CN113711213A - 运算装置 - Google Patents
运算装置 Download PDFInfo
- Publication number
- CN113711213A CN113711213A CN202080028246.3A CN202080028246A CN113711213A CN 113711213 A CN113711213 A CN 113711213A CN 202080028246 A CN202080028246 A CN 202080028246A CN 113711213 A CN113711213 A CN 113711213A
- Authority
- CN
- China
- Prior art keywords
- core
- authentication
- verification
- unit
- arithmetic device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012545 processing Methods 0.000 claims abstract description 133
- 238000012795 verification Methods 0.000 claims abstract description 103
- 238000000034 method Methods 0.000 claims abstract description 85
- 230000008569 process Effects 0.000 claims abstract description 77
- 238000004891 communication Methods 0.000 claims description 110
- 230000005856 abnormality Effects 0.000 claims description 15
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 16
- 230000004048 modification Effects 0.000 description 15
- 238000012986 modification Methods 0.000 description 15
- 230000008859 change Effects 0.000 description 8
- 230000010485 coping Effects 0.000 description 2
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F7/38—Methods or arrangements for performing computations using exclusively denominational number representation, e.g. using binary, ternary, decimal representation
- G06F7/48—Methods or arrangements for performing computations using exclusively denominational number representation, e.g. using binary, ternary, decimal representation using non-contact-making devices, e.g. tube, solid state device; using unspecified devices
- G06F7/57—Arithmetic logic units [ALU], i.e. arrangements or devices for performing two or more of the operations covered by groups G06F7/483 – G06F7/556 or for performing logical operations
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Computational Mathematics (AREA)
- Computing Systems (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Physics (AREA)
- Small-Scale Networks (AREA)
- Storage Device Security (AREA)
Abstract
本发明的运算装置具备进行运算处理的第1核心、第2核心以及1个以上的另外的核心即其他核心。第1核心具有对从运算装置外部接收的报文进行第1次验证处理的第1验证部。第2核心具有验证地点判断处理部,该验证地点判断处理部根据报文中包含的识别信息来判断是否由该第2核心执行对报文的第2次验证处理。
Description
技术领域
本发明涉及运算装置。
背景技术
汽车的车载***越来越多地与中心***、车外装置相连。伴随于此,对来自车外的网络安全攻击的防备就变得重要起来。然而,车载***中搭载的控制装置大多是以有限的资源在进行动作。专利文献1中揭示有一种多处理器***,其在使多个处理器各方相互利用所具有的资源的情况下执行处理,其特征在于,具备执行许可与否判定单元,所述执行许可与否判定单元判定是否许可第一处理器执行使用第二处理器的资源的、属于该第二处理器的处理。
现有技术文献
专利文献
专利文献1:日本专利特开2008-176646号公报
发明内容
发明要解决的问题
在专利文献1记载的发明中,安全对策不足。尤其是在搭载有多处理器核心的环境下,在接收到非法报文时,第1验证被突破或逃避时的对策不足。
解决问题的技术手段
本发明的第1形态的运算装置是一种具备进行运算处理的第1核心、第2核心以及1个以上的另外的核心即其他核心的运算装置,其中,所述第1核心具有第1验证部,所述第1验证部对从所述运算装置外部接收的报文进行第1次验证处理,所述第2核心具有验证地点判断处理部,所述验证地点判断处理部根据所述报文中包含的识别信息来判断是否由该第2核心执行对所述报文的第2次验证处理。
本发明的第2形态的运算装置是一种具备进行运算处理的3个以上的核心的运算装置,其具备:接口部,其从所述运算装置外部接收报文;第1验证部,其对所述报文进行第1次验证处理;第2验证部,其对所述报文进行第2次验证处理;以及确定部,其根据所述报文中包含的识别信息来确定执行所述第2次验证处理的所述核心,所述第1验证部及所述第2验证部由不同所述核心实现。
发明的效果
根据本发明,在搭载有多处理器核心的环境下,在接收到非法报文时,即便第1验证被突破或逃避掉,也可以通过第2验证来保护对象装置免受非法报文影响。
附图说明
图1为运算装置的硬件构成图。
图2为运算装置的功能构成图。
图3为表示验证判断信息的一例的图。
图4为表示验证委托目标信息的一例的图。
图5为表示权限管理信息的一例的图。
图6为认证***的整体处理时序图。
图7为表示图6中的第1核心的动作的流程图。
图8为表示图6中的第2核心的动作的流程图。
图9为表示图6中的第3核心的动作的流程图。
图10为变形例3中的运算装置的功能构成图。
具体实施方式
-实施方式-
下面,参考图1~图9,对本发明的运算装置的实施方式进行说明。
(硬件构成)
图1为本发明的运算装置1的硬件构成图。运算装置1经由通信总线4连接有第1核心11、第2核心12、第3核心13、接口部5、RAM 6、ROM 7。第1核心11、第2核心12以及第3核心13将ROM 7中储存的程序展开到RAM 6中并加以执行,由此实现后文叙述的功能。以下,将第1核心11、第2核心12以及第3核心13统称为核心10。第1核心11、第2核心12以及第3核心13各方为物理核心,可各自独立地加以封装,也可将核心10封入1个封装件中。
再者,ROM 7中储存验证判断信息700、验证委托目标信息800以及权限管理信息900。验证判断信息700、验证委托目标信息800以及权限管理信息900供核心10参考。验证判断信息700、验证委托目标信息800以及权限管理信息900的具体说明于后文叙述。
接口部5接收来自运算装置1外部的通信报文,并保存至RAM 6。此外,接口部5将RAM 6或RAM 7中保存的信息作为通信报文发送至运算装置1外部。接口部5支持的通信总线的规格为CAN(注册商标)、LIN(注册商标)、FlexRay(注册商标)、以太网(注册商标)等。接口部5只要支持至少1种通信规格即可。
所谓通信报文,是通过通信来授受的电子数据,也称为“分组”、“数据帧”、“数据报”等。此外,通信报文也可不是“分组”等本身,例如也可为通过规定次序将多个“分组”等加以耦合或解码后的所得物。进而,通信报文可为包含报头的整个报文,也可仅为去掉报头的有效载荷。
(功能构成)
图2为运算装置1的功能构成图。运算装置1连接于第1总线21、第2总线22以及第3总线23。运算装置1例如搭载于车辆中,第1总线21及第2总线22为连接于车辆外部的通信总线,第3总线23为连接于车辆内部的通信总线。第2总线22也可以称为“面向内部的通信总线”,第3总线23也可以称为“面向外部的通信总线”。例如未图示的无线通信单元从车辆外部接收到的报文经由第1总线21或第2总线22输入至运算装置1,并经由运算装置1输出至车辆内部的第3总线23。控制车辆的电子控制装置连接于第3总线23。在本实施方式中,主要对说明运算装置1经由第1总线21接收到的通信报文的真实性的验证的动作进行说明。
图2所示的通信总线与核心10的关系是观念性的,从各通信总线输入的报文由所连接的核心10首先进行处理。例如在本实施方式中主要说明的状况也就是运算装置1从第1总线21接收到报文的情况下,由第1核心11首先进行处理。具体而言,第1核心11进行最初的验证,其他核心进行第二验证。详情于后文叙述。再者,以下有时将最初的验证称为“第1验证”。再者,以下有时将第2次验证称为“第2验证”。
再者,第1总线21、第2总线22以及第3总线23各方可在物理上为多条通信总线。第1总线21、第2总线22以及第3总线23各方支持的通信总线的规格可全部相同也可不同。第1总线21、第2总线22以及第3总线23支持的通信总线的规格为图1所示的接口部5的规格等。
运算装置1具备第1验证部31、第2验证部32、控制部33、验证地点判断处理部34、验证委托处理部35以及权限管理部36作为其功能。在本实施方式中,第1核心11执行第1验证部31,第2核心12执行第2验证部32、控制部33、验证地点判断处理部34以及验证委托处理部35,第3核心13执行第2验证部32、控制部33以及权限管理部36。
第2验证部32及控制部33由第2核心12和第3核心13两方加以执行。这并不表示2个核心合作进行1个处理,而是表示各核心能独立执行处理。即,第2验证部32及控制部33各方既存在由第2核心12加以执行的情况,也存在由第3核心13加以执行的情况。于后文叙述由哪一核心进行上述处理。再者,由于第2验证部32及控制部33针对某一输入而获得同一输出,因此不论执行的核心是哪一个,都标注同一符号,各自的实现手段也可不同。例如,第2核心12实现第2验证部32用的程序代码与第3核心13实现第2验证部32用的程序代码也可不同。
第1验证部31及第2验证部32对运算装置1所接收到的通信报文的真实性进行验证。第1验证部31与第2验证部32由不同核心加以执行。在本实施方式中,如前文所述,主要对运算装置1经由第1总线21接收到的通信报文的真实性的验证进行说明。因此,为方便起见,将首先进行通信报文的验证的第1核心11的验证部设为与第2核心12或第3核心13的验证部不一样的名称。第1验证部31及第2验证部32可通过同一方法来验证通信报文的真实性,也可通过不同方法来验证通信报文的真实性。
由第2核心12执行的验证地点判断处理部34判断是否由第2核心12自身执行通信报文的第二验证也就是第2验证部32的动作。在验证地点判断处理部34判断应将通信报文的第二验证委托给自身以外的处理器核心的情况下,由第2核心12执行的验证委托处理部35向符合规定规则的处理器核心委托通信报文的验证。
由第2核心12及第3核心13执行的控制部33按照被给与的权限来执行规定处理。
由第2核心12及第3核心13执行的权限管理部36根据处理内容来控制对各核心10赋予的权限。所谓权限的控制,例如为对RAM 6的特定区域的访问的许可。权限管理部36仅针对第2验证部32的验证结果中确认了真实性的处理内容来控制权限。即,在通过第1验证部31及第2验证部32中的任一方无法确认真实性的情况下,不变更权限。再者,权限管理部36优选仅配备在不与车外直接连接的第3核心13内。
(验证判断信息700)
图3为表示验证判断信息700的一例的图。验证判断信息700具有多个记录,各记录具有处理ID 701及处理可否702栏。处理ID 701是用于识别要执行的处理内容的标识符。只要能识别,处理ID 701便不限格式,可像图3所示那样为任一数值,也可为IP地址等。处理可否702表示是否由第2核心12自身对具有同一记录的处理ID 701的通信报文进行处理。在图3所示的例子中,“1”表示由第2核心12自身进行处理,“0”表示由第2核心12以外的核心进行处理。处理ID 701可包含在通信报文中,在按每一通信报文区分处理ID的情况下,也可将通信ID用作处理ID。
验证地点判断处理部34通过参考验证判断信息700来判断是否由第2核心12对接收到的通信报文进行处理。验证地点判断处理部34首先确定接收到的通信报文的处理ID。接着,验证地点判断处理部34从验证判断信息700中读取与所确定的处理ID相对应的处理的可否。若读取到的处理可否702为“1”,则判断由第2核心12进行处理,若为“0”,则判断不由第2核心12进行处理。
(验证委托目标信息800)
图4为表示验证委托目标信息800的一例的图。验证委托目标信息800具有多个记录,各记录具有处理ID 801及核心ID 802栏。处理ID 801是用于识别要执行的处理内容的标识符,与验证判断信息700的701相同。核心ID 802表示对具有同一记录的处理ID 701的通信报文进行验证的核心10的标识符。核心ID 802例如为与第1核心11相对应的“0x001”、与第2核心12相对应的“0x002”、与第3核心13相对应的“0x003”中的任一方。其中,在本实施方式中,是由第1核心11进行最初的验证,因此,验证委托目标信息800的核心ID 802所示的核心10为第2核心12及第3核心13中的任一方。
验证委托处理部35通过参考验证委托目标信息800来确定接收到的通信报文的验证委托目标。验证委托处理部35首先确定接收到的通信报文的处理ID。接着,验证委托处理部35从验证判断信息700中读取对具有所确定的处理ID的通信报文进行第2次验证的核心10。若读取到的核心ID802为“0x002”,则向第2核心12自身委托处理,若为“0x003”,则向第3核心13委托处理。
(权限管理信息900)
图5为表示权限管理信息900的一例的图。权限管理信息900具有多个记录,各记录具有处理ID901、第1核心权限902、第2核心权限903、第3核心权限904栏。处理ID901是用于识别要执行的处理内容的标识符,与验证判断信息700的701和验证委托目标信息800的801相同。第1核心权限902、第2核心权限903以及第3核心权限904各方表示对第1核心11、第2核心12以及第3核心各方的权限赋予的有无。在图5所示的例子中,“0”表示不赋予权限,“1”表示赋予权限。
再者,图5所示的例子中仅展示了权限赋予的有无,但也可同时展示所赋予的权限的种类和范围等。所谓权限的种类,例如为仅读入、仅写入、读入和写入等。所谓权限的范围,例如为地址空间的位址的范围、赋予权限的时间范围。
权限管理部36参考权限管理信息900来进行接收到的通信报文所引起的处理所需的权限的赋予。权限管理部36首先确定接收到的通信报文的处理ID。接着,权限管理部36向与所确定的处理ID相对应的核心10赋予权限。例如,在处理ID为“0x002”的情况下,权限管理部36向第2核心12及第3核心赋予权限。
(时序图)
图6为第1核心11接收到通信报文的情况下的认证***的整体处理时序图。在步骤S301中,第1验证部31根据规定规则来验证经由接口部5接收到的通信报文的真实性。在接下来的步骤S302中,第1核心11向第2核心12通知接收到通信报文这一情况。再者,在步骤S301中无法确认真实性的情况下,第1核心11进行异常应对处理。
在接下来的步骤S303中,由第2核心12实现的验证地点判断处理部34判断是否应将步骤S301中验证了真实性的通信报文的第2次验证委托给自身以外也就是第2核心12以外的核心10。其中,在本图的说明中,验证地点判断处理部34在步骤S303中判断应将验证委托给自身以外的核心10。
验证委托处理部35决定成为接受通信报文的第2次验证的委托的验证地点的核心10(步骤S304),并向该核心10通知验证委托(步骤S305)。在步骤S306中,第3核心13的第2验证部32根据规定规则来验证步骤S301中实施了最初的验证的通信报文的真实性。在步骤S307中,第2验证部32确认步骤S306的验证的结果也就是真实性的有无。
在步骤S308中,在步骤S307中确认有真实性的情况下,权限管理部36确认通信报文的处理中是否需要权限的赋予。在步骤S309中,权限管理部36赋予步骤S308中判断为需要的权限,也就是更新权限。在步骤S310中,第3核心13将步骤S307中确认的验证结果通知给第2核心12。
在步骤S311中,验证委托处理部35根据步骤S310中通知的验证结果对真实性及权限赋予进行确认。在步骤S312中,控制部33根据规定处理来执行通信报文。在步骤S313中,第2核心12将通信报文的处理已完成这一情况通知给第3核心13。
在步骤S314中,在收到上述步骤S313中通知的完成通知的情况下,权限管理部36确认上述步骤S309中有无权限的赋予。在步骤S315中,在上述步骤S314中确认有权限的赋予的情况下,权限管理部36解除所赋予的权限。
通过以上步骤,在运算装置1从装置外接收到通信报文的情况下,认证处理***除了第1核心11进行的第1验证以外,还经由未从装置外接收到报文的第2核心12而让第2核心12或第3核心13执行第2验证,可以针对从车外送来的非法通信而将汽车维持在安全的状态。
(第1核心11的流程图)
图7为表示图6中的第1核心11的步骤S301到步骤S302相关的处理的流程图。具体而言,图7所示的流程图展示对通信报文进行验证并向第2核心12通知通信报文的接收的处理。
在步骤S401中,第1核心11使用接口部5接收来自装置外的通信报文。在接下来的步骤S402中,第1核心11以步骤S401中接收到的通信报文为对象而使用第1验证部31来验证是否为正当的通信报文。第1验证部31例如可采用以下3种判断方法中的任一种,也可采用这之外的方法。
第1方法如下:在该通信报文中包含的通信ID为预先指定的通信ID的情况下,判定是正当的,在通信ID不符的情况下,判定是不正当的。第2方法如下:在预先指定的通信周期内接收到该通信报文的情况下,判定是正当的,在不是在通信周期内接收到的情况下,判定是不正当的。第3方法如下:在该通信报文中包含的MAC(Message Authentication Code)的值与根据该通信报文生成的MAC的值一致的情况下,判定是正当的,在不一致的情况下,判定是不正当的。
在步骤S403中,在步骤S402中判定通信报文是正当的情况下,第1核心11前进至步骤S405,在判定是不正当的情况下,前进至步骤S404。在步骤S404中,第1核心11执行规定的异常应对处理。例如,第1核心11可将接收到的通信报文废弃,也可进而将发生了异常这一情况通知给装置内及装置外。
在步骤S405中,第1核心11向第2核心12通知接收到通信报文这一情况。其中,第1核心11也可通知第2核心12以外的预先指定的核心10,也可通知与通信报文中包含的通信ID相应的核心10。此外,第1核心11也可确认自身以外的核心10的处理负荷而通知给处理负荷在一定基准以下的核心10,也可通知给自身以外的所有处理器核心。
(第2核心12的流程图)
通过以上步骤,第1核心11可以验证接收到的通信报文,并根据验证结果向其他处理器核心通知通信报文的接收。
图8为表示图6中的第2核心12的处理也就是步骤S303到步骤S305以及步骤S311到步骤S313的处理的流程图。具体而言,图8所示的流程图展示如下处理:判断是否需要通信报文的验证,根据判断结果来决定验证地点,根据验证结果来执行控制处理。
在步骤S501中,第2核心12接到来自第1核心11的接收通信报文的通知,并获取该通信报文。在步骤S502中,第2核心12获取接收到的通信报文中包含的通信ID。在步骤S503中,第2核心12的验证地点判断处理部34参考验证判断信息700来判断步骤S502中获取到的通信ID是否为第2核心12自身的处理对象。例如,在步骤S501中获取到的通信报文中包含的处理ID为“0x002”的情况下,图3所示的验证判断信息700中处理可否702为“0”,因此验证地点判断处理部34判断不是验证对象。
在步骤S504中,第2核心12针对步骤S501中接收到的通信报文而使用第2验证部32来验证是否为正当的通信报文,并前进至步骤S509。例如,在该通信报文中包含的通信ID为预先指定的通信ID的情况下,判定是正当的。
在步骤S505中,第2核心12的验证委托处理部35参考验证委托目标信息800来选定验证委托目标。例如,在步骤S501中获取到的通信报文的处理ID为“0x002”的情况下,图4所示的验证委托目标信息800中与该处理ID801相关联的核心ID802为“0x003”,因此验证委托处理部35选定第3核心13作为验证委托目标。
在步骤S506中,第2核心12的验证委托处理部35向步骤S505中选定的验证委托目标发送验证委托通知。在步骤S507中,第2核心12等待步骤S506中发送的验证委托的结果的回信。在步骤S508中,在接收到验证结果的情况下,第2核心12前进至步骤S509,在未接收到验证结果的情况下,返回至步骤S507。
在步骤S504之后的或者当步骤S508中作出肯定判断时加以执行的步骤S509中,第2核心12的第2验证部32确认第2次验证处理的结果,在判断有异常的情况下,前进至步骤S510,在判断无异常的情况下,前进至步骤S511。在步骤S510中,第2核心12执行规定的异常应对处理。例如,可将接收到的通信报文废弃,也可进而将发生了异常这一情况通知给装置内及装置外。在步骤S511中,第2核心12执行与处理ID相应的规定控制。
通过以上处理,第2核心12可以判断是否需要通信报文的验证,根据判断结果来决定验证地点,根据验证结果来执行控制处理。
(第3核心13的流程图)
图9为表示图6中的第3核心13的步骤S306到步骤S310以及步骤S314到步骤S315的处理的流程图。具体而言,图9所示的流程图展示实施第2次验证处理并根据验证结果来执行权限的更新的处理。
在步骤S601中,第3核心13接到来自第2核心12的接收通信报文的通知,并获取该通信报文。在步骤S602中,第3核心13的第2验证部32针对步骤S601中接收到的通信报文而验证是否为正当的通信报文。
在步骤S603中,第3核心13的第2验证部32确认第2次验证处理的结果,若有异常,则前进至步骤S604,若无异常,则前进至步骤S605。在步骤S604中,第3核心13执行规定的异常应对处理。例如,可将接收到的通信报文废弃,也可进而将发生了异常这一情况通知给装置内及装置外。
在步骤S605中,第3核心13的权限管理部36获取通信报文中包含的处理ID,并参考权限管理信息900来确认该处理ID是否需要权限变更。例如,若所有核心都不需要权限的赋予,则不需要权限变更。在步骤S606中,在步骤S605中判断需要权限变更的情况下,第3核心13的权限管理部36前进至步骤S607,在判断不需要权限变更的情况下,前进至步骤S608。
在步骤S607中,第3核心13使用权限管理部36,参考权限管理信息900而对相应处理ID的权限进行更新。在步骤S608中,第3核心13将步骤S602中的验证结果通知给第2核心12。在接下来的步骤S609中,第3核心13等待来自第2核心12的控制完成通知。在步骤S610中,在接收到来自第2核心12的控制处理的完成通知的情况下,第3核心13前进至步骤S611,在未接收到的情况下,返回至步骤S609。
在步骤S611中,第3核心13确认步骤S607中的权限变更的有无。例如,在RAM6中储存初始值为“0”的更新有无标记,在权限管理部36变更了某一权限时,第3核心13将更新有无标记更新为“1”,权限管理部36通过确认更新有无标记的值来判断权限变更的有无。在步骤S612中,在步骤S611中判断有权限的变更的情况下,第3核心13前进至步骤S613,在判断没有权限的变更的情况下,结束本处理。在步骤S613中,第3核心13使用权限管理部36将上述步骤S607中更新了的权限变更为更新前的权限。
通过以上处理,第3核心13可以实施第2验证处理并根据验证结果来执行权限的更新。
根据上述实施方式,获得以下作用效果。
(1)运算装置1具备进行运算处理的第1核心11、第2核心12以及第3核心13。第1核心11具有对从运算装置1外部接收的报文进行第1次验证处理的第1验证部31。第2核心12具有验证地点判断处理部34,该验证地点判断处理部34根据报文中包含的识别信息即处理ID来判断是否由该第2核心12执行对报文的第2次验证处理。因此,对于经由来自车外的通信的网络攻击而言,运算装置1是牢靠的。具体而言,即便从运算装置1外部接收到报文的第1核心11内的最初的验证处理被突破或逃避掉,也会由物理上的不同核心即第2核心12或第3核心13执行第二认证,因此能实现高效地使用了多处理器核心的资源的多层防御。
(2)第2核心12还具有验证委托处理部35,当验证地点判断处理部34判断不由第2核心12执行第2次验证处理时,所述验证委托处理部35根据识别信息即处理ID及验证委托目标信息800来确定由哪一核心10执行第2次验证处理,并委托第2次验证处理的执行。因此,可以确定执行第2次验证处理的核心10并委托执行。
(3)第3核心13具有权限管理部36,当第1次验证处理及第2次验证处理中未发现异常时(图9的S603:否),所述权限管理部36根据报文中包含的信息即处理ID向第1核心11、第2核心12以及第3核心13中的至少1个核心赋予对RAM6的访问权限。因此,运算装置1可以在2次验证中未发现异常的情况下赋予对报文进行处理用的权限。
(4)当验证地点判断处理部34判断由第2核心12执行第2次验证处理时(图8的S503:是),第2核心12执行第2次验证处理(图8的S504)。
(变形例1)
运算装置1的ROM7中只要储存有验证判断信息700及验证委托目标信息800中的至少一方即可。在ROM7中未储存有验证判断信息700的情况下,验证地点判断处理部34使用验证委托目标信息800代替验证判断信息700。即,34读取验证委托目标信息800并判断核心ID802是否表示第2核心12,由此便能代替验证判断信息700。
此外,在ROM7中未储存有验证委托目标信息800的情况下,验证委托处理部35在不作任何参考的情况下将第3核心13决定为验证委托目标。其原因在于,在核心只有3个的情况下,通过消元法而仅剩下第3核心13。具体而言,可执行第2次验证处理的核心是将已进行最初的验证处理的第1核心11除外的2个核心,若不由第2核心12执行第2次验证处理,则能执行第2次验证处理的便只有第3核心13。
根据本变形例,获得以下作用效果。
(5)运算装置1具备3个核心。第2核心12具有验证委托处理部35,当验证地点判断处理部34判断不由第2核心12执行第2次验证处理时,所述验证委托处理部35向第3核心13委托第2次验证处理的执行。
(变形例2)
在上述实施方式中,验证地点判断处理部34及验证委托处理部35仅根据报文中包含的标识符即处理ID来决定执行第2次验证处理的核心10。但验证地点判断处理部34及验证委托处理部35也可根据报文的指示内容来决定执行第2次验证处理的核心10。更具体而言,即便在根据识别信息而判断由第2核心12执行第2次验证处理的情况下,在报文的指示内容符合规定条件时,验证地点判断处理部34及验证委托处理部35也可判断由第3核心13执行第2次验证处理。
报文相关的所谓规定条件,例如为以下两种情况。第1种情况是包含将该报文的至少一部分传送至与车辆内部连接的通信总线即第3总线23的指示。第2种情况是在该报文的处理时进行权限的赋予。
根据本变形例,获得以下作用效果。
(6)运算装置1搭载于车辆中。运算装置1连接于车辆的面向外部的通信总线即第1总线21、第2总线22以及面向内部的通信总线即第3总线23。第1核心11及第2核心12执行与面向外部的通信总线的报文的收发。第3核心13执行与面向内部的通信总线的报文的收发。即便在根据识别信息而判断由该第2核心12执行第2次验证处理的情况下,在报文的指示内容符合规定条件时,第2核心12的验证地点判断处理部34及验证委托处理部35也判断由第3核心13执行第2次验证处理。
(变形例3)
在上述实施方式中,验证地点判断处理部34及验证委托处理部35配备在第2核心12内。但验证地点判断处理部34及验证委托处理部35也可配备在第3核心13内。在该情况下,验证地点判断处理部34及验证委托处理部35可仅配备在第3核心13内,也可配备在第2核心12及第3核心13内。
再者,实施方式中主要对说明运算装置1经由第1总线21接收到的通信报文的真实性的验证的动作进行了说明,但实际上也会进行运算装置1经由第2总线22接收到的通信报文的真实性的验证,因此也设想在第1核心11内也配备验证地点判断处理部34及验证委托处理部35的构成。
图10为变形例3中的运算装置1的功能构成图。图10中展示的是设想的最大限度的构成,根据报文的输入源的不同,第1核心11及第2核心12内的验证会称为第1验证部31和第2验证部32,所以此处定义验证部30A来兼作两者。如图10所示,第1核心11与第2核心12的功能构成相同,第3核心13的功能构成除了第1核心11和第2核心12的功能构成以外还具有权限管理部36。
根据本变形例,获得以下作用效果。
(7)运算装置1具备进行运算处理的3个以上的核心。具备从运算装置1外部接收报文的接口部5、对报文进行第1次验证处理的第1验证部31、对报文进行第2次验证处理的第2验证部32、以及根据报文中包含的识别信息来确定执行第2次验证处理的核心的确定部即验证地点判断处理部34及验证委托处理部35。第1验证部31及第2验证部32由不同核心实现。因此,可以使运算装置1的功能构成具有各种变化。
(变形例4)
在上述实施方式中,运算装置1具备3个核心。但运算装置1也可具备4个以上的核心。在该情况下,验证委托目标信息800中,核心ID802的值的变化根据核心数量而增加。此外,权限管理信息900中,各记录的栏具有与核心数量相应的栏。但验证判断信息700的处理可否702只能取“0”或“1”这两个值,因此没有形式上的差异。
(变形例5)
第1核心11、第2核心12以及第3核心13中的至少1个也可由作为可重写的逻辑电路的FPGA(Field Programmable Gate Array)或者作为面向特定用途的集成电路的ASIC(Application Specific Integrated Circuit)来实现。根据该变形例5,能以各种硬件构成来实现运算装置1。
(变形例6)
第3核心13也可在图9的步骤S603中判断无异常的情况下执行控制处理。即,在实施方式中,控制处理是由第2核心12执行,但也可由第3核心13执行控制处理。
在上述各实施方式及变形例中,功能块的构成只是一例。也可将以不同功能块的形式展示的若干功能构成形成为一体,也可将1个功能框图中展示的构成分割为2种以上的功能。此外,也可设为其他功能块具备各功能块所具有的功能的一部分的构成。
再者,虽然上述实施方式中没有特别说明,但加密用的密钥及种子只要安全地加以分发、管理、更新即可,可在车辆的发动机启动时/停止时、产品开发时、维护时等任意时刻进行分发或更新。
上述各实施方式及变形例也可各自组合。上文中对各种实施方式及变形例进行了说明,但本发明并不限定于这些内容。在本发明的技术思想的范围内思索的其他形态也包含在本发明的范围内。
下面的优先权基础申请的揭示内容以引用文的形式并入至本文:
日本专利申请2019-80069(2019年4月19日申请)。
符号说明
1…运算装置
5…接口部
11…第1核心
12…第2核心
13…第3核心
21…第1总线
22…第2总线
23…第3总线
31…第1验证部
32…第2验证部
33…控制部
34…验证地点判断处理部
35…验证委托处理部
36…权限管理部。
Claims (7)
1.一种运算装置,其具备进行运算处理的第1核心、第2核心以及1个以上的另外的核心即其他核心,该运算装置的特征在于,
所述第1核心具有对从所述运算装置的外部接收的报文进行第1次验证处理的第1验证部,
所述第2核心具有验证地点判断处理部,所述验证地点判断处理部根据所述报文中包含的识别信息来判断是否由该第2核心执行对所述报文的第2次验证处理。
2.根据权利要求1所述的运算装置,其特征在于,
所述第2核心还具有验证委托处理部,当所述验证地点判断处理部判断不由所述第2核心执行所述第2次验证处理时,所述验证委托处理部根据所述识别信息来确定由哪一个所述其他核心执行所述第2次验证处理并委托所述第2次验证处理的执行。
3.根据权利要求1所述的运算装置,其特征在于,
所述其他核心为1个核心,
所述第2核心还具有验证委托处理部,当所述验证地点判断处理部判断不由所述第2核心执行所述第2次验证处理时,所述验证委托处理部向所述其他核心委托所述第2次验证处理的执行。
4.根据权利要求1所述的运算装置,其特征在于,
所述其他核心具有权限赋予部,当所述第1次验证处理及所述第2次验证处理中未发现异常时,所述权限赋予部根据所述报文中包含的信息向所述第1核心、所述第2核心以及所述其他核心中的至少1个核心赋予权限。
5.根据权利要求1所述的运算装置,其特征在于,
当所述验证地点判断处理部判断由所述第2核心执行所述第2次验证处理时,所述第2核心执行所述第2次验证处理。
6.根据权利要求2所述的运算装置,其特征在于,
所述运算装置搭载于车辆中,
所述运算装置连接于所述车辆的面向外部的通信总线以及面向内部的通信总线,
所述第1核心及所述第2核心执行与所述面向外部的通信总线的报文的收发,
所述其他核心中包含的第3核心执行与所述面向内部的通信总线的报文的收发,
即便在根据所述识别信息而判断由该第2核心执行所述第2次验证处理的情况下,在所述报文的指示内容符合规定条件时,所述第2核心的所述验证地点判断处理部及所述验证委托处理部也判断由所述第3核心执行所述第2次验证处理。
7.一种运算装置,其具备进行运算处理的3个以上的核心,该运算装置的特征在于,具备:
接口部,其从所述运算装置的外部接收报文;
第1验证部,其对所述报文进行第1次验证处理;
第2验证部,其对所述报文进行第2次验证处理;以及
确定部,其根据所述报文中包含的识别信息来确定执行所述第2次验证处理的所述核心,
所述第1验证部及所述第2验证部由不同的所述核心实现。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019080069A JP7306865B2 (ja) | 2019-04-19 | 2019-04-19 | 演算装置 |
| JP2019-080069 | 2019-04-19 | ||
| PCT/JP2020/017086 WO2020213744A1 (ja) | 2019-04-19 | 2020-04-20 | 演算装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113711213A true CN113711213A (zh) | 2021-11-26 |
Family
ID=72837307
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080028246.3A Pending CN113711213A (zh) | 2019-04-19 | 2020-04-20 | 运算装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US12019787B2 (zh) |
| EP (1) | EP3958151A4 (zh) |
| JP (1) | JP7306865B2 (zh) |
| CN (1) | CN113711213A (zh) |
| WO (1) | WO2020213744A1 (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008306592A (ja) * | 2007-06-08 | 2008-12-18 | Univ Nagoya | 車載通信システム、車載通信装置及び車載通信方法 |
| EP2192489A1 (en) * | 2008-11-28 | 2010-06-02 | Hitachi Automotive Systems Ltd. | Multi-core processing system for vehicle control or an internal combustion engine controller |
| WO2013072973A1 (ja) * | 2011-11-18 | 2013-05-23 | 富士通株式会社 | 通信ノード、通信制御方法、および通信ノードの制御プログラム |
| JP2017021550A (ja) * | 2015-07-10 | 2017-01-26 | 富士ゼロックス株式会社 | 情報処理装置及び情報処理プログラム |
| US20180063301A1 (en) * | 2016-08-23 | 2018-03-01 | Steering Solutions Ip Holding Corporation | Vehicle inter-controller communication |
| CN107888710A (zh) * | 2017-12-26 | 2018-04-06 | 新华三信息安全技术有限公司 | 一种报文转发方法及装置 |
| US20180131524A1 (en) * | 2016-11-07 | 2018-05-10 | The Regents Of The University Of Michigan | Securing Information Exchanged Between Internal And External Entities Of Connected Vehicles |
| CN108073816A (zh) * | 2016-11-17 | 2018-05-25 | 东芝存储器株式会社 | 信息处理装置 |
| US20190013930A1 (en) * | 2017-07-07 | 2019-01-10 | Board Of Regents Of The Nevada System Of Higher Education, On Behalf Of The University Of Nevada, | Multi-processor automotive electronic control unit |
| JP2019004518A (ja) * | 2014-05-08 | 2019-01-10 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 車載ネットワークシステム、電子制御ユニット及び不正対処方法 |
| JP2019041228A (ja) * | 2017-08-24 | 2019-03-14 | 株式会社デンソー | 電子制御装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008176646A (ja) | 2007-01-19 | 2008-07-31 | Toyota Motor Corp | マルチプロセッサシステム |
| KR20240042555A (ko) | 2009-10-29 | 2024-04-02 | 가부시키가이샤 한도오따이 에네루기 켄큐쇼 | 반도체 장치 |
| JP2015171008A (ja) | 2014-03-07 | 2015-09-28 | 株式会社リコー | 情報処理装置、情報処理装置の制御方法、及びプログラム |
-
2019
- 2019-04-19 JP JP2019080069A patent/JP7306865B2/ja active Active
-
2020
- 2020-04-20 US US17/604,653 patent/US12019787B2/en active Active
- 2020-04-20 EP EP20791242.9A patent/EP3958151A4/en active Pending
- 2020-04-20 CN CN202080028246.3A patent/CN113711213A/zh active Pending
- 2020-04-20 WO PCT/JP2020/017086 patent/WO2020213744A1/ja active Application Filing
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008306592A (ja) * | 2007-06-08 | 2008-12-18 | Univ Nagoya | 車載通信システム、車載通信装置及び車載通信方法 |
| EP2192489A1 (en) * | 2008-11-28 | 2010-06-02 | Hitachi Automotive Systems Ltd. | Multi-core processing system for vehicle control or an internal combustion engine controller |
| WO2013072973A1 (ja) * | 2011-11-18 | 2013-05-23 | 富士通株式会社 | 通信ノード、通信制御方法、および通信ノードの制御プログラム |
| US20140247786A1 (en) * | 2011-11-18 | 2014-09-04 | Fujitsu Limited | Node device and communication control method |
| JP2019004518A (ja) * | 2014-05-08 | 2019-01-10 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 車載ネットワークシステム、電子制御ユニット及び不正対処方法 |
| JP2017021550A (ja) * | 2015-07-10 | 2017-01-26 | 富士ゼロックス株式会社 | 情報処理装置及び情報処理プログラム |
| US20180063301A1 (en) * | 2016-08-23 | 2018-03-01 | Steering Solutions Ip Holding Corporation | Vehicle inter-controller communication |
| US20180131524A1 (en) * | 2016-11-07 | 2018-05-10 | The Regents Of The University Of Michigan | Securing Information Exchanged Between Internal And External Entities Of Connected Vehicles |
