用由处理部33生成的会话密钥K的会话相关的会话信息。
存储部35存储表示在所建立的会话中提供的服务的服务ID、作为会话密钥K的分发目的地的服务器及客户端的各ECU标识符、会话的开始时刻及会话的结束时刻的、作为会话日志的列表的会话日志列表R12。会话日志列表R12是与图9所示的会话日志列表R12相同内容的列表。
日志生成部34从处理部33接收会话信息,并将接收到的会话信息所包括的服务ID、ECU标识符及输出时刻ts分别作为会话日志的“服务ID”、“ECU标识符”及“开始时刻”写入会话日志列表R12。
再次参照图5,在服务器中,通信部11从管理装置201接收Subscribe消息及散列值HVS并向处理部12输出。处理部12对照使用由通信部11接收到的来自管理装置201的会话密钥K和自身的固有ID计算出的散列值与由通信部11接收到的来自管理装置201的散列值HVS。
更详细而言,处理部12从通信部11接收Subscribe消息及散列值HVS,并从存储部13中获取固有ID,通过将接收到的Subscribe消息及所获取的固有ID赋予规定的散列函数来计算散列值。处理部12通过对照散列值HVS与自身计算出的散列值,来判断Subscribe消息是否被篡改。
处理部12在判断为Subscribe消息被篡改的情况下,废弃该Subscribe消息。另一方面,处理部12在判断为Subscribe消息没有被篡改的情况下,从该Subscribe消息中获取客户端的端点信息、加密密钥KS及密钥ID。然后,处理部12通过使用固有ID对该加密密钥KS进行解密来获取会话密钥K。
处理部12在过去获取的会话密钥K的密钥ID保存在存储部13中的情况下,比较存储部13中的密钥ID与新获取的密钥ID。处理部12若确认存储部13中的密钥ID与新获取的密钥ID不同,则将新获取的客户端的端点信息、会话密钥K及密钥ID保存在存储部13中。
另一方面,处理部12在存储部13中的密钥ID与新获取的密钥ID一致的情况下,经由通信部11将请求重新发送会话密钥K的意思的消息向管理装置201发送。管理装置201在接收到该消息的情况下,生成新的会话密钥K并向服务器及客户端发送。由此,在与在过去的会话中使用的会话密钥K相同的会话密钥K被分发给服务器及客户端的情况下,能够促使管理装置201重新生成会话密钥K,因此能够避免因在不同的会话中使用相同的会话密钥K而导致的安全性的降低。
另外,在客户端中,通信部11从管理装置201接收开始消息MC及散列值HVC并向处理部12输出。处理部12对照使用由通信部11接收到的来自管理装置201的会话密钥K和自身的固有ID计算出的散列值与由通信部11从管理装置201接收到的散列值HVC。
更详细而言,处理部12从通信部11接收开始消息MC及散列值HVC,并从存储部13中获取固有ID,通过将接收到的开始消息MC及所获取的固有ID赋予规定的散列函数来计算散列值。处理部12通过对照散列值HVC与自身计算出的散列值,来判断开始消息MC是否被篡改。
处理部12在判断为开始消息MC被篡改的情况下,废弃该开始消息MC。另一方面,处理部12在判断为开始消息MC没有被篡改的情况下,从该开始消息MC中获取服务器的端点信息、加密密钥KC及密钥ID。然后,处理部12通过使用固有ID对该加密密钥KC进行解密来获取会话密钥K。
处理部12在过去获取的会话密钥K的密钥ID保存在存储部13中的情况下,比较存储部13中的密钥ID与新获取的密钥ID。处理部12若确认存储部13中的密钥ID与新获取的密钥ID不同,则将新获取的服务器的端点信息、会话密钥K及密钥ID保存在存储部13中。
另一方面,处理部12在存储部13中的密钥ID与新获取的密钥ID一致的情况下,经由通信部11将请求重新发送会话密钥K的意思的消息向管理装置201发送。管理装置201在接收到该消息的情况下,生成新的会话密钥K并向服务器及客户端发送。
这里,由于在管理装置201中能够生成的不同的会话密钥K的数量是有限的,因此存在管理装置201在分发某会话密钥K后,隔开充分的时间来分发与该会话密钥K相同的会话密钥K的情况。因此,服务器及客户端中的处理部12在从在存储部13中保存密钥ID起经过了充分的时间之后,将该密钥ID从存储部13中删除。
(2)服务发现中的处理例2
(2-1)由客户端进行的Find消息的发送
再次参照图5,在作为客户端的车载ECU111中,处理部12参照存储部13中的服务列表,获取与自身要接受提供的服务对应的服务ID。另外,处理部12从存储部13中获取ECU标识符及自身的车载ECU111的端点信息。处理部12生成包括所获取的服务ID、ECU标识符及端点信息的Find消息。
处理部12基于所生成的Find消息及存储部13中的固有ID来计算MAC值。处理部12将所生成的Find消息及计算出的MAC值向通信部11输出。
通信部11从处理部12接收Find消息及MAC值,并将接收到的Find消息及MAC值向管理装置201发送。
(2-2)由管理装置进行的Find消息是否适当的判定
再次参照图16,管理装置201中的接收部31从客户端接收Find消息及MAC值。接收部31对接收到的Find消息附加时间戳,并将Find消息及MAC值向处理部33输出。
处理部33从接收部31接收Find消息及MAC值,并判断接收到的Find消息是否适当。
更详细而言,处理部33从Find消息中获取服务ID、车载ECU111的端点信息及ECU标识符。然后,处理部33参照存储部35中的连接目的地列表,确认作为能够参与从Find消息中获取的服务ID所示的服务的客户端,由从Find消息中获取的端点信息及ECU标识符确定的车载ECU111是否登记在连接目的地列表中。
作为一例,处理部33在从Find消息中获取的服务ID、端点信息及ECU标识符分别为“0x0001”、“CCC”及“ECU_3”的情况下,判断为作为能够参与该服务ID所示的服务的客户端,由该ECU标识符及该端点信息确定的车载ECU111登记在连接目的地列表中。
另外,处理部33参照连接目的地列表,获取由从Find消息中获取的端点信息等确定的车载ECU111的固有ID。处理部33基于Find消息及所获取的固有ID来计算MAC值。然后,处理部33通过对照从接收部31接收到的MAC值与自身计算出的MAC值,来判断Find消息是否被篡改。
处理部33在由从Find消息中获取的端点信息等确定的车载ECU111登记在连接目的地列表中、且判断为Find消息没有被篡改的情况下,判断为由接收部31接收到的Find消息适当。另一方面,处理部33在由从Find消息中获取的端点信息等确定的车载ECU111未登记在连接目的地列表中的情况下、或者在判断为Find消息被篡改的情况下,判断为由接收部31接收到的Find消息不适当。
处理部33在判断为由接收部31接收到的Find消息适当的情况下,将从Find消息中获取的ECU标识符及端点信息作为客户端信息保存在存储部35中。另外,处理部33将Find消息向发送部32输出。
发送部32将从处理部33接收到的Find消息向多个服务器多播。例如,发送部32参照存储部35中的连接目的地列表,向能够提供服务ID为“0x0001”的服务的多个服务器多播。
另一方面,处理部33在判断为由接收部31接收到的Find消息不适当的情况下,将Find消息向日志生成部34输出。
日志生成部34从处理部33接收Find消息,获取接收到的Find消息所包括的ECU标识符及表示接收时刻的时间戳,并将该Find消息的字节串以及所获取的ECU标识符及接收时刻作为非法日志写入存储部35中的非法日志列表R11。然后,日志生成部34废弃Find消息。
(2-3)由服务器进行的Offer消息的发送
再次参照图5,在作为服务器的车载ECU111中,通信部11从管理装置201接收Find消息,并将接收到的Find消息向处理部12输出。
处理部12从通信部11接收Find消息,并从接收到的Find消息中获取服务ID。处理部12参照存储部13中的服务列表,判断是否能够提供所获取的服务ID所示的服务。处理部12在判断为能够提供该服务的情况下,将回复指示向通信部11输出。另一方面,处理部12在判断为不能提供该服务的情况下,不进行回复指示的输出。
通信部11从处理部12接收回复指示,并从存储部13中获取ECU标识符、以及自身的车载ECU111的端点信息。然后,通信部11生成包括ECU标识符及端点信息的Offer消息,并将所生成的Offer消息向管理装置201发送。
(2-4)由管理装置进行的Offer消息是否适当的判断
管理装置201与上述“(1-2)由管理装置进行的Offer消息是否适当的判断”同样地,判断从服务器接收到的Offer消息是否适当。然后,管理装置201在判断为该Offer消息适当的情况下,将该Offer消息向客户端发送。
(2-5)由客户端进行的Subscribe消息的发送
再次参照图5,作为客户端的车载ECU111与上述“(1-3)由客户端进行的Subscribe消息的发送”同样地,将Subscribe消息向管理装置201发送。
(2-6)由管理装置进行的建立会话的决定
管理装置201与上述“(1-4)由管理装置进行的建立会话的决定”同样地,决定建立会话,生成会话密钥K并分发给服务器及客户端。
(2-7)由管理装置进行的会话密钥的分发
管理装置201与上述“(1-5)由管理装置进行的会话密钥的分发”同样地,将会话密钥K及密钥ID分发给参加该会话的服务器及客户端。
另外,服务器及客户端与上述“(1-5)由管理装置进行的会话密钥的分发”同样地,获取会话密钥K。
(会话中的通信)
服务器及客户端开始使用了会话密钥K的通信的会话。
具体而言,在服务器中,处理部12使用存储部13中的会话密钥K对储存有应作为服务提供的信息的会话消息进行加密,并将加密后的会话消息向通信部11输出。通信部11将从处理部12接收到的会话消息向存储部13中端点信息所示的客户端单播。
另外,在客户端中,处理部12使用存储部13中的会话密钥K对经由通信部11从服务器接收到的会话消息进行解密,并从解密后的会话消息中获取信息。
(参加现有会话)
例如,服务器中的处理部12即使在与某客户端的会话开始后,也定期或不定期地经由通信部11将Offer消息向管理装置201发送。
管理装置201中的处理部33在服务器及客户端间的会话建立后,在经由接收部31接收到针对该服务器的Offer消息的、来自其他客户端的Subscribe消息的情况下,决定建立该服务器及该其他客户端间的会话。
即,处理部33例如在向服务器S1及客户端C1分发会话密钥K1之后,在经由接收部31接收到针对服务器S1的Offer消息的、来自客户端C2的Subscribe消息的情况下,决定建立服务器S1及客户端C2间的会话。
在这种情况下,例如,作为服务器S1及客户端C2间的会话中使用的会话密钥K,处理部33生成与分发给服务器S1及客户端C1的会话密钥K1不同的会话密钥K2,并将所生成的会话密钥K2分发给服务器S1及客户端C2。
即,处理部33对每个服务器和客户端的组合生成不同的会话密钥K并分发。
(从服务器向客户端的多播)
在车载系统302中,服务器并不限定于将会话消息向客户端单播的结构。服务器也可以是将会话消息向多个客户端多播的结构。
更详细而言,管理装置201中的处理部33在进行与一个服务器的会话中的通信的客户端的数量达到规定数量的情况下,生成作为该服务器及多个客户端间的会话中使用的会话密钥K的会话密钥KM,并将所生成的会话密钥KM分发给该服务器及该多个客户端。
即,例如处理部33在分别建立了服务器S1与客户端C1、C2之间的两个会话的状态下经由接收部31接收到针对服务器S1的Offer消息的、来自客户端C3的Subscribe消息的情况下,生成服务器S1及客户端C3间的会话中使用的会话密钥K3并分发给服务器S1及客户端C3。进而,处理部33进一步生成服务器S1及客户端C1、C2、C3间的会话中使用的会话密钥KM、以及基于服务器S1及客户端C1、C2、C3的端点信息的多播地址,并将所生成的会话密钥KM及多播地址分发给服务器S1及客户端C1、C2、C3。
若服务器S1及客户端C1、C2、C3获取了会话密钥KM及多播地址,则开始使用了会话密钥KM及多播地址的通信的会话。
再次参照图7,服务器S1具有在与客户端C1之间的会话中使用的会话密钥K1、在与客户端C2之间的会话中使用的会话密钥K2、在与客户端C3之间的会话中使用的会话密钥K3、以及在与客户端C1、C2、C3之间的会话中使用的会话密钥KM。客户端C1具备会话密钥K1、KM。客户端C2具有会话密钥K2、KM。客户端C3具有会话密钥K3、KM。
在服务器S1中,处理部12使用会话密钥KM对储存有应作为服务提供的信息的会话消息进行加密,并经由通信部11将加密后的会话消息向客户端C1、C2、C3多播。
例如,服务器S1在通过多播向客户端C1、C2、C3发送信息的状态下,在检测到车载系统302中的异常的情况下,切换为通过单播向多个客户端C1、C2、C3发送信息的状态。
作为一例,考虑劫持了客户端C1的非法设备冒充服务器S1,将使用会话密钥KM加密后的会话消息向服务器S1及客户端C2、C3多播的情况。
服务器S1中的处理部12在经由通信部11从该非法设备接收到会话消息的情况下,由于尽管自身是会话消息的发送源,但自身接收到了会话消息,因此判断为在车载系统302中发生了异常。
在这种情况下,服务器S1中的处理部12将会话消息的发送从多播切换为单播。具体而言,处理部12经由通信部11将使用会话密钥K1加密后的会话消息向客户端C1单播,经由通信部11将使用会话密钥K2加密后的会话消息向客户端C2单播,经由通信部11将使用会话密钥K3加密后的会话消息向客户端C3单播。
(来自客户端侧的会话的结束)
在客户端中,处理部12在停止接受服务的提供的情况下,使用存储部13中的会话密钥K对包括服务ID的StopSubscribe消息进行加密,并经由通信部11向管理装置201发送。另外,处理部12废弃存储部13中的会话密钥K及服务器的端点信息。
再次参照图16,在管理装置201中,接收部31从客户端接收StopSubscribe消息。接收部31对接收到的StopSubscribe消息附加时间戳并向处理部33输出。由接收部31接收到的来自客户端的StopSubscribe消息是结束请求的一例。
处理部33从接收部31接收StopSubscribe消息,并将接收到的StopSubscribe消息向发送部32输出。另外,处理部33将附加在StopSubscribe消息上的时间戳所示的接收时刻te通知日志生成部34。
发送部32基于接收部31对StopSubscribe消息的接收,将使会话结束的StopSubscribe消息向参加会话的其他车载ECU111即服务器发送。更详细而言,发送部32将从处理部33接收到的StopSubscribe消息向服务器发送。由发送部32发送的面向服务器的StopSubscribe消息是结束指示的一例。
再次参照图16,日志生成部34从处理部33接收接收时刻te的通知,并将所通知的接收时刻te作为会话日志的“结束时刻”写入会话日志列表R12。
在服务器中,处理部12从管理装置201经由通信部11接收StopSubscribe消息,并使用存储部13中的会话密钥K对接收到的StopSubscribe消息进行解密。处理部12废弃存储部13中的会话密钥K及客户端的端点信息。
(来自服务器侧的会话的结束)
在服务器中,处理部12在停止提供服务的情况下,使用存储部13中的会话密钥K对包括服务ID的StopOffer消息进行加密,并经由通信部11向管理装置201发送。另外,处理部12废弃存储部13中的会话密钥K及客户端的端点信息。
再次参照图16,在管理装置201中,接收部31从客户端接收StopOffer消息。接收部31对接收到的StopOffer消息附加时间戳并向处理部33输出。由接收部31接收到的来自服务器的StopOffer消息是结束请求的一例。
处理部33从接收部31接收StopOffer消息,并将接收到的StopOffer消息向发送部32输出。另外,处理部33将附加在StopOffer消息上的时间戳所示的接收时刻te通知日志生成部34。
发送部32随着由接收部31接收到StopOffer消息,将应结束会话的意思的StopOffer消息向参加会话的其他车载ECU111即客户端发送。更详细而言,发送部32将从处理部33接收到的StopOffer消息向客户端发送。由发送部32发送的面向客户端的StopOffer消息是结束指示的一例。
再次参照图6,日志生成部34从处理部33接收接收时刻te的通知,并将所通知的接收时刻te作为会话日志的“结束时刻”写入会话日志列表R12。
在客户端中,处理部12从管理装置201经由通信部11接收StopOffer消息,并使用存储部13中的会话密钥K对接收到的StopOffer消息进行解密。处理部12废弃存储部13中的会话密钥K及服务器的端点信息。
[动作流程]
图17是确定本公开的第二实施方式所涉及的管理装置分发会话密钥时的动作过程的一例的流程图。
参照图17,首先,管理装置201等待来自服务器的Offer消息、来自客户端的Find消息、或者来自客户端的Subscribe消息(步骤S502中为“否”)。
接着,管理装置201在接收到来自服务器的Offer消息或者来自客户端的Find消息的情况下(步骤S502中为“是”且步骤S504中为“是”),判断接收到的消息是否适当(步骤S506)。
接着,管理装置201在判断为接收到的消息不适当的情况下(步骤S508中为“否”),获取该消息所包括的ECU标识符及表示接收时刻的时间戳,并将该消息的字节串以及所获取的ECU标识符及接收时刻作为非法日志写入非法日志列表R11(步骤S510)。
接着,管理装置201废弃该消息(步骤S512),等待来自服务器或者客户端的新的消息(步骤S502中为“否”)。
另一方面,管理装置201在判断为接收到的消息适当的情况下(步骤S508中为“是”),对该消息进行多播。更详细而言,管理装置201在该消息是Offer消息的情况下,将该消息向多个客户端多播,在该消息是Find消息的情况下,将该消息向多个服务器多播(步骤S512)。
另一方面,管理装置201在接收到来自客户端的Subscribe消息的情况下(步骤S502中为“是”且步骤S504中为“否”),决定建立服务器及客户端间的会话,并生成该会话中使用的会话密钥K及密钥ID(步骤S516)。
接着,管理装置201对会话密钥K进行加密。更详细而言,管理装置201通过使用服务器的固有ID作为加密密钥对会话密钥K进行加密来生成加密密钥KS。另外,管理装置201通过使用客户端的固有ID作为加密密钥对会话密钥K进行加密来生成加密密钥KC(步骤S518)。
接着,管理装置201计算散列值(步骤S520)。
更详细而言,管理装置201将加密密钥KS包括在Subscribe消息中,通过将该Subscribe消息和服务器的固有ID赋予规定的散列函数来计算散列值HVS。另外,管理装置201生成包括加密密钥KC的开始消息MC,通过将所生成的开始消息MC和客户端的固有ID赋予规定的散列函数来计算散列值HVC。
接着,管理装置201发送会话密钥K及散列值。更详细而言,管理装置201将包括加密密钥KS的Subscribe消息及散列值HVS向服务器发送,将包括加密密钥KC的开始消息MC及散列值HVC向客户端发送(步骤S522)。
接着,管理装置201将在所建立的会话中提供的服务的服务ID、作为会话密钥K的目的地的服务器及客户端的各ECU标识符、以及会话的开始时刻分别作为会话日志的“服务ID”、“ECU标识符”及“开始时刻”写入会话日志列表R12(步骤S524)。
接着,管理装置201等待来自服务器的新的Offer消息、来自客户端的新的Find消息、或者来自客户端的新的Subscribe消息(步骤S502中为“否”)。
图18是示出本公开的第二实施方式所涉及的车载系统中的通信的时序的一例的图。
参照图18,首先,服务器S1将Offer消息向管理装置201发送(步骤S602)。
接着,管理装置201判断从服务器S1接收到的Offer消息是否适当(步骤S604)。
接着,管理装置201在判断为Offer消息适当的情况下,将Offer消息向客户端C1、C2多播(步骤S606)。
接着,例如,客户端C1从从管理装置201接收到的Offer消息中获取服务ID,判断为需要所获取的服务ID所示的服务,并将Subscribe消息向管理装置201发送(步骤S608)。
接着,管理装置201接收来自客户端C1的Subscribe消息,决定建立服务器S1及客户端C1间的会话,并生成该会话中使用的会话密钥K1(步骤S610)。另外,此时,管理装置201将在所建立的会话中提供的服务的服务ID、服务器S1及客户端C1的各ECU标识符、会话的开始时刻分别作为会话日志的“服务ID”、“ECU标识符”及“开始时刻”写入会话日志列表R12。
接着,管理装置201将所生成的会话密钥Kl包括在Subscribe消息中分发给服务器S1(步骤S612)。另外,管理装置201将所生成的会话密钥Kl包括在开始消息MC中分发给客户端C1(步骤S614)。
接着,服务器S1例如定期地将使用会话密钥Kl加密后的会话消息向客户端C1单播(步骤S616)。
接着,例如,客户端C2从从管理装置201接收到的Offer消息中获取服务ID,判断为需要所获取的服务ID所示的服务,并将Subscribe消息向管理装置201发送(步骤S618)。
接着,管理装置201接收来自客户端C2的Subscribe消息,决定建立服务器S1及客户端C2间的会话,并生成该会话中使用的会话密钥K2(步骤S620)。另外,此时,管理装置201将在所建立的会话中提供的服务的服务ID、服务器S1及客户端C2的各ECU标识符、以及会话的开始时刻分别作为会话日志的“服务ID”、“ECU标识符”及“开始时刻”写入会话日志列表R12。
接着,管理装置201将所生成的会话密钥K2包括在Subscribe消息中分发给服务器S1(步骤S622)。另外,管理装置201将所生成的会话密钥K2包括在开始消息MC中分发给客户端C2(步骤S624)。
接着,服务器S1例如定期地将使用会话密钥Kl加密后的会话消息向客户端C1单播(步骤S626)。
另外,服务器S1例如定期地将使用会话密钥K2加密后的会话消息向客户端C2单播(步骤S628)。
接着,例如,为了停止接受服务的提供,客户端C1将StopSubscribe消息向管理装置201发送(步骤S630)。
接着,管理装置201从客户端C1接收StopSubscribe消息,并将StopSubscribe消息向服务器S1发送(步骤S632)。另外,此时,管理装置201将会话的结束时刻作为会话日志的“结束时刻”写入会话日志列表R12。
接着,客户端C1废弃存储部13中的会话密钥K1及服务器S1的端点信息(步骤S634)。
另外,服务器S1废弃存储部13中的会话密钥K1及客户端C1的端点信息(步骤S636)。
接着,服务器S1继续向客户端C2单播会话消息(步骤S638)。
图19是示出本公开的第二实施方式所涉及的车载系统中的通信的时序的其他例的图。
参照图19,首先,客户端C1将Find消息向管理装置201发送(步骤S702)。
接着,管理装置201判断从客户端C1接收到的Find消息是否适当(步骤S704)。
接着,管理装置201在判断为Find消息适当的情况下,将Find消息向服务器S1、S2多播(步骤S706)。
接着,例如,服务器S1从从管理装置201接收到的Find消息中获取服务ID,判断为能够提供所获取的服务ID所示的服务,并将Offer消息向管理装置201发送(步骤S708)。
接着,管理装置201判断从服务器S1接收到的Offer消息是否适当(步骤S710)。
接着,管理装置201在判断为Offer消息适当的情况下,将Offer消息向客户端C1发送(步骤S712)。
接着,客户端C1从管理装置201接收Offer消息,并将Subscribe消息向管理装置201发送(步骤S714)。
接着,管理装置201接收来自客户端C1的Subscribe消息,决定建立服务器S1及客户端C1间的会话,并生成该会话中使用的会话密钥K3(步骤S716)。另外,此时,管理装置201将在所建立的会话中提供的服务的服务ID、服务器S1及客户端C1的各ECU标识符、以及会话的开始时刻分别作为会话日志的“服务ID”、“ECU标识符”及“开始时刻”写入会话日志列表R12。
接着,管理装置201将所生成的会话密钥Kl包括在开始消息MC中分发给客户端C1(步骤S718)。另外,管理装置201将所生成的会话密钥K3包括在Subscribe消息中分发给服务器S1(步骤S720)。
接着,服务器S1例如定期地将使用会话密钥K3加密后的会话消息向客户端C1单播(步骤S722)。
接着,例如,为了停止提供服务,服务器S1将StopOffer消息向管理装置201发送(步骤S724)。
接着,管理装置201从服务器S1接收StopOffer消息,并将StopOffer消息向客户端C1发送(步骤S726)。另外,此时,管理装置201将会话的结束时刻作为会话日志的“结束时刻”写入会话日志列表R12。
接着,服务器S1废弃存储部13中的会话密钥K3及客户端C1的端点信息(步骤S728)。
另外,客户端C1废弃存储部13中的会话密钥K3及服务器S1的端点信息(步骤S730)。
需要说明的是,代替在图19中的步骤S724中服务器S1将StopOffer消息向管理装置201发送,也可以由客户端C1将StopSubscribe消息向管理装置201发送。另外,代替在图18中的步骤S630中客户端C1将StopSubscribe消息向管理装置201发送,也可以由服务器S1将StopOffer消息向管理装置201发送。在这种情况下,管理装置201将StopOffer消息向客户端C1、C2发送。
需要说明的是,在本公开的第二实施方式所涉及的车载系统302中,服务器是在通过多播向多个客户端发送信息的状态下,在检测到车载系统302中的异常的情况下,切换为通过单播向多个客户端发送信息的状态的结构,但并不限定于此。服务器也可以是不切换为通过单播向多个客户端发送信息的状态的结构。另外,服务器也可以是通过单播向多个客户端发送信息,但无法通过多播发送信息的结构。
另外,在本公开的第二实施方式所涉及的管理装置201中,处理部33是将包括加密密钥KS的Subscribe消息及包括加密密钥KC的开始消息MC向发送部32输出的结构,但并不限定于此。处理部33也可以是将包括未加密的会话密钥K的Subscribe消息及开始消息MC向发送部32输出的结构。在这种情况下,发送部32将该Subscribe向服务器发送,将该开始消息MC向客户端发送。
另外,在本公开的第二实施方式所涉及的管理装置201中,发送部32是将散列值HVS向服务器发送,将散列值HVC向客户端发送的结构,但并不限定于此。发送部32也可以是将Subscribe消息向服务器发送,但不发送散列值HVS的结构。另外,发送部32也可以是将开始消息MC向客户端发送,但不发送散列值HVC的结构。
另外,在本公开的第二实施方式所涉及的管理装置201中,接收部31是从客户端接收StopSubscribe消息,从服务器接收StopOffer消息的结构,但并不限定于此。接收部31也可以是不接收StopSubscribe消息及StopOffer消息的结构。在这种情况下,例如,在车载系统302中,客户端代替将StopSubscribe消息向管理装置201发送,而将StopSubscribe消息向服务器发送。另外,服务器代替将StopOffer消息向管理装置201发送,而将StopOffer消息向客户端发送。
另外,本公开的第二实施方式所涉及的管理装置201是具备日志生成部34的结构,但并不限定于此。管理装置201也可以是不具备日志生成部34的结构。
另外,在本公开的第二实施方式所涉及的管理装置201中,日志生成部34是将会话的开始时刻及结束时刻写入会话日志列表R12的结构,但并不限定于此。日志生成部34也可以是将在会话中提供的服务的服务ID、作为Subscribe消息的目的地的服务器的ECU标识符、以及作为开始消息MC的目的地的客户端的ECU标识符写入会话日志列表R12,但不将会话的开始时刻及结束时刻写入会话日志列表R12的结构。
另外,在本公开的第二实施方式所涉及的管理装置201中,处理部33是对每个会话生成随机的内容的会话密钥K的结构,但并不限定于此。处理部33也可以是对每个会话生成规则性的内容的会话密钥K的结构。
另外,在本公开的第二实施方式所涉及的管理装置201中,处理部33与第一实施方式所涉及的中继装置101中的处理部23同样地,可以是进一步进行Subscribe消息是否适当的判断的结构,也可以是进一步进行StopSubscribe消息是否适当的判断的结构,也可以是进一步进行StopOffer消息是否适当的判断的结构。
另外,期望能够进一步提高车载网络中的安全性的技术。更详细而言,例如在进行服务指向型的通信的车载系统中,期望能够进一步提高车载网络中的安全性的技术。
对此,在本公开的第二实施方式所涉及的管理装置201中,接收部31从服务器接收Offer消息。另外,接收部31从客户端接收Subscribe消息。处理部33生成与由接收部31接收到的Offer消息及Subscribe消息相关联的会话中使用的、该会话所固有的会话密钥K。发送部32将由处理部33生成的会话密钥向参加会话的服务器及客户端发送。
像这样,根据从服务器接收Offer消息,从客户端接收Subscribe消息,生成会话所固有的会话密钥K并向服务器及客户端发送的结构,由于能够在服务器及客户端间对每个会话进行使用了单独的会话密钥K的通信,因此能够提高服务器及客户端间的通信的安全性。另外,例如,通过进行Offer消息的发送源的服务器及Find消息的发送源的客户端的认证,能够检测来自非法设备的Offer消息及Find消息。因此,能够进一步提高车载网络中的安全性。
另外,在管理装置201中,根据处理部33在与一个服务器进行会话中的通信的客户端的数量达到规定数量的情况下,生成该服务器及多个客户端间的会话中使用的会话密钥KM,并将所生成的会话密钥KM分发给该服务器及该多个客户端的结构,在该服务器及该多个客户端中,能够进行使用了会话密钥KM的多播通信。因此,能够提高进行按照SOME/IP的消息的收发的车载网络中的安全性。
应该认为上述实施方式在所有方面都是示例而不是限制性的。本发明的范围不是由上述说明表示,而是由权利要求书表示,意图包括与权利要求书等同的含义及范围内的所有变更。
以上的说明包括以下附记的特征。
附记1
一种车载中继装置,具备:
中继部,进行将从多个车载装置分别接收到的多个帧分别向目的地的所述车载装置发送的中继处理;
判断部,判断所述多个帧是否包括所述多个车载装置间的通信的会话的开始请求、以及是否包括针对所述开始请求的开始响应;
生成部,对每个所述会话生成所述会话中使用的公共密钥,所述会话有由所述判断部判断为包括所述开始请求的所述帧的发送源的所述车载装置、和由所述判断部判断为包括所述开始响应的所述帧的发送源的一个或多个所述车载装置参加;以及
发送部,将所述公共密钥经由所述中继部向参加所述会话的各个所述车载装置发送,
所述中继部接收包括服务ID、所述开始请求的发送源的所述车载装置的端点信息、以及所述开始请求的发送源的所述车载装置的ECU标识符的所述第一帧,
所述生成部基于所述服务ID、所述端点信息及所述ECU标识符,来判断所述第一帧是否适当,
所述中继部接收包括服务ID、所述开始响应的发送源的所述车载装置的端点信息、以及所述开始响应的发送源的所述车载装置的ECU标识符的所述第二帧,
所述生成部基于所述服务ID、所述端点信息及所述ECU标识符,来判断所述第二帧是否适当。
附记2
一种车载系统,具备:
多个车载装置;以及
车载中继装置,
所述车载中继装置进行将从所述多个车载装置分别接收到的多个帧分别向目的地的所述车载装置发送的中继处理,
作为所述多个车载装置之一的第一车载装置将包括多个所述车载装置间的通信的会话的开始请求的第一帧向所述车载中继装置发送,
作为所述多个车载装置之一的第二车载装置将包括针对所述开始请求的开始响应的第二帧向所述车载中继装置发送,
所述车载中继装置对每个所述会话生成所述会话中使用的公共密钥,并将所生成的所述公共密钥向参加所述会话的各个所述车载装置发送,所述会话有接收到的所述第一帧的发送源的所述第一车载装置、和接收到的所述第二帧的发送源的所述第二车载装置参加,
所述第一车载装置将包括服务ID、所述第一车载装置的端点信息、以及所述第一车载装置的ECU标识符的所述第一帧向所述车载中继装置发送,
所述车载中继装置基于所述服务ID、所述端点信息及所述ECU标识符,来判断所述第一帧是否适当,
所述第二车载装置将包括服务ID、所述第二车载装置的端点信息、以及所述第二车载装置的ECU标识符的所述第二帧向所述车载中继装置发送,
所述车载中继装置基于所述服务ID、所述端点信息及所述ECU标识符,来判断所述第二帧是否适当。
附记3
一种管理装置,是具备多个车载装置的车载系统中使用的管理装置,具备:
接收部,从所述车载装置接收作为所述多个车载装置中的一部分或全部的多个所述车载装置间的通信的会话的开始请求;
生成部,生成与所述开始请求相关联的所述会话中使用的、所述会话所固有的公共密钥;以及
发送部,将所述公共密钥向参加所述会话的各个所述车载装置发送,
所述接收部接收包括服务ID、所述开始请求的发送源的所述车载装置的端点信息、以及所述开始请求的发送源的所述车载装置的ECU标识符的所述开始请求,
所述生成部基于所述服务ID、所述端点信息及所述ECU标识符,来判断所述开始请求是否适当。
附记4
一种车载系统,具备:
多个车载装置;以及
管理装置,
所述车载装置将作为所述多个车载装置中的一部分或全部的多个所述车载装置间的通信的会话的开始请求向所述管理装置发送,
所述管理装置生成与接收到的所述开始请求相关联的所述会话中使用的、所述会话所固有的公共密钥,并将所生成的所述公共密钥向参加所述会话的各个所述车载装置发送,
所述车载装置将包括服务ID、自身的端点信息及自身的ECU标识符的所述开始请求向所述管理装置发送,
所述管理装置基于所述服务ID、所述端点信息及所述ECU标识符,来判断所述开始请求是否适当。
附图标记说明
1 车辆
11 通信部
12 处理部
13 存储部
14 线缆
21 通信端口
22中继部
23处理部(判断部、生成部、发送部)
24日志生成部(记录部)
25 存储部
31 接收部
32 发送部
33 处理部
34 日志生成部
35 存储部
101中继装置(车载中继装置)
102中继装置
111车载ECU(车载装置)
201 管理装置
301、302 车载系统
R1、R11非法日志列表
R2、R12会话日志列表
S1服务器
C1、C2、C3客户端。
Claims (25)
1.一种车载中继装置,具备:
中继部,进行将从多个车载装置分别接收到的多个帧分别向目的地的所述车载装置发送的中继处理;
判断部,判断所述多个帧是否包括所述多个车载装置间的通信的会话的开始请求、以及是否包括针对所述开始请求的开始响应;
生成部,对每个所述会话生成所述会话中使用的公共密钥,所述会话有由所述判断部判断为包括所述开始请求的所述帧的发送源的所述车载装置、和由所述判断部判断为包括所述开始响应的所述帧的发送源的一个或多个所述车载装置参加;以及
发送部,将所述公共密钥经由所述中继部向参加所述会话的各个所述车载装置发送。
2.根据权利要求1所述的车载中继装置,其中,
所述车载中继装置进一步具备:
存储部,存储各个所述车载装置的固有ID,
所述发送部将使用一个所述固有ID作为加密密钥进行加密后的所述公共密钥经由所述中继部向具有加密中使用的所述固有ID的所述车载装置发送。
3.根据权利要求2所述的车载中继装置,其中,
所述发送部进一步将使用一个所述固有ID和所述公共密钥计算出的散列值经由所述中继部向具有所述散列值的计算中使用的所述固有ID的所述车载装置发送。
4.根据权利要求1至3中任一项所述的车载中继装置,其中,
所述车载中继装置进一步具备:
记录部,记录与使用所述公共密钥的所述会话相关的会话信息。
5.根据权利要求4所述的车载中继装置,其中,
所述记录部记录由所述中继部发送所述公共密钥的发送时刻作为所述会话信息。
6.根据权利要求4或5所述的车载中继装置,其中,
所述判断部判断由所述中继部接收到的所述帧是否包括所述会话的结束请求,
所述记录部记录由所述中继部接收包括所述结束请求的所述帧的接收时刻作为所述会话信息。
7.根据权利要求1至6中任一项所述的车载中继装置,其中,
所述判断部根据由所述中继部接收到的所述帧包括所述开始请求或所述开始响应的判断结果,判断所述帧是否适当,
所述中继部根据所述判断部对所述帧是否适当的判断结果,进行所述帧的所述中继处理或废弃。
8.一种管理装置,是具备多个车载装置的车载系统中使用的管理装置,具备:
接收部,从多个所述车载装置分别接收作为所述多个车载装置中的一部分或全部的多个所述车载装置间的通信的会话的开始请求、以及针对所述开始请求的开始响应;
生成部,生成与所述开始请求及所述开始响应相关联的所述会话中使用的、所述会话所固有的公共密钥;以及
发送部,将所述公共密钥向参加所述会话的各个所述车载装置发送。
9.根据权利要求8所述的管理装置,其中,
所述管理装置进一步具备:
存储部,存储各个所述车载装置的固有ID,
所述发送部将使用一个所述固有ID作为加密密钥进行加密后的所述公共密钥向具有加密中使用的所述固有ID的所述车载装置发送。
10.根据权利要求9所述的管理装置,其中,
所述发送部进一步将使用一个所述固有ID和所述公共密钥计算出的散列值向具有所述散列值的计算中使用的所述固有ID的所述车载装置发送。
11.根据权利要求8至10中任一项所述的管理装置,其中,
所述接收部从所述车载装置接收所述会话的结束请求,
所述发送部基于所述接收部对所述结束请求的接收,将结束所述会话的结束指示向参加所述会话的其他所述车载装置发送。
12.根据权利要求8至11中任一项所述的管理装置,其中,
所述管理装置进一步具备:
记录部,记录与使用所述公共密钥的所述会话相关的会话信息。
13.根据权利要求12所述的管理装置,其中,
所述记录部记录由所述发送部发送所述公共密钥的发送时刻作为所述会话信息。
14.根据权利要求11所述的管理装置,其中,
所述管理装置进一步具备:
记录部,记录与使用所述公共密钥的所述会话相关的会话信息,
所述记录部记录由所述接收部接收所述结束请求的接收时刻作为所述会话信息。
15.一种车载系统,具备:
包括第一车载装置及第二车载装置的多个车载装置;以及
车载中继装置,
所述车载中继装置进行将从所述多个车载装置分别接收到的多个帧分别向目的地的所述车载装置发送的中继处理,
所述第一车载装置将包括作为所述多个车载装置中的一部分或全部的多个所述车载装置间的通信的会话的开始请求的第一帧向所述车载中继装置发送,
所述第二车载装置将包括针对所述开始请求的开始响应的第二帧向所述车载中继装置发送,
所述车载中继装置对每个所述会话生成所述会话中使用的公共密钥,并将所生成的所述公共密钥向参加所述会话的各个所述车载装置发送,所述会话有接收到的所述第一帧的发送源的所述第一车载装置和接收到的所述第二帧的发送源的所述第二车载装置参加。
16.根据权利要求15所述的车载系统,其中,
所述车载中继装置与所述第一车载装置及所述第二车载装置不经由其他中继装置而连接。
17.根据权利要求15或16所述的车载系统,其中,
所述车载装置在通过多播向多个所述车载装置发送信息的状态下,在检测到所述车载系统中的异常的情况下,切换为通过单播向多个所述车载装置发送信息的状态。
18.根据权利要求15至17中任一项所述的车载系统,其中,
所述车载中继装置具备:存储部,存储所述车载系统中的各个所述车载装置的固有ID,
所述车载中继装置进一步将使用一个所述固有ID和所述公共密钥计算出的散列值向具有所述散列值的计算中使用的所述固有ID的所述车载装置发送,
所述车载装置对照使用从所述车载中继装置接收到的所述公共密钥和自身的所述固有ID计算出的散列值与从所述车载中继装置接收到的所述散列值。
19.一种车载系统,具备:
包括第一车载装置及第二车载装置的多个车载装置;以及
管理装置,
所述第一车载装置将作为所述多个车载装置中的一部分或全部的多个所述车载装置间的通信的会话的开始请求向所述管理装置发送,
所述第二车载装置将针对所述开始请求的开始响应向所述管理装置发送,
所述管理装置生成与接收到的所述开始请求及所述开始响应相关联的所述会话中使用的、所述会话所固有的公共密钥,并将所生成的所述公共密钥向参加所述会话的各个所述车载装置发送。
20.根据权利要求19所述的车载系统,其中,
所述车载装置在通过多播向多个所述车载装置发送信息的状态下,在检测到所述车载系统中的异常的情况下,切换为通过单播向多个所述车载装置发送信息的状态。
21.根据权利要求19或20所述的车载系统,其中,
所述管理装置具备:存储部,存储所述车载系统中的各个所述车载装置的固有ID,
所述管理装置进一步将使用一个所述固有ID和所述公共密钥计算出的散列值向具有所述散列值的计算中使用的所述固有ID的所述车载装置发送,
所述车载装置对照使用从所述管理装置接收到的所述公共密钥和自身的所述固有ID计算出的散列值与从所述管理装置接收到的所述散列值。
22.一种通信管理方法,是进行将从多个车载装置分别接收到的多个帧分别向目的地的所述车载装置发送的中继处理的车载中继装置中的通信管理方法,包括:
判断所述多个帧是否包括所述多个车载装置间的通信的会话的开始请求、以及是否包括针对所述开始请求的开始响应的步骤;
对每个所述会话生成所述会话中使用的公共密钥的步骤,所述会话有判断为包括所述开始请求的所述帧的发送源的所述车载装置、和判断为包括所述开始响应的所述帧的发送源的一个或多个所述车载装置参加;以及
将所生成的所述公共密钥向参加所述会话的各个所述车载装置发送的步骤。
23.一种通信管理方法,是具备多个车载装置的车载系统中使用的管理装置中的通信管理方法,包括:
从多个所述车载装置分别接收作为所述多个车载装置中的一部分或全部的多个所述车载装置间的通信的会话的开始请求、以及针对所述开始请求的开始响应的步骤;
生成与接收到的所述开始请求及所述开始响应相关联的所述会话中使用的、所述会话所固有的公共密钥的步骤;以及
将所生成的所述公共密钥向参加所述会话的各个所述车载装置发送的步骤。
24.一种通信管理方法,是具备包括第一车载装置及第二车载装置的多个车载装置、以及进行将从所述多个车载装置分别接收到的多个帧分别向目的地的所述车载装置发送的中继处理的车载中继装置的车载系统中的通信管理方法,包括:
所述第一车载装置将包括作为所述多个车载装置中的一部分或全部的多个所述车载装置间的通信的会话的开始请求的第一帧向所述车载中继装置发送的步骤;
所述第二车载装置将包括针对所述开始请求的开始响应的第二帧向所述车载中继装置发送的步骤;以及
所述车载中继装置对每个所述会话生成所述会话中使用的公共密钥,并将所生成的所述公共密钥向参加所述会话的各个所述车载装置发送的步骤,所述会话有接收到的所述第一帧的发送源的所述第一车载装置和接收到的所述第二帧的发送源的所述第二车载装置参加。
25.一种通信管理方法,是具备包括第一车载装置及第二车载装置的多个车载装置、以及管理装置的车载系统中的通信管理方法,包括:
所述第一车载装置将作为所述多个车载装置中的一部分或全部的多个所述车载装置间的通信的会话的开始请求向所述管理装置发送的步骤;
所述第二车载装置将针对所述开始请求的开始响应向所述管理装置发送的步骤;以及
所述管理装置生成与接收到的所述开始请求及所述开始响应相关联的所述会话中使用的、所述会话所固有的公共密钥,并将所生成的所述公共密钥向参加所述会话的各个所述车载装置发送的步骤。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021-039794 | 2021-03-12 | ||
| JP2021-134479 | 2021-08-20 | ||
| JP2021134479 | 2021-08-20 | ||
| PCT/JP2021/048221 WO2022190580A1 (ja) | 2021-03-12 | 2021-12-24 | 車載中継装置、管理装置、車載システムおよび通信管理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116830522A true CN116830522A (zh) | 2023-09-29 |
Family
ID=88127931
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180093430.0A Pending CN116830522A (zh) | 2021-03-12 | 2021-12-24 | 车载中继装置、管理装置、车载系统及通信管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116830522A (zh) |
-
2021
- 2021-12-24 CN CN202180093430.0A patent/CN116830522A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1482682B1 (en) | Content distribution system | |
| US8924509B2 (en) | Automated service discovery and dynamic connection management | |
| Zhuang et al. | Cashmere: Resilient anonymous routing | |
| US8364772B1 (en) | System, device and method for dynamically securing instant messages | |
| CN1822545B (zh) | 控制前端系统与多个客户系统之间的通信的方法与系统 | |
| US11350277B2 (en) | Lattice mesh | |
| US20050111474A1 (en) | IP multicast communication system | |
| JP2004015813A (ja) | 相互認証を使用した安全な鍵交換方法およびコンピュータ読取り可能媒体 | |
| JP2001265729A (ja) | マルチキャストシステム、認証サーバ端末、マルチキャスト受信者端末管理方法、並びに記録媒体 | |
| US20030037235A1 (en) | System for signatureless transmission and reception of data packets between computer networks | |
| US20210067329A1 (en) | High availability secure network including dual mode authentication | |
| KR20060008976A (ko) | 송수신 시스템 | |
| US20050129236A1 (en) | Apparatus and method for data source authentication for multicast security | |
| JP2003509970A (ja) | パケット認証 | |
| JP2007527576A (ja) | コンテンツを配信するためのシステム、レシーバ、方法及びプログラム | |
| CN116830522A (zh) | 车载中继装置、管理装置、车载系统及通信管理方法 | |
| WO2022190580A1 (ja) | 車載中継装置、管理装置、車載システムおよび通信管理方法 | |
| CN110933615A (zh) | 一种车载终端数据传输方法 | |
| JP4181951B2 (ja) | コンテンツ配信システム | |
| EP1645071B1 (en) | Secure indirect addressing | |
| JPH07107084A (ja) | 暗号通信システム | |
| JP2004357284A (ja) | 送受信システム | |
| US8966100B1 (en) | System, device, and method for distributing access control information in a communication system | |
| CN116961932A (zh) | 一种报文验证方法及装置 | |
| CN117061277A (zh) | 一种虚拟局域网的实现方法、服务器、终端及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |