DE112018007548B4 - Datenkommunikationssteuerungseinrichtung, Datenkommunikationssteuerprogramm und Datensteuerungssystem - Google Patents

Datenkommunikationssteuerungseinrichtung, Datenkommunikationssteuerprogramm und Datensteuerungssystem Download PDF

Info

Publication number
DE112018007548B4
DE112018007548B4 DE112018007548.6T DE112018007548T DE112018007548B4 DE 112018007548 B4 DE112018007548 B4 DE 112018007548B4 DE 112018007548 T DE112018007548 T DE 112018007548T DE 112018007548 B4 DE112018007548 B4 DE 112018007548B4
Authority
DE
Germany
Prior art keywords
data
discard
information
attack
domain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE112018007548.6T
Other languages
English (en)
Other versions
DE112018007548T5 (de
Inventor
Masaki Tanaka
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of DE112018007548T5 publication Critical patent/DE112018007548T5/de
Application granted granted Critical
Publication of DE112018007548B4 publication Critical patent/DE112018007548B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Abstract

Datenkommunikationssteuerungseinrichtung, umfassend:einen Angriffsdateninformationen-Erwerbungsteil (11), um, wenn Angriffsdaten in einer Datengruppe detektiert werden, die aus einer Vielzahl von einzelnen Daten gebildet ist, die in einem fahrzeuginternen Netzwerk zur Verwendung bei der Steuerung eines Fahrzeugs übertragen werden, wobei die Angriffsdaten bewirken, dass in dem Fahrzeug anormaler Betrieb auftritt, Angriffsdaten-Identifikationsinformationen, die Informationen sind zum Identifizieren der Angriffsdaten aus der Datengruppe, zu erwerben;einen Verwerfungsdaten-Speicherteil, um erste Datenidentifikationsinformationen, die Informationen sind zum Identifizieren, aus der Datengruppe, erster Daten, die in der Datengruppe enthalten sind, zu speichern, wobei die ersten Daten von einem ersten Datenübertrager übertragen werden, und um erste Verwerfungsinformationen in Assoziation mit den ersten Datenidentifikationsinformationen zu speichern, wobei die ersten Verwerfungsinformationen Informationen sind, angebend erste Verwerfungskandidatendaten, die Daten sind, die bewirken, dass Probleme bei der Steuerung des Fahrzeugs auftreten, wenn die ersten Daten verworfen sind;einen Verwerfungsdaten-Bestimmungsteil (12), um, wenn der Angriffsdateninformationen-Erwerbungsteil (11) die Angriffsdaten-Identifikationsinformation erwirbt und wenn die Angriffsdaten-Identifikationsinformationen mit den ersten Datenidentifikationsinformationen übereinstimmen, aus dem Verwerfungsdaten-Speicherteil die ersten Verwerfungsinformationen, die mit den ersten Datenidentifikationsinformationen assoziiert sind, auszulesen und um die ersten Verwerfungskandidatendaten, die durch die ersten Verwerfungsinformationen angegeben sind, zu bestimmen als Verwerfungsdaten, die Daten sind, die aus dem fahrzeuginternen Netzwerk zu verwerfen sind; undeinen Datenverwerfung-Anweisungssteil (15), um eine Anweisung zum Verwerfen der durch den Verwerfungsdaten-Bestimmungsteil (12) bestimmten Verwerfungsdaten aus dem fahrzeuginternen Netzwerk zu übertragen, wobeieine erste Domäne, zu der eine Vielzahl von Datenübertragern enthaltend den ersten Datenübertrager gehört, eine Domäne ist, die bewirkt, dass in einer Funktion der Domäne Probleme auftreten, wenn die ersten Daten verworfen werden, unddie ersten Verwerfungsinformationen Informationen sind, die Daten angeben, die von allen Datenübertragern, die zu der ersten Domäne gehören, übertragen werden.

Description

  • Gebiet der Technik
  • Die vorliegende Erfindung betrifft Datenkommunikationssteuerungseinrichtungen, Datenkommunikationssteuerungsprogramme und Fahrzeugsteuerungssysteme, die Datenkommunikation in einem fahrzeuginternen Netzwerk steuern, wenn Angriffsdaten in dem fahrzeuginternen Netzwerk erfasst werden.
  • Hintergrund zum Stand der Technik
  • Ein Fahrzeug umfasst eine Vielzahl von fahrzeuginternen Einrichtungen wie den Motor und die Lenkeinrichtung und eine Vielzahl von ECUs (Electronic Control Units = Elektronische Steuerungseinheiten) zum Steuern der fahrzeuginternen Einrichtungen. Die fahrzeuginternen Einrichtungen sind jeweils mit einer der Vielzahl von ECUs kommunizierend verbunden. Außerdem umfasst das Fahrzeug eine Vielzahl von Sensoren, und die Vielzahl von Sensoren und die Vielzahl von ECUs sind über ein fahrzeuginternes Netzwerk verbunden.
  • Die ECU empfängt Daten, die eine durch einen Sensor generierte Fahrzeugzustandsgröße oder eine Benutzeroperationsgröße angeben, generiert ein Steuerungssignal, das der durch die Daten angegebenen Zustandsgröße oder den Operationsgröße entspricht, und steuert die mit der ECU verbundene fahrzeuginterne Einrichtung. Außerdem generiert die ECU Daten, die eine Zustandsgröße der fahrzeuginternen Einrichtung angeben, als ein Steuerungsziel zur Übertragung an eine andere ECU. Auf Grundlage dieser Daten steuert die andere ECU eine andere fahrzeuginterne Einrichtung.
  • Gleichzeitig wird darauf hingewiesen, dass die Möglichkeit eines Angriffs besteht, der bewirken kann, dass eine fahrzeuginterne Einrichtung anormalen Betrieb durchführt, um den Betrieb des Fahrzeugs instabil zu machen. Dieser Angriff wird durchgeführt, indem ein Programm eines Sensors oder einer ECU in ein nicht autorisiertes Programm umgeschrieben wird. Hier wird der Sensor oder die ECU, dessen Programm in ein nicht autorisiertes Programm umgeschrieben wurde, als ein Angriffsdatenübertrager bezeichnet.
  • Der Angriffsdatenübertrager generiert als Daten, die bewirken, dass die fahrzeugintern Einrichtung anormalen Betrieb durchführt (im Folgenden als Angriffsdaten bezeichnet), anormale Daten, die eine Zustandsgröße angeben, die sich von einer normalen Fahrzeugzustandsgröße oder einer normalen Zustandsgröße der fahrzeuginternen Einrichtung als ein Steuerungsziel für die Übertragung an die ECU unterscheidet. Außerdem generiert dieser anormale Daten, die eine Betriebsgröße angeben, die sich von einer normalen Benutzeroperationsgröße für die Übertragung an die ECU unterscheidet. Die ECU, die die Angriffsdaten empfangen hat, generiert auf Grundlage dieser Angriffsdaten ein anormales Steuerungssignal und die fahrzeuginterne Einrichtung führt anormalen Betrieb auf Grundlage des anormalen Steuerungssignals durch.
  • Gegen Angriffe wie oben beschrieben gibt es eine Angriffsdatenverwerfungseinrichtung, die Angriffsdaten, die in einem fahrzeuginternen Netzwerk übertragen werden, erfasst und verwirft (Patentliteratur 1). Die Angriffsdatenverwerfungseinrichtung ist mit dem fahrzeuginternen Netzwerk verbunden, um in dem fahrzeuginternen Netzwerk übertragene Daten zu überwachen. Außerdem speichert die Angriffsdatenverwerfungseinrichtung eine Angriffsdatenerfassungsregel zum Unterscheiden zwischen normalen Daten und Angriffsdaten, und bestimmt auf Grundlage der Angriffsdatenerfassungsregel, ob es sich bei den im fahrzeuginternen Netzwerk übertragenen Daten um Angriffsdaten handelt, um die Angriffsdaten zu erfassen und zu verwerfen.
  • Liste zitierter Schriften
  • Patentliteratur
  • Patentliteratur 1: JP 2016-134914 A
  • Kurzfassung der Erfindung
  • Technische Aufgabe
  • Die Angriffsdatenverwerfungseinrichtung von Patentliteratur 1 erfasst und verwirft Angriffsdaten in Daten, die in dem fahrzeuginternen Netzwerk übertragen werden, auf Grundlage der gespeicherten Angriffsdatenerfassungsregel.
  • Wenn die Angriffsdaten durch Verwendung dieser Angriffsdatenverwerfungseinrichtung erfasst und verworfen werden, ist es möglich, anormalen Betrieb der fahrzeuginternen Einrichtung aufgrund der Verwendung dieser Angriffsdaten zu verhindern. Aber selbst wenn die Angriffsdaten verworfen werden, kann die ECU normale Daten nicht empfangen, von denen angenommen wird, von dem Angriffsdatenübertrager ursprünglich übertragen worden zu sein, und kann möglicherweise keine angemessene Steuerung über die fahrzeuginterne Einrichtung durchführen, da normale Daten nicht empfangen werden können.
  • Außerdem generiert die ECU Daten, die eine Zustandsgröße der fahrzeuginternen Einrichtung angeben, die zur Übertragung an eine andere ECU nicht angemessen gesteuert wird. Unter Verwendung dieser Daten steuert die andere ECU eine andere fahrzeuginterne Einrichtung. Somit kann auch die andere fahrzeuginterne Einrichtung nicht angemessen gesteuert werden.
  • Wie oben beschrieben, gibt es ein Problem, bei dem selbst dann, wenn die Angriffsdaten auf das fahrzeuginterne Netzwerk durch die Verwendung der Angriffsdatenverwerfungseinrichtung aus Patentliteratur 1 verworfen werden, wenn ein Angriff gegeben ist, der dazu führen kann, dass die fahrzeuginterne Einrichtung anormalen Betrieb durchführt, der Einfluss bei Nicht-Übertragung normaler Daten die Steuerung einer anderen ECU beeinträchtigt und dadurch bewirkt, dass bei der Fahrzeugsteuerung auftreten.
  • Die vorliegende Erfindung wurde gemacht, um das Problem wie oben beschrieben zu lösen, und hat die Aufgabe, eine Datenkommunikationssteuerungseinrichtung, ein Datenkommunikationssteuerungsprogramm und ein Fahrzeugsteuerungssystem bereitzustellen, die die Möglichkeit verringern, dass, wenn Angriffsdaten in einem fahrzeuginternen Netzwerk verworfen werden, Daten, die durch eine ECU generiert sind, die aufgrund der Nicht-Übertragung normaler Daten von einem Angriffsdatenübertrager angemessene Steuerung nicht durchführen konnte, zur Steuerung einer anderen ECU verwendet werden, um zu bewirken, dass bei der Fahrzeugsteuerung Probleme auftreten.
  • Lösung des Problems
  • Eine Datenkommunikationssteuerungseinrichtung gemäß der vorliegenden Erfindung umfasst einen Angriffsdateninformationen-Erwerbungsteil, um, wenn Angriffsdaten in einer Datengruppe, die aus einer Vielzahl von einzelnen Daten gebildet ist, die in einem fahrzeuginternen Netzwerk zur Verwendung bei der Steuerung eines Fahrzeugs übertragen werden, wobei die Angriffsdaten bewirken, dass anormaler Betrieb in dem Fahrzeug auftritt, Angriffsdaten-Identifikationsinformationen, die Informationen sind zum Identifizieren der Angriffsdaten aus der Datengruppe, zu erwerben, einen Verwerfungsdaten-Speicherteil, um erste Datenidentifikationsinformationen, die Informationen sind zum Identifizieren, aus der Datengruppe, erster Daten, die in der Datengruppe enthalten sind, wobei die ersten Daten von einem ersten Datenübertrager übertragen werden, und um erste Verwerfungsinformationen in Assoziation mit den ersten Datenidentifikationsinformationen zu speichern, wobei die ersten Verwerfungsinformationen Informationen sind, angebend erste Verwerfungskandidatendaten, die Daten sind, die bewirken, dass Probleme bei der Steuerung des Fahrzeugs auftreten, wenn die ersten Daten verworfen werden, einen Verwerfungsdaten-Bestimmungsteil, um, wenn der Angriffsdateninformationen-Erwerbungsteil die Angriffsdaten-Identifikationsinformationen erwirbt und wenn die Angriffsdaten-Identifikationsinformationen und die ersten Datenidentifikationsinformationen übereinstimmen, aus dem Verwerfungsdaten-Speicherteil die ersten Verwerfungsinformationen, die mit den ersten Datenidentifikationsinformationen assoziiert sind, auszulesen, und um die ersten Verwerfungskandidatendaten, die durch die ersten Verwerfungsinformationen angegeben sind, als Verwerfungsdaten zu bestimmen, die Daten sind, die aus dem fahrzeuginternen Netzwerk zu verwerfen sind, und einen Datenverwerfung-Anweisungssteil, um eine Anweisung zum Verwerfen der durch den Verwerfungsdaten-Bestimmungsteil bestimmten Verwerfungsdaten aus dem fahrzeuginternen Netzwerk zu übertragen, wobei eine erste Domäne, zu der eine Vielzahl von Datenübertragern, enthaltend den ersten Datenübertrager, gehört, eine Domäne ist, die bewirkt, dass beim Verwerfen der ersten Daten ein Problem in einer Funktion der Domäne auftritt, und die ersten Verwerfungsinformationen Informationen sind, die Daten angeben, die von allen Datenübertragern, die zu der ersten Domäne gehören, übertragen werden.
  • Ein Datenkommunikationssteuerungsprogramm gemäß der vorliegenden Erfindung bewirkt, dass eine mit einem fahrzeuginternen Netzwerk verbundene Netzwerkkomponente als ein Angriffsdateninformationen-Erwerbungsteil funktioniert, wenn Angriffsdaten in einer Datengruppe erfasst werden, die aus einer Vielzahl von einzelnen Daten gebildet ist, die in dem fahrzeuginternen Netzwerk zur Verwendung bei der Steuerung eines Fahrzeugs übertragen werden, wobei die Angriffsdaten, bewirken, dass in dem Fahrzeug anormaler Betrieb auftritt, um Angriffsdaten-Identifikationsinformationen zu erwerben, die Informationen sind zum Identifizieren der Angriffsdaten aus der Datengruppe, einen Verwerfungsdaten-Speicherteil, um erste Datenidentifikationsinformationen, die Informationen sind zum Identifizieren, aus der Datengruppe, erster Daten, die in der Datengruppe enthalten sind, wobei die ersten Daten von einem ersten Datenübertrager übertragen werden, und um erste Verwerfungsinformationen in Assoziation mit den ersten Datenidentifikationsinformationen zu speichern, wobei die ersten Verwerfungsinformationen Informationen sind, angebend erste Verwerfungskandidatendaten, die Daten sind, die bewirken, dass Probleme bei der Steuerung des Fahrzeugs auftreten, wenn die ersten Daten verworfen werden, einen Verwerfungsdaten-Bestimmungsteil, um, wenn der Angriffsdateninformationen-Erwerbungsteil die Angriffsdaten-Identifikationsinformationen erwirbt und wenn die Angriffsdaten-Identifikationsinformationen und die ersten Datenidentifikationsinformationen übereinstimmen, aus dem Verwerfungsdaten-Speicherteil die ersten Verwerfungsinformationen, die mit den ersten Datenidentifikationsinformationen assoziiert sind, auszulesen, und um die ersten Verwerfungskandidatendaten, die durch die ersten Verwerfungsinformationen angegeben sind, als Verwerfungsdaten zu bestimmen, die Daten sind, die aus dem fahrzeuginternen Netzwerk zu verwerfen sind, und einen Datenverwerfung-Anweisungssteil, um eine Anweisung zum Verwerfen der durch den Verwerfungsdaten-Bestimmungsteil bestimmten Verwerfungsdaten aus dem fahrzeuginternen Netzwerk zu übertragen, wobei eine erste Domäne, zu der eine Vielzahl von Datenübertragern, enthaltend den ersten Datenübertrager, gehört, eine Domäne ist, die bewirkt, dass beim Verwerfen der ersten Daten ein Problem in einer Funktion der Domäne auftritt, und die ersten Verwerfungsinformationen Informationen sind, die Daten angeben, die von allen Datenübertragern, die zu der ersten Domäne gehören, übertragen werden.
  • Ein Fahrzeugsteuerungssystem gemäß der vorliegenden Erfindung umfasst die oben beschriebene Datenkommunikationssteuerungseinrichtung und einen in dem fahrzeuginternen Netzwerk vorgesehenen Datenübertrager, um erste Daten zu empfangen und die ersten Verwerfungskandidatendaten zu übertragen, wobei der Datenverwerfung-Anweisungssteil der Datenkommunikationssteuerungseinrichtung die Anweisung zum Verwerfen der Verwerfungsdaten an den Datenübertrager überträgt, und beim Empfangen der Anweisung von dem Datenverwerfung-Anweisungsteil, der Datenübertrager Übertragung der Verwerfungsdaten an das fahrzeuginterne Netzwerk stoppt.
  • Vorteilhafte Wirkungen der Erfindung
  • In dem Verwerfungsdaten-Speicherteil sind die ersten Datenidentifikationsinformationen und die ersten Verwerfungsinformationen in Assoziation gespeichert. Auf Grundlage der Assoziationsbeziehung zwischen den ersten Datenidentifikationsinformationen und den im Verwerfungsdaten-Speicherteil gespeicherten Verwerfungsinformationen ist es möglich, die ersten Verwerfungskandidatendaten als Daten zu identifizieren, die bewirken, dass bei der Fahrzeugsteuerung Probleme auftreten, wenn die ersten Daten verworfen werden.
  • Wenn also Angriffsdaten erfasst werden, werden die ersten Verwerfungskandidatendaten auf Grundlage der oben beschriebenen Assoziationssbeziehung identifiziert und eine Bestimmung und Anweisung zum Verwerfen dieser Daten wird durchgeführt, wodurch die Möglichkeit des Auftretens von Problemen bei der Fahrzeugsteuerung verringert werden kann.
  • Figurenliste
    • 1 ist ein Blockdiagramm, darstellend die Konfiguration eines Fahrzeugsteuerungssystems gemäß Ausführungsform 1 der vorliegenden Erfindung.
    • 2 ist ein Blockdiagramm, darstellend die Konfiguration einer Datenkommunikationssteuerungseinrichtung gemäß Ausführungsform 1 der vorliegenden Erfindung.
    • 3 ist ein Diagramm, darstellend ein Beispiel für eine Liste von Datenidentifikationsinformationen, die in einer Domänenkonfigurationsdatenbank gespeichert sind, gemäß Ausführungsform 1 der vorliegenden Erfindung.
    • 4 ist ein Diagramm, darstellend ein Beispiel für eine in einer Verwerfungsrichtliniendatenbank gespeicherte Verwerfungsrichtlinie gemäß Ausführungsform 1 der vorliegenden Erfindung.
    • 5 ist ein Blockdiagramm, darstellend eine Hardware-Konfiguration zur Realisierung der Datenkommunikationssteuerungseinrichtung gemäß Ausführungsform 1 der vorliegenden Erfindung.
    • 6 ist ein Flussdiagramm, darstellend einen Prozess durch die Datenkommunikationssteuerungseinrichtung gemäß Ausführungsform 1 der vorliegenden Erfindung.
    • 7 ist ein Flussdiagramm, darstellend einen Prozess durch eine Brücke gemäß Ausführungsform 1 der vorliegenden Erfindung.
    • 8 ist ein Flussdiagramm, darstellend einen Prozess durch die Datenkommunikationssteuerungseinrichtung gemäß Ausführungsform 2 der vorliegenden Erfindung.
    • 9 ist ein Blockdiagramm, darstellend die Konfiguration eines Fahrzeugsteuerungssystems gemäß Ausführungsform 3 der vorliegenden Erfindung.
  • Beschreibung der Ausführungsformen
  • Ausführungsform 1
  • Nachfolgend wird Ausführungsform 1 der vorliegenden Erfindung unter Bezugnahme auf 1 bis 7 beschrieben.
  • 1 ist ein Blockdiagramm, darstellend die Konfiguration eines Fahrzeugsteuerungssystems 100 gemäß Ausführungsform 1 der vorliegenden Erfindung. Zuerst wird ein allgemeiner Überblick über das Fahrzeugsteuerungssystem 100 beschrieben, und dann wird jede Komponente beschrieben, die in dem Fahrzeugsteuerungssystem 100 enthalten ist.
  • Das Fahrzeugsteuerungssystem 100 ist gebildet aus einem fahrzeuginternen Netzwerk, in dem eine Datenkommunikationssteuerungseinrichtung 1, eine Angriffserfassungseinrichtung 2, eine Vielzahl von Brücken 3, eine Vielzahl von ECUs 4 und eine Vielzahl von Sensoren 5 jeweils über Kommunikationsleitungen 6 kommunizierend verbunden sind und Steuerung einer Vielzahl von fahrzeuginternen Einrichtungen (nicht dargestellt), die an einem Fahrzeug angebracht sind, durchführen.
  • In dem Fahrzeug sind verschiedene elektronisch gesteuerte fahrzeuginterne Einrichtungen angebracht, wie beispielsweise Motor, Lenkeinrichtung, Bremseinrichtung, Klimaanlage und Navigationseinrichtung. Die Vielzahl von fahrzeuginternen Einrichtungen sind jeweils mit einer der ECUs 4 kommunizierend verbunden. Die ECU 4 empfängt Daten, die eine Fahrzeugzustandsgröße angeben, oder Daten, die eine Benutzeroperationsgröße angeben, die in dem fahrzeuginternen Netzwerk übertragen werden, um eine mit der ECU 4 verbundene fahrzeuginterne Einrichtung auf Grundlage dieser Daten zu steuern. Die Daten, die die Fahrzeugzustandsgröße angeben, oder die Daten, die die Benutzeroperationsgröße angeben, werden durch die ECUs 4 oder die Sensoren 5 generiert und werden über die Brücke 3 an die ECU 4 übertragen, die die fahrzeuginterne Einrichtung steuert.
  • Wie oben beschrieben, steuert das Fahrzeugsteuerungssystem 100 das gesamte Fahrzeug, indem jede ECU 4 die für die Steuerung erforderlichen Daten empfängt und überträgt und die fahrzeuginternen Eirichtungen einzeln steuert.
  • In Ausführungsform 1 der vorliegenden Erfindung wird darauf hingewiesen, dass die ECU 4 und der Sensor 5, die Daten generieren, die die Fahrzeugzustandsgröße angeben, oder Daten, die die Benutzeroperationsgröße angeben, zur Übertragung an eine andere ECU 4 als Datenübertrager bezeichnet werden können. Außerdem kann die ECU 4, die diese einzelnen Daten zur Steuerung einer fahrzeuginternen Einrichtung als ein Steuerungsziel empfängt, als eine Steuerungseinheit bezeichnet werden. Die ECU 4 kann als ein Datenübertrager oder eine Steuerungseinheit dienen. Wenn die ECU 4 eine Funktion des Übertragens von Daten erfüllt, wird die ECU 4 als ein Datenübertrager bezeichnet. Wenn die ECU 4 eine Funktion des Steuerns einer fahrzeuginternen Einrichtung auf Grundlage der empfangenen Daten erfüllt, wird die ECU 4 als eine Steuerungseinheit bezeichnet.
  • Während die Daten, die die Fahrzeugzustandsgröße angeben, hauptsächlich den Bewegungszustand des Fahrzeugs oder den fahrzeuginternen Umgebungszustand angeben, beschränken sich die Daten hier nicht nur auf solche, die einen Zustand des Fahrzeugs selbst angeben, sondern umfassen auch Daten, die einen Zustand an der Peripherie des Fahrzeugs angeben, oder Daten, die Fahrzeugpositionsinformationen angeben.
  • Konkrete Beispiele für diese Daten sind Daten über die Fahrzeuggeschwindigkeit, Daten über die Anzahl der Motorumdrehungen, Daten über den Lenkwinkel des Rades, Daten über die Temperatur im Fahrzeug und so weiter. Konkrete Beispiele sind auch Daten über reflektierte Ultraschallwellen, die zur Vorderseite des Fahrzeugs hin übertragen werden, Daten über die Positionskoordinaten des Fahrzeugs und so weiter.
  • Die Daten, die die Benutzeroperationsgröße angeben, sind Daten, die eine Operationsgröße angeben, wenn der Benutzer das Fahrzeug betätigt, und umfassen zum Beispiel Daten, die einen Drehwinkel des Lenkrads angeben, Daten, die einen Niederdruckgröße des Gaspedals angeben, Daten über die eingestellte Temperatur der Klimaanlage und so weiter.
  • Außerdem werden diese einzelnen Daten durch den Sensor 5 und die ECU 4 generiert und an das fahrzeuginterne Netzwerk übertragen. Ein Beispiel sind Daten (Messdaten), die eine durch den Sensor 5 gemessene Zustandsgröße angeben. Ein weiteres Beispiel sind Daten, die eine Zustandsgröße angeben, der durch die ECU 4 auf Grundlage von Messdaten berechnet wurde. Ein weiteres Beispiel sind Daten, die eine Zustandsgröße einer bestimmten fahrzeuginternen Einrichtung angeben, die durch die ECU 4 generiert wird, die diese fahrzeuginterne Einrichtung steuert.
  • Die Daten, die die Fahrzeugzustandsgröße angeben, und die Daten, die die Operationsgröße wie oben beschrieben angeben, sind Daten, die in dem fahrzeuginternen Netzwerk zur Verwendung bei der Fahrzeugsteuerung übertragen werden, und werden kollektiv als eine Datengruppe bezeichnet.
  • Darüber hinaus umfasst das Fahrzeugsteuerungssystem 100 die Datenkommunikationssteuerungseinrichtung 1 und die Angriffserfassungseinrichtung 2, um einen Angriff zu behandeln, der bewirken kann, dass eine fahrzeuginterne Einrichtung anormalen Betrieb durchführt, um den Betrieb des Fahrzeugs instabil zu machen.
  • Der oben beschriebene Angriff erfolgt durch Umschreiben eines Programms der ECU 4 oder des Sensors 5 in ein nicht autorisiertes Programm. Die ECU 4 oder der Sensor 5, dessen Programm in einer nicht autorisierten Weise umgeschrieben wurde (Angriffsdatenübertrager), generiert Angriffsdaten, die bewirken, dass die fahrzeuginterne Einrichtung anormalen Betrieb zur Übertragung an eine Steuerungseinheit durchführt. Unter Verwendung der Angriffsdaten generiert die Steuerungseinheit ein anormales Steuerungssignal zur Steuerung der fahrzeuginternen Einrichtung, und die fahrzeuginterne Einrichtung führt auf Grundlage des anormalen Steuerungssignals anormalen Betrieb durch.
  • Außerdem gibt es als weitere Methode des oben beschriebenen Angriffs einen Fall, in dem, wenn das Fahrzeugsteuerungssystem 100 externe Kommunikation durchführen kann, die Übertragung von Angriffsdaten von außen bewirkt, dass die Steuerungseinheit ein anormales Steuersignal generiert, um zu bewirken, dass die fahrzeuginterne Einrichtung anormalen Betrieb durchführt.
  • Hier sind verschiedene Typen von Angriffsdaten, die durch den Angriffsdatenübertrager generiert werden, und Angriffsdaten, die von außen übertragen werden, denkbar. Als Daten, die bewirken, dass die fahrzeuginterne Einrichtung anormalen Betrieb durchführt, können die folgenden Angriffsdaten angenommen werden.
  • Die Angriffsdaten sollen bewirken, dass die fahrzeuginterne Einrichtung abnormalen Betrieb durchführt und müssen daher von der mit der fahrzeuginternen Einrichtung verbundenen ECU 4 als ein Angriffsziel empfangen werden. Daher werden ein Identifizierer, eine Datenlänge und so weiter der Angriffsdaten, die denen normaler Daten ähneln, eingesetzt. Andererseits wird eine durch die Angriffsdaten angegebene Fahrzeugzustandsgröße oder Benutzeroperationsgröße eingesetzt, die sich von der normalen Zustandsgröße oder Operationsgröße unterscheidet.
  • In dem Fahrzeugsteuerungssystem 100 wird der oben beschriebene Angriff wie folgt behandelt.
  • Bei der Erfassung von Angriffsdaten, die von dem Angriffsdatenübertrager oder von außen übertragen werden, extrahiert die Angriffserfassungseinrichtung 2 aus den Angriffsdaten Angriffsdaten-Identifikationsinformationen, bei denen es sich um Informationen zum Identifizieren der Angriffsdaten aus einer Datengruppe handelt, die in dem fahrzeuginternen Netzwerk zur Verwendung bei der Fahrzeugsteuerung übertragen werden, und überträgt die extrahierten Angriffsdaten-Identifikationsinformationen über die Brücke 3 an die Datenkommunikationssteuerungseinrichtung 1.
  • Das Datenkommunikationssteuerungseinrichtung 1 erwirbt die Angriffsdaten-Identifikationsinformationen, bestimmt, Daten zu verwerfen, die bei der Steuerung der fahrzeuginternen Einrichtung das Auftreten von Problemen bewirken mit Verwerfung der Angriffsdaten, und überträgt eine Anweisung zur Verwerfung dieser Daten an die Brücke 3.
  • Wenn die Datenkommunikationssteuerungseinrichtung 1 und die Angriffserfassungseinrichtung 2 wie oben beschrieben funktionieren, behandelt das Fahrzeugsteuerungssystem 100 einen Angriff, der den Betrieb des Fahrzeugs instabil machen könnte.
  • Als nächstes wird jede Komponente, die in dem Fahrzeugsteuerungssystem 100 enthalten ist, beschrieben.
  • Die Datenkommunikationssteuerungseinrichtung 1 gibt eine Anweisung zum Verwerfen von Daten, die in dem fahrzeuginternen Netzwerk übertragen werden, aus, und ist aus ECUs gebildet, die mit dem fahrzeuginternen Netzwerk verbunden sind.
  • Wie in 1 dargestellt, ist die Datenkommunikationssteuerungseinrichtung 1 über die Kommunikationsleitungen 6 mit den Brücken 3 verbunden und führt über die Brücken 3 Datenkommunikation mit der Angriffserfassungseinrichtung 2, den ECUs 4 und den Sensoren 5 durch.
  • Im Folgenden wird die funktionelle Konfiguration der Datenkommunikationssteuerungseinrichtung 1 unter Bezugnahme auf 2 beschrieben.
  • 2 ist ein Blockdiagramm, darstellend die Konfiguration der Datenkommunikationssteuerungseinrichtung 1 gemäß Ausführungsform 1 der vorliegenden Erfindung.
  • Die Datenkommunikationssteuerungseinrichtung 1 umfasst einen Angriffsdateninformationen-Erwerbungsteil 11, einen Verwerfungsdaten-Bestimmungsteil 12, eine Domänenkonfigurationsdatenbank 13, eine Verwerfungsrichtliniendatenbank 14 und einen Datenverwerfung-Anweisungsteil 15.
  • Der Angriffsdateninformationen-Erwerbungsteil 11 hat eine Funktion des Erwerbens, von der Angriffserfassungseinrichtung 2, von Angriffsdaten-Identifikationsinformationen, die Informationen sind zum Identifizieren von Angriffsdaten aus einer Datengruppe, zur Verwendung bei der Fahrzeugsteuerung, die in dem fahrzeuginternen Netzwerk übertragen werden.
  • Der Angriffsdateninformationen-Erwerbungsteil 11 ist aus einem Speicher 112 oder einer Festplatte (nichtflüchtiger Speicher) 114, in dem ein Programm zum Erwerben von Angriffsdaten-Identifikationsinformationen gespeichert ist, einem Prozessor 111, der das Programm ausführt, und einer Netzwerkschnittstelle 113, die mit den Brücken 3 verbunden ist, um Datenkommunikation zu ermöglichen, gebildet (siehe 5).
  • Der Angriffsdateninformationen-Erwerbungsteil 11 ist mit den Brücken 3 über die Kommunikationsleitungen 6 verbunden, und führt Kommunikation mit der Angriffserfassungseinrichtung 2 über die Brücken 3 durch.
  • Erwerbung und Ausgabe von Angriffsdaten-Identifikationsinformationen durch den Angriffsdateninformationen-Erwerbungsteil 11 werden in einer Weise wie folgt durchgeführt.
  • Die Angriffsdatenerfassungseinrichtung 2 überwacht die in dem fahrzeuginternen Netzwerk übertragenen Daten, und, wenn die Angriffsdaten erfasst werden, extrahiert die Angriffsdaten-Identifikationsinformationen aus den Angriffsdaten zur Übertragung an die Datenkommunikationssteuerungseinrichtung 1. Der Angriffsdateninformationen-Erwerbungsteil 11 erwirbt die Angriffsdaten-Identifikationsinformationen von der Angriffserfassungseinrichtung 2.
  • Auf Erwerben der Angriffsdaten-Identifikationsinformationen gibt der Angriffsdateninformationen-Erwerbungsteil 11 die Angriffsdaten-Identifikationsinformationen an den Verwerfungsdaten-Bestimmungsteil 12 aus.
  • Hier werden die Angriffsdaten-Identifikationsinformationen erläutert, die durch die Angriffserfassungseinrichtung 2 aus den Angriffsdaten extrahiert wurden und durch den Angriffsdateninformationen-Erwerbungsteil 11 erworben wurden.
    Die Angriffsdaten-Identifikationsinformationen umfassen Informationen über eine Quelle der Generierung der Angriffsdaten und Informationen über einen Nutzungszweck der Angriffsdaten.
  • Die Informationen über die Quelle der Generierung der Angriffsdaten bestehen aus zwei einzelnen Informationen. Eine ist die Information (entsprechend der Angriffsdatenübertragerinformation), die einen Angriffsdatenübertrager angibt, der ein Datenübertrager ist, der die Angriffsdaten überträgt. Die andere ist eine Information (entsprechend Angriffsdatendomäneninformation), die eine Domäne angibt, zu der der Angriffsdatenübertrager gehört. Erstere ist beispielsweise eine Übertragungsquellenadresse, die zu dem Header der Angriffsdaten hinzugefügt ist, und letztere ist eine ID (Identifizierer) zur allgemeinen Verwendung in der Domäne.
  • Außerdem handelt es sich bei den Informationen über den Nutzungszweck der Angriffsdaten um Informationen (entsprechend den Angriffsdaten-Anwendungsinformationen), die den Nutzungszweck der Angriffsdaten angeben, d.h. angeben, von welcher Anwendung die Angriffsdaten verwendet werden, und sind zum Beispiel eine Portnummer, die angibt, dass diese für eine bestimmte Anwendung verwendet werden.
  • Es ist zu beachten, dass es sich bei der Domäne um eine Gruppe der ECUs 4 und der Sensoren 5 handelt, die für jedes der Steuerungssysteme (wie Antriebssystem, Karosseriesystem und Sicherheitssystem) des Fahrzeugs enthalten sind. Auch in Ausführungsform 1 ist eine ID (VLAN_ID, CAN_ID) allen Daten in einer Domäne gemeinsam, und eine Domäne entspricht einer ID.
  • Als nächstes wird der Verwerfungsdaten-Bestimmungsteil 12 erläutert. Der Verwerfungsdaten-Bestimmungsteil 12 hat eine Funktion des Bestimmens von Daten, die bewirken, dass bei der Steuerung der fahrzeuginternen Einrichtung Probleme auftreten mit Verwerfung der Angriffsdaten, als Verwerfungsdaten, bei denen es sich um Daten handelt, die aus dem fahrzeuginternen Netzwerk zu verwerfen sind, unter Verwendung der Angriffsdaten-Identifikationsinformationen, die durch den Angriffsdateninformationen-Erwerbungsteil 11 erworben wurden, und Informationen, die in der Domänenkonfigurationsdatenbank 13 und der Verwerfungsrichtliniendatenbank 14 gespeichert sind.
    Der Verwerfungsdaten-Bestimmungsteil 12 ist gebildet aus dem Speicher 112 oder der Festplatte 114, die ein Programm zum Bestimmen der Verwerfungsdaten speichert, und dem Prozessor 111, der das Programm ausführt (siehe 5).
  • Hier werden die Domänenkonfigurationsdatenbank 13 und die Verwerfungsrichtliniendatenbank 14 zur Verwendung durch den Verwerfungsdaten-Bestimmungsteil 12 beim Bestimmen von Verwerfungsdaten erläutert.
  • Hier sind die Domänenkonfigurationsdatenbank 13 und die Verwerfungsrichtliniendatenbank 14 aus dem Speicher 112 oder der Festplatte 114 gebildet.
  • Zunächst werden die in der Domänenkonfigurationsdatenbank 13 gespeicherten Informationen unter Bezugnahme auf 3 erläutert. 3 ist ein Diagramm, das ein Beispiel für eine Liste von Datenidentifikationsinformationen zeigt, die in einer Domänenkonfigurationsdatenbank 13 gemäß Ausführungsform 1 der vorliegenden Erfindung gespeichert sind.
  • Die Domänenkonfigurationsdatenbank 13 speichert Informationen über eine Vielzahl von einzelnen Daten (entsprechend ersten Daten und zweiten Daten), die im fahrzeuginternen Netzwerk und unter der Steuerung der Datenkommunikationssteuerungseinrichtung 1 übertragen werden. Genauer gesagt speichert diese eine Liste von Datenidentifikationsinformationen (entsprechend ersten Datenidentifikationsinformation und zweiten Datenidentifikationsinformation), bei denen es sich um Informationen zum Identifizieren jeder der einzelnen Daten aus einer Datengruppe handelt, die aus einer Vielzahl von einzelnen Daten gebildet ist (siehe 3).
  • Die oben beschriebenen Datenidentifikationsinformationen umfassen Informationen, die den Angriffsdaten-Identifikationsinformationen entsprechen, und umfassen Informationen über eine Quelle der Generierung der Daten und Informationen über einen Nutzungszweck der Daten.
  • Die Informationen über die Quelle der Generierung der Angriffsdaten bestehen aus zwei einzelnen Informationen. Eine ist die Information (entsprechend ersten Übertragerinformationen und zweiten Übertragerinformationen; in 3, Informationen in einer Spalte „Datenübertrager“), angebend einen Datenübertrager, der Daten überträgt. Die andere ist die Information (entsprechend ersten Domäneninformationen und zweiten Domäneninformationen; in 3, Informationen in den Spalten „Identifizierer“ und „Identifikationswert“), angebend eine Domäne, zu der der Datenübertrager gehört, der die Daten überträgt. Die erstere ist beispielsweise eine Übertragungsquellenadresse, die zu dem Header der Daten hinzugefügt wird, und letztere ist eine ID (VLAN_ID oder CAN_ID) zur allgemeinen Verwendung in der Domäne.
  • Außerdem handelt es sich bei den Informationen über den Nutzungszweck der Daten um Informationen (entsprechend ersten Anwendungsinformationen und zweiten Anwendungsinformationen; in 3, Informationen in den Spalten „Service-Identifizierer“ und „Service-Identifikationswert“), die den Nutzungszweck der Daten angeben, d.h. angeben, von welcher Anwendung diese Daten verwendet werden, und ist zum Beispiel eine Portnummer, die angibt, dass diese für eine bestimmte Anwendung verwendet werden.
  • Jeder Teil der Datenidentifikationsinformationen, die in der Domänenkonfigurationsdatenbank 13 gespeichert sind, ist mit einem Domänennamen versehen (in 3, Domänen A, B und C). Der Domänenname ist ein Name jeder Domäne, der üblicherweise zwischen der Domänenkonfigurationsdatenbank 13 und der Verwerfungsrichtliniendatenbank 14 verwendet wird.
  • Unter Verwendung von 3 wird die in der Domänenkonfigurationsdatenbank 13 gespeicherte Liste genauer beschrieben.
  • Im Beispiel von 3 werden in der Liste die Datenidentifikationsinformationen gespeichert, die einer Vielzahl von einzelnen Daten entsprechen, die zu drei Domänen gehören. Als ein Domänenname wird A, B oder C zu jeder einzelnen Datenidentifikationsinformation hinzugefügt. Im Folgenden werden die Datenidentifikationsinformationen über die Daten, die zu den Domänen A, B und C gehören, über die Liste von 3 beschrieben.
  • Die Datenidentifikationsinformationen über die Daten, die zu der Domäne A gehören, sind in einer oberen Reihe der Liste gespeichert.
    Zu der Domäne A gehören Daten mit einem Identifizierer VLAN_ID und einem Identifikationswert von 100 als Informationen, die die Domäne angeben. Als Informationen, die den Datenübertrager angeben, gehören auch Daten mit einem Datenübertrager A1 und Daten mit einem Datenübertrager A2.
  • Die Daten mit VLAN_ID von 100 und einem Datenübertrager A1 oder A2 haben einen mit einem Service-Identifikationswert, entsprechend einem bestimmen Service-Identifizierer. Bei der Bestimmung von Verwerfungsdaten unter den Daten, die zur Domäne A gehören, verwendet der Verwerfungsdatenbestimmungsteil 12 jedoch nicht den Service-Identifizierer und den Service-Identifikationswert. Daher wird in dieser Zeile der Domäne A kein Service-Identifizierer und kein Service-Identifikationswert gespeichert.
  • Das obige kann wie folgt zusammengefasst werden. In der oberen Zeile der Liste wird gespeichert, dass Daten mit Datenidentifikationsinformationen mit VLAN_ID von 100 und einem Datenübertrager A1 oder A2 zu der Domäne A gehören.
  • Die Datenidentifikationsinformationen über die Daten, die zu der Domäne B gehören, sind in einer Zwischenzeile der Liste gespeichert.
  • Zu der Domäne B gehören Daten mit einem Identifizierer VLAN_ID und einem Identifikationswert von 200 als Information, die die Domäne angeben. Als Informationen, die den Datenübertrager angeben, gehören auch Daten mit einem Datenübertrager B1 und Daten mit einem Datenübertrager B2. Darüber hinaus gehören als Information, die angeben, durch welche Anwendung die Angriffsdaten verwendet werden, Daten mit einem Service-Identifizierer der Port-Nr. und einem Service-Identifikationswert von 8080 dazu.
  • Das obige kann wie folgt zusammengefasst werden. In der Zwischenzeile der Liste wird gespeichert, dass Daten mit Datenidentifikationsinformationen mit VLAN_ID 200, einem Datenübertrager B1 oder B2 und der Port-Nr. 8080 zur Domäne B gehören.
  • Die Datenidentifikationsinformationen über die Daten, die zu der Domäne C gehören, sind in einer unteren Zeile der Liste gespeichert.
    Zu der Domäne C gehören Daten mit einem Identifizierer CAN_ID und einem Identifikationswert von 200 als Informationen, die die Domäne angeben. Als Informationen, die den Datenübertrager angeben, gehören auch Daten mit einem Datenübertrager C1 und Daten mit einem Datenübertrager C2 dazu.
  • Wie in dem Fall der Domäne A, bei der Bestimmung der zu verwerfenden Daten unter den Daten, die zu der Domäne C gehören, nutzt der Verwerfungsdaten-Bestimmungsteil 12 nicht den Service-Identifizierer und den Service-Identifikationswert. Daher wird in dieser Zeile der Domäne C kein Service-Identifizierer und kein Service-Identifikationswert gespeichert.
  • Das obige kann wie folgt zusammengefasst werden. In der unteren Zeile der Liste wird gespeichert, dass Daten mit Datenidentifikationsinformationen mit CAN_ID von 200 und einem Datenübertrager C1 oder C2 zu der Domäne C gehören.
  • Außerdem werden Informationen über ein Kommunikationsprotokoll zur Verwendung in jeder der Domänen A, B und C zusammen in der Liste gespeichert.
  • Wie oben beschrieben, werden die Datenidentifikationsinformationen in der Domänenkonfigurationsdatenbank 13 gespeichert. Die Datenidentifikationsinformationen werden für jede Domäne, zu der die durch die Datenidentifikationsinformationen angegebenen Daten gehören, klassifiziert und gespeichert. Durch Vergleichen der Angriffsdaten-Identifikationsinformationen und der in der Domänenkonfigurationsdatenbank 13 gespeicherten Datenidentifikationsinformationen ist es möglich, zu unterscheiden, zu welcher Domäne die Angriffsdaten gehören.
  • Als nächstes werden in der Verwerfungsrichtliniendatenbank 14 gespeicherte Informationen unter Bezugnahme auf 4 beschrieben. 4 ist ein Diagramm, das ein Beispiel für eine in einer Verwerfungsrichtliniendatenbank gespeicherte Verwerfungsrichtlinie 14 gemäß Ausführungsform 1 der vorliegenden Erfindung darstellt.
  • In der Verwerfungsrichtliniendatenbank 14 ist eine Verwerfungsrichtlinie gespeichert, die jeder in der Domänenkonfigurationsdatenbank 13 gespeicherten Domäne entspricht.
    Die Verwerfungsrichtlinie definiert Verwerfungsdaten als ein Verwerfungsziel, wenn Angriffsdaten, die zu jeder Domäne gehören, erfasst werden.
  • Es gibt drei Typen von Verwerfungsrichtlinien: eine Verwerfungsrichtlinie „Domäne“ (entsprechend ersten Verwerfungsinformationen), eine Verwerfungsrichtlinie „Datenübertrager“ (entsprechend zweiten Verwerfungsinformationen) und eine Verwerfungsrichtlinie „Service“ (entsprechend zweiten Verwerfungsinformationen). Die Verwerfungsrichtlinie „Domäne“ nimmt alle einzelnen Daten, die von allen Datenübertragern in einer Domäne übertragen werden, als Verwerfungsdaten, wenn Angriffsdaten in der Domäne erfasst sind. Die Verwerfungsrichtlinie „Datenübertrager“ nimmt alle Daten, die von einem Angriffsdatenübertrager als eine Quelle der Generierung der Angriffsdaten übertragen werden, als Verwerfungsdaten, wenn die Angriffsdaten in einer Domäne erfasst sind. Die Verwerfungsrichtlinie „Service“ nimmt Daten zur Verwendung für den gleichen Nutzungszweck wie derjenige der Angriffsdaten von Daten, die von einem Angriffsdatenübertrager als eine Quelle der Generierung der Angriffsdaten übertragen werden, als Verwerfungsdaten, wenn die Angriffsdaten in einer Domäne erfasst sind.
  • Die Verwerfungsrichtlinie „Domäne“ hat den größten Datenbereich als ein Verwerfungsziel, gefolgt von der Verwerfungsrichtlinie „Datenübertrager“ und dann der Verwerfungsrichtlinie „Service“.
  • Die drei Typen der Verwerfungsrichtlinie werden konkret beschrieben.
  • Die Verwerfungsrichtlinie „Domäne“ wird in einem Fall festgelegt, in dem beim Verwerfen von Daten (erste Daten), die von einem zu einer Domäne gehörenden Datenübertrager übertragen werden, Probleme in der Funktion dieser Domäne auftreten. Das heißt, die Verwerfungsrichtlinie „Domäne“ wird festgelegt, wenn andere Daten als die ersten Daten, die in einer Datengruppe enthalten sind, die in dem fahrzeuginternen Netzwerk übertragen werden und bewirken, dass Probleme bei der Fahrzeugsteuerung auftreten, generiert werden.
  • Ein Datenübertrager, der die oben beschriebenen ersten Daten überträgt, kann als ein erster Datenübertrager bezeichnet werden, und eine Domäne, zu der der erste Datenübertrager gehört, kann als eine erste Domäne bezeichnet werden.
  • Hier wird beschrieben, in welchem Fall Probleme in der Funktion der Domäne auftreten.
  • Die Domäne wird für jedes der Steuerungssysteme (wie Antriebssystem, Karosseriesystem und Sicherheitssystem) des Fahrzeugs festgelegt. Die Funktion der Domäne ist die Funktion jedes Steuerungssystems, auf das die Domäne festgelegt ist.
  • Die Funktion der Domäne wird durch eines oder eine Vielzahl von arbeitenden fahrzeuginternen Einrichtungen durchgeführt. Diese fahrzeuginternen Einrichtungen werden durch eine oder eine Vielzahl von ECUs 4 gesteuert, die zu der Domäne gehören.
  • In Abhängigkeit von der Domäne wird auch die Funktion des Steuerungssystems mit einer Vielzahl von fahrzeuginternen Einrichtungen, die zusammenarbeiten, durchgeführt. In dieser Domäne, durch das Austauschen von Daten, die eine Zustandsgröße der fahrzeuginternen Einrichtung angeben, die von jeder ECU 4 als ein Steuerungsziel genommen wird, führen die Vielzahl von ECUs 4, die der Vielzahl von fahrzeuginternen Einrichtungen entsprechen, angemessene Steuerung in der Domäne als ein Ganzes durch und erfüllen damit die Funktion der Domäne.
  • Gleichzeitig, wenn von einer ECU empfangene Daten als Angriffsdaten verworfen werden, kann diese ECU normale Daten nicht empfangen und kann daher angemessene Steuerung nicht durchführen, aber auch Daten, die die Zustandsgröße der fahrzeuginternen Einrichtung als ein Steuerungsziel angeben, das durch die ECU generiert ist, werden unangemessen, und andere ECUs, die diese Daten zum Durchführen von Steuerung anderer fahrzeuginterner Einrichtungen empfangen, können angemessene Steuerung ebenfalls nicht durchführen. Somit hat das Verwerfen der Angriffsdaten auch einen Einfluss auf die Steuerung anderer ECUs in der Domäne, die Steuerung in Kooperation mit der ECU durchführen und die aufgrund des Verwerfens der Angriffsdaten normale Daten nicht empfangen können. Infolgedessen wird bewirkt, dass in der Funktion dieser Domäne Probleme auftreten.
  • Wie oben beschrieben, wird in der Domäne, in der die Vielzahl der fahrzeuginternen Einrichtungen in Kooperation arbeiten, durch das Verwerfen der Angriffsdaten bewirkt, dass in der Funktion der Domäne Probleme auftreten.
  • Wie oben beschrieben, wird beim Auftreten von Problemen in der Funktion der Domäne mit dem Verwerfen der Daten (der ersten Daten) in der Domäne die Verwerfungsrichtlinie „Domäne“ der Datenübernahme (entsprechend den ersten Verwerfungskandidatendaten), die von allen Datenübertragern in der Domäne als Verwerfungsdaten übertragen werden, auf diese Domäne festgelegt. Die ersten Verwerfungskandidatendaten, die als Verwerfungsdaten verwendet werden, sind Daten, die unter Verwendung der ersten Daten generiert werden. Da es sich bei den ersten Verwerfungskandidatendaten um Daten handelt, die von allen Datenübertragern in der Domäne übertragen werden, sind auch Daten eingeschlossen, die durch einen Datenübertrager generiert werden, der sich von dem ersten Datenübertrager unterscheidet, der die ersten Daten überträgt.
  • Außerdem beziehen sich alle einzelnen Daten in der Domäne auf Daten, die von allen Datenübertragern übertragen werden, die zu dieser Domäne gehören, und schließen Daten ein, die von diesen Datenübertragern nach außerhalb dieser Domäne übertragen werden.
  • Dies liegt daran, dass fahrzeuginterne Einrichtungen in verschiedenen Domänen einen geringeren Kooperationsgrad aufweisen als derjenige zwischen fahrzeuginternen Einrichtungen in einer Domäne, aber die Möglichkeit haben, zum Zeitpunkt des Verwerfens der Angriffsdaten auch auf die Steuerung einer fahrzeuginternen Einrichtung in einer anderen Domäne Einfluss zu nehmen.
  • Als nächstes wird die Verwerfungsrichtlinie „Datenübertrager“ erläutert. Die Verwerfungsrichtlinie „Datenübertrager“ wird in einem Fall festgelegt, in dem, wenn Daten (entsprechend den zweiten Daten), die zu einer Domäne gehören, verworfen werden, in der Funktion dieser Domäne keine Probleme auftreten, und eine Domäne, zu der der Datenübertrager gehört, der die verworfenen Daten übertragen hat, Steuerung hinsichtlich Sicherheit des Fahrzeugs durchführt.
    Ein Datenübertrager, der die oben beschriebenen zweiten Daten überträgt, kann als ein zweiter Datenübertrager bezeichnet werden, und eine Domäne, zu der der zweite Datenübertrager gehört, kann als eine zweite Domäne bezeichnet werden.
  • Der Fall, in dem beim Verwerfen von Daten, die zu einer Domäne gehören, in der Funktion dieser Domäne keine Probleme auftreten, bezieht sich auf einen Fall, in dem die fahrzeuginternen Einrichtungen nicht in Kooperation arbeiten, um die Funktion der Domäne zu erfüllen. Mit anderen Worten, der Fall bezieht sich auf einen Fall, in dem beim Verwerfen von Daten, die zu einer Domäne gehören, Daten (die ersten Verwerfungskandidatendaten), die bewirken, dass Probleme bei der Fahrzeugsteuerung auftreten, nicht auftreten.
  • Selbst wenn in diesem Fall Angriffsdaten verworfen werden, hat dies keinen Einfluss auf die Funktionen dieser Domäne oder der anderen Domänen. Somit kann durch Behandeln der von dem Angriffsdatenübertrager übertragenen Daten als eine Quelle der Generierung der Angriffsdaten der Einfluss der Angriffsdaten auf den Betrieb des Fahrzeugs verringert werden.
  • In der Domäne, die mit der Verwerfungsrichtlinie „Datenübertrager“ festgelegt ist, werden alle einzelnen Daten, die von dem Angriffsdatenübertrager als eine Quelle der Generierung der Angriffsdaten übertragen werden, als Verwerfungsdaten genommen.
  • Die ECU 4 oder der Sensor 5 als der Angriffsdatenübertrager darf nur ein eine einzelne der Daten oder eine Vielzahl von Typen von Daten übertragen, die für verschiedene Nutzungszwecke verwendet werden. Wenn ein Datentyp aus der Vielzahl der Datentypen als Angriffsdaten erfasst wird, besteht die Möglichkeit, dass der Angriffsdatenübertrager als eine Quelle der Generierung der Angriffsdaten startet, Angriffsdaten auch für einen anderen Typ von Daten zu übertragen. Wenn der andere Typ von Daten zur Steuerung hinsichtlich Sicherheit des Fahrzeugs verwendet wird, muss dies vor dem Start der Übertragung der Angriffsdaten schnell behandelt werden. Somit werden nicht nur Daten für den gleichen Nutzungszweck wie derjenige der Angriffsdaten, sondern auch alle von dem Angriffsdatenübertrager übertragenen einzelnen Daten als Verwerfungsdaten genommen.
  • In der Domäne, die mit der oben beschriebenen Verwerfungsrichtlinie „Datenübertrager“ festgelegt ist, werden alle einzelnen Daten (entsprechend zweiten Verwerfungskandidaten), die von dem Angriffsdatenübertrager übertragen werden, als Verwerfungsdaten genommen, aber nicht alle Daten (die ersten Verwerfungskandidatendaten), die von Datenübertragern in der Domäne übertragen werden, zu der der Angriffsdatenübertrager gehört, werden als Verwerfungsdaten genommen. Das heißt, in der Domäne, die mit der Verwerfungsrichtlinie „Datenübertrager“ festgelegt ist, werden die von den Datenübertragern in der Domäne übertragenen ersten Verwerfungskandidatendaten nicht verworfen, mit Ausnahme der von dem Angriffsdatenübertrager übertragenen Daten, und die Kommunikation wird aufrechterhalten.
  • Zuletzt wird die Verwerfungsrichtlinie „Service“ beschrieben. Die Verwerfungsrichtlinie „Service“ wird in einem Fall festgelegt, in dem bei der Verwerfung von Daten (den zweiten Daten), die zu einer Domäne (der zweiten Domäne) gehören, keine Probleme in der Funktion dieser Domäne auftreten, und eine Domäne, zu der der Datenübertrager (der zweite Datenübertrager) gehört, der die verworfenen Daten übertragen hat, keine Steuerung hinsichtlich Sicherheit des Fahrzeugs durchführt.
  • Selbst wenn in diesem Fall Angriffsdaten verworfen werden, hat dies keinen Einfluss auf die Funktionen dieser Domäne oder der anderen Domänen. Somit kann durch Behandeln der von dem Angriffsdatenübertrager übertragenen Daten als eine Quelle der Generierung der Angriffsdaten der Einfluss der Angriffsdaten auf den Betrieb des Fahrzeugs verringert werden.
  • In der Domäne, die mit der Verwerfungsrichtlinie „Service“ festgelegt ist, werden von den Daten, die von dem Angriffsdatenübertrager als eine Quelle der Generierung der Angriffsdaten übertragen werden, Daten für den gleichen Nutzungszweck wie derjenige der Angriffsdaten als Verwerfungsdaten genommen. Die ECU 4 oder der Sensor 5 als der Angriffsdatenübertrager kann eine Vielzahl von Typen von Daten übertragen, die für verschiedene Nutzungszwecke verwendet werden, und es besteht die Möglichkeit, dass die Übertragung von Angriffsdaten nicht nur in Bezug auf die Daten für den Nutzungszweck, für den Angriffsdaten erfasst sind, sondern auch Daten für einen anderen Nutzungszweck gestartet wird. Wenn jedoch die Bedeutung für den Betrieb des Fahrzeugs gering ist, zum Beispiel, wenn Daten für einen anderen Nutzungszweck keinen Einfluss auf die Sicherheit des Fahrzeugs haben, ist die Anforderung, die Daten für den anderen Nutzungszweck sofort zu behandeln, ohne dass Angriffsdaten erfasst sind, gering. Somit werden von den Daten, die von dem Angriffsdatenübertrager als eine Quelle der Generierung der Angriffsdaten übertragen werden, Daten für den gleichen Nutzungszweck wie derjenige der Angriffsdaten als Verwerfungsdaten genommen.
  • In der Domäne, die mit der Verwerfungsrichtlinie „Service“ wie oben beschrieben festgelegt ist, werden von den von dem Angriffsdatenübertrager übertragenen Daten Daten (entsprechend den zweiten Verwerfungskandidatendaten) für den gleichen Nutzungszweck wie derjenige der Angriffsdaten als Verwerfungsdaten genommen, aber Daten (die ersten Verwerfungskandidatendaten), die von den anderen Datenübertragern in der Domäne übertragen werden, zu der der Angriffsdatenübertrager gehört, werden nicht als Verwerfungsdaten genommen. Das heißt, in der Domäne, die mit der Verwerfungsrichtlinie „Service“ festgelegt ist, werden die ersten Verwerfungskandidatendaten nicht verworfen, außer die Daten für den gleichen Nutzungszweck wie derjenige der von dem Angriffsdatenübertrager übertragenen Angriffsdaten, und Kommunikation wird aufrechterhalten.
  • Hier werden die in der Verwerfungsrichtliniendatenbank 14 gespeicherten Verwerfungsrichtlinien unter Verwendung von 4 genauer beschrieben.
  • Im Beispiel von 4 wird bei der Erfassung von Angriffsdaten, die zu der Domäne A gehören, die Verwerfungsrichtlinie (die zweiten Verwerfungsinformationen) festgelegt, in der Daten (die zweiten Verwerfungskandidatendaten), die von dem Angriffsdatenübertrager als eine Quelle der Generierung der Angriffsdaten übertragen werden, als Verwerfungsdaten genommen. In diesem Fall werden selbst in der gleichen Domäne, Daten, mit Ausnahme der Daten, die von dem Angriffsdatenübertrager als eine Quelle der Generierung der Angriffsdaten übertragen werden, nicht als Verwerfungsdaten genommen.
  • Wenn Angriffsdaten, die zu der Domäne B gehören, erfasst werden, wird die Verwerfungsrichtlinie (die zweiten Verwerfungsinformationen) festgelegt, in der Daten (die zweiten Verwerfungskandidatendaten), die von dem Angriffsdatenübertrager als eine Quelle der Generierung der Angriffsdaten und mit dem gleichen Service-Identifizierer und Service-Identifikationswert wie diejenigen der Angriffsdaten übertragen werden, als Verwerfungsdaten genommen werden. In diesem Fall werden selbst in dergleichen Domäne, Daten, mit Ausnahme der Daten, die von dem Datenübertrager als eine Quelle der Generierung der Angriffsdaten übertragen werden und mit dem gleichen Service-Identifizierer und Service-Identifikationswert wie diejenigen der Angriffsdaten, nicht als Verwerfungsdaten genommen.
  • Wenn Angriffsdaten, die zu der Domäne C gehören, erfasst werden, wird die Verwerfungsrichtlinie (die ersten Verwerfungsinformationen) festgelegt, in der Daten (die ersten Verwerfungskandidatendaten), die als die gleiche Domäne klassifiziert sind, als Verwerfungsdaten genommen werden. In diesem Fall werden Daten, die von irgendeinem Datenübertrager übertragen werden, als Verwerfungsdaten genommen, solange es sich um Daten handelt, die von einem Datenübertrager in der gleichen Domäne übertragen werden. Auch Daten mit irgendeinem Service-Identifizierer oder einem Service-Identifikationswert werden als Verwerfungsdaten genommen.
  • Wie oben beschrieben, werden in der Verwerfungsrichtliniendatenbank 14 die Domänen und die Verwerfungsrichtlinien in Zuordnung gespeichert. Wenn eine Domäne, zu der die Angriffsdaten gehören, auf der Grundlage der Domänenkonfigurationsdatenbank 13 unterschieden wird, können die Verwerfungsdaten auf Grundlage der Verwerfungsrichtliniendatenbank 14 bestimmt werden.
  • Es ist zu beachten, dass die Domänenkonfigurationsdatenbank 13 und die Verwerfungsrichtliniendatenbank 14 einem Verwerfungsdaten-Speicherteil entsprechen.
  • Unter Bezugnahme auf 2 erfolgt erneut die Beschreibung des Verwerfungsdaten-Bestimmungsteils 12.
  • Der Verwerfungsdaten-Bestimmungsteil 12 vergleicht die von dem Angriffsdateninformationen-Erwerbungsteil 11 ausgegebenen Angriffsdatenidentifikationsinformationen und die in der Domänenkonfigurationsdatenbank 13 gespeicherten Datenidentifikationsinformationen. Insbesondere führt der Verwerfungsdaten-Bestimmungsteil 12 eine Suche danach durch, ob irgendwelche Datenidentifikationsinformationen, die mit den Angriffsdaten-Identifikationsinformationen übereinstimmen, in den Datenidentifikationsinformationen vorhanden sind, die in der Domänenkonfigurationsdatenbank 13 gespeichert sind.
  • Wenn Datenidentifikationsinformationen vorhanden sind, die mit den Angriffsdaten-Identifikationsinformationen übereinstimmen, liest der Verwerfungsdaten-Bestimmungsteil 12 Informationen über einen Domänennamen, der diesen Datenidentifikationsinformationen entspricht.
  • Als nächstes führt der Verwerfungsdaten-Bestimmungsteil 12 eine Suche danach durch, ob irgendwelche Informationen, die mit dem aus der Domänenkonfigurationsdatenbank 13 ausgelesenen Domänennamen übereinstimmen, in den Informationen über den Domänennamen vorhanden sind, die in der Verwerfungsrichtliniendatenbank 14 gespeichert sind. Wenn Informationen vorhanden sind, die mit dem Domänennamen übereinstimmen, liest der Verwerfungsdaten-Bestimmungsteil 12 die Verwerfungsrichtlinie, die den Informationen über den Domänennamen entspricht, aus der Verwerfungsrichtliniendatenbank 14.
  • Wenn die Verwerfungsrichtlinie die Domäne angibt, bestimmt der Verwerfungsdaten-Bestimmungsteil 12, dass alle einzelnen Daten (die ersten Verwerfungskandidatendaten) in der Domäne zu verwerfen sind, zu der der Datenübertrager als eine Quelle der Generierung der Angriffsdaten gehört. Da insbesondere der gemeinsame Identifizierer und Identifikationswert in der Domäne verwendet werden, werden Daten, die einen Identifizierer und einen Identifikationswert verwenden, der denjenigen ähnlich ist, die in den Angriffsdaten-Identifikationsinformationen enthaltenen, als Verwerfungsdaten bestimmt.
  • Wenn die Verwerfungsrichtlinie den Datenübertrager angibt, bestimmt der Verwerfungsdaten-Bestimmungsteil 12, alle einzelnen Daten (die zweiten Verwerfungskandidatendaten) zu verwerfen, die von dem Angriffsdatenübertrager als eine Quelle der Generierung der Angriffsdaten übertragen wurden. Insbesondere werden Daten, die Informationen nutzen, die denen ähnlich sind, die den in den Angriffsdaten-Identifikationsinformationen enthaltenen Datenübertrager angeben, als Verwerfungsdaten bestimmt.
  • Wenn die Verwerfungsrichtlinie den Service angibt, bestimmt der Verwerfungsdaten-Bestimmungsteil 12, dass die von dem Angriffsdatenübertrager übertragenen Daten (die zweiten Verwerfungskandidatendaten) als eine Quelle der Generierung der Angriffsdaten und für den gleichen Nutzungszweck wie der Nutzungszweck der Angriffsdaten zu verwerfen sind. Als Verwerfungsdaten werden insbesondere Daten festgelegt, die den in den Angriffsdaten-Identifikationsinformationen enthaltenen Informationen, angebend den Datenübertrager, den Service-Identifizierer und den Service-Identifikationswert, ähneln.
  • Der Verwerfungsdaten-Bestimmungsteil 12 gibt die als ein Verwerfungsziel bestimmten Verwerfungsdaten an den Datenverwerfung-Anweisungsteil 15 aus.
  • Insbesondere wenn alle einzelnen Daten (die ersten Verwerfungskandidatendaten) in der Domäne als Verwerfungsdaten genommen werden, gibt der Verwerfungsdaten-Bestimmungsteil 12 den Identifizierer und den Identifikationswert (z.B. VLAN_ID und seinen Wert), die in den Angriffsdaten-Identifikationsinformationen enthalten sind, an den Datenverwerfung-Anweisungsteil 15 als Informationen aus, die die Verwerfungsdaten angeben (im Folgenden als Verwerfungsdateninformationen bezeichnet).
  • Wenn alle von dem Angriffsdatenübertrager übertragenen einzelnen Daten (die zweiten Verwerfungskandidatendaten) als Verwerfungsdaten genommen werden, gibt der Verwerfungsdaten-Bestimmungsteil 12 den Identifizierer, den Identifikationswert und die Informationen, die den Datenübertrager angeben (zum Beispiel Übertragungsquellenadresse), die in den Angriffsdaten-Identifikationsinformationen enthalten sind, an den Datenverwerfung-Anweisungsteil 15 als die Verwerfungsdateninformationen aus.
  • Wenn Daten (die zweiten Verwerfungskandidatendaten), die von dem Angriffsdatenübertrager und für den gleichen Nutzungszweck wie der Nutzungszweck der Angriffsdaten übertragen werden, als Verwerfungsdaten genommen werden, gibt der Verwerfungsdaten-Bestimmungsteil 12 den Identifizierer, den Identifikationswert, die den Datenübertrager angebenden Informationen und die den Nutzungszweck angebenden Informationen (z.B. Port-Nummer), die in den Angriffsdaten-Identifikationsinformationen enthalten sind, an den Datenverwerfung-Anweisungsteil 15 als Verwerfungsdateninformationen aus.
  • Ein konkretes Beispiel, bei dem die Funktion des Verwerfungsdaten-Bestimmungsteils 12 durchgeführt wird, wird am Beispiel der Domänenkonfigurationsdatenbank 13 in 3 und am Beispiel der Verwerfungsrichtliniendatenbank 14 in 4 beschrieben.
  • Es wird ein Fall beschrieben, in dem die Angriffsdaten-Identifikationsinformationen, die durch den Angriffsdateninformationen-Erwerbungsteil 11 erworben wurden, Informationen mit einer VLAN_ID von 100, einem Datenübertrager A1 und der Port-Nr. 1010 enthalten.
  • Der Verwerfungsdaten-Bestimmungsteil 12 durchsucht die in der Domänenkonfigurationsdatenbank 13 gespeicherten Datenidentifikationsinformationen nach einer mit den oben beschriebenen Angriffsdaten-Identifikationsinformationen übereinstimmenden Information, und liest Informationen über den Domänennamen aus, die mit den übereinstimmenden Datenidentifikationsinformationen assoziiert sind. In diesem Beispiel stimmen die Datenidentifikationsinformationen über die Domäne A, die in der oberen Zeile der Liste in 3 beschrieben sind, mit den Angriffsdaten-Identifikationsinformationen überein, und somit werden die Informationen über den Domänennamen ausgelesen, der die Domäne A angibt.
  • Als Nächstes durchsucht der Verwerfungsdaten-Bestimmungsteil 12 die Verwerfungsrichtliniendatenbank 14 nach einer der Domäne A entsprechenden Information, die die Information über den Domänennamen ist, und liest die Verwerfungsrichtlinie, die der in der Verwerfungsrichtliniendatenbank 14 gespeicherten Domäne A entspricht. In diesem Beispiel wird die Verwerfungsrichtlinie ausgelesen, die den in der oberen Zeile der Liste in 4 beschriebenen Datenübertrager angibt.
  • Da die Verwerfungsrichtlinie den Datenübertrager angibt, bestimmt der Verwerfungsdaten-Bestimmungsteil 12 die von dem Datenübertrager A1 übertragenen Daten als eine Quelle der Generierung der Angriffsdaten als Verwerfungsdaten. Darüber hinaus gibt der Datenverwerfung-Bestimmungsteil 12 Informationen, die die VLAN_ID von 100 und den Datenübertrager A1 angeben, an den Datenverwerfung-Anweisungsteil 15 als die Datenverwerfungsinformationen aus.
  • Es wird ein Fall beschrieben, in dem die Angriffsdaten-Identifikationsinformationen, die durch den Angriffsdateninformationen-Erwerbungssteil 11 erworben werden, Informationen mit der VLAN_ID von 200, einem Datenübertrager B2 und der Port-Nr. 8080 enthalten.
  • Der Verwerfungsdaten-Bestimmungsteil 12 durchsucht die in der Domänenkonfigurationsdatenbank 13 gespeicherten Datenidentifikationsinformationen nach einer mit den oben beschriebenen Angriffsdaten-Identifikationsinformationen übereinstimmenden Information, und liest Informationen über den Domänennamen aus, die den übereinstimmenden Datenidentifikationsinformationen zugeordnet sind. In diesem Beispiel stimmen die Datenidentifikationsinformationen über die Domäne B, die in der Zwischenzeile der Liste in 3 beschrieben sind, mit den Angriffsdaten-Identifikationsinformationen überein, und somit wird der die Domäne B angebende Domänenname ausgelesen.
  • Als Nächstes durchsucht der Verwerfungsdaten-Bestimmungsteil 12 die Verwerfungsrichtliniendatenbank 14 nach einer mit der Domäne B übereinstimmenden Information, die die Information über den Domänennamen ist, und liest die Verwerfungsrichtlinie, die der in der Verwerfungsrichtliniendatenbank 14 gespeicherten Domäne B entspricht, aus. In diesem Beispiel wird die Verwerfungsrichtlinie ausgelesen, die den in der Zwischenzeile der Liste in 4 beschriebenen Service angibt.
  • Da die Verwerfungsrichtlinie den Service angibt, bestimmt der Verwerfungsdatenbestimmungsteil 12 die von dem Datenübertrager B2 übertragenen Daten als eine Quelle der Generierung der Angriffsdaten und mit Port-Nr. 8080 als Verwerfungsdaten. Darüber hinaus gibt der Verwerfungsdaten-Bestimmungsteil 12 Informationen, die die VLAN_ID von 200, den Datenübertrager B2 und die Port-Nr. 8080 angeben, an den Datenverwerfung-Anweisungsteil 15 als die Verwerfungsdateninformationen aus.
  • Es wird ein Fall beschrieben, in dem die Angriffsdaten-Identifikationsinformationen, die durch den Angriffsdateninformationen-Erwerbungsteil 11 erworben werden, Informationen mit der CAN_ID von 200, einem Datenübertrager C1 und der Port-Nr. 8080 enthalten.
  • Der Verwerfungsdaten-Bestimmungsteil 12 durchsucht die in der Domänenkonfigurationsdatenbank 13 gespeicherten Datenidentifikationsinformationen nach einer mit den oben beschriebenen Angriffsdaten-Identifikationsinformationen übereinstimmenden Information, und liest Informationen über den Domänennamen aus, die den übereinstimmenden Datenidentifikationsinformationen zugeordnet sind. In diesem Beispiel stimmen die Datenidentifikationsinformationen über die Domäne C, die in der unteren Zeile der Liste in 3 beschrieben sind, mit den Angriffsdaten-Identifikationsinformationen überein, und somit wird der die Domäne C angebende Domänenname ausgelesen.
  • Als nächstes durchsucht der Verwerfungsdaten-Bestimmungsteil 12 die Verwerfungsrichtliniendatenbank 14 nach einer mit der Domäne C übereinstimmenden Information, die die Information über den Domänennamen ist, und liest die Verwerfungsrichtlinie aus, die der in der Verwerfungsrichtliniendatenbank 14 gespeicherten Domäne C entspricht. In diesem Beispiel wird die Verwerfungsrichtlinie ausgelesen, die den in der unteren Zeile der Liste in 4 beschriebenen Service angibt.
  • Da die Verwerfungsrichtlinie die Domäne angibt, bestimmt der Verwerfungsdaten-Bestimmungsteil 12 Daten, die in dieser Domäne üblicherweise genutzt werden und mit einer CAN_ID von 200 als zu verwerfenden Daten. Darüber hinaus gibt der Datenverwerfung-Bestimmungsteil 12 die Informationen, die die CAN_ID von 200 angeben, an den Datenverwerfungs-Anweisungsteil 15 als die Verwerfungsdateninformationen aus.
  • In diesem Fall werden nicht nur Daten, die von dem Datenübertrager C1 als eine Quelle der Generierung der Angriffsdaten übertragen werden, sondern auch Daten, die von dem Datenübertrager C2 übertragen werden und zu der Domäne C gehören, als zu verwerfende Daten genommen.
  • Als nächstes wird der Datenverwerfung-Anweisungsteil 15 erläutert. Der Datenverwerfung-Anweisungssteil 15 hat eine Funktion des Ausgebens einer Anweisung zum Verwerfen der durch den Verwerfungsdaten-Bestimmungsteil 12 bestimmten Verwerfungsdaten aus dem fahrzeuginternen Netzwerk.
  • Der Datenverwerfung-Anweisungsteil 15 ist gebildet aus dem Speicher 112 oder der Festplatte 114, speichernd ein Programm zum Ausgeben einer Verwerfungsanweisung, dem Prozessor 111, der das Programm ausführt, und der Netzwerkschnittstelle 113, die mit den Brücken 3 verbunden ist, um Datenkommunikationen zu ermöglichen (siehe 5).
  • Der Datenverwerfung-Anweisungsteil 15 ist mit jeder Brücke 3 in dem fahrzeuginternen Netzwerk kommunizierend verbunden und überträgt eine Verwerfungsanweisung an jede Brücke 3.
  • Wenn der Verwerfungsdaten-Bestimmungsteil 12 Verwerfungsdaten bestimmt, generiert der Datenverwerfung-Anweisungsteil 15 einen Befehl zum Verwerfen der Daten. Wenn die Verwerfungsdateninformationen zusammen mit dem generierten Befehl als eine Verwerfungsanweisung genommen werden, wird die Verwerfungsanweisung an jede Brücke 3 übertragen.
  • Der Befehl zum Verwerfen der Daten sind Daten, die eine bestimmte ID nutzen, die als die Zeit des Entwerfens des fahrzeuginternen Netzwerks festgelegt ist. Die Brücke 3 ist eingestellt, um einen Verwerfungsprozess auf diese Daten unter Verwendung dieser bestimmten ID beim Empfang zu starten.
  • Um eine Verwerfungsanweisung zu geben, überträgt der Datenverwerfung-Anweisungsteil 15 die Daten, nutzend diese bestimmte ID, als einen Befehl. Außerdem zeichnet dieser die Verwerfungsdateninformationen in einem Datenfeld für die Übertragung auf.
  • Die Verwerfungsdateninformation ähnelt einer durch den Verwerfungsdaten-Bestimmungsteil 12 generierten und an den Datenverwerfung-Anweisungsteil 15 ausgegebenen Information. Insbesondere handelt es sich bei den Verwerfungsdateninformationen um: den Identifizierer und den Identifikationswert der Angriffsdaten, wenn die Verwerfungsrichtlinie die Domäne angibt; den Identifizierer, den Identifikationswert und die Information, die den Übertrager der Angriffsdaten angibt, wenn die Verwerfungsrichtlinie den Datenübertrager angibt; und den Identifizierer, den Identifikationswert, die Information, angebend den Angriffsdatenübertrager, den Service-Identifizierer und den Service-Identifikationswert der Angriffsdaten, wenn die Verwerfungsrichtlinie den Service angibt.
  • Es wird erneut auf 1 verwiesen. Bislang erfolgte eine Beschreibung der Datenkommunikationssteuerungseinrichtung 1, das eine Komponente des Fahrzeugsteuerungssystems 100 ist. Als nächstes werden die anderen Komponenten des Fahrzeugsteuerungssystems 100 beschrieben.
  • Die Angriffserfassungseinrichtung 2 erfasst Angriffsdaten auf das fahrzeuginterne Netzwerk. Außerdem extrahiert dieses aus den Angriffsdaten Angriffsdaten-Identifikationsinformationen zur Übertragung an die Datenkommunikationssteuerungseinrichtung 1.
  • Die Angriffserfassungseinrichtung 2 ist aus einer ECU gebildet, und ist über die Kommunikationsleitungen 6 mit der Vielzahl von Brücken 3 kommunizierend verbunden.
  • Außerdem speichert die Angriffserfassungseinrichtung 2 ein Bestimmungskriterium zur Unterscheidung zwischen normalen Daten und Angriffsdaten, die im fahrzeuginternen Netzwerk übertragen werden, als Angriffsdaten-Erfassungsregel.
  • Da sich die Fahrzeugzustandsgröße und die Benutzeroperationsgröße, die durch die Angriffsdaten angegeben sind, von der Normalzustandsgröße und so weiter unterscheiden, wird ein Schwellenwert in einem Bereich festgelegt, den die Normalzustandsgröße nicht annehmen kann, und kann als die Angriffsdaten-Erfassungsregel genutzt werden. Auch wenn sich die Zustandsgröße und so weiter erheblich ändern, kann bestimmt werden, dass die normale Datenübertragung unterbrochen wurde und Angriffsdatenübertragung gestartet hat. Somit wird ein Schwellenwert für eine Änderungsgröße der Zustandsgröße festgelegt und kann als die Angriffsdaten-Erfassungsregel verwendet werden.
  • Darüber hinaus, wenn Daten, die Zustandsgrößen angeben, die in einem normalen Zustand nicht nacheinander genommen werden können, nacheinander übertragen werden und wenn Daten, die eine Operationsgröße in einem Zyklus angeben, der sich von einem normalen Operationszyklus durch einen Benutzer unterscheidet, übertragen werden, können solche Daten als Angriffsdaten betrachtet werden und somit als das Bestimmungskriterium genutzt werden.
  • Die Angriffserfassungseinrichtung 2 überwacht die in dem fahrzeuginternen Netzwerk übertragenen und über die Brücken 3 übertragenen Daten.
  • Außerdem bestimmt die Angriffserfassungseinrichtung 2 auf Grundlage der Angriffsdaten-Erfassungsregel, ob Angriffsdaten in den überwachten Daten enthalten sind oder nicht, um Angriffsdaten zu erfassen.
  • Bei der Erfassung von Angriffsdaten extrahiert die Angriffserfassungseinrichtung 2 aus den Angriffsdaten Angriffsdaten-Identifikationsinformationen. Die Angriffsdaten-Identifikationsinformationen umfassen Informationen über die Quelle der Generierung der Angriffsdaten und Informationen über den Nutzungszweck, für den die Angriffsdaten genutzt werden. Die Angriffserfassungseinrichtung 2 überträgt die extrahierten Angriffsdaten-Identifikationsinformationen an die Datenkommunikationssteuerungseinrichtung 1.
  • Wie im Beispiel der Liste in der Domänenkonfigurationsdatenbank 13 in 3 beschrieben, verfügt das fahrzeuginterne Netzwerk hier über eine Domäne, nutzend VLAN_ID als einen Identifizierer auf Grundlage des Ethernet-Protokolls und eine Domäne, nutzend die CAN_ID als einen Identifizierer auf Grundlage des CAN-Protokolls (Controller Area Network).
  • Die Angriffserfassungseinrichtung 2 erkennt einen Unterschied in der Rahmenkonfiguration jedes Protokolls beim Extrahieren der Angriffsdaten-Identifikationsinformationen.
  • Insbesondere hat ein Ethernet-Rahmen einen Datenbereich, der als ein Präambelteil bezeichnet wird, am Anfang des Rahmens, und ein CAN-Frame hat einen Datenbereich, der als SOF (Start Of Frame = Rahmenanfang) bezeichnet wird, am Anfang des Rahmens. Da sich diese Datenbereiche voneinander unterscheiden, erkennt die Angriffserfassungseinrichtung 2 anhand dieses Unterschieds einen Unterschied in der Rahmenkonfiguration jedes Protokolls. Dann erwirbt die Angriffserfassungseinrichtung 2 Angriffsdaten-Identifikationsinformationen wie z.B. eine ID aus dem spezifischen Bereich des Rahmens.
  • Als nächstes wird die Brücke 3 erläutert. Die Brücke 3 leitet in dem fahrzeuginternen Netzwerk übertragene Daten weiter. Außerdem stoppt diese die Weiterleitung von Daten als ein Verwerfungsziel.
  • Anstelle der Brücke 3 kann ein Switching-Hub oder Gateway genutzt werden.
  • Außerdem ist die Brücke 3 über die Kommunikationsleitungen 6 mit der Datenkommunikationssteuerungseinrichtung 1, der Angriffserfassungseinrichtung 2, den ECUs 4 und den Sensoren 5 kommunizierend verbunden.
  • Die Brücke 3 leitet Daten, die zwischen den ECUs 4 oder zwischen der ECU 4 und dem Sensor 5 übertragen werden, weiter. Um die Angriffserfassungseinrichtung 2 zu veranlassen, Daten zu überwachen, überträgt diese auch Daten, die an die Angriffserfassungseinrichtung 2 weiterzuleiten sind.
  • Wenn die Datenkommunikationssteuerungseinrichtung 1 Verwerfungsdaten bestimmt und eine Anweisung zum Verwerfen dieser Daten an jede Brücke 3 übertragt, legt jede Brücke 3 diese Daten als eine Bestimmungsbedingung für Nicht-Weiterleitung-Daten fest und stoppt das Weiterleiten, wodurch verhindert wird, dass diese Daten in der ECU 4 genutzt werden.
  • Insbesondere beim Empfangen eines Befehls, angebend eine Verwerfungsanweisung und Verwerfungsdateninformationen, die von der Datenkommunikationssteuerungseinrichtung 1 übertragen werden, liest die Brücke 3 diesen Befehl und registriert die Verwerfungsdateninformationen in der Liste der Verwerfungsdaten, über die die Brücke 3 verfügt (im Folgenden als Verwerfungsdatenliste bezeichnet).
  • Die Brücke 3 durchsucht die Liste, um zu prüfen, ob die weiterzuleitenden Daten in der Verwerfungsdatenliste enthalten sind, und führt, wenn diese in der Verwerfungsdatenliste enthalten ist, keine Weiterleitung dieser Daten durch.
  • Hier hat die Brücke 3 in der vorliegenden Ausführungsform eine Funktion des Lesens von Header-Informationen jeder Datenschicht, die weiterzuleiten ist, um Weiterleitung der Verwerfungsdaten zu stoppen. Konkret speichert die Brücke 3 in einem Speicher oder auf einer Festplatte in der Brücke 3 ein Programm zum Lesen von Header-Informationen jeder weiterzuleitenden Datenschicht und führt diese Funktion aus, indem der Prozessor in der Brücke 3 veranlasst wird, das Programm auszuführen.
  • Zum Beispiel wird in einem Rahmen, der auf dem TCP/IP-Protokoll basiert, vor dem Datenfeld ein TCP-Header hinzugefügt, vor welchem ein Ethernet-Header hinzugefügt wurde. In dem TCP-Header wird eine Portnummer aufgezeichnet, die den Nutzungszweck der Daten angibt. In dem Ethernet-Header sind die VLAN_ID und eine Übertragungsquellen-MAC-(Media Access Control = Medienzugriffssteuerung)-Adresse aufgezeichnet. Die Brücke 3 liest diese einzelnen Header-Informationen, sucht, um zu prüfen, ob diese mit der VLAN_ID usw. der in der Verwerfungsdatenliste enthaltenen Verwerfungsdaten übereinstimmen, und stoppt Weiterleitung dieser Daten, wenn diese übereinstimmen.
  • Als nächstes wird die ECU 4 erläutert. Die ECU 4 führt Steuerung einer fahrzeuginternen Einrichtung auf Grundlage von Daten, angebend eine Fahrzeugzustandsgröße oder eine Benutzeroperationsgröße, durch. Außerdem generiert diese Daten, angebend eine Zustandsgröße einer fahrzeuginternen Einrichtung, die Steuerung zur Übertragung an eine andere ECU 4 durchführt.
  • Die ECU 4 ist mit der Brücke 3 über die Kommunikationsleitung 6, durchführend Datenkommunikation mit einer anderen ECU 4 oder dem Sensor 5, kommunizierend verbunden. Außerdem ist die ECU 4 mit einer von der Vielzahl von fahrzeuginternen Einrichtungen, die am Fahrzeug angebracht sind, kommunizierend verbunden.
  • Die ECU 4 empfängt Daten wie die Fahrzeugzustandsgröße, von einer anderen ECU 4 oder dem Sensor 5, um ein Steuerungssignal zum Steuern der verbundenen fahrzeuginternen Einrichtung zur Übertragung an die fahrzeuginterne Einrichtung zu generieren, um dadurch die fahrzeuginterne Einrichtung zu steuern.
  • Außerdem erwirbt die ECU 4 von der fahrzeuginternen Einrichtung ihre Zustandsgröße, um Daten zu generieren, angebend die Zustandsgröße der fahrzeuginternen Einrichtung, zur Übertragung an eine andere ECU 4. Unter Verwendung dieser Daten führt die andere ECU 4 Steuerung der anderen fahrzeuginternen Einrichtung durch.
  • Ein Beispiel für die ECU 4 ist eines der Steuerung einer fahrzeuginternen Einrichtung wie der Motor, Lenkeinrichtung, Bremseinrichtung, Navigationseinrichtung oder Klimaanlage.
  • Als nächstes wird der Sensor 5 erläutert. Der Sensor 5 generiert Daten, die eine Fahrzeugzustandsgröße angeben, oder Daten angeben, die eine Benutzeroperationsgröße zur Übertragung an die ECU 4 angeben.
  • Der Sensor 5 ist mit der Brücke 3 über die Kommunikationsleitung 6 kommunizierend verbunden und führt Datenkommunikation mit der ECU 4 durch.
  • Der Sensor 5 generiert Daten, die eine Fahrzeugzustandsgröße oder dergleichen angeben, in einem vorherbestimmten Zyklus und überträgt die Daten nacheinander an die ECU 4. Außerdem kann dieser eine Datenübertragungsanweisung von der ECU 4 empfangen, um Daten zu generieren und zu übertragen.
  • Beispiele für den Sensor 5 umfassen einen Temperatursensor, der die Temperatur des Motors misst, einen Drehwinkelsensor, der eine Betriebsgröße des Lenkrads durch einen Benutzer erfasst und so weiter.
  • Es ist zu beachten, dass die ECUs 4 und die Sensoren 5, die in 1 dargestellt sind, als „ECU A1“, „Sensor A2” oder dergleichen bezeichnet sind. Dies entspricht den Informationen, die Datenübertrager in der Liste in der Domänenkonfigurationsdatenbank 13 in 3 angeben. Das heißt, „ECU A1“ und „Sensor A2“ in 1 gehören zu der Domäne A, „ECU B1“ und „Sensor B2“ gehören zu der Domäne B und „ECU C1“ und „ECU C2“ gehören zu der Domäne C.
  • Während das Beispiel in 1 dargestellt ist, in dem die ECU 4 und der Sensor 5, die mit einer einzelnen Brücke 3 verbunden sind, zur der gleichen Domäne gehören, kann eine Domäne über die Brücken 3 festgelegt sein.
  • Als nächstes werden Kommunikationsleitungen 6 erläutert. Die Kommunikationsleitungen 6 sind zum Übertragen von Daten, die von der Datenkommunikationssteuerungseinrichtung 1, der Angriffserfassungseinrichtung 2, der Vielzahl von Brücken 3, der Vielzahl von ECUs 4 und der Vielzahl von Sensoren 5 (diese werden als Netzwerkkomponenten bezeichnet) übertragen werden, an eine andere Netzwerkkomponente.
  • Es gibt die Vielzahl der Kommunikationsleitungen 6, und die Kommunikationsleitungen 6 sind jeweils mit der Datenkommunikationssteuerungseinrichtung 1, der Angriffserfassungseinrichtung 2, der Vielzahl von Brücken 3, der Vielzahl von ECUs 4 und der Vielzahl von Sensoren 5 verbunden.
  • Beispiele für die Kommunikationsleitungen 6 sind Busse, LAN (Local Area Network)-Kabel oder dergleichen.
  • Mit der Verbindung der Netzwerkkomponenten über die oben beschriebenen Kommunikationsleitungen 6 wird auch das fahrzeuginterne Netzwerk des Fahrzeugsteuerungssystems 100 aufgebaut.
  • Zwischen den Netzwerkkomponenten erfolgt die Datenkommunikation auf Grundlage eines Kommunikationsprotokolls wie CAN oder Ethernet über die Kommunikationsleitungen 6.
  • Bislang wurde jede Komponente des Fahrzeugsteuerungssystems 100 beschrieben. Außerdem erfolgte eine Beschreibung jeder Komponente der Datenkommunikationssteuerungseinrichtung 1, die in dem Fahrzeugsteuerungssystem 100 enthalten ist.
  • Als nächstes wird ein Verfahren beschrieben, wobei das Verfahren die Liste der Datenidentifikationsinformationen, die in der Domänenkonfigurationsdatenbank 13 gespeichert sind, und die Verwerfungsrichtlinien, die den in der Verwerfungsrichtliniendatenbank 14 gespeicherten Domänen entsprechen, generiert, wobei die Domänenkonfigurationsdatenbank 13 und die Verwerfungsrichtliniendatenbank 14 als Komponenten der Datenkommunikationssteuerungseinrichtung 1 beschrieben sind.
  • Die Liste der Datenidentifikationsinformationen und die Verwerfungsrichtlinien werden mit Hilfe eines Computers generiert, um Kommunikation im fahrzeuginternen Netzwerk virtuell zu reproduzieren, um Simulationen durchzuführen und das Simulationsergebnis in einem Normalzustand und das Simulationsergebnis in einem Angriffszustand mit verworfenen Angriffsdaten zu vergleichen. Im Folgenden erfolgt eine konkrete Beschreibung.
  • Auf dem Computer wird ein virtuelles fahrzeuginternes Netzwerk, das einem tatsächlichen fahrzeuginternen Netzwerk entspricht, entworfen, um ein virtuelles Fahrzeugsteuerungssystem zu konstruieren. Auch Daten, die während des tatsächlichen Betriebs des Fahrzeugs erworben oder eingegeben werden, werden vorbereitet, zum Beispiel Daten, die eine Fahrzeugzustandsgröße angeben, und Daten, die eine Benutzeroperationsgröße angeben, wenn das Fahrzeug tatsächlich in Betrieb ist. Mit Hilfe dieser Daten wird das virtuelle Fahrzeugsteuerungssystem virtuell betrieben, um Simulationen durchzuführen. Durch die Simulationen werden die Ergebnisse erworben, wobei sich die Ergebnisse auf Inhalte der Kommunikation zwischen virtuellen ECUs und virtuellen Sensoren, die das virtuelle Fahrzeugsteuerungssystem bilden, und Inhalte der Steuerungssignale, die an virtuelle fahrzeuginterne Einrichtungen übertragen werden, beziehen. Diese Ergebnisse sind Ergebnisse in einem normalen Zustand des virtuellen Fahrzeugsteuerungssystems.
  • Auch bei einem virtuellen Datenübertrager, bei dem es sich um eine virtuelle ECU oder einen virtuellen Sensor handelt, die in dem virtuellen Fahrzeugsteuerungssystem enthalten sind, und von dem angenommen wird, dass sein Programm auf nicht autorisierte Weise umgeschrieben wurde, um zu einem virtuellen Angriffsdatenübertrager zu werden und die Übertragung von Angriffsdaten zu starten, werden Simulationen in einem Zustand durchgeführt, in dem die vom virtuellen Angriffsdatenübertrager übertragenen Daten (die ersten Daten oder die zweiten Daten) verworfen wurden. Durch die Simulationen werden die Ergebnisse erworben, wobei sich die Ergebnisse auf Inhalte der Kommunikation zwischen virtuellen ECUs und virtuellen Sensoren, die das virtuelle Fahrzeugsteuerungssystem bilden, und Inhalte der Steuerungssignale, die an die virtuellen fahrzeuginternen Einrichtungen übertragen werden, beziehen. Diese Ergebnisse sind Ergebnisse in einem Angriffszustand, in dem das virtuelle Fahrzeugsteuerungssystem angegriffen wurde und die Angriffsdaten verworfen wurden.
  • Durch Vergleichen der Ergebnisse im Normalzustand und der Ergebnisse im Angriffszustand, in dem Zustand, in dem Daten (die ersten Daten oder die zweiten Daten), die von dem virtuellen Angriffsdatenübertrager übertragen wurden, verworfen wurden, ist es möglich, zu wissen, welcher Einfluss auf die Funktion der Domäne, zu der der virtuelle Angriffsdatenübertrager gehört, betroffen ist, und die in der Funktion dieser Domäne auftretenden Probleme zu überprüfen.
  • In ähnlicher Weise werden mit einer ECU und einem Sensor, die jeweils als virtuelle Angriffsdatenübertrager angenommen werden, die oben beschriebenen Simulationen wiederholt, um Probleme zu überprüfen, die in der Funktion der Domäne auftreten.
  • Ein Verfahren des Generierens einer Liste von Datenidentifikationsinformationen unter Verwendung der Ergebnisse der oben beschriebenen Simulationen wird konkret beschrieben.
  • Zunächst werden aus den Kommunikationsinhalten als die Ergebnisse der oben beschriebenen Simulationen im Normalzustand eine Vielzahl von einzelnen Daten (die ersten Daten und die zweiten Daten) identifiziert, die in dem fahrzeuginternen Netzwerk zur Verwendung bei der Fahrzeugsteuerung übertragen werden. Eine Vielzahl von einzelnen Datenidentifikationsinformationen, die der identifizierten Vielzahl von einzelnen Daten entsprechen, sind für jede Domäne klassifiziert und in eine Listenform gebracht. Da hier der gemeinsame Identifizierer und der Identifikationswert in einer Domäne verwendet werden, ist eine Klassifizierung auf Grundlage des Identifizierers und des Identifikationswertes möglich. Alternativ, da es sich bei jeder Domäne um eine Gruppe von Datenübertragern handelt, die für jedes der Steuerungssysteme (wie Antriebssystem, Karosseriesystem und Sicherheitssystem) des Fahrzeugs enthalten sind, können die von den Datenübertragern übertragenen Daten, die für jedes Steuerungssystem klassifiziert sind, als Daten klassifiziert werden, die zu der gleichen Domäne gehören.
  • Darüber hinaus wird den Datenidentifikationsinformationen über Daten, die als die gleiche Domäne klassifiziert sind, der gleiche Domänenname hinzugefügt, und die Datenidentifikationsinformationen werden in der Domänenkonfigurationsdatenbank 13 gespeichert.
  • Es ist zu beachten, dass, obwohl alle einzelnen Datenidentifikationsinformationen der Vielzahl von Daten (die ersten Daten und die zweiten Daten) zur Verwendung bei der Fahrzeugsteuerung in eine Listenform gebracht sein können, nur eine Information gespeichert werden muss, wenn ein Identifizierer, ein Identifikationswert, ein Datenübertrager, ein Service-Identifizierer oder ein Service-Identifikationswert, die Datenidentifikationsinformationen bilden, unter der Vielzahl von ersten einzelnen Daten gemeinsam ist.
  • Insbesondere wenn zwei einzelne Daten, die zur Domäne A gehören und einen Identifizieren und einen Identifikationswert von VLAN_ID und 100 gemeinsam haben, und eine einzelne der ersten Daten von dem Datenübertrager A1 und eine andere einzelne der ersten Daten von dem Datenübertrager A2 übertragen wird, wie im Beispiel der Liste in 3, wird in der Zeile der Domäne A in der Identifiziererspalte eine VLAN_ID und eine 100 in der Identifikationswertspalte gespeichert. Außerdem werden A1 und A2 in der Datenübertragerspalte gespeichert.
  • Als nächstes wird ein Verfahren des Festlegens einer Verwerfungsrichtlinie für jede Domäne konkret beschrieben.
  • Wenn durch den Vergleich zwischen den Ergebnissen der Simulationen im Normalzustand und den Ergebnissen der Simulationen im Angriffszustand bestätigt wurde, dass bestimmte Daten verworfen werden, die Probleme in der Funktion der Domäne, zu der diese Daten gehören, bewirken, wird die Verwerfungsrichtlinie der Domäne, zu der diese Daten gehören, als die Domäne festgelegt. Mit anderen Worten, die zu dieser Domäne gehörenden Daten sind als Daten (die ersten Verwerfungskandidatendaten) festgelegt, die bewirken, dass Probleme bei der Fahrzeugsteuerung auftreten, wenn Angriffsdaten verworfen werden.
  • Nachdem bestimmt wurde, ob die Verwerfungsrichtlinie für alle Domänen in der Liste als die Domäne festgelegt ist, wird eine Verwerfungsrichtlinie für eine Domäne festgelegt, für die die Verwerfungsrichtlinie nicht als die Domäne festgelegt ist.
  • Wenn ein Datenübertrager, der bestimmte Daten überträgt, zu einer Domäne gehört, die eine für die Sicherheit des Fahrzeugs wichtige Funktion erfüllt, werden die von diesem Datenübertrager übertragenen Daten, die für einen anderen Nutzungszweck verwendet werden sollen, ebenfalls vorzugsweise im Voraus verworfen. Wenn somit die Domäne, für die die Verwerfungsrichtlinie nicht als die Domäne festgelegt ist, eine Domäne ist, die die für die Sicherheit des Fahrzeugs wichtige Funktion erfüllt, wird der Datenübertrager (die zweiten Verwerfungsinformationen) als eine Verwerfungsrichtlinie für diese Domäne festgelegt.
  • Außerdem, wenn die Domäne, für die die Verwerfungsrichtlinie nicht als die Domäne festgelegt ist, eine Domäne ist, die die für die Sicherheit des Fahrzeugs wichtige Funktion nicht erfüllt, wird der Service (die zweitem Verwerfungsinformationen) als eine Verwerfungsrichtlinie für diese Domäne festgelegt.
  • Auf die oben beschriebene Weise werden die Liste der Datenidentifikationsinformationen, die in der Domänenkonfigurationsdatenbank 13 gespeichert sind, und die in der Verwerfungsrichtliniendatenbank 14 gespeicherten Verwerfungsrichtlinien generiert.
  • Es ist zu beachten, dass die Liste der Datenidentifikationsinformationen, die in der Domänenkonfigurationsdatenbank 13 gespeichert sind, und die in der Verwerfungsrichtliniendatenbank 14 gespeicherten Verwerfungsrichtlinien unter Verwendung der Simulationsergebnisse, wie oben beschrieben, oder durch Bestimmen, basierend auf einer empirischen Regel, ob Probleme bei der Fahrzeugsteuerung auftreten oder Sicherheit des Fahrzeugs betroffen ist, generiert werden können.
  • Als nächstes wird die Hardware-Konfiguration der Datenkommunikationssteuerungseinrichtung 1 unter Bezugnahme auf 5 beschrieben.
  • 5 ist ein Blockdiagramm, darstellend die Hardware-Konfiguration zur Realisierung der Datenkommunikationssteuerungseinrichtung 1 gemäß Ausführungsform 1 der vorliegenden Erfindung.
  • Die Datenkommunikationssteuerungseinrichtung 1 ist gebildet aus einer ECU, umfassend den Prozessor 111, den Speicher 112, die Netzwerkschnittstelle 113 und die Festplatte (nichtflüchtiger Speicher) 114.
    Der Angriffsdateninformationen-Erwerbungsteil 11 ist durch den Prozessor 111 realisiert, der das Programm zum Erwerben der Angriffsdaten-Identifikationsinformationen von dem Speicher 112 oder der Festplatte 114 liest und ausführt. Der Verwerfungsdaten-Bestimmungsteil 12 ist durch den Prozessor 111 realisiert, der das Programm zur Bestimmung von Verwerfungsdaten aus dem Speicher 112 oder der Festplatte 114 liest und ausführt. Der Datenverwerfungs-Anweisungsteil 15 ist durch den Prozessor 111 realisiert, der das Programm zur Übertragung einer Verwerfungsanweisung aus dem Speicher 112 oder der Festplatte 114 liest und ausführt.
  • Auch das Erwerben von Angriffsdaten-Identifikationsinformationen durch den Angriffsdateninformationen-Erwerbungsteil 11 und die Übertragung einer Verwerfungsanweisung durch den Datenverwerfung-Anweisungsteil 15 werden durch die Netzwerkschnittstelle 113 durchgeführt.
  • Die Domänenkonfigurationsdatenbank 13 und die Verwerfungsrichtliniendatenbank 14 sind durch Speichern der Liste der Datenidentifikationsinformationen und Verwerfungsrichtlinien im Speicher 112 oder auf der Festplatte 114 realisiert.
  • Als nächstes wird der Betrieb der Datenkommunikationssteuerungseinrichtung 1 gemäß Ausführungsform 1 unter Bezugnahme auf 6 beschrieben.
  • 6 ist ein Flussdiagramm, darstellend einen Prozess durch die Datenkommunikationssteuerungseinrichtung 1 gemäß Ausführungsform 1 der vorliegenden Erfindung.
  • Der Prozess durch die Datenkommunikationssteuerungseinrichtung 1 wird beim Start des Fahrzeugsteuerungssystems 100 gestartet.
  • Insbesondere, beim Start des Fahrzeugsteuerungssystems 100, liest der Prozessor 111 der Datenkommunikationssteuerungseinrichtung 1 ein Programm, das Angriffsdateninformationen erwirbt, ein Programm, das Verwerfungsdaten bestimmt, und ein Programm zur Übertragung einer im Speicher 112 oder auf der Festplatte 114 gespeicherten Verwerfungsanweisung und führt dieses aus.
  • Der Angriffsdateninformationen-Erwerbungsteil 11 nimmt eine Bestimmung hinsichtlich des Empfangs von Angriffsdaten-Identifikationsinformationen vor (Schritt S101) und wiederholt die Bestimmung (wenn NEIN in Schritt S101), bis Angriffsdaten-Identifikationsinformationen empfangen sind.
  • Insbesondere, da Angriffsdaten-Identifikationsinformationen von der Angriffserfassungseinrichtung 2 als Daten mit einer vordefinierten bestimmten ID übertragen werden, identifiziert der Prozessor 111 der Datenkommunikationssteuerungseinrichtung 1 die ID der übertragenen Daten und nimmt eine Bestimmung hinsichtlich des Empfangs von Angriffsdaten-Identifikationsinformationen vor.
  • Wenn der Angriffsdateninformationen-Erwerbungsteil 11 Angriffsdaten-Identifikationsinformationen empfängt (wenn JA in Schritt S101), werden die Angriffsdaten-Identifikationsinformationen vom Angriffsdateninformationen-Erwerbungsteil 11 an den Verwerfungsdaten-Bestimmungsteil 12 gesendet. Der Verwerfungsdaten-Bestimmungsteil 12 durchsucht die in der Domänenkonfigurationsdatenbank 13 gespeicherten Datenidentifikationsinformationen nach einer mit den Angriffsdaten-Identifikationsinformationen (Identifizierer, Identifikationswert, Datenübertrager, Service-Identifizierer und Service-Identifikationswert) (Schritt S102) übereinstimmenden Information und bestimmt, ob die Angriffsdaten-Identifikationsinformationen mit irgendwelchen Datenidentifikationsinformationen in der Liste übereinstimmen (Schritt S103).
  • Insbesondere bestimmt der Prozessor 111 der Datenkommunikationssteuerungseinrichtung 1, ob die ersten Datenidentifikationsinformationen in der Liste der im Speicher 112 oder auf der Festplatte 114 gespeicherten Datenidentifikationsinformationen mit den Angriffsdaten-Identifikationsinformationen übereinstimmen, und nimmt eine Bestimmung für die Datenidentifikationsinformation in der Liste nacheinander vor, bis übereinstimmende Datenidentifikationsinformationen gefunden sind.
  • Wenn diese dann übereinstimmen (wenn JA in Schritt S103), liest der Verwerfungsdaten-Bestimmungsteil 12 den Domänennamen, der den Datenidentifikationsinformationen entspricht, die mit den Angriffsdaten-Identifikationsinformationen übereinstimmen, aus der Domänenkonfigurationsdatenbank 13 aus (Schritt S104). Wenn die Angriffsdaten-Identifikationsinformationen mit keinen Datenidentifikationsinformationen in der Liste übereinstimmen (wenn NEIN in Schritt S103), wird die Bestimmung bezüglich des Empfangs der Angriffsdaten-Identifikationsinformation wiederholt, bis die Angriffsdaten-Identifikationsinformation erneut empfangen wird (Schritt S101).
  • Insbesondere beim Bestimmen, dass bestimmte Datenidentifikationsinformationen in der Liste der Datenidentifikationsinformationen, die im Speicher 112 oder auf der Festplatte 114 gespeichert sind, mit den Angriffsdaten-Identifikationsinformationen übereinstimmen, liest der Prozessor 111 der Datenkommunikationssteuerungseinrichtung 1 den diesen Datenidentifikationsinformationen hinzugefügten Domänennamen aus dem Speicher 112 oder der Festplatte 114 aus. Auch wenn bestimmt wird, dass irgendwelche Datenidentifikationsinformationen mit den Angriffsdaten-Identifikationsinformationen nicht übereinstimmen, kehrt der Prozess zu dem Prozess der Bestimmung bezüglich des Empfangs der Angriffsdaten-Identifikationsinformationen zurück.
  • Der Verwerfungsdaten-Bestimmungsteil 12 durchsucht die Verwerfungsrichtliniendatenbank 14 nach einer Verwerfungsrichtlinie, die mit dem in Schritt S104 ausgelesenen Domänennamen übereinstimmt, und liest die Verwerfungsrichtlinie aus, die dem übereinstimmenden Domänennamen entspricht (Schritt S105).
  • Der Verwerfungsdaten-Bestimmungsteil 12 bestimmt Verwerfungsdaten auf Grundlage der ausgelesenen Verwerfungsrichtlinie (Schritt S106).
  • Insbesondere bestimmt der Prozessor 111 der Datenkommunikationssteuerungseinrichtung 1, ob die Informationen, die den ersten Domänennamen in der Liste der in dem Speicher 112 oder auf der Festplatte 114 gespeicherten Verwerfungsrichtlinien angeben, mit den Informationen übereinstimmen, die den zuvor ausgelesenen Domänennamen angeben, wobei Bestimmung über die Informationen, die den Domänennamen in der Liste angeben, nacheinander durchgeführt wird, bis Informationen gefunden sind, die den übereinstimmenden Domänennamen angeben. Wenn Informationen, die den übereinstimmenden Domänennamen angeben, gefunden sind, liest der Prozessor 111 die diesen Informationen zugeordnete Verwerfungsrichtlinie, die den Domänennamen angibt, aus dem Speicher 112 oder der Festplatte 114 aus.
  • Beim Lesen der Verwerfungsrichtlinie „Domäne“ liest der Prozessor 111 den Identifizierer und den Identifikationswert aus den in dem Speicher 112 oder auf der Festlatte 114 zurückgehaltenen Angriffsdaten-Identifikationsinformationen und bestimmt Daten, die mit dem gleichen Identifizierer und Identifikationswert wie diese festgelegt sind, als Verwerfungsdaten.
  • Beim Lesen der Verwerfungsrichtlinie „Datenübertrager“ liest der Prozessor 111 den Identifizierer, den Identifikationswert und die den Datenübertrager angebenden Informationen aus den in dem Speicher 112 oder auf der Festplatte 114 zurückgehaltenen Angriffsdaten-Identifikationsinformationen und bestimmt Daten, die mit dem gleichen Identifizierer, Identifikationswert und den Datenübertrager angebenden Informationen wie diese festgelegt sind, als Verwerfungsdaten.
  • Beim Lesen der Verwerfungsrichtlinie „Service“ liest der Prozessor 111 den Identifizierer, den Identifikationswert, die den Datenübertrager angebenden Informationen, den Service-Identifizierer und den Service-Identifikationswert aus den Angriffsdaten-Identifikationsinformationen, die in dem Speicher 112 oder auf der Festplatte 114 zurückgehalten sind, und bestimmt Daten, die mit dem gleichen Identifizierer, Identifikationswert, den Datenübertrager angebenden Informationen, Service-Identifizierer und Service-Identifikationswert wie diese festgelegt sind, als Verwerfungsdaten.
  • Der Datenverwerfung-Anweisungsteil 15 erwirbt aus dem Verwerfungsdaten-Bestimmungsteil 12 Verwerfungsdateninformationen, die die als Verwerfungsdaten bestimmten Daten angeben, und generiert eine Verwerfungsanweisung zur Übertragung an die Brücke 3 (Schritt S107).
  • Konkret zeichnet der Prozessor 111 der Datenkommunikationssteuerungseinrichtung 1 als die Verwerfungsdateninformation die Informationen wie beispielsweise den Identifizierer, der die bestimmten Verwerfungsdaten angibt, in einem Datenfeld eines mit einer spezifischen ID hinzugefügten Rahmens auf und generiert einen Befehl. Dieser Befehl wird von der Netzwerkschnittstelle 113 an die Brücke 3 übertragen. Die hier angegebene spezifische ID ist eine vordefinierte ID, die bewirkt, dass die Brücke 3 die Verwerfungsdaten verwirft.
  • Danach wird die Bestimmung hinsichtlich des Empfangs von Angriffsdaten-Identifikationsinformationen wiederholt, bis Angriffsdaten-Identifikationsinformationen erneut empfangen werden (Schritt S101).
  • Als nächstes wird der Prozess durch die Brücke 3 anhand von 7 erläutert. 7 ist ein Flussdiagramm, darstellend den Prozess durch die Brücke gemäß Ausführungsform 1 der vorliegenden Erfindung.
  • Beim Empfangen des von der Datenkommunikationssteuerungseinrichtung 1 übertragenen Verwerfungsanweisungsbefehls, Lesen der ID und Erkennen dieser als eine Verwerfungsanweisung, liest die Brücke 3 die in dem Verwerfungsanweisungsbefehl enthaltenen Verwerfungsdateninformationen und fügt die Verwerfungsdateninformationen zur der Verwerfungsdatenliste hinzu.
  • Ein Prozess des Bestimmens unter Verwendung dieser Verwerfungsdatenliste, ob die Brücke 3 in dem fahrzeuginternen Netzwerk übertragene Daten überträgt, um Weiterleiten durchzuführen oder Weiterleitung zu stoppen, ist wie folgt.
  • Der Prozess durch die Brücke 3, durchführend Weiterleitung oder stoppend Weiterleitung, wird beim Start des Fahrzeugsteuerungssystems 100 gestartet.
  • Die Brücke 3 bestimmt, ob oder ob nicht weiterzuleitende Daten von dem Datenübertrager empfangen wurden, der mit der Brücke 3 über die Kommunikationsleitung 6 verbunden ist (Schritt S111). Wenn weiterzuleitende Daten nicht empfangen wurden, wird der Bestimmungsprozess wiederholt (wenn NEIN in Schritt S111), bis weiterzuleitende Daten empfangen sind.
  • Falls die weiterzuleitenden Daten empfangen wurden (wenn JA in Schritt S111), startet die Brücke 3 einen Prozess des Bestimmens, ob oder ob nicht die weiterzuleitenden Daten Daten sind, die mit den in der Verwerfungsdatenliste enthaltenen Verwerfungsdateninformationen übereinstimmen (Schritt S112 bis Schritt S114). Schritt S112 bis Schritt S114 sind ein Prozess des Bestimmens, ob die weiterzuleitenden Daten Daten sind, die mit den Verwerfungsdateninformationen in der Liste übereinstimmen, nacheinander von einer in der Verwerfungsdatenliste zuerst gelisteten Information (in 7 als eine Listensuchschleife bezeichnet). Dieser Prozess endet, wenn die Suche nach allen einzelnen Verwerfungsdateninformationen in der Liste abgeschlossen ist. Außerdem endet der Prozess, wenn im Verlauf der Suche bestimmt wird, dass die weiterzuleitenden Daten Daten sind, die mit den Verwerfungsdateninformationen übereinstimmen (wenn JA in Schritt S113).
  • Die Brücke 3 bestimmt, ob die weiterzuleitenden Daten Daten sind, die mit den ersten Verwerfungsdateninformationen in der Liste übereinstimmen, und wenn diese nicht übereinstimmen (wenn NEIN in Schritt S113), den Bestimmungsprozess auf die nächsten Verwerfungsdateninformationen in ähnlicher Weise durchführt und dies wiederholt. Wenn es sich bei den weiterzuleitenden Daten um Daten handelt, die mit der ersten oder irgendwelchen Verwerfungsdateninformationen in der Liste übereinstimmen (wenn JA in Schritt S113), sind diese weiterzuleitenden Daten Verwerfungsdaten, und daher wird die Datenweiterleitung gestoppt (Schritt S116).
  • Wenn es sich bei den weiterzuleitenden Daten nicht um Daten handelt, die mit irgendwelchen Verwerfungsdateninformationen in der Liste übereinstimmen, beendet die Brücke 3 die Schleife (Schritt S112 bis Schritt S114) und leitet die Daten weiter (Schritt S115).
  • Es ist zu beachten, dass zum Beispiel, wenn die Verwerfungsrichtlinie die Domäne angibt, die Verwerfungsdateninformationen durch Informationen über den Identifizierer und den Identifikationswert dargestellt sind. Wenn der Identifizierer und der Identifikationswert der weiterzuleitenden Daten mit dem Identifizierer und dem Identifikationswert als die Verwerfungsdateninformationen übereinstimmen, wird bestimmt, dass es sich bei den weiterzuleitenden Daten um Daten handelt, die mit den Verwerfungsdateninformationen übereinstimmen.
  • Zudem, wenn in der Verwerfungsrichtlinie der Datenübertrager angegeben ist, stellen der Identifizierer, der Identifikationswert und die Informationen, die den Datenübertrager angeben, Verwerfungsdateninformationen dar. Wenn der Identifizierer, der Identifikationswert und die Informationen, die den Datenübertrager der weiterzuleitenden Daten angeben, mit denen als die Verwerfungsdateninformation übereinstimmen, wird bestimmt, dass es sich bei den weiterzuleitenden Daten um Daten handelt, die mit den Verwerfungsdateninformationen übereinstimmen. Wenn die Verwerfungsrichtlinie den Service angibt, stellen der Identifizierer, die den Identifikationswert-Datenübertrager angebenden Informationen, der Service-Identifizierer und der Service-Identifikationswert Verwerfungsdateninformationen dar. Wenn der Identifizierer, die den Identifikationswert-Datenübertrager angebenden Informationen, der Service-Identifizierer und der Service-Identifikationswert der weiterzuleitenden Daten mit denen als die Verwerfungsdateninformationen übereinstimmen, wird bestimmt, dass es sich bei den weiterzuleitenden Daten um Daten handelt, die mit den Verwerfungsdateninformationen übereinstimmen.
  • Die Datenkommunikationssteuerungseinrichtung 1 gemäß Ausführungsform 1 der vorliegenden Erfindung ist wie oben beschrieben konfiguriert und erzielt die folgenden Wirkungen.
  • Die Datenkommunikationssteuerungseinrichtung 1 speichert Datenidentifikationsinformationen (die ersten Datenidentifikationsinformationen), die die im fahrzeuginternen Netzwerk übertragenen Daten (die ersten Daten) angeben. Außerdem, wenn die gespeicherten Daten verworfen werden und in der Funktion der Domäne, zu der diese Daten gehören, Probleme auftreten, werden die zu dieser Domäne gehörenden Daten im Voraus als Daten (die ersten Verwerfungskandidatendaten) identifiziert, die bewirken, dass Probleme bei der Fahrzeugsteuerung auftreten, und in Zuordnung mit den Datenidentifikationsinformationen gespeichert. Das heißt, Daten (die ersten Verwerfungskandidatendaten), die bewirken, das bei der Fahrzeugsteuerung Probleme auftreten, wenn die Angriffsdaten verworfen werden, sind als die ersten Verwerfungsinformationen gespeichert.
  • Auch beim Erwerben der Angriffsdaten-Identifikationsinformationen bestimmt die Datenkommunikationssteuerungseinrichtung 1 die ersten Verwerfungskandidatendaten, die den Daten-Identifikationsinformationen entsprechen, die mit den Angriffsdaten-Identifikationsinformationen übereinstimmen, als Verwerfungsdaten.
  • Damit können selbst dann, wenn die Angriffsdaten verworfen werden und Probleme bei der Fahrzeugsteuerung auftreten, Daten (die ersten Verwerfungskandidatendaten) als eine Ursache für Probleme verworfen werden. Auf diese Weise kann die Möglichkeit des Auftretens von Problemen bei der Fahrzeugsteuerung verringert werden.
  • Wenn im fahrzeuginternen Netzwerk übertragene Daten verworfen werden, legt die Datenkommunikationssteuerungseinrichtung 1 außerdem verschiedene Verwerfungsrichtlinien (die ersten Verwerfungsinformationen und die zweiten Verwerfungsinformationen) für jeden Fall fest, in dem in der Funktion der Domäne Probleme auftreten und in der Funktion der Domäne keine Probleme auftreten. Durch die Verwendung dieser Verwerfungsrichtlinien werden alle einzelnen Daten in der Domäne als Verwerfungsdaten genommen, wenn in der Funktion der Domäne mit der Verwerfung der Angriffsdaten Probleme auftreten, und nur Daten, die von dem Angriffsdatenübertrager in der Domäne übertragen werden, als Verwerfungsdaten genommen werden, wenn in der Funktion der Domäne mit der Verwerfung der Angriffsdaten keine Probleme auftreten.
  • Damit werden Daten als eine Ursache der Probleme verworfen, um die Möglichkeit des Auftretens von Problemen zu verringern, wenn Probleme in der Funktion der Domäne auftreten, und die Daten in der Domäne so weit wie möglich erhalten, wenn Probleme in der Funktion der Domäne nicht auftreten, wodurch die Möglichkeit des Auftretens von anormalem Betrieb im Fahrzeug durch die Angriffsdaten verringert werden kann.
  • Außerdem, wenn in der Funktion der Domäne keine Probleme auftreten, legt die Datenkommunikationssteuerungseinrichtung 1 ferner zwei verschiedene Verwerfungsrichtlinien fest (die zweiten Verwerfungsinformationen). Wenn die Domäne, zu der der Angriffsdatenübertrager gehört, eine Funktion hinsichtlich Sicherheit des Fahrzeugs hat, werden alle von dem Angriffsdatenübertrager übertragenen einzelnen Daten als Verwerfungsdaten genommen. Wenn diese keine Funktion hinsichtlich Sicherheit des Fahrzeugs hat, werden Daten, die von dem Angriffsdatenübertrager und für den gleichen Nutzungszweck wie derjenige der Angriffsdaten übertragen werden, als Verwerfungsdaten genommen.
    Damit können je nach dem Grad des Einflusses der Angriffsdaten auf die Sicherheit des Fahrzeugs normale Daten beibehalten werden, und der Betrieb des Fahrzeugs kann so weit wie möglich beibehalten werden.
  • Ausführungsform 2
  • Als nächstes wird Ausführungsform 2 der vorliegenden Erfindung erläutert. Die Beschreibung entfällt für Teile, die der Konfiguration und der Funktionsweise von Ausführungsform 1 ähnlich sind, und Teile, die sich von denen in Ausführungsform 1 unterscheiden, werden im Folgenden beschrieben.
  • In der Ausführungsform 1 vergleicht der Verwerfungsdaten-Bestimmungsteil 12 die durch den Angriffsdaten-Erwerbungsteil 11 erworbenen Angriffsdaten-Identifikationsinformationen mit der Liste der in der Domänenkonfigurationsdatenbank 13 gespeicherten Datenidentifikationsinformationen und liest bei Übereinstimmung die den übereinstimmenden Datenidentifikationsinformationen entsprechende Verwerfungsrichtlinie aus, um die Verwerfungsdaten zu bestimmen.
  • Während jedoch die Angriffsdaten-Identifikationsinformationen aus Informationen über den Identifizierer, den Identifikationswert, den Datenübertrager, den Service-Identifizierer und den Service-Identifikationswert gebildet sind, ist ein Fall denkbar, in dem der Angriffsdateninformationen-Erwerbungsteil 11 nicht alle dieser einzelnen Informationen vollständig erhalten kann. Beispiele für diesen Fall sind wie folgt denkbar: ein Fall, in dem, wenn die Angriffserfassungseinrichtung 2 die Angriffsdaten-Identifikationsinformationen aus den Angriffsdaten extrahiert, ein Fehler auftritt und nicht alle einzelnen Informationen vollständig übernommen werden können; ein Fall, in dem aufgrund eines Problems bezüglich der Leistung oder Funktion der Angriffserfassungseinrichtung 2 nicht alle Informationen vollständig übernommen werden können; und ein Fall, in dem bei der Übertragung der Angriffsdaten-Identifikationsinformationen von der Angriffserfassungseinrichtung 2 an den Angriffsdateninformationen-Erwerbungsteil 11 ein Kommunikationsfehler auftritt, der einen Teil der Informationen beschädigt.
  • In der Ausführungsform 2 bestimmt der Verwerfungsdaten-Bestimmungsteil 12 Daten als ein Verwerfungsziel, wenn eine vorherbestimmte Bedingung erfüllt ist, selbst wenn es nicht möglich ist, einen Teil der Informationen über den Identifizierer, den Identifikationswert, den Datenübertrager, den Service-Identifizierer und den Service-Identifikationswert wie oben beschrieben als Angriffsdaten-Identifikationsinformationen zu erwerben.
  • Die vorherbestimmte Bedingung ist, dass, wenn nur ein Teil der Informationen als Angriffsdaten-Identifikationsinformationen erfasst wird, nur eine einzelne Datenidentifikationsinformation vorhanden ist, die mit diesem Teil der Informationen in der Domänenkonfigurationsdatenbank übereinstimmt 13. In diesem Fall kann die Verwerfungsrichtlinie in einer einheitlichen Weise bestimmt sein.
  • Dasselbe gilt auch für einen Fall, in dem es eine Vielzahl von einzelnen Datenidentifikationsinformationen gibt, die mit einem Teil der Informationen in der Domänenkonfigurationsdatenbank 13 übereinstimmen, aber Verwerfungsrichtlinien, die dieser Vielzahl von Datenidentifikationsinformationen entsprechen, übereinstimmen. Auch in diesem Fall kann die Verwerfungsrichtlinie in einer einheitlichen Weise bestimmt sein.
  • Die Einrichtungskonfiguration der Datenkommunikationssteuerungseinrichtung 1 gemäß Ausführungsform 2 ähnelt der in Ausführungsform 1, aber ein Prozess, wenn bestimmt wird, dass die Angriffsdaten-Identifikationsinformationen und die Liste der Datenidentifikationsinformationen, die in der Domänenkonfigurationsdatenbank 13 gespeichert sind, nicht übereinstimmen, hinzugefügt (wenn NEIN in Schritt S103 von ). Der hinzugefügte Prozess wird anhand von 8 beschrieben.
  • 8 ist ein Flussdiagramm, darstellend einen Prozess durch die Datenkommunikationssteuerungseinrichtung gemäß Ausführungsform 2 der vorliegenden Erfindung.
  • Der Prozess von dem Erwerben der Angriffsdaten-Identifikationsinformationen bis zur Übertragung einer Verwerfungsanweisung ist ähnlich wie der bei Ausführungsform 1 (Schritte S101 bis S107).
  • Wenn die Angriffsdaten-Identifikationsinformationen, die durch den Angriffsdateninformationen-Erwerbungsteil 11 erworben sind, nicht vollständig mit den Daten-Identifikationsinformationen übereinstimmen, die in der Domänenkonfigurationsdatenbank 13 gespeichert sind (wenn NEIN in Schritt S103), führt der Verwerfungsdaten-Bestimmungsteil 12 den folgenden Prozess durch. Wenn die Angriffsdaten-Identifikationsinformationen Informationen über den Identifizierer und den Identifikationswert (die in 8 als ID bezeichnet werden) und den Datenübertrager enthalten, bestimmt der Verwerfungsdaten-Bestimmungsteil 12, ob es Datenidentifikationsinformationen gibt, die mit den Informationen über den Identifizierer, den Identifikationswert und den Datenübertrager der Angriffsdaten-Identifikationsinformationen in den Datenidentifikationsinformationen übereinstimmen, die in der Domänenkonfigurationsdatenbank 13 gespeichert sind (Schritt S201).
  • Wenn es Datenidentifikationsinformationen gibt, die mit den Informationen über den Identifizierer, den Identifikationswert und den Datenübertrager der Angriffsdaten-Identifikationsinformationen übereinstimmen (wenn JA in Schritt S201), wird ein Domänenname ausgelesen, der diesen einzelnen Datenidentifikationsinformationen entspricht (Schritt S202). Da hier der Identifizierer und der Identifikationswert der übereinstimmenden Datenidentifikationsinformationen gleich sind, ist die Domäne die gleiche, und der Domänenname ist gemeinsam. Somit kann der Domänenname ausgelesen werden, der einer einzelnen Datenidentifikationsinformation entspricht.
  • Darüber hinaus liest der Verwerfungsdaten-Bestimmungsteil 12 aus der Verwerfungsrichtliniendatenbank 14 eine Verwerfungsrichtlinie, die dem ausgelesenen Domänennamen entspricht (Schritt S203). Wenn die ausgelesene Verwerfungsrichtlinie die Domäne (die ersten Verwerfungsinformationen) oder den Datenübertrager (die zweiten Verwerfungsinformationen) angibt (wenn JA in Schritt S204), werden die Verwerfungsdaten auf Grundlage dieser Verwerfungsrichtlinie bestimmt (Schritt S106) und eine Verwerfungsanweisung wird an die Brücke 3 übertragen (Schritt S107).
  • Wenn die ausgelesene Verwerfungsrichtlinie die Domäne oder den Datenübertrager nicht angibt (wenn NEIN in Schritt S204), kehrt der Prozess zu Schritt S101 zurück, um verlorene Angriffsdaten-Identifikationsinformationen erneut zu empfangen.
  • Hier wird der Grund beschrieben, warum Daten als ein Verwerfungsziel bestimmt werden können, obwohl nur ein Teil der Angriffsdaten-Identifikationsinformationen vorhanden ist. Als die Angriffsdaten-Identifikationsinformationen sind Informationen über den Identifizierer, den Identifikationswert und den Datenübertrager erworben wurden, aber Informationen über den Service-Identifizierer und den Service-Identifikationswert wurden nicht erworben. Das heißt, als die Angriffsdaten sind die Domäne und der Datenübertrager als eine Quelle der Generierung aus den Informationen, die den Identifizierer, den Identifikationswert und den Datenübertrager angeben, offenbart wurden, es ist aber nicht bekannt, für welchen Nutzungszweck die Angriffsdaten genutzt werden sollen.
  • Der Verwerfungsdaten-Bestimmungsteil 12 bestimmt Verwerfungsdaten nur, wenn die Verwerfungsrichtlinie die Domäne oder den Datenübertrager angibt. Dies liegt daran, dass alle zu der Domäne gehörenden einzelnen Daten unabhängig von dem Nutzungszweck, für den die Angriffsdaten genutzt werden, verworfen werden, wenn die Verwerfungsrichtlinie die Domäne angibt, und von dem gleichen Datenübertrager übertragene Daten unabhängig von dem Nutzungszweck, für den die Angriffsdaten genutzt werden, verworfen werden, wenn die Verwerfungsrichtlinie den Datenübertrager angibt. Mit anderen Worten, der Grund dafür ist, dass die Verwerfungsrichtlinien unabhängig von dem Service-Identifizierer und dem Service-Identifikationswert übereinstimmen und die Daten als ein Verwerfungsziel in einer einheitlichen Weise bestimmt sein können.
  • Wenn die Vernichtungsrichtlinie dagegen den Service angibt, variieren die zu verwerfenden Daten je nach dem Nutzungszweck der Angriffsdaten. Der Grund dafür ist, dass in der Verwerfungsrichtlinie „Service“ Daten für den gleichen Nutzungszweck wie der Nutzungszweck der Angriffsdaten als Verwerfungsdaten genommen wird. Wenn also die Verwerfungsrichtlinie den Service in Schritt S204 angibt, können die Verwerfungsdaten nicht bestimmt werden.
  • Zurückverweisend auf 8, wenn es keine Datenidentifikationsinformationen gibt, die mit den Informationen über den Identifizierer, den Identifikationswert und den Datenübertrager der Angriffsdaten-Identifikationsinformationen übereinstimmen (wenn NEIN in Schritt S201), geht der Prozess zu Schritt S205 über. Dasselbe gilt für einen Fall, in dem die Angriffsdaten-Identifikationsinformationen keine Informationen über den Identifizierer, den Identifikationswert oder den Datenübertrager enthalten.
  • Als nächstes wird in Schritt S205, wenn es Datenidentifikationsinformationen gibt, die mit den Informationen über den Identifizierer und den Identifikationswert der Angriffsdaten-Identifikationsinformationen übereinstimmen (wenn JA in Schritt S205), ein Domänenname ausgelesen, der diesen einzelnen Datenidentifikationsinformationen entspricht (Schritt S206). Da hier der Identifizierer und der Identifikationswert der übereinstimmenden Datenidentifikationsinformationen gleich sind, ist die Domäne die gleiche, und der Domänenname ist gemeinsam. Somit kann der Domänenname ausgelesen werden, der einer einzelnen Datenidentifikationsinformation entspricht.
  • Darüber hinaus liest der Verwerfungsdaten-Bestimmungsteil 12 aus der Verwerfungsrichtliniendatenbank 14 eine Verwerfungsrichtlinie, die dem ausgelesenen Domänennamen entspricht (Schritt S207). Wenn die ausgelesene Verwerfungsrichtlinie die Domäne (die ersten Verwerfungsinformationen) angibt (wenn JA in Schritt S208), werden die Verwerfungsdaten auf Grundlage dieser Verwerfungsrichtlinie bestimmt (Schritt S106) und eine Verwerfungsanweisung wird an die Brücke 3 übertragen (Schritt S107).
  • Wenn die ausgelesene Verwerfungsrichtlinie die Domäne nicht angibt (wenn NEIN in Schritt S208), kehrt der Prozess zu Schritt S101 zurück, um verlorene Angriffsdaten-Identifikationsinformationen erneut zu empfangen.
  • Wenn die Angriffsdaten-Identifikationsinformationen keine Informationen über den Identifizierer oder den Identifikationswert enthalten, ist dies der Fall, bei dem keine Datenidentifikationsinformationen vorhanden sind, die mit den Informationen über den Identifizierer und den Identifikationswert der Angriffsdaten-Identifikationsinformationen übereinstimmen. Somit wird in Schritt S205 NEIN bestimmt, und der Prozess geht zurück zu Schritt S101, um verlorene Angriffsdaten-Identifikationsinformationen neu zu empfangen.
  • Der Grund, warum Daten als ein Verwerfungsziel bestimmt werden können, obwohl nur ein Teil der Angriffsdaten-Identifikationsinformationen vorhanden ist, ähnelt dem zuvor beschriebenen Grund. Als die Angriffsdaten wurden Informationen über den Identifizierer und den Identifikationswert erworben, aber Informationen über den Datenübertrager, den Service-Identifizierer und den Service-Identifikationswert wurden nicht erworben. Das heißt, als die Angriffsdaten wurde die Domäne als eine Quelle der Generierung aus dem Identifizierer und dem Identifikationswert offengelegt, aber es ist unbekannt, von welchem Datenübertrager die Angriffsdaten übertragen wurden und für welchen Nutzungszweck die Angriffsdaten genutzt werden sollen.
  • Der Verwerfungsdaten-Bestimmungsteil 12 bestimmt Daten als ein Verwerfungsziel nur, wenn die Verwerfungsrichtlinie die Domäne angibt. Dies liegt daran, dass Daten, die von allen Datenübertragern in der gleichen Domäne übertragen werden, verworfen werden und die Angriffsdaten für irgendeinen Nutzungszweck verworfen werden, wenn die Verwerfungsrichtlinie die Domäne angibt. Mit anderen Worten, der Grund dafür ist, dass die Verwerfungsrichtlinien unabhängig von dem Datenübertrager, dem Service-Identifizierer und dem Service-Identifikationswert übereinstimmen und die Verwerfungsdaten in einer einheitlichen Weise bestimmt sein können.
  • Wenn die Verwerfungsrichtlinie dagegen den Datenübertrager oder den Service angibt, variieren die Verwerfungsdaten je nach Datenübertrager als eine Quelle der Generierung der Angriffsdaten oder dem Nutzungszweck der Angriffsdaten. Der Grund dafür ist, dass in der Verwerfungsrichtlinie „Datenübertrager“ Daten, die von dem Datenübertrager als eine Quelle der Generierung der Angriffsdaten übertragen werden, als Verwerfungsdaten genommen werden. Der Grund dafür ist auch, dass in der Verwerfungsrichtlinie „Service“ Daten für den gleichen Nutzungszweck wie der Nutzungszweck der Angriffsdaten als Verwerfungsdaten genommen werden. Wenn also die Verwerfungsrichtlinie den Datenübertrager oder den Service in Schritt S208 angibt, können die Verwerfungsdaten nicht bestimmt werden.
  • Die Datenkommunikationssteuerungseinrichtung 1 gemäß Ausführungsform 2 der vorliegenden Erfindung ist eingerichtet, den wie vorangehend erläuterten Prozess durchzuführen und erzielt die folgenden Wirkungen.
  • In der Datenkommunikationssteuerungseinrichtung 1 gemäß Ausführungsform 2 der vorliegenden Erfindung können selbst dann, wenn ein Teil der durch den Angriffsdateninformationen-Erwerbungsteil 11 erworbenen Angriffsdaten-Identifikationsinformation verloren geht, Daten als ein Verwerfungsziel bestimmt werden können, wenn es möglich ist, eine Verwerfungsrichtlinie auszuwählen, die mit Datenidentifikationsinformationen assoziiert ist, die mit den teilweise verlorenen Angriffsdaten-Identifikationsinformationen übereinstimmen.
  • Damit kann selbst dann, wenn ein Teil der Angriffsdaten-Identifikationsinformationen verloren geht, der Einfluss auf die Fahrzeugsteuerung aufgrund des Verwerfens der Angriffsdaten reduziert werden.
  • Ausführungsform 3
  • Als nächstes wird Ausführungsform 3 der vorliegenden Erfindung erläutert. Die Beschreibung entfällt für Teile, die der Konfiguration und der Funktionsweise von Ausführungsform 1 ähnlich sind, und Teile, die sich von denen in Ausführungsform 1 unterscheiden, werden im Folgenden beschrieben.
  • Es ist zu beachten, dass Ausführungsform 3 auch in Kombination mit Ausführungsform 2 eingesetzt werden kann.
  • In der Ausführungsform 1 empfängt die Brücke 3 eine von der Datenkommunikationssteuerungseinrichtung 1 übertragene Verwerfungsanweisung, und die Brücke 3 überwacht, ob Daten als ein Verwerfungsziel in den weiterzuleitenden Daten enthalten sind, und stoppt Weiterleitung dieser Daten, wenn Daten als ein Verwerfungsziel erkannt sind.
  • Andererseits, in der Ausführungsform 3, anstelle des Verwerfens der Daten als ein Verwerfungsziel durch die Brücke 3, stoppt ein Kommunikationssteuerungsteil 36, der für jede ECU 34 und jeden Sensor 35 vorgesehen ist, Übertragung von Daten als ein Verwerfungsziel durch jede ECU 34 und jeden Sensor 35 und reduziert die Menge der über das fahrzeuginterne Netzwerk übertragenen Daten.
  • 9 ist ein Blockdiagramm, darstellend die Konfiguration eines Fahrzeugsteuerungssystems 300 gemäß Ausführungsform 3 der vorliegenden Erfindung.
  • Eine Datenkommunikationssteuerungseinrichtung 31 bestimmt Verwerfungsdaten in einer ähnlichen Weise wie diejenige in Ausführungsform 1, um eine Verwerfungsanweisung auszugeben. Ein Ziel, an das die Verwerfungsanweisung übertragen werden soll, unterscheidet sich jedoch von dem in Ausführungsform 1, und der Kommunikationssteuerungsteil 36, der an jeder ECU 34 und an jedem Sensor 35 bereitgestellt ist, wird als ein Übertragungsziel genommen.
  • Der Kommunikationssteuerungsteil 36, in der ECU, ist gebildet aus einem Speicher oder einer Festplatte, speichernd ein Programm zum Verwerfen von Daten, einem Prozessor, der das Programm ausführt, und einer Netzwerkschnittstelle, die eine Verwerfungsanweisung von der Datenkommunikationssteuerungseinrichtung 31 empfängt.
  • Beim Empfangen einer von der Datenkommunikationssteuerungseinrichtung 31 übertragenen Verwerfungsanweisung steuert der Kommunikationssteuerungsteil 36 Generierung oder Übertragung von Daten, die von der ECU 34 oder dem Sensor 35 übertragen werden, für die dieser Kommunikationssteuerungsteil 36 vorgesehen ist, und veranlasst die ECU 34 oder den Sensor 35, Generierung oder Übertragung von Daten als ein Verwerfungsziel zu stoppen.
  • Insbesondere speichert der Kommunikationssteuerungsteil 36 Übertragungsdaten-Identifikationsinformationen, die Informationen sind, die Daten angeben, die von der ECU 34 oder dem Sensor 35, für die dieser Kommunikationssteuerungsteil 36 vorgesehen ist, an das fahrzeuginterne Netzwerk zu übertragen sind, und, beim Empfangen eines Befehls, der eine Verwerfungsanweisung und von der Datenkommunikationssteuerungseinrichtung 31 übertragene Verwerfungsdateninformationen angibt, diesen Befehl liest und nach Übertragungsdaten-Identifikationsinformationen sucht, die mit den Verwerfungsdateninformationen übereinstimmen.
  • Wenn Übertragungsdaten-Identifikationsinformationen vorhanden sind, die mit den Verwerfungsdateninformationen übereinstimmen, stoppt der Kommunikationssteuerungsteil 36 einen Generierungsprozess oder Übertragungsprozess durch die ECU 34 oder den Sensor 35 auf Daten, die durch die übereinstimmenden Übertragungsdaten-Identifikationsinformationen angegeben sind.
  • Das Fahrzeugsteuerungssystem 300 gemäß Ausführungsform 3 der vorliegenden Erfindung ist wie oben beschrieben konfiguriert und erzielt die folgenden Wirkungen.
  • In dem Fahrzeugsteuerungssystem 300 gemäß Ausführungsform 3 der vorliegenden Erfindung verwirft der Kommunikationssteuerungsteil 36, der für jede ECU 34 und jeden Sensor 35 vorgesehen ist, Daten als ein Verwerfungsziel. Dabei werden die Verwerfungsdaten in der ECU 34 oder dem Sensor 35 verworfen, bevor diese von der ECU 34 oder dem Sensor 35 an die Brücke 3 übertragen werden. Im Vergleich zu einem Fall wie in Ausführungsform 1, bei dem Daten als ein Verwerfungsziel an der Brücke 3 verworfen werden, kann so die Menge der über das fahrzeuginterne Netzwerk übertragenen Daten reduziert und die Bandbreitenbeschränkung des fahrzeuginternen Netzwerks niedrig gehalten werden.
  • Es ist zu beachten, dass während das Beispiel in Ausführungsform 3 der vorliegenden Erfindung beschrieben ist, in der der Kommunikationssteuerungsteil 36, der für ECU 34 und den Sensor 35 vorgesehen ist, Verwerfungsdaten verwirft, dieses zusätzlich zu der Verwerfung an der ECU 34 und dem Sensor 35 wie in Ausführungsform 1 so ausgebildet sein kann, dass die Brücke 3 Weiterleitung von Verwerfungsdaten stoppt. In dem Fall dieser Konfiguration kann der Kommunikationssteuerungsteil 36 nicht für alle ECUs 34 und Sensoren 35 bereitgestellt sein.
  • Während jede ECU 34 und jeder Sensor 35 mit dem Kommunikationssteuerungsteil 36 in Ausführungsform 3 der vorliegenden Erfindung versehen ist, kann anstelle dessen ein Kommunikationssteuerungsteil für einen HUB bereitgestellt sein, der mit der Vielzahl der ECUs 34 oder Sensoren 35 verbunden ist, um Kommunikation mit den Brücken 3 weiterzuleiten. In dem Fall dieser Konfiguration kann der Kommunikationssteuerungsteil 36 nicht für alle ECUs 34 und Sensoren 35 bereitgestellt sein.
  • Im Folgenden werden Modifikationsbeispiele für die oben beschriebenen Ausführungsformen 1 bis 3 beschrieben.
  • In den oben beschriebenen Ausführungsformen 1 bis 3 enthalten die durch die Datenkommunikationssteuerungseinrichtung 1 und die Datenkommunikationssteuerungseinrichtung 31 bestimmten Verwerfungsdaten auch Angriffsdaten. Eine Anweisung zum Verwerfen von Angriffsdaten wird also nicht einzeln ausgegeben. Die Angriffserfassungseinrichtung 2 kann jedoch eine Anweisung zum Verwerfen von Angriffsdaten übertragen, wenn die Angriffserfassungseinrichtung 2 die Angriffsdaten erfasst. Auf diese Weise können die Angriffsdaten, die zu verwerfen sind, ohne Warten auf die Bestimmung hinsichtlich Daten als ein Verwerfungsziel durch die Datenkommunikationssteuerungseinrichtung 1 und die Datenkommunikationssteuerungseinrichtung 31.
  • Während in den oben beschriebenen Ausführungsformen 1 bis 3 die Datenkommunikationssteuerungseinrichtung 1 und die Datenkommunikationssteuerungseinrichtung 31 jeweils aus einer ECU gebildet ist, kann diese eingerichtet sein, so dass die Funktion der Datenkommunikationssteuerungseinrichtung 1 oder 31 zu einer anderen Netzwerkkomponente hinzugefügt sein kann. Hier kann die Funktion der Datenkommunikationssteuerungseinrichtung 1 oder 31 als ein Programm generiert sein und zur Ausführung in der Netzkomponente gespeichert sein.
  • Es ist zu beachten, dass in 1 bis 9 das gleiche Bezugszeichen den gleichen oder einen entsprechenden Teil darstellt.
  • INDUSTRIELLE ANWENDBARKEIT
  • Die Datenkommunikationssteuerungseinrichtung, das Datenkommunikationssteuerprogramm und das Fahrzeugsteuerungssystem gemäß der vorliegenden Erfindung können im Bereich der Sicherheit für Angriffe auf fahrzeuginterne Netzwerke eingesetzt werden.
  • Bezugszeichenliste
    • 1, 31
    Datenkommunikationssteuerungseinrichtung;
    2
    Angriffserfassungseinrichtung;
    3
    Brücke;
    4, 34
    ECU;
    5, 35
    Sensor;
    11
    Angriffsdateninfor-mationen-Erwerbungsteil;
    12
    Verwerfungsdaten-Bestimmungsteil;
    13
    Domä-nenkonfigurationsdatenbank;
    14
    Verwerfungsrichtliniendatenbank;
    15
    Datenverwerfung-Anweisungsteil;
    36
    Kommunikationssteuerungsteil;
    100, 300
    Fahrzeugsteuerungssystem;
    111
    Prozessor;
    112
    Speicher;
    113
    Netzwerk-schnittstelle;
    114
    Festplatte

Claims (11)

  1. Datenkommunikationssteuerungseinrichtung, umfassend: einen Angriffsdateninformationen-Erwerbungsteil (11), um, wenn Angriffsdaten in einer Datengruppe detektiert werden, die aus einer Vielzahl von einzelnen Daten gebildet ist, die in einem fahrzeuginternen Netzwerk zur Verwendung bei der Steuerung eines Fahrzeugs übertragen werden, wobei die Angriffsdaten bewirken, dass in dem Fahrzeug anormaler Betrieb auftritt, Angriffsdaten-Identifikationsinformationen, die Informationen sind zum Identifizieren der Angriffsdaten aus der Datengruppe, zu erwerben; einen Verwerfungsdaten-Speicherteil, um erste Datenidentifikationsinformationen, die Informationen sind zum Identifizieren, aus der Datengruppe, erster Daten, die in der Datengruppe enthalten sind, zu speichern, wobei die ersten Daten von einem ersten Datenübertrager übertragen werden, und um erste Verwerfungsinformationen in Assoziation mit den ersten Datenidentifikationsinformationen zu speichern, wobei die ersten Verwerfungsinformationen Informationen sind, angebend erste Verwerfungskandidatendaten, die Daten sind, die bewirken, dass Probleme bei der Steuerung des Fahrzeugs auftreten, wenn die ersten Daten verworfen sind; einen Verwerfungsdaten-Bestimmungsteil (12), um, wenn der Angriffsdateninformationen-Erwerbungsteil (11) die Angriffsdaten-Identifikationsinformation erwirbt und wenn die Angriffsdaten-Identifikationsinformationen mit den ersten Datenidentifikationsinformationen übereinstimmen, aus dem Verwerfungsdaten-Speicherteil die ersten Verwerfungsinformationen, die mit den ersten Datenidentifikationsinformationen assoziiert sind, auszulesen und um die ersten Verwerfungskandidatendaten, die durch die ersten Verwerfungsinformationen angegeben sind, zu bestimmen als Verwerfungsdaten, die Daten sind, die aus dem fahrzeuginternen Netzwerk zu verwerfen sind; und einen Datenverwerfung-Anweisungssteil (15), um eine Anweisung zum Verwerfen der durch den Verwerfungsdaten-Bestimmungsteil (12) bestimmten Verwerfungsdaten aus dem fahrzeuginternen Netzwerk zu übertragen, wobei eine erste Domäne, zu der eine Vielzahl von Datenübertragern enthaltend den ersten Datenübertrager gehört, eine Domäne ist, die bewirkt, dass in einer Funktion der Domäne Probleme auftreten, wenn die ersten Daten verworfen werden, und die ersten Verwerfungsinformationen Informationen sind, die Daten angeben, die von allen Datenübertragern, die zu der ersten Domäne gehören, übertragen werden.
  2. Datenkommunikationssteuerungseinrichtung nach Anspruch 1, wobei der Verwerfungsdaten-Speicherteil zweite Datenidentifikationsinformationen speichert, die Informationen sind zum Identifizieren zweiter Daten, die in der Datengruppe enthalten sind, aus der Datengruppe, wobei die zweiten Daten Daten sind, die von einem zweiten Datenübertrager übertragen werden, und zweite Verwerfungsinformationen speichert, die Informationen sind, die zweite Verwerfungskandidatendaten angeben, wobei die zweiten Verwerfungskandidatendaten Daten sind, die bewirken, dass Probleme bei der Steuerung des Fahrzeugs auftreten, wenn die zweiten Daten verworfen werden, in Assoziation mit den zweiten Datenidentifikationsinformationen, wenn der Angriffsdateninformationen-Erwerbungsteil (11) die Angriffsdaten-Identifikationsinformationen erwirbt und wenn die Angriffsdaten-Identifikationsinformationen mit den zweiten Datenidentifikationsinformationen übereinstimmen, der Verwerfungsdaten-Bestimmungsteil (12) die zweiten Verwerfungsinformationen, die mit den zweiten Datenidentifikationsinformationen assoziiert sind, aus dem Verwerfungsdaten-Speicherteil liest und durch die zweiten Verwerfungsinformationen angegebene Daten als die Verwerfungsdaten bestimmt, wobei eine zweite Domäne, zu der eine Vielzahl von Datenübertragern enthaltend den zweiten Datenübertrager gehört, eine Domäne ist, die nicht bewirkt, dass in einer Funktion der Domäne Probleme auftreten, wenn die zweiten Daten verworfen werden, und die zweiten Verwerfungsinformationen Informationen sind, die Daten angeben, die von dem zweiten Datenübertrager von Datenübertragern, die zu der zweiten Domäne gehören, übertragen werden.
  3. Datenkommunikationssteuerungseinrichtung nach Anspruch 2, wobei die zweiten Verwerfungsinformationen Informationen sind, die alle einzelnen Daten angeben, die von dem zweiten Datenübertrager übertragen werden, wenn die zweite Domäne eine Funktion hinsichtlich Sicherheit des Fahrzeugs hat, und Informationen sind, die Daten angeben, die für einen Nutzungszweck zu verwenden sind, der einem Nutzungszweck der zweiten Daten in den von dem zweiten Datenübertrager übertragenen Daten gemeinsam ist, wenn die zweite Domäne nicht die Funktion hinsichtlich Sicherheit des Fahrzeugs hat.
  4. Datenkommunikationssteuerungseinrichtung nach Anspruch 2 oder Anspruch 3, wobei die ersten Datenidentifikationsinformationen aufweisen: erste Übertragerinformationen, die Information sind, die den ersten Datenübertrager angeben; erste Domäneninformationen, die Informationen sind, die die erste Domäne angeben; und erste Anwendungsinformationen, die Information sind, die einen Nutzungszweck der ersten Daten angeben, die zweiten Datenidentifikationsinformationen zweite Übertragerinformationen enthalten, die Information sind, die den zweiten Datenübertrager angeben; zweite Domäneninformationen, die Information sind, die die zweite Domäne angeben; und zweite Anwendungsinformationen, die Informationen sind, die einen Nutzungszweck der zweiten Daten angeben, die Angriffsdaten-Identifikationsinformationen aufweisen: Angriffsdaten-Übertragerinformationen, die Informationen sind, die einen Angriffsdaten-Übertrager als einen Datenübertrager angeben, der die Angriffsdaten überträgt; Angriffsdaten-Domäneninformationen, die Informationen sind, die eine Domäne angeben, zu der der Angriffsdatenübertrager gehört; und Angriffsdaten-Anwendungsinformationen, die Informationen sind, die einen Nutzungszweck der Angriffsdaten angeben, und wenn die ersten Datenidentifikationsinformationen, umfassend die ersten Domäneninformationen, die mit den Angriffsdaten-Domäneninformationen übereinstimmen, die als Teil der Angriffsdaten-Identifikationsinformationen durch den Angriffsdateninformationen-Erwerbungsteil (11) erworben sind, im Verwerfungsdaten-Speicherteil gespeichert sind, der Verwerfungsdaten-Bestimmungsteil (12) die ersten Verwerfungsinformation liest und die ersten Verwerfungskandidatendaten, die durch die ersten Verwerfungsinformationen angegeben sind, als die Verwerfungsdaten bestimmt.
  5. Datenkommunikationssteuerungseinrichtung nach Anspruch 1, wobei die ersten Verwerfungskandidatendaten Daten sind, die unter Verwendung der ersten Daten generiert sind.
  6. Datenkommunikationssteuerungseinrichtung nach Anspruch 1, wobei die ersten Verwerfungskandidatendaten Daten sind, die durch einen Datenübertrager generiert sind, der sich von dem Datenübertrager unterscheidet, der die ersten Daten überträgt.
  7. Datenkommunikationssteuerungseinrichtung, umfassend: einen Verwerfungsdaten-Speicherteil, um für jede der Domänen im Voraus eine Verwerfungsrichtlinie zu speichern, wobei jede der Domänen eine Gruppe von Datenübertragern ist, die für jedes der Steuerungssysteme eines Fahrzeugs enthalten sind; einen Verwerfungsdaten-Bestimmungsteil (12), um auf Grundlage der Verwerfungsrichtlinie Daten zu bestimmen, die bewirken, dass bei einer Steuerung einer fahrzeuginternen Einrichtung Probleme auftreten durch Verwerfung der Angriffsdaten, als Verwerfungsdaten, die ein Verwerfungsziel sind, wenn Angriffsdaten, die bewirken, dass ein anormaler Betrieb in dem Fahrzeug auftritt, in jeder Domäne detektiert werden; und einen Datenverwerfung-Anweisungssteil (15), um eine Anweisung zum Verwerfen der durch den Verwerfungsdaten-Bestimmungsteil (12) bestimmten Verwerfungsdaten aus dem fahrzeuginternen Netzwerk zu übertragen, wobei die Verwerfungsrichtlinie die Verwerfungsdaten als ein Verwerfungsziel definiert, wenn Angriffsdaten, die zu jeder Domäne gehören, erfasst werden, und der Verwerfungsdaten-Speicherteil für eine Domäne, die bewirkt, dass in einer Funktion der Domäne Probleme auftreten und eine Domäne, die nicht bewirkt, dass in einer Funktion der Domäne Probleme auftreten, eine verschiedene Verwerfungsrichtlinie speichert, wenn die Angriffsdaten verworfen werden.
  8. Datenkommunikationssteuerungseinrichtung nach Anspruch 7, wobei der Verwerfungsdaten-Speicherteil als die Verwerfungsrichtlinie jeweils „Domäne“, „Datenübertrager“ und „Service“ speichert, „Domäne“, welches eine Verwerfungsrichtlinie ist, in einem Fall festgelegt wird, in dem das Verwerfen der Angriffsdaten Probleme in einer Funktion einer Domäne bewirkt, zu der ein Datenübertrager, der die verworfenen Daten übertragen hat, gehört, und als die Verwerfungsdaten Daten definiert, die von allen Datenübertragern übertragen werden, die in einer Domäne enthalten sind, zu der ein Datenübertrager, der die Angriffsdaten übertragen hat, gehört, „Datenübertrager“, welches eine Verwerfungsrichtlinie ist, in einem Fall festgelegt wird, in dem das Verwerfen der Angriffsdaten kein Problem in einer Funktion einer Domäne bewirkt, zu der ein Datenübertrager, der die Angriffsdaten übertragen hat, gehört, und in einem Fall, in dem eine Domäne, zu der ein Datenübertrager gehört, der die Angriffsdaten übertragen hat, Steuerung hinsichtlich Sicherheit des Fahrzeugs durchführt, und als die Verwerfungsdaten alle Daten definiert, die von dem Datenübertragern übertragen werden, der die Angriffsdaten übertragen hat, „Service“, welches eine Verwerfungsrichtlinie ist, in einem Fall festgelegt wird, in dem das Verwerfen der Angriffsdaten kein Problem in einer Funktion einer Domäne bewirkt, zu der ein Datenübertrager, der Angriffsdaten übertragen hat, gehört, und in einem Fall, in dem eine Domäne, zu der ein Datenüberträger, der die Angriffsdatenübertragen hat, gehört, keine Steuerung hinsichtlich Sicherheit des Fahrzeugs durchführt, und als die Verwerfungsdaten von Daten von einem Übertrage, der die Angriffsdaten übertragen hat, Daten mit dem gleichen Nutzungszweck wie der Nutzungszweck der Angriffsdaten definiert.
  9. Datenkommunikationssteuerungseinrichtung nach Anspruch 8, ferner umfassend einen Angriffsdateninformationen-Erwerbungsteil (11), um, wenn Angriffsdaten in einer Datengruppe, die aus einer Vielzahl von einzelnen Daten gebildet ist, die in einem fahrzeuginternen Netzwerk zur Verwendung bei der Steuerung eines Fahrzeugs übertragen werden, detektiert werden, Angriffsdaten-Identifikationsinformationen zu erwerben, die Informationen sind zum Identifizieren der Angriffsdaten aus der Datengruppe, wobei der Verwerfungsdaten-Speicherteil eine Liste von Datenidentifikationsinformationen zum Identifizieren der jeweiligen Daten aus der Datengruppe speichert, die Angriffsdaten-Identifikationsinformationen Angriffsdatenübertragerinformationen, die Informationen sind, die angeben, dass ein Angriffsdatenübertrager ein Datenübertrager ist, welcher die Angriffsdaten überträgt, Angriffsdatendomäneninformationen, die Informationen sind, die eine Domäne angeben, zu der der Angriffsdatenübertrager gehört, und Angriffsdaten-Anwendungsinformationen, die Informationen sind, die einen Nutzungszweck der Angriffsdaten angeben, umfasst, und wenn der Angriffsdateninformationen-Erwerbungsteil (11) von den Angriffsdaten-Identifikationsinformationen nur in der Lage ist, die Angriffsdatendomäneninformationen zu erwerben und nicht in der Lage ist, die Angriffsdatenübertragerinformationen und die Angriffsdaten-Anwendungsinformationen zu erwerben, der Angriffsdaten-Bestimmungsteil aus der Liste die Angriffsdaten-Identifikationsinformationen liest, die Domäneninformationen enthält, die mit den Angriffsdatendomäneninformationen übereinstimmen, und, wenn die Verwerfungsrichtlinie für eine durch die gelesenen Datenidentifikationsinformationen angegebene Domäne, „Domäne“ ist, die Verwerfungsdaten auf Grundlage der Verwerfungsrichtlinie „Domäne“ bestimmt.
  10. Datenkommunikationssteuerungsprogramm, das veranlasst, dass eine mit einem fahrzeuginternen Netzwerk verbundene Netzwerkkomponente funktioniert als: ein Angriffsdateninformationen-Erwerbungsteil (11), um, wenn Angriffsdaten in einer Datengruppe detektiert werden, die aus einer Vielzahl von einzelnen Daten gebildet ist, die in dem fahrzeuginternen Netzwerk zur Verwendung bei der Steuerung eines Fahrzeugs übertragen werden, wobei die Angriffsdaten bewirken, dass in dem Fahrzeug anormaler Betrieb auftritt, Angriffsdaten-Identifikationsinformationen, die Informationen sind zum Identifizieren der Angriffsdaten aus der Datengruppe, zu erwerben; einen Verwerfungsdaten-Speicherteil, um erste Datenidentifikationsinformationen, die Informationen sind zum Identifizieren, aus der Datengruppe, erster Daten, die in der Datengruppe enthalten sind, zu speichern, wobei die ersten Daten von einem ersten Datenübertrager übertragen werden, und um erste Verwerfungsinformationen in Assoziation mit den ersten Datenidentifikationsinformationen zu speichern, wobei die ersten Verwerfungsinformationen Informationen sind, angebend erste Verwerfungskandidatendaten, die Daten sind, die bewirken, dass Probleme bei der Steuerung des Fahrzeugs auftreten, wenn die ersten Daten verworfen sind; einen Verwerfungsdaten-Bestimmungsteil (12), um, wenn der Angriffsdateninformationen-Erwerbungsteil (11) die Angriffsdaten-Identifikationsinformation erwirbt und wenn die Angriffsdaten-Identifikationsinformationen mit den ersten Datenidentifikationsinformationen übereinstimmen, aus dem Verwerfungsdaten-Speicherteil die ersten Verwerfungsinformationen, die mit den ersten Datenidentifikationsinformationen assoziiert sind, auszulesen und um die ersten Verwerfungskandidatendaten, die durch die ersten Verwerfungsinformationen angegeben sind, zu bestimmen als Verwerfungsdaten, die Daten sind, die aus dem fahrzeuginternen Netzwerk zu verwerfen sind; und einen Datenverwerfung-Anweisungssteil (15), um eine Anweisung zum Verwerfen der durch den Verwerfungsdaten-Bestimmungsteil (12) bestimmten Verwerfungsdaten aus dem fahrzeuginternen Netzwerk zu übertragen, wobei eine erste Domäne, zu der eine Vielzahl von Datenübertragern enthaltend den ersten Datenübertrager gehört, eine Domäne ist, die bewirkt, dass in einer Funktion der Domäne Probleme auftreten, wenn die ersten Daten verworfen werden, und die ersten Verwerfungsinformationen Informationen sind, die Daten angeben, die von allen Datenübertragern, die zu der ersten Domäne gehören, übertragen werden.
  11. Fahrzeugsteuerungssystem, umfassend: die Datenkommunikationssteuerungseinrichtung nach Anspruch 1; und einen Datenübertrager, der in dem fahrzeuginternen Netzwerk bereitgestellt ist, um die ersten Daten zu empfangen und um die ersten Verwerfungskandidatendaten zu übertragen, wobei der Datenverwerfung-Anweisungsteil (15) der Datenkommunikationssteuerungseinrichtung die Anweisung zum Verwerfen der Verwerfungsdaten an den Datenübertrager überträgt, und beim Empfangen der Anweisung von dem Datenverwerfung-Anweisungsteil (15), der Datenübertrager Übertragung der Verwerfungsdaten an das fahrzeuginterne Netzwerk stoppt.
DE112018007548.6T 2018-06-01 2018-06-01 Datenkommunikationssteuerungseinrichtung, Datenkommunikationssteuerprogramm und Datensteuerungssystem Active DE112018007548B4 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/021135 WO2019229969A1 (ja) 2018-06-01 2018-06-01 データ通信制御装置、データ通信制御プログラムおよび車両制御システム

Publications (2)

Publication Number Publication Date
DE112018007548T5 DE112018007548T5 (de) 2021-01-14
DE112018007548B4 true DE112018007548B4 (de) 2021-07-08

Family

ID=68697949

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112018007548.6T Active DE112018007548B4 (de) 2018-06-01 2018-06-01 Datenkommunikationssteuerungseinrichtung, Datenkommunikationssteuerprogramm und Datensteuerungssystem

Country Status (5)

Country Link
US (1) US20210021618A1 (de)
JP (1) JP6628005B1 (de)
CN (1) CN112204926B (de)
DE (1) DE112018007548B4 (de)
WO (1) WO2019229969A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016134914A (ja) 2015-01-20 2016-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
US20160381059A1 (en) * 2015-06-29 2016-12-29 Argus Cyber Security Ltd. System and method for time based anomaly detection in an in-vehicle communication network

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9100418B2 (en) * 2008-08-21 2015-08-04 GM Global Technology Operations LLC Adaptive data verification for resource-constrained systems
JP5522160B2 (ja) * 2011-12-21 2014-06-18 トヨタ自動車株式会社 車両ネットワーク監視装置
CN103841198B (zh) * 2014-03-07 2017-03-29 中南大学 一种净室云计算数据处理方法及系统
CN106650505A (zh) * 2016-12-28 2017-05-10 北京奇虎科技有限公司 一种车辆攻击检测方法和装置
CN106647724B (zh) * 2017-02-15 2017-12-26 北京航空航天大学 一种基于车辆异常数据监测的t‑box信息安全检测及防护方法
US10931635B2 (en) * 2017-09-29 2021-02-23 Nec Corporation Host behavior and network analytics based automotive secure gateway
JP7225948B2 (ja) * 2019-03-11 2023-02-21 株式会社オートネットワーク技術研究所 代替装置、代替制御プログラム及び代替方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016134914A (ja) 2015-01-20 2016-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
US20160381059A1 (en) * 2015-06-29 2016-12-29 Argus Cyber Security Ltd. System and method for time based anomaly detection in an in-vehicle communication network

Also Published As

Publication number Publication date
CN112204926A (zh) 2021-01-08
CN112204926B (zh) 2022-03-04
JPWO2019229969A1 (ja) 2020-06-25
DE112018007548T5 (de) 2021-01-14
JP6628005B1 (ja) 2020-01-08
WO2019229969A1 (ja) 2019-12-05
US20210021618A1 (en) 2021-01-21

Similar Documents

Publication Publication Date Title
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
DE102012217743B4 (de) Überprüfung einer Integrität von Eigenschaftsdaten eines Gerätes durch ein Prüfgerät
DE112019000485T5 (de) System und verfahren zum bereitstellen der sicherheit für einfahrzeuginternes netzwerk
DE112012003795B4 (de) Verfahren und system für eine fahrzeug-information-integritätsverifikation
DE102012109212B4 (de) Methoden, Vorrichtung und Herstellungsprodukte zur Bereitstellung von Firewalls für Prozesssteuerungssysteme
DE112012001923T5 (de) Zur Zusammenarbeit fähiges Multi-Agentensystem zur Fehlerdiagnose an einem Fahrzeug sowie zugehöriges Verfahren
DE102019104531A1 (de) Anomalieerkennung in einem netzswerksbereichskontroller
DE112018005352T5 (de) Informationsverarbeitungsvorrichtung, bewegte einrichtung, verfahren und programm
DE102016009195B3 (de) Verfahren zum Extrahieren von Fahrzeugdaten aus einem Kraftfahrzeug, Steuervorrichtung und Kraftfahrzeug
DE112017007350B4 (de) Informationsverarbeitungsvorrichtung, Informationsverarbeitungsverfahren, und Speichermedium, auf dem das Programm gespeichert ist
DE112019005529T5 (de) Fahrzeugseitige Kommunikationsvorrichtung, Kommunikationssteuerverfahren und Kommunikationssteuerprogramm
DE102005046462B4 (de) Netzwerkkomponente für ein Kommunikationsnetzwerk, Kommunikationsnetzwerk und Verfahren zur Bereitstellung einer Datenverbindung
DE112008000795T5 (de) In einem Fahrzeug verbaute Weiterleitungs-Verbindungseinheit
DE102018215945A1 (de) Verfahren und Vorrichtung zur Anomalie-Erkennung in einem Fahrzeug
DE112018007548B4 (de) Datenkommunikationssteuerungseinrichtung, Datenkommunikationssteuerprogramm und Datensteuerungssystem
DE102011081803A1 (de) Verfahren und System zum Bereitstellen von gerätespezifischen Eigenschaftsdaten für ein Automatisierungsgerät einer Automatisierungsanlage
DE10332203A1 (de) Verteiltes Bayesnetz-basiertes Expertensystem zur Fahrzeugdiagnose und Funktions-Wiederherstellung
DE19741959C2 (de) System zur Verarbeitung von Ereignissen in technischen Prozessen mit einem verteilten Datenverarbeitungssystem
DE102017209806A1 (de) Verfahren und Vorrichtung zum Erkennen von Angriffen auf einen Feldbus
DE102021109515A1 (de) Verfahren und system zur erleichterung eines selbstheilenden netzwerks
WO2016096298A1 (de) Verfahren zur überprüfung wenigstens eines telegramms
DE112021001385T5 (de) Verfahren und system zum sammeln und verwalten von fahrzeugdaten
DE102016221378A1 (de) Verfahren zum Übertragen von Daten
DE102019101124A1 (de) Überwachungsvorrichtung, Überwachungsverfahren und Programm
DE102019218061A1 (de) Weiterleitungsgerät

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R018 Grant decision by examination section/examining division
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000

R020 Patent grant now final
R084 Declaration of willingness to licence