JP2022129417A - On-vehicle network system - Google Patents
On-vehicle network system Download PDFInfo
- Publication number
- JP2022129417A JP2022129417A JP2021028066A JP2021028066A JP2022129417A JP 2022129417 A JP2022129417 A JP 2022129417A JP 2021028066 A JP2021028066 A JP 2021028066A JP 2021028066 A JP2021028066 A JP 2021028066A JP 2022129417 A JP2022129417 A JP 2022129417A
- Authority
- JP
- Japan
- Prior art keywords
- control device
- network system
- electronic control
- vehicle network
- volatile memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
Description
本発明は複数の電子制御装置をCAN(Controller Area Network)バスで接続した車載ネットワークシステムに係り、特にセキュリティを向上した車載ネットワークシステムに関する。 The present invention relates to an in-vehicle network system in which a plurality of electronic control units are connected via a CAN (Controller Area Network) bus, and more particularly to an in-vehicle network system with improved security.
近年、自動車においては、制御機能を高めるために電子制御化が急速に広まり、更にこれを受けて、インターネットと接続する自動車のコネクティッド化が進んでいる。コネクティッド化によって、自動車の快適性や安全性の向上が実現され、自動車に搭載したセンサと内部の車載ネットワークシステムにより実現できる制御だけでなく、インターネットを介してクラウドと接続することにより、様々な情報サービスを受ける事が可能になる。 In recent years, in automobiles, the use of electronic control has rapidly spread in order to improve control functions, and in response to this, more and more automobiles are becoming connected to the Internet. Connectivity has improved the comfort and safety of automobiles.In addition to the control that can be realized by the sensors installed in automobiles and the internal in-vehicle network system, various functions can be realized by connecting to the cloud via the Internet. It becomes possible to receive information services.
しかしながら、このようにコネクティッド化が進むと、これに伴い自動車の車載ネットワークシステムが外部からの不正アクセスによるクラッキング(サイバー攻撃)を受けるリスクが高まる。尚、悪意がある攻撃者は、攻撃を実行に移す前に、攻撃対象となるソフトウェアコンポーネント(ソフトウェアの様々な機能を分割したソフトウェア部品)を特定する必要がある。 However, as connectivity advances in this way, the risk of cracking (cyberattack) due to unauthorized access from the outside to the in-vehicle network system of automobiles increases accordingly. It should be noted that malicious attackers need to identify software components (software parts into which various functions of software are divided) to be attacked before carrying out attacks.
このため攻撃者は、自動車の車載ネットワークシステムにクラッキングを行う場合、予めソフトウェアコンポーネントを特定し、攻撃パターンを決めてから攻撃を実行してくるものと推測される。そのための方法として、故意に異常を発生させ、これに応答して生じた故障コード情報を取得し、この故障コード情報からソフトウェアコンポーネントを特定してくることが考えられる。最近では車載ネットワークシステムにスマートフォンを接続して攻撃を行うことが確認されている。 For this reason, when an attacker attempts to crack an in-vehicle network system, it is presumed that he or she will identify the software components in advance, determine the attack pattern, and then carry out the attack. As a method for that purpose, it is conceivable to intentionally cause an abnormality, obtain fault code information generated in response to this, and identify the software component from this fault code information. Recently, it has been confirmed that attacks are carried out by connecting smartphones to in-vehicle network systems.
つまり攻撃者は、自動車の車載ネットワークシステムに総当たり攻撃を仕掛けてランダムなパケットを、車載ネットワークシステムを構成するCANバスに対して送信し、発生した故障コード情報をCANバスに接続した故障診断ツールを介して確認することができる。 In other words, the attacker launches a brute force attack on the in-vehicle network system of a vehicle, sends random packets to the CAN bus that constitutes the in-vehicle network system, and connects the generated fault code information to the CAN bus. can be confirmed via
故障コード情報は、例えばインターネットでいずれのソフトウェアコンポーネントの故障であるかを示す情報として取得することが可能なため、攻撃者に攻撃パターンを示唆する情報を与えてしまうことになる。 Since the fault code information can be obtained on the Internet, for example, as information indicating which software component is faulty, it gives an attacker information that suggests an attack pattern.
更に、ソフトウェアコンポーネントは、自動車メーカーが製造する多くの自動車に共通である場合が多く、攻撃パターンが特定された場合は、様々な自動車が大規模なクラッキングによるサイバー攻撃を受ける恐れがある。 In addition, software components are often common to many vehicles produced by automakers, and various vehicles may be subject to large-scale cracking cyberattacks if an attack pattern is identified.
このようなサイバー攻撃から自動車の車載ネットワークシステムを保護するには、例えば、特開2015-114907号公報(特許文献1)のような不正メッセージ防止技術が提案されている。 In order to protect an in-vehicle network system of a vehicle from such cyberattacks, for example, an unauthorized message prevention technique such as Japanese Patent Laid-Open No. 2015-114907 (Patent Document 1) has been proposed.
この特許文献1においては、CANバスを介して複数のノード(ネットワーク装置)のうちの1つが、送信元ノードとして送信するメッセージに含まれるメッセージ認証用情報に基づいて認証を行い、認証が失敗した場合は、送信元ノードが複数のノードのうちの他のノードになりすまして不正データを送信したと判断し、メッセージを無効化するようにしている。 In this patent document 1, one of a plurality of nodes (network devices) performs authentication based on message authentication information included in a message transmitted as a source node via a CAN bus, and authentication fails. In this case, it is determined that the transmission source node pretended to be another node among the plurality of nodes and transmitted illegal data, and the message is invalidated.
しかしながら、特許文献1に記載の不正メッセージ防止技術では、不正メッセージを検知して無効化することはできるが、故障コード情報を秘匿することはできない。つまり、攻撃者がソフトウェアコンポーネントを探索している段階においては、CANバス上には、不正メッセージ検知確定故障コード情報や、これ以外の故障コード情報も存在するので、これらの故障コード情報を故障診断ツールで取得することが可能である。このため、特許文献1の不正メッセージ防止技術は、セキュリティの観点からまだ不十分である。 However, with the fraudulent message prevention technology described in Patent Literature 1, it is possible to detect and invalidate fraudulent messages, but it is not possible to conceal fault code information. In other words, at the stage when the attacker is searching for the software component, the CAN bus also contains the fraudulent message detection confirmed failure code information and other failure code information. It is possible to acquire it with a tool. Therefore, the fraudulent message prevention technology of Patent Document 1 is still insufficient from the security point of view.
本発明の目的は、クラッキングのような行為が発生した場合に、故障コード情報がCANバスを介して故障診断ツールで取得することができない車載ネットワークシステムを提供することにある。 SUMMARY OF THE INVENTION It is an object of the present invention to provide an in-vehicle network system in which fault code information cannot be obtained by a fault diagnosis tool via a CAN bus when an action such as cracking occurs.
本発明は、
少なくとも、送信側電子制御装置と、送信側電子制御装置からのメッセージを、CANバスを介して受信する受信側電子制御装置からなる車載ネットワークシステムであって、受信側電子制御装置は、受信したメッセージがCANバス上で不正な操作によって不正メッセージに改竄されたことを検出すると、受信側電子制御装置に記憶されている全ての故障コード情報をCANバスに転送しない制御を実行する故障情報秘匿制御部を備えている
ことを特徴とするものである。
The present invention
An in-vehicle network system comprising at least a transmitting side electronic control device and a receiving side electronic control device that receives a message from the transmitting side electronic control device via a CAN bus, wherein the receiving side electronic control device receives the message has been altered into an unauthorized message by unauthorized operation on the CAN bus, the failure information secrecy control unit executes control not to transfer all the trouble code information stored in the receiving side electronic control unit to the CAN bus. It is characterized by comprising
本発明によれば、不正メッセージを検出すると、全ての故障コード情報がCANバスに転送されないので、故障診断ツールを接続しても故障コード情報を読み取ることはできず、ソフトウェアコンポーネントの特定を防ぐことができ、結果的に車載ネットワークシステムのセキュリティを向上することができる。 According to the present invention, when an unauthorized message is detected, all fault code information is not transferred to the CAN bus, so even if a fault diagnosis tool is connected, the fault code information cannot be read, preventing identification of the software component. As a result, the security of the in-vehicle network system can be improved.
以下、本発明の実施形態について図面を用いて詳細に説明するが、本発明は以下の実施形態に限定されることなく、本発明の技術的な概念の中で種々の変形例や応用例をもその範囲に含むものである。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. However, the present invention is not limited to the following embodiments, and various modifications and applications can be made within the technical concept of the present invention. is also included in the scope.
以下、本発明の実施例を図面に基づき説明するが、本発明の具体的な実施形態を説明する前に、本発明が適用されるステア・バイ・ワイヤ方式の操舵制御装置の構成について説明する。尚、本発明は以下に説明する操舵制御装置に限定されるものではない。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. Before describing specific embodiments of the present invention, the configuration of a steer-by-wire steering control apparatus to which the present invention is applied will be described. . It should be noted that the present invention is not limited to the steering control device described below.
先ず、ステアリングシャフトを操舵軸から切り離し、ステアリングシャフトの回動角や外乱トルク等を回転角センサや電流センサ等で検出し、これらの検出信号に基づいて操舵アクチュエータの動作量を制御して操舵軸を駆動する、ステア・バイ・ワイヤ方式の操舵制御装置について説明する。尚、操舵機構の構成は省略する。 First, the steering shaft is separated from the steering shaft, the rotation angle of the steering shaft, disturbance torque, etc. are detected by a rotation angle sensor, a current sensor, etc., and based on these detection signals, the amount of movement of the steering actuator is controlled to operate the steering shaft. A steering control device of a steer-by-wire system that drives the will be described. The configuration of the steering mechanism is omitted.
図1において、操舵輪10はタイロッド11によって操舵される構成となっており、このタイロッド11は、操舵軸17に連結されている。そして、ステアリングホイール12はステアリングシャフト13に連結されており、ステアリングシャフト13には、必要に応じて操舵操作角センサ等を設けることができる。
In FIG. 1, the steered
ステアリングシャフト13は、操舵機構16の操舵軸(ラックバーということもある)17に連携されておらず、ステアリングシャフト13の先端には反力用電動モータ18が設けられている。つまり、ステアリングシャフト13は操舵機構16と機械的に連結されていない構成とされ、結果的にステアリングシャフト13と操舵機構16とは分離される形態となっている。反力用電動モータ18は操作制御装置19によって駆動される。以下では、反力用電動モータ18は反力モータ18と記載する。
The
反力モータ18には、反力モータ回転角センサ14が設けられており、反力モータ18の回転角を検出している。操舵操作量センサは、反力モータ18の回転角を検出するものであるが、ステアリングシャフトの操舵操作角を検出する操舵操作角センサであっても良く、また、これら以外のステアリングシャフト13の回転を検出可能なセンサは、操舵操作量センサの範疇である。
The
また、反力モータ18には、電流センサ15が設けられており、反力モータ18のコイルに流れる電流を検出している。この電流は、例えば外乱トルクを推定する場合に使用される。
Further, the
操舵軸17を含む操舵機構16には、操舵用電動モータ機構21が設けられており、この操舵用電動モータ機構21は操舵軸17の操舵動作を制御する。尚、操舵アクチュエータとして電動モータを使用しているが、これ以外の形式の電動アクチュエータであっても良いことはいうまでもない。
A
そして、ステアリングホイール12の回転角を反力モータ18の反力モータ回転角センサ14によって検出し、また電流センサ15によってコイルに流れる電流を検出し、これらの検出信号は電子制御装置19に入力される。尚、操作制御装置19には、これ以外に外部センサ20から種々の検出信号が入力されている。
The rotation angle of the
操作制御装置19は、入力された回転角信号や電流信号に基づいて操舵用電動モータ機構21の制御量を演算し、更には操舵用電動モータ機構21を駆動する。尚、操舵用電動モータ機構21の制御量は、回転角信号や電流信号以外のパラメータも使用することができる。
The
操舵用電動モータ機構21の回転は、入力側プーリ(図示せず)からベルト(図示せず)を介して、操舵機構16の出力側プーリ(図示せず)を回転させ、更に操舵ナット(図示せず)によって、操舵軸16を軸方向にストローク動作して操舵輪10を操舵する。これらについても、発明の本質ではないので説明は省略する。
Rotation of the steering
また、操作制御装置19は、入力された回転角信号や電流信号に基づいて反力モータ18の制御量を演算し、更に反力モータ18を駆動する。尚、反力モータ18の制御量は、回転角信号や電流信号以外のパラメータも使用することができる。
Further, the
操舵機構16にはラック位置センサ22が設けられており、このラック位置センサ22は、操舵輪10の実際の操舵量(操舵角)を検出して操舵量信号を出力する。ラック位置センサ22は操舵軸17の軸方向の移動量を検出している。操舵量センサとしては、操舵軸17のストローク量を検出するラック位置センサ22を示しているが、これ以外に操舵軸17に操舵力を付与する操舵用電動モータに設けた回転角センサであっても良く、また、これら以外の操舵軸17の位置(操舵量)を検出可能なセンサは、操舵量センサの範疇である。
A
次に図2は、反力モータ18と操舵モータ35を制御する操作制御装置19の概略の構成を示している。尚、この操作制御装置19は、反力アクチュエータコントローラと操舵アクチュエータコントローラの両方を示している。
Next, FIG. 2 shows a schematic configuration of the
ステアリングシャフト13に接続された反力モータ18には、反力モータ回転角センサ14、及び電流センサ15が設けられ、反力モータ18は、ステアリングシャフト13を介してステアリングホイール12と機械的に接続されている。反力モータ回転角センサ14は、反力モータ18の回転角を検出するセンサであり、電流センサ15は反力モータ18のコイルに流れる電流を検出するセンサである。
A
反力モータ18は、操作制御装置19によって制御されるモータドライバ23を介して、ステアリングシャフト13に操舵反力を付与する電動モータであり、反力モータ回転角センサ14の入力を監視し、定められた操舵反力をステアリングシャフ13に与えている。
The
また、操作制御装置19は、モータドライバ24を介して操舵軸17と機械的に接続された操舵モータ35に、反力モータ回転角センサ14や電流センサ15等の検出信号に応じた駆動信号を与えている。
Further, the
操作制御装置19には、反力モータ回転角センサ14から回転角信号が与えられ、電流センサ15から電流信号が与えられ、更には、車速センサ25やヨーレートセンサ26等の走行状態センサから、操舵に影響する車両の走行状態検出信号が与えられている。また、電子制御装置19には、操舵軸17を覆うハウジング32の途中部分に取り付けられたラック位置センサ22(図1参照)から、操舵軸17の移動位置の検出信号が与えられている。
The
ここで、ラック位置センサ22は操舵軸17の位置を検出するものであるが、操舵軸17はタイロッド11に直接的に接続されていることから、ラック位置センサ22の検出値によって、操舵輪10の操舵角を検出することが可能となる。このように、ラック位置センサ22は、操舵輪10の操舵角検出器として機能する。
Here, the
また、操作制御装置19には、自動操舵システム(ADASシステム)27からの外部操舵指令値が入力されている。外部操舵指令値は、自動操舵システム27で演算された指令値であり、レーンキープ制御によって、車両が道路上の白線から逸脱した場合や障害物を回避する場合に、操舵機構16によって操舵輪10を操舵させるためのものである。
An external steering command value from an automatic steering system (ADAS system) 27 is input to the
操作制御装置19は、反力モータ回転角センサ14、電流センサ15、ラック位置センサ22、走行状態センサ25、26、及び自動操舵システム27から与えられる、回転角、電流、ラック位置、走行状態量の検出信号、及び外部操舵指令値等を、所定のサンプリング周期で取り込み、取り込まれた検出信号や外部操舵指令値を適宜組み合せて、操舵軸17に加えるべき操舵量を求め、この操舵量を得るために操舵モータ35に通電すべきコイル電流を算出し、この算出結果に応じた制御信号をモータドライバ24に与えている。
The
同様に、操作制御装置19は、回転角、電流、ラック位置、走行状態量の検出信号、及び外部操舵指令値等を適宜組み合せて、ステアリングホイール12に加えるべき操舵反力を求め、この操舵反力を得るために反力モータ18に通電すべきコイル電流を算出し、この算出結果に応じた制御信号をモータドライバ23に与えている。
Similarly, the
次に、図1、図2に示す操作制御装置19を含む自動車の車載ネットワークシステムの構成について簡単に説明する。図3は、操作制御装置19を含む自動車制御システムの一態様を示す構成図である。
Next, a configuration of an in-vehicle network system for an automobile including the
自動車制御システム30は、自動車などの車両31に搭載されるシステムであり、車両制御装置である複数の電子制御措置(ECU/Electronic Control Unit)32a、32bと、各ECU32a、32bがそれぞれに制御するアクチュエータ33a、33bと、CAN通信方式での通信線であるCANバス34とを備えている。
The
尚、図3には、ECUとアクチュエータとの組み合わせを2組だけ記載してあるが、自動車制御システム30は、3組以上の任意の組み合わせを備えることができ、また、1つのECUが複数のアクチュエータを制御することができる。
Although only two combinations of ECUs and actuators are shown in FIG. 3, the
各ECU32a、32bは、CANバス34に接続されて車載ネットワークシステムを構成し、ECU32aとECU32bは、CANバス34を介して所定の第1通信速度(例えば、500kbps)でデータ伝送を行う。例えば、アクチュエータ33aは、車両31が備える操舵制御装置の電動モータであり、ECU32a(第1ノード)は、電動モータを駆動制御する操舵制御装置の操作制御装置19である。
The
また、例えば、アクチュエータ33bは、内燃機関の燃料噴射弁であり、ECU32b(第2ノード)は、燃料噴射弁を駆動制御するエンジン制御装置である。尚、本実施形態では、ECU32a(第1ノード)を本実施形態における「自ECU」として定義して以下の説明を行う。
Further, for example, the
自ECU32aは、MCU(Micro Control Unit)35、及びCANトランシーバ36を備える。また、MCU35は、送信ポートTX、及び受信ポートRXを備え、送信ポートTX、及び受信ポートRXを介してCANトランシーバ36(インターフェース)と接続され、CAN通信を行う機能を有する。また、MCU35は、メモリ38、及びCANコントローラ39を備えている。
The
自ECU32aには、EEPROMなどの電源バックアップされた外付けの書き換え可能な不揮発性メモリ37が接続されている。尚、電源バックアップされた不揮発性メモリ37の代わりにフラッシュROMを使用することもできる。
An external rewritable
メモリ38は、例えばアクチュエータ33aを駆動制御するためのプログラムである制御アプリケーションプログラム(換言すれば、ユーザプログラム乃至ファームウェア)を記憶する記憶手段である。また、CANコントローラ39は、ビットスタッフィング、通信調停、エラーハンドリング、CRCチェックなどのCANプロトコルの機能を実現する。
The
次に故障診断ツールを接続した場合の構成について説明する。図3において、自ECU32aは、MCU35aとCANトランシーバ36aを備え、MCU35aは送信ポートTXと受信ポートRXを備えてCANトランシーバ36aと接続されている。CANトランシーバ36aは、送信ポートTXとCANバス34の「High」側とを接続し、受信ポートRXとCANバス34の「Low」側とを接続して、CAN通信を行う機能を有している。
Next, the configuration when a failure diagnosis tool is connected will be described. In FIG. 3, the
また、MCU35aは、内部に揮発性メモリ40a、不揮発性メモリ41a、及びCANコントローラ39aを備えている。揮発性メモリ40aは、いわゆるRAMであり「SRAM」、或いは「DRAM」を使用することができ、電源が落ちると記憶されたデータは消去される。また、不揮発性メモリ41aは、フラッシュROMであり、電源が落ちても記憶されたデータは消去されることはない。これらの揮発性メモリ40a、不揮発性メモリ41a、及びCANコントローラ39は、1チップでMCU35aに作り込まれている。
The
そして自ECU32aは、故障診断プログラムによって種々の異常を検知した際に、その故障コード情報、及び自動車の現在の動作パラメータの値であるフリーズフレームデータ(Freeze frame data/FFD情報)を揮発性メモリ40aに登録する機能を有する。フリーズフレームデータとは、例えば、「J-OBD2」で規定された機能の1つで、内燃機関や排ガス関係に影響を及ぼす故障が起こった際に、その瞬間の内燃機関の状況を記憶した数値である。自ECU32aは、揮発性メモリ40に登録した故障コード情報、及びFFD情報をイグニッションOFF時に、不揮発性メモリ41に登録する機能を有している。
Then, when various abnormalities are detected by the fault diagnosis program, the
同様に、他のECU32bは、MCU35bとCANトランシーバ36bを備え、MCU35bは送信ポートTXと受信ポートRXを備えてCANトランシーバ36bと接続されている。CANトランシーバ36bは、送信ポートTXとCANバス34の「High」側とを接続し、受信ポートRXとCANバス34の「Low」側とを接続して、CAN通信を行う機能を有している。
Similarly, another
また、MCU35bは、内部に揮発性メモリ40b、不揮発性メモリ41b、及びCANコントローラ39bを備えている。揮発性メモリ40bは、いわゆるRAMであり「SRAM」、或いは「DRAM」を使用することができ、電源が落ちると記憶されたデータは消去される。また、不揮発性メモリ41bは、フラッシュROMであり、電源が落ちても記憶されたデータは消去されることはない。これらの揮発性メモリ40b、不揮発性メモリ41b、及びCANコントローラ39bは、1チップでMCU35bに作り込まれている。
The
そして他のECU32bは、故障診断プログラムによって種々の異常を検知した際に、その故障コード情報、及びFFD情報を揮発性メモリ40bに登録する機能を有している。他のECU32bは、揮発性メモリ40bに登録した故障コード情報、及びFFD情報をイグニッションOFF時に、不揮発性メモリ41bに登録する機能を有している。
The
そして、自ECU32aと他のECU32bは、CANトランシーバ36a、36bを介してCANバス34に接続されている。自ECU32aからの送信メッセージ、及び他のECU32bからの送信メッセージは、CANバス34に転送され、CANバス34を介して送信されることになる。
The
更に、故障診断を行うときにCANバス34には、故障診断ツール42が接続される。故障診断ツール42は、CANバス34を介して故障コード情報やFDDを読み取ることができる。
Furthermore, a
次に、自ECU32aにおける異常時の故障コード情報、及びFDD情報の流れについて、図5を用いて説明する。
Next, the flow of trouble code information and FDD information at the time of abnormality in
異常が発生すると、この異常に対応した故障コード情報、及びFDD情報が揮発性メモリ40aの所定領域に登録される。この揮発性メモリ40aの情報は電源が落ちると消去されるので、イグニッションスイッチがOFFの時は、不揮発性メモリ41aの所定領域に退避されて登録される。
When an abnormality occurs, fault code information and FDD information corresponding to this abnormality are registered in a predetermined area of the
一方、この不揮発性メモリ41aの情報を読み出すために、イグニッションスイッチがONの時に、故障コード情報、及びFDD情報を揮発性メモリ40aに転送して所定の領域に登録する。このように、イグニッションのON、OFFに応じて故障コード情報、及びFDD情報は、揮発性メモリ40a或いは不揮発性メモリ41aに登録される。
On the other hand, in order to read the information in the
そして、故障診断ツール42がCANバス34に接続され、自ECU32aが故障診断ツール42から送信されるサービスIDを受信すると、現時点で発生してる故障コード情報、FFD情報を揮発性メモリ40aから読み出して、CANバス34を介して故障診断機ツール42に送信する。
When the
このように、CANバス34に故障診断機ツール42が接続されると、自ECU32aは、故障診断ツール42から送信されるサービスIDを受信した場合には、現時点で揮発性メモリ40aに登録されている故障コード情報、及びFFD情報をCANバス34に送信するので、故障診断ツール42は、このCANバス34を流れる故障コード情報、及びFFD情報を読み出せることになる。
In this way, when the
尚、不揮発性メモリ41aに登録されている故障コード情報、及びFFD情報は、CANバス34に送信されないので、故障診断ツール42で読み出すことはできない。この不揮発性メモリ41aに登録されている故障コード情報、及びFFD情報は、自ECU32aが起動された時に、不揮発性メモリ41aの故障コード情報、FFD情報を揮発性メモリ40aに転送して登録される。
The fault code information and FFD information registered in the
したがって、故障診断ツール42からサービスIDがCANバス34を介して送信され、自ECU32aが受信すると、揮発性メモリ40aに転送されて登録された故障コード情報、及びFFD情報をCANバス34に送信することで、故障診断ツール42は、このCANバス34を流れる故障コード情報、及びFFD情報を読み出せることになる。
Therefore, when the service ID is transmitted from the
このため、悪意がある攻撃者は、自動車の車載ネットワークシステムにクラッキングを行う場合、故意に異常を発生させ、これに応答して生じた故障コード情報を取得し、この故障コード情報からソフトウェアコンポーネントを特定してくることが考えられる。したがって、クラッキングのような行為が発生した場合に、故障コード情報、及びFFD情報がCANバス34を介して故障診断ツール42で取得することができないようにすることが有効である。
For this reason, when a malicious attacker attempts to crack an automobile's in-vehicle network system, it intentionally causes an abnormality, acquires the fault code information generated in response to this, and uses the fault code information to extract software components. It is possible that it will be identified. Therefore, it is effective to prevent fault code information and FFD information from being obtained by the
次に、クラッキングのような行為が発生した場合に、故障コード情報、及びFFD情報がCANバス34を介して故障診断ツール42で取得することができないようにする方法について説明する。
Next, a method for preventing fault code information and FFD information from being acquired by the
先ず、本実施形態では、メッセージ認証コード(Message Authentication Code:MAC)を用いた不正メッセージ検出機能を利用して、不正メッセージの有無を判断する。図6は、不正メッセージ検出機能の考え方を示している。この場合は他のECU32bから自ECU32aにメッセージを送信する場合を示している。
First, in this embodiment, the presence or absence of an unauthorized message is determined using an unauthorized message detection function using a message authentication code (MAC). FIG. 6 shows the concept of the fraudulent message detection function. This case shows a case where a message is transmitted from another
図6において、他のECU32bで生成された送信メッセージは、共通鍵とMACアルゴリズムによって送信MAC値が生成される。この送信MAC値は送信メッセージと組み合わされて、「組み合せ送信メッセージ」とされてCANバス34に送信される。
In FIG. 6, for a transmission message generated by another
送信メッセージは、例えば、指示操舵角や舵角補償値等であるが、これら以外にも種々の情報を送ることができる。CANバス34上を流れる組み合せ送信メッセージは、CANバス34に接続された自ECU32aで受信されるが、この時に組み合せ送信メッセージは、受信MAC値と受信メッセージに分離される。
The transmission message is, for example, the instructed steering angle, the steering angle compensation value, etc., but it is also possible to transmit various information other than these. The combined transmission message flowing on the
分離された受信メッセージ(=送信メッセージ)は、共通鍵とMACアルゴリズムによって新たに生成MAC値が生成される。ここで、他のECU32bと自ECU32aの共通鍵とMACアルゴリズムは同じものである。したがって、受信MAC値と生成MAC値とが一致していれば、不正なメッセージではないと判断される。一方、受信MAC値と生成MAC値とが一致していなければ、CANバス34上で不正な操作がなされ、改竄された不正メッセージと判断される。
For the separated received message (=transmitted message), a new generated MAC value is generated by the common key and the MAC algorithm. Here, the common key and MAC algorithm of other ECU32b and own ECU32a are the same. Therefore, if the received MAC value and the generated MAC value match, it is determined that the message is not an unauthorized message. On the other hand, if the received MAC value and the generated MAC value do not match, it is determined that the message has been manipulated illegally on the
このように、送信メッセージが改竄された不正メッセージと判断されると、受信された受信メッセージは破棄される。また、この場合は外部から不正な操作(改竄)がなされているので、故障コード情報、及びFDD情報が、故障診断ツール42で読み取れないようにする。このためには、故障コード情報、及びFDD情報がCANバス34に送信できないようにする制御を実行する。具体的には、以下に示す制御フローによって、故障コード情報、及びFDD情報をCANバス34に送信できないようにしている。
In this way, if the transmitted message is determined to be an unauthorized message that has been falsified, the received received message is discarded. Further, in this case, since unauthorized operation (tampering) has been performed from the outside, the fault code information and FDD information are prevented from being read by the
次に、その具体的な制御フローについて説明を加える。尚、この制御フローは自ECU32aで実行されるものであるが、他のECU32bにおいても同様の制御フローが実行される。また、以下の制御フローは、請求項でいう「故障情報秘匿制御部」としての機能を表している。
Next, the specific control flow will be explained. Although this control flow is executed by the
先ず、図7は車載ネットワークシステムが稼働状態で、イグニッションスイッチがOFFされるまでの、電力が供給されている状態の制御フローを示しており、以下制御ステップ毎に説明する。 First, FIG. 7 shows a control flow in a state where the in-vehicle network system is in an operating state and power is being supplied until the ignition switch is turned off. Each control step will be described below.
