JP2012186635A - 車両ネットワークシステム - Google Patents

車両ネットワークシステム Download PDF

Info

Publication number
JP2012186635A
JP2012186635A JP2011048020A JP2011048020A JP2012186635A JP 2012186635 A JP2012186635 A JP 2012186635A JP 2011048020 A JP2011048020 A JP 2011048020A JP 2011048020 A JP2011048020 A JP 2011048020A JP 2012186635 A JP2012186635 A JP 2012186635A
Authority
JP
Japan
Prior art keywords
control device
network system
authentication
vehicle network
ecu
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011048020A
Other languages
English (en)
Other versions
JP5310761B2 (ja
Inventor
Shohei Koide
祥平 小出
Yuji Ninagawa
勇二 蜷川
Noriaki Inoue
典昭 井上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2011048020A priority Critical patent/JP5310761B2/ja
Priority to CN201280011347.5A priority patent/CN103404112B/zh
Priority to BR112013022417-7A priority patent/BR112013022417B1/pt
Priority to EP12719045.2A priority patent/EP2681901B1/en
Priority to PCT/IB2012/000389 priority patent/WO2012120350A2/en
Priority to US14/002,542 priority patent/US9413732B2/en
Publication of JP2012186635A publication Critical patent/JP2012186635A/ja
Application granted granted Critical
Publication of JP5310761B2 publication Critical patent/JP5310761B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/403Bus networks with centralised control, e.g. polling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Abstract

【課題】ネットワーク接続された複数の電子制御装置間での限られた通信能力の中で通信信号の信頼性をも適正に確保することのできる車両ネットワークシステムを提供する。
【解決手段】車両ネットワークシステムは、複数のECUがネットワーク接続されている。複数のECUには、車両ネットワークシステムが構築されたときの初期化処理に基づいて、対となる秘密鍵K1と公開鍵K2とのうち、秘密鍵K1が設定された第1のECU20と、公開鍵K2が設定された第2のECU21とが含まれる。第2のECU21は、公開鍵K2と第2のECU21を特定可能な情報とから認証キーワード43を作成した認証キーワード43を送信信号に付加してネットワーク29に送信する。第1のECU20は、第2のECU21の送信した送信信号に付加されている認証キーワード43を取得し、取得した認証キーワード43と秘密鍵K1とに基づいて通信信号の信頼性を評価する。
【選択図】図1

Description

本発明は、車両に搭載された複数の電子制御装置が互いにネットワーク接続されて情報の送受信を行う車両ネットワークシステムに関する。
周知のように、車両に搭載された複数の電子制御装置(ECU)にあっては、それぞれがネットワーク接続されることによってそれら電子制御装置の有する情報(車両情報)を相互に送受信可能とする車両ネットワークシステムを構成していることが多い。そして、このような車両ネットワークシステムで通常、ネットワーク接続されている電子制御装置間の車両情報の送受信を容易にする一方、当該ネットワークに接続されている装置を誤ってもしくは意図的に取り外したり、同ネットワークに誤ってもしくは意図的に装置を取り付けたりすることも容易である。すなわち、ネットワークから装置が予期せず取り外されたり、もしくは予期しない装置がネットワークに取り付けられたりすることは、当該ネットワークへの不正なアクセスを許してしまったり、車両情報の送受信に障害を生じさせかねないなど、車両ネットワークシステムとしての脆弱性を高めるおそれも否定できない。そこで、車両ネットワークシステムを構築している電子制御装置が取り外されるなどして除外された場合に対応可能なシステムの一例が特許文献1に記載されている。
特許文献1に記載のシステムでは、ネットワーク(通信ライン)に対して、例えば通信ECU、エンジンECU、カーナビゲーションECU、及びエアコンECUがそれぞれ相互に通信可能に接続されている車両ネットワークシステムを想定している。そしてここでは、各ECUが相互に行う接続確認によって、いずれかのECU(車載機器)との間の接続が正常でない旨が検出されると、自身や他のECU(車載機器)の動作を停止させるようにしている。このように、いずれかの車載機器が車両から取り外されたようなとき、他の車載機器が機器群として正常に動作しないようにすることで、機器の取り外しを含む不正な行為、すなわちここでは車両の盗難などを未然に防止するようにしている。
特開2005−1534号公報
このように、特許文献1に記載のシステムによれば、装置の取り外しには確かに対応できるようにはなるものの、不正な装置の追加などとなると、これに適切に対応することができるとは限らない。このため、特にネットワークに送信された正規信号を不正利用して生成した偽信号をネットワークに送信するリプレイ攻撃など、装置の追加が関わることの多い不正アクセスとなると、これに対抗し得るセキュリティーをシステムとして確保することはできない。
例えば、車両のネットワークとして用いられることの多いコントロールエリアネットワーク(CAN:Control Area Network)は、送信装置が自身に割り当てられた識別子(CAN ID)を付して信号を送信し、受信装置は、信号に付された識別子に基づいて信号を送信した装置とその信号の内容を判断する。すなわち、図12(a)に示すように、いま、送信装置としてのECU A110から、識別子”XX”、データ”123・・・”の送信信号TD110がネットワーク120に出力されたとする。これにより通常、受信装置としてのECU B111、ECU C112及びECU N
113は、それぞれ送信信号TD110に基づく、識別子”XX”、データ”123・・・”の受信信号RD111〜113を得る。一方、図12(b)に示すように、このネットワークシステム100に偽ECU A130が接続されたとすると、この偽ECU A130は、正規の送信装置であるECU A110が用いる識別子”XX”を用いて、偽のデータ”999・・・”を含む送信信号TD130を出力することができる。これにより、ECU B111、ECU C112及びECU N113は、それぞれ送信信号TD130に基づく、識別子”XX”、偽データ”999・・・”の受信信号RD131〜133を得ることとなる。そしてこの場合、偽ECU A130の送信信号であるにもかかわらず、ECU B111、ECU C112及びECU N113はECU A110の送信信号と判断して、この偽データに基づく処理を行ってしまうこととなる。このように、CANにより構成されたネットワークシステム100は、不正なアクセスにより偽ECU A130が正規のECU A110になりすますことができてしまうという点が、近年のネットワークの進化にともない、車両においても課題となりつつある。
なお、装置の処理能力やネットワークのデータ転送能力が高いシステムであれば、信号送受信の都度、暗号計算を行うSSL(セキュア・ソケット・レイヤー)などの高度な暗号化プロトコルを採用して不正アクセスを防止することも考えられる。しかしながら高度な暗号化プロトコルの処理には負荷の高い演算を要するため、演算能力やデータ転送能力などを必要最小限に抑えている車両ネットワークシステムに対してこのような負荷の高い演算を要するプロトコルを採用することは現実的ではない。
本発明は、このような実情に鑑みてなされたものであり、その目的は、ネットワーク接続された複数の電子制御装置間での限られた通信能力の中で通信信号の信頼性をも適正に確保することのできる車両ネットワークシステムを提供することにある。
以下、上記課題を解決するための手段及びその作用効果を記載する。
上記課題を解決するため、請求項1に記載の発明は、車両に設けられる複数の制御装置が通信可能にネットワーク接続された車両ネットワークシステムにおいて、前記複数の制御装置には、前記車両ネットワークシステムが構築されたときのシステムを有効化する初期化処理が実行されることに基づいて、対となる秘密鍵と公開鍵とのうち、秘密鍵が設定された第1の制御装置と、公開鍵が設定された第2の制御装置とが含まれており、前記第2の制御装置は、前記設定された公開鍵と該第2の制御装置を特定可能な情報とから認証情報を作成するとともに、該作成した認証情報を他の制御装置に送信する通信信号に付加して前記ネットワークに送信し、前記第1の制御装置は、前記第2の制御装置から送信された通信信号に付加されている認証情報を取得するとともに、該取得した認証情報と前記設定された秘密鍵とに基づいて前記通信信号の信頼性を評価することを要旨とする。
このような構成によれば、初期化処理の実行にて公開鍵が設定されるので、通信信号とともに認証情報を送信する装置は初期化処理の実行の際、車両ネットワークシステムに含まれていた装置であることが特定される。これにより、認証情報を付加され送信された通信信号は、初期化処理の際に車両ネットワークシステムに含まれていた装置から送信されたものであることが特定されるため、その信頼性が担保されるようになる。その結果、通信信号の信頼性を向上させることができるようになる。
また、一旦作成した認証情報を記憶しておけば、同認証情報を再度作成する必要がないため、その後の通信信号の送信の際、認証情報の作成に要する負荷の増加がなく、第2の制御装置の処理能力を従来と同程度に維持することも可能となる。
さらに、公開鍵により暗号化されている認証情報はその内容が改ざんされることがない
ためそれが付加された通信信号の信頼性も向上されるようになる。
請求項2に記載の発明は、請求項1に記載の車両ネットワークシステムにおいて、前記第2の制御装置は、前記作成した認証情報を複数に分割するとともに、それら分割した認証情報を通信信号に順次付加して送信し、前記第1の制御装置は、前記通信信号を順次受信して得られる前記分割された認証情報から分割前の認証情報を再構成し、この再構成した認証情報に基づいて前記通信信号の信頼性を評価することを要旨とする。
このような構成によれば、認証情報が分割して送信されるため、送信される通信信号毎に認証情報の全体を付加する場合に比べて、信頼性を確保するために必要とする通信データ量を減少させることができるようになる。特に、必要最小限の性能・機能で設計される車両ネットワークシステムであれば、通信信号の信頼性を高めるための機能強化などにかかるコスト上昇を抑制しつつ通信信号の信頼性を向上させることができる。
請求項3に記載の発明は、請求項1又は2に記載の車両ネットワークシステムにおいて、前記第1の制御装置は、前記初期化処理が実行されることに基づいて前記対となる秘密鍵と公開鍵とを生成するものであり、該生成した鍵のうち、秘密鍵を第1の制御装置自身に設定し、公開鍵を前記第2の制御装置に設定することを要旨とする。
このような構成によれば、第1の制御装置が初期化処理の実行時に秘密鍵と公開鍵とを生成することから、秘密鍵及び公開鍵が事前に漏洩するようなおそれがない。
請求項4に記載の発明は、請求項3に記載の車両ネットワークシステムにおいて、前記第1の制御装置は、前記生成した公開鍵の前記第2の制御装置への設定を前記ネットワークを介して行うことを要旨とする。
このような構成によれば、初期化処理の実行時に、車両ネットワークシステムを構成している適正な制御装置に正確かつ効率よく公開鍵を配布することができる。
請求項5に記載の発明は、請求項1〜4のいずれか一項に記載の車両ネットワークシステムにおいて、前記第2の制御装置は、前記公開鍵が設定されたタイミングで前記認証情報を作成することを要旨とする。
このような構成によれば、認証情報が公開鍵が設定されたときに作成されているため、通信信号を送信する際、認証情報を作成する処理負荷が生じず、第2の制御装置の処理負荷の増加を抑えることができる。
請求項6に記載の発明は、請求項1〜5のいずれか一項に記載の車両ネットワークシステムにおいて、前記第2の制御装置は、前記認証情報を作成した後、前記設定された公開鍵を消去することを要旨とする。
このような構成によれば、公開鍵そのものは認証情報の作成後は必要とされないため、通信信号の信頼性の評価に用いられる認証情報を残し、公開鍵を削除することにより公開鍵の漏洩が防止されて通信信号の信頼性がさらに向上するようになる。
請求項7に記載の発明は、請求項1〜6のいずれか一項に記載の車両ネットワークシステムにおいて、前記第2の制御装置は、前記車両ネットワークシステムが起動される都度、前記通信信号の送信に先立ち、前記認証情報を前記ネットワークに送信し、前記第1の制御装置は、前記第2の制御装置からの通信信号の受信に先立って受信された認証情報を取得して記憶し、該記憶した認証情報を前記通信信号に付加されている認証情報と比較することで前記通信信号の信頼性を評価することを要旨とする。
このような構成によれば、第1の制御装置は、信頼性を評価する必要のある通信信号を
送信する制御装置を、車両ネットワークシステムの起動の都度、通信信号の送信に先立ち送信される認証情報により認識することで、システム構成の変更などの影響を受けることなく、通信信号の信頼性評価を行うことができるようになる。またこれにより、信頼性を評価しなければならない通信信号を送信する制御装置を、予め第1の制御装置に登録しておく必要がないため、システムとしての柔軟性も高められる。
請求項8に記載の発明は、請求項1〜7のいずれか一項に記載の車両ネットワークシステムにおいて、前記第1の制御装置は、前記通信信号に信頼性がないと判断したとき、前記第2の制御装置の送信する通信信号の当該車両ネットワークシステムでの利用を禁止することを要旨とする。
このような構成によれば、第2の制御装置になりすました装置などが車両ネットワークシステムに接続され、車両ネットワークシステムに不正な信号が送信された場合であれ、当該不正な信号による影響が車両ネットワークシステムから排除される。これにより、不正な信号などが車両ネットワークシステムに不都合などを生じさせるおそれを防止することができるようになる。
上記課題を解決するため、請求項9に記載の発明は、車両に設けられる複数の制御装置が通信可能にネットワーク接続された車両ネットワークシステムにおいて、前記複数の制御装置には、前記車両ネットワークシステムが構築されたときのシステムを有効化する初期化処理が実行されることに基づいて、対となる秘密鍵と公開鍵とのうち、秘密鍵が設定された第1の制御装置と、公開鍵が設定された第2の制御装置とが含まれており、前記第1の制御装置は、前記ネットワークを介して他の制御装置に通信信号を送信するとともに、前記設定された秘密鍵と、前記通信信号に基づいて生成された認証データとに基づいて作成した認証信号を送信し、前記第2の制御装置は、前記第1の制御装置から送信された前記通信信号と前記認証信号とをそれぞれ受信して、該受信した通信信号に基づいて生成した認証データと、前記認証信号と前記設定された公開鍵とに基づいて復号された認証データとの比較に基づいて前記通信信号の信頼性を評価することを要旨とする。
このような構成によれば、初期化処理の実行にて公開鍵が設定されるので、公開鍵を送信する第1の制御装置は初期化処理の実行の際に車両ネットワークシステムに含まれていた装置であることが特定される。また、第2の制御装置は、通信信号から生成された認証データと、第1の制御装置の認証信号を復号して得られた認証データとを比較することにより、通信信号の送信元が第1の制御装置であること及び通信信号に改ざんが加えられていないことを判定することができる。例えばネットワークを流れる通信信号が改ざんされたとしても、これに対応する認証データを改ざんすることができないため、通信信号の改ざんを検出することができる。これにより、第1の制御装置になりすました装置からの偽装された信号などが検出可能となり、通信信号の信頼性を向上させることができるようになる。
また、ネットワークには、第1の制御装置から通信信号そのものも送信されるため、通信信号の信頼性を評価しない他の制御装置は、従来通り、第1の制御装置から通信信号を受信して利用することができる。このため、この通信信号の信頼性を評価するシステムを既存の車両ネットワークシステムに適用することも容易である。
請求項10に記載の発明は、請求項9に記載の車両ネットワークシステムにおいて、前記第1の制御装置は、前記通信信号にハッシュ関数を適用して算出した認証データを前記秘密鍵に基づいて暗号化することにより前記認証信号を生成するものであり、前記第2の制御装置は、前記受信した通信信号に前記ハッシュ関数を適用して算出した認証データと、前記認証信号を復号して得られた認証データとの比較に基づいて前記通信信号の信頼性
を評価することを要旨とする。
このような構成によれば、ハッシュ関数により通信信号から適切な大きさ(強度)の認証データを算出することができるようになる。これにより車両ネットワークシステムの設計自由度が高められる。
請求項11に記載の発明は、請求項9又は10に記載の車両ネットワークシステムにおいて、前記第1の制御装置は、前記初期化処理が実行されることに基づいて前記対となる秘密鍵と公開鍵とを生成するものであり、該生成した鍵のうち、秘密鍵を第1の制御装置自身に設定し、公開鍵を前記第2の制御装置に設定することを要旨とする。
このような構成によれば、第1の制御装置が初期化処理の実行時に秘密鍵と公開鍵とを生成することから、秘密鍵及び公開鍵が事前に漏洩するようなおそれがない。
請求項12に記載の発明は、請求項11に記載の車両ネットワークシステムにおいて、前記第1の制御装置は、前記生成した公開鍵の前記第2の制御装置への設定を前記ネットワークを介して行うことを要旨とする。
このような構成によれば、初期化処理の実行時に、車両ネットワークシステムを構成している適正な制御装置に正確かつ効率よく公開鍵を配布することができる。
本発明にかかる車両ネットワークシステムを具体化した第1の実施形態について、その概略構成を示すブロック図。 同車両ネットワークシステムの電子制御装置が認証キーワードを生成する態様を模式的に示す模式図。 同車両ネットワークシステムの電子制御装置が送信信号に付加する分割した認証キーワードについて示す図であり、(a)は認証キーワードを分割して抽出キーワードを抽出する態様を模式的に示す模式図、(b)は抽出キーワードの付加された送信信号のデータフォーマットの構成を模式的に示す模式図。 同車両ネットワークシステムにて通信信号の信頼性を評価する処理のステップについて示すフローチャートであり、(a)はシステム初期化処理のステップを示すフローチャート、(b)は通信信号の信頼性を評価する処理のステップを示すフローチャート。 同車両ネットワークシステムのシステム初期化処理を示すシーケンス図。 同車両ネットワークシステムの接続管理処理を示すシーケンス図。 同車両ネットワークシステムのデータ認証処理を示すシーケンス図。 本発明にかかる車両ネットワークシステムを具体化した第2の実施形態について、その概略構成を示すブロック図。 同車両ネットワークシステムにおける各信号の送受信の態様を模式的に示す模式図。 同車両ネットワークシステムにおいて信号を送信する処理のステップを示すフローチャート。 同車両ネットワークシステムにおいて受信した信号に基づいて信号の信頼性を評価する処理のステップを示すフローチャート。 従来の車両ネットワークシステムの構成を模式的に示す図であり、(a)は通常時における信号の送受信態様を示す模式図、(b)は不正アクセスが生じたときにおける信号の送受信態様を示す模式図。
(第1の実施形態)
本発明にかかる車両ネットワークシステムを具体化した一実施形態について、図1〜3に従って説明する。
図1に示すように、車両10には、車両に搭載された装置を電子制御する装置としての第1〜第4の電子制御装置(ECU)20〜23と、それら第1〜第4のECU20〜23を相互通信可能にネットワーク接続させるネットワーク29とを備える車両ネットワークシステムが設けられている。
ネットワーク29は、車両10への搭載に適した仕様のネットワークであり、本実施形態では、ネットワーク29には、公知のネットワークである車両用のコントロールエリアネットワーク(CAN:Control Area Network)が採用されている。車両用のCANは、その仕様として、最大通信容量が例えば1秒(時間)当たり500キロビットであるとともに、1つのデータフレーム(約5〜13バイト)に含むことのできるデータの大きさが最大8バイト(64ビット)であることなどが知られている。なお、本実施形態では、ネットワーク29に送信されるデータフレーム(送信信号)に含まれるデータは、車速、エンジン温度、ECUによる処理結果など、いわゆる車両情報データである。
第1〜第4のECU20〜23にはそれぞれ、ネットワーク29を介して相互通信を行うための通信部30が設けられている。なお、第1〜第4のECU20〜23の各通信部30は、いずれも同様の機能を有するため、以下では第1の制御装置としての第1のECU20の通信部30について詳しく説明し、説明の便宜上、第2の制御装置としての第2〜第4のECU21〜23の各通信部30の説明については割愛する。
第1のECU20の通信部30は、第2〜第4のECU21〜23から送信された車両情報データを含む通信信号としての送信信号を受信するとともに、該受信した送信信号に含まれている車両情報データを抽出して第1のECU20における各種のデータ処理を可能にさせる。そのため、通信部30は、ネットワーク29から受信したCANプロトコルのフォーマットからなる送信信号から、「CAN ID」などのネットワーク通信の処理に用いられるデータを取り除くなどして、車両情報データを抽出するとともに、該抽出した車両情報データを「CAN ID」に関連付けた状態で第1のECU20の記憶装置などに記憶させる。「CAN ID」は、予め、一つの車両情報データに一対一に対応付けられているため、第1のECU20は、抽出された車両情報データの意味をそれに関連付けられている「CAN ID」に基づいて判断することができる。逆に、第1のECU20の通信部30は、車両情報データを送信する場合、第1のECU20から送信する車両情報データを含む送信信号を生成するとともに、該生成した送信信号をネットワーク29に送信する。すなわち、第1のECU20の通信部30は、送信する車両情報データに「CAN ID」などを付加してCANプロトコルのフォーマットを有する送信信号を作成し、該作成した送信信号をネットワーク29に送信する。このようなことにより、第1〜第4のECU20〜23は、ネットワーク29を介して各種の車両情報データの送受が相互に行えるようになっている。
第1〜第4のECU20〜23はそれぞれ、例えば、エンジンECUや、ブレーキECUや、ステアリングECUや、運転支援(ナビゲーションシステム)ECUなどである。各第1〜第4のECU20〜23は、演算装置、記憶装置、不揮発性メモリ(ROM)、揮発性メモリ(RAM)、不揮発性の記憶装置(フラッシュメモリーやハードディスク)などを備えたマイクロコンピュータを中心として構成されている。そして、記憶装置や各メモリに格納されている各種データ及びプログラムに基づく各種情報処理がマイクロコンピュータにより実行される。
また、本実施形態の車両ネットワークシステムには、通信信号の信頼性を向上させるための構成が設けられている。すなわち、第1のECU20は、ネットワーク29に流されている送信信号を監視し、送信信号の信頼性を評価する機能、いわゆる認証マスターとしての機能を有している。一方、第2〜第4のECU21〜23は、それらからの送信信号を認証マスターとしての第1のECU20が認証できるようにするため、送信信号に認証に用いる認証キーワード等を付加して送信する機能を有している。そこで、第2〜第4のECU21〜23の構成について説明する。
第1のECU20には、対となる秘密鍵K1と公開鍵K2とを生成する鍵生成部31と、鍵生成部31により生成された秘密鍵K1を保持する秘密鍵保存部32とが設けられている。また、第1のECU20には、車両10の始動の都度、ネットワーク29に接続されているECUを登録・管理する接続ECU管理部33と、公開鍵K2により暗号化された認証キーワードに基づいて送信信号の信頼性の評価(認証)処理を行うキーワード認証部34とが設けられている。
鍵生成部31は、暗号とデジタル署名とが可能なRSA暗号などの公開鍵暗号方式に用いる一対の秘密鍵K1と公開鍵K2(鍵ペア)とを生成するものであり、例えばRSA暗号方式が指定する演算方法により同RSA暗号に用いる鍵ペアを生成する。すなわち鍵ペアを暗号に使用すれば、平文を公開鍵K2で暗号化できるとともに、該暗号化された平文を秘密鍵K1で復号することができる。また、鍵ペアをデジタル署名に使用すれば、秘密鍵K1で暗号化された平文を、公開鍵K2で復号することができるようになる。
また、鍵生成部31による鍵ペアの生成は、車両ネットワークシステムの初期化の実行を条件に実行される。そして鍵生成部31は、鍵ペアとして一対の秘密鍵K1と公開鍵K2を生成した後、該生成した公開鍵K2をネットワーク29に一度だけ送信、すなわち公開鍵K2を一度だけ公開する。このように本実施形態では、公開鍵K2は、車両ネットワークシステムの初期化が実行されたことを条件にして車両ネットワークシステムに一度だけ公開されるようになっており、インターネットで使用される一般的な公開鍵のように常時公開されるようにはなっていない。
鍵生成部31が鍵ペアを生成する条件としての車両ネットワークシステムの初期化とは、構築された車両ネットワークシステムを有効化するために同車両ネットワークシステムに対して行う初期化処理である。例えば、出荷のために車両にバッテリーを接続した場合や、車両ネットワークシステムの再構築を伴う車両整備をカーディーラで行った場合などに限って、車両ネットワークシステムの初期化が意図的に実行される。他方、これら以外の場合、例えば、車両を使用するためにイグニッションキーなどで同車両を始動させた場合や、車両ネットワークシステムの再構築とは無関係に行われるバッテリー交換の場合などは、車両ネットワークシステムの初期化は実行されないようになっているため、鍵生成部31による鍵ペアの生成は行われない。
秘密鍵保存部32は、鍵生成部31により生成された鍵ペアのうちの秘密鍵K1を、鍵ペアの生成時に鍵生成部31から受け、第1のECU20においてのみ利用可能に保持する。
接続ECU管理部33は、イグニッションキーなどによる車両10始動操作に伴って車両ネットワークシステムが起動される都度、各ECUが送信する各ECUの識別情報を含む認証キーワード43をネットワーク29を介して受信する。そして、接続ECU管理部33は、それら受信した認証キーワード43から得られる識別情報に基づいて特定されるECUをネットワーク29に接続されているものと判断して接続リスト331に登録するとともに、該接続リスト331を同車両ネットワークシステムの稼働中、第1のECU2
0において利用可能に管理する。なお、本実施形態では、認証キーワード43は公開鍵K2により暗号化されているが、秘密鍵保存部32に保持された秘密鍵K1により復号することでそこに含まれているECUの識別情報を取得することができる。
キーワード認証部34は、公開鍵K2により暗号化された認証キーワード43などを必要に応じて秘密鍵保存部32に保持された秘密鍵K1により復号する。また、キーワード認証部34は、ネットワーク29に流されている送信信号を監視し、それら送信信号に付加されている認証キーワード43等を取得する。なお本実施形態では、送信信号には認証キーワード43の一部(抽出キーワード)が付加されているため、各送信信号から認証キーワード43の一部を取得し、それら取得された一部の認証キーワード43を同一の「CAN ID」を有する送信信号毎にそれぞれ順次連結することにより、完全な大きさの再構成認証キーワード341を再構成する。
また、キーワード認証部34は、再構成認証キーワード341を接続ECU管理部33に保持されている認証キーワード43と照合する。キーワード認証部34は、再構成認証キーワード341と認証キーワード43とを暗号化されているまま照合してもよいし、復号してから照合するようにしてもよい。これにより、送信信号を送信したECUが接続リスト331に管理されている認証キーワード43を送信したECUから送信されたものであるか否かが検証されるようになる。すなわち、再構成認証キーワード341と認証キーワード43とが一致した場合、送信信号を送信したECUは接続リスト331に管理されている認証キーワード43を送信したECUであることが検証される。その一方、再構成認証キーワード341と認証キーワード43とが不一致の場合、不正なアクセスなどによりネットワーク29に偽の送信信号が追加されていることなどが生じており、送信信号の信頼性が保証できないことが検出される。
さらに、キーワード認証部34は、再構成認証キーワード341と認証キーワード43とが不一致の場合、再構成認証キーワード341が不正であると判断して、当該再構成認証キーワード341が付加された「CAN ID」を有する送信信号の利用を禁止する。例えば、キーワード認証部34は、利用を禁止する「CAN ID」が割り当てられたECUを車両ネットワークシステムで利用することを禁止したり、送信信号が不正である旨の情報をネットワーク29にブロードキャスト(通知)することにより禁止対象とするECUを車両ネットワークシステムから切り離す、もしくは禁止対象とする送信信号を無視するようにするなどする。これにより、禁止対象の「CAN ID」を有する送信信号がネットワーク29に流れない、もしくは取り扱われないようにする。また、キーワード認証部34は、ネットワーク29に禁止対象の「CAN ID」を送信することで、第2〜第4のECU21〜23に禁止対象の「CAN ID」を伝達して、同禁止対象の「CAN ID」を有する送信信号を各ECUに使用させないようにすることができる。
続いて、第2〜第4のECU21〜23における送信信号の信頼性の評価に関する機能について説明する。ところで第2〜第4のECU21〜23は、いずれも同様の機能を有するため、以下では第2のECU21について詳しく説明し、説明の便宜上、第3及び第4のECU22,23の説明については同様の機能には同一の符号を付し、その詳細な説明を割愛する。
第2のECU21には、第1のECU20から送信された公開鍵K2を受信して保持する公開鍵保存部41と、公開鍵K2を用いて認証キーワード43を作成して保持する認証キーワード生成保存部42とが設けられている。また、第2のECU21には、車速、エンジン温度、又はECUによる処理結果等からなる車両情報データ44と、車両情報データ44に認証キーワード43の一部を順次付加する認証キーワード付加部45とが設けられている。
公開鍵保存部41は、車両ネットワークシステムの初期化が実行される際、第1のECU20から送信された公開鍵K2を取得し、該取得した公開鍵K2を第2のECU21において利用可能に保持する。
認証キーワード生成保存部42は、図2に示すように、第2のECU21を特定することが可能な情報である第2のECU21の固有情報、例えばECU名211やシリアル番号212などの少なくとも1つの情報を公開鍵保存部41に保持された公開鍵K2を用いて暗号化214することにより認証キーワード43を作成し、保持する。また、認証キーワード生成保存部42は、イグニッションキーによる車両10の始動等に伴う車両ネットワークシステムの起動の都度、保持している認証キーワード43をネットワーク29に送信する。これにより、第2のECU21は、第1のECU20の接続ECU管理部33の接続リスト331に該第2のECU21の認証キーワード43を登録させるようにしている。
車両情報データ44は、車速、エンジン温度、ECUによる処理結果などのうちのいずれか一つの車両情報であり、一つの車両情報データ44には、一つの「CAN ID」が予め対応付けられている。これにより、車両ネットワークシステムでは、「CAN ID」を参照することにより車両情報データ44に含まれている車両情報の種類等と、該車両情報データ44を送信したECUとを、不正アクセス等がなければ、正しく特定できるようになっている。
認証キーワード付加部45は、第2のECU21から送信する、同一の「CAN ID」が付される車両情報データ44に、順次、認証キーワード43の一部としての抽出キーワードを付加する。詳述すると、認証キーワード付加部45は、図3(a)に示すように、認証キーワード43の任意の位置に「抽出開始ポイント」を定め、該「抽出開始ポイント」から順次所定のビット数ずつキーワードを抽出することによりn個の認証情報としての抽出キーワード431〜43nを取得するようにしている。この際、抽出位置が認証キーワード43の最後に到達した場合、抽出位置を認証キーワード43の最初に戻し、抽出位置が「抽出開始ポイント」になるまで「抽出キーワード」の抽出(取得)を繰り返す。このようにして認証キーワード43から所定ビット数の抽出キーワード431〜43nが所定の数であるn個抽出される。そして、図4(b)に示すように、認証キーワード付加部45は、車両情報データ44に一つの抽出キーワード431(〜43n)を抽出順に付加する。このように、車両情報データ44に一つの抽出キーワード431(〜43n)だけを付加することにより、認証キーワード43そのものを付加する場合に比べて送信するデータ量を少なくすることができるようになる。
これにより、車両情報データ44と抽出キーワード431(〜43n)とが通信部30に送られ、通信部30にてCAN ID215とシーケンス番号216とが付加されることなどによりCANプロトコルのデータフォーマットからなる送信信号が作成され、該作成された送信信号がネットワーク29に送信される。
なお、上述の「抽出開始ポイント」は任意に定めることができるが、例えば、公開鍵K2のビット列に対して、隣り合うビットを順次、排他的論理和(XOR)で演算するようにし、演算結果のビット数が予め定めた所望のビット数になった時点において該演算結果の値を得る。そして「抽出開始ポイント」を、認証キーワード43の先頭ビットから前述のようにして得られた演算結果の値までシフトした位置に定めるようにしている。
次に、このように構成される車両ネットワークシステムの作用について、図4〜図7を参照して説明する。
図4(a)に示すように、車両ネットワークシステムは、同システムが構築された後、同システムを有効化するためのシステム初期化処理を実行する(図4のステップS10)。システム初期化処理では、図5に示すように、第1のECU20は、一対の秘密鍵K1と公開鍵K2とを生成する(図5のステップS11)。第1のECU20は、生成した秘密鍵K1を自身の秘密鍵保存部32に保持する一方、生成した公開鍵K2をネットワーク29を介して第2〜第4のECU21〜23に配布し、設定する(図5のステップS12)。公開鍵K2の設定された第2〜第4のECU21〜23は、公開鍵K2が設定されたタイミングで同設定された公開鍵K2に基づいて認証キーワード43をそれぞれ作成し、保持する(図5のステップS13)。これらの処理が終了することにより、システム初期化処理の実行が終了する。
車両ネットワークシステムの初期化の実行後、車両ネットワークシステムが通常通り起動されると、図4(b)に示すように、車両ネットワークシステムは、接続管理処理(図4のステップS20)を行い、引き続いてデータ認証処理(図4のステップS30)を行う。
接続管理処理では、図6に示すように、車両ネットワークシステムが起動することに伴って第2〜第4のECU21〜23は保持しているそれぞれの認証キーワード43をそれぞれネットワーク29に送信する(図6のステップS21)。第1のECU20は、第2〜第4のECU21〜23の各認証キーワード43をそれぞれ受信して秘密鍵K1により復号することにより送信元のECUを特定する(図6のステップS22)とともに、各認証キーワード43を特定されたECUに関連付けて接続リスト331に登録する(図6のステップS23)。これにより、車両ネットワークシステムの初期化の実行時に公開鍵K2を取得できなかったECU、例えば、車両ネットワークシステムの初期化の実行後に接続されたECUなどを接続リスト331に登録しないようにすることで、ネットワーク29に不正に接続されたECUを判別することもできるようにしている。
データ認証処理では、図7に示すように、第2〜第4のECU21〜23は、抽出キーワード431(〜43n)が付加された送信信号を送信する(図7のステップS31)。第1のECU20は、抽出キーワードが付加された送信信号を監視し、各「CAN ID」毎に抽出キーワード431(〜43n)を順次取得して再構成した再構成認証キーワード341と、接続リスト331に保持されている認証キーワード43と照合することにより送信信号の信頼性を検証する(図7のステップS32)。すなわち、再構成認証キーワード341と認証キーワード43とが一致する場合(図7のステップS33でYES)、第1のECU20は、再構成認証キーワード341を適正であると判断するとともに、送信信号の監視を継続する(図7のステップS34)。
一方、再構成認証キーワード341と認証キーワード43とが不一致の場合(図7のステップS33でNO)、第1のECU20は、再構成認証キーワード341が不正であると判断して、当該再構成認証キーワード341が付加された「CAN ID」を有するECUを車両ネットワークシステムから切り離す(図7のステップS35)。また、第1のECU20は、第2〜第4のECU21〜23に禁止対象の「CAN ID」を有する送信信号を使用させないようにする(図7のステップS36)。
これにより、本実施形態の車両ネットワークシステムでは、ネットワーク29に送信されている送信信号に、偽のデータに第2〜第4のECU21〜23が送信信号に付す「CAN ID」を付された送信信号が含まれていないかどうかが、第1のECU20により監視されるようになる。そして、送信信号の中に偽装された送信信号が含まれている場合、それが判定されることにより、第1のECU20は、偽装された送信信号の同ネットワーク29での利用を禁止することができる。
以上説明したように、本実施形態の車両ネットワークシステムによれば、以下に列記するような効果が得られるようになる。
(1)車両ネットワークシステムの初期化処理の実行にて公開鍵K2が第2〜第4のECU21〜23に設定されるので、送信信号とともに抽出キーワード431〜43nを送信する第2〜第4のECU21〜23は初期化処理の実行の際、車両ネットワークシステムに含まれていた装置であることが特定される。これにより、抽出キーワード431〜43nを付加され送信された送信信号は、初期化処理の実行の際に車両ネットワークシステムに含まれていた第2〜第4のECU21〜23から送信されたものであることが特定されるため、その信頼性が担保されるようになる。その結果、送信信号の信頼性を向上させることができるようになる。
(2)また、一旦作成した抽出キーワード431〜43n(認証キーワード43)を記憶しておけば、同抽出キーワード431〜43nを再度作成する必要がないため、その後の送信信号の送信の際、抽出キーワード431〜43nの作成に要する負荷の増加がなく、第2〜第4のECU21〜23の処理能力を従来と同程度に維持することも可能となる。
(3)さらに、公開鍵K2により暗号化されている抽出キーワード431〜43nはその内容が改ざんされることがないためそれが付加された送信信号の信頼性も向上されるようになる。
(4)抽出キーワード431〜43n(認証キーワード43)が分割して送信されるため、送信される送信信号毎に抽出キーワード431〜43nの全体を付加する場合に比べて、信頼性を確保するために必要とする通信データ量を減少させることができるようになる。特に、必要最小限の性能・機能で設計される車両ネットワークシステムであれば、送信信号の信頼性を高めるための機能強化などにかかるコスト上昇を抑制しつつ送信信号の信頼性を向上させることができる。
(5)第1のECU20が初期化処理の実行時に秘密鍵K1と公開鍵K2とを生成することから、秘密鍵K1及び公開鍵K2が事前に漏洩するようなおそれがない。
(6)初期化処理時に公開鍵K2を配布するため、車両ネットワークシステムを構成している適正な第2〜第4のECU21〜23に正確かつ効率よく公開鍵K2を配布することができる。
(7)抽出キーワード431〜43n(認証キーワード43)が公開鍵K2が設定されたときに作成されるため、送信信号を送信する際、抽出キーワード431〜43n(認証キーワード43)を作成する処理負荷が生じず、第2〜第4のECU21〜23の処理負荷の増加を抑えることができる。
(8)第1のECU20は、信頼性を評価する必要のある送信信号を送信する第2〜第4のECU21〜23を、車両ネットワークシステムの起動の都度、送信信号の送信に先立ち送信される認証キーワード43により認識することで、システム構成の変更などの影響を受けることなく、送信信号の信頼性評価を行うことができるようになる。またこれにより、信頼性を評価しなければならない送信信号を送信する第2〜第4のECU21〜23を、予め第1のECU20に登録しておく必要がないため、システムとしての柔軟性も高められる。
(9)第2〜第4のECU21〜23になりすました装置などが車両ネットワークシステムに接続されて車両ネットワークシステムに不正な信号(偽装された信号)が送信され
た場合、当該不正な信号の利用を禁止するため当該不正な信号による影響が車両ネットワークシステムに生じることが排除される。これにより、不正な信号などが車両ネットワークシステムに不都合などを生じさせるおそれを防止することができるようになる。
(第2の実施形態)
以下、本発明にかかる車両ネットワークシステムの第2の実施形態について、図8及び図9を参照して説明する。本実施形態は、送信信号の信頼性評価を可能にする認証信号を必要に応じて送信信号とは別に送信するようにしたことが、先の第1の実施形態に対して主に相違する。そこで以下では主に、本実施形態と、先の第1の実施形態との相違点について説明し、説明の便宜上、同様の構成については同一の符号を付してその説明を割愛する。
第1のECU20の通信部30は、先の第1の実施形態の通信部30と同様であるが、本実施形態では、図9に示すように、通信信号としての送信信号TD10に付すための「CAN ID」の値として”XX”が設定されているとともに、暗号信号TS10に付するための「CAN ID」の値として”YY”が設定されている。この値”YY”は、値”XX”に関連付けられた識別子であり、値”YY”が「CAN ID」に設定された暗号信号TS10は、値”XX”を有する送信信号TD10の信頼性を評価するための信号、いわゆる認証信号であることが車両ネットワークシステムにおいて予め定義されている。
図8に示すように、第1の制御装置としての第1のECU20には、対となる秘密鍵K1と公開鍵K2とを生成する鍵生成部31と、鍵生成部31により生成された秘密鍵K1を保持する秘密鍵保存部32とが設けられている。また、第1のECU20には、車速、エンジン温度、ECUによる処理結果等からなる車両情報データ35と、車両情報データ35の送信元を認証させるための認証データを作成する認証データ作成部36と、認証データから認証信号としての暗号データを作成する暗号データ作成部37とが設けられている。
鍵生成部31は、先の第1の実施形態と同様に、暗号とデジタル署名とが可能なRSA暗号などの公開鍵暗号方式に用いる一対の秘密鍵K1と公開鍵K2(鍵ペア)とを生成するものであり、例えばRSA暗号方式が指定する演算方法により同RSA暗号に用いる鍵ペアを生成する。すなわち鍵ペアを暗号に使用すれば、平文を公開鍵K2で暗号化できるとともに、該暗号化された平文を秘密鍵K1で復号することができる。また、鍵ペアをデジタル署名に使用すれば、秘密鍵K1で暗号化された平文を、公開鍵K2で復号することができるようになる。
車両情報データ35は、車速、エンジン温度、ECUによる処理結果などのうちのいずれか一つの車両情報であり、一つの車両情報データ35には、一つの「CAN ID」が予め対応付けられている。これにより、車両ネットワークシステムでは、「CAN ID」を参照することにより車両情報データ35に含まれている車両情報の種類等と、該車両情報データ35を送信したECU(例えば第1のECU20)とを、不正アクセス等がなければ、正しく特定できるようになっている。
認証データ作成部36は、予め定められたハッシュ関数を用いて得られた車両情報データ35のハッシュ値を、車両情報データ35の送信元が第1のECU20であることを認証させるための認証データとする。ハッシュ関数は、車両情報データ35から予め定められた疑似乱数(ハッシュ値、メッセージダイジェスト)を生成する。なお理論上、同一のハッシュ値を持つ異なるデータ(例えば、偽の車両情報データ)を作成することは極めて困難であることから、ハッシュ関数により作成された認証データは、例えば車両情報デー
タ35から作成されたものであることが保証される。
暗号データ作成部37は、秘密鍵保存部32に保持されている秘密鍵K1に基づいて認証データから暗号データを作成する。この暗号データは公開鍵K2によってのみ復号できるようになっているため、この暗号データを公開鍵K2により復号できれば該暗号データは第1のECU20により生成されたものであることが保証される。
次に、第2の制御装置としての第2のECU21に設けられる、送信信号TD10の信頼性を評価する機能に関する構成について説明する。なお、第3及び第4のECU22,23には、送信信号の信頼性を評価する機能が設けられていないが、それらの他の機能は、第2のECU21の機能と同様であるため、その詳細な説明を割愛する。
第2のECU21には、第1のECU20から送信された公開鍵K2を受信して保持する公開鍵保存部41が設けられている。また、第2のECU21には、第1のECU20の送信した送信信号TD10に含まれている車両情報データ35を保持する受信データ保存部50と、受信データ保存部50に保持された車両情報データ35に基づいて認証データを再生する認証データ再生部51とが設けられている。さらに、第2のECU21には、第1のECUの送信した暗号信号TS10に含まれている暗号データを保存する暗号データ保存部52と、認証データ再生部51が再生した認証データと暗号データから復号された認証データとに基づいて送信信号TD10の信頼性を評価する信頼性評価部53とが設けられている。
受信データ保存部50は、第1のECU20の送信した送信信号TD10を受信した通信部30が同受信した送信信号TD10から取り出した車両情報データ35を取得して保持する。
認証データ再生部51は、第1のECU20が認証データの作成に使用するハッシュ関数と同一のハッシュ関数を有しており、そのハッシュ関数を利用して受信データ保存部50に保持されている車両情報データ35のハッシュ値(メッセージダイジェスト)を生成する。すなわち、受信データ保存部50は、第1のECU20が認証データの生成に用いたハッシュ関数と車両情報データ35とに基づいて再生した認証データである再生認証データを生成する。なお通常、不正アクセス等がなければ、受信データ保存部50は、第1のECU20により生成された認証データと同一の再生認証データを再生する。
暗号データ保存部52は、第1のECU20の送信した暗号信号TS10を受信した通信部30が同受信した暗号信号TS10から通信に必要とされる「CAN ID」などを取り除くことにより取り出した暗号データを取得して保存する。すなわち、第1のECU20により生成された認証データに基づき生成された暗号データが保持される。
信頼性評価部53は、暗号データ保存部52に保持された暗号データを公開鍵保存部41に保存された公開鍵K2に基づいて復号することにより、第1のECU20により生成された認証データである復号認証データを取得する。なお、公開鍵K2により復号することのできる暗号データは、第1のECU20の秘密鍵K1により暗号化された暗号データのみであるため、公開鍵K2により適切に復号される暗号データは秘密鍵K1を用い、すなわち第1のECU20によって暗号化されたものであることが保証される。
そして、信頼性評価部53は、暗号データを復号した復号認証データと、認証データ再生部51の再生認証データとを照合することに基づいて送信信号TD10の信頼性を評価する。これにより、復号認証データと再生認証データとが一致した場合、復号認証データは第1のECU20により送信されたことが保証されていることから、再生認証データの
再生に用いられた車両情報データ35も第1のECU20から送信されたものであることが保証される。また、認証データとしてのハッシュ値が一致していることから、第1のECU20が送信信号TD10として送信した平文データ(車両情報データ35)が、途中で異なるデータに改ざんされてないことも保証される。
次に、このように構成される車両ネットワークシステムの作用について、図10及び図11を併せ参照して説明する。
図9に示すように、第1のECU20は、車両ネットワークシステムの初期化の際、鍵生成部31にて一対の秘密鍵K1と公開鍵K2とを生成し、生成した秘密鍵K1は秘密鍵保存部32に保持する。一方、第1のECU20は、生成した公開鍵K2をネットワーク29に送信して第2のECU21に設定させる。なお、本実施形態では、第3及び第4のECU22,23は、第1のECU20より送信される送信信号の信頼性を評価する必要がないため、第1のECU20により生成された公開鍵K2が設定されない。
そして、このような初期化処理が終了した後、車両ネットワークシステムが起動され、第1のECU20から第2のECU21に対して信頼性評価を必要とされる送信信号TD10が送信されるものとする。送信信号TD10は、通常のCANプロトコルのフォーマットにて構成された信号であり、CAN IDの値”XX”、平文データ(車両情報データ35)の値”123・・・”を有している。そして、この送信信号TD10がネットワーク29に送信されることにより、同ネットワーク29に接続されている第2〜第4のECU21〜23はそれぞれ、CAN IDの値”XX”、平文データの値”123・・・”からなる受信信号RD11〜13を受信する。
ところで、本実施形態では、第1のECU20は、送信信号TD10の送信に先立ち同送信信号TD10の信頼性評価に用いられる暗号信号TS10をネットワーク29に送信する。すなわち、図10に示すように、第1のECU20は、平文データである車両情報データ35のハッシュ値(メッセージダイジェスト)を認証データとして生成し(図10のステップS40)、この生成した認証データを秘密鍵K1により暗号化した暗号データを含む暗号信号TS10を作成する(図10のステップS41)。例えば、平文データ”123・・・”から生成した認証データを暗号化することで暗号データとしての”608・・・”が得られる。そして、この暗号データを含むようにCANプロトコルのフォーマットに構成された暗号信号TS10は、CAN IDの値”YY”、暗号データの値”608・・・”を有する。暗号信号TS10が作成されると、第1のECU20は、作成された暗号信号TS10を送信する(図10のステップS42)とともに、当該暗号信号TS10に対応する通常の信号である送信信号TD10を送信する(図10のステップS43)。これにより、第1のECU20による、送信信号TD10の送信と、この送信信号の信頼性を評価するための暗号信号TS10の送信とが終了する。
一方、第2のECU21は、送信信号TD10と暗号信号TS10をそれぞれ受信するとともに、受信した送信信号TD10と暗号信号TS10とに基づいて送信信号TD10の信頼性を評価する。すなわち、図11に示すように、第2のECU21は、暗号信号TS10を受信する(図11のステップS50)。なお、第2のECU21は、暗号信号TS10を受信することにより、この暗号信号TS10のCAN IDの値”YY”に対応するCAN IDの値”XX”を有する送信信号TD10が送信されることを予測することができる。暗号信号TS10を受信すると、第2のECU21は、暗号信号TS10から復号認証データを得る(図11のステップS51)。また、第2のECU21は、暗号信号TS10に対応する送信信号TD10から平文データ(車両情報データ35)を得る(図11のステップS52)とともに、再生認証データとして平文データ(車両情報データ35)のハッシュ値(メッセージダイジェスト)を生成する(図11のステップS53)。復号認証データ(メッセージダイジェスト)と再生認証データと(メッセージダイジ
ェスト)が得られると、第2のECU21は、それら復号認証データと再生認証データとを照合する(図11のステップS54)。照合の結果、復号認証データと再生認証データとが一致すると判断した場合(図11のステップS55でYES)、送信信号TD10は適正であると判定する(図11のステップS56)。一方、照合の結果、復号認証データと再生認証データとが一致しないと判断した場合(図11のステップS55でNO)、送信信号TD10は不正であると判定する(図11のステップS57)。これにより、送信信号TD10の信頼性が評価されるようになる。そして、第1のECU20により送信された送信信号TD10の信頼性評価が終了される。
以上説明したように、本実施形態の車両ネットワークシステムによれば、以下に列記するような効果が得られるようになる。
(10)初期化処理の実行にて公開鍵K2が設定されるので、公開鍵K2を送信する第1の制御装置は初期化処理の実行の際に車両ネットワークシステムに含まれていた装置であることが特定される。また、第2のECU21は、送信信号TD10から生成された再生認証データと、第1のECU20の暗号データを復号して得られた復号認証データとを比較することにより、送信信号TD10の送信元が第1のECU20であること及び送信信号TD10に改ざんが加えられていないことを判定することができる。例えばネットワーク29を流れる送信信号TD10が改ざんされたとしても、これに対応する暗号信号TS10の認証データ(暗号データ)を改ざんすることができないため、送信信号TD10の改ざんを検出することができる。これにより、第1のECU20になりすました装置からの偽装された信号などが検出可能となり、通信信号の信頼性を向上させることができるようになる。
(11)またネットワークには、第1のECU20から送信信号TD10そのものも送信されるため、送信信号TD10の信頼性を評価しない第3及び第4のECU22,23は、従来通り、第1のECU20から送信信号TD10を受信して利用することができる。このため、この送信信号TD10の信頼性を評価するシステムを既存の車両ネットワークシステムに適用することも容易である。
(12)ハッシュ関数により送信信号TD10、特に車両情報データ35から適切な大きさ(強度)の認証データを算出することができるようになる。これにより車両ネットワークシステムの設計自由度が高められる。
(13)第1のECU20が初期化処理の実行時に秘密鍵K1と公開鍵K2とを生成することから、秘密鍵K1及び公開鍵K2が事前に漏洩するようなおそれがない。
(14)初期化処理時に公開鍵K2を配布するため、車両ネットワークシステムを構成している適正な第2のECU21に正確かつ効率よく公開鍵K2を配布することができる。
(その他の実施形態)
なお上記各実施形態は、以下の態様で実施することもできる。
・上記各実施形態では、ネットワーク29は、CANである場合について例示した。しかしこれに限らず、ネットワークは、イーサーネット(登録商標)や、フレックスレイ(登録商標)など車両のネットワークとして利用可能な、公知のネットワークを利用することができる。またネットワークは、無線接続でも有線接続でもよい、これらの接続が混合されていてもよい。これにより、車両ネットワークシステムの適用範囲が拡大されるとともに、同システムの設計の自由度も高められる。
・上記第1の実施形態では、公開鍵K2が設定されたタイミングで認証キーワード43を生成する場合について例示したが、これに限らず、ECUの処理能力に余裕があり、公
開鍵を保持しており、かつ送信信号に付加するよりも前であれば、どのタイミングで認証キーワードを生成してもよい。
・上記各実施形態では、公開鍵K2が一度だけ公開される場合について例示したが、これに限らず、不正に追加された装置が取得されないようにできるのであれば、公開鍵を複数回公開するようにしてもよい。
・上記第1の実施形態では、公開鍵保存部41に公開鍵K2が保持されている場合について例示したが、しかしこれに限らず、認証キーワードを生成した後は公開鍵を使用しないため、認証キーワードを生成後に公開鍵を消去するようにしてもよい。これにより、第2のECUなどから公開鍵が消去されるため、公開鍵配布後に公開鍵が漏洩するおそれなどが防止され、通信信号の信頼性がさらに向上するようになる。
・上記第1の実施形態では、送信信号において車両情報データ44の後に抽出キーワード431(〜43n)を付加する場合について例示したが、これに限らず、ネットワークにおいて通信できるフォーマット形式を維持できるのであれば、抽出キーワードはデータの前など、その他の場所に付加されてもよい。これにより、送信信号に対する抽出キーワードの付加の自由度が高められ、このような送信信号の信頼性を評価の適用範囲が広げられるようになる。
・上記第1の実施形態では、第1のECU20は、ネットワーク29に接続されている他の全てのECU(第2〜第4のECU21〜23)の送信信号の信頼性を評価する場合について例示した。しかしこれに限らず、第1のECUは、ネットワークに接続されている他の一部の(1又は複数の)ECUの送信信号の信頼性を評価するようにしてもよい。この場合、信頼性評価の対象外の送信信号に抽出キーワードを付加する必要がなくなるなど、車両ネットワークシステムとしての設計自由度が高められる。
・上記第2の実施形態では、第1のECU20より送信される送信信号の信頼性の評価を一つのECU(第2のECU21)のみが行う場合について例示した。しかしこれに限らず、第1のECUより送信される送信信号の信頼性の評価を複数のECU(第2〜第4のECUなど)が評価するようにしてもよい。これにより、車両ネットワークシステムとしての設計自由度が高められる。
・上記第2の実施形態では、送信側のECUである第1のECU20が送信信号TD10の送信に先立ち暗号信号TS10を送信し、受信側のECUである第2のECU21が送信信号TD10より先に暗号信号TS10を受信する場合について例示した。しかしこれに限らず、送信側のECUは送信信号の送信の後に暗号信号を送信するようにし、受信側のECUが送信信号の後に暗号信号を受信するようにしてもよい。これにより、車両ネットワークシステムとしての設計自由度が高められる。
・上記第1の実施形態では、公開鍵暗号方式としてRSA暗号を用いる場合について例示したが、これに限らず、公開鍵暗号方式としては、公開鍵により暗号化された平文を秘密鍵により復号することのできる関係が成り立つ方式であれば、その他の公知の公開鍵暗号方式を利用することができる。これにより、車両ネットワークシステムの設計の自由度や適用可能性などが拡張されるようになる。
・上記第2の実施形態では、公開鍵暗号方式としてRSA暗号を用いる場合について例示したが、これに限らず、公開鍵暗号方式としては、秘密鍵により暗号化された平文を公開鍵により復号することのできる関係が成り立つ方式、すなわちデジタル署名に用いることができる方式であれば、その他の公知の公開鍵暗号方式を利用することができる。これ
により、車両ネットワークシステムの設計の自由度や適用可能性などが拡張されるようになる。
・上記第1の実施形態では、認証マスターが第1のECU20だけである場合について例示したが、これに限らず、認証マスターを複数設けてもよい。これにより、車両ネットワークシステムのセキュリティーをより高く維持することができるようになる。
・上記第1の実施形態では、第1のECU20による送信信号の信頼性の評価が継続的に行われる場合について例示したが、これに限らず、送信信号の信頼性の評価を、適宜行うようにしてもよい。例えば、ネットワークに流される送信信号の頻度に異変がある場合に送信信号の信頼性を評価するようにしてもよい。これにより、送信信号の評価を適切に行うことができるようにもなる。
・上記第2の実施形態では、送信信号TD10に対応する暗号信号TS10には「CAN ID」の値“YY”が対応付けられている場合について例示したが、これに限らず、送信信号に対応する暗号信号に用いられる「CAN ID」の値を事前に定めたルールに従って変更するようにしてもよい。これにより、「CAN ID」の盗用や、「CAN ID」を用いた偽装をより難しくすることができる。
・上記第2の実施形態では、ハッシュ関数を利用して認証データを生成する場合について例示したが、これに限らず、予め定めた計算ルールに従って認証データを生成するようにしてもよい。これにより、車両ネットワークシステムの設計自由度が向上するようになる。
・上記各実施形態では、第1のECU20により鍵ペアが生成される場合について例示したが、これに限らず、予め生成された鍵ペアを用いるようにしてもよい。また、予め生成された鍵ペアであれば、予め各ECUに配布しておくようにしてもよい。これにより、車両ネットワークシステムの設計自由度が向上するようになる。
10…車両、20…第1のECU、21…第2のECU、22…第3のECU、23…第4のECU、29…ネットワーク、30…通信部、31…鍵生成部、32…秘密鍵保存部、33…接続ECU管理部、34…キーワード認証部、35…車両情報データ、36…認証データ作成部、37…暗号データ作成部、41…公開鍵保存部、42…認証キーワード生成保存部、43…認証キーワード、44…車両情報データ、45…認証キーワード付加部、50…受信データ保存部、51…認証データ再生部、52…暗号データ保存部、53…信頼性評価部、100…ネットワークシステム、120…ネットワーク、K1…秘密鍵、K2…公開鍵。

Claims (12)

  1. 車両に設けられる複数の制御装置が通信可能にネットワーク接続された車両ネットワークシステムにおいて、
    前記複数の制御装置には、前記車両ネットワークシステムが構築されたときのシステムを有効化する初期化処理が実行されることに基づいて、対となる秘密鍵と公開鍵とのうち、秘密鍵が設定された第1の制御装置と、公開鍵が設定された第2の制御装置とが含まれており、
    前記第2の制御装置は、前記設定された公開鍵と該第2の制御装置を特定可能な情報とから認証情報を作成するとともに、該作成した認証情報を他の制御装置に送信する通信信号に付加して前記ネットワークに送信し、
    前記第1の制御装置は、前記第2の制御装置から送信された通信信号に付加されている認証情報を取得するとともに、該取得した認証情報と前記設定された秘密鍵とに基づいて前記通信信号の信頼性を評価する
    ことを特徴とする車両ネットワークシステム。
  2. 前記第2の制御装置は、前記作成した認証情報を複数に分割するとともに、それら分割した認証情報を通信信号に順次付加して送信し、
    前記第1の制御装置は、前記通信信号を順次受信して得られる前記分割された認証情報から分割前の認証情報を再構成し、この再構成した認証情報に基づいて前記通信信号の信頼性を評価する
    請求項1に記載の車両ネットワークシステム。
  3. 前記第1の制御装置は、前記初期化処理が実行されることに基づいて前記対となる秘密鍵と公開鍵とを生成するものであり、該生成した鍵のうち、秘密鍵を第1の制御装置自身に設定し、公開鍵を前記第2の制御装置に設定する
    請求項1又は2に記載の車両ネットワークシステム。
  4. 前記第1の制御装置は、前記生成した公開鍵の前記第2の制御装置への設定を前記ネットワークを介して行う
    請求項3に記載の車両ネットワークシステム。
  5. 前記第2の制御装置は、前記公開鍵が設定されたタイミングで前記認証情報を作成する
    請求項1〜4のいずれか一項に記載の車両ネットワークシステム。
  6. 前記第2の制御装置は、前記認証情報を作成した後、前記設定された公開鍵を消去する
    請求項1〜5のいずれか一項に記載の車両ネットワークシステム。
  7. 前記第2の制御装置は、前記車両ネットワークシステムが起動される都度、前記通信信号の送信に先立ち、前記認証情報を前記ネットワークに送信し、
    前記第1の制御装置は、前記第2の制御装置からの通信信号の受信に先立って受信された認証情報を取得して記憶し、該記憶した認証情報を前記通信信号に付加されている認証情報と比較することで前記通信信号の信頼性を評価する
    請求項1〜6のいずれか一項に記載の車両ネットワークシステム。
  8. 前記第1の制御装置は、前記通信信号に信頼性がないと判断したとき、前記第2の制御装置の送信する通信信号の当該車両ネットワークシステムでの利用を禁止する
    請求項1〜7のいずれか一項に記載の車両ネットワークシステム。
  9. 車両に設けられる複数の制御装置が通信可能にネットワーク接続された車両ネットワー
    クシステムにおいて、
    前記複数の制御装置には、前記車両ネットワークシステムが構築されたときのシステムを有効化する初期化処理が実行されることに基づいて、対となる秘密鍵と公開鍵とのうち、秘密鍵が設定された第1の制御装置と、公開鍵が設定された第2の制御装置とが含まれており、
    前記第1の制御装置は、前記ネットワークを介して他の制御装置に通信信号を送信するとともに、前記設定された秘密鍵と、前記通信信号に基づいて生成された認証データとに基づいて作成した認証信号を送信し、
    前記第2の制御装置は、前記第1の制御装置から送信された前記通信信号と前記認証信号とをそれぞれ受信して、該受信した通信信号に基づいて生成した認証データと、前記認証信号と前記設定された公開鍵とに基づいて復号された認証データとの比較に基づいて前記通信信号の信頼性を評価する
    ことを特徴とする車両ネットワークシステム。
  10. 前記第1の制御装置は、前記通信信号にハッシュ関数を適用して算出した認証データを前記秘密鍵に基づいて暗号化することにより前記認証信号を生成するものであり、
    前記第2の制御装置は、前記受信した通信信号に前記ハッシュ関数を適用して算出した認証データと、前記認証信号を復号して得られた認証データとの比較に基づいて前記通信信号の信頼性を評価する
    請求項9に記載の車両ネットワークシステム。
  11. 前記第1の制御装置は、前記初期化処理が実行されることに基づいて前記対となる秘密鍵と公開鍵とを生成するものであり、該生成した鍵のうち、秘密鍵を第1の制御装置自身に設定し、公開鍵を前記第2の制御装置に設定する
    請求項9又は10に記載の車両ネットワークシステム。
  12. 前記第1の制御装置は、前記生成した公開鍵の前記第2の制御装置への設定を前記ネットワークを介して行う
    請求項11に記載の車両ネットワークシステム。
JP2011048020A 2011-03-04 2011-03-04 車両ネットワークシステム Expired - Fee Related JP5310761B2 (ja)

Priority Applications (6)

Application Number Priority Date Filing Date Title
JP2011048020A JP5310761B2 (ja) 2011-03-04 2011-03-04 車両ネットワークシステム
CN201280011347.5A CN103404112B (zh) 2011-03-04 2012-03-02 车辆网络系统
BR112013022417-7A BR112013022417B1 (pt) 2011-03-04 2012-03-02 Sistema de rede de veículo
EP12719045.2A EP2681901B1 (en) 2011-03-04 2012-03-02 Vehicle network system
PCT/IB2012/000389 WO2012120350A2 (en) 2011-03-04 2012-03-02 Vehicle network system
US14/002,542 US9413732B2 (en) 2011-03-04 2012-03-02 Vehicle network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011048020A JP5310761B2 (ja) 2011-03-04 2011-03-04 車両ネットワークシステム

Publications (2)

Publication Number Publication Date
JP2012186635A true JP2012186635A (ja) 2012-09-27
JP5310761B2 JP5310761B2 (ja) 2013-10-09

Family

ID=46028000

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011048020A Expired - Fee Related JP5310761B2 (ja) 2011-03-04 2011-03-04 車両ネットワークシステム

Country Status (5)

Country Link
US (1) US9413732B2 (ja)
EP (1) EP2681901B1 (ja)
JP (1) JP5310761B2 (ja)
BR (1) BR112013022417B1 (ja)
WO (1) WO2012120350A2 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016134170A (ja) * 2015-01-20 2016-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正対処方法及び電子制御ユニット
WO2016116977A1 (ja) * 2015-01-20 2016-07-28 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正対処方法及び電子制御ユニット
WO2016208227A1 (ja) * 2015-06-22 2016-12-29 Kddi株式会社 管理システム、車両、管理装置、車載コンピュータ、管理方法、及びコンピュータプログラム
JP2017130908A (ja) * 2016-01-18 2017-07-27 Kddi株式会社 車載コンピュータシステム、車両、鍵生成装置、管理方法、鍵生成方法、及びコンピュータプログラム
US9787677B2 (en) 2014-10-02 2017-10-10 Hyundai Motor Company Method of authenticating can packets using mixture of MACs and apparatus for implementing the same
US10050983B2 (en) 2015-11-13 2018-08-14 Kabushiki Kaisha Toshiba Communication system, receiving apparatus, receiving method, and computer program product

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2832070B1 (en) * 2012-03-29 2020-05-20 Arilou Information Security Technologies Ltd. Device for protecting a vehicle electronic system
US9594914B2 (en) * 2012-03-30 2017-03-14 Intel Corporation Collecting data from processor-based devices
US20150244520A1 (en) * 2014-02-21 2015-08-27 Safe Frontier Llc One-time-pad data encryption with media server
KR102236282B1 (ko) * 2014-03-19 2021-04-05 콘티넨탈 오토모티브 코리아(주) 차량용 통신 데이터 인증 방법 및 시스템
US9792440B1 (en) * 2014-04-17 2017-10-17 Symantec Corporation Secure boot for vehicular systems
EP3142288B1 (en) * 2014-05-08 2018-12-26 Panasonic Intellectual Property Corporation of America In-car network system, electronic control unit and update processing method
US9215228B1 (en) * 2014-06-17 2015-12-15 Cisco Technology, Inc. Authentication of devices having unequal capabilities
DE102015220226A1 (de) * 2015-10-16 2017-04-20 Volkswagen Aktiengesellschaft Verfahren zur Zertifizierung durch ein Steuergerät eines Fahrzeugs
US10218702B2 (en) 2015-11-09 2019-02-26 Silvercar, Inc. Vehicle access systems and methods
JP6561811B2 (ja) * 2015-12-09 2019-08-21 株式会社オートネットワーク技術研究所 車載通信装置、車載通信システム及び車両特定処理禁止方法
US10181228B2 (en) * 2016-02-08 2019-01-15 Allstate Insurance Company Telematics authentication
WO2018026030A1 (ko) * 2016-08-03 2018-02-08 엘지전자 주식회사 차량 및 그 제어방법
JP6956624B2 (ja) * 2017-03-13 2021-11-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 情報処理方法、情報処理システム、及びプログラム
JP6724829B2 (ja) 2017-03-16 2020-07-15 株式会社デンソー 制御装置
JP7094670B2 (ja) * 2017-07-03 2022-07-04 矢崎総業株式会社 設定装置及びコンピュータ
US10218499B1 (en) * 2017-10-03 2019-02-26 Lear Corporation System and method for secure communications between controllers in a vehicle network
US11178158B2 (en) * 2018-01-29 2021-11-16 Nagravision S.A. Secure communication between in-vehicle electronic control units
US11269807B2 (en) * 2018-02-22 2022-03-08 Ford Motor Company Method and system for deconstructing and searching binary based vehicular data
US20200112439A1 (en) * 2018-10-03 2020-04-09 Panasonic Automotive Systems Company Of America, Division Of Panasonic Corporation Of North America Secure controller area network in vehicles
US11290437B2 (en) * 2018-12-27 2022-03-29 Beijing Voyager Technology Co., Ltd. Trusted platform protection in an autonomous vehicle
KR20200102213A (ko) * 2019-02-21 2020-08-31 현대자동차주식회사 차량 내 네트워크에서 보안을 제공하는 방법 및 시스템
RU2716871C1 (ru) * 2019-03-19 2020-03-17 Дмитрий Михайлович Михайлов Система и способ защиты электронных систем управления транспортных средств от несанкционированного вторжения
US11618395B2 (en) * 2019-09-17 2023-04-04 Ford Global Technologies, Llc Vehicle data verification
DE102019218045A1 (de) * 2019-11-22 2021-05-27 Volkswagen Aktiengesellschaft Verfahren zur Überwachung der Kommunikation auf einem Kommunikationsbus, elektronische Vorrichtung zum Anschluss an einen Kommunikationsbus, sowie zentrale Überwachungsvorrichtung zum Anschluss an einen Kommunikationsbus
CN116528235B (zh) * 2023-06-30 2023-10-20 华侨大学 基于扩展切比雪夫多项式的车地无线通信认证方法及系统

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005012466A (ja) * 2003-06-18 2005-01-13 Denso Corp メッセージ認証方法及びメッセージ認証システム
JP2005092723A (ja) * 2003-09-19 2005-04-07 Kyocera Communication Systems Co Ltd 端末装置、端末装置を目的装置に接続させるための接続装置
WO2005041474A1 (ja) * 2003-10-28 2005-05-06 The Foundation For The Promotion Of Industrial Science 認証システム及び遠隔分散保存システム
JP2005313430A (ja) * 2004-04-28 2005-11-10 Toyobo Co Ltd 銅張り積層フィルム及びその製造方法
JP2005348064A (ja) * 2004-06-02 2005-12-15 Denso Corp 通信システム、暗号化/復号中継装置、及び通信制御装置
JP2006260490A (ja) * 2005-03-18 2006-09-28 Fujitsu Ltd 電子メール転送方法及び装置
JP2007208439A (ja) * 2006-01-31 2007-08-16 I-O Data Device Inc 暗号鍵設定方法、ネットワークシステム、無線lan用中継器、無線lanアダプタ、および暗号鍵設定プログラム
JP2007214696A (ja) * 2006-02-07 2007-08-23 Hitachi Ltd 車両制御装置間ネットワーク
JP2009205430A (ja) * 2008-02-27 2009-09-10 Murata Mach Ltd 電子メール中継装置及び電子メール中継方法

Family Cites Families (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1997031454A1 (en) * 1996-02-22 1997-08-28 Kvaser Consultant Ab Device in a system operating with can-protocol and in a control and/or supervision system
US6122277A (en) * 1997-08-19 2000-09-19 International Business Machines Corporation Parallel computer network broadcasting and acknowledgement
US6044468A (en) * 1997-08-25 2000-03-28 Emc Corporation Secure transmission using an ordinarily insecure network communication protocol such as SNMP
JP2001069151A (ja) * 1999-08-26 2001-03-16 Matsushita Electric Ind Co Ltd 基地局装置、識別子管理装置及び識別子割当て方法
US6754811B1 (en) * 2000-06-16 2004-06-22 International Business Machines Corporation Operating system device centric agent
US6928336B2 (en) * 2001-02-12 2005-08-09 The Stanley Works System and architecture for providing a modular intelligent assist system
WO2003034206A2 (en) * 2001-10-18 2003-04-24 Matsushita Electric Industrial Co., Ltd. Host network interface device and drive network interface device
US20030163692A1 (en) * 2002-01-31 2003-08-28 Brocade Communications Systems, Inc. Network security and applications to the fabric
US8035508B2 (en) * 2002-06-11 2011-10-11 Intelligent Technologies International, Inc. Monitoring using cellular phones
US7404078B2 (en) * 2002-06-26 2008-07-22 Lucent Technologies Methods and apparatus for private certificates in public key cryptography
US7137142B2 (en) 2002-06-28 2006-11-14 Motorola, Inc. Method and system for vehicle authentication of a component using key separation
JP3991927B2 (ja) 2003-06-12 2007-10-17 株式会社デンソー 盗難防止システム
US7034654B2 (en) * 2004-01-13 2006-04-25 General Motors Corporation Motor vehicle engine immobilizer security system and method
CN100492248C (zh) 2004-04-29 2009-05-27 宝马股份公司 验证汽车中的控制设备
JP4742682B2 (ja) * 2005-06-01 2011-08-10 富士ゼロックス株式会社 コンテンツ保護装置及びコンテンツ保護解除装置
JP4983017B2 (ja) * 2005-12-21 2012-07-25 富士通株式会社 情報アクセス・システム、および非接触情報記憶装置内の情報にアクセスする方法
KR101101812B1 (ko) * 2006-01-09 2012-01-05 삼성전자주식회사 디스플레이장치 및 그 제어방법
JP4366382B2 (ja) * 2006-08-02 2009-11-18 株式会社東海理化電機製作所 充電システム
JP2008189209A (ja) 2007-02-07 2008-08-21 Hitachi Ltd 車両制御装置間ネットワークおよび制御装置
US7921316B2 (en) * 2007-09-11 2011-04-05 International Business Machines Corporation Cluster-wide system clock in a multi-tiered full-graph interconnect architecture
US8327130B2 (en) * 2007-09-25 2012-12-04 Rockwell Automation Technologies, Inc. Unique identification of entities of an industrial control system
US20090119657A1 (en) * 2007-10-24 2009-05-07 Link Ii Charles M Methods and systems for software upgrades
WO2009147734A1 (ja) 2008-06-04 2009-12-10 株式会社ルネサステクノロジ 車両、メンテナンス装置、メンテナンスサービスシステム及びメンテナンスサービス方法
DE602008004896D1 (de) 2008-06-19 2011-03-24 Bosch Gmbh Robert Sensoreinheit zum Senden von Daten und Signatur für die Daten in einer Echtzeitumgebung
DE102009033215A1 (de) * 2008-07-15 2010-01-21 Airbus Operations Gmbh Netzwerkverwaltungs-System für ein Flugzeug
US8489796B2 (en) * 2008-07-18 2013-07-16 Dearborn Group, Inc. Wireless protocol adapter assembly with interchangeable connectors
JP5463738B2 (ja) * 2008-09-22 2014-04-09 沖電気工業株式会社 無線通信システム、アクセスポイント、コントローラ、ネットワーク管理装置及びアクセスポイントのネットワーク識別子設定方法
TWI501608B (zh) * 2009-01-23 2015-09-21 Ind Tech Res Inst 資料收集之方法及其主動裝置與從動裝置
TW201111194A (en) * 2009-09-18 2011-04-01 Liu I Sheng Auto-meter system with controller area network bus
WO2011055425A1 (ja) * 2009-11-04 2011-05-12 トヨタ自動車株式会社 車両用ゲートウェイ装置
JP2011128793A (ja) * 2009-12-16 2011-06-30 Sony Corp 電動移動体、課税サーバ、充電装置、駆動管理方法、及びプログラム
US20120124179A1 (en) * 2010-11-12 2012-05-17 Realnetworks, Inc. Traffic management in adaptive streaming protocols
US8594003B2 (en) * 2011-01-05 2013-11-26 Visoft Ltd. Method of estimating location of mobile device in transportation using WiFi
US8914636B2 (en) * 2011-06-28 2014-12-16 Interdigital Patent Holdings, Inc. Automated negotiation and selection of authentication protocols
US9852386B2 (en) * 2012-05-18 2017-12-26 Charepoint, Inc. Flexible administrative model in an electric vehicle charging service network
US8964906B1 (en) * 2012-10-05 2015-02-24 L-3 Communications Corp. Digital signal processing apparatus having parameter memory device and process of using such
KR101519793B1 (ko) * 2014-06-24 2015-05-12 현대자동차주식회사 차량용 네트워크 시스템 및 이 시스템 내 이종 통신 제어기의 데이터 전송 방법

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005012466A (ja) * 2003-06-18 2005-01-13 Denso Corp メッセージ認証方法及びメッセージ認証システム
JP2005092723A (ja) * 2003-09-19 2005-04-07 Kyocera Communication Systems Co Ltd 端末装置、端末装置を目的装置に接続させるための接続装置
WO2005041474A1 (ja) * 2003-10-28 2005-05-06 The Foundation For The Promotion Of Industrial Science 認証システム及び遠隔分散保存システム
JP2005313430A (ja) * 2004-04-28 2005-11-10 Toyobo Co Ltd 銅張り積層フィルム及びその製造方法
JP2005348064A (ja) * 2004-06-02 2005-12-15 Denso Corp 通信システム、暗号化/復号中継装置、及び通信制御装置
JP2006260490A (ja) * 2005-03-18 2006-09-28 Fujitsu Ltd 電子メール転送方法及び装置
JP2007208439A (ja) * 2006-01-31 2007-08-16 I-O Data Device Inc 暗号鍵設定方法、ネットワークシステム、無線lan用中継器、無線lanアダプタ、および暗号鍵設定プログラム
JP2007214696A (ja) * 2006-02-07 2007-08-23 Hitachi Ltd 車両制御装置間ネットワーク
JP2009205430A (ja) * 2008-02-27 2009-09-10 Murata Mach Ltd 電子メール中継装置及び電子メール中継方法

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9787677B2 (en) 2014-10-02 2017-10-10 Hyundai Motor Company Method of authenticating can packets using mixture of MACs and apparatus for implementing the same
JP2016134170A (ja) * 2015-01-20 2016-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正対処方法及び電子制御ユニット
WO2016116977A1 (ja) * 2015-01-20 2016-07-28 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正対処方法及び電子制御ユニット
JP2020013607A (ja) * 2015-01-20 2020-01-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正対処方法及び路側機
JP2021185503A (ja) * 2015-01-20 2021-12-09 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正対処方法及び車両の外部に設置された情報処理装置
JP7146036B2 (ja) 2015-01-20 2022-10-03 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正対処方法及び車両の外部に設置された情報処理装置
WO2016208227A1 (ja) * 2015-06-22 2016-12-29 Kddi株式会社 管理システム、車両、管理装置、車載コンピュータ、管理方法、及びコンピュータプログラム
JP2017011482A (ja) * 2015-06-22 2017-01-12 Kddi株式会社 管理システム、車両、管理装置、車載コンピュータ、管理方法、及びコンピュータプログラム
US10050983B2 (en) 2015-11-13 2018-08-14 Kabushiki Kaisha Toshiba Communication system, receiving apparatus, receiving method, and computer program product
JP2017130908A (ja) * 2016-01-18 2017-07-27 Kddi株式会社 車載コンピュータシステム、車両、鍵生成装置、管理方法、鍵生成方法、及びコンピュータプログラム
JP2018023162A (ja) * 2016-01-18 2018-02-08 Kddi株式会社 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
US10855460B2 (en) 2016-01-18 2020-12-01 Kddi Corporation In-vehicle computer system, vehicle, key generation device, management method, key generation method, and computer program

Also Published As

Publication number Publication date
JP5310761B2 (ja) 2013-10-09
WO2012120350A2 (en) 2012-09-13
US20140040992A1 (en) 2014-02-06
WO2012120350A3 (en) 2012-11-08
EP2681901A2 (en) 2014-01-08
BR112013022417A2 (pt) 2016-12-13
CN103404112A (zh) 2013-11-20
US9413732B2 (en) 2016-08-09
BR112013022417B1 (pt) 2022-07-26
EP2681901B1 (en) 2017-07-26

Similar Documents

Publication Publication Date Title
JP5310761B2 (ja) 車両ネットワークシステム
US10855460B2 (en) In-vehicle computer system, vehicle, key generation device, management method, key generation method, and computer program
CN109257374B (zh) 安全控制方法、装置和计算机设备
US9132790B2 (en) In-vehicle network system
CN106302379B (zh) 车载电器的认证方法、系统及其装置
CN111279310A (zh) 一种车载设备升级方法及相关设备
JP6260067B1 (ja) 管理システム、鍵生成装置、車載コンピュータ、管理方法、及びコンピュータプログラム
US20130251152A1 (en) Key transport protocol
JP2010011400A (ja) 共通鍵方式の暗号通信システム
JP2014204444A (ja) センサへの操作及び/又はセンサのセンサデータへの操作を検出するための方法及び装置
JP2018078484A (ja) 再利用システム、鍵生成装置、データ保安装置、車載コンピュータ、再利用方法、及びコンピュータプログラム
CN113138775B (zh) 车载诊断系统固件保护方法及系统
CN114793184B (zh) 一种基于第三方密钥管理节点的安全芯片通信方法及装置
JP6547180B2 (ja) 通信システム
JP6203798B2 (ja) 車載制御システム、車両、管理装置、車載コンピュータ、データ共有方法、及びコンピュータプログラム
KR102236282B1 (ko) 차량용 통신 데이터 인증 방법 및 시스템
Spaan et al. Secure updates in automotive systems
WO2017126322A1 (ja) 車載コンピュータシステム、車両、鍵生成装置、管理方法、鍵生成方法、及びコンピュータプログラム
JP4321303B2 (ja) プログラム配信システムおよび車載ゲートウェイ装置
CN117597688A (zh) 一种密钥验证方法及相关装置
JP6454919B2 (ja) 管理システム、データ提供装置、車載コンピュータ、管理方法、及びコンピュータプログラム
CN116419217B (zh) Ota数据升级方法、系统、设备及存储介质
KR102259674B1 (ko) 블록체인을 활용한 운영프로그램 인증 방법
JP2017208731A (ja) 管理システム、管理装置、車載コンピュータ、管理方法、及びコンピュータプログラム
CN103404112B (zh) 车辆网络系统

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130212

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130408

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130604

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130617

R151 Written notification of patent or utility model registration

Ref document number: 5310761

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees