JP6079768B2 - 車載通信システム - Google Patents

車載通信システム Download PDF

Info

Publication number
JP6079768B2
JP6079768B2 JP2014253270A JP2014253270A JP6079768B2 JP 6079768 B2 JP6079768 B2 JP 6079768B2 JP 2014253270 A JP2014253270 A JP 2014253270A JP 2014253270 A JP2014253270 A JP 2014253270A JP 6079768 B2 JP6079768 B2 JP 6079768B2
Authority
JP
Japan
Prior art keywords
ecu
encryption key
data
vehicle
side code
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014253270A
Other languages
English (en)
Other versions
JP2016116075A (ja
Inventor
雅明 市原
雅明 市原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2014253270A priority Critical patent/JP6079768B2/ja
Priority to US14/918,896 priority patent/US9866570B2/en
Publication of JP2016116075A publication Critical patent/JP2016116075A/ja
Application granted granted Critical
Publication of JP6079768B2 publication Critical patent/JP6079768B2/ja
Priority to US15/830,758 priority patent/US10104094B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Power Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)
  • Theoretical Computer Science (AREA)

Description

本発明は、メッセージ認証を行う車載通信システムに関する。
従来から、暗号鍵を使用してメッセージ認証を行う車載通信システムが知られている。特許文献1には、この種の車載通信システムが記載されている。特許文献1に記載の車載通信システムでは、通信すべきデータを含むメインメッセージを送信した後に、メインメッセージのデータフィールドに対するMAC(メッセージ認証コード)を含むMACメッセージを送信する。MACは、共通鍵ブロック暗号の一つであるAES暗号アルゴリズムによって求められる。そして、受信したメインメッセージのデータフィールドから得られるMACと、受信したMACメッセージに含まれるMACが一致するか否かによって、受信側においてメインメッセージの正当性を検証する。
また、車外ネットワークに接続される車載通信システムが知られている。この種の車載通信システムとしては、データ通信モジュール(DCM:Data Communication Module)を介して外部機器と無線通信を行うシステムが実用化されている。
特開2013−098719号公報
ところで、車外ネットワークに接続される車載通信システムは、不正侵入又はウィルス(不正プログラム)などのサイバー攻撃を受ける虞がある。例えば、車外ネットワークに接続されるECU(車外ネットワーク用のインターフェースを有するECU)を介して車載ネットワークに接続した第三者が、ECU間で通信される通信データを不正取得し、その通信データを改ざんした不正データを車載ネットワークに送信する虞がある。
他方、メッセージ認証を行う従来の車載通信システムは、1種類の暗号鍵だけを使用してメッセージ認証を行う。従来の車載通信システムに対し車外ネットワークに接続されるECUを設ける場合、そのECUは、車外ネットワークに接続されない他のECUと同じ暗号鍵を保持することになる。車外ネットワークに接続されるECUから車載ネットワークに送信される不正データには、他のECUと同じ暗号鍵を使用して生成されたメッセージ認証コードが付与される。車外ネットワークに接続されないECUが不正データを受信すると、不正データの認証が成功してしまう。第三者が直接侵入等をすることができないECUであっても、ECUの処理動作がサイバー攻撃の影響を受ける虞がある。
本発明は、車外ネットワークに接続されるECUを備えた車載通信システムにおいて、車外ネットワークに接続されないECUの処理動作がサイバー攻撃の影響を受けることを阻止することを目的とする。
第1の発明は、通信データの送信側が生成するメッセージ認証コードである送信側コードと、通信データの受信側が生成するメッセージ認証コードである受信側コードとを使用してメッセージ認証を行う車載通信システムであって、車載ネットワークに接続され、第1の暗号鍵と第1の暗号鍵とは異なる第2の暗号鍵のうち第1の暗号鍵だけを保持する第1のECUと、車載ネットワークに接続され、第1の暗号鍵を少なくとも保持する第2のECUと、車載ネットワーク及び車外ネットワークに接続され、第1の暗号鍵と第2の暗号鍵のうち第2の暗号鍵だけを保持して、第2の暗号鍵を使用して車載ネットワークにおける通信時に送信側コード又は受信側コードを生成する第3のECUとを備え、第2のECUは、第1の暗号鍵を使用して生成した送信側コードを付与した通信データを送信し、第1のECUは、通信データを受信した場合に、第1の暗号鍵を使用して生成した受信側コードによって、受信した通信データに付与された送信側コードの検証を行う。
第1の発明では、第1のECUが、第1の暗号鍵と第2の暗号鍵のうち第1の暗号鍵だけを保持する。第2のECUが、第1の暗号鍵を少なくとも保持する。車外ネットワークに接続される第3のECUが、第1の暗号鍵と第2の暗号鍵のうち第2の暗号鍵だけを保持する。第2のECUは、第1の暗号鍵を使用して生成した送信側コードを付与した通信データを送信する。第1のECUは、第2のECUからの通信データを受信した場合に、第1の暗号鍵を使用して生成した受信側コードによって、受信した通信データに付与されている送信側コードの検証を行う。この場合、送信側コードも受信側コードも、第1の暗号鍵を使用して生成されるため、通信データの認証は成功する。
また、第3のECUから車載ネットワークに不正データが送信される場合に、第3のECUは、第1の暗号鍵を保持しておらず、第2の暗号鍵を使用して送信側コードを生成する。第1のECUは、不正データを受信した場合に、第1の暗号鍵を使用して生成した受信側コードによって、不正データに付与されている送信側コードの検証を行う。この場合は、送信側コードと受信側コードが、互いに異なる暗号鍵を使用して生成されるため、不正データの認証は成功しない。
第2の発明は、第1の発明において、車載ネットワークに接続され、第1の暗号鍵及び第2の暗号鍵を保持する第4のECUをさらに備え、第2のECUは、第1の識別子を付与する通信データに対し、第1の暗号鍵を使用して生成した送信側コードを付与して送信し、第3のECUは、第1の識別子とは異なる第2の識別子を付与する通信データに対し、第2の暗号鍵を使用して生成した送信側コードを付与して送信し、第4のECUは、受信した通信データに第1の識別子が付与されている場合は、第1の暗号鍵を使用して生成した受信側コードによって、受信した通信データに付与された送信側コードの検証を行い、受信した通信データに第2の識別子が付与されている場合は、第2の暗号鍵を使用して生成した受信側コードによって、受信した通信データに付与された送信側コードの検証を行う。
第2の発明では、第4のECUが、第2のECUからの正規の通信データに対して認証を行うことができるように第1の暗号鍵を保持し、第3のECUからの正規の通信データに対して認証を行うことができるように第2の暗号鍵を保持する。第2のECUは、第1の識別子を付与する通信データに対し、第1の暗号鍵を使用して生成した送信側コードを付与して送信する。第3のECUは、第2の識別子を付与する通信データに対し、第2の暗号鍵を使用して生成した送信側コードを付与して送信する。
第4のECUが第2のECUからの通信データを受信した場合、通信データに第1の識別子が付与されている。第4のECUは、受信した通信データに付与されている送信側コードの検証に、第1の暗号鍵を使用して生成した受信側コードを使用する。この場合、送信側コードも受信側コードも、第1の暗号鍵を使用して生成されるため、通信データの認証は成功する。また、第4のECUが第3のECUからの通信データを受信した場合、送信側コードも受信側コードも、第2の暗号鍵を使用して生成されるため、通信データの認証は成功する。第2の発明では、第4のECUが、通信データに付与された識別子に基づいて暗号鍵を使い分けるため、第2のECUからの通信データと、第3のECUからの通信データとの各々に対して、送信側コードを検証できる。
第3の発明は、第1の発明において、車載ネットワークに接続され、第2の暗号鍵を保持する第4のECUと、第3のECU及び第4のECUの各々に対し、車両の最新の積算走行距離を送信する第5のECUとをさらに備え、第4のECUは、第5のECUから受信した最新の積算走行距離と第2の暗号鍵とを使用して生成した送信側コードを付与した通信データを送信し、第3のECUは、第4のECUから通信データを受信した場合に、第5のECUから受信した最新の積算走行距離と第2の暗号鍵とを使用して生成した受信側コードによって、受信した通信データに付与された送信側コードの検証を行う。
第3の発明では、第4のECUから第3のECUへ送信される通信データに対し、第4のECU及び第3のECUの各々で、暗号鍵に加えて、車両の走行に伴って値が変化する積算走行距離を使用して、メッセージ認証コードが生成される。積算走行距離が増加すれば、新たに生成されるメッセージ認証コードは、過去に生成されたメッセージ認証コードと同じにはならない。
第4の発明は、第1の発明において、車載ネットワークに接続され、第2の暗号鍵を保持する第4のECUをさらに備え、第4のECUは、第3のECUに対しアクセス要求を行うことによって第3のECUが生成した乱数をチャレンジデータとして受信した後に、チャレンジデータと第2の暗号鍵とを使用して生成した送信側コードを付与した通信データを送信し、第3のECUは、第4のECUから通信データを受信した場合に、第4のECUへ送信したチャレンジデータと同じデータと第2の暗号鍵とを使用して生成した受信側コードによって、受信した通信データに付与された送信側コードの検証を行う。
第4の発明では、第4のECUから第3のECUへ送信される通信データに対し、第3のECU及び第4のECUの各々で、暗号鍵に加えてチャレンジデータを使用して、メッセージ認証コードが生成される。チャレンジデータは、チャレンジアンドレスポンス方式の認証において、アクセス要求を受けたノードが生成する乱数である。第4の発明では、第4のECUから第3のECUへ送信される通信データに対するメッセージ認証コードが、乱数を用いて生成される。
第5の発明は、第1の発明において、車載ネットワークに接続され、第1の暗号鍵及び第2の暗号鍵を保持する第4のECUをさらに備え、第4のECUは、第1の暗号鍵を使用して生成した第1の送信側コードと、第2の暗号鍵を使用して生成した第2の送信側コードとを付与した通信データを送信し、第1のECU及び第3のECUの各々は、第4のECUから通信データを受信した場合に、受信した通信データに付与された第1の送信側コード及び第2の送信側コードの片方に、自身が保持する暗号鍵を使用して生成した受信側コードが一致した場合に、通信データの認証が成功したと判定する。
第5の発明では、第4のECUが、第1のECU及び第3のECUの各々で使用される通信データを送信する場合に、通信データに対し、第1の暗号鍵を使用して生成した第1の送信側コードと、第2の暗号鍵を使用して生成した第2の送信側コードとを付与する。第4のECUから通信データを受信した第1のECUでは、受信した通信データに付与された第1の送信側コード及び第2の送信側コードのうち第1の送信コードに、自身が保持する第1の暗号鍵を使用して生成した受信側コードが一致する。第4のECUから通信データを受信した第3のECUでは、受信した通信データに付与された第1の送信側コード及び第2の送信側コードのうち第2の送信コードに、自身が保持する第2の暗号鍵を使用して生成した受信側コードが一致する。第1のECU及び第3のECUの各々で、通信データの認証が成功と判定される。第5の発明では、第1の暗号鍵だけを保持する第1のECUでも、第2の暗号鍵だけを保持する第3のECUでも、通信データに付与された送信側コードの検証を行うことができる。
第6の発明は、第1の発明において、第1のECUが、車両の走行状態を制御するECUである。
第1の発明では、送信側コードの検証の際に第1のECUが使用する第1の暗号鍵が、第3のECUによって保持されていない。そのため、車外ネットワークに接続される第3のECUから、不正データが車載ネットワークに送信されたとしても、第1のECUでは、不正データの認証は成功しない。そのため、車外ネットワークに接続されない第1のECUの処理動作がサイバー攻撃の影響を受けることを阻止することができる。
第2の発明では、第4のECUが、通信データに付与された識別子に基づいて暗号鍵を使い分けるため、第2のECUからの通信データと、第3のECUからの通信データとの各々に対して、送信側コードを検証できる。そのため、第2のECUからの通信データと第3のECUからの通信データとの各々に対して送信側コードの検証を行った上で、第4のECUでこれらの通信データを使用することができる。
第3の発明では、第4のECUから第3のECUへ送信する通信データに対するメッセージ認証コードの生成に、積算走行距離を使用している。ここで、車外ネットワークに対し接続可能な車載通信システムでは、サイバー攻撃として、通信データ及び送信側コードのコピーを含むコピーデータを車載ネットワークに送信されることが想定される。第4のECUから第3のECUへ送信する通信データ及び送信側コードのコピーを含むコピーデータが車載ネットワークに送信された場合に、メッセージ認証コードの生成に第2の暗号鍵だけ使用していれば、第3のECUでコピーデータの認証が成功してしまう。そして、コピーデータに含まれる通信データが外部機器へ送信されてしまう。コピーデータが、正規の通信データが送信された時点からある程度時間が経過した後に車載ネットワークに送信された場合は、最新の情報とは異なる通信データが、外部機器へ送信されてしまう。第3の発明では、メッセージ認証コードの生成に積算走行距離を使用しているため、積算走行距離が増加すれば、新たに生成されるメッセージ認証コードが、過去に生成されたメッセージ認証コードと同じにならない。従って、コピーデータの認証が第3のECUで成功することを阻止することができ、最新の情報とは異なる通信データが外部機器へ送信されることを阻止することができる。
第4の発明では、第4のECUから第3のECUへ送信する通信データに対するメッセージ認証コードの生成に、チャレンジデータを使用しているため、メッセージ認証コードが生成される度に異なるコードになる。従って、上述のコピーデータの認証が第3のECUで成功することを阻止することができ、最新の情報とは異なる通信データが外部機器へ送信されることを阻止することができる。
第5の発明では、第1の暗号鍵だけを保持する第1のECUでも、第2の暗号鍵だけを保持する第3のECUでも、通信データに付与された送信側コードの検証を行うことができる。第1のECU及び第3のECUの2つのECUで使用される通信データの送信を1回で行うことができる。
第6の発明では、車両の走行状態を制御するECUの処理動作がサイバー攻撃の影響を受けることを阻止することができる。
実施の形態に係る車載通信システムの概略構成図 メッセージ認証コードの生成方法を説明するための図 第3のECUから不正データを含むデータフレームが送信された場合について説明するための図 受信用テーブルを示す図 第4のECUが実行する受信側処理のフローチャート 変形例2におけるメッセージ認証の流れを示す図 変形例3に係る車載通信システムにおいて第4のECUが送信するデータフレームを示す図
以下、図1−図5を参照しながら、実施の形態について詳細に説明する。図1は、本実施の形態に係る車載通信システム10の概略構成図である。車載通信システム10には、車外ネットワークに接続されるECUが設けられている。本実施の形態では、車外ネットワークに接続されないECUが保持する暗号鍵と、車外ネットワークに接続されるECUが保持する暗号鍵とを互いに異ならせることで、車外ネットワークに接続されるECUから不正データが車載ネットワーク20に送信されたとしても、車外ネットワークに接続されないECUで、不正データの認証が成功しないようにしている。
[車載通信システムの全体構成について]
車載通信システム10は、図1に示すように、伝送路22(バス)と、伝送路22を介して互いに接続された複数のECU(Electronic Control Unit)11〜15(ノード)とを備えた通信システムである。複数のECU11〜15が伝送路22を介して互いに接続されることによって、車載ネットワーク20が形成されている。以下では、ECU11を第1のECU11と言い、ECU12を第2のECU12と言い、ECU13を第3のECU13と言い、ECU14を第4のECU14と言い、ECU15を第5のECU15と言う。
各ECU11〜15は、各々に対応する車載機器を制御する。第1のECU11、第2のECU12、第4のECU14及び第5のECU15の各々は、車載ネットワーク20に対する車内用インターフェースを有するが、車外ネットワークに対する車外用インターフェースを有していない。第3のECU13は、車載ネットワーク20に対する車内用インターフェースと、車外ネットワークに対する車外用インターフェースとを有している。各ECU11〜15の車内用インターフェースには伝送路22が接続されている。車外用インターフェースには、第3のECU13が制御する通信機25が接続されている。各ECU11〜15は、車載ネットワーク20に接続され、車載ネットワーク20を介して、他のECU11〜15と通信を行う。第3のECU13は、車外ネットワークに接続され、車外ネットワークを介して、外部機器(車外に存在する外部端末等)と通信(例えばセキュア通信)を行う。第3のECU13及び通信機25は、外部機器と通信を行う車外通信ユニットを構成している。外部機器は、例えばITS端末(ITSスポット)、又は、マルチメディア用の外部端末などである。各ECU11〜15は、CPU、ROM、RAM等(図示省略)を備えたマイクロコンピュータにより構成されている。各ECU11〜15は、ROM等のメモリーに格納されたプログラムをCPUが実行することによって各種処理を実行する。
車載通信システム10では、ECU11〜15間の通信にデータフレームが使用される。車載ネットワーク20では、所定の通信プロトコルに従って、ECU11〜15間でデータフレームの送受信が行われる。車載ネットワーク20は、例えば、CAN(Controller Area Network)である。なお、車載通信システム10は、車載ネットワーク20に加えて、CAN以外の車載ネットワーク(例えば、LIN(Local Interconnect Network))と、通信プロトコルが互いに異なる車載ネットワーク間を接続するゲートウェイとを備えている(図示省略)。なお、車外用インターフェースを有する第3のECU13は、CAN以外の車載ネットワークに設けられていてもよい。
データフレームには、通信情報を格納するデータ領域と、そのデータ領域に格納された通信情報に対応付けられた識別子を格納する識別子領域とが少なくとも設けられている。データフレームには、通信情報及び識別子が少なくとも含まれる。通信情報は、例えば、車速情報(自車の速度)、エンジン情報、カメラ情報などである。通信情報が異なれば、異なる識別子が割り当てられる。例えば、識別子は、通信情報ごとに割り当てられた数値で表される。CANでは、識別子としてCANIDが使用される。
車載通信システム10では、識別子を使用したメッセージ・アドレッシングが採用されている。各ECU11〜15は、通信情報をデータ領域に格納しその通信情報に対応付けられた識別子を識別子領域に格納したデータフレームを、車載ネットワーク20に送信する。各ECU11〜15は、自身が接続された車載ネットワーク20を流れるデータフレームを受信できる。各ECU11〜15は、データフレームを受信した際に、データフレームに含まれる識別子に基づいて、自身が車載機器の制御に使用する通信情報がデータフレームに含まれているか否かを判断する。各ECU11〜15は、データフレームに含まれる識別子に関係なく車載ネットワーク20を流れるデータフレームを受信できるが、受信したデータフレームの中から、識別子に基づいて、自身が車載機器の制御に使用するデータフレームを選別する。
また、車載通信システム10では、データフレームの正当性を検証するための認証手続きとして、メッセージ認証が行われる。車載通信システム10は、車外用インターフェースを介してサイバー攻撃を受ける虞がある。車載通信システム10では、車載ネットワーク20のセキュリティ性を向上させるために、メッセージ認証が行われる。車載通信システム10には、メッセージ認証に使用する暗号鍵として、第1の暗号鍵K1と、第1の暗号鍵K1とは異なる第2の暗号鍵K2とが準備されている。第1の暗号鍵K1は、車外用インターフェースを有しないECU間の通信で使用される。第2の暗号鍵K2は、車外用インターフェースを有しないECUと、車外用インターフェースを有するECUとの間の通信で使用される。第1のECU11及び第2のECU12の各々は、第1の暗号鍵K1と第2の暗号鍵K2のうち第1の暗号鍵K1だけを保持している。第3のECU13は、第1の暗号鍵K1と第2の暗号鍵K2のうち第2の暗号鍵K2だけを保持している。第4のECU14は、第1の暗号鍵K1と第2の暗号鍵K2を保持している。各ECU11〜14では、暗号鍵がメモリーに記憶されている。なお、第5のECU15が保持する暗号鍵等については、後述する変形例で説明する。
[メッセージ認証について]
メッセージ認証は、データフレームの送信側のECU11〜15で送信側処理が実行された後に、データフレームの受信側のECU11〜15で受信側処理が実行される。送信側処理は、送信対象のデータフレームに対しメッセージ認証コード(MAC(Message Authentication Code))を付与する処理である。受信側処理は、受信したデータフレームに付与されたメッセージ認証コードを検証する処理である。以下では、データフレームの送信側が作成するメッセージ認証コードを「送信側コード」と言い、データフレームの受信側が作成するメッセージ認証コードを「受信側コード」と言う。なお、暗号鍵を使用したメッセージ認証コードの生成には、MACアルゴリズム(例えば、ハッシュ関数を使う方式、ブロック暗号アルゴリズムを使う方式)が使用される。
図2は、メッセージ認証コードの生成方法を説明するための図である、送信側処理について説明する。各ECU11〜15は、図2(a)に示すように、送信側コード生成用のメッセージとして、データフレームのデータ領域に格納する通信情報を使用する。各ECU11〜15は、所定の暗号鍵を使用して、通信情報から送信側コードを生成する。そして、各ECU11〜15は、通信情報(メッセージ)に対し送信側コードを付与し、識別子、通信情報、及び送信側コードを含むデータフレームを車載ネットワーク20に送信する。
続いて、受信側処理について説明する。各ECU11〜15は、車載ネットワーク20を流れるデータフレームを受信した際に、データフレームに含まれる識別子に基づいて、自身が使用する通信情報がデータフレームに含まれていると判断した場合に、受信側処理を実行する。各ECU11〜15は、図2(b)に示すように、受信側コード生成用のメッセージとして、受信したデータフレームのデータ領域に格納された通信情報を使用する。各ECU11〜15は、所定の暗号鍵を使用して、データ領域から抽出した通信情報から受信側コードを生成する。各ECU11〜15は、受信したデータフレームに付与された送信側コードと、自身が生成した受信側コードとを照合する。各ECU11〜15は、送信側コードと受信側コードとが一致した場合に「認証成功」と判定し、送信側コードと受信側コードとが一致しない場合に「認証失敗」と判定する。
本実施の形態では、通信情報(通信データ)に付与された送信側コードが、通信情報と同じデータフレームに格納されて、車載ネットワーク20に送信される。この場合、特開2013−48374号公報に記載された拡張フォーマットの識別子拡張領域に、送信側コードを格納してもよい。また、通信情報に付与された送信側コードは、通信情報とは別途に、特開2013−98719号公報に記載されたMACメッセージに含ませて、車載ネットワーク20に送信されてもよい。
ここで、第1のECU11は、車両の走行状態を制御するECU(車両の走行上の安全に関係するECU)である。第1のECU11は、第2のECU12から送信された通信情報A(例えば、車速情報)を使用して、車載機器の制御を行う。通信情報Aには第1の識別子が割り当てられている。
第2のECU12は、例えば車両の走行状態を制御するECUである。第2のECU12は、車載ネットワーク20における通信情報A(第1のECU11によって使用される通信情報)の発信元になるECUである。車載ネットワーク20における通信情報の発信元とは、車載ネットワーク20に最初に通信情報を送信したECUを意味する。第2のECU12は、通信情報Aを含むデータフレームを送信する際に、送信側処理を行う。第2のECU12は、第1の暗号鍵K1を使用して通信情報Aから送信側コードを生成し、通信情報Aに割り当てられた第1の識別子、通信情報A、及び送信側コードを含むデータフレームを送信する。
次に、図3を使用して、例えば、車外ネットワークに接続される第3のECU13を介して車載ネットワーク20に接続した第三者によって、第2のECU12から送信されたデータフレーム31が不正取得される場合について説明する。データフレーム31には、第1の識別子、通信情報A、及び、第1の暗号鍵K1を使用して生成された送信側コードが含まれている。第三者は、データフレーム31に含まれる通信情報Aを通信情報A’へ改ざんし、通信情報A’(不正データ)を含むデータフレーム32を第3のECU13から車載ネットワーク20に送信する。第3のECU13は、データフレーム32を送信する際に、送信側処理を行う。第3のECU13は、第1の暗号鍵K1を保持していないため、第2の暗号鍵K2を使用して通信情報A’から送信側コードを生成し、第1の識別子、通信情報A’、及び送信側コードを含むデータフレームを送信する。このデータフレーム32を受信した第1のECU11は、データフレームに第1の識別子が含まれているため、自身が車載機器の制御に使用する通信情報がデータフレームに含まれていると判断して、受信側処理を行う。第1のECU11は、第1の暗号鍵K1を使用して、通信情報A’から受信側コードを生成する。この場合、送信側コードの生成に第2の暗号鍵K2が使用され、受信側コードの生成に第1の暗号鍵K1が使用されるため、データフレーム32の認証は成功しない。そのため、第1のECU11の処理動作がサイバー攻撃の影響を受けることを阻止することができる。
また、第4のECU14は、第2のECU12から送信された通信情報Aと、第3のECU13から送信された通信情報Bとを使用して、車載機器を制御するECUである。通信情報Bは、第3のECU13が車外用インターフェースを介して外部機器から取得した情報である。通信情報Bには第2の識別子が割り当てられている。
上述したように、第2のECU12は、通信情報Aを含むデータフレームを送信する際に、送信側処理を行う。第2のECU12は、第1の暗号鍵K1を使用して通信情報Aから送信側コードを生成し、第1の識別子、通信情報A、及び送信側コードを含むデータフレームを送信する。また、第3のECU13は、通信情報Bを含むデータフレームを送信する際に、送信側処理を行う。第3のECU13は、第2の暗号鍵K2を使用して通信情報Bから送信側コードを生成し、第2の識別子、通信情報B、及び送信側コードを含むデータフレームを送信する。
図4は、第4のECU14が受信側処理等で使用する受信用テーブルの一例である。図5は、第4のECU14が実行する受信側処理のフローチャートである。受信用テーブルには、第4のECU14が車載機器の制御に使用する通信情報に対し、識別子が対応付けられている。第4のECU14は、データフレームを受信した際に、受信したデータフレームに含まれる識別子が、受信用テーブルの識別子の中に存在している場合に、自身が使用する通信情報がデータフレームに含まれていると判断して、受信側処理を行う。第4のECU14は、通信情報Aを含むデータフレーム、又は、通信情報Bを含むデータフレームを受信した場合は、受信したデータフレームに含まれる識別子(第1の識別子又は第2の識別子)が、受信用テーブルの識別子の中に存在しているため、受信側処理を行う。
受信用テーブルでは、図4に示すように、識別子の各々に暗号鍵が割り当てられている。通信情報Aに対応する第1の識別子(ID=100)には、第1の暗号鍵K1が割り当てられている。通信情報Bに対応する第2の識別子(ID=150)には、第2の暗号鍵K2が割り当てられている。受信用テーブルでは、車外用インターフェースを有しないECU(第2のECU12)で付与される第1の識別子に対して、第1の暗号鍵K1が割り当てられ、第3のECU13で付与される第2の識別子に対して、第2の暗号鍵K2が割り当てられている。受信用テーブルを参照することで、データフレームに含まれる識別子が、車外用インターフェースを有しないECUで付与されたか否か(つまり、不正データの送信元になる虞がある第3のECU13以外のECUで付与されたか否か)を判断できる。
なお、図4には、2種類の通信情報のみが記載されているが、第4のECU14が車載機器の制御に使用する通信情報は3種類以上あってもよい。この場合、車外用インターフェースを有しないECUで付与される識別子に、第1の暗号鍵K1が割り当てられ、第3のECU13で付与される識別子に、第2の暗号鍵K2が割り当てられる。
図5を参照して、第4のECU14が実行する受信側処理について具体的に説明する。第4のECU14は、受信側処理として、受信したデータフレームを検証対象フレームとし、検証対象フレームに付与された送信側コードの検証を行う。
第4のECU14は、ステップS11において、受信側コードの生成に使用する暗号鍵を決定する使用鍵判定を行う。第4のECU14は、使用鍵判定として、受信用テーブルを参照して、検証対象フレームに含まれる識別子が、受信用テーブルで第1の暗号鍵K1に割り当てられた識別子であるか否かを判定する。検証対象フレームに含まれる識別子が、第1の暗号鍵K1に割り当てられた識別子である場合、第4のECU14は、ステップS12へ進み、第1の暗号鍵K1を使用して受信側コードを生成する。一方、検証対象フレームに含まれる識別子が、第1の暗号鍵K1に割り当てられた識別子ではない場合(第2の暗号鍵K2に割り当てられた識別子である場合)、第4のECU14は、ステップS13へ進み、第2の暗号鍵K2を使用して受信側コードを生成する。このように、第4のECU14は、検証対象フレームに含まれる識別子に応じて、第1の暗号鍵K1と第2の暗号鍵K2とを使い分ける。ステップS12又はステップS13が終了するとステップS14へ進む。
ステップS14において、第4のECU14は、送信側コードと受信側コードとが一致するか否かを判定する。第4のECU14は、送信側コードと受信側コードとが一致する場合に、ステップS15に進み「認証成功」と判定する。この場合、第4のECU14は、検証対象フレームに含まれている通信情報を使用して、車載機器の制御を行う。一方、第4のECU14は、送信側コードと受信側コードとが一致しない場合、ステップS16に進み「認証失敗」と判定する。この場合、第4のECU14は、検証対象フレームに含まれている通信情報を車載機器の制御に使用しない。
第4のECU14が第2のECU12から通信情報Aを含む正規のデータフレームを受信した場合について説明する。このデータフレームには、上述したように、第1の識別子が含まれている。そのため、第4のECU14は、ステップS11で「Yes」と判定し、ステップS12において、第1の暗号鍵K1を使用して受信側コードを生成する。また、第2のECU12からの正規のデータフレームには、第1の暗号鍵K1を使用して生成された送信側コードが付与されている。従って、ステップS14において、送信側コードと受信側コードとが一致し、ステップS15において「認証成功」と判定される。第4のECU14は、通信情報Aを使用して車載機器の制御を行う。
次に、第4のECU14が第3のECU13から通信情報Bを含む正規のデータフレームを受信した場合について説明する。このデータフレームには、上述したように、第2の識別子が含まれている。そのため、第4のECU14は、ステップS11で「No」と判定し、ステップS13において、第2の暗号鍵K2を使用して受信側コードを生成する。また、第3のECU13からの正規のデータフレームには、第2の暗号鍵K2を使用して生成された送信側コードが付与されている。従って、ステップS14において、送信側コードと受信側コードとが一致し、ステップS15において「認証成功」と判定される。第4のECU14は、通信情報Bを使用して車載機器の制御を行う。
次に、不正データを含むデータフレームが第3のECU13から車載ネットワークに送信される場合について説明する。不正データは、第2のECU12から送信された通信情報Aが改ざんされた通信情報A’とする。第3のECU13で識別子が変更されない場合は、このデータフレームに、図3に示すデータフレーム32と同様に、第1の識別子、通信情報A’、及び、第2の暗号鍵K2を使用して生成された送信側コードが含まれている。不正データを含むデータフレームを受信した第4のECU14は、データフレームに第1の識別子が含まれているため、自身が車載機器の制御に使用する通信情報がデータフレームに含まれていると判断して、受信側処理を行う。第4のECU14は、ステップS11で「Yes」と判定し、ステップS12で、第1の暗号鍵K1を使用して受信側コードを生成する。送信側コードは第2の暗号鍵K2を使用して生成されているため、ステップS14で、送信側コードと受信側コードとが一致せず、データフレームの認証は失敗する。従って、車外ネットワークに接続されない第4のECU14のセキュリティ性を向上させることができる。
一方、第3のECU13で識別子が第1の識別子から第2の識別子へ変更される場合は、第4のECU14は、第2の暗号鍵K2を使用して受信側コードを生成する。この場合は、通信情報A’(例えば、改ざんされた速度情報)を含むデータフレームの認証が、第4のECU14で成功する。しかし、データフレームに付与されている識別子が第2の識別子である以上は、第4のECU14は、通信情報B(例えば、位置情報)として、通信情報A’を取り扱おうとする。通信情報A’は、通信情報Bとはデータの内容が全く異なる通信情報A(速度情報)が基になっている。そのため、第4のECU14では、位置情報を用いる制御に、通信情報A’が使用されることはない。従って、車外ネットワークに接続されない第4のECU14のセキュリティ性を向上させることができる。
なお、識別子が第1の識別子から第2の識別子へ変更された場合に、不正データを含むデータフレームの認証が第4のECU14で成功しないように、メッセージ認証コードの生成に用いるメッセージとして、通信情報に加えて、識別子を使用してもよい。不正データを含むデータフレームが第3のECU13から車載ネットワークに送信される際に、送信側コードの生成後に識別子が変更された場合、このデータフレームに、第2の識別子、通信情報A’、及び、通信情報A’と第1の識別子(変更前の識別子)から第2の暗号鍵K2を使用して生成された送信側コードが含まれている。このデータフレームを受信した第4のECU14は、通信情報A’と第2の識別子から第2の暗号鍵K2を使用して受信側コードを生成する。そのため、不正データを含むデータフレームの認証が第4のECU14で成功しない。
[実施の形態の効果等]
本実施の形態では、送信側コードの検証の際に第1のECU11が使用する第1の暗号鍵K1が、第3のECU13によって保持されていない。そのため、車外用インターフェースを有する第3のECU13から、不正データを含むデータフレームが車載ネットワーク20に送信されたとしても、第1のECU11では、不正データを含むデータフレームの認証は成功しない。そのため、第1のECU11の処理動作がサイバー攻撃の影響を受けることを阻止することができる。
また、本実施の形態では、第4のECU14が、データフレームに付与された識別子に基づいて暗号鍵を使い分けるため、第2のECU12からのデータフレームと、第3のECU13からのデータフレームとの各々に対して、送信側コードを検証できる。従って、第2のECU12からのデータフレームと第3のECU13からのデータフレームとの各々に対してメッセージ認証を行った上で、第4のECU14で、これらのデータフレームに含まれる通信情報を使用することができる。
ここで、車載通信システム10は、第1のECU11及び第2のECU12以外に、車両の走行状態を制御する複数のECUを含む。これらの複数のECUのうち、第3のECU13が外部機器から取得した通信情報(以下、「外部取得情報」という。)を使用しないECUは、第1の暗号鍵K1及び第2の暗号鍵K2のうち第1の暗号鍵K1だけを保持している。そのため、第1のECU11及び第2のECU12と同様に、ECUの処理動作がサイバー攻撃の影響を受けることを阻止することができる。また、車両の走行状態を制御する複数のECUのうち、外部取得情報を使用するECUは、第1の暗号鍵K1及び第2の暗号鍵K2を保持して、第4のECU14と同じ受信側処理を実行する。
また、車両に後付けされるECUは、第1の暗号鍵K1及び第2の暗号鍵K2のうち第2の暗号鍵K2だけを保持するようにしてもよい。この場合、当初から車両に搭載されたECUと、車両に後付けされるECUとで、セキュリティレベルを異ならせることができる。
なお、本実施の形態では、第1のECU11が、フェールセーフ処理を実行するECU(以下、「フェールセーフECU」という。)であってもよい。この場合、フェールセーフECUの処理動作がサイバー攻撃の影響を受けることを阻止することができる。例えば、フェールセーフ処理は、車両状態の信号を対象とし、所定の信号を受信した場合だけ対象操作を許可する処理である。フェールセーフECUが車両の走行状態を制御するECUである場合の例として、フェールセーフECUは、例えばエンジン制御ECUである。エンジン制御ECUは、外部機器から第3のECU13を介してエンジン起動信号が入力された場合に、車速がゼロであることを示す車速信号と、車両のフードが閉状態であることを示すフード信号とを受信した場合にだけ、エンジンを始動させる。この場合、車速信号とフード信号に対し、第1の暗号鍵を使用してメッセージ認証が行われるため、第3のECU13からのサイバー攻撃を阻止できる。また、フェールセーフECUが車両の走行状態を制御するECUではない場合の例として、フェールセーフECUは、パーキングブレーキがON状態であることを示すパーキングブレーキ信号をメータECU等から受信した場合だけ、バックドアを電動で開ける操作を許可するバックドアコントロールECU等がある。また、第4のECU14が、フェールセーフECUであってもよい。
また、車両の走行状態を制御するECU以外のボデー系のECUのうち、外部取得情報を使用しないECUが、第1の暗号鍵K1及び第2の暗号鍵K2のうち第1の暗号鍵K1だけを保持していてもよい。第1のECU11と同様に、ボデー系のECUの処理動作がサイバー攻撃の影響を受けることを阻止することができる。なお、ボデー系のECUは、第1の暗号鍵K1及び第2の暗号鍵K2のうち第2の暗号鍵K2だけを保持していてもよい。この場合、ボデー系のECU同士と、車両の走行状態を制御するECU同士とで、セキュリティレベルを異ならせている。この場合は、ボデー系のECU同士の通信におけるデータフレームのメッセージ認証で、送信側コード及び受信側コードの各々が、第2の暗号鍵K2を使用して生成される。
[ECUの具体例]
第1のECU11は、例えばエンジン制御ECUである。第1のECU11は、車速情報などに基づいて、エンジンの制御を行う。第2のECU12は、例えば車載ネットワーク20におい車速情報の発信元になるECU(例えば、車速センサに接続されたブレーキECU)である。第2のECU12も、車両の走行状態を制御するECUである。第2のECU12は、定期的に、最新の車速情報(通信情報A)を含むデータフレームを車載ネットワーク20に送信する。また、第3のECU13は、車外用インターフェースを介して最新の位置情報(通信情報B)を取得し、定期的に、最新の位置情報を含むデータフレームを車載ネットワーク20に送信する。第4のECU14は、例えば、外部取得情報を用いて、車両のドライバーに対する運転支援を行う運転支援ECUである。第4のECU14は、例えば、第2のECU12から送信された車速情報と、第3のECU13から送信された車両の位置情報とを使用して、運転支援を行う。
[変形例1]
変形例1では、第4のECU14が、第3のECU13を介して通信情報を外部機器へ送信するECUである。例えば、第4のECU14は、第1の暗号鍵K1と第2の暗号鍵K2のうち第2の暗号鍵K2だけを保持している。第4のECU14から第3のECU13へ送信するデータフレーム(つまり、第3のECU13から外部機器へ送信される通信情報(以下、「外部向け情報」という。)を含むデータフレーム)の認証を行う場合に、車両の積算走行距離を使用して、メッセージ認証コードが生成される。なお、第4のECU14は、第1の暗号鍵K1と第2の暗号鍵K2の両方を保持していてもよい。
ところで、車外ネットワークに接続される第3のECU13が設けられた車載通信システム10では、外部向け情報を含むデータフレームが不正取得された場合に、そのデータフレームをコピーしたコピーデータが、車載ネットワーク20に送信される虞がある。その場合に、メッセージ認証コードの生成に、通信情報及び第2の暗号鍵K2だけ使用していれば、第3のECU13で、コピーデータの認証が成功し、コピーデータに含まれる通信情報が外部機器へ送信されてしまう。コピーデータが、正規のデータフレームが送信された時点からある程度時間が経過した後に車載ネットワーク20に送信された場合は、最新の情報とは異なる外部向け情報が、外部機器へ送信されてしまう。例えば、外部向け情報が車速情報である場合、最新の情報とは異なる車速情報が、外部機器へ送信されてしまう。
変形例1では、コピーデータの認証が第3のECU13で成功しないように、外部向け情報を含むデータフレームに対し、車両の走行に伴って値が変化する積算走行距離を使用してメッセージ認証コードを生成する。
車載ネットワーク20には、第5のECU15(メータECU)が接続されている。第5のECU15は、車内用インターフェースを有し、第2の暗号鍵K2を保持している。第5のECU15は、車輪に設けられた車輪速センサから出力されるパルス信号をカウントすることによって、車両の積算走行距離を算出する。第5のECU15は、最新の積算走行距離をオドメータに表示する。また、第5のECU15は、所定の時間間隔で、積算走行距離を車載ネットワーク20に送信する際に、送信側処理を行う。第5のECU15は、第2の暗号鍵K2を使用して送信側コードを生成し、積算走行距離、及び、積算走行距離に対応付けられた識別子、及び、送信側コードを含むデータフレームを車載ネットワーク20に送信する。
第3のECU13及び第4のECU14の各々は、積算走行距離を含むデータフレームを受信し、このデータフレームに含まれる識別子に基づいて、自身が使用する通信情報(積算走行距離)がデータフレームに含まれていると判断し、受信側処理を行う。第3のECU13及び第4のECU14の各々では、第2の暗号鍵K2を使用して受信側コードが生成される。そのため、データフレームの認証は成功する。第3のECU13及び第4のECU14の各々は、認証成功後に、積算走行距離を記憶する。第3のECU13と第4のECU14の各々には、同じ値の積算走行距離が保持される。
第4のECU14は、外部向け情報(例えば車速情報)を含むデータフレームを送信する際に、送信側処理を行う。第4のECU14は、自身が保持している最新の積算走行距離、及び、データフレームに格納する外部向け情報をメッセージとして使用する。第4のECU14は、第2の暗号鍵K2を使用して、最新の積算走行距離及び外部向け情報から、送信側コードを生成する。そして、第4のECU14は、外部向け情報、外部向け情報に対応した識別子、及び送信側コードを含むデータフレームを車載ネットワーク20に送信する。
第3のECU13は、外部向け情報を含むデータフレームを受信した際に、データフレームに含まれる識別子に基づいて、自身が外部機器との通信に使用する外部向け情報がデータフレームに含まれていると判断して、受信側処理を実行する。第3のECU13は、外部向け情報を含むデータフレームを検証対象フレームとして、受信側処理を行う。第3のECU13は、自身が保持している最新の積算走行距離、及び、検証対象フレームに含まれる外部向け情報をメッセージとして使用する。第3のECU13は、第2の暗号鍵K2を使用して、最新の積算走行距離及び外部向け情報から、受信側コードを生成する。そして、第3のECU13は、検証対象フレームに含まれる送信側コードと、自身が生成した受信側コードとを照合する。送信側コードと受信側コードは、共に最新の積算走行距離及び第2の暗号鍵K2を使用して生成されているため、送信側コードと受信側コードは一致する。検証対象フレームの認証は成功する。第3のECU13は、外部機器との間の通信プロトコルに従って、外部向け情報を外部機器へ送信する。
変形例1では、積算走行距離が増加すれば、新たに生成されるメッセージ認証コード(送信側コード及び受信側コード)は、過去に生成されたメッセージ認証コードと同じにはならない。そのため、コピーデータの認証が第3のECU13で成功することを阻止でき、最新の情報とは異なる通信情報が外部機器へ送信されることを阻止することができる。
なお、車両が停止している間は、積算走行距離が変化しないため、新たに生成されるメッセージ認証コードが、その停止中に過去に生成されたメッセージ認証コードと同じなる場合がある。そのため、メッセージ認証コードの生成時に、メッセージとして、車両のイグニッションスイッチの操作回数(ON回数とOFF回数の合計)をさらに使用してもよい。つまり、第2の暗号鍵K2を使用して、最新の積算走行距離、イグニッションスイッチの操作回数、及び、外部向け情報から、メッセージ認証コードを生成してもよい。また、イグニッションスイッチの操作回数の代わりに、イグニッションスイッチのON回数又はOFF回数を、メッセージとして使用してもよい。操作回数、ON回数、又はOFF回数は、例えば車両を購入したユーザが車両の使用を開始した時点からの積算回数である。操作回数、ON回数、又はOFF回数は、例えばイグニッションスイッチに接続されたECUによってカウントされ、そのカウント値がカウントの度に車載ネットワーク20へ送信される。これにより、第4のECU14及び第3のECU13で、カウント値を共有できる。また、各ECUにカウンタを設ける場合とは異なり、そのカウンタ値を予め揃える手順が必要ない。なお、メッセージ認証コードの生成方法としては、メッセージと暗号鍵との掛け算により生成する方法、又は、複数のデータ(メッセージ)を繋げてハッシュ関数により変換する方法等を用いることができる。
[変形例2]
変形例2では、変形例1と同様に、第4のECU14が、第3のECU13を介して通信情報を外部機器へ送信するECUである。例えば、第4のECU14は、第1の暗号鍵K1と第2の暗号鍵K2のうち第2の暗号鍵K2だけを保持している。第4のECU14から第3のECU13へ送信するデータフレームの認証を行う場合に、変形例1とは異なり、チャレンジアンドレスポンス方式のチャレンジデータを使用して、メッセージ認証コードを生成する。なお、第4のECU14は、第1の暗号鍵K1と第2の暗号鍵K2の両方を保持していてもよい。図6は、変形例2におけるメッセージ認証の流れを示す図である。
第4のECU14は、外部向け情報(例えば車速情報)を含むデータフレームを第3のECU13へ送信する際に、第3のECU13に対してアクセス要求を行う。アクセス要求を受けた第3のECU13は、所定のビット数の乱数をチャレンジデータとして生成する。第3のECU13は、チャレンジデータを自身のメモリーに保持すると共に、第4のECU14へチャレンジデータを送信する。
第4のECU14は、第3のECU13からチャレンジデータを受信すると、送信側処理を行う。第4のECU14は、受信したチャレンジデータ、及び、データフレームに格納する外部向け情報をメッセージとして使用する。第4のECU14は、第2の暗号鍵K2を使用して、チャレンジデータ及び外部向け情報から、送信側コードを生成する。そして、第4のECU14は、外部向け情報、外部向け情報に対応した識別子、及び送信側コードを含むデータフレームを車載ネットワーク20に送信する。なお、チャレンジデータの通信では、送信側コード及び受信側コードの各々の生成に第2の暗号鍵K2が使用される。
第3のECU13は、外部向け情報を含むデータフレームを受信した際に、データフレームに含まれる識別子に基づいて、自身が外部機器との通信に使用する外部向け情報がデータフレームに含まれていると判断して、受信側処理を実行する。第3のECU13は、外部向け情報を含むデータフレームを検証対象フレームとして、受信側処理を行う。第3のECU13は、自身が保持しているチャレンジデータ、及び、検証対象フレームに含まれる外部向け情報をメッセージとして使用する。第3のECU13は、第2の暗号鍵K2を使用して、チャレンジデータ及び外部向け情報から、受信側コードを生成する。そして、第3のECU13は、検証対象フレームに含まれる送信側コードと、自身が生成した受信側コードとを照合する。送信側コードと受信側コードは、共にチャレンジデータ及び第2の暗号鍵K2を使用して生成されているため、送信側コードと受信側コードは一致する。検証対象フレームの認証は成功する。第3のECU13は、外部機器との間の通信プロトコルに従って、外部向け情報を外部機器へ送信する。
変形例2では、暗号鍵に加えて乱数(チャレンジデータ)を使用してメッセージ認証コードを生成するため、メッセージ認証コードが生成される度に異なるコードになる。そのため、変形例1と同様に、コピーデータの認証が第3のECU13で成功することを阻止でき、最新の情報とは異なる通信情報が外部機器へ送信されることを阻止することができる。
[変形例3]
変形例3では、第4のECU14が、第1のECU11及び第3のECU13の各々で使用される通信情報Cを含むデータフレームを送信するECUである。第4のECU14は、第1の暗号鍵K1及び第2の暗号鍵K2を保持している。第4のECU14は、通信情報Cを含むデータフレームに対し、第1の暗号鍵K1を使用して生成した第1の送信側コードと、第2の暗号鍵K2を使用して生成した第2の送信側コードとを付与する。
第4のECU14は、通信情報Cを含むデータフレームを送信する際に、送信側処理を行う。第4のECU14は、第1の暗号鍵K1を使用して、通信情報Cから第1の送信側コードを生成すると共に、第2の暗号鍵K2を使用して、通信情報Cから第2の送信側コードを生成する。そして、第4のECU14は、図7に示すように、通信情報Cに対応した識別子、通信情報C、第1の送信側コード、及び第2の送信側コードを含むデータフレームを車載ネットワーク20に送信する。
また、第1のECU11は、通信情報Cを含むデータフレームを受信した際に、データフレームに含まれる識別子に基づいて、自身が使用する通信情報がデータフレームに含まれていると判断して、受信側処理を実行する。第1のECU11は、通信情報Cを含むデータフレームを検証対象フレームとして、受信側処理を行う。第1のECU11は、第1の暗号鍵K1を使用して、検証対象フレームに含まれる通信情報Cから、受信側コードを生成する。そして、第1のECU11は、検証対象フレームに含まれる第1の送信側コード及び第2の送信側コードのうち片方の送信側コードと、自身が生成した受信側コードとが一致する場合に、検証対象フレームの認証は成功と判定する。受信側コードは、第1の暗号鍵K1を使用して生成されているため、第1の送信側コードと一致する。そのため、検証対象フレームの認証は成功する。
第3のECU13は、通信情報Cを含むデータフレームを受信した際に、データフレームに含まれる識別子に基づいて、自身が外部機器との通信に使用する通信情報Cがデータフレームに含まれていると判断して、受信側処理を実行する。第3のECU13は、通信情報Cを含むデータフレームを検証対象フレームとして、受信側処理を行う。第3のECU13は、第2の暗号鍵K2を使用して、検証対象フレームに含まれる通信情報Cから受信側コードを生成する。そして、第3のECU13は、検証対象フレームに含まれる第1の送信側コード及び第2の送信側コードのうち片方の送信側コードと、自身が生成した受信側コードとが一致する場合に、検証対象フレームの認証は成功と判定する。受信側コードは、第2の暗号鍵K2を使用して生成されているため、第2の送信側コードと一致する。そのため、検証対象フレームの認証は成功し、第3のECU13は、外部機器との間の通信プロトコルに従って、通信情報Cを外部機器へ送信する。
変形例3によれば、第1の暗号鍵K1だけを保持する第1のECU11でも、第2の暗号鍵K2だけを保持する第3のECU13でも、通信情報Cを含むデータフレームに付与された送信側コードの検証を行うことができる。第1のECU11及び第3のECU13の2つのECUで使用される通信データの送信を1回で行うことができる。
[変形例4]
上述の実施の形態では、各ECU11〜15で、メッセージ認証コード(送信側コード及び受信側コード)の生成時のメッセージとして通信情報だけを使用しているが、変形例4では、メッセージ認証コードの生成時のメッセージとして、メッセージ認証コードの生成の度に値が変化するデータ(例えば、最新の走行距離情報又はチャレンジデータ)を使用してもよい。この場合、車載通信システム10は、各ECU11〜15で、同一の値のデータを共有できるように構成されている。なお、メッセージ認証コードの生成時のメッセージとして、車両のイグニッションスイッチの操作回数(ON回数とOFF回数の合計)、ON回数又はOFF回数をさらに使用してもよい。
本発明は、メッセージ認証を行う車載通信システムなどに適用可能である。
10 車載通信システム
11 第1のECU
12 第2のECU
13 第3のECU
14 第4のECU
15 第5のECU
20 車載ネットワーク
22 伝送路
25 通信機

Claims (6)

  1. 通信データの送信側が生成するメッセージ認証コードである送信側コードと、前記通信データの受信側が生成するメッセージ認証コードである受信側コードとを使用してメッセージ認証を行う車載通信システムであって、
    車載ネットワークに接続され、第1の暗号鍵と前記第1の暗号鍵とは異なる第2の暗号鍵のうち前記第1の暗号鍵だけを保持する第1のECUと、
    前記車載ネットワークに接続され、前記第1の暗号鍵を少なくとも保持する第2のECUと、
    前記車載ネットワーク及び車外ネットワークに接続され、前記第1の暗号鍵と前記第2の暗号鍵のうち前記第2の暗号鍵だけを保持して、前記第2の暗号鍵を使用して前記車載ネットワークにおける通信時に前記送信側コード又は前記受信側コードを生成する第3のECUとを備え、
    前記第2のECUは、前記第1の暗号鍵を使用して生成した送信側コードを付与した通信データを送信し、
    前記第1のECUは、前記通信データを受信した場合に、前記第1の暗号鍵を使用して生成した受信側コードによって、前記受信した通信データに付与された送信側コードの検証を行う、車載通信システム。
  2. 前記車載ネットワークに接続され、前記第1の暗号鍵及び前記第2の暗号鍵を保持する第4のECUをさらに備え、
    前記第2のECUは、第1の識別子を付与する通信データに対し、前記第1の暗号鍵を使用して生成した送信側コードを付与して送信し、
    前記第3のECUは、前記第1の識別子とは異なる第2の識別子を付与する通信データに対し、前記第2の暗号鍵を使用して生成した送信側コードを付与して送信し、
    前記第4のECUは、受信した通信データに前記第1の識別子が付与されている場合は、前記第1の暗号鍵を使用して生成した受信側コードによって、前記受信した通信データに付与された送信側コードの検証を行い、受信した通信データに前記第2の識別子が付与されている場合は、前記第2の暗号鍵を使用して生成した受信側コードによって、前記受信した通信データに付与された送信側コードの検証を行う、請求項1に記載の車載通信システム。
  3. 前記車載ネットワークに接続され、前記第2の暗号鍵を保持する第4のECUと、
    前記第3のECU及び前記第4のECUの各々に対し、車両の最新の積算走行距離を送信する第5のECUとをさらに備え、
    前記第4のECUは、前記第5のECUから受信した前記最新の積算走行距離と前記第2の暗号鍵とを使用して生成した送信側コードを付与した通信データを送信し、
    前記第3のECUは、前記第4のECUから前記通信データを受信した場合に、前記第5のECUから受信した前記最新の積算走行距離と前記第2の暗号鍵とを使用して生成した受信側コードによって、前記受信した通信データに付与された前記送信側コードの検証を行う、請求項1に記載の車載通信システム。
  4. 前記車載ネットワークに接続され、前記第2の暗号鍵を保持する第4のECUをさらに備え、
    前記第4のECUは、前記第3のECUに対しアクセス要求を行うことによって前記第3のECUが生成した乱数をチャレンジデータとして受信した後に、前記チャレンジデータと前記第2の暗号鍵とを使用して生成した送信側コードを付与した通信データを送信し、
    前記第3のECUは、前記第4のECUから前記通信データを受信した場合に、前記第4のECUへ送信したチャレンジデータと同じデータと前記第2の暗号鍵とを使用して生成した受信側コードによって、前記受信した通信データに付与された前記送信側コードの検証を行う、請求項1に記載の車載通信システム。
  5. 前記車載ネットワークに接続され、前記第1の暗号鍵及び前記第2の暗号鍵を保持する第4のECUをさらに備え、
    前記第4のECUは、前記第1の暗号鍵を使用して生成した第1の送信側コードと、前記第2の暗号鍵を使用して生成した第2の送信側コードとを付与した通信データを送信し、
    前記第1のECU及び前記第3のECUの各々は、前記第4のECUから前記通信データを受信した場合に、受信した通信データに付与された第1の送信側コード及び第2の送信側コードの片方に、自身が保持する暗号鍵を使用して生成した受信側コードが一致した場合に、前記通信データの認証が成功したと判定する、請求項1に記載の車載通信システム。
  6. 前記第1のECUは、車両の走行状態を制御するECUである、請求項1に記載の車載通信システム。
JP2014253270A 2014-12-15 2014-12-15 車載通信システム Active JP6079768B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2014253270A JP6079768B2 (ja) 2014-12-15 2014-12-15 車載通信システム
US14/918,896 US9866570B2 (en) 2014-12-15 2015-10-21 On-vehicle communication system
US15/830,758 US10104094B2 (en) 2014-12-15 2017-12-04 On-vehicle communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014253270A JP6079768B2 (ja) 2014-12-15 2014-12-15 車載通信システム

Publications (2)

Publication Number Publication Date
JP2016116075A JP2016116075A (ja) 2016-06-23
JP6079768B2 true JP6079768B2 (ja) 2017-02-15

Family

ID=56112296

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014253270A Active JP6079768B2 (ja) 2014-12-15 2014-12-15 車載通信システム

Country Status (2)

Country Link
US (2) US9866570B2 (ja)
JP (1) JP6079768B2 (ja)

Families Citing this family (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10798114B2 (en) 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network
US10298612B2 (en) 2015-06-29 2019-05-21 Argus Cyber Security Ltd. System and method for time based anomaly detection in an in-vehicle communication network
US11165851B2 (en) 2015-06-29 2021-11-02 Argus Cyber Security Ltd. System and method for providing security to a communication network
JP6197000B2 (ja) * 2015-07-03 2017-09-13 Kddi株式会社 システム、車両及びソフトウェア配布処理方法
JP6603617B2 (ja) 2015-08-31 2019-11-06 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ ゲートウェイ装置、車載ネットワークシステム及び通信方法
CN106608879A (zh) * 2015-10-27 2017-05-03 甘李药业股份有限公司 一种蛋白激酶抑制剂及其制备方法和医药用途
US10218702B2 (en) 2015-11-09 2019-02-26 Silvercar, Inc. Vehicle access systems and methods
CN108370339B (zh) * 2015-11-25 2021-06-18 日立汽车系统株式会社 车载网关装置、电子控制装置、车载网络系统
JP6260066B2 (ja) * 2016-01-18 2018-01-17 Kddi株式会社 車載コンピュータシステム及び車両
JP6732460B2 (ja) * 2016-01-26 2020-07-29 キヤノン株式会社 通信装置、通信方法、プログラム
JP6527090B2 (ja) * 2016-02-01 2019-06-05 株式会社日立製作所 ユーザ許可の確認システム
US9866563B2 (en) * 2016-04-12 2018-01-09 Gaurdknox Cyber Technologies Ltd. Specially programmed computing systems with associated devices configured to implement secure communication lockdowns and methods of use thereof
US11025428B2 (en) * 2016-05-05 2021-06-01 Neustar, Inc. Systems and methods for enabling trusted communications between controllers
US11108562B2 (en) 2016-05-05 2021-08-31 Neustar, Inc. Systems and methods for verifying a route taken by a communication
US10958725B2 (en) 2016-05-05 2021-03-23 Neustar, Inc. Systems and methods for distributing partial data to subnetworks
KR101831134B1 (ko) * 2016-05-17 2018-02-26 현대자동차주식회사 암호화를 적용한 제어기 보안 방법 및 그 장치
JP6433951B2 (ja) * 2016-08-09 2018-12-05 東芝デジタルソリューションズ株式会社 ネットワーク監視装置およびプログラム
EP3512174A4 (en) * 2016-09-12 2020-04-29 LG Electronics Inc. -1- COMMUNICATION SYSTEM
JP6805667B2 (ja) 2016-09-15 2020-12-23 住友電気工業株式会社 検知装置、ゲートウェイ装置、検知方法および検知プログラム
US10735206B2 (en) * 2016-11-07 2020-08-04 The Regents Of The University Of Michigan Securing information exchanged between internal and external entities of connected vehicles
JP6683588B2 (ja) 2016-11-10 2020-04-22 Kddi株式会社 再利用システム、サーバ装置、再利用方法、及びコンピュータプログラム
CN106656705B (zh) * 2016-11-18 2019-12-31 成都信息工程大学 一种车载most/can安全网关及其入侵检测方法
JP6750485B2 (ja) 2016-12-01 2020-09-02 住友電気工業株式会社 検知装置、検知方法および検知プログラム
CN106696862B (zh) * 2016-12-19 2019-01-29 华南理工大学 一种小型赛车的多节点整车控制系统
US10491392B2 (en) * 2017-03-01 2019-11-26 Ford Global Technologies, Llc End-to-end vehicle secure ECU unlock in a semi-offline environment
US10412058B2 (en) * 2017-04-18 2019-09-10 GM Global Technology Operations LLC Systems and methods for using mechanical vibration for out-of-band communications onboard a vehicle
JP7094670B2 (ja) * 2017-07-03 2022-07-04 矢崎総業株式会社 設定装置及びコンピュータ
KR102368606B1 (ko) * 2017-07-31 2022-03-02 현대자동차주식회사 효율적인 차량용 리프로그래밍 장치 및 그 제어방법
JP6828632B2 (ja) 2017-08-03 2021-02-10 住友電気工業株式会社 検知装置、検知方法および検知プログラム
JP7007632B2 (ja) 2017-08-03 2022-01-24 住友電気工業株式会社 検知装置、検知方法および検知プログラム
US10559139B2 (en) * 2017-08-23 2020-02-11 Blackberry Limited Actions associated with vehicle receiving stations
JP6919430B2 (ja) * 2017-09-04 2021-08-18 株式会社デンソー ネットワークシステム
US10581609B2 (en) * 2017-10-23 2020-03-03 Nxp B.V. Log message authentication with replay protection
US10009325B1 (en) * 2017-12-07 2018-06-26 Karamba Security End-to-end communication security
JP6794383B2 (ja) * 2018-01-15 2020-12-02 株式会社東芝 電子装置、方法、プログラム及びサーバ、方法、プログラム
CN109462607B (zh) * 2018-12-20 2021-06-01 重庆圣眸科技开发有限公司 一种安全uds诊断在can上的实现方法
US11290437B2 (en) * 2018-12-27 2022-03-29 Beijing Voyager Technology Co., Ltd. Trusted platform protection in an autonomous vehicle
JP7328419B2 (ja) * 2019-01-09 2023-08-16 国立大学法人東海国立大学機構 車載通信システム、車載通信装置、コンピュータプログラム及び通信方法
JP7132132B2 (ja) * 2019-01-09 2022-09-06 国立大学法人東海国立大学機構 車載通信システム、車載通信制御装置、車載通信装置、コンピュータプログラム、通信制御方法及び通信方法
CN109672538B (zh) * 2019-02-13 2021-08-27 北京仁信证科技有限公司 一种轻量级车载总线安全通信方法及安全通信系统
CN110635893B (zh) * 2019-09-21 2020-10-20 吉林大学 一种车载以太网信息安全防护方法
KR102645542B1 (ko) * 2019-11-06 2024-03-11 한국전자통신연구원 차량 내부 네트워크 장치 및 방법
JP7156257B2 (ja) * 2019-11-21 2022-10-19 トヨタ自動車株式会社 車両通信装置、通信異常の判定方法及びプログラム
CN111131313B (zh) * 2019-12-31 2021-05-11 北京邮电大学 智能网联汽车更换ecu的安全保障方法及系统
JP2021145205A (ja) * 2020-03-11 2021-09-24 本田技研工業株式会社 認証システム
KR20220000537A (ko) * 2020-06-26 2022-01-04 현대자동차주식회사 차량 네트워크 기반의 데이터 송수신 시스템 및 그 방법
US20220158843A1 (en) * 2020-11-13 2022-05-19 Ford Global Technologies, Llc Diagnostic over ip authentication
DE102021208914A1 (de) 2021-08-13 2023-02-16 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Authentifizierung eines Endgeräts
CN113658360B (zh) * 2021-08-18 2022-05-10 安徽江淮汽车集团股份有限公司 用于车辆的数字钥匙安全控制方法
US11570180B1 (en) * 2021-12-23 2023-01-31 Eque Corporation Systems configured for validation with a dynamic cryptographic code and methods thereof

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3688830B2 (ja) * 1995-11-30 2005-08-31 株式会社東芝 パケット転送方法及びパケット処理装置
GB0031607D0 (en) * 2000-12-27 2001-02-07 Koninkl Philips Electronics Nv Credit system and method
US6772090B2 (en) * 2001-01-25 2004-08-03 Microchip Technology Incorporated Apparatus for secure storage of vehicle odometer values and method therefor
EP1339189A3 (en) 2002-02-21 2004-08-11 Matsushita Electric Industrial Co., Ltd. Method for authentication between apparatus using challenge and response system
JP2003318894A (ja) 2002-02-21 2003-11-07 Matsushita Electric Ind Co Ltd チャレンジ−レスポンス方式による機器間の認証処理方法
US7505450B2 (en) * 2005-03-23 2009-03-17 Cisco Technology, Inc. Configuration of failure and acquire timeouts to facilitate recovery from failures in hierarchical mesh networks
US7545811B2 (en) * 2005-11-09 2009-06-09 Intel Corporation Efficient broadcast in wireless mesh networks
JP4810289B2 (ja) * 2006-04-17 2011-11-09 ルネサスエレクトロニクス株式会社 メッセージ認証子生成装置、メッセージ認証子検証装置、及びメッセージ認証システム
US20080098218A1 (en) * 2006-10-18 2008-04-24 Sibigtroth James M Secure communication protocol and method therefor
EP2118866A1 (en) * 2007-02-09 2009-11-18 Agency for Science, Technology and Research A method and system for tamper proofing a system of interconnected electronic devices
EP1973265A1 (en) * 2007-03-21 2008-09-24 Nokia Siemens Networks Gmbh & Co. Kg Key refresh in SAE/LTE system
JP2010011400A (ja) * 2008-06-30 2010-01-14 National Institute Of Advanced Industrial & Technology 共通鍵方式の暗号通信システム
JP4519187B2 (ja) * 2008-09-29 2010-08-04 本田技研工業株式会社 燃費向上のための運転操作技術の向上を促進するための装置
US8611306B2 (en) * 2009-01-12 2013-12-17 Qualcomm Incorporated Context fetching after inter-system handover
DE102009000869A1 (de) * 2009-02-16 2010-08-19 Robert Bosch Gmbh Verfahren und Vorrichtung zur manipulationssicheren Übertragung von Daten
JP5490473B2 (ja) * 2009-09-15 2014-05-14 ルネサスエレクトロニクス株式会社 データ処理システム、電気自動車及びメンテナンスサービスシステム
DE102010042539B4 (de) * 2010-10-15 2013-03-14 Infineon Technologies Ag Datensender mit einer sicheren, aber effizienten Signatur
KR101881167B1 (ko) * 2011-06-13 2018-07-23 주식회사 케이티 차량 제어 시스템
JP5479408B2 (ja) * 2011-07-06 2014-04-23 日立オートモティブシステムズ株式会社 車載ネットワークシステム
JP2013048374A (ja) 2011-08-29 2013-03-07 Toyota Motor Corp 保護通信方法
JP5770602B2 (ja) 2011-10-31 2015-08-26 トヨタ自動車株式会社 通信システムにおけるメッセージ認証方法および通信システム
JP2013142963A (ja) 2012-01-10 2013-07-22 Toyota Motor Corp 車載制御装置の認証システム
JP6093503B2 (ja) * 2012-01-31 2017-03-08 株式会社東海理化電機製作所 電子キー登録方法
JP5651615B2 (ja) * 2012-02-16 2015-01-14 日立オートモティブシステムズ株式会社 車載ネットワークシステム
JP5664579B2 (ja) 2012-03-14 2015-02-04 株式会社デンソー 通信システム、中継装置、車外装置及び通信方法
JP5884716B2 (ja) * 2012-12-11 2016-03-15 トヨタ自動車株式会社 車載システム
WO2015129352A1 (ja) * 2014-02-28 2015-09-03 日立オートモティブシステムズ株式会社 認証システム、車載制御装置
US9460567B2 (en) * 2014-07-29 2016-10-04 GM Global Technology Operations LLC Establishing secure communication for vehicle diagnostic data
JP6173411B2 (ja) * 2014-12-12 2017-08-02 Kddi株式会社 管理装置、車両、管理システム、管理方法、及びコンピュータプログラム

Also Published As

Publication number Publication date
US20160173505A1 (en) 2016-06-16
US20180091525A1 (en) 2018-03-29
US9866570B2 (en) 2018-01-09
US10104094B2 (en) 2018-10-16
JP2016116075A (ja) 2016-06-23

Similar Documents

Publication Publication Date Title
JP6079768B2 (ja) 車載通信システム
CN108028784B (zh) 不正常检测方法、监视电子控制单元以及车载网络系统
CN104767618B (zh) 一种基于广播的can总线认证方法及系统
KR102243114B1 (ko) 차량 네트워크에서 id 익명화를 사용한 실시간 프레임 인증
JP5967822B2 (ja) 車載通信システム及び装置
US11245535B2 (en) Hash-chain based sender identification scheme
US10279775B2 (en) Unauthorized access event notification for vehicle electronic control units
JP5958535B2 (ja) 認証システム及び認証方法
CN104426669B (zh) 用于受保护地传送数据的方法
JP6523143B2 (ja) データ配布装置、通信システム、移動体およびデータ配布方法
JP6484519B2 (ja) ゲートウェイ装置およびその制御方法
CN112153646A (zh) 认证方法、设备及系统
Oyler et al. Security in automotive telematics: a survey of threats and risk mitigation strategies to counter the existing and emerging attack vectors
JP6730578B2 (ja) 監視方法および監視システム
JP6375962B2 (ja) 車載ゲートウェイ装置及び電子制御装置
WO2017126471A1 (ja) 認証システム、認証要求装置、車載電子機器、コンピュータプログラム及び認証処理方法
CN115580419A (zh) 运载工具服务提供商系统、用于该系统的方法及存储介质
CN114422208A (zh) 车辆安全通讯方法、装置、微处理器和存储介质
KR20170043778A (ko) Otp를 이용한 차량 내부 네크워크 보안 방법 및 시스템
Olivier et al. Hashing-based authentication for CAN bus and application to Denial-of-Service protection
KR102236282B1 (ko) 차량용 통신 데이터 인증 방법 및 시스템
JP2017050719A (ja) 車載ネットワークシステム
JP7453404B2 (ja) 通信システム、中継装置、受信装置及び通信制御方法
KR20190097216A (ko) 센서의 측정값들에 서명하기 위한 방법, 장치 및 명령어들을 포함하는 컴퓨터 판독 가능 저장 매체
JP2013142963A (ja) 車載制御装置の認証システム

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161220

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170102

R151 Written notification of patent or utility model registration

Ref document number: 6079768

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151