製品概要
車載通信セキュリティ評価ツール
車載ネットワークにおいて、通信データを外部攻撃から保護するセキュリティ機能が必要になっています。自動車の電子制御を担う車載ネットワーク通信には、主にCAN通信やLIN通信が使われていますが、そのデータは平文(暗号化されていないデータ)で送受信されています。そのため、通信データを解析することにより、データの成りすましが行えたり、不正データを送信することで自動車制御に影響を与える危険性があります。
そのため、車載ネットワークのセキュリティ技術として、車載ネットワーク通信の不正データや成りすましデータを検出・防止する仕組みのメッセージ認証が導入されようとしています。メッセージ認証とは、通信データにメッセージ認証情報を付与することで通信データの認証を可能とし、データの完全性を保護する仕組みです。送信側、受信側でそれぞれ共通鍵を使ってメッセージ認証子(MAC : Message Authentication Code)を作成し、通信データのMACの値を比較します。
但し、CAN通信、CAN FD通信のメッセージ認証子付きデータは、従来の単純な通信モニタリングでは、1メッセージの中でどこまでが制御データで、どこからがメッセージ認証子のデータであるか分かりません。通信バスのモニタリングでもメッセージ認証仕様に基づいた通信モニタリングデータの解析が必要になります。
MicroPeckerXメッセージ認証機能プラグインは、MicroPeckerX CAN-FD Analyzerにメッセージ認証機能を追加するプラグインです。ターゲットECUとのCAN通信 / CAN FD通信のメッセージ認証子(MAC)付きモニタリングデータをMAC,FV,ペイロードに分割表示のほか、MAC, FV検証機能やMAC, FV付与メッセージの周期送信機能により、メッセージ認証に対応した通信デバッグを可能にします。
プリセットで車載通信向けメッセージ認証仕様のJASPARプロファイルを用意していますので、GUI画面から簡単にメッセージ認証の設定ができます。
メッセージ認証とは
機能概要
メッセージ認証セキュリティプロファイルJASPAR仕様対応
リアルタイムMAC,FVモニタリング表示
CAN通信 / CAN FD通信Busのモニタリングデータに対して、セキュリティプロファイルに則ってCANメッセージのPrefix, Postfix, MAC, FV, Payloadの各データをリアルタイム表示します。同時に、モニタリングデータのMAC値を検証し、MAC検証結果(OK/NG)とMAC検証回数を表示します。
モニタリング停止後、各メッセージに対して、Prefix, PostfixのValue値を参照することが可能です。
MAC,FV付与メッセージの周期送信機能
メッセージ認証セキュリティプロファイル設定に基づいて、任意CAN IDメッセージに、MAC, FVを自動付与して定期送信が可能です。評価対象のターゲットECUのMAC,FV受信メッセージ検証に最適です。
Ver.1.20よりセキュリティメッセージの周期送信が10msec→1msecに高速化しました
メッセージ認証子フレームの周期送信が最短1msに対応し、Ver1.02から10倍の高速化を実現しました。
これに伴い、模擬ECUとしての利用範囲も拡大し、さらに多くの場面でご使用頂けるようになりました。
- 周期送信メッセージの送信周期の最小値は1msecとなります。
また、周期送信CAN IDを増やした場合、「周期送信CAN ID数 x 1msec」が最小値になります。
簡易FV管理マスター機能搭載
メッセージ認証にFVを使用する場合、ネットワークにつながるECUのFV値(トリップカウンター、リセットカウンター)を同期させるためのFV管理マスターが必要になります。
MicroPeckerXメッセージ認証機能プラグインでは、周期送信メッセージ機能がありますので、FV管理マスターとして動作させることが可能です。FV管理マスターの同期メッセージCAN IDを指定するだけで、定周期でFV同期メッセージを送信します。そのため、FV管理マスターECUがない環境でも、ターゲットECUとのメッセージ認証通信評価として利用可能です。
メッセージ認証セキュリティプロファイル設定
JASPAR仕様のセキュリティプロファイルをプリセットで用意していますので、ユーザーはOEMからの要求仕様に合わせたMAC,FVのビット位置を微調整をするだけで設定が完了します。CAN ID毎の個別設定も可能です。
MicroPeckerXメッセージ認証機能プラグインのセキュリティプロファイルはDLL形式でコールアウト実装しています。セキュリティプロファイルDLLのAPI仕様はユーザーズマニュアルにて公開していますので、ユーザー独自のセキュリティプロファイルを作成し、MicroPeckerXで独自セキュリティプロファイルの利用も可能です。
主な設定項目一覧
設定分類 | 設定項目 | 設定概要 |
Security設定 | Security Profile | メッセージ認証のセキュリティプロファイルを選択(JASPAR, Custom) |
FV Master | FVマスター/スレーブ設定 | |
SyncFrame Setting | 同期メッセージ用ID、データ長の指定 | |
CH共通設定 | MAC Verify Attempts | MAC検証の最大試行回数 連続して設定回数分の検証失敗で認証エラー判定を行う。 |
FV Setting | FV Used | FVの使用有無 |
Truncated FV Posision | FVビット長とFVを配置するビット位置を指定 | |
Fixed Data / Callout | FVの生成方法を選択(固定値 or コールアウト) | |
MAC Type Setting | Cryptographic Protocol | CMAC/AES-128 |
