CN108476155A - 不正当消息检测装置、方法、程序、以及电子控制装置 - Google Patents
不正当消息检测装置、方法、程序、以及电子控制装置 Download PDFInfo
- Publication number
- CN108476155A CN108476155A CN201680075193.4A CN201680075193A CN108476155A CN 108476155 A CN108476155 A CN 108476155A CN 201680075193 A CN201680075193 A CN 201680075193A CN 108476155 A CN108476155 A CN 108476155A
- Authority
- CN
- China
- Prior art keywords
- logical value
- bus
- improper
- sampled point
- edge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 81
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000012360 testing method Methods 0.000 claims abstract description 19
- 230000008569 process Effects 0.000 claims abstract description 9
- 230000006854 communication Effects 0.000 claims description 42
- 238000004891 communication Methods 0.000 claims description 40
- 238000009434 installation Methods 0.000 claims 1
- 238000012544 monitoring process Methods 0.000 description 19
- 238000012545 processing Methods 0.000 description 13
- 238000005070 sampling Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 11
- 230000008859 change Effects 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000005611 electricity Effects 0.000 description 4
- 230000003211 malignant effect Effects 0.000 description 4
- 230000003111 delayed effect Effects 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 101100172132 Mus musculus Eif3a gene Proteins 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 101100028789 Arabidopsis thaliana PBS1 gene Proteins 0.000 description 1
- 101100139907 Arabidopsis thaliana RAR1 gene Proteins 0.000 description 1
- 235000008331 Pinus X rigitaeda Nutrition 0.000 description 1
- 235000011613 Pinus brutia Nutrition 0.000 description 1
- 241000018646 Pinus brutia Species 0.000 description 1
- 101100247669 Quaranfil virus (isolate QrfV/Tick/Afghanistan/EG_T_377/1968) PB1 gene Proteins 0.000 description 1
- 101100242901 Quaranfil virus (isolate QrfV/Tick/Afghanistan/EG_T_377/1968) PB2 gene Proteins 0.000 description 1
- 101100028790 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) PBS2 gene Proteins 0.000 description 1
- 101150025928 Segment-1 gene Proteins 0.000 description 1
- 101150082826 Segment-2 gene Proteins 0.000 description 1
- 101100242902 Thogoto virus (isolate SiAr 126) Segment 1 gene Proteins 0.000 description 1
- 101100194052 Thogoto virus (isolate SiAr 126) Segment 2 gene Proteins 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000036651 mood Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000004904 shortening Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40169—Flexible bus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/407—Bus networks with decentralised control
- H04L12/413—Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/48—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
Abstract
一种对被送出到总线的不正当消息进行检测的不正当消息检测装置,具备:再同步检测部(124),为了对1位期间中用于获得总线上的信号的逻辑值的采样点进行调整,而检测信号的边沿并判断是否执行再同步;收发控制部(122),在由再同步检测部(124)检测到边沿后的1位期间中,获得在该检测前所使用的采样点中的总线的逻辑值即第一逻辑值、并获得基于该边沿的再同步之后的采样点中的总线的逻辑值即第二逻辑值;比较部(627),对第一逻辑值以及第二逻辑值进行比较;以及不正当检测处理部(628),在第一逻辑值以及第二逻辑值不一致的情况下,执行不正当检测时处理。
Description
技术领域
本申请涉及对连接了能够利用CSMA/CA(Carrier Sense Multiple Access/Collision Avoidance:载波侦听多路访问/冲突回避)方式等通信协议进行通信的多个装置的网络中的不正当的消息进行检测的装置。
背景技术
在车载网络所使用的CAN(Controller Area Network:控制器局域网)中,能够连接经由作为向CAN的连接端子的数据传递插接器(Data Link Connector,以下记作DLC),来加载由厂家或汽车经销商等准备的车辆诊断装置或电子控制单元(Electronic ControlUnit,以下记作ECU)的程序的装置等。在专利文献1的通信系统中,消息以规定的通信间隔被发送到网络的通信线路上,接收到消息的通信装置检测该消息的接收间隔,将该接收间隔与上述的通信间隔的差,与基准范围进行对照,从而判断该接收到的消息的正当性。
(现有技术文献)
(专利文献)
专利文献1国際公开第13/094072号
(非专利文献)
非专利文献1松本勉、另外4名、“利用了CAN中的再同步的数据电窜改(CANにおける再同步を利用した電気的数据改ざん)”、2015年、第32回密码与信息安全讨论会(暗号と情報セキュリティシンポジウム)(SCIS 2015)
然而,根据专利文献1中申请的方法来进行的消息的正当性的判断中,若通信间隔与接收间隔的差在基准范围内,则即使是不正当的消息也会有被错误判断为正当的问题。并且,为了避免这一问题,若采用较小的基准范围,则会将正当的消息错误判断为不正当的消息的情况增加,导致通信效率降低。
发明内容
本发明提供一种不正当消息检测装置等,通过检测是否有因电攻击造成的消息的窜改,从而以高的精确度来判断消息的正当性,在不使通信效率降低的情况下,实现安全性高的CAN(Controller Area Network:控制器局域网)。
本发明的一个形态所涉及的不正当消息检测装置对被送出到总线型网络中的总线的不正当消息进行检测,所述不正当消息检测装置具备:再同步检测部,为了对采样点进行调整,而对1位期间中的所述总线上的信号的边沿进行检测,并判断是否执行基于所述边沿的再同步,所述采样点是,为了在1位期间中获得所述总线上的信号的逻辑值,而读出所述总线的电压的时刻;接收部,在由所述再同步检测部判断为执行再同步之后的1位期间中,获得第一逻辑值以及第二逻辑值,所述第一逻辑值是,在该边沿被检测之前所使用的采样点中的所述总线的逻辑值,所述第二逻辑值是,基于该边沿的再同步之后的采样点中的所述总线的逻辑值;比较部,对在所述接收部获得的所述第一逻辑值与所述第二逻辑值进行比较;以及不正当检测处理部,在由所述比较部判断为所述第一逻辑值与所述第二逻辑值不一致的情况下,执行与不正当消息被检测到的情况相对应的不正当检测时处理。
并且,本发明的一个形态所涉及的不正当消息检测方法对被送出到总线型网络中的总线的不正当消息进行检测,所述不正当消息检测方法包括:再同步检测步骤,为了对采样点进行调整,而对1位期间中的所述总线上的信号的边沿进行检测,并判断是否执行基于所述边沿的再同步,所述采样点是,为了在1位期间中获得所述总线上的信号的逻辑值,而读出所述总线的电压的时刻;接收步骤,在由所述再同步检测步骤判断为执行再同步之后的1位期间中,获得第一逻辑值以及第二逻辑值,所述第一逻辑值是,在该边沿被检测之前所使用的采样点中的所述总线的逻辑值,所述第二逻辑值是,基于该边沿的再同步之后的采样点中的所述总线的逻辑值;比较步骤,对在所述接收步骤获得的所述第一逻辑值与所述第二逻辑值进行比较;以及不正当检测处理步骤,在所述比较步骤中判断为所述第一逻辑值与所述第二逻辑值不一致的情况下,执行与不正当消息被检测到的情况相对应的不正当检测时处理。
并且,本发明的一个形态所涉及的不正当消息检测程序是使处理器执行上述的不正当消息检测方法的程序。
另外,这些概括性的或具体的形态可以由系统、方法、集成电路、计算机程序或计算机可读取的CD-ROM等记录介质来实现,也可以通过对系统、方法、集成电路、计算机程序以及记录介质进行任意地组合来实现。
本发明的不正当消息检测装置、不正当消息检测方法、以及不正当消息检测程序以高的精确度来判断消息的正当性,在不使通信效率降低的状态下实现安全性高的CAN(Controller Area Network:控制器局域网)。
附图说明
图1A是示出采用了CAN的车载通信系统的硬件构成例子的方框图。
图1B是CAN控制器的功能构成图。
图1C是攻击CAN控制器的功能构成图。
图2是示出CAN协议中所决定的数据帧的标准格式的图。
图3示出CAN协议中所决定的构成1位期间的4个逻辑段。
图4示出信号的边沿与1位期间的偏离的模式、以及1位期间的调整的例子。
图5是在CAN中由ECU进行消息的接收的工作的流程图。
图6示出了由攻击CAN控制器进行的攻击的定时以及电压的操作。
图7A是示出实施方式中具备不正当消息检测装置的车载通信系统的硬件构成例子的方框图。
图7B是实施方式中的不正当消息检测装置的功能构成图。
图8是由实施方式中的具备不正当消息检测装置的ECU进行的CAN总线的监视以及不正当消息的检测的工作的流程图。
图9示出了在有由攻击CAN控制器进行的攻击的情况下,在两个采样点获得的逻辑值。
具体实施方式
[成为本发明的基础的见解]
本发明者获知的文献(非专利文献1)中指出了,在背景技术一栏中记载的通信系统中由不能检测的不正当的消息向CAN(Controller Area Network:控制器局域网)的攻击手段。首先,以采用了CAN的车载通信系统为例,参照附图对CAN的构成以及该攻击手段的概要进行说明。
(CAN的构成概要)
图1A是示出采用了CAN的车载通信系统10的硬件构成例子的方框图。
车载通信系统10是总线型网络,包括:作为通信线的CAN总线200、以及ECU101~10n(以后,在不进行区别的情况下也称为ECU100)和ECU501,该ECU101~10n和ECU501是与该CAN总线200连接的多个节点。另外,ECU501是为了对攻击手段进行说明而被包含在该构成中,正常的车载通信系统中是不含该ECU501的。如本图所示,作为在现实中出现的例子,在此所设想是,分别包括被连接在CAN总线200的ECU的多个车载装置中的一个为具有恶意的装置的构成,并且在该构成中,该具有恶意的车载装置将不正当的消息流入到CAN总线200上,进行使车载装置出现混乱的攻击。
ECU100以及501(以下在不进行区别的情况下,简单称作节点)例如分别是发动机控制系统的ECU、制动器系统的ECU、空調系统的ECU、汽车导航系统的ECU。在此所列举出的仅是目前的汽车所具备的车载通信系统中连接的通信设备的ECU的例子中的一部分,这种ECU被包含在各种控制系统中。各个ECU之间能够通过CAN总线200来进行通信,均可以成为接收侧,也可以成为发送侧。另外,ECU501也主要是被设想为以攻击为目的的设备的情况。另外,虽然没有进行图示,在各个ECU之前,也可以在与CAN总线200的其他的接口连接传感器或执行机构。
CAN总线200由两条信号线CAN_L以及CAN_H构成,用于使信号稳定的终端电阻(未图示)在信号线上。另外,在本图中虽然在模式上以直线表示了各个信号线,实际上由具有耐噪声特性的双绞线来实现。
在CAN中,以这些信号线CAN_L与CAN_H之间的电压差的大小(以下也会简单地表现为差的有无)来表示数字信号的各个位的逻辑值(0或1的数值数据),以NRZ(Non-Return-to-Zero方式)来依次发送各个位的值,从而进行串行通信。具体而言,在电压的差为大的状态下由0来表示,在为小的状态下由1来表示。节点分别与信号线CAN_L以及CAN_H双方连接,通过将电压施加到信号线CAN_L以及CAN_H来发送信号,读取信号线CAN_L以及CAN_H的电压并取之间的差,从而接收信号。另外,在CAN协议中,0的值被称为显性(dominant:优势之意)、1的值被称为隐性(recessive:劣势之意),在CAN总线200上,0的值优先。具体而言,在0的值和1的值同时从多个节点发送到CAN总线200的情况下0被优先,CAN总线200处于表示0的值的电压的状态。并且,在某个节点发送了1的值之后,从其他的节点发送了0的值的情况下,CAN总线200上的信号也仍然由0的值覆盖,即CAN总线200处于表示0的值的电压的状态。以下将CAN总线200的电压表示信号的0的值的状态也称为显性状态、表示1的值的状态也称为隐性状态。
另外,在CAN中不存在对全体的通信进行控制的特定的主设备(多主方式)。并且,为了回避消息的冲突,不使多个消息同时存在于CAN总线200上,各个节点在CAN总线200为空闲状态时开始发送。从各个节点发送来的消息被广播到与CAN总线200连接的所有的节点。该消息按照CAN的规格所决定的帧的格式而被发送。
在各个帧中包括表示发送节点的标识符(identifier,以下记作ID)。图2示出了作为CAN协议所决定的帧之一的数据帧的标准格式。在该图中,左侧为帧的开头,数据帧的前后是CAN总线200的空闲状态。数据帧由在时间序列上排列的不同用途的槽(slot)构成,本图中的数值表示在各个槽使用的位数(长度)。并且,上下的横线表示各个槽中有可能包含的信号的逻辑值。即,上述的ID的槽是从帧的开头的第二位开始,能够包括逻辑值0以及1这双方的11位长的数据。在多个节点为了发送而同时访问CAN总线200的情况下,按照基于各帧所包含的ID的帧间的优先顺序来回避冲突,帧从优先顺序高的一方开始发送(CSMA/CA)。ID还用于在各个节点判断接收的帧是否为使用的帧。
另外,在CAN的规格中,包括上述的数据帧在内总共准备4种帧,其中的一个是检测到错误的节点发送的错误帧。由于错误帧与本发明将要解决的课题没有直接的关系,因此若仅记载其概要而错误帧被发送时,通过发送侧的节点的最近的发送被中断,其他的接收了相同消息的节点丢弃该消息。之后,发送侧的节点执行重新发送。
各个节点的基本构成是共同的。在图1A的例子中,各个节点具备:处理部110、CAN控制器120或攻击CAN控制器520、以及CAN收发器130。在ECU102~10n省略这些参照符号。由于CAN控制器120与攻击CAN控制器520的一部分功能不同,在此虽然进行区别,不过具有共同的基本构成。首先,对CAN控制器120以及攻击CAN控制器520共同的构成以及他们的工作进行说明。
处理部110例如是中央处理装置,执行按照包括各个节点的系统的功能的运算处理。
CAN控制器120以及攻击CAN控制器520例如采用微型控制器来实现,进行通信处理。关于CAN控制器120以及攻击CAN控制器520,包括他们的不同将在以后进行详细说明。
CAN收发器130是各个ECU的CAN控制器120与CAN总线200之间的接口用集成电路,执行CAN总线200上的电压差的值与CAN控制器120所处理的逻辑值之间的转换。
关于CAN控制器120以及攻击CAN控制器520的详细,将利用图1B以及图1C来进行说明。图1B是CAN控制器120的功能构成图,图1C是攻击CAN控制器520的功能构成图。关于共同的构成要素赋予相同的参照符号。CAN控制器120以及攻击CAN控制器520具备:CAN控制部121、收发控制部122、时钟生成部123、再同步检测部124、以及同步时间保持部125。均实现用于执行依照上述的CAN的协议的通信处理的功能。
CAN控制部121对CAN控制器120的工作全体进行控制。
收发控制部122是与处理部110以及CAN收发器130进行消息的输入输出的接口。CAN总线200上的信号的逻辑值的读出以及写入由收发控制部122通过CAN收发器130来执行。收发控制部122作为发送部发挥作用,例如按照从处理部110输入的数字信号的值,使CAN收发器130将规定的电压分别施加到信号线CAN_L以及CAN_H。并且,具有接收部的功能,经由CAN收发器130读取CAN总线200的信号线CAN_L以及CAN_H各自的电压,根据他们的差的大小(有无),获得CAN总线200上的信号的逻辑值。
时钟生成部123是振荡电路,生成成为数据的处理以及消息的收发的定时的基准的系统时钟。通过该系统时钟,来决定上述的信号的1位的时间长度(以下称为1位期间)。该1位期间的长度在与CAN总线200连接的节点间被设定为共同的长度。
另外,在CAN中要想在节点间进行恰当的通信,除了需要各个节点间的1位期间的长度相等以外,还需要使位的切换定时取得同步。但是,即使在初始状态取得了同步,也会因节点间的系统时钟的误差等,而发生在该定时中不能允许的较大的偏差。关于CAN中的这种偏差的解除,在通过发送侧的节点的信号发送,而发生了CAN总线200上的信号从隐性切换到显性(以下称为边沿)的情况下,由接收侧的节点的被称作再同步的工作来执行。更具体而言,在产生边沿时,关于是否基于该边沿执行再同步,是在由接收侧的节点的再同步检测部124进行了判断的基础上来执行的。
由于再同步与本申请中设想的攻击有关,因此,在此对概要进行说明。在再同步中采用被称为位定时的定时控制的结构,在该结构中将上述的1位期间划分位由Timequantum(时间段,以下记作Tq)这种单位来表现的4个逻辑段来处理。图3示出了这4个段。在CAN协议中分别赋予了如下的名称,即:同步段(Synchronization Segment,在图中也记作SS)、伝播时间段(Propagation Time Segment,在图中记作PTS)、相位缓冲段1(PhaseBuffer Segment1,在图中也记作PBS1)、相位缓冲段2(Phase Buffer Segment2,在图中也记作PBS2)。另外,在本图中的采样点(Sampling Point,在图中也记作SP)是指,1位期间中的某个时间点,在该1位期间中,为了将CAN总线200上的信号的逻辑值作为1位的数据,由CAN控制器120获得,从而经由CAN收发器130,来读出信号线CAN_L以及CAN_H的电压(取样)的时间点。采样点例如由将1位期间的开头作为基准(开始时期)的时间(Tq)来设定,被保持到同步时间保持部125。相位缓冲段1的终端为采样点。再同步检测部124经由CAN收发器130,检测CAN总线200上的信号的边沿,判断是否执行基于该边沿的再同步。更具体而言,根据产生了边沿的段,来判断是否执行再同步,并且在执行的情况下,决定该再同步的内容。4个段之中的同步段是所谓的允许时间差,在边沿发生在该1Tq的段的情况下,再同步不被执行。即,在除此之外的段产生了边沿的情况下,再同步检测部124判断为执行再同步。再同步通过偏差检测后的1位期间的长度的调整而被执行,再同步的内容是指,对长度进行变更的段以及该变更的程度。关于该1位期间的调整将利用图来说明。图4示出了信号的边沿与1位期间的偏离的模式、以及1位期间的调整的例子。
在图4的(a)所示的接收侧的节点的1位期间,没有信号边沿的偏离,即接收侧的节点与发送侧的节点取得了同步。在这种情况下,1位期间不被调整。
在图4的(b)所示的接收侧的节点的情况下,信号的边沿在接收侧的节点的同步段之后、采样点之前的段中发生。在这种情况下,视为接收侧的节点相对于发送侧的节点提前了,相位缓冲段1(在本图中为横条的区间)被延长。这样,信号的边沿(发送侧的节点的1位期间的开始时期)与采样点的时间差被调整。并且,由于通过该调整,1位期间被延长,因此与此相对应地,该接收侧的节点的下一个1位期间的开始时期被延迟,这样,能够与发送侧的节点取得同步。
在为图4的(c)所示的接收侧的节点的情况下,信号的边沿在接收侧的节点的采样点之后的段发生。在这种情况下,视为接收侧的节点相对于发送侧的节点延迟了,从而缩短相位缓冲段2(在本图中为纵条的区间)。据此,在下一个1位区間中,信号的边沿(发送侧的节点的1位期间的开始时期)与采样点的时间差被调整。并且,通过该调整而1位期间被缩短,与此相对应地,该接收侧的节点的下一次的1位期间的开始时期被提前,这样,能够与发送侧的节点取得同步。
如以上所述,通过再同步而1位期间的长度被调整,从而针对通过发送侧的节点的信号的发送定时,采样点被恰当地调整。另外,关于上述的相位缓冲段1以及相位缓冲段2的长度的变更程度,按照偏离的程度,被恰当地决定在规定的范围内。
具备具有上述的构成的CAN控制器120的ECU100分别执行图5的流程图所示的工作,并接收消息。
首先,在ECU100,采样点被保持在同步时间保持部125(步骤S10)。这是因为是初始设定的采样点,例如在包括ECU100的各车载系统的设计时被设定。采样点如以上所述,位于相位缓冲段1的终端,例如通过上述的1位内的各段的长度以Tq单位被设定,从而,从其开头的位置被决定。这样,虽然采样点的设定本身不是ECU100的工作,然而为了方便表示被保存在同步时间保持部125的数据的存在的说明,而包含在该流程图中。
ECU100经由CAN控制器120以及CAN收发器130,开始在该采样点的消息的接收(步骤S20)。关于该消息的接收的工作,若以其他的方式来表现则是,通过CAN控制器120的收发控制部122,在连续的1位期间(基于时钟生成部123所生成的信号时钟)的每一个的采样点,经由CAN收发器130,CAN总线200的信号线CAN_L以及CAN_H的电压被读出。并且,根据被读出的这些电压的差,来获得CAN总线200上的信号的逻辑值。由收发控制部122获得的该逻辑值,作为消息的数据被交给ECU100的处理部110。
这样,ECU100在各个1位期间的采样点,读取电压并依次获得逻辑值,与此同时,根据这些逻辑值的变化来检测边沿(步骤S30),对是否执行再同步进行判断(步骤S40)。若以其他的表现来说明该判断则是,通过CAN控制器120的再同步检测部124,根据检测出的边沿的时刻为1位期间的哪个段,来判断是否执行再同步。
在判断为不执行再同步的情况下(步骤S40的“否”)、ECU100继续使用初始设定的采样点来接收消息(步骤S50)。在判断为执行再同步的情况下(步骤S40的“是”),则下一个采样点的恰当的定时例如由收发控制部122算出。并且,按照该算出的新的采样点的定时,相位缓冲段1或相位缓冲段2的长度被变更(再同步的执行,步骤S60)。据此,ECU100使用调整后的新的采样点来接收消息(步骤S70)。
在此之后,若CAN总线200中有消息(步骤S80的“是”),则ECU100也进行接收(步骤S20),若没有消息(步骤S80的“否”),则结束接收工作。另外,在ECU501也进行消息的接收的情况下,也可以执行图5所示的流程图的工作。
(攻击手段的概要)
接着,将要说明的是与攻击CAN控制器520的构成的CAN控制器120的不同之处以及由攻击CAN控制器520进行的攻击的工作。
攻击CAN控制器520具备攻击定时生成部126之处与CAN控制器120不同。在车载通信系统10中,攻击CAN控制器520执行以下的工作,来窜改ECU100所发送的消息。
首先,作为发送侧的ECU100发送消息,以作为在CAN总线200上依次被示出的逻辑值,接收侧的ECU100针对通过发送侧的ECU100进行的逻辑值的发送的定时,通过在1位期间以内的规定的时间差的时刻(采样点)依次获得CAN总线200上的信号的逻辑值,来接收消息。
作为具有恶意的ECU的ECU501的攻击CAN控制器520,通过在某一定时,以1Tq左右的非常短的时间来对CAN总线200上的信号的逻辑值进行电操作,从而使接收侧的ECU100错误识别由发送侧的ECU100进行的消息的发送的定时(第1攻击)。
错误识别了发送的定时的接收侧的ECU100虽然获得CAN总线200上的信号的逻辑值,但是对于正确的发送的定时却采用了不恰当的时间差的采样点。攻击CAN控制器520以与该不恰当的采样点吻合的定时,再次对CAN总线200上的信号的逻辑值进行电操作(第2攻击)。其结果是,接收侧的ECU100接收与发送侧的ECU100所发送的消息不同的消息。
攻击定时生成部126生成攻击CAN控制器520通过上述的电操作(电压操作)来执行第1攻击和第2攻击的定时。接着,对这种定时以及电压操作进行说明。
图6示出了由上述的攻击CAN控制器520进行的攻击的定时以及电压的操作。
首先,由发送侧的ECU100进行逻辑值0的发送。另外,攻击CAN控制器520以能够包含由该ECU100进行的逻辑值0的发送的定时的方式,以非常短的时间来发送逻辑值1(第1攻击)。据此,CAN总线200上的信号的逻辑值的从1向0的变化被延迟,即CAN总线200从隐性状态向显性状态的变化被延迟。并且,如以上所述,在CAN,显性的0比隐性的1优先,因此,对该攻击CAN控制器520与CAN总线200进行连接的CAN收发器130为,与对ECU100的CAN收发器130和CAN总线200进行连接的方法相反的连接。即,应该与CAN_H连接的线被连接到CAN_L,应该与CAN_L连接的线被连接到CAN_H。这样,CAN总线200的从显性状态向隐性状态的变更也能够由各个信号线上的相反方向的电压相互抵消。
上述的通过第1攻击的CAN总线200从隐性状态向显性状态的变化的延迟即是边沿的发生的延迟。在本图的(c)中,若没有第1攻击,则边沿在虚线箭头所示的时刻发生。但是,由于第1攻击的影响,边沿的发生延迟到以实线所示的时刻。在接收侧的ECU检测出该边沿时,如以上所述,按照该边沿是在哪个段发生的.来执行再同步。在本图所示的例子中,由于边沿在伝播时间段发生,因此,通过接收侧的ECU对相位缓冲段1进行延长,来执行再同步(参照本图的(d))。据此,若没有第1攻击,则由虚线的三角形所示的时刻的采样点,延迟到黑色的三角形所示的采样点。
接着,攻击CAN控制器520依照接收侧的ECU的采样点,以非常短的时间来发送逻辑值1(第2攻击)。据此,接收侧的ECU,作为1位期间中的信号的逻辑值获得的不是发送侧的ECU发送的0的值,而是1的值。这样,通过由攻击CAN控制器520进行的两个阶段的攻击,从而消息被窜改,接收侧的ECU接收不正当的消息。
另外,发送侧的ECU以自身的采样点(参照本图的(a))来监视CAN总线200上的电压。但是,由于通过攻击CAN控制器520进行的第2攻击是除去该时刻来变更逻辑值的,因此在发送侧的ECU不能检测该窜改。
以下参照附图将要说明的是,对由具有悪意的ECU进行这种攻击而被窜改的不正当消息进行检测的装置的一个实施方式。
另外,以下将要说明的实施方式为示出概括性的或具体的例子的方式。以下的实施方式所示的数值、形状、材料、构成要素、构成要素的配置位置以及连接形态、步骤、步骤的顺序等为一个例子,其主旨并非是对本发明进行限定。并且,以下的实施方式的构成要素之中示出最上位概念的技术方案中没有记载的构成要素为任意的构成要素。
[实施方式]
图7A是示出具备实施方式中的不正当消息检测装置的车载通信系统10A的硬件构成例子的方框图。车载通信系统10A与车载通信系统10相同,是包括作为通信线的CAN总线200、以及作为被连接到该CAN总线200的多个节点的ECU100的总线型网络。
并且,车载通信系统10A具备ECU501以及ECU600。ECU501是上述的具有恶意的ECU,以下为了对攻击的发生进行说明,而将ECU501包含在该构成中。
ECU600与车载通信系统10A中的其他的ECU100以及500同样,作为一个ECU与CAN总线200连接。ECU600与其他的ECU同样,具备处理部110以及CAN收发器130,但是取代CAN控制器120,而具备本实施方式中的作为不正当消息检测装置的监视CAN控制器620之处与ECU100不同。接着,参照图7B,对该监视CAN控制器620进行说明。
图7B是作为本实施方式中的不正当消息检测装置的监视CAN控制器620的功能构成图。
作为对送出到CAN总线200的不正当消息进行检测的不正当消息检测装置的监视CAN控制器620具备:CAN控制部121、收发控制部122、时钟生成部123、以及再同步检测部124。这些是为了实现用于执行依照了上述的CAN的协议的通信处理的功能的构成要素,由于是与ECU100共同的构成要素,因此省略详细的说明。
监视CAN控制器620进一步具备:第一同步时间保持部625、第二同步时间保持部626、比较部627、以及不正当检测处理部628。
第一同步时间保持部625以及第二同步时间保持部626均与同步时间保持部125相同,保持采样点。但是,在由再同步检测部124检测出边沿,第一同步时间保持部625判断为,执行基于该边沿的再同步时,继续保持在该边沿被检测前使用的采样点(以下也称为旧采样点)。并且,在由再同步检测部124检测出边沿,第二同步时间保持部626判断为执行基于该边沿的再同步,则保持由该再同步调整后的采样点(以下也称为新采样点)。于是,收发控制部122在再同步被执行时,在新旧双方的采样点获得CAN总线200的逻辑值(以下分别称为第一逻辑值以及第二逻辑值)。
比较部627对在上述的新旧采样点获得的第一逻辑值以及第二逻辑值进行比较,判断是否一致。
不正当检测处理部628在由比较部627判断为第一逻辑值与第二逻辑值不一致的情况下,执行与不正当消息被检测到的情况相对应的处理即不正当检测时处理。
具备具有上述的构成的监视CAN控制器620的ECU600,执行图8的流程图所示的工作,对CAN总线200进行监视,检测不正当消息。图8是由本实施方式中具备监视CAN控制器620的ECU600进行CAN总线200的监视以及不正当消息的检测的工作的流程图。另外,在图8中对于与图5所示的ECU100进行消息的接收的工作相同的步骤赋予相同的参照符号。
首先,在ECU600,初始设定的采样点由第一同步时间保持部625保持(步骤S10)。该采样点的设定本身不是ECU600的工作,但是为了方便对第一同步时间保持部625中保持的数据的存在进行说明,而将其包括在该流程图中。
ECU600经由监视CAN控制器620以及CAN收发器130,开始在该采样点的消息的接收(步骤S20)。若对该消息的接收的工作进行其他的表现则是,由监视CAN控制器620的收发控制部122,在连续的1位期间(基于时钟生成部123所生成的信号时钟)的各个采样点,经由CAN收发器130,读取CAN总线200的信号线CAN_L以及CAN_H的电压。于是,根据被读取的这些电压的差,获得CAN总线200上的信号的逻辑值。收发控制部122获得的该逻辑值作为消息的数据,被交给ECU600的处理部110。
ECU600在这样的各个1位期间中的采样点读取电压,并依次获得逻辑值,与此同时,进一步根据这些逻辑值的变化来检测边沿(步骤S30),判断是否执行基于该边沿的再同步(步骤S40)。若对该判断进行其他的表现则是,由监视CAN控制器620的再同步检测部124,根据检测边沿的时刻是否为1位期间节点的段,来判断是否执行再同步。
在判断为不执行再同步的情况下(步骤S40的“否”),ECU600继续使用初始设定的采样点来接收消息(步骤S50)。在判断为执行再同步的情况下(步骤S40的“是”),下一个采样点的恰当的定时例如由收发控制部122算出。并且,该算出的新的采样点被保持到第二同步时间保持部626。其结果是,在监视CAN控制器620,初始设定的采样点即旧采样点、与算出的新采样点均被保持。并且,按照该算出的新的采样点的定时,来变更相位缓冲段1或相位缓冲段2的长度(再同步的执行S660)。
在此,ECU600虽然接收消息,监视CAN控制器620的收发控制部122在旧采样点与新采样点这双方,将CAN总线200的逻辑值分别作为第一逻辑值以及第二逻辑值来获得(步骤S670)。
被获得的第一逻辑值以及第二逻辑值由比较部627比较,判断是否一致(S675)。在此,对判断第一逻辑值与第二逻辑值是否一致的理由进行说明。图9示出了在有由攻击CAN控制器520进行的攻击的情况下,在两个采样点获得的逻辑值。
首先,如(a1)所示,在发送侧的ECU100与作为接收侧的ECU的ECU600取得了同步的情况下,设想由攻击CAN控制器520进行的(b)所示的第1攻击的结果,即ECU600执行再同步的情况。在这种情况下,接收侧的ECU600在(d)所示的旧采样点与新采样点执行步骤S670的消息的获得。在此,CAN总线200上的信号的逻辑值成为如(c)所示。具体而言,在旧采样点为由攻击CAN控制器520开始进行第2攻击之前,CAN总线200上的信号的逻辑值没有被窜改,是由发送侧的ECU100输出的0(零)。这是因为,在旧采样点,由于发送侧的ECU100执行位监视,因此,攻击CAN控制器520避开该时刻,而执行第2攻击的缘故。并且,在新采样点,如参照图6进行的说明那样,由攻击CAN控制器520,CAN总线200上的值从0被窜改为1。因此,在由攻击CAN控制器520进行攻击,而再同步被执行的情况下,CAN总线200上的信号的逻辑值在旧采样点与新采样点是不一致的。因此,在新旧的采样点,由ECU600的收发控制部122获得的逻辑值不一致。
对此,如(a2)所示,由于在ECU100与ECU600没有取得同步而执行再同步的情况下,CAN总线200上的信号的逻辑值成为与ECU100的输出一致。因此,在新旧的采样点,ECU600的收发控制部122获得的逻辑值一致。
这样,通过判断在旧采样点以及新采样点各自获得的逻辑值是否一致,从而能够判断是否存在由具有恶意的ECU进行的攻击。
在判断为第一逻辑值与第二逻辑值一致的情况下(步骤S675的“是”),ECU600移向通常的工作,即判断下一个消息是否在CAN总线200上。若消息在CAN总线200上(步骤S80的“是”),ECU600接收该消息(步骤S20),若消息不在CAN总线200上(步骤S80的“否”),则结束消息接收的工作。
在判断为第一逻辑值与第二逻辑值不一致的情况下(步骤S675的“否”),在ECU600,由不正当检测处理部628执行不正当检测时处理,即执行与不正当消息被检测的情况相对应的处理。作为该不正当检测时处理,可以将对在网络进行通信时发生了错误进行通知的帧发送给CAN总线200,例如可以发送上述的错误帧。据此,在车载通信系统10A,在接收了被窜改的消息的ECU100,该消息被丢弃,从而发送侧的ECU100能够执行再发送。或者可以经由车载通信系统10A所具备的画面等未图示的用户界面,向用户发出警告。这样,用户可以知道具有恶意的ECU被连接到了车载通信系统10A,从而能够采取措施。
据此,本实施方式中的不正当消息检测装置对被送出到总线型网络中的总线的不正当消息进行检测,所述不正当消息检测装置具备:再同步检测部,为了对采样点进行调整,而对1位期间中的所述总线上的信号的边沿进行检测,并判断是否执行基于所述边沿的再同步,所述采样点是,为了在1位期间中获得所述总线上的信号的逻辑值,而读出所述总线的电压的时刻;接收部,在由所述再同步检测部判断为执行再同步之后的1位期间中,获得第一逻辑值以及第二逻辑值,所述第一逻辑值是,在该边沿被检测之前所使用的采样点中的所述总线的逻辑值,所述第二逻辑值是,基于该边沿的再同步之后的采样点中的所述总线的逻辑值;比较部,对在所述接收部获得的所述第一逻辑值与所述第二逻辑值进行比较;以及不正当检测处理部,在由所述比较部判断为所述第一逻辑值与所述第二逻辑值不一致的情况下,执行与不正当消息被检测到的情况相对应的不正当检测时处理。该不正当消息检测装置能够确实地对由网络上的具有悪意的ECU造成的消息的窜改进行检测,并能够以高的精确度来判断消息的正当性,从而能够确保具备该网络的设备的安全工作,例如在本实施方式所记载的例子为汽车,则能够确保汽车的安全工作。
另外,关于具备上述的实施方式所记载的ECU600的设备或系统,没有特殊的限定。在以上所述中,以ECU600在消息的接收的工作中对消息的窜改进行检测为例做了说明,ECU600也可以是对错误帧以外的消息进行发送的通信设备所具备的ECU。例如可以是被连接在车载通信系统的任意的系统的ECU,例如可以是空調系统的ECU或汽车导航系统的ECU。并且,作为网络的监视专用的设备而被连接的设备所具备的ECU。并且,监视CAN控制器620也可以被装备在用于对CAN总线彼此进行连接的网关的ECU。在这种情况下,该监视CAN控制器620可以对网关所连接的多个CAN总线进行监视。
(效果)
如以上所述,具有上述的构成的不正当消息检测装置能够确实地对因网络上的具有悪意的ECU造成的消息的窜改进行检测,并能够以高的精确度来判断消息的正当性。
作为具有上述的构成的不正当消息检测装置以外对这种攻击进行应对的方法,可以考虑到根据1位期间内的CAN总线上的电变化次数的方法。例如可以考虑到缩短采样点间的周期,在1位期间中对CAN总线上的电变化进行多次扫描来读取的方法。但是,在该方法中是通过在采样与采样之间对电压的操作进行攻击,来回避电变化的检测的。于是,为了使这种检测的回避变得困难,从理论上讲,使采样点间的周期缩短是可能的,但是会导致耗电量的增加或者为了存储获得的逻辑值而存储器的成本增加。另一方面,若是本实施方式中的不正当消息检测装置,与以往的CAN控制器相比,使采样间的周期缩短是在再同步被执行的情况进行的,因此,因具有悪意的装置导致的电压操作的定时是有限的。因此,耗电量的增加或者存储器成本的增加也是有限的。
并且,为了能够使接收侧的ECU对数据的窜改进行检测,也考虑到在发送侧的ECU将MAC(Message Authentication Code:消息认证码)包含到消息中的方法。在这种方法的情况下,由于在CAN协议中,数据帧的各个槽的用途被规定为图2所示,因此,在其中的数据域中插入MAC。然而,用于担保充分的安全性的MAC的长度一般为128位,不能存放在数据域的规定的最大长度的64位中。虽然也考虑到采用更短的更简易的MAC,但是,使MAC缩短与安全性的提高是此消彼长。假使采用短的MAC,也会使数据域中能够包含的信息量受到相应的限制,从而降低通信效率。并且,为了通过MAC来确保安全性,需要将用于对MAC进行处理的电路装备到网络上的所有的ECU,这样会导致成本的增加,并且在普及上也要花费时间。然而,若是本实施方式中的不正当消息检测装置,使网络上的1台ECU具备该装置,通过对CAN总线上的电压的操作的变化进行监视,从而能够对数据的窜改进行检测。因此,现有的网络也能够容易地适用。并且,在本实施方式的不正当消息检测装置中,不会为了进行不正当消息的检测而消耗数据域,因此不会对通信效率产生影响。
到此为止,对在由总线型网络中连接的通信设备构成的车载通信系统中,作为检测被送出到该总线的不正当消息的不正当消息检测装置,而被装备在ECU的一部分的监视CAN控制器进行了说明。然而,只要是例如利用了CAN协议的网络,利用了上述的再同步的结构的攻击不仅限于车载的网络,其他的网络也能够执行。因此,例如以利用了CAN协议的网络来控制的工作机械等中,也能够有效地适用上述的实施方式中的不正当消息装置。并且,即使是不利用CAN协议的网络,针对从多个通信设备发送的信号的冲突问题,只要是采用了上述的再同步方法来解决的网络,就能够进行同样的攻击,因此,上述的实施方式中的不正当消息装置被有效地适用。
以上针对一个形态所涉及的不正当消息检测装置,基于实施方式进行了说明,但是本发明并非受该实施方式所限。例如在上述的实施方式中,也可以作为不正当消息检测方法来实现,在该不正当消息检测方法中,将由监视CAN控制器620的各构成要素执行的、CAN总线200的监视以及不正当消息的检测的工作的流程中的处理作为步骤来执行。并且,各构成要素可以采用专用的硬件来构成,只要能够确保充分的处理速度,就可以通过CPU等处理器来执行适于各构成要素的软件程序来实现。例如也可以是,通过处理器读出并执行被记录在硬盘或半导体存储器等记录介质的软件程序来实现。在此,实现上述实施方式的不正当消息检测装置的软件程序是如下的程序。
本发明的一个形态所涉及的不正当消息检测程序是使处理器执行不正当消息检测方法的程序,该不正当消息检测方法,对被送出到总线型网络中的总线的不正当消息进行检测,所述不正当消息检测方法包括:再同步检测步骤,为了对采样点进行调整,而对1位期间中的所述总线上的信号的边沿进行检测,并判断是否执行基于所述边沿的再同步,所述采样点是,为了在1位期间中获得所述总线上的信号的逻辑值,而读出所述总线的电压的时刻;接收步骤,在由所述再同步检测步骤判断为执行再同步之后的1位期间中,获得第一逻辑值以及第二逻辑值,所述第一逻辑值是,在该边沿被检测之前所使用的采样点中的所述总线的逻辑值,所述第二逻辑值是,基于该边沿的再同步之后的采样点中的所述总线的逻辑值;比较步骤,对在所述接收步骤获得的所述第一逻辑值与所述第二逻辑值进行比较;以及不正当检测处理步骤,在所述比较步骤中判断为所述第一逻辑值与所述第二逻辑值不一致的情况下,执行与不正当消息被检测到的情况相对应的不正当检测时处理。
并且,本发明可以作为具备以上说明的不正当消息检测装置的ECU来实现。
以上基于实施方式、对一个形态所涉及的不正当消息检测装置进行了说明,本发明并非受该实施方式所限。在不脱离本发明的主旨的范围内,将本领域技术人员所能够想到的各种变形执行到本实施方式而得到的方案、或者对不同的实施方式中的构成要素进行组合而构成的方案均可以包含在一个或多个形态的范围内。
例如在作为上述的实施方式而记载的例子中,同步时间保持部虽然为第一同步时间保持部625以及第二同步时间保持部626这两个,但是,同步时间保持部的个数并非受两个所限。例如通过1台的监视CAN控制器具备三个以上的同步时间保持部,从而能够检测针对多个接收侧的ECU100的不同的定时的攻击。
本发明能够利用于连接有能够采用CDMA/CA方式等的通信协议来进行通信的多个装置的网络,例如能够应用于作为车载网络等而被利用的CAN等。
符号说明
10、10A 车载通信系统
100、101、102、10n、501、600 ECU
110 处理部
120 CAN控制器
121 CAN控制部
122 收发控制部
123 时钟生成部
124 再同步检测部
125 同步时间保持部
126 攻击定时生成部
130 CAN收发器
200 CAN总线
520 攻击CAN控制器
620 监视CAN控制器
625 第一同步时间保持部
626 第二同步时间保持部
627 比较部
628 不正当检测处理部
Claims (8)
1.一种不正当消息检测装置,对被送出到总线型网络中的总线的不正当消息进行检测,
所述不正当消息检测装置具备:
再同步检测部,为了对采样点进行调整,而对1位期间中的所述总线上的信号的边沿进行检测,并判断是否执行基于所述边沿的再同步,所述采样点是,为了在1位期间中获得所述总线上的信号的逻辑值,而读出所述总线的电压的时刻;
接收部,在由所述再同步检测部判断为执行再同步之后的1位期间中,获得第一逻辑值以及第二逻辑值,所述第一逻辑值是,在该边沿被检测之前所使用的采样点中的所述总线的逻辑值,所述第二逻辑值是,基于该边沿的再同步之后的采样点中的所述总线的逻辑值;
比较部,对在所述接收部获得的所述第一逻辑值与所述第二逻辑值进行比较;以及
不正当检测处理部,在由所述比较部判断为所述第一逻辑值与所述第二逻辑值不一致的情况下,执行与不正当消息被检测到的情况相对应的不正当检测时处理。
2.如权利要求1所述的不正当消息检测装置,
所述不正当消息检测装置进一步具备:
第一同步时间保持部,保持由所述再同步检测部检测到所述边沿之前所使用的采样点;以及
第二同步时间保持部,保持通过基于由所述再同步检测部检测出的所述边沿的再同步进行调整后的采样点,
所述接收部,在所述第一同步时间保持部中保持的采样点,获得所述第一逻辑值,在所述第二同步时间保持部中保持的采样点,获得所述第二逻辑值。
3.如权利要求1或2所述的不正当消息检测装置,
所述不正当检测处理部,作为所述不正当检测时处理,而将用于通知在所述总线型网络进行通信时发生了错误的帧发送给所述总线。
4.如权利要求1至3的任一项所述的不正当消息检测装置,
所述总线型网络是控制器局域网。
5.如权利要求1至4的任一项所述的不正当消息检测装置,
该不正当消息检测装置,作为被连接在所述总线型网络的电子控制装置的一部分而被安装。
6.一种电子控制装置,
该电子控制装置具备权利要求1至4的任一项所述的不正当消息检测装置,且被连接在由通过总线型网络连接的通信设备构成的车载通信系统。
7.一种不正当消息检测方法,对被送出到总线型网络中的总线的不正当消息进行检测,
所述不正当消息检测方法包括:
再同步检测步骤,为了对采样点进行调整,而对1位期间中的所述总线上的信号的边沿进行检测,并判断是否执行基于所述边沿的再同步,所述采样点是,为了在1位期间中获得所述总线上的信号的逻辑值,而读出所述总线的电压的时刻;
接收步骤,在由所述再同步检测步骤判断为执行再同步之后的1位期间中,获得第一逻辑值以及第二逻辑值,所述第一逻辑值是,在该边沿被检测之前所使用的采样点中的所述总线的逻辑值,所述第二逻辑值是,基于该边沿的再同步之后的采样点中的所述总线的逻辑值;
比较步骤,对在所述接收步骤获得的所述第一逻辑值与所述第二逻辑值进行比较;以及
不正当检测处理步骤,在所述比较步骤中判断为所述第一逻辑值与所述第二逻辑值不一致的情况下,执行与不正当消息被检测到的情况相对应的不正当检测时处理。
8.一种不正当消息检测程序,用于使处理器执行权利要求7所述的不正当消息检测方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015255420 | 2015-12-25 | ||
| JP2015-255420 | 2015-12-25 | ||
| PCT/JP2016/005116 WO2017110056A1 (ja) | 2015-12-25 | 2016-12-13 | 不正メッセージ検知装置、不正メッセージ検知装置を備える電子制御装置、不正メッセージ検知方法、及び不正メッセージ検知プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108476155A true CN108476155A (zh) | 2018-08-31 |
| CN108476155B CN108476155B (zh) | 2021-05-14 |
Family
ID=59089883
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680075193.4A Active CN108476155B (zh) | 2015-12-25 | 2016-12-13 | 不正当消息检测装置、方法、记录介质、以及电子控制装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10742675B2 (zh) |
| EP (1) | EP3396900B1 (zh) |
| JP (1) | JP6732799B2 (zh) |
| CN (1) | CN108476155B (zh) |
| WO (1) | WO2017110056A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110177034A (zh) * | 2018-02-21 | 2019-08-27 | 罗伯特·博世有限公司 | 总线系统的成员站和提高总线系统的数据传输率的方法 |
| CN112684773A (zh) * | 2019-10-17 | 2021-04-20 | 沃尔沃汽车公司 | 在can总线上的数据操纵检测 |
| CN113169906A (zh) * | 2018-12-12 | 2021-07-23 | 三菱电机株式会社 | 信息处理装置、信息处理方法和信息处理程序 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102017200826A1 (de) * | 2017-01-19 | 2018-07-19 | Conti Temic Microelectronic Gmbh | Verfahren zum Betreiben einer Überwachungsvorrichtung eines Datennetzwerks eines Kraftfahrzeugs sowie Überwachungsvorrichtung, Steuergerät und Kraftfahrzeug |
| US10757113B2 (en) * | 2017-03-17 | 2020-08-25 | Cylance Inc. | Communications bus signal fingerprinting |
| DE202017104362U1 (de) * | 2017-07-21 | 2017-08-07 | Robert Bosch Gmbh | Zeitstempeleinheit und Kommunikationssteuereinheit für eine Teilnehmerstation eines Kommunikationsnetzwerks |
| DE102017212543A1 (de) * | 2017-07-21 | 2019-01-24 | Robert Bosch Gmbh | Sende-/Empfangseinrichtung für ein Bussystem und Verfahren zur Reduktion von leitungsgebundenen Emissionen |
| DE102018208118A1 (de) * | 2018-05-23 | 2019-11-28 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Authentifizieren einer über einen Bus übertragenen Nachricht |
| JP7079180B2 (ja) * | 2018-09-20 | 2022-06-01 | ボッシュ株式会社 | Can通信方法及びcan通信システム |
| US10884966B2 (en) * | 2018-12-04 | 2021-01-05 | Palo Alto Research Center Incorporated | Method and apparatus to prevent a node device from transmitting an unallowable message onto a CAN bus |
| US11847254B2 (en) * | 2022-01-21 | 2023-12-19 | Shift5, Inc. | Voltage override device for physical intrusion prevention on a data bus |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101719858A (zh) * | 2009-11-03 | 2010-06-02 | 上海大学 | Can控制器的位时序的同步处理方法 |
| CN101960771A (zh) * | 2008-03-07 | 2011-01-26 | 罗伯特.博世有限公司 | 包括数据总线和多个连接在其上的用户节点的通信系统以及用于运行这样的通信系统的方法 |
| CN103782283A (zh) * | 2011-06-29 | 2014-05-07 | 罗伯特·博世有限公司 | 用于具有灵活的消息大小和可变的位长的数据传输的方法和装置 |
| CN103999410A (zh) * | 2011-12-22 | 2014-08-20 | 丰田自动车株式会社 | 通信系统及通信方法 |
| CN104025506A (zh) * | 2011-10-31 | 2014-09-03 | 丰田自动车株式会社 | 通信系统中的消息认证方法及通信系统 |
| US20140334314A1 (en) * | 2013-03-15 | 2014-11-13 | Concio Holdings LLC | High Speed Embedded Protocol for Distributed Control Systems |
| WO2014191788A1 (en) * | 2013-05-29 | 2014-12-04 | Freescale Semiconductor, Inc. | A network receiver for a network using distributed clock synchronization and a method of sampling a signal received from the network |
| CN104956626A (zh) * | 2013-01-28 | 2015-09-30 | 日立汽车系统株式会社 | 网络装置以及数据收发系统 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3148003B2 (ja) * | 1992-07-02 | 2001-03-19 | 富士通株式会社 | 受信データ再生装置 |
| JP2775662B2 (ja) * | 1993-04-16 | 1998-07-16 | 本田技研工業株式会社 | 車両用データ伝送システム |
| US5649225A (en) * | 1994-06-01 | 1997-07-15 | Advanced Micro Devices, Inc. | Resynchronization of a superscalar processor |
| US6779123B2 (en) * | 2001-02-28 | 2004-08-17 | Intel Corporation | Calibrating return time for resynchronizing data demodulated from a master slave bus |
| GB2382746B (en) * | 2001-11-20 | 2005-12-14 | Ericsson Telefon Ab L M | Establishing radio communication channels |
| JP3835800B2 (ja) * | 2002-02-08 | 2006-10-18 | 株式会社東芝 | 受信フレームの同期方法、および、受信装置 |
| CN100370757C (zh) * | 2004-07-09 | 2008-02-20 | 国际商业机器公司 | 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统 |
| JP5717240B2 (ja) * | 2010-08-09 | 2015-05-13 | 国立大学法人名古屋大学 | 通信システム及び通信装置 |
| WO2015162985A1 (ja) * | 2014-04-25 | 2015-10-29 | 株式会社セキュアブレイン | 不正検知ネットワークシステム及び、不正検知方法 |
| JP2016005231A (ja) * | 2014-06-19 | 2016-01-12 | ルネサスエレクトロニクス株式会社 | 光受信機 |
| EP3337102B1 (en) * | 2014-12-01 | 2020-03-25 | Panasonic Intellectual Property Corporation of America | Illegality detection electronic control unit, car onboard network system, and illegality detection method |
| JP6005307B1 (ja) * | 2015-03-19 | 2016-10-12 | 三菱電機株式会社 | 通信装置およびネットワークシステム |
| EP3657723B1 (en) * | 2015-10-30 | 2024-04-10 | International Semiconductor Group | Wireless communication device and wireless communication method |
| KR102400730B1 (ko) * | 2016-02-23 | 2022-05-20 | 현대자동차주식회사 | 네트워크에서 통신 노드들 간의 시간 동기화 방법 |
| US10536464B2 (en) * | 2016-06-22 | 2020-01-14 | Intel Corporation | Secure and smart login engine |
-
2016
- 2016-12-13 EP EP16877961.9A patent/EP3396900B1/en active Active
- 2016-12-13 JP JP2017557692A patent/JP6732799B2/ja active Active
- 2016-12-13 WO PCT/JP2016/005116 patent/WO2017110056A1/ja unknown
- 2016-12-13 CN CN201680075193.4A patent/CN108476155B/zh active Active
-
2018
- 2018-06-20 US US16/013,239 patent/US10742675B2/en active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101960771A (zh) * | 2008-03-07 | 2011-01-26 | 罗伯特.博世有限公司 | 包括数据总线和多个连接在其上的用户节点的通信系统以及用于运行这样的通信系统的方法 |
| CN101719858A (zh) * | 2009-11-03 | 2010-06-02 | 上海大学 | Can控制器的位时序的同步处理方法 |
| CN103782283A (zh) * | 2011-06-29 | 2014-05-07 | 罗伯特·博世有限公司 | 用于具有灵活的消息大小和可变的位长的数据传输的方法和装置 |
| CN104025506A (zh) * | 2011-10-31 | 2014-09-03 | 丰田自动车株式会社 | 通信系统中的消息认证方法及通信系统 |
| CN103999410A (zh) * | 2011-12-22 | 2014-08-20 | 丰田自动车株式会社 | 通信系统及通信方法 |
| CN104956626A (zh) * | 2013-01-28 | 2015-09-30 | 日立汽车系统株式会社 | 网络装置以及数据收发系统 |
| US20140334314A1 (en) * | 2013-03-15 | 2014-11-13 | Concio Holdings LLC | High Speed Embedded Protocol for Distributed Control Systems |
| WO2014191788A1 (en) * | 2013-05-29 | 2014-12-04 | Freescale Semiconductor, Inc. | A network receiver for a network using distributed clock synchronization and a method of sampling a signal received from the network |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110177034A (zh) * | 2018-02-21 | 2019-08-27 | 罗伯特·博世有限公司 | 总线系统的成员站和提高总线系统的数据传输率的方法 |
| CN113169906A (zh) * | 2018-12-12 | 2021-07-23 | 三菱电机株式会社 | 信息处理装置、信息处理方法和信息处理程序 |
| CN112684773A (zh) * | 2019-10-17 | 2021-04-20 | 沃尔沃汽车公司 | 在can总线上的数据操纵检测 |
| CN112684773B (zh) * | 2019-10-17 | 2024-03-01 | 沃尔沃汽车公司 | 在can总线上的数据操纵检测 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3396900A4 (en) | 2018-10-31 |
| CN108476155B (zh) | 2021-05-14 |
| US20180316710A1 (en) | 2018-11-01 |
| US10742675B2 (en) | 2020-08-11 |
| WO2017110056A1 (ja) | 2017-06-29 |
| JPWO2017110056A1 (ja) | 2018-10-11 |
| JP6732799B2 (ja) | 2020-07-29 |
| EP3396900A1 (en) | 2018-10-31 |
| EP3396900B1 (en) | 2019-10-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108476155A (zh) | 不正当消息检测装置、方法、程序、以及电子控制装置 | |
| US11570184B2 (en) | In-vehicle network system, fraud-detection electronic control unit, and fraud-detection method | |
| US11356475B2 (en) | Frame transmission prevention apparatus, frame transmission prevention method, and in-vehicle network system | |
| CN108028790B (zh) | 异常检测方法、异常检测装置及异常检测系统 | |
| JP5664799B2 (ja) | 通信システム及び通信方法 | |
| US20150172306A1 (en) | Method and apparatus for enhancing security in an in-vehicle communication network | |
| WO2016038816A1 (ja) | 車両用通信装置、車載ネットワークシステム及び車両用通信方法 | |
| CN106598018B (zh) | 控制器区域网络(can)装置以及用于操作can装置的方法 | |
| JP7232832B2 (ja) | 不正検知方法及び不正検知装置 | |
| CN113014464A (zh) | 异常检测方法、异常检测装置及异常检测系统 | |
| CN112422153B (zh) | 检测到共享传输介质处冲突后处理数据接收的方法和系统 | |
| KR20140102660A (ko) | 복수의 센서로부터 페이로드 데이터를 차량용 버스 제어 장치에 전송하기 위한 방법 및 센서 전송 장치 | |
| Nishimura et al. | Implementation of the CAN-FD protocol in the fuzzing tool beSTORM | |
| KR101473144B1 (ko) | Can 통신 기반의 반도체 테스트 방법 및 시스템 | |
| CN108632242A (zh) | 通信装置及接收装置 | |
| CN111865839B (zh) | 电子控制单元的通信方法、装置、设备及计算机存储介质 | |
| US10303638B2 (en) | Method of data acquisition and apparatus for data acquisition | |
| JP5958335B2 (ja) | 通信ノード、及び通信システム | |
| KR20180058537A (ko) | 차량 내 통신 보안 제공 방법 및 장치 | |
| TWI423638B (zh) | 通訊系統、測試裝置、通訊裝置、通訊方法以及測試方法 | |
| US20190222355A1 (en) | Method, Sensor, and Controller for Transmitting a Data Packet from a Sensor to a Controller | |
| JP4065058B2 (ja) | リモートリセット装置 | |
| JP6149716B2 (ja) | 車載ネットワークシステム | |
| de Faveri Tron | CANPass: an extensible framework for bypassing CAN peripherals on unmodified microcontrollers | |
| JP2008227570A (ja) | 差動型伝送装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200605 Address after: Kyoto Japan Applicant after: Panasonic semiconductor solutions Co.,Ltd. Address before: Osaka Japan Applicant before: PANASONIC INTELLECTUAL PROPERTY MANAGEMENT Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| CB02 | Change of applicant information |
Address after: Kyoto Japan Applicant after: Nuvoton Technology Corporation Japan Address before: Kyoto Japan Applicant before: Panasonic semiconductor solutions Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |