JP7354180B2 - In-vehicle relay device - Google Patents

In-vehicle relay device Download PDF

Info

Publication number
JP7354180B2
JP7354180B2 JP2021079983A JP2021079983A JP7354180B2 JP 7354180 B2 JP7354180 B2 JP 7354180B2 JP 2021079983 A JP2021079983 A JP 2021079983A JP 2021079983 A JP2021079983 A JP 2021079983A JP 7354180 B2 JP7354180 B2 JP 7354180B2
Authority
JP
Japan
Prior art keywords
attack
vehicle
cpu
software
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021079983A
Other languages
Japanese (ja)
Other versions
JP2022173922A (en
Inventor
大起 斉藤
建作 岡村
雷太 中西
英茂 中野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Daihatsu Motor Co Ltd
Original Assignee
Daihatsu Motor Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Daihatsu Motor Co Ltd filed Critical Daihatsu Motor Co Ltd
Priority to JP2021079983A priority Critical patent/JP7354180B2/en
Publication of JP2022173922A publication Critical patent/JP2022173922A/en
Application granted granted Critical
Publication of JP7354180B2 publication Critical patent/JP7354180B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本発明は、車両に搭載されて、車両の外部と内部の車載ネットワークとの通信を中継する装置に関する。 The present invention relates to a device that is mounted on a vehicle and relays communication between the outside of the vehicle and the internal in-vehicle network.

最近の車両には、車両の外部と内部のCAN(Controller Area Network)などの車載ネットワークとの間で通信を行うコネクテッド機能が搭載されてきている。 Recent vehicles have been equipped with connected functions that allow communication between the outside of the vehicle and an internal in-vehicle network such as a CAN (Controller Area Network).

コネクテッド機能を搭載した車両は、外部から車載ネットワークへの攻撃の対象となる可能性がある。車載ネットワークには、複数のECU(Electronic Control Unit:電子制御ユニット)が接続されており、各ECUにより、エンジンおよびブレーキなどの各部の制御が行われる。そのため、車載ネットワークが外部から攻撃を受けて、ECUのソフトウェアや制御データが改ざんされると、車両の各部が誤動作するおそれがある。 Vehicles equipped with connected functions may be subject to external attacks on the in-vehicle network. A plurality of ECUs (Electronic Control Units) are connected to the in-vehicle network, and each ECU controls various parts such as the engine and brakes. Therefore, if the in-vehicle network is attacked from outside and the software and control data of the ECU are tampered with, each part of the vehicle may malfunction.

そこで、かかる車両では、車両の外部と車載ネットワークとの通信を中継するゲートウェイECU(Electronic Control Unit:電子制御ユニット)が設けられ、ゲートウェイECUに、外部からの攻撃を検出して、車載ネットワークを防御する機能が盛り込まれている。 Therefore, such vehicles are equipped with a gateway ECU (Electronic Control Unit) that relays communication between the outside of the vehicle and the in-vehicle network, and the gateway ECU detects attacks from the outside and protects the in-vehicle network. Contains functions to.

特開2016-116075号公報JP 2016-116075 Publication

ところが、自動運転技術などの発展に伴い、車載ネットワークへの攻撃が深刻な問題となっており、セキュリティ対策の強化が重要な課題となっている。 However, with the development of autonomous driving technology, attacks on in-vehicle networks have become a serious problem, and strengthening security measures has become an important issue.

本発明の目的は、セキュリティ対策の強化を図ることができる、車載中継装置を提供することである。 An object of the present invention is to provide a vehicle-mounted relay device that can strengthen security measures.

前記の目的を達成するため、本発明に係る車載中継装置は、車両に搭載されて、車両の外部と内部の車載ネットワークとの間の通信を中継する車載中継装置であって、車載ネットワークから切り離して設けられ、車両の外部と通信を行う第1装置と、車両の外部から切り離して設けられ、第1装置に通信可能に接続されるとともに、車載ネットワークに通信可能に接続される第2装置とを備え、第1装置は、車載ネットワークに対する攻撃を検知する攻撃検知機能を有し、第2装置は、第1装置が攻撃を受けたか否かを判定する攻撃判定機能を有し、攻撃判定機能により第1装置が攻撃を受けたと判定された場合には、所定の対応を行う。 In order to achieve the above object, the in-vehicle relay device according to the present invention is an in-vehicle relay device that is installed in a vehicle and relays communication between the outside of the vehicle and the internal in-vehicle network, and is detachable from the in-vehicle network. a first device that is provided outside the vehicle and communicates with the outside of the vehicle; and a second device that is provided separately from the outside of the vehicle and is communicatively connected to the first device and communicably connected to the in-vehicle network. The first device has an attack detection function that detects an attack on the in-vehicle network, the second device has an attack determination function that determines whether the first device has been attacked, and the second device has an attack determination function that determines whether the first device has been attacked. If it is determined that the first device has been attacked, a predetermined response is taken.

この構成によれば、車載中継装置には、第1装置および第2装置が備えられている。第1装置は、車両の内部の車載ネットワークから切り離されており、車両の外部との通信は、第1装置により行われる。一方、第2装置は、車両の外部から切り離して設けられ、車載ネットワークに通信可能に接続されている。そして、第1装置は、車載ネットワークに対する攻撃を検知する攻撃検知機能を有し、第2装置は、第1装置が攻撃を受けたか否かを判定する攻撃判定機能を有している。また、第2装置では、攻撃判定機能により第1装置が攻撃を受けたと判定された場合、所定の対応が行われる。 According to this configuration, the in-vehicle relay device includes the first device and the second device. The first device is separated from the in-vehicle network inside the vehicle, and communication with the outside of the vehicle is performed by the first device. On the other hand, the second device is provided separately from the outside of the vehicle and is communicably connected to the in-vehicle network. The first device has an attack detection function that detects an attack on the in-vehicle network, and the second device has an attack determination function that determines whether the first device has been attacked. Further, in the second device, when the attack determination function determines that the first device has been attacked, a predetermined response is taken.

これにより、車両の外部からの車載ネットワークへの攻撃の対策として、第1装置の攻撃検知機能を第1層の防御層とし、第2装置の攻撃判定機能を第2層の防御層とする多層防御が構築される。この多層防御の構築により、セキュリティ対策の強化を図ることができる。 With this, as a countermeasure against attacks on the in-vehicle network from outside the vehicle, the attack detection function of the first device is used as the first layer of defense, and the attack detection function of the second device is used as the second layer of defense. Defenses are built. By building this multi-layered defense, security measures can be strengthened.

所定の対応は、たとえば、第1装置から受信したメッセージを破棄するという対応であってもよい。 The predetermined response may be, for example, discarding the message received from the first device.

これにより、外部からの攻撃を受けた第1装置が不正メッセージを第2装置に向けて送信しても、その不正メッセージが破棄されるので、車載ネットワークが不正メッセージによる攻撃を受けることを防止でき、車載ネットワークによる通信を継続できる。 As a result, even if the first device that is attacked from the outside sends a fraudulent message to the second device, the fraudulent message will be discarded, making it possible to prevent the in-vehicle network from being attacked by fraudulent messages. , communication via the in-vehicle network can continue.

車載中継装置は、記憶装置をさらに備え、記憶装置は、車載ネットワークで通信可能なメッセージに使用されるID(Identifier)が登録されたホワイトリストを記憶しており、第1装置は、ホワイトリストに登録されたIDを使用していないメッセージを車両の外部から受信した場合、攻撃検知機能により当該メッセージの受信を攻撃として検知してもよい。 The in-vehicle relay device further includes a storage device, and the storage device stores a whitelist in which IDs (Identifiers) used for messages that can be communicated on the in-vehicle network are registered, and the first device is configured to register IDs (identifiers) used in messages that can be communicated on the in-vehicle network. When a message that does not use a registered ID is received from outside the vehicle, the attack detection function may detect the reception of the message as an attack.

車載中継装置は、記憶装置をさらに備え、第1装置は、攻撃検知機能により攻撃が検知されたことに応じて、当該攻撃に関する情報を記憶装置に記憶させ、車両の外部の情報管理機器からの要求に従って、記憶装置に記憶されている情報を出力してもよい。 The in-vehicle relay device further includes a storage device, and the first device stores information regarding the attack in the storage device in response to an attack being detected by the attack detection function, and stores information about the attack from an information management device external to the vehicle. Information stored in the storage device may be output according to the request.

これにより、第1装置が外部からの攻撃を受けた場合に、その攻撃に関する情報を車両の外部の情報管理機器に読み出すことができる。そのため、情報管理機器に読み出した情報を解析して、第1装置が受けた攻撃の内容を早期に特定でき、攻撃への対策を早期に講じることができる。 Thereby, when the first device is attacked from the outside, information regarding the attack can be read to the information management device outside the vehicle. Therefore, by analyzing the information read into the information management device, it is possible to quickly identify the details of the attack on the first device, and to take countermeasures against the attack at an early stage.

車載中継装置は、記憶装置をさらに備え、記憶装置は、ソフトウェアを記憶しており、第1装置は、起動時にソフトウェアの改ざんを検知する改ざん検知機能を有し、改ざん検知機能により改ざんが検知されなければ、ソフトウェアを起動し、改ざん検知機能によりソフトウェアの改ざんが検知された場合には、ソフトウェアを起動せずに動作を停止することが好ましい。 The in-vehicle relay device further includes a storage device, the storage device stores software, and the first device has a tampering detection function that detects tampering with the software at startup, and the tampering detection function detects tampering. If not, it is preferable to start the software and, if the tampering detection function detects tampering with the software, stop the operation without starting the software.

これにより、改ざんされたソフトウェアの起動を防止できる。そのため、改ざんされたソフトウェアが実行されることによる第2装置への不正メッセージの送信などを防止できる。 This can prevent tampered software from starting. Therefore, it is possible to prevent unauthorized messages from being sent to the second device due to execution of tampered software.

ソフトウェアの改ざんが検知されて、第1動作が動作を停止した場合、第1装置から第2装置へのメッセージ送信が行われないので、メッセージ送信が一定時間行われない場合には、第1装置と第2装置との通信が切断されてもよい。 If software tampering is detected and the first operation stops operating, messages will not be sent from the first device to the second device. The communication between the second device and the second device may be cut off.

これにより、第1装置のソフトウェアが改ざんされていても、第2装置が第1装置から不正メッセージを受信しないので、車載ネットワークが不正メッセージによる攻撃を受けることを防止できる。 As a result, even if the software of the first device is tampered with, the second device will not receive a fraudulent message from the first device, thereby preventing the in-vehicle network from being attacked by fraudulent messages.

第2装置は、攻撃判定手段により第1装置が攻撃を受けたと判定された場合、車両に搭載されているデータ通信装置から車両の外部のサーバに第1装置が攻撃を受けたことの情報がアップロードされるように、電子制御ユニット経由でデータ通信装置に、第1装置が攻撃を受けたことを通知してもよい。 When the attack determining means determines that the first device has been attacked, the second device transmits information that the first device has been attacked from a data communication device installed in the vehicle to a server external to the vehicle. The data communication device may be notified via the electronic control unit that the first device has been attacked, such that the first device is attacked.

これにより、サーバ管理者またはサーバ経由で情報を入手しうるユーザが第1装置の受攻撃を認知することができる。 This allows the server administrator or a user who can obtain information via the server to recognize the attack on the first device.

本発明によれば、車載ネットワークの攻撃に対して、セキュリティ対策の強化を図ることができる。 According to the present invention, security measures can be strengthened against attacks on the in-vehicle network.

本発明の一実施形態に係る車載中継装置(ゲートウェイECU)を含む車載通信システム1の構成を示す図である。1 is a diagram showing the configuration of an in-vehicle communication system 1 including an in-vehicle relay device (gateway ECU) according to an embodiment of the present invention. 第1CPUにより起動時に行われる処理の流れを示すフローチャートである。It is a flowchart which shows the flow of processing performed by the 1st CPU at the time of startup. 第1CPUによりメッセージ受信時に行われる処理の流れを示すフローチャートである。3 is a flowchart showing the flow of processing performed by the first CPU when receiving a message. 第1CPUによりスキャンツールの接続時に行われる処理の流れを示すフローチャートである。7 is a flowchart showing the flow of processing performed by the first CPU when the scan tool is connected. 第2CPUにより起動後に行われる処理の流れを示すフローチャートである。12 is a flowchart showing the flow of processing performed by the second CPU after startup.

以下では、本発明の実施の形態について、添付図面を参照しつつ詳細に説明する。 Embodiments of the present invention will be described in detail below with reference to the accompanying drawings.

<車載通信システム>
図1は、本発明の一実施形態に係るゲートウェイECU3を含む車載通信システム1の構成を示す図である。 <In-vehicle communication system>
FIG. 1 is a diagram showing the configuration of an in-vehicle communication system 1 including a gateway ECU 3 according to an embodiment of the present invention.

車載通信システム1は、自動車などの車両に搭載されて、車両の外部と内部の車載ネットワーク2との間で通信を可能にするコネクテッド機能のためのシステムである。車載通信システム1には、車載ネットワーク2、ゲートウェイECU(Electronic Control Unit:電子制御ユニット)3、TCU(Telematics Communication Unit)4およびDLC(Data Link Connector)5が含まれる。 The in-vehicle communication system 1 is a system for connected functions that is installed in a vehicle such as an automobile and enables communication between the outside of the vehicle and the in-vehicle network 2 inside the vehicle. The in-vehicle communication system 1 includes an in-vehicle network 2, a gateway ECU (Electronic Control Unit) 3, a TCU (Telematics Communication Unit) 4, and a DLC (Data Link Connector) 5.

車載ネットワーク2は、たとえば、CAN(Controller Area Network)通信プロトコルによる通信が可能なネットワークである。車載ネットワーク2には、複数のバス(伝送線路)6が設けられており、各バス6には、車両の各部を制御するための複数のECU7が接続されている。ECU7には、車両のイグニッションスイッチがオフの状態でも動作可能なボデーECU7A、車両のコンビネーションメータに配設された機器(たとえば、マルチインフォメーションディスプレイなど)を制御するメータECU7Bなどが含まれる。 The in-vehicle network 2 is, for example, a network that allows communication using a CAN (Controller Area Network) communication protocol. The in-vehicle network 2 is provided with a plurality of buses (transmission lines) 6, and each bus 6 is connected to a plurality of ECUs 7 for controlling each part of the vehicle. The ECU 7 includes a body ECU 7A that can operate even when the ignition switch of the vehicle is off, a meter ECU 7B that controls devices (for example, a multi-information display, etc.) disposed in the combination meter of the vehicle, and the like.

ゲートウェイECU3には、TCU4、OBD5および各バス6が接続されている。ゲートウェイECU3は、車載ネットワーク2とTCU4との間および車載ネットワーク2とOBD5との間でメッセージを中継する機能と、車載ネットワーク2の各バス6間でメッセージを中継する機能とを有している。また、ゲートウェイECU3は、外部からの車載ネットワーク2に対する攻撃を検知して、その攻撃から車載ネットワーク2を防御するセキュリティ機能を有している。 A TCU 4, an OBD 5, and each bus 6 are connected to the gateway ECU 3. The gateway ECU 3 has a function of relaying messages between the in-vehicle network 2 and the TCU 4 and between the in-vehicle network 2 and the OBD 5, and a function of relaying messages between each bus 6 of the in-vehicle network 2. Furthermore, the gateway ECU 3 has a security function that detects an attack on the in-vehicle network 2 from the outside and protects the in-vehicle network 2 from the attack.

TCU4は、車両に搭載されるデータ通信機であり、車両のユーザに種々の情報やサービスを提供するために、移動体無線データ通信などを利用して、サービスセンタのサーバ8とデータ通信を行う。ユーザに提供されるサービスには、たとえば、乗車前にエアコンディショナを作動させるなど、車両を遠隔操作するリモートサービスが含まれる。なお、本実施の形態では、データ通信機としてTCU4を用いているが、これに代えて、スマートフォンなどの携帯端末を用いてもよい。 The TCU 4 is a data communication device installed in the vehicle, and performs data communication with the server 8 of the service center using mobile wireless data communication etc. in order to provide various information and services to the user of the vehicle. . Services provided to users include, for example, remote services that remotely control the vehicle, such as turning on the air conditioner before getting into the vehicle. Note that in this embodiment, the TCU 4 is used as the data communication device, but instead of this, a mobile terminal such as a smartphone may be used.

DLC5は、OBD(On-Board Diagnostics:オン・ボード・ダイアグノーシス)による故障コードなどの読み出しのために、スキャンツール9が接続されるコネクタである。 The DLC 5 is a connector to which a scan tool 9 is connected in order to read failure codes and the like using OBD (On-Board Diagnostics).

<ゲートウェイECU>
ゲートウェイECU3には、第1CPU(Central Processing Unit)11および第2CPU12が備えられている。第1CPU11には、TCU4およびDLC5が接続され、車載ネットワーク2から切り離して設けられている。第2CPU12は、TCU4およびDLC5から切り離され、車載ネットワーク2に通信可能に接続されている。また、第1CPU11と第2CPU12とは、通信線Xにより通信可能に接続されている。 <Gateway ECU>
The gateway ECU 3 includes a first CPU (Central Processing Unit) 11 and a second CPU 12. The first CPU 11 is connected to the TCU 4 and the DLC 5 and is provided separately from the in-vehicle network 2 . The second CPU 12 is separated from the TCU 4 and DLC 5 and is communicably connected to the in-vehicle network 2. Further, the first CPU 11 and the second CPU 12 are communicably connected via a communication line X.

第1CPU11および第2CPU12には、それぞれセキュアメモリ13,14が内蔵されている。セキュアメモリ13,14は、たとえば、フラッシュメモリやE2PROMなどのデータの書き換えが可能な不揮発性メモリからなる。また、ゲートウェイECU3には、HSM(Hardware Security Module)が備えられており、セキュアメモリ13,14に記憶されているプログラムコードやパラメータデータなどのデータは、HSMの機能によるセキュア認証を経て書き換えることができる。 The first CPU 11 and the second CPU 12 have built-in secure memories 13 and 14, respectively. The secure memories 13 and 14 are composed of rewritable nonvolatile memories such as flash memories and E2PROMs, for example. Furthermore, the gateway ECU 3 is equipped with an HSM (Hardware Security Module), and data such as program codes and parameter data stored in the secure memories 13 and 14 can be rewritten through secure authentication by the HSM function. can.

<第1CPU>
第1CPU11は、外部からの攻撃に対するセキュリティ機能のための機能処理部として、攻撃検知部21、転送判定部22、攻撃情報管理部23およびソフトウェア起動部24を実質的に備えている。これらの機能処理部は、プログラム処理によってソフトウエア的に実現されるか、または、論理回路などのハードウェアにより実現される。 <1st CPU>
The first CPU 11 substantially includes an attack detection section 21, a transfer determination section 22, an attack information management section 23, and a software activation section 24 as function processing sections for security functions against external attacks. These functional processing units are realized in software through program processing, or in hardware such as logic circuits.

攻撃検知部21は、ファイアウォールとしての機能を有している。すなわち、攻撃検知部21は、車両の外部からの車載ネットワーク2に対する攻撃を検知する攻撃検知機能と、その攻撃から車載ネットワーク2およびゲートウェイECU3を保護する保護機能とを有している。 The attack detection unit 21 has a function as a firewall. That is, the attack detection unit 21 has an attack detection function that detects an attack on the in-vehicle network 2 from outside the vehicle, and a protection function that protects the in-vehicle network 2 and gateway ECU 3 from the attack.

セキュアメモリ13には、車載ネットワーク2で通信可能なメッセージに使用されるID(Identifier)を登録したホワイトリストが記憶されている。攻撃検知部21は、外部からTCU4またはOBD5経由で第1CPU11がメッセージを受信すると、ホワイトリストに登録されているID(以下、「登録ID」という。)がメッセージに使用されているか否かを調べる。そして、攻撃検知部21は、登録IDがメッセージに使用されている場合、そのメッセージが正規のメッセージであると判断する。この場合、攻撃検知部21から転送判定部22にメッセージが送信される。 The secure memory 13 stores a white list in which IDs (identifiers) used for messages that can be communicated via the in-vehicle network 2 are registered. When the first CPU 11 receives a message from the outside via the TCU 4 or OBD 5, the attack detection unit 21 checks whether an ID registered in the whitelist (hereinafter referred to as "registered ID") is used in the message. . Then, if the registered ID is used in the message, the attack detection unit 21 determines that the message is a legitimate message. In this case, a message is sent from the attack detection section 21 to the transfer determination section 22.

一方、攻撃検知部21は、登録IDがメッセージに使用されていない場合には、そのメッセージの受信を外部からの車載ネットワーク2に対する攻撃として検知する。攻撃検知部21は、外部からの攻撃を検知した場合、その登録IDが使用されていないメッセージを不正メッセージとして破棄し、外部からの車載ネットワーク2に対する攻撃を受けたことを転送判定部22に通知する。 On the other hand, if the registered ID is not used in the message, the attack detection unit 21 detects the reception of the message as an attack on the in-vehicle network 2 from the outside. When the attack detection unit 21 detects an attack from the outside, it discards the message whose registered ID is not used as a fraudulent message, and notifies the forwarding determination unit 22 that the in-vehicle network 2 has been attacked from the outside. do.

転送判定部22は、攻撃検知部21からメッセージを受信した場合、そのメッセージを第2CPU12に転送(中継)する。一方、転送判定部22は、攻撃検知部21から攻撃を受けたことの通知(以下、「受攻撃の通知」という。)を受信した場合、その通知を第2CPU12に転送する。 When the transfer determination unit 22 receives a message from the attack detection unit 21, the transfer determination unit 22 transfers (relays) the message to the second CPU 12. On the other hand, when the transfer determination unit 22 receives a notification that an attack has been received from the attack detection unit 21 (hereinafter referred to as “attack notification”), the transfer determination unit 22 transfers the notification to the second CPU 12.

また、攻撃検知部21により外部からの車載ネットワーク2に対する攻撃が検知された場合、攻撃検知部21から攻撃情報管理部23に、攻撃の内容(たとえば、メッセージの送信先の情報など)と攻撃を受けた日時とを含む攻撃情報が送信される。攻撃情報管理部23は、攻撃検知部21から攻撃情報を受信した場合、その攻撃情報をセキュアメモリ13に記憶させる。そして、TCU4がサーバ8から攻撃情報の送信の要求を受信した場合、攻撃情報管理部23は、要求に従い、セキュアメモリ13から攻撃情報を読み出して、その読み出した攻撃情報をTCU4経由でサーバ8に送信する。また、DLC5に接続されたスキャンツール9から第1CPU11に攻撃情報の出力の要求が入力された場合、攻撃情報管理部23は、要求に従い、セキュアメモリ13から攻撃情報を読み出して、その読み出した攻撃情報をスキャンツール9に出力する。 Additionally, when the attack detection unit 21 detects an attack on the in-vehicle network 2 from outside, the attack detection unit 21 sends the details of the attack (for example, information on the destination of the message) and the attack information to the attack information management unit 23. Attack information including the date and time of the attack is transmitted. When attack information management section 23 receives attack information from attack detection section 21 , attack information management section 23 stores the attack information in secure memory 13 . When the TCU 4 receives a request to send attack information from the server 8, the attack information management unit 23 reads the attack information from the secure memory 13 in accordance with the request, and sends the read attack information to the server 8 via the TCU 4. Send. Further, when a request to output attack information is input from the scan tool 9 connected to the DLC 5 to the first CPU 11, the attack information management unit 23 reads the attack information from the secure memory 13 in accordance with the request, and stores the read attack information. Output the information to the scan tool 9.

ソフトウェア起動部24は、車両のイグニッションスイッチがオンにされたこと、または、車両の各ECUがドミナントウェイクアップしたことを検出し、セキュアメモリ13に記憶されているソフトウェアを起動させる。ソフトウェア起動部24は、ソフトウェア改ざん検知機能を有しており、ソフトウェアの起動時に、ソフトウェアの改ざんを検知するため、ソフトウェアに付与されているデジタル署名とセキュアメモリ13に格納されている署名情報(ハッシュ値やサム値など)との整合を確認する。その確認の結果、ソフトウェアの改ざんが検知されなければ、ソフトウェア起動部24は、そのソフトウェアを起動する。ソフトウェアの改ざんが検知された場合、ソフトウェア起動部24は、そのソフトウェアを起動しない。ソフトウェアの改ざんが検知された場合、第1CPU11は、動作を停止する。 The software activation unit 24 detects that the ignition switch of the vehicle is turned on or that each ECU of the vehicle performs a dominant wake-up, and activates the software stored in the secure memory 13. The software startup unit 24 has a software tampering detection function, and in order to detect software tampering when starting the software, it detects the digital signature given to the software and the signature information (hash) stored in the secure memory 13. value, sum value, etc.). As a result of the confirmation, if no tampering with the software is detected, the software activation unit 24 activates the software. If software tampering is detected, the software activation unit 24 does not activate the software. If software tampering is detected, the first CPU 11 stops operating.

<第2CPU>
第2CPU12は、車載ネットワーク2への攻撃に対するセキュリティ機能のための機能処理部として、攻撃判定部31、転送判定部32、攻撃通知部33およびソフトウェア起動部34を実質的に備えている。これらの機能処理部は、プログラム処理によってソフトウエア的に実現されるか、または、論理回路などのハードウェアにより実現される。 <Second CPU>
The second CPU 12 substantially includes an attack determination section 31, a transfer determination section 32, an attack notification section 33, and a software activation section 34 as function processing sections for security functions against attacks on the in-vehicle network 2. These functional processing units are realized in software through program processing, or in hardware such as logic circuits.

攻撃判定部31は、車両の外部からの車載ネットワーク2に対する攻撃を第1CPU11が受けたか否かを判定する。 The attack determination unit 31 determines whether the first CPU 11 has received an attack on the in-vehicle network 2 from outside the vehicle.

具体的には、攻撃判定部31は、第1CPU11から受攻撃の通知を受信した場合、第1CPU11が外部から攻撃を受けたと判定する。そして、攻撃判定部31は、第1CPU11との通信を切断(遮断)し、第1CPU11が外部からの攻撃を受けたことを攻撃通知部33に通知する。 Specifically, when the attack determination unit 31 receives a notification of an attack from the first CPU 11, it determines that the first CPU 11 has been attacked from the outside. Then, the attack determination unit 31 disconnects (blocks) communication with the first CPU 11 and notifies the attack notification unit 33 that the first CPU 11 has been attacked from the outside.

また、セキュアメモリ14には、セキュアメモリ13に記憶されているホワイトリストと同一のホワイトリストが記憶されている。攻撃判定部31は、第1CPU11からメッセージ(第1CPU11により中継されるメッセージ)を受信すると、そのメッセージに登録IDが使用されているか否かを調べる。そして、攻撃判定部31は、登録IDがメッセージに使用されている場合、そのメッセージが正規のメッセージであると判断する。この場合、攻撃判定部31から転送判定部32にメッセージが転送される。一方、登録IDがメッセージに使用されていない場合には、攻撃判定部31は、第1CPU11が外部から攻撃を受けたと判定し、そのメッセージを不正メッセージとして破棄する。そして、攻撃判定部31は、第1CPU11との通信を切断し、第1CPU11が外部からの攻撃を受けたことを攻撃通知部33に通知する。 Further, the secure memory 14 stores the same white list as the white list stored in the secure memory 13. When the attack determination unit 31 receives a message from the first CPU 11 (a message relayed by the first CPU 11), it checks whether a registered ID is used in the message. Then, if the registered ID is used in the message, the attack determination unit 31 determines that the message is a legitimate message. In this case, the message is transferred from the attack determination section 31 to the transfer determination section 32. On the other hand, if the registered ID is not used in the message, the attack determination unit 31 determines that the first CPU 11 has been attacked from the outside, and discards the message as an unauthorized message. Then, the attack determination unit 31 disconnects communication with the first CPU 11 and notifies the attack notification unit 33 that the first CPU 11 has been attacked from the outside.

さらに、第1CPU11が起動時にソフトウェアの改ざんを検知した場合、第1CPU11の動作が停止し、第1CPU11から第2CPU12にメッセージが送信されない状態が続く。攻撃判定部31は、第1CPU11からメッセージを受信しない状態が一定時間続くと、第1CPU11が外部から攻撃を受けたと判定してもよい。そして、攻撃判定部31は、第1CPU11との通信を切断し、第1CPU11が外部からの攻撃を受けたことを攻撃通知部33に通知してもよい。 Further, if the first CPU 11 detects software tampering at startup, the operation of the first CPU 11 is stopped, and a state in which messages are not sent from the first CPU 11 to the second CPU 12 continues. If the attack determination unit 31 does not receive a message from the first CPU 11 for a certain period of time, it may determine that the first CPU 11 has been attacked from the outside. Then, the attack determination unit 31 may disconnect communication with the first CPU 11 and notify the attack notification unit 33 that the first CPU 11 has been attacked from the outside.

転送判定部32は、攻撃判定部31からメッセージを受信した場合、そのメッセージを車載ネットワーク2に転送(中継)する。メッセージは、メッセージに含まれるIDに応じた送信先のECU7が受信する。 When the transfer determination unit 32 receives a message from the attack determination unit 31, the transfer determination unit 32 transfers (relays) the message to the in-vehicle network 2. The message is received by the destination ECU 7 according to the ID included in the message.

また、攻撃判定部31から攻撃通知部33に第1CPU11の受攻撃が通知された場合、攻撃通知部33は、TCU4と通信線Yにより通信可能に接続されたボデーECU7A経由にて、第1CPU11が外部から攻撃を受けたことをTCU4に通知する。TCU4は、その通知を受けて、第1CPU11(第1CPU11を含むゲートウェイECU3を搭載した車両)が外部から車載ネットワーク2に対する攻撃を受けたことの情報をサーバ8にアップロードする。 Further, when the attack determining unit 31 notifies the attack notifying unit 33 of the attack received by the first CPU 11, the attack notifying unit 33 determines whether the first CPU 11 Notify the TCU 4 that it has been attacked from the outside. Upon receiving the notification, the TCU 4 uploads to the server 8 information that the first CPU 11 (the vehicle equipped with the gateway ECU 3 including the first CPU 11) has received an external attack on the in-vehicle network 2.

ソフトウェア起動部34は、車両のイグニッションスイッチがオンにされたこと、または、車両の各ECUがドミナントウェイクアップしたことを検出し、セキュアメモリ14に記憶されているソフトウェアを起動させる。ソフトウェア起動部34は、ソフトウェア改ざん検知機能を有しており、ソフトウェアの起動時に、ソフトウェアの改ざんを検知するため、ソフトウェアに付与されているデジタル署名とセキュアメモリ33に格納されている署名情報(ハッシュ値やサム値など)との整合を確認する。その確認の結果、ソフトウェアの改ざんが検知されなければ、ソフトウェア起動部34は、そのソフトウェアを起動する。ソフトウェアの改ざんが検知された場合、ソフトウェア起動部34は、そのソフトウェアを起動しない。ソフトウェアの改ざんが検知された場合、第2CPU12は、動作を停止する。 The software activation unit 34 detects that the ignition switch of the vehicle is turned on or that each ECU of the vehicle is woken up as a dominant, and activates the software stored in the secure memory 14. The software startup unit 34 has a software tampering detection function, and in order to detect software tampering when the software is started, it detects the digital signature given to the software and the signature information (hash) stored in the secure memory 33. value, sum value, etc.). As a result of the confirmation, if no tampering with the software is detected, the software activation unit 34 activates the software. If software tampering is detected, the software activation unit 34 does not activate the software. If software tampering is detected, the second CPU 12 stops operating.

<フローチャート>
外部からの攻撃に対するセキュリティ機能による第1CPU11および第2CPU12の処理動作は、前述したとおりであるが、以下では、その処理動作を時系列に沿って説明する。 <Flowchart>
The processing operations of the first CPU 11 and the second CPU 12 by the security function against external attacks are as described above, but the processing operations will be described below in chronological order.

図2は、第1CPU11により起動時に行われる処理の流れを示すフローチャートである。 FIG. 2 is a flowchart showing the flow of processing performed by the first CPU 11 at startup.

第1CPU11の起動時には、第1CPU11により、図2に示される処理が行われる。 When the first CPU 11 is activated, the first CPU 11 performs the processing shown in FIG. 2 .

図2に示される処理では、ソフトウェア改ざん検知機能により、セキュアメモリ13に記憶されているソフトウェアが改ざんされていないかがチェックされる(ステップS11)。 In the process shown in FIG. 2, the software tampering detection function checks whether the software stored in the secure memory 13 has been tampered with (step S11).

ソフトウェアが改ざんされていない場合(ステップS12のNO)、そのソフトウェアが起動される(ステップS13)。ソフトウェアが改ざんされている場合、そのソフトウェアは起動されず、第1CPU11の動作が停止される(ステップS14)。 If the software has not been tampered with (NO in step S12), the software is activated (step S13). If the software has been tampered with, the software is not activated and the operation of the first CPU 11 is stopped (step S14).

図3は、第1CPU11によりメッセージ受信時に行われる処理の流れを示すフローチャートである。 FIG. 3 is a flowchart showing the flow of processing performed by the first CPU 11 when receiving a message.

第1CPU11が外部からTCU4またはDLC5経由でメッセージを受信すると、第1CPU11により、図3に示される処理が行われる。 When the first CPU 11 receives a message from the outside via the TCU 4 or DLC 5, the first CPU 11 performs the processing shown in FIG. 3.

図3に示される処理では、第1CPU11が受信したメッセージ(受信メッセージ)に登録IDが使用されているか否かが判断される。登録IDが受信メッセージに使用されている場合、その受信メッセージは、正規のメッセージである。一方、登録IDが受信メッセージに使用されていない場合、その受信メッセージは、不正メッセージである。 In the process shown in FIG. 3, it is determined whether a registered ID is used in the message received by the first CPU 11 (received message). If the registration ID is used in a received message, the received message is a regular message. On the other hand, if the registration ID is not used in the received message, the received message is an unauthorized message.

受信メッセージが正規のメッセージである場合(ステップS21のNO)、その正規のメッセージが第1CPU11から第2CPU12に転送される(ステップS22)。 If the received message is a regular message (NO in step S21), the regular message is transferred from the first CPU 11 to the second CPU 12 (step S22).

受信メッセージが不正メッセージである場合(ステップS21のYES)、その不正メッセージが破棄される(ステップS23)。また、第1CPU11が外部から車載ネットワーク2に対する攻撃を受けたことが第2CPU12に通知される(ステップS24)。さらに、攻撃の内容と攻撃を受けた日時とを含む攻撃情報がセキュアメモリ13に記憶される(ステップS25)。 If the received message is a fraudulent message (YES in step S21), the fraudulent message is discarded (step S23). Furthermore, the second CPU 12 is notified that the first CPU 11 has received an external attack on the in-vehicle network 2 (step S24). Further, attack information including the details of the attack and the date and time of the attack is stored in the secure memory 13 (step S25).

図4は、第1CPU11によりスキャンツール9の接続時に行われる処理の流れを示すフローチャートである。 FIG. 4 is a flowchart showing the flow of processing performed by the first CPU 11 when the scan tool 9 is connected.

スキャンツール9がDLC5に接続されている間、第1CPU11により、図4に示される処理が繰り返し行われる。 While the scan tool 9 is connected to the DLC 5, the first CPU 11 repeatedly performs the process shown in FIG.

図4に示される処理では、スキャンツール9からDLC5経由で、攻撃情報の出力の要求が入力されたか否かが判断される(ステップS31)。 In the process shown in FIG. 4, it is determined whether a request to output attack information has been input from the scan tool 9 via the DLC 5 (step S31).

攻撃情報の出力の要求が入力されていない場合(ステップS31のNO)、図4に示される処理が一旦終了されて、所定のタイミングが到来すると、図4に示される処理が再び開始される。 If a request to output attack information has not been input (NO in step S31), the process shown in FIG. 4 is once terminated, and when a predetermined timing arrives, the process shown in FIG. 4 is restarted.

スキャンツール9から攻撃情報の出力の要求が出されて、その要求が第1CPU11に入力されると(ステップS31のYES)、要求に従い、セキュアメモリ13から攻撃情報が読み出されて、その読み出された攻撃情報がDLC5経由でスキャンツール9に出力される(ステップS32)。 When a request to output attack information is issued from the scan tool 9 and the request is input to the first CPU 11 (YES in step S31), the attack information is read from the secure memory 13 in accordance with the request, and the readout process is performed. The attack information thus obtained is output to the scan tool 9 via the DLC 5 (step S32).

図5は、第2CPU12により起動後に行われる処理の流れを示すフローチャートである。 FIG. 5 is a flowchart showing the flow of processing performed by the second CPU 12 after startup.

第2CPU12の起動後、第2CPU12により、図5に示される処理が繰り返し行われる。 After the second CPU 12 is activated, the process shown in FIG. 5 is repeatedly performed by the second CPU 12.

図5に示される処理では、第1CPU11と第2CPU12との通信が切断されているか否かが判断される(ステップS41)。第1CPU11と第2CPU12との通信が切断されている状況では(ステップS41のYES)、図5に示される処理が一旦終了されて、所定のタイミングが到来すると、図5に示される処理が再び開始される。 In the process shown in FIG. 5, it is determined whether communication between the first CPU 11 and the second CPU 12 is disconnected (step S41). In a situation where the communication between the first CPU 11 and the second CPU 12 is disconnected (YES in step S41), the process shown in FIG. 5 is once finished, and when a predetermined timing arrives, the process shown in FIG. 5 starts again. be done.

第1CPU11と第2CPU12との通信が切断されていない場合(ステップS41のNO)、第1CPU11から受攻撃の通知を受信したか否かが判断される(ステップS42)。 If the communication between the first CPU 11 and the second CPU 12 is not disconnected (NO in step S41), it is determined whether a notification of an attack has been received from the first CPU 11 (step S42).

第2CPU12が第1CPU11から受攻撃の通知を受信している場合(ステップS42のYES)、第1CPU11が外部から攻撃を受けたと判定されて、第1CPU11との通信が切断される(ステップS43)。第1CPU11が外部から攻撃を受けたことは、第2CPU12からボデーECU7A経由でTCU4に通知されてもよい(ステップS44)。 If the second CPU 12 has received the notification of attack from the first CPU 11 (YES in step S42), it is determined that the first CPU 11 has been attacked from the outside, and communication with the first CPU 11 is cut off (step S43). The fact that the first CPU 11 has been attacked from the outside may be notified from the second CPU 12 to the TCU 4 via the body ECU 7A (step S44).

一方、第2CPU12が第1CPU11から受攻撃の通知を受信していない場合(ステップS42のNO)、第2CPU12が第1CPU11からメッセージ(第1CPU11により中継されるメッセージ)を受信したか否かが判断される(ステップS45)。 On the other hand, if the second CPU 12 has not received the attack notification from the first CPU 11 (NO in step S42), it is determined whether the second CPU 12 has received a message from the first CPU 11 (a message relayed by the first CPU 11). (Step S45).

第1CPU11からメッセージを受信した場合(ステップS45のYES)、その受信したメッセージに登録IDが使用されているか否かが判断される。登録IDが受信メッセージに使用されている場合、その受信メッセージは、正規のメッセージである。一方、登録IDが受信メッセージに使用されていない場合、その受信メッセージは、不正メッセージである。 When a message is received from the first CPU 11 (YES in step S45), it is determined whether a registered ID is used in the received message. If the registration ID is used in a received message, the received message is a regular message. On the other hand, if the registration ID is not used in the received message, the received message is an unauthorized message.

受信メッセージが正規のメッセージである場合(ステップS46のNO)、その正規のメッセージが第2CPU12から車載ネットワーク2に転送される(ステップS47)。 If the received message is a regular message (NO in step S46), the regular message is transferred from the second CPU 12 to the in-vehicle network 2 (step S47).

受信メッセージが不正メッセージである場合(ステップS46のYES)、第1CPU11が外部から攻撃を受けたと判定されて、第1CPU11との通信が切断される(ステップS43)。そして、第1CPU11が外部から攻撃を受けたことは、第2CPU12からボデーECU7A経由でTCU4に通知されてもよい(ステップS44)。 If the received message is a fraudulent message (YES in step S46), it is determined that the first CPU 11 has been attacked from the outside, and communication with the first CPU 11 is cut off (step S43). Then, the second CPU 12 may notify the TCU 4 via the body ECU 7A that the first CPU 11 has been attacked from the outside (step S44).

第2CPU12が第1CPU11からメッセージを受信していないときには(ステップS45のNO)、図5に示される処理が終了される。 When the second CPU 12 has not received the message from the first CPU 11 (NO in step S45), the process shown in FIG. 5 is ended.

<作用効果>
以上のように、ゲートウェイECU3には、第1CPU11および第2CPU12が備えられている。第1CPU11は、車両の内部の車載ネットワーク2から切り離されており、車両の外部との通信は、第1CPU11により行われる。一方、第2CPU12は、車両の外部から切り離して設けられ、車載ネットワーク2に通信可能に接続されている。そして、第1CPU11は、車載ネットワーク2に対する攻撃を検知する攻撃検知機能(攻撃検知部21)を有し、第2CPU12は、第1CPU11が攻撃を受けたか否かを判定する攻撃判定機能(攻撃判定部31)を有している。また、第2CPU12では、攻撃判定機能により第1CPU11が攻撃を受けたと判定された場合、第1CPU11との通信が切断されるとともに、第1CPU11が外部から攻撃を受けたことがボデーECU7A経由でTCU4に通知される。 <Effect>
As described above, the gateway ECU 3 includes the first CPU 11 and the second CPU 12. The first CPU 11 is separated from the in-vehicle network 2 inside the vehicle, and communication with the outside of the vehicle is performed by the first CPU 11. On the other hand, the second CPU 12 is provided separately from the outside of the vehicle and is communicably connected to the in-vehicle network 2. The first CPU 11 has an attack detection function (attack detection unit 21) that detects an attack on the in-vehicle network 2, and the second CPU 12 has an attack detection function (attack detection unit 21) that determines whether the first CPU 11 has been attacked. 31). In addition, in the second CPU 12, if the attack determination function determines that the first CPU 11 has been attacked, communication with the first CPU 11 is cut off, and the information that the first CPU 11 has been attacked from the outside is sent to the TCU 4 via the body ECU 7A. Be notified.

これにより、車両の外部からの車載ネットワーク2への攻撃の対策として、第1CPU11の攻撃検知機能を第1層の防御層とし、第2CPU12の攻撃判定機能および第2CPU12による第1CPU11との通信を第2層の防御層とする多層防御が構築される。この多層防御の構築により、セキュリティ対策の強化を図ることができる。 As a countermeasure against attacks on the in-vehicle network 2 from outside the vehicle, the attack detection function of the first CPU 11 is made the first layer of defense, and the attack judgment function of the second CPU 12 and communication with the first CPU 11 by the second CPU 12 are made the first defense layer. A layered defense with two layers of defense is constructed. By building this multi-layered defense, security measures can be strengthened.

また、第2CPU12が第1CPU11から不正メッセージを受信した場合、その不正メッセージが破棄される。これにより、外部からの攻撃を受けた第1CPU11が不正メッセージを第2CPU12に向けて送信しても、その不正メッセージが破棄されるので、車載ネットワーク2が不正メッセージによる攻撃を受けることを防止でき、車載ネットワーク2による通信を継続できる。 Further, when the second CPU 12 receives an unauthorized message from the first CPU 11, the unauthorized message is discarded. As a result, even if the first CPU 11 that has been attacked from the outside sends a fraudulent message to the second CPU 12, the fraudulent message is discarded, making it possible to prevent the in-vehicle network 2 from being attacked by fraudulent messages. Communication via the in-vehicle network 2 can be continued.

第1CPU11は、攻撃検知機能により攻撃が検知されたことに応じて、当該攻撃に関する攻撃情報をセキュアメモリ13に記憶させ、車両の外部のサーバ8またはスキャンツール9からの要求に従って、セキュアメモリ13に記憶されている攻撃情報を出力する。これにより、第1CPU11が外部からの攻撃を受けた場合に、その攻撃に関する情報を車両の外部のサーバ8およびスキャンツール9に読み出すことができる。そのため、サーバ8またはスキャンツール9に読み出した情報を解析して、第1CPU11が受けた攻撃の内容を早期に特定でき、攻撃への対策を早期に講じることができる。 In response to an attack being detected by the attack detection function, the first CPU 11 stores attack information regarding the attack in the secure memory 13, and stores attack information in the secure memory 13 in accordance with a request from a server 8 or a scan tool 9 external to the vehicle. Outputs stored attack information. Thereby, when the first CPU 11 is attacked from the outside, information regarding the attack can be read to the server 8 and the scan tool 9 outside the vehicle. Therefore, by analyzing the information read out to the server 8 or the scan tool 9, the content of the attack that the first CPU 11 has received can be identified at an early stage, and countermeasures against the attack can be taken at an early stage.

また、第1CPU11は、起動時にソフトウェアの改ざんを検知する改ざん検知機能を有し、起動時にソフトウェアの改ざんが検知されなければ、そのソフトウェアを起動し、起動時にソフトウェアの改ざんが検知された場合には、そのソフトウェアを起動せずに動作を停止する。これにより、改ざんされたソフトウェアの起動を防止できる。そのため、改ざんされたソフトウェアが実行されることによる第2CPU12への不正メッセージの送信などを防止できる。 In addition, the first CPU 11 has a tampering detection function that detects tampering with software at startup, and if tampering with software is not detected at startup, it starts the software, and if tampering with software is detected at startup, it starts the software. , that software stops working without starting. This can prevent tampered software from starting. Therefore, it is possible to prevent unauthorized messages from being sent to the second CPU 12 due to execution of tampered software.

ソフトウェアの改ざんが検知されて、第1動作が動作を停止した場合、第1CPU11から第2CPU12へのメッセージ送信が行われないので、メッセージ送信が一定時間行われない場合には、第2CPU12により、第1CPU11が外部から攻撃を受けたと判定されて、第1CPU11と第2CPU12との通信が切断される。これにより、第1CPU11のソフトウェアが改ざんされていても、第2CPU12が第1CPU11から不正メッセージを受信しないので、車載ネットワーク2が不正メッセージによる攻撃を受けることを防止できる。 If software tampering is detected and the first operation stops, the first CPU 11 will not send a message to the second CPU 12. Therefore, if no message is sent for a certain period of time, the second CPU 12 will stop the first operation. It is determined that the first CPU 11 has been attacked from the outside, and communication between the first CPU 11 and the second CPU 12 is cut off. As a result, even if the software of the first CPU 11 has been tampered with, the second CPU 12 will not receive an unauthorized message from the first CPU 11, so that the in-vehicle network 2 can be prevented from being attacked by unauthorized messages.

第2CPU12により第1CPU11が攻撃を受けたと判定された場合、車両に搭載されているTCU4から車両の外部のサーバ8に第1CPU11が攻撃を受けたことの情報がアップロードされるように、第1CPU11が外部から攻撃を受けたことは、第2CPU12からボデーECU7A経由でTCU4に通知されてもよい。これにより、サーバ管理者またはサーバ経由で情報を入手しうるユーザが第1CPU11の受攻撃を認知することができる。 When the second CPU 12 determines that the first CPU 11 has been attacked, the first CPU 11 is configured so that the information that the first CPU 11 has been attacked is uploaded from the TCU 4 mounted on the vehicle to the server 8 outside the vehicle. The fact that the TCU 4 has been attacked from the outside may be notified from the second CPU 12 via the body ECU 7A. This allows the server administrator or a user who can obtain information via the server to recognize the attack on the first CPU 11.

<変形例>
以上、本発明の一実施形態について説明したが、本発明は、他の形態で実施することもできる。 <Modified example>
Although one embodiment of the present invention has been described above, the present invention can also be implemented in other forms.

たとえば、第2CPU12は、図示されていないが、第1CPU11と同様に、車両のイグニッションスイッチがオンにされたことに応じて、セキュアメモリ14に記憶されているソフトウェアを起動させるソフトウェア起動部を実質的に備えている。第2CPU12のソフトウェア起動部もまた、第1CPU11のソフトウェア起動部24と同様に、セキュアブート機能を有していてもよい。そして、ソフトウェアの改ざんが検知された場合、そのソフトウェアが起動されないことが好ましい。これにより、改ざんされたソフトウェアが実行されることによる車載ネットワーク2への不正メッセージの送信などを防止できる。 For example, although not shown, the second CPU 12, like the first CPU 11, substantially operates a software activation unit that activates software stored in the secure memory 14 in response to the ignition switch of the vehicle being turned on. We are preparing for The software activation unit of the second CPU 12 may also have a secure boot function, similar to the software activation unit 24 of the first CPU 11. If software tampering is detected, it is preferable that the software is not activated. This can prevent unauthorized messages from being sent to the in-vehicle network 2 due to execution of tampered software.

また、第1CPU11が車載ネットワーク2に対する攻撃を受けたことの情報がTCU4からサーバ8にアップロードされたことに応じて、車両を遠隔操作するリモートサービスが停止されてもよい。これにより、車載ネットワーク2の攻撃による車両の誤動作を防止することができる。また、第1CPU11には、TCU4やDLC5の他にも、コクピットECUとの専用通信線や急速充電用の専用通信線が接続されてもよい。この場合、TCU4やDLC5と同様に、それらの専用通信線から攻撃検知部21に並列に情報が入力される。 Furthermore, in response to information that the first CPU 11 has received an attack on the in-vehicle network 2 being uploaded from the TCU 4 to the server 8, the remote service for remotely controlling the vehicle may be stopped. Thereby, malfunction of the vehicle due to attacks on the in-vehicle network 2 can be prevented. Further, in addition to the TCU 4 and the DLC 5, a dedicated communication line with the cockpit ECU or a dedicated communication line for quick charging may be connected to the first CPU 11. In this case, similar to the TCU 4 and DLC 5, information is input in parallel to the attack detection unit 21 from these dedicated communication lines.

その他、前述の構成には、特許請求の範囲に記載された事項の範囲で種々の設計変更を施すことが可能である。 In addition, various design changes can be made to the above-described configuration within the scope of the claims.

2:車載ネットワーク
3:ゲートウェイECU(車載中継装置)
4:TCU(データ通信装置)
7A:ボデーECU(電子制御ユニット)
8:サーバ(情報管理機器)
9:スキャンツール(情報管理機器)
11:第1CPU(第1装置)
12:第2CPU(第2装置)
13:セキュアメモリ(記憶装置) 2: In-vehicle network 3: Gateway ECU (in-vehicle relay device)
4: TCU (data communication unit)
7A: Body ECU (electronic control unit)
8: Server (information management equipment)
9: Scan tool (information management equipment)
11: First CPU (first device)
12: Second CPU (second device)
13: Secure memory (storage device)

Claims (5)

車両に搭載されて、前記車両の外部と内部の車載ネットワークとの間の通信を中継する車載中継装置であって、
第1メモリを内蔵し、前記車載ネットワークから切り離して設けられ、前記車両の外部と通信を行う第1装置と、
第2メモリを内蔵し、前記車両の外部から切り離して設けられ、前記第1装置に通信可能に接続されるとともに、前記車載ネットワークに通信可能に接続される第2装置と、を備え、
前記第1装置は、前記車載ネットワークに対する攻撃を検知する攻撃検知機能を有し、
前記第2装置は、前記第1装置が攻撃を受けたか否かを判定する攻撃判定機能を有し、前記攻撃判定機能により前記第1装置が攻撃を受けたと判定された場合には、所定の対応を行う、車載中継装置。 An in-vehicle relay device that is mounted on a vehicle and relays communication between an external in-vehicle network and an internal in-vehicle network,
a first device that includes a first memory, is provided separately from the in-vehicle network, and communicates with the outside of the vehicle;
a second device incorporating a second memory, provided separately from the exterior of the vehicle, communicably connected to the first device, and communicably connected to the in-vehicle network;
The first device has an attack detection function that detects an attack on the in-vehicle network,
The second device has an attack determination function that determines whether or not the first device has been attacked, and when the attack determination function determines that the first device has been attacked, a predetermined An in-vehicle relay device that handles this. 第1メモリは、前記車載ネットワークで通信可能なメッセージに使用されるID(Identifier)が登録されたホワイトリストを記憶しており、
前記第1装置は、前記ホワイトリストに登録されたIDを使用していないメッセージを前記車両の外部から受信した場合、前記攻撃検知機能により当該メッセージの受信を攻撃として検知する、請求項1に記載の車載中継装置。 The first memory stores a white list in which IDs (Identifiers) used for messages that can be communicated on the in-vehicle network are registered,
According to claim 1, when the first device receives a message from outside the vehicle that does not use an ID registered in the whitelist, the attack detection function detects the reception of the message as an attack. In-vehicle relay device. 記第1装置は、前記攻撃検知機能により攻撃が検知されたことに応じて、当該攻撃に関する情報を前記第1メモリに記憶させ、前記車両の外部の情報管理機器からの要求に従って、前記第1メモリに記憶されている情報を出力する、請求項1または2に記載の車載中継装置。 The first device stores information regarding the attack in the first memory in response to an attack being detected by the attack detection function, and stores information regarding the attack in the first memory according to a request from an information management device external to the vehicle . 3. The in-vehicle relay device according to claim 1 or 2, which outputs information stored in one memory . 第1メモリは、ソフトウェアを記憶しており、
前記第1装置は、起動時に前記ソフトウェアの改ざんを検知する改ざん検知機能を有し、前記改ざん検知機能により改ざんが検知されなければ、前記ソフトウェアを起動し、前記改ざん検知機能により前記ソフトウェアの改ざんが検知された場合には、前記ソフトウェアを起動せずに動作を停止し、
前記第2装置は、前記第1装置からのメッセージ送信が一定時間行われない場合、前記第1装置との通信を切断する、請求項1~3のいずれか一項に記載の車載中継装置。 The first memory stores software;
The first device has a tampering detection function that detects tampering of the software at startup, and if the tampering detection function does not detect tampering, it starts the software, and the tampering detection function detects tampering of the software. If detected, the software will stop operating without starting it, and
The in-vehicle relay device according to claim 1, wherein the second device disconnects communication with the first device if no message is sent from the first device for a certain period of time. 前記第2装置は、前記攻撃判定機能により前記第1装置が攻撃を受けたと判定された場合、前記車両に搭載されているデータ通信装置から前記車両の外部のサーバに前記第1装置が攻撃を受けたことの情報がアップロードされるように、前記車載ネットワークに接続された電子制御ユニット経由で前記データ通信装置に、前記第1装置が攻撃を受けたことを通知する、請求項1~4のいずれか一項に記載の車載中継装置。 The second device is configured to transmit an attack from a data communication device installed in the vehicle to a server external to the vehicle when the first device is determined to have been attacked by the attack determination function . Claims 1 to 4, wherein the data communication device is notified via an electronic control unit connected to the in-vehicle network that the first device has been attacked so that information about the attack is uploaded. The in-vehicle relay device according to any one of the items.
JP2021079983A 2021-05-10 2021-05-10 In-vehicle relay device Active JP7354180B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021079983A JP7354180B2 (en) 2021-05-10 2021-05-10 In-vehicle relay device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021079983A JP7354180B2 (en) 2021-05-10 2021-05-10 In-vehicle relay device

Publications (2)

Publication Number Publication Date
JP2022173922A JP2022173922A (en) 2022-11-22
JP7354180B2 true JP7354180B2 (en) 2023-10-02

Family

ID=84144247

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021079983A Active JP7354180B2 (en) 2021-05-10 2021-05-10 In-vehicle relay device

Country Status (1)

Country Link
JP (1) JP7354180B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7132132B2 (en) * 2019-01-09 2022-09-06 国立大学法人東海国立大学機構 In-vehicle communication system, in-vehicle communication control device, in-vehicle communication device, computer program, communication control method and communication method

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014146868A (en) 2013-01-28 2014-08-14 Hitachi Automotive Systems Ltd Network device and data transmission reception system
JP2019071572A (en) 2017-10-10 2019-05-09 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング Control apparatus and control method
JP2020150430A (en) 2019-03-14 2020-09-17 パナソニックIpマネジメント株式会社 Information processor, information processing system, method for processing information, and computer program

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014146868A (en) 2013-01-28 2014-08-14 Hitachi Automotive Systems Ltd Network device and data transmission reception system
JP2019071572A (en) 2017-10-10 2019-05-09 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング Control apparatus and control method
JP2020150430A (en) 2019-03-14 2020-09-17 パナソニックIpマネジメント株式会社 Information processor, information processing system, method for processing information, and computer program

Also Published As

Publication number Publication date
JP2022173922A (en) 2022-11-22

Similar Documents

Publication Publication Date Title
US20210382999A1 (en) Security system and method for protecting a vehicle electronic system
US20190281052A1 (en) Systems and methods for securing an automotive controller network
JP6201962B2 (en) In-vehicle communication system
JP5395036B2 (en) In-vehicle network system
JP6477281B2 (en) In-vehicle relay device, in-vehicle communication system, and relay program
US6847864B2 (en) Vehicular communications system initializing abnormal control unit
JP5729337B2 (en) VEHICLE AUTHENTICATION DEVICE AND VEHICLE AUTHENTICATION SYSTEM
JP5472466B2 (en) Electronic control device for vehicle
JP5672275B2 (en) Network system
WO2019012888A1 (en) Vehicle-mounted device, management method, and management program
JP2013141947A (en) Gateway device and vehicle communication system
JP7354180B2 (en) In-vehicle relay device
JP4487007B2 (en) In-vehicle program rewrite control system
JP7425016B2 (en) In-vehicle relay device
WO2022102385A1 (en) On-vehicle ecu, program, and information processing method
KR102144408B1 (en) Method and communication system for a secure data transmission
JP2006023850A (en) Diagnostic system for vehicle and integral controller using the same
EP3661130B1 (en) A relay device for an in-vehicle network
JP7067508B2 (en) Network system
JP2022138678A (en) vehicle system
JP2020096320A (en) Illegal signal processing device
JP2005191734A (en) Vehicle communications system and repeat unit
JP2018160870A (en) On-vehicle communication system and input/output device
CN114128222A (en) Relay device system
WO2018037894A1 (en) Authentication device for vehicles

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220524

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230329

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230418

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230619

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230919

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230920

R150 Certificate of patent or registration of utility model

Ref document number: 7354180

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150