JP2017050719A - 車載ネットワークシステム - Google Patents
車載ネットワークシステム Download PDFInfo
- Publication number
- JP2017050719A JP2017050719A JP2015173037A JP2015173037A JP2017050719A JP 2017050719 A JP2017050719 A JP 2017050719A JP 2015173037 A JP2015173037 A JP 2015173037A JP 2015173037 A JP2015173037 A JP 2015173037A JP 2017050719 A JP2017050719 A JP 2017050719A
- Authority
- JP
- Japan
- Prior art keywords
- message
- authentication
- ecu
- alarm
- alarm message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】メッセージ認証機能を持たないECUのセキュリティ機能を向上させることができる車載ネットワークシステムを提供する。【解決手段】メッセージ認証機能を持つ第1のECUは、受信したメッセージの認証処理を行い、認証できなかった場合に受信メッセージが不正なものであることを通知するアラームをネットワークへ送出する。メッセージ認証機能を持つ第2のECUは、第1のECUが送出したアラームの認証処理を行って、アラームが正しいか否かの認証結果をネットワークへ送出する。メッセージ認証機能を持たない第3のECUは、第1のECUからアラームを受信した場合、第2のECUからアラーム認証成功の結果を受信した後に、アラームで通知されたメッセージに対してフェール処理を実行する。【選択図】図1
Description
本発明は、車両に搭載され、複数の電子制御装置がネットワークを介して接続された車載ネットワークシステムに関する。
複数の電子制御装置(Electronic Control Unit:以下「ECU」という)がCAN(Controller Area Network)などのネットワークを介して接続された車載ネットワークシステムでは、何らかの原因で不正なメッセージがネットワークに流れることがある。例えば、悪意のある第三者が非正規のECUをネットワークに接続し、正規のECUになりすまして不正なメッセージをネットワークに流すことなどが考えられる。このような不正なメッセージは、正規のECUによる車両の制御に影響を及ぼすおそれがある。
そこで、なりすましの対策として、メッセージの真偽を判断するメッセージ認証機能および不正なメッセージを通知するアラームメッセージを発する警報機能をECUに備えたシステムが、提案されている。例えば、特許文献1および2を参照。これらのシステムでは、ECUが、受信したメッセージが正しいものか否かを自ら判断し、不正なメッセージであると判断した場合には当該受信メッセージに関するアラームメッセージをネットワークに流すことを行う。
このように、なりすましに気付いたECUがアラームメッセージをネットワークに流すことで、アラームメッセージを受けた他のECUは、不正なメッセージに対するフェール処理を実行することができる。このようなアラームメッセージは、メッセージ認証機能を持たないECUにとって、特に有用である。
しかしながら、車載ネットワークシステムでは、上述したアラームメッセージ自体が不正なものであることも想定される。このような場合、メッセージ認証機能を持たないECUは、不正なアラームメッセージで通知されるメッセージが正しいにもかかわらず不正なものと判断してしまい、正しいメッセージに対するフェール処理を誤って実行してしまうおそれがある。
本発明は、上記課題を鑑みてなされたものであり、メッセージ認証機能を持たないECUがなりすまされた不正なアラームメッセージにより(不正なアラームメッセージで通知される正しいメッセージに対して)誤ったフェール処理を実行してしまうおそれを抑制し、メッセージ認証機能を持たないECUのセキュリティ機能を向上させることができる、車載ネットワークシステムを提供することを目的とする。
上記課題を解決するために、本発明は、ネットワークを介してメッセージ認証機能を持つ電子制御装置とメッセージ認証機能を持たない電子制御装置とが複数接続された車載ネットワークシステムであって、メッセージ認証機能を持つ第1の電子制御装置は、ネットワークからメッセージを受信する受信部と、受信メッセージに認証コードが含まれている場合、認証コードを用いて受信メッセージの認証を行う認証部と、受信メッセージを認証できない場合に、受信メッセージの認証失敗を示す情報および新たな認証コードを含んだ第1のアラームメッセージを作成する作成部と、第1のアラームメッセージをネットワークに送出する送信部とを備え、メッセージ認証機能を持つ第2の電子制御装置は、ネットワークからメッセージを受信する受信部と、第1のアラームメッセージを受信したか否かを判断する判断部と、第1のアラームメッセージを受信した場合、第1のアラームメッセージに含まれている認証コードを用いて、第1のアラームメッセージの認証を行う認証部と、第1のアラームメッセージの認証成功または認証失敗の結果を含んだ第2のアラームメッセージを作成する作成部と、第2のアラームメッセージをネットワークに送出する送信部とを備え、メッセージ認証機能を持たない第3の電子制御装置は、ネットワークからメッセージを受信する受信部と、第1のアラームメッセージを受信したか否かを判断し、第1のアラームメッセージを受信した場合に第2のアラームメッセージを受信したか否かをさらに判断する判断部と、第1のアラームメッセージの認証成功の結果を含んだ第2のアラームメッセージの受信が判断された後に、第1のアラームメッセージで通知されるメッセージに対して所定のフェール処理を実行する実行部とを備える、ことを特徴とする。
この本発明の車載ネットワークシステムでは、第1のECU(電子制御装置)が送信した不正メッセージを通知するための第1のアラームメッセージの認証処理を、第1のECUとは異なる第2のECUが実施する。そして、第2のECUは、第1のアラームメッセージの認証成功または認証失敗の結果を第2のアラームメッセージとしてネットワークに送出する。これにより、メッセージ認証機能を持たない第3のECUは、第1のECUから第1のアラームメッセージを受信した場合、第2のECUから第2のアラームメッセージをさらに受信することで、第1のアラームメッセージが正しいか否かを判断できる。つまり、第3のECUは、第2のECUから第1のアラームメッセージの認証成功の結果を受信した後に、第1のアラームメッセージで通知される不正メッセージに対してフェール処理を実行することができる。
以上述べたように、本発明の車載ネットワークシステムによれば、メッセージ認証機能を持たないECUがなりすまされた不正なアラームメッセージにより(不正なアラームメッセージで通知される正しいメッセージに対して)誤ったフェール処理を実行してしまうおそれを抑制できる。従って、メッセージ認証機能を持たないECUのセキュリティ機能を向上させることができる。
1.概要
本発明の車載ネットワークシステムは、メッセージ認証機能を持つ複数のECUとメッセージ認証機能を持たないECUとが、ネットワークで接続された構成である。メッセージ認証機能を持つ第1のECUは、受信したメッセージの認証処理を行い、認証できなかった場合に受信メッセージが不正なものであることを通知するアラームをネットワークへ送出する。メッセージ認証機能を持つ第2のECUは、第1のECUが送出したアラームの認証処理を行って、アラームが正しいか否かの認証結果をネットワークへ送出する。メッセージ認証機能を持たない第3のECUは、第1のECUからアラームを受信した場合、第2のECUからアラーム認証成功の結果を受信した後に、アラームで通知されたメッセージに対してフェール処理を実行する。
本発明の車載ネットワークシステムは、メッセージ認証機能を持つ複数のECUとメッセージ認証機能を持たないECUとが、ネットワークで接続された構成である。メッセージ認証機能を持つ第1のECUは、受信したメッセージの認証処理を行い、認証できなかった場合に受信メッセージが不正なものであることを通知するアラームをネットワークへ送出する。メッセージ認証機能を持つ第2のECUは、第1のECUが送出したアラームの認証処理を行って、アラームが正しいか否かの認証結果をネットワークへ送出する。メッセージ認証機能を持たない第3のECUは、第1のECUからアラームを受信した場合、第2のECUからアラーム認証成功の結果を受信した後に、アラームで通知されたメッセージに対してフェール処理を実行する。
以下、本発明が提供する車載ネットワークシステムについて、図面を参照しながら詳細に説明する。
2.車載ネットワークシステムの構成例
図1は、本発明の一実施形態に係る車載ネットワークシステム1の構成例を示す図である。図1に示した車載ネットワークシステム1は、所定の通信プロトコルに基づいて構成された車両に搭載される通信ネットワークシステムであり、バスなどのネットワーク20に複数の電子制御装置(ECU)11〜14が接続されて形成される。
図1は、本発明の一実施形態に係る車載ネットワークシステム1の構成例を示す図である。図1に示した車載ネットワークシステム1は、所定の通信プロトコルに基づいて構成された車両に搭載される通信ネットワークシステムであり、バスなどのネットワーク20に複数の電子制御装置(ECU)11〜14が接続されて形成される。
本発明の車載ネットワークシステム1の最小構成は、メッセージ認証機能を持つ電子制御装置(以下「第1のECU」という)と、メッセージの不正を通知するアラームメッセージに関するメッセージ認証機能を持つ電子制御装置(以下「第2のECU」という)と、メッセージ認証機能を持たない電子制御装置(以下「第3のECU」という)とが、ネットワーク20で接続された構成である。
図1の例では、ECU12およびECU13が第1のECUに相当し、ECU11が第2のECUに相当し、ECU14が第3のECUに相当する。なお、図1の構成は一例であって、車載ネットワークシステム1を構成するECUの数や種類を限定するものではない。
2−1.第1のECU
メッセージ認証機能を持つ第1のECUが有する機能の一部を説明する。第1のECUは、少なくとも受信部、認証部、格納部、生成部、作成部、および送信部を有している(図示せず)。この第1のECUは、典型的には中央演算処理装置(CPU:Central Processing Unit)、メモリ、および入出力インタフェースを構成に含み、メモリに格納されたプログラムをCPUが読み出して解釈実行することにより、上述した受信部、認証部、格納部、生成部、作成部、および送信部の機能を発揮する。
メッセージ認証機能を持つ第1のECUが有する機能の一部を説明する。第1のECUは、少なくとも受信部、認証部、格納部、生成部、作成部、および送信部を有している(図示せず)。この第1のECUは、典型的には中央演算処理装置(CPU:Central Processing Unit)、メモリ、および入出力インタフェースを構成に含み、メモリに格納されたプログラムをCPUが読み出して解釈実行することにより、上述した受信部、認証部、格納部、生成部、作成部、および送信部の機能を発揮する。
受信部は、ネットワーク20を流れるメッセージのうち、自装置の制御に必要となるメッセージを受信する。認証部は、受信されたメッセージが認証を必要とするメッセージである場合に、所定の認証処理を実施する。認証部は、例えばMAC(Message Authentication Code)などの認証コードがメッセージに付与されている場合に、当該認証コードを用いて受信されたメッセージの完全性を保証する認証処理を行う。この認証処理には周知の手法が利用できる。認証に必要な共有鍵の情報などは、格納部に予め格納されている。生成部は、受信されたメッセージを認証部で認証できない場合に、当該メッセージの認証ができなかったことを示す認証失敗情報を生成すると共に、受信されたメッセージに付与されていた認証コードと異なる新たな認証コードを生成する。認証失敗情報には、メッセージを特定する識別子(例えば、CAN_IDなど)が含まれる。作成部は、生成部で生成されたメッセージの認証失敗情報および新たな認証コードを含んだアラームメッセージ(以下「第1のアラームメッセージ」という)を作成する。送信部は、作成部で作成された第1のアラームメッセージをネットワーク20に送出する。
第1のアラームメッセージは、車載ネットワークシステム1が用いる所定の通信プロトコルに基づいて作成されるものであればよく、メッセージの認証失敗情報および認証コードを格納するメッセージフレームの構造は、特に限定されない。例えば、第1のアラームメッセージとして、OSEK/VDX(Open Systems and their Interfaces for the Electronics in Motor Vehicles / Vehicle Distributed eXecutive)によって規定された仕様OSEK―NM(Network Management)に基づくNMメッセージを利用することができる。このNMメッセージは、ネットワーク20に接続された各ECUが、自身のスリープ可否を他のECUに示すために、所定の順番で定期的にネットワーク20へ送出するメッセージである。なお、OSEK―NMでは、NMメッセージの他にネットワーク状態通知を定期的に送信することもがあるが、ネットワーク状態通知はNMメッセージと同様に取り扱うことができるため説明は省略する。
図2Aに、NMメッセージのフレーム構造例を示す。第1のアラームメッセージとしてNMメッセージを利用する場合には、図2Aに示すように、データ領域にメッセージの認証失敗情報および認証コード(MACなど)を格納することができる。
2−2.第2のECU
メッセージ認証機能を持つ第2のECUが有する機能の一部を説明する。本実施形態では、複数のネットワーク間の接続を中継するゲートウェイ(GW)を第2のECUとして用いているが、一般的なECUを第2のECUとして用いても構わない。第2のECUは、少なくとも受信部、判断部、認証部、格納部、生成部、作成部、および送信部を有している(図示せず)。この第2のECUも、典型的には中央演算処理装置(CPU)、メモリ、および入出力インタフェースを構成に含み、メモリに格納されたプログラムをCPUが読み出して解釈実行することにより、上述した受信部、判断部、認証部、格納部、生成部、作成部、および送信部の機能を発揮する。
メッセージ認証機能を持つ第2のECUが有する機能の一部を説明する。本実施形態では、複数のネットワーク間の接続を中継するゲートウェイ(GW)を第2のECUとして用いているが、一般的なECUを第2のECUとして用いても構わない。第2のECUは、少なくとも受信部、判断部、認証部、格納部、生成部、作成部、および送信部を有している(図示せず)。この第2のECUも、典型的には中央演算処理装置(CPU)、メモリ、および入出力インタフェースを構成に含み、メモリに格納されたプログラムをCPUが読み出して解釈実行することにより、上述した受信部、判断部、認証部、格納部、生成部、作成部、および送信部の機能を発揮する。
受信部は、ネットワーク20を流れるメッセージを受信する。判断部は、受信されたメッセージが第1のアラームメッセージか否かを判断する。メッセージが通常のメッセージであるかアラームメッセージであるかは、メッセージのフレーム構造やメッセージの識別子などで判断可能である。第1のアラームメッセージが受信された場合、認証部は、受信された第1のアラームメッセージに対して所定の認証処理を実施する。具体的に、認証部は、第1のアラームメッセージに含まれる認証コード(MACなど)を用いて、受信された第1のアラームメッセージの完全性を保証する認証処理を行う。認証に必要な共有鍵の情報などは、格納部に予め格納されている。生成部は、認証部で行われた第1のアラームメッセージの認証成功または認証失敗という認証結果(以下「アラーム認証結果」という)を生成する。作成部は、生成部で生成されたアラーム認証結果および第1のアラームメッセージで通知されたメッセージの認証失敗情報を含んだ新たなアラームメッセージ(以下「第2のアラームメッセージ」という)を作成する。送信部は、作成部で作成された第2のアラームメッセージをネットワーク20に送出する。
第2のアラームメッセージは、車載ネットワークシステム1が用いる所定の通信プロトコルに基づいて作成されるものであればよく、メッセージの認証失敗情報およびアラーム認証結果を格納するメッセージフレームの構造は、特に限定されない。例えば、第2のアラームメッセージとして、第1のアラームメッセージと同じNMメッセージを利用することができる。第2のアラームメッセージとしてNMメッセージを利用する場合には、図2Bに示すように、データ領域にメッセージの認証失敗情報およびアラーム認証結果を格納することができる。
2−3.第3のECU
メッセージ認証機能を持たない第3のECUが有する機能の一部を説明する。第3のECUは、少なくとも受信部、判断部、および実行部を有している(図示せず)。この第3のECUも、典型的には中央演算処理装置(CPU)、メモリ、および入出力インタフェースを構成に含み、メモリに格納されたプログラムをCPUが読み出して解釈実行することにより、上述した受信部、判断部、および実行部の機能を発揮する。
メッセージ認証機能を持たない第3のECUが有する機能の一部を説明する。第3のECUは、少なくとも受信部、判断部、および実行部を有している(図示せず)。この第3のECUも、典型的には中央演算処理装置(CPU)、メモリ、および入出力インタフェースを構成に含み、メモリに格納されたプログラムをCPUが読み出して解釈実行することにより、上述した受信部、判断部、および実行部の機能を発揮する。
受信部は、ネットワーク20を流れるメッセージを受信する。判断部は、第1のアラームメッセージを受信したか否かを判断する。そして、第1のアラームメッセージを受信した場合に、第2のアラームメッセージを受信したか否かをさらに判断する。メッセージが第1のアラームメッセージであるか第2のアラームメッセージであるかは、メッセージに格納されている内容やメッセージの識別子などで判断可能である。例えば、図2Aおよび図2Bの例では、フレームのデータ領域に認証コードが格納されているかアラーム認証結果が格納されているかで、判断可能である。実行部は、第2のアラームメッセージの受信があった場合に、第1のアラームメッセージで通知されるメッセージに対して、第1のアラームメッセージのアラーム認証結果に基づいた処理を実行する。
なお、実行部は、判断部が第1のアラームメッセージを受信してから第2のアラームメッセージを受信するまでの時間に時限を設けて、第2のアラームメッセージを受信できたか否かに基づいて実行する処理を決定してもよい。例えば、上述したNMメッセージは、ネットワークに接続された全てのECUを巡回するメッセージ(リングメッセージ)である。そこで、実行部は、第1のアラームメッセージが最初に受信されてからネットワーク上の全てのECUを1周して再び受信されるまでの間に、第2のアラームメッセージが受信された場合に、第1のアラームメッセージに対して処理を実行するようにしてもよい。また、ネットワーク状態通知(図示せず)を利用する場合には、ECU毎にネットワーク状態通知の送信周期が異なる。そのため、実行部は、第1のアラームメッセージを受信した場合、自ECUがその後にネットワーク状態通知を2回以上送出するまでの間に、第2のアラームメッセージが受信された場合に、第1のアラームメッセージに対して処理を実行するようにしてもよい。
3.車載ネットワークシステムで実行される処理
図3〜図5は、本発明の一実施形態に係る車載ネットワークシステム1において各ECUが実行する処理を説明するフローチャートである。図3は、メッセージ認証機能を持つ第1のECUが実行するフローチャートである。図4は、メッセージ認証機能を持つ第2のECUがアラームメッセージを受信した際に実行するフローチャートである。図5は、メッセージ認証機能を持たない第3のECUが実行するフローチャートである。
図3〜図5は、本発明の一実施形態に係る車載ネットワークシステム1において各ECUが実行する処理を説明するフローチャートである。図3は、メッセージ認証機能を持つ第1のECUが実行するフローチャートである。図4は、メッセージ認証機能を持つ第2のECUがアラームメッセージを受信した際に実行するフローチャートである。図5は、メッセージ認証機能を持たない第3のECUが実行するフローチャートである。
3−1.第1のECUの制御
図3を説明する。メッセージ認証機能を持つ第1のECUは、ネットワーク20を流れる自己の制御に必要なメッセージを受信する(ステップS31)。第1のECUは、受信したメッセージに認証コードが付加されているか否かを判断する(ステップS32)。認証コードが付加されていない場合(ステップS32、No)、第1のECUは、この受信メッセージは車両の安全走行に影響を及ぼさないものであると判断し、不正なものか否かにかかわらず受信メッセージを受領する(ステップS38)。一方、認証コードが付加されている場合(ステップS32、Yes)、第1のECUは、認証コードを用いて受信メッセージの認証処理を実施する(ステップS33)。
図3を説明する。メッセージ認証機能を持つ第1のECUは、ネットワーク20を流れる自己の制御に必要なメッセージを受信する(ステップS31)。第1のECUは、受信したメッセージに認証コードが付加されているか否かを判断する(ステップS32)。認証コードが付加されていない場合(ステップS32、No)、第1のECUは、この受信メッセージは車両の安全走行に影響を及ぼさないものであると判断し、不正なものか否かにかかわらず受信メッセージを受領する(ステップS38)。一方、認証コードが付加されている場合(ステップS32、Yes)、第1のECUは、認証コードを用いて受信メッセージの認証処理を実施する(ステップS33)。
上記認証処理において受信メッセージの認証が成功した場合(ステップS34、Yes)、第1のECUは、受信メッセージが不正なものではないと判断して、受信メッセージを受領する(ステップS38)。一方、上記認証処理において受信メッセージの認証が失敗した場合(ステップS34、No)、第1のECUは、受信メッセージが不正なものであると判断して、受信メッセージを破棄する(ステップS35)。
そして、第1のECUは、受信メッセージに付加されていた認証コードとは異なる新たな認証コードを生成し、受信メッセージの認証失敗を示す情報と、生成した認証コードとを含んだ第1のアラームメッセージを作成する(ステップS36)。作成した第1のアラームメッセージは、第1のECUによってネットワーク20に送出される(ステップS37)。
3−2.第2のECUの制御
図4を説明する。メッセージ認証機能を持つ第2のECUは、ネットワーク20を流れる第1のアラームメッセージを受信する(ステップS41)。第2のECUは、受信した第1のアラームメッセージに付加されている認証コードを用いて、第1のアラームメッセージの認証処理を実施する(ステップS42)。
図4を説明する。メッセージ認証機能を持つ第2のECUは、ネットワーク20を流れる第1のアラームメッセージを受信する(ステップS41)。第2のECUは、受信した第1のアラームメッセージに付加されている認証コードを用いて、第1のアラームメッセージの認証処理を実施する(ステップS42)。
上記認証処理において第1のアラームメッセージの認証ができた場合(ステップS43、Yes)、第2のECUは、第1のアラームメッセージの認証成功を示すアラーム認証結果を作成する(ステップS44)。一方、上記認証処理において第1のアラームメッセージの認証ができなかった場合(ステップS43、No)、第2のECUは、第1のアラームメッセージの認証失敗を示すアラーム認証結果を作成する(ステップS45)。
第2のECUは、第1のアラームメッセージに格納されていたメッセージの認証失敗を示す情報と、第1のアラームメッセージの認証成功または認証失敗を示すアラーム認証結果を含んだ第2のアラームメッセージを作成する(ステップS46)。作成した第2のアラームメッセージは、第2のECUによってネットワーク20に送出される(ステップS47)。
3−3.第3のECUの制御
図5を説明する。メッセージ認証機能を持たない第3のECUは、ネットワーク20を流れる自己の制御に必要なメッセージを受信する(ステップS51)。第3のECUは、メッセージを受信すると、この受信メッセージに関する第1のアラームメッセージを受信したか否かを判断する(ステップS52)。受信メッセージに関する第1のアラームメッセージを受信しなければ(ステップS52、No)、第3のECUは、受信メッセージが不正なものではないと判断して、受信メッセージを受領する(ステップS56)。
図5を説明する。メッセージ認証機能を持たない第3のECUは、ネットワーク20を流れる自己の制御に必要なメッセージを受信する(ステップS51)。第3のECUは、メッセージを受信すると、この受信メッセージに関する第1のアラームメッセージを受信したか否かを判断する(ステップS52)。受信メッセージに関する第1のアラームメッセージを受信しなければ(ステップS52、No)、第3のECUは、受信メッセージが不正なものではないと判断して、受信メッセージを受領する(ステップS56)。
一方、受信メッセージに関する第1のアラームメッセージを受信した場合(ステップS52、Yes)、第3のECUは、この第1のアラームメッセージに関する第2のアラームメッセージを受信したか否かをさらに判断する(ステップS53)。第2のアラームメッセージを受信した場合、第3のECUは、第2のアラームメッセージに含まれる第1のアラームメッセージのアラーム認証結果が認証成功を示しているか否かを判断する(ステップS54)。
アラーム認証結果が認証成功を示している場合(ステップS54、Yes)、第3のECUは、第1のアラームメッセージによる受信メッセージが不正なものであるという通知は正しいと判断する。この場合、第3のECUは、第1のアラームメッセージによる受信メッセージに対して所定のフェール処理(例えば、フェールセーフ制御)を実行する(ステップS55)。
一方、アラーム認証結果が認証失敗を示している場合(ステップS54、No)、第3のECUは、第1のアラームメッセージがなりすまされている、つまり第1のアラームメッセージによる受信メッセージが不正であるという通知が間違っていると判断し、受信メッセージを受領する(ステップS56)。
4.車載ネットワークシステムにおける不正行為の例
各ECUが上述した処理をそれぞれ行うことで、メッセージ認証機能を持たないECUのセキュリティ機能が向上する作用を説明する。
各ECUが上述した処理をそれぞれ行うことで、メッセージ認証機能を持たないECUのセキュリティ機能が向上する作用を説明する。
4−1.受信メッセージが不正なケース
このケースは、例えば、図1に示したECU12が非正規のECUであり、他のECUが正規のECUである場合である。このケースでは、請求項1における第1の電子制御装置(正規のECU13)、第2の電子制御装置(正規のECU11)、および第3の電子制御装置(正規のECU14)のすべての構成が機能して、課題の解決が図られる。
このケースは、例えば、図1に示したECU12が非正規のECUであり、他のECUが正規のECUである場合である。このケースでは、請求項1における第1の電子制御装置(正規のECU13)、第2の電子制御装置(正規のECU11)、および第3の電子制御装置(正規のECU14)のすべての構成が機能して、課題の解決が図られる。
このケースでは、非正規のECU12がなりすまして不正のメッセージAをネットワーク20に送出する。メッセージAを受信した正規のECU13が、メッセージAの認証処理を行うが、メッセージAに付加された認証コードが間違っているため認証できない。よって、正規のECU13は、メッセージAの認証失敗情報と新たな認証コードとを含んだ第1のアラームメッセージを作成し、ネットワーク20に送出する。第1のアラームメッセージは、正規のECU11および14で受信される。第1のアラームメッセージを受信した正規のECU11は、第1のアラームメッセージの認証処理を行い、メッセージに付加された正しい認証コードによる認証を成功させる。これにより、正規のECU11は、メッセージAの認証失敗情報と第1のアラームメッセージの認証成功情報とを含んだ第2のアラームメッセージを作成し、ネットワーク20に送出する。
メッセージ認証機能を持たない正規のECU14は、メッセージAに関してまず第1のアラームメッセージを受信し、次に第2のアラームメッセージを受信する。そして、正規のECU14は、第1のアラームメッセージが正しいことを第2のアラームメッセージの認証成功結果によって判断できる。第1のアラームメッセージが正しいとは、すなわちこの第1のアラームメッセージで通知されるメッセージAが不正なものであることを意味する。従って、この場合、正規のECU14は、ネットワーク20から受信したメッセージAに対するフェール処理(破棄、フェールセーフ制御など)を実行することができる。よって、正規のECU14のセキュリティ機能が向上する。
4−2.アラームメッセージが不正なケース
このケースは、例えば、図1に示したECU13が非正規のECUであり、他のECUが正規のECUである場合である。このケースでは、請求項1における第2の電子制御装置(正規のECU11)および第3の電子制御装置(正規のECU14)の構成が機能して、課題の解決が図られる。
このケースは、例えば、図1に示したECU13が非正規のECUであり、他のECUが正規のECUである場合である。このケースでは、請求項1における第2の電子制御装置(正規のECU11)および第3の電子制御装置(正規のECU14)の構成が機能して、課題の解決が図られる。
このケースでは、正規のECU12からは正しいメッセージBがネットワーク20に送出される。メッセージBを受信した非正規のECU13は、これがあたかも不正メッセージであるかのように、メッセージBの認証失敗情報と認証コードとを含んだ第1のアラームメッセージを不正に作成し、ネットワーク20に送出する。第1のアラームメッセージは、正規のECU11および14で受信される。第1のアラームメッセージを受信した正規のECU11は、第1のアラームメッセージの認証処理を行うが、メッセージに付加された認証コードが間違っているため認証できない。よって、正規のECU11は、メッセージBの認証失敗情報と第1のアラームメッセージの認証失敗情報とを含んだ第2のアラームメッセージを作成し、ネットワーク20に送出する。
メッセージ認証機能を持たない正規のECU14は、メッセージBに関してまず第1のアラームメッセージを受信し、次に第2のアラームメッセージを受信する。そして、正規のECU14は、第1のアラームメッセージが正しくないことを第2のアラームメッセージの認証失敗結果によって判断できる。第1のアラームメッセージが正しくないとは、すなわちこの第1のアラームメッセージで通知されるメッセージBが正しいことを意味する。従って、この場合、正規のECU14は、ネットワーク20から受信したメッセージBを受領することができる。よって、正規のECU14のセキュリティ機能が向上する。
5.実施の形態の効果
以上のように、本発明の一実施形態に係る車載ネットワークシステム1では、メッセージ認証機能を持つ第1のECUがネットワークへ送出した特定のメッセージが不正なものであることを通知するアラームメッセージの認証を、メッセージ認証機能を持つ第2のECUが実施する。そして、この第2のECUは、アラームメッセージの認証結果をネットワークへ送出する。
以上のように、本発明の一実施形態に係る車載ネットワークシステム1では、メッセージ認証機能を持つ第1のECUがネットワークへ送出した特定のメッセージが不正なものであることを通知するアラームメッセージの認証を、メッセージ認証機能を持つ第2のECUが実施する。そして、この第2のECUは、アラームメッセージの認証結果をネットワークへ送出する。
これにより、メッセージ認証機能を持たないECUは、アラームメッセージを受信した場合、このアラームメッセージの認証結果を受信することで、アラームメッセージが正しいか否かを判断できる。よって、メッセージ認証機能を持たないECUが、不正なアラームメッセージを受信したときに、当該アラームメッセージで通知された特定のメッセージに対して誤ったフェール処理を実行してしまうおそれを抑制できる。従って、メッセージ認証機能を持たないECUのセキュリティ機能を、コストをかけることなく向上させることができる。
6.実施の形態による他の効果
また、アラームメッセージとしてNMメッセージを利用する場合、アラームメッセージの認証処理を行うECUをゲートウェイ(GW)とすることで、以下のような作用効果を発揮することができる。
また、アラームメッセージとしてNMメッセージを利用する場合、アラームメッセージの認証処理を行うECUをゲートウェイ(GW)とすることで、以下のような作用効果を発揮することができる。
(1)ネットワークに接続されているECUの中には、NMメッセージを利用するECUの他に、ネットワーク状態通知(図示せず)を利用するECUも存在する。このネットワーク状態通知を利用するECUは、NMメッセージを受信することができず、反対にNMメッセージを利用するECUは、ネットワーク状態通知を受信することができない。このため、NMメッセージを利用して通知するアラーム認証結果が、ネットワーク状態通知を利用するECUには届かないことになる。そこで、ゲートウェイ(GW)において、第1のアラームメッセージを受信した際には、NMメッセージおよびネットワーク状態通知の両方による第2のアラームメッセージを作成して、ネットワークに送出する。これにより、NMメッセージを利用するECUにもネットワーク状態通知を利用するECUにも、不正メッセージに関するアラームを届けることができる。
(2)ゲートウェイ(GW)では、NMメッセージを用いて各ECUのスリープ状態/ウェイクアップ状態を管理している。そのため、ネットワークに接続されているECUがスリープ待機状態(OSEK―NMでは、各ECUがNMメッセージ[ind=1]を送信)にもかかわらず、当該ECUをウェイクアップさせるメッセージがネットワークに流れている場合には、ゲートウェイ(GW)が、非正規なECUがネットワークに接続されていると判断することができる。
(3)NMメッセージを用いて車両のイグニッションオフ(IG-OFF)時の不正操作や機密情報の漏洩対策を行うことができる。例えば、ゲートウェイ(GW)が、なりすましの不正メッセージが流れているネットワークを強制的にスリープさせることで、不正メッセージによる影響を最小限に留めることができる。OSEK―NMでは、ゲートウェイ(GW)が、NMメッセージ[ind=1,ack=1]を送信する。なお、AUTOSAR(AUTomotive Open System ARchitecture)―NM規格では、ゲートウェイ(GW)がネットワークへのNMメッセージの送信を停止すれば、ネットワークに接続されたECUがスリープ状態に遷移する。
(4)ゲートウェイ(GW)は、第1のアラームメッセージの受信に応じて作成した第2のアラームメッセージを、車両に搭載される他の通信ネットワークのバスに送出することができる。これにより、第1のアラームメッセージを送出した通信ネットワークとは異なる通信ネットワークに存在するメッセージ認証機能を持たないECUに関しても、コストをかけることなくセキュリティ機能を向上させることができる。
本発明の車載ネットワークシステムは、メッセージ認証機能を持たない電子制御装置(ECU)による誤ったフェール処理の実行を抑制させ、セキュリティ機能を向上させたい場合など、に有用である。
1 車載ネットワークシステム
11〜14 電子制御装置(ECU)
20 ネットワーク
11〜14 電子制御装置(ECU)
20 ネットワーク
Claims (1)
- ネットワークを介してメッセージ認証機能を持つ電子制御装置とメッセージ認証機能を持たない電子制御装置とが複数接続された車載ネットワークシステムであって、
前記メッセージ認証機能を持つ第1の電子制御装置は、
ネットワークからメッセージを受信する受信部と、
前記受信メッセージに認証コードが含まれている場合、当該認証コードを用いて前記受信メッセージの認証を行う認証部と、
前記受信メッセージを認証できない場合に、当該受信メッセージの認証失敗を示す情報および新たな認証コードを含んだ第1のアラームメッセージを作成する作成部と、
前記第1のアラームメッセージをネットワークに送出する送信部とを備え、
前記メッセージ認証機能を持つ第2の電子制御装置は、
ネットワークからメッセージを受信する受信部と、
前記第1のアラームメッセージを受信したか否かを判断する判断部と、
前記第1のアラームメッセージを受信した場合、前記第1のアラームメッセージに含まれている認証コードを用いて前記第1のアラームメッセージの認証を行う認証部と、
前記第1のアラームメッセージの認証成功または認証失敗の結果を含んだ第2のアラームメッセージを作成する作成部と、
前記第2のアラームメッセージをネットワークに送出する送信部とを備え、
前記メッセージ認証機能を持たない第3の電子制御装置は、
ネットワークからメッセージを受信する受信部と、
前記第1のアラームメッセージを受信したか否かを判断し、前記第1のアラームメッセージを受信した場合に前記第2のアラームメッセージを受信したか否かをさらに判断する判断部と、
前記第1のアラームメッセージの認証成功の結果を含んだ前記第2のアラームメッセージの受信が判断された後に、前記第1のアラームメッセージで通知されるメッセージに対して所定のフェール処理を実行する実行部とを備える、
通信ネットワークシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015173037A JP6468133B2 (ja) | 2015-09-02 | 2015-09-02 | 車載ネットワークシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015173037A JP6468133B2 (ja) | 2015-09-02 | 2015-09-02 | 車載ネットワークシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017050719A true JP2017050719A (ja) | 2017-03-09 |
| JP6468133B2 JP6468133B2 (ja) | 2019-02-13 |
Family
ID=58280384
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015173037A Active JP6468133B2 (ja) | 2015-09-02 | 2015-09-02 | 車載ネットワークシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6468133B2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019220770A (ja) * | 2018-06-15 | 2019-12-26 | パナソニックIpマネジメント株式会社 | 電子制御装置、監視方法、プログラム及びゲートウェイ装置 |
| US11431474B2 (en) | 2018-03-01 | 2022-08-30 | Denso Corporation | Verification terminal and verification system |
| JP7328419B2 (ja) | 2019-01-09 | 2023-08-16 | 国立大学法人東海国立大学機構 | 車載通信システム、車載通信装置、コンピュータプログラム及び通信方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017121091A (ja) * | 2017-04-10 | 2017-07-06 | 日立オートモティブシステムズ株式会社 | Ecu、及び車用ネットワーク装置 |
-
2015
- 2015-09-02 JP JP2015173037A patent/JP6468133B2/ja active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017121091A (ja) * | 2017-04-10 | 2017-07-06 | 日立オートモティブシステムズ株式会社 | Ecu、及び車用ネットワーク装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11431474B2 (en) | 2018-03-01 | 2022-08-30 | Denso Corporation | Verification terminal and verification system |
| JP2019220770A (ja) * | 2018-06-15 | 2019-12-26 | パナソニックIpマネジメント株式会社 | 電子制御装置、監視方法、プログラム及びゲートウェイ装置 |
| JP7328419B2 (ja) | 2019-01-09 | 2023-08-16 | 国立大学法人東海国立大学機構 | 車載通信システム、車載通信装置、コンピュータプログラム及び通信方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6468133B2 (ja) | 2019-02-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6685023B2 (ja) | 電子制御装置、通信方法およびプログラム | |
| JP6477281B2 (ja) | 車載中継装置、車載通信システム及び中継プログラム | |
| JP6079768B2 (ja) | 車載通信システム | |
| US10298578B2 (en) | Communication relay device, communication network, and communication relay method | |
| JP6846706B2 (ja) | 監視装置、監視方法およびコンピュータプログラム | |
| KR20200103643A (ko) | 차량 내 네트워크에 보안을 제공하는 시스템 및 방법 | |
| CN107038391B (zh) | 用于通过嵌入式系统保护数据完整性的方法和设备 | |
| JP6782444B2 (ja) | 監視装置、監視方法およびコンピュータプログラム | |
| CN109005148B (zh) | 用于保护车辆网络免受被篡改的数据传输的方法 | |
| EP3565212B1 (en) | Method for providing an authenticated update in a distributed network | |
| Bloom | WeepingCAN: A stealthy CAN bus-off attack | |
| KR101756692B1 (ko) | 다이나믹 보안모듈 단말장치 및 그 구동방법 | |
| WO2019026077A1 (en) | SYSTEM AND METHOD FOR PREVENTING MALBUSED CAN BUS ATTACKS | |
| CN111077883A (zh) | 一种基于can总线的车载网络安全防护方法及装置 | |
| CN111936991A (zh) | 安全装置以及嵌入设备 | |
| JP6468133B2 (ja) | 車載ネットワークシステム | |
| Oyler et al. | Security in automotive telematics: a survey of threats and risk mitigation strategies to counter the existing and emerging attack vectors | |
| US20220019669A1 (en) | Information processing device | |
| KR102373922B1 (ko) | 차량의 제어 장치에 대한 공격을 검출하기 위한 방법 | |
| JP2015192216A (ja) | 通信装置および通信方法 | |
| JP2023102696A (ja) | 通信装置、車両、通信方法、及びプログラム | |
| van Roermund | In-vehicle networks and security | |
| JP7132132B2 (ja) | 車載通信システム、車載通信制御装置、車載通信装置、コンピュータプログラム、通信制御方法及び通信方法 | |
| CN113542265A (zh) | 局部网络安全管理、装置、计算机设备及存储介质 | |
| CN112977331A (zh) | 汽车远程控制装置、车身控制设备、系统及控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170926 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180731 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180918 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181218 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181231 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6468133 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |