JP2017130911A - 評価装置、評価システム及び評価方法 - Google Patents

評価装置、評価システム及び評価方法 Download PDF

Info

Publication number
JP2017130911A
JP2017130911A JP2016218329A JP2016218329A JP2017130911A JP 2017130911 A JP2017130911 A JP 2017130911A JP 2016218329 A JP2016218329 A JP 2016218329A JP 2016218329 A JP2016218329 A JP 2016218329A JP 2017130911 A JP2017130911 A JP 2017130911A
Authority
JP
Japan
Prior art keywords
evaluation
frame
bus
attack
electronic control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016218329A
Other languages
English (en)
Other versions
JP6741559B2 (ja
Inventor
博史 天野
Hiroshi Amano
博史 天野
中野 稔久
Toshihisa Nakano
稔久 中野
公男 南
Kimio Minami
公男 南
宜子 広瀬
Yoshiko Hirose
宜子 広瀬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Priority to EP16886223.3A priority Critical patent/EP3407545B1/en
Priority to PCT/JP2016/005040 priority patent/WO2017125978A1/ja
Priority to CN201680003564.8A priority patent/CN107251491B/zh
Publication of JP2017130911A publication Critical patent/JP2017130911A/ja
Priority to US15/936,511 priority patent/US10685124B2/en
Application granted granted Critical
Publication of JP6741559B2 publication Critical patent/JP6741559B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/128Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40013Details regarding a bus controller
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Mechanical Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】複数の電子制御ユニット(ECU)から構成される電子制御システムを評価対象としてセキュリティに関する評価を行い得る評価装置101を提供する。
【解決手段】複数のECUが通信に用いるバスに接続され、電子制御システムのセキュリティに関する評価を行う評価装置101は、バス上のフレームを無効化する無効化フレームを含む、1つ以上の攻撃用のフレームを、バスに送信する送信部201aと、複数のECUのうち1つ以上のECUについて監視する監視部200と、送信部201aにより攻撃用のフレームがバスに送信される際における監視部200の監視結果に基づいて評価を行う評価部206とを備える。
【選択図】図2

Description

本発明は、車載ネットワークシステム等の電子制御ユニットが通信を行う電子制御システムのセキュリティ(攻撃耐性等)に関する評価を行う技術に関する。
近年、自動車には多数の電子制御ユニット(ECU:Electronic Control Unit)が配置され、ECUをつなぐ車載ネットワークには、例えばISO11898−1で規定されているCAN(Controller Area Network)規格等が用いられる。
CANでは、通信路は2本のワイヤで構成されたバスであり、バスに接続されているECUはノードと呼ばれる。バスに接続されている各ノードは、フレームと呼ばれるメッセージを送受信する。フレームを送信する送信ノードは、2本のバスに電圧をかけ、バス間で電位差を発生させることによって、レセシブと呼ばれる「1」の値と、ドミナントと呼ばれる「0」の値を送信する。複数の送信ノードが全く同一のタイミングで、レセシブとドミナントを送信した場合は、ドミナントが優先されて送信される。受信ノードは、受け取ったフレームのフォーマットに異常がある場合には、エラーフレームと呼ばれるフレームを送信する。エラーフレームとは、ドミナントを6bit連続して送信することで、送信ノードや他の受信ノードにフレームの異常を通知するものである。
車載ネットワークに対する攻撃としては、攻撃者が車内の情報端末に無線通信でアクセスし、情報端末のプログラムを不正に書き換えてその情報端末から車載ネットワークに対して任意のCANメッセージを送信し、車載ECUにつながるアクチュエータを運転者の意図に反して制御するような攻撃が知られている。自動車の運転自動化等に向けて、車載ECU自体がV2X(車車間通信(V2V:Vehicle to Vehicle)及び路車間通信(V2I:Vehicle to Infrastructure))等の無線通信の機能を搭載する状況になれば、情報端末と同様に、V2Xに対応するECUのプログラムが不正に書き換えられ、攻撃に利用され得る。
攻撃対策の評価手法については、現状ではまだ研究が少ないが、例えば、非特許文献1には、単体の車載ECUにデータを送信してその応答に注目することで不具合(プログラミング間違いによるバグの混入等)を見つけるファジング手法が開示されている。
松本勉、小林優希、土屋遊、吉田直樹、森田伸義、萱島信、「車載ECUに対するCAN経由のファジング手法」、SCIS2015、2015年1月20日
しかしながら、非特許文献1の手法は、単体の車載ECUの不具合を見つけることはできても、車載ネットワークを形成する複数のECUで構成されるシステム(電子制御システム)を評価対象としてセキュリティ(評価対象に施されたセキュリティ対策技術が攻撃を適切に防御できるか否かという攻撃耐性等)に関する評価を行えるものではない。
そこで、本発明は、複数のECUから構成される電子制御システムを評価対象としてセキュリティに関する評価を行い得る評価装置を提供する。また、本発明は、複数のECUから構成される電子制御システムのセキュリティに関する評価を行い得る評価システム及びその評価のための評価方法を提供する。
上記課題を解決するために本発明の一態様に係る評価装置は、電子制御システムを構成する複数の電子制御ユニットが通信に用いるバスに接続され、当該電子制御システムのセキュリティに関する評価を行う評価装置であって、前記バス上のフレームを無効化する無効化フレームを含む、1つ以上の攻撃用のフレームを、前記バスに送信する送信部と、前記複数の電子制御ユニットのうち1つ以上の電子制御ユニットについて監視する監視部と、前記送信部により前記攻撃用のフレームが前記バスに送信される際における前記監視部の監視結果に基づいて前記評価を行う評価部とを備える評価装置である。
また、上記課題を解決するために本発明の一態様に係る評価システムは、バスを介して通信する複数の電子制御ユニットを備える電子制御システムのセキュリティに関する評価を行う評価システムであって、前記バス上のフレームを無効化する無効化フレームを含む、1つ以上の攻撃用のフレームを、前記バスに送信する送信部と、前記複数の電子制御ユニットのうち1つ以上の電子制御ユニットについて監視する監視部と、前記送信部により前記攻撃用のフレームが前記バスに送信される際における前記監視部の監視結果に基づいて前記評価を行う評価部とを備える評価システムである。
また、上記課題を解決するために本発明の一態様に係る評価方法は、バスを介して通信する複数の電子制御ユニットを備える電子制御システムのセキュリティに関する評価を行う評価方法であって、前記バス上のフレームを無効化する無効化フレームを含む、1つ以上の攻撃用のフレームを、前記バスに送信し、前記攻撃用のフレームが前記バスに送信される際に、前記複数の電子制御ユニットのうち1つ以上の電子制御ユニットについて監視し、前記監視による監視結果に基づいて前記評価を行う評価方法である。
本発明によれば、複数のECUから構成される電子制御システムの攻撃耐性(電子制御システムに施されたセキュリティ対策技術が攻撃を適切に防御できるか否か等)について評価することが可能となる。
実施の形態に係る評価システムの概略構成を示す構成図である。 評価システムにおける評価装置の構成図である。 評価対象の電子制御システムにおける書換(書き換え)実施ECUの構成図である。 評価対象の電子制御システムにおける被書換ECUの構成図である。 評価対象の電子制御システムにおけるセキュリティECUの構成図である。 評価装置の保持部が保持する攻撃手順情報の一例を示す図である。 評価装置の保持部が保持する攻撃手順情報の他の一例を示す図である。 電子制御システムにおけるソフトウェアの更新に係る動作例を示すシーケンス図である。 評価システムの動作例1を示すシーケンス図である(図10に続く)。 評価システムの動作例1を示すシーケンス図である(図9から続く)。 評価システムの動作例2を示すシーケンス図である(図12に続く)。 評価システムの動作例2を示すシーケンス図である(図11から続く)。 評価システムの動作例3を示すシーケンス図である(図14に続く)。 評価システムの動作例3を示すシーケンス図である(図13から続く)。 評価システムの動作例4を示すシーケンス図である(図16に続く)。 評価システムの動作例4を示すシーケンス図である(図15から続く)。 評価システムの動作例5を示すシーケンス図である(図18に続く)。 評価システムの動作例5を示すシーケンス図である(図17から続く)。
本発明の一態様に係る評価装置は、電子制御システムを構成する複数の電子制御ユニットが通信に用いるバスに接続され、当該電子制御システムのセキュリティに関する評価を行う評価装置であって、前記バス上のフレームを無効化する無効化フレームを含む、1つ以上の攻撃用のフレームを、前記バスに送信する送信部と、前記複数の電子制御ユニットのうち1つ以上の電子制御ユニットについて監視する監視部と、前記送信部により前記攻撃用のフレームが前記バスに送信される際における前記監視部の監視結果に基づいて前記評価を行う評価部とを備える評価装置である。監視部は、送信部により攻撃用のフレーム(例えばCANのデータフレーム、エラーフレーム等)がバスに送信される際に(例えば、送信直後に、或いは、送信直前から送信直後に亘り)、電子制御ユニット(ECU)について直接又は間接的に監視し得る。これにより、複数のECUから構成される電子制御システムを評価対象として、フレームの送信に基づくECUへの攻撃への防御機能等といったセキュリティ機能(攻撃耐性等)の評価を行い得る。
また、例えば、前記複数の電子制御ユニットは、CAN(Controller Area Network)プロトコルに従って前記バスを介して通信を行い、前記無効化フレームは、エラーフレームであることとしても良い。これにより、ECU間でフレームの授受を行うためのCANに従うネットワークにおける、エラーフレームを含む攻撃用のフレームの送信による攻撃に対するセキュリティ機能の評価が可能となり得る。
また、例えば、前記評価装置は更に、攻撃用の複数のフレームの内容及び送信順序を示す攻撃手順情報を保持する保持部を備え、前記送信部は、前記攻撃手順情報が示す送信順序に従って前記攻撃用の複数のフレームを前記バスに送信することとしても良い。これにより、複数のフレームの送信順序等で定まる攻撃方法に対する防御機能等の評価が可能となり得る。
また、例えば、前記評価装置は、前記バスからフレームを受信する受信部を備え、前記攻撃手順情報は、エラーフレームの次に所定IDを有する攻撃用のフレームを送信することを示し、前記送信部は、前記受信部が前記バスから前記所定IDを有するフレームを受信した際に前記エラーフレームを送信することとしても良い。これにより、例えば、電子制御システムにおいて所定IDを有するフレームの送信元として規定されているECUになりすまして攻撃する攻撃方法に対するセキュリティ機能の評価が可能となり得る。
また、例えば、前記攻撃手順情報は更に攻撃用の前記複数のフレームについての送信間隔を示し、前記送信部は、前記攻撃手順情報が示す送信順序及び送信間隔に従って前記複数のフレームを前記バスに送信することとしても良い。これにより、複数のフレームの送信順序及び送信間隔で定まる攻撃方法に対する防御機能等の評価が可能となり得る。
また、例えば、前記送信部は、エラーフレームの送信後に、当該エラーフレームで無効化したフレームと、同一のIDを有し内容の相違する攻撃用のフレームを送信することとしても良い。これにより、例えば、電子制御システムにおいてバスに送信されたフレームをエラーフレームで無効化して内容を一部変更したフレームを送信するという比較的容易に実施可能な攻撃方法を用いることで効率的なセキュリティ機能の評価が可能となり得る。
また、例えば、前記送信部は、エラーフレームの送信後に、前記電子制御システムにおいて前記複数の電子制御ユニットのいずれかのソフトウェアの更新処理のために予め定められている更新用IDを有する攻撃用のフレームを送信し、前記監視部は、前記更新用IDを有するフレームの受信に応じて保持しているソフトウェアの更新処理を行う機能を有する電子制御ユニット、又は、前記更新用IDを有するフレームを送信する電子制御ユニットについて、前記監視を行うこととしても良い。ソフトウェアの更新処理は、更新そのものであっても良いし、更新の前処理や後処理といった適切な更新のために行われる付帯処理等であっても良いし、両方を含んでいても良い。これにより、例えば、攻撃者が電子制御システムの一部のECUを支配するための攻撃の一種であるところの、ECUのファームウェア等といったソフトウェアの更新に関連した攻撃に対する電子制御システムのセキュリティ機能の評価が可能となり得る。
また、例えば、前記監視部は、前記送信部により攻撃用のフレームが前記バスに送信された場合における前記複数の電子制御ユニットのうちの1つの電子制御ユニットの動作が、所定動作と一致するか否かを検出することで、前記監視を行い、前記評価部は、前記送信部により前記攻撃用のフレームが前記バスに送信された後における前記監視部による前記検出の結果に応じて評価結果が相違するように前記評価を行うこととしても良い。所定動作は、攻撃が成功した場合に予測(期待)されるECUの動作、攻撃が失敗した場合に予測されるECUの動作、正規のフレームを受信した場合におけるECUの通常の動作等であり得る。これにより、電子制御システムのセキュリティ機能の適切な評価が可能となり得る。
また、例えば、前記評価装置は、前記バスからフレームを受信する受信部を備え、前記監視部は、前記電子制御ユニットについての前記監視として、前記受信部により特定フレームが受信されたことの検出を行い、前記評価部は、前記送信部により前記攻撃用のフレームが前記バスに送信された後の一定期間内に、前記特定フレームが受信されたことが前記監視部により検出されたか否かに応じて評価結果が相違するように前記評価を行うこととしても良い。特定フレームは、例えば攻撃が成功した場合或いは失敗した場合に送信されることが予測(期待)されるフレームであり、例えば、電子制御システムで規定されたフレームのIDにより識別可能である。これにより、例えばECUと直接通信する等に依らなくても、バスの監視により適切に電子制御システムを評価し得る。
また、例えば、前記評価部は、評価結果として前記電子制御システムに攻撃耐性があるか否かを示す情報を出力することとしても良い。これにより、例えば、評価装置の利用者等は、電子制御システムに攻撃耐性があるか否かを知り得る。
また、本発明の一態様に係る評価システムは、バスを介して通信する複数の電子制御ユニットを備える電子制御システムのセキュリティに関する評価を行う評価システムであって、前記バス上のフレームを無効化する無効化フレームを含む、1つ以上の攻撃用のフレームを、前記バスに送信する送信部と、前記複数の電子制御ユニットのうち1つ以上の電子制御ユニットについて監視する監視部と、前記送信部により前記攻撃用のフレームが前記バスに送信される際における前記監視部の監視結果に基づいて前記評価を行う評価部とを備える評価システムである。これにより、複数のECUから構成される電子制御システムにおけるECUへのフレームの送信による攻撃への防御機能等といったセキュリティ機能の評価が可能となり得る。
また、本発明の一態様に係る評価方法は、バスを介して通信する複数の電子制御ユニットを備える電子制御システムのセキュリティに関する評価を行う評価方法であって、前記バス上のフレームを無効化する無効化フレームを含む、1つ以上の攻撃用のフレームを、前記バスに送信し、前記攻撃用のフレームが前記バスに送信される際に、前記複数の電子制御ユニットのうち1つ以上の電子制御ユニットについて監視し、前記監視による監視結果に基づいて前記評価を行う評価方法である。これにより、複数のECUから構成される電子制御システムを評価対象として、フレームの送信による攻撃への防御機能等といったセキュリティ機能の評価が可能となり得る。
なお、これらの全般的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なCD−ROM等の記録媒体で実現されても良く、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されても良い。
以下、実施の形態に係る評価システムについて、図面を参照しながら説明する。ここで示す実施の形態は、いずれも本発明の一具体例を示すものである。従って、以下の実施の形態で示される数値、構成要素、構成要素の配置及び接続形態、並びに、ステップ(工程)及びステップの順序等は、一例であって本発明を限定するものではない。以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意に付加可能な構成要素である。また、各図は、模式図であり、必ずしも厳密に図示されたものではない。
(実施の形態1)
以下、自動車(車両)に搭載され、バスを介して通信する複数の電子制御ユニット(ECU)を含んで構成される車載ネットワークシステム(電子制御システム)のセキュリティに関する評価を行う評価装置及び評価方法、並びに、電子制御システムと評価装置とを含む評価システムについて説明する。
[1.1 評価システム10の構成]
図1は、評価システム10の概略構成を示す構成図である。評価システム10は、同図に示すように、評価装置101と、電子制御システム11とを含んで構成される。評価システム10は、電子制御システム11を評価対象として、電子制御システム11の攻撃耐性(攻撃に対して防御を行うセキュリティ対策技術が適切に作用しているか否か等)について評価を行う。
電子制御システム11は、車載ネットワークシステムであり、車両内の制御装置、センサ、アクチュエータ(例えば電子制御可能にされたステアリング、アクセル、ブレーキ等)、ユーザインタフェース装置等の各種機器に接続されて、車内のバス(CANバス)を介してフレームの送受信を行う複数の電子制御ユニット(ECU)を含んで構成される車載ネットワークを備える。電子制御システム11では、各ECUがフレームを授受して連携することで、例えば、先進運転者支援システム(ADAS:Advanced Driver Assistance System)の一機能である駐車支援機能、車線維持支援機能、衝突回避支援機能等の機能を実現する。各ECUは、ソフトウェアにより制御されており、ECUのソフトウェアは、ある種のフレームのCANバスでの授受を含む手順により書き換え(更新)可能である。
車内には多数のECU等が含まれ得るが、ここでは説明の便宜上、一例として、電子制御システム11は、図1に示すように、書換実施ECU102、被書換ECU103、及び、セキュリティECU104を備えるものとして説明する。なお、各ECUは、CANバス20を通信路としてCAN規格(プロトコル)に従って通信を行う。CANにおいてデータの伝送に用いられるフレームであるデータフレーム(CANメッセージとも称する)は、ID(メッセージID)を格納するIDフィールド、データを格納するデータフィールド等を含むように規定されている。
書換実施ECU102は、CANバス20に接続され、被書換ECU103のソフトウェアの更新処理のためのCANメッセージ(データフレーム)である更新用フレームを、CANバス20へ送信する機能(書換実施機能)を有するECUである。更新用フレームは、電子制御システム11においてソフトウェアの更新処理のために予め定められている更新用IDをメッセージIDとして有するフレームである。更新用フレームとしては、例えば、書換モード遷移指示、認証鍵、メモリ消去命令、更新ソフト(更新用のプログラムである更新ソフトウェア)、更新ソフト署名(更新ソフトウェアに対するデジタル署名)、再起動指示のそれぞれを示すフレーム等がある。書換実施ECU102は、例えば、更新用のソフトウェアを外部から電子制御システム11内に取り込む機能を有するECUである。書換実施ECU102は、具体例としては、カーナビゲーション機能を有するECU、車両外部と通信する外部通信機能を有するECU、装着された記録媒体からデータを読み取る機能を有するECU、診断ポートに接続された診断ツール(故障診断ツール)等である。診断ポートは、車載ネットワーク(CANバス)における、例えばOBD2(On-Board Diagnostics2)等といった診断ツール等と通信するためのインタフェースである。
被書換ECU103は、CANバス20に接続され、更新用フレームの受信によって、自ECU(被書換ECU103)におけるソフトウェアを更新する機能(被書換機能)を有するECUである。被書換ECU103は、例えば、アクチュエータ(例えば、ステアリング、アクセル、ブレーキ等)を制御するECU等であっても良く、更新されるソフトウェアは、例えばそのアクチュエータの制御を含む処理のためのソフトウェアであっても良い。
セキュリティECU104は、CANバス20を常時監視(モニタリング)し、例えば不正なCANメッセージ(攻撃用のCANメッセージ)が流れていることを検知した場合に、そのCANメッセージを無効化する等の対処を行う。CANメッセージの無効化の方法としては、任意の方法を用いることができるが、例えば不正なCANメッセージに重畳させるように、CANプロトコルで規定されたエラーフレームを送信することで無効化し得る。
評価装置101は、電子制御システム11(評価対象)に対して施されたセキュリティ対策技術の攻撃耐性を評価する装置である。評価装置101は、保持する攻撃手順情報105に基づいて、評価対象に対して攻撃(ハッキング)を仕掛け、攻撃への反応を観測するための監視(モニタリング)を行い、監視結果に応じた評価を行う。評価装置101による評価の一例としては、例えば、その攻撃に対する耐性の有無(攻撃或いは防御の成否)の判定が挙げられる。評価装置101は、監視として具体的には、CANバス20を流れるフレーム(メッセージ)の監視、書換実施ECU102及び被書換ECU103の出力信号の監視を行う。なお、評価装置101は、書換実施ECU102或いは被書換ECU103により制御されたアクチュエータ等の挙動(動作)の監視を行うこととしても良い。攻撃手順情報105は、攻撃を仕掛ける際の手順(送信すべきフレームの種類、順序、タイミング、頻度等)を示す。
以下、評価システム10の各構成要素について詳細に説明する。
[1.2 評価装置101の構成]
図2は、評価システム10における評価装置101の構成図である。
評価装置101は、図2に示すように、監視部200(CANバス監視部203及び信号監視部204)と、送受信部201(送信部201a及び受信部201b)と、保持部202と、評価部206と、制御部207と、記憶部208を含んで構成される。
評価装置101は、例えば、プロセッサ(マイクロプロセッサ)、メモリ等のデジタル回路、アナログ回路、通信回路、ハードディスク等を含む装置である。メモリは、ROM、RAM等であり、プロセッサにより実行される制御プログラム(ソフトウェアとしてのコンピュータプログラム)を記憶することができる。例えばプロセッサが、制御プログラム(コンピュータプログラム)に従って動作(各種回路の制御等)することにより、評価装置101は各種機能を実現することになる。なお、コンピュータプログラムは、所定の機能を達成するために、プロセッサに対する指令を示す命令コードが複数個組み合わされて構成されたものである。
(1)送受信部201
送受信部201は、通信回路等により実現される。送受信部201は、送信部201a及び受信部201bで構成される。送信部201aは、CANバス20に対して、CANメッセージ(例えば、書換モード遷移指示、認証鍵、メモリ消去命令、更新ソフト、更新ソフト署名等の各種情報を示す各種のフレーム等)、或いは、エラーフレームを送信する。エラーフレームは、CANバス20に流れるCANメッセージを無効化し、例えば、その無効化対象となったCANメッセージを送信したECUを、バスオフ状態やエラーアクティブ状態にし得る。受信部201bは、CANバス20を流れるCANメッセージ(例えば書換実施ECU102或いは被書換ECU103により送信された、書換モード遷移指示、認証鍵、メモリ消去命令、更新ソフト、更新ソフト署名、再起動指示、認証シード、認証結果、等の各種情報を示す各種のフレーム等)を受信する。
(2)保持部202
保持部202は、メモリ、ハードディスク等の記憶媒体で実現され、評価装置101が評価対象の攻撃耐性等を評価するために仕掛ける攻撃の手順を示す攻撃手順情報105を記憶している。攻撃手順情報105は攻撃用の複数のフレーム(CANメッセージ或いはエラーフレーム)の送信順序等を示す。攻撃手順情報105の詳細については後に図6及び図7を用いて説明する。
(3)CANバス監視部203
CANバス監視部203は、例えばプログラムを実行するプロセッサ等により実現され、評価対象の電子制御システム11で複数のECUが接続されているCANバス20を監視する。CANバス監視部203は、具体的には受信部201bを介してCANメッセージを受信して、CANメッセージに含まれるデータの中身(ペイロード)を、記憶部208に記録し、確認する。CANバス監視部203は、例えば、書換実施ECU102についての監視として、書換モード遷移指示、認証鍵、メモリ消去命令、更新ソフト、更新ソフト署名、再起動指示のそれぞれを示す更新用フレームがCANバス20に送信されたことを検出してフレームの内容を確認する。また、CANバス監視部203は、例えば、被書換ECU103についての監視として、認証シード、認証結果のそれぞれを示すフレームがCANバス20に送信されたことを検出してフレームの内容を確認する。監視部200は、CANバス監視部203により、電子制御システム11のECUについての監視として、受信部201bにより特定フレームが受信されたことの検出を行う。この特定フレームは、特定の内容を有する予め規定されたフレームであって、フレームのID、データフィールドの内容等により特定されるフレームであり得る。この特定フレームは、攻撃用のフレームの送信による攻撃に対して電子制御システム11の一部のECUが、特定フレームを送信する或いは送信しないことにより、攻撃が成功したか否か、防御が成功したか否か等が予め区別可能と想定されるフレームである。
(4)信号監視部204
信号監視部204は、書換実施ECU102及び被書換ECU103がCANバス20以外の信号線等に出力した信号を観測し、信号内容を確認する。信号監視部204は、例えば、書換実施ECU102及び被書換ECU103のそれぞれが信号を出力する信号線に接続する通信回路、プログラムを実行するプロセッサ等により実現される。なお、信号監視部204は、例えば、書換実施ECU102及び被書換ECU103のそれぞれのデバッグ用の出力信号を監視するものであっても良く、電子制御システム11の各ECUは評価に際してデバッグ用の出力信号を出力し得るように構成されることとしても良い。この場合において各ECUは、デバッグ用の出力信号として、ECUの状態を示す情報、メモリ内容を示す情報、或いは、ソフトウェアを実行するプロセッサのリセット(再起動)がなされたことを示す情報等を出力し得る構成を有していても良い。信号監視部204は、信号の観測により、例えば、被書換ECU103がソフトウェアの更新(書き換え)に係る処理を再起動の実行によって完了したか否か等を確認し得る。監視部200は、信号監視部204等により、送信部201aにより攻撃用のフレームがCANバス20に送信された場合における電子制御システム11のいずれかのECUの動作が、所定動作(例えば、攻撃が成功した場合に予測される動作、攻撃が失敗した場合に予測される動作、正規のフレームを受信した場合における通常の動作等)と一致するか否かを検出することで、そのECUの監視を行う。
(5)評価部206
評価部206は、プログラムを実行するプロセッサ等により実現される。評価部206は、監視部200(CANバス監視部203及び信号監視部204)での監視による確認結果に基づいて、電子制御システム11のセキュリティに関する評価を行う。具体的には、評価部206は、監視部200による確認結果の全部又は一部と、攻撃手順情報105に基づいてCANメッセージを送信するときの期待値とを比較し、攻撃が成功しているか否か(例えば攻撃に対する防御機能が適切に作動したか否か)等を判定する。期待値は、攻撃結果(例えば各攻撃用のフレームの送信に対する結果)として期待される書換実施ECU102或いは被書換ECU103が、送信するCANメッセージ、或いは、送信する信号で示される情報(動作等)であり、予め規定され得る。評価部206は、送信部201aにより攻撃手順情報105に基づく攻撃用のフレームがCANバス20に送信される際(例えば送信直後の一定期間、或いは送信直前から送信直後まで等)における監視部200の監視結果に基づいて評価を行う。評価部206は、例えば、送信部201aにより攻撃手順情報105に示される攻撃用の複数のフレームの1つ以上がCANバス20に送信された後の一定期間内に、期待値としての特定フレームがCANバス20上で送信されたことがCANバス監視部203により検出されたか否かを判定し、特定フレームが検出されたか否かに応じて評価結果が相違するように評価を行い得る。また評価部206は、例えば、攻撃用のフレームの1つ以上がCANバス20に送信された後の一定期間内に、書換実施ECU102或いは被書換ECU103が期待値に係る所定動作をしたことを示す信号が信号監視部204により検出されたか否かに応じて評価結果が相違するように評価を行い得る。
(6)記憶部208
記憶部208は、メモリ等の記憶媒体により構成され、偽の更新ソフト(更新ソフトウェア)、更新ソフトに対する偽の署名、更新手順、CANバス20から受信したCANメッセージの内容(メモリ消去命令、更新ソフト、更新ソフト署名、認証鍵、認証シード等)を保持する。
(7)制御部207
制御部207は、プログラムを実行するプロセッサ等により実現され、監視部200、送受信部201、保持部202、記憶部208、及び、評価部206を管理、制御して評価装置101の機能を実現する。また、制御部207は、認証鍵の生成、確認等のために必要な演算処理を行い得る。
[1.3 書換実施ECU102の構成]
図3は、書換実施ECU102の構成図である。
書換実施ECU102は、図3に示すように、送受信部301と、署名記憶部302と、鍵記憶部303と、プログラム記憶部304と、書換手順情報記憶部305と、制御部306とを含んで構成される。
書換実施ECU102は、CANバス20に接続されたECUである。ECUは、例えば、プロセッサ、メモリ等のデジタル回路、アナログ回路、通信回路等を含む装置である。メモリは、ROM、RAM等であり、プロセッサにより実行される制御プログラムを記憶することができる。例えばプロセッサが、制御プログラム(コンピュータプログラム)に従って動作(各種回路の制御等)することにより、書換実施ECU102は機能を果たす。
(1)送受信部301
送受信部301は、CANバス20に対してCANメッセージを送信し、CANバス20を流れるCANメッセージを受信する。送受信部301は、例えば、書換モード遷移指示、認証鍵、メモリ消去命令、更新ソフト、更新ソフト署名、再起動指示のそれぞれを示す更新用フレームを送信し、CANバス20に流れる認証シード、認証結果のそれぞれを示すフレームを受信する。また、送受信部301は、例えば、電子制御システム11の外部(車両外部)の装置と通信する外部通信機能を担い、更新ソフト、更新ソフト署名等を外部の装置から受信する。
なお、書換実施ECU102が被書換ECU103のソフトウェアを更新するための更新処理において用いられる認証シードは、書換実施ECU102と被書換ECU103とが互いを認証するために用いられる情報である。また、認証鍵は、被書換ECU103が送信した認証シードに基づいて、書換実施ECU102が、互いに共通の秘密鍵を用いた暗号化を施すことで生成した情報である。更新処理では、書換実施ECU102が、被書換ECU103が送信した認証シードに基づいて共通の秘密鍵を用いた暗号化により認証鍵を生成し、認証鍵を被書換ECU103へ送信し、被書換ECU103が、共通の秘密鍵にて認証鍵を復号してその復号結果が先に送信した認証シードと一致すれば認証成功、一致しなければ認証不成功と判断し、判断結果である認証結果(例えば認証成功の場合に書換許可を示し認証不成功の場合に書換不許可を示す情報)を書換実施ECU102に送信する。認証成功の場合において、ソフトウェアの書き換えのために、メモリ消去命令、更新ソフト、更新ソフト署名、再起動指示等が書換実施ECU102から送信され、これに応じて被書換ECU103ではソフトウェアの書き換え等が行われる。
(2)署名記憶部302
署名記憶部302は、プログラム記憶部304で記憶している更新ソフトに対する署名を記憶する。
(3)鍵記憶部303
鍵記憶部303は、被書換ECU103から送信された認証シードを暗号化することで認証鍵を生成するときの暗号化に用いる鍵(秘密鍵)を記憶する。
(4)プログラム記憶部304
プログラム記憶部304は、被書換ECU103用の更新ソフト(更新ソフトウェア)を記憶する。
(5)書換手順情報記憶部305
書換手順情報記憶部305は、被書換ECU103のソフトウェアの更新手順(ソフトウェアの書き換えに係る処理手順)を記憶する。
(6)制御部306
制御部306は、送受信部301、署名記憶部302、鍵記憶部303、プログラム記憶部304、及び、書換手順情報記憶部305を管理、制御して、書換実施ECU102の機能を実現する。即ち、制御部306は、書換手順情報記憶部305が記憶する書換手順情報(更新手順)に従って、各部を制御して、被書換ECU103のソフトウェアを、更新ソフトウェアへと更新するための更新処理(各種更新用フレームの送信、認証シード及び認証結果の受信等を含む一連の処理)等を実行し得る。
[1.4 被書換ECU103の構成]
図4は、被書換ECU103の構成図である。
被書換ECU103は、図4に示すように、送受信部401と、署名記憶部402と、鍵記憶部403と、プログラム記憶部404と、書換手順情報記憶部405と、制御部406とを含んで構成される。
被書換ECU103は、CANバス20に接続されたECUであり、プロセッサ、メモリ等のデジタル回路、アナログ回路、通信回路等を含む装置である。例えばプロセッサが、メモリに格納された制御プログラムに従って動作することにより、被書換ECU103は機能を果たす。
(1)送受信部401
送受信部401は、CANバス20に対してCANメッセージを送信し、CANバス20を流れるCANメッセージを受信する。送受信部401は、例えば、認証シード、認証結果のそれぞれを示すフレームを送信し、CANバス20に流れる書換モード遷移指示、認証鍵、メモリ消去命令、更新ソフト、更新ソフト署名、再起動指示のそれぞれを示す更新用フレームを受信する。
(2)署名記憶部402
署名記憶部402は、プログラム記憶部404で記憶している更新ソフトに対する署名を記憶する。
(3)鍵記憶部403
鍵記憶部403は、被書換ECU103が送信した認証シードに基づいて書換実施ECU102が暗号化により生成した認証鍵の復号に用いる復号鍵(秘密鍵)、及び、プログラム記憶部404に記憶したプログラム(更新ソフト)の署名である署名記憶部402に記憶した署名の正当性の検証に用いる署名検証鍵を記憶する。
(4)プログラム記憶部404
プログラム記憶部404は、被書換ECU103のソフトウェア(例えば書換実施ECU102から取得した更新ソフト等)を記憶する。
(5)書換手順情報記憶部405
書換手順情報記憶部405は、被書換ECU103のソフトウェアの更新手順を記憶する。
(6)制御部406
制御部406は、送受信部401、署名記憶部402、鍵記憶部403、プログラム記憶部404、及び、書換手順情報記憶部405を管理、制御して、被書換ECU103の機能を実現する。即ち、制御部406は、書換手順情報記憶部405が記憶する書換手順情報(更新手順)に従って、各部を制御して、被書換ECU103のソフトウェアを、更新ソフトウェアへと更新するための更新処理(各種更新用フレームの受信、認証シード及び認証結果の送信等を含む一連の処理)等を実行し得る。
[1.5 セキュリティECU104の構成]
図5は、セキュリティECU104の構成図である。
セキュリティECU104は、図5に示すように、送受信部501と、CANバス監視部502と、制御部503とを含んで構成される。
セキュリティECU104は、CANバス20に接続され、攻撃に対処するセキュリティ機能(防御機能等)を備えたECUである。セキュリティECU104のプロセッサが、メモリに記憶された制御プログラム(コンピュータプログラム)に従って動作することにより、セキュリティECU104は機能を果たす。
(1)送受信部501
送受信部501は、CANバス20を流れるCANメッセージを受信し、CANバス監視部502の指示を受けてCANバス20に、不正なCANメッセージを無効化するためにエラーフレームを送信する。
(2)CANバス監視部502
CANバス監視部502は、複数のECUが接続されているCANバス20から送受信部501を介して受信したCANメッセージに含まれるデータの中身(ペイロード)を確認する。CANバス監視部502は、不正なCANメッセージ(例えば電子制御システム11において予め定められたルールに準拠していないCANメッセージ)が流れていることを確認した場合に、送受信部501を介してエラーフレームを送信する。CANバス監視部502が、不正なCANメッセージを検知する方法としては、いかなる方法を用いても良い。
(3)制御部503
制御部503は、送受信部501及びCANバス監視部502を管理、制御してセキュリティECU104の機能を実現する。
[1.6 攻撃手順情報]
評価装置101の保持部202が記憶する攻撃手順情報について説明する。図6及び図7は、それぞれ攻撃手順情報の一例を示す。
図6及び図7に示すように、攻撃手順情報は、例えば、評価装置101による評価項目毎(評価対象機能毎)に、送信メッセージ(評価対象機能の評価のための攻撃として送信すべき攻撃用のフレーム)の内容及びメッセージIDと、送信メッセージの送信間隔(先行フレームとの時間間隔)と、送信順序とを含む情報である。この攻撃手順情報は、例えば、電子制御システム11に関する各種情報(仕様等)に基づいて定められる。
例えば、図6に示す評価対象機能が「書換実施機能1」という評価項目の例では、攻撃手順は、最初(1番目)に、エラーフレームを送信することで、被書換ECU103が送信した認証シードを含むCANメッセージを無効化し、次(2番目)に、偽の認証シードを含むCANメッセージを送信し、次(3番目)に、書換実施ECU102から認証シードに対応した認証鍵を受信した後に応答として、認証結果(認証応答)を含むCANメッセージを送信するという一連の手順となる。
例えば、図7に示す評価対象機能が「被書換機能1」という評価項目の例では、攻撃手順は、最初(1番目)に、エラーフレームを送信することで、書換実施ECU102が送信したメモリ消去命令を含むCANメッセージを無効化し、次(2番目)に、メモリ消去命令を含む更新用フレーム(CANメッセージ)を送信し、次(3番目)に、偽の更新ソフトを含む更新用フレーム(CANメッセージ)を送信し、次(4番目)に、その偽の更新ソフトに対応した署名を含む更新用フレーム(CANメッセージ)を送信するという一連の手順となる。なお、図7の攻撃手順情報において、更新ソフト署名を含む更新用フレームの送信に係る情報の次に、再起動指示を示す更新用フレームの送信に係る情報を含み得る。
このような攻撃手順情報に従って、評価装置101は、各評価項目について定められた攻撃用のフレームを定められた送信順序で送信することにより、電子制御システム11を攻撃して評価する。評価装置101は、例えば、攻撃手順情報で、エラーフレームの次に、所定ID(例えば認証シード用のID、認証結果である認証応答用のID等)を有する攻撃用のフレームを送信することを示す場合には、受信部201bがCANバス20から所定IDを有するCANメッセージを受信した際に、まずエラーフレームを送信し、続いて所定IDを有する攻撃用のフレームを送信する。この所定IDは、ソフトウェアの更新処理のために予め定められている更新用ID(例えば、メモリ消去命令用のID、更新ソフト用のID、更新ソフト署名用のID、再起動指示用のID等)であっても良い。
[1.7 評価システム10の動作]
以下、上述した構成を備える評価システム10の動作について説明する。
まず、評価システム10で評価装置101が攻撃用のフレームを送信しないときにおいて、電子制御システム11で実施されるソフトウェアの更新に係る動作例について説明する。その後に、評価装置101により評価対象の電子制御システム11を、攻撃手順情報105に従って攻撃(攻撃用のフレームの送信により攻撃)することで評価する動作について、評価項目毎の動作例(動作例1〜5)を説明する。
[1.7.1 ソフトウェアの更新の動作例]
評価装置101が攻撃用のフレームを送信しないときに、電子制御システム11で実施されるソフトウェア(被書換ECU103におけるソフトウェア)の更新について、図8のシーケンス図に即して説明する。図8の例では、ソフトウェアの更新は、書換実施ECU102が予め定められた各種の更新用フレームを主導的に送信し、これに被書換ECU103が対応することで実現される。
書換実施ECU102は、書換モード遷移指示(書換モードへの遷移を指示する旨の情報)を含む更新用フレーム(CANメッセージ)をCANバス20へ送信する(ステップS601)。
CANバス20から書換モード遷移指示を含む更新用フレームを受信した被書換ECU103は、認証シードを含むCANメッセージをCANバス20へ送信する(ステップS602)。
認証シードを含むCANメッセージを受信した書換実施ECU102は、受信した認証シードを鍵記憶部303に記憶した鍵を用いて暗号化することで認証鍵を生成し、認証鍵を含む更新用フレーム(CANメッセージ)をCANバス20へ送信する(ステップS603)。
認証鍵を含む更新用フレームを受信した被書換ECU103は、受信した認証鍵を鍵記憶部403に記憶した鍵を用いて復号し、復号結果と送信した認証シードとの一致の確認を行う。被書換ECU103は、一致していると確認した場合は、認証結果として書換許可を意味するCANメッセージをCANバス20へ送信し、以後の更新手順の実施を許可し、一致していないと確認した場合は、認証結果として書換不許可を意味するCANメッセージをCANバス20に送信し、以後の更新手順の実施を許可しない(ステップS604)。認証結果を含むCANメッセージを受信した書換実施ECU102は、受信したCANメッセージが認証結果として書換許可を意味している場合は、以後の更新手順を実施し、書換不許可を意味している場合は、以後の更新手順を実施しない。
認証結果として書換許可を意味するCANメッセージを受信した書換実施ECU102は、メモリ消去命令を含む更新用フレームをCANバス20へ送信する(ステップS605)。メモリ消去命令を含む更新用フレームを受信した被書換ECU103は、プログラム記憶部404の記憶内容(更新ソフトを格納するための領域の内容)を消去する。
次に、書換実施ECU102は、更新ソフトを含む更新用フレームをCANバス20へ送信する(ステップS606)。なお、更新用フレームは、複数のCANメッセージで構成されていても良く、例えば、更新ソフトを含む更新用フレームは、更新ソフトのデータ量に応じて、1つ又は複数のCANメッセージで構成される。更新ソフトを含む更新用フレームを受信した被書換ECU103は、プログラム記憶部404へ、受信した更新ソフトを書き込む。
次に、書換実施ECU102は、更新ソフトに対応した更新ソフト署名を含む更新用フレームをCANバス20へ送信する(ステップS607)。更新ソフト署名を含む更新用フレームを受信した被書換ECU103は、署名記憶部402に、受信した更新ソフト署名を書き込む。
最後に、書換実施ECU102は、再起動指示を示す更新用フレームをCANバス20へ送信する(ステップS608)。再起動指示を示す更新用フレームを受信した被書換ECU103は、再起動(プロセッサのリセット)を実施する。再起動に際して、被書換ECU103は、例えば、プログラム記憶部404が記憶するプログラム(更新ソフト)の署名として、署名記憶部402に記憶した署名が正当か否かを、鍵記憶部403が記憶する署名検証鍵を用いて検証し、正当であった場合はプロセッサのリセットを実行する。プロセッサがリセットされると、プロセッサにより、プログラム記憶部404内の更新ソフトが実行される。被書換ECU103は、プログラムの署名の検証により、署名が正当でなかった場合は、更新ソフトを実行するための再起動を実行しない。なお、被書換ECU103は、例えば、メモリ消去命令に対応して、プログラム記憶部404の記憶内容(更新ソフトを格納するための領域の内容)を消去する際に、元の記憶内容を記憶媒体(例えば不揮発性メモリ、ハードディスク等)に保存することとしても良く、更新ソフトに係る署名が正当でなかった場合に元の記憶内容をプログラム記憶部404に復元することとしても良い。
[1.7.2 評価システム10の動作例1]
図9及び図10は、電子制御システム11を評価する評価システム10の動作(動作例1)を示すシーケンス図である。動作例1では、評価装置101が、図6に示す書換実施機能1という評価項目に係る評価を行う例を示す。この例は、評価装置101が、被書換ECU103になりすまして書換実施ECU102に誤認識をさせる攻撃を行うことで、電子制御システム11のセキュリティを評価する例である。以下、図9及び図10に即して、動作例1について説明する。
書換実施ECU102は、書換モード遷移指示を示す更新用フレーム(CANメッセージ)をCANバス20へ送信する(ステップS601)。書換モード遷移指示を含む更新用フレームを受信した被書換ECU103は、認証シードを含むCANメッセージをCANバス20へ送信する(ステップS602)。
評価装置101は、CANバス20からCANメッセージを受信することで、認証シードを含むCANメッセージがCANバス20に流れていることを検知すると、そのCANメッセージ全体が書換実施ECU102に受信される前に、エラーフレームを送信し、被書換ECU103が送信する認証シードを含むCANメッセージを無効化する(ステップS701)。CANバス20上において認証シードを含むCANメッセージは、エラーフレームにより上書きされ、正しく受信できない無効なものとなる。
次に、評価装置101は、偽の認証シードを含むCANメッセージをCANバス20へ送信する(ステップS702)。評価装置101の信号監視部204は、このステップS702以降の書換実施ECU102の挙動の逐次監視の結果を記憶部208に逐次記録する。偽の認証シードを含むCANメッセージを受信した書換実施ECU102は、受信した認証シードを、鍵記憶部303に記憶した鍵を用いて暗号化することで認証鍵を生成する。そして、書換実施ECU102は、生成した認証鍵を含む更新用フレーム(CANメッセージ)をCANバス20へ送信する(ステップS603)。
認証鍵を含む更新用フレームを受信した評価装置101は、その受信した認証鍵の正当性に拘わらず、認証結果として書換許可を意味するCANメッセージをCANバス20へ送信する(ステップS703)。
認証結果として書換許可を意味するCANメッセージを受信した書換実施ECU102は、メモリ消去命令を含む更新用フレームをCANバス20へ送信する(ステップS605)。メモリ消去命令を含む更新用フレームを受信した評価装置101は、CANバス監視部203で、その受信したメモリ消去命令を含む更新用フレームの内容を記憶部208に記録する。
次に、書換実施ECU102は、更新ソフトを含む更新用フレームをCANバス20へ送信する(ステップS606)。更新ソフトを含む更新用フレームを受信した評価装置101は、CANバス監視部203により、受信した更新ソフトを記憶部208に記録する。
次に、書換実施ECU102は、更新ソフトに対応した更新ソフト署名を含む更新用フレームをCANバス20へ送信する(ステップS607)。更新ソフト署名を含む更新用フレームを受信した被書換ECU103は、CANバス監視部203により、受信した更新ソフト署名を、記憶部208に記録する。
次に、書換実施ECU102は、再起動指示を示す更新用フレームをCANバス20へ送信する(ステップS608)。再起動指示を示す更新用フレームを受信した評価装置101は、CANバス監視部203により、受信した再起動指示を示す更新用フレームの内容を記憶部208に記録する。
最後に、評価装置101は、記憶部208に記録された、CANバス20からの受信内容に係る情報、及び、ステップS702以降の書換実施ECU102の動作に係る情報を確認することで、評価を行う(ステップS801)。即ち、評価装置101は、受信内容及び書換実施ECU102の動作について、攻撃の期待値と比較することにより、電子制御システム11のセキュリティの評価(攻撃の成否についての判定等)を行う。評価装置101は、例えば、確認した受信内容、及び、確認した書換実施ECU102の動作が、攻撃の期待値(被書換ECU103に対する更新用フレームの送信等の更新手順の実施と同様の動作)と同じようになっている場合に攻撃が成功していると判定する。評価装置101は、再起動指示を示す更新用フレーム等を受信しなくても、一定時間が経過した後(例えばステップS703での認証結果としてのCANメッセージの送信等から予め定められた時間が経過した後)において、ステップS801での評価を行い得る。このため、攻撃が失敗する場合(例えば、評価装置101がステップS703等で送信したCANメッセージが、セキュリティECU104によるエラーフレームの送信等により無効化された場合等)についても評価可能である。また、評価装置101は、CANバス監視部203での監視結果と、信号監視部204での監視結果とのうち一方のみを用いて攻撃の期待値に基づいて攻撃の成否についての判定等を行っても良い。また、評価装置101は、ステップS801で、評価対象である電子制御システム11のセキュリティの評価をどのように詳しく行っても良く、例えば、攻撃全体の成否の他に、攻撃用のフレームの送信という個々の攻撃の成否を判定しても良いし、各種の防御機能それぞれが作用したか否か、防御できた程度等について確認しても良い。
[1.7.3 評価システム10の動作例2]
図11及び図12は、電子制御システム11を評価する評価システム10の動作(動作例2)を示すシーケンス図である。動作例2では、評価装置101が、図6に示す書換実施機能2という評価項目に係る評価を行う例を示す。この例は、評価装置101が、被書換ECU103になりすまして書換実施ECU102に誤認識をさせる攻撃を行うことで、電子制御システム11のセキュリティを評価する例である。以下、図11及び図12に即して、動作例2について説明する。
書換実施ECU102は、書換モード遷移指示を示す更新用フレームをCANバス20へ送信する(ステップS601)。書換モード遷移指示を含む更新用フレームを受信した被書換ECU103は、認証シードを含むCANメッセージをCANバス20へ送信する(ステップS602)。認証シードを含むCANメッセージを受信した書換実施ECU102は、受信した認証シードに基づいて認証鍵を生成し、認証鍵を含む更新用フレームをCANバス20へ送信する(ステップS603)。認証鍵を含む更新用フレームを受信した被書換ECU103は、受信した認証鍵に基づく認証結果に係るCANメッセージをCANバス20へ送信する(ステップS604)。
評価装置101は、CANバス20から認証結果に係るCANメッセージを受信することで、認証結果に係るCANメッセージがCANバス20に流れていることを検知すると、そのCANメッセージ全体が書換実施ECU102に受信される前に、エラーフレームを送信し、被書換ECU103が送信する認証結果に係るCANメッセージを無効化する(ステップS901)。CANバス20上において認証結果に係るCANメッセージは、エラーフレームにより上書きされ、正しく受信できない無効なものとなる。
次に、評価装置101は、偽の認証結果として書換許可を意味するCANメッセージをCANバス20へ送信する(ステップS902)。評価装置101の信号監視部204は、このステップS902以降の書換実施ECU102の挙動の逐次監視の結果を記憶部208に逐次記録する。偽の認証結果に係る書換許可を意味するCANメッセージを受信した書換実施ECU102は、以後の更新手順を実施する。即ち、書換実施ECU102は、メモリ消去命令を含む更新用フレームをCANバス20へ送信する(ステップS605)。メモリ消去命令を含む更新用フレームを受信した評価装置101は、CANバス監視部203で、その受信したメモリ消去命令を含む更新用フレームの内容を記憶部208に記録する。
次に、書換実施ECU102は、更新ソフトを含む更新用フレームをCANバス20へ送信する(ステップS606)。更新ソフトを含む更新用フレームを受信した評価装置101は、CANバス監視部203により、受信した更新ソフトを記憶部208に記録する。
次に、書換実施ECU102は、更新ソフトに対応した更新ソフト署名を含む更新用フレームをCANバス20へ送信する(ステップS607)。更新ソフト署名を含む更新用フレームを受信した被書換ECU103は、CANバス監視部203により、受信した更新ソフト署名を、記憶部208に記録する。
次に、書換実施ECU102は、再起動指示を示す更新用フレームをCANバス20へ送信する(ステップS608)。再起動指示を示す更新用フレームを受信した評価装置101は、CANバス監視部203により、受信した再起動指示を示す更新用フレームの内容を記憶部208に記録する。
最後に、評価装置101は、記憶部208に記録された、CANバス20からの受信内容に係る情報、及び、ステップS902以降の書換実施ECU102の動作に係る情報を確認することで、評価を行う(ステップS1001)。即ち、評価装置101は、上述のステップS801での評価と同様に、受信内容及び書換実施ECU102の動作について、攻撃の期待値と比較することにより、電子制御システム11のセキュリティの評価(攻撃の成否についての判定等)を行う。
[1.7.4 評価システム10の動作例3]
図13及び図14は、電子制御システム11を評価する評価システム10の動作(動作例3)を示すシーケンス図である。動作例3では、評価装置101が、図7に示す被書換機能1という評価項目に係る評価を行う例を示す。この例は、評価装置101が、書換実施ECU102になりすまして被書換ECU103に誤認識をさせる攻撃を行うことで、電子制御システム11のセキュリティを評価する例である。以下、図13及び図14に即して、動作例3について説明する。
書換実施ECU102は、書換モード遷移指示を示す更新用フレームをCANバス20へ送信する(ステップS601)。書換モード遷移指示を含む更新用フレームを受信した被書換ECU103は、認証シードを含むCANメッセージをCANバス20へ送信する(ステップS602)。認証シードを含むCANメッセージを受信した書換実施ECU102は、受信した認証シードに基づいて認証鍵を生成し、認証鍵を含む更新用フレームをCANバス20へ送信する(ステップS603)。認証鍵を含む更新用フレームを受信した被書換ECU103は、受信した認証鍵に基づく認証結果として書換許可を意味するCANメッセージをCANバス20へ送信する(ステップS604)。認証結果として書換許可を意味するCANメッセージを受信した書換実施ECU102は、メモリ消去命令を含む更新用フレームをCANバス20へ送信する(ステップS605)。
評価装置101は、CANバス20からメモリ消去命令を含む更新用フレームを受信することで、メモリ消去命令を含む更新用フレームがCANバス20に流れていることを検知すると、そのCANメッセージ全体が被書換ECU103に受信される前に、エラーフレームを送信し、書換実施ECU102が送信する更新用フレームを無効化する(ステップS1101)。CANバス20上においてメモリ消去命令を含む更新用フレームは、エラーフレームにより上書きされ、正しく受信できない無効なものとなる。
次に、評価装置101は、メモリ消去命令を含む更新用フレームをCANバス20へ送信する(ステップS1102)。評価装置101のCANバス監視部203及び信号監視部204は、このステップS1102以降の被書換ECU103の動作或いは応答の逐次監視の結果を記憶部208に逐次記録する。例えば、信号監視部204は、メモリ消去命令を含む更新用フレームを受信した後の被書換ECU103の動作(例えばプログラム記憶部404の記憶内容を消去した等)等を記憶部208に記録する。
次に、評価装置101は、更新ソフトを含む更新用フレームをCANバス20へ送信する(ステップS1103)。更新ソフトは必ずしも正規の内容である必要はなく、偽の更新ソフトであっても良い。評価装置101は、更新ソフトを含む更新用フレームを受信した後の被書換ECU103の動作或いは応答を記憶部208に記録する。
次に、評価装置101は、更新ソフトに対応した更新ソフト署名を含む更新用フレームをCANバス20へ送信する(ステップS1201)。評価装置101は、更新ソフト署名を含む更新用フレームを受信した後の被書換ECU103の動作、応答等を記憶部208に記録する。なお、評価装置101は、更新ソフト、更新ソフト署名、署名生成に用いるために必要な鍵等の情報(更新処理に必要な情報)を、予め有していても良い。
次に、評価装置101は、再起動指示を示す更新用フレームをCANバス20へ送信する(ステップS1202)。評価装置101は、再起動指示を示す更新用フレームを受信した後の被書換ECU103の動作(例えば再起動が行われたか否か等)或いは応答を記憶部208に記録する。
最後に、評価装置101は、記憶部208に記録された、CANバス20からの受信内容に係る情報、及び、ステップS1102以降の被書換ECU103の動作に係る情報を確認することで、評価を行う(ステップS1203)。即ち、評価装置101は、受信内容及び被書換ECU103の動作について、攻撃の期待値と比較することにより、電子制御システム11のセキュリティの評価(攻撃の成否についての判定等)を行う。評価装置101は、例えば、確認した受信内容、及び、確認した被書換ECU103の動作が、攻撃の期待値(書換実施ECU102から更新用フレームを受信した場合と同様の動作)と同じようになっている場合に攻撃が成功していると判定する。評価装置101は、CANバス監視部203での監視結果と、信号監視部204での監視結果とのうち一方のみを用いて攻撃の期待値に基づいて攻撃の成否についての判定等を行っても良い。また、評価装置101は、ステップS1203で、評価対象である電子制御システム11のセキュリティの評価をどのように詳しく行っても良く、例えば、攻撃全体の成否の他に、攻撃用のフレームの送信という個々の攻撃の成否を判定しても良いし、各種の防御機能それぞれが作用したか否か、防御できた程度等について確認しても良い。
[1.7.5 評価システム10の動作例4]
図15及び図16は、電子制御システム11を評価する評価システム10の動作(動作例4)を示すシーケンス図である。動作例4では、評価装置101が、図7に示す被書換機能2という評価項目に係る評価を行う例を示す。この例は、評価装置101が、書換実施ECU102になりすまして被書換ECU103に誤認識をさせる攻撃を行うことで、電子制御システム11のセキュリティを評価する例である。以下、図15及び図16に即して、動作例4について説明する。
書換実施ECU102は、書換モード遷移指示を示す更新用フレームをCANバス20へ送信する(ステップS601)。書換モード遷移指示を含む更新用フレームを受信した被書換ECU103は、認証シードを含むCANメッセージをCANバス20へ送信する(ステップS602)。認証シードを含むCANメッセージを受信した書換実施ECU102は、受信した認証シードに基づいて認証鍵を生成し、認証鍵を含む更新用フレームをCANバス20へ送信する(ステップS603)。認証鍵を含む更新用フレームを受信した被書換ECU103は、受信した認証鍵に基づく認証結果として書換許可を意味するCANメッセージをCANバス20へ送信する(ステップS604)。認証結果として書換許可を意味するCANメッセージを受信した書換実施ECU102は、メモリ消去命令を含む更新用フレームをCANバス20へ送信する(ステップS605)。メモリ消去命令を含む更新用フレームを受信した被書換ECU103は、プログラム記憶部404の記憶内容(更新ソフトを格納するための領域の内容)を消去する。
次に、書換実施ECU102は、更新ソフトを含む更新用フレームをCANバス20へ送信する(ステップS606)。
評価装置101は、CANバス20から更新ソフトを含む更新用フレームを受信することで、更新ソフトを含む更新用フレームがCANバス20に流れていることを検知すると、そのCANメッセージ全体が被書換ECU103に受信される前に、エラーフレームを送信し、書換実施ECU102が送信する更新用フレームを無効化する(ステップS1301)。CANバス20上において更新ソフトを含む更新用フレームは、エラーフレームにより上書きされ、正しく受信できない無効なものとなる。
次に、評価装置101は、偽の更新ソフトを含む更新用フレームをCANバス20へ送信する(ステップS1302)。評価装置101のCANバス監視部203及び信号監視部204は、このステップS1302以降の被書換ECU103の動作或いは応答の逐次監視の結果を記憶部208に逐次記録する。例えば、信号監視部204は、被書換ECU103のデバッグ用の出力信号等に基づき、偽の更新ソフトを含む更新用フレームを受信した後の被書換ECU103の動作(例えば、プログラム記憶部404への偽の更新ソフトの格納等)等を記憶部208に記録する。
次に、評価装置101は、偽の更新ソフトに対応した偽の更新ソフト署名を含む更新用フレームをCANバス20へ送信する(ステップS1401)。評価装置101は、偽の更新ソフト署名を含む更新用フレームを受信した後の被書換ECU103の動作、応答等を記憶部208に記録する。
次に、評価装置101は、再起動指示を示す更新用フレームをCANバス20へ送信する(ステップS1402)。評価装置101は、再起動指示を示す更新用フレームを受信した後の被書換ECU103の動作或いは応答を記憶部208に記録する。
最後に、評価装置101は、記憶部208に記録された、CANバス20からの受信内容に係る情報、及び、ステップS1302以降の被書換ECU103の動作に係る情報を確認することで、評価を行う(ステップS1403)。即ち、評価装置101は、上述のステップS1203での評価と同様に、受信内容及び被書換ECU103の動作について、攻撃の期待値と比較することにより、電子制御システム11のセキュリティの評価(攻撃の成否についての判定等)を行う。
[1.7.6 評価システム10の動作例5]
図17及び図18は、電子制御システム11を評価する評価システム10の動作(動作例5)を示すシーケンス図である。動作例5では、評価装置101が、図7に示す被書換機能3という評価項目に係る評価を行う例を示す。この例は、評価装置101が、書換実施ECU102になりすまして被書換ECU103に誤認識をさせる攻撃を行うことで、電子制御システム11のセキュリティを評価する例である。以下、図17及び図18に即して、動作例5について説明する。
書換実施ECU102は、書換モード遷移指示を示す更新用フレームをCANバス20へ送信する(ステップS601)。書換モード遷移指示を含む更新用フレームを受信した被書換ECU103は、認証シードを含むCANメッセージをCANバス20へ送信する(ステップS602)。認証シードを含むCANメッセージを受信した書換実施ECU102は、受信した認証シードに基づいて認証鍵を生成し、認証鍵を含む更新用フレームをCANバス20へ送信する(ステップS603)。認証鍵を含む更新用フレームを受信した被書換ECU103は、受信した認証鍵に基づく認証結果として書換許可を意味するCANメッセージをCANバス20へ送信する(ステップS604)。認証結果として書換許可を意味するCANメッセージを受信した書換実施ECU102は、メモリ消去命令を含む更新用フレームをCANバス20へ送信する(ステップS605)。メモリ消去命令を含む更新用フレームを受信した被書換ECU103は、プログラム記憶部404の記憶内容(更新ソフトを格納するための領域の内容)を消去する。次に、書換実施ECU102は、更新ソフトを含む更新用フレームをCANバス20へ送信する(ステップS606)。更新ソフトを含む更新用フレームを受信した被書換ECU103は、プログラム記憶部404へ、受信した更新ソフトを書き込む。
次に、書換実施ECU102は、更新ソフトに対応した更新ソフト署名を含む更新用フレームをCANバス20へ送信する(ステップS607)。
評価装置101は、CANバス20から更新ソフト署名を含む更新用フレームを受信することで、更新ソフト署名を含む更新用フレームがCANバス20に流れていることを検知すると、そのCANメッセージ全体が被書換ECU103に受信される前に、エラーフレームを送信し、書換実施ECU102が送信する更新用フレームを無効化する(ステップS1501)。CANバス20上において更新ソフト署名を含む更新用フレームは、エラーフレームにより上書きされ、正しく受信できない無効なものとなる。
次に、評価装置101は、更新ソフトに対応した偽の更新ソフト署名を含む更新用フレームをCANバス20へ送信する(ステップS1601)。評価装置101は、偽の更新ソフト署名を含む更新用フレームを受信した後の被書換ECU103の動作、応答等を記憶部208に記録する。
次に、評価装置101は、再起動指示を示す更新用フレームをCANバス20へ送信する(ステップS1602)。評価装置101は、再起動指示を示す更新用フレームを受信した後の被書換ECU103の動作或いは応答を記憶部208に記録する。
最後に、評価装置101は、記憶部208に記録された、CANバス20からの受信内容に係る情報、及び、ステップS1601以降の被書換ECU103の動作に係る情報を確認することで、評価を行う(ステップS1603)。即ち、評価装置101は、上述のステップS1203での評価と同様に、受信内容及び被書換ECU103の動作について、攻撃の期待値と比較することにより、電子制御システム11のセキュリティの評価(攻撃の成否についての判定等)を行う。
(変形例)
以上のように、本発明に係る技術の例示として実施の形態1を説明した。しかしながら、本発明に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本発明の一実施態様に含まれる。
(1)上記実施の形態では、評価装置101が、電子制御システム11におけるソフトウェアの更新処理に関連して書換実施ECU102或いは被書換ECU103になりすますことで攻撃する例を示したが、その他のECUになりすます攻撃を行っても良いし、エラーフレーム、及び、更新処理と関係ないCANメッセージの送信により、攻撃を行っても良い。
(2)上述の電子制御システム11では、各種ECUは、リアルな(実物としての)ECUを想定して説明した。しかし、評価システム10の評価対象としての電子制御システム11における各種ECUは、リアルなECU(例えば、評価ボード上で実装されたECU、製品としてのECU等)の代わりに、そのECUを模擬(シミュレート)する模擬ECU(例えば、そのECUの機能、挙動等を模擬するシミュレーションソフトウェアを実行するコンピュータ等)であることとしても良い。ECUが模擬ECUである場合においては、評価装置101はECUの動作の監視を、コンピュータにおいてシミュレーションソフトウェアに関わる所定データ(コンピュータの所定メモリ領域の内容或いは出力内容等)の変化を観測することによって実現しても良い。
(3)上記実施の形態では、評価装置101が、CANバス20に接続された1つの装置である例を示したが、評価装置101は、攻撃手順情報105に従って攻撃用のフレームを送信する送信装置と、CANバス20を流れるCANメッセージ、CANバス20に接続されたECUの記憶内容、信号線に出力する出力信号等を監視する監視装置とに分離される等、複数の筐体に分離された構成を備えても良い。また、監視装置或いは監視部200は、CANバス20に接続されたどのECUについて監視しても良い。また、監視装置或いは監視部200は、ECUについての監視の方法としていかなる方法を用いても良く、例えば、ECUと接続された専用の信号線等による直接監視を行っても良いし、CANメッセージによる間接的な監視を行っても良いし、ECUの動作に関連して変化し得る車両の状態による間接的な監視を行っても良い。
(4)上記実施の形態では、評価システム10の評価対象として、CANバス20による車載ネットワークを備える電子制御システム11を例示したが、評価システム10で評価装置101が攻撃用のフレームを送信したり監視の対象としたりするネットワークは、必ずしも車載ネットワークでなくても良く、また、CANプロトコルによる通信が行われるCANバス20以外のネットワークであっても良い。例えば、評価システム10は、ロボット、産業機器等のネットワークその他のネットワーク通信システムを評価対象としても良い。また、CANプロトコルは、オートメーションシステム内の組み込みシステム等に用いられるCANOpen、或いは、TTCAN(Time-Triggered CAN)、CANFD(CAN with Flexible Data Rate)等の派生的なプロトコルも包含する広義の意味のものと扱われることとしても良い。また、評価対象の電子制御システム(ネットワーク通信システム)で、CANプロトコル以外の通信プロトコル、例えば、Ethernet(登録商標)や、MOST(登録商標)、FlexRay(登録商標)、LIN(Local Interconnect Network)等を用いても良い。また、各種プロトコルに従ったネットワークを組み合わせた複合的なネットワークを含むシステムを評価対象として、評価装置101で、そのネットワークに対して攻撃及び監視を行うこととしても良い。評価装置101は、上述のネットワークで、他のノードが送信したフレームの無効化のための無効化フレーム(例えばCANではエラーフレーム)を含む攻撃用のフレームを送信することで評価を行い得る。無効化フレームは、他のノードが送信したフレームを、上書きその他の方法で無効化するフレームであれば良い。無効化は、フレームの適正な受信を阻害するために、フレームの状態を通常状態から変化させることであり、例えば上書きして1ビット以上を変化させる改変でも良いし、フレーム自体を改変せずに通信プロトコルで定められた方法で無効状態にすること(先行フレームが無効であることを示す情報の追加等)でも良い。
(5)上記実施の形態では、評価装置101が、エラーフレームの送信により、なりすまし対象とするECUが送信したCANメッセージを無効化した後に、評価装置101が、なりすまし対象のECUの更新処理の動作を全て実行する例を示したが、例えば、なりすまし対象のECUが送信するはずの複数のCANメッセージの一部のみを評価装置101が送信することとしても良い。
(6)上記実施の形態では、攻撃手順情報105が、エラーフレームとCANメッセージとを含む複数の攻撃用のフレームの送信順序を規定した例を示したが、攻撃手順情報105は、1つ又は複数のエラーフレームだけの送信について規定するものであっても良く、例えば、エラーフレームの送信タイミング、送信間隔、或いは、送信条件(バス上にどのIDのCANメッセージが流れた時に送信すべきかに係る条件等)を規定するものであっても良い。この場合でも、評価装置101は、エラーフレームの送信に対するECUの挙動等を確認することで、電子制御システム11のセキュリティに関する評価を行い得る。
(7)評価装置101は、評価対象のセキュリティ(攻撃耐性等)についての評価として、防御をすり抜けた不正なCANメッセージの個数や割合に基づいて、攻撃耐性の有無の判定等といった評価を行うものであっても良い。なお、評価装置101は、攻撃耐性の有無を判定するために、不正なCANメッセージの個数や割合についての上限等を規定する閾値を用い得る。この閾値は、評価装置101に対して任意に設定可能にしても良いし、評価を繰り返し実施する場合において評価結果等に応じて変化(調整)し得るようにしても良い。また、評価装置101は、攻撃の成功率(成功の頻度等)を算定しても良い。このように評価装置101は、攻撃成否或いは防御成否の択一判定の他に、例えば複数の防御機能それぞれが作動するか否か或いはどの程度有効に作用したかについて評価しても良い。また、評価装置101では、送信部201aが、攻撃手順情報105が示す送信順序で複数のフレームをCANバス20に送信する攻撃パターンを複数回繰り返し、評価部206が、攻撃パターンの繰り返しによる監視部200の監視結果の変化の有無に応じて評価結果が相違するように評価を行うこととしても良い。例えば、評価装置101が、偽の認証シードの送信、或いは、偽の認証鍵の送信を複数回繰り返した際に、一定回数以上実施して応答が受信できるか否かで攻撃の成否を判定しても良い。なお、評価装置101の評価部206での評価結果は、評価装置101によりメモリ等の記憶媒体に記録される他、評価装置101の外部に出力(例えば、評価結果の表示、評価結果を示す情報の送信等)され得る。例えば、評価部206は、評価結果として評価対象の電子制御システムに攻撃耐性があるか否かを示す情報を出力することとしても良い。
(8)評価対象の電子制御システム11におけるセキュリティECU104を含むセキュリティ機能は、不正の検知に関するログ情報(CANメッセージの受信履歴等)を記録することとしても良く、この場合には、評価装置101は、そのログ情報と、その評価装置101が保持する、攻撃に関する期待値とを比較することで、攻撃が成功したか否かの判定或いは攻撃が成功した確率等の算出を行うことで、セキュリティについての評価を行うこととしても良い。
(9)上記実施の形態では電子制御システム11はセキュリティ機能として、独立したセキュリティECU104を備え得ることとしたが、バスを介して通信する複数のECUのうちの全部又は一部のECUがセキュリティ機能を備えることとしても良い。また、複数のECUがセキュリティ機能を分散して実現しても良い。
(10)上記実施の形態では評価装置101が評価対象の電子制御システム11におけるバスに直接接続されている例を示したが、評価装置101と評価対象との間に、ゲートウェイ等の中継装置が介在しても良い。例えば、評価装置101が、ゲートウェイとの間で相互認証又は片方向認証を実施した上で攻撃用のCANメッセージを送信することでゲートウェイにそのCANメッセージをCANバス20へと転送させ、CANバス20からのCANメッセージを、ゲートウェイを介して取得する等により、評価対象のセキュリティ(攻撃耐性等)を評価することとしても良い。
(11)評価装置101は、偽の認証シードを送信し、書換実施ECU102から認証鍵を得るという動作を複数回実施して、その傾向を分析することで認証鍵を類推できるかどうかでセキュリティ機能の評価を行っても良い。
(12)上記実施の形態における評価装置101及び各種ECUは、例えば、プロセッサ、メモリ等のデジタル回路、アナログ回路、通信回路等を含む装置であることとしたが、ディスプレイ、キーボード、マウス等の他のハードウェア構成要素を含んでいても良い。また、メモリに記憶された制御プログラムがプロセッサにより実行されてソフトウェア的に機能を実現する代わりに、専用のハードウェア(デジタル回路等)によりその機能を実現することとしても良い。例えば、評価装置101のCANバス監視部203、信号監視部204、送受信部201、保持部202、評価部206、記憶部208及び制御部207の各機能ブロックは、集積回路で実現され得る。また、例えば、書換実施ECU102の送受信部301、署名記憶部302、鍵記憶部303、プログラム記憶部304、書換手順情報記憶部305及び制御部306の各機能ブロックは、集積回路で実現され得る。また、例えば、被書換ECU103の送受信部401、署名記憶部402、鍵記憶部403、プログラム記憶部404、書換手順情報記憶部405及び制御部406の各機能ブロックは、集積回路で実現され得る。また、例えば、セキュリティECU104の送受信部501、CANバス監視部502及び制御部503の各機能ブロックは、集積回路で実現され得る。
(13)上記実施の形態における各装置(評価装置101、各種ECU等)を構成する構成要素の一部又は全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしても良い。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAM等を含んで構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、システムLSIは、その機能を達成する。また、上記各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部又は全部を含むように1チップ化されても良い。また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現しても良い。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。更には、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行っても良い。バイオ技術の適用等が可能性としてあり得る。
(14)上記各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なICカード又は単体のモジュールから構成されているとしても良い。前記ICカード又は前記モジュールは、マイクロプロセッサ、ROM、RAM等から構成されるコンピュータシステムである。前記ICカード又は前記モジュールは、上記の超多機能LSIを含むとしても良い。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、前記ICカード又は前記モジュールは、その機能を達成する。このICカード又はこのモジュールは、耐タンパ性を有するとしても良い。
(15)本発明の一態様としては、例えば図9〜図18等に例示する処理手順の全部又は一部を含む評価方法であるとしても良い。例えば、評価方法は、バス(例えばCANバス20)を介して通信する複数のECUを備える電子制御システム11のセキュリティに関する評価を行う評価方法であって、バス上のフレームを無効化する無効化フレーム(例えばCANのエラーフレーム)を含む、1つ以上の攻撃用のフレームを、バスに送信し(例えばS701〜S703、S901、S902、S1101〜S1103、S1201、S1202、S1301、S1302、S1401、S1402、S1501、S1601、S1602)、攻撃用のフレームがバスに送信される際に、複数のECUのうち1つ以上のECUについて監視し、監視による監視結果に基づいて評価(例えばS801、S1001、S1203、S1403、S1603)を行う評価方法である。また、本発明の一態様としては、この評価方法に係る処理をコンピュータにより実現するコンピュータプログラムであるとしても良いし、前記コンピュータプログラムからなるデジタル信号であるとしても良い。また、本発明の一態様としては、前記コンピュータプログラム又は前記デジタル信号をコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD−ROM、MO、DVD、DVD−ROM、DVD−RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリ等に記録したものとしても良い。また、これらの記録媒体に記録されている前記デジタル信号であるとしても良い。また、本発明の一態様としては、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしても良い。また、本発明の一態様としては、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記録しており、前記マイクロプロセッサは、前記コンピュータプログラムに従って動作するとしても良い。また、前記プログラム若しくは前記デジタル信号を前記記録媒体に記録して移送することにより、又は、前記プログラム若しくは前記デジタル信号を、前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしても良い。
(16)上記実施の形態及び上記変形例で示した各構成要素及び機能を任意に組み合わせることで実現される形態も本発明の範囲に含まれる。
本発明は、電子制御システムに対して施されたセキュリティ対策技術が攻撃を適切に防御できるか否か等の評価を実施するために利用可能である。
10 評価システム
11 電子制御システム
20 バス(CANバス)
101 評価装置
102 書換実施ECU
103 被書換ECU
104 セキュリティECU
105 攻撃手順情報
200 監視部
201、301、401、501 送受信部
201a 送信部
201b 受信部
202 保持部
203、502 CANバス監視部
204 信号監視部
206 評価部
207、306、406、503 制御部
208 記憶部
302、402 署名記憶部
303、403 鍵記憶部
304、404 プログラム記憶部
305、405 書換手順情報記憶部

Claims (12)

  1. 電子制御システムを構成する複数の電子制御ユニットが通信に用いるバスに接続され、当該電子制御システムのセキュリティに関する評価を行う評価装置であって、
    前記バス上のフレームを無効化する無効化フレームを含む、1つ以上の攻撃用のフレームを、前記バスに送信する送信部と、
    前記複数の電子制御ユニットのうち1つ以上の電子制御ユニットについて監視する監視部と、
    前記送信部により前記攻撃用のフレームが前記バスに送信される際における前記監視部の監視結果に基づいて前記評価を行う評価部とを備える
    評価装置。
  2. 前記複数の電子制御ユニットは、CAN(Controller Area Network)プロトコルに従って前記バスを介して通信を行い、
    前記無効化フレームは、エラーフレームである
    請求項1記載の評価装置。
  3. 前記評価装置は更に、攻撃用の複数のフレームの内容及び送信順序を示す攻撃手順情報を保持する保持部を備え、
    前記送信部は、前記攻撃手順情報が示す送信順序に従って前記攻撃用の複数のフレームを前記バスに送信する
    請求項2記載の評価装置。
  4. 前記評価装置は、前記バスからフレームを受信する受信部を備え、
    前記攻撃手順情報は、エラーフレームの次に所定IDを有する攻撃用のフレームを送信することを示し、
    前記送信部は、前記受信部が前記バスから前記所定IDを有するフレームを受信した際に前記エラーフレームを送信する
    請求項3記載の評価装置。
  5. 前記攻撃手順情報は更に攻撃用の前記複数のフレームについての送信間隔を示し、
    前記送信部は、前記攻撃手順情報が示す送信順序及び送信間隔に従って前記複数のフレームを前記バスに送信する
    請求項3又は4記載の評価装置。
  6. 前記送信部は、エラーフレームの送信後に、当該エラーフレームで無効化したフレームと、同一のIDを有し内容の相違する攻撃用のフレームを送信する
    請求項2〜5のいずれか一項に記載の評価装置。
  7. 前記送信部は、エラーフレームの送信後に、前記電子制御システムにおいて前記複数の電子制御ユニットのいずれかのソフトウェアの更新処理のために予め定められている更新用IDを有する攻撃用のフレームを送信し、
    前記監視部は、前記更新用IDを有するフレームの受信に応じて保持しているソフトウェアの更新処理を行う機能を有する電子制御ユニット、又は、前記更新用IDを有するフレームを送信する電子制御ユニットについて、前記監視を行う
    請求項2〜6のいずれか一項に記載の評価装置。
  8. 前記監視部は、前記送信部により攻撃用のフレームが前記バスに送信された場合における前記複数の電子制御ユニットのうちの1つの電子制御ユニットの動作が、所定動作と一致するか否かを検出することで、前記監視を行い、
    前記評価部は、前記送信部により前記攻撃用のフレームが前記バスに送信された後における前記監視部による前記検出の結果に応じて評価結果が相違するように前記評価を行う
    請求項1〜7のいずれか一項に記載の評価装置。
  9. 前記評価装置は、前記バスからフレームを受信する受信部を備え、
    前記監視部は、前記電子制御ユニットについての前記監視として、前記受信部により特定フレームが受信されたことの検出を行い、
    前記評価部は、前記送信部により前記攻撃用のフレームが前記バスに送信された後の一定期間内に、前記特定フレームが受信されたことが前記監視部により検出されたか否かに応じて評価結果が相違するように前記評価を行う
    請求項1〜7のいずれか一項に記載の評価装置。
  10. 前記評価部は、評価結果として前記電子制御システムに攻撃耐性があるか否かを示す情報を出力する
    請求項1〜9のいずれか一項に記載の評価装置。
  11. バスを介して通信する複数の電子制御ユニットを備える電子制御システムのセキュリティに関する評価を行う評価システムであって、
    前記バス上のフレームを無効化する無効化フレームを含む、1つ以上の攻撃用のフレームを、前記バスに送信する送信部と、
    前記複数の電子制御ユニットのうち1つ以上の電子制御ユニットについて監視する監視部と、
    前記送信部により前記攻撃用のフレームが前記バスに送信される際における前記監視部の監視結果に基づいて前記評価を行う評価部とを備える
    評価システム。
  12. バスを介して通信する複数の電子制御ユニットを備える電子制御システムのセキュリティに関する評価を行う評価方法であって、
    前記バス上のフレームを無効化する無効化フレームを含む、1つ以上の攻撃用のフレームを、前記バスに送信し、
    前記攻撃用のフレームが前記バスに送信される際に、前記複数の電子制御ユニットのうち1つ以上の電子制御ユニットについて監視し、
    前記監視による監視結果に基づいて前記評価を行う
    評価方法。
JP2016218329A 2016-01-18 2016-11-08 評価装置、評価システム及び評価方法 Active JP6741559B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
EP16886223.3A EP3407545B1 (en) 2016-01-18 2016-12-01 Evaluation device, evaluation system, and evaluation method
PCT/JP2016/005040 WO2017125978A1 (ja) 2016-01-18 2016-12-01 評価装置、評価システム及び評価方法
CN201680003564.8A CN107251491B (zh) 2016-01-18 2016-12-01 评价装置、评价系统以及评价方法
US15/936,511 US10685124B2 (en) 2016-01-18 2018-03-27 Evaluation apparatus, evaluation system, and evaluation method

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2016007481 2016-01-18
JP2016007481 2016-01-18

Publications (2)

Publication Number Publication Date
JP2017130911A true JP2017130911A (ja) 2017-07-27
JP6741559B2 JP6741559B2 (ja) 2020-08-19

Family

ID=59396743

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016218329A Active JP6741559B2 (ja) 2016-01-18 2016-11-08 評価装置、評価システム及び評価方法

Country Status (4)

Country Link
US (1) US10685124B2 (ja)
EP (1) EP3407545B1 (ja)
JP (1) JP6741559B2 (ja)
CN (1) CN107251491B (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019139315A (ja) * 2018-02-06 2019-08-22 トヨタ自動車株式会社 車載通信システム
WO2019225216A1 (ja) * 2018-05-21 2019-11-28 日本電信電話株式会社 判定方法、判定装置および判定プログラム

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6126980B2 (ja) * 2013-12-12 2017-05-10 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム
JP7047444B2 (ja) * 2018-02-16 2022-04-05 トヨタ自動車株式会社 車両制御装置、電子制御ユニット、制御方法、制御プログラム、車両、otaマスタ、システム及びセンタ
CN108551416A (zh) * 2018-04-19 2018-09-18 大陆汽车车身电子系统(芜湖)有限公司 一种can总线通信方法
US11117484B2 (en) * 2018-05-09 2021-09-14 Byton Limited Safe and secure charging of a vehicle
JP7003976B2 (ja) * 2018-08-10 2022-01-21 株式会社デンソー 車両用マスタ装置、更新データの検証方法及び更新データの検証プログラム
WO2020032121A1 (ja) * 2018-08-10 2020-02-13 株式会社デンソー 車両用マスタ装置、更新データの検証方法及び更新データの検証プログラム
EP3861696A1 (en) * 2018-08-30 2021-08-11 Karamba Security Ltd. Virtualized controllers for in-vehicle and iot networks
KR102646674B1 (ko) * 2018-09-04 2024-03-13 현대자동차주식회사 차량 및 그 제어 방법
DE102018218257A1 (de) * 2018-10-25 2020-04-30 Robert Bosch Gmbh Steuergerät
JP7135976B2 (ja) * 2019-03-29 2022-09-13 オムロン株式会社 コントローラシステム、サポート装置および評価方法
US12003962B2 (en) * 2019-04-12 2024-06-04 Kabushiki Kaisha Tokai Rika Denki Seisakusho Communication system and communication device
JP7409247B2 (ja) * 2020-07-14 2024-01-09 株式会社デンソー 不正侵入防止装置、不正侵入防止方法、及び不正侵入防止用プログラム
CN114647836A (zh) * 2020-12-18 2022-06-21 华为技术有限公司 认证方法及装置
US20210320933A1 (en) * 2021-06-23 2021-10-14 Intel Corporation Post-gateway bus-off attack mitigation
US20240118880A1 (en) * 2022-10-11 2024-04-11 Ford Global Technologies, Llc Transmission of authentication keys

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015114833A (ja) * 2013-12-11 2015-06-22 三菱電機株式会社 検査システム、機器情報取得装置、検査指示装置、検査実行装置、機器検査方法及びプログラム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009147734A1 (ja) * 2008-06-04 2009-12-10 株式会社ルネサステクノロジ 車両、メンテナンス装置、メンテナンスサービスシステム及びメンテナンスサービス方法
CN102301374B (zh) * 2009-02-16 2014-06-25 松下电器产业株式会社 非法模块确定装置、信息处理装置、非法模块确定方法、非法模块无效化系统及非法模块无效化方法
JP5886099B2 (ja) * 2012-03-21 2016-03-16 日立オートモティブシステムズ株式会社 自動車用電子制御装置
CN103107885A (zh) * 2013-01-16 2013-05-15 深圳市怡化电脑有限公司 一种atm机信息安全检测方法及系统
US9288048B2 (en) * 2013-09-24 2016-03-15 The Regents Of The University Of Michigan Real-time frame authentication using ID anonymization in automotive networks
WO2016151566A1 (en) * 2015-03-26 2016-09-29 Tower-Sec Ltd Security system and methods for identification of in-vehicle attack originator
JP6267596B2 (ja) * 2014-07-14 2018-01-24 国立大学法人名古屋大学 通信システム、通信制御装置及び不正情報送信防止方法
JP6515911B2 (ja) * 2016-12-16 2019-05-22 トヨタ自動車株式会社 車載ネットワークシステム

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015114833A (ja) * 2013-12-11 2015-06-22 三菱電機株式会社 検査システム、機器情報取得装置、検査指示装置、検査実行装置、機器検査方法及びプログラム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
倉地 亮 他: "CANにおけるエラーフレーム監視機構の提案", CSS2015 コンピュータセキュリティシンポジウム2015 論文集 合同開催 マルウェア対策研究人, vol. 第2015巻,第3号, JPN6017004633, 14 October 2015 (2015-10-14), JP, pages 110 - 115, ISSN: 0004267448 *
大塚 敏史 他: "既存ECUを変更不要な車載LAN向け侵入検知手法", 情報処理学会研究報告 2012(平成24)年度▲6▼ [DVD−ROM] 情報処理学会研究報告 研究, JPN6017004636, 15 April 2013 (2013-04-15), JP, pages 1 - 5, ISSN: 0004302113 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019139315A (ja) * 2018-02-06 2019-08-22 トヨタ自動車株式会社 車載通信システム
JP7006335B2 (ja) 2018-02-06 2022-01-24 トヨタ自動車株式会社 車載通信システム、車載通信方法、およびプログラム
WO2019225216A1 (ja) * 2018-05-21 2019-11-28 日本電信電話株式会社 判定方法、判定装置および判定プログラム
JPWO2019225216A1 (ja) * 2018-05-21 2020-12-10 日本電信電話株式会社 判定方法、判定装置および判定プログラム
AU2019273974B2 (en) * 2018-05-21 2022-03-17 Nippon Telegraph And Telephone Corporation Determination method, determination device and determination program
JP7092192B2 (ja) 2018-05-21 2022-06-28 日本電信電話株式会社 判定方法、判定装置および判定プログラム
US11805149B2 (en) 2018-05-21 2023-10-31 Nippon Telegraph And Telephone Corporation Determination method, determination device and recording medium

Also Published As

Publication number Publication date
US10685124B2 (en) 2020-06-16
EP3407545A1 (en) 2018-11-28
EP3407545A4 (en) 2018-11-28
EP3407545B1 (en) 2020-11-18
CN107251491A (zh) 2017-10-13
US20180218158A1 (en) 2018-08-02
JP6741559B2 (ja) 2020-08-19
CN107251491B (zh) 2020-11-27

Similar Documents

Publication Publication Date Title
JP6741559B2 (ja) 評価装置、評価システム及び評価方法
JP6889296B2 (ja) ゲートウェイ装置、システム及びファームウェア更新方法
US10229547B2 (en) In-vehicle gateway device, storage control method, and computer program product
CN103685214B (zh) 用于汽车电子控制单元的安全访问方法
JP5035810B2 (ja) モバイル・デバイスにおけるメッセージ処理
JP2022528070A (ja) 運転中の緊急車両のidの検証
US20170134164A1 (en) Update management method, update management system, and non-transitory recording medium
WO2015080108A1 (ja) プログラム更新システム及びプログラム更新方法
US11182485B2 (en) In-vehicle apparatus for efficient reprogramming and controlling method thereof
JP6712938B2 (ja) 評価装置、評価システム及び評価方法
GB2561689A (en) End-to-end vehicle secure ECU unlock in a semi-offline environment
Van den Herrewegen et al. Beneath the bonnet: A breakdown of diagnostic security
US20170070488A1 (en) Method, apparatus and system for dynamically controlling secure vehicle communication based on ignition
US11728987B2 (en) Secure vehicular part communication
CN114834393A (zh) 车辆控制系统
US20180310173A1 (en) Information processing apparatus, information processing system, and information processing method
CN106155043A (zh) 车辆数据获取方法、装置及设备
CN210136494U (zh) 片上系统
JP2019071572A (ja) 制御装置及び制御方法
JP2013026964A (ja) 車両用情報更新装置および車両用情報更新方法
CN107092833A (zh) 用于处理数据的组件和用于实施安全功能的方法
WO2017104106A1 (ja) 評価装置、評価システム及び評価方法
JPWO2020090418A1 (ja) 電子制御装置、電子制御装置のリプログラミング方法
JP2016127299A (ja) 中継装置及びネットワーク構築方法
WO2017125978A1 (ja) 評価装置、評価システム及び評価方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190523

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200526

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200618

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200714

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200727

R150 Certificate of patent or registration of utility model

Ref document number: 6741559

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150