DE102016212752A1 - Kommunikations-relaisvorrichtung, kommunikationsnetzwerk; kommunikationsrelais-programm und kommunikationsrelais-verfahren - Google Patents

Kommunikations-relaisvorrichtung, kommunikationsnetzwerk; kommunikationsrelais-programm und kommunikationsrelais-verfahren Download PDF

Info

Publication number
DE102016212752A1
DE102016212752A1 DE102016212752.7A DE102016212752A DE102016212752A1 DE 102016212752 A1 DE102016212752 A1 DE 102016212752A1 DE 102016212752 A DE102016212752 A DE 102016212752A DE 102016212752 A1 DE102016212752 A1 DE 102016212752A1
Authority
DE
Germany
Prior art keywords
authentication
die
ecu
der
child
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102016212752.7A
Other languages
English (en)
Inventor
Jun Yajima
Takayuki Hasebe
Yasuhiko Abe
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of DE102016212752A1 publication Critical patent/DE102016212752A1/de
Ceased legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Small-Scale Networks (AREA)
  • Power Engineering (AREA)

Abstract

Eine Kommunikationsrelais-Vorrichtung, die zwischen einem entsprechenden Kommunikationsknoten und einem Bus in einem Kommunikationsnetzwerk gelegen ist, in welchem eine Mehrzahl von Kommunikationsknoten miteinander eine Datenkommunikation über den Bus durchführen. Eine erste Authentifikationseinheit, die konfiguriert ist, Verarbeitung einer Authentifizierung zwischen der Kommunikationsrelais-Vorrichtung und einer Verwaltungsvorrichtung, die mit dem Bus verbunden ist, durchzuführen. Ein Speicher, der konfiguriert ist, darin Identifikationsinformationsteile zu speichern, die wahrscheinlich in durch den entsprechenden Kommunikationsknoten gesendeten Daten enthalten sind. Eine zweite Authentifikationseinheit (234), die konfiguriert ist, eine Authentifizierungsverarbeitung anhand eines Ergebnisses des Vergleichens von Identifikationsinformation, die in durch den entsprechenden Kommunikationsknoten gesendeten Daten enthalten ist, mit den Identifikationsinformationsteilen, die im Speicher gespeichert sind, durchzuführen. Eine Berichtseinheit, die konfiguriert ist, an die Verwaltungsvorrichtung ein Ergebnis der durch die zweite Authentifikationseinheit (234) durchgeführten Authentifizierung zu berichten, wenn die durch die erste Authentifikationseinheit durchgeführte Authentifizierungsverarbeitung erfolgreich gewesen ist.

Description

  • GEBIET
  • Die hierin diskutierten Ausführungsformen beziehen sich auf eine Steuerung einer Kommunikation zwischen Kommunikationsvorrichtungen.
  • HINTERGRUND
  • Eine Netzwerk-Technologie, die ein CAN (Controller Area Network, Steuerungsbereichsnetzwerk) genannt wird, kann verwendet werden, um Senden und Empfangen von Daten zwischen Vorrichtungen durchzuführen, die für ein Bordnetzwerk eines Fahrzeugs oder eine Fabrikautomatisierung eines Fahrzeugs verwendet werden. Ein System, in welchem das CAN verwendet wird, beinhaltet eine Mehrzahl von ECUs (elektronischen Steuereinheiten). Die ECUs kommunizieren miteinander durch Durchführen von Senden und Empfangen einer Nachricht. Eine Nachricht, die für eine CAN-Kommunikation verwendet wird, beinhaltet Identifikationsinformation (ID) über diese Nachricht. Weiter weist jede der ECUs darin eine ID einer zu empfangenden Nachricht gespeichert auf. Eine Nachricht wird rundgefunkt (Broadcast) und jede der ECUs empfängt eine Nachricht, die eine eingestellte ID beinhaltet, verwirft aber eine Nachricht, die eine ID enthält, die nicht eingestellt ist, empfangen zu werden.
  • Bezüglich eines Netzwerks, das ein CAN ist, ist eine Technologie bekannt, die Daten einer Fahrzeugsteuervorrichtung, die ein Fahrzeug steuert, wieder schreibt. Ein Fahrzeug wird mit einer Vorrichtung zum Steuern des Sendens von zum Neuschreiben verwendeter Daten ausgerüstet, wobei die Vorrichtung einen Sendezustand von an einen CAN-Bus gesendeten Daten überwacht und an den CAN-Bus einen Datenrahmen von zum Neuschreiben verwendeten Daten gemäß dem überwachten Übertragungszustand der Daten sendet (siehe beispielsweise Patentdokument 1).
  • Eine Technologie ist bekannt, die es einem Fahrzeug gestattet, eine Authentifizierungs-Verarbeitung so durchzuführen, dass die Gültigkeit einer externen Vorrichtung wie etwa einer Wartungsvorrichtung bestimmt wird, die einen Zugriff auf eine Elektroniksteuervorrichtung des Fahrzeugs macht. Entsprechend einem Ergebnis der Bestimmung bestimmt das Fahrzeug einen Bereich, in welchem der Wartungsvorrichtung gestattet wird, auf die Elektroniksteuervorrichtung zuzugreifen. Dies hindert die externe Vorrichtung daran, ungewollten Zugriff auf die Elektroniksteuervorrichtung des Fahrzeugs durchzuführen (siehe beispielsweise Patentdokument 2).
  • Es ist eine Technologie bekannt, welche das Auftreten eines unangenehmen Ereignisses verhindert, das durch eine Kommunikation verursacht werden kann, die zwischen einer externen Vorrichtung und einem Fahrzeugkommunikationssystem durchgeführt wird. Eine indirekte Route ist als eine Kommunikationsroute vorgesehen, die zu dem Fahrzeugkommunikationssystem führt. Die indirekte Route ist mit einem Schalter versehen, der einen Upstream mit einem Downstream verbindet oder eine Verbindung zwischen ihnen blockiert. Der Schalter wird gesteuert, mit der indirekten Route zu verbinden, wenn eine Indirekt-Routenverbindungs-Anfrage aus einem zulässigen externen Werkzeug empfangen wird, und in anderen Fällen die indirekte Route zu blockieren (siehe beispielsweise Patentdokument 3).
  • Es ist eine Fahrzeugsteuervorrichtung bekannt, die eine an ein Bord-Kommunikationsnetzwerk gesendete böswillige Nachricht bei einer niedrigeren Verarbeitungslast detektiert. In Bezug auf eine zu sendende Nachricht führt die Vorrichtung eine nachrichtenbezogene Verarbeitung durch, die eine Gültigkeitsbestimmung beinhaltet, auf der Basis davon, ob ein in der zu sendenden Nachricht enthaltener Identifizierer zu einem Identifizierer der Nachricht konsistent ist. Während die nachrichtenbezogene Verarbeitung in Bezug auf eine durch eine andere Steuervorrichtung gesendete Nachricht durchgeführt wird, führt die Vorrichtung eine Steuerung durch, die nicht die nachrichtenbezogene Verarbeitung in Bezug auf eine durch sie selbst gesendete Nachricht durchführt (siehe beispielsweise Patentdokuemnt 4).
    • Patentdokument 1: Japanische Patentoffenlegungsschrift Nr. 2010-178035
    • Patentdokument 2: Internationale Patentveröffentlichung Nr. WO 2009/147734
    • Patentdokument 3: Japanische Patentoffenlegungsschrift Nr. 2015-5824
    • Patentdokument 4: Japanische Patentoffenlegungsschrift Nr. 2015-65546
  • ZUSAMMENFASSUNG
  • In einem Aspekt ist es eine Aufgabe der vorliegenden Erfindung, ein Verfahren bereitzustellen, welches es ermöglicht, den Kommunikationsknoten zu identifizieren, der böswillig ersetzt worden ist.
  • Eine Kommunikationsrelais-Vorrichtung ist zwischen einem entsprechenden Kommunikationsknoten und einem Bus in einem Kommunikationsnetzwerk gelegen, in welchem eine Mehrzahl von Kommunikationsknoten wechselseitig Datenkommunikation über den Bus durchführen. Die Kommunikationsrelais-Vorrichtung beinhaltet eine erste Authentifikationseinheit, einen Speicher, eine zweite Authentifikationseinheit und eine Berichtseinheit. Die erste Authentifikationseinheit führt eine Verarbeitung einer Authentifizierung zwischen der Kommunikationsrelais-Vorrichtung und einem Verwaltungsvorrichtung, die mit dem Bus verbunden ist, durch. Der Speicher speichert in sich Identifikationsinformationsteile, die wahrscheinlich in durch den entsprechenden Kommunikationsknoten gesendeten Daten enthalten sind. Die zweite Authentifikationseinheit führt eine Authentifizierungsverarbeitung gemäß einem Ergebnis des Vergleichs von in der durch den entsprechenden Knoten gesendeten Daten enthaltenen Identifikationsinformation mit den Identifikationsinformationsteilen, die im Speicher gespeichert sind, durch. Die Berichtseinheit berichtet an die Verwaltungsvorrichtung ein Ergebnis der durch die zweite Authentifikationseinheit durchgeführten Authentifizierung, wenn die durch die erste Authentifikationseinheit durchgeführte Authentifizierungsverarbeitung erfolgreich war.
  • KURZE BESCHREIBUNG VON ZEICHNUNGEN
  • 1 ist ein Diagramm, das ein Beispiel eines CAN illustriert, das eine Mehrzahl von ECUs beinhaltet, die alle mit einem Detektor versehen sind;
  • 2A ist ein Diagramm, das ein Beispiel eines Systems gemäß einer ersten Ausführungsform illustriert;
  • 2B ist ein Diagramm, welches das Beispiel des Systems gemäß der ersten Ausführungsform illustriert;
  • 3 ist ein Diagramm, welches ein Beispiel einer Hardware-Konfiguration illustriert.
  • 4 ist ein Flussdiagramm, das ein Beispiel einer Verarbeitung illustriert, die durch eine Elternvorrichtung gemäß der ersten Ausführungsform durchgeführt wird;
  • 5 ist ein Flussdiagramm, das ein Beispiel einer Verarbeitung illustriert, die durch eine Kindvorrichtung gemäß der ersten Ausführungsform durchgeführt wird;
  • 6 ist ein Diagramm, das Beispiele der Kindvorrichtung und der Elternvorrichtung gemäß einer zweiten Ausführungsform illustriert; und
  • 7 ist ein Flussdiagramm, das ein Beispiel einer Verarbeitung illustriert, welche durch die Kindvorrichtung gemäß der zweiten Ausführungsform durchgeführt wird.
  • BESCHREIBUNG VON AUSFÜHRUNGSFORMEN
  • Es wird angenommen, dass in einem CAN ein bestimmter Kommunikationsknoten (ECU) durch böswillige Dritte durch einen anderen Kommunikationsknoten (ECU) ersetzt worden ist. Der Austausch-Kommunikationsknoten sendet Daten, die eine Vortäusch-ID aufweisen, das heißt eine Nachricht, die eine durch einen anderen Kommunikationsknoten zu sendende ID aufweist, und die Daten treffen an allen Kommunikationsknoten ein. Ein Kommunikationsknoten der eine ID empfangen sollte, die durch die Vortäusch-ID vorgetäuscht wurde, empfängt diese Daten, was dazu führen kann, eine unbeabsichtigte Situation zu verursachen.
  • Es wird ein Verfahren als Schutz gegen die oben beschriebene Attacke erwogen, wobei das Verfahren beinhaltet das Registrieren, in jedem Kommunikationsknoten, von IDs, welche der Kommunikationsknoten selbst wahrscheinlich sendet, und Vergleichen einer in den empfangenen Daten enthaltenen ID mit den registrierten IDs. Wenn aus einem anderen Kommunikationsknoten empfangene Daten eine der IDs beinhalten, die ein bestimmter Kommunikationsknoten wahrscheinlich sendet, kann der bestimmte Kommunikationsknoten erkennen, dass ein böswilliger Kommunikationsknoten einen der anderen Kommunikationsknoten ersetzt hat und den bestimmten Kommunikationsknoten vortäuscht.
  • Jedoch ist es bei dem oben beschriebenen Schutz möglich, die Existenz eines ausgetauschten Kommunikationsknotens zu detektieren, jedoch nicht möglich, den Kommunikationsknoten zu identifizieren, der ausgetauscht worden ist. Es ist vorzugsweise möglich, zu bestätigen, welcher der Kommunikationsknoten ausgetauscht worden ist, vorzugsweise als integrierte Information.
  • In einem Aspekt ist es eine Aufgabe der vorliegenden Erfindung, ein Verfahren bereitzustellen, welches es ermöglicht, einen Kommunikationsknoten zu identifizieren, der böswillig ausgetauscht worden ist.
  • Ausführungsformen der vorliegenden Erfindung werden nunmehr im Detail unter Bezugnahme auf die Zeichnungen beschrieben.
  • 1 ist ein Diagramm, das ein Beispiel eines CAN illustriert, das eine Mehrzahl von ECUs beinhaltet, die alle mit einem Detektor versehen sind. Ein System 1001 beinhaltet ein CAN 101 und ECUs 111 (111a bis 111f). Die ECUs 111a bis 111g sind miteinander über das CAN 101 verbunden. Dies gestattet den ECUs, wechselseitig Senden und Empfangen einer Nachricht durchzuführen. Die ECUs 111a bis 111f sind in ihrem mit dem CAN 101 verbundenen Schnittstellen mit Detektoren 112a (entsprechend der ECU 111a) bis 112f (entsprechend der ECU 111f) jeweils versehen. Der Detektor hält eine ID einer durch die ECU gesendeten Nachricht als einer Weißliste (white list). In diesem Fall kann jede der ECUs eine Mehrzahl von Nachrichtentypen senden und ist eine ID eingestellt, die jedem Typ einer Nachricht entspricht. Es wird angenommen, dass verschiedene ECUs keine Nachrichten mit derselben ID im System 1001 senden. Der Detektor detektiert eine Anomalie, wenn er eine Nachricht empfängt, die eine der IDs einer Mehrzahl von Nachrichtentypen beinhaltet, die wahrscheinlich durch seine ECU zu senden sind. Weiter kann der Detektor detektieren, dass eine Anomalie im System 1001 existiert, wenn er eine der IDs einer Mehrzahl von Nachrichtentypen empfängt, die wahrscheinlich durch eine ECU zu senden sind.
  • Ein System 1002 ist ein Beispiel eines Systems, in welchem die ECU 111b des Systems 1001 böswillig von Jemandem durch eine ECU 111g ersetzt worden ist. Das CAN 101, die ECU 111a und die ECUs 111c bis 111f im System 1002 ähneln jenen im System 1001. Eine Nachricht, die eine der IDs einer Mehrzahl von Nachrichtentypen enthält, die wahrscheinlich durch die ECU 111a zu senden sind, wird an die ECU 111g gesendet. Wenn die ECU 111g die Nachricht sendet, trifft die Nachricht an der ECU 111a an und den ECUs 111c bis 111f. Dann kann der Detektor 112a der ECU 111a eine Anomalie detektieren, weil die Nachricht, die eine der IDs der Mehrzahl von Nachrichtentypen beinhaltet, die wahrscheinlich durch seine ECU 111 zu senden sind, empfangen wird.
  • Im System 1002 von 1, wenn eine Nachricht empfangen wird, die eine der IDs der Mehrzahl von Nachrichtentypen enthält, welche die ECU 111a selbst wahrscheinlich sendet, kann die ECU 111a detektieren, dass eine der ECUs 111 im System 1002 durch Jemanden ausgetauscht worden ist. Jedoch ist es im System 1002 von 1 möglich, zu detektieren, dass eine der ECUs 111 durch Jemanden ausgetauscht worden ist, aber es ist immer noch nicht möglich, die ECU 111 (nachfolgend als ein "Kommunikationsknoten" bezeichnet) zu identifizieren, die ausgetauscht worden ist.
  • Eine Bedrohung, wie etwa ein böswilliger Austausch oder eine Fälschung einer ECU, existiert in einem Fahrzeugnetzwerk (CAN). Zwischen ECUs durchgeführte Authentifizierung kann gestatten, dass ein Problem aufgrund einer solchen Gefahr gelöst wird. Jedoch, damit die ECUs eine Authentifizierung in Bezug aufeinander durchführen, muss eine ECU so modifiziert werden, dass sie eine Funktion zur Authentifizierung beinhaltet, mit dem Ergebnis, dass die ECU nicht anwendbar ist, ohne jegliche Änderung in Bezug auf ein CAN. Somit wird ein Fahrzeugnetzwerk benötigt, das vor der Bedrohung schützen kann, ohne eine ECU zu modifizieren.
  • Somit wird gemäß den Ausführungsformen der vorliegenden Erfindung eine Authentifizierungsfunktion in einer Kindvorrichtung bereitgestellt, nicht in einer ECU. Es ist jedoch nicht möglich, die ECU zu identifizieren, die böswillig ausgetauscht worden ist, nur durch Bereitstellen der Authentifizierungsfunktion in der Kindvorrichtung. Daher ist eine Elternvorrichtung mit einer Mehrzahl von Kindvorrichtungen über ein CAN verbunden und wird eine Funktion einer Kind-Eltern-Authentifizierung eingeführt, die zwischen einer Elternvorrichtung und einer Kindvorrichtung durchgeführt wird. Eine ECU ist mit jeder Kindvorrichtung verbunden. Die Kindvorrichtung gestattet, dass es nur Daten aus einer entsprechend verbundenen (vorregistrierten) ECU gestattet wird, zum CAN hin zu passieren. Entsprechend wird eine Weißliste einer ID entsprechend einer durch die entsprechend verbundene ECU gesendete Nachricht registriert. Weiter kann die Kindvorrichtung mit Information über eine Sendeperiode einer Nachricht, die aus einer ECU gesendet wird, versehen sein.
  • In Bezug auf Daten aus der ECU, wenn Daten, die eine andere ID als in einer Weißliste registrierte IDs aufweisen, eintreffen, oder wenn eine Nachricht zu einem anderen Zeitpunkt als jenen in einer Sendeperiode einer Nachricht eintrifft, bestimmt die Kindvorrichtung, dass die ECU anormal ist. Wenn sie feststellt, dass eine Anomalie existiert, berichtet die Kindvorrichtung an die Elternvorrichtung unter Verwendung einer ID, die nicht durch irgendeine ECU verwendet wird. Dies verhindert einen Angriff (einen Austausch oder eine Fälschung einer ECU) an einem Fahrzeugnetzwerk, was einer Verwaltungsvorrichtung gestattet, den Kommunikationsknoten zu identifizieren, welcher böswillig ausgetauscht worden ist.
  • 2A und 2B sind Diagramme, die ein Beispiel eines Systems gemäß einer ersten Ausführungsform illustrieren. Ein System 2000 beinhaltet ein CAN 210, ECUs 201 (201a bis 201f), Kindvorrichtungen 202 (202a bis 202f) und eine Elternvorrichtung 220. Die Kindvorrichtungen sind miteinander über das CAN 210 verbunden. Das CAN 210 ist beispielsweise ein CAN-Bus. Weiter ist die Elternvorrichtung 220 auch mit den Kindvorrichtungen über das CAN 210 kommunikativ verbunden. Die ECUs 201a bis 201f sind jeweils mit den Kindvorrichtungen 202a (entsprechend der ECU 201a) bis 202f (entsprechend der ECU 201f) assoziiert und sind miteinander durch das CAN 210 kommunikativ verbunden. Eine Kindvorrichtung 202 ist mit einer ECU 201 auf Eins-zu-Eins-Basis über das CAN 210 verbunden.
  • 2B illustriert einen Funktionsbereich, der die Elternvorrichtung 220 und die Kindvorrichtung 202b beinhaltet, die im System 2000 von 2A enthalten sind. Die Kindvorrichtung 202b beinhaltet einen CAN-Transceiver 231, einen Speicher 232, eine erste Authentifikationseinheit 233, eine zweite Authentifikationseinheit 234, eine Steuerung 235 und einen CAN-Transceiver 236. Jede der Kindvorrichtungen 202a bis 202f, außer der Kindvorrichtung 202b, ähnelt der Kindvorrichtung 202b. Der CAN-Transceiver 231 ist eine Kommunikationsschnittstelle, welche verwendet wird, wenn die Kindvorrichtung 202b mit einer anderen Kindvorrichtung oder der Elternvorrichtung 220 über das CAN 210 kommuniziert. Der CAN-Transceiver 236 ist eine Kommunikationsschnittstelle, welche verwendet wird, wenn die Kindvorrichtung 202b mit der ECU 201b kommuniziert, die in Assoziierung mit der Kindvorrichtung 202b eingestellt ist. Der Speicher 232 speichert darin als eine Weißliste IDs einer Mehrzahl von Nachrichtentypen, die wahrscheinlich durch eine ECU 201 zu senden sind. Die Weißliste registriert darin eine ID, die zu einer Nachricht korrespondiert, die durch eine ECU gesendet wird, die auf einer Eins-zu-Eins-Basis mit einer Kindvorrichtung 202 voreingestellt ist. Die erste Authentifikationseinheit 233 kommuniziert mit der Elternvorrichtung 220, um so Verarbeitung einer Authentifizierung zwischen der Elternvorrichtung 220 und der Kindvorrichtung 202b durchzuführen. Die zweite Authentifikationseinheit 234 führt Verarbeitung einer Authentifizierung zwischen der ECU 201b, die entsprechend mit der Kindvorrichtung 202b verbunden ist, und der Kindvorrichtung 202b durch. Die Steuerung 335 steuert die Verarbeitung, die beispielsweise durch die erste Authentifikationseinheit 233 und die zweite Authentifikationseinheit 234 durchgeführt wird. Ein in der Kindvorrichtung 202b von 2B illustrierter Pfeil zeigt einen Datenfluss an.
  • Die Elternvorrichtung 220 beinhaltet einen CAN-Transceiver 221, eine erste Authentifikationseinheit 222, einen Speicher 223 und eine Steuerung 224. Der CAN-Transceiver 221 ist eine Kommunikationsschnittstelle, welche verwendet wird, wenn die Elternvorrichtung 220 mit den Kindvorrichtungen 202a bis 202f über das CAN 210 kommuniziert. Die erste Authentifikationseinheit 222 führt eine Kind-Eltern-Authentifikation zwischen sich selbst und der ersten Authentifikationseinheit 233 der Kindvorrichtung 202 durch. Der Speicher 223 speichert in sich ein Ergebnis einer Authentifizierung zwischen der Elternvorrichtung 220 und der Kindvorrichtung 202 und ein Ergebnis einer Authentifizierung zwischen einer der Kindvorrichtung 202 entsprechenden ECU 201 und der Kindvorrichtung 202. Die Steuerung 224 steuert eine durch beispielsweise die erste Authentifikationseinheit 222 durchgeführte Verarbeitung.
  • Ein Beispiel der durch die Elternvorrichtung 220 und die Kindvorrichtung 202b durchgeführten Verarbeitung gemäß der ersten Ausführungsform wird nunmehr wiederum beschrieben.
    • (A1) Eine Nachricht wird aus der ECU 201b an die Kindvorrichtung 202b gesendet.
    • (A2) Der CAN-Transceiver 236 der Kindvorrichtung 202b empfängt die aus der ECU 201b gesendete Nachricht.
    • (A3) Die zweite Authentifikationseinheit 234 startet das Durchführen der Verarbeitung einer Authentifizierung der ECU 201b. Die zweite Authentifikationseinheit 234 bestimmt, ob eine in der empfangenen Nachricht enthaltene ID in einer Weißliste enthalten ist, welche durch den Speicher 232 gehalten wird. In diesem Fall wird angenommen, dass die ECU 201b noch nicht böswillig durch eine ECU 201' ausgetauscht worden ist. Somit wird die in der aus der ECU 201b empfangenen Nachricht beinhaltete ID in der Weißliste des Speichers 232 gehalten, so dass die zweite Authentifikationseinheit 234 bestimmt, dass die Authentifizierung der ECU 201b erfolgreich gewesen ist. Die Kindvorrichtung 202 führt die Prozesse von (A1) bis (A3) wiederholt durch.
    • (A4) Die erste Authentifikationseinheit 233 der Kindvorrichtung 202b startet das Durchführen der Verarbeitung einer Kind-Eltern-Authentifizierung zwischen der Kindvorrichtung 202b und der Elternvorrichtung 220. Die Kind-Eltern-Authentifizierung kann regulär durchgeführt werden. Die Kind-Eltern-Authentifizierung wird als Vorverarbeitung durchgeführt, um an die Elternvorrichtung 220 ein Ergebnis der durch die zweite Authentifikationseinheit 234 durchgeführten Authentifizierung zu berichten. Insbesondere berichtet der CAN-Transceiver 231 an die Elternvorrichtung 220 eine Anfrage zum Durchführen einer Kind-Eltern-Authentifizierung.
    • (A5) Die erste Authentifikationseinheit 222 der Elternvorrichtung 220 führt eine Kind-Eltern-Authentifizierung in Reaktion auf die Anfrage durch. Die erste Authentifikationseinheit 222 führt erfolgreich eine Kind-Eltern-Authentifizierung zwischen der Kindvorrichtung 202b und der Elternvorrichtung 220 durch. Der CAN-Transceiver 221 berichtet ein Ergebnis der Kind-Eltern-Authentifizierung an die Kindvorrichtung 202b. Das Ergebnis der Kind-Eltern-Authentifizierung wird durch die Steuerung 224 der Elternvorrichtung 220 im Speicher 223 gespeichert.
    • (A6) Wenn es keine Probleme mit der Kind-Eltern-Authentifizierung gibt, berichtet der CAN-Transceiver 231 an die Elternvorrichtung 220 das Ergebnis der Kind-Eltern-Authentifizierung (erfolgreich) zwischen der Kindvorrichtung 202b und der ECU 201b.
    • (A7) Das aus der Kindvorrichtung 202b gesendete Authentifizierungsergebnis wird im Speicher 223 durch eine durch die Steuerung 224 der Elternvorrichtung 220 durchgeführte Steuerung gespeichert.
  • Die Prozesse von (A1) bis (A7) werden durch jede der Kindvorrichtungen 202a bis 202f und die Elternvorrichtung 220 durchgeführt. Als Ergebnis kann die Elternvorrichtung 220 ein Ergebnis einer Kind-Eltern-Authentifizierung zwischen der Elternvorrichtung 220 und jeder der Kindvorrichtungen 202a bis 202f und ein Ergebnis der Authentifizierung zwischen der Kindvorrichtung 202 und der ECU 201 entsprechend jeder der Kindvorrichtungen 202a bis 202f sammeln. Der CAN-Transceiver 231 kann als eine Berichtseinheit der Kindvorrichtung 202 arbeiten. Die durch den CAN-Transceiver 231 durchgeführte Verarbeitung wird beispielsweise durch die Steuerung 235 gesteuert. Die durch den CAN-Transceiver 221 durchgeführte Verarbeitung wird beispielsweise durch die Steuerung 224 gesteuert. Die ECU 201 kann ein Kommunikationsknoten sein. Die Anzahl von ECUs 201 und die Anzahl von Kindvorrichtungen 202 ist nicht auf jene im System 2000 von 2 beschränkt.
  • Hier wird angenommen, dass die ECU 201b böswillig durch die ECU 201' ersetzt worden ist. Ein Beispiel der Verarbeitung, welche durch die Elternvorrichtung 220 und die Kindvorrichtung 202b durchgeführt wird, wenn die ECU 201b im System 2000 durch die böswillige ECU 201' ausgetauscht worden ist, wird nunmehr wiederum beschrieben. Es wird angenommen, dass die ECU 201' eine Nachricht, die eine andere ID als diejenige einer durch die ECU 201b zu sendende Nachricht enthält, sendet, weil die ECU 201' eine böswillige Austausch-ECU ist.
    • (B1) Eine Nachricht wird aus der ECU 201' an die Kindvorrichtung 202 gesendet.
    • (B2) Der CAN-Transceiver 236 der Kindvorrichtung 202b empfängt die aus der ECU 201' gesendete Nachricht.
    • (B3) Die zweite Authentifikationseinheit 234 startet das Durchführen der Verarbeitung einer Authentifizierung der ECU 201'. Die zweite Authentifikationseinheit 234 bestimmt, ob eine in der empfangenen Nachricht enthaltene ID in einer Weißliste enthalten ist, welche durch den Speicher 232 gehalten wird. Die in der aus der ECU 201' empfangene Nachricht enthaltene ID ist nicht in der Weißliste des Speichers 232 enthalten, so dass die zweite Authentifikationseinheit 234 feststellt, dass die Authentifizierung der ECU 201' erfolglos gewesen ist.
    • (B4) Die erste Authentifikationseinheit 233 der Kindvorrichtung 202b startet das Durchführen der Verarbeitung der Kind-Eltern-Authentifizierung zwischen der Kindvorrichtung 202b und der Elternvorrichtung 220. Die Kind-Eltern-Authentifizierung kann regulär durchgeführt werden. Die Kind-Eltern-Authentifizierung wird als Vorverarbeitung durchgeführt, um an die Elternvorrichtung 220 ein Ergebnis der Authentifizierung (erfolglos), die durch die zweite Authentifikationseinheit 234 durchgeführt ist, zu berichten. Insbesondere berichtet der CAN-Transceiver 231 an die Elternvorrichtung 220 eine Anfrage zum Durchführen einer Kind-Eltern-Authentifizierung.
    • (B5) Die erste Authentifikationseinheit 222 der Elternvorrichtung 220 führt eine Kind-Eltern-Authentifizierung in Reaktion auf die Anfrage durch. Die erste Authentifikationseinheit 222 führt erfolgreich eine Kind-Eltern-Authentifizierung zwischen der Kindvorrichtung 202b und der Elternvorrichtung 220 durch. Der CAN-Transceiver 221 berichtet ein Ergebnis der Kind-Eltern-Authentifizierung an die Kindvorrichtung 202b. Das Ergebnis der Kind-Eltern-Authentifizierung wird durch die Steuerung 224 der Elternvorrichtung 220 im Speicher 223 gespeichert.
    • (B6) Wenn es keine Probleme mit der Kind-Eltern-Authentifizierung gibt, berichtet der CAN-Transceiver 231 an die Elternvorrichtung 220 das Ergebnis der Kind-Eltern-Authentifizierung (erfolglos) zwischen der Kindvorrichtung 202b und der ECU 201'.
    • (B7) Das aus der Kindvorrichtung 202b gesendete Authentifizierungsergebnis (erfolglos) wird im Speicher 223 durch eine Steuerung gespeichert, welche durch die Steuern 224 der Elternvorrichtung 220 durchgeführt wird.
  • Wenn eine ECU böswillig ersetzt worden ist, führt eine Kindvorrichtung 202 (202a bis 202f), die mit einer böswilligen ECU 201' kommuniziert, die Prozesse von (B1) bis (B7) durch. Die Elternvorrichtung 220 kann aus jeder der Kindvorrichtungen 202a bis 202f ein Ergebnis einer Authentifizierung davon sammeln, ob eine entsprechende ECU 201, die mit der Kindvorrichtung 202 selbst verbunden ist, böswillig ausgetauscht worden ist. Somit kann die Elternvorrichtung 220 die ECU 201 (Kommunikationsknoten), welche böswillig ausgetauscht worden ist, durch Sammeln der Authentifizierungsergebnisse identifizieren. Mit anderen Worten, detektiert die Kindvorrichtung 202 die ECU 201, die böswillig ausgetauscht worden ist, und berichtet die böswillig ausgetauschte ECU der Elternvorrichtung 220. Dies gestattet der Elternvorrichtung 220, die böswillige ECU zu identifizieren. Die Steuerung 224 der Elternvorrichtung 220 kann einem Anwender eine Anomalie berichten, beispielsweise durch Anzeigen, auf einem Bildschirm, der ECU 201', die als ein böswilliger Austausch festgestellt worden ist. Weiter kann die Steuerung 224 der Elternvorrichtung 220 an ein System, das außerhalb des Systems 200 lokalisiert ist, berichten, dass es eine böswillige Austausch-ECU 201' gibt. Das System 2000 beinhaltet die Kindvorrichtungen 202 und die Elternvorrichtung 220, aber die Kindvorrichtung 202 kann als "Relaisvorrichtung" bezeichnet werden und die Elternvorrichtung 220 kann als eine "Verwaltungsvorrichtung" bezeichnet werden, welche die Relaisvorrichtung und die ECU verwaltet.
  • 3 ist ein Diagramm, das ein Beispiel einer Hardware-Konfiguration illustriert. Sowohl die Elternvorrichtung 220 als auch die Kindvorrichtung 202 werden durch Hardware-Teile realisiert, die in 3 illustriert sind. Die Kindvorrichtung 202 beinhaltet einen CAN-Transceiver 301, eine CAN-Steuerung 302 und eine Verarbeitungsschaltung 303. Die Verarbeitungsschaltung 303 beinhaltet einen Prozessor 304 und einen Speicher 305.
  • Der CAN-Transceiver 301 führt Verarbeitung für die Kindvorrichtung 202 durch, um mit einer anderen Vorrichtung über ein CAN-Netzwerk zu kommunizieren. Die CAN-Steuerung 302 extrahiert beispielsweise Daten und eine ID in einer empfangenen Nachricht. Die CAN-Steuerung 302 gibt die Daten an den Prozessor 304 aus. Der Prozessor 304 ist eine beliebige Verarbeitungsschaltung. Der Prozessor liest ein im Speicher 305 gespeichertes Programm aus, um die Verarbeitung durchzuführen.
  • In der Elternvorrichtung 220 wird der CAN-Transceiver 221 durch einen CAN-Transceiver 301 und die CAN-Steuerung 302 realisiert. Der Prozessor 304 arbeitet als die erste Authentifikationseinheit 222 und die Steuerung 224. Der Speicher 305 arbeitet als der Speicher 223.
  • Der CAN-Transceiver 231 und der CAN-Transceiver 236 der Kindvorrichtung 202 werden durch den CAN-Transceiver 301 und die CAN-Steuerung 302 realisiert. Der Prozessor 304 arbeitet als die erste Authentifikationseinheit 233, die zweite Authentifikationseinheit 234 und die Steuerung 235. Der Speicher 305 arbeitet als der Speicher 232.
  • <Beispiel eines Systems, das Herausforderung und Antwortverfahren gemäß erster Ausführungsform verwendet>
  • Bezug nehmend auf das Beispiel des in 2B illustrierten Systems 2000 wird nunmehr wiederum ein Beispiel der durch die Kindvorrichtung 202 und die Elternvorrichtung 220 unter Verwendung des Herausforderungs- und Antwortverfahrens durchgeführten Verarbeitung beschrieben. Es wird angenommen, dass die ECU 201b in einer Nachricht eine von drei IDs enthält, die 0 × 123, 0 × 456 und 0 × 789 sind, und die Nachricht sendet. Es wird angenommen, dass die Kindvorrichtung 202 und die Elternvorrichtung 220 einen gemeinsamen Schlüssel und einen assoziierten Algorithmus für die Authentifizierung halten. Es reicht aus, falls der gemeinsame Schlüssel und der Algorithmus zur Authentifizierung in dem Speicher 223 und dem Speicher 232 gehalten werden. In der nachfolgenden Verarbeitung bezieht sich ein "Bericht" auf eine Rundfunkkommunikation.
    • (C1) Die ECU 201b sendet an die Kindvorrichtung 202b eine Nachricht, die eine der drei IDs beinhaltet, die 0 × 123, 0 × 456 und 0 × 789 sind.
    • (C2) Der CAN-Transceiver 236 der Kindvorrichtung 202b empfängt die aus der ECU 201b gesendete Nachricht.
    • (C3) Die zweite Authentifikationseinheit 234 startet das Durchführen der Verarbeitung einer Authentifizierung der ECU 201b. Die zweite Authentifikationseinheit 234 bestimmt, ob eine in der empfangenen Nachricht enthaltene ID in einer Weißliste enthalten ist, die durch den Speicher 232 gehalten wird. Die Weißliste hält die drei IDs, die 0 × 123, 0 × 456 und 0 × 789 sind. Die zweite Authentifikationseinheit 234 vergleicht die in der empfangenen Nachricht enthaltene ID mit den in der Weißliste gehaltenen IDs und bestimmt, dass die Authentifizierung der ECU 201b erfolgreich gewesen ist. Die Kindvorrichtung 202 führt die Prozesse von (C1) bis (C3) wiederholt durch.
    • (C4) Die erste Authentifikationseinheit 233 der Kindvorrichtung 202b startet das Durchführen der Verarbeitung einer Kind-Eltern-Authentifizierung zwischen der Kindvorrichtung 202b und der Elternvorrichtung 220. Die Kind-Eltern-Authentifizierung kann regelmäßig durchgeführt werden. Beispielsweise wird eine Authentifizierung in dem Herausforderungs- und Antwortverfahren als die Kind-Eltern-Authentifizierung verwendet. Die Kind-Eltern-Authentifizierung wird als Vorverarbeitung durchgeführt, um an die Elternvorrichtung 220 ein Ergebnis der durch die zweite Authentifikationseinheit 234 durchgeführten Authentifizierung zu berichten. Die Kindvorrichtung macht eine Anfrage nach einer Elternvorrichtung, um eine Herausforderungs- und Antwort-Authentifizierung zu starten. Die erste Authentifikationseinheit 222 der Elternvorrichtung erzeugt eine Zufallszahl, welche für eine Authentifizierung in dem Herausforderungs- und Antwortverfahren in Reaktion auf eine Authentifizierungsanfrage (einschließlich einer ID, welche die Kindvorrichtung 202b (beispielsweise 0 × 2) identifiziert, die aus der Kindvorrichtung empfangen ist, verwendet wird. Der CAN-Transceiver 221 berichtet an die Elternvorrichtung 220b eine Nachricht, welche die Zufallszahl enthält, eine ID für die eine Kind-Eltern-Authentifizierung (beispielsweise 0 × 777) und die ID, welche die Kindvorrichtung 202b identifiziert (beispielsweise 0 × 2). Diese Nachricht ist eine "Herausforderung", wenn die Authentifizierung im Herausforderungs- und Antwortverfahren durchgeführt wird.
    • (C5) Wenn die, die ID für die Kind-Eltern-Authentifizierung beinhaltende Nachricht empfangen wird (0 × 777), verschlüsselt die erste Authentifikationseinheit 233 der Kindvorrichtung 202b die in der Nachricht enthaltene Zufallszahl unter Verwendung der Zufallszahl und des durch die Kindvorrichtung 202b gehaltenen gemeinsamen Schlüssels. Danach wird die verschlüsselte Zufallszahl als "verschlüsselter Text" bezeichnet und wird der Algorithmus zur Authentifizierung verwendet, um den verschlüsselten Text zu erzeugen. Der CAN-Transceiver 231 berichtet an die Elternvorrichtung 220 eine, den verschlüsselten Text enthaltende Nachricht, die ID für eine Kind-Eltern-Authentifizierung (0 × 777) und die ID, die die Kindvorrichtung 202b identifiziert (0 × 2). Diese Nachricht ist eine "Antwort", wenn eine Authentifizierung in dem Herausforderungs- und Antwortverfahren durchgeführt wird. Weiter erzeugt die erste Authentifikationseinheit 233 der Kindvorrichtung 202b eine Zufallszahl und sendet an die Elternvorrichtung 220 eine die erzeugte Zufallszahl und eine ID, welche die Kindvorrichtung 202 selbst identifiziert, enthaltende Nachricht. Weiter wird die erzeugte Zufallszahl unter Verwendung des gemeinsamen Schlüssels verschlüsselt und wird das Ergebnis gehalten.
    • (C6) Die Authentifikationseinheit 222 der Elternvorrichtung 220 bestimmt, ob ein verschlüsselter Text, welcher aus der durch den Prozess von (C4) erzeugte Zufallszahl und dem gemeinsamen Schlüssel antizipiert ist, zu dem in der Nachricht, die als eine Antwort empfangen worden ist, enthaltenen Text identisch ist. Wenn die verschlüsselten Texte identisch sind, bestimmt die erste Authentifikationseinheit 222 der Elternvorrichtung 220, dass es keine Probleme mit der Kind-Eltern-Authentifizierung gibt.
    • (C7) Die erste Authentifikationseinheit 222 der Elternvorrichtung 220 extrahiert die Zufallszahl und die ID, die die Kindvorrichtung 202 identifiziert, aus dem in der als eine Antwort empfangene Nachricht enthaltenden verschlüsselten Text. Die erste Authentifikationseinheit 222 erzeugt einen verschlüsselten Text unter Verwendung der aus der als eine Antwort empfangenen Nachricht extrahieren Zufallszahl und dem gemeinsamen Schlüssel.
    • (C8) Der CAN-Transceiver 221 berichtet an die Kindvorrichtung 202b eine Nachricht, die den verschlüsselten Text enthält, die ID für eine Kind-Eltern-Authentifizierung (0 × 777) und die ID, welche die Kindvorrichtung 202b identifiziert (0 × 2).
    • (C9) Die erste Authentifikationseinheit 233 der Elternvorrichtung 220 bestimmt, ob der in (C5) erzeugte verschlüsselte Text identisch zu dem durch die Elternvorrichtung 220 (C8) berichteten verschlüsselten Text ist. Wenn die verschlüsselten Texte identisch sind, bestimmt die erste Authentifikationseinheit 233 der Kindvorrichtung 202b, dass es keine Probleme mit der Kind-Eltern-Authentifizierung gibt. Das Authentifizierungsergebnis wird an die Elternvorrichtung berichtet. Dieser Bericht kann verschlüsselt sein.
  • In (C4) bis (C9) wird eine Kind-Eltern-Authentifizierung, die sowohl die Elternvorrichtung als auch die Kindvorrichtung authentifiziert, durch die Seite der Elternvorrichtung gestartet. Jedoch kann die Authentifizierung durch die Seite der Kindvorrichtung gestartet werden. Weiter ist ein Prozess, in welchem die Elternvorrichtung die Kindvorrichtung authentifiziert, ohne sowohl die Elternvorrichtung als auch die Kindvorrichtung zu authentifizieren, ebenfalls akzeptabel. Gleichermaßen ist auch ein Prozess akzeptabel, in welchem die Kindvorrichtung die Elternvorrichtung authentifiziert, ohne Authentifizieren sowohl der Elternvorrichtung als auch der Kindvorrichtung.
    • (C10) Die erste Authentifikationseinheit 222 der Elternvorrichtung 220 ermittelt das aus der Kindvorrichtung 202b gesendete Authentifizierungsergebnis und entschlüsselt das Authentifizierungsergebnis, das aus der Kindvorrichtung 202b gesendet wird (wenn sie verschlüsselt sind).
    • (C11) Das aus der Kindvorrichtung 202b gesendete Authentifizierungsergebnis wird im Speicher 223 durch eine durch die Steuerung 224 der Elternvorrichtung 220 durchgeführte Steuerung gespeichert.
  • Die Prozesse von (C1) bis (C11) werden durch jede der Kindvorrichtungen 202a bis 202f und die Elternvorrichtung 220 durchgeführt. Als Ergebnis kann die Elternvorrichtung 220 ein Ergebnis einer Kind-Eltern-Authentifizierung zwischen der Elternvorrichtung 220 und jeder der Kindvorrichtungen 202a bis 202f und ein Ergebnis einer Authentifizierung zwischen der Kindvorrichtung 202 und der ECU 201 entsprechend jeder der Kindvorrichtungen 202a bis 202f sammeln.
  • Als Nächstes wird angenommen, dass die ECU 201b böswillig durch die ECU 201' ersetzt worden ist. Ein Beispiel der durch die Elternvorrichtung 220 und die Kindvorrichtung 202b durchgeführten Verarbeitung, wenn die ECU 201b im System 2000 mit der böswilligen ECU 201 ausgetauscht worden ist, wird nunmehr wiederum beschrieben. Die ECU 201' sendet eine Nachricht, die eine ID enthält, die 0 × 111 ist, und versucht, andere ECUs 201 dazu zu bringen, fehlerhaft zu arbeiten.
    • (D1) Eine Nachricht wird aus der ECU 201' an die Kindvorrichtung 202 gesendet.
    • (D2) Der CAN-Transceiver 236 der Kindvorrichtung 202b empfängt eine aus der ECU 201' gesendete Nachricht.
    • (D3) Die zweite Authentifikationseinheit 234 startet das Durchführen der Verarbeitung einer Authentifizierung der ECU 201'. Die zweite Authentifikationseinheit 234 bestimmt, ob eine in der empfangenen Nachricht enthaltene ID 0 × 111 in einer Weißliste (die 0 × 123, 0 × 456 und 0 × 789) enthält, die vom Speicher 232 gehalten wird, enthalten ist. Die ID 0 × 111, die in der aus der ECU 201 empfangenen Nachricht enthalten ist, ist nicht in der Weißliste gehalten (die 0 × 123, 0 × 456 und 0 × 789 enthält) des Speichers 232, so dass die zweite Authentifikationseinheit 234 bestimmt, dass die Authentifizierung der ECU 201' erfolglos war.
    • (D4) In Beantwortung einer Authentifizierungsanfrage (einschließlich einer ID, welche die Kindvorrichtung 202b identifiziert (beispielsweise 0 × 2)), die aus der Kindvorrichtung empfangen wird, startet die erste Authentifikationseinheit 222 der Elternvorrichtung das Durchführen der Verarbeitung einer Kind-Eltern-Authentifizierung zwischen der Elternvorrichtung und der Kindvorrichtung 202b. Beispielsweise wird eine Authentifizierung in dem Herausforderungs- und Antwortverfahren als die Kind-Eltern-Authentifizierung verwendet. Die Kind-Eltern-Authentifizierung kann regulär durchgeführt werden. Die Kind-Eltern-Authentifizierung wird als Vorverarbeitung durchgeführt, um an die Elternvorrichtung 220 ein Ergebnis der Authentifizierung (erfolglos), welche durch die zweite Authentifikationseinheit 234 durchgeführt wird, zu berichten. Die erste Authentifikationseinheit 222 der Elternvorrichtung erzeugt eine für eine Authentifizierung im Herausforderungs- und Antwortverfahren verwendete Zufallszahl. Der CAN-Transceiver 221 berichtet an die Kindvorrichtung 202b eine Nachricht (eine Herausforderung), die die Zufallszahl enthält, eine ID für eine Kind-Eltern-Authentifizierung (beispielsweise 0 × 777) und die ID, welche die Kindvorrichtung 202b identifiziert (beispielsweise 0 × 2).
    • (D5) Wenn die, die ID für eine Kind-Eltern-Authentifizierung enthaltende Nachricht wird (0 × 777), verschlüsselt die erste Authentifikationseinheit 233 der Kindvorrichtung 202b die in der Nachricht enthaltene Zufallszahl unter Verwendung der Zufallszahl und des durch die Kindvorrichtung 202b gehaltenen gemeinsamen Schlüssels. Der CAN-Transceiver 231 berichtet an die Elternvorrichtung 220 eine Nachricht (eine Antwort), die den verschlüsselten Text enthält, die ID für eine Kind-Eltern-Authentifizierung (0 × 777) und die ID, welche die Kindvorrichtung 202b identifiziert (0 × 2). Weiter erzeugt die erste Authentifikationseinheit 233 der Kindvorrichtung 202b eine Zufallszahl und sendet an die Elternvorrichtung 220 eine Nachricht, die die erzeugte Zufallszahl und eine ID enthält, welche die Kindvorrichtung 202 selbst identifiziert. Weiter wird die erzeugte Zufallszahl unter Verwendung des gemeinsamen Schlüssels verschlüsselt und wird das Ergebnis gehalten.
    • (D6) Die erste Authentifikationseinheit 222 der Elternvorrichtung 220 bestimmt, ob ein verschlüsselter Text, der aus der durch den Prozess von (D4) erzeugten Zufallszahl antizipiert ist und der gehaltene gemeinsame Schlüssel identisch zu dem verschlüsselten Text ist, der in der Nachricht enthalten ist, die als eine Antwort empfangen worden ist. Wenn die verschlüsselten Texte identisch sind, bestimmt die erste Authentifikationseinheit 222 der Elternvorrichtung 220, dass es keine Probleme bei der Kind-Eltern-Authentifizierung gibt.
    • (D7) Die erste Authentifikationseinheit 222 der Elternvorrichtung 220 extrahiert die Zufallszahl und die, die Kindvorrichtung 202 identifizierende ID aus dem in der als eine Antwort empfangende Nachricht enthaltenen verschlüsselten Text. Die erste Elternvorrichtung 220 erzeugt einen verschlüsselten Text unter Verwendung der aus der als eine Antwort empfangene Nachricht extrahieren Zufallszahl und dem gemeinsamen Schlüssel.
    • (D8) Der CAN-Transceiver 221 berichtet an die Kindvorrichtung 202b eine Nachricht, die den verschlüsselten Text, die ID für eine Kind-Eltern-Authentifizierung (0 × 777) und die ID, welche die Kindvorrichtung 202b identifiziert (0 × 2) beinhaltet.
    • (D9) Die erste Authentifikationseinheit 233 der Elternvorrichtung 220 bestimmt, ob der in (D5) erzeugte verschlüsselte Text identisch zu dem durch die Elternvorrichtung 220 (D8) berichteten, verschlüsselten Text ist. Wenn die verschlüsselten Texte identisch sind, bestimmt die erste Authentifikationseinheit 233 der Kindvorrichtung 202b, dass es keine Probleme mit der Kind-Eltern-Authentifizierung gibt. Das Authentifizierungsergebnis wird an die Elternvorrichtung berichtet. Dieser Bericht kann verschlüsselt sein.
  • In (D4) bis (D) wird eine Kind-Eltern-Authentifizierung, welche sowohl die Elternvorrichtung als auch die Kindvorrichtung authentifiziert, durch die Seite der Elternvorrichtung gestartet. Jedoch kann die Authentifizierung durch die Seite der Kindvorrichtung gestartet werden. Weiter ist auch ein Prozess, in welchem die Elternvorrichtung die Kindvorrichtung authentifiziert, ohne sowohl die Elternvorrichtung als auch die Kindvorrichtung zu authentifizieren, akzeptabel. Gleichermaßen ist auch ein Prozess, in welchem die Kindvorrichtung die Elternvorrichtung authentifiziert, ohne sowohl die Elternvorrichtung als auch die Kindvorrichtung zu authentifizieren, akzeptabel.
    • (D10) Die erste Authentifikationseinheit 222 der Elternvorrichtung 220 ermittelt das gesendete Ergebnis der durch die zweite Authentifikationseinheit 234 der Kindvorrichtung 202b durchgeführte Authentifizierung durch Durchführen von Entschlüsselung (wenn es verschlüsselt ist).
    • (D11) Das aus der Kindvorrichtung 202b gesendete Authentifizierungsergebnis wird im Speicher 223 durch eine durch die Steuerung 224 der Elternvorrichtung 220 durchgeführte Steuerung gespeichert.
  • Wenn eine ECU 201 böswillig ausgetauscht worden ist, führt eine Kindvorrichtung 202 (202a bis 202f), die mit einer böswilligen ECU 201' kommuniziert, die Prozesse von (D1) bis (D11) durch. Die Elternvorrichtung 220 kann aus jeder der Kindvorrichtungen 202a bis 202f ein Ergebnis einer Authentifizierung davon sammeln, ob eine entsprechende ECU 201, die mit der Kindvorrichtung 202 selbst verbunden ist, böswillig ausgetauscht worden ist. Somit kann die Elternvorrichtung 220 die ECU 201 (Kommunikationsknoten), die böswillig ausgetauscht worden ist, durch Sammeln der Authentifizierungsergebnisse identifizieren. Mit anderen Worten detektiert die Kindvorrichtung 202 selbst die ECU 201, die böswillig ausgetauscht worden ist, was der Elternvorrichtung 220 gestattet, die böswillig ausgetauschte ECU 201 zu identifizieren. Bei der Kind-Eltern-Authentifizierung in dem Herausforderungs- und Antwortverfahren kann die Seite der Kindvorrichtung 202b eine Zufallszahl erzeugen und nur die Elternvorrichtung authentifizieren, oder können sowohl die Elternvorrichtung 220 als auch die Kindvorrichtung 202b Zufallszahlen erzeugen und wechselseitig authentifizieren.
  • 4 ist ein Flussdiagramm, das ein Beispiel der durch die Elternvorrichtung gemäß der ersten Ausführungsform durchgeführte Verarbeitung illustriert. Die erste Authentifikationseinheit 222 der Elternvorrichtung 220 führt eine Eltern-Kind-Authentifizierung durch (Schritt S101). Ein Ergebnis der Kind-Eltern-Authentifizierung wird im Speicher 223 durch eine durch die Steuerung 224 der Elternvorrichtung 220 durchgeführte Steuerung gespeichert (Schritt S102). Die Steuerung 224 bestimmt, ob es irgendwelche Probleme mit der Kind-Eltern-Authentifizierung gibt (Schritt S103). Wenn es keine Probleme mit der Kind-Eltern-Authentifizierung gibt (NEIN im Schritt S103), ermittelt die erste Authentifikationseinheit 222 der Elternvorrichtung 220 ein Ergebnis einer Authentifizierung zwischen der ECU 201 und der Kindvorrichtung 202 durch den CAN-Transceiver 221 (Schritt S104). Das Ergebnis der Authentifizierung zwischen der ECU 201 und der Kindvorrichtung 202 wird im Speicher 223 durch eine durch die Steuerung 224 der Elternvorrichtung 220 durchgeführte Steuerung gespeichert (Schritt S105). Die Steuerung 224 bestimmt, ob es irgendwelche Probleme mit der Authentifizierung zwischen der ECU 201 und der Kindvorrichtung 202 gibt (Schritt S106). Wenn es eine Anomalie bei der Kind-Eltern-Authentifizierung gibt (JA in Schritt S103) oder wenn es eine Anomalie bei der Authentifizierung zwischen der ECU 201 und der Kindvorrichtung 202 gibt (JA in Schritt S106), berichtet die Steuerung 224, dass die Elternvorrichtung 220 eine Anomalie in einer Vorrichtung detektiert hat, mit welcher sie kommunizieren kann (Schritt S107). Wenn der Prozess von Schritt S106 oder Schritt S107 beendet wird, wird die durch die Elternvorrichtung 220 gemäß der ersten Ausführungsform durchgeführte Verarbeitung beendet. Die Elternvorrichtung 220 führt die Prozesse von Schritten S101 bis S107 für jede der Kindvorrichtungen 202a bis 202f durch. Weiter wird die Verarbeitung regulär durchgeführt.
  • 5 ist ein Flussdiagramm, das ein Beispiel der durch die Kindvorrichtung gemäß der ersten Ausführungsform durchgeführte Verarbeitung illustriert. Der CAN-Transceiver 236 empfängt eine aus der ECU 201 gesendete Nachricht (Schritt S201). Die zweite Authentifikationseinheit 234 der Kindvorrichtung 202 bestimmt, ob eine in der Nachricht enthaltene ID in einer Weißliste enthalten ist, welche durch den Speicher 232 gehalten wird (Schritt S202). Die erste Authentifikationseinheit 233 der Kindvorrichtung 202 führt eine Kind-Eltern-Authentifizierung zwischen der Kindvorrichtung 202 und der Elternvorrichtung 220 durch (Schritt S203). Wenn die Kindvorrichtung die Elternvorrichtung authentifizieren muss, berichtet der CAN-Transceiver 231 ein Ergebnis der Kind-Eltern-Authentifizierung an die Elternvorrichtung 220 (Schritt S204). Der CAN-Transceiver 231 berichtet ein Ergebnis der Authentifizierung zwischen der ECU 201 und der Kindevorrichtung 202 (ein in Schritt S202 ermitteltes Ergebnis) an die Elternvorrichtung 220 (Schritt S205). Die Prozesse von Schritt S204 und Schritt S205 können parallel oder sequentiell durchgeführt werden. Die Verarbeitung von 5 wird jedes Mal durchgeführt, wenn die Kindvorrichtung 202 eine Nachricht aus der ECU 201 empfängt.
  • In der Verarbeitung von 4 und der Verarbeitung von 5 kann die Elternvorrichtung 220 aus jeder der Kindvorrichtungen 202a bis 202f ein Ergebnis einer Authentifizierung davon, ob eine entsprechende ECU 201, die mit der Kindvorrichtung 202 selbst verbunden ist, böswillig ausgetauscht worden ist, sammeln. Somit kann die Elternvorrichtung 220 die ECU 201 (Kommunikationsknoten) der böswillig ausgetauscht worden ist, durch Sammeln der Authentifizierungsergebnisse identifizieren. Mit anderen Worten detektiert die Kindvorrichtung 202 die ECU 201, die böswillig ausgetauscht worden ist, und berichtet die böswillig ausgetauschte ECU 201 an die Elternvorrichtung 220, so dass die Elternvorrichtung 220 sie identifizieren kann. Die Steuerung 224 der Elternvorrichtung 220 kann eine Anomalie einem Anwender berichten, beispielsweise durch eine böswillige Austausch-ECU 201'. Weiter kann die Steuerung 224 der Elternvorrichtung 220 einem außerhalb des Systems 2000 lokalisierten System mitteilen, dass eine böswillige Austausch-ECU 201' existiert.
  • 6 ist ein Diagramm, das Beispiele der Kindvorrichtung und der Elternvorrichtung gemäß einer zweiten Ausführungsform illustriert. Eine Blockkonfiguration der Kindvorrichtung 202 und der Elternvorrichtung 220 der zweiten Ausführungsform ähnelt derjenigen der Kindvorrichtung 202 und der Elternvorrichtung 220 der ersten Ausführungsform in 2B. Somit werden in 6 gleiche Bezugszeichen verwendet, welche dieselben Elemente wie in 2B repräsentieren. In der Kindvorrichtung 202b von 6 unterscheidet sich ein Pfeil, der einen Datenfluss anzeigt, von demjenigen in der Kindvorrichtung 202b von 2B. Insbesondere führt in der Kindvorrichtung 202b von 2B, wenn eine Nachricht aus der ECU 201 empfangen wird, die zweite Authentifikationseinheit 234 eine Authentifizierung zwischen der Kindvorrichtung 202 und der ECU 201 durch und führt dann die erste Authentifikationseinheit 233 eine Kind-Eltern-Authentifizierung durch. In der zweiten Ausführungsform unterscheiden sich die Reihenfolge der Verarbeitung der durch die zweite Authentifikationseinheit 234 durchgeführten Authentifizierung und die Verarbeitung der durch die erste Authentifikationseinheit 233 durchgeführten Authentifizierung voneinander.
    • (E1) Alle Vorrichtungen (die Elternvorrichtung 220 und die Kindvorrichtungen 202), die im System 2000 enthalten sind, werden heraufgefahren. Wenn alle Vorrichtungen (die Elternvorrichtung 220 und die Kindvorrichtungen 202), die im System 2000 enthalten sind, heraufgefahren worden sind, führt die erste Authentifikationseinheit 222 eine Kind-Eltern-Authentifizierung zwischen jeder der Kindvorrichtungen 202 und der Elternvorrichtung 220 durch.
    • (E2) Ein Ergebnis der Kind-Eltern-Authentifizierung zwischen jeder der Kindvorrichtungen 202 und der Elternvorrichtung 220 wird in dem Speicher 223 durch eine Steuerung, welche durch die Steuerung 224 der Elternvorrichtung 220 durchgeführt wird, gespeichert.
    • (E3) Wenn es eine Nachricht aus der ECU 201 gibt, beginnt eine Kindvorrichtung 202, die keine Probleme mit der Kind-Eltern-Authentifizierung hat, das Empfangen der Nachricht.
    • (E4) Die Nachricht wird aus der ECU 201b an die Kindvorrichtung 202b gesendet.
    • (E5) Der CAN-Transceiver 236 der Kindvorrichtung 202b empfängt die aus der ECU 201b gesendete Nachricht.
    • (E6) Die zweite Authentifikationseinheit 234 startet das Durchführen der Verarbeitung einer Authentifizierung der ECU 201b. Die zweite Authentifikationseinheit 234 bestimmt, ob eine in der empfangenen Nachricht enthaltene ID in einer Weißliste enthalten ist, welche durch den Speicher 232 gehalten wird. In diesem Fall wird angenommen, dass die ECU 201b noch nicht durch eine ECU 201' böswillig ersetzt worden ist. Somit wird die in der aus der ECU 201b empfangene Nachricht enthaltene ID in der Weißliste des Speichers 232 gehalten, so dass die zweite Authentifikationseinheit 234 bestimmt, dass die Authentifizierung der ECU 201b erfolgreich gewesen ist.
    • (E7) Der CAN-Transceiver 231 berichtet an die Elternvorrichtung 220 ein Ergebnis der Authentifizierung der ECU 201b in der Kindvorrichtung 202b. Der CAN-Transceiver 231 führt eine Berichtsverarbeitung durch, indem er durch die Steuerung 235 gesteuert wird. Das Ergebnis der Authentifizierung der ECU 201b in der Kindvorrichtung 202b kann an die Elternvorrichtung 220 in einem verschlüsselten Zustand berichtet werden.
    • (E8) Das Authentifizierungsergebnis (erfolgreich), welches aus der Kindvorrichtung 202b gesendet wird, wird im Speicher 223 durch eine durch die Steuerung 224 der Elternvorrichtung 220 durchgeführte Steuerung gespeichert.
  • Die Prozesse von (E1) und (E2) werden durchgeführt, wenn die Elternvorrichtung 220 und die Kindvorrichtungen 202 eingeschaltet werden und eine Kind-Eltern-Authentifizierung zwischen jeder der Kindvorrichtungen 202 und der Elternvorrichtung 220 im System durchgeführt wird. Danach werden die Prozesse von (E4) bis (E8) wiederholt durchgeführt zwischen einer Kindvorrichtung 202 und der Elternvorrichtung 220. Auf diese Weise, falls eine Kind-Eltern-Authentifizierung abgeschlossen wird, wenn eingeschaltet wird, ist es möglich, nachfolgende Verarbeitung einer Kind-Eltern-Authentifizierung wegzulassen, die jedes Mal durchgeführt wird, wenn die Verarbeitung einer Authentifizierung zwischen einer ECU 201 und einer Kindvorrichtung 202 durchgeführt wird. Somit kann im Vergleich zum System 2000 gemäß der ersten Ausführungsform die Anzahl von Verarbeitungen einer Kind-Eltern-Authentifizierung reduziert werden, was dazu führt, dass eine Belastung der Elternvorrichtung 220 leichter gemacht wird.
  • Hier wird angenommen, dass die ECU 201b böswillig durch eine ECU 201' ersetzt worden ist. Es wird angenommen, dass die ECU 201' eine Nachricht, die eine ID enthält, die sich von der unterscheidet, die in der durch die ECU 201b gesendeten Nachricht enthalten ist, wird, weil die ECU 201' eine böswillige Austausch-ECU ist.
    • (E9) Es wird eine Nachricht aus der ECU 201' an die Kindvorrichtung 202 gesendet.
    • (E10) Der CAN-Transceiver 236 der Kindvorrichtung 202b empfängt die aus der ECU 201' gesendete Nachricht.
    • (E11) Die zweite Authentifikationseinheit 234 startet das Durchführen der Verarbeitung einer Authentifizierung der ECU 201'. Die zweite Authentifikationseinheit 234 bestimmt, ob eine in der empfangenen Nachricht enthaltene ID in einer Weißliste enthalten ist, die durch den Speicher 232 gehalten wird. Die in der aus der ECU 201' empfangene Nachricht enthaltene ID ist nicht in der Weißliste des Speichers 232 gehalten, so dass die zweite Authentifikationseinheit 234 feststellt, dass die Authentifizierung der ECU 201' erfolglos war.
    • (E12) Der CAN-Transceiver 231 berichtet an die Elternvorrichtung 220 ein Ergebnis der Authentifizierung (erfolglos) zwischen der Kindvorrichtung 202b und der ECU 201'. Das Ergebnis der Authentifizierung der ECU 201b in der Kindvorrichtung 202b kann an die Elternvorrichtung 220 in einem verschlüsselten Zustand berichtet werden.
    • (E13) Das Authentifizierungsergebnis (erfolglos), das aus der Kindvorrichtung 202b gesendet wird, wird im Speicher 223 durch eine durch die Steuerung 224 der Elternvorrichtung 220 durchgeführte Steuerung gespeichert.
  • Wenn eine ECU 201 böswillig ausgetauscht worden ist, führen eine Kindvorrichtung 202 (202a bis 202f), die mit einer böswilligen ECU 201' kommuniziert, und die Elternvorrichtung 220 die Prozesse von (E9) bis (E13) durch. Die Elternvorrichtung 220 kann aus jeder der Kindvorrichtungen 202a bis 202f ein Ergebnis einer Authentifizierung davon, ob eine entsprechende ECU 201, die mit der Kindvorrichtung 202 selbst verbunden ist, böswillig ausgetauscht worden ist, sammeln. Somit kann die Elternvorrichtung 220 die ECU 202 (Kommunikationsknoten) identifizieren, die böswillig ausgetauscht worden ist, durch Sammeln der Authentifizierungsergebnisse. Mit anderen Worten detektiert die Kindvorrichtung 202 die ECU 201, die böswillig ausgetauscht worden ist, und berichtet die böswillig ausgetauschte ECU 201 an die Elternvorrichtung 220, so dass die Elternvorrichtung 220 sie identifizieren kann. Die Steuerung 224 der Elternvorrichtung 220 kann eine Anomalie durch einen Anwender beispielsweise durch Anzeigen, auf einem Bildschirm, einer böswillig ausgetauschten ECU 201' berichten. Weiter kann die Steuerung 224 der Elternvorrichtung 220 einem außerhalb des System 2000 lokalisierten System berichten, dass es eine böswillige Austausch-ECU 201' gibt. Darüber hinaus wird in den Prozessen von (E9) bis (E13) eine Kind-Eltern-Authentifizierung-Verarbeitung nicht durchgeführt, wenn ein Ergebnis einer Authentifizierung zwischen einer ECU 201 und einer ECU 202 der Elternvorrichtung 220 berichtet wird. Somit kann im Vergleich mit dem System 2000 gemäß der ersten Ausführungsform eine Belastung der Elternvorrichtung 220 leichter gemacht werden.
  • <Beispiel eines Systems, das Herausforderungs- und Antwortverfahren verwendet, gemäß zweiter Ausführungsform>
  • Bezug nehmend auf 6 wird nunmehr wieder ein Beispiel der durch die Kindvorrichtung 202 und die Elternvorrichtung 220 durchgeführten Verarbeitung unter Verwendung des Herausforderungs- und Antwortverfahrens beschrieben. Es wird angenommen, dass die ECU 201b in einer Nachricht eine der drei IDs enthält, die 0 × 123, 0 × 456 und 0 × 789 sind, und die Nachricht sendet.
    • (F1) Alle Vorrichtungen (die Elternvorrichtung 220 und die Kindvorrichtung 202), die im System 2000 enthalten sind, werden eingeschaltet. Wenn alle Vorrichtungen (die Elternvorrichtung 220 und die Kindvorrichtungen 202), die in System 2000 enthalten sind, eingeschaltet sind, startet die Unterstützungsflanschabschnitt 220 das Durchführen der Verarbeitung der Kind-Eltern-Authentifizierung zwischen sich selbst und jeder der Kindvorrichtungen 202. Gehbewegung wird eine Authentifizierung in dem Herausforderungs- und Antwortverfahren als die Kind-Eltern-Authentifizierung verwendet.
    • (F2) Die erste Authentifikationseinheit 222 der Elternvorrichtung 220 erzeugt dieselbe Anzahl von Zufallszahlen wie die Anzahl von Kindvorrichtungen 202, die mit der Elternvorrichtung 220 verbunden sind. Es wird zur Authentifizierung in dem Herausforderungs- und Antwortsystem eine Zufallszahl verwendet. Die erzeugte Zufallszahl beinhaltet eine ID, die jeder der Kindvorrichtungen 202 entspricht. Somit wird die erzeugte Zufallszahl entsprechend jeder der Kindvorrichtungen 202 erzeugt. Der CAN-Transceiver 221 berichtet an die Kindvorrichtung 202 eine Nachricht, welche die Zufallszahl, eine ID für eine Kind-Eltern-Authentifizierung (beispielsweise 0 × 777) und eine ID, welche die Kindvorrichtung 202b identifiziert (beispielsweise 0 × 2) enthält. Diese Nachricht ist eine Herausforderung, wenn Authentifizierung in dem Herausforderungs- und Antwortverfahren durchgeführt wird.
    • (F3) Wenn die, die ID für eine Kind-Eltern-Authentifizierung enthaltende Nachricht empfangen wird (0 × 777), verschlüsselt die erste Authentifikationseinheit 233 der Kindvorrichtung 202 die in der Nachricht enthaltene Zufallszahl unter Verwendung der Zufallszahl und des durch die Kindvorrichtung 202 gehaltenen, gemeinsamen Schlüssels. Der CAN-Transceiver 231 berichtet an die Elternvorrichtung 220 eine Nachricht einschließlich des verschlüsselten Texts, der ID für die eine Kind-Eltern-Authentifizierung (0 × 777) und der ID, welche die Kindvorrichtung 202b identifiziert (0 × 2). Diese Nachricht ist eine Antwort, wenn eine Authentifizierung im Herausforderungs- und Antwortverfahren durchgeführt wird.
    • (F4) Die erste Authentifikationseinheit 222 der Elternvorrichtung 220 bestimmt, ob ein verschlüsselter Text, der aus der durch den Prozess von (F2) erzeugten Zufallszahl und dem gehaltenen gemeinsamen Schlüssel antizipiert wird, identisch zum verschlüsselten Text ist, der in der Nachricht enthalten ist, die als eine Antwort empfangen worden ist. Wenn die verschlüsselten Texte identisch sind, bestimmt die erste Authentifikationseinheit 222 der Elternvorrichtung 220, dass es keine Probleme mit der Kind-Eltern-Authentifizierung gibt. Die erste Authentifikationseinheit 233 der Kindvorrichtung 202 erzeugt eine Zufallszahl und sendet an die Elternvorrichtung 220 eine Nachricht, welche die erzeugte Zufallszahl enthält, und eine ID, welche die Kindvorrichtung 202 selbst identifiziert.
    • (F5) Die erste Authentifikationseinheit 222 der Elternvorrichtung 220 extrahiert den verschlüsselten Text, die Zufallszahl und die, die in der Nachricht enthaltene Kindvorrichtung 202 identifizierende ID als eine Antwort. Die erste Authentifikationseinheit 222 bestimmt, ob die ID, welche die Kindvorrichtung 202, die in der Nachricht enthalten ist, identifiziert, identisch ist zu einer ID, welche die Kindvorrichtung 202 angibt, welche die Antwort gesendet hat. Wenn die IDs identisch sind, erzeugt die erste Authentifikationseinheit 222 der Elternvorrichtung 220 einen verschlüsselten Text unter Verwendung der aus der als eine Antwort empfangenen Nachricht extrahierten Zufallszahl und dem gemeinsamen Schlüssel.
    • (F6) Der CAN-Transceiver 221 berichtet an die Kindvorrichtung 202b eine Nachricht, welche den verschlüsselten Text, die ID für eine Kind-Eltern-Authentifizierung (0 × 777), und die ID, welche die Kindvorrichtung 202b identifiziert (0 × 2), enthält.
    • (F7) Die erste Authentifikationseinheit 233 der Kindvorrichtung 202 bestimmt, ob der in (F3) erzeugte, verschlüsselte Text identisch zu dem durch die Elternvorrichtung 220 in (F6) berichteten verschlüsselten Text ist. Wenn die verschlüsselten Texte identisch sind, bestimmt die erste Authentifikationseinheit 233 der Kindvorrichtung 202, dass es keine Probleme mit der Kind-Eltern-Authentifizierung gibt. Gleichzeitig bestimmt die erste Authentifikationseinheit 233 der Kindvorrichtung 202, ob eine ID, die eine gewisse Kindvorrichtung 202 identifiziert, die in der durch die Elternvorrichtung 220 in (F6) berichtete Nachricht enthalten ist, die ID der Kindvorrichtung 202 selbst ist. Wenn die IDs identisch sind und wenn es keine Probleme mit der Kind-Eltern-Authentifizierung gibt, berichtet der CAN-Transceiver 231 an die Elternvorrichtung 220 eine Nachricht, die ein Ergebnis der Kind-Eltern-Authentifizierung enthält (kein Problem), die ID für eine Kind-Eltern-Authentifizierung (0 × 777) und die ID, welche die Kindvorrichtung 202b identifiziert (0 × 2). Das Kind-Eltern-Authentifizierungs-Ergebnis kann verschlüsselt sein.
    • (F8) Die erste Authentifikationseinheit 222 der Elternvorrichtung 220 ermittelt das gesendete Ergebnis der durch die zweite Authentifikationseinheit 234 der Kindvorrichtung 202b durchgeführten Authentifizierung durch Durchführen von Entschlüsselung (wenn es verschlüsselt ist).
    • (F9) Das aus der Kindvorrichtung 202b gesendete Authentifizierungsergebnis wird im Speicher 223 durch eine durch die Steuerung 224 der Elternvorrichtung 220 durchgeführte Steuerung gespeichert.
    • (F10) Wenn es eine Nachricht aus der ECU 201 gibt, beginnt eine Kindvorrichtung 202, die kein Problem mit der Kind-Eltern-Authentifizierung aufweist, das Empfangen der Nachricht. Die Nachricht wird aus der ECU 201b an die Kindvorrichtung 202b gesendet.
    • (F11) Der CAN-Transceiver 236 der Kindvorrichtung 202b empfängt die aus der ECU 201b gesendete Nachricht.
    • (F12) Die zweite Authentifikationseinheit 234 startet das Durchführen der Verarbeitung einer Authentifizierung der ECU 201b. Die zweite Authentifikationseinheit 234 bestimmt, ob eine in der empfangenen Nachricht enthaltene ID in einer Weißliste enthalten ist, die durch den Speicher 232 gehalten wird. In diesem Fall wird angenommen, dass die ECU 201b noch nicht böswillig durch eine ECU 201' ausgetauscht worden ist. Somit wird die in der aus der ECU 201b empfangene Nachricht enthaltene ID in der Weißliste des Speichers 232 gehalten, so dass die zweite Authentifikationseinheit 234 feststellt, dass die Authentifizierung der ECU 201b erfolgreich gewesen ist.
    • (F13) Der CAN-Transceiver 231 berichtet an die Elternvorrichtung 220 eine Nachricht, die ein Ergebnis der Authentifizierung der ECU 201b in der Kindvorrichtung 202b, die ID für eine Kind-Eltern-Authentifizierung (0 × 777), und die ID, welche die Kindvorrichtung 202b identifiziert, (0 × 2) enthält. Das Ergebnis der Authentifizierung der ECU 201b in der Kindvorrichtung 202b kann regelmäßig an die Elternvorrichtung 220 berichtet werden. Das Authentifizierungsergebnis kann an die Elternvorrichtung 220 in einem verschlüsselten Zustand berichtet werden.
    • (F14) Das Authentifizierungsergebnis (erfolgreich), das aus der Kindvorrichtung 202b gesendet wird, wird im Speicher 223 durch eine durch die Steuerung 224 der Elternvorrichtung 220 durchgeführte Steuerung gespeichert.
  • Die Prozesse von (F1) bis (F9) werden durchgeführt, wenn die Elternvorrichtung 220 und die Kindvorrichtungen 202 eingeschaltet werden und es wird eine Kind-Eltern-Authentifizierung zwischen jeder der Kindvorrichtungen 202 und der Elternvorrichtung 220 im System durchgeführt. Danach werden die Prozesse von (F10) bis (F14) wiederholt zwischen einer Kindvorrichtung 202 und der Elternvorrichtung 220 durchgeführt. Auf diese Weise, falls die Kind-Eltern-Authentifizierung abgeschlossen ist, wenn eingeschaltet wird, ist es möglich, eine nachfolgende Verarbeitung einer Kind-Eltern-Authentifizierung zu vermeiden, die jedes Mal durchgeführt wird, wenn die Verarbeitung einer Authentifizierung zwischen einer ECU 201 und einer Kindvorrichtung 202 durchgeführt wird. Somit kann im Vergleich zum System 2000 gemäß der ersten Ausführungsform die Anzahl von Verarbeitungen einer Kind-Eltern-Authentifizierung reduziert werden, was dazu führt, dass eine Belastung der Elternvorrichtung 220 leichter gemacht wird.
  • Hier wird angenommen, dass die ECU 201b böswillig durch eine ECU 201' ausgetauscht worden ist. Es wird angenommen, dass die ECU 201' eine Nachricht sendet, die eine ID (0 × 111), die sich von einer ID (0 × 123, 0 × 456 oder 0 × 789), die in einer durch die ECU 201b gesendeten Nachricht enthalten ist, unterscheidet, weil die ECU 201' eine ECU ist, die böswillig ausgetauscht worden ist.
    • (F15) Eine Nachricht wird aus der ECU 201 an die Kindvorrichtung 202 gesendet.
    • (F16) Der CAN-Transceiver 236 der Kindvorrichtung 202b empfängt die aus der ECU 201' gesendete Nachricht.
    • (F17) Die zweite Authentifikationseinheit 234 beginnt das Durchführen der Verarbeitung einer Authentifizierung der ECU 201'. Die zweite Authentifikationseinheit 234 bestimmt, ob die in der empfangenen Nachricht enthaltene ID 0 × 111 in einer Weißliste (die 0 × 123, 0 × 456 und 0 × 789 enthält) enthalten ist, die durch den Speicher 232 gehalten wird. Die in der aus der ECU 201' empfangenen Nachricht enthaltene ID 0 × 111 wird nicht in der Weißliste des Speichers 232 gehalten, so dass die zweite Authentifikationseinheit 234 feststellt, dass die Authentifizierung der ECU 201' erfolglos gewesen ist.
    • (F18) Der CAN-Transceiver 231 berichtet an die Elternvorrichtung 220 eine Nachricht, die ein Ergebnis der Authentifizierung der ECU 201b in der Kindvorrichtung 202b enthält, die ID für eine Kind-Eltern-Authentifizierung (0 × 777) und die ID, welche die Kindvorrichtung 202b identifiziert (0 × 2). Das Authentifizierungsergebnis kann in einem verschlüsselten Zustand berichtet werden.
    • (F19) Das Authentifizierungsergebnis (erfolglos), das aus der Kindvorrichtung 202b gesendet wird, wird im Speicher 223 durch eine durch die Steuerung 224 der Elternvorrichtung 220 durchgeführte Steuerung gespeichert.
  • Im Prozess von (F13) wird ein Ergebnis einer Authentifizierung (erfolgreich) der ECU 201b in der Kindvorrichtung 202b an die Elternvorrichtung 220 berichtet. Wenn jedoch festgestellt wird, dass die Authentifizierung der ECU 201b in der Kindvorrichtung 202b erfolglos gewesen ist, kann die Elternvorrichtung 220 ein Ergebnis der Authentifizierung an die Elternvorrichtung 220 berichten.
  • Wenn eine ECU 201 böswillig ausgetauscht worden ist, führt eine Kindvorrichtung 202 (202a bis 202f), die mit einer böswilligen ECU 201' kommuniziert, die Prozesse von (F15) bis (F19) durch. Die Elternvorrichtung 220 kann für jede der Kindvorrichtungen 202a bis 202f ein Ergebnis einer Authentifizierung davon sammeln, ob ein entsprechende ECU 201, die mit der Kindvorrichtung 202 selbst verbunden ist, böswillig ausgetauscht worden ist. Somit kann die Elternvorrichtung 220 die ECU 201 (Kommunikationsknoten), welche böswillig ausgetauscht worden ist, durch Sammeln der Authentifizierungsergebnisse identifizieren. Mit anderen Worten detektiert die Kindvorrichtung 202 durch sich selbst die ECU 201, die böswillig ausgetauscht worden ist, was der Elternvorrichtung 220 gestattet, die böswillig ausgetauschte ECU 201 zu identifizieren. In der Kind-Eltern-Authentifizierung im Herausforderungs- und Antwortverfahren kann die Seite der Elternvorrichtung 220 eine Zufallszahl erzeugen und die Kindvorrichtung authentifizieren oder kann die Kindvorrichtung 202 eine Zufallszahl erzeugen und die Elternvorrichtung authentifizieren.
  • 7 ist ein Flussdiagramm, das ein Beispiel einer durch die Kindvorrichtung gemäß der zweiten Ausführungsform durchgeführte Verarbeitung illustriert. Die erste Authentifikationseinheit 233 der Kindvorrichtung 202 führt eine Kind-Eltern-Authentifizierung in Reaktion auf eine durch die Elternvorrichtung 220 erteilte Anfrage durch (Schritt S301). Der CAN-Transceiver 231 berichtet ein Ergebnis der Kind-Eltern-Authentifizierung an die Elternvorrichtung 220 (Schritt S302). Der CAN-Transceiver 236 empfängt eine aus der ECU 201 gesendete Nachricht (Schritt S303). Die zweite Authentifikationseinheit 234 bestimmt, ob eine in der aus der ECU 201 empfangenen Nachricht enthaltene ID in einer Weißliste enthalten ist, welche durch den Speicher 232 gehalten wird (Schritt S304). Wenn die in der aus der ECU 201 empfangene Nachricht enthaltene ID in der Weißliste, welche durch den Speicher 232 gehalten wird, enthalten ist (JA in Schritt S304), wiederholt die Kindvorrichtung 202 die Prozesse ab Schritt S303. Wenn die in der aus der ECU 201 empfangenen Nachricht enthaltene ID nicht in der Weißliste, die durch den Speicher 232 gehalten wird, enthalten ist (NEIN in Schritt S304), berichtet der CAN-Transceiver 231 an die Elternvorrichtung 220, dass eine böswillige ECU 201 detektiert worden ist (Schritt S305). Wenn der Prozess von Schritt S305 beendet wird, beendet die Kindvorrichtung 202 die Verarbeitung.
  • Wenn eine ECU 201 böswillig ausgetauscht worden ist, kann die Elternvorrichtung 220 aus jeder der Kindvorrichtungen 202a bis 202f ein Ergebnis einer Authentifizierung davon, ob eine entsprechende ECU 201, die mit der Kindvorrichtung 202 selbst verbunden ist, böswillig ausgetauscht worden ist, sammeln. Somit kann die Elternvorrichtung 220 die ECU 201 (Kommunikationsknoten), die böswillig ausgetauscht worden ist, durch Sammeln der Authentifizierungsergebnisse identifizieren.
  • Mit anderen Worten detektiert die Kindvorrichtung 202 selbst die ECU 201, die böswillig ausgetauscht worden ist, was der Elternvorrichtung 220 gestattet, die böswillig ausgetauschte ECU 201 zu identifizieren.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 2010-178035 [0006]
    • WO 2009/147734 [0006]
    • JP 2015-5824 [0006]
    • JP 2015-65546 [0006]

Claims (10)

  1. Kommunikationsrelais-Vorrichtung (202), die zwischen einem entsprechenden Kommunikationsknoten (201) und einem Bus (210) in einem Kommunikationsnetzwerk gelegen ist, in welchem eine Mehrzahl von Kommunikationsknoten (201) wechselseitig Datenkommunikation über den Bus (210) durchführen, wobei die Kommunikationsrelais-Vorrichtung (202) umfasst: eine erste Authentifikationseinheit (233), die konfiguriert ist, eine Verarbeitung einer Authentifizierung zwischen der Kommunikationsrelais-Vorrichtung (202) und einer Verwaltungsvorrichtung (220), die mit dem Bus (210) verbunden ist, durchzuführen; ein Speicher (232), der konfiguriert ist, in sich Identifikationsinformationsteile, die wahrscheinlich in durch den entsprechenden Kommunikationsknoten (201) gesendeten Daten enthalten sind, zu speichern; eine zweite Authentifikationseinheit (234), die konfiguriert ist, eine Authentifizierungsverarbeitung gemäß einem Ergebnis des Vergleichs von in der durch den entsprechenden Kommunikationsknoten (201) gesendeten Daten enthaltenen Identifikationsinformation mit den Identifikationsinformationsteilen, die im Speicher (232) gespeichert sind, durchzuführen; und eine Berichtseinheit (231), die konfiguriert ist, an die Verwaltungsvorrichtung (220) ein Ergebnis der durch die zweite Authentifikationseinheit (234) durchgeführten Authentifizierung, wenn die durch die erste Authentifikationseinheit (233) durchgeführte Authentifizierungsverarbeitung erfolgreich war, zu berichten.
  2. Kommunikationsrelais-Vorrichtung (202) gemäß Anspruch 1, wobei wenn die Verwaltungsvorrichtung (220) und die Kommunikationsrelais-Vorrichtung (202) eingeschaltet werden, die erste Authentifikationseinheit (233) eine Verarbeitung einer Authentifizierung zwischen der Kommunikationsrelais-Vorrichtung (202) und der Verwaltungsvorrichtung (220) durchführt, und wenn die durch die erste Authentifikationseinheit (233) durchgeführte Authentifizierungsverarbeitung erfolgreich gewesen ist, und wenn die durch die zweite Authentifikationseinheit (234) durchgeführte Authentifizierung erfolglos gewesen ist, die Berichtseinheit (231) ein Ergebnis der durch die zweite Authentifikationseinheit (234) durchgeführte Authentifizierung berichtet.
  3. Kommunikationsrelais-Vorrichtung (202) gemäß Anspruch 1, wobei die erste Authentifikationseinheit (233) die Verarbeitung einer Authentifizierung zwischen der Kommunikationsrelais-Vorrichtung (202) und der Verwaltungsvorrichtung (220) unter Verwendung einer Authentifizierung in dem Herausforderungs- und Antwortverfahren durchführt.
  4. Kommunikationsrelais-Programm, um eine Kommunikationsrelais-Vorrichtung (202) zu veranlassen, einen Prozess auszuführen, wobei die Kommunikationsrelais-Vorrichtung (202) zwischen einem entsprechenden Kommunikationsknoten (201) und einem Bus (210) in einem Kommunikationsnetzwerk gelegen ist, in welchem eine Mehrzahl von Kommunikationsknoten (201) wechselseitig Datenkommunikation über den Bus (210) durchführen, wobei der Prozess umfasst: Durchführen einer ersten Verarbeitung einer Authentifizierung zwischen der Kommunikationsrelais-Vorrichtung (202) und einer Verwaltungsvorrichtung (220), die mit dem Bus (210) verbunden ist, durchzuführen; Speichern, in einem Speicher (232), von Identifikationsinformationsteilen, die wahrscheinlich in durch den entsprechenden Kommunikationsknoten (201) gesendeten Daten enthalten sind; Durchführen einer zweiten Authentifizierungsverarbeitung gemäß einem Ergebnis des Vergleichs von in der durch den entsprechenden Kommunikationsknoten (201) gesendeten Daten enthaltenen Identifikationsinformation mit den Identifikationsinformationsteilen, die im Speicher (232) gespeichert sind, durchzuführen; und Berichten eines Ergebnisses der zweiten Authentifizierungsverarbeitung an die Verwaltungsvorrichtung (220), wenn die erste Authentifizierungsverarbeitung erfolgreich war.
  5. Kommunikationsrelaisprogramm gemäß Anspruch 4, umfassend wenn die Verwaltungsvorrichtung (220) und die Kommunikationsrelais-Vorrichtung (202) eingeschaltet werden, Durchführen einer Verarbeitung einer Authentifizierung zwischen der Kommunikationsrelais-Vorrichtung (202) und der Verwaltungsvorrichtung (220), und wenn die erste Authentifizierungsverarbeitung erfolgreich gewesen ist, und wenn die zweite Authentifizierung erfolglos gewesen ist, Berichten eines Ergebnisses der zweiten Authentifizierung an die Verwaltungsvorrichtung (220).
  6. Kommunikationsrelaisprogramm gemäß Anspruch 4, wobei das Durchführen der ersten Authentifizierungsverarbeitung eine Authentifizierungsverarbeitung zwischen der Kommunikationsrelais-Vorrichtung (202) und der Verwaltungsvorrichtung (220) unter Verwendung einer Authentifizierung in dem Herausforderungs- und Antwortverfahren ist.
  7. Kommunikationsrelaisverfahren, umfassend: Durchführen, durch eine Kommunikationsrelais-Vorrichtung (202), einer ersten Verarbeitung einer Authentifizierung zwischen der Kommunikationsrelais-Vorrichtung (202) und einer Verwaltungsvorrichtung (220), die mit einem Bus (210) verbunden ist, wobei die die Kommunikationsrelais-Vorrichtung (202) zwischen einem entsprechenden Kommunikationsknoten (201) und dem Bus (210) in einem Kommunikationsnetzwerk gelegen ist, in welchem eine Mehrzahl von Kommunikationsknoten (201) wechselseitig Datenkommunikation über den Bus (210) durchführen; Speichern, in einem Speicher (232), durch die Kommunikationsrelais-Vorrichtung (202), von Identifikationsinformationsteilen, die wahrscheinlich in durch den entsprechenden Kommunikationsknoten (201) gesendeten Daten enthalten sind; Durchführen), durch die Kommunikationsrelais-Vorrichtung (202), einer zweiten Authentifizierungsverarbeitung gemäß einem Ergebnis des Vergleichs von in der durch den entsprechenden Kommunikationsknoten (201) gesendeten Daten enthaltenen Identifikationsinformation mit den Identifikationsinformationsteilen, die im Speicher (232) gespeichert sind,; und Berichten, durch die Kommunikationsrelais-Vorrichtung (202), eines Ergebnisses der zweiten Authentifizierungsverarbeitung, wenn die erste Authentifizierungsverarbeitung erfolgreich war, an die Verwaltungsvorrichtung (220).
  8. Kommunikationsrelaisverfahren gemäß Anspruch 7, umfassend wenn die Verwaltungsvorrichtung (220) und die Kommunikationsrelais-Vorrichtung (202) eingeschaltet werden, Durchführen einer Verarbeitung einer Authentifizierung zwischen der Kommunikationsrelais-Vorrichtung (202) und der Verwaltungsvorrichtung (220), und wenn die erste Authentifizierungsverarbeitung erfolgreich gewesen ist, und wenn die zweite Authentifizierung erfolglos gewesen ist, Berichten eines Ergebnisses der zweiten Authentifizierung an die Verwaltungsvorrichtung (220).
  9. Kommunikationsrelaisverfahren gemäß Anspruch 7, wobei das Durchführen der ersten Authentifizierungsverarbeitung eine Authentifizierungsverarbeitung zwischen der Kommunikationsrelais-Vorrichtung (202) und der Verwaltungsvorrichtung (220) unter Verwendung einer Authentifizierung in dem Herausforderungs- und Antwortverfahren ist.
  10. System, umfassend: Eine Kommunikationsrelais-Vorrichtung (202), die konfiguriert ist, zwischen einem entsprechenden Kommunikationsknoten (201) und einem Bus (210) in einem Kommunikationsnetzwerk gelegen zu sein, in welchem eine Mehrzahl von Kommunikationsknoten (201) wechselseitig Datenkommunikation über den Bus (210) durchführen; und eine Verwaltungsvorrichtung (220), die konfiguriert ist, den entsprechenden Kommunikationsknoten (201) und die Kommunikationsrelais-Vorrichtung (202) zu verwalten, wobei die Kommunikationsrelais-Vorrichtung (202) eine erste Verarbeitung einer Authentifizierung zwischen der Kommunikationsrelais-Vorrichtung (202) und der Verwaltungsvorrichtung (220), die mit dem Bus (210) verbunden ist, durchführt; in einem Speicher (232), Identifikationsinformationsteile, die wahrscheinlich in durch den entsprechenden Kommunikationsknoten (201) gesendeten Daten enthalten sind, speichert; eine zweite Authentifizierungsverarbeitung gemäß einem Ergebnis des Vergleichs von in der durch den entsprechenden Kommunikationsknoten (201) gesendeten Daten enthaltenen Identifikationsinformation mit den Identifikationsinformationsteilen, die im Speicher (232) gespeichert sind, durchführt; und an die Verwaltungsvorrichtung (220) ein Ergebnis der zweiten Authentifizierungsverarbeitung berichtet, wenn die erste Authentifizierungsverarbeitung erfolgreich war, wobei die Verwaltungsvorrichtung (220) aus der Mehrzahl von Kommunikationsknoten (201) einen Kommunikationsknoten (201) bestimmt, dessen Ergebnis der zweiten Authentifizierungsverarbeitung nicht erfolgreich ist, ein böswillig ausgetauschter Kommunikationsknoten (201) zu sein.
DE102016212752.7A 2015-07-24 2016-07-13 Kommunikations-relaisvorrichtung, kommunikationsnetzwerk; kommunikationsrelais-programm und kommunikationsrelais-verfahren Ceased DE102016212752A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2015146621A JP6536251B2 (ja) 2015-07-24 2015-07-24 通信中継装置、通信ネットワーク、通信中継プログラム及び通信中継方法
JP2015-146621 2015-07-24

Publications (1)

Publication Number Publication Date
DE102016212752A1 true DE102016212752A1 (de) 2017-01-26

Family

ID=57739133

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016212752.7A Ceased DE102016212752A1 (de) 2015-07-24 2016-07-13 Kommunikations-relaisvorrichtung, kommunikationsnetzwerk; kommunikationsrelais-programm und kommunikationsrelais-verfahren

Country Status (3)

Country Link
US (1) US10298578B2 (de)
JP (1) JP6536251B2 (de)
DE (1) DE102016212752A1 (de)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6683588B2 (ja) * 2016-11-10 2020-04-22 Kddi株式会社 再利用システム、サーバ装置、再利用方法、及びコンピュータプログラム
JP7094670B2 (ja) * 2017-07-03 2022-07-04 矢崎総業株式会社 設定装置及びコンピュータ
US10956555B2 (en) 2017-08-01 2021-03-23 Panasonic Intellectual Property Corporation Of America Management system, vehicle, and information processing method
US20210165870A1 (en) * 2017-08-04 2021-06-03 Nidec Corporation Authentication system, electronic apparatus used in authentication system, and authentication method
CN108123805A (zh) * 2017-12-15 2018-06-05 上海汽车集团股份有限公司 车载ecu间通讯安全认证方法
US10706651B2 (en) * 2018-03-28 2020-07-07 Denso International America, Inc. Systems and methods for communication bus security in a vehicle
CN111434077B (zh) * 2018-05-23 2023-02-24 松下电器(美国)知识产权公司 通信控制装置、移动网络系统、通信控制方法以及存储介质
WO2019225257A1 (ja) * 2018-05-23 2019-11-28 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知装置、異常検知方法およびプログラム
US20210370961A1 (en) * 2018-12-25 2021-12-02 Mitsubishi Electric Corporation Ecu, monitoring ecu, and can system
CN112118095A (zh) * 2020-08-27 2020-12-22 江苏徐工工程机械研究院有限公司 一种工程机械can总线随机数生成方法、系统及身份认证系统
US11505161B2 (en) * 2020-10-13 2022-11-22 Ford Global Technologies, Llc Authenticating privilege elevation on a transportation service
US11665516B2 (en) * 2021-07-02 2023-05-30 Ettifos Co. Method and apparatus for relaying or receiving message

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009147734A1 (ja) 2008-06-04 2009-12-10 株式会社ルネサステクノロジ 車両、メンテナンス装置、メンテナンスサービスシステム及びメンテナンスサービス方法
JP2010178035A (ja) 2009-01-29 2010-08-12 Softbank Bb Corp 基地局
JP2015005824A (ja) 2013-06-19 2015-01-08 日本電信電話株式会社 故障復旧方法及びネットワーク管理装置
JP2015065546A (ja) 2013-09-25 2015-04-09 日立オートモティブシステムズ株式会社 車両制御装置

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4920878B2 (ja) * 2004-07-14 2012-04-18 日本電気株式会社 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム
US8948395B2 (en) * 2006-08-24 2015-02-03 Qualcomm Incorporated Systems and methods for key management for wireless communications systems
JP4841519B2 (ja) * 2006-10-30 2011-12-21 富士通株式会社 通信方法、通信システム、鍵管理装置、中継装置及びコンピュータプログラム
JP5395036B2 (ja) * 2010-11-12 2014-01-22 日立オートモティブシステムズ株式会社 車載ネットワークシステム
JP5267598B2 (ja) 2011-02-25 2013-08-21 トヨタ自動車株式会社 車両制御装置のデータ書き換え支援システム及びデータ書き換え支援方法
JP5310824B2 (ja) * 2011-11-10 2013-10-09 株式会社リコー 伝送管理装置、プログラム、伝送管理システムおよび伝送管理方法
JP6136174B2 (ja) * 2012-10-05 2017-05-31 株式会社リコー 通信システム及び通信方法
JP6036569B2 (ja) 2013-06-19 2016-11-30 株式会社デンソー セキュリティ装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009147734A1 (ja) 2008-06-04 2009-12-10 株式会社ルネサステクノロジ 車両、メンテナンス装置、メンテナンスサービスシステム及びメンテナンスサービス方法
JP2010178035A (ja) 2009-01-29 2010-08-12 Softbank Bb Corp 基地局
JP2015005824A (ja) 2013-06-19 2015-01-08 日本電信電話株式会社 故障復旧方法及びネットワーク管理装置
JP2015065546A (ja) 2013-09-25 2015-04-09 日立オートモティブシステムズ株式会社 車両制御装置

Also Published As

Publication number Publication date
US10298578B2 (en) 2019-05-21
JP2017028567A (ja) 2017-02-02
JP6536251B2 (ja) 2019-07-03
US20170026373A1 (en) 2017-01-26

Similar Documents

Publication Publication Date Title
DE102016212752A1 (de) Kommunikations-relaisvorrichtung, kommunikationsnetzwerk; kommunikationsrelais-programm und kommunikationsrelais-verfahren
EP2870565B1 (de) Überprüfung einer integrität von eigenschaftsdaten eines gerätes durch ein prüfgerät
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
DE102011108003B4 (de) Prozessleitsystem
DE602004002044T2 (de) Authentifizierungs-System- und Verfahren unter Verwendung von individualisierten und nicht-individualisierten Zertifikaten
EP3562089A1 (de) Automatisiertes zertifikatsmanagement
DE102011004978A1 (de) Verfahren, Steuerungseinrichtung und System zum Nachweis von Verletzungen der Authentzität von Anlagekomponenten
DE102019207423A1 (de) Verfahren und System zur Erfassung eingekoppelter Nachrichtenanomalien
DE112018004618T5 (de) Fahrzeuggebundene Kommunikationsvorrichtung, fahrzeuggebundenes Kommunikationssystem undfahrzeuggebundenes Kommunikationsverfahren
DE102015221239A1 (de) Verfahren und Vorrichtung zum Schützen von Datenintegrität durch ein eingebettetes System mit einem Hauptprozessorkern und einem Sicherheitshardwarebaustein
EP3363164B1 (de) Verfahren und vorrichtung zum abwehren einer manipulation an einem can-bus durch einen mittels eines can-controllers an den bus angebundenen knoten
DE102017202176A1 (de) Verfahren zum Erkennen einer Manipulation an einem jeweiligen Datennetzwerk zumindest eines Kraftfahrzeugs sowie Servervorrichtung
DE102004017602B4 (de) Verfahren und Anordnung für ein Kommunikationsnetz mit direkter Fahrzeug-Fahrzeug Kommunikation
DE102021127139A1 (de) Systeme und verfahren zum sicheren einschränken der fahrbarkeit eines fahrzeugs durch beeinträchtigte benutzer
DE102016204999A1 (de) Verfahren zur Überwachung der Sicherheit von Kommunikationsverbindungen eines Fahrzeugs
EP3871393B1 (de) Verfahren zur überwachung eines datenübertragungssystems, datenübertragungssystem und kraftfahrzeug
DE102013108006B4 (de) Kommunikationsanordnung
EP2618226B1 (de) Industrielles Automatisierungssystem und Verfahren zu dessen Absicherung
EP3345351B1 (de) Verfahren, vorrichtung und computerprogramm zum betreiben einer datenverarbeitungsanlage
DE102016221378A1 (de) Verfahren zum Übertragen von Daten
DE112019004692T5 (de) Datenverarbeitungsvorrichtung und managementvorrichtung
DE102017210647A1 (de) Verfahren und Vorrichtung zum Erkennung eines Angriffes auf einen Feldbus
DE102022105018A1 (de) Verfahren und System zur Freigabe einer sicherheitskritischen Funktion einer Maschine
DE102015225787A1 (de) Verfahren und Vorrichtung zur Empfängerauthentifikation in einem Fahrzeugnetzwerk
DE102021123786A1 (de) Verfahren zum Erkennen einer Unterbrechung einer Datenübertragung von einem Fahrzeug an eine sicherheitsrelevante Funktion eines fahrzeugexternen Servers, computerlesbares Medium, System, und Fahrzeug

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final