| CN108073816A (zh) * | 2016-11-17 | 2018-05-25 | 东芝存储器株式会社 | 信息处理装置 |
| US20190013930A1 (en) * | 2017-07-07 | 2019-01-10 | Board Of Regents Of The Nevada System Of Higher Education, On Behalf Of The University Of Nevada, | Multi-processor automotive electronic control unit |
| JP2019041228A (ja) * | 2017-08-24 | 2019-03-14 | 株式会社デンソー | 電子制御装置 |
| CN107888710A (zh) * | 2017-12-26 | 2018-04-06 | 新华三信息安全技术有限公司 | 一种报文转发方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 郝杨杨;孙莉;陈仁宇;: "基于AOP的RBAC***的设计与实现", 计算机安全, no. 05, 15 May 2009 (2009-05-15), pages 47 - 49 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20220215131A1 (en) | 2022-07-07 |
| JP2020177504A (ja) | 2020-10-29 |
| EP3958151A1 (en) | 2022-02-23 |
| EP3958151A4 (en) | 2023-01-11 |
| JP7306865B2 (ja) | 2023-07-11 |
| WO2020213744A1 (ja) | 2020-10-22 |
| US12019787B2 (en) | 2024-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107683589B (zh) | 车载中继装置及车载通信*** | |
| KR102243114B1 (ko) | 차량 네트워크에서 id 익명화를 사용한 실시간 프레임 인증 | |
| EP2786543B1 (en) | Secure message filtering to vehicle electronic control units with secure provisioning of message filtering rules | |
| EP3348036B1 (en) | Unauthorized access event notificaiton for vehicle electronic control units | |
| JP6525824B2 (ja) | 中継装置 | |
| EP3337120B1 (en) | Network message authentication and verification | |
| Han et al. | On authentication in a connected vehicle: Secure integration of mobile devices with vehicular networks | |
| EP3565212B1 (en) | Method for providing an authenticated update in a distributed network | |
| CN105897669A (zh) | 数据发送、接收方法、发送端、接收端和can总线网络 | |
| JP6704458B2 (ja) | 車載用処理装置 | |
| WO2018173732A1 (ja) | 車載通信装置、コンピュータプログラム及びメッセージ判定方法 | |
| CN112889259A (zh) | 不正常帧检测装置以及不正常帧检测方法 | |
| EP3396922A1 (en) | Information processing apparatus, information processing system and information processing method | |
| Han et al. | A practical solution to achieve real-time performance in the automotive network by randomizing frame identifier | |
| EP3429158A1 (en) | Secure communication method and apparatus for vehicle, vehicle multimedia system, and vehicle | |
| CN102065003A (zh) | 实现车载信息***可信安全路由的方法、***和设备 | |
| CN114834393B (zh) | 车辆控制*** | |
| JP2018121220A (ja) | 車載ネットワークシステム | |
| US12039050B2 (en) | Information processing device | |
| CN113711213A (zh) | 运算装置 | |
| CN116235467A (zh) | 一种关联控制方法及相关装置 | |
| CN112806034A (zh) | 用于为车辆的控制设备提供通信的装置、方法和计算机程序,用于提供更新的方法、中央装置和计算机程序,控制设备和车辆 | |
| US11336657B2 (en) | Securing communication within a communication network using multiple security functions | |
| CN115150115A (zh) | 车辆的电子控制装置、网关装置以及包括它们的车辆 | |
| CN113273144B (zh) | 车载通信***、车载通信控制装置、车载通信装置、通信控制方法及通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |