JP2022173922A - In-vehicle relay device - Google Patents
In-vehicle relay device Download PDFInfo
- Publication number
- JP2022173922A JP2022173922A JP2021079983A JP2021079983A JP2022173922A JP 2022173922 A JP2022173922 A JP 2022173922A JP 2021079983 A JP2021079983 A JP 2021079983A JP 2021079983 A JP2021079983 A JP 2021079983A JP 2022173922 A JP2022173922 A JP 2022173922A
- Authority
- JP
- Japan
- Prior art keywords
- vehicle
- attack
- cpu
- software
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 claims abstract description 46
- 238000001514 detection method Methods 0.000 claims abstract description 39
- 230000004913 activation Effects 0.000 claims description 17
- 230000005540 biological transmission Effects 0.000 claims description 8
- 238000000034 method Methods 0.000 claims description 8
- 230000002708 enhancing effect Effects 0.000 abstract 1
- 230000006870 function Effects 0.000 description 41
- 230000015654 memory Effects 0.000 description 22
- 238000012545 processing Methods 0.000 description 21
- 238000012546 transfer Methods 0.000 description 11
- 230000007123 defense Effects 0.000 description 8
- 230000008569 process Effects 0.000 description 7
- 230000004044 response Effects 0.000 description 6
- 230000003213 activating effect Effects 0.000 description 5
- 238000012790 confirmation Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000007257 malfunction Effects 0.000 description 2
- 238000005728 strengthening Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Abstract
Description
本発明は、車両に搭載されて、車両の外部と内部の車載ネットワークとの通信を中継する装置に関する。 The present invention relates to a device mounted on a vehicle for relaying communication between the outside of the vehicle and an internal vehicle network.
最近の車両には、車両の外部と内部のCAN(Controller Area Network)などの車載ネットワークとの間で通信を行うコネクテッド機能が搭載されてきている。 Recent vehicles are equipped with a connected function that performs communication between the outside of the vehicle and an in-vehicle network such as a CAN (Controller Area Network) inside the vehicle.
コネクテッド機能を搭載した車両は、外部から車載ネットワークへの攻撃の対象となる可能性がある。車載ネットワークには、複数のECU(Electronic Control Unit:電子制御ユニット)が接続されており、各ECUにより、エンジンおよびブレーキなどの各部の制御が行われる。そのため、車載ネットワークが外部から攻撃を受けて、ECUのソフトウェアや制御データが改ざんされると、車両の各部が誤動作するおそれがある。 Vehicles with connected functions may be subject to external attacks on the in-vehicle network. A plurality of ECUs (Electronic Control Units) are connected to the in-vehicle network, and each ECU controls each part such as an engine and a brake. Therefore, if the in-vehicle network is attacked from the outside and the software and control data of the ECU are tampered with, there is a risk that various parts of the vehicle will malfunction.
そこで、かかる車両では、車両の外部と車載ネットワークとの通信を中継するゲートウェイECU(Electronic Control Unit:電子制御ユニット)が設けられ、ゲートウェイECUに、外部からの攻撃を検出して、車載ネットワークを防御する機能が盛り込まれている。 Therefore, such vehicles are equipped with a gateway ECU (Electronic Control Unit) that relays communication between the outside of the vehicle and the in-vehicle network. The gateway ECU detects attacks from the outside and protects the in-vehicle network. It contains functions to
ところが、自動運転技術などの発展に伴い、車載ネットワークへの攻撃が深刻な問題となっており、セキュリティ対策の強化が重要な課題となっている。 However, with the development of self-driving technology, etc., attacks on in-vehicle networks have become a serious problem, and strengthening security measures has become an important issue.
本発明の目的は、セキュリティ対策の強化を図ることができる、車載中継装置を提供することである。 SUMMARY OF THE INVENTION An object of the present invention is to provide an in-vehicle relay device capable of strengthening security measures.
前記の目的を達成するため、本発明に係る車載中継装置は、車両に搭載されて、車両の外部と内部の車載ネットワークとの間の通信を中継する車載中継装置であって、車載ネットワークから切り離して設けられ、車両の外部と通信を行う第1装置と、車両の外部から切り離して設けられ、第1装置に通信可能に接続されるとともに、車載ネットワークに通信可能に接続される第2装置とを備え、第1装置は、車載ネットワークに対する攻撃を検知する攻撃検知機能を有し、第2装置は、第1装置が攻撃を受けたか否かを判定する攻撃判定機能を有し、攻撃判定機能により第1装置が攻撃を受けたと判定された場合には、所定の対応を行う。 In order to achieve the above object, an in-vehicle relay device according to the present invention is an in-vehicle relay device mounted in a vehicle for relaying communication between an exterior of the vehicle and an internal in-vehicle network, wherein the in-vehicle relay device is separated from the in-vehicle network. a first device that is provided separately from the outside of the vehicle and that communicates with the outside of the vehicle; and a second device that is provided separately from the outside of the vehicle and is communicatively connected to the first device and communicatively connected to the in-vehicle network. The first device has an attack detection function for detecting an attack on the in-vehicle network, the second device has an attack determination function for determining whether the first device has been attacked, and the attack determination function If it is determined that the first device has been attacked, a predetermined response is taken.
この構成によれば、車載中継装置には、第1装置および第2装置が備えられている。第1装置は、車両の内部の車載ネットワークから切り離されており、車両の外部との通信は、第1装置により行われる。一方、第2装置は、車両の外部から切り離して設けられ、車載ネットワークに通信可能に接続されている。そして、第1装置は、車載ネットワークに対する攻撃を検知する攻撃検知機能を有し、第2装置は、第1装置が攻撃を受けたか否かを判定する攻撃判定機能を有している。また、第2装置では、攻撃判定機能により第1装置が攻撃を受けたと判定された場合、所定の対応が行われる。 According to this configuration, the in-vehicle relay device includes the first device and the second device. The first device is disconnected from the on-board network inside the vehicle and communication with the outside of the vehicle is performed by the first device. On the other hand, the second device is provided separately from the outside of the vehicle and is communicatively connected to the vehicle network. The first device has an attack detection function for detecting an attack on the in-vehicle network, and the second device has an attack determination function for determining whether or not the first device has been attacked. Further, in the second device, when the attack determination function determines that the first device has been attacked, a predetermined response is performed.
これにより、車両の外部からの車載ネットワークへの攻撃の対策として、第1装置の攻撃検知機能を第1層の防御層とし、第2装置の攻撃判定機能を第2層の防御層とする多層防御が構築される。この多層防御の構築により、セキュリティ対策の強化を図ることができる。 As a countermeasure against attacks on the in-vehicle network from the outside of the vehicle, the attack detection function of the first device is the first layer of defense, and the attack determination function of the second device is the second layer of defense. Defenses are built. By constructing this multi-layered defense, it is possible to strengthen security measures.
所定の対応は、たとえば、第1装置から受信したメッセージを破棄するという対応であってもよい。 The predetermined response may be, for example, the response of discarding the message received from the first device.
これにより、外部からの攻撃を受けた第1装置が不正メッセージを第2装置に向けて送信しても、その不正メッセージが破棄されるので、車載ネットワークが不正メッセージによる攻撃を受けることを防止でき、車載ネットワークによる通信を継続できる。 As a result, even if the first device that has been attacked from the outside transmits an unauthorized message to the second device, the unauthorized message is discarded, so that the in-vehicle network can be prevented from being attacked by the unauthorized message. , communication via the in-vehicle network can be continued.
車載中継装置は、記憶装置をさらに備え、記憶装置は、車載ネットワークで通信可能なメッセージに使用されるID(Identifier)が登録されたホワイトリストを記憶しており、第1装置は、ホワイトリストに登録されたIDを使用していないメッセージを車両の外部から受信した場合、攻撃検知機能により当該メッセージの受信を攻撃として検知してもよい。 The in-vehicle relay device further includes a storage device, the storage device stores a whitelist in which IDs (Identifiers) used for messages that can be communicated over the in-vehicle network are registered, and the first device has a whitelist. When a message that does not use the registered ID is received from outside the vehicle, the attack detection function may detect the reception of the message as an attack.
車載中継装置は、記憶装置をさらに備え、第1装置は、攻撃検知機能により攻撃が検知されたことに応じて、当該攻撃に関する情報を記憶装置に記憶させ、車両の外部の情報管理機器からの要求に従って、記憶装置に記憶されている情報を出力してもよい。 The in-vehicle relay device further includes a storage device, and when the attack detection function detects an attack, the first device stores information about the attack in the storage device, and receives information from an information management device external to the vehicle. Upon request, information stored in the storage device may be output.
これにより、第1装置が外部からの攻撃を受けた場合に、その攻撃に関する情報を車両の外部の情報管理機器に読み出すことができる。そのため、情報管理機器に読み出した情報を解析して、第1装置が受けた攻撃の内容を早期に特定でき、攻撃への対策を早期に講じることができる。 Thereby, when the first device receives an attack from the outside, information about the attack can be read out to the information management device outside the vehicle. Therefore, by analyzing the information read by the information management device, it is possible to quickly identify the content of the attack that the first device has received, and to quickly take countermeasures against the attack.
車載中継装置は、記憶装置をさらに備え、記憶装置は、ソフトウェアを記憶しており、第1装置は、起動時にソフトウェアの改ざんを検知する改ざん検知機能を有し、改ざん検知機能により改ざんが検知されなければ、ソフトウェアを起動し、改ざん検知機能によりソフトウェアの改ざんが検知された場合には、ソフトウェアを起動せずに動作を停止することが好ましい。 The in-vehicle relay device further includes a storage device, the storage device stores software, the first device has a tampering detection function for detecting tampering of the software at startup, and tampering is detected by the tampering detection function. If not, it is preferable to start the software and stop the operation without starting the software if the tampering detection function detects that the software has been tampered with.
これにより、改ざんされたソフトウェアの起動を防止できる。そのため、改ざんされたソフトウェアが実行されることによる第2装置への不正メッセージの送信などを防止できる。 This can prevent tampered software from starting up. Therefore, it is possible to prevent transmission of unauthorized messages to the second device due to execution of tampered software.
ソフトウェアの改ざんが検知されて、第1動作が動作を停止した場合、第1装置から第2装置へのメッセージ送信が行われないので、メッセージ送信が一定時間行われない場合には、第1装置と第2装置との通信が切断されてもよい。 If falsification of software is detected and the first operation stops, message transmission from the first device to the second device is not performed. and the second device may be disconnected.
これにより、第1装置のソフトウェアが改ざんされていても、第2装置が第1装置から不正メッセージを受信しないので、車載ネットワークが不正メッセージによる攻撃を受けることを防止できる。 As a result, even if the software of the first device is tampered with, the second device does not receive the unauthorized message from the first device, so that the in-vehicle network can be prevented from being attacked by the unauthorized message.
第2装置は、攻撃判定手段により第1装置が攻撃を受けたと判定された場合、車両に搭載されているデータ通信装置から車両の外部のサーバに第1装置が攻撃を受けたことの情報がアップロードされるように、電子制御ユニット経由でデータ通信装置に、第1装置が攻撃を受けたことを通知してもよい。 When the attack determination means determines that the first device has been attacked, the second device receives information that the first device has been attacked from the data communication device mounted on the vehicle to a server outside the vehicle. As uploaded, the data communication device may be notified via the electronic control unit that the first device has been attacked.
これにより、サーバ管理者またはサーバ経由で情報を入手しうるユーザが第1装置の受攻撃を認知することができる。 This allows a server administrator or a user who can obtain information via the server to recognize that the first device is under attack.
本発明によれば、車載ネットワークの攻撃に対して、セキュリティ対策の強化を図ることができる。 According to the present invention, it is possible to enhance security measures against attacks on the in-vehicle network.
以下では、本発明の実施の形態について、添付図面を参照しつつ詳細に説明する。 BEST MODE FOR CARRYING OUT THE INVENTION Below, embodiments of the present invention will be described in detail with reference to the accompanying drawings.
<車載通信システム>
図1は、本発明の一実施形態に係るゲートウェイECU3を含む車載通信システム1の構成を示す図である。
<In-vehicle communication system>
FIG. 1 is a diagram showing the configuration of an in-
車載通信システム1は、自動車などの車両に搭載されて、車両の外部と内部の車載ネットワーク2との間で通信を可能にするコネクテッド機能のためのシステムである。車載通信システム1には、車載ネットワーク2、ゲートウェイECU(Electronic Control Unit:電子制御ユニット)3、TCU(Telematics Communication Unit)4およびDLC(Data Link Connector)5が含まれる。
The in-
車載ネットワーク2は、たとえば、CAN(Controller Area Network)通信プロトコルによる通信が可能なネットワークである。車載ネットワーク2には、複数のバス(伝送線路)6が設けられており、各バス6には、車両の各部を制御するための複数のECU7が接続されている。ECU7には、車両のイグニッションスイッチがオフの状態でも動作可能なボデーECU7A、車両のコンビネーションメータに配設された機器(たとえば、マルチインフォメーションディスプレイなど)を制御するメータECU7Bなどが含まれる。
The in-
ゲートウェイECU3には、TCU4、OBD5および各バス6が接続されている。ゲートウェイECU3は、車載ネットワーク2とTCU4との間および車載ネットワーク2とOBD5との間でメッセージを中継する機能と、車載ネットワーク2の各バス6間でメッセージを中継する機能とを有している。また、ゲートウェイECU3は、外部からの車載ネットワーク2に対する攻撃を検知して、その攻撃から車載ネットワーク2を防御するセキュリティ機能を有している。
A TCU 4 , an OBD 5 and each
TCU4は、車両に搭載されるデータ通信機であり、車両のユーザに種々の情報やサービスを提供するために、移動体無線データ通信などを利用して、サービスセンタのサーバ8とデータ通信を行う。ユーザに提供されるサービスには、たとえば、乗車前にエアコンディショナを作動させるなど、車両を遠隔操作するリモートサービスが含まれる。なお、本実施の形態では、データ通信機としてTCU4を用いているが、これに代えて、スマートフォンなどの携帯端末を用いてもよい。
The TCU 4 is a data communication device mounted on the vehicle, and performs data communication with the
DLC5は、OBD(On-Board Diagnostics:オン・ボード・ダイアグノーシス)による故障コードなどの読み出しのために、スキャンツール9が接続されるコネクタである。
A
<ゲートウェイECU>
ゲートウェイECU3には、第1CPU(Central Processing Unit)11および第2CPU12が備えられている。第1CPU11には、TCU4およびDLC5が接続され、車載ネットワーク2から切り離して設けられている。第2CPU12は、TCU4およびDLC5から切り離され、車載ネットワーク2に通信可能に接続されている。また、第1CPU11と第2CPU12とは、通信線Xにより通信可能に接続されている。
<Gateway ECU>
The gateway ECU 3 is provided with a first CPU (Central Processing Unit) 11 and a
第1CPU11および第2CPU12には、それぞれセキュアメモリ13,14が内蔵されている。セキュアメモリ13,14は、たとえば、フラッシュメモリやE2PROMなどのデータの書き換えが可能な不揮発性メモリからなる。また、ゲートウェイECU3には、HSM(Hardware Security Module)が備えられており、セキュアメモリ13,14に記憶されているプログラムコードやパラメータデータなどのデータは、HSMの機能によるセキュア認証を経て書き換えることができる。
<第1CPU>
第1CPU11は、外部からの攻撃に対するセキュリティ機能のための機能処理部として、攻撃検知部21、転送判定部22、攻撃情報管理部23およびソフトウェア起動部24を実質的に備えている。これらの機能処理部は、プログラム処理によってソフトウエア的に実現されるか、または、論理回路などのハードウェアにより実現される。
<First CPU>
The
攻撃検知部21は、ファイアウォールとしての機能を有している。すなわち、攻撃検知部21は、車両の外部からの車載ネットワーク2に対する攻撃を検知する攻撃検知機能と、その攻撃から車載ネットワーク2およびゲートウェイECU3を保護する保護機能とを有している。
The attack detection unit 21 has a function as a firewall. That is, the attack detection unit 21 has an attack detection function for detecting an attack on the in-
セキュアメモリ13には、車載ネットワーク2で通信可能なメッセージに使用されるID(Identifier)を登録したホワイトリストが記憶されている。攻撃検知部21は、外部からTCU4またはOBD5経由で第1CPU11がメッセージを受信すると、ホワイトリストに登録されているID(以下、「登録ID」という。)がメッセージに使用されているか否かを調べる。そして、攻撃検知部21は、登録IDがメッセージに使用されている場合、そのメッセージが正規のメッセージであると判断する。この場合、攻撃検知部21から転送判定部22にメッセージが送信される。
The
一方、攻撃検知部21は、登録IDがメッセージに使用されていない場合には、そのメッセージの受信を外部からの車載ネットワーク2に対する攻撃として検知する。攻撃検知部21は、外部からの攻撃を検知した場合、その登録IDが使用されていないメッセージを不正メッセージとして破棄し、外部からの車載ネットワーク2に対する攻撃を受けたことを転送判定部22に通知する。
On the other hand, if the registration ID is not used in the message, the attack detection unit 21 detects the reception of the message as an attack on the in-
転送判定部22は、攻撃検知部21からメッセージを受信した場合、そのメッセージを第2CPU12に転送(中継)する。一方、転送判定部22は、攻撃検知部21から攻撃を受けたことの通知(以下、「受攻撃の通知」という。)を受信した場合、その通知を第2CPU12に転送する。
Upon receiving a message from the attack detection unit 21 , the
また、攻撃検知部21により外部からの車載ネットワーク2に対する攻撃が検知された場合、攻撃検知部21から攻撃情報管理部23に、攻撃の内容(たとえば、メッセージの送信先の情報など)と攻撃を受けた日時とを含む攻撃情報が送信される。攻撃情報管理部23は、攻撃検知部21から攻撃情報を受信した場合、その攻撃情報をセキュアメモリ13に記憶させる。そして、TCU4がサーバ8から攻撃情報の送信の要求を受信した場合、攻撃情報管理部23は、要求に従い、セキュアメモリ13から攻撃情報を読み出して、その読み出した攻撃情報をTCU4経由でサーバ8に送信する。また、DLC5に接続されたスキャンツール9から第1CPU11に攻撃情報の出力の要求が入力された場合、攻撃情報管理部23は、要求に従い、セキュアメモリ13から攻撃情報を読み出して、その読み出した攻撃情報をスキャンツール9に出力する。
Further, when the attack detection unit 21 detects an attack on the in-
ソフトウェア起動部24は、車両のイグニッションスイッチがオンにされたこと、または、車両の各ECUがドミナントウェイクアップしたことを検出し、セキュアメモリ13に記憶されているソフトウェアを起動させる。ソフトウェア起動部24は、ソフトウェア改ざん検知機能を有しており、ソフトウェアの起動時に、ソフトウェアの改ざんを検知するため、ソフトウェアに付与されているデジタル署名とセキュアメモリ13に格納されている署名情報(ハッシュ値やサム値など)との整合を確認する。その確認の結果、ソフトウェアの改ざんが検知されなければ、ソフトウェア起動部24は、そのソフトウェアを起動する。ソフトウェアの改ざんが検知された場合、ソフトウェア起動部24は、そのソフトウェアを起動しない。ソフトウェアの改ざんが検知された場合、第1CPU11は、動作を停止する。
The
<第2CPU>
第2CPU12は、車載ネットワーク2への攻撃に対するセキュリティ機能のための機能処理部として、攻撃判定部31、転送判定部32、攻撃通知部33およびソフトウェア起動部34を実質的に備えている。これらの機能処理部は、プログラム処理によってソフトウエア的に実現されるか、または、論理回路などのハードウェアにより実現される。
<Second CPU>
The
攻撃判定部31は、車両の外部からの車載ネットワーク2に対する攻撃を第1CPU11が受けたか否かを判定する。
The attack determination unit 31 determines whether or not the
具体的には、攻撃判定部31は、第1CPU11から受攻撃の通知を受信した場合、第1CPU11が外部から攻撃を受けたと判定する。そして、攻撃判定部31は、第1CPU11との通信を切断(遮断)し、第1CPU11が外部からの攻撃を受けたことを攻撃通知部33に通知する。
Specifically, when the attack determination unit 31 receives an attack notification from the
また、セキュアメモリ14には、セキュアメモリ13に記憶されているホワイトリストと同一のホワイトリストが記憶されている。攻撃判定部31は、第1CPU11からメッセージ(第1CPU11により中継されるメッセージ)を受信すると、そのメッセージに登録IDが使用されているか否かを調べる。そして、攻撃判定部31は、登録IDがメッセージに使用されている場合、そのメッセージが正規のメッセージであると判断する。この場合、攻撃判定部31から転送判定部32にメッセージが転送される。一方、登録IDがメッセージに使用されていない場合には、攻撃判定部31は、第1CPU11が外部から攻撃を受けたと判定し、そのメッセージを不正メッセージとして破棄する。そして、攻撃判定部31は、第1CPU11との通信を切断し、第1CPU11が外部からの攻撃を受けたことを攻撃通知部33に通知する。
The
さらに、第1CPU11が起動時にソフトウェアの改ざんを検知した場合、第1CPU11の動作が停止し、第1CPU11から第2CPU12にメッセージが送信されない状態が続く。攻撃判定部31は、第1CPU11からメッセージを受信しない状態が一定時間続くと、第1CPU11が外部から攻撃を受けたと判定してもよい。そして、攻撃判定部31は、第1CPU11との通信を切断し、第1CPU11が外部からの攻撃を受けたことを攻撃通知部33に通知してもよい。
Furthermore, when the
転送判定部32は、攻撃判定部31からメッセージを受信した場合、そのメッセージを車載ネットワーク2に転送(中継)する。メッセージは、メッセージに含まれるIDに応じた送信先のECU7が受信する。
Upon receiving a message from the attack determination unit 31 , the
また、攻撃判定部31から攻撃通知部33に第1CPU11の受攻撃が通知された場合、攻撃通知部33は、TCU4と通信線Yにより通信可能に接続されたボデーECU7A経由にて、第1CPU11が外部から攻撃を受けたことをTCU4に通知する。TCU4は、その通知を受けて、第1CPU11(第1CPU11を含むゲートウェイECU3を搭載した車両)が外部から車載ネットワーク2に対する攻撃を受けたことの情報をサーバ8にアップロードする。
Further, when the attack determination unit 31 notifies the
ソフトウェア起動部34は、車両のイグニッションスイッチがオンにされたこと、または、車両の各ECUがドミナントウェイクアップしたことを検出し、セキュアメモリ14に記憶されているソフトウェアを起動させる。ソフトウェア起動部34は、ソフトウェア改ざん検知機能を有しており、ソフトウェアの起動時に、ソフトウェアの改ざんを検知するため、ソフトウェアに付与されているデジタル署名とセキュアメモリ33に格納されている署名情報(ハッシュ値やサム値など)との整合を確認する。その確認の結果、ソフトウェアの改ざんが検知されなければ、ソフトウェア起動部34は、そのソフトウェアを起動する。ソフトウェアの改ざんが検知された場合、ソフトウェア起動部34は、そのソフトウェアを起動しない。ソフトウェアの改ざんが検知された場合、第2CPU12は、動作を停止する。
The
<フローチャート>
外部からの攻撃に対するセキュリティ機能による第1CPU11および第2CPU12の処理動作は、前述したとおりであるが、以下では、その処理動作を時系列に沿って説明する。
<Flowchart>
The processing operations of the
図2は、第1CPU11により起動時に行われる処理の流れを示すフローチャートである。
FIG. 2 is a flow chart showing the flow of processing performed by the
第1CPU11の起動時には、第1CPU11により、図2に示される処理が行われる。
When the
図2に示される処理では、ソフトウェア改ざん検知機能により、セキュアメモリ13に記憶されているソフトウェアが改ざんされていないかがチェックされる(ステップS11)。
In the process shown in FIG. 2, the software tampering detection function checks whether the software stored in the
ソフトウェアが改ざんされていない場合(ステップS12のNO)、そのソフトウェアが起動される(ステップS13)。ソフトウェアが改ざんされている場合、そのソフトウェアは起動されず、第1CPU11の動作が停止される(ステップS14)。
If the software has not been tampered with (NO in step S12), the software is activated (step S13). If the software has been tampered with, the software is not activated and the operation of the
図3は、第1CPU11によりメッセージ受信時に行われる処理の流れを示すフローチャートである。
FIG. 3 is a flow chart showing the flow of processing performed by the
第1CPU11が外部からTCU4またはDLC5経由でメッセージを受信すると、第1CPU11により、図3に示される処理が行われる。
When the
図3に示される処理では、第1CPU11が受信したメッセージ(受信メッセージ)に登録IDが使用されているか否かが判断される。登録IDが受信メッセージに使用されている場合、その受信メッセージは、正規のメッセージである。一方、登録IDが受信メッセージに使用されていない場合、その受信メッセージは、不正メッセージである。
In the process shown in FIG. 3, it is determined whether or not the registration ID is used in the message (received message) received by the
受信メッセージが正規のメッセージである場合(ステップS21のNO)、その正規のメッセージが第1CPU11から第2CPU12に転送される(ステップS22)。
If the received message is a regular message (NO in step S21), the regular message is transferred from the
受信メッセージが不正メッセージである場合(ステップS21のYES)、その不正メッセージが破棄される(ステップS23)。また、第1CPU11が外部から車載ネットワーク2に対する攻撃を受けたことが第2CPU12に通知される(ステップS24)。さらに、攻撃の内容と攻撃を受けた日時とを含む攻撃情報がセキュアメモリ13に記憶される(ステップS25)。
If the received message is an unauthorized message (YES in step S21), the unauthorized message is discarded (step S23). Also, the
図4は、第1CPU11によりスキャンツール9の接続時に行われる処理の流れを示すフローチャートである。
FIG. 4 is a flow chart showing the flow of processing performed by the
スキャンツール9がDLC5に接続されている間、第1CPU11により、図4に示される処理が繰り返し行われる。
While the
図4に示される処理では、スキャンツール9からDLC5経由で、攻撃情報の出力の要求が入力されたか否かが判断される(ステップS31)。
In the process shown in FIG. 4, it is determined whether or not a request for outputting attack information has been input from the
攻撃情報の出力の要求が入力されていない場合(ステップS31のNO)、図4に示される処理が一旦終了されて、所定のタイミングが到来すると、図4に示される処理が再び開始される。 If a request for outputting attack information has not been input (NO in step S31), the process shown in FIG. 4 is once terminated, and when a predetermined timing arrives, the process shown in FIG. 4 is started again.
スキャンツール9から攻撃情報の出力の要求が出されて、その要求が第1CPU11に入力されると(ステップS31のYES)、要求に従い、セキュアメモリ13から攻撃情報が読み出されて、その読み出された攻撃情報がDLC5経由でスキャンツール9に出力される(ステップS32)。
When a request to output attack information is issued from the
図5は、第2CPU12により起動後に行われる処理の流れを示すフローチャートである。
FIG. 5 is a flow chart showing the flow of processing performed by the
第2CPU12の起動後、第2CPU12により、図5に示される処理が繰り返し行われる。
After the
図5に示される処理では、第1CPU11と第2CPU12との通信が切断されているか否かが判断される(ステップS41)。第1CPU11と第2CPU12との通信が切断されている状況では(ステップS41のYES)、図5に示される処理が一旦終了されて、所定のタイミングが到来すると、図5に示される処理が再び開始される。
In the process shown in FIG. 5, it is determined whether communication between the
第1CPU11と第2CPU12との通信が切断されていない場合(ステップS41のNO)、第1CPU11から受攻撃の通知を受信したか否かが判断される(ステップS42)。
If communication between the
第2CPU12が第1CPU11から受攻撃の通知を受信している場合(ステップS42のYES)、第1CPU11が外部から攻撃を受けたと判定されて、第1CPU11との通信が切断される(ステップS43)。第1CPU11が外部から攻撃を受けたことは、第2CPU12からボデーECU7A経由でTCU4に通知されてもよい(ステップS44)。
If the
一方、第2CPU12が第1CPU11から受攻撃の通知を受信していない場合(ステップS42のNO)、第2CPU12が第1CPU11からメッセージ(第1CPU11により中継されるメッセージ)を受信したか否かが判断される(ステップS45)。
On the other hand, if the
第1CPU11からメッセージを受信した場合(ステップS45のYES)、その受信したメッセージに登録IDが使用されているか否かが判断される。登録IDが受信メッセージに使用されている場合、その受信メッセージは、正規のメッセージである。一方、登録IDが受信メッセージに使用されていない場合、その受信メッセージは、不正メッセージである。 If a message has been received from the first CPU 11 (YES in step S45), it is determined whether or not a registration ID is used in the received message. If the registration ID is used in the received message, the received message is a legitimate message. On the other hand, if the registration ID is not used in the received message, the received message is a fraudulent message.
受信メッセージが正規のメッセージである場合(ステップS46のNO)、その正規のメッセージが第2CPU12から車載ネットワーク2に転送される(ステップS47)。
If the received message is a legitimate message (NO in step S46), the legitimate message is transferred from the
受信メッセージが不正メッセージである場合(ステップS46のYES)、第1CPU11が外部から攻撃を受けたと判定されて、第1CPU11との通信が切断される(ステップS43)。そして、第1CPU11が外部から攻撃を受けたことは、第2CPU12からボデーECU7A経由でTCU4に通知されてもよい(ステップS44)。
If the received message is an unauthorized message (YES in step S46), it is determined that the
第2CPU12が第1CPU11からメッセージを受信していないときには(ステップS45のNO)、図5に示される処理が終了される。
When the
<作用効果>
以上のように、ゲートウェイECU3には、第1CPU11および第2CPU12が備えられている。第1CPU11は、車両の内部の車載ネットワーク2から切り離されており、車両の外部との通信は、第1CPU11により行われる。一方、第2CPU12は、車両の外部から切り離して設けられ、車載ネットワーク2に通信可能に接続されている。そして、第1CPU11は、車載ネットワーク2に対する攻撃を検知する攻撃検知機能(攻撃検知部21)を有し、第2CPU12は、第1CPU11が攻撃を受けたか否かを判定する攻撃判定機能(攻撃判定部31)を有している。また、第2CPU12では、攻撃判定機能により第1CPU11が攻撃を受けたと判定された場合、第1CPU11との通信が切断されるとともに、第1CPU11が外部から攻撃を受けたことがボデーECU7A経由でTCU4に通知される。
<Effect>
As described above, the
これにより、車両の外部からの車載ネットワーク2への攻撃の対策として、第1CPU11の攻撃検知機能を第1層の防御層とし、第2CPU12の攻撃判定機能および第2CPU12による第1CPU11との通信を第2層の防御層とする多層防御が構築される。この多層防御の構築により、セキュリティ対策の強化を図ることができる。
As a countermeasure against attacks on the in-
また、第2CPU12が第1CPU11から不正メッセージを受信した場合、その不正メッセージが破棄される。これにより、外部からの攻撃を受けた第1CPU11が不正メッセージを第2CPU12に向けて送信しても、その不正メッセージが破棄されるので、車載ネットワーク2が不正メッセージによる攻撃を受けることを防止でき、車載ネットワーク2による通信を継続できる。
Also, when the
第1CPU11は、攻撃検知機能により攻撃が検知されたことに応じて、当該攻撃に関する攻撃情報をセキュアメモリ13に記憶させ、車両の外部のサーバ8またはスキャンツール9からの要求に従って、セキュアメモリ13に記憶されている攻撃情報を出力する。これにより、第1CPU11が外部からの攻撃を受けた場合に、その攻撃に関する情報を車両の外部のサーバ8およびスキャンツール9に読み出すことができる。そのため、サーバ8またはスキャンツール9に読み出した情報を解析して、第1CPU11が受けた攻撃の内容を早期に特定でき、攻撃への対策を早期に講じることができる。
When an attack is detected by the attack detection function, the
また、第1CPU11は、起動時にソフトウェアの改ざんを検知する改ざん検知機能を有し、起動時にソフトウェアの改ざんが検知されなければ、そのソフトウェアを起動し、起動時にソフトウェアの改ざんが検知された場合には、そのソフトウェアを起動せずに動作を停止する。これにより、改ざんされたソフトウェアの起動を防止できる。そのため、改ざんされたソフトウェアが実行されることによる第2CPU12への不正メッセージの送信などを防止できる。
The
ソフトウェアの改ざんが検知されて、第1動作が動作を停止した場合、第1CPU11から第2CPU12へのメッセージ送信が行われないので、メッセージ送信が一定時間行われない場合には、第2CPU12により、第1CPU11が外部から攻撃を受けたと判定されて、第1CPU11と第2CPU12との通信が切断される。これにより、第1CPU11のソフトウェアが改ざんされていても、第2CPU12が第1CPU11から不正メッセージを受信しないので、車載ネットワーク2が不正メッセージによる攻撃を受けることを防止できる。
If falsification of software is detected and the first operation stops, message transmission from the
第2CPU12により第1CPU11が攻撃を受けたと判定された場合、車両に搭載されているTCU4から車両の外部のサーバ8に第1CPU11が攻撃を受けたことの情報がアップロードされるように、第1CPU11が外部から攻撃を受けたことは、第2CPU12からボデーECU7A経由でTCU4に通知されてもよい。これにより、サーバ管理者またはサーバ経由で情報を入手しうるユーザが第1CPU11の受攻撃を認知することができる。
When the
<変形例>
以上、本発明の一実施形態について説明したが、本発明は、他の形態で実施することもできる。
<Modification>
Although one embodiment of the present invention has been described above, the present invention can also be implemented in other forms.
たとえば、第2CPU12は、図示されていないが、第1CPU11と同様に、車両のイグニッションスイッチがオンにされたことに応じて、セキュアメモリ14に記憶されているソフトウェアを起動させるソフトウェア起動部を実質的に備えている。第2CPU12のソフトウェア起動部もまた、第1CPU11のソフトウェア起動部24と同様に、セキュアブート機能を有していてもよい。そして、ソフトウェアの改ざんが検知された場合、そのソフトウェアが起動されないことが好ましい。これにより、改ざんされたソフトウェアが実行されることによる車載ネットワーク2への不正メッセージの送信などを防止できる。
For example, although not shown, the
また、第1CPU11が車載ネットワーク2に対する攻撃を受けたことの情報がTCU4からサーバ8にアップロードされたことに応じて、車両を遠隔操作するリモートサービスが停止されてもよい。これにより、車載ネットワーク2の攻撃による車両の誤動作を防止することができる。また、第1CPU11には、TCU4やDLC5の他にも、コクピットECUとの専用通信線や急速充電用の専用通信線が接続されてもよい。この場合、TCU4やDLC5と同様に、それらの専用通信線から攻撃検知部21に並列に情報が入力される。
Further, the remote service for remotely operating the vehicle may be stopped in response to the information that the
その他、前述の構成には、特許請求の範囲に記載された事項の範囲で種々の設計変更を施すことが可能である。 In addition, various design changes can be made to the above configuration within the scope of the matters described in the claims.
2:車載ネットワーク
3:ゲートウェイECU(車載中継装置)
4:TCU(データ通信装置)
7A:ボデーECU(電子制御ユニット)
8:サーバ(情報管理機器)
9:スキャンツール(情報管理機器)
11:第1CPU(第1装置)
12:第2CPU(第2装置)
13:セキュアメモリ(記憶装置)
2: In-vehicle network 3: Gateway ECU (in-vehicle relay device)
4: TCU (data communication unit)
7A: Body ECU (electronic control unit)
8: Server (information management device)
9: Scan tool (information management equipment)
11: First CPU (first device)
12: Second CPU (second device)
13: Secure memory (storage device)
Claims (5)
前記車載ネットワークから切り離して設けられ、前記車両の外部と通信を行う第1装置と、
前記車両の外部から切り離して設けられ、前記第1装置に通信可能に接続されるとともに、前記車載ネットワークに通信可能に接続される第2装置と、を備え、
前記第1装置は、前記車載ネットワークに対する攻撃を検知する攻撃検知機能を有し、
前記第2装置は、前記第1装置が攻撃を受けたか否かを判定する攻撃判定機能を有し、前記攻撃判定機能により前記第1装置が攻撃を受けたと判定された場合には、所定の対応を行う、車載中継装置。 An in-vehicle relay device that is mounted in a vehicle and relays communication between an external in-vehicle network of the vehicle and an internal in-vehicle network,
a first device that is provided separately from the in-vehicle network and communicates with the outside of the vehicle;
a second device provided separately from the exterior of the vehicle, communicatively connected to the first device, and communicatively connected to the in-vehicle network;
The first device has an attack detection function for detecting an attack on the in-vehicle network,
The second device has an attack determination function that determines whether or not the first device has been attacked. When the attack determination function determines that the first device has been attacked, a predetermined In-vehicle relay device that responds.
前記記憶装置は、前記車載ネットワークで通信可能なメッセージに使用されるID(Identifier)が登録されたホワイトリストを記憶しており、
前記第1装置は、前記ホワイトリストに登録されたIDを使用していないメッセージを前記車両の外部から受信した場合、前記攻撃検知機能により当該メッセージの受信を攻撃として検知する、請求項1に記載の車載中継装置。 further comprising a storage device,
The storage device stores a whitelist in which IDs (Identifiers) used for messages that can be communicated over the in-vehicle network are registered,
2. The first device according to claim 1, wherein when a message not using an ID registered in the whitelist is received from outside the vehicle, the attack detection function detects the reception of the message as an attack. in-vehicle relay device.
前記第1装置は、前記攻撃検知機能により攻撃が検知されたことに応じて、当該攻撃に関する情報を前記記憶装置に記憶させ、前記車両の外部の情報管理機器からの要求に従って、前記記憶装置に記憶されている情報を出力する、請求項1または2に記載の車載中継装置。 further comprising a storage device,
When an attack is detected by the attack detection function, the first device stores information about the attack in the storage device, and stores the information in the storage device according to a request from an information management device external to the vehicle. 3. The in-vehicle relay device according to claim 1, which outputs stored information.
前記記憶装置は、ソフトウェアを記憶しており、
前記第1装置は、起動時に前記ソフトウェアの改ざんを検知する改ざん検知機能を有し、前記改ざん検知機能により改ざんが検知されなければ、前記ソフトウェアを起動し、前記改ざん検知機能により前記ソフトウェアの改ざんが検知された場合には、前記ソフトウェアを起動せずに動作を停止し、
前記第2装置は、前記第1装置からのメッセージ送信が一定時間行われない場合、前記第1装置との通信を切断する、請求項1~3のいずれか一項に記載の車載中継装置。 further comprising a storage device,
The storage device stores software,
The first device has a tampering detection function that detects tampering of the software at the time of activation, and if tampering is not detected by the tampering detection function, the software is activated and the software is detected by the tampering detection function. If detected, stop the operation without starting the software,
The in-vehicle relay device according to any one of claims 1 to 3, wherein said second device disconnects communication with said first device when message transmission from said first device is not performed for a certain period of time.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021079983A JP7354180B2 (en) | 2021-05-10 | 2021-05-10 | In-vehicle relay device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021079983A JP7354180B2 (en) | 2021-05-10 | 2021-05-10 | In-vehicle relay device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022173922A true JP2022173922A (en) | 2022-11-22 |
JP7354180B2 JP7354180B2 (en) | 2023-10-02 |
Family
ID=84144247
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021079983A Active JP7354180B2 (en) | 2021-05-10 | 2021-05-10 | In-vehicle relay device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7354180B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220094540A1 (en) * | 2019-01-09 | 2022-03-24 | National University Corporation Tokai National Higher Education And Research System | On-vehicle communication system, on-vehicle communication control device, on-vehicle communication device, communication control method and communication method |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014146868A (en) * | 2013-01-28 | 2014-08-14 | Hitachi Automotive Systems Ltd | Network device and data transmission reception system |
JP2019071572A (en) * | 2017-10-10 | 2019-05-09 | ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング | Control apparatus and control method |
JP2020150430A (en) * | 2019-03-14 | 2020-09-17 | パナソニックIpマネジメント株式会社 | Information processor, information processing system, method for processing information, and computer program |
-
2021
- 2021-05-10 JP JP2021079983A patent/JP7354180B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014146868A (en) * | 2013-01-28 | 2014-08-14 | Hitachi Automotive Systems Ltd | Network device and data transmission reception system |
JP2019071572A (en) * | 2017-10-10 | 2019-05-09 | ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング | Control apparatus and control method |
JP2020150430A (en) * | 2019-03-14 | 2020-09-17 | パナソニックIpマネジメント株式会社 | Information processor, information processing system, method for processing information, and computer program |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220094540A1 (en) * | 2019-01-09 | 2022-03-24 | National University Corporation Tokai National Higher Education And Research System | On-vehicle communication system, on-vehicle communication control device, on-vehicle communication device, communication control method and communication method |
Also Published As
Publication number | Publication date |
---|---|
JP7354180B2 (en) | 2023-10-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11120149B2 (en) | Security system and method for protecting a vehicle electronic system | |
US20180278616A1 (en) | In-vehicle communication system, communication management device, and vehicle control device | |
US20190281052A1 (en) | Systems and methods for securing an automotive controller network | |
JP6477281B2 (en) | In-vehicle relay device, in-vehicle communication system, and relay program | |
JP5395036B2 (en) | In-vehicle network system | |
JP5729337B2 (en) | VEHICLE AUTHENTICATION DEVICE AND VEHICLE AUTHENTICATION SYSTEM | |
US20160173530A1 (en) | Vehicle-Mounted Network System | |
CN111077883A (en) | Vehicle-mounted network safety protection method and device based on CAN bus | |
KR20140128660A (en) | Accessing system for vehicle network and method of the same | |
WO2019012889A1 (en) | Authentication control device, authentication control method, and authentication control program | |
CN111788796B (en) | Vehicle-mounted communication system, exchange device, authentication method, and computer-readable storage medium | |
JP2013141947A (en) | Gateway device and vehicle communication system | |
JP2014045421A (en) | Network system | |
JP7354180B2 (en) | In-vehicle relay device | |
JP7425016B2 (en) | In-vehicle relay device | |
EP3661130B1 (en) | A relay device for an in-vehicle network | |
KR20130136924A (en) | Method and communication system for a secure data transmission | |
JP7067508B2 (en) | Network system | |
JP2022138678A (en) | vehicle system | |
JP2020096320A (en) | Illegal signal processing device | |
JP2005191734A (en) | Vehicle communications system and repeat unit | |
JP2021167985A (en) | On-vehicle security system and attack countermeasure method | |
CN113853769B (en) | Setting device, communication system, and vehicle communication management method | |
JP2018160870A (en) | On-vehicle communication system and input/output device | |
CN108076046B (en) | Communication system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220524 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230329 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230418 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230619 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230919 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230920 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7354180 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |