MicroPeckerX メッセージ認証機能プラグイン
MicroPeckerXメッセージ認証機能プラグインは、MicroPeckerX CAN FDアナライザにメッセージ認証機能を追加するプラグインです。
ターゲットECUとのCAN通信 / CAN FD通信のメッセージ認証子(MAC)付きモニタリングデータをMAC,FV,ペイロードに分割表示のほか、MAC, FV検証機能により、メッセージ認証の対応した通信デバッグを可能にします。
プリセットで車載通信向けメッセージ認証仕様のJASPARプロファイルを用意していますので、GUI画面から簡単にメッセージ認証の設定ができます。
MicroPeckerX メッセージ認証機能プラグインとは
1.車載通信セキュリティ技術
車載ネットワークにおいて、通信データを外部攻撃から保護するセキュリティ機能が必要になっています。
自動車の電子制御を担う車載ネットワーク通信には、主にCAN通信やLIN通信が使われていますが、そのデータは平文(暗号化されていないデータ)で送受信されています。そのため、通信データを解析することにより、データの成りすましが行えたり、不正データを送信することで自動車制御に影響を与える危険性があります。
車載通信のセキュリティ対策として、車載ネットワーク通信の不正データや成りすましデータを検出・防止する仕組みの「メッセージ認証」の導入が進みつつあります。メッセージ認証とは、通信データにメッセージ認証情報を付与することで通信データの認証を可能とし、データの完全性を保護する仕組みです。送信側、受信側でそれぞれ共通鍵を使ってメッセージ認証子(MAC : Message Authentication Code)を作成し、通信データのMACの値を比較します。
但し、従来の単純なCAN/CAN FD通信モニタリングツールでは、認証子付きメッセージの中で、どこまでが制御データで、どこからがメッセージ認証子のデータであるか分かりません。通信バスのモニタリングでもメッセージ認証仕様に基づいた通信モニタリングデータの解析が必要になります。
MicroPeckerX メッセージ認証機能プラグインは、MicroPeckerX CAN FDアナライザのアプリケーションに追加することで、メッセージ認証に対応します。
メッセージ認証とは
メッセージ認証は、送信側、受信側でそれぞれ共通鍵を使って、MAC:Message Authentication Code(メッセージ認証子)を作成し、通信データのMACの値を比較することで、不正なメッセージやなりすまし攻撃を検出する仕組みです。
送信側は共通鍵を使って作成したMACをメッセージに付与して送信します。受信側でも同じ鍵を使ってMACを作成し、送信されたメッセージに付与されているMACが一致した時のみ受信側はデータを受理することができます。
車載通信では、AUTOSAR SecOC仕様が採用されています。
AUTOSAR SecOC(Secure Onboard Communication)とは
AUTOSAR SecOCはメッセージ認証を元にして作られた車載ネットワーク用のセキュリティ技術です。AUTOSAR仕様では、メッセージ認証機能をSecOC(Secure Onboard Communication)で定義しており、メッセージ認証子の付与方法を仕様化しています。
AUTOSAR SecOCの特徴
車載セキュリティの詳しい概要情報はこちらのページをご参照ください。
2.CAN / CAN FDセキュリティ通信対応
CAN通信、CAN FD通信のセキュリティ通信技術のメッセージ認証に対応した機能をMicroPecker CAN FDアナライザのアプリケーションに追加します。
3.簡単プラグイン導入
MicroPeckerX メッセージ認証機能プラグインは、MicroPeckerX CAN FDアナライザのアプリケーションへ簡単に導入できます。
プラグインのファイルをWebサイトからダウンロードして、MicroPeckerX CAN FDアナライザ付属の「MicroPeckerX Plugin Manager」を使用してインポートするだけです。MicroPeckerX CAN FDアナライザのアプリケーション画面にSecurity Window機能が追加されます。
※メッセージ認証機能プラグインライセンスの購入が必要です。
MicroPeckerX メッセージ認証機能プラグイン機能
リアルタイムMAC, FVモニタリング
CAN通信 / CAN FD通信のモニタリングデータに対して、セキュリティプロファイルに則ってCANメッセージの各データをリアルタイム表示します。
同時に、モニタリングデータのMAC値を検証し、検証データを表示します。
MAC,FV付与メッセージの周期送信機能
セキュリティプロファイル設定に基づいて任意CAN IDメッセージに、MAC, FVを自動付与して定期送信が可能です。
評価対象のターゲットECUのMAC,FV受信メッセージ検証に最適な機能です。
周期送信メッセージの送信周期の最小値は1msecとなります。
また、周期送信CAN IDを増やした場合、「周期送信CAN ID数 x 1msec」が最小値になります。
簡易FV管理マスター機能
メッセージ認証にFVを使用する場合、ネットワークにつながるECUのFV値(トリップカウンター、リセットカウンター)を同期させるためのFV管理マスターが必要になります。
MicroPeckerXメッセージ認証機能プラグインでは、周期送信メッセージ機能がありますので、FV管理マスターとして動作させることが可能です。
FV管理マスターの同期メッセージCAN IDを指定するだけで、定周期でFV同期メッセージを送信します。そのため、FV管理マスターECUがない環境でも、ターゲットECUとのメッセージ認証通信の評価として利用可能です。
メッセージ認証セキュリティプロファイル設定(JASPAR仕様対応)
メッセージ認証のセキュリティプロファイルは、GUIアプリケーションの画面から設定可能です。
JASPAR仕様のセキュリティプロファイルをプリセットで用意していますので、ユーザーは自動車メーカーからの要求仕様に合わせたMAC,FVのビット位置を微調整をするだけで設定が完了します。CAN ID毎の個別設定も可能です。
MicroPeckerXメッセージ認証機能プラグインのセキュリティプロファイルはDLL形式でコールアウト実装しています。
また、セキュリティプロファイルDLLのAPI仕様はユーザーズマニュアルにて公開しています。ユーザー独自のセキュリティプロファイルを作成し、MicroPeckerXで独自セキュリティプロファイルの利用も可能です。
主な設定項目一覧
| 設定分類 | 設定項目 | 設定概要 |
|---|---|---|
|
Security設定 |
Security Profile |
メッセージ認証のセキュリティプロファイルを選択(JASPAR, Custom) |
|
FV Master |
FVマスター/スレーブ設定 |
|
|
SyncFrame Setting |
同期メッセージ用ID、データ長の指定 |
|
|
CH共通設定 |
MAC Verify Attempts |
MAC検証の最大試行回数 連続して設定回数分の検証失敗で認証エラー判定を行う |
|
FV Setting |
FV Used |
FVの使用有無 |
|
Truncated FV Posision |
FVビット長とFVを配置するビット位置を指定 |
|
|
Fixed Data / Callout |
FVの生成方法を選択(固定値 or コールアウト) |
|
|
MAC Type Setting |
Cryptographic Protocol |
CMAC/AES-128 |
|
Truncated MAC Position |
MACの一部を配置するビット位置を指定 |
|
|
Crypto Key Setting |
鍵の生成方法を選択(固定値 or コールアウト) ランダム生成機能付き |
|
|
MAC Source Setting |
MAC Prefix |
MACの下となるデータのPrefixビット長、生成方法設定(固定値 or コールアウト) |
|
CAN/CAN-FD Payload |
データフレームのデータ領域でMACの元となるデータのペイロード使用有無、ビット位置を指定 |
|
|
MAC Postfix |
MACの元となるデータのPostfixビット長、生成方法設定(固定値 or コールアウト) |
|
|
ID Setting |
Target ID List |
CAN IDごとにメッセージ認証の設定が可能 |
|
Protocol |
プロトコル (CAN / CAN-FD)を選択 |
|
|
Std. / Ext. |
CAN-IDの種類を選択。Std.は標準ID、Ext.は拡張ID |
|
|
ID |
CAN-IDの設定 |
|
|
Bit Rate Switch |
Bit Rate Switchの有効 / 無効設定 |
|
|
Mode |
データフレームの送信モード(モニタ専用メッセージ / 周期送信メッセージ)設定 |
|
|
DLC |
データフレームのデータ長設定 |
|
|
Data |
データフレームのData領域を設定 |
|
|
Cycle |
データフレームの送信周期(単位:ms)を指定 最小単位1msec |
|
|
Offset |
モニタリング開始から最初のデータフレームを送信するまでのオフセット時間(単位:ms)を指定 |
動作環境
MicroPeckerXメッセージ認証機能プラグインでは、ご使用PCのCPU命令を使用します。
事前に動作環境確認ツール「System Checker」を使用して、ご使用PCでMicroPeckerX メッセージ認証機能が動作可能かを確認することができます。
| 項目 | 機能 |
|---|---|
|
OS[*1] |
Windows 11(64bit), 10(64bit)[*2][*3] |
|
CPU[*1] |
下記を満たすIntel社製またはAMD社製の x86プロセッサ ・Core i3/Ryzen3以上 (Core i7/Ryzen7 以上推奨) ・AES-NI、AVX2命令を有する[*4] |
|
ハードディスク |
10Gbyte 以上の空き容量[*5] |
|
メモリ[*1] |
8Gbyte以上必須 |
|
USBポート |
USB 2.0(Hi-Speed)対応で、ポート数が接続するMicroPeckerX数分必要[*6] |
|
画面解像度 |
1920×1080以上を推奨 |
[*2]省電力機能を持つPCの場合、本製品使用中にPCのスリープ、ハードディスクの停止、CPUクロックの低下が発生しないように設定してください。
[*3]仮想環境での動作は未サポートです。
[*4]Intelコアプロセッサ第4世代以降などが該当します。
[*5]長時間のモニタリングをする場合、十分なハードディスクの空き容量を確保してください。
[*6]外付けのUSBハブを用いて接続する場合は、必ずセルフパワー対応機器を選定いただき、外部より電源を供給した上で接続ください。
USBハブをバスパワー駆動で接続した場合、動作しない、または不安定になることがあります。
◆System Checkerダウンロード
MicroPeckerXメッセージ認証機能プラグインのご使用前に、以下のSystem Checkerツールで動作可能CPUであるかを必ず確認してください。
SystemChecker操作方法・画面表示
製品ラインナップ
ライセンス
MicroPeckerXメッセージ認証機能プラグインは以下の2つのライセンス購入からお選びいただけます。
どちらのライセンスを選んでいただいても、プラグインで使用できる機能は同じです。
本プラグインのご使用にはMicroPeckerX CAN-FD Analyzer《S810-MX-FD1》《S810-MX-FD2》が必要です。
MicroPeckerXメッセージ認証機能プラグインライセンスは、MicroPeckerX本体1台につき、1ライセンス必要になります。
| ライセンス種別 | 年間ライセンス | 永久ライセンス |
|---|---|---|
|
製品名 |
MicroPeckerXメッセージ認証機能プラグイン年間ライセンス |
MicroPeckerXメッセージ認証機能プラグイン永久ライセンス |
|
製品型名 |
S810-MX-PM1-Y |
S810-MX-PM1-E |
|
ライセンス期間 |
プラグインを1年間使用可能 |
プラグインを無期間で使用可能 |
コールアウトDLL開発サポート
ユーザー作成の独自セキュリティプロファイル用コールアウトDLL開発での技術的な問合せ回答は有償サポートとなります。
◆サポート内容
コールアウトDLL年間サポートをご希望の方は、下記の製品型名でお知らせください。
| 製品型名 | 製品名 |
|---|---|
|
S810-MX-PM1-SPT |
MicroPeckerX メッセージ認証機能プラグイン DLLサポート |