JP2024506539A - アクチュエータコマンドの真正性を検証するための方法 - Google Patents
アクチュエータコマンドの真正性を検証するための方法 Download PDFInfo
- Publication number
- JP2024506539A JP2024506539A JP2023546024A JP2023546024A JP2024506539A JP 2024506539 A JP2024506539 A JP 2024506539A JP 2023546024 A JP2023546024 A JP 2023546024A JP 2023546024 A JP2023546024 A JP 2023546024A JP 2024506539 A JP2024506539 A JP 2024506539A
- Authority
- JP
- Japan
- Prior art keywords
- command
- operating system
- touch
- execution environment
- trusted execution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 238000004891 communication Methods 0.000 claims abstract description 15
- 230000006870 function Effects 0.000 claims description 20
- 230000003993 interaction Effects 0.000 claims description 11
- 230000004913 activation Effects 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 10
- 230000009471 action Effects 0.000 claims description 8
- 238000010079 rubber tapping Methods 0.000 claims description 5
- 238000012795 verification Methods 0.000 claims description 4
- 238000001514 detection method Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 abstract 1
- 102100034112 Alkyldihydroxyacetonephosphate synthase, peroxisomal Human genes 0.000 description 5
- 101000799143 Homo sapiens Alkyldihydroxyacetonephosphate synthase, peroxisomal Proteins 0.000 description 5
- 238000000848 angular dependent Auger electron spectroscopy Methods 0.000 description 5
- 230000001276 controlling effect Effects 0.000 description 4
- 230000000875 corresponding effect Effects 0.000 description 4
- 101100524346 Xenopus laevis req-a gene Proteins 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 2
- 238000010438 heat treatment Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000004378 air conditioning Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000009423 ventilation Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/83—Protecting input, output or interconnection devices input devices, e.g. keyboards, mice or controllers thereof
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/86—Secure or tamper-resistant housings
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/01—Input arrangements or combined input and output arrangements for interaction between user and computer
- G06F3/03—Arrangements for converting the position or the displacement of a member into a coded form
- G06F3/041—Digitisers, e.g. for touch screens or touch pads, characterised by the transducing means
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Human Computer Interaction (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- User Interface Of Digital Computer (AREA)
- Lock And Its Accessories (AREA)
- Collating Specific Patterns (AREA)
Abstract
本発明は、電子制御ユニットによって制御されることが可能なアクチュエータからのコマンドの真正性を検証するための方法であって、電子制御ユニットがマルチメディアシステムに接続され、マルチメディアシステムは、ユーザコマンドを受信し、アクチュエータコマンドに関係する情報を表示するために構成されたタッチセンシティブディスプレイと、外部通信デバイスがマルチメディアシステムのタッチセンシティブディスプレイ上にリモートで表示されることを可能にするように構成されたオペレーティングシステムと、オペレーティングシステムのセキュリティレベルよりも高いレベルのセキュリティを与えるように構成された認証されたセキュアな環境であって、タッチセンシティブディスプレイ上のユーザコマンドを検出するように構成されたサポートコントローラを備える、認証されたセキュアな環境とを含み、方法は、a)認証されたセキュアな環境によってユーザコマンドをサインオフすることであって、ユーザコマンドが、ディスプレイの少なくとも1つのエリアの物理的アクティブ化に対応する、サインオフすることと、b)オペレーティングシステムによって、サインオフされたコマンドを電子制御ユニットに送信することと、c)電子制御ユニットによってサインオフを検証することと、d)アクチュエータによってユーザコマンドを実行することとを含む、コマンドの真正性を検証するための方法に関する。【選択図】図3
Description
本発明は、アクチュエータのコマンドの真正性を検証するための方法に関し、また、アクチュエータに命令するためのシステムに関する。本発明は、特に自動車車両の分野に適応されるが、他の分野、特にホームオートメーションシステムにも適用され得る。
「インフォテインメント(infotainment)」は、自動車車両のための主要なセールスポイントになっている。ユーザは、車両のダッシュボードから、様々なマルチメディアコンテンツまたは様々な電気通信またはナビゲーションサービスにアクセスすることが可能であることを望む。頭字語「IVI」(車両内(In-Vehicle)インフォテインメント)によって知られているマルチメディアシステムが、したがって、車両に装備するために開発されてきた。
また、ダッシュボード上の外部通信デバイス、たとえばスマートフォンまたはタブレットのコンテンツへのアクセスをユーザに与えるためのソリューションが提供されている。ダッシュボードは、その場合、ユーザのアプリケーションがインターフェースの変化によって遠ざけられないように、彼/彼女がそこから通常のインターフェースを用いてそれらのアプリケーションにアクセスすることができるリモートスクリーンである。
ユーザは、したがって、ダッシュボードのタッチスクリーン上の彼/彼女の外部通信デバイス(たとえばスマートフォン)のコンテンツにアクセスし、車両のいくつかの部分、たとえば、ドライバ支援システム、快適さ(座席、暖房)、自動ギアボックスの構成、音量などを制御し得る。
マルチメディアシステムは、外部通信デバイスのディスプレイがマルチメディアシステムのタッチセンシティブディスプレイ上に伝達されることを可能にする一体型オペレーティングシステムをさらに備える。Android AutoまたはCarPlayはそのようなオペレーティングシステムの例である。
しかしながら、そのような接続性は攻撃面の増加につながる。実際、いくつかのオペレーティングシステムのように、オープンシステムを介して、マルチメディアシステムを外部通信ネットワーク、たとえばインターネットに接続することにより、通信システムはサイバー攻撃を受けやすくなり得る。
さらに、IVIのOSオペレーティングシステムなどの「オープン」システムの使用はセキュリティ問題を引き起こし得る。たとえば、いくつかの製造業者は、Androidストアを通したサードパーティアプリケーションのインストールを可能にするAndroidオペレーティングシステムを使用する。これらのアプリケーションは潜在的な脅威を表す。また、これらのオープンシステムは、通常、一般に、専用の制御ユニットを介して車両自体によって与えられる、インターネットへの接続を必要とする。
しかしながら、マルチメディアシステムの攻撃の場合、車両の制御に関係する機能などの最も重要な機能を含む、利用可能な機能のすべてが攻撃者によって使用され得る。
たとえばバンキングアプリケーションのために使用される、スマートフォンに入力されるデータの機密性を保証するためのソリューションが存在する。オペレーティングシステムはセキュアな部分を含む。アプリケーションはオペレーティングシステムによって実行される。
ユーザがパスワードを入力しなければならない場合、セキュアな部分はパスワードを引き継ぎ、暗号化する。認証手順の終わりに、セキュアな部分は、暗号化されたパスワードをオペレーティングシステムに送信する。したがって、オペレーティングシステムに対するサイバー攻撃の場合、攻撃者はパスワードを所有することができない。
現在スマートフォンに一体化されているセキュリティシステムはまた、攻撃者が、ディスプレイの分析と相関させられた、スクリーンタッピング分析によるシークレットコードを推測することを防ぐ。
たとえば特許出願の米国特許出願公開第2005/0275661(A1)号または米国特許出願公開第2016/0255073(A1)号に開示されている、従来技術の知られているソリューションは、したがって、データ交換の機密性が保証されることを可能にする。これらのソリューションは、しかしながら、データ交換の真正性(または完全性)を保証することを目的としていない。
しかしながら、自動車またはホームオートメーション分野などのセンシティブな分野に適用されるマルチメディアシステムでは、コマンドが実際にユーザ対話にリンクされ、ユーザ対話なしに動作しているコードにはリンクされないことを保証することが重要である。
したがって、マルチメディアシステムからのコマンドが実際にユーザによって「物理的に」開始されることと、オペレーティングシステムが損なわれた場合に、オペレーティングシステムがそのような行為を開始することが可能でないこととを保証することが可能な方法およびデバイスが必要である。
本発明の1つの主題は、したがって、電子制御ユニットによって制御されることが可能なアクチュエータのコマンドの真正性を検証するための方法であって、電子制御ユニットがマルチメディアシステムに接続され、マルチメディアシステムは、
ユーザコマンドを受信し、アクチュエータのコマンドに関係する情報を表示するために構成されたタッチセンシティブディスプレイと、
外部通信デバイスからの表示をマルチメディアシステムのタッチセンシティブディスプレイ上に伝達するために構成されたオペレーティングシステムと、
オペレーティングシステムのセキュリティレベルよりも高いレベルのセキュリティを与えるように構成された信頼できる実行環境であって、タッチセンシティブディスプレイ上のユーザコマンドを検出するように構成されたタップコントローラを備える、信頼できる実行環境と
を含み、
本方法は、
a)信頼できる実行環境によるユーザコマンドの署名であって、前記ユーザコマンドが、ディスプレイの少なくとも1つのエリアの物理的なアクティブ化に対応する、署名と、
b)オペレーティングシステムによる電子制御ユニットへの署名されたコマンドの送信と、
c)電子制御ユニットによる署名の検証と、
d)アクチュエータによるユーザコマンドの実行と
を含む方法である。
ユーザコマンドを受信し、アクチュエータのコマンドに関係する情報を表示するために構成されたタッチセンシティブディスプレイと、
外部通信デバイスからの表示をマルチメディアシステムのタッチセンシティブディスプレイ上に伝達するために構成されたオペレーティングシステムと、
オペレーティングシステムのセキュリティレベルよりも高いレベルのセキュリティを与えるように構成された信頼できる実行環境であって、タッチセンシティブディスプレイ上のユーザコマンドを検出するように構成されたタップコントローラを備える、信頼できる実行環境と
を含み、
本方法は、
a)信頼できる実行環境によるユーザコマンドの署名であって、前記ユーザコマンドが、ディスプレイの少なくとも1つのエリアの物理的なアクティブ化に対応する、署名と、
b)オペレーティングシステムによる電子制御ユニットへの署名されたコマンドの送信と、
c)電子制御ユニットによる署名の検証と、
d)アクチュエータによるユーザコマンドの実行と
を含む方法である。
有利には、本方法は、
a’)信頼できる実行環境によるユーザコマンドの検出と、
a’’)信頼できる実行環境からオペレーティングシステムへのコマンドの再送信と、
a’’’)ユーザコマンドに応じたタッチセンシティブディスプレイ上の表示の更新と
をあらかじめ含む。
a’)信頼できる実行環境によるユーザコマンドの検出と、
a’’)信頼できる実行環境からオペレーティングシステムへのコマンドの再送信と、
a’’’)ユーザコマンドに応じたタッチセンシティブディスプレイ上の表示の更新と
をあらかじめ含む。
有利には、信頼できる実行環境は、アクチュエータのコマンドに関係するセキュアな機能を制御し、タッチセンシティブディスプレイ上で実行されたユーザコマンドに日付スタンプを付けるために構成された認証構成要素を含み、
コマンド署名ステップa)は、
i)認証構成要素による、オペレーティングシステムによって送られた車両機能要求の受信と、
ii)車両機能要求の受信の時間とタッチセンサセンシティブディスプレイ上のユーザコマンドの時間との間の期間が所定の値よりも小さい場合の、コマンドの署名と
を含む。
コマンド署名ステップa)は、
i)認証構成要素による、オペレーティングシステムによって送られた車両機能要求の受信と、
ii)車両機能要求の受信の時間とタッチセンサセンシティブディスプレイ上のユーザコマンドの時間との間の期間が所定の値よりも小さい場合の、コマンドの署名と
を含む。
有利には、信頼できる実行環境は、アクチュエータのコマンドに関係するセキュアな機能を制御するために構成された認証構成要素を備え、
コマンド署名ステップa)は、車両対話メニューを表示するために、認証構成要素が、ディスプレイのエリアのアクティブ化に応答して、ユーザコマンドに関係するセキュアなアクション開始フレームを事前に検出することを含み、
認証構成要素が、署名されたコマンドのオペレーティングシステムによる送信のためのステップb)に応答して、ユーザコマンドに関係するセキュアなアクション終了フレームを生成する。
コマンド署名ステップa)は、車両対話メニューを表示するために、認証構成要素が、ディスプレイのエリアのアクティブ化に応答して、ユーザコマンドに関係するセキュアなアクション開始フレームを事前に検出することを含み、
認証構成要素が、署名されたコマンドのオペレーティングシステムによる送信のためのステップb)に応答して、ユーザコマンドに関係するセキュアなアクション終了フレームを生成する。
有利には、オペレーティングシステムは、オペレーティングシステムに固有のコンテンツのスクリーングラブ(grab)を信頼できる実行環境に定期的に送り、信頼できる実行環境は、オペレーティングシステムから受信されたスクリーングラブ上に車両対話メニューを重ねる。
有利には、アクチュエータは、自動車車両の自動ギアボックスの構成または自動車車両のドライバ支援機能の構成を制御するために、自動車車両の快適さを制御するためのコマンドを実行するように構成される。
有利には、アクチュエータは、ホームオートメーションシステムからのコマンドを実行するために構成される。
有利には、外部通信デバイスはスマートフォンまたはタブレットである。
有利には、タッチセンシティブディスプレイの少なくとも1つのエリアの物理的なアクティブ化はタッチセンシティブディスプレイのエリアのユーザによるタッピングを含む。
本発明はまた、電子制御ユニットによって制御されることが可能なアクチュエータに命令するためのシステムであって、電子制御ユニットがマルチメディアシステムに接続され、マルチメディアシステムは、
ユーザコマンドを受信し、アクチュエータのコマンドに関係する情報を表示するように構成されたタッチセンシティブディスプレイと、
外部通信デバイスからの表示をマルチメディアシステムのタッチセンシティブディスプレイ上に伝達するために構成されたオペレーティングシステムと、
オペレーティングシステムよりも高いレベルのセキュリティを提供するように構成された信頼できる実行環境であって、タッチセンシティブディスプレイ上のユーザコマンドを検出するために構成されたタップコントローラを含む、信頼できる実行環境と
を含み、
システムは、さらに、上述の方法を実装するように構成される、システムに関する。
ユーザコマンドを受信し、アクチュエータのコマンドに関係する情報を表示するように構成されたタッチセンシティブディスプレイと、
外部通信デバイスからの表示をマルチメディアシステムのタッチセンシティブディスプレイ上に伝達するために構成されたオペレーティングシステムと、
オペレーティングシステムよりも高いレベルのセキュリティを提供するように構成された信頼できる実行環境であって、タッチセンシティブディスプレイ上のユーザコマンドを検出するために構成されたタップコントローラを含む、信頼できる実行環境と
を含み、
システムは、さらに、上述の方法を実装するように構成される、システムに関する。
本発明の他の特徴、詳細および利点は、例として与えられる添付の図面を参照しながら提示される説明を読めば明らかになろう。
図1は、本発明による方法を実装するためのシステムの全体的なアーキテクチャを示す。
マルチメディアシステムIVIは、画像、ビデオなど、任意のタイプのマルチメディアコンテンツと一緒に、ナビゲーション情報を表示するために、タッチスクリーンSCを備える。タッチスクリーンSCはまた、ユーザのスマートフォンのディスプレイを再生するために構成される。
マルチメディアシステムIVIは、同時に動作している2つのシステム、すなわち、外部通信デバイスからの表示をマルチメディアシステムのタッチセンシティブディスプレイ上に伝達するために構成されたオペレーティングシステムOSと、信頼できる実行環境TEEと一緒に構成される。
信頼できる実行環境TEEは、いくつかの周辺機器(メモリ、スクリーンなど)を部分的にまたは完全に分離するそれの能力として、オペレーティングシステムのセキュリティレベルよりも高いレベルのセキュリティを与えるために構成される。
本発明によるシステムでは、タップコントローラTC(または「ドライバ」)は、タッチセンシティブディスプレイスクリーンSC上のユーザタップを検出し、タップを信頼できる実行環境TEEによって解釈可能なコマンドに変換する。
センシティブと識別されたユーザインターフェースの部分、すなわち車両との対話を可能にする部分は、信頼できる実行環境TEEに一体化された認証構成要素CAによって実行される。
ユーザが、車両のいくつかのコマンドの制御を要求するようにインターフェースと対話する場合、認証構成要素CAは、次いで、セキュリティ鍵によって署名されるコマンドを生成する。信頼できる実行環境TEEは、信頼できる実行環境TEEの分離能力としてこの鍵の機密性を保証する。
信頼できる実行環境TEEは、コマンドをオペレーティングシステムOSに送信し、オペレーティングシステムOSは、コマンドを電子制御ユニットUC、たとえばオンボードコンピュータ(本体制御モジュールを表すBCM)、またはドライバ支援システム(高度ドライバ支援システムを表すADAS)を管理するシステムに送る。送信は、データリンク、たとえばCANデータバスまたはI2Cバスを介して実行される。
本方法について、図2~図5を参照しながらより詳細に説明する。
本方法は4つのステップを含む。
第1のステップa)において、信頼できる実行環境TEEがユーザコマンドに署名する。
署名は、当業者に知られている暗号方法によって実行される。暗号方法は、(たとえば、AES、DESまたはトリプルDESアルゴリズムを実装する)共有鍵を用いる、対称タイプであるか、あるいは、(たとえば、RSAアルゴリズムを実装する)公開鍵および秘密鍵を使用する非対称タイプであり得る。
第2のステップb)において、オペレーティングシステムOSが、署名されたコマンドを電子制御ユニットUCに送信する。
第3のステップc)において、電子制御ユニットUCが署名を検証する。
第4のステップd)において、ユーザコマンドが実行される。
図3は、本発明による方法の第1の実施形態を示す。
ユーザUSRは、たとえば、車両の機能を制御するか、あるいは車両の機能に固有のメニューをブラウズするために、たとえばスクリーン上をタップすることによって、ディスプレイスクリーンSCの少なくとも1つのエリアの物理的アクティブ化(スクリーンタップ)を実行する。
信頼できる実行環境TEEはユーザコマンドを検出する(ステップa’))。
タップ情報は、スクリーンによってタップコントローラTCに送信され、タップコントローラTCは、コマンドがオペレーティングシステムOSによって解釈可能であるために、スクリーンSCのエリアのアクティブ化を解釈する(ステップa’’))。
さらに、タップコントローラTCは、タップイベントの「コピー」、一般にはタップが適用されたエリアおよびどんな圧力かを認証構成要素CAに送信する。認証構成要素CAは、その後、このイベントをタイムスタンプと共に保存する。
信頼された実行環境TEEは、それの分離およびそれの限られたサイズにより攻撃することが特に困難であり、したがってオペレーティングシステムOSにさらされる攻撃面が低減される。したがって、攻撃者がディスプレイスクリーンSCを実際にタップすることなしに、攻撃者がタップイベントのコピーを送信することを達成することは困難である。
オペレーティングシステムOSのHMI(ヒューマンマシンインターフェース)部分は、ユーザによってアクティブ化されたエリアに応じて表示を更新する。たとえば、HMI部分は、ユーザがメニューをブラウズするか、あるいはコマンドを選択する際に、メニューの表示を徐々に更新する(ステップa’’’))。
オペレーティングシステムOS自体は、タップコントローラTCからのイベントを受信し、それの表示を更新する。信頼できる実行環境TEEは、したがって、仮想タップコントローラとして挙動し、物理タップコントローラから受信されたイベントを中継する。
オペレーティングシステムOSのHMI部分は、ユーザコマンドに対応する、車両の機能へのアクセスの要求REQ1を、オペレーティングシステムOSのHAL(ハードウェアアブストラクションレイヤ)モジュールに送信する。
HALモジュールは、製造業者またはOEM(相手先ブランド製造会社)が実装し得る車両の特性を定義するインターフェースである。HALモジュールは特性メタデータを含んでいる。暖房、換気および空調(HVAC)の場合、特性は、たとえば、ゾーンによる温度の調整、またはゾーンによる再循環の制御であり得る。
HALモジュールは、特性が読取り専用であるのか、書込み専用であるのか、読取りおよび書込みであるのかを定義する。
HMI部分によって行われたアクセスの要求に応答して、HALモジュールは、車両の機能へのアクセスの要求REQ1を認証構成要素CAに送信する(サブステップi))。
サブステップii)において、車両機能要求REQ1の受信時間と、タッチセンシティブディスプレイスクリーンSC上のユーザコマンドの時間との間の期間(すなわち、タップの時間)が、所定の値よりも小さい(たとえば、数ミリ秒)場合、認証構成要素CAはコマンドを検証する。
そうである場合、認証構成要素CAはユーザコマンドに署名し、次いでコマンドの真正性を保証する。実際、信頼できる実行環境TEEはマルチメディアシステムIVIのオペレーティングシステムOSとの対話をほとんど有さず、それにより、オペレーティングシステムOS、さらには車両のオンボードコンピュータを制御しようとする悪意のある攻撃からオペレーティングシステムOSが保護される。
署名されたコマンドはHALモジュールに送信され、HALモジュールは、署名されたコマンドを、電子制御ユニットUC、たとえばオンボードコンピュータBCMまたはドライバ支援システムADASを管理するシステムに再送信する。電子ユニットUCは、認証されていないユーザによって開始されるコマンドを受信しないことが重要である。電子ユニットUCは、このようにして署名を検証する。
認証構成機構CAによるコマンドのデジタル署名、および電子ユニットUCによる署名の検証は、非対称または対称暗号機構を使用する。この機構により、送信者の真正性を保証することが可能になる。
電子ユニットUCがコマンドの真正性を検証すると、アクチュエータACTはユーザコマンドを実行する。
この第1の実施形態によれば、オペレーティングシステムOSはディスプレイスクリーンSC上のディスプレイの完全な制御を保つ。すなわち、オペレーティングシステムOSのHMI部分はディスプレイスクリーンSCの更新を実行する。この場合、ユーザがスクリーンと対話することを促し、したがって彼/彼女の知識なしに車両コマンドをトリガすることを目的として、攻撃者が実際のインターフェースに「過負荷をかける」危険がある。
図4は、本発明による方法の第2の実施形態を示しており、第2の実施形態では、信頼できる実行環境TEEは、ディスプレイスクリーンSCのタッチセンシティブレイヤ(上位レイヤ)だけでなく、ディスプレイスクリーンSCのディスプレイレイヤ(下位レイヤ)をも制御する。
第2の実施形態では、スクリーンのエリアのアクティブ化はオペレーティングシステムOSに直接送信される。
この実施形態では、メニューをブラウズするユーザが、車両のセキュアなコマンド(たとえば、HVACまたはADAS)を選択したとき、オペレーティングシステムOSは、対応するコマンド、たとえば、「HVACを開始する」または「ADASを開始する」を送り、当該のメニューを表示するように、信頼できる実行環境TEEにディスプレイスクリーンSCを引き継ぐように求める。
ユーザが車両コマンドをタップした場合、信頼できる実行環境TEEは、電子ユニットUCに伝達するために、暗号化されたコマンドをオペレーティングシステムOSに送る。
認証構成要素は、ディスプレイのエリアのアクティブ化に応答して、ユーザコマンドに関係するセキュアな行為を開始するためのフレームSTARTを受信する。
信頼できる実行環境TEEがフレーム「START」を受信すると、信頼できる実行環境TEEは、ディスプレイスクリーンSCを全体的に制御する唯一の要素になる。スクリーン上にコンテンツを供給するのは信頼できる実行環境TEEである。しかしながら、信頼できる実行環境TEEは、時間、通知など、オペレーティングシステムOSからの情報を処理しない。
ユーザエクスペリエンスにおける一貫性を維持するために、オペレーティングシステムOSは、それが表示することを望むスクリーングラブを、信頼できる実行環境TEEに定期的に送り得る。
信頼できる実行環境TEEは、それがコンテンツとして供給しなければならない部分(すなわち、車両対話メニュー、たとえばHVAC)を、オペレーティングシステムOSから受信されたスクリーングラブ上に重ねる。
図4において、フレーム化された部分は信頼できる実行環境TEEによって完全に管理され、これにより、第1の実施形態に対してセキュリティレベルが高くなる。
HALモジュールは、セキュアな機能開始情報STARTを認証構成要素に送信し、したがって、ユーザタップはタップコントローラTCによってセキュアなタップであると見なされる。
今回はセキュアなコマンド(たとえばADASまたはHVAC)の特定のコマンドに対応するセキュアなタップイベントを検出した後、認証構成要素は、コマンドに署名し、それをHALモジュールに送信し、HALモジュールはそれを電子ユニットUCに再送信する。
署名されたコマンドをHALモジュールに送信した後に、認証構成要素CAは、ユーザコマンドに関係するセキュアなアクション終了フレームENDを生成する。フレームENDは、したがって、ユーザが、信頼できる実行環境TEEによって表示されたスクリーンから「出る」ことを決定したときに送られる。
電子ユニットUCは、その後、署名されたコマンドの署名を検証し、コマンドが認証された場合、すなわち、コマンドが、信頼できる実行環境TEEによって実際に生成され、したがって、ユーザ対話に実際に対応する場合、電子ユニットUCはアクチュエータACTによってコマンドを実行する。
この実施形態は、したがって、2つの利点を有する。第1に、信頼できる実行環境TEEのみがスクリーン上にコンテンツを表示するので、セキュリティが改善される。第2に、信頼できる実行環境TEEは、それが必要であるときにタップコントローラTCを制御するのみである(一方、第1の実施形態では、追加の待ち時間がある)。
図5は、第1の実施形態に関する、車両の機能の制御を試みる悪意のある攻撃の一例を示す。
攻撃者はオペレーティングシステムOSを介してアクチュエータコマンド機能をエミュレートする。HMI部分によって送信された機能要求に応答して、HALモジュールは、対応する情報を認証構成要素CAに送る。
認証構成要素CAは、コマンドがユーザによる物理的アクティブ化、たとえばスクリーン上のタップに対応するかどうかを検証する。この目的のために、認証構成要素CAは、ユーザが、タップ検証に先行する所定の期間にわたって(たとえば最後のXミリ秒にわたって)スクリーンと対話したかどうかを検証する。
悪意のある攻撃の枠組みでは、ユーザコマンドはタイムスタンプされず、したがって、認証構成要素CAはHALモジュールにエラーメッセージを送る。同時に、攻撃者は偽の署名を生成し得る。両方の場合において、電子ユニットUCは、署名を検証し、コマンドが認証されないので、エラーメッセージを返送する。
この解決策では、したがって、オペレーティングシステムOSの制御をした攻撃者が、信頼できる実行環境TEEを制御することなしに車両コマンドを使用することは不可能である。しかしながら、オペレーティングシステムの通常の攻撃面に対するそれの分離により、また、それの限られたサイズにより、信頼できる実行環境TEEを制御することは複雑である。
本発明は、したがって、スクリーン上の行為とマルチメディアシステムによって開始された行為との間に信頼できるチェーンを作成することによって、いくつかのユーザインターフェースのセキュリティレベルを高めながら、同時に、ユーザエクスペリエンスへの影響を制限することが可能である(別のスクリーンを有する必要がない)。
本発明は自動車分野に限定されない。本発明は、エクスポーズされた機能へのリモートアクセスが攻撃者にとって魅力的であり得る、一定のセキュリティレベルを必要とするユーザ対話を与える任意のシステムにおいて使用され得る。
たとえば、本方法は、家の中で利用可能なユーザインターフェースをもつホームオートメーションシステムに適用され、あまりセキュアでない外部通信デバイス、たとえばスマートフォンに接続され得る。したがって、エクスポーズされた機能、たとえばウィンドウの制御は保護され、それにより、制御スクリーンが損なわれた場合でも、ホームオートメーションシステムのスクリーンへの物理的アクセスなしに、行為を開始することはできない。
Claims (10)
- 電子制御ユニット(UC)によって制御されることが可能なアクチュエータ(ACT)のコマンドの真正性を検証するための方法であって、前記電子制御ユニット(UC)がマルチメディアシステム(IVI)に接続され、前記マルチメディアシステム(IVI)が、
ユーザコマンドを受信し、前記アクチュエータ(ACT)の前記コマンドに関係する情報を表示するために構成されたタッチセンシティブディスプレイ(SC)と、
外部通信デバイスからの表示を前記マルチメディアシステム(IVI)の前記タッチセンシティブディスプレイ上に伝達するために構成されたオペレーティングシステム(OS)と、
前記オペレーティングシステム(OS)のセキュリティレベルよりも高いレベルのセキュリティを与えるために構成された信頼できる実行環境(TEE)であって、前記タッチセンシティブディスプレイ(SC)上のユーザコマンドを検出するために構成されたタップコントローラ(TC)を備える、信頼できる実行環境(TEE)とを含み、
前記方法は、
a)前記信頼できる実行環境(TEE)によるユーザコマンドの署名であって、前記ユーザコマンドが前記ディスプレイ(SC)の少なくとも1つのエリアの物理的アクティブ化に対応する、署名と、
b)前記オペレーティングシステム(OS)による前記電子制御ユニット(UC)への前記署名されたコマンドの送信と、
c)前記電子制御ユニット(UC)による前記署名の検証と、
d)前記アクチュエータ(ACT)による前記ユーザコマンドの実行と
を含む、方法。 - a’)前記信頼できる実行環境(TEE)による前記ユーザコマンドの検出と、
a’’)前記信頼できる実行環境(TEE)から前記オペレーティングシステム(OS)への前記コマンドの再送信と、
a’’’)前記ユーザコマンドに応じた前記タッチセンシティブディスプレイ(SC)上の前記表示の更新と
をあらかじめ含む、請求項1に記載の方法。 - 前記信頼できる実行環境(TEE)が、前記アクチュエータ(ACT)の前記コマンドに関係するセキュアな機能を制御し、前記タッチセンシティブディスプレイ(SC)上で実行された前記ユーザコマンドに日付スタンプを付けるために構成された認証構成要素(CA)を含み、
前記コマンドに署名するステップa)は、
i)前記認証構成要素(CA)による、前記オペレーティングシステム(OS)によって送られた車両機能要求(REQ1)の受信と、
ii)前記車両機能要求(REQ1)の受信の時間と、前記タッチセンシティブディスプレイ(SC)上の前記ユーザコマンドの時間との間の期間が所定の値よりも小さい場合の、前記コマンドの署名と
を含む、請求項2に記載の方法。 - 前記信頼できる実行環境(TEE)は、前記アクチュエータ(ACT)の前記コマンドに関係するセキュアな機能を制御するために構成された認証構成要素(CA)を備え、
前記コマンド署名ステップa)は、車両対話メニューを表示するために、前記認証構成要素(CA)が、前記ディスプレイの前記エリアの前記アクティブ化に応答して、前記ユーザコマンドに関係するセキュアなアクション開始フレーム(START)を事前に検出することを含み、
前記認証構成要素(CA)が、前記署名されたコマンドの前記オペレーティングシステム(OS)による送信のための前記ステップb)に応答して、前記ユーザコマンドに関係するセキュアなアクション終了フレーム(END)を生成する、請求項1または2に記載の方法。 - 前記オペレーティングシステム(OS)が、前記オペレーティングシステム(OS)に固有のコンテンツのスクリーングラブを前記信頼できる実行環境(TEE)に定期的に送り、前記信頼できる実行環境(TEE)が、前記オペレーティングシステム(OS)から受信された前記スクリーングラブ上に前記車両対話メニューを重ねる、請求項4に記載の方法。
- 前記アクチュエータ(ACT)が、自動車車両の自動ギアボックスの構成または自動車車両のドライバ支援機能の構成を制御するために、自動車車両の快適さを制御するためのコマンドを実行するように構成された、請求項1から5のいずれか一項に記載の方法。
- 前記アクチュエータ(ACT)が、ホームオートメーションシステムからのコマンドを実行するために構成された、請求項1から5のいずれか一項に記載の方法。
- 前記外部通信デバイスがスマートフォンまたはタブレットである、請求項1から7のいずれか一項に記載の方法。
- 前記タッチセンシティブディスプレイ(SC)の少なくとも1つのエリアの前記物理的アクティブ化が、前記タッチセンシティブディスプレイ(SC)のエリアの前記ユーザによるタッピングを含む、請求項1から8のいずれか一項に記載の方法。
- 電子制御ユニット(UC)によって制御されることが可能なアクチュエータコマンドシステム(ACT)であって、前記電子制御ユニット(UC)がマルチメディアシステム(IVI)に接続され、前記マルチメディアシステム(IVI)は、
ユーザコマンドを受信し、前記アクチュエータ(ACT)の前記コマンドに関係する情報を表示するために構成されたタッチセンシティブディスプレイ(SC)と、
外部通信デバイスからの表示を前記マルチメディアシステム(IVI)の前記タッチセンシティブディスプレイ上に伝達するために構成されたオペレーティングシステム(OS)と、
前記オペレーティングシステム(OS)よりも高いレベルのセキュリティを与えるために構成された信頼できる実行環境(TEE)であって、前記タッチセンシティブディスプレイ(SC)上のユーザコマンドを検出するために構成されたタップコントローラを含む、信頼できる実行環境(TEE)と
を含み、
前記システムは、さらに、請求項1から9のいずれか一項に記載の方法を実装するために構成された、アクチュエータコマンドシステム(ACT)。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR2101359A FR3119906B1 (fr) | 2021-02-12 | 2021-02-12 | Procédé de vérification de l’authenticité d’une commande d’un actionneur |
| FR2101359 | 2021-02-12 | ||
| PCT/EP2022/052161 WO2022171468A1 (fr) | 2021-02-12 | 2022-01-31 | Procédé de vérification de l'authenticité d'une commande d'un actionneur |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2024506539A true JP2024506539A (ja) | 2024-02-14 |
Family
ID=75278225
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023546024A Pending JP2024506539A (ja) | 2021-02-12 | 2022-01-31 | アクチュエータコマンドの真正性を検証するための方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20240320316A1 (ja) |
| EP (1) | EP4292007A1 (ja) |
| JP (1) | JP2024506539A (ja) |
| KR (1) | KR20230146580A (ja) |
| CN (1) | CN116868196A (ja) |
| FR (1) | FR3119906B1 (ja) |
| WO (1) | WO2022171468A1 (ja) |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050275661A1 (en) | 2004-06-10 | 2005-12-15 | Cihula Joseph F | Displaying a trusted user interface using background images |
| US9363266B2 (en) * | 2011-12-29 | 2016-06-07 | Intel Corporation | Secured electronic device |
| EP2775421B1 (en) * | 2013-03-05 | 2019-07-03 | Wincor Nixdorf International GmbH | Trusted terminal platform |
| US10178087B2 (en) | 2015-02-27 | 2019-01-08 | Samsung Electronics Co., Ltd. | Trusted pin management |
| KR101759136B1 (ko) * | 2015-11-17 | 2017-07-31 | 현대자동차주식회사 | 차량 헤드 유닛과 외부 기기 연동 시 차량 전용 데이터 채널 보안 서비스 제공 방법 및 그를 위한 장치 |
| GB2565282B (en) * | 2017-08-02 | 2021-12-22 | Vnc Automotive Ltd | Remote control of a computing device |
-
2021
- 2021-02-12 FR FR2101359A patent/FR3119906B1/fr active Active
-
2022
- 2022-01-31 EP EP22706005.0A patent/EP4292007A1/fr active Pending
- 2022-01-31 KR KR1020237031205A patent/KR20230146580A/ko unknown
- 2022-01-31 US US18/546,034 patent/US20240320316A1/en active Pending
- 2022-01-31 WO PCT/EP2022/052161 patent/WO2022171468A1/fr active Application Filing
- 2022-01-31 JP JP2023546024A patent/JP2024506539A/ja active Pending
- 2022-01-31 CN CN202280013984.XA patent/CN116868196A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| KR20230146580A (ko) | 2023-10-19 |
| CN116868196A (zh) | 2023-10-10 |
| FR3119906B1 (fr) | 2024-01-19 |
| WO2022171468A1 (fr) | 2022-08-18 |
| EP4292007A1 (fr) | 2023-12-20 |
| US20240320316A1 (en) | 2024-09-26 |
| FR3119906A1 (fr) | 2022-08-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3830733B1 (en) | Personalized and cryptographically secure access control in trusted execution environment | |
| CN108322461B (zh) | 应用程序自动登录的方法、系统、装置、设备和介质 | |
| JP2010537270A (ja) | 暗黙型自己インストールセキュリティ環境のための仮想トークン | |
| JP7299256B2 (ja) | マルチユーザ厳密認証トークン | |
| WO2015180502A1 (zh) | 安全手机 | |
| CN113794734A (zh) | 车载can总线加密通信方法、控制装置和可读存储介质 | |
| EP4195078A1 (en) | Vehicle-mounted device control method, vehicle-mounted device, and vehicle system | |
| AU2005222507B2 (en) | Portable computing environment | |
| WO2017071296A1 (zh) | 一种基于vpn的安全访问数据的方法、设备和系统 | |
| EP3429158A1 (en) | Secure communication method and apparatus for vehicle, vehicle multimedia system, and vehicle | |
| CN105391673B (zh) | 安全访问方法及装置 | |
| JP2024506539A (ja) | アクチュエータコマンドの真正性を検証するための方法 | |
| EP2905714A1 (en) | Method of and device for securely entering user credentials | |
| EP4058921B1 (en) | Device and method for secure communication | |
| US20230382226A1 (en) | Method for Operating a Touch-Sensitive Input Unit, and Input Unit and Motor Vehicle | |
| CN114879980A (zh) | 车载应用安装方法、装置、计算机设备、存储介质 | |
| KR20190020542A (ko) | 장치 내 브라우저의 스크립트 엔진과 외부 이동 단말기를 이용한 전자 서명 메시지 생성 |