Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7768024B2 - 電子制御装置 - Google Patents
[go: Go Back, main page]

JP7768024B2 - 電子制御装置 - Google Patents

電子制御装置

Info

Publication number
JP7768024B2
JP7768024B2 JP2022070130A JP2022070130A JP7768024B2 JP 7768024 B2 JP7768024 B2 JP 7768024B2 JP 2022070130 A JP2022070130 A JP 2022070130A JP 2022070130 A JP2022070130 A JP 2022070130A JP 7768024 B2 JP7768024 B2 JP 7768024B2
Authority
JP
Japan
Prior art keywords
authentication
rewrite
request
processing unit
entity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022070130A
Other languages
English (en)
Other versions
JP2023160067A (ja
Inventor
真也 大北
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2022070130A priority Critical patent/JP7768024B2/ja
Priority to DE102023109180.8A priority patent/DE102023109180A1/de
Publication of JP2023160067A publication Critical patent/JP2023160067A/ja
Application granted granted Critical
Publication of JP7768024B2 publication Critical patent/JP7768024B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/076Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Description

本発明は、電子制御装置に関する。
例えば車載用の電子制御装置(以下、ECU(Electronic Control Unit)と称する)においては、機能の向上や不具合の解消等を目的としてプログラムを書き換え可能に構成されている。この種のECUは、不正なプログラムの書き換えを未然に回避する構成として複数の認証処理を順番に実施する構成となっている。例えば特許文献1には、エンティティ認証処理と書き換え認証処理との2つの認証処理を実施する構成が開示されている。
特開2017-11491号公報
しかしながら、特許文献1に開示されている構成では、エンティティ認証及び書き換え認証が順番に突破されると、プログラムが不正に書き換えられてしまう虞がある。
本発明は、上記した事情に鑑みてなされたものであり、その目的は、不正なプログラムの書き換えを適切に未然に回避することができる電子制御装置を提供することにある。
請求項1に記載した発明によれば、外部から更新データが転送されることでプログラムを書き換える際に複数の認証処理を順番に実施する。前記複数の認証処理をそれぞれ実施する複数の認証処理部(3,4)と、外部からの不正な認証要求を検知すると、前記複数の認証のうち少なくとも一つの認証方法を変更する認証方法変更判定部(5)と、を備える。前記複数の認証処理部は、先行する第1認証処理を実施する第1認証処理部(3)と、後続する第2認証処理を実施する第2認証処理部(4)と、を含む。前記認証方法変更判定部は、前記第1認証の認証結果が前記第1認証処理部により正常であると特定され、前記第2認証の認証結果が前記第2認証処理部により異常であると特定されると、外部からの不正な認証要求を検知し、前記第1認証の認証方法を変更する。外部からの不正な認証要求を検知すると、前記複数の認証のうち少なくとも一つの認証方法を変更することで、不正なプログラムの書き換えを適切に未然に回避することができる。
一実施形態を示す機能ブロック図 不正なリプログツールが接続された態様を示す図 フローチャート フローチャート フローチャート
以下、一実施形態について図面を参照して説明する。図1に示すように、ECU1は、例えば車載用のECUであり、駆動系の制御を行う装置、ADAS(Advanced Driving Assistant System)系の制御を行う装置、マルチメディア系の制御を行う装置等である。
ECU1は、CPU、RAM、ROM、I/O等を有するマイコンを主体とする制御部2を備える。制御部2は、非遷移的実体的格納媒体に格納されているコンピュータプログラムを実行することでコンピュータプログラムに対応する処理を実施し、ECU1の動作を制御する。ECU1は、機能の向上や不具合の解消等を目的としてプログラムを書き換え可能に構成されている。ECU1は、プログラムの書き換えを制御するリプログツール6と車載ネットワークを介して接続されている。車載ネットワークは、例えばCAN(Controller Area Network)(登録商標)、FLEXRAY(登録商標)、CXPI(Clock Extension Peripheral Interface)(登録商標)等である。
リプログツール6は、更新データをECU1へ転送すると共に書き換え指示をECU1へ通知し、プログラムの書き換えをECU1に実施させる。即ち、ECU1は、リプログツール6から更新データが転送されると共に書き換え指示が通知されることでプログラムの書き換えを実施する。
ECU1は、プログラムの書き換えを実施する前処理として認証処理を実施する。具体的には、ECU1は、最初にリプログツール6からエンティティ認証要求を受信すると、エンティティ認証処理を実施する。ECU1は、エンティティ認証処理の認証結果が正常であると、リプログツール6からの書き換え認証要求の受信を待機し、続いてリプログツール6から書き換え認証要求を受信すると、書き換え認証処理を実施する。ECU1は、書き換え認証処理の認証結果が正常であると、リプログツール6からの更新データの転送及び書き換え指示の通知を許容し、プログラムの書き換えを実施する。
制御部2は、CPU、ROM、RAM、I/O及びこれらの構成を接続するバスライン等を含むマイコンを主体として構成されている。制御部2は、予め記憶されているプログラムをCPUで実行することによるソフトウェア処理、専用の電子回路によるハードウェア処理による制御を実行し、ECU1の動作を制御する。制御部2は、機能毎に、第1認証処理部に相当するエンティティ認証処理部3と、第2認証処理部に相当する書き換え認証処理部4と、認証方法変更判定部5とを備える。
エンティティ認証処理部3は、外部からエンティティ認証要求を受信すると、エンティティ認証用の鍵情報と暗号エンジンとを用いてエンティティ認証処理を実施する。この場合、エンティティ認証用の鍵情報及び暗号エンジンはそれぞれ複数が用意されている。エンティティ認証処理部3は、複数のエンティティ認証用の鍵情報の中から何れか一つを選定すると共に複数の暗号エンジンの中から何れか一つを選定して認証方法を決定し、その決定した認証方法を用いてエンティティ認証処理を実施する。エンティティ認証処理部3は、エンティティ認証処理を実施すると、そのエンティティ認証の認証結果を認証方法変更判定部5へ通知する。
エンティティ認証処理部3は、外部からエンティティ認証要求を受信すると、その受信したエンティティ認証要求の要求パターンを予め定められている正常な要求パターンと照合し、エンティティ認証要求が正常な要求パターンであるか否かを判定する。エンティティ認証処理部3は、エンティティ認証要求が正常な要求パターンでないと判定すると、エンティティ認証結果の異常を認証方法変更判定部5及びリプログツール6へ通知する。認証方法変更判定部5は、エンティティ認証の失敗回数を所定回数と照合し、エンティティ認証の失敗回数が所定回数以上であるか否かを判定する。認証方法変更判定部5は、エンティティ認証の失敗回数が所定回数以上であると判定すると、エンティティ認証の認証結果が異常であることを記憶する。
エンティティ認証処理部3は、エンティティ認証要求が正常な要求パターンであると判定すると、その受信したエンティティ認証要求のデータフォーマットを予め定められている正常なデータフォーマットと照合し、その受信したエンティティ認証要求が正常なデータフォーマットであるか否かを判定する。エンティティ認証処理部3は、エンティティ認証要求が正常なデータフォーマットでないと判定すると、エンティティ認証結果の異常を認証方法変更判定部5及びリプログツール6へ通知する。認証方法変更判定部5は、エンティティ認証の失敗回数を所定回数と照合し、エンティティ認証の失敗回数が所定回数以上であるか否かを判定する。認証方法変更判定部5は、エンティティ認証の失敗回数が所定回数以上であると判定すると、エンティティ認証の認証結果が異常であることを記憶する。
エンティティ認証処理部3は、エンティティ認証要求が正常なデータフォーマットであると判定すると、エンティティ認証処理を実施する。エンティティ認証処理部3は、エンティティ認証に失敗したと判定すると、エンティティ認証結果の異常を認証方法変更判定部5及びリプログツール6へ通知する。認証方法変更判定部5は、エンティティ認証の失敗回数を所定回数と照合し、エンティティ認証の失敗回数が所定回数以上であるか否かを判定する。認証方法変更判定部5は、エンティティ認証の失敗回数が所定回数以上であると判定すると、エンティティ認証の認証結果が異常であることを記憶する。エンティティ認証処理部3は、エンティティ認証に成功したと判定すると、エンティティ認証の認証結果の正常をリプログツール6へ通知する。
書き換え認証処理部4は、外部から書き換え認証要求を受信すると、書き換え認証用の鍵情報と暗号エンジンとを用いて書き換え認証処理を実施する。この場合、書き換え認証用の鍵情報及び暗号エンジンはそれぞれ複数が用意されている。書き換え認証処理部4は、複数の書き換え認証用の鍵情報の中から何れか一つを選定すると共に複数の暗号エンジンの中から何れか一つを選定して認証方法を決定し、その決定した認証方法を用いて書き換え認証処理を実施する。書き換え認証処理部4は、書き換え認証処理を実施すると、その書き換え認証が成功の場合は、書き換え認証の認証結果をリプログツール6へ通知し、その書き換え認証が失敗の場合は、書き換え認証の認証結果を認証方法変更判定部5及びリプログツール6へ通知する。
書き換え認証処理部4は、外部から書き換え認証要求を受信すると、その受信した書き換え認証要求の要求パターンを予め定められている正常な要求パターンと照合し、書き換え認証要求が正常な要求パターンであるか否かを判定する。書き換え認証処理部4は、書き換え認証要求が正常な要求パターンでないと判定すると、エンティティ認証の認証結果の記憶値が異常である場合に、書き換え認証結果の異常を認証方法変更判定部5及びリプログツール6へ通知する。書き換え認証処理部4は、書き換え認証要求が正常な要求パターンであると判定すると、その受信した書き換え認証要求のデータフォーマットを予め定められている正常なデータフォーマットと照合し、その受信した書き換え認証要求が正常なデータフォーマットであるか否かを判定する。書き換え認証処理部4は、書き換え認証要求が正常なデータフォーマットでないと判定すると、エンティティ認証の認証結果の記憶値が異常である場合に、書き換え認証結果の異常を認証方法変更判定部5及びリプログツール6へ通知する。
書き換え認証処理部4は、書き換え認証要求が正常なデータフォーマットであると判定すると、書き換え認証処理を実施する。書き換え認証処理部4は、書き換え認証に失敗すると、エンティティ認証の認証結果の記憶値が異常である場合に、書き換え認証結果の異常を認証方法変更判定部5及びリプログツール6へ通知する。認証方法変更判定部5は、エンティティ認証の認証結果の記憶値が正常である場合に、書き換え認証の失敗回数を所定回数と照合し、書き換え認証の失敗回数が所定回数以上であるか否かを判定する。認証方法変更判定部5は、書き換え認証の失敗回数が所定回数以上であると判定すると、書き換え認証結果の異常を確定する。書き換え認証処理部4は、書き換え認証に成功すると、書き換え認証結果の正常をリプログツール6へ通知する。
認証方法変更判定部5は、エンティティ認証要求の履歴を記憶するエンティティ認証要求履歴記憶部5aと、書き換え認証要求の履歴を記憶する書き換え認証要求履歴記憶部5bとを備える。エンティティ認証要求履歴記憶部5aは、外部からのエンティティ認証要求の認証が所定回数以上失敗したことを記憶する。書き換え認証要求履歴記憶部5bは、外部からの正しい要求パターン且つ正しいデータフォーマットによる書き換え認証要求の認証が所定回数以上失敗したことを記憶する。
図2に示すように、不正なリプログツール7がECU1に接続された場合でも最初にエンティティ認証処理を実施するが、エンティティ認証が突破されると、続いて書き換え認証処理を実施し、書き換え認証も突破されると、不正なプログラムの書き換えが実施される可能性がある。即ち、先行するエンティティ認証と後続する書き換え認証とが順番に突破されると、不正なプログラムの書き換えが実施される可能性がある。この場合、エンティティ認証処理部3は、不正なリプログツール7から不正なエンティティ認証要求を受信すると、エンティティ認証に失敗するが、不正なリプログツール7は、エンティティ認証が成功するまでパラメータを変更してエンティティ認証要求のECU1への送信を繰り返す。
ここで、セキュリティ上の脆弱性を突き、エンティティ認証に成功すると、エンティティ認証の認証結果が正常となり、不正なリプログツール7は、不正な書き換え認証要求をECU1へ送信する。書き換え認証処理部4は、不正なリプログツール7から不正な書き換え認証要求を受信すると、書き換え認証の認証結果が異常となる。しかしながら、エンティティ認証の認証結果が正常であるので、エンティティ認証で使用している鍵情報、暗号アルゴリズムを含む暗号エンジン情報、乱数生成アルゴリズムを含む乱数生成情報等が解読されている可能性が高い。即ち、先行するエンティティ認証の認証結果が正常である状況で後続する書き換え認証の認証結果が異常であれば、エンティティ認証で使用している鍵情報、暗号エンジン情報、乱数生成情報等が解読されている可能性が高い。
このような状況に対し、認証方法変更判定部5は、エンティティ認証の認証結果が正常である状況で書き換え認証の認証結果が異常となると、不正な認証要求を検知し、エンティティ認証の認証方法を変更する。具体的には、認証方法変更判定部5は、鍵情報の変更要求、暗号アルゴリズムの変更要求、乱数生成アルゴリズムの変更要求をエンティティ認証処理部3へ送信し、エンティティ認証で使用する鍵情報、暗号アルゴリズム、乱数生成アルゴリズムの変更をエンティティ認証処理部3に要求する。続いてエンティティ認証処理部3、エンティティ認証の認証方式を変更し、次回以降のエンティティ認証要求時には変更後の認証方式で認証を行う。
認証方法変更判定部5は、エンティティ認証の認証方法を変更することに加え、書き換え認証の認証方法を変更しても良い。具体的には、認証方法変更判定部5は、鍵情報の変更要求、暗号アルゴリズムの変更要求、乱数生成アルゴリズムの変更要求を書き換え認証処理部4へ送信し、書き換え認証で使用する鍵情報、暗号アルゴリズム、乱数生成アルゴリズムの変更を書き換え認証処理部4に要求する。続いて書き換え認証処理部4は、認証方式を変更し、次回以降の書き換え認証要求時には変更後の認証方式で認証を行う。
鍵管理サーバ8がエンティティ認証用の鍵情報及び書き換え認証用の鍵情報を管理する構成では、不正なリプログツール7が鍵管理サーバ8にアクセス不可であるので、ECU1においては、エンティティ認証が突破された場合でもエンティティ認証用の鍵情報を変更することで次回の不正なエンティティ認証要求に対処可能となる。ECU1においては、エンティティ認証用の暗号アルゴリズムや乱数生成アルゴリズムも変更することで次回の不正なエンティティ認証要求に強固に対処可能となる。又、ECU1においては、書き換え認証が突破された場合でも書き換え認証用の鍵情報を変更することで次回の不正な書き換え認証要求に対処可能となる。ECU1においては、書き換え認証用の暗号アルゴリズムや乱数生成アルゴリズムも変更することで次回の不正な書き換え認証要求に強固に対処可能となる。
尚、エンティティ認証用の鍵情報及び書き換え認証用の鍵情報を変更することが必須でなくても良い。即ち、認証方法変更判定部5は、鍵情報の変更要求、暗号アルゴリズムの変更要求、乱数生成アルゴリズムの変更要求のうち少なくとも何れか一つをエンティティ認証処理部3や書き換え認証処理部4へ送信し、鍵情報、暗号アルゴリズム、乱数生成アルゴリズムのうち少なくとも何れか一つの変更をエンティティ認証処理部3や書き換え認証処理部4に要求しても良い。又、認証方式の変更は、エンティティ認証処理部3又は書き換え認証処理部4の両方又は何れか一つであっても良い。
次に、上記した構成の作用について図3から図5を参照して説明する。
制御部2は、認証処理を開始すると、外部からのエンティティ認証要求の受信を待機する(S1)。制御部2は、外部からのエンティティ認証要求を受信したと判定すると(S1:YES)、その受信したエンティティ認証要求が正常な要求パターンであるか否かを判定する(S2)。制御部2は、その受信したエンティティ認証要求が正常な要求パターンでないと判定すると(S2:NO)、エンティティ認証に失敗したと特定し、エンティティ認証の失敗回数をカウントアップし(S3)、そのカウントアップした回数が所定回数以上であるか否かを判定する(S4)。
制御部2は、エンティティ認証の失敗回数が所定回数未満であると判定すると(S4:NO)、エンティティ認証の認証異常を認証要求の送信元へ送信し(S6)、ステップS1に戻り、外部からのエンティティ認証要求の受信を待機する。一方、制御部2は、エンティティ認証の失敗回数が所定回数以上であると判定すると(S4:YES)、エンティティ認証の認証結果が異常であることを記憶し(S5)、エンティティ認証の認証異常を認証要求の送信元へ送信し(S6)、ステップS1に戻り、外部からのエンティティ認証要求の受信を待機する。
制御部2は、その受信したエンティティ認証要求が正常な要求パターンであると判定すると(S2:YES)、その受信したエンティティ認証要求が正常なデータフォーマットであるか否かを判定する(S7)。制御部2は、その受信したエンティティ認証要求が正常なデータフォーマットでないと判定すると(S7:NO)、エンティティ認証に失敗したと特定し、この場合も、上記したステップS3以降の処理を実施する。
制御部2は、その受信したエンティティ認証要求が正常なデータフォーマットであると判定すると(S7:YES)、エンティティ認証処理部3においてエンティティ認証処理を実施し(S8)、エンティティ認証の成功又は失敗を判定する(S9)。制御部2は、エンティティ認証の失敗を判定すると(S9:NO)、この場合も、上記したステップS3以降の処理を実施する。
制御部2は、エンティティ認証の成功を判定すると(S9:YES)、エンティティ認証の認証正常を認証要求の送信元へ送信し(S10)、外部からの書き換え認証要求の受信を待機する(S11)。制御部2は、外部からの書き換え認証要求を受信したと判定すると(S11:YES)、その受信した書き換え認証要求が正常な要求パターンであるか否かを判定する(S12)。制御部2は、その受信した書き換え認証要求が正常な要求パターンでないと判定すると(S12:NO)、書き換え認証に失敗したと特定し、エンティティ認証の認証結果の記憶値が異常を示す値であるか否かを判定する(S13)。
制御部2は、エンティティ認証の認証結果の記憶値が異常を示す値であると判定すると(S13:YES)、エンティティ認証の認証方法変更要求を発動し(S14)、エンティティ認証処理部3におけるエンティティ認証の認証方法を変更する(S15)。即ち、制御部2は、エンティティ認証で使用する鍵情報、暗号アルゴリズム、乱数生成アルゴリズムを変更する。制御部2は、エンティティ認証の認証結果の記憶値及びエンティティ認証の失敗回数カウンタをクリアし(S16)、書き換え認証の認証異常を認証要求の送信元へ送信し(S17)、ステップS1に戻り、外部からのエンティティ認証要求の受信を待機する。
一方、制御部2は、エンティティ認証の認証結果の記憶値が正常を示す値であると判定すると(S13:NO)、書き換え認証の失敗回数が所定回数以上であるか否かを判定する(S18)。制御部2は、書き換え認証の失敗回数が所定未満であると判定すると(S18:NO)、書き換え認証の認証異常を認証要求の送信元へ送信し(S17)、ステップS1に戻り、外部からのエンティティ認証要求の受信を待機する。
制御部2は、書き換え認証の失敗回数が所定回数以上であると判定すると(S18:YES)、書き換え認証の認証結果が異常であることを記憶し(S19)、書き換え認証の認証方法変更要求を発動し(S20)、書き換え認証処理部4における書き換え認証の認証方法を変更する(S21)。即ち、制御部2は、書き換え認証で使用する鍵情報、暗号アルゴリズム、乱数生成アルゴリズムを変更する。制御部2は、書き換え認証の認証結果の記憶値及び書き換え認証の失敗回数カウンタをクリアし(S22)、書き換え認証の認証異常を認証要求の送信元へ送信し(S17)、ステップS1に戻り、外部からのエンティティ認証要求の受信を待機する。
制御部2は、その受信した書き換え認証要求が正常な要求パターンであると判定すると(S12:YES)、その受信した書き換え認証要求が正常なデータフォーマットであるか否かを判定する(S23)。制御部2は、その受信した書き換え認証要求が正常なデータフォーマットでないと判定すると(S23:NO)、書き換え認証に失敗したと特定し、この場合も、上記したステップS13以降の処理を実施する。
制御部2は、その受信した書き換え認証要求が正常なデータフォーマットであると判定すると(S23:YES)、書き換え認証処理部4において書き換え認証処理を実施し(S24)、書き換え認証の成功又は失敗を判定する(S25)。制御部2は、書き換え認証の失敗を判定すると(S25:NO)、書き換え認証に失敗したと特定し、書き換え認証の失敗回数をカウントアップし(S26)、この場合も、上記したステップS13以降の処理を実施する。
一方、制御部2は、書き換え認証の成功を判定すると(S25:YES)、エンティティ認証の認証結果の記憶値及びエンティティ認証の失敗回数カウンタをクリアし(S27)、書き換え認証の認証結果の記憶値及び書き換え認証の失敗回数カウンタをクリアし(S28)、書き換え認証の認証正常を認証要求の送信元へ送信し(S29)、認証処理を終了する。
以上に説明したように実施形態によれば、次に示す作用効果を得ることができる。
ECU1において、エンティティ認証と書き換え認証とを順番に実施する場合に、外部からの不正な認証要求を検知し、エンティティ認証の失敗回数が所定回数以上であり、且つ書き換え認証にて外部からの不正な認証要求を検知すると、エンティティ認証の認証方法を変更するようにした。エンティティ認証の認証方法を変更することで、不正なプログラムの書き換えを適切に未然に回避することができる。
外部からの不正な認証要求を検知すると、エンティティ認証の認証方法を変更することに加え、書き換え認証の失敗回数が所定回数以上であると、書き換え認証の認証方法を変更するようにした。不正なプログラムの書き換えをより強固に未然に回避することができる。
認証要求が正常な要求パターンでないと判定し、認証の失敗回数が所定回数以上であると判定すると、認証結果が異常であると特定し、外部からの不正な認証要求を検知するようにした。認証要求の要求パターンを正常な要求パターンと照合することで、正常な要求パターンでない認証要求を不正な認証要求として特定することができ、外部からの不正な認証要求を検知することができる。
認証要求が正常なデータフォーマットでないと判定し、認証の失敗回数が所定回数以上であると判定すると、認証結果が異常であると特定し、外部からの不正な認証要求を検知するようにした。認証要求のデータフォーマットを正常なデータフォーマットと照合することで、正常なデータフォーマットでない認証要求を不正な認証要求として特定することができ、外部からの不正な認証要求を検知することができる。
認証処理を実施したことによる認証の失敗回数が所定回数以上であると判定すると、認証結果が異常であると特定し、外部からの不正な認証要求を検知するようにした。認証処理を実施したことによる認証の失敗回数を所定回数と照合することで、失敗回数が所定回数以上の書き換え認証要求を不正な認証要求として特定することができ、外部からの不正な認証要求を検知することができる。
上記した実施形態では、リプログツール6がECU1に接続されることで、リプログツール6から更新データがECU1へ転送されると共に書き換え指示がECU1へ通知される構成を説明したが、OTAセンターから配信された更新データが通信ネットワークを介してECU1に転送される構成に適用することもできる。
本開示は、実施例に準拠して記述されたが、当該実施例や構造に限定されるものではないと理解される。本開示は、様々な変形例や均等範囲内の変形をも包含する。加えて、様々な組み合わせや形態、更には、それらに一要素のみ、それ以上、或いはそれ以下を含む他の組み合わせや形態をも、本開示の範疇や思想範囲に入るものである。
本開示に記載の制御部及びその手法は、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリを構成することにより提供された専用コンピュータにより実現されても良い。或いは、本開示に記載の制御部及びその手法は、一つ以上の専用ハードウェア論理回路によりプロセッサを構成することにより提供された専用コンピュータにより実現されても良い。若しくは、本開示に記載の制御部及びその手法は、一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリと一つ以上のハードウェア論理回路により構成されたプロセッサとの組み合わせにより構成された一つ以上の専用コンピュータにより実現されても良い。又、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されていても良い。
図面中、1は電子制御装置、2は制御部、3はエンティティ認証処理部(第1認証処理部)、4は書き換え認証処理部(第2認証処理部)、5は認証方法変更判定部である。

Claims (6)

  1. 外部から更新データが転送されることでプログラムを書き換える際に複数の認証処理を順番に実施する電子制御装置であって、
    前記複数の認証処理をそれぞれ実施する複数の認証処理部(3,4)と、
    外部からの不正な認証要求を検知すると、前記複数の認証のうち少なくとも一つの認証方法を変更する認証方法変更判定部(5)と、を備え
    前記複数の認証処理部は、先行する第1認証処理を実施する第1認証処理部(3)と、後続する第2認証処理を実施する第2認証処理部(4)と、を含み、
    前記認証方法変更判定部は、前記第1認証の認証結果が前記第1認証処理部により正常であると特定され、前記第2認証の認証結果が前記第2認証処理部により異常であると特定されると、外部からの不正な認証要求を検知し、前記第1認証の認証方法を変更する電子制御装置。
  2. 記認証方法変更判定部は、前記第1認証の認証結果が前記第1認証処理部により正常であると特定され、前記第2認証の認証結果が前記第2認証処理部により異常であると特定されると、外部からの不正な認証要求を検知し、前記第1認証の認証方法を変更することに加え、前記第2認証の認証方法を変更する請求項1に記載した電子制御装置。
  3. 前記認証処理部は、外部からの認証要求が正常な要求パターンでないと判定し、認証の失敗回数が所定回数以上であると判定すると、前記認証の認証結果が異常であると特定する請求項1又は2に記載した電子制御装置。
  4. 前記認証処理部は、外部からの認証要求が正常なデータフォーマットでないと判定し、認証の失敗回数が所定回数以上であると判定すると、前記認証の認証結果が異常であると特定する請求項1又は2に記載した電子制御装置。
  5. 前記認証処理部は、前記認証処理を実施したことによる前記認証の失敗回数が所定回数以上であると判定すると、前記認証の認証結果が異常であると特定する請求項1又は2に記載した電子制御装置。
  6. 前記第1認証処理部は、エンティティ認証処理を実施するエンティティ認証処理部であり、
    前記第2認証処理部は、書き換え認証処理を実施する書き換え認証処理部である請求項に記載した電子制御装置。
JP2022070130A 2022-04-21 2022-04-21 電子制御装置 Active JP7768024B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2022070130A JP7768024B2 (ja) 2022-04-21 2022-04-21 電子制御装置
DE102023109180.8A DE102023109180A1 (de) 2022-04-21 2023-04-12 Elektronische steuerungsvorrichtung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022070130A JP7768024B2 (ja) 2022-04-21 2022-04-21 電子制御装置

Publications (2)

Publication Number Publication Date
JP2023160067A JP2023160067A (ja) 2023-11-02
JP7768024B2 true JP7768024B2 (ja) 2025-11-12

Family

ID=88238247

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022070130A Active JP7768024B2 (ja) 2022-04-21 2022-04-21 電子制御装置

Country Status (2)

Country Link
JP (1) JP7768024B2 (ja)
DE (1) DE102023109180A1 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014208627A1 (ja) 2013-06-25 2014-12-31 楽天株式会社 ユーザ認証システム、ユーザ認証方法、プログラム及び情報記憶媒体
JP2018185657A (ja) 2017-04-26 2018-11-22 株式会社東芝 認証装置及びプログラム
JP2020120367A (ja) 2019-01-28 2020-08-06 オムロン株式会社 セーフティシステムおよびメンテナンス方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6387908B2 (ja) 2015-06-22 2018-09-12 トヨタ自動車株式会社 認証システム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014208627A1 (ja) 2013-06-25 2014-12-31 楽天株式会社 ユーザ認証システム、ユーザ認証方法、プログラム及び情報記憶媒体
JP2018185657A (ja) 2017-04-26 2018-11-22 株式会社東芝 認証装置及びプログラム
JP2020120367A (ja) 2019-01-28 2020-08-06 オムロン株式会社 セーフティシステムおよびメンテナンス方法

Also Published As

Publication number Publication date
JP2023160067A (ja) 2023-11-02
DE102023109180A1 (de) 2023-10-26

Similar Documents

Publication Publication Date Title
CN110169036B (zh) 用于更新可编程装置的方法、系统、机器可读介质
JP6773617B2 (ja) 更新制御装置、ソフトウェア更新システムおよび更新制御方法
US12039050B2 (en) Information processing device
US20170250818A1 (en) Method and System for Securely Updating Field Upgradeable Units
CN108694095A (zh) 使用来自分布式分类账的已知良好状态的故障转移响应
WO2016167926A1 (en) Secure software authentication and verification
US20230114009A1 (en) Information Processing Apparatus and Program Starting Method
CN112751832A (zh) 一种虚拟机操作系统在线授权认证方法、设备和存储介质
CN116964580A (zh) 数字设备的可信计算
US20210034749A1 (en) Information processing apparatus
CN108270767A (zh) 数据验证方法
CN109190335B (zh) 一种软件版权保护方法和系统
JP7768024B2 (ja) 電子制御装置
CN112307481B (zh) 一种系统可信启动方法、电子设备及计算机可读存储介质
JP6997260B2 (ja) 通信装置およびメッセージを認証するための方法
US20160232361A1 (en) Device and method for safely operating the device
CN120512262A (zh) 使用远程证明的设备权利授权
CN114091008A (zh) 用于对控制设备进行安全更新的方法
JP7067508B2 (ja) ネットワークシステム
CN108228219B (zh) 一种带外刷新bios时验证bios合法性的方法及装置
JP2024151397A (ja) プロセッサシステム
US12500753B2 (en) Electronic control unit and storage medium
CN116155974B (zh) 一种建立数据连接的方法、装置及电子设备
JP7803121B2 (ja) 電子制御装置
CN111970124B (zh) 计算机工厂模式控制方法、装置、计算机设备和存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240805

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20250704

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20250805

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20250912

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20250930

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20251013

R150 Certificate of patent or registration of utility model

Ref document number: 7768024

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150