DE102017123255A1 - Kommunikationssystem und Kommunikationsverfahren - Google Patents

Kommunikationssystem und Kommunikationsverfahren Download PDF

Info

Publication number
DE102017123255A1
DE102017123255A1 DE102017123255.9A DE102017123255A DE102017123255A1 DE 102017123255 A1 DE102017123255 A1 DE 102017123255A1 DE 102017123255 A DE102017123255 A DE 102017123255A DE 102017123255 A1 DE102017123255 A1 DE 102017123255A1
Authority
DE
Germany
Prior art keywords
information
communication
message
communication message
mch
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102017123255.9A
Other languages
English (en)
Other versions
DE102017123255B4 (de
Inventor
Masahide BANNO
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Publication of DE102017123255A1 publication Critical patent/DE102017123255A1/de
Application granted granted Critical
Publication of DE102017123255B4 publication Critical patent/DE102017123255B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/041Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 using an encryption or decryption engine integrated in transmitted data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1475Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)

Abstract

Ein Kommunikationssystem beinhaltet eine Verwaltungsvorrichtung (10), eine Empfangsvorrichtung und eine Übertragungsvorrichtung. Die Empfangsvorrichtung und die Übertragungsvorrichtung sind konfiguriert, um erste Informationen, die in einer empfangenen ersten Kommunikationsnachricht (MA) beinhaltet sind, jedes Mal dann aufzunehmen, wenn die Empfangsvorrichtung und die Übertragungsvorrichtung die erste Kommunikationsnachricht (MA) empfangen. Die Übertragungsvorrichtung ist konfiguriert, um zweite Informationen (MCL) eines Verwaltungscodes (MC) zu verwalten und einen ersten Authentisierer (AC2) aus Kommunikationsdaten und einem durch Kombinieren der aufgenommenen ersten Informationen mit den verwalteten zweiten Informationen (MCL) gebildeten Verwaltungscode (MC) zu generieren. Die Empfangsvorrichtung ist konfiguriert, um eine durch die Übertragungsvorrichtung übertragene zweite Kommunikationsnachricht zu empfangen und die empfangene zweite Kommunikationsnachricht basierend auf einem Vergleich zwischen dem ersten Authentisierer (AC2), welcher in der empfangenen zweiten Kommunikationsnachricht beinhaltet ist, und einem regenerierten Authentisierer, welcher basierend auf der empfangenen zweiten Kommunikationsnachricht regeneriert ist, zu authentisieren.

Description

  • HINTERGRUND DER ERFINDUNG
  • Gebiet der Erfindung
  • Die vorliegende Erfindung betrifft ein Kommunikationssystem, mit dem eine Mehrzahl von elektronischen Steuerungseinheiten, die an einem Fahrzeug montiert sind, über ein Netzwerk verbunden sind, sowie ein Kommunikationsverfahren, das in dem Kommunikationssystem verwendet wird.
  • Beschreibung des verwandten Standes der Technik
  • Wie wohlbekannt ist, sind eine Mehrzahl von elektronischen Steuerungseinheiten (ECUs), die an einem Fahrzeug montiert sind, häufig mit dem gleichen Netzwerk verbunden, um ein Kommunikationssystem für ein Fahrzeug zu bilden, in dem Informationen (Fahrzeuginformationen), über welche die elektronischen Steuerungseinheiten (ECUs) verfügen, aneinander übertragen und voneinander empfangen werden können. Ein Beispiel für ein solches Kommunikationssystem ist in der japanischen ungeprüften Patentanmeldungsveröffentlichung Nr. 2011-66703 ( JP 2011-66703 A ) beschrieben.
  • Das in JP 2011-66703 A beschriebene Kommunikationssystem beinhaltet ein Übertragungsendgerät, welches Daten überträgt, und ein Empfangsendgerät, welches Daten von dem Übertragungsendgerät empfängt. Das Übertragungsendgerät beinhaltet einen Datenerlanger, einen Empfänger, einen Schlüsselerlanger und einen zeitvariabler-Parameter-Verwalter, der von dem Empfänger Anfrage-(Challenge)Informationen empfängt und einen zeitvariablen Parameter verwaltet. Ferner beinhaltet das Übertragungsendgerät einen Datenwandler, der empfangene Kommunikationsdaten unter Verwendung von Schlüsselinformationen, Anfrageinformationen und eines zeitvariablen Parameters, welche zum Generieren von Umwandlungsdaten empfangen wurden, umwandelt, sowie einen Übertrager, der die Umwandlungsdaten von dem Datenwandler empfängt und die Umwandlungsdaten an das Empfangsendgerät überträgt. Hingegen beinhaltet das Empfangsendgerät einen Anfragegenerator, der Anfrageinformationen generiert, einen Übertrager, der die Anfrageinformationen an das Übertragungsendgerät überträgt, und einen Empfänger, der die Umwandlungsdaten von dem Übertragungsendgerät empfängt, sowie einen Schlüsselerlanger, der die gleichen Schlüsselinformationen wie Schlüsselinformationen in dem Übertragungsendgerät erlangt. Ferner beinhaltet das Empfangsendgerät einen zeitvariabler-Parameter-Bestimmer, der die Neuheit von empfangenen Umwandlungsdaten bestimmt, und eine Datenauthentisierungseinheit, die unter Verwendung der Schlüsselinformationen, der Anfrageinformationen und des zeitvariablen Parameters, welche empfangen wurden, authentisiert, ob die empfangenen Umwandlungsdaten korrekt umgewandelt sind, und ein Ergebnis der Authentisierung an den zeitvariabler-Parameter-Bestimmer überträgt. Der zeitvariabler-Parameter-Bestimmer bestimmt basierend auf dem von der Datenauthentisierungseinheit empfangenen Authentisierungsergebnis die Neuheit der Umwandlungsdaten.
  • KURZFASSUNG DER ERFINDUNG
  • Gemäß dem in JP 2011-66703 A beschriebenen System ist ein in einer Kommunikationsnachricht beinhalteter zeitvariabler Parameter dazu vorgesehen, Spoofing bei einem autorisierten Absender durch einen Angreifer, der den zeitvariablen Parameter nicht auf angemessene Weise verändern kann, zu verhindern und die Zuverlässigkeit einer Kommunikationsnachricht zu verbessern.
  • Jedoch ist es wünschenswert, dass ein Wert des zeitvariablen Parameters nur einmal verwendet wird, um die Zuverlässigkeit der Kommunikationsnachricht noch weiter sicherzustellen, doch erhöht dies unweigerlich eine Datenlänge des zeitvariablen Parameters. Wenn der zeitvariable Parameter, der relativ gesehen eine längere Datenlänge besitzt, in einer zu übertragenden Kommunikationsnachricht beinhaltet ist, dann darf die Zunahme des Datenverkehrs, die durch eine solche den zeitvariablen Parameter beinhaltende Kommunikationsnachricht bedingt ist, nicht außer Acht gelassen werden.
  • Die vorliegende Erfindung sieht ein Kommunikationssystem vor, das imstande ist, die Zuverlässigkeit einer Kommunikationsnachricht sicherzustellen und gleichzeitig eine Zunahme des Datenverkehrs zu unterbinden, sowie ein für das Kommunikationssystem verwendetes Kommunikationsverfahren.
  • Ein erster Aspekt der vorliegenden Erfindung betrifft ein Kommunikationssystem, beinhaltend eine Verwaltungsvorrichtung, die konfiguriert ist, um erste Informationen in einem Verwaltungscode, der durch Kombinieren der ersten Informationen und zweiter Informationen gebildet ist, zu speichern, wobei die Verwaltungsvorrichtung konfiguriert ist, um die gespeicherten ersten Informationen so zu verwalten, dass die gespeicherten ersten Informationen jedes Mal dann einmal aktualisiert werden, wenn die zweiten Informationen eine vorbestimmte Anzahl von Malen aktualisiert werden; eine Empfangsvorrichtung, die über ein Kommunikationsnetzwerk kommunizierbar mit der Verwaltungsvorrichtung verbunden ist; und eine Übertragungsvorrichtung, die über das Kommunikationsnetzwerk kommunizierbar mit der Verwaltungsvorrichtung verbunden ist. Die Verwaltungsvorrichtung ist konfiguriert, um eine erste Kommunikationsnachricht, die die ersten Informationen beinhaltet, an das Kommunikationsnetzwerk zu übertragen. Die Empfangsvorrichtung und Übertragungsvorrichtung sind konfiguriert, um die erste Kommunikationsnachricht zu empfangen und die ersten Informationen, die in der empfangenen ersten Kommunikationsnachricht beinhaltet sind, jedes Mal dann aufzunehmen, wenn die Empfangsvorrichtung und die Übertragungsvorrichtung die erste Kommunikationsnachricht empfangen. Die Übertragungsvorrichtung ist konfiguriert, um die zweiten Informationen in dem Verwaltungscode zu verwalten, und konfiguriert, um einen ersten Authentisierer aus den Kommunikationsdaten und dem Verwaltungscode, der durch Kombinieren der aufgenommenen ersten Informationen mit den verwalteten zweiten Informationen gebildet ist, zu generieren, eine zweite Kommunikationsnachricht zu generieren und übertragen, welche die Kommunikationsdaten, die verwalteten zweiten Informationen und den generierten ersten Authentisierer beinhaltet und nicht die aufgenommenen ersten Informationen beinhaltet, und einen Wert der verwalteten zweiten Informationen nach dem Generieren der zweiten Kommunikationsnachricht zu aktualisieren. Die Empfangsvorrichtung ist konfiguriert, um die durch die Übertragungsvorrichtung übertragene zweite Kommunikationsnachricht zu empfangen und die empfangene zweite Kommunikationsnachricht basierend auf einem Vergleich zwischen dem ersten Authentisierer, der in der empfangenen zweiten Kommunikationsnachricht beinhaltet ist, und einem regenerierten Authentisierer, der basierend auf der empfangenen zweiten Kommunikationsnachricht regeneriert ist, zu authentisieren. Die Empfangsvorrichtung ist konfiguriert, um den Verwaltungscode durch Kombinieren der aufgenommenen ersten Informationen mit den aus der zweiten Kommunikationsnachricht erlangten zweiten Informationen zu rekonstruieren und den regenerierten Authentisierer aus den Kommunikationsdaten zu erlangen, die aus der durch die Übertragungsvorrichtung übertragenen zweiten Kommunikationsnachricht und dem rekonstruierten Verwaltungscode erlangt sind.
  • In dem Kommunikationssystem gemäß dem ersten Aspekt kann die Verwaltungsvorrichtung konfiguriert sein, um die erste Kommunikationsnachricht, die die ersten Informationen beinhaltet, als eine Kommunikationsnachricht einzurichten, die einen aus den ersten Informationen generierten zweiten Authentisierer und die ersten Informationen beinhaltet. Die Empfangsvorrichtung und die Übertragungsvorrichtung können jeweils konfiguriert sein, um die durch die Verwaltungsvorrichtung übertragene erste Kommunikationsnachricht zu empfangen und eine Authentisierung der empfangenen ersten Kommunikationsnachricht durch einen Vergleich zwischen dem in der empfangenen ersten Kommunikationsnachricht beinhalteten zweiten Authentisierer und einem regenerierten Authentisierer, der aus den in der empfangenen ersten Kommunikationsnachricht beinhalteten ersten Informationen regeneriert ist, durchzuführen.
  • Gemäß der Konfiguration wird für die ersten Informationen in dem Verwaltungscode, der in der Kommunikationsnachricht von der Verwaltungsvorrichtung übertragen wird, die Zuverlässigkeit eines Kommunikationsinhalts im Vergleich zu einem Fall aufrechterhalten, in dem nur die ersten Informationen übertragen werden.
  • Ferner ist gemäß der Konfiguration der in der Kommunikationsnachricht von der Verwaltungsvorrichtung übertragene Authentisierer ein Authentisierer, der aus den ersten Informationen in dem Verwaltungscode generiert wird. Daher können in der Empfangsvorrichtung oder der Übertragungsvorrichtung, die die Kommunikationsnachricht empfangen hat, der in der Kommunikationsnachricht übertragene Authentisierer und derjenige Authentisierer, der aus den ersten Informationen in dem Verwaltungscode, welcher in der Kommunikationsnachricht übertragen wird, generiert ist, erlangt werden, und eine Authentisierung der Kommunikationsnachricht kann durch einen Vergleich mit dem Authentisierer durchgeführt werden. Daher empfangen die Empfangsvorrichtung und die Übertragungsvorrichtung die Kommunikationsnachricht von der Verwaltungsvorrichtung, und somit ist es möglich, die ersten Informationen in dem Verwaltungscode, deren Zuverlässigkeit sichergestellt wurde, zu erlangen und die Authentisierung der Kommunikationsnachricht basierend auf den ersten Informationen durchzuführen.
  • In dem Kommunikationssystem gemäß dem ersten Aspekt kann der Verwaltungscode Bit-Daten sein, die ersten Informationen können obere Bits sein, die zweiten Informationen können untere Bits sein, die Verwaltungsvorrichtung kann konfiguriert sein, um die oberen Bits mit einem neuen Wert, der einen vorherigen Wert nicht dupliziert, zu einem Zeitpunkt zu aktualisieren, bevor alle Muster der unteren Bits verbraucht sind, und um die erste Kommunikationsnachricht zu übertragen, die Übertragungsvorrichtung kann konfiguriert sein, um die unteren Bits des Verwaltungscodes jedes Mal dann zu initialisieren, wenn die von der Verwaltungsvorrichtung übertragene erste Kommunikationsnachricht empfangen wird, und um eine Aktualisierung der unteren Bits des Verwaltungscodes, die jedes Mal dann durchgeführt wird, wenn die erste Kommunikationsnachricht generiert wird, mit einem nicht-duplizierenden Wert durchzuführen, bevor die von der Verwaltungsvorrichtung übertragene erste Kommunikationsnachricht anschließend empfangen wird.
  • Da gemäß der Konfiguration die ersten Informationen und die zweiten Informationen den oberen Bits bzw. den unteren Bits des Verwaltungscodes entsprechen, kann es ein Leichtes sein, den Verwaltungscode in zwei Teile zu gliedern und umgekehrt die oberen Bits mit den unteren Bits zu kombinieren.
  • Wenn ferner gemäß der Konfiguration eine verschlüsselte Kommunikationsnachricht eine zuvor erlangte autorisierte Kommunikationsnachricht ist, dann kann die Kommunikationsnachricht anschließend auf betrügerische Weise übertragen werden. Da gemäß der Konfiguration der Wert des Verwaltungscodes aktualisiert und dabei nicht dupliziert wird, ist es selbst dann möglich zu bestimmen, dass die Kommunikationsnachricht nicht gültig ist, wenn eine einmal übertragene Kommunikationsnachricht erneut übertragen wurde.
  • In dem Kommunikationssystem gemäß dem ersten Aspekt können der ersten Kommunikationsnachricht und der zweiten Kommunikationsnachricht je nach Kommunikationsinhalt unterschiedliche Kennungen hinzugefügt sein, und die Verwaltungsvorrichtung kann konfiguriert sein, um den Verwaltungscode separat von der Kennung zu verwalten. Da gemäß der Konfiguration der Verwaltungscode separat von der Kennung verwaltet wird, wird eine für den Verwaltungscode benötigte Größe niedrig gehalten. Wenn ferner die Kennung separat ist, wird selbst beim Aktualisieren der zweiten Informationen in dem Verwaltungscode ein zeitlicher Spielraum erhalten, und daher nimmt ein Freiheitsgrad der Synchronisierung des Verwaltungscodes zu.
  • In dem Kommunikationssystem gemäß dem ersten Aspekt können die Übertragungsvorrichtung und die Empfangsvorrichtung einen gemeinsamen Chiffrierschüssel aufweisen und können konfiguriert sein, um den ersten Authentisierer unter Verwendung des Chiffrierschlüssels zu generieren. Gemäß der Konfiguration wird die Zuverlässigkeit des von der Übertragungsvorrichtung übertragenen Authentisierers, das heißt, die Zuverlässigkeit der Kommunikationsnachricht, durch den gemeinsamen Chiffrierschlüssel sichergestellt. Ferner ist es wünschenswert, dass der Chiffrierschlüssel nicht extern erlangt werden kann, indem ein manipulationssicherer Speicher oder dergleichen verwendet wird.
  • In dem Kommunikationssystem gemäß dem ersten Aspekt kann die Verwaltungsvorrichtung einen Chiffrierschlüssel aufweisen, den die Übertragungsvorrichtung und die Empfangsvorrichtung gemeinsam haben, und kann konfiguriert sein, um den zweiten Authentisierer unter Verwendung des Chiffrierschlüssels (EK) zu generieren. Gemäß der Konfiguration wird durch den gemeinsamen Chiffrierschlüssel die Zuverlässigkeit des von der Verwaltungsvorrichtung übertragenen Authentisierers, das heißt, die Zuverlässigkeit der Kommunikationsnachricht, sichergestellt.
  • In dem Kommunikationssystem gemäß dem ersten Aspekt kann die Verwaltungsvorrichtung konfiguriert sein, um die erste Kommunikationsnachricht zu übertragen, wenn die ersten Informationen aktualisiert sind.
  • In dem Kommunikationssystem gemäß dem ersten Aspekt können die zweiten Informationen ein Zähler sein, der ausgehend von einem Ausgangswert 0 bis zu einem Maximalwert fortlaufend hochzählt, und die Verwaltungsvorrichtung kann konfiguriert sein, um die ersten Informationen gemäß den zweiten Informationen, welche der Maximalwert sind, zu aktualisieren.
  • In dem Kommunikationssystem gemäß dem ersten Aspekt können die zweiten Informationen ein Zähler sein, der ausgehend von einem Ausgangswert 0 bis zu einem Maximalwert fortlaufend hochzählt, und die Verwaltungsvorrichtung kann konfiguriert sein, um die ersten Informationen zu aktualisieren, wenn die zweiten Informationen größer oder gleich einem Aktualisierungswert sind, welcher ein unterhalb des Maximalwerts eingestellter Schwellwert ist.
  • Ein zweiter Aspekt der vorliegenden Erfindung betrifft ein Kommunikationsverfahren, das in einem Kommunikationssystem verwendet wird, beinhaltend eine Verwaltungsvorrichtung, die konfiguriert ist, um erste Informationen in einem durch Kombinieren der ersten Informationen und zweiter Informationen gebildeten Verwaltungscode in der Verwaltungsvorrichtung zu speichern, wobei die Verwaltungsvorrichtung konfiguriert ist, um die gespeicherten ersten Informationen jedes Mal dann einmal zu aktualisieren, wenn die zweiten Informationen eine vorbestimmte Anzahl von Malen aktualisiert werden, und eine Empfangsvorrichtung und eine Übertragungsvorrichtung, die über ein Kommunikationsnetzwerk kommunizierbar mit der Verwaltungsvorrichtung verbunden sind. Das Kommunikationsverfahren beinhaltet: Übertragen, durch die Verwaltungsvorrichtung, einer die ersten Informationen beinhaltenden ersten Kommunikationsnachricht; Empfangen der ersten Kommunikationsnachricht durch die Empfangsvorrichtung und die Übertragungsvorrichtung und Aufnehmen, durch die Empfangsvorrichtung und die Übertragungsvorrichtung, der in der empfangenen ersten Kommunikationsnachricht beinhalteten ersten Informationen jedes Mal dann, wenn die durch die Verwaltungsvorrichtung übertragene erste Kommunikationsnachricht empfangen wird; Verwalten, durch die Übertragungsvorrichtung, der zweiten Informationen in dem Verwaltungscode, Generieren eines ersten Authentisierers aus den Kommunikationsdaten und dem durch Kombinieren der aufgenommenen ersten Informationen mit den verwalteten zweiten Informationen gebildeten Verwaltungscode, Generieren und Übertragen einer zweiten Kommunikationsnachricht, welche die Kommunikationsdaten, die verwalteten zweiten Informationen und den generierten Authentisierer beinhaltet und nicht die aufgenommenen ersten Informationen beinhaltet, und Aktualisieren eines Werts der verwalteten zweiten Informationen nach dem Generieren der zweiten Kommunikationsnachricht; Empfangen, durch die Empfangsvorrichtung, der durch die Übertragungsvorrichtung übertragenen zweiten Kommunikationsnachricht, und Authentisieren der empfangenen zweiten Kommunikationsnachricht basierend auf einem Vergleich zwischen dem in der empfangenen zweiten Kommunikationsnachricht beinhalteten ersten Authentisierer und einem regenerierten Authentisierer, der basierend auf der empfangenen zweiten Kommunikationsnachricht regeneriert ist; und Rekonstruieren, durch die Empfangsvorrichtung, des Verwaltungscodes durch Kombinieren der aufgenommenen ersten Informationen mit den zweiten Informationen, die aus der durch die Übertragungsvorrichtung übertragenen ersten Kommunikationsnachricht erlangt sind, und Erlangen des regenerierten Authentisierers aus den Kommunikationsdaten, die aus der durch die Übertragungsvorrichtung übertragenen zweiten Kommunikationsnachricht und dem rekonstruierten Verwaltungscode erlangt sind.
  • Es ist wünschenswert, dass der Verwaltungscode auf einen Einmal-Wert eingestellt wird, um die Zuverlässigkeit einer Kommunikation weiter zu verbessern. Wenn jedoch der Verwaltungscode über einen Benutzungszeitraum des Kommunikationssystems auf den Einmal-Wert eingestellt wird, nimmt die für den Verwaltungscode benötigte Informationsmenge zu. Wenn der Verwaltungscode in der Kommunikationsnachricht beinhaltet ist, besteht ein Problem dahingehend, dass die Datenbelegungsmenge des Verwaltungscodes in der Kommunikationsnachricht zunimmt und eine Kapazität, die Nachrichtendaten zugewiesen werden kann, welche zu übertragender Kommunikationsinhalt sind, abnimmt.
  • Gemäß dem Aspekt der vorliegenden Erfindung sind nur die zweiten Informationen in dem Verwaltungscode in der Kommunikationsnachricht beinhaltet, und daher ist es möglich, einen breiten Bereich für Kommunikationsdaten sicherzustellen. Da ferner die ersten Informationen in dem Verwaltungscode durch die Verwaltungsvorrichtung verwaltet werden, werden die ersten Informationen zwischen der Übertragungsvorrichtung und der Empfangsvorrichtung synchronisiert. Das heißt, die Empfangsvorrichtung kann den zum Generieren des Authentisierers in der Übertragungsvorrichtung verwendeten Verwaltungscode durch Kombinieren der von der Verwaltungsvorrichtung übertragenen ersten Informationen mit den zweiten Informationen, die in der von der Übertragungsvorrichtung übertragenen Kommunikationsnachricht beinhaltet sind, rekonstruieren. Selbst wenn daher eine Größe des Verwaltungscodes auf eine Größe eingestellt ist, die zum Sicherstellen der Zuverlässigkeit nötig ist, wird eine zum Speichern der Kommunikationsnachricht benötigte Kapazität verringert, und daher ist es möglich, eine Kapazität für Kommunikationsdaten zu verringern. Somit ist es möglich, die Zuverlässigkeit der Kommunikationsnachricht sicherzustellen und gleichzeitig eine Zunahme des Datenverkehrs zu unterbinden.
  • Wenn ferner gemäß dem Aspekt der vorliegenden Erfindung die ersten Informationen in dem von der Verwaltungsvorrichtung übertragenen Verwaltungscode empfangen werden, werden die ersten Informationen in dem Verwaltungscode, der in der Empfangsvorrichtung und der Übertragungsvorrichtung gespeichert ist, aktualisiert, das heißt, mit den empfangenen ersten Informationen in dem Verwaltungscode synchronisiert. Selbst wenn daher der Verwaltungscode in zwei Teile gegliedert ist, in die ersten Informationen und die zweiten Informationen, ist es möglich, die Kommunikationsnachricht unter Verwendung des Verwaltungscodes zu authentisieren.
  • Da ferner gemäß dem Aspekt der vorliegenden Erfindung die ersten Informationen in dem Verwaltungscode, der in der Empfangsvorrichtung und der Übertragungsvorrichtung gespeichert ist, synchronisiert werden können, wird der gespeicherte Verwaltungscode selbst dann synchronisiert und auf einen Normalwert zurückgesetzt, wenn die ersten Informationen des gespeicherten Verwaltungscodes durch Rücksetzen oder dergleichen asynchron initialisiert werden, und deshalb können die Empfangsvorrichtung und die Übertragungsvorrichtung die Authentisierung normal durchführen.
  • Figurenliste
  • Merkmale, Vorteile sowie die technische und wirtschaftliche Bedeutung beispielhafter Ausführungsformen der Erfindung werden nachstehend unter Bezugnahme auf die begleitenden Zeichnungen beschrieben, wobei gleiche Bezugszeichen gleiche Elemente kennzeichnen, und wobei:
    • 1 ein Blockdiagramm ist, das eine schematische Konfiguration einer Ausführungsform veranschaulicht, in der ein Kommunikationssystem verkörpert ist;
    • 2 ein schematisches Diagramm ist, das einen Überblick über einen Prozess veranschaulicht, der in der Ausführungsform durch ein Gateway ausgeführt wird;
    • 3 ein schematisches Diagramm ist, das eine schematische Konfiguration einer elektronischen Steuerungseinheit (ECU) gemäß der Ausführungsform veranschaulicht;
    • 4 ein schematisches Diagramm ist, das einen Überblick über einen Prozess veranschaulicht, der in der Ausführungsform durch die elektronische Steuerungseinheit (ECU) beim Übertragen ausgeführt wird;
    • 5 ein schematisches Diagramm ist, das einen Überblick über einen Prozess veranschaulicht, der in der Ausführungsform durch die elektronische Steuerungseinheit (ECU) beim Empfang ausgeführt wird;
    • 6 ein Flussdiagramm ist, das einen Vorgang auf der Seite des Gateways veranschaulicht, wenn ein Nachrichtenzähler in der Ausführungsform synchronisiert wird; und
    • 7 ein Flussdiagramm ist, das einen Vorgang auf der Seite der ECU veranschaulicht, wenn die Nachrichtenzähler in der Ausfiihrungsform synchronisiert werden.
  • DETAILLIERTE BESCHREIBUNG VON AUSFÜHRUNGSFORMEN
  • Eine Ausführungsform, in der ein Kommunikationssystem verkörpert ist, wird unter Bezugnahme auf 1 beschrieben. Das Kommunikationssystem der Ausführungsform ist ein Kommunikationssystem, das auf ein fahrzeuginternes Netzwerk angewendet wird, welches in einem Fahrzeug (nicht dargestellt) montiert ist.
  • Wie in 1 veranschaulicht, beinhaltet das Kommunikationssystem eine erste bis vierte elektronische Steuerungseinheit (ECUs) 21 bis 24 jeweils als eine Übertragungsvorrichtung und/oder eine Empfangsvorrichtung, einen Kommunikationsbus L1, mit dem die erste und zweite ECU 21, 22 kommunizierbar verbunden sind, und einen Kommunikationsbus L2, mit dem die dritte und vierte ECU 23, 24 kommunizierbar verbunden sind. In der Ausführungsform stellen der Kommunikationsbus L1 und der Kommunikationsbus L2 ein Kommunikationsnetzwerk dar. Ferner beinhaltet das Kommunikationssystem ein Gateway 10, das als eine Verwaltungsvorrichtung dient, die mit dem Kommunikationsbus L1 und dem Kommunikationsbus L2 kommunizierbar verbunden ist. Das Gateway 10 kann eine Kommunikationsnachricht MB zwischen dem Kommunikationsbus L1 und dem Kommunikationsbus L2 übertragen (weiterleiten). Daher können die erste und zweite ECU 21, 22, welche mit dem Kommunikationsbus L1 verbunden sind, und die dritte und vierte ECU 23, 24, welche mit dem Kommunikationsbus L2 verbunden sind, die Kommunikationsnachricht MB über das Gateway 10 aneinander übertragen und voneinander empfangen. Die Kommunikationsnachricht MB dient als eine zweite Kommunikationsnachricht.
  • In dem Kommunikationssystem wird beispielsweise ein Controller-Area-Network(CAN)-Protokoll als ein Kommunikationsprotokoll gewählt. Ferner kann in dem Kommunikationssystem eine Drahtloskommunikation in einem Teil eines Kommunikationspfads oder einem Pfad über ein anderes Netzwerk, über ein Gateway oder dergleichen beinhaltet sein.
  • Ein Rahmen, welcher ein Gerüst der Kommunikationsnachricht ist, ist in dem CAN-Protokoll definiert, und in dem Rahmen sind ein Speicherbereich für eine „Nachrichten-ID“, die als eine Kennung dient, welche einen Typ von Kommunikationsnachricht angibt, ein „Datenfeld“, das ein Speicherbereich für „Nachrichtendaten“ ist, welche von einem Nutzer bestimmte Daten sind, und dergleichen vorgesehen. In der „Nachrichten-ID“ ist ein konkreter Wert für jeden Typ von Kommunikationsnachricht definiert, und jede ECU fügt eine dem Typ der Kommunikationsnachricht entsprechende „Nachrichten-ID“ zu einer zu übertragenden Kommunikationsnachricht hinzu und überträgt eine resultierende Kommunikationsnachricht und bestimmt basierend auf einer „Nachrichten-ID“ einen Typ einer empfangenen Kommunikationsnachricht. In dem Kommunikationssystem kann einer Kommunikationsnachricht eine „Nachrichten-ID“ hinzugefügt werden und eine resultierende Kommunikationsnachricht kann nur an eine definierte ECU übertragen werden. Ferner ist das „Datenfeld“, das ein Bereich ist, in dem die „Nachrichtendaten“ gespeichert sind, auf irgendeine Länge zwischen 0 und 64 Bit (8 Bit x 0 bis 8 Byte) eingestellt.
  • Das Gateway 10 beinhaltet einen Mikrorechner mit einer Rechenvorrichtung (zentrale Verarbeitungseinheit (CPU)) oder einer Speichervorrichtung. In dem Gateway 10 sind eine Rechenvorrichtung, welche einen Rechenprozess eines Programms ausführt, ein Nur-Lese-Speicher (ROM), in dem das Programm oder Daten gespeichert sind, und ein flüchtiger Speicher (Direktzugriffsspeicher (RAM)), in dem ein Rechenergebnis der Rechenvorrichtung vorübergehend gespeichert ist, vorgesehen. Daher lädt das Gateway 10 das in der Speichervorrichtung enthaltene Programm auf die Rechenvorrichtung und führt das Programm zum Bereitstellen einer vorbestimmten Funktion aus. Beispielsweise führt das Gateway 10 einen Prozess des Übertragens der Kommunikationsnachricht MB zwischen den Kommunikationsbussen L1, L2 und einen Prozess des Verwaltens eines Nachrichtenzählers MC (siehe 2), der als ein Verwaltungscode dient, durch. Ferner beinhaltet das Gateway 10 einen Backup-Speicher bzw. Sicherungsspeicher, der Sollwerte oder berechnete Werte speichert und aufnimmt, indem er ständig Leistung aus einer Batterie empfängt.
  • Das Gateway 10 beinhaltet einen Codeverwalter 11, der den Nachrichtenzähler MC verwaltet (siehe 2), einen Übertrager 12, der einen Teil des Nachrichtenzählers MC überträgt, und eine Kommunikations-I/F bzw. -Schnittstelle 13 zum Austauschen der Kommunikationsnachricht MB zwischen den Kommunikationsbussen L1, L2, mit denen das Gateway 10 verbunden ist. Eine Funktion jeweils des Codeverwalters 11 und des Übertragers 12 wird durch einen Rechenprozess eines Programms in dem Gateway 10 realisiert.
  • Die Kommunikations-I/F 13 überträgt und empfängt die Kommunikationsnachricht MB, die auf dem CAN-Protokoll basiert, zwischen den Kommunikationsbussen L1, L2. Ferner tauscht die Kommunikations-I/F 13 die Kommunikationsnachricht MB mit dem Übertrager 12 oder dergleichen aus. Daher kann das Gateway 10 eine Synchronisationsnachricht MA, welche durch das Gateway 10 ausgegeben wird, an die Kommunikationsbusse L1, L2 übertragen und kann über die Kommunikationsbusse L1, L2 eine Kommunikationsnachricht MB erlangen, welche durch eine andere ECU übertragen wird. In der Ausführungsform ist der Synchronisationsnachricht MA eine Nachrichten-ID hinzugefügt, um anzuzeigen, dass die Synchronisationsnachricht MA eine Synchronisationsnachricht aus normalen Kommunikationsnachrichten ist, die auf dem CAN-Protokoll basieren. Daher wird die Synchronisationsnachricht MA, analog zu den normalen Kommunikationsnachrichten, an die jeweiligen ECUs 21 bis 24 gesendet, die mit den jeweiligen Kommunikationsbussen L1, L2 verbunden sind.
  • Der Codeverwalter 11 wird unter Bezugnahme auf 2 beschrieben. Der Codeverwalter 11 verwaltet den in dem Backup-Speicher des Gateway 10 gespeicherten Nachrichtenzähler MC. Der Codeverwalter 11 speichert und verwaltet „obere Bits MCH“ des Nachrichtenzählers MC. Ferner erlangt der Codeverwalter 11 den aktuellen Wert von „unteren Bits MCL“ des Nachrichtenzählers MC aus der Kommunikationsnachricht MB und speichert den Wert, um den Wert zu überwachen. Nachstehend wird eine Gesamtlänge des Nachrichtenzählers MC einfach als ein Nachrichtenzähler MC bezeichnet.
  • Der Nachrichtenzähler MC ist ein Zähler, der für jede „Nachrichten-ID“ verwaltet wird, und ist ein Zähler, dessen Wert gemäß einer neuen Generation einer Kommunikationsnachricht mit einer entsprechenden „Nachrichten-ID“ aktualisiert wird. Das heißt, der Nachrichtenzähler MC, der jeder „Nachrichten-ID“ entspricht, wird aktualisiert. In der Ausführungsform ist der Nachrichtenzähler MC ein Zähler, der um 1 inkrementiert wird. Nachstehend werden eine „Nachrichten-ID“ und ein Nachrichtenzähler MC, welcher der einen „Nachrichten-ID“ entspricht, beispielhaft beschrieben. Um die Beschreibung zu erleichtern, entfällt die Beschreibung eines Beispiels für andere „Nachrichten-IDs“ und Nachrichten-Zähler MC, welche den anderen „Nachrichten-IDs“ entsprechen.
  • In der Ausführungsform ist der Nachrichtenzähler MC in zwei Teile gegliedert, „obere Bits MCH“, welche als erste Informationen dienen, und „untere Bits MCL“, welche als zweite Informationen dienen. Die „oberen Bits MCH“ werden durch das Gateway 10 gespeichert, verwaltet und übertragen, und die „unteren Bits MCL“ werden durch die ECUs 21 bis 24 gespeichert, verwaltet und übertragen. Ferner erhöht das Gateway 10 für den Nachrichtenzähler MC wiederholt den Wert der „oberen Bits MCH“ um „1“ gemäß einer Veränderung der „unteren Bits MCL“ von „0“ auf einen Maximalwert, und die ECU legt die „unteren Bits MCL“ auf einen Ausgangswert „0“ gemäß einer Erhöhung der „oberen Bits MCH“ fest. Somit besitzt der Nachrichtenzähler MC nicht erneut den gleichen Wert. Das Gateway 10 speichert die „oberen Bits MCH“ des Nachrichtenzählers MC in einem Speicherbereich, der als ein Bereich zum Speichern des Nachrichtenzählers MC sichergestellt ist, und verwaltet die „oberen Bits MCH“. In diesem Fall kann das Gateway 10 die „unteren Bits MCL“ des Nachrichtenzählers MC in eine entsprechende Position des sichergestellten Speicherbereichs einfügen, um die „unteren Bits MCL“ zu verwalten, oder kann den Nachrichtenzähler MC auf verteilte Weise in einem Speicherbereich speichern, der getrennt von dem sichergestellten Speicherbereich zum Speichern des Nachrichtenzählers MC sichergestellt ist, um die „unteren Bits MCL“ zu verwalten. Das heißt, das Gateway 10 kann die in der Kommunikationsnachricht MB empfangenen „unteren Bits MCL“ in ein Bit einfügen, das den „unteren Bits MCL“ des Nachrichtenzählers MC entspricht, kann einen vorbestimmten Wert einstellen oder kann den Nachrichtenzähler MC so verwalten, dass er kein Bit beinhaltet, das den „unteren Bits MCL“ entspricht.
  • Der Nachrichtenzähler MC wird auf die Informationsmenge, das heißt eine Bit-Länge (Anzahl von Bits) eingestellt, die die Zuverlässigkeit der Kommunikationsnachricht MB sicherstellen kann. Beispielsweise muss in einem Fall, in dem die Zuverlässigkeit der Kommunikationsnachricht MB sichergestellt wird, indem der Nachrichtenzähler MC veranlasst wird, nicht erneut als der gleiche Wert verwendet zu werden, während der Nachrichtenzähler MC monoton erhöht wird, eine berechnete Länge (Anzahl von Bits) des Nachrichtenzählers MC angesichts der Lebensdauer des Fahrzeugs und einer Übertragungshäufigkeit der Kommunikationsnachricht MB 8 Byte betragen. Die Länge der 8 Byte ist gleich einer maximalen Länge von 64 Bit (= 8 Byte) des „Datenfelds“. Wenn daher der Nachrichtenzähler MC in der Kommunikationsnachricht MB gespeichert und übertragen wird, können „Nachrichtendaten“, welche durch den Nutzer bestimmte Daten sind, nicht in der Kommunikationsnachricht MB gespeichert werden. Daher wird, wie oben beschrieben, der Nachrichtenzähler MC in zwei Teile gegliedert, die „oberen Bits MCH“ und die „unteren Bits MCL“, und verwaltet.
  • Im Einzelnen verwaltet der Codeverwalter 11 die „oberen Bits MCH“ des Nachrichtenzählers MC. Beispielsweise sind in der Ausführungsform in einem Fall, in dem der Nachrichtenzähler MC 8 Byte lang ist, die „oberen Bits MCH“ 7 Byte (= 56 Bit) lang und die „unteren Bits MCL“ sind 1 Byte (= 8 Bit) lang. In diesem Fall beträgt ein Maximalwert der „unteren Bits MCL“ „255“.
  • Der Codeverwalter 11 aktualisiert und verwaltet die „oberen Bits MCH“ des Nachrichtenzählers MC, so dass der Nachrichtenzähler MC nicht erneut den gleichen Wert besitzt. Konkret aktualisiert der Codeverwalter 11 die „oberen Bits MCH“ des Nachrichtenzählers MC durch monotones Erhöhen der „oberen Bits MCH“ zu einem Aktualisierungszeitpunkt. Der Aktualisierungszeitpunkt ist ein Zeitpunkt, an dem die „unteren Bits MCL“ des Nachrichtenzählers MC einen Maximalwert besitzen, das heißt, ein Zeitpunkt, an dem alle Muster der „unteren Bits MCL“ verbraucht sind. Beispielsweise überwacht der Codeverwalter 11 die „unteren Bits MCL“ des Nachrichtenzählers MC, indem er die Kommunikationsnachricht MB empfängt, welche durch die erste ECU 21 übertragen wird, und legt einen Zeitpunkt, an dem die „unteren Bits MCL“ größer oder gleich dem Maximalwert sind, auf den Aktualisierungszeitpunkt fest.
  • Der Codeverwalter 11 überträgt die „oberen Bits MCH“ des Nachrichtenzählers MC an den Übertrager 12 gemäß der Aktualisierung der „oberen Bits MCH“ des Nachrichtenzählers MC.
  • Der Übertrager 12 generiert einen „Authentisierer AC1“ aus den „oberen Bits MCH“ des Nachrichtenzählers MC und generiert eine Synchronisationsnachricht MA, welche den generierten „Authentisierer AC1“ und die „oberen Bits MCH“ des Nachrichtenzählers MC beinhaltet. Der „Authentisierer AC1“ dient als ein zweiter Authentisierer. Die Synchronisationsnachricht MA ist eine Kommunikationsnachricht, in der die „oberen Bits MCH“ des Nachrichtenzählers MC und der durch Verschlüsseln der „oberen Bits MCH“ des Nachrichtenzählers MC erhaltene „Authentisierer AC1“ in dem „Datenfeld“ gespeichert sind. Der Übertrager 12 überträgt die Synchronisationsnachricht MA als die Kommunikationsnachricht (erste Kommunikationsnachricht) mit einer Nachrichten-ID, deren Priorität in dem CAN-Protokoll hoch ist, über die Kommunikations-I/F 13 an die erste bis vierte ECU 21 bis 24. Es wird davon ausgegangen, dass die Nachrichten-ID mit hoher Priorität für die Synchronisationsnachricht MA voreingestellt ist. Die Synchronisationsnachricht MA benachrichtigt die erste bis vierte ECU 21 bis 24 über die „oberen Bits MCH“ des Nachrichtenzählers MC, die von dem Gateway 10 verwaltet werden, und synchronisiert die „oberen Bits MCH“ des Nachrichtenzählers MC, welche durch die jeweilige ECU 21 bis 24 verwaltet werden.
  • Wie in 2 veranschaulicht, beinhaltet der Übertrager 12 eine Verschlüsselungsmaschine 111. Die Verschlüsselungsmaschine 111 besitzt einen festgelegten Chiffrierschlüssel EK, empfängt die „oberen Bits MCH“ des Nachrichtenzählers MC von dem Codeverwalter 11 und verschlüsselt die empfangenen „oberen Bits MCH“ des Nachrichtenzählers MC mit einem Chiffrierschlüssel EK, um den „Authentisierer AC1“ zu generieren. Der Übertrager 12 generiert eine Synchronisationsnachricht MA aus den „oberen Bits MCH“ des Nachrichtenzählers MC und dem „Authentisierer AC1“. Es ist wünschenswert, dass der Chiffrierschlüssel EK nicht extern erlangt werden kann, indem ein manipulationssicherer Speicher oder dergleichen verwendet wird.
  • Ferner überträgt der Übertrager 12 die Synchronisationsnachricht MA an alle ECUs gemäß der Aktualisierung der „oberen Bits MCH“ des Nachrichtenzählers MC. Das heißt, das Gateway 10 überträgt die „oberen Bits MCH“ des Nachrichtenzählers MC.
  • Die erste bis vierte ECU 21 bis 24 werden unter Bezugnahme auf 3 und 4 beschrieben. Da die erste bis vierte ECU 21 bis 24 alle die gleiche Konfiguration besitzen, wird die erste ECU 21 hier im Detail beschrieben, und eine Beschreibung der Konfiguration der übrigen ECUs entfällt.
  • Die erste ECU 21 beinhaltet einen Mikrorechner mit einer Rechenvorrichtung (CPU) oder einer Speichervorrichtung. In der ersten ECU 21 sind eine Rechenvorrichtung, die einen Rechenprozess eines Programms ausführt, ein Nur-Lese-Speicher (ROM), in dem das Programm oder Daten gespeichert sind, und ein flüchtiger Speicher (RAM), in dem ein Rechenergebnis der Rechenvorrichtung vorübergehend gespeichert wird, vorgesehen. Daher lädt die erste ECU 21 das in der Speichervorrichtung enthaltene Programm auf die Rechenvorrichtung und führt das Programm zum Bereitstellen einer vorbestimmten Funktion aus. Beispielsweise führt die erste ECU 21 einen Prozess des Übertragens und Empfangens der Kommunikationsnachricht MB an und von dem Kommunikationsbus L1, einen Prozess des Empfangens der Synchronisationsnachricht MA oder einen Prozess des Verwaltens des Nachrichtenzählers MC, der als ein Verwaltungscode dient, durch. Ferner beinhaltet die erste ECU 21 einen Backup-Speicher, der Sollwerte oder berechnete Wert speichert und aufnimmt, indem er ständig Leistung aus einer Batterie empfängt.
  • Wie in 3 und 4 veranschaulicht, beinhaltet die erste ECU 21 eine Kommunikations-I/F 30 für ein CAN-Protokoll, eine Mehrzahl von MBOXs (Message-Box bzw. Nachrichtenbox) 31a, 31b, 31c, in denen die Kommunikationsnachricht vorübergehend gespeichert wird, und einen Authentisierer-Generator 33, der einen „Authentisierer AC2“ generiert, welcher in der zu übertragenden Kommunikationsnachricht MB oder dergleichen beinhaltet ist. Der „Authentisierer AC2“ dient als ein erster Authentisierer. Ferner beinhaltet die erste ECU 21 einen Nachrichtenprozessor 34, der die mit dem Authentisierer zu übertragende und empfangende Kommunikationsnachricht MB verarbeitet, und einen Informationsprozessor 32, der „Nachrichtendaten DT“ verarbeitet. Die Funktion jeweils des Authentisierer-Generators 33 und des Nachrichtenprozessors 34 werden durch einen Rechenprozess eines Programms in der ersten ECU 21 realisiert.
  • Die Kommunikations-I/F 30 empfängt die Synchronisationsnachricht MA über den Kommunikationsbus L1 oder überträgt und empfängt die Kommunikationsnachricht MB. Die MBOXs 31a, 31b, 31c leiten die durch die Kommunikations-I/F 30 empfangene Kommunikationsnachricht MB weiter. Ferner leiten die MBOXs 31a, 31b, 31c die von der Kommunikations-I/F 30 zu übertragende Kommunikationsnachricht MB weiter. Beispielsweise leitet die MBOX 31a eine Kommunikationsnachricht MB, welche keinen Authentisierer beinhaltet, zwischen der Kommunikations-I/F 30 und dem Informationsprozessor 32 weiter. Ferner leitet die MBOX 31b die Kommunikationsnachricht MB zwischen der Kommunikations-I/F 30 und dem Authentisierer-Generator 33 weiter. Die MBOX 31b leitet insbesondere die Synchronisationsnachricht MA weiter, die zum Verwalten des Nachrichtenzählers MC nötig ist. Die MBOX 31c leitet die Kommunikationsnachricht zwischen der Kommunikations-I/F 30 und dem Nachrichtenprozessor 34 weiter. Beispielsweise leitet die MBOX 31c insbesondere die Kommunikationsnachricht MB weiter.
  • Der Informationsprozessor 32 führt verschiedene Anwendungen aus, die die „Nachrichtendaten DT“ verwenden, welche in der durch die erste ECU 21 empfangenen Kommunikationsnachricht beinhaltet sind. Ferner gibt der Informationsprozessor 32 die durch verschiedene Anwendungen ausgegebenen Daten als die „Nachrichtendaten DT“ aus, welche extern übertragen werden.
  • Der Nachrichtenprozessor 34 stellt die Zuverlässigkeit der übertragenen und empfangenen Kommunikationsnachricht MB wie folgt sicher. Wenn die Kommunikationsnachricht MB empfangen wird, empfängt der Nachrichtenprozessor 34 die Kommunikationsnachricht MB von der MBOX 31c und authentisiert die empfangene Kommunikationsnachricht MB. Der Nachrichtenprozessor 34 gibt die in der authentisierten Kommunikationsnachricht MB beinhalteten „Nachrichtendaten DT“ an den Informationsprozessor 32 aus.
  • Ferner, wenn die Kommunikationsnachricht MB übertragen wird, empfängt der Nachrichtenprozessor 34 die „Nachrichtendaten DT“ von dem Informationsprozessor 32 und generiert den „Authentisierer AC2“ basierend auf den empfangenen „Nachrichtendaten DT“. Der Nachrichtenprozessor 34 generiert eine Kommunikationsnachricht MB, die mit den „Nachrichtendaten DT“ und dem „Authentisierer AC2“ zu übertragen ist, und gibt die generierte Kommunikationsnachricht MB, die zu übertragen ist, an die MBOX 31c aus.
  • Der Authentisierer-Generator 33 verwaltet die „oberen Bits MCH“ und die „unteren Bits MCL“ des Nachrichtenzählers MC. Der Authentisierer-Generator 33 kann die „oberen Bits MCH“ und die „unteren Bits MCL“ des Nachrichtenzählers MC an entsprechenden Positionen eines sichergestellten Speicherbereichs des Nachrichtenzählers MC speichern oder kann die „oberen Bits MCH“ und die „unteren Bits MCL“ in separat sichergestellten Speicherbereichen speichern. Ferner wird in dem Authentisierer-Generator 33 ein Wert des Speicherbereichs zum Speichern und Aufnehmen der „unteren Bits MCL“ oder ein Wert des Speicherbereichs zum Speichern und Aufnehmen der „oberen Bits MCH“ durch Abschalten oder Zurücksetzen initialisiert. Die Initialisierung erfolgt häufig asynchron mit einer anderen ECU oder dem Gateway 10.
  • Der Authentisierer-Generator 33 führt einen Prozess des Synchronisierens des Nachrichtenzählers MC, einen Prozess bei Übertragung der Kommunikationsnachricht MB und einen Prozess bei Empfang der Kommunikationsnachricht MB durch. Daher wird jeder Prozess nachstehend im Detail beschrieben.
  • Prozess des Synchronisierens des Nachrichtenzählers
  • Wenn die Synchronisationsnachricht MA von der MBOX 31b eingegeben wird, authentisiert der Authentisierer-Generator 33 die Synchronisationsnachricht MA und aktualisiert den Wert der „oberen Bits MCH“ mit dem Wert der „oberen Bits MCH“, welche in der Synchronisationsnachricht MA beinhaltet sind, unter der Bedingung, dass die Synchronisationsnachricht MA authentisiert werden kann. Ferner initialisiert der Authentisierer-Generator 33 den Wert der „unteren Bits MCL“ auf „0“ unter der Bedingung, dass der Wert der „oberen Bits MCH“ aktualisiert wird. Somit sind die „unteren Bits MCL“ so festgelegt, dass die „unteren Bits MCL“ in einem Bereich zwischen „0“ und einem Maximalwert aktualisiert werden können.
  • Ferner führt der Authentisierer-Generator 33 eine Authentisierung der Synchronisationsnachricht MA durch. Der Authentisierer-Generator 33 erlangt den „Authentisierer AC1“ und die „oberen Bits MCH“ aus der Synchronisationsnachricht MA, die von der MBOX 31b eingegeben wird. Der Authentisierer-Generator 33 verschlüsselt die erlangten „oberen Bits MCH“ mit einer Verschlüsselungsmaschine 35, um einen Authentisierer zu regenerieren. Der Authentisierer-Generator 33 vergleicht den erlangten regenerierten Authentisierer mit dem aus der Synchronisationsnachricht MA erlangten „Authentisierer AC1“. Wenn der regenerierte Authentisierer und der „Authentisierer AC1“ als ein Ergebnis des Vergleichs übereinstimmen, dann bestimmt der Authentisierer-Generator 33, dass die Synchronisationsnachricht MA authentisiert ist, und wenn der regenerierte Authentisierer und der „Authentisierer AC1“ nicht übereinstimmen, dann bestimmt der Authentisierer-Generator 33, dass die Synchronisationsnachricht MA nicht authentisiert ist.
  • Der Authentisierer-Generator 33 beinhaltet die Verschlüsselungsmaschine 35. Die Verschlüsselungsmaschine 35 besitzt einen festgelegten Chiffrierschlüssel EK, empfängt die Nachrichtendaten DT oder den Nachrichtenzähler MC von dem Authentisierer-Generator 33 und verschlüsselt die Nachrichtendaten DT oder den Nachrichtenzähler MC mit dem Chiffrierschlüssel EK, um den Authentisierer zu generieren. Da der Chiffrierschlüssel EK gleich einem Chiffrierschlüssel für das Gateway 10 festgelegt ist, kann zwischen der ersten ECU 21 und dem Gateway 10 und zwischen der ersten ECU 21 und der zweiten bis vierten ECU 22 bis 24 eine verschlüsselte Kommunikation durchgeführt werden. Es ist wünschenswert, dass der Chiffrierschlüssel EK nicht extern erlangt werden kann, indem ein manipulationssicherer Speicher oder dergleichen verwendet wird.
  • Prozess bei Übertragung der Kommunikationsnachricht
  • Der Authentisierer-Generator 33 führt einen Prozess des Generierens des Authentisierers der zu übertragenden Kommunikationsnachricht MB als einen Prozess bei Übertragung der Kommunikationsnachricht MB durch. Der Authentisierer-Generator 33 empfängt die „Nachrichtendaten DT“ von dem Nachrichtenprozessor 34. Der Authentisierer-Generator 33 rekonstruiert den Nachrichtenzähler MC aus den „unteren Bits MCL“, welche verwaltet werden, und den „oberen Bits MCH“, welche aus der Synchronisationsnachricht MA erlangt und aufgenommen werden, und verschlüsselt den rekonstruierten Nachrichtenzähler MC und die eingegebenen Nachrichtendaten DT mit dem Chiffrierschlüssel EK, um den „Authentisierer AC2“ unter Verwendung der Verschlüsselungsmaschine 35 zu generieren. Ferner gibt der Authentisierer-Generator 33 die eingegebenen „Nachrichtendaten DT“, die zum Generieren des „Authentisierers AC2“ verwendeten „unteren Bits MCL“ und den generierten „Authentisierer AC2“ an den Nachrichtenprozessor 34 aus. Der Nachrichtenprozessor 34 generiert die zu übertragende Kommunikationsnachricht MB aus den „Nachrichtendaten DT“, den „unteren Bits MCL“ und dem „Authentisierer AC2“, welche von dem Authentisierer-Generator 33 eingegeben werden, und gibt die generierte Kommunikationsnachricht MB an die MBOX 31c aus. Ferner aktualisiert der Authentisierer-Generator 33 die „unteren Bits MCL“ mit einem größeren Wert gemäß der Generierung des „Authentisierers AC2“. Wenn somit der „Authentisierer AC2“ generiert wird, besitzt der Nachrichtenzähler MC nicht erneut den gleichen Wert wie ein vorheriger Wert.
  • Prozess bei Empfang der Kommunikationsnachricht
  • Der Authentisierer-Generator 33 führt einen Authentisierungsprozess der empfangenen Kommunikationsnachricht MB als einen Prozess bei Empfang der Kommunikationsnachricht MB durch. In dem Authentisierungsprozess führt der Authentisierer-Generator 33 eine Authentisierung basierend auf dem „Authentisierer AC2“ durch.
  • Die „Nachrichtendaten DT“ der von dem Nachrichtenprozessor 34 empfangenen Kommunikationsnachricht MB, die „unteren Bits MCL“ des Nachrichtenzählers MC und der „Authentisierer AC2“ werden in den Authentisierer-Generator 33 eingegeben. Der Authentisierer-Generator 33 rekonstruiert den Nachrichtenzähler MC aus den eingegebenen „unteren Bits MCL“ und den verwalteten „oberen Bits MCH“ und verschlüsselt den rekonstruierten Nachrichtenzähler MC und die eingegebenen „Nachrichtendaten DT“ unter Verwendung eines Chiffrierschlüssels EK mit der Verschlüsselungsmaschine 35, um den „Authentisierer AC3“ zu regenerieren. Ferner vergleicht der Authentisierer-Generator 33 den eingegebenen „Authentisierer AC2“ mit dem regenerierten „Authentisierer AC3“, bestimmt, dass die Kommunikationsnachricht MB authentisiert ist, wenn der Authentisierer AC2 und der Authentisierer AC3 übereinstimmen, und bestimmt, dass die Kommunikationsnachricht MB nicht authentisiert ist, wenn der Authentisierer AC2 und der Authentisierer AC3 nicht übereinstimmen. Der Authentisierer-Generator 33 gibt ein Ergebnis der Bestimmung der Authentisierung an den Nachrichtenprozessor 34 aus. Der Nachrichtenprozessor 34 gibt die „Nachrichtendaten DT“ der authentisierten Kommunikationsnachricht MB an den Informationsprozessor 32 aus und verwirft die „Nachrichtendaten DT“ der nicht authentisierten Kommunikationsnachricht MB.
  • Ein Betrieb des Kommunikationssystems der Ausführungsform wird beschrieben. Um die Beschreibung zu erleichtern, wird angenommen, dass die Kommunikationsnachricht MB von der ersten ECU 21 übertragen und durch die dritte ECU 23 empfangen wird.
  • Aktualisierung eines oberen Bits
  • 6 und 7 veranschaulichen einen Vorgang des Aktualisierens der „oberen Bits MCH“ des Nachrichtenzählers MC. Mit der Ausführung des Vorgangs wird in jedem Zyklus oder jedes Mal dann begonnen, wenn eine vorbestimmte Bedingung in dem Gateway 10 oder den ECUs 21 bis 24 festgestellt wird.
  • Wie in 6 veranschaulicht, bestimmt das Gateway 10, ob ein Zeitpunkt, an dem die Synchronisationsnachricht MA übertragen wird, erreicht ist (Schritt S10 in 6). Der Übertragungszeitpunkt ist beispielsweise ein Zeitpunkt, an dem die „oberen Bits MCH“ des Nachrichtenzählers MC aktualisiert wurden. In einem Fall, in dem das Gateway 10 bestimmt, dass der Übertragungszeitpunkt nicht erreicht ist (NEIN in Schritt S10 von 6), endet der Prozess des Aktualisierens der oberen Bits vorläufig.
  • Hingegen überträgt das Gateway 10 in einem Fall, in dem das Gateway 10 bestimmt, dass der Übertragungszeitpunkt erreicht ist (JA in Schritt S10 von 6), die „Synchronisationsnachricht MA“ an alle ECUs 21 bis 24 (Schritt S11 in 6). Der Prozess des Aktualisierens der oberen Bits endet vorläufig.
  • Wie in 7 veranschaulicht, bestimmt jede der ECUs 21 bis 24, ob die ECU die Synchronisationsnachricht MA empfangen hat (Schritt S20 in 7). Wenn die ECU bestimmt, dass die ECU die Synchronisationsnachricht MA nicht empfangen hat (NEIN in Schritt S20 von 7), dann endet der Prozess des Aktualisierens der oberen Bits vorläufig. In einem Fall hingegen, in dem die ECU bestimmt, dass die ECU die Synchronisationsnachricht MA empfangen hat (JA in Schritt S20 von 7), authentisiert jede der ECUs 21 bis 24 den „Authentisierer AC1“ der empfangenen Synchronisationsnachricht MA (Schritt S21 in 7). Die Authentisierung des „Authentisierers AC1“ erfolgt durch einen Vergleich mit dem in dem Authentisierer-Generator 33 regenerierten Authentisierer. Wenn der Authentisierer AC1 und der regenerierte Authentisierer als ein Ergebnis des Vergleichs übereinstimmen, wird der Authentisierer AC1 authentisiert, wohingegen dann, wenn der Authentisierer AC1 und der regenerierte Authentisierer als ein Ergebnis des Vergleichs nicht übereinstimmen, der Authentisierer AC1 nicht authentisiert wird. In einem Fall, in dem der „Authentisierer AC1“ der Synchronisationsnachricht MA nicht authentisiert werden kann (NEIN in Schritt S21 von 7), endet der Prozess des Aktualisierens der oberen Bits vorläufig.
  • In einem Fall hingegen, in dem jede der ECUs 21 bis 24 den Authentisierer AC1 der Synchronisationsnachricht MA authentisiert (JA in Schritt S21 von 7), aktualisiert jede der ECUs 21 bis 24 die „oberen Bits MCH“ des in der ECU gespeicherten Nachrichtenzählers MC (Schritt S22 in 7). Der Prozess des Aktualisierens der oberen Bits endet vorläufig.
  • Übertragung und Empfang einer Kommunikationsnachricht
  • Wenn, wie in 4 veranschaulicht, der Informationsprozessor 32 die „Nachrichtendaten DT“ generiert, generiert die erste ECU 21 den „Authentisierer AC2“ basierend auf den „Nachrichtendaten DT“ und dem Nachrichtenzähler MC unter Verwendung des Authentisierer-Generators 33. Die erste ECU 21 generiert die Kommunikationsnachricht MB aus den „Nachrichtendaten DT“ und den „unteren Bits MCL“ des Nachrichtenzählers MC, wenn der Authentisierer AC2 generiert ist, und dem generierten „Authentisierer AC2“ und überträgt die generierte Kommunikationsnachricht MB an den Kommunikationsbus L1. Die an den Kommunikationsbus L1 übertragene Kommunikationsnachricht MB kann durch das Gateway 10 von dem Kommunikationsbus L1 an den Kommunikationsbus 2 übertragen und durch die mit dem Kommunikationsbus L2 verbundene dritte ECU 23 empfangen werden.
  • Wie in 5 veranschaulicht, erlangt die dritte ECU 23 die „Nachrichtendaten DT“, die „unteren Bits MCL“ des Nachrichtenzählers MC und den „Authentisierer AC2“ aus der Kommunikationsnachricht MB unter Verwendung des Authentisierer-Generators 33. Ferner rekonstruiert die dritte ECU 23 den Nachrichtenzähler MC aus den „unteren Bits MCL“ des Nachrichtenzählers MC und den „oberen Bits MCH“ des Nachrichtenzählers MC, welche vorab aus der Synchronisationsnachricht MA erlangt werden, unter Verwendung des Authentisierer-Generators 33. Die dritte ECU 23 regeneriert den „Authentisierer AC3“ aus den „Nachrichtendaten DT“ und dem rekonstruierten Nachrichtenzähler MC unter Verwendung der Verschlüsselungsmaschine 35. Anschließend vergleicht die dritte ECU 23 den erlangten „Authentisierer AC2“ mit dem regenerierten „Authentisierer AC3“, um eine Authentisierung in dem Authentisierer-Generator 33 durchzuführen. In einem Fall, in dem die empfangene Kommunikationsnachricht MB authentisiert wird, sendet die dritte ECU 23 die „Nachrichtendaten DT“ an den Informationsprozessor 32. In einem Fall hingegen, in dem die empfangene Kommunikationsnachricht MB nicht authentisiert wird, wird die Kommunikationsnachricht MB verworfen. Mithin wird in einem Fall, in dem die Kommunikationsnachricht MB eine betrügerische Nachricht ist, welche aufgrund von Spoofing oder dergleichen übertragen wird, verhindert, dass in der betrügerischen Kommunikationsnachricht MB beinhaltete „Nachrichtendaten DT“ an den Informationsprozessor 32 gesendet und von diesem verarbeitet werden.
  • Wie oben beschrieben, können gemäß dem Kommunikationssystem der Ausführungsform die folgenden Wirkungen erhalten werden.
    • (1) Nur die „unteren Bits MCL“ des Nachrichtenzählers MC sind in der Kommunikationsnachricht MB beinhaltet. Somit ist es möglich, einen breiten Bereich für Nachrichtendaten sicherzustellen. Da ferner die „oberen Bits MCH“ durch das Gateway 10 verwaltet werden, werden die „oberen Bits MCH“ zwischen den jeweiligen ECUs 21 bis 24 synchronisiert. Das heißt, jede der ECUs 21 bis 24 auf der Empfangsseite kann den Nachrichtenzähler MC, der zum Generieren des „Authentisierers AC2“ in jeder der ECUs 21 bis 24 auf der Übertragungsseite verwendet wird, durch Kombinieren der „oberen Bits MCH“ von dem Gateway 10 mit den in der Kommunikationsnachricht MB beinhalteten „unteren Bits MCL“ rekonstruieren. Daher ist es selbst dann, wenn eine Größe des Nachrichtenzählers MC auf eine Größe festgelegt ist, die zum Sicherstellen der Zuverlässigkeit nötig ist, möglich, eine zum Speichern der Kommunikationsnachricht MB nötige Kapazität auf eine geringe Kapazität zu verringern und eine Kapazitätsverringerung für die Nachrichtendaten zu verhindern. Somit ist es möglich, die Zuverlässigkeit der Kommunikationsnachricht MB sicherzustellen und gleichzeitig einen Anstieg des Datenverkehrs zu unterbinden.
    • (2) Die „oberen Bits MCH“ des von dem Gateway 10 übertragenen Nachrichtenzählers MC werden empfangen, die „oberen Bits MCH“ des in jeder der ECUs 21 bis 24 gespeicherten Nachrichtenzählers MC werden mit den „oberen Bits MCH“ des empfangenen Nachrichtenzählers MC aktualisiert, das heißt synchronisiert. Selbst wenn daher der Nachrichtenzähler MC in zwei Teile gegliedert ist, die „oberen Bits MCH“ und die „unteren Bits MCL“, ist es möglich, die Kommunikationsnachricht MB unter Verwendung des Nachrichtenzählers MC zu authentisieren.
  • Ferner ist es möglich, die „oberen Bits MCH“ des in jeder der ECUs 21 bis 24 gespeicherten Nachrichtenzählers MC zu synchronisieren. Selbst wenn daher die „oberen Bits MCH“ des in den ECUs 21 bis 24 gespeicherten Nachrichtenzählers MC durch eine Rücksetzung der ECUs 21 bis 24 oder dergleichen asynchron initialisiert werden, wird der gespeicherte Nachrichtenzähler MC auf einen Normalwert zurückgesetzt, und es ist möglich, die Authentisierung normal durchzuführen.
    • (3) Da der Nachrichtenzähler MC separat von der „Nachrichten-ID“ verwaltet wird, wird die Größe des Nachrichtenzählers MC gering gehalten. Wenn ferner die „Nachrichten-ID“ separat ist, wird selbst beim Aktualisieren der „unteren Bits MCL“ des Nachrichtenzählers MC ein zeitlicher Spielraum erhalten, und daher nimmt ein Freiheitsgrad der Synchronisierung des Nachrichtenzählers MC zu.
    • (4) Die Zuverlässigkeit des Kommunikationsinhalts kann für die „oberen Bits MCH“ des Nachrichtenzählers MC, der in der Synchronisationsnachricht MA von dem Gateway 10 übertragen wird, durch Verwenden des „Authentisierers AC1“ aufrechterhalten werden, der durch Verschlüsseln der „oberen Bits MCH“ des in der Synchronisationsnachricht MA übertragenen Nachrichtenzählers MC unter Verwendung des Chiffrierschlüssels EK erhalten wird.
  • Das heißt, der in der Synchronisationsnachricht MA von dem Gateway 10 übertragene „Authentisierer AC1“ ist der „Authentisierer AC1“, der aus den „oberen Bits MCH“ des Nachrichtenzählers MC generiert wird. Daher können in jeder der ECUs 21 bis 24, welche die Synchronisationsnachricht MA empfangen haben, der in der Synchronisationsnachricht MA übertragene „Authentisierer AC1“ und der Authentisierer, der aus den „oberen Bits MCH“ des in der Synchronisationsnachricht MA übertragenen Nachrichtenzählers MC regeneriert wird, erlangt werden, und die Authentisierung der Synchronisationsnachricht MA kann durch einen Vergleich der Authentisierer durchgeführt werden. Daher kann jede der ECUs 21 bis 24 die Synchronisationsnachricht MA von dem Gateway 10 empfangen, um die „oberen Bits MCH“ des Nachrichtenzählers MC zu erlangen, deren Zuverlässigkeit sichergestellt wurde, und kann eine Authentisierung der Synchronisationsnachricht MA basierend auf den oberen Bits MCH durchführen.
    • (5) Da der Wert des Nachrichtenzählers MC aktualisiert und dabei nicht dupliziert wird, kann selbst dann, wenn die übertragene Kommunikationsnachricht MB erneut übertragen wird, bestimmt werden, dass die erneut übertragene Kommunikationsnachricht MB nicht gültig ist.
    • (6) Die Zuverlässigkeit der Authentisierer AC1, AC2, das heißt, die Zuverlässigkeit der Kommunikationsnachricht MB, wird durch einen gemeinsamen Chiffrierschlüssel EK sichergestellt. Es ist wünschenswert, dass der Chiffrierschlüssel EK nicht extern erlangt werden kann, indem ein manipulationssicherer Speicher oder dergleichen verwendet wird.
  • Andere Ausführungsformen
  • Die obigen Ausführungsformen können auch in den folgenden Aspekten verkörpert werden.
  • Synchronisationsnachricht
  • In der obigen Ausführungsform wurde der Fall beispielhaft veranschaulicht, in dem der Nachrichtenzähler MC in der Synchronisationsnachricht MA übertragen wird. In diesem Fall kann für eine Nachrichten-ID eine Nachrichten-ID vorgesehen sein, die für die Synchronisationsnachricht verwendet wird. In diesem Fall beträgt die Anzahl von Nachrichten-IDs wahrscheinlich das Doppelte oder mehr in einem gesamten Kommunikationssystem.
  • Ferner kann für alle Nachrichten-IDs nur eine Nachrichten-ID vorgesehen sein, die für die Synchronisationsnachricht verwendet wird. In diesem Fall wird die Anzahl von Nachrichten-IDs in dem gesamten Kommunikationssystem nur um eins erhöht. Ferner können für eine Mehrzahl von Nachrichten-IDs, deren Zahl geringer ist als die aller Nachrichten-IDs, Nachrichten-IDs, die für die Synchronisationsnachricht verwendet werden, jeweils einzeln vorgesehen sein. Das heißt, wenn die Synchronisationsnachricht gemeinsam genutzt werden kann, ist es möglich, aus der begrenzten Anzahl von Nachrichten-IDs diejenige Anzahl von Nachrichten-IDs, die der Synchronisationsnachricht zuzuweisen sind, gering zu halten. Wenn die Anzahl von Nachrichten-IDs gering gehalten wird, wird erreicht, dass eine Vergrößerung des Bereichs zum Speichern der Nachrichten-ID oder der Nachrichtendaten, eine Zunahme einer Verarbeitungslast, ein Anstieg einer Kommunikationslast und dergleichen unterbunden werden.
  • Gateway
  • In der obigen Ausführungsform wurde der Fall beispielhaft veranschaulicht, in dem das Gateway 10 die Kommunikationsnachricht MB zwischen den Kommunikationsbussen L1, L2 weiterleitet. Jedoch ist die vorliegende Erfindung nicht hierauf beschränkt, und das Gateway kann mit einem Kommunikationsbus verbunden sein oder die Kommunikationsnachricht kann zwischen mehr als zwei Kommunikationsbussen weitergeleitet werden.
  • In der obigen Ausführungsform wurde der Fall beispielhaft veranschaulicht, in dem das Gateway 10 die Synchronisationsnachricht MA verwaltet und überträgt. Jedoch ist die vorliegende Erfindung nicht hierauf beschränkt, und die ECU kann die Synchronisationsnachricht verwalten und übertragen.
  • In der obigen Ausführungsform wurde der Fall beispielhaft veranschaulicht, in dem ein Gateway 10 die Synchronisationsnachricht MA verwaltet und überträgt. Jedoch ist die vorliegende Erfindung nicht hierauf beschränkt, und eine Mehrzahl von Gateways oder ECUs können die Synchronisationsnachricht auf gemeinsame Weise verwalten.
  • In der obigen Ausführungsform wurde der Fall beispielhaft veranschaulicht, in dem der Codeverwalter 11 die „oberen Bits MCH“ des Nachrichtenzählers MC speichert und verwaltet. Jedoch ist die vorliegende Erfindung nicht hierauf beschränkt, und der Codeverwalter kann eine Gesamtlänge des Nachrichtenzählers MC aufnehmen bzw. enthalten. Der Codeverwalter kann einen Bitabschnitt verwalten, der den „oberen Bits MCH“ des Nachrichtenzählers MC entspricht. Der aktuelle Wert der „unteren Bits MCL“ des Nachrichtenzählers MC kann aus der Kommunikationsnachricht MB erlangt werden.
  • In der obigen Ausführungsform wurde der Fall beispielhaft veranschaulicht, in dem der Übertrager 12 einen Teil des Nachrichtenzählers MC überträgt. Jedoch ist die vorliegende Erfindung nicht hierauf beschränkt, und der Übertrager kann die Gesamtheit (Gesamtzahl von Bits) des Nachrichtenzählers unter Verwendung der Synchronisationsnachricht übertragen, sofern das Gateway die Gesamtheit des Nachrichtenzählers aufnimmt bzw. enthält. Die ECU, welche die Synchronisationsnachricht empfangen hat, kann nur einen Abschnitt verwenden, der den oberen Bits in der Gesamtheit (Gesamtzahl von Bits) des Nachrichtenzählers entspricht.
  • Kommunikationsprotokoll
  • In der obigen Ausführungsform wurde der Fall beispielhaft beschrieben, in dem das Kommunikationsprotokoll das CAN-Protokoll ist. Jedoch ist die vorliegende Erfindung nicht hierauf beschränkt, und das Kommunikationsprotokoll kann ein von dem CAN-Protokoll verschiedenes Protokoll sein, wie etwa ein Kommunikationsprotokoll wie Ethernet (eingetragene Handelsmarke) oder FlexRay (eingetragene Handelsmarke), sofern der Nachrichtenzähler verwendet wird, um die Zuverlässigkeit der Kommunikationsnachricht sicherzustellen.
  • Nachrichtenzähler
  • In der obigen Ausführungsform wurde der Fall beispielhaft beschrieben, in dem die Länge des Nachrichtenzählers MC 8 Byte (64 Bit) beträgt. Jedoch ist die vorliegende Erfindung nicht hierauf beschränkt, und die Länge des Nachrichtenzählers kann beispielsweise 124 Bit länger als 64 Bit sein oder im Gegensatz dazu 32 Bit kürzer als 64 Bit sein, sofern der gleiche Wert nicht erneut wiederholt wird oder ein langes Zeitintervall selbst dann sichergestellt werden kann, wenn der gleiche Wert wiederholt wird.
  • In der obigen Ausführungsform wurde der Fall beispielhaft beschrieben, in dem der Codeverwalter 11 die „oberen Bits MCH“ gemäß den „unteren Bits MCL“, welche den Maximalwert besitzen, aktualisiert, das heißt, ein Aspekt wurde beispielhaft veranschaulicht, der gleich einem in einer Bitfolge erfolgenden Übertrag ist. Jedoch ist die vorliegende Erfindung nicht hierauf beschränkt, und der Codeverwalter kann die „oberen Bits MCH“ auch gemäß einer festgestellten vorbestimmten Bedingung zum Übertragen der Synchronisationsnachricht MA aktualisieren. Die vorbestimmte Bedingung kann eine Bedingung oder eine Mehrzahl von Bedingungen sein, wie etwa ein Fall, in dem die Zündung von „aus“ in „an“ geändert wird, oder ein Fall, in dem eine vorbestimmte Zeit (beispielsweise Y ms: Y ist ein einstellbarer Wert) ab einem Zeitpunkt verstrichen ist, an dem eine vorherige Synchronisationsnachricht aktualisiert (übertragen) wurde, und kann eine Bedingung sein, welche eine Kombination der obigen Bedingungen ist.
  • In der obigen Ausführungsform wurde der Fall beispielhaft veranschaulicht, in dem entsprechend der Veränderung der „unteren Bits MCL“ des Nachrichtenzählers MC von „0“ auf den Maximalwert der Wert der „oberen Bits MCH“ in dem Gateway 10 um „1“ erhöht (monoton erhöht) wird. Jedoch ist die vorliegende Erfindung nicht hierauf beschränkt, und die „oberen Bits MCH“ können unter Verwendung eines Zeitpunkts, bevor „die unteren Bits MCL“ den Maximalwert überschreiten, als einen Aktualisierungszeitpunkt aktualisiert werden, sofern der Nachrichtenzähler MC nicht erneut den gleichen Wert besitzt. Wenn in diesem Fall ein Zeitpunkt, an dem die „unteren Bits MCL“ einen Wert besitzen, der so nahe wie möglich bei dem Maximalwert liegt, als der Aktualisierungszeitpunkt verwendet wird, kann die Anzahl von Bits des Nachrichtenzählers MC effektiv genutzt werden. Beispielsweise kann der Codeverwalter die durch die ECU übertragene Kommunikationsnachricht empfangen, um die „unteren Bits MCL“ des Nachrichtenzählers zu überwachen, und als den Aktualisierungszeitpunkt einen Zeitpunkt verwenden, an dem die „unteren Bits MCL“ größer oder gleich einem Aktualisierungswert sind, welcher ein unter dem Maximalwert eingestellter Schwellwert ist.
  • In der obigen Ausführungsform wurde der Fall beispielhaft veranschaulicht, in dem die „unteren Bits MCL“ des Nachrichtenzählers MC vom Ausgangswert „0“ auf den Maximalwert geändert werden. Jedoch ist die vorliegende Erfindung nicht hierauf beschränkt, und der Ausgangswert kann auf einen größeren Wert als „0“ eingestellt werden und kann nach dem Maximalwert auf „0“ zurückkehren und auf einen Wert vor dem Ausgangswert verändert werden.
  • In der obigen Ausführungsform wurde der Fall beispielhaft veranschaulicht, in dem der Wert des Nachrichtenzählers MC jedes Mal dann um „1“ inkrementiert wird, wenn die Kommunikationsnachricht MB übertragen wird. Jedoch ist die vorliegende Erfindung nicht hierauf beschränkt, und sofern die Zuverlässigkeit der Kommunikationsnachricht sichergestellt ist, kann der Nachrichtenzähler beispielsweise von dem Maximalwert auf „0“ abnehmen, so dass der gleiche Wert nicht erneut verwendet wird, oder kann auf unregelmäßige Weise verändert werden. Da das obere Bit und das untere Bit separat verwaltet werden, können ein Veränderungsaspekt der oberen Bits und ein Veränderungsaspekt der unteren Bits gleich oder separat sein.
  • In der obigen Ausführungsform wurde der Fall beispielhaft veranschaulicht, in dem ein Nachrichtenzähler MC einer Nachrichten-ID entspricht. Jedoch ist die vorliegende Erfindung nicht hierauf beschränkt, und eine Mehrzahl von Nachrichten-IDs können einem Nachrichtenzähler entsprechen. In einem Fall, in dem der Nachrichtenzähler einer Mehrzahl von Nachrichten-IDs entsprechen kann, kann die Anzahl von zu verwaltenden Nachrichtenzählern verringert werden.
  • In der obigen Ausführungsform wurde der Fall beispielhaft beschrieben, in dem der Nachrichtenzähler MC nicht erneut den gleichen Wert besitzt, doch ist die vorliegende Erfindung nicht hierauf beschränkt, und der Nachrichtenzähler MC kann vorübergehend den gleichen Wert besitzen. Beispielsweise kann der Nachrichtenzähler in einem Fall, in dem das Aktualisieren der „oberen Bits“ nicht rechtzeitig vorgenommen wird oder eine Synchronisierung nicht durchgeführt werden kann, vorübergehend den gleichen Wert wie den vergangenen Wert besitzen und zweimal verwendet werden. Ferner kann der gleiche Wert eine vorbestimmte Anzahl von Malen verwendet werden, sofern die benötigte Zuverlässigkeit sichergestellt werden kann.
  • In der obigen Ausführungsform wurde der Fall beispielhaft beschrieben, in dem die „oberen Bits MCH“ 7 Byte betragen und die „unteren Bits MCL“ 1 Byte betragen. Jedoch ist die vorliegende Erfindung nicht hierauf beschränkt, und die oberen Bits und die unteren Bits können um andere Bytes auseinanderliegen, wie etwa „6 Bytes“ und „2 Bytes“. Ferner können die oberen Bits und die unteren Bits in Biteinheiten wie etwa „60 Bits“ und „4 Bits“ auseinanderliegen, statt um Bytes auseinanderzuliegen.
  • Nachrichtenbox
  • In der obigen Ausführungsform wurde der Fall beispielhaft veranschaulicht, in dem MBOXs 31a, 31b, 31 c beinhaltet sind, doch ist die vorliegende Erfindung nicht hierauf beschränkt. Die MBOX kann eine übertragene oder empfangene Kommunikationsnachricht weiterleiten und vorübergehend speichern, so dass die Kommunikationsnachricht mit einer geeigneten Einheit in der ECU ausgetauscht werden kann, und die Anzahl von MBOXs kann eins, zwei oder vier betragen.
  • Authentisierer-Generator
  • In der obigen Ausfiihrungsform wird der Fall beispielhaft veranschaulicht, in dem die Authentisierung basierend auf dem „Authentisierer AC2“ durchgeführt wird. In diesem Fall können die „unteren Bits MCL“ des Nachrichtenzählers MC vor der Authentisierung basierend auf dem „Authentisierer AC2“ aus der Kommunikationsnachricht MB erlangt werden, und es kann bestätigt werden, ob die erlangten „unteren Bits MCL“ größer (aktualisiert) sind als die zuvor erlangten „unteren Bits MCL“. In einem Fall, in dem die erlangten „unteren Bits MCL“ größer (aktualisiert) sind, kann die Authentisierung basierend auf dem „Authentisierer AC2“ durchgeführt werden. In einem Fall hingegen, in dem die erlangten „unteren Bits MCL“ nicht größer (nicht aktualisiert) sind, kann bestimmt werden, dass die Authentisierung nicht durchgeführt wird, und die Authentisierung basierend auf dem „Authentisierer AC2“ kann entfallen.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 201166703 [0002]
    • JP 2011066703 A [0002, 0003, 0004]

Claims (13)

  1. Kommunikationssystem, aufweisend: eine Verwaltungsvorrichtung (10), die konfiguriert ist, um erste Informationen (MCH) in einem durch Kombinieren der ersten Informationen (MCH) und zweiter Informationen (MCL) gebildeten Verwaltungscode (MC) zu speichern, wobei die Verwaltungsvorrichtung (10) konfiguriert ist, um die gespeicherten ersten Informationen (MCH) so zu verwalten, dass die ersten Informationen (MCH) jedes Mal dann einmal aktualisiert werden, wenn die zweiten Informationen (MCL) eine vorbestimmte Anzahl von Malen aktualisiert werden; eine Empfangsvorrichtung, die über ein Kommunikationsnetzwerk kommunizierbar mit der Verwaltungsvorrichtung (10) verbunden ist; und eine Übertragungsvorrichtung, die über das Kommunikationsnetzwerk kommunizierbar mit der Verwaltungsvorrichtung (10) verbunden ist, wobei: die Verwaltungsvorrichtung (10) konfiguriert ist, um eine erste Kommunikationsnachricht (MA), die die ersten Informationen (MCH) beinhaltet, an das Kommunikationsnetzwerk zu übertragen; die Empfangsvorrichtung und die Übertragungsvorrichtung konfiguriert sind, um die erste Kommunikationsnachricht (MA) zu empfangen und die ersten Informationen (MCH), die in der empfangenen ersten Kommunikationsnachricht (MA) beinhaltet sind, jedes Mal dann aufzunehmen, wenn die Empfangsvorrichtung und die Übertragungsvorrichtung die erste Kommunikationsnachricht (MA) empfangen; die Übertragungsvorrichtung konfiguriert ist, um die zweiten Informationen (MCL) in dem Verwaltungscode (MC) zu verwalten, und konfiguriert ist, um einen ersten Authentisierer (AC2) aus Kommunikationsdaten (DT) und dem Verwaltungscode (MC), der durch Kombinieren der aufgenommenen ersten Informationen (MCH) mit den verwalteten zweiten Informationen (MCL) gebildet ist, zu generieren, eine zweite Kommunikationsnachricht (MB) zu generieren und übertragen, welche die Kommunikationsdaten (DT), die verwalteten zweiten Informationen (MCL) und den generierten ersten Authentisierer (AC2) beinhaltet und nicht die aufgenommenen ersten Informationen (MCH) beinhaltet, und einen Wert der verwalteten zweiten Informationen (MCL) nach dem Generieren der zweiten Kommunikationsnachricht (MB) zu aktualisieren; die Empfangsvorrichtung konfiguriert ist, um die durch die Übertragungsvorrichtung übertragene zweite Kommunikationsnachricht (MB) zu empfangen und die empfangene zweite Kommunikationsnachricht (MB) basierend auf einem Vergleich zwischen dem ersten Authentisierer (AC2), der in der empfangenen zweiten Kommunikationsnachricht (MB) beinhaltet ist, und einem regenerierten Authentisierer, der basierend auf der empfangenen zweiten Kommunikationsnachricht (MB) regeneriert ist, zu authentisieren; und die Empfangsvorrichtung konfiguriert ist, um den Verwaltungscode (MC) durch Kombinieren der aufgenommenen ersten Informationen (MCH) mit den aus der zweiten Kommunikationsnachricht (MB) erlangten zweiten Informationen (MCL) zu rekonstruieren und den regenerierten Authentisierer aus den Kommunikationsdaten (DT) zu erlangen, die aus der durch die Übertragungsvorrichtung übertragenen zweiten Kommunikationsnachricht (MB) und dem rekonstruierten Verwaltungscode (MC) erlangt sind.
  2. Kommunikationssystem nach Anspruch 1, wobei: die Verwaltungsvorrichtung (10) konfiguriert ist, um die erste Kommunikationsnachricht (MA), die die ersten Informationen (MCH) beinhaltet, als eine Kommunikationsnachricht einzurichten, die einen aus den ersten Informationen (MCH) generierten zweiten Authentisierer (AC1) und die ersten Informationen (MCH) beinhaltet; und die Empfangsvorrichtung und die Übertragungsvorrichtung jeweils konfiguriert sind, um die durch die Verwaltungsvorrichtung (10) übertragene erste Kommunikationsnachricht (MA) zu empfangen und eine Authentisierung der empfangenen ersten Kommunikationsnachricht (MA) durch einen Vergleich zwischen dem in der empfangenen ersten Kommunikationsnachricht (MA) beinhalteten zweiten Authentisierer (AC1) und einem regenerierten Authentisierer, der aus den in der empfangenen ersten Kommunikationsnachricht (MA) beinhalteten ersten Informationen (MCH) regeneriert ist, durchzuführen.
  3. Kommunikationssystem nach Anspruch 1, wobei: der Verwaltungscode Bitdaten sind; die ersten Informationen obere Bits (MCH) sind; die zweiten Informationen untere Bits (MCL) sind; die Verwaltungsvorrichtung (10) konfiguriert ist, um die oberen Bits (MCH) mit einem neuen Wert, der einen vorherigen Wert nicht dupliziert, zu einem Zeitpunkt zu aktualisieren, bevor alle Muster der unteren Bits (MCL) verbraucht sind, und die erste Kommunikationsnachricht (MA) zu übertragen; und die Übertragungsvorrichtung konfiguriert ist, um die unteren Bits (MCL) des Verwaltungscodes (MC) jedes Mal dann zu initialisieren, wenn die von der Verwaltungsvorrichtung (10) übertragene erste Kommunikationsnachricht (MA) empfangen wird, und eine Aktualisierung der unteren Bits (MCL) des Verwaltungscodes (MC), die jedes Mal dann durchgeführt wird, wenn die erste Kommunikationsnachricht (MA) generiert wird, mit einem nicht-duplizierenden Wert durchzuführen, bevor die von der Verwaltungsvorrichtung (10) übertragene erste Kommunikationsnachricht (MA) anschließend empfangen wird.
  4. Kommunikationssystem nach Anspruch 1, wobei: der ersten Kommunikationsnachricht (MA) und der zweiten Kommunikationsnachricht (MB) je nach Kommunikationsinhalt unterschiedliche Kennungen hinzugefügt sind; und die Verwaltungsvorrichtung (10) konfiguriert ist, um den Verwaltungscode (MC) separat von den Kennungen zu verwalten.
  5. Kommunikationssystem nach Anspruch 1, wobei die Übertragungsvorrichtung und die Empfangsvorrichtung einen gemeinsamen Chiffrierschlüssel (EK) besitzen und konfiguriert sind, um den ersten Authentisierer (AC2) unter Verwendung des Chiffrierschüssels (EK) zu generieren.
  6. Kommunikationssystem nach Anspruch 2, wobei: der Verwaltungscode Bitdaten sind; die ersten Informationen obere Bits (MCH) sind; die zweiten Informationen untere Bits (MCL) sind; die Verwaltungsvorrichtung (10) konfiguriert ist, um die oberen Bits (MCH) mit einem neuen Wert, der einen vorherigen Wert nicht dupliziert, zu einem Zeitpunkt zu aktualisieren, bevor alle Muster der unteren Bits (MCL) verbraucht sind, und die erste Kommunikationsnachricht (MA) zu übertragen; und die Übertragungsvorrichtung konfiguriert ist, um die unteren Bits (MCL) des Verwaltungscodes (MC) jedes Mal dann zu initialisieren, wenn die von der Verwaltungsvorrichtung (10) übertragene erste Kommunikationsnachricht (MA) empfangen wird, und eine Aktualisierung der unteren Bits (MCL) des Verwaltungscodes (MC), die jedes Mal dann durchgeführt wird, wenn die erste Kommunikationsnachricht (MA) generiert wird, mit einem nicht-duplizierenden Wert durchzuführen, bevor die von der Verwaltungsvorrichtung (10) übertragene erste Kommunikationsnachricht (MA) anschließend empfangen wird.
  7. Kommunikationssystem nach Anspruch 2 oder 6, wobei: der ersten Kommunikationsnachricht (MA) und der zweiten Kommunikationsnachricht (MB) je nach Kommunikationsinhalt unterschiedliche Kennungen hinzugefügt sind; und die Verwaltungsvorrichtung (10) konfiguriert ist, um den Verwaltungscode (MC) separat von den Kennungen zu verwalten.
  8. Kommunikationssystem nach einem der Ansprüche 2, 6 und 7, wobei die Übertragungsvorrichtung und die Empfangsvorrichtung einen gemeinsamen Chiffrierschlüssel (EK) besitzen und konfiguriert sind, um den ersten Authentisierer (AC2) unter Verwendung des Chiffrierschüssels (EK) zu generieren.
  9. Kommunikationssystem nach Anspruch 8, wobei die Verwaltungsvorrichtung (10) einen Chiffrierschlüssel (EK) besitzt, den die Übertragungsvorrichtung und die Empfangsvorrichtung gemeinsam haben, und konfiguriert ist, um den zweiten Authentisierer (AC1) unter Verwendung des Chiffrierschlüssels (EK) zu generieren.
  10. Kommunikationssystem nach Anspruch 1, wobei die Verwaltungsvorrichtung (10) konfiguriert ist, um die erste Kommunikationsnachricht (MA) zu übertragen, wenn die ersten Informationen (MCH) aktualisiert sind.
  11. Kommunikationssystem nach Anspruch 3, wobei: die zweiten Informationen (MCL) ein Zähler sind, der ausgehend von einem Ausgangswert 0 bis zu einem Maximalwert fortlaufend hochzählt; und die Verwaltungsvorrichtung (10) konfiguriert ist, um die ersten Informationen (MCH) gemäß den zweiten Informationen (MCL), welche der Maximalwert sind, zu aktualisieren.
  12. Kommunikationssystem nach Anspruch 3, wobei: die zweiten Informationen (MCL) ein Zähler sind, der ausgehend von einem Ausgangswert 0 bis zu einem Maximalwert fortlaufend hochzählt; und die Verwaltungsvorrichtung (10) konfiguriert ist, um die ersten Informationen (MCH) zu aktualisieren, wenn die zweiten Informationen (MCL) größer oder gleich einem Aktualisierungswert sind, der ein unterhalb des Maximalwerts eingestellter Schwellwert ist.
  13. Kommunikationsverfahren, das in einem Kommunikationssystem verwendet wird, beinhaltend eine Verwaltungsvorrichtung (10), die konfiguriert ist, um erste Informationen (MCH) in einem durch Kombinieren der ersten Informationen (MCH) und zweiter Informationen (MCL) gebildeten Verwaltungscode (MC) in der Verwaltungsvorrichtung (10) zu speichern, wobei die Verwaltungsvorrichtung (10) konfiguriert ist, um die gespeicherten ersten Informationen (MCH) so zu verwalten, dass die gespeicherten ersten Informationen (MCH) jedes Mal dann einmal aktualisiert werden, wenn die zweiten Informationen (MCL) eine vorbestimmte Anzahl von Malen aktualisiert werden, und eine Empfangsvorrichtung und eine Übertragungsvorrichtung beinhaltet, die über ein Kommunikationsnetzwerk kommunizierbar mit der Verwaltungsvorrichtung (10) verbunden sind, wobei das Kommunikationsverfahren umfasst: Übertragen, durch die Verwaltungsvorrichtung (10), einer die ersten Informationen (MCH) beinhaltenden ersten Kommunikationsnachricht (MA); Empfangen der ersten Kommunikationsnachricht (MA) durch die Empfangsvorrichtung und die Übertragungsvorrichtung und Aufnehmen, durch die Empfangsvorrichtung und die Übertragungsvorrichtung, der in der empfangenen ersten Kommunikationsnachricht (MA) beinhalteten ersten Informationen (MCH) jedes Mal dann, wenn die durch die Verwaltungsvorrichtung (10) übertragene erste Kommunikationsnachricht (MA) empfangen wird; Verwalten, durch die Übertragungsvorrichtung, der zweiten Informationen (MCL) in dem Verwaltungscode (MC), Generieren eines ersten Authentisierers (AC2) aus Kommunikationsdaten (DT) und dem durch Kombinieren der aufgenommenen ersten Informationen (MCH) mit den verwalteten zweiten Informationen (MCL) gebildeten Verwaltungscode (MC), Generieren und Übertragen einer zweiten Kommunikationsnachricht (MB), welche die Kommunikationsdaten (DT), die verwalteten zweiten Informationen (MCL) und den generierten ersten Authentisierer (AC2) beinhaltet und nicht die aufgenommenen ersten Informationen (MCH) beinhaltet, und Aktualisieren eines Werts der verwalteten zweiten Informationen (MCL) nach dem Generieren der zweiten Kommunikationsnachricht (MB); Empfangen, durch die Empfangsvorrichtungen, der durch die Übertragungsvorrichtung übertragenen zweiten Kommunikationsnachricht (MB) und Authentisieren der empfangenen zweiten Kommunikationsnachricht (MB) basierend auf einem Vergleich zwischen dem in der empfangenen zweiten Kommunikationsnachricht (MB) beinhalteten ersten Authentisierer (AC2) und einem regenerierten Authentisierer, der basierend auf der empfangenen zweiten Kommunikationsnachricht (MB) regeneriert ist; und Rekonstruieren, durch die Empfangsvorrichtung, des Verwaltungscodes (MC) durch Kombinieren der aufgenommenen ersten Informationen (MCH) mit den zweiten Informationen (MCL), die aus der durch die Übertragungsvorrichtung übertragenen ersten Kommunikationsnachricht (MA) erlangt sind, und Erlangen des regenerierten Authentisierers aus den Kommunikationsdaten (DT), die aus der durch die Übertragungsvorrichtung übertragenen zweiten Kommunikationsnachricht (MB) und dem rekonstruierten Verwaltungscode (MC) erlangt sind.
DE102017123255.9A 2016-10-31 2017-10-06 Kommunikationssystem und Kommunikationsverfahren Active DE102017123255B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2016213501A JP6409849B2 (ja) 2016-10-31 2016-10-31 通信システム及び通信方法
JP2016-213501 2016-10-31

Publications (2)

Publication Number Publication Date
DE102017123255A1 true DE102017123255A1 (de) 2018-05-03
DE102017123255B4 DE102017123255B4 (de) 2023-07-20

Family

ID=61912097

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017123255.9A Active DE102017123255B4 (de) 2016-10-31 2017-10-06 Kommunikationssystem und Kommunikationsverfahren

Country Status (4)

Country Link
US (1) US10735517B2 (de)
JP (1) JP6409849B2 (de)
CN (2) CN108023730B (de)
DE (1) DE102017123255B4 (de)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6875576B2 (ja) * 2014-05-08 2021-05-26 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正対処方法
JP6409849B2 (ja) * 2016-10-31 2018-10-24 トヨタ自動車株式会社 通信システム及び通信方法
JP6683105B2 (ja) * 2016-11-10 2020-04-15 トヨタ自動車株式会社 通信システム
JP7016783B2 (ja) * 2018-10-17 2022-02-07 日立Astemo株式会社 情報処理装置、管理装置
CN110011805B (zh) * 2019-03-22 2022-02-15 深圳市令加信息技术有限公司 基于低功耗蓝牙系统的双向认证防伪系统及方法
JP7156257B2 (ja) 2019-11-21 2022-10-19 トヨタ自動車株式会社 車両通信装置、通信異常の判定方法及びプログラム
DE102020114081A1 (de) * 2020-05-26 2021-12-02 Krohne Messtechnik Gmbh Verfahren zum Synchronisieren eines Empfänger-Initialisierungsvektors mit einem Sender-Initialisierungsvektor
JP7380530B2 (ja) * 2020-11-13 2023-11-15 トヨタ自動車株式会社 車両通信システム、通信方法及び通信プログラム
JP7438924B2 (ja) 2020-12-15 2024-02-27 株式会社東芝 情報処理装置、方法及びプログラム
US11792007B2 (en) * 2021-03-17 2023-10-17 Ford Global Technologies, Llc System and method for a vehicle network
CN115277219A (zh) * 2022-07-29 2022-11-01 中国第一汽车股份有限公司 消息加密方法、解密方法、装置及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011066703A (ja) 2009-09-17 2011-03-31 Oki Electric Industry Co Ltd 通信データ新規性確認システム及び通信端末

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3767901A (en) * 1971-01-11 1973-10-23 Walt Disney Prod Digital animation apparatus and methods
US4162536A (en) * 1976-01-02 1979-07-24 Gould Inc., Modicon Div. Digital input/output system and method
US4591851A (en) * 1982-07-28 1986-05-27 Motorola, Inc. General purpose data control system
US5694428A (en) * 1992-03-12 1997-12-02 Ntp Incorporated Transmitting circuitry for serial transmission of encoded information
US5475863A (en) * 1993-10-04 1995-12-12 Motorola, Inc. Method and apparatus for delivering messages to portable communication units in a radio communication system
US6829357B1 (en) * 1999-12-14 2004-12-07 Trw Inc. Communication system having a transmitter and a receiver that engage in reduced size encrypted data communication
US6988238B1 (en) * 2000-01-24 2006-01-17 Ati Technologies, Inc. Method and system for handling errors and a system for receiving packet stream data
WO2009006593A2 (en) * 2007-07-05 2009-01-08 Coherent Logix Incorporated Mobile television broadcast system
US20100279610A1 (en) * 2007-12-19 2010-11-04 Anders Bjorhn System for receiving and transmitting encrypted data
US7974744B2 (en) * 2008-04-30 2011-07-05 The United States Of America As Represented By The Secretary Of The Navy Multiple telemetry stream parsing and reconstruction system
JP2012169829A (ja) * 2011-02-14 2012-09-06 Honda Motor Co Ltd 通信システムおよび通信方法
JP2013048374A (ja) * 2011-08-29 2013-03-07 Toyota Motor Corp 保護通信方法
CN103178949A (zh) * 2011-09-20 2013-06-26 王正伟 相对同步认证方法、同步参数更新方法、认证系统及装置
JP5770602B2 (ja) * 2011-10-31 2015-08-26 トヨタ自動車株式会社 通信システムにおけるメッセージ認証方法および通信システム
JP5100884B1 (ja) * 2011-12-02 2012-12-19 株式会社東芝 メモリ装置
JP5900509B2 (ja) * 2011-12-06 2016-04-06 富士通株式会社 ノード、通信方法、および通信システム
KR101356476B1 (ko) * 2012-01-13 2014-01-29 고려대학교 산학협력단 차량용 데이터의 인증 및 획득 방법
WO2013128317A1 (en) * 2012-03-01 2013-09-06 Nds Limited Anti-replay counter measures
DE102013218212A1 (de) * 2013-09-11 2015-03-12 Robert Bosch Gmbh Verfahren zum abgesicherten Übermitteln von Daten
US9998494B2 (en) * 2013-09-13 2018-06-12 GM Global Technology Operations LLC Methods and apparatus for secure communication in a vehicle-based data communication system
JP6407981B2 (ja) * 2014-05-08 2018-10-17 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 車載ネットワークシステム、電子制御ユニット及び不正対処方法
EP3142288B1 (de) * 2014-05-08 2018-12-26 Panasonic Intellectual Property Corporation of America Bordnetzwerksystem, elektronische steuerungseinheit und aktualisierungsverarbeitungsverfahren
JP6199335B2 (ja) 2014-06-05 2017-09-20 Kddi株式会社 通信ネットワークシステム及びメッセージ検査方法
JP6181032B2 (ja) * 2014-11-18 2017-08-16 株式会社東芝 通信システム及び通信装置
JP6420176B2 (ja) * 2015-02-26 2018-11-07 ルネサスエレクトロニクス株式会社 通信システムおよび通信装置
JP6555209B2 (ja) * 2015-08-07 2019-08-07 株式会社デンソー 通信システム、管理ノード、通信ノード、カウンタ同期方法、カウント値配信方法、カウント値初期化方法、プログラム、記録媒体
WO2017026361A1 (ja) * 2015-08-07 2017-02-16 株式会社デンソー 通信システム、管理ノード、通常ノード、カウンタ同期方法、プログラム、記録媒体
WO2017064361A1 (en) * 2015-10-16 2017-04-20 Nokia Technologies Oy Message authentication
JP6455939B2 (ja) * 2016-09-27 2019-01-23 株式会社デンソーテン 通信方法
JP6409849B2 (ja) * 2016-10-31 2018-10-24 トヨタ自動車株式会社 通信システム及び通信方法
EP3337120B1 (de) * 2016-12-14 2021-04-21 Nxp B.V. Netzwerk-nachrichtenauthentifizierung und verifizierung

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011066703A (ja) 2009-09-17 2011-03-31 Oki Electric Industry Co Ltd 通信データ新規性確認システム及び通信端末

Also Published As

Publication number Publication date
CN108023730A (zh) 2018-05-11
US10735517B2 (en) 2020-08-04
DE102017123255B4 (de) 2023-07-20
CN112865977A (zh) 2021-05-28
US20180124180A1 (en) 2018-05-03
JP2018074435A (ja) 2018-05-10
JP6409849B2 (ja) 2018-10-24
CN108023730B (zh) 2021-02-02

Similar Documents

Publication Publication Date Title
DE102017123255B4 (de) Kommunikationssystem und Kommunikationsverfahren
EP3474172B1 (de) Zugangskontrolle unter verwendung einer blockchain
EP3220597B1 (de) Verfahren und vorrichtung zum bereitstellen eines einmalpasswortes
DE102012224421A1 (de) Fahrzeuggebundenes system und kommunikationsverfahren
DE102020101358A1 (de) Selektive Echtzeit-Kryptographie in einem Fahrzeugkommunikationsnetz
DE112017007755B4 (de) Schlüsselverwaltungsvorrichtung und kommunikationsgerät
DE102019113026A1 (de) Automobile nonce-missbrauchs-widerstandsfähige authentifizierte verschlüsselung
EP2569896A2 (de) Verfahren und vorrichtung zum authentisieren von multicast-nachrichten
DE102020103424A1 (de) Hybrides Kryptographiesystem und -verfahren zum Verschlüsseln von Daten für eine gemeinsame Flotte von Fahrzeugen
DE102020003739A1 (de) Verfahren zur Verteilung und Aushandlung von Schlüsselmaterial
EP3157192A1 (de) Verfahren und system für eine asymmetrische schlüsselherleitung
EP3661113A1 (de) Verfahren und vorrichtung zum übertragen von daten in einem publish-subscribe-system
DE102019204608B3 (de) Vorrichtungen und Verfahren zum Erzeugen und zur Authentisierungsprüfung mindestens eines in einem Bus-System (BU) eines Kraftfahrzeugs zu übertragenden Datenpakets
EP1287655B1 (de) Verfahren zur authentizitätssicherung von hard- und software in einem vernetzten system
EP1455311A2 (de) Verfahren zum sicheren Datenaustausch
EP1801724A2 (de) Verfahren und Anordnung zum Bereitstellen sicherheitsrelevanter Dienste durch ein Sicherheitsmodul einer Frankiermaschine
DE102019103419A1 (de) Fahrzeugkommunikationssystem und Fahrzeugkommunikationsverfahren
DE102019109341B4 (de) Verfahren zum sicheren Austausch von verschlüsselten Nachrichten
EP3525414A1 (de) Verfahren zur verschlüsselten übertragung von daten auf einer kryptographisch geschützten, unverschlüsselten kommunikationsverbindung
DE102014213454A1 (de) Verfahren und System zur Erkennung einer Manipulation von Datensätzen
EP3050244B1 (de) Bereitstellung und verwendung pseudonymer schlüssel bei hybrider verschlüsselung
DE102018132979A1 (de) Abgesichertes und intelligentes Betreiben einer Ladeinfrastruktur
DE102018102608A1 (de) Verfahren zur Benutzerverwaltung eines Feldgeräts
DE102018003539A1 (de) Autonome Sicherheit in Drahtlosnetzwerken mit mehreren Betreibern oder Zugangspunkten
DE102017129947A1 (de) Verfahren zum betreiben eines dezentralen speichersystems

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R130 Divisional application to

Ref document number: 102017012394

Country of ref document: DE

R018 Grant decision by examination section/examining division
R084 Declaration of willingness to licence
R020 Patent grant now final