評價裝置、評價系統以及評價方法與流程

2023-05-17 08:21:36

本公開涉及進行與車載網絡系統等供電子控制單元進行通信的電子控制系統的安全性(抗攻擊性等)有關的評價的技術。

背景技術：

近年來，在汽車中配置有許多電子控制單元(ecu：electroniccontrolunit)。連接ecu的車載網絡例如使用由iso11898-1規定的can(controllerareanetwork：控制器區域網)標準等。

在can中，通信路徑是由兩條線構成的總線，與總線連接的ecu稱為節點。與總線連接的各節點收發被稱為幀的消息(message)。發送幀的發送節點通過在兩條總線上施加電壓、並在總線間產生電位差，從而發送被稱為隱性(recessive)的值「1」和被稱為顯性(dominant)的值「0」。多個發送節點在完全相同的時刻(timing)發送了隱性和顯性的情況下，優先發送顯性。接收節點在接收到的幀的格式存在異常的情況下，發送被稱為錯誤幀(errorframe)的幀。錯誤幀是通過連續地發送6比特(bit)的顯性，從而向發送節點和/或其他接收節點通知幀的異常的幀。

作為對車載網絡的攻擊，已知如下那樣的攻擊：攻擊者通過無線通信對車內的信息終端進行訪問，非法地改寫信息終端的程序並從該信息終端向車載網絡發送任意的can消息，違背駕駛員意圖地控制與車載ecu連接的致動器。面向汽車的駕駛自動化等，如果車載ecu自身成為搭載v2x(車車間通信(v2v：vehicletovehicle)以及路車間通信(v2i：vehicletoinfrastructure))等無線通信功能的狀況，則與信息終端同樣地，與v2x對應的ecu的程序可能會被非法地改寫並用於攻擊。

關於攻擊對策的評價方法，雖然目前研究尚少，但例如在非專利文獻1中公開了通過向單個車載ecu發送數據並關注其響應來發現不良情況(因編程錯誤導致的缺陷(bug)的混入等)的模糊測試(fuzzing)方法。

現有技術文獻

非專利文獻

非專利文獻1：松本勉、小林優希、土屋遊、吉田直樹、森田伸義、萱島信，「車載ecuに対するcan経由のファジング手法」，scis2015，2015年1月20日

技術實現要素：

本公開的一技術方案所涉及的評價裝置是與構成電子控制系統的多個電子控制單元進行通信所使用的總線連接、並進行與該電子控制系統的安全性有關的評價的評價裝置，所述評價裝置具備：發送部，其將包含使所述總線上的幀無效化的無效化幀在內的一個以上的攻擊用幀發送到所述總線；監視部，其對所述多個電子控制單元中的一個以上的電子控制單元進行監視；以及評價部，其基於由所述發送部將所述攻擊用幀發送到所述總線時的所述監視部的監視結果來進行所述評價。

另外，本公開的一技術方案所涉及的評價系統是進行與具備經由總線進行通信的多個電子控制單元的電子控制系統的安全性有關的評價的評價系統，所述評價系統具備：發送部，其將包含使所述總線上的幀無效化的無效化幀在內的一個以上的攻擊用幀發送到所述總線；監視部，其對所述多個電子控制單元中的一個以上的電子控制單元進行監視；以及評價部，其基於由所述發送部將所述攻擊用幀發送到所述總線時的所述監視部的監視結果來進行所述評價。

另外，本公開的一技術方案所涉及的評價方法是進行與具備經由總線進行通信的多個電子控制單元的電子控制系統的安全性有關的評價的評價方法，所述評價方法包括：將包含使所述總線上的幀無效化的無效化幀在內的一個以上的攻擊用幀發送到所述總線；在所述攻擊用幀被發送到所述總線時，對所述多個電子控制單元中的一個以上的電子控制單元進行監視；基於所述監視的監視結果來進行所述評價。

根據本公開，能夠對包括多個ecu的電子控制系統的抗攻擊性(對電子控制系統實施的安全對策技術是否能夠適當地防禦攻擊等)進行評價。

附圖說明

圖1是表示實施方式涉及的評價系統的概略結構的構成圖。

圖2是評價系統中的評價裝置的構成圖。

圖3是評價對象的電子控制系統中的改寫實施ecu的構成圖。

圖4是評價對象的電子控制系統中的被改寫ecu的構成圖。

圖5是評價對象的電子控制系統中的安全ecu的構成圖。

圖6是表示評價裝置的保持部所保持的攻擊過程信息的一例的圖。

圖7是表示評價裝置的保持部所保持的攻擊過程信息的另一例的圖。

圖8是表示電子控制系統中的軟體的更新所涉及的工作例的時序圖。

圖9是表示評價系統的工作例1的時序圖。

圖10是表示評價系統的工作例1的時序圖。

圖11是表示評價系統的工作例2的時序圖。

圖12是表示評價系統的工作例2的時序圖。

圖13是表示評價系統的工作例3的時序圖。

圖14是表示評價系統的工作例3的時序圖。

圖15是表示評價系統的工作例4的時序圖。

圖16是表示評價系統的工作例4的時序圖。

圖17是表示評價系統的工作例5的時序圖。

圖18是表示評價系統的工作例5的時序圖。

具體實施方式

(成為本發明的基礎的見解)

對於非專利文獻1的方法，即使能夠發現單個車載ecu的不良情況，也不能將由形成車載網絡的多個ecu構成的系統(電子控制系統)作為評價對象來進行與安全性(對評價對象實施的安全對策技術是否能夠適當地防禦攻擊這一抗攻擊性等)有關的評價。

因此，本公開提供一種能夠將包括多個ecu的電子控制系統作為評價對象來進行與安全性有關的評價的評價裝置。另外，本公開提供一種能夠進行與包括多個ecu的電子控制系統的安全性有關的評價的評價系統以及用於該評價的評價方法。

本公開的一技術方案所涉及的評價裝置與構成電子控制系統的多個電子控制單元進行通信所使用的總線連接，進行與該電子控制系統的安全性有關的評價，所述評價裝置具備：發送部，其將包含使所述總線上的幀無效化的無效化幀在內的一個以上的攻擊用幀發送到所述總線；監視部，其對所述多個電子控制單元中的一個以上的電子控制單元進行監視；以及評價部，其基於由所述發送部將所述攻擊用幀發送到所述總線時的所述監視部的監視結果來進行所述評價。監視部可以在由發送部將攻擊用幀(例如can的數據幀、錯誤幀等)發送到總線時(例如，剛發送後或者從即將發送前到剛發送後)，直接或間接地對電子控制單元(ecu)進行監視。由此，能夠將包括多個ecu的電子控制系統作為評價對象來進行對基於幀的發送的向ecu的攻擊的防禦功能等這樣的安全功能(抗攻擊性等)的評價。

另外，例如也可以為：所述多個電子控制單元遵循can協議即控制器區域網協議經由所述總線進行通信，所述無效化幀是錯誤幀。由此，能夠使得針對用於在ecu間進行幀的授受的遵循can的網絡中的通過包含錯誤幀的攻擊用幀的發送而進行的攻擊的安全功能的評價成為可能。

另外，例如也可以為：所述評價裝置還具備保持部，所述保持部對表示攻擊用的多個幀的內容以及發送順序的攻擊過程信息進行保持，所述發送部按照所述攻擊過程信息所表示的發送順序將所述攻擊用的多個幀發送到所述總線。由此，能給使得針對按多個幀的發送順序等確定的攻擊方法的防禦功能等的評價成為可能。

另外，例如也可以為：所述評價裝置具備從所述總線接收幀的接收部，所述攻擊過程信息示出繼錯誤幀之後發送具備預定id的攻擊用幀，所述發送部在所述接收部從所述總線接收到具有所述預定id的幀時發送所述錯誤幀。由此，例如，能夠使得針對冒充在電子控制系統中作為具有預定id的幀的發送源而規定的ecu來進行攻擊的攻擊方法的安全功能的評價成為可能。

另外，例如也可以為：所述攻擊過程信息還示出關於攻擊用的所述多個幀的發送間隔，所述發送部按照所述攻擊過程信息所表示的發送順序以及發送間隔將所述多個幀發送到所述總線。由此，能夠使得針對由多個幀的發送順序以及發送間隔確定的攻擊方法的防禦功能等的評價成為可能。

另外，例如也可以為：所述發送部在錯誤幀的發送後，發送具有與由該錯誤幀無效化了的幀相同的id且內容不同的攻擊用幀。由此，例如，能夠通過使用由錯誤幀對在電子控制系統中被發送到總線的幀進行無效化並發送使內容的一部分變更後的幀這一能夠相對容易實施的攻擊方法來使得高效的安全功能的評價成為可能。

另外，例如也可以為：所述發送部在錯誤幀的發送後，發送具有更新用id的攻擊用幀，所述更新用id是在所述電子控制系統中為了所述多個電子控制單元的某個電子控制單元的軟體的更新處理而預先確定的id，所述監視部對具有與具有所述更新用id的幀的接收相應地進行所述保持的軟體的更新處理的功能的電子控制單元或者發送具有所述更新用id的幀的電子控制單元進行所述監視。軟體的更新處理既可以是更新本身，也可以是更新的前處理或後處理這樣的為了適當的更新而進行的附帶處理等，還可以包含兩方。由此，例如，能夠使得針對作為用於攻擊者支配電子控制系統的一部分ecu的一種攻擊的、與ecu的固件等這樣的軟體的更新相關聯的攻擊的電子控制系統的安全功能的評價成為可能。

另外，例如也可以為：所述監視部通過檢測由所述發送部向所述總線發送了攻擊用幀的情況下的所述多個電子控制單元中的一個電子控制單元的動作是否與預定動作一致，從而進行所述監視，所述評價部以根據由所述發送部向所述總線發送了所述攻擊用幀之後的所述監視部的所述檢測的結果而評價結果不同的方式進行所述評價。預定動作可以是攻擊成功的情況下所預測(期待)的ecu的動作、攻擊失敗的情況下所預測的ecu的動作、接收到正規幀的情況下的ecu的通常動作等。由此，能夠使得電子控制系統的安全功能的適當評價成為可能。

另外，例如也可以為：所述評價裝置具備從所述總線接收幀的接收部，所述監視部進行是否由所述接收部接收到特定幀的檢測來作為對所述電子控制單元的所述監視，所述評價部以根據在由所述發送部向所述總線發送了所述攻擊用幀之後的一定期間內是否由所述監視部檢測出接收到所述特定幀這一情況而評價結果不同的方式進行所述評價。特定幀例如是預測(期待)為在攻擊成功的情況或者失敗的情況下發送的幀，例如能夠通過由電子控制系統規定的幀的id來識別。由此，即使不依賴於例如與ecu直接通信等，也能夠通過總線的監視來適當地評價電子控制系統。

另外，例如也可以為：所述評價部將表示所述電子控制系統是否具有抗攻擊性的信息作為評價結果進行輸出。由此，例如，評價裝置的利用者等能夠獲知電子控制系統是否具有抗攻擊性。

另外，本公開的一技術方案所涉及的評價系統，進行與具備經由總線進行通信的多個電子控制單元的電子控制系統的安全性有關的評價，所述評價系統具備：發送部，其將包含使所述總線上的幀無效化的無效化幀在內的一個以上的攻擊用幀發送到所述總線；監視部，其對所述多個電子控制單元中的一個以上的電子控制單元進行監視；以及評價部，其基於由所述發送部將所述攻擊用幀發送到所述總線時的所述監視部的監視結果來進行所述評價。由此，能夠使得應對包括多個ecu的電子控制系統中的通過向ecu發送幀而進行的攻擊的防禦功能等這樣的安全功能的評價成為可能。

另外，本公開的一技術方案所涉及的評價方法，進行與具備經由總線進行通信的多個電子控制單元的電子控制系統的安全性有關的評價，所述評價方法包括：將包含使所述總線上的幀無效化的無效化幀在內的一個以上的攻擊用幀發送到所述總線；在所述攻擊用幀被發送到所述總線時，對所述多個電子控制單元中的一個以上的電子控制單元進行監視；基於所述監視的監視結果來進行所述評價。由此，能夠使得將包括多個ecu的電子控制系統作為評價對象來評價應對通過因幀的發送而進行的攻擊的防禦功能等這樣的安全功能成為可能。

此外，這些總括性或者具體的技術方案既可以通過系統、方法、集成電路、電腦程式或者計算機可讀取的cd-rom等記錄介質來實現，也可以通過系統、方法、集成電路、電腦程式和記錄介質的任意組合來實現。

以下，參照附圖對實施方式涉及的評價系統進行說明。在此所示的施方式都表示本公開的一個具體例子。因此，以下的實施方式中示出的數值、構成要素、構成要素的配置以及連接形式、步驟(工序)以及步驟的順序等是一例，並非限定本公開。關於以下的實施方式中的構成要素中的未記載在獨立權利要求中的構成要素，是能夠任意附加的構成要素。另外，各圖是示意圖，不一定嚴格圖示。

(實施方式1)

以下，對進行與搭載於汽車(車輛)並包括經由總線進行通信的多個電子控制單元(ecu)而構成的車載網絡系統(電子控制系統)的安全性有關的評價的評價裝置、評價方法以及包括電子控制系統和評價裝置的評價系統進行說明。

[1.1評價系統10的結構]

圖1是表示評價系統10的概略結構的構成圖。如該圖所示，評價系統10構成為包括評價裝置101和電子控制系統11。評價系統10將電子控制系統11作為評價對象，對電子控制系統11的抗攻擊性(對攻擊進行防禦的安全對策技術是否適當地發揮作用等)進行評價。

電子控制系統11是車載網絡系統，具備車載網絡，該車載網絡與車輛內的控制裝置、傳感器、致動器(例如能夠進行電子控制的轉向機構、加速器、制動器等)、用戶接口裝置等各種設備連接，包括經由車內的總線(can總線)進行幀的收發的多個電子控制單元(ecu)而構成。在電子控制系統11中，各ecu對幀進行授受並進行協作，由此實現例如作為先進駕駛員輔助系統(adas：advanceddriverassistancesystem)的一個功能的停車輔助功能、車道維持輔助功能、防撞輔助功能等功能。各ecu通過軟體進行控制，ecu的軟體能夠通過包括某種幀經由can總線進行授受在內的過程來進行改寫(更新)。

在車內可能會包括許多ecu等，但在此為了便於說明，作為一例，以電子控制系統11如圖1所示具備改寫實施ecu102、被改寫ecu103以及安全ecu104來進行說明。此外，各ecu遵循以can總線20為通信線路的can標準(協議)進行通信。在can中用於數據傳輸的幀即數據幀(也稱為can消息)被規定為包含保存id(消息id)的id域、保存數據的數據域等。

改寫實施ecu102連接於can總線20，是具有將用於對被改寫ecu103的軟體進行更新處理的can消息(數據幀)即更新用幀發送給can總線20的功能(改寫實施功能)的ecu。更新用幀是具有在電子控制系統11中為了軟體的更新處理而預先確定的更新用id來作為消息id的幀。作為更新用幀，例如有分別表示改寫模式轉換指示、認證密鑰、存儲器擦除命令、更新軟體(作為更新用程序的更新軟體)、更新軟體署名(對更新軟體的數字署名)、再啟動指示的幀等。改寫實施ecu102例如是具有將更新用軟體從外部取入電子控制系統11內的功能的ecu。作為具體例子，改寫實施ecu102是具有車載導航功能的ecu、具有與車輛外部進行通信的外部通信功能的ecu、具有從所安裝的記錄介質讀取數據的功能的ecu、與診斷埠連接的診斷工具(故障診斷工具)等。診斷埠是車載網絡(can總線)中的用於與例如obd2(on-boarddiagnostics2)等這樣的診斷工具等進行通信的接口。

被改寫ecu103連接於can總線20，是具有通過更新用幀的接收來更新本ecu(被改寫ecu103)中的軟體的功能(被改寫功能)的ecu。被改寫ecu103例如可以是控制致動器(例如轉向機構、加速器、制動器等)的ecu等，被更新的軟體例如可以是用於進行包括該致動器的控制的處理的軟體。

安全ecu104總是監視(monitoring)can總線20，例如在檢測到有非法的can消息(攻擊用的can消息)傳播的情況下，進行使該can消息無效化等的應對。作為使can消息無效化的方法，可以使用任意的方法，例如可以通過發送由can協議規定的錯誤幀以使得與非法的can消息重疊的方式來進行無效化。

評價裝置101是評價對電子控制系統11(評價對象)實施的安全對策技術的抗攻擊性的裝置。評價裝置101基於所保持的攻擊過程信息105，對評價對象施加攻擊(hacking)，進行用於觀測對攻擊的反應的監視(monitoring)，根據監視結果來進行評價。作為評價裝置101的評價的一例，例如可列舉有無對該攻擊的抵抗性(攻擊或者防禦的成功與否)的判定。具體而言，作為監視，評價裝置101進行在can總線20上傳播的幀(消息)的監視、改寫實施ecu102以及被改寫ecu103的輸出信號的監視。此外，評價裝置101也可以進行受改寫實施ecu102或者被改寫ecu103控制的致動器等的舉動(動作)的監視。攻擊過程信息105表示施加攻擊時的過程(應該發送的幀的種類、順序、時刻、頻度等)。

以下，對評價系統10的各構成要素進行詳細說明。

[1.2評價裝置101的結構]

圖2是評價系統10中的評價裝置101的構成圖。

如圖2所示，評價裝置101構成為包括監視部200(can總線監視部203以及信號監視部204)、收發部201(發送部201a以及接收部201b)、保持部202、評價部206、控制部207和存儲部208。

評價裝置101例如是包括處理器(微處理器)、存儲器等的數字電路、模擬電路、通信線路、硬碟等的裝置。存儲器是rom、ram等，能夠存儲由處理器執行的控制程序(作為軟體的電腦程式)。例如通過處理器按照控制程序(電腦程式)進行工作(各種電路的控制等)，評價裝置101會實現各種功能。此外，電腦程式的為了實現預定的功能而組合多個表示對處理器的指令的命令代碼而構成的。

(1)收發部201

收發部201通過通信線路等來實現。收發部201由發送部201a以及接收部201b構成。發送部201a向can總線20發送can消息(例如，表示改寫模式轉換指示、認證密鑰、存儲器擦除命令、更新軟體、更新軟體署名等各種信息的各種幀等)、或者錯誤幀。錯誤幀使在can總線20上傳播的can消息無效化，例如可以使發送了成為該無效化對象的can消息的ecu成為總線關閉狀態(busoff)、錯誤激活狀態(erroractivestate)。接收部201b接收在can總線20上傳播的can消息(例如由改寫實施ecu102或者被改寫ecu103發送的表示改寫模式轉換指示、認證密鑰、存儲器擦除命令、更新軟體、更新軟體署名、再啟動指示、認證種子、認證結果等各種信息的各種幀等)。

(2)保持部202

保持部202通過存儲器、硬碟等存儲介質來實現，存儲有表示評價裝置101為了對評價對象的抗攻擊性等進行評價而施加的攻擊的過程的攻擊過程信息105。攻擊過程信息105示出攻擊用的多個幀(can消息或者錯誤幀)的發送順序等。關於攻擊過程信息105的詳細情況，後面使用圖6以及圖7進行說明。

(3)can總線監視部203

can總線監視部203例如通過執行程序的處理器等來實現，對評價對象的電子控制系統11中的連接有多個ecu的can總線20進行監視。具體而言，can總線監視部203經由接收部201b接收can消息，將can消息所包含的數據的內容(payload，有效載荷)記錄於存儲部208並進行確認。can總線監視部203例如檢測分別表示改寫模式轉換指示、認證密鑰、存儲器擦除命令、更新軟體、更新軟體署名、再啟動指示的更新用幀是否被發送到了can總線20這一情況並確認幀的內容來作為對改寫實施ecu102的監視。另外，can總線監視部203例如檢測分別表示認證種子、認證結果的幀是否被發送到了can總線20並確認幀的內容來作為對被改寫ecu103的監視。監視部200通過can總線監視部203進行是否由接收部201b接收到特定幀的檢測來作為對電子控制系統11的ecu的監視。該特定幀是具有特定內容的預先規定的幀，可以是通過幀的id、數據域的內容等確定的幀。該特定幀是假設為如下情況的幀：針對通過攻擊用幀的發送而進行的攻擊，電子控制系統11的一部分ecu發送或者不發送特定幀，由此能夠預先區分攻擊是否成功、防禦是否成功等。

(4)信號監視部204

信號監視部204對改寫實施ecu102以及被改寫ecu103輸出到can總線20以外的信號線等的信號進行觀測，確認信號內容。信號監視部204例如通過與改寫實施ecu102以及被改寫ecu103分別輸出信號的信號線連接的通信線路、執行程序的處理器等來實現。此外，信號監視部204例如也可以監視改寫實施ecu102以及被改寫ecu103各自的調試用的輸出信號，電子控制系統11的各ecu也可以構成為可以在評價時輸出調試用的輸出信號。該情況下，各ecu也可以具有如下結構：可以輸出表示ecu的狀態的信息、表示存儲器內容的信息、或者表示是否進行了執行軟體的處理器的復位(再啟動)的信息等來作為調試用的輸出信號。信號監視部204通過信號的觀測，例如可以確認被改寫ecu103是否通過再啟動的執行而完成了與軟體的更新(改寫)有關的處理。監視部200通過信號監視部204等，檢測由發送部201a向can總線20發送了攻擊用幀的情況下的電子控制系統11的某個ecu的動作是否與預定動作(例如，攻擊成功時所預測的動作、攻擊失敗時所預測的動作、接收到正規幀時的通常動作等)一致，由此進行該ecu的監視。

(5)評價部206

評價部206通過執行程序的處理器等來實現。評價部206基於由監視部200(can總線監視部203以及信號監視部204)的監視得到的確認結果，進行與電子控制系統11的安全性有關的評價。具體而言，評價部206將監視部200的確認結果的全部或者一部分與基於攻擊過程信息105發送can消息時的期待值進行比較，判定攻擊是否成功(例如應對攻擊的防禦功能是否適當地發揮作用)等。期待值是作為攻擊結果(例如針對各攻擊用幀的發送的結果)而期待的改寫實施ecu102或者被改寫ecu103要發送的can消息或者由要發送的信號表示的信息(動作等)，可以預先規定。評價部206基於由發送部201a將基於攻擊過程信息105的攻擊用幀發送到can總線20時(例如剛發送後的一定期間或者從即將發送前到剛發送後為止等)的監視部200的監視結果來進行評價。評價部206例如在由發送部201a向can總線20發送了攻擊過程信息105所示出的攻擊用的多個幀的一個以上幀之後的一定期間內，判定是否由can總線監視部203檢測到作為期待值的特定幀被發送到了can總線20上，以根據是否檢測到特定幀而評價結果不同的方式進行評價。另外，評價部206例如可以進行評價，使得根據在攻擊用幀的一個以上被發送到了can總線20之後的一定期間內是否由信號監視部204檢測到表示改寫實施ecu102或者被改寫ecu103進行了期待值所涉及的預定動作這一情況的信號而評價結果不同。

(6)存儲部208

存儲部208由存儲器等存儲介質構成，對假更新軟體、對更新軟體的假署名、更新過程、從can總線20接收到的can消息的內容(存儲器擦除命令、更新軟體、更新軟體署名、認證密鑰、認證種子等)進行保持。

(7)控制部207

控制部207通過執行程序的處理器等來實現，對監視部200、收發部201、保持部202、存儲部208以及評價部206進行管理、控制來實現評價裝置101的功能。另外，控制部207可以進行為了認證密鑰的生成、確認等而需要的運算處理。

[1.3改寫實施ecu102的結構]

圖3是改寫實施ecu102的構成圖。

如圖3所示，改寫實施ecu102構成為包括收發部301、署名存儲部302、密鑰存儲部303、程序存儲部304、改寫過程信息存儲部305和控制部306。

改寫實施ecu102是與can總線20連接的ecu。ecu例如是包括處理器、存儲器等的數字電路、模擬電路、通信線路等的裝置。存儲器是rom、ram等，能夠存儲由處理器執行的控制程序。例如通過處理器按照控制程序(電腦程式)進行工作(各種電路的控制等)，改寫實施ecu102發揮功能。

(1)收發部301

收發部301向can總線20發送can消息，接收在can總線20上傳播的can消息。收發部301例如發送分別表示改寫模式轉換指示、認證密鑰、存儲器擦除命令、更新軟體、更新軟體署名、再啟動指示的更新用幀，接收在can總線20上傳播的分別表示認證種子、認證結果的幀。另外，收發部301例如負責與電子控制系統11的外部(車輛外部)的裝置進行通信的外部通信功能，從外部的裝置接收更新軟體、更新軟體署名等。

此外，在用於供改寫實施ecu102更新被改寫ecu103的軟體的更新處理中使用的認證種子，是用於供改寫實施ecu102和被改寫ecu103互相進行認證而使用的信息。另外，認證密鑰是通過改寫實施ecu102基於被改寫ecu103發送的認證種子實施使用了彼此共同的秘密密鑰的加密而生成的信息。在更新處理中，改寫實施ecu102基於被改寫ecu103發送的認證種子，通過使用了共同的秘密密鑰的加密來生成認證密鑰，將認證密鑰發送給被改寫ecu103，被改寫ecu103利用共同的秘密密鑰來解碼認證密鑰，如果該解碼結果與先前發送的認證種子一致則判斷為認證成功，如果不一致則判斷為認證不成功，將作為判斷結果的認證結果(例如在認證成功的情況下表示允許改寫而在認證不成功的情況下表示不允許改寫的信息)發送到改寫實施ecu102。在認證成功的情況下，為了軟體的改寫，從改寫實施ecu102發送儲器擦除命令、更新軟體、更新軟體署名、再啟動指示等，相應於此，在被改寫ecu103中進行軟體的改寫等。

(2)署名存儲部302

署名存儲部302存儲針對由程序存儲部304存儲的更新軟體的署名。

(3)密鑰存儲部303

密鑰存儲部303存儲在通過對從被改寫ecu103發送的認證種子進行加密來生成認證密鑰時的加密所使用的密鑰(秘密密鑰)。

(4)程序存儲部304

程序存儲部304存儲被改寫ecu103用的更新軟體。

(5)改寫過程信息存儲部305

改寫過程信息存儲部305存儲被改寫ecu103的軟體的更新過程(軟體的改寫所涉及的處理過程)。

(6)控制部306

控制部306對收發部301、署名存儲部302、密鑰存儲部303、程序存儲部304以及改寫過程信息存儲部305進行管理、控制來實現改寫實施ecu102的功能。即，控制部306可以按照改寫過程信息存儲部305存儲的改寫過程信息(更新過程)來控制各部，執行用於將被改寫ecu103的軟體更新為更新軟體的更新處理(包括各種更新用幀的發送、認證種子以及認證結果的接收等的一系列處理)等。

[1.4被改寫ecu103的結構]

圖4是被改寫ecu103的構成圖。

如圖4所示，被改寫ecu103構成為包括收發部401、署名存儲部402、密鑰存儲部403、程序存儲部404、改寫過程信息存儲部405和控制部406。

被改寫ecu103是與can總線20連接的ecu，是包括處理器、存儲器等的數字電路、模擬電路、通信線路等的裝置。例如通過處理器按照存儲器所保存的控制程序進行工作，被改寫ecu103發揮功能。

(1)收發部401

收發部401向can總線20發送can消息，接收在can總線20上傳播的can消息。收發部401例如發送分別表示認證種子、認證結果的幀，接收在can總線20上傳播的分別表示改寫模式轉換指示、認證密鑰、存儲器擦除命令、更新軟體、更新軟體署名、再啟動指示的更新用幀。

(2)署名存儲部402

署名存儲部402存儲針對由程序存儲部404存儲的更新軟體的署名。

(3)密鑰存儲部403

密鑰存儲部403存儲在改寫實施ecu102基於被改寫ecu103發送的認證種子通過加密而生成的認證密鑰的解碼中使用的解碼密鑰(秘密密鑰)以及在程序存儲部404所存儲的程序(更新軟體)的署名即署名存儲部402所存儲的署名的正當性的驗證中使用的署名驗證密鑰。

(4)程序存儲部404

程序存儲部404存儲被改寫ecu103的軟體(例如從改寫實施ecu102取得的更新軟體等)。

(5)改寫過程信息存儲部405

改寫過程信息存儲部405存儲被改寫ecu103的軟體的更新過程。

(6)控制部406

控制部406對收發部401、署名存儲部402、密鑰存儲部403、程序存儲部404以及改寫過程信息存儲部405進行管理、控制來實現被改寫ecu103的功能。即，控制部406可以按照改寫過程信息存儲部405存儲的改寫過程信息(更新過程)來控制各部，執行用於將被改寫ecu103的軟體更新為更新軟體的更新處理(包括各種更新用幀的接收、認證種子以及認證結果的發送等的一系列處理)等。

[1.5安全ecu104的結構]

圖5是安全ecu104的構成圖。

如圖5所示，安全ecu104構成為包括收發部501、can總線監視部502和控制部503。

安全ecu104連接於can總線20，是具備應對攻擊的安全功能(防禦功能等)的ecu。通過安全ecu104的處理器按照存儲器所存儲的控制程序(電腦程式)進行工作，安全ecu104發揮功能。

(1)收發部501

收發部501接收在can總線20上傳播的can消息，接收can總線監視部502的指示並為了使非法的can消息無效化而向can總線20發送錯誤幀。

(2)can總線監視部502

can總線監視部502對經由收發部501從連接有多個ecu的can總線20接收到的can消息所包含的數據的內容(有效載荷)進行確認。can總線監視部502在確認到有非法的can消息(例如在電子控制系統11中不遵循預先確定的規則的can消息)傳播的情況下，經由收發部501發送錯誤幀。can總線監視部502使用任何方法來作為檢測非法的can消息的方法都可以。

(3)控制部503

控制部503對收發部501以及can總線監視部502進行管理、控制來實現安全ecu104的功能。

[1.6攻擊過程信息]

對評價裝置101的保持部202所存儲的攻擊過程信息進行說明。圖6以及圖7分別表示攻擊過程信息的一例。

如圖6以及圖7所示，攻擊過程信息例如是按評價裝置101的每個評價項目(每個評價對象功能)包含發送消息(用於評價對象功能的評價的作為攻擊而應發送的攻擊用幀)的內容以及消息id、發送消息的發送間隔(與先行幀的時間間隔)、和發送順序的信息。該攻擊過程信息例如基於與電子控制系統11有關的各種信息(規格等)而確定。

例如，在圖6所示的評價對象功能為「改寫實施功能1」這一評價項目的例子中，攻擊過程成為如下一系列過程：首先(第一)，通過發送錯誤幀，使包含被改寫ecu103發送的認證種子的can消息無效化，接著(第二)，發送包含假認證種子的can消息，接著(第三)，在從改寫實施ecu102接收到與認證種子對應的認證密鑰之後，作為響應，發送包含認證結果(認證響應)的can消息。

例如，在圖7所示的評價對象功能為「被改寫功能1」這一評價項目的例子中，攻擊過程成為如下一系列過程：首先(第一)，通過發送錯誤幀，使包含改寫實施ecu102發送的存儲器擦除命令的can消息無效化，接著(第二)，發送包含存儲器擦除命令的更新用幀(can消息)，接著(第三)，發送包含假更新軟體的更新用幀(can消息)，接著(第四)，發送包含與該假更新軟體對應的署名的更新用幀(can消息)。此外，在圖7的攻擊過程信息中，在包含更新軟體署名的更新用幀的發送所涉及的信息之後，可以包含表示再啟動指示的更新用幀的發送所涉及的信息。

按照這樣的攻擊過程信息，評價裝置101按確定的發送順序發送針對各評價項目確定的攻擊用幀，由此對電子控制系統11進行攻擊並進行評價。評價裝置101例如在攻擊過程信息表示繼錯誤幀之後發送具有預定id(例如認證種子用的id、作為認證結果的認證響應用的id等)的攻擊用幀的情況下，當接收部201b從can總線20接收到具有預定id的can消息時，首先發送錯誤幀，接著發送具有預定id的攻擊用幀。該預定id也可以是為了軟體的更新處理而預先確定的更新用id(例如，存儲器擦除命令用的id、更新軟體用的id、更新軟體署名用的id、再啟動指示用的id等)。

[1.7評價系統10的工作]

以下，對具備上述結構的評價系統10的工作進行說明。

首先，對在評價系統10中評價裝置101未發送攻擊用幀時由電子控制系統11實施的軟體的更新所涉及的工作例進行說明。然後，針對通過評價裝置101按照攻擊過程信息105來攻擊(通過攻擊用幀的發送進行攻擊)評價對象的電子控制系統11並進行評價的工作，說明每個評價項目的工作例(工作例1～5)。

[1.7.1軟體的更新的工作例]

對於在評價裝置101未發送攻擊用幀時由電子控制系統11實施的軟體(被改寫ecu103中的軟體)的更新，結合圖8的時序圖來說明。在圖8的例子中，軟體的更新通過改寫實施ecu102主動發送預先確定的各種更新用幀、被改寫ecu103對該各種更新用幀進行應對來實現。

改寫實施ecu102將包含改寫模式轉換指示(指示向改寫模式轉換之意的信息)的更新用幀(can消息)發送給can總線20(步驟s601)。

從can總線20接收到包含改寫模式轉換指示的更新用幀的被改寫ecu103，將包含認證種子的can消息發送給can總線20(步驟s602)。

接收到包含認證種子的can消息的改寫實施ecu102，通過使用密鑰存儲部303所存儲的密鑰對所接收到的認證種子進行加密來生成認證密鑰，將包含認證密鑰的更新用幀(can消息)發送給can總線20(步驟s603)。

接收到包含認證密鑰的更新用幀的被改寫ecu103，使用密鑰存儲部403所存儲的密鑰對所接收到的認證密鑰進行解碼，確認解碼結果與已發送的認證種子是否一致。被改寫ecu103在確認為一致的情況下，將意味著允許改寫的can消息作為認證結果而發送給can總線20，允許實施以後的更新過程，在確認為不一致的情況下，將意味著不允許改寫的can消息作為認證結果而發送給can總線20，不允許實施以後的更新過程(步驟s604)。接收到包含認證結果的can消息的改寫實施ecu102，在所接收到的can消息作為認證結果而意味著允許改寫的情況下，實施以後的更新過程，在所接收到的can消息意味著不允許改寫的情況下，不實施以後的更新過程。

作為認證結果而接收到意味著允許改寫的can消息的改寫實施ecu102，將包含存儲器擦除命令的更新用幀發送給can總線20(步驟s605)。接收到包含存儲器擦除命令的更新用幀的被改寫ecu103將程序存儲部404的存儲內容(用於保存更新軟體的區域的內容)擦除。

接著，改寫實施ecu102將包含更新軟體的更新用幀發送給can總線20(步驟s606)。此外，更新用幀也可以由多個can消息構成，例如，包含更新軟體的更新用幀根據更新軟體的數據量而由一個或者多個can消息構成。接收到包含更新軟體的更新用幀的被改寫ecu103向程序存儲部404寫入所接收到的更新軟體。

接著，改寫實施ecu102將包含與更新軟體對應的更新軟體署名的更新用幀發送給can總線20(步驟s607)。接收到包含更新軟體署名的更新用幀的被改寫ecu103向署名存儲部402寫入所接收到的更新軟體署名。

最後，改寫實施ecu102將表示再啟動指示的更新用幀發送給can總線20(步驟s608)。接收到表示再啟動指示的更新用幀的被改寫ecu103，實施再啟動(處理器的復位)。在再啟動時，被改寫ecu103例如使用密鑰存儲部403所存儲的署名驗證密鑰來驗證作為程序存儲部404存儲的程序(更新軟體)的署名的、署名存儲部402所存儲的署名是否正當，在正當的情況下執行處理器的復位。當處理器被復位時，通過處理器執行程序存儲部404內的更新軟體。被改寫ecu103在根據程序的署名的驗證而署名不正當的情況下，不執行用於執行更新軟體的再啟動。此外，被改寫ecu103例如在應對存儲器擦除命令而擦除程序存儲部404的存儲內容(用於保存更新軟體的區域的內容)時，可以將原來的存儲內容保存於存儲介質(例如非易失性存儲器、硬碟等)，也可以在更新軟體所涉及的署名不正當的情況下將原來的存儲內容復原到程序存儲部404。

[1.7.2評價系統10的工作例1]

圖9以及圖10是表示對電子控制系統11進行評價的評價系統10的工作(工作例1)的時序圖。此外，圖9所示的時序圖後續接著圖10所示的時序圖。在工作例1中，示出評價裝置101進行圖6所示的改寫實施功能1這一評價項目所涉及的評價的例子。該例子是評價裝置101通過進行冒充被改寫ecu103並使改寫實施ecu102發生誤識別的攻擊來評價電子控制系統11的安全性的例子。以下，結合圖9以及圖10對工作例1進行說明。

改寫實施ecu102將表示改寫模式轉換指示的更新用幀(can消息)發送給can總線20(步驟s601)。接收到包含改寫模式轉換指示的更新用幀的被改寫ecu103將包含認證種子的can消息發送給can總線20(步驟s602)。

評價裝置101在通過從can總線20接收can消息而檢測到有包含認證種子的can消息在can總線20上傳播時，在該can消息整體被改寫實施ecu102接收之前，發送錯誤幀，使包含被改寫ecu103發送的認證種子的can消息無效化(步驟s701)。can總線20上的包含認證種子的can消息被錯誤幀覆寫，成為無法正確接收的無效幀。

接著，評價裝置101將包含假認證種子的can消息發送給can總線20(步驟s702)。評價裝置101的信號監視部204將該步驟s702之後的改寫實施ecu102的舉動的逐次監視的結果逐次記錄於存儲部208。接收到包含假認證種子的can消息的改寫實施ecu102通過使用密鑰存儲部303所存儲的密鑰對所接收的認證種子進行加密來生成認證密鑰。然後，改寫實施ecu102將包含所生成的認證密鑰的更新用幀(can消息)發送給can總線20(步驟s603)。

接收到包含認證密鑰的更新用幀的評價裝置101不管該接收到的認證密鑰的正當性如何，都將意味著允許改寫的can消息作為認證結果而發送給can總線20(步驟s703)。

作為認證結果而接收到意味著允許改寫的can消息的改寫實施ecu102將包含存儲器擦除命令的更新用幀發送給can總線20(步驟s605)。接收到包含存儲器擦除命令的更新用幀的評價裝置101通過can總線監視部203將該接收到的包含存儲器擦除命令的更新用幀的內容記錄於存儲部208。

接著，改寫實施ecu102將包含更新軟體的更新用幀發送給can總線20(步驟s606)。接收到包含更新軟體的更新用幀的評價裝置101通過can總線監視部203將接收到的更新軟體記錄於存儲部208。

接著，改寫實施ecu102將包含與更新軟體對應的更新軟體署名的更新用幀發送給can總線20(步驟s607)。接收到包含更新軟體署名的更新用幀的被改寫ecu103通過can總線監視部203將接收到的更新軟體署名記錄於存儲部208。

接著，改寫實施ecu102將表示再啟動指示的更新用幀發送給can總線20(步驟s608)。接收到表示再啟動指示的更新用幀的評價裝置101通過can總線監視部203將接收到的表示再啟動指示的更新用幀的內容記錄於存儲部208。

最後，評價裝置101通過對記錄在存儲部208中的來自can總線20的接收內容所涉及的信息以及步驟s702之後的改寫實施ecu102的動作所涉及的信息進行確認，由此進行評價(步驟s801)。即，評價裝置101通過將接收內容以及改寫實施ecu102的動作與攻擊的期待值進行比較，進行電子控制系統11的安全性的評價(關於攻擊成功與否的判定等)。評價裝置101例如在確認到的接收內容以及確認到的改寫實施ecu102的動作與攻擊的期待值(與對被改寫ecu103發送新用幀等的更新過程的實施同樣的動作)相同的情況下判定為攻擊成功。評價裝置101可以在即使未接收到表示再啟動指示的更新用幀等但經過了一定時間之後(例如從步驟s703中的作為認證結果的can消息的發送等起經過了預先確定的時間之後)，進行步驟s801中的評價。因此，在攻擊失敗的情況(例如，評價裝置101在步驟s703等中發送的can消息因安全ecu104發送錯誤幀等而無效化等情況)下也能夠進行評價。另外，評價裝置101也可以僅使用can總線監視部203的監視結果和信號監視部204的監視結果中的一方來基於攻擊的期待值進行關於攻擊成功與否的判定等。另外，評價裝置101在步驟s801中無論怎樣詳細地進行作為評價對象的電子控制系統11的安全性的評價都可以，例如除了攻擊整體的成功與否之外，也可以判定攻擊用幀的發送這一各個攻擊的成功與否，也可以對各種防禦功能分別是否起作用、能夠防禦的程度等進行確認。

[1.7.3評價系統10的工作例2]

圖11以及圖12是表示對電子控制系統11進行評價的評價系統10的工作(工作例2)的時序圖。此外，圖11所示的時序圖後續接著圖12所示的時序圖。在工作例2中，示出評價裝置101進行圖6所示的改寫實施功能2這一評價項目所涉及的評價的例子。該例子是評價裝置101通過進行冒充被改寫ecu103並使改寫實施ecu102發生誤識別的攻擊來評價電子控制系統11的安全性的例子。以下，結合圖11以及圖12對工作例2進行說明。

改寫實施ecu102將表示改寫模式轉換指示的更新用幀發送給can總線20(步驟s601)。接收到包含改寫模式轉換指示的更新用幀的被改寫ecu103將包含認證種子的can消息發送給can總線20(步驟s602)。接收到包含認證種子的can消息的改寫實施ecu102基於所接收到的認證種子生成認證密鑰，將包含認證密鑰的更新用幀發送給can總線20(步驟s603)。接收到包含認證密鑰的更新用幀的被改寫ecu103將基於所接收到的認證密鑰的認證結果所涉及的can消息發送給can總線20(步驟s604)。

評價裝置101在通過從can總線20接收認證結果所涉及的can消息而檢測到有認證結果所涉及的can消息在can總線20上傳播時，在該can消息整體被改寫實施ecu102接收之前，發送錯誤幀，使被改寫ecu103發送的認證結果所涉及的can消息無效化(步驟s901)。can總線20上的認證結果所涉及的can消息被錯誤幀覆寫，成為無法正確接收的無效幀。

接著，評價裝置101將意味著允許改寫的can消息作為假認證結果而發送給can總線20(步驟s902)。評價裝置101的信號監視部204將該步驟s902之後的改寫實施ecu102的舉動的逐次監視的結果逐次記錄於存儲部208。接收到假認證結果所涉及的意味著允許改寫的can消息的改寫實施ecu102實施以後的更新過程。即，改寫實施ecu102將包含存儲器擦除命令的更新用幀發送給can總線20(步驟s605)。接收到包含存儲器擦除命令的更新用幀的評價裝置101通過can總線監視部203將該接收到的包含存儲器擦除命令的更新用幀的內容記錄於存儲部208。

接著，改寫實施ecu102將包含更新軟體的更新用幀發送給can總線20(步驟s606)。接收到包含更新軟體的更新用幀的評價裝置101通過can總線監視部203將接收到的更新軟體記錄於存儲部208。

接著，改寫實施ecu102將包含與更新軟體對應的更新軟體署名的更新用幀發送給can總線20(步驟s607)。接收到包含更新軟體署名的更新用幀的被改寫ecu103通過can總線監視部203將接收到的更新軟體署名記錄於存儲部208。

接著，改寫實施ecu102將表示再啟動指示的更新用幀發送給can總線20(步驟s608)。接收到表示再啟動指示的更新用幀的評價裝置101通過can總線監視部203將接收到的表示再啟動指示的更新用幀的內容記錄於存儲部208。

最後，評價裝置101通過對記錄在存儲部208中的來自can總線20的接收內容所涉及的信息以及步驟s902之後的改寫實施ecu102的動作所涉及的信息進行確認，由此進行評價(步驟s1001)。即，與上述的步驟s801中的評價同樣地，評價裝置101通過將接收內容以及改寫實施ecu102的動作與攻擊的期待值進行比較，進行電子控制系統11的安全性的評價(關於攻擊成功與否的判定等)。

[1.7.4評價系統10的工作例3]

圖13以及圖14是表示對電子控制系統11進行評價的評價系統10的工作(工作例3)的時序圖。此外，圖13所示的時序圖後續接著圖14所示的時序圖。在工作例3中，示出評價裝置101進行圖7所示的被改寫功能1這一評價項目所涉及的評價的例子。該例子是評價裝置101通過進行冒充改寫實施ecu102並使被改寫ecu103發生誤識別的攻擊來評價電子控制系統11的安全性的例子。以下，結合圖13以及圖14對工作例3進行說明。

改寫實施ecu102將表示改寫模式轉換指示的更新用幀發送給can總線20(步驟s601)。接收到包含改寫模式轉換指示的更新用幀的被改寫ecu103將包含認證種子的can消息發送給can總線20(步驟s602)。接收到包含認證種子的can消息的改寫實施ecu102基於所接收到的認證種子生成認證密鑰，將包含認證密鑰的更新用幀發送給can總線20(步驟s603)。接收到包含認證密鑰的更新用幀的被改寫ecu103將意味著允許改寫的can消息作為基於所接收到的認證密鑰的認證結果而發送給can總線20(步驟s604)。作為認證結果而接收到意味著允許改寫的can消息的改寫實施ecu102將包含存儲器擦除命令的更新用幀發送給can總線20(步驟s605)。

評價裝置101在通過從can總線20接收包含存儲器擦除命令的更新用幀而檢測到有包含存儲器擦除命令的更新用幀在can總線20上傳播時，在該can消息整體被被改寫ecu103接收之前，發送錯誤幀，使改寫實施ecu102發送的更新用幀無效化(步驟s1101)。can總線20上的包含存儲器擦除命令的更新用幀被錯誤幀覆寫，成為無法正確接收的無效幀。

接著，評價裝置101將包含存儲器擦除命令的更新用幀發送給can總線20(步驟s1102)。評價裝置101的can總線監視部203以及信號監視部204將該步驟s1102之後的被改寫ecu103的動作或者響應的逐次監視的結果逐次記錄於存儲部208。例如，信號監視部204將接收到包含存儲器擦除命令的更新用幀之後的被改寫ecu103的動作(例如對程序存儲部404的存儲內容進行了擦除等)等記錄於存儲部208。

接著，評價裝置101將包含更新軟體的更新用幀發送給can總線20(步驟s1103)。更新軟體無需必須是正規的內容，也可以是假的更新軟體。評價裝置101將接收到包含更新軟體的更新用幀之後的被改寫ecu103的動作或者響應記錄於存儲部208。

接著，評價裝置101將包含與更新軟體對應的更新軟體署名的更新用幀發送給can總線20(步驟s1201)。評價裝置101將接收到包含更新軟體署名的更新用幀之後的被改寫ecu103的動作、響應等記錄於存儲部208。此外，評價裝置101也可以預先保有更新軟體、更新軟體署名、用於署名生成所需的密鑰等信息(更新處理所需的信息)。

接著，評價裝置101將表示再啟動指示的更新用幀發送給can總線20(步驟s1202)。評價裝置101將接收到表示再啟動指示的更新用幀之後的被改寫ecu103的動作(例如是否進行了再啟動等)或者響應記錄於存儲部208。

最後，評價裝置101通過對記錄在存儲部208中的來自can總線20的接收內容所涉及的信息以及步驟s1102之後的被改寫ecu103的動作所涉及的信息進行確認，由此進行評價(步驟s1203)。即，評價裝置101通過將接收內容以及被改寫ecu103的動作與攻擊的期待值進行比較，進行電子控制系統11的安全性的評價(關於攻擊成功與否的判定等)。評價裝置101例如在確認到的接收內容以及確認到的被改寫ecu103的動作與攻擊的期待值(與從改寫實施ecu102接收到更新用幀的情況同樣的動作)相同的情況下判定為攻擊成功。評價裝置101也可以僅使用can總線監視部203的監視結果和信號監視部204的監視結果中的一方來基於攻擊的期待值進行關於攻擊成功與否的判定等。另外，評價裝置101在步驟s1203中無論怎樣詳細地進行作為評價對象的電子控制系統11的安全性的評價都可以，例如，除了攻擊整體的成功與否之外，也可以判定攻擊用幀的發送這一各個攻擊的成功與否，也可以對各種的防禦功能分別是否起作用、能夠防禦的程度等進行確認。

[1.7.5評價系統10的工作例4]

圖15以及圖16是表示對電子控制系統11進行評價的評價系統10的工作(工作例4)的時序圖。此外，圖15所示的時序圖後續接著圖16所示的時序圖。在工作例4中，示出評價裝置101進行圖7所示的被改寫功能2這一評價項目所涉及的評價的例子。該例子是評價裝置101通過進行冒充改寫實施ecu102並使被改寫ecu103發生誤識別的攻擊來評價電子控制系統11的安全性的例子。以下，結合圖15以及圖16對工作例4進行說明。

改寫實施ecu102將表示改寫模式轉換指示的更新用幀發送給can總線20(步驟s601)。接收到包含改寫模式轉換指示的更新用幀的被改寫ecu103將包含認證種子的can消息發送給can總線20(步驟s602)。接收到包含認證種子的can消息的改寫實施ecu102基於所接收到的認證種子生成認證密鑰，將包含認證密鑰的更新用幀發送給can總線20(步驟s603)。接收到包含認證密鑰的更新用幀的被改寫ecu103將意味著允許改寫的can消息作為基於所接收到的認證密鑰的認證結果而發送給can總線20(步驟s604)。作為認證結果而接收到意味著允許改寫的can消息的改寫實施ecu102將包含存儲器擦除命令的更新用幀發送給can總線20(步驟s605)。接收到包含存儲器擦除命令的更新用幀的被改寫ecu103將程序存儲部404的存儲內容(用於保存更新軟體的區域的內容)擦除。

接著，改寫實施ecu102將包含更新軟體的更新用幀發送給can總線20(步驟s606)。

評價裝置101在通過從can總線20接收包含更新軟體的更新用幀而檢測到有包含更新軟體的更新用幀在can總線20上傳播時，在該can消息整體被被改寫ecu103接收之前，發送錯誤幀，使改寫實施ecu102發送的更新用幀無效化(步驟s1301)。can總線20上的包含更新軟體的更新用幀被錯誤幀覆寫，成為無法正確接收的無效幀。

接著，評價裝置101將包含假更新軟體的更新用幀發送給can總線20(步驟s1302)。評價裝置101的can總線監視部203以及信號監視部204將該步驟s1302之後的被改寫ecu103的動作或者響應的逐次監視的結果逐次記錄於存儲部208。例如，信號監視部204基於被改寫ecu103的調試用的輸出信號等，將接收到包含假更新軟體的更新用幀之後的被改寫ecu103的動作(例如，向程序存儲部404保存假更新軟體等)等記錄於存儲部208。

接著，評價裝置101將包含與假更新軟體對應的假更新軟體署名的更新用幀發送給can總線20(步驟s1401)。評價裝置101將接收到包含假更新軟體署名的更新用幀之後的被改寫ecu103的動作、響應等記錄於存儲部208。

接著，評價裝置101將表示再啟動指示的更新用幀發送給can總線20(步驟s1402)。評價裝置101將接收到表示再啟動指示的更新用幀之後的被改寫ecu103的動作或者響應記錄於存儲部208。

最後，評價裝置101通過對記錄在存儲部208中的來自can總線20的接收內容所涉及的信息以及步驟s1302之後的被改寫ecu103的動作所涉及的信息進行確認，由此進行評價(步驟s1403)。即，與上述的步驟s1203中的評價同樣地，評價裝置101通過將接收內容以及被改寫ecu103的動作與攻擊的期待值進行比較，進行電子控制系統11的安全性的評價(關於攻擊成功與否的判定等)。

[1.7.6評價系統10的工作例5]

圖17以及圖18是表示對電子控制系統11進行評價的評價系統10的工作(工作例5)的時序圖。此外，圖17所示的時序圖後續接著圖18所示的時序圖。在工作例5中，示出評價裝置101進行圖7所示的被改寫功能3這一評價項目所涉及的評價的例子。該例子是評價裝置101通過進行冒充改寫實施ecu102並使被改寫ecu103發生誤識別的攻擊來評價電子控制系統11的安全性的例子。以下，結合圖17以及圖18對工作例5進行說明。

改寫實施ecu102將表示改寫模式轉換指示的更新用幀發送給can總線20(步驟s601)。接收到包含改寫模式轉換指示的更新用幀的被改寫ecu103將包含認證種子的can消息發送給can總線20(步驟s602)。接收到包含認證種子的can消息的改寫實施ecu102基於所接收到的認證種子生成認證密鑰，將包含認證密鑰的更新用幀發送給can總線20(步驟s603)。接收到包含認證密鑰的更新用幀的被改寫ecu103將意味著允許改寫的can消息作為基於所接收到的認證密鑰的認證結果而發送給can總線20(步驟s604)。作為認證結果而接收到意味著允許改寫的can消息的改寫實施ecu102將包含存儲器擦除命令的更新用幀發送給can總線20(步驟s605)。接收到包含存儲器擦除命令的更新用幀的被改寫ecu103將程序存儲部404的存儲內容(用於保存更新軟體的區域的內容)擦除。接著，改寫實施ecu102將包含更新軟體的更新用幀發送給can總線20(步驟s606)。接收到包含更新軟體的更新用幀的被改寫ecu103向程序存儲部404寫入所接收的更新軟體。

接著，改寫實施ecu102將包含與更新軟體對應的更新軟體署名的更新用幀發送給can總線20(步驟s607)。

評價裝置101在通過從can總線20接收包含更新軟體署名的更新用幀而檢測到有包含更新軟體署名的更新用幀在can總線20上傳播時，在該can消息整體被被改寫ecu103接收之前，發送錯誤幀，使改寫實施ecu102發送的更新用幀無效化(步驟s1501)。can總線20上的包含更新軟體署名的更新用幀被錯誤幀覆寫，成為無法正確接收的無效幀。

接著，評價裝置101將包含與更新軟體對應的假更新軟體署名的更新用幀發送給can總線20(步驟s1601)。評價裝置101將接收到包含假更新軟體署名的更新用幀之後的被改寫ecu103的動作、響應等記錄於存儲部208。

接著，評價裝置101將表示再啟動指示的更新用幀發送給can總線20(步驟s1602)。評價裝置101將接收到表示再啟動指示的更新用幀之後的被改寫ecu103的動作或者響應記錄於存儲部208。

最後，評價裝置101通過對記錄在存儲部208中的來自can總線20的接收內容所涉及的信息以及步驟s1601之後的被改寫ecu103的動作所涉及的信息進行確認，由此進行評價(步驟s1603)。即，與上述的步驟s1203中的評價同樣地，評價裝置101通過將接收內容以及被改寫ecu103的動作與攻擊的期待值進行比較，進行電子控制系統11的安全性的評價(關於攻擊成功與否的判定等)。

(變形例)

如上所述，作為本公開涉及的技術的例示，說明了實施方式1。然而，本公開涉及的技術不限定於此，在適當進行了變更、替換、附加、省略等的實施方式中也能夠適用。例如，以下的變形例也包含在本公開的一個實施方式中。

(1)在上述實施方式中，示出了評價裝置101通過與電子控制系統11中的軟體的更新處理相關聯而冒充改寫實施ecu102或者被改寫ecu103來進行攻擊的例子，但也可以進行冒充其他ecu的攻擊，也可以通過錯誤幀以及與更新處理無關的can消息的發送來進行攻擊。

(2)在上述的電子控制系統11中，各種ecu假設為實際的(作為實物的)ecu進行了說明。但是，作為評價系統10的評價對象的電子控制系統11中的各種ecu，也可以取代實際的ecu(例如，安裝在評價板上的ecu、作為產品的ecu等)而是模擬(simulation)該ecu的模擬ecu(例如，執行模擬該ecu的功能、舉動等的模擬軟體的計算機等)。在ecu是模擬ecu的情況下，評價裝置101也可以通過觀測計算機中的與模擬軟體有關的預定數據(計算機的預定存儲器區域的內容或者輸出內容等)的變化來實現ecu的動作的監視。

(3)在上述實施方式中，示出了評價裝置101是與can總線20連接的一個裝置的例子，但評價裝置101也可以具有被分離成按照攻擊過程信息105發送攻擊用幀的發送裝置和對在can總線20上傳播的can消息、與can總線20連接的ecu的存儲內容、向信號線輸出的輸出信號等進行監視的監視裝置等、被分離在多個殼體中的結構。另外，監視裝置或者監視部200也可以對與can總線20連接的某個ecu進行監視。另外，監視裝置或者監視部200使用任何方法來作為對ecu監視的方法都可以，例如可以進行與ecu連接的專用信號線等的直接監視，也可以進行can消息的間接監視，還可以進行根據能夠與ecu的動作相關聯而發生變化的車輛狀態進行的間接監視。

(4)在上述實施方式中，作為評價系統10的評價對象，例示了具備由can總線20實現的車載網絡的電子控制系統11，但評價系統10中的評價裝置101發送攻擊用幀、設為監視對象的網絡也可以不一定是車載網絡，另外，也可以是進行can協議的通信的can總線20以外的網絡。例如，評價系統10也可以將機器人、產業設備等的網絡以外的網絡通信系統作為評價對象。另外，can協議可以具有也包括自動化系統內的嵌入式系統等所使用的canopen或者ttcan(time-triggeredcan，時間觸發can)、canfd(canwithflexibledatarate，靈活數據傳送率的can)等的派生協議在內的廣義上的含義。另外，在評價對象的電子控制系統(網絡通信系統)中，也可以使用can協議以外的通信協議，例如ethernet(註冊商標)、most(註冊商標)、flexray(註冊商標)、lin(localinterconnectnetwork，本地網際網路)等。另外，也可以將包含組合了遵循各種協議的網絡而得到的複合型網絡的系統作為評價對象，通過評價裝置101對該網絡進行攻擊以及監視。評價裝置101可以在上述的網絡中通過發送包括用於使其他節點發送的幀無效化的無效化幀(例如在can中為錯誤幀)的攻擊用幀來進行評價。無效化幀只要是通過覆寫等方法使其他節點發送的幀無效化的幀即可。無效化是指為了阻礙幀的正常接收而使幀的狀態從通常狀態變化，例如可以是進行覆寫來使一比特以上的數據發生變化的改變，也可以是不改變幀自身而通過由通信協議規定的方法成為無效狀態(表示先行幀為無效的信息的追加等)。

(5)在上述實施方式中，示出了在評價裝置101通過錯誤幀的發送使成為冒充對象的ecu發送的can消息無效化之後，評價裝置101執行冒充對象的ecu的更新處理的全部動作的例子，但例如也可以是評價裝置101僅發送冒充對象的ecu應該發送的多個can消息的一部分。

(6)在上述實施方式中，示出了攻擊過程信息105規定了包含錯誤幀和can消息的多個攻擊用幀的發送順序的例子，但攻擊過程信息105也可以對一個或者多個錯誤幀的發送進行規定，例如，也可以規定錯誤幀的發送時刻、發送間隔或者發送條件(在總線上傳播哪個id的can消息時應該進行發送所涉及的條件等)。該情況下，評價裝置101通過確認與錯誤幀的發送對應的ecu的舉動等，也能夠進行與電子控制系統11的安全性有關的評價。

(7)作為關於評價對象的安全性(抗攻擊性等)的評價，評價裝置101也可以基於穿透防禦的非法的can消息的個數和/或比例來進行有無抗攻擊性的判定等這樣的評價。此外，評價裝置101為了判定抗攻擊性的有無，可以使用對關於非法的can消息的個數和/或比例的上限等進行規定的閾值。該閾值既可以為能夠對評價裝置101任意設定，也可以為能夠在反覆實施評價的情況下根據評價結果等進行變化(調整)。另外，評價裝置101也可以估算攻擊的成功率(成功的頻度等)。如此，評價裝置101除了攻擊成功與否或者防禦成功與否的擇一判定之外，例如也可以對多個防禦功能分別是否進行發揮作用或者以何種程度有效地發揮了作用進行評價。另外，在評價裝置101中，也可以為：發送部201a使按攻擊過程信息105所示出的發送順序向can總線20發送多個幀的攻擊模式反覆多次，評價部206以根據因攻擊模式的反覆而得到的監視部200的監視結果的變化的有無而評價結果不同的方式進行評價。例如，也可以為：評價裝置101在反覆多次進行了假認證種子的發送或者假認證密鑰的發送時，通過在實施一定次數以上後是否能夠接收到響應來判定攻擊成功與否。此外，對於評價裝置101的評價部206的評價結果，除了由評價裝置101記錄於存儲器等存儲介質之外，可以向評價裝置101的外部輸出(例如，評價結果的顯示、表示評價結果的信息的發送等)。例如，評價部206也可以將表示評價對象的電子控制系統是否有抗攻擊性的信息作為評價結果進行輸出。

(8)對於評價對象的電子控制系統11的包含安全ecu104的安全功能，也可以記錄與檢測到非法有關的日誌信息(can消息的接收歷史記錄等)，在該情況下，評價裝置101也可以通過對該日誌信息和該評價裝置101所保持的與攻擊有關的期待值進行比較，進行攻擊是否成功的判定或者攻擊是否成功的概率等的算出，由此進行關於安全性的評價。

(9)在上述實施方式中，作為安全功能，電子控制系統11可以具有獨立的安全ecu104，但也可以是經由總線通信的多個ecu中的全部或者一部分ecu具有安全功能。另外，也可以是多個ecu分散地實現安全功能。

(10)在上述實施方式中，示出了評價裝置101與評價對象的電子控制系統11中的總線直接連接的例子，但也可以在評價裝置101與評價對象之間插入網關等中繼裝置。例如，也可以：評價裝置101通過在與網關之間實施了相互認證或者單方認證之後發送攻擊用的can消息，由此使網關將該can消息轉送給can總線20，通過經由網關取得來自can總線20的can消息等，對評價對象的安全性(抗攻擊性等)進行評價。

(11)評價裝置101也可以發送假認證種子，實施多次從改寫實施ecu102獲得認證密鑰這一動作，並對其趨勢進行分析，由此通過是否能夠類推認證密鑰來進行安全功能的評價。

(12)上述實施方式中的評價裝置101以及各種ecu例如是包括處理器、存儲器等的數字電路、模擬電路、通信線路等的裝置，但也可以包括顯示器、鍵盤、滑鼠等其他的硬體構成要素。另外，也可以取代由處理器執行存儲器所存儲的控制程序並以軟體方式來實現功能，而通過專用的硬體(數字電路等)來實現其功能。例如，評價裝置101的can總線監視部203、信號監視部204、收發部201、保持部202、評價部206、存儲部208以及控制部207的各功能塊可以通過集成電路來實現。另外，例如，改寫實施ecu102的收發部301、署名存儲部302、密鑰存儲部303、程序存儲部304、改寫過程信息存儲部305以及控制部306的各功能塊可以通過集成電路來實現。另外，例如，被改寫ecu103的收發部401、署名存儲部402、密鑰存儲部403、程序存儲部404、改寫過程信息存儲部405以及控制部406的各功能塊可以通過集成電路來實現。另外，例如，安全ecu104的收發部501、can總線監視部502以及控制部503的各功能塊可以通過集成電路來實現。

(13)構成上述實施方式中的各裝置(評價裝置101、各種ecu等)的構成要素的一部分或者全部也可以由1個系統lsi(largescaleintegration：大規模集成電路)構成。系統lsi是將多個構成部集成於1個晶片上而製造出的超多功能lsi，具體而言，是包含微處理器、rom、ram等而構成的計算機系統。所述ram中記錄有電腦程式。所述微處理器按照所述電腦程式進行工作，由此系統lsi實現其功能。另外，構成上述各裝置的構成要素的各部既可以單獨地單晶片化，也可以以包含一部分或全部的方式單晶片化。另外，雖然此處設為lsi，但根據集成度不同，也可以稱為ic、lsi、超大lsi(superlsi)、特大lsi(ultralsi)。另外，集成電路化的方法不限於lsi，也可以通過專用電路或者通用處理器實現。也可以在lsi製造後利用能夠進行編程的fpga(fieldprogrammablegatearray；現場可編程門陣列)或者可以對lsi內部的電路單元的連接和/或設定進行重構的可重構處理器(reconfigurableprocessor)。進而，隨著半導體技術的發展或者派生的其他技術的出現，如果出現能夠替代lsi的集成電路化的技術，當然也可以利用該技術進行功能塊的集成化。也可能會存在適用生物技術的可能性。

(14)構成上述各裝置的構成要素的一部分或者全部也可以由能夠裝卸於各裝置的ic卡或者單體模塊構成。所述ic卡或者所述模塊是由微處理器、rom、ram等構成的計算機系統。所述ic卡或者所述模塊也可以包含上述超多功能lsi。微處理器按照電腦程式進行工作，由此所述ic卡或者所述模塊實現其功能。該ic卡或者該模塊也可以具有抗篡改性。

(15)作為本公開的一個技術方案，也可以設為包含例如圖9～圖18等所例示的處理過程的全部或者一部分的評價方法。例如，評價方法是進行與具備經由總線(例如can總線20)進行通信的多個ecu的電子控制系統11的安全性有關的評價的評價方法，將包括使總線上的幀無效化的無效化幀(例如can的錯誤幀)在內的一個以上的攻擊用幀發送到總線(例如s701～s703、s901、s902、s1101～s1103、s1201、s1202、s1301、s1302、s1401、s1402、s1501、s1601、s1602)，在攻擊用幀被發送到總線時，對多個ecu中的一個以上的ecu進行監視，基於監視的監視結果來進行評價(例如s801、s1001、s1203、s1403、s1603)。另外，作為本公開的一個技術方案，也可以是由計算機實現該評價方法所涉及的處理的電腦程式，還可以是通過所述電腦程式形成的數位訊號。另外，作為本公開的一個技術方案，也可以將所述電腦程式或者所述數位訊號記錄於計算機可讀取的記錄介質例如軟盤、硬碟、cd-rom、mo、dvd、dvd-rom、dvd-ram、bd(blu-ray(註冊商標)disc)、半導體存儲器等。另外，也可以是記錄在上述的記錄介質中的所述數位訊號。另外，作為本公開的一個技術方案，也可以將所述電腦程式或所述數位訊號經由電通信線路、無線或有線通信線路、以網際網路為代表的網絡、數據廣播等進行傳送。另外，作為本公開的一個技術方案，也可以是具有微處理器和存儲器的計算機系統，所述存儲器記錄有上述電腦程式，所述微處理器可以按照所述電腦程式進行工作。另外，也可以通過將所述程序或所述數位訊號記錄在所述記錄介質中轉移、或經由所述網絡等將所述程序或所述數位訊號進行轉移，由此通過獨立的其他的計算機系統來實施。

(16)通過將上述實施方式以及上述變形例中示出的各構成要素以及功能進行任意組合而實現的實施方式也包含在本公開的範圍中。

產業上的可利用性

本公開能夠利用於進行對電子控制系統實施的安全對策技術是否能夠適當地防禦攻擊等的評價。

標號的說明

10評價系統；11電子控制系統；20總線(can總線)；101評價裝置；102改寫實施ecu；103被改寫ecu；104安全ecu；105攻擊過程信息；200監視部；201、301、401、501收發部；201a發送部；201b接收部；202保持部；203、502can總線監視部；204信號監視部；206評價部；207、306、406、503控制部；208存儲部；302、402署名存儲部；303、403密鑰存儲部；304、404程序存儲部；305、405改寫過程信息存儲部。