JP6704458B2 - In-vehicle processor - Google Patents

In-vehicle processor Download PDF

Info

Publication number
JP6704458B2
JP6704458B2 JP2018538283A JP2018538283A JP6704458B2 JP 6704458 B2 JP6704458 B2 JP 6704458B2 JP 2018538283 A JP2018538283 A JP 2018538283A JP 2018538283 A JP2018538283 A JP 2018538283A JP 6704458 B2 JP6704458 B2 JP 6704458B2
Authority
JP
Japan
Prior art keywords
data
vehicle
security
transfer destination
control unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018538283A
Other languages
Japanese (ja)
Other versions
JPWO2018047510A1 (en
Inventor
尚幸 山本
尚幸 山本
中西 一弘
一弘 中西
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Automotive Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Automotive Systems Ltd filed Critical Hitachi Automotive Systems Ltd
Publication of JPWO2018047510A1 publication Critical patent/JPWO2018047510A1/en
Application granted granted Critical
Publication of JP6704458B2 publication Critical patent/JP6704458B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、車載用処理装置に関する。 The present invention relates to a vehicle-mounted processing device.

車両システムの情報化の進展に従い、ネットワークのセキュリティリスクが増大している。実際に車両のネットワークに対し、攻撃することで走行に影響を与えるような脅威事例も発生し、外部からの攻撃に対して、自動車の制御システムを保護するセキュリティ機能が重要視されている。 With the progress of computerization of vehicle systems, network security risks are increasing. In some cases, threats that actually affect the running of vehicles on the network of vehicles also occur, and the security function that protects the control system of the vehicle against external attacks is emphasized.

車両には、複数の電子制御装置(以降、ECUと呼ぶ)が搭載されており、装置間のネットワークは、主にCAN(Controller Area Network)の規格で構成されている。車載ネットワークにセキュリティ対策を適用する場合、CANフレーム送信ECUは、CANフレームの正当性を保証し、CANバスに接続された偽ECUからのリプレイ攻撃を防御するため、鍵を用いてCANフレームに認証コード(Message Authentication Code; MAC)を付与する方法が提案されている(例えば、特許文献1参照)。 A plurality of electronic control devices (hereinafter referred to as ECUs) are mounted on a vehicle, and a network between the devices is mainly configured by CAN (Controller Area Network) standard. When applying security measures to the in-vehicle network, the CAN frame transmitting ECU authenticates the CAN frame using a key in order to guarantee the validity of the CAN frame and prevent replay attacks from a fake ECU connected to the CAN bus. A method of adding a code (Messaging Authentication Code) has been proposed (for example, refer to Patent Document 1).

また、ノードの負担を抑制しつつ、データ通信のセキュリティ性を高めることができる技術が開示されている(例えば、特許文献2参照)。特許文献2の車両用データ通信装置は、データを暗号化するか否かの暗号化情報をデータの送信側のノードを接続するバスとデータの受信側のノードを接続するバスとの組み合わせの単位で一元的に管理し、ノードは、データを復号化するか否かの復号化情報をデータの送信側のノードを接続するバスの単位で一元的に管理する。 In addition, a technique is disclosed that can improve the security of data communication while suppressing the load on the node (see, for example, Patent Document 2). The vehicle data communication device of Patent Document 2 is a unit of a combination of a bus connecting a node on the data transmission side and a bus connecting a node on the data reception side with encryption information indicating whether or not to encrypt the data. The node centrally manages the decryption information as to whether or not to decrypt the data, in units of buses connecting the nodes on the data transmission side.

特許第5770602号公報Japanese Patent No. 5770602 特開2013-201510号公報JP 2013-201510 JP

現状の車両ネットワークのCANでは、ライン上に各ECUを接続していくことによるライン型のネットワークとなっている。CANフレームには送信元ECU及び宛先ECUの識別情報が含まれておらず、受信ECUにおいて、送信元の正しいECUからのデータであるか否かを単純に判断することはできない。 The CAN of the current vehicle network is a line type network in which each ECU is connected on the line. Since the CAN frame does not include the identification information of the transmission source ECU and the destination ECU, the reception ECU cannot simply determine whether the data is from the correct transmission source ECU.

特許文献1に開示されるような技術では、車載ネットワークにセキュリティ対策を適用する場合、送信CANフレーム自体に変更が必要となり、全ECUの変更対応工数が大きくなる。 In the technique disclosed in Patent Document 1, when the security measure is applied to the in-vehicle network, the transmission CAN frame itself needs to be changed, and the man-hours for changing all ECUs are increased.

特許文献2に開示されるような技術では、バス毎にセキュリティ対策を行うことができるが、データを受信するECUはすべて復号化する機能を持つ必要があり、信頼性(安全性)が要求されるECUから段階的にセキュリティ機能を取り入れる事ができず、対応工数が大きくなる。 With the technique disclosed in Patent Document 2, security measures can be taken for each bus, but the ECU that receives the data must have the function of decrypting all, and reliability (safety) is required. The security function cannot be gradually introduced from the ECU, which increases the number of man-hours required.

本発明の目的は、車載ネットワークに段階的にセキュリティを導入することができる車載処理装置を提供することにある。 An object of the present invention is to provide an in-vehicle processing device that can gradually introduce security into an in-vehicle network.

上記目的を達成するために、本発明の一例の車載処理装置は、識別子を含む第1データを受信する受信部と、前記識別子に対応する転送先を特定するルーティング制御部と、前記転送先に要求される安全度を示す安全度情報に基づいて前記第1データから前記転送先に転送する第2データを生成するセキュリティ制御部と、前記第2データを前記転送先へ送信する送信部と、を備える車載処理装置であって、前記第1データの送信元及び前記転送先の電子制御装置ごとに前記安全度情報としての自動車安全度水準ASILが割り当てられ、前記セキュリティ制御部は、前記第1データの送信元の前記電子制御装置に割り当てられる前記自動車安全度水準ASILと前記転送先の前記電子制御装置に割り当てられる前記自動車安全度水準ASILが異なるか否かを判定し、前記第1データの送信元の前記電子制御装置に割り当てられる前記自動車安全度水準ASILと前記転送先の前記電子制御装置に割り当てられる前記自動車安全度水準ASILが異なる場合、前記第1データの送信元の前記電子制御装置に割り当てられる前記自動車安全度水準ASILに対応づけられた暗号方式で前記第1データを復号化し、かつ、前記転送先の前記電子制御装置に割り当てられる前記自動車安全度水準ASILに対応づけられた暗号方式で暗号化することで、前記第2データを生成する


In order to achieve the above object, an in-vehicle processing device according to an example of the present invention includes a receiving unit that receives first data including an identifier, a routing control unit that identifies a transfer destination corresponding to the identifier, and a transfer destination. A security control unit that generates second data to be transferred from the first data to the transfer destination based on security level information indicating required security level; and a transmission unit that transmits the second data to the transfer destination. A vehicle safety level ASIL as the safety level information is assigned to each electronic control unit of the transmission source and the transfer destination of the first data, and the security control unit is configured to It is determined whether or not the vehicle safety integrity level ASIL assigned to the electronic control unit of the data transmission source and the vehicle safety integrity level ASIL assigned to the electronic control unit of the transfer destination are different from each other. When the vehicle safety integrity level ASIL assigned to the electronic control unit of the transmission source and the vehicle safety integrity level ASIL assigned to the electronic control unit of the transfer destination are different, the electronic control unit of the transmission source of the first data A decryption of the first data by an encryption method corresponding to the vehicle safety level ASIL assigned to the The second data is generated by encrypting the second data .


本発明によれば、車載ネットワークに段階的にセキュリティを導入することができる。
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。According to the present invention, security can be gradually introduced into an in-vehicle network.
Problems, configurations, and effects other than those described above will be clarified by the following description of the embodiments.

本発明の一実施形態による車載用ゲートウェイ装置及び車載ネットワークシステムの構成並びに鍵配信の動作を説明するための図である。It is a figure for demonstrating the structure of the vehicle-mounted gateway apparatus and vehicle-mounted network system by one Embodiment of this invention, and operation|movement of key distribution. 本発明の一実施形態による車載用ゲートウェイ装置及び車載ネットワークシステムの構成並びに暗号鍵の付替え又は解除の動作を説明するための図である。It is a figure for demonstrating the structure of the vehicle-mounted gateway apparatus and vehicle-mounted network system by one Embodiment of this invention, and the operation|movement of the replacement or cancellation of an encryption key. 本発明の一実施形態による車載用ゲートウェイ装置のセキュリティテーブルの構成図である。It is a block diagram of the security table of the vehicle-mounted gateway apparatus by one Embodiment of this invention. 本発明の一実施形態による車載用ゲートウェイ装置のルーティングテーブルの構成図である。It is a block diagram of the routing table of the vehicle-mounted gateway apparatus by one Embodiment of this invention. 本発明の一実施形態による車載用ゲートウェイ装置のフローチャートである。3 is a flowchart of an in-vehicle gateway device according to an embodiment of the present invention. 本発明の一実施形態による車載用ゲートウェイ装置のハードウェア構成を示す図である。It is a figure which shows the hardware constitutions of the vehicle-mounted gateway apparatus by one Embodiment of this invention.

以下、図面を用いて、本発明の実施形態による車載用ゲートウェイ装置(車載処理装置)の構成及び動作について説明する。なお、各図において、同一符号は同一部分を示す。 Hereinafter, the configuration and operation of the vehicle-mounted gateway device (vehicle-mounted processing device) according to the embodiment of the present invention will be described with reference to the drawings. In each figure, the same reference numerals indicate the same parts.

(システム構成) 図1を用いて本発明の一実施形態による車載用ゲートウェイ装置及び車載ネットワークシステムの構成を説明する。 (System Configuration) With reference to FIG. 1, configurations of an in-vehicle gateway device and an in-vehicle network system according to an embodiment of the present invention will be described.

図1の例では、車載ネットワークは、2つのバス(N600、N601)を備えている。バスN600(ライン)には、本発明の実施形態による車載用ゲートウェイ装置1、ECU1(N101)、ECU2(N301)、ECU3(N201)等が接続されている。一方、バスN601には、ECU4(N102)が接続されている。 In the example of FIG. 1, the vehicle-mounted network includes two buses (N600, N601). The vehicle gateway device 1, the ECU 1 (N101), the ECU 2 (N301), the ECU 3 (N201) and the like according to the embodiment of the present invention are connected to the bus N600 (line). On the other hand, the bus N601 is connected to the ECU 4 (N102).

各ECUには、ISO(International Organization for Standardization)によって規定される自動車安全度水準ASIL(Automotive Safety Integrity Level)が割り当てられている。具体的には、ASILは、QM(Quality Management)、A、B、C、D等の記号を用いて分類される。QM<A<B<C<Dの順で要求される安全度は大きくなる。 Each ECU is assigned a vehicle safety integrity level (ASIL) defined by ISO (International Organization for Standardization). Specifically, ASIL is classified using symbols such as QM (Quality Management), A, B, C, and D. The degree of safety required increases in the order of QM<A<B<C<D.

図1の例では、破線N100内のECU1(N101)、ECU4(N102)に、最も高い安全度である「D」が割り当てられている。破線N200内のECU3(N201)、ECU5には、「B」が割り当てられている。破線N300内のECU2(N301)、ECU6には、最も低い安全度である「QM」が割り当てられている。 In the example of FIG. 1, the highest safety level “D” is assigned to the ECU 1 (N101) and the ECU 4 (N102) within the broken line N100. “B” is assigned to the ECU 3 (N201) and the ECU 5 in the broken line N200. The lowest safety level “QM” is assigned to the ECU 2 (N301) and the ECU 6 within the broken line N300.

車載用ゲートウェイ装置1は、データ転送先を判定するルーティング制御部2、CAN ID(識別子)と出力先(転送先)の対応づけを示すルーティングテーブル3、セキュリティの制御判定等をするセキュリティ制御部4、各装置の鍵情報管理、ECU間の認証情報、各ASIL情報及び暗号方式を示すセキュリティテーブル5、暗号化・復号化アルゴリズム6(図2)、鍵情報8を備える。 The in-vehicle gateway device 1 includes a routing control unit 2 that determines a data transfer destination, a routing table 3 that shows a correspondence between a CAN ID (identifier) and an output destination (transfer destination), and a security control unit 4 that makes a security control determination. , Key information management of each device, authentication information between ECUs, each ASIL information and a security table 5 showing an encryption method, an encryption/decryption algorithm 6 (FIG. 2), and key information 8.

なお、車載用ゲートウェイ装置1は、図6に示すように、マイコン11(プロセッサ)、入出力ポートなどの入出力装置14、CANトランシーバなどの通信装置15等を備える。マイコン11は、揮発性メモリの一例であるSRAM12(Static Random Access Memory)と、不揮発性メモリの一例であるFLASH13(Flash Memory)を内蔵する。 As shown in FIG. 6, the in-vehicle gateway device 1 includes a microcomputer 11 (processor), an input/output device 14 such as an input/output port, a communication device 15 such as a CAN transceiver, and the like. The microcomputer 11 includes an SRAM 12 (Static Random Access Memory), which is an example of a volatile memory, and a FLASH 13 (Flash Memory), which is an example of a non-volatile memory.

FLASH13には、ルーティングテーブル3、セキュリティテーブル5、暗号化・復号化アルゴリズム6、7(プログラム)、鍵情報8等が記憶される。SRAM12には、演算に必要なデータ、演算結果などが一時的に記憶される。 The FLASH 13 stores a routing table 3, a security table 5, encryption/decryption algorithms 6 and 7 (program), key information 8 and the like. The SRAM 12 temporarily stores data necessary for calculation, calculation results, and the like.

ルーティングテーブル3は、図4に示すように、送信先ECUが接続されるバスを識別する番号を示す「接続バスNo」、受信データのIDを示す「受信データID」、受信データIDに対応する送信先のECUを示す「送信先ECU」、送信先へ送信するデータに割り当てるIDを示す「送信ID」等のフィールドを備える。 As shown in FIG. 4, the routing table 3 corresponds to the “connection bus No” indicating the number for identifying the bus to which the transmission destination ECU is connected, the “reception data ID” indicating the ID of the reception data, and the reception data ID. It has fields such as “transmission destination ECU” indicating the transmission destination ECU and “transmission ID” indicating the ID assigned to the data transmitted to the transmission destination.

セキュリティテーブル5は、図3に示すように、「装置名」、自動車安全度水準を示す「ASIL」、暗号鍵を識別するIDを示す「鍵ID」、「暗号方式」、装置名が示すECUが送信するデータのIDを示す「送信データID」、チャレンジアンドレスポンスによる認証の結果を示す「認証」等のフィールドを備える。換言すれば、FLASH13(記憶装置)は、装置名(転送先)、及び装置名(転送先)に対応するASIL(安全度情報)の組合せを記憶する。 As shown in FIG. 3, the security table 5 includes an “device name”, an “ASIL” indicating a vehicle safety level, a “key ID” indicating an ID for identifying an encryption key, an “encryption method”, and an ECU indicated by the device name. Fields such as "transmission data ID" indicating the ID of the data transmitted by the user and "authentication" indicating the result of authentication by challenge and response are provided. In other words, the FLASH 13 (storage device) stores a combination of the device name (transfer destination) and the ASIL (safety level information) corresponding to the device name (transfer destination).

車載用ゲートウェイ装置1のセキュリティ制御部4(マイコン11)は、FLASH13(記憶装置)から転送先に対応するASIL(安全度情報)を読み出し、読み出したASILに応じて、転送先に転送するデータの暗号強度を設定する。これにより、転送前のデータの暗号強度にかかわらず転送先のASILに応じて転送するデータの暗号強度が決まる。動作の詳細については、図5を用いて後述する。 The security control unit 4 (microcomputer 11) of the vehicle-mounted gateway device 1 reads the ASIL (safety level information) corresponding to the transfer destination from the FLASH 13 (storage device), and according to the read ASIL, the data to be transferred to the transfer destination is read. Set the encryption strength. As a result, the encryption strength of the data to be transferred is determined according to the transfer destination ASIL regardless of the encryption strength of the data before the transfer. Details of the operation will be described later with reference to FIG.

また、FLASH13(記憶装置)は、ASIL(安全度情報)、及びASILに対応する暗号方式の組合せを記憶する。 Further, the FLASH 13 (storage device) stores ASIL (security level information) and a combination of encryption methods corresponding to ASIL.

車載用ゲートウェイ装置1のセキュリティ制御部4(マイコン11)は、FLASH13(記憶装置)からASIL(安全度情報)に対応する暗号方式を読み出し、読み出した暗号方式を用いて、転送先に転送するデータの暗号強度を設定する。これにより、転送先では、ASILに対応する暗号方式の復号のみを行えばよい。詳細については、図5を用いて後述する。 The security control unit 4 (microcomputer 11) of the vehicle-mounted gateway device 1 reads the encryption method corresponding to ASIL (security level information) from the FLASH 13 (storage device), and uses the read encryption method to transfer data to the transfer destination. Set the encryption strength of. As a result, the transfer destination only has to perform the decryption of the encryption method corresponding to ASIL. Details will be described later with reference to FIG.

さらに、FLASH13(記憶装置)は、ASIL(安全度情報)、及びASILに対応する暗号鍵の情報を示す鍵ID(暗号鍵情報)の組合せを記憶する。 Further, the FLASH 13 (storage device) stores a combination of ASIL (security level information) and a key ID (encryption key information) indicating information of an encryption key corresponding to the ASIL.

車載用ゲートウェイ装置1のセキュリティ制御部4(マイコン11)は、FLASH13(記憶装置)からASIL(安全度情報)に対応する鍵IDを読み出し、読み出した鍵IDが示す暗号鍵を転送先に配信する。これにより、転送先では、ASILに応じた暗号鍵を用いてデータを復号化することができる。 The security control unit 4 (microcomputer 11) of the vehicle-mounted gateway device 1 reads the key ID corresponding to ASIL (safety level information) from the FLASH 13 (storage device), and delivers the encryption key indicated by the read key ID to the transfer destination. .. As a result, at the transfer destination, the data can be decrypted by using the encryption key according to ASIL.

なお、図3に示すCMAC (Cipher-based MAC)は、ブロック暗号に基づくメッセージ認証符号アルゴリズムである。また、図3に示すHMAC (Hash-based Message Authentication Code)は、メッセージ認証符号 (MAC; Message Authentication Code) の一つであり、秘密鍵とメッセージ(データ)とハッシュ関数をもとに計算される。CMACの暗号強度は、HMACの暗号強度よりも大きい。 CMAC (Cipher-based MAC) shown in FIG. 3 is a message authentication code algorithm based on block cipher. HMAC (Hash-based Message Authentication Code) shown in FIG. 3 is one of message authentication codes (MAC), and is calculated based on a secret key, a message (data), and a hash function. .. The encryption strength of CMAC is greater than that of HMAC.

(暗号鍵の配信)
次に、図1を用いて、ASIL毎に車載用ゲートウェイ装置1が各ECUへ鍵配信を行う例を説明する。(Distribution of encryption key)
Next, an example in which the vehicle-mounted gateway device 1 performs key distribution to each ECU for each ASIL will be described with reference to FIG.

車載用ゲートウェイ装置1のルーティングテーブル3には、セキュリティを必要とするECU1(N101)、ECU3(N201)等へ鍵情報を送信するため送信IDを準備する。図1の例では、ルーティングテーブル3の第3レコードにおいて、送信先「ECU1」に送信ID「600」が割り当てられている。また、ルーティングテーブル3の第4レコードにおいて、送信先「ECU3」に送信ID「610」が割り当てられている。 A transmission ID is prepared in the routing table 3 of the vehicle-mounted gateway device 1 in order to transmit the key information to the ECU 1 (N101), the ECU 3 (N201) and the like that require security. In the example of FIG. 1, the transmission ID “600” is assigned to the transmission destination “ECU1” in the third record of the routing table 3. Further, in the fourth record of the routing table 3, the transmission ID “610” is assigned to the transmission destination “ECU3”.

セキュリティテーブル5には、各ECUに対応したASIL毎の鍵情報を準備する。図1の例では、セキュリティテーブル5の第1レコードにおいて、装置名「ECU1」に、鍵ID「D」が割り当てられている。また、セキュリティテーブルの第3レコードにおいて、装置名「ECU3」に鍵ID「B」が割り当てられている。ここで、鍵IDは、暗号鍵を識別する識別子である。 In the security table 5, key information for each ASIL corresponding to each ECU is prepared. In the example of FIG. 1, the key ID “D” is assigned to the device name “ECU1” in the first record of the security table 5. In the third record of the security table, the key ID “B” is assigned to the device name “ECU3”. Here, the key ID is an identifier for identifying the encryption key.

車載用ゲートウェイ装置1は、各ECUとチャレンジ&レスポンスによるECU機器認証を行う。車載用ゲートウェイ装置1は、各ECUと認証が成功した場合に、セキュリティテーブル5で解決したASIL毎の鍵情報8を各ECUへ配信する。車載用ゲートウェイ装置1は、受信データID毎に周期の監視を行う。周期を逸脱して受信したIDのデータは不正データとし破棄する。 The in-vehicle gateway device 1 performs ECU device authentication by challenge and response with each ECU. The vehicle-mounted gateway device 1 delivers the key information 8 for each ASIL resolved in the security table 5 to each ECU when the authentication with each ECU is successful. The vehicle-mounted gateway device 1 monitors the cycle for each received data ID. ID data received outside the cycle is invalid data and is discarded.

車載用ゲートウェイ装置1は、各ECUへ配信した鍵を用いてフレーム受信及びフレーム送信時MACの解決を行い、各ECUとの暗号化の調停を行う。このフレーム調停(暗号鍵の付替え又は解除)は、図2を用いて説明する。 The in-vehicle gateway device 1 uses the key distributed to each ECU to resolve the MAC upon frame reception and frame transmission, and arbitrates encryption with each ECU. This frame arbitration (replacement or cancellation of the encryption key) will be described with reference to FIG.

(暗号鍵の付替え又は解除)
次に、図2を用いて本発明の一実施形態による車載用ゲートウェイ装置及び車載ネットワークの暗号鍵の付替え又は解除の動作を説明する。(Replacement or cancellation of encryption key)
Next, the operation of replacing or releasing the encryption key of the vehicle-mounted gateway device and the vehicle-mounted network according to the embodiment of the present invention will be described with reference to FIG.

ECU1(N101)からECU2(N301)及びのECU3(N201)へデータを渡したい場合、ECU1(N101)で、CANフレームの暗号化をしている為、受信側のECUはデータを受信してもそのままデータを扱う事ができない。そこで車載用ゲートウェイ装置1はECU1(N101)からの受信データ401をルーティングテーブル3及びセキュリティテーブル5から解決し、復号化アルゴリズム6によりデータ復号化をする。 When data is to be passed from the ECU 1 (N101) to the ECU 2 (N301) and the ECU 3 (N201), the ECU 1 (N101) encrypts the CAN frame, so that the receiving ECU receives the data. It cannot handle the data as it is. Therefore, the vehicle-mounted gateway device 1 solves the received data 401 from the ECU 1 (N101) from the routing table 3 and the security table 5 and decrypts the data by the decryption algorithm 6.

ルーティングテーブル3の送信先ECUに見合った暗号化アルゴリズム6により鍵情報8を指定して、データ暗号化する事でデータ強度B(403)とし、送信IDを付け替えて送信する。セキュリティテーブル5の送信先ECUのASILがQMの場合は、暗号化せずに素データ402として、送信IDを付け替えて送信する。 The key information 8 is designated by the encryption algorithm 6 suitable for the transmission destination ECU of the routing table 3, and the data is encrypted to obtain the data strength B (403), and the transmission ID is replaced and transmitted. When the ASIL of the transmission destination ECU in the security table 5 is QM, the transmission ID is changed and transmitted as the raw data 402 without being encrypted.

次に、図5を用いて、車載用ゲートウェイ装置1の動作を詳細に説明する。ここでは、図2に示すECU1が、暗号化したデータ強度Dのデータ400(CANフレーム)を、バスN601を介して送信したと仮定する。なお、データ400に含まれるID(識別子)は「100」である。データ400(第1データ)は、鍵IDである「D」が示す暗号鍵(第1暗号鍵)を用いて暗号化されている。 Next, the operation of the vehicle-mounted gateway device 1 will be described in detail with reference to FIG. Here, it is assumed that the ECU 1 shown in FIG. 2 transmits the encrypted data 400 (CAN frame) of the data strength D via the bus N601. The ID (identifier) included in the data 400 is “100”. The data 400 (first data) is encrypted using the encryption key (first encryption key) indicated by the key ID “D”.

車載用ゲートウェイ装置1は、データ400を受信する(S1)。ここで、車載用ゲートウェイ装置1の通信装置15は、ID(識別子)を含むデータ400を受信する受信部として機能する。 The in-vehicle gateway device 1 receives the data 400 (S1). Here, the communication device 15 of the vehicle-mounted gateway device 1 functions as a receiving unit that receives the data 400 including an ID (identifier).

車載用ゲートウェイ装置1は、受信したデータ400(受信データ401)が転送の対象であるか否かを判定する(S2)。 The in-vehicle gateway device 1 determines whether the received data 400 (received data 401) is a transfer target (S2).

詳細には、車載用ゲートウェイ装置1は、ルーティングテーブル3から「受信データID」フィールドの値がデータ400のID「100」と一致するレコードを検索する。車載用ゲートウェイ装置1は、検索によりヒットしたレコードの「送信先ECU」フィールドの値が自身でない場合(S2:YES)、S3へ処理を進め、検索によりヒットしたレコードの「送信先ECU」フィールドの値が自身である場合又は検索条件を満たすレコードがない場合(S2:NO)、処理を終了する。 Specifically, the in-vehicle gateway device 1 searches the routing table 3 for a record in which the value of the “received data ID” field matches the ID “100” of the data 400. If the value of the “destination ECU” field of the record hit by the search is not itself (S2: YES), the vehicle-mounted gateway device 1 advances the process to S3, and sets the “destination ECU” field of the record hit by the search. When the value is itself or when there is no record satisfying the search condition (S2: NO), the process ends.

図5に示すルーティングテーブル3では、検索により第1レコードがヒットする。車載用ゲートウェイ装置1は、ルーティングテーブル3の第1レコードの「送信先ECU」フィールドD1の値から送信先ECUがECU2、ECU3であり、受信したデータ400は転送の対象であると判定する。なお、車載用ゲートウェイ装置1は、ルーティングテーブル3の第1レコードの「送信ID」フィールドから送信するデータのIDが101、102であることを特定する。 In the routing table 3 shown in FIG. 5, the first record is hit by the search. The in-vehicle gateway device 1 determines that the transmission destination ECUs are the ECUs 2 and 3 and the received data 400 is the transfer target based on the value of the “transmission destination ECU” field D1 of the first record of the routing table 3. The vehicle-mounted gateway device 1 specifies that the IDs of the data to be transmitted are 101 and 102 from the “transmission ID” field of the first record of the routing table 3.

ここで、車載用ゲートウェイ装置1のマイコン11は、データ400に含まれるID(識別子)に対応する転送先を特定するルーティング制御部2として機能する。 Here, the microcomputer 11 of the vehicle-mounted gateway device 1 functions as the routing control unit 2 that identifies the transfer destination corresponding to the ID (identifier) included in the data 400.

続いて、車載用ゲートウェイ装置1は、データ400を送信したECU1のASILと送信先のECU2、ECU3のASILが異なるか否かをそれぞれ判定する(S3)。 Subsequently, the in-vehicle gateway device 1 determines whether or not the ASIL of the ECU 1 that has transmitted the data 400 is different from the ASIL of the transmission destination ECUs 2 and 3 (S3).

まず、車載用ゲートウェイ装置1は、セキュリティテーブル5を参照し、データ400を送信したECU1のASILを特定する。具体的には、車載用ゲートウェイ装置1は、セキュリティテーブル5から「送信データID」フィールドの値がデータ400のID「100」と一致するレコードを検索する。図5に示すセキュリティテーブル5では、第1レコードがヒットする。車載用ゲートウェイ装置1は、セキュリティテーブル5の第1レコードの「ASIL」フィールドD2の値からデータ400を送信したECU1のASILが「D」であることを特定する。 First, the in-vehicle gateway device 1 refers to the security table 5 and identifies the ASIL of the ECU 1 that has transmitted the data 400. Specifically, the in-vehicle gateway device 1 searches the security table 5 for a record in which the value of the “transmission data ID” field matches the ID “100” of the data 400. In the security table 5 shown in FIG. 5, the first record is hit. The in-vehicle gateway device 1 specifies that the ASIL of the ECU 1 that has transmitted the data 400 is “D” from the value of the “ASIL” field D2 of the first record of the security table 5.

次に、車載用ゲートウェイ装置1は、セキュリティテーブル5を参照し、転送先のECU2、ECU3のASILを特定する。具体的には、車載用ゲートウェイ装置1は、セキュリティテーブル5から「装置名」フィールドの値が、ECU2、ECU3のデータをそれぞれ検索する。図5に示すセキュリティテーブル5では、第2レコード、第3レコードがそれぞれヒットする。 Next, the in-vehicle gateway device 1 refers to the security table 5 and identifies the ASIL of the transfer destination ECU 2 or ECU 3. Specifically, the in-vehicle gateway device 1 searches the security table 5 for the data of the ECU 2 and the ECU 3 for the value of the “device name” field. In the security table 5 shown in FIG. 5, the second record and the third record are hit.

車載用ゲートウェイ装置1は、セキュリティテーブル5の第2レコードの「ASIL」フィールドD2の値から送信先のECU2のASILが「QM」であることを特定する。
同様に、車載用ゲートウェイ装置1は、セキュリティテーブル5の第3レコードの「ASIL」フィールドD2の値から送信先のECU3のASILが「B」であることを特定する。The in-vehicle gateway device 1 identifies that the ASIL of the transmission destination ECU 2 is “QM” from the value of the “ASIL” field D2 of the second record of the security table 5.
Similarly, the in-vehicle gateway device 1 specifies that the ASIL of the transmission destination ECU 3 is “B” from the value of the “ASIL” field D2 of the third record of the security table 5.

これにより、車載用ゲートウェイ装置1は、データ400を送信したECU1のASILと送信先のECU2、ECU3のASILがそれぞれ異なると判定する(S3:YES)。 As a result, the in-vehicle gateway device 1 determines that the ASIL of the ECU 1 that transmitted the data 400 and the ASIL of the transmission destination ECUs 2 and 3 are different (S3: YES).

車載用ゲートウェイ装置1は、セキュリティテーブル5の第1レコードの「暗号方式」フィールドの値からECU1が「CMAC」でデータ400を暗号化したことを特定し、受信したデータ400を暗号方式「CMAC」で復号化する(S4)。 The in-vehicle gateway device 1 identifies that the ECU 1 has encrypted the data 400 with "CMAC" from the value of the "encryption method" field of the first record of the security table 5, and the received data 400 is encrypted with the encryption method "CMAC". To decrypt (S4).

車載用ゲートウェイ装置1は、送信先(転送先)のECUのASILが「QM」以外であるか否かを判定する(S5)。図5の例では、送信先のECU2のASILは「QM」であるため、車載用ゲートウェイ装置1は、S4で復号化したデータ400から平文の素データ402(CANフレーム)を生成して送信する(S7)。また、送信先のECU3のASILは「B」であるため、車載用ゲートウェイ装置1は、S4で復号化したデータ400をセキュリティテーブル5の第3レコードの「鍵ID」フィールドの値「B」が示す暗号鍵を用いて、S4で復号化したデータ400を「暗号方式」フィールドの値「HMAC」で暗号化し(S6)、データ強度Bのデータ403(CANフレーム)を生成して送信する(S7)。 The in-vehicle gateway device 1 determines whether or not the ASIL of the transmission destination (transfer destination) ECU is other than "QM" (S5). In the example of FIG. 5, the ASIL of the transmission destination ECU 2 is “QM”, so the vehicle-mounted gateway device 1 generates and transmits plaintext raw data 402 (CAN frame) from the data 400 decrypted in S4. (S7). Further, since the ASIL of the transmission destination ECU 3 is “B”, the in-vehicle gateway device 1 sets the value “B” of the “key ID” field of the third record of the security table 5 to the data 400 decrypted in S4. Using the encryption key shown, the data 400 decrypted in S4 is encrypted with the value "HMAC" of the "encryption method" field (S6), and the data 403 (CAN frame) of data strength B is generated and transmitted (S7). ).

換言すれば、車載用ゲートウェイ装置1のマイコン11は、転送先に要求される安全度を示すASIL(安全度情報)に基づいてデータ400(第1データ)から転送先に転送するデータ402、403(第2データ)を生成するセキュリティ制御部4として機能する。また、車載用ゲートウェイ装置1の通信装置15は、データ402、403(第2データ)を転送先へ送信する送信部として機能する。 In other words, the microcomputer 11 of the vehicle-mounted gateway device 1 transfers the data 402, 403 to be transferred from the data 400 (first data) to the transfer destination based on ASIL (safety level information) indicating the safety level required of the transfer destination. It functions as the security control unit 4 that generates (second data). Further, the communication device 15 of the vehicle-mounted gateway device 1 functions as a transmission unit that transmits the data 402 and 403 (second data) to the transfer destination.

詳細には、マイコン11(セキュリティ制御部4)は、転送先のASIL(安全度情報)に応じてデータ402、403(第2データ)の暗号強度を設定する。具体的には、マイコン11(セキュリティ制御部4)は、転送先のASIL(安全度情報)に応じてデータ400(第1データ)の暗号鍵を交換する又はデータ400の暗号化を解除することにより、データ402、403(第2データ)を生成する。 Specifically, the microcomputer 11 (security control unit 4) sets the encryption strength of the data 402 and 403 (second data) according to the transfer destination ASIL (security level information). Specifically, the microcomputer 11 (security control unit 4) exchanges the encryption key of the data 400 (first data) or cancels the encryption of the data 400 according to the transfer destination ASIL (security level information). Thus, the data 402 and 403 (second data) are generated.

例えば、マイコン11(セキュリティ制御部4)は、転送先のASIL(安全度情報)に応じて、第1暗号鍵(鍵ID=D)を用いてデータ400(第1データ)を復号化し、第1暗号鍵と異なる第2暗号鍵(鍵ID=B)を用いて暗号化することにより、データ400の暗号鍵を交換し、転送先のASILが最も低い安全度を示す場合、第1暗号鍵(鍵ID=D)を用いてデータ400を復号化することにより、データ400の暗号化を解除する。これにより、転送先のASILに応じて、転送先毎にセキュリティを導入できる。 For example, the microcomputer 11 (security control unit 4) decrypts the data 400 (first data) using the first encryption key (key ID=D) according to the transfer destination ASIL (security level information), When the encryption key of the data 400 is exchanged by encrypting using the second encryption key (key ID=B) different from the first encryption key, and the ASIL of the transfer destination shows the lowest security level, the first encryption key The data 400 is decrypted by decrypting the data 400 using (key ID=D). Thereby, security can be introduced for each transfer destination according to the ASIL of the transfer destination.

ECU2(N301)は、暗号化されていない素データ402を受信し、受信した素データ402を用いて、所定の処理を行う。一方、ECU3(N201)は、車載用ゲートウェイ装置1から配信された鍵ID「B」に対応する暗号鍵を用いて、暗号化されたデータ強度Bのデータ403を復号化し、復号化したデータ用いて所定の処理を行う。 The ECU 2 (N301) receives the unencrypted raw data 402 and performs a predetermined process using the received raw data 402. On the other hand, the ECU 3 (N201) decrypts the encrypted data 403 of the data strength B using the encryption key corresponding to the key ID “B” distributed from the vehicle-mounted gateway device 1, and uses the decrypted data. And perform a predetermined process.

このようにして、ECU2(N301)は、素データ402を復号化なしでデータ受信のみでデータを取り扱う。ECU3(N201)は、データ受信時にデータ強度Bのデータ403を対象アルゴリズム(HMAC)で復号化しデータを取り扱う。 In this way, the ECU 2 (N301) handles the raw data 402 by only receiving the data without decoding the raw data 402. When receiving the data, the ECU 3 (N201) decodes the data 403 of the data strength B by the target algorithm (HMAC) and handles the data.

以上説明したように、本実施形態によれば、車載ネットワークに段階的にセキュリティを導入することができる。具体的には、セキュリティ機能対応ECU(復号機能あり)と従来ECU(復号機能なし)との混在を許容する事で、セキュリティ導入を容易とする。
また従来ECUには、変更工数をかけずに、ネットワークにセキュリティ機能をいれる事ができる。ゲートウェイで認証や鍵管理を行う為、ゲートウェイでセキュリティ機能の一元管理がでるので早急な事故対応を可能とする。As described above, according to this embodiment, security can be gradually introduced into the vehicle-mounted network. Specifically, the security introduction is facilitated by allowing a mixture of a security function compatible ECU (with a decryption function) and a conventional ECU (without a decryption function).
Further, the conventional ECU can be provided with a security function in the network without changing man-hours. Since the gateway performs authentication and key management, the security function can be centrally managed at the gateway, enabling quick response to an accident.

なお、本発明は上記した実施形態に限定されるものではなく、様々な変形例が含まれる。例えば、上述した実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えることが可能であり、また、ある実施形態の構成に他の実施形態の構成を加えることも可能である。また、各実施形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。 It should be noted that the present invention is not limited to the above-described embodiment, and various modifications are included. For example, the above-described embodiments have been described in detail in order to explain the present invention in an easy-to-understand manner, and are not necessarily limited to those including all the configurations described. Further, a part of the configuration of one embodiment can be replaced with the configuration of another embodiment, and the configuration of another embodiment can be added to the configuration of one embodiment. Further, it is possible to add/delete/replace other configurations with respect to a part of the configurations of the respective embodiments.

上記実施形態では、ルーティングテーブル3及びセキュリティテーブル5の各フィールドには予め値が格納されているが、各ECUから指定して登録するようにしてもよい。 In the above embodiment, values are stored in advance in the fields of the routing table 3 and the security table 5, but they may be specified and registered by each ECU.

また、上記の各構成、機能等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサ(マイコン)がそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。 Further, the above-described respective configurations, functions and the like may be realized by hardware by designing a part or all of them with, for example, an integrated circuit. Further, the above-described respective configurations, functions and the like may be realized by software by a processor (microcomputer) interpreting and executing a program for realizing each function. Information such as a program, a table, and a file that realizes each function can be placed in a memory, a recording device such as a hard disk or SSD (Solid State Drive), or a recording medium such as an IC card, an SD card, or a DVD.

なお、本発明の実施形態は、以下の態様であってもよい。 The embodiment of the present invention may have the following aspects.

(1)他の車載処理装置と接続された車載処理装置において、前記他の車載処理装置の安全度情報が格納された記憶部と、前記他の車載処理装置に送信されるデータを前記他の車載処理装置の安全度情報に基づいて処理する送信データ処理部と、前記送信用データ処理部で処理されたデータを前記他の車載処理装置へ送信する送信部と、を備える、車載処理装置。 (1) In an in-vehicle processing device connected to another in-vehicle processing device, a storage unit in which safety degree information of the other in-vehicle processing device is stored, and data transmitted to the other in-vehicle processing device are stored in the other in-vehicle processing device. An in-vehicle processing device, comprising: a transmission data processing unit that processes based on safety degree information of the in-vehicle processing device; and a transmission unit that transmits the data processed by the transmission data processing unit to the other in-vehicle processing device.

(2)前記送信データ処理部は、前記他の車載処理装置に送信されるデータを暗号化する暗号化部である、(1)に記載の車載処理装置。 (2) The in-vehicle processing device according to (1), wherein the transmission data processing unit is an encryption unit that encrypts data transmitted to the other in-vehicle processing device.

(3)前記暗号化部は、前記データを暗号化する際の暗号化レベルを、前記安全度情報に基づいて設定する(2)に記載の車載処理装置。 (3) The in-vehicle processing device according to (2), wherein the encryption unit sets an encryption level for encrypting the data based on the safety degree information.

(4)(1)に記載の車載処理装置において、前記暗号化部は、他の車載用ゲートウェイ装置から送信されたデータに付与された識別番号に基づいて、前記データを処置する他の車載用ゲートウェイ装置を特定した後、前記他の車載処理装置の情報と前記安全度情報とを、照合して、前記データを送信する際の暗号化レベルを設定する。 (4) In the vehicle-mounted processing device according to (1), the encryption unit may be used for another vehicle-mounted device that processes the data based on an identification number given to the data transmitted from another vehicle-mounted gateway device. After the gateway device is specified, the information of the other on-vehicle processing device and the safety degree information are collated to set the encryption level at the time of transmitting the data.

(5)(1)に記載の車載処理装置において、複数の車載用ゲートウェイ装置の少なくとも1つは、車載処理装置である。 (5) In the in-vehicle processing device according to (1), at least one of the plurality of in-vehicle gateway devices is an in-vehicle processing device.

(6)(1)に記載の車載処理装置において、複数の車載処理装置の少なくとも1つは、ECUである。 (6) In the vehicle-mounted processing device according to (1), at least one of the plurality of vehicle-mounted processing devices is an ECU.

(7)(1)に記載の車載処理装置に暗号レベルが複数割り当てられ暗号レベルと、出力先車載装置が対応づけられた設定テーブルを有するゲートウェイ装置。 (7) A gateway device having a setting table in which a plurality of encryption levels are assigned to the in-vehicle processing device according to (1) and the encryption level and the output destination in-vehicle device are associated with each other.

(8)(1)に記載の車載処理装置に安全度が複数割り当てられ安全度レベルと、暗号レベルが対応づけられた設定テーブルを有するゲートウェイ装置。 (8) A gateway device having a setting table in which a plurality of security levels are assigned to the in-vehicle processing device according to (1) and the security level and the encryption level are associated with each other.

(9)(1)に記載の車載処理装置に暗号方式が複数割り当てられ暗号方式と、暗号レベルが対応づけられた設定テーブルを有するゲートウェイ装置。 (9) A gateway device having a setting table in which a plurality of encryption methods are assigned to the vehicle-mounted processing device according to (1) and the encryption methods and the encryption levels are associated with each other.

1 車載用ゲートウェイ装置
2 ルーティング制御(部)
3 ルーティングテーブル
4 セキュリティ制御(部)
5 セキュリティテーブル
6 暗号化・復号化アルゴリズム(CMAC)
7 暗号化・復号化アルゴリズム(HMAC)
8 鍵情報
11 マイコン
12 SRAM
13 FLASH
14 入出力装置
15 通信装置
100 安全度ASIL−DのECU
N101 ECU1
N102 ECU4
N200 安全度ASIL−BのECU
N201 ECU3
N202 ECU5
N300 安全度ASIL−QMのECU
N301 ECU2
N302 ECU6
400 データ強度Dのデータ
401 受信データ
402 素データ
403 データ強度Bのデータ
501 鍵情報B
502 鍵情報D1 In-vehicle gateway device 2 Routing control (part)
3 Routing table 4 Security control (part)
5 Security table 6 Encryption/decryption algorithm (CMAC)
7 Encryption/Decryption Algorithm (HMAC)
8 key information 11 microcomputer 12 SRAM
13 FLASH
14 Input/output device 15 Communication device 100 ECU of safety degree ASIL-D
N101 ECU1
N102 ECU4
N200 Safety ASIL-B ECU
N201 ECU3
N202 ECU5
N300 Safety ASIL-QM ECU
N301 ECU2
N302 ECU6
400 data of data strength D 401 received data 402 raw data 403 data of data strength B 501 key information B
502 Key information D

Claims (8)

識別子を含む第1データを受信する受信部と、
前記識別子に対応する転送先を特定するルーティング制御部と、
前記転送先に要求される安全度を示す安全度情報に基づいて前記第1データから前記転送先に転送する第2データを生成するセキュリティ制御部と、
前記第2データを前記転送先へ送信する送信部と、
を備える車載処理装置であって、
前記第1データの送信元及び前記転送先の電子制御装置ごとに前記安全度情報としての自動車安全度水準ASILが割り当てられ、
前記セキュリティ制御部は、
前記第1データの送信元の前記電子制御装置に割り当てられる前記自動車安全度水準ASILと前記転送先の前記電子制御装置に割り当てられる前記自動車安全度水準ASILが異なるか否かを判定し、
前記第1データの送信元の前記電子制御装置に割り当てられる前記自動車安全度水準ASILと前記転送先の前記電子制御装置に割り当てられる前記自動車安全度水準ASILが異なる場合、前記第1データの送信元の前記電子制御装置に割り当てられる前記自動車安全度水準ASILに対応づけられた暗号方式で前記第1データを復号化し、かつ、前記転送先の前記電子制御装置に割り当てられる前記自動車安全度水準ASILに対応づけられた暗号方式で暗号化することで、前記第2データを生成する
ことを特徴とする車載処理装置。 A receiver for receiving the first data including the identifier,
A routing control unit that specifies a transfer destination corresponding to the identifier,
A security control unit for generating second data to be transferred from the first data to the transfer destination based on security degree information indicating a security degree required for the transfer destination;
A transmission unit that transmits the second data to the transfer destination,
An in- vehicle processing device comprising:
A vehicle safety level ASIL as the safety level information is assigned to each electronic control device of the transmission source and the transfer destination of the first data,
The security control unit,
It is determined whether or not the vehicle safety integrity level ASIL assigned to the electronic control unit of the transmission source of the first data and the vehicle safety integrity level ASIL assigned to the electronic control unit of the transfer destination are different from each other,
If the vehicle safety integrity level ASIL assigned to the electronic control unit of the transmission source of the first data and the vehicle safety integrity level ASIL assigned to the electronic control unit of the transfer destination are different, the transmission source of the first data Of the vehicle safety integrity level ASIL assigned to the electronic control unit, the first data is decrypted by the encryption method, and the vehicle safety integrity level ASIL assigned to the electronic control unit of the transfer destination is decrypted. The in-vehicle processing device , wherein the second data is generated by encrypting with a corresponding encryption method . 請求項1に記載の車載処理装置であって、
前記セキュリティ制御部は、
前記転送先の前記安全度情報に応じて前記第2データの暗号強度を設定する
ことを特徴とする車載処理装置。 The in-vehicle processing device according to claim 1, wherein
The security control unit,
The in-vehicle processing device, wherein the encryption strength of the second data is set according to the security level information of the transfer destination. 請求項2に記載の車載処理装置であって、
前記第1データは、
暗号化されており、
前記セキュリティ制御部は、
前記転送先の前記安全度情報に応じて前記第1データの暗号鍵を交換する又は前記第1データの暗号化を解除することにより、前記第2データを生成する
ことを特徴とする車載処理装置。 The in-vehicle processing device according to claim 2,
The first data is
Is encrypted,
The security control unit,
The in-vehicle processing device, wherein the second data is generated by exchanging an encryption key of the first data or by decrypting the encryption of the first data according to the security level information of the transfer destination. .. 請求項3に記載の車載処理装置であって、
前記第1データは、
第1暗号鍵を用いて暗号化されており、
前記セキュリティ制御部は、
前記転送先の前記安全度情報に応じて、前記第1暗号鍵を用いて前記第1データを復号化し、前記第1暗号鍵と異なる第2暗号鍵を用いて暗号化することにより、前記第1データの暗号鍵を交換し、
前記転送先の前記安全度情報が最も低い前記安全度を示す場合、前記第1暗号鍵を用いて前記第1データを復号化することにより、前記第1データの暗号化を解除する
ことを特徴とする車載処理装置。 The vehicle-mounted processing device according to claim 3,
The first data is
Is encrypted using the first encryption key,
The security control unit,
According to the security degree information of the transfer destination, the first data is decrypted by using the first encryption key, and the second data is encrypted by using a second encryption key different from the first encryption key. Exchange the encryption key of 1 data,
When the security level information of the transfer destination indicates the lowest security level, the first data is decrypted by using the first encryption key, thereby decrypting the encryption of the first data. In-vehicle processor. 請求項2に記載の車載処理装置であって、
前記転送先、及び前記転送先に対応する前記安全度情報の組合せを記憶する記憶装置を備え、
前記セキュリティ制御部は、
前記記憶装置から前記転送先に対応する前記安全度情報を読み出し、読み出した前記安全度情報に応じて、前記第2データの暗号強度を設定する
ことを特徴とする車載処理装置。 The in-vehicle processing device according to claim 2,
A storage device for storing a combination of the transfer destination and the safety degree information corresponding to the transfer destination,
The security control unit,
The in-vehicle processing device, wherein the security level information corresponding to the transfer destination is read from the storage device, and the encryption strength of the second data is set according to the read security level information. 請求項5に記載の車載処理装置であって、
前記記憶装置は、
前記安全度情報、及び前記安全度情報に対応する暗号方式の組合せを記憶し、
前記セキュリティ制御部は、
前記記憶装置から前記安全度情報に対応する前記暗号方式を読み出し、読み出した前記暗号方式を用いて、前記第2データの暗号強度を設定する
ことを特徴とする車載処理装置。 The vehicle-mounted processing device according to claim 5,
The storage device is
The security level information and a combination of encryption methods corresponding to the security level information are stored,
The security control unit,
The in-vehicle processing device, wherein the encryption method corresponding to the security level information is read from the storage device, and the encryption strength of the second data is set using the read encryption method. 請求項6に記載の車載処理装置であって、
前記記憶装置は、
前記安全度情報、及び前記安全度情報に対応する暗号鍵の情報を示す暗号鍵情報の組合せを記憶し、
前記セキュリティ制御部は、
前記記憶装置から前記安全度情報に対応する前記暗号鍵情報を読み出し、読み出した前記暗号鍵情報が示す暗号鍵を前記転送先に配信する
ことを特徴とする車載処理装置。 The in-vehicle processing device according to claim 6,
The storage device is
Storing a combination of the security level information and encryption key information indicating information of an encryption key corresponding to the security level information,
The security control unit,
The in-vehicle processing device, wherein the encryption key information corresponding to the security level information is read from the storage device, and the encryption key indicated by the read encryption key information is distributed to the transfer destination. 第1の車載処理装置、第2の車載処理装置、及び第3の車載処理装置を含む車載システムであって、
第1の車載処理装置は、
識別子を含む第1データを送信し、
前記第2の車載処理装置は、
前記第1データを受信する受信部と、
前記識別子に対応する転送先を特定するルーティング制御部と、
前記転送先に要求される安全度を示す安全度情報に基づいて前記第1データから前記転送先に転送する第2データを生成するセキュリティ制御部と、
前記第2データを前記転送先である前記第3の車載処理装置へ送信する送信部と、を備え、
前記第3の車載処理装置は、
前記第2データを受信し、受信した前記第2データを用いて所定の処理を行う車載システムにおいて、
前記第1データの送信元及び前記転送先の電子制御装置ごとに前記安全度情報としての自動車安全度水準ASILが割り当てられ、
前記セキュリティ制御部は、
前記第1データの送信元の前記電子制御装置に割り当てられる前記自動車安全度水準ASILと前記転送先の前記電子制御装置に割り当てられる前記自動車安全度水準ASILが異なるか否かを判定し、
前記第1データの送信元の前記電子制御装置に割り当てられる前記自動車安全度水準ASILと前記転送先の前記電子制御装置に割り当てられる前記自動車安全度水準ASILが異なる場合、前記第1データの送信元の前記電子制御装置に割り当てられる前記自動車安全度水準ASILに対応づけられた暗号方式で前記第1データを復号化し、かつ、前記転送先の前記電子制御装置に割り当てられる前記自動車安全度水準ASILに対応づけられた暗号方式で暗号化することで、前記第2データを生成する
ことを特徴とする車載システム。 An in-vehicle system including a first in-vehicle processing device, a second in-vehicle processing device, and a third in-vehicle processing device,
The first in-vehicle processing device is
Sending the first data including the identifier,
The second on-vehicle processor is
A receiver for receiving the first data,
A routing control unit that specifies a transfer destination corresponding to the identifier,
A security control unit for generating second data to be transferred from the first data to the transfer destination based on security degree information indicating a security degree required for the transfer destination;
A transmission unit that transmits the second data to the third in-vehicle processing device that is the transfer destination,
The third on-vehicle processor is
In an in- vehicle system that receives the second data and performs a predetermined process using the received second data ,
A vehicle safety level ASIL as the safety level information is assigned to each electronic control device of the transmission source and the transfer destination of the first data,
The security control unit,
It is determined whether or not the vehicle safety integrity level ASIL assigned to the electronic control unit of the transmission source of the first data and the vehicle safety integrity level ASIL assigned to the electronic control unit of the transfer destination are different from each other,
If the vehicle safety integrity level ASIL assigned to the electronic control unit of the transmission source of the first data and the vehicle safety integrity level ASIL assigned to the electronic control unit of the transfer destination are different, the transmission source of the first data Of the vehicle safety integrity level ASIL assigned to the electronic control unit, the first data is decrypted by the encryption method, and the vehicle safety integrity level ASIL assigned to the electronic control unit of the transfer destination is decrypted. An in-vehicle system , wherein the second data is generated by performing encryption with a corresponding encryption method .
JP2018538283A 2016-09-07 2017-07-28 In-vehicle processor Active JP6704458B2 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2016174561 2016-09-07
JP2016174561 2016-09-07
PCT/JP2017/027366 WO2018047510A1 (en) 2016-09-07 2017-07-28 Processing device for mounting in vehicle

Publications (2)

Publication Number Publication Date
JPWO2018047510A1 JPWO2018047510A1 (en) 2019-02-21
JP6704458B2 true JP6704458B2 (en) 2020-06-03

Family

ID=61562617

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018538283A Active JP6704458B2 (en) 2016-09-07 2017-07-28 In-vehicle processor

Country Status (2)

Country Link
JP (1) JP6704458B2 (en)
WO (1) WO2018047510A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023191222A1 (en) * 2022-03-31 2023-10-05 엘지전자 주식회사 Signal processing device and vehicle display device having same

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3975455A1 (en) * 2020-09-23 2022-03-30 Bayerische Motoren Werke Aktiengesellschaft Determining correctness of actually received timestamp
JP2022171100A (en) * 2021-04-30 2022-11-11 株式会社オートネットワーク技術研究所 On-vehicle communication system, relay device, and relay method
JP7471756B2 (en) * 2021-08-04 2024-04-22 矢崎総業株式会社 Vehicle Systems
JP2023047373A (en) * 2021-09-27 2023-04-06 矢崎総業株式会社 vehicle system

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004343626A (en) * 2003-05-19 2004-12-02 Sumitomo Electric Ind Ltd On-vehicle communication system, on-vehicle apparatus, and encryption method
JP5017231B2 (en) * 2008-10-20 2012-09-05 日立オートモティブシステムズ株式会社 Routing method in in-vehicle gateway device
JP5783103B2 (en) * 2012-03-23 2015-09-24 株式会社デンソー VEHICLE DATA COMMUNICATION SYSTEM AND VEHICLE DATA COMMUNICATION DEVICE
JP6069039B2 (en) * 2013-03-11 2017-01-25 日立オートモティブシステムズ株式会社 Gateway device and service providing system
JP6060782B2 (en) * 2013-04-05 2017-01-18 株式会社デンソー Relay device
JP6375962B2 (en) * 2015-01-21 2018-08-22 トヨタ自動車株式会社 In-vehicle gateway device and electronic control device

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023191222A1 (en) * 2022-03-31 2023-10-05 엘지전자 주식회사 Signal processing device and vehicle display device having same
WO2023191223A1 (en) * 2022-03-31 2023-10-05 엘지전자 주식회사 Signal processing device, and vehicle display device having same

Also Published As

Publication number Publication date
WO2018047510A1 (en) 2018-03-15
JPWO2018047510A1 (en) 2019-02-21

Similar Documents

Publication Publication Date Title
JP6704458B2 (en) In-vehicle processor
US11212087B2 (en) Management system, key generation device, in-vehicle computer, management method, and computer program
US10855460B2 (en) In-vehicle computer system, vehicle, key generation device, management method, key generation method, and computer program
US11082228B2 (en) Reuse system, key generation device, data security device, in-vehicle computer, reuse method, and computer program
CN109314640B (en) Vehicle information collection system, vehicle-mounted computer, vehicle information collection device, vehicle information collection method, and recording medium
US9954826B2 (en) Scalable and secure key management for cryptographic data processing
JP5783103B2 (en) VEHICLE DATA COMMUNICATION SYSTEM AND VEHICLE DATA COMMUNICATION DEVICE
EP2817916B1 (en) Cryptographic transmission system using key encryption key
JP6288219B1 (en) Communications system
JP6178390B2 (en) Management device, management system, vehicle, management method, and computer program
EP2538366B1 (en) Generating secure device secret key
JP6625293B2 (en) Key management device and communication equipment
Labrado et al. Hardware security primitives for vehicles
US11516024B2 (en) Semiconductor device, update data-providing method, update data-receiving method, and program
EP3455763B1 (en) Digital rights management for anonymous digital content sharing
JP2018082439A (en) Communication system, vehicle, server device, communication method, and computer program
JP6203798B2 (en) In-vehicle control system, vehicle, management device, in-vehicle computer, data sharing method, and computer program
KR102236282B1 (en) Method and system for authenticating communication data of vehicle
WO2023000313A1 (en) Key verification method and related apparatus
JP6454919B2 (en) Management system, data providing apparatus, in-vehicle computer, management method, and computer program
JP7049789B2 (en) Key distribution system, key distribution device and key distribution method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181004

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191008

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191205

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200421

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200512

R150 Certificate of patent or registration of utility model

Ref document number: 6704458

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250