Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6418217B2 - 通信システムで実行される情報集約方法 - Google Patents
[go: Go Back, main page]

JP6418217B2 - 通信システムで実行される情報集約方法 - Google Patents

通信システムで実行される情報集約方法 Download PDF

Info

Publication number
JP6418217B2
JP6418217B2 JP2016191550A JP2016191550A JP6418217B2 JP 6418217 B2 JP6418217 B2 JP 6418217B2 JP 2016191550 A JP2016191550 A JP 2016191550A JP 2016191550 A JP2016191550 A JP 2016191550A JP 6418217 B2 JP6418217 B2 JP 6418217B2
Authority
JP
Japan
Prior art keywords
test mode
electronic control
aggregation
vehicle
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2016191550A
Other languages
English (en)
Other versions
JP2017118487A (ja
Inventor
雄介 佐藤
雄介 佐藤
瀬里奈 江川
瀬里奈 江川
良彦 加藤
良彦 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to DE102016124352.3A priority Critical patent/DE102016124352A1/de
Priority to CN201611162074.0A priority patent/CN106919163B/zh
Priority to US15/380,089 priority patent/US10178094B2/en
Publication of JP2017118487A publication Critical patent/JP2017118487A/ja
Application granted granted Critical
Publication of JP6418217B2 publication Critical patent/JP6418217B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0275Fault isolation and identification, e.g. classify fault; estimate cause or root of failure
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24065Real time diagnostics

