[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP5651615B2 - 車載ネットワークシステム - Google Patents

車載ネットワークシステム Download PDF

Info

Publication number
JP5651615B2
JP5651615B2 JP2012031787A JP2012031787A JP5651615B2 JP 5651615 B2 JP5651615 B2 JP 5651615B2 JP 2012031787 A JP2012031787 A JP 2012031787A JP 2012031787 A JP2012031787 A JP 2012031787A JP 5651615 B2 JP5651615 B2 JP 5651615B2
Authority
JP
Japan
Prior art keywords
vehicle
network
control device
vehicle network
communication protocol
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012031787A
Other languages
English (en)
Other versions
JP2013168865A (ja
Inventor
三宅 淳司
淳司 三宅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Automotive Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Automotive Systems Ltd filed Critical Hitachi Automotive Systems Ltd
Priority to JP2012031787A priority Critical patent/JP5651615B2/ja
Priority to US14/377,625 priority patent/US20160173530A1/en
Priority to PCT/JP2013/053610 priority patent/WO2013122177A1/ja
Publication of JP2013168865A publication Critical patent/JP2013168865A/ja
Application granted granted Critical
Publication of JP5651615B2 publication Critical patent/JP5651615B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、車載ネットワークシステムに関する。
近年、乗用車、トラック、バス等には、各機能部を制御する車載ECU(Electronic Control Unit)が多数搭載されている。各ECUは車載ネットワークを介して相互接続し、協調動作する。
通常、車載ECUが搭載している制御プログラムは、車載ECUに内蔵されているマイクロコンピュータのフラッシュROM(Read Onle Memory)などの記憶装置に格納されている。この制御プログラムのバージョンは、製造者によって管理されており、正規のソフトウェアバージョンを組み合わせることにより、単独機能および車載ネットワークを通じての協調機能が正常に動作するように意図されている。
したがって、意図しないソフトウェアを搭載した車載ECU、または意図的に改竄された車載ECUが車載ネットワークに接続されることは、車両のセキュリティの観点から看過できない。
このような不正(非正規)ECUが車載ネットワーク内に存在すると、車載ECUが車載ネットワークを通じて相互に接続(一般的にはバス形態に接続)されているので、システム全体を脅威に曝すことになる。セキュリティの観点からは、例えば不正ECUによって車載ネットワークが攻撃されることを想定しなければならない。
車載ネットワークに対する攻撃には2種類考えられる。1つ目の攻撃は、不正ECUから車載ネットワークに対するDoS攻撃(Denial of Service Attack)である。DoS攻撃とは、主にインターネット上のサーバに多量の接続要求を送信して回線速度を低下させたり、過負荷でダウンさせたりすることであるが、車載ネットワークに対しては正規ECU間の通信を輻輳(トラフィックの集中)により阻害して、遅延時間の増加によりリアルタイム制御を妨害する行為を言う。
2つ目の攻撃として、通信内容の盗聴が考えられる。これには、車載ネットワークを盗聴して技術情報を盗み、その情報を利用して車載ネットワークを通じて意図しない制御を実施させようとすることも含まれている。
これら車載ネットワークに対するセキュリティ上の弱点を克服するために、上記攻撃が行われことを検知する技術が求められている。下記特許文献1には、共通鍵または共通鍵生成源を複数の車載ECU間で共有し、この情報を共有していると推定されている正規のECU間で、暗号化通信により通信を秘匿する技術が記載されている。
特開2010−11400号公報
上記特許文献1に記載されている技術では、共通鍵を用いた暗号化通信により通信を秘匿しているに過ぎず、車載ネットワークに対する不正ECUからのDoS攻撃や不正ECUによる盗聴を検出することは難しい。
また、特許文献1に記載されている技術では、車載ECU間で共通鍵による暗号化通信を実施しているので、その実現のために多大な計算機パワーが必要である。すなわち、特許文献1内で引用されているKPS(Key Predistribution System)方式に基づいて通信相手方の鍵を復元する計算資源と、その鍵による暗号化通信を実施するDES(Data Encryption Standard)方式などの共通鍵暗号を実行する計算資源が必要になる。
これらの処理は、現状の車載ECUの能力(CPUの計算能力、ROM/RAMの容量など)にとって非常に大きなリソースを要求する。したがって、特許文献1に記載されている暗号化通信を実現するためには、車載ECUのコスト上昇が避けられない。また、ハードウェア性能を向上させずに上記方式を実装すると、リアルタイム処理において大幅な処理速度低下が発生すると考えられるので、車載ECUとしての役割を果たすことが難しくなる。
現状の車載ECUを設計する際には、各ECUおよびその構成部品の原価低減を積み上げて、車両システム全体の価格戦略を摺り合わせている。車載ECU間の暗号化通信という目的に対して、これら構成部品の価格が上昇することは、到底許容できるものではない。
本発明は、上記のような課題を解決するためになされたものであり、各車載制御装置の処理負荷(およびコスト)の上昇を抑えつつ、車載ネットワークに対する不正ECUからの攻撃を検出または排除することにより、車両のセキュリティを向上させることを目的とする。
本発明に係る車載ネットワークシステムは、車載制御装置を車載ネットワークに登録させる登録装置を介して、通信規約のうち車載ネットワーク上の実装に依拠する部分を定義する定義データを、車載制御装置に配信する機能を有する通信規約発行装置を設ける。
本発明に係る車載ネットワークシステムによれば、車両ごとに独自の通信規約によって車載ネットワークの全体動作を規定し、それを知らない不正ECUが車載ネットワークに接続したことを検出する、または無断傍受されたデータを不正ECUが解釈することを妨げることができる。通信規約のうち実装に依拠する部分を変更する処理は多大な処理負荷を要するものではないので、各ECUにハードウェアリソースを追加する必要はない。また、認証済みの登録装置を介して独自の通信規約を配信することにより、高度な信頼性(プロトコルの改竄防止)を確保することができる。これにより、各車載制御装置の処理負荷およびコストを抑えつつ、車載ネットワーク全体のセキュリティを向上させることができる。
実施形態1に係る車載ネットワークシステム1000の構成図である。 通信規約発行装置103がネットワーク登録装置102を認証するシーケンスを説明する図である。 車載ネットワークに不正に接続してDoS攻撃をしかけるECUを検出する手法を説明する図である。 図3で説明したシーケンスを通信規約発行装置103の処理フローとして表したものである。 車載ネットワークを流れるデータを不正に盗聴するECUを検出する手法を説明する図である。 図5で説明したシーケンスを通信規約発行装置103の処理フローとして表したものである。 特許文献1に記載されている車載ネットワークの構成例を示す図である。 実施形態2に係る車載ネットワークシステム1000の構成例を示す図である。 本発明において車載ネットワーク202を流れるデータフレームを難読化する原理を説明する図である。 通信規約発行装置103が図1のステップS113で目標ECU101に対して配信する「車両独自プロトコル」の構造を示す図である。 近年の代表的な高機能車両が備えている車載ネットワークのネットワークトポロジー例を示す図である。
<実施の形態1>
図1は、本発明の実施形態1に係る車載ネットワークシステム1000の構成図である。車載ネットワークシステム1000は、車両の動作を制御するECUを接続する車内ネットワークである。ここでは、車両独自のプロトコルを配信する対象である目標ECU101のみを例示したが、車載ネットワークシステム1000に接続するECUの数はこれに限られるものではない。
車載ネットワークシステム1000には、目標ECU101と通信規約発行装置103が車載ネットワークを介して接続されている。また、目標ECU101を車載ネットワークに参加登録させるため、必要に応じてネットワーク登録装置102が車載ネットワークシステム1000に接続される。
ネットワーク登録装置102は、目標ECU101を車載ネットワークに参加させる装置である。車載ネットワークに参加させるとは、通信規約発行装置103が車載ネットワークの正規ECUのみに対して発行する車両独自プロトコルを、目標ECU101が備えるメモリ内に記憶させ、以後その車両独自プロトコルを用いて車載ネットワーク上で通信できるようにすることである。
ネットワーク登録装置102が目標ECU101に対してネットワーク登録処理を実施するためには、あらかじめ通信規約発行装置103による認証を受ける必要がある。ここでいう認証とは、ネットワーク登録装置102が目標ECU101を車載ネットワークに参加させる権限を有するか否かを検証する処理である。
ネットワーク登録装置102は、必ずしも車載ネットワークに常時接続されている必要はない。例えば、車両の製造工程において車載ネットワークシステム1000を構築する際に、目標ECU101を車載ネットワークに参加させる作業を実施するときのみ、ネットワーク登録装置102を手作業で車載ネットワークに接続することができる。
通信規約発行装置103は、車載ネットワークを介して目標ECU101およびネットワーク登録装置102と通信することのできる装置である。通信規約発行装置103は、上述の車両独自プロトコルを発行し、ネットワーク登録装置102を介して目標ECU101へ配信する。ここでいう車両独自プロトコルとは、車載ネットワーク上で使用される通信プロトコルのうち、車載ネットワークの実装に依拠する部分を定義するものである。具体例については後述の実施形態2で説明する。通信規約発行装置103は、ECUの1種として構成してもよいし、その他任意の通信装置として構成してもよい。
図1は、ネットワーク登録装置102が目標ECU101を車載ネットワークに参加させる手順を説明する図である。以下、図1の各ステップについて説明する。
(図1:ステップS111:認証要求)
オペレータは、ネットワーク登録装置102を操作して、目標ECU101を車載ネットワークに参加させる作業(登録処理)を開始する。ネットワーク登録装置102は、登録処理を開始すると、通信規約発行装置103に対し、自己を認証するように車載ネットワークを介して要求する。
(図1:ステップS112:車両独自プロトコルの配布)
通信規約発行装置103は、ネットワーク登録装置102から認証要求を受け取ると、所定の認証アルゴリズム(詳細は後述の図2で説明)にしたがってネットワーク登録装置102を認証する。通信規約発行装置103は、ネットワーク登録装置102の真正性を確認した場合は、車両外部に対して秘匿すべき車両独自プロトコルを定義した定義データを生成して、ネットワーク登録装置102に配信する。
(図1:ステップS113:プロトコル格納指令)
ネットワーク登録装置102は、車載ネットワークに参加させようとしている目標ECU101に対して、通信規約発行装置103から配信された定義データを中継し、これをメモリ上に格納するよう目標ECU101に対して指示する。
(図1:ステップS114:格納完了通知)
目標ECU101は、ステップS113で受け取った定義データを自局のメモリに格納し、車載ネットワークに正常に参加した旨をネットワーク登録装置102に通知する。
(図1:ステップS115:一斉動作要求)
通信規約発行装置103は、「ステップS112でネットワーク登録装置102を経由して配布しておいた車両独自プロトコルが正規ECUすべての間で共有されている」との推定に基づいて、車載ネットワークに対して一斉動作要求をブロードキャストする。目標ECU101は、この指令に基づき、ステップS113で受け取った定義データにしたがって車載ネットワークとの間で通信する。
(図1:ステップS116:不正ECUの検出)
通信規約発行装置103は、一斉動作要求(ステップS115)に従わないECUを発見する。このECUは、図3および図5で後述するように、車載ネットワークに害を及ぼうそうとする不正ECUである可能性が大きいので、これを記憶し外部にその旨の警告を発する。
<実施の形態1:ネットワーク登録装置の認証>
図2は、通信規約発行装置103がネットワーク登録装置102を認証するシーケンスを説明する図である。この認証は、本発明の信頼性の中核をなすものである。図2の認証シーケンスは、図1のステップS111に相当するものである。ここでは、公開鍵暗号方式に基づくデジタル署名を用いてネットワーク登録装置102を認証する手法を例示するが、チャレンジ&レスポンス認証など別の認証方式を用いることもできる。なお、あらかじめネットワーク登録装置102の公開鍵と秘密鍵のペアを生成し、公開鍵を通信規約発行装置103に配信しておくものとする。以下、図2の各ステップについて説明する。
(図2:ステップS201)
ネットワーク登録装置102は、例えば車載ネットワークに最初に接続した時点など、目標ECU101をネットワーク登録する動作に先立って、通信規約発行装置103に対し自己が正規端末であることを認証するように要求する。このとき、ネットワーク登録装置102の識別コード(またはそれに類する情報)を併せて送信し、自身を固有に識別する情報を通信規約発行装置103に対して明らかにする。
(図2:ステップS201:補足)
本ステップでいう正規端末とは、ネットワーク登録装置102が当該車両のメーカによって認定された正規のものであること、目標ECU101を車載ネットワークに参加登録する権限を有すること、改竄されたものでないこと、別の装置が正規のネットワーク登録端末102になりすましたものでないこと、などを保証された端末のことである。
(図2:ステップS202〜S203)
通信規約発行装置103は、認証開始処理を実行する(S202)。具体的には、疑似乱数を用いて種コードを生成し、ネットワーク登録装置102に返送する(S203)。また、ステップS201でネットワーク登録装置102から受け取った識別コードを用いて、ネットワーク登録装置102に対応する公開鍵を特定しておく。
(図2:ステップS204〜S205)
ネットワーク登録装置102は、ステップS203で認証サーバから受け取った種コードを自身の秘密鍵で署名し(S204)、署名済みコードとして通信規約発行装置103に返送する(S205)。
(図2:ステップS206)
通信規約発行装置103は、ステップS202で特定しておいた公開鍵を読み出し、これを用いてステップS205でネットワーク登録装置102から受け取った署名済みコードを復号する。通信規約発行装置103は、その復号結果とステップS203でネットワーク登録装置102に送信した種コードを比較し、両者が一致すればネットワーク登録装置102が正規端末であると判断する。両者が一致しなければ、ネットワーク登録装置102は認証許可されなかったことになる。
(図2:ステップS207〜S208)
通信規約発行装置103は、認証シーケンスが終了した旨を、確認応答としてネットワーク登録装置102に対して送信する(S207)。その後、ネットワーク登録装置102は、これから車載ネットワークに参加登録させる予定の目標ECU101に中継すべき車両独自プロトコルを発行するよう、通信規約発行装置103に対して要求する(S208)。
<実施の形態1:DoS攻撃ECUの検出>
図3は、車載ネットワークに不正に接続してDoS攻撃をしかけるECUを検出する手法を説明する図である。通信規約発行装置103は、DoS攻撃をしかける不正ECU131を検出する際には、ステップS112で車両独自プロトコルを配信した後、車載ネットワーク202に対してデータ送信を停止するよう命令するデータ送信停止コマンドを配信する。データ送信停止コマンドに従わないECUは、本来であれば車載ネットワーク202のトラフィック量を抑えるべきところ、これに反してトラフィック量を維持もしくは増加させているので、DoS攻撃をしているECUであると推定することができる。以下、図3に示す各ステップについて説明する。
図3において、不正ECU131は、車載ネットワーク202に対してDoS攻撃をしかけていると仮定する(S301)。すなわち不正ECU(131)は、正規ECU間の通信を妨害する目的で、無意味なトラフィックを車載ネットワーク202に対して定期的に注入する。
通信規約発行装置103と目標ECU101(図3では便宜上、正規ECU101と表記している)との間では、車両独自プロトコルに準拠した上で、上述の「データ送信停止コマンド」を規約し共有したものとする(S302)。「データ送信停止コマンド」は、図1のステップS112で配信した車両独自プロトコルにしたがって発行されるので、車載ネットワーク202に接続される正規ECU101のみの間で秘密裏に共有され、車両外部には公開されていない情報である。したがって、同コマンドは不正ECU131には知られていない。
通信規約発行装置103は、車両の特定運転モード(一例として車両制御に影響の少ないイグニッションキーOFF時やサービス工場におけるメンテナンスモード等)で、前述の「データ送信停止コマンド」を車載ネットワーク202に対して一斉送信する(S303)。
正規ECU101は、通信規約発行装置103が送信した「データ送信停止コマンド」にしたがって、車載ネットワーク202に対するデータ送信を一斉に停止する(S304)。もっとも、正規ECU101から自発的に発信するデータのみ送信停止すればよいので、正規ECU101が受信したデータに対するACK応答などは引き続き送信できるようにしてもよい。
不正ECU131は、ネットワーク登録装置101が配信する車両独自プロトコルを受け取っていないので、「データ送信停止コマンド」を解釈することができない。したがって、妨害トラフィックを送信し続ける。通信規約発行装置103は、この協調逸脱を検出することによって、車載ネットワーク202がDoS攻撃を受けていることを認識する(S305)。
図4は、図3で説明したシーケンスを通信規約発行装置103の処理フローとして表したものである。以下、図4の各ステップについて説明する。
(図4:ステップS401)
通信規約発行装置103は、不正ECUを検知するのに適したタイミングであるか否かを判定する。これは、図3で説明した車両の特定運転モード(一例として車両制御に影響の少ないイグニッションキーOFF時やサービス工場におけるメンテナンスモード等)であるかどうかの判定に相当する。不正ECUの検出は、車載ネットワークを普段とは違う状態に遷移させて実施する能動的(モニタを行うなどの受動的・非破壊的な測定ではない)計測なので、安全性に配慮して、車両制御が所定時間失われてもよいタイミングに限定される。そこで本ステップにおいて、不正ECUを検知するのに適したタイミングであるか否かを判定することにした。不正ECUを検知するのに適したタイミングであればステップS402に進み、そうでなければ本ステップで待機する。
(図4:ステップS402〜S403)
通信規約発行装置103は、図3で説明した「データ送信停止コマンド」を車載ネットワーク202にブロードキャストして正規ECUからのデータ送信を一斉停止させるとともに(S402)、計測用タイマを初期化する(S403)。
(図4:ステップS404)
通信規約発行装置103は、一斉送信を停止中であるにもかかわらず送信を継続しているECUが存在するかどうかを確認する。存在する場合はDoS攻撃を受けていると見なしてステップS405へ進み、検出しなかった場合はステップS406へ進む。
(図4:ステップS405)
通信規約発行装置103は、DoS攻撃を検出した旨をメモリなどに記録し、後の適当な時点でその旨の警告を発信する。
(図4:ステップS406)
通信規約発行装置103は、ステップS403で設定した計測用タイマがタイムアウトしたかどうかをチェックする。タイムアウトしていなければステップS404へ戻って同様の処理を繰り返す。タイムアウトしている場合はステップS407へ進む。
(図4:ステップS407)
通信規約発行装置103は、「データ送信回復コマンド」をブロードキャストし、車載ネットワーク202を通常の状態に復帰させて、本処理フローを終了する。「データ送信回復コマンド」を受け取った正常ECU101は、「データ送信停止コマンド」を受け取る前の状態に復帰する。
<実施の形態1:盗聴ECUの検出>
図5は、車載ネットワークを流れるデータを不正に盗聴するECUを検出する手法を説明する図である。通信規約発行装置103は、盗聴をしかける不正ECU131を検出する際には、ステップS112で車両独自プロトコルを配信した後、データを受信したときにACK(ACKnowledgement)信号を返信することを停止するよう命令する、受信ACK返信停止コマンドを配信する。ACK信号とは、車載ネットワークの自動再送プロトコルにおける受信確認のために用いられる応答信号である。
車載ネットワークでよく使用されるCAN(Controller Area Network)などの通信プロトコルは、データを自動再送するメカニズムをもっているものが多い。このメカニズムを備えた通信プロトコルにおいては、データを正常受信したノードは送信ノードに対してACK信号を返信する。送信ノードは、ACK信号の返信があるまで、データが途中で失われたと仮定してデータを自動的に再送する。これは一種のハンドシェイクを実現したプロトコルであり、データ通信の信頼性を向上させるための代表的な手法である。
図5において、不正ECU131は車載ネットワーク202に対して盗聴をしかけているものとする(S501)。不正ECU131は、車載ネットワーク202を流れるデータフレームに対して、正規ECU101と同様にACK信号を返信し、データ送信を進行させるよう促しているものとする(S502)。
通信規約発行装置103と正規ECU101との間では、車両独自プロトコルに準拠した上で、上述の「受信ACK返信停止コマンド」を規約し共有したものとする(S503)。「受信ACK返信停止コマンド」は、図1のステップS112で配信した車両独自プロトコルにしたがって発行されるので、車載ネットワーク202に接続される正規ECU101のみの間で秘密裏に共有され、車両外部には公開されていない情報である。したがって、不正ECU131には知られていない。
通信規約発行装置103は、車両の特定運転モード(一例として車両制御に影響の少ないイグニッションキーOFF時やサービス工場におけるメンテナンスモード等)で前述の「受信ACK返信停止コマンド」を車載ネットワーク202に対して一斉送信する(S504)。
正規ECU101は、通信規約発行装置103が送信した「受信ACK返信停止コマンド」にしたがって、車載ネットワーク202に対するデータ送信を一斉に停止する(S505)。ACK返信を停止するためには、例えば各正規ECU101における通信デバイスや通信ドライバ(図示せず)を、あらかじめ車載ネットワークシステム1000全体で合意した所定期間、車載ネットワーク202から切り離せばよい。これにより、正規ECU101は通信データを送信することができなくなるので、結果としてACK信号も返信しないことになる。
通信規約発行装置103は、「受信ACK返信停止コマンド」を配信した後、適当なダミーデータフレームを車載ネットワーク202に対して送信する。不正ECU131は、ネットワーク登録装置102が配信する車両独自プロトコルを配布されることなくネットワークに参加しているので、「受信ACK返信停止コマンド」を解釈することができない。したがって、不正ECU131はダミーデータフレームに対してACK信号を返信する。この協調逸脱を検出することによって、車載ネットワーク202に対して盗聴をしかけている不正ECU131が存在することを認識する(S506)。
図6は、図5で説明したシーケンスを通信規約発行装置103の処理フローとして表したものである。以下、図6の各ステップについて説明する。
(図6:ステップS601〜S603)
ステップS601は、S401と同様である。ステップS602において、通信規約発行装置103は、図5で説明した「受信ACK返信停止コマンド」を車載ネットワーク202にブロードキャストして正規ECU101を車載ネットワーク202より切り離す。ただしこの動作は時間期限付きとし、各正規ECU101は所定時間後に元の車載ネットワーク202に再接続してデッドロックを防ぐ。ステップS603ではS403と同様に計測用タイマを初期化するが、この計測用タイマのタイムアウト時間(盗聴計測時間)は、ステップS602を契機とする正規ECUの車載ネットワークからの切り離しの期限よりも小さいものとする。
(図6:ステップS604〜S605)
通信規約発行装置103は、受信ACKの返信が停止しているか否かを確かめるため、ダミー送信フレームを車載ネットワーク202にブロードキャストする(S604)。通信規約発行装置103は、受信ACKを返信することを停止しているにもかかわらず、ステップS604のダミー送信フレームに対してACK信号を返信するECUが存在するか否かをチェックする(S605)。存在する場合はステップS606へ進み、存在しない場合はステップS607へ進む。
(図6:ステップS606)
通信規約発行装置103は、盗聴を検出した旨をメモリなどに記録し、後の適当な時点でその旨の警告を発信する。
(図6:ステップS607)
通信規約発行装置103は、ステップS603で設定した計測用タイマがタイムアウトしたかどうかをチェックする。タイムアウトしていなければステップS604へ戻って同様の処理を繰り返す。タイムアウトしている場合は本処理フローを終了する。
(図6:ステップS606もしくはステップ607その後の補足)
ステップS602で配信する「受信ACK返信停止コマンド」は時間期限が付されているので、正規ECU101はその期限経過後に自律的に車載ネットワーク202へ再接続する。したがって、ステップS407に相当するステップを明示的に設ける必要はない。
<実施の形態1:まとめ>
以上のように、本実施形態1に係る車載ネットワークシステム1000において、通信規約発行装置103は、厳密に真正性を検証可能なネットワーク登録装置102を経由して、目標ECU101に車両独自プロトコルを配布することができる。これにより、多大な計算資源を消費することなく、現状のECUコストを増加させずにDoS攻撃や盗聴を検出することができる。
<実施の形態2>
本発明の実施形態2では、実施形態1で説明した車載ネットワークシステム1000の具体的な構成例について説明する。また、車両独自プロトコルにより、不正ECU131を検出するのみならず、通信データを難読化する機能について説明する。
以下、本実施形態2に係る車載ネットワークシステム1000(図8)と、特許文献1に記載されている従来例(図7)とを比較し、物理的構成や処理内容に関する違いを説明する。
<実施の形態2:従来例の説明>
図7は、特許文献1に記載されている車載ネットワークの構成例を示す図であり、本実施形態2と対比するために記載したものである。図7において、車載ネットワーク202の中にECUマスタ105が存在しており、これが車両ごとの識別番号{車両ID}を保持している。
ECUマスタ105は、初期化処理を実施するとき、車載ネットワーク202の外部に設置されているセンターサーバ203に対して、{車両ID,ECU−ID,ソフトウェアバージョン}の情報をセットにして、{共通鍵生成源}を配信するよう要求する(ステップS711)。ECU−IDはECUマスタ105の識別子であり、ソフトウェアバージョンはECUマスタ105が搭載しているソフトウェアのバージョンである。
センターサーバ203は、その要求に応じて{共通鍵生成源}を配布する(ステップS712)。これらのやり取りは、ECUマスタ105内部に固定的に設定された初期化鍵によって暗号化されている(外部通信F221)。
センターサーバ203より配布される{共通鍵生成源}は、車載ネットワーク202に属するECU間の通信のみに使われる「共通鍵を導出する情報源」である。{共通鍵生成源}は、センターサーバ203と通信する際には用いられない。
ECUマスタ105以外の車載ネットワークに属する目標ECU101は、ECUマスタ105より{車両ID}を入手する。この時点では、目標ECU101は{共通鍵生成源}を入手していないので、目標ECU101は暗号化を実施せずにECUマスタ105と通信する(ステップS713)。
目標ECU101は、ECUマスタ105より受け取った{車両ID}を用いて、{車両ID,ECU−ID,ソフトウェアバージョン}のセットを組み立て、センターサーバ203に対して、{共通鍵生成源}を配信するよう要求する(ステップS714)。ECU−IDは目標ECU101の識別子であり、ソフトウェアバージョンは目標ECU101が搭載しているソフトウェアのバージョンである。
センターサーバ203は、その要求に応じて{共通鍵生成源}を配布する(ステップS715)。これらのやり取りは、目標ECU101内部に固定的に設定された初期化鍵によって暗号化されている(外部通信F222)。
以上の構成より、特許文献1における方式には次のような脆弱性が存在することが明らかとなる。
(脆弱性1)車載ネットワーク202に属する全てのECUは、初期化処理を実施するとき、車載ネットワーク202の外部に配置されているセンターサーバ203と接続して{共通鍵生成源}の配布を受ける。そのため、初期化処理中にセンターサーバ203との間の接続が断たれた場合は、有効な車載ネットワークを構成することができない。
(脆弱性2)センターサーバ203は、全ての車両の{車両ID,ECU−ID,ソフトウェアバージョン}と{共通鍵生成源}のセットを管理している。そのため、センターサーバ203が不正に侵入されると、全ての車両の鍵が流出する。また、故意・過失を問わずセンターサーバ203に障害が発生すると、全ての車両の鍵が紛失する危険を伴う。
(脆弱性3)初期化処理を実施するときの暗号化通信(外部通信F221および外部通信F222)が脆弱である。そのため、{共通鍵生成源}の配布をうける際に、ECUとセンターサーバ203との間の相互認証がセキュアではない。これは、部品として量産されるECUハードウェアの制約上、固定的でバリエーションの少ない暗号化鍵を使わざるを得ない特性に起因する。したがって、この暗号化鍵が破られると、センターサーバ203については特定車両の鍵情報が流出するおそれがあり、車載ECUについては悪意の第3者が偽りの鍵情報を配布することにより車載ネットワークへの妨害などが発生し得る。
(脆弱性4)初期化処理を実施するときのECUマスタ105から目標ECU101の間の{車両ID}の流れ(ステップS313)は暗号化されていないので、車載ネットワーク202の外部から容易にキャプチャすることができる。これは、{車両ID,ECU−ID,ソフトウェアバージョン}のセット(ステップS311およびステップS314で使用)を悪意の第3者が類推する糸口になる。
また、共通鍵暗号化方式を用いてECU間で通信するので、以下に示す方式上の課題がある。
(課題1){共通鍵生成源}から特定の演算によって通信相手のECUとの間の共通鍵を導出するため(通信相手のECUによってこの共通鍵は異なる)、この鍵導出演算に処理時間が必要となる。また、共通鍵暗号化通信に際しても、その暗号化・復号化を実施するために本来の制御処理に加えて追加の処理時間が必要となり、処理時間の増加によってリアルタイム性が損なわれる。
(課題2)共通鍵暗号化方式は、通信効率が悪い。暗号化すべき信号が短い場合、総当り攻撃から暗号通信を保護するため、ある程度の長さのメッセージ長になるまで信号にパディングする。これが通信効率を低下させる原因になり、単位時間当たりの通信情報量が低下する。
(課題3)リアルタイム制御のデータ通信のために共通鍵暗号方式を用いること自体がオーバースペックである。共通鍵暗号方式は、人間が用いる(読んで意味のわかる)メッセージを暗号化するために考案されたものであり、辞書攻撃を避けるために如何に平文をスクランブル化するかが要点である。翻ってリアルタイム制御のデータ通信は、人間が読んで意味のあるメッセージを用いるものではない(たとえばA/D変換値など)。したがって、個々の車両独自で、通信データフレーム上における特定のデータマッピングの位置をずらす、交換するなどの変更のみでも、データフレームの難読化に対して十分効果があるものと思われる。
<実施の形態2:本発明の説明>
図8は、本実施形態2に係る車載ネットワークシステム1000の構成例を示す図である。車載ネットワーク202に、通信規約発行装置103が設置されている。この車載ネットワーク202に新たな目標ECU101を参加させる手順を詳述する。
オペレータは、ネットワーク登録装置102を接続用車両コネクタ104に接続し、通信規約発行装置103と通信して認証を受ける。このときオペレータは、これから車載ネットワーク202に参加させようとしている目標ECU101のECUI−IDなどをネットワーク登録装置102上で入力し、通信規約発行装置103に送信する。この手順は、図1のステップS111に相当する。
通信規約発行装置103は、ネットワーク登録装置102の真正性を厳密に審査・検証する。通信規約発行装置103は、ネットワーク登録装置102が正規のものであることを確認した場合は、これからネットワークに接続される目標ECU101が共有すべき{車両独自プロトコル}を発行する(ステップS112)。
ネットワーク登録装置102は、この{車両独自プロトコル}を目標ECU101に中継して格納させる(ステップS113)。以上の手順により、通信規約発行装置103と目標ECU101(車載ネットワーク202に参加する正規ECU)との間で{車両独自プロトコル}が安全に共有される。
以上説明した本発明のメカニズムにより、先に説明した従来例における脆弱性は、以下に示すように改善される。先に説明した脆弱性に対応する改善点を、脆弱性と同じ順番で説明する。
(脆弱性の改善点1)各ECUが実施する通信は、車載ネットワーク202内部でクローズしており、車両外部との間の通信は実施されない。したがって、車載ネットワーク202に対して不正侵入を受ける機会も、情報漏洩を発生させる機会も少ない。
(脆弱性の改善点2)車載ネットワーク202内のプロトコル情報は、車両ごとに内蔵されている通信規約発行装置103が管理する。したがって、センターサーバ203に全車両の情報を集約させることによる脆弱性は存在しない。また、{車両独自プロトコル}は車両ごとに独立してユニークであり、これが流出しても他車両に対するセキュリティ上の懸案事項は発生しない。
(脆弱性の改善点3)初期化処理を実施するときの{車両独自プロトコル}の発行および中継は、厳密に相互認証を実施した通信規約発行装置103とネットワーク登録装置102の間で実施される。したがって、悪意の第3者による妨害などのセキュリティリスクは少ない。
(脆弱性の改善点4)車載ネットワーク202のメンバを構成するECUの識別情報、例えば{車両ID,ECU−ID,ソフトウェアバージョン}は、本発明ではECU間でやり取り不要である。そのため、車載ネットワーク202を介して他ECUにこれら識別情報を開示する必要がない。したがって、これら情報の漏洩リスクに対して頑健である。
また、共通鍵暗号化方式に基づく公知例の方式上の課題は、以下のように解消されている。
(課題1の改善点)通信プロトコルを車載ネットワーク毎に変えることによりデータフレームを難読化するので、共通鍵暗号を使用しているわけではない。したがって、共通鍵導出のために要する処理時間や暗号化・復号化のために要する処理時間は必要ない。
(課題2の改善点)本発明に係る手法は、通信効率を低下させない。つまり共通鍵暗号化方式に際して必要となるパディングによって、時間当たりの情報伝達量に占める本来の送信データの割合は低下しない。
(課題3の改善点)通信傍受を妨害し、あるいはデータフレームを難読化する観点においては、本発明に係る手法は、リアルタイム制御の通信に適しており、実装しやすくバランスがよいといえる。すなわち、ベースとなるデータ通信に対して、送信ID、データパッキング順序、フラグ位置などを車両ごとに変化させるだけであるため、CPUの処理負荷増加をもたらすことがなく、ROM/RAM等どんな追加の計算機資源も要求しない。
<実施の形態2:難読化の原理まとめ>
図9は、本発明において車載ネットワーク202を流れるデータフレームを難読化する原理を説明する図である。通信規約発行装置103は、図1のステップS113で目標ECU101に対して配信する「車両独自プロトコル」内において、送信パケットのID、ペイロード部分のサイズ、ペイロード内のデータ配置、などのように、車載ネットワーク202上における実装に依拠する部分を定義してもよい。
この定義は、通信規約発行装置103と正規ECU101との間のみで共有された情報であり、外部に対して秘匿されているので、外部機器は入手しようがない。したがって、外部から不正に接続された不正ECU131は、車載ネットワーク202を流れるデータ通信を傍受しても、その解釈が車両ごとに異なるのでデータの意味を解読することができない。すなわち、暗号化などの算術アルゴリズムを用いずに、通信データを難読化することができる。
図10は、通信規約発行装置103が図1のステップS113で目標ECU101に対して配信する「車両独自プロトコル」の構造を示す図である。図10ではCANのデータフレーム1010を一例として示した。
一般的な車載ネットワーク用のデータフレームには、フレームの種別を識別する送信ID(F1011)とデータ格納部分(F1012)とが規定されている。CAN方式においても図10に図示するように同様である。これら2つの属性(データを識別するIDとその格納位置)と、車両の制御で用いられている意味論的なデータ名1020との間の対応関係は、車載ネットワーク202上の実装に依拠するものである。「車両独自プロトコル」は、上述の対応関係を規定する定義データである。
この定義データを通信規約発行装置103と目標ECU101との間で秘密裏に共有することにより、車載ネットワーク202独自の通信プロトコルを構成することができる。2つの属性双方について定義データにより対応関係を変化させてもよいし、いずれか一方の属性のみ対応関係を変化させてもよい。
図10では、データ名1020として、たとえばエンジン回転数、水温、診断コマンドなどのデータ名(制御変数名)と、変数の値を保持するためにメモリ上で占有されるデータ長とを併せたものを想定しているが、これらはあくまでも変数属性の一例であってこれに限定されるものではない。
データ名1020とID(F1011)の対応関係を定義したもの(1030)、およびデータ名1020とデータ格納部分(F1012)におけるデータの開始位置の対応関係を定義したもの(1040)を、相互に関連付けて表形式で記述したものが、本発明における「車両独自プロトコル表」(1050)である。
通信規約発行装置103が「車両独自プロトコル表」1050を生成するに際しては、乱数もしくは車両識別番号(生産車両個々にユニークに付けられる番号)をハッシュ関数で処理した値などを用いて、上記対応関係を再現(類推)することが困難であるようにすることが、セキュリティ上重要となる。例えば、データ名1020と対応付けることができるIDの候補のなかから、上記のようにハッシュ関数などを用いていずれかの候補を選択するとよい。これにより、選択過程を推測することが困難となるので、難読化の度合いを高めることができる。
「車両独自プロトコル表」1050は、配信先の目標ECU101に関連のあるデータ項目のみを記述するようにしてもよい。例えば、通信規約発行装置103が「車両独自プロトコル表」のうち目標ECU101に関連のある部分のみを抽出して作成したサブセットを配信するようにしてもよい。
<実施の形態2:まとめ>
以上のように、本実施形態2に係る車載ネットワークシステム1000において、通信規約発行装置103は、車載ネットワーク202に繋がる全ての車載ECUが使用する車両独自プロトコル情報を記憶し管理することができる。この管理形態は、特許文献1のように全車両の情報を集約する外部サーバなどを用いず、各車両が自己の識別情報を個別に保持する分散制御として構成される。したがって、情報管理形態としてロバストであり、個別車両の通信規約発行装置103が破られても、セキュリティ危機が全車両に波及することがない。
また、本実施形態2に係る車載ネットワークシステム1000において、目標ECU101を車載ネットワーク202に参加させる際に、信頼できるネットワーク登録装置102の力を借りて、安全に車両独自プロトコルを写生制御装置間で共有することができる。これにより、車両独自プロトコル情報が外部に漏洩するリスクを最小限に抑えることができる。
また、本実施形態2に係る車載ネットワークシステム1000においては、特許文献1のように、秘匿通信という目的に対して、高度な暗号化通信(一般の共通鍵暗号や公開鍵暗号)や共通鍵配信技術(KPS方式など)を利用することがないので、現状のECUにおけるCPU/ROM/RAMの計算リソースを追加消費せず、ひいては現状に対する実装コストを増加させることもない。
以上述べたように、本発明に係る車載ネットワークシステム1000は、秘匿通信機能を現状のネットワークシステムに簡便に付加して外部からの盗聴や情報漏洩を防ぐためには、現時点で最もコストパフォーマンスに優れた方式であると言うことができる。
<実施の形態3>
図11は、近年の代表的な高機能車両が備えている車載ネットワークのネットワークトポロジー例を示す図である。ネットワーク登録装置(ソフトウェア書換装置が兼任)102、通信規約発行装置103、各ECUなどの構成および動作は、実施形態1〜2と同様である。
図11において、4群のネットワークが搭載されており、各々通信ゲートウェイ(ゲートウェイECU)201によってネットワークが束ねられている。図11では、ゲートウェイECU201を中心にしてスター型のネットワーク配置を採用しているが、ゲートウェイECU201を複数段設けてカスケード型の接続形態を採用してもよい。
図11に示す車載ネットワークには、駆動系ネットワーク301、シャーシ/安全系ネットワーク305、ボディ/電装系ネットワーク309、AV/情報系ネットワーク313が搭載されている。
駆動系ネットワーク301の配下には、エンジン制御ECU302、AT(Automatic Transmission)制御ECU303、HEV(Hybrid Electric Vehicle)制御ECU304が接続されている。シャーシ/安全系ネットワーク305の配下には、ブレーキ制御ECU306、シャーシ制御ECU307、ステアリング制御ECU308が接続されている。ボディ/電装系ネットワーク309の配下には、計器表示ECU310、エアコン制御ECU311、盗難防止制御ECU312が接続されている。AV/情報系ネットワーク313の配下には、ナビゲーションECU314、オーディオECU315、ETC/電話ECU316が接続されている。
また、車両と外部との間で情報を送受信するため、車外通信部317が車外情報用ネットワーク322によってゲートウェイECU201に接続されている。車外通信部317には、ETC無線機318、VICS(Vehicle Information and Communication System)無線機319、TV/FM無線機320、電話用無線機321が接続されている。
ネットワーク登録装置102は、車両が備えている接続用車両コネクタ104を介して、車外情報用ネットワーク322の1ノードとして接続するように構成されている。これに代えて、他のネットワーク(駆動系ネットワーク301、シャーシ/安全系ネットワーク305、ボディ/電装系ネットワーク309、AV/情報系ネットワーク313)またはゲートウェイECU201に単独で接続してもよい。すなわち、機械的な配置は無関係であって、直接もしくはゲートウェイECU201を介して目標ECUに対して電気信号が到達すればよい。
電話用無線機321を通じてネットワーク越しに車外通信網からネットワーク登録装置102の機能を実施することもできる。例えば、通信規約発行装置103に対する車両独自プロトコルの再発行申請や目標ECU101に対する車両独自プロトコルの再格納指令などが考えられる。この場合においても、上述の実施形態1〜2と同様の手法を用いることができる。
電話網越しやインターネット越しにECUのソフトウェアを書き換える手法は、リコールなどの不具合対応に際してその実施コストを下げる重要技術であって、将来的にありふれた手法になることが予想される。
したがって、本発明で開示する技術を用いることによって、このソフトウェア書き換え後に引き続いて、リモートで通信規約発行装置103の車両独自プロトコルの再発行を受け、リモートでソフトウェア書き換え後の車載ECUを正しくネットワークに再登録することができる。
図11では、通信規約発行装置103を通信ゲートウェイECU201の配下に直接接続したが、通信規約発行装置103のネットワーク上の位置は任意でよい。すなわち、電気信号的な接続が確保できるのであれば、他のネットワーク(駆動系ネットワーク301、シャーシ/安全系ネットワーク305、ボディ/電装系ネットワーク309、AV/情報系ネットワーク313、車外情報用ネットワーク322など)に直接接続してもよい。
ただし、以下の二つの観点で通信ゲートウェイECU201が通信規約発行装置103の役割を兼ねることが望ましい。(この機能統合は図11中の破線1101で示す。)
(1)図1の認証シーケンスS111および図2が失敗したとき、ネットワーク登録装置102からの通信を、目標ECU101が属する車載ネットワーク(駆動系ネットワーク301、シャーシ/安全系ネットワーク305、ボディ/電装系ネットワーク309、AV/情報系ネットワーク313)から電気的に切り離すことができる。この構成を用いることによって、いわゆるファイヤーウォール(防火壁)機能を通信ゲートウェイ201に付与することになるので、車載ネットワークに対する外部からの侵入リスクを低下させ、セキュリティをさらに向上させることができる。
(2)車両の不正改造・特定車載ECUの改竄などの目的で、通信規約発行装置103が車載ネットワークから除去される行為を防がなければならない。その目的では、通信ゲートウェイECU201と通信規約発行装置103が機能統合されており、一つのECUであることは望ましい。なぜなら、通信規約発行装置103を除去すると、複数の車載ネットワークにまたがる相互の通信が実施できなくなるからである。
以上、本発明者によってなされた発明を実施形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることは言うまでもない。例えば、実施形態2では通信プロトコルの例としてCANを取り上げたが、その他のACK応答を返信する通信プロトコルを用いることもできる。例えばethernet(登録商標)上のTCP/IP(Transmission Control Protocol/Internet Protocol)などが考えられる。あるいは、電気自動車における車載ネットワークにも本発明を適用することができる。
また、上記各構成、機能、処理部などは、それらの全部または一部を、例えば集積回路で設計することによりハードウェアとして実現することもできるし、プロセッサがそれぞれの機能を実現するプログラムを実行することによりソフトウェアとして実現することもできる。各機能を実現するプログラム、テーブルなどの情報は、メモリやハードディスクなどの記憶装置、ICカード、DVDなどの記憶媒体に格納することができる。
101:目標ECU、102:ネットワーク登録装置、103:通信規約発行装置、104:接続用車両コネクタ、201:通信ゲートウェイ、202:車載ネットワーク、301:駆動系ネットワーク、302:エンジン制御ECU、303:AT制御ECU、304:HEV制御ECU、305:シャーシ/安全系ネットワーク、306:ブレーキ制御ECU、307:シャーシ制御ECU、308:ステアリング制御ECU、309:ボディ/電装系ネットワーク、310:計器表示ECU、311:エアコン制御ECU、312:盗難防止制御ECU、313:AV/情報系ネットワーク、314:ナビゲーションECU、315:オーディオECU、316:ETC/電話ECU、317:車外通信部、318:ETC無線機、319:VICS無線機、320:TV/FM無線機、321:電話用無線機、1000:車載ネットワークシステム、1050:車両独自プロトコル表。

Claims (7)

  1. 車載ネットワーク上で用いられる通信規約のうち前記車載ネットワーク上における実装に依拠する部分を定義する定義データを格納するメモリを備えた車載制御装置と、
    前記車載制御装置に対して前記定義データを発行する通信規約発行装置と、
    を有し、
    前記通信規約発行装置は、
    前記車載制御装置を前記車載ネットワークに参加させる登録装置から、前記車載制御装置を前記車載ネットワークに参加させるよう要求する登録要求を受け取ると、前記登録装置に対する認証を実施した上で、前記車載ネットワーク上における実装に準拠した前記定義データを作成して前記登録装置に返信し、
    前記登録装置は、
    前記通信規約発行装置が送信した前記定義データを受け取り、受け取った前記定義データを前記メモリ上に格納するよう前記車載制御装置に対して要求し、
    前記車載制御装置は、
    前記登録装置から定義データを受け取って前記メモリ上に格納し、前記定義データが定義する前記部分にしたがって、前記通信規約に準拠して前記車載ネットワークを用いて通信し、
    前記通信規約発行装置は、
    前記登録装置が前記定義データを前記車載制御装置に対して送信した後、
    前記車載制御装置が前記車載ネットワークに対してデータを送信することを停止させるデータ送信停止命令を前記車載ネットワークに対してブロードキャスト送信することにより、前記車載ネットワークに対する前記車載制御装置の動作を制御し、
    前記通信規約発行装置は、
    前記データ送信停止指令を前記車載ネットワークに対して送信した後、前記データ送信停止指令に従わない車載制御装置を検出した場合、不正な車載制御装置が干渉もしくは妨害の目的で前記車載ネットワークに接続しているとみなして、その旨の警告を発信する
    ことを特徴とする車載ネットワークシステム。
  2. 車載ネットワーク上で用いられる通信規約のうち前記車載ネットワーク上における実装に依拠する部分を定義する定義データを格納するメモリを備えた車載制御装置と、
    前記車載制御装置に対して前記定義データを発行する通信規約発行装置と、
    を有し、
    前記通信規約発行装置は、
    前記車載制御装置を前記車載ネットワークに参加させる登録装置から、前記車載制御装置を前記車載ネットワークに参加させるよう要求する登録要求を受け取ると、前記登録装置に対する認証を実施した上で、前記車載ネットワーク上における実装に準拠した前記定義データを作成して前記登録装置に返信し、
    前記登録装置は、
    前記通信規約発行装置が送信した前記定義データを受け取り、受け取った前記定義データを前記メモリ上に格納するよう前記車載制御装置に対して要求し、
    前記車載制御装置は、
    前記登録装置から定義データを受け取って前記メモリ上に格納し、前記定義データが定義する前記部分にしたがって、前記通信規約に準拠して前記車載ネットワークを用いて通信し、
    前記通信規約発行装置は、
    前記登録装置が前記定義データを前記車載制御装置に対して送信した後、
    前記車載制御装置が送達確認応答を返信することを停止させるACK返信停止命令を前記車載ネットワークに対してブロードキャスト送信することにより、前記車載ネットワークに対する前記車載制御装置の動作を制御する
    ことを特徴とする車載ネットワークシステム。
  3. 前記通信規約発行装置は、
    前記ACK返信停止命令を前記車載ネットワークに対して送信した後、前記ACK返信停止命令に従わない車載制御装置を検出した場合、不正な車載制御装置が盗聴の目的で前記車載ネットワークに接続しているとみなして、その旨の警告を発信する
    ことを特徴とする請求項記載の車載ネットワークシステム。
  4. 車載ネットワーク上で用いられる通信規約のうち前記車載ネットワーク上における実装に依拠する部分を定義する定義データを格納するメモリを備えた車載制御装置と、
    前記車載制御装置に対して前記定義データを発行する通信規約発行装置と、
    を有し、
    前記通信規約発行装置は、
    前記車載制御装置を前記車載ネットワークに参加させる登録装置から、前記車載制御装置を前記車載ネットワークに参加させるよう要求する登録要求を受け取ると、前記登録装置に対する認証を実施した上で、前記車載ネットワーク上における実装に準拠した前記定義データを作成して前記登録装置に返信し、
    前記登録装置は、
    前記通信規約発行装置が送信した前記定義データを受け取り、受け取った前記定義データを前記メモリ上に格納するよう前記車載制御装置に対して要求し、
    前記車載制御装置は、
    前記登録装置から定義データを受け取って前記メモリ上に格納し、前記定義データが定義する前記部分にしたがって、前記通信規約に準拠して前記車載ネットワークを用いて通信し、
    前記通信規約発行装置は、
    前記車載ネットワーク上におけるデータの種類を定義するIDと、前記データの種類の名称を記述するデータ名との間の対応関係を定義する前記定義データを発行し、
    前記車載制御装置は、
    前記定義データが定義する前記対応関係にしたがって、前記データの種類に対応する前記IDを用いて前記車載ネットワークとの間で通信する
    ことを特徴とする車載ネットワークシステム。
  5. 車載ネットワーク上で用いられる通信規約のうち前記車載ネットワーク上における実装に依拠する部分を定義する定義データを格納するメモリを備えた車載制御装置と、
    前記車載制御装置に対して前記定義データを発行する通信規約発行装置と、
    を有し、
    前記通信規約発行装置は、
    前記車載制御装置を前記車載ネットワークに参加させる登録装置から、前記車載制御装置を前記車載ネットワークに参加させるよう要求する登録要求を受け取ると、前記登録装置に対する認証を実施した上で、前記車載ネットワーク上における実装に準拠した前記定義データを作成して前記登録装置に返信し、
    前記登録装置は、
    前記通信規約発行装置が送信した前記定義データを受け取り、受け取った前記定義データを前記メモリ上に格納するよう前記車載制御装置に対して要求し、
    前記車載制御装置は、
    前記登録装置から定義データを受け取って前記メモリ上に格納し、前記定義データが定義する前記部分にしたがって、前記通信規約に準拠して前記車載ネットワークを用いて通信し、
    前記通信規約発行装置は、
    前記車載ネットワーク上で送受信されるデータの種類毎のサイズおよびパケット上のデータ配置位置と、前記データの種類の名称を記述するデータ名との間の対応関係を定義する前記定義データを発行し、
    前記車載制御装置は、
    前記定義データが定義する前記対応関係にしたがって、前記データの種類に対応する前記サイズおよび配置位置を用いて前記車載ネットワークとの間で通信する
    ことを特徴とする車載ネットワークシステム。
  6. 前記通信規約はCANであることを特徴とする請求項1から5いずれか1項記載の車載ネットワークシステム。
  7. 前記通信規約はethernet上で稼働するTCP/IPプロトコルであることを特徴とする請求項1から6いずれか1項記載の車載ネットワークシステム。
JP2012031787A 2012-02-16 2012-02-16 車載ネットワークシステム Active JP5651615B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2012031787A JP5651615B2 (ja) 2012-02-16 2012-02-16 車載ネットワークシステム
US14/377,625 US20160173530A1 (en) 2012-02-16 2013-02-13 Vehicle-Mounted Network System
PCT/JP2013/053610 WO2013122177A1 (ja) 2012-02-16 2013-02-15 車載ネットワークシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012031787A JP5651615B2 (ja) 2012-02-16 2012-02-16 車載ネットワークシステム

Publications (2)

Publication Number Publication Date
JP2013168865A JP2013168865A (ja) 2013-08-29
JP5651615B2 true JP5651615B2 (ja) 2015-01-14

Family

ID=48984286

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012031787A Active JP5651615B2 (ja) 2012-02-16 2012-02-16 車載ネットワークシステム

Country Status (3)

Country Link
US (1) US20160173530A1 (ja)
JP (1) JP5651615B2 (ja)
WO (1) WO2013122177A1 (ja)

Families Citing this family (67)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5479408B2 (ja) 2011-07-06 2014-04-23 日立オートモティブシステムズ株式会社 車載ネットワークシステム
KR101446525B1 (ko) 2013-09-27 2014-10-06 주식회사 유라코퍼레이션 차량 해킹 방지 시스템, 방법, 및 상기 방법을 실행시키기 위한 컴퓨터 판독 가능한 프로그램을 기록한 매체
EP2892199B1 (en) * 2014-01-06 2018-08-22 Argus Cyber Security Ltd. Global automotive safety system
JP6307313B2 (ja) * 2014-03-13 2018-04-04 三菱マヒンドラ農機株式会社 作業車両
JP6651662B2 (ja) * 2014-04-17 2020-02-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知電子制御ユニット及び不正検知方法
CN110406485B (zh) * 2014-04-17 2023-01-06 松下电器(美国)知识产权公司 非法检测方法及车载网络系统
JP6305199B2 (ja) * 2014-05-15 2018-04-04 三菱電機株式会社 通信制御装置及び通信制御方法
JP6267596B2 (ja) * 2014-07-14 2018-01-24 国立大学法人名古屋大学 通信システム、通信制御装置及び不正情報送信防止方法
DE102014010752A1 (de) * 2014-07-21 2016-01-21 Wabco Gmbh Verfahren zum Aufbau einer drahtlosen Verbindung
JP6077728B2 (ja) * 2014-12-01 2017-02-08 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知電子制御ユニット、車載ネットワークシステム及び不正検知方法
JP6173411B2 (ja) * 2014-12-12 2017-08-02 Kddi株式会社 管理装置、車両、管理システム、管理方法、及びコンピュータプログラム
JP6079768B2 (ja) 2014-12-15 2017-02-15 トヨタ自動車株式会社 車載通信システム
JP6369334B2 (ja) * 2015-01-09 2018-08-08 トヨタ自動車株式会社 車載ネットワーク
JP6573819B2 (ja) * 2015-01-20 2019-09-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
JP6595885B2 (ja) * 2015-01-20 2019-10-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正対処方法及び電子制御ユニット
CN111885078B (zh) * 2015-01-20 2022-03-08 松下电器(美国)知识产权公司 不正常应对方法以及电子控制单元
JP6262681B2 (ja) 2015-03-26 2018-01-17 Kddi株式会社 管理装置、車両、管理方法、及びコンピュータプログラム
US9756024B2 (en) * 2015-09-18 2017-09-05 Trillium Incorporated Computer-implemented cryptographic method for improving a computer network, and terminal, system and computer-readable medium for the same
US10412088B2 (en) * 2015-11-09 2019-09-10 Silvercar, Inc. Vehicle access systems and methods
JP6190443B2 (ja) 2015-12-28 2017-08-30 Kddi株式会社 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
JP6260066B2 (ja) * 2016-01-18 2018-01-17 Kddi株式会社 車載コンピュータシステム及び車両
JP6223484B2 (ja) * 2016-02-29 2017-11-01 Kddi株式会社 車載制御システム、車両、鍵配信装置、制御装置、鍵配信方法、及びコンピュータプログラム
WO2018017566A1 (en) * 2016-07-18 2018-01-25 The Regents Of The University Of Michigan Hash-chain based sender identification scheme
JP6348150B2 (ja) * 2016-07-26 2018-06-27 国立大学法人名古屋大学 通信システム、通信制御装置及び不正情報送信防止方法
JP2018032977A (ja) * 2016-08-24 2018-03-01 株式会社オートネットワーク技術研究所 送信装置、通信システム、送信方法及びコンピュータプログラム
JP6835526B2 (ja) * 2016-10-14 2021-02-24 アズビル株式会社 不正アクセス監視装置および方法
JP6870273B2 (ja) 2016-10-25 2021-05-12 住友電気工業株式会社 通信制御装置、スイッチ装置、車外通信装置、通信制御方法および通信制御プログラム
JP2018098684A (ja) 2016-12-15 2018-06-21 住友電気工業株式会社 スイッチ装置、通信制御方法および通信制御プログラム
JP6406365B2 (ja) 2017-01-06 2018-10-17 住友電気工業株式会社 スイッチ装置、通信制御方法および通信制御プログラム
DE112018000870T5 (de) 2017-02-16 2019-11-14 Sumitomo Electric Industries, Ltd. Außer-Fahrzeugkommunikationsvorrichtung, Bordvorrichtung, Bordkommunikationssystem, Kommunikationssteuerverfahren und Kommunikationssteuerprogramm
JP6798349B2 (ja) * 2017-02-23 2020-12-09 株式会社デンソー 通信システム及び中継装置
JP6724829B2 (ja) * 2017-03-16 2020-07-15 株式会社デンソー 制御装置
JP6838455B2 (ja) 2017-03-24 2021-03-03 住友電気工業株式会社 スイッチ装置、通信制御方法および通信制御プログラム
JP6812887B2 (ja) * 2017-03-31 2021-01-13 住友電気工業株式会社 スイッチ装置、通信制御方法および通信制御プログラム
GB2561256A (en) * 2017-04-05 2018-10-10 Stmicroelectronics Grenoble2 Sas Apparatus for use in a can system
JP7003446B2 (ja) 2017-05-22 2022-01-20 住友電気工業株式会社 車載通信装置、車載通信システム、通信制御方法および通信制御プログラム
US10926737B2 (en) 2017-06-14 2021-02-23 Sumitomo Electric Industries, Ltd. Extra-vehicular communication device, communication control method, and communication control program
KR101966345B1 (ko) * 2017-06-30 2019-04-08 주식회사 페스카로 Can 통신 기반 우회 공격 탐지 방법 및 시스템
KR101972457B1 (ko) * 2017-06-16 2019-04-25 주식회사 페스카로 Can 통신 기반 해킹공격 탐지 방법 및 시스템
WO2018230988A1 (ko) 2017-06-16 2018-12-20 주식회사 페스카로 Can 통신 기반 해킹공격 탐지 방법 및 시스템
JP6888437B2 (ja) 2017-06-23 2021-06-16 住友電気工業株式会社 車載通信装置、通信制御方法および通信制御プログラム
JP7094670B2 (ja) * 2017-07-03 2022-07-04 矢崎総業株式会社 設定装置及びコンピュータ
JP6766766B2 (ja) 2017-07-10 2020-10-14 住友電気工業株式会社 認証制御装置、認証制御方法および認証制御プログラム
JP6787262B2 (ja) 2017-07-10 2020-11-18 住友電気工業株式会社 車載通信装置、ログ収集方法およびログ収集プログラム
JP6519060B2 (ja) * 2017-12-13 2019-05-29 Kddi株式会社 管理装置、車両、管理方法、及びコンピュータプログラム
US10921823B2 (en) 2017-12-28 2021-02-16 Bendix Commercial Vehicle Systems Llc Sensor-based anti-hacking prevention in platooning vehicles
US11558404B2 (en) 2018-02-28 2023-01-17 Autonetworks Technologies, Ltd. On-board communication system, switching device, verification method, and verification program
CN111788795B (zh) 2018-03-02 2022-05-03 住友电气工业株式会社 交换机装置、监测方法和计算机可读存储介质
WO2019171669A1 (ja) 2018-03-07 2019-09-12 住友電気工業株式会社 スイッチ装置、車載通信装置、車載通信システム、時刻補正方法および時刻補正プログラム
CN111989898B (zh) * 2018-03-26 2022-03-15 住友电气工业株式会社 车载通信系统、交换机装置、通信控制方法和计算机可读存储介质
US11560240B2 (en) 2018-03-29 2023-01-24 Airbus Operations Gmbh Aircraft area having a textile display, aircraft passenger seat having a textile display, and aircraft including an aircraft area
EP3546355B1 (en) * 2018-03-29 2021-07-07 Airbus Operations GmbH Aircraft area having a textile display, and an aircraft including such an aircraft area
JP6910015B2 (ja) * 2018-03-29 2021-07-28 パナソニックIpマネジメント株式会社 電動自転車、及び、システムキッチン
JP6925296B2 (ja) * 2018-03-29 2021-08-25 日立Astemo株式会社 ネットワークシステム
JP6973262B2 (ja) 2018-04-18 2021-11-24 トヨタ自動車株式会社 車両向けサービス提供システム、車載装置およびコマンド送信方法
JP7018827B2 (ja) * 2018-06-13 2022-02-14 本田技研工業株式会社 通信システム及び車両
US11163549B2 (en) 2018-08-10 2021-11-02 Denso Corporation Vehicle information communication system
US11579865B2 (en) 2018-08-10 2023-02-14 Denso Corporation Vehicle information communication system
US10592231B2 (en) * 2018-08-10 2020-03-17 Denso Corporation Vehicle information communication system
KR102486151B1 (ko) * 2018-10-16 2023-01-10 현대자동차주식회사 통신 장치, 그를 가지는 차량 및 그 제어 방법
JP7101595B2 (ja) 2018-11-05 2022-07-15 住友電気工業株式会社 スイッチ装置、通信制御方法および通信制御プログラム
JP6674007B1 (ja) 2018-11-05 2020-04-01 住友電気工業株式会社 車載通信装置、通信制御方法および通信制御プログラム
CN111835627B (zh) * 2019-04-23 2022-04-26 华为技术有限公司 车载网关的通信方法、车载网关及智能车辆
US11689296B2 (en) 2019-06-14 2023-06-27 Sumitomo Electric Industries, Ltd. On-board communication system, optical coupler, and on-board device
KR20220000537A (ko) * 2020-06-26 2022-01-04 현대자동차주식회사 차량 네트워크 기반의 데이터 송수신 시스템 및 그 방법
JP7543875B2 (ja) 2020-11-27 2024-09-03 株式会社デンソー 電子制御装置、時刻情報提供方法、時刻情報提供プログラム、及び電子制御システム
CN114362843B (zh) * 2021-12-27 2024-08-06 北京万集科技股份有限公司 用于对车载单元进行检测的方法、装置及其相关产品

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5737332A (en) * 1996-01-31 1998-04-07 Motorola, Inc. Data link control method
US6496885B1 (en) * 1999-07-14 2002-12-17 Deere & Company Method for processing network messages
US20050203673A1 (en) * 2000-08-18 2005-09-15 Hassanayn Machlab El-Hajj Wireless communication framework
JP4942261B2 (ja) * 2001-07-31 2012-05-30 株式会社デンソー 車両用中継装置、及び、車内通信システム
JP2004243825A (ja) * 2003-02-12 2004-09-02 Denso Corp 固有情報管理システム
US7757076B2 (en) * 2003-12-08 2010-07-13 Palo Alto Research Center Incorporated Method and apparatus for using a secure credential infrastructure to access vehicle components
JP2005196568A (ja) * 2004-01-08 2005-07-21 Denso Corp 車両の部品管理方法及び装置、車両の部品管理データ更新方法及び装置、並びに車両部品管理センタ
US7747774B2 (en) * 2004-08-23 2010-06-29 At&T Intellectual Property I, L.P. Methods, systems and computer program products for obscuring traffic in a distributed system
US8661322B2 (en) * 2004-12-22 2014-02-25 Qualcomm Incorporated Apparatus and method for selective response to incremental redundancy transmissions
US7418317B2 (en) * 2005-03-10 2008-08-26 Aai Corporation System and method for controlling and communicating with a vehicle
JP2007135011A (ja) * 2005-11-10 2007-05-31 Auto Network Gijutsu Kenkyusho:Kk 中継接続ユニットおよび仮想車載lanシステム
JP5222002B2 (ja) * 2008-04-03 2013-06-26 株式会社オートネットワーク技術研究所 車載用の中継接続ユニット
US8380170B2 (en) * 2009-04-12 2013-02-19 Kristine A. Wilson Cellular device identification and location with emergency number selectivity enforcement (CILENSE)
US8779921B1 (en) * 2010-05-14 2014-07-15 Solio Security, Inc. Adaptive security network, sensor node and method for detecting anomalous events in a security network
JP5598164B2 (ja) * 2010-08-26 2014-10-01 トヨタ自動車株式会社 コンピュータシステム
JP5479408B2 (ja) * 2011-07-06 2014-04-23 日立オートモティブシステムズ株式会社 車載ネットワークシステム
WO2013094072A1 (ja) * 2011-12-22 2013-06-27 トヨタ自動車 株式会社 通信システム及び通信方法

Also Published As

Publication number Publication date
JP2013168865A (ja) 2013-08-29
US20160173530A1 (en) 2016-06-16
WO2013122177A1 (ja) 2013-08-22

Similar Documents

Publication Publication Date Title
JP5651615B2 (ja) 車載ネットワークシステム
JP5479408B2 (ja) 車載ネットワークシステム
JP5395036B2 (ja) 車載ネットワークシステム
CN107846395B (zh) 确保车载总线上的通信安全的方法、系统、介质和车辆
CN106576096B (zh) 用于对具有不等能力的设备的认证的装置、方法及介质
US10735206B2 (en) Securing information exchanged between internal and external entities of connected vehicles
CN106533655B (zh) 一种车内网ecu安全通信的方法
US10279775B2 (en) Unauthorized access event notification for vehicle electronic control units
US20190281052A1 (en) Systems and methods for securing an automotive controller network
JP6659220B2 (ja) 通信装置、半導体装置、プログラムおよび通信システム
WO2019111065A1 (en) End-to-end communication security
Lu et al. LEAP: A lightweight encryption and authentication protocol for in-vehicle communications
Wang et al. NOTSA: Novel OBU with three-level security architecture for internet of vehicles
US20180270052A1 (en) Cryptographic key distribution
KR101269086B1 (ko) 차량용 데이터의 인증 및 획득 방법 및 시스템
CN110913390A (zh) 基于身份秘密共享的抗量子计算车联网方法及系统
Ammar et al. Securing the on-board diagnostics port (obd-ii) in vehicles
CN113839782B (zh) 基于puf的车内网络can总线轻量级安全通信方法
JP2013142963A (ja) 車載制御装置の認証システム
Zhao et al. A scalable security protocol for Intravehicular Controller Area Network
CN118590879B (zh) 基于kdc的密钥分发管理及安全通信方法
CN117041958A (zh) 车载v2x-obu与智能域控制器通信内容的认证方法
Yang et al. Cyber Security
CN115883174A (zh) 一种适用于汽车ecu ota升级的国密混合加密算法、装置及存储介质
KR20240003977A (ko) 차량 제어기의 앱 무결성 검증 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140826

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140929

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20141021

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20141117

R150 Certificate of patent or registration of utility model

Ref document number: 5651615

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250