Truncated MAC Position | MACの一部を配置するビット位置を指定 | |
Crypto Key Setting | 鍵の生成方法を選択(固定値 or コールアウト) ランダム生成機能付き |
|
MAC Source Setting | MAC Prefix | MACの下となるデータのPrefixビット長、生成方法設定(固定値 or コールアウト) |
CAN/CAN-FD Payload | データフレームのデータ領域でMACの元となるデータのペイロード使用有無、ビット位置を指定 | |
MAC Postfix | MACの元となるデータのPostfixビット長、生成方法設定(固定値 or コールアウト) | |
ID Setting | Target ID List | CAN IDごとにメッセージ認証の設定が可能 |
Protocol | プロトコル (CAN / CAN-FD)を選択 | |
Std. / Ext. | CAN-IDの種類を選択。Std.は標準ID、Ext.は拡張ID | |
ID | CAN-IDの設定 | |
Bit Rate Switch | Bit Rate Switchの有効 / 無効設定 | |
Mode | データフレームの送信モード(モニタ専用メッセージ / 周期送信メッセージ)設定 | |
DLC | データフレームのデータ長設定 | |
Data | データフレームのData領域を設定 | |
Cycle | データフレームの送信周期(単位:ms)を指定 最小単位1msec |
|
Offset | モニタリング開始から最初のデータフレームを送信するまでのオフセット時間(単位:ms)を指定 |
動作環境
MicroPeckerXメッセージ認証機能プラグインでは、CPU命令を使用します。動作環境確認ツール「System Checker」を使用してご使用PCで動作可能かを確認することができます。
OS[*1] | Windows 11(64bit), 10(64bit)[*2][*3] |
CPU[*1] | 下記を満たすIntel社製またはAMD社製の x86プロセッサ ・Core i3/Ryzen3以上 (Core i7/Ryzen7 以上推奨) ・AES-NI、AVX2命令を有する[*4] |
ハードディスク | 10Gbyte 以上の空き容量[*5] |
メモリ[*1] | 8Gbyte以上必須 |
USBポート | USB 2.0(Hi-Speed)対応で、ポート数が接続するMicroPeckerX数分必要[*6] |
画面解像度 | 1920×1080以上を推奨 |
[*2]省電力機能を持つPCの場合、本製品使用中にPCのスリープ、ハードディスクの停止、CPUクロックの低下が発生しないように設定してください。
[*3]仮想環境での動作は未サポートです。
[*4]Intelコアプロセッサ第4世代以降などが該当します。
[*5]長時間のモニタリングをする場合、十分なハードディスクの空き容量を確保してください。
[*6]外付けのUSBハブを用いて接続する場合は、必ずセルフパワー対応機器を選定いただき、外部より電源を供給した上で接続ください。USBハブをバスパワー駆動で接続した場合、動作しない、または不安定になることがあります。
◆System Checkerダウンロード
MicroPeckerXメッセージ認証機能プラグインのご使用前に、以下のSystem Checkerツールで動作可能CPUであるかを必ず確認してください。
メッセージ認証機能プラグイン導入手順
MicroPeckerX メッセージ認証機能プラグインをご使用いただくためには、以下の導入作業が必要です。
MicroPeckerX メッセージ認証機能プラグインご使用までの導入手順の詳細は、以下のライセンス導入手順書をダウンロードの上ご確認ください。
製品ラインナップ
製品ライセンス
MicroPeckerXメッセージ認証機能プラグインは以下の2つのライセンス購入からお選びいただけます。
どちらのライセンスを選んでいただいても、プラグインで使用できる機能は同じです。
本プラグインのご使用にはMicroPeckerX CAN-FD Analyzer《S810-MX-FD1》が必要です。MicroPeckerXメッセージ認証機能プラグインライセンスは、MicroPeckerX本体1台につき、1ライセンス必要になります。
ライセンス種別 | 年間ライセンス | 永久ライセンス |
製品名 | MicroPeckerXメッセージ認証機能プラグイン年間ライセンス | MicroPeckerXメッセージ認証機能プラグイン永久ライセンス |
製品型名 | S810-MX-PM1-Y | S810-MX-PM1-E |
ライセンス期間 | プラグインを1年間使用可能 | プラグインを無期間で使用可能 |
ライセンス価格 | \39,000(税別) | \128,000(税別) |
コールアウトDLL開発サポート
ユーザー作成の独自セキュリティプロファイル用コールアウトDLL開発での技術的な問合せ回答は有償サポートとなります。
◆サポート内容
- 登録日から1年間の年間サポート
- 最大12件(合計20時間まで)の問い合わせに対応します。
- 電話又は、メールによる組込み方法に関する問合せサポートを致します。
- 問合せサポートに関しては、1週間以内の回答を目途とします。
※緊急対応は含まれておりません。 - ユーザセキュリティプロファイルのカスタマイズ作業は含まれておりません。
コールアウトDLL年間サポートをご希望の方は、下記の製品型名でお知らせください。
製品型名 | 製品名 |
S810-MX-PM1-SPT | MicroPeckerX メッセージ認証機能プラグイン DLLサポート |
セキュリティプロファイルカスタム対応
ユーザーがご使用になりたいセキュリティプロファイルをご要望に応じてカスタマイズ開発をお引き受けすることが可能です。
お困りの際、ぜひご相談ください。