JP2024055384A - Vehicle control device - Google Patents

Vehicle control device Download PDF

Info

Publication number
JP2024055384A
JP2024055384A JP2022162259A JP2022162259A JP2024055384A JP 2024055384 A JP2024055384 A JP 2024055384A JP 2022162259 A JP2022162259 A JP 2022162259A JP 2022162259 A JP2022162259 A JP 2022162259A JP 2024055384 A JP2024055384 A JP 2024055384A
Authority
JP
Japan
Prior art keywords
control unit
request information
information
encryption
ecu
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022162259A
Other languages
Japanese (ja)
Inventor
久太郎 飯波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Subaru Corp
Original Assignee
Subaru Corp
Filing date
Publication date
Application filed by Subaru Corp filed Critical Subaru Corp
Publication of JP2024055384A publication Critical patent/JP2024055384A/en
Pending legal-status Critical Current

Links

Abstract

【課題】送受信されるデータの検証を行うことにより車載ネットワークへの不正なデータの侵入によるなりすまし攻撃を防止すると共に、制御対象に対する動作要求から動作完了までの応答性を向上させる。
【解決手段】車両に搭載された制御対象に対する動作要求情報の送信元を認証し、認証された送信元からの動作要求情報を送信する第1制御部と、第1制御部から受信した動作要求情報に基づいて制御対象を制御する第2制御部とを含み、第1制御部及び第2制御部は、互いに共通する暗号鍵を用いて動作要求情報を暗号化又は復号化するための暗号化情報を生成した後に互いに通信を停止し、第1制御部は第2制御部との通信再開後に、暗号化情報を用いて動作要求情報を暗号化した暗号化データを生成して第2制御部に送信し、第2制御部は暗号化情報を用いて暗号化データを復号化して動作要求情報を取得すると共に、動作要求情報に対する改竄の有無を検証する車両用制御装置を提供する。
【選択図】図1

The present invention prevents spoofing attacks by intrusion of unauthorized data into an in-vehicle network by verifying transmitted and received data, and improves responsiveness from an operation request to a controlled object until the operation is completed.
[Solution] A vehicle control device is provided that includes a first control unit that authenticates the sender of action request information for a control object mounted in the vehicle and transmits the action request information from the authenticated sender, and a second control unit that controls the control object based on the action request information received from the first control unit, wherein the first control unit and the second control unit stop communication with each other after generating encryption information for encrypting or decrypting the action request information using a mutually common encryption key, and after resuming communication with the second control unit, the first control unit generates encrypted data by encrypting the action request information using the encryption information and transmits it to the second control unit, and the second control unit decrypts the encrypted data using the encryption information to obtain the action request information and verifies whether the action request information has been tampered with.
[Selected Figure] Figure 1

Description

本発明は、車両用制御装置に関し、特に、車載ネットワーク上において送受信される信号の検証を行うことにより不正な信号の侵入を防止する車両用制御装置に関する。 The present invention relates to a vehicle control device, and in particular to a vehicle control device that prevents the intrusion of unauthorized signals by verifying signals transmitted and received on an in-vehicle network.

従来、ユーザが携帯するキーと車載機器との間で通信を行うことで車両の施錠及び解錠を行うシステムが知られている。例えば、特許文献1では、解錠の際に、車両の走行情報に基づいて暗号化キーを生成し、これを用いてユーザの携帯機(キー)と車載機器との認証を行うリモートキーレスエントリーシステムが開示されている。 Conventionally, systems are known that lock and unlock a vehicle by communicating between a key carried by the user and an in-vehicle device. For example, Patent Document 1 discloses a remote keyless entry system that generates an encryption key based on vehicle driving information when unlocking the vehicle, and uses this to authenticate the user's portable device (key) and the in-vehicle device.

特開2019-100059号公報JP 2019-100059 A

ところで、近年、例えば、CANインベーダーと称される手法等、CAN(Controller Area Network)等の車載ネットワークに侵入して「なりすまし信号」を送信することにより、車両のドアを不正に解錠する手法が問題となっている。 In recent years, there has been a problem with a technique known as CAN invaders, which involves unauthorized unlocking of vehicle doors by infiltrating in-vehicle networks such as the Controller Area Network (CAN) and sending "spoofed signals."

上述した特許文献1のリモートキーレスエントリーシステムで用いられる暗号化キーは、ユーザが所有する携帯機(キー)と車載機器との間の認証に用いられるものであり、車載ネットワークに侵入された「なりすまし信号」を排除することができない。 The encryption key used in the remote keyless entry system of the above-mentioned Patent Document 1 is used for authentication between the portable device (key) owned by the user and the in-vehicle device, and cannot eliminate "spoofed signals" that have infiltrated the in-vehicle network.

そこで、上述のような車載ネットワークへの侵入に対して、車載ネットワークにおいて、送信信号に所謂CANメッセージ認証を用いたり、送信信号をブロック暗号により暗号化したりすることが考えらえる。 To counter the above-mentioned intrusions into in-vehicle networks, it is possible to use so-called CAN message authentication for transmitted signals in the in-vehicle network or to encrypt the transmitted signals using block encryption.

しかしながら、CANメッセージ認証は、車両がIGN-ONの状態であることが前提となるためIGN-OFF時に通信を要するドアの解錠にそのまま用いることができない。また、FV(Freshness Value)同期を要するため、ユーザによるドアの解錠操作から実際に解錠されるまでのレスポンスが悪化してしまう。一方、送信信号の暗号化は、CAN通信における1フレームは64bitであるのに対し、一般的なブロック暗号は128bit単位で暗号化を行うことから、送信信号の暗号化に2フレーム分のデータを送信する必要があり、レスポンスが悪化してしまう。 However, CAN message authentication requires that the vehicle's IGN is ON, so it cannot be used as is to unlock doors that require communication when the IGN is OFF. In addition, because it requires Freshness Value (FV) synchronization, the response time from when the user unlocks the door to when it is actually unlocked is degraded. On the other hand, when it comes to encryption of the transmission signal, one frame in CAN communication is 64 bits, whereas general block encryption encrypts in 128-bit units, so two frames of data must be transmitted to encrypt the transmission signal, degrading the response time.

本発明は、このような状況に対処することを課題としている。すなわち、車載ネットワークにおいて送受信されるデータの検証を行うことにより不正なデータの侵入によるなりすまし攻撃を防止すると共に、制御対象に対する動作要求から動作完了までの応答性を向上させること、等を課題としている。 The present invention aims to address such situations. In other words, it aims to prevent spoofing attacks by intrusion of unauthorized data by verifying data transmitted and received in the in-vehicle network, and to improve the responsiveness from the operation request to the controlled object until the operation is completed.

このような課題を解決するために、本発明による車両用制御装置は、以下の構成を具備する。
すなわち、本発明の一態様は、車両に搭載された制御対象を制御する複数の制御部が相互に通信可能に接続された車両用制御装置であって、前記制御対象に対する動作要求情報の送信元を認証し、認証された前記送信元からの前記動作要求情報を送信する第1制御部と、前記第1制御部から取得した前記動作要求情報に基づいて前記制御対象を制御する第2制御部と、を含み、前記第1制御部及び前記第2制御部は、互いに共通する暗号鍵を保持し、前記暗号鍵を用いて前記動作要求情報を暗号化又は復号化するための暗号化情報をそれぞれ生成した後に、前記第1制御部と前記第2制御部との間の通信を停止し、前記第1制御部は、前記第2制御部との通信再開後に、前記暗号化情報を用いて前記動作要求情報を暗号化した暗号化データを生成して前記第2制御部に送信し、前記第2制御部は、前記暗号化情報を用いて前記暗号化データを復号化して前記動作要求情報を取得すると共に、前記動作要求情報に対する改竄の有無を検証する、車両用制御装置を提供する。 In order to solve such problems, a vehicle control device according to the present invention has the following configuration.
That is, one aspect of the present invention provides a vehicle control device in which a plurality of control units that control control objects mounted on a vehicle are connected to each other so that they can communicate with each other, the vehicle control device including a first control unit that authenticates a sender of operation request information for the control objects and transmits the operation request information from the authenticated sender, and a second control unit that controls the control objects based on the operation request information acquired from the first control unit, the first control unit and the second control unit each hold a common encryption key, and after generating encryption information for encrypting or decrypting the operation request information using the encryption key, communication between the first control unit and the second control unit is stopped, and after resuming communication with the second control unit, the first control unit generates encrypted data by encrypting the operation request information using the encryption information and transmits the encrypted data to the second control unit, and the second control unit decrypts the encrypted data using the encryption information to obtain the operation request information and verifies whether the operation request information has been tampered with.

このような特徴を有する車両用制御装置によれば、車載ネットワークにおいて送受信されるデータの検証を行うことにより不正なデータの侵入によるなりすまし攻撃を防止すると共に、制御対象に対する動作要求から動作完了までの応答性を向上させることができる。 A vehicle control device with these characteristics can verify data sent and received over the vehicle network, preventing spoofing attacks caused by the intrusion of unauthorized data, while improving responsiveness from the time an operation request is made to a controlled object until the operation is completed.

本発明の実施形態に係る車両用制御装置の概略構成を示す説明図である。1 is an explanatory diagram showing a schematic configuration of a vehicle control device according to an embodiment of the present invention; 本発明の実施形態に係る車両用制御装置の第1ECU及び第2ECUにおける処理の概略を示す説明図である。2 is an explanatory diagram showing an outline of processing in a first ECU and a second ECU of the vehicle control device according to the embodiment of the present invention; FIG. 本発明の実施形態に係る車両用制御装置のCGW、第1ECUと第2ECUとの間における情報の送受信の概略を示す説明図である。2 is an explanatory diagram showing an overview of transmission and reception of information between a CGW, a first ECU, and a second ECU of the vehicle control device according to the embodiment of the present invention; FIG. 本発明の実施形態に係る車両用制御装置におけるロック要求時の第1ECUにおける処理の流れを示すフローチャートである。5 is a flowchart showing a flow of processing in a first ECU when a lock request is made in the vehicle control device according to the embodiment of the present invention. 本発明の実施形態に係る車両用制御装置におけるロック要求時の第2ECUにおける処理の流れを示すフローチャートである。5 is a flowchart showing a flow of processing in a second ECU when a lock request is made in the vehicle control device according to the embodiment of the present invention. 本発明の実施形態に係る車両用制御装置におけるアンロック要求時の第1ECUにおける処理の流れを示すフローチャートである。5 is a flowchart showing a flow of processing in a first ECU when an unlock request is made in the vehicle control device according to the embodiment of the present invention. 本発明の実施形態に係る車両用制御装置におけるアンロック要求時の第2ECUにおける処理の流れを示すフローチャートである。5 is a flowchart showing a flow of processing in a second ECU when an unlock request is made in the vehicle control device according to the embodiment of the present invention.

以下、図面を参照して本発明の実施形態を説明する。以下の説明で、異なる図における同一符号は同一機能の部位を示しており、各図における重複説明は適宜省略する。 Embodiments of the present invention will be described below with reference to the drawings. In the following description, the same reference numerals in different drawings indicate parts with the same function, and duplicate descriptions in each drawing will be omitted as appropriate.

図1に示すように、本発明の実施形態に係る車両用制御装置1は、車両100に搭載され、車両100の走行に必要な種々の電子機器類、及び、これらの電子機器類を制御する複数のECU(Electronic Control Unit)を備えている。各電子機器及び各ECU等は、CAN(Controller Area Network)やLIN(Local Interconnect Network)等の車載ネットワーク3により相互に通信可能に接続されると共に、中継装置としてのセントラルゲートウェイ(CGW)4に接続されて車両用制御装置1を構成する。 As shown in FIG. 1, a vehicle control device 1 according to an embodiment of the present invention is mounted on a vehicle 100 and includes various electronic devices necessary for the running of the vehicle 100, and a number of ECUs (Electronic Control Units) that control these electronic devices. The electronic devices and ECUs are connected to each other via an in-vehicle network 3 such as a CAN (Controller Area Network) or a LIN (Local Interconnect Network) so that they can communicate with each other, and are also connected to a central gateway (CGW) 4 as a relay device to constitute the vehicle control device 1.

各ECUは、車載ネットワーク3から取得する情報(データ)に基づいて各々が接続された電子機器の動作を制御する。また、各ECUは、接続された電子機器から取得した各電子機器の動作に係る情報を車載ネットワーク3へ出力する。
各ECUは、例えば、CPU(Central Processing Unit)又はMPU(Micro Processing Unit)等のプロセッサや電気回路、RAM(Random Access Memory)やROM(Read Only Memory)等の記憶素子を備えて構成することができる。また、ECUが実行する動作の一部又は全部を、ASIC(application specific integrated circuit)、FPGA(field-programmable gate array)やGPU(Graphics Processing Unit)などのハードウェアにより実現することもできる。
以下の説明において、本実施形態にかかる車両用制御装置1に直接関与しない電子機器等についての詳細な説明及び図示は省略する。 Each ECU controls the operation of the electronic device connected thereto based on information (data) acquired from the in-vehicle network 3. In addition, each ECU outputs information related to the operation of each electronic device acquired from the connected electronic device to the in-vehicle network 3.
Each ECU may be configured to include, for example, a processor such as a central processing unit (CPU) or a micro processing unit (MPU), electrical circuits, and storage elements such as a random access memory (RAM) or a read only memory (ROM). In addition, some or all of the operations executed by the ECU may be realized by hardware such as an application specific integrated circuit (ASIC), a field-programmable gate array (FPGA), or a graphics processing unit (GPU).
In the following description, detailed description and illustration of electronic devices and the like that are not directly related to the vehicle control device 1 according to this embodiment will be omitted.

図1に示すように、車両用制御装置1は、車載ネットワーク3によって通信可能に接続された第1ECU(第1制御部)10及び第2ECU(第2制御部)20を含んで構成されている。車両用制御装置1では、車両用制御装置1に含まれる動作要求受信部30(後述)が受信した制御対象に対する動作要求情報に基づいて、動作要求情報の送信元を第1ECU10が認証し、送信元が認証された場合に、動作要求情報を第1ECU10から第2ECU20に出力し、第2ECU20が動作要求情報に応じて制御対象を制御する。 As shown in FIG. 1, the vehicle control device 1 includes a first ECU (first control unit) 10 and a second ECU (second control unit) 20 that are communicatively connected by an in-vehicle network 3. In the vehicle control device 1, the first ECU 10 authenticates the sender of the operation request information based on the operation request information for the control object received by an operation request receiving unit 30 (described later) included in the vehicle control device 1, and if the sender is authenticated, the first ECU 10 outputs the operation request information to the second ECU 20, and the second ECU 20 controls the control object according to the operation request information.

以下、一例として、制御対象が車両100のドアロックアクチュエータであり、動作要求情報が車両100のドアのロックを示すロック要求情報又はアンロックを示すアンロック要求情報である場合について、図1から図3を参照しながら説明する。
図1は車両用制御装置1の概略構成を示す説明図であり、図2は第1ECU10及び第2ECU20におけるデータ処理の概略を示す説明図であり、図3は車両用制御装置1におけるCGW4、第1ECU10と第2ECU20との間の情報の送受信の概略を示す説明図である。 As an example, the case where the control object is a door lock actuator of the vehicle 100 and the operation request information is lock request information indicating locking of the doors of the vehicle 100 or unlock request information indicating unlocking of the doors will be described below with reference to Figures 1 to 3.
FIG. 1 is an explanatory diagram showing the general configuration of the vehicle control device 1, FIG. 2 is an explanatory diagram showing an outline of data processing in the first ECU 10 and the second ECU 20, and FIG. 3 is an explanatory diagram showing an outline of information transmission and reception between the CGW 4, the first ECU 10 and the second ECU 20 in the vehicle control device 1.

第1ECU10には動作要求受信部30が接続され、第2ECU20にはドアロックアクチュエータ40がそれぞれ接続されている。
動作要求受信部30は、車両100のユーザによる携帯機器やスマートキー、ドアハンドルタッチセンサ等における操作を、第2ECU20の制御対象であるドアロックアクチュエータ40に対する動作要求情報として無線通信又は有線通信により受信し、受信した動作要求情報を第1ECU10に出力する。ドアロックアクチュエータ40は、第2ECU20による制御に基づいて車両100のドアのロック又はアンロックを行う。 The first ECU 10 is connected to an operation request receiving unit 30, and the second ECU 20 is connected to a door lock actuator 40.
The operation request receiving unit 30 receives, via wireless or wired communication, operations of a mobile device, a smart key, a door handle touch sensor, or the like by the user of the vehicle 100 as operation request information for a door lock actuator 40 that is subject to control by the second ECU 20, and outputs the received operation request information to the first ECU 10. The door lock actuator 40 locks or unlocks the doors of the vehicle 100 under the control of the second ECU 20.

第1ECU10は、CPU11、ROM12、RAM13及び、記憶部14を備えている。CPU11は、ROM12に格納されたプログラムを例えばRAM13等のメモリに読み込んで実行することにより、図1に示す、認証処理部111、第1時間変化情報生成部112、第1暗号化情報生成部113、CRC(Cyclic Redundancy Check)付加部114、及び、暗号化処理部115として機能する。 The first ECU 10 includes a CPU 11, a ROM 12, a RAM 13, and a storage unit 14. The CPU 11 loads a program stored in the ROM 12 into a memory such as the RAM 13 and executes it, thereby functioning as an authentication processing unit 111, a first time-varying information generating unit 112, a first encryption information generating unit 113, a CRC (Cyclic Redundancy Check) adding unit 114, and an encryption processing unit 115, all of which are shown in FIG. 1.

また、記憶部14には、暗号化処理部115における暗号化処理に用いる暗号鍵が記憶されている。この暗号鍵は、後述する第2ECU20の記憶部24に記憶された暗号鍵と共通の暗号鍵である。この他、記憶部14には、CPU11が認証処理部111、第1時間変化情報生成部112、第1暗号化情報生成部113、CRC付加部114、及び、暗号化処理部115として動作するために必要な情報が記憶されている。 The storage unit 14 also stores an encryption key used for encryption processing in the encryption processing unit 115. This encryption key is a common encryption key to the encryption key stored in the storage unit 24 of the second ECU 20 described below. In addition, the storage unit 14 stores information necessary for the CPU 11 to operate as the authentication processing unit 111, the first time change information generating unit 112, the first encryption information generating unit 113, the CRC adding unit 114, and the encryption processing unit 115.

このように構成された第1ECU10は、動作要求受信部30において受信したドアロックアクチュエータ40に対する動作要求情報を取得して、動作要求情報の送信元を認証する。動作要求情報が、認証された送信元から受信した情報である場合には、当該動作要求情報に基づいて以下のように暗号化データを生成し、車載ネットワーク3を介して第2ECU20に出力する。なお、以下の例では、動作要求情報が、ロック要求情報である場合とアンロック要求情報である場合とで第1ECU10における処理が異なる。 The first ECU 10 configured in this manner acquires operation request information for the door lock actuator 40 received by the operation request receiver 30, and authenticates the sender of the operation request information. If the operation request information is information received from an authenticated sender, encrypted data is generated based on the operation request information as described below, and output to the second ECU 20 via the in-vehicle network 3. Note that in the following example, the processing in the first ECU 10 differs depending on whether the operation request information is lock request information or unlock request information.

以下、認証処理部111、第1時間変化情報生成部112、第1暗号化情報生成部113、CRC付加部114、及び、暗号化処理部115について説明する。 The following describes the authentication processing unit 111, the first time change information generation unit 112, the first encryption information generation unit 113, the CRC addition unit 114, and the encryption processing unit 115.

認証処理部111は、動作要求受信部30が無線通信又は有線通信により受信したユーザによる携帯機器やスマートキー、ドアハンドルタッチセンサ等における操作を、ドアロックアクチュエータ40に対する動作要求情報(ロック要求情報又はアンロック要求情報)として取得し、動作要求情報の送信元を認証する。認証処理部111では、送信元が認証されると、動作要求情報を第1時間変化情報生成部112、第1暗号化情報生成部113、CRC付加部114、及び、暗号化処理部115に出力する。 The authentication processing unit 111 acquires the operation of a mobile device, smart key, door handle touch sensor, etc. by the user received by the operation request receiving unit 30 via wireless or wired communication as operation request information (lock request information or unlock request information) for the door lock actuator 40, and authenticates the sender of the operation request information. When the sender is authenticated, the authentication processing unit 111 outputs the operation request information to the first time change information generating unit 112, the first encryption information generating unit 113, the CRC adding unit 114, and the encryption processing unit 115.

また、第1ECU10は、動作要求情報がロック要求情報である場合には、ロック要求情報を暗号化することなく第2ECU20に出力する。また、認証処理部111は、第1ECU10がスリープ状態にある場合において、携帯機器やスマートキー、ドアハンドルタッチセンサ等における操作がなされたことを認識すると、第1ECU10を起動させると共に、第2ECU20及びCGW4対してスリープ状態を解除するためのウェイクアップ要求情報を出力する。 When the operation request information is lock request information, the first ECU 10 outputs the lock request information to the second ECU 20 without encrypting it. When the authentication processing unit 111 recognizes that a mobile device, a smart key, a door handle touch sensor, or the like has been operated while the first ECU 10 is in a sleep state, it starts up the first ECU 10 and outputs wake-up request information to the second ECU 20 and the CGW 4 to release the sleep state.

第1時間変化情報生成部112は、ユーザから車両100に対してドアロック要求がなされると、すなわち、認証処理部111から取得した動作要求情報がロック要求情報である場合に、時間変化情報を生成する。具体的には、第1時間変化情報生成部112は、CGW4から、例えば、車両100がイグニッションオン(IGN-ON)となった回数を示す情報、時刻と関連付けられたタイムスタンプ情報など、経時的に変化する情報を所定の周期で取得し、必要に応じて乱数を付加して時間変化情報を生成する。 The first time change information generating unit 112 generates time change information when a door lock request is made to the vehicle 100 by the user, that is, when the operation request information acquired from the authentication processing unit 111 is lock request information. Specifically, the first time change information generating unit 112 acquires information that changes over time from the CGW 4 at a predetermined cycle, such as information indicating the number of times the ignition of the vehicle 100 has been turned on (IGN-ON) and time stamp information associated with the time, and generates time change information by adding random numbers as necessary.

なお、第1時間変化情報生成部112及び後述する第2時間変化情報生成部211がCGW4から取得する経時的に変化する情報は、同一の情報であり、第1時間変化情報生成部112において生成された時間変化情報は、第2ECU20の第2時間変化情報生成部211に送信され、共有される。 The information that changes over time that the first time change information generating unit 112 and the second time change information generating unit 211 described later acquire from the CGW 4 is the same information, and the time change information generated by the first time change information generating unit 112 is transmitted to the second time change information generating unit 211 of the second ECU 20 and shared.

第1暗号化情報生成部113は、ユーザから車両100に対してドアロック要求がなされると、すなわち、認証処理部111から取得した動作要求情報がロック要求情報である場合に、暗号化情報を生成する。具体的には、第1暗号化情報生成部113は、第1時間変化情報生成部112において生成された時間変化情報と、記憶部14に記憶された暗号鍵とを用いて、認証処理部111が認証した送信元からの動作要求を暗号化するための暗号化情報を生成する。第1暗号化情報生成部113によって生成された暗号化情報は記憶部14に記憶され、その後、第1ECU10と第2ECU20との通信が停止する。 The first encryption information generation unit 113 generates encryption information when a door lock request is made to the vehicle 100 by the user, that is, when the operation request information obtained from the authentication processing unit 111 is lock request information. Specifically, the first encryption information generation unit 113 generates encryption information for encrypting an operation request from a sender authenticated by the authentication processing unit 111, using the time change information generated by the first time change information generation unit 112 and an encryption key stored in the storage unit 14. The encryption information generated by the first encryption information generation unit 113 is stored in the storage unit 14, and then communication between the first ECU 10 and the second ECU 20 is stopped.

CRC付加部114は、第1ECU10と第2ECU20との通信が再開され、ユーザから車両100に対してドアのアンロック要求がなされると、すなわち、認証処理部111が認証した送信元から取得した動作要求情報がアンロック要求情報である場合に、アンロック要求情報に対して、誤りを検出するためのチェックデータとしてCRCを算出し、付加する。 When communication between the first ECU 10 and the second ECU 20 is resumed and the user requests the vehicle 100 to unlock the doors, that is, when the operation request information obtained from a sender authenticated by the authentication processing unit 111 is unlock request information, the CRC addition unit 114 calculates and adds a CRC to the unlock request information as check data for detecting errors.

暗号化処理部115は、CRCが付加されたアンロック要求情報を、記憶部14に記憶された暗号化情報を用いて暗号化し、暗号化データを生成する。暗号化処理部115における暗号化処理は、図2に示すように、CRCが付加されたアンロック要求情報と暗号化情報とを排他的論理和によって演算(XOR演算)処理であり、これにより暗号化データを生成する。暗号化処理部115は、生成した暗号化データを、車載ネットワーク3を介して第2ECU20に出力する。 The encryption processing unit 115 encrypts the unlock request information with the CRC added, using the encryption information stored in the storage unit 14, to generate encrypted data. As shown in FIG. 2, the encryption processing in the encryption processing unit 115 is an exclusive OR operation (XOR operation) of the unlock request information with the CRC added and the encryption information, thereby generating encrypted data. The encryption processing unit 115 outputs the generated encrypted data to the second ECU 20 via the in-vehicle network 3.

第2ECU20は、CPU21、ROM22、RAM23、及び、記憶部24を備えている。CPU21は、ROM22に格納されたプログラムを例えばRAM23等のメモリに読み込んで実行することにより、図1に示す、第2時間変化情報生成部211、第2暗号化情報生成部212、復号化処理部213、及び、CRC検証部214として機能する。 The second ECU 20 includes a CPU 21, a ROM 22, a RAM 23, and a storage unit 24. The CPU 21 loads a program stored in the ROM 22 into a memory such as the RAM 23 and executes it, thereby functioning as a second time-varying information generating unit 211, a second encrypted information generating unit 212, a decryption processing unit 213, and a CRC verification unit 214, as shown in FIG. 1.

また、記憶部24には、復号化処理部213における暗号化データの復号化処理に用いる暗号鍵が記憶されている。この暗号鍵は、上述した第1ECU10の記憶部14に記憶された暗号鍵と共通の暗号鍵である。この他、記憶部24には、CPU21が第2時間変化情報生成部211、第2暗号化情報生成部212、復号化処理部213、及び、CRC検証部214として動作するために必要な情報が記憶されている。 The storage unit 24 also stores an encryption key used for the decryption process of the encrypted data in the decryption processing unit 213. This encryption key is a common encryption key to the encryption key stored in the storage unit 14 of the first ECU 10 described above. In addition, the storage unit 24 stores information necessary for the CPU 21 to operate as the second time-varying information generating unit 211, the second encryption information generating unit 212, the decryption processing unit 213, and the CRC verification unit 214.

このように構成された第2ECU20は、第1ECU10から取得した動作要求に基づいてドアロックアクチュエータ40を制御する。この時、第1ECU10から送信された動作要求が暗号化された暗号化データである場合には、当該暗号化データを復号化し、改竄がないことを検証したうえで、動作要求に従ってドアロックアクチュエータ40を制御する。 The second ECU 20 thus configured controls the door lock actuator 40 based on the operation request received from the first ECU 10. At this time, if the operation request sent from the first ECU 10 is encrypted data, the second ECU 20 decrypts the encrypted data, verifies that it has not been tampered with, and then controls the door lock actuator 40 according to the operation request.

以下、第2時間変化情報生成部211、第2暗号化情報生成部212、復号化処理部213、及び、CRC検証部214について説明する。 The second time change information generation unit 211, the second encryption information generation unit 212, the decryption processing unit 213, and the CRC verification unit 214 are described below.

第2時間変化情報生成部211は、ユーザから車両100に対してドアロック要求がなされると、すなわち、第1ECU10からロック要求情報を取得すると、時間変化情報を生成する。具体的には、第2時間変化情報生成部211は、CGW4から、例えば、車両100がイグニッションオン(IGN-ON)となった回数を示す情報、時刻と関連付けられたタイムスタンプ情報など、経時的に変化する情報を所定の周期で取得し、必要に応じて乱数を付加して時間変化情報を生成する。 The second time change information generating unit 211 generates time change information when a door lock request is made to the vehicle 100 by the user, that is, when lock request information is acquired from the first ECU 10. Specifically, the second time change information generating unit 211 acquires information that changes over time from the CGW 4 at a predetermined cycle, such as information indicating the number of times the ignition of the vehicle 100 has been turned on (IGN-ON) and time stamp information associated with the time, and generates time change information by adding random numbers as necessary.

なお、第1時間変化情報生成部112及び第2時間変化情報生成部211がCGW4から取得する経時的に変化する情報は、同一の情報であり、第2時間変化情報生成部211において生成された時間変化情報は、上述した第1ECU10の第1時間変化情報生成部112に送信され、共有される。 The information that changes over time that the first time change information generating unit 112 and the second time change information generating unit 211 acquire from the CGW 4 is the same information, and the time change information generated by the second time change information generating unit 211 is transmitted to the first time change information generating unit 112 of the first ECU 10 described above and shared.

第2暗号化情報生成部212は、ユーザから車両100に対してドアロック要求がなされると、すなわち、第1ECU10からロック要求情報を取得すると、暗号化情報を生成する。具体的には、第2暗号化情報生成部212は、第2時間変化情報生成部211において生成された時間変化情報と、記憶部24に記憶された暗号鍵とを用いて、認証処理部111が認証した送信元からのアンロック動作要求を暗号化するための暗号化情報を生成する。第2暗号化情報生成部212によって生成された暗号化情報は記憶部24に記憶され、その後、第1ECU10と第2ECU20との通信が停止する。 The second encryption information generating unit 212 generates encryption information when a door lock request is made to the vehicle 100 by the user, that is, when lock request information is obtained from the first ECU 10. Specifically, the second encryption information generating unit 212 generates encryption information for encrypting an unlock operation request from a sender authenticated by the authentication processing unit 111, using the time change information generated by the second time change information generating unit 211 and the encryption key stored in the storage unit 24. The encryption information generated by the second encryption information generating unit 212 is stored in the storage unit 24, and then communication between the first ECU 10 and the second ECU 20 is stopped.

復号化処理部213は、第1ECU10と第2ECU20との通信が再開され、第1ECU10から暗号化データを受信すると、この暗号化データを第2暗号化情報生成部212により生成されて記憶部24に記憶された暗号化情報を用いて復号化する。復号化処理部213における復号化処理は、図2に示すように、第1ECU10から受信した暗号化データと記憶部24に記憶された暗号化情報とを排他的論理和によって演算(XOR演算)する処理であり、これにより暗号化データを復号化する。復号化されたデータは、CRC検証部214により誤りの有無、つまり、改竄の有無が検証される。 When communication between the first ECU 10 and the second ECU 20 is resumed and the decryption processing unit 213 receives encrypted data from the first ECU 10, the decryption processing unit 213 decrypts the encrypted data using the encryption information generated by the second encryption information generation unit 212 and stored in the memory unit 24. As shown in FIG. 2, the decryption processing in the decryption processing unit 213 is a process of performing an exclusive OR operation (XOR operation) on the encrypted data received from the first ECU 10 and the encryption information stored in the memory unit 24, thereby decrypting the encrypted data. The decrypted data is verified by the CRC verification unit 214 for the presence or absence of errors, i.e., the presence or absence of tampering.

CRC検証部214は、復号化処理部213により復号化されたデータに対して、誤りを検出するためのチェックデータとしてCRC´を算出し、復号化されたデータに既に付加されていたCRCと比較することで復号化されたデータについて、改竄の有無を検証する。検証した結果、改竄がない場合に、ドアロックアクチュエータ40を制御して、車両100のドアロックを解除する。 The CRC verification unit 214 calculates a CRC' as check data for detecting errors for the data decoded by the decoding processing unit 213, and verifies whether the decoded data has been tampered with by comparing it with the CRC that was already added to the decoded data. If the verification result shows that the data has not been tampered with, the CRC verification unit 214 controls the door lock actuator 40 to unlock the doors of the vehicle 100.

以下、このように構成された車両用制御装置1における、車両100のドアのロック時及びアンロック時の処理の流れについて、図4から図7のフローチャートを用いて説明する。
まず、車両100のドアのロック時の第1ECU10及び第2ECU20における処理について説明する。図4はドアのロック時における第1ECU10の処理の流れを示し、図5はドアのロック時における第2ECU20の処理の流れを示している。 Hereinafter, the flow of processing in the vehicle control device 1 configured as above when the doors of the vehicle 100 are locked and unlocked will be described with reference to the flowcharts of FIG. 4 to FIG.
First, a description will be given of the processing in the first ECU 10 and the second ECU 20 when the doors of the vehicle 100 are locked. Fig. 4 shows the flow of processing in the first ECU 10 when the doors are locked, and Fig. 5 shows the flow of processing in the second ECU 20 when the doors are locked.

図4に示すように、ドアのロック時において、第1ECU10では、第1時間変化情報生成部112が、CGW4から、経時的に変化する情報として、例えば、時刻と関連付けられたタイムスタンプ情報を所定の周期で取得し(ステップS101)、認証処理部111において動作要求受信部30から送信された動作要求情報の送信元の認証を行う(ステップS102)。 As shown in FIG. 4, when the door is locked, in the first ECU 10, the first time-varying information generating unit 112 acquires information that changes over time, such as time stamp information associated with the time, from the CGW 4 at a predetermined interval (step S101), and the authentication processing unit 111 authenticates the sender of the operation request information transmitted from the operation request receiving unit 30 (step S102).

認証処理部111によって、送信元が認証されると、動作要求情報がロック要求情報であるかを判定し(ステップS103)、ロック要求情報である場合には、ロック要求情報を第2ECU20に送信し(ステップS104)次のステップに進む。
第1時間変化情報生成部112では、CGW4から受信した経時的に変化する情報に乱数を付加して時間変化情報を生成し、生成した時間変化情報を第2ECU20の第2時間変化情報生成部211に出力して共有する(ステップS105)。 When the authentication processing unit 111 authenticates the sender, it determines whether the operation request information is lock request information (step S103), and if it is lock request information, it transmits the lock request information to the second ECU 20 (step S104) and proceeds to the next step.
The first time change information generation unit 112 generates time change information by adding a random number to the time-changing information received from the CGW 4, and outputs the generated time change information to the second time change information generation unit 211 of the second ECU 20 for sharing (step S105).

続いて、第1暗号化情報生成部113により、第1時間変化情報生成部112において生成された時間変化情報と、記憶部14に記憶された暗号鍵とを用いて暗号化情報を生成する(ステップS106)。第1暗号化情報生成部113によって生成された暗号化情報は記憶部14に記憶され(ステップS107)、その後、第1ECU10と第2ECU20との通信が停止する(ステップS108)。なお、このとき記憶された暗号化情報は、次にアンロック要求情報を受信した場合に、アンロック要求情報を暗号化するために用いられる。 Then, the first encryption information generation unit 113 generates encryption information using the time change information generated by the first time change information generation unit 112 and the encryption key stored in the storage unit 14 (step S106). The encryption information generated by the first encryption information generation unit 113 is stored in the storage unit 14 (step S107), and then communication between the first ECU 10 and the second ECU 20 is stopped (step S108). The encryption information stored at this time is used to encrypt the unlock request information the next time unlock request information is received.

図5に示すように、ドアのロック時において、第2ECU20では、第2時間変化情報生成部211が、CGW4から、経時的に変化する情報として、例えば、時刻と関連付けられたタイムスタンプ情報を所定の周期で取得し(ステップS201)、第1ECU10からロック要求情報を受信した場合に次のステップに進む(ステップS202)。
第2時間変化情報生成部211では、CGW4から受信した経時的に変化する情報に乱数を付加して時間変化情報を生成し、生成した時間変化情報を第1ECU10の第1時間変化情報生成部112に出力して共有する(ステップS203)。 As shown in FIG. 5, when the door is locked, in the second ECU 20, the second time-change information generating unit 211 acquires information that changes over time, such as time stamp information associated with the time, from the CGW 4 at a predetermined period (step S201), and proceeds to the next step when lock request information is received from the first ECU 10 (step S202).
The second time change information generation unit 211 generates time change information by adding a random number to the time-changing information received from the CGW 4, and outputs the generated time change information to the first time change information generation unit 112 of the first ECU 10 for sharing (step S203).

続いて、第2暗号化情報生成部212により、第2時間変化情報生成部211において生成された時間変化情報と、記憶部24に記憶された暗号鍵とを用いて暗号化情報を生成する(ステップS204)。第2暗号化情報生成部212によって生成された暗号化情報は記憶部24に記憶され(ステップS205)、その後、第1ECU10と第2ECU20との通信が停止する(ステップS206)。なお、このとき記憶された暗号化情報は、次に第1ECUから暗号化データを受信した場合に、これを復号化するために用いられる。 Then, the second encryption information generating unit 212 generates encryption information using the time change information generated by the second time change information generating unit 211 and the encryption key stored in the storage unit 24 (step S204). The encryption information generated by the second encryption information generating unit 212 is stored in the storage unit 24 (step S205), and then communication between the first ECU 10 and the second ECU 20 is stopped (step S206). The encryption information stored at this time is used to decrypt the next encrypted data received from the first ECU.

続いて、車両100のドアのアンロック時の第1ECU10及び第2ECU20における処理について説明する。図6はドアのアンロック時における第1ECU10の処理の流れを示し、図7はドアのアンロック時における第2ECU20の処理の流れを示している。 Next, the processing in the first ECU 10 and the second ECU 20 when the doors of the vehicle 100 are unlocked will be described. Figure 6 shows the flow of processing in the first ECU 10 when the doors are unlocked, and Figure 7 shows the flow of processing in the second ECU 20 when the doors are unlocked.

図6に示すように、ドアのアンロック時において、動作要求受信部30は、無線通信又は有線通信により受信したユーザによる携帯機器やスマートキー、ドアハンドルタッチセンサ等における操作の有無を認識し、これをウェイクアップ要求情報として第1ECU10に出力することで、スリープ状態にあった第1ECU10をウェイクアップさせる(ステップS301)。同時に、第1ECU10からウェイクアップ要求情報を第2ECU20に出力し、これにより第1ECU10と第2ECU20との通信が再開する。 As shown in FIG. 6, when the door is unlocked, the operation request receiving unit 30 recognizes whether or not the user has operated a mobile device, a smart key, a door handle touch sensor, etc., received through wireless or wired communication, and outputs this as wake-up request information to the first ECU 10, thereby waking up the first ECU 10 that was in a sleep state (step S301). At the same time, the first ECU 10 outputs wake-up request information to the second ECU 20, which resumes communication between the first ECU 10 and the second ECU 20.

続いて、認証処理部111において動作要求受信部30から送信された動作要求情報の送信元の認証を行う(ステップS302)。認証処理部111によって、送信元が認証されると、動作要求情報がアンロック要求情報であるかを判定し(ステップS303)、アンロック要求情報である場合には、CRC付加部114において、アンロック要求情報に対して、誤りを検出するためのチェックデータとしてCRCを算出し、付加する(ステップS304)。 Then, the authentication processing unit 111 authenticates the sender of the operation request information sent from the operation request receiving unit 30 (step S302). When the sender is authenticated by the authentication processing unit 111, it determines whether the operation request information is unlock request information (step S303), and if it is unlock request information, the CRC adding unit 114 calculates and adds a CRC to the unlock request information as check data for detecting errors (step S304).

アンロック要求情報にCRCが付加されると、暗号化処理部115が記憶部14に記憶した暗号化情報を取得し(ステップS305)、この暗号化情報とCRCが付加されたアンロック要求情報とのXOR演算を行い、暗号化データを生成する(ステップS306)。暗号化処理部115は、生成された暗号化データを第2ECU20に送信する(ステップS307)。 When the CRC is added to the unlock request information, the encryption processing unit 115 obtains the encrypted information stored in the memory unit 14 (step S305), and performs an XOR operation between this encrypted information and the unlock request information to which the CRC has been added, to generate encrypted data (step S306). The encryption processing unit 115 transmits the generated encrypted data to the second ECU 20 (step S307).

図7に示すように、ドアのアンロック時において、第1ECU10からウェイクアップ要求情報を受信すると、第1ECU10と第2ECU20との通信が再開され、スリープ状態にあった第2ECU20をウェイクアップする(ステップS401)。第2ECU20がウェイクアップすると、第2ECU20では、第1ECU10から暗号化データを受信したか判定し(ステップS402)、暗号化データを受信している場合には、復号化処理部213において復号化処理を行う(ステップS403)。 As shown in FIG. 7, when the door is unlocked and wake-up request information is received from the first ECU 10, communication between the first ECU 10 and the second ECU 20 is resumed, and the second ECU 20, which was in a sleep state, is woken up (step S401). When the second ECU 20 wakes up, the second ECU 20 determines whether encrypted data has been received from the first ECU 10 (step S402), and if encrypted data has been received, the decryption processing unit 213 performs a decryption process (step S403).

復号化処理部213では、暗号化データを第2暗号化情報生成部212により生成されて記憶部24に記憶された暗号化情報を用い、XOR演算することで復号化する(ステップS403)。復号化されたデータは、CRC検証部214により誤りを検出するためのチェックデータとしてCRC´を算出され、復号化されたデータに既に付加されていたCRCと比較することで復号化されたデータについて、改竄の有無が検証される(ステップS404)。第2ECU20では、CRC検証部214による検証の結果、復号化されたアンロック要求情報に改竄がない場合に、ドアロックアクチュエータ40を制御して、車両100のドアロックを解除する。 The decryption processing unit 213 decrypts the encrypted data by performing an XOR operation using the encrypted information generated by the second encryption information generation unit 212 and stored in the storage unit 24 (step S403). The CRC verification unit 214 calculates a CRC' from the decrypted data as check data for detecting errors, and verifies whether the decrypted data has been tampered with by comparing it with the CRC already added to the decrypted data (step S404). If the verification by the CRC verification unit 214 shows that the decrypted unlock request information has not been tampered with, the second ECU 20 controls the door lock actuator 40 to unlock the doors of the vehicle 100.

本実施形態に係る車両用制御装置によれば、第1ECU10と第2ECU20とがそれぞれ共通する暗号鍵を保持し、かつ、経時的に変化する時間変化情報を互いに共有している。そして、ドアのロック時に、第1ECU10と第2ECU20とが、予めアンロック時に必要となる暗号化情報を共通の暗号鍵、及び、互いに共有している時間変化情報とを用いて生成して記憶し、その後、第1ECU10と第2ECU20との通信を停止する。 In the vehicle control device according to this embodiment, the first ECU 10 and the second ECU 20 each hold a common encryption key and share time-varying information that changes over time. When the door is locked, the first ECU 10 and the second ECU 20 generate and store encryption information required for unlocking in advance using the common encryption key and the time-varying information that they share, and then stop communication between the first ECU 10 and the second ECU 20.

このように第1ECU10と第2ECU20とで共通の情報を用いて暗号化情報を生成しているので、暗号化情報を第1ECUと第2ECUとの間で送受信する必要がなく、第1ECU10と第2ECU20とは暗号化情報を生成して記憶した後に互いの通信を停止するため、暗号化情報の漏洩を防止することができる。また、時間変化情報を用いて暗号化情報を生成しているので、暗号化情報は生成される毎に異なる情報となるため、暗号化情報を用いて暗号化されたデータの安全性が向上する。 In this way, since the encrypted information is generated using information common to the first ECU 10 and the second ECU 20, there is no need to transmit and receive the encrypted information between the first ECU 10 and the second ECU 20, and since the first ECU 10 and the second ECU 20 stop communicating with each other after generating and storing the encrypted information, leakage of the encrypted information can be prevented. In addition, since the encrypted information is generated using time-varying information, the encrypted information is different each time it is generated, improving the security of data encrypted using the encryption information.

また、ドアのアンロック時には、第1ECU10において、アンロック要求情報の取得前に事前に記憶した暗号化情報を用いてアンロック要求情報を暗号化して暗号化データを生成するので、アンロック時に暗号化情報を生成したり送受信したりする必要がない。また、暗号化処理に際して、アンロック要求情報に誤りを検出するためのチェックデータとしてCRCを付加することで改竄の有無の検証を容易にし、かつ、アンロック要求情報と暗号化情報とをXOR演算するだけで暗号化データを生成するので、簡易な演算で暗号化データを生成することができる。 When unlocking the doors, the first ECU 10 encrypts the unlock request information using encryption information stored in advance before acquiring the unlock request information to generate encrypted data, so there is no need to generate or transmit/receive encrypted information when unlocking. During the encryption process, a CRC is added to the unlock request information as check data for detecting errors, making it easy to verify whether or not the information has been tampered with, and encrypted data is generated by simply performing an XOR operation on the unlock request information and the encryption information, so encrypted data can be generated with a simple operation.

第2ECU20では、暗号化データの復号に際して、事前に記憶した暗号化情報を用いてXOR演算するだけの簡易な演算で復号化したアンロック要求情報を得ることができる。さらに、復号化されたアンロック要求情報に対してCRC´を算出して比較することで復号化したアンロック要求情報の改ざんの有無を容易に検証することができる。 When the second ECU 20 decrypts encrypted data, it is possible to obtain the decrypted unlock request information by a simple calculation of only performing an XOR operation using pre-stored encryption information. Furthermore, by calculating and comparing a CRC' for the decrypted unlock request information, it is possible to easily verify whether the decrypted unlock request information has been tampered with.

このように、ユーザからアンロック要求情報を受信した場合に、暗号化及び復号化に要する時間を事前に生成した暗号化情報を用いること、及び、簡易な演算でアンロック要求情報の暗号化及び復号化を行うことができるため、ユーザによるアンロック要求に係る操作からドアロックが実際にアンロックされるまでに要する時間を短縮することができる。 In this way, when unlock request information is received from a user, the time required for encryption and decryption is calculated using encryption information that has been generated in advance, and the encryption and decryption of the unlock request information can be performed using simple calculations, thereby shortening the time required from the user's operation related to the unlock request until the door is actually unlocked.

以上述べたように、本実施形態に係る車両用制御装置によれば、車載ネットワークにおいて送受信されるデータの検証を行うことにより不正なデータの侵入によるなりすまし攻撃を防止すると共に、制御対象に対する動作要求から動作完了までの応答性を向上させることができる。特に、動作要求が、ドアの解錠要求の場合に、車載ネットワークに対する不正なデータの侵入によるなりすまし攻撃を防止すると共に、ドアの解錠要求から実際に解錠されるまでの応答性を向上させることができる。 As described above, the vehicle control device according to this embodiment can verify data transmitted and received over the in-vehicle network to prevent spoofing attacks caused by the intrusion of unauthorized data, and can improve responsiveness from an operation request to a controlled object until the operation is completed. In particular, when the operation request is a request to unlock the doors, it can prevent spoofing attacks caused by the intrusion of unauthorized data into the in-vehicle network, and can improve responsiveness from a request to unlock the doors until the doors are actually unlocked.

上述した本実施形態では、ドアロック及びドアアンロックに係る動作要求に対するデータの不正侵入を防止する例について説明したが、第1制御部及び第2制御部にその他のECUを適用することで、車載ネットワークにおいて送受信されるデータの検証を行うことにより種々の不正なデータの侵入によるなりすまし攻撃を防止することができる。 In the above-described embodiment, an example of preventing unauthorized intrusion of data in response to operation requests related to door locking and unlocking has been described, but by applying other ECUs to the first control unit and the second control unit, it is possible to prevent spoofing attacks due to the intrusion of various unauthorized data by verifying data transmitted and received in the in-vehicle network.

例えば、第1制御部にイモビライザユニットを適用し、第2制御部にパワーユニットECU(エンジンECU,ハイブリッドECU、EV ECU)を適用することで、エンジン始動時の不正なデータの侵入によるなりすまし攻撃を防止し、不正なエンジン始動や駆動装置の起動といった、意図しない走行可能状態への移行を防止することができる。 For example, by applying an immobilizer unit to the first control unit and a power unit ECU (engine ECU, hybrid ECU, EV ECU) to the second control unit, it is possible to prevent spoofing attacks by intrusion of unauthorized data when starting the engine, and to prevent unintended transition to a drivable state, such as unauthorized engine start or drive unit activation.

また、イモビライザユニットを構成する複数のECUのうち、例えば、第1制御部にメインユニットを適用し、第2制御部にサブユニットを適用することで、イモビライザユニットを構成するECU間の不正なデータによるなりすまし攻撃を防ぎ、なりすまし攻撃による盗難リスクを低減することができる。 Furthermore, by applying a main unit to the first control unit and a sub-unit to the second control unit among the multiple ECUs that make up the immobilizer unit, it is possible to prevent spoofing attacks using unauthorized data between the ECUs that make up the immobilizer unit and reduce the risk of theft due to spoofing attacks.

このように、本発明に係る車両用制御装置では、ドアロック及びドアアンロックに対する動作や、エンジン始動に係る動作等の、スリープ状態を解除して通信を再開させた後に迅速な応答が求められる動作要求に対して、車載ネットワークにおいて送受信されるデータの検証を行うことにより不正なデータの侵入によるなりすまし攻撃を防止すると共に、制御対象に対する動作要求から動作完了までの応答性を向上させることができる。 In this way, the vehicle control device of the present invention can prevent spoofing attacks by intrusion of unauthorized data by verifying data transmitted and received on the in-vehicle network for operation requests that require a quick response after waking up from a sleep state and resuming communication, such as operations for door locking and unlocking and operations related to starting the engine, and can improve responsiveness from the operation request to the controlled object until the operation is completed.

本発明の実施の形態について図面を参照して詳述してきたが、具体的な構成はこれらの実施の形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計の変更等があっても本発明に含まれる。また、上述の各実施の形態は、その目的及び構成等に特に矛盾や問題がない限り、互いの技術を流用して組み合わせることが可能である。 Although the embodiments of the present invention have been described in detail with reference to the drawings, the specific configuration is not limited to these embodiments, and the present invention includes design changes and the like that do not deviate from the gist of the present invention. In addition, the above-mentioned embodiments can be combined by reusing each other's technologies, as long as there are no particular contradictions or problems in the purpose and configuration, etc.

1:車両用制御装置、3:車載ネットワーク、4:CGW、10:第1ECU、20:第2ECU、11:CPU、12:ROM、13:RAM、14:記憶部、21:CPU、22:ROM、23:RAM、24:記憶部、30:受信部、40:ドアロックアクチュエータ、100:車両、111:認証処理部、112:第1時間変化情報生成部、113:第1暗号化情報生成部、114:CRC付加部、115:暗号化処理部、211:第2時間変化情報生成部、212:第2暗号化情報生成部、213:復号化処理部、214:CRC検証部 1: Vehicle control device, 3: In-vehicle network, 4: CGW, 10: First ECU, 20: Second ECU, 11: CPU, 12: ROM, 13: RAM, 14: Storage unit, 21: CPU, 22: ROM, 23: RAM, 24: Storage unit, 30: Receiving unit, 40: Door lock actuator, 100: Vehicle, 111: Authentication processing unit, 112: First time-varying information generating unit, 113: First encryption information generating unit, 114: CRC adding unit, 115: Encryption processing unit, 211: Second time-varying information generating unit, 212: Second encryption information generating unit, 213: Decryption processing unit, 214: CRC verification unit

Claims (5)

車両に搭載された制御対象を制御する複数の制御部が相互に通信可能に接続された車両用制御装置であって、
前記制御対象に対する動作要求情報の送信元を認証し、認証された前記送信元からの前記動作要求情報を送信する第1制御部と、
前記第1制御部から取得した前記動作要求情報に基づいて前記制御対象を制御する第2制御部と、を含み、
前記第1制御部及び前記第2制御部は、互いに共通する暗号鍵を保持し、前記暗号鍵を用いて前記動作要求情報を暗号化又は復号化するための暗号化情報をそれぞれ生成した後に、前記第1制御部と前記第2制御部との間の通信を停止し、
前記第1制御部は、前記第2制御部との通信再開後に、前記暗号化情報を用いて前記動作要求情報を暗号化した暗号化データを生成して前記第2制御部に送信し、
前記第2制御部は、前記暗号化情報を用いて前記暗号化データを復号化して前記動作要求情報を取得すると共に、前記動作要求情報に対する改竄の有無を検証する、車両用制御装置。 A vehicle control device in which a plurality of control units that control control objects mounted on a vehicle are connected to each other so as to be able to communicate with each other,
a first control unit that authenticates a transmission source of an operation request information for the control target and transmits the operation request information from the authenticated transmission source;
a second control unit that controls the control target based on the operation request information acquired from the first control unit,
The first control unit and the second control unit hold a common encryption key, and after generating encryption information for encrypting or decrypting the operation request information using the encryption key, communication between the first control unit and the second control unit is stopped;
the first control unit, after resuming communication with the second control unit, generates encrypted data by encrypting the operation request information using the encryption information, and transmits the encrypted data to the second control unit;
The second control unit decrypts the encrypted data using the encryption information to obtain the operation request information, and verifies whether the operation request information has been tampered with. 前記第1制御部は、前記動作要求情報に誤り検出符号を付加し、誤り検出符号が付加された前記動作要求情報を暗号化して暗号化データを生成する、請求項1記載の車両用制御装置。 The vehicle control device according to claim 1, wherein the first control unit adds an error detection code to the operation request information, and encrypts the operation request information to which the error detection code has been added to generate encrypted data. 前記第1制御部及び前記第2制御部は、経時的に変化する時間変化情報を互いに共有し、前記時間変化情報と前記暗号鍵とを用いて前記暗号化情報を生成する、請求項1記載の車両用制御装置。 The vehicle control device according to claim 1, wherein the first control unit and the second control unit share time-varying information that changes over time with each other, and generate the encrypted information using the time-varying information and the encryption key. 前記第1制御部は、排他的論理和による演算によって前記暗号化データを生成し、
前記第2制御部は、排他的論理和による演算によって前記暗号化データを復号化する、請求項1記載の車両用制御装置。 the first control unit generates the encrypted data by an exclusive OR operation;
The vehicle control device according to claim 1 , wherein the second control unit decrypts the encrypted data by an exclusive OR operation. ドアロックアクチュエータに対するロック要求情報又はアンロック要求情報の送信元を認証し、認証された送信元からのロック要求情報又はアンロック要求情報を送信する第1制御部と、
前記第1制御部から受信したロック要求情報又はアンロック要求情報に基づいて前記ドアロックアクチュエータを制御する第2制御部と、を含み、
前記第1制御部及び前記第2制御部は、互いに共通する暗号鍵を保持し、ロック要求情報の受信した場合に、前記暗号鍵を用いてアンロック要求情報を暗号化又は復号化するための暗号化情報をそれぞれ生成し、前記暗号化情報の生成後に前記第1制御部と前記第2制御部との間の通信を停止し、
前記第1制御部は、前記第2制御部との通信再開後、認証された前記送信元からアンロック要求情報を受信した場合に、前記暗号化情報を用いてアンロック要求情報を暗号化した暗号化データを生成して前記第2制御部に送信し、
前記第2制御部は、前記暗号化情報を用いて前記暗号化データを復号化してアンロック要求情報を取得すると共に、取得したアンロック要求情報に対する改竄の有無を検証する、車両用制御装置。
 a first control unit that authenticates a transmission source of lock request information or unlock request information for the door lock actuator and transmits the lock request information or the unlock request information from the authenticated transmission source;
a second control unit that controls the door lock actuator based on lock request information or unlock request information received from the first control unit,
the first control unit and the second control unit hold a common encryption key, and when lock request information is received, generate encryption information for encrypting or decrypting unlock request information using the encryption key, and stop communication between the first control unit and the second control unit after generating the encryption information;
when the first control unit receives unlock request information from the authenticated transmission source after resuming communication with the second control unit, the first control unit generates encrypted data by encrypting the unlock request information using the encryption information and transmits the encrypted data to the second control unit;
The second control unit decrypts the encrypted data using the encryption information to obtain unlock request information, and verifies whether the obtained unlock request information has been tampered with.
JP2022162259A 2022-10-07 Vehicle control device Pending JP2024055384A (en)

Publications (1)

Publication Number Publication Date
JP2024055384A true JP2024055384A (en) 2024-04-18

Family

ID=

Similar Documents

Publication Publication Date Title
US20240106630A1 (en) Id-based control unit-key fob pairing
US9218700B2 (en) Method and system for secure and authorized communication between a vehicle and wireless communication devices or key fobs
CN108698563B (en) Secure smartphone-based access and start authorization system for vehicles
JP5257814B2 (en) Secret key registration system and secret key registration method
Woo et al. A practical wireless attack on the connected car and security protocol for in-vehicle CAN
CN102215221B (en) Methods and systems for secure remote wake, boot, and login to a computer from a mobile device
US5144667A (en) Method of secure remote access
EP2663018B1 (en) Electronic key registration system
CN102546155B (en) On-demand safe key generates method and system
US9577997B2 (en) Authentication system and authentication method
US20140075186A1 (en) Multiple Access Key Fob
RU2462827C2 (en) Data transfer method and tachograph system
Wang et al. NOTSA: Novel OBU with three-level security architecture for internet of vehicles
US20180270052A1 (en) Cryptographic key distribution
US20140016781A1 (en) Motor vehicle control unit having a cryptographic device
WO2018119623A1 (en) Method of unlocking electronic lock device, and client and electronic lock device thereof
CN104442704B (en) VATS Vehicle Anti-Theft System and method
JP5973223B2 (en) Electronic key registration method
CN106912046A (en) One-pass key card and vehicle pairs
US20190347882A1 (en) Secured communication in passive entry passive start (peps) systems
JP2005343430A (en) Vehicle control system
US9893886B2 (en) Communication device
JP5189432B2 (en) Cryptographic data communication system
CN111508110A (en) Method and device for realizing remote locking of vehicle
JP2024055384A (en) Vehicle control device