JP2022094017A - 車載システム - Google Patents

車載システム Download PDF

Info

Publication number
JP2022094017A
JP2022094017A JP2020206793A JP2020206793A JP2022094017A JP 2022094017 A JP2022094017 A JP 2022094017A JP 2020206793 A JP2020206793 A JP 2020206793A JP 2020206793 A JP2020206793 A JP 2020206793A JP 2022094017 A JP2022094017 A JP 2022094017A
Authority
JP
Japan
Prior art keywords
session information
volatile memory
ecu
vehicle
sign
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2020206793A
Other languages
English (en)
Inventor
良式 垣屋
Yoshinori Kakiya
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2020206793A priority Critical patent/JP2022094017A/ja
Priority to US17/504,655 priority patent/US11632306B2/en
Priority to CN202111247625.4A priority patent/CN114629632A/zh
Publication of JP2022094017A publication Critical patent/JP2022094017A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】不揮発性メモリへの書き込み回数を抑えながら通信異常後のリセット時にセキュア通信を短時間で再開させることができる車載システムを得る。【解決手段】送信ECU20及び受信ECU30は、揮発性メモリであるRAMのセッション情報記憶部26、36にセッション情報を記憶させ、通信異常の予兆を検出している場合には不揮発性メモリであるNVRAMのバックアップ部27、37にもセッション情報を記憶させる。バックアップ部27、37に記憶させるセッション情報は、セッション情報記憶部26、36に記憶させるセッション情報とは異なる新たなセッション情報とされる。【選択図】図1

