JP7210943B2 - electronic controller - Google Patents

electronic controller Download PDF

Info

Publication number
JP7210943B2
JP7210943B2 JP2018165972A JP2018165972A JP7210943B2 JP 7210943 B2 JP7210943 B2 JP 7210943B2 JP 2018165972 A JP2018165972 A JP 2018165972A JP 2018165972 A JP2018165972 A JP 2018165972A JP 7210943 B2 JP7210943 B2 JP 7210943B2
Authority
JP
Japan
Prior art keywords
authentication
authentication code
ecu
electronic control
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018165972A
Other languages
Japanese (ja)
Other versions
JP2019061663A (en
Inventor
友樹 安藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to DE102018216325.1A priority Critical patent/DE102018216325A1/en
Publication of JP2019061663A publication Critical patent/JP2019061663A/en
Application granted granted Critical
Publication of JP7210943B2 publication Critical patent/JP7210943B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Storage Device Security (AREA)

Description

本発明は、電子制御装置に関する。 The present invention relates to electronic control units.

車載ネットワークシステムは、複数のECU(Electronic Control Unit)をネットワーク接続して連携動作して車両用機器を制御するシステムである。この種の車載ネットワークシステムでは、各ECUは、工場出荷時の初回の起動時に、各ECUに一意の識別情報を有するメッセージを送信すると共に、他のECUからメッセージを受信し、当該メッセージから抽出した識別情報が登録されたリストを作成する。工場出荷後に起動した各ECUは、他のECUから受信したメッセージから抽出した識別情報がリストに登録されていない場合、異常検知処理を行うようにする技術が提供されている(例えば、特許文献1参照)。 An in-vehicle network system is a system in which a plurality of ECUs (Electronic Control Units) are network-connected and operated in cooperation to control vehicle equipment. In this type of in-vehicle network system, each ECU transmits a message having unique identification information to each ECU at the time of initial start-up after shipment from the factory, and receives messages from other ECUs and extracts them from the messages. Create a list in which identification information is registered. A technology is provided in which each ECU, which has been started after shipment from the factory, performs abnormality detection processing when identification information extracted from a message received from another ECU is not registered in a list (for example, Patent Document 1). reference).

特開2015-98312号公報JP 2015-98312 A

前述した特許文献1記載の技術を適用したときには、例えば識別情報が漏えいしてしまうと、識別情報が漏洩したECUを、任意のECUに変更可能になってしまうという問題を生じる。任意のECUに変更可能になると、所謂なりすましできるようになってしまう。
本発明の目的は、識別情報が漏洩したとしても、なりすましを極力防止できるようにした電子制御装置を提供することにある。 When the technique described in Patent Document 1 is applied, for example, if the identification information is leaked, there arises a problem that the ECU from which the identification information is leaked can be changed to an arbitrary ECU. If it becomes possible to change to an arbitrary ECU, so-called spoofing becomes possible.
SUMMARY OF THE INVENTION An object of the present invention is to provide an electronic control device that can prevent spoofing as much as possible even if identification information is leaked.

請求項1記載の発明は、認証処理を実施する認証システムを構成する認証受付側の第2電子制御装置を対象としている。この請求項1記載の発明によれば、受信部と、第2記憶部と、第2保存部と、を備える。受信部は、第1電子制御装置から送信される前回認証コード及び次回認証コードを受信する。第2記憶部は、第1電子制御装置から前回受信された認証コードを保存済認証コードとして記憶する。第2保存部は、第2記憶部に記憶された保存済認証コードに、第1受信部により受信した前回認証コードが含まれるときに正常な認証と判断し次回認証コードを保存する。認証受付側において、次回認証コードを次の認証に用いることができるようになるため、これらの処理が繰り返されることで認証コードを次々に変更できるようになる。したがって、たとえ古い識別コードが漏洩したとしても当該古い識別コードを用いて認証処理できなくなり、意図しない電子制御装置に変更されたことを検出できるようになり、なりすましを極力防止できるようになる。
また、第2記憶部に記憶された保存済認証コードが、第1受信部により受信した前回認証コードに含まれないときには認証エラーと判断し、認証エラー処理を実行する認証受付側エラー処理実行部を備える。認証受付側エラー処理実行部は、第1電子制御装置及び第2電子制御装置とは異なる第3電子制御装置に、第1電子制御装置が不正な電子制御装置であることを通知し、又は、第1電子制御装置から受信した情報を初期化するように通知し、もしくは、第1電子制御装置から要求を受けたとしても無視する旨を通知する。これにより、たとえ第1電子制御装置との間で認証エラーと判断された場合であっても、第1電子制御装置によるなりすましを極力防止できる。 The invention according to claim 1 is intended for a second electronic control unit on the authentication reception side that constitutes an authentication system that implements authentication processing. According to the first aspect of the invention, it is provided with the receiving section, the second storage section, and the second storage section. The receiving unit receives the previous authentication code and the next authentication code transmitted from the first electronic control unit. The second storage unit stores an authentication code previously received from the first electronic control unit as a saved authentication code. The second storage unit determines normal authentication when the previous authentication code received by the first reception unit is included in the stored authentication code stored in the second storage unit, and stores the next authentication code. Since the next authentication code can be used for the next authentication on the authentication receiving side, the authentication code can be changed one after another by repeating these processes. Therefore, even if the old identification code is leaked, authentication processing cannot be performed using the old identification code, and it becomes possible to detect that the electronic control device has been changed to an unintended electronic control device, thereby preventing spoofing as much as possible.
An authentication reception side error processing execution unit that determines an authentication error when the stored authentication code stored in the second storage unit is not included in the previous authentication code received by the first reception unit, and executes authentication error processing. Prepare. The authentication accepting side error processing execution unit notifies a third electronic control device different from the first electronic control device and the second electronic control device that the first electronic control device is an unauthorized electronic control device, or It notifies that the information received from the first electronic control unit should be initialized, or notifies that even if a request is received from the first electronic control unit, it will be ignored. As a result, impersonation by the first electronic control unit can be prevented as much as possible even if an authentication error has occurred with the first electronic control unit.

