JP2018182767A - Ecu、ネットワーク装置、及び車用ネットワーク装置 - Google Patents
Ecu、ネットワーク装置、及び車用ネットワーク装置 Download PDFInfo
- Publication number
- JP2018182767A JP2018182767A JP2018155203A JP2018155203A JP2018182767A JP 2018182767 A JP2018182767 A JP 2018182767A JP 2018155203 A JP2018155203 A JP 2018155203A JP 2018155203 A JP2018155203 A JP 2018155203A JP 2018182767 A JP2018182767 A JP 2018182767A
- Authority
- JP
- Japan
- Prior art keywords
- data
- network device
- network
- ecu
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
Description
本発明の他の一態様によるECUは、複数のECUにCANバスを介して接続されるECUであって、前記複数のECUの中の少なくとも1つの送信元ECUからのメッセージが有効なメッセージであるか否かを判断し、前記送信元ECUが前記複数のECUのうちの他のECUになりすまして送信したなりすましメッセージを検出する処理部と、前記なりすましメッセージが検出された場合は、前記なりすましメッセージをエラーフレームによって上書きするコントローラと、を有する。
本発明の一態様によるネットワーク装置は、複数のネットワーク装置に規格化されたネットワークを介して接続されるネットワーク装置であって、前記複数のネットワーク装置の中の少なくとも1つの送信元ネットワーク装置からのメッセージが有効なメッセージであるか否かを判断し、前記送信元ネットワーク装置が前記複数のネットワーク装置のうちの他のネットワーク装置になりすまして送信したなりすましメッセージを検出して、前記なりすましメッセージをエラーフレームで上書きする処理部を有する。
本発明の一態様による車用ネットワーク装置は、上記ネットワーク装置を利用した車用
ネットワーク装置である。
<ネットワークシステムの構成>
図1は本発明の第1の実施の形態におけるネットワーク装置を有するネットワークシステムの一例を示す図である。図1は、自動車などの移動体の内部にネットワークシステムを有する制御システム1、例えば車載ネットワーク(CAN:Controller Area Network、CANFD:CAN with Flexible Data−rate、Ethernet(登録商標)、等)により構成されるネットワークシステム2を示している。図2は、制御システム1の外部と無線通信(例えば携帯電話の通信、無線LAN、WAN、等のプロトコルを使用した通信)を行う無線通信部3、ネットワークシステム2と異なる、または同一のプロトコルを用いたネットワークシステム4を示している。図2は、例えば、診断端子(OBD)やEthernet端子、外部記録媒体(例えばUSBメモリ、SDカード、等)端子などを有し、かつ有線接続によってネットワークシステム2にアクセスを行う有線通信部5を示している。図2は、ネットワークシステム2に有線または無線で接続され、ネットワークシステム2から送出されるデータを受信し、メッセージ情報(例えば映像、音)など必要な情報を表示または出力する、液晶ディスプレイ、警告灯、スピーカなどの出力装置6、を示している。ネットワークシステム2は、ネットワークシステム4、無線通信部3、有線通信部5、出力装置6、などと接続され、それぞれとの情報の送受信を行う。
Only Memory)404、揮発性のデータを保存するRAM(Random Access Memory)405、ECU内部での通信に用いられる内部バス406を示している。図3は、鍵情報などを保護し、認証、ハッシュ演算、暗号、復号などの演算を行うセキュリティモジュール407を示している。
図5に、ネットワークリンク302上での通信プロトコルにおけるデータ構造の例を示す。ここではCANおよびCANFDを使用した場合のフレーム(ネットワークにおける通信の1ブロック、パケットとも呼ぶ)のデータ構造を示しており、数値はフィールドごとのビット数を表している。
Ethernetのデータ(フレーム)構造について図7に示す。図7(a)はDIX形式の構造であり、図7(b)はIEEE802.3形式の構造を表している。
EthernetおよびCANの上位レイヤの例として、IP(Internet Protocol)があり、データ構造を図8に示す。IPヘッダの構造はバージョンにより異なり、バージョン4(IPv4)のヘッダ構造を図8(a)に、バージョン6(IPv6)のヘッダ構造を図8(b)に記載する。長さは異なるが、どちらのバージョンにおいても送信元と送信先をヘッダ情報に含んでおり、これらの情報から送信者と受信者を判定することが可能である。通信データはペイロードに含まれる。
上述したプロトコルにおいては、特定のビットについてはあらかじめ値、もしくは値の範囲が定められているフィールドがある。たとえば予約ビット(Reserved bit)などがあり、それらがフォーマットに規定されている以外の値となることを、フォーマットエラーと呼ぶ。
上記各プロトコルのデータ送信においては、それぞれの信号を電位の高低(1,0)や、ツイストペアケーブル間の差分電位の大小を制御することによって送信側が送信し、受信側でも同様に信号を判定し、受信している。その際、プロトコルの物理層の規定により、優位性のある信号の状態が存在する。
フィルタテーブル505の例を図11に示す。図11は、バスを介して転送されるデータを識別するためのデータID1201、データの送信元ECU302が接続されているネットワークリンク301を示す送信元リンクID1202、そのデータの送信先ECU302が接続されているネットワークリンク301を示す送信先リンクID1203、送信元ECU302において使用されているデータ通信プロトコルを示す送信元プロトコル1204、そのデータの送信先ECU302が接続されているネットワークリンク301において使用されるデータ通信プロトコルを示す送信先プロトコル1205、そのデータが認証対象であるか否かを示す認証対象フラグ1206、を表している。
通信インタフェース402によるデータ検出処理のため、プロセッサ401は、例えば転送が必要なデータIDとして設計時に定められたデータIDに登録されているフィルタ情報を、フィルタテーブル505から読み出し、通信インタフェース402に指定する。こうしてデータIDが指定された通信インタフェース402は、送信元ECU302から送信先ECU302へネットワークリンク301で転送される信号を監視する。通信インタフェース402は、認証対象として指定されたデータIDに一致するデータがネットワークリンク301上で転送された場合に、プロセッサ401による認証処理のため、そのデータを、データIDと共にプロセッサ401に通知する。認証処理が通信インタフェース402によって行われる場合は、プロセッサ401への通知は必ずしも必要ではない。
本発明による主な防御の対象である、なりすまし攻撃の例について説明する。例えば図2において、攻撃者は、外部の通信機器と接続されているECU302(以降、ECU_Aと呼ぶ)について攻撃し、ECU内部のROM404またはRAM405のデータを不正に書き換える攻撃(改ざん)を行い、ECU_Aからネットワークリンク301に対し、他のECU(以降、ECU_Bと呼ぶ)になりすました不正なデータを送信させる。その場合、不正なデータを受信した他のECUは、状況判断を誤り不正な動作を起こす可能性がある。このような攻撃をなりすまし攻撃と呼ぶ。
なりすまし攻撃を防止する手段として、データ(メッセージ)に対する認証がある。認証とは、送信者が、所有している非公開情報(以降、鍵または鍵情報と呼ぶ)を用いて署名(電子署名)を作成し、受信者がその署名を確認することにより、正当な送信者からデータが送信されていることを確認する技術である。
署名を付与した通信データのフォーマットについて図13に示す。これは上記ネットワークプロトコルのペイロード部分のデータとなる。
認証処理においては、送信側および受信側で鍵の管理が必要になる。特に、同じ鍵を長期間使用し続けることはセキュリティ上鍵情報の漏洩リスクが高まるため、一定期間ごとに一時的な鍵(セッション鍵)を更新し、同じ鍵を使い続けないことが望ましい。
鍵管理テーブルの例について、図14に示す。鍵管理テーブル504は、認証対象のデータを識別するデータID1501、認証対象のデータの通信に用いられるプロトコル1502、認証に用いられる鍵データ1503、鍵データの有効期限1504、鍵が有効か否かを示すフラグ1505、通信データ1404のデータ長1506、署名の長さ1507、により構成される。鍵管理テーブル504は、認証対象のデータに対する制御部501による認証用の鍵を管理するテーブルである。
車両の各種制御を行う送信元ECUから、同様に車両の各種制御を行う送信先ECUへ、バスを介して転送中のデータ検出時における、ネットワーク装置(ECU302、GW303またはSW304)のプロセッサ401が有する制御部501による処理について図15を用いて説明する。ここでは本発明をGW303に適用した例について説明するが、ECU302またはSW304に適用した場合についても同様である。
通信インタフェース402は、データ加工処理において、転送中のデータを受信した送信先ECU302によって認証が失敗したことが検出されるように、そのデータを加工することによって、そのデータを無効化する。データ無効化の例として、CANおよびCANFDの場合には、転送中のフレームに連続6ビット以上のドミナントを発生させて、その転送中のフレームをエラーフレームにすることができる。このようにすることにより、転送中のデータを無効化することが可能となる。
認証処理を行うネットワーク装置が、転送データ検出時に、認証結果が失敗の場合だけでなく、データ形式が想定する形式に一致しない転送データを全て無効化させる例について説明する。本実施形態におけるネットワーク装置が有する制御部501による転送データ検出時の処理について図16を用いて説明する。第1実施形態と異なる点は、ステップS201におけるデータ形式判定処理が追加された点である。したがって、第1実施形態と異なる点を中心に図16を用いて説明し、図16のうちで図1と同一のステップ番号を付した処理内容については、説明を省略する。
次に、GW303またはSW304が、一方のネットワークリンク301から他方のネットワークリンク301へ、転送データの中継を行う場合に、データが無効化される例について説明する。ここでは本実施の形態におけるネットワーク装置の例として、GW303を例にして説明するが、SW304においても同様である。
次に本発明を適用したネットワーク装置が動作していることを確認する例について説明する。まず一つの方法としては、上述した認証Ackの情報について、送信元ネットワーク装置では、上書き可能な情報(例えばCANにおけるリセッシブ(1))で制御部501が作成し、CRC演算の際には認証Ackの値として上書きされた情報(例えばCANにおけるドミナント(0))で通信インタフェース402が演算を行い、その後、通信インタフェース402がそのデータを送信する。図17を用いて詳細を説明する。図17は、本実施形態におけるデータ検出時の制御部における処理を表すフローチャートである。第1実施形態におけるデータ検出時の制御部における処理を表す図15と同一のステップ番号の処理については、説明を省略する。
署名の作成および認証の処理を低減するために、署名の作成における符号化にストリーム暗号を使用する変形例について説明する。ストリーム暗号の例としては、MUGI(登録商標)、MULTI−SO1、RC4(登録商標)、Enocoro(登録商標)などがある。ストリーム暗号によれば、暗号および復号処理がビット単位で実施でき、高速な処理が実行可能である。その場合の署名作成の例としては、図12の例において、暗号化および復号化の処理においてストリーム暗号を用い、処理をビット(またはバイト)単位で実施する。作成された署名データは、データと署名をビット単位で結合しても良く、または全ての署名データを出力してから結合してもどちらの形式でも可能である。
2 ネットワークシステム
3 無線通信部
4 ネットワークシステム
5 有線通信部
6 出力装置
301 ネットワークリンク
302 ECU
303 GW
304 SW
401 プロセッサ
402 通信インタフェース
403 タイマ
404 ROM
405 RAM
406 内部バス
407 セキュリティモジュール
501 制御部
502 通信管理部
503 時間管理部
504 鍵管理テーブル
505 フィルタテーブル
506 バッファ
本発明の他の一態様によるECUは、複数のECUにCANバスを介して接続されるECUであって、前記複数のECUの中の少なくとも1つの送信元ECUからのメッセージが有効なメッセージであるか否かを判断し、なりすましメッセージを検出する処理部と、前記なりすましメッセージが検出された場合は、前記なりすましメッセージをエラーフレームによって上書きするコントローラと、を有し、前記判断は、ID、ペイロード、周期、及び頻度を使用して行われる。
本発明の一態様によるネットワーク装置は、複数のネットワーク装置に規格化されたネットワークを介して接続されるネットワーク装置であって、前記複数のネットワーク装置の中の少なくとも1つの送信元ネットワーク装置からのメッセージが有効なメッセージであるか否かを判断し、なりすましメッセージを検出して、前記なりすましメッセージをエラーフレームで上書きする処理部を有し、前記判断は、ID、ペイロード、周期、及び頻度を使用して行われる。
Claims (17)
- 複数のECUにCANバスを介して接続されるECUであって、
前記複数のECUの中の少なくとも1つの送信元ECUからのメッセージが有効なメッセージであるか否かを判断し、前記送信元ECUが前記複数のECUのうちの他のECUになりすまして送信したなりすましメッセージを検出する処理部と、
前記なりすましメッセージが検出された場合は、前記なりすましメッセージをデータフレームの受信中にエラーフレームによって上書きするコントローラと、を有する、ECU。 - 複数のECUにCANバスを介して接続されるECUであって、
前記複数のECUの中の少なくとも1つの送信元ECUからのメッセージが有効なメッセージであるか否かを判断し、前記送信元ECUが前記複数のECUのうちの他のECUになりすまして送信したなりすましメッセージを検出する処理部と、
前記なりすましメッセージが検出された場合は、前記なりすましメッセージをエラーフレームによって上書きするコントローラと、を有する、ECU。 - 複数のネットワーク装置に規格化されたネットワークを介して接続されるネットワーク装置であって、
前記複数のネットワーク装置の中の少なくとも1つの送信元ネットワーク装置からのメッセージが有効なメッセージであるか否かを判断し、前記送信元ネットワーク装置が前記複数のネットワーク装置のうちの他のネットワーク装置になりすまして送信したなりすましメッセージを検出して、前記なりすましメッセージをエラーフレームで上書きする処理部を有する、ネットワーク装置。 - 請求項3に記載のネットワーク装置において、
前記ネットワーク装置とはECUであり、
前記送信元ネットワーク装置とはECUである、ネットワーク装置。 - 請求項3に記載のネットワーク装置において、
前記ネットワーク装置とはECUであり、
前記送信元ネットワーク装置とはゲートウェイである、ネットワーク装置。 - 請求項3に記載のネットワーク装置において、
前記ネットワーク装置とはECUであり、
前記送信元ネットワーク装置とはスイッチである、ネットワーク装置。 - 請求項3に記載のネットワーク装置において、
前記ネットワーク装置とはゲートウェイであり、
前記送信元ネットワーク装置とはECUである、ネットワーク装置。 - 請求項3に記載のネットワーク装置において、
前記ネットワーク装置とはゲートウェイであり、
前記送信元ネットワーク装置とはゲートウェイである、ネットワーク装置。 - 請求項3に記載のネットワーク装置において、
前記ネットワーク装置とはゲートウェイであり、
前記送信元ネットワーク装置とはスイッチである、ネットワーク装置。 - 請求項3に記載のネットワーク装置において、
前記ネットワーク装置とはスイッチであり、
前記送信元ネットワーク装置とはECUである、ネットワーク装置。 - 請求項3に記載のネットワーク装置において、
前記ネットワーク装置とはスイッチであり、
前記送信元ネットワーク装置とはゲートウェイである、ネットワーク装置。 - 請求項3に記載のネットワーク装置において、
前記ネットワーク装置とはスイッチであり、
前記送信元ネットワーク装置とはスイッチである、ネットワーク装置。 - 請求項3に記載のネットワーク装置において、
前記処理部はコントローラを含む、ネットワーク装置。 - 請求項3に記載のネットワーク装置において、
前記規格化されたネットワークとは、CANである、ネットワーク装置。 - 請求項3に記載のネットワーク装置において、
前記規格化されたネットワークとは、CANFDである、ネットワーク装置。 - 請求項3に記載のネットワーク装置において、
前記規格化されたネットワークとは、Ethernetである、ネットワーク装置。 - 請求項3乃至16いずれか記載のネットワーク装置を利用した車用ネットワーク装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018155203A JP2018182767A (ja) | 2018-08-22 | 2018-08-22 | Ecu、ネットワーク装置、及び車用ネットワーク装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018155203A JP2018182767A (ja) | 2018-08-22 | 2018-08-22 | Ecu、ネットワーク装置、及び車用ネットワーク装置 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017077373A Division JP2017121091A (ja) | 2017-04-10 | 2017-04-10 | Ecu、及び車用ネットワーク装置 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020083497A Division JP2020141414A (ja) | 2020-05-11 | 2020-05-11 | Ecu、ネットワーク装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2018182767A true JP2018182767A (ja) | 2018-11-15 |
Family
ID=64276244
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018155203A Withdrawn JP2018182767A (ja) | 2018-08-22 | 2018-08-22 | Ecu、ネットワーク装置、及び車用ネットワーク装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2018182767A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020141414A (ja) * | 2020-05-11 | 2020-09-03 | 日立オートモティブシステムズ株式会社 | Ecu、ネットワーク装置 |
CN114616814A (zh) * | 2019-11-13 | 2022-06-10 | 株式会社自动网络技术研究所 | 车载通信装置及信息置换方法 |
US11630746B2 (en) | 2019-03-11 | 2023-04-18 | Autonetworks Technologies, Ltd. | Substitution apparatus, substitution control program, and substitution method |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013126759A2 (en) * | 2012-02-22 | 2013-08-29 | Qualcomm Incorporated | Preserving security by synchronizing a nonce or counter between systems |
-
2018
- 2018-08-22 JP JP2018155203A patent/JP2018182767A/ja not_active Withdrawn
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013126759A2 (en) * | 2012-02-22 | 2013-08-29 | Qualcomm Incorporated | Preserving security by synchronizing a nonce or counter between systems |
Non-Patent Citations (1)
Title |
---|
大塚敏史 他: "既存ECUを変更不要な車載LAN向け侵入検知手法", 情報処理学会研究報告, JPN6019021760, 15 April 2013 (2013-04-15), JP, pages 1 - 5, ISSN: 0004313611 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11630746B2 (en) | 2019-03-11 | 2023-04-18 | Autonetworks Technologies, Ltd. | Substitution apparatus, substitution control program, and substitution method |
CN114616814A (zh) * | 2019-11-13 | 2022-06-10 | 株式会社自动网络技术研究所 | 车载通信装置及信息置换方法 |
US11936494B2 (en) | 2019-11-13 | 2024-03-19 | Autonetworks Technologies, Ltd. | In-vehicle communication device and information replacement method |
JP2020141414A (ja) * | 2020-05-11 | 2020-09-03 | 日立オートモティブシステムズ株式会社 | Ecu、ネットワーク装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11134100B2 (en) | Network device and network system | |
US11134064B2 (en) | Network guard unit for industrial embedded system and guard method | |
JP2017121091A (ja) | Ecu、及び車用ネットワーク装置 | |
KR100651715B1 (ko) | 차세대 인터넷에서 자동으로 주소를 생성하고 수락하는방법 및 이를 위한 데이터 구조 | |
US8335918B2 (en) | MAC frame provision method and apparatus capable of establishing security in IEEE 802.15.4 network | |
US11245535B2 (en) | Hash-chain based sender identification scheme | |
US11930021B2 (en) | Unauthorized frame detection device and unauthorized frame detection method | |
EP1618702B1 (en) | Transmission/reception system using message authentication code | |
CN110035047B (zh) | 用于检查数据包中的消息完整性的轻型机制 | |
JP2012533761A (ja) | 無線ネットワークにおいて機密データを安全にブロードキャストするための方法 | |
JP2014183395A (ja) | 車載ネットワークシステム | |
JP2018182767A (ja) | Ecu、ネットワーク装置、及び車用ネットワーク装置 | |
US10311005B2 (en) | Message translator | |
CN114844729B (zh) | 一种网络信息隐藏方法及系统 | |
WO2015178597A1 (ko) | Puf를 이용한 비밀키 업데이트 시스템 및 방법 | |
US20230164123A1 (en) | Information processing apparatus, mobile apparatus, and communication system | |
CN113904809B (zh) | 一种通信方法、装置、电子设备及存储介质 | |
US11336657B2 (en) | Securing communication within a communication network using multiple security functions | |
WO2008014666A1 (fr) | Appareil et procédé de communication de l'erreur de chaque niveau du paquet de données tunnel dans un réseau de communication | |
JP2020141414A (ja) | Ecu、ネットワーク装置 | |
JP7016783B2 (ja) | 情報処理装置、管理装置 | |
JP2004357284A (ja) | 送受信システム | |
JP2005295297A (ja) | 認証方法、通信装置及び認証装置 | |
KR20110087972A (ko) | 세션 테이블을 이용한 비정상 트래픽의 차단 방법 | |
JP2023519910A (ja) | 特に自動車におけるデータの異常を処理するための方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180822 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180822 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190531 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190618 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20190807 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191009 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20200212 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200511 |
|
C60 | Trial request (containing other claim documents, opposition documents) |
Free format text: JAPANESE INTERMEDIATE CODE: C60 Effective date: 20200511 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20200520 |
|
C21 | Notice of transfer of a case for reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C21 Effective date: 20200526 |
|
A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20200731 |
|
C211 | Notice of termination of reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C211 Effective date: 20200804 |
|
C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20201208 |
|
C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20210406 |
|
C13 | Notice of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: C13 Effective date: 20210506 |
|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20210623 |