JP2005242871A - 通信システム - Google Patents

通信システム Download PDF

Info

Publication number
JP2005242871A
JP2005242871A JP2004054251A JP2004054251A JP2005242871A JP 2005242871 A JP2005242871 A JP 2005242871A JP 2004054251 A JP2004054251 A JP 2004054251A JP 2004054251 A JP2004054251 A JP 2004054251A JP 2005242871 A JP2005242871 A JP 2005242871A
Authority
JP
Japan
Prior art keywords
electronic device
memory data
data
communication system
child
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004054251A
Other languages
English (en)
Inventor
Kenichi Wakiyama
賢一 脇山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2004054251A priority Critical patent/JP2005242871A/ja
Priority to US11/065,284 priority patent/US7295136B2/en
Publication of JP2005242871A publication Critical patent/JP2005242871A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11CSTATIC STORES
    • G11C7/00Arrangements for writing information into, or reading information out from, a digital store
    • G11C7/24Memory cell safety or protection circuits, e.g. arrangements for preventing inadvertent reading or writing; Status cells; Test cells
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11CSTATIC STORES
    • G11C16/00Erasable programmable read-only memories
    • G11C16/02Erasable programmable read-only memories electrically programmable
    • G11C16/06Auxiliary circuits, e.g. for writing into memory
    • G11C16/22Safety or protection circuits preventing unauthorised or accidental access to memory cells
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】 通信システムを構成する電子装置の内蔵データが改竄されたことを検出する。
【解決手段】 車両内の通信ラインに複数のECUと1つのゲートウェイが接続された通信システムにおいて、各ECUは、イグニッションスイッチ(以下、IG)のオフに伴い動作を停止する直前に、自装置に内蔵されているデータのハッシュ値をゲートウェイへ送信し、ゲートウェイが、その各ECUからのハッシュ値を比較用データとして自己のEEPROMに記憶する。そして、IGがオンされて各ECUが動作を開始した際に、その各ECUが、自装置に内蔵されているデータのハッシュ値をゲートウェイへ送信し(S120)、ゲートウェイが、各ECUについて、そのECUからのハッシュ値と、自己のEEPROM内の上記比較用データとを比較して、両値が不一致ならば、そのECUの内蔵データは改竄されていると判定する(S220,S230)。
【選択図】 図2

Description

本発明は、通信ラインに複数の電子装置が接続された通信システムに関する。
従来より、例えば自動車においては、複数の電子制御装置(以下、ECUという)間で情報提供や連係動作のためのデータ通信ができるように、図6に例示する如く各ECUを通信ライン100で接続して、通信システム(所謂車載LAN)を構築している。
ここで、図6に例示する通信システムは、自動変速機を制御するECT・ECU101と、エンジンを制御するエンジンECU102と、メータの表示を制御するメータECU103と、車両の走行距離を積算する距離積算ECU104とからなっている。
そして、距離積算ECU104は、他のECU(例えばECT・ECU101)から送信される車速値(詳しくは、車速値のデータ)を受信して、その車速値から車両の総走行距離を積算し、その距離積算値(詳しくは、距離積算値のデータ)を、メータECU103へ送信する。すると、メータECU103は、その距離積算ECU104からの距離積算値をオドメータ(総走行距離計)に表示させることとなる。
そして更に、距離積算ECU104は、車両のバッテリが外されても距離積算値を失わないように、その距離積算値を電気的にデータの書き換えが可能なEEPROM105に更新記憶するようにしている。尚、こうした動作は、CPU106がプログラムを実行することで実現される。また、EEPROM等のデータ書き換え可能な不揮発性メモリには、データの書き込み/消去の回数に制限があるため、EEPROM105への距離積算値の更新記憶は、算出される値が所定値(例えば1km分)だけ増加する毎に行われる(例えば、非特許文献1参照)。
水谷集治監修,カーエレクトロニクス研究会編著,「新カーエレクトロニクス」,株式会社山海堂,平成4年4月,p.117−122
ところで、上記図6の通信システムでは、距離積算ECU104のEEPROM105が不正に交換されることで、オドメータに表示される総走行距離の値が改竄されてしまうという問題がある。つまり、距離積算ECU104に内蔵される距離積算値が、EEPROM105の交換によって改竄されてしまうということであり、このような改竄行為が起こると、車両の価値が不正に変わってしまうこととなる。
また近年では、ECUに盗難防止用などの様々なセキュリティ機能が組み込まれているが、距離積算値のような演算データに限らず、各ECUに内蔵されたプログラムが改竄されることで、そのようなセキュリティ機能を無効にされてしまう可能性もある。
そこで本発明は、通信システムを構成する電子装置のプログラムやデータが改竄されたことを検出できるようにすることを目的としている。
上記目的を達成するためになされた請求項1の通信システムでは、通信ラインに接続された複数の電子装置のうちの特定の電子装置である親電子装置が、他の電子装置である子電子装置から、その子電子装置に内蔵されている改竄検出対象のメモリデータの特徴を表す情報(以下、特徴情報ともいう)を受信する。そして更に、親電子装置は、その子電子装置から受信した特徴情報と、当該親電子装置の記憶手段に事前に記憶されている改竄有無判定用基準情報とを比較することにより、その子電子装置に内蔵されているメモリデータが改竄されたか否かを判定する。
尚、親電子装置の記憶手段に事前に記憶しておく改竄有無判定用基準情報としては、子電子装置からの特徴情報と比較することで、その子電子装置に内蔵されているメモリデータが改竄されたか否かを判別できる情報であれば良く、例えば、子電子装置に内蔵されたプログラムや固定のデータを改竄検出対象のメモリデータとするのであれば、子電子装置が送信するはずの特徴情報と同じものを、親電子装置の製造時等において、記憶手段に改竄有無判定用基準情報として記憶しておけば良い。この場合、親電子装置は、子電子装置からの特徴情報と、記憶手段内の改竄有無判定用基準情報とが不一致ならば、子電子装置のメモリデータが改竄されたと判定することができる。
このような通信システムによれば、子電子装置に内蔵された改竄検出対象のメモリデータが改竄されたことを確実に検出することができる。
また特に、請求項2の通信システムでは、子電子装置が動作を停止する直前に、該子電子装置が、親電子装置へ、自装置が現在内蔵しているメモリデータの特徴を表す情報を送信すると共に、親電子装置が、その子電子装置からの情報(特徴情報)を改竄有無判定用基準情報として記憶手段に記憶する。
そして、子電子装置が動作を開始した際に、該子電子装置が、親電子装置へ、自装置が現在内蔵しているメモリデータの特徴を表す情報を送信すると共に、親電子装置が、その子電子装置からの情報と、記憶手段に記憶されている改竄有無判定用基準情報(即ち、子電子装置が動作を停止する直前に送信して来た特徴情報)とを比較して、その両情報が一致していなければ、子電子装置に内蔵されているメモリデータが改竄されたと判定するようになっている。
つまり、この通信システムでは、子電子装置が動作を停止する直前の最終状態でのメモリデータの特徴を表す特徴情報が、親電子装置の記憶手段に改竄有無判定用基準情報として記憶され、その改竄有無判定用基準情報と、子電子装置が動作を開始した時点でのメモリデータの特徴を表す特徴情報とが不一致ならば、子電子装置のメモリデータが改竄されたと判定するようにしている。
この構成によれば、改竄検出対象のメモリデータが、プログラムや固定のデータのみならず、子電子装置の動作中に値が変化する演算データであっても、効率良く改竄検出を行うことができる。改竄検出対象のメモリデータが、どのようなものであっても、子電子装置が動作を停止している間に違う内容に改竄されたならば、その子電子装置が動作を再開した際に、メモリデータの改竄が親電子装置にて確実に検出することができるからである。
尚、親電子装置は、常時動作するように構成されていても良いし、また、子電子装置が動作を停止する直前に送信する特徴情報を記憶手段に記憶したら動作を停止し、その後、子電子装置と共に動作を開始するように構成されていても良い。
ところで、メモリデータの特徴を表す情報(特徴情報)としては、請求項3に記載の如く、そのメモリデータそのものであっても良い。
また、メモリデータの特徴情報としては、請求項4に記載の如く、メモリデータの所定の関数による関数値(即ち、メモリデータを引数として所定の関数の処理を行った結果の値)であっても良い。そして、特徴情報として、こうした関数値を用いたならば、元のメモリデータよりも関数値の方が一般にデータ量が小さいため、子電子装置から親電子装置に送信するデータ量や親電子装置側で記憶する改竄有無判定用基準情報のデータ量を抑えることができる。
一方、請求項5の通信システムでは、改竄検出対象のメモリデータが、子電子装置の動作中に値が所定の変化傾向で更新されていくデータ(演算データ)であり、また、メモリデータの特徴を表す情報(特徴情報)として、メモリデータそのものを用いている。
そして、この通信システムにおいて、子電子装置は、予め定められたタイミング毎に、親電子装置へ、自装置が現在内蔵しているメモリデータを送信し、親電子装置は、その子電子装置からのメモリデータを受信すると共に、今回受信したメモリデータの値D[n]と、前回受信して記憶手段に改竄有無判定用基準情報として記憶しておいたメモリデータの値D[n-1]との関係が、前記変化傾向に合った関係になっていなければ、子電子装置に内蔵されているメモリデータが改竄されたと判定する。
例えば、メモリデータの変化傾向が増加であるならば、「D[n]<D[n-1]」の関係になっている場合に、改竄と判定することができ、逆に、メモリデータの変化傾向が減少であるならば、「D[n]>D[n-1]」の関係になっている場合に、改竄と判定することができる。
このような通信システムによれば、子電子装置の動作中に値が更新される演算データが、その子電子装置の動作中に改竄されたとしても、その改竄を確実に検出することができる。
次に、請求項6の通信システムでは、メモリデータの特徴を表す情報として、そのメモリデータの一方向性関数による関数値(メモリデータを引数として一方向性関数の処理を行った結果の値)を用いている。
そして、この通信システムにおいて、子電子装置は、予め定められたタイミング毎に、自装置が現在内蔵しているメモリデータの一方向性関数による関数値を算出すると共に、前回算出した関数値(以下、旧関数値という)Voldを前記メモリデータの格納先である記憶媒体から読み出して、その読み出した旧関数値Voldと、今回算出した関数値(以下、新関数値という)Vnewとを、親電子装置に送信し、更に、今回算出した新関数値Vnewを次回に送信する旧関数値Voldとして前記記憶媒体に更新記憶する。
また、親電子装置は、子電子装置からの新関数値Vnew及び旧関数値Voldを受信すると共に、今回受信した旧関数値Vold[n]と、前回受信して記憶手段に改竄有無判定用基準情報として記憶しておいた新関数値(即ち、前回の新関数値)Vnew[n-1]とを比較して、その両関数値Vold[n],Vnew[n-1]が一致していなければ、子電子装置に内蔵されているメモリデータが改竄されたと判定する。つまり、子電子装置にて改竄検出対象のメモリデータが格納された記憶媒体が正常であれば、子電子装置から今回受信する旧関数値Vold[n]と、子電子装置から前回受信した新関数値Vnew[n-1]とは同じはずであるため、その関係が崩れたならば、改竄と判定している。
このような通信システムによれば、メモリデータの特徴を表す情報として一方向性関数による関数値を用いるにも拘わらず、子電子装置内の演算データが、その子電子装置の動作中に改竄されたことを検出することができるようになる。具体的には、第三者が、子電子装置内の演算データを改竄するために、その子電子装置の記憶媒体のデータを書き換えたり該記憶媒体を交換したりすると、親電子装置にて、メモリデータが改竄されたと判定されるからである。
つまり、一方向性関数の特性上、結果値である関数値からは引数である元のメモリデータを逆算することはできないため、前述した請求項5の通信システムにおいて、子電子装置から親電子装置へ、ただ単に、メモリデータの代わりに、そのメモリデータの一方向性関数による関数値を送信するようにしたのでは、改竄の有無を判定することができないが、請求項6の通信システムによれば改竄検出が可能となる。
ところで、親電子装置の記憶手段として、耐タンパ性の記憶装置(いわゆる耐タンパ性モジュール(Tamper Resistant Module))を用いれば、メモリデータの改竄に対する保護機能を一層高めることができる。つまり、子電子装置内のメモリデータの改竄に合わせて、親電子装置側の改竄有無判定用基準情報も改竄し、親電子装置にて改竄と判定されないようにする、といった第三者の不正行為を防止できるからである。
以下に、本発明が適用された実施形態の通信システムについて説明する。尚、本実施形態の通信システムは、自動車に搭載された複数のECUをノードとした車載LANを成すものである。
まず図1は、第1実施形態の通信システム1の構成を表すブロック図である。
本第1実施形態の通信システム1は、自動変速機を制御するECT・ECU11、エンジンを制御するエンジンECU12、メータの表示を制御するメータECU13、及び車両の走行距離を積算する距離積算ECU14が、通信ラインL1に接続された制御系ネットワークN1と、ナビゲーション装置に関する制御を行うナビECU15、及び車両外部の情報センタに設置されている無線通信装置との通信を制御するテレマティクスECU16が、通信ラインL2に接続されたマルチメディア系ネットワークN2とを備えている。
更に、上記両通信ラインL1,L2には、ゲートウェイ(GW)21が接続されており、制御系ネットワークN1のECU11〜14とマルチメディア系ネットワークN2のECU15,16は、そのゲートウェイ21を介して通信できるようになっている。
一方、各ECU11〜16には、自装置に関する各種処理を実行するマイコン(以下、CPUという)11a〜16aが搭載されている。尚、図示は省略しているが、CPU11a〜16aには、実行対象のプログラムが格納されたROMやデータを一時記憶するためのRAMなどが内蔵されている。更に、各ECU11〜16には、CPU11a〜16aが演算するデータ(演算データ)の全部又は一部を継続的に保存するためのデータ書き換え可能な不揮発性メモリとして、EEPROM11b〜16bも搭載されている。そして、そのEEPROM11b〜16bには、ECU11〜14毎に用途は異なるが、CPU11a〜16aが実行するプログラムの一部や固定のデータも記憶される。また、ゲートウェイ21にも、ECU11〜16と同様に、CPU21a及びEEPROM21bが搭載されている。
そして、本通信システム1では、例えば、ECT・ECU11が、車速センサ31からの信号に基づき車速を検出して、その検出した車速値を、自装置における制御処理に用いると共に、通信ラインL1へ定期的に送信する。また、エンジンECU12が、水温センサ32からの信号に基づきエンジンの冷却水温を検出して、その検出した水温値を、自装置における制御処理に用いると共に、通信ラインL1へ定期的に送信する。また更に、距離積算ECU14が、ECT・ECU11からの車速値を受信して、その車速値から車両の総走行距離を積算し、その距離積算値を通信ラインL1へ定期的に送信する。尚、「背景技術」の欄でも述べたように、距離積算ECU14では、算出した距離積算値をEEPROM14bに記憶して継続的に保存する。そして、メータECU13が、距離積算ECU14からの距離積算値をオドメータに表示させると共に、ECT・ECU11からの車速値を車速メータに表示させ、更に、エンジンECU12からの水温値を水温メータに表示させる。
また、本通信システム1において、制御系ネットワークN1のECU11〜14とゲートウェイ21は、車両のイグニッションスイッチ(図示省略)がオンされると、バッテリからの電源供給が開始されて初期状態から動作を開始(いわゆるイニシャルスタート)するようになっている。
そして、イグニッションスイッチがオフされると、ECU11〜14及びゲートウェイ21の各々にて終了処理が行われた後、その各ECU11〜14及びゲートウェイ21への電源供給が停止されて、それらが動作を停止するようになっている。
尚、こうした電源供給の開始/停止は、例えば下記(1)〜(5)の構成及び手順で実現されている。
(1)まず、ECU11〜14及びゲートウェイ21には、バッテリからの電源が、電源供給用のリレー(以下、給電用リレーという)を介して供給されるようになっている。
そして、イグニッションスイッチがオンされると、上記給電用リレーがオンして、ECU11〜14及びゲートウェイ21にバッテリからの電源が供給され、その結果、ECU11〜14及びゲートウェイ21が動作を開始するようになっている。
(2)また、イグニッションスイッチのオンに伴いECU11〜14及びゲートウェイ21が動作を開始すると、それらのうちの少なくとも1つ(本実施形態では例えばゲートウェイ21)が、上記給電用リレーをオン状態に保持させる。尚、このように給電用リレーをオン状態に保持させる自己保持制御を担う電子装置(この例ではゲートウェイ21)には、イグニッションスイッチのオン/オフ状態を示すイグニッションスイッチ信号が入力されている。
(3)その後、イグニッションスイッチがオフされると、そのことをゲートウェイ21が検知する。そして、ゲートウェイ21は、イグニッションスイッチがオフされたことを示すスイッチ情報を通信ラインL1に送信して、そのこと(即ち、イグニッションスイッチがオフされたこと)をECU11〜14に報知すると共に、自装置の終了処理を実行する。
(4)また、ECU11〜14は、ゲートウェイ21からの上記スイッチ情報によって、イグニッションスイッチがオフされたことを検知すると、各自の終了処理を実行し、その終了処理が完了すると、その旨を示す処理完了信号をゲートウェイ21へ送信する。
(5)そして、ゲートウェイ21は、ECU11〜14の全てから上記処理完了信号が送信されたことを検知し、且つ、自装置の終了処理も完了したならば、上記給電用リレーをオフさせる。すると、ECU11〜14及びゲートウェイ21への電源供給が停止されることとなる。
一方、マルチメディア系ネットワークN2のECU15,16には、車両のアクセサリ系電源ライン(即ち、車両のキーがキーシリンダにおけるアクセサリ位置又はイグニッション位置に操作されている時にバッテリと接続される電源ライン)から電源が供給されるようになっている。また、ゲートウェイ21への電源供給が停止されて該ゲートウェイ21が動作を停止している時(即ち、制御系ネットワークN1の休止時)には、そのゲートウェイ21においてマルチメディア系ネットワークN2の通信ラインL2に接続された通信回路(図示省略)の出力がハイインピーダンス状態となり、その通信ラインL2に影響を与えないようになっている。
ここで特に、本通信システム1では、制御系ネットワークN1のECU11〜14に内蔵されているプログラムやデータが改竄されたことを検出するために、その各ECU11〜14とゲートウェイ21とが図2及び図3に示す処理を実行するようになっている。
尚、それら改竄検出用の処理は、実際には、ECU11〜14とゲートウェイ21の各々に搭載されたCPU11a〜14a,21aが自己に内蔵のROMに格納されているプログラムを実行することで行われる。また、本第1実施形態では、各ECU11〜14のEEPROM11a〜14a内の全データが改竄検出対象であるものとして説明するが、EEPROM11b〜14b内のデータの一部を改竄検出対象としても良い。
そこで次に、改竄検出のための処理について説明する。
まず、イグニッションスイッチがオンされてECU11〜14が動作を開始すると、その各ECU11〜14のCPU11a〜14aが、図2(A)の処理をそれぞれ実行する。
そして、各ECU11〜14のCPU11a〜14aが、図2(A)の処理を開始すると、まずS110にて、RAMなどを初期化するための初期化処理を行い、続くS120にて、自装置のEEPROM(11a〜14a)に現在記憶されているデータ(即ち、演算データ,固定データ,プログラム)に対し一方向性関数であるハッシュ関数の処理を施して(つまり、そのデータを引数としてハッシュ関数の処理を行い)、そのデータのハッシュ関数による関数値(結果値)であるハッシュ値を算出し、その算出したハッシュ値を、EEPROM内のデータの特徴を表す特徴情報としてゲートウェイ21に送信する。
次に、続くS130にて、ゲートウェイ21から後述する図2(B)の処理によって送信されて来るチェック結果信号を受信し、そのチェック結果信号が「改竄無し」を示しているか否かを判定する。
そして、チェック結果信号が「改竄無し」を示していたならば(S130:YES)、通常処理を実行する。尚、通常処理とは、そのECUに特有の処理であり、例えばエンジンECU12ならばエンジンを制御するための処理であり、距離積算ECU14ならば車両の総走行距離を表す距離積算値を算出する処理である。
また、ゲートウェイ21からのチェック結果信号が「改竄有り」を示していれば(S130:NO)、S140に移行して、予め定められたフェイルセーフ処理を行う。
一方、イグニッションスイッチがオンされてゲートウェイ21が動作を開始すると、そのゲートウェイ21のCPU21aが、図2(B)の処理を実行する。
そして、ゲートウェイ21のCPU21aが、図2(B)の処理を開始すると、まずS210にて、RAMなどを初期化するための初期化処理を行い、続くS220にて、各ECU11〜14から図2(A)のS120の処理によって送信されて来るハッシュ値をそれぞれ受信する。
次に、続くS230にて、ECU11〜14の各々について、上記S220で受信したハッシュ値と、当該ゲートウェイ21のEEPROM21bに事前に記憶されている改竄有無判定用基準情報(以下、比較用データともいう)とに基づいて、そのECUのEEPROM内のデータが改竄されたか否かの改竄チェックを行う。
尚、EEPROM21bには、ECU11〜14の各々について、そのECUがイグニッションスイッチのオンに伴い動作を開始した時点で該ECUのEEPROMに記憶されているはずのデータのハッシュ値が、比較用データとして、後述する図3の処理により記憶されている。そして、S230では、ECU11〜14の各々について、上記S220で受信したハッシュ値と、EEPROM21bに記憶されている比較用データとしてのハッシュ値とを比較し、その両ハッシュ値が一致していれば、そのECUのEEPROM内のデータは改竄されていない(改竄無し)と判定し、逆に、両ハッシュ値が不一致ならば、そのECUのEEPROM内のデータが改竄された(改竄有り)と判定する。
そして、続くS240にて、各ECU11〜14へ、そのECUについての改竄チェック結果を表すチェック結果信号を送信し、その後、他の処理を実行する。
次に、各ECU11〜14のCPU11a〜14aは、イグニッションスイッチがオフされたことを検知すると、図3(A)の処理をそれぞれ実行する。
そして、各ECU11〜14のCPU11a〜14aが図3(A)の処理を開始すると、まずS310にて、前述したS120と同様に、自装置のEEPROM(11a〜14a)に現在記憶されているデータのハッシュ値を算出し、その算出したハッシュ値を、EEPROM内のデータの特徴を表す特徴情報としてゲートウェイ21に送信する。
そして、続くS320にて、自装置の終了処理を実行し、その後、ゲートウェイ21へ前述した処理完了信号を送信する。すると、その後、ゲートウェイ21の前述した(5)の機能により、当該ECUへの電源供給が停止されることとなる。
一方、ゲートウェイ21のCPU21aは、イグニッションスイッチがオフされたことを検知すると、図3(B)の処理を実行する。
そして、ゲートウェイ21のCPU21aが図3(B)の処理を開始すると、まずS410にて、各ECU11〜14から図3(A)のS310の処理によって送信されて来るハッシュ値をそれぞれ受信する。
次に、続くS420にて、上記S410で受信した各ECU11〜14からのハッシュ値を、そのECUについての前述した比較用データとして、EEPROM21bにそれぞれ記憶する。そして、続くS430にて、自装置の終了処理を実行する。
尚、その後、ゲートウェイ21のCPU21aは、前述した(5)の機能により、給電用リレーをオフさせて、当該ゲートウェイ21及びECU11〜14への電源供給を停止させることとなる。
つまり、本通信システム1では、イグニッションスイッチがオフされてECU11〜14が動作を停止する直前に、その各ECU11〜14が、ゲートウェイ21へ、自装置のEEPROM(11b〜14b)に格納されているデータ(内蔵データ)の特徴量であるハッシュ値を送信し(S310)、ゲートウェイ21が、その各ECU11〜14からのハッシュ値を、改竄検出のための比較用データとして、当該ゲートウェイ21のEEPROM21bに記憶するようになっている(S410,420)。
そして、イグニッションスイッチがオンされてECU11〜14が動作を開始した際に、その各ECU11〜14が、ゲートウェイ21へ、自装置のEEPROM(11b〜14b)に格納されているデータの特徴量であるハッシュ値を送信し(S120)、ゲートウェイ21が、各ECU11〜14について、そのECUから送信されて来たハッシュ値と、EEPROM21bに記憶されている比較用データ(即ち、そのECUが動作を停止する直前に送信して来たハッシュ値)とを比較して、その両ハッシュ値が一致していなければ、そのECUのEEPROM内のデータは改竄されていると判定するようになっている(S220,S230)。
このような本通信システム1によれば、各ECU11〜14におけるEEPROM(11b〜14b)内のデータが改竄されたことを、そのデータが、プログラムや固定のデータのみならず、ECUの動作中に値が変化する演算データであっても、効率良く検出することができる。EEPROM11b〜14b内のデータが、どのようなものであっても、ECU11〜14が動作を停止している間に違う内容に改竄されたならば、そのECUが動作を再開した際に、データの改竄がゲートウェイ21にて確実に検出されるからである。よって、例えば、距離積算ECU14のEEPROM14bが不正に交換されて、メータECU13によりオドメータに表示される総走行距離が本当の値よりも小さい値に改竄されてしまう、といった不正行為の発生を確実に検出することができる。
尚、ゲートウェイ21のCPU21aが図3(B)の処理を未だ一度も実行していないのに図2(B)の処理を実行した場合(即ち、車両が完成してから初めてイグニッションスイッチがオンされた場合)には、EEPROM21bには図3(B)の処理によって比較用データが未だ記憶されていないため、その場合にだけは、図2(B)におけるS230の改竄チェックをスキップし、続くS240では、各ECU11〜14へ、「改竄無し」を示すチェック結果信号を無条件で送信するように構成すれば良い。
また、S230の改竄チェックを1回目だけスキップするのではなく、例えば車両の製造時において、各ECU11〜14のEEPROM11b〜14bに記憶されるデータ(演算データ,固定データ,プログラム)の初期値から算出したハッシュ値を、ゲートウェイ21のEEPROM21bへ、比較用データの初期値として記憶しておいても良い。そして、このようにすれば、イグニッションスイッチが初めてオンされた時から、改竄チェックを実施することができる。
一方、本第1実施形態では、ゲートウェイ21が親電子装置に相当し、ECU11〜14の各々が子電子装置に相当し、ゲートウェイ21のEEPROM21bが、親電子装置の記憶手段に相当している。
また、上記第1実施形態において、図2(A)のS120と図3(A)のS310とで、各ECU11〜14がゲートウェイ21へ送信する特徴情報としては、ハッシュ値でなく、その時点で自装置のEEPROM(11a〜14a)に記憶されている改竄チェック対象(改竄検出対象)のデータそのものとするように構成しても良い。但し、このようにすると、各ECU11〜14からゲートウェイ21へ送信されるデータ量が増加すると共に、図3(B)のS420でゲートウェイ21のEEPROM21bに記憶しなければならない比較用データの量も増加するため、前述したように、ECU11〜14からゲートウェイ21へはハッシュ値を送信するようにした方が有利である。
また、各ECU11〜14がゲートウェイ21へ送信する特徴情報を算出するための関数としては、引数が異なれば必ず違う結果が得られる関数であれば、ハッシュ関数以外の他の関数を用いても良い。
一方、ゲートウェイ21は、例えば常時動作するように構成しても良い。
また、ゲートウェイ21は、各ECU11〜14から図3(A)のS310で送信される特徴情報を確実に受信してEEPROM21bに記憶できるのであれば、マルチメディア系ネットワークN2のECU15,16と同様に、アクセサリ系電源ラインから電源が供給されて動作するようにしても良い。
次に、第2実施形態の通信システムについて説明する。尚、第2実施形態の通信システムは、第1実施形態の通信システム1とハードウェア構成は同じであるため、以下の説明において、各部の符号は第1実施形態と同じものを用いる。
第2実施形態の通信システム1は、第1実施形態と比較すると、各ECU11〜14のCPU11a〜14aが、前述した処理に加えて更に図4(A)の処理を実行し、ゲートウェイ21のCPU21aが、前述した処理に加えて更に図4(B)の処理を実行する。尚、図4の処理も、CPU11a〜14a,21aが自己に内蔵のROMに格納されているプログラムを実行することで行われる。
即ち、まず、各ECU11〜14のCPU11a〜14aは、イグニッションスイッチがオンされている動作期間中において、例えば一定周期の定期送信タイミングが到来する毎に、図4(A)の処理をそれぞれ実行する。
そして、各ECU11〜14のCPU11a〜14aが、図4(A)の処理を開始すると、S510にて、自装置のEEPROM(11a〜14a)に現在記憶されているデータのうち、自装置の動作中に値が所定の変化傾向で更新されていく演算データを、動作中に改竄チェックを行うべきデータ(以下、動作中改竄チェック対象データという)としてゲートウェイ21に送信し、その後、当該図4(A)の処理を終了する。例えば、距離積算ECU14ならば、上記S510の処理により、EEPROM14bに記憶されている距離積算値を送信することとなる。
一方、ゲートウェイ21のCPU21aは、イグニッションスイッチがオンされている期間中に図4(B)の処理を実行する。
そして、ゲートウェイ21のCPU21aが、図4(B)の処理を開始すると、まずS610にて、各ECU11〜14から上記図4(A)の処理で送信されて来る動作中改竄チェック対象データの何れかを受信するまで待つ。
そして、動作中改竄チェック対象データを受信したならば(S610:YES)、S620に進んで、今回受信した動作中改竄チェック対象データの値D[n]と、その動作中改竄チェック対象データを前回受信した際にEEPROM21bに記憶しておいた該データの前回の受信値(改竄有無判定用基準情報に相当)D[n-1]とを比較することにより、その動作中改竄チェック対象データがECU側で改竄されたか否かの改竄チェックを行う。
具体的には、両値D[n],D[n-1]の関係が、その動作中改竄チェック対象データの変化傾向に合った関係になっていなければ、改竄されたと判定する。例えば、受信した動作中改竄チェック対象データが距離積算ECU14からの距離積算値であったとすると、その距離積算値の変化傾向は増加であるため、「D[n]<D[n-1]」の関係になっている場合に、「改竄有り」と判定する。
そして、続くS630にて、上記S620での改竄チェックの結果を判定し、改竄チェック結果が「改竄無し」であったならば、S640に進んで、今回受信して改竄無しと判定した動作中改竄チェック対象データの値D[n]を、その動作中改竄チェック対象データの前回の受信値D[n-1]としてEEPROM21bに更新記憶し、その後S610に戻る。尚、このS640で記憶された値D[n-1]が、次に同じ種類の動作中改竄チェック対象データを受信した際に、上記S620での改竄チェックに用いられる。
また、上記S630にて、改竄チェック結果が「改竄有り」であったと判定したならば(S630:NO)、S650に移行し、今回受信して改竄有りと判定した動作中改竄チェック対象データの送信元であるECU(或いは更にそのECUから情報が提供される他のECU)へ、改竄報知信号を送信し、その後、S610へ戻る。
すると、その改竄報知信号を受信したECUでは、所定のフェイルセーフ処理を行うこととなる。
以上のような第2実施形態の通信システム1によれば、ECU11〜14の動作中に値が更新される演算データが、そのECUの動作中に改竄されたとしても、その改竄を確実に検出することができるようになる。
尚、図4(B)の処理において、S640では、今回受信した動作中改竄チェック対象データの値D[n]を、前回の受信値D[n-1]としてRAMに記憶すると共に、S620では、そのRAMから前回の受信値D[n-1]を読み出すようにしても良い。そして、この場合には、ゲートウェイ21におけるCPU21a内の上記RAMが、親電子装置の記憶手段(請求項5)に相当することとなる。
次に、第3実施形態の通信システムについて説明する。尚、第3実施形態の通信システムも、第1実施形態の通信システム1とハードウェア構成は同じであるため、以下の説明において、各部の符号は第1実施形態と同じものを用いる。
第3実施形態の通信システム1は、第1実施形態と比較すると、各ECU11〜14のCPU11a〜14aが、前述した処理に加えて更に図5(A)の処理を実行し、ゲートウェイ21のCPU21aが、前述した処理に加えて更に図5(B)の処理を実行する。尚、図5の処理も、CPU11a〜14a,21aが自己に内蔵のROMに格納されているプログラムを実行することで行われる。
即ち、まず、各ECU11〜14のCPU11a〜14aは、イグニッションスイッチがオンされている動作期間中において、例えば一定周期の定期送信タイミングが到来する毎に、図5(A)の処理をそれぞれ実行する。
そして、各ECU11〜14のCPU11a〜14aが、図5(A)の処理を開始すると、まずS710にて、自装置のEEPROM(11a〜14a)に現在記憶されているデータに対しハッシュ関数の処理を施して、そのデータのハッシュ値を算出する。尚、ここでは、各ECU11〜14のEEPROM11a〜14a内の全データを改竄検出対象として、その全データのハッシュ値を算出するものとするが、EEPROM11b〜14b内のデータの一部を改竄検出対象として、その一部のデータのハッシュ値を算出するようにしても良い。
次に、S720にて、前回のS710で算出したハッシュ値(以下、旧ハッシュ値という)Holdを自装置のEEPROM(11a〜14a)から読み出し、続くS730にて、その読み出した旧ハッシュ値Holdと、今回のS710で算出したハッシュ値(以下、新ハッシュ値という)Hnewとを、ゲートウェイ21に送信する。
そして、続くS740にて、今回のS710で算出した新ハッシュ値Hnewを、次回のS720で読み出す旧ハッシュ値Holdとして自装置のEEPROM(11a〜14a)に更新記憶し、その後、当該図5(A)の処理を終了する。
一方、ゲートウェイ21のCPU21aは、イグニッションスイッチがオンされている期間中に図5(B)の処理を実行する。
そして、ゲートウェイ21のCPU21aが、図5(B)の処理を開始すると、まずS810にて、各ECU11〜14から上記図5(A)の処理で送信されて来る新・旧ハッシュ値Hnew,Holdを受信するまで待つ。
そして、ECU11〜14のうちの何れかからの新・旧ハッシュ値Hnew,Holdを受信したならば(S810:YES)、S820に進んで、その新・旧ハッシュ値Hnew,Holdの送信元であるECUについてのデータ改竄チェックを行う。
具体的には、今回受信した新・旧ハッシュ値Hnew[n],Hold[n],のうちの旧Hold[n]と、前回受信した新・旧ハッシュ値Hnew[n-1],Hold[n-1]のうちでEEPROM21aに記憶しておいた新ハッシュ値Hnew[n-1]とを比較し、その両ハッシュ値Hold[n],Hnew[n-1]が一致していなければ、今回受信した新・旧ハッシュ値Hnew[n],Hold[n]の送信元であるECUにて、EEPROM内のデータが改竄されたと判定する。つまり、ECU11〜14にてEEPROM11a〜14aが正常であれば、そのECUから今回受信する旧ハッシュ値Hold[n]と、そのECUから前回受信した新ハッシュ値Hnew[n-1]とは同じはずであるため、その関係が崩れたならば、改竄と判定している。
そして、続くS830にて、上記S820での改竄チェックの結果を判定し、改竄チェック結果が「改竄無し」であったならば、S840に進んで、今回受信した新ハッシュ値Hnew[n]を、それの送信元のECUについての新ハッシュ値の前回受信値Hnew[n-1]としてEEPROM21bに更新記憶し、その後S810に戻る。尚、このS840で記憶された値Hnew[n-1]が、次に同じECUについてのデータ改竄チェックを行う際に、上記S820で用いられることとなる。
また、上記S830にて、改竄チェック結果が「改竄有り」であったと判定したならば(S830:NO)、S850に移行し、今回受信した新・旧ハッシュ値Hnew,Holdの送信元であるECU(或いは更にそのECUから情報が提供される他のECU)へ、改竄報知信号を送信し、その後、S810へ戻る。
すると、その改竄報知信号を受信したECUでは、所定のフェイルセーフ処理を行うこととなる。
以上のような第3実施形態の通信システム1によれば、ECU11〜14からゲートウェイ21へデータの特徴を表す特徴情報としてハッシュ値を送信するようにしているにも拘わらず、ECU11〜14内の演算データが、そのECUの動作中に改竄されたことを検出することができるようになる。具体的には、第三者が、ECU11〜14内の演算データを改竄するために、そのECUのEEPROMのデータを書き換えたり該EEPROMを交換したりすると、ゲートウェイ21にて、図5(B)のS820の処理により、データが改竄されたと判定されるからである。
つまり、ハッシュ関数の特性上、ハッシュ値からは元のデータを逆算することはできないため、仮に、前述した第2実施形態において、各ECU11〜14が図4(A)の処理でゲートウェイ21へ、ただ単に、演算データの代わりに、その演算データのハッシュ値を送信するようにしたのでは、改竄の有無を判定することができないが、本第3実施形態の通信システム1によれば、動作中における演算データの改竄検出が可能となる。
尚、図5(A)のS710では、各ECU11〜14のEEPROM11a〜14a内のデータのうち、特定の演算データだけを改竄検出対象として、その演算データのハッシュ値を算出するようにしても良い。また、図5(A)のS710で用いる関数は、ハッシュ関数に限らず、他の一方向性関数でも良い。
以上、本発明の一実施形態について説明したが、本発明はこうした実施形態に何等限定されるものではなく、本発明の要旨を逸脱しない範囲において、種々なる態様で実施し得ることは勿論である。
例えば、ECU11〜14に内蔵されたプログラムや固定のデータだけを改竄検出対象とするのであれば、下記(A)〜(C)のように構成することができる。
(A)まず、車両の製造時やカーディーラーなどにおいて、ゲートウェイ21のEEPROM21bに、各ECU11〜14について、そのECUに内蔵される改竄検出対象のデータと同じデータ(又は該データの特徴を表す関数値(例えばハッシュ値))を、改竄有無判定用基準情報として予め記憶しておく。
(B)各ECU11〜14は、予め定められたタイミング毎(例えば一定時間毎や起動時毎)に、自装置に内蔵されている改竄検出対象のデータ(又は該データの特徴を表す関数値)をゲートウェイ21へ送信する。
(C)ゲートウェイ21は、何れかのECU11〜14から、改竄検出対象のデータ(又は該データの関数値)を受信すると、そのデータ(又は関数値)を送信したECUに該当する改竄有無判定用基準情報をEEPROM21aから読み出して、その改竄有無判定用基準情報と、上記受信したデータ(又は関数値)とを比較し、両者が不一致ならば、ECUにてデータが改竄されていると判定する。
つまり、プログラムや固定のデータだけを改竄検出対象とするのであれば、ゲートウェイ21側の改竄有無判定用基準情報は特に更新する必要がなく、また、ゲートウェイ21側で行う改竄有無の判定も、各ECU11〜14から送信されて来る情報と改竄有無判定用基準情報との一致/不一致を確認するだけで済む。
一方、ゲートウェイ21のEEPROM21bとして、耐タンパ性モジュールを用いれば、ECU内のメモリデータの改竄に合わせて、ゲートウェイ21側の改竄有無判定用基準情報も改竄し、ゲートウェイ21にて改竄と判定されないようにする、といった第三者の不正行為を防止することができるため、データ改竄に対する保護機能を一層高めることができる。
また、データ改竄を検出するためのECU11〜14とゲートウェイ21との間の通信として、通信データを暗号化する暗号化通信を用いても良い。
また更に、上記各実施形態では、制御系ネットワークN1のECU11〜14についてのみデータ改竄の検出を行うようにしていたが、マルチメディア系ネットワークN2のECU15,16についても同様にデータ改竄の検出を実施するように構成しても良い。
また、上記各実施形態では、ゲートウェイ21が改竄検出用の親電子装置となっていたが、ゲートウェイが存在しない通信システムならば、何れか1つのECUが親電子装置となるように構成すれば良い。但し、ゲートウェイを親電子装置にすれば、子電子装置としての各ECUから情報を収集し易いという点で有利である。
第1実施形態の通信システムの構成を表すブロック図である。 第1実施形態における各ECUのCPUとゲートウェイのCPUとが、イグニッションスイッチのオンに伴い動作を開始した際にそれぞれ実行する処理を表すフローチャートである。 第1実施形態における各ECUのCPUとゲートウェイのCPUとが、イグニッションスイッチのオフに伴い動作を停止する直前にそれぞれ実行する処理を表すフローチャートである。 第2実施形態における各ECUのCPUとゲートウェイのCPUとがそれぞれ実行する処理を表すフローチャートである。 第3実施形態における各ECUのCPUとゲートウェイのCPUとがそれぞれ実行する処理を表すフローチャートである。 従来技術を説明する説明図である。
符号の説明
1…通信システム、L1,L2…通信ライン、N1…制御系ネットワーク、N2…マルチメディア系ネットワーク、11…ECT・ECU、12…エンジンECU、13…メータECU、14…距離積算ECU、15…ナビECU、16…テレマティクスECU、21…ゲートウェイ、31…車速センサ、32…水温センサ、11a〜16a,21a…CPU、11b〜16b,21b…EEPROM

Claims (7)

  1. 通信ラインに複数の電子装置が接続された通信システムにおいて、
    前記複数の電子装置のうちの特定の電子装置(以下、親電子装置という)が、他の電子装置(以下、子電子装置という)から、該子電子装置に内蔵されている改竄検出対象のメモリデータの特徴を表す情報を受信し、その子電子装置からの前記情報と、当該親電子装置の記憶手段に事前に記憶されている改竄有無判定用基準情報とを比較することにより、前記子電子装置に内蔵されている前記メモリデータが改竄されたか否かを判定すること、
    を特徴とする通信システム。
  2. 請求項1に記載の通信システムにおいて、
    前記子電子装置が動作を停止する直前に、該子電子装置が、前記親電子装置へ、自装置が現在内蔵している前記メモリデータの特徴を表す情報を送信すると共に、前記親電子装置が、その子電子装置からの情報を前記改竄有無判定用基準情報として前記記憶手段に記憶し、
    前記子電子装置が動作を開始した際に、該子電子装置が、前記親電子装置へ、自装置が現在内蔵している前記メモリデータの特徴を表す情報を送信すると共に、前記親電子装置が、その子電子装置からの情報と、前記記憶手段に記憶されている前記改竄有無判定用基準情報とを比較して、その両情報が一致していなければ、前記子電子装置に内蔵されている前記メモリデータが改竄されたと判定すること、
    を特徴とする通信システム。
  3. 請求項1又は請求項2に記載の通信システムにおいて、
    前記メモリデータの特徴を表す情報は、前記メモリデータそのものであること、
    を特徴とする通信システム。
  4. 請求項1又は請求項2に記載の通信システムにおいて、
    前記メモリデータの特徴を表す情報は、前記メモリデータの所定の関数による関数値であること、
    を特徴とする通信システム。
  5. 請求項1に記載の通信システムにおいて、
    前記改竄検出対象のメモリデータは、前記子電子装置の動作中に値が所定の変化傾向で更新されていくデータであると共に、前記メモリデータの特徴を表す情報は、前記メモリデータそのものであり、
    前記子電子装置は、予め定められたタイミング毎に、前記親電子装置へ、自装置が現在内蔵している前記メモリデータを送信し、
    前記親電子装置は、前記子電子装置からの前記メモリデータを受信すると共に、今回受信した前記メモリデータの値と、前回受信して前記記憶手段に前記改竄有無判定用基準情報として記憶しておいた前記メモリデータの値との関係が、前記変化傾向に合った関係になっていなければ、前記子電子装置に内蔵されている前記メモリデータが改竄されたと判定すること、
    を特徴とする通信システム。
  6. 請求項1に記載の通信システムにおいて、
    前記メモリデータの特徴を表す情報は、前記メモリデータの一方向性関数による関数値であり、
    前記子電子装置は、予め定められたタイミング毎に、自装置が現在内蔵している前記メモリデータの一方向性関数による関数値を算出すると共に、前回算出した関数値(以下、旧関数値という)を前記メモリデータの格納先である記憶媒体から読み出して、その読み出した旧関数値と、今回算出した関数値(以下、新関数値という)とを、前記親電子装置に送信し、更に、前記新関数値を次回に送信する旧関数値として前記記憶媒体に更新記憶し、
    前記親電子装置は、前記子電子装置からの前記新関数値及び前記旧関数値を受信すると共に、今回受信した前記旧関数値と、前回受信して前記記憶手段に前記改竄有無判定用基準情報として記憶しておいた前記新関数値とを比較して、その両関数値が一致していなければ、前記子電子装置に内蔵されている前記メモリデータが改竄されたと判定すること、
    を特徴とする通信システム。
  7. 請求項1ないし請求項6の何れか1項に記載の通信システムにおいて、
    前記親電子装置の記憶手段は、耐タンパ性の記憶装置であること、
    を特徴とする通信システム。
JP2004054251A 2004-02-27 2004-02-27 通信システム Pending JP2005242871A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2004054251A JP2005242871A (ja) 2004-02-27 2004-02-27 通信システム
US11/065,284 US7295136B2 (en) 2004-02-27 2005-02-25 Communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004054251A JP2005242871A (ja) 2004-02-27 2004-02-27 通信システム

Publications (1)

Publication Number Publication Date
JP2005242871A true JP2005242871A (ja) 2005-09-08

Family

ID=34879736

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004054251A Pending JP2005242871A (ja) 2004-02-27 2004-02-27 通信システム

Country Status (2)

Country Link
US (1) US7295136B2 (ja)
JP (1) JP2005242871A (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008003928A (ja) * 2006-06-23 2008-01-10 Hyper Tec:Kk ダウンロードシステム
JP2010532600A (ja) * 2007-06-18 2010-10-07 テレフオンアクチーボラゲット エル エム エリクソン(パブル) ソフトウェア無線端末のセキュリティ
WO2013045988A1 (en) 2011-09-12 2013-04-04 Toyota Jidosha Kabushiki Kaisha Method and system for a vehicle information integrity verification
WO2013094072A1 (ja) 2011-12-22 2013-06-27 トヨタ自動車 株式会社 通信システム及び通信方法
JP2014036275A (ja) * 2012-08-07 2014-02-24 Kddi Corp 通信装置の通信処理の制限方法、通信装置及び補助装置
JP2014151720A (ja) * 2013-02-06 2014-08-25 Toyota Motor Corp 改竄検知システム、電子制御ユニット
JP2014229239A (ja) * 2013-05-27 2014-12-08 Kddi株式会社 プログラム改竄検知システムおよびプログラム改竄検知方法
JP2015139011A (ja) * 2014-01-20 2015-07-30 トヨタ自動車株式会社 無線通信装置および無線通信方法
JP2018151942A (ja) * 2017-03-14 2018-09-27 株式会社Subaru 車両用制御装置
WO2019058560A1 (ja) * 2017-09-25 2019-03-28 三菱電機株式会社 制御装置および制御装置システム

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101300924B1 (ko) * 2005-07-01 2013-08-27 가부시키가이샤 호리바 세이샤쿠쇼 드라이빙 리코더
US8285442B2 (en) * 2005-07-01 2012-10-09 Horiba, Ltd. Driving recorder
JP4701977B2 (ja) * 2005-10-06 2011-06-15 株式会社デンソー 車載ネットワークの診断システム及び車載制御装置
DE102007012477B4 (de) * 2007-03-15 2009-06-10 Agco Gmbh Veränderungserkennungs- und Veränderungsschutzsystem und Veränderungserkennungs- und Veränderungsschutzverfahren von Steuerdaten einer gesteuerten Kraftfahrzeugeinrichtung
US8868427B2 (en) * 2009-12-11 2014-10-21 General Motors Llc System and method for updating information in electronic calendars
DE102011109426A1 (de) * 2011-08-04 2012-12-27 Daimler Ag Verfahren zur Erkennung von Datenänderungen in einem Steuergerät
US20130060721A1 (en) 2011-09-02 2013-03-07 Frias Transportation Infrastructure, Llc Systems and methods for pairing of for-hire vehicle meters and medallions
JP6181493B2 (ja) * 2013-09-20 2017-08-16 国立大学法人名古屋大学 書換検出システム、書換検出装置及び情報処理装置
KR101550991B1 (ko) * 2013-12-04 2015-09-07 현대자동차주식회사 차량 운행 기록 조작 방지 장치
KR101575451B1 (ko) * 2014-02-21 2015-12-07 현대자동차주식회사 차량 사양 구성 확인 방법
WO2016151566A1 (en) 2015-03-26 2016-09-29 Tower-Sec Ltd Security system and methods for identification of in-vehicle attack originator
JP6342281B2 (ja) * 2014-09-26 2018-06-13 国立大学法人名古屋大学 書換検出システム及び情報処理装置
JP6489050B2 (ja) * 2016-03-24 2019-03-27 株式会社オートネットワーク技術研究所 情報処理装置及び情報処理システム
KR20180101004A (ko) * 2017-03-03 2018-09-12 현대자동차주식회사 차량 및 차량의 제어방법
EP3444742B1 (en) * 2017-08-16 2021-06-16 Veoneer Sweden AB A driver assistance apparatus and method
EP3445017B1 (en) * 2017-08-16 2019-10-09 Veoneer Sweden AB A method relating to a motor vehicle driver assistance system
WO2019069300A1 (en) * 2017-10-02 2019-04-11 Tower-Sec Ltd. DETECTION AND PREVENTION OF A PHYSICAL CYBERATTAKE FOR SENSORS
DE102018215126A1 (de) * 2018-09-06 2020-03-12 Continental Teves Ag & Co. Ohg Fahrzeug-zu-X Kommunikationsvorrichtung und Verfahren zur Verwirklichung eines Sicherheitsintegritätslevels bei Fahrzeug-zu-X Kommunikation
US20230048368A1 (en) * 2021-08-16 2023-02-16 Toyota Motor North America, Inc. Transport onboard security check

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6092193A (en) * 1997-05-29 2000-07-18 Trimble Navigation Limited Authentication of accumulated instrument data
US5924057A (en) * 1997-06-25 1999-07-13 Ford Motor Company Method of preventing odometer fraud
US6772090B2 (en) * 2001-01-25 2004-08-03 Microchip Technology Incorporated Apparatus for secure storage of vehicle odometer values and method therefor
US6980923B1 (en) * 2003-06-27 2005-12-27 Honda Giken Kogyo Kabushiki Kaisha Method to prevent odometer fraud
KR100494733B1 (ko) * 2003-08-27 2005-06-13 현대자동차주식회사 차량의 적산거리조작방지 시스템 및 방법

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008003928A (ja) * 2006-06-23 2008-01-10 Hyper Tec:Kk ダウンロードシステム
JP2010532600A (ja) * 2007-06-18 2010-10-07 テレフオンアクチーボラゲット エル エム エリクソン(パブル) ソフトウェア無線端末のセキュリティ
US9126601B2 (en) 2011-09-12 2015-09-08 Toyota Jidosha Kabushiki Kaisha Method and system for a vehicle information integrity verification
WO2013045988A1 (en) 2011-09-12 2013-04-04 Toyota Jidosha Kabushiki Kaisha Method and system for a vehicle information integrity verification
JP2013060047A (ja) * 2011-09-12 2013-04-04 Toyota Motor Corp 車両用ネットワークシステム及び車両用情報処理方法
DE112012003795B4 (de) 2011-09-12 2020-06-18 Toyota Jidosha Kabushiki Kaisha Verfahren und system für eine fahrzeug-information-integritätsverifikation
WO2013094072A1 (ja) 2011-12-22 2013-06-27 トヨタ自動車 株式会社 通信システム及び通信方法
US9225544B2 (en) 2011-12-22 2015-12-29 Toyota Jidosha Kabushiki Kaisha Communication system and communication method
JP2014036275A (ja) * 2012-08-07 2014-02-24 Kddi Corp 通信装置の通信処理の制限方法、通信装置及び補助装置
JP2014151720A (ja) * 2013-02-06 2014-08-25 Toyota Motor Corp 改竄検知システム、電子制御ユニット
JP2014229239A (ja) * 2013-05-27 2014-12-08 Kddi株式会社 プログラム改竄検知システムおよびプログラム改竄検知方法
JP2015139011A (ja) * 2014-01-20 2015-07-30 トヨタ自動車株式会社 無線通信装置および無線通信方法
JP2018151942A (ja) * 2017-03-14 2018-09-27 株式会社Subaru 車両用制御装置
US10336267B2 (en) 2017-03-14 2019-07-02 Subaru Corporation Vehicle control apparatus
WO2019058560A1 (ja) * 2017-09-25 2019-03-28 三菱電機株式会社 制御装置および制御装置システム
JPWO2019058560A1 (ja) * 2017-09-25 2019-11-14 三菱電機株式会社 制御装置および制御装置システム
KR20200035464A (ko) * 2017-09-25 2020-04-03 미쓰비시덴키 가부시키가이샤 제어 장치 및 제어 장치 시스템
CN111149322A (zh) * 2017-09-25 2020-05-12 三菱电机株式会社 控制装置及控制装置***
KR102182045B1 (ko) 2017-09-25 2020-11-23 미쓰비시덴키 가부시키가이샤 제어 장치 및 제어 장치 시스템
US10997008B2 (en) 2017-09-25 2021-05-04 Mitsubishi Electric Corporation Controller and control system that manages event occurrence history utilizing a flash chain of event history data
CN111149322B (zh) * 2017-09-25 2021-06-11 三菱电机株式会社 控制装置及控制装置***

Also Published As

Publication number Publication date
US7295136B2 (en) 2007-11-13
US20050190619A1 (en) 2005-09-01

Similar Documents

Publication Publication Date Title
JP2005242871A (ja) 通信システム
US11683197B2 (en) Vehicle master device, update data distribution control method, computer program product and data structure of specification data
US11671498B2 (en) Vehicle master device, update data verification method and computer program product
US11989546B2 (en) Vehicle electronic control system, vehicle master device, and rewrite instruction program product under specific mode
US11947953B2 (en) Vehicle electronic control system, progress screen display control method and computer program product
US11960875B2 (en) Vehicle master device, vehicle electronic control system, configuration setting information rewrite instruction method, and configuration setting information rewrite instruction program product
JP5641244B2 (ja) 車両用ネットワークシステム及び車両用情報処理方法
US11999360B2 (en) Vehicle master device, control method for executing rollback, computer program product for executing rollback and data structure of specification data
US11822366B2 (en) Electronic control unit, vehicle electronic control system, rewrite execution method, rewrite execution program, and data structure of specification data
US20210155177A1 (en) Vehicle electronic control system, distribution package download determination method and computer program product
US20040029556A1 (en) Vehicular communications system initializing abnormal control unit
JP6036535B2 (ja) 信号機制御システム
US11467821B2 (en) Vehicle master device, installation instruction determination method and computer program product
US20210155173A1 (en) Vehicle master device, vehicle electronic control system, activation request instruction method and computer program product
JP6855918B2 (ja) 暗号鍵の処理を行う車両用システム及び電子制御装置
JP2005070028A (ja) 積算走行距離変造防止システム及び方法
US20210157492A1 (en) Vehicle electronic control system, file transfer control method, computer program product and data structure of specification data
US11941384B2 (en) Vehicle master device, rewrite target group administration method, computer program product and data structure of specification data
US11926270B2 (en) Display control device, rewrite progress display control method and computer program product
JP4253979B2 (ja) 車載制御ユニットの検査方法
JP2019071572A (ja) 制御装置及び制御方法
US11656771B2 (en) Electronic control unit, vehicle electronic control system, activation execution control method and computer program product
US11876898B2 (en) Vehicle master device, security access key management method, security access key management program and data structure of specification data
US11907697B2 (en) Vehicle electronic control system, center device, vehicle master device, display control information transmission control method, display control information reception control method, display control information transmission control program, and display control information reception control program
JP5783013B2 (ja) 車載通信システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060425

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090331

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090407

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090901