網(wǎng)絡(luò)裝置以及網(wǎng)絡(luò)系統(tǒng)的制作方法
【專利說(shuō)明】網(wǎng)絡(luò)裝置以及網(wǎng)絡(luò)系統(tǒng)
[0001]相關(guān)申請(qǐng)的交叉引用
[0002]如下優(yōu)先權(quán)申請(qǐng)的公開(kāi)內(nèi)容通過(guò)引用結(jié)合于此:2013年12月12日遞交的日本專利申請(qǐng) N0.2013-257364。
技術(shù)領(lǐng)域
[0003]本發(fā)明涉及網(wǎng)絡(luò)裝置以及網(wǎng)絡(luò)系統(tǒng)�。
【背景技術(shù)】
[0004]作為本技術(shù)領(lǐng)域的【背景技術(shù)】,有如下非專利文獻(xiàn):T.Matsumoto, Μ.Hata���,M.Tanabe, K.Yosh1ka, K.0ishi, uK Method of Preventing Unauthorized DataTransmiss1n in Controller Area Network����,��,����, Vehicular Technology Conference(VTCSpring),2012 IEEE 75th (2012)��。在該文獻(xiàn)中���,以“CAN以總線網(wǎng)絡(luò)為前提���,在所交換的消息中,不包括發(fā)送源�、接受方節(jié)點(diǎn)的信息,向同一總線內(nèi)的所有節(jié)點(diǎn)廣播�。另外�,無(wú)消息認(rèn)證���、發(fā)送源認(rèn)證功能����,所以能夠容易地冒充�。”為課題��,作為解決手段�����,記載有“利用作為CAN的特征的廣播通信���,成為冒充的對(duì)象的節(jié)點(diǎn)自身探測(cè)在總線上發(fā)送非法消息的情況,發(fā)送錯(cuò)誤消息�����,從而在偽裝消息的發(fā)送完成之前�,將其丟棄”。
【發(fā)明內(nèi)容】
[0005]在上述非專利文獻(xiàn)中����,未記載發(fā)送網(wǎng)絡(luò)裝置的安全性對(duì)策����。在發(fā)送網(wǎng)絡(luò)裝置受到攻擊而不能動(dòng)作的情況下���,在其他網(wǎng)絡(luò)裝置中無(wú)法檢測(cè)該攻擊�,所以難以防御���。在從攻擊中防御網(wǎng)絡(luò)裝置時(shí)�����,需要安全性模塊的采用�����、防止脆弱性的實(shí)裝的驗(yàn)證方法等高度的安全性對(duì)策���,在各個(gè)發(fā)送網(wǎng)絡(luò)裝置中需要對(duì)策成本。
[0006]根據(jù)本發(fā)明的第一方式���,提供一種網(wǎng)絡(luò)裝置�,通過(guò)總線與多個(gè)網(wǎng)絡(luò)裝置連接,其特征在于包括:認(rèn)證部����,基于消息認(rèn)證用信息進(jìn)行認(rèn)證,該消息認(rèn)證用信息包含于經(jīng)由所述總線由所述多個(gè)網(wǎng)絡(luò)裝置中的一個(gè)作為發(fā)送源裝置進(jìn)行發(fā)送的數(shù)據(jù)中����;以及加工部,在所述認(rèn)證失敗了的情況下���,判斷為所述發(fā)送源裝置冒充所述多個(gè)網(wǎng)絡(luò)裝置中的其他網(wǎng)絡(luò)裝置發(fā)送了非法數(shù)據(jù)���,使所述數(shù)據(jù)無(wú)效化。
[0007]根據(jù)本發(fā)明的第二方式�,網(wǎng)絡(luò)系統(tǒng)具備第一方式的網(wǎng)絡(luò)裝置、和所述發(fā)送源裝置���。
【附圖說(shuō)明】
[0008]圖1是示出具有本發(fā)明的各實(shí)施方式中的網(wǎng)絡(luò)裝置的網(wǎng)絡(luò)系統(tǒng)的一個(gè)例子的圖�。
[0009]圖2A���、圖2B以及圖2C是例示網(wǎng)絡(luò)系統(tǒng)內(nèi)部結(jié)構(gòu)的圖。
[0010]圖3是示出網(wǎng)絡(luò)裝置的結(jié)構(gòu)例的圖����。
[0011]圖4是示出網(wǎng)絡(luò)裝置的軟件模塊結(jié)構(gòu)的一個(gè)例子的圖����。
[0012]圖5A�、圖5B、圖5C以及圖是例示網(wǎng)絡(luò)上的通信協(xié)議中的數(shù)據(jù)構(gòu)造的圖����。
[0013]圖6是示出網(wǎng)絡(luò)上的通信協(xié)議中的數(shù)據(jù)長(zhǎng)編碼的一個(gè)例子的圖。
[0014]圖7A以及圖7B是例示網(wǎng)絡(luò)上的通信協(xié)議中的數(shù)據(jù)構(gòu)造的圖��。
[0015]圖8A以及圖SB是例示網(wǎng)絡(luò)上的通信協(xié)議中的數(shù)據(jù)構(gòu)造的圖�����。
[0016]圖9是示出網(wǎng)絡(luò)上的通信協(xié)議中的數(shù)據(jù)構(gòu)造的一個(gè)例子的圖����。
[0017]圖10是示出網(wǎng)絡(luò)上的通信協(xié)議中的數(shù)據(jù)構(gòu)造的一個(gè)例子的圖。
[0018]圖11是示出過(guò)濾表格的一個(gè)例子的圖�����。
[0019]圖12A以及圖12B是例示認(rèn)證步驟的圖���。
[0020]圖13是示出帶簽名的通信數(shù)據(jù)格式的一個(gè)例子的圖�����。
[0021]圖14是示出密鑰管理表格的一個(gè)例子的圖�����。
[0022]圖15是示出數(shù)據(jù)檢測(cè)時(shí)的控制部中的處理的流程圖����。
[0023]圖16是示出第二實(shí)施方式中的數(shù)據(jù)檢測(cè)時(shí)的控制部中的處理的流程圖。
[0024]圖17是示出第四實(shí)施方式中的數(shù)據(jù)檢測(cè)時(shí)的控制部中的處理的流程圖�����。
【具體實(shí)施方式】
[0025]以下��,說(shuō)明適合于本發(fā)明的實(shí)施方式��。主要說(shuō)明在移動(dòng)體例如車輛上所搭載的車載網(wǎng)絡(luò)等進(jìn)行數(shù)據(jù)發(fā)送接收的網(wǎng)絡(luò)中的裝置以及系統(tǒng)的動(dòng)作����。本發(fā)明適用于車載網(wǎng)絡(luò)裝置以及車載網(wǎng)絡(luò)中的數(shù)據(jù)發(fā)送接收系統(tǒng)��,但還能夠應(yīng)用于車載網(wǎng)絡(luò)裝置以及車載網(wǎng)絡(luò)中的數(shù)據(jù)發(fā)送接收系統(tǒng)以外的網(wǎng)絡(luò)裝置以及網(wǎng)絡(luò)系統(tǒng)。
[0026](第一實(shí)施方式)〈網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)> 圖1是示出具有本發(fā)明的第一實(shí)施方式中的網(wǎng)絡(luò)裝置的網(wǎng)絡(luò)系統(tǒng)的一個(gè)例子的圖����。圖1示出在汽車等移動(dòng)體的內(nèi)部具有網(wǎng)絡(luò)系統(tǒng)2的控制系統(tǒng)1、例如由車載網(wǎng)絡(luò)(CAN 〖Controller Area Network(控制器局域網(wǎng))�、CANFD:CAN with Flexible Data-rate (具有靈活數(shù)據(jù)率的CAN)、Ethernet (注冊(cè)商標(biāo))(以太網(wǎng))等)構(gòu)成的網(wǎng)絡(luò)系統(tǒng)2��。圖1示出與控制系統(tǒng)I的外部進(jìn)行無(wú)線通信(例如便攜電話的通信���、使用了無(wú)線LAN���、WAN等協(xié)議的通信)的無(wú)線通信部3、使用了與網(wǎng)絡(luò)系統(tǒng)2不同或者相同的協(xié)議的網(wǎng)絡(luò)系統(tǒng)4��。圖1示出例如具有診斷端子(OBD)��、Ethernet端子��、外部記錄介質(zhì)(例如USB存儲(chǔ)器�����、SD卡等)端子等,并且通過(guò)有線連接對(duì)網(wǎng)絡(luò)系統(tǒng)2進(jìn)行訪問(wèn)的有線通信部5��。圖1示出對(duì)網(wǎng)絡(luò)系統(tǒng)2以有線或者無(wú)線的方式連接�,接收從網(wǎng)絡(luò)系統(tǒng)2送出的數(shù)據(jù),顯示或者輸出消息信息(例如影像�、音)等必要的信息的、液晶顯示器�����、警告燈�����、揚(yáng)聲器等輸出裝置6����。網(wǎng)絡(luò)系統(tǒng)2與網(wǎng)絡(luò)系統(tǒng)4、無(wú)線通信部3����、有線通信部5、輸出裝置6等連接���,與各個(gè)發(fā)送接收信息��。
[0027]圖2A�、圖2B以及圖2C示出網(wǎng)絡(luò)系統(tǒng)2的內(nèi)部結(jié)構(gòu)例。圖2A�、圖2B以及圖2C示出構(gòu)成連接網(wǎng)絡(luò)上的網(wǎng)絡(luò)裝置的總線的多個(gè)網(wǎng)絡(luò)鏈路301�����。網(wǎng)絡(luò)鏈路301是例如CAN總線等網(wǎng)絡(luò)鏈路����。圖2A、圖2B以及圖2C示出與網(wǎng)絡(luò)鏈路301以及未圖示的硬件(例如傳感器�、致動(dòng)器)、網(wǎng)絡(luò)鏈路301以外的網(wǎng)絡(luò)鏈路(包括專用線)連接�,進(jìn)行硬件的控制以及與網(wǎng)絡(luò)的數(shù)據(jù)發(fā)送接收的EQJ (Electronic Control Unit:電子控制部件)302。圖2A���、圖2B以及圖2C示出連接多個(gè)網(wǎng)絡(luò)鏈路301���,與各個(gè)網(wǎng)絡(luò)鏈路進(jìn)行數(shù)據(jù)的發(fā)送接收的網(wǎng)關(guān)(以下稱為Gff)303ο
[0028]GW303有時(shí)與多個(gè)網(wǎng)絡(luò)鏈路連接,針對(duì)各個(gè)鏈路賦予ID而在內(nèi)部處理時(shí)識(shí)別是針對(duì)哪個(gè)鏈路的處理�。將進(jìn)行該識(shí)別的ID稱為鏈路ID。鏈路ID還稱為Channel ID���、或者域ID0
[0029]圖2A����、圖2B以及圖2C分別示出不同的網(wǎng)絡(luò)拓?fù)涞睦印D2A示出對(duì)構(gòu)成總線的2個(gè)網(wǎng)絡(luò)鏈路301a以及301b的各個(gè)連接了多個(gè)E⑶302的例子���。GW303中繼與網(wǎng)絡(luò)鏈路301a連接了的E⑶302和與網(wǎng)絡(luò)鏈路301b連接了的E⑶302之間的數(shù)據(jù)傳送�����。
[0030]圖2B示出多個(gè)ECU分別通過(guò)網(wǎng)絡(luò)鏈路301c�����、301d���、...、301e直接與GW303連接的星型��、和總線型的拓?fù)浠旌洗嬖诘睦?��?����?偩€由網(wǎng)絡(luò)鏈路301a以及301c��、301d�����、...��、301e構(gòu)成��。GW303中繼經(jīng)由網(wǎng)絡(luò)鏈路301a�����、301c�、301d���、...��、301e中的2個(gè)網(wǎng)絡(luò)鏈路的E⑶302之間的數(shù)據(jù)傳送�����。
[0031]圖2C示出在星型的拓?fù)渲胁迦肓碎_(kāi)關(guān)(以下稱為SW) 304的例子�。SW304在上行側(cè)通過(guò)網(wǎng)絡(luò)鏈路301f與GW303連接。SW304在下行側(cè)通過(guò)網(wǎng)絡(luò)鏈路301g����、301h、...�、301i,分別各連接了 I臺(tái)ECU302�����?�?偩€由網(wǎng)絡(luò)鏈路301a以及301f�����、301g���、301h��、...��、301i構(gòu)成���。SW304中繼經(jīng)由網(wǎng)絡(luò)鏈路301f��、301g�����、301h�����、...��、301i中的2個(gè)網(wǎng)絡(luò)鏈路的ECU302之間的數(shù)據(jù)傳送����。GW303中繼經(jīng)由網(wǎng)絡(luò)鏈路301a以及301f的E⑶302之間的數(shù)據(jù)傳送�。
[0032]GW303和E⑶302不限于物理上一定分離�。例如,也可以是具有GW功能的E⑶���、或者具有E⑶的功能的Gl
[0033]在本實(shí)施方式的說(shuō)明中���,關(guān)于網(wǎng)絡(luò)協(xié)議的變換,在GW303中進(jìn)行����,在SW304中不進(jìn)行�。本發(fā)明能夠應(yīng)用于GW303以及SW304中的任意一個(gè)�����。
[0034]在以下的說(shuō)明中���,將GW303��、E⑶302��、SW304等用網(wǎng)絡(luò)鏈路連接的裝置還稱為網(wǎng)絡(luò)
目.ο
[0035]在經(jīng)由網(wǎng)絡(luò)鏈路301的通信中����,以后述網(wǎng)絡(luò)協(xié)議(手續(xù))的形式�����,進(jìn)行通信��。根據(jù)后述協(xié)議��,針對(duì)在網(wǎng)絡(luò)裝置之間進(jìn)行發(fā)送接收的數(shù)據(jù)(以下還稱為通信數(shù)據(jù)或者有效負(fù)載)����,賦予在協(xié)議中決定了的頭來(lái)進(jìn)行通信�。
[0036]ECU302根據(jù)從網(wǎng)絡(luò)接收到的數(shù)據(jù)���,進(jìn)行向硬件的控制信號(hào)的輸出�����、向網(wǎng)絡(luò)的控制信號(hào)以及信息的輸出����、內(nèi)部狀態(tài)的變更等移動(dòng)體控制處理�����。
[0037]圖3是示出作為本發(fā)明的網(wǎng)絡(luò)裝置的GW303���、E⑶302或者SW304的內(nèi)部結(jié)構(gòu)的一個(gè)例子的圖。圖3示出具有高速緩存��、寄存器等存儲(chǔ)元件�,執(zhí)行控制的CPU等處理器401。圖3示出對(duì)網(wǎng)絡(luò)鏈路301進(jìn)行數(shù)據(jù)的發(fā)送接收的通信接口 402����。圖3示出使用未圖示的時(shí)鐘等���,進(jìn)行時(shí)間以及時(shí)刻的管理的定時(shí)器403。圖3示出保存程序以及非易失性的數(shù)據(jù)的ROM(Read Only Memory (只讀存儲(chǔ)器))404�����、保存易失性的數(shù)據(jù)的RAM (Random AccessMemory (隨機(jī)存取存儲(chǔ)器))405��、在E⑶內(nèi)部中的通信中使用的內(nèi)部總線406����。圖3示出保護(hù)密鑰信息等,進(jìn)行認(rèn)證�����、散列運(yùn)算�、加密、解密等運(yùn)算的安全性模塊407��。
[0038]通過(guò)使用安全性模塊407�����,能夠從非法訪問(wèn)中保護(hù)密鑰信息,削減認(rèn)證等處理負(fù)荷�����,但在防篡改性要求不強(qiáng)的情況下���,也可以不使用安全性模塊407��。
[0039]接下來(lái)���,圖4示出在CPU401中動(dòng)作的軟件模塊的結(jié)構(gòu)。圖4示出管理通信接口402的動(dòng)作以及狀態(tài)�,經(jīng)由內(nèi)部總線406對(duì)通信接口 402進(jìn)行指示的通信管理部502。圖4示出管理定時(shí)器403�,進(jìn)行與時(shí)間有關(guān)的信息取得、控制的時(shí)間管理部503�。圖4示出進(jìn)行從通信接口 402取得的數(shù)據(jù)的解析、軟件模塊整體的控制的控制部501�。圖4示出后述密鑰管理表格504、后述過(guò)濾表格505��、保留接收到的數(shù)據(jù)的緩沖器506�。
[0040]圖4是示出處理器401上的動(dòng)作概念的圖。處理器401通過(guò)各軟件模塊�����,從R0M404以及RAM405適宜地取得在動(dòng)作時(shí)必要的信息����,或者適宜地寫入到R0M404以及RAM405。另夕卜����,還有在后述加工處理、認(rèn)證處理中要求高速處理的情況���,所以圖4所示那樣的�、由控制部501實(shí)現(xiàn)的從通信接口 402取得的數(shù)據(jù)的解析也可以通過(guò)硬件實(shí)現(xiàn)���。
[0041]<網(wǎng)絡(luò)協(xié)議的例子:CAN以及CANFD〉圖5A���、圖5B、圖5C以及圖示出網(wǎng)絡(luò)鏈路301上的通信協(xié)議中的數(shù)據(jù)構(gòu)造的例子��。此處�,示出使用了 CAN以及CANFD的情況下的幀(還稱為網(wǎng)絡(luò)中的通信的I塊����、包)的數(shù)據(jù)構(gòu)造�,數(shù)值表示每個(gè)字段的比特?cái)?shù)。
[0042]在CAN以及CANFD中在同一網(wǎng)絡(luò)鏈路上連接的網(wǎng)絡(luò)裝置在發(fā)送時(shí)將總線信號(hào)設(shè)定為顯性(O)���,在發(fā)送時(shí)或者接收時(shí)探測(cè)總線信號(hào)的