一実施形態における車載ネットワークシステムの構成例Configuration example of an in-vehicle network system in one embodiment 認証要求側の第1電子制御装置の初期化処理を概略的に示すフローチャートFlowchart schematically showing initialization processing of the first electronic control unit on the authentication requesting side 認証受付側の第2電子制御装置の初期化処理を概略的に示すフローチャートFlowchart schematically showing initialization processing of the second electronic control unit on the authentication acceptance side 認証要求側の第1電子制御装置の認証時処理を概略的に示すフローチャートFIG. 2 is a flow chart schematically showing authentication processing of the first electronic control unit on the authentication requesting side; FIG. 認証受付側の第2電子制御装置の認証時処理を概略的に示すフローチャートFIG. 2 is a flow chart schematically showing authentication processing of the second electronic control unit on the authentication accepting side; FIG. 第1及び第2電子制御装置間の認証時処理の流れの一例を示すシーケンス図A sequence diagram showing an example of the flow of authentication processing between the first and second electronic control units. 第1及び第2電子制御装置間の認証時処理の流れの一例を示すタイミングチャートTiming chart showing an example of the flow of processing during authentication between the first and second electronic control units

以下、本発明の電子制御装置の実施形態について図面を参照しながら説明する。
図1は車載ネットワークシステムの中の認証システムの構成例を示している。車両内には、複数のECU(Electronic Control Unit:電子制御装置)1、2…3が、車載ネットワーク(例えばCANバス)4に接続されており、互いに各種情報を送受信可能に構成されており、これらのECU1、2…3により認証システムが構成されている。CANは登録商標である。 DESCRIPTION OF THE PREFERRED EMBODIMENTS Embodiments of an electronic control device of the present invention will be described below with reference to the drawings.
FIG. 1 shows a configuration example of an authentication system in an in-vehicle network system. In the vehicle, a plurality of ECUs (Electronic Control Units) 1, 2, . These ECUs 1, 2, . . . 3 constitute an authentication system. CAN is a registered trademark.

ECU1は、CPU11、メモリ12、及び通信回路13などバス14に接続して構成された第1電子制御装置に相当するものであり、車両内の各種センサ、アクチュエータ(何れも図示せず)などを制御するように構成される。メモリ12は、不揮発性メモリ15及び揮発性メモリ(図示せず)によるもので、CPU11は、メモリ12に記憶された制御プログラムに基づいて動作する。メモリ12は非遷移的実効的記録媒体として用いられる。通信回路13は、車載ネットワークに対応したトランシーバ(例えばCANトランシーバ)により構成され、ECU1は通信回路13を通じてネットワーク4を介して他のECU(例えば2)との間でデータを送受信する。本実施形態では、CPU11が認証コード生成部、認証要求側エラー処理実行部、として用いられると共に、通信回路13が送信部、第2受信部として用いられ、不揮発性メモリ15が第1記憶部、第1保存部、第3記憶部、第3保存部に相当するメモリとして用いられる。 The ECU 1 corresponds to a first electronic control unit configured by connecting a CPU 11, a memory 12, a communication circuit 13 and the like to a bus 14, and controls various sensors and actuators (none of which are shown) in the vehicle. configured to control. The memory 12 consists of a non-volatile memory 15 and a volatile memory (not shown), and the CPU 11 operates based on control programs stored in the memory 12 . Memory 12 is used as a non-transitional effective recording medium. The communication circuit 13 is composed of a transceiver (for example, a CAN transceiver) compatible with an in-vehicle network. In this embodiment, the CPU 11 is used as an authentication code generation unit and an authentication request side error processing execution unit, the communication circuit 13 is used as a transmission unit and a second reception unit, the non-volatile memory 15 is used as a first storage unit, It is used as a memory corresponding to the first storage unit, the third storage unit, and the third storage unit.

ECU2もECU1と同様の構成とされている。説明の便宜上、符号を変更して図示しているが、ECU2は、CPU21、メモリ22、及び通信回路23などバス24に接続して構成された第2電子制御装置に相当するものであり、車両内の各種センサ、アクチュエータ(何れも図示せず)などを制御するように構成される。メモリ22もまた、不揮発性メモリ25及び揮発性メモリ(図示せず)によるもので、CPU21は、メモリ22に記憶された制御プログラムに基づいて動作する。メモリ22もまた非遷移的実効的記録媒体として用いられる。通信回路23は、車載ネットワークに対応したトランシーバ(例えばCANトランシーバ)により構成され、ECU2は、通信回路23を通じてネットワーク4を介して他のECU(例えばECU1)との間でデータを送受信する。本実施形態では、CPU21が認証部、認証受付側エラー処理実行部として用いられ、通信回路23が第1受信部、認証結果送信部として用いられ、不揮発性メモリ25が第2記憶部、第2保存部に相当するメモリとして用いられる。以下では、前述のCPU11、21が各メモリ12、22に記憶されたプログラムに応じて実行する動作を、各ECU1、2の動作と表記して説明を行う。 The ECU 2 also has the same configuration as the ECU 1 . The ECU 2 corresponds to a second electronic control unit configured by connecting to a bus 24 such as a CPU 21, a memory 22, and a communication circuit 23, although the symbols are changed for convenience of explanation. It is configured to control various sensors, actuators (none of which are shown), etc. within. The memory 22 also consists of a non-volatile memory 25 and a volatile memory (not shown), and the CPU 21 operates based on control programs stored in the memory 22 . Memory 22 is also used as a non-transitive effective storage medium. The communication circuit 23 is composed of a transceiver (for example, a CAN transceiver) compatible with an in-vehicle network. In this embodiment, the CPU 21 is used as an authentication unit and an authentication reception side error processing execution unit, the communication circuit 23 is used as a first reception unit and an authentication result transmission unit, and the non-volatile memory 25 is used as a second storage unit and a second It is used as a memory corresponding to a storage unit. Hereinafter, the operations executed by the CPUs 11 and 21 according to the programs stored in the memories 12 and 22 will be referred to as the operations of the ECUs 1 and 2 and will be described.

上記構成の作用、動作を説明する。本実施形態では、ネットワーク接続によるECUのなりすましを防止するため、複数のECU1、2の間で認証処理を実施するところに特徴を備える。以下では、その詳細説明を行う。 The action and operation of the above configuration will be described. This embodiment is characterized in that authentication processing is performed between a plurality of ECUs 1 and 2 in order to prevent spoofing of ECUs through network connection. Below, the detailed explanation is given.

図2及び図3は、それぞれ、ECU1、ECU2の各初期化処理をフローチャートにより示している。ECU1が認証要求側のECUであり、ECU2が認証受付側のECUであることを前提として説明する。ECU1はまず、S1において次回の認証に利用する次回認証コードをランダムに生成し、S2にてこの次回認証コードをメッセージとしてネットワーク4に送信する。 2 and 3 are flow charts showing initialization processes of the ECU1 and the ECU2, respectively. Description will be made on the assumption that the ECU 1 is an authentication requesting ECU and the ECU 2 is an authentication accepting side ECU. First, the ECU 1 randomly generates a next authentication code to be used for the next authentication in S1, and transmits the next authentication code as a message to the network 4 in S2.

ECU2は、図2のS2で送信されたメッセージを図3のT1において受信し、T2において次回認証コードとして不揮発性メモリ25に保存する。その後、ECU2は、T3において処理終了通知をメッセージとしてネットワーク4に送信する。これによりECU2の初期化処理を終了する。 The ECU 2 receives the message transmitted in S2 of FIG. 2 at T1 of FIG. 3, and stores it in the non-volatile memory 25 as the next authentication code at T2. After that, the ECU 2 transmits a processing end notification to the network 4 as a message at T3. This completes the initialization process of the ECU 2 .

ECU1は、図3のT3で送信された処理終了通知に係るメッセージを図2のS3において受信する。するとECU1は、このメッセージによりECU2が次回認証コードを不揮発性メモリ25に保存したことを確認できる。ECU1は、ECU2が次回認証コードを不揮発性メモリ15に正常に保存したことを確認した後、S4において生成した次回認証コードを不揮発性メモリ25に記憶、保存する。これによりECU1の初期化処理を終了する。これにより、認証要求側のECU1が生成した認証コードをECU1及び2の間で共有できる。この各不揮発性メモリ15、25に保存された認証コードを保存済認証コードと称する。 In S3 of FIG. 2, the ECU 1 receives the message related to the process end notification transmitted at T3 of FIG. Then, the ECU 1 can confirm that the ECU 2 has saved the next authentication code in the non-volatile memory 25 by this message. After confirming that the ECU 2 has normally stored the next authentication code in the nonvolatile memory 15, the ECU 1 stores and saves the next authentication code generated in S4 in the nonvolatile memory 25. FIG. This completes the initialization process of the ECU 1 . As a result, the authentication code generated by the ECU 1 on the authentication requesting side can be shared between the ECUs 1 and 2 . The authentication code saved in each of the nonvolatile memories 15 and 25 is called a saved authentication code.

図4及び図5はECU1、ECU2の各認証時処理をフローチャートにより示しており、図6はECU1、ECU2の間で行われる認証時処理の流れの一例をシーケンス図で示しており、図7はECU1、ECU2の間で行われる認証時処理の流れの一例をタイミングチャートで示している。 4 and 5 are flow charts showing authentication processes of the ECU 1 and ECU 2, FIG. 6 is a sequence diagram showing an example of the authentication process flow between the ECU 1 and ECU 2, and FIG. An example of the flow of authentication processing performed between the ECU 1 and the ECU 2 is shown in a timing chart.

ECU1はまず、図4のS11においてECU2に予め通知すると共に保存した保存済認証コードを不揮発性メモリ15から読出す。図6のS11も参照。そしてECU1は、S12において、次回の認証に利用する次回認証コードをランダムに生成する。その後、ECU1は、S13において、不揮発性メモリ15から読み出した保存済認証コードを前回認証コードとし、この前回認証コードとランダムに生成した次回認証コードとを合わせたメッセージを生成してネットワーク4に送信する。 First, the ECU 1 reads from the non-volatile memory 15 the saved authentication code that was previously notified to the ECU 2 and saved in S11 of FIG. See also S11 in FIG. Then, in S12, the ECU 1 randomly generates the next authentication code to be used for the next authentication. Thereafter, in S13, the ECU 1 sets the saved authentication code read from the nonvolatile memory 15 as the previous authentication code, generates a message combining the previous authentication code and the randomly generated next authentication code, and transmits the message to the network 4. do.

他方、ECU2は、図7に示すように、ECU1がS13にてメッセージを送信する前にはメッセージを待機している。ECU1が図4のS13で送信したメッセージをECU2は図5のT11にて受信する。図6のT11も参照。するとECU2は、図5のT12において、ECU1から前回受信して不揮発性メモリ25に保存した保存済認証コードを読出し、図5のT13において、当該読出した保存済認証コードと受信した前回認証コードとを比較する。 On the other hand, the ECU 2 waits for a message before the ECU 1 transmits the message at S13, as shown in FIG. The ECU 2 receives the message transmitted by the ECU 1 at S13 in FIG. 4 at T11 in FIG. See also T11 in FIG. Then, at T12 in FIG. 5, the ECU 2 reads the stored authentication code previously received from the ECU 1 and stored in the nonvolatile memory 25, and at T13 in FIG. compare.

ECU2は、これらの保存済認証コードと前回認証コードとが一致していればT13でYESと判断し、図5のT14において正常な認証と判断し、図5のT15において受信した次回認証コードを不揮発性メモリ25に保存する。他方ECU2は、図5のT13において、これらの保存済認証コードと受信した前回認証コードとが一致しないと判断したときには、ECU1が変更されたと判定し、図5のT16において認証エラー処理を実行する。ECU2は、このT16の認証エラー処理において、例えばECU2が、ECU1以外のECU3などに対し、ECU1が不正な電子制御装置であることを通知したり、ECU1から受信した情報をリセット、すなわち初期化したり、今後ECU1から様々な要求を受けたとしても無視する旨のフラグを立てたりする。これによりECU2側では、図6のT13~T16において認証コードの適否に応じた処理を実行できる。 If the stored authentication code matches the previous authentication code, the ECU 2 determines YES at T13, determines normal authentication at T14 in FIG. 5, and receives the next authentication code at T15 in FIG. It saves in the non-volatile memory 25 . On the other hand, when the ECU 2 determines at T13 in FIG. 5 that these stored authentication codes do not match the received previous authentication code, it determines that the ECU 1 has been changed, and executes authentication error processing at T16 in FIG. . In the authentication error process at T16, the ECU 2 notifies the ECU 3 other than the ECU 1 that the ECU 1 is an unauthorized electronic control device, or resets, that is, initializes the information received from the ECU 1. , and raises a flag to the effect that even if various requests are received from the ECU 1 in the future, they will be ignored. As a result, the ECU 2 side can execute processing corresponding to the validity of the authentication code at T13 to T16 in FIG.

これによりECU1が、様々ななりすまし行為を過去に行っていた、又は将来に渡り行うとしても、このなりすまし行為による被害を過去に遡って検出できると共に将来に渡る被害を未然に防ぐことができる。そしてECU2は、図5のT17において、これらのT14又はT15における認証結果をECU1に送信する。図6及び図7のT17も参照。これにより、ECU2は処理終了となる。 As a result, even if the ECU 1 has performed various impersonation acts in the past or will continue to do so in the future, it is possible to retroactively detect damage caused by the impersonation acts and to prevent future damage. Then, at T17 in FIG. 5, the ECU 2 transmits these authentication results at T14 or T15 to the ECU1. See also T17 in FIGS. As a result, the processing of the ECU 2 ends.

ECU1は、図7に示すように、S13においてメッセージを送信してから認証結果を受信するまで認証結果の受信を待機している。ECU1は、図4のS14においてECU2から認証結果を受信すると、S15において正常認証されたか否かを判定し、認証結果が正常な認証とされていればS15でYESと判定することで、S12にて生成した次回認証コードをS16において不揮発性メモリ15に保存し、正常な認証とされていなければS15でNOと判定することでS17においてエラー処理を実行する。
このエラー処理は、なりすまししていないECU1により実行される処理である。このためECU1は、ネットワーク4におけるトラフィックエラーによる可能性があると判断し、S11に処理を戻して再度認証処理を繰り返すようにしても良いし、所定(例えば複数)回以上繰り返し実行してもS17のエラー処理に移行してしまう場合には、ネットワーク4に問題があると断定して終了しても良い。これによりECU1は処理終了となる。ECU1、2が共に正常な認証であると判断すれば、ECU1、2が不揮発性メモリ15、25に共有される認証コードは次回認証コードに更新されることになる。 As shown in FIG. 7, the ECU 1 waits to receive the authentication result after transmitting the message in S13 until receiving the authentication result. When the authentication result is received from the ECU 2 in S14 of FIG. 4, the ECU 1 determines in S15 whether or not the authentication is normal. The generated next authentication code is stored in the non-volatile memory 15 in S16, and if the authentication is not normal, NO is determined in S15, and error processing is executed in S17.
This error processing is processing executed by the ECU 1 that is not impersonating. For this reason, the ECU 1 determines that there is a possibility of a traffic error in the network 4, and may return the process to S11 to repeat the authentication process again. If the process shifts to the error processing of , it may be concluded that there is a problem with the network 4 and the process may be terminated. As a result, the processing of the ECU 1 ends. If the ECUs 1 and 2 both determine that the authentication is normal, the authentication code shared by the non-volatile memories 15 and 25 of the ECUs 1 and 2 will be updated to the next authentication code.

したがって、次回、ECU1、2が認証処理を実施するときには、この不揮発性メモリ15、25に保存された次回認証コードを共有した認証コードとすると共に、さらに新たな次々回認証コードを生成して認証処理を繰り返し実行できるようになる。したがって、ECU1、2は共有する認証コードを例えば認証処理する度に毎回更新できるようになり、たとえ古い識別コードが漏洩したとしても当該古い識別コードを用いて認証できなくなる。この結果、ECUが意図しないECUに変更されたことを検出できるようになり、なりすましを極力防止できるようになる。 Therefore, when the ECUs 1 and 2 carry out the authentication process next time, the next authentication code stored in the nonvolatile memories 15 and 25 is used as the shared authentication code, and a new successive authentication code is generated to perform the authentication process. can be executed repeatedly. Therefore, the ECUs 1 and 2 can update the shared authentication code, for example, each time authentication processing is performed, and even if the old identification code is leaked, the old identification code cannot be used for authentication. As a result, it becomes possible to detect that the ECU has been changed to an unintended ECU, thereby preventing spoofing as much as possible.

<実施例>
説明を理解し易くするため8ビットの認証コードの例を挙げて説明する。例えば、ECU1及び2は、初期化処理においてそれぞれ保存済認証コードとして「&HAA」を不揮発性メモリ15、25に保存して当該コードを共有しているときに、ECU1が、次回認証コードとして「&HBB」を生成したと仮定する。 <Example>
In order to facilitate understanding of the explanation, an example of an 8-bit authentication code will be described. For example, when the ECUs 1 and 2 store "&HAA" as a stored authentication code in the non-volatile memories 15 and 25 respectively in the initialization process and share the code, the ECU 1 stores "&HBB" as the next authentication code. ” is generated.

ECU1は、保存済認証コード「&HAA」を前回認証コードとして送信すると共に、次回認証コード「&HBB」を送信すると、ECU2はこれらの前回認証コード「&HAA」及び次回認証コード「&HBB」を受信する。 When the ECU 1 transmits the stored authentication code "&HAA" as the previous authentication code and the next authentication code "&HBB", the ECU 2 receives the previous authentication code "&HAA" and the next authentication code "&HBB".

するとECU2は、前回認証コード「&HAA」と、不揮発性メモリ25に保存された保存済認証コード「&HAA」とを比較、照合し、これらが一致したときに、次回認証コード「&HBB」を不揮発性メモリ25に保存する。ECU2が、認証結果として正常な認証であることをECU1に送信すると、ECU1は、次回認証コード「&HBB」を不揮発性メモリ15に保存する。これにより、次回認証コード「&HBB」はECU1及び2の間で共有されることになる。 Then, the ECU 2 compares and collates the previous authentication code "&HAA" with the stored authentication code "&HAA" stored in the nonvolatile memory 25, and when they match, the next authentication code "&HBB" is stored in the nonvolatile memory. Store in memory 25 . When the ECU 2 sends the result of normal authentication to the ECU 1 , the ECU 1 stores the next authentication code “&HBB” in the nonvolatile memory 15 . As a result, the next authentication code "&HBB" is shared between the ECUs 1 and 2.

ECU1及び2は、次回の認証処理においてこの共有された次回認証コード「&HBB」を保存済認証コードとして用いる。この後、ECU1が、さらなる次回認証コード「&HCC」を生成したと仮定する。ECU1は、保存済認証コード「&HBB」を前回認証コードとして送信すると共に、次回認証コード「&HCC」を送信すると、ECU2は、これらの前回認証コード「&HBB」及び次回認証コード「&HCC」を受信する。 The ECUs 1 and 2 use this shared next authentication code "&HBB" as a stored authentication code in the next authentication process. Assume that after this, the ECU 1 generates a further next time authentication code "&HCC". When the ECU 1 transmits the stored authentication code "&HBB" as the previous authentication code and the next authentication code "&HCC", the ECU 2 receives the previous authentication code "&HBB" and the next authentication code "&HCC". .

するとECU2は、前回認証コード「&HBB」と、不揮発性メモリ25に保存された保存済認証コード「&HBB」とを比較、照合し、これらが一致したときに、次回認証コード「&HCC」を不揮発性メモリ25に保存する。ECU2が、認証結果として正常な認証であることをECU1に送信すると、ECU1は、次回認証コード「&HCC」を不揮発性メモリ15に保存する。これにより、次回認証コード「&HCC」はECU1及び2の間で共有される。このような処理を繰り返すことで、認証処理を実施する度に認証コードを更新できる。 Then, the ECU 2 compares and collates the previous authentication code "&HBB" with the stored authentication code "&HBB" stored in the nonvolatile memory 25, and when they match, the next authentication code "&HCC" is stored in the nonvolatile memory. Store in memory 25 . When the ECU 2 sends the result of normal authentication to the ECU 1 , the ECU 1 stores the next authentication code “&HCC” in the nonvolatile memory 15 . As a result, the next authentication code "&HCC" is shared between the ECUs 1 and 2. By repeating such processing, the authentication code can be updated each time the authentication processing is performed.

この例では、説明の簡単化のため、8ビット=1バイトを認証コードとして用いた例を示しているが、その情報量は限られるものではない。 In this example, 8 bits=1 byte is used as the authentication code for simplification of explanation, but the amount of information is not limited.

<本実施形態に係る概念的なまとめ>
要するに、本実施形態によれば以下の構成を備えることで以下の効果を得られる。本実施形態によれば、ECU1は認証コードを生成し、ECU2との間で予め共有された認証コードを保存済認証コードとして不揮発性メモリ15に記憶しており、ECU1は、通信回路13により、保存済認証コードと改めて生成された次回認証コードとをECU2に送信する。ECU1は、送信された保存済認証コード及び次回認証コードがECU2において正常に認証されたことを条件として次回認証コードを不揮発性メモリ15に保存するようにしている。 <Conceptual summary according to the present embodiment>
In short, according to this embodiment, the following effects can be obtained by providing the following configuration. According to this embodiment, the ECU 1 generates an authentication code and stores the authentication code shared in advance with the ECU 2 in the non-volatile memory 15 as a saved authentication code. The stored authentication code and the newly generated next authentication code are transmitted to the ECU 2 . The ECU 1 stores the next authentication code in the non-volatile memory 15 on condition that the transmitted stored authentication code and the next authentication code are successfully authenticated in the ECU 2 .

このときECU1側では、ECU2において正常に認証されたことを条件として次回認証コードを不揮発性メモリ15に保存するようにしている。このため、ECU1は、次回の認証に用いる次回認証コードを不揮発性メモリ25に保存することで次の認証処理に用いることができる。次回認証コードを次の認証に用いることができるようになるため、これらの処理が繰り返されることで認証コードを次々に変更できるようになる。したがって、たとえ古い識別コードが漏洩したとしても当該古い識別コードを用いて認証処理できなくなる。この結果、ECUが意図しないECUに変更されたことを検出できるようになり、なりすましを極力防止できるようになる。 At this time, on the ECU 1 side, the next authentication code is stored in the non-volatile memory 15 on condition that the ECU 2 has authenticated normally. Therefore, the ECU 1 stores the next authentication code to be used for the next authentication in the non-volatile memory 25 so that it can be used for the next authentication process. Since the next authentication code can be used for the next authentication, the authentication code can be changed one after another by repeating these processes. Therefore, even if the old identification code is leaked, the old identification code cannot be used for authentication processing. As a result, it becomes possible to detect that the ECU has been changed to an unintended ECU, thereby preventing spoofing as much as possible.

ECU1は、認証処理を実施する度に、次回認証コードをランダムに生成しているため、認証処理を実施する度に認証コードを変更することができ、仮に認証コードが漏えいしてしまった場合であっても、ECU1の変更は検知することが可能となり、なりすましを防止できる。 Since the ECU 1 randomly generates the next authentication code each time the authentication process is performed, the authentication code can be changed each time the authentication process is performed. Even if there is, it is possible to detect the change of the ECU 1 and prevent spoofing.

逆に、ECU2は、通信回路23を通じてECU1から送信される前回認証コード及び次回認証コードを受信し、前回受信された認証コードを保存済認証コードとして不揮発性メモリ25に記憶している。このとき、ECU2は、不揮発性メモリ25に記憶された保存済認証コードと、通信回路23を通じて受信した前回認証コードとが一致するときに正常な認証と判断し、次回認証コードを不揮発性メモリ25に保存するようにしているため、ECU2は、ECU1を認証することができ、当該ECU1がなりすましではないことを確認できる。しかも、次回の認証に用いる次回認証コードを不揮発性メモリ25に保存することで次の認証処理に用いることができるようになる。これにより、なりすましを極力防止できる。 Conversely, the ECU 2 receives the previous authentication code and the next authentication code transmitted from the ECU 1 through the communication circuit 23, and stores the previously received authentication code in the non-volatile memory 25 as a saved authentication code. At this time, the ECU 2 determines normal authentication when the stored authentication code stored in the nonvolatile memory 25 and the previous authentication code received through the communication circuit 23 match, and stores the next authentication code in the nonvolatile memory 25 . , the ECU 2 can authenticate the ECU 1 and confirm that the ECU 1 is not impersonating. Moreover, by storing the next authentication code to be used for the next authentication in the non-volatile memory 25, it can be used for the next authentication process. This makes it possible to prevent spoofing as much as possible.

ECU2は、保存済認証コードと、通信回路23を通じて受信した前回認証コードとの認証結果をECU1に送信するようにしているため、ECU1にその認証結果を伝えることができる。このため、ECU1は、ECU2に正常な認証がされたときにはこの確認をすることができ、ECU1とECU2との間で正常な認証確認を行うことができる。 Since the ECU 2 transmits the authentication result of the stored authentication code and the previous authentication code received through the communication circuit 23 to the ECU 1, the ECU 1 can be informed of the authentication result. Therefore, the ECU 1 can confirm the normal authentication when the ECU 2 has performed the normal authentication, and the normal authentication can be confirmed between the ECU 1 and the ECU 2 .

(他の実施形態)
前述実施形態に限定されるものではなく、例えば、以下に示す変形又は拡張が可能である。
ECU2は、メモリ22に保存された保存済認証コードと受信した前回認証コードとが一致したことを条件として正常な認証と判断して次回認証コードを不揮発性メモリ25に保存し、一致していないときには認証エラー処理を実行する形態を示したが、これに限定されるものではない。ECU2は、例えば、保存済認証コードが送信された前回認証コードに含まれていれば正常な認証と判断して次回認証コードを保存するようにしても良い。
例えば、保存済認証コードが「&HAA」であったときに、ECU1が前回認証コードとして「&HAAB」をECU2に送信し、ECU2により「&HAA」が「&HAAB」に含まれていることを条件として正常な認証と判断するようにしても良い。 (Other embodiments)
The present invention is not limited to the above-described embodiments, and for example, the following modifications or extensions are possible.
The ECU 2 judges the authentication to be normal under the condition that the stored authentication code stored in the memory 22 and the received previous authentication code match, stores the next authentication code in the nonvolatile memory 25, and does not match. Although the form in which authentication error processing is sometimes performed has been shown, it is not limited to this. For example, if the stored authentication code is included in the transmitted previous authentication code, the ECU 2 may determine that the authentication is normal and store the next authentication code.
For example, when the stored authentication code is "&HAA", the ECU 1 transmits "&HAAB" as the previous authentication code to the ECU 2, and the ECU 2 performs normal operation on the condition that "&HAA" is included in "&HAAB". It may be determined that the authentication is not necessary.

前述実施形態では、ECU1が認証要求しECU2が認証受付する形態を示したが、これに限定されるものではなく、ECU1が認証要求すると共に認証受付する機能を備えており、ECU2が認証受付すると共に認証要求する機能を備えていても良い。
すなわち、ECU1が、図2及び図4の処理を実行可能になっていると共に図3及び図5の処理を実行可能になっており、ECU2が図3及び図5の処理を実行可能になっていると共に図2及び図4の処理を実行可能になっていても良い。
これらの処理内容は、前述実施形態と同様であるため図面の記載を省略しているが、例えば、ECU2が、認証コードをランダムに次回認証コードとして生成する機能を備えており、この次回認証コードと共に、不揮発性メモリ25に保存された保存済認証コードを前回認証コードとしてECU1に送信する。そしてECU1が、通信回路23を通じて他のECU2から前回認証コード及び次回認証コードを受信し、第3記憶部となる不揮発性メモリ15に保存された保存済認証コードと、ECU2から受信した前回認証コードとに応じて認証する。この認証は、CPU11が認証部としての機能を用いて実行される処理である。ECU1は、保存済認証コードが前回認証コードに一致しているか、又は、含まれているかを判定することで、ECU2の認証を行うことができる。 In the above-described embodiment, the ECU 1 requests authentication and the ECU 2 accepts the authentication. However, the present invention is not limited to this. It may also have a function of requesting authentication together with it.
That is, the ECU 1 can execute the processes shown in FIGS. 2 and 4 and the processes shown in FIGS. 3 and 5, and the ECU 2 can execute the processes shown in FIGS. 2 and 4 may be executed as well.
Since the contents of these processes are the same as those of the above-described embodiment, they are not shown in the drawings. At the same time, the stored authentication code stored in the nonvolatile memory 25 is transmitted to the ECU 1 as the previous authentication code. Then, the ECU 1 receives the previous authentication code and the next authentication code from the other ECU 2 through the communication circuit 23, and stores the stored authentication code stored in the nonvolatile memory 15 serving as the third storage unit and the previous authentication code received from the ECU 2. and authenticate accordingly. This authentication is a process executed by the CPU 11 using the function as an authentication unit. The ECU 1 can authenticate the ECU 2 by determining whether the stored authentication code matches or is included in the previous authentication code.

ここで、ECU1は、保存済認証コードが前回認証コードに一致していたり、含まれていたりしたときには正常な認証と判断し、ECU2がなりすまししていない旨を確認することができ、さらにECU2から受信した次回認証コードを不揮発性メモリ15に保存する。これは第3保存部としての保存機能である。このように、前述実施形態で説明したECU1及び2の各機能をECU1及び2がそれぞれ備えて相互に認証できるようにしても良い。 Here, when the stored authentication code matches or is included in the previous authentication code, the ECU 1 determines that the authentication is normal, and can confirm that the ECU 2 is not impersonating. The received next authentication code is stored in the nonvolatile memory 15 . This is a saving function as the third saving unit. In this way, the functions of the ECUs 1 and 2 described in the above embodiment may be provided in the ECUs 1 and 2, respectively, so that mutual authentication can be performed.

前述実施形態では、認証処理を実施する度に、ランダムに認証コードを変更している形態を示したが、認証処理を実行する度に認証コードを変更しなくても良く、同じ認証コードを用いて相手方のECUの通常認証を行った上で、何回かに一度だけ認証コードを変更する形態にも適用できる。また、ランダムに認証コードを変更しなくても、規則的に認証コードを変更する形態にも適用できる。
不揮発性メモリ15、25に保存済認証コードを保存する形態を示したが、例えばバッテリ電源などが常時通電されていれば当該不揮発性メモリ15、25以外の例えばバックアップRAMなどのメモリ12に保存済認証コードを保存する形態に適用しても良い。 In the above-described embodiment, the authentication code is randomly changed each time the authentication process is performed. It can also be applied to a form in which the authentication code is changed only once in several times after normal authentication of the counterpart ECU is performed. In addition, it can be applied to a form in which the authentication code is regularly changed without changing the authentication code at random.
Although a form in which the stored authentication code is stored in the nonvolatile memories 15 and 25 has been shown, for example, if a battery power supply is always energized, the stored authentication code can be stored in a memory 12 such as a backup RAM other than the nonvolatile memories 15 and 25, for example, a backup RAM. You may apply to the form which preserve|saves an authentication code.

特許請求の範囲に記載した括弧内の符号は、本発明の一つの態様として前述する実施形態に記載の具体的手段との対応関係を示すものであって、本発明の技術的範囲を限定するものではない。前述実施形態の一部を、課題を解決できる限りにおいて省略した態様も実施形態と見做すことが可能である。また、特許請求の範囲に記載した文言によって特定される発明の本質を逸脱しない限度において、考え得るあらゆる態様も実施形態と見做すことが可能である。 The symbols in parentheses described in the claims indicate the corresponding relationship with the specific means described in the embodiment described above as one aspect of the present invention, and limit the technical scope of the present invention. not a thing A mode in which part of the above embodiment is omitted as long as the problem can be solved can also be regarded as an embodiment. In addition, all conceivable aspects can be regarded as embodiments as long as they do not deviate from the essence of the invention specified by the language in the claims.

また本発明は、前述した実施形態に準拠して記述したが、本発明は当該実施形態や構造に限定されるものではないと理解される。本発明は、様々な変形例や均等範囲内の変形をも包含する。加えて、様々な組み合わせや形態、さらには、それらに一要素、それ以上、あるいはそれ以下、を含む他の組み合わせや形態をも、本開示の範畴や思想範囲に入るものである。 Moreover, although the present invention has been described in accordance with the above-described embodiments, it is understood that the present invention is not limited to such embodiments or structures. The present invention includes various modifications and modifications within the equivalent range. In addition, various combinations and configurations, as well as other combinations and configurations including one, more, or less elements thereof, are within the scope and spirit of this disclosure.

図面中、1はECU(第1電子制御装置)、2はECU(第2電子制御装置)、11は認証要求側のECUのCPU(認証コード生成部、認証要求側エラー処理実行部)、12はメモリ(第1記憶部、第1保存部、第3記憶部、第3保存部)、13は通信回路(送信部、第2受信部)、15は不揮発性メモリ(第1記憶部、第1保存部、第3記憶部、第3保存部)、21は認証受付側のECUのCPU(認証部、認証受付側エラー処理実行部)、22はメモリ(第2記憶部、第2保存部)、23は通信回路(第1受信部、認証結果送信部)、25は不揮発性メモリ(第2記憶部、第2保存部)、を示す。
In the drawing, 1 is an ECU (first electronic control unit), 2 is an ECU (second electronic control unit), 11 is a CPU (authentication code generation unit, authentication request side error processing execution unit) of the authentication requesting ECU, and 12 , memory (first storage unit, first storage unit, third storage unit, third storage unit); 13, communication circuit (transmitting unit, second receiving unit); 15, non-volatile memory (first storage unit; 1 storage unit, third storage unit, third storage unit), 21 is the CPU of the authentication reception side ECU (authentication unit, authentication reception side error processing execution unit), 22 is memory (second storage unit, second storage unit ), 23 denotes a communication circuit (first receiving section, authentication result transmitting section), and 25 denotes a non-volatile memory (second storing section, second storing section).

Claims (2)

複数の電子制御装置の間で認証処理を実施する認証システムを構成する認証受付側の第2電子制御装置(2)であって、
第1電子制御装置(1)から送信される前回認証コード及び次回認証コードを受信する第1受信部(23、T1)と、
前記第1電子制御装置から前回受信された認証コードを保存済認証コードとして記憶する第2記憶部(22,25、T2、T15)と、
前記第2記憶部に記憶された保存済認証コードが、前記第1受信部により受信した前回認証コードに含まれるときに正常な認証と判断し前記第1受信部により受信した前記次回認証コードを保存する第2保存部(22,25、T15)と、
前記第2記憶部に記憶された保存済認証コードが、前記第1受信部により受信した前回認証コードに含まれないときには認証エラーと判断し、認証エラー処理を実行する認証受付側エラー処理実行部(21、T16)と、を備え、
前記認証受付側エラー処理実行部は、前記第1電子制御装置及び前記第2電子制御装置とは異なる第3電子制御装置(3)に、前記第1電子制御装置が不正な電子制御装置であることを通知し、又は、前記第1電子制御装置から受信した情報を初期化するように通知し、もしくは、前記第1電子制御装置から要求を受けたとしても無視する旨を通知する電子制御装置。 A second electronic control unit (2) on the authentication reception side that constitutes an authentication system that performs authentication processing among a plurality of electronic control units,
a first receiving unit (23, T1) for receiving the previous authentication code and the next authentication code transmitted from the first electronic control unit (1);
a second storage unit (22, 25, T2, T15) that stores the authentication code previously received from the first electronic control unit as a saved authentication code;
When the stored authentication code stored in the second storage unit is included in the previous authentication code received by the first receiving unit, it is determined that the authentication is normal, and the next authentication code received by the first receiving unit is transmitted. a second storage unit (22, 25, T15) for storing;
An authentication reception side error processing execution unit that determines an authentication error when the saved authentication code stored in the second storage unit is not included in the previous authentication code received by the first reception unit, and executes authentication error processing. (21, T16) and
The authentication reception side error processing execution unit is configured to notify a third electronic control unit (3) different from the first electronic control unit and the second electronic control unit that the first electronic control unit is an unauthorized electronic control unit. or to initialize the information received from the first electronic control unit, or to ignore a request from the first electronic control unit. . 前記第2記憶部に記憶された保存済認証コードと、前記第1受信部により受信した前回認証コードとの認証結果を、前記第1電子制御装置に送信する認証結果送信部(23、T17)、をさらに備える請求項1記載の電子制御装置。 an authentication result transmission unit (23, T17) for transmitting an authentication result of the stored authentication code stored in the second storage unit and the previous authentication code received by the first reception unit to the first electronic control unit; The electronic controller of claim 1, further comprising:
JP2018165972A 2017-09-27 2018-09-05 electronic controller Active JP7210943B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102018216325.1A DE102018216325A1 (en) 2017-09-27 2018-09-25 Electronic control device

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2017186403 2017-09-27
JP2017186403 2017-09-27

Publications (2)

Publication Number Publication Date
JP2019061663A JP2019061663A (en) 2019-04-18
JP7210943B2 true JP7210943B2 (en) 2023-01-24

Family

ID=66176849

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018165972A Active JP7210943B2 (en) 2017-09-27 2018-09-05 electronic controller

Country Status (1)

Country Link
JP (1) JP7210943B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112653559B (en) * 2021-01-04 2023-01-06 潍柴动力股份有限公司 Electric control unit starting method and device and storage medium

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000339270A (en) 1999-05-26 2000-12-08 Nec Software Kyushu Ltd User mutual authentication system, method therefor and recording medium
JP2013235481A (en) 2012-05-10 2013-11-21 Mitsubishi Electric Corp Failure detection device
JP2017168907A (en) 2016-03-14 2017-09-21 本田技研工業株式会社 Communication system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000339270A (en) 1999-05-26 2000-12-08 Nec Software Kyushu Ltd User mutual authentication system, method therefor and recording medium
JP2013235481A (en) 2012-05-10 2013-11-21 Mitsubishi Electric Corp Failure detection device
JP2017168907A (en) 2016-03-14 2017-09-21 本田技研工業株式会社 Communication system

Also Published As

Publication number Publication date
JP2019061663A (en) 2019-04-18

Similar Documents

Publication Publication Date Title
JP6665728B2 (en) In-vehicle update device, in-vehicle update system and communication device update method
US10812261B2 (en) Vehicle system and key distribution method
US20170111177A1 (en) Vehicle system and authentication method
CN106464498B (en) Method for authenticating a first electronic entity by a second electronic entity and electronic entity
WO2016204081A1 (en) Vehicle-mounted relay device, vehicle-mounted communication system and relay program
CN110213276B (en) Authorization verification method under micro-service architecture, server, terminal and medium
JP2019036251A (en) Update controller, software update system, and update control method
JP6192673B2 (en) Key management system, key management method, and computer program
US10384625B2 (en) Communication device and non-transitory recording medium
US10367720B2 (en) Method for obtaining a powerline communication route
JP2015032962A (en) Communication apparatus, key sharing method, program and communication system
JP7210943B2 (en) electronic controller
JP6981755B2 (en) In-vehicle network system
US11005709B2 (en) Method and a system for the deterministic autoconfiguration of a device
US11461479B2 (en) Computing device and method for operating same
CN109711140B (en) Site login state control method and device, computer equipment and storage medium
US20210297415A1 (en) Method for setting up authorization verification for a first device
US20190069171A1 (en) Method for loading a subscription into an embedded security element of a mobile terminal
JP2008139923A (en) Ic card having shared object, access management method to shared object and ic card program
JP2018093370A (en) On-vehicle electronic control device, on-vehicle electronic control system, and relay device
KR102179078B1 (en) Method for generating non-deterministic data in blockchain-based system
JP6620696B2 (en) Electronic control unit
JP7067508B2 (en) Network system
US10484861B2 (en) Electronic device comprising a secure module supporting a mode for the local management of the configuration of a subscriber profile
WO2023187896A1 (en) Communication system, transmitter, and receiver

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210323

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220131

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220201

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220323

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220726

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220822

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221213

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221226

R151 Written notification of patent or utility model registration

Ref document number: 7210943

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151