中繼設(shè)備�����、終端設(shè)備和通信方法
【專利摘要】中繼設(shè)備�、終端設(shè)備和通信方法。即使當(dāng)執(zhí)行拜占庭故障類型攻擊的非法設(shè)備耦接到其它設(shè)備和中繼設(shè)備耦接的通信路徑時(shí)���,從通信路徑將非法設(shè)備排除在外�����。在可與認(rèn)證設(shè)備通信的中繼設(shè)備��、終端設(shè)備和其它設(shè)備通過通信路徑耦接的通信系統(tǒng)中����,中繼設(shè)備、終端設(shè)備等分別具有特有認(rèn)證信息���。中繼設(shè)備將它自身的認(rèn)證信息和從終端設(shè)備收集的認(rèn)證信息等發(fā)送到認(rèn)證設(shè)備����。認(rèn)證設(shè)備基于接收的認(rèn)證信息確定中繼設(shè)備�����、終端設(shè)備等是否是可信設(shè)備�����。中繼設(shè)備關(guān)閉自身和基于確定結(jié)果被確定為不可信的設(shè)備之間的通信�,并且將關(guān)閉與被確定為不可信的設(shè)備的通信的通信控制信息發(fā)送到終端設(shè)備等。終端設(shè)備等關(guān)閉自身和基于通信控制信息被確定為不可信的設(shè)備之間的通信�。
【專利說明】中繼設(shè)備���、終端設(shè)備和通信方法
[0001]相關(guān)申請的交叉引用
[0002]于2015年I月27日提交的日本專利申請第2015-012877號的公開內(nèi)容(包括說明書、附圖和摘要)的全部內(nèi)容通過引用合并于此�����。
技術(shù)領(lǐng)域
[0003]本發(fā)明涉及通過通信路徑和通信方法與認(rèn)證設(shè)備耦接的中繼設(shè)備和終端設(shè)備���。特別地�����,本發(fā)明可優(yōu)選地用于認(rèn)證中繼設(shè)備和終端設(shè)備。
【背景技術(shù)】
[0004]在分層構(gòu)造的系統(tǒng)中��,從技術(shù)上保護(hù)系統(tǒng)免遭使得非法裝置參與系統(tǒng)的攻擊變得愈發(fā)重要����。例如,安裝有車載網(wǎng)絡(luò)的車輛被構(gòu)造成能夠通過網(wǎng)關(guān)耦接到外部認(rèn)證服務(wù)器并且可接收對車輛的認(rèn)證����。然而,即使當(dāng)非法裝置耦接到車載網(wǎng)絡(luò)時(shí)�����,也需要保護(hù)耦接到車載網(wǎng)絡(luò)的其它可信裝置免遭由非法裝置執(zhí)行的攻擊。
[0005]日本未經(jīng)審查的專利申請公開(PCT申請的譯本)第2014-513349號公開了一種通過機(jī)器對機(jī)器(M2M)裝置來提供服務(wù)的方法��。M2M裝置包括將包括認(rèn)證信息的第一認(rèn)證的請求發(fā)送到網(wǎng)絡(luò)安全單元(NSEC)的發(fā)送器和與發(fā)送器一起執(zhí)行可擴(kuò)展認(rèn)證協(xié)議(EAP)的控制器����,并且還包括當(dāng)認(rèn)證成功時(shí)通過使用主會話密鑰(MSK)和M2M裝置的認(rèn)證信息中的至少一個(gè)來產(chǎn)生秘密密鑰的密鑰產(chǎn)生器。這里�,代表網(wǎng)絡(luò)安全單元的NSEC是網(wǎng)絡(luò)安全能力的縮寫,EAP是可擴(kuò)展認(rèn)證協(xié)議的縮寫�,以及MSK是主會話密鑰的縮寫。
[0006]日本未經(jīng)審查的專利申請公開第平11(1999)-088325號公開了一種認(rèn)證系統(tǒng)�����,該認(rèn)證系統(tǒng)可通過提供控制管理器來保護(hù)信息免遭篡改和泄漏�,該控制管理器具有基于拜占庭協(xié)議(Byzantine agreement)的認(rèn)證功能和對網(wǎng)絡(luò)中的隱蔽信道的驗(yàn)證/控制功能。
[0007]日本未經(jīng)審查的專利申請公開第2002-358226號公開了一種通過多個(gè)計(jì)算機(jī)來安全地分發(fā)和管理文件系統(tǒng)的方法�����。通過將目錄復(fù)制并且存儲在形成拜占庭協(xié)議的多個(gè)計(jì)算機(jī)(拜占庭組)中來確保安全性����,以及盡管將文件復(fù)制并且存儲在多個(gè)計(jì)算機(jī)中�,但是通過不使用拜占庭協(xié)議來減小負(fù)載�����。另外�,可以通過將文件的內(nèi)容的摘要值復(fù)制并且存儲在拜占庭組中來驗(yàn)證所讀取的文件的內(nèi)容是正確的。
【發(fā)明內(nèi)容】
[0008]本發(fā)明的發(fā)明人已經(jīng)研究了日本未經(jīng)審查的專利申請公開(PCT申請的譯本)第2014-513349號�����、日本未經(jīng)審查的專利申請公開第平11(1999)-088325號和日本未經(jīng)審查的專利申請公開第2002-358226號��,結(jié)果是�,本發(fā)明的發(fā)明人已發(fā)現(xiàn)了存在如下所述的新問題。
[0009]根據(jù)日本未經(jīng)審查的專利申請公開(PCT申請的譯本)第2014-513349號中描述的技術(shù)��,即使當(dāng)M2M網(wǎng)絡(luò)沒有直接與證書機(jī)構(gòu)通信時(shí)����,也可以安全地將認(rèn)證密鑰傳遞到網(wǎng)絡(luò)中的網(wǎng)關(guān)����,使得可在網(wǎng)絡(luò)內(nèi)部執(zhí)行設(shè)備認(rèn)證。因此,安全地激活設(shè)備����,并且實(shí)現(xiàn)了設(shè)備之間的安全通信。然而���,沒有描述對設(shè)備自身的認(rèn)證����。因此���,不可能將非法設(shè)備排除在外�����。
[0010]根據(jù)日本未經(jīng)審查的專利申請公開第平11 (1999)-088325號中描述的技術(shù)��,即使當(dāng)有可能通過隱蔽信道來篡改數(shù)據(jù)�����、或者認(rèn)證系統(tǒng)中的系統(tǒng)管理員有可能行為錯(cuò)誤時(shí)�����,也可以發(fā)現(xiàn)信息被篡改或泄露��。然而�,不可能將行為錯(cuò)誤的系統(tǒng)管理員和行為錯(cuò)誤的通用終端排除在外。
[0011 ]根據(jù)日本未經(jīng)審查的專利申請公開第2002-358226號中描述的技術(shù)����,即使當(dāng)使得多個(gè)計(jì)算機(jī)中的一些在任意時(shí)間不可訪問被分發(fā)給多個(gè)計(jì)算機(jī)的文件時(shí),也可以以高可靠性來存儲文件并且以可訪問的方法來管理文件��,同時(shí)可以防止被未經(jīng)授權(quán)的用戶訪問���。然而�,沒有描述從多個(gè)計(jì)算機(jī)中將非法計(jì)算機(jī)排除在外的方法��。
[0012]在如上所述的系統(tǒng)中����,不可能將執(zhí)行拜占庭故障類型攻擊的非法裝置排除在外,在拜占庭故障類型攻擊中��,在非法裝置偽裝成正常裝置的同時(shí)���,非法裝置隨機(jī)執(zhí)行非法行為。這是因?yàn)椋话慵僭O(shè)�����,在這樣的系統(tǒng)中的網(wǎng)絡(luò)中出現(xiàn)通信錯(cuò)誤�,并且采用這樣的協(xié)議:如果在重復(fù)進(jìn)行重試的同時(shí)獲得正確的響應(yīng),則假定通信正常����,使得一旦在網(wǎng)絡(luò)中獲得裝置之間的相互耦接認(rèn)證,就不可能將拜占庭故障類型攻擊與通信路徑上的錯(cuò)誤區(qū)分開����。
[0013]另外,例如��,如日本未經(jīng)審查的專利申請公開第平11 (1999)-088325號和日本未經(jīng)審查的專利申請公開第2002-358226號中所描述的���,已知以下技術(shù):在惡意裝置通過使用拜占庭協(xié)議而位于網(wǎng)絡(luò)中的前提下�,通過由整個(gè)委員會(council)系統(tǒng)進(jìn)行決策來減少攻擊的影響�。然而,不可能將惡意裝置本身排除在外�。另外,當(dāng)整個(gè)系統(tǒng)中的惡意節(jié)點(diǎn)的比率增大時(shí)�,不可能防止諸如通信所需的計(jì)算成本劣化和通信的故障比率增大的情形���,在最差的情況下,出現(xiàn)系統(tǒng)失靈����。特別地,如果在車載系統(tǒng)中出現(xiàn)系統(tǒng)失靈�����,則存在會導(dǎo)致涉及人生命的嚴(yán)重事故���,使得這是特別嚴(yán)重的����。
[0014]雖然以下將描述用于解決以上問題的手段��,但是根據(jù)本說明書的描述和附圖��,其它問題和新特征將變得清楚���。
[0015]根據(jù)實(shí)施例��,用于解決以上問題的手段如下所述��。
[0016]如下所述地構(gòu)造通信系統(tǒng)�����,在該通信系統(tǒng)中���,可與認(rèn)證設(shè)備通信的中繼設(shè)備、終端設(shè)備和其它設(shè)備通過通信路徑相耦接��。
[0017]中繼設(shè)備��、終端設(shè)備和其它設(shè)備分別具有特有的認(rèn)證信息�����。中繼設(shè)備將其自身的認(rèn)證信息發(fā)送到認(rèn)證設(shè)備�����。中繼設(shè)備從與通信路徑耦接的其它設(shè)備和終端設(shè)備收集認(rèn)證信息�,并且將認(rèn)證信息發(fā)送到認(rèn)證設(shè)備。認(rèn)證設(shè)備具有基于接收到的認(rèn)證信息確定中繼設(shè)備����、終端設(shè)備和其它設(shè)備是否是可信設(shè)備的設(shè)備認(rèn)證的功能����。
[0018]中繼設(shè)備從認(rèn)證設(shè)備接收設(shè)備認(rèn)證的結(jié)果���,關(guān)閉它自身和基于結(jié)果被確定為不可信的設(shè)備之間的通信�����,并且將通信控制信息發(fā)送到終端設(shè)備和其它設(shè)備以關(guān)閉與被確定為不可信的設(shè)備的通信��。終端設(shè)備和其它設(shè)備關(guān)閉它們自身和基于通信控制信息被確定為不可信的設(shè)備之間的通信�。
[0019]以下簡要描述通過上述實(shí)施例獲得的效果���。
[0020]即使當(dāng)執(zhí)行拜占庭故障類型攻擊的非法設(shè)備耦接到其它設(shè)備和中繼設(shè)備所耦接的通信路徑時(shí)��,也可以從通信路徑中將非法設(shè)備排除在外���。
【附圖說明】
[0021 ]圖1是示出基本構(gòu)造的框圖。
[0022]圖2是示出每個(gè)裝置的構(gòu)造示例和設(shè)備認(rèn)證的操作的說明圖��。
[0023]圖3是示出包括從多個(gè)制造商提供的多個(gè)裝置的系統(tǒng)的構(gòu)造示例的示意性框圖��。
[0024]圖4是裝置和認(rèn)證設(shè)備之間的通信的說明圖。
[0025]圖5是示出與圖1中示出的系統(tǒng)構(gòu)造對應(yīng)的認(rèn)證信息的收集流程的示例的時(shí)序圖���。
[0026]圖6是示出在圖5中示出的認(rèn)證信息的收集流程中發(fā)送和接收的消息的示例的說明圖��。
[0027]圖7是示出當(dāng)耦接新的下節(jié)點(diǎn)時(shí)的認(rèn)證流程的示例的時(shí)序圖。
[0028]圖8是示出在圖7中示出的認(rèn)證流程中發(fā)送和接收的消息的示例的說明圖���。
[0029]圖9是示出使用非法節(jié)點(diǎn)信息作為通信控制信息的情況的流程的說明圖���。
[0030]圖10是示出使用經(jīng)認(rèn)證的節(jié)點(diǎn)信息作為通信控制信息的情況的流程的說明圖。
[0031]圖11是示出當(dāng)耦接新的下節(jié)點(diǎn)時(shí)的認(rèn)證流程的另一個(gè)示例的時(shí)序圖�����。
[0032]圖12是示出在圖11中示出的認(rèn)證流程中發(fā)送和接收的消息的示例的說明圖���。
[0033]圖13是示出第二實(shí)施例的系統(tǒng)構(gòu)造示例的框圖�����。
[0034]圖14是示出第二實(shí)施例的另一個(gè)系統(tǒng)構(gòu)造示例的框圖��。
[0035]圖15是示出共享總線類型耦接網(wǎng)絡(luò)中的通信數(shù)據(jù)包的構(gòu)造示例的說明圖��。
[0036]圖16是示出當(dāng)耦接到安裝在設(shè)備X上的總線類型網(wǎng)絡(luò)的ECU的數(shù)量增至5時(shí)的系統(tǒng)構(gòu)造示例的框圖���。
[0037]圖17是示出與圖16對應(yīng)的其中ECU的數(shù)量為5的星型耦接網(wǎng)絡(luò)被安裝在設(shè)備X上的情況的系統(tǒng)構(gòu)造示例的框圖����。
[0038]圖18是示出第三實(shí)施例的構(gòu)造示例的框圖����。
[0039]圖19是示出通過分層總線網(wǎng)絡(luò)形成圖18中示出的分層網(wǎng)絡(luò)的示例的說明圖。
[0040]圖20是示出用可與分層總線網(wǎng)絡(luò)等同的完整圖結(jié)構(gòu)的網(wǎng)絡(luò)更換圖19中示出的分層總線網(wǎng)絡(luò)的示例的說明圖�����。
[0041]圖21是示出在圖20中示出的完整圖結(jié)構(gòu)的網(wǎng)絡(luò)中通過諸如DHCP的手段形成生成樹(spanning tree)的示例的說明圖�����。
[0042]圖22是示出其中耦接有包括傳統(tǒng)ECU的多個(gè)ECU的總線類型網(wǎng)絡(luò)的構(gòu)造示例的說明圖�����。
[0043]圖23是示出在考慮可允許的通信路徑的同時(shí)可與圖22中示出的網(wǎng)絡(luò)結(jié)構(gòu)等同的網(wǎng)絡(luò)結(jié)構(gòu)的說明圖��。
[0044]圖24是示出針對圖23中示出的總線類型網(wǎng)絡(luò)結(jié)構(gòu)形成生成樹的示例的說明圖��。
[0045]圖25是示出第四實(shí)施例的構(gòu)造示例的框圖。
[0046]圖26是示出第五實(shí)施例的構(gòu)造示例的框圖�����。
[0047]圖27是示出通過廣度優(yōu)先搜索等形成具有圖26中示出的一般圖結(jié)構(gòu)的網(wǎng)絡(luò)的示例的說明圖���。
[0048]圖28是示出由于非法節(jié)點(diǎn)(圖27中的節(jié)點(diǎn)D)導(dǎo)致的虛假信息所形成的生成樹的示例的說明圖���。
[0049]圖29是在將非法節(jié)點(diǎn)排除在外的狀態(tài)下重新形成的生成樹的示例��。
【具體實(shí)施方式】
[0050]將詳細(xì)描述實(shí)施例�����。
[0051 ] 第一實(shí)施例〈基本構(gòu)思〉
[0052]圖1是示出基本構(gòu)造的框圖����。設(shè)備(X)10包括節(jié)點(diǎn)(A至D)1、2���、3_1和3_2����,這些節(jié)點(diǎn)是可通過通信路徑4_1至4_3彼此通信的多個(gè)設(shè)備。設(shè)備(X)可通過外部網(wǎng)絡(luò)5從用作網(wǎng)關(guān)的節(jié)點(diǎn)(A)與認(rèn)證設(shè)備7通信�。關(guān)于根據(jù)基本實(shí)施例的中繼設(shè)備和終端設(shè)備����,在通過通信路徑4_1至4_3耦接的通信系統(tǒng)中,如下所述地構(gòu)造可與認(rèn)證設(shè)備7�����、終端設(shè)備(節(jié)點(diǎn)C和D)3j和3_2����、以及其它設(shè)備(節(jié)點(diǎn)A)1通信的中繼設(shè)備(節(jié)點(diǎn)B)2。中繼設(shè)備(節(jié)點(diǎn)B)2可通過上網(wǎng)關(guān)節(jié)點(diǎn)A(I)與耦接到外部網(wǎng)絡(luò)5的認(rèn)證設(shè)備7通信��。通信介質(zhì)不需要一定是網(wǎng)絡(luò)����,可使用任何通信介質(zhì)。
[0053]中繼設(shè)備(節(jié)點(diǎn)B)2�、終端設(shè)備(節(jié)點(diǎn)C和D)3j和3_2、以及其它設(shè)備(節(jié)點(diǎn)A)1中的每個(gè)具有特有的認(rèn)證信息����。認(rèn)證設(shè)備7具有用于基于每個(gè)設(shè)備的認(rèn)證信息來確定中繼設(shè)備(節(jié)點(diǎn)B)2�����、終端設(shè)備(節(jié)點(diǎn)C和0)3_1和3_2����、以及其它設(shè)備(節(jié)點(diǎn)A)1中的每個(gè)是否是可信設(shè)備的設(shè)備認(rèn)證的功能����。認(rèn)證設(shè)備7保持行為正常的裝置的名單,S卩���,白名單。這里���,特有認(rèn)證信息是用于驗(yàn)證每個(gè)裝置可信的信息��。特有認(rèn)證信息例如是特有標(biāo)識符(ID)�����。另外���,在確保防篡改性的狀態(tài)下�����,將特有ID和特有密鑰(共享密鑰)寫入每個(gè)裝置����,也就是說�����,中繼設(shè)備(節(jié)點(diǎn)B)2�、終端設(shè)備(節(jié)點(diǎn)C和D)3j和3_2、以及其它設(shè)備(節(jié)點(diǎn)A)l�����。外部認(rèn)證設(shè)備7包括列出諸如可信裝置的ID的認(rèn)證信息的名單(白名單)����,使得認(rèn)證設(shè)備7可通過使用白名單來驗(yàn)證接收到的認(rèn)證信息并且確定對應(yīng)裝置是否是可信設(shè)備(設(shè)備認(rèn)證的功能)。
[0054]中繼設(shè)備(節(jié)點(diǎn)B)2將其自身的認(rèn)證信息發(fā)送到認(rèn)證設(shè)備7���。當(dāng)如圖1中所示存在上節(jié)點(diǎn)(節(jié)點(diǎn)A)1時(shí)�,中繼設(shè)備(節(jié)點(diǎn)B)2通過網(wǎng)絡(luò)5將認(rèn)證信息從上節(jié)點(diǎn)(節(jié)點(diǎn)A)1發(fā)送到認(rèn)證設(shè)備7���。此后或者與之并行地���,中繼設(shè)備(節(jié)點(diǎn)B)2從與通信路徑4_2和4_3耦接的終端設(shè)備(節(jié)點(diǎn)C和D)3j和3_2收集認(rèn)證信息�,并且通過網(wǎng)絡(luò)5將認(rèn)證信息從上節(jié)點(diǎn)(節(jié)點(diǎn)A)1發(fā)送到認(rèn)證設(shè)備7�����。圖1中示出的上節(jié)點(diǎn)(節(jié)點(diǎn)A)1的位置高于中繼設(shè)備(節(jié)點(diǎn)B)2���,使得上節(jié)點(diǎn)(節(jié)點(diǎn)A)1沒有被包括在其認(rèn)證信息應(yīng)該被中繼設(shè)備(節(jié)點(diǎn)B)2收集的其它設(shè)備中�。然而�����,當(dāng)另一個(gè)中繼設(shè)備的位置低于中繼設(shè)備(節(jié)點(diǎn)B)2時(shí)���,其它中繼設(shè)備被包括在其認(rèn)證信息應(yīng)該被中繼設(shè)備(節(jié)點(diǎn)B)2收集的其它設(shè)備中。
[0055]認(rèn)證設(shè)備7通過使用白名單來驗(yàn)證接收到的認(rèn)證信息���,確定對應(yīng)裝置是否是可信設(shè)備�,將確定結(jié)果發(fā)送到中繼設(shè)備(節(jié)點(diǎn)B)2��。中繼設(shè)備(節(jié)點(diǎn)B)2從認(rèn)證設(shè)備7接收設(shè)備認(rèn)證的結(jié)果,關(guān)閉中繼設(shè)備(節(jié)點(diǎn)B)2和基于結(jié)果被確定為不可信的設(shè)備之間的通信��,并且將用于關(guān)閉與被確定為不可信的設(shè)備的通信的通信控制信息發(fā)送到終端設(shè)備(節(jié)點(diǎn)C和D)3_l和3_2�。終端設(shè)備(節(jié)點(diǎn)C和D)3j和3_2關(guān)閉它們自身和基于通信控制信息被確定為不可信的設(shè)備之間的通信。這里����,通信控制信息是用于確定通信伙伴裝置是否可信并且關(guān)閉與不可信裝置的通信的控制信息。例如����,通信控制信息是列出非法裝置的ID的黑名單(非法節(jié)點(diǎn)信息)。另一方面��,通信控制信息可以是列出可信裝置的ID的白名單(經(jīng)認(rèn)證的節(jié)點(diǎn)信息)����。
[0056]節(jié)點(diǎn)(A)I可被設(shè)置為一個(gè)中繼設(shè)備。在圖1和第一實(shí)施例中���,示出以下構(gòu)造:網(wǎng)關(guān)節(jié)點(diǎn)A(I)的位置高于用作中繼設(shè)備的節(jié)點(diǎn)(B)2的位置�,以便清楚地表明中繼設(shè)備不需要一定是網(wǎng)關(guān)����。然而���,如圖1中所示的分層結(jié)構(gòu)不是必要條件。
[0057]由此�����,即使當(dāng)執(zhí)行拜占庭故障類型攻擊的非法設(shè)備耦接到其它設(shè)備和中繼設(shè)備2所耦接的通信路徑4_1至4_3時(shí)����,也可以從通信路徑中將非法設(shè)備排除在外。另外�����,系統(tǒng)中的裝置無法以像拜占庭故障一樣的方式來表現(xiàn)行為���,使得可獲得如下所述的效果�����。不可能與除了經(jīng)過白名單認(rèn)證的裝置之外的裝置通信���,使得不可能執(zhí)行惡意重定向����。如果對諸如ID的認(rèn)證信息的請求沒有響應(yīng)��,則假定認(rèn)證失敗并且耦接被斷開�。因此�����,停止由非法設(shè)備對數(shù)據(jù)的中繼和對非法設(shè)備的數(shù)據(jù)的供應(yīng)��,并且防止數(shù)據(jù)被篡改����。即使當(dāng)可能篡改數(shù)據(jù)時(shí),包括被篡改數(shù)據(jù)的通信數(shù)據(jù)也無法通過白名單認(rèn)證�,使得被篡改數(shù)據(jù)被丟棄。另外�����,由于白名單系統(tǒng)��,可以分別使其中發(fā)現(xiàn)裝置因非法修改或竊取而受損的裝置無效����。另外���,與分層的認(rèn)證系統(tǒng)的兼容性高。通過將認(rèn)證系統(tǒng)分層���,可以獲得由于秘密信息的分布式管理而導(dǎo)致的風(fēng)險(xiǎn)降低效果和由于認(rèn)證服務(wù)器的負(fù)載分布而導(dǎo)致的可擴(kuò)展性�。
[0058]在上述設(shè)備認(rèn)證之前通過通信路徑4 j至4_3彼此耦接的裝置在彼此執(zhí)行本地認(rèn)證之后進(jìn)行耦接����。例如,中繼設(shè)備節(jié)點(diǎn)(B)2與上網(wǎng)關(guān)節(jié)點(diǎn)A(I)以及終端設(shè)備(節(jié)點(diǎn)C和D)3_l和3_2執(zhí)行本地相互認(rèn)證����。由此,建立用于執(zhí)行外部認(rèn)證的通信路徑中的本地通信���。
[0059]圖2是示出裝置(也就是說���,中繼設(shè)備(節(jié)點(diǎn)B)2、終端設(shè)備(節(jié)點(diǎn)C和0)3_1和3_2�、以及其它設(shè)備(節(jié)點(diǎn)A)l)的構(gòu)造示例和由認(rèn)證設(shè)備7執(zhí)行的設(shè)備認(rèn)證的操作的說明圖。安全微計(jì)算機(jī)11安裝在每個(gè)裝置上���。安全微計(jì)算機(jī)11是包括硬件安全模塊(HSM) 12的MPU(微處理器單元hMPU 11還包括通過總線18與HSM 12—起彼此互相耦接的CPU(中央處理單元)15�、RAM(隨機(jī)存取存儲器)16和外部接口(I/F) 17 ASM 12包括例如加密處理模塊13和保持諸如裝置特有標(biāo)識符(ID)和裝置特有密鑰14的秘密信息的存儲設(shè)備����。保證了 HSM 12的防篡改性??赏ㄟ^各種已知技術(shù)來保證防篡改性。例如�,它可被構(gòu)造成使得無法通過光學(xué)上觀察存儲設(shè)備來讀取ID和特有密鑰的內(nèi)容,于是加密處理和解密處理所需的時(shí)間和消耗電流的波形不取決于ID和特有密鑰的值��,另外���,它可被構(gòu)造成使得HSM 12具有針對故障注入攻擊的抵抗性C3MPUl I還可包括R0M(只讀存儲器)��、中斷控制電路����、直接存儲器存取控制器����、外圍功能模塊等?���?偩€18可以是分層的�����。盡管沒有特別限制�����,但是通過使用例如CMOS(互補(bǔ)金屬氧化物半導(dǎo)體場效應(yīng)晶體管)LSI(大規(guī)模集成電路)的已知制造技術(shù)���,在硅的單個(gè)半導(dǎo)體襯底等上形成MPU 11 ο
[0060]裝置特有ID和裝置特有密鑰是基于認(rèn)證協(xié)議與認(rèn)證設(shè)備7共享的標(biāo)識符和共享密鑰(共享秘密KID是裝置的標(biāo)識符。特有密鑰是裝置和認(rèn)證設(shè)備之間共享的密鑰字符串����,是每個(gè)裝置特有的,并且是與ID—起用于認(rèn)證的秘密信息�。當(dāng)裝運(yùn)MPU 11時(shí),通過例如MPU 11的供應(yīng)源將裝置特有ID和裝置特有密鑰寫入MPU 11中�����。認(rèn)證設(shè)備7例如是由MPU 11的供應(yīng)源供應(yīng)的認(rèn)證設(shè)備�����。認(rèn)證設(shè)備7保持與裝置特有密鑰對應(yīng)的共享密鑰,并且可認(rèn)證裝置特有密鑰����。MPU 11的供應(yīng)源將寫入正式裝運(yùn)的MPU 11中的特有ID的名單作為可信ID名單(白名單)保持在認(rèn)證設(shè)備7中,并且還保持與特有密鑰對應(yīng)的共享密鑰����。
[0061]在裝置特有ID和裝置特有密鑰之中��,裝置特有密鑰的安全性極為重要�。因此,只有在裝置特有密鑰被加密的狀態(tài)下����,才可將裝置特有密鑰讀取到HSM 12外部。然而���,對裝置特有密鑰進(jìn)行加密的方法是可選的��。例如�,可采用諸如公共密鑰密碼系統(tǒng)和共享密鑰密碼系統(tǒng)的已知加密方法�。
[0062]由加密處理模塊13對裝置特有ID和裝置特有密鑰進(jìn)行加密。CPU15可通過總線18讀取被加密的裝置特有ID和裝置特有密鑰�����,并且通過外部I/F 17將它們發(fā)送到外部網(wǎng)絡(luò)5。通過網(wǎng)絡(luò)5接收被加密的特有ID和特有密鑰的認(rèn)證設(shè)備7通過使用由認(rèn)證設(shè)備7保持的共享密鑰來執(zhí)行認(rèn)證����,并且解密被加密的特有ID。認(rèn)證設(shè)備7可通過將被解密成明文的裝置特有ID與由認(rèn)證設(shè)備7保持的可信ID名單(白名單)進(jìn)行比較來確定發(fā)送該裝置特有ID的裝置是否是可信MPU���。
[0063]圖3是示出包括從多個(gè)制造商提供的多個(gè)裝置的系統(tǒng)的構(gòu)造示例的示意性框圖�。如隨后描述的第二實(shí)施例中所詳細(xì)描述的����,設(shè)備(X)1例如是車輛,通信路徑4_1至4_5例如是諸如CAN(控制器區(qū)域網(wǎng)絡(luò))的車載網(wǎng)絡(luò)�����,以及裝置A至F(1和3_1至3_5)例如是電子控制單元(ECU)��。網(wǎng)絡(luò)和耦接到網(wǎng)絡(luò)的設(shè)備可以是除了車載網(wǎng)絡(luò)(CAN)和電子控制單元(ECU)之外的網(wǎng)絡(luò)和設(shè)備���,并且可變?yōu)槔玑t(yī)療網(wǎng)絡(luò)和耦接到醫(yī)療網(wǎng)絡(luò)的醫(yī)療器械�、或工業(yè)網(wǎng)絡(luò)和耦接到工業(yè)網(wǎng)絡(luò)的工業(yè)儀器�。另外���,網(wǎng)絡(luò)可具有各種形式的網(wǎng)絡(luò)路徑,不管是有線的還是無線的�����。例如���,當(dāng)網(wǎng)絡(luò)是車載網(wǎng)絡(luò)時(shí)���,網(wǎng)絡(luò)不僅是CAN��,而且可以是Flex Ray(注冊商標(biāo))或MOST(媒體導(dǎo)向系統(tǒng)傳輸)����。
[0064]如上所述,供應(yīng)安裝在每個(gè)裝置上的諸如安全微計(jì)算機(jī)的MPUll的制造商的數(shù)量不限于一個(gè)��。如圖3中所示����,設(shè)備(X)1包括由T公司制造的網(wǎng)關(guān)裝置A(l)、由R公司制造的裝置B和以3_1和3_2)���、由S公司制造的裝置D和E(3_3和3_3)和由T公司制造的裝置F(3_5)�����。關(guān)于認(rèn)證�,考慮以下的各種形式,諸如安裝的MPU 11的供應(yīng)源執(zhí)行認(rèn)證��,裝置的供應(yīng)源執(zhí)行認(rèn)證�,以及設(shè)備(X)1的制造商執(zhí)行認(rèn)證。因此�,如圖3中所示,這些公司分別具有認(rèn)證服務(wù)器(認(rèn)證設(shè)備)7_1至7_3��。在這種情況下���,在網(wǎng)絡(luò)5中布置代理服務(wù)器(broker server)6�。代理服務(wù)器6從設(shè)備(X)1共同地接收認(rèn)證請求�����,然后將認(rèn)證信息分別分發(fā)給認(rèn)證服務(wù)器7_1至7_3��。由R公司制造的認(rèn)證服務(wù)器7_1具有寫入由R公司制造的裝置的產(chǎn)品ID(bbbb和cccc)的名單����,并且對由R公司制造的裝置執(zhí)行認(rèn)證���。由S公司制造的認(rèn)證服務(wù)器7_2具有寫入由S公司制造的裝置的產(chǎn)品ID(dddd和eeee)的名單,并且對由S公司制造的裝置執(zhí)行認(rèn)證�。由T公司制造的認(rèn)證服務(wù)器7_3具有寫入由T公司制造的裝置的產(chǎn)品ID(aaaa和ffff)的名單,并且對由T公司制造的裝置執(zhí)行認(rèn)證���。
[0065]將更詳細(xì)地描述裝置I和3_1至3_5與認(rèn)證服務(wù)器7_1至7_3之間的通信��。
[0066]圖4是裝置1(例如����,1����、3^�����、3_2�、3_3、3_4�、3_5或2)和認(rèn)證設(shè)備7(例如���,認(rèn)證設(shè)備7_1、7_2或7_3)之間的通信的說明圖����。裝置I保持例如用于認(rèn)證的附屬(機(jī)構(gòu))、裝置特有ID和秘密信息(特有密鑰)作為認(rèn)證信息�����。附屬(機(jī)構(gòu))在圖3中被表示為“售賣方ID”�����。附屬(機(jī)構(gòu))是指示應(yīng)該對裝置進(jìn)行認(rèn)證的認(rèn)證設(shè)備7的機(jī)構(gòu)的信息����。可以根據(jù)是否成功執(zhí)行認(rèn)證來確定機(jī)構(gòu)是否是附屬機(jī)構(gòu)����。在這種情況下,可從認(rèn)證信息中將附屬(機(jī)構(gòu))排除在外�。然而,更優(yōu)選的是使用附屬(機(jī)構(gòu)),因?yàn)榇矸?wù)器的處理可被簡化����。裝置特有ID例如是當(dāng)裝運(yùn)裝置時(shí)由裝置的供應(yīng)源寫入的ID。用于認(rèn)證的秘密信息(特有密鑰)被裝置的供應(yīng)源的設(shè)備寫入或更新����,或者可通過與裝置的供應(yīng)源的設(shè)備的通信而被更新。裝置I將通過加密明文而獲得的被加密的文本發(fā)送到認(rèn)證設(shè)備7���。接收被加密的文本的認(rèn)證設(shè)備7解密被加密的文本����,以將它返回到明文并且驗(yàn)證明文���。對于從認(rèn)證設(shè)備7到裝置I的通信��,同樣如此�����。認(rèn)證設(shè)備7將通過加密明文而獲得的被加密的文本發(fā)送到裝置I。接收被加密的文本的裝置I解密被加密的文本����,以將它返回到明文并且驗(yàn)證明文�。第三方無法產(chǎn)生被加密的文本�,并且第三方無法解密被加密的文本。
[0067]將基于圖1中示出的系統(tǒng)構(gòu)造更詳細(xì)地描述認(rèn)證信息的收集流程和由認(rèn)證設(shè)備7執(zhí)行的認(rèn)證�。
[0068]圖5是示出與圖1中示出的系統(tǒng)構(gòu)造對應(yīng)的認(rèn)證流程的示例的時(shí)序圖。圖6是示出在圖5中示出的認(rèn)證流程中發(fā)送和接收的消息的示例的說明圖�。上節(jié)點(diǎn)A(I)請求中間節(jié)點(diǎn)B(2)收集認(rèn)證信息(Sl-1)。接收收集認(rèn)證信息的請求的中間節(jié)點(diǎn)B(2)請求耦接位置比中間節(jié)點(diǎn)B(2)低的下節(jié)點(diǎn)C和0(3_1和3_2)收集認(rèn)證信息(S1-2和S1-3)��。下節(jié)點(diǎn)C(3_l)將下節(jié)點(diǎn)C特有的認(rèn)證信息作為響應(yīng)發(fā)送到中間節(jié)點(diǎn)B (2)(S1-4 )�,并且下節(jié)點(diǎn)D (3_2)將下節(jié)點(diǎn)D特有的認(rèn)證信息作為響應(yīng)發(fā)送到中間節(jié)點(diǎn)B (2)(S1-5)。中間節(jié)點(diǎn)B(2)組合來自下節(jié)點(diǎn)C和D (3_1和3_2)的響應(yīng)和中間節(jié)點(diǎn)B(2)的認(rèn)證信息���,并且將組合后的信息作為響應(yīng)發(fā)送到上節(jié)點(diǎn)A
(1)(Sl-6)0
[0069]如第三實(shí)施例中所詳細(xì)描述的���,可通過進(jìn)一步在比中間節(jié)點(diǎn)B(2)低的位置設(shè)置中間節(jié)點(diǎn)來形成分層網(wǎng)絡(luò)。在這種情況下�,認(rèn)證信息收集的請求和對請求的響應(yīng)的深度會受限。例如��,當(dāng)深度限于I時(shí)�����,執(zhí)行廣度優(yōu)先搜索。
[0070]圖7是示出當(dāng)耦接新的下節(jié)點(diǎn)E(3_3)時(shí)的認(rèn)證流程的示例的時(shí)序圖��。圖8是示出在圖7中示出的認(rèn)證流程中發(fā)送和接收的消息的示例的說明圖����。雖然圖5和圖6示出其中耦接并認(rèn)證兩個(gè)下節(jié)點(diǎn)C和0(3_1和3_2)的流程,但圖7和圖8示出在此后進(jìn)一步耦接下節(jié)點(diǎn)E(3_3)時(shí)的認(rèn)證流程����。在圖7和圖8中,省略了已經(jīng)被認(rèn)證的下節(jié)點(diǎn)C和0(3_1和3_2)����,并且只示出了新耦接的下節(jié)點(diǎn)E(3_3)。
[0071]檢測到耦接了新的下節(jié)點(diǎn)E(3_3)的中間節(jié)點(diǎn)B(2)向下節(jié)點(diǎn)E(3_3)發(fā)送認(rèn)證信息收集請求(S2-1)�。下節(jié)點(diǎn)E(3_3)將下節(jié)點(diǎn)E(3_3)特有的認(rèn)證信息作為響應(yīng)發(fā)送到中間節(jié)點(diǎn)B(2)。在接收到作為響應(yīng)的下節(jié)點(diǎn)E(3_3)的認(rèn)證信息之后����,中間節(jié)點(diǎn)B(2)將用于基于認(rèn)證信息來認(rèn)證下節(jié)點(diǎn)E(3_3)的請求發(fā)送到上節(jié)點(diǎn)A(I) (S2-3)。這里��,已經(jīng)認(rèn)證了中間節(jié)點(diǎn)B
(2),使得中間節(jié)點(diǎn)B(2)只產(chǎn)生下節(jié)點(diǎn)E(3_3)的認(rèn)證信息而不包括中間節(jié)點(diǎn)B(2)的認(rèn)證信息,并且將下節(jié)點(diǎn)E(3_3)的認(rèn)證信息發(fā)送到上節(jié)點(diǎn)A(I)�。下節(jié)點(diǎn)E(3_3)的認(rèn)證請求被依次重定向到上節(jié)點(diǎn)并且到達(dá)認(rèn)證設(shè)備7(S2-4)。認(rèn)證設(shè)備7通過參照由認(rèn)證設(shè)備7保持的白名單來確定節(jié)點(diǎn)E(3_3)是否是可信設(shè)備,并且將認(rèn)證結(jié)果作為響應(yīng)返回(S2-5)�����。該響應(yīng)被依次重定向到下節(jié)點(diǎn)���,并且中間節(jié)點(diǎn)B(2)可接收認(rèn)證結(jié)果(S2-6)��。
[0072]如以上參照圖5至圖8描述的���,中間節(jié)點(diǎn)B(2)從認(rèn)證設(shè)備7接收設(shè)備認(rèn)證的結(jié)果(S2-6)。中間節(jié)點(diǎn)B(2)關(guān)閉它自身和基于結(jié)果被確定為不可信的設(shè)備之間的通信����,并且向下節(jié)點(diǎn)C、D���、E(3j至3_3)發(fā)送關(guān)閉與被確定為不可信的設(shè)備的通信的通信控制信息���。下節(jié)點(diǎn)C、D����、E(3j至3_3)關(guān)閉它們自身和基于通信控制信息被確定為不可信的設(shè)備之間的通信�����。這里���,通信控制信息可以是用于表示通信伙伴裝置是否可信的確定結(jié)果并且關(guān)閉與不可信裝置的通信的控制信息。例如�����,通信控制信息可以是列出非法裝置的ID的非法節(jié)點(diǎn)信息�����,或者相反地����,可以是列出可信裝置的ID的經(jīng)認(rèn)證節(jié)點(diǎn)信息。
[0073]圖9是示出使用非法節(jié)點(diǎn)信息作為通信控制信息的情況的流程的說明圖���。圖10是示出使用經(jīng)認(rèn)證節(jié)點(diǎn)信息作為通信控制信息的情況的流程的說明圖���。在圖9和圖10中,只有下節(jié)點(diǎn)C(3_l)被示出為下節(jié)點(diǎn)�,以及其它下節(jié)點(diǎn)D和E(3_2和3_3)被省略�����。然而,發(fā)送的消息是一樣的����。
[0074]如圖9中所示,中間節(jié)點(diǎn)B(2)可從認(rèn)證設(shè)備7接收非法節(jié)點(diǎn)信息作為設(shè)備認(rèn)證的結(jié)果(S4-1)��,并且將非法節(jié)點(diǎn)信息作為通信控制信息發(fā)送到下節(jié)點(diǎn)C�����、D和E(3j至3_3)(S4-2)0
[0075]如圖10中所示�����,中間節(jié)點(diǎn)B(2)可從認(rèn)證設(shè)備7接收經(jīng)認(rèn)證節(jié)點(diǎn)信息作為設(shè)備認(rèn)證的結(jié)果(S5-1)��,并且將經(jīng)認(rèn)證節(jié)點(diǎn)信息作為通信控制信息發(fā)送到下節(jié)點(diǎn)C����、D和E(3_l至3_3)(S5-2)。
[0076]圖11是示出當(dāng)耦接新的下節(jié)點(diǎn)E(3_3)時(shí)的認(rèn)證流程的另一個(gè)示例的時(shí)序圖�。圖12是示出在圖11中示出的認(rèn)證流程中發(fā)送和接收的消息的示例的說明圖�。圖7和圖8示出當(dāng)圖5和圖6中示出的兩個(gè)下節(jié)點(diǎn)C和D(3j和3_2)被認(rèn)證并且此后下節(jié)點(diǎn)E(3_3)被新耦接時(shí)的認(rèn)證流程��。圖7和圖8示出其中中間節(jié)點(diǎn)B(2)檢測到新的下節(jié)點(diǎn)E(3_3)被耦接并且發(fā)送認(rèn)證信息收集請求的流程�����。另一方面����,這里,將參照圖11和圖12描述當(dāng)新耦接的下節(jié)點(diǎn)E(3_3)獨(dú)立地請求認(rèn)證時(shí)的認(rèn)證流程�。
[0077]新耦接到中間節(jié)點(diǎn)B(2)的下節(jié)點(diǎn)E(3_3)將基于下節(jié)點(diǎn)E(3_3)的認(rèn)證信息的票證獲取請求發(fā)送到中間節(jié)點(diǎn)B(2)(S3-1)。這里��,“票證”是僅可由可認(rèn)證節(jié)點(diǎn)E(3_3)的認(rèn)證設(shè)備產(chǎn)生的信息��,以及認(rèn)證設(shè)備7與節(jié)點(diǎn)E(3_3)共享節(jié)點(diǎn)E(3_3)的特有ID和密鑰�����,使得認(rèn)證設(shè)備7可產(chǎn)生節(jié)點(diǎn)E (3_3)的票證�����。從節(jié)點(diǎn)E (3_3)接收票證獲取請求的中間節(jié)點(diǎn)B (2)將票證獲取請求重定向到上節(jié)點(diǎn)A(l)(S3-2)。該請求被重定向直至認(rèn)證設(shè)備7(S3-3)�����,以及認(rèn)證設(shè)備7產(chǎn)生節(jié)點(diǎn)E(3_3)的票證���。此時(shí)��,只有當(dāng)節(jié)點(diǎn)E(3_3)是可信裝置時(shí),認(rèn)證設(shè)備7才可產(chǎn)生節(jié)點(diǎn)E(3_3)的票證����。例如,因?yàn)檎J(rèn)證設(shè)備7與可信節(jié)點(diǎn)E(3_3)共享特有ID和密鑰�����,所以認(rèn)證設(shè)備7可產(chǎn)生可信節(jié)點(diǎn)E(3_3)的票證���。然而��,當(dāng)節(jié)點(diǎn)E(3_3)是不可信裝置時(shí)�����,認(rèn)證設(shè)備7無法產(chǎn)生對應(yīng)的票證��,因?yàn)檎J(rèn)證設(shè)備7沒有與不可信裝置共享ID和密鑰����。由認(rèn)證設(shè)備7產(chǎn)生的票證被依次重定向到下節(jié)點(diǎn)(S3-4和S3-5),以及中間節(jié)點(diǎn)B(2)接收票證并且將票證傳遞到節(jié)點(diǎn)E(3_3)(S3-6)0
[0078]由此���,當(dāng)終端設(shè)備被新耦接到通信路徑時(shí)�,可以獨(dú)立地從新終端設(shè)備獲得要從通信路徑中被排出在外的非法設(shè)備的信息�。
[0079]在第四實(shí)施例中,將進(jìn)一步詳細(xì)描述其中新添加的設(shè)備是如上所述的認(rèn)證請求的對象的實(shí)施例�。
[0080]第二實(shí)施例〈兩步認(rèn)證〉
[0081 ]圖13是示出第二實(shí)施例的系統(tǒng)構(gòu)造示例的框圖。
[0082]在諸如車輛的設(shè)備(X)1中���,安裝多個(gè)電子控制單元(ECU)����,也就是說���,網(wǎng)關(guān)ECU1�、ECU(B)3_0PECU(C)3_2���,這些ECU通過網(wǎng)絡(luò)4_1至4_3(諸如設(shè)備內(nèi)部的CAN)分層耦接���。網(wǎng)關(guān)ECU I可通過外部網(wǎng)絡(luò)5與外部認(rèn)證設(shè)備7通信�����。外部網(wǎng)絡(luò)5是任意的通信網(wǎng)絡(luò)����,不管是有線的還是無線的���。網(wǎng)關(guān)ECU I可詢問位于外部網(wǎng)絡(luò)5上的認(rèn)證設(shè)備7是否裝置(網(wǎng)關(guān)ECU UECU(B) 3_1和ECU (C) 3_2)的特有ID被包括在白名單中。
[0083]在設(shè)備(X) 10啟動之后���,網(wǎng)關(guān)ECU 1��、ECU(B)3_0PECU(C)3_2彼此進(jìn)行認(rèn)證并且建立耦接�����。這是本地相互耦接認(rèn)證��。大約在這個(gè)時(shí)間����,網(wǎng)關(guān)E⑶I將作為網(wǎng)關(guān)E⑶I的認(rèn)證信息并且處于加密狀態(tài)的ID和特有密鑰發(fā)送到認(rèn)證設(shè)備7并且接收認(rèn)證結(jié)果。
[0084]此后��,網(wǎng)關(guān)ECU I請求ECU(B)3_0PECU(C)3_2發(fā)送特有ID并且獲取認(rèn)證信息����,以便開始與每個(gè)ECU進(jìn)行通信。這里�,認(rèn)證信息例如是每個(gè)ECU特有的ID和特有密鑰。在認(rèn)證信息被每個(gè)ECU加密的狀態(tài)下獲取認(rèn)證信息��。網(wǎng)關(guān)ECU I通過網(wǎng)絡(luò)5將從ECU(B)3_1和ECU(C)3_2獲取的認(rèn)證信息發(fā)送到認(rèn)證設(shè)備7并且請求認(rèn)證����。接收到認(rèn)證請求的認(rèn)證設(shè)備7使用與每個(gè)ECU對應(yīng)的接收到的特有密鑰和由認(rèn)證設(shè)備7保持的共享密鑰來執(zhí)行認(rèn)證協(xié)議以認(rèn)證每個(gè)E⑶,檢查ECU(B)3_1和E⑶(C)3_2的ID是否被包括在白名單中����,并且將以上認(rèn)證結(jié)果返回到網(wǎng)關(guān)ECU I。
[0085]這里����,假設(shè)E⑶(B)3_l的外部認(rèn)證成功而E⑶(C)3_2的外部認(rèn)證失敗。換句話講�,假設(shè)ECU (B) 3_1的特有ID存在于由認(rèn)證設(shè)備7保持的白名單中���,但ECU (C) 3_2的特有ID沒有存在于白名單中?�;谡J(rèn)證結(jié)果��,網(wǎng)關(guān)ECU I開始與外部認(rèn)證成功的ECU(B)3_1的通信�����,斷開與外部認(rèn)證失敗的ECU(C)3_2的通信�,并且將ECU(C)3_2的認(rèn)證失敗告知ECU(B)3_UECU(B)3_I接收以上信息并且斷開與E⑶(C)3_2的通信。
[0086]這里�,在進(jìn)行本地相互耦接認(rèn)證的狀態(tài)下,允許通過通信路徑4 j至4_3發(fā)送和接收進(jìn)行外部認(rèn)證所需的最少消息�����,并且在外部認(rèn)證成功之后���,只有外部認(rèn)證成功的通信路徑可變成允許發(fā)送和接收特定控制信息的狀態(tài)。另一方面�,關(guān)于斷開外部認(rèn)證失敗的ECU的通信路徑,可在物理層中切斷信號或者可在上邏輯層中丟棄信號����。在上述的示例中�����,斷開通信路徑4_2和4_3���。
[0087]如上所述,在設(shè)備(X)1中�,通過使用外部認(rèn)證設(shè)備7執(zhí)行兩步認(rèn)證,使得可以將無法只通過設(shè)備(X)1內(nèi)部的信息而被排除在外的非法ECU(以上示例中的ECU(C)3_2)排除在夕卜���,并且可以確保系統(tǒng)的魯棒性����。然而�,當(dāng)設(shè)備(X)1是車輛并且每個(gè)ECU是車載電子控制單元時(shí),如果通信無一例外都被斷開�,則認(rèn)為車輛變得不能行駛。因此���,它可被構(gòu)造成詢問用戶(車輛駕駛員)是否斷開與被確定為非法的ECU的通信�����,并且根據(jù)用戶指令保持與被確定為非法的E⑶的通信��。
[0088]共享總線類型耦接
[0089]圖14是示出第二實(shí)施例的另一個(gè)系統(tǒng)構(gòu)造示例的框圖�����。通過用共享總線類型耦接替代如上所述的星型耦接(圖13)來構(gòu)造設(shè)備(X)1中的網(wǎng)絡(luò)���。
[0090]—般�,在共享總線類型耦接網(wǎng)絡(luò)中��,耦接在同一總線上的裝置被分別賦予單獨(dú)的地址�,并且基于單獨(dú)的地址發(fā)送和接收信息。在此描述中�����,假設(shè)將地址12.34.56.1����、12.34.56.2和12.34.56.3分別分派給網(wǎng)關(guān)ECU 1�����、ECU(B)3_0PECU(C)3_2。在共享總線類型耦接網(wǎng)絡(luò)的通信中�,使用這些地址,并且將其中目的地地址和發(fā)送源地址被提供給作為有效載荷的發(fā)送數(shù)據(jù)的消息(數(shù)據(jù)包)發(fā)送到總線���。
[0091]圖15是示出共享總線類型耦接網(wǎng)絡(luò)中的通信數(shù)據(jù)包的構(gòu)造示例的說明圖�。示出了從ECU(B)3_1發(fā)送到目的地(也就是說���,ECU(C)3_2)的數(shù)據(jù)包���。被定義為目的地的ECU(C)3_2的地址12.34.56.3和被定義為發(fā)送源的ECU( B)3_l的地址12.34.56.2被提供給作為有效載荷的發(fā)送數(shù)據(jù)。
[0092]當(dāng)這個(gè)數(shù)據(jù)包被發(fā)送到總線4時(shí)��,網(wǎng)關(guān)ECUI沒有接收數(shù)據(jù)包���,因?yàn)楸惶峁┙o數(shù)據(jù)包的目的地12.34.56.3并不對應(yīng)于網(wǎng)關(guān)ECU I的12.34.56.1 <^0](03_2接收這個(gè)數(shù)據(jù)包��,因?yàn)槟康牡貙?yīng)于ECU(C)3_2的地址12.34.56.3���。因此,其中目的地是12.34.56.3并且發(fā)送源是12.34.56.2的通信可等同于圖13中示出的通信路徑4_3中的從ECU(B)3j發(fā)送到ECU(C)3_2的通信��。
[0093]另一方面�,其中ECU(B) 3_1的地址12.34.56.2被定義為目的地并且ECU(C) 3_2的地址12.34.56.3被定義為發(fā)送源的數(shù)據(jù)包是從ECU(C)3_2到ECU(B)3_1的通信�。因此��,其中目的地是12.34.56.2并且發(fā)送源是12.34.56.3的通信可等同于圖13中示出的通信路徑4_3中的從ECU(C)3_2發(fā)送到ECU(B)3_1的通信�����。
[0094]以這種方式��,可假定總線上的E⑶(B)3_l和ECU(C)3_2之間的通信是一對一星型耦接的通信路徑4_3上的通信���。
[0095]以相同方式�,可假定其中目的地是12.34.56.1并且發(fā)送源是12.34.56.2的通信和其中目的地是12.34.56.2并且發(fā)送源是12.34.56.1的通信是網(wǎng)關(guān)ECU I和ECU(B)3_1之間的一對一星型耦接的通信路徑4_1上的通信����。另外,可假定其中目的地是12.34.56.1并且發(fā)送源是12.34.56.3的通信和其中目的地是12.34.56.3并且發(fā)送源是12.34.56.1的通信是網(wǎng)關(guān)E⑶I和E⑶(C) 3_2之間的一對一星型耦接的通信路徑4_2上的通信�����。
[0096]因此�,可基于其中各個(gè)EC以星形耦接的網(wǎng)絡(luò)(圖13),討論包括網(wǎng)關(guān)ECUUECU(B)3_0PECU(C)3_2的總線類型網(wǎng)絡(luò)(圖14)���。
[0097]即使當(dāng)耦接到總線的E⑶的數(shù)量增加時(shí)��,也可以進(jìn)行類似的討論�����。
[0098]圖16是示出當(dāng)耦接到安裝在設(shè)備(X)10上的總線類型網(wǎng)絡(luò)的ECU的數(shù)量增至5時(shí)的系統(tǒng)構(gòu)造示例的框圖�。網(wǎng)關(guān)E⑶I和E⑶(BI) 3_1至E⑶(B4) 3_4耦接到總線4�����。
[0099]圖17是示出與圖16對應(yīng)的其中E⑶的數(shù)量是5的星型耦接網(wǎng)絡(luò)被安裝在設(shè)備(X)1上的情況的系統(tǒng)構(gòu)造示例的框圖����。這可被假定為包括布線的星型耦接網(wǎng)絡(luò),其中布線的數(shù)量對應(yīng)于發(fā)送源和目的地的組合的數(shù)量�。在這種情況下,網(wǎng)絡(luò)的結(jié)構(gòu)是頂點(diǎn)(apex)數(shù)量為5的完整圖�����。
[0100]此時(shí)���,可以實(shí)現(xiàn)每個(gè)網(wǎng)絡(luò)中的廣播通信���,并且可在假設(shè)兩個(gè)網(wǎng)絡(luò)是相同的情況下討論這兩個(gè)網(wǎng)絡(luò)�����。在圖16中示出的總線類型網(wǎng)絡(luò)中�,網(wǎng)關(guān)E⑶I和ECU(B1)3_1至E⑶(B4)3_4的地址被分別定義為12.34.56.1至12.34.56.5���。此時(shí)��,通過使用其最低有效位被掩蔽的地址值(諸如���,12.34.56.*)作為目的地來實(shí)現(xiàn)從一個(gè)ECU(例如,ECU(B1)3-1)到網(wǎng)關(guān)ECU I和其它ECU(ECU(B2)3_2至E⑶(B4)3_4)的廣播通信�����。另一方面��,在圖17中示出的星型網(wǎng)絡(luò)中�,通過同時(shí)將同一數(shù)據(jù)發(fā)送到通信路徑4_10、4_12�、4_13和4_14來實(shí)現(xiàn)廣播通信。
[0101]因此�,即使當(dāng)耦接到總線的ECU的數(shù)量增加時(shí),也可形成等效的星型網(wǎng)絡(luò),使得可以進(jìn)行與對總線型網(wǎng)絡(luò)的討論類似的討論����。
[0102]雖然在第二實(shí)施例中描述了如圖13和圖14中所示的包括一個(gè)網(wǎng)關(guān)ECU和其它兩個(gè)ECU的設(shè)備X,但是ECU的數(shù)量和網(wǎng)絡(luò)的結(jié)構(gòu)可任意改變����。
[0103]第三實(shí)施例〈分層網(wǎng)絡(luò)〉
[0104]在上述的第二實(shí)施例中�����,描述了在設(shè)備X中的通信路徑4中可任意改變ECU的數(shù)量和網(wǎng)絡(luò)的結(jié)構(gòu)���。然而���,包括通信路徑4的網(wǎng)絡(luò)可被分層。即使當(dāng)ECU的網(wǎng)絡(luò)具有多層樹結(jié)構(gòu)時(shí)����,也可以通過對每個(gè)層執(zhí)行認(rèn)證并且增加可靠節(jié)點(diǎn)的數(shù)量來認(rèn)證整個(gè)系統(tǒng)。
[0105]圖18是示出第三實(shí)施例的系統(tǒng)構(gòu)造示例的框圖��。
[0106]在諸如車輛的設(shè)備(Y)1中�����,安裝包括網(wǎng)關(guān)ECU I的多個(gè)ECU,網(wǎng)關(guān)ECU I可通過外部網(wǎng)絡(luò)5與外部認(rèn)證設(shè)備7通信����,以及這些E⑶通過網(wǎng)絡(luò)4_1至4_8(諸如,設(shè)備內(nèi)部的CAN)分層耦接���。分別通過通信路徑4_1至4_4與網(wǎng)關(guān)ECU I直接耦接的ECU(B1)3_1�、ECU(B2)3_2����、ECU(B3)2j和ECU(B4)3_3是第一層。其中��,ECU(B3)2_1是第二層的中繼設(shè)備(中間節(jié)點(diǎn))���。分別通過通信路徑4_5至4_7與中繼ECU(B3)2_1直接耦接的ECU(C1)3_4�、ECU(C2)2_2�、和ECU(C3)3_5是第二層。其中�����,ECU(C2)2_2是第三層的中繼設(shè)備(中間節(jié)點(diǎn))。通過通信路徑4_8與中繼ECU(C2)2_2直接耦接的ECU(D)3_6是第三層����。與網(wǎng)關(guān)ECU I沒有直接耦接的ECU(C1 )3_4、ECU(C2) 2_2�、ECU (C3) 3_5 和 ECU (D) 3_6 通過每個(gè) ECU所耦接的中繼ECU (B3) 2_1 或中繼 ECU (C2)2_2與網(wǎng)關(guān)E⑶I或另一層中的E⑶通信。
[0107]在設(shè)備(Y)1啟動之后�����,包括網(wǎng)關(guān)ECUI的多個(gè)ECU彼此執(zhí)行本地相互耦接認(rèn)證并且建立耦接���。大約在這個(gè)時(shí)間,網(wǎng)關(guān)ECU I將作為網(wǎng)關(guān)ECU I的認(rèn)證信息并且處于加密狀態(tài)的ID和特有密鑰發(fā)送到認(rèn)證設(shè)備7并且接收認(rèn)證結(jié)果���。
[0108]此后����,通過網(wǎng)關(guān)ECU I執(zhí)行用于接收對第一層中的每個(gè)ECU的外部認(rèn)證的處理�����。網(wǎng)關(guān)ECU I從第一層中的ECU(B1)3_1�����、ECU(B2)3_2、ECU(B3)2_1 和ECU(B4)3_3收集認(rèn)證信息��,并且將認(rèn)證信息發(fā)送到認(rèn)證設(shè)備7以請求認(rèn)證����。認(rèn)證設(shè)備7使用白名單執(zhí)行認(rèn)證,并且將認(rèn)證結(jié)果返回到網(wǎng)關(guān)ECU I���。網(wǎng)關(guān)ECU I開始與第一層中的ECU(B1)3_1�����、ECU(B2)3_2�����、ECU(B3)2_0PECU(B4)3_3之中的外部認(rèn)證成功的ECU的通信���。本地相互認(rèn)證之后的通信限于發(fā)送和接收外部認(rèn)證的消息。然而���,在這個(gè)階段中的通信中放開限制����。
[0109]隨后,通過經(jīng)外部認(rèn)證的中繼ECU(B3)2_1執(zhí)行用于接收對第二層中的每個(gè)ECU的外部認(rèn)證的處理�。然而,當(dāng)對中繼ECU(B3)2j的外部認(rèn)證失敗時(shí)����,不執(zhí)行此后的認(rèn)證處理。中繼ECU(B3)2_1從第二層中的ECU(C1)3_4����、ECU(C2)2_2和ECU(C3)3_5收集認(rèn)證信息,并且將認(rèn)證信息發(fā)送到網(wǎng)關(guān)E⑶I以請求認(rèn)證���。接收認(rèn)證請求的網(wǎng)關(guān)ECU I將認(rèn)證請求發(fā)送到認(rèn)證設(shè)備7以請求認(rèn)證。認(rèn)證設(shè)備7使用白名單執(zhí)行認(rèn)證�,并且將認(rèn)證結(jié)果返回到網(wǎng)關(guān)ECU I。接收結(jié)果的網(wǎng)關(guān)ECU I將結(jié)果傳遞到中繼ECU(B3)2_1(重定向)����。中繼ECU(B3)2_1開始與第二層中的E⑶(C1)3_4、E⑶(C2)2_2和E⑶(C3)3_5之中的外部認(rèn)證成功的E⑶的通信�����。
[0110]隨后,通過經(jīng)外部認(rèn)證的中繼ECU(C2)2_2執(zhí)行用于接收對第三層中的每個(gè)ECU的外部認(rèn)證的處理���。然而��,當(dāng)對中繼ECU (C2) 2_2的外部認(rèn)證失敗時(shí)�����,不執(zhí)行此后的認(rèn)證處理�����。中繼ECU(C2)2_2從第三層中的ECU(D)3_6收集認(rèn)證信息�����,并且將認(rèn)證信息發(fā)送到中繼ECU(B3)2j以請求認(rèn)證����。接收認(rèn)證請求的ECU(B3)2j將請求重定向到網(wǎng)關(guān)ECU I��。從中繼ECU(B3)2_l接收請求的網(wǎng)關(guān)ECU I將請求發(fā)送到認(rèn)證設(shè)備7以請求認(rèn)證��。認(rèn)證設(shè)備7使用白名單執(zhí)行認(rèn)證����,并且將認(rèn)證結(jié)果返回到網(wǎng)關(guān)ECU I���。接收結(jié)果的網(wǎng)關(guān)ECU I將結(jié)果重定向到中繼E⑶(B3)2_l。接收被重定向的認(rèn)證結(jié)果的中繼ECU(B3)2_1進(jìn)一步將認(rèn)證結(jié)果重定向到中繼ECU(C2)2_2�����。當(dāng)ECU(D)3_6成功執(zhí)行外部認(rèn)證時(shí)����,中繼ECU(C2)2_2開始與ECU(D)3_6的通信。
[0111]如上所述���,即使當(dāng)ECU的網(wǎng)絡(luò)具有多層樹結(jié)構(gòu)時(shí)���,也可以通過對每個(gè)層執(zhí)行認(rèn)證并且增加可靠節(jié)點(diǎn)的數(shù)量來認(rèn)證整個(gè)系統(tǒng)�。
[0112]當(dāng)對ECU的外部認(rèn)證失敗時(shí),網(wǎng)關(guān)ECU 1�、中繼ECU(B3)2j或中繼ECU(C2)2_2斷開與認(rèn)證失敗的ECU的通信。當(dāng)由于對第一層中的每個(gè)EQJ的外部認(rèn)證而導(dǎo)致對ECU(B1 )3_1的認(rèn)證失敗時(shí)���,網(wǎng)關(guān)ECU I斷開與ECU(B1 )3_1的通信�����。當(dāng)由于對第二層中的每個(gè)ECU的外部認(rèn)證而導(dǎo)致對ECU(C1 )3_4的認(rèn)證失敗時(shí)���,網(wǎng)關(guān)E⑶I將外部認(rèn)證的結(jié)果重定向到中繼E⑶(B3)2j��,并且中繼ECU(B3)2j斷開與ECU(C1)3_4的通信�����。當(dāng)由于對第二層中的每個(gè)E⑶的外部認(rèn)證而導(dǎo)致對中繼ECU(C2) 2_2的認(rèn)證失敗時(shí)�,網(wǎng)關(guān)ECU I將外部認(rèn)證的結(jié)果重定向到中繼ECU(B3)2_1���,并且中繼ECU(B3)2_1斷開與中繼ECU(C2)2_2的通信�����。結(jié)果�,不對第三層中的ECU(D)3_6執(zhí)行外部認(rèn)證��。
[0113]在以上描述中����,描述了對每個(gè)層順序執(zhí)行用于接收外部認(rèn)證的處理的實(shí)施例����。然而�����,可共同地執(zhí)行處理的全部或一部分���。
[0114]在設(shè)備(Y)10啟動之后����,包括網(wǎng)關(guān)ECU I的多個(gè)ECU彼此執(zhí)行本地相互耦接認(rèn)證并且建立耦接����。大約在這個(gè)時(shí)間,網(wǎng)關(guān)ECU I將作為網(wǎng)關(guān)ECU I的認(rèn)證信息并且處于加密狀態(tài)的ID和特有密鑰發(fā)送到認(rèn)證設(shè)備7并且接收認(rèn)證結(jié)果�。
[0115]首先,網(wǎng)關(guān)ECUI請求第一層中的ECU(BI)3_1�����、ECU(B2)3_2�����、ECU(B3)2_1 和ECU(B4)3_3來收集認(rèn)證信息�。中繼ECU(B3)2_1請求第二層中的ECU(C1)3_4、ECU(C2)2_2和ECU(C3)3_5來收集認(rèn)證信息�����。中繼E⑶(C2) 2_2請求第三層中的E⑶(D) 3_6來收集認(rèn)證信息���。
[0116]第一層中的ECU(B1 )3_1���、ECU(B2)3_2和ECU(B4)3_3將它們自身的認(rèn)證信息作為響應(yīng)返回到網(wǎng)關(guān)ECU I。第二層中的ECU(C1)3_4和ECU(C3)3_5將它們自身的認(rèn)證信息作為響應(yīng)返回到中繼ECU(B3)2_1�����。第三層中的ECU(D)3_6將它自身的認(rèn)證信息作為響應(yīng)返回到中*|ECU(C2)2_2���。
[0117]網(wǎng)關(guān)ECU I存儲從ECU(B1)3_1��、ECU(B2)3_2和ECU(B4)3_3接收的認(rèn)證信息���,并且等待來自中繼ECU(B3)2_1的響應(yīng)。中繼ECU(B3)2_1存儲從ECU(C1)3_4和ECU(C3)3_5接收的認(rèn)證信息,并且等待來自中繼E⑶(C2)2_2的響應(yīng)����。
[0118]中繼E⑶(C2)2_2將從E⑶(D) 3_6接收的認(rèn)證信息和它自身的認(rèn)證信息作為響應(yīng)返回到中繼 ECU(B3)2_1。中繼 ECU(B3)2_1 將從 ECU(C2)2_2 接收的 ECU(D)3_6 和 ECU(C2)2_2 的認(rèn)證信息���、從E⑶(Cl) 3_4和ECU (C3) 3_5接收的存儲的認(rèn)證信息�����、和它自身的認(rèn)證信息作為響應(yīng)返回到網(wǎng)關(guān)ECUl����。網(wǎng)關(guān)ECU I組合從中繼ECU (B3) 2_1接收的ECU (D) 3_6��、ECU (C2) 2_2��、ECU (CI) 3_4�����、ECU (C3) 3_5 和ECU (B3) 2_1 的認(rèn)證信息���、存儲的 ECU (BI) 3_1�、ECU (B2) 3_2和ECU(B4)3_3的認(rèn)證信息、和它自身的認(rèn)證信息�����,并且將對組合后的認(rèn)證信息的認(rèn)證請求發(fā)送到認(rèn)證設(shè)備7����。
[0119]認(rèn)證設(shè)備7對接收到的每條認(rèn)證信息執(zhí)行認(rèn)證���,并且將認(rèn)證結(jié)果返回到網(wǎng)關(guān)ECUI�。網(wǎng)關(guān)E⑶I基于外部認(rèn)證結(jié)果將經(jīng)認(rèn)證節(jié)點(diǎn)信息發(fā)送到第一層中的E⑶(BI)3_1�����、ECT(B2)3_2�����、ECU(B3)2_1和ECU(B4)3_3����。中繼ECU(B3)2_1將從網(wǎng)關(guān)ECU I接收的經(jīng)認(rèn)證節(jié)點(diǎn)信息重定向到第二層中的 ECU (CI) 3_4、ECU (C2) 2_2 和 ECU (C3) 3_5��。中繼 ECU (C2) 2_2 將從中繼 ECU(B3)2_l接收的經(jīng)認(rèn)證節(jié)點(diǎn)信息重定向到第三層中的ECU(D)3_6。這里���,可進(jìn)行改變���,使得發(fā)送和接收非法節(jié)點(diǎn)信息而不是經(jīng)認(rèn)證節(jié)點(diǎn)信息。
[0120]以這種方式�����,完成對整個(gè)設(shè)備(Y)10的外部認(rèn)證���。
[0121]將描述當(dāng)在這里描述的認(rèn)證方法中混有非法節(jié)點(diǎn)(不可信ECU)時(shí)執(zhí)行的操作���。作為示例,假設(shè)中繼ECU(C2) 2_2是非法節(jié)點(diǎn)(不可信ECU)���。對認(rèn)證信息的收集請求和響應(yīng)與上述的那些相同���,網(wǎng)關(guān)ECU I組合ECU(B1)3_1、ECU(B2)3_2���、ECU(B3)2_1���、ECU(B4)3_3����、ECU(C1)3_4��、ECU (C2) 2_2���、ECU (C3) 3_5和ECU (D) 3_6的認(rèn)證信息和網(wǎng)關(guān)ECU I的認(rèn)證信息,并且將對組合后的認(rèn)證信息的認(rèn)證請求發(fā)送到認(rèn)證設(shè)備7 ο認(rèn)證設(shè)備7對接收到的每條認(rèn)證信息執(zhí)行認(rèn)證�����,并且將認(rèn)證結(jié)果返回到網(wǎng)關(guān)ECU I�����。在這種情況下��,認(rèn)證信息包括指示對ECU(C2)2_2的認(rèn)證失敗(因?yàn)镋CU(C2)2_2是非法裝置)的結(jié)果和指示對其它ECU成功認(rèn)證的結(jié)果�����。
[0122]從認(rèn)證設(shè)備7接收認(rèn)證結(jié)果的網(wǎng)關(guān)ECUI參照認(rèn)證結(jié)果��,并且將非法節(jié)點(diǎn)信息發(fā)送到第一層中的 ECU(Bl)3j、ECU(B2)3_2��、ECU(B3)2_l 和 ECU(B4)3_3 之中的認(rèn)證成功的 ECU�����。在這個(gè)示例中�����,對第一層中的每個(gè)ECU的認(rèn)證成功����,使得網(wǎng)關(guān)ECU I將非法節(jié)點(diǎn)信息發(fā)送到第一層中的所有ECU。中繼ECU(B3)2j參照從網(wǎng)關(guān)ECU I接收的非法節(jié)點(diǎn)信息��,并且將非法節(jié)點(diǎn)信息發(fā)送到第二層中的ECU(C1)3_4��、ECU(C2)2_2和ECU(C3)3_5之中的認(rèn)證成功的ECU����。在這個(gè)示例中,對ECU(C1)3_^PECU(C3)3_5的認(rèn)證成功���,使得中繼ECU(B3)2_1將非法節(jié)點(diǎn)信息發(fā)送到ECU(C1)3_^PECU(C3)3_5�。然而,對ECU(C2)2_2的認(rèn)證失敗��,使得中繼ECU(B3)2_1斷開與中繼E⑶(C2)2_2的通信�。結(jié)果,非法節(jié)點(diǎn)信息沒有被發(fā)送到比中繼E⑶(C2)2_2低的ECU(D)3_6���,并且ECU(D)3_6無法與其它ECU通信�����,而不管ECU(D)3_6是可信的還是不可信的。
[0123]隨后����,網(wǎng)關(guān)ECU I將經(jīng)認(rèn)證節(jié)點(diǎn)信息發(fā)送到第一層中的ECU(B1)3_1、ECU(B2)3_2���、ECU (B3) 2_1和ECU (B4) 3_3�����。從網(wǎng)關(guān)ECU I接收經(jīng)認(rèn)證節(jié)點(diǎn)信息的中繼ECU (B3) 2 j將經(jīng)認(rèn)證節(jié)點(diǎn)信息重定向到除了被通知為非法節(jié)點(diǎn)的ECU(C2)2_2之外的ECU(C1)3_4和ECU(C3)3_5����。盡管認(rèn)證節(jié)點(diǎn)信息此時(shí)包括ECU(D)3_6,但是每個(gè)節(jié)點(diǎn)無法與ECU(D)3_6通信�,使得如果確定信息不是必需的,則每個(gè)節(jié)點(diǎn)可丟棄ECU(D) 3_6的信息���。
[0124]如上所述��,當(dāng)對ECU(C2) 2_2的外部認(rèn)證(使用白名單進(jìn)行的認(rèn)證)失敗時(shí)����,將ECU(C2)2_2不是正常裝置通知給其它裝置����,并且使得其它裝置斷開與ECU(C2)2_2的通信。另夕卜����,不可能保證通過ECU(C2)2_2進(jìn)行的通信的安全性,使得不執(zhí)行與比ECU(C2)2_2低的層中耦接的ECU(D)3_6的通信����。然而,當(dāng)設(shè)備(Y) 10是車輛并且每個(gè)ECU是車載電子控制單元時(shí)�,如果通信無一例外都被斷開,則認(rèn)為車輛變得不能行駛。因此���,它可被構(gòu)造成詢問用戶(車輛駕駛員)是否斷開與被確定為非法的ECU的通信�����,并且根據(jù)用戶指令保持與被確定為非法的E⑶的通信�����。
[0125]如上所述�,即使當(dāng)裝置(E⑶)之間的通信需要經(jīng)過多個(gè)裝置時(shí)���,也可以通過逐步地確保通信的安全性來保證整個(gè)系統(tǒng)的安全性����。即使當(dāng)在系統(tǒng)中混有非法裝置時(shí)�,非法裝置的效果也可限于屬于只可由非法裝置訪問的下部區(qū)域的裝置�����。
[0126]另外�,將描述實(shí)現(xiàn)圖18中示出的分層網(wǎng)絡(luò)的分層總線網(wǎng)絡(luò)和使用生成樹的樹型結(jié)構(gòu)之間的對應(yīng)關(guān)系。
[0127]圖19是示出通過分層總線網(wǎng)絡(luò)形成圖18中示出的分層網(wǎng)絡(luò)的示例的說明圖。以與圖18中相同的方式����,在設(shè)備(Y)1中,安裝包括網(wǎng)關(guān)ECU I的多個(gè)ECU�����,網(wǎng)關(guān)ECU I可通過外部網(wǎng)絡(luò)5與外部認(rèn)證設(shè)備7通信��,并且這些ECU通過形成設(shè)備內(nèi)部的分層總線網(wǎng)絡(luò)的總線4_21和4_22以及一對一通信路徑4_8而分層耦接�。總線4_21將網(wǎng)關(guān)E⑶I和第一層中的ECU(B1)3_
1�、ECU(B2)3_2、ECU(B3)2_1 和 ECU(B4)3_3 相互耦接����。此時(shí),ECU(B3)2_1 是第二層的中繼設(shè)備(中間節(jié)點(diǎn))��?�?偩€ 4_22 將中繼 ECU(B3)2_1 和第二層中的 ECU(C1)3_4�����、ECU(C2)2_2 和 ECU(C3)3_5相互耦接。此時(shí)��,EOT(C2)2_2是下層的中繼設(shè)備(中間節(jié)點(diǎn))����。通過一對一通信路徑4_8直接耦接的中繼E⑶(C2) 2_2和E⑶(D) 3_6是分層總線網(wǎng)絡(luò)的第三層。
[0128]圖20是示出用可等同于分層總線網(wǎng)絡(luò)的完整圖結(jié)構(gòu)的網(wǎng)絡(luò)替換圖19中示出的分層總線網(wǎng)絡(luò)的示例的說明圖����。可用包括通信路徑4_1至4_4和4_10至4_15的完整圖結(jié)構(gòu)的網(wǎng)絡(luò)替換圖19中的第一層中的總線4_21�。可用包括通信路徑4_5至4_7和4_16至4_18的完整圖結(jié)構(gòu)的網(wǎng)絡(luò)替換圖19中的第二層中的總線4_22�。以這種方式,可假定整個(gè)網(wǎng)絡(luò)是其中多個(gè)完整圖通過中繼ECU耦接的結(jié)構(gòu)�����。在圖20中示出的示例中����,總線4_21可等同于具有5個(gè)頂點(diǎn)的完整圖���,總線4_22可等同于具有4個(gè)頂點(diǎn)的完整圖���,并且使用中繼ECU(B3)2_1作為節(jié)點(diǎn)來親接完整圖�����。
[0129]在總線類型網(wǎng)絡(luò)中通過諸如DHCP(動態(tài)主機(jī)配置協(xié)議)的手段來檢測網(wǎng)關(guān)的操作等效于形成圖的生長樹���。作為形成生長樹的手段,除了DHCP之外�����,還可選擇依照系統(tǒng)的方法����,諸如寬度優(yōu)先搜索和深度優(yōu)先搜索。在配置固定的系統(tǒng)中�,可以通過使得每個(gè)ECU存儲與網(wǎng)絡(luò)結(jié)構(gòu)相關(guān)的信息,更有效地形成生長樹�����。
[0130]圖21是示出在圖20中示出的完整圖結(jié)構(gòu)的網(wǎng)絡(luò)中通過諸如DHCP的手段形成生成樹的示例的說明圖����。第一層導(dǎo)致網(wǎng)關(guān)ECU I以及ECU(B1)3_1�����、ECU(B2)3_2��、ECU(B3)2_1和ECU(B4)3_3分別通過通信路徑4_1至4_3(實(shí)線)耦接而成的樹結(jié)構(gòu)��。第二層導(dǎo)致中繼ECU(B3)2_I以及第二層中的ECU(C1)3_4���、ECU(C2)2_2和ECU(C3)3_5分別通過通信路徑4_5至4_7(實(shí)線)耦接而成的樹結(jié)構(gòu)。以這種方式�,通過使用生長樹,分層總線結(jié)構(gòu)網(wǎng)絡(luò)中的外部認(rèn)證的過程可導(dǎo)致樹型結(jié)構(gòu)中的認(rèn)證����。關(guān)于通過拜占庭故障類型攻擊而形成故障生長樹的問題,可以通過假設(shè)安全推理來確保完全性�����。
[0131]接下來�����,將描述只可與特定E⑶通信的傳統(tǒng)E⑶被耦接在總線上的情況��。
[0132]圖22是示出其中包括傳統(tǒng)ECU的多個(gè)ECU所耦接的總線類型網(wǎng)絡(luò)的構(gòu)造示例的說明圖���。為了簡化描述�,總線只有一層�,并且網(wǎng)關(guān)ECU 1、ECU(B)3_1���、ECU(C)3_2和傳統(tǒng)ECU(D)3_3耦接到總線4���。盡管傳統(tǒng)ECU(D)3_3耦接到總線4,但傳統(tǒng)ECU(D)3_3只可與ECU(C)3_2通信并且無法與其它E⑶通信�����。
[0133]圖23是示出在考慮可允許的通信路徑的同時(shí)可等同于圖22中示出的網(wǎng)絡(luò)結(jié)構(gòu)的網(wǎng)絡(luò)結(jié)構(gòu)的說明圖�����。這種情況下的網(wǎng)絡(luò)結(jié)構(gòu)可等同于以下結(jié)構(gòu):在網(wǎng)關(guān)ECU 1����、ECU(B)3_0PECU(C)3_2之間形成通信路徑4_1至4_3,并且只在傳統(tǒng)ECU(D)3_3和ECU(C)3_2之間形成通fg路徑4_4�。
[0134]通過形成這種情況的生長樹���,形成如圖24中所示的樹結(jié)構(gòu)。對于將總線分層的情況�,同樣如此。
[0135]如上所述��,另外在總線中包括只可與特定節(jié)點(diǎn)通信的傳統(tǒng)節(jié)點(diǎn)的情況下�,通過使用生長樹,分層總線結(jié)構(gòu)網(wǎng)絡(luò)中的外部認(rèn)證的過程可導(dǎo)致樹型結(jié)構(gòu)中的認(rèn)證�。
[0136]第四實(shí)施例〈來自終端的票證請求〉
[0137]在第四實(shí)施例中,將描述在包括已經(jīng)被外部認(rèn)證的多個(gè)ECU的設(shè)備中進(jìn)一步添加新的未經(jīng)認(rèn)證E⑶的情況下進(jìn)行的外部認(rèn)證����。
[0138]圖25是示出第四實(shí)施例的系統(tǒng)構(gòu)造示例的框圖。
[0139]在諸如車輛的設(shè)備(Z)1中�����,安裝包括網(wǎng)關(guān)ECU I的多個(gè)ECU�,網(wǎng)關(guān)ECU I可通過外部網(wǎng)絡(luò)5與外部認(rèn)證設(shè)備7通信,這些E⑶通過網(wǎng)絡(luò)4_1和4_2(諸如��,設(shè)備內(nèi)部的CAN)分層耦接�。中繼ECU(B)2_1、ECU(C)3_1和ECU(D)3_2通過總線耦接,并且已完成了對這些ECU的外部認(rèn)證O將描述通過總線4_2在以上構(gòu)造中新親接未經(jīng)認(rèn)證E⑶(E) 3_3的情況����。
[0140]ECU(E)3_3無法直接與網(wǎng)絡(luò)5通信�。另外,在E⑶(E)3_3耦接到設(shè)備(Z)的時(shí)間點(diǎn)���,ECU(E)3_3 沒有與直接耦接到 ECU(E)3_3 的 ECU(C)3 j 和 ECU(D)3_2����、通過 ECU(C)3_1 和 ECU(D) 3_2耦接的中繼ECU(B) 2_1�����、以及中繼ECU(B) 2_1的上層中的網(wǎng)關(guān)ECU I的有效性相關(guān)的信息��。在這種狀態(tài)下�����,如果ECU(E)3_3分別從與ECU(E)3_3耦接的ECU(C)3_0PECU(D)3_2接收到與非法節(jié)點(diǎn)信息和經(jīng)認(rèn)證節(jié)點(diǎn)信息相關(guān)并且彼此沖突的通知���,則E⑶(E)3_3無法確定哪個(gè)通知是可靠的����,除非預(yù)先向ECU(E)3_3提供可靠信息。
[0141]這里����,假設(shè)對網(wǎng)關(guān)ECU 1、中繼ECU(B)2j和ECU(C)3_1的外部認(rèn)證成功并且對ECU(D)3_2的外部認(rèn)證失敗��。
[0142]在ECU(E)3_3開始操作之后��,ECU(E)3_3向與ECU(E)3_3直接耦接的ECU(C)3j和E⑶(D)3_2兩者請求票證���。這里���,票證是僅可由共享ECU(E)3_3的認(rèn)證信息(諸如,特有ID和特有密鑰)的認(rèn)證設(shè)備產(chǎn)生的信息���。票證包括僅可由ECU(E)3_3的供應(yīng)源的設(shè)備產(chǎn)生的加密文本�。E⑶(E)3_3可通過解密和驗(yàn)證票證來確認(rèn)票證是通過外部網(wǎng)絡(luò)正常且可靠地發(fā)送的�。
[0143]發(fā)送到ECU(C)3_1的票證獲取請求被重定向到中繼ECU(B)2_1,被進(jìn)一步重定向到網(wǎng)關(guān)ECU I����,并且通過網(wǎng)絡(luò)5從網(wǎng)關(guān)ECU I發(fā)送到認(rèn)證設(shè)備7。認(rèn)證設(shè)備7基于由認(rèn)證設(shè)備7保持的E⑶(E) 3_3的認(rèn)證信息來產(chǎn)生E⑶(E) 3_3的票證。當(dāng)認(rèn)證設(shè)備7無法產(chǎn)生票證時(shí)���,認(rèn)證設(shè)備7基于ECU(E) 3_3的認(rèn)證信息將票證獲取請求發(fā)送到ECU(E) 3_3的供應(yīng)源認(rèn)證設(shè)備���,通過供應(yīng)源認(rèn)證設(shè)備產(chǎn)生E⑶(E)3_3的票證,并且票證可被發(fā)送到認(rèn)證設(shè)備7����。
[0144]另一方面��,對ECU(D)3_2的外部認(rèn)證失敗����,使得ECU(D)3_2的通信被中繼ECU(B)2_1斷開。因此����,E⑶(D)3_2無法將票證獲取請求重定向到諸如中繼E⑶(B)2_l的上部節(jié)點(diǎn)。
[0145]由認(rèn)證設(shè)備7或ECU(E)3_3的供應(yīng)源認(rèn)證設(shè)備產(chǎn)生的票證通過網(wǎng)絡(luò)5從認(rèn)證設(shè)備7發(fā)送到網(wǎng)關(guān)ECU I��,從網(wǎng)關(guān)ECU I重定向到中繼E⑶(B)2_l�����,并且被進(jìn)一步重定向到中E⑶(C)3_1。與ECU(D)3_2的通信被斷開�,使得票證沒有從中繼ECU(B)2_1發(fā)送到ECU(D)3_2。結(jié)果�����,票證從ECU (C) 3_1發(fā)送到ECU (E) 3_3����,但沒有從ECU (D) 3_2發(fā)送。
[0146]E⑶(E)3_3通過解密和驗(yàn)證票證來確認(rèn)票證是通過外部網(wǎng)絡(luò)正常且可靠地發(fā)送的�����。在發(fā)送票證獲取請求的ECU(C)3_1和ECU(D)3_2之中�,ECU(E)3_3識別將票證返回的ECU(C)3j作為可信裝置,并且建立與ECU(C)3_1的通信�。另一方面,ECU(E)3_3確定ECU(D)3_2為不可信裝置���,并且斷開與ECU(D)3_2的通信�。然而��,當(dāng)設(shè)備(Z)1是車輛并且每個(gè)ECU是車載電子控制單元時(shí)���,如果通信無一例外都被斷開����,則認(rèn)為車輛變得不能行駛。因此���,它可被構(gòu)造成詢問用戶(車輛駕駛員)是否斷開與被確定為非法的ECU的通信����,并且根據(jù)用戶指令保持與被確定為非法的ECU的通信����。
[0147]由此�,即使當(dāng)裝置(ECU(E)3_3)無法直接與系統(tǒng)外部通信時(shí),裝置(ECU(E)3_3)也可驗(yàn)證裝置(ECU (E) 3_3)所耦接的裝置和系統(tǒng)的有效性��。
[0148]第五實(shí)施例〈分布式哈?����!?br>[0149]在第五實(shí)施例中�,將描述設(shè)備V(1)具有包括沒有相互認(rèn)證功能的傳統(tǒng)P2P網(wǎng)絡(luò)的通信路徑的實(shí)施例。
[0150]圖26是示出第五實(shí)施例的構(gòu)造示例的框圖����。
[0151]在設(shè)備V(1)中�,安裝可通過外部網(wǎng)絡(luò)5與外部認(rèn)證設(shè)備7通信的網(wǎng)關(guān)節(jié)點(diǎn)A(l)����、中繼節(jié)點(diǎn)B(2)和其它節(jié)點(diǎn)C至1(3_1至3_7),這些節(jié)點(diǎn)通過包括網(wǎng)絡(luò)路徑4_1至4_11的內(nèi)部網(wǎng)絡(luò)4分層耦接�����。在下面的描述中���,假設(shè)在通過通信路徑4_1耦接的網(wǎng)關(guān)節(jié)點(diǎn)A(I)和中繼節(jié)點(diǎn)B
(2)之間建立相互認(rèn)證����,而中繼節(jié)點(diǎn)B(2)和其它節(jié)點(diǎn)C至1(3_1至3_7)之間的通信路徑以及其它節(jié)點(diǎn)之間的通信路徑是沒有相互認(rèn)證功能的傳統(tǒng)P2P網(wǎng)絡(luò)����。盡管節(jié)點(diǎn)C至1(3_1至3_7)中的某些可用作其它節(jié)點(diǎn)的中繼節(jié)點(diǎn),但這些節(jié)點(diǎn)不一定在它們的名字中帶有“中繼”����。
[0152]以與上述實(shí)施例相同的方式,還可通過定義設(shè)備V(1)是車輛并且每個(gè)節(jié)點(diǎn)是ECU來實(shí)現(xiàn)本實(shí)施例��。可按與上述實(shí)施例中相同的方式對網(wǎng)關(guān)節(jié)點(diǎn)A(1)和中繼節(jié)點(diǎn)B (2)進(jìn)行外部認(rèn)證�����。
[0153]特有分布式哈希值9_0至9_7被分別分派給沒有相互認(rèn)證功能的中繼節(jié)點(diǎn)B(2)和其它節(jié)點(diǎn)C至I (3 j至3_7)�����。在傳統(tǒng)P2P網(wǎng)絡(luò)中����,根據(jù)分布式哈希值執(zhí)行節(jié)點(diǎn)之間的通信。例如�����,當(dāng)節(jié)點(diǎn)B(2)與節(jié)點(diǎn)H(3_6)通信時(shí)���,節(jié)點(diǎn)B(2)通過使用節(jié)點(diǎn)H(3_6)的分布式哈希值9_6來搜索路徑。在這種情況下�,節(jié)點(diǎn)E (3_3)、節(jié)點(diǎn)F (3_4)和節(jié)點(diǎn)G(3_5)直接耦接到節(jié)點(diǎn)H(3_6)��,使得節(jié)點(diǎn)E(3_3)�����、節(jié)點(diǎn)F(3_4)和節(jié)點(diǎn)G(3_5)可與節(jié)點(diǎn)H(3_6)中繼通信。節(jié)點(diǎn)B(2)將被給予了作為通信目的地的節(jié)點(diǎn)H(3_6)的分布式哈希值9_6的數(shù)據(jù)發(fā)送到與節(jié)點(diǎn)B(2)直接耦接的節(jié)點(diǎn)C(3_l)�����、節(jié)點(diǎn)D(3_2)和節(jié)點(diǎn)F(3_4)�。因?yàn)楣?jié)點(diǎn)C(3_l)具有與接收到的分布式哈希值9_6不同的分布式哈希值9_1,所以節(jié)點(diǎn)C (3_1)沒有響應(yīng)�,并且因?yàn)楣?jié)點(diǎn)C (3_1)是網(wǎng)絡(luò)的末尾,所以沒有重定向數(shù)據(jù)�����。因?yàn)楣?jié)點(diǎn)D (3_2)具有與接收到的分布式哈希值9_6不同的分布式哈希值9_2�����,所以節(jié)點(diǎn)D(3_2)沒有響應(yīng)�����,但是因?yàn)楣?jié)點(diǎn)C(3_l)不是網(wǎng)絡(luò)的末尾�����,所以將數(shù)據(jù)重定向到與節(jié)點(diǎn)D(3_2)直接耦接的節(jié)點(diǎn)E(3_3)。因?yàn)楣?jié)點(diǎn)D(3_4)具有與接收到的分布式哈希值9_6不同的分布式哈希值9_4����,所以節(jié)點(diǎn)F (3_4)沒有響應(yīng),但是因?yàn)楣?jié)點(diǎn)F (3_4)不是網(wǎng)絡(luò)的末尾����,所以將數(shù)據(jù)重定向到與節(jié)點(diǎn)F(3_4)直接耦接的節(jié)點(diǎn)G(3_5)、節(jié)點(diǎn)H(3_6)和節(jié)點(diǎn)I(3_7)����。因?yàn)榻邮盏降姆植际焦V?_6對應(yīng)于節(jié)點(diǎn)H( 3_6)本身的分布式哈希值9_6,所以節(jié)點(diǎn)H(3_6)響應(yīng)于節(jié)點(diǎn)F(3_4)�,并且節(jié)點(diǎn)F(3_4)將響應(yīng)重定向到與節(jié)點(diǎn)B(2)。以相同方式��,可在節(jié)點(diǎn)B(2)_節(jié)點(diǎn)D(3_2)_節(jié)點(diǎn)E(3_3)_節(jié)點(diǎn)H(3_6)的路徑中���、節(jié)點(diǎn)B(2)_節(jié)點(diǎn)D(3_2)_節(jié)點(diǎn)E(3_3)_節(jié)點(diǎn)G(3_5)_節(jié)點(diǎn)H(3_6)的路徑中和節(jié)點(diǎn)B(2)_節(jié)點(diǎn)F(3_4)_節(jié)點(diǎn)G(3_5)_節(jié)點(diǎn)H(3_6)的路徑中建立節(jié)點(diǎn)B (2)和節(jié)點(diǎn)H( 3_6)之間的通信�。
[0154]即使當(dāng)網(wǎng)絡(luò)4以這種方式具有一般圖結(jié)構(gòu)��,也可以通過預(yù)先形成圖的生長樹并且對生長樹執(zhí)行分層認(rèn)證來認(rèn)證網(wǎng)絡(luò)上的所有節(jié)點(diǎn)��。
[0155]圖27是示出通過廣度優(yōu)先搜索等形成具有圖26中示出的一般圖結(jié)構(gòu)的網(wǎng)絡(luò)的示例的說明圖����。通過圖27中的實(shí)線4_2、4_3�、4_4、4_5����、4_8、4_9和4_10示出通過廣度優(yōu)先搜索形成的生長樹�。然而,除了附圖中示出的方法和結(jié)構(gòu)之外����,還可存在用于形成生長樹的多種方法和多種生長樹結(jié)構(gòu)。當(dāng)可形成網(wǎng)絡(luò)的生長樹時(shí)�,可以如第三實(shí)施例中所描述地在分層網(wǎng)絡(luò)中應(yīng)用裝置認(rèn)證。具體地講��,在設(shè)備(V)1啟動之后��,網(wǎng)關(guān)節(jié)點(diǎn)A(I)與中繼節(jié)點(diǎn)B(2)執(zhí)行本地相互耦接認(rèn)證并且建立耦接����。大約在這個(gè)時(shí)間,網(wǎng)關(guān)節(jié)點(diǎn)A(I)將作為網(wǎng)關(guān)ECU I的認(rèn)證信息并且處于加密狀態(tài)的ID和特有密鑰發(fā)送到認(rèn)證設(shè)備7并且接收認(rèn)證結(jié)果。隨后�����,網(wǎng)關(guān)節(jié)點(diǎn)A( I)請求中繼節(jié)點(diǎn)B (2)收集認(rèn)證信息�。
[0156]被請求收集認(rèn)證信息的中繼節(jié)點(diǎn)B(2)請求與中繼節(jié)點(diǎn)B (2)直接親接的節(jié)點(diǎn)C (3 _
1)、節(jié)點(diǎn)D(3_2)和節(jié)點(diǎn)F(3_4)收集認(rèn)證信息��。這里�����,中繼節(jié)點(diǎn)B(2)和每個(gè)節(jié)點(diǎn)之間的通信沒有本地相互認(rèn)證手段�����。然而����,可以通過使用分派給每個(gè)節(jié)點(diǎn)的分布式哈希值來執(zhí)行通信。中繼節(jié)點(diǎn)B(2)通過將分別分派給節(jié)點(diǎn)C(3_l)�����、節(jié)點(diǎn)D(3_2)和節(jié)點(diǎn)F(3_4)的分布式哈希值9_1�����、9_2和9_4分別發(fā)送到節(jié)點(diǎn)C(3_l)�����、節(jié)點(diǎn)D(3_2)和節(jié)點(diǎn)F(3_4)來請求節(jié)點(diǎn)C(3_l)���、節(jié)點(diǎn)D(3_
2)和節(jié)點(diǎn)F(3_4)收集認(rèn)證信息��。節(jié)點(diǎn)C(3_l)響應(yīng)于請求并且將節(jié)點(diǎn)C(3_l)的認(rèn)證信息發(fā)送到中繼節(jié)點(diǎn)B(2)�。中繼節(jié)點(diǎn)B(2)存儲接收到的節(jié)點(diǎn)C(3_l)的認(rèn)證信息并且等待來自其它節(jié)點(diǎn)的響應(yīng)��。節(jié)點(diǎn)D(3_2)是中繼節(jié)點(diǎn)�,使得節(jié)點(diǎn)D (3_2)將認(rèn)證信息的收集請求重定向到節(jié)點(diǎn)E(3_3)。節(jié)點(diǎn)E (3_3)是所形成的生長樹中的末端節(jié)點(diǎn)����,使得節(jié)點(diǎn)E (3_3)將它自身的認(rèn)證信息作為響應(yīng)發(fā)送到節(jié)點(diǎn)D (3_2)。節(jié)點(diǎn)D (3_2)將接收到的節(jié)點(diǎn)E (3_3)的認(rèn)證信息和它自身的認(rèn)證信息作為響應(yīng)發(fā)送到中繼節(jié)點(diǎn)B(2)��。中繼節(jié)點(diǎn)B(2)存儲接收到的節(jié)點(diǎn)D(3_2)和節(jié)點(diǎn)E(3_
3)的認(rèn)證信息并且等待來自其它節(jié)點(diǎn)的響應(yīng)�。節(jié)點(diǎn)F(3_4)也是中繼節(jié)點(diǎn),使得節(jié)點(diǎn)F(3_4)將認(rèn)證信息的收集請求重定向到節(jié)點(diǎn)G(3_5)��、節(jié)點(diǎn)H( 3_6)和節(jié)點(diǎn)I (3_7)。節(jié)點(diǎn)G(3_5)����、節(jié)點(diǎn)H(3_6)和節(jié)點(diǎn)1(3_7)中的每個(gè)是所形成的生長樹中的末端節(jié)點(diǎn),使得每個(gè)節(jié)點(diǎn)將它自身的認(rèn)證信息作為響應(yīng)返回到節(jié)點(diǎn)F(3_4)��。節(jié)點(diǎn)F(3_4)將接收到的節(jié)點(diǎn)G(3_5)�、節(jié)點(diǎn)H(3_6)和節(jié)點(diǎn)I (3_7)的認(rèn)證信息和它自身的認(rèn)證信息作為響應(yīng)發(fā)送到中繼節(jié)點(diǎn)B(2)。中繼節(jié)點(diǎn)B (2)將存儲的節(jié)點(diǎn)C(3_l)�����、節(jié)點(diǎn)D(3_2)和節(jié)點(diǎn)E(3_3)的認(rèn)證信息����、接收到的節(jié)點(diǎn)G(3_5)、節(jié)點(diǎn)H(3_6)���、節(jié)點(diǎn)I (3_7)和節(jié)點(diǎn)F(3_4)的認(rèn)證信息和它自身的認(rèn)證信息作為響應(yīng)發(fā)送到網(wǎng)關(guān)節(jié)點(diǎn)A(I)��。網(wǎng)關(guān)節(jié)點(diǎn)A(I)通過網(wǎng)絡(luò)5將接收到的中繼節(jié)點(diǎn)B(2)��、節(jié)點(diǎn)C(3_1)、節(jié)點(diǎn)D(3_2)�、節(jié)點(diǎn)E (3_3)����、節(jié)點(diǎn)G (3_5)�、節(jié)點(diǎn)H( 3_6)�����、節(jié)點(diǎn)I (3_7)和節(jié)點(diǎn)F(3_4)的認(rèn)證信息發(fā)送到認(rèn)證設(shè)備7����,并且請求認(rèn)證多個(gè)節(jié)點(diǎn)中的每個(gè)�����。
[0157]認(rèn)證設(shè)備7對接收到的每條認(rèn)證信息執(zhí)行認(rèn)證��,并且將結(jié)果返回到網(wǎng)關(guān)節(jié)點(diǎn)A(I)。當(dāng)在認(rèn)證結(jié)果中將中繼節(jié)點(diǎn)B(2)認(rèn)證為可信時(shí),網(wǎng)關(guān)節(jié)點(diǎn)A(I)將認(rèn)證結(jié)果發(fā)送到中繼節(jié)點(diǎn)B(2)���。中繼節(jié)點(diǎn)B(2)通過與用于認(rèn)證信息的收集請求的路徑相同的路徑將基于認(rèn)證結(jié)果的經(jīng)認(rèn)證節(jié)點(diǎn)信息或非法節(jié)點(diǎn)信息發(fā)送到下層中的每個(gè)節(jié)點(diǎn)?��;诮邮盏降慕?jīng)認(rèn)證節(jié)點(diǎn)信息或非法節(jié)點(diǎn)信息����,接收經(jīng)認(rèn)證節(jié)點(diǎn)信息或非法節(jié)點(diǎn)信息的每個(gè)節(jié)點(diǎn)在通信伙伴是可信節(jié)點(diǎn)時(shí)繼續(xù)通信,而在通信伙伴是非法節(jié)點(diǎn)時(shí)斷開通信��。
[0158]接下來�,將描述在網(wǎng)絡(luò)中混有非法/危害節(jié)點(diǎn)并且形成錯(cuò)誤生長樹的情況����。在描述中���,假設(shè)節(jié)點(diǎn)D(3_2)是非法節(jié)點(diǎn)�����。
[0159]圖28是由于非法節(jié)點(diǎn)(圖27中的節(jié)點(diǎn)D(3_2))導(dǎo)致的虛假信息所形成的生成樹的示例���。通過由于作為非法節(jié)點(diǎn)的節(jié)點(diǎn)D(3_2)導(dǎo)致的虛假信息�����,從認(rèn)證樹中去除節(jié)點(diǎn)E(3_3)�����。在不管節(jié)點(diǎn)E(3_3)將節(jié)點(diǎn)D(3_2)確定為上節(jié)點(diǎn)的情況下,通過例如節(jié)點(diǎn)D(3_2)偽裝成節(jié)點(diǎn)G(3_5)的操作和節(jié)點(diǎn)D(3_2)丟棄節(jié)點(diǎn)E(3_3)的信息的操作產(chǎn)生這種情形�����。
[0160]在這種情形下�����,以與上述認(rèn)證處理相同的方式�����,在設(shè)備V(1)啟動之后,網(wǎng)關(guān)節(jié)點(diǎn)A
(1)與中繼節(jié)點(diǎn)B(2)執(zhí)行本地相互耦接認(rèn)證以建立耦接����,并且大約在這個(gè)時(shí)間����,將作為它自身的認(rèn)證信息并且處于加密狀態(tài)的ID和特有密鑰發(fā)送到認(rèn)證設(shè)備7并且接收認(rèn)證結(jié)果���。隨后,網(wǎng)關(guān)節(jié)點(diǎn)A( I)請求中繼節(jié)點(diǎn)B (2)收集認(rèn)證信息�。
[0161]被請求收集認(rèn)證信息的中繼節(jié)點(diǎn)B(2)請求與中繼節(jié)點(diǎn)B(2)直接耦接的節(jié)點(diǎn)C(3_
1)��、節(jié)點(diǎn)D(3_2)和節(jié)點(diǎn)F(3_4)收集認(rèn)證信息�。中繼節(jié)點(diǎn)B (2)通過將分別分派給節(jié)點(diǎn)C(3_1)����、節(jié)點(diǎn)D(3_2)和節(jié)點(diǎn)F(3_4)的分布式哈希值9_1、9_2和9_4分別發(fā)送到節(jié)點(diǎn)C(3_l)、節(jié)點(diǎn)D(3_
2)和節(jié)點(diǎn)F(3_4)來請求節(jié)點(diǎn)C(3_l)、節(jié)點(diǎn)D(3_2)和節(jié)點(diǎn)F(3_4)收集認(rèn)證信息��。節(jié)點(diǎn)C(3_l)響應(yīng)于請求并且將節(jié)點(diǎn)C(3_l)的認(rèn)證信息發(fā)送到中繼節(jié)點(diǎn)B(2)�����。中繼節(jié)點(diǎn)B(2)存儲接收到的節(jié)點(diǎn)C(3_l)的認(rèn)證信息并且等待來自其它節(jié)點(diǎn)的響應(yīng)。節(jié)點(diǎn)D(3_2)是非法節(jié)點(diǎn)并且使它自身成為生長樹的網(wǎng)絡(luò)末端���,使得節(jié)點(diǎn)D(3_2)在不將認(rèn)證信息的收集請求重定向到節(jié)點(diǎn)E(3_3)的情況下將它自身的認(rèn)證信息作為響應(yīng)發(fā)送到中繼節(jié)點(diǎn)B(2)����。中繼節(jié)點(diǎn)B(2)存儲接收到的節(jié)點(diǎn)D(3_2)的認(rèn)證信息并且等待來自其它節(jié)點(diǎn)的響應(yīng)���。節(jié)點(diǎn)F(3_4)是中繼節(jié)點(diǎn),使得節(jié)點(diǎn)F(3_4)將認(rèn)證信息的收集請求重定向到節(jié)點(diǎn)G(3_5)、節(jié)點(diǎn)H(3_6)和節(jié)點(diǎn)1(3_7)。節(jié)點(diǎn)G(3_5)����、節(jié)點(diǎn)H( 3_6)和節(jié)點(diǎn)I (3_7)中的每個(gè)是所形成的生長樹中的末端節(jié)點(diǎn),使得每個(gè)節(jié)點(diǎn)將它自身的認(rèn)證信息作為響應(yīng)返回到節(jié)點(diǎn)F(3_4)����。節(jié)點(diǎn)F(3_4)將接收到的節(jié)點(diǎn)G(3_5)�、節(jié)點(diǎn)H(3_6)和節(jié)點(diǎn)1(3_7)的認(rèn)證信息和它自身的認(rèn)證信息作為響應(yīng)發(fā)送到中繼節(jié)點(diǎn)B
(2)�。中繼節(jié)點(diǎn)B(2)將存儲的節(jié)點(diǎn)C(3_1)和節(jié)點(diǎn)D (3_2)的認(rèn)證信息、接收到的節(jié)點(diǎn)G (3_5)�����、節(jié)點(diǎn)H(3_6)����、節(jié)點(diǎn)1(3_7)和節(jié)點(diǎn)F(3_4)的認(rèn)證信息和它自身的認(rèn)證信息作為響應(yīng)發(fā)送到網(wǎng)關(guān)節(jié)點(diǎn)A(1)。網(wǎng)關(guān)節(jié)點(diǎn)A(1)通過網(wǎng)絡(luò)5將接收到的中繼節(jié)點(diǎn)B(2)�����、節(jié)點(diǎn)C(3_1)�、節(jié)點(diǎn)D(3_2)、節(jié)點(diǎn)E (3_3)�����、節(jié)點(diǎn)G(3_5)����、節(jié)點(diǎn)H( 3_6)、節(jié)點(diǎn)I (3_7)和節(jié)點(diǎn)F(3_4)的認(rèn)證信息發(fā)送到認(rèn)證設(shè)備7�,并且請求認(rèn)證多個(gè)節(jié)點(diǎn)中的每個(gè)。
[0162]認(rèn)證設(shè)備7對接收到的每條認(rèn)證信息執(zhí)行認(rèn)證��,并且將結(jié)果返回到網(wǎng)關(guān)節(jié)點(diǎn)A(l)�。當(dāng)在認(rèn)證結(jié)果中將中繼節(jié)點(diǎn)B(2)認(rèn)證為可信時(shí),網(wǎng)關(guān)節(jié)點(diǎn)A(I)將認(rèn)證結(jié)果發(fā)送到中繼節(jié)點(diǎn)B(2)�����。中繼節(jié)點(diǎn)B(2)通過與用于認(rèn)證信息的收集請求的路徑相同的路徑將基于認(rèn)證結(jié)果的經(jīng)認(rèn)證節(jié)點(diǎn)信息或非法節(jié)點(diǎn)信息發(fā)送到下層中的每個(gè)節(jié)點(diǎn)���?;诮邮盏降慕?jīng)認(rèn)證節(jié)點(diǎn)信息或非法節(jié)點(diǎn)信息,接收經(jīng)認(rèn)證節(jié)點(diǎn)信息或非法節(jié)點(diǎn)信息的每個(gè)節(jié)點(diǎn)在通信伙伴是可信節(jié)點(diǎn)時(shí)繼續(xù)通信��,而在通信伙伴是非法節(jié)點(diǎn)時(shí)斷開通信�����。這里���,基于指示節(jié)點(diǎn)D(3_2)是非法節(jié)點(diǎn)的認(rèn)證結(jié)果���,中繼節(jié)點(diǎn)B(2)斷開與節(jié)點(diǎn)D(3_2)的通信,并且將基于認(rèn)證結(jié)果的經(jīng)認(rèn)證節(jié)點(diǎn)信息或非法節(jié)點(diǎn)信息發(fā)送到除了節(jié)點(diǎn)D(3_2)之外的每個(gè)相鄰節(jié)點(diǎn)��。由此��,作為非法節(jié)點(diǎn)的節(jié)點(diǎn)D(3_2)與網(wǎng)絡(luò)分開�。
[0163]隨后,在將作為非法節(jié)點(diǎn)的節(jié)點(diǎn)D(3_2)排除在外的狀態(tài)下���,重新形成生長樹���。
[0164]圖29是在將非法節(jié)點(diǎn)D(3_2)排除在外的狀態(tài)下重新形成的生成樹的示例。斷開通向作為非法節(jié)點(diǎn)的節(jié)點(diǎn)D(3_2)的通信路徑4_3和4_5。在圖27中��,斷開被設(shè)置為節(jié)點(diǎn)D(3_2)的下節(jié)點(diǎn)的節(jié)點(diǎn)E (3_3)到節(jié)點(diǎn)D (3_2)的通信路徑4_5��,使得節(jié)點(diǎn)E (3_3)變成要從節(jié)點(diǎn)F (3_
4)搜索的目標(biāo)����,例如�,被設(shè)置為節(jié)點(diǎn)G(3_5)的下節(jié)點(diǎn)。當(dāng)再次沿著重新形成的生長樹收集認(rèn)證信息時(shí)�,執(zhí)行對包括節(jié)點(diǎn)E(3_3)的所有節(jié)點(diǎn)的認(rèn)證處理。如果新檢測到非法節(jié)點(diǎn)�����,則重復(fù)執(zhí)行將非法節(jié)點(diǎn)排除在外����、重新形成生長樹并且此后再次執(zhí)行認(rèn)證的操作,直到檢測不到新的非法節(jié)點(diǎn)��,使得可以重構(gòu)只包括被外部認(rèn)證的節(jié)點(diǎn)的網(wǎng)絡(luò)����。
[0165]如上所述,即使在可能混有非法節(jié)點(diǎn)的P2P網(wǎng)絡(luò)上����,也可以通過向每個(gè)節(jié)點(diǎn)提供分布式哈希值來執(zhí)行認(rèn)證信息的收集����,使得彼此耦接的節(jié)點(diǎn)可彼此安全地通信����。所提供的分布式哈希值可以是與每個(gè)節(jié)點(diǎn)特有的ID—起的認(rèn)證信息。當(dāng)某個(gè)非法節(jié)點(diǎn)沒有響應(yīng)于作為認(rèn)證信息的分布式哈希值和特有ID的收集請求時(shí)��,非法節(jié)點(diǎn)的分布式哈希值沒有被包括在經(jīng)認(rèn)證節(jié)點(diǎn)的名單中�,使得非法節(jié)點(diǎn)無法與其它節(jié)點(diǎn)和外部網(wǎng)絡(luò)建立通信。即使非法節(jié)點(diǎn)正確地響應(yīng)于收集請求并且返回分布式哈希值���,非法節(jié)點(diǎn)也無法使用特有ID進(jìn)行白名單認(rèn)證�,使得沒有建立通信���。由此�����,可以從P2P網(wǎng)絡(luò)中將以像拜占庭故障一樣的方式表現(xiàn)行為的節(jié)點(diǎn)排除在外��。
[0166]雖然已經(jīng)基于實(shí)施例具體描述了本發(fā)明人做出的發(fā)明����,但無須說的是,本發(fā)明不限于這些實(shí)施例�����,并且可在本發(fā)明的范圍內(nèi)以各種方式進(jìn)行修改��。
【主權(quán)項(xiàng)】
1.一種中繼設(shè)備����,所述中繼設(shè)備能與認(rèn)證設(shè)備通信并且能耦接到其它設(shè)備耦接的通信路徑���, 其中��,所述中繼設(shè)備和其它設(shè)備分別具有特有認(rèn)證信息�����, 其中���,所述認(rèn)證設(shè)備具有基于所述認(rèn)證信息確定所述中繼設(shè)備和其它設(shè)備是否是可信設(shè)備的設(shè)備認(rèn)證功能,以及 其中,所述中繼設(shè)備將它自身的認(rèn)證信息發(fā)送到所述認(rèn)證設(shè)備��,從與所述通信路徑耦接的其它設(shè)備收集認(rèn)證信息并且將所述認(rèn)證信息發(fā)送到所述認(rèn)證設(shè)備�����,從所述認(rèn)證設(shè)備接收設(shè)備認(rèn)證的結(jié)果�����,關(guān)閉中繼設(shè)備自身與基于所述結(jié)果被確定為不可信的設(shè)備之間的通信�����,并且將通信控制信息發(fā)送到其它設(shè)備���,以關(guān)閉與被確定為不可信的設(shè)備的通信���。2.根據(jù)權(quán)利要求1所述的中繼設(shè)備, 其中�,在從其它設(shè)備收集認(rèn)證信息之前,所述中繼設(shè)備與其它設(shè)備執(zhí)行相互認(rèn)證�����。3.根據(jù)權(quán)利要求2所述的中繼設(shè)備, 其中�,所述認(rèn)證信息是每個(gè)設(shè)備特有的標(biāo)識符以及該設(shè)備和所述認(rèn)證設(shè)備共享的特有密鑰, 其中��,所述中繼設(shè)備將被加密的標(biāo)識符和特有密鑰發(fā)送到所述認(rèn)證設(shè)備�����, 其中�����,所述中繼設(shè)備分別從與所述通信路徑耦接的其它設(shè)備收集被加密的標(biāo)識符和特有密鑰�����,并且將所述標(biāo)識符和特有密鑰發(fā)送到所述認(rèn)證設(shè)備��,以及 其中���,由所述認(rèn)證設(shè)備執(zhí)行的設(shè)備認(rèn)證包括解密被加密的標(biāo)識符并且基于所解密的標(biāo)識符確定所述中繼設(shè)備和其它設(shè)備是否是可信設(shè)備的功能。4.根據(jù)權(quán)利要求1所述的中繼設(shè)備��, 其中�,作為所述認(rèn)證信息的分別與所述中繼設(shè)備和所述其它設(shè)備關(guān)聯(lián)的分布式哈希值被分別供應(yīng)到所述中繼設(shè)備和其它設(shè)備�, 其中�,所述中繼設(shè)備將與其自身關(guān)聯(lián)的分布式哈希值發(fā)送到所述認(rèn)證設(shè)備, 其中�����,所述中繼設(shè)備從其它設(shè)備收集分別與耦接到所述通信路徑的其它設(shè)備關(guān)聯(lián)的分布式哈希值����,并且將所述分布式哈希值發(fā)送到所述認(rèn)證設(shè)備,以及 其中�����,由所述認(rèn)證設(shè)備執(zhí)行的設(shè)備認(rèn)證包括基于所述分布式哈希值確定所述中繼設(shè)備和其它設(shè)備是否是可信設(shè)備的功能���。5.根據(jù)權(quán)利要求1所述的中繼設(shè)備����, 其中���,其它設(shè)備包括另一個(gè)中繼設(shè)備����, 其中,所述中繼設(shè)備將其自身的認(rèn)證信息通過其它中繼設(shè)備發(fā)送到所述認(rèn)證設(shè)備���, 其中�,所述中繼設(shè)備從除其它中繼設(shè)備之外的其它設(shè)備收集認(rèn)證信息�����,并且通過其它中繼設(shè)備將所述認(rèn)證信息發(fā)送到所述認(rèn)證設(shè)備���,以及 其中�,所述中繼設(shè)備通過其它中繼設(shè)備從所述認(rèn)證設(shè)備接收設(shè)備認(rèn)證的結(jié)果�,關(guān)閉中繼設(shè)備自身與基于所述結(jié)果被確定為不可信的設(shè)備之間的通信,并且將通信控制信息發(fā)送到除其它中繼設(shè)備之外的其它設(shè)備��,以關(guān)閉與被確定為不可信的設(shè)備的通信��。6.根據(jù)權(quán)利要求1所述的中繼設(shè)備���, 其中,所述中繼設(shè)備和其它設(shè)備是電子控制單元�,并且所述通信路徑是車載網(wǎng)絡(luò)。7.根據(jù)權(quán)利要求6所述的中繼設(shè)備��, 其中,當(dāng)發(fā)現(xiàn)存在作為所述設(shè)備認(rèn)證的結(jié)果而被確定為不可信的設(shè)備時(shí)�����,中繼設(shè)備具有詢問其中安裝有所述車載網(wǎng)絡(luò)的車輛的用戶是否要關(guān)閉與被確定為不可信的設(shè)備的通信的功能�。8.—種終端設(shè)備,所述終端設(shè)備能通過中繼設(shè)備與認(rèn)證設(shè)備通信并且能耦接到所述中繼設(shè)備和其它設(shè)備耦接的通信路徑��, 其中�����,所述終端設(shè)備����、所述中繼設(shè)備和其它設(shè)備分別具有特有認(rèn)證信息, 其中�,所述中繼設(shè)備具有將其自身的認(rèn)證信息發(fā)送到所述認(rèn)證設(shè)備的功能和從與所述通信路徑耦接的所述終端設(shè)備和其它設(shè)備收集認(rèn)證信息并且將所述認(rèn)證信息發(fā)送到所述認(rèn)證設(shè)備的功能, 其中���,所述認(rèn)證設(shè)備具有基于所述認(rèn)證信息確定所述終端設(shè)備���、所述中繼設(shè)備和其它設(shè)備是否是可信設(shè)備的設(shè)備認(rèn)證功能,以及 其中����,所述終端設(shè)備關(guān)閉其自身與基于由所述中繼設(shè)備接收的設(shè)備認(rèn)證的結(jié)果被確定為不可信的設(shè)備之間的通信��。9.根據(jù)權(quán)利要求8所述的終端設(shè)備�����, 其中�,所述終端設(shè)備�、所述中繼設(shè)備和其它設(shè)備中的每個(gè)具有作為所述認(rèn)證信息的每個(gè)設(shè)備特有的標(biāo)識符、以及與所述認(rèn)證設(shè)備共享并且每個(gè)設(shè)備特有的特有密鑰��, 其中�,在將認(rèn)證信息發(fā)送到所述中繼設(shè)備之前,所述終端設(shè)備與所述中繼設(shè)備執(zhí)行相互認(rèn)證�, 其中,所述終端設(shè)備將被加密的標(biāo)識符和特有密鑰發(fā)送到所述中繼設(shè)備���, 其中��,所述中繼設(shè)備將被加密的標(biāo)識符和特有密鑰發(fā)送到所述認(rèn)證設(shè)備����, 其中�����,所述中繼設(shè)備分別從與所述通信路徑耦接的其它設(shè)備收集被加密的標(biāo)識符和特有密鑰�,并且將從所述終端設(shè)備接收的標(biāo)識符和特有密鑰、以及從其它設(shè)備收集的標(biāo)識符和特有密鑰發(fā)送到所述認(rèn)證設(shè)備�,以及 其中,由所述認(rèn)證設(shè)備執(zhí)行的設(shè)備認(rèn)證包括解密被加密的標(biāo)識符并且基于所解密的標(biāo)識符確定所述終端設(shè)備�、所述中繼設(shè)備和其它設(shè)備是否是可信設(shè)備的功能。10.根據(jù)權(quán)利要求8所述的終端設(shè)備���, 其中�����,作為所述認(rèn)證信息的分別與所述終端設(shè)備�����、所述中繼設(shè)備和其它設(shè)備關(guān)聯(lián)的分布式哈希值被分別供應(yīng)到所述終端設(shè)備����、所述中繼設(shè)備和其它設(shè)備��, 其中,所述終端設(shè)備將與其自身關(guān)聯(lián)的分布式哈希值發(fā)送到所述中繼設(shè)備�, 其中,所述中繼設(shè)備將與其自身關(guān)聯(lián)的分布式哈希值發(fā)送到所述認(rèn)證設(shè)備�����, 其中���,所述中繼設(shè)備分別從其它設(shè)備收集分別與耦接到所述通信路徑的其它設(shè)備關(guān)聯(lián)的分布式哈希值����,并且將從所述終端設(shè)備接收的分布式哈希值和從其它設(shè)備收集的分布式哈希值發(fā)送到所述認(rèn)證設(shè)備�����,以及 其中���,由所述認(rèn)證設(shè)備執(zhí)行的設(shè)備認(rèn)證包括基于分布式哈希值確定所述終端設(shè)備���、所述中繼設(shè)備和其它設(shè)備是否是可信設(shè)備的功能。11.根據(jù)權(quán)利要求8所述的終端設(shè)備�����, 其中,所述終端設(shè)備在所述終端設(shè)備耦接到所述通信路徑的時(shí)間點(diǎn)通過與所述終端設(shè)備直接耦接的中繼設(shè)備或其它設(shè)備��,向所述認(rèn)證設(shè)備請求僅僅能由所述認(rèn)證設(shè)備產(chǎn)生的信息���, 其中,由所述認(rèn)證設(shè)備執(zhí)行的設(shè)備認(rèn)證確定所述終端設(shè)備是否是可信設(shè)備����,產(chǎn)生僅僅能由所述認(rèn)證設(shè)備產(chǎn)生的信息,并且沿著接收到所述請求的路徑將所述信息發(fā)送到所述終端設(shè)備�,以及 其中,所述終端設(shè)備從與所述終端設(shè)備直接耦接的所述中繼設(shè)備和其它設(shè)備當(dāng)中確定沒有中繼僅僅能由所述認(rèn)證設(shè)備產(chǎn)生的信息的設(shè)備為不可信設(shè)備�,并且關(guān)閉與沒有中繼所述信息的設(shè)備的通信。12.根據(jù)權(quán)利要求8所述的終端設(shè)備����, 其中,其它設(shè)備包括另一個(gè)中繼設(shè)備��, 其中��,所述中繼設(shè)備將其自身的認(rèn)證信息通過其它中繼設(shè)備發(fā)送到所述認(rèn)證設(shè)備���, 其中��,所述中繼設(shè)備從除其它中繼設(shè)備之外的其它設(shè)備和終端設(shè)備收集認(rèn)證信息�����,并且通過其它中繼設(shè)備將所述認(rèn)證信息發(fā)送到所述認(rèn)證設(shè)備��, 其中���,所述中繼設(shè)備通過其它中繼設(shè)備從所述認(rèn)證設(shè)備接收設(shè)備認(rèn)證的結(jié)果�,以及其中����,所述終端設(shè)備關(guān)閉其自身與基于由所述中繼設(shè)備接收的設(shè)備認(rèn)證的結(jié)果被確定為不可信的設(shè)備之間的通信。13.根據(jù)權(quán)利要求8所述的終端設(shè)備�, 其中,所述終端設(shè)備���、所述中繼設(shè)備和其它設(shè)備是電子控制單元���,并且所述通信路徑是車載網(wǎng)絡(luò)。14.根據(jù)權(quán)利要求13所述的終端設(shè)備��, 其中�,當(dāng)發(fā)現(xiàn)作為所述設(shè)備認(rèn)證的結(jié)果而存在不可信的設(shè)備時(shí)�����,所述終端設(shè)備具有詢問其中安裝有所述車載網(wǎng)絡(luò)的車輛的用戶是否要關(guān)閉與被確定為不可信的設(shè)備的通信的功能�。15.—種通過通信路徑執(zhí)行的中繼設(shè)備�、終端設(shè)備和其它設(shè)備之間的通信方法, 其中���,所述中繼設(shè)備、所述終端設(shè)備和所述其它設(shè)備分別具有特有認(rèn)證信息��, 其中�����,所述中繼設(shè)備能與所述認(rèn)證設(shè)備通信���,并且將其自身的認(rèn)證信息發(fā)送到所述認(rèn)證設(shè)備�����, 其中��,所述中繼設(shè)備從與所述通信路徑耦接的所述終端設(shè)備和其它設(shè)備收集認(rèn)證信息����,并且將所述認(rèn)證信息發(fā)送到所述認(rèn)證設(shè)備, 其中���,所述認(rèn)證設(shè)備具有基于所述認(rèn)證信息確定所述中繼設(shè)備�����、所述終端設(shè)備和所述其它設(shè)備是否是可信設(shè)備的設(shè)備認(rèn)證功能����, 其中�,所述中繼設(shè)備從所述認(rèn)證設(shè)備接收設(shè)備認(rèn)證的結(jié)果,關(guān)閉中繼設(shè)備自身與基于所述結(jié)果被確定為不可信的設(shè)備之間的通信��,并且將通信控制信息發(fā)送到所述終端設(shè)備和其它設(shè)備��,以關(guān)閉與被確定為不可信的設(shè)備的通信���,以及 其中�,所述終端設(shè)備和其它設(shè)備關(guān)閉它們自身與基于所述通信控制信息被確定為不可信的設(shè)備之間的通信����。16.根據(jù)權(quán)利要求15所述的通信方法�����, 其中���,所述終端設(shè)備、所述中繼設(shè)備和其它設(shè)備中的每個(gè)具有作為所述認(rèn)證信息的每個(gè)設(shè)備特有的標(biāo)識符�、以及與所述認(rèn)證設(shè)備共享的并且每個(gè)設(shè)備特有的特有密鑰, 其中�����,在所述終端設(shè)備將認(rèn)證信息發(fā)送到所述中繼設(shè)備之前���,所述終端設(shè)備與所述中繼設(shè)備執(zhí)行相互認(rèn)證, 其中�����,所述終端設(shè)備將被加密的標(biāo)識符和特有密鑰發(fā)送到所述中繼設(shè)備����, 其中,所述中繼設(shè)備將被加密的標(biāo)識符和特有密鑰發(fā)送到所述認(rèn)證設(shè)備���, 其中��,所述中繼設(shè)備分別從與所述通信路徑耦接的其它設(shè)備收集被加密的標(biāo)識符��,并且將所述標(biāo)識符發(fā)送到所述認(rèn)證設(shè)備�, 其中,所述中繼設(shè)備分別從與所述通信路徑耦接的其它設(shè)備收集被加密的標(biāo)識符��,并且將從所述終端設(shè)備接收的標(biāo)識符和從其它設(shè)備收集的標(biāo)識符發(fā)送到所述認(rèn)證設(shè)備�����,以及其中�����,所述認(rèn)證設(shè)備解密被加密的標(biāo)識符�,并且基于所解密的標(biāo)識符確定所述終端設(shè)備、所述中繼設(shè)備和其它設(shè)備是否是可信設(shè)備�����。17.根據(jù)權(quán)利要求15所述的通信方法����, 其中�,作為所述認(rèn)證信息的分別與所述終端設(shè)備�����、所述中繼設(shè)備和其它設(shè)備關(guān)聯(lián)的分布式哈希值被分別供應(yīng)到所述終端設(shè)備���、所述中繼設(shè)備和其它設(shè)備�����, 其中���,所述終端設(shè)備將與其自身關(guān)聯(lián)的分布式哈希值發(fā)送到所述中繼設(shè)備, 其中���,所述中繼設(shè)備將與其自身關(guān)聯(lián)的分布式哈希值發(fā)送到所述認(rèn)證設(shè)備, 其中����,所述中繼設(shè)備分別從其它設(shè)備收集分別與耦接到所述通信路徑的其它設(shè)備關(guān)聯(lián)的分布式哈希值,并且將從所述終端設(shè)備接收的分布式哈希值和從其它設(shè)備收集的分布式哈希值發(fā)送到所述認(rèn)證設(shè)備�����,以及 其中,所述認(rèn)證設(shè)備基于分布式哈希值確定所述終端設(shè)備��、所述中繼設(shè)備和其它設(shè)備是否是可信設(shè)備���。18.根據(jù)權(quán)利要求15所述的通信方法��, 其中����,其它設(shè)備包括另一個(gè)中繼設(shè)備����, 其中,所述中繼設(shè)備將其自身的認(rèn)證信息通過其它中繼設(shè)備發(fā)送到所述認(rèn)證設(shè)備��,以及 其中�����,所述中繼設(shè)備從除其它中繼設(shè)備之外的其它設(shè)備和所述終端設(shè)備收集認(rèn)證信息�,通過其它中繼設(shè)備將收集到的所述認(rèn)證信息發(fā)送到所述認(rèn)證設(shè)備,并且通過其它中繼設(shè)備從所述認(rèn)證設(shè)備接收設(shè)備認(rèn)證的結(jié)果��。19.根據(jù)權(quán)利要求15所述的通信方法, 其中�����,所述終端設(shè)備����、所述中繼設(shè)備和其它設(shè)備是電子控制單元,并且所述通信路徑是車載網(wǎng)絡(luò)�。20.根據(jù)權(quán)利要求19所述的通信方法, 其中�����,當(dāng)發(fā)現(xiàn)作為設(shè)備認(rèn)證的結(jié)果存在不可信的設(shè)備時(shí)����,所述終端設(shè)備或所述中繼設(shè)備詢問其中安裝有所述車載網(wǎng)絡(luò)的車輛的用戶是否要關(guān)閉與被確定為不可信的設(shè)備的通?目O
【文檔編號】H04L29/06GK105827587SQ201510946793
【公開日】2016年8月3日
【申請日】2015年12月17日
【發(fā)明人】森田直幸, 谷本匡亮
【申請人】瑞薩電子株式會社