通信方法
【課題】簡素な構成にて、よりセキュリティレベルの高い通信方法を提供すること。
【解決手段】ECUは、テスタから乱数要求を受信すると、乱数αを生成するとともに、その応答時間Δt1をランダムに設定する(ステップ102)。一方、テスタは、その乱数αの応答時間Δt2を測定し(ステップ101〜ステップ104)、この測定された応答時間Δt2を、上記応答により共有された乱数αに基づき演算された要求側鍵情報S2とともにECUに送信する。そして、ECUは、認証側鍵情報S1と要求側鍵情報S2とが一致し(ステップ108:YES)、且つ応答時間Δt2と応答時間Δt1との差が所定の閾値β以下である場合(|Δt1−Δt2|≦β、ステップ109:YES)には、テスタを「正規のテスタ」であると判定する(ステップ110)。
【解決手段】ECUは、テスタから乱数要求を受信すると、乱数αを生成するとともに、その応答時間Δt1をランダムに設定する(ステップ102)。一方、テスタは、その乱数αの応答時間Δt2を測定し(ステップ101〜ステップ104)、この測定された応答時間Δt2を、上記応答により共有された乱数αに基づき演算された要求側鍵情報S2とともにECUに送信する。そして、ECUは、認証側鍵情報S1と要求側鍵情報S2とが一致し(ステップ108:YES)、且つ応答時間Δt2と応答時間Δt1との差が所定の閾値β以下である場合(|Δt1−Δt2|≦β、ステップ109:YES)には、テスタを「正規のテスタ」であると判定する(ステップ110)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、乱数要求に対する応答により認証側と要求側との間で共有された乱数に基づく鍵情報を照合することにより正規の通信要求であるか否かを判定する通信方法に関するものである。
【背景技術】
【0002】
従来、車両においては、多岐にわたる電子制御化が進められており、その主体たる電子制御装置(ECU)もまた増加の一途を辿っている。そのため、近年では、車内ネットワーク(LAN:Local Area Network或いはCAN:Control Area Network等)を用いて複数の電子制御装置を共通の制御線上に接続することにより、その配線の複雑化を回避するとともに、これら複数のECUによる統合的な制御を可能としたものが増えている(例えば、非特許文献1参照)。
【0003】
ところで、こうした車内ネットワークには、専用のテスタを用いた通信により、迅速なる故障診断、或いはソフトウェア仕様更新のためのパラメータの書き込み及びリプログラミング等を容易に行うことができるという特徴がある。しかしながら、車両のECUにおけるソフトウェアの変更は、車両の安全性及び信頼性に直接的に関わるものであり、過誤等による誤った(或いは不正な)変更は当然に容認されるべきものではない。そのため、車内ネットワークに接続されたECUとテスタとの間の通信では、テスタからの乱数要求に対してECUが応答することにより、テスタ側とECU側とで一の乱数を共有し、ECUは、この乱数に基づき該ECU側及びテスタ側において個別に生成された二つの鍵情報を照合する。そして、その照合により該テスタが正規のテスタであると判定した場合には、その後の通信を許可するようになっている。
【非特許文献1】「新車内通信システムの開発」,三菱自動車テクニカルレビュー,2004,No.16
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、こうした通信プロトコルは、基本的に、その車内ネットワークシステムに応じた規格に従ったものである(例えば「KWP2000 on CAN」等)。従って、上記共有した乱数から鍵情報を生成する演算方法を取得し、その規格に順ずる通信プロトコルを有するものさえ用いれば、当該ECUに対応した正規のテスタではない汎用ツール等であっても「正規のテスタ」と認識させることが可能である。このため、過誤や不正アクセスによる誤ったソフトウェアの変更がなされる可能性は否定できず、この点において、なお改善の余地を残すものとなっていた。
【0005】
本発明は、上記問題点を解決するためになされたものであって、その目的は、簡素な構成にて、よりセキュリティレベルの高い通信方法を提供することにある。
【課題を解決するための手段】
【0006】
上記問題点を解決するために、請求項1に記載の発明は、車内ネットワークを介して接続された電子制御装置とテスタとの通信方法であって、前記電子制御装置は、前記テスタの乱数要求に対する応答時間をランダムに設定するとともにその応答時間を記憶し、該応答により共有された乱数に基づき生成した認証側鍵情報と前記テスタ側において生成されたテスタ側鍵情報とを照合するとともに、前記記憶された応答時間と前記テスタ側において計測された応答時間とを照合することにより、前記テスタが正規のテスタであるか否かを判定すること、を要旨とする。
【0007】
上記構成によれば、時間的要素を加えることで、過誤或いは不正なアクセスを効果的に防止して、誤ったソフトウェアの変更による不具合の発生を防ぐことができる。また、一般的な組み込みOS及び汎用の通信ドライバが実装されている場合、乱数要求・送信時にコールされる関数があることから、そのコールタイミングにより応答時間を計測することが可能である。従って、僅かなソフトウェアの変更で実現可能であり、簡素な構成にて、よりセキュリティレベルの高い通信システムを構築することができる。
【発明の効果】
【0008】
本発明によれば、簡素な構成にて、よりセキュリティレベルの高い通信方法を提供することができる。
【発明を実施するための最良の形態】
【0009】
以下、本発明を具体化した一実施形態を図面に従って説明する。
図1に示すように、本実施形態の車両1は、各種のアクチュエータ2(2a〜2c)と、これらの作動をそれぞれ制御する複数の電子制御装置(ECU)3(3a〜3c)とを備えており、これら各アクチュエータ2及びECU3は、共通の車内ネットワーク(CAN:Control Area Network)4を介して接続されている。また、車内ネットワーク4には、コネクタ5が設けられており、該コネクタ5には、同車内ネットワーク4の通信プロトコルを用いて対応するECU3と通信可能なテスタ6が接続可能となっている。そして、このテスタ6により、各アクチュエータ2及びECU3の故障診断、並びにECU3についてのパラメータの書き込み及びリプログラミング等を行うことができるようになっている。
【0010】
(通信開始時の認証方法)
次に、各ECUとテスタとの通信開始時の認証方法について説明する。
例えば、テスタ6とECU3(3a)との通信開始時、本実施形態では、図2のフローチャートに示すように、先ず、要求側であるテスタ6が、ECU3(3a)に対して乱数要求(Seed要求)を行うとともに、その応答時間Δt2の計測を開始する(ステップ101)。
【0011】
次に、認証側となるECU3(3a)は、その乱数要求に応じて乱数αを生成するとともに、その応答時間Δt1をランダムに設定し(ステップ102)、該応答時間Δt1の経過を待ってテスタ6に上記乱数αを送信する(ステップ103)。そして、テスタ6は、この乱数αの受信をもって上記計測中の応答時間Δt2を確定する(ステップ104)。尚、上記応答時間Δt1は、タイムオーバーが発生しない範囲に設定されることはいうまでもない。
【0012】
次に、上記ステップ101〜ステップ104における乱数αの要求・応答により、テスタ6とECU3(3a)とで一の乱数αが共有されると、テスタ6及びECU3(3a)は、それぞれ、この乱数αに基づく認証側鍵情報S1及び要求側鍵情報S2を演算する(ステップ105,106)。尚、このステップ105,106における認証側鍵情報S1及び要求側鍵情報S2の演算は、ECU3(3a)側及びテスタ6側において、それぞれ個別に行われるものであるが、その演算内容は同一である。従って、テスタ6が「正規のテスタ」であるならば、これら認証側鍵情報S1及び要求側鍵情報S2は互いに一致することになる。そして、本実施形態では、テスタ6は、この上記ステップ106において演算された要求側鍵情報S2を、上記計測した応答時間Δt2とともに、ECU3(3a)に送信する(ステップ107)。
【0013】
次に、ECU3(3a)は、認証側鍵情報S1と要求側鍵情報S2とを照合、即ち互いに一致するか否かを判定し(ステップ108)、一致する場合(S1=S2、ステップ108:YES)には、続いて、テスタ6側において計測された応答時間Δt2と、自らが設定した応答時間Δt1とを照合する(ステップ109)。尚、本実施形態では、このステップ109における「照合」は、計測された応答時間Δt2と応答時間Δt1との差が所定の閾値β以内であるか否かにより行われる。そして、ECU3(3a)は、その差が所定の閾値β以内であると判定した場合(|Δt1−Δt2|≦β、ステップ109:YES)には、テスタ6が「正規のテスタ」であると認証し、以降の通信を許可する(ステップ110)。
【0014】
一方、上記ステップ108において、認証側鍵情報S1と要求側鍵情報S2とが互いに一致しない場合(ステップ108:NO)、又は上記ステップ109において、応答時間Δt2と応答時間Δt1との差が所定の閾値βを超える場合(|Δt1−Δt2|>β、ステップ109:NO)には、ECU3(3a)は、テスタ6が「正規のテスタ」ではないと判定し、以降の通信を拒否する(ステップ111)。そして、ECU3(3a)は、上記ステップ110又はステップ111の判定結果をテスタ6へと送信する(ステップ112)。
【0015】
以上、本実施形態によれば、時間的要素を加えることで、過誤或いは不正なアクセスを効果的に防止して、誤ったソフトウェアの変更による不具合の発生を防ぐことができる。また、一般的な組み込みOS及び汎用の通信ドライバが実装されている場合、乱数要求・送信時にコールされる関数があることから、そのコールタイミングにより応答時間Δt2を計測することが可能である。従って、僅かなソフトウェアの変更で実現可能であり、簡素な構成にて、よりセキュリティレベルの高い通信システムを構築することができる。
【0016】
なお、本実施形態は以下のように変更してもよい。
・本実施形態では、本発明を車内ネットワーク4にCANを用いた構成に具体化したが、車内LANを用いた構成に具体化してもよい。そして、更らには、車内ネットワークに限らず、一般的なネットワーク通信に適用してもよい。
【0017】
次に、以上の実施形態から把握することのできる請求項以外の技術的思想を記載する。
(付記1)乱数要求に対する応答時間をランダムに設定するとともにその応答時間を記憶し、該応答により共有された乱数に基づき生成した認証側鍵情報と要求側において生成された要求側鍵情報とを照合するとともに、前記記憶された応答時間と前記要求側において計測された応答時間とを照合することにより、正規の通信要求であるか否かを判定する通信方法。
【図面の簡単な説明】
【0018】
【図1】車両の通信システムを示す概略構成図。
【図2】通信開始時の認証手順を示すフローチャート。
【符号の説明】
【0019】
1…車両、2(2a〜2c)…アクチュエータ、3(3a〜3c)…電子制御装置(ECU)、4…車内ネットワーク、5…コネクタ、6…テスタ、α…乱数、Δt1,Δt2…応答時間、S1…認証側鍵情報、S2…要求側鍵情報、β…閾値。
【技術分野】
【0001】
本発明は、乱数要求に対する応答により認証側と要求側との間で共有された乱数に基づく鍵情報を照合することにより正規の通信要求であるか否かを判定する通信方法に関するものである。
【背景技術】
【0002】
従来、車両においては、多岐にわたる電子制御化が進められており、その主体たる電子制御装置(ECU)もまた増加の一途を辿っている。そのため、近年では、車内ネットワーク(LAN:Local Area Network或いはCAN:Control Area Network等)を用いて複数の電子制御装置を共通の制御線上に接続することにより、その配線の複雑化を回避するとともに、これら複数のECUによる統合的な制御を可能としたものが増えている(例えば、非特許文献1参照)。
【0003】
ところで、こうした車内ネットワークには、専用のテスタを用いた通信により、迅速なる故障診断、或いはソフトウェア仕様更新のためのパラメータの書き込み及びリプログラミング等を容易に行うことができるという特徴がある。しかしながら、車両のECUにおけるソフトウェアの変更は、車両の安全性及び信頼性に直接的に関わるものであり、過誤等による誤った(或いは不正な)変更は当然に容認されるべきものではない。そのため、車内ネットワークに接続されたECUとテスタとの間の通信では、テスタからの乱数要求に対してECUが応答することにより、テスタ側とECU側とで一の乱数を共有し、ECUは、この乱数に基づき該ECU側及びテスタ側において個別に生成された二つの鍵情報を照合する。そして、その照合により該テスタが正規のテスタであると判定した場合には、その後の通信を許可するようになっている。
【非特許文献1】「新車内通信システムの開発」,三菱自動車テクニカルレビュー,2004,No.16
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、こうした通信プロトコルは、基本的に、その車内ネットワークシステムに応じた規格に従ったものである(例えば「KWP2000 on CAN」等)。従って、上記共有した乱数から鍵情報を生成する演算方法を取得し、その規格に順ずる通信プロトコルを有するものさえ用いれば、当該ECUに対応した正規のテスタではない汎用ツール等であっても「正規のテスタ」と認識させることが可能である。このため、過誤や不正アクセスによる誤ったソフトウェアの変更がなされる可能性は否定できず、この点において、なお改善の余地を残すものとなっていた。
【0005】
本発明は、上記問題点を解決するためになされたものであって、その目的は、簡素な構成にて、よりセキュリティレベルの高い通信方法を提供することにある。
【課題を解決するための手段】
【0006】
上記問題点を解決するために、請求項1に記載の発明は、車内ネットワークを介して接続された電子制御装置とテスタとの通信方法であって、前記電子制御装置は、前記テスタの乱数要求に対する応答時間をランダムに設定するとともにその応答時間を記憶し、該応答により共有された乱数に基づき生成した認証側鍵情報と前記テスタ側において生成されたテスタ側鍵情報とを照合するとともに、前記記憶された応答時間と前記テスタ側において計測された応答時間とを照合することにより、前記テスタが正規のテスタであるか否かを判定すること、を要旨とする。
【0007】
上記構成によれば、時間的要素を加えることで、過誤或いは不正なアクセスを効果的に防止して、誤ったソフトウェアの変更による不具合の発生を防ぐことができる。また、一般的な組み込みOS及び汎用の通信ドライバが実装されている場合、乱数要求・送信時にコールされる関数があることから、そのコールタイミングにより応答時間を計測することが可能である。従って、僅かなソフトウェアの変更で実現可能であり、簡素な構成にて、よりセキュリティレベルの高い通信システムを構築することができる。
【発明の効果】
【0008】
本発明によれば、簡素な構成にて、よりセキュリティレベルの高い通信方法を提供することができる。
【発明を実施するための最良の形態】
【0009】
以下、本発明を具体化した一実施形態を図面に従って説明する。
図1に示すように、本実施形態の車両1は、各種のアクチュエータ2(2a〜2c)と、これらの作動をそれぞれ制御する複数の電子制御装置(ECU)3(3a〜3c)とを備えており、これら各アクチュエータ2及びECU3は、共通の車内ネットワーク(CAN:Control Area Network)4を介して接続されている。また、車内ネットワーク4には、コネクタ5が設けられており、該コネクタ5には、同車内ネットワーク4の通信プロトコルを用いて対応するECU3と通信可能なテスタ6が接続可能となっている。そして、このテスタ6により、各アクチュエータ2及びECU3の故障診断、並びにECU3についてのパラメータの書き込み及びリプログラミング等を行うことができるようになっている。
【0010】
(通信開始時の認証方法)
次に、各ECUとテスタとの通信開始時の認証方法について説明する。
例えば、テスタ6とECU3(3a)との通信開始時、本実施形態では、図2のフローチャートに示すように、先ず、要求側であるテスタ6が、ECU3(3a)に対して乱数要求(Seed要求)を行うとともに、その応答時間Δt2の計測を開始する(ステップ101)。
【0011】
次に、認証側となるECU3(3a)は、その乱数要求に応じて乱数αを生成するとともに、その応答時間Δt1をランダムに設定し(ステップ102)、該応答時間Δt1の経過を待ってテスタ6に上記乱数αを送信する(ステップ103)。そして、テスタ6は、この乱数αの受信をもって上記計測中の応答時間Δt2を確定する(ステップ104)。尚、上記応答時間Δt1は、タイムオーバーが発生しない範囲に設定されることはいうまでもない。
【0012】
次に、上記ステップ101〜ステップ104における乱数αの要求・応答により、テスタ6とECU3(3a)とで一の乱数αが共有されると、テスタ6及びECU3(3a)は、それぞれ、この乱数αに基づく認証側鍵情報S1及び要求側鍵情報S2を演算する(ステップ105,106)。尚、このステップ105,106における認証側鍵情報S1及び要求側鍵情報S2の演算は、ECU3(3a)側及びテスタ6側において、それぞれ個別に行われるものであるが、その演算内容は同一である。従って、テスタ6が「正規のテスタ」であるならば、これら認証側鍵情報S1及び要求側鍵情報S2は互いに一致することになる。そして、本実施形態では、テスタ6は、この上記ステップ106において演算された要求側鍵情報S2を、上記計測した応答時間Δt2とともに、ECU3(3a)に送信する(ステップ107)。
【0013】
次に、ECU3(3a)は、認証側鍵情報S1と要求側鍵情報S2とを照合、即ち互いに一致するか否かを判定し(ステップ108)、一致する場合(S1=S2、ステップ108:YES)には、続いて、テスタ6側において計測された応答時間Δt2と、自らが設定した応答時間Δt1とを照合する(ステップ109)。尚、本実施形態では、このステップ109における「照合」は、計測された応答時間Δt2と応答時間Δt1との差が所定の閾値β以内であるか否かにより行われる。そして、ECU3(3a)は、その差が所定の閾値β以内であると判定した場合(|Δt1−Δt2|≦β、ステップ109:YES)には、テスタ6が「正規のテスタ」であると認証し、以降の通信を許可する(ステップ110)。
【0014】
一方、上記ステップ108において、認証側鍵情報S1と要求側鍵情報S2とが互いに一致しない場合(ステップ108:NO)、又は上記ステップ109において、応答時間Δt2と応答時間Δt1との差が所定の閾値βを超える場合(|Δt1−Δt2|>β、ステップ109:NO)には、ECU3(3a)は、テスタ6が「正規のテスタ」ではないと判定し、以降の通信を拒否する(ステップ111)。そして、ECU3(3a)は、上記ステップ110又はステップ111の判定結果をテスタ6へと送信する(ステップ112)。
【0015】
以上、本実施形態によれば、時間的要素を加えることで、過誤或いは不正なアクセスを効果的に防止して、誤ったソフトウェアの変更による不具合の発生を防ぐことができる。また、一般的な組み込みOS及び汎用の通信ドライバが実装されている場合、乱数要求・送信時にコールされる関数があることから、そのコールタイミングにより応答時間Δt2を計測することが可能である。従って、僅かなソフトウェアの変更で実現可能であり、簡素な構成にて、よりセキュリティレベルの高い通信システムを構築することができる。
【0016】
なお、本実施形態は以下のように変更してもよい。
・本実施形態では、本発明を車内ネットワーク4にCANを用いた構成に具体化したが、車内LANを用いた構成に具体化してもよい。そして、更らには、車内ネットワークに限らず、一般的なネットワーク通信に適用してもよい。
【0017】
次に、以上の実施形態から把握することのできる請求項以外の技術的思想を記載する。
(付記1)乱数要求に対する応答時間をランダムに設定するとともにその応答時間を記憶し、該応答により共有された乱数に基づき生成した認証側鍵情報と要求側において生成された要求側鍵情報とを照合するとともに、前記記憶された応答時間と前記要求側において計測された応答時間とを照合することにより、正規の通信要求であるか否かを判定する通信方法。
【図面の簡単な説明】
【0018】
【図1】車両の通信システムを示す概略構成図。
【図2】通信開始時の認証手順を示すフローチャート。
【符号の説明】
【0019】
1…車両、2(2a〜2c)…アクチュエータ、3(3a〜3c)…電子制御装置(ECU)、4…車内ネットワーク、5…コネクタ、6…テスタ、α…乱数、Δt1,Δt2…応答時間、S1…認証側鍵情報、S2…要求側鍵情報、β…閾値。
【特許請求の範囲】
【請求項1】
車内ネットワークを介して接続された電子制御装置とテスタとの通信方法であって、
前記電子制御装置は、前記テスタの乱数要求に対する応答時間をランダムに設定するとともにその応答時間を記憶し、該応答により共有された乱数に基づき生成した認証側鍵情報と前記テスタ側において生成されたテスタ側鍵情報とを照合するとともに、前記記憶された応答時間と前記テスタ側において計測された応答時間とを照合することにより、前記テスタが正規のテスタであるか否かを判定すること、を特徴とする通信方法。
【請求項1】
車内ネットワークを介して接続された電子制御装置とテスタとの通信方法であって、
前記電子制御装置は、前記テスタの乱数要求に対する応答時間をランダムに設定するとともにその応答時間を記憶し、該応答により共有された乱数に基づき生成した認証側鍵情報と前記テスタ側において生成されたテスタ側鍵情報とを照合するとともに、前記記憶された応答時間と前記テスタ側において計測された応答時間とを照合することにより、前記テスタが正規のテスタであるか否かを判定すること、を特徴とする通信方法。
【図1】
【図2】
【図2】
【公開番号】特開2007−153021(P2007−153021A)
【公開日】平成19年6月21日(2007.6.21)
【国際特許分類】
【出願番号】特願2005−348147(P2005−348147)
【出願日】平成17年12月1日(2005.12.1)
【出願人】(000001247)株式会社ジェイテクト (7,053)
【Fターム(参考)】
【公開日】平成19年6月21日(2007.6.21)
【国際特許分類】
【出願日】平成17年12月1日(2005.12.1)
【出願人】(000001247)株式会社ジェイテクト (7,053)
【Fターム(参考)】
[ Back to top ]