[go: up one dir, main page]

JP6126980B2 - ネットワーク装置およびネットワークシステム - Google Patents

ネットワーク装置およびネットワークシステム Download PDF

Info

Publication number
JP6126980B2
JP6126980B2 JP2013257364A JP2013257364A JP6126980B2 JP 6126980 B2 JP6126980 B2 JP 6126980B2 JP 2013257364 A JP2013257364 A JP 2013257364A JP 2013257364 A JP2013257364 A JP 2013257364A JP 6126980 B2 JP6126980 B2 JP 6126980B2
Authority
JP
Japan
Prior art keywords
data
authentication
network device
network
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013257364A
Other languages
English (en)
Other versions
JP2015114907A (ja
Inventor
敏史 大塚
敏史 大塚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Automotive Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Automotive Systems Ltd filed Critical Hitachi Automotive Systems Ltd
Priority to JP2013257364A priority Critical patent/JP6126980B2/ja
Priority to DE102014224694.6A priority patent/DE102014224694B4/de
Priority to US14/563,217 priority patent/US9426164B2/en
Priority to CN202010259221.6A priority patent/CN111447235A/zh
Priority to CN202010259878.2A priority patent/CN111431927A/zh
Priority to CN201410769043.6A priority patent/CN104717201B/zh
Publication of JP2015114907A publication Critical patent/JP2015114907A/ja
Priority to US15/228,608 priority patent/US10542033B2/en
Application granted granted Critical
Publication of JP6126980B2 publication Critical patent/JP6126980B2/ja
Priority to US16/728,795 priority patent/US11134100B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、ネットワーク装置およびネットワークシステムに関する。
本技術分野の背景技術として、非特許文献1がある。この文献には、「CANはバスネットワークを前提としており、やり取りされるメッセージには送信元や宛先ノードの情報が含まれず、同一バス内の全てのノードにブロードキャストされる。また、メッセージ認証や送信元認証機能がないため,容易になりすましが可能である。」ことを課題とし、解決手段として「CANの特徴であるブロードキャスト通信を利用し、不正メッセージがバス上に送信されていることを、なりすましの対象となったノード自身が検知し、エラーメッセージを送ることで、偽装メッセージの送信が完了する前にこれを破棄する」と記載されている。
T. Matsumoto, M. Hata, M. Tanabe, K. Yoshioka, K. Oishi,"A Method of Preventing Unauthorized Data Transmission in Controller Area Network", Vehicular Technology Conference (VTC Spring), 2012 IEEE 75th (2012)
非特許文献1には、送信ネットワーク装置のセキュリティ対策について記載が無い。送信ネットワーク装置が攻撃を受け動作不能になった場合には、他のネットワーク装置ではその攻撃を検出できないため、防御が困難になる。ネットワーク装置を攻撃から防御する際には、セキュリティモジュールの採用や脆弱性の実装を防ぐ検証方法など高度なセキュリティ対策が必要になり、それぞれの送信ネットワーク装置で対策コストが必要になる。
(1)請求項1に記載のネットワーク装置は、複数のネットワーク装置とバスで接続されたネットワーク装置であって、バスを介して複数のネットワーク装置のうちの1つが送信元装置として送信するデータに含まれるメッセージ認証用情報に基づいて、認証を行う認証部と、認証が失敗した場合は、送信元装置が複数のネットワーク装置のうちの他のネットワーク装置になりすまして不正データを送信したと判断し、データを無効化する加工部とを備えることを特徴とする。
(2)請求項9に記載のネットワークシステムは、請求項1に記載のネットワーク装置と、送信元装置とを備えることを特徴とする。
本発明によれば、ネットワーク上でなりすまし攻撃が発生した場合に、その攻撃を検出する確実性を高め、効率的にその攻撃に対する防御動作を行うことが可能となる。
本発明の各実施形態におけるネットワーク装置を有するネットワークシステムの一例を示す図である。 ネットワークシステム内部構成の一例を示す図である。 ネットワーク装置の構成例を示す図である。 ネットワーク装置のソフトウェアモジュール構成の一例を示す図である。 ネットワーク上の通信プロトコルにおけるデータ構造の一例を示す図である。 ネットワーク上の通信プロトコルにおけるデータ長符号化の一例を示す図である。 ネットワーク上の通信プロトコルにおけるデータ構造の一例を示す図である。 ネットワーク上の通信プロトコルにおけるデータ構造の一例を示す図である。 ネットワーク上の通信プロトコルにおけるデータ構造の一例を示す図である。 ネットワーク上の通信プロトコルにおけるデータ構造の一例を示す図である。 フィルタテーブルの一例を示す図である。 認証手順の一例を示す図である。 署名付き通信データフォーマットの一例を示す図である。 鍵管理テーブルの一例を示す図である。 データ検出時の制御部における処理を表すフローチャートである。 第2実施形態におけるデータ検出時の制御部における処理を表すフローチャートである。 第4実施形態におけるデータ検出時の制御部における処理を表すフローチャートである。
以下、本発明に好適な実施形態を説明する。主には移動体、例えば車両に搭載される車載ネットワークなどのデータ送受信を行うネットワークにおける装置およびシステムの動作について説明している。本発明は、車載ネットワーク装置および車載ネットワークにおけるデータ送受信システムに好適であるが、車載ネットワーク装置および車載ネットワークにおけるデータ送受信システム以外のネットワーク装置およびネットワークシステムへの適用も可能である。
−−−第1実施形態−−−
<ネットワークシステムの構成>
図1は本発明の第1の実施の形態におけるネットワーク装置を有するネットワークシステムの一例を示す図である。図1は、自動車などの移動体の内部にネットワークシステムを有する制御システム1、例えば車載ネットワーク(CAN:Controller Area Network、CANFD:CAN with Flexible Data−rate、Ethernet(登録商標)、等)により構成されるネットワークシステム2を示している。図2は、制御システム1の外部と無線通信(例えば携帯電話の通信、無線LAN、WAN、等のプロトコルを使用した通信)を行う無線通信部3、ネットワークシステム2と異なる、または同一のプロトコルを用いたネットワークシステム4を示している。図2は、例えば、診断端子(OBD)やEthernet端子、外部記録媒体(例えばUSBメモリ、SDカード、等)端子などを有し、かつ有線接続によってネットワークシステム2にアクセスを行う有線通信部5を示している。図2は、ネットワークシステム2に有線または無線で接続され、ネットワークシステム2から送出されるデータを受信し、メッセージ情報(例えば映像、音)など必要な情報を表示または出力する、液晶ディスプレイ、警告灯、スピーカなどの出力装置6、を示している。ネットワークシステム2は、ネットワークシステム4、無線通信部3、有線通信部5、出力装置6、などと接続され、それぞれとの情報の送受信を行う。
図2は、ネットワークシステム2の内部構成例を示している。図2は、ネットワーク上のネットワーク装置を接続するバスを構成する複数のネットワークリンク301を示している。ネットワークリンク301は、例えばCANバスなどのネットワークリンクである。図2は、ネットワークリンク301および図示していないハードウェア(例えばセンサ、アクチュエータ)やネットワークリンク301以外のネットワークリンク(専用線含む)に接続され、ハードウェアの制御およびネットワークとのデータ送受信を行うECU(Electronic Control Unit:電子制御ユニット)302を示している。図2は、複数のネットワークリンク301を接続し、それぞれのネットワークリンクとデータの送受信を行うゲートウェイ(以下、GWと呼ぶ)303、を示している。
GW303は複数のネットワークリンクに接続されている場合があり、それぞれのリンクについてIDを付与して内部処理時にどのリンクに対する処理であるかについての識別を行う。この識別を行うIDをリンクIDと呼ぶ。リンクIDは、Channel ID、またはドメインIDとも呼ばれる。
図2(a)、(b)、(c)はそれぞれ異なるネットワークトポロジの例を示している。図2(a)は、バスを構成する2つのネットワークリンク301aおよび301bの各々に複数のECU302が接続されている例を示している。GW303は、ネットワークリンク301aに接続されたECU302とネットワークリンク301bに接続されたECU302との間のデータ転送を中継する。
図2(b)は、複数のECUがそれぞれ、ネットワークリンク301c、301d、・・・、301eによって直接GW303に接続されるスター型と、バス型のトポロジが混在している例を示している。バスは、ネットワークリンク301aおよび301c、301d、・・・、301eによって構成されている。GW303は、ネットワークリンク301a、301c、301d、・・・、301eのうちの2つのネットワークリンクを介したECU302間のデータ転送を中継する。
図2(c)はスター型のトポロジにスイッチ(以下、SWと呼ぶ)304が挿入されている例を示している。SW304は、アップリンク側においてネットワークリンク301fによってGW303に接続されている。SW304は、ダウンリンク側においてネットワークリンク301c、301d、・・・、301eによって、それぞれ1台ずつのECU302を接続している。バスは、ネットワークリンク301aおよび301f、301g、301h、・・・、301iによって構成されている。SW304は、ネットワークリンク301f、301g、301h、・・・、301iのうちの2つのネットワークリンクを介したECU302間のデータ転送を中継する。GW303は、ネットワークリンク301aおよび301fを介したECU302間のデータ転送を中継する。
GW303とECU302とは、必ずしも物理的に分離されているとは限らない。例えば、GW機能を有するECU、またはECUの機能を有するGWであってもよい。
本実施の形態の説明においては、ネットワークプロトコルの変換が、GW303では行われ、SW304では行われない。本発明はGW303およびSW304のどちらにも適用可能である。
以下の説明において、GW303やECU302、SW304など、ネットワークリンクで接続される装置のことをネットワーク装置とも呼ぶ。
ネットワークリンク301を介した通信においては、後述するネットワークプロトコル(手続き)の形式で通信を行う。後述するプロトコルによれば、ネットワーク装置間で送受信を行うデータ(以下、通信データ、またはペイロードとも呼ぶ)に対し、プロトコルで定められたヘッダを付与して通信を行う。
ECU302はネットワークから受信したデータをもとに、ハードウェアへの制御信号の出力、ネットワークへの制御信号および情報の出力、内部状態の変更、などの移動体制御処理を行う。
図3は、本発明にかかるネットワーク装置であるGW303、ECU302またはSW304の内部構成の一例を示す図である。図3は、キャッシュやレジスタなどの記憶素子を持ち、制御を実行するCPUなどのプロセッサ401を示している。図3は、ネットワークリンク301に対してデータの送受信を行う通信インタフェース402を示している。図3は、図示しないクロックなどを使用し、時間および時刻の管理を行うタイマ403を示している。図3は、プログラムおよび不揮発性のデータを保存するROM(Read Only Memory)404、揮発性のデータを保存するRAM(Random Access Memory)405、ECU内部での通信に用いられる内部バス406を示している。図3は、鍵情報などを保護し、認証、ハッシュ演算、暗号、復号などの演算を行うセキュリティモジュール407を示している。
セキュリティモジュール407を用いることにより、不正アクセスから鍵情報を守り、認証などの処理負荷を削減することが可能となるが、耐タンパ性を強く求めない場合には、セキュリティモジュール407を使用しなくてもよい。
次にCPU401で動作するソフトウェアモジュールの構成について図4に示す。図4は、通信インタフェース402の動作および状態を管理し、内部バス406を介し通信インタフェース402に指示を行う通信管理部502を表している。図4は、タイマ403を管理し、時間に関する情報取得や制御を行う時間管理部503を表している。図4は、通信インタフェース402から取得したデータの解析や、ソフトウェアモジュール全体の制御を行う制御部501を表している。図4は、後述する鍵管理テーブル504、後述するフィルタテーブル505、受信したデータを保留するバッファ506を表している。
図4は、プロセッサ401上の動作概念を示したものである。プロセッサ401は、各ソフトウェアモジュールによって、動作時に必要な情報を、ROM404およびRAM405から適宜取得し、またはROM404およびRAM405に適宜書き込む。なお、後述する加工処理や認証処理においては高速処理が要求される場合もあるため、図4に示すような、制御部501によって実現される通信インタフェース402から取得したデータの解析は、ハードウェアで実現されることとしてもよい。
<ネットワークプロトコルの例:CANおよびCANFD>
図5に、ネットワークリンク302上での通信プロトコルにおけるデータ構造の例を示す。ここではCANおよびCANFDを使用した場合のフレーム(ネットワークにおける通信の1ブロック、パケットとも呼ぶ)のデータ構造を示しており、数値はフィールドごとのビット数を表している。
CANおよびCANFDでは同一ネットワークリンク上に接続されたネットワーク装置が、送信時にバス信号をドミナント(0)に設定し、送信時または受信時にバス信号のドミナント(0)またはリセッシブ(1)を検知することにより通信を行う。
SOF(Start Of Frame)はフレームの開始位置を示しており、フレームの同期を取るためにも用いられている。
識別子(ID)は、CANデータのID(以下、CANIDと呼ぶ)を示しており、CANIDによりデータの種類を識別可能である。
IDおよびRTR(Remote Transmission Request)ビットをアービトレーション・フィールドと呼び、このフィールドでバスのアービトレーション(調停)を行っている。
RB1、RB0は予約ビットであり、図5(a)の例では常にドミナントが入力される。一方、RB0の値がリセッシブの場合には、図5(b)のような拡張フォーマットを表し、IDを29ビットで表現可能となる。拡張フォーマットのデータ・フィールド以降の構成は図5(a)と同様である。
データ長コードは、データ・フィールドのデータ長(バイト数)を表している。
データ・フィールドは、送信するデータの内容を示しており、Nバイト分のデータが可変長で送信される。データ・フィールドのことをペイロードとも呼ぶ。
CRC・フィールドにはフレームのCRCが入力され、CRC境界については、アクノリッジとの境界のために、常にリセッシブで送信される。
アクノリッジについては、受信ノード(ネットワーク装置)が正しくデータを受信した場合に、応答のためにアクノリッジビットをドミナントにする。このようにして送信データの応答を返す。
EOF(End Of Frame)はフレームの終端を示し、7ビットのリセッシブとなっている。以上のようなフォーマットでデータの送受信を行っている。
車載ネットワークなどでは、特定のネットワーク装置が定期的にネットワークに対して自ネットワーク装置が観測した値(例えばセンサ値)を送信し、別のネットワーク装置に状態を通知する処理など、車両の各種制御を行っている。
CANではデータの送信時にアービトレーション・フィールドで調停を行っており、同時に送信を開始した場合、優先度の低い(CANIDが大きい、つまり調停期間により少なくドミナントを送信した)ネットワーク装置は送信を中断する。そのため各ネットワーク装置が周期的にデータを送信したい場合でも、調停の結果中断が発生した場合、または送信開始タイミングに他ネットワーク装置がデータを送信している場合、送出周期がずれる可能性がある。このように、データの送出タイミングが重複する事象、またはデータを送信したい時にバスを使用されている事象、などを衝突(コリジョン)と呼ぶ。
次にCANFDのプロトコルについて説明する。CANFDはCANを拡張したプロトコルであるから、CANとの差分についてのみ説明する。図5(c)は、CANFDの標準フォーマットにおけるデータ構造を示す。
EDLがCANFDのフォーマットであることを示すビットであり、EDLがリセッシブの場合には送信データがCANFDのフォーマットであり、ドミナントである場合にはCANのフォーマットであることを示している。
BRSはデータ送信中にビットレートを切り替えるか否かを示しており、リセッシブであればデータフェーズでビットレートを切り替え、ドミナントであればビットレートを切り替えない。
ESIはデータを送信するネットワーク装置のエラー状態を示しており、ドミナントであればデータを送信するネットワーク装置がエラーアクティブ、リセッシブであればエラーパッシブであることを示している。
またデータ長コードによるデータ長の符号化方式もCANFDとCANで異なる。データ長コードの符号化方法について図6に示す。ここでCANにおいてデータ長が8byteの場合は、bit0、bit1、bit2はDon’t Careである。図に示す通り、CANFDでは64byteまでのデータ長の表現が可能である。
CRCフィールドは、CANFDにおいては可変長であり、データ長により変化し、17または21bitとなる。またCRC境界、アクノリッジについては、2ビットのデータを許容する。
RB1、RB0は予約ビットであり、図5(c)の例では常にドミナントが入力される。CANFDではIDEの値がリセッシブの場合には、図5(d)のような拡張フォーマットを表し、IDを29ビットで表現可能となる。拡張フォーマットのデータ・フィールド以降の構成は図5(c)と同様である。
CANのアービトレーション・フィールドおよびコントロール・フィールドをヘッダとも呼ぶ。
CRCを付与する目的は、信号に誤りが含まれていないかを確認するものであり、受信側で受信したデータが、送信者が送信およびCRCを演算した内容と一致していれば、受信側で演算した結果についても同様となる。これにより、送信側が意図した送信データと不一致の場合(CRCエラー)には、受信側でデータを受信しない(破棄する)ことが可能となる。
<ネットワークプロトコルの例:Ethernet>
Ethernetのデータ(フレーム)構造について図7に示す。図7(a)はDIX形式の構造であり、図7(b)はIEEE802.3形式の構造を表している。
プリアンブルおよびSFD(Start Frame Delimiter)は、通信の同期を取るための固定パターンのデータを示している。宛先アドレスはデータ送信先のアドレス、送信元アドレスはデータ送信元のアドレスを示している。タイプは上位層のプロトコルの種別を示す値を表し、長さはデータ部分の長さ(オクテット:8bit単位)を表し、データはデータのペイロードを表す。FCS(Frame Check Sequence)はフレームのエラーを検出するためのフィールドであり、上述したCRCと同様の演算結果を含む、図中に記載した数値はそれぞれのフィールドの長さ(オクテット単位)を示している。
<ネットワークプロトコルの例:IP/TCP/UDP>
EthernetおよびCANの上位レイヤの例として、IP(Internet Protocol)があり、データ構造を図8に示す。IPヘッダの構造はバージョンにより異なり、バージョン4(IPv4)のヘッダ構造を図8(a)に、バージョン6(IPv6)のヘッダ構造を図8(b)に記載する。長さは異なるが、どちらのバージョンにおいても送信元と送信先をヘッダ情報に含んでおり、これらの情報から送信者と受信者を判定することが可能である。通信データはペイロードに含まれる。
IPのさらに上位のプロトコルの例として、TCPとUDPがある。ヘッダ構造について、図9にTCPヘッダの例を、図10にUDPヘッダの例を示す。TCPおよびUDPのレイヤでは送信者および受信者の情報は無く、使用しているポート(通信の種類ごとに区別する番号)が記載されている。
これら複数プロトコルのレイヤ構造において、例えばTCP/IP/Ethernetのプロトコルを使用して通信を行う場合には、通信データに対し、TCPヘッダが追加され、IPヘッダが追加され、さらにEthernetのヘッダが追加されて、さらに必要により全体データが結合および分割されて送信される。
レイヤ構造を把握することにより、受信データのどの位置に送信者および通信の内容を特定する情報が含まれているか、また認証に必要なデータがどの部分か、を把握することが可能になる。
<フォーマットエラー>
上述したプロトコルにおいては、特定のビットについてはあらかじめ値、もしくは値の範囲が定められているフィールドがある。たとえば予約ビット(Reserved bit)などがあり、それらがフォーマットに規定されている以外の値となることを、フォーマットエラーと呼ぶ。
また、CANでは連続した6ビット以上の同一値の発生は、正常時の通信においては発生しないようにスタッフィングルール(5ビット連続した同一値の次には、異なる値によりスタッフィング)が定められている。それらに違反することもフォーマットエラーと呼ぶ。
また物理層の変調方式やデータリンク層の符号化方式により、あらかじめ定められたパターン以外(たとえば連続する電位値が4連続)になることも、フォーマットエラーと呼ぶ。
<上書き可能なデータおよび上書き不可能なデータ>
上記各プロトコルのデータ送信においては、それぞれの信号を電位の高低(1,0)や、ツイストペアケーブル間の差分電位の大小を制御することによって送信側が送信し、受信側でも同様に信号を判定し、受信している。その際、プロトコルの物理層の規定により、優位性のある信号の状態が存在する。
例えば、CANの場合には、ドミナント(0)は、電位が0、もしくは差分電位が0となっており、リンクに接続されるネットワーク装置のいずれかが信号線を地絡した場合、他のネットワーク装置はリセッシブ(1)の値を発行できない。そのため、リセッシブは上書き可能なデータ、ドミナントは上書き不可能なデータとなる。
Ethernetの場合についても、物理層の構成は異なるが、同様に信号線を地絡することにより、送信する電位値を書き換え可能な値、書き換え不可能な値により、データを上書きすることが可能となる。
<フィルタテーブル>
フィルタテーブル505の例を図11に示す。図11は、バスを介して転送されるデータを識別するためのデータID1201、データの送信元ECU302が接続されているネットワークリンク301を示す送信元リンクID1202、そのデータの送信先ECU302が接続されているネットワークリンク301を示す送信先リンクID1203、送信元ECU302において使用されているデータ通信プロトコルを示す送信元プロトコル1204、そのデータの送信先ECU302が接続されているネットワークリンク301において使用されるデータ通信プロトコルを示す送信先プロトコル1205、そのデータが認証対象であるか否かを示す認証対象フラグ1206、を表している。
フィルタテーブル505は、バスを介したデータの転送が許可されているか否かを、そのデータがデータID1201に適合しているか否かに基づいて管理するためのテーブルである。また、フィルタテーブル505は、データID1201に適合しているデータに対して、一方のネットワークリンク301、すなわち上りリンクから、他方のネットワークリンク301、すなわち下りリンクへのデータ転送処理を行うGW303やSW304にも設けられる。そうしたGW303やSW304に設けられるフィルタテーブル505は、送信元リンクID1202と送信先リンクID1203とによって、どのデータID1201に適合したデータが、どの上りリンクから到来すると、どの下りリンクから出ていくかについて表すフォワーディングテーブルでもある。さらには、GW303やSW304に設けられるフィルタテーブル505は、送信元プロトコル1204と送信先プロトコル1205とによって、上りリンクから到来して下りリンクから出ていく際にプロトコル変換が必要であるか否かを表すプロトコル変換テーブルでもある。
データID1201の例としては、CANやCANFDにおけるCANIDや、EthernetにおけるMACアドレス、IPにおけるIPアドレス、TCPやUDPにおけるポート番号、およびそれら複数の情報の組み合わせ、がある。たとえばポート番号とIPアドレスの送信元および送信先を組み合わせることにより、通信経路と使用サービスとが特定される。
認証対象フラグ1206は、バスを介して転送されるデータに対して後述する認証処理を行うか否かを示している。ここでは“Yes”はそのデータに対して認証を行うことを表し、“No”はそのデータに対して認証を行わないことを表している。認証対象フラグ1206は、全データIDを認証対象とする場合、または後述する鍵管理テーブル504に記載のデータのみ認証対象とする場合、不要となる。
GW303にフィルタテーブル505が実装される場合は、GW303は、フィルタテーブル505に基づいて、バスを介して同一ネットワークリンク301に接続されたECU302間で転送されるデータを検出したり、2つのネットワークリンク301を跨って転送されるデータを検出したりする。GW303は、フィルタテーブル505に登録されている受信元プロトコル1204および送信先プロトコル1205を参照し、必要に応じてデータ転送処理の際にデータのプロトコル変換を行う。ECU302にフィルタテーブル505が実装される場合は、ECU302は、一方のネットワークリンク301から他方のネットワークリンク301へのデータ転送処理を行わないため、ECU302が接続される単一のネットワークリンク301で使用されるプロトコルが決まっていれば、フィルタテーブル505には、送信元リンクID1202、送信先リンクID1203、送信元プロトコル1204および送信先プロトコル1205が不要となる。SW304が、一方のネットワークリンク301から他方のネットワークリンク301へのデータ転送の際にプロトコルの変換を行わず、SW304が接続される複数のネットワークリンク301で使用されるプロトコルがあらかじめ限定されている(例えばEthernetのみに限定されている)場合、フィルタテーブル505には、受信元プロトコル1204および送信先プロトコル1205が不要となる。
<通信インタフェースにおけるデータ検出処理、転送処理および加工処理>
通信インタフェース402によるデータ検出処理のため、プロセッサ401は、例えば転送が必要なデータIDとして設計時に定められたデータIDに登録されているフィルタ情報を、フィルタテーブル505から読み出し、通信インタフェース402に指定する。こうしてデータIDが指定された通信インタフェース402は、送信元ECU302から送信先ECU302へネットワークリンク301で転送される信号を監視する。通信インタフェース402は、認証対象として指定されたデータIDに一致するデータがネットワークリンク301上で転送された場合に、プロセッサ401による認証処理のため、そのデータを、データIDと共にプロセッサ401に通知する。認証処理が通信インタフェース402によって行われる場合は、プロセッサ401への通知は必ずしも必要ではない。
データ検出処理においては、通信インタフェース402は、上述したフィルタテーブル505の一例に記載されたデータID以外のデータIDを、フィルタテーブル505に記載することによって、登録することも可能である。例えばCANのCANID、Ethernetのアドレスについて、マスク指定(特定のビットについて、どの値でも受信)でフィルタテーブル505に登録することにより、通信インタフェース402は所定範囲のデータIDに対応するデータを検出可能であり、CANIDおよびEthernetアドレスについて全ビットをマスクすることにより、すべてのデータを検出することも可能になる。
上りリンクから下りリンクへのデータ転送処理を行うGW303やSW304に設けられる通信インタフェース402の下りリンクから出ていくデータの転送処理としては、プロセッサ401からデータの転送処理指示が転送する情報を伴って通信インタフェース402に入力された場合に、その情報にさらに必要な情報を付加して得られるデータが、ネットワークプロトコルに合わせたデータ形式でネットワークリンク301に出ていく。
また通信インタフェース402は、指定されたデータを検出および転送するのみでなく、その指定されたデータに対して加工処理も行う。例えばネットワークリンク301上を流れる現在の信号値がデジタル表現の0(例えばネットワークリンク301の電位が基準値より低い)の場合に、デジタル表現の1(例えばネットワークリンク301の電位が基準値より高い)に信号値を書き換えるといった操作、または逆に、ネットワークリンク301上を流れる現在の信号値をデジタル表現の1から0に書き換える操作を行う。これらは通信の応答(Ack等)が返される場合にも行われる。
<なりすまし攻撃>
本発明による主な防御の対象である、なりすまし攻撃の例について説明する。例えば図2において、攻撃者は、外部の通信機器と接続されているECU302(以降、ECU_Aと呼ぶ)について攻撃し、ECU内部のROM404またはRAM405のデータを不正に書き換える攻撃(改ざん)を行い、ECU_Aからネットワークリンク301に対し、他のECU(以降、ECU_Bと呼ぶ)になりすました不正なデータを送信させる。その場合、不正なデータを受信した他のECUは、状況判断を誤り不正な動作を起こす可能性がある。このような攻撃をなりすまし攻撃と呼ぶ。
なりすまし攻撃の経路としては、上記ECU_Aの改ざん以外にも、ネットワークリンク301に直接不正な機器を接続される場合、ECUに接続される機器になりすまして不正な情報を送信する場合、などがある。
<認証処理>
なりすまし攻撃を防止する手段として、データ(メッセージ)に対する認証がある。認証とは、送信者が、所有している非公開情報(以降、鍵または鍵情報と呼ぶ)を用いて署名(電子署名)を作成し、受信者がその署名を確認することにより、正当な送信者からデータが送信されていることを確認する技術である。
例えば、データが改ざん無く正しい送信者から送信されたことを確認するために、署名(MAC:Message Authentication Code)をメッセージ認証用情報として認証する方法がある。手順を図12に示す。
図12(a)は、送信側と受信側で同じ鍵情報を持つ共通鍵方式の場合の演算例を示す。送信側では、送信するデータのハッシュを求める演算を行う。ハッシュとはデータの特徴を表す情報であり、特にデータが改ざんされた場合にハッシュの値が大きく変わることから、データが改ざんされていないことを確認するために用いられる。
次にハッシュに対して暗号化(符号化)を行う。暗号化には送信者が有する鍵(送信者鍵)および付随情報を使用する。ハッシュを送信者鍵で暗号化したものを署名とし、データと共に送信を行う。
付随情報とは、例えば初期値ベクトル(IV:Initialization Vactor)の様に、生成される署名の偏りを防ぐ等の目的で鍵とは別に用いる情報であり、後述する鍵交換手順等で事前に送付され、または署名データに付与され、送信側と受信側で共通する情報を保持する。付随情報はデータと共に暗号化される場合と、暗号化されない場合の両方がある。
受信側では、受信したデータについて、送信者側と同じ手順で署名を生成する。この際に、受信側の鍵として送信者側と同じ鍵を用いて同じ処理を行うことにより、同じ署名データが得られる。
データまたは署名に対して改ざんが行われている場合には署名が一致しないため、データが改ざんされていないことを確認することができ、結果として送信元のなりすましが生じていないことを確認可能である。
上記手順以外に、ハッシュ演算と暗号化を同時に実施することも可能である(HMAC:Hash−Based MAC)。例えばハッシュ演算を行うデータに対し、送信者鍵を加算(XOR)するなどの演算を行い、署名を作成する。その後受信側で同様の演算を行って署名を作成し、署名を比較することにより認証を行うことが可能となる。署名が一致した場合、認証OKであり、署名が不一致の場合、認証NGである。
また、上記では送信側と受信側で同じ鍵情報を持つ共通鍵方式の場合の演算例について示したが、共通鍵(対称鍵)ではない場合でも可能な処理について図12(b)に示す。この場合は、送信側の手順は同様で、受信側では同様の手順を実施する代わりに、署名を復号してデータのハッシュ値を求め、別途データから演算したハッシュ値と比較することにより、データの署名を確認する。ハッシュ値が一致した場合、認証OKであり、ハッシュ値が不一致の場合、認証NGである。このようにすることにより、非対称な鍵の場合でも署名を確認することができ、ハッシュ演算と復号化の並列処理も可能となる。
共通鍵の場合でも図12(b)と同様の認証処理を行ってもよい。
非対称鍵の演算は一般的に処理負荷が高くリアルタイム性が満たすことが厳しいため、後述する鍵交換手順を用いて、共通鍵を事前に共有しておく。
データについては、本来通信で必要なデータ以外にも様々なデータを付与して演算を行う。例えば、データにタイムスタンプ(送信するタイミングなどの時刻情報)を付与することにより、同じデータを再送してなりすましを行うリプレイアタックへの防御が可能になる。また乱数を付与することにより、毎回異なるデータを暗号化することになり、鍵情報を推測されることが困難になる。カウンタを付与することにより、正しい順序(タイミング)でデータが送信されることを確認することが可能となる。
ここでハッシュ演算については、何も処理を行わなくても良く、そのようにすることにより情報の撹拌性は低くなるが、演算量も低くなる。
<署名付き通信データフォーマット>
署名を付与した通信データのフォーマットについて図13に示す。これは上記ネットワークプロトコルのペイロード部分のデータとなる。
図13は、署名が付与されているか否かを表す署名有無1401、通信データの長さを表す通信データ長1402、署名の長さを示す署名長1403、通信データ1404、上記認証処理により送信者側で作成された署名データ1405、必要に応じ認証処理演算が終了するまでの時間猶予を保持するためのマージン1406、認証が正常に行われたか否かを判定するために用いられる認証結果情報を示す認証Ack1407を表している。
署名付き通信データについては全てのフィールドが必須では無い。例えば署名有無のフィールドについては、上位のプロトコルのヘッダに情報を含むことも可能である。例としては、Ethernetヘッダのタイプ、IPヘッダのプロトコルにて、署名を使用するプロトコルとして定義を行うこととしてもよい。CANおよびCANFDの予約ビットにて認証の有無を示すこととしてもよい。または、あらかじめ署名を使用する送信元や送信先、使用サービスの組み合わせを決定しておくこととしてもよい。これらの対応により、署名有無のフィールドは不要となる。これによりペイロードを受信する以前に認証有無が解り、処理が高速(ペイロードの判定が不要となることが判断可能、認証有無の情報を受信するタイミングが比較的早い)になる点や、レガシー機器との共存(不正なヘッダ、プロトコルであるため自動的に破棄)が可能になる。
また通信データ長、署名長について全ての転送データに含まれる必要は無く、署名付き通信を行う前にあらかじめ通信データ長や署名長を固定値で決定しておき、決定した固定値で通信を行うことにより不要となる。このようにすることにより、通信に使用するデータ量の削減が可能となる。
またマージン1406、認証Ack1407についても、後述する使用方法により使用をしない場合には不要となる。
また署名データについては、全通信データに存在する必要はなく、上位レイヤにおける通信単位ごとに署名が作成されることとしても良い。例えば、元のデータが1Mbyteであり、複数のパケットに分割される場合には、最終パケットにのみ署名が存在していれば良い。そのようにすることにより、送信側と受信側での演算量が削減可能となる。
<鍵交換手順>
認証処理においては、送信側および受信側で鍵の管理が必要になる。特に、同じ鍵を長期間使用し続けることはセキュリティ上鍵情報の漏洩リスクが高まるため、一定期間ごとに一時的な鍵(セッション鍵)を更新し、同じ鍵を使い続けないことが望ましい。
そのため、例えば2つのECU302の間で鍵交換を行う場合、一方のECU302は、他方のECU302の公開鍵でセッション鍵を暗号化して他方のECU302宛てに送信し、受信した他方のECU302は自身の秘密鍵で復号化しセッション鍵を取得するなどの処理を行う。この交換したセッション鍵を、認証処理の送信者鍵および受信者鍵として使用する。
また別の方法としては、公開鍵と秘密鍵のペアを用いず、製造時またはメンテナンス時にそれぞれ固有の鍵(マスタ鍵)をECU302のROM404またはセキュリティモジュール407に埋め込み、製造時またはメンテナンス時にそれぞれ通信を行うECU302のマスタ鍵情報を交換しておく。製品使用時にはこれらマスタ鍵を用いてセッション鍵を暗号化し、鍵を共有する。
これらの方法で、鍵情報、または鍵情報に関する様々な情報(鍵の有効期限、初期ベクトル、暗号対象のデータID、等)を安全に交換することが可能となる。なお、ECU302の場合を例に説明したが、GW303またはSW304の場合についても同様である。
<鍵管理テーブル>
鍵管理テーブルの例について、図14に示す。鍵管理テーブル504は、認証対象のデータを識別するデータID1501、認証対象のデータの通信に用いられるプロトコル1502、認証に用いられる鍵データ1503、鍵データの有効期限1504、鍵が有効か否かを示すフラグ1505、通信データ1404のデータ長1506、署名の長さ1507、により構成される。鍵管理テーブル504は、認証対象のデータに対する制御部501による認証用の鍵を管理するテーブルである。
データID1501については、フィルタテーブル505におけるデータID1201と同様である。通信経路と使用サービスなどを表すデータID1501の情報から、各データID1501に対応する鍵を判断することが可能となる。
またプロトコル1502がわかることにより、受信したデータのどの位置に通信データおよび署名が含まれているかがわかる。プロトコル1502は、図11に例示したフィルタテーブル505にも含まれている。プロトコル1502は、鍵管理テーブル504およびフィルタテーブル505のうちのどちらかのテーブルに存在していれば、データID1501またはデータID1201から参照可能である。
鍵データ1503は、鍵情報の直値、または、鍵を示す鍵IDもしくはポインタである。鍵データ1503が鍵IDの場合、鍵IDを指定し、セキュリティモジュール407にデータを送信し署名を確認することも可能である。そのようにすることにより、鍵データを外部に漏洩させずに安全に管理可能であり、またプロセッサに負荷をかけずに認証を行うことが可能になる。
鍵有効期限1504には、鍵の有効期限が記載されている。これは鍵を更新するごとに必要に応じて有効期限が更新される。または無期限の場合もある。鍵が未取得の場合には、鍵を未だ取得していないことを示す情報(絶対的な過去時間:ALL0等)、を示すことも可能である。そのようにすることにより後述の鍵情報有効フラグ1505が不要となる。
鍵情報有効フラグ1505は鍵情報が有効か否かを示すフラグである。鍵が有効でないとは、例えば、データIDの鍵情報を送信ネットワーク装置と鍵交換をしていないために鍵が有効でない、または不正アクセスや攻撃を受けた等の理由により鍵情報が無効化された、等を示している。
通信データ長1506および署名長1507は、署名付き通信データフォーマットの通信データ長1402および署名長1405に記載された通りの内容である。通信データ長1506および署名長1507が鍵管理テーブル504に保持されることにより、通信のたびに署名付き通信データフォーマットの通信データ長1402および署名長1405を取得する処理が不要となり、処理が軽減できる。
<バスを介して送信元ECUから送信先ECUへ転送中のデータ検出時の処理>
車両の各種制御を行う送信元ECUから、同様に車両の各種制御を行う送信先ECUへ、バスを介して転送中のデータ検出時における、ネットワーク装置(ECU302、GW303またはSW304)のプロセッサ401が有する制御部501による処理について図15を用いて説明する。ここでは本発明をGW303に適用した例について説明するが、ECU302またはSW304に適用した場合についても同様である。
まずGW303においては、ネットワークリンク301でバスを介して転送されるデータのうちから、通信インタフェース402が、プロセッサ401によって指定されたフィルタ情報にしたがって認証対象データを検出する。その後通信インタフェース402から、認証対象データ検出を通知された制御部501は、フィルタテーブル505および鍵管理テーブル504を参照し、転送中のデータのデータIDが、それらのテーブルのデータIDと一致し、かつ認証対象フラグが“Yes”であるデータか否かを確認する(ステップS101)。なお、上述したように、通信インタフェース402がプロセッサ401によって指定されたフィルタ情報にしたがって認証対象データを検出するので、ステップS101では、フィルタテーブル505を必ずしも参照しなくても良い上に、鍵管理テーブル504のデータIDをも必ずしも参照しなくても良い。ステップS101において、テーブルのデータIDに記載が無いまたは認証対象フラグが“No”であるデータに対しては否定判定がなされ、ステップS102におけるデータ認証処理が行われない。テーブルのデータIDに記載があってかつ認証対象フラグが“Yes”であるデータに対しては肯定判定がなされる。制御部501は、鍵管理テーブル504を参照し、ステップS101で肯定判定された認証対象データに対応した鍵を基にデータ認証処理を行う(ステップS102)。上述したように、転送中のデータが送信元ECU302のなりすましによって転送されているか否かに関する認証処理が行われる。
その後、ステップS103において、認証結果がOK(成功)である場合には、肯定判定がなされ、制御部501は、その認証が行われたデータに対しては特に処理を行わずに、通信インタフェース402へ、そのデータを引き渡す。そのデータが引き渡された送信先ECU302によって、そのデータの中から、暗号化されていない図13に示した通信データ1404が取り出される。ステップS103において、転送中のデータがなりすましによって転送されたために認証結果がNGである場合には、否定判定がなされる。制御部501は、転送中のデータは送信元ECU302のなりすましによって転送されている不正データであると判断し、そのデータを通信インタフェース402へ引き渡す際に、そのデータに対して、後述するデータ無効化などの加工処理を行うように、通信インタフェース402に指示する(ステップS104)。
このようにデータの認証結果を確認し、認証結果が失敗の場合にはデータ無効化などの加工処理を行うことにより、送信元装置のなりすましによる不正なデータの転送を防ぐことが可能となる。なお、図15を用いて上述した制御部501による認証処理は、通信インタフェース402によって行われることとしてもよい。認証処理が通信インタフェース402によって行われることによって、高速処理が可能となる。また、図15のステップS104における制御部501からの指示に基づいて行われる通信インタフェース402によるデータ加工処理が、制御部501によって行われることとしてもよい。GW303やSW304のように2つのネットワークリンク301を跨ったデータ転送を中継する装置に本発明を適用する場合は、後述する加工処理のうち、認証Ackの値を書き換えるといった上位レイヤ処理は、エラーフレーム生成のような下位レイヤ処理とは異なり、制御部501によって行われることが好ましい。
<データ無効化>
通信インタフェース402は、データ加工処理において、転送中のデータを受信した送信先ECU302によって認証が失敗したことが検出されるように、そのデータを加工することによって、そのデータを無効化する。データ無効化の例として、CANおよびCANFDの場合には、転送中のフレームに連続6ビット以上のドミナントを発生させて、その転送中のフレームをエラーフレームにすることができる。このようにすることにより、転送中のデータを無効化することが可能となる。
また別の方法としては、署名付き通信データフォーマットにおける認証結果情報を示す認証Ack1407について、送信者がリセッシブで送信していた値を、上書き不可能な値であるドミナントに書き換えて設定する。そのようにすることにより受信側のネットワーク装置が認証Ackを確認し、データが認証失敗により無効化されたことを確認できる。
また認証Ackのデータを書き換えることにより、CRCの演算結果が不正となるため、同様にエラーの含まれたデータとして無効化させることが可能となる。
また別の方法としては、一定期間通信を妨害するために、常時ドミナント(電位0)の値とし、以降の通信を不能化させることによりデータを無効化することも可能である。
Ethernetの例においても送信者の送信パターンと異なる信号を発生させることにより、受信側での受信エラー(復号エラーや、フレームチェックシーケンスエラー)を発生させ、データを無効化させることが可能となる。
またCANおよびCANFDと同様に、署名付き通信データフォーマットにおける認証Ackを認証が失敗したことを示す情報に変更することにより、或いは、バスの電位制御を行って一定期間通信を妨害することにより、無効化することが、Ethernetにおいても可能である。
上述したように、認証Ackについては、送信者は上書き可能な値を送信し、認証を行うネットワーク装置は、不正なデータの場合に認証Ackについて以後の上書きが不可能な値で上書きを行う。このような構成にすることにより、攻撃者は、不正なデータとみなされ上書きされ続けている転送中のデータの残りの部分について、不正な送信元ネットワーク装置にバスの電位制御をさせて、認証を行うネットワーク装置による上書き制御を行わせずに正常なデータで送信させるということができない。したがって、送信先ネットワーク装置によって不正なデータが正常なデータと誤認識されることを防ぐことが可能になる。
このようにデータの無効化を行うことにより、無効化されたデータを受信した送信先ネットワーク装置が、そのデータをエラーとして破棄するため、送信先ネットワーク装置による不正なデータによる処理の実行を防ぐことが可能となる。
以上の様に、ネットワーク装置が送信したデータに対し、他のネットワーク装置が認証処理を行い認証結果が失敗の場合にデータを無効化する加工処理を行うことで、不正なデータ転送を防ぐことが可能となる。特にネットワーク装置がネットワークリンクで転送されているデータに対し認証処理と加工処理を行うことにより、データの受信を行う複数のネットワーク装置での認証処理が不要となる。
−−−第2実施形態−−−
認証処理を行うネットワーク装置が、転送データ検出時に、認証結果が失敗の場合だけでなく、データ形式が想定する形式に一致しない転送データを全て無効化させる例について説明する。本実施形態におけるネットワーク装置が有する制御部501による転送データ検出時の処理について図16を用いて説明する。第1実施形態と異なる点は、ステップS201におけるデータ形式判定処理が追加された点である。したがって、第1実施形態と異なる点を中心に図16を用いて説明し、図16のうちで図1と同一のステップ番号を付した処理内容については、説明を省略する。
データ形式とは、ここではデータID、データIDで特定されるデータが転送されるバスのネットワークリンクID、上記プロトコルで規定されているそのデータのヘッダの形式、そのデータの順序を表すカウンタ、そのデータが送信されるタイミングを表すタイムスタンプ、鍵の有効期限、そのデータが上述した認証用の署名付き通信データを伴う場合の通信データ長、およびそのデータがその署名付き通信データを伴う場合の署名長などが挙げられる。
ステップS201において、制御部501は、検出された転送中のデータに対するデータ形式判定処理を行い、そのデータのデータ形式が想定しているデータ形式と一致していると判定した場合には、上述した次のステップS101に処理を進める(ステップS201においてyes)。検出された転送中のデータのデータ形式が想定しているデータ形式と一致しているというのは、具体的には、フィルタテーブル505に、転送中のデータのデータID1201および受信元リンクIDが記載されていること、転送中のデータが認証対象フラグが“Yes”であるデータであって、かつ鍵管理テーブル504に記載されたデータID1501に対応していること、転送中のデータが、鍵管理テーブル504に記載されたプロトコル1502や鍵データ1503に対応していること、転送中のデータに対応する鍵有効期限1504が有効な期間であること、転送中のデータに対応する鍵有効フラグ1505が有効であること、転送中のデータの通信データ長が通信データ長1506と一致すること、転送中のデータの署名長が署名長1507と一致すること、などの様々な条件が挙げられる。
また上記以外にも、通信データに含まれる転送中のデータの順序を表すカウンタが連続していること、転送中のデータが送信されるタイミングを表すタイムスタンプが現在時刻から一定値以内であること、といった場合にも、制御部501は、データ形式が一致すると判定する。
なお、データ形式が一致と判定される上記条件のうちのいくつかについては、制御部501ではなく通信インタフェース402によって行われることが好ましい場合、通信インタフェース402によって行われた条件判定結果が制御部501に通知されることとしてもよい。
データ形式が不一致(データ形式判定結果が失敗)の場合(ステップS201においてno)には、第1実施形態および本実施形態における認証NGの場合(ステップS103においてno)と同様に、制御部501は、その転送中のデータの加工処理を通信インタフェース402に指示することによって(ステップS104)、通信インタフェース402にデータの無効化を行わせる。なお、第1実施形態で説明したように、ステップS104における制御部501からの指示に基づいて行われる通信インタフェース402によるデータ加工処理が、制御部501によって行われることとしてもよい。
本実施形態においては、該当ネットワーク装置が認証対象データの検出を行うネットワークリンクにおいて転送される可能性があるデータを、全てフィルタテーブル505および鍵管理テーブル504に登録しておく。これらのテーブルがホワイトリスト(全ての安全なデータを記載したリスト)となり、フィルタテーブルに無いデータの転送(不正なデータ転送)を防ぐことが可能となる。
上述したように、制御部501は、図16のステップS201で、転送中のデータが、バスを介したデータの転送が許可されているか否かを管理するフィルタテーブル505、および転送が許可されているデータに対する認証用の鍵を管理する鍵管理テーブル504に対応しているか否かを判定する。ステップS103で認証が失敗した場合に加えてさらに、ステップS201において、そのデータがフィルタテーブル505および鍵管理テーブル504の少なくとも一方に対応していない場合に、通信インタフェース402は、そのデータ転送中に、そのデータを無効化する。フィルタテーブル505および鍵管理テーブル504に記載の無いデータID、または不正な形式のデータ送信を防ぐことが可能となる。なお、ヘッダの情報による判定は、認証処理を行うより処理負荷が小さいため、ヘッダの情報を基に不正なデータを判定することにより処理負荷の低減も可能となる。
−−−第3実施形態−−−
次に、GW303またはSW304が、一方のネットワークリンク301から他方のネットワークリンク301へ、転送データの中継を行う場合に、データが無効化される例について説明する。ここでは本実施の形態におけるネットワーク装置の例として、GW303を例にして説明するが、SW304においても同様である。
GW303が、図2(a)に示すように、送信元ネットワーク装置が接続されたネットワークリンク301aから、送信先ネットワーク装置が接続された、ネットワークリンク301aとは異なるネットワークリンク301bにデータを中継する場合の例について説明する。GW303において、送信元ネットワーク装置が接続されたネットワークリンク301aからのデータが入力され、そのデータのヘッダから送信先を確認し、ネットワークリンク301bに出力される。この場合、データを低遅延で転送するため、GW303の通信インタフェース402または制御部501は、GW303の通信インタフェース402へ入力中のデータのヘッダを解析し、送信先ネットワーク装置がわかった時点で、そのデータをネットワークリンク301bへ出力することを開始する。
その後、そのデータの残りの部分がネットワークリンク301aからGW303へ引き続き入力され、そのデータが有する署名データがGW303へ入力された時点で、図1または図16に記載のデータ認証処理がGW303において実施される。認証結果が失敗(ステップS103においてNo)またはデータ形式が一致しない(ステップS201においてNo)と判定された場合には、データ加工処理として、ネットワークリンク301bへ出力中のデータおよび/またはネットワークリンク301aから入力中のデータに対して上述した加工処理が実施される。
このような処理を実行することにより、ヘッダの確認のみで低遅延なデータ転送を可能にした上で、さらにその後認証結果が失敗と判定した場合に、不正なデータを無効化することが可能となる。
−−−第4実施形態−−−
次に本発明を適用したネットワーク装置が動作していることを確認する例について説明する。まず一つの方法としては、上述した認証Ackの情報について、送信元ネットワーク装置では、上書き可能な情報(例えばCANにおけるリセッシブ(1))で制御部501が作成し、CRC演算の際には認証Ackの値として上書きされた情報(例えばCANにおけるドミナント(0))で通信インタフェース402が演算を行い、その後、通信インタフェース402がそのデータを送信する。図17を用いて詳細を説明する。図17は、本実施形態におけるデータ検出時の制御部における処理を表すフローチャートである。第1実施形態におけるデータ検出時の制御部における処理を表す図15と同一のステップ番号の処理については、説明を省略する。
送信元ネットワーク装置から送信されて、送信先ネットワーク装置へ転送されるデータを検出したネットワーク装置が有する制御部501は、ステップS102において第1実施形態の手順と同様のデータの認証を行い、ステップS303において認証OKの場合には、ステップS304において認証Ackを上書き可能な値(例えばCANにおけるドミナント(0))で上書きするように、通信インタフェース402に指示する(ステップS303において肯定判定)。認証結果が失敗の場合にはデータの加工は行われない(ステップS303において否定判定)。すなわち、認証が行われるネットワーク装置の制御部501は、転送中のデータの認証Ackを上書きすることによって、認証を行ったことを示すための加工を、そのデータの転送中に、そのデータに対して行う。
転送されたそのデータを受信した送信先ネットワーク装置は、認証Ackを確認して上書きされていることを確認し、またはCRC演算結果がCRCフィールドが示す値と一致していることを確認することによって、そのデータが正しく認証されていることを確認できる。また、送信先ネットワーク装置は、受信したデータの認証Ackが上書きされているため、認証処理を行うネットワーク装置が正常に動作していることを確認することもできる。認証Ackを確認して上書きされていないことを確認するか、またはCRC演算結果がCRCフィールド値と不一致であることを確認した送信先ネットワーク装置は、受信したデータが認証処理を行うネットワーク装置によって正しく認証されていないと判断するとともに、受信したデータは不正なデータであるか、または認証を行うネットワーク装置が動作していない状況のどちらかであると判断し、受信したデータを廃棄する。
このようにすることにより、認証を行うネットワーク装置が正常に動作をしていない、または署名の演算が間に合わないような状況において、不正なデータが送信されていたとしても、受信側で正しいデータと見なされて動作することを防ぐことが可能となる。なお、このような、認証を行うネットワーク装置が正常動作をしていることを認証Ackによって表示する処理は、例えば通常のデータ転送が行われている期間中に行われてもよいが、メンテナンスのために通常のデータ転送が行われない診断モードにおいて行われることが、より好ましい。
認証を行うネットワーク装置が動作していることを確認する本実施形態の変形例として、認証を行うネットワーク装置が署名データを処理するまでは、図13に示す署名付き通信データフォーマットのマージン1406にドミナントが設定されたデータが送信され、署名データの処理が終了した時点でマージン1406にリセッシブが設定されたデータが送信される。そのようにすることにより、認証を行うネットワーク装置が動作していることを確認可能となる。
その際、マージン1406に設定された信号の値を含むCRC計算は、送信元ネットワーク装置においても送信先ネットワーク装置においても実施されず、マージン1406に設定された信号の値によらずにCRCが計算される。このようにすることにより、認証を行うネットワーク装置が、マージン1406を用いて認証処理を行った場合であっても、そのマージン1406を含むデータのCRCを計算することが可能となる。
さらに他の変形例としては、送信元ネットワーク装置から送信先ネットワーク装置へのデータ転送が行われるネットワークリンクとは別の、例えば保守用のネットワークリンクまたは専用線において、認証処理を行うネットワーク装置の制御部501が、制御部501による認証動作が正常に行われていることを示す情報を、送信元ネットワーク装置や送信先ネットワーク装置へ送ることとしてもよい。この場合、認証処理を行うネットワーク装置が動作していることを示す情報としては、上述したデータ形式の他に、定期的な定型データの送信、上記署名データ、データ認証のタイミングに合わせたデータの送信、などがある。このように複数のネットワークリンクまたは専用線を用いて認証処理を行うネットワーク装置の動作を確認することにより、いずれかの経路が攻撃をされた場合でも、認証処理を行うネットワーク装置が動作していることを各ネットワーク装置が正しく確認可能することができる。
−−−変形例−−−
署名の作成および認証の処理を低減するために、署名の作成における符号化にストリーム暗号を使用する変形例について説明する。ストリーム暗号の例としては、MUGI(登録商標)、MULTI−SO1、RC4(登録商標)、Enocoro(登録商標)などがある。ストリーム暗号によれば、暗号および復号処理がビット単位で実施でき、高速な処理が実行可能である。その場合の署名作成の例としては、図12の例において、暗号化および復号化の処理においてストリーム暗号を用い、処理をビット(またはバイト)単位で実施する。作成された署名データは、データと署名をビット単位で結合しても良く、または全ての署名データを出力してから結合してもどちらの形式でも可能である。
ストリーム暗号を用いる場合のハッシュ演算に関しては、実施を行わないか、ビット、またはバイト単位でストリーム暗号を行う単位と同じ単位で実行を行う。特にMULTI−S01など、データの撹拌や改ざん検出の機能が備わっている暗号の場合には、ハッシュ演算処理が不要となる。
このように符号化方式としてストリーム暗号等の逐次処理が可能な暗号を用いることにより高速に判定が可能となり、データの転送期間中に署名の演算を完了させることが容易となる。
上述した実施の形態および変形例におけるネットワーク装置は、車両の各種制御を行う送信元ネットワーク装置および送信先ネットワーク装置とバスで接続されたネットワーク装置であって、制御部501と通信インタフェース402とを有する。制御部501は、バスを介して送信元ネットワーク装置から送信先ネットワーク装置へ転送中のデータに含まれる署名に基づいて、データが送信元ネットワーク装置のなりすましによって転送されているか否かに関する認証を行う。データがなりすましによって転送されたたために認証が失敗した場合は、通信インタフェース402は、データの転送中に、データを無効化する。したがって、不正なデータ転送を防ぐことが可能となる。これにより、送信先ネットワーク装置での認証処理や鍵の管理等のセキュリティ対策が不要となる。その結果、個々のネットワーク装置を必要時のみ起動するパーシャルネットワーキングも可能となる。
第2実施形態におけるネットワーク装置は、バスを介したデータの転送が許可されているか否かを管理するフィルタテーブル505と、データに対する制御部501による認証用の鍵を管理する鍵管理テーブル504とを、さらに有する。このネットワーク装置が有する制御部501は、データの転送中に、データがフィルタテーブル505および鍵管理テーブル504に対応しているか否かを判定する。通信インタフェース402は、制御部501による認証が失敗した場合に加えてさらに、制御部501によって、データがフィルタテーブル505および鍵管理テーブル504の少なくとも一方に対応していない場合に、データの転送中に、データを無効化する。これにより、データ形式が不一致である不正なデータの送信を防ぎ、さらに認証処理を行うより低負荷で不正なデータの送信を防ぐことが可能となる。
第3実施形態におけるネットワーク装置においては、制御部501は、さらに、制御部501による認証が行われたことを示すための加工を、データの転送中に、データに対して行う。これにより、認証処理を行うネットワーク装置の動作を、他のネットワーク装置が確認することが可能となる。
認証処理における符号化方式についてストリーム暗号を用いた署名を用いることにより、より高速に判定が可能となり、データの送信期間中に署名の演算を完了させることが容易となる。
1 制御システム
2 ネットワークシステム
3 無線通信部
4 ネットワークシステム
5 有線通信部
6 出力装置
301 ネットワークリンク
302 ECU
303 GW
304 SW
401 プロセッサ
402 通信インタフェース
403 タイマ
404 ROM
405 RAM
406 内部バス
407 セキュリティモジュール
501 制御部
502 通信管理部
503 時間管理部
504 鍵管理テーブル
505 フィルタテーブル
506 バッファ

Claims (9)

  1. 複数のネットワーク装置とバスで接続されたネットワーク装置であって、
    前記バスを介して前記複数のネットワーク装置のうちの1つが送信元装置として送信するデータに含まれるメッセージ認証用情報に基づいて、認証を行う認証部と、
    前記認証が失敗した場合は、前記送信元装置が前記複数のネットワーク装置のうちの他のネットワーク装置になりすまして不正データを送信したと判断し、前記データを無効化する加工部とを備えることを特徴とするネットワーク装置。
  2. 請求項1に記載のネットワーク装置において、
    前記加工部は、前記認証が失敗した場合、前記データを、エラーを含むように加工することによって、前記データを無効化することを特徴とするネットワーク装置。
  3. 請求項1に記載のネットワーク装置において、
    前記データは、前記認証部による前記認証の結果を示す認証結果情報を含み、
    前記加工部は、前記認証が失敗した場合、上書き不可能な値を前記認証結果情報に設定することによって、前記データを無効化することを特徴とするネットワーク装置。
  4. 請求項1に記載のネットワーク装置において、
    前記バスを介して前記データが送信されることが許可されているか否かを管理する第1テーブルと、
    前記データに対する前記認証部による前記認証用の鍵を管理する第2テーブルと、
    前記データの送信中に、前記データが前記第1テーブルおよび前記第2テーブルに対応しているか否かを判定するデータ形式判定部とをさらに備え、
    前記加工部は、前記認証部による前記認証が失敗した場合に加えてさらに、前記データ形式判定部によって、前記データが前記第1テーブルおよび前記第2テーブルの少なくとも一方に対応していない場合に、前記データの送信中に、前記データを無効化することを特徴とするネットワーク装置。
  5. 請求項4に記載のネットワーク装置において、
    前記データ形式判定部は、前記データが送信される前記バスのリンクID、前記データのヘッダの形式、前記データの順序を表すカウンタ、前記データが送信されるタイミングを表すタイムスタンプ、前記鍵の有効期限、前記データが前記認証部による前記認証用の署名付き通信データを伴う場合の通信データ長、および前記データが前記署名付き通信データを伴う場合の署名長、のうちの少なくとも一つに基づいて、前記データが前記第1テーブルおよび前記第2テーブルに対応しているか否かを判定することを特徴とするネットワーク装置。
  6. 請求項1に記載のネットワーク装置において、
    前記バスは、前記送信元装置が接続された第1リンクと、前記データが送信される第2リンクとを含み、
    前記加工部は、前記認証部による前記認証が失敗した場合は、前記第1リンクから前記第2リンクに送信中の前記データを無効化することを特徴とするネットワーク装置。
  7. 請求項1に記載のネットワーク装置において、
    前記加工部は、さらに、前記認証部による前記認証が行われたことを示すための加工を、前記データの送信中に、前記データに対して行うことを特徴とするネットワーク装置。
  8. 請求項1に記載のネットワーク装置において、
    前記加工部は、前記認証が成功した場合は、前記認証部による前記認証が行われていることを示す加工を、前記データに対して行うことを特徴とするネットワーク装置。
  9. 請求項1に記載のネットワーク装置と、
    前記送信元装置とを備えることを特徴とするネットワークシステム。
JP2013257364A 2013-12-12 2013-12-12 ネットワーク装置およびネットワークシステム Active JP6126980B2 (ja)

Priority Applications (8)

Application Number Priority Date Filing Date Title
JP2013257364A JP6126980B2 (ja) 2013-12-12 2013-12-12 ネットワーク装置およびネットワークシステム
DE102014224694.6A DE102014224694B4 (de) 2013-12-12 2014-12-03 Netzwerkgerät und Netzwerksystem
US14/563,217 US9426164B2 (en) 2013-12-12 2014-12-08 Network device and network system
CN202010259878.2A CN111431927A (zh) 2013-12-12 2014-12-12 网络装置以及网络系统
CN202010259221.6A CN111447235A (zh) 2013-12-12 2014-12-12 网络装置以及网络系统
CN201410769043.6A CN104717201B (zh) 2013-12-12 2014-12-12 网络装置以及网络系统
US15/228,608 US10542033B2 (en) 2013-12-12 2016-08-04 Network device and network system
US16/728,795 US11134100B2 (en) 2013-12-12 2019-12-27 Network device and network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013257364A JP6126980B2 (ja) 2013-12-12 2013-12-12 ネットワーク装置およびネットワークシステム

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2017077373A Division JP2017121091A (ja) 2017-04-10 2017-04-10 Ecu、及び車用ネットワーク装置

Publications (2)

Publication Number Publication Date
JP2015114907A JP2015114907A (ja) 2015-06-22
JP6126980B2 true JP6126980B2 (ja) 2017-05-10

Family

ID=53192911

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013257364A Active JP6126980B2 (ja) 2013-12-12 2013-12-12 ネットワーク装置およびネットワークシステム

Country Status (4)

Country Link
US (3) US9426164B2 (ja)
JP (1) JP6126980B2 (ja)
CN (3) CN104717201B (ja)
DE (1) DE102014224694B4 (ja)

Families Citing this family (88)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6126980B2 (ja) 2013-12-12 2017-05-10 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム
KR101519777B1 (ko) * 2014-01-29 2015-05-12 현대자동차주식회사 차량 네트워크 내의 제어기간의 데이터 송신 방법 및 수신 방법
KR101519793B1 (ko) * 2014-06-24 2015-05-12 현대자동차주식회사 차량용 네트워크 시스템 및 이 시스템 내 이종 통신 제어기의 데이터 전송 방법
KR101573637B1 (ko) * 2014-11-03 2015-12-01 현대자동차주식회사 데이터량 증대로 통신속도 개선을 위한 can 통신 방법 및 데이터 프레임 구조
CN106458112B (zh) * 2014-11-12 2019-08-13 松下电器(美国)知识产权公司 更新管理方法、更新管理系统以及计算机可读取的记录介质
JP2016116132A (ja) * 2014-12-16 2016-06-23 富士通株式会社 通信制御装置、通信制御方法、および、通信制御プログラム
US9843597B2 (en) * 2015-01-05 2017-12-12 International Business Machines Corporation Controller area network bus monitor
US11016925B2 (en) * 2015-03-26 2021-05-25 Nxp Usa, Inc. Protocol-tolerant communications in controller area networks
JP6477281B2 (ja) * 2015-06-17 2019-03-06 株式会社オートネットワーク技術研究所 車載中継装置、車載通信システム及び中継プログラム
JP6484519B2 (ja) * 2015-07-15 2019-03-13 日立オートモティブシステムズ株式会社 ゲートウェイ装置およびその制御方法
JP6480291B2 (ja) * 2015-08-28 2019-03-06 株式会社日立製作所 通信装置、送信装置及び受信装置
EP3734911B1 (en) * 2015-08-31 2022-02-09 Panasonic Intellectual Property Corporation of America Gateway device, car onboard network system, and transfer method
JP6787697B2 (ja) 2015-08-31 2020-11-18 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America ゲートウェイ装置、車載ネットワークシステム及び転送方法
JP6532789B2 (ja) 2015-09-03 2019-06-19 日立オートモティブシステムズ株式会社 ゲートウェイ装置、および演算装置
DE102015216886A1 (de) 2015-09-03 2017-03-09 Robert Bosch Gmbh Verfahren, Vorrichtung und Computerprogramm zum Betreiben einer Datenverarbeitungsanlage
KR101704569B1 (ko) * 2015-09-09 2017-02-08 현대자동차주식회사 시동 기반 동적 차량 보안 통신 제어 방법 및 그를 위한 장치 및 시스템
US9756024B2 (en) * 2015-09-18 2017-09-05 Trillium Incorporated Computer-implemented cryptographic method for improving a computer network, and terminal, system and computer-readable medium for the same
JP6836340B2 (ja) * 2015-09-29 2021-02-24 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知電子制御ユニット、車載ネットワークシステム及び通信方法
JP6481579B2 (ja) * 2015-09-29 2019-03-13 株式会社オートネットワーク技術研究所 車載通信システム及び監視装置
JP6286749B2 (ja) * 2015-10-21 2018-03-07 本田技研工業株式会社 通信システム、制御装置、及び制御方法
JP7075886B2 (ja) * 2015-11-12 2022-05-26 マーキュリー システムズ, インコーポレイテッド ブロードキャストバスフレームフィルタ
JP6519461B2 (ja) * 2015-12-08 2019-05-29 トヨタ自動車株式会社 通信システム
JP6520683B2 (ja) * 2015-12-10 2019-05-29 株式会社デンソー 制御システム
CN107111716B (zh) * 2015-12-14 2022-03-29 松下电器(美国)知识产权公司 评价装置、评价系统以及评价方法
JP6684690B2 (ja) * 2016-01-08 2020-04-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
JP6728700B2 (ja) 2016-01-15 2020-07-22 富士通株式会社 通信システム、通信プログラム、通信方法、および、通信装置
WO2017147207A1 (en) * 2016-02-22 2017-08-31 Continental Automotive Systems, Inc. Method to establish and update keys for secure in-vehicle network communication
JP6593230B2 (ja) * 2016-03-09 2019-10-23 株式会社デンソー 通信システム
KR101831134B1 (ko) * 2016-05-17 2018-02-26 현대자동차주식회사 암호화를 적용한 제어기 보안 방법 및 그 장치
JP6890025B2 (ja) * 2016-05-27 2021-06-18 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 電子制御ユニット、フレーム生成方法及びプログラム
JP6962697B2 (ja) * 2016-05-27 2021-11-05 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America ネットワークハブ、転送方法及び車載ネットワークシステム
US11245535B2 (en) 2016-07-18 2022-02-08 The Regents Of The University Of Michigan Hash-chain based sender identification scheme
US10599840B2 (en) * 2016-07-21 2020-03-24 Ramot At Tel Aviv University Ltd. Anti-spoofing defense system for a can bus
WO2018026030A1 (ko) * 2016-08-03 2018-02-08 엘지전자 주식회사 차량 및 그 제어방법
JP6433951B2 (ja) * 2016-08-09 2018-12-05 東芝デジタルソリューションズ株式会社 ネットワーク監視装置およびプログラム
US11146401B2 (en) * 2016-08-10 2021-10-12 Ford Global Technologies, Llc Software authentication before software update
US10285051B2 (en) * 2016-09-20 2019-05-07 2236008 Ontario Inc. In-vehicle networking
DE102016221233B3 (de) * 2016-10-27 2017-09-14 Volkswagen Aktiengesellschaft Verfahren zum Verwalten einer ersten Kommunikationsverbindung, System umfassend einen ersten Kommunikationspartner und einen zweiten Kommunikationspartner sowie Fahrzeug
DE102016221690A1 (de) * 2016-11-04 2018-05-09 Audi Ag Verfahren zum Übertragen von Datenpaketen zwischen einem Ethernet und einem Bussystem in einem Kraftfahrzeug sowie Gatewayvorrichtung und Kraftfahrzeug
JP6846706B2 (ja) * 2017-03-22 2021-03-24 パナソニックIpマネジメント株式会社 監視装置、監視方法およびコンピュータプログラム
JP6782444B2 (ja) * 2017-01-18 2020-11-11 パナソニックIpマネジメント株式会社 監視装置、監視方法およびコンピュータプログラム
DE112017006854T5 (de) * 2017-01-18 2019-10-02 Panasonic Intellectual Property Management Co., Ltd. Überwachungsvorrichtung, Überwachungsverfahren und Computerprogramm
DE102017200826A1 (de) * 2017-01-19 2018-07-19 Conti Temic Microelectronic Gmbh Verfahren zum Betreiben einer Überwachungsvorrichtung eines Datennetzwerks eines Kraftfahrzeugs sowie Überwachungsvorrichtung, Steuergerät und Kraftfahrzeug
DE102017202602A1 (de) * 2017-02-17 2018-08-23 Robert Bosch Gmbh Verfahren und Vorrichtung zum Betreiben eines Steuergerätes an einem Bus
CN106897627B (zh) * 2017-02-21 2020-02-11 成都信息工程大学 一种保证汽车ecu免受攻击和自动更新的方法
JP6494821B2 (ja) * 2017-04-07 2019-04-03 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正通信検知基準決定方法、不正通信検知基準決定システム及びプログラム
EP3609139B1 (en) 2017-04-07 2022-03-30 Panasonic Intellectual Property Corporation of America Method for determining reference for unauthorized communication detection, system for determining reference for unauthorized communication detection, and program
US10756924B2 (en) * 2017-04-12 2020-08-25 Denso International America, Inc. System and method for encoding data within a vehicle communication network
CN110495135B (zh) * 2017-04-14 2022-06-28 三菱电机株式会社 密钥管理系统、通信设备以及密钥共享方法
EP3618361B1 (en) * 2017-04-27 2021-06-16 Fujitsu Limited Vehicle system and key distribution method
CN108965218B (zh) 2017-05-25 2020-09-29 华为技术有限公司 一种控制器区域网总线安全通信方法、装置及系统
DE102017209556A1 (de) * 2017-06-07 2018-12-13 Robert Bosch Gmbh Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
DE102017212757A1 (de) * 2017-07-25 2019-01-31 Robert Bosch Gmbh Verfahren und Vorrichtung zum Schützen eines Feldbusses
JP7033499B2 (ja) * 2017-07-26 2022-03-10 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知装置および異常検知方法
KR102272081B1 (ko) * 2017-09-25 2021-07-02 현대모비스 주식회사 자동차 네트워크의 데이터 통신방법
JP6761793B2 (ja) 2017-10-13 2020-09-30 日立オートモティブシステムズ株式会社 車両用制御装置
CN107749845B (zh) * 2017-10-20 2019-08-09 成都信息工程大学 基于区块链技术的can总线报文的抗攻击方法及系统
EP3478031B1 (en) * 2017-10-30 2020-06-24 Melexis Technologies NV Bus protocol for dynamic lighting application
EP3726790B1 (en) * 2017-12-15 2021-12-01 Panasonic Intellectual Property Corporation of America Fraud detection device, in-vehicle network system, and fraud detection method
WO2019117184A1 (ja) 2017-12-15 2019-06-20 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワーク異常検知システム及び車載ネットワーク異常検知方法
JP6925296B2 (ja) * 2018-03-29 2021-08-25 日立Astemo株式会社 ネットワークシステム
JP2019195116A (ja) * 2018-05-01 2019-11-07 ルネサスエレクトロニクス株式会社 データ転送システム及び転送方法
CN108989024B (zh) * 2018-06-29 2023-04-14 百度在线网络技术(北京)有限公司 控制ecu间通信的方法、装置、设备以及相应车辆
US11204939B2 (en) * 2018-07-18 2021-12-21 Bank Of America Corporation Data manifest as a blockchain service
JP7042417B2 (ja) * 2018-09-03 2022-03-28 株式会社オートネットワーク技術研究所 通信装置、送信方法及びコンピュータプログラム
CN109286500B (zh) * 2018-09-30 2023-04-11 阿波罗智联(北京)科技有限公司 车辆电子控制单元ecu认证方法、装置及设备
US12088728B2 (en) * 2018-10-03 2024-09-10 Panasonic Automotive Systems Company Of America, Division Of Panasonic Corporation Of North America Secure controller area network in vehicles
DE102018218387A1 (de) * 2018-10-26 2020-04-30 Robert Bosch Gmbh Teilnehmerstation für ein serielles Bussystem und Verfahren zur Übertragung von Daten mit Manipulationsschutz in einem seriellen Bussystem
WO2020120160A1 (en) * 2018-12-10 2020-06-18 Daimler Ag Method for detecting intrusion in distributed field bus of a network and system thereof
KR102699146B1 (ko) * 2018-12-14 2024-08-27 현대자동차주식회사 게이트웨이 프로세서, 그 제어 로직, 프로그램 및 기록매체
JP7312769B2 (ja) * 2018-12-28 2023-07-21 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 統計情報生成装置、統計情報生成方法、および、プログラム
EP3700138B1 (en) 2019-02-22 2023-08-02 Volvo Car Corporation Monitoring lin nodes
EP3700137B1 (en) * 2019-02-22 2023-08-02 Volvo Car Corporation Monitoring can nodes
JP7058928B2 (ja) * 2019-03-15 2022-04-25 矢崎総業株式会社 車両用通信システム
CN111756607B (zh) * 2019-03-27 2022-02-01 北京新能源汽车股份有限公司 一种报文传输方法及装置
KR20200129260A (ko) * 2019-05-08 2020-11-18 현대자동차주식회사 차량용 리프로그래밍 장치 및 그의 리프로그래밍 방법과 그를 포함하는 차량
WO2021020025A1 (ja) 2019-08-01 2021-02-04 住友電気工業株式会社 中継装置、車両通信システム、車両、通信方法および通信プログラム
JP7464054B2 (ja) * 2019-08-01 2024-04-09 住友電気工業株式会社 中継装置、通信方法および通信プログラム
KR20220001350A (ko) 2020-06-29 2022-01-05 주식회사 엘지에너지솔루션 네트워크 라우팅 장치 및 방법
DE102020118960A1 (de) 2020-07-17 2022-01-20 Dspace Digital Signal Processing And Control Engineering Gmbh Verfahren und Wiedergabeeinheit zur Wiedergabe von gesicherten Nachrichten
JP7601524B2 (ja) * 2020-07-30 2024-12-17 ホアウェイ・テクノロジーズ・カンパニー・リミテッド 通信方法及び装置
CN112822196B (zh) * 2021-01-08 2022-11-29 东风小康汽车有限公司重庆分公司 中央域控的通信方法和系统
DE102021201120A1 (de) * 2021-02-08 2022-08-11 Robert Bosch Gesellschaft mit beschränkter Haftung Teilnehmerstation für ein serielles Bussystem und Verfahren zur Kommunikation in einem seriellen Bussystem
US12170637B2 (en) * 2021-03-10 2024-12-17 Marvell Asia Pte Ltd Configurable transfer rates over a two-way ethernet link
CN113472808B (zh) * 2021-07-16 2023-07-14 浙江大华技术股份有限公司 日志的处理方法、装置、存储介质及电子装置
US11784779B2 (en) 2021-12-09 2023-10-10 Marvell Asia Pte Ltd Automotive asymmetric ethernet using a frequency-division duplex scheme with a low-rate echo cancelation
DE102022206796B4 (de) 2022-07-04 2025-02-13 Robert Bosch Gesellschaft mit beschränkter Haftung Vorrichtung, Verfahren, Computerprogramm zur sicheren hoch-verfügbaren Übertragung von Nachrichten, Fahrzeug das die Vorrichtung umfasst
CN116069478B (zh) * 2023-03-07 2023-06-02 湖南师范大学 基于图神经网络的车载系统安全感知设计优化方法及设备

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6061794A (en) * 1997-09-30 2000-05-09 Compaq Computer Corp. System and method for performing secure device communications in a peer-to-peer bus architecture
JP2001148715A (ja) * 1999-11-19 2001-05-29 Mitsubishi Electric Corp ネットワークシステム及び端末装置
US6442708B1 (en) * 1999-12-14 2002-08-27 Honeywell International Inc. Fault localization and health indication for a controller area network
US7624439B2 (en) * 2001-10-29 2009-11-24 Seventh Knight Authenticating resource requests in a computer system
US7383577B2 (en) * 2002-05-20 2008-06-03 Airdefense, Inc. Method and system for encrypted network management and intrusion detection
US7058796B2 (en) * 2002-05-20 2006-06-06 Airdefense, Inc. Method and system for actively defending a wireless LAN against attacks
US7322044B2 (en) * 2002-06-03 2008-01-22 Airdefense, Inc. Systems and methods for automated network policy exception detection and correction
CN1297104C (zh) * 2002-12-04 2007-01-24 华为技术有限公司 实现基于端口认证和基于传输层认证兼容的方法
CN100352203C (zh) * 2003-09-04 2007-11-28 华为技术有限公司 控制宽带网络用户接入网络的方法
US7398394B1 (en) 2004-06-02 2008-07-08 Bjorn Dag Johnsen Method and apparatus for authenticating nodes in a communications network
JP2006121524A (ja) * 2004-10-22 2006-05-11 Toshiba Solutions Corp 公開鍵暗号装置
US8549592B2 (en) * 2005-07-12 2013-10-01 International Business Machines Corporation Establishing virtual endorsement credentials for dynamically generated endorsement keys in a trusted computing platform
US8228896B2 (en) * 2006-09-22 2012-07-24 Avaya Inc. Method and apparatus for verification of at least a portion of a datagram's header information
US8285989B2 (en) * 2006-12-18 2012-10-09 Apple Inc. Establishing a secured communication session
US8036133B2 (en) * 2007-03-05 2011-10-11 Nokia Corporation Efficient techniques for error detection and authentication in wireless networks
DE102009033241B4 (de) * 2009-07-14 2013-07-04 Audi Ag Vermeidung von Maskerade durch Verwendung von Kennungssequenzen
DE102009045133A1 (de) 2009-09-29 2011-03-31 Robert Bosch Gmbh Verfahren zum Manipulationsschutz von Sensordaten und Sensor hierzu
JP5395036B2 (ja) * 2010-11-12 2014-01-22 日立オートモティブシステムズ株式会社 車載ネットワークシステム
WO2012090438A1 (ja) 2010-12-28 2012-07-05 三洋電機株式会社 端末装置
CA2746755C (en) * 2011-07-15 2014-09-16 Magnum Forms Inc. Block forming apparatus and method
US8925083B2 (en) * 2011-10-25 2014-12-30 GM Global Technology Operations LLC Cyber security in an automotive network
JP5770602B2 (ja) * 2011-10-31 2015-08-26 トヨタ自動車株式会社 通信システムにおけるメッセージ認証方法および通信システム
KR101807700B1 (ko) * 2011-12-09 2017-12-14 한국전자통신연구원 근원지 주소 위/변조 패킷 탐지 및 차단을 위한 인증 방법 및 장치
US20140133656A1 (en) 2012-02-22 2014-05-15 Qualcomm Incorporated Preserving Security by Synchronizing a Nonce or Counter Between Systems
EP3651437B1 (en) * 2012-03-29 2021-02-24 Arilou Information Security Technologies Ltd. Protecting a vehicle electronic system
JP2013257364A (ja) 2012-06-11 2013-12-26 Canon Inc 現像装置、プロセスカートリッジ及び画像形成装置
US8959615B2 (en) * 2013-02-25 2015-02-17 Kabushiki Kaisha Toshiba Storage system in which fictitious information is prevented
JP6126980B2 (ja) * 2013-12-12 2017-05-10 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム
US9438581B2 (en) * 2014-04-15 2016-09-06 GM Global Technology Operations LLC Authenticating data at a microcontroller using message authentication codes
JP6407981B2 (ja) * 2014-05-08 2018-10-17 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 車載ネットワークシステム、電子制御ユニット及び不正対処方法
JP6741559B2 (ja) * 2016-01-18 2020-08-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 評価装置、評価システム及び評価方法

Also Published As

Publication number Publication date
DE102014224694B4 (de) 2023-01-26
CN104717201A (zh) 2015-06-17
US20200137108A1 (en) 2020-04-30
US10542033B2 (en) 2020-01-21
DE102014224694A1 (de) 2015-06-18
US11134100B2 (en) 2021-09-28
US20160344764A1 (en) 2016-11-24
US9426164B2 (en) 2016-08-23
CN104717201B (zh) 2020-04-24
CN111431927A (zh) 2020-07-17
CN111447235A (zh) 2020-07-24
US20150172298A1 (en) 2015-06-18
JP2015114907A (ja) 2015-06-22

Similar Documents

Publication Publication Date Title
JP6126980B2 (ja) ネットワーク装置およびネットワークシステム
US11134064B2 (en) Network guard unit for industrial embedded system and guard method
JP2017121091A (ja) Ecu、及び車用ネットワーク装置
CN101159718B (zh) 嵌入式工业以太网安全网关
US9294270B2 (en) Detection of stale encryption policy by group members
US8335918B2 (en) MAC frame provision method and apparatus capable of establishing security in IEEE 802.15.4 network
US11930021B2 (en) Unauthorized frame detection device and unauthorized frame detection method
US11245535B2 (en) Hash-chain based sender identification scheme
US10311005B2 (en) Message translator
CN110035047B (zh) 用于检查数据包中的消息完整性的轻型机制
US11196702B2 (en) In-vehicle communication device, and communication control method
JP4107213B2 (ja) パケット判定装置
JP2014183395A (ja) 車載ネットワークシステム
JP2018182767A (ja) Ecu、ネットワーク装置、及び車用ネットワーク装置
CN113972999B (zh) 一种基于PSK进行MACSec通信的方法及装置
JP7016783B2 (ja) 情報処理装置、管理装置
CN110679129B (zh) 保护第一与第二通信装置之间的通信的方法和通信装置
JP2020141414A (ja) Ecu、ネットワーク装置
KR20110087972A (ko) 세션 테이블을 이용한 비정상 트래픽의 차단 방법
KR101005870B1 (ko) 미인증 장비의 티시피 세션 차단 방법
Horvat et al. Protection of CAN communication on embedded platform using symmetric encryption
JP2024500544A (ja) データ伝送方法及び装置
JP2019176309A (ja) 複製モジュール、複製方法、複製プログラム及び監視システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160324

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20170126

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170215

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170314

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170410

R150 Certificate of patent or registration of utility model

Ref document number: 6126980

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20170927

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250