JP2014183395A - 車載ネットワークシステム - Google Patents
車載ネットワークシステム Download PDFInfo
- Publication number
- JP2014183395A JP2014183395A JP2013055506A JP2013055506A JP2014183395A JP 2014183395 A JP2014183395 A JP 2014183395A JP 2013055506 A JP2013055506 A JP 2013055506A JP 2013055506 A JP2013055506 A JP 2013055506A JP 2014183395 A JP2014183395 A JP 2014183395A
- Authority
- JP
- Japan
- Prior art keywords
- vehicle network
- ecu
- network system
- communication
- session key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
【課題】通信トラフィックを増加させずに信頼性の高いセキュリティを有する車載ネットワークシステムを提供することにある。
【解決手段】車載ネットワークは、CSMA/CR方式で多重通信を行うため複数ノードの同時発信状態による衝突を検出もしくは調停する通信フレーム部分にメッセージ種別の識別子ともにセキュリティ情報を含ませている。セキュリティ情報は、例えば、メッセージ種別の識別子に対応付けられたシーケンス番号である。また、車載ネットワークシステムが、各正規ノードが通信に先立って恒久的ではないセッション鍵の共有を行い、該セッション鍵を各送受信ノード内部に規定時刻まで保持し認証に用いる場合、セキュリティ情報は該セッション鍵である。
【選択図】図2
【解決手段】車載ネットワークは、CSMA/CR方式で多重通信を行うため複数ノードの同時発信状態による衝突を検出もしくは調停する通信フレーム部分にメッセージ種別の識別子ともにセキュリティ情報を含ませている。セキュリティ情報は、例えば、メッセージ種別の識別子に対応付けられたシーケンス番号である。また、車載ネットワークシステムが、各正規ノードが通信に先立って恒久的ではないセッション鍵の共有を行い、該セッション鍵を各送受信ノード内部に規定時刻まで保持し認証に用いる場合、セキュリティ情報は該セッション鍵である。
【選択図】図2
Description
本発明は、車載ネットワークシステムに係り、とくに、セキュリティの向上した車載ネットワークシステムに関する。
近年、乗用車、トラック、バス等には、各機能部の制御を行う車載ECU(Electronic Control Unit)が多数搭載されている。各ECUは車載ネットワークを介して相互接続し、協調動作する。
通常、この車載ネットワーク上でやり取りされる通信データは、ネットワークを構成する車載ECUの制御プログラムで厳密に定義され運用されている。また、このような車載ネットワークシステムで用いられる通信プロトコルは、既存ECUのソフトウェアを更新せずとも新設ECUを接続しやすく、通信ノードの機能的な配置・分散形態を変更しやすくする方式を採用することが常である。これは、裏を返せば当該ネットワークに接続されている車載ECUを誤ってもしくは意図的に取り外したり、同ネットワークに誤ってもしくは意図的に別装置を取り付けたりすることをも容易に許容される方式であることを意味している。
すなわち、ネットワークから車載ECUが予期せず取り外されたり、予期しない別装置がネットワークに取り付けられ、権限を無視した通信の傍受や、権限を無視した通信データの送信を行ったりすることが可能である。これによって当該ネットワークへの不正なアクセスが引き起こされたり、ネットワークの通信障害や誤った車両制御が生じさせられたりするなど、車載ネットワークプロトコルとしての設計的柔軟性が、逆に車両ネットワークシステムとしての脆弱性を引き起こしている状況が危惧されている。
この中で、CANにより構成されたネットワークシステムは、不正なアクセスにより偽ECUが正規のECUに成り済ますことができるという点が車載ネットワークにおける脆弱性の中心である。近年のセキュリティ観点での従来技術の見直しに応じて、この車載ネットワークの脆弱性の改善が緊急な課題となりつつある。
このような課題に対して、公開鍵暗号を用いたデジタル署名を付加して車載ネットワークを流れる通信信号の信頼性(すなわちネットワークシステム自体のセキュリティに対する頑健性)を高める技術が知られている(例えば、特許文献1参照)。
特許文献1記載のものでは、上記の問題を解決するために送信フレームのデータ部分に通常の従来データと併せて、送信ECUを認証するための署名データ(の全部もしくは一部)を含んだ形でネットワークに送出する。「構成検証の中心となるECU」では、この署名を検証して送信ECUの真正性を確認する。もし、真正性が確認できない送信フレームがある場合は、「構成検証の中心となるECU」はその旨をブロードキャストして、同一ネットワークに繋がるECUに注意を促す。署名データの生成は、周辺ECU(「構成検証の中心となるECU」以外のECU)内部では「構成検証の中心となるECU」が発行した公開鍵と周辺ECU自体を特定するID番号という二つの情報より生成する。検証は「構成検証の中心となるECU」自体がその内部に秘密裏に保持する秘密鍵により行う。(すなわちRSAのような公開鍵暗号に基づくデジタル署名を利用し、鍵ペアの発行は「構成検証の中心となるECU」が行う。)
しかしながら、特許文献1記載のものでは、以下のような問題点がある。
(1)デジタル署名にRSAのような公開鍵暗号を用いているので、その暗号化/復号化に多大なCPUパワーを消費する。また、多数桁の整数を扱うので多大なRAM容量が必要であり、現状の車載ECUに搭載されているクラスのCPU(Central Processing Unit)の処理能力と内蔵RAM(Random Access Memory)容量では荷が重過ぎる。
(2)デジタル署名の全部(もしくは一部)を通常の通信ペイロード部分に乗せて送信するため、送信フレームごとの情報転送容量が従来のものより低下する。従来と同じ情報転送速度を維持しようとすると通信トラフィックが増加し、転送情報の送達に要する遅延が増加するのでリアルタイム制御に支障をきたす。
(3)「構成検証の中心となるECU」(特許文献1では「第1の制御装置」と記載)のみが集中的にネットワークに繋がる各ECUの構成検証を行い、結果をブロードキャストする。したがって、この「構成検証の中心となるECU」が取り外しなどの手段で無効化されたり、不正に改竄されたりするとこの検証システムは破綻する。脆弱性の観点からは、各ECUが各々成り済ましを独自に検出できるような分散的な検証システムを採用することが望ましい。
(4)署名データ(特許文献1では「認証キーワード」もしくは「抽出キーワード」と記載)は、工場での車両組み立て時やディーラーでの整備完了時などのネットワークの機器構成が確定したタイミングで生成される(特許文献1では「(ネットワークの)初期化処理」と記載。)このデータは、一旦生成されるとネットワーク構成を再構築するまで変化しない。(公開鍵暗号による署名生成時間を初回以外に節約する効果がある。)したがって、この署名データ部分を傍受して記録し、偽データに付加して再生送信するリプレイ攻撃によりセキュリティが破られやすい。
ちなみにリプレイ攻撃(反射攻撃)とは、ネットワークを経由した認証(など)の際、第三者がその通信内容を盗聴することによって認証情報を得、接続先のホストに同一の内容を送信することで不正にアクセスするという攻撃手法を呼ぶ。
本発明の目的は、通信トラフィックを増加させずに信頼性の高いセキュリティを有する車載ネットワークシステムを提供することにある。
上記目的を達成するために、本発明は、CSMA/CR方式で多重通信を行う車載ネットワークであって、複数ノードの同時発信状態による衝突を検出もしくは調停する通信フレーム部分にセキュリティ情報を含ませたものである。
かかる構成により、通信トラフィックを増加させずに信頼性の高いセキュリティを有するものとなる。
かかる構成により、通信トラフィックを増加させずに信頼性の高いセキュリティを有するものとなる。
本発明によれば、通信トラフィックを増加させずに信頼性の高いセキュリティをシステムに付加することができる。
以下、図1〜図3を用いて、本発明の第1の実施形態による車載ネットワークシステムの構成及び動作について説明する。
最初に、図1を用いて、本実施形態による車載ネットワークシステムの構成について説明する。
図1は、本発明の第1の実施形態による車載ネットワークシステムのシステム構成図である。
最初に、図1を用いて、本実施形態による車載ネットワークシステムの構成について説明する。
図1は、本発明の第1の実施形態による車載ネットワークシステムのシステム構成図である。
図1に示すように、複数のECU(Electronic Control Unit)101,102,103,104 は、車載ネットワークとして用いられることの多いCAN(Control Area Network)100を介して接続されている。CAN100は、送信ECUが自身に割り当てられたメッセージ種別の識別子(CAN ID)を付加した送信フレームを送信し、受信ECUは、フレームに付加された識別子(CAN ID)に基づいてその信号の内容を判断する。すなわち、図1に示すように、いま、送信装置としてのECU(A)101から、識別子”XX,i”、データ”0a1b2c3”の送信フレームt1011が車載ネットワーク100に出力されたとする。これにより通常、受信ECUとしてのECU(B)102、ECU(C)103及びECU(D)104は、それぞれ送信フレームt1011に示された、識別子”XX,i”、データ”0a1b2c3”の信号を取り込んで、識別子”XX,i”、データ”0a1b2c3”の受信フレームr1021〜r1041を得る。
ここで、本実施形態の特徴は、送信フレームの識別子のところにあるので、この点について、図2を用いて説明する。
図2は、本発明の第1の実施形態による車載ネットワークシステムにて用いる送信フレームの説明図である。
ここで、本発明に係る車載ネットワークシステムとしては、いわゆるCANなどのCSMA/CR(Carrier Sense Multiple Access/Collision Resolution)方式の通信プロトコルを備えた車載ネットワークである。
例えばCANのプロトコルで、メッセージ種別の識別子(CAN ID)を、図2(a)通常フォーマットから、図2(b)の拡張フォーマットに拡張する。すなわち、通常フォーマットで有するCANの標準ID200は、拡張フォーマットでは調停フィールド210に拡張される。調停フィールド210には、CANの標準ID200の他に、CANの拡張ID201等が追加されている。CANの拡張ID201は、18ビットある。
そして、拡張に際しては、MPU(MicroProcessing Unit)のCAN周辺デバイスの特定のレジスタ(ローカルアクセプタンスフィルタマスク(LAFM)202)で、拡張IDの所定の部分をIDとしては無効化するとともに、この部分を「セキュリティ強化のためのデータ領域」212として流用する。その結果、実際の通信フレームでは、実際に有効なCAN ID部211と、「セキュリティ強化のためのデータ領域」212とから構成される。
ローカルアクセプタンスフィルタマスク(LAFM)202の該当ビットはCAN IDの各ビットに対応しており、当該ビットに”1”をセットするとその部分のCAN IDの照合をマスクする(すなわち「don‘t care」にする)ことができる(インターネット・アドレスのサブネットマスクと同様の仕組みである。)しかしながら、このマスクしたビットの実際の受信値は、受信レジスタ(MPUの種類によってはメッセージボックスと称するものもある)を読み出すことによって観測することが可能である。
ここで、本実施形態に基づく実際の通信フレームの態様を示す。「セキュリティ強化のためのデータ領域」212に、各CAN ID毎のシーケンス番号を格納する。シーケンス番号とは、同一CAN IDが送信されるたびにインクリメントされ、上限値で0に戻る順序番号の系列を表す。
このデータは、上述のごとくCANなどのCSMA/CR方式の調停フィールド210中に存在しているので、他の正規もしくは不正ECU含めた如何なるECUによって上書きされても、送信ECU自体の通信プロトコルファームウェアがこの妨害事象を認識し、壊された場合は正しく再送動作を行うので、ネットワーク上の送信データの時系列から失われることが無い。したがって、類似のCAN IDで他のECUより妨害があると、各受信ECU側でシーケンス番号の重複や順序性の逸脱という形で妨害により不正挿入された通信フレームが検出可能となる。
図1は、本実施形態に係る車載ネットワークシステム100の態様を示す図であって、「セキュリティ強化のためのデータ領域」(図2の212)にCAN ID毎のシーケンス番号を採用してセキュリティを向上させた例を示している。
図1のECU(A)101は、CAN IDとシーケンス番号を合体させて”XX,i”の値を拡張IDに持つ送信フレームt1011と引き続き、シーケンス番号を1増加させて”XX,i+1”の値を持つ送信フレームt1012を送出したとする。
一方、車載ネットワーク100に不正に接続した偽ECU(A)105は、ある時点のECU(A)101の送信フレームをキャプチャし、同一CAN ID”XX,j”の体裁を備えた偽送信フレームt1051でリプレイ攻撃を行うものとする。
ここにおいて、これらの送信フレーム受信するECU(B)102、ECU(C)103、ECU(D)104では、受信データの時系列{r1021〜r1023}{r1031〜r1033}{r1041〜r1043}が各受信ECUで得られることになる。
各受信ECUでは、同一CAN IDのシーケンス番号の部分が、”i”→”j”→”i+1”と遷移することになるので、偽ECU(A)105のような不正ECUからの異常メッセージであると判定可能となる。
ここで、図3を用いて、本実施形態による車載ネットワークシステムの各受信ECUにおける異常メッセージの検出方法について説明する。
図3は、本発明の第1の実施形態による車載ネットワークシステムの各受信ECUにおける異常メッセージの検出方法の内容を示すフローチャートである。
図3は、本発明の第1の実施形態による車載ネットワークシステムの各受信ECUにおける異常メッセージの検出方法の内容を示すフローチャートである。
ステップS100では、車載ネットワーク100よりCAN信号を受信し、ステップS110では、「セキュリティ強化のためのデータ領域」(図2の212)よりシーケンス番号M(ID,0)を抽出する。このシーケンス番号は、CAN ID毎に独立であり、0と所定の最大値との間を単調増加で繰り返す整数である。また、この整数の最大値は「セキュリティ強化のためのデータ領域」(図2の212)に格納可能な大きさに設定されていることは言うまでも無い。
次に、ステップS120で、同一IDの前回受信済みのシーケンス番号値N(ID,−1)が呼び出され、続くステップS130の判定処理で、今回値と前回値の差分がチェックされる。これが最大値から0へのラップアラウンド動作も加味して差分”1”ならば、受信信号は正常であり、ステップS150に進み、今回のシーケンス番号を次回の比較に備え保存する。(ここで言うラップアラウンドとは、処理可能な範囲の最後達した後に、最初に戻ることを表す技術用語である。)
今回値と前回値の差分が”1”ではない場合は、異常メッセージを検出したことを意味しているので、ステップS140で異常メッセージ検出処理を行う。
今回値と前回値の差分が”1”ではない場合は、異常メッセージを検出したことを意味しているので、ステップS140で異常メッセージ検出処理を行う。
異常メッセージ検出処理(S140)とは、具体的には少なくとも今回メッセージを無視して今回シーケンス番号を前回値と同じと見なすことを意味する。その他、異常が発生したことを記憶し、必要ならば車載ネットワークを通じてブロードキャストする。もしくは、警告情報を他の手段を通じて表示し運転手に警告を促すなどが考えられるが、厳密な動作の規定は該当する車載ネットワークのセキュリティポリシーに従い決定される。
その後、ステップS150にて、今回のシーケンス番号を次回の比較に備え保存する。
以上のように、本実施形態の特徴を車載ネットワークに適用すれば、少しの手順で従来のネットワークシステムのセキュリティ機能を向上させることができる。
それに対するコストも、CAN IDを標準フォーマット(11ビット)から拡張フォーマット(11+18ビット)にするだけで済む。従来から標準フォーマットで構築されたネットワークシステムについては、CAN ID値の割り当てやペイロードデータの定義はなにも変更しなくて良い。(本発明はペイロード部分のリソースは消費しない。)
通信トラフィックの増加も各フレームで拡張フォーマットにする約18ビット分だけが増加するのみであるので、特許文献1に示す公知例のように公開鍵暗号による署名データを付加する場合よりシステムに対するリソース要求は微々たるものになる。(一例としてインターネットで使用されるRSA暗号で、現状で脆弱性を指摘されていない鍵長256バイトのものの署名データは、2048ビットとなる。)
また、本実施形態に係るセキュリティ情報部分は、CSMA/CR方式の調停フィールド(図2の210)に含まれているので、車載ネットワーク上から送信データが消失することが無い。妨害を受けて壊されても、プロトコル上の再送システムが働いて送信が完了するまでリトライが行われる。したがって、信頼性の観点からも従来技術に対して優位性が大きい。
通信トラフィックの増加も各フレームで拡張フォーマットにする約18ビット分だけが増加するのみであるので、特許文献1に示す公知例のように公開鍵暗号による署名データを付加する場合よりシステムに対するリソース要求は微々たるものになる。(一例としてインターネットで使用されるRSA暗号で、現状で脆弱性を指摘されていない鍵長256バイトのものの署名データは、2048ビットとなる。)
また、本実施形態に係るセキュリティ情報部分は、CSMA/CR方式の調停フィールド(図2の210)に含まれているので、車載ネットワーク上から送信データが消失することが無い。妨害を受けて壊されても、プロトコル上の再送システムが働いて送信が完了するまでリトライが行われる。したがって、信頼性の観点からも従来技術に対して優位性が大きい。
前述した特許文献1に示す公知例の問題点に対応して本発明の第1の実施形態の効果を列記すると次のようになる。(箇条書きの番号は上述の公知例の問題点で指摘した各項に対応している。)
(1)公開鍵暗号を用いないので、計算能力が要求されていない従来の全ての車載ECUで実装可能であり、リアルタイム性を疎外しない。
(2)従来の通信ペイロードの内容に非干渉な発明である。通信トラフィックの増加も極小化される。
(3)各ECUが分散して自分の受け取る通信内容を検証可能であり、「構成検証の中心となるECU」を存在させないことでこの集中制御に起因する脆弱性を回避できる。
(1)公開鍵暗号を用いないので、計算能力が要求されていない従来の全ての車載ECUで実装可能であり、リアルタイム性を疎外しない。
(2)従来の通信ペイロードの内容に非干渉な発明である。通信トラフィックの増加も極小化される。
(3)各ECUが分散して自分の受け取る通信内容を検証可能であり、「構成検証の中心となるECU」を存在させないことでこの集中制御に起因する脆弱性を回避できる。
公知例の問題点(4)に対する改善の効果は、後述の本発明の第2の実施形態により具現化されるが、第1の実施形態の範囲においてはこれに対応する効果は無い。
以上説明した本実施形態により、少しのソフトウェア的な手続きの増加で、各受信ECUに通信メッセージの一貫性をチェックする手段を与えることができる。したがって、受信ECU側で不正な成り済ましECUからの信号をチェックして異常を検出することが可能となる。
以上のように、通信トラフィックを増加させずに信頼性の高いセキュリティをシステムに付加する効果がある。また、従来システムからの移行も簡単であり、コスト上昇を引き起こすハードウェアの変更を伴わず、ソフトウェアの少し変更で実装できる。
次に、図4〜図6を用いて、本発明の第2の実施形態による車載ネットワークシステムの構成及び動作について説明する。
最初に、図4を用いて、本実施形態による車載ネットワークシステムの構成について説明する。
図4は、本発明の第2の実施形態による車載ネットワークシステムのシステム構成図である。
最初に、図4を用いて、本実施形態による車載ネットワークシステムの構成について説明する。
図4は、本発明の第2の実施形態による車載ネットワークシステムのシステム構成図である。
図4は、セッション鍵を用いた検証をゲートウェイ越しのECUとの間に適用した例を示す。セキュアゲートウェイ(SGW:SecureGateWay)106は、車載ネットワークNetwork(A)100と車載ネットワークNetwork(B)110をブリッジして通信の結合を行うECUである。
ECU(A)101とECU(C)103とが送信するデータを、セキュアゲートウェイ(SGW)106を通じてECU(D)104に中継するものとする。
セッション鍵の共有は、車載ネットワークNetwork(A)100に属するECU(A)101,ECU(C)103と、車載ネットワーク110に属するECU(D)104が直接(ピア・ツー・ピアで)行っても良いが、属するネットワークが異なるためタイミングが難しい。すなわち、車載ネットワークNetwork(A)100と車載ネットワークNetwork(B)110の立ち上がり速度が異なるので、ネットワーク立ち上がり初回にセッション鍵共有を行うよう規定しても、ハンドシェイクのための信号(後述の図5の”セッション鍵要求”や”乱数種S0信号”)がネットワークの立ち上がり差によるタイミングずれ(もしくは中間のセキュアゲートウェイ106による処理遅れ)によって途中消失し、デッドロックを引き起こす可能性がある。
したがって、セッション鍵の共有は、ネットワーク単位にとどめて置くほうがロバスト性の観点から望ましい。その際には、セキュアゲートウェイ106がECU(D)104の変わりに代理で送信信号の真正性を検証し、信頼性評価結果の目印を付けてECU(D)104に転送することとする。
動作に先立って、車載ネットワークNetwork(A)100に属するECU(A)101、ECU(C)103、およびセキュアゲートウェイ106は、セッション鍵Sを共有しているものとする。ECU(A)101が送信した通信フレームt1011は、セキュアゲートウェイ106に到達し、セッション鍵が検証される。セキュアゲートウェイ106でセッション鍵が正規のものであると判定された場合、セッション鍵が格納されていた部分に信頼性有りマーク”t”(truth)を付けて通信フレームt1012として車載ネットワークNetwork(B)110に中継する。一方、ECU(C)103が送信した通信フレームt1031のセッション鍵はS’であり、セッション鍵の照合が失敗したものとする。セキュアゲートウェイ106では、この通信フレームのセッション鍵が格納されていた部分に信頼性無しマーク”f”(false)を付けて通信フレームt1032として車載ネットワーク110に中継する。
車載ネットワークNetwork(B)110に属するECU(D)104では受信信号(r1041・r1042)の信頼性評価結果の目印 ”t”もしくは”f”を見て、信号を受け入れるか棄却するかの判断をすればよい。
本実施形態では、「セキュリティ強化のためのデータ領域」(図2の212)に通信のためのセッション鍵を格納する。
セッション鍵は、例えば車両のイグニッションキーON時などの初期化時(車載ネットワーク立ち上がり時)に、最大範囲としては車載システム全体で一意に、もしくは最小範囲としては通信すべき車載ECUの送受信ペアの対ごとに決定すればよい。
決定方法は、前者の最大範囲としては車載システム全体で一つの乱数を共有する(初期化時におけるマスタECUとして役割を与えられた唯一のECUが乱数をブロードキャストする。)後者の最小範囲としては通信すべき車載ECUの送受信ペアの対ごとに受信ECUが予めセッション鍵生成用の乱数を送信側に供給する。(受信側ECUが送信側ECUに乱数種を配布するのはリプレイ攻撃を回避する意図がある。)
正しく乱数を共有したならば、各ECUで予め示し合わせたハッシュ関数で乱数を変換し、それをセッション鍵として用いればよい。すなわち、送信ECUは、このセッション鍵を「セキュリティ強化のためのデータ領域」212に格納して送り、受信側ではこのセッション鍵を内部的に計算したハッシュ関数の出力値と照合する。値が一致すれば、送信側と受信側で秘匿されたハッシュ関数を共有していることが明らかなので、真正性を確認したことになる。この認証の形態としてはチャレンジ&レスポンス認証となる。
正しく乱数を共有したならば、各ECUで予め示し合わせたハッシュ関数で乱数を変換し、それをセッション鍵として用いればよい。すなわち、送信ECUは、このセッション鍵を「セキュリティ強化のためのデータ領域」212に格納して送り、受信側ではこのセッション鍵を内部的に計算したハッシュ関数の出力値と照合する。値が一致すれば、送信側と受信側で秘匿されたハッシュ関数を共有していることが明らかなので、真正性を確認したことになる。この認証の形態としてはチャレンジ&レスポンス認証となる。
ゲートウェイでは、このセッション鍵を検証することで送信メッセージの真正性が検証できるので、該ゲートウェイがこのメッセージを中継する場合は、セッション鍵部分をこの信頼性評価値(”正しい”もしくは”怪しい”を表す値)で置き換えて中継しても良い。
次に、図5を用いて、本実施形態による車載ネットワークシステムにおけるイグニッションキーOFF→ON時などに車載ネットワークのセッション鍵を決定する方法について説明する。
図5は、本発明の第2の実施形態による車載ネットワークシステムにおけるイグニッションキーOFF→ON時などに車載ネットワークのセッション鍵を決定する方法の内容を示すフローチャートである。
図5は、本発明の第2の実施形態による車載ネットワークシステムにおけるイグニッションキーOFF→ON時などに車載ネットワークのセッション鍵を決定する方法の内容を示すフローチャートである。
図5は、イグニッションキーOFF→ON時などに車載ネットワークのセッション鍵を決定する方法を示しており、「セキュリティ強化のためのデータ領域」(図2の212)に、正規の車載ECU間のみに共有されるべきセッション鍵を格納してセキュリティを向上させた例を示している。
図5では、送信ECUと受信ECUでピア・ツー・ピア(通信マスタが存在しない対等の装置間)でセッション鍵を共有する手続きを示しているが、セッション鍵は車載ネットワーク全体で一つと規定し、該ネットワークに参加する全ECUが同一のセッション鍵で通信をやり取りしても良い。その場合は、図5の右側の乱数種S0を供給するECUは、車載ネットワークの中で唯一に設定される。
図5のフローチャートでは、送受信ECUのペアがセッション鍵を共有する手続きを示したものであり、イグニッションキーOFF→ON時などの車載ネットワーク立ち上がり時に通信に先立ち、ステップS200において、送信ECUは受信ECUに対してセッション鍵要求の信号を発する。
受信ECUでは、ステップS300において、その信号を受けて、ステップS310において、内部的に乱数S0を発生させ、ステップS320において、これを乱数種S0として要求元の送信ECUに送り返す。
送信ECUは、ステップS210において、返送されてきた乱数種S0を受信し、ステップS220において、これを元に受信ECUと予め示し合わせたハッシュ関数fhashによりセッション鍵Skを生成し記憶する。
受信ECUでも、ステップS320で乱数種S0を送り返すとともに、ステップ330において、送信ECUと予め示し合わせた同一のハッシュ関数fhashによりセッション鍵Skを計算し記憶する。
したがって、正規の送信ECUの記憶したセッション鍵Skと正規の受信ECUが記憶したセッション鍵Skとは値が一致するはずである。
ハッシュ関数自体を両者で秘密裏に共有し、乱数種とそれを入力とするハッシュ関数の出力値を照合して真正性を検証しているので、これは、チャレンジ&レスポンス認証を実行していることとなる。
このセッション鍵は、各々のデータ通信において「セキュリティ強化のためのデータ領域」(図2の212)に格納して用いる。使われているセッション鍵は、送信ECUの付加値と受信ECUの記憶値とで一致するはずであり、この逸脱を捉えて不正なECUから不正な送信フレームが送信されていると認識する。
チャレンジ(乱数種)として送られてくる値はネットワークの立ち上がり毎にランダムな値で変更される。そのため、生成されるレスポンス(セッション鍵)の値も毎回異なる。そのため、チャレンジ&レスポンス認証にはチャレンジ(乱数種)やレスポンス(セッション鍵)が盗聴されたとしても認証上の致命的な問題が生じないという利点がある。
ここで、図6を用いて、本実施形態による車載ネットワークシステムにおける不正な送信フレームを検出する手続きについて説明する。
図6は、本発明の第2の実施形態による車載ネットワークシステムにおける不正な送信フレームを検出する方法の内容を示すフローチャートである。
図6は、本発明の第2の実施形態による車載ネットワークシステムにおける不正な送信フレームを検出する方法の内容を示すフローチャートである。
受信ECUは、ステップS400において、CAN信号を受信し、ステップS410において、「セキュリティ強化のためのデータ領域」(図2の212)からセッション鍵Srealを抽出する。
次のステップS420では、保存しておいたセッション鍵Skを呼び出し、続くステップS430の判定処理では、セッション鍵Srealとセッション鍵Skとを比較する。両者が一致した場合は、受信信号は正規のものであるので処理を終了する。一致しない場合は、ステップS440にて、異常メッセージ処理を実行する。
異常メッセージ検出処理S440とは、具体的には少なくとも今回メッセージを無視して制御には用いないことを意味する。その他、異常が発生したことを記憶し、必要ならば車載ネットワークを通じてブロードキャストする。もしくは、警告情報を他の手段を通じて表示し運転手に警告を促すなどが考えられるが、厳密な動作の規定は該当する車載ネットワークのセキュリティポリシーに従い決定される。
以上述べたように、セキュアゲートウェイ106の役割として、車載ネットワークNetwork(A)100ではセッション鍵を意味しているセキュリティ情報を、車載ネットワークNetwork(B)110では信頼性情報に翻訳して中継していることになる。
以上述べたように、本実施形態では、「セキュリティ強化のためのデータ領域」(図2の212)を、セッション鍵を格納するデータ領域と見なして、ネットワークの信頼性を向上することができる。セッション鍵はチャレンジ&レスポンス方式で、計算能力の低い車載ECUのCPUでも簡単に計算することができる。簡単に計算できるということは、イグニッションキーOFF→ON時などで、頻繁に更新することが可能であることを意味しており、通信フレームを傍受記録して再生するリプレイ攻撃に対しても耐性を上げることができる。
セッション鍵の共有による認証機構は、ロバスト性の観点から同一車載ネットワーク単位で閉じたほうが無難である。その際、ゲートワークを跨ぐ通信フレームは、セキュアゲートウェイがその信頼性を評価し、その評価値でセッション鍵の領域を書き換えることによって別ネットワークに属する車載ECUにうまく取り次ぐことができる。
セキュアゲートウェイ106は、ゲートウェイを跨ぐ信号の信頼性が低いと判定した場合、信頼度マーク”f”を付けて中継する代わりに、中継をブロックし、次段のネットワークに送信フレームを流さないという選択もできる。このとき、セキュアゲートウェイ106はファイアウォール(防火壁)の役目を果たすことになる。
前述した特許文献1に示す公知例の問題点に対応して本発明の第2の実施形態の効果を列記すると次のようになる。(箇条書きの番号は上述の公知例の問題点で指摘した各項に対応している。)
(1)公開鍵暗号を用いないので、計算能力が要求されていない従来の全ての車載ECUで実装可能であり、リアルタイム性を疎外しない。
(2)従来の通信ペイロードの内容に非干渉な発明である。通信トラフィックの増加も極小化される。
(3)各ECUが分散して自分の受け取る通信内容を検証可能であり、「構成検証の中心となるECU」を存在させないことでこの集中制御に起因する脆弱性を回避できる。
(1)公開鍵暗号を用いないので、計算能力が要求されていない従来の全ての車載ECUで実装可能であり、リアルタイム性を疎外しない。
(2)従来の通信ペイロードの内容に非干渉な発明である。通信トラフィックの増加も極小化される。
(3)各ECUが分散して自分の受け取る通信内容を検証可能であり、「構成検証の中心となるECU」を存在させないことでこの集中制御に起因する脆弱性を回避できる。
以上は、第1の実施形態と同様であるが、第2の実施形態ではそれに加えて次の改善効果が加わる。
(4)真正性を確認するためのいわゆる署名データを作成する計算コストが低い。したがって、車載ネットワーク構成時(ネットワーク構成装置の車両組み付け時や修理完了時)ばかりではなく、各ドライビングサイクル(イグニッションキーONからOFFするまでの車両運転サイクル)ごとに署名データを更新して使用することが可能である。したがってリプレイ攻撃からの脆弱性を回避することができる。
(4)真正性を確認するためのいわゆる署名データを作成する計算コストが低い。したがって、車載ネットワーク構成時(ネットワーク構成装置の車両組み付け時や修理完了時)ばかりではなく、各ドライビングサイクル(イグニッションキーONからOFFするまでの車両運転サイクル)ごとに署名データを更新して使用することが可能である。したがってリプレイ攻撃からの脆弱性を回避することができる。
次に、図7を用いて、本発明の第3の実施形態による車載ネットワークシステムの構成及び動作について説明する。
図7は、本発明の第3の実施形態による車載ネットワークシステムのシステム構成図である。
図7は、本発明の第3の実施形態による車載ネットワークシステムのシステム構成図である。
本実施形態では、「セキュリティ強化のためのデータ領域」(図2の212)に送信ペイロードデータの有効な部分を指し示す値を格納する。CANメッセージフレームのペイロード部分は可変長で最大8バイトであるが、常に8バイトを固定的に送信することにして、この部分で何バイト目が有効であるかを指定することができる。
有効部分の指定を複数の送信ECUで排他的に使用するならば同一のCAN IDによる送信を複数の送信ECU間で共用することができる。また、このルールを知らない通信傍受者は、有効なデータを取り出すことができないので、通信内容の難読化を行う効果がある。
図7は、「セキュリティ強化のためのデータ領域」(図2の212)に送信フレーム中の有効なペイロード部分を示すフラグを格納して、単位CAN IDあたりのフレーム使用効率を上げるとともに、第三者の通信傍受に対する難読性を付加してセキュリティを向上させた例を示している。
図7において、送信フレームt1011と送信フレームt1031は8バイトの通信ペイロードにより構成されており、バイト単位で使用/不使用(有効/無効)が決定されるものとする。また、両送信フレームは同一のCAN IDを共用しており、ECU(A)101およびECU(C)103の使用するペイロード部分(図7の送信フレームt1011および送信フレームt1031ではハッチをかけて図示している)は、各々の送信ECUに対して相互に排他的に使用されるものとする。
送信フレームt1011のペイロード有効部分を、有効時”1”/無効時”0”の二進数で表現すると、{11000111}となり、16進数で「0xC7」となる。送信フレームt1011の「セキュリティ強化のためのデータ領域」(図2の212)には、この「0xC7」が格納されることとなるので、送信フレームt1011の見かけのCAN IDは”XX,0xC7”となる。同様に、送信フレームt1031のペイロード有効部分を、有効時”1”/無効時”0”の二進数で表現すると、{00111000}となり16進数で「0x38」となる。したがって、送信フレームt1031の「セキュリティ強化のためのデータ領域」(図2の212)には、この「0x38」が格納されることとなるので、送信フレームt1031の見かけのCAN IDは”XX,0x38”となる。
これら両送信フレームは、セキュアゲートウェイ106を通じてECU(D)104にそのまま送達され、各々受信フレームr1041と受信フレームr1042となる。ECU(D)104にとっては、上述の「セキュリティ強化のためのデータ領域」(図2の212)から有効領域を示すフラグを取り出しペイロード内容の有効/無効を正しく解釈できる。
しかしながら、外部から不正に車載ネットワーク(Network(A)100もしくはNetwork(B)110)に接続し傍受する第三者にとっては、ペイロードの有効/無効が正しく解釈できないので、通信内容が難読化されることになる。
また、同一CAN ID(すなわち”XX”)を、ECU A→ECU D間の通信と、ECU C→ECU Dの通信とに矛盾なく使い回すことができて効率化(通信フレーム当たりの無効ペイロード数の削減による、ネットワーク全体でのCAN ID数の増加抑制)が図れる。
以上述べたように、本実施形態では、「セキュリティ強化のためのデータ領域」(図2の212)に送信フレーム中の有効なペイロード部分を示すフラグを格納して、単位CAN IDあたりのフレーム使用効率を上げるとともに、第三者の通信傍受に対する難読性を加味することが可能となる。
次に、図8を用いて、本発明の第4の実施形態による車載ネットワークシステムの構成及び動作について説明する。
図8は、本発明の第4の実施形態による車載ネットワークシステムのシステム構成図である。
図8は、本発明の第4の実施形態による車載ネットワークシステムのシステム構成図である。
本実施形態では、「セキュリティ強化のためのデータ領域」(図2の212)にゲートウェイを介して中継すべきネットワークを指し示す識別値を格納する。メッセージ自体に中継先ネットワークの情報を含んでいるために、ゲートウェイではこの中継情報を管理しなくて済むようになる。したがって、ネットワークに繋がる車載ECUの増減および配置換えにも柔軟に対応できる。
また、このルールを知らない妨害者にとっては、ゲートウェイを超えて妨害フレームを送達することができないので、ゲートウェイにファイアウォール(防火壁)の機能を与え妨害フレームを局所化するメリットがある。
ちなみにファイアウォール(防火壁、Firewall)とは、ある特定のコンピュータネットワークとその外部との通信を制御し、内部のコンピュータネットワークの安全を維持することを目的としたソフトウェア(あるいはそのソフトウェアを搭載したハードウェア)の技術概念である。
図8は、「セキュリティ強化のためのデータ領域」(図2の212)にセキュアゲートウェイ106で中継されるべき車載ネットワークを選択する識別値を格納した例を示している。
ECU(A)101から送信された送信フレームt1011には、それ自体が中継されるべきネットワークの宛先を示す識別値”B”が格納されており、その結果セキュアゲートウェイ106は該当フレームのこの情報を見てNetwork(B)110に振り分け、ECU(B)102の受信フレームr1021として受信される。
同様にECU(C)103から送信された送信フレームt1031には、それ自体が中継されるべきネットワークの宛先を示す識別値”C”が格納されており、その結果セキュアゲートウェイ106は該当フレームのこの情報を見てNetwork C 120に振り分け、ECU(D)104の受信フレームr1041として受信される。
このように、ネットワークの宛先情報が通信フレーム自体に含まれているので、セキュアゲートウェイ106内部に「CAN ID別の宛先ネットワークの振り分け表」のような管理情報を格納しないで済む。
振り分けルール(該ネットワーク宛先の識別値と物理ネットワークの対応付け)さえ統一しておけば、CAN IDに増減があっても、ECU配置に変更があっても、該ネットワーク宛先の識別値変更だけで(セキュアゲートウェイ106のソフトウェアを変更することなし)中継先を変更することができ、柔軟にネットワークトポロジーの変化に対応することができる。
また、車載ネットワークに外部から不正に接続し妨害しようとする第三者にとって、セキュアゲートウェイ越しに妨害フレームを送ろうとすると、この振り分けルールを知っていないとゲートウェイを正しく動作させることができない。したがって、ゲートウェイがファイアウォールの役目を果たし妨害フレームを遮断することになるので、セキュリティ性能を向上させる効果がある。
以上述べたように、本実施形態では、「セキュリティ強化のためのデータ領域」(図2の212)にセキュアゲートウェイで振り分けられるネットワークの識別情報(すなわち宛先)をコーディングすることができる。この場合、セキュアゲートウェイ内部で、CAN IDと宛先の管理情報を持つ必要がなくなってネットワークシステムに柔軟性を与えることができる。この振り分けルールを知らない外部の妨害者に対しては、セキュアゲートウェイはファイアウォールの役目を果たす。
以上説明したように、本発明では、外部からの通信干渉によって消失することの無い(プロトコルの再送機構に守られた)調停フィールド(図2の210)に存在するデータ領域(図2の212)を活用することによって、車載ネットワークシステムのセキュリティ性能を向上させることが可能である。
強化されるセキュリティの各性能については上述の実施例(実施形態1〜4)で見てきたようにデータ領域に何を意味づけるかで異なる。しかしながら、各実施例の如く単一の意味づけで単一の効果を得ても良いし、複合的に上述の実施例を組み合わせたデータを格納することにより、複合的な効果を得ても良い。
このデータ領域は、もともとCANの拡張IDとして自由度を与えられている領域なので、従来の通信トラフィックを大幅に増加させることが無い。換言すれば、従来の通信スループットを大幅に低下させることがない。
しかも、通信フレームのペイロード部分は、従来のものに対して何の変更も不要であり、従来からのペイロード定義を踏襲することができるので、仕様上の移行コストが低い。
従来方式のように、ペイロードにデジタル署名データの追加や暗号化を施す場合は、このようなことにならず、通信効率(ペイロードあたりの正味の情報転送速度)は本発明と比べて大幅に低下することはその原理上明らかである。
特筆すべきことは、本発明による手段を採用することによって、処理速度の速いCPUへの交換や、整数多数桁演算に必要なRAM領域の増強や、もしくは転送速度を増強した車載ネットワークの採用など、他のいかなるコスト増加を引き起こす要因を引き換えにせずとも、簡単なソフトウェアの変更で上記の実施例に示すセキュリティ性能の向上が実現可能となることである。
100…車載ネットワーク(Network(A))
101…ECU(A)
102…ECU(B)
103…ECU(C)
104…ECU(D)
105…偽ECU(A)
106…セキュアゲートウェイ(SGW)
110…車載ネットワーク(Network(B))
120…車載ネットワーク(Network(C))
200…CANの標準ID
201…CANの拡張ID
202…ローカルアクセプタンスフィルタマスク(LAFM)
203…実際の通信フレーム
210…調停フィールド
211…実際に有効なCAN ID部
212…セキュリティ強化のためのデータ領域
101…ECU(A)
102…ECU(B)
103…ECU(C)
104…ECU(D)
105…偽ECU(A)
106…セキュアゲートウェイ(SGW)
110…車載ネットワーク(Network(B))
120…車載ネットワーク(Network(C))
200…CANの標準ID
201…CANの拡張ID
202…ローカルアクセプタンスフィルタマスク(LAFM)
203…実際の通信フレーム
210…調停フィールド
211…実際に有効なCAN ID部
212…セキュリティ強化のためのデータ領域
Claims (6)
- CSMA/CR方式で多重通信を行う車載ネットワークであって、
複数ノードの同時発信状態による衝突を検出もしくは調停する通信フレーム部分にメッセージ種別の識別子とともにセキュリティ情報を含ませたことを特徴とする車載ネットワークシステム。 - 請求項1記載の車載ネットワークシステムにおいて、
前記セキュリティ情報は、メッセージ種別の識別子に対応付けられたシーケンス番号であることを特徴とする車載ネットワークシステム。 - 請求項1記載の車載ネットワークシステムにおいて、
前記車載ネットワークシステムは、各正規ノードが通信に先立って恒久的ではないセッション鍵の共有を行い、該セッション鍵を各送受信ノード内部に規定時刻まで保持し認証に用いる車載ネットワークであり、
前記セキュリティ情報は、該セッション鍵であることを特徴とする車載ネットワークシステム。 - 請求項3記載の車載ネットワークシステムにおいて、
前記メッセージは、ゲートウェイを経由するメッセージであり、
前記セキュリティ情報は、前記ゲートウェイがセッション鍵の検証に基づき評価した該メッセージの信頼度情報であることを特徴とする車載ネットワークシステム。 - 請求項1記載の車載ネットワークシステムにおいて、
前記セキュリティ情報は、ペイロードの有効部位を特定する情報であることを特徴とする車載ネットワークシステム。 - 請求項1記載の車載ネットワークシステムにおいて、
前記メッセージは、ゲートウェイを経由するメッセージであり、
前記セキュリティ情報は、転送すべきネットワークを指定する情報であることを特徴とする車載ネットワークシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013055506A JP2014183395A (ja) | 2013-03-18 | 2013-03-18 | 車載ネットワークシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013055506A JP2014183395A (ja) | 2013-03-18 | 2013-03-18 | 車載ネットワークシステム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2014183395A true JP2014183395A (ja) | 2014-09-29 |
Family
ID=51701738
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013055506A Pending JP2014183395A (ja) | 2013-03-18 | 2013-03-18 | 車載ネットワークシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2014183395A (ja) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016134170A (ja) * | 2015-01-20 | 2016-07-25 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正対処方法及び電子制御ユニット |
| WO2016116977A1 (ja) * | 2015-01-20 | 2016-07-28 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 不正対処方法及び電子制御ユニット |
| WO2017094561A1 (ja) * | 2015-12-03 | 2017-06-08 | 株式会社オートネットワーク技術研究所 | 暗号化装置、暗号通信システム及び暗号化送信方法 |
| WO2017109584A3 (en) * | 2015-09-18 | 2017-09-28 | Trillium Incorporated | Computer-implemented cryptographic method for improving a computer network, and terminal, system and computer-readable medium for the same |
| US10050983B2 (en) | 2015-11-13 | 2018-08-14 | Kabushiki Kaisha Toshiba | Communication system, receiving apparatus, receiving method, and computer program product |
| JP2018186486A (ja) * | 2017-04-25 | 2018-11-22 | 株式会社東芝 | 情報処理装置、情報処理システム、および情報処理方法 |
| JP2019041369A (ja) * | 2017-08-25 | 2019-03-14 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 通信保護装置、制御方法、および、プログラム |
| WO2020008872A1 (ja) * | 2018-07-06 | 2020-01-09 | 日立オートモティブシステムズ株式会社 | 車載セキュリティシステムおよび攻撃対処方法 |
| US10560286B2 (en) | 2015-07-15 | 2020-02-11 | Hitachi Automotive Systems, Ltd. | Gateway device and control method for the same |
| JP2021048439A (ja) * | 2019-09-17 | 2021-03-25 | 本田技研工業株式会社 | 車載通信中継装置 |
| US10986093B2 (en) | 2017-01-18 | 2021-04-20 | Panasonic Intellectual Property Management Co., Ltd. | Monitoring device, monitoring method, and computer program |
| US11606334B2 (en) | 2017-08-25 | 2023-03-14 | Panasonic Intellectual Property Corporation Of America | Communication security apparatus, control method, and storage medium storing a program |
-
2013
- 2013-03-18 JP JP2013055506A patent/JP2014183395A/ja active Pending
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111885078B (zh) * | 2015-01-20 | 2022-03-08 | 松下电器(美国)知识产权公司 | 不正常应对方法以及电子控制单元 |
| WO2016116977A1 (ja) * | 2015-01-20 | 2016-07-28 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 不正対処方法及び電子制御ユニット |
| CN106062847A (zh) * | 2015-01-20 | 2016-10-26 | 松下电器(美国)知识产权公司 | 不正常应对方法以及电子控制单元 |
| US11830367B2 (en) | 2015-01-20 | 2023-11-28 | Panasonic Intellectual Property Corporation Of America | Method for handling case of detecting unauthorized frame transmitted over onboard network |
| US11538344B2 (en) | 2015-01-20 | 2022-12-27 | Panasonic Intellectual Property Corporation Of America | Method for handling case of detecting unauthorized frame transmitted over onboard network |
| JP7146036B2 (ja) | 2015-01-20 | 2022-10-03 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 不正対処方法及び車両の外部に設置された情報処理装置 |
| CN106062847B (zh) * | 2015-01-20 | 2020-09-01 | 松下电器(美国)知识产权公司 | 不正常应对方法以及电子控制单元 |
| JP2021185503A (ja) * | 2015-01-20 | 2021-12-09 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正対処方法及び車両の外部に設置された情報処理装置 |
| US10896616B2 (en) | 2015-01-20 | 2021-01-19 | Panasonic Intellectual Property Corporation Of America | Method for handling case of detecting unauthorized frame transmitted over onboard network |
| US10328874B2 (en) | 2015-01-20 | 2019-06-25 | Panasonic Intellectual Property Corporation Of America | Method for handling case of detecting unauthorized frame transmitted over onboard network |
| CN111885078A (zh) * | 2015-01-20 | 2020-11-03 | 松下电器(美国)知识产权公司 | 不正常应对方法以及电子控制单元 |
| JP2020013607A (ja) * | 2015-01-20 | 2020-01-23 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正対処方法及び路側機 |
| JP2016134170A (ja) * | 2015-01-20 | 2016-07-25 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正対処方法及び電子制御ユニット |
| US10560286B2 (en) | 2015-07-15 | 2020-02-11 | Hitachi Automotive Systems, Ltd. | Gateway device and control method for the same |
| JP2018527856A (ja) * | 2015-09-18 | 2018-09-20 | Trillium株式会社 | コンピュータネットワークを改善するためのコンピュータで実現される暗号化方法、及び端末、システム及びそれらのためのコンピュータ可読媒体 |
| WO2017109584A3 (en) * | 2015-09-18 | 2017-09-28 | Trillium Incorporated | Computer-implemented cryptographic method for improving a computer network, and terminal, system and computer-readable medium for the same |
| US10050983B2 (en) | 2015-11-13 | 2018-08-14 | Kabushiki Kaisha Toshiba | Communication system, receiving apparatus, receiving method, and computer program product |
| WO2017094561A1 (ja) * | 2015-12-03 | 2017-06-08 | 株式会社オートネットワーク技術研究所 | 暗号化装置、暗号通信システム及び暗号化送信方法 |
| US10986093B2 (en) | 2017-01-18 | 2021-04-20 | Panasonic Intellectual Property Management Co., Ltd. | Monitoring device, monitoring method, and computer program |
| JP2018186486A (ja) * | 2017-04-25 | 2018-11-22 | 株式会社東芝 | 情報処理装置、情報処理システム、および情報処理方法 |
| JP2019041369A (ja) * | 2017-08-25 | 2019-03-14 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 通信保護装置、制御方法、および、プログラム |
| JP7045247B2 (ja) | 2017-08-25 | 2022-03-31 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 通信保護装置、制御方法、および、プログラム |
| US11606334B2 (en) | 2017-08-25 | 2023-03-14 | Panasonic Intellectual Property Corporation Of America | Communication security apparatus, control method, and storage medium storing a program |
| WO2020008872A1 (ja) * | 2018-07-06 | 2020-01-09 | 日立オートモティブシステムズ株式会社 | 車載セキュリティシステムおよび攻撃対処方法 |
| JP2021048439A (ja) * | 2019-09-17 | 2021-03-25 | 本田技研工業株式会社 | 車載通信中継装置 |
| JP7201559B2 (ja) | 2019-09-17 | 2023-01-10 | 本田技研工業株式会社 | 車載通信中継装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2014183395A (ja) | 車載ネットワークシステム | |
| US11134100B2 (en) | Network device and network system | |
| Ueda et al. | Security authentication system for in-vehicle network | |
| Kurachi et al. | CaCAN-centralized authentication system in CAN (controller area network) | |
| CN105827587B (zh) | 中继设备、终端设备和通信方法 | |
| US20160173530A1 (en) | Vehicle-Mounted Network System | |
| JP5310761B2 (ja) | 車両ネットワークシステム | |
| US11245535B2 (en) | Hash-chain based sender identification scheme | |
| JP5949572B2 (ja) | 車両不正状態検出方法、車載システムにおける制御方法、およびシステム | |
| KR102172287B1 (ko) | 차량 통신 네트워크 시스템 및 이의 동작 방법 | |
| Daily et al. | Securing CAN traffic on J1939 networks | |
| CN115580488A (zh) | 基于区块链和物理不可克隆函数的车载网消息认证方法 | |
| JP2018182767A (ja) | Ecu、ネットワーク装置、及び車用ネットワーク装置 | |
| Olivier et al. | Hashing-based authentication for CAN bus and application to Denial-of-Service protection | |
| CN112806034A (zh) | 用于为车辆的控制设备提供通信的装置、方法和计算机程序,用于提供更新的方法、中央装置和计算机程序,控制设备和车辆 | |
| Mokhadder et al. | Evaluation of vehicle system performance of an SAE J1939-91C network security implementation | |
| JP2013142963A (ja) | 車載制御装置の認証システム | |
| KR20190097216A (ko) | 센서의 측정값들에 서명하기 위한 방법, 장치 및 명령어들을 포함하는 컴퓨터 판독 가능 저장 매체 | |
| Oberti et al. | Lin-mm: Multiplexed message authentication code for local interconnect network message authentication in road vehicles | |
| KR20230029952A (ko) | 차량에 개별 인증서의 보안 탑재를 위한 방법 | |
| Shannon et al. | Blockchain based distributed key provisioning and secure communication over CAN FD | |
| EP3178073A1 (en) | Security management system for revoking a token from at least one service provider terminal of a service provider system | |
| Akhter et al. | A Secured Privacy-Preserving Multi-Level Blockchain Framework for Cluster Based VANET. Sustainability 2021, 13, 400 | |
| EP3618385B1 (en) | Method and arrangement for encoding/decoding a signal at a first and second communication node in a road vehicle | |
| JP2020141414A (ja) | Ecu、ネットワーク装置 |