车载网络系统、不正常检测电子控制单元以及不正常应对方法
【技术领域】
[0001]本公开涉及检测在电子控制单元进行通信的车载网络中发送的不正常(fraud,非法)帧并进行应对的技术。
【背景技术】
[0002]近年来,在汽车中的系统内,配置有许多称为电子控制单元(E⑶:ElectronicControl Unit)的装置。连接这些ECU的网络称为车载网络。车载网络存在多种标准。作为其中最主流的车载网络之一,存在由ISOl 1898-1规定的CAN(ControIIer Area Network:控制器局域网络)这一标准(参照“非专利文献I” )。
[0003]在CAN中,通信路径由两条总线构成,与总线连接的ECU称为节点。与总线连接的各节点收发被称为帧的消息。发送帧的发送节点通过在两条总线上施加电压,并在总线间产生电位差,从而发送被称为隐性(re c e s s i Ve)的“ I”的值和被称为显性(dom i nan t)的“O”的值。多个发送节点在完全相同的定时发送了隐性和显性的情况下,优先发送显性。接收节点在接收到的帧的格式存在异常的情况下,发送被称为错误帧(error frame)的帧。错误帧是通过连续地发送6比特(bit)的显性,从而向发送节点和/或其他接收节点通知帧的异常的帧。
[0004]另外,在CAN中不存在指示发送目的地或发送源的识别符,发送节点在每帧中附加被称为消息ID的ID并进行发送(也即是,向总线送出信号),各接收节点仅接收预先确定的消息ID(也即是,从总线读取信号)。另外,采用CSMA/CA(Carrier Sense Multiple Access/Collis1n Avoidance:载波侦听多址访问/冲突避免)方式,在多个节点的同时发送时,进行利用消息ID的仲裁(调停),优先发送消息ID的值小的帧。
[0005]此外,在车载网络中,存在因不正常节点与总线连接且不正常节点不正常地发送帧,从而导致不正常地控制车体的可能性。为了防止这样的不正常帧的发送所导致的控制,一般已知有如下技术:在CAN的数据域(data field,数据段)中附加消息认证码(MAC:Message Authenticat1n Code)并进行发送(参照“专利文献I”)。
[0006]在先技术文献
[0007]专利文献
[0008]专利文献I:日本特开2013-98719号公报
[0009]非专利文献
[0010]非专利文献1:CAN Specificat1n 2.0part A, [online] ,CAN in Automat1n(CiA),[2014年11 月 14 日检索],互联网(URL:http: //www.can-cia.0rg/f ileadmin/cia/specificat1ns/CAN20A.pdf)
[0011]非专利文献2:RFC2104HMAC:Keyed_Hashingfor Message Authenticat1n
【发明内容】
[0012]发明要解决的问题
[0013]然而,由于能够保存在CAN的数据域中的MAC的数据长度不能说足够长,所以会担心与总线连接的不正常节点对MAC的暴力攻击等。
[0014]因此,本公开提供一种用于提高对于对MAC的暴力攻击的抗攻击性,并适当地应对不正常帧的发送的车载网络系统。另外,本公开提供一种为了在该车载网络系统中检测不正常帧的发送而使用的不正常检测电子控制单元(不正常检测ECU)以及用于适当地应对不正常帧的发送的不正常应对方法。
[0015]用于解决问题的技术方案
[0016]为了解决上述技术问题,本公开的一个技术方案涉及的不正常应对方法是在具备多个电子控制单元的车载网络系统中使用的方法,所述多个电子控制单元遵循CAN协议即控制器局域网协议经由总线进行附加有消息认证码即MAC的数据帧的授受,所述不正常应对方法包括:接收步骤,接收在所述总线上发送的数据帧;验证步骤,利用数据生成消息认证码,对在通过所述接收步骤接收到的数据帧中附加有该消息认证码这一情况进行验证;以及更新处理步骤,在所述验证步骤中的验证失败了的情况下,进行关于消息认证码的生成所利用的数据的更新处理。
[0017]另外,为了解决上述技术问题,本公开的一个技术方案涉及的车载网络系统是具备多个电子控制单元的车载网络系统,所述多个电子控制单元遵循CAN协议即控制器局域网协议经由总线进行附加有消息认证码即MAC的数据帧的授受,所述车载网络系统具备:第一电子控制单元,其具有保持消息认证码的生成所利用的MAC密钥的MAC密钥保持部,使用该MAC密钥来生成消息认证码,附加于数据帧并发送;和第二电子控制单元,其具备保持消息认证码的生成所利用的MAC密钥的MAC密钥保持部,使用该MAC密钥来生成消息认证码,接收数据帧并对在该数据帧中附加有该消息认证码这一情况进行验证,所述第一电子控制单元和所述第二电子控制单元分别还具有MAC密钥更新部,该MAC密钥更新部在所述第二电子控制单元中的所述验证失败了的情况下,对本单元具有的所述MAC密钥保持部所保持的MAC密钥进行更新。
[0018]另外,为了解决上述技术问题,本公开的一个技术方案涉及的不正常检测电子控制单元,与遵循CAN协议即控制器局域网协议进行通信的多个电子控制单元在通信中所使用的总线连接,所述不正常检测电子控制单元具备:帧收发部,其用于从所述总线接收帧并向所述总线发送帧;和不正常MAC检测部,其对在由所述帧收发部接收到的帧中附加有消息认证码即MAC这一情况进行验证,所述帧收发部在由所述不正常MAC检测部进行的所述验证失败了的情况下,发送MAC密钥更新请求帧,该MAC密钥更新请求帧表示消息认证码的生成所利用的MAC密钥的更新请求。
[0019]发明的效果
[0020]根据本公开,能够提高对于对MAC的暴力攻击的抗攻击性,适当地应对不正常帧的发送。
【附图说明】
[0021]图1是表示实施方式I涉及的车载网络系统的整体构成的图。
[0022]图2是表示由CAN协议规定的数据帧的格式的图。
[0023]图3是表示由CAN协议规定的错误帧的格式的图。
[0024]图4是头单元的构成图。
[0025]图5是示出了接收ID列表的一例的图。
[0026]图6是网关的构成图。
[0027]图7是示出了传送规则的一例的图。
[0028]图8是实施方式I涉及的ECU的构成图。
[0029]图9是示出了接收ID列表的一例的图。
[0030]图10是表示从与发动机连接的E⑶发送的帧的ID以及数据域的一例的图。
[0031]图11是表示从与制动器连接的E⑶发送的帧的ID以及数据域的一例的图。
[0032]图12是表示从与门开关传感器连接的E⑶发送的帧的ID以及数据域的一例的图。
[0033]图13是表示从与窗开关传感器连接的E⑶发送的帧的ID以及数据域的一例的图。
[0034]图14是实施方式I涉及的不正常检测ECU的构成图。
[0035]图15是示出了不正常检测ECU所保持的正规ID列表的一例的图。
[0036]图16是示出了不正常检测ECU所保持的正规ID列表的一例的图。
[0037]图17是表示各个消息ID的不正常检测计数器的状态的一例的图。
[0038]图18是表示实施方式I中的与不正常帧的检测以及执行阻止相关的工作例的时序图。
[0039]图19是表示实施方式2涉及的车载网络系统的整体构成的图。
[0040]图20是实施方式2涉及的不正常检测ECU的构成图。
[0041]图21是示出了不正常检测ECU所保持的数据范围列表的一例的图。
[0042]图22是表示实施方式2中的与不正常帧的检测以及执行阻止相关的工作例的时序图(后接图23)。
[0043]图23是表示实施方式2中的与不正常帧的检测以及执行阻止相关的工作例的时序图(前接图22)。
[0044]图24是表示实施方式3涉及的车载网络系统的整体构成的图。
[0045]图25是实施方式3涉及的ECU的构成图。
[0046]图26是表示从与发动机连接的ECU发送的数据帧的ID以及数据域的一例的图。
[0047]图27是表示从与制动器连接的E⑶发送的数据帧的ID以及数据域的一例的图。
[0048]图28是表示从与门开关传感器连接的ECU发送的数据帧的ID以及数据域的一例的图。
[0049]图29是表示从与窗开关传感器连接的ECU发送的数据帧的ID以及数据域的一例的图。
[0050]图30是实施方式3涉及的不正常检测ECU的构成图。
[0051]图31是表示实施方式3涉及的计数器保持部所保持的各个消息ID的计数器值的一例的图。
[0052]图32是表示实施方式3中的与不正常帧的检测以及执行阻止相关的工作例的时序图(后接图33)。
[0053]图33是表示实施方式3中的与不正常帧的检测以及执行阻止相关的工作例的时序图(前接图32)。
[0054]图34是表示实施方式4涉及的车载网络系统的整体构成的图。
[0055]图35是实施方式4涉及的ECU的构成图。
[0056]图36是实施方式4涉及的不正常检测ECU的构成图。
[0057]图37是表示实施方式4涉及的接收ID列表的一例的图。
[0058]图38是表示实施方式4涉及的更新帧的一例的图。
[0059]图39是表示实施方式4涉及的密钥表的一例的图。
[0060]图40是表示实施方式4涉及的计数器表的一例的图。
[0061 ]图41是表示实施方式4涉及的保护条件表的一例的图。
[0062]图42是表不实施方式4涉及的不正常ID列表的一例的图。
[0063]图43是表示实施方式4中的不正常帧的检测、MAC密钥的更新以及计数器值的复位等的工作例的时序图(后接图44)。
[0064]图44是表示实施方式4中的不正常帧的检测、MAC密钥的更新以及计数器值的复位等的工作例的时序图(后接图45)。
[0065]图45是表示实施方式4中的不正常帧的检测、MAC密钥的更新以及计数器值的复位等的工作例的时序图(前接图44)。
[0066]图46是表示实施方式4中的保护行为处理的流程图。
[0067]附图标记说明
[0068]10、11、12、13车载网络系统
[0069]100a、100b、2100a、2100b、3100a、3100b、4100a、4100b 不正常检测电子控制单元
(不正常检测E⑶)
[0070]110不正常检测计数器保持部
[0071]120正规ID列表保持部
[0072]130、2130不正常帧检测部
[0073]140、230、320、420、3420 帧生成部
[0074]150、260、350、450、2150、3150、4151 帧解析部
[0075]160、270、360、460 帧收发部
[0076]200头单元
[0077]210显示控制部
[0078]220、410 帧处理部
[0079]240、330、430接收 ID 判断部
[0080]250、340、440接收ID列表保持部
[0081]300 网关
[0082]310传送处理部
[0083]370传送规则保持部
[0084]400a ?400d、3400a ?3400d、4400a ?4400d 电子控制单元(ECU)
[0085]401发动机
[0086]402制动器
[0087]403门开关传感器
[0088]404窗开关传感器
[0089]470数据取得部
[0090]500a ?500c 总线
[0091]2120数据范围列表保持部
[0092]3130、4131不正常MAC检测部
[0093]3170、3410MAC 生成部
[0094]3180、3430、4180、4430MAC 密钥保持部
[0095]3190、3440计数器保持部
[0096]4110、4410MAC 密钥更新部
[0097]4120、4420计数器复位部
[0098]4130保护处理部
[0099]4140保护条件保持部
[0100]4150不正常ID列表保持部
[0101]4160不正常日志保持部
[0102]4170模式变更处理部
【具体实施方式】
[0103]本公开的一个技术方案涉及的不正常应对方法,是在具备多个电子控制单元的车载网络系统中使用的方法,所述多个电子控制单元遵循CAN协议即控制器局域网协议经由总线进行附加有消息认证码即MAC的数据帧的授受,所述不正常应对方法包括:接收步骤,接收在所述总线上发送的数据帧;验证步骤,利用数据生成消息认证码,对在通过所述接收步骤接收到的数据帧中附加有该消息认证码这一情况进行验证;以及更新处理步骤,在所述验证步骤中的验证失败了的情况下,进行关于消息认证码的生成所利用的数据的更新处理。由此,在数据帧的发送时赋予MAC的情况下或者在接收数据帧并验证MAC的情况下更新MAC的生成所使用的数据(例如MAC密钥(key)等),因此能够提高对于因发送不正常帧的不正常ECU而引起的对MAC的暴力攻击的车载网络系统的抗攻击性。
[0104]另外,所述不正常应对方法还可以包括如下的应对步骤:在所述验证步骤中的验证失败了的情况下,经由所述总线发送MAC密钥更新请求帧,该MAC密钥更新请求帧表示作为消息认证码的生成所利用的数据的MAC密钥的更新请求,在所述更新处理步骤中,在所述MAC密钥更新请求帧已被发送的情况下,可以通过更新MAC密钥来进行所述更新处理。由此,例如在存在来自不正常的ECU的攻击的可能性等情况下,在与总线连接的各ECU中同步地更新MAC密钥成为可能,能够加大MAC的不正常解读的难度。
[0105]另外,所述消息认证码可以反映计数器的值而生成,所述计数器对附加有消息认证码的数据帧被发送的次数进行计数,所述不正常应对方法还可以包括如下的应对步骤:在所述验证步骤中的验证失败了的情况下,经由所述总线发送计数器复位请求帧,该计数器复位请求帧表示作为消息认证码的生成所利用的数据的计数器的复位请求,在所述更新处理步骤中,在所述计数器复位请求帧已被发送的情况下,可以通过对计数器进行复位来进行所述更新处理。由此,例如在存在来自不正常ECU的攻击的可能性等情况下,在与总线连接的各ECU中同步地复位计数器成为可能,能够加大MAC的不正常解读的困难。
[0106]另外,所述车载网络系统可以具备多条总线,所述多条总线分别属于多个种类的组中的任一组,所述不正常应对方法还可以包括如下的应对步骤:在所述验证步骤中的验证失败了的情况下,所述电子控制单元执行与所述多条总线中的连接有本单元的总线所属的组相关联而预先确定的处理。由此,在发送了不正常数据帧等情况下,能够进行按ECU的组而预先确定的应对。
[0107]另外,所述不正常应对方法还可以包括如下的应对步骤:在关于包含预定消息ID的数据帧的、所述验证步骤中的验证失败的次数超过了预定阈值的情况下,执行与该预定消息ID预先关联的处理。由此,能够在MAC的验证失败了一定次数以上时进行预先确定的应对。
[0108]另外,在所述应对步骤中执行的所述处理,可以是用于对搭载所述车载网络系统的车辆的功能施加一定的抑制而使其成为预先确定的特定状态的控制。由此,在检测到一定次数以上的不正常的情况下进行使车辆的状态成为预先确定的状态的控制,例如能够抑制因不正常E⑶引起的恶劣影响。
[0109]另外,所述不正常应对方法还可以包括如下的不正常ID应对处理步骤:在所述总线上已开始发送的数据帧的消息ID与预定的不正常ID列表所示出的一个以上的消息ID的任一个相同的情况下,在该数据帧的尾端被发送之前发送错误帧,在所述应对步骤中执行的所述处理,可以是向所述不正常ID列表追加所述预定消息ID。由此,在MAC的验证失败了一定次数以上的情况下即使再次进行相同消息ID的不正常帧的发送也会由错误帧覆盖该内容,由此能够抑制因不正常帧引起的不良影响。
[0110]另外,在所述应对步骤中执行的所述处理,可以是向记录介质记录表示所述预定消息ID的日志信息。由此,例如能够保存不正常攻击的证据等。
[0111]另外,在所述消息认证码的生成中可以利用计数器的值以及MAC密钥,所述计数器对附加有消息认证码的数据帧被发送的次数进行计数,所述不正常应对方法还可以包括如下的应对步骤:在使用了利用MAC密钥生成的消息认证码的所述验证步骤中的验证失败了的情况下,在使用利用该MAC密钥更新前的MAC密钥而生成的消息认证码再次进行的验证成功时,经由所述总线发送密钥更新帧,该密钥更新帧表示MAC密钥的更新请求,在所述更新处理步骤中,在所述密钥更新帧已被发送的情况下可以通过更新MAC密钥来进行所述更新处理。由此,例如能够省略计数器值的复位。
[0112]另外,在所述消息认证码的生成中可以利用计数器的值以及MAC密钥,所述计数器对附加有消息认证码的数据帧被发送的次数进行计数,所述不正常应对方法还可以包括如下的应对步骤:在使用了利用MAC密钥生成的消息认证码的所述验证步骤中的验证失败了的情况下,在使用利用该MAC密钥更新前的MAC密钥而生成的消息认证码再次进行的验证也失败时,经由所述总线发送计数器复位帧,该计数器复位帧表示消息认证码的生成所利用的计数器的复位请求,在所述更新处理步骤中,在所述计数器复位帧已被发送的情况下可以通过对计数器进行复位来进行所述更新处理。由此,在需要计数器值的复位的状况下能够进行计数器值的复位。
[0113]另外,本公开的一个技术方案涉及的车载网络系统,具备多个电子控制单元,该多个电子控制单元遵循CAN协议即控制器局域网协议经由总线进行附加有消息认证码即MAC的数据帧的授受,所述车载网络系统具备:第一电子控制单元,其具有保持消息认证码的生成所利用的MAC密钥的MAC密钥保持部,使用该MAC密钥生成消息认证码,附加于数据帧并发送;和第二电子控制单元,其具备保持消息认证码的生成所利用的MAC密钥的MAC密钥保持部,使用该MAC密钥生成消息认证码,接收数据帧并对在该数据帧中附加有该消息认证码这一情况进行验证,所述第一电子控制单元和所述第二电子控制单元分别还具有MAC密钥更新部,该MAC密钥更新部在所述第二电子控制单元的所述验证失败了的情况下,对本单元具有的所述MAC密钥保持部所保持的MAC密钥进行更新。由此,因为更新了 MAC密钥,所以在车载网络系统中能够提高对于因发送不正常帧的不正常ECU而引起的对MAC的暴力攻击的抗攻击性。
[0114]另外,本公开的一个技术方案涉及的不正常检测电子控制单元(不正常检测ECU),与遵循CAN协议即控制器局域网协议进行通信的多个电子控制单元在通信中所使用的总线连接,所述不正常检测电子控制单元具备:帧收发部,其用于从所述总线接收帧并向所述总线发送帧;和不正常MAC检测部,其对在由所述帧收发部接收到的帧中附加有消息认证码即MAC这一情况进行验证,所述帧收发部在由所述不正常MAC检测部进行的所述验证失败了的情况下,发送MAC密钥更新请求帧,该MAC密钥更新请求帧表示消息认证码的生成所利用的MAC密钥的更新请求。由此,与总线连接的ECU接收MAC密钥更新请求帧,由此能够同步地进行MAC密钥的更新。
[0115]此外,这些总括性或具体的技术方案既可以通过系统、方法、集成电路、计算机程序或者计算机可读取的CD-ROM等记录介质来实现,也可以通过系统、方法、集成电路、计算机程序和记录介质的任意组合来实现。
[0116]以下,参照附图对实施方式涉及的包含不正常检测ECU的车载网络系统进行说明。在此所示的实施方式均表示本公开的一个具体例子。因此,以下的实施方式中示出的数值、构成要素、构成要素的配置以及连接方式、步骤(工序)以及步骤的顺序等是一个例子,并不是限定本公开。关于以下的实施方式中的构成要素中的未记载在独立权利要求中的构成要素,是能够任意附加的构成要素。另外,各图是示意图,不一定是严格图示。
[0117](实施方式I)
[0118]以下,作为本公开的实施方式,使用附图对包含不正常检测ECU的车载网络系统10进行说明,所述不正常检测ECU实现用于使用消息ID来检测不正常帧并进行应对的不正常应对方法。
[0119][1.1车载网络系统10的整体构成]
[0120]图1是表