Description

本発明は、車載システムに関する。
下記特許文献1には、通信セキュリティを確保するための鍵管理システムに関する技術が開示されている。この先行技術では、車載機器等は不揮発性の補助記憶装置(電気的にデータ書換可能な不揮発性メモリ)を備え、補助記憶装置には種々の識別情報及び鍵情報等(セッション情報を含む情報)が記憶される。このような先行技術では、通信異常後のリセット時には、不揮発性の補助記憶装置に記憶されたセッション情報を利用することで、セッション情報を共有するための処理を省略できるので、セキュア通信を短時間で再開させることができる。
国際公開第2018/189885号パンフレット
しかしながら、セッション情報は更新頻度が高いため、車載機器の不揮発性メモリの書き込み上限を踏まえると、車載機器の不揮発性メモリにセッション情報をすべて記憶させるのは現実的ではない。一方、車載機器の不揮発性メモリにセッション情報を記憶させない場合には通信異常後のリセット時にセキュア通信を短時間で再開させることができない。
本発明は、上記事実を考慮して、不揮発性メモリへの書き込み回数を抑えながら通信異常後のリセット時にセキュア通信を短時間で再開させることができる車載システムを得ることが目的である。
請求項1に記載する本発明の車載システムは、車両にそれぞれ搭載されて伝送路を介して通信する複数のECUを含み、前記複数のECUのそれぞれが、揮発性メモリと、電気的にデータ書換可能な不揮発性メモリと、を備える、車載システムであって、前記複数のECUのそれぞれは、通信異常の予兆を検出する検出部と、前記揮発性メモリにセッション情報を記憶させ、前記検出部が通信異常の予兆を検出している場合には前記不揮発性メモリにもセッション情報を記憶させる管理部と、を有する。
上記構成によれば、揮発性メモリと、電気的にデータ書換可能な不揮発性メモリと、を備える複数のECUは、車両にそれぞれ搭載されて伝送路を介して通信する。ここで、複数のECUのそれぞれは、検出部と管理部とを有する。検出部は、通信異常の予兆を検出する。管理部は、揮発性メモリにセッション情報を記憶させ、検出部が通信異常の予兆を検出している場合には不揮発性メモリにもセッション情報を記憶させる。これにより、不揮発性メモリへの書き込み回数が抑えられ、かつ通信異常後のリセット時には、不揮発性メモリに記憶されたセッション情報を利用することでセキュア通信を短時間で再開させることが可能となる。
請求項2に記載する本発明の車載システムは、請求項1記載の構成において、前記管理部は、前記検出部が通信異常の予兆を検出している場合には、前記揮発性メモリに記憶させるセッション情報とは異なる新たなセッション情報を所定の基準に基づいて生成して当該新たなセッション情報を前記不揮発性メモリに記憶させる。
上記構成によれば、検出部が通信異常の予兆を検出している場合、揮発性メモリに記憶されるセッション情報とは異なる新たなセッション情報が不揮発性メモリに記憶される。このため、悪意のある第三者による再送攻撃の失敗確率を高めることができる。
請求項3に記載する本発明の車載システムは、請求項2記載の構成において、前記管理部は、前記検出部が通信異常の予兆を検出している場合には、前記揮発性メモリに記憶させるセッション情報のうちシーケンス番号を除く情報と、所定のタイミングで更新されかつ自車両から取得可能な値と、を含む情報を前記新たセッション情報として一回のみ生成し、当該新たなセッション情報を前記不揮発性メモリに記憶させる。
上記構成によれば、検出部が通信異常の予兆を検出している場合に生成される新たなセッション情報は、揮発性メモリに記憶させるセッション情報のうちシーケンス番号を除く情報と、所定のタイミングで更新されかつ自車両から取得可能な値と、を含む情報であり、一回のみ生成されて不揮発性メモリに記憶される。ここで、例えば、検出部が通信異常の予兆を検出している間においてセッション情報が揮発性メモリに複数回記憶される場合、その複数のセッション情報は、シーケンス番号以外は同じ情報である。よって、検出部が通信異常の予兆を検出している間に上記のように一回のみ新たなセッション情報が生成されて不揮発性メモリへの書き込みも一回のみとされることで、不揮発性メモリへの書き込み回数を効率的に低減することが可能となる。
以上説明したように、本発明の車載システムによれば、不揮発性メモリへの書き込み回数を抑えながら通信異常後のリセット時にセキュア通信を短時間で再開させることができるという優れた効果を有する。
第1の実施形態に係る車載システムの概略構成の一例を示すブロック図である。 送信ECUのハードウェア構成の一例を示すブロック図である。 受信ECUのハードウェア構成の一例を示すブロック図である。 送信ECUの機能構成の一例を示すブロック図である。 受信ECUの機能構成の一例を示すブロック図である。 メッセージフォーマットの一例を示すイメージ図である。 車載システムの動作の一例を示す図である。 送信ECUによるセッション情報の検索を含む処理の流れの一例を示すフローチャートである。 受信ECUによるセッション情報の検索を含む処理の流れの一例を示すフローチャートである。 第2の実施形態に係る車載システムの概略構成の一例を示すブロック図である。
[第1の実施形態]
本発明の第1の実施形態に係る車載システムについて図1~図9を用いて説明する。
図1には、第1の実施形態に係る車載システム10の概略構成の一例がブロック図で示されている。図1に示されるように、車載システム10は、伝送路としてのバス12を介して通信する複数のECU(Electronic Control Unit)としての送信ECU20及び受信ECU30を含む。送信ECU20及び受信ECU30は、車両Vにそれぞれ搭載されている。バス12は、送信ECU20と受信ECU30とを接続する。車載システム10では、送信ECU20と受信ECU30との間のメッセージの送受が通信により行われる。なお、図1では、送信ECU20及び受信ECU30が一個ずつで計二個のECUが図示されているが、ECUの合計は三個以上であってもよい。
送信ECU20は、バス12に接続され、バス12へメッセージを送信する。受信ECU30は、バス12に接続され、バス12からメッセージを受信する。バス12は、送信ECU20と受信ECU30との間で送受されるメッセージが伝送される伝送路であり、一例としてEthernet(登録商標)規格のものが適用される。
送信ECU20は、IP(Internet Protocol)処理部21、TCP/UDP(Transmission Control Protocol/User Datagram Protocol)処理部22、TLS(Transport Layer Security)処理部23、アプリケーション(Application)処理部24、判定部25、セッション情報(Session Info)記憶部26、及びバックアップ(Back Up)部27を備える。IP処理部21、TCP/UDP処理部22、TLS処理部23、アプリケーション処理部24及び判定部25は、CPU20A(図2参照)がプログラムを実行することによって実現される機能ブロックである。なお、図1に示される両向きの矢印は、各要素間のインタフェースを示す。
また、受信ECU30は、IP(Internet Protocol)処理部31、TCP/UDP(Transmission Control Protocol/User Datagram Protocol)処理部32、TLS(Transport Layer Security)処理部33、アプリケーション(Application)処理部34、判定部35、セッション情報(Session Info)記憶部36、及びバックアップ(Back Up)部37を備える。IP処理部31、TCP/UDP処理部32、TLS処理部33、アプリケーション処理部34及び判定部35は、CPU30A(図3参照)がプログラムを実行することによって実現される機能ブロックである。
IP処理部21、31は、インターネット層を処理する。TCP/UDP処理部22、32は、トランスポート層を処理する。TLS処理部23、33は、セキュアなチャンネル(通信路)を利用できるように共通鍵方式暗号化処理をする。
送信ECU20のアプリケーション処理部24は、通信相手へのメッセージ送信処理をする。受信ECU30のアプリケーション処理部34は、通信相手からのメッセージ受信処理をする。
セッション情報記憶部26、36は、セッション情報を記憶する記憶部である。セッション情報記憶部26、36が記憶するセッション情報には、一例として、セッションID、アドレス情報、暗号アルゴリズム、暗号鍵、及びシーケンス番号が含まれる。セッションIDは、セッションを識別する識別子である。アドレス情報はセッションを確立した送信ECU20及び受信ECU30の双方のIPアドレス及びポート番号の情報である。暗号アルゴリズムはセキュア通信で利用する暗号アルゴリズムである。暗号鍵はセキュア通信で利用する暗号鍵である。シーケンス番号は、再送攻撃(過去に送信された正規メッセージを再利用した攻撃)を防ぐための連番である。
バックアップ部27、37は、所定の場合(後述)にセッション情報を記憶するバックアップ用の記憶部である。バックアップ部27、37に記憶されるセッション情報については後述する。判定部25、35は、セッション情報記憶部26、36に検索対象のデータが存在するか否かを判定する他、所定の場合にバックアップ部27、37に利用可能なデータが存在するか否かを判定する。
図2には、送信ECU20のハードウェア構成の一例がブロック図で示されている。図2に示されるように、送信ECU20は、CPU(Central Processing Unit:プロセッサ)20A、電気的にデータ書換不可能な不揮発性メモリであるROM(Read Only Memory)20B、揮発性メモリとしてのRAM(Random Access Memory)20C、電気的にデータ書換可能な不揮発性メモリとしてのNVRAM(Non-Volatile RAM)20D及び通信I/F(Inter Face)20Eを備えている。CPU20A、ROM20B、RAM20C、NVRAM20D及び通信I/F20Eは、バス20Zを介して相互に通信可能に接続されている。
図3には、受信ECU30のハードウェア構成の一例がブロック図で示されている。図3に示されるように、受信ECU30は、CPU(Central Processing Unit:プロセッサ)30A、電気的にデータ書換不可能な不揮発性メモリであるROM(Read Only Memory)30B、揮発性メモリとしてのRAM(Random Access Memory)30C、電気的にデータ書換可能な不揮発性メモリとしてのNVRAM(Non-Volatile RAM)30D及び通信I/F(Inter Face)30Eを備えている。CPU30A、ROM30B、RAM30C、NVRAM30D及び通信I/F30Eは、バス30Zを介して相互に通信可能に接続されている。
図2及び図3に示されるCPU20A、30Aは、中央演算処理ユニットであり、各種プログラムを実行したり、各部を制御したりする。すなわち、CPU20A、30Aは、ROM20B、30Bからプログラムを読み出し、RAM20C、30Cを作業領域としてプログラムを実行する。CPU20A、30Aは、ROM20B、30Bに記録されているプログラムに従って、上記各構成の制御及び各種の演算処理を行う。
ROM20B、30Bは、各種プログラム及び各種データを格納する。RAM20C、30Cは、作業領域として一時的にプログラムを記憶したり、データを記憶したりする。RAM20Cはセッション情報記憶部26(図1)を含み、RAM30Cは、セッション情報記憶部36(図1)を含む。NVRAM20D、30Dは、一例としてフラッシュメモリで構成され、各種プログラム及び各種データを記憶する。NVRAM20Dは、バックアップ部27(図1参照)を含み、NVRAM30Dは、バックアップ部37(図1参照)を含む。通信I/F20E、30Eは、他の機器と通信するためのインタフェースであり、一例として、Ethernet(登録商標)の規格が用いられている。
図4には、送信ECU20の機能構成の一例がブロック図で示されている。図4に示されるように、送信ECU20は、機能構成として、検出部201及び管理部202を有する。各機能構成は、CPU20AがROM20Bに記憶されたプログラムを読み出し、実行することにより実現される。
図5には、受信ECU30の機能構成の一例がブロック図で示されている。図5に示されるように、受信ECU30は、機能構成として、検出部301及び管理部302を有する。各機能構成は、CPU30AがROM30Bに記憶されたプログラムを読み出し、実行することにより実現される。
図4及び図5に示される検出部201、301は、通信異常の予兆を検出する。通信異常の予兆は、例えばバッテリの電圧が閾値以下に低下していること、ECU(送信ECU20、受信ECU30)自身がフェール状態に移行していること等から検出される。
管理部202、302は、RAM20C、30Cのセッション情報記憶部26、36にセッション情報を記憶させ、検出部201、301が通信異常の予兆を検出している場合にはNVRAM20D、30Dのバックアップ部27、37にもセッション情報を記憶させる。ここでは、一例として、管理部202、302は、検出部201、301が通信異常の予兆を検出している場合には、RAM20C、30Cのセッション情報記憶部26、36に記憶させるセッション情報とは異なる新たなセッション情報を所定の基準に基づいて生成して当該新たなセッション情報をNVRAM20D、30Dのバックアップ部27、37に記憶させる。
より具体的に説明すると、この実施形態の管理部202、302は、検出部201、301が通信異常の予兆を検出している場合には、RAM20C、30Cのセッション情報記憶部26、36に記憶させるセッション情報のうちシーケンス番号を除く情報と、所定のタイミングで更新されかつ自車両である車両Vから取得可能な値(以下、適宜「ユニーク値」という)と、を含む情報を新たセッション情報として一回のみ生成し、当該新たなセッション情報をNVRAM20D、30Dのバックアップ部27、37に記憶させる。なお、所定のタイミングで更新されかつ自車両である車両Vから取得可能な値(ユニーク値)としては、例えば、トリップのカウンタ値(車両Vの電源を入れる度にカウントアップされる値)、日付及び時刻に関する情報の値(例えば何年何月何日何時を示す値)等が挙げられる。
図6には、通信に利用されるパケットのメッセージフォーマットの一例がイメージ図で示されている。メッセージフォーマットは、EthernetヘッダM1、IPヘッダM2、TCP/UDPヘッダM3、TLSヘッダM4、ユニーク値領域M5、及び送信メッセージM6が、この順に設定された構造となっている。ユニーク値領域M5は、通常時はALL0とされ、バックアップ部27(図1参照)の値を利用する場合は上記のユニーク値に上書きされる。
次に、車載システム10の動作の一例を図7により説明する。
図7のステップS1では、送信ECU20は、送信データを分割した分割データを含むメッセージを受信ECU30へ送信する。受信ECU30は、当該メッセージを受信する。その後、受信ECU30において、通信異常の予兆(例えばバッテリの電圧が閾値以下に低下していること等)が検出された場合(つまり受信ECU30がリセットされる可能性がある場合)、ステップS2においてCPU30AはNVRAM30Dにセッション情報を記憶させる。ここで、CPU30Aは、RAM30Cに記憶させるセッション情報のうちシーケンス番号を除く情報と、所定のタイミングで更新されかつ自車両である車両Vから取得可能な値(ユニーク値)と、を含む情報を新たセッション情報として生成し、当該新たなセッション情報をNVRAM30Dに記憶させる。なお、図示を省略するが、送信ECU20においても、CPU20Aは、通信異常の予兆が検出されると同様の新たなセッション情報をNVRAM20Dに記憶させる。
次に、通信異常の予兆が検出されている状態(例えばバッテリの電圧が閾値以下に低下している状態)で、ステップS3において送信ECU20がメッセージを受信ECU30へ送信し、ステップS4において送信ECU20がメッセージを受信ECU30へ送信した場合、受信ECU30はこれらのメッセージを受信しても、これらについてNVRAM30Dに上書きでセッション情報を記憶させることはしない。ちなみに、RAM30Cに記憶されるセッション情報においては、シーケンス番号以外は、セッション確立時に値が確定されているので、仮にステップS3、S4に応じてNVRAM30Dに上書きがなされてもその値は変わらない。
その後、例えば、受信ECU30が異常終了した後にリセットのために立ち上がる過程で、ステップS5において送信ECU20がメッセージを受信ECU30へ送信し、ステップS6において送信ECU20がメッセージを受信ECU30へ送信した場合、通信は成立しない。なお、通信途絶中は、送信ECU20において送信対象のメッセージを格納するためのバッファ内に、送信待ちの状態のメッセージが滞留することになる。その後に受信ECU30が復帰すると、ステップS7では、受信ECU30において、CPU30Aは、NVRAM30Dに記憶したセッション情報を確認(チェック)し、該当するセッション情報があると、ステップS8でその情報でTLS処理部33が処理できるようにする。これにより、セキュア通信が再開可能になる。
その後、ステップS9で送信ECU20が送信待ち状態にあったメッセージを受信ECU30へ送信し、受信ECU30がメッセージを受信する。なお、受信ECU30は、通信異常の予兆が新たに検出されている場合には、ステップS10において、CPU30Aは、NVRAM30Dにセッション情報を記憶させる。また、受信ECU30は、ユニーク値を付与されたデータを送信ECU20から受信した場合、メッセージ認証子の検証結果がOKの場合に限り、RAM30Cにおいて対象セッションのシーケンス番号を受信したシーケンス番号で上書き(更新)する。
次に、送信ECU20によるセッション情報の検索を含む処理(図1に示される判定部25に関わる処理)について図8を参照しながら説明する。
図8には、送信ECU20によるセッション情報の検索を含む処理の流れの一例がフローチャートで示されている。CPU20AがROM20Bから図8に示すフローのプログラムを読み出して、RAM20Cに展開して実行することにより、図8に示される送信ECU20による制御処理が行なわれる。図1に示される送信ECU20においてアプリケーション処理部24がTLS処理部23に対してデータの送信を要求し、これを受けてTLS処理部23が判定部25を用いてセッション情報を確認しようとするときに図8に示される制御処理が行なわれる。
まず、CPU20Aは、セッション情報記憶部26において該当するセッション情報を検索する(ステップS101)。次に、CPU20Aは、セッション情報記憶部26において該当するセッション情報が存在するか否かを判断する(ステップS102)。
セッション情報記憶部26において該当するセッション情報が存在する場合(ステップS102:Y)、CPU20Aは、該当するセッション情報をTLS処理部23に返して(ステップS103)、処理をTLS処理部23の通常の処理シーケンスに戻し、図8に示される処理を終了する。一方、セッション情報記憶部26において該当するセッション情報が存在しない場合(ステップS102:N)、CPU20AはステップS104の処理へ移行する。
ステップS104において、CPU20Aはバックアップ部27において該当するセッション情報を検索する。次に、CPU20Aは、バックアップ部27において該当するセッション情報が存在するか否かを判断する(ステップS105)。
バックアップ部27において該当するセッション情報が存在しない場合(ステップS105:N)、CPU20Aは、TLS処理部23にセッションの確立を指示し(ステップS107)、図8に示される処理を終了する。なお、バックアップ部27において該当するセッション情報が存在しない場合(ステップS105:N)としては、通信相手となる受信ECU30と初めて通信する場合が該当する。
バックアップ部27において該当するセッション情報が存在する場合(ステップS105:Y)、CPU20Aは、シーケンス番号を0とし、送信メッセージのユニーク値領域M5(図6参照)に、該当するセッション情報のユニーク値を付与し、該当するセッション情報をTLS処理部23に返し(ステップS106)、処理をTLS処理部23の通常の処理シーケンスに戻して図8に示される処理を終了する。なお、ステップS106によって移行されるTLS処理部23の処理は、既存の機能を用いて実施され、この処理においてセッション情報記憶部26のセッション情報が更新される。
次に、受信ECU30によるセッション情報の検索を含む処理(図1に示される判定部35に関わる処理)について図9を参照しながら説明する。
図9には、受信ECU30によるセッション情報の検索を含む処理の流れの一例がフローチャートで示されている。CPU30AがROM30Bから図9に示すフローのプログラムを読み出して、RAM30Cに展開して実行することにより、図9に示される受信ECU30による制御処理が行なわれる。図1に示される受信ECU30においてアプリケーション処理部34がTLS処理部33に対してデータの受信を要求し、これを受けてTLS処理部33が判定部35を用いてセッション情報を確認しようとするときに図9に示される制御処理が行なわれる。
まず、CPU30Aは、セッション情報記憶部36において該当するセッション情報を検索する(ステップS111)。次に、CPU30Aは、セッション情報記憶部36において該当するセッション情報が存在するか否かを判断する(ステップS112)。
セッション情報記憶部36において該当するセッション情報が存在する場合(ステップS112:Y)、CPU30Aは、該当するセッション情報をTLS処理部33に返して(ステップS113)、処理をTLS処理部33の通常の処理シーケンスに戻し、図9に示される処理を終了する。一方、セッション情報記憶部36において該当するセッション情報が存在しない場合(ステップS112:N)、CPU30AはステップS114の処理へ移行する。
ステップS114において、CPU30Aは、バックアップ部37においてユニーク値を除く情報を検索対象として該当するセッション情報を検索する。次に、CPU30Aは、バックアップ部37においてユニーク値を除く情報を検索対象として該当するセッション情報が存在するか否かを判断する(ステップS115)。
バックアップ部37においてユニーク値を除く情報を検索対象として該当するセッション情報が存在しない場合(ステップS115:N)、CPU30Aは、TLS処理部33にセッションの確立を指示し(ステップS122)、図9に示される処理を終了する。なお、バックアップ部37においてユニーク値を除く情報を検索対象として該当するセッション情報が存在しない場合(ステップS115:N)としては、通信相手となる送信ECU20と初めて通信する場合が該当する。
バックアップ部37においてユニーク値を除く情報を検索対象として該当するセッション情報が存在する場合(ステップS115:Y)、CPU30Aは、受信メッセージのユニーク値領域M5(図6参照)を確認する(ステップS116)。次に、CPU30Aは、受信メッセージのユニーク値領域M5の値がALL0であるか否かを判断する(ステップS117)。
受信メッセージのユニーク値領域M5の値がALL0である場合(ステップS117:Y)、CPU30Aは、該当するセッション情報をTLS処理部33に返して(ステップS118)、処理をTLS処理部33の通常の処理シーケンスに戻し、図9に示される処理を終了する。一方、受信メッセージのユニーク値領域M5の値がALL0でない場合(ステップS117:N)、CPU30AはステップS119の処理へ移行する。
ステップS119において、CPU30Aはメッセージ認証の検証結果を確認する。次に、CPU30Aはメッセージ認証の検証結果がOKであるか否かを判断する(ステップS120)。
メッセージ認証の検証結果がOKである場合(ステップS120:Y)、CPU30Aは、該当するセッション情報をTLS処理部33に返して(ステップS121)、処理をTLS処理部33の通常の処理シーケンスに戻し、図9に示される処理を終了する。なお、ステップS118及びステップS121によって移行されるTLS処理部33の処理は、既存の機能を用いて実施され、この処理においてセッション情報記憶部36のセッション情報が更新される。一方、メッセージ認証の検証結果がOKでない場合(ステップS120:N)、CPU30Aは、TLS処理部33にセッションの確立を指示し(ステップS122)、図9に示される処理を終了する。
以上説明した本実施形態の作用について補足説明すると、図4及び図5に示される管理部202、302は、揮発性メモリであるRAM20C、30Cにセッション情報を記憶させ、検出部201、301が通信異常の予兆を検出している場合には不揮発性メモリであるNVRAM20D、30Dにもセッション情報を記憶させる。これにより、RAM20C、30Cへの書き込み回数が抑えられ、かつ通信異常後のリセット時には、NVRAM20D、30Dに記憶されたセッション情報を利用することでセキュア通信を短時間で再開させることが可能となる。
また、本実施形態では、検出部201、301が通信異常の予兆を検出している場合、RAM20C、30Cに記憶されるセッション情報とは異なる新たなセッション情報がNVRAM20D、30Dに記憶される。このため、悪意のある第三者による再送攻撃の失敗確率を高めることができる。
さらに、検出部201、301が通信異常の予兆を検出している場合に生成される新たなセッション情報は、RAM20C、30Cに記憶させるセッション情報のうちシーケンス番号を除く情報と、所定のタイミングで更新されかつ自車両である車両Vから取得可能な値(ユニーク値)と、を含む情報であり、一回のみ生成されてNVRAM20D、30Dに記憶される。ここで、例えば、検出部201、301が通信異常の予兆を検出している間においてセッション情報がRAM20C、30Cに複数回記憶される場合、その複数のセッション情報は、シーケンス番号以外は同じ情報である。よって、検出部201、301が通信異常の予兆を検出している間に上記のように一回のみ新たなセッション情報が生成されてNVRAM20D、30Dへの書き込みも一回のみとされることで、NVRAM20D、30Dへの書き込み回数を効率的に低減することが可能となる。
以上説明したように、本実施形態の車載システム10によれば、不揮発性メモリであるNVRAM20D、30Dへの書き込み回数を抑えながら通信異常後のリセット時にセキュア通信を短時間で再開させることができる。
[第2の実施形態]
次に、第2の実施形態について図2~図5を流用しながら図10を用いて説明する。本実施形態の車載システム40は、以下に説明する点を除いて第1の実施形態の車載システム10と同様とされる。第1の実施形態と実質的に同様の部分は同一符号を付して説明を省略する。また、本実施形態の車載システム40のハードウェア構成は、第1の実施形態の車載システム10のハードウェア構成(図2及び図3参照)と同様であるため、図2及び図3を流用して図示及び詳細説明を省略する。
図10には、第2の実施形態に係る車載システム40の概略構成の一例がブロック図で示されている。なお、本実施形態の送信ECU20は、第1の実施形態における送信ECU20のTLS処理部23(図1参照)がない点及びIPsec処理部28が設けられている点で第1の実施形態における送信ECU20(図1参照)とは異なるが、便宜上、第1の実施形態における送信ECU20と同一符号を付す。また、本実施形態の受信ECU30は、第1の実施形態における受信ECU30のTLS処理部33(図1参照)がない点及びIPsec処理部38が設けられている点で第1の実施形態における受信ECU30(図1参照)とは異なるが、便宜上、第1の実施形態における受信ECU30と同一符号を付す。図10に示されるIPsec処理部28、38は、IPsecによるセキュアな通信を行うための暗号化処理をする。なお、図10に示される両向きの矢印は、各要素間のインタフェースを示す。
本実施形態では、送信ECU20においては、CPU20Aは、一例として、IPsec処理部28によるセッションの確立時に、保持している暗号鍵(共有鍵)に対し、送信ECU20と受信ECU30とで同じアルゴリズムを利用して、元の暗号鍵と異なる暗号鍵を生成してRAM20Cに記憶させる。そして、本実施形態の管理部202(図4参照)は、RAM20Cにセッション情報を記憶させ、検出部201(図4参照)が通信異常の予兆を検出している場合には、NVRAM20Dに、前述した元の暗号鍵と異なる暗号鍵を含むセッション情報を、記憶させる。
本実施形態では、受信ECU30においては、CPU30Aは、一例として、IPsec処理部38によるセッションの確立時に、保持している暗号鍵(共有鍵)に対し、送信ECU20と受信ECU30とで同じアルゴリズムを利用して、元の暗号鍵と異なる暗号鍵を生成してRAM30Cに記憶させる。そして、本実施形態の管理部302(図5参照)は、RAM30Cにセッション情報を記憶させ、検出部301(図5参照)が通信異常の予兆を検出している場合には、NVRAM30Dに、前述した元の暗号鍵と異なる暗号鍵を含むセッション情報を、記憶させる。
元の暗号鍵と異なる暗号鍵を生成する際のアルゴリズムの例としては、ハッシュ関数を用いる方法、暗号鍵(128ビット、256ビット等)において所定の指示したビット位置に対し値を反転させる方法等の方法が考えられる。
以上説明した第2の実施形態によっても、不揮発性メモリであるNVRAM20D、30Dへの書き込み回数を抑えながら通信異常後のリセット時にセキュア通信を短時間で再開させることができる。また、悪意のある第三者による再送攻撃の失敗確率を高めることができる。
[実施形態の補足説明]
なお、上記第1、第2実施形態では、管理部202、302は、検出部201、301が通信異常の予兆を検出している場合にはRAM20C、30Cに記憶させるセッション情報とは異なる新たなセッション情報を所定の基準に基づいて生成して当該新たなセッション情報をNVRAM20D、30Dに記憶させているが、上記実施形態の変形例として、管理部(202、302)は、検出部(201、301)が通信異常の予兆を検出している場合に、RAM(20C、30C)に記憶させるセッション情報をNVRAM(20D、30D)に記憶させる、という構成も採り得る。
また、上記各実施形態で図2及び図3に示されるCPU20Aがソフトウェア(プログラム)を読み込んで実行した各処理を、CPU以外の各種のプロセッサが実行してもよい。この場合のプロセッサとしては、FPGA(Field-Programmable Gate Array)等の製造後に回路構成を変更可能なPLD(Programmable Logic Device)、及びASIC(Application Specific Integrated Circuit)等の特定の処理を実行させるために専用に設計された回路構成を有するプロセッサである専用電気回路等が例示される。また、各処理を、これらの各種のプロセッサのうちの1つで実行してもよいし、同種又は異種の2つ以上のプロセッサの組み合わせ(例えば、複数のFPGA、及びCPUとFPGAとの組み合わせ等)で実行してもよい。また、これらの各種のプロセッサのハードウェア的な構造は、より具体的には、半導体素子等の回路素子を組み合わせた電気回路である。
また、上記実施形態で説明した各プログラムは、CD-ROM(Compact Disc Read Only Memory)、DVD-ROM(Digital Versatile Disc Read Only Memory)、及びUSB(Universal Serial Bus)メモリ等の記録媒体に記録された形態で提供されてもよい。また、プログラムは、ネットワークを介して外部装置からダウンロードされる形態としてもよい。
なお、上記実施形態及び上述の変形例は、適宜組み合わされて実施可能である。
以上、本発明の一例について説明したが、本発明は、上記に限定されるものでなく、上記以外にも、その主旨を逸脱しない範囲内において種々変形して実施可能であることは勿論である。
10 車載システム
12 バス(伝送路)
20 送信ECU(ECU)
20C RAM(揮発性メモリ)
20D NVRAM(不揮発性メモリ)
201 検出部
202 管理部
30 受信ECU(ECU)
30C RAM(揮発性メモリ)
30D NVRAM(不揮発性メモリ)
301 検出部
302 管理部
40 車載システム
V 車両(自車両)

Claims (3)

  1. 車両にそれぞれ搭載されて伝送路を介して通信する複数のECUを含み、前記複数のECUのそれぞれが、揮発性メモリと、電気的にデータ書換可能な不揮発性メモリと、を備える、車載システムであって、
    前記複数のECUのそれぞれは、
    通信異常の予兆を検出する検出部と、
    前記揮発性メモリにセッション情報を記憶させ、前記検出部が通信異常の予兆を検出している場合には前記不揮発性メモリにもセッション情報を記憶させる管理部と、
    を有する車載システム。
  2. 前記管理部は、前記検出部が通信異常の予兆を検出している場合には、前記揮発性メモリに記憶させるセッション情報とは異なる新たなセッション情報を所定の基準に基づいて生成して当該新たなセッション情報を前記不揮発性メモリに記憶させる、請求項1記載の車載システム。
  3. 前記管理部は、前記検出部が通信異常の予兆を検出している場合には、前記揮発性メモリに記憶させるセッション情報のうちシーケンス番号を除く情報と、所定のタイミングで更新されかつ自車両から取得可能な値と、を含む情報を前記新たセッション情報として一回のみ生成し、当該新たなセッション情報を前記不揮発性メモリに記憶させる、請求項2記載の車載システム。
JP2020206793A 2020-12-14 2020-12-14 車載システム Pending JP2022094017A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2020206793A JP2022094017A (ja) 2020-12-14 2020-12-14 車載システム
US17/504,655 US11632306B2 (en) 2020-12-14 2021-10-19 Onboard system, communication method, and non-transitory storage medium
CN202111247625.4A CN114629632A (zh) 2020-12-14 2021-10-26 车载***、通信方法以及非暂时性存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020206793A JP2022094017A (ja) 2020-12-14 2020-12-14 車載システム

Publications (1)

Publication Number Publication Date
JP2022094017A true JP2022094017A (ja) 2022-06-24

Family

ID=81897539

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020206793A Pending JP2022094017A (ja) 2020-12-14 2020-12-14 車載システム

Country Status (3)

Country Link
US (1) US11632306B2 (ja)
JP (1) JP2022094017A (ja)
CN (1) CN114629632A (ja)

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3991927B2 (ja) * 2003-06-12 2007-10-17 株式会社デンソー 盗難防止システム
JP4244962B2 (ja) * 2004-08-31 2009-03-25 株式会社デンソー 車両用通信システム
WO2011135606A1 (ja) * 2010-04-26 2011-11-03 株式会社 日立製作所 時系列データ診断圧縮方法
JP6697360B2 (ja) * 2016-09-20 2020-05-20 キオクシア株式会社 メモリシステムおよびプロセッサシステム
US10440120B2 (en) * 2016-10-13 2019-10-08 Argus Cyber Security Ltd. System and method for anomaly detection in diagnostic sessions in an in-vehicle communication network
JP6538741B2 (ja) * 2017-03-09 2019-07-03 株式会社東芝 管理装置、情報処理装置および管理方法
WO2018189885A1 (ja) 2017-04-14 2018-10-18 三菱電機株式会社 鍵管理システム、通信機器および鍵共有方法
US11030310B2 (en) * 2017-08-17 2021-06-08 Red Bend Ltd. Systems and methods for disabling a malicious ECU in a controller area network (CAN) bus
WO2019230010A1 (ja) * 2018-06-01 2019-12-05 株式会社東芝 予兆データサーバ及びx線厚み測定システム
US10991175B2 (en) * 2018-12-27 2021-04-27 Beijing Voyager Technology Co., Ltd. Repair management system for autonomous vehicle in a trusted platform

Also Published As

Publication number Publication date
US20220191106A1 (en) 2022-06-16
US11632306B2 (en) 2023-04-18
CN114629632A (zh) 2022-06-14

Similar Documents

Publication Publication Date Title
JP6477281B2 (ja) 車載中継装置、車載通信システム及び中継プログラム
US10360018B2 (en) Update control apparatus, software update system, and update control method
US10243928B2 (en) Detection of stale encryption policy by group members
JP5949572B2 (ja) 車両不正状態検出方法、車載システムにおける制御方法、およびシステム
EP3996395B1 (en) Unauthorized frame detection device and unauthorized frame detection method
CN111788796B (zh) 车载通信***、交换装置、验证方法和计算机可读存储介质
KR102460691B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
CN106487802A (zh) 基于DPD协议的IPSec SA的异常探测方法及装置
US11657165B2 (en) Cryptography module and method for operating same
CN113347198B (zh) Arp报文处理方法、装置、网络设备及存储介质
US20220247721A1 (en) System For Authenticating And Controlling Network Access Of Terminal, And Method Therefor
JP2022094017A (ja) 車載システム
JP5783013B2 (ja) 車載通信システム
JP2006523870A (ja) 制御装置内のソフトウェアのデータ整合性を検査する方法
US11392450B1 (en) Data integrity check for one-time programmable memory
CN115632963A (zh) 一种确认隧道连接状态的方法、设备、装置及介质
JP7067508B2 (ja) ネットワークシステム
JP2022109024A (ja) 車両制御システム
US20240022548A1 (en) System and Method for Adaptive Encryption for SD-WAN
JP7467670B2 (ja) 特に自動車におけるデータの異常を処理するための方法
US20220247719A1 (en) Network Access Control System And Method Therefor
US20220405226A1 (en) Electronic control device and calculation method
JP6919430B2 (ja) ネットワークシステム
CN114465755A (zh) 基于IPSec传输异常的检测方法、装置及存储介质
CN116668160A (zh) 物联网设备的连接方法、装置、设备和存储介质