CN112825500B - 车辆通信装置、通信异常的判定方法以及记录介质 - Google Patents

车辆通信装置、通信异常的判定方法以及记录介质 Download PDF

Info

Publication number
CN112825500B
CN112825500B CN202011277708.3A CN202011277708A CN112825500B CN 112825500 B CN112825500 B CN 112825500B CN 202011277708 A CN202011277708 A CN 202011277708A CN 112825500 B CN112825500 B CN 112825500B
Authority
CN
China
Prior art keywords
data
vehicle
state
communication device
abnormal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011277708.3A
Other languages
English (en)
Other versions
CN112825500A (zh
Inventor
坂野将秀
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Publication of CN112825500A publication Critical patent/CN112825500A/zh
Application granted granted Critical
Publication of CN112825500B publication Critical patent/CN112825500B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Small-Scale Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明涉及车辆通信装置、通信异常的判定方法以及记录有程序的记录介质。车辆通信装置具备:接收部,接收第一数据以及与上述第一数据不同的第二数据;生成部,基于接收到的上述第一数据与加密密钥来生成第三数据;认证部,将上述第二数据与上述第三数据进行比较,在两者一致的情况下认证上述第一数据;以及判定部,将针对车辆启动后的规定期间内的上述接收进行了多次的上述比较的结果是上述第二数据与上述第三数据在所有次中都不一致的情况判定为装置异常状态,将上述多次的上述比较的结果包含上述一致的情况判定为装置工作状态。

Description

车辆通信装置、通信异常的判定方法以及记录介质
技术领域
本公开涉及车辆通信装置、通信异常的判定方法以及记录有程序的记录介质。
背景技术
在日本特开2018-074435号公报中公开了一种车辆的通信装置,该车辆的通信装置接收消息所涉及的第一数据和根据第一数据生成的作为识别符的第二数据,基于接收到的第一数据与所拥有的加密密钥来生成第三数据,将第二数据与第三数据进行比照来进行第一数据的认证。
在日本特开2018-074435号公报的通信装置中,由于在第一数据的认证失败的情况下,无法判别其原因是骇客等的攻击引起的还是装置的故障等非攻击引起的异常,所以存在无法进行适当的处置的担忧。
发明内容
本公开的目的在于,提供在接收时的数据认证失败了的情况下能够判别为原因并非骇客等的攻击而是装置存在异常的车辆通信装置、通信异常的判定方法以及记录有程序的记录介质。
第1方式涉及车辆通信装置,具备:接收部,接收第一数据以及与上述第一数据不同的第二数据;生成部,基于接收到的上述第一数据和加密密钥来生成第三数据;认证部,将上述第二数据与上述第三数据进行比较,在两者一致的情况下认证上述第一数据;以及判定部,将针对车辆启动后的规定期间内的上述接收进行了多次的上述比较的结果是上述第二数据与上述第三数据在所有次中都不一致的情况判定为装置异常状态,将上述多次的上述比较的结果是包含上述一致的情况判定为装置工作状态。
对于第1方式的车辆通信装置而言,若在接收部中接收到第一数据与第二数据,则生成部基于第一数据与加密密钥来生成第三数据。例如,第二数据以及第三数据相当于MAC(Message Authentication Code:消息认证码)。而且,在该车辆通信装置中,认证部对第二数据与第三数据的一致和不一致进行比较,在一致的情况下认证第一数据。并且,在由判定部针对车辆启动后的规定期间内的接收进行了多次的比较的结果是全部不一致的情况下,判定部判定为表示装置存在异常的装置异常状态,在包含一致的情况下,判定部判定为表示装置不存在异常的装置工作状态。
从在车辆刚刚启动之后的时机受到骇客等的攻击的概率低考虑,在车辆启动后的规定期间内的认证全部失败的情况下,能够视为装置异常。因此,根据该车辆通信装置,在接收时的数据认证失败了的情况下,能够判别为装置存在异常。
第2方式的车辆通信装置在第1方式的车辆通信装置的基础上,其特征在于,上述判定部将上述多次的上述比较的结果包含上述一致与上述不一致两方的情况判定为攻击状态。
在第2方式的车辆通信装置中,当多次比较的结果包含一致与不一致两方的情况下,判定为装置工作状态中的攻击状态。根据该车辆通信装置,由于进行了多次的比较的结果并非全部不一致,所以装置不存在异常,对于在非异常的装置中比较的结果不一致的通信而言,能够判别为原因在于骇客等的攻击。
第3方式的车辆通信装置在第1方式的车辆通信装置的基础上,其特征在于,上述判定部将上述多次的上述比较的结果包含规定次数的上述一致且包含上述不一致的情况判定为攻击状态,将上述第一数据因上述加密密钥的偶然的一致而被认证上述规定次数的概率设定为低于预先设定的装置的故障率的次数。
在第3方式的车辆通信装置中,以加密密钥偶然一致而第一数据被认证规定次数的概率低于预先设定的装置的故障率的方式设定规定次数的值。因此,即便加密密钥偶然一致而第一数据被认证,如果被认证的次数未达到规定次数,则也不立即判定为不存在骇客等的攻击。因此,根据该车辆通信装置,能够使针对装置异常状态的判定的精度提高。
第4方式的车辆通信装置在第一~第三方式中的任意一个方式的车辆通信装置的基础上,其特征在于,在上述比较的结果为上述不一致的情况下,放弃接收到的上述第一数据。
根据第4方式的车辆通信装置,通过放弃故障的情况下或受到攻击的情况下的第一数据,能够抑制车辆的误控制。
第5方式涉及通信异常的判定方法,包括:接收处理,接收第一数据和与上述第一数据不同的第二数据;生成处理,基于接收到的上述第一数据和加密密钥来生成第三数据;认证处理,将上述第二数据与上述第三数据进行比较,在两者一致的情况下认证上述第一数据;以及判定处理,将针对车辆启动后的规定期间内的上述接收进行了多次的上述比较的结果是上述第二数据与上述第三数据在所有次中都不一致的情况判定为装置异常状态,将上述多次的上述比较的结果包含上述一致的情况判定为装置工作状态。
对于第5方式的通信异常的判定方法而言,若在接收处理中接收到第一数据与第二数据,则在生成处理中基于第一数据与加密密钥来生成第三数据。如上述那样,第二数据以及第三数据可例示MAC。而且,在认证处理中比较第二数据与第三数据的一致和不一致,在一致的情况下认证第一数据。并且,在判定处理中,当针对车辆启动后的规定期间内的上述接收进行了多次的比较的结果全部为不一致的情况下,判定为表示装置存在异常的装置异常状态,在包含一致的情况下,判定为表示装置不存在异常的装置工作状态。
如上述那样,根据该通信异常的判定方法,在接收时的数据认证失败了的情况下,能够判别为装置存在异常。
第6方式涉及记录有程序的非暂时性记录介质。该程序使计算机执行包括下述处理的处理:接收处理,接收第一数据以及与上述第一数据不同的第二数据;生成处理,基于接收到的上述第一数据与加密密钥来生成第三数据;认证处理,将上述第二数据与上述第三数据进行比较,在两者一致的情况下认证上述第一数据;以及判定处理,将针对车辆启动后的规定期间内的上述接收进行了多次的上述比较的结果是上述第二数据与上述第三数据在所有次中都不一致的情况判定为装置异常状态,将上述多次的上述比较的结果包含上述一致的情况判定为装置工作状态。
记录于第6方式的非暂时性记录介质的程序使计算机执行如下的处理。若在接收处理中接收到第一数据与第二数据,则在生成处理中基于第一数据与加密密钥来生成第三数据。如上述那样,第二数据以及第三数据可例示MAC。而且,在认证处理中比较第二数据与第三数据的一致和不一致,在一致的情况下认证第一数据。并且,在判定处理中,当针对车辆启动后的规定期间内的上述接收进行了多次的比较的结果全部为不一致的情况下,判定为表示装置存在异常的装置异常状态,在包含一致的情况下,判定为表示装置不存在异常的装置工作状态。
如上述那样,根据该程序,在接收时的数据认证失败了的情况下,能够判别为装置存在异常。
根据本公开,在接收时的数据认证失败了的情况下,能够判别为原因并非骇客等的攻击而是装置存在异常。
附图说明
基于以下的附图详细描述本公开的示例性实施方式,其中:
图1是表示实施方式所涉及的车辆通信系统的简要结构的图;
图2是表示实施方式的ECU的硬件结构的框图;
图3是表示实施方式的ROM的结构的例子的框图;
图4是表示实施方式的CPU的功能结构的例子的框图;
图5是对发送侧以及接收侧的ECU中的数据的流动进行说明的图;
图6是表示发送侧的ECU中的处理的流程的流程图;
图7是表示接收侧的ECU中的处理的流程的流程图。
具体实施方式
(通信系统)
图1是表示实施方式所涉及的车辆通信系统12的简要结构的框图。如图1所示,本实施方式所涉及的车辆通信系统12构成为包括作为车辆通信装置的多个ECU(ElectronicControl Unit)10和作为将多个ECU10彼此连接的通信路的总线14。本实施方式的车辆通信系统12例如形成为将设置于车辆11的各ECU10连接的网络。
图1中图示了ECU10A、ECU10B以及ECU10C这3个ECU10。ECU10A相当于主ECU。另外,ECU10B、10C相当于从ECU。在以下的说明中,假设ECU10A为发送通信帧的发送侧的ECU10、且ECU10B、10C为接收通信帧的接收侧的ECU10来进行说明。此外,在总线14可以连接有更多的ECU10而不局限于ECU10A、10B以及10C。另外,本实施方式的车辆通信系统12采用了总线型的总线构造,但并不局限于此,也可以采用星型、环型、线型(菊花链连接(daisy chain))的总线构造。
在本实施方式的车辆通信系统12中,用于进行ECU10彼此的通信的通信方式采用了CAN(Controller Area Network:控制器局域网络)协议或者通信速度比CAN协议高速的CAN-FD(CAN With Flexible Data Rate:具有灵活数据速率的CAN)协议。此外,通信方式并不局限于此,也可以采用以太网(注册商标)等LAN标准。
(ECU)
如图2所示,本实施方式的ECU10构成为包括微控制器20和CAN收发器(Transceiver)30。微控制器20构成为包括CPU(Central Processing Unit)22、ROM(ReadOnly Memory)24、RAM(Random Access Memory)26以及CAN控制器28。
CPU22是中央运算处理单元,执行各种程序、控制各部。即,CPU22从ROM24读出程序,将RAM26作为作业区域来执行程序。CPU22是处理器的一个例子。在本实施方式中,在ROM24存储有执行程序100(参照图3)。
作为存储部的ROM24存储有各种程序以及各种数据。如图3所示,ROM24存储有执行程序100、密钥数据110、消息数据120以及代码数据130。密钥数据110中存储有用于生成MAC(Message Authentication Code:消息认证代码)的加密密钥52(参照图5)的数据。消息数据120中存储有ECU10发送或者接收到的消息62(参照图5)。代码数据130中存储有表示装置的故障的DTC(Diagnostic Trouble Code:诊断故障码)以及表示通信的异常的Rob(Recordof Behavior:行为记录)码。
RAM26作为作业区域而暂时存储程序或者数据。
CAN控制器28实现CAN协议以及CAN-FD协议所涉及的功能,例如通信调解、错误检查等功能。
CAN收发器30与微控制器20以及总线14连接,具有将从微控制器20输入的通信帧发送至总线14、将由总线14转送的通信帧输入至微控制器20的功能。
图4是表示ECU10的功能结构的例子的框图。如图4所示,ECU10具有发送部200、接收部210、生成部220、认证部230、判定部240、信息处理部250以及计时器260。各功能结构通过CPU22读出存储于ROM24的执行程序100并执行来实现。
发送部200具有朝向其他ECU10发送通信帧的功能。
接收部210具有从其他ECU10接收通信帧的功能。基于CAN协议或者CAN-FD协议的通信方式来控制本实施方式的发送部200以及接收部210。因此,通信帧包含CANID以及通信数据60。如图5所示,通信数据60包含消息62和根据该消息62生成的MAC64。
生成部220具有使用加密密钥52从规定的数据生成MAC64的功能。发送侧的ECU10中的生成部220基于从搭载于车辆11的传感器、通信装置输入的传送数据50和加密密钥52来执行运算处理而生成MAC64。接收侧的ECU10中的生成部220基于从发送侧的ECU10接收到的消息62和加密密钥52执行运算处理来生成验证用MAC66。本实施方式的加密密钥52可使用在发送侧与接收侧共通的共通密钥。消息62是第一数据的一个例子,MAC64是第二数据的一个例子,验证用MAC66是第三数据的一个例子。
认证部230具有对消息62进行认证的功能。认证部230将接收到的通信数据60所包含的MAC64和与根据接收到的消息62生成的验证用MAC66进行比较并在一致的情况下认证消息62。
判定部240具有对ECU10中的通信的状态为正常状态、攻击状态以及装置异常状态中的哪个状态进行判定的功能。正常状态是表示为ECU10不存在异常且ECU10中的通信正常的状态。攻击状态是表示为虽然ECU10不存在异常但ECU10正受到骇客等的安全攻击的状态。装置异常状态是表示为由于ECU10的通信功能发生故障或者加密密钥52不一致所以ECU10存在异常的状态。这里,表述为装置工作状态的情况包括正常状态以及攻击状态。
本实施方式的判定部240根据针对在车辆11启动后的规定期间内接收到的通信数据60的MAC64与验证用MAC66的比较结果来判定通信的状态。具体而言,当针对在规定期间内接收到的通信数据60的多次比较的结果为MAC64与验证用MAC66全部一致的情况下,判定部240判定为装置工作状态中的正常状态。另外,当针对在规定期间内接收到的通信数据60的多次比较的结果是MAC64与验证用MAC66的一致为规定次数以上且包含不一致的情况下,判定部240判定为装置工作状态中的攻击状态。并且,当针对在规定期间内接收到的通信数据60的多次比较的结果是MAC64与验证用MAC66全部不一致的情况下,判定部240判定为装置异常状态。
这里,本实施方式中的“规定期间”是指从ECU10启动起直至认证所涉及的装置(例如生成部220以及认证部230)的准备完成为止所需的时间。另外,“规定次数”的定义如下所述。将消息62因MAC64与验证用MAC66偶然一致而被认证规定次数的概率设定为低于ASIL(Automotive Safety Integrity Leve:汽车安全完整性等级)的D级故障率的次数。ASIL的D级故障率相当于本公开的“预先设定的装置的故障率”。
信息处理部250具有对从其他ECU10、各部的传感器取得的消息62进行处理的功能。例如,在ECU10是使车辆11的信息显示的仪表ECU的情况下,信息处理部250能够基于接收到的消息62使仪表面板显示信息。另外,信息处理部250将认证失败的消息62从ROM24或者RAM26消除。
计时器260具有计时时间的功能。本实施方式的计时器260对从ECU10启动起的规定期间进行计数。
(作用)
接下来,使用图6以及图7的流程图,对在本实施方式中从ECU10A朝向ECU10B以及ECU10C发送通信数据60的情况下由各ECU10执行的处理的流程进行说明。其中,在从ECU10B朝向ECU10A以及ECU10C发送通信数据60的情况、从ECU10C朝向ECU10A以及ECU10B发送通信数据60的情况下,也能够执行同样的处理。
在发送侧的ECU10A中,通过CPU22执行基于以下的各步骤的处理。
在图6的步骤S100中,CPU22取得传送数据50。所取得的传送数据50成为通信数据60所包含的消息62(参照图5)。
在步骤S101中,CPU22生成MAC64,并且将MAC64赋予给消息62。即,CPU22进行基于传送数据50以及加密密钥52的运算处理来生成MAC64,将所生成的MAC64赋予至消息62的低位(lower bits)(参照图5)。
在步骤S102中,CPU22将包含消息62以及MAC64的通信数据60发送至接收侧的ECU10。
在步骤S103中,CPU22进行是否经过了规定期间的判定。在本实施方式的车辆通信系统12中,为了防止接收侧的ECU10中的通信数据60的漏取(dropping),在规定期间内发送相同的通信数据60。在判定为经过了规定期间的情况下,CPU22返回至步骤S100。另一方面,在判定为未经过规定期间的情况下,CPU22返回至步骤S102。即,反复进行在经过规定期间之前发送现有的通信数据60、若经过规定期间则发送新的通信数据60的处理。
接着,在接收侧的ECU10B以及ECU10C中,通过CPU22执行通信异常的判定方法亦即通信异常判定处理。
在图7的步骤S200中,CPU22从发送侧的ECU10接收通信数据60。
在步骤S201中,CPU22对从各ECU10启动起是否经过了规定期间进行判定。即,CPU22对从ECU10启动起是否经过了足以完成认证的准备的时间进行判定。在判定为从各ECU10启动起经过了规定期间的情况下,CPU22进入至步骤S202。另一方面,在判定为从各ECU10启动起未经过规定期间的情况下,CPU22返回至步骤S200。即,在从各ECU10启动起至经过规定期间为止,CPU22重复多次通信数据60的接收。接收到的通信数据60被暂时存储于ROM24或者RAM26。
在步骤S202中,CPU22执行认证处理。即,CPU22进行基于消息62以及加密密钥52的运算处理来生成验证用MAC66,并将该验证用MAC66与通信数据60所包含的MAC64进行比较(参照图5)。对接收到的通信数据60全部执行该认证处理。
以下,在步骤S203~S205中,进行基于MAC64与验证用MAC66的比较结果的状态的判定。
在步骤S203中,CPU22对消息62的认证是否全部成功进行判定。即,CPU22对多次认证处理的结果是否是MAC64与验证用MAC66在所有次中都一致进行判定。在判定为认证全部成功的情况下,CPU22使通信异常判定处理结束。该情况下的各ECU10间的通信是装置工作状态中的正常状态。另一方面,在判定为认证并非全部成功的情况下,CPU22进入至步骤S204。
在步骤S204中,CPU22对是否认证成功规定次数以上且包含失败进行判定。即,CPU22对多次认证处理的结果是否是MAC64与验证用MAC66一致的情况存在规定次数以上且包含MAC64与验证用MAC66不一致的情况进行判定。在判定为认证成功规定次数以上且包含失败的情况下,CPU22使通信异常判定处理结束。该情况下的各ECU10间的通信是装置工作状态中的攻击状态。另一方面,在认证并未成功规定次数以上且不包含失败、即判定为认证的成功不足规定次数的情况下,CPU22进入至步骤S205。
在步骤S205中,CPU22对认证是否全部失败进行判定。即,CPU22对多次认证处理的结果是否是MAC64与验证用MAC66在所有次中都不一致进行判定。在判定为认证全部失败的情况下,CPU22进入至步骤S206。该情况下的各ECU10间的通信是装置异常状态。另一方面,在判定为认证并非全部失败的情况下,CPU22使通信异常判定处理结束。
在步骤S206中,CPU22将Rob代码保存至ROM24。即,CPU22将表示为通信存在异常的代码存储于代码数据130。然后,结束通信异常判定处理。
(总结)
本实施方式的车辆通信系统12通过设置于车辆11的多个ECU10相互连接而构成。在发送侧的ECU10中,通过对所取得的传送数据50与ECU10所拥有的加密密钥52进行运算处理来生成MAC64,并将生成的MAC64赋予至基于传送数据50的消息62,作为通信数据60发送至其他ECU10。另一方面,在接收侧的ECU10中,通过对接收到的通信数据60所包含的消息62与ECU10所拥有的加密密钥52进行运算处理来生成验证用MAC66,并与接收到的MAC64进行比较。然后,接收侧的ECU10在MAC64与验证用MAC66一致的情况下认证消息62。
在本实施方式的ECU10中,根据针对在车辆11启动后的规定期间内接收到的多个通信数据60的MAC64与验证用MAC66的比较结果,来判定ECU10的通信状态。如上述那样,“规定期间”设想了从ECU10启动起直至认证所涉及的装置的准备完成为止所需的时间。通过在认证所涉及的装置的准备完成为止的规定期间内停止认证处理,可避免因MAC64、验证用MAC66的生成失败等引起的认证的失败。因此,在规定期间内接收到的通信数据60被暂时存储于ROM24或者RAM26,在经过规定期间后执行认证处理(参照图7)。
而且,当在规定期间内接收到的通信数据60中的全部的消息62的认证成功了的情况下、即当MAC64与验证用MAC66的多次比较的结果全部一致的情况下,判定为ECU10间的通信状态为正常状态。
另外,当在规定期间内接收到的通信数据60中的全部的消息62的认证都失败的情况下、即当MAC64与验证用MAC66的多次比较的结果全部不一致的情况下,判定为ECU10间的通信状态为装置异常状态。与如服务器那样电源总是接通的情况不同,在车辆11刚刚启动之后、即在ECU10的电源刚刚接通之后的时机,受到骇客等的攻击的可能性很低。因此,在车辆11启动后的规定期间内的认证全部失败的情况下,能够视为是ECU10异常。根据本实施方式,在接收时的数据认证失败了的情况下,能够判别为ECU10存在异常。
并且,当在规定期间内接收到的通信数据60中的规定次数以上的消息62的认证成功且包含认证失败的情况下、即当MAC64与验证用MAC66的多次比较的结果是一致为规定次数以上且包含不一致的情况下,判定为ECU10间的通信状态为攻击状态。由于进行过多次的比较结果并非全部不一致,所以ECU10存在异常。因此,能够判别为非异常的ECU10中的认证失败的通信的原因在于骇客等的攻击。
另外,在本实施方式中,将消息62因收发侧两方的ECU10中的加密密钥52偶然一致而被认证规定次数的概率设定为低于ASIL的D级故障率的次数。因此,即便加密密钥52偶然一致而消息62被认证,如果被认证的次数未达到规定次数,则也不立即判定为不存在骇客等的攻击。因此,根据本实施方式,能够使针对装置异常状态的判定的精度提高。
在本实施方式的ECU10中,在认证失败了的情况下将Rob代码存储于ROM24或者RAM26。另外,在ECU10发生了故障的情况下,将DTC存储于ROM24或者RAM26。因此,在装置异常状态的情况下,通过读入所存储的Rob代码以及DTC,能够探查ECU10的异常的原因。
具体而言,当在装置异常状态的情况下仅存储有Rob代码的情况下,能够掌握为加密密钥52在发送侧的ECU10与接收侧的ECU10不同。例如,经销商(Dealer)等忘记了收发侧的任意的ECU10中的加密密钥52的更新的情况符合仅存储有Rob代码的情况。另外,当在装置异常状态的情况下存储有Rob代码以及DTC两方的情况下,能够掌握为ECU10发生了物理故障。例如,发送侧的ECU10中生成MAC64的运算器发生了故障的情况符合存储有Rob代码以及DTC两方的情况。
根据本实施方式,通过确认存储于接收侧的ECU10的代码,能够确定为ECU10发生了物理故障。因此,能够防止在只要进行加密密钥52的更新就能够消除通信的异常的情况下将ECU10更换那样的误更换。
另外,在本实施方式中,由于故障的情况下、受到攻击的情况下的消息62被放弃,所以能够抑制车辆11的误控制。
(备注)
此外,在上述实施方式中,CPU22读入软件(程序)而执行的各种处理也可以由CPU以外的各种处理器执行。作为该情况下的处理器,可例示FPGA(Field-Programmable GateArray)等在制造后能够变更电路结构的PLD(Programmable Logic Device)、以及ASIC(Application Specific Integrated Circuit)等具有为了执行特定的处理而被设计为专用的电路结构的处理器亦即专用电路等。另外,上述的处理可以由这些各种处理器中的1个执行,也可以由同种或者不同种的2个以上处理器的组合(例如多个FPGA、以及CPU与FPGA的组合等)来执行。另外,这些各种处理器的硬件构造更具体是将半导体元件等电路元件组合而成的电路。
另外,在上述实施方式中,程序以预先被存储(安装)于计算机能够读取的非暂时记录介质的方式进行了说明。例如,执行程序100预先被存储于ROM24。然而并不局限于此,执行程序100也可以以记录于CD-ROM(Compact Disc Read Only Memory)、DVD-ROM(Digital Versatile Disc Read Only Memory)以及USB(Universal Serial Bus)存储器等非暂时记录介质的方式来提供。另外,执行程序100也可以是经由网络从外部装置下载的方式。
上述实施方式中说明的处理的流程只是一个例子,可以在不脱离主旨的范围内删除不需要的步骤、追加新的步骤、更换处理顺序。

Claims (6)

1.一种车辆通信装置,其中,具备:
接收部,接收多个第一数据以及与所述多个第一数据的每一个对应的多个第二数据;
生成部,基于接收到的所述多个第一数据的每一个与加密密钥来生成多个第三数据;
认证部,收集由在车辆的启动后的规定期间内接收到的多个第二数据构成的组,将该由在车辆的启动后的规定期间内接收到的多个第二数据构成的组中的第二数据的每一个与对应的多个第三数据的每一个进行比较,来认证对应的多个第一数据;以及
判定部,作为由在车辆的启动后的规定期间内接收到的多个第二数据构成的组中的第二数据的每一个与对应的多个第三数据的每一个的多次的比较结果,在全部不一致的情况下,判定为车辆是装置异常状态,在一致为规定次数以上且包括不一致的情况下,判定为车辆处于攻击状态,在全部一致的情况下,判定为车辆是正常状态,
所述正常状态是表示为车辆通信装置不存在异常且车辆通信装置中的通信正常的状态,所述攻击装置是表示为虽然车辆通信装置不存在异常但车辆通信装置正受到骇客的安全攻击的状态,所述装置异常状态是表示为由于车辆通信装置的通信功能发生故障或者加密密钥不一致所以车辆通信装置存在异常的状态。
2.根据权利要求1所述的车辆通信装置,其中,
在所述比较的结果为所述不一致的情况下,放弃接收到的所述第一数据。
3.根据权利要求1或2所述的车辆通信装置,其中,
在所述判定部判定为所述装置异常状态的情况下,将表示为存在异常的代码存储于存储部。
4.根据权利要求3所述的车辆通信装置,其中,
所述代码包含诊断故障码以及表示通信的异常的行为记录码。
5.一种通信异常的判定方法,其中,包括:
接收处理,接收多个第一数据以及与所述多个第一数据的每一个对应的多个第二数据;
生成处理,基于接收到的所述多个第一数据的每一个与加密密钥来生成多个第三数据;
认证处理,收集由在车辆的启动后的规定期间内接收到的多个第二数据构成的组,将该由在车辆的启动后的规定期间内接收到的多个第二数据构成的组中的第二数据的每一个与对应的多个第三数据的每一个进行比较,来认证对应的多个第一数据;以及
判定处理,作为由在车辆的启动后的规定期间内接收到的多个第二数据构成的组中的第二数据的每一个与对应的多个第三数据的每一个的多次的比较结果,在全部不一致的情况下,判定为车辆是装置异常状态,在一致为规定次数以上且包括不一致的情况下,判定为车辆处于攻击状态,在全部一致的情况下,判定为车辆是正常状态,
所述正常状态是表示为车辆通信装置不存在异常且车辆通信装置中的通信正常的状态,所述攻击装置是表示为虽然车辆通信装置不存在异常但车辆通信装置正受到骇客的安全攻击的状态,所述装置异常状态是表示为由于车辆通信装置的通信功能发生故障或者加密密钥不一致所以车辆通信装置存在异常的状态。
6.一种非暂时性记录介质,其中,记录有用于使计算机执行包括下述处理的处理的程序:
接收处理,接收多个第一数据以及与所述多个第一数据的每一个对应的多个第二数据;
生成处理,基于接收到的所述多个第一数据的每一个与加密密钥来生成多个第三数据;
认证处理,收集由在车辆的启动后的规定期间内接收到的多个第二数据构成的组,将该由在车辆的启动后的规定期间内接收到的多个第二数据构成的组中的第二数据的每一个与对应的多个第三数据的每一个进行比较,来认证对应的多个第一数据;以及
判定处理,作为由在车辆的启动后的规定期间内接收到的多个第二数据构成的组中的第二数据的每一个与对应的多个第三数据的每一个的多次的比较结果,在全部不一致的情况下,判定为车辆是装置异常状态,在一致为规定次数以上且包括不一致的情况下,判定为车辆处于攻击状态,在全部一致的情况下,判定为车辆是正常状态,
所述正常状态是表示为车辆通信装置不存在异常且车辆通信装置中的通信正常的状态,所述攻击装置是表示为虽然车辆通信装置不存在异常但车辆通信装置正受到骇客的安全攻击的状态,所述装置异常状态是表示为由于车辆通信装置的通信功能发生故障或者加密密钥不一致所以车辆通信装置存在异常的状态。
CN202011277708.3A 2019-11-21 2020-11-16 车辆通信装置、通信异常的判定方法以及记录介质 Active CN112825500B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2019210746A JP7156257B2 (ja) 2019-11-21 2019-11-21 車両通信装置、通信異常の判定方法及びプログラム
JP2019-210746 2019-11-21

Publications (2)

Publication Number Publication Date
CN112825500A CN112825500A (zh) 2021-05-21
CN112825500B true CN112825500B (zh) 2024-05-03

Family

ID=73452139

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011277708.3A Active CN112825500B (zh) 2019-11-21 2020-11-16 车辆通信装置、通信异常的判定方法以及记录介质

Country Status (4)

Country Link
US (1) US11895127B2 (zh)
EP (1) EP3825889A1 (zh)
JP (1) JP7156257B2 (zh)
CN (1) CN112825500B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3975455A1 (en) * 2020-09-23 2022-03-30 Bayerische Motoren Werke Aktiengesellschaft Determining correctness of actually received timestamp
JP7380530B2 (ja) 2020-11-13 2023-11-15 トヨタ自動車株式会社 車両通信システム、通信方法及び通信プログラム

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106919163A (zh) * 2015-12-18 2017-07-04 丰田自动车株式会社 通信系统和在通信系统中执行的信息收集方法
JP2018014558A (ja) * 2016-07-19 2018-01-25 株式会社デンソー 通信装置

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5333501B2 (ja) * 2011-03-31 2013-11-06 株式会社デンソー 車両の挙動データ記憶制御システム及び記憶装置
JP5770602B2 (ja) * 2011-10-31 2015-08-26 トヨタ自動車株式会社 通信システムにおけるメッセージ認証方法および通信システム
JP5838998B2 (ja) * 2013-05-24 2016-01-06 株式会社デンソー 異常診断システム
US9286736B2 (en) * 2013-12-16 2016-03-15 Manish Punjabi Methods and systems of vehicle telematics enabled customer experience
US9425963B2 (en) 2014-03-21 2016-08-23 GM Global Technology Operations LLC Securing electronic control units using message authentication codes
CN110406485B (zh) * 2014-04-17 2023-01-06 松下电器(美国)知识产权公司 非法检测方法及车载网络系统
JP6079768B2 (ja) 2014-12-15 2017-02-15 トヨタ自動車株式会社 車載通信システム
JP6420176B2 (ja) * 2015-02-26 2018-11-07 ルネサスエレクトロニクス株式会社 通信システムおよび通信装置
DE102016124352A1 (de) * 2015-12-18 2017-06-22 Toyota Jidosha Kabushiki Kaisha Kommunikationssystem und ein in dem Kommunikationssystem ausgeführtes Informationssammelverfahren
WO2017127639A1 (en) 2016-01-20 2017-07-27 The Regents Of The University Of Michigan Exploiting safe mode of in-vehicle networks to make them unsafe
JP2017192105A (ja) 2016-04-15 2017-10-19 株式会社東芝 冗長化処理装置、および、異常判定方法
JP6814549B2 (ja) 2016-04-27 2021-01-20 日立オートモティブシステムズ株式会社 演算装置、認証システム、認証方法
US20180107473A1 (en) * 2016-10-13 2018-04-19 GM Global Technology Operations LLC Determining whether to install a vehicle system update in a vehicle
JP6409849B2 (ja) 2016-10-31 2018-10-24 トヨタ自動車株式会社 通信システム及び通信方法
JP2018133744A (ja) * 2017-02-16 2018-08-23 パナソニックIpマネジメント株式会社 通信システム、車両、および監視方法
US20180310173A1 (en) * 2017-04-25 2018-10-25 Kabushiki Kaisha Toshiba Information processing apparatus, information processing system, and information processing method
JP2019173693A (ja) * 2018-03-29 2019-10-10 株式会社Subaru 油温センサ診断装置
DE112019006487B4 (de) 2018-12-28 2023-12-28 Panasonic Intellectual Property Management Co., Ltd. Elektronische Steuereinheit, elektronisches Steuersystem und Programm

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106919163A (zh) * 2015-12-18 2017-07-04 丰田自动车株式会社 通信系统和在通信系统中执行的信息收集方法
JP2018014558A (ja) * 2016-07-19 2018-01-25 株式会社デンソー 通信装置

Also Published As

Publication number Publication date
US11895127B2 (en) 2024-02-06
EP3825889A1 (en) 2021-05-26
JP7156257B2 (ja) 2022-10-19
CN112825500A (zh) 2021-05-21
JP2021083005A (ja) 2021-05-27
US20210160256A1 (en) 2021-05-27

Similar Documents

Publication Publication Date Title
JP6887040B2 (ja) 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
EP3264718B1 (en) System and method for detection and prevention of attacks on in-vehicle networks
JP6477281B2 (ja) 車載中継装置、車載通信システム及び中継プログラム
CN112825500B (zh) 车辆通信装置、通信异常的判定方法以及记录介质
EP2786543B1 (en) Secure message filtering to vehicle electronic control units with secure provisioning of message filtering rules
WO2017119027A1 (ja) 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
CN110989564B (zh) 一种汽车数据诊断方法及装置
JP2018160851A (ja) 車載通信装置、コンピュータプログラム及びメッセージ判定方法
CN112153646A (zh) 认证方法、设备及系统
CN116436628A (zh) 通信装置、车辆、通信方法、以及记录有程序的记录介质
US11902300B2 (en) Method for monitoring a data transmission system, data transmission system and motor vehicle
CN114499831B (zh) 车辆通信系统、通信方法以及记录有通信程序的记录介质
CN113226858A (zh) 信息处理装置
CN108632242B (zh) 通信装置及接收装置
CN113273144B (zh) 车载通信系统、车载通信控制装置、车载通信装置、通信控制方法及通信方法
JP2023101193A (ja) 情報処理装置、車両、情報処理方法、及びプログラム
CN112544058B (zh) 认证检测方法、装置及系统
JP2020034486A (ja) 検査システム
JP2024041392A (ja) 電子制御装置
Van Den Herrewegen et al. Beneath the Bonnet

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant