JP2017121091A - Ecu、及び車用ネットワーク装置 - Google Patents
Ecu、及び車用ネットワーク装置 Download PDFInfo
- Publication number
- JP2017121091A JP2017121091A JP2017077373A JP2017077373A JP2017121091A JP 2017121091 A JP2017121091 A JP 2017121091A JP 2017077373 A JP2017077373 A JP 2017077373A JP 2017077373 A JP2017077373 A JP 2017077373A JP 2017121091 A JP2017121091 A JP 2017121091A
- Authority
- JP
- Japan
- Prior art keywords
- data
- authentication
- network device
- network
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
Description
(2)請求項9に記載のネットワークシステムは、請求項1に記載のネットワーク装置と、送信元装置とを備えることを特徴とする。
<ネットワークシステムの構成>
図1は本発明の第1の実施の形態におけるネットワーク装置を有するネットワークシステムの一例を示す図である。図1は、自動車などの移動体の内部にネットワークシステムを有する制御システム1、例えば車載ネットワーク(CAN:Controller Area Network、CANFD:CAN with Flexible Data−rate、Ethernet(登録商標)、等)により構成されるネットワークシステム2を示している。図2は、制御システム1の外部と無線通信(例えば携帯電話の通信、無線LAN、WAN、等のプロトコルを使用した通信)を行う無線通信部3、ネットワークシステム2と異なる、または同一のプロトコルを用いたネットワークシステム4を示している。図2は、例えば、診断端子(OBD)やEthernet端子、外部記録媒体(例えばUSBメモリ、SDカード、等)端子などを有し、かつ有線接続によってネットワークシステム2にアクセスを行う有線通信部5を示している。図2は、ネットワークシステム2に有線または無線で接続され、ネットワークシステム2から送出されるデータを受信し、メッセージ情報(例えば映像、音)など必要な情報を表示または出力する、液晶ディスプレイ、警告灯、スピーカなどの出力装置6、を示している。ネットワークシステム2は、ネットワークシステム4、無線通信部3、有線通信部5、出力装置6、などと接続され、それぞれとの情報の送受信を行う。
Only Memory)404、揮発性のデータを保存するRAM(Random Access Memory)405、ECU内部での通信に用いられる内部バス406を示している。図3は、鍵情報などを保護し、認証、ハッシュ演算、暗号、復号などの演算を行うセキュリティモジュール407を示している。
図5に、ネットワークリンク302上での通信プロトコルにおけるデータ構造の例を示す。ここではCANおよびCANFDを使用した場合のフレーム(ネットワークにおける通信の1ブロック、パケットとも呼ぶ)のデータ構造を示しており、数値はフィールドごとのビット数を表している。
Ethernetのデータ(フレーム)構造について図7に示す。図7(a)はDIX形式の構造であり、図7(b)はIEEE802.3形式の構造を表している。
EthernetおよびCANの上位レイヤの例として、IP(Internet Protocol)があり、データ構造を図8に示す。IPヘッダの構造はバージョンにより異なり、バージョン4(IPv4)のヘッダ構造を図8(a)に、バージョン6(IPv6)のヘッダ構造を図8(b)に記載する。長さは異なるが、どちらのバージョンにおいても送信元と送信先をヘッダ情報に含んでおり、これらの情報から送信者と受信者を判定することが可能である。通信データはペイロードに含まれる。
上述したプロトコルにおいては、特定のビットについてはあらかじめ値、もしくは値の範囲が定められているフィールドがある。たとえば予約ビット(Reserved bit)などがあり、それらがフォーマットに規定されている以外の値となることを、フォーマットエラーと呼ぶ。
上記各プロトコルのデータ送信においては、それぞれの信号を電位の高低(1,0)や、ツイストペアケーブル間の差分電位の大小を制御することによって送信側が送信し、受信側でも同様に信号を判定し、受信している。その際、プロトコルの物理層の規定により、優位性のある信号の状態が存在する。
フィルタテーブル505の例を図11に示す。図11は、バスを介して転送されるデータを識別するためのデータID1201、データの送信元ECU302が接続されているネットワークリンク301を示す送信元リンクID1202、そのデータの送信先ECU302が接続されているネットワークリンク301を示す送信先リンクID1203、送信元ECU302において使用されているデータ通信プロトコルを示す送信元プロトコル1204、そのデータの送信先ECU302が接続されているネットワークリンク301において使用されるデータ通信プロトコルを示す送信先プロトコル1205、そのデータが認証対象であるか否かを示す認証対象フラグ1206、を表している。
通信インタフェース402によるデータ検出処理のため、プロセッサ401は、例えば転送が必要なデータIDとして設計時に定められたデータIDに登録されているフィルタ情報を、フィルタテーブル505から読み出し、通信インタフェース402に指定する。こうしてデータIDが指定された通信インタフェース402は、送信元ECU302から送信先ECU302へネットワークリンク301で転送される信号を監視する。通信インタフェース402は、認証対象として指定されたデータIDに一致するデータがネットワークリンク301上で転送された場合に、プロセッサ401による認証処理のため、そのデータを、データIDと共にプロセッサ401に通知する。認証処理が通信インタフェース402によって行われる場合は、プロセッサ401への通知は必ずしも必要ではない。
本発明による主な防御の対象である、なりすまし攻撃の例について説明する。例えば図2において、攻撃者は、外部の通信機器と接続されているECU302(以降、ECU_Aと呼ぶ)について攻撃し、ECU内部のROM404またはRAM405のデータを不正に書き換える攻撃(改ざん)を行い、ECU_Aからネットワークリンク301に対し、他のECU(以降、ECU_Bと呼ぶ)になりすました不正なデータを送信させる。その場合、不正なデータを受信した他のECUは、状況判断を誤り不正な動作を起こす可能性がある。このような攻撃をなりすまし攻撃と呼ぶ。
なりすまし攻撃を防止する手段として、データ(メッセージ)に対する認証がある。認証とは、送信者が、所有している非公開情報(以降、鍵または鍵情報と呼ぶ)を用いて署名(電子署名)を作成し、受信者がその署名を確認することにより、正当な送信者からデータが送信されていることを確認する技術である。
署名を付与した通信データのフォーマットについて図13に示す。これは上記ネットワークプロトコルのペイロード部分のデータとなる。
認証処理においては、送信側および受信側で鍵の管理が必要になる。特に、同じ鍵を長期間使用し続けることはセキュリティ上鍵情報の漏洩リスクが高まるため、一定期間ごとに一時的な鍵(セッション鍵)を更新し、同じ鍵を使い続けないことが望ましい。
鍵管理テーブルの例について、図14に示す。鍵管理テーブル504は、認証対象のデータを識別するデータID1501、認証対象のデータの通信に用いられるプロトコル1502、認証に用いられる鍵データ1503、鍵データの有効期限1504、鍵が有効か否かを示すフラグ1505、通信データ1404のデータ長1506、署名の長さ1507、により構成される。鍵管理テーブル504は、認証対象のデータに対する制御部501による認証用の鍵を管理するテーブルである。
車両の各種制御を行う送信元ECUから、同様に車両の各種制御を行う送信先ECUへ、バスを介して転送中のデータ検出時における、ネットワーク装置(ECU302、GW303またはSW304)のプロセッサ401が有する制御部501による処理について図15を用いて説明する。ここでは本発明をGW303に適用した例について説明するが、ECU302またはSW304に適用した場合についても同様である。
通信インタフェース402は、データ加工処理において、転送中のデータを受信した送信先ECU302によって認証が失敗したことが検出されるように、そのデータを加工することによって、そのデータを無効化する。データ無効化の例として、CANおよびCANFDの場合には、転送中のフレームに連続6ビット以上のドミナントを発生させて、その転送中のフレームをエラーフレームにすることができる。このようにすることにより、転送中のデータを無効化することが可能となる。
認証処理を行うネットワーク装置が、転送データ検出時に、認証結果が失敗の場合だけでなく、データ形式が想定する形式に一致しない転送データを全て無効化させる例について説明する。本実施形態におけるネットワーク装置が有する制御部501による転送データ検出時の処理について図16を用いて説明する。第1実施形態と異なる点は、ステップS201におけるデータ形式判定処理が追加された点である。したがって、第1実施形態と異なる点を中心に図16を用いて説明し、図16のうちで図1と同一のステップ番号を付した処理内容については、説明を省略する。
次に、GW303またはSW304が、一方のネットワークリンク301から他方のネットワークリンク301へ、転送データの中継を行う場合に、データが無効化される例について説明する。ここでは本実施の形態におけるネットワーク装置の例として、GW303を例にして説明するが、SW304においても同様である。
次に本発明を適用したネットワーク装置が動作していることを確認する例について説明する。まず一つの方法としては、上述した認証Ackの情報について、送信元ネットワーク装置では、上書き可能な情報(例えばCANにおけるリセッシブ(1))で制御部501が作成し、CRC演算の際には認証Ackの値として上書きされた情報(例えばCANにおけるドミナント(0))で通信インタフェース402が演算を行い、その後、通信インタフェース402がそのデータを送信する。図17を用いて詳細を説明する。図17は、本実施形態におけるデータ検出時の制御部における処理を表すフローチャートである。第1実施形態におけるデータ検出時の制御部における処理を表す図15と同一のステップ番号の処理については、説明を省略する。
署名の作成および認証の処理を低減するために、署名の作成における符号化にストリーム暗号を使用する変形例について説明する。ストリーム暗号の例としては、MUGI(登録商標)、MULTI−SO1、RC4(登録商標)、Enocoro(登録商標)などがある。ストリーム暗号によれば、暗号および復号処理がビット単位で実施でき、高速な処理が実行可能である。その場合の署名作成の例としては、図12の例において、暗号化および復号化の処理においてストリーム暗号を用い、処理をビット(またはバイト)単位で実施する。作成された署名データは、データと署名をビット単位で結合しても良く、または全ての署名データを出力してから結合してもどちらの形式でも可能である。
2 ネットワークシステム
3 無線通信部
4 ネットワークシステム
5 有線通信部
6 出力装置
301 ネットワークリンク
302 ECU
303 GW
304 SW
401 プロセッサ
402 通信インタフェース
403 タイマ
404 ROM
405 RAM
406 内部バス
407 セキュリティモジュール
501 制御部
502 通信管理部
503 時間管理部
504 鍵管理テーブル
505 フィルタテーブル
506 バッファ
Claims (9)
- 複数のネットワーク装置とバスで接続されたネットワーク装置であって、
前記バスを介して前記複数のネットワーク装置のうちの1つが送信元装置として送信するデータに含まれるメッセージ認証用情報に基づいて、認証を行う認証部と、
前記認証が失敗した場合は、前記送信元装置が前記複数のネットワーク装置のうちの他のネットワーク装置になりすまして不正データを送信したと判断し、前記データを無効化する加工部とを備えることを特徴とするネットワーク装置。 - 請求項1に記載のネットワーク装置において、
前記加工部は、前記認証が失敗した場合、前記データを、エラーを含むように加工することによって、前記データを無効化することを特徴とするネットワーク装置。 - 請求項1に記載のネットワーク装置において、
前記データは、前記認証部による前記認証の結果を示す認証結果情報を含み、
前記加工部は、前記認証が失敗した場合、上書き不可能な値を前記認証結果情報に設定することによって、前記データを無効化することを特徴とするネットワーク装置。 - 請求項1に記載のネットワーク装置において、
前記バスを介して前記データが送信されることが許可されているか否かを管理する第1テーブルと、
前記データに対する前記認証部による前記認証用の鍵を管理する第2テーブルと、
前記データの送信中に、前記データが前記第1テーブルおよび前記第2テーブルに対応しているか否かを判定するデータ形式判定部とをさらに備え、
前記加工部は、前記認証部による前記認証が失敗した場合に加えてさらに、前記データ形式判定部によって、前記データが前記第1テーブルおよび前記第2テーブルの少なくとも一方に対応していない場合に、前記データの送信中に、前記データを無効化することを特徴とするネットワーク装置。 - 請求項4に記載のネットワーク装置において、
前記データ形式判定部は、前記データが送信される前記バスのリンクID、前記データのヘッダの形式、前記データの順序を表すカウンタ、前記データが送信されるタイミングを表すタイムスタンプ、前記鍵の有効期限、前記データが前記認証部による前記認証用の署名付き通信データを伴う場合の通信データ長、および前記データが前記署名付き通信データを伴う場合の署名長、のうちの少なくとも一つに基づいて、前記データが前記第1テーブルおよび前記第2テーブルに対応しているか否かを判定することを特徴とするネットワーク装置。 - 請求項1に記載のネットワーク装置において、
前記バスは、前記送信元装置が接続された第1リンクと、前記データが送信される第2リンクとを含み、
前記加工部は、前記認証部による前記認証が失敗した場合は、前記第1リンクから前記第2リンクに送信中の前記データを無効化することを特徴とするネットワーク装置。 - 請求項1に記載のネットワーク装置において、
前記加工部は、さらに、前記認証部による前記認証が行われたことを示すための加工を、前記データの送信中に、前記データに対して行うことを特徴とするネットワーク装置。 - 請求項1に記載のネットワーク装置において、
前記加工部は、前記認証が成功した場合は、前記認証部による前記認証が行われていることを示す加工を、前記データに対して行うことを特徴とするネットワーク装置。 - 請求項1に記載のネットワーク装置と、
前記送信元装置とを備えることを特徴とするネットワークシステム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017077373A JP2017121091A (ja) | 2017-04-10 | 2017-04-10 | Ecu、及び車用ネットワーク装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017077373A JP2017121091A (ja) | 2017-04-10 | 2017-04-10 | Ecu、及び車用ネットワーク装置 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013257364A Division JP6126980B2 (ja) | 2013-12-12 | 2013-12-12 | ネットワーク装置およびネットワークシステム |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018155203A Division JP2018182767A (ja) | 2018-08-22 | 2018-08-22 | Ecu、ネットワーク装置、及び車用ネットワーク装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017121091A true JP2017121091A (ja) | 2017-07-06 |
JP2017121091A5 JP2017121091A5 (ja) | 2017-10-12 |
Family
ID=59272502
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017077373A Pending JP2017121091A (ja) | 2017-04-10 | 2017-04-10 | Ecu、及び車用ネットワーク装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2017121091A (ja) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017050719A (ja) * | 2015-09-02 | 2017-03-09 | トヨタ自動車株式会社 | 車載ネットワークシステム |
JP2019092026A (ja) * | 2017-11-14 | 2019-06-13 | 株式会社デンソー | ネットワークシステム |
JP2019220770A (ja) * | 2018-06-15 | 2019-12-26 | パナソニックIpマネジメント株式会社 | 電子制御装置、監視方法、プログラム及びゲートウェイ装置 |
JP2020174298A (ja) * | 2019-04-11 | 2020-10-22 | 株式会社デンソーテン | 電子制御装置、および電子制御装置の制御方法 |
JP2021517428A (ja) * | 2018-03-31 | 2021-07-15 | 華為技術有限公司Huawei Technologies Co.,Ltd. | データ送信方法および転送デバイス |
JP7477939B2 (ja) | 2021-09-06 | 2024-05-02 | 株式会社Tmeic | スイッチング装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001148715A (ja) * | 1999-11-19 | 2001-05-29 | Mitsubishi Electric Corp | ネットワークシステム及び端末装置 |
US20080075079A1 (en) * | 2006-09-22 | 2008-03-27 | Nortel Networks Limited | Method and apparatus for verification of at least a portion of a datagram's header information |
JP2013098719A (ja) * | 2011-10-31 | 2013-05-20 | Toyota Infotechnology Center Co Ltd | 通信システムにおけるメッセージ認証方法および通信システム |
US20130152189A1 (en) * | 2011-12-09 | 2013-06-13 | Electronics And Telecommunications Research Institute | Authentication method and apparatus for detecting and preventing source address spoofing packets |
-
2017
- 2017-04-10 JP JP2017077373A patent/JP2017121091A/ja active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001148715A (ja) * | 1999-11-19 | 2001-05-29 | Mitsubishi Electric Corp | ネットワークシステム及び端末装置 |
US20080075079A1 (en) * | 2006-09-22 | 2008-03-27 | Nortel Networks Limited | Method and apparatus for verification of at least a portion of a datagram's header information |
JP2013098719A (ja) * | 2011-10-31 | 2013-05-20 | Toyota Infotechnology Center Co Ltd | 通信システムにおけるメッセージ認証方法および通信システム |
US20130152189A1 (en) * | 2011-12-09 | 2013-06-13 | Electronics And Telecommunications Research Institute | Authentication method and apparatus for detecting and preventing source address spoofing packets |
Non-Patent Citations (2)
Title |
---|
大塚敏史,石郷岡祐: "既存ECUを変更不要な車載LAN向け侵入検知手法", 情報処理学会研究報告 2013 APRIL 研究報告 組込みシステム(EMB) NO.28(6), JPN6018010453, 15 April 2013 (2013-04-15), JP, ISSN: 0003763989 * |
畑正人他: "CANにおける不正送信阻止方式の実装と評価", 電子情報通信学会技術研究報告 VOL.112 NO.342 IEICE TECHNICAL REPORT, vol. 第112巻,第342号, JPN6017008221, 5 December 2012 (2012-12-05), JP, pages 15 - 22, ISSN: 0003763990 * |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017050719A (ja) * | 2015-09-02 | 2017-03-09 | トヨタ自動車株式会社 | 車載ネットワークシステム |
JP2019092026A (ja) * | 2017-11-14 | 2019-06-13 | 株式会社デンソー | ネットワークシステム |
JP2021517428A (ja) * | 2018-03-31 | 2021-07-15 | 華為技術有限公司Huawei Technologies Co.,Ltd. | データ送信方法および転送デバイス |
JP7087106B2 (ja) | 2018-03-31 | 2022-06-20 | 華為技術有限公司 | データ送信方法および転送デバイス |
US11387940B2 (en) | 2018-03-31 | 2022-07-12 | Huawei Technologies Co., Ltd. | Transmitting fragments of ethernet frame with indicating error occurring in ethernet frame |
JP2022120060A (ja) * | 2018-03-31 | 2022-08-17 | 華為技術有限公司 | データ送信方法および転送デバイス |
JP7346662B2 (ja) | 2018-03-31 | 2023-09-19 | 華為技術有限公司 | データ送信方法および転送デバイス |
US11799587B2 (en) | 2018-03-31 | 2023-10-24 | Huawei Technologies Co., Ltd. | Transmitting fragments of ethernet frame with indicating error occurring in ethernet |
JP2019220770A (ja) * | 2018-06-15 | 2019-12-26 | パナソニックIpマネジメント株式会社 | 電子制御装置、監視方法、プログラム及びゲートウェイ装置 |
JP2020174298A (ja) * | 2019-04-11 | 2020-10-22 | 株式会社デンソーテン | 電子制御装置、および電子制御装置の制御方法 |
JP7218234B2 (ja) | 2019-04-11 | 2023-02-06 | 株式会社デンソーテン | 電子制御装置、および電子制御装置の制御方法 |
JP7477939B2 (ja) | 2021-09-06 | 2024-05-02 | 株式会社Tmeic | スイッチング装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6126980B2 (ja) | ネットワーク装置およびネットワークシステム | |
US11134064B2 (en) | Network guard unit for industrial embedded system and guard method | |
JP2017121091A (ja) | Ecu、及び車用ネットワーク装置 | |
US8335918B2 (en) | MAC frame provision method and apparatus capable of establishing security in IEEE 802.15.4 network | |
US9294270B2 (en) | Detection of stale encryption policy by group members | |
US11245535B2 (en) | Hash-chain based sender identification scheme | |
EP1618702B1 (en) | Transmission/reception system using message authentication code | |
US11930021B2 (en) | Unauthorized frame detection device and unauthorized frame detection method | |
CN110035047B (zh) | 用于检查数据包中的消息完整性的轻型机制 | |
JP4107213B2 (ja) | パケット判定装置 | |
US11196702B2 (en) | In-vehicle communication device, and communication control method | |
JP2014183395A (ja) | 車載ネットワークシステム | |
US10311005B2 (en) | Message translator | |
JP2018182767A (ja) | Ecu、ネットワーク装置、及び車用ネットワーク装置 | |
WO2015178597A1 (ko) | Puf를 이용한 비밀키 업데이트 시스템 및 방법 | |
US11336657B2 (en) | Securing communication within a communication network using multiple security functions | |
JP2020141414A (ja) | Ecu、ネットワーク装置 | |
JP7016783B2 (ja) | 情報処理装置、管理装置 | |
KR20110087972A (ko) | 세션 테이블을 이용한 비정상 트래픽의 차단 방법 | |
KR101005870B1 (ko) | 미인증 장비의 티시피 세션 차단 방법 | |
WO2022140895A1 (zh) | 一种数据传输方法及装置 | |
JP2023519910A (ja) | 特に自動車におけるデータの異常を処理するための方法 | |
KR20220135899A (ko) | 차량의 전자 제어 장치, 게이트웨이 장치 및 이들을 포함하는 차량 | |
JP2019176309A (ja) | 複製モジュール、複製方法、複製プログラム及び監視システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170410 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170410 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170830 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180116 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180222 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180327 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20180605 |