車載網(wǎng)絡系統(tǒng)、不正常檢測電子控制單元以及不正常應對方法
【技術領域】
[0001]本公開涉及檢測在電子控制單元進行通信的車載網(wǎng)絡中發(fā)送的不正常(fraud，非法)幀并進行應對的技術。
【背景技術】
[0002]近年來，在汽車中的系統(tǒng)內(nèi)，配置有許多稱為電子控制單元(E⑶:ElectronicControl Unit)的裝置。連接這些ECU的網(wǎng)絡稱為車載網(wǎng)絡。車載網(wǎng)絡存在多種標準。作為其中最主流的車載網(wǎng)絡之一，存在由ISOl 1898-1規(guī)定的CAN(ControIIer Area Network:控制器局域網(wǎng)絡)這一標準(參照“非專利文獻I” )。
[0003]在CAN中，通信路徑由兩條總線構成，與總線連接的ECU稱為節(jié)點。與總線連接的各節(jié)點收發(fā)被稱為幀的消息。發(fā)送幀的發(fā)送節(jié)點通過在兩條總線上施加電壓，并在總線間產(chǎn)生電位差，從而發(fā)送被稱為隱性(re c e s s i Ve)的“ I”的值和被稱為顯性(dom i nan t)的“O”的值。多個發(fā)送節(jié)點在完全相同的定時發(fā)送了隱性和顯性的情況下，優(yōu)先發(fā)送顯性。接收節(jié)點在接收到的幀的格式存在異常的情況下，發(fā)送被稱為錯誤幀(error frame)的幀。錯誤幀是通過連續(xù)地發(fā)送6比特(bit)的顯性，從而向發(fā)送節(jié)點和/或其他接收節(jié)點通知幀的異常的幀。
[0004]另外，在CAN中不存在指示發(fā)送目的地或發(fā)送源的識別符，發(fā)送節(jié)點在每幀中附加被稱為消息ID的ID并進行發(fā)送(也即是，向總線送出信號)，各接收節(jié)點僅接收預先確定的消息ID(也即是，從總線讀取信號)。另外，采用CSMA/CA(Carrier Sense Multiple Access/Collis1n Avoidance:載波偵聽多址訪問/沖突避免)方式，在多個節(jié)點的同時發(fā)送時，進行利用消息ID的仲裁(調停)，優(yōu)先發(fā)送消息ID的值小的幀。
[0005]此外，在車載網(wǎng)絡中，存在因不正常節(jié)點與總線連接且不正常節(jié)點不正常地發(fā)送幀，從而導致不正常地控制車體的可能性。為了防止這樣的不正常幀的發(fā)送所導致的控制，一般已知有如下技術:在CAN的數(shù)據(jù)域(data field，數(shù)據(jù)段)中附加消息認證碼(MAC:Message Authenticat1n Code)并進行發(fā)送(參照“專利文獻I”)。
[0006]在先技術文獻
[0007]專利文獻
[0008]專利文獻I:日本特開2013-98719號公報
[0009]非專利文獻
[0010]非專利文獻1:CAN Specificat1n 2.0part A, [online] ,CAN in Automat1n(CiA)，[2014年11 月 14 日檢索]，互聯(lián)網(wǎng)(URL:http: //www.can-cia.0rg/f ileadmin/cia/specificat1ns/CAN20A.pdf)
[0011]非專利文獻2:RFC2104HMAC:Keyed_Hashingfor Message Authenticat1n
【發(fā)明內(nèi)容】

[0012]發(fā)明要解決的問題
[0013]然而，由于能夠保存在CAN的數(shù)據(jù)域中的MAC的數(shù)據(jù)長度不能說足夠長，所以會擔心與總線連接的不正常節(jié)點對MAC的暴力攻擊等。
[0014]因此，本公開提供一種用于提高對于對MAC的暴力攻擊的抗攻擊性，并適當?shù)貞獙Σ徽陌l(fā)送的車載網(wǎng)絡系統(tǒng)。另外，本公開提供一種為了在該車載網(wǎng)絡系統(tǒng)中檢測不正常幀的發(fā)送而使用的不正常檢測電子控制單元(不正常檢測ECU)以及用于適當?shù)貞獙Σ徽陌l(fā)送的不正常應對方法。
[0015]用于解決問題的技術方案
[0016]為了解決上述技術問題，本公開的一個技術方案涉及的不正常應對方法是在具備多個電子控制單元的車載網(wǎng)絡系統(tǒng)中使用的方法，所述多個電子控制單元遵循CAN協(xié)議即控制器局域網(wǎng)協(xié)議經(jīng)由總線進行附加有消息認證碼即MAC的數(shù)據(jù)幀的授受，所述不正常應對方法包括:接收步驟，接收在所述總線上發(fā)送的數(shù)據(jù)幀;驗證步驟，利用數(shù)據(jù)生成消息認證碼，對在通過所述接收步驟接收到的數(shù)據(jù)幀中附加有該消息認證碼這一情況進行驗證；以及更新處理步驟，在所述驗證步驟中的驗證失敗了的情況下，進行關于消息認證碼的生成所利用的數(shù)據(jù)的更新處理。
[0017]另外，為了解決上述技術問題，本公開的一個技術方案涉及的車載網(wǎng)絡系統(tǒng)是具備多個電子控制單元的車載網(wǎng)絡系統(tǒng)，所述多個電子控制單元遵循CAN協(xié)議即控制器局域網(wǎng)協(xié)議經(jīng)由總線進行附加有消息認證碼即MAC的數(shù)據(jù)幀的授受，所述車載網(wǎng)絡系統(tǒng)具備:第一電子控制單元，其具有保持消息認證碼的生成所利用的MAC密鑰的MAC密鑰保持部，使用該MAC密鑰來生成消息認證碼，附加于數(shù)據(jù)幀并發(fā)送;和第二電子控制單元，其具備保持消息認證碼的生成所利用的MAC密鑰的MAC密鑰保持部，使用該MAC密鑰來生成消息認證碼，接收數(shù)據(jù)幀并對在該數(shù)據(jù)幀中附加有該消息認證碼這一情況進行驗證，所述第一電子控制單元和所述第二電子控制單元分別還具有MAC密鑰更新部，該MAC密鑰更新部在所述第二電子控制單元中的所述驗證失敗了的情況下，對本單元具有的所述MAC密鑰保持部所保持的MAC密鑰進行更新。
[0018]另外，為了解決上述技術問題，本公開的一個技術方案涉及的不正常檢測電子控制單元，與遵循CAN協(xié)議即控制器局域網(wǎng)協(xié)議進行通信的多個電子控制單元在通信中所使用的總線連接，所述不正常檢測電子控制單元具備:幀收發(fā)部，其用于從所述總線接收幀并向所述總線發(fā)送幀;和不正常MAC檢測部，其對在由所述幀收發(fā)部接收到的幀中附加有消息認證碼即MAC這一情況進行驗證，所述幀收發(fā)部在由所述不正常MAC檢測部進行的所述驗證失敗了的情況下，發(fā)送MAC密鑰更新請求幀，該MAC密鑰更新請求幀表示消息認證碼的生成所利用的MAC密鑰的更新請求。
[0019]發(fā)明的效果
[0020]根據(jù)本公開，能夠提高對于對MAC的暴力攻擊的抗攻擊性，適當?shù)貞獙Σ徽陌l(fā)送。
【附圖說明】
[0021]圖1是表示實施方式I涉及的車載網(wǎng)絡系統(tǒng)的整體構成的圖。
[0022]圖2是表示由CAN協(xié)議規(guī)定的數(shù)據(jù)幀的格式的圖。
[0023]圖3是表示由CAN協(xié)議規(guī)定的錯誤幀的格式的圖。
[0024]圖4是頭單元的構成圖。
[0025]圖5是示出了接收ID列表的一例的圖。
[0026]圖6是網(wǎng)關的構成圖。
[0027]圖7是示出了傳送規(guī)則的一例的圖。
[0028]圖8是實施方式I涉及的ECU的構成圖。
[0029]圖9是示出了接收ID列表的一例的圖。
[0030]圖10是表示從與發(fā)動機連接的E⑶發(fā)送的幀的ID以及數(shù)據(jù)域的一例的圖。
[0031]圖11是表示從與制動器連接的E⑶發(fā)送的幀的ID以及數(shù)據(jù)域的一例的圖。
[0032]圖12是表示從與門開關傳感器連接的E⑶發(fā)送的幀的ID以及數(shù)據(jù)域的一例的圖。
[0033]圖13是表示從與窗開關傳感器連接的E⑶發(fā)送的幀的ID以及數(shù)據(jù)域的一例的圖。
[0034]圖14是實施方式I涉及的不正常檢測ECU的構成圖。
[0035]圖15是示出了不正常檢測ECU所保持的正規(guī)ID列表的一例的圖。
[0036]圖16是示出了不正常檢測ECU所保持的正規(guī)ID列表的一例的圖。
[0037]圖17是表示各個消息ID的不正常檢測計數(shù)器的狀態(tài)的一例的圖。
[0038]圖18是表示實施方式I中的與不正常幀的檢測以及執(zhí)行阻止相關的工作例的時序圖。
[0039]圖19是表示實施方式2涉及的車載網(wǎng)絡系統(tǒng)的整體構成的圖。
[0040]圖20是實施方式2涉及的不正常檢測ECU的構成圖。
[0041]圖21是示出了不正常檢測ECU所保持的數(shù)據(jù)范圍列表的一例的圖。
[0042]圖22是表示實施方式2中的與不正常幀的檢測以及執(zhí)行阻止相關的工作例的時序圖(后接圖23)。
[0043]圖23是表示實施方式2中的與不正常幀的檢測以及執(zhí)行阻止相關的工作例的時序圖(前接圖22)。
[0044]圖24是表示實施方式3涉及的車載網(wǎng)絡系統(tǒng)的整體構成的圖。
[0045]圖25是實施方式3涉及的ECU的構成圖。
[0046]圖26是表示從與發(fā)動機連接的ECU發(fā)送的數(shù)據(jù)幀的ID以及數(shù)據(jù)域的一例的圖。
[0047]圖27是表示從與制動器連接的E⑶發(fā)送的數(shù)據(jù)幀的ID以及數(shù)據(jù)域的一例的圖。
[0048]圖28是表示從與門開關傳感器連接的ECU發(fā)送的數(shù)據(jù)幀的ID以及數(shù)據(jù)域的一例的圖。
[0049]圖29是表示從與窗開關傳感器連接的ECU發(fā)送的數(shù)據(jù)幀的ID以及數(shù)據(jù)域的一例的圖。
[0050]圖30是實施方式3涉及的不正常檢測ECU的構成圖。
[0051]圖31是表示實施方式3涉及的計數(shù)器保持部所保持的各個消息ID的計數(shù)器值的一例的圖。
[0052]圖32是表示實施方式3中的與不正常幀的檢測以及執(zhí)行阻止相關的工作例的時序圖(后接圖33)。
[0053]圖33是表示實施方式3中的與不正常幀的檢測以及執(zhí)行阻止相關的工作例的時序圖(前接圖32)。
[0054]圖34是表示實施方式4涉及的車載網(wǎng)絡系統(tǒng)的整體構成的圖。
[0055]圖35是實施方式4涉及的ECU的構成圖。
[0056]圖36是實施方式4涉及的不正常檢測ECU的構成圖。
[0057]圖37是表示實施方式4涉及的接收ID列表的一例的圖。
[0058]圖38是表示實施方式4涉及的更新幀的一例的圖。
[0059]圖39是表示實施方式4涉及的密鑰表的一例的圖。
[0060]圖40是表示實施方式4涉及的計數(shù)器表的一例的圖。
[0061 ]圖41是表示實施方式4涉及的保護條件表的一例的圖。
[0062]圖42是表不實施方式4涉及的不正常ID列表的一例的圖。
[0063]圖43是表示實施方式4中的不正常幀的檢測、MAC密鑰的更新以及計數(shù)器值的復位等的工作例的時序圖(后接圖44)。
[0064]圖44是表示實施方式4中的不正常幀的檢測、MAC密鑰的更新以及計數(shù)器值的復位等的工作例的時序圖(后接圖45)。
[0065]圖45是表示實施方式4中的不正常幀的檢測、MAC密鑰的更新以及計數(shù)器值的復位等的工作例的時序圖(前接圖44)。
[0066]圖46是表示實施方式4中的保護行為處理的流程圖。
[0067]附圖標記說明
[0068]10、11、12、13車載網(wǎng)絡系統(tǒng)
[0069]100a、100b、2100a、2100b、3100a、3100b、4100a、4100b 不正常檢測電子控制單元
(不正常檢測E⑶)
[0070]110不正常檢測計數(shù)器保持部
[0071]120正規(guī)ID列表保持部
[0072]130、2130不正常幀檢測部
[0073]140、230、320、420、3420 幀生成部
[0074]150、260、350、450、2150、3150、4151 幀解析部
[0075]160、270、360、460 幀收發(fā)部
[0076]200頭單元
[0077]210顯示控制部
[0078]220、410 幀處理部
[0079]240、330、430接收 ID 判斷部
[0080]250、340、440接收ID列表保持部
[0081]300 網(wǎng)關
[0082]310傳送處理部
[0083]370傳送規(guī)則保持部
[0084]400a ?400d、3400a ?3400d、4400a ?4400d 電子控制單元(ECU)
[0085]401發(fā)動機
[0086]402制動器
[0087]403門開關傳感器
[0088]404窗開關傳感器
[0089]470數(shù)據(jù)取得部
[0090]500a ?500c 總線
[0091]2120數(shù)據(jù)范圍列表保持部
[0092]3130、4131不正常MAC檢測部
[0093]3170、3410MAC 生成部
[0094]3180、3430、4180、4430MAC 密鑰保持部
[0095]3190、3440計數(shù)器保持部
[0096]4110、4410MAC 密鑰更新部
[0097]4120、4420計數(shù)器復位部
[0098]4130保護處理部
[0099]4140保護條件保持部
[0100]4150不正常ID列表保持部
[0101]4160不正常日志保持部
[0102]4170模式變更處理部
【具體實施方式】
[0103]本公開的一個技術方案涉及的不正常應對方法，是在具備多個電子控制單元的車載網(wǎng)絡系統(tǒng)中使用的方法，所述多個電子控制單元遵循CAN協(xié)議即控制器局域網(wǎng)協(xié)議經(jīng)由總線進行附加有消息認證碼即MAC的數(shù)據(jù)幀的授受，所述不正常應對方法包括:接收步驟，接收在所述總線上發(fā)送的數(shù)據(jù)幀;驗證步驟，利用數(shù)據(jù)生成消息認證碼，對在通過所述接收步驟接收到的數(shù)據(jù)幀中附加有該消息認證碼這一情況進行驗證；以及更新處理步驟，在所述驗證步驟中的驗證失敗了的情況下，進行關于消息認證碼的生成所利用的數(shù)據(jù)的更新處理。由此，在數(shù)據(jù)幀的發(fā)送時賦予MAC的情況下或者在接收數(shù)據(jù)幀并驗證MAC的情況下更新MAC的生成所使用的數(shù)據(jù)(例如MAC密鑰(key)等)，因此能夠提高對于因發(fā)送不正常幀的不正常ECU而引起的對MAC的暴力攻擊的車載網(wǎng)絡系統(tǒng)的抗攻擊性。
[0104]另外，所述不正常應對方法還可以包括如下的應對步驟:在所述驗證步驟中的驗證失敗了的情況下，經(jīng)由所述總線發(fā)送MAC密鑰更新請求幀，該MAC密鑰更新請求幀表示作為消息認證碼的生成所利用的數(shù)據(jù)的MAC密鑰的更新請求，在所述更新處理步驟中，在所述MAC密鑰更新請求幀已被發(fā)送的情況下，可以通過更新MAC密鑰來進行所述更新處理。由此，例如在存在來自不正常的ECU的攻擊的可能性等情況下，在與總線連接的各ECU中同步地更新MAC密鑰成為可能，能夠加大MAC的不正常解讀的難度。
[0105]另外，所述消息認證碼可以反映計數(shù)器的值而生成，所述計數(shù)器對附加有消息認證碼的數(shù)據(jù)幀被發(fā)送的次數(shù)進行計數(shù)，所述不正常應對方法還可以包括如下的應對步驟:在所述驗證步驟中的驗證失敗了的情況下，經(jīng)由所述總線發(fā)送計數(shù)器復位請求幀，該計數(shù)器復位請求幀表示作為消息認證碼的生成所利用的數(shù)據(jù)的計數(shù)器的復位請求，在所述更新處理步驟中，在所述計數(shù)器復位請求幀已被發(fā)送的情況下，可以通過對計數(shù)器進行復位來進行所述更新處理。由此，例如在存在來自不正常ECU的攻擊的可能性等情況下，在與總線連接的各ECU中同步地復位計數(shù)器成為可能，能夠加大MAC的不正常解讀的困難。
[0106]另外，所述車載網(wǎng)絡系統(tǒng)可以具備多條總線，所述多條總線分別屬于多個種類的組中的任一組，所述不正常應對方法還可以包括如下的應對步驟:在所述驗證步驟中的驗證失敗了的情況下，所述電子控制單元執(zhí)行與所述多條總線中的連接有本單元的總線所屬的組相關聯(lián)而預先確定的處理。由此，在發(fā)送了不正常數(shù)據(jù)幀等情況下，能夠進行按ECU的組而預先確定的應對。
[0107]另外，所述不正常應對方法還可以包括如下的應對步驟:在關于包含預定消息ID的數(shù)據(jù)幀的、所述驗證步驟中的驗證失敗的次數(shù)超過了預定閾值的情況下，執(zhí)行與該預定消息ID預先關聯(lián)的處理。由此，能夠在MAC的驗證失敗了一定次數(shù)以上時進行預先確定的應對。
[0108]另外，在所述應對步驟中執(zhí)行的所述處理，可以是用于對搭載所述車載網(wǎng)絡系統(tǒng)的車輛的功能施加一定的抑制而使其成為預先確定的特定狀態(tài)的控制。由此，在檢測到一定次數(shù)以上的不正常的情況下進行使車輛的狀態(tài)成為預先確定的狀態(tài)的控制，例如能夠抑制因不正常E⑶引起的惡劣影響。
[0109]另外，所述不正常應對方法還可以包括如下的不正常ID應對處理步驟:在所述總線上已開始發(fā)送的數(shù)據(jù)幀的消息ID與預定的不正常ID列表所示出的一個以上的消息ID的任一個相同的情況下，在該數(shù)據(jù)幀的尾端被發(fā)送之前發(fā)送錯誤幀，在所述應對步驟中執(zhí)行的所述處理，可以是向所述不正常ID列表追加所述預定消息ID。由此，在MAC的驗證失敗了一定次數(shù)以上的情況下即使再次進行相同消息ID的不正常幀的發(fā)送也會由錯誤幀覆蓋該內(nèi)容，由此能夠抑制因不正常幀引起的不良影響。
[0110]另外，在所述應對步驟中執(zhí)行的所述處理，可以是向記錄介質記錄表示所述預定消息ID的日志信息。由此，例如能夠保存不正常攻擊的證據(jù)等。
[0111]另外，在所述消息認證碼的生成中可以利用計數(shù)器的值以及MAC密鑰，所述計數(shù)器對附加有消息認證碼的數(shù)據(jù)幀被發(fā)送的次數(shù)進行計數(shù)，所述不正常應對方法還可以包括如下的應對步驟:在使用了利用MAC密鑰生成的消息認證碼的所述驗證步驟中的驗證失敗了的情況下，在使用利用該MAC密鑰更新前的MAC密鑰而生成的消息認證碼再次進行的驗證成功時，經(jīng)由所述總線發(fā)送密鑰更新幀，該密鑰更新幀表示MAC密鑰的更新請求，在所述更新處理步驟中，在所述密鑰更新幀已被發(fā)送的情況下可以通過更新MAC密鑰來進行所述更新處理。由此，例如能夠省略計數(shù)器值的復位。
[0112]另外，在所述消息認證碼的生成中可以利用計數(shù)器的值以及MAC密鑰，所述計數(shù)器對附加有消息認證碼的數(shù)據(jù)幀被發(fā)送的次數(shù)進行計數(shù)，所述不正常應對方法還可以包括如下的應對步驟:在使用了利用MAC密鑰生成的消息認證碼的所述驗證步驟中的驗證失敗了的情況下，在使用利用該MAC密鑰更新前的MAC密鑰而生成的消息認證碼再次進行的驗證也失敗時，經(jīng)由所述總線發(fā)送計數(shù)器復位幀，該計數(shù)器復位幀表示消息認證碼的生成所利用的計數(shù)器的復位請求，在所述更新處理步驟中，在所述計數(shù)器復位幀已被發(fā)送的情況下可以通過對計數(shù)器進行復位來進行所述更新處理。由此，在需要計數(shù)器值的復位的狀況下能夠進行計數(shù)器值的復位。
[0113]另外，本公開的一個技術方案涉及的車載網(wǎng)絡系統(tǒng)，具備多個電子控制單元，該多個電子控制單元遵循CAN協(xié)議即控制器局域網(wǎng)協(xié)議經(jīng)由總線進行附加有消息認證碼即MAC的數(shù)據(jù)幀的授受，所述車載網(wǎng)絡系統(tǒng)具備:第一電子控制單元，其具有保持消息認證碼的生成所利用的MAC密鑰的MAC密鑰保持部，使用該MAC密鑰生成消息認證碼，附加于數(shù)據(jù)幀并發(fā)送;和第二電子控制單元，其具備保持消息認證碼的生成所利用的MAC密鑰的MAC密鑰保持部，使用該MAC密鑰生成消息認證碼，接收數(shù)據(jù)幀并對在該數(shù)據(jù)幀中附加有該消息認證碼這一情況進行驗證，所述第一電子控制單元和所述第二電子控制單元分別還具有MAC密鑰更新部，該MAC密鑰更新部在所述第二電子控制單元的所述驗證失敗了的情況下，對本單元具有的所述MAC密鑰保持部所保持的MAC密鑰進行更新。由此，因為更新了 MAC密鑰，所以在車載網(wǎng)絡系統(tǒng)中能夠提高對于因發(fā)送不正常幀的不正常ECU而引起的對MAC的暴力攻擊的抗攻擊性。
[0114]另外，本公開的一個技術方案涉及的不正常檢測電子控制單元(不正常檢測ECU)，與遵循CAN協(xié)議即控制器局域網(wǎng)協(xié)議進行通信的多個電子控制單元在通信中所使用的總線連接，所述不正常檢測電子控制單元具備:幀收發(fā)部，其用于從所述總線接收幀并向所述總線發(fā)送幀;和不正常MAC檢測部，其對在由所述幀收發(fā)部接收到的幀中附加有消息認證碼即MAC這一情況進行驗證，所述幀收發(fā)部在由所述不正常MAC檢測部進行的所述驗證失敗了的情況下，發(fā)送MAC密鑰更新請求幀，該MAC密鑰更新請求幀表示消息認證碼的生成所利用的MAC密鑰的更新請求。由此，與總線連接的ECU接收MAC密鑰更新請求幀，由此能夠同步地進行MAC密鑰的更新。
[0115]此外，這些總括性或具體的技術方案既可以通過系統(tǒng)、方法、集成電路、計算機程序或者計算機可讀取的CD-ROM等記錄介質來實現(xiàn)，也可以通過系統(tǒng)、方法、集成電路、計算機程序和記錄介質的任意組合來實現(xiàn)。
[0116]以下，參照附圖對實施方式涉及的包含不正常檢測ECU的車載網(wǎng)絡系統(tǒng)進行說明。在此所示的實施方式均表示本公開的一個具體例子。因此，以下的實施方式中示出的數(shù)值、構成要素、構成要素的配置以及連接方式、步驟(工序)以及步驟的順序等是一個例子，并不是限定本公開。關于以下的實施方式中的構成要素中的未記載在獨立權利要求中的構成要素，是能夠任意附加的構成要素。另外，各圖是示意圖，不一定是嚴格圖示。
[0117](實施方式I)
[0118]以下，作為本公開的實施方式，使用附圖對包含不正常檢測ECU的車載網(wǎng)絡系統(tǒng)10進行說明，所述不正常檢測ECU實現(xiàn)用于使用消息ID來檢測不正常幀并進行應對的不正常應對方法。
[0119][1.1車載網(wǎng)絡系統(tǒng)10的整體構成]
[0120]圖1是表