CN109076001A - 帧传送阻止装置、帧传送阻止方法及车载网络系统 - Google Patents
帧传送阻止装置、帧传送阻止方法及车载网络系统 Download PDFInfo
- Publication number
- CN109076001A CN109076001A CN201780019869.2A CN201780019869A CN109076001A CN 109076001 A CN109076001 A CN 109076001A CN 201780019869 A CN201780019869 A CN 201780019869A CN 109076001 A CN109076001 A CN 109076001A
- Authority
- CN
- China
- Prior art keywords
- frame
- transmission
- information
- vehicle
- prevent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
- H04L12/40013—Details regarding a bus controller
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
- H04L12/40026—Details regarding a bus guardian
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
Abstract
与供多个电子控制单元经由总线进行通信的网络系统中的该总线连接的帧传送阻止装置,具备:接收部,其从总线接收帧的;以及处理部,其基于表示是否允许阻止帧的传送的管理信息,对在由接收部接收到的帧满足预定条件的情况下是否执行阻止该帧的传送的预定处理进行切换。
Description
技术领域
本公开涉及阻止向车载网络系统等网络传送不正当帧的安全对策技术。
背景技术
近年来,在汽车内的系统中配置有很多称作电子控制单元(ECU:ElectronicControl Unit)的装置。连接这些ECU的网络称作车载网络。车载网络中存在多种通信标准。作为其中最主流的车载网络之一,存在由ISO11898规定的CAN(Controller Area Network)这一标准。
在CAN中,通信路径是由2条线路构成的总线,与总线连接的ECU称作节点。与总线连接的各节点收发被称作数据帧的帧。发送数据帧的发送节点对2条线路施加电压,使得线路间产生电位差,由此发送被称作隐性(recessive,隐性电平)的“1”的值和被称作显性(dominant,显性电平)的“0”的值。在多个发送节点全都在同一时刻(timing,定时)发送了隐性和显性的情况下,显性被优先发送。接收节点在接收到的数据帧的格式存在异常的情况下,发送被称作错误帧的帧。错误帧是指通过连续发送6bit的显性而向发送节点及其他接收节点通知数据帧的异常的帧。
另外,在CAN中,不存在用于指示发送目的地或发送源的标识符,发送节点对每个数据帧附加ID(identifier,标识符)并进行发送,各接收节点仅接收预先确定的ID的数据帧。另外,采用CSMA/CA(Carrier Sense Multiple Access/Collision Avoidance,载波侦听多址访问/冲突避免)方式,在多个节点同时发送时,基于ID进行仲裁,ID值较小的数据帧被优先发送。
关于车载网络系统,存在攻击者通过访问总线并发送不正当数据帧等攻击帧来不正当地控制ECU这样的威胁,正在研究安全对策。
例如专利文献1中记载了如下方法:在规定的通信间隔内接收到两个具有同一标识符的帧的情况下,丢弃该各帧而不进行转送,由此阻止不正当帧的传送。另外,在非专利文献1中记载了如下方法:在多个节点不会发送具有同一ID的数据帧的前提条件下,当检测出与本节点发送的ID为同一ID的数据帧的发送时,利用错误帧来阻止不正当数据帧的传送。
现有技术文献
专利文献1:日本特开2014-146868号公报
非专利文献
非专利文献1:Matsumoto、其他4名、“A Method of Preventing UnauthorizedData Transmission in Controller Area Network”、Vehicular Technology Conference(VTC Spring)、IEEE、2012年
发明内容
发明要解决的技术问题
在现有的方法中,例如根据在车辆制造阶段等预先规定的ID、基于通信间隔等规则的条件判定的结果来阻止帧的传送。在这样的方法中,无法适当地应对在车辆制造后等的构成车载网络系统的ECU组编组的变更、例如ECU的追加、替换等,例如可能会错误地阻止由被追加的ECU发送的不会引起特别问题的帧的传送。
因此,本公开提供一种帧传送阻止装置,其能够在网络系统中阻止由攻击者发送的攻击帧的传送,并且能够抑制对不会引起特别问题的帧的传送的阻止。另外,本公开提供一种用于适当地阻止帧的传送的帧传送阻止方法及车载网络系统。
用于解决问题的技术方案
为了解决上述课题,本公开的一个技术方案的帧传送阻止装置,其与供多个电子控制单元经由总线进行通信的网络系统中的该总线连接,所述帧传送阻止装置具备:接收部,其从所述总线接收帧;以及处理部,其基于表示是否允许阻止帧的传送的管理信息,对在由所述接收部接收到的帧满足预定条件的情况下是否执行阻止该帧的传送的预定处理进行切换。
另外,为了解决上述课题,本公开的一个技术方案的帧传送阻止方法,在供多个电子控制单元经由总线进行通信的网络系统中使用,所述帧传送阻止方法包括:接收步骤,从所述总线接收帧;以及处理步骤,基于表示是否允许阻止帧的传送的管理信息,对在通过所述接收步骤接收到的帧满足预定条件的情况下是否执行阻止该帧的传送的预定处理进行切换。
另外,为了解决上述课题,本公开的一个技术方案的车载网络系统,具备经由总线进行通信的多个电子控制单元,所述车载网络系统具备:接收部,其从所述总线接收帧;以及处理部,其基于表示是否允许阻止帧的传送的管理信息,对在由所述接收部接收到的帧满足预定条件的情况下是否执行阻止该帧的传送的预定处理进行切换。
发明的效果
根据本公开,能够适当地阻止由攻击者发送的攻击帧的传送,并且抑制对不会引起特别问题的帧的传送的阻止。
附图说明
图1是表示实施方式1的车载网络系统的结构的图。
图2是表示由CAN协议规定的数据帧的格式的图。
图3是表示由CAN协议规定的错误帧的格式的图。
图4是实施方式1的ECU的结构图。
图5是表示实施方式1的ECU中的接收ID列表的一例的图。
图6是表示实施方式1的发动机ECU发送的数据帧的ID及数据的一例的图。
图7是表示实施方式1的制动器ECU发送的数据帧的ID及数据的一例的图。
图8是表示实施方式1的车门开闭传感器ECU发送的数据帧的ID及数据的一例的图。
图9是表示实施方式1的车窗开闭传感器ECU发送的数据帧的ID及数据的一例的图。
图10是实施方式1的不正当检测ECU的结构图。
图11是表示实施方式1的不正当检测ECU保持的不正当检测规则的一例的图。
图12是表示实施方式1的不正当检测ECU保持的管理信息的一例的图。
图13是实施方式1的服务器的结构图。
图14是表示实施方式1的不正当检测ECU进行的不正当帧的检测及传送阻止的时序的一例的图。
图15是表示实施方式1的不正当检测ECU的工作不良检测处理的一例的流程图。
图16是表示实施方式1的不正当检测ECU发送的不正当检测消息的格式的一例的图。
图17是表示实施方式1的不正当检测ECU的传送阻止功能的激活所涉及的更新处理的一例的流程图。
图18是表示实施方式1的服务器发送的包含固件(FW:firmware)的发布消息的格式的一例的图。
图19是表示实施方式2的车载网络系统的结构的图。
图20是实施方式2的不正当检测ECU的结构图。
图21是实施方式2的服务器的结构图。
图22是表示实施方式2的不正当检测ECU进行的不正当帧的检测及传送阻止的时序的一例的图。
图23是表示实施方式2的不正当检测ECU的工作不良检测处理的一例的流程图。
图24是表示实施方式2的不正当检测ECU通过车车间通信发送的异常通知消息的格式的一例的图。
图25是表示实施方式2的不正当检测ECU向服务器发送的不正当检测消息的格式的一例的图。
图26是表示实施方式2的不正当检测ECU的传送阻止功能激活处理的一例的流程图。
图27是表示实施方式2的服务器的失效消息的发送所涉及的处理的一例的流程图。
图28是表示实施方式2的服务器发送的失效消息的格式的一例的图。
图29是表示实施方式2的不正当检测ECU的传送阻止功能失效处理的一例的流程图。
图30是变形例的帧传送阻止装置的结构图。
标号的说明
10、11 车载网络系统
100a 电子控制单元(发动机ECU)
100b 电子控制单元(制动器ECU)
100c 电子控制单元(车门开闭传感器ECU)
100d 电子控制单元(车窗开闭传感器ECU)
110、410 帧收发部
120、420 帧解释部
130 接收ID判断部
140 接收ID列表保持部
150 帧处理部
160 帧生成部
170 数据取得部
200 总线
310 发动机
320 制动器
330 车门开闭传感器
340 车窗开闭传感器
400、1400 不正当检测ECU(帧传送阻止装置)
430 不正当检测处理部
431 不正当检测规则保持部
440、1440 状态确认部
441 状态保持部
450 帧生成部
460、1460 更新处理部
470、1470 外部通信部
480、550 署名处理部
481、560 密钥保持部
491 车种信息保持部
492 车台编号信息保持部
500、1500 服务器
510、2440 通信部
520、1520 分析部
530 FW保持部
540 发布消息生成部
600、1600 通信模块
1540 消息生成部
2400 帧传送阻止装置
2410 接收部
2420 处理部
2421 发送部
2430 存储部
2450 更新部
具体实施方式
本公开的一个技术方案的帧传送阻止装置,其与供多个电子控制单元经由总线进行通信的网络系统中的该总线连接,所述帧传送阻止装置具备:接收部,其从所述总线接收帧;以及处理部,其基于表示是否允许阻止帧的传送的管理信息,对在由所述接收部接收到的帧满足预定条件的情况下是否执行阻止该帧的传送的预定处理进行切换。该帧传送阻止装置具备为了抑制阻止攻击帧以外的不会引起特别问题(例如网络系统的工作不良等)的帧的传送而有用的结构。根据该帧传送阻止装置,能够阻止由攻击者发送的攻击帧的传送,并且能够抑制对攻击帧以外的不会引起特别问题的帧的传送的阻止。例如,设想以违反针对制造阶段的网络系统而规定的规则的不正当帧会符合的方式设定预定条件来制造并利用帧传送阻止装置。在该情况下,帧传送阻止装置并非简单地阻止满足该预定条件的帧的传送,而是能够根据管理信息来变更是否进行阻止。因此,即使在帧传送阻止装置制造后,如果与网络系统中ECU的追加等对应地变更管理信息,则也能够防止将由追加的ECU发送的不会引起特别问题的帧误检测为不正当的攻击帧并阻止其传送这样的事态。此外,帧传送阻止装置参照的管理信息例如也可以从帧传送阻止装置外接收,例如还可以从帧传送阻止装置内的存储介质等读取。
另外,也可以是,所述多个电子控制单元遵循CAN协议即控制器局域网协议经由所述总线进行通信,阻止满足所述预定条件的帧的传送的所述预定处理,包含在由所述接收部接收到该帧的最末尾的比特之前向所述总线发送错误帧的处理。由此,在设为了基于管理信息来阻止成为传送阻止对象的满足预定条件的帧的情况下,能够通过发送错误帧来高效地阻止该帧在总线上的传送。另外,由于能够根据管理信息来抑制通过错误帧阻止不会引起特别问题的帧的传送,所以可抑制因重新发送该帧带来的通信量增大等该阻止的负面影响。
另外,也可以是,所述帧传送阻止装置具备:存储部,其存储有所述管理信息;以及更新部,其对存储在所述存储部中的所述管理信息进行更新,所述管理信息包含分别与多个ID对应地表示是否允许阻止具有该ID且满足所述预定条件的帧的传送的标志信息,所述处理部,在由所述接收部接收到的帧满足所述预定条件的情况下,当与该帧的ID对应的所述标志信息表示允许阻止该帧的传送时,执行所述预定处理,当与该帧的ID对应的所述标志信息表示不允许阻止该帧的传送时,不执行所述预定处理。由此,能够按例如用于识别作为帧的内容的数据的类别等的、帧所具有的每个ID(identifier)来变更是否允许阻止帧的传送。
另外,也可以是,所述管理信息中的分别与所述多个ID对应的标志信息,在所述更新部一次也没有进行过更新的状态下,表示不允许阻止帧的传送。由此,能够抑制由阻止帧的传送带来的弊端。例如,可以设想这样的运用:在因与网络系统中追加的ECU所发送的帧相同ID的帧而使网络系统等发生了工作不良等异常的情况下,更新部使与该ID对应的标志信息更新为表示允许阻止传送。在该例中,只要不产生工作不良等异常,该帧的传送就不会被阻止,因此不会产生由阻止带来的弊端。
另外,也可以是,所述标志信息是1比特的信息。由此,能够将存储包含每个ID的标志信息的管理信息所需要的存储介质的容量抑制得较小。
另外,也可以是,所述更新部根据所述帧传送阻止装置从外部接收到的指示信息来更新所述管理信息。由此,对于帧传送阻止装置,能够根据需要从网络系统内的电子控制单元等装置或网络系统外的装置等提供指示信息来控制帧传送阻止功能的执行。在该情况下,帧传送阻止装置例如也可以不具有用于适当判定是否应更新管理信息的结构。
另外,也可以是,所述网络系统是车载网络系统,所述多个电子控制单元、所述总线和所述帧传送阻止装置搭载于车辆,所述更新部根据位于所述车辆之外的外部装置发送的所述指示信息来更新所述管理信息。由此,能够通过车辆外部的服务器装置、其他车辆等根据需要提供指示信息来控制帧传送阻止功能的执行。例如能够实现这样的运用:通过从多个车辆收集信息并进行分析来适当决定指示信息的服务器装置等,控制帧传送阻止装置的帧传送阻止功能的执行。作为指示信息,例如可以设想:激活帧传送阻止装置的帧传送阻止功能的指示即允许阻止传送的指示、或者使传送阻止功能失效的指示即不允许阻止传送的指示等。
另外,也可以是,所述更新部,在所述外部装置发送的所述指示信息表示不允许阻止具有预定ID的帧的传送的指示的情况下,以所述外部装置具有预定权限的认证成功作为条件,将所述管理信息中的与所述预定ID对应的标志信息更新为表示不允许阻止具有所述预定ID的帧的传送,在所述指示信息表示允许阻止具有所述预定ID的帧的传送的指示的情况下,无论所述外部装置是否具有所述预定权限,都将所述管理信息中的与所述预定ID对应的标志信息更新为表示允许阻止具有所述预定ID的帧的传送。由此,鉴于存在攻击者进行攻击的可能性,在为了防御而暂且允许阻止帧的传送的情况下,为了中止该允许则需要预定权限,因此网络系统的安全得以提高。
另外,也可以是,所述帧传送阻止装置还具备通信部,所述通信部在所述处理部执行阻止具有一ID的帧的传送的所述预定处理的情况下,发送面向其他车辆的指示信息,所述指示信息表示允许阻止具有该一ID的帧的传送的指示。该帧传送阻止装置例如在攻击者对搭载有本装置的车辆的车载网络系统发送了攻击帧的情况下,通过发送指示信息,能够保护搭载有同样的帧传送阻止装置的其他车辆免受同样的攻击。
另外,也可以是,所述帧传送阻止装置还具备通信部,所述通信部在由所述接收部接收到的帧满足所述预定条件的情况下,向所述外部装置发送包含关于该帧的信息的分析用信息。由此,能够向外部装置发送例如用于判别满足预定条件的帧的传送是否会引起特别问题的分析所需要的分析用信息。例如能够实现这样的运用:通过作为外部装置的服务器装置等从多个车辆收集分析用信息并进行分析,适当地决定指示信息。作为活用分析用信息的结果,如果是外部装置发送指示信息,则帧传送阻止装置能够接收该指示信息并更新管理信息。
另外,也可以是,所述更新部,在由所述接收部接收到的帧满足所述预定条件、且与该帧的ID对应的所述标志信息表示不允许阻止该帧的传送的情况下,当基于具有与该帧的ID不同的特定ID的、由所述接收部接收到的帧而检测出发生了异常时,将该标志信息更新为表示允许所述阻止。由此,帧传送阻止装置能够适当地阻止满足预定条件的帧的传送给会对在总线上流动的其他种类的帧带来异常这样的会引起特别问题的帧的传送。例如,可以设想以将在制造阶段等在网络系统中使用的帧的ID用作特定ID的方式制造帧传送阻止装置。另外,例如可以设想,在制造阶段等在网络系统中规定了涉及重要数据的帧的ID的情况下,将该ID用作特定ID。
另外,也可以是,所述更新部,在由所述接收部接收到的帧满足所述预定条件、且与该帧的ID对应的所述标志信息表示不允许阻止该帧的传送的情况下,当检测出所述多个电子控制单元中的预先确定的特定的电子控制单元异常时,将该标志信息更新为表示允许所述阻止。由此,帧传送阻止装置能够适当地阻止满足预定条件的帧的传送对特定ECU带来异常这样的会引起特别问题的帧的传送。例如,可以设想以将在制造阶段等网络系统所具备的ECU用作特定ECU的方式制造帧传送阻止装置。另外,例如可以设想,在网络系统中将重要的ECU、例如如果是车载网络系统则将与车辆的行驶控制相关的ECU用作特定的ECU。
另外,也可以是,所述预定条件是关于帧的ID的条件,在由所述接收部接收到的帧的ID满足所述预定条件的情况下,所述处理部基于所述管理信息对是否执行所述预定处理进行切换。由此,当例如将预定条件设定为表示不会被所构建的网络系统利用的帧的ID即被推定为不正当的ID组等时,能够基于管理信息来阻止由攻击者向总线发送的攻击帧的传送。通过阻止该攻击帧的传送,能够确保网络系统的安全。
另外,也可以是,所述多个电子控制单元遵循CAN协议即控制器局域网协议经由所述总线进行通信,所述预定条件是关于作为帧的数据帧的DLC即数据长度码的条件,在由所述接收部接收到的帧的DLC满足所述预定条件的情况下,所述处理部基于所述管理信息对是否执行所述预定处理进行切换。由此,当例如将预定条件设定为表示不会被所构建的网络系统利用的DLC即被推定为不正当的DLC时,能够基于管理信息来阻止由攻击者向总线发送的包含该DLC的攻击帧的传送。
另外,也可以是,所述多个电子控制单元遵循CAN协议即控制器局域网协议经由所述总线进行通信,所述预定条件是关于作为帧的数据帧的数据域内的数据的条件,在由所述接收部接收到的帧的数据域内的数据满足所述预定条件的情况下,所述处理部基于所述管理信息对是否执行所述预定处理进行切换。由此,当例如将预定条件设定为表示被推定为不正当的数据时,能够基于管理信息来阻止由攻击者向总线发送的包含该数据的攻击帧的传送。
另外,也可以是,所述预定条件是在帧不包含合理的消息认证码的情况下满足的条件。由此,能够基于管理信息来阻止由攻击者向总线发送的不包含正当的消息认证码的攻击帧的传送。
另外,也可以是,所述多个电子控制单元遵循CAN协议即控制器局域网协议经由所述总线进行通信,阻止满足所述预定条件的帧的传送的所述预定处理,包含当正在传送该帧时向所述总线发送显性信号的处理。由此,在设为了基于管理信息来阻止成为传送阻止对象的满足预定条件的帧的情况下,通过利用显性信号的发送来覆写并改变该帧的内容,能够阻止总线上的该帧的完全状态下的传送。总线上的帧的内容的改变例如能够防止引起接收错误等并且在接收节点的ECU中将该帧与正常帧同样地处理。
另外,本公开的一个技术方案的帧传送阻止方法,在供多个电子控制单元经由总线进行通信的网络系统中使用,所述帧传送阻止方法包括:接收步骤,从所述总线接收帧;以及处理步骤,基于表示是否允许阻止帧的传送的管理信息,对在通过所述接收步骤接收到的帧满足预定条件的情况下是否执行阻止该帧的传送的预定处理进行切换。由此,基于管理信息来控制阻止帧的传送所涉及的预定处理的执行,因此能够阻止由攻击者发送的攻击帧的传送,并且能够抑制对攻击帧以外的不会引起特别问题的帧的传送的阻止。
另外,本公开的一个技术方案的车载网络系统,具备经由总线进行通信的多个电子控制单元,所述车载网络系统具备:接收部,其从所述总线接收帧;以及处理部,其基于表示是否允许阻止帧的传送的管理信息,对在由所述接收部接收到的帧满足预定条件的情况下是否执行阻止该帧的传送的预定处理进行切换。由此,能够阻止由攻击者对车载网络发送的攻击帧的传送,并且能够抑制对攻击帧以外的不会引起特别问题的帧的传送的阻止。
此外,这些概括性或具体的方式可以通过系统、方法、集成电路、计算机程序或计算机可读取的CD-ROM等记录介质来实现,也可以通过系统、方法、集成电路、计算机程序或记录介质的任意组合来实现。
以下,参照附图对包括实施方式的使用帧传送阻止方法的帧传送阻止装置的车载网络系统进行说明。在此所示的实施方式均表示本公开的一具体示例。因此,以下实施方式中示出的数值、构成要素、构成要素的配置及连接形态、以及作为处理要素的步骤及步骤的顺序等仅是一例,并不限定本公开。以下实施方式的构成要素中的、没有记载在独立权利要求内的构成要素是可以任意附加的构成要素。另外,各图是示意图,不一定进行了严格的图示。
(实施方式1)
以下,作为本公开的实施方式1,使用附图对车载网络系统10进行说明,所述车载网络系统10包括:遵循CAN协议进行通信的多个ECU;以及作为帧传送阻止装置的不正当检测ECU,其具有阻止检测为不正当的数据帧的传送的功能。
(1.1车载网络系统10的结构)
图1是表示搭载于车辆的车载网络系统10的结构的图。此外,该图中还标记了其他车辆及车外的服务器500。
车载网络系统10是遵循CAN协议进行通信的网络系统的一例,是搭载有控制装置、传感器、致动器、用户界面装置等各种设备的车辆(例如汽车)中的网络系统。车载网络系统10具备经由总线(网络总线)进行涉及帧的通信的多个ECU,使用在一定条件下阻止帧的传送的帧传送阻止方法。具体而言,如图1所示,车载网络系统10构成为包括总线200、与总线200连接的ECU100a~100d及不正当检测ECU400、和通信模块600。此外,除了不正当检测ECU400及ECU100a~100d以外,车载网络系统10还可以包括一些ECU,但在此为了方便,仅关注不正当检测ECU400及ECU100a~100d来进行说明。将ECU100a也称为发动机ECU100a,将ECU100b也称为制动器ECU100b,将ECU100c也称为车门开闭传感器ECU100c,将ECU100d也称为车窗开闭传感器ECU100d。
各ECU例如是包括处理器(微处理器)、存储器等数字电路、模拟电路、通信线路等的装置。存储器是ROM、RAM等,能够存储由处理器执行的程序(计算机程序)。例如处理器按照程序进行工作,由此ECU会实现各种功能。此外,计算机程序是为了实现预定功能而组合多个表示针对处理器的指令的命令代码构成的。各ECU遵循CAN协议,可以经由总线200进行帧的授受。在ECU间授受的帧中包括数据帧。数据帧例如可包含与车辆状态相关的数据、对车辆指示控制的数据等这样的用于控制车辆的数据等。各ECU可以与各种设备连接。发动机ECU100a与发动机310连接,周期性地向总线200发送表示发动机310的状态的数据帧。制动器ECU100b与制动器320连接,周期性地向总线200发送表示制动器320的状态的数据帧。车门开闭传感器ECU100c与车门开闭传感器330连接,周期性地向总线200发送由车门开闭传感器330检测出的表示车门的开闭状态的数据帧。另外,车窗开闭传感器ECU100d与车窗开闭传感器340连接,周期性地向总线200发送由车窗开闭传感器340检测出的表示车窗的开闭状态的数据帧。
不正当检测ECU400是作为帧传送阻止装置发挥功能的一种ECU,与总线200连接。不正当检测ECU400具有如下功能(称为传送阻止功能):监视在总线200上流动的数据帧,在检测出满足预先确定的关于不正当帧的预定条件的数据帧的情况下,基于预定的管理信息执行阻止该帧的传送的预定处理。
通信模块600是包含用于与服务器500进行通信的通信线路的模块,通过USB(Universal Serial Bus,通用串行总线)等接口与不正当检测ECU400直接连接。
车载网络系统10可以分别搭载于多个车辆。
服务器500是可以与多个车辆进行通信的、作为位于车辆外部的服务器装置的计算机。例如,由服务器500和多个车辆形成车辆管理系统。服务器500通过有线或无线的通信网络,分别与多个车辆中的和不正当检测ECU400连接的通信模块600进行通信。服务器500具有如下功能:为了更新不正当检测ECU400的固件(FW),对不正当检测ECU400发送包含更新用的FW的发布消息。
(1.2数据帧格式)
以下,对遵循CAN协议的网络中使用的数据帧进行说明。
图2是表示由CAN协议规定的数据帧的格式的图。在该图中示出了由CAN协议规定的标准ID格式下的数据帧。数据帧由SOF(Start Of Frame,帧起始)、ID域、RTR(RemoteTransmission Request,远程发送请求)、IDE(Identifier Extension,标识符扩展)、保留位“r”、DLC(Data Length Code,数据长度码)、数据域、CRC(Cyclic Redundancy Check,循环冗余校验)序列、CRC分隔符”DEL”、ACK(Acknowledgement,应答)间隙、ACK分隔符”DEL”、以及EOF(End Of Frame,帧结束)构成。
SOF由1bit的显性构成。总线空闲的状态为隐性,因SOF而变更为显性的情况成为帧的发送开始的通知。
ID域是由11bit构成的、存储ID的域,该ID是表示数据的种类的值。在多个节点同时开始发送的情况下,为了通过该ID域进行通信仲裁,设计为具有ID小的值的帧具有高优先级。
RTR是用于识别数据帧和远程帧的值,在数据帧中由1bit的显性构成。
IDE和“r”两者由1bit的显性构成。
DLC由4bit构成,是表示数据域的长度的值。
数据域是最大由64bit构成的、表示要发送的数据的内容的值。数据域能够按8bit来调整长度。关于被发送的数据的规格,不由CAN协议规定,而在车载网络系统中设定。因此,是取决于车种(车型)、制造者等的规格。
CRC序列由15bit构成。CRC序列根据SOF、ID域、控制域和数据域的发送值来计算。
CRC分隔符是由1bit的隐性构成的、表示CRC序列结束的分隔记号。
ACK间隙由1bit构成。发送节点将ACK间隙设为隐性来进行发送。接收节点如果在CRC序列之前能够正常接收,则将ACK间隙设为显性来发送。由于显性优先于隐性,因而如果在发送后ACK间隙为显性,则发送节点能够确认哪个接收节点接收成功了。
ACK分隔符是由1bit的隐性构成的、表示ACK结束的分隔记号。
EOF由7bit的隐性构成,表示数据帧结束。
(1.3错误帧格式)
图3是表示由CAN协议规定的错误帧的格式的图。错误帧由错误标志(主)、错误标志(次)和错误分隔符“DEL”构成。
错误标志(主)用于向其他节点通知产生了错误。检测出错误的节点为了向其他节点通知产生了错误,连续发送6bit的显性。该发送违反CAN协议中的位填充规则(即,不连续地发送6bit以上相同值的规则),会引起来自其他节点的错误帧(次)的发送。
错误标志(次)由用于向其他节点通知产生了错误的、连续的6比特的显性构成。接收到错误标志(主)并检测出对位填充规则的违反的全部节点会发送错误标志(次)。
错误分隔符“DEL”为8bit的连续的隐性,表示错误帧的结束。
(1.4ECU100a的结构)
图4是ECU100a的结构图。ECU100a构成为包括帧收发部110、帧解释部120、接收ID判断部130、接收ID列表保持部140、帧处理部150、帧生成部160和数据取得部170。该各构成要素是功能构成要素,该各功能例如由ECU100a中的通信线路、执行存储器中存储的程序的处理器或数字电路等实现。此外,ECU100b~100d也具备与ECU100a同样的结构。
帧收发部110相对于总线200收发遵循CAN协议的帧。从总线200逐比特地接收帧,转送到帧解释部120。另外,向总线200发送从帧生成部160收到通知的帧的内容。称作通信仲裁的遵循CAN协议的处理也在帧收发部110中实现。
帧解释部120从帧收发部110接收帧的值,进行解释以使得向由CAN协议规定的帧格式下的各域进行映射。将判断为ID域的值转送到接收ID判断部130。帧解释部120根据从接收ID判断部130通知的判定结果,决定是将ID域的值和ID域之后出现的数据域转送到帧处理部150、还是在接收到该判定结果之后中止帧的接收(即中止作为该帧的解释)。另外,在判断为是未遵循CAN协议的帧的情况下,帧解释部120通知帧生成部160以发送错误帧。另外,在接收到错误帧的情况下、即根据接收到的帧的值解释为是错误帧的情况下,帧解释部120此后丢弃该帧、即中止帧的解释。
接收ID判断部130接收从帧解释部120通知的ID域的值,根据接收ID列表保持部140所保持的ID列表,进行是否接收该ID域之后的帧的各域的判定。接收ID判断部130将该判定结果通知给帧解释部120。
接收ID列表保持部140保持由ECU100a接收的ID的列表即接收ID列表。图5中示出接收ID列表的一例。
帧处理部150根据接收到的帧的数据,按每个ECU进行涉及不同功能的处理。例如,发动机ECU100a具备在时速超过30km的状态时如果车门为打开的状态则使警报声鸣响的功能。发动机ECU100a具有例如用于使警报声鸣响的扬声器等。而且,发动机ECU100a的帧处理部150例如管理从其他ECU接收到的数据(例如表示车门状态的信息),基于从发动机310取得的时速进行在一定条件下使警报声鸣响的处理等。具备与ECU100a同样结构的ECU100c的帧处理部150在未施加制动的状况下如果打开车门则使警报声鸣响的处理等。此外,帧处理部150也可以进行此处例示以外的涉及帧数据的处理。
数据取得部170取得表示与ECU连接的设备、传感器等的状态的数据,并将该数据通知给帧生成部160。
帧生成部160根据从帧解释部120通知的指示发送错误帧的通知,构成错误帧,将错误帧通知给帧收发部110并使其发送。另外,帧生成部160针对从数据取得部170通知的数据的值,附加预先确定的ID来构成数据帧,并将其通知给帧收发部110。此外,后文将使用图6~图9对分别由ECU100a~100d发送的帧的内容进行说明。
(1.5接收ID列表例)
图5是表示分别在ECU100a~100d中保持的接收ID列表的一例的图。该图中例示的接收ID列表是表示ID的值为全部(ALL)的ID列表。该例示出了ECU从总线200接收包含任意ID的数据帧的例子。
(1.6发动机ECU100a的发送帧例)
图6是表示从与发动机310连接的发动机ECU100a发送的数据帧的ID及数据域的数据的一例的图。发动机ECU100a发送的数据帧的ID是“1”。数据表示时速(km/时),取最低0(km/时)~最高180(km/时)这一范围的值,数据长度是1字节。图6的上行至下行例示了与从发动机ECU100a逐次发送的各数据帧对应的各ID及数据,示出了从0km/时开始每次加速了1km/时的情况。
(1.7制动器ECU100b的发送帧例)
图7是表示从与制动器320连接的制动器ECU100b发送的数据帧的ID及数据域的数据的一例的图。制动器ECU100b发送的数据帧的ID是“2”。数据以比例(%)表示制动的施加状况,数据长度是1字节。该比例设为,完全没有施加制动的状态为0(%),最大限度施加制动的状态为100(%)。图7的上行至下行例示了与从制动器ECU100b逐次发送的各数据帧对应的各ID及数据,示出了使制动从100%逐渐变弱的情况。
(1.8车门开闭传感器ECU100c的发送帧例)
图8是表示从与车门开闭传感器330连接的车门开闭传感器ECU100c发送的数据帧的ID及数据域(数据)的一例的图。车门开闭传感器ECU100c发送的数据帧的ID是“3”。数据表示车门的开闭状态,数据长度是1字节。数据的值在车门打开的状态时为“1”,在车门关闭的状态时为“0”。图8的上行至下行例示了与从车门开闭传感器ECU100c逐次发送的各数据帧对应的各ID及数据,示出了车门从打开的状态逐渐转变为关闭的状态的情况。
(1.9车窗开闭传感器ECU100d的发送帧例)
图9是表示从与车窗开闭传感器340连接的车窗开闭传感器ECU100d发送的数据帧的ID及数据域(数据)的一例的图。车窗开闭传感器ECU100d发送的数据帧的ID是“4”。数据以比例(%)表示车窗(window)的开闭状态,数据长度是1字节。该比例设为窗完全关闭的状态为0(%),窗全开的状态为100(%)。图9的上行至下行例示了与从车窗开闭传感器ECU100d逐次发送的各数据帧对应的各ID及数据,示出了窗从关闭的状态逐渐打开的情况。
(1.10不正当检测ECU400的结构)
图10是不正当检测ECU400的结构图。不正当检测ECU400构成为包括帧收发部410、帧解释部420、不正当检测处理部430、不正当检测规则保持部431、状态确认部440、状态保持部441、帧生成部450、更新处理部460、外部通信部470、署名处理部480、密钥保持部481、车种信息保持部491和车台编号信息保持部492。该各构成要素的各功能例如由不正当检测ECU400中的通信线路、执行存储器中存储的程序的处理器或数字电路等实现。
帧收发部410相对于总线200收发遵循CAN协议的帧。帧收发部410作为从总线逐比特地接收帧的接收部发挥功能,并将接收到的帧转送到帧解释部420。另外,基于从帧生成部450收到通知的帧,向总线200逐比特地发送该帧的内容。
帧解释部420接收从帧收发部410接收到的帧的值,进行解释以使得向由CAN协议规定的帧格式下的各域进行映射。帧解释部420将接收到的数据帧的被判断为ID域的值即ID转送到不正当检测处理部430。另外,在判断为是未遵循CAN协议的帧的情况下,帧解释部420通知给帧生成部450以发送错误帧。另外,在接收到错误帧的情况下、即根据接收到的帧的值解释为是错误帧的情况下,帧解释部420此后丢弃该帧、即中止帧的解释。
不正当检测处理部430接收从帧解释部420通知的ID域的值,即接收由不正当检测ECU400接收到的数据帧的ID。不正当检测处理部430针对接收到的ID,根据不正当检测规则保持部431所保持的表示不正当检测规则的正规ID列表进行是否不正当的判定。不正当检测处理部430在判定为不正当的情况下即检测出不正当的情况下,通知给状态确认部440。在不正当检测ECU400中,具有被不正当检测处理部430检测为不正当的ID的、正在接收的数据帧会被检测为不正当数据帧。此外,所检测出的不正当数据帧只不过是根据预先确定的由不正当检测规则保持部431保持的不正当检测规则判定为不正当的帧。不正当检测规则例如可以是为了将不正当的可能性较高的数据帧与其他数据帧区分来检测不正当而规定的。不正当检测规则例如也可以不以完全不产生误检测的方式规定,而是从安全地进行攻击防御的观点出发来规定。另外,根据向车载网络系统10追加ECU及其他状况的变化来可靠地区分是否不正当可能变得困难。因此,根据不正当检测规则被判定为不正当的数据帧,例如虽然被推定为不正当,但是不一定就是对车载网络系统10产生负面影响的帧,该数据帧的数据不一定就是不正当的。
不正当检测规则保持部431保持由不正当检测ECU400接收的、表示数据帧中包含的ID是否不正当的关于不正当检测规则的信息。图11表示不正当检测规则的一例。
在由不正当检测处理部430检测出不正当数据帧的情况下,状态确认部440确认由状态保持部441保持的管理信息所表示的传送阻止功能的激活所涉及的状态。传送阻止功能被激活的状态是允许执行传送阻止功能的状态、即允许阻止由不正当检测处理部430检测为不正当的数据帧在车载网络中传送的状态。传送阻止功能未被激活的状态是不允许执行传送阻止功能的状态、即不允许阻止由不正当检测处理部430检测为不正当的数据帧在车载网络中传送的状态。在检测出不正当数据帧的情况下,如果处于传送阻止功能已被激活的状态,则状态确认部440通知帧生成部450以发送错误帧。在检测出不正当数据帧的情况下,如果处于不正当传送阻止功能未被激活的状态,则状态确认部440确认车辆的状态,当检测出工作不良等这样的异常时,向外部通信部470通知关于被检测为不正当的数据帧的日志信息。
状态保持部441例如由非易失性存储器等存储介质的一个区域实现,保持表示传送阻止功能的激活所涉及的状态的管理信息。图12表示管理信息的一例。
帧生成部450根据从帧解释部420通知的指示发送错误帧的通知,构成错误帧,将错误帧通知给帧收发部410并使其发送。另外,帧生成部450根据从状态确认部440通知的指示发送错误帧的通知,构成错误帧,将错误帧通知给帧收发部410并使其发送。
更新处理部460进行更新处理。更新处理是从外部通信部470取得FW,并利用FW来更新状态保持部441所保持的管理信息的处理。此外,更新处理部460也可以利用从外部通信部470取得的FW,以在管理信息以外追加或取代管理信息的方式进行不正当检测规则的更新。由更新处理部460进行的基于FW的管理信息的更新,例如通过使处理器执行用于更新管理信息的FW来实现,或者通过将包含表示新的管理信息的内容的FW本身的数据作为管理信息保持在状态保持部441中来实现。
外部通信部470经由通信模块600与服务器500进行通信,取得发布消息。外部通信部470将取得的发布消息通知给署名处理部480来取得发布消息的署名的验证结果,如果验证成功,则将发布消息中的FW通知给更新处理部460。另外,外部通信部470对从状态确认部440通知的关于数据帧的日志信息附加从车种信息保持部491取得的车种信息和从车台编号信息保持部492取得的车台编号信息,生成无署名的不正当检测消息。不正当检测消息包含关于被检测为不正当的数据帧的日志信息、例如是关于车载网络系统10是否产生了异常等应由服务器500分析的分析用信息。外部通信部470将无署名的不正当检测消息通知给署名处理部480来取得署名数据,由此将其转换为带署名的不正当检测消息,将该带署名的不正当检测消息经由通信模块600发送给服务器500。
署名处理部480使用从密钥保持部481取得的密钥来验证从外部通信部470通知的带署名的发布消息,将验证结果通知给外部通信部470。另外,署名处理部480针对从外部通信部470通知的无署名的不正当检测消息,使用从密钥保持部481取得的密钥来生成署名数据,并将生成的署名数据通知给外部通信部470。
密钥保持部481保持供署名处理部480利用的密钥。
车种信息保持部491保持车种信息,所述车种信息表示搭载有不正当检测ECU400的车辆的车种。
车台编号信息保持部492保持车台编号信息,所述车台编号信息是搭载有不正当检测ECU400的车辆的识别用信息。车台编号信息例如表示车辆形式和制造编号。
(1.11不正当检测规则)
图11表示不正当检测ECU400的不正当检测规则保持部431所保持的不正当检测规则的一例。
该图例示的关于不正当检测规则的正规ID列表是所谓白列表。该例的正规ID列表表示如下这样的不正当检测规则:向总线200发送具有的ID为“1”、“2”、“3”、“4”中的任一个的数据帧,均不判定为不正当,如果发送具有其他ID的数据帧则判定为不正当(即检测为不正当)。
(1.12管理信息)
图12表示不正当检测ECU400的状态保持部441所保持的管理信息的一例。管理信息是表示是否允许执行传送阻止功能的信息。
在图12的示例中,管理信息按数据帧的每个ID关联有标志信息,所述标志信息表示在根据不正当检测规则将具有该ID的数据帧检测为不正当的情况下是否允许执行用于阻止该数据帧的传送的传送阻止功能。
标志信息例如由1比特构成,例如如果比特值为1则表示允许执行传送阻止功能,如果比特值为0则表示不允许执行传送阻止功能。作为一例,也可以是,在更新处理部460一次也没有进行过管理信息的更新的状态下,使标志信息表示不允许阻止数据帧的传送。
在图12的示例中,ID“1”用标志信息的比特值是0,表示不允许执行传送阻止功能的状态。这表示,针对ID为“1”的数据帧,不正当检测ECU400的传送阻止功能未被激活的状态。另外,在图12的示例中,ID“5”用标志信息的比特值是1,表示允许执行传送阻止功能的状态。这表示,针对ID为“5”的数据帧,不正当检测ECU400的传送阻止功能已被激活的状态。另外,例如图12的示例中ID“6”用标志信息的比特值为0,这意味着在将总线200上流动的ID为“6”的数据帧检测为不正当的情况下不允许阻止该数据帧的传送。例如,如果使ID“6”用标志信息的比特值变成1,则在将总线200上流动的ID为“6”的数据帧检测为不正当的情况下允许阻止该数据帧的传送。
此外,既可以使标志信息的比特值的0和1的含义相反,也可以使标志信息由多个比特串(位串)构成。另外,即使在根据不正当检测规则检测为不正当的数据帧具有任意ID的情况下,管理信息也可以统一地仅由用于切换是否执行传送阻止功能的1个标志信息构成。
(1.13服务器500的结构)
服务器500包括存储器、硬盘等存储介质、处理器、通信线路等。
图13是服务器500的结构图。服务器500构成为作为功能方面的构成要素包括通信部510、分析部520、FW保持部530、发布消息生成部540、署名处理部550和密钥保持部560。该各构成要素由服务器500中的通信线路、执行存储器中存储的程序的处理器等实现。
通信部510对车辆发送从发布消息生成部540传递来的发布消息。该发布消息由车辆的通信模块600接收,传递给不正当检测ECU400。另外,通信部510接收从车辆的不正当检测ECU400经由通信模块600发送的不正当检测消息,将其通知给分析部520。
分析部520将被通知的不正当检测消息通知给署名处理部550,来取得不正当检测消息的署名的验证结果。另外,分析部520通过对署名验证成功的作为不正当检测消息的分析用信息所包含的、关于被检测为不正当的数据帧的日志信息进行分析,由此判断是否是会引起车辆工作不良等这样的涉及车载网络系统10的异常的不正当数据帧。在判断为被检测为不正当的数据帧是会引起异常的不正当数据帧的情况下,分析部520生成FW,所述FW会激活在同样的数据帧被不正当检测ECU400检测为不正当时阻止该数据帧的传送的传送阻止功能。分析部520使FW保持部530保持该生成的FW。此外,在不正当检测ECU400中,分析用信息中所包含的、关于被检测为不正当的数据帧的日志信息例如可以包含该数据帧的内容、与该数据帧为同一ID的数据帧的接收周期或接收频率、在该数据帧接收后的一定时间的期间内通过监视车辆而得到的、涉及车辆状态的日志数据。通过监视车辆而得到的日志数据的一例,例如是从总线200接收到的各种数据帧的内容和接收时刻等这样的信息等。此外,分析部520也可以通过分析关于被检测为不正当的数据帧的日志信息,来确定会引起车辆工作不良等这样的涉及车载网络系统10的异常的一个或多个不正当数据帧。在该情况下,分析部520生成FW,所述FW会激活在与作为会引起异常的不正当数据帧而确定的数据帧同样的数据帧由不正当检测ECU400检测为不正当时阻止该数据帧的传送的传送阻止功能。
FW保持部530保持向不正当检测ECU400发布的FW。
发布消息生成部540生成包含向不正当检测ECU400发布的FW的发布消息,将其通知给署名处理部550来生成署名数据,由此得到带署名的发布消息,并将带署名的发布消息传递给通信部510。
署名处理部550使用从密钥保持部560取得的密钥来验证从分析部520通知的带署名的不正当检测消息的署名,并将验证结果通知给分析部520。另外,署名处理部550针对从发布消息生成部540通知的发布消息,使用从密钥保持部560取得的密钥来生成署名数据,并将生成的署名数据通知给发布消息生成部540。
密钥保持部560保持供署名处理部550利用的密钥。
(1.14不正当帧的检测及传送阻止的时序)
图14表示由不正当检测ECU400进行的不正当帧的检测及传送阻止的时序的一例。该例为设想由攻击者支配的不正当ECU被连接到车载网络系统10的总线200上的例子。在图14中示出了不正当检测ECU400及ECU100a的工作,但是例如ECU100b~100d也可以进行与ECU100a同样的工作。以下,结合图14,对不正当帧的检测及传送阻止的时序进行说明。此外,在此设不正当检测ECU400为保持有图11中例示的正规ID列表的ECU来进行说明。
不正当ECU开始向总线200发送具有ID“5”且数据域的数据为“0xFF”的数据帧(步骤S1001)。此外,数据帧向总线200的发送,成为与总线200连接的各ECU均能接收该数据帧的广播。
不正当检测ECU400及ECU100a接收数据帧的ID(步骤S1002)。
ECU100a使用接收ID列表(参照图5),判定从总线200接收到的ID是否是应接收数据域内容的数据帧的ID(步骤S1003)。ECU100a根据接收ID列表继续进行数据域接收处理,所述数据域接收处理是接收ID为“5”的数据帧的数据域的处理(步骤S1004)。
不正当检测ECU400根据涉及不正当检测规则的正规ID列表,判定从总线200接收到的ID是否是不正当数据帧的ID(步骤S1005)。由于正规ID列表中不包含ID“5”,所以不正当检测ECU400将接收到的具有ID“5”的正在接收的数据帧判定为不正当,进入步骤S1006。如果正规ID列表中包含ID“5”,则不正当检测ECU400将正在接收的数据帧判定为不是不正当,并结束处理。
在步骤S1006中,不正当检测ECU400参照管理信息,判定传送阻止功能是否已被激活。
在通过步骤S1006判定为传送阻止功能未被激活的情况下,不正当检测ECU400进行工作不良检测处理(步骤S1007)。关于工作不良检测处理,后文将使用图15进行说明。
在不正当检测ECU400保持有例如图12中例示的内容的管理信息的情况下,允许阻止关于具有ID“5”的数据帧的传送,即判定为关于该数据帧的传送阻止功能已被激活。
在通过步骤S1006判定为传送阻止功能已被激活的情况下,不正当检测ECU400生成错误帧(步骤S1008),并将错误帧向总线200发送(步骤S1009)。由此,在具有ID“5”的数据帧的接收期间错误帧被广播到总线200上,因而该数据帧的传送会被阻止。此外,在步骤S1009中,对于用于阻止通过步骤S1005判定为不正当的数据帧的传送的错误帧向总线200的发送,在该数据帧的最末尾的比特被接收之前进行。
接收到错误帧的ECU100a中止对正在接收的数据帧的数据域的接收(步骤S1010)。通过不正当检测ECU400发送的错误帧,在与总线200连接的各ECU中,不正当ECU发送的数据帧的接收会被中断。因此,例如可防止ECU100a根据该不正当数据帧的内容来控制发动机310等。
(1.15不正当检测ECU400中的工作不良检测处理)
图15表示不正当检测ECU400中的工作不良检测处理的一例。以下,结合该图对工作不良检测处理进行说明。
不正当检测ECU400在检测出不正当数据帧之后,在一定时间内进行用于检测车辆的工作不良(即异常)的监视(步骤S1101)。通过在该一定时间内监视车辆,能够得到涉及车辆状态的日志数据。
关于车辆工作不良的一例是,具有特定ID的数据帧尽管通常以大致一定周期在总线200上流动,但是在该周期内未被发送。除此以外,作为车辆工作不良的一例,可以列举如下情况:在总线200上流动的具有特定ID的数据帧的数据的值、接收频率等与规格或通常不同。该特定ID例如是与被检测为不正当的数据帧的ID不同的ID。例如,作为特定ID,有用的是使用在车载网络系统10中所用的数据帧中的、涉及与车辆的行驶控制相关联的数据等这样的重要数据的数据帧的ID。另外,作为车辆工作不良的一例,可以列举如下情况:基于构成车载网络系统10的特定ECU向总线200发送的帧或车载传感器的感测结果等而判明了该ECU的工作与规格或通常不同。
在通过步骤S1101检测出工作不良的情况下,不正当检测ECU400经由通信模块600向服务器500发送不正当检测消息,所述不正当检测消息包含关于被检测为不正当的数据帧的日志信息(例如日志数据等)(步骤S1102)。
(1.16不正当检测消息的格式)
图16表示不正当检测ECU400向服务器500发送的不正当检测消息的格式的一例。不正当检测消息从不正当检测ECU400经由通信模块600向服务器500发送。
在图16的示例中,不正当检测消息由车种信息、车台编号信息、发生现象信息、日志信息及署名数据构成。发生现象信息例如是表示所检测出的工作不良的种类的信息。日志信息包含被检测为不正当的数据帧的内容、关于在该数据帧接收后的一定时间内在总线200上流动的数据帧的日志数据等。
(1.17不正当检测ECU400中的更新处理)
图17表示不正当检测ECU400中的传送阻止功能的激活所涉及的更新处理的一例。以下,结合该图对更新处理进行说明。
不正当检测ECU400经由用于接收由服务器500发送的、包含更新用的FW的发布消息的通信模块600,来取得该发布消息(步骤S1201)。
接着,不正当检测ECU400验证被附加于发布消息的署名数据(步骤S1202)。
不正当检测ECU400根据步骤S1202的验证结果是否表示验证成功来判定发布消息的发送源是否是正当的服务器500(步骤S1203),在发送源不是正当的服务器500的情况下,跳过FW的更新,并结束更新处理。
在通过步骤S1203验证结果表示验证成功的情况下、即发送源是正当的服务器500的情况下,不正当检测ECU400利用发布消息中含有的FW来进行FW的更新(步骤S1204)。通过该FW的更新,例如管理信息被更新。通过该管理信息的更新,例如传送阻止功能可以被激活。此外,也可以是,在步骤S1204中,不正当检测ECU400确认发布消息中含有的车种信息是否与搭载有本装置的车辆的车种相同,仅在相同的情况下才进行FW的更新。
(1.18发布消息的格式)
图18表示服务器500向车辆发布的发布消息的格式的一例。
在图18的示例中,发布消息由表示成为发布对象的车辆的车种的车种信息、更新用的FW及署名数据构成。作为一例,更新用的FW包含用于更新管理信息(参照图12)中与1个以上的ID对应的标志信息的数据或程序。
(1.19实施方式1的效果)
在实施方式1的车辆的车载网络系统10中,不正当检测ECU400在将总线200上流动的数据帧判定为不正当的情况下,并且在由管理信息示出传送阻止功能已被激活的状态的情况下,阻止该数据帧的传送。另外,不正当检测ECU400在传送阻止功能未被激活的状态下不阻止该数据帧的传送。从服务器500发布通过分析日志信息而由服务器500生成的FW,由此在不正当检测ECU400中可以激活传送阻止功能,所述日志信息是从数据帧被检测为不正当且被检测出工作不良的车辆得到的。服务器500生成用于更新管理信息的FW,以允许阻止被判断为是会引起异常的不正当数据帧的该数据帧的传送。由此,例如在由攻击者向总线200发送了会在车辆中引起异常的攻击帧的情况下,不正当检测ECU400会阻止该攻击帧的传送。另外,根据不正当检测ECU400中的管理信息,针对不会在车辆中引起异常的数据帧,不允许阻止该数据帧的传送,可防止错误地阻止该传送这一负面影响。
(实施方式2)
以下,对使实施方式1所示的车载网络系统10局部变形而得到的车载网络系统11进行说明。车载网络系统11具备作为帧传送阻止装置的不正当检测ECU,其能够通过车车间通信来激活用于阻止被判定为不正当的数据帧的传送的传送阻止功能,并且根据来自服务器1500的指示使其失效。
(2.1车载网络系统11的结构)
图19是表示搭载于车辆的车载网络系统11的结构的图。此外,该图中标记有其他车辆及车外的服务器1500。车载网络系统11分别搭载于多个车辆。由服务器1500和多个车辆形成车辆管理系统。
如图19所示,车载网络系统11构成为包括总线200、与总线200连接的ECU100a~100d及不正当检测ECU1400、和通信模块1600。此外,对与实施方式1(参照图1)同样的结构,在图19中标注与图1相同的标号,并省略说明。在此没有特别说明的方面,车载网络系统11与实施方式1所示的车载网络系统10相同。
不正当检测ECU1400是与总线200连接的一种ECU。不正当检测ECU1400具有传送阻止功能,即监视在总线200上流动的数据帧,在检测出满足预先确定的关于不正当帧的预定条件的数据帧的情况下,根据预定的管理信息阻止该帧的传送。在此没有特别说明之处,不正当检测ECU1400与实施方式1所示的不正当检测ECU400是相同的。
搭载于车辆的通信模块1600是包含用于与服务器1500及其他车辆进行通信的通信线路的模块,通过USB等接口与不正当检测ECU1400直接连接。通过各车辆的通信模块1600之间进行的车车间通信,各车辆的不正当检测ECU1400可以相互授受消息。由车辆的通信模块1600执行的车车间通信例如通过一定输出的无线发送,能够向位于该车辆周围(例如数十m、数百m等距离的范围内)的其他车辆传递消息。
服务器1500是能够与多个车辆进行通信的、位于车辆外部的作为服务器装置的计算机。服务器1500经由有线或无线的通信网络,与多个车辆的各车辆中的和不正当检测ECU1400连接的通信模块1600进行通信。服务器1500与实施方式1所示的服务器500同样地,具有对不正当检测ECU1400发送包含更新用的FW的发布消息的功能。服务器1500还具有发送用于使车辆的不正当检测ECU1400的传送阻止功能失效的失效消息的功能。另外,服务器1500还具有如下功能:在从某车辆接收到不正当检测消息的情况下,根据需要,向其他车辆发送该不正当检测消息所包含的车种信息及使激活指示信息包含在内的异常通知消息。此外,该功能是激活指示信息的中继功能,用于补充通过基于车辆的直接的车车间通信进行的异常通知消息的传送。
(2.2不正当检测ECU1400的结构)
图20是不正当检测ECU1400的结构图。不正当检测ECU1400构成为包括帧收发部410、帧解释部420、不正当检测处理部430、不正当检测规则保持部431、状态确认部1440、状态保持部441、帧生成部450、更新处理部1460、外部通信部1470、署名处理部480、密钥保持部481、车种信息保持部491和车台编号信息保持部492。该各构成要素的各功能由例如不正当检测ECU1400中的通信线路、执行存储器中存储的程序的处理器或数字电路等实现。对于具有与实施方式1所示的不正当检测ECU400(参照图10)同样功能的构成要素,在图20中标注相同的标号,并省略说明。
状态确认部1440是使实施方式1所示的状态确认部440进行变形而得到的。在检测出不正当数据帧的情况下,如果处于传送阻止功能已被激活的状态,则状态确认部1440向帧生成部45 0通知以发送错误帧。在检测出不正当数据帧的情况下,如果处于不正当传送阻止功能未被激活的状态,则状态确认部1440确认车辆的状态。当在该确认中检测出工作不良等这样的异常时,状态确认部1440将用于向服务器1500发送的关于被检测为不正当的数据帧的日志信息、和用于激活其他车辆的帧传送阻止装置的传送阻止功能的激活指示信息通知给外部通信部470。该激活指示信息中包含激活命令和对象帧信息,所述激活命令表示是用于激活传送阻止功能的指示,所述对象帧信息用于确定被检测为不正当的数据帧的ID即成为该传送阻止功能的激活对象的ID。
更新处理部1460除了与实施方式1所示的更新处理部460同样的功能以外,还具有如下功能:在从外部通信部1470通知了涉及传送阻止功能的激活状态的激活指示信息或失效指示信息的情况下,与这些指示信息对应地更新管理信息。此外,失效指示信息中包含失效命令和对象帧信息,所述失效命令表示是用于不进行传送阻止的失效的指示,所述对象帧信息用于确定成为不进行该传送阻止的对象的数据帧的ID。由更新处理部1460进行的、与激活指示信息对应的涉及管理信息更新的传送阻止功能激活处理,是通过如下方式实现的:将与由对象帧信息表示的ID对应的标志信息变更为表示传送阻止功能已被激活的状态即允许阻止传送的状态的值。由更新处理部1460进行的、与失效指示信息对应的涉及管理信息更新的传送阻止功能失效处理,是通过如下方式实现的:将与由对象帧信息表示的ID对应的标志信息变更为表示传送阻止功能未被激活的状态即不允许阻止传送的状态的值。
外部通信部1470是使实施方式1所示的外部通信部470进行变形而得到的。外部通信部1470经由通信模块1600与服务器1500进行通信,取得发布消息、异常通知消息或失效消息。外部通信部1470将取得的发布消息通知给署名处理部480,取得发布消息的署名验证结果,如果验证成功,则将发布消息中的FW通知给更新处理部1460。外部通信部1470将取得的异常通知消息通知给署名处理部480,取得异常通知消息的署名验证结果,如果验证成功且车种信息与搭载有本装置的车辆为同一车种,则将异常通知消息中的激活指示信息通知给更新处理部1460。外部通信部1470将取得的失效消息通知给署名处理部480,取得失效消息的署名验证结果,如果验证成功,则将失效消息中的失效指示信息通知给更新处理部1460。此外,在车辆管理系统中,发送使传送阻止功能失效的失效消息的预定权限例如被提供给服务器1500,而不提供给车辆。因此,在失效消息的署名验证中,对失效消息附加有涉及具有预定权限的服务器1500的署名数据的情况进行验证是有用的。
另外,外部通信部1470对从状态确认部1440通知的关于数据帧的日志信息及激活指示信息附加从车种信息保持部491取得的车种信息和从车台编号信息保持部492取得的车台编号信息,生成无署名的不正当检测消息。该不正当检测消息是对实施方式1所示的不正当检测消息追加激活指示信息而得到的。外部通信部1470将无署名的不正当检测消息通知给署名处理部480来取得署名数据,由此将其转换为带署名的不正当检测消息,并将该带署名的不正当检测消息经由通信模块1600发送到服务器1500。另外,外部通信部1470对从状态确认部1440通知的激活指示信息附加从车种信息保持部491取得的车种信息和从车台编号信息保持部492取得的车台编号信息,生成无署名的异常通知消息。外部通信部1470将无署名的异常通知消息通知给署名处理部480来取得署名数据,由此将其转换为带署名的异常通知消息,并将该带署名的异常通知消息经由通信模块1600发送到其他车辆。
(2.3服务器1500的结构)
服务器1500包括存储器、硬盘等存储介质、处理器、通信线路等。
图21是服务器1500的结构图。作为功能方面的构成要素,服务器1500构成为包括通信部510、分析部1520、FW保持部530、消息生成部1540、署名处理部550和密钥保持部560。该各构成要素由服务器1500中的通信线路、执行存储器中存储的程序的处理器等实现。对于具有与实施方式1所示的服务器500(参照图13)同样功能的构成要素,在图21中标注相同的标号,并适当省略说明。
通信部510对车辆发送从消息生成部1540传递来的发布消息、失效消息或异常通知消息。这些消息由车辆的通信模块1600接收,被传递给不正当检测ECU1400。另外,通信部510接收从车辆的不正当检测ECU1400经由通信模块1600发送的不正当检测消息,将其通知给分析部1520。
分析部1520将被通知来的不正当检测消息通知给署名处理部550,来取得不正当检测消息的署名的验证结果。另外,分析部1520通过对作为署名验证成功的不正当检测消息的分析用信息所包含的、关于被检测为不正当的数据帧的日志信息进行分析,由此判断是否是会引起车辆工作不良等这样的涉及车载网络系统11的异常的不正当数据帧。在判断为被检测为不正当的数据帧是会引起异常的不正当数据帧的情况下,分析部1520生成FW,所述FW激活在同样的数据帧被不正当检测ECU1400检测为不正当时阻止该数据帧传送的传送阻止功能。分析部1520使该生成的FW保持在FW保持部530中。另外,在判断为被检测为不正当的数据帧是会引起异常的不正当数据帧的情况下,分析部1520将不正当检测消息中包含的激活指示信息及车种信息通知给消息生成部1540。另外,在判断为被检测为不正当的数据帧不是会引起异常的不正当数据帧的情况下,分析部1520为了使传送阻止功能失效而将失效指示信息通知给消息生成部1540,所述传送阻止功能在同样的数据帧被不正当检测ECU1400检测为不正当时阻止该数据帧传送。分析部1520的判断也可以根据被检测为不正当的数据帧的影响、例如基于从多个车辆收集的信息等来进行。此外,分析部1520使向消息生成部1540通知的失效指示信息中包含对象帧信息,所述对象帧信息表示成为使传送阻止功能失效的对象的数据帧的ID。
FW保持部530保持向不正当检测ECU1400发布的FW。
消息生成部1540生成包含向不正当检测ECU1400发布的FW的发布消息,将其通知给署名处理部550来生成署名数据,由此得到带署名的发布消息,并将带署名的发布消息传递给通信部510。另外,在从分析部1520收到激活指示信息及车种信息的通知的情况下,消息生成部1540生成包含该激活指示信息及车种信息的异常通知消息,将其通知给署名处理部550来生成署名数据,由此得到带署名的异常通知消息,并将带署名的异常通知消息传递给通信部510。另外,在从分析部1520收到失效指示信息的通知的情况下,消息生成部1540生成包含该失效指示信息的失效消息,将其通知给署名处理部550来生成署名数据,由此得到带署名的失效消息,并将带署名的失效消息传递给通信部510。
署名处理部550使用从密钥保持部560取得的密钥来验证从分析部1520通知的带署名的不正当检测消息的署名,并将验证结果通知给分析部1520。另外,署名处理部550针对从消息生成部1540通知的发布消息、异常通知消息或失效消息,使用从密钥保持部560取得的密钥来生成署名数据,并将生成的署名数据通知给消息生成部1540。
(2.4不正当帧的检测及传送阻止的时序)
图22表示由不正当检测ECU1400进行的不正当帧的检测及传送阻止的时序的一例。该例为设想在车载网络系统11的总线200上连接有由攻击者支配的不正当ECU的例子。在图22中示出了不正当检测ECU1400及ECU100a的工作,但是例如ECU100b~100d也可以进行与ECU100a同样的工作。此外,对于与实施方式1中图14所示的处理步骤同样的步骤,在图22中也标注相同的标号,并适当省略说明。
不正当ECU开始发送具有ID“5”且数据为“0xFF”的数据帧(步骤S1001),不正当检测ECU1400接收数据帧的ID(步骤S1002)。
不正当检测ECU1400根据涉及不正当检测规则的正规ID列表(参照图11),判定从总线200接收到的ID是否是不正当数据帧的ID(步骤S1005),由于正规ID列表中不包含ID“5”,所以接收到的具有ID“5”的正在接收的数据帧被判定为不正当。接着,不正当检测ECU1400参照管理信息,判定传送阻止功能是否已被激活(步骤S1006)。
在通过步骤S1006判定为传送阻止功能未被激活的情况下,不正当检测ECU1400进行工作不良检测处理(步骤S2007)。关于该工作不良检测处理,后文将使用图23进行说明。
在通过步骤S1006判定为传送阻止功能已被激活的情况下,不正当检测ECU1400生成并发送错误帧(步骤S1008、S1009)。
(2.5不正当检测ECU1400中的工作不良检测处理)
图23表示不正当检测ECU1400中的工作不良检测处理的一例。此外,对于与实施方式1中图15所示的处理步骤同样的步骤,在图23中也标注相同的标号,并适当省略说明。以下,结合图23对工作不良检测处理进行说明。
不正当检测ECU1400在检测出不正当数据帧之后,在一定时间内进行用于检测车辆的工作不良(即异常)的监视(步骤S1101)。通过在该一定时间内监视车辆,能够得到涉及车辆状态的日志数据。
在步骤S1101中,在检测出工作不良的情况下,不正当检测ECU1400经由通信模块1600与周围的车辆通过车车间通信发送异常通知消息(步骤S2102),所述异常通知消息包含表示被检测为不正当的数据帧的ID的对象帧信息等激活指示信息(参照图24)。
接着步骤S2102,不正当检测ECU1400经由通信模块1600向服务器1500发送不正当检测消息(步骤S2103),所述不正当检测消息包含关于被检测为不正当的数据帧的日志信息(例如日志数据等)和激活指示信息(参照图25)。
(2.6异常通知消息的格式)
图24表示车辆的不正当检测ECU1400通过通信模块1600向周围车辆发送的异常通知消息的格式的一例。异常通知消息也可以在一定条件下从服务器1500发送。
在图24的示例中,异常通知消息由车种信息、车台编号信息、激活指示信息(即激活命令及对象帧信息)及署名数据构成。由异常通知消息中的对象帧信息表示例如预定ID,在该情况下激活指示信息表示允许阻止具有预定ID的帧的传送的指示。
(2.7不正当检测消息的格式)
图25表示不正当检测ECU1400向服务器1500发送的不正当检测消息的格式的一例。不正当检测消息从不正当检测ECU1400经由通信模块1600发送到服务器1500。
在图25的示例中,不正当检测消息由车种信息、车台编号信息、激活指示信息(即激活命令及对象帧信息)、发生现象信息、日志信息及署名数据构成。该不正当检测消息是对实施方式1所示的不正当检测消息(参照图16)附加激活指示信息而得到的。
(2.8不正当检测ECU1400的传送阻止功能激活处理)
图26表示不正当检测ECU1400的传送阻止功能激活处理的一例。以下,结合该图对传送阻止功能激活处理进行说明。
不正当检测ECU1400经由接收其他车辆或服务器1500发送的异常通知消息的通信模块1600,取得该异常通知消息(步骤S2201)。
接着,不正当检测ECU1400验证被附加于异常通知消息的署名数据(步骤S2202)。
不正当检测ECU1400基于步骤S2202的验证结果是否表示验证成功来判定异常通知消息的发送源是否是正当的服务器1500或正当的车辆(步骤S2203),在验证失败的情况下,跳过传送阻止功能的激活,并使传送阻止功能激活处理结束。
在通过步骤S2203验证结果表示验证成功的情况下、即发送源是正当的服务器1500或正当的车辆的情况下,不正当检测ECU1400基于异常通知消息中的车种信息来判定是否是与搭载有本装置的车辆相同的车种(步骤S2204)。在不是相同车种的情况下,不正当检测ECU1400使传送阻止功能激活处理结束。
在通过步骤S2204判定为是相同车种的情况下,不正当检测ECU1400根据异常通知消息中的激活指示信息,激活传送阻止功能(步骤S2205)。不正当检测ECU1400通过如下方式实现该激活:将管理信息中的、与激活指示信息的对象帧信息所表示的ID对应的标志信息设为表示允许阻止帧的传送的值。
(2.9由服务器1500进行的失效消息的发送)
图27表示服务器1500的失效消息的发送所涉及的处理的一例。失效消息是用于使不正当检测ECU1400的传送阻止功能失效的消息。
服务器1500接收来自车辆的不正当检测ECU1400的不正当检测消息(步骤S2301)。
接着,服务器1500验证附加于不正当检测消息的署名数据(步骤S2302)。
服务器1500基于步骤S2302的验证结果是否表示验证成功来判定不正当检测消息的发送源是否是正当的车辆(步骤S2303),在发送源不是正当的车辆的情况下,不进行失效消息的发送等,而使处理结束。
在通过步骤S2303验证结果表示验证成功的情况下、即发送源是正当的车辆的情况下,服务器1500基于不正当检测消息中的日志信息等,判断被检测为不正当的数据帧是否是会引起异常的不正当数据帧(步骤S2304)。该判断是对是否为会引起异常的状态的确认。在通过步骤S2304判断为不是会引起异常的状态的情况下,服务器1500为了使传送阻止功能失效而发送包含失效指示信息的失效消息(参照图28),所述传送阻止功能是在该数据帧由不正当检测ECU1400检测为不正当时阻止该数据帧的传送的功能(步骤S2305)。服务器1500也可以使用任意方法作为是否会引起异常的判断方法。服务器1500可以使用如下方法:从基于日志信息检测为不正当的数据帧开始至经过一定时间为止,车载网络系统11中预先确定的1个或多个重要的数据帧的内容或发送周期等没有异常的情况下,判断为不是会引起异常的状态。另外,服务器1500可以使用如下方法:从基于日志信息检测为不正当的数据帧开始至经过一定时间为止,构成车载网络系统11且与车辆的行驶控制相关的1个或多个特定的ECU正在正常工作的情况下,判断为不是会引起异常的状态。另外,作为一例,服务器1500可以使用如下方法:从基于日志信息检测为不正当的数据帧开始至经过某种程度上足够长的一定时间为止,没有接收到两次同种消息的情况下,判断为不是会引起异常的状态。
在通过步骤S2304判断为是会引起异常的状态的情况下,服务器1500不进行失效消息的发送。此外,在通过步骤S2304判断为是会引起异常的状态的情况下,服务器1500例如可以发送包含用于激活传送阻止功能的FW的发布消息。
(2.10失效消息的格式)
图28表示服务器1500对车辆发送的失效消息的格式的一例。失效消息经由车辆的通信模块1600被不正当检测ECU1400接收。
在图28的示例中,失效消息由车种信息、失效指示信息(即失效命令及对象帧信息)及署名数据构成。由失效消息中的对象帧信息表示例如预定ID,在该情况下失效指示信息表示不允许阻止具有预定ID的帧的传送的指示。
(2.11不正当检测ECU1400的传送阻止功能失效处理)
图29表示不正当检测ECU1400的传送阻止功能失效处理的一例。以下,结合该图对传送阻止功能失效处理进行说明。
不正当检测ECU1400经由通信模块1600接收失效消息(步骤S2401)。
接着,不正当检测ECU1400验证附加于失效消息的署名数据(步骤S2402)。
不正当检测ECU1400基于步骤S2402的验证结果是否表示验证成功来判定失效消息的发送源是否是正当的服务器1500(步骤S2403),在验证失败的情况下,跳过传送阻止功能的失效,使传送阻止功能失效处理结束。
在通过步骤S2403验证结果表示验证成功的情况下、即发送源是具有发送失效消息的预定权限的服务器1500的认证成功的情况下,不正当检测ECU1400基于失效消息中的失效指示信息的对象帧信息和管理信息中的标志信息,判定是否为针对对象帧的传送阻止功能已被激活的状态(步骤S2404)。在不是已被激活的状态的情况下,不正当检测ECU1400使传送阻止功能失效处理结束。
在通过步骤S2404判定为是已被激活的状态的情况下,不正当检测ECU1400使该传送阻止功能失效(步骤S2405)。不正当检测ECU1400通过如下方式实现该失效:将管理信息中的、与失效指示信息的对象帧信息所表示的ID对应的标志信息设为表示不允许阻止帧的传送的值。
(2.12实施方式2的效果)
在实施方式2的车辆的车载网络系统11中,在将总线200上流动的数据帧判定为不正当的情况下,并且在由管理信息示出传送阻止功能已被激活的状态的情况下,不正当检测ECU1400阻止该数据帧的传送。另外,在传送阻止功能未被激活的状态下,不正当检测ECU1400不阻止该数据帧的传送。数据帧被检测为不正当且被检测出工作不良的车辆的不正当检测ECU1400对其他车辆发送异常通知消息。由此,在其他车辆中,针对被检测为不正当的数据帧的传送阻止功能被激活,能够迅速地实现对攻击者进行的攻击的防御。这使得能够迅速防御攻击者发起的对局域车辆组的同时攻击。另外,服务器1500以综合地判断为不是会引起异常的帧的数据帧为对象,发送使车辆的不正当检测ECU1400的传送阻止功能失效的失效消息。服务器1500具有发送失效消息的预定权限。仅能够从具有预定权限的服务器1500使得在车辆中暂且被激活的传送阻止功能失效,由此提高了安全性。
(其他实施方式)
如上所述,将实施方式1、2作为本公开的技术的例示进行了说明。但是,本公开的技术不限于此,也能够适用于适当进行了变更、置换、附加、省略等而得到的实施方式。例如,如以下这样的变形例也包含在本公开的一实施方式中。
(1)在上述实施方式中,示出了通信模块600、1600与不正当检测ECU直接连接的例子,但是通信模块600、1600也可以是与CAN的总线200连接的通信模块ECU。在该情况下,不正当检测ECU也可以经由总线200与通信模块ECU进行消息的授受,由此经由通信模块ECU与服务器500、1500或其他车辆进行消息的收发。另外,通信模块600、1600也可以作为通信部设置在不正当检测ECU400、1400内。
(2)在上述实施方式中,示出了作为帧传送阻止装置的不正当检测ECU400、1400经由通信模块600、1600与车辆外部的服务器500、1500或其他车辆进行消息的收发的例子,但是也可以是在帧传送阻止装置内具有与车辆外部进行通信的通信线路,能够与服务器500等进行通信。图30表示帧传送阻止装置的一例。图30所示的帧传送阻止装置2400例如是搭载于车辆的、与车载网络系统10、11等的总线200(参照图1、图19)连接的、例如包括处理器、存储器等集成电路、通信线路等的装置。在功能方面,帧传送阻止装置2400例如构成为包括接收部2410、处理部2420、存储部2430、通信部2440及更新部2450。接收部2410由通信线路等构成,从总线200接收帧。接收部2410相当于上述的帧收发部110中承担接收功能的部分。处理部2420例如由执行存储器中存储的程序的处理器、通信线路等实现,基于表示是否允许阻止帧的传送的管理信息,对在由接收部2410接收到的帧满足预定条件的情况下是否执行阻止该帧的传送的预定处理进行切换。处理部2420例如也可以由上述的不正当检测处理部430、状态确认部440、1440等构成。预定条件例如是用于检测不正当帧的条件。预定条件例如是关于帧的ID的条件,例如可以是在不是图11所示的正规ID列表等的ID的情况下会被满足的条件。处理部2420包括发送部2421,例如作为上述的预定处理,可以进行在由接收部2410接收到满足预定条件的帧的最末尾的比特之前向总线200发送错误帧的处理。作为用于阻止帧的传送的预定处理,处理部2420也可以进行在该帧被传送时向总线200发送达不到构成错误帧的数量的显性信号的处理。总线200上的帧的内容因该显性信号而被改变,能够防止在例如引起CRC不匹配等这样的接收错误等时接收节点的ECU将该帧与正常帧同样地处理。帧传送阻止装置2400也可以是在多个总线间连接而具有将从一方总线接收到的数据帧转送到另一方总线的转送功能的网关装置,在该情况下,作为阻止帧的传送的预定处理,处理部2420也可以进行抑止帧的转送的处理。存储部2430在存储器等存储介质的一区域内存储有管理信息,例如相当于上述的状态保持部441等。通信部2440例如由无线通信线路等构成,与车辆外部的服务器装置、其他车辆内的装置等这样的外部装置进行通信。例如通信部2440可以发送面向其他车辆的异常通知消息(参照图24)等。更新部2450例如由执行程序的处理器等构成,对存储部2430中存储的管理信息进行更新。更新部2450例如也可以由上述的更新处理部460、1460等构成。存储部2430中的管理信息也可以包含分别与多个ID对应地表示是否允许阻止具有该ID且满足预定条件的帧的传送的标志信息。与此对应地,也可以是,在由接收部2410接收到的帧满足预定条件的情况下,处理部2420在与该帧的ID对应的标志信息表示允许阻止该帧的传送时执行预定处理,在与该帧的ID对应的标志信息表示不允许阻止该帧的传送时不执行预定处理。另外,更新部2450也可以根据帧传送阻止装置2400从与总线200连接的异常监视用的ECU等或车辆外部的外部装置等接收到的指示信息来更新管理信息。该指示信息例如可以是上述实施方式所示的激活指示信息、失效指示信息等。
(3)在上述实施方式中,示出了在检测出不正当数据帧的情况下,当检测出车辆工作不良时,不正当检测ECU400、1400向车辆外部发送不正当检测消息的例子。但是,也可以是,在检测出不正当数据帧的情况下,如果是传送阻止功能未被激活的状态,则无论是否检测出工作不良等这样的异常,不正当检测ECU400、1400都对车辆外部的服务器等外部装置发送包含关于被检测为不正当的数据帧的日志信息等的信息。在上述的帧传送阻止装置2400中,在由接收部2410接收到的帧满足预定条件的情况下,通信部2440也可以将包含关于该帧的信息的分析用信息发送到车辆外部的外部装置。另外,不正当检测ECU400、1400也可以在自己无法判断是否异常等情况下,委托服务器500、1500等外部装置来判断是否会引起异常。在服务器500等外部装置中,能够基于从多个车辆收集的信息来提高判断的精度。而且,在判断为会引起异常的情况下,外部装置可以根据需要对不正当检测ECU400、1400发送包含用于激活不正当检测ECU400、1400的传送阻止功能的激活指示信息的消息。另外,在上述实施方式中,示出了如下例子:在服务器500中通过分析部520及发布消息生成部540等生成包含用于变更车辆的不正当检测ECU400的传送阻止功能的激活状态的FW的发布消息,在服务器1500中通过分析部1520及消息生成部1540等生成用于变更车辆的不正当检测ECU1400的传送阻止功能的激活状态的发布消息或失效消息。由服务器500、1500发送的这些消息的生成也可以基于操作者对服务器500、1500的指示等进行。
(4)在上述实施方式中,示出了不正当检测ECU400、1400基于从服务器500、1500、其他车辆等发送的消息来更新表示传送阻止功能的激活状态的管理信息的例子。但是,在检测出不正当数据帧的情况下,不正当检测ECU400、1400也可以使车辆自己检查是否引起了异常,在作为检查结果检测出发生了异常时(例如通过步骤S1101检测出工作不良时),自己更新管理信息,使传送阻止功能成为被激活的状态。作为具体示例,不正当检测ECU400的更新处理部460也可以在由帧收发部110接收到的数据帧满足具有不包含在正规ID列表中的ID这样的涉及不正当检测规则的预定条件、并且管理信息中与该数据帧的ID对应的标志信息表示不允许阻止该数据帧的传送的情况下,当基于具有与该数据帧的ID不同的特定ID的、由帧收发部110接收到的数据帧而检测出发生了异常时,将该标志信息更新为表示允许阻止传送。例如,可以通过判别具有特定ID的数据帧的接收周期、接收频率、数据帧的内容等是否与正常状态不同来检测异常。例如,可以在即使经过一定时间也没有接收到具有特定ID的数据帧的情况下检测为异常。例如将重要的数据帧的ID设定为特定ID是有用的。由此,在检测出不正当数据帧且重要的数据帧发生了异常这样的情况下,其后的不正当数据帧的传送会被阻止。另外,作为另一具体示例,更新处理部460也可以在由帧收发部110接收到的数据帧满足预定条件、并且标志信息表示不允许阻止该数据帧的传送的情况下,当检测出特定的ECU是异常时,将该标志信息更新为表示允许阻止传送。例如将发动机ECU100a、制动器ECU100b等这样的与车辆的行驶、拐弯或停止的控制相关的ECU设定为上述的特定的ECU是有用的。另外,将具有网关功能的网关ECU、向车辆的驾驶员提供用户界面的主控单元ECU等设定为上述的特定的ECU也是有用的。特定的ECU的异常可以基于与由特定的ECU发送的帧的内容、来自监视特定的ECU的监视ECU等的通知、与特定的ECU的控制对象的致动器等相关联的传感器的测定结果、与特定的ECU之间的单独通信的检查结果等来检测。例如在发动机转速的基于传感器的测定值在某单位时间内超过通常范围而急剧上升的情况下,能够检测出发动机ECU的异常。例如,也可以将车辆的加速度的急剧变化检测为发动机ECU或制动器ECU的异常。由此,在检测出不正当数据帧且会影响车辆行驶的ECU发生了异常这样的情况下,其后的不正当数据帧的传送会被阻止。另外,即使在因向车载网络系统追加不是不正当的新的ECU等原因而由该ECU发送的数据帧被检测为不正当的情况下,当会影响车辆行驶的ECU没有发生异常时,该数据帧的传送也不会被阻止,可防止因阻止产生的负面影响。另外,在向其他车辆发送包含激活指示信息的异常通知消息的情况下(步骤S2102),不正当检测ECU1400针对本车辆的管理信息,也可以同样地更新为传送阻止功能已被激活的状态。作为具体示例,在判定为检测为不正当的数据帧会引起车辆发生异常的情况下,不正当检测ECU1400将与该数据帧的ID对应的标志信息设为表示传送阻止功能已被激活的状态,针对具有该ID的数据帧,通过发送错误帧来阻止传送。而且,向其他车辆发送包含激活指示信息的消息,所述激活指示信息允许阻止具有该ID的数据帧的传送。
(5)在上述实施方式中,不正当检测ECU400、1400为了检测不正当数据帧而使用涉及ID域的正规ID列表,但是也可以使用ID域以外的域的值。也就是说,示出了在帧传送阻止装置中使用ID作为管理信息之后成为传送阻止对象的帧的预定条件的例子,但是也可以设定关于该帧的ID以外内容的条件。例如,预定条件既可以是关于作为帧的数据帧的DLC的条件,也可以是关于数据帧的数据域内的数据的条件。另外,在设定为使车载网络系统中在ECU间授受的帧包含消息认证码(MAC:Message Authentication Code)的情况下,预定条件也可以是在帧不包含适当的MAC的情况下会被满足的条件。帧中是否包含适当的MAC,例如通过预先确定的验证方法对帧中的位于以可预先确定的方式规定的位置的作为数据值的MAC进行验证,能够根据验证是否成功来判别。另外,预定条件也可以是帧被发送的周期、频率等所涉及的条件。
(6)在上述实施方式中,示出了在作为帧传送阻止装置的不正当检测ECU400、1400中,根据不正当检测规则检测帧的不正当,并通过FW的更新等来变更被检测为不正当的帧的传送阻止功能的激活状态的例子。但是,通过FW的更新,也可以取代传送阻止功能的激活状态的变更而更新不正当检测规则。具体而言,在产品出厂时不正当检测ECU400也可以保持被设定为将全部ID按不是不正当来对待的不正当检测规则,设为传送阻止功能已被设为激活的状态,并且变更不正当检测规则以通过FW的更新来阻止不正当帧的传送。
(7)在上述实施方式中,不正当检测ECU400向服务器500发送的不正当检测消息中包含的、关于被检测为不正当的数据帧的日志信息,包含关于在该数据帧检测之后的一定时间内在总线200上流动的数据帧的日志数据等。并且,示出了通过服务器500分析日志信息来判断是否是会引起车辆工作不良等这样的涉及车载网络系统10的异常的不正当数据帧的例子。但是,不正当检测ECU400也可以使日志信息包含并非检测出不正当数据帧之后的一定时间内的、而是检测前的一定时间或贯穿该检测前后的一定时间的期间内从总线200接收到的各种数据帧的内容和接收时刻等这样的信息。另外,不正当检测ECU400也可以基于在检测出不正当数据帧之前的一定时间、或贯穿该检测前后的一定时间的期间内从总线200接收到的数据帧,判定是否因被检测为不正当的数据帧引起了异常,如果引起了该异常,则激活针对被检测为不正当的数据帧的传送阻止功能。
(8)在上述实施方式2中,不正当检测ECU1400判定车种信息是否表示与搭载有本装置的车辆为相同车种,这是通过判定引起了工作不良等异常的车辆和搭载有本装置的车辆的共同性来决定是否激活传送阻止功能的一例,除车种信息以外,也可以使用车辆的年代型号、型号、机型、制造商等信息来判定共同性。
(9)在上述实施方式2中,示出了用ID确定对象帧,进行传送阻止功能的激活或失效的指示的例子,但是也可以以全部帧作为对象统一地进行激活或失效的指示。另外,对象帧的确定方法不限于ID,例如也可以通过帧中的特定位置的比特串等来确定。另外,激活指示信息或失效指示信息也可以由FW表示,通过更新不正当检测ECU的FW来变更传送阻止功能的激活状态。另外,管理信息未必需要由每个ID的标志信息构成,也可以仅由表示是否允许阻止被检测为不正当的全部数据帧的传送的1个标志构成。
(10)由上述实施方式或上述变形例示出的帧传送阻止装置的构成要素,也可以分散地设置于与总线200连接的多个ECU等这样的多个装置中。另外,帧传送阻止装置也可以不参照保持在本装置内的管理信息,而是通过参照从本装置的外部得到的管理信息,对是否进行用于阻止针对被检测为不正当的帧的传送的预定处理(例如错误帧的发送等)进行切换。在该情况下,表示是否允许阻止被检测为不正当的帧的传送的管理信息,可以通过读取存储在硬盘及其他存储介质中的信息来参照,也可以通过读取由开关及其他硬件形成的状态来参照,也可以通过从外部接收信息来参照。
(11)在上述的实施方式中设为在车载网络中遵循CAN协议来进行数据帧的传送,但CAN协议可以作为包含在自动化系统中的嵌入式系统等中使用的CANOpen、或TTCAN(Time-Triggered CAN:时间触发CAN)、CANFD(CAN with Flexible Data Rate:具有灵活数据速率的CAN)等派生的协议在内的广义的含义来对待。另外,车载网络也可以使用CAN协议以外的协议。作为进行用于车辆控制的帧等的传送的车载网络的协议,例如也可以使用LIN(Local Interconnect Network:局域互联网)、MOST(注册商标)(Media Oriented SystemsTransport)、FlexRay(注册商标)、Ethernet(注册商标)等。另外,也可以将使用了这些协议的网络作为子网络,组合多种协议涉及的子网络来构成车载网络。另外,Ethernet(注册商标)协议可以作为包含IEEE802.1涉及的Ethernet(注册商标)AVB(Audio Video Bridging:音视频桥接)或IEEE802.1涉及的Ethernet(注册商标)TSN(Time Sensitive Networking:时间敏感网络)、Ethernet(注册商标)/IP(Industrial Protocol:工业协议)、EtherCAT(注册商标)(Ethernet(注册商标)for Control Automation Technology)等派生协议在内的广义的含义来对待。此外,车载网络的网络总线例如可以是由线路、光纤等构成的有线通信路径。例如,帧传送阻止装置2400在使用上述的任一种协议由ECU进行通信的网络系统中与网络总线连接,接收帧,并基于表示是否允许阻止帧的传送的管理信息,对在接收到的帧满足预定条件的情况下是否执行阻止该帧的传送的预定处理进行切换。
(12)在上述实施方式中,以标准ID格式记述了CAN协议下的数据帧,但也可以是扩展ID格式,数据帧的ID也可以是扩展ID格式下的扩展ID等。另外,上述的数据帧也可以是使用CAN以外的协议的网络中的一种帧,在该情况下,用于识别该帧的种类等的ID相当于数据帧的ID。
(13)在上述实施方式中,示出了帧传送阻止装置搭载于车辆、并包含在进行用于控制车辆的通信的车载网络系统中的例子,但是也可以包含在用于控制车辆以外的控制对象的网络系统中。车辆以外的控制对象例如是机器人、飞机、船舶、机械等。
(14)上述实施方式所示的ECU等各装置,除了存储器、处理器等以外,还可以具备硬盘单元、显示单元、键盘、鼠标等。另外,上述实施方式所示的ECU等各装置,既可以是由处理器执行存储在存储器中的程序,以软件的方式实现该各装置的功能,也可以是用专用的硬件(数字电路等)而不使用程序来实现其功能。另外,该各装置内的各构成要素承担的功能可以变更。
(15)构成上述实施方式中的各装置的构成要素的一部分或全部也可以由1个系统LSI(Large Scale Integration:大规模集成电路)构成。系统LSI是将多个结构部集成在1个芯片上来制造的超多功能LSI,具体而言,是构成为包含微处理器、ROM、RAM等的计算机系统。在所述RAM中记录有计算机程序。所述微处理器按照所述计算机程序进行工作,由此系统LSI实现其功能。另外,构成上述各装置的构成要素的各部既可以单独地单芯片化,也可以以包含一部分或全部的方式单芯片化。另外,在此称作系统LSI,但根据集成度的不同,有时也称作IC、LSI、超级LSI、特大LSI。另外,集成电路化的方法不限于LSI,也可以通过专用电路或通用处理器实现。也可以利用在LSI制造后可以编程的FPGA(Field ProgrammableGate Array:现场可编程门阵列)或者可以对LSI内部的电路单元的连接或设定进行重构的可重构处理器(reconfigurable processor)。进而,随着半导体技术的发展或者派生的其他技术的出现,如果出现能够替代LSI的集成电路化的新技术,当然也可以利用该技术进行功能块的集成化。也可能会存在适用生物技术的可能性。
(16)构成上述各装置的构成要素的一部分或全部也可以由能够装卸于各装置的IC卡或单体模块构成。所述IC卡或所述模块是由微处理器、ROM、RAM等构成的计算机系统。所述IC卡或所述模块也可以包含上述超多功能LSI。微处理器按照计算机程序进行工作,由此所述IC卡或所述模块实现其功能。该IC卡或该模块也可以具有抗篡改性。
(17)作为本公开的一个技术方案,也可以是例如包含图14、图15、图17、图22、图23、图26、图27、图29等所示的处理步骤的全部或一部分的帧传送阻止方法。例如,帧传送阻止方法是多个ECU经由总线进行通信的网络系统中使用的、包含如下步骤的方法:从总线接收帧的接收步骤(例如步骤S1002);以及处理步骤(例如步骤S1006~S1008),基于表示是否允许阻止帧的传送的管理信息,对在通过接收步骤接收到的帧满足预定条件的情况下是否执行阻止该帧的传送的预定处理进行切换。另外,作为本公开的一个技术方案,也可以是通过计算机实现该方法的程序(计算机程序),还可以是通过所述计算机程序形成的数字信号。另外,作为本公开的一个技术方案,也可以将所述计算机程序或所述数字信号记录于计算机可读取的记录介质例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)Disc)、半导体存储器等。另外,也可以是记录在这些记录介质中的所述数字信号。另外,作为本公开的一个技术方案,也可以将所述计算机程序或所述数字信号经由电子通信线路、无线或有线通信线路、以因特网为代表的网络、数据广播等进行传送。另外,作为本公开的一个技术方案,也可以是具备微处理器和存储器的计算机系统,所述存储器记录有上述计算机程序,所述微处理器可以按照所述计算机程序进行工作。另外,也可以通过将所述程序或所述数字信号记录在所述记录介质中转移、或经由所述网络等将所述程序或所述数字信号进行转移,由此通过独立的其他的计算机系统来实施。
(18)通过将上述实施方式以及上述变形例中示出的各构成要素及功能进行任意组合而实现的实施方式也包含在本公开的范围内。
产业上的可利用性
本公开可以用于阻止不正当帧向车载网络等网络的传送。
Claims (19)
1.一种帧传送阻止装置,其与供多个电子控制单元经由总线进行通信的网络系统中的该总线连接,所述帧传送阻止装置具备:
接收部,其从所述总线接收帧;以及
处理部,其基于表示是否允许阻止帧的传送的管理信息,对在由所述接收部接收到的帧满足预定条件的情况下是否执行阻止该帧的传送的预定处理进行切换。
2.根据权利要求1所述的帧传送阻止装置,
所述多个电子控制单元遵循CAN协议即控制器局域网协议经由所述总线进行通信,
阻止满足所述预定条件的帧的传送的所述预定处理,包含在由所述接收部接收到该帧的最末尾的比特之前向所述总线发送错误帧的处理。
3.根据权利要求1或2所述的帧传送阻止装置,
所述帧传送阻止装置具备:
存储部,其存储有所述管理信息;以及
更新部,其对存储在所述存储部中的所述管理信息进行更新,
所述管理信息包含分别与多个ID对应地表示是否允许阻止具有该ID且满足所述预定条件的帧的传送的标志信息,
所述处理部,在由所述接收部接收到的帧满足所述预定条件的情况下,当与该帧的ID对应的所述标志信息表示允许阻止该帧的传送时,执行所述预定处理,当与该帧的ID对应的所述标志信息表示不允许阻止该帧的传送时,不执行所述预定处理。
4.根据权利要求3所述的帧传送阻止装置,
所述管理信息中的分别与所述多个ID对应的标志信息,在所述更新部一次也没有进行过更新的状态下,表示不允许阻止帧的传送。
5.根据权利要求3或4所述的帧传送阻止装置,
所述标志信息是1比特的信息。
6.根据权利要求3~5中任一项所述的帧传送阻止装置,
所述更新部根据所述帧传送阻止装置从外部接收到的指示信息来更新所述管理信息。
7.根据权利要求6所述的帧传送阻止装置,
所述网络系统是车载网络系统,
所述多个电子控制单元、所述总线和所述帧传送阻止装置搭载于车辆,
所述更新部根据位于所述车辆之外的外部装置发送的所述指示信息来更新所述管理信息。
8.根据权利要求7所述的帧传送阻止装置,
所述更新部,
在所述外部装置发送的所述指示信息表示不允许阻止具有预定ID的帧的传送的指示的情况下,以所述外部装置具有预定权限的认证成功作为条件,将所述管理信息中的与所述预定ID对应的标志信息更新为表示不允许阻止具有所述预定ID的帧的传送,
在所述指示信息表示允许阻止具有所述预定ID的帧的传送的指示的情况下,无论所述外部装置是否具有所述预定权限,都将所述管理信息中的与所述预定ID对应的标志信息更新为表示允许阻止具有所述预定ID的帧的传送。
9.根据权利要求8所述的帧传送阻止装置,
所述帧传送阻止装置还具备通信部,所述通信部在所述处理部执行阻止具有一ID的帧的传送的所述预定处理的情况下,发送面向其他车辆的指示信息,所述指示信息表示允许阻止具有该一ID的帧的传送的指示。
10.根据权利要求7或8所述的帧传送阻止装置,
所述帧传送阻止装置还具备通信部,所述通信部在由所述接收部接收到的帧满足所述预定条件的情况下,向所述外部装置发送包含关于该帧的信息的分析用信息。
11.根据权利要求3~5中任一项所述的帧传送阻止装置,
所述更新部,在由所述接收部接收到的帧满足所述预定条件、且与该帧的ID对应的所述标志信息表示不允许阻止该帧的传送的情况下,当基于具有与该帧的ID不同的特定ID的、由所述接收部接收到的帧而检测出发生了异常时,将该标志信息更新为表示允许所述阻止。
12.根据权利要求3~5中任一项所述的帧传送阻止装置,
所述更新部,在由所述接收部接收到的帧满足所述预定条件、且与该帧的ID对应的所述标志信息表示不允许阻止该帧的传送的情况下,当检测出所述多个电子控制单元中的预先确定的特定的电子控制单元异常时,将该标志信息更新为表示允许所述阻止。
13.根据权利要求1~12中任一项所述的帧传送阻止装置,
所述预定条件是关于帧的ID的条件,
在由所述接收部接收到的帧的ID满足所述预定条件的情况下,所述处理部基于所述管理信息对是否执行所述预定处理进行切换。
14.根据权利要求1~12中任一项所述的帧传送阻止装置,
所述多个电子控制单元遵循CAN协议即控制器局域网协议经由所述总线进行通信,
所述预定条件是关于作为帧的数据帧的DLC即数据长度码的条件,
在由所述接收部接收到的帧的DLC满足所述预定条件的情况下,所述处理部基于所述管理信息对是否执行所述预定处理进行切换。
15.根据权利要求1~12中任一项所述的帧传送阻止装置,
所述多个电子控制单元遵循CAN协议即控制器局域网协议经由所述总线进行通信,
所述预定条件是关于作为帧的数据帧的数据域内的数据的条件,
在由所述接收部接收到的帧的数据域内的数据满足所述预定条件的情况下,所述处理部基于所述管理信息对是否执行所述预定处理进行切换。
16.根据权利要求1~12中任一项所述的帧传送阻止装置,
所述预定条件是在帧不包含合理的消息认证码的情况下满足的条件。
17.根据权利要求1所述的帧传送阻止装置,
所述多个电子控制单元遵循CAN协议即控制器局域网协议经由所述总线进行通信,
阻止满足所述预定条件的帧的传送的所述预定处理,包含当正在传送该帧时向所述总线发送显性信号的处理。
18.一种帧传送阻止方法,在供多个电子控制单元经由总线进行通信的网络系统中使用,所述帧传送阻止方法包括:
接收步骤,从所述总线接收帧;以及
处理步骤,基于表示是否允许阻止帧的传送的管理信息,对在通过所述接收步骤接收到的帧满足预定条件的情况下是否执行阻止该帧的传送的预定处理进行切换。
19.一种车载网络系统,具备经由总线进行通信的多个电子控制单元,所述车载网络系统具备:
接收部,其从所述总线接收帧;以及
处理部,其基于表示是否允许阻止帧的传送的管理信息,对在由所述接收部接收到的帧满足预定条件的情况下是否执行阻止该帧的传送的预定处理进行切换。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111064763.9A CN113783958A (zh) | 2016-07-28 | 2017-06-02 | 网关装置、方法及车载网络系统 |
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016-148990 | 2016-07-28 | ||
| JP2016148990 | 2016-07-28 | ||
| JP2017-096138 | 2017-05-15 | ||
| JP2017096138A JP6849528B2 (ja) | 2016-07-28 | 2017-05-15 | フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム |
| PCT/JP2017/020558 WO2018020833A1 (ja) | 2016-07-28 | 2017-06-02 | フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111064763.9A Division CN113783958A (zh) | 2016-07-28 | 2017-06-02 | 网关装置、方法及车载网络系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109076001A true CN109076001A (zh) | 2018-12-21 |
| CN109076001B CN109076001B (zh) | 2021-10-01 |
Family
ID=61194207
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780019869.2A Active CN109076001B (zh) | 2016-07-28 | 2017-06-02 | 帧传送阻止装置、帧传送阻止方法及车载网络系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11356475B2 (zh) |
| EP (2) | EP3493480B1 (zh) |
| JP (2) | JP6849528B2 (zh) |
| CN (1) | CN109076001B (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10757113B2 (en) * | 2017-03-17 | 2020-08-25 | Cylance Inc. | Communications bus signal fingerprinting |
| RU2725033C2 (ru) * | 2018-03-30 | 2020-06-29 | Акционерное общество "Лаборатория Касперского" | Система и способ создания правил |
| JP7269922B2 (ja) * | 2018-05-23 | 2023-05-09 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 通信制御装置、モビリティネットワークシステム、通信制御方法およびプログラム |
| JP7121737B2 (ja) * | 2018-05-23 | 2022-08-18 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知装置、異常検知方法およびプログラム |
| JP6922852B2 (ja) | 2018-06-12 | 2021-08-18 | 株式会社デンソー | 電子制御装置および電子制御システム |
| JP7138043B2 (ja) * | 2018-12-28 | 2022-09-15 | 日立Astemo株式会社 | 情報処理装置 |
| CN113475044B (zh) * | 2019-03-05 | 2023-03-14 | 住友电气工业株式会社 | 管理装置、通信系统、车辆、车辆通信管理方法和车辆通信管理程序 |
| US11616862B2 (en) * | 2019-03-11 | 2023-03-28 | Saferide Technologies Ltd. | System and method for compressing controller area network (CAN) messages |
| JP2020154540A (ja) | 2019-03-19 | 2020-09-24 | キオクシア株式会社 | メモリシステム及び制御システム |
| CN117896698A (zh) * | 2019-08-01 | 2024-04-16 | 住友电气工业株式会社 | 中继装置、车辆通信系统、通信方法及记录介质 |
| JP7215378B2 (ja) | 2019-09-18 | 2023-01-31 | トヨタ自動車株式会社 | 車載制御装置、情報処理装置、車両用ネットワークシステム、アプリケーションプログラムの提供方法、及びプログラム |
| CN110519144B (zh) | 2019-09-20 | 2021-10-15 | 深圳市道通合创新能源有限公司 | 一种汽车诊断设备与车辆建立通信的方法、装置及汽车通信接口设备 |
| JP7226248B2 (ja) * | 2019-10-31 | 2023-02-21 | トヨタ自動車株式会社 | 通信装置および異常判定装置 |
| JP7247905B2 (ja) * | 2020-01-22 | 2023-03-29 | トヨタ自動車株式会社 | 第1中継装置、第2中継装置、第1中継方法、第2中継方法、第1中継プログラム、第2中継プログラム、及び中継システム |
| JP7409247B2 (ja) * | 2020-07-14 | 2024-01-09 | 株式会社デンソー | 不正侵入防止装置、不正侵入防止方法、及び不正侵入防止用プログラム |
| KR102471960B1 (ko) * | 2020-11-18 | 2022-11-30 | 한국자동차연구원 | 차량용 can 통신 보안 장치 및 방법 |
| JPWO2022190580A1 (zh) | 2021-03-12 | 2022-09-15 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104012065A (zh) * | 2011-12-21 | 2014-08-27 | 丰田自动车株式会社 | 车辆网络监测方法及车辆网络监测装置 |
| JP2014236248A (ja) * | 2013-05-30 | 2014-12-15 | 日立オートモティブシステムズ株式会社 | 電子制御装置、電子制御システム |
| EP2852100A1 (en) * | 2012-05-14 | 2015-03-25 | Toyota Jidosha Kabushiki Kaisha | Vehicle-specific network communication management device and communication management method |
| WO2015159486A1 (ja) * | 2014-04-17 | 2015-10-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車載ネットワークシステム、不正検知電子制御ユニット及び不正検知方法 |
| WO2015159520A1 (ja) * | 2014-04-17 | 2015-10-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車載ネットワークシステム、不正検知電子制御ユニット及び不正検知方法 |
| CN105594155A (zh) * | 2014-05-08 | 2016-05-18 | 松下电器(美国)知识产权公司 | 车载网络系统、电子控制单元以及更新处理方法 |
| JP2016134914A (ja) * | 2015-01-20 | 2016-07-25 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム |
| JP2016134913A (ja) * | 2015-01-20 | 2016-07-25 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4253520B2 (ja) * | 2003-03-19 | 2009-04-15 | 株式会社日立製作所 | ネットワーク認証装置及びネットワーク認証システム |
| US8213321B2 (en) * | 2007-02-01 | 2012-07-03 | Deere & Company | Controller area network condition monitoring and bus health on in-vehicle communications networks |
| US9881165B2 (en) * | 2012-03-29 | 2018-01-30 | Arilou Information Security Technologies Ltd. | Security system and method for protecting a vehicle electronic system |
| JP5637190B2 (ja) * | 2012-07-27 | 2014-12-10 | トヨタ自動車株式会社 | 通信システム及び通信方法 |
| JP5919205B2 (ja) | 2013-01-28 | 2016-05-18 | 日立オートモティブシステムズ株式会社 | ネットワーク装置およびデータ送受信システム |
| US9998494B2 (en) * | 2013-09-13 | 2018-06-12 | GM Global Technology Operations LLC | Methods and apparatus for secure communication in a vehicle-based data communication system |
| US9288048B2 (en) * | 2013-09-24 | 2016-03-15 | The Regents Of The University Of Michigan | Real-time frame authentication using ID anonymization in automotive networks |
| US10452504B2 (en) * | 2013-10-02 | 2019-10-22 | Nxp B.V. | Controller area network (CAN) device and method for emulating classic CAN error management |
| JP6595885B2 (ja) * | 2015-01-20 | 2019-10-23 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 不正対処方法及び電子制御ユニット |
-
2017
- 2017-05-15 JP JP2017096138A patent/JP6849528B2/ja active Active
- 2017-06-02 EP EP17833843.0A patent/EP3493480B1/en active Active
- 2017-06-02 EP EP20187329.6A patent/EP3748919B1/en active Active
- 2017-06-02 CN CN201780019869.2A patent/CN109076001B/zh active Active
-
2019
- 2019-01-23 US US16/255,697 patent/US11356475B2/en active Active
-
2021
- 2021-03-04 JP JP2021034102A patent/JP7027592B2/ja active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104012065A (zh) * | 2011-12-21 | 2014-08-27 | 丰田自动车株式会社 | 车辆网络监测方法及车辆网络监测装置 |
| EP2852100A1 (en) * | 2012-05-14 | 2015-03-25 | Toyota Jidosha Kabushiki Kaisha | Vehicle-specific network communication management device and communication management method |
| JP2014236248A (ja) * | 2013-05-30 | 2014-12-15 | 日立オートモティブシステムズ株式会社 | 電子制御装置、電子制御システム |
| WO2015159486A1 (ja) * | 2014-04-17 | 2015-10-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車載ネットワークシステム、不正検知電子制御ユニット及び不正検知方法 |
| WO2015159520A1 (ja) * | 2014-04-17 | 2015-10-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車載ネットワークシステム、不正検知電子制御ユニット及び不正検知方法 |
| CN105594155A (zh) * | 2014-05-08 | 2016-05-18 | 松下电器(美国)知识产权公司 | 车载网络系统、电子控制单元以及更新处理方法 |
| JP2016134914A (ja) * | 2015-01-20 | 2016-07-25 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム |
| JP2016134913A (ja) * | 2015-01-20 | 2016-07-25 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム |
Non-Patent Citations (2)
| Title |
|---|
| 张子健,张越,王剑: "一种应用于CAN总线的异常检测系统", 《信息安全与通信保密》 * |
| 杨福宇: "一种现场优先的车控网络防黑客攻击方法", 《单片机与嵌入式系统应用》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2021083125A (ja) | 2021-05-27 |
| EP3493480A1 (en) | 2019-06-05 |
| EP3748919A1 (en) | 2020-12-09 |
| US11356475B2 (en) | 2022-06-07 |
| CN109076001B (zh) | 2021-10-01 |
| JP7027592B2 (ja) | 2022-03-01 |
| EP3493480A4 (en) | 2019-07-03 |
| EP3748919B1 (en) | 2022-09-21 |
| EP3493480B1 (en) | 2020-09-09 |
| JP6849528B2 (ja) | 2021-03-24 |
| JP2018026791A (ja) | 2018-02-15 |
| US20190173912A1 (en) | 2019-06-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109076001A (zh) | 帧传送阻止装置、帧传送阻止方法及车载网络系统 | |
| US10951631B2 (en) | In-vehicle network system, fraud-detection electronic control unit, and fraud-detection method | |
| JP7008100B2 (ja) | 不正対処方法、不正検知電子制御ユニットおよびネットワーク通信システム | |
| US10798114B2 (en) | System and method for consistency based anomaly detection in an in-vehicle communication network | |
| CN105637803B (zh) | 车载网络系统、不正常检测电子控制单元以及不正常应对方法 | |
| CN106031098B (zh) | 不正常帧应对方法、不正常检测电子控制单元以及车载网络系统 | |
| US11838303B2 (en) | Log generation method, log generation device, and recording medium | |
| CN107428294A (zh) | 不正常检测规则更新方法、不正常检测电子控制单元以及车载网络系统 | |
| CN110546921B (zh) | 不正当检测方法、不正当检测装置以及程序 | |
| WO2016116973A1 (ja) | 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム | |
| JP2019146145A (ja) | 通信装置、通信方法及びプログラム | |
| CN115580471A (zh) | 不正当检测方法、不正当检测装置以及存储介质 | |
| WO2018020833A1 (ja) | フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |