車載セグメント間通信保護システム

本技術は、車両内の仮想マシン同士の通信を安全に行う仕組みです。受信部がデータを受け取り、転送先を決定するルーティング表を参照します。識別部は送信元の所属ECUとセグメント、転送先の所属を識別します。判定部は同じECU・同じセグメントなら暗号化を行わず、それ以外は暗号化を判定します。暗号化部はデータを暗号化し、MACを付加して改ざん検出します。データ転送部は転送先へ転送します。鍵はセグメントごとに事前配布され、仮想マシン間の通信で使用します。受信側では暗号化された場合に復号化とMAC検証を行い、正常ならアプリへ通知します。

本発明の通信保護システムは、受信部、転送先決定部、識別部、判定部、暗復号化部、データ転送部に加え、ルーティングテーブル保管部と識別テーブル保管部を備え、仮想マシンの所属情報を基に暗号化の要否を決定します。識別部は識別テーブルを参照して、送信元仮想マシンのECU・セグメントと宛先仮想マシンのECU・セグメントを特定します。判定部は、暗号化フラグと所属関係に基づき、同一セグメント・同一ECU内の通信は暗号化不要と判定し、それ以外は暗号化を指示します。暗復号化部は、セグメントごとに事前に保管された鍵を用いて暗号化・復号化を行い、MACを生成・検証します。データは、ルーティングテーブルに従って適切な宛先へ転送され、宛先仮想マシンで復号・検証後にアプリケーションへ通知します。暗号鍵はセグメントごとに用意され、必要に応じてセキュア実行環境で生成される場合もあります。セキュア実行環境を用いれば鍵生成時の秘密パラメータ保護が強化され、プログラム改ざんチェック部が不正動作を検知でき、全体の耐攻性が向上します。なお、本技術は、車載ネットワークの安全性と性能の両立を目的としており、暗号化は送信元・宛先の所属関係に応じて動的に適用されるため、過度な遅延を招きにくい設計となっています。将来的には、複数ECUを跨ぐセグメントの拡張や、鍵管理の分散化といった拡張も想定されています。