JP5479408B2 - 車載ネットワークシステム - Google Patents

車載ネットワークシステム Download PDF

Info

Publication number
JP5479408B2
JP5479408B2 JP2011150357A JP2011150357A JP5479408B2 JP 5479408 B2 JP5479408 B2 JP 5479408B2 JP 2011150357 A JP2011150357 A JP 2011150357A JP 2011150357 A JP2011150357 A JP 2011150357A JP 5479408 B2 JP5479408 B2 JP 5479408B2
Authority
JP
Japan
Prior art keywords
vehicle
configuration
configuration management
control device
ecu
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011150357A
Other languages
English (en)
Other versions
JP2013017140A (ja
Inventor
淳司 三宅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Automotive Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Automotive Systems Ltd filed Critical Hitachi Automotive Systems Ltd
Priority to JP2011150357A priority Critical patent/JP5479408B2/ja
Priority to PCT/JP2012/066945 priority patent/WO2013005730A1/ja
Priority to US14/127,062 priority patent/US9132790B2/en
Priority to DE112012002836.8T priority patent/DE112012002836B4/de
Publication of JP2013017140A publication Critical patent/JP2013017140A/ja
Application granted granted Critical
Publication of JP5479408B2 publication Critical patent/JP5479408B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、車載ネットワークシステムに関する。
近年、乗用車、トラック、バス等には、各機能部を制御する車載ECU(Electronic Control Unit)が多数搭載されている。各ECUは車載ネットワークを介して相互接続し、協調動作する。
通常、車載ECUが搭載している制御プログラムは、車載ECUに内蔵されているマイクロコンピュータのフラッシュROM(Read Onle Memory)などの記憶装置に格納されている。この制御プログラムのバージョンは、製造者によって管理されており、正規のソフトウェアバージョンを組み合わせることにより、単独機能および車載ネットワークを通じての協調機能が正常に動作するように意図されている。
したがって、意図しないソフトウェアを搭載した車載ECU、または意図的に改竄された車載ECUが車載ネットワークに接続されることは、車両のセキュリティの観点から看過できない。
各車載ECUが自局のソフトウェアの真正性を外部に証明すること、さらには全ての関連する車載ECUの真正性を証明することを、構成証明と呼ぶ。構成証明が得られた場合は、製造者によって提供された正しいプログラムを組み合わせ、意図した制御が実施されているという確証となる。
下記特許文献1には、共通鍵または共通鍵生成源を複数の車載ECU間で共有し、この情報を共有していると推定されているECU間で暗号化通信が成立するか否かにより、上記構成証明を実施する手法が開示されている。
下記特許文献2には、KPS(Key Predistribution System)方式の共通鍵配信手法が開示されている。同方式は、特許文献1において共通鍵生成源として利用することができる。
特開2010−11400号公報 特公平5−48980号公報
上記特許文献1では、共通鍵または共通鍵生成源を複数のECU間で共有させるため、センターサーバなどの外部インフラが必要である。また、車載ECU間で暗号化通信が成立することをもって構成証明に代えるため、暗号化通信を実施する際に多大な計算機パワーが必要となる。以下、これら2点の課題について詳述する。
(1)センターサーバについて
(1.1)情報集約について
センターサーバは、全車の鍵情報が集約されている外部サーバであり、車載ネットワークを構成する各車載ECUはそれぞれセンターサーバに接続して鍵情報を受け取らなければならない。鍵情報の全てがセンターサーバに集約されているため、車載ECUとセンターサーバとの間の通信が妨害されたり、センターサーバ自体が攻撃されたり、悪意の第3者がセンターサーバになりすましたりした場合は、システム全体が崩壊しかねない。
(1.2)センターサーバとの間の通信について
KPS方式によって配信する共通鍵生成源は、車載ネットワークに参加しているECU間で通信するために用いるものである。したがって、ECU間で安全に通信するためには、まず初期化処理としてセンターサーバから共通鍵生成源を取得する必要がある。このとき各ECUがセンターサーバと通信するために用いる暗号化鍵は、ECU毎に固有の暗号化鍵ではなく、固定の暗号化鍵を使わざるを得ない。なぜなら、車載ECUは、部品メーカにより量産され組み立てメーカに納入されるものであり、初期化処理のための暗号化鍵は、車種単位、同一部品番号単位、またはIDの等しいロット単位で、必然的にバリエーションが固定されるためである。暗号化鍵が固定であると、悪意の第3者にとってはECUとセンターサーバの間の通信を盗聴しやすくなるので、これを利用して初期化鍵を不正入手される可能性がある。初期化鍵が不正入手されると、センターサーバの情報が不正に引き出される可能性がある。また、車載ECUに対して偽りの共通鍵を配信し、他の車載ECUとの間の通信を妨害される可能性もある。
(2)暗号化通信について
特許文献1に記載されている技術では、KPS方式に基づいて通信相手方の鍵を復元する計算資源と、その鍵を用いて暗号化通信するための共通鍵暗号処理(例えば、DES:Data Encryption Standard方式の暗号処理)を実行する計算資源とが必要になる。これらの処理は、現状の車載ECUの能力(CPUの計算能力、ROM/RAMの容量など)にとって非常に大きなリソースを要求する。したがって、特許文献1に記載されている暗号化通信を実現するためには、車載ECUのコスト上昇が避けられない。
現状の車載ECUを設計する際には、各ECUおよびその構成部品の原価低減を積み上げて、車両システム全体の価格戦略を摺り合わせている。車載ECUの構成証明という目的に対して、これら構成部品の価格が上昇することは、到底許容できるものではない。
本発明は、上記のような課題を解決するためになされたものであり、各車載制御装置の処理負荷(およびコスト)の上昇を抑えつつ、構成証明を実施する機能を備えた車載ネットワークを提供し、車両のセキュリティを向上させることを目的とする。
本発明に係る車載ネットワークシステムは、車載制御装置を認証する構成管理装置を備え、構成管理装置は、構成証明を実施するために用いる構成証明データを、車載ネットワークに接続する登録装置を介して車載制御装置に配信する。
本発明に係る車載ネットワークシステムは、車載制御装置を認証する構成管理装置が車載ネットワーク内に配置されているため、車内の鍵情報を車両外で保持する必要がない。したがって、安全でない通信方式を用いて車外と通信する必要がなくなり、セキュリティが向上する。また、登録装置は必ずしも車載ネットワークに常時接続されている必要はなく、車載制御装置を新規に登録する際に、オペレータが手作業で登録装置を車載ネットワークに接続させることができる。そのため、登録装置の処理能力を高めても、車載ネットワーク自体のコストは増加しないので、登録装置と構成管理装置の間では強固な認証方式を用いることができる。これにより、車載ネットワーク全体としてのコストを抑えつつセキュリティを向上させることができる。
実施形態1に係る車載ネットワークシステム1000の構成図である。 構成管理サーバ103がネットワーク登録装置102を認証するシーケンスを説明する図である。 特許文献1に記載されている車載ネットワークの構成例を示す図である。 実施形態2に係る車載ネットワークシステム1000の構成例を示す図である。 構成管理サーバ103と目標ECU101の間で構成証明情報(共通鍵)を共有する形態を示す図である。 構成管理サーバ103が構成証明用鍵(共通鍵)を生成する方法を示す図である。 構成管理サーバ103が目標ECU101を認証する手順を説明するシーケンス図である。 構成管理サーバ103が目標ECU101を認証する手順を示す別方式のシーケンス図である。 構成管理サーバ103の内部で実行される処理を示すフローチャートである。 目標ECU101の内部で実行される処理を示すフローチャートである。 実施形態1〜3で説明した構成証明手法を、構成証明以外の用途に応用した動作例を説明する図である。 近年の代表的な高機能車両が備えている車載ネットワークのネットワークトポロジー例を示す図である。
<実施の形態1>
図1は、本発明の実施形態1に係る車載ネットワークシステム1000の構成図である。車載ネットワークシステム1000は、車両の動作を制御するECUを接続する車内ネットワークである。ここでは、構成証明の対象である目標ECU101を1台のみ例示したが、車載ネットワークシステム1000に接続することができるECUは、これに限られるものではない。
車載ネットワークシステム1000には、目標ECU101と構成管理サーバ103が車載ネットワークを介して接続されている。また、目標ECU101を車載ネットワークに参加させるため、必要に応じてネットワーク登録装置102が車載ネットワークシステム1000に接続される。
構成管理サーバ103は、車載ネットワークを介して目標ECU101およびネットワーク登録装置102と通信することのできる装置である。構成管理サーバ103は、ECUの1種として構成してもよいし、その他任意の通信装置として構成してもよい。構成管理サーバ103は、目標ECU101とネットワーク登録装置102を認証する。目標ECU101を認証する目的は、目標ECU101が車載ネットワークに参加する正当権限を有しているか否かを確認することである。ネットワーク登録装置102を認証する目的は、ネットワーク登録装置102が目標ECU101を車載ネットワークに参加させる正当権限を有しているか否かを確認することである。
ネットワーク登録装置102は、目標ECU101を車載ネットワークに参加させる装置である。車載ネットワークに参加させるとは、目標ECU101が車載ネットワークを介して他のECUと通信するために必要な構成証明データを目標ECU101に配信することである。ネットワーク登録装置102が目標ECU101を車載ネットワークに参加させるためには、あらかじめ構成管理サーバ103による認証を受ける必要がある。
ネットワーク登録装置102は、必ずしも車載ネットワークに常時接続されている必要はない。例えば、車両の製造工程において車載ネットワークシステム1000を構築する際に、目標ECU101を車載ネットワークに参加させる作業を実施するときのみ、ネットワーク登録装置102を手作業で車載ネットワークに接続することができる。
以下、図1にしたがって、ネットワーク登録装置102が目標ECU101を車載ネットワークに参加させる手順を説明する。
(図1:ステップS111:認証要求)
オペレータは、ネットワーク登録装置102を操作して、目標ECU101を車載ネットワークに参加させる作業(登録処理)を開始する。ネットワーク登録装置102は、登録処理を開始すると、構成管理サーバ103に対し、自己を認証するように車載ネットワークを介して要求する。
(図1:ステップS111:認証要求:補足)
ネットワーク登録装置102は、構成管理サーバ103に認証要求を出すと同時に、車載ネットワークに参加させる目標ECU101の識別情報(詳細は後述の図5で説明)を構成管理サーバ103に通知する。この識別情報としては、例えばECU−ID(部品番号)、ソフトウェアバージョンなどが挙げられる。これらの識別情報は、オペレータがネットワーク登録装置102上で手動入力するなどして与えることができる。
(図1:ステップS112:構成証明鍵の配布)
構成管理サーバ103は、ネットワーク登録装置102から認証要求を受け取ると、所定の認証アルゴリズム(詳細は後述の図2で説明)にしたがってネットワーク登録装置102を認証する。構成管理サーバ103は、ネットワーク登録装置102の真正性を確認した場合は、認証要求時にネットワーク登録装置102から受け取った情報を用いて内部のデータベース(詳細は後述の図5で説明)を更新し、目標ECU101固有の構成証明用鍵(共通鍵)(詳細は後述の図6で説明)を生成して、ネットワーク登録装置102に配信する。
(図1:ステップS113:鍵格納指令)
ネットワーク登録装置102は、目標ECU101に対して、構成管理サーバ103から配信された目標ECU101固有の構成証明用鍵(共通鍵)を中継し、目標ECU101にこれを格納するよう指示する。
(図1:ステップS114:格納完了通知)
目標ECU101は、ステップS113で受け取った目標ECU101固有の構成証明用鍵(共通鍵)を自局のメモリに格納し、車載ネットワークに正常に参加した旨をネットワーク登録装置102に通知する。
(図1:ステップS115:構成証明要求)
構成管理サーバ103は、ステップS112でネットワーク登録装置102を経由して配布しておいた構成証明用鍵(共通鍵)が目標ECU101内に保持されている、との推定に基づいて、目標ECU101に対して自局の真正性を証明するよう要求する。
(図1:ステップS116:構成証明回答)
目標ECU101は、構成管理サーバ103に対して構成証明用鍵(共通鍵)の共有知識に基づいた回答を返信し、自局の真正性を証明する。
(図1:ステップS116:構成証明回答:補足)
ステップS115〜S116における構成証明要求と回答は、構成管理サーバ103と目標ECU101の間で相互になされるべきものである。したがって、図1に図示するステップS115とステップS116の矢印方向とは逆に、目標ECU101が構成管理サーバ103に対して構成証明を要求し、構成管理サーバ103が回答してもよい。また、上記双方向のやり取りを合成して、目標ECU101が構成管理サーバ103に対して構成証明を開示する前に、構成管理サーバ103の構成証明を要求し、目標ECU101が構成管理サーバ103の真正性を確認しておいてから構成管理サーバ103に対して回答するように、相互的なハンドシェイクの形態を取ってもよい。
<実施の形態1:ネットワーク登録装置の認証>
図2は、構成管理サーバ103がネットワーク登録装置102を認証するシーケンスを説明する図である。図2の認証シーケンスは、図1のステップS111の詳細を示すものである。ここでは、公開鍵暗号方式に基づくデジタル署名を用いてネットワーク登録装置102を認証する手法を例示するが、チャレンジ&レスポンス認証など別の認証方式を用いることもできる。なお、あらかじめネットワーク登録装置102の公開鍵と秘密鍵のペアを生成し、公開鍵を構成管理サーバ103に配信しておくものとする。以下、図2の各ステップについて説明する。
(図2:ステップS201)
ネットワーク登録装置102は、例えば車載ネットワークに最初に接続した時点など、目標ECU101をネットワーク登録する動作に先立って、構成管理サーバ103に対し自己が正規端末であることを認証するように要求する。このとき、ネットワーク登録装置102の識別コード(またはそれに類する情報)を併せて送信し、自身を固有に識別する情報を構成管理サーバ103に対して明らかにする。
(図2:ステップS201:補足)
本ステップでいう正規端末とは、ネットワーク登録装置102が当該車両のメーカによって認定された正規のものであること、改竄されたものでないこと、別の装置が正規のネットワーク登録端末102になりすましたものでないこと、などを保証された端末のことである。すなわち、目標ECU101を車載ネットワークに参加させる正当権限を有する端末である。
(図2:ステップS202〜S203)
構成管理サーバ103は、認証開始処理を実行する(S202)。具体的には、疑似乱数を用いて種コードを生成し、ネットワーク登録装置102に返送する(S203)。また、ステップS201でネットワーク登録装置102から受け取った識別コードを用いて、ネットワーク登録装置102に対応する公開鍵を特定しておく。
(図2:ステップS204〜S205)
ネットワーク登録装置102は、ステップS203で認証サーバから受け取った種コードを自身の秘密鍵で署名し(S204)、署名済みコードとして構成管理サーバ103に返送する(S205)。
(図2:ステップS206)
構成管理サーバ103は、ステップS202で特定しておいた公開鍵を読み出し、これを用いてステップS205でネットワーク登録装置102から受け取った署名済みコードを復号する。構成管理サーバ103は、その復号結果とステップS203でネットワーク登録装置102に送信した種コードを比較し、両者が一致すればネットワーク登録装置102が正規端末であると判断する。両者が一致しなければ、ネットワーク登録装置102は認証許可されなかったことになる。
(図2:ステップS207〜S208)
構成管理サーバ103は、認証シーケンスが終了した旨を、確認応答としてネットワーク登録装置102に対して送信する(S207)。その後、ネットワーク登録装置102は、これから車載ネットワークに参加させる予定の目標ECU101の{ECU−ID,ソフトウェアバージョン}を構成管理サーバ103に通知する(S208)。
<実施の形態1:まとめ>
以上のように、本実施形態1に係る車載ネットワークシステム1000において、構成管理サーバ103は、厳密に真正性を検証することができるネットワーク登録装置102を経由して、目標ECU101に構成証明用鍵(共通鍵)を配布する。これにより、目標ECU101は、多大な計算資源を消費するKPS方式のように高度な計算を実施することなく、簡便に構成証明用鍵(共通鍵)を共有することができるので、ECUコストを抑えつつ車載ネットワークのセキュリティを向上させることができる。
また、本実施形態1に係る車載ネットワークシステム1000において、ネットワーク登録装置102は必ずしも車載ネットワークシステム1000に常時接続する必要はないので、車載ネットワークシステム1000から独立した高性能な装置を用いてネットワーク登録装置102を構成することができる。これにより、車載ネットワークシステム1000を構成するECUのコストを抑えつつ、構成管理サーバ103とネットワーク登録装置102の間で強固な認証処理を実施することができる。この認証処理には、構成管理サーバ103と目標ECU101の間の認証処理よりも強固な手法を用いることができる。すなわち、ネットワーク登録装置102の性能を目標ECU101よりも高くすることができるので、多大なリソースを消費する強固な認証処理を実施することができる。
また、本実施形態1に係る車載ネットワークシステム1000において、目標ECU101およびネットワーク登録装置102を認証する構成管理サーバ103は、車載ネットワーク内部に配置されている。これにより、各装置は認証処理を実施するために車外と通信する必要がなくなり、セキュリティを向上させることができる。また、認証処理を実施するためのリソースを構成管理サーバ103に集約させることにより、他のECUのコストを抑えることができる。
<実施の形態2>
本発明の実施形態2では、実施形態1で説明した車載ネットワークシステム1000の具体的な構成例について説明する。
以下、本実施形態2に係る車載ネットワークシステム1000(図4)と、特許文献1に記載されている従来例(図3)とを比較し、両者の構成とセキュリティに関する違いを説明する。
<実施の形態2:従来例の説明>
図3は、特許文献1に記載されている車載ネットワークの構成例を示す図であり、本実施形態2と対比するために記載したものである。図3において、車載ネットワーク202の中にECUマスタ105が存在しており、これが車両ごとの識別番号{車両ID}を保持している。
ECUマスタ105は、初期化処理を実施するとき、車載ネットワーク202の外部に設置されているセンターサーバ203に対して、{車両ID,ECU−ID,ソフトウェアバージョン}の情報をセットにして、{共通鍵生成源}を配信するよう要求する(ステップS311)。ECU−IDはECUマスタ105の識別子であり、ソフトウェアバージョンはECUマスタ105が搭載しているソフトウェアのバージョンである。
センターサーバ203は、その要求に応じて{共通鍵生成源}を配布する(ステップS312)。これらのやり取りは、ECUマスタ105内部に固定的に設定された初期化鍵によって暗号化されている(外部通信F221)。
センターサーバ203より配布される{共通鍵生成源}は、車載ネットワーク202に属するECU間の通信のみに使われる「共通鍵を導出する情報源」である。{共通鍵生成源}は、センターサーバ203と通信する際には用いられない。
ECUマスタ105以外の車載ネットワークに属する目標ECU101は、ECUマスタ105より{車両ID}を入手する。この時点では、目標ECU101は{共通鍵生成源}を入手していないので、目標ECU101は暗号化を実施せずにECUマスタ105と通信する(ステップS313)。
目標ECU101は、ECUマスタ105より受け取った{車両ID}を用いて、{車両ID,ECU−ID,ソフトウェアバージョン}のセットを組み立て、センターサーバ203に対して、{共通鍵生成源}を配信するよう要求する(ステップS314)。ECU−IDは目標ECU101の識別子であり、ソフトウェアバージョンは目標ECU101が搭載しているソフトウェアのバージョンである。
センターサーバ203は、その要求に応じて{共通鍵生成源}を配布する(ステップS315)。これらのやり取りは、目標ECU101内部に固定的に設定された初期化鍵によって暗号化されている(外部通信F222)。
以上の構成より、特許文献1における方式には次のような脆弱性が存在することが明らかとなる。
(脆弱性1)車載ネットワーク202に属する全てのECUは、初期化処理を実施するとき、車載ネットワーク202の外部に配置されているセンターサーバ203と接続して{共通鍵生成源}の配布を受ける。そのため、初期化処理中にセンターサーバ203との間の接続が断たれた場合は、有効な車載ネットワークを構成することができない。
(脆弱性2)センターサーバ203は、全ての車両の{車両ID,ECU−ID,ソフトウェアバージョン}と{共通鍵生成源}のセットを管理している。そのため、センターサーバ203が不正に侵入されると、全ての車両の鍵が流出する。また、故意・過失を問わずセンターサーバ203に障害が発生すると、全ての車両の鍵が紛失する危険を伴う。
(脆弱性3)初期化処理を実施するときの暗号化通信(外部通信F221および外部通信F222)が脆弱である。そのため、{共通鍵生成源}の配布をうける際に、ECUとセンターサーバ203との間の相互認証がセキュアではない。これは、部品として量産されるECUハードウェアの制約上、固定的でバリエーションの少ない暗号化鍵を使わざるを得ない特性に起因する。したがって、この暗号化鍵が破られると、センターサーバ203については特定車両の鍵情報が流出するおそれがあり、車載ECUについては悪意の第3者が偽りの鍵情報を配布することにより車載ネットワークへの妨害などが発生し得る。
(脆弱性4)初期化処理を実施するときのECUマスタ105から目標ECU101の間の{車両ID}の流れ(ステップS313)は暗号化されていないので、車載ネットワーク202の外部から容易にキャプチャすることができる。これは、{車両ID,ECU−ID,ソフトウェアバージョン}のセット(ステップS311およびステップS314で使用)を悪意の第3者が類推する糸口になる。
<実施の形態2:本発明の説明>
図4は、本実施形態2に係る車載ネットワークシステム1000の構成例を示す図である。車載ネットワーク202に、構成管理サーバ103が設置されている。この車載ネットワーク202に新たな目標ECU101を参加させる手順を詳述する。
オペレータは、ネットワーク登録装置102を接続用車両コネクタ104に接続し、構成管理サーバ103と通信して認証を受ける。このときオペレータは、これから車載ネットワーク202に参加させようとしている目標ECU101のECUI−IDなどをネットワーク登録装置102上で入力し、構成管理サーバ103に送信する。この手順は、図1のステップS111に相当する。
構成管理サーバ103は、ネットワーク登録装置102の真正性を厳密に審査・検証する。構成管理サーバ103は、ネットワーク登録装置102が正規のものであることを確認した場合は、目標ECU101固有の{共通鍵}を発行する(ステップS112)。
ネットワーク登録装置102は、この{共通鍵}を目標ECU101に中継して格納させる(ステップS113)。以上の手順により、構成管理サーバ103と目標ECU101の間で{共通鍵}が安全に共有される。
以上説明した本発明のメカニズムにより、先に説明した従来例における脆弱性は、以下に示すように改善される。先に説明した脆弱性に対応する改善点を、脆弱性と同じ順番で説明する。
(改善点1)各ECUが実施する通信は、車載ネットワーク202内部でクローズしており、車両外部との間の通信は実施されない。したがって、車載ネットワーク202に対して不正侵入を受ける機会も、情報漏洩を発生させる機会も少ない。
(改善点2)車載ネットワーク202内の鍵情報は、車両ごとに内蔵されている構成管理サーバ103が管理する。したがって、センターサーバ203に全車両の情報を集約させることによる脆弱性は存在しない。また、{共通鍵}は車両ごとに独立してユニークであり、これが流出しても他車両に対するセキュリティ上の懸案事項は発生しない。
(改善点3)初期化処理を実施するときの{共通鍵}の発行および中継は、厳密に相互認証を実施した構成管理サーバ103とネットワーク登録装置102の間で実施される。したがって、悪意の第3者による妨害などのセキュリティリスクは少ない。
(改善点4)車載ネットワーク202のメンバを構成するECUの識別情報、例えば{車両ID,ECU−ID,ソフトウェアバージョン}は、構成管理サーバ103の内部のみで管理されている。そのため、車載ネットワーク202を介して他ECUにこれら識別情報を開示する必要がない。したがって、これら情報の漏洩リスクに対して頑健である。
<実施の形態2:共通鍵の共有形態>
ネットワーク登録装置102は、目標ECU101上の不揮発性メモリ(EEPROM:Electronically Erasable and Programmable Read−Only Memory)に上記共通鍵情報を記憶させる機能のみを有する簡易装置として構成してもよいし、制御ソフトウェアを記憶するフラッシュROMに上記共通鍵情報を直接書き込むプログラム書換装置として構成してもよい。
車両が市場に出た後に制御プログラムの不具合が発覚した場合、ディーラーは車両を回収して該当車載ECUのプログラムを書き換える。このとき、このプログラム書換装置を用いて、目標ECUのソフトバージョンアップ、構成証明用鍵(共通鍵)の更新、構成管理サーバ103の登録情報(ECU−ID,ソフトウェアバージョンなど)の更新が同時に実施できるようにしておけば、作業者にとって便宜である。そのため、ネットワーク登録装置102はプログラム書換装置としての機能を兼ね備えていることが望ましいといえる。
なお図4において、ネットワーク登録装置102は、車載ネットワーク202に直接接続するように図示されているが、無線通信などの有線以外の信号結合方式を用いて車外の通信網と接続し、ネットワーク登録装置102をその通信網の一要素として構成してもよい。この場合も、車内の構成管理サーバ103とネットワーク登録装置102との間の認証は厳密に実行される。
図5は、構成管理サーバ103と目標ECU101の間で構成証明情報(共通鍵)を共有する形態(情報分布形態)を示す図である。ここでは目標ECU101が複数存在する例を示した。
図5(a)は、構成管理サーバ103内のデータベース410が格納しているデータ例を示す。各車載ECUの識別情報(ECU−ID,ソフトウェアバージョンなど)がデータ412で示すように保持されている。データ411は、構成管理サーバ自体の認証鍵であり、車載ECU全てに等しく配布される。
図5(b)〜(d)に示すデータベース420、430、440は、目標ECU101a〜101cのメモリ上にそれぞれ記憶されている構成証明用鍵(共通鍵)のデータ例を示す。各目標ECU101が保持している共通鍵は、構成管理サーバ103が発行し、ネットワーク登録装置102を経由して設定されたものである。
すなわち、構成管理サーバ内データベース410のデータ412のうちECU−IDとソフトウェアバージョンを除いた情報が、各目標ECU101に転写される。この共通鍵は、各目標ECU101が構成管理サーバ103に対して自己の真正性を証明するために用いる鍵情報である。以降、この情報を「ECU鍵」と呼ぶ。
また、構成管理サーバ内データベース410のデータ411のうちECU−IDとソフトウェアバージョンを除いた共通鍵情報も、各目標ECU101に転写される。この共通鍵は、構成管理サーバ103が目標ECU101に対して自己の真正性を証明するために用いる鍵情報である。以降、この情報を「サーバ鍵」と呼ぶ。
上述したECU鍵とサーバ鍵に加えて、構成管理サーバ103と各目標ECU101とが通信する際に用いるチャンネル番号またはメッセージIDなどの通信識別情報413を各目標ECU101に配信することもできる。
通信識別情報413は、通信データの種別を指定する情報である。例えば、構成管理サーバ103が目標ECU101aに共通鍵を送信するときはメッセージID0x15を用い、目標ECU101bに共通鍵を送信するときはメッセージID0x17を用いる、といった使い分けをすることができる。各目標ECU101は、受信したデータが何を記述しているのかを、メッセージIDの値によって識別することができる。
各目標ECU101は、車載ネットワーク202に参加する前は、構成証明において用いられる通信チャンネルを把握していない。そこで、構成証明用鍵(共通鍵)を配布するとともに各目標ECU101にメッセージIDを配布することができる。メッセージIDは、各目標ECU101のデータベース内に、それぞれデータ421、431、441として格納される。
通信データの種別毎にメッセージIDを変えることにより、通信の秘匿性がより一層高まる。すなわち、悪意の第3者はどのメッセージIDを用いて共通鍵が配信されているかを知らないため、通信データのなかから共通鍵を抽出することが困難である。
上述の各情報の他、構成管理サーバ内データベース410が格納している、ECU−ID、ソフトウェアバージョンなどの属性情報を、各目標ECU101に配信することもできる。これら情報は、ネットワーク登録装置102や目標ECU101にとって有用な情報である。
ネットワーク登録装置102は、車両のECUが現在どのようなECU群・ソフトウェア群で構成されているのかを調査したい場合がある。また、車載ECUは、協調制御の相手方となる他の車載ECUのソフトウェアバージョンが自局の制御ソフトと対応しているのかを調査したい場合がある。このような要求に答えるため、構成管理サーバ103は、データベース410が保持しているこれら情報を、ネットワーク登録装置102や目標ECU101に配信してもよい。
ただしセキュリティの観点から、これら情報の開示は、ネットワーク登録装置102については前述の認証が厳密に実施された後、車載ECUについては当該ECUの構成証明が厳密に実施された後になされる。
図5に示すデータベース410は、オペレータがネットワーク登録装置102を用いて内容を閲覧し、更新することができるように構成してもよい。閲覧または更新に先立って構成管理サーバ103がネットワーク登録装置102を認証するのは、構成証明の場合と同様である。
<実施の形態2:共通鍵の生成手段>
図6は、構成管理サーバ103が構成証明用鍵(共通鍵)を生成する方法を示す図である。以下図6にしたがって、構成証明用鍵を生成する手順を説明する。
車両識別番号501は、車両個々にユニークに付けられる番号であり、構成管理サーバ103が内部的に情報を保持している。ECU−ID(部品番号)502とソフトウェアバージョン503は、車載ネットワーク202に参加させようとしている目標ECU101のECU−ID(部品番号)とソフトウェアバージョンである。乱数504は、構成管理サーバ103内部で適宜発生させた乱数である。例えば、半導体閾値のホワイトノイズ的な揺らぎで一様乱数を生成するデバイスを用いて生成することができる。簡易的には、例えばマイコンのフリーランカウンタなどを適当なタイミングでキャプチャした数値列を乱数504として採用してもよい。
構成管理サーバ103は、これらの値を一方向性ハッシュ関数505に入力する。一方向性ハッシュ関数505は、固定長のECU固有の共通鍵506を出力する。この共通鍵506またはこれを用いて算出した値を、構成証明用鍵として用いることができる。
一方向性ハッシュ関数505は、ECU固有の共通鍵506から、車両識別番号501、ECU−ID(部品番号)502、ソフトウェアバージョン503などの情報を復元することが不可能となるようにするために用いる。また、入力値が少しでも変わると共通鍵506も変化し、生成値が衝突しにくく、同一の出力値を与える入力値の組み合わせが予見不可能であることも重要である。
一方向性ハッシュ関数505の入力値として、車両識別番号501を用いているので、同じECU−ID(部品番号)502の目標ECU101をネットワーク登録しても、車両ごとに共通鍵506の値は異なる。また、一方向性ハッシュ関数505の入力値として乱数504を用いているので、同一車両の車載ネットワーク202に、同一のECU−ID(部品番号)502および同一のソフトウェアバージョン503の車載ECUを参加させても、参加を実施する毎に共通鍵506の値は異なる。
この仕組みにより、ECU改竄やECU不正入れ換えを検出する能力を向上させることができる。同様の効果を発揮することができれば、一方向性ハッシュ関数505以外の関数を用いてもよいが、共通鍵506に基づき元の値を推測することができないようにする観点からは、一方向性関数を採用することが望ましい。
<実施の形態2:構成証明の手順>
図7は、構成管理サーバ103が目標ECU101を認証する手順を説明するシーケンス図である。ここでは上述のサーバ鍵とECU鍵をパスワードとして用いる例を示した。以下、図7の各ステップについて説明する。
(図7:ステップS701〜S702:構成証明の開始)
構成管理サーバ103は、目標ECU101に対して、構成証明要求を送信する(S701)。この構成証明要求は、車両が特定の状態時(始動直後、アイドリング時、イグニッションオフ直後など)に実施してもよいし、定期的に実施してもよい。目標ECU101は、証明を要求しているのが本当に正規の構成管理サーバ103であるかを確かめるため、サーバ認証要求を返信する(S702)。
(図7:ステップS701〜S702:補足)
前述の構成証明用鍵(共通鍵)とともに通信識別情報413を配布する場合は、図7に示す通信シーケンスは、各ECUが記憶している通信チャンネルまたはメッセージIDを用いて実施される。
(図7:ステップS703〜S704:サーバ側認証)
構成管理サーバ103は、自分の真正性を目標ECU101に示すため、サーバ鍵をサーバ側パスワードとして開示する(S703)。このサーバ鍵と、目標ECU101が内部に保持しているサーバ鍵とが一致した場合、構成管理サーバ103が真正であると結論付けられる(S704)。
(図7:ステップS705〜S707:ECU側構成証明)
構成管理サーバ103が真正である旨を目標ECU101が確認した場合、目標ECU101は、ECU鍵をECU側パスワードとして構成管理サーバ103に送信する(S705)。構成管理サーバ103は、データベース410が保持している鍵と受信したECU鍵が一致した場合、目標ECU101は改竄されていないと判断する(S706)。以上の手順によって構成証明が完了し、構成管理サーバ103はセッション終了通知を目標ECU101に送信する(S707)。
<実施の形態2:構成証明の手順その2>
図7で説明した手順によれば、サーバ認証とECU構成証明を簡便に実行することができる。ただし、サーバ鍵とECU鍵が直接車載ネットワーク202上に流れるので、これをキャプチャすれば、改竄された目標ECU101(もしくは構成管理サーバ103)を作成して車載ネットワーク202に接続することができる。
このような状況を防止し、セキュリティ性能を向上させるため、構成証明用鍵(共通鍵)を直接車載ネットワーク202に流すことに代えて、チャレンジ&レスポンス認証の共通鍵として構成証明用鍵を用いることもできる。図8を用いてその手順を説明する。
図8は、構成管理サーバ103が目標ECU101を認証する手順を示す別方式のシーケンス図である。以下、図8の各ステップについて説明する。
(図8:ステップS801:構成証明要求)
構成管理サーバ103は、目標ECU101に対して、構成証明要求を送信する(S801)。この構成証明要求は、車両が特定の状態時(始動直後、アイドリング時、イグニッションオフ直後など)に実施してもよいし、定期的に実施してもよい。目標ECU101は、証明を要求しているのが本当に正規の構成管理サーバ103であるかを確かめる認証処理を開始する。
(図8:ステップS802〜S803)
目標ECU101は、乱数を発生させ(S802)、サーバ認証用のチャレンジデータとして構成管理サーバ103に送信する(S803)。
(図8:ステップS804〜S805)
構成管理サーバ103は、ステップS803のサーバ認証用チャレンジを受け取り、このデータとサーバ鍵を入力として、一方向性ハッシュ関数を用いてレスポンスを計算する(S804)。構成管理サーバ103は、算出したレスポンスをサーバ側レスポンスとして目標ECU101に送信する(S805)。
(図8:ステップS806)
目標ECU101は、ステップS802で生成した乱数と、構成管理サーバ103との間で共有しているサーバ鍵とを一方向性ハッシュ関数に入力し、レスポンスとして構成管理サーバ103から帰ってくるであろうと予測される期待値を計算する。構成管理サーバ103と目標ECU101は、規約によりそれぞれ同じアルゴリズムの一方向性ハッシュ関数を採用していると推定されるので、同じデータを入力とする一方向性ハッシュ関数の出力値は一致するはずである。
(図8:ステップS807〜S808)
目標ECU101は、ステップS806で計算した値と、構成管理サーバ103から受け取った値とを比較する(S807)。両者の値が一致すれば、構成管理サーバ103の真正性が証明されたことになるので、目標ECU101は構成証明用チャレンジ要求を構成管理サーバに送信する(S808)。
(図8:ステップS809〜S810)
構成管理サーバ103は、ステップS808で目標ECU101が送信した構成証明用チャレンジ要求を受信すると、乱数を発生させ(S809)、目標ECU101に対して構成証明用チャレンジデータとして送信する(S810)。乱数発生の手段は、目標ECU101と同様である。
(図8:ステップS811〜S813)
構成管理サーバ103は、ステップS810で送信したチャレンジデータとECU鍵を用いて、ステップS806と同様の手順でレスポンスの期待値を計算しておく(S811)。目標ECU101は、ステップS810で構成管理サーバ103が送信したチャレンジデータとECU鍵を用いて、ステップS804と同様の手順でレスポンスを計算し(S812)、構成管理サーバ103に返信する(S813)。
(図8:ステップS814〜S815)
構成管理サーバ103は、ステップS813で目標ECU101から返信された構成証明用レスポンスとステップS811で計算した期待値を比較する。両者が一致すれば、目標ECU101の構成証明が得られたことになる(S814)。その後、構成管理サーバ103は、目標ECU101に対してセッション終了通知を送信する(S815)。
<実施の形態2:まとめ>
以上のように、本実施形態2に係る車載ネットワークシステム1000において、構成管理サーバ103は、車載ネットワークに202に接続される全ての車載ECUの識別情報(ECU−ID(部品番号)、ソフトウェアバージョン等)を管理する。この管理形態は、全車両の情報を集約する外部サーバなどを用いず、各車両が自己の識別情報を個別に保持する分散制御として構成される。したがって、情報管理形態としてロバストであり、個別車両の構成管理サーバ103が破られても、セキュリティ危機が全車両に波及することがない。
また、本実施形態2に係る車載ネットワークシステム1000において、目標ECU101を車載ネットワーク202に参加させる際に、信頼できるネットワーク登録装置102の力を借りて、安全に構成証明用鍵(共通鍵)を配信することができる。これにより、上述のように簡単なチャレンジ&レスポンス認証で、構成管理サーバ103と目標ECU101が互いに相手方を認証し、構成の真正性を互いに証明し合うことができる。
また、本実施形態2に係る車載ネットワークシステム1000においては、構成証明を実施する際に、高度な暗号化通信(一般の共通鍵暗号や公開鍵暗号)や共通鍵配信技術(KPS方式など)を使う必要がない。すなわち、現状のECUにおけるCPU/ROM/RAM等の計算リソースを構成証明のために浪費する必要がなくなり、ひいては実装コストが増加しない。したがって本手法は、構成証明機能を車載ネットワークシステム1000に簡便に付加し、ECUの改竄に対抗する手法として、非常にコストパフォーマンスに優れた方式であると言える。
<実施の形態3>
本発明の実施形態3では、実施形態2で開示した車載ネットワークシステム1000の具体的なソフトウェア実装例について説明する。図9と図10は、図8で示したチャレンジ&レスポンス方式の構成証明手順を、ソフトウェア実装の観点でフローチャートとして開示したものである。したがって、機能として図8のシーケンスとは完全に等価というわけではなく、異常系処理と診断NG時の警告系処理を含んでいる。
図9は、構成管理サーバ103の内部で実行される処理を示すフローチャートである。以下、図9の各ステップについて説明する。
(図9:ステップS901〜S905:構成証明開始)
構成管理サーバ103は、データベース410より、検証すべき目標ECU101の共通鍵を読み出し、構成証明に備える(S901)。その後、該当する目標ECU101に対して構成証明要求を送信し(S902)、タイムアウト計測に備えてタイマを初期化する(S903)。構成管理サーバ103は、サーバ認証用チャレンジデータの到来を待ち受け(S904)、データが到来すればステップS906に遷移する。サーバ認証用チャレンジデータが到来せずタイムアウトと判定された場合は(S905)、目標ECU101が反応していないと判断し、ステップS917に遷移する。
(図9:ステップS906〜S910:サーバ側認証)
構成管理サーバ103は、サーバ認証用チャレンジデータを受信すると、サーバ鍵を用いてレスポンスを計算し(S906)、目標ECU101にレスポンスを返信する(S907)。その後、ECU側の判定を待ち受けるためのタイムアウト計測に備えてタイマを初期化する(S908)。構成管理サーバ103は、目標ECU101から構成証明用チャレンジ要求を待ち受け(S909)、要求を受信すると、目標ECU101がサーバ認証を受け入れたということなので、ステップS911に遷移する。構成証明用チャレンジ要求が到来せずタイムアウトと判定された場合は(S910)、目標ECU101がサーバ認証を受け入れなかったか、または目標ECU101が改竄され手続きを知らない可能性があると判断し、ステップS917に遷移する。
(図9:ステップS911〜S916:ECU側証明要求)
ステップS911〜S916は、目標ECU101の構成証明を実施するためのデータを準備するステップである。構成管理サーバ103は、乱数を発生させ(S911)、構成証明用チャレンジデータとして目標ECU101に送信する(S912)。その後、タイムアウト計測用タイマを初期化し(S913)、ステップS901で検索済みの目標ECU101のECU鍵を用いて、レスポンスの期待値を計算する(S914)。構成管理サーバ103は、目標ECU101から構成証明用レスポンスを待ち受け(S915)、レスポンスがあった場合はステップS918に遷移する。構成証明用レスポンスが到来せずタイムアウトと判定された場合は(S916)、目標ECU101が改竄され手続きを知らない可能性があると判断し、ステップS917に遷移する。
(図9:ステップS917:ECU不正検出&警告処理)
構成管理サーバ103は、適当なインターフェースを介して、目標ECU101が改竄されている旨の警告信号を出力するか、またはその旨を記述した通信データを車載ネットワーク202に対してブロードキャストする。
(図9:ステップS918〜S920:構成証明結果)
構成管理サーバ103は、ステップS914で計算した期待値と、目標ECU101から受信した構成証明用レスポンスとを比較する(S918)。両者が一致すれば構成証明が完了したということなので、目標ECU101にセッション終了通知を送信し(S919)、構成証明が終了したことを通知する。その後、全ての検査すべき車載ECUについて構成証明が完了したか否かをチェックする(S920)。完了している場合は図9の処理を終了し、未完である場合はステップS901に戻る。期待値と構成証明用レスポンスとが一致しなかった場合は、目標ECU101が他の車両のものと取り換えられたり、車載ネットワーク202に参加する処理を実行しないまま車載ネットワーク202に接続されたりするなど、不正な改竄が行われた可能性があると判断し、ステップS917に遷移する。
図10は、目標ECU101の内部で実行される処理を示すフローチャートである。以下、図10の各ステップについて説明する。
(図10:ステップS1001〜S1007:サーバ側認証開始)
目標ECU101は、構成管理サーバ103からの構成証明要求を待ち受け、要求が到着するとステップS1002に遷移する(S1001)。目標ECU101は、構成管理サーバ103が改竄されていないか(悪意の盗聴装置ではないか)を確認するために乱数を発生し(S1002)、サーバ認証用チャレンジデータとして送信する(S1003)。目標ECU101は、タイムアウト計測用タイマを初期化し(S1004)、サーバ鍵を用いて構成管理サーバ103からのレスポンスの期待値を計算する(S1005)。目標ECU101は、構成管理サーバ103からのサーバ認証用レスポンスを待ち受け(S1006)、返信を受け取るとステップS1008に遷移する。サーバ認証用レスポンスが到来せずタイムアウトと判定された場合は(S1007)、構成管理サーバ103が改竄されるか、または悪意の盗聴装置と交換されている可能性があると判断し、ステップS1018に遷移する。
(図10:ステップS1008〜S1012:ECU側構成証明開始)
目標ECU101は、ステップS1005で計算した期待値と、構成管理サーバ103から受信したサーバ認証用レスポンスとを比較する(S1008)。両者が一致すれば、構成管理サーバ103の真正性が確認されたということなので、ステップS1009に遷移する。期待値とサーバ認証用レスポンスとが一致しなかった場合は、構成管理サーバ103が他の車両のものと取り換えられるか、または不正な改竄が行われた可能性があると判断し、ステップS1018に遷移する。目標ECU101は、構成管理サーバ103に対して、自局の真正性を証明するための構成証明用チャレンジデータを送信するよう要求する(S1009)。その後、構成管理サーバ103から構成証明用チャレンジデータを待ち受けるためのタイムアウト計測に備えてタイマを初期化する(S1010)。目標ECU101は、構成管理サーバ103から構成証明用チャレンジデータを待ち受け、返信を受け取るとステップS1013に遷移する。構成証明用チャレンジデータが到来せずタイムアウトと判定された場合は(S1012)、構成管理サーバ103が改竄され手続きを知らない可能性があると判断し、ステップS1018に遷移する。
(図10:ステップS1013〜S1017:構成証明結果)
目標ECU101は、構成管理サーバ103から受信した構成証明用チャレンジデータとECU鍵を用いてレスポンスを計算し(S1013)、構成管理サーバに返信する(S1014)。また、構成管理サーバ103からの応答を監視するためのタイムアウト計測に備えてタイマを初期化する(S1015)。目標ECU101は、構成管理サーバ103からセッション終了通知を待ち受け、返信を受け取ると、構成管理サーバ103が構成証明を完了したことを意味しているので、図10の処理を終了する(S1016)。構成証明用チャレンジデータが到来せずタイムアウトと判定された場合は(S1017)、構成管理サーバ103が他の車両のものと取り換えられるか、または不正な改竄が行われた可能性があると判断し、ステップS1018に遷移する。
(図10:ステップS1018:構成管理サーバ不正検出&警告処理)
目標ECU101は、適当なインターフェースを介して、構成管理サーバ103が改竄されている旨の警告信号を出力するか、またはその旨を記述した通信データを車載ネットワーク202に対してブロードキャストする。
<実施の形態3:まとめ>
以上のように、本実施形態3に係る車載ネットワークシステム1000において、構成証明は、構成管理サーバ103と目標ECU101の間の相互認証によって実施される。これにより、構成管理サーバ103または目標ECU101が改竄されたことを検知し、その旨の警告を発信することができる。
<実施の形態4>
図11は、実施形態1〜3で説明した構成証明手法を、構成証明以外の用途に応用した動作例を説明する図である。図11では、ECU101が2台存在し(ECU101aと101b)、これらECUの間でデジタル署名付きのメッセージを送受信する動作を想定する。
ECU鍵は、構成管理サーバ103と特定の車載ECUのペア間のみで共有される情報であるが、サーバ鍵は複数の車載ECUが共有する情報である。したがって、サーバ鍵を用いて複数の車載ECU間でメッセージ認証符号(MAC:Message Authentication Code)を送受信し、メッセージの真正性を保証することが考えられる。
サーバ鍵は、目標ECU101が車載ネットワーク202に参加するときに、構成管理サーバ103から安全に配布されたものであり、車載ネットワーク202に属する正規ECU以外には流出しない。よって、このサーバ鍵を用いてデジタル署名(メッセージ認証符号を添付すること)を実施すれば、構成管理サーバ103により認証を受けた車載ECUからのメッセージであることを、他ECUが確認することができる。
ECU101aは、送りたいメッセージ1011aとサーバ鍵1012aを一方向性ハッシュ関数1013aに入力してメッセージ認証符号(MAC)1014aを生成する。メッセージ1011aとメッセージ認証符号(MAC)1014aをパッキング(S1101)して送信バッファ1015aに格納し、車載ネットワーク202に送り出す(S1102)。
ECU101bは、ECU101aが送信した信号を受信(S1103)して受信バッファ1016bに格納し、送信側と申し合わせた規約によりアンパック(S1104)して、メッセージ1011bとメッセージ認証符号(MAC)1014bとに分離する。
ECU101bは、メッセージ1011bとサーバ鍵1012b(サーバ鍵1012aと等しいと推定される)を一方向性ハッシュ関数1013bに入力して受信側メッセージ認証符号(MAC)を作成し(S1105)、MAC1014bと受信側メッセージ認証符号(MAC)を比較器1017bにより比較する。両者が一致する旨の判定結果1018bが得られれば、メッセージ1011bの内容が確かにECU101aによって作成されたものであり、途中で改竄されていないと判断できる。
なお、一方向性ハッシュ関数1013aと1013bは、ECU間の規約にしたがって同一のアルゴリズムを採用するものとする。
図11では、ネットワーク登録装置102により正規に車載ネットワーク202へ参加したECUが共通して保持するサーバ鍵を用いてメッセージ認証符号(MAC)を実現する実施例を開示したが、この用途はメッセージ認証符号に限られるものではなく、共通鍵暗号方式(例えば、DES方式、AES(Advanced Encryption Standard)方式など)による車載ECU間の暗号化通信に応用してもよい。
<実施の形態4:まとめ>
以上のように、本発明による車載ECU間で共通鍵を共有する手法は、構成証明用途のみならず、任意の車載ECU間での高信頼度通信についても有効であることが分かる。
<実施の形態5>
図12は、近年の代表的な高機能車両が備えている車載ネットワークのネットワークトポロジー例を示す図である。ネットワーク登録装置(ソフトウェア書換装置が兼任)102、構成管理サーバ103、各ECUなどの構成および動作は、実施形態1〜4と同様である。
図12において、4群のネットワークが搭載されており、各々通信ゲートウェイ(ゲートウェイECU)201によってネットワークが束ねられている。図12では、ゲートウェイECU201を中心にしてスター型のネットワーク配置を採用しているが、ゲートウェイECU201を複数段設けてカスケード型の接続形態を採用してもよい。
図12に示す車載ネットワークには、駆動系ネットワーク301、シャーシ/安全系ネットワーク305、ボディ/電装系ネットワーク309、AV/情報系ネットワーク313が搭載されている。
駆動系ネットワーク301の配下には、エンジン制御ECU302、AT(Automatic Transmission)制御ECU303、HEV(Hybrid Electric Vehicle)制御ECU304が接続されている。シャーシ/安全系ネットワーク305の配下には、ブレーキ制御ECU306、シャーシ制御ECU307、ステアリング制御ECU308が接続されている。ボディ/電装系ネットワーク309の配下には、計器表示ECU310、エアコン制御ECU311、盗難防止制御ECU312が接続されている。AV/情報系ネットワーク313の配下には、ナビゲーションECU314、オーディオECU315、ETC/電話ECU316が接続されている。
また、車両と外部との間で情報を送受信するため、車外通信部317が車外情報用ネットワーク322によってゲートウェイECU201に接続されている。車外通信部317には、ETC無線機318、VICS(Vehicle Information and Communication System)無線機319、TV/FM無線機320、電話用無線機321が接続されている。
ネットワーク登録装置102は、車両が備えている接続用車両コネクタ104を介して、車外情報用ネットワーク322の1ノードとして接続するように構成されている。これに代えて、他のネットワーク(駆動系ネットワーク301、シャーシ/安全系ネットワーク305、ボディ/電装系ネットワーク309、AV/情報系ネットワーク313)またはゲートウェイECU201に単独で接続してもよい。すなわち、機械的な配置は無関係であって、直接もしくはゲートウェイECU201を介して目標ECUに対して電気信号が到達すればよい。
電話用無線機321を通じてネットワーク越しに車外通信網からネットワーク登録装置102の機能を実施することもできる。例えば、構成管理サーバ103のデータベース検索や目標ECU101の構成証明用データのメンテナンスなどが考えられる。この場合においても、上述の実施形態1〜4と同様の手法を用いることができる。
電話網越しやインターネット越しにECUのソフトウェアを書き換える手法は、リコールなどの不具合対応に際してその実施コストを下げる重要技術であって、将来的にありふれた行為になることが予想される。
したがって、本発明で開示する技術を用いることによって、このソフトウェア書き換え後に引き続いて、リモートで構成管理サーバ103のデータベース内容を更新し、リモートでソフトウェア書き換え後の車載ECUを正しくネットワークに再登録することができる。
図12では、構成管理サーバ103を通信ゲートウェイECU201の配下に直接接続したが、構成管理サーバ103のネットワーク上の位置は任意でよい。すなわち、電気信号的な接続が確保できるのであれば、他のネットワーク(駆動系ネットワーク301、シャーシ/安全系ネットワーク305、ボディ/電装系ネットワーク309、AV/情報系ネットワーク313、車外情報用ネットワーク322など)に直接接続してもよい。
ただし、以下の2つの観点で通信ゲートウェイECU201が構成管理サーバ103の役割を兼ねることが望ましい。
(1)図1の認証シーケンスS111が失敗したとき、ネットワーク登録装置102からの通信を、目標ECU101が属する車載ネットワーク(駆動系ネットワーク301、シャーシ/安全系ネットワーク305、ボディ/電装系ネットワーク309、AV/情報系ネットワーク313)から電気的に切り離すことができる。この構成を用いることによって、いわゆるファイヤーウォール(防火壁)機能を通信ゲートウェイ201に付与することになるので、車載ネットワークに対する外部からの侵入リスクを低下させ、セキュリティをさらに向上させることができる。
(2)車両の不正改造・特定車載ECUの改竄などの目的で、構成管理サーバ103が車載ネットワークから除去される行為を防がなければならない。その目的では、通信ゲートウェイECU201と構成管理サーバ103が機能統合されており、1つのECUであることは望ましい。なぜなら、構成管理サーバ103を除去すると、複数の車載ネットワークにまたがる相互の通信が実施できなくなるからである。
以上、本発明者によってなされた発明を実施形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることは言うまでもない。
また、上記各構成、機能、処理部などは、それらの全部または一部を、例えば集積回路で設計することによりハードウェアとして実現することもできるし、プロセッサがそれぞれの機能を実現するプログラムを実行することによりソフトウェアとして実現することもできる。各機能を実現するプログラム、テーブルなどの情報は、メモリやハードディスクなどの記憶装置、ICカード、DVDなどの記憶媒体に格納することができる。
101:目標ECU、102:ネットワーク登録装置、103:構成管理サーバ、104:接続用車両コネクタ、201:通信ゲートウェイ、202:車載ネットワーク、301:駆動系ネットワーク、302:エンジン制御ECU、303:AT制御ECU、304:HEV制御ECU、305:シャーシ/安全系ネットワーク、306:ブレーキ制御ECU、307:シャーシ制御ECU、308:ステアリング制御ECU、309:ボディ/電装系ネットワーク、310:計器表示ECU、311:エアコン制御ECU、312:盗難防止制御ECU、313:AV/情報系ネットワーク、314:ナビゲーションECU、315:オーディオECU、316:ETC/電話ECU、317:車外通信部、318:ETC無線機、319:VICS無線機、320:TV/FM無線機、321:電話用無線機、322:車外情報用ネットワーク、1000:車載ネットワークシステム。

Claims (14)

  1. 車両の動作を制御する車載制御装置と、
    前記車載制御装置が前記車両の車載ネットワークに参加する正当権限を有するか否かを認証する構成管理装置と、
    を備え、
    前記構成管理装置は、
    前記車載制御装置を前記車載ネットワークに参加させる登録装置から、前記車載制御装置を前記車載ネットワークに参加させるよう要求する登録要求を受け取ると、前記登録装置に対する認証を実施した上で、前記車載制御装置に固有の構成証明データを作成して前記登録装置に返信し、
    前記登録装置は、
    前記車載制御装置を前記車載ネットワークに参加させるときのみ前記車載ネットワークに対して接続される装置として構成されており、
    前記登録要求に対する前記構成管理装置からの返信において前記構成管理装置から前記構成証明データを受け取って前記車載制御装置に中継し、
    前記車載制御装置は、
    前記登録装置から前記構成証明データを受け取ってメモリ内に格納し、
    前記構成管理装置はさらに、
    前記構成証明データを用いて前記車載制御装置を認証する
    ことを特徴とする車載ネットワークシステム。
  2. 前記構成管理装置は
    前記車載制御装置を認証する認証手順とは異なる認証手順によって前記登録装置を認証する
    ことを特徴とする請求項1記載の車載ネットワークシステム。
  3. 前記構成証明データは、
    前記構成管理装置が前記車載制御装置を認証する際のパスワード、または
    前記構成管理装置が前記車載制御装置を認証する際に実施するチャレンジ&レスポンス認証において前記車載制御装置がレスポンスを生成する際に用いる共通鍵
    のうち少なくともいずれかを含む
    ことを特徴とする請求項1記載の車載ネットワークシステム。
  4. 前記構成証明データは、
    前記車載制御装置が前記車載ネットワーク上でメッセージ認証符号を送受信する際に、メッセージからデジタル署名を作成するために用いる共通鍵、または
    前記車載制御装置が前記車載ネットワーク上で暗号化通信を実施するために用いる共通鍵
    のうち少なくともいずれかを含む
    ことを特徴とする請求項1記載の車載ネットワークシステム。
  5. 前記構成管理装置は、
    前記車載制御装置毎、前記車載制御装置が備えるソフトウェアのバージョン毎、前記車両の車種毎、または前記車両を個体毎に識別する車両識別番号毎に異なる値を出力する一方向性関数を用いて、前記構成証明データを生成する
    ことを特徴とする請求項1記載の車載ネットワークシステム。
  6. 前記構成管理装置は、
    前記車載ネットワークに参加している前記車載制御装置から、前記構成証明データまたは前記構成証明データを用いて生成された認証データを受信することにより、前記車載ネットワークに参加している前記車載制御装置を認証し、
    前記車載ネットワークに参加している前記車載制御装置に対して前記構成証明データまたは前記認証データを送信するように要求してもその応答として前記構成証明データまたは前記認証データを受信することができない場合、前記車載ネットワークに参加している前記車載制御装置から定期的に前記構成証明データまたは前記認証データを受信することができない場合、または前記車載制御装置の認証に失敗した場合は、
    前記車載制御装置が改竄された旨を示す警告信号を出力するか、または前記車載制御装置が改竄された旨を記述した通信パケットを前記車載ネットワークに対してブロードキャストする
    ことを特徴とする請求項1記載の車載ネットワークシステム。
  7. 前記車載制御装置は、前記構成証明データまたは前記構成証明データを用いて生成された認証データを用いて前記構成管理装置を認証する
    ことを特徴とする請求項1記載の車載ネットワークシステム。
  8. 前記車載制御装置は、
    前記構成管理装置から前記構成証明データまたは前記認証データを受信することにより、前記構成管理装置を認証し、
    前記構成管理装置に対して前記構成証明データまたは前記認証データを送信するように要求してもその応答として前記構成証明データまたは前記認証データを受信することができない場合、前記構成管理装置から定期的に前記構成証明データまたは前記認証データを受信することができない場合、または前記構成管理装置の認証に失敗した場合は、
    前記構成管理装置が改竄された旨を示す警告信号を出力するか、または前記構成管理装置が改竄された旨を記述した通信パケットを前記車載ネットワークに対してブロードキャストするか、または以後の前記構成管理装置からの指示に従わない
    ことを特徴とする請求項7記載の車載ネットワークシステム。
  9. 前記構成証明データは、前記構成管理装置と前記車載制御装置の間で送受信する通信データの種別を記述した識別番号を含み、
    前記構成管理装置と前記車載制御装置は、前記識別番号を指定した通信データによって前記構成証明データを送受信する
    ことを特徴とする請求項1記載の車載ネットワークシステム。
  10. 前記構成管理装置は、
    前記車載ネットワークに接続する装置間の通信を中継する通信ゲートウェイとして動作し、
    前記登録装置の認証に失敗した場合は、前記登録装置と前記車載制御装置との間の通信を遮断する
    ことを特徴とする請求項1記載の車載ネットワークシステム。
  11. 前記登録装置は、前記車載制御装置が搭載しているソフトウェアを書き換える書換装置としての機能を備える
    ことを特徴とする請求項1記載の車載ネットワークシステム。
  12. 前記登録装置は、前記車載ネットワークに一時的に接続する通信装置である
    ことを特徴とする請求項1記載の車載ネットワークシステム。
  13. 前記登録装置は、前記車両の外部に配置され、前記車載ネットワークを経由して前記構成管理装置または前記車載制御装置と通信する
    ことを特徴とする請求項1記載の車載ネットワークシステム。
  14. 前記構成管理装置は、
    前記車載ネットワークに接続する前記車載制御装置の種別および搭載しているソフトウェアのバージョンを管理するデータベースを備え、
    前記登録装置からの要求に応じて前記データベースが格納しているデータを更新し、
    前記登録装置または前記車載制御装置から前記データベースが格納しているデータに対する問い合わせを受け取って前記データベースが格納しているデータを返信する
    ことを特徴とする請求項1記載の車載ネットワークシステム。
JP2011150357A 2011-07-06 2011-07-06 車載ネットワークシステム Active JP5479408B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2011150357A JP5479408B2 (ja) 2011-07-06 2011-07-06 車載ネットワークシステム
PCT/JP2012/066945 WO2013005730A1 (ja) 2011-07-06 2012-07-03 車載ネットワークシステム
US14/127,062 US9132790B2 (en) 2011-07-06 2012-07-03 In-vehicle network system
DE112012002836.8T DE112012002836B4 (de) 2011-07-06 2012-07-03 Fahrzeugbasiertes Netzwerksystem

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011150357A JP5479408B2 (ja) 2011-07-06 2011-07-06 車載ネットワークシステム

Publications (2)

Publication Number Publication Date
JP2013017140A JP2013017140A (ja) 2013-01-24
JP5479408B2 true JP5479408B2 (ja) 2014-04-23

Family

ID=47437078

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011150357A Active JP5479408B2 (ja) 2011-07-06 2011-07-06 車載ネットワークシステム

Country Status (4)

Country Link
US (1) US9132790B2 (ja)
JP (1) JP5479408B2 (ja)
DE (1) DE112012002836B4 (ja)
WO (1) WO2013005730A1 (ja)

Families Citing this family (85)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5479408B2 (ja) 2011-07-06 2014-04-23 日立オートモティブシステムズ株式会社 車載ネットワークシステム
JP5651615B2 (ja) * 2012-02-16 2015-01-14 日立オートモティブシステムズ株式会社 車載ネットワークシステム
JP6011379B2 (ja) * 2013-02-06 2016-10-19 トヨタ自動車株式会社 改竄検知システム、電子制御ユニット
JP6024564B2 (ja) * 2013-03-28 2016-11-16 株式会社オートネットワーク技術研究所 車載通信システム
ES2664573T3 (es) * 2013-06-12 2018-04-20 Bosch Corporation Aparato de control para un dispositivo de protección de pasajeros de vehículos o peatones y un sistema de control
JP6181493B2 (ja) 2013-09-20 2017-08-16 国立大学法人名古屋大学 書換検出システム、書換検出装置及び情報処理装置
US9253200B2 (en) * 2013-10-28 2016-02-02 GM Global Technology Operations LLC Programming vehicle modules from remote devices and related methods and systems
US9374355B2 (en) 2013-10-28 2016-06-21 GM Global Technology Operations LLC Programming vehicle modules from remote devices and related methods and systems
KR101519777B1 (ko) * 2014-01-29 2015-05-12 현대자동차주식회사 차량 네트워크 내의 제어기간의 데이터 송신 방법 및 수신 방법
WO2015129352A1 (ja) * 2014-02-28 2015-09-03 日立オートモティブシステムズ株式会社 認証システム、車載制御装置
WO2015159520A1 (ja) * 2014-04-17 2015-10-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、不正検知電子制御ユニット及び不正検知方法
CN111181732A (zh) * 2014-05-08 2020-05-19 松下电器(美国)知识产权公司 车载网络系统、电子控制单元及不正常检测方法
CN105594155B (zh) * 2014-05-08 2019-08-02 松下电器(美国)知识产权公司 车载网络系统、电子控制单元以及更新处理方法
KR101535588B1 (ko) * 2014-05-09 2015-07-10 현대오트론 주식회사 차량 네트워크와 외부 네트워크 사이의 데이터 통신 제어 방법 및 장치
US9705882B2 (en) * 2014-06-13 2017-07-11 Pismo Labs Technology Limited Methods and systems for managing a node
US10211990B2 (en) * 2014-07-25 2019-02-19 GM Global Technology Operations LLC Authenticating messages sent over a vehicle bus that include message authentication codes
JP2016086353A (ja) * 2014-10-28 2016-05-19 株式会社デンソー 通信装置
US10158966B2 (en) 2014-11-05 2018-12-18 At&T Intellectual Property I, L.P. Connected car data links aggregator
DE102014118042A1 (de) 2014-12-05 2016-06-09 Schneider Electric Automation Gmbh Verfahren zur nachverfolgbaren Programmierung und Konfigurierung eines Geräts
JP6079768B2 (ja) * 2014-12-15 2017-02-15 トヨタ自動車株式会社 車載通信システム
FR3031268B1 (fr) * 2014-12-30 2017-01-13 Valeo Comfort & Driving Assistance Procede d’inscription d’un utilisateur a un service de commande d’une fonctionnalite d’un vehicule au moyen d’un terminal utilisateur
CN107113174B (zh) * 2015-01-16 2020-04-21 株式会社自动网络技术研究所 通信系统及对照方法
JP6216730B2 (ja) * 2015-03-16 2017-10-18 日立オートモティブシステムズ株式会社 ソフト更新装置、ソフト更新方法
JP6262681B2 (ja) * 2015-03-26 2018-01-17 Kddi株式会社 管理装置、車両、管理方法、及びコンピュータプログラム
JP6387908B2 (ja) * 2015-06-22 2018-09-12 トヨタ自動車株式会社 認証システム
JP6345157B2 (ja) * 2015-06-29 2018-06-20 クラリオン株式会社 車載情報通信システム及び認証方法
JP6423096B2 (ja) * 2015-06-30 2018-11-14 日立オートモティブシステムズ株式会社 車両データ書換制御装置および車両データ書換認証システム
JP6197000B2 (ja) * 2015-07-03 2017-09-13 Kddi株式会社 システム、車両及びソフトウェア配布処理方法
JP6178390B2 (ja) * 2015-08-05 2017-08-09 Kddi株式会社 管理装置、管理システム、車両、管理方法、及びコンピュータプログラム
US11201736B2 (en) 2015-08-05 2021-12-14 Kddi Corporation Management device, management system, key generation device, key generation system, key management system, vehicle, management method, key generation method, and computer program
CN105959249B (zh) * 2015-09-11 2019-03-29 天地融科技股份有限公司 电子设备的管理方法及系统
JP6675271B2 (ja) * 2015-09-14 2020-04-01 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America ゲートウェイ装置、車載ネットワークシステム及びファームウェア更新方法
US10277597B2 (en) 2015-11-09 2019-04-30 Silvercar, Inc. Vehicle access systems and methods
JP6523143B2 (ja) * 2015-11-13 2019-05-29 株式会社東芝 データ配布装置、通信システム、移動体およびデータ配布方法
JP2017108212A (ja) * 2015-12-07 2017-06-15 Kddi株式会社 鍵生成方法、鍵生成システム、及びコンピュータプログラム
JP6649215B2 (ja) * 2015-12-14 2020-02-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ装置、ネットワークシステム及び攻撃検知方法
DE102016124352A1 (de) * 2015-12-18 2017-06-22 Toyota Jidosha Kabushiki Kaisha Kommunikationssystem und ein in dem Kommunikationssystem ausgeführtes Informationssammelverfahren
JP6551239B2 (ja) 2016-01-06 2019-07-31 株式会社デンソー 車両用制御システム
WO2017126322A1 (ja) * 2016-01-18 2017-07-27 Kddi株式会社 車載コンピュータシステム、車両、鍵生成装置、管理方法、鍵生成方法、及びコンピュータプログラム
JP6260066B2 (ja) 2016-01-18 2018-01-17 Kddi株式会社 車載コンピュータシステム及び車両
JP6223484B2 (ja) * 2016-02-29 2017-11-01 Kddi株式会社 車載制御システム、車両、鍵配信装置、制御装置、鍵配信方法、及びコンピュータプログラム
WO2017165828A1 (en) * 2016-03-25 2017-09-28 T-Central, Inc. System and method for internet of things (iot) security and management
CN106101111B (zh) * 2016-06-24 2019-10-25 郑州信大捷安信息技术股份有限公司 车载电子安全通信系统及通信方法
JP6641241B2 (ja) * 2016-07-04 2020-02-05 株式会社日立製作所 情報共有システム、計算機、及び、情報共有方法
US11146401B2 (en) * 2016-08-10 2021-10-12 Ford Global Technologies, Llc Software authentication before software update
US10285051B2 (en) * 2016-09-20 2019-05-07 2236008 Ontario Inc. In-vehicle networking
WO2018078406A1 (en) * 2016-10-31 2018-05-03 Harman Becker Automotive Systems Gmbh Software update mechanism for safety critical systems
JP6485429B2 (ja) * 2016-11-04 2019-03-20 トヨタ自動車株式会社 車載ネットワークシステム
JP6683588B2 (ja) * 2016-11-10 2020-04-22 Kddi株式会社 再利用システム、サーバ装置、再利用方法、及びコンピュータプログラム
JP6288219B1 (ja) * 2016-11-18 2018-03-07 Kddi株式会社 通信システム
JP6218914B1 (ja) * 2016-11-30 2017-10-25 Kddi株式会社 配信システム、データ保安装置、配信方法、及びコンピュータプログラム
KR102642924B1 (ko) * 2016-12-07 2024-03-04 삼성전자주식회사 차량의 동작하는 방법 및 장치.
JP7094670B2 (ja) * 2017-07-03 2022-07-04 矢崎総業株式会社 設定装置及びコンピュータ
JP6766766B2 (ja) * 2017-07-10 2020-10-14 住友電気工業株式会社 認証制御装置、認証制御方法および認証制御プログラム
JP7169340B2 (ja) * 2017-07-25 2022-11-10 オーロラ ラブズ リミテッド 車両ecuソフトウェアのためのソフトウェアデルタ更新の構築およびツールチェーンに基づく異常検出
US10796500B2 (en) * 2017-08-01 2020-10-06 Ford Global Technologies, Llc Electronic communication modules provisioning for smart connectivity
US10652742B2 (en) * 2017-11-20 2020-05-12 Valeo Comfort And Driving Assistance Hybrid authentication of vehicle devices and/or mobile user devices
JP6519060B2 (ja) * 2017-12-13 2019-05-29 Kddi株式会社 管理装置、車両、管理方法、及びコンピュータプログラム
FR3076645A1 (fr) * 2018-01-08 2019-07-12 Psa Automobiles Sa Procede de controle de la conformite de calculateur(s) d’un vehicule par comparaison d’identifiants, et systeme de controle associe
CN108259484B (zh) * 2018-01-09 2021-03-19 北京汽车股份有限公司 车载控制器的安全访问方法及系统
US11178158B2 (en) * 2018-01-29 2021-11-16 Nagravision S.A. Secure communication between in-vehicle electronic control units
US10826706B1 (en) 2018-01-30 2020-11-03 State Farm Mutual Automobile Insurance Company Systems and methods for vehicle configuration verification with failsafe code
JP7031374B2 (ja) 2018-03-01 2022-03-08 株式会社デンソー 検証端末、検証システム
JP6552674B1 (ja) * 2018-04-27 2019-07-31 三菱電機株式会社 検査システム
US11579865B2 (en) 2018-08-10 2023-02-14 Denso Corporation Vehicle information communication system
WO2020032196A1 (ja) * 2018-08-10 2020-02-13 株式会社デンソー 車両情報通信システム
US11163549B2 (en) 2018-08-10 2021-11-02 Denso Corporation Vehicle information communication system
US11178712B2 (en) 2018-10-02 2021-11-16 Deere & Company Systems and methods to establish secure vehicle networks
KR102450811B1 (ko) * 2018-11-26 2022-10-05 한국전자통신연구원 차량 내부 네트워크의 키 관리 시스템
US10991175B2 (en) * 2018-12-27 2021-04-27 Beijing Voyager Technology Co., Ltd. Repair management system for autonomous vehicle in a trusted platform
US11290437B2 (en) * 2018-12-27 2022-03-29 Beijing Voyager Technology Co., Ltd. Trusted platform protection in an autonomous vehicle
WO2020170926A1 (ja) * 2019-02-18 2020-08-27 株式会社オートネットワーク技術研究所 車載通信装置、プログラム及び、通信方法
KR20200102213A (ko) 2019-02-21 2020-08-31 현대자동차주식회사 차량 내 네트워크에서 보안을 제공하는 방법 및 시스템
US11329983B2 (en) * 2019-03-25 2022-05-10 Micron Technology, Inc. Validating an electronic control unit of a vehicle
US11101984B2 (en) * 2019-04-04 2021-08-24 Micron Technology, Inc. Onboarding software on secure devices to generate device identities for authentication with remote servers
JP7008661B2 (ja) * 2019-05-31 2022-01-25 本田技研工業株式会社 認証システム
CN112153646B (zh) * 2019-06-28 2022-03-08 华为技术有限公司 认证方法、设备及系统
CN112422595B (zh) * 2019-08-20 2022-10-11 华为技术有限公司 车载系统安全保护方法及设备
CN112702374B (zh) * 2019-10-23 2022-04-12 北京新能源汽车股份有限公司 一种车辆信息的处理方法、装置及车辆
CN111356114B (zh) * 2020-02-19 2023-06-20 阿波罗智联(北京)科技有限公司 车内电子控制单元升级方法、装置、设备和车辆系统
DE102020111450A1 (de) 2020-04-27 2021-10-28 Bayerische Motoren Werke Aktiengesellschaft Erkennen von Fehlern in einem Computernetzwerk
US11979742B2 (en) * 2021-04-22 2024-05-07 Ford Global Technologies, Llc Unauthorized device resource drain prevention
CN117223251A (zh) * 2021-04-30 2023-12-12 华为技术有限公司 一种密钥更新方法及其相关设备
US20230087521A1 (en) * 2021-09-20 2023-03-23 Ford Global Technologies, Llc Computing device verification
WO2024036435A1 (zh) * 2022-08-15 2024-02-22 华为技术有限公司 通信方法、装置和系统

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1988001120A1 (en) 1986-07-31 1988-02-11 Kabushiki Kaisya Advance System for generating a shared cryptographic key and a communication system using the shared cryptographic key
JPS6336634A (ja) 1986-07-31 1988-02-17 Advance Co Ltd 暗号鍵共有方式
US5153919A (en) 1991-09-13 1992-10-06 At&T Bell Laboratories Service provision authentication protocol
JP4576997B2 (ja) * 2004-04-28 2010-11-10 株式会社デンソー 通信システム、鍵配信装置、暗号処理装置
JP2006025298A (ja) * 2004-07-09 2006-01-26 Oki Electric Ind Co Ltd 相互認証方法、相互認証装置、及び相互認証システム
JP2007153021A (ja) * 2005-12-01 2007-06-21 Jtekt Corp 通信方法
JP4597060B2 (ja) * 2006-02-07 2010-12-15 日立オートモティブシステムズ株式会社 車両制御装置間ネットワーク
US20110083161A1 (en) * 2008-06-04 2011-04-07 Takayuki Ishida Vehicle, maintenance device, maintenance service system, and maintenance service method
JP2010011400A (ja) 2008-06-30 2010-01-14 National Institute Of Advanced Industrial & Technology 共通鍵方式の暗号通信システム
JP5121668B2 (ja) 2008-10-22 2013-01-16 キヤノン株式会社 通信装置、通信装置の制御方法、プログラム
JP5395036B2 (ja) 2010-11-12 2014-01-22 日立オートモティブシステムズ株式会社 車載ネットワークシステム
JP5479408B2 (ja) 2011-07-06 2014-04-23 日立オートモティブシステムズ株式会社 車載ネットワークシステム
JP5651615B2 (ja) 2012-02-16 2015-01-14 日立オートモティブシステムズ株式会社 車載ネットワークシステム

Also Published As

Publication number Publication date
DE112012002836B4 (de) 2021-07-01
US9132790B2 (en) 2015-09-15
JP2013017140A (ja) 2013-01-24
DE112012002836T5 (de) 2014-04-17
WO2013005730A1 (ja) 2013-01-10
US20140114497A1 (en) 2014-04-24

Similar Documents

Publication Publication Date Title
JP5479408B2 (ja) 車載ネットワークシステム
JP5395036B2 (ja) 車載ネットワークシステム
JP5651615B2 (ja) 車載ネットワークシステム
US10965450B2 (en) In-vehicle networking
Bernardini et al. Security and privacy in vehicular communications: Challenges and opportunities
JP5310761B2 (ja) 車両ネットワークシステム
CN105827587B (zh) 中继设备、终端设备和通信方法
Palaniswamy et al. An efficient authentication scheme for intra-vehicular controller area network
US20200029209A1 (en) Systems and methods for managing wireless communications by a vehicle
CN111131313B (zh) 智能网联汽车更换ecu的安全保障方法及系统
US20180244238A1 (en) Unauthorized access event notification for vehicle electronic control units
CN104429042A (zh) 基于证书的控制单元遥控钥匙配对
JP5772692B2 (ja) 車載制御装置の認証システム及び車載制御装置の認証方法
US20230015877A1 (en) Certificate list update method and apparatus
Stabili et al. Analyses of secure automotive communication protocols and their impact on vehicles life-cycle
CN117439740A (zh) 一种车内网络身份认证与密钥协商方法、系统及终端
KR102215212B1 (ko) 적어도 2개의 통신 파트너 사이에서 인증된 접속을 제공하는 방법
CN113839782B (zh) 基于puf的车内网络can总线轻量级安全通信方法
WO2017126322A1 (ja) 車載コンピュータシステム、車両、鍵生成装置、管理方法、鍵生成方法、及びコンピュータプログラム
JP2013142963A (ja) 車載制御装置の認証システム
JP6950540B2 (ja) ネットワークシステム
Wei et al. Authenticated can communications using standardized cryptographic techniques
JP2017208731A (ja) 管理システム、管理装置、車載コンピュータ、管理方法、及びコンピュータプログラム
Palaniswamy Improving authentication and key management for intra and inter vehicular communication
CN116346398A (zh) 安全汽车系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131029

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131225

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140204

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140212

R150 Certificate of patent or registration of utility model

Ref document number: 5479408

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350