本公開涉及進(jìn)行與車載網(wǎng)絡(luò)系統(tǒng)等供電子控制單元進(jìn)行通信的電子控制系統(tǒng)的安全性(抗攻擊性等)有關(guān)的評(píng)價(jià)的技術(shù)。
背景技術(shù):
近年來,在汽車中配置有許多電子控制單元(ecu:electroniccontrolunit)。連接ecu的車載網(wǎng)絡(luò)例如使用由iso11898-1規(guī)定的can(controllerareanetwork:控制器局域網(wǎng))標(biāo)準(zhǔn)等。
在can中,通信路徑是由兩條線構(gòu)成的總線,與總線連接的ecu稱為節(jié)點(diǎn)。與總線連接的各節(jié)點(diǎn)收發(fā)被稱為幀的消息(message)。發(fā)送幀的發(fā)送節(jié)點(diǎn)通過在兩條總線上施加電壓、并在總線間產(chǎn)生電位差,從而發(fā)送被稱為隱性(recessive)的值“1”和被稱為顯性(dominant)的值“0”。多個(gè)發(fā)送節(jié)點(diǎn)在完全相同的時(shí)刻(timing)發(fā)送了隱性和顯性的情況下,優(yōu)先發(fā)送顯性。接收節(jié)點(diǎn)在接收到的幀的格式存在異常的情況下,發(fā)送被稱為錯(cuò)誤幀(errorframe)的幀。錯(cuò)誤幀是通過連續(xù)地發(fā)送6比特(bit)的顯性,從而向發(fā)送節(jié)點(diǎn)和/或其他接收節(jié)點(diǎn)通知幀的異常的幀。
作為對(duì)車載網(wǎng)絡(luò)的攻擊,已知如下那樣的攻擊:攻擊者通過無線通信對(duì)車內(nèi)的信息終端進(jìn)行訪問,非法地改寫信息終端的程序并從該信息終端向車載網(wǎng)絡(luò)發(fā)送任意的can消息,違背駕駛員意圖地控制與車載ecu連接的致動(dòng)器。面向汽車的駕駛自動(dòng)化等,如果車載ecu自身成為搭載v2x(車車間通信(v2v:vehicletovehicle)以及路車間通信(v2i:vehicletoinfrastructure))等無線通信功能的狀況,則與信息終端同樣地,與v2x對(duì)應(yīng)的ecu的程序可能會(huì)被非法地改寫并用于攻擊。
關(guān)于攻擊對(duì)策的評(píng)價(jià)方法,雖然目前研究尚少,但例如在非專利文獻(xiàn)1中公開了通過向單個(gè)車載ecu發(fā)送數(shù)據(jù)并關(guān)注其響應(yīng)來發(fā)現(xiàn)不良情況(因編程錯(cuò)誤導(dǎo)致的缺陷(bug)的混入等)的模糊測(cè)試(fuzzing)方法。
現(xiàn)有技術(shù)文獻(xiàn)
非專利文獻(xiàn)
非專利文獻(xiàn)1:松本勉、小林優(yōu)希、土屋遊、吉田直樹、森田伸義、萱島信,「車載ecuに対するcan経由のファジング手法」,scis2015,2015年1月20日
技術(shù)實(shí)現(xiàn)要素:
本公開的一技術(shù)方案所涉及的評(píng)價(jià)裝置是與構(gòu)成電子控制系統(tǒng)的多個(gè)電子控制單元進(jìn)行通信所使用的總線連接、并進(jìn)行與該電子控制系統(tǒng)的安全性有關(guān)的評(píng)價(jià)的評(píng)價(jià)裝置,所述評(píng)價(jià)裝置具備:發(fā)送部,其將包含使所述總線上的幀無效化的無效化幀在內(nèi)的一個(gè)以上的攻擊用幀發(fā)送到所述總線;監(jiān)視部,其對(duì)所述多個(gè)電子控制單元中的一個(gè)以上的電子控制單元進(jìn)行監(jiān)視;以及評(píng)價(jià)部,其基于由所述發(fā)送部將所述攻擊用幀發(fā)送到所述總線時(shí)的所述監(jiān)視部的監(jiān)視結(jié)果來進(jìn)行所述評(píng)價(jià)。
另外,本公開的一技術(shù)方案所涉及的評(píng)價(jià)系統(tǒng)是進(jìn)行與具備經(jīng)由總線進(jìn)行通信的多個(gè)電子控制單元的電子控制系統(tǒng)的安全性有關(guān)的評(píng)價(jià)的評(píng)價(jià)系統(tǒng),所述評(píng)價(jià)系統(tǒng)具備:發(fā)送部,其將包含使所述總線上的幀無效化的無效化幀在內(nèi)的一個(gè)以上的攻擊用幀發(fā)送到所述總線;監(jiān)視部,其對(duì)所述多個(gè)電子控制單元中的一個(gè)以上的電子控制單元進(jìn)行監(jiān)視;以及評(píng)價(jià)部,其基于由所述發(fā)送部將所述攻擊用幀發(fā)送到所述總線時(shí)的所述監(jiān)視部的監(jiān)視結(jié)果來進(jìn)行所述評(píng)價(jià)。
另外,本公開的一技術(shù)方案所涉及的評(píng)價(jià)方法是進(jìn)行與具備經(jīng)由總線進(jìn)行通信的多個(gè)電子控制單元的電子控制系統(tǒng)的安全性有關(guān)的評(píng)價(jià)的評(píng)價(jià)方法,所述評(píng)價(jià)方法包括:將包含使所述總線上的幀無效化的無效化幀在內(nèi)的一個(gè)以上的攻擊用幀發(fā)送到所述總線;在所述攻擊用幀被發(fā)送到所述總線時(shí),對(duì)所述多個(gè)電子控制單元中的一個(gè)以上的電子控制單元進(jìn)行監(jiān)視;基于所述監(jiān)視的監(jiān)視結(jié)果來進(jìn)行所述評(píng)價(jià)。
根據(jù)本公開,能夠?qū)Πǘ鄠€(gè)ecu的電子控制系統(tǒng)的抗攻擊性(對(duì)電子控制系統(tǒng)實(shí)施的安全對(duì)策技術(shù)是否能夠適當(dāng)?shù)胤烙舻?進(jìn)行評(píng)價(jià)。
附圖說明
圖1是表示實(shí)施方式涉及的評(píng)價(jià)系統(tǒng)的概略結(jié)構(gòu)的構(gòu)成圖。
圖2是評(píng)價(jià)系統(tǒng)中的評(píng)價(jià)裝置的構(gòu)成圖。
圖3是評(píng)價(jià)對(duì)象的電子控制系統(tǒng)中的改寫實(shí)施ecu的構(gòu)成圖。
圖4是評(píng)價(jià)對(duì)象的電子控制系統(tǒng)中的被改寫ecu的構(gòu)成圖。
圖5是評(píng)價(jià)對(duì)象的電子控制系統(tǒng)中的安全ecu的構(gòu)成圖。
圖6是表示評(píng)價(jià)裝置的保持部所保持的攻擊過程信息的一例的圖。
圖7是表示評(píng)價(jià)裝置的保持部所保持的攻擊過程信息的另一例的圖。
圖8是表示電子控制系統(tǒng)中的軟件的更新所涉及的工作例的時(shí)序圖。
圖9是表示評(píng)價(jià)系統(tǒng)的工作例1的時(shí)序圖。
圖10是表示評(píng)價(jià)系統(tǒng)的工作例1的時(shí)序圖。
圖11是表示評(píng)價(jià)系統(tǒng)的工作例2的時(shí)序圖。
圖12是表示評(píng)價(jià)系統(tǒng)的工作例2的時(shí)序圖。
圖13是表示評(píng)價(jià)系統(tǒng)的工作例3的時(shí)序圖。
圖14是表示評(píng)價(jià)系統(tǒng)的工作例3的時(shí)序圖。
圖15是表示評(píng)價(jià)系統(tǒng)的工作例4的時(shí)序圖。
圖16是表示評(píng)價(jià)系統(tǒng)的工作例4的時(shí)序圖。
圖17是表示評(píng)價(jià)系統(tǒng)的工作例5的時(shí)序圖。
圖18是表示評(píng)價(jià)系統(tǒng)的工作例5的時(shí)序圖。
具體實(shí)施方式
(成為本發(fā)明的基礎(chǔ)的見解)
對(duì)于非專利文獻(xiàn)1的方法,即使能夠發(fā)現(xiàn)單個(gè)車載ecu的不良情況,也不能將由形成車載網(wǎng)絡(luò)的多個(gè)ecu構(gòu)成的系統(tǒng)(電子控制系統(tǒng))作為評(píng)價(jià)對(duì)象來進(jìn)行與安全性(對(duì)評(píng)價(jià)對(duì)象實(shí)施的安全對(duì)策技術(shù)是否能夠適當(dāng)?shù)胤烙暨@一抗攻擊性等)有關(guān)的評(píng)價(jià)。
因此,本公開提供一種能夠?qū)ǘ鄠€(gè)ecu的電子控制系統(tǒng)作為評(píng)價(jià)對(duì)象來進(jìn)行與安全性有關(guān)的評(píng)價(jià)的評(píng)價(jià)裝置。另外,本公開提供一種能夠進(jìn)行與包括多個(gè)ecu的電子控制系統(tǒng)的安全性有關(guān)的評(píng)價(jià)的評(píng)價(jià)系統(tǒng)以及用于該評(píng)價(jià)的評(píng)價(jià)方法。
本公開的一技術(shù)方案所涉及的評(píng)價(jià)裝置與構(gòu)成電子控制系統(tǒng)的多個(gè)電子控制單元進(jìn)行通信所使用的總線連接,進(jìn)行與該電子控制系統(tǒng)的安全性有關(guān)的評(píng)價(jià),所述評(píng)價(jià)裝置具備:發(fā)送部,其將包含使所述總線上的幀無效化的無效化幀在內(nèi)的一個(gè)以上的攻擊用幀發(fā)送到所述總線;監(jiān)視部,其對(duì)所述多個(gè)電子控制單元中的一個(gè)以上的電子控制單元進(jìn)行監(jiān)視;以及評(píng)價(jià)部,其基于由所述發(fā)送部將所述攻擊用幀發(fā)送到所述總線時(shí)的所述監(jiān)視部的監(jiān)視結(jié)果來進(jìn)行所述評(píng)價(jià)。監(jiān)視部可以在由發(fā)送部將攻擊用幀(例如can的數(shù)據(jù)幀、錯(cuò)誤幀等)發(fā)送到總線時(shí)(例如,剛發(fā)送后或者從即將發(fā)送前到剛發(fā)送后),直接或間接地對(duì)電子控制單元(ecu)進(jìn)行監(jiān)視。由此,能夠?qū)ǘ鄠€(gè)ecu的電子控制系統(tǒng)作為評(píng)價(jià)對(duì)象來進(jìn)行對(duì)基于幀的發(fā)送的向ecu的攻擊的防御功能等這樣的安全功能(抗攻擊性等)的評(píng)價(jià)。
另外,例如也可以為:所述多個(gè)電子控制單元遵循can協(xié)議即控制器局域網(wǎng)協(xié)議經(jīng)由所述總線進(jìn)行通信,所述無效化幀是錯(cuò)誤幀。由此,能夠使得針對(duì)用于在ecu間進(jìn)行幀的授受的遵循can的網(wǎng)絡(luò)中的通過包含錯(cuò)誤幀的攻擊用幀的發(fā)送而進(jìn)行的攻擊的安全功能的評(píng)價(jià)成為可能。
另外,例如也可以為:所述評(píng)價(jià)裝置還具備保持部,所述保持部對(duì)表示攻擊用的多個(gè)幀的內(nèi)容以及發(fā)送順序的攻擊過程信息進(jìn)行保持,所述發(fā)送部按照所述攻擊過程信息所表示的發(fā)送順序?qū)⑺龉粲玫亩鄠€(gè)幀發(fā)送到所述總線。由此,能給使得針對(duì)按多個(gè)幀的發(fā)送順序等確定的攻擊方法的防御功能等的評(píng)價(jià)成為可能。
另外,例如也可以為:所述評(píng)價(jià)裝置具備從所述總線接收幀的接收部,所述攻擊過程信息示出繼錯(cuò)誤幀之后發(fā)送具備預(yù)定id的攻擊用幀,所述發(fā)送部在所述接收部從所述總線接收到具有所述預(yù)定id的幀時(shí)發(fā)送所述錯(cuò)誤幀。由此,例如,能夠使得針對(duì)冒充在電子控制系統(tǒng)中作為具有預(yù)定id的幀的發(fā)送源而規(guī)定的ecu來進(jìn)行攻擊的攻擊方法的安全功能的評(píng)價(jià)成為可能。
另外,例如也可以為:所述攻擊過程信息還示出關(guān)于攻擊用的所述多個(gè)幀的發(fā)送間隔,所述發(fā)送部按照所述攻擊過程信息所表示的發(fā)送順序以及發(fā)送間隔將所述多個(gè)幀發(fā)送到所述總線。由此,能夠使得針對(duì)由多個(gè)幀的發(fā)送順序以及發(fā)送間隔確定的攻擊方法的防御功能等的評(píng)價(jià)成為可能。
另外,例如也可以為:所述發(fā)送部在錯(cuò)誤幀的發(fā)送后,發(fā)送具有與由該錯(cuò)誤幀無效化了的幀相同的id且內(nèi)容不同的攻擊用幀。由此,例如,能夠通過使用由錯(cuò)誤幀對(duì)在電子控制系統(tǒng)中被發(fā)送到總線的幀進(jìn)行無效化并發(fā)送使內(nèi)容的一部分變更后的幀這一能夠相對(duì)容易實(shí)施的攻擊方法來使得高效的安全功能的評(píng)價(jià)成為可能。
另外,例如也可以為:所述發(fā)送部在錯(cuò)誤幀的發(fā)送后,發(fā)送具有更新用id的攻擊用幀,所述更新用id是在所述電子控制系統(tǒng)中為了所述多個(gè)電子控制單元的某個(gè)電子控制單元的軟件的更新處理而預(yù)先確定的id,所述監(jiān)視部對(duì)具有與具有所述更新用id的幀的接收相應(yīng)地進(jìn)行所述保持的軟件的更新處理的功能的電子控制單元或者發(fā)送具有所述更新用id的幀的電子控制單元進(jìn)行所述監(jiān)視。軟件的更新處理既可以是更新本身,也可以是更新的前處理或后處理這樣的為了適當(dāng)?shù)母露M(jìn)行的附帶處理等,還可以包含兩方。由此,例如,能夠使得針對(duì)作為用于攻擊者支配電子控制系統(tǒng)的一部分ecu的一種攻擊的、與ecu的固件等這樣的軟件的更新相關(guān)聯(lián)的攻擊的電子控制系統(tǒng)的安全功能的評(píng)價(jià)成為可能。
另外,例如也可以為:所述監(jiān)視部通過檢測(cè)由所述發(fā)送部向所述總線發(fā)送了攻擊用幀的情況下的所述多個(gè)電子控制單元中的一個(gè)電子控制單元的動(dòng)作是否與預(yù)定動(dòng)作一致,從而進(jìn)行所述監(jiān)視,所述評(píng)價(jià)部以根據(jù)由所述發(fā)送部向所述總線發(fā)送了所述攻擊用幀之后的所述監(jiān)視部的所述檢測(cè)的結(jié)果而評(píng)價(jià)結(jié)果不同的方式進(jìn)行所述評(píng)價(jià)。預(yù)定動(dòng)作可以是攻擊成功的情況下所預(yù)測(cè)(期待)的ecu的動(dòng)作、攻擊失敗的情況下所預(yù)測(cè)的ecu的動(dòng)作、接收到正規(guī)幀的情況下的ecu的通常動(dòng)作等。由此,能夠使得電子控制系統(tǒng)的安全功能的適當(dāng)評(píng)價(jià)成為可能。
另外,例如也可以為:所述評(píng)價(jià)裝置具備從所述總線接收幀的接收部,所述監(jiān)視部進(jìn)行是否由所述接收部接收到特定幀的檢測(cè)來作為對(duì)所述電子控制單元的所述監(jiān)視,所述評(píng)價(jià)部以根據(jù)在由所述發(fā)送部向所述總線發(fā)送了所述攻擊用幀之后的一定期間內(nèi)是否由所述監(jiān)視部檢測(cè)出接收到所述特定幀這一情況而評(píng)價(jià)結(jié)果不同的方式進(jìn)行所述評(píng)價(jià)。特定幀例如是預(yù)測(cè)(期待)為在攻擊成功的情況或者失敗的情況下發(fā)送的幀,例如能夠通過由電子控制系統(tǒng)規(guī)定的幀的id來識(shí)別。由此,即使不依賴于例如與ecu直接通信等,也能夠通過總線的監(jiān)視來適當(dāng)?shù)卦u(píng)價(jià)電子控制系統(tǒng)。
另外,例如也可以為:所述評(píng)價(jià)部將表示所述電子控制系統(tǒng)是否具有抗攻擊性的信息作為評(píng)價(jià)結(jié)果進(jìn)行輸出。由此,例如,評(píng)價(jià)裝置的利用者等能夠獲知電子控制系統(tǒng)是否具有抗攻擊性。
另外,本公開的一技術(shù)方案所涉及的評(píng)價(jià)系統(tǒng),進(jìn)行與具備經(jīng)由總線進(jìn)行通信的多個(gè)電子控制單元的電子控制系統(tǒng)的安全性有關(guān)的評(píng)價(jià),所述評(píng)價(jià)系統(tǒng)具備:發(fā)送部,其將包含使所述總線上的幀無效化的無效化幀在內(nèi)的一個(gè)以上的攻擊用幀發(fā)送到所述總線;監(jiān)視部,其對(duì)所述多個(gè)電子控制單元中的一個(gè)以上的電子控制單元進(jìn)行監(jiān)視;以及評(píng)價(jià)部,其基于由所述發(fā)送部將所述攻擊用幀發(fā)送到所述總線時(shí)的所述監(jiān)視部的監(jiān)視結(jié)果來進(jìn)行所述評(píng)價(jià)。由此,能夠使得應(yīng)對(duì)包括多個(gè)ecu的電子控制系統(tǒng)中的通過向ecu發(fā)送幀而進(jìn)行的攻擊的防御功能等這樣的安全功能的評(píng)價(jià)成為可能。
另外,本公開的一技術(shù)方案所涉及的評(píng)價(jià)方法,進(jìn)行與具備經(jīng)由總線進(jìn)行通信的多個(gè)電子控制單元的電子控制系統(tǒng)的安全性有關(guān)的評(píng)價(jià),所述評(píng)價(jià)方法包括:將包含使所述總線上的幀無效化的無效化幀在內(nèi)的一個(gè)以上的攻擊用幀發(fā)送到所述總線;在所述攻擊用幀被發(fā)送到所述總線時(shí),對(duì)所述多個(gè)電子控制單元中的一個(gè)以上的電子控制單元進(jìn)行監(jiān)視;基于所述監(jiān)視的監(jiān)視結(jié)果來進(jìn)行所述評(píng)價(jià)。由此,能夠使得將包括多個(gè)ecu的電子控制系統(tǒng)作為評(píng)價(jià)對(duì)象來評(píng)價(jià)應(yīng)對(duì)通過因幀的發(fā)送而進(jìn)行的攻擊的防御功能等這樣的安全功能成為可能。
此外,這些總括性或者具體的技術(shù)方案既可以通過系統(tǒng)、方法、集成電路、計(jì)算機(jī)程序或者計(jì)算機(jī)可讀取的cd-rom等記錄介質(zhì)來實(shí)現(xiàn),也可以通過系統(tǒng)、方法、集成電路、計(jì)算機(jī)程序和記錄介質(zhì)的任意組合來實(shí)現(xiàn)。
以下,參照附圖對(duì)實(shí)施方式涉及的評(píng)價(jià)系統(tǒng)進(jìn)行說明。在此所示的施方式都表示本公開的一個(gè)具體例子。因此,以下的實(shí)施方式中示出的數(shù)值、構(gòu)成要素、構(gòu)成要素的配置以及連接形式、步驟(工序)以及步驟的順序等是一例,并非限定本公開。關(guān)于以下的實(shí)施方式中的構(gòu)成要素中的未記載在獨(dú)立權(quán)利要求中的構(gòu)成要素,是能夠任意附加的構(gòu)成要素。另外,各圖是示意圖,不一定嚴(yán)格圖示。
(實(shí)施方式1)
以下,對(duì)進(jìn)行與搭載于汽車(車輛)并包括經(jīng)由總線進(jìn)行通信的多個(gè)電子控制單元(ecu)而構(gòu)成的車載網(wǎng)絡(luò)系統(tǒng)(電子控制系統(tǒng))的安全性有關(guān)的評(píng)價(jià)的評(píng)價(jià)裝置、評(píng)價(jià)方法以及包括電子控制系統(tǒng)和評(píng)價(jià)裝置的評(píng)價(jià)系統(tǒng)進(jìn)行說明。
[1.1評(píng)價(jià)系統(tǒng)10的結(jié)構(gòu)]
圖1是表示評(píng)價(jià)系統(tǒng)10的概略結(jié)構(gòu)的構(gòu)成圖。如該圖所示,評(píng)價(jià)系統(tǒng)10構(gòu)成為包括評(píng)價(jià)裝置101和電子控制系統(tǒng)11。評(píng)價(jià)系統(tǒng)10將電子控制系統(tǒng)11作為評(píng)價(jià)對(duì)象,對(duì)電子控制系統(tǒng)11的抗攻擊性(對(duì)攻擊進(jìn)行防御的安全對(duì)策技術(shù)是否適當(dāng)?shù)匕l(fā)揮作用等)進(jìn)行評(píng)價(jià)。
電子控制系統(tǒng)11是車載網(wǎng)絡(luò)系統(tǒng),具備車載網(wǎng)絡(luò),該車載網(wǎng)絡(luò)與車輛內(nèi)的控制裝置、傳感器、致動(dòng)器(例如能夠進(jìn)行電子控制的轉(zhuǎn)向機(jī)構(gòu)、加速器、制動(dòng)器等)、用戶接口裝置等各種設(shè)備連接,包括經(jīng)由車內(nèi)的總線(can總線)進(jìn)行幀的收發(fā)的多個(gè)電子控制單元(ecu)而構(gòu)成。在電子控制系統(tǒng)11中,各ecu對(duì)幀進(jìn)行授受并進(jìn)行協(xié)作,由此實(shí)現(xiàn)例如作為先進(jìn)駕駛員輔助系統(tǒng)(adas:advanceddriverassistancesystem)的一個(gè)功能的停車輔助功能、車道維持輔助功能、防撞輔助功能等功能。各ecu通過軟件進(jìn)行控制,ecu的軟件能夠通過包括某種幀經(jīng)由can總線進(jìn)行授受在內(nèi)的過程來進(jìn)行改寫(更新)。
在車內(nèi)可能會(huì)包括許多ecu等,但在此為了便于說明,作為一例,以電子控制系統(tǒng)11如圖1所示具備改寫實(shí)施ecu102、被改寫ecu103以及安全ecu104來進(jìn)行說明。此外,各ecu遵循以can總線20為通信線路的can標(biāo)準(zhǔn)(協(xié)議)進(jìn)行通信。在can中用于數(shù)據(jù)傳輸?shù)膸磾?shù)據(jù)幀(也稱為can消息)被規(guī)定為包含保存id(消息id)的id域、保存數(shù)據(jù)的數(shù)據(jù)域等。
改寫實(shí)施ecu102連接于can總線20,是具有將用于對(duì)被改寫ecu103的軟件進(jìn)行更新處理的can消息(數(shù)據(jù)幀)即更新用幀發(fā)送給can總線20的功能(改寫實(shí)施功能)的ecu。更新用幀是具有在電子控制系統(tǒng)11中為了軟件的更新處理而預(yù)先確定的更新用id來作為消息id的幀。作為更新用幀,例如有分別表示改寫模式轉(zhuǎn)換指示、認(rèn)證密鑰、存儲(chǔ)器擦除命令、更新軟件(作為更新用程序的更新軟件)、更新軟件署名(對(duì)更新軟件的數(shù)字署名)、再啟動(dòng)指示的幀等。改寫實(shí)施ecu102例如是具有將更新用軟件從外部取入電子控制系統(tǒng)11內(nèi)的功能的ecu。作為具體例子,改寫實(shí)施ecu102是具有車載導(dǎo)航功能的ecu、具有與車輛外部進(jìn)行通信的外部通信功能的ecu、具有從所安裝的記錄介質(zhì)讀取數(shù)據(jù)的功能的ecu、與診斷端口連接的診斷工具(故障診斷工具)等。診斷端口是車載網(wǎng)絡(luò)(can總線)中的用于與例如obd2(on-boarddiagnostics2)等這樣的診斷工具等進(jìn)行通信的接口。
被改寫ecu103連接于can總線20,是具有通過更新用幀的接收來更新本ecu(被改寫ecu103)中的軟件的功能(被改寫功能)的ecu。被改寫ecu103例如可以是控制致動(dòng)器(例如轉(zhuǎn)向機(jī)構(gòu)、加速器、制動(dòng)器等)的ecu等,被更新的軟件例如可以是用于進(jìn)行包括該致動(dòng)器的控制的處理的軟件。
安全ecu104總是監(jiān)視(monitoring)can總線20,例如在檢測(cè)到有非法的can消息(攻擊用的can消息)傳播的情況下,進(jìn)行使該can消息無效化等的應(yīng)對(duì)。作為使can消息無效化的方法,可以使用任意的方法,例如可以通過發(fā)送由can協(xié)議規(guī)定的錯(cuò)誤幀以使得與非法的can消息重疊的方式來進(jìn)行無效化。
評(píng)價(jià)裝置101是評(píng)價(jià)對(duì)電子控制系統(tǒng)11(評(píng)價(jià)對(duì)象)實(shí)施的安全對(duì)策技術(shù)的抗攻擊性的裝置。評(píng)價(jià)裝置101基于所保持的攻擊過程信息105,對(duì)評(píng)價(jià)對(duì)象施加攻擊(hacking),進(jìn)行用于觀測(cè)對(duì)攻擊的反應(yīng)的監(jiān)視(monitoring),根據(jù)監(jiān)視結(jié)果來進(jìn)行評(píng)價(jià)。作為評(píng)價(jià)裝置101的評(píng)價(jià)的一例,例如可列舉有無對(duì)該攻擊的抵抗性(攻擊或者防御的成功與否)的判定。具體而言,作為監(jiān)視,評(píng)價(jià)裝置101進(jìn)行在can總線20上傳播的幀(消息)的監(jiān)視、改寫實(shí)施ecu102以及被改寫ecu103的輸出信號(hào)的監(jiān)視。此外,評(píng)價(jià)裝置101也可以進(jìn)行受改寫實(shí)施ecu102或者被改寫ecu103控制的致動(dòng)器等的舉動(dòng)(動(dòng)作)的監(jiān)視。攻擊過程信息105表示施加攻擊時(shí)的過程(應(yīng)該發(fā)送的幀的種類、順序、時(shí)刻、頻度等)。
以下,對(duì)評(píng)價(jià)系統(tǒng)10的各構(gòu)成要素進(jìn)行詳細(xì)說明。
[1.2評(píng)價(jià)裝置101的結(jié)構(gòu)]
圖2是評(píng)價(jià)系統(tǒng)10中的評(píng)價(jià)裝置101的構(gòu)成圖。
如圖2所示,評(píng)價(jià)裝置101構(gòu)成為包括監(jiān)視部200(can總線監(jiān)視部203以及信號(hào)監(jiān)視部204)、收發(fā)部201(發(fā)送部201a以及接收部201b)、保持部202、評(píng)價(jià)部206、控制部207和存儲(chǔ)部208。
評(píng)價(jià)裝置101例如是包括處理器(微處理器)、存儲(chǔ)器等的數(shù)字電路、模擬電路、通信線路、硬盤等的裝置。存儲(chǔ)器是rom、ram等,能夠存儲(chǔ)由處理器執(zhí)行的控制程序(作為軟件的計(jì)算機(jī)程序)。例如通過處理器按照控制程序(計(jì)算機(jī)程序)進(jìn)行工作(各種電路的控制等),評(píng)價(jià)裝置101會(huì)實(shí)現(xiàn)各種功能。此外,計(jì)算機(jī)程序的為了實(shí)現(xiàn)預(yù)定的功能而組合多個(gè)表示對(duì)處理器的指令的命令代碼而構(gòu)成的。
(1)收發(fā)部201
收發(fā)部201通過通信線路等來實(shí)現(xiàn)。收發(fā)部201由發(fā)送部201a以及接收部201b構(gòu)成。發(fā)送部201a向can總線20發(fā)送can消息(例如,表示改寫模式轉(zhuǎn)換指示、認(rèn)證密鑰、存儲(chǔ)器擦除命令、更新軟件、更新軟件署名等各種信息的各種幀等)、或者錯(cuò)誤幀。錯(cuò)誤幀使在can總線20上傳播的can消息無效化,例如可以使發(fā)送了成為該無效化對(duì)象的can消息的ecu成為總線關(guān)閉狀態(tài)(busoff)、錯(cuò)誤激活狀態(tài)(erroractivestate)。接收部201b接收在can總線20上傳播的can消息(例如由改寫實(shí)施ecu102或者被改寫ecu103發(fā)送的表示改寫模式轉(zhuǎn)換指示、認(rèn)證密鑰、存儲(chǔ)器擦除命令、更新軟件、更新軟件署名、再啟動(dòng)指示、認(rèn)證種子、認(rèn)證結(jié)果等各種信息的各種幀等)。
(2)保持部202
保持部202通過存儲(chǔ)器、硬盤等存儲(chǔ)介質(zhì)來實(shí)現(xiàn),存儲(chǔ)有表示評(píng)價(jià)裝置101為了對(duì)評(píng)價(jià)對(duì)象的抗攻擊性等進(jìn)行評(píng)價(jià)而施加的攻擊的過程的攻擊過程信息105。攻擊過程信息105示出攻擊用的多個(gè)幀(can消息或者錯(cuò)誤幀)的發(fā)送順序等。關(guān)于攻擊過程信息105的詳細(xì)情況,后面使用圖6以及圖7進(jìn)行說明。
(3)can總線監(jiān)視部203
can總線監(jiān)視部203例如通過執(zhí)行程序的處理器等來實(shí)現(xiàn),對(duì)評(píng)價(jià)對(duì)象的電子控制系統(tǒng)11中的連接有多個(gè)ecu的can總線20進(jìn)行監(jiān)視。具體而言,can總線監(jiān)視部203經(jīng)由接收部201b接收can消息,將can消息所包含的數(shù)據(jù)的內(nèi)容(payload,有效載荷)記錄于存儲(chǔ)部208并進(jìn)行確認(rèn)。can總線監(jiān)視部203例如檢測(cè)分別表示改寫模式轉(zhuǎn)換指示、認(rèn)證密鑰、存儲(chǔ)器擦除命令、更新軟件、更新軟件署名、再啟動(dòng)指示的更新用幀是否被發(fā)送到了can總線20這一情況并確認(rèn)幀的內(nèi)容來作為對(duì)改寫實(shí)施ecu102的監(jiān)視。另外,can總線監(jiān)視部203例如檢測(cè)分別表示認(rèn)證種子、認(rèn)證結(jié)果的幀是否被發(fā)送到了can總線20并確認(rèn)幀的內(nèi)容來作為對(duì)被改寫ecu103的監(jiān)視。監(jiān)視部200通過can總線監(jiān)視部203進(jìn)行是否由接收部201b接收到特定幀的檢測(cè)來作為對(duì)電子控制系統(tǒng)11的ecu的監(jiān)視。該特定幀是具有特定內(nèi)容的預(yù)先規(guī)定的幀,可以是通過幀的id、數(shù)據(jù)域的內(nèi)容等確定的幀。該特定幀是假設(shè)為如下情況的幀:針對(duì)通過攻擊用幀的發(fā)送而進(jìn)行的攻擊,電子控制系統(tǒng)11的一部分ecu發(fā)送或者不發(fā)送特定幀,由此能夠預(yù)先區(qū)分攻擊是否成功、防御是否成功等。
(4)信號(hào)監(jiān)視部204
信號(hào)監(jiān)視部204對(duì)改寫實(shí)施ecu102以及被改寫ecu103輸出到can總線20以外的信號(hào)線等的信號(hào)進(jìn)行觀測(cè),確認(rèn)信號(hào)內(nèi)容。信號(hào)監(jiān)視部204例如通過與改寫實(shí)施ecu102以及被改寫ecu103分別輸出信號(hào)的信號(hào)線連接的通信線路、執(zhí)行程序的處理器等來實(shí)現(xiàn)。此外,信號(hào)監(jiān)視部204例如也可以監(jiān)視改寫實(shí)施ecu102以及被改寫ecu103各自的調(diào)試用的輸出信號(hào),電子控制系統(tǒng)11的各ecu也可以構(gòu)成為可以在評(píng)價(jià)時(shí)輸出調(diào)試用的輸出信號(hào)。該情況下,各ecu也可以具有如下結(jié)構(gòu):可以輸出表示ecu的狀態(tài)的信息、表示存儲(chǔ)器內(nèi)容的信息、或者表示是否進(jìn)行了執(zhí)行軟件的處理器的復(fù)位(再啟動(dòng))的信息等來作為調(diào)試用的輸出信號(hào)。信號(hào)監(jiān)視部204通過信號(hào)的觀測(cè),例如可以確認(rèn)被改寫ecu103是否通過再啟動(dòng)的執(zhí)行而完成了與軟件的更新(改寫)有關(guān)的處理。監(jiān)視部200通過信號(hào)監(jiān)視部204等,檢測(cè)由發(fā)送部201a向can總線20發(fā)送了攻擊用幀的情況下的電子控制系統(tǒng)11的某個(gè)ecu的動(dòng)作是否與預(yù)定動(dòng)作(例如,攻擊成功時(shí)所預(yù)測(cè)的動(dòng)作、攻擊失敗時(shí)所預(yù)測(cè)的動(dòng)作、接收到正規(guī)幀時(shí)的通常動(dòng)作等)一致,由此進(jìn)行該ecu的監(jiān)視。
(5)評(píng)價(jià)部206
評(píng)價(jià)部206通過執(zhí)行程序的處理器等來實(shí)現(xiàn)。評(píng)價(jià)部206基于由監(jiān)視部200(can總線監(jiān)視部203以及信號(hào)監(jiān)視部204)的監(jiān)視得到的確認(rèn)結(jié)果,進(jìn)行與電子控制系統(tǒng)11的安全性有關(guān)的評(píng)價(jià)。具體而言,評(píng)價(jià)部206將監(jiān)視部200的確認(rèn)結(jié)果的全部或者一部分與基于攻擊過程信息105發(fā)送can消息時(shí)的期待值進(jìn)行比較,判定攻擊是否成功(例如應(yīng)對(duì)攻擊的防御功能是否適當(dāng)?shù)匕l(fā)揮作用)等。期待值是作為攻擊結(jié)果(例如針對(duì)各攻擊用幀的發(fā)送的結(jié)果)而期待的改寫實(shí)施ecu102或者被改寫ecu103要發(fā)送的can消息或者由要發(fā)送的信號(hào)表示的信息(動(dòng)作等),可以預(yù)先規(guī)定。評(píng)價(jià)部206基于由發(fā)送部201a將基于攻擊過程信息105的攻擊用幀發(fā)送到can總線20時(shí)(例如剛發(fā)送后的一定期間或者從即將發(fā)送前到剛發(fā)送后為止等)的監(jiān)視部200的監(jiān)視結(jié)果來進(jìn)行評(píng)價(jià)。評(píng)價(jià)部206例如在由發(fā)送部201a向can總線20發(fā)送了攻擊過程信息105所示出的攻擊用的多個(gè)幀的一個(gè)以上幀之后的一定期間內(nèi),判定是否由can總線監(jiān)視部203檢測(cè)到作為期待值的特定幀被發(fā)送到了can總線20上,以根據(jù)是否檢測(cè)到特定幀而評(píng)價(jià)結(jié)果不同的方式進(jìn)行評(píng)價(jià)。另外,評(píng)價(jià)部206例如可以進(jìn)行評(píng)價(jià),使得根據(jù)在攻擊用幀的一個(gè)以上被發(fā)送到了can總線20之后的一定期間內(nèi)是否由信號(hào)監(jiān)視部204檢測(cè)到表示改寫實(shí)施ecu102或者被改寫ecu103進(jìn)行了期待值所涉及的預(yù)定動(dòng)作這一情況的信號(hào)而評(píng)價(jià)結(jié)果不同。
(6)存儲(chǔ)部208
存儲(chǔ)部208由存儲(chǔ)器等存儲(chǔ)介質(zhì)構(gòu)成,對(duì)假更新軟件、對(duì)更新軟件的假署名、更新過程、從can總線20接收到的can消息的內(nèi)容(存儲(chǔ)器擦除命令、更新軟件、更新軟件署名、認(rèn)證密鑰、認(rèn)證種子等)進(jìn)行保持。
(7)控制部207
控制部207通過執(zhí)行程序的處理器等來實(shí)現(xiàn),對(duì)監(jiān)視部200、收發(fā)部201、保持部202、存儲(chǔ)部208以及評(píng)價(jià)部206進(jìn)行管理、控制來實(shí)現(xiàn)評(píng)價(jià)裝置101的功能。另外,控制部207可以進(jìn)行為了認(rèn)證密鑰的生成、確認(rèn)等而需要的運(yùn)算處理。
[1.3改寫實(shí)施ecu102的結(jié)構(gòu)]
圖3是改寫實(shí)施ecu102的構(gòu)成圖。
如圖3所示,改寫實(shí)施ecu102構(gòu)成為包括收發(fā)部301、署名存儲(chǔ)部302、密鑰存儲(chǔ)部303、程序存儲(chǔ)部304、改寫過程信息存儲(chǔ)部305和控制部306。
改寫實(shí)施ecu102是與can總線20連接的ecu。ecu例如是包括處理器、存儲(chǔ)器等的數(shù)字電路、模擬電路、通信線路等的裝置。存儲(chǔ)器是rom、ram等,能夠存儲(chǔ)由處理器執(zhí)行的控制程序。例如通過處理器按照控制程序(計(jì)算機(jī)程序)進(jìn)行工作(各種電路的控制等),改寫實(shí)施ecu102發(fā)揮功能。
(1)收發(fā)部301
收發(fā)部301向can總線20發(fā)送can消息,接收在can總線20上傳播的can消息。收發(fā)部301例如發(fā)送分別表示改寫模式轉(zhuǎn)換指示、認(rèn)證密鑰、存儲(chǔ)器擦除命令、更新軟件、更新軟件署名、再啟動(dòng)指示的更新用幀,接收在can總線20上傳播的分別表示認(rèn)證種子、認(rèn)證結(jié)果的幀。另外,收發(fā)部301例如負(fù)責(zé)與電子控制系統(tǒng)11的外部(車輛外部)的裝置進(jìn)行通信的外部通信功能,從外部的裝置接收更新軟件、更新軟件署名等。
此外,在用于供改寫實(shí)施ecu102更新被改寫ecu103的軟件的更新處理中使用的認(rèn)證種子,是用于供改寫實(shí)施ecu102和被改寫ecu103互相進(jìn)行認(rèn)證而使用的信息。另外,認(rèn)證密鑰是通過改寫實(shí)施ecu102基于被改寫ecu103發(fā)送的認(rèn)證種子實(shí)施使用了彼此共同的秘密密鑰的加密而生成的信息。在更新處理中,改寫實(shí)施ecu102基于被改寫ecu103發(fā)送的認(rèn)證種子,通過使用了共同的秘密密鑰的加密來生成認(rèn)證密鑰,將認(rèn)證密鑰發(fā)送給被改寫ecu103,被改寫ecu103利用共同的秘密密鑰來解碼認(rèn)證密鑰,如果該解碼結(jié)果與先前發(fā)送的認(rèn)證種子一致則判斷為認(rèn)證成功,如果不一致則判斷為認(rèn)證不成功,將作為判斷結(jié)果的認(rèn)證結(jié)果(例如在認(rèn)證成功的情況下表示允許改寫而在認(rèn)證不成功的情況下表示不允許改寫的信息)發(fā)送到改寫實(shí)施ecu102。在認(rèn)證成功的情況下,為了軟件的改寫,從改寫實(shí)施ecu102發(fā)送儲(chǔ)器擦除命令、更新軟件、更新軟件署名、再啟動(dòng)指示等,相應(yīng)于此,在被改寫ecu103中進(jìn)行軟件的改寫等。
(2)署名存儲(chǔ)部302
署名存儲(chǔ)部302存儲(chǔ)針對(duì)由程序存儲(chǔ)部304存儲(chǔ)的更新軟件的署名。
(3)密鑰存儲(chǔ)部303
密鑰存儲(chǔ)部303存儲(chǔ)在通過對(duì)從被改寫ecu103發(fā)送的認(rèn)證種子進(jìn)行加密來生成認(rèn)證密鑰時(shí)的加密所使用的密鑰(秘密密鑰)。
(4)程序存儲(chǔ)部304
程序存儲(chǔ)部304存儲(chǔ)被改寫ecu103用的更新軟件。
(5)改寫過程信息存儲(chǔ)部305
改寫過程信息存儲(chǔ)部305存儲(chǔ)被改寫ecu103的軟件的更新過程(軟件的改寫所涉及的處理過程)。
(6)控制部306
控制部306對(duì)收發(fā)部301、署名存儲(chǔ)部302、密鑰存儲(chǔ)部303、程序存儲(chǔ)部304以及改寫過程信息存儲(chǔ)部305進(jìn)行管理、控制來實(shí)現(xiàn)改寫實(shí)施ecu102的功能。即,控制部306可以按照改寫過程信息存儲(chǔ)部305存儲(chǔ)的改寫過程信息(更新過程)來控制各部,執(zhí)行用于將被改寫ecu103的軟件更新為更新軟件的更新處理(包括各種更新用幀的發(fā)送、認(rèn)證種子以及認(rèn)證結(jié)果的接收等的一系列處理)等。
[1.4被改寫ecu103的結(jié)構(gòu)]
圖4是被改寫ecu103的構(gòu)成圖。
如圖4所示,被改寫ecu103構(gòu)成為包括收發(fā)部401、署名存儲(chǔ)部402、密鑰存儲(chǔ)部403、程序存儲(chǔ)部404、改寫過程信息存儲(chǔ)部405和控制部406。
被改寫ecu103是與can總線20連接的ecu,是包括處理器、存儲(chǔ)器等的數(shù)字電路、模擬電路、通信線路等的裝置。例如通過處理器按照存儲(chǔ)器所保存的控制程序進(jìn)行工作,被改寫ecu103發(fā)揮功能。
(1)收發(fā)部401
收發(fā)部401向can總線20發(fā)送can消息,接收在can總線20上傳播的can消息。收發(fā)部401例如發(fā)送分別表示認(rèn)證種子、認(rèn)證結(jié)果的幀,接收在can總線20上傳播的分別表示改寫模式轉(zhuǎn)換指示、認(rèn)證密鑰、存儲(chǔ)器擦除命令、更新軟件、更新軟件署名、再啟動(dòng)指示的更新用幀。
(2)署名存儲(chǔ)部402
署名存儲(chǔ)部402存儲(chǔ)針對(duì)由程序存儲(chǔ)部404存儲(chǔ)的更新軟件的署名。
(3)密鑰存儲(chǔ)部403
密鑰存儲(chǔ)部403存儲(chǔ)在改寫實(shí)施ecu102基于被改寫ecu103發(fā)送的認(rèn)證種子通過加密而生成的認(rèn)證密鑰的解碼中使用的解碼密鑰(秘密密鑰)以及在程序存儲(chǔ)部404所存儲(chǔ)的程序(更新軟件)的署名即署名存儲(chǔ)部402所存儲(chǔ)的署名的正當(dāng)性的驗(yàn)證中使用的署名驗(yàn)證密鑰。
(4)程序存儲(chǔ)部404
程序存儲(chǔ)部404存儲(chǔ)被改寫ecu103的軟件(例如從改寫實(shí)施ecu102取得的更新軟件等)。
(5)改寫過程信息存儲(chǔ)部405
改寫過程信息存儲(chǔ)部405存儲(chǔ)被改寫ecu103的軟件的更新過程。
(6)控制部406
控制部406對(duì)收發(fā)部401、署名存儲(chǔ)部402、密鑰存儲(chǔ)部403、程序存儲(chǔ)部404以及改寫過程信息存儲(chǔ)部405進(jìn)行管理、控制來實(shí)現(xiàn)被改寫ecu103的功能。即,控制部406可以按照改寫過程信息存儲(chǔ)部405存儲(chǔ)的改寫過程信息(更新過程)來控制各部,執(zhí)行用于將被改寫ecu103的軟件更新為更新軟件的更新處理(包括各種更新用幀的接收、認(rèn)證種子以及認(rèn)證結(jié)果的發(fā)送等的一系列處理)等。
[1.5安全ecu104的結(jié)構(gòu)]
圖5是安全ecu104的構(gòu)成圖。
如圖5所示,安全ecu104構(gòu)成為包括收發(fā)部501、can總線監(jiān)視部502和控制部503。
安全ecu104連接于can總線20,是具備應(yīng)對(duì)攻擊的安全功能(防御功能等)的ecu。通過安全ecu104的處理器按照存儲(chǔ)器所存儲(chǔ)的控制程序(計(jì)算機(jī)程序)進(jìn)行工作,安全ecu104發(fā)揮功能。
(1)收發(fā)部501
收發(fā)部501接收在can總線20上傳播的can消息,接收can總線監(jiān)視部502的指示并為了使非法的can消息無效化而向can總線20發(fā)送錯(cuò)誤幀。
(2)can總線監(jiān)視部502
can總線監(jiān)視部502對(duì)經(jīng)由收發(fā)部501從連接有多個(gè)ecu的can總線20接收到的can消息所包含的數(shù)據(jù)的內(nèi)容(有效載荷)進(jìn)行確認(rèn)。can總線監(jiān)視部502在確認(rèn)到有非法的can消息(例如在電子控制系統(tǒng)11中不遵循預(yù)先確定的規(guī)則的can消息)傳播的情況下,經(jīng)由收發(fā)部501發(fā)送錯(cuò)誤幀。can總線監(jiān)視部502使用任何方法來作為檢測(cè)非法的can消息的方法都可以。
(3)控制部503
控制部503對(duì)收發(fā)部501以及can總線監(jiān)視部502進(jìn)行管理、控制來實(shí)現(xiàn)安全ecu104的功能。
[1.6攻擊過程信息]
對(duì)評(píng)價(jià)裝置101的保持部202所存儲(chǔ)的攻擊過程信息進(jìn)行說明。圖6以及圖7分別表示攻擊過程信息的一例。
如圖6以及圖7所示,攻擊過程信息例如是按評(píng)價(jià)裝置101的每個(gè)評(píng)價(jià)項(xiàng)目(每個(gè)評(píng)價(jià)對(duì)象功能)包含發(fā)送消息(用于評(píng)價(jià)對(duì)象功能的評(píng)價(jià)的作為攻擊而應(yīng)發(fā)送的攻擊用幀)的內(nèi)容以及消息id、發(fā)送消息的發(fā)送間隔(與先行幀的時(shí)間間隔)、和發(fā)送順序的信息。該攻擊過程信息例如基于與電子控制系統(tǒng)11有關(guān)的各種信息(規(guī)格等)而確定。
例如,在圖6所示的評(píng)價(jià)對(duì)象功能為“改寫實(shí)施功能1”這一評(píng)價(jià)項(xiàng)目的例子中,攻擊過程成為如下一系列過程:首先(第一),通過發(fā)送錯(cuò)誤幀,使包含被改寫ecu103發(fā)送的認(rèn)證種子的can消息無效化,接著(第二),發(fā)送包含假認(rèn)證種子的can消息,接著(第三),在從改寫實(shí)施ecu102接收到與認(rèn)證種子對(duì)應(yīng)的認(rèn)證密鑰之后,作為響應(yīng),發(fā)送包含認(rèn)證結(jié)果(認(rèn)證響應(yīng))的can消息。
例如,在圖7所示的評(píng)價(jià)對(duì)象功能為“被改寫功能1”這一評(píng)價(jià)項(xiàng)目的例子中,攻擊過程成為如下一系列過程:首先(第一),通過發(fā)送錯(cuò)誤幀,使包含改寫實(shí)施ecu102發(fā)送的存儲(chǔ)器擦除命令的can消息無效化,接著(第二),發(fā)送包含存儲(chǔ)器擦除命令的更新用幀(can消息),接著(第三),發(fā)送包含假更新軟件的更新用幀(can消息),接著(第四),發(fā)送包含與該假更新軟件對(duì)應(yīng)的署名的更新用幀(can消息)。此外,在圖7的攻擊過程信息中,在包含更新軟件署名的更新用幀的發(fā)送所涉及的信息之后,可以包含表示再啟動(dòng)指示的更新用幀的發(fā)送所涉及的信息。
按照這樣的攻擊過程信息,評(píng)價(jià)裝置101按確定的發(fā)送順序發(fā)送針對(duì)各評(píng)價(jià)項(xiàng)目確定的攻擊用幀,由此對(duì)電子控制系統(tǒng)11進(jìn)行攻擊并進(jìn)行評(píng)價(jià)。評(píng)價(jià)裝置101例如在攻擊過程信息表示繼錯(cuò)誤幀之后發(fā)送具有預(yù)定id(例如認(rèn)證種子用的id、作為認(rèn)證結(jié)果的認(rèn)證響應(yīng)用的id等)的攻擊用幀的情況下,當(dāng)接收部201b從can總線20接收到具有預(yù)定id的can消息時(shí),首先發(fā)送錯(cuò)誤幀,接著發(fā)送具有預(yù)定id的攻擊用幀。該預(yù)定id也可以是為了軟件的更新處理而預(yù)先確定的更新用id(例如,存儲(chǔ)器擦除命令用的id、更新軟件用的id、更新軟件署名用的id、再啟動(dòng)指示用的id等)。
[1.7評(píng)價(jià)系統(tǒng)10的工作]
以下,對(duì)具備上述結(jié)構(gòu)的評(píng)價(jià)系統(tǒng)10的工作進(jìn)行說明。
首先,對(duì)在評(píng)價(jià)系統(tǒng)10中評(píng)價(jià)裝置101未發(fā)送攻擊用幀時(shí)由電子控制系統(tǒng)11實(shí)施的軟件的更新所涉及的工作例進(jìn)行說明。然后,針對(duì)通過評(píng)價(jià)裝置101按照攻擊過程信息105來攻擊(通過攻擊用幀的發(fā)送進(jìn)行攻擊)評(píng)價(jià)對(duì)象的電子控制系統(tǒng)11并進(jìn)行評(píng)價(jià)的工作,說明每個(gè)評(píng)價(jià)項(xiàng)目的工作例(工作例1~5)。
[1.7.1軟件的更新的工作例]
對(duì)于在評(píng)價(jià)裝置101未發(fā)送攻擊用幀時(shí)由電子控制系統(tǒng)11實(shí)施的軟件(被改寫ecu103中的軟件)的更新,結(jié)合圖8的時(shí)序圖來說明。在圖8的例子中,軟件的更新通過改寫實(shí)施ecu102主動(dòng)發(fā)送預(yù)先確定的各種更新用幀、被改寫ecu103對(duì)該各種更新用幀進(jìn)行應(yīng)對(duì)來實(shí)現(xiàn)。
改寫實(shí)施ecu102將包含改寫模式轉(zhuǎn)換指示(指示向改寫模式轉(zhuǎn)換之意的信息)的更新用幀(can消息)發(fā)送給can總線20(步驟s601)。
從can總線20接收到包含改寫模式轉(zhuǎn)換指示的更新用幀的被改寫ecu103,將包含認(rèn)證種子的can消息發(fā)送給can總線20(步驟s602)。
接收到包含認(rèn)證種子的can消息的改寫實(shí)施ecu102,通過使用密鑰存儲(chǔ)部303所存儲(chǔ)的密鑰對(duì)所接收到的認(rèn)證種子進(jìn)行加密來生成認(rèn)證密鑰,將包含認(rèn)證密鑰的更新用幀(can消息)發(fā)送給can總線20(步驟s603)。
接收到包含認(rèn)證密鑰的更新用幀的被改寫ecu103,使用密鑰存儲(chǔ)部403所存儲(chǔ)的密鑰對(duì)所接收到的認(rèn)證密鑰進(jìn)行解碼,確認(rèn)解碼結(jié)果與已發(fā)送的認(rèn)證種子是否一致。被改寫ecu103在確認(rèn)為一致的情況下,將意味著允許改寫的can消息作為認(rèn)證結(jié)果而發(fā)送給can總線20,允許實(shí)施以后的更新過程,在確認(rèn)為不一致的情況下,將意味著不允許改寫的can消息作為認(rèn)證結(jié)果而發(fā)送給can總線20,不允許實(shí)施以后的更新過程(步驟s604)。接收到包含認(rèn)證結(jié)果的can消息的改寫實(shí)施ecu102,在所接收到的can消息作為認(rèn)證結(jié)果而意味著允許改寫的情況下,實(shí)施以后的更新過程,在所接收到的can消息意味著不允許改寫的情況下,不實(shí)施以后的更新過程。
作為認(rèn)證結(jié)果而接收到意味著允許改寫的can消息的改寫實(shí)施ecu102,將包含存儲(chǔ)器擦除命令的更新用幀發(fā)送給can總線20(步驟s605)。接收到包含存儲(chǔ)器擦除命令的更新用幀的被改寫ecu103將程序存儲(chǔ)部404的存儲(chǔ)內(nèi)容(用于保存更新軟件的區(qū)域的內(nèi)容)擦除。
接著,改寫實(shí)施ecu102將包含更新軟件的更新用幀發(fā)送給can總線20(步驟s606)。此外,更新用幀也可以由多個(gè)can消息構(gòu)成,例如,包含更新軟件的更新用幀根據(jù)更新軟件的數(shù)據(jù)量而由一個(gè)或者多個(gè)can消息構(gòu)成。接收到包含更新軟件的更新用幀的被改寫ecu103向程序存儲(chǔ)部404寫入所接收到的更新軟件。
接著,改寫實(shí)施ecu102將包含與更新軟件對(duì)應(yīng)的更新軟件署名的更新用幀發(fā)送給can總線20(步驟s607)。接收到包含更新軟件署名的更新用幀的被改寫ecu103向署名存儲(chǔ)部402寫入所接收到的更新軟件署名。
最后,改寫實(shí)施ecu102將表示再啟動(dòng)指示的更新用幀發(fā)送給can總線20(步驟s608)。接收到表示再啟動(dòng)指示的更新用幀的被改寫ecu103,實(shí)施再啟動(dòng)(處理器的復(fù)位)。在再啟動(dòng)時(shí),被改寫ecu103例如使用密鑰存儲(chǔ)部403所存儲(chǔ)的署名驗(yàn)證密鑰來驗(yàn)證作為程序存儲(chǔ)部404存儲(chǔ)的程序(更新軟件)的署名的、署名存儲(chǔ)部402所存儲(chǔ)的署名是否正當(dāng),在正當(dāng)?shù)那闆r下執(zhí)行處理器的復(fù)位。當(dāng)處理器被復(fù)位時(shí),通過處理器執(zhí)行程序存儲(chǔ)部404內(nèi)的更新軟件。被改寫ecu103在根據(jù)程序的署名的驗(yàn)證而署名不正當(dāng)?shù)那闆r下,不執(zhí)行用于執(zhí)行更新軟件的再啟動(dòng)。此外,被改寫ecu103例如在應(yīng)對(duì)存儲(chǔ)器擦除命令而擦除程序存儲(chǔ)部404的存儲(chǔ)內(nèi)容(用于保存更新軟件的區(qū)域的內(nèi)容)時(shí),可以將原來的存儲(chǔ)內(nèi)容保存于存儲(chǔ)介質(zhì)(例如非易失性存儲(chǔ)器、硬盤等),也可以在更新軟件所涉及的署名不正當(dāng)?shù)那闆r下將原來的存儲(chǔ)內(nèi)容復(fù)原到程序存儲(chǔ)部404。
[1.7.2評(píng)價(jià)系統(tǒng)10的工作例1]
圖9以及圖10是表示對(duì)電子控制系統(tǒng)11進(jìn)行評(píng)價(jià)的評(píng)價(jià)系統(tǒng)10的工作(工作例1)的時(shí)序圖。此外,圖9所示的時(shí)序圖后續(xù)接著圖10所示的時(shí)序圖。在工作例1中,示出評(píng)價(jià)裝置101進(jìn)行圖6所示的改寫實(shí)施功能1這一評(píng)價(jià)項(xiàng)目所涉及的評(píng)價(jià)的例子。該例子是評(píng)價(jià)裝置101通過進(jìn)行冒充被改寫ecu103并使改寫實(shí)施ecu102發(fā)生誤識(shí)別的攻擊來評(píng)價(jià)電子控制系統(tǒng)11的安全性的例子。以下,結(jié)合圖9以及圖10對(duì)工作例1進(jìn)行說明。
改寫實(shí)施ecu102將表示改寫模式轉(zhuǎn)換指示的更新用幀(can消息)發(fā)送給can總線20(步驟s601)。接收到包含改寫模式轉(zhuǎn)換指示的更新用幀的被改寫ecu103將包含認(rèn)證種子的can消息發(fā)送給can總線20(步驟s602)。
評(píng)價(jià)裝置101在通過從can總線20接收can消息而檢測(cè)到有包含認(rèn)證種子的can消息在can總線20上傳播時(shí),在該can消息整體被改寫實(shí)施ecu102接收之前,發(fā)送錯(cuò)誤幀,使包含被改寫ecu103發(fā)送的認(rèn)證種子的can消息無效化(步驟s701)。can總線20上的包含認(rèn)證種子的can消息被錯(cuò)誤幀覆寫,成為無法正確接收的無效幀。
接著,評(píng)價(jià)裝置101將包含假認(rèn)證種子的can消息發(fā)送給can總線20(步驟s702)。評(píng)價(jià)裝置101的信號(hào)監(jiān)視部204將該步驟s702之后的改寫實(shí)施ecu102的舉動(dòng)的逐次監(jiān)視的結(jié)果逐次記錄于存儲(chǔ)部208。接收到包含假認(rèn)證種子的can消息的改寫實(shí)施ecu102通過使用密鑰存儲(chǔ)部303所存儲(chǔ)的密鑰對(duì)所接收的認(rèn)證種子進(jìn)行加密來生成認(rèn)證密鑰。然后,改寫實(shí)施ecu102將包含所生成的認(rèn)證密鑰的更新用幀(can消息)發(fā)送給can總線20(步驟s603)。
接收到包含認(rèn)證密鑰的更新用幀的評(píng)價(jià)裝置101不管該接收到的認(rèn)證密鑰的正當(dāng)性如何,都將意味著允許改寫的can消息作為認(rèn)證結(jié)果而發(fā)送給can總線20(步驟s703)。
作為認(rèn)證結(jié)果而接收到意味著允許改寫的can消息的改寫實(shí)施ecu102將包含存儲(chǔ)器擦除命令的更新用幀發(fā)送給can總線20(步驟s605)。接收到包含存儲(chǔ)器擦除命令的更新用幀的評(píng)價(jià)裝置101通過can總線監(jiān)視部203將該接收到的包含存儲(chǔ)器擦除命令的更新用幀的內(nèi)容記錄于存儲(chǔ)部208。
接著,改寫實(shí)施ecu102將包含更新軟件的更新用幀發(fā)送給can總線20(步驟s606)。接收到包含更新軟件的更新用幀的評(píng)價(jià)裝置101通過can總線監(jiān)視部203將接收到的更新軟件記錄于存儲(chǔ)部208。
接著,改寫實(shí)施ecu102將包含與更新軟件對(duì)應(yīng)的更新軟件署名的更新用幀發(fā)送給can總線20(步驟s607)。接收到包含更新軟件署名的更新用幀的被改寫ecu103通過can總線監(jiān)視部203將接收到的更新軟件署名記錄于存儲(chǔ)部208。
接著,改寫實(shí)施ecu102將表示再啟動(dòng)指示的更新用幀發(fā)送給can總線20(步驟s608)。接收到表示再啟動(dòng)指示的更新用幀的評(píng)價(jià)裝置101通過can總線監(jiān)視部203將接收到的表示再啟動(dòng)指示的更新用幀的內(nèi)容記錄于存儲(chǔ)部208。
最后,評(píng)價(jià)裝置101通過對(duì)記錄在存儲(chǔ)部208中的來自can總線20的接收內(nèi)容所涉及的信息以及步驟s702之后的改寫實(shí)施ecu102的動(dòng)作所涉及的信息進(jìn)行確認(rèn),由此進(jìn)行評(píng)價(jià)(步驟s801)。即,評(píng)價(jià)裝置101通過將接收內(nèi)容以及改寫實(shí)施ecu102的動(dòng)作與攻擊的期待值進(jìn)行比較,進(jìn)行電子控制系統(tǒng)11的安全性的評(píng)價(jià)(關(guān)于攻擊成功與否的判定等)。評(píng)價(jià)裝置101例如在確認(rèn)到的接收內(nèi)容以及確認(rèn)到的改寫實(shí)施ecu102的動(dòng)作與攻擊的期待值(與對(duì)被改寫ecu103發(fā)送新用幀等的更新過程的實(shí)施同樣的動(dòng)作)相同的情況下判定為攻擊成功。評(píng)價(jià)裝置101可以在即使未接收到表示再啟動(dòng)指示的更新用幀等但經(jīng)過了一定時(shí)間之后(例如從步驟s703中的作為認(rèn)證結(jié)果的can消息的發(fā)送等起經(jīng)過了預(yù)先確定的時(shí)間之后),進(jìn)行步驟s801中的評(píng)價(jià)。因此,在攻擊失敗的情況(例如,評(píng)價(jià)裝置101在步驟s703等中發(fā)送的can消息因安全ecu104發(fā)送錯(cuò)誤幀等而無效化等情況)下也能夠進(jìn)行評(píng)價(jià)。另外,評(píng)價(jià)裝置101也可以僅使用can總線監(jiān)視部203的監(jiān)視結(jié)果和信號(hào)監(jiān)視部204的監(jiān)視結(jié)果中的一方來基于攻擊的期待值進(jìn)行關(guān)于攻擊成功與否的判定等。另外,評(píng)價(jià)裝置101在步驟s801中無論怎樣詳細(xì)地進(jìn)行作為評(píng)價(jià)對(duì)象的電子控制系統(tǒng)11的安全性的評(píng)價(jià)都可以,例如除了攻擊整體的成功與否之外,也可以判定攻擊用幀的發(fā)送這一各個(gè)攻擊的成功與否,也可以對(duì)各種防御功能分別是否起作用、能夠防御的程度等進(jìn)行確認(rèn)。
[1.7.3評(píng)價(jià)系統(tǒng)10的工作例2]
圖11以及圖12是表示對(duì)電子控制系統(tǒng)11進(jìn)行評(píng)價(jià)的評(píng)價(jià)系統(tǒng)10的工作(工作例2)的時(shí)序圖。此外,圖11所示的時(shí)序圖后續(xù)接著圖12所示的時(shí)序圖。在工作例2中,示出評(píng)價(jià)裝置101進(jìn)行圖6所示的改寫實(shí)施功能2這一評(píng)價(jià)項(xiàng)目所涉及的評(píng)價(jià)的例子。該例子是評(píng)價(jià)裝置101通過進(jìn)行冒充被改寫ecu103并使改寫實(shí)施ecu102發(fā)生誤識(shí)別的攻擊來評(píng)價(jià)電子控制系統(tǒng)11的安全性的例子。以下,結(jié)合圖11以及圖12對(duì)工作例2進(jìn)行說明。
改寫實(shí)施ecu102將表示改寫模式轉(zhuǎn)換指示的更新用幀發(fā)送給can總線20(步驟s601)。接收到包含改寫模式轉(zhuǎn)換指示的更新用幀的被改寫ecu103將包含認(rèn)證種子的can消息發(fā)送給can總線20(步驟s602)。接收到包含認(rèn)證種子的can消息的改寫實(shí)施ecu102基于所接收到的認(rèn)證種子生成認(rèn)證密鑰,將包含認(rèn)證密鑰的更新用幀發(fā)送給can總線20(步驟s603)。接收到包含認(rèn)證密鑰的更新用幀的被改寫ecu103將基于所接收到的認(rèn)證密鑰的認(rèn)證結(jié)果所涉及的can消息發(fā)送給can總線20(步驟s604)。
評(píng)價(jià)裝置101在通過從can總線20接收認(rèn)證結(jié)果所涉及的can消息而檢測(cè)到有認(rèn)證結(jié)果所涉及的can消息在can總線20上傳播時(shí),在該can消息整體被改寫實(shí)施ecu102接收之前,發(fā)送錯(cuò)誤幀,使被改寫ecu103發(fā)送的認(rèn)證結(jié)果所涉及的can消息無效化(步驟s901)。can總線20上的認(rèn)證結(jié)果所涉及的can消息被錯(cuò)誤幀覆寫,成為無法正確接收的無效幀。
接著,評(píng)價(jià)裝置101將意味著允許改寫的can消息作為假認(rèn)證結(jié)果而發(fā)送給can總線20(步驟s902)。評(píng)價(jià)裝置101的信號(hào)監(jiān)視部204將該步驟s902之后的改寫實(shí)施ecu102的舉動(dòng)的逐次監(jiān)視的結(jié)果逐次記錄于存儲(chǔ)部208。接收到假認(rèn)證結(jié)果所涉及的意味著允許改寫的can消息的改寫實(shí)施ecu102實(shí)施以后的更新過程。即,改寫實(shí)施ecu102將包含存儲(chǔ)器擦除命令的更新用幀發(fā)送給can總線20(步驟s605)。接收到包含存儲(chǔ)器擦除命令的更新用幀的評(píng)價(jià)裝置101通過can總線監(jiān)視部203將該接收到的包含存儲(chǔ)器擦除命令的更新用幀的內(nèi)容記錄于存儲(chǔ)部208。
接著,改寫實(shí)施ecu102將包含更新軟件的更新用幀發(fā)送給can總線20(步驟s606)。接收到包含更新軟件的更新用幀的評(píng)價(jià)裝置101通過can總線監(jiān)視部203將接收到的更新軟件記錄于存儲(chǔ)部208。
接著,改寫實(shí)施ecu102將包含與更新軟件對(duì)應(yīng)的更新軟件署名的更新用幀發(fā)送給can總線20(步驟s607)。接收到包含更新軟件署名的更新用幀的被改寫ecu103通過can總線監(jiān)視部203將接收到的更新軟件署名記錄于存儲(chǔ)部208。
接著,改寫實(shí)施ecu102將表示再啟動(dòng)指示的更新用幀發(fā)送給can總線20(步驟s608)。接收到表示再啟動(dòng)指示的更新用幀的評(píng)價(jià)裝置101通過can總線監(jiān)視部203將接收到的表示再啟動(dòng)指示的更新用幀的內(nèi)容記錄于存儲(chǔ)部208。
最后,評(píng)價(jià)裝置101通過對(duì)記錄在存儲(chǔ)部208中的來自can總線20的接收內(nèi)容所涉及的信息以及步驟s902之后的改寫實(shí)施ecu102的動(dòng)作所涉及的信息進(jìn)行確認(rèn),由此進(jìn)行評(píng)價(jià)(步驟s1001)。即,與上述的步驟s801中的評(píng)價(jià)同樣地,評(píng)價(jià)裝置101通過將接收內(nèi)容以及改寫實(shí)施ecu102的動(dòng)作與攻擊的期待值進(jìn)行比較,進(jìn)行電子控制系統(tǒng)11的安全性的評(píng)價(jià)(關(guān)于攻擊成功與否的判定等)。
[1.7.4評(píng)價(jià)系統(tǒng)10的工作例3]
圖13以及圖14是表示對(duì)電子控制系統(tǒng)11進(jìn)行評(píng)價(jià)的評(píng)價(jià)系統(tǒng)10的工作(工作例3)的時(shí)序圖。此外,圖13所示的時(shí)序圖后續(xù)接著圖14所示的時(shí)序圖。在工作例3中,示出評(píng)價(jià)裝置101進(jìn)行圖7所示的被改寫功能1這一評(píng)價(jià)項(xiàng)目所涉及的評(píng)價(jià)的例子。該例子是評(píng)價(jià)裝置101通過進(jìn)行冒充改寫實(shí)施ecu102并使被改寫ecu103發(fā)生誤識(shí)別的攻擊來評(píng)價(jià)電子控制系統(tǒng)11的安全性的例子。以下,結(jié)合圖13以及圖14對(duì)工作例3進(jìn)行說明。
改寫實(shí)施ecu102將表示改寫模式轉(zhuǎn)換指示的更新用幀發(fā)送給can總線20(步驟s601)。接收到包含改寫模式轉(zhuǎn)換指示的更新用幀的被改寫ecu103將包含認(rèn)證種子的can消息發(fā)送給can總線20(步驟s602)。接收到包含認(rèn)證種子的can消息的改寫實(shí)施ecu102基于所接收到的認(rèn)證種子生成認(rèn)證密鑰,將包含認(rèn)證密鑰的更新用幀發(fā)送給can總線20(步驟s603)。接收到包含認(rèn)證密鑰的更新用幀的被改寫ecu103將意味著允許改寫的can消息作為基于所接收到的認(rèn)證密鑰的認(rèn)證結(jié)果而發(fā)送給can總線20(步驟s604)。作為認(rèn)證結(jié)果而接收到意味著允許改寫的can消息的改寫實(shí)施ecu102將包含存儲(chǔ)器擦除命令的更新用幀發(fā)送給can總線20(步驟s605)。
評(píng)價(jià)裝置101在通過從can總線20接收包含存儲(chǔ)器擦除命令的更新用幀而檢測(cè)到有包含存儲(chǔ)器擦除命令的更新用幀在can總線20上傳播時(shí),在該can消息整體被被改寫ecu103接收之前,發(fā)送錯(cuò)誤幀,使改寫實(shí)施ecu102發(fā)送的更新用幀無效化(步驟s1101)。can總線20上的包含存儲(chǔ)器擦除命令的更新用幀被錯(cuò)誤幀覆寫,成為無法正確接收的無效幀。
接著,評(píng)價(jià)裝置101將包含存儲(chǔ)器擦除命令的更新用幀發(fā)送給can總線20(步驟s1102)。評(píng)價(jià)裝置101的can總線監(jiān)視部203以及信號(hào)監(jiān)視部204將該步驟s1102之后的被改寫ecu103的動(dòng)作或者響應(yīng)的逐次監(jiān)視的結(jié)果逐次記錄于存儲(chǔ)部208。例如,信號(hào)監(jiān)視部204將接收到包含存儲(chǔ)器擦除命令的更新用幀之后的被改寫ecu103的動(dòng)作(例如對(duì)程序存儲(chǔ)部404的存儲(chǔ)內(nèi)容進(jìn)行了擦除等)等記錄于存儲(chǔ)部208。
接著,評(píng)價(jià)裝置101將包含更新軟件的更新用幀發(fā)送給can總線20(步驟s1103)。更新軟件無需必須是正規(guī)的內(nèi)容,也可以是假的更新軟件。評(píng)價(jià)裝置101將接收到包含更新軟件的更新用幀之后的被改寫ecu103的動(dòng)作或者響應(yīng)記錄于存儲(chǔ)部208。
接著,評(píng)價(jià)裝置101將包含與更新軟件對(duì)應(yīng)的更新軟件署名的更新用幀發(fā)送給can總線20(步驟s1201)。評(píng)價(jià)裝置101將接收到包含更新軟件署名的更新用幀之后的被改寫ecu103的動(dòng)作、響應(yīng)等記錄于存儲(chǔ)部208。此外,評(píng)價(jià)裝置101也可以預(yù)先保有更新軟件、更新軟件署名、用于署名生成所需的密鑰等信息(更新處理所需的信息)。
接著,評(píng)價(jià)裝置101將表示再啟動(dòng)指示的更新用幀發(fā)送給can總線20(步驟s1202)。評(píng)價(jià)裝置101將接收到表示再啟動(dòng)指示的更新用幀之后的被改寫ecu103的動(dòng)作(例如是否進(jìn)行了再啟動(dòng)等)或者響應(yīng)記錄于存儲(chǔ)部208。
最后,評(píng)價(jià)裝置101通過對(duì)記錄在存儲(chǔ)部208中的來自can總線20的接收內(nèi)容所涉及的信息以及步驟s1102之后的被改寫ecu103的動(dòng)作所涉及的信息進(jìn)行確認(rèn),由此進(jìn)行評(píng)價(jià)(步驟s1203)。即,評(píng)價(jià)裝置101通過將接收內(nèi)容以及被改寫ecu103的動(dòng)作與攻擊的期待值進(jìn)行比較,進(jìn)行電子控制系統(tǒng)11的安全性的評(píng)價(jià)(關(guān)于攻擊成功與否的判定等)。評(píng)價(jià)裝置101例如在確認(rèn)到的接收內(nèi)容以及確認(rèn)到的被改寫ecu103的動(dòng)作與攻擊的期待值(與從改寫實(shí)施ecu102接收到更新用幀的情況同樣的動(dòng)作)相同的情況下判定為攻擊成功。評(píng)價(jià)裝置101也可以僅使用can總線監(jiān)視部203的監(jiān)視結(jié)果和信號(hào)監(jiān)視部204的監(jiān)視結(jié)果中的一方來基于攻擊的期待值進(jìn)行關(guān)于攻擊成功與否的判定等。另外,評(píng)價(jià)裝置101在步驟s1203中無論怎樣詳細(xì)地進(jìn)行作為評(píng)價(jià)對(duì)象的電子控制系統(tǒng)11的安全性的評(píng)價(jià)都可以,例如,除了攻擊整體的成功與否之外,也可以判定攻擊用幀的發(fā)送這一各個(gè)攻擊的成功與否,也可以對(duì)各種的防御功能分別是否起作用、能夠防御的程度等進(jìn)行確認(rèn)。
[1.7.5評(píng)價(jià)系統(tǒng)10的工作例4]
圖15以及圖16是表示對(duì)電子控制系統(tǒng)11進(jìn)行評(píng)價(jià)的評(píng)價(jià)系統(tǒng)10的工作(工作例4)的時(shí)序圖。此外,圖15所示的時(shí)序圖后續(xù)接著圖16所示的時(shí)序圖。在工作例4中,示出評(píng)價(jià)裝置101進(jìn)行圖7所示的被改寫功能2這一評(píng)價(jià)項(xiàng)目所涉及的評(píng)價(jià)的例子。該例子是評(píng)價(jià)裝置101通過進(jìn)行冒充改寫實(shí)施ecu102并使被改寫ecu103發(fā)生誤識(shí)別的攻擊來評(píng)價(jià)電子控制系統(tǒng)11的安全性的例子。以下,結(jié)合圖15以及圖16對(duì)工作例4進(jìn)行說明。
改寫實(shí)施ecu102將表示改寫模式轉(zhuǎn)換指示的更新用幀發(fā)送給can總線20(步驟s601)。接收到包含改寫模式轉(zhuǎn)換指示的更新用幀的被改寫ecu103將包含認(rèn)證種子的can消息發(fā)送給can總線20(步驟s602)。接收到包含認(rèn)證種子的can消息的改寫實(shí)施ecu102基于所接收到的認(rèn)證種子生成認(rèn)證密鑰,將包含認(rèn)證密鑰的更新用幀發(fā)送給can總線20(步驟s603)。接收到包含認(rèn)證密鑰的更新用幀的被改寫ecu103將意味著允許改寫的can消息作為基于所接收到的認(rèn)證密鑰的認(rèn)證結(jié)果而發(fā)送給can總線20(步驟s604)。作為認(rèn)證結(jié)果而接收到意味著允許改寫的can消息的改寫實(shí)施ecu102將包含存儲(chǔ)器擦除命令的更新用幀發(fā)送給can總線20(步驟s605)。接收到包含存儲(chǔ)器擦除命令的更新用幀的被改寫ecu103將程序存儲(chǔ)部404的存儲(chǔ)內(nèi)容(用于保存更新軟件的區(qū)域的內(nèi)容)擦除。
接著,改寫實(shí)施ecu102將包含更新軟件的更新用幀發(fā)送給can總線20(步驟s606)。
評(píng)價(jià)裝置101在通過從can總線20接收包含更新軟件的更新用幀而檢測(cè)到有包含更新軟件的更新用幀在can總線20上傳播時(shí),在該can消息整體被被改寫ecu103接收之前,發(fā)送錯(cuò)誤幀,使改寫實(shí)施ecu102發(fā)送的更新用幀無效化(步驟s1301)。can總線20上的包含更新軟件的更新用幀被錯(cuò)誤幀覆寫,成為無法正確接收的無效幀。
接著,評(píng)價(jià)裝置101將包含假更新軟件的更新用幀發(fā)送給can總線20(步驟s1302)。評(píng)價(jià)裝置101的can總線監(jiān)視部203以及信號(hào)監(jiān)視部204將該步驟s1302之后的被改寫ecu103的動(dòng)作或者響應(yīng)的逐次監(jiān)視的結(jié)果逐次記錄于存儲(chǔ)部208。例如,信號(hào)監(jiān)視部204基于被改寫ecu103的調(diào)試用的輸出信號(hào)等,將接收到包含假更新軟件的更新用幀之后的被改寫ecu103的動(dòng)作(例如,向程序存儲(chǔ)部404保存假更新軟件等)等記錄于存儲(chǔ)部208。
接著,評(píng)價(jià)裝置101將包含與假更新軟件對(duì)應(yīng)的假更新軟件署名的更新用幀發(fā)送給can總線20(步驟s1401)。評(píng)價(jià)裝置101將接收到包含假更新軟件署名的更新用幀之后的被改寫ecu103的動(dòng)作、響應(yīng)等記錄于存儲(chǔ)部208。
接著,評(píng)價(jià)裝置101將表示再啟動(dòng)指示的更新用幀發(fā)送給can總線20(步驟s1402)。評(píng)價(jià)裝置101將接收到表示再啟動(dòng)指示的更新用幀之后的被改寫ecu103的動(dòng)作或者響應(yīng)記錄于存儲(chǔ)部208。
最后,評(píng)價(jià)裝置101通過對(duì)記錄在存儲(chǔ)部208中的來自can總線20的接收內(nèi)容所涉及的信息以及步驟s1302之后的被改寫ecu103的動(dòng)作所涉及的信息進(jìn)行確認(rèn),由此進(jìn)行評(píng)價(jià)(步驟s1403)。即,與上述的步驟s1203中的評(píng)價(jià)同樣地,評(píng)價(jià)裝置101通過將接收內(nèi)容以及被改寫ecu103的動(dòng)作與攻擊的期待值進(jìn)行比較,進(jìn)行電子控制系統(tǒng)11的安全性的評(píng)價(jià)(關(guān)于攻擊成功與否的判定等)。
[1.7.6評(píng)價(jià)系統(tǒng)10的工作例5]
圖17以及圖18是表示對(duì)電子控制系統(tǒng)11進(jìn)行評(píng)價(jià)的評(píng)價(jià)系統(tǒng)10的工作(工作例5)的時(shí)序圖。此外,圖17所示的時(shí)序圖后續(xù)接著圖18所示的時(shí)序圖。在工作例5中,示出評(píng)價(jià)裝置101進(jìn)行圖7所示的被改寫功能3這一評(píng)價(jià)項(xiàng)目所涉及的評(píng)價(jià)的例子。該例子是評(píng)價(jià)裝置101通過進(jìn)行冒充改寫實(shí)施ecu102并使被改寫ecu103發(fā)生誤識(shí)別的攻擊來評(píng)價(jià)電子控制系統(tǒng)11的安全性的例子。以下,結(jié)合圖17以及圖18對(duì)工作例5進(jìn)行說明。
改寫實(shí)施ecu102將表示改寫模式轉(zhuǎn)換指示的更新用幀發(fā)送給can總線20(步驟s601)。接收到包含改寫模式轉(zhuǎn)換指示的更新用幀的被改寫ecu103將包含認(rèn)證種子的can消息發(fā)送給can總線20(步驟s602)。接收到包含認(rèn)證種子的can消息的改寫實(shí)施ecu102基于所接收到的認(rèn)證種子生成認(rèn)證密鑰,將包含認(rèn)證密鑰的更新用幀發(fā)送給can總線20(步驟s603)。接收到包含認(rèn)證密鑰的更新用幀的被改寫ecu103將意味著允許改寫的can消息作為基于所接收到的認(rèn)證密鑰的認(rèn)證結(jié)果而發(fā)送給can總線20(步驟s604)。作為認(rèn)證結(jié)果而接收到意味著允許改寫的can消息的改寫實(shí)施ecu102將包含存儲(chǔ)器擦除命令的更新用幀發(fā)送給can總線20(步驟s605)。接收到包含存儲(chǔ)器擦除命令的更新用幀的被改寫ecu103將程序存儲(chǔ)部404的存儲(chǔ)內(nèi)容(用于保存更新軟件的區(qū)域的內(nèi)容)擦除。接著,改寫實(shí)施ecu102將包含更新軟件的更新用幀發(fā)送給can總線20(步驟s606)。接收到包含更新軟件的更新用幀的被改寫ecu103向程序存儲(chǔ)部404寫入所接收的更新軟件。
接著,改寫實(shí)施ecu102將包含與更新軟件對(duì)應(yīng)的更新軟件署名的更新用幀發(fā)送給can總線20(步驟s607)。
評(píng)價(jià)裝置101在通過從can總線20接收包含更新軟件署名的更新用幀而檢測(cè)到有包含更新軟件署名的更新用幀在can總線20上傳播時(shí),在該can消息整體被被改寫ecu103接收之前,發(fā)送錯(cuò)誤幀,使改寫實(shí)施ecu102發(fā)送的更新用幀無效化(步驟s1501)。can總線20上的包含更新軟件署名的更新用幀被錯(cuò)誤幀覆寫,成為無法正確接收的無效幀。
接著,評(píng)價(jià)裝置101將包含與更新軟件對(duì)應(yīng)的假更新軟件署名的更新用幀發(fā)送給can總線20(步驟s1601)。評(píng)價(jià)裝置101將接收到包含假更新軟件署名的更新用幀之后的被改寫ecu103的動(dòng)作、響應(yīng)等記錄于存儲(chǔ)部208。
接著,評(píng)價(jià)裝置101將表示再啟動(dòng)指示的更新用幀發(fā)送給can總線20(步驟s1602)。評(píng)價(jià)裝置101將接收到表示再啟動(dòng)指示的更新用幀之后的被改寫ecu103的動(dòng)作或者響應(yīng)記錄于存儲(chǔ)部208。
最后,評(píng)價(jià)裝置101通過對(duì)記錄在存儲(chǔ)部208中的來自can總線20的接收內(nèi)容所涉及的信息以及步驟s1601之后的被改寫ecu103的動(dòng)作所涉及的信息進(jìn)行確認(rèn),由此進(jìn)行評(píng)價(jià)(步驟s1603)。即,與上述的步驟s1203中的評(píng)價(jià)同樣地,評(píng)價(jià)裝置101通過將接收內(nèi)容以及被改寫ecu103的動(dòng)作與攻擊的期待值進(jìn)行比較,進(jìn)行電子控制系統(tǒng)11的安全性的評(píng)價(jià)(關(guān)于攻擊成功與否的判定等)。
(變形例)
如上所述,作為本公開涉及的技術(shù)的例示,說明了實(shí)施方式1。然而,本公開涉及的技術(shù)不限定于此,在適當(dāng)進(jìn)行了變更、替換、附加、省略等的實(shí)施方式中也能夠適用。例如,以下的變形例也包含在本公開的一個(gè)實(shí)施方式中。
(1)在上述實(shí)施方式中,示出了評(píng)價(jià)裝置101通過與電子控制系統(tǒng)11中的軟件的更新處理相關(guān)聯(lián)而冒充改寫實(shí)施ecu102或者被改寫ecu103來進(jìn)行攻擊的例子,但也可以進(jìn)行冒充其他ecu的攻擊,也可以通過錯(cuò)誤幀以及與更新處理無關(guān)的can消息的發(fā)送來進(jìn)行攻擊。
(2)在上述的電子控制系統(tǒng)11中,各種ecu假設(shè)為實(shí)際的(作為實(shí)物的)ecu進(jìn)行了說明。但是,作為評(píng)價(jià)系統(tǒng)10的評(píng)價(jià)對(duì)象的電子控制系統(tǒng)11中的各種ecu,也可以取代實(shí)際的ecu(例如,安裝在評(píng)價(jià)板上的ecu、作為產(chǎn)品的ecu等)而是模擬(simulation)該ecu的模擬ecu(例如,執(zhí)行模擬該ecu的功能、舉動(dòng)等的模擬軟件的計(jì)算機(jī)等)。在ecu是模擬ecu的情況下,評(píng)價(jià)裝置101也可以通過觀測(cè)計(jì)算機(jī)中的與模擬軟件有關(guān)的預(yù)定數(shù)據(jù)(計(jì)算機(jī)的預(yù)定存儲(chǔ)器區(qū)域的內(nèi)容或者輸出內(nèi)容等)的變化來實(shí)現(xiàn)ecu的動(dòng)作的監(jiān)視。
(3)在上述實(shí)施方式中,示出了評(píng)價(jià)裝置101是與can總線20連接的一個(gè)裝置的例子,但評(píng)價(jià)裝置101也可以具有被分離成按照攻擊過程信息105發(fā)送攻擊用幀的發(fā)送裝置和對(duì)在can總線20上傳播的can消息、與can總線20連接的ecu的存儲(chǔ)內(nèi)容、向信號(hào)線輸出的輸出信號(hào)等進(jìn)行監(jiān)視的監(jiān)視裝置等、被分離在多個(gè)殼體中的結(jié)構(gòu)。另外,監(jiān)視裝置或者監(jiān)視部200也可以對(duì)與can總線20連接的某個(gè)ecu進(jìn)行監(jiān)視。另外,監(jiān)視裝置或者監(jiān)視部200使用任何方法來作為對(duì)ecu監(jiān)視的方法都可以,例如可以進(jìn)行與ecu連接的專用信號(hào)線等的直接監(jiān)視,也可以進(jìn)行can消息的間接監(jiān)視,還可以進(jìn)行根據(jù)能夠與ecu的動(dòng)作相關(guān)聯(lián)而發(fā)生變化的車輛狀態(tài)進(jìn)行的間接監(jiān)視。
(4)在上述實(shí)施方式中,作為評(píng)價(jià)系統(tǒng)10的評(píng)價(jià)對(duì)象,例示了具備由can總線20實(shí)現(xiàn)的車載網(wǎng)絡(luò)的電子控制系統(tǒng)11,但評(píng)價(jià)系統(tǒng)10中的評(píng)價(jià)裝置101發(fā)送攻擊用幀、設(shè)為監(jiān)視對(duì)象的網(wǎng)絡(luò)也可以不一定是車載網(wǎng)絡(luò),另外,也可以是進(jìn)行can協(xié)議的通信的can總線20以外的網(wǎng)絡(luò)。例如,評(píng)價(jià)系統(tǒng)10也可以將機(jī)器人、產(chǎn)業(yè)設(shè)備等的網(wǎng)絡(luò)以外的網(wǎng)絡(luò)通信系統(tǒng)作為評(píng)價(jià)對(duì)象。另外,can協(xié)議可以具有也包括自動(dòng)化系統(tǒng)內(nèi)的嵌入式系統(tǒng)等所使用的canopen或者ttcan(time-triggeredcan,時(shí)間觸發(fā)can)、canfd(canwithflexibledatarate,靈活數(shù)據(jù)傳送率的can)等的派生協(xié)議在內(nèi)的廣義上的含義。另外,在評(píng)價(jià)對(duì)象的電子控制系統(tǒng)(網(wǎng)絡(luò)通信系統(tǒng))中,也可以使用can協(xié)議以外的通信協(xié)議,例如ethernet(注冊(cè)商標(biāo))、most(注冊(cè)商標(biāo))、flexray(注冊(cè)商標(biāo))、lin(localinterconnectnetwork,本地互聯(lián)網(wǎng)絡(luò))等。另外,也可以將包含組合了遵循各種協(xié)議的網(wǎng)絡(luò)而得到的復(fù)合型網(wǎng)絡(luò)的系統(tǒng)作為評(píng)價(jià)對(duì)象,通過評(píng)價(jià)裝置101對(duì)該網(wǎng)絡(luò)進(jìn)行攻擊以及監(jiān)視。評(píng)價(jià)裝置101可以在上述的網(wǎng)絡(luò)中通過發(fā)送包括用于使其他節(jié)點(diǎn)發(fā)送的幀無效化的無效化幀(例如在can中為錯(cuò)誤幀)的攻擊用幀來進(jìn)行評(píng)價(jià)。無效化幀只要是通過覆寫等方法使其他節(jié)點(diǎn)發(fā)送的幀無效化的幀即可。無效化是指為了阻礙幀的正常接收而使幀的狀態(tài)從通常狀態(tài)變化,例如可以是進(jìn)行覆寫來使一比特以上的數(shù)據(jù)發(fā)生變化的改變,也可以是不改變幀自身而通過由通信協(xié)議規(guī)定的方法成為無效狀態(tài)(表示先行幀為無效的信息的追加等)。
(5)在上述實(shí)施方式中,示出了在評(píng)價(jià)裝置101通過錯(cuò)誤幀的發(fā)送使成為冒充對(duì)象的ecu發(fā)送的can消息無效化之后,評(píng)價(jià)裝置101執(zhí)行冒充對(duì)象的ecu的更新處理的全部動(dòng)作的例子,但例如也可以是評(píng)價(jià)裝置101僅發(fā)送冒充對(duì)象的ecu應(yīng)該發(fā)送的多個(gè)can消息的一部分。
(6)在上述實(shí)施方式中,示出了攻擊過程信息105規(guī)定了包含錯(cuò)誤幀和can消息的多個(gè)攻擊用幀的發(fā)送順序的例子,但攻擊過程信息105也可以對(duì)一個(gè)或者多個(gè)錯(cuò)誤幀的發(fā)送進(jìn)行規(guī)定,例如,也可以規(guī)定錯(cuò)誤幀的發(fā)送時(shí)刻、發(fā)送間隔或者發(fā)送條件(在總線上傳播哪個(gè)id的can消息時(shí)應(yīng)該進(jìn)行發(fā)送所涉及的條件等)。該情況下,評(píng)價(jià)裝置101通過確認(rèn)與錯(cuò)誤幀的發(fā)送對(duì)應(yīng)的ecu的舉動(dòng)等,也能夠進(jìn)行與電子控制系統(tǒng)11的安全性有關(guān)的評(píng)價(jià)。
(7)作為關(guān)于評(píng)價(jià)對(duì)象的安全性(抗攻擊性等)的評(píng)價(jià),評(píng)價(jià)裝置101也可以基于穿透防御的非法的can消息的個(gè)數(shù)和/或比例來進(jìn)行有無抗攻擊性的判定等這樣的評(píng)價(jià)。此外,評(píng)價(jià)裝置101為了判定抗攻擊性的有無,可以使用對(duì)關(guān)于非法的can消息的個(gè)數(shù)和/或比例的上限等進(jìn)行規(guī)定的閾值。該閾值既可以為能夠?qū)υu(píng)價(jià)裝置101任意設(shè)定,也可以為能夠在反復(fù)實(shí)施評(píng)價(jià)的情況下根據(jù)評(píng)價(jià)結(jié)果等進(jìn)行變化(調(diào)整)。另外,評(píng)價(jià)裝置101也可以估算攻擊的成功率(成功的頻度等)。如此,評(píng)價(jià)裝置101除了攻擊成功與否或者防御成功與否的擇一判定之外,例如也可以對(duì)多個(gè)防御功能分別是否進(jìn)行發(fā)揮作用或者以何種程度有效地發(fā)揮了作用進(jìn)行評(píng)價(jià)。另外,在評(píng)價(jià)裝置101中,也可以為:發(fā)送部201a使按攻擊過程信息105所示出的發(fā)送順序向can總線20發(fā)送多個(gè)幀的攻擊模式反復(fù)多次,評(píng)價(jià)部206以根據(jù)因攻擊模式的反復(fù)而得到的監(jiān)視部200的監(jiān)視結(jié)果的變化的有無而評(píng)價(jià)結(jié)果不同的方式進(jìn)行評(píng)價(jià)。例如,也可以為:評(píng)價(jià)裝置101在反復(fù)多次進(jìn)行了假認(rèn)證種子的發(fā)送或者假認(rèn)證密鑰的發(fā)送時(shí),通過在實(shí)施一定次數(shù)以上后是否能夠接收到響應(yīng)來判定攻擊成功與否。此外,對(duì)于評(píng)價(jià)裝置101的評(píng)價(jià)部206的評(píng)價(jià)結(jié)果,除了由評(píng)價(jià)裝置101記錄于存儲(chǔ)器等存儲(chǔ)介質(zhì)之外,可以向評(píng)價(jià)裝置101的外部輸出(例如,評(píng)價(jià)結(jié)果的顯示、表示評(píng)價(jià)結(jié)果的信息的發(fā)送等)。例如,評(píng)價(jià)部206也可以將表示評(píng)價(jià)對(duì)象的電子控制系統(tǒng)是否有抗攻擊性的信息作為評(píng)價(jià)結(jié)果進(jìn)行輸出。
(8)對(duì)于評(píng)價(jià)對(duì)象的電子控制系統(tǒng)11的包含安全ecu104的安全功能,也可以記錄與檢測(cè)到非法有關(guān)的日志信息(can消息的接收歷史記錄等),在該情況下,評(píng)價(jià)裝置101也可以通過對(duì)該日志信息和該評(píng)價(jià)裝置101所保持的與攻擊有關(guān)的期待值進(jìn)行比較,進(jìn)行攻擊是否成功的判定或者攻擊是否成功的概率等的算出,由此進(jìn)行關(guān)于安全性的評(píng)價(jià)。
(9)在上述實(shí)施方式中,作為安全功能,電子控制系統(tǒng)11可以具有獨(dú)立的安全ecu104,但也可以是經(jīng)由總線通信的多個(gè)ecu中的全部或者一部分ecu具有安全功能。另外,也可以是多個(gè)ecu分散地實(shí)現(xiàn)安全功能。
(10)在上述實(shí)施方式中,示出了評(píng)價(jià)裝置101與評(píng)價(jià)對(duì)象的電子控制系統(tǒng)11中的總線直接連接的例子,但也可以在評(píng)價(jià)裝置101與評(píng)價(jià)對(duì)象之間插入網(wǎng)關(guān)等中繼裝置。例如,也可以:評(píng)價(jià)裝置101通過在與網(wǎng)關(guān)之間實(shí)施了相互認(rèn)證或者單方認(rèn)證之后發(fā)送攻擊用的can消息,由此使網(wǎng)關(guān)將該can消息轉(zhuǎn)送給can總線20,通過經(jīng)由網(wǎng)關(guān)取得來自can總線20的can消息等,對(duì)評(píng)價(jià)對(duì)象的安全性(抗攻擊性等)進(jìn)行評(píng)價(jià)。
(11)評(píng)價(jià)裝置101也可以發(fā)送假認(rèn)證種子,實(shí)施多次從改寫實(shí)施ecu102獲得認(rèn)證密鑰這一動(dòng)作,并對(duì)其趨勢(shì)進(jìn)行分析,由此通過是否能夠類推認(rèn)證密鑰來進(jìn)行安全功能的評(píng)價(jià)。
(12)上述實(shí)施方式中的評(píng)價(jià)裝置101以及各種ecu例如是包括處理器、存儲(chǔ)器等的數(shù)字電路、模擬電路、通信線路等的裝置,但也可以包括顯示器、鍵盤、鼠標(biāo)等其他的硬件構(gòu)成要素。另外,也可以取代由處理器執(zhí)行存儲(chǔ)器所存儲(chǔ)的控制程序并以軟件方式來實(shí)現(xiàn)功能,而通過專用的硬件(數(shù)字電路等)來實(shí)現(xiàn)其功能。例如,評(píng)價(jià)裝置101的can總線監(jiān)視部203、信號(hào)監(jiān)視部204、收發(fā)部201、保持部202、評(píng)價(jià)部206、存儲(chǔ)部208以及控制部207的各功能塊可以通過集成電路來實(shí)現(xiàn)。另外,例如,改寫實(shí)施ecu102的收發(fā)部301、署名存儲(chǔ)部302、密鑰存儲(chǔ)部303、程序存儲(chǔ)部304、改寫過程信息存儲(chǔ)部305以及控制部306的各功能塊可以通過集成電路來實(shí)現(xiàn)。另外,例如,被改寫ecu103的收發(fā)部401、署名存儲(chǔ)部402、密鑰存儲(chǔ)部403、程序存儲(chǔ)部404、改寫過程信息存儲(chǔ)部405以及控制部406的各功能塊可以通過集成電路來實(shí)現(xiàn)。另外,例如,安全ecu104的收發(fā)部501、can總線監(jiān)視部502以及控制部503的各功能塊可以通過集成電路來實(shí)現(xiàn)。
(13)構(gòu)成上述實(shí)施方式中的各裝置(評(píng)價(jià)裝置101、各種ecu等)的構(gòu)成要素的一部分或者全部也可以由1個(gè)系統(tǒng)lsi(largescaleintegration:大規(guī)模集成電路)構(gòu)成。系統(tǒng)lsi是將多個(gè)構(gòu)成部集成于1個(gè)芯片上而制造出的超多功能lsi,具體而言,是包含微處理器、rom、ram等而構(gòu)成的計(jì)算機(jī)系統(tǒng)。所述ram中記錄有計(jì)算機(jī)程序。所述微處理器按照所述計(jì)算機(jī)程序進(jìn)行工作,由此系統(tǒng)lsi實(shí)現(xiàn)其功能。另外,構(gòu)成上述各裝置的構(gòu)成要素的各部既可以單獨(dú)地單芯片化,也可以以包含一部分或全部的方式單芯片化。另外,雖然此處設(shè)為lsi,但根據(jù)集成度不同,也可以稱為ic、lsi、超大lsi(superlsi)、特大lsi(ultralsi)。另外,集成電路化的方法不限于lsi,也可以通過專用電路或者通用處理器實(shí)現(xiàn)。也可以在lsi制造后利用能夠進(jìn)行編程的fpga(fieldprogrammablegatearray;現(xiàn)場(chǎng)可編程門陣列)或者可以對(duì)lsi內(nèi)部的電路單元的連接和/或設(shè)定進(jìn)行重構(gòu)的可重構(gòu)處理器(reconfigurableprocessor)。進(jìn)而,隨著半導(dǎo)體技術(shù)的發(fā)展或者派生的其他技術(shù)的出現(xiàn),如果出現(xiàn)能夠替代lsi的集成電路化的技術(shù),當(dāng)然也可以利用該技術(shù)進(jìn)行功能塊的集成化。也可能會(huì)存在適用生物技術(shù)的可能性。
(14)構(gòu)成上述各裝置的構(gòu)成要素的一部分或者全部也可以由能夠裝卸于各裝置的ic卡或者單體模塊構(gòu)成。所述ic卡或者所述模塊是由微處理器、rom、ram等構(gòu)成的計(jì)算機(jī)系統(tǒng)。所述ic卡或者所述模塊也可以包含上述超多功能lsi。微處理器按照計(jì)算機(jī)程序進(jìn)行工作,由此所述ic卡或者所述模塊實(shí)現(xiàn)其功能。該ic卡或者該模塊也可以具有抗篡改性。
(15)作為本公開的一個(gè)技術(shù)方案,也可以設(shè)為包含例如圖9~圖18等所例示的處理過程的全部或者一部分的評(píng)價(jià)方法。例如,評(píng)價(jià)方法是進(jìn)行與具備經(jīng)由總線(例如can總線20)進(jìn)行通信的多個(gè)ecu的電子控制系統(tǒng)11的安全性有關(guān)的評(píng)價(jià)的評(píng)價(jià)方法,將包括使總線上的幀無效化的無效化幀(例如can的錯(cuò)誤幀)在內(nèi)的一個(gè)以上的攻擊用幀發(fā)送到總線(例如s701~s703、s901、s902、s1101~s1103、s1201、s1202、s1301、s1302、s1401、s1402、s1501、s1601、s1602),在攻擊用幀被發(fā)送到總線時(shí),對(duì)多個(gè)ecu中的一個(gè)以上的ecu進(jìn)行監(jiān)視,基于監(jiān)視的監(jiān)視結(jié)果來進(jìn)行評(píng)價(jià)(例如s801、s1001、s1203、s1403、s1603)。另外,作為本公開的一個(gè)技術(shù)方案,也可以是由計(jì)算機(jī)實(shí)現(xiàn)該評(píng)價(jià)方法所涉及的處理的計(jì)算機(jī)程序,還可以是通過所述計(jì)算機(jī)程序形成的數(shù)字信號(hào)。另外,作為本公開的一個(gè)技術(shù)方案,也可以將所述計(jì)算機(jī)程序或者所述數(shù)字信號(hào)記錄于計(jì)算機(jī)可讀取的記錄介質(zhì)例如軟盤、硬盤、cd-rom、mo、dvd、dvd-rom、dvd-ram、bd(blu-ray(注冊(cè)商標(biāo))disc)、半導(dǎo)體存儲(chǔ)器等。另外,也可以是記錄在上述的記錄介質(zhì)中的所述數(shù)字信號(hào)。另外,作為本公開的一個(gè)技術(shù)方案,也可以將所述計(jì)算機(jī)程序或所述數(shù)字信號(hào)經(jīng)由電通信線路、無線或有線通信線路、以因特網(wǎng)為代表的網(wǎng)絡(luò)、數(shù)據(jù)廣播等進(jìn)行傳送。另外,作為本公開的一個(gè)技術(shù)方案,也可以是具有微處理器和存儲(chǔ)器的計(jì)算機(jī)系統(tǒng),所述存儲(chǔ)器記錄有上述計(jì)算機(jī)程序,所述微處理器可以按照所述計(jì)算機(jī)程序進(jìn)行工作。另外,也可以通過將所述程序或所述數(shù)字信號(hào)記錄在所述記錄介質(zhì)中轉(zhuǎn)移、或經(jīng)由所述網(wǎng)絡(luò)等將所述程序或所述數(shù)字信號(hào)進(jìn)行轉(zhuǎn)移,由此通過獨(dú)立的其他的計(jì)算機(jī)系統(tǒng)來實(shí)施。
(16)通過將上述實(shí)施方式以及上述變形例中示出的各構(gòu)成要素以及功能進(jìn)行任意組合而實(shí)現(xiàn)的實(shí)施方式也包含在本公開的范圍中。
產(chǎn)業(yè)上的可利用性
本公開能夠利用于進(jìn)行對(duì)電子控制系統(tǒng)實(shí)施的安全對(duì)策技術(shù)是否能夠適當(dāng)?shù)胤烙舻鹊脑u(píng)價(jià)。
標(biāo)號(hào)的說明
10評(píng)價(jià)系統(tǒng);11電子控制系統(tǒng);20總線(can總線);101評(píng)價(jià)裝置;102改寫實(shí)施ecu;103被改寫ecu;104安全ecu;105攻擊過程信息;200監(jiān)視部;201、301、401、501收發(fā)部;201a發(fā)送部;201b接收部;202保持部;203、502can總線監(jiān)視部;204信號(hào)監(jiān)視部;206評(píng)價(jià)部;207、306、406、503控制部;208存儲(chǔ)部;302、402署名存儲(chǔ)部;303、403密鑰存儲(chǔ)部;304、404程序存儲(chǔ)部;305、405改寫過程信息存儲(chǔ)部。