通信系统、通信控制装置及防止不正当信息发送方法与流程

本发明涉及例如ECU(Electronic Control Unit：电子控制单元)等多个通信装置通过共用通信线连接的通信系统、防止在该系统中发生不正当的信息发送的通信控制装置及防止不正当信息发送方法。

背景技术：

以往，在搭载于车辆的多个通信装置间的通信中广泛采用CAN(Controller Area Network：控制器局域网)的通信协议。在CAN的通信协议中，在共用的CAN总线连接有多个通信装置，因此在多个通信装置同时进行信息发送而产生了冲突时，在各通信装置中进行仲裁处理(仲裁)，执行优先级高的信息发送。为了进行仲裁，各通信装置在向CAN总线进行发送信号的输出的同时，进行CAN总线的信号电平的检测，在所检测到的信号的信号电平相对于自身输出的发送信号而从隐性(隐性值)变化到显性(显性值)的情况下，判断为发生通信的冲突，停止发送处理。对于CAN总线上的信号，显性比隐性优先，因此即使发生通信的冲突，输出显性的电子设备也能够继续进行发送处理。

在专利文献1中，提出了对分支连接的双线制CAN通信电路的每个分支电路进行异常诊断的异常诊断装置。该异常诊断装置具备：检查用的分支电路，与CAN通信线的各分支电路进行连接器连接；分支连接电路，具有连接该分支电路的接口电路；分离单元，将各分支电路从接口电路断开；电位测定单元，对由所述分离单元断开的分支电路的电位进行测定；连接单元，将所述电位测定单元与所述分支电路连接；以及异常判定单元，与所述电位测定单元连接，通过所测定的电位进行异常判定。

现有技术文献

专利文献

专利文献1：日本特开2010-111295号公报

技术实现要素：

发明要解决的课题

在车辆的CAN总线上有可能会连接有存在恶意的设备。存在恶意的设备例如对CAN总线重复进行不正当的信息发送，由此，存在使与该CAN总线连接的其他ECU误操作的可能性。

本发明是鉴于上述情况而完成的，其目的在于，提供一种通信系统、通信控制装置及防止不正当信息发送方法，即使在对共用的通信线进行了不正当的信息发送的情况下，也能够防止与该通信线连接的通信装置的误操作等。

用于解决课题的技术方案

本发明的通信系统，多个通信装置通过共用的通信线连接，所述通信系统的特征在于，所述通信装置具有：认证信息附加单元，对向其他通信装置发送的信息附加认证信息；以及信息发送单元，将由该认证信息附加单元附加了所述认证信息的发送信息向所述通信线输出，并将该发送信息向其他通信装置发送，所述通信系统具备与所述通信线连接的通信控制装置，该通信控制装置具备：取得单元，取得被输出到所述通信线的发送信息；认证信息判定单元，判定在该取得单元所取得的发送信息中包含的认证信息是否正当；以及信息废弃单元，在所述认证信息判定单元判定为所述认证信息不正当的情况下，使所述通信装置废弃所述发送信息，所述通信控制装置的所述信息废弃单元在所述认证信息判定单元判定为所述认证信息不正当的情况下向所述通信线输出预定信息，所述其他通信装置在由所述通信线接收到所述预定信息的情况下废弃从所述通信装置发送来的所述发送信息。

另外，在本发明的通信系统中，其特征在于，在所述通信装置的信息发送单元将发送信息的全部向所述通信线输出完成之前，所述通信控制装置的信息废弃单元通过向所述通信线输出所述预定信息，来废弃所述发送信息。

另外，在本发明的通信系统中，其特征在于，所述通信装置和所述通信控制装置共享密钥信息，所述通信装置的认证信息附加单元根据所述密钥信息而生成认证信息并附加到发送信息，所述通信控制装置的所述认证信息判定单元根据所述密钥信息而进行在所述发送信息中包含的所述认证信息的判定。

另外，在本发明的通信系统中，其特征在于，所述多个通信装置具有彼此不同的所述密钥信息，所述通信控制装置具有各通信装置的所述密钥信息。

另外，本发明的通信控制装置，其特征在于，所述通信控制装置与连接有多个通信装置的共用的通信线连接，所述通信控制装置具备：取得单元，取得被输出到所述通信线的发送信息；认证信息判定单元，判定在该取得单元所取得的发送信息中包含的认证信息是否正当；以及信息废弃单元，在所述认证信息判定单元判定为所述认证信息不正当的情况下，使所述通信装置废弃所述发送信息，所述信息废弃单元在所述认证信息判定单元判定为所述认证信息不正当的情况下向所述通信线输出预定信息。

另外，本发明的防止不正当信息发送方法，在多个通信装置通过共用的通信线连接的通信系统中防止对所述通信线进行不正当的信息发送，所述防止不正当信息发送方法的特征在于，所述通信装置对向其他通信装置发送的信息附加认证信息向所述通信线输出，通信控制装置取得被输出到所述通信线的发送信息，所述通信控制装置判定在所取得的发送信息中包含的认证信息是否正当，在判定为所述认证信息不正当的情况下，所述通信控制装置向所述通信线输出预定信息，所述其他通信装置在由所述通信线接收到所述预定信息的情况下废弃从所述通信装置发送来的所述发送信息。

在本发明中，对共用的通信线连接多个通信装置和通信控制装置。各通信装置对发送信息附加认证信息并向通信线输出，从而进行向其他通信装置的信息发送。另外，在本发明中，接收到来自其他通信装置的信息的通信装置不需要判定在接收信息中包含的认证信息是否正当。

通信控制装置监视针对通信线的信息的发送，在进行了信息的发送时取得发送信息，判定在所取得的信息中包含的认证信息是否正当。如果认证信息正当，则通信控制装置无需对该信息发送进行任何处理。在认证信息不正当时，发送信息有可能是由存在恶意的设备发送的不正当的信息，因此通信控制装置进行使通信装置废弃的处理。

由此，能够在各通信装置中不判定认证信息的是否正当的情况下防止不正当的信息被各通信装置接收。

另外，在本发明中，废弃发送信息，因此在通信装置将全部的发送信息向通信线输出完成之前，通信控制装置向通信线输出预定信息。由此，发送信息不正确，各通信装置中止该信息的接收，因此发送信息被废弃。

另外，在本发明中，通信装置和通信控制装置共享密钥信息，进行认证信息的生成和判定等的处理。由此，不具有密钥信息的存在恶意的设备无法生成认证信息，因此通信控制装置能够更切实地防止不正当的信息发送。

另外，在本发明中，通信系统所包含的多个通信装置具有彼此不同的密钥信息。由此，能够减少由密钥信息的泄漏等引起的不良影响。各通信装置不需要判定在其他通信装置的发送信息中包含的认证信息，因此不需要具有其他通信装置的密钥信息。相对于此，通信控制装置具有应成为进行发送信息的废弃的对象的所有的通信装置的密钥信息。通信控制装置使用与信息的发送源的通信装置对应的密钥信息来判定在发送信息中包含的认证信息是否正当。

发明效果

在本发明的情况下，构成为通信控制装置根据由通信装置附加到发送信息的认证信息来判定发送信息是否正当，在发送信息不正当时，通信控制装置使通信装置废弃该信息，从而即使在由存在恶意的设备对共用的通信线发送了不正当的信息的情况下，也能够通过废弃所发送的信息来防止通信装置误操作。

附图说明

图1是示出本实施方式的通信系统的结构的示意图。

图2是示出ECU的结构的框图。

图3是示出监视装置的结构的框图。

图4是说明密钥信息表的结构的示意图。

图5是用于说明本实施方式的通信系统的监视处理的概要的示意图。

图6是用于说明各ECU的发送帧的生成方法的示意图。

图7是示出ECU所进行的信息发送处理的步骤的流程图。

图8是示出监视装置所进行的监视处理的步骤的流程图。

图9是示出监视装置所进行的监视处理的步骤的流程图。

图10是示出ECU所进行的信息接收处理的步骤的流程图。

具体实施方式

<系统结构>

图1是示出本实施方式的通信系统的结构的示意图。本实施方式的通信系统具备搭载在车辆1中的多个ECU3和一个监视装置5而构成。ECU3和监视装置5通过铺设在车辆1中的共用的通信线而连接，能够彼此收发数据。在本实施方式中，该通信线为CAN总线，ECU3和监视装置5进行依照CAN协议的通信。ECU3例如可以是如进行车辆1的发动机的控制的发动机ECU、进行车身的电气安装件的控制的车身ECU、进行与ABS(Antilock Brake System：防抱死制动系统)有关的控制的ABS-ECU或进行车辆1的安全气囊的控制的安全气囊ECU等这样的各种电子控制装置。监视装置5是监视针对车内网络的不正当的数据发送的装置。监视装置5可以设置为监视专用的装置，也可以是例如在网关等装置附加了监视功能的结构，或者也可以是例如在任一个ECU3附加了监视功能的结构。

图2是示出ECU3的结构的框图。另外，在图2中，关于设置在车辆1的ECU3，提取与通信和不正当监视等有关的块而进行了图示。这些块在各ECU3中都是相同的。本实施方式的ECU3具备处理部31、存储部32以及CAN通信部33等而构成。处理部31使用CPU(Central Processing Unit：中央处理单元)或MPU(Micro-Processing Unit：微处理单元)等计算处理装置而构成。处理部31读取在存储部32等中存储的程序并执行，从而进行车辆1的各种信息处理或控制处理等。

存储部32使用闪存或EEPROM(Electrically Erasable Programmable ROM：电可擦除可编程只读存储器)等非易失性的存储元件而构成。存储部32存储有处理部31所执行的程序以及在由此进行的处理中所需的各种数据。另外，存储在存储部32中的程序和数据对于每个ECU3都不同。另外，在本实施方式中，存储部32存储有在处理部31所进行的认证信息的生成处理中使用的密钥信息32a。在本实施方式中，在CAN总线连接有多个ECU3，而各ECU3存储在存储部32中的密钥信息32a也可以各自不同。

CAN通信部33依照CAN的通信协议，通过CAN总线与其他ECU3或监视装置5进行通信。CAN通信部33将从处理部31提供的发送用的信息转换为依照CAN的通信协议的发送信号，并将所转换的信号输出到CAN总线，从而进行向其他ECU3或监视装置5的信息发送。CAN通信部33对CAN总线的电位进行采样，从而取得其他ECU3或监视装置5所输出的信号，通过将该信号依照CAN的通信协议转换为二进制信息来进行信息的接收，并将接收到的信息提供给处理部31。

在本实施方式中，在ECU3的处理部31设置有认证信息生成部41和发送帧生成部42等。认证信息生成部41和发送帧生成部42可以构成为硬件的功能块，也可以构成为软件的功能块。认证信息生成部41使用应该向其他ECU3发送的信息和存储部32的密钥信息32a而进行生成认证信息的处理。发送帧生成部42根据应该向其他ECU3发送的信息和认证信息生成部41所生成的认证信息，进行生成适用于本实施方式中的通信的发送用的帧(消息)的处理。通过将发送帧生成部42所生成的发送帧提供给CAN通信部33，从而能够进行向其他ECU3的信息发送。

图3是示出监视装置5的结构的框图。监视装置5具备处理部51、存储部52以及CAN通信部53等而构成。处理部51使用CPU或MPU等运算处理装置构成，通过读取在存储部52中存储的程序并执行，从而进行监视车辆1的ECU3的动作和通信等的处理。

存储部52使用闪存或EEPROM等能够重写数据的非易失性存储元件而构成。在本实施方式中，存储部52存储有包含与CAN总线连接的所有的ECU3的密钥信息的密钥信息表52a。图4是说明密钥信息表52a的结构的示意图。在监视装置5存储在存储部52中的密钥信息表52a中，将能够识别各ECU3的ID与ECU3所具有的密钥信息建立对应。在本实施方式中，各ECU3所发送的发送帧包含ID。对各ECU3预先分别分配一个或多个ID，而不会对两个以上的ECU3分配相同的ID。监视装置5能够根据在ECU3的发送帧中包含的ID而从密钥信息表52a取得一个密钥信息。

CAN通信部53依照CAN的通信协议，通过CAN总线与ECU3进行通信。CAN通信部53将从处理部51提供的发送用的信息转换为依照CAN的通信协议的发送信号，并通过将所转换的信号输出到CAN总线来进行向ECU3的信息发送。CAN通信部53通过对CAN总线的电位进行采样，取得ECU3所输出的信号，并通过将该信号依照CAN的通信协议转换为二进制的信息来进行信息的接收，并将接收到的信息提供给处理部51。

在本实施方式中，在监视装置5的处理部51设置有认证信息判定部61和发送信息废弃处理部62等。认证信息判定部61和发送信息废弃处理部62可以构成为硬件的功能块，也可以构成为软件的功能块。认证信息判定部61进行判定在ECU3所发送的发送帧中包含的认证信息是否正当的处理。在检测到不正当的发送帧时，发送信息废弃处理部62进行用于使各ECU3废弃该发送帧的处理。

<监视处理>

本实施方式的通信系统具有监视针对CAN总线的不正当的信息发送的功能。图5是用于说明本实施方式的通信系统的监视处理的概要的示意图。存在如下的可能性：存在恶意的设备100(在图5中以虚线表示)不正当地连接到车辆1的CAN总线。存在恶意的设备100例如对CAN总线发送不正当的消息。在不正当的消息中例如有可能包含使正确的ECU3发生误操作的控制指示或传感器检测结果等。本实施方式的监视装置5监视针对CAN总线的消息发送。在消息被发送到CAN总线时，监视装置5判定该消息是否为正确的ECU3所发送的消息。在判定为消息不正当时，监视装置5在由存在恶意的设备100进行的消息发送完成之前(ECU3的消息接收完成之前)，对CAN总线输出预定的信号，从而使ECU3废弃该消息。

图6是用于说明各ECU3的发送帧的生成方法的示意图。在由本实施方式的通信系统收发的帧(消息)中包含CAN头、数据字段、认证信息、CRC(Cyclic Redundancy Check：循环冗余校验)字段、ACK字段以及EOF(End Of Frame：帧尾)而构成。CAN头包含以往的CAN协议中的SOF(Start Of Frame：起始帧)、仲裁字段以及控制字段等，包含能够识别上述的ECU3的ID。数据字段例如含有如针对ECU3的控制指示或传感器检测结果等这样的应在ECU3间收发的信息的主体。

CRC字段、ACK字段以及EOF与在以往的CAN协议中使用的相同，因此省略详细的说明。CRC字段含有用于进行错误检测的信息。ACK字段是供接收该帧的ECU3进行接收响应的字段。EOF是表示字段的结束的特定的位串。

在本实施方式的帧中，虽然与以往的CAN协议进行互换，但是在一部分中包含有认证信息。认证信息是监视装置5为了判定该帧是否正当而使用的信息。ECU3的认证信息生成部41通过使用在存储部32中存储的密钥信息32a对在发送帧中包含的CAN头和数据进行加密来生成认证信息。在本实施方式中，例如使用HMAC(SHA-256)算法，根据512位左右的密钥信息32a来生成256位的消息认证符号(MAC)。ECU3的发送帧生成部42将认证信息生成部41生成的256位的MAC作为认证信息附加到发送帧，通过向CAN通信部33提供发送帧，向其他ECU3进行帧的发送。

另外，在本实施方式中，接收到图6所示的帧的ECU3不需要确认在接收帧中包含的认证信息是否正当。因此，各ECU3不与其他ECU3共享密钥信息。

ECU3的CAN通信部33将构成发送帧的多个位的信息从CAN头侧到EOF依次向CAN总线输出。监视装置5在依次取得向CAN总线输出的信息直到取得了发送帧的CRC字段时，进行基于CRC字段的信息的错误检测。在发送帧中没有错误的情况下，监视装置5的认证信息判定部61判定在发送帧中包含的认证信息是否正当。认证信息判定部61从接收完成的CAN头取得ID，并参照存储部52的密钥信息表52a而取得与ID对应的密钥信息。认证信息判定部61根据所取得的密钥信息和接收完成的CAN头及数据字段，通过与ECU3的认证信息生成部41相同的算法来生成认证信息。认证信息判定部61对自身生成的认证信息与在发送到CAN总线的发送帧中包含的认证信息进行比较，在两认证信息一致时判定为该发送帧正当。在两认证信息不一致时，认证信息判定部61判定为发送帧不正当。另外，认证信息判定部61在从发送帧的CRC字段的最终位输出到CAN总线开始到EOF的最终位输出到CAN总线为止的期间完成判定处理。

在认证信息判定部61判定为输出到CAN总线的发送帧不正当时，监视装置5的发送信息废弃处理部62进行用于使与CAN总线连接的ECU3废弃该发送帧的处理。发送信息废弃处理部62在该发送帧的EOF的输出期间内对CAN总线发送错误帧。根据该错误帧，与CAN总线连接的所有的ECU3废弃接收中的不正当的帧。

<流程图>

以下，使用流程图对本实施方式的通信系统的ECU3和监视装置5所进行的处理进行说明。图7是示出ECU3所进行的信息发送处理的步骤的流程图。ECU3的处理部31根据提供给自身的ID和传感器的检测结果等应向其他ECU3发送的信息等，生成CAN头和数据字段(步骤S1)。处理部31的认证信息生成部41读取在存储部32中存储的密钥信息32a(步骤S2)。认证信息生成部41根据在步骤S1中生成的CAN头和数据字段以及在步骤S2中读取的密钥信息32a，通过预定的算法来生成认证信息(步骤S3)。处理部31生成用于进行针对CAN头、数据字段以及认证信息的错误检测的CRC字段(步骤S4)。处理部31结合到此为止生成的CAN头、数据字段、认证信息以及CRC字段而生成发送帧(步骤S5)，并提供给CAN通信部33。

ECU3的CAN通信部33从发送帧的CAN头开始发送。CAN通信部33从发送帧的未发送部分取得1位，将与该1位对应的信号输出到CAN总线(步骤S6)。CAN通信部33判定是否产生了例如由仲裁引起的发送停止等中断发送处理的因素(步骤S7)。在产生了中断因素时(S7：是)，CAN通信部33进行错误处理等(步骤S8)，结束信息发送处理。在未产生中断因素时(S7：否)，CAN通信部33判定是否对所提供的发送帧的所有位完成了输出(步骤S9)。在未完成所有位的输出时(S9：否)，CAN通信部33使处理回到步骤S6，进行发送帧的下一位的输出。在完成所有位的输出时(S9：是)，CAN通信部33结束信息发送处理。

图8和图9是示出监视装置5所进行的监视处理的步骤的流程图。监视装置5的CAN通信部53周期性地对CAN总线的电位进行采样。CAN通信部53根据CAN总线的电位变化，判定针对CAN总线的信息发送是否开始(步骤S21)。在信息发送未开始时(S21：否)，CAN通信部53待机直到信息发送开始为止。在开始了信息发送时(S21：是)，CAN通信部53根据CAN总线的电位而取得发送帧的1位(步骤S22)。CAN通信部53判定所取得的1位是否相当于CRC字段的最终位(步骤S23)。在不是CRC字段的最终位时(S23：否)，CAN通信部53使处理回到步骤S22，重复取得发送帧的各位。在是CRC字段的最终位时(S23：是)，CAN通信部53将到此为止取得的信息提供给处理部51。

处理部51根据从CAN通信部53提供来的信息(发送帧)，进行CRC字段的判定(步骤S24)。处理部51通过对根据发送帧的CAN头～认证信息计算出的CRC与存储在发送帧的CRC字段中的CRC的值进行比较，从而判定发送帧是否有错误(步骤S25)。当在发送帧中存在错误时(S25：是)，处理部51结束处理。另外，在根据CRC字段判断为在发送帧中存在错误时，在其他ECU3中也进行同样的判断，该发送帧在各ECU3中被废弃。

当在发送帧中没有错误时(S25：否)，处理部51的认证信息判定部61取得在发送帧的CAN头中包含的ID(步骤S26)。认证信息判定部61根据所取得的ID来参照存储部52的密钥信息表52a，取得与ID对应的密钥信息(步骤S27)。认证信息判定部61根据所取得的发送帧的CAN头和数据字段以及在步骤S27中取得的密钥信息，通过预定的算法来生成认证信息(步骤S28)。认证信息判定部61从发送帧取得认证信息(步骤S29)，判定所取得的认证信息与在步骤S28中生成的认证信息是否一致(步骤S30)。在两认证信息一致时(S30：是)，处理部51结束处理。在两认证信息不一致时(S30：否)，处理部51的发送信息废弃处理部62通过CAN通信部53将错误帧输出到CAN总线(步骤S31)，结束处理。

图10是示出ECU3所进行的信息接收处理的步骤的流程图。ECU3的CAN通信部33首先逐位地取得对CAN总线输出的发送帧，进行从发送帧的CAN头到ACK字段为止的接收处理(步骤S41)。另外，虽然省略图示，但是ECU3在接收到CRC字段为止时进行检测有无错误的处理。

之后，CAN通信部33取得对CAN总线输出的发送帧的EOF的1位(步骤S42)。CAN通信部33判定所取得的1位是否为监视装置5输出的错误帧而不是EOF(步骤S43)。在是错误帧时(S43：是)，CAN通信部33废弃到此为止接收到的帧(步骤S44)，结束接收处理。

在不是错误帧时(S43：否)，CAN通信部33判定是否完成了EOF的接收(步骤S45)。在未完成EOF的接收时(S45：否)，CAN通信部33使处理回到步骤S42，继续进行EOF的接收。在完成了EOF的接收时(S45：是)，处理部31从CAN通信部33接收到的帧的数据字段取得所需的数据(步骤S46)，进行与所取得的数据对应的处理(步骤S47)，结束处理。

<总结>

具有以上结构的本实施方式的通信系统，对于共用的CAN总线连接多个ECU3和监视装置5。各ECU3将对于应发送到其他ECU3的数据附加了认证信息的发送帧，通过CAN通信部33输出到CAN总线，从而进行向其他ECU3的信息发送。另外，在本实施方式中，接收到来自其他ECU3的帧的ECU3不需要判定在接收帧中包含的认证信息是否正当。监视装置5监视针对CAN总线的帧的发送，在进行了帧的发送时取得该帧，判定在所取得的帧中包含的认证信息是否正当。如果认证信息正当，则监视装置5不需要对该帧进行任何处理。在认证信息不正当的情况下，发送帧有可能是由存在恶意的设备100发送的不正当的帧，因此监视装置5进行使ECU3废弃该发送帧的处理。由此，能够在不在各ECU3中判定认证信息是否正当的情况下防止由各ECU3接收不正当的帧。

另外，在本实施方式中，使各ECU3废弃发送帧，因此在发送帧的EOF的最终位向CAN总线输出之前，监视装置5将错误帧向CAN总线输出。由此，各ECU3中止该发送帧的接收，发送帧被废弃。

另外，在本实施方式中，监视装置5与ECU3共享密钥信息，进行认证信息的生成和判定。由此，不具有密钥信息的存在恶意的设备100无法生成认证信息，因此能够更切实地防止监视装置5发送不正当的帧。

另外，在本实施方式中，与CAN总线连接的多个ECU3具有彼此不同的密钥信息。由此，能够减少由密钥信息泄露等引起的不良影响。各ECU3不需要判定在其他ECU3的发送帧中包含的认证信息是否正当，因此不需要具有其他ECU3的密钥信息。相对于此，监视装置5具有所有的ECU3的密钥信息，在存储部52中作为密钥信息表52a进行管理。监视装置5根据在发送帧中包含的ID来判别发送源的ECU3，从密钥信息表52a读取对应的密钥信息，能够判定在发送帧中包含的认证信息是否正当。

另外，在本实施方式中，设为ECU3和监视装置5依照CAN协议进行通信的结构，但是并不限定于此，也可以是进行基于CAN以外的协议的通信的结构。另外，在本实施方式中，虽然以搭载在车辆1中的通信系统为例进行了说明，但是通信系统不限定于搭载在车辆1中的系统，也可以是例如搭载在飞机或船舶等移动物体中的系统，另外也可以是例如不搭载于移动物体而设置在工厂、办公室或学校等的系统。另外，在本实施方式中示出的帧的结构是一例，而不限定于此。另外，也可以是在通信系统中不设置监视装置5而使任一个ECU3具备本实施方式的监视装置5的监视功能的结构。另外，关于ECU3和监视装置5之间的密钥信息的共享方法，也可以采用任何方法。另外，ECU3和监视装置5使用密钥信息进行的加密处理也可以基于任何算法。另外，虽然是由处理部51进行认证信息的生成处理和发送帧废弃的处理等的结构，但是并不限定于此，也可以是由CAN通信部53进行其一部分或全部的处理的结构。

标号说明

1 车辆

3 ECU

5 监视装置

31 处理部

32 存储部

32a 密钥信息

33 CAN通信部

41 认证信息生成部

42 发送帧生成部

51 处理部

52 存储部

52a 密钥信息表

53 CAN通信部

61 认证信息判定部

62 发送信息废弃处理部

100 存在恶意的设备。