KR20180072342A

KR20180072342A - 이더넷 네트워크를 포함하는 운송 수단 내부 네트워크에서 v2x 메시지의 우선순위 고려한 운송 수단 내 보안 처리 방법

Info

Publication number: KR20180072342A
Application number: KR1020160175806A
Authority: KR
Inventors: 김지훈
Original assignee: 주식회사 휴맥스오토모티브
Priority date: 2016-12-21
Filing date: 2016-12-21
Publication date: 2018-06-29

Abstract

이더넷 네트워크를 포함하는 운송 수단 내부 네트워크에서 V2X 메시지의 우선순위 고려한 운송 수단 내 보안 처리 방법은 V2X 메시지 내의 정보의 우선순위를 판단하는 단계와, 상기 우선순위에 따라 운송 수단내 ECU를 제어하는 단계를 포함하되, 상기 우선순위는 V2X 메시지 내의 정보가 사고와 밀접하게 관련되어 있는 정보인지 여부에 따라 판단한다.

Description

이더넷 네트워크를 포함하는 운송 수단 내부 네트워크에서 V2X 메시지의 우선순위 고려한 운송 수단 내 보안 처리 방법{Methods of secure processing at in-vehicle network having Ethernet network considering priority of V2X message}

본 발명은 운송 수단 내부 네트워크 에서의 보안 처리 방법에 관한 것으로서, 더욱 구체적으로는 이더넷을 포함하는 운송 수단 내부 네트워크 에서의 보안 처리 방법에 관한 것이다.

차량 내부에 탑재되는 ECU 개수가 급격히 증가하는 추세이며, 차량에서 네트워크 통신을 통해 다양한 서비스를 제공하기 위한 시도가 증가함에 따라 차량 제어를 위한 데이터와 같이 무결성이 유지되어야할 데이터- 허가되지 않은 자가 메시지 위변조와 같은 내용 변경을 해서는 않되는 데이터- 뿐만 아니라 운전자의 개인 정보와 같이 메시지 도청이 방지되어 기밀성이 유지되어야 할 데이터가 각 ECU간 CAN을 통해 송/수신 될 수 있다.

외부 디바이스, 예를 들어 진단기를 OBD-2(On Board Diagnostics) 단자 등을 이용하여 CAN 또는 이더넷(Ethernet)을 통해 ECU와 통신하여 차량을 자가 진단하거나 CAN 또는 이더넷을 통해 송수신되는 데이터를 가공하여 사용자 편의를 제공하는 서비스가 점차적으로 증가하고 있다.

이러한 경우 특히 외부 공격자가 차량의 비정상적 제어를 유발시켜 무결성을 훼손시킬 수 있고, 아울러 상기한 도청을 통해 기밀성이 유지되어야할 데이터가 유출될 수 있는 취약점이 존재한다. 따라서 인증(공인)되지 않은 외부 디바이스에 의한 CAN 또는 이더넷을 통해 송수신되는 데이터의 무결성을 보장하기 위하여 외부 디바이스도 ECU와 마찬가지로 보안 처리가 되어야 한다.

차량내부네트워크(in-vehicle network)는 CAN(Controller Area Network), LIN(Local Interconnet Network), FlexRay, MOST(Media Oriented Systems Transport), Ethernet등 다양한 네트워크 시스템이 공존하는 형태로 발전할 것으로 전망되고 있다.

향후 차량내 이더넷을 도입하는 추세로 갈 경우, 차량 이더넷 사용시, 외부서 차량 강제 진단 제어시 원격 무선 공격, OBD2 이더넷 모듈을 통한 차량 악성 공격, 원격 해킹, 차량 AVN 취약점 이용한 공격등으로부터 취약한 문제점이 있다.

V2V 및/또는 V2I로 전송되는 외부 메시지에는 1) 전방 차량 추돌,충돌 경고, 전방차량 급감속 알림, 후방차량 접근 경고(V2V 메시지로서, 초당 1회 이상 전달), 2) 도로공사(작업지역 경고 WZW), 위험영역, 교통체증 정보(V2I 메시지로서, 초당 1회 or 30초당 1회 전달)등이 있다.

V2V /V2I 통신의 경우 안전 관련 메시지의 경우 latency는 매우 민감한 문제이며, V2V /V2I 통신을 통해 공격이 시도될 경우 대비하여 V2V /V2I 통신으로 수신된 모든 메시지를 인증 및/또는 암호화 처리를 수행할 경우 신속성이 요구되는 안전 메시지에 기반한 차량내 ECU 제어를 할 경우 latency 문제가 더욱 심각해 질 수 있다.

특히, 향후 차량과 같은 운송 수단내 이더넷 네트워크를 도입하는 경우 V2V /V2I 통신을 통해 외부 공격에 대응하여 latency를 최소화하여 V2V /V2I 통신을 통해 전달된 제어 메시지에 해당되는 ECU 제어 동작을 수행할 수 있는 기술이 필요하다.

본 발명의 목적은 이더넷 네트워크를 포함하는 운송 수단 내부 네트워크에서 V2X 통신을 통한 외부 공격시 V2V /V2I 통신으로 수신된 모든 메시지를 인증 및/또는 암호화 처리를 수행하는 경우 신속성이 요구되는 안전 메시지에 기반한 운송 수단내 ECU 제어시 지연(latency)을 줄이기 위한 이더넷 네트워크를 포함하는 운송 수단 내부 네트워크에서 V2X 메시지의 우선순위 고려한 운송 수단 내 보안 처리 방법을 제공하는 것이다.

본 발명의 일측면에 따르면, 이더넷 네트워크를 포함하는 운송 수단(vehicle) 내부 네트워크에서 V2X 메시지의 우선순위 고려한 운송 수단 내 보안 처리 방법은, V2X 메시지 내의 정보의 우선순위를 판단하는 단계와, 상기 우선순위에 따라 운송 수단내 ECU를 제어하는 단계를 포함하되, 상기 우선순위는 V2X 메시지 내의 정보가 사고와 밀접하게 관련되어 있는 정보인지 여부에 따라 판단한다. 이더넷 네트워크를 포함하는 운송 수단(vehicle) 내부 네트워크에서 V2X 메시지의 우선순위 고려한 운송 수단 내 보안 처리 방법은 V2X 통신을 통해 운송 수단 외부로부터 수신된 메시지가 V2V 메시지인지 여부를 판단하는 단계를 더 포함할 수 있다. VLAN의 예비 영역에 상기 우선순위를 기록할 수 있다. 사고와 밀접하게 관련된 전방 차량 추돌 경고, 전방 차량충돌 경고(FCW), 전방차량 급감속 알림 중 하나는 우선순위가 높은 것으로 판단하고, 사고와 직접적으로 관련되지 않은 도로공사 정보 또는 교통체증 정보는 우선순위 낮은 것으로 판단할 수 있다.

본 발명의 실시예들에 따른 이더넷 네트워크를 포함하는 차량 내부 네트워크에서 V2X 메시지의 우선순위 고려한 차량 내 보안 처리 방법은 수신된 V2V 메시지가 사고와 밀접하게 관련된 우선순위 높은 정보들(전방 차량 추돌 경고, 전방 차량충돌 경고(FCW), 전방차량 급감속 알림)인 경우에만 사전 인증 차량 여부 확인후 차량내 ECU를 제어하고 사고와 직접적으로 관련되지 않은 우선순위 낮은 정보들(도로공사, 교통체증 정보)은 별도 인증 절차 없이 해당 정보를 운전자등에게 제공하도록 함으로써, V2X 통신을 통한 외부 공격시 V2V /V2I 통신으로 수신된 모든 메시지를 인증 및/또는 암호화 처리를 수행하는 경우에 비하여 신속성이 요구되는 안전 메시지에 기반한 차량내 ECU 제어를 할 경우 지연(latency)을 줄일 수 있다.

도 1은 CAN과 이더넷이 공존하는 차량 내부 네트워크의 구조의 일예를 나타낸 개념도이다.
도 2는 본 발명의 일실시예에 따른 V2X 메시지의 우선순위 고려한 차량 내 보안 처리 방법을 설명하는 순서도이다.
도 3은 본 발명의 일실시예에 따른 V2X 메시지의 우선순위를 저장하는 VLAN의 예비 영역을 설명하기 위한 차량용 이더넷 프레임 구조를 나타낸 도면이다.

도 1은 CAN과 이더넷이 공존하는 차량 내부 네트워크의 구조의 일예를 나타낸 개념도이다.

도 1을 참조하면, 진단 장비-예를 들어 OBD 단말-와 같은 외부 장치는 OBD 단자(20)에 접속하여 게이트웨이(10)를 통해 차량 내부 네트워크에 접속할 수 있다.

