CN106919163B - 通信系统和在通信系统中执行的信息收集方法 - Google Patents
通信系统和在通信系统中执行的信息收集方法 Download PDFInfo
- Publication number
- CN106919163B CN106919163B CN201611162074.0A CN201611162074A CN106919163B CN 106919163 B CN106919163 B CN 106919163B CN 201611162074 A CN201611162074 A CN 201611162074A CN 106919163 B CN106919163 B CN 106919163B
- Authority
- CN
- China
- Prior art keywords
- destination apparatus
- authentication code
- message authentication
- collection device
- test pattern
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 65
- 230000015572 biosynthetic process Effects 0.000 title claims abstract description 46
- 238000004891 communication Methods 0.000 title claims abstract description 44
- 238000012360 testing method Methods 0.000 claims abstract description 97
- 238000012545 processing Methods 0.000 claims description 44
- 230000002159 abnormal effect Effects 0.000 claims description 25
- 230000008569 process Effects 0.000 description 13
- 238000006243 chemical reaction Methods 0.000 description 8
- 230000005611 electricity Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 238000012423 maintenance Methods 0.000 description 6
- 230000002265 prevention Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 230000006855 networking Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000009897 systematic effect Effects 0.000 description 4
- 238000009434 installation Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000001568 sexual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0259—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
- G05B23/0275—Fault isolation and identification, e.g. classify fault; estimate cause or root of failure
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
- B60R16/0231—Circuits relating to the driving or the functioning of the vehicle
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24065—Real time diagnostics
Landscapes
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mechanical Engineering (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了通信系统和在通信系统中执行的信息收集方法。信息收集方法包括:当目标装置从收集装置接收到测试模式开始请求时,确定车辆是否满足预定条件,以及当确定车辆满足预定条件时,开始测试模式。在测试模式下,停止预定计数器的更新。收集装置基于从目标装置接收的计数值生成第一MAC,并且向目标装置发送具有第一MAC的攻击信息获取请求。如果从收集装置接收到具有第一MAC的攻击信息获取请求,则目标装置基于已停止的计数值生成第二MAC,在第一MAC与第二MAC彼此一致的情况下确定本装置正常,并且将攻击信息发送至收集装置。
Description
技术领域
本发明涉及通信系统和在通信系统中执行的信息收集方法,在通信系统中多个电子控制装置和诸如中心装置或外部工具的收集装置通过网络连接。
背景技术
例如,日本专利申请公开第2005-165541号(JP 2005-165541 A)公开了以下技术:其中,在电子控制装置(监视目标系统)和作为收集装置的中心装置(损坏分析装置)通过网络被连接的通信系统中,中心装置收集受到未授权访问攻击的电子控制装置的信息以分析损坏情况。
在JP 2005-165541 A中所公开的通信系统中,在收集信息时自动将电子控制装置被未授权访问损坏的攻击以及存在未授权访问但电子控制装置未损坏的攻击进行分类。
发明内容
然而,在上述通信系统中,不可以将由未授权访问的攻击引起的异常以及不是由未授权访问的攻击引起的异常进行分类。例如,认为消息认证码的异常是基于诸如未授权访问的安全性攻击以及基于电路故障等引起的,但是不可以将在相应异常时存储的攻击信息进行分类。
为此,收集装置从多个电子控制装置收集所有攻击信息,而不排除在由电路故障等引起的认证处理出现异常时存储的攻击信息,从而导致收集装置等对攻击信息的分析准确度退化。
本发明提供了以下通信系统和信息收集方法:在多个电子控制装置和收集装置通过网络被连接的通信系统中,通信系统和信息收集方法能够允许收集装置从多个电子控制装置收集攻击信息,同时排除在由电路故障等引起的认证处理出现异常时存储的攻击信息。
本发明的第一方面是一种信息收集方法,该信息收集方法在包括多个电子控制装置和收集装置的通信系统中被执行,所述多个电子控制装置被安装在车辆中,并且被配置成使用以预定方式更新的预定计数器的计数值来执行认证处理,以及在认证处理出现异常时存储攻击信息,收集装置被设置在车辆外部并且被配置成收集多个电子控制装置的攻击信息。信息收集方法包括:从收集装置向经历攻击信息获取的目标装置发送测试模式开始请求,目标装置是所述多个电子控制装置之一。当目标装置从收集装置接收到测试模式开始请求时,确定车辆是否满足预定条件,当确定车辆满足预定条件时,允许目标装置开始测试模式。在测试模式下,停止计数器的操作,将已停止的计数器的计数值发送至收集装置,收集装置基于从目标装置接收的计数值来生成第一消息认证码,并且向目标装置发送具有第一消息认证码的攻击信息获取请求,如果从收集装置接收到具有第一消息认证码的攻击信息获取请求,则目标装置基于已停止的计数器的计数值生成第二消息认证码。目标装置确定第一消息认证码与第二消息认证码是否彼此一致,在第一消息认证码与第二消息认证码彼此一致的情况下,目标装置确定目标装置正常,并且目标装置将攻击信息发送至收集装置。在第一消息认证码与第二消息认证码彼此不一致的情况下,目标装置确定目标装置不正常,并且在攻击信息被发送至收集装置之后或者在确定目标装置不正常之后,目标装置开始计数器的操作并结束测试模式。
在第一方面中,在预定测试模式下,从目标装置向诸如中心装置或外部工具的收集装置发送设置在电子控制装置侧上的预定计数器的计数值。然后,收集装置和目标装置二者根据相同计数值分别生成消息认证码,并且目标装置确定两个消息认证码的一致/不一致,以确定向收集装置发送攻击信息的可能性。
以这种方式,对根据相同计数值分别生成的消息认证码进行比较,如果目标装置的消息认证码与由收集装置生成的正确消息认证码不一致,则可以确定目标装置的消息认证码异常。因此,在这种情况下,由于存储在目标装置中的攻击信息可能是在由电路故障等引起的认证处理出现异常时存储的攻击信息,因此不将攻击信息发送至收集装置。仅在两个消息认证码彼此一致的情况下,将存储在目标装置中的攻击信息发送至收集装置。由此,可以排除在由电路故障等引起的认证处理出现异常时存储的攻击信息,并且可以改进中心装置等对攻击信息的分析准确度。
在第一方面中,目标装置可以执行控制使得安装有目标装置的车辆在从测试模式的开始至结束的时段内不能行驶。
另外,根据上述方面,可以防止在例如由计数器停止引起安全性弱的情况下车辆移动(行驶)到安全位置以外以及遭遇安全性攻击的危险。
在第一方面中,当在测试模式结束之前确定车辆不满足预定条件时,目标装置可以在确定时开始计数器的操作并且可以结束测试模式。
另外,根据上述方面,即使车辆移动(行驶)到安全位置以外在安全性弱的情况下,也可以防止在例如由计数器停止引起安全性弱的状况下车辆遭遇安全性攻击的危险。
本发明的第二方面提供了一种通信系统,该通信系统包括:多个电子控制装置,所述多个电子控制装置被安装在车辆中,并且被配置成使用根据情况需要更新的预定计数器的计数值来执行认证处理,以及在认证处理出现异常时存储攻击信息;以及收集装置,该收集装置被设置在车辆外部并且被配置成收集所述多个电子控制装置的攻击信息。收集装置被配置成向经历攻击信息获取的目标装置发送测试模式开始请求,目标装置是所述多个电子控制装置之一。目标装置被配置成:当从收集装置接收到测试模式开始请求时,确定车辆是否满足预定条件,如果确定车辆满足预定条件,则开始测试模式以停止计数器的操作,并将已停止的计数器的计数值发送至收集装置。收集装置被配置成基于从目标装置接收的计数值生成第一消息认证码并且向目标装置发送具有第一消息认证码的攻击信息获取请求。目标装置被配置成:如果从收集装置接收到具有第一消息认证码的攻击信息获取请求,则基于已停止的计数器的计数值生成第二消息认证码,并且确定第一消息认证码与第二消息认证码是否彼此一致。目标装置被配置成使得:在第一消息认证码与第二消息认证码彼此一致的情况下,目标装置确定目标装置正常,目标装置将攻击信息发送至收集装置,并且目标装置开始计数器的操作以结束测试模式,以及目标装置被配置成使得:在第一消息认证码与第二消息认证码彼此不一致的情况下,目标装置确定目标装置不正常,并且目标装置开始计数器的操作以结束测试模式。
如上所述,根据本发明的信息收集方法,在多个电子控制装置和收集装置通过网络被连接的通信系统中,收集装置可以从多个电子控制装置收集攻击信息同时排除在由电路故障等引起的认证处理出现异常时存储的攻击信息。
附图说明
下面将参照附图来描述本发明的示例性实施方式的特征、优点以及技术意义和工业意义,在附图中,相似的附图标记表示相似的元件,并且其中:
图1是示出了应用根据本发明的每个实施方式的信息收集方法的通信系统的配置示例的图;
图2是示出了中心装置(收集装置)的配置示例的图;
图3是示出了电子控制装置(ECU)的配置示例的图;
图4A是示出了根据本发明的第一实施方式的信息收集方法的处理过程的流程图;
图4B是示出了根据本发明的第一实施方式的信息收集方法的处理过程的流程图;
图5A是示出了根据本发明的第二实施方式的信息收集方法的处理过程的流程图;
图5B是示出了根据本发明的第二实施方式的信息收集方法的处理过程的流程图;
图6A是示出了根据本发明的第三实施方式的信息收集方法的处理过程的流程图;
图6B是示出了根据本发明的第三实施方式的信息收集方法的处理过程的流程图;以及
图7是示出了应用根据本发明的每个实施方式的信息收集方法的通信系统的另一配置示例的图。
具体实施方式
本发明是一种通信系统,其中由诸如中心装置或外部工具的收集装置收集存储在多个电子控制装置中的攻击信息。在通信系统中,收集装置和电子控制装置基于相同数据分别生成消息认证码。在由收集装置生成的消息认证码正确的情况下,如果两个消息认证码彼此不一致,则可以确定电子控制装置的消息认证码生成功能发生故障。因此,被确定发生故障的电子控制装置不向收集装置发送攻击信息。由此,收集装置可以在从多个电子控制装置收集的攻击信息中排除在由电路故障等引起的认证处理出现异常时存储的攻击信息。
在下文中,将结合信息收集方法被应用于例如车辆的通信系统的情况参照附图来详细描述本发明的信息收集方法。
[通信系统的配置示例]
图1是示出了应用根据本发明的每个实施方式的信息收集方法的通信系统1的配置示例的图。图1所示的通信系统1由设置在车辆外部的中心装置10和安装在车辆中的多个电子控制装置20(ECU_1、ECU_2、ECU_3)构成。
多个电子控制装置20被连接以能够通过诸如控制器局域网(CAN)的车载网络30进行通信。中心装置10被连接以能够例如通过无线网络40与至少一个电子控制装置20(ECU_1)进行通信。未被连接成能够与中心装置10直接通信的电子控制装置20(ECU_2、ECU_3)通过车载网络30、被连接成能够与中心装置10进行通信的电子控制装置20(ECU_1)以及无线网络40执行与中心装置10的通信。
中心装置10是从安装在车辆中的多个电子控制装置20收集攻击信息的收集装置。中心装置10可以分析所收集的攻击信息。如图2所示,中心装置10包括通信单元11、存储单元12和MAC生成单元13。
通信单元11向目标电子控制装置20发送测试模式开始请求或具有消息认证码的攻击信息获取请求,或者从目标电子控制装置20接收同步计数器的计数值或攻击信息。下面将描述测试模式、消息认证码、计数值和攻击信息。存储单元12存储从各个电子控制装置20接收的攻击信息。
MAC生成单元13使用从目标电子控制装置20接收的计数值来生成消息认证码(第一MAC)。由于本实施方式基于通信单元11从目标电子控制装置20接收正确的计数值的前提,因此由MAC生成单元13生成的消息认证码(第一MAC)成为常规消息认证码。消息认证码(第一MAC)被附加至攻击信息获取请求并且从通信单元11被发送至目标电子控制装置20。
中心装置10通常包括中央处理单元(CPU)、存储器、输入/输出接口等,并且CPU读取、解释并执行存储在存储器中的程序,从而实现上述通信单元11、存储单元12和MAC生成单元13的相应功能。
电子控制装置20使用同步计数器的计数值来执行消息认证处理,并且在认证处理出现异常时存储攻击信息(例如,指示何时从何处接收到何种类型的攻击的日志)。另外,电子控制装置20响应于来自设置在车辆外部的中心装置10的请求而执行测试模式转换处理、装置故障确定处理和攻击信息传输处理。如图3所示,电子控制装置20包括通信单元21、存储单元22、测试模式控制单元23、MAC生成单元24和故障确定单元25。
通信单元21从中心装置10接收测试模式开始请求或攻击信息获取请求,或者向中心装置10发送同步计数器的计数值或攻击信息。接收到测试模式开始请求的电子控制装置20成为目标电子控制装置20。同步计数器是用于确保车载网络的安全性的车辆的内部计数器,并且根据情况需要基于标准规范(汽车开放系统架构(AUTOSAR))执行更新操作。存储单元22存储“攻击信息”,该“攻击信息”是在由于电子控制装置20接收的诸如未授权访问的安全性攻击引起的认证处理出现异常时存储的信息。
测试模式控制单元23从中心装置10接收测试模式开始请求并且控制至测试模式的转换。测试模式是用于从目标电子控制装置20向中心装置10提供车辆外部的装置不可知的车辆中的同步计数器的计数值的模式。在测试模式下,由于对确保安全性重要的同步计数器停止以获取此时的计数值,因此可能出现新的弱点。因此,在本发明的一个实施方式中,仅在车辆处于为了确保安全性而预先确定的车辆状况下的情况下,换言之,仅在车辆满足预定条件的情况下,测试模式控制单元23执行确定以使得能够开始测试模式(转换至测试模式)。在其他实施方式中,即使测试模式开始,如果车辆不满足预定条件,则测试模式控制单元23也中途结束测试模式。
预先确定的车辆状况(预定条件)是指安全性被估计为高的状况,并且例如考虑车辆进入经销商的维护设施并停止的状况等。以这种方式,在车辆进入维护设施并停止的高安全性状况的情况下,测试模式控制单元23认为车辆满足预定条件并开始测试模式。也就是说,电子控制装置20转换至测试模式。因此,另外,在其他实施方式中,在开始测试模式之后,测试模式控制单元23执行控制,使得安装有本装置的车辆不能行驶。可以例如通过使用电子控制装置20(如锁止器ECU、发动机ECU或制动器ECU)禁止发动机起动或禁止制动器释放来实现用于使车辆不能行驶的控制。
可以例如基于从全球定位系统(GPS)接收器获得的本车辆位置信息来确定进入经销商的维护设施的车辆。可以例如基于从各传感器获得的车辆速度信息或换档位置信息来确定正停止的车辆。
MAC生成单元24使用由测试模式控制单元23停止的同步计数器的计数值来生成消息认证码(第二MAC)。故障确定单元25确定附加至由通信单元21从中心装置10接收的攻击信息获取请求的常规消息认证码(第一MAC)与由MAC生成单元24生成的消息认证码(第二MAC)的一致/不一致。然后,如果两个消息认证码彼此一致(第一MAC=第二MAC),则故障确定单元25确定本电子控制装置20正常,如果两个消息认证码彼此不一致(第一MAC≠第二MAC),则确定本电子控制装置20发生故障。
在本实施方式中,经历故障确定的目标是与对应于MAC生成单元24的加密等有关的功能(电路)。因此,基于相同计数值生成的中心装置10侧的常规消息认证码(第一MAC)与目标电子控制装置20侧的消息认证码(第二MAC)彼此不一致,故障确定单元25可以确定目标电子控制装置20发生故障。
在确定目标电子控制装置20发生故障的情况下,故障确定单元25确定存储在存储单元22中的攻击信息是在由于电路故障等引起的认证处理出现异常时存储的错误信息,并且不向中心装置10发送攻击信息。相比之下,在确定目标电子控制装置20正常的情况下,故障确定单元25确定存储在存储单元22中的攻击信息是在由于安全性攻击如未授权访问引起的认证处理出现异常时存储的正确信息,并且通过通信单元21将攻击信息发送至中心装置10。
电子控制装置20通常包括中央处理单元(CPU)、存储器、输入/输出接口等,并且CPU读取、解释并执行存储在存储器中的程序,从而实现上述通信单元21、存储单元22、测试模式控制单元23、MAC生成单元24和故障确定单元25的相应功能。
[通信系统中执行的信息收集方法]
将参照图4A至图6B来进一步描述由中心装置10和目标电子控制装置20在上述通信系统1中执行的信息收集方法。图4A和图4B是示出了根据本发明的第一实施方式的信息收集方法的处理过程的流程图。图5A和图5B是示出了根据本发明的第二实施方式的信息收集方法的处理过程的流程图。图6A和图6B是示出了根据本发明的第三实施方式的信息收集方法的处理过程的流程图。
<第一实施方式>
参照图4A和图4B,将描述根据第一实施方式的信息收集方法。在图4A和图4B中,中心装置10向经历攻击信息获取的目标电子控制装置(ECU)20发送测试模式开始请求(S101)。
从中心装置10接收到测试模式开始请求的目标电子控制装置20基于车辆的当前状况来确定车辆是否满足预定条件,以及确定是否可以转换至测试模式(S201)。预定条件是:车辆例如处于具有高安全性的被认为是安全的特定地点如经销商的维护设施处、车辆停止等。可以基于GPS的位置信息等来确定正处于特定地点的车辆,并且可以基于车辆速度信息、换档位置信息等来确定停止的车辆。在上述确定中,在车辆不满足预定条件并且不可以转换至测试模式的情况下(S201:否),目标电子控制装置20不转换至测试模式(S202),并且结束针对来自中心装置10的请求的处理。
在上述确定中,在车辆满足预定条件并且可以转换至测试模式的情况下(S201:是),目标电子控制装置20转换至测试模式并且开始处理(S203)。如果处理开始,则目标电子控制装置20首先使车辆中的同步计数器停止(S204)。目标电子控制装置20将由已停止的同步计数器指示的计数值发送至中心装置10(S205)。
中心装置10确定是否从目标电子控制装置20接收到作为对测试模式开始请求的响应的计数值(S102)。在从目标电子控制装置20不能接收到计数值的情况下(S102:否),中心装置10结束处理,而不从目标电子控制装置20获取攻击信息。
在从目标电子控制装置20接收到计数值的情况下(S102:是),中心装置10使用所接收的计数值生成常规消息认证码(第一MAC)(S103)。然后,中心装置10向目标电子控制装置20发送具有所生成的常规消息认证码(第一MAC)的攻击信息获取请求(S104)。
从中心装置10接收到具有常规消息认证码(第一MAC)的攻击信息获取请求的目标电子控制装置20使用由已停止的同步计数器指示的计数值来生成消息认证码(第二MAC)(S206)。然后,目标电子控制装置20确定从中心装置10接收的常规消息认证码(第一MAC)与所生成的消息认证码(第二MAC)是否彼此一致(S207)。
在确定两个消息认证码(第一MAC和第二MAC)彼此不一致的情况下(S207:否),目标电子控制装置20确定目标电子控制装置20(的消息认证码生成功能)发生故障(S210)。在这种情况下,目标电子控制装置20确定存储在存储单元22中的攻击信息是在由于MAC生成单元24中的故障等引起的认证处理出现异常时存储的错误信息,并且不向中心装置10发送攻击信息(S211)。
在确定两个消息认证码(第一MAC和第二MAC)彼此一致的情况下(S207:是),目标电子控制装置20确定目标电子控制装置20(的消息认证码生成功能)正常(S208)。在这种情况下,目标电子控制装置20确定存储在存储单元22中的攻击信息是在由于安全性攻击如未授权访问引起的认证处理出现异常时存储的正确信息,并且将攻击信息发送至中心装置(S209)。
中心装置10确定是否从目标电子控制装置20接收到作为对攻击信息获取请求的响应的攻击信息(S105)。在从目标电子控制装置20不能接收到攻击信息的情况下(S105:否),中心装置10结束处理,而不从目标电子控制装置20获取攻击信息。在从目标电子控制装置20接收到攻击信息的情况下(S105:是),中心装置10将攻击信息存储在存储单元12中(S106)。存储在存储单元12中的攻击信息连同先前接收到的其他攻击信息一起被收集并且被用于分析等。
在执行向中心装置10发送(S209)或不发送(S211)攻击信息之后,目标电子控制装置20重新启动车辆中已停止的同步计数器(S212),并且结束测试模式(S213)。可以根据目标电子控制装置20的确定来执行同步计数器的重新启动,或者可以响应于来自中心装置10的预定答复而执行同步计数器的重新启动。
<第二实施方式>
参照图5A和图5B,将描述根据第二实施方式的信息收集方法。与上述根据第一实施方式的信息收集方法相比,根据第二实施方式的信息收集方法包括由目标电子控制装置20执行的处理S303和S313。因此,在根据第二实施方式的信息收集方法中,将关注不同的处理来提供描述。由相同的附图标记表示与上述根据第一实施方式的信息收集方法相同类型的处理,因此将不重复其描述。
在确定车辆满足预定条件并且可以转换至测试模式的情况下(S201:是),目标电子控制装置20转换至测试模式以开始处理,并执行预定控制以使得安装有本装置的车辆不能行驶(S303)。针对用于使车辆不能行驶的预定控制,可以使用上述已知方法。
目标电子控制装置20执行测试模式,执行向中心装置10发送(S209)或不发送(S211)攻击信息,然后重新启动车辆中已停止的同步计数器(S212)。然后,目标电子控制装置20结束测试模式并且解除用于使车辆不能行驶的预定控制(S313)。
也就是说,在根据第二实施方式的信息收集方法中,使车辆在从测试模式开始(S303)直到测试模式结束(S313)的时段内不能行驶(同时执行图5A和图5B中由单点划线包围的处理)。
<第三实施方式>
参照图6A和图6B,将描述根据第三实施方式的信息收集方法。与上述根据第一实施方式的信息收集方法相比,根据第三实施方式的信息收集方法包括由目标电子控制装置20执行的处理S403至S405以及S413。因此,在根据第三实施方式的信息收集方法中,将关注不同的处理提供描述。由相同的附图标记表示与上述根据第一实施方式的信息收集方法相同类型的处理,因此将不重复其描述。
在确定车辆满足预定条件并且可以转换至测试模式的情况下(S201:是),目标电子控制装置20转换至测试模式以开始处理,并将指示测试模式的执行的预定标记(在下文中称为“测试模式标记”)设置为“ON(开启)”(S403)。如果测试模式标记被设置为“ON”,则与在测试模式下执行的上述第一处理S204至S211并行地执行第二处理S404和S405。
在第一处理中,执行测试模式,执行向中心装置10发送(S209)或不发送(S211)攻击信息,并且然后重新启动车辆中已停止的同步计数器(S212)。然后,目标电子控制装置20将测试模式标记设置为“OFF(关闭)”并且结束测试模式(S413)。
在第二处理中,目标电子控制装置20确定车辆是否继续满足在确定可以转换至测试模式时所满足的预定条件,即,确定车辆是否满足预定条件(S405)。在执行测试模式且测试模式标记为“ON”(S404:是)的时段内例如以预定间隔定期执行该确定。
在上述确定中,在确定车辆不满足预定条件的情况下(S405:否),目标电子控制装置20重新启动车辆中已停止的同步计数器(S212),并且将测试模式标记设置为“OFF”以结束测试模式(S413)。在测试模式标记变为“OFF”而车辆继续满足预定条件的情况下(S404:否),目标电子控制装置20确定测试模式正确结束并且结束该处理。
也就是说,在根据第三实施方式的信息收集方法中,在从测试模式开始(S403)直到测试模式结束(S413)的时段(同时执行由图6中的单点划线包围的处理)内,与测试模式的执行(S204至S211)并行地确定(S404、S405)车辆是否满足预定条件。然后,如果车辆不满足预定条件,则即使在测试模式的任意执行状态下,测试模式也容易强制结束。
[实施方式的操作和效果]
如上所述,在根据本发明的第一实施方式的信息收集方法中,提供以下测试模式:在该测试模式下,从目标电子控制装置20向作为收集装置的中心装置10提供车辆外部的装置不可知的车辆中同步计数器的计数值。然后,中心装置10基于从目标电子控制装置20提供的计数值生成消息认证码(第一MAC),目标电子控制装置20还基于计数值生成消息认证码(第二MAC),确定两个消息认证码的一致/不一致,并且确定向中心装置10发送攻击信息的可能性。
以这种方式,执行对根据相同计数值分别生成的消息认证码的比较,如果两个消息认证码彼此不一致,则可以确定目标电子控制装置20的消息认证码生成功能发生故障。因此,在这种情况下,存储在目标电子控制装置20的存储单元22中的攻击信息可能是在由于MAC生成单元24的电路故障等引起的认证处理出现异常时存储的信息。因此,这样的攻击信息不被发送至中心装置10,由此可以排除在由于电路故障等引起的认证处理出现异常时存储的攻击信息,并改进了中心装置10等对攻击信息的分析准确度。
仅在车辆处于为了确保安全性而预先确定的车辆状况的情况下,可以转换至测试模式。由此,中心装置10可以收集攻击信息,同时保持车辆的高安全性。
在根据本发明的第二实施方式的信息收集方法中,执行控制使得车辆在从测试模式的开始至结束的时段内不能行驶。使用该控制,可以防止在同步计数器停止且安全性弱的测试模式下车辆移动(行驶)到安全的经销商维护设施以外以及遭遇安全性攻击的危险。
在根据本发明的第三实施方式的信息收集方法中,在测试模式开始之后且在测试模式结束之前,在车辆不满足在从作为收集装置的中心装置10接收到测试模式开始请求时所满足的预定条件的情况下,测试模式强制结束。使用该控制,即使在同步计数器停止且安全性弱的测试模式下车辆移动(行驶)到经销商维护设施以外,也可以防止车辆在安全性弱的情况下遭遇安全性攻击的危险。
[修改示例]
在上述各个实施方式中,中心装置10已经被描述为从多个电子控制装置20收集攻击信息的收集装置。然而,收集装置可以是例如由经销商的技工使用的外部工具50,如服务工具。与图1和图2所示的中心装置10一样,外部工具50可以被连接以能够通过无线网络40与至少一个电子控制装置20进行通信。此外,如在图7所示的通信系统1'中,外部工具50可以通过以有线方式经由连接器线缆31等连接至车载网络30而被连接以能够与至少一个电子控制装置20进行通信。
本发明可用于多个电子控制装置通过网络被连接至诸如中心装置或外部工具的收集装置的通信系统中,并且用于在由收集装置从多个电子控制装置收集的攻击信息中排除在由于电路故障等引起认证处理异常时所存储的攻击信息。
Claims (7)
1.一种信息收集方法,所述信息收集方法在包括多个电子控制装置和收集装置的通信系统中被执行,所述多个电子控制装置被安装在车辆中,并且被配置成使用以预定方式更新的预定计数器的计数值来执行认证处理,以及在所述认证处理出现异常时存储攻击信息,所述收集装置被设置在所述车辆外部并且被配置成收集所述多个电子控制装置的攻击信息,所述信息收集方法的特征在于包括:
从所述收集装置向经历攻击信息获取的目标装置发送测试模式开始请求,所述目标装置是所述多个电子控制装置之一;
当所述目标装置从所述收集装置接收到所述测试模式开始请求时,确定所述车辆是否满足预定条件;以及
当确定所述车辆满足所述预定条件时,允许所述目标装置开始测试模式,
其中,在所述测试模式下,
停止所述计数器的操作,
将已停止的计数器的计数值发送至所述收集装置,
所述收集装置基于从所述目标装置接收的所述计数值来生成第一消息认证码,并且向所述目标装置发送具有所述第一消息认证码的攻击信息获取请求,
如果从所述收集装置接收到具有所述第一消息认证码的攻击信息获取请求,则所述目标装置基于所述已停止的计数器的计数值生成第二消息认证码,
所述目标装置确定所述第一消息认证码与所述第二消息认证码是否彼此一致,在所述第一消息认证码与所述第二消息认证码彼此一致的情况下,确定所述目标装置正常,并且所述目标装置将所述攻击信息发送至所述收集装置,以及
在所述第一消息认证码与所述第二消息认证码彼此不一致的情况下,所述目标装置确定所述目标装置不正常,并且在所述攻击信息被发送至所述收集装置之后或者在确定所述目标装置不正常之后,开始所述计数器的操作并结束所述测试模式。
2.根据权利要求1所述的信息收集方法,
其中,所述目标装置执行控制,使得安装有所述目标装置的所述车辆在从所述测试模式的开始至结束的时段内不能行驶。
3.根据权利要求2所述的信息收集方法,
其中,通过禁止发动机起动或禁止制动器释放来执行用于使所述车辆不能行驶的控制。
4.根据权利要求1所述的信息收集方法,
其中,当在所述测试模式开始之后并且在所述测试模式结束之前确定所述车辆不满足所述预定条件时,所述目标装置在所述确定时开始所述计数器的操作并且结束所述测试模式。
5.根据权利要求1所述的信息收集方法,
其中,所述预定条件是安全性高至被认为是安全的。
6.根据权利要求1所述的信息收集方法,
其中,所述预定条件是所述车辆停在特定地点。
7.一种通信系统,其特征在于包括:
多个电子控制装置,所述多个电子控制装置被安装在车辆中,并且被配置成使用以预定方式更新的预定计数器的计数值来执行认证处理,以及在所述认证处理出现异常时存储攻击信息;以及
收集装置,所述收集装置被设置在所述车辆外部并且被配置成收集所述多个电子控制装置的攻击信息,
其中,所述收集装置被配置成向经历攻击信息获取的目标装置发送测试模式开始请求,所述目标装置是所述多个电子控制装置之一,
所述目标装置被配置成:当从所述收集装置接收到所述测试模式开始请求时,确定所述车辆是否满足预定条件,当确定所述车辆满足所述预定条件时,开始测试模式以停止所述计数器的操作,并将已停止的计数器的计数值发送至所述收集装置,
所述收集装置被配置成基于从所述目标装置接收的所述计数值生成第一消息认证码并且向所述目标装置发送具有所述第一消息认证码的攻击信息获取请求,
所述目标装置被配置成:如果从所述收集装置接收到具有所述第一消息认证码的所述攻击信息获取请求,则基于所述已停止的计数器的计数值生成第二消息认证码,并且确定所述第一消息认证码与所述第二消息认证码是否彼此一致,
所述目标装置被配置成使得:在所述第一消息认证码与所述第二消息认证码彼此一致的情况下,所述目标装置确定所述目标装置正常,所述目标装置将所述攻击信息发送至所述收集装置,并且所述目标装置开始所述计数器的操作以结束所述测试模式,以及
所述目标装置被配置成使得:在所述第一消息认证码与所述第二消息认证码彼此不一致的情况下,所述目标装置确定所述目标装置不正常,并且所述目标装置开始所述计数器的操作以结束所述测试模式。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015-247446 | 2015-12-18 | ||
| JP2015247446 | 2015-12-18 | ||
| JP2016-191550 | 2016-09-29 | ||
| JP2016191550A JP6418217B2 (ja) | 2015-12-18 | 2016-09-29 | 通信システムで実行される情報集約方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106919163A CN106919163A (zh) | 2017-07-04 |
| CN106919163B true CN106919163B (zh) | 2019-08-06 |
Family
ID=59235026
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611162074.0A Expired - Fee Related CN106919163B (zh) | 2015-12-18 | 2016-12-15 | 通信系统和在通信系统中执行的信息收集方法 |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP6418217B2 (zh) |
| CN (1) | CN106919163B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11030310B2 (en) | 2017-08-17 | 2021-06-08 | Red Bend Ltd. | Systems and methods for disabling a malicious ECU in a controller area network (CAN) bus |
| CN109245895B (zh) * | 2018-02-06 | 2021-06-11 | 卡巴斯基实验室股份公司 | 用于检测受损数据的系统和方法 |
| JP7172321B2 (ja) * | 2018-09-12 | 2022-11-16 | トヨタ自動車株式会社 | 運転評価装置、運転評価システム、運転評価方法、及び運転評価用コンピュータプログラム |
| JP7139257B2 (ja) * | 2019-01-21 | 2022-09-20 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 車両セキュリティ監視装置、方法及びプログラム |
| CN111610771B (zh) * | 2019-02-26 | 2022-03-29 | 纬湃科技投资(中国)有限公司 | 车辆数据流的测试系统和方法 |
| JP7115442B2 (ja) * | 2019-08-21 | 2022-08-09 | トヨタ自動車株式会社 | 判定装置、判定システム、プログラム及び判定方法 |
| JP7156257B2 (ja) * | 2019-11-21 | 2022-10-19 | トヨタ自動車株式会社 | 車両通信装置、通信異常の判定方法及びプログラム |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1682219A (zh) * | 2002-08-26 | 2005-10-12 | 丰田自动车株式会社 | 信息提供方法、信息提供系统、信息提供装置和信息获取装置 |
| CN101443800A (zh) * | 2005-03-23 | 2009-05-27 | 道格拉斯·阿什博 | 分布式内容交换与显示系统 |
| CN103516727A (zh) * | 2013-09-30 | 2014-01-15 | 重庆电子工程职业学院 | 网络主动防御系统及其更新方法 |
| CN103716203A (zh) * | 2013-12-21 | 2014-04-09 | 华中科技大学 | 基于本体模型的网络化控制系统入侵检测方法及系统 |
| CN104135470A (zh) * | 2014-07-11 | 2014-11-05 | 宇龙计算机通信科技(深圳)有限公司 | 一种对目标数据的存储完整性进行验证的方法及系统 |
| CN104333595A (zh) * | 2014-11-11 | 2015-02-04 | 深圳小蛋科技有限公司 | 信息传输方法和系统 |
| US9194948B1 (en) * | 2010-12-15 | 2015-11-24 | The Boeing Company | Method and apparatus for providing a dynamic target impact point sweetener |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005041440A (ja) * | 2003-07-25 | 2005-02-17 | Toyota Motor Corp | 車両情報出力方法および車両システム |
| JP2005165541A (ja) * | 2003-12-01 | 2005-06-23 | Oki Electric Ind Co Ltd | 被害判定装置、被害解析装置、被害判別システム、被害判定プログラム及び被害解析プログラム |
| JP2005354344A (ja) * | 2004-06-10 | 2005-12-22 | Nissan Motor Co Ltd | 故障診断装置および方法 |
| US20150052253A1 (en) * | 2014-09-22 | 2015-02-19 | Weaved, Inc. | Multi-server fractional subdomain dns protocol |
| JP5900007B2 (ja) * | 2012-02-20 | 2016-04-06 | 株式会社デンソー | 車両用データ通信認証システム及び車両用ゲートウェイ装置 |
-
2016
- 2016-09-29 JP JP2016191550A patent/JP6418217B2/ja active Active
- 2016-12-15 CN CN201611162074.0A patent/CN106919163B/zh not_active Expired - Fee Related
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1682219A (zh) * | 2002-08-26 | 2005-10-12 | 丰田自动车株式会社 | 信息提供方法、信息提供系统、信息提供装置和信息获取装置 |
| CN101443800A (zh) * | 2005-03-23 | 2009-05-27 | 道格拉斯·阿什博 | 分布式内容交换与显示系统 |
| US9194948B1 (en) * | 2010-12-15 | 2015-11-24 | The Boeing Company | Method and apparatus for providing a dynamic target impact point sweetener |
| CN103516727A (zh) * | 2013-09-30 | 2014-01-15 | 重庆电子工程职业学院 | 网络主动防御系统及其更新方法 |
| CN103716203A (zh) * | 2013-12-21 | 2014-04-09 | 华中科技大学 | 基于本体模型的网络化控制系统入侵检测方法及系统 |
| CN104135470A (zh) * | 2014-07-11 | 2014-11-05 | 宇龙计算机通信科技(深圳)有限公司 | 一种对目标数据的存储完整性进行验证的方法及系统 |
| CN104333595A (zh) * | 2014-11-11 | 2015-02-04 | 深圳小蛋科技有限公司 | 信息传输方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6418217B2 (ja) | 2018-11-07 |
| JP2017118487A (ja) | 2017-06-29 |
| CN106919163A (zh) | 2017-07-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106919163B (zh) | 通信系统和在通信系统中执行的信息收集方法 | |
| CN110226310B (zh) | 电子控制装置、不正当检测服务器、车载网络系统、车载网络监视系统以及方法 | |
| JP7492622B2 (ja) | 車両異常検知サーバ、車両異常検知システム及び車両異常検知方法 | |
| US11570184B2 (en) | In-vehicle network system, fraud-detection electronic control unit, and fraud-detection method | |
| US10992688B2 (en) | Unauthorized activity detection method, monitoring electronic control unit, and onboard network system | |
| JP7194184B2 (ja) | コネクテッド車両サイバー・セキュリティのためのシステム及び方法 | |
| US20220179644A1 (en) | Vehicle electronic control system, vehicle master device, and rewrite instruction program product under specific mode | |
| JP5999178B2 (ja) | 車両用ネットワークの通信管理装置及び通信管理方法 | |
| CN106603620B (zh) | 车载记录系统以及车载控制装置 | |
| CN112437056B (zh) | 安全处理方法以及服务器 | |
| US10178094B2 (en) | Communication system and information collection method executed in communication system | |
| WO2017119027A1 (ja) | 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム | |
| EP3623971A1 (en) | Information processing device and anomaly response method | |
| JP2013060047A (ja) | 車両用ネットワークシステム及び車両用情報処理方法 | |
| WO2021039851A1 (ja) | 異常車両検出サーバおよび異常車両検出方法 | |
| US11941384B2 (en) | Vehicle master device, rewrite target group administration method, computer program product and data structure of specification data | |
| JP2020123307A (ja) | セキュリティ装置、攻撃特定方法、及びプログラム | |
| JP6483461B2 (ja) | 管理方法、管理プログラム、管理装置、管理システムおよび情報処理方法 | |
| JP7318710B2 (ja) | セキュリティ装置、インシデント対応処理方法、プログラム、及び記憶媒体 | |
| Yang | Framework of Electric Vehicle Fault Diagnosis System Based on Diagnostic Communication | |
| JP7160206B2 (ja) | セキュリティ装置、攻撃対応処理方法、コンピュータプログラム、及び記憶媒体 | |
| WO2020158118A1 (ja) | セキュリティ装置、攻撃特定方法、プログラム、及び記憶媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190806 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |