知財求人 - 知財ポータルサイト「IP Force」
▶ ローベルト ボツシユ ゲゼルシヤフト ミツト ベシユレンクテル ハフツングの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6505318
(24)【登録日】2019年4月5日
(45)【発行日】2019年4月24日
(54)【発明の名称】車両の電子制御ユニットへの不正アクセスイベントの通知
(51)【国際特許分類】
G06F 21/55 20130101AFI20190415BHJP
G06F 21/85 20130101ALI20190415BHJP
H04L 9/08 20060101ALI20190415BHJP
H04L 9/32 20060101ALI20190415BHJP
【FI】
G06F21/55
G06F21/85
H04L9/00 601B
H04L9/00 675B
【請求項の数】10
【全頁数】9
(21)【出願番号】特願2018-512967(P2018-512967)
(86)(22)【出願日】2016年8月18日
(65)【公表番号】特表2018-528700(P2018-528700A)
(43)【公表日】2018年9月27日
(86)【国際出願番号】EP2016069598
(87)【国際公開番号】WO2017042012
(87)【国際公開日】20170316
【審査請求日】2018年3月9日
(31)【優先権主張番号】62/216,458
(32)【優先日】2015年9月10日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】390023711
【氏名又は名称】ローベルト ボツシユ ゲゼルシヤフト ミツト ベシユレンクテル ハフツング
【氏名又は名称原語表記】ROBERT BOSCH GMBH
(74)【代理人】
【識別番号】100114890
【弁理士】
【氏名又は名称】アインゼル・フェリックス=ラインハルト
(74)【代理人】
【識別番号】100098501
【弁理士】
【氏名又は名称】森田 拓
(74)【代理人】
【識別番号】100116403
【弁理士】
【氏名又は名称】前川 純一
(74)【代理人】
【識別番号】100135633
【弁理士】
【氏名又は名称】二宮 浩康
(74)【代理人】
【識別番号】100162880
【弁理士】
【氏名又は名称】上島 類
(72)【発明者】
【氏名】アンキット シャー
(72)【発明者】
【氏名】アンソニー ファレル
(72)【発明者】
【氏名】カール ドレーゼン
【審査官】
平井 誠
(56)【参考文献】
【文献】
特開2013−131907(JP,A)
【文献】
特開2012−104049(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/85
G06F 21/55
H04L 9/08
H04L 9/32
(57)【特許請求の範囲】
【請求項1】
それぞれが車両システムを制御し、かつ、車両の外部からアクセス可能なパブリックコントローラエリアネットワーク(CAN)に接続されている、車両の電子制御ユニット(ECU)を保護する方法において、
当該方法は、
第1のECUへのアクセスの試みを検出することと、
前記第1のECUへのアクセスの試みが不正な試みであるか否かを特定することと、
プライベートコントローラエリアネットワーク(CAN)を使用して、前記不正な試みに関する通知メッセージを第2のECUに伝送することと、
を含む、方法。
当該方法は、
第1のECUへのアクセスの試みを検出することと、
前記第1のECUへのアクセスの試みが不正な試みであるか否かを特定することと、
プライベートコントローラエリアネットワーク(CAN)を使用して、前記不正な試みに関する通知メッセージを第2のECUに伝送することと、
を含む、方法。
【請求項2】
前記伝送は、前記第1のECUを一意に識別する識別コードを、前記通知メッセージに組み込むこと、を含む、
請求項1に記載の方法。
請求項1に記載の方法。
【請求項3】
暗号化されたハッキング通知鍵(HNK)を、前記第1のECU及び前記第2のECUに記憶することをさらに含み、
前記伝送は、前記暗号化されたHNKを、前記プライベートCANを使用して、前記第2のECUに伝送することを含む、
請求項1に記載の方法。
前記伝送は、前記暗号化されたHNKを、前記プライベートCANを使用して、前記第2のECUに伝送することを含む、
請求項1に記載の方法。
【請求項4】
不正なアクセスの試みに関連付けられた不正アクセスイベント鍵を暗号化することをさらに含み、
前記伝送は、暗号化された前記不正アクセスイベント鍵を、前記プライベートCANを使用して、前記第2のECUに伝送することを含む、
請求項1に記載の方法。
前記伝送は、暗号化された前記不正アクセスイベント鍵を、前記プライベートCANを使用して、前記第2のECUに伝送することを含む、
請求項1に記載の方法。
【請求項5】
前記特定は、
乱数を生成することと、
前記乱数を、前記アクセスを試みるデバイスに、前記パブリックCANを使用して伝送することと、
前記デバイスからの応答を復号することと、
復号された前記応答を、正しい値と比較し、前記応答は権限が与えられた応答であることを特定することと、
を含む、
請求項1に記載の方法。
乱数を生成することと、
前記乱数を、前記アクセスを試みるデバイスに、前記パブリックCANを使用して伝送することと、
前記デバイスからの応答を復号することと、
復号された前記応答を、正しい値と比較し、前記応答は権限が与えられた応答であることを特定することと、
を含む、
請求項1に記載の方法。
【請求項6】
それぞれが車両システムを制御し、かつ、車両の外部からアクセス可能なパブリックコントローラエリアネットワーク(CAN)に接続されている、車両の電子制御ユニット(ECU)を保護するシステムにおいて、
当該システムは、
暗号化されたハッキング通知鍵を記憶する第1の記憶装置を含み、かつ、第1の車両システムを制御する第1のECUと、
暗号化されたハッキング通知鍵を記憶する第2の記憶装置を含み、かつ、第2の車両システムを制御する第2のECUと、
前記第1のECUと前記第2のECUとを相互接続する、閉じられたプライベートコントローラエリアネットワーク(CAN)と、
を備えており、
前記第1のECUは、当該第1のECUが、前記パブリックCANを介する自身へのアクセスの不正な試みを検出した場合に、前記プライベートCANにおいて、前記第2のECUに警告メッセージを伝送するように構成されている、
システム。
当該システムは、
暗号化されたハッキング通知鍵を記憶する第1の記憶装置を含み、かつ、第1の車両システムを制御する第1のECUと、
暗号化されたハッキング通知鍵を記憶する第2の記憶装置を含み、かつ、第2の車両システムを制御する第2のECUと、
前記第1のECUと前記第2のECUとを相互接続する、閉じられたプライベートコントローラエリアネットワーク(CAN)と、
を備えており、
前記第1のECUは、当該第1のECUが、前記パブリックCANを介する自身へのアクセスの不正な試みを検出した場合に、前記プライベートCANにおいて、前記第2のECUに警告メッセージを伝送するように構成されている、
システム。
【請求項7】
前記第1のECUは、前記パブリックCANにおいて前記第1のECUへのアクセスの取得を試みている外部の装置に対して、乱数を生成する乱数発生器をさらに含む、
請求項6に記載のシステム。
請求項6に記載のシステム。
【請求項8】
前記第1のECUは、前記外部の装置から受信したメッセージを復号する復号装置をさらに含む、
請求項7に記載のシステム。
請求項7に記載のシステム。
【請求項9】
前記第1のECUは、当該第1のECUから送信されるメッセージを暗号化し、かつ、当該第1のECUによって受信されたメッセージを復号するように構成されている暗号化装置をさらに含む、
請求項6に記載のシステム。
請求項6に記載のシステム。
【請求項10】
前記第1のECUは、前記警告メッセージを用いて、前記第2のECUに一意の識別コードを伝送するように構成されている、
請求項9に記載のシステム。
請求項9に記載のシステム。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願本非仮出願は、2015年9月10日に出願された、米国仮出願第62/216,458号の優先権を主張するものであり、その開示内容全体は、参照により本願に組み込まれる。
【0002】
本発明の実施の形態は、車両のセキュリティシステムの分野に関する。
【背景技術】
【0003】
概要車両の電子制御ユニット(ECU:Electronic Control Unit)は、不正アクセスされる可能性があり、又は、そのアクティビティが改竄される可能性がある。そのような不正アクセスの結果、いくつかの車両システムが制御不能になる可能性があり、そのような車両システムには、制動システム及び操舵システムのような緊要なシステムが含まれる。特定のECUは、そのようなアクセスを阻止することができるが、しかしながら、不正アクセス又はアクティビティの改竄の試みを他のECUに通知することは有用であると考えられる。本発明によって、ECUは、不正アクセスイベントに関して、1つ又は複数の他のECUと通信することができる。
【発明の概要】
【課題を解決するための手段】
【0004】
1つの実施の形態においては、本発明は、不正アクセスイベントを他のECUと通信する方法を提供する。この方法は、ルータ又はゲートウェイを含んでいないプライベートコントローラエリアネットワーク(CAN:Controller Area Network)を用いた、ECU間における通信を含む。このプライベートCANは、少なくとも、最も緊要な、能動的及び受動的なセーフティモジュールを、例えば、操舵システム、制動システム及びエアバッグをネットワーク化する。ECU間における通信は、イベントベースのCANメッセージ送信に利用される。プライベートCANは、既存のパブリックCANに付加的に動作する。また、本方法は、ECU間における、不正アクセスイベント鍵と、不正アクセスイベントの通知のためにのみ使用されるハッキング通知鍵と、の共有を含む。
【0005】
別の実施の形態は、不正アクセスイベントを他のECUと通信するように構成されているシステムを提供する。このシステムは、ECU、プライベートCAN、ハッキング通知鍵、少なくとも1つのプロセッサ、及び、少なくとも1つの物理的なコンピュータ記憶媒体を含む。少なくとも1つの物理的なコンピュータ記憶媒体は、記憶されている実行可能な命令を含み、この命令は、少なくとも1つのプロセッサによって実行されると、少なくとも1つのプロセッサに、プライベートCAN上の他のECUに不正アクセスイベントを通信するオペレーションを実行させる。このオペレーションは、ルータ又はゲートウェイを含んでいないプライベートコントローラエリアネットワーク(CAN)を用いた、ECU間での通信を含む。ECU間の通信は、イベントベースのCANメッセージ送信に利用される。プライベートCANは、既存のパブリックCANに付加的に動作する。また、この動作は、ECU間での、不正アクセスイベント鍵及びハッキング通知鍵の共有も含み、ハッキング通知鍵は、不正アクセスイベントの通知のためにのみ使用される。
【0006】
本発明に係る方法は、記憶されている命令を含む、少なくとも1つの物理的なコンピュータ記憶媒体を含む。記憶されている命令は、実行されると、プライベートCAN上の他のECUに不正アクセスイベントを通信するためのオペレーションを実行させる。このオペレーションは、ルータ又はゲートウェイを含んでいない(即ち、ピア・ツー・ピア・ネットワークにおける)プライベートコントローラエリアネットワーク(CAN)を用いた、ECU間での通信を含む。ECU間の通信は、イベントベースのCANメッセージ送信に利用される。プライベートCANは、既存のパブリックCANに付加的に動作する。また、この動作は、ECU間での、不正アクセスイベント鍵及びハッキング通知鍵の共有も含み、ハッキング通知鍵は、不正アクセスイベントの通知のためにのみ使用される。
【発明を実施するための形態】
【0008】
詳細な説明本発明の各実施の形態の詳細な説明に先立ち、本発明は、下記に説明されている又は添付の図面に図示したコンポーネントの構造及び構成の細部に対して適用されることに限定されるものではないと理解されたい。本発明の他の実施の形態も考えられ、また、実践することができ、又は、本発明を種々の手法で実施することができる。
【0009】
即ち、本明細書において使用される語句及び用語は説明を目的としたものであって、制限を課すものとみなされるべきではないと理解されたい。本明細書における「含む」、「備えている」又は「有している」及びそれらの変化形の使用は、下記に挙げるアイテム及びそれらのアイテムと等価のアイテム、並びに、付加的なアイテムを包含していることを意味している。「取り付けられている」、「接続されている」及び「結合されている」という語句は、広範に使用されており、また、直接的な取付け、接続及び結合も、間接的な取付け、接続及び結合も包含している。さらに「接続された」及び「結合された」は、物理的又は機械的な接続又は結合に限定されておらず、直接的であるか間接的であるかは問わず、電気的な接続又は結合も含むと考えられる。また、電子的な通信及び通知を、有線式のコネクション、無線式のコネクション等を含む公知のいずれかの手段を使用して実施することができる。
【0010】
また、ハードウェア及びソフトウェアをベースとする複数の装置、並びに、構造が異なる複数のコンポーネントを、本発明を実施するために使用することができることも言及しておく。さらに、本発明の複数の実施の形態は、ハードウェア、ソフトウェア、及び、複数の電子コンポーネント又は電子モジュールを含むことができるが、それらは検討のために、大部分があたかもハードウェアにおいてのみ実施されているように図示及び説明されている場合もあることを理解されたい。もっとも当業者であれば、この詳細な説明を読むことによって、少なくとも1つの実施の形態においては、本発明の電子ベースの態様を、1つ又は複数のプロセッサによって実行可能な(例えば、非一時的なコンピュータ可読媒体に記憶されている)ソフトウェアとして実施することができることが分かる。そのようにして、ハードウェア及びソフトウェアをベースとする複数の装置、並びに、構造が異なる複数のコンポーネントを、本発明を実施するために利用することができることを言及しておく。例えば、本明細書に記載されている「コントロールユニット」及び「コントローラ」は、標準的な処理コンポーネント、例えば1つ又は複数のプロセッサ、非一時的なコンピュータ可読媒体を含む1つ又は複数のメモリモジュール、1つ又は複数の入力/出力インタフェース、及び、コンポーネント同士を接続する種々のコネクション(例えばシステムバス)を含むことができる。
【0011】
図1は、本発明のいくつかの実施の形態による、シャシシステム制御部、又は、不正アクセスの試みを通知するシステムの図である。さらに、図1における車両10は、複数の車輪20を有している。車両10は、パブリックコントローラエリアネットワーク30(以下では「パブリックCAN」と記す)を含み、このパブリックCAN30によって、車両の電子制御式システムの電子制御ユニット(ECU)が相互接続され又はネットワーク化される。パブリックCAN30は、中央コントローラ40を含むことができ、この中央コントローラ40は、パブリックCAN30上のトラフィックを制御する。パブリックCAN30のための物理的なバスの代わりに、いくつかの実施の形態においては、無線式の暗号化ネットワークが使用される。
【0012】
本発明に係るシステムは、パブリックCAN30の他に、プライベートCAN160も含む。下記において述べるように、プライベートCAN160は、車両システムがパブリックCAN30又はその他の手段を介して攻撃されたときに、ECU間でメッセージを交換するために使用される。
【0013】
図1において、プライベートCAN160は、車両の電子制御ユニット又はモジュール、例えば伝送制御モジュール(TCM:Transmission Control Module)100、電力制御モジュール(PCM:Power Control Module)105、ドライバアシスタンスシステムモジュール(DASM:Driver Assistance System Module)110、及び、横滑り防止装置(ESP:Electronic Stability Program)115のうちの少なくともいくつかをネットワーク化する。プライベートCAN160は、いくつかの実施の形態においては物理的なバスを使用し、別の実施の形態においては無線ネットワークを使用する。各モジュールは、一意の即ち固有ID120a,120b,120c及び120dをそれぞれ含み、それらの固有IDは、対応するモジュールに関連付けられており、また、メッセージの送信元であるモジュールを識別するために他のモジュールによって使用される。各モジュール100,105,110及び115は、それぞれ1つの第1の鍵125a,125b,125c及び125dと、それぞれ1つの第2の鍵130a,130b,130c及び130dと、ハッキング通知鍵135と、を含む、記憶された鍵を有している。ただし、記憶された鍵に含まれるものは、上記のものに限定されるものではない。ハッキング通知鍵135は、内部ECUプライベート通信のために割り当てられた固有の共通の秘密鍵である。ハッキング通知鍵135は、不揮発性メモリに存在している。この共通の専用鍵を使用することによって、受信側のECUには、不正アクセスイベントである通信の特定の根拠と、標的になったECUである、メッセージの送信元と、が通知される。このハッキング通知鍵135は、相手先ブランド製造業者(OEM:Original Equipment Manufacturer)によって選択されており、また、関係するすべてのECUモジュールにおいて整合されており又は記憶されている。ハッカーは、ECUへのアクセスを試みるために、又は、アクセスを得るために多数の鍵を使用すると考えられる。失敗に終わった大量の鍵を、標的になったECU及び標的にならなかったECUによって記憶することができる。
【0014】
また、各モジュール100,105,110及び115は、真性乱数発生器(TRNG:True Random Number Generator)140a,140b,140c及び140dと、AES−128アルゴリズム又は他の暗号化エンジン145a,145b,145c及び145dと、をそれぞれ1つずつ含む。各AES−128エンジンは、外部のモジュール(例えば検査モジュール又は診断モジュール)からの通信要求を受信する、対応する各通知復号器147a,147b,147c及び147dと通信する。
【0015】
すべてのモジュール100,105,110及び115は、パブリックCAN30を介して通信し、また、それらのモジュールは、プライベートCAN160を介してもネットワーク化されている。閉じられたネットワークの外部からプライベートCAN160にアクセスすることはできないので、このプライベートCAN160は、直接的な外部の影響を受けずに、ECU間のアクセスがセキュアであるという特有の利点を提供する。プライベートCANには、自己診断ポート(例えばOBD2ポート)又は無線信号を介してアクセスすることはできない。プライベートCAN160は、ゲートウェイ又はルータを含んでいない、重要な能動的/受動的なセーフティモジュール間のリンクであり(即ち、それらのモジュールはピア・ツー・ピアネットワークで接続されている)、それによって、サイバ攻撃及び他の不正アクセスイベントに対するよりセキュアなアーキテクチャが提供される。ロバストで暗号化された無線ネットワークを使用することができるが、プライベートCAN160は、有利には、ECUとオプションとしてのコントローラ162との間を接続する物理的な電気伝導体又はケーブルから成る。プライベートCAN160上のトラフィックは、有利には、付加的なセキュリティのために暗号化される。
【0016】
ECUの起動、ソフトウェアフラッシュメモリ及びランタイムオペレーションに関して、ソフトウェア/ハードウェアのセキュリティ機能は、プライベートCAN160のコンフィギュレーションのようなセキュリティシステム機能へのアクセスを提供する前に、アクセス要求者の真正性を検証する。認証が失敗した場合、要求者は、セキュリティ機能へのアクセスが許可されない。
【0017】
プライベートCANを介してネットワークに接続されているECUへの、例えばESPモジュール115へのアクセスが試みられた場合、そのモジュールは、パブリックCANを介してアクセスを得ようと試みている外部のモジュール(例えば外部のテスタ又は権限が与えられていないユニット)に権限が与えられることを保証することになる。外部のモジュールに権限を与えるために、ESPモジュール115は、自身の乱数発生器140dに、乱数を含むパケットを、パブリックCANを介して外部のモジュールに送信させる。外部のモジュールは、公開鍵/秘密鍵ペアの秘密鍵を用いて乱数を暗号化し、結果をESPモジュール115に送信することを要求する。ESPモジュール115は、続いて、外部のモジュールの真正性を検証するために復号器147を使用して、自身の固有の公開鍵を用いて、受信したパケットを復号する。受信したメッセージの復号が成功し、かつ、乱数が一致する場合には、外部のモジュールには、パブリックCANを使用する権限が与えられ、また、他のECUに対して、その外部のモジュールを通知するための警告は送信されない。
【0018】
復号が成功しなかった場合には(即ち、秘密鍵及び/又は乱数が期待される秘密鍵及び乱数と一致しない場合には)、外部のモジュールからの要求は不正なものであったということになる。この不正アクセスイベントは、ハッキング又は改竄の試みであった可能性がある。イベントベースのCANメッセージ通知は、標的になったモジュール又はコントローラ162から、プライベートCAN160上の他のECUに対して、ECUのうちの1つに不正アクセスイベントの試みがあったことをそれらの他のECUに通知するために送信される。(被害モジュール又はソースモジュールに依存する)特別な固有識別コード(ID)120a,120b,120c又は120dを有するCANメッセージは、被害ECUによって、標的になる可能性がある他のECUに対して、共通のハッキング通知鍵の記憶されている暗号化されたバージョンを用いて生成される。プライベートCANメッセージを用いて、被害ECUはまた、不正アクセスイベント鍵(無効な鍵)を暗号化して、暗号化された不正アクセスイベント鍵(無効な鍵)を後続のメッセージにおいて、プライベートCANネットワーク上の他のECUと共有する。すべてのECUには、不正な要求又は最初の攻撃が同時に通知される。このようにして、標的にならなかったECUには、それらの各ECUに到来するリクエストを監視するために、プライベートCAN160を介して警告及び通報が行われる。パブリックCAN30を介する外部のモジュールの不正なリクエストを、特定の1つ又は複数のECUに限定することができるが、しかしながら、パブリックCAN又はその他の手段を介して、ECUからECUに拡散されない。この方法によって、各ECUが相互的に学習を行い、それによって、より信頼性の高い安定した車両レベルのサイバセキュリティシステムが形成される。
【0019】
本発明のいくつかの実施の形態においては、相手先ブランド製造業者(OEM:Original Equipment Manufacturer)は、プライベートCAN160に関する車両レベルのアーキテクチャガイドライン、例示的なモジュール100,105,110及び115それぞれのためのイベントベースのCAN固有ID120a,120b,120c及び120d、共通のハッキング通知鍵135、並びに、プライベートCANでネットワーク化されたECU間の通知方法論を提供する。種々のECUの供給業者は、それらECUの各ハードウェアセキュリティモジュール(HSM:Hardware Security Module)が、OEMガイドラインと協調し、かつ、そのOEMガイドラインに準拠し、これによって、それらの1つ又は複数のECUへの場合によっては起こり得る侵入に関する他のECUへの通知の要求が実現されることを保証する。別の実施の形態においては、セキュリティハードウェア拡張(SHE:Security Hardware Extension)又は信頼済みプラットフォームモジュール(TPM:Trusted Platform Module)が、ハードウェアセキュリティモジュールの代わりに使用される。関係するECUは、暗号化及び復号を実行するために、サイバセキュリティ用のハードウェア又はソフトウェアのメカニズムも有していなければならない。
【0020】
いくつかの実施の形態においては、上述のプライベートCAN160が、少なくとも1つのプロセッサ又はコントローラ162を使用して制御される。パブリックCAN30は、1つ又は複数のコントローラ40を有することができる。コントローラ162及びコントローラ40はそれぞれ、1つ又は複数の処理ユニット(例えば、プロセッサ、特定用途向け集積回路(「ASIC」)等)、少なくとも1つの不揮発性のコンピュータ可読媒体を含む1つ又は複数のメモリモジュール、及び、1つ又は複数の入力/出力インタフェースを含むことができる。コントローラは、入力/出力インタフェースを使用して、コントローラ外部の1つ又は複数のセンサ又はシステムとの間で(例えば、車両通信バス、例えばCANバス又はCANワイヤレスネットワークを介して)情報を送受信する。いくつかの実施の形態においては、コントローラが、1つ又は複数の内部センサ又はシステムを含むこともできる。
【0021】
本発明の種々の特徴及び利点は、添付の特許請求の範囲に記載されている。
【図1】