中继设备、终端设备和通信方法

文档序号:10473682阅读:1085来源:国知局
中继设备、终端设备和通信方法
【专利摘要】中继设备、终端设备和通信方法。即使当执行拜占庭故障类型攻击的非法设备耦接到其它设备和中继设备耦接的通信路径时,从通信路径将非法设备排除在外。在可与认证设备通信的中继设备、终端设备和其它设备通过通信路径耦接的通信系统中,中继设备、终端设备等分别具有特有认证信息。中继设备将它自身的认证信息和从终端设备收集的认证信息等发送到认证设备。认证设备基于接收的认证信息确定中继设备、终端设备等是否是可信设备。中继设备关闭自身和基于确定结果被确定为不可信的设备之间的通信,并且将关闭与被确定为不可信的设备的通信的通信控制信息发送到终端设备等。终端设备等关闭自身和基于通信控制信息被确定为不可信的设备之间的通信。
【专利说明】中继设备、终端设备和通信方法
[0001]相关申请的交叉引用
[0002]于2015年I月27日提交的日本专利申请第2015-012877号的公开内容(包括说明书、附图和摘要)的全部内容通过引用合并于此。
技术领域
[0003]本发明涉及通过通信路径和通信方法与认证设备耦接的中继设备和终端设备。特别地,本发明可优选地用于认证中继设备和终端设备。
【背景技术】
[0004]在分层构造的系统中,从技术上保护系统免遭使得非法装置参与系统的攻击变得愈发重要。例如,安装有车载网络的车辆被构造成能够通过网关耦接到外部认证服务器并且可接收对车辆的认证。然而,即使当非法装置耦接到车载网络时,也需要保护耦接到车载网络的其它可信装置免遭由非法装置执行的攻击。
[0005]日本未经审查的专利申请公开(PCT申请的译本)第2014-513349号公开了一种通过机器对机器(M2M)装置来提供服务的方法。M2M装置包括将包括认证信息的第一认证的请求发送到网络安全单元(NSEC)的发送器和与发送器一起执行可扩展认证协议(EAP)的控制器,并且还包括当认证成功时通过使用主会话密钥(MSK)和M2M装置的认证信息中的至少一个来产生秘密密钥的密钥产生器。这里,代表网络安全单元的NSEC是网络安全能力的缩写,EAP是可扩展认证协议的缩写,以及MSK是主会话密钥的缩写。
[0006]日本未经审查的专利申请公开第平11(1999)-088325号公开了一种认证系统,该认证系统可通过提供控制管理器来保护信息免遭篡改和泄漏,该控制管理器具有基于拜占庭协议(Byzantine agreement)的认证功能和对网络中的隐蔽信道的验证/控制功能。
[0007]日本未经审查的专利申请公开第2002-358226号公开了一种通过多个计算机来安全地分发和管理文件系统的方法。通过将目录复制并且存储在形成拜占庭协议的多个计算机(拜占庭组)中来确保安全性,以及尽管将文件复制并且存储在多个计算机中,但是通过不使用拜占庭协议来减小负载。另外,可以通过将文件的内容的摘要值复制并且存储在拜占庭组中来验证所读取的文件的内容是正确的。

【发明内容】

[0008]本发明的发明人已经研究了日本未经审查的专利申请公开(PCT申请的译本)第2014-513349号、日本未经审查的专利申请公开第平11(1999)-088325号和日本未经审查的专利申请公开第2002-358226号,结果是,本发明的发明人已发现了存在如下所述的新问题。
[0009]根据日本未经审查的专利申请公开(PCT申请的译本)第2014-513349号中描述的技术,即使当M2M网络没有直接与证书机构通信时,也可以安全地将认证密钥传递到网络中的网关,使得可在网络内部执行设备认证。因此,安全地激活设备,并且实现了设备之间的安全通信。然而,没有描述对设备自身的认证。因此,不可能将非法设备排除在外。
[0010]根据日本未经审查的专利申请公开第平11 (1999)-088325号中描述的技术,即使当有可能通过隐蔽信道来篡改数据、或者认证系统中的系统管理员有可能行为错误时,也可以发现信息被篡改或泄露。然而,不可能将行为错误的系统管理员和行为错误的通用终端排除在外。
[0011 ]根据日本未经审查的专利申请公开第2002-358226号中描述的技术,即使当使得多个计算机中的一些在任意时间不可访问被分发给多个计算机的文件时,也可以以高可靠性来存储文件并且以可访问的方法来管理文件,同时可以防止被未经授权的用户访问。然而,没有描述从多个计算机中将非法计算机排除在外的方法。
[0012]在如上所述的系统中,不可能将执行拜占庭故障类型攻击的非法装置排除在外,在拜占庭故障类型攻击中,在非法装置伪装成正常装置的同时,非法装置随机执行非法行为。这是因为,一般假设,在这样的系统中的网络中出现通信错误,并且采用这样的协议:如果在重复进行重试的同时获得正确的响应,则假定通信正常,使得一旦在网络中获得装置之间的相互耦接认证,就不可能将拜占庭故障类型攻击与通信路径上的错误区分开。
[0013]另外,例如,如日本未经审查的专利申请公开第平11 (1999)-088325号和日本未经审查的专利申请公开第2002-358226号中所描述的,已知以下技术:在恶意装置通过使用拜占庭协议而位于网络中的前提下,通过由整个委员会(council)系统进行决策来减少攻击的影响。然而,不可能将恶意装置本身排除在外。另外,当整个系统中的恶意节点的比率增大时,不可能防止诸如通信所需的计算成本劣化和通信的故障比率增大的情形,在最差的情况下,出现系统失灵。特别地,如果在车载系统中出现系统失灵,则存在会导致涉及人生命的严重事故,使得这是特别严重的。
[0014]虽然以下将描述用于解决以上问题的手段,但是根据本说明书的描述和附图,其它问题和新特征将变得清楚。
[0015]根据实施例,用于解决以上问题的手段如下所述。
[0016]如下所述地构造通信系统,在该通信系统中,可与认证设备通信的中继设备、终端设备和其它设备通过通信路径相耦接。
[0017]中继设备、终端设备和其它设备分别具有特有的认证信息。中继设备将其自身的认证信息发送到认证设备。中继设备从与通信路径耦接的其它设备和终端设备收集认证信息,并且将认证信息发送到认证设备。认证设备具有基于接收到的认证信息确定中继设备、终端设备和其它设备是否是可信设备的设备认证的功能。
[0018]中继设备从认证设备接收设备认证的结果,关闭它自身和基于结果被确定为不可信的设备之间的通信,并且将通信控制信息发送到终端设备和其它设备以关闭与被确定为不可信的设备的通信。终端设备和其它设备关闭它们自身和基于通信控制信息被确定为不可信的设备之间的通信。
[0019]以下简要描述通过上述实施例获得的效果。
[0020]即使当执行拜占庭故障类型攻击的非法设备耦接到其它设备和中继设备所耦接的通信路径时,也可以从通信路径中将非法设备排除在外。
【附图说明】
[0021 ]图1是示出基本构造的框图。
[0022]图2是示出每个装置的构造示例和设备认证的操作的说明图。
[0023]图3是示出包括从多个制造商提供的多个装置的系统的构造示例的示意性框图。
[0024]图4是装置和认证设备之间的通信的说明图。
[0025]图5是示出与图1中示出的系统构造对应的认证信息的收集流程的示例的时序图。
[0026]图6是示出在图5中示出的认证信息的收集流程中发送和接收的消息的示例的说明图。
[0027]图7是示出当耦接新的下节点时的认证流程的示例的时序图。
[0028]图8是示出在图7中示出的认证流程中发送和接收的消息的示例的说明图。
[0029]图9是示出使用非法节点信息作为通信控制信息的情况的流程的说明图。
[0030]图10是示出使用经认证的节点信息作为通信控制信息的情况的流程的说明图。
[0031]图11是示出当耦接新的下节点时的认证流程的另一个示例的时序图。
[0032]图12是示出在图11中示出的认证流程中发送和接收的消息的示例的说明图。
[0033]图13是示出第二实施例的系统构造示例的框图。
[0034]图14是示出第二实施例的另一个系统构造示例的框图。
[0035]图15是示出共享总线类型耦接网络中的通信数据包的构造示例的说明图。
[0036]图16是示出当耦接到安装在设备X上的总线类型网络的ECU的数量增至5时的系统构造示例的框图。
[0037]图17是示出与图16对应的其中ECU的数量为5的星型耦接网络被安装在设备X上的情况的系统构造示例的框图。
[0038]图18是示出第三实施例的构造示例的框图。
[0039]图19是示出通过分层总线网络形成图18中示出的分层网络的示例的说明图。
[0040]图20是示出用可与分层总线网络等同的完整图结构的网络更换图19中示出的分层总线网络的示例的说明图。
[0041]图21是示出在图20中示出的完整图结构的网络中通过诸如DHCP的手段形成生成树(spanning tree)的示例的说明图。
[0042]图22是示出其中耦接有包括传统ECU的多个ECU的总线类型网络的构造示例的说明图。
[0043]图23是示出在考虑可允许的通信路径的同时可与图22中示出的网络结构等同的网络结构的说明图。
[0044]图24是示出针对图23中示出的总线类型网络结构形成生成树的示例的说明图。
[0045]图25是示出第四实施例的构造示例的框图。
[0046]图26是示出第五实施例的构造示例的框图。
[0047]图27是示出通过广度优先搜索等形成具有图26中示出的一般图结构的网络的示例的说明图。
[0048]图28是示出由于非法节点(图27中的节点D)导致的虚假信息所形成的生成树的示例的说明图。
[0049]图29是在将非法节点排除在外的状态下重新形成的生成树的示例。
【具体实施方式】
[0050]将详细描述实施例。
[0051 ] 第一实施例〈基本构思〉
[0052]图1是示出基本构造的框图。设备(X)10包括节点(A至D)1、2、3_1和3_2,这些节点是可通过通信路径4_1至4_3彼此通信的多个设备。设备(X)可通过外部网络5从用作网关的节点(A)与认证设备7通信。关于根据基本实施例的中继设备和终端设备,在通过通信路径4_1至4_3耦接的通信系统中,如下所述地构造可与认证设备7、终端设备(节点C和D)3j和3_2、以及其它设备(节点A)1通信的中继设备(节点B)2。中继设备(节点B)2可通过上网关节点A(I)与耦接到外部网络5的认证设备7通信。通信介质不需要一定是网络,可使用任何通信介质。
[0053]中继设备(节点B)2、终端设备(节点C和D)3j和3_2、以及其它设备(节点A)1中的每个具有特有的认证信息。认证设备7具有用于基于每个设备的认证信息来确定中继设备(节点B)2、终端设备(节点C和0)3_1和3_2、以及其它设备(节点A)1中的每个是否是可信设备的设备认证的功能。认证设备7保持行为正常的装置的名单,S卩,白名单。这里,特有认证信息是用于验证每个装置可信的信息。特有认证信息例如是特有标识符(ID)。另外,在确保防篡改性的状态下,将特有ID和特有密钥(共享密钥)写入每个装置,也就是说,中继设备(节点B)2、终端设备(节点C和D)3j和3_2、以及其它设备(节点A)l。外部认证设备7包括列出诸如可信装置的ID的认证信息的名单(白名单),使得认证设备7可通过使用白名单来验证接收到的认证信息并且确定对应装置是否是可信设备(设备认证的功能)。
[0054]中继设备(节点B)2将其自身的认证信息发送到认证设备7。当如图1中所示存在上节点(节点A)1时,中继设备(节点B)2通过网络5将认证信息从上节点(节点A)1发送到认证设备7。此后或者与之并行地,中继设备(节点B)2从与通信路径4_2和4_3耦接的终端设备(节点C和D)3j和3_2收集认证信息,并且通过网络5将认证信息从上节点(节点A)1发送到认证设备7。图1中示出的上节点(节点A)1的位置高于中继设备(节点B)2,使得上节点(节点A)1没有被包括在其认证信息应该被中继设备(节点B)2收集的其它设备中。然而,当另一个中继设备的位置低于中继设备(节点B)2时,其它中继设备被包括在其认证信息应该被中继设备(节点B)2收集的其它设备中。
[0055]认证设备7通过使用白名单来验证接收到的认证信息,确定对应装置是否是可信设备,将确定结果发送到中继设备(节点B)2。中继设备(节点B)2从认证设备7接收设备认证的结果,关闭中继设备(节点B)2和基于结果被确定为不可信的设备之间的通信,并且将用于关闭与被确定为不可信的设备的通信的通信控制信息发送到终端设备(节点C和D)3_l和3_2。终端设备(节点C和D)3j和3_2关闭它们自身和基于通信控制信息被确定为不可信的设备之间的通信。这里,通信控制信息是用于确定通信伙伴装置是否可信并且关闭与不可信装置的通信的控制信息。例如,通信控制信息是列出非法装置的ID的黑名单(非法节点信息)。另一方面,通信控制信息可以是列出可信装置的ID的白名单(经认证的节点信息)。
[0056]节点(A)I可被设置为一个中继设备。在图1和第一实施例中,示出以下构造:网关节点A(I)的位置高于用作中继设备的节点(B)2的位置,以便清楚地表明中继设备不需要一定是网关。然而,如图1中所示的分层结构不是必要条件。
[0057]由此,即使当执行拜占庭故障类型攻击的非法设备耦接到其它设备和中继设备2所耦接的通信路径4_1至4_3时,也可以从通信路径中将非法设备排除在外。另外,系统中的装置无法以像拜占庭故障一样的方式来表现行为,使得可获得如下所述的效果。不可能与除了经过白名单认证的装置之外的装置通信,使得不可能执行恶意重定向。如果对诸如ID的认证信息的请求没有响应,则假定认证失败并且耦接被断开。因此,停止由非法设备对数据的中继和对非法设备的数据的供应,并且防止数据被篡改。即使当可能篡改数据时,包括被篡改数据的通信数据也无法通过白名单认证,使得被篡改数据被丢弃。另外,由于白名单系统,可以分别使其中发现装置因非法修改或窃取而受损的装置无效。另外,与分层的认证系统的兼容性高。通过将认证系统分层,可以获得由于秘密信息的分布式管理而导致的风险降低效果和由于认证服务器的负载分布而导致的可扩展性。
[0058]在上述设备认证之前通过通信路径4 j至4_3彼此耦接的装置在彼此执行本地认证之后进行耦接。例如,中继设备节点(B)2与上网关节点A(I)以及终端设备(节点C和D)3_l和3_2执行本地相互认证。由此,建立用于执行外部认证的通信路径中的本地通信。
[0059]图2是示出装置(也就是说,中继设备(节点B)2、终端设备(节点C和0)3_1和3_2、以及其它设备(节点A)l)的构造示例和由认证设备7执行的设备认证的操作的说明图。安全微计算机11安装在每个装置上。安全微计算机11是包括硬件安全模块(HSM) 12的MPU(微处理器单元hMPU 11还包括通过总线18与HSM 12—起彼此互相耦接的CPU(中央处理单元)15、RAM(随机存取存储器)16和外部接口(I/F) 17 ASM 12包括例如加密处理模块13和保持诸如装置特有标识符(ID)和装置特有密钥14的秘密信息的存储设备。保证了 HSM 12的防篡改性。可通过各种已知技术来保证防篡改性。例如,它可被构造成使得无法通过光学上观察存储设备来读取ID和特有密钥的内容,于是加密处理和解密处理所需的时间和消耗电流的波形不取决于ID和特有密钥的值,另外,它可被构造成使得HSM 12具有针对故障注入攻击的抵抗性C3MPUl I还可包括R0M(只读存储器)、中断控制电路、直接存储器存取控制器、外围功能模块等。总线18可以是分层的。尽管没有特别限制,但是通过使用例如CMOS(互补金属氧化物半导体场效应晶体管)LSI(大规模集成电路)的已知制造技术,在硅的单个半导体衬底等上形成MPU 11 ο
[0060]装置特有ID和装置特有密钥是基于认证协议与认证设备7共享的标识符和共享密钥(共享秘密KID是装置的标识符。特有密钥是装置和认证设备之间共享的密钥字符串,是每个装置特有的,并且是与ID—起用于认证的秘密信息。当装运MPU 11时,通过例如MPU 11的供应源将装置特有ID和装置特有密钥写入MPU 11中。认证设备7例如是由MPU 11的供应源供应的认证设备。认证设备7保持与装置特有密钥对应的共享密钥,并且可认证装置特有密钥。MPU 11的供应源将写入正式装运的MPU 11中的特有ID的名单作为可信ID名单(白名单)保持在认证设备7中,并且还保持与特有密钥对应的共享密钥。
[0061]在装置特有ID和装置特有密钥之中,装置特有密钥的安全性极为重要。因此,只有在装置特有密钥被加密的状态下,才可将装置特有密钥读取到HSM 12外部。然而,对装置特有密钥进行加密的方法是可选的。例如,可采用诸如公共密钥密码系统和共享密钥密码系统的已知加密方法。
[0062]由加密处理模块13对装置特有ID和装置特有密钥进行加密。CPU15可通过总线18读取被加密的装置特有ID和装置特有密钥,并且通过外部I/F 17将它们发送到外部网络5。通过网络5接收被加密的特有ID和特有密钥的认证设备7通过使用由认证设备7保持的共享密钥来执行认证,并且解密被加密的特有ID。认证设备7可通过将被解密成明文的装置特有ID与由认证设备7保持的可信ID名单(白名单)进行比较来确定发送该装置特有ID的装置是否是可信MPU。
[0063]图3是示出包括从多个制造商提供的多个装置的系统的构造示例的示意性框图。如随后描述的第二实施例中所详细描述的,设备(X)1例如是车辆,通信路径4_1至4_5例如是诸如CAN(控制器区域网络)的车载网络,以及装置A至F(1和3_1至3_5)例如是电子控制单元(ECU)。网络和耦接到网络的设备可以是除了车载网络(CAN)和电子控制单元(ECU)之外的网络和设备,并且可变为例如医疗网络和耦接到医疗网络的医疗器械、或工业网络和耦接到工业网络的工业仪器。另外,网络可具有各种形式的网络路径,不管是有线的还是无线的。例如,当网络是车载网络时,网络不仅是CAN,而且可以是Flex Ray(注册商标)或MOST(媒体导向系统传输)。
[0064]如上所述,供应安装在每个装置上的诸如安全微计算机的MPUll的制造商的数量不限于一个。如图3中所示,设备(X)1包括由T公司制造的网关装置A(l)、由R公司制造的装置B和以3_1和3_2)、由S公司制造的装置D和E(3_3和3_3)和由T公司制造的装置F(3_5)。关于认证,考虑以下的各种形式,诸如安装的MPU 11的供应源执行认证,装置的供应源执行认证,以及设备(X)1的制造商执行认证。因此,如图3中所示,这些公司分别具有认证服务器(认证设备)7_1至7_3。在这种情况下,在网络5中布置代理服务器(broker server)6。代理服务器6从设备(X)1共同地接收认证请求,然后将认证信息分别分发给认证服务器7_1至7_3。由R公司制造的认证服务器7_1具有写入由R公司制造的装置的产品ID(bbbb和cccc)的名单,并且对由R公司制造的装置执行认证。由S公司制造的认证服务器7_2具有写入由S公司制造的装置的产品ID(dddd和eeee)的名单,并且对由S公司制造的装置执行认证。由T公司制造的认证服务器7_3具有写入由T公司制造的装置的产品ID(aaaa和ffff)的名单,并且对由T公司制造的装置执行认证。
[0065]将更详细地描述装置I和3_1至3_5与认证服务器7_1至7_3之间的通信。
[0066]图4是装置1(例如,1、3^、3_2、3_3、3_4、3_5或2)和认证设备7(例如,认证设备7_1、7_2或7_3)之间的通信的说明图。装置I保持例如用于认证的附属(机构)、装置特有ID和秘密信息(特有密钥)作为认证信息。附属(机构)在图3中被表示为“售卖方ID”。附属(机构)是指示应该对装置进行认证的认证设备7的机构的信息。可以根据是否成功执行认证来确定机构是否是附属机构。在这种情况下,可从认证信息中将附属(机构)排除在外。然而,更优选的是使用附属(机构),因为代理服务器的处理可被简化。装置特有ID例如是当装运装置时由装置的供应源写入的ID。用于认证的秘密信息(特有密钥)被装置的供应源的设备写入或更新,或者可通过与装置的供应源的设备的通信而被更新。装置I将通过加密明文而获得的被加密的文本发送到认证设备7。接收被加密的文本的认证设备7解密被加密的文本,以将它返回到明文并且验证明文。对于从认证设备7到装置I的通信,同样如此。认证设备7将通过加密明文而获得的被加密的文本发送到装置I。接收被加密的文本的装置I解密被加密的文本,以将它返回到明文并且验证明文。第三方无法产生被加密的文本,并且第三方无法解密被加密的文本。
[0067]将基于图1中示出的系统构造更详细地描述认证信息的收集流程和由认证设备7执行的认证。
[0068]图5是示出与图1中示出的系统构造对应的认证流程的示例的时序图。图6是示出在图5中示出的认证流程中发送和接收的消息的示例的说明图。上节点A(I)请求中间节点B(2)收集认证信息(Sl-1)。接收收集认证信息的请求的中间节点B(2)请求耦接位置比中间节点B(2)低的下节点C和0(3_1和3_2)收集认证信息(S1-2和S1-3)。下节点C(3_l)将下节点C特有的认证信息作为响应发送到中间节点B (2)(S1-4 ),并且下节点D (3_2)将下节点D特有的认证信息作为响应发送到中间节点B (2)(S1-5)。中间节点B(2)组合来自下节点C和D (3_1和3_2)的响应和中间节点B(2)的认证信息,并且将组合后的信息作为响应发送到上节点A
(1)(Sl-6)0
[0069]如第三实施例中所详细描述的,可通过进一步在比中间节点B(2)低的位置设置中间节点来形成分层网络。在这种情况下,认证信息收集的请求和对请求的响应的深度会受限。例如,当深度限于I时,执行广度优先搜索。
[0070]图7是示出当耦接新的下节点E(3_3)时的认证流程的示例的时序图。图8是示出在图7中示出的认证流程中发送和接收的消息的示例的说明图。虽然图5和图6示出其中耦接并认证两个下节点C和0(3_1和3_2)的流程,但图7和图8示出在此后进一步耦接下节点E(3_3)时的认证流程。在图7和图8中,省略了已经被认证的下节点C和0(3_1和3_2),并且只示出了新耦接的下节点E(3_3)。
[0071]检测到耦接了新的下节点E(3_3)的中间节点B(2)向下节点E(3_3)发送认证信息收集请求(S2-1)。下节点E(3_3)将下节点E(3_3)特有的认证信息作为响应发送到中间节点B(2)。在接收到作为响应的下节点E(3_3)的认证信息之后,中间节点B(2)将用于基于认证信息来认证下节点E(3_3)的请求发送到上节点A(I) (S2-3)。这里,已经认证了中间节点B
(2),使得中间节点B(2)只产生下节点E(3_3)的认证信息而不包括中间节点B(2)的认证信息,并且将下节点E(3_3)的认证信息发送到上节点A(I)。下节点E(3_3)的认证请求被依次重定向到上节点并且到达认证设备7(S2-4)。认证设备7通过参照由认证设备7保持的白名单来确定节点E(3_3)是否是可信设备,并且将认证结果作为响应返回(S2-5)。该响应被依次重定向到下节点,并且中间节点B(2)可接收认证结果(S2-6)。
[0072]如以上参照图5至图8描述的,中间节点B(2)从认证设备7接收设备认证的结果(S2-6)。中间节点B(2)关闭它自身和基于结果被确定为不可信的设备之间的通信,并且向下节点C、D、E(3j至3_3)发送关闭与被确定为不可信的设备的通信的通信控制信息。下节点C、D、E(3j至3_3)关闭它们自身和基于通信控制信息被确定为不可信的设备之间的通信。这里,通信控制信息可以是用于表示通信伙伴装置是否可信的确定结果并且关闭与不可信装置的通信的控制信息。例如,通信控制信息可以是列出非法装置的ID的非法节点信息,或者相反地,可以是列出可信装置的ID的经认证节点信息。
[0073]图9是示出使用非法节点信息作为通信控制信息的情况的流程的说明图。图10是示出使用经认证节点信息作为通信控制信息的情况的流程的说明图。在图9和图10中,只有下节点C(3_l)被示出为下节点,以及其它下节点D和E(3_2和3_3)被省略。然而,发送的消息是一样的。
[0074]如图9中所示,中间节点B(2)可从认证设备7接收非法节点信息作为设备认证的结果(S4-1),并且将非法节点信息作为通信控制信息发送到下节点C、D和E(3j至3_3)(S4-2)0
[0075]如图10中所示,中间节点B(2)可从认证设备7接收经认证节点信息作为设备认证的结果(S5-1),并且将经认证节点信息作为通信控制信息发送到下节点C、D和E(3_l至3_3)(S5-2)。
[0076]图11是示出当耦接新的下节点E(3_3)时的认证流程的另一个示例的时序图。图12是示出在图11中示出的认证流程中发送和接收的消息的示例的说明图。图7和图8示出当图5和图6中示出的两个下节点C和D(3j和3_2)被认证并且此后下节点E(3_3)被新耦接时的认证流程。图7和图8示出其中中间节点B(2)检测到新的下节点E(3_3)被耦接并且发送认证信息收集请求的流程。另一方面,这里,将参照图11和图12描述当新耦接的下节点E(3_3)独立地请求认证时的认证流程。
[0077]新耦接到中间节点B(2)的下节点E(3_3)将基于下节点E(3_3)的认证信息的票证获取请求发送到中间节点B(2)(S3-1)。这里,“票证”是仅可由可认证节点E(3_3)的认证设备产生的信息,以及认证设备7与节点E(3_3)共享节点E(3_3)的特有ID和密钥,使得认证设备7可产生节点E (3_3)的票证。从节点E (3_3)接收票证获取请求的中间节点B (2)将票证获取请求重定向到上节点A(l)(S3-2)。该请求被重定向直至认证设备7(S3-3),以及认证设备7产生节点E(3_3)的票证。此时,只有当节点E(3_3)是可信装置时,认证设备7才可产生节点E(3_3)的票证。例如,因为认证设备7与可信节点E(3_3)共享特有ID和密钥,所以认证设备7可产生可信节点E(3_3)的票证。然而,当节点E(3_3)是不可信装置时,认证设备7无法产生对应的票证,因为认证设备7没有与不可信装置共享ID和密钥。由认证设备7产生的票证被依次重定向到下节点(S3-4和S3-5),以及中间节点B(2)接收票证并且将票证传递到节点E(3_3)(S3-6)0
[0078]由此,当终端设备被新耦接到通信路径时,可以独立地从新终端设备获得要从通信路径中被排出在外的非法设备的信息。
[0079]在第四实施例中,将进一步详细描述其中新添加的设备是如上所述的认证请求的对象的实施例。
[0080]第二实施例〈两步认证〉
[0081 ]图13是示出第二实施例的系统构造示例的框图。
[0082]在诸如车辆的设备(X)1中,安装多个电子控制单元(ECU),也就是说,网关ECU1、ECU(B)3_0PECU(C)3_2,这些ECU通过网络4_1至4_3(诸如设备内部的CAN)分层耦接。网关ECU I可通过外部网络5与外部认证设备7通信。外部网络5是任意的通信网络,不管是有线的还是无线的。网关ECU I可询问位于外部网络5上的认证设备7是否装置(网关ECU UECU(B) 3_1和ECU (C) 3_2)的特有ID被包括在白名单中。
[0083]在设备(X) 10启动之后,网关ECU 1、ECU(B)3_0PECU(C)3_2彼此进行认证并且建立耦接。这是本地相互耦接认证。大约在这个时间,网关E⑶I将作为网关E⑶I的认证信息并且处于加密状态的ID和特有密钥发送到认证设备7并且接收认证结果。
[0084]此后,网关ECU I请求ECU(B)3_0PECU(C)3_2发送特有ID并且获取认证信息,以便开始与每个ECU进行通信。这里,认证信息例如是每个ECU特有的ID和特有密钥。在认证信息被每个ECU加密的状态下获取认证信息。网关ECU I通过网络5将从ECU(B)3_1和ECU(C)3_2获取的认证信息发送到认证设备7并且请求认证。接收到认证请求的认证设备7使用与每个ECU对应的接收到的特有密钥和由认证设备7保持的共享密钥来执行认证协议以认证每个E⑶,检查ECU(B)3_1和E⑶(C)3_2的ID是否被包括在白名单中,并且将以上认证结果返回到网关ECU I。
[0085]这里,假设E⑶(B)3_l的外部认证成功而E⑶(C)3_2的外部认证失败。换句话讲,假设ECU (B) 3_1的特有ID存在于由认证设备7保持的白名单中,但ECU (C) 3_2的特有ID没有存在于白名单中。基于认证结果,网关ECU I开始与外部认证成功的ECU(B)3_1的通信,断开与外部认证失败的ECU(C)3_2的通信,并且将ECU(C)3_2的认证失败告知ECU(B)3_UECU(B)3_I接收以上信息并且断开与E⑶(C)3_2的通信。
[0086]这里,在进行本地相互耦接认证的状态下,允许通过通信路径4 j至4_3发送和接收进行外部认证所需的最少消息,并且在外部认证成功之后,只有外部认证成功的通信路径可变成允许发送和接收特定控制信息的状态。另一方面,关于断开外部认证失败的ECU的通信路径,可在物理层中切断信号或者可在上逻辑层中丢弃信号。在上述的示例中,断开通信路径4_2和4_3。
[0087]如上所述,在设备(X)1中,通过使用外部认证设备7执行两步认证,使得可以将无法只通过设备(X)1内部的信息而被排除在外的非法ECU(以上示例中的ECU(C)3_2)排除在夕卜,并且可以确保系统的鲁棒性。然而,当设备(X)1是车辆并且每个ECU是车载电子控制单元时,如果通信无一例外都被断开,则认为车辆变得不能行驶。因此,它可被构造成询问用户(车辆驾驶员)是否断开与被确定为非法的ECU的通信,并且根据用户指令保持与被确定为非法的E⑶的通信。
[0088]共享总线类型耦接
[0089]图14是示出第二实施例的另一个系统构造示例的框图。通过用共享总线类型耦接替代如上所述的星型耦接(图13)来构造设备(X)1中的网络。
[0090]—般,在共享总线类型耦接网络中,耦接在同一总线上的装置被分别赋予单独的地址,并且基于单独的地址发送和接收信息。在此描述中,假设将地址12.34.56.1、12.34.56.2和12.34.56.3分别分派给网关ECU 1、ECU(B)3_0PECU(C)3_2。在共享总线类型耦接网络的通信中,使用这些地址,并且将其中目的地地址和发送源地址被提供给作为有效载荷的发送数据的消息(数据包)发送到总线。
[0091]图15是示出共享总线类型耦接网络中的通信数据包的构造示例的说明图。示出了从ECU(B)3_1发送到目的地(也就是说,ECU(C)3_2)的数据包。被定义为目的地的ECU(C)3_2的地址12.34.56.3和被定义为发送源的ECU( B)3_l的地址12.34.56.2被提供给作为有效载荷的发送数据。
[0092]当这个数据包被发送到总线4时,网关ECUI没有接收数据包,因为被提供给数据包的目的地12.34.56.3并不对应于网关ECU I的12.34.56.1 <^0](03_2接收这个数据包,因为目的地对应于ECU(C)3_2的地址12.34.56.3。因此,其中目的地是12.34.56.3并且发送源是12.34.56.2的通信可等同于图13中示出的通信路径4_3中的从ECU(B)3j发送到ECU(C)3_2的通信。
[0093]另一方面,其中ECU(B) 3_1的地址12.34.56.2被定义为目的地并且ECU(C) 3_2的地址12.34.56.3被定义为发送源的数据包是从ECU(C)3_2到ECU(B)3_1的通信。因此,其中目的地是12.34.56.2并且发送源是12.34.56.3的通信可等同于图13中示出的通信路径4_3中的从ECU(C)3_2发送到ECU(B)3_1的通信。
[0094]以这种方式,可假定总线上的E⑶(B)3_l和ECU(C)3_2之间的通信是一对一星型耦接的通信路径4_3上的通信。
[0095]以相同方式,可假定其中目的地是12.34.56.1并且发送源是12.34.56.2的通信和其中目的地是12.34.56.2并且发送源是12.34.56.1的通信是网关ECU I和ECU(B)3_1之间的一对一星型耦接的通信路径4_1上的通信。另外,可假定其中目的地是12.34.56.1并且发送源是12.34.56.3的通信和其中目的地是12.34.56.3并且发送源是12.34.56.1的通信是网关E⑶I和E⑶(C) 3_2之间的一对一星型耦接的通信路径4_2上的通信。
[0096]因此,可基于其中各个EC以星形耦接的网络(图13),讨论包括网关ECUUECU(B)3_0PECU(C)3_2的总线类型网络(图14)。
[0097]即使当耦接到总线的E⑶的数量增加时,也可以进行类似的讨论。
[0098]图16是示出当耦接到安装在设备(X)10上的总线类型网络的ECU的数量增至5时的系统构造示例的框图。网关E⑶I和E⑶(BI) 3_1至E⑶(B4) 3_4耦接到总线4。
[0099]图17是示出与图16对应的其中E⑶的数量是5的星型耦接网络被安装在设备(X)1上的情况的系统构造示例的框图。这可被假定为包括布线的星型耦接网络,其中布线的数量对应于发送源和目的地的组合的数量。在这种情况下,网络的结构是顶点(apex)数量为5的完整图。
[0100]此时,可以实现每个网络中的广播通信,并且可在假设两个网络是相同的情况下讨论这两个网络。在图16中示出的总线类型网络中,网关E⑶I和ECU(B1)3_1至E⑶(B4)3_4的地址被分别定义为12.34.56.1至12.34.56.5。此时,通过使用其最低有效位被掩蔽的地址值(诸如,12.34.56.*)作为目的地来实现从一个ECU(例如,ECU(B1)3-1)到网关ECU I和其它ECU(ECU(B2)3_2至E⑶(B4)3_4)的广播通信。另一方面,在图17中示出的星型网络中,通过同时将同一数据发送到通信路径4_10、4_12、4_13和4_14来实现广播通信。
[0101]因此,即使当耦接到总线的ECU的数量增加时,也可形成等效的星型网络,使得可以进行与对总线型网络的讨论类似的讨论。
[0102]虽然在第二实施例中描述了如图13和图14中所示的包括一个网关ECU和其它两个ECU的设备X,但是ECU的数量和网络的结构可任意改变。
[0103]第三实施例〈分层网络〉
[0104]在上述的第二实施例中,描述了在设备X中的通信路径4中可任意改变ECU的数量和网络的结构。然而,包括通信路径4的网络可被分层。即使当ECU的网络具有多层树结构时,也可以通过对每个层执行认证并且增加可靠节点的数量来认证整个系统。
[0105]图18是示出第三实施例的系统构造示例的框图。
[0106]在诸如车辆的设备(Y)1中,安装包括网关ECU I的多个ECU,网关ECU I可通过外部网络5与外部认证设备7通信,以及这些E⑶通过网络4_1至4_8(诸如,设备内部的CAN)分层耦接。分别通过通信路径4_1至4_4与网关ECU I直接耦接的ECU(B1)3_1、ECU(B2)3_2、ECU(B3)2j和ECU(B4)3_3是第一层。其中,ECU(B3)2_1是第二层的中继设备(中间节点)。分别通过通信路径4_5至4_7与中继ECU(B3)2_1直接耦接的ECU(C1)3_4、ECU(C2)2_2、和ECU(C3)3_5是第二层。其中,ECU(C2)2_2是第三层的中继设备(中间节点)。通过通信路径4_8与中继ECU(C2)2_2直接耦接的ECU(D)3_6是第三层。与网关ECU I没有直接耦接的ECU(C1 )3_4、ECU(C2) 2_2、ECU (C3) 3_5 和 ECU (D) 3_6 通过每个 ECU所耦接的中继ECU (B3) 2_1 或中继 ECU (C2)2_2与网关E⑶I或另一层中的E⑶通信。
[0107]在设备(Y)1启动之后,包括网关ECUI的多个ECU彼此执行本地相互耦接认证并且建立耦接。大约在这个时间,网关ECU I将作为网关ECU I的认证信息并且处于加密状态的ID和特有密钥发送到认证设备7并且接收认证结果。
[0108]此后,通过网关ECU I执行用于接收对第一层中的每个ECU的外部认证的处理。网关ECU I从第一层中的ECU(B1)3_1、ECU(B2)3_2、ECU(B3)2_1 和ECU(B4)3_3收集认证信息,并且将认证信息发送到认证设备7以请求认证。认证设备7使用白名单执行认证,并且将认证结果返回到网关ECU I。网关ECU I开始与第一层中的ECU(B1)3_1、ECU(B2)3_2、ECU(B3)2_0PECU(B4)3_3之中的外部认证成功的ECU的通信。本地相互认证之后的通信限于发送和接收外部认证的消息。然而,在这个阶段中的通信中放开限制。
[0109]随后,通过经外部认证的中继ECU(B3)2_1执行用于接收对第二层中的每个ECU的外部认证的处理。然而,当对中继ECU(B3)2j的外部认证失败时,不执行此后的认证处理。中继ECU(B3)2_1从第二层中的ECU(C1)3_4、ECU(C2)2_2和ECU(C3)3_5收集认证信息,并且将认证信息发送到网关E⑶I以请求认证。接收认证请求的网关ECU I将认证请求发送到认证设备7以请求认证。认证设备7使用白名单执行认证,并且将认证结果返回到网关ECU I。接收结果的网关ECU I将结果传递到中继ECU(B3)2_1(重定向)。中继ECU(B3)2_1开始与第二层中的E⑶(C1)3_4、E⑶(C2)2_2和E⑶(C3)3_5之中的外部认证成功的E⑶的通信。
[0110]随后,通过经外部认证的中继ECU(C2)2_2执行用于接收对第三层中的每个ECU的外部认证的处理。然而,当对中继ECU (C2) 2_2的外部认证失败时,不执行此后的认证处理。中继ECU(C2)2_2从第三层中的ECU(D)3_6收集认证信息,并且将认证信息发送到中继ECU(B3)2j以请求认证。接收认证请求的ECU(B3)2j将请求重定向到网关ECU I。从中继ECU(B3)2_l接收请求的网关ECU I将请求发送到认证设备7以请求认证。认证设备7使用白名单执行认证,并且将认证结果返回到网关ECU I。接收结果的网关ECU I将结果重定向到中继E⑶(B3)2_l。接收被重定向的认证结果的中继ECU(B3)2_1进一步将认证结果重定向到中继ECU(C2)2_2。当ECU(D)3_6成功执行外部认证时,中继ECU(C2)2_2开始与ECU(D)3_6的通信。
[0111]如上所述,即使当ECU的网络具有多层树结构时,也可以通过对每个层执行认证并且增加可靠节点的数量来认证整个系统。
[0112]当对ECU的外部认证失败时,网关ECU 1、中继ECU(B3)2j或中继ECU(C2)2_2断开与认证失败的ECU的通信。当由于对第一层中的每个EQJ的外部认证而导致对ECU(B1 )3_1的认证失败时,网关ECU I断开与ECU(B1 )3_1的通信。当由于对第二层中的每个ECU的外部认证而导致对ECU(C1 )3_4的认证失败时,网关E⑶I将外部认证的结果重定向到中继E⑶(B3)2j,并且中继ECU(B3)2j断开与ECU(C1)3_4的通信。当由于对第二层中的每个E⑶的外部认证而导致对中继ECU(C2) 2_2的认证失败时,网关ECU I将外部认证的结果重定向到中继ECU(B3)2_1,并且中继ECU(B3)2_1断开与中继ECU(C2)2_2的通信。结果,不对第三层中的ECU(D)3_6执行外部认证。
[0113]在以上描述中,描述了对每个层顺序执行用于接收外部认证的处理的实施例。然而,可共同地执行处理的全部或一部分。
[0114]在设备(Y)10启动之后,包括网关ECU I的多个ECU彼此执行本地相互耦接认证并且建立耦接。大约在这个时间,网关ECU I将作为网关ECU I的认证信息并且处于加密状态的ID和特有密钥发送到认证设备7并且接收认证结果。
[0115]首先,网关ECUI请求第一层中的ECU(BI)3_1、ECU(B2)3_2、ECU(B3)2_1 和ECU(B4)3_3来收集认证信息。中继ECU(B3)2_1请求第二层中的ECU(C1)3_4、ECU(C2)2_2和ECU(C3)3_5来收集认证信息。中继E⑶(C2) 2_2请求第三层中的E⑶(D) 3_6来收集认证信息。
[0116]第一层中的ECU(B1 )3_1、ECU(B2)3_2和ECU(B4)3_3将它们自身的认证信息作为响应返回到网关ECU I。第二层中的ECU(C1)3_4和ECU(C3)3_5将它们自身的认证信息作为响应返回到中继ECU(B3)2_1。第三层中的ECU(D)3_6将它自身的认证信息作为响应返回到中*|ECU(C2)2_2。
[0117]网关ECU I存储从ECU(B1)3_1、ECU(B2)3_2和ECU(B4)3_3接收的认证信息,并且等待来自中继ECU(B3)2_1的响应。中继ECU(B3)2_1存储从ECU(C1)3_4和ECU(C3)3_5接收的认证信息,并且等待来自中继E⑶(C2)2_2的响应。
[0118]中继E⑶(C2)2_2将从E⑶(D) 3_6接收的认证信息和它自身的认证信息作为响应返回到中继 ECU(B3)2_1。中继 ECU(B3)2_1 将从 ECU(C2)2_2 接收的 ECU(D)3_6 和 ECU(C2)2_2 的认证信息、从E⑶(Cl) 3_4和ECU (C3) 3_5接收的存储的认证信息、和它自身的认证信息作为响应返回到网关ECUl。网关ECU I组合从中继ECU (B3) 2_1接收的ECU (D) 3_6、ECU (C2) 2_2、ECU (CI) 3_4、ECU (C3) 3_5 和ECU (B3) 2_1 的认证信息、存储的 ECU (BI) 3_1、ECU (B2) 3_2和ECU(B4)3_3的认证信息、和它自身的认证信息,并且将对组合后的认证信息的认证请求发送到认证设备7。
[0119]认证设备7对接收到的每条认证信息执行认证,并且将认证结果返回到网关ECUI。网关E⑶I基于外部认证结果将经认证节点信息发送到第一层中的E⑶(BI)3_1、ECT(B2)3_2、ECU(B3)2_1和ECU(B4)3_3。中继ECU(B3)2_1将从网关ECU I接收的经认证节点信息重定向到第二层中的 ECU (CI) 3_4、ECU (C2) 2_2 和 ECU (C3) 3_5。中继 ECU (C2) 2_2 将从中继 ECU(B3)2_l接收的经认证节点信息重定向到第三层中的ECU(D)3_6。这里,可进行改变,使得发送和接收非法节点信息而不是经认证节点信息。
[0120]以这种方式,完成对整个设备(Y)10的外部认证。
[0121]将描述当在这里描述的认证方法中混有非法节点(不可信ECU)时执行的操作。作为示例,假设中继ECU(C2) 2_2是非法节点(不可信ECU)。对认证信息的收集请求和响应与上述的那些相同,网关ECU I组合ECU(B1)3_1、ECU(B2)3_2、ECU(B3)2_1、ECU(B4)3_3、ECU(C1)3_4、ECU (C2) 2_2、ECU (C3) 3_5和ECU (D) 3_6的认证信息和网关ECU I的认证信息,并且将对组合后的认证信息的认证请求发送到认证设备7 ο认证设备7对接收到的每条认证信息执行认证,并且将认证结果返回到网关ECU I。在这种情况下,认证信息包括指示对ECU(C2)2_2的认证失败(因为ECU(C2)2_2是非法装置)的结果和指示对其它ECU成功认证的结果。
[0122]从认证设备7接收认证结果的网关ECUI参照认证结果,并且将非法节点信息发送到第一层中的 ECU(Bl)3j、ECU(B2)3_2、ECU(B3)2_l 和 ECU(B4)3_3 之中的认证成功的 ECU。在这个示例中,对第一层中的每个ECU的认证成功,使得网关ECU I将非法节点信息发送到第一层中的所有ECU。中继ECU(B3)2j参照从网关ECU I接收的非法节点信息,并且将非法节点信息发送到第二层中的ECU(C1)3_4、ECU(C2)2_2和ECU(C3)3_5之中的认证成功的ECU。在这个示例中,对ECU(C1)3_^PECU(C3)3_5的认证成功,使得中继ECU(B3)2_1将非法节点信息发送到ECU(C1)3_^PECU(C3)3_5。然而,对ECU(C2)2_2的认证失败,使得中继ECU(B3)2_1断开与中继E⑶(C2)2_2的通信。结果,非法节点信息没有被发送到比中继E⑶(C2)2_2低的ECU(D)3_6,并且ECU(D)3_6无法与其它ECU通信,而不管ECU(D)3_6是可信的还是不可信的。
[0123]随后,网关ECU I将经认证节点信息发送到第一层中的ECU(B1)3_1、ECU(B2)3_2、ECU (B3) 2_1和ECU (B4) 3_3。从网关ECU I接收经认证节点信息的中继ECU (B3) 2 j将经认证节点信息重定向到除了被通知为非法节点的ECU(C2)2_2之外的ECU(C1)3_4和ECU(C3)3_5。尽管认证节点信息此时包括ECU(D)3_6,但是每个节点无法与ECU(D)3_6通信,使得如果确定信息不是必需的,则每个节点可丢弃ECU(D) 3_6的信息。
[0124]如上所述,当对ECU(C2) 2_2的外部认证(使用白名单进行的认证)失败时,将ECU(C2)2_2不是正常装置通知给其它装置,并且使得其它装置断开与ECU(C2)2_2的通信。另夕卜,不可能保证通过ECU(C2)2_2进行的通信的安全性,使得不执行与比ECU(C2)2_2低的层中耦接的ECU(D)3_6的通信。然而,当设备(Y) 10是车辆并且每个ECU是车载电子控制单元时,如果通信无一例外都被断开,则认为车辆变得不能行驶。因此,它可被构造成询问用户(车辆驾驶员)是否断开与被确定为非法的ECU的通信,并且根据用户指令保持与被确定为非法的E⑶的通信。
[0125]如上所述,即使当装置(E⑶)之间的通信需要经过多个装置时,也可以通过逐步地确保通信的安全性来保证整个系统的安全性。即使当在系统中混有非法装置时,非法装置的效果也可限于属于只可由非法装置访问的下部区域的装置。
[0126]另外,将描述实现图18中示出的分层网络的分层总线网络和使用生成树的树型结构之间的对应关系。
[0127]图19是示出通过分层总线网络形成图18中示出的分层网络的示例的说明图。以与图18中相同的方式,在设备(Y)1中,安装包括网关ECU I的多个ECU,网关ECU I可通过外部网络5与外部认证设备7通信,并且这些ECU通过形成设备内部的分层总线网络的总线4_21和4_22以及一对一通信路径4_8而分层耦接。总线4_21将网关E⑶I和第一层中的ECU(B1)3_
1、ECU(B2)3_2、ECU(B3)2_1 和 ECU(B4)3_3 相互耦接。此时,ECU(B3)2_1 是第二层的中继设备(中间节点)。总线 4_22 将中继 ECU(B3)2_1 和第二层中的 ECU(C1)3_4、ECU(C2)2_2 和 ECU(C3)3_5相互耦接。此时,EOT(C2)2_2是下层的中继设备(中间节点)。通过一对一通信路径4_8直接耦接的中继E⑶(C2) 2_2和E⑶(D) 3_6是分层总线网络的第三层。
[0128]图20是示出用可等同于分层总线网络的完整图结构的网络替换图19中示出的分层总线网络的示例的说明图。可用包括通信路径4_1至4_4和4_10至4_15的完整图结构的网络替换图19中的第一层中的总线4_21。可用包括通信路径4_5至4_7和4_16至4_18的完整图结构的网络替换图19中的第二层中的总线4_22。以这种方式,可假定整个网络是其中多个完整图通过中继ECU耦接的结构。在图20中示出的示例中,总线4_21可等同于具有5个顶点的完整图,总线4_22可等同于具有4个顶点的完整图,并且使用中继ECU(B3)2_1作为节点来親接完整图。
[0129]在总线类型网络中通过诸如DHCP(动态主机配置协议)的手段来检测网关的操作等效于形成图的生长树。作为形成生长树的手段,除了DHCP之外,还可选择依照系统的方法,诸如宽度优先搜索和深度优先搜索。在配置固定的系统中,可以通过使得每个ECU存储与网络结构相关的信息,更有效地形成生长树。
[0130]图21是示出在图20中示出的完整图结构的网络中通过诸如DHCP的手段形成生成树的示例的说明图。第一层导致网关ECU I以及ECU(B1)3_1、ECU(B2)3_2、ECU(B3)2_1和ECU(B4)3_3分别通过通信路径4_1至4_3(实线)耦接而成的树结构。第二层导致中继ECU(B3)2_I以及第二层中的ECU(C1)3_4、ECU(C2)2_2和ECU(C3)3_5分别通过通信路径4_5至4_7(实线)耦接而成的树结构。以这种方式,通过使用生长树,分层总线结构网络中的外部认证的过程可导致树型结构中的认证。关于通过拜占庭故障类型攻击而形成故障生长树的问题,可以通过假设安全推理来确保完全性。
[0131]接下来,将描述只可与特定E⑶通信的传统E⑶被耦接在总线上的情况。
[0132]图22是示出其中包括传统ECU的多个ECU所耦接的总线类型网络的构造示例的说明图。为了简化描述,总线只有一层,并且网关ECU 1、ECU(B)3_1、ECU(C)3_2和传统ECU(D)3_3耦接到总线4。尽管传统ECU(D)3_3耦接到总线4,但传统ECU(D)3_3只可与ECU(C)3_2通信并且无法与其它E⑶通信。
[0133]图23是示出在考虑可允许的通信路径的同时可等同于图22中示出的网络结构的网络结构的说明图。这种情况下的网络结构可等同于以下结构:在网关ECU 1、ECU(B)3_0PECU(C)3_2之间形成通信路径4_1至4_3,并且只在传统ECU(D)3_3和ECU(C)3_2之间形成通fg路径4_4。
[0134]通过形成这种情况的生长树,形成如图24中所示的树结构。对于将总线分层的情况,同样如此。
[0135]如上所述,另外在总线中包括只可与特定节点通信的传统节点的情况下,通过使用生长树,分层总线结构网络中的外部认证的过程可导致树型结构中的认证。
[0136]第四实施例〈来自终端的票证请求〉
[0137]在第四实施例中,将描述在包括已经被外部认证的多个ECU的设备中进一步添加新的未经认证E⑶的情况下进行的外部认证。
[0138]图25是示出第四实施例的系统构造示例的框图。
[0139]在诸如车辆的设备(Z)1中,安装包括网关ECU I的多个ECU,网关ECU I可通过外部网络5与外部认证设备7通信,这些E⑶通过网络4_1和4_2(诸如,设备内部的CAN)分层耦接。中继ECU(B)2_1、ECU(C)3_1和ECU(D)3_2通过总线耦接,并且已完成了对这些ECU的外部认证O将描述通过总线4_2在以上构造中新親接未经认证E⑶(E) 3_3的情况。
[0140]ECU(E)3_3无法直接与网络5通信。另外,在E⑶(E)3_3耦接到设备(Z)的时间点,ECU(E)3_3 没有与直接耦接到 ECU(E)3_3 的 ECU(C)3 j 和 ECU(D)3_2、通过 ECU(C)3_1 和 ECU(D) 3_2耦接的中继ECU(B) 2_1、以及中继ECU(B) 2_1的上层中的网关ECU I的有效性相关的信息。在这种状态下,如果ECU(E)3_3分别从与ECU(E)3_3耦接的ECU(C)3_0PECU(D)3_2接收到与非法节点信息和经认证节点信息相关并且彼此冲突的通知,则E⑶(E)3_3无法确定哪个通知是可靠的,除非预先向ECU(E)3_3提供可靠信息。
[0141]这里,假设对网关ECU 1、中继ECU(B)2j和ECU(C)3_1的外部认证成功并且对ECU(D)3_2的外部认证失败。
[0142]在ECU(E)3_3开始操作之后,ECU(E)3_3向与ECU(E)3_3直接耦接的ECU(C)3j和E⑶(D)3_2两者请求票证。这里,票证是仅可由共享ECU(E)3_3的认证信息(诸如,特有ID和特有密钥)的认证设备产生的信息。票证包括仅可由ECU(E)3_3的供应源的设备产生的加密文本。E⑶(E)3_3可通过解密和验证票证来确认票证是通过外部网络正常且可靠地发送的。
[0143]发送到ECU(C)3_1的票证获取请求被重定向到中继ECU(B)2_1,被进一步重定向到网关ECU I,并且通过网络5从网关ECU I发送到认证设备7。认证设备7基于由认证设备7保持的E⑶(E) 3_3的认证信息来产生E⑶(E) 3_3的票证。当认证设备7无法产生票证时,认证设备7基于ECU(E) 3_3的认证信息将票证获取请求发送到ECU(E) 3_3的供应源认证设备,通过供应源认证设备产生E⑶(E)3_3的票证,并且票证可被发送到认证设备7。
[0144]另一方面,对ECU(D)3_2的外部认证失败,使得ECU(D)3_2的通信被中继ECU(B)2_1断开。因此,E⑶(D)3_2无法将票证获取请求重定向到诸如中继E⑶(B)2_l的上部节点。
[0145]由认证设备7或ECU(E)3_3的供应源认证设备产生的票证通过网络5从认证设备7发送到网关ECU I,从网关ECU I重定向到中继E⑶(B)2_l,并且被进一步重定向到中E⑶(C)3_1。与ECU(D)3_2的通信被断开,使得票证没有从中继ECU(B)2_1发送到ECU(D)3_2。结果,票证从ECU (C) 3_1发送到ECU (E) 3_3,但没有从ECU (D) 3_2发送。
[0146]E⑶(E)3_3通过解密和验证票证来确认票证是通过外部网络正常且可靠地发送的。在发送票证获取请求的ECU(C)3_1和ECU(D)3_2之中,ECU(E)3_3识别将票证返回的ECU(C)3j作为可信装置,并且建立与ECU(C)3_1的通信。另一方面,ECU(E)3_3确定ECU(D)3_2为不可信装置,并且断开与ECU(D)3_2的通信。然而,当设备(Z)1是车辆并且每个ECU是车载电子控制单元时,如果通信无一例外都被断开,则认为车辆变得不能行驶。因此,它可被构造成询问用户(车辆驾驶员)是否断开与被确定为非法的ECU的通信,并且根据用户指令保持与被确定为非法的ECU的通信。
[0147]由此,即使当装置(ECU(E)3_3)无法直接与系统外部通信时,装置(ECU(E)3_3)也可验证装置(ECU (E) 3_3)所耦接的装置和系统的有效性。
[0148]第五实施例〈分布式哈希〉
[0149]在第五实施例中,将描述设备V(1)具有包括没有相互认证功能的传统P2P网络的通信路径的实施例。
[0150]图26是示出第五实施例的构造示例的框图。
[0151]在设备V(1)中,安装可通过外部网络5与外部认证设备7通信的网关节点A(l)、中继节点B(2)和其它节点C至1(3_1至3_7),这些节点通过包括网络路径4_1至4_11的内部网络4分层耦接。在下面的描述中,假设在通过通信路径4_1耦接的网关节点A(I)和中继节点B
(2)之间建立相互认证,而中继节点B(2)和其它节点C至1(3_1至3_7)之间的通信路径以及其它节点之间的通信路径是没有相互认证功能的传统P2P网络。尽管节点C至1(3_1至3_7)中的某些可用作其它节点的中继节点,但这些节点不一定在它们的名字中带有“中继”。
[0152]以与上述实施例相同的方式,还可通过定义设备V(1)是车辆并且每个节点是ECU来实现本实施例。可按与上述实施例中相同的方式对网关节点A(1)和中继节点B (2)进行外部认证。
[0153]特有分布式哈希值9_0至9_7被分别分派给没有相互认证功能的中继节点B(2)和其它节点C至I (3 j至3_7)。在传统P2P网络中,根据分布式哈希值执行节点之间的通信。例如,当节点B(2)与节点H(3_6)通信时,节点B(2)通过使用节点H(3_6)的分布式哈希值9_6来搜索路径。在这种情况下,节点E (3_3)、节点F (3_4)和节点G(3_5)直接耦接到节点H(3_6),使得节点E(3_3)、节点F(3_4)和节点G(3_5)可与节点H(3_6)中继通信。节点B(2)将被给予了作为通信目的地的节点H(3_6)的分布式哈希值9_6的数据发送到与节点B(2)直接耦接的节点C(3_l)、节点D(3_2)和节点F(3_4)。因为节点C(3_l)具有与接收到的分布式哈希值9_6不同的分布式哈希值9_1,所以节点C (3_1)没有响应,并且因为节点C (3_1)是网络的末尾,所以没有重定向数据。因为节点D (3_2)具有与接收到的分布式哈希值9_6不同的分布式哈希值9_2,所以节点D(3_2)没有响应,但是因为节点C(3_l)不是网络的末尾,所以将数据重定向到与节点D(3_2)直接耦接的节点E(3_3)。因为节点D(3_4)具有与接收到的分布式哈希值9_6不同的分布式哈希值9_4,所以节点F (3_4)没有响应,但是因为节点F (3_4)不是网络的末尾,所以将数据重定向到与节点F(3_4)直接耦接的节点G(3_5)、节点H(3_6)和节点I(3_7)。因为接收到的分布式哈希值9_6对应于节点H( 3_6)本身的分布式哈希值9_6,所以节点H(3_6)响应于节点F(3_4),并且节点F(3_4)将响应重定向到与节点B(2)。以相同方式,可在节点B(2)_节点D(3_2)_节点E(3_3)_节点H(3_6)的路径中、节点B(2)_节点D(3_2)_节点E(3_3)_节点G(3_5)_节点H(3_6)的路径中和节点B(2)_节点F(3_4)_节点G(3_5)_节点H(3_6)的路径中建立节点B (2)和节点H( 3_6)之间的通信。
[0154]即使当网络4以这种方式具有一般图结构,也可以通过预先形成图的生长树并且对生长树执行分层认证来认证网络上的所有节点。
[0155]图27是示出通过广度优先搜索等形成具有图26中示出的一般图结构的网络的示例的说明图。通过图27中的实线4_2、4_3、4_4、4_5、4_8、4_9和4_10示出通过广度优先搜索形成的生长树。然而,除了附图中示出的方法和结构之外,还可存在用于形成生长树的多种方法和多种生长树结构。当可形成网络的生长树时,可以如第三实施例中所描述地在分层网络中应用装置认证。具体地讲,在设备(V)1启动之后,网关节点A(I)与中继节点B(2)执行本地相互耦接认证并且建立耦接。大约在这个时间,网关节点A(I)将作为网关ECU I的认证信息并且处于加密状态的ID和特有密钥发送到认证设备7并且接收认证结果。随后,网关节点A( I)请求中继节点B (2)收集认证信息。
[0156]被请求收集认证信息的中继节点B(2)请求与中继节点B (2)直接親接的节点C (3 _
1)、节点D(3_2)和节点F(3_4)收集认证信息。这里,中继节点B(2)和每个节点之间的通信没有本地相互认证手段。然而,可以通过使用分派给每个节点的分布式哈希值来执行通信。中继节点B(2)通过将分别分派给节点C(3_l)、节点D(3_2)和节点F(3_4)的分布式哈希值9_1、9_2和9_4分别发送到节点C(3_l)、节点D(3_2)和节点F(3_4)来请求节点C(3_l)、节点D(3_
2)和节点F(3_4)收集认证信息。节点C(3_l)响应于请求并且将节点C(3_l)的认证信息发送到中继节点B(2)。中继节点B(2)存储接收到的节点C(3_l)的认证信息并且等待来自其它节点的响应。节点D(3_2)是中继节点,使得节点D (3_2)将认证信息的收集请求重定向到节点E(3_3)。节点E (3_3)是所形成的生长树中的末端节点,使得节点E (3_3)将它自身的认证信息作为响应发送到节点D (3_2)。节点D (3_2)将接收到的节点E (3_3)的认证信息和它自身的认证信息作为响应发送到中继节点B(2)。中继节点B(2)存储接收到的节点D(3_2)和节点E(3_
3)的认证信息并且等待来自其它节点的响应。节点F(3_4)也是中继节点,使得节点F(3_4)将认证信息的收集请求重定向到节点G(3_5)、节点H( 3_6)和节点I (3_7)。节点G(3_5)、节点H(3_6)和节点1(3_7)中的每个是所形成的生长树中的末端节点,使得每个节点将它自身的认证信息作为响应返回到节点F(3_4)。节点F(3_4)将接收到的节点G(3_5)、节点H(3_6)和节点I (3_7)的认证信息和它自身的认证信息作为响应发送到中继节点B(2)。中继节点B (2)将存储的节点C(3_l)、节点D(3_2)和节点E(3_3)的认证信息、接收到的节点G(3_5)、节点H(3_6)、节点I (3_7)和节点F(3_4)的认证信息和它自身的认证信息作为响应发送到网关节点A(I)。网关节点A(I)通过网络5将接收到的中继节点B(2)、节点C(3_1)、节点D(3_2)、节点E (3_3)、节点G (3_5)、节点H( 3_6)、节点I (3_7)和节点F(3_4)的认证信息发送到认证设备7,并且请求认证多个节点中的每个。
[0157]认证设备7对接收到的每条认证信息执行认证,并且将结果返回到网关节点A(I)。当在认证结果中将中继节点B(2)认证为可信时,网关节点A(I)将认证结果发送到中继节点B(2)。中继节点B(2)通过与用于认证信息的收集请求的路径相同的路径将基于认证结果的经认证节点信息或非法节点信息发送到下层中的每个节点。基于接收到的经认证节点信息或非法节点信息,接收经认证节点信息或非法节点信息的每个节点在通信伙伴是可信节点时继续通信,而在通信伙伴是非法节点时断开通信。
[0158]接下来,将描述在网络中混有非法/危害节点并且形成错误生长树的情况。在描述中,假设节点D(3_2)是非法节点。
[0159]图28是由于非法节点(图27中的节点D(3_2))导致的虚假信息所形成的生成树的示例。通过由于作为非法节点的节点D(3_2)导致的虚假信息,从认证树中去除节点E(3_3)。在不管节点E(3_3)将节点D(3_2)确定为上节点的情况下,通过例如节点D(3_2)伪装成节点G(3_5)的操作和节点D(3_2)丢弃节点E(3_3)的信息的操作产生这种情形。
[0160]在这种情形下,以与上述认证处理相同的方式,在设备V(1)启动之后,网关节点A
(1)与中继节点B(2)执行本地相互耦接认证以建立耦接,并且大约在这个时间,将作为它自身的认证信息并且处于加密状态的ID和特有密钥发送到认证设备7并且接收认证结果。随后,网关节点A( I)请求中继节点B (2)收集认证信息。
[0161]被请求收集认证信息的中继节点B(2)请求与中继节点B(2)直接耦接的节点C(3_
1)、节点D(3_2)和节点F(3_4)收集认证信息。中继节点B (2)通过将分别分派给节点C(3_1)、节点D(3_2)和节点F(3_4)的分布式哈希值9_1、9_2和9_4分别发送到节点C(3_l)、节点D(3_
2)和节点F(3_4)来请求节点C(3_l)、节点D(3_2)和节点F(3_4)收集认证信息。节点C(3_l)响应于请求并且将节点C(3_l)的认证信息发送到中继节点B(2)。中继节点B(2)存储接收到的节点C(3_l)的认证信息并且等待来自其它节点的响应。节点D(3_2)是非法节点并且使它自身成为生长树的网络末端,使得节点D(3_2)在不将认证信息的收集请求重定向到节点E(3_3)的情况下将它自身的认证信息作为响应发送到中继节点B(2)。中继节点B(2)存储接收到的节点D(3_2)的认证信息并且等待来自其它节点的响应。节点F(3_4)是中继节点,使得节点F(3_4)将认证信息的收集请求重定向到节点G(3_5)、节点H(3_6)和节点1(3_7)。节点G(3_5)、节点H( 3_6)和节点I (3_7)中的每个是所形成的生长树中的末端节点,使得每个节点将它自身的认证信息作为响应返回到节点F(3_4)。节点F(3_4)将接收到的节点G(3_5)、节点H(3_6)和节点1(3_7)的认证信息和它自身的认证信息作为响应发送到中继节点B
(2)。中继节点B(2)将存储的节点C(3_1)和节点D (3_2)的认证信息、接收到的节点G (3_5)、节点H(3_6)、节点1(3_7)和节点F(3_4)的认证信息和它自身的认证信息作为响应发送到网关节点A(1)。网关节点A(1)通过网络5将接收到的中继节点B(2)、节点C(3_1)、节点D(3_2)、节点E (3_3)、节点G(3_5)、节点H( 3_6)、节点I (3_7)和节点F(3_4)的认证信息发送到认证设备7,并且请求认证多个节点中的每个。
[0162]认证设备7对接收到的每条认证信息执行认证,并且将结果返回到网关节点A(l)。当在认证结果中将中继节点B(2)认证为可信时,网关节点A(I)将认证结果发送到中继节点B(2)。中继节点B(2)通过与用于认证信息的收集请求的路径相同的路径将基于认证结果的经认证节点信息或非法节点信息发送到下层中的每个节点。基于接收到的经认证节点信息或非法节点信息,接收经认证节点信息或非法节点信息的每个节点在通信伙伴是可信节点时继续通信,而在通信伙伴是非法节点时断开通信。这里,基于指示节点D(3_2)是非法节点的认证结果,中继节点B(2)断开与节点D(3_2)的通信,并且将基于认证结果的经认证节点信息或非法节点信息发送到除了节点D(3_2)之外的每个相邻节点。由此,作为非法节点的节点D(3_2)与网络分开。
[0163]随后,在将作为非法节点的节点D(3_2)排除在外的状态下,重新形成生长树。
[0164]图29是在将非法节点D(3_2)排除在外的状态下重新形成的生成树的示例。断开通向作为非法节点的节点D(3_2)的通信路径4_3和4_5。在图27中,断开被设置为节点D(3_2)的下节点的节点E (3_3)到节点D (3_2)的通信路径4_5,使得节点E (3_3)变成要从节点F (3_
4)搜索的目标,例如,被设置为节点G(3_5)的下节点。当再次沿着重新形成的生长树收集认证信息时,执行对包括节点E(3_3)的所有节点的认证处理。如果新检测到非法节点,则重复执行将非法节点排除在外、重新形成生长树并且此后再次执行认证的操作,直到检测不到新的非法节点,使得可以重构只包括被外部认证的节点的网络。
[0165]如上所述,即使在可能混有非法节点的P2P网络上,也可以通过向每个节点提供分布式哈希值来执行认证信息的收集,使得彼此耦接的节点可彼此安全地通信。所提供的分布式哈希值可以是与每个节点特有的ID—起的认证信息。当某个非法节点没有响应于作为认证信息的分布式哈希值和特有ID的收集请求时,非法节点的分布式哈希值没有被包括在经认证节点的名单中,使得非法节点无法与其它节点和外部网络建立通信。即使非法节点正确地响应于收集请求并且返回分布式哈希值,非法节点也无法使用特有ID进行白名单认证,使得没有建立通信。由此,可以从P2P网络中将以像拜占庭故障一样的方式表现行为的节点排除在外。
[0166]虽然已经基于实施例具体描述了本发明人做出的发明,但无须说的是,本发明不限于这些实施例,并且可在本发明的范围内以各种方式进行修改。
【主权项】
1.一种中继设备,所述中继设备能与认证设备通信并且能耦接到其它设备耦接的通信路径, 其中,所述中继设备和其它设备分别具有特有认证信息, 其中,所述认证设备具有基于所述认证信息确定所述中继设备和其它设备是否是可信设备的设备认证功能,以及 其中,所述中继设备将它自身的认证信息发送到所述认证设备,从与所述通信路径耦接的其它设备收集认证信息并且将所述认证信息发送到所述认证设备,从所述认证设备接收设备认证的结果,关闭中继设备自身与基于所述结果被确定为不可信的设备之间的通信,并且将通信控制信息发送到其它设备,以关闭与被确定为不可信的设备的通信。2.根据权利要求1所述的中继设备, 其中,在从其它设备收集认证信息之前,所述中继设备与其它设备执行相互认证。3.根据权利要求2所述的中继设备, 其中,所述认证信息是每个设备特有的标识符以及该设备和所述认证设备共享的特有密钥, 其中,所述中继设备将被加密的标识符和特有密钥发送到所述认证设备, 其中,所述中继设备分别从与所述通信路径耦接的其它设备收集被加密的标识符和特有密钥,并且将所述标识符和特有密钥发送到所述认证设备,以及 其中,由所述认证设备执行的设备认证包括解密被加密的标识符并且基于所解密的标识符确定所述中继设备和其它设备是否是可信设备的功能。4.根据权利要求1所述的中继设备, 其中,作为所述认证信息的分别与所述中继设备和所述其它设备关联的分布式哈希值被分别供应到所述中继设备和其它设备, 其中,所述中继设备将与其自身关联的分布式哈希值发送到所述认证设备, 其中,所述中继设备从其它设备收集分别与耦接到所述通信路径的其它设备关联的分布式哈希值,并且将所述分布式哈希值发送到所述认证设备,以及 其中,由所述认证设备执行的设备认证包括基于所述分布式哈希值确定所述中继设备和其它设备是否是可信设备的功能。5.根据权利要求1所述的中继设备, 其中,其它设备包括另一个中继设备, 其中,所述中继设备将其自身的认证信息通过其它中继设备发送到所述认证设备, 其中,所述中继设备从除其它中继设备之外的其它设备收集认证信息,并且通过其它中继设备将所述认证信息发送到所述认证设备,以及 其中,所述中继设备通过其它中继设备从所述认证设备接收设备认证的结果,关闭中继设备自身与基于所述结果被确定为不可信的设备之间的通信,并且将通信控制信息发送到除其它中继设备之外的其它设备,以关闭与被确定为不可信的设备的通信。6.根据权利要求1所述的中继设备, 其中,所述中继设备和其它设备是电子控制单元,并且所述通信路径是车载网络。7.根据权利要求6所述的中继设备, 其中,当发现存在作为所述设备认证的结果而被确定为不可信的设备时,中继设备具有询问其中安装有所述车载网络的车辆的用户是否要关闭与被确定为不可信的设备的通信的功能。8.—种终端设备,所述终端设备能通过中继设备与认证设备通信并且能耦接到所述中继设备和其它设备耦接的通信路径, 其中,所述终端设备、所述中继设备和其它设备分别具有特有认证信息, 其中,所述中继设备具有将其自身的认证信息发送到所述认证设备的功能和从与所述通信路径耦接的所述终端设备和其它设备收集认证信息并且将所述认证信息发送到所述认证设备的功能, 其中,所述认证设备具有基于所述认证信息确定所述终端设备、所述中继设备和其它设备是否是可信设备的设备认证功能,以及 其中,所述终端设备关闭其自身与基于由所述中继设备接收的设备认证的结果被确定为不可信的设备之间的通信。9.根据权利要求8所述的终端设备, 其中,所述终端设备、所述中继设备和其它设备中的每个具有作为所述认证信息的每个设备特有的标识符、以及与所述认证设备共享并且每个设备特有的特有密钥, 其中,在将认证信息发送到所述中继设备之前,所述终端设备与所述中继设备执行相互认证, 其中,所述终端设备将被加密的标识符和特有密钥发送到所述中继设备, 其中,所述中继设备将被加密的标识符和特有密钥发送到所述认证设备, 其中,所述中继设备分别从与所述通信路径耦接的其它设备收集被加密的标识符和特有密钥,并且将从所述终端设备接收的标识符和特有密钥、以及从其它设备收集的标识符和特有密钥发送到所述认证设备,以及 其中,由所述认证设备执行的设备认证包括解密被加密的标识符并且基于所解密的标识符确定所述终端设备、所述中继设备和其它设备是否是可信设备的功能。10.根据权利要求8所述的终端设备, 其中,作为所述认证信息的分别与所述终端设备、所述中继设备和其它设备关联的分布式哈希值被分别供应到所述终端设备、所述中继设备和其它设备, 其中,所述终端设备将与其自身关联的分布式哈希值发送到所述中继设备, 其中,所述中继设备将与其自身关联的分布式哈希值发送到所述认证设备, 其中,所述中继设备分别从其它设备收集分别与耦接到所述通信路径的其它设备关联的分布式哈希值,并且将从所述终端设备接收的分布式哈希值和从其它设备收集的分布式哈希值发送到所述认证设备,以及 其中,由所述认证设备执行的设备认证包括基于分布式哈希值确定所述终端设备、所述中继设备和其它设备是否是可信设备的功能。11.根据权利要求8所述的终端设备, 其中,所述终端设备在所述终端设备耦接到所述通信路径的时间点通过与所述终端设备直接耦接的中继设备或其它设备,向所述认证设备请求仅仅能由所述认证设备产生的信息, 其中,由所述认证设备执行的设备认证确定所述终端设备是否是可信设备,产生仅仅能由所述认证设备产生的信息,并且沿着接收到所述请求的路径将所述信息发送到所述终端设备,以及 其中,所述终端设备从与所述终端设备直接耦接的所述中继设备和其它设备当中确定没有中继仅仅能由所述认证设备产生的信息的设备为不可信设备,并且关闭与没有中继所述信息的设备的通信。12.根据权利要求8所述的终端设备, 其中,其它设备包括另一个中继设备, 其中,所述中继设备将其自身的认证信息通过其它中继设备发送到所述认证设备, 其中,所述中继设备从除其它中继设备之外的其它设备和终端设备收集认证信息,并且通过其它中继设备将所述认证信息发送到所述认证设备, 其中,所述中继设备通过其它中继设备从所述认证设备接收设备认证的结果,以及其中,所述终端设备关闭其自身与基于由所述中继设备接收的设备认证的结果被确定为不可信的设备之间的通信。13.根据权利要求8所述的终端设备, 其中,所述终端设备、所述中继设备和其它设备是电子控制单元,并且所述通信路径是车载网络。14.根据权利要求13所述的终端设备, 其中,当发现作为所述设备认证的结果而存在不可信的设备时,所述终端设备具有询问其中安装有所述车载网络的车辆的用户是否要关闭与被确定为不可信的设备的通信的功能。15.—种通过通信路径执行的中继设备、终端设备和其它设备之间的通信方法, 其中,所述中继设备、所述终端设备和所述其它设备分别具有特有认证信息, 其中,所述中继设备能与所述认证设备通信,并且将其自身的认证信息发送到所述认证设备, 其中,所述中继设备从与所述通信路径耦接的所述终端设备和其它设备收集认证信息,并且将所述认证信息发送到所述认证设备, 其中,所述认证设备具有基于所述认证信息确定所述中继设备、所述终端设备和所述其它设备是否是可信设备的设备认证功能, 其中,所述中继设备从所述认证设备接收设备认证的结果,关闭中继设备自身与基于所述结果被确定为不可信的设备之间的通信,并且将通信控制信息发送到所述终端设备和其它设备,以关闭与被确定为不可信的设备的通信,以及 其中,所述终端设备和其它设备关闭它们自身与基于所述通信控制信息被确定为不可信的设备之间的通信。16.根据权利要求15所述的通信方法, 其中,所述终端设备、所述中继设备和其它设备中的每个具有作为所述认证信息的每个设备特有的标识符、以及与所述认证设备共享的并且每个设备特有的特有密钥, 其中,在所述终端设备将认证信息发送到所述中继设备之前,所述终端设备与所述中继设备执行相互认证, 其中,所述终端设备将被加密的标识符和特有密钥发送到所述中继设备, 其中,所述中继设备将被加密的标识符和特有密钥发送到所述认证设备, 其中,所述中继设备分别从与所述通信路径耦接的其它设备收集被加密的标识符,并且将所述标识符发送到所述认证设备, 其中,所述中继设备分别从与所述通信路径耦接的其它设备收集被加密的标识符,并且将从所述终端设备接收的标识符和从其它设备收集的标识符发送到所述认证设备,以及其中,所述认证设备解密被加密的标识符,并且基于所解密的标识符确定所述终端设备、所述中继设备和其它设备是否是可信设备。17.根据权利要求15所述的通信方法, 其中,作为所述认证信息的分别与所述终端设备、所述中继设备和其它设备关联的分布式哈希值被分别供应到所述终端设备、所述中继设备和其它设备, 其中,所述终端设备将与其自身关联的分布式哈希值发送到所述中继设备, 其中,所述中继设备将与其自身关联的分布式哈希值发送到所述认证设备, 其中,所述中继设备分别从其它设备收集分别与耦接到所述通信路径的其它设备关联的分布式哈希值,并且将从所述终端设备接收的分布式哈希值和从其它设备收集的分布式哈希值发送到所述认证设备,以及 其中,所述认证设备基于分布式哈希值确定所述终端设备、所述中继设备和其它设备是否是可信设备。18.根据权利要求15所述的通信方法, 其中,其它设备包括另一个中继设备, 其中,所述中继设备将其自身的认证信息通过其它中继设备发送到所述认证设备,以及 其中,所述中继设备从除其它中继设备之外的其它设备和所述终端设备收集认证信息,通过其它中继设备将收集到的所述认证信息发送到所述认证设备,并且通过其它中继设备从所述认证设备接收设备认证的结果。19.根据权利要求15所述的通信方法, 其中,所述终端设备、所述中继设备和其它设备是电子控制单元,并且所述通信路径是车载网络。20.根据权利要求19所述的通信方法, 其中,当发现作为设备认证的结果存在不可信的设备时,所述终端设备或所述中继设备询问其中安装有所述车载网络的车辆的用户是否要关闭与被确定为不可信的设备的通?目O
【文档编号】H04L29/06GK105827587SQ201510946793
【公开日】2016年8月3日
【申请日】2015年12月17日
【发明人】森田直幸, 谷本匡亮
【申请人】瑞萨电子株式会社
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1