中繼設備����、終端設備和通信方法
【專利摘要】中繼設備�����、終端設備和通信方法���。即使當執(zhí)行拜占庭故障類型攻擊的非法設備耦接到其它設備和中繼設備耦接的通信路徑時�,從通信路徑將非法設備排除在外��。在可與認證設備通信的中繼設備�、終端設備和其它設備通過通信路徑耦接的通信系統(tǒng)中,中繼設備�、終端設備等分別具有特有認證信息。中繼設備將它自身的認證信息和從終端設備收集的認證信息等發(fā)送到認證設備�����。認證設備基于接收的認證信息確定中繼設備��、終端設備等是否是可信設備����。中繼設備關閉自身和基于確定結果被確定為不可信的設備之間的通信�����,并且將關閉與被確定為不可信的設備的通信的通信控制信息發(fā)送到終端設備等�����。終端設備等關閉自身和基于通信控制信息被確定為不可信的設備之間的通信�。
【專利說明】中繼設備��、終端設備和通信方法
[0001]相關申請的交叉引用
[0002]于2015年I月27日提交的日本專利申請第2015-012877號的公開內容(包括說明書��、附圖和摘要)的全部內容通過引用合并于此���。
技術領域
[0003]本發(fā)明涉及通過通信路徑和通信方法與認證設備耦接的中繼設備和終端設備����。特別地��,本發(fā)明可優(yōu)選地用于認證中繼設備和終端設備�����。
【背景技術】
[0004]在分層構造的系統(tǒng)中����,從技術上保護系統(tǒng)免遭使得非法裝置參與系統(tǒng)的攻擊變得愈發(fā)重要。例如�,安裝有車載網絡的車輛被構造成能夠通過網關耦接到外部認證服務器并且可接收對車輛的認證。然而�����,即使當非法裝置耦接到車載網絡時�,也需要保護耦接到車載網絡的其它可信裝置免遭由非法裝置執(zhí)行的攻擊。
[0005]日本未經審查的專利申請公開(PCT申請的譯本)第2014-513349號公開了一種通過機器對機器(M2M)裝置來提供服務的方法�����。M2M裝置包括將包括認證信息的第一認證的請求發(fā)送到網絡安全單元(NSEC)的發(fā)送器和與發(fā)送器一起執(zhí)行可擴展認證協(xié)議(EAP)的控制器��,并且還包括當認證成功時通過使用主會話密鑰(MSK)和M2M裝置的認證信息中的至少一個來產生秘密密鑰的密鑰產生器��。這里�����,代表網絡安全單元的NSEC是網絡安全能力的縮寫���,EAP是可擴展認證協(xié)議的縮寫����,以及MSK是主會話密鑰的縮寫。
[0006]日本未經審查的專利申請公開第平11(1999)-088325號公開了一種認證系統(tǒng)��,該認證系統(tǒng)可通過提供控制管理器來保護信息免遭篡改和泄漏�����,該控制管理器具有基于拜占庭協(xié)議(Byzantine agreement)的認證功能和對網絡中的隱蔽信道的驗證/控制功能�。
[0007]日本未經審查的專利申請公開第2002-358226號公開了一種通過多個計算機來安全地分發(fā)和管理文件系統(tǒng)的方法。通過將目錄復制并且存儲在形成拜占庭協(xié)議的多個計算機(拜占庭組)中來確保安全性�,以及盡管將文件復制并且存儲在多個計算機中,但是通過不使用拜占庭協(xié)議來減小負載����。另外,可以通過將文件的內容的摘要值復制并且存儲在拜占庭組中來驗證所讀取的文件的內容是正確的��。
【發(fā)明內容】
[0008]本發(fā)明的發(fā)明人已經研究了日本未經審查的專利申請公開(PCT申請的譯本)第2014-513349號����、日本未經審查的專利申請公開第平11(1999)-088325號和日本未經審查的專利申請公開第2002-358226號,結果是�,本發(fā)明的發(fā)明人已發(fā)現(xiàn)了存在如下所述的新問題。
[0009]根據日本未經審查的專利申請公開(PCT申請的譯本)第2014-513349號中描述的技術����,即使當M2M網絡沒有直接與證書機構通信時,也可以安全地將認證密鑰傳遞到網絡中的網關����,使得可在網絡內部執(zhí)行設備認證。因此�,安全地激活設備,并且實現(xiàn)了設備之間的安全通信���。然而��,沒有描述對設備自身的認證�。因此���,不可能將非法設備排除在外�。
[0010]根據日本未經審查的專利申請公開第平11 (1999)-088325號中描述的技術�,即使當有可能通過隱蔽信道來篡改數(shù)據、或者認證系統(tǒng)中的系統(tǒng)管理員有可能行為錯誤時���,也可以發(fā)現(xiàn)信息被篡改或泄露�����。然而��,不可能將行為錯誤的系統(tǒng)管理員和行為錯誤的通用終端排除在外���。
[0011 ]根據日本未經審查的專利申請公開第2002-358226號中描述的技術�,即使當使得多個計算機中的一些在任意時間不可訪問被分發(fā)給多個計算機的文件時����,也可以以高可靠性來存儲文件并且以可訪問的方法來管理文件,同時可以防止被未經授權的用戶訪問�。然而,沒有描述從多個計算機中將非法計算機排除在外的方法��。
[0012]在如上所述的系統(tǒng)中���,不可能將執(zhí)行拜占庭故障類型攻擊的非法裝置排除在外��,在拜占庭故障類型攻擊中����,在非法裝置偽裝成正常裝置的同時��,非法裝置隨機執(zhí)行非法行為。這是因為�����,一般假設�,在這樣的系統(tǒng)中的網絡中出現(xiàn)通信錯誤�����,并且采用這樣的協(xié)議:如果在重復進行重試的同時獲得正確的響應�����,則假定通信正常���,使得一旦在網絡中獲得裝置之間的相互耦接認證���,就不可能將拜占庭故障類型攻擊與通信路徑上的錯誤區(qū)分開。
[0013]另外���,例如�,如日本未經審查的專利申請公開第平11 (1999)-088325號和日本未經審查的專利申請公開第2002-358226號中所描述的���,已知以下技術:在惡意裝置通過使用拜占庭協(xié)議而位于網絡中的前提下��,通過由整個委員會(council)系統(tǒng)進行決策來減少攻擊的影響�����。然而��,不可能將惡意裝置本身排除在外���。另外�,當整個系統(tǒng)中的惡意節(jié)點的比率增大時��,不可能防止諸如通信所需的計算成本劣化和通信的故障比率增大的情形�����,在最差的情況下���,出現(xiàn)系統(tǒng)失靈�����。特別地�����,如果在車載系統(tǒng)中出現(xiàn)系統(tǒng)失靈�,則存在會導致涉及人生命的嚴重事故,使得這是特別嚴重的�。
[0014]雖然以下將描述用于解決以上問題的手段,但是根據本說明書的描述和附圖����,其它問題和新特征將變得清楚�。
[0015]根據實施例,用于解決以上問題的手段如下所述�����。
[0016]如下所述地構造通信系統(tǒng)�����,在該通信系統(tǒng)中���,可與認證設備通信的中繼設備����、終端設備和其它設備通過通信路徑相耦接。
[0017]中繼設備���、終端設備和其它設備分別具有特有的認證信息����。中繼設備將其自身的認證信息發(fā)送到認證設備��。中繼設備從與通信路徑耦接的其它設備和終端設備收集認證信息���,并且將認證信息發(fā)送到認證設備��。認證設備具有基于接收到的認證信息確定中繼設備���、終端設備和其它設備是否是可信設備的設備認證的功能。
[0018]中繼設備從認證設備接收設備認證的結果���,關閉它自身和基于結果被確定為不可信的設備之間的通信�����,并且將通信控制信息發(fā)送到終端設備和其它設備以關閉與被確定為不可信的設備的通信����。終端設備和其它設備關閉它們自身和基于通信控制信息被確定為不可信的設備之間的通信。
[0019]以下簡要描述通過上述實施例獲得的效果���。
[0020]即使當執(zhí)行拜占庭故障類型攻擊的非法設備耦接到其它設備和中繼設備所耦接的通信路徑時��,也可以從通信路徑中將非法設備排除在外����。
【附圖說明】
[0021 ]圖1是示出基本構造的框圖��。
[0022]圖2是示出每個裝置的構造示例和設備認證的操作的說明圖��。
[0023]圖3是示出包括從多個制造商提供的多個裝置的系統(tǒng)的構造示例的示意性框圖�����。
[0024]圖4是裝置和認證設備之間的通信的說明圖���。
[0025]圖5是示出與圖1中示出的系統(tǒng)構造對應的認證信息的收集流程的示例的時序圖。
[0026]圖6是示出在圖5中示出的認證信息的收集流程中發(fā)送和接收的消息的示例的說明圖��。
[0027]圖7是示出當耦接新的下節(jié)點時的認證流程的示例的時序圖�����。
[0028]圖8是示出在圖7中示出的認證流程中發(fā)送和接收的消息的示例的說明圖。
[0029]圖9是示出使用非法節(jié)點信息作為通信控制信息的情況的流程的說明圖����。
[0030]圖10是示出使用經認證的節(jié)點信息作為通信控制信息的情況的流程的說明圖。
[0031]圖11是示出當耦接新的下節(jié)點時的認證流程的另一個示例的時序圖��。
[0032]圖12是示出在圖11中示出的認證流程中發(fā)送和接收的消息的示例的說明圖����。
[0033]圖13是示出第二實施例的系統(tǒng)構造示例的框圖。
[0034]圖14是示出第二實施例的另一個系統(tǒng)構造示例的框圖���。
[0035]圖15是示出共享總線類型耦接網絡中的通信數(shù)據包的構造示例的說明圖���。
[0036]圖16是示出當耦接到安裝在設備X上的總線類型網絡的ECU的數(shù)量增至5時的系統(tǒng)構造示例的框圖。
[0037]圖17是示出與圖16對應的其中ECU的數(shù)量為5的星型耦接網絡被安裝在設備X上的情況的系統(tǒng)構造示例的框圖����。
[0038]圖18是示出第三實施例的構造示例的框圖。
[0039]圖19是示出通過分層總線網絡形成圖18中示出的分層網絡的示例的說明圖�����。
[0040]圖20是示出用可與分層總線網絡等同的完整圖結構的網絡更換圖19中示出的分層總線網絡的示例的說明圖。
[0041]圖21是示出在圖20中示出的完整圖結構的網絡中通過諸如DHCP的手段形成生成樹(spanning tree)的示例的說明圖�����。
[0042]圖22是示出其中耦接有包括傳統(tǒng)ECU的多個ECU的總線類型網絡的構造示例的說明圖����。
[0043]圖23是示出在考慮可允許的通信路徑的同時可與圖22中示出的網絡結構等同的網絡結構的說明圖。
[0044]圖24是示出針對圖23中示出的總線類型網絡結構形成生成樹的示例的說明圖�。
[0045]圖25是示出第四實施例的構造示例的框圖。
[0046]圖26是示出第五實施例的構造示例的框圖���。
[0047]圖27是示出通過廣度優(yōu)先搜索等形成具有圖26中示出的一般圖結構的網絡的示例的說明圖���。
[0048]圖28是示出由于非法節(jié)點(圖27中的節(jié)點D)導致的虛假信息所形成的生成樹的示例的說明圖。
[0049]圖29是在將非法節(jié)點排除在外的狀態(tài)下重新形成的生成樹的示例���。
【具體實施方式】
[0050]將詳細描述實施例。
[0051 ] 第一實施例〈基本構思〉
[0052]圖1是示出基本構造的框圖���。設備(X)10包括節(jié)點(A至D)1�、2��、3_1和3_2,這些節(jié)點是可通過通信路徑4_1至4_3彼此通信的多個設備�。設備(X)可通過外部網絡5從用作網關的節(jié)點(A)與認證設備7通信。關于根據基本實施例的中繼設備和終端設備�,在通過通信路徑4_1至4_3耦接的通信系統(tǒng)中,如下所述地構造可與認證設備7����、終端設備(節(jié)點C和D)3j和3_2、以及其它設備(節(jié)點A)1通信的中繼設備(節(jié)點B)2����。中繼設備(節(jié)點B)2可通過上網關節(jié)點A(I)與耦接到外部網絡5的認證設備7通信。通信介質不需要一定是網絡�,可使用任何通信介質。
[0053]中繼設備(節(jié)點B)2����、終端設備(節(jié)點C和D)3j和3_2、以及其它設備(節(jié)點A)1中的每個具有特有的認證信息��。認證設備7具有用于基于每個設備的認證信息來確定中繼設備(節(jié)點B)2�、終端設備(節(jié)點C和0)3_1和3_2、以及其它設備(節(jié)點A)1中的每個是否是可信設備的設備認證的功能���。認證設備7保持行為正常的裝置的名單�����,S卩����,白名單。這里����,特有認證信息是用于驗證每個裝置可信的信息。特有認證信息例如是特有標識符(ID)�����。另外����,在確保防篡改性的狀態(tài)下,將特有ID和特有密鑰(共享密鑰)寫入每個裝置����,也就是說����,中繼設備(節(jié)點B)2�����、終端設備(節(jié)點C和D)3j和3_2�����、以及其它設備(節(jié)點A)l�。外部認證設備7包括列出諸如可信裝置的ID的認證信息的名單(白名單)����,使得認證設備7可通過使用白名單來驗證接收到的認證信息并且確定對應裝置是否是可信設備(設備認證的功能)。
[0054]中繼設備(節(jié)點B)2將其自身的認證信息發(fā)送到認證設備7���。當如圖1中所示存在上節(jié)點(節(jié)點A)1時�����,中繼設備(節(jié)點B)2通過網絡5將認證信息從上節(jié)點(節(jié)點A)1發(fā)送到認證設備7�����。此后或者與之并行地�����,中繼設備(節(jié)點B)2從與通信路徑4_2和4_3耦接的終端設備(節(jié)點C和D)3j和3_2收集認證信息���,并且通過網絡5將認證信息從上節(jié)點(節(jié)點A)1發(fā)送到認證設備7�。圖1中示出的上節(jié)點(節(jié)點A)1的位置高于中繼設備(節(jié)點B)2���,使得上節(jié)點(節(jié)點A)1沒有被包括在其認證信息應該被中繼設備(節(jié)點B)2收集的其它設備中���。然而,當另一個中繼設備的位置低于中繼設備(節(jié)點B)2時���,其它中繼設備被包括在其認證信息應該被中繼設備(節(jié)點B)2收集的其它設備中����。
[0055]認證設備7通過使用白名單來驗證接收到的認證信息�,確定對應裝置是否是可信設備,將確定結果發(fā)送到中繼設備(節(jié)點B)2�。中繼設備(節(jié)點B)2從認證設備7接收設備認證的結果,關閉中繼設備(節(jié)點B)2和基于結果被確定為不可信的設備之間的通信��,并且將用于關閉與被確定為不可信的設備的通信的通信控制信息發(fā)送到終端設備(節(jié)點C和D)3_l和3_2���。終端設備(節(jié)點C和D)3j和3_2關閉它們自身和基于通信控制信息被確定為不可信的設備之間的通信�����。這里����,通信控制信息是用于確定通信伙伴裝置是否可信并且關閉與不可信裝置的通信的控制信息�����。例如���,通信控制信息是列出非法裝置的ID的黑名單(非法節(jié)點信息)����。另一方面�����,通信控制信息可以是列出可信裝置的ID的白名單(經認證的節(jié)點信息)�����。
[0056]節(jié)點(A)I可被設置為一個中繼設備����。在圖1和第一實施例中���,示出以下構造:網關節(jié)點A(I)的位置高于用作中繼設備的節(jié)點(B)2的位置,以便清楚地表明中繼設備不需要一定是網關���。然而����,如圖1中所示的分層結構不是必要條件����。
[0057]由此,即使當執(zhí)行拜占庭故障類型攻擊的非法設備耦接到其它設備和中繼設備2所耦接的通信路徑4_1至4_3時�,也可以從通信路徑中將非法設備排除在外。另外�����,系統(tǒng)中的裝置無法以像拜占庭故障一樣的方式來表現(xiàn)行為�����,使得可獲得如下所述的效果。不可能與除了經過白名單認證的裝置之外的裝置通信���,使得不可能執(zhí)行惡意重定向����。如果對諸如ID的認證信息的請求沒有響應���,則假定認證失敗并且耦接被斷開。因此����,停止由非法設備對數(shù)據的中繼和對非法設備的數(shù)據的供應,并且防止數(shù)據被篡改��。即使當可能篡改數(shù)據時��,包括被篡改數(shù)據的通信數(shù)據也無法通過白名單認證���,使得被篡改數(shù)據被丟棄��。另外��,由于白名單系統(tǒng)����,可以分別使其中發(fā)現(xiàn)裝置因非法修改或竊取而受損的裝置無效。另外�����,與分層的認證系統(tǒng)的兼容性高���。通過將認證系統(tǒng)分層���,可以獲得由于秘密信息的分布式管理而導致的風險降低效果和由于認證服務器的負載分布而導致的可擴展性。
[0058]在上述設備認證之前通過通信路徑4 j至4_3彼此耦接的裝置在彼此執(zhí)行本地認證之后進行耦接���。例如�����,中繼設備節(jié)點(B)2與上網關節(jié)點A(I)以及終端設備(節(jié)點C和D)3_l和3_2執(zhí)行本地相互認證����。由此�����,建立用于執(zhí)行外部認證的通信路徑中的本地通信。
[0059]圖2是示出裝置(也就是說�����,中繼設備(節(jié)點B)2����、終端設備(節(jié)點C和0)3_1和3_2、以及其它設備(節(jié)點A)l)的構造示例和由認證設備7執(zhí)行的設備認證的操作的說明圖���。安全微計算機11安裝在每個裝置上。安全微計算機11是包括硬件安全模塊(HSM) 12的MPU(微處理器單元hMPU 11還包括通過總線18與HSM 12—起彼此互相耦接的CPU(中央處理單元)15���、RAM(隨機存取存儲器)16和外部接口(I/F) 17 ASM 12包括例如加密處理模塊13和保持諸如裝置特有標識符(ID)和裝置特有密鑰14的秘密信息的存儲設備���。保證了 HSM 12的防篡改性?����?赏ㄟ^各種已知技術來保證防篡改性��。例如����,它可被構造成使得無法通過光學上觀察存儲設備來讀取ID和特有密鑰的內容�,于是加密處理和解密處理所需的時間和消耗電流的波形不取決于ID和特有密鑰的值����,另外,它可被構造成使得HSM 12具有針對故障注入攻擊的抵抗性C3MPUl I還可包括R0M(只讀存儲器)�、中斷控制電路、直接存儲器存取控制器�、外圍功能模塊等?��?偩€18可以是分層的����。盡管沒有特別限制�����,但是通過使用例如CMOS(互補金屬氧化物半導體場效應晶體管)LSI(大規(guī)模集成電路)的已知制造技術����,在硅的單個半導體襯底等上形成MPU 11 ο
[0060]裝置特有ID和裝置特有密鑰是基于認證協(xié)議與認證設備7共享的標識符和共享密鑰(共享秘密KID是裝置的標識符。特有密鑰是裝置和認證設備之間共享的密鑰字符串���,是每個裝置特有的����,并且是與ID—起用于認證的秘密信息。當裝運MPU 11時�����,通過例如MPU 11的供應源將裝置特有ID和裝置特有密鑰寫入MPU 11中�。認證設備7例如是由MPU 11的供應源供應的認證設備。認證設備7保持與裝置特有密鑰對應的共享密鑰��,并且可認證裝置特有密鑰���。MPU 11的供應源將寫入正式裝運的MPU 11中的特有ID的名單作為可信ID名單(白名單)保持在認證設備7中,并且還保持與特有密鑰對應的共享密鑰��。
[0061]在裝置特有ID和裝置特有密鑰之中�����,裝置特有密鑰的安全性極為重要�。因此,只有在裝置特有密鑰被加密的狀態(tài)下�����,才可將裝置特有密鑰讀取到HSM 12外部。然而����,對裝置特有密鑰進行加密的方法是可選的。例如�����,可采用諸如公共密鑰密碼系統(tǒng)和共享密鑰密碼系統(tǒng)的已知加密方法����。
[0062]由加密處理模塊13對裝置特有ID和裝置特有密鑰進行加密。CPU15可通過總線18讀取被加密的裝置特有ID和裝置特有密鑰�,并且通過外部I/F 17將它們發(fā)送到外部網絡5。通過網絡5接收被加密的特有ID和特有密鑰的認證設備7通過使用由認證設備7保持的共享密鑰來執(zhí)行認證�,并且解密被加密的特有ID。認證設備7可通過將被解密成明文的裝置特有ID與由認證設備7保持的可信ID名單(白名單)進行比較來確定發(fā)送該裝置特有ID的裝置是否是可信MPU��。
[0063]圖3是示出包括從多個制造商提供的多個裝置的系統(tǒng)的構造示例的示意性框圖�����。如隨后描述的第二實施例中所詳細描述的�,設備(X)1例如是車輛�,通信路徑4_1至4_5例如是諸如CAN(控制器區(qū)域網絡)的車載網絡����,以及裝置A至F(1和3_1至3_5)例如是電子控制單元(ECU)。網絡和耦接到網絡的設備可以是除了車載網絡(CAN)和電子控制單元(ECU)之外的網絡和設備���,并且可變?yōu)槔玑t(yī)療網絡和耦接到醫(yī)療網絡的醫(yī)療器械��、或工業(yè)網絡和耦接到工業(yè)網絡的工業(yè)儀器���。另外,網絡可具有各種形式的網絡路徑����,不管是有線的還是無線的。例如�����,當網絡是車載網絡時����,網絡不僅是CAN����,而且可以是Flex Ray(注冊商標)或MOST(媒體導向系統(tǒng)傳輸)����。
[0064]如上所述���,供應安裝在每個裝置上的諸如安全微計算機的MPUll的制造商的數(shù)量不限于一個���。如圖3中所示,設備(X)1包括由T公司制造的網關裝置A(l)����、由R公司制造的裝置B和以3_1和3_2)、由S公司制造的裝置D和E(3_3和3_3)和由T公司制造的裝置F(3_5)�。關于認證,考慮以下的各種形式���,諸如安裝的MPU 11的供應源執(zhí)行認證���,裝置的供應源執(zhí)行認證,以及設備(X)1的制造商執(zhí)行認證���。因此��,如圖3中所示���,這些公司分別具有認證服務器(認證設備)7_1至7_3��。在這種情況下���,在網絡5中布置代理服務器(broker server)6。代理服務器6從設備(X)1共同地接收認證請求����,然后將認證信息分別分發(fā)給認證服務器7_1至7_3。由R公司制造的認證服務器7_1具有寫入由R公司制造的裝置的產品ID(bbbb和cccc)的名單�����,并且對由R公司制造的裝置執(zhí)行認證����。由S公司制造的認證服務器7_2具有寫入由S公司制造的裝置的產品ID(dddd和eeee)的名單,并且對由S公司制造的裝置執(zhí)行認證�。由T公司制造的認證服務器7_3具有寫入由T公司制造的裝置的產品ID(aaaa和ffff)的名單�����,并且對由T公司制造的裝置執(zhí)行認證。
[0065]將更詳細地描述裝置I和3_1至3_5與認證服務器7_1至7_3之間的通信�����。
[0066]圖4是裝置1(例如���,1�、3^����、3_2、3_3�、3_4、3_5或2)和認證設備7(例如�����,認證設備7_1��、7_2或7_3)之間的通信的說明圖��。裝置I保持例如用于認證的附屬(機構)�����、裝置特有ID和秘密信息(特有密鑰)作為認證信息。附屬(機構)在圖3中被表示為“售賣方ID”��。附屬(機構)是指示應該對裝置進行認證的認證設備7的機構的信息��?��?梢愿鶕欠癯晒?zhí)行認證來確定機構是否是附屬機構��。在這種情況下��,可從認證信息中將附屬(機構)排除在外�����。然而��,更優(yōu)選的是使用附屬(機構)���,因為代理服務器的處理可被簡化。裝置特有ID例如是當裝運裝置時由裝置的供應源寫入的ID����。用于認證的秘密信息(特有密鑰)被裝置的供應源的設備寫入或更新���,或者可通過與裝置的供應源的設備的通信而被更新��。裝置I將通過加密明文而獲得的被加密的文本發(fā)送到認證設備7��。接收被加密的文本的認證設備7解密被加密的文本����,以將它返回到明文并且驗證明文。對于從認證設備7到裝置I的通信����,同樣如此。認證設備7將通過加密明文而獲得的被加密的文本發(fā)送到裝置I�。接收被加密的文本的裝置I解密被加密的文本,以將它返回到明文并且驗證明文���。第三方無法產生被加密的文本�,并且第三方無法解密被加密的文本���。
[0067]將基于圖1中示出的系統(tǒng)構造更詳細地描述認證信息的收集流程和由認證設備7執(zhí)行的認證��。
[0068]圖5是示出與圖1中示出的系統(tǒng)構造對應的認證流程的示例的時序圖��。圖6是示出在圖5中示出的認證流程中發(fā)送和接收的消息的示例的說明圖��。上節(jié)點A(I)請求中間節(jié)點B(2)收集認證信息(Sl-1)���。接收收集認證信息的請求的中間節(jié)點B(2)請求耦接位置比中間節(jié)點B(2)低的下節(jié)點C和0(3_1和3_2)收集認證信息(S1-2和S1-3)��。下節(jié)點C(3_l)將下節(jié)點C特有的認證信息作為響應發(fā)送到中間節(jié)點B (2)(S1-4 )�����,并且下節(jié)點D (3_2)將下節(jié)點D特有的認證信息作為響應發(fā)送到中間節(jié)點B (2)(S1-5)����。中間節(jié)點B(2)組合來自下節(jié)點C和D (3_1和3_2)的響應和中間節(jié)點B(2)的認證信息�����,并且將組合后的信息作為響應發(fā)送到上節(jié)點A
(1)(Sl-6)0
[0069]如第三實施例中所詳細描述的���,可通過進一步在比中間節(jié)點B(2)低的位置設置中間節(jié)點來形成分層網絡����。在這種情況下���,認證信息收集的請求和對請求的響應的深度會受限�。例如,當深度限于I時���,執(zhí)行廣度優(yōu)先搜索�����。
[0070]圖7是示出當耦接新的下節(jié)點E(3_3)時的認證流程的示例的時序圖。圖8是示出在圖7中示出的認證流程中發(fā)送和接收的消息的示例的說明圖����。雖然圖5和圖6示出其中耦接并認證兩個下節(jié)點C和0(3_1和3_2)的流程,但圖7和圖8示出在此后進一步耦接下節(jié)點E(3_3)時的認證流程�。在圖7和圖8中,省略了已經被認證的下節(jié)點C和0(3_1和3_2)���,并且只示出了新耦接的下節(jié)點E(3_3)�。
[0071]檢測到耦接了新的下節(jié)點E(3_3)的中間節(jié)點B(2)向下節(jié)點E(3_3)發(fā)送認證信息收集請求(S2-1)���。下節(jié)點E(3_3)將下節(jié)點E(3_3)特有的認證信息作為響應發(fā)送到中間節(jié)點B(2)�。在接收到作為響應的下節(jié)點E(3_3)的認證信息之后���,中間節(jié)點B(2)將用于基于認證信息來認證下節(jié)點E(3_3)的請求發(fā)送到上節(jié)點A(I) (S2-3)��。這里�,已經認證了中間節(jié)點B
(2),使得中間節(jié)點B(2)只產生下節(jié)點E(3_3)的認證信息而不包括中間節(jié)點B(2)的認證信息����,并且將下節(jié)點E(3_3)的認證信息發(fā)送到上節(jié)點A(I)。下節(jié)點E(3_3)的認證請求被依次重定向到上節(jié)點并且到達認證設備7(S2-4)���。認證設備7通過參照由認證設備7保持的白名單來確定節(jié)點E(3_3)是否是可信設備��,并且將認證結果作為響應返回(S2-5)��。該響應被依次重定向到下節(jié)點�����,并且中間節(jié)點B(2)可接收認證結果(S2-6)��。
[0072]如以上參照圖5至圖8描述的�����,中間節(jié)點B(2)從認證設備7接收設備認證的結果(S2-6)�����。中間節(jié)點B(2)關閉它自身和基于結果被確定為不可信的設備之間的通信��,并且向下節(jié)點C���、D�、E(3j至3_3)發(fā)送關閉與被確定為不可信的設備的通信的通信控制信息���。下節(jié)點C、D�、E(3j至3_3)關閉它們自身和基于通信控制信息被確定為不可信的設備之間的通信。這里���,通信控制信息可以是用于表示通信伙伴裝置是否可信的確定結果并且關閉與不可信裝置的通信的控制信息��。例如��,通信控制信息可以是列出非法裝置的ID的非法節(jié)點信息�,或者相反地�,可以是列出可信裝置的ID的經認證節(jié)點信息。
[0073]圖9是示出使用非法節(jié)點信息作為通信控制信息的情況的流程的說明圖���。圖10是示出使用經認證節(jié)點信息作為通信控制信息的情況的流程的說明圖��。在圖9和圖10中���,只有下節(jié)點C(3_l)被示出為下節(jié)點��,以及其它下節(jié)點D和E(3_2和3_3)被省略���。然而,發(fā)送的消息是一樣的���。
[0074]如圖9中所示���,中間節(jié)點B(2)可從認證設備7接收非法節(jié)點信息作為設備認證的結果(S4-1),并且將非法節(jié)點信息作為通信控制信息發(fā)送到下節(jié)點C��、D和E(3j至3_3)(S4-2)0
[0075]如圖10中所示��,中間節(jié)點B(2)可從認證設備7接收經認證節(jié)點信息作為設備認證的結果(S5-1)��,并且將經認證節(jié)點信息作為通信控制信息發(fā)送到下節(jié)點C�、D和E(3_l至3_3)(S5-2)。
[0076]圖11是示出當耦接新的下節(jié)點E(3_3)時的認證流程的另一個示例的時序圖。圖12是示出在圖11中示出的認證流程中發(fā)送和接收的消息的示例的說明圖���。圖7和圖8示出當圖5和圖6中示出的兩個下節(jié)點C和D(3j和3_2)被認證并且此后下節(jié)點E(3_3)被新耦接時的認證流程�����。圖7和圖8示出其中中間節(jié)點B(2)檢測到新的下節(jié)點E(3_3)被耦接并且發(fā)送認證信息收集請求的流程�����。另一方面�����,這里�,將參照圖11和圖12描述當新耦接的下節(jié)點E(3_3)獨立地請求認證時的認證流程����。
[0077]新耦接到中間節(jié)點B(2)的下節(jié)點E(3_3)將基于下節(jié)點E(3_3)的認證信息的票證獲取請求發(fā)送到中間節(jié)點B(2)(S3-1)��。這里��,“票證”是僅可由可認證節(jié)點E(3_3)的認證設備產生的信息�����,以及認證設備7與節(jié)點E(3_3)共享節(jié)點E(3_3)的特有ID和密鑰,使得認證設備7可產生節(jié)點E (3_3)的票證�。從節(jié)點E (3_3)接收票證獲取請求的中間節(jié)點B (2)將票證獲取請求重定向到上節(jié)點A(l)(S3-2)。該請求被重定向直至認證設備7(S3-3)����,以及認證設備7產生節(jié)點E(3_3)的票證。此時���,只有當節(jié)點E(3_3)是可信裝置時�,認證設備7才可產生節(jié)點E(3_3)的票證�。例如,因為認證設備7與可信節(jié)點E(3_3)共享特有ID和密鑰�,所以認證設備7可產生可信節(jié)點E(3_3)的票證。然而��,當節(jié)點E(3_3)是不可信裝置時�,認證設備7無法產生對應的票證,因為認證設備7沒有與不可信裝置共享ID和密鑰����。由認證設備7產生的票證被依次重定向到下節(jié)點(S3-4和S3-5),以及中間節(jié)點B(2)接收票證并且將票證傳遞到節(jié)點E(3_3)(S3-6)0
[0078]由此���,當終端設備被新耦接到通信路徑時�,可以獨立地從新終端設備獲得要從通信路徑中被排出在外的非法設備的信息。
[0079]在第四實施例中��,將進一步詳細描述其中新添加的設備是如上所述的認證請求的對象的實施例����。
[0080]第二實施例〈兩步認證〉
[0081 ]圖13是示出第二實施例的系統(tǒng)構造示例的框圖。
[0082]在諸如車輛的設備(X)1中�����,安裝多個電子控制單元(ECU)��,也就是說��,網關ECU1����、ECU(B)3_0PECU(C)3_2,這些ECU通過網絡4_1至4_3(諸如設備內部的CAN)分層耦接�����。網關ECU I可通過外部網絡5與外部認證設備7通信�����。外部網絡5是任意的通信網絡����,不管是有線的還是無線的。網關ECU I可詢問位于外部網絡5上的認證設備7是否裝置(網關ECU UECU(B) 3_1和ECU (C) 3_2)的特有ID被包括在白名單中��。
[0083]在設備(X) 10啟動之后�,網關ECU 1、ECU(B)3_0PECU(C)3_2彼此進行認證并且建立耦接��。這是本地相互耦接認證�����。大約在這個時間����,網關E⑶I將作為網關E⑶I的認證信息并且處于加密狀態(tài)的ID和特有密鑰發(fā)送到認證設備7并且接收認證結果。
[0084]此后����,網關ECU I請求ECU(B)3_0PECU(C)3_2發(fā)送特有ID并且獲取認證信息,以便開始與每個ECU進行通信�����。這里,認證信息例如是每個ECU特有的ID和特有密鑰�。在認證信息被每個ECU加密的狀態(tài)下獲取認證信息。網關ECU I通過網絡5將從ECU(B)3_1和ECU(C)3_2獲取的認證信息發(fā)送到認證設備7并且請求認證���。接收到認證請求的認證設備7使用與每個ECU對應的接收到的特有密鑰和由認證設備7保持的共享密鑰來執(zhí)行認證協(xié)議以認證每個E⑶����,檢查ECU(B)3_1和E⑶(C)3_2的ID是否被包括在白名單中��,并且將以上認證結果返回到網關ECU I�。
[0085]這里,假設E⑶(B)3_l的外部認證成功而E⑶(C)3_2的外部認證失敗���。換句話講�����,假設ECU (B) 3_1的特有ID存在于由認證設備7保持的白名單中����,但ECU (C) 3_2的特有ID沒有存在于白名單中��?��;谡J證結果����,網關ECU I開始與外部認證成功的ECU(B)3_1的通信��,斷開與外部認證失敗的ECU(C)3_2的通信�,并且將ECU(C)3_2的認證失敗告知ECU(B)3_UECU(B)3_I接收以上信息并且斷開與E⑶(C)3_2的通信。
[0086]這里��,在進行本地相互耦接認證的狀態(tài)下�,允許通過通信路徑4 j至4_3發(fā)送和接收進行外部認證所需的最少消息,并且在外部認證成功之后����,只有外部認證成功的通信路徑可變成允許發(fā)送和接收特定控制信息的狀態(tài)。另一方面���,關于斷開外部認證失敗的ECU的通信路徑�����,可在物理層中切斷信號或者可在上邏輯層中丟棄信號�。在上述的示例中,斷開通信路徑4_2和4_3����。
[0087]如上所述,在設備(X)1中��,通過使用外部認證設備7執(zhí)行兩步認證�����,使得可以將無法只通過設備(X)1內部的信息而被排除在外的非法ECU(以上示例中的ECU(C)3_2)排除在夕卜��,并且可以確保系統(tǒng)的魯棒性�����。然而�,當設備(X)1是車輛并且每個ECU是車載電子控制單元時,如果通信無一例外都被斷開���,則認為車輛變得不能行駛��。因此��,它可被構造成詢問用戶(車輛駕駛員)是否斷開與被確定為非法的ECU的通信�����,并且根據用戶指令保持與被確定為非法的E⑶的通信���。
[0088]共享總線類型耦接
[0089]圖14是示出第二實施例的另一個系統(tǒng)構造示例的框圖。通過用共享總線類型耦接替代如上所述的星型耦接(圖13)來構造設備(X)1中的網絡�����。
[0090]—般�����,在共享總線類型耦接網絡中�,耦接在同一總線上的裝置被分別賦予單獨的地址,并且基于單獨的地址發(fā)送和接收信息����。在此描述中,假設將地址12.34.56.1�����、12.34.56.2和12.34.56.3分別分派給網關ECU 1�、ECU(B)3_0PECU(C)3_2��。在共享總線類型耦接網絡的通信中��,使用這些地址�����,并且將其中目的地地址和發(fā)送源地址被提供給作為有效載荷的發(fā)送數(shù)據的消息(數(shù)據包)發(fā)送到總線��。
[0091]圖15是示出共享總線類型耦接網絡中的通信數(shù)據包的構造示例的說明圖��。示出了從ECU(B)3_1發(fā)送到目的地(也就是說�,ECU(C)3_2)的數(shù)據包���。被定義為目的地的ECU(C)3_2的地址12.34.56.3和被定義為發(fā)送源的ECU( B)3_l的地址12.34.56.2被提供給作為有效載荷的發(fā)送數(shù)據���。
[0092]當這個數(shù)據包被發(fā)送到總線4時,網關ECUI沒有接收數(shù)據包����,因為被提供給數(shù)據包的目的地12.34.56.3并不對應于網關ECU I的12.34.56.1 <^0](03_2接收這個數(shù)據包,因為目的地對應于ECU(C)3_2的地址12.34.56.3�。因此,其中目的地是12.34.56.3并且發(fā)送源是12.34.56.2的通信可等同于圖13中示出的通信路徑4_3中的從ECU(B)3j發(fā)送到ECU(C)3_2的通信。
[0093]另一方面��,其中ECU(B) 3_1的地址12.34.56.2被定義為目的地并且ECU(C) 3_2的地址12.34.56.3被定義為發(fā)送源的數(shù)據包是從ECU(C)3_2到ECU(B)3_1的通信����。因此,其中目的地是12.34.56.2并且發(fā)送源是12.34.56.3的通信可等同于圖13中示出的通信路徑4_3中的從ECU(C)3_2發(fā)送到ECU(B)3_1的通信��。
[0094]以這種方式�,可假定總線上的E⑶(B)3_l和ECU(C)3_2之間的通信是一對一星型耦接的通信路徑4_3上的通信�。
[0095]以相同方式,可假定其中目的地是12.34.56.1并且發(fā)送源是12.34.56.2的通信和其中目的地是12.34.56.2并且發(fā)送源是12.34.56.1的通信是網關ECU I和ECU(B)3_1之間的一對一星型耦接的通信路徑4_1上的通信��。另外�,可假定其中目的地是12.34.56.1并且發(fā)送源是12.34.56.3的通信和其中目的地是12.34.56.3并且發(fā)送源是12.34.56.1的通信是網關E⑶I和E⑶(C) 3_2之間的一對一星型耦接的通信路徑4_2上的通信。
[0096]因此����,可基于其中各個EC以星形耦接的網絡(圖13),討論包括網關ECUUECU(B)3_0PECU(C)3_2的總線類型網絡(圖14)�����。
[0097]即使當耦接到總線的E⑶的數(shù)量增加時�,也可以進行類似的討論。
[0098]圖16是示出當耦接到安裝在設備(X)10上的總線類型網絡的ECU的數(shù)量增至5時的系統(tǒng)構造示例的框圖。網關E⑶I和E⑶(BI) 3_1至E⑶(B4) 3_4耦接到總線4����。
[0099]圖17是示出與圖16對應的其中E⑶的數(shù)量是5的星型耦接網絡被安裝在設備(X)1上的情況的系統(tǒng)構造示例的框圖。這可被假定為包括布線的星型耦接網絡�,其中布線的數(shù)量對應于發(fā)送源和目的地的組合的數(shù)量。在這種情況下��,網絡的結構是頂點(apex)數(shù)量為5的完整圖���。
[0100]此時���,可以實現(xiàn)每個網絡中的廣播通信,并且可在假設兩個網絡是相同的情況下討論這兩個網絡�。在圖16中示出的總線類型網絡中,網關E⑶I和ECU(B1)3_1至E⑶(B4)3_4的地址被分別定義為12.34.56.1至12.34.56.5����。此時,通過使用其最低有效位被掩蔽的地址值(諸如�����,12.34.56.*)作為目的地來實現(xiàn)從一個ECU(例如����,ECU(B1)3-1)到網關ECU I和其它ECU(ECU(B2)3_2至E⑶(B4)3_4)的廣播通信����。另一方面����,在圖17中示出的星型網絡中,通過同時將同一數(shù)據發(fā)送到通信路徑4_10����、4_12、4_13和4_14來實現(xiàn)廣播通信�����。
[0101]因此�����,即使當耦接到總線的ECU的數(shù)量增加時����,也可形成等效的星型網絡�,使得可以進行與對總線型網絡的討論類似的討論����。
[0102]雖然在第二實施例中描述了如圖13和圖14中所示的包括一個網關ECU和其它兩個ECU的設備X��,但是ECU的數(shù)量和網絡的結構可任意改變���。
[0103]第三實施例〈分層網絡〉
[0104]在上述的第二實施例中����,描述了在設備X中的通信路徑4中可任意改變ECU的數(shù)量和網絡的結構�。然而,包括通信路徑4的網絡可被分層���。即使當ECU的網絡具有多層樹結構時�����,也可以通過對每個層執(zhí)行認證并且增加可靠節(jié)點的數(shù)量來認證整個系統(tǒng)��。
[0105]圖18是示出第三實施例的系統(tǒng)構造示例的框圖�����。
[0106]在諸如車輛的設備(Y)1中�����,安裝包括網關ECU I的多個ECU����,網關ECU I可通過外部網絡5與外部認證設備7通信,以及這些E⑶通過網絡4_1至4_8(諸如�,設備內部的CAN)分層耦接。分別通過通信路徑4_1至4_4與網關ECU I直接耦接的ECU(B1)3_1����、ECU(B2)3_2、ECU(B3)2j和ECU(B4)3_3是第一層�。其中,ECU(B3)2_1是第二層的中繼設備(中間節(jié)點)�����。分別通過通信路徑4_5至4_7與中繼ECU(B3)2_1直接耦接的ECU(C1)3_4�����、ECU(C2)2_2�����、和ECU(C3)3_5是第二層���。其中���,ECU(C2)2_2是第三層的中繼設備(中間節(jié)點)。通過通信路徑4_8與中繼ECU(C2)2_2直接耦接的ECU(D)3_6是第三層��。與網關ECU I沒有直接耦接的ECU(C1 )3_4��、ECU(C2) 2_2����、ECU (C3) 3_5 和 ECU (D) 3_6 通過每個 ECU所耦接的中繼ECU (B3) 2_1 或中繼 ECU (C2)2_2與網關E⑶I或另一層中的E⑶通信。
[0107]在設備(Y)1啟動之后�,包括網關ECUI的多個ECU彼此執(zhí)行本地相互耦接認證并且建立耦接。大約在這個時間����,網關ECU I將作為網關ECU I的認證信息并且處于加密狀態(tài)的ID和特有密鑰發(fā)送到認證設備7并且接收認證結果。
[0108]此后�����,通過網關ECU I執(zhí)行用于接收對第一層中的每個ECU的外部認證的處理��。網關ECU I從第一層中的ECU(B1)3_1、ECU(B2)3_2��、ECU(B3)2_1 和ECU(B4)3_3收集認證信息�,并且將認證信息發(fā)送到認證設備7以請求認證。認證設備7使用白名單執(zhí)行認證�,并且將認證結果返回到網關ECU I。網關ECU I開始與第一層中的ECU(B1)3_1���、ECU(B2)3_2�����、ECU(B3)2_0PECU(B4)3_3之中的外部認證成功的ECU的通信���。本地相互認證之后的通信限于發(fā)送和接收外部認證的消息。然而�����,在這個階段中的通信中放開限制���。
[0109]隨后,通過經外部認證的中繼ECU(B3)2_1執(zhí)行用于接收對第二層中的每個ECU的外部認證的處理�。然而���,當對中繼ECU(B3)2j的外部認證失敗時,不執(zhí)行此后的認證處理����。中繼ECU(B3)2_1從第二層中的ECU(C1)3_4、ECU(C2)2_2和ECU(C3)3_5收集認證信息���,并且將認證信息發(fā)送到網關E⑶I以請求認證���。接收認證請求的網關ECU I將認證請求發(fā)送到認證設備7以請求認證。認證設備7使用白名單執(zhí)行認證�����,并且將認證結果返回到網關ECU I���。接收結果的網關ECU I將結果傳遞到中繼ECU(B3)2_1(重定向)�����。中繼ECU(B3)2_1開始與第二層中的E⑶(C1)3_4����、E⑶(C2)2_2和E⑶(C3)3_5之中的外部認證成功的E⑶的通信。
[0110]隨后���,通過經外部認證的中繼ECU(C2)2_2執(zhí)行用于接收對第三層中的每個ECU的外部認證的處理���。然而,當對中繼ECU (C2) 2_2的外部認證失敗時�����,不執(zhí)行此后的認證處理�����。中繼ECU(C2)2_2從第三層中的ECU(D)3_6收集認證信息��,并且將認證信息發(fā)送到中繼ECU(B3)2j以請求認證��。接收認證請求的ECU(B3)2j將請求重定向到網關ECU I�。從中繼ECU(B3)2_l接收請求的網關ECU I將請求發(fā)送到認證設備7以請求認證。認證設備7使用白名單執(zhí)行認證��,并且將認證結果返回到網關ECU I�。接收結果的網關ECU I將結果重定向到中繼E⑶(B3)2_l。接收被重定向的認證結果的中繼ECU(B3)2_1進一步將認證結果重定向到中繼ECU(C2)2_2。當ECU(D)3_6成功執(zhí)行外部認證時��,中繼ECU(C2)2_2開始與ECU(D)3_6的通信���。
[0111]如上所述,即使當ECU的網絡具有多層樹結構時���,也可以通過對每個層執(zhí)行認證并且增加可靠節(jié)點的數(shù)量來認證整個系統(tǒng)�。
[0112]當對ECU的外部認證失敗時����,網關ECU 1、中繼ECU(B3)2j或中繼ECU(C2)2_2斷開與認證失敗的ECU的通信���。當由于對第一層中的每個EQJ的外部認證而導致對ECU(B1 )3_1的認證失敗時�����,網關ECU I斷開與ECU(B1 )3_1的通信�����。當由于對第二層中的每個ECU的外部認證而導致對ECU(C1 )3_4的認證失敗時�,網關E⑶I將外部認證的結果重定向到中繼E⑶(B3)2j,并且中繼ECU(B3)2j斷開與ECU(C1)3_4的通信���。當由于對第二層中的每個E⑶的外部認證而導致對中繼ECU(C2) 2_2的認證失敗時���,網關ECU I將外部認證的結果重定向到中繼ECU(B3)2_1,并且中繼ECU(B3)2_1斷開與中繼ECU(C2)2_2的通信�����。結果�,不對第三層中的ECU(D)3_6執(zhí)行外部認證。
[0113]在以上描述中���,描述了對每個層順序執(zhí)行用于接收外部認證的處理的實施例�。然而���,可共同地執(zhí)行處理的全部或一部分�����。
[0114]在設備(Y)10啟動之后��,包括網關ECU I的多個ECU彼此執(zhí)行本地相互耦接認證并且建立耦接�����。大約在這個時間��,網關ECU I將作為網關ECU I的認證信息并且處于加密狀態(tài)的ID和特有密鑰發(fā)送到認證設備7并且接收認證結果����。
[0115]首先���,網關ECUI請求第一層中的ECU(BI)3_1��、ECU(B2)3_2����、ECU(B3)2_1 和ECU(B4)3_3來收集認證信息�����。中繼ECU(B3)2_1請求第二層中的ECU(C1)3_4�����、ECU(C2)2_2和ECU(C3)3_5來收集認證信息�����。中繼E⑶(C2) 2_2請求第三層中的E⑶(D) 3_6來收集認證信息。
[0116]第一層中的ECU(B1 )3_1�、ECU(B2)3_2和ECU(B4)3_3將它們自身的認證信息作為響應返回到網關ECU I。第二層中的ECU(C1)3_4和ECU(C3)3_5將它們自身的認證信息作為響應返回到中繼ECU(B3)2_1�����。第三層中的ECU(D)3_6將它自身的認證信息作為響應返回到中*|ECU(C2)2_2��。
[0117]網關ECU I存儲從ECU(B1)3_1���、ECU(B2)3_2和ECU(B4)3_3接收的認證信息�,并且等待來自中繼ECU(B3)2_1的響應。中繼ECU(B3)2_1存儲從ECU(C1)3_4和ECU(C3)3_5接收的認證信息,并且等待來自中繼E⑶(C2)2_2的響應�����。
[0118]中繼E⑶(C2)2_2將從E⑶(D) 3_6接收的認證信息和它自身的認證信息作為響應返回到中繼 ECU(B3)2_1�。中繼 ECU(B3)2_1 將從 ECU(C2)2_2 接收的 ECU(D)3_6 和 ECU(C2)2_2 的認證信息��、從E⑶(Cl) 3_4和ECU (C3) 3_5接收的存儲的認證信息��、和它自身的認證信息作為響應返回到網關ECUl�。網關ECU I組合從中繼ECU (B3) 2_1接收的ECU (D) 3_6��、ECU (C2) 2_2���、ECU (CI) 3_4、ECU (C3) 3_5 和ECU (B3) 2_1 的認證信息���、存儲的 ECU (BI) 3_1�����、ECU (B2) 3_2和ECU(B4)3_3的認證信息、和它自身的認證信息����,并且將對組合后的認證信息的認證請求發(fā)送到認證設備7。
[0119]認證設備7對接收到的每條認證信息執(zhí)行認證�����,并且將認證結果返回到網關ECUI�����。網關E⑶I基于外部認證結果將經認證節(jié)點信息發(fā)送到第一層中的E⑶(BI)3_1��、ECT(B2)3_2、ECU(B3)2_1和ECU(B4)3_3�����。中繼ECU(B3)2_1將從網關ECU I接收的經認證節(jié)點信息重定向到第二層中的 ECU (CI) 3_4����、ECU (C2) 2_2 和 ECU (C3) 3_5。中繼 ECU (C2) 2_2 將從中繼 ECU(B3)2_l接收的經認證節(jié)點信息重定向到第三層中的ECU(D)3_6����。這里,可進行改變����,使得發(fā)送和接收非法節(jié)點信息而不是經認證節(jié)點信息。
[0120]以這種方式��,完成對整個設備(Y)10的外部認證�����。
[0121]將描述當在這里描述的認證方法中混有非法節(jié)點(不可信ECU)時執(zhí)行的操作����。作為示例���,假設中繼ECU(C2) 2_2是非法節(jié)點(不可信ECU)。對認證信息的收集請求和響應與上述的那些相同�,網關ECU I組合ECU(B1)3_1、ECU(B2)3_2��、ECU(B3)2_1�、ECU(B4)3_3、ECU(C1)3_4��、ECU (C2) 2_2�����、ECU (C3) 3_5和ECU (D) 3_6的認證信息和網關ECU I的認證信息��,并且將對組合后的認證信息的認證請求發(fā)送到認證設備7 ο認證設備7對接收到的每條認證信息執(zhí)行認證��,并且將認證結果返回到網關ECU I�。在這種情況下����,認證信息包括指示對ECU(C2)2_2的認證失敗(因為ECU(C2)2_2是非法裝置)的結果和指示對其它ECU成功認證的結果。
[0122]從認證設備7接收認證結果的網關ECUI參照認證結果���,并且將非法節(jié)點信息發(fā)送到第一層中的 ECU(Bl)3j�、ECU(B2)3_2、ECU(B3)2_l 和 ECU(B4)3_3 之中的認證成功的 ECU�。在這個示例中,對第一層中的每個ECU的認證成功����,使得網關ECU I將非法節(jié)點信息發(fā)送到第一層中的所有ECU。中繼ECU(B3)2j參照從網關ECU I接收的非法節(jié)點信息�,并且將非法節(jié)點信息發(fā)送到第二層中的ECU(C1)3_4、ECU(C2)2_2和ECU(C3)3_5之中的認證成功的ECU��。在這個示例中��,對ECU(C1)3_^PECU(C3)3_5的認證成功�,使得中繼ECU(B3)2_1將非法節(jié)點信息發(fā)送到ECU(C1)3_^PECU(C3)3_5。然而���,對ECU(C2)2_2的認證失敗�,使得中繼ECU(B3)2_1斷開與中繼E⑶(C2)2_2的通信�。結果,非法節(jié)點信息沒有被發(fā)送到比中繼E⑶(C2)2_2低的ECU(D)3_6����,并且ECU(D)3_6無法與其它ECU通信����,而不管ECU(D)3_6是可信的還是不可信的����。
[0123]隨后,網關ECU I將經認證節(jié)點信息發(fā)送到第一層中的ECU(B1)3_1�、ECU(B2)3_2、ECU (B3) 2_1和ECU (B4) 3_3���。從網關ECU I接收經認證節(jié)點信息的中繼ECU (B3) 2 j將經認證節(jié)點信息重定向到除了被通知為非法節(jié)點的ECU(C2)2_2之外的ECU(C1)3_4和ECU(C3)3_5���。盡管認證節(jié)點信息此時包括ECU(D)3_6,但是每個節(jié)點無法與ECU(D)3_6通信�,使得如果確定信息不是必需的,則每個節(jié)點可丟棄ECU(D) 3_6的信息�����。
[0124]如上所述���,當對ECU(C2) 2_2的外部認證(使用白名單進行的認證)失敗時,將ECU(C2)2_2不是正常裝置通知給其它裝置,并且使得其它裝置斷開與ECU(C2)2_2的通信��。另夕卜����,不可能保證通過ECU(C2)2_2進行的通信的安全性,使得不執(zhí)行與比ECU(C2)2_2低的層中耦接的ECU(D)3_6的通信��。然而�����,當設備(Y) 10是車輛并且每個ECU是車載電子控制單元時����,如果通信無一例外都被斷開,則認為車輛變得不能行駛����。因此,它可被構造成詢問用戶(車輛駕駛員)是否斷開與被確定為非法的ECU的通信�����,并且根據用戶指令保持與被確定為非法的E⑶的通信����。
[0125]如上所述����,即使當裝置(E⑶)之間的通信需要經過多個裝置時�,也可以通過逐步地確保通信的安全性來保證整個系統(tǒng)的安全性。即使當在系統(tǒng)中混有非法裝置時�,非法裝置的效果也可限于屬于只可由非法裝置訪問的下部區(qū)域的裝置。
[0126]另外�����,將描述實現(xiàn)圖18中示出的分層網絡的分層總線網絡和使用生成樹的樹型結構之間的對應關系�����。
[0127]圖19是示出通過分層總線網絡形成圖18中示出的分層網絡的示例的說明圖����。以與圖18中相同的方式,在設備(Y)1中����,安裝包括網關ECU I的多個ECU�,網關ECU I可通過外部網絡5與外部認證設備7通信,并且這些ECU通過形成設備內部的分層總線網絡的總線4_21和4_22以及一對一通信路徑4_8而分層耦接?��?偩€4_21將網關E⑶I和第一層中的ECU(B1)3_
1�、ECU(B2)3_2�����、ECU(B3)2_1 和 ECU(B4)3_3 相互耦接���。此時�,ECU(B3)2_1 是第二層的中繼設備(中間節(jié)點)�����?���?偩€ 4_22 將中繼 ECU(B3)2_1 和第二層中的 ECU(C1)3_4、ECU(C2)2_2 和 ECU(C3)3_5相互耦接���。此時��,EOT(C2)2_2是下層的中繼設備(中間節(jié)點)�����。通過一對一通信路徑4_8直接耦接的中繼E⑶(C2) 2_2和E⑶(D) 3_6是分層總線網絡的第三層���。
[0128]圖20是示出用可等同于分層總線網絡的完整圖結構的網絡替換圖19中示出的分層總線網絡的示例的說明圖���。可用包括通信路徑4_1至4_4和4_10至4_15的完整圖結構的網絡替換圖19中的第一層中的總線4_21����。可用包括通信路徑4_5至4_7和4_16至4_18的完整圖結構的網絡替換圖19中的第二層中的總線4_22���。以這種方式����,可假定整個網絡是其中多個完整圖通過中繼ECU耦接的結構���。在圖20中示出的示例中���,總線4_21可等同于具有5個頂點的完整圖,總線4_22可等同于具有4個頂點的完整圖�,并且使用中繼ECU(B3)2_1作為節(jié)點來親接完整圖�。
[0129]在總線類型網絡中通過諸如DHCP(動態(tài)主機配置協(xié)議)的手段來檢測網關的操作等效于形成圖的生長樹�����。作為形成生長樹的手段���,除了DHCP之外,還可選擇依照系統(tǒng)的方法����,諸如寬度優(yōu)先搜索和深度優(yōu)先搜索。在配置固定的系統(tǒng)中��,可以通過使得每個ECU存儲與網絡結構相關的信息�����,更有效地形成生長樹�。
[0130]圖21是示出在圖20中示出的完整圖結構的網絡中通過諸如DHCP的手段形成生成樹的示例的說明圖。第一層導致網關ECU I以及ECU(B1)3_1��、ECU(B2)3_2�、ECU(B3)2_1和ECU(B4)3_3分別通過通信路徑4_1至4_3(實線)耦接而成的樹結構。第二層導致中繼ECU(B3)2_I以及第二層中的ECU(C1)3_4����、ECU(C2)2_2和ECU(C3)3_5分別通過通信路徑4_5至4_7(實線)耦接而成的樹結構�。以這種方式���,通過使用生長樹���,分層總線結構網絡中的外部認證的過程可導致樹型結構中的認證。關于通過拜占庭故障類型攻擊而形成故障生長樹的問題����,可以通過假設安全推理來確保完全性。
[0131]接下來��,將描述只可與特定E⑶通信的傳統(tǒng)E⑶被耦接在總線上的情況�。
[0132]圖22是示出其中包括傳統(tǒng)ECU的多個ECU所耦接的總線類型網絡的構造示例的說明圖。為了簡化描述����,總線只有一層,并且網關ECU 1�����、ECU(B)3_1��、ECU(C)3_2和傳統(tǒng)ECU(D)3_3耦接到總線4。盡管傳統(tǒng)ECU(D)3_3耦接到總線4�,但傳統(tǒng)ECU(D)3_3只可與ECU(C)3_2通信并且無法與其它E⑶通信。
[0133]圖23是示出在考慮可允許的通信路徑的同時可等同于圖22中示出的網絡結構的網絡結構的說明圖�����。這種情況下的網絡結構可等同于以下結構:在網關ECU 1�、ECU(B)3_0PECU(C)3_2之間形成通信路徑4_1至4_3��,并且只在傳統(tǒng)ECU(D)3_3和ECU(C)3_2之間形成通fg路徑4_4����。
[0134]通過形成這種情況的生長樹,形成如圖24中所示的樹結構�����。對于將總線分層的情況����,同樣如此。
[0135]如上所述��,另外在總線中包括只可與特定節(jié)點通信的傳統(tǒng)節(jié)點的情況下���,通過使用生長樹��,分層總線結構網絡中的外部認證的過程可導致樹型結構中的認證�����。
[0136]第四實施例〈來自終端的票證請求〉
[0137]在第四實施例中����,將描述在包括已經被外部認證的多個ECU的設備中進一步添加新的未經認證E⑶的情況下進行的外部認證。
[0138]圖25是示出第四實施例的系統(tǒng)構造示例的框圖����。
[0139]在諸如車輛的設備(Z)1中,安裝包括網關ECU I的多個ECU����,網關ECU I可通過外部網絡5與外部認證設備7通信,這些E⑶通過網絡4_1和4_2(諸如��,設備內部的CAN)分層耦接�����。中繼ECU(B)2_1、ECU(C)3_1和ECU(D)3_2通過總線耦接����,并且已完成了對這些ECU的外部認證O將描述通過總線4_2在以上構造中新親接未經認證E⑶(E) 3_3的情況。
[0140]ECU(E)3_3無法直接與網絡5通信����。另外,在E⑶(E)3_3耦接到設備(Z)的時間點���,ECU(E)3_3 沒有與直接耦接到 ECU(E)3_3 的 ECU(C)3 j 和 ECU(D)3_2�����、通過 ECU(C)3_1 和 ECU(D) 3_2耦接的中繼ECU(B) 2_1、以及中繼ECU(B) 2_1的上層中的網關ECU I的有效性相關的信息�����。在這種狀態(tài)下����,如果ECU(E)3_3分別從與ECU(E)3_3耦接的ECU(C)3_0PECU(D)3_2接收到與非法節(jié)點信息和經認證節(jié)點信息相關并且彼此沖突的通知,則E⑶(E)3_3無法確定哪個通知是可靠的��,除非預先向ECU(E)3_3提供可靠信息。
[0141]這里�����,假設對網關ECU 1�����、中繼ECU(B)2j和ECU(C)3_1的外部認證成功并且對ECU(D)3_2的外部認證失敗����。
[0142]在ECU(E)3_3開始操作之后,ECU(E)3_3向與ECU(E)3_3直接耦接的ECU(C)3j和E⑶(D)3_2兩者請求票證���。這里���,票證是僅可由共享ECU(E)3_3的認證信息(諸如,特有ID和特有密鑰)的認證設備產生的信息����。票證包括僅可由ECU(E)3_3的供應源的設備產生的加密文本。E⑶(E)3_3可通過解密和驗證票證來確認票證是通過外部網絡正常且可靠地發(fā)送的�。
[0143]發(fā)送到ECU(C)3_1的票證獲取請求被重定向到中繼ECU(B)2_1,被進一步重定向到網關ECU I���,并且通過網絡5從網關ECU I發(fā)送到認證設備7���。認證設備7基于由認證設備7保持的E⑶(E) 3_3的認證信息來產生E⑶(E) 3_3的票證���。當認證設備7無法產生票證時,認證設備7基于ECU(E) 3_3的認證信息將票證獲取請求發(fā)送到ECU(E) 3_3的供應源認證設備�,通過供應源認證設備產生E⑶(E)3_3的票證,并且票證可被發(fā)送到認證設備7��。
[0144]另一方面��,對ECU(D)3_2的外部認證失敗����,使得ECU(D)3_2的通信被中繼ECU(B)2_1斷開���。因此�����,E⑶(D)3_2無法將票證獲取請求重定向到諸如中繼E⑶(B)2_l的上部節(jié)點�����。
[0145]由認證設備7或ECU(E)3_3的供應源認證設備產生的票證通過網絡5從認證設備7發(fā)送到網關ECU I���,從網關ECU I重定向到中繼E⑶(B)2_l���,并且被進一步重定向到中E⑶(C)3_1。與ECU(D)3_2的通信被斷開��,使得票證沒有從中繼ECU(B)2_1發(fā)送到ECU(D)3_2����。結果,票證從ECU (C) 3_1發(fā)送到ECU (E) 3_3�,但沒有從ECU (D) 3_2發(fā)送。
[0146]E⑶(E)3_3通過解密和驗證票證來確認票證是通過外部網絡正常且可靠地發(fā)送的���。在發(fā)送票證獲取請求的ECU(C)3_1和ECU(D)3_2之中���,ECU(E)3_3識別將票證返回的ECU(C)3j作為可信裝置,并且建立與ECU(C)3_1的通信�。另一方面,ECU(E)3_3確定ECU(D)3_2為不可信裝置�����,并且斷開與ECU(D)3_2的通信。然而�����,當設備(Z)1是車輛并且每個ECU是車載電子控制單元時����,如果通信無一例外都被斷開,則認為車輛變得不能行駛����。因此,它可被構造成詢問用戶(車輛駕駛員)是否斷開與被確定為非法的ECU的通信�,并且根據用戶指令保持與被確定為非法的ECU的通信。
[0147]由此�����,即使當裝置(ECU(E)3_3)無法直接與系統(tǒng)外部通信時��,裝置(ECU(E)3_3)也可驗證裝置(ECU (E) 3_3)所耦接的裝置和系統(tǒng)的有效性��。
[0148]第五實施例〈分布式哈?����!?br>[0149]在第五實施例中�,將描述設備V(1)具有包括沒有相互認證功能的傳統(tǒng)P2P網絡的通信路徑的實施例。
[0150]圖26是示出第五實施例的構造示例的框圖�����。
[0151]在設備V(1)中��,安裝可通過外部網絡5與外部認證設備7通信的網關節(jié)點A(l)����、中繼節(jié)點B(2)和其它節(jié)點C至1(3_1至3_7),這些節(jié)點通過包括網絡路徑4_1至4_11的內部網絡4分層耦接�。在下面的描述中,假設在通過通信路徑4_1耦接的網關節(jié)點A(I)和中繼節(jié)點B
(2)之間建立相互認證�����,而中繼節(jié)點B(2)和其它節(jié)點C至1(3_1至3_7)之間的通信路徑以及其它節(jié)點之間的通信路徑是沒有相互認證功能的傳統(tǒng)P2P網絡��。盡管節(jié)點C至1(3_1至3_7)中的某些可用作其它節(jié)點的中繼節(jié)點�����,但這些節(jié)點不一定在它們的名字中帶有“中繼”�。
[0152]以與上述實施例相同的方式�����,還可通過定義設備V(1)是車輛并且每個節(jié)點是ECU來實現(xiàn)本實施例�����?���?砂磁c上述實施例中相同的方式對網關節(jié)點A(1)和中繼節(jié)點B (2)進行外部認證����。
[0153]特有分布式哈希值9_0至9_7被分別分派給沒有相互認證功能的中繼節(jié)點B(2)和其它節(jié)點C至I (3 j至3_7)。在傳統(tǒng)P2P網絡中�����,根據分布式哈希值執(zhí)行節(jié)點之間的通信�����。例如�,當節(jié)點B(2)與節(jié)點H(3_6)通信時,節(jié)點B(2)通過使用節(jié)點H(3_6)的分布式哈希值9_6來搜索路徑�。在這種情況下,節(jié)點E (3_3)��、節(jié)點F (3_4)和節(jié)點G(3_5)直接耦接到節(jié)點H(3_6)�,使得節(jié)點E(3_3)、節(jié)點F(3_4)和節(jié)點G(3_5)可與節(jié)點H(3_6)中繼通信���。節(jié)點B(2)將被給予了作為通信目的地的節(jié)點H(3_6)的分布式哈希值9_6的數(shù)據發(fā)送到與節(jié)點B(2)直接耦接的節(jié)點C(3_l)�、節(jié)點D(3_2)和節(jié)點F(3_4)���。因為節(jié)點C(3_l)具有與接收到的分布式哈希值9_6不同的分布式哈希值9_1�,所以節(jié)點C (3_1)沒有響應���,并且因為節(jié)點C (3_1)是網絡的末尾���,所以沒有重定向數(shù)據。因為節(jié)點D (3_2)具有與接收到的分布式哈希值9_6不同的分布式哈希值9_2�,所以節(jié)點D(3_2)沒有響應,但是因為節(jié)點C(3_l)不是網絡的末尾�,所以將數(shù)據重定向到與節(jié)點D(3_2)直接耦接的節(jié)點E(3_3)。因為節(jié)點D(3_4)具有與接收到的分布式哈希值9_6不同的分布式哈希值9_4�����,所以節(jié)點F (3_4)沒有響應,但是因為節(jié)點F (3_4)不是網絡的末尾���,所以將數(shù)據重定向到與節(jié)點F(3_4)直接耦接的節(jié)點G(3_5)��、節(jié)點H(3_6)和節(jié)點I(3_7)���。因為接收到的分布式哈希值9_6對應于節(jié)點H( 3_6)本身的分布式哈希值9_6,所以節(jié)點H(3_6)響應于節(jié)點F(3_4)����,并且節(jié)點F(3_4)將響應重定向到與節(jié)點B(2)。以相同方式���,可在節(jié)點B(2)_節(jié)點D(3_2)_節(jié)點E(3_3)_節(jié)點H(3_6)的路徑中��、節(jié)點B(2)_節(jié)點D(3_2)_節(jié)點E(3_3)_節(jié)點G(3_5)_節(jié)點H(3_6)的路徑中和節(jié)點B(2)_節(jié)點F(3_4)_節(jié)點G(3_5)_節(jié)點H(3_6)的路徑中建立節(jié)點B (2)和節(jié)點H( 3_6)之間的通信�����。
[0154]即使當網絡4以這種方式具有一般圖結構�����,也可以通過預先形成圖的生長樹并且對生長樹執(zhí)行分層認證來認證網絡上的所有節(jié)點���。
[0155]圖27是示出通過廣度優(yōu)先搜索等形成具有圖26中示出的一般圖結構的網絡的示例的說明圖����。通過圖27中的實線4_2�����、4_3�����、4_4��、4_5�����、4_8����、4_9和4_10示出通過廣度優(yōu)先搜索形成的生長樹�����。然而,除了附圖中示出的方法和結構之外�����,還可存在用于形成生長樹的多種方法和多種生長樹結構���。當可形成網絡的生長樹時��,可以如第三實施例中所描述地在分層網絡中應用裝置認證���。具體地講,在設備(V)1啟動之后�����,網關節(jié)點A(I)與中繼節(jié)點B(2)執(zhí)行本地相互耦接認證并且建立耦接�。大約在這個時間,網關節(jié)點A(I)將作為網關ECU I的認證信息并且處于加密狀態(tài)的ID和特有密鑰發(fā)送到認證設備7并且接收認證結果�����。隨后��,網關節(jié)點A( I)請求中繼節(jié)點B (2)收集認證信息。
[0156]被請求收集認證信息的中繼節(jié)點B(2)請求與中繼節(jié)點B (2)直接親接的節(jié)點C (3 _
1)���、節(jié)點D(3_2)和節(jié)點F(3_4)收集認證信息����。這里����,中繼節(jié)點B(2)和每個節(jié)點之間的通信沒有本地相互認證手段���。然而�����,可以通過使用分派給每個節(jié)點的分布式哈希值來執(zhí)行通信��。中繼節(jié)點B(2)通過將分別分派給節(jié)點C(3_l)�、節(jié)點D(3_2)和節(jié)點F(3_4)的分布式哈希值9_1���、9_2和9_4分別發(fā)送到節(jié)點C(3_l)�、節(jié)點D(3_2)和節(jié)點F(3_4)來請求節(jié)點C(3_l)�����、節(jié)點D(3_
2)和節(jié)點F(3_4)收集認證信息。節(jié)點C(3_l)響應于請求并且將節(jié)點C(3_l)的認證信息發(fā)送到中繼節(jié)點B(2)��。中繼節(jié)點B(2)存儲接收到的節(jié)點C(3_l)的認證信息并且等待來自其它節(jié)點的響應�����。節(jié)點D(3_2)是中繼節(jié)點����,使得節(jié)點D (3_2)將認證信息的收集請求重定向到節(jié)點E(3_3)。節(jié)點E (3_3)是所形成的生長樹中的末端節(jié)點��,使得節(jié)點E (3_3)將它自身的認證信息作為響應發(fā)送到節(jié)點D (3_2)�����。節(jié)點D (3_2)將接收到的節(jié)點E (3_3)的認證信息和它自身的認證信息作為響應發(fā)送到中繼節(jié)點B(2)�����。中繼節(jié)點B(2)存儲接收到的節(jié)點D(3_2)和節(jié)點E(3_
3)的認證信息并且等待來自其它節(jié)點的響應����。節(jié)點F(3_4)也是中繼節(jié)點��,使得節(jié)點F(3_4)將認證信息的收集請求重定向到節(jié)點G(3_5)��、節(jié)點H( 3_6)和節(jié)點I (3_7)�����。節(jié)點G(3_5)���、節(jié)點H(3_6)和節(jié)點1(3_7)中的每個是所形成的生長樹中的末端節(jié)點,使得每個節(jié)點將它自身的認證信息作為響應返回到節(jié)點F(3_4)�。節(jié)點F(3_4)將接收到的節(jié)點G(3_5)、節(jié)點H(3_6)和節(jié)點I (3_7)的認證信息和它自身的認證信息作為響應發(fā)送到中繼節(jié)點B(2)�。中繼節(jié)點B (2)將存儲的節(jié)點C(3_l)����、節(jié)點D(3_2)和節(jié)點E(3_3)的認證信息、接收到的節(jié)點G(3_5)�����、節(jié)點H(3_6)�����、節(jié)點I (3_7)和節(jié)點F(3_4)的認證信息和它自身的認證信息作為響應發(fā)送到網關節(jié)點A(I)。網關節(jié)點A(I)通過網絡5將接收到的中繼節(jié)點B(2)��、節(jié)點C(3_1)�����、節(jié)點D(3_2)���、節(jié)點E (3_3)��、節(jié)點G (3_5)�����、節(jié)點H( 3_6)��、節(jié)點I (3_7)和節(jié)點F(3_4)的認證信息發(fā)送到認證設備7��,并且請求認證多個節(jié)點中的每個����。
[0157]認證設備7對接收到的每條認證信息執(zhí)行認證�,并且將結果返回到網關節(jié)點A(I)。當在認證結果中將中繼節(jié)點B(2)認證為可信時��,網關節(jié)點A(I)將認證結果發(fā)送到中繼節(jié)點B(2)。中繼節(jié)點B(2)通過與用于認證信息的收集請求的路徑相同的路徑將基于認證結果的經認證節(jié)點信息或非法節(jié)點信息發(fā)送到下層中的每個節(jié)點����。基于接收到的經認證節(jié)點信息或非法節(jié)點信息��,接收經認證節(jié)點信息或非法節(jié)點信息的每個節(jié)點在通信伙伴是可信節(jié)點時繼續(xù)通信��,而在通信伙伴是非法節(jié)點時斷開通信��。
[0158]接下來����,將描述在網絡中混有非法/危害節(jié)點并且形成錯誤生長樹的情況。在描述中���,假設節(jié)點D(3_2)是非法節(jié)點。
[0159]圖28是由于非法節(jié)點(圖27中的節(jié)點D(3_2))導致的虛假信息所形成的生成樹的示例�����。通過由于作為非法節(jié)點的節(jié)點D(3_2)導致的虛假信息����,從認證樹中去除節(jié)點E(3_3)����。在不管節(jié)點E(3_3)將節(jié)點D(3_2)確定為上節(jié)點的情況下����,通過例如節(jié)點D(3_2)偽裝成節(jié)點G(3_5)的操作和節(jié)點D(3_2)丟棄節(jié)點E(3_3)的信息的操作產生這種情形。
[0160]在這種情形下�,以與上述認證處理相同的方式,在設備V(1)啟動之后����,網關節(jié)點A
(1)與中繼節(jié)點B(2)執(zhí)行本地相互耦接認證以建立耦接,并且大約在這個時間��,將作為它自身的認證信息并且處于加密狀態(tài)的ID和特有密鑰發(fā)送到認證設備7并且接收認證結果�����。隨后�,網關節(jié)點A( I)請求中繼節(jié)點B (2)收集認證信息。
[0161]被請求收集認證信息的中繼節(jié)點B(2)請求與中繼節(jié)點B(2)直接耦接的節(jié)點C(3_
1)����、節(jié)點D(3_2)和節(jié)點F(3_4)收集認證信息。中繼節(jié)點B (2)通過將分別分派給節(jié)點C(3_1)、節(jié)點D(3_2)和節(jié)點F(3_4)的分布式哈希值9_1�、9_2和9_4分別發(fā)送到節(jié)點C(3_l)、節(jié)點D(3_
2)和節(jié)點F(3_4)來請求節(jié)點C(3_l)��、節(jié)點D(3_2)和節(jié)點F(3_4)收集認證信息����。節(jié)點C(3_l)響應于請求并且將節(jié)點C(3_l)的認證信息發(fā)送到中繼節(jié)點B(2)。中繼節(jié)點B(2)存儲接收到的節(jié)點C(3_l)的認證信息并且等待來自其它節(jié)點的響應����。節(jié)點D(3_2)是非法節(jié)點并且使它自身成為生長樹的網絡末端,使得節(jié)點D(3_2)在不將認證信息的收集請求重定向到節(jié)點E(3_3)的情況下將它自身的認證信息作為響應發(fā)送到中繼節(jié)點B(2)��。中繼節(jié)點B(2)存儲接收到的節(jié)點D(3_2)的認證信息并且等待來自其它節(jié)點的響應��。節(jié)點F(3_4)是中繼節(jié)點���,使得節(jié)點F(3_4)將認證信息的收集請求重定向到節(jié)點G(3_5)����、節(jié)點H(3_6)和節(jié)點1(3_7)���。節(jié)點G(3_5)、節(jié)點H( 3_6)和節(jié)點I (3_7)中的每個是所形成的生長樹中的末端節(jié)點���,使得每個節(jié)點將它自身的認證信息作為響應返回到節(jié)點F(3_4)�����。節(jié)點F(3_4)將接收到的節(jié)點G(3_5)��、節(jié)點H(3_6)和節(jié)點1(3_7)的認證信息和它自身的認證信息作為響應發(fā)送到中繼節(jié)點B
(2)���。中繼節(jié)點B(2)將存儲的節(jié)點C(3_1)和節(jié)點D (3_2)的認證信息���、接收到的節(jié)點G (3_5)、節(jié)點H(3_6)��、節(jié)點1(3_7)和節(jié)點F(3_4)的認證信息和它自身的認證信息作為響應發(fā)送到網關節(jié)點A(1)���。網關節(jié)點A(1)通過網絡5將接收到的中繼節(jié)點B(2)�����、節(jié)點C(3_1)��、節(jié)點D(3_2)�����、節(jié)點E (3_3)��、節(jié)點G(3_5)���、節(jié)點H( 3_6)�、節(jié)點I (3_7)和節(jié)點F(3_4)的認證信息發(fā)送到認證設備7���,并且請求認證多個節(jié)點中的每個��。
[0162]認證設備7對接收到的每條認證信息執(zhí)行認證�����,并且將結果返回到網關節(jié)點A(l)�����。當在認證結果中將中繼節(jié)點B(2)認證為可信時���,網關節(jié)點A(I)將認證結果發(fā)送到中繼節(jié)點B(2)。中繼節(jié)點B(2)通過與用于認證信息的收集請求的路徑相同的路徑將基于認證結果的經認證節(jié)點信息或非法節(jié)點信息發(fā)送到下層中的每個節(jié)點�?��;诮邮盏降慕浾J證節(jié)點信息或非法節(jié)點信息����,接收經認證節(jié)點信息或非法節(jié)點信息的每個節(jié)點在通信伙伴是可信節(jié)點時繼續(xù)通信,而在通信伙伴是非法節(jié)點時斷開通信����。這里,基于指示節(jié)點D(3_2)是非法節(jié)點的認證結果����,中繼節(jié)點B(2)斷開與節(jié)點D(3_2)的通信,并且將基于認證結果的經認證節(jié)點信息或非法節(jié)點信息發(fā)送到除了節(jié)點D(3_2)之外的每個相鄰節(jié)點���。由此����,作為非法節(jié)點的節(jié)點D(3_2)與網絡分開����。
[0163]隨后,在將作為非法節(jié)點的節(jié)點D(3_2)排除在外的狀態(tài)下��,重新形成生長樹。
[0164]圖29是在將非法節(jié)點D(3_2)排除在外的狀態(tài)下重新形成的生成樹的示例����。斷開通向作為非法節(jié)點的節(jié)點D(3_2)的通信路徑4_3和4_5。在圖27中���,斷開被設置為節(jié)點D(3_2)的下節(jié)點的節(jié)點E (3_3)到節(jié)點D (3_2)的通信路徑4_5���,使得節(jié)點E (3_3)變成要從節(jié)點F (3_
4)搜索的目標,例如����,被設置為節(jié)點G(3_5)的下節(jié)點。當再次沿著重新形成的生長樹收集認證信息時�,執(zhí)行對包括節(jié)點E(3_3)的所有節(jié)點的認證處理。如果新檢測到非法節(jié)點�����,則重復執(zhí)行將非法節(jié)點排除在外�����、重新形成生長樹并且此后再次執(zhí)行認證的操作�����,直到檢測不到新的非法節(jié)點,使得可以重構只包括被外部認證的節(jié)點的網絡���。
[0165]如上所述,即使在可能混有非法節(jié)點的P2P網絡上���,也可以通過向每個節(jié)點提供分布式哈希值來執(zhí)行認證信息的收集�,使得彼此耦接的節(jié)點可彼此安全地通信���。所提供的分布式哈希值可以是與每個節(jié)點特有的ID—起的認證信息���。當某個非法節(jié)點沒有響應于作為認證信息的分布式哈希值和特有ID的收集請求時,非法節(jié)點的分布式哈希值沒有被包括在經認證節(jié)點的名單中�����,使得非法節(jié)點無法與其它節(jié)點和外部網絡建立通信�。即使非法節(jié)點正確地響應于收集請求并且返回分布式哈希值,非法節(jié)點也無法使用特有ID進行白名單認證�,使得沒有建立通信。由此���,可以從P2P網絡中將以像拜占庭故障一樣的方式表現(xiàn)行為的節(jié)點排除在外���。
[0166]雖然已經基于實施例具體描述了本發(fā)明人做出的發(fā)明���,但無須說的是,本發(fā)明不限于這些實施例����,并且可在本發(fā)明的范圍內以各種方式進行修改。
【主權項】
1.一種中繼設備�����,所述中繼設備能與認證設備通信并且能耦接到其它設備耦接的通信路徑�, 其中,所述中繼設備和其它設備分別具有特有認證信息��, 其中��,所述認證設備具有基于所述認證信息確定所述中繼設備和其它設備是否是可信設備的設備認證功能��,以及 其中�,所述中繼設備將它自身的認證信息發(fā)送到所述認證設備,從與所述通信路徑耦接的其它設備收集認證信息并且將所述認證信息發(fā)送到所述認證設備��,從所述認證設備接收設備認證的結果,關閉中繼設備自身與基于所述結果被確定為不可信的設備之間的通信���,并且將通信控制信息發(fā)送到其它設備�����,以關閉與被確定為不可信的設備的通信�。2.根據權利要求1所述的中繼設備�����, 其中�,在從其它設備收集認證信息之前�����,所述中繼設備與其它設備執(zhí)行相互認證���。3.根據權利要求2所述的中繼設備���, 其中,所述認證信息是每個設備特有的標識符以及該設備和所述認證設備共享的特有密鑰�����, 其中,所述中繼設備將被加密的標識符和特有密鑰發(fā)送到所述認證設備�, 其中,所述中繼設備分別從與所述通信路徑耦接的其它設備收集被加密的標識符和特有密鑰����,并且將所述標識符和特有密鑰發(fā)送到所述認證設備,以及 其中��,由所述認證設備執(zhí)行的設備認證包括解密被加密的標識符并且基于所解密的標識符確定所述中繼設備和其它設備是否是可信設備的功能�����。4.根據權利要求1所述的中繼設備��, 其中���,作為所述認證信息的分別與所述中繼設備和所述其它設備關聯(lián)的分布式哈希值被分別供應到所述中繼設備和其它設備�����, 其中��,所述中繼設備將與其自身關聯(lián)的分布式哈希值發(fā)送到所述認證設備�����, 其中�,所述中繼設備從其它設備收集分別與耦接到所述通信路徑的其它設備關聯(lián)的分布式哈希值,并且將所述分布式哈希值發(fā)送到所述認證設備�,以及 其中,由所述認證設備執(zhí)行的設備認證包括基于所述分布式哈希值確定所述中繼設備和其它設備是否是可信設備的功能����。5.根據權利要求1所述的中繼設備, 其中�����,其它設備包括另一個中繼設備��, 其中���,所述中繼設備將其自身的認證信息通過其它中繼設備發(fā)送到所述認證設備, 其中���,所述中繼設備從除其它中繼設備之外的其它設備收集認證信息�����,并且通過其它中繼設備將所述認證信息發(fā)送到所述認證設備�����,以及 其中����,所述中繼設備通過其它中繼設備從所述認證設備接收設備認證的結果,關閉中繼設備自身與基于所述結果被確定為不可信的設備之間的通信�����,并且將通信控制信息發(fā)送到除其它中繼設備之外的其它設備�,以關閉與被確定為不可信的設備的通信。6.根據權利要求1所述的中繼設備����, 其中,所述中繼設備和其它設備是電子控制單元���,并且所述通信路徑是車載網絡�����。7.根據權利要求6所述的中繼設備���, 其中�����,當發(fā)現(xiàn)存在作為所述設備認證的結果而被確定為不可信的設備時���,中繼設備具有詢問其中安裝有所述車載網絡的車輛的用戶是否要關閉與被確定為不可信的設備的通信的功能。8.—種終端設備�����,所述終端設備能通過中繼設備與認證設備通信并且能耦接到所述中繼設備和其它設備耦接的通信路徑�����, 其中��,所述終端設備�����、所述中繼設備和其它設備分別具有特有認證信息�����, 其中���,所述中繼設備具有將其自身的認證信息發(fā)送到所述認證設備的功能和從與所述通信路徑耦接的所述終端設備和其它設備收集認證信息并且將所述認證信息發(fā)送到所述認證設備的功能��, 其中�,所述認證設備具有基于所述認證信息確定所述終端設備�、所述中繼設備和其它設備是否是可信設備的設備認證功能,以及 其中���,所述終端設備關閉其自身與基于由所述中繼設備接收的設備認證的結果被確定為不可信的設備之間的通信����。9.根據權利要求8所述的終端設備�, 其中,所述終端設備���、所述中繼設備和其它設備中的每個具有作為所述認證信息的每個設備特有的標識符����、以及與所述認證設備共享并且每個設備特有的特有密鑰�����, 其中,在將認證信息發(fā)送到所述中繼設備之前����,所述終端設備與所述中繼設備執(zhí)行相互認證, 其中��,所述終端設備將被加密的標識符和特有密鑰發(fā)送到所述中繼設備����, 其中,所述中繼設備將被加密的標識符和特有密鑰發(fā)送到所述認證設備���, 其中���,所述中繼設備分別從與所述通信路徑耦接的其它設備收集被加密的標識符和特有密鑰,并且將從所述終端設備接收的標識符和特有密鑰���、以及從其它設備收集的標識符和特有密鑰發(fā)送到所述認證設備����,以及 其中��,由所述認證設備執(zhí)行的設備認證包括解密被加密的標識符并且基于所解密的標識符確定所述終端設備��、所述中繼設備和其它設備是否是可信設備的功能�。10.根據權利要求8所述的終端設備, 其中�,作為所述認證信息的分別與所述終端設備、所述中繼設備和其它設備關聯(lián)的分布式哈希值被分別供應到所述終端設備�、所述中繼設備和其它設備, 其中���,所述終端設備將與其自身關聯(lián)的分布式哈希值發(fā)送到所述中繼設備����, 其中����,所述中繼設備將與其自身關聯(lián)的分布式哈希值發(fā)送到所述認證設備, 其中��,所述中繼設備分別從其它設備收集分別與耦接到所述通信路徑的其它設備關聯(lián)的分布式哈希值����,并且將從所述終端設備接收的分布式哈希值和從其它設備收集的分布式哈希值發(fā)送到所述認證設備,以及 其中����,由所述認證設備執(zhí)行的設備認證包括基于分布式哈希值確定所述終端設備��、所述中繼設備和其它設備是否是可信設備的功能�。11.根據權利要求8所述的終端設備�, 其中,所述終端設備在所述終端設備耦接到所述通信路徑的時間點通過與所述終端設備直接耦接的中繼設備或其它設備��,向所述認證設備請求僅僅能由所述認證設備產生的信息�, 其中,由所述認證設備執(zhí)行的設備認證確定所述終端設備是否是可信設備�����,產生僅僅能由所述認證設備產生的信息����,并且沿著接收到所述請求的路徑將所述信息發(fā)送到所述終端設備,以及 其中�,所述終端設備從與所述終端設備直接耦接的所述中繼設備和其它設備當中確定沒有中繼僅僅能由所述認證設備產生的信息的設備為不可信設備,并且關閉與沒有中繼所述信息的設備的通信�����。12.根據權利要求8所述的終端設備, 其中��,其它設備包括另一個中繼設備��, 其中�,所述中繼設備將其自身的認證信息通過其它中繼設備發(fā)送到所述認證設備�����, 其中��,所述中繼設備從除其它中繼設備之外的其它設備和終端設備收集認證信息�,并且通過其它中繼設備將所述認證信息發(fā)送到所述認證設備, 其中���,所述中繼設備通過其它中繼設備從所述認證設備接收設備認證的結果����,以及其中����,所述終端設備關閉其自身與基于由所述中繼設備接收的設備認證的結果被確定為不可信的設備之間的通信。13.根據權利要求8所述的終端設備�����, 其中,所述終端設備��、所述中繼設備和其它設備是電子控制單元���,并且所述通信路徑是車載網絡�����。14.根據權利要求13所述的終端設備�, 其中��,當發(fā)現(xiàn)作為所述設備認證的結果而存在不可信的設備時�,所述終端設備具有詢問其中安裝有所述車載網絡的車輛的用戶是否要關閉與被確定為不可信的設備的通信的功能。15.—種通過通信路徑執(zhí)行的中繼設備��、終端設備和其它設備之間的通信方法����, 其中,所述中繼設備�����、所述終端設備和所述其它設備分別具有特有認證信息, 其中��,所述中繼設備能與所述認證設備通信����,并且將其自身的認證信息發(fā)送到所述認證設備, 其中�����,所述中繼設備從與所述通信路徑耦接的所述終端設備和其它設備收集認證信息���,并且將所述認證信息發(fā)送到所述認證設備, 其中��,所述認證設備具有基于所述認證信息確定所述中繼設備�����、所述終端設備和所述其它設備是否是可信設備的設備認證功能��, 其中���,所述中繼設備從所述認證設備接收設備認證的結果�����,關閉中繼設備自身與基于所述結果被確定為不可信的設備之間的通信�����,并且將通信控制信息發(fā)送到所述終端設備和其它設備��,以關閉與被確定為不可信的設備的通信���,以及 其中����,所述終端設備和其它設備關閉它們自身與基于所述通信控制信息被確定為不可信的設備之間的通信��。16.根據權利要求15所述的通信方法��, 其中��,所述終端設備����、所述中繼設備和其它設備中的每個具有作為所述認證信息的每個設備特有的標識符、以及與所述認證設備共享的并且每個設備特有的特有密鑰���, 其中����,在所述終端設備將認證信息發(fā)送到所述中繼設備之前,所述終端設備與所述中繼設備執(zhí)行相互認證��, 其中�����,所述終端設備將被加密的標識符和特有密鑰發(fā)送到所述中繼設備���, 其中,所述中繼設備將被加密的標識符和特有密鑰發(fā)送到所述認證設備�, 其中,所述中繼設備分別從與所述通信路徑耦接的其它設備收集被加密的標識符���,并且將所述標識符發(fā)送到所述認證設備����, 其中��,所述中繼設備分別從與所述通信路徑耦接的其它設備收集被加密的標識符��,并且將從所述終端設備接收的標識符和從其它設備收集的標識符發(fā)送到所述認證設備,以及其中���,所述認證設備解密被加密的標識符�,并且基于所解密的標識符確定所述終端設備��、所述中繼設備和其它設備是否是可信設備�����。17.根據權利要求15所述的通信方法����, 其中,作為所述認證信息的分別與所述終端設備�����、所述中繼設備和其它設備關聯(lián)的分布式哈希值被分別供應到所述終端設備���、所述中繼設備和其它設備�����, 其中����,所述終端設備將與其自身關聯(lián)的分布式哈希值發(fā)送到所述中繼設備, 其中����,所述中繼設備將與其自身關聯(lián)的分布式哈希值發(fā)送到所述認證設備, 其中�,所述中繼設備分別從其它設備收集分別與耦接到所述通信路徑的其它設備關聯(lián)的分布式哈希值,并且將從所述終端設備接收的分布式哈希值和從其它設備收集的分布式哈希值發(fā)送到所述認證設備���,以及 其中��,所述認證設備基于分布式哈希值確定所述終端設備���、所述中繼設備和其它設備是否是可信設備���。18.根據權利要求15所述的通信方法����, 其中���,其它設備包括另一個中繼設備���, 其中���,所述中繼設備將其自身的認證信息通過其它中繼設備發(fā)送到所述認證設備,以及 其中����,所述中繼設備從除其它中繼設備之外的其它設備和所述終端設備收集認證信息,通過其它中繼設備將收集到的所述認證信息發(fā)送到所述認證設備��,并且通過其它中繼設備從所述認證設備接收設備認證的結果�����。19.根據權利要求15所述的通信方法��, 其中�����,所述終端設備��、所述中繼設備和其它設備是電子控制單元��,并且所述通信路徑是車載網絡���。20.根據權利要求19所述的通信方法����, 其中,當發(fā)現(xiàn)作為設備認證的結果存在不可信的設備時����,所述終端設備或所述中繼設備詢問其中安裝有所述車載網絡的車輛的用戶是否要關閉與被確定為不可信的設備的通?目O
【文檔編號】H04L29/06GK105827587SQ201510946793
【公開日】2016年8月3日
【申請日】2015年12月17日
【發(fā)明人】森田直幸, 谷本匡亮
【申請人】瑞薩電子株式會社