≪ステップS10≫
ステップS10においては、図6に示すメッセージ認証コードMACを用いた不正メッセージの検出を実行する。上述したように、このステップでは送信メッセージが、不正な操作(以下、MAC異常と表記する)がなされたかどうかが判断されており、不正な操作がなされていないと判断されるとステップS11に移行し、不正な操作がなされていると判断されるとステップS15に移行する。
<<Step S10>>
In step S10, an unauthorized message is detected using the message authentication code MAC shown in FIG. As described above, in this step, it is determined whether or not the transmitted message has been illegally manipulated (hereafter referred to as MAC abnormality). However, if it is determined that an unauthorized operation has been performed, the process proceeds to step S15.
≪ステップS11≫
ステップS10で、不正な操作がなされていないと判断されているので、以下では通常の処理が実行される。このステップでは、故障コードが存在するかどうかを判断している。故障コードが存在していると判断されるとステップS12に移行し、故障コードが存在していないと判断されるとステップS13に移行する。
<<Step S11>>
Since it is determined in step S10 that no unauthorized operation has been performed, normal processing is executed below. This step determines if a fault code exists. If it is determined that a fault code exists, the process proceeds to step S12, and if it is determined that no fault code exists, the process proceeds to step S13.
≪ステップS12≫
ステップS10で、故障コードが存在していると判断されているので、揮発性メモリ40aの正規領域に、全ての故障コード情報、及びFFD情報を保存する。この揮発性メモリ40aの正規領域は、故障診断機ツール42が接続されたときに、故障診断機ツール42で読取り可能な領域として指定されている。
<<Step S12>>
Since it is determined in step S10 that a fault code exists, all fault code information and FFD information are stored in the regular area of the
したがって、例えば、正規のディーラーで故障診断機ツール42を接続した場合は、全ての故障コード情報、及びFFD情報を読み出すことができる。ステップS12で、全ての故障コード情報、及びFFD情報を揮発性メモリ40aの正規領域に保存すると、ステップS13に移行する。
Therefore, for example, when the
≪ステップS13≫
ステップ11で故障コードが存在しないと判断されている場合、或いは全ての故障コード情報、及びFFD情報を揮発性メモリ40aの正規領域に保存されている場合、このステップS13では、イグニッションスイッチがOFFされたかどうかが判断される。イグニッションスイッチがOFFされていないと判断されると、終了に抜けて次の起動タイミングまで待機する。一方、イグニッションスイッチがOFFされたと判断すると、ステップS14に移行する。
<<Step S13>>
If it is determined in step S11 that no fault code exists, or if all fault code information and FFD information are stored in the regular area of the
≪ステップS14≫
ステップS13でイグニッションスイッチがOFFされたと判断されたので、このステップS14では、不揮発性メモリ41aの正規領域に、全ての故障コード情報、及びFFD情報を転送して保存する。
<<Step S14>>
Since it is determined in step S13 that the ignition switch has been turned off, in step S14, all the fault code information and FFD information are transferred and stored in the regular area of the
イグニッションスイッチがOFFされた後に電源がシャットダウンされると、揮発性メモリ40aに保存された故障コード情報、及びFFD情報が消去される。このため、ステップS14では、電源がシャットダウンされるまでの時間を利用して、揮発性メモリ40aの正規領域に記憶された、全ての故障コード情報、及びFFD情報を不揮発性メモリ41aの正規領域に転送して記憶させている。
When the power is shut down after the ignition switch is turned off, the fault code information and FFD information stored in the
これによって、全ての故障コード情報、及びFFD情報を、後で利用することができる。イグニッションスイッチがOFFされると、車載ネットワークシステムは稼働を停止するので、終了に抜けて次の車載ネットワークシステムの立ち上げまで待機することになる。 This allows all fault code information and FFD information to be available later. When the ignition switch is turned off, the in-vehicle network system stops operating, so the process ends and waits until the next in-vehicle network system starts up.
≪ステップS15≫
ステップ10に戻って、不正な操作がなされていると判断されると、ステップS15では、MAC異常カウンタの計数値(En)をインクリメント(+1)する。このステップS15では、不正な操作が意図的に行われていることを確認するために、MAC異常の回数を計数している。MAC異常カウンタによる計数値(En)をインクリメントすると、ステップS16に移行する。
<<Step S15>>
Returning to step 10, if it is determined that an unauthorized operation has been performed, the count value (En) of the MAC error counter is incremented (+1) in step S15. In this step S15, the number of MAC abnormalities is counted in order to confirm that an unauthorized operation has been intentionally performed. When the count value (En) by the MAC abnormality counter is incremented, the process proceeds to step S16.
≪ステップS16≫
ステップS16においては、MAC異常カウンタの計数値(En)が、所定の異常確定閾値(Esh)を超えたかどうかを判断している。つまり、このステップS16で、不正な操作が行われているかどうかを判断している。
<<Step S16>>
In step S16, it is determined whether or not the count value (En) of the MAC anomaly counter exceeds a predetermined anomaly determination threshold (Esh). That is, in step S16, it is determined whether or not an unauthorized operation has been performed.
MAC異常カウンタの計数値(En)が、異常確定閾値(Esh)を超えないと、まだ不正な操作が行われているとは判断せず、終了に抜けて次の起動タイミングまで待機する。一方、MAC異常カウンタの計数値(En)が、異常確定閾値(Esh)を超えると、不正な操作が行われていると判断してステップS17に移行する。本実施形態では、異常確定閾値(Esh)は、「3~5」の値に設定されているが、この値は任意である。 If the count value (En) of the MAC anomaly counter does not exceed the anomaly determination threshold (Esh), it is not determined that an unauthorized operation is still being performed, and exits to end and waits until the next activation timing. On the other hand, when the count value (En) of the MAC abnormality counter exceeds the abnormality determination threshold value (Esh), it is determined that an unauthorized operation has been performed, and the process proceeds to step S17. In this embodiment, the abnormality confirmation threshold (Esh) is set to a value between "3 and 5", but this value is arbitrary.
≪ステップS17≫
ステップS16で不正な操作が行われていると判断されているので、ステップS17では、この異常情報をテレマティクス通信でクラウドサーバに送信する。このクラウドサーバは、完成車メーカー等が運営するテレマティクスセンターであり、ここの管理者等は、この送信結果からサイバー攻撃を受けたことを把握することができる。これによって、種々の対策を講じることができるようになる。異常情報をテレマティクス通信でクラウドサーバに送信すると、ステップS18に移行する。
<<Step S17>>
Since it is determined in step S16 that an unauthorized operation has been performed, in step S17, this abnormality information is transmitted to the cloud server by telematics communication. This cloud server is a telematics center operated by a vehicle manufacturer or the like, and the administrator or the like there can grasp that a cyberattack has been received from this transmission result. This allows various countermeasures to be taken. After transmitting the abnormality information to the cloud server by telematics communication, the process proceeds to step S18.
≪ステップS18≫
ステップ16、ステップS17の処理によって、MAC異常が発生したと判断されているので、このステップS18では、このMAC異常に対応した防御を実行する。
<<Step S18>>
Since it is determined by the processing of
ステップS16で、MAC異常が発生していると判断されているので、揮発性メモリ40aの秘匿領域に、全ての故障コード情報、及びFFD情報を保存する。この揮発性メモリ40aの秘匿領域は、揮発性メモリ40aの正規領域とは異なり、故障診断機ツール42が接続されたときに、故障診断機ツール42で読み取りができない領域として指定されている。
Since it is determined in step S16 that a MAC abnormality has occurred, all the fault code information and FFD information are saved in the secret area of the
したがって、例えば、悪意の攻撃者が故障診断機ツール42を接続した場合は、全ての故障コード情報、及びFFD情報は秘匿領域に保存されているので、全ての故障コード情報、及びFFD情報を読み出すことができない。ステップS18で、全ての故障コード情報、及びFFD情報を揮発性メモリ40aの秘匿領域に保存すると、ステップS19に移行する。
Therefore, for example, when a malicious attacker connects the
≪ステップS19≫
ステップ18で全ての故障コード情報、及びFFD情報を揮発性メモリ40aの秘匿領域に保存すると、このステップS19では、イグニッションスイッチがOFFされたかどうかが判断される。イグニッションスイッチがOFFされていないと判断されると、終了に抜けて次の起動タイミングまで待機する。一方、イグニッションスイッチがOFFされたと判断すると、ステップS20に移行する。
<<Step S19>>
After storing all the fault code information and FFD information in the secret area of the
≪ステップS20≫
ステップS19でイグニッションスイッチがOFFされたと判断されたので、このステップS20では、不揮発性メモリ41aの秘匿領域に、全ての故障コード情報、及びFFD情報を移動して保存する。
<<Step S20>>
Since it is determined in step S19 that the ignition switch has been turned off, in step S20, all the fault code information and FFD information are moved and stored in the secret area of the
イグニッションスイッチがOFFされた後に電源がシャットダウンされると、揮発性メモリ40aに保存された故障コード情報、及びFFD情報が消去される。このため、ステップS20では、電源がシャットダウンされるまでの時間を利用して、揮発性メモリ40aの秘匿領域に記憶された、全ての故障コード情報、及びFFD情報を不揮発性メモリ41aの秘匿領域に転送して記憶させている。
When the power is shut down after the ignition switch is turned off, the fault code information and FFD information stored in the
そして、全ての故障コード情報、及びFFD情報を不揮発性メモリ41aの秘匿領域に移動すると、ステップS21に移行する。
After moving all the fault code information and FFD information to the secret area of the
≪ステップS21≫
ステップS21では、電源がシャットダウンされるまでの時間を利用して、次の車載ネットワークシステムの稼働に備えて、MAC異常フラグを設定している。このMAC異常フラグは、次の車載ネットワークシステムの立ち上げに際して、MAC異常が発生していたことを確認するために設定されている。ここで、MAC異常フラグの設定は、ステップS16とステップS17の間で実行しても良い。
<<Step S21>>
In step S21, the time until the power is shut down is used to set the MAC abnormality flag in preparation for the next operation of the in-vehicle network system. This MAC anomaly flag is set to confirm that an MAC anomaly has occurred when the vehicle-mounted network system is next started up. Here, the setting of the MAC abnormality flag may be executed between step S16 and step S17.
このMAC異常フラグによって、不揮発性メモリ41aに保存された全ての故障コード情報、及びFFD情報を、揮発性メモリ40aの正規領域か秘匿領域のどちらに転送するかの判断ができる。電源がシャットダウンされると、車載ネットワークシステムは稼働を停止するので、終了に抜けて次の車載ネットワークシステムの立ち上げまで待機することになる。
With this MAC abnormality flag, it is possible to determine whether all the fault code information and FFD information stored in the
以上が、イグニッションスイッチがOFFされるまでの制御フローである。次に、イグニッションスイッチがONされた後の制御フローを、図8に基づき制御ステップ毎に説明する。尚、以下ではアクセサリスイッチが投入されて、車載ネットワークシステムの立ち上がりが完了した状態での制御フローである。 The above is the control flow until the ignition switch is turned off. Next, the control flow after the ignition switch is turned on will be described for each control step with reference to FIG. In the following, the control flow is in a state where the accessory switch is turned on and the in-vehicle network system has started up.
≪ステップS30≫
ステップS30では、転送フラグの設定がされているかどうかの判断を実行する。転送フラグは、後述のステップS35で設定されており、不揮発性メモリ41aから揮発性メモリ40aに、故障コード情報、及びFFD情報が転送されると設定されるものである。
<<Step S30>>
In step S30, it is determined whether or not the transfer flag is set. The transfer flag is set in step S35, which will be described later, and is set when the fault code information and the FFD information are transferred from the
したがって、転送フラグが設定されていると、通常の動作を行うために終了に抜けて次の起動タイミングまで待機する。一方、転送フラグが設定されていないと、不揮発性メモリ41aから揮発性メモリ40aに故障コード情報、及びFFD情報を転送するためにステップ31に移行する。
Therefore, if the transfer flag is set, the process ends and waits until the next activation timing in order to perform normal operation. On the other hand, if the transfer flag is not set, the process proceeds to step 31 to transfer the fault code information and FFD information from the
≪ステップS31≫
ステップS31においては、イグニッションスイッチがONかどうかの判断が行われる。このステップS31の判断で、イグニッションスイッチがONでない場合は、終了に抜けて次の起動タイミングまで待機する。一方、イグニッションスイッチがONされたと判断すると、ステップS32に移行する。
<<Step S31>>
In step S31, it is determined whether the ignition switch is ON. If it is determined in step S31 that the ignition switch is not ON, the process exits and waits until the next activation timing. On the other hand, if it is determined that the ignition switch has been turned on, the process proceeds to step S32.
≪ステップS32≫
ステップS31でイグニッションスイッチがONと判断されると、このステップS32においては、MAC異常フラグが設定されているかどうかを判断する。MAC異常フラグは、図7に示すステップS21で設定されている。そして、MAC異常フラグが設定されていない判断されると、ステップS33に移行するする。一方、MAC異常フラグが設定されている判断されると、ステップS34に移行する。
<<Step S32>>
When it is determined that the ignition switch is ON in step S31, it is determined in step S32 whether or not the MAC abnormality flag is set. The MAC abnormality flag is set in step S21 shown in FIG. Then, when it is determined that the MAC abnormality flag is not set, the process proceeds to step S33. On the other hand, if it is determined that the MAC abnormality flag is set, the process proceeds to step S34.
≪ステップS33≫
ステップS32で、MAC異常フラグが設定されていない判断されているので、ステップS33では、不揮発性メモリ41aの正規領域から揮発性メモリ40aの正規領域に、全ての故障コード情報、及びFFD情報を転送して保存する。上述したように、この揮発性メモリ40aの正規領域は、故障診断機ツール42が接続されたときに、故障診断機ツール42で読取り可能な領域として指定されている。
<<Step S33>>
Since it is determined in step S32 that the MAC abnormality flag is not set, in step S33, all the fault code information and FFD information are transferred from the normal area of the
したがって、正規のディーラーで故障診断機ツール42を接続した場合は、全ての故障コード情報、及びFFD情報を読み出すことができる。ステップS33で、全ての故障コード情報、及びFFD情報を揮発性メモリ40aの正規領域に保存すると、ステップS35に移行する。
Therefore, when the
≪ステップS34≫
ステップS32で、MAC異常フラグが設定されていると判断されているので、ステップS34では、不揮発性メモリ41aの秘匿領域から揮発性メモリ40aの秘匿領域に、全ての故障コード情報、及びFFD情報を転送して保存する。上述したように、揮発性メモリ40aの秘匿領域は、揮発性メモリ40aの正規領域とは異なり、故障診断機ツール42が接続されたときに、故障診断機ツール42で読み取りができない領域として指定されている。
<<Step S34>>
Since it is determined in step S32 that the MAC abnormality flag is set, in step S34, all the fault code information and FFD information are transferred from the secret area of the
したがって、悪意の攻撃者が故障診断機ツール42を接続した場合は、全ての故障コード情報、及びFFD情報は秘匿領域に保存されているので、全ての故障コード情報、及びFFD情報を読み出すことができない。
Therefore, if a malicious attacker connects the
ステップS34で、全ての故障コード情報、及びFFD情報を揮発性メモリ40aの秘匿領域に保存すると、ステップS35に移行する。
After all the fault code information and FFD information are stored in the secret area of the
≪ステップS35≫
ステップS35においては、ステップS33、ステップS34で、不揮発性メモリ41aから揮発性メモリ40aに故障コード情報、及びFFD情報が転送されているので、転送フラグを設定する。
<<Step S35>>
In step S35, since the fault code information and FFD information have been transferred from the
この転送フラグは、ステップS30の判断で使用されるもので、通常の動作を継続する場合と、不揮発性メモリ41aから揮発性メモリ40aに故障コード情報、及びFFD情報を転送する場合を切り分けている。
This transfer flag is used for determination in step S30, and distinguishes between the case of continuing the normal operation and the case of transferring the fault code information and the FFD information from the
ステップS35で、転送フラグが設定されると、終了に抜けて次の起動タイミングまで待機する。 In step S35, when the transfer flag is set, the process exits and waits until the next activation timing.
ここで、ステップS34で、不揮発性メモリ41aの秘匿領域からから故障コード情報、及びFFD情報を揮発性メモリ40aの秘匿領域に転送しているが、必要に応じて揮発性メモリ40aの秘匿領域から揮発性メモリ40aの正規領域に転送して保存することもできる。これによって、故障診断ツール42で読み取ることが可能となる。
Here, in step S34, the failure code information and the FFD information are transferred from the secret area of the
上述したような構成としたことによって、ソフトウェアコンポーネントの特定を防ぐことができる。また、悪意のある攻撃者に攻撃パターンを示唆する情報を与えることを防ぐことができる。更に、ソフトウェアコンポーネントの特定を防ぐことにより、多くの自動車が大規模の攻撃を受けるリスクを低減することができる。更に、不正な操作がなされた際に、テレマティクスセンターの管理者等がサイバー攻撃を受けた事を認識できるので、これに対する種々の対策を講じることができる。 With the configuration as described above, identification of the software component can be prevented. Also, it is possible to prevent a malicious attacker from being given information that suggests an attack pattern. Furthermore, preventing the identification of software components can reduce the risk of large-scale attacks on many vehicles. Furthermore, when an unauthorized operation is performed, the telematics center administrator or the like can recognize that the cyberattack has occurred, so that various countermeasures can be taken.
以上述べた通り、本発明は、少なくとも、送信側電子制御装置と、送信側電子制御装置からのメッセージを、CANバスを介して受信する受信側電子制御装置からなる車載ネットワークシステムであって、受信側電子制御装置は、受信したメッセージがCANバス上で不正な操作によって不正メッセージに改竄されたことを検出すると、受信側電子制御装置に記憶されている全ての故障コード情報をCANバスに転送しない制御を実行する故障情報秘匿制御部を備えている。 As described above, the present invention provides an in-vehicle network system comprising at least a transmitting side electronic control device and a receiving side electronic control device that receives a message from the transmitting side electronic control device via a CAN bus. When the side electronic control unit detects that the received message has been altered into an illegal message by illegal operation on the CAN bus, it does not transfer all fault code information stored in the receiving side electronic control unit to the CAN bus. It has a failure information secrecy control section that executes control.
これによれば、不正メッセージを検出すると、全ての故障コード情報がCANバスに転送されないので、故障診断ツールを接続しても故障コード情報を読み取ることはできず、ソフトウェアコンポーネントの特定を防ぐことができ、結果的に車載ネットワークシステムのセキュリティを向上することができる。 According to this, when an illegal message is detected, all the fault code information is not transferred to the CAN bus, so even if a fault diagnosis tool is connected, the fault code information cannot be read, preventing identification of the software component. As a result, the security of the in-vehicle network system can be improved.
尚、本発明は上記したいくつかの実施例に限定されるものではなく、様々な変形例が含まれる。上記の実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、ある実施例の構成に他の実施例の構成を加えることも可能である。各実施例の構成について、他の構成の追加、削除、置換をすることも可能である。 It should be noted that the present invention is not limited to the above-described embodiments, and includes various modifications. The above embodiments have been described in detail for easy understanding of the present invention, and are not necessarily limited to those having all the described configurations. Moreover, it is possible to replace a part of the configuration of one embodiment with the configuration of another embodiment, and it is also possible to add the configuration of another embodiment to the configuration of one embodiment. Other configurations can be added, deleted, or replaced with respect to the configuration of each embodiment.
32a…自ECU、34…CANバス、35a…MCU、36a…CANトランシーバ、39a…CANコントローラ、40a…揮発性メモリ、41a…不揮発性メモリ、32b…他のECU、35b…MCU、36b…CANトランシーバ、39b…CANコントローラ、40b…揮発性メモリ、41b…不揮発性メモリ、42…故障診断ツール。
32a...
Claims (7)
前記受信側電子制御装置は、受信された前記メッセージが前記CANバス上で不正な操作によって不正メッセージに改竄されたことを検出すると、前記受信側電子制御装置に記憶されている全ての故障コード情報を前記CANバスに送信しない制御を実行する故障情報秘匿制御部を備えている
ことを特徴とする車載ネットワークシステム。 An in-vehicle network system comprising at least a transmitting electronic control device and a receiving electronic control device that receives a message from the transmitting electronic control device via a CAN bus,
When the receiving side electronic control unit detects that the received message has been altered into an illegal message by an illegal operation on the CAN bus, all fault code information stored in the receiving side electronic control unit is provided with a failure information secrecy control section for executing control not to transmit to the CAN bus.
前記受信側電子制御装置は、揮発性メモリと不揮発性メモリとを備え、前記送信側電子制御装置、及び前記受信側電子制御装置に電力が供給されている状態で、前記故障情報秘匿制御部は、
受信された前記メッセージが正規の前記メッセージと判断されると、前記全ての故障コード情報を、故障診断ツールで読み出すことができる前記揮発性メモリの正規領域に保存し、
受信された前記メッセージが前記CANバス上で不正な操作によって不正メッセージに改竄された前記メッセージと判断されると、前記全ての故障コード情報を、前記故障診断ツールで読み出すことができない前記揮発性メモリの秘匿領域に保存する
ことを特徴とする車載ネットワークシステム。 The in-vehicle network system according to claim 1,
The electronic control device on the receiving side includes a volatile memory and a non-volatile memory, and in a state in which power is supplied to the electronic control device on the transmitting side and the electronic control device on the receiving side, the failure information secrecy control unit ,
if the received message is determined to be a legitimate message, storing all the fault code information in a legitimate area of the volatile memory that can be read by a fault diagnostic tool;
When the received message is determined to be the message that has been tampered with by an unauthorized operation on the CAN bus, all the fault code information is stored in the volatile memory that cannot be read by the fault diagnosis tool. An in-vehicle network system characterized by storing in a secret area of .
前記故障情報秘匿制御部は、
受信された前記メッセージが前記CANバス上で不正な操作によって不正メッセージに改竄された前記メッセージと判断されると、この判断結果を外部のテレマティクスセンターに通報する
ことを特徴とする車載ネットワークシステム。 An in-vehicle network system according to claim 2,
The failure information concealment control unit
An in-vehicle network system characterized in that, when the received message is judged to be the message altered into an unauthorized message by unauthorized operation on the CAN bus, the judgment result is reported to an external telematics center.
前記故障情報秘匿制御部は、
前記故障コード情報に加えて、現在の自動車の動作パラメータの値であるフリーズフレームデータも併せて保存する
ことを特徴とする車載ネットワークシステム。 An in-vehicle network system according to claim 2,
The failure information concealment control unit
An in-vehicle network system characterized in that, in addition to the trouble code information, freeze frame data, which are current operating parameter values of the vehicle, are also stored.
前記故障情報秘匿制御部は、
前記送信側電子制御装置、及び前記受信側電子制御装置への電力の供給が停止される場合は、前記揮発性メモリの前記秘匿領域に保存された前記全ての故障コード情報を、前記不揮発性メモリの前記秘匿領域に転送して保存する
ことを特徴とする車載ネットワークシステム。 An in-vehicle network system according to claim 2,
The failure information concealment control unit
When the power supply to the transmitting side electronic control device and the receiving side electronic control device is stopped, all the fault code information saved in the secret area of the volatile memory is stored in the nonvolatile memory. an in-vehicle network system, which transfers and saves the data in the secret area of .
前記送信側電子制御装置、及び前記受信側電子制御装置への電力の供給が停止された後に再び前記送信側電子制御装置、及び前記受信側電子制御装置に電力が供給されると、前記故障情報秘匿制御部は、
前記不揮発性メモリの前記秘匿領域に保存された前記全ての故障コード情報を、前記揮発性メモリの前記秘匿領域に転送して保存する
ことを特徴とする車載ネットワークシステム。 An in-vehicle network system according to claim 5,
When power is supplied again to the transmission side electronic control device and the reception side electronic control device after the power supply to the transmission side electronic control device and the reception side electronic control device is stopped, the failure information Anonymity control unit
An in-vehicle network system, wherein all the fault code information saved in the secret area of the nonvolatile memory is transferred to the secret area of the volatile memory and saved.
前記故障情報秘匿制御部は必要に応じて、
前記揮発性メモリの前記秘匿領域に保存された前記故障コード情報を、前記揮発性メモリの前記正規領域に保存する
ことを特徴とする車載ネットワークシステム。 An in-vehicle network system according to claim 2,
If necessary, the failure information concealment control unit
An in-vehicle network system, wherein the fault code information stored in the secret area of the volatile memory is stored in the normal area of the volatile memory.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021028066A JP2022129417A (en) | 2021-02-25 | 2021-02-25 | On-vehicle network system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021028066A JP2022129417A (en) | 2021-02-25 | 2021-02-25 | On-vehicle network system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2022129417A true JP2022129417A (en) | 2022-09-06 |
Family
ID=83151213
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021028066A Pending JP2022129417A (en) | 2021-02-25 | 2021-02-25 | On-vehicle network system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2022129417A (en) |
-
2021
- 2021-02-25 JP JP2021028066A patent/JP2022129417A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6280662B2 (en) | Unauthorized control inhibition method, unauthorized control inhibition device and in-vehicle network system | |
Koscher et al. | Experimental security analysis of a modern automobile | |
CN111480314A (en) | Secure vehicle control unit update | |
JP6201962B2 (en) | In-vehicle communication system | |
US10326793B2 (en) | System and method for guarding a controller area network | |
US20180205703A1 (en) | Method For Detecting, Blocking and Reporting Cyber-Attacks Against Automotive Electronic Control Units | |
JP6807906B2 (en) | Systems and methods to generate rules to prevent computer attacks on vehicles | |
KR102524204B1 (en) | Apparatus and method for intrusion response in vehicle network | |
JP5423754B2 (en) | Bus monitoring security device and bus monitoring security system | |
US11522878B2 (en) | Can communication based hacking attack detection method and system | |
JP5696669B2 (en) | Gateway device and vehicle communication system | |
JP4253979B2 (en) | Inspection method for in-vehicle control unit | |
US11012453B2 (en) | Method for protecting a vehicle network against manipulated data transmission | |
JP2022129417A (en) | On-vehicle network system | |
WO2020137852A1 (en) | Information processing device | |
CN113556271B (en) | Illegal control suppression method, illegal control suppression device, and vehicle-mounted network system | |
EP3121753B1 (en) | System for controlling the communication between a main device and an auxiliary device and associated main device and auxiliary device used in the system | |
CN111077873B (en) | System and method for controlling access to an information-physical system | |
RU2726884C1 (en) | System and method of controlling access to cyber physical system | |
JP6559619B2 (en) | COMMUNICATION SYSTEM, COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM | |
US20230267204A1 (en) | Mitigating a vehicle software manipulation | |
JP2021167985A (en) | On-vehicle security system and attack countermeasure method | |
JP7403728B2 (en) | Intrusion detection system | |
US20240061934A1 (en) | Techniques for mitigating manipulations of an onboard network of a vehicle | |
JP2023122636A (en) | Reduction in manipulation of vehicle software |