게이트웨이(10)는 인포테인먼트/HMI 모듈(30)과 통신을 하기 위한 제1 게이트웨이(12), 파워트레인 모듈(40) 또는 샤시 모듈(50)과 통신하기 위한 파워트레인 게이트웨이(14), 바디 모듈(60)과 통신하기 위한 바디 게이트웨이(16), 안전 모듈(70)과 통신하기 위한 안전 게이트웨이(18)로 구현될 수 있다. 또는, 게이트웨이(10)는 제1 게이트웨이(12), 파워트레인 게이트웨이(14), 바디 게이트웨이(16), 안전 게이트웨이(18)는 하나의 게이트웨이로 통합되어 구현될 수도 있다.

인포테인먼트/HMI 모듈(30)은 RSU(Rear Seat Entertainment, 35), ECU(Electronic Control Unit, 31), 헤드유닛(33)으로 구현되어 ECU(31) 및 헤드유닛(33)은 이더넷 스위치(39)를 통해 제1 게이트웨이(12)와 연결될 수 있다.

파워트레인 모듈(40)은 파워트레인 장치를 구동하기 위한 복수의 ECU(41-1, 41-2, 41-3, …)를 포함하며, CAN 및/또는 이더넷을 통하여 파워트레인 게이트웨이(14)와 연결될 수 있다.

샤시 모듈(50)은 엔지, 트랜스미션을 구동하기 위한 복수의 ECU(51-1, 51-2, 51-3, …)를 포함하며, CAN 및/또는 이더넷을 통하여 파워트레인 게이트웨이(14)와 연결될 수 있다.

바디 모듈(60)은 브레이크, 서스펜션 장치를 구동하기 위한 복수의 ECU(61-1, 61-2, 61-3, 61-4, 61-5, …)를 포함하며, CAN 및/또는 이더넷을 통하여 바디 게이트웨이(16)와 연결될 수 있다.

안전 모듈(70)은 좌석(sheet), 윈도우 락(window locks), 라이트(lights)를 구동하기 위해 CAN 버스를 통해 안전 게이트웨이(18)와 연결될 수 있다. 또한, 안전 모듈(70)은 카메라(74)와 이더넷을 통해 연결되어 카메라(74)를 구동하는 ECU(73), 레이다/카메라(72)와 이더넷을 통해 연결되어 레이다/카메라(72)를 구동하는 ECU(72)를 포함할 수 있다.

도 2는 본 발명의 일실시예에 따른 V2X 메시지의 우선순위 고려한 차량 내 보안 처리 방법을 설명하는 순서도이고, 도 3은 본 발명의 일실시예에 따른 V2X 메시지의 우선순위를 저장하는 VLAN의 예비 영역을 설명하기 위한 차량용 이더넷 프레임 구조를 나타낸 도면이다.

도 2를 참조하면, 먼저 차량 게이트웨이(200)는 V2V /V2I 통신을 통해 차량 외부로부터 수신된 메시지가 V2V 메시지인지 여부를 판단한다(단계 210).

그 다음, 차량 게이트웨이(200)는 V2V 메시지 내의 정보의 우선순위를 판단한다(단계 220). 차량 사고와 밀접하게 관련된 전방 차량 추돌 경고, 전방 차량충돌 경고(FCW), 전방차량 급감속 알림은 우선순위 높은 것으로 판단하고, 사고와 직접적으로 관련되지 않은 도로공사, 교통체증 정보는 우선순위 낮은 것으로 판단한다.

그 다음, 차량 게이트웨이(200)는 상기 우선순위에 따라 차량내 ECU를 제어한다(단계 230). 구체적으로, V2V 메시지인 경우, 사고와 밀접하게 관련된 우선순위 높은 정보들(전방 차량 추돌 경고, 전방 차량충돌 경고(FCW), 전방차량 급감속 알림)만을 대상으로 사전 인증 차량 여부 확인후 차량내 ECU를 제어하도록 하고, 사고와 직접적으로 관련되지 않은 우선순위 낮은 정보들(도로공사, 교통체증 정보)은 별도 인증 절차 없이 해당 정보를 운전자등에게 제공하도록 할 수 있다.

본 발명의 다른 실시예에서는, V2V 메시지인 경우, 사전 인증된 차량(전방 차량, 후방 차량)으로부터 온 정보, 메시지만을 기초로 차량 내부 ECU 제어할수도 있다.

도 3을 참조하면, 본 발명의 일실시예에 따른 차량용 이더넷 프레임은 목적지 주소 필드(DA; Destination Address, 401), 소스 주소 필드(SA; Source Address, 403), ETPID 필드(405), TCI 필드(410), Etype 필드(420), 데이터 필드(430), CRC 필드(440)로 구성된다.

Etype 필드(420)는 이후의 패킷 타입을 명시하기 위한 Ethernet Type 필드이다.

TCI(Tag Control Information) 필드(410)는 우선순위 필드(411), CFI(Canonical Format Identifier) 필드(413), VLAN ID 필드(415)를 포함한다.

IEEE 802.1Q (VLANs tagging) 표준은 이더넷 MAC 프레임에 VLAN Tag를 부가한 것이며, VLAN Tag는 VLAN ID(12 비트) 필드와 우선순위(3-비트) 필드의 2가지 부분으로 구성된다. 즉, VLAN Tag에는 VLAN ID와 QoS 정보를 담고 있으며,VLAN Tag 이후에 패킷 타입을 명시하기 위해 다시 Ethernet Type을 사용

CFI(Canonical Format Identifier) 필드(413)는 토큰링과 이더넷간의 호환을 위해 존재한다.

VLAN ID 필드(415)는 12비트로 4096개의 VLAN ID를 사용할 수 있다.

우선 순위 필드(411)는 QoS 정보를 포함할 수 있다. 우선 순위 필드(411)는 802.1p QoS를 적용할 수 있도록 N비트로 구성되어 최대 K개 레벨의 우선순위를 설정할 수 있도록 정의될 수 있다. 예를 들어, 우선 순위 필드(411)는 3비트로 구성되어 최대 8개 레벨의 우선순위를 설정할 수 있도록 정의될 수 있다.

데이터(430)는 IP 헤더(423) 및 IP 데이터그램으로 구성된다.

전술한 V2V 메시지 내의 정보의 우선순위 정보는 VLAN의 예비 영역에 기록해둘 수 있으며, VLAN의 예비 영역은 IP 헤더(423)내의 예비 영역, 즉 IP 옵션(425)을 사용할 수 있다.

또는 상기 우선순위 정보는 차량 제조과정에서 미리 설정될 수도 있다. 이 경우, 상기 우선순위가 높은 정보들은 차량 제조과정에서 미리 설정될 수 있다.

이더넷 기반 차량내부 네트워크 구조하에서 타 차량 인증은 차량 게이트웨이에서 미리 인증 코드를 가지고 인증 여부를 체크하도록 할 수 있다.

또한, 타 차량 인증을 위한 인증 코드는 이더넷 패킷내에 삽입하여 해당 ECU로 전송할 수 있다. 이 경우, 기존 이더넷 프레임 구조에 인증 코드를 삽입할 수 있다. 예를 들어, VLAN의 예비 영역에 인증 코드를 삽입할 수 있으며, VLAN의 예비 영역은 IP 헤더(423)내의 예비 영역, 즉 IP 옵션(425)을 사용할 수 있다.

Claims

이더넷 네트워크를 포함하는 운송 수단(vehicle) 내부 네트워크에서 V2X 메시지의 우선순위 고려한 운송 수단 내 보안 처리 방법은,
V2X 메시지 내의 정보의 우선순위를 판단하는 단계;
상기 우선순위에 따라 운송 수단내 ECU를 제어하는 단계를 포함하되,
상기 우선순위는 V2X 메시지 내의 정보가 사고와 밀접하게 관련되어 있는 정보인지 여부에 따라 판단하는 것을 특징으로 하는 이더넷 네트워크를 포함하는 운송 수단 내부 네트워크에서 V2X 메시지의 우선순위 고려한 운송 수단 내 보안 처리 방법.
제1항에 있어서, V2X 통신을 통해 운송 수단 외부로부터 수신된 메시지가 V2V 메시지인지 여부를 판단하는 단계를 더 포함하는 것을 특징으로 하는 이더넷 네트워크를 포함하는 운송 수단 내부 네트워크에서 V2X 메시지의 우선순위 고려한 운송 수단 내 보안 처리 방법.
제1항에 있어서, VLAN의 예비 영역에 상기 우선순위를 기록하는 것을 특징으로 하는 특징으로 하는 이더넷 네트워크를 포함하는 운송 수단 내부 네트워크에서 V2X 메시지의 우선순위 고려한 운송 수단 내 보안 처리 방법.
제1항에 있어서, 사고와 밀접하게 관련된 전방 차량 추돌 경고, 전방 차량충돌 경고(FCW), 전방차량 급감속 알림 중 하나는 우선순위가 높은 것으로 판단하고, 사고와 직접적으로 관련되지 않은 도로공사 정보 또는 교통체증 정보는 우선순위 낮은 것으로 판단하는 것을 특징으로 하는 이더넷 네트워크를 포함하는 운송 수단 내부 네트워크에서 V2X 메시지의 우선순위 고려한 운송 수단 내 보안 처리 방법.