CN112204926B - 数据通信控制装置、非易失性存储器以及车辆控制系统 - Google Patents
数据通信控制装置、非易失性存储器以及车辆控制系统 Download PDFInfo
- Publication number
- CN112204926B CN112204926B CN201880093749.1A CN201880093749A CN112204926B CN 112204926 B CN112204926 B CN 112204926B CN 201880093749 A CN201880093749 A CN 201880093749A CN 112204926 B CN112204926 B CN 112204926B
- Authority
- CN
- China
- Prior art keywords
- data
- attack
- information
- discarded
- domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供在车载网络中探测到攻击数据的情况下控制车载网络中的数据通信的数据通信控制装置、数据通信控制程序以及车辆控制系统。本发明所涉及的数据通信控制装置等预先确定在车载网络中发送的第1数据被废弃的情况下使车辆的控制产生不良现象的第1废弃候补数据,将作为表示第1废弃候补数据的信息的第1废弃信息和作为表示第1数据的信息的第1数据识别信息对应起来存储。取得在车载网络中探测出的攻击数据的攻击数据识别信息,将和与取得的攻击数据识别信息一致的第1数据识别信息对应起来的第1废弃信息表示的第1废弃候补数据决定为从车载网络废弃的数据并进行废弃的指示。
Description
技术领域
本发明涉及在车载网络中探测到攻击数据的情况下控制车载网络的数据通信的数据通信控制装置、数据通信控制程序以及车辆控制系统。
背景技术
车辆具备引擎以及操舵装置等多个车载装置和用于控制车载装置的多个ECU(Electronic Control Unit,电子控制单元)。车载装置分别与多个ECU中的1个可通信地连接。另外,车辆具备多个传感器,多个传感器和多个ECU经由车载网络连接。
ECU接收传感器生成的表示车辆的状态量或者用户的操作量的数据,生成与数据表示的状态量或者操作量对应的控制信号,控制与该ECU连接的车载装置。另外,ECU生成表示作为控制对象的车载装置的状态量的数据,发送给其他ECU。其他ECU根据该数据,控制其他车载装置。
另一方面,指出了引起车载装置的异常动作,使车辆的动作变得不稳定的攻击是可能的。这样的攻击是通过将传感器或者ECU的程序改写为非法的程序而进行的。在此,将程序被改写为非法的程序的传感器以及ECU称为攻击数据发送设备。
在攻击数据发送设备中,作为引起车载装置的异常动作的数据(以下称为攻击数据),生成表示与本来的车辆的状态量或者控制对象的车载装置的本来的状态量不同的状态量的异常的数据,发送给ECU。另外,生成表示与本来的用户的操作量不同的操作量的异常的数据,发送给ECU。接收到攻击数据的ECU根据该攻击数据生成异常的控制信号,车载装置根据异常的控制信号进行异常的动作。
有针对如上述的攻击探测在车载网络中发送的攻击数据并废弃的攻击数据废弃装置(专利文献1)。该攻击数据废弃装置与车载网络连接,监视在车载网络中发送的数据。另外,攻击数据废弃装置存储有用于判别正常的数据和攻击数据的攻击数据探测规则,根据攻击数据探测规则判定在车载网络中发送的数据是否为攻击数据,进行攻击数据的探测以及废弃。
现有技术文献
专利文献
专利文献1:日本特开2016-134914号公报
发明内容
专利文献1的攻击数据废弃装置根据存储的攻击数据探测规则,从在车载网络中发送的数据中探测攻击数据并废弃。
在使用该攻击数据废弃装置探测以及废弃攻击数据的情况下,能够防止由于使用该攻击数据引起的车载装置的异常动作。但是,即使废弃攻击数据,ECU无法接收本来应从攻击数据发送设备发送的正常的数据,有时由于无法接收正常的数据而无法进行针对车载装置的适当控制。
另外,ECU生成表示无法适当地进行控制的车载装置的状态量的数据,发送给其他ECU。其他ECU使用该数据来控制其他车载装置,所以其他车载装置也有时无法进行适当的控制。
如以上所述,存在如下这样的问题:在接受到引起车载装置的异常动作的攻击的情况下,即使使用专利文献1的攻击数据废弃装置废弃车载网络的攻击数据,与未发送正常的数据相伴的影响波及到其他ECU的控制,在车辆的控制中会产生不良现象。
本发明是为了解决如上述的课题而完成的,其目的在于提供数据通信控制装置、数据通信控制程序以及车辆控制系统,在车载网络中废弃攻击数据的情况下,由于未从攻击数据发送设备发送正常的数据而无法进行适当的控制的ECU生成的数据被用于其他ECU的控制,使车辆的控制产生不良现象的可能性降低。
本发明所涉及的数据通信控制装置的特征在于,具备:攻击数据信息取得部,在由在车载网络中发送并用于车辆的控制的多个数据构成的数据群中探测到引起车辆的异常动作的攻击数据的情况下,取得作为用于从数据群中识别攻击数据的信息的攻击数据识别信息;废弃数据存储部,存储作为用于从数据群中识别包含于数据群、从第1数据发送设备发送的第1数据的信息的第1数据识别信息,将作为表示第1废弃候补数据的信息的第1废弃信息与第1数据识别信息对应起来存储,该第1废弃候补数据为在第1数据被废弃的情况下在车辆的控制中产生不良现象的数据;废弃数据决定部,在攻击数据信息取得部取得攻击数据识别信息的情况下、且在第1数据识别信息与攻击数据识别信息一致的情况下,从废弃数据存储部读出和第1数据识别信息对应起来的第1废弃信息,将第1废弃信息表示的第1废弃候补数据决定为作为从车载网络废弃的数据的废弃数据;以及数据废弃指示部,发送从车载网络废弃废弃数据决定部决定的废弃数据的指示,包含第1数据发送设备的多个数据发送设备所属的第1域是在第1数据被废弃的情况下在域的功能中产生不良现象的域,第1废弃信息是表示从属于第1域的所有数据发送设备发送的数据的信息。
本发明所涉及的数据通信控制程序的特征在于,使与车载网络连接的网络构成设备作为如下部件发挥功能:攻击数据信息取得部,在由在车载网络中发送并用于车辆的控制的多个数据构成的数据群中探测到引起车辆的异常动作的攻击数据的情况下,取得作为用于从数据群中识别攻击数据的信息的攻击数据识别信息;废弃数据存储部,存储作为用于从数据群中识别包含于数据群、从第1数据发送设备发送的第1数据的信息的第1数据识别信息,将作为表示第1废弃候补数据的信息的第1废弃信息与第1数据识别信息对应起来存储,该第1废弃候补数据为在第1数据被废弃的情况下在车辆的控制中产生不良现象的数据;废弃数据决定部,在攻击数据信息取得部取得攻击数据识别信息的情况下、且在第1数据识别信息与攻击数据识别信息一致的情况下,从废弃数据存储部读出和第1数据识别信息对应起来的第1废弃信息,将第1废弃信息表示的第1废弃候补数据决定为作为从车载网络废弃的数据的废弃数据;以及数据废弃指示部,发送从车载网络废弃废弃数据决定部决定的废弃数据的指示,包含第1数据发送设备的多个数据发送设备所属的第1域是在第1数据被废弃的情况下在域的功能中产生不良现象的域,第1废弃信息是表示从属于第1域的所有数据发送设备发送的数据的信息。
本发明所涉及的车辆控制系统具备:上述的数据通信控制装置;以及数据发送设备,设置于车载网络,接收第1数据而发送第1废弃候补数据,数据通信控制装置的数据废弃指示部向数据发送设备发送废弃废弃数据的指示,数据发送设备在从数据废弃指示部接收到指示的情况下,中止向车载网络发送废弃数据。
在废弃数据存储部中,将第1数据识别信息和第1废弃信息对应起来存储。根据存储于废弃数据存储部的第1数据识别信息和第1废弃信息的对应关系,能够确定为在第1数据被废弃的情况下第1废弃候补数据是使车辆的控制产生不良现象的数据。
因此,在探测到攻击数据的情况下,通过根据上述对应关系确定第1废弃候补数据并进行决定以及指示使得废弃,能够降低使车辆的控制产生不良现象的可能性。
附图说明
图1是示出本发明的实施方式1所涉及的车辆控制系统的结构的框图。
图2是示出本发明的实施方式1所涉及的数据通信控制装置的结构的框图。
图3是示出本发明的实施方式1所涉及的域构成数据库中存储的数据识别信息的列表的例子的图。
图4是示出本发明的实施方式1所涉及的废弃策略数据库中存储的废弃策略的例子的图。
图5是示出用于实现本发明的实施方式1所涉及的数据通信控制装置的硬件结构的框图。
图6是示出本发明的实施方式1所涉及的数据通信控制装置的处理的流程图。
图7是示出本发明的实施方式1所涉及的桥的处理的流程图。
图8是示出本发明的实施方式2所涉及的数据通信控制装置的处理的流程图。
图9是示出本发明的实施方式3所涉及的车辆控制系统的结构的框图。
(符号说明)
1、31:数据通信控制装置;2:攻击探测装置;3:桥;4、34:ECU;5、35:传感器;11:攻击数据信息取得部;12:废弃数据决定部;13:域构成数据库;14:废弃策略数据库;15:数据废弃指示部;36:通信控制部;100、300:车辆控制系统;111:处理器;112:存储器;113:网络接口;114:磁盘。
具体实施方式
实施方式1
以下,参照图1至图7,说明本发明的实施方式1。
图1是示出本发明的实施方式1所涉及的车辆控制系统100的结构的框图。首先,说明车辆控制系统100的概要,之后,说明包含于车辆控制系统100的各构成要素。
车辆控制系统100由数据通信控制装置1、攻击探测装置2、多个桥3、多个ECU4、多个传感器5分别通过通信线6可通信地连接的车载网络构成,进行搭载于车辆的多个车载装置(未图示)的控制。
在车辆上搭载有引擎、操舵装置、制动装置、空调器以及导航装置等被电子控制的各种车载装置。多个车载装置分别与ECU4的1个可通信地连接。ECU4接收在车载网络中发送的表示车辆的状态量的数据或者表示用户的操作量的数据,根据该数据进行与自身连接的车载装置的控制。由ECU4或者传感器5生成表示车辆的状态量的数据或者表示用户的操作量的数据,经由桥3发送给进行车载装置的控制的ECU4。
如上所述,车辆控制系统100通过各ECU4发送接收控制所需的数据并分别进行车载装置的控制,进行车辆整体的控制。
此外,在本发明的实施方式1中,有时将生成表示车辆的状态量的数据或者表示用户的操作量的数据并发送给其他ECU4的ECU4以及传感器5称为数据发送设备。另外,有时将接收这些数据来进行控制对象的车载装置的控制的ECU4称为控制设备。ECU4既能够成为数据发送设备,也能够成为控制设备,但在ECU4执行发送数据的功能的情况下,将该ECU4称为数据发送设备,在执行根据接收到的数据控制车载装置的功能的情况下,将该ECU4称为控制设备。
在此,表示车辆的状态量的数据主要表示车辆的行驶状态或者车内环境的状态,不限于车辆自身的状态,还包括表示车辆周边的状态的数据或者表示车辆的位置信息的数据。
作为该数据的具体例,有车速的数据、引擎的转速的数据、车轮的操舵角的数据以及车内温度的数据等。另外,有与朝向车辆前方发送的超声波的反射波有关的数据以及车辆的位置坐标的数据等。
表示用户的操作量的数据是表示用户操作车辆的情况下的操作量的数据,例如有表示方向盘的旋转角的数据、表示加速踏板的踏入量的数据以及空调器的设定温度的数据等。
另外,这些数据由传感器5、ECU4生成,被发送给车载网络。例如,有传感器5测定出的表示状态量的数据(测定数据)。另外,有ECU4根据测定数据计算出的表示状态量的数据。进而,有控制特定的车载装置的ECU4生成的表示该车载装置的状态量的数据。
如以上的表示车辆的状态量的数据以及表示操作量的数据是在车载网络中发送并用于车辆的控制的数据,将它们总称为数据群。
另外,车辆控制系统100为了处置引起车载装置的异常动作而使车辆的动作变得不稳定的攻击,具备数据通信控制装置1以及攻击探测装置2。
上述攻击是通过将ECU4或者传感器5的程序改写为非法的程序而进行的。程序被非法改写的ECU4或者传感器5(攻击数据发送设备)生成用于引起车载装置的异常动作的攻击数据,发送给控制设备。控制设备使用攻击数据,生成用于控制车载装置的异常的控制信号,车载装置根据异常的控制信号进行异常的动作。
另外,作为上述攻击的其他方式,在车辆控制系统100能够与外部通信的情况下,还有通过从外部发送攻击数据,使控制设备生成异常的控制信号而使车载装置进行异常的动作的情况。
在此,在攻击数据发送设备生成的攻击数据以及从外部发送来的攻击数据中考虑各种数据,但作为用于引起车载装置的异常动作的数据,设想如下的攻击数据。
攻击数据是用于引起车载装置的异常动作的数据,所以需要为由与作为攻击对象的车载装置连接的ECU4接收的数据。因此,使用与正常的数据同样的攻击数据的标识符以及数据长等。另一方面,使用与正常的状态量或者操作量不同的攻击数据表示的车辆的状态量或者用户的操作量。
在车辆控制系统100中,针对上述攻击,如下所述处置。
攻击探测装置2在探测到从攻击数据发送设备或者外部发送的攻击数据时,从攻击数据提取作为用于从在车载网络中发送并用于车辆的控制的数据群中识别攻击数据的信息的攻击数据识别信息,经由桥3发送给数据通信控制装置1。
数据通信控制装置1取得攻击数据识别信息,决定为废弃伴随废弃攻击数据而使车载装置的控制产生不良现象的数据,将废弃该数据的指示发送给桥3。
通过如上所述数据通信控制装置1以及攻击探测装置2发挥功能,车辆控制系统100处置使车辆的动作变得不稳定的攻击。
接下来,说明包含于车辆控制系统100的各构成要素。
数据通信控制装置1指示在车载网络中发送的数据的废弃,由与车载网络连接的ECU构成。
如图1所示,数据通信控制装置1通过通信线6与桥3连接,经由桥3与攻击探测装置2、ECU4、以及传感器5进行数据通信。
以下,参照图2,说明数据通信控制装置1的功能结构。
图2是示出本发明的实施方式1所涉及的数据通信控制装置1的结构的框图。
数据通信控制装置1具备攻击数据信息取得部11、废弃数据决定部12、域构成数据库13、废弃策略数据库14以及数据废弃指示部15。
攻击数据信息取得部11具有从攻击探测装置2取得作为用于从在车载网络中发送并用于车辆的控制的数据群中识别攻击数据的信息的攻击数据识别信息的功能。
攻击数据信息取得部11由存储有用于取得攻击数据识别信息的程序的存储器112或者磁盘(非易失性存储器)114、执行该程序的处理器111以及与桥3连接而能够进行数据通信的网络接口113构成(参照图5)。
攻击数据信息取得部11经由通信线6与桥3连接,经由桥3与攻击探测装置2进行通信。
利用攻击数据信息取得部11的攻击数据识别信息的取得以及输出如下所述进行。
攻击探测装置2监视在车载网络中发送的数据,在探测到攻击数据时,从攻击数据提取攻击数据识别信息,发送给数据通信控制装置1。攻击数据信息取得部11取得从攻击探测装置2发送的攻击数据识别信息。
攻击数据信息取得部11在取得攻击数据识别信息后,向废弃数据决定部12输出攻击数据识别信息。
在此,说明攻击探测装置2从攻击数据提取,攻击数据信息取得部11取得的攻击数据识别信息。
攻击数据识别信息包括与攻击数据的发生源有关的信息以及与攻击数据的用途有关的信息。
在与攻击数据的发生源有关的信息中有2个信息。1个是表示作为发送攻击数据的数据发送设备的攻击数据发送设备的信息(与攻击数据发送设备信息相当)。另1个是表示攻击数据发送设备所属的域的信息(与攻击数据域信息相当)。例如,前者是追加到攻击数据的头的发送源地址,后者是在域内共同地使用的ID(Identifier,标识符)。
另外,与攻击数据的用途有关的信息是指,表示数据的用途、即攻击数据被用于什么样的应用的信息(与攻击数据应用信息相当),例如是表示被用于特定的应用的端口号。
此外,域是指包含于车辆的每个控制系统(驱动系统、车身系统、安全系统等)的ECU4、传感器5的集合。另外,在本实施方式1中,在域内的全部数据中使用共同的ID(VLAN_ID、CAN_ID),1个域与1个ID对应。
接下来,说明废弃数据决定部12。废弃数据决定部12具有使用攻击数据信息取得部11取得的攻击数据识别信息和存储于域构成数据库13以及废弃策略数据库14的信息,将伴随废弃攻击数据而使车载装置的控制产生不良现象的数据决定为作为从车载网络废弃的数据的废弃数据的功能。
废弃数据决定部12由存储有用于决定废弃数据的程序的存储器112或者磁盘114和执行该程序的处理器111构成(参照图5)。
在此,说明用于废弃数据决定部12决定废弃数据的域构成数据库13以及废弃策略数据库14。
域构成数据库13以及废弃策略数据库14由存储器112或者磁盘114构成。
首先,参照图3,说明域构成数据库13存储的信息。图3是示出本发明的实施方式1所涉及的域构成数据库13中存储的数据识别信息的列表的例子的图。
域构成数据库13存储有与在车载网络中发送且处于数据通信控制装置1的控制下的多个数据(与第1数据、第2数据相当)有关的信息。更具体而言,存储有作为用于从由多个数据构成的数据群中识别各数据的信息的数据识别信息(与第1数据识别信息、第2数据识别信息相当)的列表(参照图3)。
上述数据识别信息包括与攻击数据识别信息对应的信息,包括与数据的生成源有关的信息以及与数据的用途有关的信息。
在与数据的生成源有关的信息中有2个信息。1个是表示发送数据的数据发送设备的信息(与第1发送设备信息以及第2发送设备信息相当。在图3中“数据发送设备”的列的信息)。另1个与表示发送数据的数据发送设备所属的域的信息(与第1域信息以及第2域信息相当。在图3中是“标识符”以及“识别值”的列的信息)。例如,前者是追加到数据的头的发送源地址,后者是在域内共同地使用的ID(VLAN_ID或者CAN_ID)。
另外,与数据的用途有关的信息是指,表示数据的用途、即该数据被用于什么样的应用的信息(与第1应用信息以及第2应用信息相当。在图3中是“服务标识符”以及“服务识别值”的列的信息),例如是表示被用于特定的应用的端口号。
另外,对存储于域构成数据库13的数据识别信息分别附加域名(在图3中域A、B以及C)。域名是在域构成数据库13和废弃策略数据库14中共同地使用的各域的名称。
使用图3,更具体地说明存储于域构成数据库13的列表。
在图3的例子中,在列表中,存储有与属于3个域的多个数据对应的数据识别信息。作为域名,将A、B或者C追加到各数据识别信息。以下,沿着图3的列表,说明分别属于域A、B、C的数据的数据识别信息。
属于域A的数据的数据识别信息存储于列表的上段。
作为表示域的信息,标识符是VLAN_ID,识别值为100的数据属于域A。另外,作为表示数据发送设备的信息,数据发送设备为A1的数据以及数据发送设备为A2的数据属于它。
在VLAN_ID为100、且数据发送设备为A1或者A2的数据中,有具有与特定的服务标识符对应的服务识别值的例子。但是,在废弃数据决定部12在属于域A的数据中决定废弃数据时,不使用服务标识符以及服务识别值。因此,在该域A的行中未存储服务标识符以及服务识别值。
综上所述,在列表的上段,存储有具有VLAN_ID为100、且数据发送设备为A1或者A2的数据识别信息的数据属于域A。
属于域B的数据的数据识别信息存储于列表的中段。
作为表示域的信息,标识符为VLAN_ID、且识别值为200的数据属于域B。另外,作为表示数据发送设备的信息,数据发送设备为B1的数据以及数据发送设备为B2的数据属于它。进而,作为表示攻击数据被用于什么样的应用的信息,服务标识符为端口号、且服务识别值为8080的数据属于它。
综上所述,在列表的中段中,存储有具有VLAN_ID为200、且数据发送设备为B1或者B2、且端口号为8080的数据识别信息的数据属于域B。
属于域C的数据的数据识别信息存储于列表的下段。
作为表示域的信息,标识符为CAN_ID、且识别值为200的数据属于域C。另外,作为表示数据发送设备的信息,数据发送设备为C1的数据以及数据发送设备为C2的数据属于它。
与域A的情况同样地,废弃数据决定部12在属于域C的数据中决定废弃的数据时,不使用服务标识符以及服务识别值。因此,在该域C的行中未存储服务标识符以及服务识别值。
综上所述,在列表的下段,存储有具有CAN_ID为200、且数据发送设备为C1或者C2的数据识别信息的数据属于域C。
另外,在各域A、B、C中使用的通信协议的信息也一并地存储于列表。
如以上所述,在域构成数据库13中,存储有数据识别信息,针对数据识别信息表示的数据所属的每个域,分类并存储有各数据识别信息。通过比较攻击数据识别信息和存储于域构成数据库13的数据识别信息,能够判别攻击数据是属于哪个域的数据。
接下来,参照图4,说明废弃策略数据库14存储的信息。图4是示出本发明的实施方式1所涉及的存储于废弃策略数据库14的废弃策略的例子的图。
废弃策略数据库14存储有与存储于域构成数据库13的各域对应的废弃策略。
废弃策略是指,在探测到属于各域的攻击数据的情况下,决定作为废弃对象的废弃数据。
在废弃策略中有3个种类,有在域内探测到攻击数据的情况下,将从域内的所有数据发送设备发送的所有数据作为废弃数据的废弃策略“域”(与第1废弃信息相当)、将从作为攻击数据的发生源的攻击数据发送设备发送的所有数据作为废弃数据的废弃策略“数据发送设备”(与第2废弃信息相当)、以及将从作为攻击数据的发生源的攻击数据发送设备发送的数据中的、被用于与攻击数据相同的用途的数据作为废弃数据的废弃策略“服务”(与第2废弃信息相当)。
关于成为废弃对象的数据的范围,如上所述,废弃策略“域”最大,成为废弃策略“数据发送设备”、废弃策略“服务”的顺序。
具体地说明3个种类的废弃策略。
废弃策略“域”在属于某个域的数据发送设备发送的数据(第1数据)被废弃时在该域的功能中产生不良现象的情况下被设定。即,废弃策略“域”在产生在车载网络中发送的数据群中包含的第1数据以外的其他数据、且使车辆的控制产生不良现象的数据的情况下被设定。
有时将发送上述第1数据的数据发送设备称为第1数据发送设备,将第1数据发送设备所属的域称为第1域。
在此,说明在什么样的情况中在域的功能中产生不良现象。
域是针对车辆的每个控制系统(驱动系统、车身系统、安全系统等)设定的。域的功能是指,被设定域的各控制系统的功能。
域的功能通过一个或者多个车载装置动作来执行。关于这些车载装置的控制,属于域的一个或者多个ECU4进行。
另外,根据域,有通过多个车载装置协作动作,执行控制系统的功能的例子。在这样的域中,与多个车载设备对应的多个ECU4交换表示各个ECU4作为控制对象的车载装置的状态量的数据,并且作为域整体进行适当的控制,执行域的功能。
另一方面,在1个ECU接收的数据作为攻击数据被废弃的情况下,该ECU无法接收正常的数据,所以不仅无法进行适当的控制,而且该ECU生成的表示控制对象的车载装置的状态量的数据也并非适当的数据,接收该数据来进行其他车载设备的控制的其他ECU也无法进行适当的控制。因此,攻击数据的废弃的影响还波及到与由于攻击数据的废弃无法接收正常的数据的ECU协作来进行控制的域内的其他ECU的控制。其结果,在该域的功能中产生不良现象。
如以上所述,在多个车载装置协作而动作的域中,由于攻击数据的废弃,在域的功能中产生不良现象。
如上所述,在伴随域内的数据(第1数据)被废弃而在域的功能中产生不良现象的情况下,将从域内的所有数据发送设备发送的数据(与第1废弃候补数据相当)作为废弃数据的废弃策略“域”被设定到该域。作为废弃数据的第1废弃候补数据是使用第1数据生成的数据。另外,第1废弃候补数据是从域内的所有数据发送设备发送的数据,所以包括与发送第1数据的第1数据发送设备不同的数据发送设备生成的数据。
另外,域内的所有数据是指,从属于该域的所有数据发送设备发送的数据,还包括从这些数据发送设备向该域外发送的数据。
其原因为,关于域不同的车载装置彼此,虽然协作的程度比域内的车载设备彼此小,但存在攻击数据被废弃时的影响还波及到其他域的车载装置的控制的可能性。
接下来,说明废弃策略“数据发送设备”。废弃策略“数据发送设备”在属于某个域的数据(与第2数据相当)被废弃时在该域的功能中不产生不良现象的情况、并且在发送废弃的数据的数据发送设备所属的域进行与车辆的安全性有关的控制的情况下被设定。
有时将发送上述第2数据的数据发送设备称为第2数据发送设备,将第2数据发送设备所属的域称为第2域。
在属于域的数据被废弃时,在域的功能中不产生不良现象的情况是指,车载装置彼此未协作动作而使得执行域的功能的情况。换言之,是在属于域的数据被废弃的时,不产生使车辆的控制产生不良现象的数据(第1废弃候补数据)的情况。
在该情况下,即使攻击数据被废弃,也不会对该域、其他域的功能造成影响,所以只要针对从成为攻击数据的发生源的攻击数据发送设备发送的数据进行处置,则能够降低由于攻击数据引起的对车辆的动作的影响。
在被设定废弃策略“数据发送设备”的域中,将从成为攻击数据的发生源的攻击数据发送设备发送的所有数据作为废弃数据。
作为攻击数据发送设备的ECU4或者传感器5虽然有仅发送1个数据的例子,但还也有发送在不同的用途中使用的多个种类的数据的例子。在探测为多个种类的数据中的1个种类的数据是攻击数据时,作为攻击数据的发生源的攻击数据发送设备存在关于其以外种类的数据也开始发送攻击数据的可能性。在该其他种类的数据被用于与车辆的安全性有关的控制的情况下,需要在开始发送攻击数据之前迅速地应对。因此,不仅是与攻击数据相同的用途的数据,而且将从攻击数据发送设备发送的所有数据也作为废弃数据。
在如上所述被设定废弃策略“数据发送设备”的域中,从攻击数据发送设备发送的所有数据(与第2废弃候补数据相当)设为废弃数据,但并非攻击数据发送设备所属的域内的所有数据发送设备发送的数据(第1废弃候补数据)设为废弃数据。即,在被设定废弃策略“数据发送设备”的域中,除了攻击数据发送设备发送的数据以外,域内的数据发送设备发送的第1废弃候补数据不被废弃,通信被维持。
最后,说明废弃策略“服务”。废弃策略“服务”在属于域(第2域)的数据(第2数据)被废弃时在该域的功能中不产生不良现象的情况、并且发送废弃的数据的数据发送设备(第2数据发送设备)所属的域不进行与车辆的安全性有关的控制的情况下被设定。
在该情况下,即使攻击数据被废弃,也不会对该域、其他域的功能造成影响,所以只要针对从成为攻击数据的发生源的攻击数据发送设备发送的数据进行处置,则能够降低由于攻击数据引起的对车辆的动作的影响。
在被设定废弃策略“服务”的域中,将从成为攻击数据的发生源的攻击数据发送设备发送的数据中的、用途与攻击数据相同的数据作为废弃数据。在作为攻击数据发送设备的ECU4或者传感器5中,还有发送在不同的用途中使用的多个种类的数据的例子,存在不仅是探测到攻击数据的用途的数据,而且关于其他用途的数据也开始发送攻击数据的可能性。但是,在其他用途的数据不对车辆的安全性造成影响等针对车辆的动作的重要性低的情况下,关于其他用途的数据在未探测到攻击数据的状态下无立即处置的必要性。因此,仅将从成为攻击数据的发生源的攻击数据发送设备发送的数据中的、用途与攻击数据相同的数据作为废弃数据。
在如上所述被设定废弃策略“服务”的域中,从攻击数据发送设备发送的数据中的、用途与攻击数据相同的数据(与第2废弃候补数据相当)设为废弃数据,但攻击数据发送设备所属的域内的其他数据发送设备发送的数据(第1废弃候补数据)不设为废弃数据。即,在被设定废弃策略“服务”的域中,除了与攻击数据发送设备发送的攻击数据的用途相同的数据以外,第1废弃候补数据不被废弃,通信被维持。
在此,使用图4,更具体地,说明存储于废弃策略数据库14的废弃策略。
在图4的例子中,在探测到属于域A的攻击数据的情况下,被设定将从作为攻击数据的发生源的攻击数据发送设备发送的数据(第2废弃候补数据)作为废弃数据的废弃策略(第2废弃信息)。在该情况下,即使是相同的域内,从作为攻击数据的发生源的攻击数据发送设备发送的数据以外不成为废弃数据。
在探测到属于域B的攻击数据的情况下,被设定将从作为攻击数据的发生源的攻击数据发送设备发送,服务标识符以及服务识别值与攻击数据相同的数据(第2废弃候补数据)作为废弃数据的废弃策略(第2废弃信息)。在该情况下,即使是相同的域内,从作为攻击数据的发生源的数据发送设备发送,服务标识符以及服务识别值与攻击数据相同的数据以外不成为废弃数据。
在探测到属于域C的攻击数据的情况下,被设定将分类为相同的域的数据(第1废弃候补数据)作为废弃数据的废弃策略(第1废弃信息)。在该情况下,如果是从相同的域内的数据发送设备发送的数据,则不论是从哪一个数据发送设备发送的数据,都作为废弃数据。另外,不论数据的服务标识符或者服务识别值是什么样,都作为废弃数据。
如以上所述,在废弃策略数据库14中,将域和废弃策略对应起来存储。在根据域构成数据库13判别出攻击数据所属的域的情况下,能够根据废弃策略数据库14,决定废弃数据。
此外,域构成数据库13以及废弃策略数据库14与废弃数据存储部相当。
再次,参照图2,进行废弃数据决定部12的说明。
废弃数据决定部12比较从攻击数据信息取得部11输出的攻击数据识别信息和存储于域构成数据库13的数据识别信息。具体而言,废弃数据决定部12检索在存储于域构成数据库13的数据识别信息中,是否有与攻击数据识别信息一致的信息。
在有与攻击数据识别信息一致的数据识别信息的情况下,废弃数据决定部12读出与该数据识别信息对应的域名的信息。
接下来,废弃数据决定部12检索在存储于废弃策略数据库14的域名的信息中,是否有与从域构成数据库13读出的域名一致的信息。在有一致的域名的信息的情况下,从废弃策略数据库14读出与该域名的信息对应的废弃策略。
废弃数据决定部12在废弃策略是域的情况下,决定为废弃作为攻击数据的发生源的数据发送设备所属的域内的所有数据(第1废弃候补数据)。具体而言,在域内使用共同的标识符以及识别值,所以将使用与包含于攻击数据识别信息的标识符以及识别值同样的信息的数据决定为废弃数据。
废弃数据决定部12在废弃策略是数据发送设备的情况下,决定为废弃从作为攻击数据的发生源的攻击数据发送设备发送的所有数据(第2废弃候补数据)。具体而言,将使用与包含于攻击数据识别信息的表示数据发送设备的信息同样的信息的数据决定为废弃数据。
废弃数据决定部12在废弃策略是服务的情况下,决定为废弃从作为攻击数据的发生源的攻击数据发送设备发送的数据中的、与攻击数据的用途相同的用途的数据(第2废弃候补数据)。具体而言,将设定与包含于攻击数据识别信息的表示数据发送设备的信息、服务标识符以及服务识别值同样的信息的数据决定为废弃数据。
废弃数据决定部12将决定为废弃对象的废弃数据输出给数据废弃指示部15。
具体而言,在废弃数据是域内的所有数据(第1废弃候补数据)的情况下,废弃数据决定部12将包含于攻击数据识别信息的标识符以及识别值(例如VLAN_ID及其值),作为表示废弃数据的信息(以下称为废弃数据信息),输出给数据废弃指示部15。
在废弃数据是从攻击数据发送设备发送的所有数据(第2废弃候补数据)的情况下,废弃数据决定部12将包含于攻击数据识别信息的标识符、识别值以及表示数据发送设备的信息(例如发送源地址),作为废弃数据信息,输出给数据废弃指示部15。
在废弃数据是从攻击数据发送设备发送的数据中的、与攻击数据的用途相同的用途的数据(第2废弃候补数据)的情况下,废弃数据决定部12将包含于攻击数据识别信息的标识符、识别值、表示数据发送设备的信息以及表示用途的信息(例如端口号),作为废弃数据信息,输出给数据废弃指示部15。
使用图3的域构成数据库13的例子以及图4的废弃策略数据库14的例子,说明执行废弃数据决定部12的功能的情况的具体例。
说明在攻击数据信息取得部11取得的攻击数据识别信息中,包括VLAN_ID为100、数据发送设备为A1、端口号为1010的信息的情况。
废弃数据决定部12在存储于域构成数据库13的数据识别信息中检索与上述攻击数据识别信息一致的信息,读出与一致的数据识别信息对应起来的域名的信息。在该例子中,在图3的列表的上段记载的域A的数据识别信息和攻击数据识别信息一致,所以读出表示域A的域名的信息。
接下来,废弃数据决定部12在废弃策略数据库14中检索与作为域名的信息的域A一致的信息,读出存储于废弃策略数据库14的与域A对应的废弃策略。在该例子中,读出在图4的列表的上段记载的表示数据发送设备的废弃策略。
废弃数据决定部12由于废弃策略是数据发送设备,所以将从成为攻击数据的发生源的数据发送设备A1发送的数据决定为废弃数据。进而,废弃数据决定部12将表示VLAN_ID为100、且数据发送设备为A1的信息,作为废弃数据信息,输出给数据废弃指示部15。
另外,说明在攻击数据信息取得部11取得的攻击数据识别信息中,包括VLAN_ID为200、数据发送设备为B2、端口号为8080的信息的情况。
废弃数据决定部12在存储于域构成数据库13的数据识别信息中检索与上述攻击数据识别信息一致的信息,读出与一致的数据识别信息对应起来的域名的信息。在该例子中,在图3的列表的中段记载的域B的数据识别信息和攻击数据识别信息一致,所以读出表示域B的域名。
接下来,废弃数据决定部12在废弃策略数据库14中检索与作为域名的信息的域B一致的信息,读出存储于废弃策略数据库14的与域B对应的废弃策略。在该例子中,读出在图4的列表的中段记载的表示服务的废弃策略。
由于废弃策略是服务,所以废弃数据决定部12将从成为攻击数据的发生源的数据发送设备B2发送的数据中的、端口号8080的数据决定为废弃数据。进而,废弃数据决定部12将表示VLAN_ID为200、数据发送设备为B2、端口号为8080的信息,作为废弃数据信息,输出给数据废弃指示部15。
另外,说明在攻击数据信息取得部11取得的攻击数据识别信息中,包括CAN_ID为200、数据发送设备为C1、端口号为8080的信息的情况。
废弃数据决定部12在存储于域构成数据库13的数据识别信息中检索与上述攻击数据识别信息一致的信息,读出与一致的数据识别信息对应起来的域名的信息。在该例子中,在图3的列表的下段记载的域C的数据识别信息和攻击数据识别信息一致,所以读出表示域C的域名。
接下来,废弃数据决定部12在废弃策略数据库14中检索与作为域名的信息的域C一致的信息,读出存储于废弃策略数据库14的与域C对应的废弃策略。在该例子中,读出在图4的列表的下段记载的表示域的废弃策略。
由于废弃策略是域,所以废弃数据决定部12将在该域中共同使用的CAN_ID为200的数据决定为废弃的数据。进而,废弃数据决定部12将表示CAN_ID为200的信息,作为废弃数据信息,输出给数据废弃指示部15。
在该情况下,不仅是从成为攻击数据的发生源的数据发送设备C1发送的数据,而且关于从属于域C的数据发送设备C2发送的数据也成为废弃的数据。
接下来,说明数据废弃指示部15。数据废弃指示部15具有进行从车载网络废弃废弃数据决定部12决定的废弃数据的指示的功能。
数据废弃指示部15由存储有用于进行废弃指示的程序的存储器112或者磁盘114、执行该程序的处理器111、以及能够与桥3连接来进行数据通信的网络接口113构成(参照图5)。
数据废弃指示部15与车载网络的各桥3可通信地连接,将废弃指示发送给各桥3。
在废弃数据决定部12决定废弃数据的情况下,数据废弃指示部15生成废弃数据的命令。将废弃数据信息与生成的命令一起作为废弃指示,发送给各桥3。
废弃数据的命令是使用在车载网络设计时设定的特定的ID的数据。桥3被设定为在接收到使用该特定的ID的数据时开始针对该数据的废弃处理。
数据废弃指示部15在进行废弃指示的情况下,作为命令,发送使用该特定的ID的数据。另外,在数据字段中记录废弃数据信息而发送。
废弃数据信息与废弃数据决定部12生成并输出给数据废弃指示部15的信息相同,具体而言,在废弃策略是域的情况下,是攻击数据的标识符以及识别值,在废弃策略是数据发送设备的情况下,是攻击数据的标识符、识别值以及表示攻击数据发送设备的信息,在废弃策略是服务的情况下,是攻击数据的标识符、识别值、表示攻击数据发送设备的信息、服务标识符以及服务识别值。
再次参照图1。此前,进行作为车辆控制系统100的构成要素的数据通信控制装置1的说明。接下来,说明车辆控制系统100的其他构成要素。
攻击探测装置2探测车载网络的攻击数据。另外,从攻击数据提取攻击数据识别信息,发送给数据通信控制装置1。
攻击探测装置2由ECU构成,经由通信线6与多个桥3可通信地连接。
另外,攻击探测装置2将用于判别在车载网络中发送的正常的数据和攻击数据的判断基准存储为攻击数据探测规则。
攻击数据表示的车辆的状态量以及用户的操作量与正常的状态量等不同,所以能够在无法取正常的状态量的范围设定阈值,用作攻击数据探测规则。另外,在状态量等大幅变化的情况下,也能够判断为正常的数据的发送中断,开始攻击数据的发送,所以能够针对状态量的变化量设定阈值,用作攻击数据探测规则。
除此以外,关于连续地发送表示在正常的状态下无法连续取的状态量的数据的情况、以与由用户实施的正常的操作的周期不同的周期发送表示操作量的数据的情况,这些数据被认为攻击数据,所以也能够用作判断基准。
攻击探测装置2监视经由桥3发送来的、在车载网络中发送的数据。
另外,攻击探测装置2根据攻击数据探测规则,判断在监视的数据中是否包括攻击数据,进行攻击数据的探测。
攻击探测装置2在探测到攻击数据的情况下,从攻击数据提取攻击数据识别信息。攻击数据识别信息包括与攻击数据的发生源有关的信息以及与使用攻击数据的用途有关的信息。攻击探测装置2将提取的攻击数据识别信息发送给数据通信控制装置1。
在此,如在图3的域构成数据库13的列表的例子中也记载的那样,在车载网络中,有根据以太网(Ethernet)的协议作为标识符使用VLAN_ID的域和根据CAN(ControllerArea Network,控制器局域网)的协议作为标识符使用CAN_ID的域。
攻击探测装置2在提取攻击数据识别信息时,辨识各协议的帧构造的差异。
具体而言,在以太网(Ethernet)的帧中,在帧的最初有被称为前导码部的数据区域,在CAN的帧中,在帧的最初有被称为SOF(Start Of Frame,帧开始)的数据区域。这些数据区域分别不同,所以利用其差异,攻击探测装置2辨识各协议的帧构造的差异。
然后,攻击探测装置2从帧的特定的区域取得ID等攻击数据识别信息。
接下来,说明桥3。桥3进行在车载网络中发送的数据的中继。另外,中止成为废弃对象的数据的中继。
代替桥3,还能够使用交换集线器或者网关。
另外,桥3与数据通信控制装置1、攻击探测装置2、ECU4以及传感器5经由通信线6可通信地连接。
桥3中继在ECU4彼此或者在ECU4与传感器5之间发送的数据。另外,为了使攻击探测装置2监视数据,将中继的数据转送给攻击探测装置2。
另外,在数据通信控制装置1决定废弃数据,将废弃该数据的指示发送给各桥3的情况下,在各桥3中,作为不中继的数据的判断条件,设定该数据,中止中继,防止该数据被用于ECU4。
具体而言,桥3如果接收到数据通信控制装置1发送的表示废弃指示的命令以及废弃数据信息,则读取该命令,将废弃数据信息登记到桥3具有的废弃数据的列表(以下称为废弃数据列表)。
桥3在列表内检索中继的数据是否包含于废弃数据列表,在包含于废弃数据列表的情况下,不进行该数据的中继。
在此,本实施方式中的桥3具备为了中止废弃数据的中继,读取中继的数据的各层的头信息的功能。具体而言,桥3在桥3内的存储器或者磁盘中存储有用于读取中继的数据的各层的头信息的程序,通过使桥3内的处理器执行该程序,执行该功能。
例如,在基于TCP/IP协议的帧中,在数据字段之前追加有TCP头,进而在其之前追加有Ethernet头。在TCP头中记录有表示数据的用途的端口号,在Ethernet头中记录有VLAN_ID和发送源MAC(Media Access Control,媒体访问控制)地址。桥3读取这些头信息,检索是否与包含于废弃数据列表的废弃数据的VLAN_ID等一致,在一致的情况下,中止该数据的中继。
接下来,说明ECU4。ECU4根据表示车辆的状态量或者用户的操作量的数据,进行车载装置的控制。另外,生成表示进行控制的车载装置的状态量的数据,发送给其他ECU4。
ECU4经由通信线6与桥3可通信地连接,与其他ECU4或者传感器5进行数据通信。另外,ECU4与搭载于车辆的多个车载装置之一可通信地连接。
ECU4通过从其他ECU4、传感器5接收车辆的状态量等数据,生成用于控制连接的车载装置的控制信号,并发送给车载装置,进行车载装置的控制。
另外,ECU4从车载装置取得其状态量,生成表示车载装置的状态量的数据,发送给其他ECU4。其他ECU4使用该数据,进行其他车载装置的控制。
作为ECU4的例子,有进行作为车载装置的引擎、操舵装置、制动装置、导航装置或者空调器等的控制的例子。
接下来,说明传感器5。传感器5生成表示车辆的状态量的数据或者表示用户的操作量的数据,发送给ECU4。
传感器5经由通信线6与桥3可通信地连接,与ECU4进行数据通信。
传感器5以一定的周期生成表示车辆的状态量的数据等,依次发送给ECU4。另外,还有接收来自ECU4的数据发送指令,生成并发送数据的情况。
作为传感器5的例子,有测定引擎的温度的温度传感器以及探测由用户实施的方向盘的操作量的旋转角传感器等。
此外,图1所示的ECU4以及传感器5被记载为“ECU A1”或者“传感器A2”等。其与图3的域构成数据库13的列表的表示数据发送设备的信息对应。即,图1中的“ECU A1”以及“传感器A2”属于域A,“ECU B1”以及“传感器B2”属于域B,“ECU C1”以及“ECU C2”属于域C。
在图1的例子中,示出与1个桥3连接的ECU4以及传感器5属于同一域的例子,但也可以跨越桥3来设定域。
接下来,说明通信线6。通信线6将从数据通信控制装置1、攻击探测装置2、多个桥3、多个ECU4以及多个传感器5(将它们称为网络构成设备)发送的数据传送给其他网络构成设备。
通信线6有多个,与数据通信控制装置1、攻击探测装置2、多个桥3、多个ECU4、多个传感器5分别连接。
作为通信线6的例子,有总线、LAN(Local Area Network,局域网)电缆等。
另外,通过利用上述通信线6连接网络构成设备之间,构筑车辆控制系统100的车载网络。
在网络构成设备之间,经由通信线6,进行基于CAN或者以太网(Ethernet)等通信协议的数据通信。
此前,进行车辆控制系统100的各构成要素的说明。另外,进行包含于车辆控制系统100的数据通信控制装置1的各构成要素的说明。
接下来,对说明为数据通信控制装置1的构成要素的域构成数据库13中存储的数据识别信息的列表以及废弃策略数据库14中存储的与域对应的废弃策略的制作方法进行说明。
通过使用计算机,虚拟地再现车载网络的通信而进行模拟,比较正常状态下的模拟结果和废弃攻击数据的攻击状态下的模拟结果,来制作数据识别信息的列表以及废弃策略。以下,具体地说明。
在计算机上,设计与实际的车载网络对应的虚拟车载网络,构筑虚拟车辆控制系统。另外,准备车辆实际上动作时的表示车辆的状态量的数据以及表示用户的操作量的数据等在车辆实际上动作时取得或者输入的数据。使用这些数据,使虚拟车辆控制系统虚拟地动作,进行模拟。通过模拟,得到与在构成虚拟车辆控制系统的虚拟ECU、虚拟传感器之间进行的通信内容、发送给虚拟车载装置的控制信号的内容有关的结果。该结果是虚拟车辆控制系统的正常状态下的结果。
另外,假设为作为包含于虚拟车辆控制系统的虚拟ECU或者虚拟传感器的虚拟数据发送设备被非法地改写程序而成为虚拟攻击数据发送设备,开始发送攻击数据,在废弃从虚拟攻击数据发送设备发送的数据(第1数据或者第2数据)的状态下进行模拟。通过模拟,得到与在构成虚拟车辆控制系统的虚拟ECU彼此、或者虚拟ECU与虚拟传感器之间进行的通信内容、发送给虚拟车载装置的控制信号的内容有关的结果。该结果是虚拟车辆控制系统受到攻击,废弃攻击数据的攻击状态下的结果。
通过比较上述正常状态下的结果和攻击状态下的结果,在废弃从虚拟攻击数据发送设备发送的数据(第1数据或者第2数据)的状态下,能够得知在虚拟攻击数据发送设备所属的域的功能中有什么样的影响,能够确认针对该域的功能产生的不良现象。
同样地,关于可能成为虚拟攻击数据发送设备的ECU、传感器各自假设为是虚拟攻击数据发送设备,反复上述模拟,确认针对域的功能产生的不良现象。
具体地说明使用上述模拟的结果的数据识别信息的列表的制作方法。
首先,从作为上述正常状态下的模拟的结果的通信内容,确定在车载网络中发送并用于车辆的控制的多个数据(第1数据以及第2数据)。针对每个域,对与确定的多个数据对应的多个数据识别信息进行分类来列表化。在此,在域内使用共同的标识符以及识别值,所以能够根据标识符以及识别值分类。或者,域是针对车辆的每个控制系统(驱动系统、车身系统、安全系统等)包含的数据发送设备的集合,所以能够将从针对每个控制系统分类的数据发送设备发送的数据分类为属于同一域的数据。
进而,对分类为同一域的数据的数据识别信息附加同一域名而存储到域构成数据库13。
此外,虽然也可以对在车辆的控制中使用的多个数据(第1数据以及第2数据)的全部数据识别信息进行列表化,但在构成数据识别信息的标识符、识别值、数据发送设备、服务标识符或者服务识别值在多个第1数据中共同的情况下,仅存储1个即可。
具体而言,在属于域A的数据有2个,标识符以及识别值共同为VLAN_ID 100,1个第1数据从数据发送设备A1发送,另1个第1数据从数据发送设备A2发送的情况下,如图3的列表的例子,在域A的行中,在标识符的列中将VLAN_ID存储1个,在识别值的列中将100存储1个。另外,在数据发送设备的列中,存储A1以及A2。
接下来,具体地说明针对每个域设定废弃策略的方法。
根据模拟的正常状态的结果和攻击状态的结果的比较,废弃某个数据,在能够确认在该数据所属的域的功能中产生不良现象的情况下,将该数据所属的域的废弃策略设定为域。换言之,作为在攻击数据被废弃的情况下使车辆的控制产生不良现象的数据(第1废弃候补数据),设定属于该域的数据。
在针对列表上的所有域,判断是否将废弃策略作为域之后,关于在废弃策略中未设定域的域,设定废弃策略。
在发送某个数据的数据发送设备属于执行车辆的安全上重要的功能的域的情况下,关于从该数据发送设备发送的被用于其他用途的数据,也优选预先废弃。因此,在未将废弃策略设定为域的域是执行车辆的安全上重要的功能的域的情况下,作为针对该域的废弃策略,设定数据发送设备(第2废弃信息)。
另外,在未将废弃策略设定为域的域是不执行车辆的安全上重要的功能的域的情况下,作为针对该域的废弃策略,设定服务(第2废弃信息)。
如以上所述,制作存储于域构成数据库13的数据识别信息的列表以及存储于废弃策略数据库14的废弃策略。
此外,关于存储于域构成数据库13的数据识别信息的列表以及存储于废弃策略数据库14的废弃策略,除了能够如上所述利用模拟结果来制作以外,还能够根据经验法则,判断是否在车辆的控制中产生不良现象、是否与车辆的安全有关来制作。
接下来,参照图5,说明数据通信控制装置1的硬件结构。
图5是示出用于实现本发明的实施方式1所涉及的数据通信控制装置1的硬件结构的框图。
数据通信控制装置1由ECU构成,具备处理器111、存储器112、网络接口113以及磁盘(非易失性存储器)114。
攻击数据信息取得部11通过处理器111从存储器112或者磁盘114读出并执行用于取得攻击数据识别信息的程序来实现。废弃数据决定部12通过处理器111从存储器112或者磁盘114读出并执行用于决定废弃数据的程序来实现。数据废弃指示部15通过处理器111从存储器112或者磁盘114读出并执行用于发送废弃指示的程序来实现。
另外,通过网络接口113进行利用攻击数据信息取得部11以及数据废弃指示部15的攻击数据识别信息的取得以及废弃指示的发送。
域构成数据库13以及废弃策略数据库14通过在存储器112或者磁盘114中存储数据识别信息的列表以及废弃策略来实现。
接下来,参照图6,说明实施方式1所涉及的数据通信控制装置1的动作。
图6是示出本发明的实施方式1所涉及的数据通信控制装置1的处理的流程图。
数据通信控制装置1的处理在车辆控制系统100的起动时开始。
具体而言,数据通信控制装置1的处理器111在车辆控制系统100的起动时,读出并执行存储于存储器112或者磁盘114的取得攻击数据信息的程序、决定废弃数据的程序、用于发送废弃指示的程序。
攻击数据信息取得部11进行攻击数据识别信息的接收判定(步骤S101),直至接收攻击数据识别信息,反复判定(在步骤S101中“否”的情况)。
具体而言,从攻击探测装置2作为追加有预先决定的特定的ID的数据发送来攻击数据识别信息,所以数据通信控制装置1的处理器111识别发送来的数据的ID,进行攻击数据识别信息的接收判定。
在攻击数据信息取得部11接收到攻击数据识别信息的情况下(在步骤S101中“是”的情况)下,将攻击数据识别信息从攻击数据信息取得部11送到废弃数据决定部12,废弃数据决定部12在存储于域构成数据库13的数据识别信息的列表中,检索与攻击数据识别信息(标识符、识别值、数据发送设备、服务标识符以及服务识别值)一致的信息(步骤S102),判定攻击数据识别信息是否与列表内的数据识别信息的任意信息一致(步骤S103)。
具体而言,数据通信控制装置1的处理器111判定存储于存储器112或者磁盘114的数据识别信息的列表的第1个数据识别信息和攻击数据识别信息是否一致,直至发现一致的数据识别信息,依次判定列表内的数据识别信息。
然后,在一致的情况(在步骤S103中“是”的情况)下,废弃数据决定部12从域构成数据库13读出和与攻击数据识别信息一致的数据识别信息对应的域名(步骤S104)。在攻击数据识别信息与列表内的数据识别信息的哪一个都不一致的情况(在步骤S103中“否”的情况)下,直至再次接收攻击数据识别信息,反复攻击数据识别信息的接收判定(步骤S101)。
具体而言,数据通信控制装置1的处理器111在判定为在存储于存储器112或者磁盘114的数据识别信息的列表中某个数据识别信息与攻击数据识别信息一致的情况下,从存储器112或者磁盘114读出赋予给该数据识别信息的域名。另外,在判定为与哪一个数据识别信息都不一致的情况下,返回到攻击数据识别信息的接收的判定处理。
废弃数据决定部12从废弃策略数据库14检索与在步骤S104中读出的域名一致的信息,读出与一致的域名对应的废弃策略(步骤S105)。
废弃数据决定部12根据读出的废弃策略,决定废弃数据(步骤S106)。
具体而言,数据通信控制装置1的处理器111判定表示存储于存储器112或者磁盘114的废弃策略的列表的第一个域名的信息和表示先读出的域名的信息是否一致,直至发现表示一致的域名的信息,依次判定表示列表内的域名的信息。在发现表示一致的域名的信息的情况下,处理器111从存储器112或者磁盘114读出与表示该域名的信息对应起来的废弃策略。
处理器111在读出废弃策略“域”的情况下,从保持于存储器112或者磁盘114的攻击数据识别信息读出标识符以及识别值,将设定有与它们相同的标识符以及识别值的数据决定为废弃数据。
处理器111在读出废弃策略“数据发送设备”的情况下,从保持于存储器112或者磁盘114的攻击数据识别信息读出标识符、识别值以及表示数据发送设备的信息,将设定有与它们相同的标识符、识别值以及表示数据发送设备的信息的数据决定为废弃数据。
处理器111在读出废弃策略“服务”的情况下,从保持于存储器112或者磁盘114的攻击数据识别信息读出标识符、识别值、表示数据发送设备的信息、服务标识符以及服务识别值,将设定有与它们相同的标识符、识别值、表示数据发送设备的信息、服务标识符以及服务识别值的数据决定为废弃数据。
数据废弃指示部15从废弃数据决定部12取得表示被决定为废弃数据的数据的废弃数据信息,生成废弃指示,发送给桥3(步骤S107)。
具体而言,数据通信控制装置1的处理器111向追加有特定的ID的帧的数据字段,将表示决定的废弃数据的标识符等信息记录为废弃数据信息,生成命令。将该命令从网络接口113发送到桥3。此处所称的特定的ID是为了使桥3将废弃数据废弃而预先决定的ID。
之后,直至再次接收攻击数据识别信息,反复攻击数据识别信息的接收判定(步骤S101)。
接下来,使用图7,说明桥3的处理。图7是示出本发明的实施方式1所涉及的桥的处理的流程图。
桥3在接收从数据通信控制装置1发送的废弃指示的命令,读取ID辨识为废弃指示后,读出包含于废弃指示的命令的废弃数据信息,追加到废弃数据列表。
使用该废弃数据列表,判定桥3是否中继在车载网络中发送的数据,进行中继或者中继中止的处理如下所述。
桥3的进行中继或者中继中止的处理在车辆控制系统100的起动时开始。
桥3判定是否从与自身经由通信线6连接的数据发送设备接收到中继的数据(步骤S111)。在未接收到中继的数据的情况下,直至接收到中继的数据,反复判定处理(在步骤S111中“否”的情况)。
桥3在接收到中继的数据的情况(在步骤S111中“是”的情况)下,开始判定中继的数据是否为与包含于废弃数据列表的废弃数据信息一致的数据的处理(步骤S112至步骤S114)。步骤S112至步骤S114是从废弃数据列表的第一个列表依次判定中继的数据是否为与列表内的废弃数据信息一致的数据的处理(在图7中记载为列表检索循环)。该处理在检索完列表内的所有废弃数据信息时结束。另外,在检索的途中,判定为中继的数据是与废弃数据信息一致的数据的情况下也结束(在步骤S113中“是”的情况)。
桥3判定中继的数据是否为与列表的第一个废弃数据信息一致的数据,在不一致的情况(在步骤S113中“否”的情况)下,关于接下来的废弃数据信息,同样地进行判定处理,将其反复。在中继的数据是与列表的第一个或者第几个废弃数据信息一致的数据的情况(在步骤S113中“是”的情况)下,该中继的数据是废弃数据,所以中止数据的中继(步骤S116)。
另外,桥3在中继的数据与列表内的所有废弃数据信息不一致的数据的情况下,结束循环(步骤S112至步骤S114),进行数据的中继(步骤S115)。
此外,废弃数据信息例如在废弃策略是域的情况下是标识符以及识别值的信息。在中继的数据的标识符以及识别值与作为废弃数据信息的标识符以及识别值一致的情况下,将该中继的数据判定为与废弃数据信息一致的数据。
除此以外,在废弃策略是数据发送设备的情况下,标识符、识别值以及表示数据发送设备的信息是废弃数据信息,在中继的数据的标识符、识别值以及表示数据发送设备的信息一致的情况下,判定为与废弃数据信息一致的数据。在废弃策略是服务的情况下,标识符、识别值、表示数据发送设备的信息、服务标识符以及服务识别值是废弃数据信息,在中继的数据的标识符、识别值、表示数据发送设备的信息、服务标识符以及服务识别值一致的情况下,判定为与废弃数据信息一致的数据。
本发明的实施方式1所涉及的数据通信控制装置1如以上所述构成,起到如下的效果。
数据通信控制装置1存储有表示在车载网络中发送的数据(第1数据)的数据识别信息(第1数据识别信息)。另外,在存储的数据被废弃而该数据所属的域的功能中产生不良现象的情况下,将属于该域的数据预先确定为使车辆的控制产生不良现象的数据(第1废弃候补数据),与数据识别信息对应起来存储。即,将在攻击数据被废弃的情况下使车辆的控制产生不良现象的数据(第1废弃候补数据)存储为第1废弃信息。
另外,数据通信控制装置1在取得攻击数据识别信息的情况下,将与和攻击数据识别信息一致的数据识别信息对应的第1废弃候补数据决定为废弃数据。
由此,即使在攻击数据被废弃而在车辆的控制中产生不良现象的情况下,也能够废弃成为不良现象的原因的数据(第1废弃候补数据)。其结果,能够降低在车辆的控制中产生不良现象的可能性。
另外,数据通信控制装置1在车载网络中发送的数据被废弃的情况下,在域的功能中产生不良现象的情况和在域的功能中不产生不良现象的情况下,设定不同的废弃策略(第1废弃信息以及第2废弃信息)。使用这些废弃策略,在伴随攻击数据的废弃而在域的功能中产生不良现象的情况下,将域内的所有数据作为废弃数据,在伴随攻击数据的废弃而在域的功能中不产生不良现象的情况下,仅将在域内从攻击数据发送设备发送的数据作为废弃数据。
由此,在域的功能中产生不良现象的情况下,废弃成为不良现象的原因的数据而降低产生不良现象的可能性,在域的功能中不产生不良现象的情况下,尽可能维持域内的数据,能够降低由于攻击数据在车辆中产生异常的动作的可能性。
另外,数据通信控制装置1在域的功能中不产生不良现象的情况下,进而设定2个不同的废弃策略(第2废弃信息)。在攻击数据发送设备所属的域具有与车辆的安全性有关的功能的情况下,将攻击数据发送设备发送的所有数据作为废弃数据,在不具有与车辆的安全性有关的功能的情况下,将攻击数据发送设备发送的数据中的、与攻击数据相同的用途的数据作为废弃数据。
由此,能够根据攻击数据的针对车辆的安全性的影响程度,维持正常的数据,能够尽可能维持车辆的动作。
实施方式2
接下来,说明本发明的实施方式2。关于与实施方式1的结构以及动作同样的部分,省略说明,以下说明与实施方式1不同的部分。
在实施方式1中,废弃数据决定部12比较攻击数据信息取得部11取得的攻击数据识别信息和存储于域构成数据库13的数据识别信息的列表,在一致的情况下,读出与一致的数据识别信息对应的废弃策略,决定废弃数据。
但是,攻击数据识别信息由标识符、识别值、数据发送设备、服务标识符以及服务识别值的信息构成,但考虑攻击数据信息取得部11无法获得这些所有信息的情况。例如,考虑在攻击探测装置2从攻击数据提取攻击数据识别信息时产生错误而未取尽所有信息的情况、由于攻击探测装置2的性能上或者功能上的问题未取尽所有信息的情况、在从攻击探测装置2向攻击数据信息取得部11发送攻击数据识别信息时产生通信错误而一部分的信息损坏的情况。
在实施方式2中,废弃数据决定部12即使在如上所述作为攻击数据识别信息未得到标识符、识别值、数据发送设备、服务标识符以及服务识别值的信息中的一部分的信息的情况下,在满足预定的条件的情况下,决定废弃对象的数据。
预定的条件是指,在作为攻击数据识别信息仅得到一部分的信息的情况下,在该一部分的信息中一致的数据识别信息在域构成数据库13中仅有1个的情况。在该情况下,能够一律地决定废弃策略。
另外,在一部分的信息中一致的数据识别信息在域构成数据库13中有多个的情况下与多个数据识别信息对应的废弃策略一致的情况也是同样的。在该情况下,也能够一律地决定废弃策略。
实施方式2所涉及的数据通信控制装置1的装置结构与实施方式1相同,但追加有判定为攻击数据识别信息和存储于域构成数据库13的数据识别信息的列表不一致时的处理(在图6的步骤S103中“否”的情况)。使用图8,说明追加的处理。
图8是示出本发明的实施方式2所涉及的数据通信控制装置的处理的流程图。
从攻击数据识别信息的取得至废弃指示的发送的处理与实施方式1相同(步骤S101~107)。
在攻击数据信息取得部11取得的攻击数据识别信息与存储于域构成数据库13的数据识别信息不完全一致的情况(在步骤S103中“否”的情况)下,废弃数据决定部12进行接下来的处理。在攻击数据识别信息中包括标识符、识别值(在图8中记载为ID)以及数据发送设备的信息的情况下,废弃数据决定部12判定在存储于域构成数据库13的数据识别信息中是否有与攻击数据识别信息的标识符、识别值以及数据发送设备的信息一致的数据识别信息(步骤S201)。
在有与攻击数据识别信息的标识符、识别值以及数据发送设备的信息一致的数据识别信息的情况(在步骤S201中“是”的情况)下,读出与这些数据识别信息对应的域名(步骤S202)。在此,一致的数据识别信息的标识符以及识别值相同,所以域相同,域名共同。因此,也可以读出与一个数据识别信息对应的域名。
进而,废弃数据决定部12从废弃策略数据库14读出与读出的域名对应的废弃策略(步骤S203)。在读出的废弃策略是域(第1废弃信息)或者数据发送设备(第2废弃信息)的情况(在步骤S204中“是”的情况)下,根据该废弃策略,决定废弃数据(步骤S106),将废弃指示发送给桥3(步骤S107)。
另外,在读出的废弃策略并非域或者数据发送设备的情况(在步骤S204中“否”的情况)下,重新接收缺少的攻击数据识别信息,所以返回到步骤S101。
在此,说明尽管攻击数据识别信息仅有一部分,仍能够决定废弃对象的数据的理由。关于攻击数据识别信息,得到直至标识符、识别值以及数据发送设备的信息,但未得到服务标识符以及服务识别值的信息。即,关于攻击数据,根据标识符、识别值以及表示数据发送设备的信息,判明成为发生源的域以及数据发送设备,但用于什么样的用途不明。
废弃数据决定部12仅在废弃策略是域或者数据发送设备的情况下,决定废弃数据。其原因为,在废弃策略是域的情况下,不论是用于什么样的用途的攻击数据,属于域的数据被全部废弃,在废弃策略是数据发送设备的情况下,不论是用于什么样的用途的攻击数据,从同一数据发送设备发送的数据都被废弃。换言之,其原因为,不论服务标识符以及服务识别值什么样,废弃策略都一致,作为废弃对象的数据可一律地决定。
相反,在废弃策略是服务的情况下,根据攻击数据的用途而废弃的数据不同。其原因为,在废弃策略“服务”中,将与攻击数据的用途相同的用途的数据作为废弃数据。因此,在步骤S204中废弃策略是服务的情况下,无法决定废弃数据。
返回到图8,在没有与攻击数据识别信息的标识符、识别值以及数据发送设备的信息一致的数据识别信息的情况(在步骤S201中“否”的情况)下,进入到步骤S205。在攻击数据识别信息中未包括标识符、识别值或者数据发送设备的信息的情况也是同样的。
接下来,在步骤S205中,有与攻击数据识别信息的标识符以及识别值的信息一致的数据识别信息的情况(在步骤S205中“是”的情况)下,读出与这些数据识别信息对应的域名(步骤S206)。在此,一致的数据识别信息的标识符以及识别值相同,所以域相同,域名共同。因此,也可以读出与一个数据识别信息对应的域名。
进而,废弃数据决定部12从废弃策略数据库14读出与读出的域名对应的废弃策略(步骤S207)。在读出的废弃策略是域(第1废弃信息)的情况(在步骤S208中“是”的情况)下,根据该废弃策略,决定废弃数据(步骤S106),将废弃指示发送给桥3(步骤S107)。
另外,在读出的废弃策略并非域的情况(在步骤S208中“否”的情况)下,重新接收缺少的攻击数据识别信息,所以返回到步骤S101。
在攻击数据识别信息中未包括标识符或者识别值的信息的情况下,相当于没有与攻击数据识别信息的标识符以及识别值的信息一致的数据识别信息的情况,所以在步骤S205中成为“否”,重新接收缺少的攻击数据识别信息,所以返回到步骤S101。
尽管攻击数据识别信息仅有一部分,仍能够决定废弃对象的数据的理由与前述的理由相同。关于攻击数据,得到直至标识符以及识别值的信息,但未得到数据发送设备、服务标识符以及服务识别值的信息。即,关于攻击数据,根据标识符和识别值,判明成为发生源的域,但从哪个数据发送设备发送,用于什么样的用途不明。
废弃数据决定部12仅在废弃策略是域的情况下,决定作为废弃对象的数据。其原因为,在废弃策略是域的情况下,如果是相同的域内,则废弃从所有数据发送设备发送的数据,不论是用于什么样的用途的攻击数据,都废弃。换言之,其原因为,不论是数据发送设备、服务标识符以及服务识别值什么样,废弃策略都一致,废弃数据可一律地决定。
相反,在废弃策略是数据发送设备或者服务的情况下,根据作为攻击数据的发生源的数据发送设备或者攻击数据的用途而废弃数据不同。其原因为,关于废弃策略“数据发送设备”,将从作为攻击数据的发生源的数据发送设备发送的数据作为废弃数据。另外,其原因为,关于废弃策略“服务”,将与攻击数据的用途相同的用途的数据作为废弃数据。因此,在步骤S208中,在废弃策略是数据发送设备或者服务的情况下,无法决定废弃数据。
本发明的实施方式2所涉及的数据通信控制装置1构成为如以上所述进行处理,起到如下的效果。
在本发明的实施方式2所涉及的数据通信控制装置1中,即使在攻击数据信息取得部11取得的攻击数据识别信息的一部分中有缺少的情况下,在和与一部分缺少的攻击数据识别信息一致的数据识别信息对应起来的废弃策略决定为1个的情况下,能够决定废弃对象的数据。
由此,即使在攻击数据识别信息的一部分缺少的情况下,也能够降低由于废弃攻击数据引起的对车辆的控制的影响。
实施方式3
接下来,说明本发明的实施方式3。关于与实施方式1的结构以及动作同样的部分,省略说明,以下说明与实施方式1不同的部分。
此外,还能够与实施方式2组合使用实施方式3。
在实施方式1中,桥3接收数据通信控制装置1发送的废弃指示,桥3监视在中继的数据中是否包括废弃对象的数据,在探测到废弃对象的数据时,中止该数据的中继。
另一方面,在实施方式3中,代替利用桥3的废弃对象的数据废弃,设置于各ECU34以及各传感器35的通信控制部36中止利用各ECU34以及各传感器35的废弃对象的数据发送,削减在车载网络上发送的数据量。
图9是示出本发明的实施方式3所涉及的车辆控制系统300的结构的框图。
数据通信控制装置31与实施方式1同样地决定废弃数据,进行废弃指示,但发送废弃指示的对象与实施方式1不同,将设置于各ECU34以及各传感器35的通信控制部36作为发送对象。
通信控制部36由ECU内的、存储有用于废弃数据的程序的存储器或者磁盘、执行该程序的处理器以及接收来自数据通信控制装置31的废弃指示的网络接口构成。
通信控制部36在接收到数据通信控制装置31发送的废弃指示时,控制从自身被设置的ECU34或者传感器35发送的数据的生成或者发送,使ECU34或者传感器35中止废弃对象的数据的生成或者发送。
具体而言,通信控制部36存储有作为表示自身被设置的ECU34或者传感器35向车载网络发送的数据的信息的发送数据识别信息,如果接收到数据通信控制装置31发送的表示废弃指示的命令和废弃数据信息,则读取该命令,检索与废弃数据信息一致的发送数据识别信息。
如果有与废弃数据信息一致的发送数据识别信息,则通信控制部36使针对一致的发送数据识别信息表示的数据的利用ECU34或者传感器35的生成处理或者发送处理中止。
本发明的实施方式3所涉及的车辆控制系统300如以上所述构成,起到如下的效果。
在本发明的实施方式3所涉及的车辆控制系统300中,设置于各ECU34以及各传感器35的通信控制部36进行废弃对象的数据废弃。由此,在从ECU34或者传感器35向桥3发送废弃数据之前,在ECU34或者传感器35内被废弃,所以相比于如实施方式1在桥3中将废弃对象的数据废弃的情况,能够削减在车载网络上发送的数据量,能够抑制车载网络的频带压迫。
此外,在本发明的实施方式3中,示出设置于ECU34以及传感器35的通信控制部36废弃废弃数据的例子,但也可以构成为除了ECU34以及传感器35中的废弃以外,还如实施方式1那样桥3中止废弃数据的中继。在这样构成的情况下,也可以不是在所有ECU34或者传感器35中设置通信控制部36。
另外,在本发明的实施方式3中,在各ECU34以及各传感器35中设置有通信控制部36,但也可以代替其,在与多个ECU34或者传感器35连接,中继与桥3的通信的集线器中设置通信控制部。在这样构成的情况下,也可以不是在所有ECU34以及传感器35中设置通信控制部36。
以下,示出上述实施方式1至3的变形例。
在上述实施方式1至3中,在数据通信控制装置1以及数据通信控制装置31决定的废弃数据中还包括攻击数据。因此,未个别地进行废弃攻击数据的指示,但也可以在攻击探测装置2探测到攻击数据时,攻击探测装置2发送攻击数据的废弃指示。由此,不等待利用数据通信控制装置1以及数据通信控制装置31的废弃对象的数据决定,而能够废弃攻击数据。
在上述实施方式1至3中,数据通信控制装置1以及数据通信控制装置31由ECU构成,但也可以构成为在其他网络构成设备中附加数据通信控制装置1、31的功能。此时,也可以将数据通信控制装置1、31的功能制作为程序,存储到网络构成设备并执行。
此外,在图1至图9中,同一符号表示同一或者相当的部分。
产业上的可利用性
本发明所涉及的数据通信控制装置、数据通信控制程序以及车辆控制系统能够在针对向车载网络的攻击的安全的领域中利用。
Claims (11)
1.一种数据通信控制装置,其特征在于,具备:
攻击数据信息取得部,在由在车载网络中发送并用于车辆的控制的多个数据构成的数据群中探测到引起所述车辆的异常动作的攻击数据的情况下,取得作为用于从所述数据群中识别所述攻击数据的信息的攻击数据识别信息;
废弃数据存储部,存储作为用于从所述数据群中识别包含于所述数据群、从第1数据发送设备发送的第1数据的信息的第1数据识别信息,将作为表示第1废弃候补数据的信息的第1废弃信息与所述第1数据识别信息对应起来存储,所述第1废弃候补数据为在所述第1数据被废弃的情况下在所述车辆的控制中产生不良现象的数据;
废弃数据决定部,在所述攻击数据信息取得部取得所述攻击数据识别信息的情况下、且在所述第1数据识别信息与所述攻击数据识别信息一致的情况下,从所述废弃数据存储部读出和所述第1数据识别信息对应起来的所述第1废弃信息,将所述第1废弃信息表示的所述第1废弃候补数据决定为作为从所述车载网络废弃的数据的废弃数据;以及
数据废弃指示部,发送从所述车载网络废弃所述废弃数据决定部决定的所述废弃数据的指示,
包含所述第1数据发送设备的多个数据发送设备所属的第1域是在所述第1数据被废弃的情况下在域的功能中产生不良现象的域,
所述第1废弃信息是表示从属于所述第1域的所有所述数据发送设备发送的数据的信息。
2.根据权利要求1所述的数据通信控制装置,其特征在于,
所述废弃数据存储部存储作为用于从所述数据群中识别包含于所述数据群、从第2数据发送设备发送的第2数据的信息的第2数据识别信息,将作为表示第2废弃候补数据的信息的第2废弃信息与所述第2数据识别信息对应起来存储,所述第2废弃候补数据为在所述第2数据被废弃的情况下在所述车辆的控制中产生不良现象的数据,
所述废弃数据决定部在所述攻击数据信息取得部取得所述攻击数据识别信息的情况下、且在所述攻击数据识别信息和所述第2数据识别信息一致的情况下,从所述废弃数据存储部读出与所述第2数据识别信息对应起来的所述第2废弃信息,将所述第2废弃信息表示的数据决定为所述废弃数据,
包含所述第2数据发送设备的多个数据发送设备所属的第2域是在所述第2数据被废弃的情况下在域的功能中不产生不良现象的域,
所述第2废弃信息是表示从属于所述第2域的数据发送设备中的、所述第2数据发送设备发送的数据的信息。
3.根据权利要求2所述的数据通信控制装置,其特征在于,
在所述第2域具有与所述车辆的安全性有关的功能的情况下,所述第2废弃信息是表示所述第2数据发送设备发送的所有数据的信息,在所述第2域不具有与所述车辆的安全性有关的功能的情况下,所述第2废弃信息是表示所述第2数据发送设备发送的数据中的、以与所述第2数据的用途共同的用途使用的数据的信息。
4.根据权利要求2或者3所述的数据通信控制装置,其特征在于,
所述第1数据识别信息包括作为表示所述第1数据发送设备的信息的第1发送设备信息、作为表示所述第1域的信息的第1域信息以及作为表示所述第1数据的用途的信息的第1应用信息,
所述第2数据识别信息包括作为表示所述第2数据发送设备的信息的第2发送设备信息、作为表示所述第2域的信息的第2域信息、以及作为表示所述第2数据的用途的信息的第2应用信息,
所述攻击数据识别信息包括作为表示攻击数据发送设备的信息的攻击数据发送设备信息、作为表示所述攻击数据发送设备所属的域的信息的攻击数据域信息以及作为表示所述攻击数据的用途的信息的攻击数据应用信息,所述攻击数据发送设备为发送所述攻击数据的数据发送设备,
所述废弃数据决定部在包括与所述攻击数据域信息一致的所述第1域信息的所述第1数据识别信息存储于所述废弃数据存储部的情况下,读出所述第1废弃信息,将所述第1废弃信息表示的所述第1废弃候补数据决定为所述废弃数据,所述攻击数据域信息是所述攻击数据信息取得部作为所述攻击数据识别信息的一部分而取得的。
5.根据权利要求1所述的数据通信控制装置,其特征在于,
所述第1废弃候补数据是使用所述第1数据生成的数据。
6.根据权利要求1所述的数据通信控制装置,其特征在于,
所述第1废弃候补数据是与发送所述第1数据的数据发送设备不同的数据发送设备生成的数据。
7.一种数据通信控制装置,其特征在于,具备:
废弃数据存储部,针对每个域存储预先设定的废弃策略,所述每个域为每个车辆的控制系统中包含的数据发送设备的集合;
废弃数据决定部,在各域内探测到引起所述车辆的异常动作的攻击数据的情况下,根据所述废弃策略,将伴随废弃攻击数据而在车载装置的控制中产生不良现象的数据决定为作为废弃对象的废弃数据;以及
数据废弃指示部,发送从车载网络废弃所述废弃数据决定部决定的所述废弃数据的指示,
所述废弃策略是在探测到属于各域的所述攻击数据的情况下决定作为废弃对象的所述废弃数据,
所述废弃数据存储部在所述攻击数据被废弃的情况下在域的功能中产生不良现象的域和在域的功能中不产生不良现象的域中,存储不同的废弃策略。
8.根据权利要求7所述的数据通信控制装置,其特征在于,
所述废弃数据存储部作为所述废弃策略存储“域”、“数据发送设备”、“服务”,
作为所述废弃策略之一的“域”在所述攻击数据被废弃了时在发送所述攻击数据的数据发送设备所属的域的功能中产生不良现象的情况下被设定,将从发送所述攻击数据的数据发送设备所属的域中包含的所有数据发送设备发送的数据决定为所述废弃数据,
作为所述废弃策略之一的“数据发送设备”在所述攻击数据被废弃了时在发送所述攻击数据的数据发送设备所属的域的功能中不产生不良现象的情况下、且在发送所述攻击数据的数据发送设备所属的域进行与车辆的安全性有关的控制的情况下被设定,将从发送所述攻击数据的数据发送设备发送的所有数据决定为所述废弃数据,
作为所述废弃策略之一的“服务”在所述攻击数据被废弃了时在发送所述攻击数据的数据发送设备所属的域的功能中不产生不良现象的情况下、且在发送所述攻击数据的数据发送设备所属的域不进行与车辆的安全性有关的控制的情况下被设定,将从发送所述攻击数据的数据发送设备发送的数据中的、以与所述攻击数据相同用途使用的数据决定为所述废弃数据。
9.根据权利要求8所述的数据通信控制装置,其特征在于,
还具备攻击数据信息取得部,该攻击数据信息取得部在由在车载网络中发送并用于所述车辆的控制的多个数据构成的数据群中探测到所述攻击数据的情况下,取得作为用于从所述数据群中识别所述攻击数据的信息的攻击数据识别信息,
所述废弃数据存储部存储用于从所述数据群中识别各数据的数据识别信息的列表,
所述攻击数据识别信息包括作为表示攻击数据发送设备的信息的攻击数据发送设备信息、作为表示所述攻击数据发送设备所属的域的信息的攻击数据域信息以及作为表示所述攻击数据的用途的信息的攻击数据应用信息,所述攻击数据发送设备为发送所述攻击数据的数据发送设备,
在所述攻击数据信息取得部仅取得所述攻击数据识别信息中的所述攻击数据域信息而未能取得所述攻击数据发送设备信息和所述攻击数据应用信息的情况下,所述废弃数据决定部从所述列表读出包含与所述攻击数据域信息一致的域信息的所述数据识别信息,在读出的所述数据识别信息表示的域中设定的所述废弃策略是“域”的情况下,根据所述废弃策略“域”决定所述废弃数据。
10.一种非易失性存储器,记录有数据通信控制程序,其特征在于,该数据通信控制程序使与车载网络连接的网络构成设备作为如下部件发挥功能:
攻击数据信息取得部,在由在所述车载网络中发送并用于车辆的控制的多个数据构成的数据群中探测到引起所述车辆的异常动作的攻击数据的情况下,取得作为用于从所述数据群中识别所述攻击数据的信息的攻击数据识别信息;
废弃数据存储部,存储作为用于从所述数据群中识别包含于所述数据群、从第1数据发送设备发送的第1数据的信息的第1数据识别信息,将作为表示第1废弃候补数据的信息的第1废弃信息与所述第1数据识别信息对应起来存储,所述第1废弃候补数据为在所述第1数据被废弃的情况下在所述车辆的控制中产生不良现象的数据;
废弃数据决定部,在所述攻击数据信息取得部取得所述攻击数据识别信息的情况下、且在所述第1数据识别信息与所述攻击数据识别信息一致的情况下,从所述废弃数据存储部读出和所述第1数据识别信息对应起来的所述第1废弃信息,将所述第1废弃信息表示的所述第1废弃候补数据决定为作为从所述车载网络废弃的数据的废弃数据;以及
数据废弃指示部,发送从所述车载网络废弃所述废弃数据决定部决定的所述废弃数据的指示,
包含所述第1数据发送设备的多个数据发送设备所属的第1域是在所述第1数据被废弃的情况下在域的功能中产生不良现象的域,
所述第1废弃信息是表示从属于所述第1域的所有数据发送设备发送的数据的信息。
11.一种车辆控制系统,其特征在于,具备:
权利要求1所述的所述数据通信控制装置;以及
数据发送设备,设置于所述车载网络,接收所述第1数据而发送所述第1废弃候补数据,
所述数据通信控制装置的所述数据废弃指示部向所述数据发送设备发送废弃所述废弃数据的所述指示,所述数据发送设备在从所述数据废弃指示部接收到所述指示的情况下中止向所述车载网络发送所述废弃数据。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2018/021135 WO2019229969A1 (ja) | 2018-06-01 | 2018-06-01 | データ通信制御装置、データ通信制御プログラムおよび車両制御システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112204926A CN112204926A (zh) | 2021-01-08 |
| CN112204926B true CN112204926B (zh) | 2022-03-04 |
Family
ID=68697949
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880093749.1A Active CN112204926B (zh) | 2018-06-01 | 2018-06-01 | 数据通信控制装置、非易失性存储器以及车辆控制系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20210021618A1 (zh) |
| JP (1) | JP6628005B1 (zh) |
| CN (1) | CN112204926B (zh) |
| DE (1) | DE112018007548B4 (zh) |
| WO (1) | WO2019229969A1 (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101656729A (zh) * | 2008-08-21 | 2010-02-24 | 通用汽车环球科技运作公司 | 用于资源约束系统的自适应数据校验 |
| CN103841198A (zh) * | 2014-03-07 | 2014-06-04 | 中南大学 | 一种净室云计算数据处理方法及系统 |
| CN106647724A (zh) * | 2017-02-15 | 2017-05-10 | 北京航空航天大学 | 一种基于车辆异常数据监测的t‑box信息安全检测及防护方法 |
| CN106650505A (zh) * | 2016-12-28 | 2017-05-10 | 北京奇虎科技有限公司 | 一种车辆攻击检测方法和装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5522160B2 (ja) * | 2011-12-21 | 2014-06-18 | トヨタ自動車株式会社 | 車両ネットワーク監視装置 |
| JP6573819B2 (ja) | 2015-01-20 | 2019-09-11 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム |
| US11115433B2 (en) * | 2015-06-29 | 2021-09-07 | Argus Cyber Security Ltd. | System and method for content based anomaly detection in an in-vehicle communication network |
| US10931635B2 (en) * | 2017-09-29 | 2021-02-23 | Nec Corporation | Host behavior and network analytics based automotive secure gateway |
| JP7225948B2 (ja) * | 2019-03-11 | 2023-02-21 | 株式会社オートネットワーク技術研究所 | 代替装置、代替制御プログラム及び代替方法 |
-
2018
- 2018-06-01 JP JP2019516551A patent/JP6628005B1/ja active Active
- 2018-06-01 WO PCT/JP2018/021135 patent/WO2019229969A1/ja active Application Filing
- 2018-06-01 DE DE112018007548.6T patent/DE112018007548B4/de active Active
- 2018-06-01 CN CN201880093749.1A patent/CN112204926B/zh active Active
-
2020
- 2020-09-25 US US17/032,618 patent/US20210021618A1/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101656729A (zh) * | 2008-08-21 | 2010-02-24 | 通用汽车环球科技运作公司 | 用于资源约束系统的自适应数据校验 |
| CN103841198A (zh) * | 2014-03-07 | 2014-06-04 | 中南大学 | 一种净室云计算数据处理方法及系统 |
| CN106650505A (zh) * | 2016-12-28 | 2017-05-10 | 北京奇虎科技有限公司 | 一种车辆攻击检测方法和装置 |
| CN106647724A (zh) * | 2017-02-15 | 2017-05-10 | 北京航空航天大学 | 一种基于车辆异常数据监测的t‑box信息安全检测及防护方法 |
Non-Patent Citations (1)
| Title |
|---|
| 《大数据时代的数据安全》;张静;《软件和集成电路》;20170805(第8期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2019229969A1 (ja) | 2020-06-25 |
| JP6628005B1 (ja) | 2020-01-08 |
| US20210021618A1 (en) | 2021-01-21 |
| DE112018007548B4 (de) | 2021-07-08 |
| WO2019229969A1 (ja) | 2019-12-05 |
| CN112204926A (zh) | 2021-01-08 |
| DE112018007548T5 (de) | 2021-01-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11599349B2 (en) | Gateway device, in-vehicle network system, and firmware update method | |
| CN107925600B (zh) | 安全处理方法以及服务器 | |
| JP6629999B2 (ja) | セキュアロックダウンを実装するように構成された関連装置を有する特別にプログラムされたコンピューティングシステムおよびその使用方法 | |
| CN112437056B (zh) | 安全处理方法以及服务器 | |
| US11842185B2 (en) | Gateway device, in-vehicle network system, and firmware update method | |
| US20140036693A1 (en) | Communication system and communication method | |
| US11063908B2 (en) | On-vehicle communication device, communication control method, and communication control program | |
| JP2019008618A (ja) | 情報処理装置、情報処理方法及びプログラム | |
| JP7485110B2 (ja) | 代替装置、代替制御プログラム及び代替方法 | |
| US11558404B2 (en) | On-board communication system, switching device, verification method, and verification program | |
| CN112204926B (zh) | 数据通信控制装置、非易失性存储器以及车辆控制系统 | |
| US7729825B2 (en) | System and method of intelligent agent management using an agent interface for use in vehicle diagnostics | |
| JP2021060778A (ja) | 制御装置および制御方法 | |
| CN116300804A (zh) | 远程诊断方法、装置、电子设备及计算机可读存储介质 | |
| US20230006860A1 (en) | Determination device, determination program, and determination method | |
| US20230267206A1 (en) | Mitigation of a manipulation of software of a vehicle | |
| WO2021205633A1 (ja) | 制御装置および制御方法 | |
| US20230267213A1 (en) | Mitigation of a manipulation of software of a vehicle | |
| WO2023238444A1 (ja) | 監視装置及び監視方法 | |
| US20230267204A1 (en) | Mitigating a vehicle software manipulation | |
| WO2022168453A1 (ja) | 車両制御システム、車両制御システムの制御方法及びプログラム | |
| WO2021019636A1 (ja) | セキュリティ装置、インシデント対応処理方法、プログラム、及び記憶媒体 | |
| CN117724734A (zh) | 更新用于减轻软件操纵的设备中的软件的计算机实现的方法 | |
| JP2023121634A (ja) | 運行管理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |