技術の概要
本技術は、車両の統合ECUにおいて外部通信機能とセキュリティ機能の連携を保護する設計を提供する。バスからのコマンドを監視する通信監視部と、特権コマンドを扱う信頼領域を組み合わせ、セキュリティレベルを動的に変更して悪用を困難にする。外部攻撃時にも機能を堅牢化する点を強調する。
ユースケース
- OTA更新時のセキュリティ保護を強化する用途
- 外部通信と内部セキュリティ機能の統合保護用途
- 不正特権コマンドの検知・抑制の用途
- 非信頼領域と信頼領域の分離によるメモリ保護の用途
- 監視サーバと車両システム間のセキュリティ状態共有の用途
本技術は、車両の統合ECUにおいて、外部通信機能の脆弱性が悪用されてもセキュリティ機能の悪用を困難にする構成を提案します。非信頼領域実行部と信頼領域実行部を分離し、通信監視部が非信頼領域へ入出力されるデータを監視します。さらに、特権コマンドの処理を高権限で担う特権コマンド処理部と、それを監視する特権コマンド監視部を設け、セキュリティレベルを変更するセキュリティレベル連携部を介して運用します。セキュリティレベル変更は、通信監視部または特権コマンド監視部の異常検知に基づき実行され、対象となる処理の制限を動的に切替えます。OTA処理などアップデート時にも有効な保護機構を備えます。
本発明は、統合ECUのセキュリティを網羅的に保護する技術要旨を、専門家が理解しやすいよう詳述する。非信頼領域実行部と信頼領域実行部を分離し、通信監視部で外部からの通信コマンドを検査する。特権コマンド処理部は高権限で処理するが、特権コマンド監視部が実行可否を判定する。セキュリティレベル連携部は、監視部・処理部からのセキュリティレベル変更要求を受け取り、MACやカウンタ値、メッセージハッシュ等の認証情報を用いて正当性を検証し、ルールを動的に更新する。監視部は第1統計情報と第2統計情報を用いた評価を行い、異常を検知すると通信監視部・特権監視部の処理を制限する。第一・第二・第三メモリ領域とMMUを組み合わせたアクセス制御により、非信頼領域からのデータ流入を厳格に排除する。OTA更新時にも適用可能で、セキュリティルールは環境変化に応じて順次変更され、車両システムの安全性を高める。
