車載通信セキュリティモジュール《CioRyセキュリティオプション》

CioRyセキュティオプションは、AUTOSAR SecOC準拠の通信セキュリティモジュールです。CioRy通信ミドルCAN / CAN FDパッケージと組み合わせて使用することで、CAN/CAN FDメッセージにメッセージ認証子(MAC)、Freshness Value(FV)を付与してメッセージ認証通信が可能です。複雑なセキュリティの設定もCioRyコンフィグレータで簡単に設定できます。

CioRyは、自動車メーカー、部品サプライヤーなどから、40以上のECU開発プロジェクト、量産プロジェクトで使用されています。

CioRy セキュリティオプションとは

自動車に求められるサイバーセキュリティ対策

自動車のサイバーセキュリティ対策が法規によって定められ、車載ネットワークのセキュリティ対策が必要になっています。ローエンドマイコン搭載ECUにおいても、セキュリティ機能の搭載を求められており、高度な暗号化・鍵管理・メッセージ認証などを限られたマイコン能力内で実装する必要があります。

このような車載ソフトウェアの新たなニーズに対し、CioRyセキュリティオプションは、AUTOSAR仕様のモジュールでありながら独自のモジュール構成(クラスタリング化)を採用することで、小型、低負荷で動作するソフトウェアを実現しました。ユーザーは、ソフトウェアモジュールをワンパッケージで導入でき、 基礎的なAUTOSARの知識があれば使い始めることができます。

特長

1.SecOCを用いたメッセージ認証通信

メッセージ認証とは、ネットワークの通信データが通信途中で改ざんや成りすましされていないことを確認するための仕組みです。

通信データにメッセージ認証情報を付与して送信することで、受信側で認証情報を検証し、受信データの確からしさを確認します。また、通信データ複製による再送攻撃を防ぐために、カウンター値(FV:Freshness Value)も送信データに付与されます。

送信側と受信側では、それぞれ共通鍵を使ってメッセージ認証子(MAC : Message Authentication Code)を作成し、通信データのMACとFVの値を比較します。これにより、通信の完全性を保護します。

CioRyセキュリティオプションでは、AUTOSAR SecOC仕様に準拠したMAC,FVを使用します。

2.車載マイコン搭載HSM機能を利用

CioRyセキュリティオプションは、車載マイコン搭載のHSM(ハードウェアセキュリティモジュール)による暗号生成を使用したセキュアな通信を実現します。また、アプリケーションからHSMを制御するインターフェースをCioRyセキュリティオプションが提供します。

アプリケーションからは、HSMを使った以下の機能を利用できます。

・暗号化/復号
・乱数生成
・鍵管理

※RH850向けICU-M Firmwareは、ルネサスエレクトロニクス社からの提供となります。

3.簡単コンフィグ設定

CioRyセキュリティオプションは、CioRyコンフィグレータツールを使用して各種のセキュリティ設定、ソースコード生成が可能です。

CioRy通信ミドルCAN/CAN FDパッケージのコンフィグレータツールにセキュリティオプションのプラグインを追加するだけなので、CAN/CAN FD通信の設定とセキュリティの設定をシームレスに一つのCioRyコンフィグレータツールで設定できます。

保護対象とするセキュアフレームは、CioRyコンフィグレータツールに読込するCAN送受信設定表(.xlsx)でデータIDを指定するだけで簡単に設定できます。

4.コンパクトなプログラムサイズ

AUTOSAR Classic Platformのセキュリティ機能に準拠しつつも、モジュール構成、機能の最適化を行い、16bitマイコンでも利用可能なプログラムサイズ、性能を実現しました。 CioRy 通信ミドルCAN FDパッケージと合わせても、ROMサイズは40KB以下となります。

モジュール構成とインターフェース

CioRy Csm

Csm(Crypt Service Manager)は、暗号化サービスを提供するAUTOSARモジュールです。サービス層(Service Layer)に位置付けられ,アプリケーションに暗号サービスへのアクセスを提供します。

ルネサスエレクトロニクス製RH850/F1KM-S2,S4向けでは、ルネサスエレクトロニクスのICU-M Firmwareを介してHSM制御を行います。ICU-Mで暗号処理を行いますので暗号サービスとして、以下をサポートしています。

・AES(CBC)暗復号
・AES(ECB)暗復号
・CMAC生成
・CMAC検証
・乱数生成

また、鍵要素の書き換えを実行(ICU-M Firmwareに要求)可能です。 SHEに準拠したM1~M3を入力として、不揮発鍵の書き換えを行います。
暗号サービスで使用する鍵がRAM鍵の場合、適宜設定されたRAM鍵に書き換えて、暗号サービスを実行します。

ルネサスエレクトロニクス製RL78/F24向けでは、ルネサスエレクトロニクスのSecurity Driverを介してHSM制御を行います。また、マイコン負荷を軽くするため、CioRy Csmの機能をシュリンクし、RL78/F24マイコン向けに最適化しています。

CioRy SecOC

SecOC(Secure Onboard Communication)は、通信ミドルウェアのCOMスタックにアドオンとして組み込むことで、メッセージレベルでの認証機能を実現するAUTOSARモジュールです。送信メッセージに認証子を付与し、受信メッセージの認証子を検証することで通信データの確からしさを保証します。

SecOCは以下の機能を提供します。

・送信時の認証子生成:認証データID、保護対象メッセージ、フレッシュネス値から認証子を生成し、保護対象メッセージに付与します。
・受信時の認証子検証:受信したメッセージから認証子を解析し、検証を行います

CioRy FVM

FVM(Freshness Value Manager)は、SecOCのモジュールと組み合わせることで再送攻撃を防ぐためのカウンター値となるFV(Freshness Value)を生成します。CioRy FVMでは、JASPARプロファイルに準拠したFV長64bits、メッセージ上のFV長4bitsにて生成します。

RH850/F1KM-S2,S4版とRL78/F24版の機能比較

モジュール 機能 RH850/F1KM-S2,S4向け RL78/F24向け
CioRy Csm
CMAC生成
対応
セキュリティAPIを直接コール
CMAC検証
対応
セキュリティAPIを直接コール
乱数生成
対応
セキュリティAPIを直接コール
AES(CBC)暗復号
対応
セキュリティAPIを直接コール
AES(ECB)暗復号
対応
セキュリティAPIを直接コール
不揮発鍵の書き換え
対応
対応
RAM鍵の書き換え
対応
非対応
鍵設定
対応
対応
鍵状態管理
対応
非対応
鍵要素取得
対応
非対応
鍵コピー
対応
非対応
鍵要素コピー
対応
非対応
鍵要素ID取得
対応
非対応
CioRy SecOC
認証子生成
対応
対応
認証子検証
対応
対応
CioRy FVM
FV生成
対応
対応
Security Driver(※1)
ドライバタイプ
Renesas Electronics
ICU-M Firmware(※2)
Renesas Electronics
Security Driver(※2)
対応HSM
ICU-M(EVITA Medium)
AESEA(EVITA Light)
グローバルRAM上の共有メモリの初期化
対応
非該当
Security Driverの初期化
対応
対応
鍵登録サービスの要求、結果取得
対応
対応

※1:Security Driverの使用は、ユーザとルネサスエレクトロニクスとのNDA締結が必要です。
※2:ルネサスエレクトロニクスからの提供となります。

製品ラインナップ

CioRy セキュリティオプション製品

製品名 対応マイコン 対応HSMセキュリティドライバ
CioRyセキュリティオプション
ルネサスエレクトロニクス
RL78/F24
Security Driver
ルネサスエレクトロニクスから提供
RH850/F1KM-S2
RH850/F1KM-S4
ICU-M Firmware
ルネサスエレクトロニクスから提供

CioRy セキュリティオプション対応通信ミドルパッケージ

CioRyセキュリティオプションは、CioRy通信ミドルCAN FDパッケージのオプション製品となります。
以下の製品と組み合わせることで、CAN FDメッセージのセキュリティ通信を簡単に実現します。

製品パッケージ区分 製品名 対応マイコン
AUTOSARパッケージ
(RTE,OS,通信スタック,MCALと
CioRyコンフィグレータのパッケージ)
ルネサスエレクトロニクス
RH850/F1KM-S2
RH850/F1KM-S4
通信ミドルパッケージ
(通信スタック,MCALと
CioRyコンフィグレータのパッケージ)
ルネサスエレクトロニクス
RL78/F24
RH850/F1KM-S2
RH850/F1KM-S4

お問い合わせ

CioRyへのお問い合せは、こちらからお願いいたします。