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、複数の電子制御装置とセンター装置または外部ツールなどの集約装置とがネットワークを介して接続された通信システムで実行される情報集約方法に関する。
例えば特許文献1には、電子制御装置(監視対象システム)と集約装置であるセンター装置(被害解析装置)とがネットワークで接続された通信システムであって、センター装置が、不正アクセスによる攻撃を受けた電子制御装置の情報を収集して被害状況を解析する技術が開示されている。
この従来の通信システムでは、情報の収集にあたって、不正アクセスによって電子制御装置に被害が発生している攻撃と、不正アクセスはあるが電子制御装置に被害が発生していない攻撃との、切り分けが自動的に行われている。
特開2005−165541号公報
しかしながら、上記従来の通信システムでは、不正アクセスによる攻撃を原因とする異常と、不正アクセスによる攻撃を原因としない異常とを、切り分けることができない。例えば、メッセージ認証コードの異常は、不正アクセスなどのセキュリティ攻撃に基づいて生じる場合と回路故障などに基づいて生じる場合とが考えられるが、それぞれの異常時に記憶された攻撃情報を切り分けることができない。
このため、集約装置が、回路故障などの原因による認証処理の異常時に記憶された攻撃情報を除外することなく、複数の電子制御装置から全ての攻撃情報を集約することになり、集約装置などによる攻撃情報の解析精度が低下する。
本発明は、上記課題を鑑みてなされたものであり、複数の電子制御装置と集約装置とがネットワーク接続された通信システムにおいて、集約装置が、回路故障などの原因による認証処理の異常時に記憶された攻撃情報を除外して、複数の電子制御装置から攻撃情報を集約することができる情報集約方法を提供することを目的とする。
上記課題を解決するために、本発明の第1態様は、車内に搭載され、随時更新される所定のカウンタのカウント値を用いて認証処理を行い、かつ当該認証処理の異常時に攻撃情報を記憶する複数の電子制御装置と、車外に設けられ、複数の電子制御装置の攻撃情報を集約するセンター装置または外部ツールである集約装置とからなる、通信システムで実行される情報集約方法であって、集約装置が、攻撃情報を取得したい電子制御装置である対象装置に対して、テストモードの開始要求を送信し、対象装置が、集約装置からテストモードの開始要求を受信したときに車両が所定の条件を満足していると判断すれば、テストモードを開始して、カウンタの動作を停止し、停止したカウンタのカウント値を集約装置へ送信し、集約装置が、対象装置から受信したカウント値に基づいて第1メッセージ認証コードを生成し、第1メッセージ認証コードを添付した攻撃情報の取得要求を対象装置へ送信し、対象装置が、集約装置から第1メッセージ認証コードが添付された攻撃情報の取得要求を受信すると、停止したカウンタのカウント値に基づいて第2メッセージ認証コードを生成し、第1メッセージ認証コードと第2メッセージ認証コードとが一致した場合に自身の装置が正常であると判断して、攻撃情報を集約装置へ送信し、対象装置が、攻撃情報を集約装置へ送信した後または自身の装置が正常でないと判断した後、カウンタの動作を始動させてテストモードを終了する、ことを特徴とする。
この本発明の第1態様では、所定のテストモードにおいて、電子制御装置側が有する所定のカウンタのカウント値を対象装置からセンター装置や外部ツールなどの集約装置へ送信する。そして、集約装置および対象装置の双方で、同じカウント値からそれぞれメッセージ認証コードを生成し、対象装置が双方のメッセージ認証コードの一致/不一致を判断して集約装置への攻撃情報の送信可否を決定する。
このように、同じカウント値からそれぞれ生成したメッセージ認証コードの比較を行うことで、集約装置が生成した正しいメッセージ認証コードと一致しなければ、対象装置のメッセージ認証コードが異常であると判断することができる。従って、この場合には、対象装置が記憶している攻撃情報が、回路故障などの原因による認証処理の異常時に記憶された攻撃情報であるおそれがあるため、当該攻撃情報を集約装置へ送信しない。双方のメッセージ認証コードが一致した場合だけ、対象装置が記憶している攻撃情報を集約装置へ送信する。これにより、回路故障などの原因による認証処理の異常時に記憶された攻撃情報を除外することができ、センター装置などによる攻撃情報の解析精度が向上する。
また、本発明の第2態様は、上記第1態様において、対象装置が、テストモードを開始してから終了するまでの期間は、対象装置が搭載された車両を走行できないように制御する、ことを特徴とする。
この本発明の第2態様によれば、上記第1態様によって実現される効果に加え、例えばカウンタの停止によってセキュリティが脆弱な状況にある車両が、安全な場所の外に移動(走行)してしまいセキュリティ攻撃の危険に晒されてしまうことを、未然に防止することができる。
また、本発明の第3態様は、上記第1態様において、対象装置が、テストモードを終了する前に車両が所定の条件を満足しなくなったと判断すれば、判断の時点でカウンタの動作を始動させてテストモードを終了する、ことを特徴とする。
この本発明の第3態様によれば、上記第1態様によって実現される効果に加え、例えばカウンタの停止によってセキュリティが脆弱な状況にある車両が、安全な場所の外に移動(走行)してしまっても、セキュリティが脆弱な状況でセキュリティ攻撃の危険に晒されてしまうことを防止することができる。
以上述べたように、本発明の情報集約方法によれば、複数の電子制御装置と集約装置とがネットワーク接続された通信システムにおいて、集約装置は、回路故障などの原因による認証処理の異常時に記憶された攻撃情報を除外して、複数の電子制御装置から攻撃情報を集約することができる。
本発明の各実施形態に係る情報集約方法が適用される通信システムの構成例を示す図 センター装置(集約装置)の構成例を示す図 電子制御装置(ECU)の構成例を示す図 本発明の第1の実施形態に係る情報集約方法の処理手順を示したフローチャート 本発明の第2の実施形態に係る情報集約方法の処理手順を示したフローチャート 本発明の第3の実施形態に係る情報集約方法の処理手順を示したフローチャート 本発明の各実施形態に係る情報集約方法が適用される通信システムの他の構成例を示す図
[概要]
本発明は、複数の電子制御装置が記憶する攻撃情報をセンター装置または外部ツールなどの集約装置が集約する通信システムである。この通信システムでは、集約装置と電子制御装置とが、同じデータに基づいてメッセージ認証コードをそれぞれ生成する。集約装置が生成したメッセージ認証コードが正しい場合、双方のメッセージ認証コードが一致しなければ電子制御装置の認証コード生成機能が故障していると判断できる。よって、故障の判断がなされた電子制御装置は、攻撃情報を集約装置へ送信しない。これにより、集約装置は、複数の電子制御装置から集約する攻撃情報から、回路故障などの原因による認証処理の異常時に記憶された攻撃情報を除外することができる。
以下、本発明が提供する情報集約方法を、車両用の通信システムに適用した場合を一例に挙げて、図面を参照しながら詳細に説明する。
[通信システムの構成例]
図1は、本発明の各実施形態に係る情報集約方法が適用される通信システム1の構成例を示す図である。図1に例示した通信システム1は、車両外部に設けられたセンター装置10と、車両内部に搭載される複数の電子制御装置20(ECU_1、ECU_2、ECU_3)とで、構成される。
複数の電子制御装置20は、CAN(Controller Area Network)などの車内ネットワーク30を介して、通信可能に接続されている。センター装置10は、例えば無線ネットワーク40を介して、少なくとも1つの電子制御装置20(ECU_1)と通信可能に接続されている。センター装置10と直接通信可能に接続されていない電子制御装置20(ECU_2、ECU_3)は、車内ネットワーク30、センター装置10と通信可能に接続された電子制御装置20(ECU_1)、および無線ネットワーク40を経由して、センター装置10と通信を行う。
・センター装置10
センター装置10は、車内に搭載された複数の電子制御装置20から攻撃情報を集約する、集約装置の1つである。センター装置10は、集約した攻撃情報の解析を行うことができる。このセンター装置10は、図2に示すように、通信部11、記憶部12、およびMAC生成部13を備えている。
通信部11は、テストモードの開始要求やメッセージ認証コードが添付された攻撃情報の取得要求を対象の電子制御装置20へ送信したり、同期カウンタのカウント値や攻撃情報を対象の電子制御装置20から受信したりする機能部である。テストモード、メッセージ認証コード、カウント値、および攻撃情報については、後述する。記憶部12には、様々な電子制御装置20から受信した攻撃情報が記憶される。
MAC生成部13は、対象の電子制御装置20から受信したカウント値を用いて、メッセージ認証コード(第1のMAC)を生成する機能部である。本実施形態では、通信部11が対象の電子制御装置20から正しいカウント値を受信するという前提であるため、MAC生成部13で生成されたメッセージ認証コード(第1のMAC)は、正規のメッセージ認証コードとなる。この正規のメッセージ認証コード(第1のMAC)は、攻撃情報の取得要求に添付されて、通信部11から対象の電子制御装置20へ送信される。
このセンター装置10は、典型的には中央演算処理装置(CPU:Central Processing Unit)、メモリ、および入出力インタフェースなどを含んで構成され、メモリに格納されたプログラムをCPUが読み出して解釈実行することにより、上述した通信部11、記憶部12、およびMAC生成部13の各機能を実現する。
・電子制御装置20
電子制御装置20は、同期カウンタのカウント値を用いてメッセージの認証処理を行い、この認証処理の異常時に攻撃情報(例えば、いつ、どこから、どのような攻撃を受けたかを示すログ)を記憶する。さらに、電子制御装置20は、車外に設けられたセンター装置10から受ける要求に応じて、テストモードへの移行処理、装置の故障判定処理、および攻撃情報の送信処理を行う。この電子制御装置20は、図3に示すように、通信部21、記憶部22、テストモード制御部23、MAC生成部24、および故障判断部25を備えている。
通信部21は、テストモードの開始要求や攻撃情報の取得要求をセンター装置10から受信したり、同期カウンタのカウント値や攻撃情報をセンター装置10へ送信したりする機能部である。テストモードの開始要求を受けた電子制御装置20が、対象の電子制御装置20となる。同期カウンタは、車内ネットワークのセキュリティ確保のために利用される車両内部のカウンタであり、標準規格(AUTOSAR: AUTomotive Open System ARchitecture)に準拠した随時更新動作を行う。記憶部22には、電子制御装置20が受けた不正アクセスなどのセキュリティ攻撃を原因とする認証処理の異常時に記憶される情報である「攻撃情報」が記憶される。
テストモード制御部23は、センター装置10からテストモードの開始要求を受けて、テストモードへの移行を制御する機能部である。テストモードとは、車外装置では知ることができない車内にある同期カウンタのカウント値を、対象の電子制御装置20からセンター装置10へ提供するためのモードである。このテストモードでは、セキュリティ確保に重要な同期カウンタを停止させてその時に示されるカウント値を取得するため、新たな脆弱性が生じる可能性がある。そこで、本発明の一実施形態では、テストモード制御部23が、車両がセキュリティを確保するための予め定めた車両状況にある場合、換言すれば車両が所定の条件を満足している場合に限って、テストモードの開始(テストモードへの移行)を可能とする判断を行う。また、他の実施形態では、テストモードを開始した後であっても、車両が所定の条件を満足しなくなれば、テストモード制御部23がテストモードを途中で終了させる。
この予め定めた車両状況(所定の条件)とは、セキュリティが高いと予想される状況であることを言い、例えばディーラの整備建屋に車両が入庫して、かつ、停車している状況などが考えられる。このように車両がディーラの整備建屋に入庫して停車している高いセキュリティ状況である場合に、テストモード制御部23は、車両が所定の条件を満たしているものと見なしてテストモードを開始させる、つまり電子制御装置20をテストモードへ移行させる。そこで、他の実施形態では、テストモードが開始された後は、テストモード制御部23が、自装置を搭載している車両を走行できないように制御する。車両が走行できないようにする制御は、例えばイモビライザーECU、エンジンECU、ブレーキECUなどの電子制御装置20によって、エンジン始動を禁止したり、ブレーキ解除を禁止したり、することなどで実現可能である。
なお、車両がディーラの整備建屋に入庫したことは、例えばGPS(Global Positioning System)受信機から得られる自車位置情報に基づいて判断することができる。また、車両が停止していることは、例えば各種センサから得られる車速情報やシフトポジション情報に基づいて判断することができる。
MAC生成部24は、テストモード制御部23によって停止させた同期カウンタのカウント値を用いて、メッセージ認証コード(第2のMAC)を生成する機能部である。故障判断部25は、通信部21がセンター装置10から受信した攻撃情報の取得要求に添付された正規のメッセージ認証コード(第1のMAC)と、MAC生成部24で生成されたメッセージ認証コード(第2のMAC)との一致/不一致を判定する。そして、故障判断部25は、双方のメッセージ認証コードが一致していれば(第1のMAC=第2のMAC)、自身の電子制御装置20は正常であると判断し、双方のメッセージ認証コードが一致していなければ(第1のMAC≠第2のMAC)、自身の電子制御装置20は故障していると判断する。
本実施形態において故障を判断する対象は、MAC生成部24に相当する暗号化などに関する機能(回路)としている。よって、同じカウント値に基づいて生成された、センター装置10側の正規のメッセージ認証コード(第1のMAC)と対象の電子制御装置20側のメッセージ認証コード(第2のMAC)とが一致しなければ、対象の電子制御装置20が故障していると判断することができる。
対象の電子制御装置20が故障していると判断した場合、故障判断部25は、記憶部22に記憶されている攻撃情報が、回路故障などの原因による認証処理の異常時に記憶された誤った情報であるとして、その攻撃情報はセンター装置10へ送信しない。これに対し、対象の電子制御装置20が正常であると判断した場合、故障判断部25は、記憶部22に記憶されている攻撃情報が、不正アクセスなどのセキュリティ攻撃を原因とする認証処理の異常時に記憶された正しい情報であるとして、通信部21を介してその攻撃情報をセンター装置10へ送信する。
この電子制御装置20は、典型的には中央演算処理装置(CPU)、メモリ、および入出力インタフェースなどを含んで構成され、メモリに格納されたプログラムをCPUが読み出して解釈実行することにより、上述した通信部21、記憶部22、テストモード制御部23、MAC生成部24、および故障判断部25の各機能を実現する。
[通信システムで実行される情報集約方法]
図4〜図6をさらに参照して、上述した通信システム1におけるセンター装置10および対象の電子制御装置20が実行する情報集約方法を説明する。図4は、本発明の第1の実施形態に係る情報集約方法の処理手順を示したフローチャートである。図5は、本発明の第2の実施形態に係る情報集約方法の処理手順を示したフローチャートである。図6は、本発明の第3の実施形態に係る情報集約方法の処理手順を示したフローチャートである。
<第1の実施形態>
図4を参照して、第1の実施形態に係る情報集約方法を説明する。図4において、センター装置10は、攻撃情報を取得したい対象の電子制御装置(ECU)20に対して、テストモードの開始要求を送信する(S101)。
センター装置10からテストモードの開始要求を受信した対象の電子制御装置20は、車両の現在の状況に基づいて車両が所定の条件を満足するか否かを判断し、テストモードに移行可能か否かを判断する(S201)。ここで、所定の条件とは、セキュリティが高く安全であると想定される、例えば車両がディーラの整備建屋などの特定の場所に居て、かつ、車両が停車していることなどである。車両が特定の場所に居ることは、GPSの位置情報などに基づいて判断可能であり、車両が停車していることは、車速情報やシフトポジション情報などに基づいて判断することができる。この判断において車両が所定の条件を満足しておらずテストモードへの移行が不可能である場合(S201:No)、対象の電子制御装置20は、テストモードへ移行することなく(S202)、センター装置10からの要求に対する処理を終了する。
一方、上記判断において車両が所定の条件を満足していてテストモードへの移行が可能である場合(S201:Yes)、対象の電子制御装置20は、テストモードへ移行して処理を開始する(S203)。処理を開始すると、対象の電子制御装置20は、まず車両内部の同期カウンタを停止させる(S204)。そして、対象の電子制御装置20は、停止させた同期カウンタが示すカウント値をセンター装置10へ送信する(S205)。
センター装置10は、テストモードの開始要求に対する応答であるカウント値を、対象の電子制御装置20から受信したか否かを判断する(S102)。対象の電子制御装置20からカウント値を受信できない場合(S102:No)、センター装置10は、対象の電子制御装置20から攻撃情報を取得することなく、処理を終了する。
一方、対象の電子制御装置20からカウント値を受信した場合(S102:Yes)、センター装置10は、受信したカウント値を用いて正規のメッセージ認証コード(第1のMAC)を生成する(S103)。そして、センター装置10は、生成した正規のメッセージ認証コード(第1のMAC)を添付した攻撃情報の取得要求を、対象の電子制御装置20へ送信する(S104)。
センター装置10から正規のメッセージ認証コード(第1のMAC)が添付された攻撃情報の取得要求を受信した対象の電子制御装置20は、停止させた同期カウンタが示すカウント値を用いてメッセージ認証コード(第2のMAC)を生成する(S206)。そして、対象の電子制御装置20は、センター装置10から受信した正規のメッセージ認証コード(第1のMAC)と自身が生成したメッセージ認証コード(第2のMAC)とが、一致しているか否かを判断する(S207)。
双方のメッセージ認証コードが一致していないと判断した場合(S207:No)、対象の電子制御装置20は、自身(のメッセージ認証コードの生成機能)が故障していると判断する(S210)。この場合、対象の電子制御装置20は、自身が記憶部22に記憶している攻撃情報がMAC生成部24の故障などの原因による認証処理の異常時に記憶された誤った情報であると判断して、その攻撃情報をセンター装置10へ送信しない(S211)。
一方、双方のメッセージ認証コードが一致していると判断した場合(S207:Yes)、対象の電子制御装置20は、自身(の認証コードの生成機能)は正常である判断する(S208)。この場合、対象の電子制御装置20は、自身が記憶部22に記憶している攻撃情報が不正アクセスなどのセキュリティ攻撃を原因とする認証処理の異常時に記憶された正しい情報であると判断して、その攻撃情報をセンター装置10へ送信する(S209)。
センター装置10は、攻撃情報の取得要求に対する応答である攻撃情報を、対象の電子制御装置20から受信したか否かを判断する(S105)。対象の電子制御装置20から攻撃情報を受信できない場合(S105:No)、センター装置10は、対象の電子制御装置20から攻撃情報を取得することなく、処理を終了する。一方、対象の電子制御装置20から攻撃情報を受信した場合(S105:Yes)、センター装置10は、当該攻撃情報を記憶部12に記憶する(S106)。記憶部12に記憶された攻撃情報は、これまでに受信した他の攻撃情報と共に集約され、解析などに利用される。
上記センター装置10への攻撃情報の送信(S209)または非送信(S211)を実行した後、対象の電子制御装置20は、停止させていた車両内部の同期カウンタを再始動させると共に(S212)、テストモードを終了する(S213)。なお、同期カウンタの再始動のタイミングは、対象の電子制御装置20の判断で行われてもよいし、センター装置10から所定の返信を待って行われてもよい。
<第2の実施形態>
図5を参照して、第2の実施形態に係る情報集約方法を説明する。この第2の実施形態に係る情報集約方法は、上述した第1の実施形態に係る情報集約方法と比べて、対象の電子制御装置20によって実行されるS303およびS313の処理が異なる。よって、本第2の実施形態に係る情報集約方法では、この異なる処理を中心に説明を行い、上記第1の実施形態に係る情報集約方法と同じ処理については、同一の参照符号を付してその説明を省略する。
対象の電子制御装置20は、車両が所定の条件を満足していてテストモードへの移行が可能であると判断した場合(S201:Yes)、テストモードへ移行して処理を開始すると共に、自装置が搭載されている車両が走行できないように所定の制御を行う(S303)。車両を走行できなくする所定の制御には、上述したような周知の手段を用いることができる。
対象の電子制御装置20は、テストモードを実行してゆき、センター装置10への攻撃情報の送信(S209)または非送信(S211)を行った後、停止させていた車両内部の同期カウンタを再始動させる(S212)。そして、対象の電子制御装置20は、テストモードを終了すると共に、車両を走行できなくする所定の制御を解除する(S313)。
すなわち、この第2の実施形態に係る情報集約方法では、テストモードを開始して(S303)からテストモードを終了する(S313)までの期間(図5の一点鎖線で囲まれた処理を行っている間)は、車両の走行を不可能にしている。
<第3の実施形態>
図6を参照して、第3の実施形態に係る情報集約方法を説明する。この第3の実施形態に係る情報集約方法は、上述した第1の実施形態に係る情報集約方法と比べて、対象の電子制御装置20によって実行されるS403〜S405およびS413の処理が異なる。よって、本第3の実施形態に係る情報集約方法では、この異なる処理を中心に説明を行い、上記第1の実施形態に係る情報集約方法と同じ処理については、同一の参照符号を付してその説明を省略する。
対象の電子制御装置20は、車両が所定の条件を満足していてテストモードへの移行が可能であると判断した場合(S201:Yes)、テストモードへ移行して処理を開始すると共に、テストモードであることを示す所定のフラグ(以下「テストモードフラグ」という)を「ON」に設定する(S403)。このテストモードフラグに「ON」が設定されると、上述したS204〜S211のテストモードにおいて実行される第1処理と並行して、S404およびS405による第2処理が実行される。
第1処理においては、テストモードを実行してゆき、センター装置10への攻撃情報の送信(S209)または非送信(S211)を行った後、停止させていた車両内部の同期カウンタを再始動させる(S212)。そして、対象の電子制御装置20は、テストモードフラグを「OFF」に設定して、テストモードを終了する(S413)。
一方、第2処理では、対象の電子制御装置20は、テストモードへの移行可能を判断したときに満足していた所定の条件を車両が満足し続けているか否か、つまり車両が所定の条件を満足しなくなったか否かを判断する(S405)。この判断は、テストモードを実行しているテストモードフラグが「ON」である間(S404:Yes)、例えば所定の間隔で定期的に行われる。
上記判断において車両が所定の条件を満足しなくなったと判断した場合(S405:Yes)、対象の電子制御装置20は、停止させていた車両内部の同期カウンタを再始動させると共に(S212)、テストモードフラグを「OFF」に設定してテストモードを終了する(S413)。また、対象の電子制御装置20は、車両が所定の条件を満足し続けている間にテストモードフラグが「OFF」になった場合には(S404:No)、正しくテストモードが終了したと判断して処理を終了する。
すなわち、この第3の実施形態に係る情報集約方法では、テストモードを開始して(S403)からテストモードを終了する(S413)までの期間(図6の一点鎖線で囲まれた処理を行っている間)、テストモードの実行(S204〜S211)と並行して車両が所定の条件を満足しているか否かを判断(S404、S405)している。そして、車両が所定の条件を満足しなくなれば、テストモードのいずれの実行状態であっても直ちにテストモードを強制的に終了することを行う。
[実施形態の作用・効果]
以上のように、本発明の第1の実施形態に係る情報集約方法によれば、車外装置では知ることができない車内にある同期カウンタのカウント値を、対象の電子制御装置20から集約装置であるセンター装置10へ提供するテストモードを設ける。そして、センター装置10では、対象の電子制御装置20から提供されたカウント値に基づいてメッセージ認証コード(第1のMAC)を生成し、対象の電子制御装置20でもカウント値に基づいてメッセージ認証コード(第2のMAC)を生成して、双方のメッセージ認証コードの一致/不一致を判断し、センター装置10への攻撃情報の送信可否を決定する。
このように、同じカウント値からそれぞれ生成したメッセージ認証コードの比較を行うことで、双方のメッセージ認証コードが一致していなければ、対象の電子制御装置20のメッセージ認証コードの生成機能が故障していると判断することができる。従って、この場合には、対象の電子制御装置20が記憶部22に記憶している攻撃情報が、MAC生成部24の回路故障などの原因による認証処理の異常時に記憶された情報であるおそれがある。よって、そのようなおそれがある攻撃情報をセンター装置10へ送信しないことで、回路故障などの原因による認証処理の異常時に記憶された攻撃情報を除外することができ、センター装置10などによる攻撃情報の解析精度が向上する。
また、テストモードへの移行は、車両がセキュリティを確保するための予め定めた車両状況にある場合に限り可能としている。これにより、センター装置10は、車両のセキュリティを高めたまま攻撃情報を収集することができる。
本発明の第2の実施形態に係る情報集約方法によれば、テストモードを開始してから終了するまでの期間は、車両の走行を不可能に制御している。この制御により、同期カウンタが停止してセキュリティが脆弱な状況にあるテストモード実行中の車両が、例えば安全なディーラ整備建屋の外に移動(走行)してしまいセキュリティ攻撃の危険に晒されてしまうことを、未然に防止することができる。
本発明の第3の実施形態に係る情報集約方法によれば、集約装置であるセンター装置10からテストモードの開始要求を受信した時点では満足していた所定の条件を、テストモードの開始後でテストモードを終了する前に満足しなくなった場合、テストモードを強制的に終了する。この制御により、同期カウンタが停止してセキュリティが脆弱な状況にあるテストモード実行中の車両が、例えば安全なディーラ整備建屋の外に移動(走行)してしまっても、セキュリティが脆弱な状況でセキュリティ攻撃の危険に晒されてしまうことを防止することができる。
[応用例]
なお、上記各実施形態では、複数の電子制御装置20から攻撃情報を集約する集約装置として、センター装置10を説明した。しかし、この集約装置は、例えばディーラの整備士が使用するサービスツールなどの外部ツール50であってもよい。この外部ツール50は、図1および図2に示したセンター装置10と同様に、無線ネットワーク40を介して少なくとも1つの電子制御装置20と通信可能に接続されてもよい。または、外部ツール50は、図7に示す通信システム1’のように、コネクタケーブル31などを介して車内ネットワーク30に有線接続されることによって少なくとも1つの電子制御装置20と通信可能に接続されていてもよい。
本発明は、複数の電子制御装置がネットワークを介してセンター装置または外部ツールなどの集約装置に接続された通信システムに利用可能であり、集約装置が複数の電子制御装置から集約する攻撃情報のうち、回路故障などの原因による認証処理の異常時に記憶された攻撃情報を除外したい場合に有用である。
1、1’ 通信システム
10 センター装置(集約装置)
11、21 通信部
12、22 記憶部
13、24 MAC生成部
20 電子制御装置(ECU)
23 テストモード制御部
25 故障判断部
30 車内ネットワーク
31 コネクタケーブル
40 無線ネットワーク
50 外部ツール(集約装置)

Claims (3)

  1. 車内に搭載され、随時更新される所定のカウンタのカウント値を用いて認証処理を行い、かつ当該認証処理の異常時に攻撃情報を記憶する複数の電子制御装置と、車外に設けられ、当該複数の電子制御装置の攻撃情報を集約するセンター装置または外部ツールである集約装置とからなる、通信システムで実行される情報集約方法であって、
    前記集約装置が、前記攻撃情報を取得したい電子制御装置である対象装置に対して、テストモードの開始要求を送信し、
    前記対象装置が、前記集約装置から前記テストモードの開始要求を受信したときに車両が所定の条件を満足していると判断すれば、前記テストモードを開始して、前記カウンタの動作を停止し、当該停止したカウンタのカウント値を前記集約装置へ送信し、
    前記集約装置が、前記対象装置から受信した前記カウント値に基づいて第1メッセージ認証コードを生成し、当該第1メッセージ認証コードを添付した前記攻撃情報の取得要求を前記対象装置へ送信し、
    前記対象装置が、前記集約装置から前記第1メッセージ認証コードが添付された前記攻撃情報の取得要求を受信すると、前記停止したカウンタのカウント値に基づいて第2メッセージ認証コードを生成し、当該第1メッセージ認証コードと当該第2メッセージ認証コードとが一致した場合に自身の装置が正常であると判断して、前記攻撃情報を前記集約装置へ送信し、
    前記対象装置が、前記攻撃情報を前記集約装置へ送信した後または自身の装置が正常でないと判断した後、前記カウンタの動作を始動させて前記テストモードを終了する、情報集約方法。
  2. 前記対象装置が、前記テストモードを開始してから終了するまでの期間は、前記対象装置が搭載された車両を走行できないように制御する、請求項1に記載の情報集約方法。
  3. 前記対象装置が、前記テストモードの開始後で前記テストモードを終了する前に車両が前記所定の条件を満足しなくなったと判断すれば、当該判断の時点で前記カウンタの動作を始動させて前記テストモードを終了する、請求項1に記載の情報集約方法。
JP2016191550A 2015-12-18 2016-09-29 通信システムで実行される情報集約方法 Expired - Fee Related JP6418217B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102016124352.3A DE102016124352A1 (de) 2015-12-18 2016-12-14 Kommunikationssystem und ein in dem Kommunikationssystem ausgeführtes Informationssammelverfahren
CN201611162074.0A CN106919163B (zh) 2015-12-18 2016-12-15 通信系统和在通信系统中执行的信息收集方法
US15/380,089 US10178094B2 (en) 2015-12-18 2016-12-15 Communication system and information collection method executed in communication system

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2015247446 2015-12-18
JP2015247446 2015-12-18

Publications (2)

Publication Number Publication Date
JP2017118487A JP2017118487A (ja) 2017-06-29
JP6418217B2 true JP6418217B2 (ja) 2018-11-07

Family

ID=59235026

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016191550A Expired - Fee Related JP6418217B2 (ja) 2015-12-18 2016-09-29 通信システムで実行される情報集約方法

Country Status (2)

Country Link
JP (1) JP6418217B2 (ja)
CN (1) CN106919163B (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11030310B2 (en) 2017-08-17 2021-06-08 Red Bend Ltd. Systems and methods for disabling a malicious ECU in a controller area network (CAN) bus
CN109245895B (zh) * 2018-02-06 2021-06-11 卡巴斯基实验室股份公司 用于检测受损数据的系统和方法
JP7172321B2 (ja) * 2018-09-12 2022-11-16 トヨタ自動車株式会社 運転評価装置、運転評価システム、運転評価方法、及び運転評価用コンピュータプログラム
JP7229783B2 (ja) 2019-01-10 2023-02-28 エヌ・ティ・ティ・コミュニケーションズ株式会社 車載型情報処理装置、車両情報通信システム、情報処理方法およびプログラム
JP7139257B2 (ja) 2019-01-21 2022-09-20 エヌ・ティ・ティ・コミュニケーションズ株式会社 車両セキュリティ監視装置、方法及びプログラム
CN111610771B (zh) * 2019-02-26 2022-03-29 纬湃科技投资(中国)有限公司 车辆数据流的测试系统和方法
JP7115442B2 (ja) * 2019-08-21 2022-08-09 トヨタ自動車株式会社 判定装置、判定システム、プログラム及び判定方法
JP7156257B2 (ja) * 2019-11-21 2022-10-19 トヨタ自動車株式会社 車両通信装置、通信異常の判定方法及びプログラム
JP2022097250A (ja) * 2020-12-18 2022-06-30 トヨタ自動車株式会社 情報収集装置、情報収集システム、情報収集方法及びプログラム
JP7072697B1 (ja) * 2021-03-12 2022-05-20 三菱電機株式会社 電子制御装置、電子制御装置の試験装置、及び電子制御装置の試験方法
JP7109621B1 (ja) * 2021-05-06 2022-07-29 三菱電機株式会社 制御システム
CN115576302B (zh) * 2022-09-30 2024-09-24 重庆长安汽车股份有限公司 一种车载网络安全通信的测试方法及系统、电子设备、存储介质

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004086418A (ja) * 2002-08-26 2004-03-18 Toyota Motor Corp 情報提供方法、情報提供システム、情報提供装置および情報取得装置
JP2005041440A (ja) * 2003-07-25 2005-02-17 Toyota Motor Corp 車両情報出力方法および車両システム
JP2005165541A (ja) * 2003-12-01 2005-06-23 Oki Electric Ind Co Ltd 被害判定装置、被害解析装置、被害判別システム、被害判定プログラム及び被害解析プログラム
US8086492B2 (en) * 2004-03-23 2011-12-27 Douglas Ashbaugh Frame-based network advertising and exchange therefor
JP2005354344A (ja) * 2004-06-10 2005-12-22 Nissan Motor Co Ltd 故障診断装置および方法
US20150052253A1 (en) * 2014-09-22 2015-02-19 Weaved, Inc. Multi-server fractional subdomain dns protocol
US9194948B1 (en) * 2010-12-15 2015-11-24 The Boeing Company Method and apparatus for providing a dynamic target impact point sweetener
JP5900007B2 (ja) * 2012-02-20 2016-04-06 株式会社デンソー 車両用データ通信認証システム及び車両用ゲートウェイ装置
CN103516727A (zh) * 2013-09-30 2014-01-15 重庆电子工程职业学院 网络主动防御系统及其更新方法
CN103716203B (zh) * 2013-12-21 2017-02-08 华中科技大学 基于本体模型的网络化控制系统入侵检测方法及系统
CN104135470B (zh) * 2014-07-11 2017-07-14 宇龙计算机通信科技(深圳)有限公司 一种对目标数据的存储完整性进行验证的方法及系统
CN104333595A (zh) * 2014-11-11 2015-02-04 深圳小蛋科技有限公司 信息传输方法和系统

Also Published As

Publication number Publication date
JP2017118487A (ja) 2017-06-29
CN106919163B (zh) 2019-08-06
CN106919163A (zh) 2017-07-04

Similar Documents

Publication Publication Date Title
JP6418217B2 (ja) 通信システムで実行される情報集約方法
US10178094B2 (en) Communication system and information collection method executed in communication system
CN103999410B (zh) 通信系统及通信方法
JP6665728B2 (ja) 車載更新装置、車載更新システム及び通信装置の更新方法
CN107852352B (zh) 中继装置、电子控制装置以及车载系统
US10723361B2 (en) Monitoring apparatus, communication system, vehicle, monitoring method, and non-transitory storage medium
US10902109B2 (en) Misuse detection method, misuse detection electronic control unit, and misuse detection system
JP6477281B2 (ja) 車載中継装置、車載通信システム及び中継プログラム
JP6723955B2 (ja) 情報処理装置及び異常対処方法
US20200059383A1 (en) In-vehicle gateway device and communication restriction method
US10135866B2 (en) Method of preventing drive-by hacking, and apparatus and system therefor
US10926722B2 (en) On-board communication device, on-board communication system, and specific processing prohibition method for a vehicle
JP7192747B2 (ja) 車載中継装置及び情報処理方法
JP6165243B2 (ja) コンピュータネットワークにおいて車両搭載可能コントローラを動作させるための方法、車両搭載可能コントローラおよびデバイス
JP7622799B2 (ja) 車載装置、プログラム及び情報処理方法
WO2014005914A1 (en) Method for error diagnosis of can communication
JP7006335B2 (ja) 車載通信システム、車載通信方法、およびプログラム
JP6913869B2 (ja) 監視装置、監視システムおよびコンピュータプログラム
JP2016143908A (ja) 電子制御装置及び電子制御システム
CN108632242B (zh) 通信装置及接收装置
WO2020105657A1 (ja) 車載中継装置及び中継方法
JP2016149655A (ja) 管理方法、管理プログラム、管理装置、管理システムおよび情報処理方法
US20250150379A1 (en) Communication relay device
JP4948583B2 (ja) 制御システム
WO2018037894A1 (ja) 車両用認証装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171108

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180824

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180911

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180924

R151 Written notification of patent or utility model registration

Ref document number: 6418217

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees