CN107710676B - 网关装置及其控制方法 - Google Patents
网关装置及其控制方法 Download PDFInfo
- Publication number
- CN107710676B CN107710676B CN201680034661.3A CN201680034661A CN107710676B CN 107710676 B CN107710676 B CN 107710676B CN 201680034661 A CN201680034661 A CN 201680034661A CN 107710676 B CN107710676 B CN 107710676B
- Authority
- CN
- China
- Prior art keywords
- domain
- message
- key
- domains
- detection code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1475—Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Power Engineering (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种在2个以上域间中继消息的网关装置,从所述2个以上域中的第一域接收包括所述第一域对应的第一篡改检测码和第一数据的第一消息,将包括与所述2个以上域中的第二域对应的第二篡改检测码和所述第一数据的第二消息向所述第二域发送。
Description
技术领域
本发明涉及网关装置及其控制方法。
背景技术
控制器区域网络(Controller Area Network,下文表述为CAN)作为汽车车载网络中代表性标准协议已经普及。该种车载网络中,存在对与OBD2(On-Board-Diagnostics 2:汽车在线诊断2)端口那样的车载网络直接相连的接口连接非法设备从而受到重放攻击的危险性。此处,重放攻击是指窃听在通信路上传输的消息而预先获取,通过重传所取得消息而引发非法动作的攻击。
除此之外,还存在下述危险性:与车外系统协作的信息处理装置感染恶意软件,受到感染的装置将虚假消息发送到车载网络,接收到消息的控制装置引发误动作。
通常,针对这些威胁,对在各信息处理装置间传输的消息实施使用了作为篡改检测码的MAC(Message Authentication Code:消息认证码)的消息认证被视作有效。MAC利用加密用的密钥并使用预定的加密算法来生成,因此在各控制装置需要管理密钥。
关于这样的技术,专利文献1中公开了使通信帧部分包含消息类别标识符和安全信息(篡改检测码),以安全信息为各正规节点通信的会话密钥的技术(摘要)。
现有技术文献
专利文献
专利文献1:日本特开2014-183395号公报
发明内容
发明要解决的课题
使用专利文献1中公开的技术能确认属于正规通信。但是,专利文献1中没有公开关于对密钥进行管理的技术。车载系统中,各装置的处理能力受限,因此对密钥的管理也需要负担少的技术。
因此,本发明是鉴于以上的问题而作出的,目的在于减小生成消息的篡改检测码的密钥的管理负担。
用于解决课题的手段
为了达成上述目的,本发明涉及的代表性的网关装置在2个以上域间中继消息,从所述2个以上域中的第一域接收包括与所述第一域对应的第一篡改检测码和第一数据的第一消息,将包括与所述2个以上域中的第二域对应的第二篡改检测码和所述第一数据的第二消息向所述第二域发送。
发明效果
根据本发明,能减小用于生成消息的篡改检测码的密钥的管理负担。
附图说明
图1是表示车载系统的构成例的图。
图2是表示域间通信的处理序列例的图。
图3是表示发送控制装置的处理流程例的图。
图4是表示GW装置的处理流程例的图。
图5是表示接收控制装置的处理流程例的图。
图6是表示密钥信息的表格构成例的图。
图7是表示MAC更换判定信息的表格构成例的图。
图8是表示发送控制装置的包括域间密钥处理的处理流程例的图。
图9是表示GW装置的包括域间密钥处理的处理流程例的图。
图10是表示接收控制装置的包括域间密钥处理的处理流程例的图。
图11是表示利用密钥信息的表格构成例的图。
图12是表示包括一次性数的域间通信的处理序列例的图。
具体实施方式
以下,使用实施例并参照附图对本发明的实施方式详细进行说明。
实施例1
实施例1中,说明能进行下述密钥管理的例子:各控制装置管理各域共享的域密钥,对消息赋予使用域密钥算出的MAC,GW装置使用更换处理部和MAC更换判定信息判定接收到的消息是否为MAC更换对象,对更换对象消息进行MAC的更换,使用路由处理部向通信目的地的域发送消息。
但是,实施例1的构成不限定为该例子。而且,优选在产品开发时或维护时等任意时机安全地分发、更新各装置中利用的加密用的密钥。
图1是表示车载系统的构成例的图。搭载于车辆30的GW装置10经由车内总线40与控制装置20彼此连接。而且,在不区分车内总线40-1、40-2、……40-n(n为3以上的自然数)而代表性表示的情况下表述为车内总线40,在不区分控制装置20-1a、20-1b、20-2、……20-n而代表性表示的情况下表述为控制装置20。
此处,作为车内总线40,例如可以为CAN或CAN FD(Flexible Data-Rate;灵活数据速率)。另外,车内总线40的个数可以为2,域的个数也可以为2。
GW装置10包括车外通信部11、更换处理部12、路由处理部13、车内通信部14、密钥关联信息存储部15。车外通信部11经由网络(有线、无线)50与车辆30外的装置或者中心等连接,与车外进行消息的收发。更换处理部12判定接收到的消息是否为MAC更换对象。
路由处理部13基于更换处理部12的判定结果来确定通信目的地的控制装置20,生成要发送的消息。车内通信部14将路由处理部13所生成的消息向相应域的车内总线40发送。密钥关联信息存储部15保存MAC更换判定信息151和密钥信息152。
MAC更换判定信息151是用于判定更换处理部12接收到的消息是否为更换对象的信息。密钥信息152是由GW装置10划分后的各域的密钥信息,更换处理部12使用从密钥信息152取得的域密钥来算出与通信目的地的域对应的MAC。
控制装置20包括车内通信部21、密钥利用部22、消息生成部23、密钥关联信息存储部24。车内通信部21向车内总线40发送消息,或者从车内总线40接收消息。密钥利用部22选择对连接有控制装置20的域设定的域密钥,例如进行MAC的生成以及验证。
消息生成部23赋予使用密钥利用部22所选择的域密钥而算出的MAC来生成消息。密钥关联信息存储部24保存利用密钥信息241。利用密钥信息241是对消息赋予的域密钥的信息,消息生成部23使用从利用密钥信息241取得的域密钥来算出MAC。
而且,控制装置20还可与用于控制车辆30的省略了图示的传感器设备、致动器等连接,也可具备它们。另外,如控制装置20-1a和控制装置20-1b与车内总线40-1连接那样,多个控制装置20可与一个车内总线40连接,属于一个域。
另外,利用密钥信息241、MAC更换判定信息151、密钥信息152的各信息可从省略了图示的输入装置预先设定,也可经由网络50预先设定。
图2是表示控制装置20经由GW装置10对不同域的控制装置20发送消息、即域间通信中的处理序列概要例的图。而且,发送控制装置20-3和接收控制装置20-4是从多个控制装置20中列举的作为进行发送的控制装置20和进行接收的控制装置20的例子,具有与控制装置20相同的构成。
以下的步骤2101至步骤2104是发送控制装置20-3的处理。步骤2101中,消息生成部23从例如发送控制装置20-3所具备的传感器设备等取得用于车辆30的行驶控制的控制参数信息。
步骤2102中,密钥利用部22从利用密钥信息241取得连接有发送控制装置20-3的域的域密钥,使用取得的域密钥算出MAC。例如,可将取得的控制参数信息作为消息的数据,将消息的ID信息等收发所需信息作为消息的报头,通过对数据和报头适用域密钥来算出MAC。另外,可通过仅对数据适用域密钥来算出MAC。
步骤2103中,消息生成部23基于成为消息的数据的在步骤2101中取得的控制参数信息和步骤2102中算出的MAC,生成通信用的消息。而且,消息可包括报头或省略了图示的脚注等。步骤2104中,消息生成部23使用车内通信部21将步骤2103中生成的消息向车内总线40发送。
步骤101中,更换处理部12基于MAC更换判定信息151判定从车内通信部14接收到的消息的ID信息是否为MAC更换对象。在判定为接收到的消息为MAC更换对象的情况下进入步骤102,在判定为不是MAC更换对象的情况下结束处理,转移到错误处理。
图7中表示步骤101中所参照的MAC更换判定信息151的表格构成例。CAN-ID栏1511表示识别消息的信息即消息的ID信息。图7中,以CAN-ID作为信息的例子,制成了CAN-ID栏1511,但是,只要是能识别消息的信息,还可使用CAN-ID以外的信息。
通信关系域栏1512表示在使用CAN-ID栏1511的值的消息中具有通信关系的域。MAC要否更换栏1513表示使用CAN-ID栏1511的值的消息是MAC更换对象还是非对象。MAC要否更换栏1513的值为“要”的情况下,对消息赋予的MAC成为更换的对象,“否”的情况下,对消息赋予的MAC不成为更换对象。
域间密钥对象栏1514表示使用CAN-ID栏1511的值的消息是域间密钥的对象还是非对象。域间密钥对象栏1514的值为“符合”的情况下,表示是使用域间密钥算出MAC的对象,“不符合”的情况下表示不使用域间密钥。
此处,域间密钥可针对短周期(高周期)消息、或者发送到多个域的消息、通信调停中被优先的消息、或者在安全、功能安全方面上与重要度高的域通信的消息等分别设定,但是不限于该例子。而且,域间密钥对象栏1514在实施例2中使用。
步骤102中,更换处理部12使用接收到的消息(报头和数据)和从密钥信息152取得的域密钥来算出MAC,比较对接收到的消息赋予的MAC和算出的MAC,在MAC的值一致的情况下进入步骤103,在MAC的值不一致的情况下结束本处理,转移到错误处理。
图6中表示步骤102中所参照的密钥信息152的表格构成例。域栏1521表示由GW装置10划分的车载网络(车内总线40)的域。域密钥栏1522表示对域栏1521的每个域设定的域密钥。
密钥信息152的表格的域和域密钥的设定可以是显示省略了图示的输入画面并分别输入域与域密钥的组合来进行设定。另外,可以是在输入画面显示预先设定的域,显示与各域对应的域密钥的输入框,在各输入框中输入域密钥来进行设定。此处,由于还存在图1所示那样控制装置20-1a和控制装置20-1b这两个控制装置属于域1的情况,因此域密钥的输入框的显示个数可以是少于控制装置20个数的个数。
步骤103中,更换处理部12基于发送来所接收到的消息的车内总线40的域和通信关系域栏1512,确定通信目的地的域,基于所确定的通信目的地的域,使用从密钥信息152取得的域密钥来算出MAC。步骤104中,更换处理部12将接收到的消息的MAC更换为步骤103中生成的MAC。
步骤105中,路由处理部13取得步骤103中确定的成为通信目的地的域的信息。此处,在步骤103中更换处理部12可以在省略了图示的临时性存储器上保存通信目的地的域的信息。步骤106中,路由处理部13将步骤104中生成的消息向步骤105中取得的成为通信目的地的域的车内总线40发送。
而且,步骤103至步骤106为止的处理被重复实施通信目的地的域的个数次。
以下的步骤2201至步骤2202是接收控制装置20-4的处理。步骤2201中,密钥利用部22从利用密钥信息241取得连接有接收控制装置20-4的域的域密钥,基于接收到的消息(报头、数据)算出MAC,比较算出的MAC和对接收到的消息赋予的MAC。
在MAC的值一致的情况下进入步骤2202,在MAC的值不一致的情况下结束本处理,转移到错误处理。步骤2202中,接收控制装置20-4基于接收到的消息的数据即控制参数信息来实施行驶控制。
通过以上步骤,控制装置20在经由GW装置10的域间通信中能向不同域的控制装置20发送消息。而且,为了减小GW装置10的处理负荷,可以省略步骤102中的MAC验证处理。
另外,由于MAC是利用加密用的密钥通过预定的加密算法来生成,因此可以取代生成MAC,而是生成加密了的数据并包括在消息中,使加密前的数据不包括在消息中地发送消息。在这样加密后的数据包括在消息中被发送的情况下,也可以省略比较MAC的值是否一致来进行判定的MAC验证处理。
图3是表示图2的步骤2101至步骤2104为止的发送控制装置20-3的详细处理流程例的图。步骤21001中,消息生成部23从例如发送控制装置20-3所具备的传感器设备等取得用于车辆行驶控制的控制参数信息。
步骤21002中,消息生成部23取得与步骤21001中取得的控制参数信息对应的CAN-ID。而且,预先对应于控制参数信息的种类来设定CAN-ID,存储在省略了图示的存储器等中。
步骤21003中,密钥利用部22判定步骤21002中取得的CAN-ID是否是消息认证对象。在成为消息认证对象的情况下进入步骤21004,在未成为消息认证对象的情况下进入步骤21006。而且,预先设定成为消息认证对象的CAN-ID的列表,并存储在省略了图示的存储器等中。
步骤21004中,密钥利用部22从利用密钥信息241取得连接有发送控制装置20-3的域的域密钥。步骤21005中,密钥利用部22使用步骤21004中取得的域密钥来算出MAC。
步骤21006中,在步骤21003中成为消息认证对象外的情况下,消息生成部23基于步骤21001中取得的控制参数信息来生成通信用消息。另一方面,在步骤21003中成为消息认证对象的情况下,基于步骤21001中取得的控制参数信息和步骤21005中算出的MAC来生成通信用的消息。
步骤21007中,消息生成部23使用车内通信部21将步骤21006中生成的消息向车内总线40发送。
通过以上的步骤21001至步骤21007,发送控制装置20-3能将赋予了使用域密钥而算出的MAC的消息向车内总线40发送。
图4是表示图2的步骤101至步骤106为止的GW装置10的详细处理流程例的图。步骤1001中,更换处理部12取得对接收到的消息赋予的CAN-ID。
步骤1002中,更换处理部12参照MAC更换判定信息151,取得与步骤1001中取得的CAN-ID一致的CAN-ID栏1511的CAN-ID所对应的MAC要否更换栏1513的信息,在取得的MAC要否更换栏1513的信息为“要”的情况下进入步骤1003,在“否”的情况下结束本处理。
步骤1003中,更换处理部12取得被发送来所接收到的消息的车内总线40的域、即通信源的域,取得与所取得的域一致的域栏1521的域所对应的域密钥栏1522的域密钥。
此处,如图1所示的例子那样,域1的车内总线40-1、域2的车内总线40-2、域n的车内总线40-n独立地与车内通信部14连接,可以对应于从哪一个连接的车内总线40进行了接收,来取得被发送来所接收到的消息的车内总线40的域,也可以在消息中包括确定域的信息,从该信息来取得域。
步骤1004中,更换处理部12使用接收到的消息和步骤1003中取得的域密钥算出MAC,比较对所接收到的消息赋予的MAC与算出的MAC来验证。此处,在两个MAC的值一致的情况下视为正确,不一致的情况下视为不正确。
步骤1005中,更换处理部12在步骤1004中MAC比较结果为MAC一致从而为正确的情况下进入步骤1007,在不一致从而MAC不正确的情况下进入步骤1006。步骤1006中,更换处理部12例如将发生了错误这样的情况经由车内总线40通知各控制装置等,结束本处理。
步骤1007中,更换处理部12取得与步骤1001中取得的CAN-ID一致的CAN-ID栏1511的CAN-ID所对应的通信关系域栏1512的域。从该通信关系域栏1512取得的域中,取得步骤1003中取得的通信源的域以外的域作为通信目的地的域。然后,从密钥信息152取得与取得的通信目的地的域一致的域栏1521的域所对应的域密钥栏1522的域密钥。
步骤1008中,更换处理部12使用接收到的消息和步骤1007中取得的通信目的地的域的域密钥来算出MAC。步骤1009中,更换处理部12取代对所接收到的消息赋予的MAC而是赋予步骤1008中算出的MAC,再次生成消息。
步骤1010中,路由处理部13将步骤1009中生成的消息向步骤1007中取得的成为通信目的地的域的车内总线40发送。
步骤1011中,路由处理部13在对成为对象的所有通信目的地的域发送了步骤1009中生成的消息的情况下结束本处理,在未能对成为对象的所有通信目的地的域发送消息的情况下,返回步骤1008。
作为步骤1011的判定,例如可通过管理步骤1007中取得的成为通信目的地的域的总数和发送的消息数,在每次发送消息时计数消息数,并比较成为通信目的地的域的总数和发送的消息数来进行判定。
通过以上的步骤1001至步骤1011,GW装置10能针对需要更换MAC的消息在更换了MAC之后向成为通信目的地的域转发消息。
图5是表示图2的步骤2201至步骤2202为止的接收控制装置20-4的详细处理流程例的图。步骤22001中,密钥利用部22取得对接收到的消息赋予的CAN-ID。
步骤22002中,密钥利用部22判定步骤22002中取得的CAN-ID是否为消息认证对象。在成为消息认证对象的情况下进入步骤22003,在未成为消息认证对象的情况下进入步骤22007。而且,预先设定成为消息认证对象的CAN-ID的列表,并存储在省略了图示的存储器等中。
步骤22003中,密钥利用部22从利用密钥信息241取得符合连接有接收控制装置20-4的车内总线40的域的域密钥。步骤22004中,密钥利用部22使用接收到的消息和步骤22003中取得的域密钥来算出MAC,比较对接收到的消息赋予的MAC和算出的MAC来验证。此处,在MAC的值一致的情况下视为正确,不一致的情况下视为不正确。
步骤22005中,密钥利用部22在步骤22004中MAC比较结果为MAC一致从而视为正确的情况下进入步骤22007,在MAC不一致从而不正确的情况下进入步骤22006。步骤22006中,密钥利用部22例如将发生了错误的情况经由车内总线40通知各控制装置等,结束本处理。步骤22007中,接收控制装置20-4基于接收到的消息来实施行驶控制。
通过以上的步骤22001至步骤22007,接收控制装置20-4能对经由车内总线40接收到的消息使用域密钥来验证MAC,实施行驶控制。
以上,根据实施例1,各控制装置20管理各域共享的域密钥,GW装置10能判定接收到的消息是否为MAC更换对象,对更换对象的消息进行MAC更换,对通信目的地的域发送消息。
由此,由于只要管理域密钥即可,因此相比对每个控制装置20管理密钥的构成,能减少所管理的密钥数,也能减少密钥的更新负荷。而且,如车载系统那样GW装置10的处理能力受限的系统中也能管理密钥。另外,即使泄露一个密钥也能抑制作为车载系统的影响。
另外,实施例1中说明了以车载网络为对象的例子,但是不限定于此,也能适用于其他控制系系统、信息系系统中的装置。
实施例2
作为实施例2,说明能进行下述密钥管理的例子:各控制装置除了各域共享的域密钥还管理域间共享的域间密钥,基于消息的ID信息对消息赋予使用域密钥或域间密钥算出的MAC,GW装置使用更换处理部和MAC更换判定信息判定接收到的消息是否成为MAC的更换对象,并且判定用于MAC算出的密钥是域密钥还是域间密钥,针对使用域密钥的消息进行MAC更换,针对使用了域间密钥的消息不进行MAC更换,使用路由处理部向通信目的地的域发送消息,减小GW装置中的处理负荷。
关于车载系统的构成,除了控制装置20的利用密钥信息241为利用密钥信息2141之外,与实施例1的使用图1所说明的构成相同,各部分的动作如以下所说明的那样与实施例1不同。
图8是表示在图3的步骤21003与步骤21005之间判定用于算出MAC的密钥的种类的发送控制装置20-3的详细处理流程例的图。步骤21001至步骤21003为止的各步骤与实施例1的使用图3说明的步骤21001至步骤21003为止的各步骤相同。
步骤21008中,密钥利用部22参照使用图11说明的利用密钥信息2141,判定步骤21002中取得的CAN-ID是否为域密钥的对象,在为域密钥的对象的情况下进入步骤21004,在不是域密钥的对象的情况下进入步骤21009。
图11中表示步骤21008中所参照的利用密钥信息2141的表格构成例。CAN-ID栏21411表示识别消息的信息。只要是能识别消息的信息,也可使用CAN-ID以外的信息。利用密钥栏21412表示对应于CAN-ID栏21411的CAN-ID用于生成MAC的密钥信息。域密钥对象栏21413表示CAN-ID栏21411的CAN-ID所识别的消息是否是域密钥的对象。
例如,步骤21008中,密钥利用部22取得与步骤21002中取得的CAN-ID一致的CAN-ID栏21411的CAN-ID所对应的域密钥对象栏21413的信息,在域密钥对象栏21413的信息为“符合”的情况下,在生成MAC时使用域密钥,在“不符合”的情况下,生成MAC时使用域间密钥。
因此,步骤21009中,密钥利用部22取得与步骤21002中取得的CAN-ID一致的CAN-ID栏21411的CAN-ID所对应的利用密钥栏21412的域间密钥。
步骤21004至步骤21007为止的各步骤与实施例1的使用图3说明的步骤21004至步骤21007为止的各步骤相同。
通过以上的步骤21001至步骤21009,发送控制装置20-3能对应于消息的CAN-ID生成使用了域密钥或域间密钥的MAC。
图9是表示在图4的步骤1002中判定为不是MAC更换对象的情况下判定是否是域间密钥的对象消息的GW装置10的详细处理流程例的图。步骤1001、以及步骤1003至步骤1011为止的各步骤与实施例1的使用图4说明的步骤1001、以及步骤1003至步骤1011为止的各步骤相同。
步骤1002中,更换处理部12参照MAC更换判定信息151,取得与步骤1001中取得的CAN-ID一致的CAN-ID栏1511的CAN-ID所对应的MAC要否更换栏1513的信息,在取得的MAC要否更换栏1513的信息为“要”的情况下进入步骤1003,为“否”的情况下进入步骤1012。
步骤1012中,更换处理部12参照MAC更换判定信息151,取得与步骤1001中取得的CAN-ID一致的CAN-ID栏1511的CAN-ID所对应的域间密钥对象栏1514的信息,在取得的域间密钥对象栏1514的信息为“符合”的情况下进入步骤1013,在为“不符合”的情况下结束本处理。
步骤1013中,更换处理部12取得被发送来所接收到的消息的车内总线40的域、即通信源的域。然后,取得与步骤1001中取得的CAN-ID一致的通信关系域栏1512的域,从该通信关系域栏1512中取得的域中,取得通信源的域以外的域作为通信目的地的域。
步骤1014中,路由处理部13将接收到的消息向步骤1013中取得的成为通信目的地的所有域的车内总线40发送。
通过以上的步骤1001至步骤1014,GW装置10能对应于CAN-ID,更换赋予了使用域密钥的MAC的消息的MAC,不更换赋予了使用域间密钥的MAC的消息的MAC,向成为通信目的地的域发送消息。在不更换MAC的情况下,能降低GW装置10的处理负荷。
图10是表示在图5的步骤22002与步骤22004之间判定用于MAC验证的密钥的种类的接收控制装置20-4的详细处理流程例的图。步骤22001和步骤22002的各步骤与实施例1的使用图5说明的步骤22001和步骤22002的各步骤相同。
步骤22008中,密钥利用部22参照利用密钥信息2141,取得与步骤22001中取得的CAN-ID一致的CAN-ID栏21411的CAN-ID所对应的域密钥对象栏21413的信息,在域密钥对象栏21413的信息为“符合”的情况下,进入步骤22003,在为“不符合”的情况下,进入步骤22009。
步骤22009中,密钥利用部22参照利用密钥信息2141,取得与步骤22001中取得的CAN-ID一致的CAN-ID栏21411的CAN-ID所对应的利用密钥栏21412的域间密钥。
步骤22003至步骤22007为止的各步骤与实施例1的使用图5说明的步骤22003至步骤22007为止的各步骤相同。
通过以上的步骤22001至步骤22009,接收控制装置20-4能对应于CAN-ID实施使用了域密钥或域间密钥的MAC验证。
以上,根据实施例2,各控制装置20除了各域共享的域密钥还管理域间共享的域间密钥,GW装置10对应于CAN-ID更换赋予了使用域密钥的MAC的消息的MAC,不更换赋予了使用域间密钥的MAC的消息的MAC,向成为通信目的地的域发送消息,从而能降低GW装置10的处理负荷。
实施例3
作为实施例3,说明能进行下述密钥管理的例子:各控制装置针对消息赋予一次性数(nonce:一次性编号),GW装置判定对接收到的消息赋予的一次性数是否正确,向通信目的地的域发送消息,降低GW装置中的处理负荷。车载系统的构成可以为实施例1的使用图1说明的构成。
图12是表示在图2的步骤2103、步骤102、步骤104中添加了一次性数的处理的域间通信中的处理序列概要例的图。发送控制装置20-3的步骤2101和步骤2102的各步骤与实施例1的使用图2说明的步骤2101和步骤2102的各步骤相同。
步骤2105中,消息生成部23生成一次性数的值,基于成为消息的数据的控制参数信息、MAC和一次性数,生成通信用的消息。此处,消息可包括报头、省略了图示的脚注等。步骤2106中,消息生成部23使用车内通信部21将步骤2105中生成的包括一次性数的消息向车内总线40发送。
一次性数的值例如可以为通信的序列号,也可以为随机数等。发送控制装置20-3和GW装置10为了得到相同的一次性数的值,可以在步骤2106之前的任意时间点,发送控制装置20-3和GW装置10对一次性数的值进行通信,也可以在发送控制装置20-3和GW装置10分别具备实现相同算法的生成回路,由各自的生成回路生成一次性数的相同值,还可以在实现发送控制装置20-3和GW装置10的相同算法的生成回路间进行使一次性数的值同步的通信。
GW装置10的步骤101、步骤103至步骤105的各步骤与实施例1的使用图2说明的步骤101、步骤103至步骤105的各步骤相同。步骤107中,更换处理部12生成一次性数的值,比较接收到的消息的一次性数的值和生成的一次性数的值,在一次性数的值一致的情况下进入步骤103,在一次性数的值不一致的情况下结束本处理,转移到错误处理。
步骤108中,路由处理部13将步骤104中生成的包括一次性数的消息向步骤105中取得的成为通信目的地的域的车内总线40发送。该例子中,为了统一消息的格式,而作为包括一次性数的消息。
接收控制装置20-4的步骤2201和步骤2202的各步骤与实施例1的使用图2说明的步骤2201和步骤2202的各步骤相同。
而且,在步骤2201中由于不验证一次性数的值,因此步骤108中也可以在消息中不包括一次性数地进行发送。相反,也可以在接收控制装置20-4生成一次性数的值,步骤2201中密钥利用部22除了比较MAC的值的一致性来进行验证以外,还进行比较一次性数的值的一致性的验证。
以上,根据实施例3,各控制装置20赋予一次性数来发送消息,GW装置10能通过一次性数对接收到的消息进行验证,能降低GW装置10的处理负荷。
符号说明
10:GW装置、
20:控制装置、
30:车辆、
40:车内总线。
Claims (11)
1.一种网关装置,在2个以上域间中继消息,其特征在于,具备:
密钥关联信息存储部,其存储与所述2个以上域对应的域密钥和所述2个以上域间共享的域间密钥;
更换处理部,其从所述2个以上域中的第一域接收包括与所述第一域对应的第一篡改检测码和第一数据的第一消息,基于用于识别所述消息的ID信息来判定该消息是域密钥的对象还是域间密钥的对象;以及
路由处理部,其在该消息是域密钥的对象时,将包括与所述2个以上域中的第二域对应的第二篡改检测码和所述第一数据的第二消息向所述第二域发送,在该消息是所述域间密钥的对象的情况下,将所述第一消息发送到所述第二域。
2.根据权利要求1所述的网关装置,其特征在于,
所述网关装置还将包括与所述2个以上域中的第三域对应的第三篡改检测码和所述第一数据的第三消息向所述第三域发送。
3.根据权利要求1所述的网关装置,其特征在于,
所述网关装置管理与所述第一域和所述第二域分别对应的域密钥,
基于与所述第二域对应的域密钥和所述第一数据来生成所述第二篡改检测码,
生成包括所述第一数据和所述第二篡改检测码的所述第二消息,
将所述第二消息向所述第二域发送。
4.根据权利要求3所述的网关装置,其特征在于,
所述网关装置基于识别所述第一消息中包含的所述第一消息的ID信息,判定是否生成所述第二消息,并确定所述第二域。
5.根据权利要求4所述的网关装置,其特征在于,
所述网关装置基于与所述第一域对应的域密钥和所述第一数据生成篡改检测码,
在与所述第一消息中包含的所述第一篡改检测码比较并判定为一致的情况下,生成所述第二篡改检测码,生成所述第二消息,并发送所述第二消息。
6.根据权利要求4所述的网关装置,其特征在于,
所述网关装置生成一次性编号,
在与所述第一消息中包含的一次性编号比较并判定为一致的情况下,生成所述第二篡改检测码,生成所述第二消息,并发送所述第二消息。
7.根据权利要求5所述的网关装置,其特征在于,
所述网关装置管理针对用于识别消息的ID信息进行收发的多个域,
基于识别所述第一消息的ID信息,确定收发所述第一消息的多个域,
将确定的所述多个域中的除所述第一域以外的域确定为发送目的地的域。
8.根据权利要求1至7中任一项所述的网关装置,其特征在于,
由输入装置对所述网关装置设定信息,所述2个以上域包含:包括1个以上控制装置的1个以上所述第一域和包括2个以上控制装置的1个以上所述第二域,
该输入装置显示所述2个以上域的个数的输入框,对所述网关装置设定输入到所述输入框的所述域密钥。
9.一种网关装置的控制方法,所述网关装置在2个以上域间中继消息,该控制方法的特征在于,
管理与所述2个以上域对应的域密钥和所述2个以上域间共享的域间密钥,
从所述2个以上域中的第一域接收包括与所述第一域对应的第一篡改检测码和第一数据的第一消息,
基于用于识别所述消息的ID信息来判定该消息是域密钥的对象还是域间密钥的对象,
在该消息是域密钥的对象时,将包括与所述2个以上域对应的第二域对应的第二篡改检测码和所述第一数据的第二消息向所述第二域发送,
在该消息是所述域间密钥的对象的情况下,将所述第一消息发送到所述第二域。
10.根据权利要求9所述的网关装置的控制方法,其特征在于,
为了向所述第二域发送所述第二消息,
基于与所述第二域对应的域密钥和所述第一数据生成所述第二篡改检测码,
生成包括所述第一数据和所述第二篡改检测码的所述第二消息。
11.根据权利要求10所述的网关装置的控制方法,其特征在于,
基于识别所述第一消息中包含的所述第一消息的ID信息,判定是否生成所述第二消息,并确定所述第二域。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015141509A JP6484519B2 (ja) | 2015-07-15 | 2015-07-15 | ゲートウェイ装置およびその制御方法 |
| JP2015-141509 | 2015-07-15 | ||
| PCT/JP2016/065246 WO2017010172A1 (ja) | 2015-07-15 | 2016-05-24 | ゲートウェイ装置およびその制御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107710676A CN107710676A (zh) | 2018-02-16 |
| CN107710676B true CN107710676B (zh) | 2021-03-23 |
Family
ID=57756901
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680034661.3A Active CN107710676B (zh) | 2015-07-15 | 2016-05-24 | 网关装置及其控制方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10560286B2 (zh) |
| EP (1) | EP3324574B1 (zh) |
| JP (1) | JP6484519B2 (zh) |
| CN (1) | CN107710676B (zh) |
| WO (1) | WO2017010172A1 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6693368B2 (ja) * | 2016-09-21 | 2020-05-13 | 株式会社オートネットワーク技術研究所 | 通信システム、中継装置及び通信方法 |
| DE102016221690A1 (de) * | 2016-11-04 | 2018-05-09 | Audi Ag | Verfahren zum Übertragen von Datenpaketen zwischen einem Ethernet und einem Bussystem in einem Kraftfahrzeug sowie Gatewayvorrichtung und Kraftfahrzeug |
| JP6719413B2 (ja) * | 2017-03-28 | 2020-07-08 | 株式会社Kddi総合研究所 | セキュリティゲートウェイ装置、方法、及びプログラム |
| CN108737073B (zh) * | 2018-06-22 | 2021-09-28 | 北京智芯微电子科技有限公司 | 分组加密运算中抵抗能量分析攻击的方法和装置 |
| US10922439B2 (en) * | 2018-06-29 | 2021-02-16 | Intel Corporation | Technologies for verifying memory integrity across multiple memory regions |
| DE102018220498A1 (de) * | 2018-11-28 | 2020-05-28 | Robert Bosch Gmbh | Teilnehmerstationen für ein serielles Bussystem und Verfahren zum Übertragen einer Nachricht in einem seriellen Bussystem |
| JP2020092318A (ja) * | 2018-12-04 | 2020-06-11 | 株式会社東芝 | 中継装置、中継方法及びコンピュータプログラム |
| JP7328419B2 (ja) * | 2019-01-09 | 2023-08-16 | 国立大学法人東海国立大学機構 | 車載通信システム、車載通信装置、コンピュータプログラム及び通信方法 |
| CN115378581A (zh) * | 2019-07-12 | 2022-11-22 | 华为技术有限公司 | 一种认证方法、设备和系统 |
| US11436342B2 (en) | 2019-12-26 | 2022-09-06 | Intel Corporation | TDX islands with self-contained scope enabling TDX KeyID scaling |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6725276B1 (en) * | 1999-04-13 | 2004-04-20 | Nortel Networks Limited | Apparatus and method for authenticating messages transmitted across different multicast domains |
| CN101594616A (zh) * | 2009-07-08 | 2009-12-02 | 深圳华为通信技术有限公司 | 认证方法、服务器、用户设备及通信系统 |
| KR20130083619A (ko) * | 2012-01-13 | 2013-07-23 | 고려대학교 산학협력단 | 차량용 데이터의 인증 및 획득 방법 |
| CN104079489A (zh) * | 2013-03-28 | 2014-10-01 | 日立金属株式会社 | 网络中继装置 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6041166A (en) * | 1995-07-14 | 2000-03-21 | 3Com Corp. | Virtual network architecture for connectionless LAN backbone |
| JP4333351B2 (ja) * | 2003-12-05 | 2009-09-16 | 株式会社デンソー | 通信システム |
| JP2007013366A (ja) * | 2005-06-29 | 2007-01-18 | Sony Corp | 通信処理装置、通信処理システム、および方法、並びにコンピュータ・プログラム |
| US7400596B1 (en) * | 2005-08-17 | 2008-07-15 | Rockwell Collins, Inc. | Dynamic, multicast routing using a quality of service manager |
| JP2007135011A (ja) * | 2005-11-10 | 2007-05-31 | Auto Network Gijutsu Kenkyusho:Kk | 中継接続ユニットおよび仮想車載lanシステム |
| JP2007336267A (ja) * | 2006-06-15 | 2007-12-27 | Toyota Motor Corp | 車載通信システム |
| US8320567B2 (en) * | 2007-01-05 | 2012-11-27 | Cisco Technology, Inc. | Efficient data path encapsulation between access point and access switch |
| JP5685935B2 (ja) * | 2010-12-28 | 2015-03-18 | ブラザー工業株式会社 | 制御装置及びプログラム |
| JP2013048374A (ja) * | 2011-08-29 | 2013-03-07 | Toyota Motor Corp | 保護通信方法 |
| WO2013128317A1 (en) * | 2012-03-01 | 2013-09-06 | Nds Limited | Anti-replay counter measures |
| JP2014141154A (ja) * | 2013-01-23 | 2014-08-07 | Denso Corp | 車両の暗号キー登録装置 |
| JP2014183395A (ja) | 2013-03-18 | 2014-09-29 | Hitachi Automotive Systems Ltd | 車載ネットワークシステム |
| JP6126980B2 (ja) * | 2013-12-12 | 2017-05-10 | 日立オートモティブシステムズ株式会社 | ネットワーク装置およびネットワークシステム |
-
2015
- 2015-07-15 JP JP2015141509A patent/JP6484519B2/ja active Active
-
2016
- 2016-05-24 EP EP16824152.9A patent/EP3324574B1/en active Active
- 2016-05-24 CN CN201680034661.3A patent/CN107710676B/zh active Active
- 2016-05-24 US US15/743,691 patent/US10560286B2/en active Active
- 2016-05-24 WO PCT/JP2016/065246 patent/WO2017010172A1/ja active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6725276B1 (en) * | 1999-04-13 | 2004-04-20 | Nortel Networks Limited | Apparatus and method for authenticating messages transmitted across different multicast domains |
| CN101594616A (zh) * | 2009-07-08 | 2009-12-02 | 深圳华为通信技术有限公司 | 认证方法、服务器、用户设备及通信系统 |
| KR20130083619A (ko) * | 2012-01-13 | 2013-07-23 | 고려대학교 산학협력단 | 차량용 데이터의 인증 및 획득 방법 |
| CN104079489A (zh) * | 2013-03-28 | 2014-10-01 | 日立金属株式会社 | 网络中继装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3324574A4 (en) | 2019-01-23 |
| EP3324574B1 (en) | 2020-07-08 |
| US10560286B2 (en) | 2020-02-11 |
| WO2017010172A1 (ja) | 2017-01-19 |
| US20180205576A1 (en) | 2018-07-19 |
| CN107710676A (zh) | 2018-02-16 |
| EP3324574A1 (en) | 2018-05-23 |
| JP6484519B2 (ja) | 2019-03-13 |
| JP2017028345A (ja) | 2017-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107710676B (zh) | 网关装置及其控制方法 | |
| CN106664311B (zh) | 支持异构电子设备之间差异化的安全通信 | |
| CN113572767B (zh) | 用于加密交通工具数据服务交换的系统和方法 | |
| CN109076078B (zh) | 用以建立和更新用于安全的车载网络通信的密钥的方法 | |
| US11804967B2 (en) | Systems and methods for verifying a route taken by a communication | |
| CN107784223B (zh) | 用于将证书传输到设备中的仪器的计算机装置 | |
| US9577997B2 (en) | Authentication system and authentication method | |
| CN106576096B (zh) | 用于对具有不等能力的设备的认证的装置、方法及介质 | |
| EP3541006A1 (en) | Reuse system, key creating device, data security device, on-vehicle computer, reuse method, and computer program | |
| US20180270052A1 (en) | Cryptographic key distribution | |
| KR102393555B1 (ko) | 차량과 외부 서버 사이의 보호된 통신을 위한 방법, 이러한 방법에서 키 유도를 수행하기 위한 장치 및 차량 | |
| EP3148152A1 (en) | Cryptographic key distribution | |
| JP2017091360A (ja) | データ配布装置、通信システム、移動体およびデータ配布方法 | |
| US20180212977A1 (en) | In-vehicle network system | |
| CN110312232B (zh) | 车辆通信系统和车辆通信方法 | |
| JP6375962B2 (ja) | 車載ゲートウェイ装置及び電子制御装置 | |
| CN104219222A (zh) | 交换路径网络中用于中间消息认证的系统和方法 | |
| US20220231997A1 (en) | Setting device, communication system, and vehicle communication management method | |
| US10263976B2 (en) | Method for excluding a participant from a group having authorized communication | |
| KR20220135899A (ko) | 차량의 전자 제어 장치, 게이트웨이 장치 및 이들을 포함하는 차량 | |
| US20170222810A1 (en) | User permission check system | |
| CN118101607A (zh) | 数据同步方法、同步新鲜值的方法及相应系统 | |
| CN118337371A (zh) | 一种车内网轻量化节点身份认证及分级加解密方法及系统 | |
| CN117155592A (zh) | 数据加密方法、装置、存储介质及电子设备 | |
| Raghuram | Advance EMAP for Vehicular Ad Hoc Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Ibaraki Patentee after: Hitachi astemo Co.,Ltd. Address before: Ibaraki Patentee before: HITACHI AUTOMOTIVE SYSTEMS, Ltd. |
|
| CP01 | Change in the name or title of a patent holder |