网络系统、通信控制方法以及存储介质与流程

本公开的方面涉及网络系统。

背景技术：

在应当参与车载通信网络的各种通信节点中，可能有已经执行了诸如篡改程序的未授权活动的不可靠的通信节点。如果这种不可靠的通信节点被允许连接到车载通信网络，则可能出现诸如损坏外部装置和耗尽通信频带的各种问题。

存在用于基于认证来控制对车载通信网络的访问以允许可靠的通信节点执行通信的已知技术(参见例如专利文献1)。在这个技术中，确定连接到用于连接外部装置的连接器的工具是否是正品，以防止经由连接到车载通信网络的车载装置上的连接器所执行的未授权活动。

[相关技术文献]

[专利文献]

[专利文献1]日本专利特开公报No.2013-135311

技术实现要素：

本发明要解决的问题

在用于控制对车载通信网络进行访问的相关技术中，基于使用证书和密码的认证来确定是否允许通信节点连接到车载通信网络。为此，即使未认证的通信节点被期望正常操作，未认证的通信节点的连接被无一例外地拒绝。

另一方面，允许不是正品并且不能被认证的通信节点的连接可能对车载通信网络造成不利影响。

本公开的一个目的是允许连接到车载通信网络的通信节点根据通信节点的可靠性而工作。

解决问题的手段

在本公开文本的一方面中，提供一种包括一个或多个通信节点和网关的网络系统。该网关包括：监视单元，所述监视单元用于监视在网关与新连接到网络系统的新连接的通信节点之间执行的通信的通信参数；以及通信控制单元，所述通信控制单元用于基于通过所述监视单元所监视的通信参数是否符合预定通信条件来确定所述新连接的通信节点的可靠性并且基于所确定的可靠性来改变所述预定通信条件。

本发明的有益效果

本公开文本的一方面使得可以允许连接到车载通信网络的通信节点根据通信节点的可靠性而工作。

附图说明

图1是示出根据实施例的车载通信网络的示意图；

图2是示出图1的车载通信网络的一部分的示意图；

图3是示出根据实施例的ECU的硬件配置的示例的示意图；

图4是示出根据实施例的网络控制器的硬件配置的示例的示意图；

图5是示出根据实施例的ECU和网络控制器的功能配置的框图；

图6是可靠性等级-通信控制条件表的示例；

图7是可靠性等级-通信控制条件表的示例；

图8是示出在车载通信网络中执行的示例性处理的时序图；

图9是示出在车载通信网络中执行的示例性处理的时序图；

图10是示出在车载通信网络中执行的示例性处理的流程图；

图11是示出车载通信网络的变形例的示意图；

图12是示出网络控制器的硬件配置的变形例的示意图；

图13是示出网络控制器的功能配置的变形例的框图；

图14是示出车载通信网络的变形例的示意图；以及

图15是示出车载通信网络的变形例的示意图。

具体实施方式

下面参照附图描述本发明的实施例。下面描述的实施例是示例，并且本发明不限于那些实施例。在所有附图中，相同的附图标记被分配给具有相同功能的部件，并且省略对这些部件的重复描述。

<<实施例>>

<车载通信网络>

图1是示出根据实施例的车载通信网络的示意图。

车载通信网络由一个网络或一组连接的网络构成。诸如部件、装置以及电子控制单元(ECU)的一个或多个通信节点连接到每个网络。此外，用于连接诸如车辆诊断设备的工具的外部连接端口可以连接到车载通信网络。

可以替换通信节点以进行修复，并且诸如第三方产品和定制产品的非正品(non-genuine product)也可以连接到网络。此外，工具或测量装置可以连接到外部连接端口。这里，ECU被用作通信节点的示例。

车载通信网络包括头单元100、ECU 102、ECU 104、网络控制器106、ECU 110、车载诊断(on-board diagnostics,OBD)端口202、ECU 204，信息装置302、网络单元304以及无线电装置400。

头单元100、ECU 102、ECU 104以及网络控制器106经由第一通信总线108彼此连接，以形成诸如控制器局域网(controller area network,CAN)、以太网(注册商标)或局域网(local area network,LAN)的第一网络。头单元100、OBD端口202以及ECU 204经由第二通信总线206彼此连接，以形成诸如CAN、以太网(注册商标)或LAN的第二网络。头单元100、信息装置备302以及网络单元304经由第三通信总线306彼此连接，以形成诸如CAN、以太网(注册商标)或LAN的第三网络。网络控制器106和ECU 110经由第四通信总线112彼此连接，以形成诸如CAN、以太网(注册商标)或LAN的第四网络。

头单元100包括诸如导航、音频和视频功能的多媒体功能，与无线电装置400进行无线电通信，并且播放例如从无线电装置400发送的音乐和视频数据。另外，如后所述，头单元100基于从网络单元304输入的信息而操作。

ECU 102，104，110及204主要执行引擎控制操作，例如点火定时调节、燃料调节、油门调节、阀定时调节以及空载调节。此外，ECU 102，104，110及204可以被配置为控制诸如防抱死制动系统(antilock brake system,ABS)的制动系统、执行牵引控制，以及控制例如气囊、空调、仪表、防盗器以及室内灯的电气部件。

网络控制器106基于ECU 110的可靠性来确定是否将ECU 110连接到第一网络。当确定将ECU 110连接到第一网络时，网络控制器106执行传输控制操作，例如设置被分配给ECU 110的通信速率，并且设置要由ECU 110发送到第一网络的数据包。例如，网络控制器106调整ECU 110的通信参数，以限制要分配的通信速率并限制要传送到第一网络的数据包。

OBD端口202是与例如专用端子相连接以获取由OBD系统记录的故障诊断结果的端口。车辆技工可以从OBD端口204获取故障诊断结果，并分析所获取的故障诊断结果。例如，当检测到故障时，OBD系统通过使灯打开或闪烁或使蜂鸣器产生声音来报告故障的位置和类型，并记录与故障类型对应的代码。此外，雷达检测器和外部仪表可以连接到OBD端口202，以在车辆运行时测量例如水温、增压压力及燃料消耗。

信息装置302存储由网络单元304获取的信息，并将该信息输出到头单元100。

网络单元304与接入点500执行无线电通信，以例如从连接到与接入点500连接的网络(未示出)的服务器(未示出)获取地图数据或下载音乐数据。例如，当头单元100具有导航功能时，网络单元304下载更新的地图数据。作为另一示例，当头单元100具有音频功能时，网络单元304下载音乐或视频数据。此外，如后所述，网络单元304可以通过与接入点500执行无线电通信从连接到与接入点500连接的网络(未示出)的服务器(未示出)接收服务。

无线电装置400包括诸如无线LAN模块的无线装置并且与头单元100执行无线通信。

在图1的车载通信网络中，网络控制器106和ECU 110是在车载通信网络初始构建之后新添加的部件。也就是说，为了向第一网络新添加诸如ECU 110的通信节点，网络控制器106连接到第一通信总线108，并且ECU 110连接到网络控制器106。

这里，描述了诸如ECU 110的通信节点新添加到第一网络的情况。以下描述也可以应用于诸如ECU的通信节点被新添加到第二网络或第三网络的情况。

图2是示出图1的车载通信网络的第一网络的示意图。如图2所示，第一网络是总线网络，其中，头单元100、ECU 102和104以及网络控制器106连接到第一通信总线108，并且ECU 110连接到网络控制器106。

<ECU 102的硬件配置>

图3是示出本实施例的ECU 102的硬件配置的框图。如图3所示，本实施例的ECU 102包括用于控制ECU 102的整个操作的中央处理单元(CPU)1024和存储用于驱动CPU 1024的程序的只读存储器(ROM)1026。ECU 102还包括用作CPU 1024的工作区的随机存取存储器(RAM)1028和用于如图3所示将部件彼此电连接的诸如地址总线或数据总线的总线线路1023。

ECU 102还包括通信单元1030，其将从CPU 1024输入的发送数据输出到收发器1032以将发送数据发送到第一通信总线108。通信单元103还从收发器1032接收数据并将接收到的数据输入到CPU 1024。CPU 1024、ROM 1026、RAM 1028、通信单元1030以及总线1023可以被实现为微控制器1022。ECU 102进一步包括收发器1032，其将从通信单元1030输入的发送数据发送到第一通信总线108，并将从第一通信总线108接收的接收到的数据输入到通信单元1030。

图3所示的ECU 102的硬件配置也可应用于ECU 104、ECU 110以及ECU 204。

<网络控制器106的硬件配置>

图4是示出本实施例的网络控制器106的硬件配置的框图。如图4所示，本实施例的网络控制器106包括用于控制网络控制器106的整个操作的CPU 1064和存储用于驱动CPU 1064的程序的ROM 1066。网络控制器106还包括用作CPU 1064的工作区的RAM 1068和用于如图4所示将部件彼此电连接的诸如地址总线或数据总线的总线1063。

网络控制器106还包括通信单元1070，其将从CPU 1064输入的发送数据输出到第一收发器1072或第二收发器1074，以将发送数据发送到第一通信总线108或第四通信总线112。通信单元1070还从第一收发器1072或第二收发器1074接收到数据，并将接收到的数据输入到CPU 1064。

CPU 1064、ROM 1066、RAM 1068、通信单元1070及总线1063可以被实现为微控制器1062。

网络控制器106包括：第一收发器1072，其将从通信单元1070输入的发送数据发送到第一通信总线108并将从第一通信总线108接收的接收到的数据输入到通信单元1070，以及第二收发器1074，其将从通信单元1070输入的发送数据发送到第四通信总线112并将从第四通信总线112接收的接收到的数据输入到通信单元1070。

<功能配置>

接下来，对本实施例的功能配置进行说明。图5是示出本实施例的网络控制器106和ECU 110的功能配置的框图。如图5所示，网络控制器106和ECU 110经由线路连接以能够彼此通信。

<ECU 110的功能配置>

ECU 110包括发送-接收单元1102、认证单元1104、发送数据生成单元1106、存储读取单元1108、存储器1110及通信控制单元1112。这些单元是根据从ROM 1026加载到RAM 1028的ECU程序由CPU 1024通过控制图3中所示的硬件部件来实现的功能或功能部件。

<ECU 110的功能部件>

接下来，参照图3和图5详细描述ECU 110的功能部件。在下面的ECU 110的功能部件的描述中，还说明了用于实现ECU 110的功能部件的图3的硬件部件。

图5中的ECU 110的发送-接收单元1102通过来自图3中的CPU 1024和通信单元1030的指令实现，并且经由第四网络向网络控制器106发送各种类型的数据(或信息)和从网络控制器106接收各种类型的数据(或信息)。

图5中的ECU 110的存储-读取单元1108通过来自图3中的CPU 1024的指令实现，并且将各种类型的数据存储在存储器1110中和从存储器1110中读取各种类型的数据。存储器1110存储用于识别ECU 110的节点ID、ECU 110的可靠性等级以及诸如与网络控制器106共享的密码的认证密钥。节点ID可以预先存储在存储器1110中或者在用户使用ECU 110时输入到存储器1110。

在本实施例中，节点ID指示用于唯一地识别ECU的诸如语言、字符、符号或标记的标识信息。此外，节点ID可以是通过将语言、字符、符号及标记中的两个或更多个组合而形成的标识信息。

图5中的ECU 110的存储器1110通过图3中的ROM 1026实现，并且存储ECU 110的节点ID、ECU 110的可靠性等级以及与网络控制器106共享的诸如密码的认证密钥。

图5中的ECU 110的认证单元1104通过来自图3中的CPU 1024的指令实现，并请求网络控制器106执行认证。认证单元1104使存储-读取单元1108读取存储在存储器1110中的节点ID和可靠性等级，生成包括节点ID和可靠性等级的认证请求，并且使得发送-接收单元1102发送认证请求。此外，当从网络控制器106发送的挑战(challenge)被发送-接收单元1102接收到时，认证单元1104获取包括在询问中的nonce(随机数)，并使存储-读取单元1108读取存储在存储器1110中的认证密钥。此外，认证单元1104基于所获取的随机数和认证密钥的组合来执行预定计算，并且使得发送-接收单元1102发送计算结果作为响应。此外，当由网络控制器106发送的认证响应被发送-接收单元1102接收并且认证响应指示通信允许时，认证单元1104将认证结果报告给通信控制单元1112。认证单元1104还可以使用根据EAP-TLS的证书与网络控制器106执行相互认证，并且根据PEAP执行认证。此外，网络控制器106可以被配置为充当RADIUS服务器。

图5中的ECU 110的发送数据生成单元1106通过来自图3中的CPU 1024的指令实现。发送数据生成单元1106生成要发送到其它通信节点的各种类型的数据(或信息)，并且使发送-接收单元1102发送该数据。

图5中的ECU 110的通信控制单元1112通过来自图3中的CPU 1024和通信单元1030的指令实现。通信控制单元1112控制由发送数据生成单元1106生成的数据的发送。

<网络控制器106的功能配置>

网络控制器106包括第一发送-接收单元1076、认证单元1078、等级设置单元1080、监视单元1082、存储-读取单元1084、存储器1086、通信控制单元1088、速率测量单元1090以及第二发送-接收单元1092。这些部件是根据从ROM 1066加载到RAM 1068的网络控制器程序由CPU 1064通过控制图4所示的硬件部件实现的功能或功能单元。

<网络控制器106的功能部件>

接下来，参考图4和图5详细描述网络控制器106的功能部件。在下面的网络控制器106的功能部件的描述中，还说明了用于实现网络控制器106的功能部件的图4的硬件部件。

图5中的网络控制器106的第一发送-接收单元1076通过来自图4中的CPU 1064和通信单元1070的指令来实现，并且经由第一网络向其它ECU(ECU 102和104)和头单元100发送各种类型的数据(或信息)并且从其它ECU(ECU 102和104)和头单元100接收各种类型的数据(或信息)。

图5中的网络控制器106的第二发送-接收单元1092通过来自图4中的CPU 1064和通信单元1070的指令来实现，并且经由第四网络向ECU 110发送各种类型的数据(或信息)和从ECU 110接收各种类型的数据(或信息)。

图5中的网络控制器106的等级设置单元1080通过来自图4中的CPU 1064的指令实现，并且设置ECU 100的可靠性等级。可靠性等级包括正品等级、半正品等级、市场产品等级、半市场产品等级和未授权等级。

<可靠性等级>

正品等级的ECU是由生产和分销诸如车辆的产品的制造商出售和认证的正品，因此具有最高的可靠性等级。

半正品等级的ECU是具有特殊规格和能力的产品，并且由例如零件制造商根据来自生产和分销诸如车辆的产品的制造商的订单来生产。半正品等级的ECU提供大于或等于正品等级的ECU性能的性能，并且具有仅次于正品等级的ECU可靠性等级的可靠性等级。

市场产品等级的ECU是具有典型规格的通用部件，并且提供与正品等级的ECU的性能相当的性能。市场产品等级的ECU是与正品等级的ECU兼容的非正品，并且具有仅次于半正品等级的ECU可靠性等级的可靠性等级。

半市场产品等级的ECU是具有典型规格的通用部件，并且提供与正品等级的ECU的性能相当的性能。然而，无法保证半市场产品等级的ECU与正品等级的ECU的兼容性。半市场产品等级的ECU具有仅次于市场产品等级的ECU可靠性等级的可靠性等级。

未授权等级的ECU是具有典型规格的通用部件。无法保证未授权等级的ECU与正品等级的ECU的兼容性。未授权等级的ECU具有最低的可靠性等级。上述可靠性等级是示例。可靠性等级可以包括两个到四个等级或六个或更多个等级。此外，还可以以任何其它适当的方式来定义可靠性等级。

回到图5，网络控制器106的存储-读取单元1084通过来自图4中的CPU 1064的指令实现，并且将各种类型的数据存储在存储器1086中和从存储器1086读取各种类型的数据。

图5中的网络控制器106的存储器1086通过图4中的ROM 1066实现，并且存储包含用于在ECU的认证期间识别能够与网络控制器106通信的ECU的节点ID的节点ID表和诸如与ECU 110共享的密码的认证密钥。存储器1086还存储可靠性等级-通信控制条件表。稍后描述可靠性等级-通信控制条件表。

图6示出了可靠性等级与通信控制条件相关联的可靠性等级-通信控制条件表。如图6所示，在可靠性等级是正品等级的ECU的情况下，用于通信的通信速率(使用速率)在发送侧受到控制，并且所有功能是可用的。在可靠性等级是半正品等级的ECU的情况下，通信速率在发送侧受到控制，并且可用功能受到限制。在可靠性等级是市场产品等级的ECU的情况下，通信速率由网络控制器106控制，并且可用功能受到限制。在可靠性等级为半市场产品等级的ECU的情况下，通信速率和可用功能限于安全保证等级，并且危险状态被报告给周围节点以使周围节点转变到危险节点可以安全地断开连接的状态。在可靠性等级为未授权等级的ECU的情况下，通信速率和可用功能严格限于安全保证等级。

图6的通信控制条件是示例，并且还可以使用不同的通信控制条件。

<可靠性等级-通信控制条件表>

图7示出可靠性等级-通信控制条件表的示例。在可靠性等级-通信控制条件表中，通信控制条件与各个可靠性等级相关联。

如图7所示，每个可靠性等级与通信速率、通信对象、可用功能、违反标准和惩罚措施相关联。通信速率表示网络控制器106和ECU 110可以彼此通信的速度，并且通信对象表示ECU 110可以与之通信的节点。可用功能表示ECU 110可以使用的功能，并且表示ECU 110可以访问或获取的信息。违反标准用于确定ECU的未授权行为，并且惩罚措施表示针对其行为被确定为与违反标准对应的ECU所执行的处理。

对于可靠性等级是正品等级的ECU，通信速率、通信对象和可用功能不受限制，并且不设置违反标准和惩罚措施。

在可靠性等级是半正品等级的ECU的情况下，通信速率在高达例如1Mbps的范围内是可控的，该范围比可靠性等级是正品等级的ECU的范围窄，通信对象限于除敏感节点以外的通信节点，并且可用功能限于由ECU的供应商公开的功能。违反标准被定义为ECU尝试以大于1Mbps的通信速率访问节点的情况以及ECU尝试访问除了由供应商公开的功能之外的功能的情况。当满足违反标准中的一条时，ECU的可靠性等级被改变为诸如市场产品等级的较低可靠性等级。

在可靠性等级是市场产品等级的ECU的情况下，通信速率在高达例如100kbps的范围内是可控的，该范围比可靠性等级为半正品等级的ECU的范围窄，通信对象限于被指定为市场产品等级的ECU可访问的通信节点的节点，并且可用功能限于由ECU的供应商公开的功能。违反标准被定义为ECU尝试访问除了指定的可访问节点之外的通信节点的情况以及ECU尝试访问除了由供应商公开的功能之外的功能的情况。当满足违反标准中的一条时，ECU的可靠性等级被改变为诸如半市场产品等级的较低可靠性等级。

在可靠性等级是半市场产品等级的ECU的情况下，通信速率在高达例如10kbps的范围内是可控的，该范围比可靠性等级是市场产品等级的ECU的范围更窄，通信对象限于被指定为市场产品等级的ECU可访问的通信节点的节点，并且可用功能限于由ECU的供应商公开的功能。不设置违反标准和惩罚措施。这是因为半市场产品等级的ECU的通信速率和可用功能严格限于安全保证等级。

在可靠性等级是未授权等级的ECU的情况下，通信速率可以在例如10kbps的范围内是可控的，该范围比可靠性等级是市场产品等级的ECU的范围更窄，通信对象限于头单元100，并且只有获取速度信息的功能是可用的。不设置违反标准和惩罚措施。这是因为未授权等级的ECU的通信速率和可用功能严格限于安全保证等级。图7的通信控制条件是示例，并且还可以使用不同的通信控制条件。

回到图5，网络控制器106的认证单元1078通过来自图4中的CPU 1064的指令实现，并且执行ECU 110的认证。当从ECU 110发送的认证请求由第二发送-接收单元1092接收时，认证单元1078获取包括在认证请求中的节点ID和可靠性等级。

此外，认证单元1078使存储-读取单元1084读取存储在存储器1086中的节点ID表，并且确定包括在认证请求中的节点ID是否存在于节点ID表中。当包括在认证请求中的节点ID存在于节点ID表中时，认证单元1078生成nonce(随机数)，并经由第二发送-接收单元1092发送该随机数。此外，与ECU110类似，认证单元1078基于所生成的随机数和认证密钥的组合来执行预定计算。当在ECU 110处获取的计算结果通过第二发送-接收单元1092从ECU 110接收到时，认证单元1078通过将由第二发送-接收单元1092接收的计算结果与由认证单元1078获取的计算结果进行比较来执行认证处理。当计算结果匹配时，认证单元1078生成包括用于指示认证已经成功的信息的认证响应。当计算结果不匹配时，认证单元1078生成包括用于指示认证已经失败的信息的认证响应。然后，认证单元1078经由第二发送-接收单元1092发送认证响应。当计算结果匹配时，认证单元1078向通信控制单元1088报告认证已经成功。认证单元1078还可以使用根据可扩展认证协议传输层安全(Extensible Authentication Protocol Transport Layer Security,EAP-TLS)的证书与ECU 110执行相互认证，并且根据受保护EAP(protected EAP,PEAP)执行认证。此外，网络控制器106可以被配置为充当RADIUS服务器。

图5中网络控制器106的监视单元1082通过来自图4中的CPU 1064和通信单元1070的指令来实现，并且监视新连接的ECU 110的行为，例如ECU 110发送数据包的通信速率和ECU 110访问的节点。

图5中的网络控制器106的通信控制单元1088通过来自图4中的CPU 1064和通信单元1070的指令来实现。当从认证单元1078报告成功认证时，通信控制单元1088使存储-读取单元1084读取存储在存储器1086中的可靠性等级-通信控制条件表，并且基于与由等级设置单元1080确定的可靠性等级相对应的该通信速率、通信对象及可用功能来控制ECU 110。此外，基于在与ECU 110的通信期间由监视单元1082监视的ECU 110的行为，通信控制单元1088确定是否满足违反标准。当满足违反标准时，通信控制单元1088根据惩罚措施确定改变可靠性等级，并且更新在等级设置单元1080中设置的可靠性等级。

图5中的网络控制器106的速率测量单元1090通过来自图4中的CPU 1064和通信单元1070的指令来实现，并且测量在网络控制器106和ECU 110之间执行通信的通信速率。

<车载通信网络的操作>

图8示出了在车载通信网络中执行的示例性处理。

在图8的车载通信网络中执行的过程中，假设在ECU 110和网络控制器106中预先设置了诸如密码的认证密钥，并且ECU 110和网络控制器106被配置为根据使用认证密钥和随机数的组合的预定算法来执行计算。

在步骤S802中，ECU 110的授权单元1104生成包括节点ID和可靠性等级的认证请求。

在步骤S804中，ECU 110的发送-接收单元1102将由授权单元1104生成的认证请求发送到网络控制器106。

在步骤S806中，当认证请求由网络控制器106的第二发送-接收单元1092接收到时，认证单元1078获取接收到的认证请求。认证单元1078检查包括在认证请求中的节点ID和可靠性等级。

在步骤S808中，在基于节点ID确认了网络控制器106和ECU 110可以彼此通信之后，认证单元1078生成随机数。在该步骤中，当基于节点ID不能确认网络控制器106和ECU 110可以彼此通信时，认证单元1078可以请求ECU 110再次发送节点ID。如果即使在节点ID被请求了预定次数之后仍不能确认网络控制器106和ECU 110可以彼此通信，则认证单元1075可以将节点ID锁定为账户。

在步骤S810中，网络控制器106的第二发送-接收单元1092将由认证单元1078生成的随机数(挑战)发送到ECU 110。

在步骤S812中，当ECU 110的发送-接收单元1102接收到随机数时，认证单元1104基于认证密钥和由发送-接收单元1102接收的随机数的组合来执行计算。

在步骤S814中，网络控制器106的授权单元1078基于认证密钥和所生成的随机数的组合来执行计算。

在步骤S816中，ECU 110的发送-接收单元1102将认证单元1104的运算结果作为响应发送给网络控制器106。

在步骤S818中，当网络控制器106的第二发送-接收单元1092接收到该响应时，认证单元1078将步骤S814的计算结果与在步骤S816从ECU 110发送的计算结果进行比较，以执行ECU 110的认证。

在步骤S820中，网络控制器106的认证单元1078经由第二发送-接收单元1092将在步骤S818执行的认证结果发送到ECU 110。

当在步骤S818中ECU 110的认证已经成功时，认证单元1078在等级设置单元1080中设置ECU 110的可靠性等级，并向通信控制单元1088报告认证已成功。

通过上述处理，网络控制器106可以确定是否可以与新连接的ECU 110通信，并且当确定网络控制器106可以与ECU 110通信时设置ECU 110的可靠性等级。

图8的时序图所示的处理是示例，还可以以不同的顺序执行时序图中的步骤。例如，步骤S814和S816的顺序可以颠倒。

图9示出了在车载通信网络中执行的示例性处理。

图9示出了在ECU 110由网络控制器106认证之后执行的过程。

在步骤S902中，网络控制器106的认证单元1078执行ECU 110的认证。在该处理中，假设ECU 110由认证单元1078认证成功。

在步骤S904中，当ECU 110的认证已经成功时，网络控制器106的认证单元1078在等级设置单元1080中设置ECU 110的可靠性等级，并且向通信控制单元1088报告ECU 110的认证已经成功。

在步骤S906中，网络控制器106的通信控制单元1088经由第一发送-接收单元1076将指示实体已经添加的报告发送到构成第一网络的头单元100、ECU 102及ECU 104。

在步骤S908中，ECU 110的发送数据生成单元1106生成包括发送数据的数据包，通信控制部1112经由发送-接收单元1102发送由发送数据生成单元1106生成的数据包。

在步骤S910中，网络控制器106的第二发送-接收单元1092接收从ECU 110发送的数据包并将该数据包输入到通信控制单元1088。当该数据包从第二发送-接收单元1092输入时，通信控制单元1088使存储-读取单元1084读取存储在存储器1086中的可靠性等级-通信控制条件表，并且识别发送该数据包的通信速率、该数据包将被发送的通信对象、以及要由数据包使用的功能。

通信控制单元1088参考与可靠性等级-通信控制条件表中的ECU 110的可靠性等级相关联的通信速率、通信对象及可用功能，并且确定从ECU 110发送的数据包是否符合这些条件。

在步骤S912中，当确定从ECU 110发送的数据包符合与可靠性等级-通信控制条件表中的ECU 110的可靠性等级相关联的通信速率、通信对象及可用功能时，通信控制单元1088经由第一发送-接收单元1076将数据包发送到第一网络。

在步骤S914中，ECU 110的发送数据生成单元1106生成包括发送数据的数据包，并且通信控制单元1112经由发送-接收单元1102发送由发送数据生成单元1106生成的数据包。

在步骤S916中，网络控制器106的第二发送-接收单元1092接收从ECU 110发送的数据包，并将该数据包输入到通信控制单元1088。当该数据包从第二发送-接收单元1092输入时，通信控制单元1088使存储-读取单元1084读取存储在存储器1086中的可靠性等级-通信控制条件表，并且识别发送该数据包的通信速率、数据包将被发送的通信对象、以及要由数据包使用的功能。通信控制单元1088参考与可靠性等级-通信控制条件表中的ECU 110的可靠性等级相关联的通信速率、通信对象及可用功能，并且确定从ECU 110发送的数据包是否符合这些条件。

在步骤S918中，当确定从ECU 110发送的数据包不符合与可靠性等级-通信控制条件表中的ECU 110的可靠性等级相关联的通信速率、通信对象及可用功能时，通信控制单元1088拒绝该数据包的传送。此外，通信控制单元1088确定是否满足与可靠性等级-通信控制条件表中的ECU 110的可靠性等级相关联的违反标准，并且当满足违反标准时改变ECU 110的可靠性等级。

此外，当在步骤S918中确定从ECU 110发送的数据包不符合与可靠性等级通信控制条件表中的ECU 110的可靠性等级相关联的通信速率、通信对象及可用功能时，通信控制单元1088可以在该确定之后限制可用于要从ECU 110发送的数据包的功能。此外，通信控制单元1088可以在该确定之后降低要从ECU 110发送的数据包的通信速率。

此外，当在步骤S918中确定从ECU 110发送的数据包不符合与可靠性等级通信控制条件中的ECU 110的可靠性等级相关联的通信速率、通信对象及可用功能时表时，通信控制单元1088可以延迟数据包的发送。此外，通信控制单元1088可以降低传送从ECU 110接收的数据包的频率。此外，通信控制单元1088可以传送从ECU 110接收的数据包中的一些数据包，并且通过例如破坏其余的数据包来取消它们。

利用上述处理，网络控制器106可以基于ECU 110的可靠性等级来确定是否将从新连接的ECU 110接收的数据包传送到第一网络。因此，即使在ECU 110被认证之后，网络控制器106可以向第一网络仅传送在从ECU 110发送的所有数据包中就安全性来说是安全的数据包。

图10示出了在车载通信网络中执行的示例性处理。

图10示出了由网络控制器106执行的确定是否传送从ECU 110发送的数据包的处理。图10的处理对应于图9中的步骤S910、S916和S918。

在步骤S1002中，网络控制器106的监视单元1082分析从ECU 110发送的数据包。更具体地说，监视单元1082分析由ECU 110发送数据包的通信速率和将由数据包使用的功能。

在步骤S1004中，网络控制器106的通信控制器1088使存储-读取单元1084读取存储在存储器1086中的可靠性等级-通信控制条件表。然后，通信控制单元1088确定通过监视单元1082分析的将由数据包使用的功能是否符合可靠性等级-通信控制条件表中的可用功能。

在步骤S1006中，当通过监视单元1082分析的将由数据包使用的功能符合可靠性等级-通信控制条件表中的可用功能时，通信控制单元1088确定通过监视单元1082分析的数据包的通信速率是否符合可靠性等级-通信控制条件表中的通信速率。

在步骤S1008中，当确定通过监视单元1082分析的数据包的通信速率符合可靠性等级-通信控制条件表中的通信速率时，通信控制单元1088经由第一发送-接收单元1076发送该数据包。

在步骤S1010中，网络控制器106的速率测量单元1090测量在网络控制器106和ECU 110之间执行通信的通信速率，并更新通信速率统计量。经更新的通信速率统计量用于判断在步骤S1006处其后要发送的数据包的通信速率。

在步骤S1012中，当通过监视单元1082分析的将由数据包使用的功能不符合在步骤S1004中的可靠性等级-通信控制条件表中的可用功能时，或者当通过监视单元1082分析的数据包的通信速率不符合可靠性等级-通信控制条件表中的通信速率时，则通信控制单元1088不发送该数据包。

在步骤S1014中，基于由监视单元1082监视的ECU 110的行为，网络控制器106的通信控制单元1088确定是否满足违反标准。当满足违反标准时，通信控制单元1088根据惩罚措施确定改变可靠性等级，并且更新在等级设置单元1080中设置的可靠性等级。

利用上述处理，网络控制器106可以确定从新连接的ECU 110发送的数据包是否安全，并且仅将被确定为安全的数据包传送到第一网络。在图10中，基于数据包的通信速率和将由数据包使用的功能来确定该数据包是否安全。然而，除了通信速率和功能之外，或者代替通信速率和功能，可以基于诸如通信对象的另一参数来确定该数据包是否安全。

使用所谓的总线网络来描述上述实施例，在所谓的总线网络中，头单元100、ECU 102和104以及网络控制器106连接到第一通信总线108，并且ECU 110连接到网络控制器106。然而，本发明还可以应用于其它类型的网络。

图11是示出实现为星形网络的第一网络的示意图。如图11所示，当第一网络被实现为星型网络时，网络控制器114被用作集线器，并且头单元100、ECU 102、ECU 104及ECU 110与网络控制器114径向连接。在图11中，ECU 110是新连接的通信节点。当第一网络被实现为星形网络时，新连接的ECU 110连接到已经是第一网络的一部分的网络控制器114。

这里，描述第一网络被实现为星形网络的情况。然而，下面的描述也可以应用于例如第二网络至第四网络。

网络控制器114和头单元100经由第五通信总线116彼此连接，网络控制器114和ECU 102经由第六通信总线118彼此连接，网络控制器114和ECU 104经由第七通信总线120彼此连接，并且网络控制器114和ECU 110经由第八通信总线122彼此连接。ECU 102、ECU 104及ECU 110可以具有如上所述的配置。另一方面，与四个节点连接的网络控制器114具有与网络控制器106的配置不同的配置。

图12是示出网络控制器114的硬件配置的示意图。如图12所示，网络控制器114包括用于控制网络控制器114的整个操作的CPU 1144和存储用于驱动CPU 1144的程序的ROM 1146。网络控制器114还包括用作CPU 1144的工作区的RAM 1148和用于如图12所示将部件彼此电连接的诸如地址总线或数据总线的总线线路1143。

网络控制器114还包括通信单元1150，其将从CPU 1144输入的发送数据输出到第一收发器1152、第二收发器1154、第三收发器1156或第四收发器1158，以将发送数据发送到第五通信总线116、第六通信总线118、第七通信总线120或第八通信总线122。通信单元1150还从第一收发器1152、第二收发器1154、第三收发器1156或第四收发器1158接收到数据，并且将接收到的数据输入到CPU 1144。CPU 1144、ROM 1146、RAM 1148及通信单元1150可以被实现为微控制器1142。

网络控制器114还包括第一收发器1152，其将从通信单元1150输入的传输数据发送到第五通信总线116，并将从第五通信总线116接收的接收到的数据输入到通信单元1150。网络控制器114还包括第二收发器1154，其将从通信单元1150输入的发送数据发送到第六通信总线118，并将从第六通信总线118接收的接收到的数据输入到通信单元1150。

网络控制器114还包括第三收发器1156，其将从通信单元1150输入的发送数据发送到第七通信总线120，并将从第七通信总线120接收的接收到的数据输入到通信单元1150。网络控制器114还包括第四收发器1158，其将从通信单元1150输入的发送数据发送到第八通信总线122，并将从第八通信总线122接收的接收到的数据输入到通信单元1150。

<网络控制器114的功能配置>

图13是示出网络控制器114的功能配置的框图。

网络控制器114包括第一发送-接收单元1160、第二发送-接收单元1162、第三发送-接收单元1164、第四发送-接收单元1166、认证单元1168、等级设置单元1170、监视单元1172、存储-读取单元1174、存储器1176、通信控制单元1178及速率测量单元1180。这些部件是根据从ROM 1146加载到RAM1148的网络控制器程序由CPU 1144通过控制如图12所示的硬件部件实现的功能或功能单元。

<网络控制器114的功能部件>

接下来，参考图12和图13详细描述网络控制器114的功能部件。在下面的网络控制器114的功能部件的描述中，还说明了图12的用于实现网络控制器114的功能部件的硬件部件。

图13中的网络控制器114的第一发送-接收单元1160通过来自图12中的CPU 1144和通信单元1150的指令来实现，并且经由第五通信总线116向头单元100发送各种类型的数据(或信息)和从头单元100接收各种类型的数据(或信息)。

图13中的网络控制器114的第二发送-接收单元1162通过来自图12中的CPU 1144和通信单元1150的指令来实现，并且经由第六通信总线118向ECU 102发送各种类型的数据(或信息)和从ECU 102接收各种类型的数据(或信息)。

图13中的网络控制器114的第三发送-接收单元1164通过来自图12中的CPU 1144和通信单元1150的指令来实现，并且经由第七通信总线120向ECU 104发送各种类型的数据(或信息)并从ECU 104接收各种类型的数据(或信息)。

图13中网络控制器114的第四发送-接收单元1166通过来自图12中的CPU 1144和通信单元1150的指令来实现，并且经由第八通信总线122向ECU 110发送各种类型的数据(或信息)和从ECU 110接收各种类型的数据(或信息)。

图13中的网络控制器114的等级设置单元1170通过来自图12中的CPU 1144的指令实现，并且设置ECU 110的可靠性等级。可靠性等级包括正品等级、半正品等级、市场产品等级、半市场产品等级及未授权等级。可靠性等级的定义可以与上述的相同。

图13中的网络控制器114的存储-读取单元1174通过来自图12中的CPU 1144的指令实现，并且将各种类型的数据存储在存储器1176中和从存储器1176中读取各种类型的数据。存储器1176存储包含用于在ECU的认证期间识别能够与网络控制器114通信的ECU的节点ID的节点ID表。存储器1176还存储可靠性等级-通信控制条件表。可靠性等级-通信控制条件表可以具有与上述相同的配置。

图13中的网络控制器114的存储器1176通过图12中的ROM 1146实现，并且存储包含用于在ECU的认证期间识别能够与网络控制器114通信的ECU的节点ID的节点ID表以及诸如与ECU 110共享的密码的认证密钥。存储器1076还存储可靠性等级-通信控制条件表。可靠性等级-通信控制条件表可以具有与上述相同的配置。

图13中的网络控制器114的认证单元1168通过来自图12中的CPU 1144的指令实现，并且执行ECU 110的认证。当从ECU 110发送的认证请求由第四发送-接收单元1166接收时，认证单元1168获取包括在认证请求中的节点ID和可靠性等级。

此外，认证单元1168使存储-读取单元1174读取存储在存储器1176中的节点ID表，并且确定包括在认证请求中的节点ID是否存在于节点ID表中。当包括在认证请求中的节点ID存在于节点ID表中时，认证单元1168生成nonce(随机数)，并经由第四发送-接收单元1166发送该随机数。此外，与ECU 110类似，认证单元1168基于所生成的随机数和认证密钥的组合来执行预定计算。当第四发送-接收单元1166从ECU 110接收到在ECU 110中获取的计算结果时，认证单元1168通过将第四发送-接收单元1166接收到的计算结果与通过认证单元1168获取的计算结果进行比较来执行认证处理。当计算结果匹配时，认证单元1168生成包括用于指示认证已经成功的信息的认证响应。当计算结果不匹配时，认证单元1168生成包括用于指示认证已经失败的信息的认证响应。然后，认证单元1168经由第四发送-接收单元1166发送认证响应。当计算结果匹配时，认证单元1168向通信控制单元1178报告认证已经成功。认证单元1168还可以使用根据EAP-TLS的证书与ECU 110执行相互认证，并且根据PEAP执行认证。此外，网络控制器114还可以被配置为充当RADIUS服务器。

图13中的网络控制器114的监视单元1172通过来自图12中的CPU 1144和通信单元1150的指令来实现，并且监视新连接的ECU 110的行为，例如ECU 110发送数据包的通信速率和ECU 110访问的节点。

图13中的网络控制器114的通信控制单元1178通过来自图12中的CPU 1144和通信单元1150的指令来实现。当从认证单元1168报告成功认证时，通信控制单元1178使存储-读取单元1174读取存储在存储器1176中的可靠性等级-通信控制条件表，并基于与通过等级设置单元1170确定的可靠性等级相对应的通信速率、通信对象及可用功能来控制ECU 110。此外，基于在与ECU 110的通信期间由监视单元1172监视的ECU 110的行为，通信控制单元1178确定是否满足违反标准。当满足违反标准时，通信控制单元1170根据惩罚措施确定改变可靠性等级，并且更新在等级设置单元1070中设置的可靠性等级。

图13中的网络控制器114的速率测量单元1180通过来自图12中的CPU 1144和通信单元1050的指令来实现，并且测量在网络控制器114和ECU 110之间执行通信的通信速率。

因此，车载通信网络不仅可以实现为总线网络，而且还可以实现为星形网络。

在图11的示例中，其中第一网络被实现为星形网络，第一子网络可以由头单元100和ECU 102形成，并且第二子网络可以由ECU 104和ECU 110形成。在这种情况下，网络控制器114可以被配置为执行用于在属于不同子网络的通信节点之间的通信的上述处理，诸如在头单元100和ECU 104或ECU 110之间的通信，以及ECU 102和ECU 104或ECU 110之间的通信。

根据上述实施例的车载通信网络，可以基于其可靠性等级来限制加入车载通信网络的ECU或工具所使用的功能。

<第一变形例>

图14是表示车载通信网络的变形例的示意图。在车载通信网络的变形例中，工具连接到该车载通信网络。

车载通信网络包括ECU 502、ECU 504、ECU 506、ECU 508及网络控制器510。

ECU 502、ECU 504、ECU 506、ECU 508及网络控制器510经由第九通信总线550彼此连接，以形成诸如CAN、以太网(注册商标)或LAN的第五网络。

图3和图5所示的ECU的结构可以应用于ECU 502，ECU 504，ECU 506和ECU 508。在这种情况下，收发器1032连接到第九通信总线550。图4和图5所示的网络控制器106的配置可以应用于网络控制器510。在这种情况下，第一收发器1072连接到第九通信总线550，并且第二收发器1074连接到第十通信总线560。网络控制器510可以被配置为还用作网关、数据链路连接器(data link connector,DLC)及诊断连接端口。

网络通信节点600新连接到也用作数据链路连接器的网络控制器510。图3和图5所示的ECU 110的结构可以应用于网络通信节点600。此外，诸如引擎调整调试工具或开发调试工具的诊断工具可以连接到也用作诊断连接端口的网络控制器510。在这种情况下，网络控制器510可以被配置为基于诊断工具的可靠性等级来设置诊断工具的可访问对象和可用功能。

此外，当车辆是混合动力汽车或电动汽车时，作为供应部件的电池可以连接到网络控制器510。在这种情况下，网络控制器510可以为原装电池提供更宽范围的管理服务。

<第二变形例>

网络控制器106的功能可以包括在图1中的网络单元304中。网络单元304可以使用诸如无线保真(WiFi)、蓝牙(注册商标)或移动通信的无线电通信技术经由接入点与服务器(未示出)通信。网络控制器106的功能使得网络单元304能够根据驾驶员是否是车辆的所有者而改变基于通过无线电通信获取的信息而提供的服务。此外，网络控制器106的功能使得网络单元304能够基于通过无线电通信获取的信息来调整用于与接入点500通信的通信频带或要输入到信息装置302的信息的优先级。此外，基于通过无线电通信获取的信息，网络单元304可以改变对例如ECU的访问等级。例如，可以根据通过无线电通信获取的信息是由原始设备制造商(OEM)提供的服务还是由供应商或经销商提供的服务来改变对车辆的访问等级。

<第三变形例>

图15是示出车载通信网络的第三变形例的示意图。如图15所示，车载通信网络包括头单元100、网络控制器106、ECU 110及网络单元304。头单元100、网络控制器106、ECU 110和网络单元304具有如上(图3-图5)所述的配置。

在第三变形例的车载通信网络中，网络控制器106经由头单元100请求网络单元304访问证明认证服务的云服务器700，并且基于从云服务器700发出的认证结果来执行处理。

更具体地说，网络控制器106经由头单元100向网络单元304发送从ECU 110接收的认证请求。网络单元304从网络控制器106接收认证请求，并且经由接入点500向提供认证服务的云服务器700无线地发送或重定向认证请求。例如，网络单元304使用诸如WiFi、蓝牙(注册商标)或移动通信的无线电通信技术经由接入点500访问提供认证服务的云服务器700。网络单元304基于来自提供认证服务的云服务器700的响应来执行ECU 110的认证。网络单元304可以被配置为高速缓存由提供认证服务的云服务器700处理的信息。该配置使得可以提高网络单元304的性能。这里，期望最新的信息被存储在云服务器700中。基于最新信息执行认证处理使得可以提高安全性。

在上述实施例和变形例中，车载通信网络是网络系统的示例，ECU是通信节点的示例，并且网络控制器是网关的示例。此外，通信速率、通信对象和可用功能是通信参数的示例，并且违反标准是通信条件的示例。

以上描述了本发明的实施例及其变形例。然而，实施例和变形例是示例，并且本发明不限于那些实施例和变形例。虽然在上述实施例中使用功能框图描述了装置，但是该装置可以通过硬件、软件或其组合来实现。本发明不限于具体公开的实施例，并且在不脱离本发明的范围的情况下可以进行变化和修改。

本申请基于并要求于2014年6月16日提交的日本优先权申请No.2014-123046的优先权，其全部内容通过引用并入本文。

附图标记说明

100 头单元

102 ECU

104 ECU

106 网络控制器

108 第一通信总线

110 ECU

112 第四通信总线

202 OBD端口

204 ECU

206 第二通信总线

302 信息装置

304 网络单元

306 第三通信总线

400 无线电装置

500 接入点

1022 微控制器

1024 CPU

1026 ROM

1028 RAM

1030 通信单元

1032 收发器

1062 微控制器

1064 CPU

1066 ROM

1068 RAM

1070 通信单元

1072 第一收发器

1074 第二收发器

1076 第一发送-接收单元

1078 认证单元

1080 等级设置单元

1082 监测单元

1084 存储-读取单元

1086 存储器

1088 通信控制单元

1090 速率测量单位

1092 第二发送-接收单元

1102 发送-接收单元

1104 认证单元

1106 发送数据生成单元

1108 存储-读取单元

1110 存储器

1112 通信控制单元