DE102017210960B4 - Authentifizierungsabnormalitätsermittlungsvorrichtung für eine nachricht - Google Patents

Authentifizierungsabnormalitätsermittlungsvorrichtung für eine nachricht Download PDF

Info

Publication number
DE102017210960B4
DE102017210960B4 DE102017210960.2A DE102017210960A DE102017210960B4 DE 102017210960 B4 DE102017210960 B4 DE 102017210960B4 DE 102017210960 A DE102017210960 A DE 102017210960A DE 102017210960 B4 DE102017210960 B4 DE 102017210960B4
Authority
DE
Germany
Prior art keywords
authentication
mac
message
error
counter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE102017210960.2A
Other languages
English (en)
Other versions
DE102017210960A1 (de
Inventor
Haruka Kuribayashi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Publication of DE102017210960A1 publication Critical patent/DE102017210960A1/de
Application granted granted Critical
Publication of DE102017210960B4 publication Critical patent/DE102017210960B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Power Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)

Abstract

Authentifizierungsabnormalitätsermittlungsvorrichtung für eine Nachricht, wobei die Authentifizierungsabnormalitätsermittlungsvorrichtung auf ein Kommunikationssystem (1) angewendet wird, welches umfasst:einen Übertragungsknoten (3), welcher eine Nachricht an ein Netzwerk (2) überträgt; undeinen Empfangsknoten (4), welcher die Nachricht von dem Netzwerk (2) empfängt,wobei der Übertragungsknoten (3) umfasst:einen Datenerzeuger (11), welcher zu übertragende Daten erzeugt;einen ersten Authentifizierungszähler (18), welcher für einen Übertragungszweck vorbereitet ist und eine vorbestimmte Menge zu einem Zählwert addiert oder von einem Zählwert subtrahiert jedes Mal, wenn die Daten erzeugt werden; undeinen Nachrichtenübertrager (10), welcher basierend auf den Daten und dem Zählwert des ersten Authentifizierungszählers (18) einen Nachrichtenauthentifizierungscode (nachstehend als MAC bezeichnet) erzeugt, wobei der Nachrichtenübertrager dann die Daten und den MAC, als die Nachricht, an das Netzwerk (2) überträgt,wobei der Empfangsknoten (4) umfasst:einen Nachrichtenempfänger (12), welcher, als die Nachricht, die Daten und den MAC, die von dem Nachrichtenübertrager (10) übertragen werden, empfängt;einen zweiten Authentifizierungszähler (18), welcher für einen Empfangszweck vorbereitet ist und die vorbestimmte Menge zu einem Zählwert addiert oder von einem Zählwert subtrahiert jedes Mal, wenn die Nachricht empfangen wird;einen MAC-Erzeuger (13, T3), welcher einen MAC basierend auf den Daten, die empfangen werden, und dem Zählwert des zweiten Authentifizierungszählers (18) erzeugt; undeinen Konsistenzermittler (14, T4, T5, T6, T7), welcher ermittelt, ob der von dem Nachrichtenempfänger empfangene MAC identisch zu dem von dem MAC-Erzeuger (13, T3) erzeugten MAC ist, wobei der Konsistenzermittler (14, T4, T5, T6, T7), einen MAC-Authentifizierungserfolg feststellt, wenn der von dem Nachrichtenempfänger empfangene MAC identisch zu dem von dem MAC-Erzeuger (13, T3) erzeugten MAC ist, und der Konsistenzermittler (14, T4, T5, T6, T7), einen MAC-Authentifizierungsfehler feststellt, wenn der von dem Nachrichtenempfänger empfangene MAC unterschiedlich zu dem von dem MAC-Erzeuger (13, T3) erzeugten MAC ist, undwobei die Authentifizierungsabnormalitätsermittlungsvorrichtung auf den Empfangsknoten (4) des Kommunikationssystems (1) angewendet wird,wobei die Authentifizierungsabnormalitätsermittlungsvorrichtung umfasst:eine Fehlerfortsetzungsdauermesseinheit (15, 19), welche eine Fehlerfortsetzungsdauer von einem Auftrittszeitpunkt des MAC-Authentifizierungsfehlers misst, wenn der Konsistenzermittler (14, T4, T5, T6, T7) den MAC-Authentifizierungsfehler feststellt, wobei die Fehlerfortsetzungsdauermesseinheit (15, 19) die Fehlerfortsetzungsdauer löscht, wenn der Konsistenzermittler (14, T4, T5, T6, T7) den MAC-Authentifizierungserfolg feststellt;eine Kumulative-Fehleranzahl-Messeinheit (16, 20), welche kumulativ eine kumulative Anzahl der MAC-Authentifizierungsfehler seit dem Auftrittszeitpunkt des zuerst aufgetretenen MAC-Authentifizierungsfehlers zählt; undeinen Abnormalitätstypermittler (17, U8, U10), welcher einen Typ des MAC-Authentifizierungsfehlers basierend auf einem Messergebnis der Fehlerfortsetzungsdauermesseinheit (15, 19) und einem Zählergebnis der Kumulative-Fehleranzahl-Messeinheit (16, 20) ermittelt.

Description

  • Die vorliegende Erfindung betrifft eine Authentifizierungsabnormalitätsermittlungsvorrichtung für eine Nachricht.
  • Üblicherweise wird, wie in der JP 5 770 602 B offenbart, beim Nachrichtenübertragen oder Nachrichtenempfangen zwischen einem Übertragungsknoten und einem Empfangsknoten ein Nachrichtenauthentifizierungscode (nachstehend als MAC bezeichnet) verwendet, um die Nachricht zu authentifizieren. Gemäß der in der JP 5 770 602 B offenbarten Technologie überträgt der Übertragungsknoten eine MAC-Nachricht, welche basierend auf einer Hauptnachricht und einem Zählwert erzeugt wird. Ferner ermittelt der Empfangsknoten, ob die in der empfangenen MAC-Nachricht enthaltene MAC identisch zu einer MAC ist, die, auf der Empfangsseite, basierend auf der Hauptnachricht und einem in dem Empfangsknoten gespeicherten Zählwert erzeugt wird. Durch Vergleichen der zwei MACs authentifiziert der Empfangsknoten, ob die Hauptnachricht eine autorisierte Nachricht ist.
  • Nimm beim Verwenden der JP 5 770 602 B offenbarten Technologie an, dass verursacht durch einen Kommunikationsfehler oder ähnliches der Zählwert in dem Übertragungsknoten unterschiedlich zu dem Zählwert in dem Empfangsknoten wird. In diesem Fall wird der Wert des MAC unterschiedlich zwischen dem Übertragungsknoten und dem Empfangsknoten. Als ein Ergebnis stellt der Empfangsknoten einen Fehler bei der Nachrichtenauthentifizierung fest. Ferner stellt, wenn ein nicht autorisiertes Gerät mit dem Netzwerk als Impersonation des Übertragungsknotens verbunden ist, der Empfangsknoten ebenfalls einen Fehler bei der Nachrichtenauthentifizierung fest. Somit kann der Empfangsknoten Schwierigkeiten beim Unterscheiden der unterschiedlichen Gründe haben, die den Fehler der Nachrichtenauthentifizierung verursachen.
  • Die CN 1 05 637 803 A (entsprechend US 2016 / 0 297 401 A ) offenbart eine Authentifizierungsabnormalitätsermittlungsvorrichtung für eine Nachricht, wobei die Authentifizierungsabnormalitätsermittlungsvorrichtung auf ein Kommunikationssystem angewendet wird, welches umfasst: einen Übertragungsknoten, welcher eine Nachricht an ein Netzwerk überträgt; und einen Empfangsknoten, welcher die Nachricht von dem Netzwerk empfängt, wobei der Übertragungsknoten umfasst: einen Datenerzeuger, welcher zu übertragende Daten erzeugt; einen ersten Authentifizierungszähler, welcher für einen Übertragungszweck vorbereitet ist und eine vorbestimmte Menge zu einem Zählwert addiert oder von einem Zählwert subtrahiert jedes Mal, wenn die Daten erzeugt werden; und einen Nachrichtenübertrager, welcher basierend auf den Daten und dem Zählwert des ersten Authentifizierungszählers einen Nachrichtenauthentifizierungscode (nachstehend als MAC bezeichnet) erzeugt, wobei der Nachrichtenübertrager dann die Daten und den MAC, als die Nachricht, an das Netzwerk überträgt, wobei der Empfangsknoten umfasst: einen Nachrichtenempfänger, welcher, als die Nachricht, die Daten und den MAC, die von dem Nachrichtenübertrager übertragen werden, empfängt; einen zweiten Authentifizierungszähler, welcher für einen Empfangszweck vorbereitet ist und die vorbestimmte Menge zu einem Zählwert addiert oder von einem Zählwert subtrahiert jedes Mal, wenn die Nachricht empfangen wird; einen MAC-Erzeuger, welcher einen MAC basierend auf den Daten, die empfangen werden, und dem Zählwert des zweiten Authentifizierungszählers erzeugt; und einen Konsistenzermittler, welcher ermittelt, ob der von dem Nachrichtenempfänger empfangene MAC identisch zu dem von dem MAC-Erzeuger erzeugten MAC ist, wobei der Konsistenzermittler einen MAC-Authentifizierungserfolg feststellt, wenn der von dem Nachrichtenempfänger empfangene MAC identisch zu dem von dem MAC-Erzeuger erzeugten MAC ist, und der Konsistenzermittler einen MAC-Authentifizierungsfehler feststellt, wenn der von dem Nachrichtenempfänger empfangene MAC unterschiedlich zu dem von dem MAC-Erzeuger erzeugten MAC ist, und wobei die Authentifizierungsabnormalitätsermittlungsvorrichtung auf den Empfangsknoten des Kommunikationssystems angewendet wird.
  • Im Hinblick auf die oben genannten Schwierigkeiten ist es eine Aufgabe der vorliegenden Erfindung, eine Authentifizierungsabnormalitätsermittlungsvorrichtung für eine Nachricht bereitzustellen, welche fähig ist, unterschiedliche Authentifizierungsabnormalitäten zu unterscheiden. Die Aufgabe wird durch eine Authentifizierungsabnormalitätsermittlungsvorrichtung mit den Merkmalen des Anspruchs 1 gelöst. Die abhängigen Ansprüche sind auf vorteilhafte Weiterbildungen der Erfindung gerichtet.
  • Gemäß einem Aspekt der vorliegenden Erfindung ist eine Authentifizierungsabnormalitätsermittlungsvorrichtung für eine Nachricht bereitgestellt, welche auf ein Kommunikationssystem angewandt wird. Das Kommunikationssystem umfasst einen Übertragungsknoten, welcher die Nachricht an das Netzwerk überträgt, und einen Empfangsknoten, welcher die Nachricht von dem Netzwerk empfängt. Der Übertragungsknoten umfasst: einen Datenerzeuger, welcher zu übertragende Daten erzeugt; einen ersten Authentifizierungszähler, welcher für einen Übertragungszweck vorbereitet ist und eine vorbestimmte Menge zu einem Zählwert addiert oder von einem Zählwert abzieht jedes Mal, wenn die Daten erzeugt werden; und einen Nachrichtenübertrager, welcher einen Nachrichtenauthentifizierungscode (nachstehend als MAC bezeichnet) basierend auf den Daten und dem Zählwert des ersten Authentifizierungszählers erzeugt, wobei dann der Nachrichtenübertrager die Daten und den MAC, als die Nachricht, an das Netzwerk überträgt. Der Empfangsknoten umfasst: einen Nachrichtenempfänger, welcher, als die Nachricht, die von dem Nachrichtenübertrager übertragenen Daten und den von dem Nachrichtenübertrager übertragenen MAC empfängt; einen zweiten Authentifizierungszähler, welcher für einen Empfangszweck vorbereitet ist und die vorbestimmte Menge zu einem Zählwert addiert oder von einem Zählwert abzieht jedes Mal, wenn die Nachricht empfangen wird; einen MAC-Erzeuger, welcher einen MAC basierend auf den Daten, die empfangen werden, und dem Zählwert des zweiten Authentifizierungszählers erzeugt; und einen Konsistenzermittler, welcher ermittelt, ob der von dem Nachrichtenempfänger empfangene MAC identisch zu dem von dem MAC-Erzeuger erzeugten MAC ist. Der Konsistenzermittler stellt einen MAC-Authentifizierungserfolg fest, wenn der von dem Nachrichtenempfänger empfangene MAC identisch zu dem von dem MAC-Erzeuger erzeugten MAC ist, und stellt einen MAC-Authentifizierungsfehler fest, wenn der von dem Nachrichtenempfänger empfangene MAC unterschiedlich zu dem von dem MAC-Erzeuger erzeugten MAC ist.
  • Die Authentifizierungsabnormalitätsermittlungsvorrichtung wird auf den Empfangsknoten des Kommunikationssystems angewandt. Die Authentifizierungsabnormalitätsermittlungsvorrichtung umfasst: Eine Fehlerfortsetzungsdauermesseinheit, welche eine Fehlerfortsetzungsdauer beginnend von einem Auftrittszeitpunkt des MAC-Authentifizierungsfehlers, wenn der Konsistenzermittler den MAC-Authentifizierungsfehler ermittelt, misst, wobei die Fehlerfortsetzungsdauermesseinheit die Fehlerfortsetzungsdauer löscht, wenn der Konsistenzermittler den MAC-Authentifizierungserfolg ermittelt; eine Kumulative-Fehleranzahl-Messeinheit, welche kumulativ eine kumulative Anzahl der MAC-Authentifizierungsfehler beginnend von dem Auftrittszeitpunkt, als der MAC-Authentifizierungsfehler zuerst auftrat, zählt; und einen Abnormalitätstypermittler, welcher einen Typ des MAC-Authentifizierungsfehlers basierend auf einem Messergebnis der Fehlerfortsetzungsdauermesseinheit und einem Zählergebnis der Kumulative-Fehleranzahl-Messeinheit ermittelt.
  • Wenn es dem Empfangsknoten nicht gelingt, die Nachricht auf dem Hardwarelevel zu empfangen, addiert oder subtrahiert der zweite Authentifizierungszähler nicht die vorbestimmte Menge zu oder von dem Zählwert. Wenn es somit dem Empfangsknoten sogar nur einmal nicht gelingt, die Nachricht auf dem Hardwarelevel zu empfangen, bleibt der Zählwert des ersten Authentifizierungszählers unterschiedlich zu dem Zählwert des zweiten Authentifizierungszählers. Somit ermittelt der Konsistenzermittler kontinuierlich den Fehler der MAC-Authentifizierung. In diesem Fall fährt die Fehlerfortsetzungsdauermesseinheit fort, die verstrichene Dauer von dem Auftreten des MAC-Authentifizierungsfehlers als die Fehlerfortsetzungsdauer zu messen. Mit dieser Ausgestaltung kann die Authentifizierungsabnormalitätsermittlungsvorrichtung den Typ des MAC-Authentifizierungsfehlers ermitteln. Insbesondere ermittelt, wenn die Fehlerfortsetzungsdauer zunimmt, gleich zu oder länger als eine vorbestimmte Dauer zu sein, die Authentifizierungsabnormalitätsermittlungsvorrichtung, dass der MAC-Authentifizierungsfehler durch die Differenz zwischen den Zählwerten des ersten Authentifizierungszählers und des zweiten Authentifizierungszählers verursacht wird.
  • Während der Empfangsknoten die Nachricht auf dem Hardwarelevel normal empfängt, zählt jeder von dem ersten Authentifizierungszähler des Übertragungsknotens und dem zweiten Authentifizierungszähler des Empfangsknotens den Wert um die gleiche vorbestimmte Erhöhungsmenge oder Reduzierungsmenge hoch bzw. runter. Somit haben die zwei Zähler den gleichen Zählwert. Wenn in diesem Fall der MAC-Authentifizierungsfehler festgestellt wird, kann der Konsistenzermittler feststellen, dass der MAC-Authentifizierungsfehler nicht durch die Differenz zwischen den Zählwerten des ersten und des zweiten Authentifizierungszählers verursacht wird. Wenn zum Beispiel das nicht autorisierte Gerät an das Netzwerk angeschlossen ist, fährt die kumulative Fehleranzahl, die von der Kumulative-Fehleranzahl-Messeinheit gezählt wird, fort zuzunehmen. Wenn daher die kumulative Anzahl der MAC-Authentifizierungsfehler, die von der Kumulative-Fehleranzahl-Messeinheit gezählt wird, gleich zu oder größer als ein Grenzzählwert ist, kann der Abnormalitätstypermittler feststellen, dass der MAC-Authentifizierungsfehler durch einen Empfang der nicht autorisierten Nachricht verursacht wird.
  • Die obigen und andere Aufgaben, Merkmale und Vorteile der vorliegenden Erfindung werden von der folgenden detaillierten Beschreibung, die mit Bezug auf die begleitenden Zeichnungen gemacht wird, deutlicher werden. In den Zeichnungen ist:
    • 1 ein Blockdiagramm, welches eine elektrische Konfiguration eines in einem ersten Ausführungsbeispiel der vorliegenden Erfindung beschriebenen Kommunikationssystems zeigt;
    • 2 ein Diagramm, welches einen Teil eines in einem Controller Area Network (CAN) verwendeten Datenrahmens zeigt;
    • 3 ein Diagramm, welches eine funktionale Konfiguration einer elektronischen Steuereinheit (ECU) zeigt;
    • 4A bis 4C Diagramme, welche Inhalte von jeweiligen Nachrichtenverwaltungstabellen zeigen;
    • 5 ein Flussdiagramm, welches einen von einem Übertragungsknoten ausgeführten Prozess zeigt;
    • 6 ein Flussdiagramm, welches einen von einem Empfangsknoten ausgeführten Prozess zeigt;
    • 7 ein Zeitablaufdiagramm, welches Zählwertänderungen bei jeweiligen Authentifizierungszählern zeigt;
    • 8 ein Flussdiagramm, welches einen Überwachungsprozess zur Spezifizierung eines Authentifizierungsfehlergrundes zeigt;
    • 9 ein Flussdiagramm, welches eine in einem vorbestimmten Zyklus ausgeführte periodische Aufgabe zeigt;
    • 10 ein Zeitablaufdiagramm, welches eine als Antwort auf einen Kommunikationsfehler durchgeführte Operation zeigt;
    • 11 ein Zeitablaufdiagramm, welches Zählwerte zeigt, wenn ein nicht autorisierter Prozess von einem nicht autorisierten Gerät durchgeführt wird;
    • 12 ein Flussdiagramm, welches einen Initialisierungsprozess, der von einem Empfangsknoten, der als ein Slave-Knoten definiert ist, ausgeführt wird, bei einem zweiten Ausführungsbeispiel der vorliegenden Erfindung;
    • 13 ein Flussdiagramm, welches einen von einem Master-Knoten ausgeführten Initialisierungsprozess zeigt;
    • 14 ein Zeitablaufdiagramm, welches eine Zählwertänderung in dem Authentifizierungszähler zeigt;
    • 15 ein Flussdiagramm, welches einen Überwachungsprozess zum Überwachen eines Authentifizierungsfehlergrundes bei einem dritten Ausführungsbeispiel der vorliegenden Erfindung zeigt; und
    • 16 ein Flussdiagramm, welches einen in einem vorbestimmten Zyklus ausgeführten periodischen Prozess zeigt.
  • Das Folgende wird Ausführungsbeispiele der vorliegenden Erfindung mit Bezug auf die begleitenden Zeichnungen beschreiben. Bei den folgenden Ausführungsbeispielen werden die gleichen oder äquivalente Elemente in den Ausführungsbeispielen und Zeichnungen mit dem gleichen Bezugszeichen bezeichnet. Eine detaillierte Beschreibung der gleichen oder äquivalenten Ausgestaltungen, Operationen oder der dadurch erzielten Vorteile wird der Einfachheit der Beschreibung halber weggelassen werden.
  • (Erstes Ausführungsbeispiel)
  • Das erste Ausführungsbeispiel der vorliegenden Erfindung wird mit Bezug auf 1 bis 11 beschrieben werden. 1 zeigt eine exemplarische Ausgestaltung eines Kommunikationssystems 1. Das Netzwerk 2 kann durch ein Controller Area Network (CAN) bereitgestellt sein. CAN verwendet ein Kommunikationsprotokoll, in welchem Daten zwischen an das CAN angeschlossenen Geräten übertragen werden.
  • Verschiedene elektronische Steuereinheiten (ECUs) sind mit dem Netzwerk 2 verbunden. Zum Beispiel sind eine erste ECU 3, eine zweite ECU 4 und eine dritte ECU 5 an das Netzwerk 2 angeschlossen. Die ECUs 3 bis 5 sind durch Anschließen an das Netzwerk 2 miteinander kommunikationsfähig. In der folgenden Beschreibung werden die ECUs 3 bis 5 auch als Kommunikationsknoten 3 bis 5 bezeichnet. Wie in 1 gezeigt, kann ein nicht autorisiertes Gerät 6 an das Netzwerk 2 angeschlossen sein. Wie wohl bekannt ist, wendet CAN ein Bustopologienetzwerk an. Somit ist die von dem Netzwerk 2 übertragene Nachricht von all den an das Netzwerk 2 angeschlossenen Kommunikationsknoten lesbar. Das heißt, wenn das nicht autorisierte Gerät 6 an das Netzwerk 2 angeschlossen ist, kann auch das nicht-autorisierte Gerät 6 die über das Netzwerk 2 übertragene Nachricht lesen.
  • 2 zeigt einen Teil eines im CAN verwendeten Datenrahmens 7. Zum Beispiel umfasst der Datenrahmen 7 ein Identifizierfeld 8 (bekannt als CAN-ID), ein Datenfeld zum Speichern von Daten und ähnliches. Der Datenrahmen 7 umfasst auch andere Felder. Eine detaillierte Beschreibung von anderen Feldern ist hier weggelassen. Das Identifizierfeld 8 speichert Identifikationsinformationen der Nachricht. Wenn die Kommunikationsknoten 3 bis 5 die Nachricht empfangen, ermitteln die Kommunikationsknoten 3 bis 5, durch Bezugnehmen auf die in dem Identifizierfeld 8 gespeicherte CAN-ID, ob die Daten zu verarbeiten sind oder nicht, aktualisieren den Zählwert nach Bedarf und führen nach Bedarf einen Datenprozess durch. Details der Zähleraktualisierung werden in der untenstehenden Beschreibung beschrieben werden. Das Datenfeld 7 speichert Inhalte der Daten.
  • 3 zeigt eine Ausgestaltung von jedem der Kommunikationsknoten 3 bis 5, die durch die ECUs bereitgestellt sind. Jeder Kommunikationsknoten 3, 4, 5 umfasst einen Mikrocomputer und eine Schnittstelle zum Verbinden mit anderen Geräten. Wie wohl bekannt ist, umfasst der Mikrocomputer eine zentrale Prozessoreinheit (CPU), einen Nur-Lese-Speicher (ROM), einen Schreib-Lese-Speicher (RAM), einen Analog-zu-Digital-Wandler, die alle nicht gezeigt sind. Die Schnittstelle des Mikrocomputers ist mit einem externen Sensor (nicht gezeigt) oder einem Aktuator (nicht gezeigt) verbunden.
  • Jeder Kommunikationsknoten 3, 4, 5 umfasst, für Übertragungszwecke, einen Nachrichtenübertrager 10 zum Übertragen einer Nachricht und einen Datenerzeuger 11. Jeder Kommunikationsknoten 3, 4, 5 umfasst, für Empfangszwecke, einen Nachrichtenempfänger 12 zum Empfangen einer Nachricht, einen Nachrichtenauthentifizierungscode(nachstehend als MAC bezeichnet)-Erzeuger 13, einen Konsistenzermittler 14, eine Fehlerfortsetzungsdauermesseinheit 15, eine Kumulative-Fehleranzahl-Messeinheit 16, einen Abnormalitätstypermittler 17. Jede der Komponenten 10 bis 17 ist eine Funktion, die durch Ausführung eines Programms unter Verwendung des entsprechenden Kommunikationsknotens 3, 4, 5 implementiert wird. Das Programm ist in einem nicht-flüchtigen, dinghaften, computerlesbaren Speichermedium wie beispielsweise einem ROM gespeichert. Die sich auf eine Nachrichtenübertragung beziehenden Funktionen und die sich auf einen Nachrichtenempfang beziehenden Funktionen werden selektiv von den Kommunikationsknoten 3, 4, 5 ausgeführt.
  • Jeder Kommunikationsknoten 3, 4, 5 umfasst, für Übertragungszwecke und Empfangszwecke, einen Authentifizierungszähler 18, einen Fehlerfortsetzungszähler 19, und einen kumulativen Zähler 20. Die von den jeweiligen Zählern 18 bis 20 gezählten Werte werden in einer Verwaltungstabelle 21 aufgezeichnet. Die Verwaltungstabelle 21 ist in einem Speicher gespeichert. Jeder Kommunikationsknoten 3, 4, 5 führt einen Softwareprozess unter Verwendung eines Fehlerfortsetzungs-Flags oder anderer Flags durch. Details des Softwareprozesses sind in den Zeichnungen nicht gezeigt.
  • 4A bis 4C zeigen in den jeweiligen Kommunikationsknoten 3, 4, 5 gespeicherte Verwaltungstabellen. In jedem Kommunikationsknoten 3, 4, 5 wird der Authentifizierungszähler 18 für jeden Identifizierer (CAN-ID) vorbereitet. Nimm an, dass es sechs Identifizierer, wie beispielsweise ID1 bis ID6, gibt. In diesem Fall hat der Authentifizierungszähler 18 sechs Werte, wie beispielsweise Auth C1 bis Auth C6, die entsprechenden Identifizierern ID1 bis ID6 entsprechen, und diese Werte Auth C1 bis Auth C6 sind in der Managementtabelle 21 gespeichert. Der Fehlerfortsetzungszähler 19 des Kommunikationsknotens 3 hat vier Werte, wie beispielsweise Cont C3 bis Cont C6, die entsprechenden Identifizierern ID3 bis ID6, die für Empfangszwecke vorbereitet sind, entsprechen, und diese Werte Cont C3 bis Cont C6 sind in der Managementtabelle 21 gespeichert.
  • Der Fehlerfortsetzungszähler 19 des Kommunikationsknotens 4 hat zwei Werte, wie beispielsweise Cont C1 und Cont C3, die entsprechenden, für den Empfangszweck vorbereiteten Identifizierern ID1 und ID3 entsprechen, und die Werte Cont C1 und Cont C3 sind in der Managementtabelle 21 gespeichert. Der Fehlerfortsetzungszähler 19 des Kommunikationsknotens 5 hat zwei Werte, wie beispielsweise Cont C1 und Cont C2, die entsprechenden, für den Empfangszweck vorbereiteten Identifizierern ID1 und ID2 entsprechen, und die Werte Cont C1 und Cont C2 sind in der Managementtabelle 21 gespeichert.
  • Der kumulative Zähler 20 des Kommunikationsknotens 3 hat vier Werte, wie beispielsweise Total C3 bis Total C6, die entsprechenden Identifizierern ID3 bis ID6, die für den Empfangszweck vorbereitet sind, entsprechen, und die Werte Total C3 bis Total C6 sind in der Managementtabelle 21 gespeichert. Der kumulative Zähler 20 des Kommunikationsknotens 4 hat zwei Werte, wie beispielsweise Total C1 und Total C3, die entsprechenden, für den Empfangszweck vorbereiteten Identifizierern ID1 und ID3 entsprechen, und die Werte Total C1 und Total C3 sind in der Verwaltungstabelle 21 gespeichert.
  • Der kumulative Zähler 20 des Kommunikationsknotens 5 hat zwei Werte, wie beispielsweise Total C1 und Total C2, die entsprechenden, für den Empfangszweck vorbereiteten Identifizierern ID1 und ID2 entsprechen, und die Werte Total C1 und Total C2 sind in der Verwaltungstabelle 21 gespeichert. Der Fehlerfortsetzungszähler 19 und der kumulative Zähler 20 sind vorgesehen, um einen Grund eines MAC-Authentifizierungsfehlers beim Empfang der Nachricht zu spezifizieren.
  • Bei dem vorliegenden Ausführungsbeispiel kann ein durch einen Authentifizierungsfehler der nicht autorisierten Nachricht verursachter Empfangsfehler von einem durch einen Kommunikationsfehler verursachten Empfangsfehler unterschieden werden. In der folgenden Beschreibung wird der Kommunikationsknoten 3, welcher die Nachricht überträgt, als Übertragungsknoten 3 bezeichnet, und der Kommunikationsknoten 4, welcher die Nachricht empfängt, wird als Empfangsknoten 4 bezeichnet.
  • 5 zeigt einen von dem Übertragungsknoten 3 beim Übertragen der Nachricht ausgeführten Softwareprozess. 6 zeigt einen von dem Empfangsknoten 4 beim Empfang der Nachricht ausgeführten Softwareprozess. Wie in 5 gezeigt, erzeugt der Datenerzeuger 11 des Übertragungsknotens 3 Übertragungszieldaten und erhöht den Authentifizierungszähler 18 in S1 jedes Mal, wenn die Übertragungszieldaten erzeugt werden. In S2 erzeugt der Übertragungsknoten 3 den MAC basierend auf dem Identifizierer, dem Wert des Authentifizierungszählers 18 und den Daten. Das MAC-Erzeugungsverfahren kann ein JP 5770602 B offenbartes Verfahren verwenden, und eine detaillierte Beschreibung des Verfahrens wird weggelassen werden. In S3 überträgt der Nachrichtenübertrager 10 des Übertragungsknotens 3, an das Netzwerk, die Übertragungszieldaten und die erzeugte Nachricht korreliert miteinander.
  • Wie in 6 gezeigt, empfängt der Nachrichtenempfänger 12 des Empfangsknotens 4 die Nachricht von dem Netzwerk 2 und erwirbt den MAC von der Nachricht in T1. Der Empfangsknoten 4 erhöht den Authentifizierungszähler 18 jedes Mal, wenn die Nachricht in T2 empfangen wird. Der MAC-Erzeuger 13 des Empfangsknotens 4 erzeugt einen MAC basierend auf dem Identifizierer, dem Authentifizierungszähler 18 und den Daten in T3. In T4 vergleicht der Konsistenzermittler 14 des Empfangsknotens 4 den in T1 empfangenen MAC mit dem erzeugten MAC. In T5 ermittelt der Empfangsknoten 4, ob der empfangene MAC identisch zu dem erzeugten MAC ist, basierend auf dem Vergleichsergebnis von T4. Der Empfangsknoten 4 stellt in T6 fest, dass die MAC-Authentifizierung erfolgreich ist, wenn der empfangene MAC identisch zu dem erzeugten MAC ist. Der Empfangsknoten 4 stellt in T7 fest, dass die MAC-Authentifizierung fehlgeschlagen ist, wenn der empfangene MAC unterschiedlich zu dem erzeugten MAC ist.
  • In einigen Fällen kann es, vor Ausführen des in 6 gezeigten Softwareprozesses, dem Empfangsknoten 4 misslingen, die an das Netzwerk 2 ausgegebene Nachricht auf einem Hardwarelevel zu empfangen. In diesem Fall führt der Empfangsknoten 4 nicht den in 6 gezeigten Softwareprozess aus.
  • Wenn der Empfangsknoten 4 nicht den in 6 gezeigten Prozess ausführt, wird der in T2 gezeigte Erhöhungsprozess des Authentifizierungszählers 18 nicht ausgeführt. Der Erhöhungsprozess wird auch als Additionssubtraktionsprozess bezeichnet. 7 zeigt eine Wertveränderung des Authentifizierungszählers 18 über der Zeit. Der Authentifizierungszähler 18 fungiert als ein erster Authentifizierungszähler und ein zweiter Authentifizierungszähler. In 7 geben durch Dreiecke entlang der horizontalen Achse gezeigte Zeitpunkte Übertragungszeitpunkte des Übertragungsknotens 3 und die Empfangszeitpunkte des Empfangsknotens 4 an. Wie in 7 gezeigt, ist, wenn der Empfangsfehler auftritt, der Zählwert des Authentifizierungszählers 18 des Empfangsknotens 4 kleiner als der Zählwert des Authentifizierungszählers 18 des Übertragungsknotens 3. Nach dem Auftreten des Empfangsfehlers wird die Differenz zwischen den Zählwerten in dem Übertragungsknoten 3 und dem Empfangsknoten 4 beibehalten. Somit wird, wenn der Empfangsfehler in dem Empfangsknoten 4 auftritt, der Wert des Übertragungszweckauthentifizierungszählers 18, der in der Verwaltungstabelle 21 des Übertragungsknotens 3 gespeichert ist, unterschiedlich zu dem in der Verwaltungstabelle 21 des Empfangsknotens 4 gespeicherten Wert des Empfangszweckauthentifizierungszählers 18.
  • Wenn der Empfangsknoten 4 in T7 wie in 6 gezeigt das Fehlschlagen der MAC-Authentifizierung feststellt, hat der Empfangsknoten 4 Schwierigkeiten beim Spezifizieren des Grundes des MAC-Authentifizierungsfehlers in T7. Der MAC-Authentifizierungsfehler kann durch die Differenz zwischen den Werten der Authentifizierungszähler 18 auf Übertragungsseite und Empfangsseite verursacht sein. Der MAC-Authentifizierungsfehler kann auch durch einen Empfang einer nicht autorisierten Nachricht von dem nicht autorisierten Gerät 6 verursacht sein.
  • Um den Grund eines MAC-Authentifizierungsfehlers zu spezifizieren, führt der Empfangsknoten 4 einen in 8 gezeigten Prozess nach Ausführen des in 6 gezeigten Prozesses aus. Zur gleichen Zeit führt der Empfangsknoten 4 eine in 9 gezeigte Aufgabe in einem vorbestimmten Zyklus unter Verwendung eines Interrupt-Timers aus. Der Ausführungszyklus der in 9 gezeigten Aufgabe ist kürzer eingestellt als ein Nachrichtenempfangszyklus in dem Empfangsknoten 4.
  • Wenn der Empfangsknoten 4 in T6 des in 6 gezeigten Prozesses feststellt, dass die MAC-Authentifizierung der Nachricht erfolgreich ist, stellt der Empfangsknoten 4 in U1 des in 8 gezeigten Prozesses fest, dass die MAC-Authentifizierung der empfangenen Nachricht erfolgreich ist. In diesem Fall deaktiviert der Empfangsknoten 4 ein Fehlerfortsetzungs-Flag in U2 und löscht den Fehlerfortsetzungszähler 19 in U3. In U6 ermittelt der Empfangsknoten 4, ob der Fehlerfortsetzungszähler 19 gleich zu oder größer als ein vorbestimmter Grenzzählwert TH1 ist. In U7 ermittelt der Empfangsknoten 4, ob der kumulative Zähler 20 gleich zu oder größer als ein vorbestimmter Grenzzählwert TH2 ist. Wenn eine NEIN-Feststellung sowohl in U6 als auch in U7 gemacht wird, beendet der Empfangsknoten 4 den in 8 gezeigten Prozess.
  • Wenn der Empfangsknoten 4 in U6 des in 8 gezeigten Prozesses feststellt, dass der Fehlerfortsetzungszähler 19 gleich zu oder größer als der Grenzzählwert TH1 ist (U6: JA), schreitet der Empfangsknoten 4 zu U8 fort. In U8 stellt der Empfangsknoten 4 fest, dass der Authentifizierungsfehler durch die Differenz bei den Werten der Authentifizierungszähler 18 des Übertragungsknotens 3 und des Empfangsknotens 4 verursacht wird. Zu diesem Zeitpunkt führt der Empfangsknoten 4 in U9 einen Zählerinitialisierungsprozess aus. In dem Zählerinitialisierungsprozess werden alle der Kommunikationsknoten 3 bis 5 initialisiert, den gleichen Wert der Authentifizierungszähler 18 zu haben. Bei dem vorliegenden Ausführungsbeispiel wird eine detaillierte Beschreibung des Initialisierungsprozesses weggelassen.
  • Wenn in U6 des in 8 gezeigten Prozesses der Empfangsknoten 4 feststellt, dass der Fehlerfortsetzungszähler 19 weniger als der Grenzzählwert TH1 ist (U6: NEIN), schreitet der Empfangsknoten 4 zu U7 fort. Wenn in U7 der Empfangsknoten 4 feststellt, dass der kumulative Zähler 20 gleich zu oder größer als der Grenzzählwert TH2 ist (U7: JA), schreitet der Empfangsknoten 4 zu U10 fort. In U10 stellt der Empfangsknoten 4 fest, dass der Authentifizierungsfehler durch den Empfang der nicht autorisierten Nachricht, die von dem nicht autorisierten Gerät 6 übertragen wird, verursacht wird.
  • Der Empfangsknoten 4 führt die in 9 gezeigte periodische Aufgabe in einem vorbestimmten Zyklus aus. Wenn in V1 des in 9 gezeigten Prozesses der Empfangsknoten 4 feststellt, dass das Fehlerfortsetzungs-Flag in einem Ein-Zustand ist (V1: JA), schreitet der Empfangsknoten 4 zu V2 fort und erhöht den Fehlerfortsetzungszähler 19.
  • Der Empfangsknoten 4 führt die in 6, 8 und 9 gezeigten Prozesse aus. Durch diese Prozesse kann der Abnormalitätstypermittler 17 des Empfangsknotens 4 einen Typ der Abnormalität, das heißt den Fehlertyp einer MAC-Authentifizierung, basierend auf den Werten des Fehlerfortsetzungszählers 19 und des kumulativen Zählers 20 ermitteln. Insbesondere kann der Abnormalitätstypermittler den Grund des MAC-Authentifizierungsfehlers basierend auf den Werten des Fehlerfortsetzungszählers 19 und des kumulativen Zählers 20 spezifizieren.
  • Das Folgende wird ein Beispiel mit Bezug auf in 10 und 11 gezeigte Zeitablaufdiagramme beschreiben. 10 zeigt eine Änderung der Werte des Fehlerfortsetzungszählers 19 und des kumulativen Zählers 20 in dem Empfangsknoten 4 über der Zeit, wenn ein Empfangsfehler auf einem Hardwarelevel auftritt. 11 zeigt eine Änderung der Werte des Fehlerfortsetzungszählers 19 und des kumulativen Zählers 20 in dem Empfangsknoten 4 über der Zeit, wenn eine nicht autorisierte Nachricht von dem an das Netzwerk 2 angeschlossenen nicht autorisierten Gerät 6 empfangen wird. Sowohl in 10 als auch in 11 gibt eine durchgezogene Linie eine Änderung des Werts des Fehlerfortsetzungszählers 19 über der Zeit an, und eine gestrichelte Linie gibt eine Änderung des Werts des kumulativen Zählers 20 über der Zeit an. Sowohl in 10 als auch in 11 geben skizzierte Dreiecke entlang der horizontalen Achse Empfangszeitpunkte des Empfangsknotens 4 an.
  • Der kumulative Zähler 20 wird erhöht, wenn die MAC-Authentifizierung in U1 des in 8 gezeigten Prozesses ermittelt wird, fehlgeschlagen zu sein. Wenn es somit dem Empfangsknoten 4 misslingt, eine Nachricht auf Hardwarelevel zu empfangen, wird der kumulative Zähler 20 kumulativ über der Zeit von unmittelbar nach dem ersten Nachrichtenempfangsfehler entsprechend jedem Empfangszeitpunkt erhöht. Wenn es dem Empfangsknoten 4 misslingt, eine Nachricht zu empfangen, wird der Fehlerfortsetzungszähler 19 von unmittelbar nach dem Nachrichtenempfangsfehler jedes Mal, wenn die in 9 gezeigte periodische Aufgabe ausgeführt wird, erhöht. Dabei misst der Fehlerfortsetzungszähler 19 eine Fehlerfortsetzungsdauer von dem Auftreten eines Nachrichtenempfangsfehlers und fungiert als die Fehlerfortsetzungsdauermesseinheit 15.
  • Wie in 10 gezeigt, wird, bevor der kumulative Zähler 20, welcher an jedem Empfangszeitpunkt erhöht wird, bis zu dem Grenzzählwert TH2 ansteigt, eine vorbestimmte Dauer THDR, die für die von dem Fehlerfortsetzungszähler 19 gezählte Fortsetzungsdauer benötigt wird, um zu dem Grenzzählwert TH1 anzusteigen, beendet. Bei dieser Ausgestaltung kann das Verstreichen der vorbestimmten Dauer THDR nach dem Nachrichtenempfangsfehler zuverlässig detektiert werden. Die vorbestimmte Dauer THDR ist als Grenzdauer der Fehlerfortsetzungsdauer definiert.
  • Wenn die durch Ausführen der in 9 gezeigten periodischen Aufgabe gezählte Fehlerfortsetzungsdauer bis zu der vorbestimmten Dauer THDR zunimmt, stellt der Empfangsknoten 4 in U6 des in 8 gezeigten Prozesses ein JA fest. Als ein Ergebnis kann festgestellt werden, dass der Empfangsfehler durch die Zählwertdifferenz zwischen dem Übertragungsknoten 3 und dem Empfangsknoten 4 verursacht wird. Obgleich nicht in den Zeichnungen dargestellt, wird der Fehlerfortsetzungszähler gelöscht, wenn der Empfangsknoten 4 feststellt, dass die MAC-Authentifizierung erfolgreich ist. Somit kann die Fehlerfortsetzungsdauer nicht bis zu der vorbestimmten Dauer THDR erhöht werden.
  • Zum Beispiel wird die vorbestimmte Dauer THDR, die benötigt wird, damit der Fehlerfortsetzungszähler 19 bis zu dem Grenzzählwert TH1 erhöht wird, als eine vorbestimmte Vielzahl von Malen des Empfangszyklus der autorisierten Nachricht eingestellt. Hier ist die vorbestimmte Vielzahl von Malen gleich zu oder größer als zweimal. Wenn in diesem Fall der Empfangsknoten 4 fortfährt, den MAC-Authentifizierungsfehler zu ermitteln, ohne ein einziges Mal einen MAC-Authentifizierungserfolg zu ermitteln, kann es zuverlässig festgestellt werden, dass der MAC-Authentifizierungsfehler von einer Differenz zwischen dem Wert des Authentifizierungszählers 18 in dem Übertragungsknoten 3 und dem Wert des Authentifizierungszählers 18 in dem Empfangsknoten 4 verursacht wird.
  • Wenn das nicht autorisierte Gerät 6 an das Netzwerk als eine Impersonation von einem der Übertragungsknoten 3 bis 5 verbunden ist, kann das nicht-autorisierte Gerät 6 in einem vorbestimmten Zyklus oder zufällig nicht autorisierte Nachrichten an das Netzwerk 2 übertragen. In 11 geben schwarze Dreiecke entlang der horizontalen Achse Empfangszeitpunkte der nicht autorisierten Nachrichten an, wenn die Nachrichten erfolgreich auf dem Hardwarelevel von dem Empfangsknoten 4 empfangen werden.
  • Wenn das nicht autorisierte Gerät 6 periodisch die Nachrichten in das Netzwerk 2 überträgt, empfängt der Empfangsknoten 4 die Nachrichten und führt den in 6 gezeigten MAC-Authentifizierungs- und -vergleichsprozess durch. In diesem Fall stellt der Empfangsknoten, in T7 des in 6 gezeigten Prozesses, das Fehlschlagen der MAC-Authentifizierung fest. Wenn der Empfangsknoten 4 zu diesem Zeitpunkt ein Fehlschlagen der Authentifizierung in U1 des in 8 gezeigten Prozesses feststellt, wird der kumulative Zähler 20 in U5 erhöht. Jedes Mal, wenn die MAC-Authentifizierung fehlschlägt und U5 in 8 ausgeführt wird, wird der kumulative Zähler 20 erhöht. Somit zählt der kumulative Zähler 20 die kumulativen Fehlerzeiten des MAC-Authentifizierungsfehlers und fungiert als die Kumulative-Fehleranzahl-Messeinheit 16.
  • Wie oben beschrieben, wird der Fehlerfortsetzungszähler 19 als Antwort auf die Ausführung der in 9 gezeigten periodischen Aufgabe erhöht. Wenn der Empfangsknoten 4 eine autorisierte Nachricht von dem Übertragungsknoten 3 empfängt, wird es festgestellt, dass die MAC-Authentifizierung erfolgreich ist. Dies ist deswegen, weil der Authentifizierungszähler 18 in dem Übertragungsknoten 3 den gleichen Wert wie der Authentifizierungszähler 18 in dem Empfangsknoten 4 hat. Wenn der Empfangsknoten 4 den Erfolg der MAC-Authentifizierung in T6 des in 6 gezeigten Prozesses feststellt, wird der Fehlerfortsetzungszähler 19 in U3 des in 8 gezeigten Prozesses gelöscht.
  • Der Fehlerfortsetzungszähler 19 wird an einem Empfangszeitpunkt der autorisierten Nachricht gelöscht. Der kumulative Zähler 20 zählt kumulativ den Wert jedes Mal, wenn der Empfangsknoten 4 die nicht autorisierte Nachricht von dem nicht autorisierten Gerät 6 empfängt. Wenn somit der Wert des kumulativen Zählers 20 auf den Grenzzählwert TH2 ansteigt, stellt der Empfangsknoten 4 fest, dass die Empfangszeitpunkte der nicht autorisierten Nachricht auf den Grenzzählwert TH2 ansteigen. Der Grenzzählwert TH2 des kumulativen Zählers 20 kann auf einen signifikant großen Wert eingestellt werden, so dass es für den von dem kumulativen Zähler 20 gezählten Wert unmöglich ist, den Grenzzählwert TH2 zu erreichen, während das Kommunikationssystem 1 in einem normalen Betriebszustand ist. Der Grenzzählwert TH2 des kumulativen Zählers 20 wird vorläufig auf einen genügend großen Wert eingestellt, so dass der von dem kumulativen Zähler 20 während der vorbestimmten Dauer THDR gezählte Wert kleiner als der Grenzzählwert TH2 ist. Dabei ist die vorbestimmte Dauer THDR eine Dauer, die von dem von dem Fehlerfortsetzungszähler 19 gezählten Wert benötigt wird, um den Grenzzählwert TH1 des Fehlerfortsetzungszählers 19 zu erreichen. Die vorbestimmte Dauer wird vorläufig so eingestellt, dass eine für den Zählwert des kumulativen Zählers 20 benötigte Dauer, um den Grenzzählwert TH2 zu erreichen, länger ist als die vorbestimmte Dauer THDR.
  • Wenn der Empfangsknoten 4 in U7 ein JA ermittelt, kann der Grund des MAC-Authentifizierungsfehlers festgestellt werden, der Empfang der nicht autorisierten Nachricht zu sein. Wenn der Empfang der nicht autorisierten Nachricht festgestellt wird, kann ein Angriff von außerhalb gemeldet und aufgezeichnet werden. Zum Beispiel kann der Angriff von außerhalb einem externen Verwaltungsserver (nicht gezeigt) gemeldet werden, oder den Angriff betreffende Informationen können in einem Speicher gespeichert werden.
  • Wenn es bei dem vorliegenden Ausführungsbeispiel dem Empfangsknoten 4 misslingt, die Nachricht auf dem Hardwarelevel zu empfangen, wird der Authentifizierungszähler 18 nicht erhöht. Somit wird der Wert des Authentifizierungszählers 18 in dem Übertragungsknoten 3 unterschiedlich zu dem Wert des Authentifizierungszählers 18 in dem Empfangsknoten 4. Daher fährt der Empfangsknoten 4 fort, einen MAC-Authentifizierungsfehler zu ermitteln, und der Fehlerfortsetzungszähler 19 wird wiederholt erhöht und die Fehlerfortsetzungsdauer wird fortlaufend gemessen. Wenn die Fehlerfortsetzungsdauer gleich zu oder länger als die vorbestimmte Dauer THDR wird, stellt der Empfangsknoten 4 fest, dass der Authentifizierungsfehler von der Differenz in den Zählwerten zwischen dem übertragungsseitigen Authentifizierungszähler 18 und dem empfangsseitigen Authentifizierungszähler 18 verursacht wird.
  • Während der Empfangsknoten 4 erfolgreich beim Empfangen der Nachrichten auf dem Hardwarelevel ist, haben die Authentifizierungszähler 18 sowohl in dem Übertragungsknoten 3 als auch in dem Empfangsknoten 4 immer den gleichen Wert. Daher wird, wie in 11 gezeigt, die Fehlerfortsetzungsdauer zu jedem Empfangszeitpunkt der Nachricht in dem Empfangsknoten 4 gelöscht. Daher kann der Empfangsknoten 4 feststellen, dass der MAC-Authentifizierungsfehler nicht durch die Wertedifferenz zwischen dem übertragungsseitigen Authentifizierungszähler 18 und dem empfangsseitigen Authentifizierungszähler 18 verursacht wird.
  • Wenn das nicht autorisierte Gerät 6 mit dem Netzwerk 2 verbunden ist, fahren die von dem kumulativen Zähler 20 gezählten Werte fort zuzunehmen. Dabei gibt der von dem kumulativen Zähler 20 gezählte Wert die kumulativen Male von Fehlern an. Wenn somit der von dem kumulativen Zähler 20 gezählte Wert zunimmt, gleich zu oder größer als der vorbestimmte Grenzzählwert (das heißt die vorbestimmten Grenzfehlermale) zu sein, kann der Empfangsknoten 4 den Empfang der nicht autorisierten Nachricht feststellen. Somit kann der Grund des MAC-Authentifizierungsfehlers spezifiziert werden.
  • Der Grenzzählwert TH1 des Fehlerfortsetzungszählers 19 kann geeignet so eingestellt werden, dass die Periode, während welcher das Kommunikationssystem 1 unfähig ist, die Nachricht zu empfangen, innerhalb eines erlaubbaren Bereichs des Kommunikationssystems 1 ist. Zum Beispiel kann der Grenzzählwert TH1 des Fehlerfortsetzungszählers 19 so eingestellt werden, dass die vorbestimmte Dauer THDR, die dem Grenzzählwert TH1 entspricht, eine vorbestimmte Vielzahl von Malen des Empfangszyklus der Nachricht ist. Hier ist die vorbestimmte Vielzahl von Malen gleich zu oder größer als zweimal. Zum Beispiel kann die vorbestimmte Vielzahl von Malen auf dreimal eingestellt werden.
  • Der Grenzzählwert TH2 des kumulativen Zählers 20 ist eingestellt, einen Angriff, wie beispielsweise eine Übertragung der nicht autorisierten Nachricht von einer außerhalb befindlichen Quelle, zu detektieren. Somit wird der Grenzzählwert TH2 des kumulativen Zählers 20 auf einen genügend großen Wert eingestellt, so dass der Fehlerfortsetzungszähler 19 nicht den Grenzzählwert TH1 erreichen kann, während die autorisierten Nachrichten erfolgreich empfangen werden. Wenn der Empfangsknoten 4 die autorisierten Nachrichten erfolgreich empfängt, wird somit der Fehlerfortsetzungszähler 19 bei dem vorliegenden Ausführungsbeispiel gelöscht.
  • Der kumulative Zähler 20 wird wiederholt erhöht, wenn der Wert des Authentifizierungszählers 18 in dem Übertragungsknoten 3 unterschiedlich zu dem Wert des Authentifizierungszählers 18 in dem Empfangsknoten 4 ist. Der Fehlerfortsetzungszähler 19 ist ausgestaltet, den Grenzzählwert TH1 früher zu überschreiten, als der kumulative Zähler 20 den Grenzzählwert TH2 überschreitet. Somit kann der von der Differenz zwischen dem übertragungsseitigen Authentifizierungszählwert und dem empfangsseitigen Authentifizierungszählwert verursachte Authentifizierungszähler von dem durch den Empfang der nicht autorisierten Nachricht von dem nicht autorisierten Gerät 4 verursachten Authentifizierungsfehler unterschieden werden. Somit kann eine fehlerhafte Ermittlung über den Grund des Authentifizierungsfehlers vermieden werden.
  • (Zweites Ausführungsbeispiel)
  • Das Folgende wird ein zweites Ausführungsbeispiel der vorliegenden Erfindung mit Bezug auf 12 bis 14 beschreiben. Bei dem zweiten Ausführungsbeispiel wird der in U9 des in 8 gezeigten Prozesses gezeigte Zählerinitialisierungsprozess beschrieben werden.
  • Das Kommunikationssystem 1 kann eine Kommunikation ohne Abnormalität bei Beibehalten des gleichen Werts bei den Authentifizierungszählern 18 der sämtlichen Kommunikationsknoten 3 bis 5 durchführen. Während des Betriebs des Kommunikationssystems 1 erhöht der Übertragungsknoten 3 den Authentifizierungszähler 18 bei jeder Erzeugung von Übertragungsdaten, und der Empfangsknoten 4 erhöht den Authentifizierungszähler 18 bei jedem Datenempfang. Somit können all die Kommunikationsknoten 3 bis 5 den gleichen Wert bei den jeweiligen Authentifizierungszählern 18 beibehalten. Wenn der Empfangsknoten 4 in U8 des in 8 gezeigten Prozesses feststellt, dass der Authentifizierungsfehler durch unterschiedliche Authentifizierungszählerwerte verursacht wird, setzt der Empfangsknoten 4 die Werte der Authentifizierungszähler 18 in all den Kommunikationsknoten 3 bis 5 auf den gleichen Wert unter Verwendung des unten beschriebenen Verfahrens.
  • 12 zeigt einen durch einen Slave-Knoten ausgeführten Prozess, welcher den Zählerinitialisierungsprozess anfordert. Der Slave-Knoten entspricht in dem vorliegenden Ausführungsbeispiel dem in dem ersten Ausführungsbeispiel beschriebenen Empfangsknoten 4 und wird nachstehend als Slave-Knoten 4 beschrieben. In dem vorliegenden Ausführungsbeispiel umfasst der Slave-Knoten 4 eine Initialisierungsbenachrichtigungsanforderungseinheit und eine Rücksetzeinheit.
  • 13 zeigt einen von einem Master-Knoten ausgeführten Prozess, welcher den Zählerinitialisierungsprozess ausführt und einen Anfangswert des Authentifizierungszählers 18 verteilt. Der Master-Knoten bei dem vorliegenden Ausführungsbeispiel entspricht dem bei dem ersten Ausführungsbeispiel beschriebenen Übertragungsknoten 3 und ist nachstehend als der Master-Knoten 3 beschrieben. 14 zeigt eine Änderung des von dem Authentifizierungszähler 18 gezählten Werts über der Zeit. Andere Knoten abgesehen von dem Empfangsknoten 4 können als der Master-Knoten fungieren. In dem vorliegenden Ausführungsbeispiel ist der Übertragungsknoten 3 als der Master-Knoten definiert. Zum Beispiel kann auch der Kommunikationsknoten 5 als der Master-Knoten definiert werden.
  • Der Slave-Knoten 4 führt den Initialisierungsprozess in U9 des in 8 gezeigten Prozesses aus. 12 zeigt die Details des Initialisierungsprozesses. In W1 des in 12 gezeigten Prozesses überträgt der Slave-Knoten 4 die Initialisierungsbenachrichtigungsanforderung des Authentifizierungszählers 18 an den Master-Knoten 3 und steht in W2 bereit, bis er eine Zählerinitialisierungsnachricht empfängt.
  • Wie in 13 gezeigt, steht der Master-Knoten 3 bereit, bis die Initialisierungsbenachrichtigungsanforderung in X1 von dem Slave-Knoten 4 empfangen wird. Wenn die Initialisierungsbenachrichtigungsanforderung in X1 von dem Slave-Knoten 4 empfangen wird (X1: JA), meldet der Master-Knoten 3, an alle der Kommunikationsknoten 3 bis 5, den Anfangswert der Authentifizierungszähler 18 für die Identifizierer, die in dem Kommunikationssystem 1 initialisiert werden sollen. Hier sind die zu initialisierenden Identifizierer die den zu authentifizierenden Nachrichten entsprechenden Identifizierer.
  • Um den Anfangswert des Authentifizierungszählers 18 an alle der Kommunikationsknoten zu melden, wählt der Master-Knoten 3 den Zielidentifizierer (CAN ID) in X2 von 13 aus. In X3 erzeugt der Master-Knoten 3 eine Zufallszahl. In X4 fügt der Master-Knoten 3 die mit dem ausgewählten Identifizierer korrelierte Zufallszahl in die Zählerinitialisierungsnachricht ein und überträgt die Zählerinitialisierungsnachricht. Der Master-Knoten 3 wiederholt X2 bis X4, bis die Zählerinitialisierungsnachricht an alle der Zielidentifizierer, die initialisiert werden müssen, übertragen ist (X5: JA).
  • Wenn in dem Prozess von 12 der Slave-Knoten 4 die Zählerinitialisierungsnachricht in W2 empfängt (W2: JA), erwirbt der Slave-Knoten 4 die Zufallszahl in W3 von der Zählerinitialisierungsnachricht und speichert die in W3 erworbene Zufallszahl als den Anfangswert des Authentifizierungszählers 18 in einem internen Speicher, wie beispielsweise einem RAM, in W4. Die Kommunikationsknoten 3, 4, 5 umfassen den Master-Knoten 3 und die Slave-Knoten 4, 5. Durch Durchführen des oben beschriebenen Prozesses können die Werte der Authentifizierungszähler 18 in allen der Kommunikationsknoten 3, 4, 5 auf den gleichen Wert für den gleichen Identifizierer eingestellt werden. In W5 löscht der Empfangsknoten 4 den Wert des kumulativen Zählers 20, um die kumulative Zählzahl zu löschen, und löscht den Wert des Fehlerfortsetzungszählers 19, um die Fehlerfortsetzungsdauer zurückzusetzen.
  • In 14 gibt eine Periode von t0 bis t3 eine Änderung vor und nach dem Empfangsfehler an. Wie um den Zeitpunkt t0 herum gezeigt, sind, während des normalen Nachrichtenempfangs, die Werte der Authentifizierungszähler 18 in allen der Kommunikationsknoten 3 bis 5 die gleichen. Wenn der Empfangsfehler zum Zeitpunkt t1 auftritt, wird der Wert des Authentifizierungszählers 18 in dem Übertragungsknoten 3 unterschiedlich zu dem Wert des Authentifizierungszählers 18 in dem Empfangsknoten 4 während einer Periode von t1 bis t2. Während dieser Periode wird jeder von dem Fehlerfortsetzungszähler 19 und dem kumulativen Zähler 20 in dem Empfangsknoten 4 erhöht.
  • Wenn der Fehlerfortsetzungszähler 19 den Grenzzählwert TH1 erreicht, führt der Empfangsknoten 4 den Zählerinitialisierungsprozess in U9 des in 8 gezeigten Prozesses aus. In dem Zählerinitialisierungsprozess erzeugt der Master-Knoten 3 die Zufallszahl und überträgt die erzeugte Zufallszahl als die Zählerinitialisierungsnachricht an alle von den Slave-Knoten 4, 5. Somit haben, wie in einer Periode von t2 bis t3 gezeigt, die Authentifizierungszähler 18 von allen der Kommunikationsknoten 3, 4, 5 den gleichen Wert. In dem in 14 gezeigten Beispiel ist der Anfangswert des Authentifizierungszählers 18 auf fünfzehn eingestellt. Bei tatsächlicher Anwendung kann ein Wert, der durch Verschlüsseln der Zufallszahl mittels eines gemeinsamen Schlüssels der Kommunikationsknoten 3, 4, 5 erhalten wird, als der Anfangswert verwendet werden. Durch diese Ausgestaltung kann Vertraulichkeit verbessert und sichergestellt werden.
  • Die Periode von t3 bis t4 in 14 zeigt die Werte der Authentifizierungszähler 18 vor und nach einem Empfang der nicht autorisierten Nachricht. Wenn der Empfangsknoten 4 die nicht autorisierte Nachricht in t3 empfängt, haben die Authentifizierungszähler 18 in dem Übertragungsknoten 3 und dem Empfangsknoten 4 den gleichen Wert, und der kumulative Zähler 20 wird kumulativ erhöht. Der Authentifizierungszähler 18 wird gelöscht, wenn die autorisierte Nachricht empfangen wird. Somit wird der Fehlerfortsetzungszähler 19 daran gehindert, bis zu dem Grenzzählwert TH1 zuzunehmen, und der Zählerinitialisierungsprozess wird nicht ausgeführt. Somit kann der normale Betrieb fortgesetzt werden.
  • Bei dem Kommunikationssystem gemäß der vorliegenden Erfindung verteilt der Master-Knoten 3 den Anfangswert der Authentifizierungszähler 18. Wenn der Slave-Knoten 4 feststellt, dass die Zählerwertdifferenz in den Authentifizierungszählern 18 aufgetreten ist, überträgt der Slave-Knoten 4 die Initialisierungsbenachrichtungsanforderung an den Master-Knoten 3, um den Authentifizierungszähler 18 zu initialisieren. Daher kann der Master-Knoten 3 den gleichen Wert bei den Authentifizierungszählern 18 in allen der Kommunikationsknoten 3 bis 5 einstellen, wodurch er die Initialisierung durchführt.
  • In 14 löscht der Slave-Knoten 4, zu dem Zeitpunkt t2, den Fehlerfortsetzungszähler 19 und den kumulativen Zähler 20, um die kumulative Zählzahl zu löschen und die Fehlerfortsetzungsdauer zurückzusetzen (W5 gezeigt in 12). Somit kann jeder der Kommunikationsknoten 3 bis 5 alle der Zähler 18 bis 20 löschen und einen neuen Prozess neu starten und fortsetzen. Mit dieser Ausgestaltung kann, nach der Initialisierung, der Grund des Authentifizierungsfehlers kontinuierlich geeignet ermittelt werden. Das heißt, ob der Authentifizierungsfehler durch einen neuen Angriff des nicht autorisierten Geräts 6 nach der Initialisierung verursacht wird oder ob der Authentifizierungsfehler durch die Zählerwertdifferenz verursacht wird, kann geeignet festgestellt werden.
  • (Drittes Ausführungsbeispiel)
  • Das Folgende wird ein drittes Ausführungsbeispiel der vorliegenden Erfindung mit Bezug auf 15 und 16 beschreiben. 15 entspricht 8, und 16 entspricht 9. In 15, 16 und der folgenden Beschreibung werden die gleichen oder ähnliche Elemente durch das gleiche oder ein ähnliches Symbol bezeichnet.
  • Wie in 15 gezeigt, führt der Empfangsknoten 4 einen zu dem in 8 gezeigten Prozess ähnlichen Prozess an jedem Identifizierer (auch als Zielidentifizierer bezeichnet) aus. Insbesondere spezifiziert der Empfangsknoten 4 in U0 den Zielidentifizierer und führt Prozess U1a bis U10a ähnlich zu den in 8 gezeigten U1 bis U10 in Bezug auf den ausgewählten Zielidentifizierer aus. Wie in 16 gezeigt, ermittelt der Empfangsknoten 4 periodisch in V1a, ob das Fehlerfortsetzungs-Flag, welches dem Zielidentifizierer entspricht, in einem Ein-Zustand ist. Wenn das Flag in einem Ein-Zustand ist (V1 a: JA), erhöht der Empfangsknoten den Fehlerfortsetzungszähler des Zielidentifizierers in V2a. In V3a ermittelt der Empfangsknoten 4 periodisch, ob die Fehlerfortsetzungs-Flags von allen der Identifizierer geprüft sind.
  • Mit der oben beschriebenen Ausgestaltung können die Werte des Authentifizierungszählers 18, des Fehlerfortsetzungszählers 19 und des kumulativen Zählers 20 in Bezug auf alle der Zielidentifizierer gesteuert werden. Mit dem vorliegenden Ausführungsbeispiel können zu den oben beschriebenen Ausführungsbeispielen ähnliche Vorteile erzielt werden. Ferner muss die MAC-Authentifizierung nicht für alle der Nachrichten ausgeführt werden. Zum Beispiel kann die MAC-Authentifizierung nur für die wichtigen Nachrichten ausgeführt werden.
  • (Andere Ausführungsbeispiele)
  • Während die Erfindung mit Bezug auf bevorzugte Ausführungsbeispiele davon beschrieben worden ist, soll es verstanden sein, dass die Erfindung nicht auf die bevorzugten Ausführungsbeispiele und Ausbildungen beschränkt ist. Die Erfindung soll verschiedenen Modifikationen und äquivalente Anordnungen abdecken. Zusätzlich zu den verschiedenen Kombinationen und Ausgestaltungen, die bevorzugt sind, sind andere Kombinationen und Ausgestaltungen, die mehr, weniger oder nur ein einzelnes Element umfassen, ebenfalls innerhalb des Geistes und Schutzbereichs der Erfindung.
  • Bei der Nachrichtenübertragung kann ein gemäß dem Advanced Encryption Standard (AES) definierter gemeinsamer Schlüssel verwendet werden, um die Nachricht zu verschlüsseln, und die verschlüsselte Nachricht kann in dem Kommunikationssystem übertragen oder empfangen werden.
  • Bei den obenstehenden Ausführungsbeispielen wird CAN verwendet, um als ein Beispiel des Netzwerks 2 beschrieben zu werden. Das Kommunikationssystem kann eine andere Netzwerkart verwenden, die ein zu dem CAN-Protokoll ähnliches Kommunikationsprotokoll hat.
  • Bei den obenstehenden Ausführungsbeispielen wird der MAC basierend auf dem Identifizierer, Daten und dem Wert des Authentifizierungszählers 18, der dem Identifizierer entspricht, erzeugt. Der MAC kann auch basierend auf den Daten und dem Wert des Authentifizierungszählers 18 erzeugt werden. Mit dieser Ausgestaltung kann der Grund des Authentifizierungsfehlers ebenfalls spezifiziert werden.
  • Bei den obenstehenden Ausführungsbeispielen wird der Wert des Authentifizierungszählers 18 als Antwort auf die Nachrichtenübertragung oder den Nachrichtenempfang erhöht. Der Wert des Authentifizierungszählers 18 nach der Erhöhung wird verwendet, um den MAC zu berechnen. Alternativ kann der Wert des Authentifizierungszählers 18 vor der Erhöhung verwendet werden, um den MAC zu berechnen. Sowohl der Übertragungsknoten 3 als auch der Empfangsknoten 4 erhöhen den Wert des Authentifizierungszählers 18 um Eins als den Erhöhungsprozess. Alternativ kann der Wert des Authentifizierungszählers 18 um eine vorbestimmte Menge anstelle von Eins in dem Erhöhungsprozess erhöht werden. Alternativ kann ein Verringerungsprozess durch Reduzieren des Werts des Authentifizierungszählers 18 um eine vorbestimmte Menge, die gleich zu oder größer als Eins ist, ausgeführt werden. Die vorbestimmte Menge wird auf einen Integer eingestellt.
  • Bei den obenstehenden Ausführungsbeispielen wird der Fehlerfortsetzungszähler 19 verwendet, um die Fehlerfortsetzungsdauer zu zählen. Alternativ kann ein anderer Timer vorgesehen sein, um die Fehlerfortsetzungsdauer zu zählen.

Claims (8)

  1. Authentifizierungsabnormalitätsermittlungsvorrichtung für eine Nachricht, wobei die Authentifizierungsabnormalitätsermittlungsvorrichtung auf ein Kommunikationssystem (1) angewendet wird, welches umfasst: einen Übertragungsknoten (3), welcher eine Nachricht an ein Netzwerk (2) überträgt; und einen Empfangsknoten (4), welcher die Nachricht von dem Netzwerk (2) empfängt, wobei der Übertragungsknoten (3) umfasst: einen Datenerzeuger (11), welcher zu übertragende Daten erzeugt; einen ersten Authentifizierungszähler (18), welcher für einen Übertragungszweck vorbereitet ist und eine vorbestimmte Menge zu einem Zählwert addiert oder von einem Zählwert subtrahiert jedes Mal, wenn die Daten erzeugt werden; und einen Nachrichtenübertrager (10), welcher basierend auf den Daten und dem Zählwert des ersten Authentifizierungszählers (18) einen Nachrichtenauthentifizierungscode (nachstehend als MAC bezeichnet) erzeugt, wobei der Nachrichtenübertrager dann die Daten und den MAC, als die Nachricht, an das Netzwerk (2) überträgt, wobei der Empfangsknoten (4) umfasst: einen Nachrichtenempfänger (12), welcher, als die Nachricht, die Daten und den MAC, die von dem Nachrichtenübertrager (10) übertragen werden, empfängt; einen zweiten Authentifizierungszähler (18), welcher für einen Empfangszweck vorbereitet ist und die vorbestimmte Menge zu einem Zählwert addiert oder von einem Zählwert subtrahiert jedes Mal, wenn die Nachricht empfangen wird; einen MAC-Erzeuger (13, T3), welcher einen MAC basierend auf den Daten, die empfangen werden, und dem Zählwert des zweiten Authentifizierungszählers (18) erzeugt; und einen Konsistenzermittler (14, T4, T5, T6, T7), welcher ermittelt, ob der von dem Nachrichtenempfänger empfangene MAC identisch zu dem von dem MAC-Erzeuger (13, T3) erzeugten MAC ist, wobei der Konsistenzermittler (14, T4, T5, T6, T7), einen MAC-Authentifizierungserfolg feststellt, wenn der von dem Nachrichtenempfänger empfangene MAC identisch zu dem von dem MAC-Erzeuger (13, T3) erzeugten MAC ist, und der Konsistenzermittler (14, T4, T5, T6, T7), einen MAC-Authentifizierungsfehler feststellt, wenn der von dem Nachrichtenempfänger empfangene MAC unterschiedlich zu dem von dem MAC-Erzeuger (13, T3) erzeugten MAC ist, und wobei die Authentifizierungsabnormalitätsermittlungsvorrichtung auf den Empfangsknoten (4) des Kommunikationssystems (1) angewendet wird, wobei die Authentifizierungsabnormalitätsermittlungsvorrichtung umfasst: eine Fehlerfortsetzungsdauermesseinheit (15, 19), welche eine Fehlerfortsetzungsdauer von einem Auftrittszeitpunkt des MAC-Authentifizierungsfehlers misst, wenn der Konsistenzermittler (14, T4, T5, T6, T7) den MAC-Authentifizierungsfehler feststellt, wobei die Fehlerfortsetzungsdauermesseinheit (15, 19) die Fehlerfortsetzungsdauer löscht, wenn der Konsistenzermittler (14, T4, T5, T6, T7) den MAC-Authentifizierungserfolg feststellt; eine Kumulative-Fehleranzahl-Messeinheit (16, 20), welche kumulativ eine kumulative Anzahl der MAC-Authentifizierungsfehler seit dem Auftrittszeitpunkt des zuerst aufgetretenen MAC-Authentifizierungsfehlers zählt; und einen Abnormalitätstypermittler (17, U8, U10), welcher einen Typ des MAC-Authentifizierungsfehlers basierend auf einem Messergebnis der Fehlerfortsetzungsdauermesseinheit (15, 19) und einem Zählergebnis der Kumulative-Fehleranzahl-Messeinheit (16, 20) ermittelt.
  2. Authentifizierungsabnormalitätsermittlungsvorrichtung gemäß Anspruch 1, wobei der Abnormalitätstypermittler (17, U8, U10) feststellt, dass der MAC-Authentifizierungsfehler durch eine Differenz zwischen den Zählwerten des ersten Authentifizierungszählers (18) und des zweiten Authentifizierungszählers (18) verursacht wird, wenn die von der Fehlerfortsetzungsdauermesseinheit (15, 19) gemessene Fehlerfortsetzungsdauer sich erhöht, gleich zu oder länger als eine vorbestimmte Dauer zu sein.
  3. Authentifizierungsabnormalitätsermittlungsvorrichtung gemäß Anspruch 2, wobei die vorbestimmte Dauer auf eine vorbestimmte Vielzahl von Malen eines Empfangszyklus der Nachricht eingestellt wird, und die vorbestimmte Vielzahl von Malen auf zweimal oder mehr eingestellt wird.
  4. Authentifizierungsabnormalitätsermittlungsvorrichtung gemäß Anspruch 1 oder 2, wobei der Abnormalitätstypermittler (17, U8, U10) feststellt, dass der MAC-Authentifizierungsfehler durch einen Empfang einer nicht autorisierten Nachricht verursacht wird, wenn die kumulative Anzahl der MAC-Authentifizierungsfehler, die von der Kumulative-Fehleranzahl-Messeinheit (16, 20) gezählt wird, gleich zu oder größer als ein Grenzzählwert ist.
  5. Authentifizierungsabnormalitätsermittlungsvorrichtung gemäß Anspruch 3, wobei der Abnormalitätstypermittler (17, U8, U10) feststellt, dass der MAC-Authentifizierungsfehler durch einen Empfang einer nicht autorisierten Nachricht verursacht wird, wenn die kumulative Anzahl der MAC-Authentifizierungsfehler, die von der Kumulative-Fehleranzahl-Messeinheit (16, 20) gezählt wird, gleich zu oder größer als ein Grenzzählwert ist.
  6. Authentifizierungsabnormalitätsermittlungsvorrichtung gemäß Anspruch 5, wobei der Grenzzählwert der kumulativen Anzahl der MAC-Authentifizierungsfehler so eingestellt ist, dass eine für die kumulative Anzahl der MAC-Authentifizierungsfehler benötigte Dauer, um den Grenzzählwert zu erreichen, länger als die vorbestimmte Dauer ist.
  7. Authentifizierungsabnormalitätsermittlungsvorrichtung gemäß Anspruch 2, wobei der Übertragungsknoten (3) des Kommunikationssystems (1) als ein Master-Knoten arbeitet, welcher einen Anfangswert des ersten Authentifizierungszählers (18) und des zweiten Authentifizierungszählers (18) verteilt, und die Authentifizierungsabnormalitätsermittlungsvorrichtung ferner eine Initialisierungsbenachrichtigungsanforderungseinheit (W1) umfasst, welche, an den Master-Knoten, eine Initialisierungsbenachrichtigungsanforderung zum Initialisieren des ersten Authentifizierungszählers (18) und des zweiten Authentifizierungszählers (18) überträgt, wenn der Abnormalitätstypermittler (17, U8, U10) die Differenz zwischen den Zählwerten des ersten Authentifizierungszählers (18) und des zweiten Authentifizierungszählers (18) feststellt.
  8. Authentifizierungsabnormalitätsermittlungsvorrichtung gemäß Anspruch 7, weiter umfassend: eine Rücksetzeinheit (W5), welche die kumulative Anzahl der MAC-Authentifizierungsfehler und die Fehlerfortsetzungsdauer bei einer Initialisierung des ersten Authentifizierungszählers (18) und des zweiten Authentifizierungszählers (18) zurücksetzt.
DE102017210960.2A 2016-07-05 2017-06-28 Authentifizierungsabnormalitätsermittlungsvorrichtung für eine nachricht Expired - Fee Related DE102017210960B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2016-133364 2016-07-05
JP2016133364A JP6699407B2 (ja) 2016-07-05 2016-07-05 メッセージの認証異常判別装置

Publications (2)

Publication Number Publication Date
DE102017210960A1 DE102017210960A1 (de) 2018-01-11
DE102017210960B4 true DE102017210960B4 (de) 2023-10-05

Family

ID=60676741

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017210960.2A Expired - Fee Related DE102017210960B4 (de) 2016-07-05 2017-06-28 Authentifizierungsabnormalitätsermittlungsvorrichtung für eine nachricht

Country Status (2)

Country Link
JP (1) JP6699407B2 (de)
DE (1) DE102017210960B4 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5770602B2 (ja) 2011-10-31 2015-08-26 トヨタ自動車株式会社 通信システムにおけるメッセージ認証方法および通信システム
CN105637803A (zh) 2014-05-08 2016-06-01 松下电器(美国)知识产权公司 车载网络系统、不正常检测电子控制单元以及不正常应对方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5254697B2 (ja) * 2008-08-05 2013-08-07 株式会社東海理化電機製作所 通信システム
WO2013073260A1 (ja) * 2011-11-19 2013-05-23 インターナショナル・ビジネス・マシーンズ・コーポレーション 記憶装置
US20140176301A1 (en) * 2012-12-20 2014-06-26 Lear Corporation Remote Function Fob for Enabling Communication Between a Vehicle and a Device and Method for Same

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5770602B2 (ja) 2011-10-31 2015-08-26 トヨタ自動車株式会社 通信システムにおけるメッセージ認証方法および通信システム
CN105637803A (zh) 2014-05-08 2016-06-01 松下电器(美国)知识产权公司 车载网络系统、不正常检测电子控制单元以及不正常应对方法
US20160297401A1 (en) 2014-05-08 2016-10-13 Panasonic Intellectual Property Corporation Of America Method for handling transmission of fraudulent frames within in-vehicle network

Also Published As

Publication number Publication date
JP6699407B2 (ja) 2020-05-27
DE102017210960A1 (de) 2018-01-11
JP2018007102A (ja) 2018-01-11

Similar Documents

Publication Publication Date Title
EP2870565B1 (de) Überprüfung einer integrität von eigenschaftsdaten eines gerätes durch ein prüfgerät
EP2569896B1 (de) Verfahren und vorrichtung zum authentisieren von multicast-nachrichten
DE102017123255A1 (de) Kommunikationssystem und Kommunikationsverfahren
WO2015106899A1 (de) Gesicherter netzwerk-zugangsschutz über authentifizierte zeitmessung
DE112014006265T5 (de) Gerätezertifikatbereitstellungsvorrichtung, Gerätezertifikatbereitstellungssystem, und Gerätezertifikatbereitstellungsprogramm
DE102016124352A1 (de) Kommunikationssystem und ein in dem Kommunikationssystem ausgeführtes Informationssammelverfahren
EP3363164B1 (de) Verfahren und vorrichtung zum abwehren einer manipulation an einem can-bus durch einen mittels eines can-controllers an den bus angebundenen knoten
WO2015155093A1 (de) Verfahren und system zur deterministischen autokonfiguration eines gerätes
DE102017210960B4 (de) Authentifizierungsabnormalitätsermittlungsvorrichtung für eine nachricht
DE102016206739A1 (de) Systeme und Verfahren zum Absichern einer Remotekonfiguration
DE102017212249A1 (de) Verfahren und Vorrichtungen für Teilnehmer übergreifende Kommunikation
DE112014003345B4 (de) Datenausschlussvorrichtung
WO2013174578A1 (de) Verfahren und vorrichtung zur erzeugung kryptographisch geschützter redundanter datenpakete
DE102019124423A1 (de) Kryptografische Einheit
DE102018217964A1 (de) Verfahren und Vorrichtung zur Überwachung einer Datenkommunikation
DE102012209445A1 (de) Verfahren und Kommunikationssystem zur sicheren Datenübertragung
DE102016206741A1 (de) Systeme und Verfahren zum Absichern einer Remote-Konfiguration
DE112019005250T5 (de) Steuereinrichtung, industrielles Steuersystem und Verfahren zur Verlängerung der Gültigkeitsdauer von Verschlüsselungsschlüsseln
DE102017200280B4 (de) Verfahren und Vorrichtung zum Qualifizieren eines Fehlers eines Sensors mittels einer Statusinformation
EP3580942B1 (de) Verfahren zur erfassung von signalstärken für eine signalstärkenbasierte positionsbestimmung eines mobilen ble-geräts
DE102014226772A1 (de) Vorrichtung und Verfahren zum Senden und Verfifizieren einer Signatur
DE112019004692T5 (de) Datenverarbeitungsvorrichtung und managementvorrichtung
DE3882537T2 (de) Verfahren und Vorrichtung für eine sichere und diagnostizierbare, Signalverwaschungen vermeidende Übertragung.
DE102021112332A1 (de) Verfahren zum Erkennen einer unzulässigen Nachricht eines manipulierten Steuergeräts eines Fahrzeugs durch ein zweites Steuergerät des Fahrzeugs, computerlesbares Medium, System, und Fahrzeug
EP3823235A1 (de) Verbindungsspezifisch geprüfte datenübertragung über eine kryptographisch authentisierte netzwerkverbindung

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee