CN116436628A - 通信装置、车辆、通信方法、以及记录有程序的记录介质 - Google Patents

通信装置、车辆、通信方法、以及记录有程序的记录介质 Download PDF

Info

Publication number
CN116436628A
CN116436628A CN202211500348.8A CN202211500348A CN116436628A CN 116436628 A CN116436628 A CN 116436628A CN 202211500348 A CN202211500348 A CN 202211500348A CN 116436628 A CN116436628 A CN 116436628A
Authority
CN
China
Prior art keywords
authentication
communication
messages
message
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211500348.8A
Other languages
English (en)
Inventor
清川贵仁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Publication of CN116436628A publication Critical patent/CN116436628A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/12Arrangements for remote connection or disconnection of substations or of equipment thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明涉及通信装置、车辆、通信方法、以及记录有程序的记录介质。通信装置具备:接收部,从其他通信装置分别接收被赋予了由上述其他通信装置生成的认证信息的消息;认证部,针对上述接收部接收到的上述消息分别基于被赋予至上述消息的上述认证信息来认证上述消息;以及判定部,按每个上述其他通信装置、或者按上述消息的每个种类,在由上述认证部针对对应的多个上述消息分别进行了的多个认证中的小于规定次数的认证失败的情况下,判定为通信异常状态,在由上述认证部针对对应的多个上述消息分别进行了的上述多个认证中的上述规定次数以上的认证失败的情况下,不判定为上述通信异常状态。

Description

通信装置、车辆、通信方法、以及记录有程序的记录介质
技术领域
本公开涉及通信装置、车辆、通信方法以及程序。
背景技术
在日本特开2021-083005号公报中公开了一种如下所述的车辆通信装置:接收第一数据以及与上述第一数据不同的第二数据,基于接收到的上述第一数据和加密密钥来生成第三数据,将上述第二数据与上述第三数据进行比较,在两者一致的情况下认证上述第一数据,将在对于车辆启动后的规定期间内的上述接收进行了多次上述比较的结果是上述第二数据与上述第三数据在所有次中均不一致的情况判定为装置异常状态,将上述多次的上述比较的结果包括上述一致的情况判定为装置工作状态。
在日本特开2021-083005号公报的车辆通信装置中,当在从多个通信装置接收到的数据的一部分中认证失败的情况下,由于没有对是仅从一部分通信装置接收到的数据的认证全部失败、还是无论通信装置如何一部分数据的认证均失败进行判别,所以存在无法进行恰当的处置的担忧。
发明内容
本公开的目的在于,提供即便在从多个通信装置接收到的消息的一部分中认证失败的情况下也能够抑制误判定通信异常状态的通信装置、车辆、通信方法以及程序。
第1方式是一种通信装置,具备:接收部,从其他通信装置分别接收被赋予了由上述其他通信装置生成的认证信息的消息;认证部,针对上述接收部接收到的上述消息分别基于被赋予至上述消息的上述认证信息来认证上述消息;以及判定部,按每个上述其他通信装置、或者按上述消息的每个种类,在由上述认证部针对对应的多个上述消息分别进行了的多个认证中的至少1次且小于规定次数的认证失败的情况下,判定为通信异常状态,在由上述认证部针对对应的多个上述消息分别进行了的上述多个认证中的上述规定的次数以上的认证失败的情况下,不判定为上述通信异常状态。
第1方式的通信装置的接收部从其他通信装置分别接收被赋予了由上述其他通信装置生成的认证信息的消息。而且,认证部针对上述接收部接收到的上述消息分别基于被赋予至上述消息的上述认证信息来认证上述消息。而且,按每个上述其他通信装置、或者上述消息的每个种,在由上述认证部类针对对应的多个上述消息分别进行了的多个认证中的至少1次且小于规定次数的认证失败的情况下,判定部判定为通信异常状态,在由上述认证部针对对应的多个上述消息分别进行了的上述多个认证中的上述规定次数以上的认证失败的情况下,判定部不判定为上述通信异常状态。
在由上述认证部对与其他通信装置的1个或者上述消息的种类的1个对应的多个上述消息分别进行了的多个认证中的至少1次且小于规定次数的认证失败的情况下,视为其他通信装置存在异常,能够判定为不是非法入侵等通信异常。因此,根据该通信装置,即便是在从多个通信装置接收到的数据的一部分中认证失败的情况,也能够抑制误判定通信异常状态这一情况。
第2方式的通信装置是在第1方式的通信装置的基础上完成的,上述消息具有表示上述消息的种类的识别信息,按每个上述识别信息,在由上述认证部对具有上述识别信息的多个上述消息分别进行了的多个认证中的至少1次且小于规定次数的认证失败的情况下,上述判定部判定为上述通信异常状态,在由上述认证部对具有上述识别信息的多个上述消息分别进行了的上述多个认证中的上述规定次数以上的认证失败的情况下,上述判定部不判定为上述通信异常状态。
在第2方式的通信装置中,在由上述认证部对具有表示消息的种类的1个识别信息的多个上述消息分别进行了的多个认证中的至少1次且小于规定次数的认证失败的情况下,视为其他通信装置存在异常,能够判定为不是非法入侵等通信异常。
第3方式的通信装置是在第1方式或者第2方式的通信装置的基础上完成的,还包括:废弃部,将上述认证失败的消息废弃;和信息处理部,执行与上述消息对应的信息处理,上述信息处理部基于上述消息的接收状况来检测通信中断,在检测到上述通信中断的情况下,对于与上述检测到的上述通信中断对应的上述消息的种类,当由上述认证部针对对应的多个上述消息分别进行了的多个认证中的至少1次且小于规定次数的认证失败的情况下,上述判定部判定为上述通信异常状态,在由上述认证部针对对应的多个上述消息分别进行了的上述多个认证中的上述规定次数以上的认证失败的情况下,上述判定部不判定为上述通信异常状态。
在第3方式的通信装置中,若废弃部将上述认证失败的消息废弃,则信息处理部基于被废弃的上述消息的接收状况来检测通信中断。而且,在检测到上述通信中断的情况下,对于与上述检测到的上述通信中断对应的上述消息的种类,在由上述认证部针对对应的多个上述消息分别进行了的多个认证中的至少1次且小于规定次数的认证失败的情况下,上述判定部判定为上述通信异常状态,在由上述认证部针对对应的多个上述消息分别进行了的上述多个认证中的上述规定次数以上的认证失败的情况下,上述判定部不判定为上述通信异常状态。
因此,即便在因将认证失败的消息废弃而检测到通信中断的情况下,对于与上述检测到的上述通信中断对应的上述消息的种类,也在由上述认证部针对对应的多个上述消息分别进行了的上述多个认证中的上述规定次数以上的认证失败的情况下,不判定为上述通信异常状态。因此,根据该通信装置,即便在将认证失败的消息废弃的情况下,也能够抑制误判定通信异常状态这一情况。
第4方式的通信装置是在第1方式~第3方式中任一个的通信装置的基础上完成的,上述认证部基于存储于存储器的加密密钥和被赋予至上述消息的上述认证信息来认证上述消息,在由上述认证部针对与上述对应的多个上述消息分别进行了的上述多个认证中的上述规定次数以上的认证失败的情况下,上述判定部判定为上述其他通信装置的加密密钥的异常状态。
在第4方式的通信装置中,在由上述认证部按每个上述其他通信装置、或者上述消息的每个种类针对与上述对应的多个上述消息分别进行了的上述多个认证中的上述规定次数以上的认证失败的情况下,上述判定部判定为上述其他通信装置的加密密钥的异常状态。因此,根据该通信装置,能够判定其他通信装置的加密密钥的异常状态。
第5方式的通信装置是在第1方式~第4方式中任一个记载的通信装置的基础上完成的,在由上述认证部针对对应的多个上述消息分别进行了的多个认证中的一部分认证失败的情况下,上述判定部判定为通信异常状态,在由上述认证部针对对应的多个上述消息分别进行了的上述多个认证的全部认证失败的情况下,上述判定部不判定为上述通信异常状态。
在第5方式的通信装置中,在由上述认证部针对对应的多个上述消息分别进行了的多个认证中的一部分认证失败的情况下,上述判定部判定为通信异常状态,在由上述认证部针对对应的多个上述消息分别进行了的上述多个认证的全部认证失败的情况下,上述判定部不判定为上述通信异常状态。
第6方式是具备多个第1方式~第5方式中任一个的通信装置的车辆。
第7方式是一种通信方法,接收部从其他通信装置分别接收被赋予了由上述其他通信装置生成的认证信息的消息,认证部针对上述接收部接收到的上述消息分别基于被赋予至上述消息的上述认证信息来认证上述消息,按每个上述其他通信装置、或者按上述消息的每个种类,在由上述认证部针对对应的多个上述消息分别进行了的多个认证中的至少1次且小于规定次数的认证失败的情况下,判定部判定为通信异常状态,在由上述认证部针对对应的多个上述消息分别进行了的上述多个认证中的上述规定次数以上的认证失败的情况下,判定部不判定为上述通信异常状态。
在第7方式的通信方法中,接收部从其他通信装置分别接收被赋予了由上述其他通信装置生成的认证信息的消息。认证部针对上述接收部接收到的上述消息分别来基于被赋予至上述消息的上述认证信息认证上述消息。
而且,在由上述认证部按每个上述其他通信装置、或者上述消息的每个种类针对对应的多个上述消息分别进行了的多个认证中的至少1次且小于规定次数的认证失败的情况下,判定部判定为通信异常状态,在由上述认证部针对对应的多个上述消息分别进行了的上述多个认证中的上述规定次数以上的认证失败的情况下,判定部不判定为上述通信异常状态。
如上述那样,根据该通信方法,即便是从多个通信装置接收到的数据的一部分认证失败的情况,也能够抑制误判定通信异常状态这一情况。
第8方式是一种非暂时性记录介质,记录有用于使计算机执行如下处理的程序:从其他通信装置分别接收被赋予了由上述其他通信装置生成的认证信息的消息,针对上述接收到的上述消息分别基于被赋予至上述消息的上述认证信息来认证上述消息,按每个其他通信装置、或者按上述消息的每个种类,在针对对应的多个上述消息分别进行了的多个认证中的至少1次且小于规定次数的认证失败的情况下,判定为通信异常状态,在针对对应的多个上述消息分别进行了的上述多个认证中的上述规定次数以上的认证失败的情况下,不判定为上述通信异常状态。
第8方式的非暂时性记录介质中记录的程序使计算机执行如下处理。计算机从其他通信装置分别接收被赋予了由上述其他通信装置生成的认证信息的消息。计算机针对上述接收到的上述消息分别基于被赋予至上述消息的上述认证信息来认证上述消息。
而且,按每个上述其他通信装置、或者按上述消息的每个种类,在针对对应的多个上述消息分别进行了的多个认证中的至少1次且小于规定次数的认证失败的情况下,计算机判定为通信异常状态,在针对对应的多个上述消息分别进行了的上述多个认证中的上述规定次数以上的认证失败的情况下,计算机不判定为上述通信异常状态。
如上述那样,根据该程序,即便是在从多个通信装置接收到的数据的一部分中认证失败的情况,也能够抑制误判定通信异常状态这一情况。
根据本公开,即便是在从多个通信装置接收到的数据的一部分中认证失败的情况,也能够抑制误判定通信异常状态这一情况。
附图说明
基于以下附图来详细描述本公开的示例性实施例,其中:
图1是表示实施方式所涉及的车辆通信系统的简要结构的图。
图2是表示实施方式的ECU的硬件结构的框图。
图3是表示实施方式的储存器的结构的例子的框图。
图4是表示实施方式的CPU的功能结构的例子的框图。
图5是对发送侧以及接收侧的ECU中的数据流进行说明的图。
图6是表示验证结果列表的例子的图。
图7是表示发送侧的ECU中的处理的流程的流程图。
图8是表示接收侧的ECU中的异常判定处理的流程的流程图。
图9是表示接收侧的ECU中的异常记录处理的流程的流程图。
图10是表示接收侧的ECU中的通信中断记录处理的流程的流程图。
图11是表示接收侧的ECU中的攻击检测记录处理的流程的流程图。
图12是表示诊断装置中的诊断处理的流程的流程图。
具体实施方式
(通信系统)
图1是表示实施方式所涉及的车辆通信系统12的简要结构的框图。如图1所示,本实施方式所涉及的车辆通信系统12构成为包括作为通信装置的多个ECU(ElectronicControl Unit)10和作为将多个ECU10彼此连接的通信线路的总线14。本实施方式的车辆通信系统12例如形成为将设置于车辆11的各ECU10连接的网络。
图1中图示了ECU10A、ECU10B以及ECU10C这3个ECU10。ECU10A、ECU10B以及ECU10C相当于从属ECU,省略了相当于主ECU的ECU10的图示。在以下的说明中,将ECU10A、ECU10B作为发送通信帧的发送侧的ECU10并将ECU10C作为接收通信帧的接收侧的ECU10来进行说明。此外,并不局限于ECU10A、10B以及10C,可以在总线14还连接有很多的ECU10。另外,本实施方式的车辆通信系统12采用了总线型的总线构造,但并不局限于此,也可以采用星型、环型、线型(菊花链连接)的总线构造。
在本实施方式的车辆通信系统12中,用于进行ECU10彼此的通信的通信方式采用了CAN(Controller Area Network)协议或者通信速度比CAN协议高速的CAN-FD(CAN WithFlexible Data Rate)协议。此外,通信方式并不局限于此,也可以采用以太网(注册商标)等LAN标准。
(ECU)
如图2所示,本实施方式的ECU10构成为包括微控制器20和CAN收发器30。微控制器20构成为包括CPU(Central Processing Unit)22、ROM(Read Only Memory)24、RAM(RandomAccess Memory)26、储存器27以及CAN控制器28。CPU22是处理器的一个例子,RAM26是存储器的一个例子。
CPU22是中央运算处理单元,执行各种程序、控制各部。即,CPU22从ROM24读出程序,将RAM26作为工作区域来执行程序。在本实施方式中,在储存器27存储有执行程序100(参照图3)。
ROM24存储有各种程序以及各种数据。
RAM26作为工作区域来暂时存储程序或者数据。
储存器27存储有各种程序以及各种数据。如图3所示,储存器27存储有执行程序100、密钥数据110、消息数据120、代码数据130以及认证结果列表140。在密钥数据110存储有用于生成MAC(Message Authentication Code:消息认证码)的加密密钥52(参照图5)的数据。在消息数据120存储有ECU10发送或者接收到的消息62(参照图5)。在代码数据130存储有表示装置的故障的DTC(Diagnostic Trouble Code)以及表示通信的异常的Rob(Record of Behavior)码。此外,也可以将装置的故障以与DTC不同的形式存储、将通信的异常以与Rob码不同的其他形式的代码存储。在认证结果列表140中按每个消息ID存储认证了消息的认证结果。
CAN控制器28实现CAN协议以及CAN-FD协议所涉及的功能,例如实现通信协调、错误校验等功能。
CAN收发器30与微控制器20以及总线14连接,具有将从微控制器20输入的通信帧发送至总线14、将由总线14转送的通信帧输入至微控制器20的功能。
图4是表示ECU10的功能结构的例子的框图。如图4所示,ECU10具有发送部200、接收部210、生成部220、认证部230、废弃部240、判定部250以及信息处理部260。各功能结构通过CPU22读出存储于ROM24的执行程序100并执行该执行程序100来实现。
发送部200具有朝向其他ECU10发送通信帧的功能。
接收部210具有从其他ECU10接收通信帧的功能。基于CAN协议或者CAN-FD协议的通信方式来控制本实施方式的发送部200以及接收部210。因此,通信帧包括通信数据60。如图5所示,通信数据60包括消息62和根据该消息62生成的MAC64。另外,消息62具有作为表示消息62的种类的消息ID的CANID。
生成部220具有使用加密密钥52来根据规定的数据生成MAC64的功能。发送侧的ECU10中的生成部220基于从搭载于车辆11的传感器、通信装置输入的发送数据50和加密密钥52来执行运算处理,生成MAC64。接收侧的ECU10中的生成部220基于从发送侧的ECU10接收到的消息62和加密密钥52来执行运算处理,生成验证用MAC66。本实施方式的加密密钥52使用在发送侧与接收侧共用的共用密钥。
认证部230具有针对接收部210接收到的消息62分别对消息62进行认证的功能。在对接收到的通信数据60所包括的MAC64和根据接收到的消息62生成的验证用MAC66进行比较且一致的情况下,认证部230认证消息62。
认证部230将针对接收部210接收到的消息62各自的认证结果储存于认证结果列表140。例如,如图6所示,CANID与认证结果的组合被分别储存于认证结果列表140。
废弃部240将通过认证部230的认证失败了的消息62废弃。例如,废弃部240将认证失败的消息62从RAM26或者储存器27删除。
判定部250具有基于由认证部230按消息62的每个种类对于对应的多个消息分别进行了的认证结果来判定处于正常状态、通信异常状态以及密钥异常状态中的哪一个的功能。
正常状态是表示为ECU10无异常、ECU10中的通信正常的状态。通信异常状态是表示为虽然ECU10无异常但ECU10受到非法入侵等安全攻击的状态、或者表示为ECU10的通信功能发生了故障的信息。此外,作为通信功能的故障,可以包括暂时的通信障碍。密钥异常状态是表示为消息62的发送侧的ECU10的加密密钥52存在异常的状态。
具体而言,在基于由认证部230按每个CANID对于具有该CANID的多个消息62分别进行了的认证结果而多个认证中的一部分认证失败的情况下,判定部250判定为通信异常状态,在多个认证的全部认证都失败的情况下,判定部250不判定为通信异常状态,而判定为具有该CANID的消息62的发送源的ECU10的密钥异常状态。
更具体而言,当基于按每个CANID在车辆11的启动后针对具有该CANID的消息62的第1规定次数的认证结果而全部认证都成功的情况下,判定部250判定为正常状态,在第1规定次数的认证中的第2规定次数以上的认证成功而一部分认证失败的情况下,判定部250判定为通信异常状态,在全部认证都失败的情况下,判定部250不判定为通信异常状态,而判定为具有该CANID的消息62的发送源的ECU10的密钥异常状态。
这里,本实施方式中的“第1规定次数”是与从ECU10启动至认证所涉及的装置(例如生成部220以及认证部230)的准备完成为止所需的时间相当的次数。另外,“第2规定次数”的定义如下。因MAC64与验证用MAC66偶然一致而消息62被认证第2规定次数的概率被设定为低于ASIL(Automotive Safety Integrity Level)的D等级的故障率的次数。
此外,在仅小于第2规定次数的认证成功的情况下,即便全部认证未失败,判定部250也可以不判定为通信异常状态,而判定为具有该CANID的消息62的发送源的ECU10的密钥异常状态。
另外,在由后述的信息处理部260检测到通信中断的情况下,针对与检测到的通信中断对应的消息62的种类,判定部250基于由认证部230进行的多个认证结果来判定处于正常状态、通信异常状态以及密钥异常状态中的哪个。
具体而言,在基于由认证部230针对具有与检测到通信中断的消息62相同的CANID的多个消息62分别进行了的认证结果而多个认证中的一部分认证失败的情况下,判定为通信异常状态,在多个认证的全部认证失败的情况下,不判定为通信异常状态,而判定为具有该CANID的消息62的发送源的ECU10的密钥异常状态。
更具体而言,在由信息处理部260检测到通信中断的情况下,当针对具有与检测到通信中断的消息62相同的CANID的消息62的第1规定次数的认证结果而全部认证成功的情况下,判定部250判定为正常状态,在第1规定次数的认证中的第2规定次数以上的认证成功、一部分认证失败的情况下,判定部250判定为通信异常状态,在全部认证失败的情况下,判定部250不判定为通信异常状态,而判定为具有该CANID的消息62的发送源的ECU10的密钥异常状态。
信息处理部260具有对从其他ECU10、各部的传感器取得的消息62进行处理的功能。例如,在ECU10是使车辆11的信息显示的仪表ECU的情况下,信息处理部260能够基于接收到的消息62来使仪表面板显示信息。另外,在由判定部250判定为密钥异常状态的情况下,信息处理部260执行密钥异常状态时的故障安全处理。例如,在ECU10是使车辆11的信息显示的仪表ECU、判定为密钥异常状态时的CANID的消息62表示使仪表面板显示的信息的情况下,信息处理部260能够使仪表面板显示预先决定的信息。
另外,信息处理部260基于消息62的接收状况来检测该消息62的通信中断。例如,根据认证部230的认证失败了的具有相同的CANID的多个消息62被废弃部240废弃,信息处理部260检测该消息62的通信中断。
(作用)
接下来,使用图7~图11的流程图对在本实施方式中从ECU10A以及ECU10B朝向ECU10C发送通信数据60的情况下由各ECU10执行的处理的流程进行说明。其中,在从ECU10B以及ECU10C向ECU10A发送通信数据60的情况、从ECU10C以及ECU10A向ECU10B发送通信数据60的情况下也能够执行同样的处理。
在发送侧的ECU10A以及ECU10B中,通过CPU22执行基于以下的各步骤的处理。
在图7的步骤S100中,CPU22取得发送数据50。所取得的发送数据50成为通信数据60所包括的具有CANID的消息62(参照图5)。
在步骤S102中,CPU22生成MAC64,并且将MAC64赋予给消息62。即,CPU22进行基于发送数据50及加密密钥52的运算处理来生成MAC64,将生成的MAC64赋予给消息62的下位比特(low-order bit)(参照图5)。
在步骤S104中,CPU22将包括消息62以及MAC64的通信数据60发送至接收侧的ECU10。
在步骤S106中,CPU22进行是否经过了规定时间的判定。在本实施方式的车辆通信系统12中,为了防止接收侧的ECU10中的通信数据60的获取失败,在规定时间内发送相同的通信数据60。在判定为经过了规定时间的情况下,CPU22返回至步骤S100。另一方面,在判定为未经过规定时间的情况下,CPU22返回至步骤S104。即,直至经过规定时间为止发送现有的通信数据60,若经过规定时间,则反复进行发送新的通信数据60的处理。
接着,在接收侧的ECU10C中通过CPU22来执行异常判定处理。将消息ID亦即CANID分别作为对象来执行图8所示的异常判定处理。
在图8的步骤S110中,CPU22从发送侧的ECU10接收包括具有对象的CANID的消息62的通信数据60。
在步骤S112中,CPU22执行认证处理。即,CPU22进行基于消息62及加密密钥52的运算处理来生成验证用MAC66,将该验证用MAC66与通信数据60所包括的MAC64进行比较(参照图5)。
在步骤S114中,CPU22将上述步骤S112的认证结果与CANID一同记录于认证结果列表140。
在步骤S116中,CPU22判定从ECU10的启动起是否进行了第1规定次数以上的具有对象的CANID的消息62的认证处理。在判定为从ECU10的启动起进行了第1规定次数以上的具有对象的CANID的消息62的认证处理的情况下,CPU22进入至步骤S118。另一方面,在判定为从ECU10的启动起未进行第1规定次数以上的具有对象的CANID的消息62的认证处理的情况下,CPU22返回至步骤S110。即,CPU22反复进行通信数据60的接收,直至从ECU10的启动起进行了第1规定次数以上的具有对象的CANID的消息62的认证处理为止。接收到通信数据60被暂时存储于RAM26或者储存器27。
以下,在步骤S118~S122中,进行基于MAC64与验证用MAC66的比较结果的状态的判定。
在步骤S118中,CPU22进行具有对象的CANID的消息62的认证是否全部成功的判定。即,CPU22进行针对具有对象的CANID的消息62的多次认证处理的结果是否是MAC64与验证用MAC66在全部次中都一致的判定。在判定为认证全部成功的情况下,CPU22进入至步骤S128。该情况下,具有对象的CANID的消息62的通信被判定为正常状态。另一方面,在判定为认证未全部成功的情况下,CPU22进入至步骤S120。
在步骤S120中,CPU22进行具有对象的CANID的消息62的认证是否成功第2规定次数以上且包括失败的判定。即,CPU22进行针对具有对象的CANID的消息62的多次认证处理的结果是否是MAC64与验证用MAC66一致的情况存在第2规定次数以上且包括MAC64与验证用MAC66不一致的情况的判定。在判定为针对具有对象的CANID的消息62的认证成功第2规定次数以上且包括失败的情况下,CPU22进入至步骤S128。该情况下的针对具有对象的CANID的消息62的通信为通信异常状态。另一方面,在判定为针对具有对象的CANID的消息62的认证未成功第2规定次数以上且不包括失败、即认证的成功小于第2规定次数的情况下,CPU22进入至步骤S122。
在步骤S122中,CPU22进行具有对象的CANID的消息62的认证是否全部失败的判定。即,CPU22进行针对具有对象的CANID的消息62的多次认证处理的结果是否是MAC64与验证用MAC66在全部次中都不一致的判定。在判定为具有对象的CANID的消息62的认证全部失败的情况下,CPU22进入至步骤S124。另一方面,在判定为认证未全部失败的情况下,CPU22进入至步骤S128。
此外,也可以省略步骤S122。该情况下,当在步骤S120中判定为认证的成功小于第2规定次数的情况下,CPU22进入至步骤S124。
在步骤S124中,CPU22将针对具有对象的CANID的消息62的密钥异常状态记录于RAM26。
在步骤S126中,CPU22移至针对具有对象的CANID的消息62的密钥异常状态时的故障安全处理。
在步骤S128中,CPU22结束针对具有对象的CANID的消息62的认证结果的记录,使异常判定处理结束。
若将CANID分别作为对象来执行上述异常判定处理,则接着在接收侧的ECU10C中通过CPU22来执行图9所示的异常记录处理。
在步骤S130中,CPU22判定是否针对至少1个CANID记录了密钥异常状态。在上述异常判定处理的结果是针对至少1个CANID记录了密钥异常状态的情况下,进入至步骤S132。另一方面,在未记录密钥异常状态的情况下,结束异常记录处理。
在步骤S132中,CPU22保存Rob码。即,CPU22存储表示为通信存在异常的代码。
在步骤S134中,CPU22使仪表面板显示表示为是密钥异常状态的消息。
在步骤S136中,CPU22判定是否针对全部的CANID记录了密钥异常状态。在上述异常判定处理的结果是针对全部的CANID记录了密钥异常状态的情况下,进入至步骤S138。另一方面,在针对至少1个CANID未记录密钥异常状态的情况下,结束异常记录处理。
在步骤S138中,将ECU10C自身的密钥异常状态记录于储存器27,结束异常记录处理。
另外,在检测到通信中断的情况下,将与检测到通信中断的消息62相同的CANID作为对象来执行上述图8所示的异常判定处理。另外,定期地执行上述图9所示的异常记录处理。
另外,在接收侧的ECU10C中通过CPU22来执行图10所示的通信中断记录处理。将作为消息ID的CANID分别作为对象来执行通信中断记录处理。
在步骤S140中,CPU22判定是否接收到包括具有对象的CANID的消息62的通信数据60。若接收到包括具有对象的CANID的消息62的通信数据60,则进入至步骤S142。另一方面,在未接收到包括具有对象的CANID的消息62的通信数据60的情况下,进入至步骤S144。
在步骤S142中,CPU22将用于记录通信中断的通信中断计数器的值清空为0,返回至步骤S140。
在步骤S144中,CPU22清点(count up)通信中断计数器的值,进入至步骤S146。
在步骤S146中,CPU22判定通信中断计数器的值是否达到用于检测通信中断的中断阈值。在通信中断计数器的值未达到中断阈值的情况下,返回至步骤S140。另一方面,在通信中断计数器的值达到中断阈值的情况下,进入至步骤S148。
在步骤S148中,CPU22判定针对具有对象的CANID的消息62的密钥异常状态是否记录于RAM26。通过上述异常判定处理,在针对具有对象的CANID的消息62的密钥异常状态被记录于RAM26的情况下,进入至步骤S150。另一方面,在针对具有对象的CANID的消息62的密钥异常状态未被记录于RAM26的情况下,进入至步骤S152。
在步骤S150中,CPU22以禁止通信中断诊断的记录的方式进行屏蔽(mask),结束通信中断记录处理。
在步骤S152中,CPU22将通信中断诊断记录于储存器27。在步骤S154中,CPU22执行针对具有对象的CANID的消息62的通信中断时的故障安全处理,结束通信中断记录处理。
另外,在接收侧的ECU10C中通过CPU22来执行图11所示的攻击检测记录处理。将作为消息ID的CANID分别作为对象来执行攻击检测记录处理。
在步骤S160中,与上述步骤S110同样,CPU22接收包括具有对象的CANID的消息62的通信数据60。
在步骤S162中,CPU22与上述步骤S112同样,CPU22执行认证处理。
在步骤S164中,CPU22进行上述步骤S162的认证处理涉及的认证是否成功的判定。在上述步骤S162的认证处理涉及的认证成功的情况下,返回至上述步骤S160。另一方面,在上述步骤S162的认证处理涉及的认证失败的情况下,进入至步骤S166。
在步骤S166中,CPU22判定针对具有对象的CANID的消息62的密钥异常状态是否记录于RAM26。通过上述异常判定处理,在针对具有对象的CANID的消息62的密钥异常状态记录于RAM26的情况下,进入至步骤S168。另一方面,在针对具有对象的CANID的消息62的密钥异常状态未记录于RAM26的情况下,进入至步骤S170。
在步骤S168中,CPU22以禁止攻击检测的记录的方式进行屏蔽,结束攻击检测记录处理。
在步骤S170中,CPU22将攻击检测记录于储存器27,结束攻击检测记录处理。
另外,在经销商处的作业时,若作业人员确认到车辆11的仪表面板的异常状态显示,则如上述图1所示,将经销商用诊断装置320经由车辆11的诊断用接口部310与车辆通信系统12连接。而且,经销商用诊断装置320执行图12所示的诊断处理。
在步骤S200中,经销商用诊断装置320从车辆11的各ECU10的储存器27读出包括Rob码的表示车辆状态的信息。
在步骤S202中,经销商用诊断装置320判定在上述步骤S200中读出的信息是否包括Rob码。当在上述步骤S200中读出的信息包括Rob码的情况下,进入至步骤S206。当在上述步骤S200读出的信息不包括Rob码的情况下,进入至步骤S204。
在步骤S204中,经销商用诊断装置320判断为与密钥异常状态不同的其他异常,结束诊断处理。
在步骤S206中,经销商用诊断装置320进行车辆通信系统12的各ECU10的密钥更新处理。
在步骤S208中,经销商用诊断装置320使车辆11的车辆通信系统12再启动。此时,在各ECU10中,执行上述图8所示的异常判定处理以及上述图9所示的异常记录处理。
而且,若在再启动后经过一定期间,则经销商用诊断装置320从车辆通信系统12的各ECU10的储存器27读出包括Rob码的表示车辆状态的信息。
在步骤S210中,经销商用诊断装置320判定在上述步骤S208中读出的信息是否包括Rob码。当在上述步骤S208中读出的信息包括Rob码的情况下,返回至上述步骤S206。当在上述步骤S208中读出的信息不包括Rob码的情况下,结束诊断处理。
(总结)
在由认证部230对与消息的种类之一对应的多个消息分别进行的多个认证中的一部分认证失败的情况下,本实施方式的车辆通信系统12的ECU10视为其他ECU10的加密密钥存在异常,能够判定为不是非法入侵(hacking)等通信异常。因此,根据该ECU10,即便是在从多个ECU10接收到的数据的一部分中认证失败的情况,也能够抑制误判定通信异常状态这一情况。
以往,存在通过从属ECU从具有正确的加密密钥的主ECU接收包括使用该加密密钥而生成的MAC的消息并进行MAC认证来进行本装置的故障诊断的技术。
然而,存在如下担忧:当正在从属ECU间进行通信的情况下,即便对象方的加密密钥错误也无法检测到该错误,误诊断为本装置的故障,被记录为异常。
在本实施方式的车辆通信系统12中,在针对多个消息分别进行的多次MAC认证中的一部分MAC认证失败的情况下,记录通信异常状态,在多次MAC认证全部失败的情况下,判断为其他ECU的加密密钥的密钥异常状态,不记录通信异常状态。这样,在其他ECU的加密密钥错误的情况下,当多次MAC认证全部失败时,此时能够不记录通信异常状态。例如,即便是忘记更新一部分ECU的加密密钥的情况,也能够不记录通信异常状态。
另外,在发生了非法攻击时,安全功能会防止该攻击,并记录为存在攻击。然而,在ECU不正常的状态时,安全功能会无意中误检测攻击。在本实施方式中,抑制ECU不正常的状态时的安全功能的误检测。
(备注)
此外,在上述实施方式中,以如下情况为例进行了说明:在基于由认证部230按每个CANID对具有该CANID的多个消息62分别进行的认证结果而多个认证中的一部分认证失败的情况下,判定为通信异常状态,在多个认证的全部认证失败的情况下,不判定为通信异常状态,而判定为具有该CANID的消息62的发送源的ECU10的密钥异常状态,但并不限定于此。例如,也可以是在基于由认证部230按每个发送源的ECU10对从该ECU10接收到的多个消息62分别进行的认证结果而多个认证中的一部分认证失败的情况下,判定为通信异常状态,在多个认证的全部认证失败的情况下,不判定为通信异常状态,而判定为该ECU10的密钥异常状态。该情况下,各ECU预先保持CANID与成为发送源的ECU的对应关系,只要基于由认证部230按每个发送源的ECU10对具有与该ECU10对应的CANID的多个消息62分别进行的认证结果来进行判定即可。
另外,上述实施方式中由CPU22读入软件(程序)而执行的各种处理也可以由CPU以外的各种处理器执行。作为该情况下的处理器,可例示FPGA(Field-Programmable GateArray)等在制造后能够变更电路结构的具有PLD(Programmable Logic Device)以及ASIC(Application Specific Integrated Circuit)等为了执行特定的处理而设计成专用的电路结构的处理器亦即专用电路等。另外,上述的异常判定处理以及异常记录处理可以由这些各种处理器中的1个执行,也可以由同种类或者不同种类的2个以上的处理器的组合(例如多个FPGA、以及CPU与FPGA的组合等)来执行。另外,这些各种处理器的硬件构造更具体是组合了半导体元件等电路元件的电路。
另外,在上述实施方式中,以程序被预先存储(安装)在计算机可读取的非暂时性记录介质的方式进行了说明。例如,执行程序100被预先存储于ROM24。然而,并不局限于此,执行程序100也可以以被记录于CD-ROM(Compact Disc Read Only Memory)、DVD-ROM(Digital Versatile Disc Read Only Memory)以及USB(Universal Serial Bus)存储器等非暂时性记录介质的方式来提供。另外,执行程序100也可以是经由网络被从外部装置下载的方式。
上述实施方式中说明的处理的流程是一个例子,在不脱离主旨的范围内可以删除不需要的步骤、追加新的步骤、更换处理顺序。

Claims (8)

1.一种通信装置,其中,包括:
接收部,从其他通信装置分别接收被赋予了由所述其他通信装置生成的认证信息的消息;
认证部,针对所述接收部接收到的所述消息分别基于被赋予至所述消息的所述认证信息来认证所述消息;以及
判定部,按每个所述其他通信装置、或者按所述消息的每个种类,在由所述认证部针对对应的多个所述消息分别进行了的多个认证中的至少1次且小于规定次数的认证失败的情况下,判定为通信异常状态,在由所述认证部针对对应的多个所述消息分别进行了的所述多个认证中的所述规定次数以上的认证失败的情况下,不判定为所述通信异常状态。
2.根据权利要求1所述的通信装置,其中,
所述消息具有表示所述消息的种类的识别信息,
按每个所述识别信息,在由所述认证部针对具有所述识别信息的多个所述消息分别进行了的多个认证中的至少1次且小于规定次数的认证失败的情况下,所述判定部判定为所述通信异常状态,在由所述认证部针对具有所述识别信息的多个所述消息分别进行了的所述多个认证中的所述规定次数以上的认证失败的情况下,所述判定部不判定为所述通信异常状态。
3.根据权利要求1或2所述的通信装置,其中,还包括:
废弃部,将所述认证失败的消息废弃;和
信息处理部,执行与所述消息相应的信息处理,
所述信息处理部基于所述消息的接收状况来检测通信中断,
在检测到所述通信中断的情况下,
对于与所述检测到的所述通信中断对应的所述消息的种类,在由所述认证部针对对应的多个所述消息分别进行了的多个认证中的至少1次且小于规定次数的认证失败的情况下,所述判定部判定为所述通信异常状态,在由所述认证部针对对应的多个所述消息分别进行了的所述多个认证中的所述规定次数以上的认证失败的情况下,所述判定部不判定为所述通信异常状态。
4.根据权利要求1~3中任一项所述的通信装置,其中,
所述认证部基于存储于存储器的加密密钥和被赋予至所述消息的所述认证信息来认证所述消息,
在由所述认证部针对所述对应的多个所述消息分别进行了的多个认证中的所述规定次数以上的认证失败的情况下,所述判定部判定为所述其他通信装置的加密密钥的异常状态。
5.根据权利要求1~4中任一项所述的通信装置,其中,
在由所述认证部针对对应的多个所述消息分别进行了的多个认证中的一部分认证失败的情况下,所述判定部判定为通信异常状态,
在由所述认证部针对对应的多个所述消息分别进行了的所述多个认证的全部认证失败的情况下,所述判定部不判定为所述通信异常状态。
6.一种车辆,其中,
具备多个权利要求1~5中任一项所述的通信装置。
7.一种通信方法,其中,
接收部从其他通信装置分别接收被赋予了由所述其他通信装置生成的认证信息的消息,
认证部针对所述接收部接收到的所述消息分别基于被赋予至所述消息的所述认证信息来认证所述消息,
按每个所述其他通信装置、或者按所述消息的每个种类,在由所述认证部针对对应的多个所述消息分别进行了多个认证中的至少1次且小于规定次数的认证失败的情况下,判定部判定为通信异常状态,在由所述认证部针对对应的多个所述消息分别进行了的所述多个认证中的所述规定次数以上的认证失败的情况下,判定部不判定为所述通信异常状态。
8.一种非暂时性记录介质,其中,记录有用于使计算机执行如下处理的程序:
从其他通信装置分别接收被赋予了由所述其他通信装置生成的认证信息的消息,
针对所述接收到的所述消息分别基于被赋予至所述消息的所述认证信息来认证所述消息,
按每个所述其他通信装置、或者按所述消息的每个种类,在针对对应的多个所述消息分别进行了的多个认证中的至少1次且小于规定次数的认证失败的情况下,判定为通信异常状态,在针对对应的多个所述消息分别进行了的所述多个认证中的所述规定次数以上的认证失败的情况下,不判定为所述通信异常状态。
CN202211500348.8A 2022-01-12 2022-11-28 通信装置、车辆、通信方法、以及记录有程序的记录介质 Pending CN116436628A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2022-003365 2022-01-12
JP2022003365A JP2023102696A (ja) 2022-01-12 2022-01-12 通信装置、車両、通信方法、及びプログラム

Publications (1)

Publication Number Publication Date
CN116436628A true CN116436628A (zh) 2023-07-14

Family

ID=87069139

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211500348.8A Pending CN116436628A (zh) 2022-01-12 2022-11-28 通信装置、车辆、通信方法、以及记录有程序的记录介质

Country Status (3)

Country Link
US (1) US20230224289A1 (zh)
JP (1) JP2023102696A (zh)
CN (1) CN116436628A (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11930000B2 (en) * 2021-08-02 2024-03-12 Cisco Technology, Inc. Detection of anomalous authentications

Also Published As

Publication number Publication date
US20230224289A1 (en) 2023-07-13
JP2023102696A (ja) 2023-07-25

Similar Documents

Publication Publication Date Title
US10992688B2 (en) Unauthorized activity detection method, monitoring electronic control unit, and onboard network system
US10902109B2 (en) Misuse detection method, misuse detection electronic control unit, and misuse detection system
US20190356687A1 (en) Attack detection method, attack detection device and bus system for a motor vehicle
JP6594732B2 (ja) 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム
US20180278616A1 (en) In-vehicle communication system, communication management device, and vehicle control device
WO2017119027A1 (ja) 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
CN112825500B (zh) 车辆通信装置、通信异常的判定方法以及记录介质
CN116436628A (zh) 通信装置、车辆、通信方法、以及记录有程序的记录介质
CN111066001A (zh) 日志输出方法、日志输出装置以及程序
CN110915170B (zh) Ecu
CN108632242B (zh) 通信装置及接收装置
CN114499831B (zh) 车辆通信系统、通信方法以及记录有通信程序的记录介质
CN113442848B (zh) 车辆控制系统、攻击判定方法及记录有程序的记录介质
JP2024041392A (ja) 電子制御装置
JP2023101193A (ja) 情報処理装置、車両、情報処理方法、及びプログラム
CN113226858A (zh) 信息处理装置
JP2020148531A (ja) 車両電子制御装置、要求装置、及び故障検出システム
CN115135537A (zh) 车载装置及服务器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination