JP6418217B2 - Information aggregation method executed in communication system - Google Patents

Information aggregation method executed in communication system Download PDF

Info

Publication number
JP6418217B2
JP6418217B2 JP2016191550A JP2016191550A JP6418217B2 JP 6418217 B2 JP6418217 B2 JP 6418217B2 JP 2016191550 A JP2016191550 A JP 2016191550A JP 2016191550 A JP2016191550 A JP 2016191550A JP 6418217 B2 JP6418217 B2 JP 6418217B2
Authority
JP
Japan
Prior art keywords
test mode
electronic control
aggregation
vehicle
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2016191550A
Other languages
Japanese (ja)
Other versions
JP2017118487A (en
Inventor
雄介 佐藤
雄介 佐藤
瀬里奈 江川
瀬里奈 江川
良彦 加藤
良彦 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to DE102016124352.3A priority Critical patent/DE102016124352A1/en
Priority to CN201611162074.0A priority patent/CN106919163B/en
Priority to US15/380,089 priority patent/US10178094B2/en
Publication of JP2017118487A publication Critical patent/JP2017118487A/en
Application granted granted Critical
Publication of JP6418217B2 publication Critical patent/JP6418217B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0275Fault isolation and identification, e.g. classify fault; estimate cause or root of failure
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24065Real time diagnostics

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、複数の電子制御装置とセンター装置または外部ツールなどの集約装置とがネットワークを介して接続された通信システムで実行される情報集約方法に関する。   The present invention relates to an information aggregation method executed in a communication system in which a plurality of electronic control devices and an aggregation device such as a center device or an external tool are connected via a network.

例えば特許文献1には、電子制御装置(監視対象システム)と集約装置であるセンター装置(被害解析装置)とがネットワークで接続された通信システムであって、センター装置が、不正アクセスによる攻撃を受けた電子制御装置の情報を収集して被害状況を解析する技術が開示されている。   For example, Patent Document 1 discloses a communication system in which an electronic control device (monitored system) and a central device (damage analysis device) that is an aggregation device are connected via a network, and the center device is attacked by unauthorized access. A technique for collecting information on electronic control devices and analyzing damage status is disclosed.

この従来の通信システムでは、情報の収集にあたって、不正アクセスによって電子制御装置に被害が発生している攻撃と、不正アクセスはあるが電子制御装置に被害が発生していない攻撃との、切り分けが自動的に行われている。   In this conventional communication system, when collecting information, it is possible to automatically distinguish between attacks that cause damage to the electronic control device due to unauthorized access and attacks that cause unauthorized access but do not cause damage to the electronic control device. Has been done.

特開2005−165541号公報JP 2005-165541 A

しかしながら、上記従来の通信システムでは、不正アクセスによる攻撃を原因とする異常と、不正アクセスによる攻撃を原因としない異常とを、切り分けることができない。例えば、メッセージ認証コードの異常は、不正アクセスなどのセキュリティ攻撃に基づいて生じる場合と回路故障などに基づいて生じる場合とが考えられるが、それぞれの異常時に記憶された攻撃情報を切り分けることができない。   However, the conventional communication system cannot distinguish between an abnormality caused by an attack caused by unauthorized access and an abnormality caused by an attack caused by unauthorized access. For example, an abnormality in the message authentication code may be caused by a security attack such as unauthorized access or a circuit failure, but the attack information stored at each abnormality cannot be separated.

このため、集約装置が、回路故障などの原因による認証処理の異常時に記憶された攻撃情報を除外することなく、複数の電子制御装置から全ての攻撃情報を集約することになり、集約装置などによる攻撃情報の解析精度が低下する。   For this reason, the aggregation device aggregates all attack information from a plurality of electronic control devices without excluding the attack information stored when the authentication process is abnormal due to a cause such as a circuit failure. Analysis accuracy of attack information decreases.

本発明は、上記課題を鑑みてなされたものであり、複数の電子制御装置と集約装置とがネットワーク接続された通信システムにおいて、集約装置が、回路故障などの原因による認証処理の異常時に記憶された攻撃情報を除外して、複数の電子制御装置から攻撃情報を集約することができる情報集約方法を提供することを目的とする。   The present invention has been made in view of the above problems, and in a communication system in which a plurality of electronic control devices and an aggregation device are network-connected, the aggregation device is stored when an authentication process is abnormal due to a cause such as a circuit failure. It is an object of the present invention to provide an information aggregating method capable of aggregating attack information from a plurality of electronic control devices by excluding the attack information.

上記課題を解決するために、本発明の第1態様は、車内に搭載され、随時更新される所定のカウンタのカウント値を用いて認証処理を行い、かつ当該認証処理の異常時に攻撃情報を記憶する複数の電子制御装置と、車外に設けられ、複数の電子制御装置の攻撃情報を集約するセンター装置または外部ツールである集約装置とからなる、通信システムで実行される情報集約方法であって、集約装置が、攻撃情報を取得したい電子制御装置である対象装置に対して、テストモードの開始要求を送信し、対象装置が、集約装置からテストモードの開始要求を受信したときに車両が所定の条件を満足していると判断すれば、テストモードを開始して、カウンタの動作を停止し、停止したカウンタのカウント値を集約装置へ送信し、集約装置が、対象装置から受信したカウント値に基づいて第1メッセージ認証コードを生成し、第1メッセージ認証コードを添付した攻撃情報の取得要求を対象装置へ送信し、対象装置が、集約装置から第1メッセージ認証コードが添付された攻撃情報の取得要求を受信すると、停止したカウンタのカウント値に基づいて第2メッセージ認証コードを生成し、第1メッセージ認証コードと第2メッセージ認証コードとが一致した場合に自身の装置が正常であると判断して、攻撃情報を集約装置へ送信し、対象装置が、攻撃情報を集約装置へ送信した後または自身の装置が正常でないと判断した後、カウンタの動作を始動させてテストモードを終了する、ことを特徴とする。   In order to solve the above-mentioned problem, the first aspect of the present invention performs authentication processing using a count value of a predetermined counter mounted in a vehicle and updated as needed, and stores attack information when the authentication processing is abnormal An information aggregation method executed in a communication system, comprising a plurality of electronic control devices, and a central device that is provided outside the vehicle and aggregates attack information of the plurality of electronic control devices or an aggregation device that is an external tool, The aggregation device transmits a test mode start request to the target device which is an electronic control device for which attack information is to be acquired, and when the target device receives the test mode start request from the aggregation device, the vehicle If it is determined that the condition is satisfied, the test mode is started, the counter operation is stopped, the count value of the stopped counter is transmitted to the aggregation device, and the aggregation device A first message authentication code is generated based on the count value received from the server, an attack information acquisition request attached with the first message authentication code is transmitted to the target device, and the target device receives the first message authentication code from the aggregation device. When the attached attack information acquisition request is received, a second message authentication code is generated based on the count value of the stopped counter, and when the first message authentication code and the second message authentication code match, the device itself The attack information is transmitted to the aggregation device and the target device transmits the attack information to the aggregation device or determines that its own device is not normal, and then starts the counter operation. The test mode is terminated.

この本発明の第1態様では、所定のテストモードにおいて、電子制御装置側が有する所定のカウンタのカウント値を対象装置からセンター装置や外部ツールなどの集約装置へ送信する。そして、集約装置および対象装置の双方で、同じカウント値からそれぞれメッセージ認証コードを生成し、対象装置が双方のメッセージ認証コードの一致/不一致を判断して集約装置への攻撃情報の送信可否を決定する。   In the first aspect of the present invention, in a predetermined test mode, the count value of a predetermined counter on the electronic control device side is transmitted from the target device to an aggregation device such as a center device or an external tool. Then, both the aggregation device and the target device generate message authentication codes from the same count value, and the target device determines whether or not both message authentication codes match to determine whether or not to transmit attack information to the aggregation device. To do.

このように、同じカウント値からそれぞれ生成したメッセージ認証コードの比較を行うことで、集約装置が生成した正しいメッセージ認証コードと一致しなければ、対象装置のメッセージ認証コードが異常であると判断することができる。従って、この場合には、対象装置が記憶している攻撃情報が、回路故障などの原因による認証処理の異常時に記憶された攻撃情報であるおそれがあるため、当該攻撃情報を集約装置へ送信しない。双方のメッセージ認証コードが一致した場合だけ、対象装置が記憶している攻撃情報を集約装置へ送信する。これにより、回路故障などの原因による認証処理の異常時に記憶された攻撃情報を除外することができ、センター装置などによる攻撃情報の解析精度が向上する。   In this way, by comparing the message authentication codes generated from the same count value, if it does not match the correct message authentication code generated by the aggregation device, it is determined that the message authentication code of the target device is abnormal Can do. Therefore, in this case, the attack information stored in the target device may be attack information stored when the authentication process is abnormal due to a circuit failure or the like, and therefore the attack information is not transmitted to the aggregation device. . Only when both message authentication codes match, the attack information stored in the target device is transmitted to the aggregation device. Thereby, the attack information stored when the authentication process is abnormal due to a cause such as a circuit failure can be excluded, and the analysis accuracy of the attack information by the center device or the like is improved.

また、本発明の第2態様は、上記第1態様において、対象装置が、テストモードを開始してから終了するまでの期間は、対象装置が搭載された車両を走行できないように制御する、ことを特徴とする。   Further, a second aspect of the present invention is that, in the first aspect, the target device is controlled so that the vehicle on which the target device is mounted cannot travel during a period from the start of the test mode to the end of the test mode. It is characterized by.

この本発明の第2態様によれば、上記第1態様によって実現される効果に加え、例えばカウンタの停止によってセキュリティが脆弱な状況にある車両が、安全な場所の外に移動(走行)してしまいセキュリティ攻撃の危険に晒されてしまうことを、未然に防止することができる。   According to the second aspect of the present invention, in addition to the effect realized by the first aspect, for example, a vehicle in which security is weak due to a stop of the counter moves (runs) out of a safe place. Therefore, it is possible to prevent exposure to the risk of security attacks.

また、本発明の第3態様は、上記第1態様において、対象装置が、テストモードを終了する前に車両が所定の条件を満足しなくなったと判断すれば、判断の時点でカウンタの動作を始動させてテストモードを終了する、ことを特徴とする。   In addition, according to a third aspect of the present invention, in the first aspect, if the target device determines that the vehicle does not satisfy the predetermined condition before ending the test mode, the operation of the counter is started at the time of determination. To end the test mode.

この本発明の第3態様によれば、上記第1態様によって実現される効果に加え、例えばカウンタの停止によってセキュリティが脆弱な状況にある車両が、安全な場所の外に移動(走行)してしまっても、セキュリティが脆弱な状況でセキュリティ攻撃の危険に晒されてしまうことを防止することができる。   According to the third aspect of the present invention, in addition to the effect realized by the first aspect, for example, a vehicle in which security is weak due to the stoppage of the counter moves (runs) out of a safe place. Even if the security is weak, it can be prevented from being exposed to the risk of a security attack.

以上述べたように、本発明の情報集約方法によれば、複数の電子制御装置と集約装置とがネットワーク接続された通信システムにおいて、集約装置は、回路故障などの原因による認証処理の異常時に記憶された攻撃情報を除外して、複数の電子制御装置から攻撃情報を集約することができる。   As described above, according to the information aggregation method of the present invention, in a communication system in which a plurality of electronic control devices and an aggregation device are network-connected, the aggregation device stores data when an authentication process is abnormal due to a cause such as a circuit failure. The attack information can be aggregated from a plurality of electronic control devices by excluding the attack information.

本発明の各実施形態に係る情報集約方法が適用される通信システムの構成例を示す図The figure which shows the structural example of the communication system with which the information aggregation method which concerns on each embodiment of this invention is applied. センター装置(集約装置)の構成例を示す図The figure which shows the structural example of a center apparatus (aggregation apparatus) 電子制御装置(ECU)の構成例を示す図The figure which shows the structural example of an electronic controller (ECU). 本発明の第1の実施形態に係る情報集約方法の処理手順を示したフローチャートThe flowchart which showed the process sequence of the information aggregation method which concerns on the 1st Embodiment of this invention. 本発明の第2の実施形態に係る情報集約方法の処理手順を示したフローチャートThe flowchart which showed the process sequence of the information aggregation method which concerns on the 2nd Embodiment of this invention. 本発明の第3の実施形態に係る情報集約方法の処理手順を示したフローチャートThe flowchart which showed the process sequence of the information aggregation method which concerns on the 3rd Embodiment of this invention. 本発明の各実施形態に係る情報集約方法が適用される通信システムの他の構成例を示す図The figure which shows the other structural example of the communication system with which the information aggregation method which concerns on each embodiment of this invention is applied.

[概要]
本発明は、複数の電子制御装置が記憶する攻撃情報をセンター装置または外部ツールなどの集約装置が集約する通信システムである。この通信システムでは、集約装置と電子制御装置とが、同じデータに基づいてメッセージ認証コードをそれぞれ生成する。集約装置が生成したメッセージ認証コードが正しい場合、双方のメッセージ認証コードが一致しなければ電子制御装置の認証コード生成機能が故障していると判断できる。よって、故障の判断がなされた電子制御装置は、攻撃情報を集約装置へ送信しない。これにより、集約装置は、複数の電子制御装置から集約する攻撃情報から、回路故障などの原因による認証処理の異常時に記憶された攻撃情報を除外することができる。 [Overview]
The present invention is a communication system in which attack information stored in a plurality of electronic control devices is aggregated by a central device such as a center device or an external tool. In this communication system, the aggregation device and the electronic control device each generate a message authentication code based on the same data. If the message authentication code generated by the aggregation device is correct, it can be determined that the authentication code generation function of the electronic control device has failed if both message authentication codes do not match. Therefore, the electronic control device for which the failure has been determined does not transmit attack information to the aggregation device. Thereby, the aggregation device can exclude the attack information stored when the authentication process is abnormal due to a circuit failure or the like from the attack information aggregated from a plurality of electronic control devices.

以下、本発明が提供する情報集約方法を、車両用の通信システムに適用した場合を一例に挙げて、図面を参照しながら詳細に説明する。   Hereinafter, the case where the information aggregation method provided by the present invention is applied to a vehicle communication system will be described as an example with reference to the drawings.

[通信システムの構成例]
図1は、本発明の各実施形態に係る情報集約方法が適用される通信システム1の構成例を示す図である。図1に例示した通信システム1は、車両外部に設けられたセンター装置10と、車両内部に搭載される複数の電子制御装置20(ECU_1、ECU_2、ECU_3)とで、構成される。 [Configuration example of communication system]
FIG. 1 is a diagram illustrating a configuration example of a communication system 1 to which an information aggregation method according to each embodiment of the present invention is applied. The communication system 1 illustrated in FIG. 1 includes a center device 10 provided outside the vehicle and a plurality of electronic control devices 20 (ECU_1, ECU_2, ECU_3) mounted inside the vehicle.

複数の電子制御装置20は、CAN(Controller Area Network)などの車内ネットワーク30を介して、通信可能に接続されている。センター装置10は、例えば無線ネットワーク40を介して、少なくとも1つの電子制御装置20(ECU_1)と通信可能に接続されている。センター装置10と直接通信可能に接続されていない電子制御装置20(ECU_2、ECU_3)は、車内ネットワーク30、センター装置10と通信可能に接続された電子制御装置20(ECU_1)、および無線ネットワーク40を経由して、センター装置10と通信を行う。   The plurality of electronic control devices 20 are communicably connected via an in-vehicle network 30 such as a CAN (Controller Area Network). The center device 10 is connected to at least one electronic control device 20 (ECU_1) via a wireless network 40, for example. The electronic control device 20 (ECU_2, ECU_3) not connected to the center device 10 so as to be directly communicable is connected to the in-vehicle network 30, the electronic control device 20 (ECU_1) connected to the center device 10 so as to be communicable, and the wireless network 40. The center device 10 is communicated via the communication.

・センター装置10
センター装置10は、車内に搭載された複数の電子制御装置20から攻撃情報を集約する、集約装置の1つである。センター装置10は、集約した攻撃情報の解析を行うことができる。このセンター装置10は、図2に示すように、通信部11、記憶部12、およびMAC生成部13を備えている。 Center device 10
The center device 10 is one of aggregation devices that aggregate attack information from a plurality of electronic control devices 20 mounted in the vehicle. The center device 10 can analyze the aggregated attack information. As shown in FIG. 2, the center device 10 includes a communication unit 11, a storage unit 12, and a MAC generation unit 13.

通信部11は、テストモードの開始要求やメッセージ認証コードが添付された攻撃情報の取得要求を対象の電子制御装置20へ送信したり、同期カウンタのカウント値や攻撃情報を対象の電子制御装置20から受信したりする機能部である。テストモード、メッセージ認証コード、カウント値、および攻撃情報については、後述する。記憶部12には、様々な電子制御装置20から受信した攻撃情報が記憶される。   The communication unit 11 transmits a test mode start request and an attack information acquisition request attached with a message authentication code to the target electronic control device 20, and the synchronization counter count value and attack information are transmitted to the target electronic control device 20. It is a functional part which receives from. The test mode, message authentication code, count value, and attack information will be described later. The storage unit 12 stores attack information received from various electronic control devices 20.

MAC生成部13は、対象の電子制御装置20から受信したカウント値を用いて、メッセージ認証コード(第1のMAC)を生成する機能部である。本実施形態では、通信部11が対象の電子制御装置20から正しいカウント値を受信するという前提であるため、MAC生成部13で生成されたメッセージ認証コード(第1のMAC)は、正規のメッセージ認証コードとなる。この正規のメッセージ認証コード(第1のMAC)は、攻撃情報の取得要求に添付されて、通信部11から対象の電子制御装置20へ送信される。   The MAC generation unit 13 is a functional unit that generates a message authentication code (first MAC) using the count value received from the target electronic control device 20. In this embodiment, since it is a premise that the communication unit 11 receives a correct count value from the target electronic control device 20, the message authentication code (first MAC) generated by the MAC generation unit 13 is a regular message. It becomes an authentication code. This regular message authentication code (first MAC) is attached to the attack information acquisition request and transmitted from the communication unit 11 to the target electronic control device 20.

このセンター装置10は、典型的には中央演算処理装置(CPU:Central Processing Unit)、メモリ、および入出力インタフェースなどを含んで構成され、メモリに格納されたプログラムをCPUが読み出して解釈実行することにより、上述した通信部11、記憶部12、およびMAC生成部13の各機能を実現する。   The center device 10 is typically configured to include a central processing unit (CPU), a memory, an input / output interface, and the like, and the CPU reads and interprets and executes a program stored in the memory. Thus, the functions of the communication unit 11, the storage unit 12, and the MAC generation unit 13 described above are realized.

・電子制御装置20
電子制御装置20は、同期カウンタのカウント値を用いてメッセージの認証処理を行い、この認証処理の異常時に攻撃情報(例えば、いつ、どこから、どのような攻撃を受けたかを示すログ)を記憶する。さらに、電子制御装置20は、車外に設けられたセンター装置10から受ける要求に応じて、テストモードへの移行処理、装置の故障判定処理、および攻撃情報の送信処理を行う。この電子制御装置20は、図3に示すように、通信部21、記憶部22、テストモード制御部23、MAC生成部24、および故障判断部25を備えている。 Electronic control device 20
The electronic control unit 20 performs message authentication processing using the count value of the synchronization counter, and stores attack information (for example, a log indicating when and from what attack was received) when the authentication processing is abnormal. . Furthermore, the electronic control unit 20 performs a process for shifting to the test mode, a failure determination process for the apparatus, and a transmission process for attack information in response to a request received from the center apparatus 10 provided outside the vehicle. As shown in FIG. 3, the electronic control device 20 includes a communication unit 21, a storage unit 22, a test mode control unit 23, a MAC generation unit 24, and a failure determination unit 25.

通信部21は、テストモードの開始要求や攻撃情報の取得要求をセンター装置10から受信したり、同期カウンタのカウント値や攻撃情報をセンター装置10へ送信したりする機能部である。テストモードの開始要求を受けた電子制御装置20が、対象の電子制御装置20となる。同期カウンタは、車内ネットワークのセキュリティ確保のために利用される車両内部のカウンタであり、標準規格(AUTOSAR: AUTomotive Open System ARchitecture)に準拠した随時更新動作を行う。記憶部22には、電子制御装置20が受けた不正アクセスなどのセキュリティ攻撃を原因とする認証処理の異常時に記憶される情報である「攻撃情報」が記憶される。   The communication unit 21 is a functional unit that receives a test mode start request and an attack information acquisition request from the center device 10 and transmits a count value of a synchronization counter and attack information to the center device 10. The electronic control device 20 that has received the test mode start request becomes the target electronic control device 20. The synchronous counter is a counter inside the vehicle that is used to ensure the security of the in-vehicle network, and performs an update operation as needed in accordance with the standard (AUTOSAR: AUTomotive Open System ARchitecture). The storage unit 22 stores “attack information” that is information stored when the authentication process is abnormal due to a security attack such as unauthorized access received by the electronic control device 20.

テストモード制御部23は、センター装置10からテストモードの開始要求を受けて、テストモードへの移行を制御する機能部である。テストモードとは、車外装置では知ることができない車内にある同期カウンタのカウント値を、対象の電子制御装置20からセンター装置10へ提供するためのモードである。このテストモードでは、セキュリティ確保に重要な同期カウンタを停止させてその時に示されるカウント値を取得するため、新たな脆弱性が生じる可能性がある。そこで、本発明の一実施形態では、テストモード制御部23が、車両がセキュリティを確保するための予め定めた車両状況にある場合、換言すれば車両が所定の条件を満足している場合に限って、テストモードの開始(テストモードへの移行)を可能とする判断を行う。また、他の実施形態では、テストモードを開始した後であっても、車両が所定の条件を満足しなくなれば、テストモード制御部23がテストモードを途中で終了させる。   The test mode control unit 23 is a functional unit that receives a test mode start request from the center apparatus 10 and controls the transition to the test mode. The test mode is a mode for providing the count value of the synchronous counter in the vehicle that cannot be known by the outside device from the target electronic control device 20 to the center device 10. In this test mode, the synchronization counter important for ensuring security is stopped and the count value shown at that time is acquired, so that a new vulnerability may occur. Therefore, in one embodiment of the present invention, the test mode control unit 23 is only when the vehicle is in a predetermined vehicle situation for ensuring security, in other words, only when the vehicle satisfies a predetermined condition. Thus, a determination is made that the test mode can be started (transfer to the test mode). In another embodiment, even after the test mode is started, if the vehicle does not satisfy the predetermined condition, the test mode control unit 23 ends the test mode halfway.

この予め定めた車両状況(所定の条件)とは、セキュリティが高いと予想される状況であることを言い、例えばディーラの整備建屋に車両が入庫して、かつ、停車している状況などが考えられる。このように車両がディーラの整備建屋に入庫して停車している高いセキュリティ状況である場合に、テストモード制御部23は、車両が所定の条件を満たしているものと見なしてテストモードを開始させる、つまり電子制御装置20をテストモードへ移行させる。そこで、他の実施形態では、テストモードが開始された後は、テストモード制御部23が、自装置を搭載している車両を走行できないように制御する。車両が走行できないようにする制御は、例えばイモビライザーECU、エンジンECU、ブレーキECUなどの電子制御装置20によって、エンジン始動を禁止したり、ブレーキ解除を禁止したり、することなどで実現可能である。   This predetermined vehicle situation (predetermined condition) means a situation where security is expected to be high, for example, a situation where a vehicle has entered the dealer's maintenance building and stopped. It is done. In this way, when the vehicle is in a high security situation where the vehicle enters the dealer's maintenance building and stops, the test mode control unit 23 considers that the vehicle satisfies the predetermined condition and starts the test mode. That is, the electronic control unit 20 is shifted to the test mode. Therefore, in another embodiment, after the test mode is started, the test mode control unit 23 performs control so that the vehicle on which the apparatus is mounted cannot travel. Control for preventing the vehicle from traveling can be realized by prohibiting engine start or brake release by the electronic control device 20 such as an immobilizer ECU, an engine ECU, and a brake ECU, for example.

なお、車両がディーラの整備建屋に入庫したことは、例えばGPS(Global Positioning System)受信機から得られる自車位置情報に基づいて判断することができる。また、車両が停止していることは、例えば各種センサから得られる車速情報やシフトポジション情報に基づいて判断することができる。   In addition, it can be judged based on the own vehicle position information obtained from a GPS (Global Positioning System) receiver, for example, that the vehicle has entered the dealer's maintenance building. Further, it can be determined that the vehicle is stopped based on vehicle speed information and shift position information obtained from various sensors, for example.

MAC生成部24は、テストモード制御部23によって停止させた同期カウンタのカウント値を用いて、メッセージ認証コード(第2のMAC)を生成する機能部である。故障判断部25は、通信部21がセンター装置10から受信した攻撃情報の取得要求に添付された正規のメッセージ認証コード(第1のMAC)と、MAC生成部24で生成されたメッセージ認証コード(第2のMAC)との一致/不一致を判定する。そして、故障判断部25は、双方のメッセージ認証コードが一致していれば(第1のMAC=第2のMAC)、自身の電子制御装置20は正常であると判断し、双方のメッセージ認証コードが一致していなければ(第1のMAC≠第2のMAC)、自身の電子制御装置20は故障していると判断する。   The MAC generation unit 24 is a functional unit that generates a message authentication code (second MAC) using the count value of the synchronization counter stopped by the test mode control unit 23. The failure determination unit 25 includes the regular message authentication code (first MAC) attached to the attack information acquisition request received from the center device 10 by the communication unit 21 and the message authentication code ( A match / mismatch with the second MAC) is determined. Then, if both message authentication codes match (first MAC = second MAC), failure determination unit 25 determines that its own electronic control device 20 is normal, and both message authentication codes. If they do not match (first MAC ≠ second MAC), it is determined that its own electronic control unit 20 is out of order.

本実施形態において故障を判断する対象は、MAC生成部24に相当する暗号化などに関する機能(回路)としている。よって、同じカウント値に基づいて生成された、センター装置10側の正規のメッセージ認証コード(第1のMAC)と対象の電子制御装置20側のメッセージ認証コード(第2のMAC)とが一致しなければ、対象の電子制御装置20が故障していると判断することができる。   In this embodiment, a target for determining a failure is a function (circuit) related to encryption or the like corresponding to the MAC generation unit 24. Therefore, the normal message authentication code (first MAC) on the center device 10 side generated based on the same count value matches the message authentication code (second MAC) on the target electronic control device 20 side. If not, it can be determined that the target electronic control device 20 has failed.

対象の電子制御装置20が故障していると判断した場合、故障判断部25は、記憶部22に記憶されている攻撃情報が、回路故障などの原因による認証処理の異常時に記憶された誤った情報であるとして、その攻撃情報はセンター装置10へ送信しない。これに対し、対象の電子制御装置20が正常であると判断した場合、故障判断部25は、記憶部22に記憶されている攻撃情報が、不正アクセスなどのセキュリティ攻撃を原因とする認証処理の異常時に記憶された正しい情報であるとして、通信部21を介してその攻撃情報をセンター装置10へ送信する。   If it is determined that the target electronic control device 20 has failed, the failure determination unit 25 detects that the attack information stored in the storage unit 22 is incorrect when the authentication process is abnormal due to a circuit failure or the like. The attack information is not transmitted to the center device 10 as information. On the other hand, when it is determined that the target electronic control device 20 is normal, the failure determination unit 25 performs an authentication process in which the attack information stored in the storage unit 22 is caused by a security attack such as unauthorized access. The attack information is transmitted to the center device 10 through the communication unit 21 as correct information stored at the time of abnormality.

この電子制御装置20は、典型的には中央演算処理装置(CPU)、メモリ、および入出力インタフェースなどを含んで構成され、メモリに格納されたプログラムをCPUが読み出して解釈実行することにより、上述した通信部21、記憶部22、テストモード制御部23、MAC生成部24、および故障判断部25の各機能を実現する。   The electronic control unit 20 is typically configured to include a central processing unit (CPU), a memory, an input / output interface, and the like, and the CPU reads a program stored in the memory and interprets and executes the program. The communication unit 21, the storage unit 22, the test mode control unit 23, the MAC generation unit 24, and the failure determination unit 25 are realized.

[通信システムで実行される情報集約方法]
図4〜図6をさらに参照して、上述した通信システム1におけるセンター装置10および対象の電子制御装置20が実行する情報集約方法を説明する。図4は、本発明の第1の実施形態に係る情報集約方法の処理手順を示したフローチャートである。図5は、本発明の第2の実施形態に係る情報集約方法の処理手順を示したフローチャートである。図6は、本発明の第3の実施形態に係る情報集約方法の処理手順を示したフローチャートである。 [Information aggregation method executed in communication system]
With further reference to FIGS. 4 to 6, an information aggregation method executed by the center device 10 and the target electronic control device 20 in the communication system 1 described above will be described. FIG. 4 is a flowchart showing a processing procedure of the information aggregation method according to the first embodiment of the present invention. FIG. 5 is a flowchart showing a processing procedure of the information aggregation method according to the second embodiment of the present invention. FIG. 6 is a flowchart showing the processing procedure of the information aggregation method according to the third embodiment of the present invention.

<第1の実施形態>
図4を参照して、第1の実施形態に係る情報集約方法を説明する。図4において、センター装置10は、攻撃情報を取得したい対象の電子制御装置(ECU)20に対して、テストモードの開始要求を送信する(S101)。 <First Embodiment>
The information aggregation method according to the first embodiment will be described with reference to FIG. In FIG. 4, the center apparatus 10 transmits a test mode start request to a target electronic control unit (ECU) 20 from which attack information is desired to be acquired (S101).

センター装置10からテストモードの開始要求を受信した対象の電子制御装置20は、車両の現在の状況に基づいて車両が所定の条件を満足するか否かを判断し、テストモードに移行可能か否かを判断する(S201)。ここで、所定の条件とは、セキュリティが高く安全であると想定される、例えば車両がディーラの整備建屋などの特定の場所に居て、かつ、車両が停車していることなどである。車両が特定の場所に居ることは、GPSの位置情報などに基づいて判断可能であり、車両が停車していることは、車速情報やシフトポジション情報などに基づいて判断することができる。この判断において車両が所定の条件を満足しておらずテストモードへの移行が不可能である場合(S201:No)、対象の電子制御装置20は、テストモードへ移行することなく(S202)、センター装置10からの要求に対する処理を終了する。   The target electronic control unit 20 that has received the test mode start request from the center device 10 determines whether or not the vehicle satisfies a predetermined condition based on the current state of the vehicle, and whether or not the test mode can be shifted to the test mode. Is determined (S201). Here, the predetermined condition is assumed that the security is high and safe, for example, the vehicle is in a specific place such as a dealer's maintenance building, and the vehicle is stopped. Whether the vehicle is in a specific place can be determined based on GPS position information or the like, and whether the vehicle is stopped can be determined based on vehicle speed information or shift position information. In this determination, when the vehicle does not satisfy the predetermined condition and the shift to the test mode is impossible (S201: No), the target electronic control unit 20 does not shift to the test mode (S202). The process for the request from the center apparatus 10 is terminated.

一方、上記判断において車両が所定の条件を満足していてテストモードへの移行が可能である場合(S201:Yes)、対象の電子制御装置20は、テストモードへ移行して処理を開始する(S203)。処理を開始すると、対象の電子制御装置20は、まず車両内部の同期カウンタを停止させる(S204)。そして、対象の電子制御装置20は、停止させた同期カウンタが示すカウント値をセンター装置10へ送信する(S205)。   On the other hand, if the vehicle satisfies the predetermined condition in the above determination and can shift to the test mode (S201: Yes), the target electronic control device 20 shifts to the test mode and starts processing ( S203). When the process is started, the target electronic control unit 20 first stops the synchronization counter inside the vehicle (S204). Then, the target electronic control device 20 transmits the count value indicated by the stopped synchronization counter to the center device 10 (S205).

センター装置10は、テストモードの開始要求に対する応答であるカウント値を、対象の電子制御装置20から受信したか否かを判断する(S102)。対象の電子制御装置20からカウント値を受信できない場合(S102:No)、センター装置10は、対象の電子制御装置20から攻撃情報を取得することなく、処理を終了する。   The center device 10 determines whether or not a count value that is a response to the test mode start request is received from the target electronic control device 20 (S102). When the count value cannot be received from the target electronic control device 20 (S102: No), the center device 10 ends the process without acquiring the attack information from the target electronic control device 20.

一方、対象の電子制御装置20からカウント値を受信した場合(S102:Yes)、センター装置10は、受信したカウント値を用いて正規のメッセージ認証コード(第1のMAC)を生成する(S103)。そして、センター装置10は、生成した正規のメッセージ認証コード(第1のMAC)を添付した攻撃情報の取得要求を、対象の電子制御装置20へ送信する(S104)。   On the other hand, when the count value is received from the target electronic control device 20 (S102: Yes), the center device 10 generates a regular message authentication code (first MAC) using the received count value (S103). . Then, the center device 10 transmits an attack information acquisition request attached with the generated regular message authentication code (first MAC) to the target electronic control device 20 (S104).

センター装置10から正規のメッセージ認証コード(第1のMAC)が添付された攻撃情報の取得要求を受信した対象の電子制御装置20は、停止させた同期カウンタが示すカウント値を用いてメッセージ認証コード(第2のMAC)を生成する(S206)。そして、対象の電子制御装置20は、センター装置10から受信した正規のメッセージ認証コード(第1のMAC)と自身が生成したメッセージ認証コード(第2のMAC)とが、一致しているか否かを判断する(S207)。   The target electronic control unit 20 that has received the attack information acquisition request attached with the regular message authentication code (first MAC) from the center device 10 uses the count value indicated by the stopped synchronization counter. (Second MAC) is generated (S206). Then, the target electronic control device 20 determines whether the regular message authentication code (first MAC) received from the center device 10 matches the message authentication code (second MAC) generated by itself. Is determined (S207).

双方のメッセージ認証コードが一致していないと判断した場合(S207:No)、対象の電子制御装置20は、自身(のメッセージ認証コードの生成機能)が故障していると判断する(S210)。この場合、対象の電子制御装置20は、自身が記憶部22に記憶している攻撃情報がMAC生成部24の故障などの原因による認証処理の異常時に記憶された誤った情報であると判断して、その攻撃情報をセンター装置10へ送信しない(S211)。   When it is determined that the two message authentication codes do not match (S207: No), the target electronic control device 20 determines that its own (message authentication code generation function) is out of order (S210). In this case, the target electronic control unit 20 determines that the attack information stored in the storage unit 22 is incorrect information stored when the authentication process is abnormal due to a failure of the MAC generation unit 24 or the like. The attack information is not transmitted to the center apparatus 10 (S211).

一方、双方のメッセージ認証コードが一致していると判断した場合(S207:Yes)、対象の電子制御装置20は、自身(の認証コードの生成機能)は正常である判断する(S208)。この場合、対象の電子制御装置20は、自身が記憶部22に記憶している攻撃情報が不正アクセスなどのセキュリティ攻撃を原因とする認証処理の異常時に記憶された正しい情報であると判断して、その攻撃情報をセンター装置10へ送信する(S209)。   On the other hand, when it is determined that both message authentication codes match (S207: Yes), the target electronic control device 20 determines that it (its authentication code generation function) is normal (S208). In this case, the target electronic control unit 20 determines that the attack information stored in the storage unit 22 is correct information stored when the authentication process is abnormal due to a security attack such as unauthorized access. The attack information is transmitted to the center device 10 (S209).

センター装置10は、攻撃情報の取得要求に対する応答である攻撃情報を、対象の電子制御装置20から受信したか否かを判断する(S105)。対象の電子制御装置20から攻撃情報を受信できない場合(S105:No)、センター装置10は、対象の電子制御装置20から攻撃情報を取得することなく、処理を終了する。一方、対象の電子制御装置20から攻撃情報を受信した場合(S105:Yes)、センター装置10は、当該攻撃情報を記憶部12に記憶する(S106)。記憶部12に記憶された攻撃情報は、これまでに受信した他の攻撃情報と共に集約され、解析などに利用される。   The center device 10 determines whether or not the attack information, which is a response to the attack information acquisition request, has been received from the target electronic control device 20 (S105). When the attack information cannot be received from the target electronic control device 20 (S105: No), the center device 10 ends the process without acquiring the attack information from the target electronic control device 20. On the other hand, when the attack information is received from the target electronic control device 20 (S105: Yes), the center device 10 stores the attack information in the storage unit 12 (S106). The attack information stored in the storage unit 12 is aggregated together with other attack information received so far and used for analysis and the like.

上記センター装置10への攻撃情報の送信(S209)または非送信(S211)を実行した後、対象の電子制御装置20は、停止させていた車両内部の同期カウンタを再始動させると共に(S212)、テストモードを終了する(S213)。なお、同期カウンタの再始動のタイミングは、対象の電子制御装置20の判断で行われてもよいし、センター装置10から所定の返信を待って行われてもよい。   After executing transmission (S209) or non-transmission (S211) of the attack information to the center device 10, the target electronic control device 20 restarts the synchronized counter inside the vehicle that has been stopped (S212), The test mode is terminated (S213). The timing of restarting the synchronization counter may be determined based on the determination of the target electronic control device 20 or may be performed after a predetermined reply from the center device 10.

<第2の実施形態>
図5を参照して、第2の実施形態に係る情報集約方法を説明する。この第2の実施形態に係る情報集約方法は、上述した第1の実施形態に係る情報集約方法と比べて、対象の電子制御装置20によって実行されるS303およびS313の処理が異なる。よって、本第2の実施形態に係る情報集約方法では、この異なる処理を中心に説明を行い、上記第1の実施形態に係る情報集約方法と同じ処理については、同一の参照符号を付してその説明を省略する。 <Second Embodiment>
With reference to FIG. 5, an information aggregation method according to the second embodiment will be described. The information aggregation method according to the second embodiment differs from the information aggregation method according to the first embodiment described above in the processes of S303 and S313 executed by the target electronic control device 20. Therefore, in the information aggregation method according to the second embodiment, the description will be focused on the different processes, and the same processes as those of the information aggregation method according to the first embodiment will be denoted by the same reference numerals. The description is omitted.

対象の電子制御装置20は、車両が所定の条件を満足していてテストモードへの移行が可能であると判断した場合(S201:Yes)、テストモードへ移行して処理を開始すると共に、自装置が搭載されている車両が走行できないように所定の制御を行う(S303)。車両を走行できなくする所定の制御には、上述したような周知の手段を用いることができる。   When the target electronic control unit 20 determines that the vehicle satisfies the predetermined condition and can shift to the test mode (S201: Yes), the target electronic control unit 20 shifts to the test mode and starts the process. Predetermined control is performed so that the vehicle in which the device is mounted cannot travel (S303). The well-known means as described above can be used for the predetermined control for making the vehicle unable to travel.

対象の電子制御装置20は、テストモードを実行してゆき、センター装置10への攻撃情報の送信(S209)または非送信(S211)を行った後、停止させていた車両内部の同期カウンタを再始動させる(S212)。そして、対象の電子制御装置20は、テストモードを終了すると共に、車両を走行できなくする所定の制御を解除する(S313)。   The target electronic control device 20 executes the test mode, transmits the attack information to the center device 10 (S209) or does not transmit (S211), and then restarts the synchronization counter inside the vehicle that has been stopped. Start (S212). Then, the target electronic control device 20 terminates the test mode and cancels the predetermined control that disables the vehicle (S313).

すなわち、この第2の実施形態に係る情報集約方法では、テストモードを開始して(S303)からテストモードを終了する(S313)までの期間(図5の一点鎖線で囲まれた処理を行っている間)は、車両の走行を不可能にしている。   That is, in the information aggregation method according to the second embodiment, the period from the start of the test mode (S303) to the end of the test mode (S313) (the process surrounded by the dashed line in FIG. 5 is performed). The vehicle is not allowed to travel.

<第3の実施形態>
図6を参照して、第3の実施形態に係る情報集約方法を説明する。この第3の実施形態に係る情報集約方法は、上述した第1の実施形態に係る情報集約方法と比べて、対象の電子制御装置20によって実行されるS403〜S405およびS413の処理が異なる。よって、本第3の実施形態に係る情報集約方法では、この異なる処理を中心に説明を行い、上記第1の実施形態に係る情報集約方法と同じ処理については、同一の参照符号を付してその説明を省略する。 <Third Embodiment>
An information aggregation method according to the third embodiment will be described with reference to FIG. The information aggregation method according to the third embodiment differs from the information aggregation method according to the first embodiment described above in the processes of S403 to S405 and S413 executed by the target electronic control device 20. Therefore, in the information aggregation method according to the third embodiment, the description will be focused on the different processes, and the same processes as those of the information aggregation method according to the first embodiment will be denoted by the same reference numerals. The description is omitted.

対象の電子制御装置20は、車両が所定の条件を満足していてテストモードへの移行が可能であると判断した場合(S201:Yes)、テストモードへ移行して処理を開始すると共に、テストモードであることを示す所定のフラグ(以下「テストモードフラグ」という)を「ON」に設定する(S403)。このテストモードフラグに「ON」が設定されると、上述したS204〜S211のテストモードにおいて実行される第1処理と並行して、S404およびS405による第2処理が実行される。   When the target electronic control unit 20 determines that the vehicle satisfies the predetermined condition and can shift to the test mode (S201: Yes), the target electronic control unit 20 shifts to the test mode and starts the process. A predetermined flag indicating the mode (hereinafter referred to as “test mode flag”) is set to “ON” (S403). When “ON” is set in the test mode flag, the second process of S404 and S405 is executed in parallel with the first process executed in the test mode of S204 to S211 described above.

第1処理においては、テストモードを実行してゆき、センター装置10への攻撃情報の送信(S209)または非送信(S211)を行った後、停止させていた車両内部の同期カウンタを再始動させる(S212)。そして、対象の電子制御装置20は、テストモードフラグを「OFF」に設定して、テストモードを終了する(S413)。   In the first process, the test mode is executed, the attack information is transmitted to the center apparatus 10 (S209) or not transmitted (S211), and then the synchronized counter inside the vehicle that has been stopped is restarted. (S212). Then, the target electronic control unit 20 sets the test mode flag to “OFF” and ends the test mode (S413).

一方、第2処理では、対象の電子制御装置20は、テストモードへの移行可能を判断したときに満足していた所定の条件を車両が満足し続けているか否か、つまり車両が所定の条件を満足しなくなったか否かを判断する(S405)。この判断は、テストモードを実行しているテストモードフラグが「ON」である間(S404:Yes)、例えば所定の間隔で定期的に行われる。   On the other hand, in the second process, the target electronic control unit 20 determines whether or not the vehicle continues to satisfy a predetermined condition that is satisfied when it is determined that the transition to the test mode is possible. It is determined whether or not it is no longer satisfied (S405). This determination is performed periodically, for example, at a predetermined interval while the test mode flag executing the test mode is “ON” (S404: Yes).

上記判断において車両が所定の条件を満足しなくなったと判断した場合(S405:Yes)、対象の電子制御装置20は、停止させていた車両内部の同期カウンタを再始動させると共に(S212)、テストモードフラグを「OFF」に設定してテストモードを終了する(S413)。また、対象の電子制御装置20は、車両が所定の条件を満足し続けている間にテストモードフラグが「OFF」になった場合には(S404:No)、正しくテストモードが終了したと判断して処理を終了する。   When it is determined in the above determination that the vehicle no longer satisfies the predetermined condition (S405: Yes), the target electronic control device 20 restarts the synchronized counter inside the vehicle that has been stopped (S212), and the test mode. The flag is set to “OFF” and the test mode is terminated (S413). In addition, the target electronic control unit 20 determines that the test mode is correctly completed when the test mode flag is “OFF” while the vehicle continues to satisfy the predetermined condition (S404: No). To finish the process.

すなわち、この第3の実施形態に係る情報集約方法では、テストモードを開始して(S403)からテストモードを終了する(S413)までの期間(図6の一点鎖線で囲まれた処理を行っている間)、テストモードの実行(S204〜S211)と並行して車両が所定の条件を満足しているか否かを判断(S404、S405)している。そして、車両が所定の条件を満足しなくなれば、テストモードのいずれの実行状態であっても直ちにテストモードを強制的に終了することを行う。   That is, in the information aggregation method according to the third embodiment, the period from the start of the test mode (S403) to the end of the test mode (S413) (the process surrounded by the dashed line in FIG. 6 is performed). In parallel with the execution of the test mode (S204 to S211), it is determined whether or not the vehicle satisfies a predetermined condition (S404, S405). Then, if the vehicle does not satisfy the predetermined condition, the test mode is forcibly terminated immediately in any execution state of the test mode.

[実施形態の作用・効果]
以上のように、本発明の第1の実施形態に係る情報集約方法によれば、車外装置では知ることができない車内にある同期カウンタのカウント値を、対象の電子制御装置20から集約装置であるセンター装置10へ提供するテストモードを設ける。そして、センター装置10では、対象の電子制御装置20から提供されたカウント値に基づいてメッセージ認証コード(第1のMAC)を生成し、対象の電子制御装置20でもカウント値に基づいてメッセージ認証コード(第2のMAC)を生成して、双方のメッセージ認証コードの一致/不一致を判断し、センター装置10への攻撃情報の送信可否を決定する。 [Operations and effects of the embodiment]
As described above, according to the information aggregation method according to the first embodiment of the present invention, the count value of the synchronous counter in the vehicle that cannot be known by the outside device is the aggregation device from the target electronic control device 20. A test mode to be provided to the center apparatus 10 is provided. The center device 10 generates a message authentication code (first MAC) based on the count value provided from the target electronic control device 20, and the target electronic control device 20 also generates a message authentication code based on the count value. (Second MAC) is generated, and the match / mismatch of both message authentication codes is determined, and whether or not the attack information can be transmitted to the center apparatus 10 is determined.

このように、同じカウント値からそれぞれ生成したメッセージ認証コードの比較を行うことで、双方のメッセージ認証コードが一致していなければ、対象の電子制御装置20のメッセージ認証コードの生成機能が故障していると判断することができる。従って、この場合には、対象の電子制御装置20が記憶部22に記憶している攻撃情報が、MAC生成部24の回路故障などの原因による認証処理の異常時に記憶された情報であるおそれがある。よって、そのようなおそれがある攻撃情報をセンター装置10へ送信しないことで、回路故障などの原因による認証処理の異常時に記憶された攻撃情報を除外することができ、センター装置10などによる攻撃情報の解析精度が向上する。   In this way, by comparing the message authentication codes generated from the same count value, if the message authentication codes do not match, the message authentication code generation function of the target electronic control device 20 has failed. Can be determined. Therefore, in this case, there is a possibility that the attack information stored in the storage unit 22 by the target electronic control device 20 is information stored when the authentication process is abnormal due to a circuit failure of the MAC generation unit 24 or the like. is there. Therefore, by not transmitting such attack information to the center device 10, it is possible to exclude the attack information stored when the authentication process is abnormal due to a circuit failure or the like, and the attack information from the center device 10 or the like. Analysis accuracy is improved.

また、テストモードへの移行は、車両がセキュリティを確保するための予め定めた車両状況にある場合に限り可能としている。これにより、センター装置10は、車両のセキュリティを高めたまま攻撃情報を収集することができる。   Also, the transition to the test mode is possible only when the vehicle is in a predetermined vehicle situation for ensuring security. Thereby, the center apparatus 10 can collect attack information while improving the security of the vehicle.

本発明の第2の実施形態に係る情報集約方法によれば、テストモードを開始してから終了するまでの期間は、車両の走行を不可能に制御している。この制御により、同期カウンタが停止してセキュリティが脆弱な状況にあるテストモード実行中の車両が、例えば安全なディーラ整備建屋の外に移動(走行)してしまいセキュリティ攻撃の危険に晒されてしまうことを、未然に防止することができる。   According to the information aggregating method according to the second embodiment of the present invention, the vehicle travel is controlled to be impossible during the period from the start of the test mode to the end thereof. Due to this control, the vehicle running in the test mode in which the synchronization counter is stopped and the security is weak moves (runs) outside the safe dealer maintenance building, and is exposed to the risk of a security attack. This can be prevented beforehand.

本発明の第3の実施形態に係る情報集約方法によれば、集約装置であるセンター装置10からテストモードの開始要求を受信した時点では満足していた所定の条件を、テストモードの開始後でテストモードを終了する前に満足しなくなった場合、テストモードを強制的に終了する。この制御により、同期カウンタが停止してセキュリティが脆弱な状況にあるテストモード実行中の車両が、例えば安全なディーラ整備建屋の外に移動(走行)してしまっても、セキュリティが脆弱な状況でセキュリティ攻撃の危険に晒されてしまうことを防止することができる。   According to the information aggregating method according to the third embodiment of the present invention, after the test mode is started, the predetermined condition satisfied when the test mode start request is received from the center device 10 that is the aggregator is received. If you are not satisfied before exiting test mode, forcibly exit test mode. With this control, even if a vehicle running in test mode, where the synchronization counter is stopped and the security is weak, moves (runs) outside the safe dealer maintenance building, the security is still weak. It is possible to prevent exposure to the risk of security attacks.

[応用例]
なお、上記各実施形態では、複数の電子制御装置20から攻撃情報を集約する集約装置として、センター装置10を説明した。しかし、この集約装置は、例えばディーラの整備士が使用するサービスツールなどの外部ツール50であってもよい。この外部ツール50は、図1および図2に示したセンター装置10と同様に、無線ネットワーク40を介して少なくとも1つの電子制御装置20と通信可能に接続されてもよい。または、外部ツール50は、図7に示す通信システム1’のように、コネクタケーブル31などを介して車内ネットワーク30に有線接続されることによって少なくとも1つの電子制御装置20と通信可能に接続されていてもよい。 [Application example]
In each of the above embodiments, the center device 10 has been described as an aggregation device that aggregates attack information from a plurality of electronic control devices 20. However, the aggregation device may be an external tool 50 such as a service tool used by a dealer mechanic, for example. The external tool 50 may be communicably connected to at least one electronic control device 20 via the wireless network 40, similarly to the center device 10 shown in FIGS. Alternatively, the external tool 50 is communicably connected to at least one electronic control unit 20 by being connected to the in-vehicle network 30 via the connector cable 31 or the like as in the communication system 1 ′ shown in FIG. May be.

本発明は、複数の電子制御装置がネットワークを介してセンター装置または外部ツールなどの集約装置に接続された通信システムに利用可能であり、集約装置が複数の電子制御装置から集約する攻撃情報のうち、回路故障などの原因による認証処理の異常時に記憶された攻撃情報を除外したい場合に有用である。   The present invention can be used in a communication system in which a plurality of electronic control devices are connected to a central device such as a center device or an external tool via a network. This is useful when it is desired to exclude the attack information stored when the authentication process is abnormal due to a cause such as a circuit failure.

1、1’ 通信システム
10 センター装置(集約装置)
11、21 通信部
12、22 記憶部
13、24 MAC生成部
20 電子制御装置(ECU)
23 テストモード制御部
25 故障判断部
30 車内ネットワーク
31 コネクタケーブル
40 無線ネットワーク
50 外部ツール(集約装置) 1, 1 'communication system 10 center device (aggregation device)
11, 21 Communication unit 12, 22 Storage unit 13, 24 MAC generation unit 20 Electronic control unit (ECU)
23 Test mode control unit 25 Failure determination unit 30 In-car network 31 Connector cable 40 Wireless network 50 External tool (aggregation device)

Claims (3)

車内に搭載され、随時更新される所定のカウンタのカウント値を用いて認証処理を行い、かつ当該認証処理の異常時に攻撃情報を記憶する複数の電子制御装置と、車外に設けられ、当該複数の電子制御装置の攻撃情報を集約するセンター装置または外部ツールである集約装置とからなる、通信システムで実行される情報集約方法であって、
前記集約装置が、前記攻撃情報を取得したい電子制御装置である対象装置に対して、テストモードの開始要求を送信し、
前記対象装置が、前記集約装置から前記テストモードの開始要求を受信したときに車両が所定の条件を満足していると判断すれば、前記テストモードを開始して、前記カウンタの動作を停止し、当該停止したカウンタのカウント値を前記集約装置へ送信し、
前記集約装置が、前記対象装置から受信した前記カウント値に基づいて第1メッセージ認証コードを生成し、当該第1メッセージ認証コードを添付した前記攻撃情報の取得要求を前記対象装置へ送信し、
前記対象装置が、前記集約装置から前記第1メッセージ認証コードが添付された前記攻撃情報の取得要求を受信すると、前記停止したカウンタのカウント値に基づいて第2メッセージ認証コードを生成し、当該第1メッセージ認証コードと当該第2メッセージ認証コードとが一致した場合に自身の装置が正常であると判断して、前記攻撃情報を前記集約装置へ送信し、
前記対象装置が、前記攻撃情報を前記集約装置へ送信した後または自身の装置が正常でないと判断した後、前記カウンタの動作を始動させて前記テストモードを終了する、情報集約方法。 A plurality of electronic control devices that are mounted inside the vehicle and that perform authentication processing using the count value of a predetermined counter that is updated as needed, and that store attack information when the authentication processing is abnormal, and are provided outside the vehicle, An information aggregation method executed in a communication system, comprising a central device that aggregates attack information of an electronic control device or an aggregation device that is an external tool,
The aggregation device transmits a test mode start request to a target device that is an electronic control device that wants to acquire the attack information,
If the target device receives the request for starting the test mode from the aggregation device and determines that the vehicle satisfies a predetermined condition, the target device starts the test mode and stops the operation of the counter. , Transmitting the count value of the stopped counter to the aggregation device,
The aggregation device generates a first message authentication code based on the count value received from the target device, and transmits the attack information acquisition request attached with the first message authentication code to the target device.
When the target device receives the attack information acquisition request attached with the first message authentication code from the aggregation device, the target device generates a second message authentication code based on the count value of the stopped counter, When one message authentication code and the second message authentication code match, it is determined that its own device is normal, and the attack information is transmitted to the aggregation device;
An information aggregation method in which the target device starts the operation of the counter and ends the test mode after transmitting the attack information to the aggregation device or after determining that its own device is not normal. 前記対象装置が、前記テストモードを開始してから終了するまでの期間は、前記対象装置が搭載された車両を走行できないように制御する、請求項1に記載の情報集約方法。   The information aggregation method according to claim 1, wherein control is performed so that the target device cannot travel a vehicle on which the target device is mounted during a period from when the target device starts to the end of the test mode. 前記対象装置が、前記テストモードの開始後で前記テストモードを終了する前に車両が前記所定の条件を満足しなくなったと判断すれば、当該判断の時点で前記カウンタの動作を始動させて前記テストモードを終了する、請求項1に記載の情報集約方法。   If the target device determines that the vehicle does not satisfy the predetermined condition after starting the test mode and before ending the test mode, the operation of the counter is started at the time of the determination and the test is performed. The information aggregation method according to claim 1, wherein the mode is terminated.
JP2016191550A 2015-12-18 2016-09-29 Information aggregation method executed in communication system Expired - Fee Related JP6418217B2 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102016124352.3A DE102016124352A1 (en) 2015-12-18 2016-12-14 A communication system and an information collecting method performed in the communication system
CN201611162074.0A CN106919163B (en) 2015-12-18 2016-12-15 Communication system and the formation gathering method executed in a communications system
US15/380,089 US10178094B2 (en) 2015-12-18 2016-12-15 Communication system and information collection method executed in communication system

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2015247446 2015-12-18
JP2015247446 2015-12-18

Publications (2)

Publication Number Publication Date
JP2017118487A JP2017118487A (en) 2017-06-29
JP6418217B2 true JP6418217B2 (en) 2018-11-07

Family

ID=59235026

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016191550A Expired - Fee Related JP6418217B2 (en) 2015-12-18 2016-09-29 Information aggregation method executed in communication system

Country Status (2)

Country Link
JP (1) JP6418217B2 (en)
CN (1) CN106919163B (en)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11030310B2 (en) 2017-08-17 2021-06-08 Red Bend Ltd. Systems and methods for disabling a malicious ECU in a controller area network (CAN) bus
CN109245895B (en) * 2018-02-06 2021-06-11 卡巴斯基实验室股份公司 System and method for detecting corrupted data
JP7172321B2 (en) * 2018-09-12 2022-11-16 トヨタ自動車株式会社 Driving evaluation device, driving evaluation system, driving evaluation method, and driving evaluation computer program
JP7139257B2 (en) * 2019-01-21 2022-09-20 エヌ・ティ・ティ・コミュニケーションズ株式会社 VEHICLE SECURITY MONITORING DEVICE, METHOD AND PROGRAM
CN111610771B (en) * 2019-02-26 2022-03-29 纬湃科技投资(中国)有限公司 Vehicle data flow testing system and method
JP7115442B2 (en) * 2019-08-21 2022-08-09 トヨタ自動車株式会社 Determination device, determination system, program and determination method
JP7156257B2 (en) * 2019-11-21 2022-10-19 トヨタ自動車株式会社 VEHICLE COMMUNICATION DEVICE, COMMUNICATION ABNORMALITY DETERMINATION METHOD AND PROGRAM
JP2022097250A (en) 2020-12-18 2022-06-30 トヨタ自動車株式会社 Information collection device, information collection system, information collection method, and program
CN115576302B (en) * 2022-09-30 2024-09-24 重庆长安汽车股份有限公司 Test method and system for safety communication of vehicle-mounted network, electronic equipment and storage medium

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004086418A (en) * 2002-08-26 2004-03-18 Toyota Motor Corp Method, system and device for providing information, and device for acquiring information
JP2005041440A (en) * 2003-07-25 2005-02-17 Toyota Motor Corp Vehicle information outputting method and vehicle system
JP2005165541A (en) * 2003-12-01 2005-06-23 Oki Electric Ind Co Ltd Damage determining device, damage analysis device, damage determining system, damage determining program, and damage analysis program
US8086492B2 (en) * 2004-03-23 2011-12-27 Douglas Ashbaugh Frame-based network advertising and exchange therefor
JP2005354344A (en) * 2004-06-10 2005-12-22 Nissan Motor Co Ltd Fault diagnostic apparatus and method therefor
US20150052253A1 (en) * 2014-09-22 2015-02-19 Weaved, Inc. Multi-server fractional subdomain dns protocol
US9194948B1 (en) * 2010-12-15 2015-11-24 The Boeing Company Method and apparatus for providing a dynamic target impact point sweetener
JP5900007B2 (en) * 2012-02-20 2016-04-06 株式会社デンソー VEHICLE DATA COMMUNICATION AUTHENTICATION SYSTEM AND VEHICLE GATEWAY DEVICE
CN103516727A (en) * 2013-09-30 2014-01-15 重庆电子工程职业学院 Network active defense system and updating method thereof
CN103716203B (en) * 2013-12-21 2017-02-08 华中科技大学 Networked control system intrusion detection method and system based on ontology model
CN104135470B (en) * 2014-07-11 2017-07-14 宇龙计算机通信科技(深圳)有限公司 The method and system that a kind of storage integrality to target data is verified
CN104333595A (en) * 2014-11-11 2015-02-04 深圳小蛋科技有限公司 Method and system for transmitting information

Also Published As

Publication number Publication date
CN106919163A (en) 2017-07-04
CN106919163B (en) 2019-08-06
JP2017118487A (en) 2017-06-29

Similar Documents

Publication Publication Date Title
JP6418217B2 (en) Information aggregation method executed in communication system
US10178094B2 (en) Communication system and information collection method executed in communication system
CN107852352B (en) Relay device, electronic control device, and in-vehicle system
CN105981336B (en) Abnormality detection electronic control unit, vehicle-mounted network system, and abnormality detection method
JP6665728B2 (en) In-vehicle update device, in-vehicle update system and communication device update method
US10902109B2 (en) Misuse detection method, misuse detection electronic control unit, and misuse detection system
EP2797263B1 (en) Communication system and communication method
US10723361B2 (en) Monitoring apparatus, communication system, vehicle, monitoring method, and non-transitory storage medium
US20200059383A1 (en) In-vehicle gateway device and communication restriction method
JP6723955B2 (en) Information processing apparatus and abnormality coping method
US10135866B2 (en) Method of preventing drive-by hacking, and apparatus and system therefor
US10926722B2 (en) On-board communication device, on-board communication system, and specific processing prohibition method for a vehicle
JP2011131762A (en) Control device for data relay, and vehicle control system
JP7006335B2 (en) In-vehicle communication system, in-vehicle communication method, and program
US9641383B2 (en) Method for error diagnosis of can communication
JP2016141160A (en) Electronic control unit and electronic control system
JP2014031077A (en) Vehicle operation verification system
JP6913869B2 (en) Surveillance equipment, surveillance systems and computer programs
CN108632242B (en) Communication device and receiving device
JP2016143908A (en) Electronic controller and electronic control system
JP2016149655A (en) Management method, management program, management apparatus, management system, and information processing method
WO2020105657A1 (en) Onboard relay device and relay method
JP7192747B2 (en) In-vehicle relay device and information processing method
JP4948583B2 (en) Control system
JP2011250008A (en) Gateway apparatus

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171108

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180824

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180911

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180924

R151 Written notification of patent or utility model registration

Ref document number: 6418217

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees