JP5395036B2 - 車載ネットワークシステム - Google Patents
車載ネットワークシステム Download PDFInfo
- Publication number
- JP5395036B2 JP5395036B2 JP2010254123A JP2010254123A JP5395036B2 JP 5395036 B2 JP5395036 B2 JP 5395036B2 JP 2010254123 A JP2010254123 A JP 2010254123A JP 2010254123 A JP2010254123 A JP 2010254123A JP 5395036 B2 JP5395036 B2 JP 5395036B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- vehicle
- communication
- authentication server
- ecu
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims description 77
- 238000004891 communication Methods 0.000 claims description 61
- 230000008569 process Effects 0.000 claims description 45
- 238000012545 processing Methods 0.000 claims description 34
- 230000004044 response Effects 0.000 claims description 25
- 238000012544 monitoring process Methods 0.000 claims description 5
- 230000000694 effects Effects 0.000 claims description 4
- 208000033748 Device issues Diseases 0.000 claims 1
- 238000012790 confirmation Methods 0.000 description 26
- 230000006870 function Effects 0.000 description 20
- 238000010586 diagram Methods 0.000 description 14
- 238000004364 calculation method Methods 0.000 description 10
- 239000013589 supplement Substances 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 230000007123 defense Effects 0.000 description 2
- 230000007257 malfunction Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000414 obstructive effect Effects 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 238000009738 saturating Methods 0.000 description 1
- 238000004092 self-diagnosis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2129—Authenticate client device independently of the user
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Technology Law (AREA)
- Multimedia (AREA)
- Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- General Health & Medical Sciences (AREA)
- Small-Scale Networks (AREA)
- Stored Programmes (AREA)
- Storage Device Security (AREA)
Description
図1は、本発明の実施形態1に係る車載ネットワークシステム1000の構成図である。車載ネットワークシステム1000は、車両の動作を制御するECUを接続する車内ネットワークである。ここでは、制御プログラムを書き換える対象である目標ECU101のみを例示したが、車載ネットワークシステム1000に接続するECUの数はこれに限られるものではない。
書換装置102は、目標ECU101に対してプログラム書換要求またはデータ取得要求を発行する前に、認証サーバ103に対し、自己を認証するように車載ネットワークを介して要求する。このとき書換装置102の識別子などの書換装置102に固有の情報を併せて送信する。
認証サーバ103は、書換装置102から認証要求を受け取ると、所定の認証アルゴリズムを用いて書換装置102を認証する。認証サーバ103は、書換装置102の識別子と認証結果を対応付けて、メモリなどの記憶装置上に保持しておく。認証サーバ103は、認証処理が完了すると、その旨の確認応答を書換装置102へ送信する。
認証サーバ103は、本ステップにおいて書換装置102に確認応答を送信する際に、認証許可するか否かを示す情報を確認応答内に含めずに確認応答を送信する。これは、書換装置102が認証を多数回数試行して認証処理を突破する手法から、認証アルゴリズムを防衛するためである。
書換装置102は、目標ECU101に対して、目標ECU101のメモリ上に格納している制御プログラムを書き換える要求、または目標ECU101の内部データを取得する要求を送信する。
目標ECU101は、ステップS103の要求送信元が正規端末であるか否かを、認証サーバ103に問い合わせる。
認証サーバ103は、ステップS102で保持しておいた書換装置102の認証結果を検索し、その結果を目標ECU101に送信する。
目標ECU101は、ステップS105で認証サーバ103より認証許可した旨の回答を得た場合は、ステップS103で書換装置102から受け取った要求を受け入れる。認証許可しなかった旨の回答を得た場合は、書換装置102から受け取った要求を拒否する。目標ECU101は、要求を受け入れるか否かの回答を、書換装置102に回答する。
以上のように、本実施形態1に係る車載ネットワークシステム1000において、認証サーバ103は、ECU101内部のデータに対して読取要求または書込要求を発行する書換装置102の認証を一括して行う。これにより、各ECU101は認証処理を実行する必要がなくなり、認証結果を認証サーバ103に問い合わせるのみで済むので、各ECU101の処理負荷を増加させずに認証処理を実施することができる。
本発明の実施形態2では、実施形態1で説明した車載ネットワークシステム1000の具体的な構成例について説明する。
書換装置102と認証サーバ103は、以下に説明するステップS411〜S415からなる認証シーケンスS410を実行する。認証シーケンスS410は、図1のステップS101〜S102に相当するものである。ここでは、公開鍵暗号方式に基づくデジタル署名を用いて書換装置102を認証する手法を例示するが、別の認証方式を用いることもできる。なお、あらかじめ書換装置102の公開鍵と秘密鍵のペアを生成し、公開鍵を認証装置103に配信しておくものとする。
書換装置102は、例えば車載ネットワークに最初に接続した時点など、目標ECU101に対して読取要求または書込要求を発行する前の段階で、認証サーバ103に対し自己が正規端末であることを認証するように要求する。このとき、書換装置102の識別コード(またはそれに類する情報、以下同様)を併せて送信し、自身を固有に識別する情報を認証サーバ103に対して明らかにする。
ここでいう正規端末とは、書換装置102が当該車両のメーカによって認定された正規のものであること、改竄されたものでないこと、別の装置が正規の書換端末102になりすましたものでないこと、などを保証された端末のことである。
認証サーバ103は、認証開始処理を実行する。具体的には、疑似乱数を用いて種コードを生成し、書換装置102に返送する。また、ステップS411で書換装置102から受け取った識別コードを用いて、書換装置102に対応する公開鍵を特定しておく。
書換装置102は、ステップS412で認証サーバから受け取った種コードを自身の秘密鍵で署名し、署名済みコードとして認証サーバ103に返送する。
認証サーバ103は、ステップS411で特定しておいた公開鍵を読み出し、これを用いてステップS413で書換装置102から受け取った署名済みコードを復号する。認証サーバ103は、その復号結果とステップS412で書換装置102に送信した種コードを比較し、両者が一致すれば書換装置102が正規端末であると判断する。認証サーバ103は、書換装置102を認証許可した旨の情報を、内部の認証済み機器リストに格納する。両者が一致しなければ、書換装置102は認証許可されなかったことになる。
認証サーバ103は、認証シーケンスS410が終了した旨を、確認応答として書換装置102に対して送信する。このとき、書換装置102を認証許可したか否かについての情報を確認応答のなかに含めないこととする。理由は実施形態1のステップS102で述べた通りである。
書換装置102は、目標ECU101に対してセッション開始要求を送信する。本ステップは、図1のステップS103に相当する。セッション開始要求には、書換装置102の識別コードが含まれているものとする。
書換装置102と目標ECU101は、以下に説明するステップS431〜S432からなる認証照会シーケンスS430を実行する。認証照会シーケンスS430は、図1のステップS104〜S105に相当するものである。
目標EUC101は、書換装置102からセッション開始要求を受け取ると、書換装置102の認証結果を確認する処理を開始する。目標EUC101は、ステップS420で受け取った書換装置102の識別コードを用いて、認証サーバ103に対し、書換装置102が認証済みであるか否かを照会する。
認証サーバ103では、ステップS431で受け取った書換装置102の識別コードが認証済み機器リストに登録されているか否かを照合する。該当する識別コードが見つかれば、書換装置102は認証済みである旨の回答を目標ECU101に送信し、見つからなければ書換装置102は認証許可されなかった旨の回答を目標ECU101に送信する。
目標ECU101は、書換装置102との間の正規セッションを開始する。目標ECU101は、ステップS432において書換装置102が認証許可されている旨の応答を受け取った場合は、書換装置102からのセッション開始要求を受け入れ、セッション受諾通知を書換装置102に対して発行する。ステップS432において書換装置102が認証許可されていない旨の応答を受け取った場合は、書換装置102からのセッション開始要求を拒否する。例えば、セッション開始要求を無視して書換装置102に対して何も応答しないなどの対応を取る。
ステップS440の結果、書換装置102と目標ECU101の間のセッションが確立する。書換装置102は、目標ECU101が保持しているプログラムの書き換え、内部データの取得、などの処理を実行する。
認証サーバ103は、認証シーケンスS410を正常完了し認証済み機器リストに書換装置102を登録した後、目標ECU101から照会を受けたときに備えて、認証済み機器リストの内容をそのまま保持する。認証サーバ103は、例えば1回のドライビングサイクルの間のみ認証済み機器リストを保持する、もしくは所定時間が経過するまでの間のみ認証済み機器リストを保持する、もしくは車両のイグニッション・キーがOFFされるまでの間のみ認証済み機器リストを保持する、などの基準に基づき、古くなった認証済み機器リストを破棄する。
ドライビングサイクルは、OBD II(On−Board Diagnostics,II generation,ISO−9141−2)などの車両の自己診断技術において提示された概念である。同技術において、ドライビングサイクルとは、エンジン始動(アイドリングストップ対応自動車等におけるエンジン自動停止に続く始動を除く)、運行状態およびエンジン停止状態(アイドリングストップ対応自動車等におけるエンジン自動停止を除く)を各1回含む期間のことを指す。
書換装置102と認証サーバ103は、以下に説明するステップS511〜S517からなる認証シーケンスS510を実行する。なお、あらかじめ書換装置102と認証装置103の間で、後述するステップS513〜S515で用いる既定関数を共用しておくものとする。
本ステップは、図4のステップS411と同様である。
認証サーバ103は、認証開始処理を実行する。具体的には、疑似乱数を用いて種コードを生成し、書換装置102に返送する。また、ステップS511で書換装置102から受け取った識別コードを用いて、書換装置102に対応する既定関数を特定しておく。
書換装置102は、ステップS512で受け取った種コードを既定関数に適用して演算結果を算出する(S513)。書換装置102は、算出結果を認証サーバ103に送信する(S514)。
認証サーバ103は、ステップS512で特定しておいた既定関数を読み出し、ステップS515で書換装置102に対して送信したものと同じコードをこの既定関数に適用して演算結果を算出する。
認証サーバ103は、ステップS514で書換装置102から受け取った演算結果と、ステップS515で算出した演算結果とを比較する。両者が一致すれば書換装置102が正規端末であると判断する。認証サーバ103は、書換装置102を認証許可した旨の情報を、内部の認証済み機器リストに格納する。両者が一致しなければ、書換装置102は認証許可されなかったことになる。
認証サーバ103は、認証シーケンスS510が終了した旨を、確認応答として書換装置102に対して送信する。このとき、書換装置102を認証許可したか否かについての情報を確認応答のなかに含めないこととする。理由は実施形態1のステップS102で述べた通りである。
これらのステップは、図4のステップS420〜S460と同様である。
以上のように、本実施形態2に係る車載ネットワークシステム1000において、認証サーバ103は、公開鍵暗号方式に基づくデジタル署名を用いて書換装置102を認証することができる。公開鍵暗号方式では、書換装置102の秘密鍵をネットワークに流さなくて済み、また認証サーバ103にも書換装置102の秘密鍵を開示しなくてよい。これにより、正規の書換装置102の秘密鍵を第3者に対して秘匿することができ、車載ネットワークシステム1000のセキュリティを高めることができる。
本発明の実施形態3では、認証サーバ103が車載ネットワークシステム1000から切り離されることによって認証処理が妨害されたり、他機器が認証サーバ103に成り済まして不正な認証処理を実施したりすることを防止する構成を説明する。
目標ECU101は、認証サーバ103との間の接続が確保されているか否かを常時監視し、認証サーバ103から切り離されていること検知したときには、書換装置102からメモリ内部のデータに対する読取要求や書込要求を受け取っても、これを拒否する。
認証サーバ103は、目標ECU101との間の接続が確保されているか否かを常時監視し、目標ECU101から切り離されていることを検知したときには、ネットワークの構成が不正に変更された、または認証サーバ103が単体で車載ネットワークから取り出されている、などの状況が生じていると判断する。このとき認証サーバ103は、認証処理を停止し、外部からのいかなる要求に対しても、認証拒否する。
一般に認証サーバ103は、複数のECUに対する接続を監視している立場なので、特定ECUの取り外しだけでなく、ネットワーク全体の構成変化を検出することができる。この機能を利用して、ネットワーク構成の不正な変更を検出した場合、他のECUに対してその旨を通知したり、不正な変更によって引き起こされている機能不全状況を通知したりしてもよい。
認証サーバ103が、車載ネットワーク上に認証サーバ103に成り済ましている機器を検出した場合には、不正アクセスされようとしている目標ECUを防衛するため、目標ECUに対して積極的に強制中断通知などの警告メッセージを発信する。
認証サーバ103と目標ECU101は、以下に説明するステップS611〜S619からなる接続確認シーケンスS610を実行する。なお、あらかじめ目標ECU101と認証装置103の間で、後述するステップS612〜S614で用いる既定関数を共用しておくものとする。
認証サーバ103は、接続確認処理を開始する。例えば所定の時間間隔で周期的に本ステップを開始することにより、周期的に接続確認を実施することができる。具体的な処理手順は図5のステップS512〜S516と同様であるが、ここでは認証サーバ103と目標ECU101の間で処理を実施する点が異なる。
認証サーバ103は、目標ECU101における演算結果と認証サーバ103における演算結果を比較する。両者が一致した場合は、認証サーバ103と目標ECU101の間の接続が確立されていることを確認できたものとし、タイムアウトを計測するためのタイマをリセットする。一致しなかった場合は、接続が確認できなかったものとする。
接続確認処理は周期的に起動されるので、目標ECU101と認証サーバ103の間の接続が確立されていれば、同じ周期で両者の間の接続を確認できるはずである。そこで、両者の間の接続が確認できない期間が所定のタイムアウト時間を超過した場合、認証サーバ103は、両者が切断されていると判断する。本ステップにおいて両者の間の接続が確認できた場合、改めてタイムアウト時間を計測するため、タイマをリセットする。
認証サーバ103は、目標ECU101と認証サーバ103の間の接続が切断されていると判断した場合、認証処理を停止し、ネットワーク構成が不正に変更された旨の警告を発するなどの防衛手段を実行する。
認証サーバ103は、目標ECU101と認証サーバ103の間の接続が確立されていることを目標ECU101の側でも確認させるため、ステップS614で得た演算結果に対して改めて既定関数を適用した演算結果を用いて、ステップS612〜S614と同様の処理を反対方向で実施する。
目標ECU101は、目標ECU101における演算結果と認証サーバ103における演算結果を比較する。両者が一致した場合は、認証サーバ103と目標ECU101の間の接続が確立されていることを確認できたものとし、タイムアウトを計測するためのタイマをリセットする。一致しなかった場合は、接続が確認できなかったものとする。
目標ECU101は、目標ECU101と認証サーバ103の間の接続が切断されていると判断した場合、書換装置102からメモリ内部のデータに対する読取要求や書込要求を受け取っても、これを拒否する。
認証サーバ103と目標ECU101は、以下に説明するステップS711〜S718からなる接続確認シーケンスS710を実行する。なお、あらかじめ目標ECU101と認証装置103の間で、後述するステップS712〜S713で用いるシフト値を共用しておくものとする。
認証サーバ103は、所定のID値のメッセージを目標ECU101に送信することにより、目標ECU101に対して問いかけを発信する。
目標ECU101は、あらかじめ認証サーバ103と共有しておいたシフト値を用いて認証サーバ103から受け取ったID値をシフトし、ECU側IDとして認証サーバ103へ返信する。
認証サーバ103は、目標ECU101との間で共用しているシフト値を用いて、ステップS711で目標ECU101に送信したID値をシフトし、目標ECU101から返信されてくるECU側IDを予測する。
認証サーバ103は、ステップS712で目標ECU101が送信するECU側IDとステップS713で予測したIDとを比較する。両者が一致した場合は、認証サーバ103と目標ECU101の間の接続が確立されていることを確認できたものとし、タイムアウトを計測するためのタイマをリセットする。一致しなかった場合は、接続が確認できなかったものとする。タイムアウトについては図6と同様である。
認証サーバ103は、目標ECU101と認証サーバ103の間の接続が切断されていると判断した場合、認証処理を停止し、ネットワーク構成が不正に変更された旨の警告を発するなどの防衛手段を実行する。
目標ECU101は、目標ECU101と認証サーバ103の間の接続が確立されていることを目標ECU101の側でも確認するため、自己が保持している所定のID値を用いて、ステップS711〜S713と同様の処理を反対方向で実施する。
目標ECU101は、ステップS716で認証サーバ103が返信するサーバ側IDとステップS717で予測したIDとを比較する。両者が一致した場合は、認証サーバ103と目標ECU101の間の接続が確立されていることを確認できたものとし、タイムアウトを計測するためのタイマをリセットする。一致しなかった場合は、接続が確認できなかったものとする。
目標ECU101は、目標ECU101と認証サーバ103の間の接続が切断されていると判断した場合、書換装置102からメモリ内部のデータに対する読取要求や書込要求を受け取っても、これを拒否する。
不正端末801は、認証サーバ103に対して認証要求せずに、目標ECU101に対して直接アクセスしようと試みる。不正端末801は、目標ECU101に対してセッション開始要求を送信する。
目標ECU101は、不正端末801からセッション開始要求を受け取ると、認証サーバ103に対し、不正端末801が認証許可済みであるか否かを照会する。このとき、車載ネットワークが一般にバス型構成を採用しているため、本照会は車載ネットワークに接続されている各機器に到達する。そのため、認証サーバ103と不正端末801ともに、目標ECU101からの照会を捕捉することができる。
認証サーバ103は、不正端末801が認証許可済みでない旨を、目標ECU101に対して通知する。
不正端末801は、偽の認証済通知を目標ECU101に対して送信する準備を開始する。不正端末801は、認証サーバ103が送信する未認証通知が目標ECU101に到達しないようにするため、ジャミング信号を送出する、または目標ECU101と認証サーバ103の間のネットワーク接続を瞬断(図示せず)するなどして、未認証通知が目標ECU101に到達することを妨害する。
不正端末801は、認証サーバ103が送出したかのように装って、偽の認証済通知を目標ECU101に対して送信する。このとき、ステップS802と同様に、偽の認証済通知は認証サーバ103にも到達する。これにより認証サーバ103は、不正端末801の存在を検出することができる。
目標ECU101は、偽の認証済通知を受け取り、不正端末801との間の正規セッションを開始する。このとき、不正端末801の識別コードを含むセッション受諾通知を発信する。
認証サーバ103は、偽の認証済通知を検出すると、目標ECU101に対し、強制中断するように通知する。これにより、不正端末801が目標ECU101内部のデータを不正に取得したり、プログラムを不正に書き換えたりすることを防止することを図る。
ステップS807において認証サーバ103が偽の認証済通知を検出できなくても、目標ECU101が不正端末801との間の正規セッションを開始するときにセッション受諾通知を発信するので、これに基づき不正端末801の存在を検出できる。具体的には、セッション受諾通知には不正端末801の識別コードが含まれているので、認証サーバ103は認証処理を介さずに目標ECU101に対して直接アクセスしている端末を検出することができる。認証サーバ103は、不正端末801を検出すると、ステップS807と同様の処理を実施する。
目標ECU101は、強制中断通知を受け取ると、不正端末801との間の通信セッションを強制終了させる。
以上のように、本実施形態3に係る車載ネットワークシステム1000によれば、認証サーバ103は、目標ECU101との間の通信が確立されているか否かを周期的に確認し、接続が遮断されていることを検出したときは認証処理を停止する。これにより、認証サーバ103が車載ネットワークから不正に切り離されたような場合には、認証処理を実施することができなくなるので、不正アクセスを未然に防止することができる。
以上の実施形態1〜3において、認証サーバ103が書換装置102を認証許可するとき、目標ECU101内部のデータに対して読み取りまたは書き込みを実施することのできる権限を有する旨を示す、セッションチケットを発行することもできる。目標ECU101は、認証サーバ103が認証許可済みである書換装置102であっても、権限を有するセッションチケットを保持していない書換装置102については、読取要求または書込要求を拒否するようにしてもよい。
図9は、以上の実施形態1〜4において目標ECU101が書換装置102からセッション開始要求を受け取ったときに実施する処理フローの一例を示す図である。本発明では認証処理が認証サーバ103に集約されているので、目標ECU101が実施すべき処理は簡略化されている。ここでは例として、書換装置102が目標ECU101内部のフラッシュROMに格納されているプログラムを書き換えるように要求した場合を示す。以下図9の各ステップについて説明する。
目標ECU101は、図6または図7で例示したような接続確認処理を実施し、認証サーバ103との間の接続が確立されているか否かを判定する。目標ECU101は、認証サーバ103との間の接続が切断されていることを検出したときはステップS908へ進み、接続が確立されていることを確認したときはステップS903へ進む。
目標ECU101は、書換装置102からのセッション開始要求を受け取るまでの間はステップS901〜S903を繰り返し実行し、セッション開始要求を受け取るとステップS904へ進む。
目標ECU101は、認証サーバ103に書換装置102の認証結果を照会する。認証許可済みである場合はステップS906へ進んで書換装置102との間の正規セッションを開始し、セッション受諾通知を発信する。認証許可済みでない場合は、ステップS908へ進む。
目標ECU101は、書換装置102からの書込要求を処理する手続きを開始する。認証サーバ103は、ステップS906のセッション受諾通知を受信することによって、目標ECU101が書込要求の処理を開始したことを認識することができる。目標ECU101が本処理を実施している間は他のECUが目標ECU101と通信しようとしても応答することができないので、認証サーバ103は、目標ECU101が現在ビジー状態である旨を他のECUにブロードキャストなどで通知してもよい。
目標ECU101は、車載ネットワークシステム1000のセキュリティ異常が生じていると判断し、書換装置102からの書込要求を強制終了する。書込要求をまだ受け取っていない場合は、以後の受付を禁止する。
目標ECU101は、ステップS907を開始した後も、認証サーバ103からの強制中断通知(アボート通知)を周期的にチェックしている。アボート通知があれば、ステップS908にスキップして書込要求を強制終了する。これは、図8ステップS809に相当する。アボート通知がなければ、ステップS910に進む。
目標ECU101は、書換装置102からの書込要求を所定の処理単位毎に処理する。
書込要求を全て処理し終えた場合は本処理フローを終了し、残っている場合はステップS909に戻って同様の処理を繰り返す。
ステップS907において、目標ECU101がフラッシュROM内のデータを書き換えていることを想定する。フラッシュROM内のデータを書き換えるためには、それに用いる制御プログラムをそのままフラッシュROMに置いておくことができず、いったん該当プログラムをRAMなどの揮発性メモリに展開する必要がある。一般のマイコンでは、フラッシュROMに比べてRAMの容量は極端に少ないので、高度な認証プログラムやセキュリティ監視プログラムを書き換えプログラムとともに展開することができない。
また、フラッシュROMにデータを書き込む際には、所定の電荷量をフラッシュROMのメモリセルに対して印加する必要があり、これは制御プログラムによる時間変調で行われる。したがって、ステップS907における処理は、この厳密な時間的制約のため、予定通りの時間内で厳密に完了する必要があるといえる。
以上の実施形態1〜5では、目標ECU101が備えているプログラムを書き換える手法を説明したが、同様の手法を用いて、認証サーバ103が保持しているプログラムを書き換えることもできる。これにより、認証アルゴリズムをより高度なものに更新するなどしてセキュリティレベルを向上させることができる。また、各ECUのプログラムを書き換えることなく認証処理を更新することができるので、コスト面で有利である。
図10は、近年の代表的な高機能車両が備えている車載ネットワークのネットワークトポロジー例を示す図である。認証サーバ103、ゲートウェイ装置201、各ECUなどの構成および動作は、実施形態1〜6と同様である。
Claims (9)
- データを格納するメモリを備えた車載制御装置と、
前記車載制御装置が備える前記メモリが格納しているデータに対して読込要求または書込要求を発行する通信装置を認証する認証装置と、
を有し、
前記認証装置は、
前記通信装置が前記読込要求または前記書込要求を発行する前に前記通信装置に対する認証処理を実施してその結果を保持しておき、
前記車載制御装置は、
前記通信装置から前記読込要求または前記書込要求を受け取ると、前記通信装置に対する前記認証処理の結果を前記認証装置に対して照会し、
前記認証装置が前記通信装置を認証許可した場合は前記読込要求または前記書込要求を受け入れ、
前記認証装置が前記通信装置を認証許可しなかった場合は前記読込要求または前記書込要求を拒否する
ことを特徴とする車載ネットワークシステム。 - 前記認証装置は、
前記認証処理が完了した旨を前記通信装置に応答する際に、認証許可したか否かを示す情報を前記応答内に含めずに前記応答を送信する
ことを特徴とする請求項1記載の車載ネットワークシステム。 - 前記認証装置は、
前記車載ネットワークシステムに接続する機器間の通信を中継する通信ゲートウェイとして動作して、前記車載制御装置と前記通信装置の間の通信を中継し、
前記通信装置に対する認証処理において前記通信装置を認証許可しなかった場合は、前記通信装置から前記車載制御装置に対する通信を中継しない
ことを特徴とする請求項1記載の車載ネットワークシステム。 - 前記車載制御装置は、
前記認証装置との間の接続が確立されているか否かを周期的に確認し、
前記認証装置との間の接続が確認できないときは、前記通信装置からの前記読込要求または前記書込要求を拒否する
ことを特徴とする請求項1記載の車載ネットワークシステム。 - 前記認証装置は、
前記車載制御装置との間の接続が確立されているか否かを周期的に確認し、
前記車載制御装置との間の接続が確認できないときは、前記通信装置に対する認証処理において前記通信装置を認証許可しない
ことを特徴とする請求項1記載の車載ネットワークシステム。 - 前記認証装置は、
前記車載制御装置との間の接続が確立されているか否かを周期的に確認し、
前記車載制御装置との間の接続が確認できないときは、その旨の警告を発信する
ことを特徴とする請求項1記載の車載ネットワークシステム。 - 前記認証装置は、
前記車載制御装置と前記認証装置の間の通信を監視し、
前記車載制御装置と前記認証装置の間の通信に対する他機器からの干渉もしくは妨害を検出したとき、または他機器が前記認証装置に成り済ましている旨を検出したときは、その旨の警告を発信する
ことを特徴とする請求項1記載の車載ネットワークシステム。 - 前記認証装置は、
前記通信装置に対する前記認証処理において認証許可した後、前記車載制御装置と前記通信装置が通信中であるときは、前記車載ネットワークシステムに接続している他機器にその旨を通知する
ことを特徴とする請求項1記載の車載ネットワークシステム。 - 前記認証装置は、
前記認証処理において前記通信装置を認証許可するとき、認証許可した旨を示す通信識別子を前記通信装置に対して配布し、
前記車載制御装置は、
前記通信装置から前記読込要求または前記書込要求を受け取ると、前記通信装置が前記通信識別子を保持しているか否かを確認し、
前記通信装置が前記通信識別子を保持している場合は前記読込要求または前記書込要求を受け入れ、
前記通信装置が前記通信識別子を保持していない場合は前記読込要求または前記書込要求を拒否する
ことを特徴とする請求項1記載の車載ネットワークシステム。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010254123A JP5395036B2 (ja) | 2010-11-12 | 2010-11-12 | 車載ネットワークシステム |
DE112011103745T DE112011103745T5 (de) | 2010-11-12 | 2011-11-04 | Fahrzeugmontiertes Netzwerksystem |
PCT/JP2011/075393 WO2012063724A1 (ja) | 2010-11-12 | 2011-11-04 | 車載ネットワークシステム |
US13/882,617 US20130227650A1 (en) | 2010-11-12 | 2011-11-04 | Vehicle-Mounted Network System |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010254123A JP5395036B2 (ja) | 2010-11-12 | 2010-11-12 | 車載ネットワークシステム |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2012104049A JP2012104049A (ja) | 2012-05-31 |
JP2012104049A5 JP2012104049A5 (ja) | 2013-03-07 |
JP5395036B2 true JP5395036B2 (ja) | 2014-01-22 |
Family
ID=46050872
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010254123A Active JP5395036B2 (ja) | 2010-11-12 | 2010-11-12 | 車載ネットワークシステム |
Country Status (4)
Country | Link |
---|---|
US (1) | US20130227650A1 (ja) |
JP (1) | JP5395036B2 (ja) |
DE (1) | DE112011103745T5 (ja) |
WO (1) | WO2012063724A1 (ja) |
Families Citing this family (54)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2590103B1 (en) * | 2010-06-29 | 2019-07-24 | Toyota Jidosha Kabushiki Kaisha | Control device |
JP5267598B2 (ja) * | 2011-02-25 | 2013-08-21 | トヨタ自動車株式会社 | 車両制御装置のデータ書き換え支援システム及びデータ書き換え支援方法 |
JP5479408B2 (ja) | 2011-07-06 | 2014-04-23 | 日立オートモティブシステムズ株式会社 | 車載ネットワークシステム |
JP5435022B2 (ja) * | 2011-12-28 | 2014-03-05 | 株式会社デンソー | 車載システム及び通信方法 |
DE102013101508A1 (de) * | 2012-02-20 | 2013-08-22 | Denso Corporation | Datenkommunikationsauthentifizierungssystem für ein Fahrzeug, Netzkopplungsvorrichtung für ein Fahrzeug, Datenkommunikationssystem für ein Fahrzeug und Datenkommunikationsvorrichtung für ein Fahrzeug |
EP2832070B1 (en) | 2012-03-29 | 2020-05-20 | Arilou Information Security Technologies Ltd. | Device for protecting a vehicle electronic system |
JPWO2014108993A1 (ja) | 2013-01-08 | 2017-01-19 | 三菱電機株式会社 | 認証処理装置、認証処理システム、認証処理方法および認証処理プログラム |
JP6069039B2 (ja) | 2013-03-11 | 2017-01-25 | 日立オートモティブシステムズ株式会社 | ゲートウェイ装置及びサービス提供システム |
KR101480605B1 (ko) * | 2013-04-29 | 2015-01-09 | 현대자동차주식회사 | 차량 네트워크 접속 장치 및 그 접속 제어 방법 |
JP6099269B2 (ja) | 2013-07-19 | 2017-03-22 | 矢崎総業株式会社 | データ排除装置 |
US10063348B2 (en) | 2013-07-30 | 2018-08-28 | Mitsubishi Electric Corporation | Retransmission data processing device, retransmission data communication device, retransmission data communication system, retransmission data processing method, retransmission data communication method, and non-transitory computer readable medium for detecting abnormality by comparing retransmission data to transmission data |
JP6126980B2 (ja) * | 2013-12-12 | 2017-05-10 | 日立オートモティブシステムズ株式会社 | ネットワーク装置およびネットワークシステム |
EP2892201B1 (en) | 2014-01-06 | 2017-08-30 | Argus Cyber Security Ltd. | Detective watchman |
JP6307313B2 (ja) * | 2014-03-13 | 2018-04-04 | 三菱マヒンドラ農機株式会社 | 作業車両 |
CN104092725A (zh) * | 2014-06-05 | 2014-10-08 | 潍柴动力股份有限公司 | 一种ecu刷写方法及客户端 |
CN104333576B (zh) * | 2014-10-21 | 2019-03-19 | 普华基础软件股份有限公司 | 一种ecu升级装置及方法 |
CN104363266B (zh) * | 2014-10-23 | 2018-07-10 | 北京远特科技股份有限公司 | 远程控制车辆的方法、tsp后台系统以及车载终端 |
US10586207B2 (en) * | 2014-10-31 | 2020-03-10 | Aeris Communications, Inc. | Automatic connected vehicle demonstration process |
US10373403B2 (en) | 2014-10-31 | 2019-08-06 | Aeris Communications, Inc. | Automatic connected vehicle subsequent owner enrollment process |
US11687947B2 (en) | 2014-10-31 | 2023-06-27 | Aeris Communications, Inc. | Automatic connected vehicle enrollment |
US20160127373A1 (en) * | 2014-10-31 | 2016-05-05 | Aeris Communications, Inc. | Automatic connected vehicle demonstration process |
KR101580568B1 (ko) * | 2014-11-12 | 2015-12-28 | 주식회사 유라코퍼레이션 | 차량용 진단 통신 장치 및 방법 |
US9854442B2 (en) * | 2014-11-17 | 2017-12-26 | GM Global Technology Operations LLC | Electronic control unit network security |
KR101628566B1 (ko) * | 2014-12-09 | 2016-06-08 | 현대자동차주식회사 | 차량 데이터 수집 시스템 및 방법 |
WO2016116976A1 (ja) * | 2015-01-20 | 2016-07-28 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム |
JP6573819B2 (ja) * | 2015-01-20 | 2019-09-11 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム |
US9866542B2 (en) * | 2015-01-28 | 2018-01-09 | Gm Global Technology Operations | Responding to electronic in-vehicle intrusions |
KR101759133B1 (ko) * | 2015-03-17 | 2017-07-18 | 현대자동차주식회사 | 비밀 정보 기반의 상호 인증 방법 및 장치 |
US9830603B2 (en) * | 2015-03-20 | 2017-11-28 | Microsoft Technology Licensing, Llc | Digital identity and authorization for machines with replaceable parts |
JP6536251B2 (ja) * | 2015-07-24 | 2019-07-03 | 富士通株式会社 | 通信中継装置、通信ネットワーク、通信中継プログラム及び通信中継方法 |
WO2017042012A1 (en) * | 2015-09-10 | 2017-03-16 | Robert Bosch Gmbh | Unauthorized access event notificaiton for vehicle electronic control units |
KR101675332B1 (ko) * | 2015-09-14 | 2016-11-11 | 인포뱅크 주식회사 | 차량용 데이터 통신 방법 및 그를 이용하는 차량용 전자 제어 장치 및 시스템 |
JP6864006B2 (ja) * | 2015-12-21 | 2021-04-21 | バイエリシエ・モトーレンウエルケ・アクチエンゲゼルシヤフト | 自動車の安全性及び/又はセキュリティに関連する制御機器の修正方法とそれに関する装置 |
JP6578224B2 (ja) * | 2016-02-22 | 2019-09-18 | ルネサスエレクトロニクス株式会社 | 車載システム、プログラムおよびコントローラ |
US9866563B2 (en) * | 2016-04-12 | 2018-01-09 | Gaurdknox Cyber Technologies Ltd. | Specially programmed computing systems with associated devices configured to implement secure communication lockdowns and methods of use thereof |
CN105915345B (zh) * | 2016-04-15 | 2019-04-26 | 烽火通信科技股份有限公司 | 一种家庭网关设备生产测试中授权生产和改制的实现方法 |
JP2018107668A (ja) * | 2016-12-27 | 2018-07-05 | 本田技研工業株式会社 | 被認証装置、通信システム、通信方法、及びプログラム |
JP6782446B2 (ja) | 2017-02-16 | 2020-11-11 | パナソニックIpマネジメント株式会社 | 監視装置、通信システム、車両、監視方法、およびコンピュータプログラム |
US20180322273A1 (en) * | 2017-05-04 | 2018-11-08 | GM Global Technology Operations LLC | Method and apparatus for limited starting authorization |
WO2018207243A1 (ja) * | 2017-05-09 | 2018-11-15 | 三菱電機株式会社 | 車載認証システム、車載認証方法および車載認証プログラム |
CN111052680B (zh) | 2017-09-07 | 2021-11-23 | 三菱电机株式会社 | 不正当连接检测装置、不正当连接检测方法及存储介质 |
JP6860464B2 (ja) * | 2017-10-12 | 2021-04-14 | Kddi株式会社 | システム及び管理方法 |
US10652742B2 (en) * | 2017-11-20 | 2020-05-12 | Valeo Comfort And Driving Assistance | Hybrid authentication of vehicle devices and/or mobile user devices |
CN111936991A (zh) | 2018-04-10 | 2020-11-13 | 三菱电机株式会社 | 安全装置以及嵌入设备 |
IT201800005466A1 (it) * | 2018-05-17 | 2019-11-17 | Metodo e dispositivo per scrivere oggetti software in una unita' elettronica di controllo di un motore a combustione interna | |
FR3082639B1 (fr) * | 2018-06-19 | 2020-10-23 | Psa Automobiles Sa | Procede et dispositif de detection de requete de diagnostic frauduleuse sur un vehicule. |
CN109040249B (zh) * | 2018-06-22 | 2020-11-20 | 中车青岛四方车辆研究所有限公司 | 一种车载网络系统及其通信方法 |
DE102018213902A1 (de) * | 2018-08-17 | 2020-02-20 | Continental Automotive Gmbh | Gegen Angriffe gesicherte Netzwerkschnittstelle |
US11539782B2 (en) * | 2018-10-02 | 2022-12-27 | Hyundai Motor Company | Controlling can communication in a vehicle using shifting can message reference |
US10464529B1 (en) * | 2018-11-15 | 2019-11-05 | Didi Research America, Llc | Method and system for managing access of vehicle compartment |
WO2020170926A1 (ja) * | 2019-02-18 | 2020-08-27 | 株式会社オートネットワーク技術研究所 | 車載通信装置、プログラム及び、通信方法 |
RU2716871C1 (ru) * | 2019-03-19 | 2020-03-17 | Дмитрий Михайлович Михайлов | Система и способ защиты электронных систем управления транспортных средств от несанкционированного вторжения |
JP7008661B2 (ja) * | 2019-05-31 | 2022-01-25 | 本田技研工業株式会社 | 認証システム |
CN115139939B (zh) * | 2022-06-06 | 2024-05-14 | 智己汽车科技有限公司 | 一种车载外设连接与控制的方法及系统 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8140658B1 (en) * | 1999-10-06 | 2012-03-20 | Borgia/Cummins, Llc | Apparatus for internetworked wireless integrated network sensors (WINS) |
DE10008974B4 (de) * | 2000-02-25 | 2005-12-29 | Bayerische Motoren Werke Ag | Signaturverfahren |
JP4615699B2 (ja) * | 2000-11-22 | 2011-01-19 | 矢崎総業株式会社 | メモリ書換セキュリティシステム |
JP4377120B2 (ja) * | 2002-10-15 | 2009-12-02 | 日本電信電話株式会社 | リモートアクセス認証に基づくサービス提供システム |
US20040260709A1 (en) * | 2003-01-27 | 2004-12-23 | Yohichiroh Matsuno | Merge information provider |
DE602004030534D1 (de) * | 2003-01-28 | 2011-01-27 | Cellport Systems Inc | Ein System und ein Verfahren zum Steuern des Zugriffs von Anwendungen auf geschützte Mittel innerhalb eines sicheren Fahrzeugtelematiksystems |
US7186205B2 (en) * | 2004-12-14 | 2007-03-06 | International Truck Intellectual Property Compay, LLC | Vehicle lift interlock |
US7712131B1 (en) * | 2005-02-09 | 2010-05-04 | David Lethe | Method and apparatus for storage and use of diagnostic software using removeable secure solid-state memory |
JP2008059450A (ja) * | 2006-09-01 | 2008-03-13 | Denso Corp | 車両情報書換えシステム |
US8819764B2 (en) * | 2007-09-07 | 2014-08-26 | Cyber Solutions Inc. | Network security monitor apparatus and network security monitor system |
JPWO2009147734A1 (ja) * | 2008-06-04 | 2011-10-20 | ルネサスエレクトロニクス株式会社 | 車両、メンテナンス装置、メンテナンスサービスシステム及びメンテナンスサービス方法 |
JP2010023556A (ja) | 2008-07-15 | 2010-02-04 | Toyota Motor Corp | 電子制御装置 |
IT1396303B1 (it) * | 2009-10-12 | 2012-11-16 | Re Lab S R L | Metodo e sistema per l elaborazione di informazioni relative ad un veicolo |
US8442558B2 (en) * | 2010-10-07 | 2013-05-14 | Guardity Technologies, Inc. | Detecting, identifying, reporting and discouraging unsafe device use within a vehicle or other transport |
-
2010
- 2010-11-12 JP JP2010254123A patent/JP5395036B2/ja active Active
-
2011
- 2011-11-04 WO PCT/JP2011/075393 patent/WO2012063724A1/ja active Application Filing
- 2011-11-04 DE DE112011103745T patent/DE112011103745T5/de active Pending
- 2011-11-04 US US13/882,617 patent/US20130227650A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
DE112011103745T5 (de) | 2013-08-14 |
US20130227650A1 (en) | 2013-08-29 |
WO2012063724A1 (ja) | 2012-05-18 |
JP2012104049A (ja) | 2012-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5395036B2 (ja) | 車載ネットワークシステム | |
JP5479408B2 (ja) | 車載ネットワークシステム | |
Bernardini et al. | Security and privacy in vehicular communications: Challenges and opportunities | |
US20190281052A1 (en) | Systems and methods for securing an automotive controller network | |
JP5651615B2 (ja) | 車載ネットワークシステム | |
US20220366032A1 (en) | System and method for controlling access to an in-vehicle communication network | |
Sagstetter et al. | Security challenges in automotive hardware/software architecture design | |
CN106576096B (zh) | 用于对具有不等能力的设备的认证的装置、方法及介质 | |
JP2022163096A (ja) | 更新管理方法、更新管理装置及び制御プログラム | |
CN111131313B (zh) | 智能网联汽车更换ecu的安全保障方法及系统 | |
WO2021002264A1 (ja) | 不正フレーム検知装置および不正フレーム検知方法 | |
CN111077883A (zh) | 一种基于can总线的车载网络安全防护方法及装置 | |
Takahashi | An overview of cyber security for connected vehicles | |
KR20200102213A (ko) | 차량 내 네트워크에서 보안을 제공하는 방법 및 시스템 | |
US20230015877A1 (en) | Certificate list update method and apparatus | |
Stabili et al. | Analyses of secure automotive communication protocols and their impact on vehicles life-cycle | |
Oyler et al. | Security in automotive telematics: a survey of threats and risk mitigation strategies to counter the existing and emerging attack vectors | |
Ammar et al. | Securing the on-board diagnostics port (obd-ii) in vehicles | |
JP2020048203A (ja) | 更新管理方法、更新管理装置及び制御プログラム | |
Paez et al. | Towards a robust computer security layer for the lin bus | |
CN116800531A (zh) | 一种汽车电子电气架构及安全通信方法 | |
CN111448789B (zh) | 用于解锁车辆部件的设备、方法和计算机程序、车辆到车辆通信模块 | |
van Roermund | In-vehicle networks and security | |
JP2013142963A (ja) | 車載制御装置の認証システム | |
JP6470344B2 (ja) | 制御装置、制御方法、及びコンピュータプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130123 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130123 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131008 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131017 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5395036 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |