JP2004193903A - Vehicle-mounted communication system and repeating device - Google Patents

Vehicle-mounted communication system and repeating device Download PDF

Info

Publication number
JP2004193903A
JP2004193903A JP2002358623A JP2002358623A JP2004193903A JP 2004193903 A JP2004193903 A JP 2004193903A JP 2002358623 A JP2002358623 A JP 2002358623A JP 2002358623 A JP2002358623 A JP 2002358623A JP 2004193903 A JP2004193903 A JP 2004193903A
Authority
JP
Japan
Prior art keywords
information
vehicle
vehicle communication
connection
communication device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002358623A
Other languages
Japanese (ja)
Inventor
Kenichi Hatanaka
健一 畑中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Electric Industries Ltd
Original Assignee
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Electric Industries Ltd filed Critical Sumitomo Electric Industries Ltd
Priority to JP2002358623A priority Critical patent/JP2004193903A/en
Publication of JP2004193903A publication Critical patent/JP2004193903A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a vehicle mounted communication system and a repeating device that detect unauthorized access to break the connection of a communication pathway and enable another communication pathway to be secured instead. <P>SOLUTION: A communication header of received packets is verified based on an access pattern DB (S4). It is judged whether the unauthorized access has been detected or not (S5). When it is judged that the unauthorized access has been detected, the vehicle mounted communication system of a transmission source of the packets is discriminated (S6). Then, control signals for breaking the connection of the vehicle mounted communication system are sent (S7). Further, a route control table is renewed as well as sending the control signals to secure the communication pathway going through another vehicle mounted communication system (S8). <P>COPYRIGHT: (C)2004,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、外部からの不正アクセスを検出して当該通信経路を切断するとともに、他の通信経路を確保し得る車載通信システム及び中継装置に関する。
【0002】
【従来の技術】
近年、自動車に各種の情報機器を搭載させて、種々の情報を処理するシステムが普及している。例えば、ラジオ放送の放送波を受信して、音声情報を再生するだけでなく、その放送波に含まれる交通情報を文字情報として表示させるラジオ受信機が搭載されている。また、所謂カーオーディオ装置として、コンパクトディスク(CD)、ミニディスク(MD)などの音声記録媒体を再生する装置が搭載されている。また、GPS(Global Positioning System)から得られる位置情報及び車速センサなどから得られる走行状態情報に基づいて、現在位置近傍の道路地図、目的地までの経路などのナビゲーション用の映像データを生成して表示するナビゲーションシステムも一般的に装備されている。このような情報機器以外に、携帯電話機、テレビジョンシステムなどの搭載も広く行われている(例えば、特許文献1参照)。
【0003】
また、携帯電話機等の車載通信装置を利用してインターネット網のような車外の通信網に接続し、音楽データ、映像データ等の各種コンテンツを取得できる車載通信システムも提案されており、取得した音楽データ、映像データ等のコンテンツを前述した情報機器により再生できるようにしている。
【0004】
【特許文献1】
特開平11−168481号公報
【0005】
【発明が解決しようとする課題】
このように車内の情報機器(以下、車載器という)と車外の通信装置とが通信により接続された状態では、車外の通信装置から車載器に対して不正なアクセスがなされ、車載器に記憶された個人的な情報が外部へ流出する虞、通信不能の状態にされる虞がある。
そこで、車載通信システムのセキュリティ対策として、例えば、車外からの不正アクセスの有無を検出し、不正アクセスを検出した場合に車載器の電源制御を行って車載器へのアクセスを不可能にする車載通信システムが提案されている。
【0006】
しかしながら、前述の車載通信システムでは、不正アクセスを検出する機能に加えて、電源制御機能が必要となり、電源制御機能を備える装置に各車載器の電源を接続する必要があるため、車載通信システムの構成が複雑になるという問題点を有している。
【0007】
また、不正アクセスを防止するために携帯電話機等の電源制御を行う場合、不正アクセスが検出された際に外部への通信経路がなくなるという問題点を有している。
【0008】
本発明は斯かる事情に鑑みてなされたものであり、複数の車載通信装置と情報機器とを中継装置を介して接続してあり、中継装置が車載通信装置を介して車外からの接続要求情報を受信したとき、当該接続要求情報に基づいて情報機器との接続の可否を判定し、接続を不可と判定した場合、車載通信装置と車外通信装置との接続を切断する構成とすることにより、不正アクセスを防止し、セキュリティを高めることができる車載通信システム及び中継装置を提供することを目的とする。
【0009】
本発明の他の目的は、中継装置にて情報機器との接続が不可と判定された場合、接続要求情報の送信元と異なる車載通信装置を経由した通信経路を設定する構成とすることにより、不正アクセスを防止し、セキュリティを高めることができるとともに、不正アクセスを検出した場合であっても他の通信経路を確保し得る車載通信システム及び中継装置を提供することにある。
【0010】
本発明の更に他の目的は、接続手順に関する複数の情報を記憶する記憶手段を備え、受信した接続要求情報が記憶手段に記憶された一の接続手順に従うか否かを判定して、情報機器への接続の可否を判定する構成とすることにより、不正アクセスを防止し、セキュリティを高めることができる車載通信システム及び中継装置を提供することにある。
【0011】
本発明の更に他の目的は、車載通信装置及び情報機器を同一のバス規格による通信網にて中継装置と接続した構成とすることにより、車内の情報機器を接続する通信網と同じ通信回線を利用することができるとともに、不正アクセスを防止し、セキュリティを高めることができる車載通信システムを提供することにある。
【0012】
本発明の更に他の目的は、仮想的な通信網を利用して車載通信装置と中継装置とを接続する構成とすることにより、1つの通信インタフェースで複数の複数の車載通信装置を接続できるとともに、不正アクセスを防止し、セキュリティを高めることができる車載通信システムを提供することにある。
【0013】
【課題を解決するための手段】
第1発明に係る車載通信システムは、複数の車載通信装置と情報機器とを中継装置を介して接続してあり、前記情報機器は、前記中継装置及び車載通信装置を介して車外通信装置と通信可能になしてある車載通信システムにおいて、前記車載通信装置は、前記車外通信装置から送信された前記情報機器に対する接続要求情報を受信する手段と、受信した接続要求情報を前記中継装置へ送信する手段とを備え、前記中継装置は、前記車載通信装置から送信された接続要求情報を受信する手段と、受信した接続要求情報に基づき、前記情報機器への接続の可否を判定する判定手段と、該判定手段が接続を不可と判定した場合、前記車外通信装置との通信を切断すべき旨の情報を前記接続要求情報の送信元の車載通信装置へ送信する手段とを備え、前記車載通信装置が前記情報を受信した場合、前記車外通信装置との通信を切断すべくなしてあることを特徴とする。
【0014】
第1発明にあっては、複数の車載通信装置と情報機器とが中継装置を介して接続されており、車載通信装置を通じて車外からの接続要球情報が中継装置に入力された場合、中継装置は、情報機器へ接続すべきか否かを判定し、接続すべきでないと判定した場合、当該車載通信装置による車外との通信を切断するようにしている。したがって、入力された接続要求情報に基づいて不正アクセスを検出した場合、不正アクセスが検出された際に通信経路となっている車載通信装置のコネクションを切断するため、中継装置へ接続された情報機器への不正アクセスが防止されるとともに、不正アクセスに伴う通信不能の状態を回避し得る。
【0015】
第2発明に係る車載通信システムは、第1発明に係る車載通信システムにおいて、前記判定手段が前記情報機器との接続を不可と判定した場合、前記接続要求情報の送信元と異なる車載通信装置を経由する通信経路を設定する手段を更に備えることを特徴とする。
【0016】
第2発明にあっては、外部からの接続要求に対して中継装置が情報機器への接続を不可と判定した場合、接続要求情報の送信元と異なる車載通信装置を経由した通信経路を設定するようにしている。したがって、不正アクセスが検出された際に通信経路となっている車載通信装置のコネクションを切断し、当該車載通信装置を経由しない通信経路に切替えることにより、中継装置及び通信経路の高負荷による通信不能状態が回避され、中継装置に接続された情報機器は通信経路の遮断を意識することなく車外通信装置と通信を行うことができる。
【0017】
第3発明に係る車載通信システムは、第1発明又は第2発明に係る車載通信システムにおいて、前記中継装置は、接続手順に関する複数の情報を記憶する記憶手段を更に備え、前記判定手段は、車載通信装置を介して受信した接続要求情報が、前記記憶手段に記憶された一の接続手順に従うか否かを判定することにより、前記情報機器への接続の可否を判定すべくなしてあることを特徴とする。
【0018】
第3発明にあっては、外部から受信した接続要求情報が、予め記憶された接続手順に従うか否かを判定することにより、情報機器への接続の可否を判定するようにしている。したがって、例えば、サービス不能攻撃(DoS攻撃、DoS : Denial of Service)、ポートスキャン攻撃等の不正アクセスに関する接続手順を予め記憶させておき、車外通信装置から接続要求があった場合、当該接続要求による接続手順が予め記憶させた接続手順に従うか否かを判断することによって、不正アクセスか否かを判定することができる。また、記憶させる内容を随時更新することで新たな不正アクセスにも対処することが可能となる。
【0019】
第4発明に係る車載通信システムにあっては、第1発明乃至第3発明の何れかの車載通信システムにおいて、前記車載通信装置及び前記情報機器は、同一のバス規格による通信網にて前記中継装置と接続されていることを特徴とする。
【0020】
第4発明にあっては、IEEE1394のようなバス規格を利用して車載通信装置及び情報機器を中継装置へ接続することにより、ケーブルを共通化することが可能となり、省線化を図ることができる。
【0021】
第5発明に係る車載通信システムは、第4発明に係る車載通信システムにおいて、前記通信網は、仮想的な通信網であることを特徴とする。
【0022】
第5発明にあっては、所謂VLAN(Virtual Local Area Network)を利用することにより、1つの通信インタフェースに複数の車載通信装置を接続することが可能となる。
【0023】
第6発明に係る中継装置は、車外通信装置と接続された複数の車載通信装置、及び該車載通信装置を介して前記車外通信装置と通信可能になしてある情報機器の双方へ接続された中継装置において、前記車外通信装置から送信された前記情報機器に対する接続要求情報を前記車載通信装置を介して受信する手段と、受信した接続要求情報に基づき、前記情報機器への接続の可否を判定する判定手段と、該判定手段が接続を不可と判定した場合、前記車外通信装置との通信を切断すべき旨の情報を前記接続要求情報の送信元の車載通信装置へ送信する手段とを備えることを特徴とする。
【0024】
第6発明にあっては、複数の車載通信装置と情報機器とが中継装置を介して接続されており、車載通信装置を通じて車外からの接続要球情報が中継装置に入力された場合、中継装置は、情報機器へ接続すべきか否かを判定し、接続すべきでないと判定した場合、当該車載通信装置による車外との通信を切断するようにしている。したがって、入力された接続要求情報に基づいて不正アクセスを検出した場合、不正アクセスが検出された際に通信経路となっている車載通信装置のコネクションを切断するため、中継装置へ接続された情報機器への不正アクセスが防止されるとともに、不正アクセスに伴う通信不能の状態を回避し得る。
【0025】
第7発明に係る中継装置は、第6発明に係る中継装置において、前記判定手段が前記情報機器との接続を不可と判定した場合、前記接続要求情報の送信元と異なる車載通信装置を経由する通信経路を設定する手段を更に備えることを特徴とする。
【0026】
第7発明にあっては、外部からの接続要求に対して中継装置が情報機器への接続を不可と判定した場合、接続要求情報の送信元と異なる車載通信装置を経由した通信経路を設定するようにしている。したがって、不正アクセスが検出された際に通信経路となっている車載通信装置のコネクションを切断し、当該車載通信装置を経由しない通信経路に切替えることにより、中継装置及び通信経路の高負荷による通信不能状態が回避され、中継装置に接続された情報機器は通信経路の遮断を意識することなく車外通信装置と通信を行うことができる。
【0027】
第8発明に係る中継装置は、第6発明又は第7発明に係る中継装置において、接続手順に関する複数の情報を記憶する記憶手段を更に備え、前記判定手段は、車載通信装置を介して受信した接続要求情報が、前記記憶手段に記憶された一の接続手順に従うか否かを判定することにより、前記情報機器への接続の可否を判定すべくなしてあることを特徴とする。
【0028】
第8発明にあっては、外部から受信した接続要求情報が、予め記憶された接続手順に従うか否かを判定することにより、情報機器への接続の可否を判定するようにしている。したがって、例えば、サービス不能攻撃、ポートスキャン攻撃等の不正アクセスに関する接続手順を予め記憶させておき、車外通信装置から接続要求があった場合、当該接続要求による接続手順が予め記憶させた接続手順に従うか否かを判断することによって、不正アクセスか否かを判定することができる。また、記憶させた内容を随時更新することで新たな不正アクセスにも対処することが可能となる。
【0029】
【発明の実施の形態】
以下、本発明をその実施の形態を示す図面に基づいて具体的に説明する。
実施の形態1.
図1は本実施の形態に係る車載通信システムの概略構成図である。図中Cは自動車等の車両であり、当該車両Cは、コンパクトディスク、ミニディスク等の音楽用記録メディアに記録された音声情報を再生するオーディオ装置16、走行履歴を記録するドライブレコーダ17、ナビゲーション用の映像データを生成するナビゲーション装置18、ナビゲーション装置18で生成された映像データ等を表示するモニタ装置19を備えており、これらの車載器は車載LAN15を介してゲートウェイ装置10へ接続されている。車載LAN15としては、IEEE1394,MOST(Media Oriented Systems Transport)等に準拠した規格を利用することができる。
ゲートウェイ装置10には、携帯電話機11、DSRC装置12、無線通信装置13等の車載通信装置が接続されており、当該車載通信装置を利用してインターネット網のような車外の通信網Nに接続できるようにしている。なお、各車載通信装置をゲートウェイ装置10へ接続するためのインタフェースとしては、IEEE1394,USB(Universal Serial Bus)等を利用することができる。
【0030】
車外の通信網Nから送信される各種の情報は車載通信装置が受信した後、ゲートウェイ装置10により中継され、車載LAN15に接続された車載器へ送信される。また、車載LAN15に接続された車載器から車外の通信網Nへ接続する際には、ゲートウェイ装置10にて動的に最適な通信経路を選択し、ルーティングできるようになっている。
本実施の形態に係るゲートウェイ装置10は、車載通信装置に対する動的経路制御機能に加えて車外から不正アクセスを検出する機能、及び車載通信装置に対するコネクションを管理する機能を有している。
【0031】
ゲートウェイ装置10は、内部に備える記憶部(図2参照)にDoS攻撃、ポートスキャン攻撃等の不正アクセスに関するアクセスパターンを予め記憶しており、そのアクセスパターンに従うアクセス要求を不正アクセスとして検出する。
車外からの不正アクセスが検出された場合、ゲートウェイ装置10は不正アクセスの進入経路を特定する。ゲートウェイ装置10が不正アクセスの進入経路を携帯電話機11、DSRC装置12、又は無線通信装置13の中から特定した場合、該当する車載通信装置のコネクションを切断し、その進入経路からゲートウェイ装置10及び車載器へアクセスできないようにしている。
このような処理をすることにより、ゲートウェイ装置10及び車載LAN15での負荷が高くなり他の通信に影響を及ぼすということを無くすことができる。また、ゲートウェイ装置10は、動的経路制御機能により自動的に他の車外通信装置に経路を切替えるため、車載器から車外の通信網Nへ接続する際に影響が及ばないようにすることができる。
【0032】
図2はゲートウェイ装置10の内部構成を示すブロック図である。ゲートウェイ装置10はMPUを有するマイクロコンピュータ101を備えており、マイクロコンピュータ101には、フラッシュメモリ等の記憶部102及び中継LSI103が接続されている。
【0033】
中継LSI103には、車載LAN15側の通信インタフェースLSI104、及び車載通信装置側の通信インタフェースLSI106が接続されている。すなわち、通信インタフェースLSI104には、コネクタ105を介して車載LAN15が接続されており、車載LAN15に接続された各種車載器からの情報を受信して中継LSI103へ送出すると共に、中継LSI103を通じて入力された車外からの情報を車載器側へ送出する。
このとき、通信インタフェースLSI104では、主として物理層及びデータリンク層の処理を行う。また、中継LSI103は、中継するデータのネットワーク層、トランスポート層の通信ヘッダをチェックして、データの転送処理、及びヘッダにおけるIPアドレス、ポート番号の付け替え処理を行う。
【0034】
また、通信インタフェースLSI106には、コネクタ107a,107b,107cを介してそれぞれ携帯電話機11,DSRC装置12,及び無線通信装置13が接続されており、車外からの情報を中継LSI103へ送出すると共に、中継LSI103を通じて入力された車外へ送信すべき情報を携帯電話機11,DSRC装置12,又は無線通信装置13へ送出する。データの送出先は、マイクロコンピュータ101が作成した経路制御テーブル102aに従い、中継LSI103により実行されたルーティング処理に従う。通信インタフェースLSI106は、前述と同様に主として物理層及びデータリンク層の処理を行う。
なお、通信インタフェースLSI104,106は、物理層の処理及びデータリンク層の処理を行うLSIを夫々別体として設けてもよく、一体として設けてもよい。
【0035】
記憶部102には、通信制御を行うための各種制御プログラムが記憶されており、マイクロコンピュータ101が当該制御プログラムを実行することで、ゲートウェイ装置10として機能する。また、記憶部102には、車載通信装置の通信状況に応じて通信先のIPアドレス等が記憶される経路制御テーブル102aと、不正アクセスに係るアクセスパターンを記憶したアクセスパターンデータベース(以下、アクセスパターンDBという)102bとを有しており、マイクロコンピュータ101の指示に応じて読出し処理、及び書込み処理が適宜行われる。また、記憶部102には、マイクロコンピュータ101の演算処理中に発生したデータ、通信インタフェースLSI104,106を通じて送受信したデータ等が一時的に記憶される。
なお、アクセスパターンDB102bの内容は、車外の通信網Nを経由して定期的に更新するようにしておくことが望ましい。
【0036】
ゲートウェイ装置10は、受信した車外からのパケットに基づいて不正アクセスの検証を行う。不正アクセスの検証は、ゲートウェイ装置10にて受信した車外からのパケットの通信ヘッダ、及び各ポートへのアクセスパターンをアクセスパターンDBの内容と比較することにより行う。具体的には、(1)アクセスに使用されるプロトコルの仕様に準拠しているかどうか、(2)プロトコルで使用されるコマンド、URL等の内容、データの長さが適切であるか、(3)予め定めたアクセス条件(例えば、送信元アドレス、送信先アドレス、ポート番号等の組合わせ)に合致するか、(4)単位時間あたりのアクセス回数が許容範囲内であるか、という観点から不正アクセスか否かを決定する。
【0037】
(1)プロトコルの仕様に準拠しているかどうか、(2)プロトコルで使用されるコマンド等が適切であるか、という点については受信したパケットの通信ヘッダに基づいて検証することができる。以下では、インターネット網で利用されるHTTPプロトコルを例にとって説明する。
図3は、HTTPプロトコルで使用されるパケットの概念図である。HTTPプロトコル使用のもとでは、IPヘッダ、TCPヘッダ、HTTPヘッダ、HTTPデータの順に検証される。検証内容は、パケットにおけるIPヘッダの各フィールドが正しい範囲に収まっているかどうか、IPヘッダのIPパケット全体長の値とIPヘッダ長の値に矛盾がないかどうか等である。違反している場合、不正アクセスの可能性があると判定する。TCPヘッダの検証もIPヘッダの検証と同様である。
その後、HTTPヘッダの各フィールドのフォーマットが仕様通りに記述されているか、HTTPデータのフォーマットが仕様通りに記述されているかを検証する。
【0038】
(3)予め定めたアクセス条件に合致するか、(4)単位時間当たりのアクセス回数が許容範囲内であるか、という点については各ポートへのアクセスパターンをアクセスパターンDB102bに記憶された内容と比較することによって検証する。
例えば、前述のDoS攻撃は、侵入者のコンピュータから攻撃対象に大量のパケットを短時間で送信し、攻撃対象の情報機器をのシステムリソースをダウンさせる攻撃である。したがって、受信したパケットの通信ヘッダから送信先ポート及び送信元ポートを抽出し、1つの送信元から1つの送信先へのパケット量が許容範囲を超えているか否かを検証することで、不正アクセスを検出することが可能である。
【0039】
図4は、本実施の形態に係る車載通信システムを利用した通信手順を説明するフローチャートである。車載通信装置(例えば、携帯電話機11)が車外の通信装置からパケットを受信した場合(ステップS1)、受信したパケットをゲートウェイ装置10へ送信する(ステップS2)。
【0040】
ゲートウェイ装置10は、車載通信装置から送信されたパケットを受信した場合(ステップS3)、ゲートウェイ装置10のマイクロコンピュータ101は、受信したアクセスパターンDB102bに基づいてパケットを検証する(ステップS4)。具体的には、前述したように(1)アクセスに使用されるプロトコルの仕様に準拠しているかどうか、(2)プロトコルで使用されるコマンド、URL等の内容、データの長さが適切であるか、(3)予め定めたアクセス条件に合致するか、(4)単位時間あたりのアクセス回数が許容範囲内であるか、という観点からパケットを検証する。
【0041】
次いで、マイクロコンピュータ101は不正アクセスを検出したか否かを判断し(ステップS5)、不正アクセスを検出した場合(S5:YES)、受信したパケットの通信ヘッダを調べることによりパケットの送信元の車載通信装置を識別する(ステップS6)。
そして、マイクロコンピュータ101は、車外通信装置との通信を切断要求するために制御信号をステップS6で識別した車載通信装置(携帯電話機11)へ送信する(ステップS7)。また、マイクロコンピュータ101は、記憶部102が有する経路制御テーブル102aを更新し(ステップS8)、他の車載通信装置であるDSRC装置12又は無線通信装置13を経由する通信経路に切替える。
【0042】
車載通信装置(携帯電話機11)が切断要求の制御信号を受信した場合(ステップS9)、当該車載通信装置は車外通信装置とのコネクションを切断する(ステップS10)。
【0043】
なお、本実施の形態では、不正アクセスが検出され通信経路を切断した後の回復処理については記載していないが、所定時間後に再接続を試みて不正アクセスが検出されない場合、車載LAN15にコネクションを提供するようにしてもよい。
【0044】
また、本実施の形態では、不正アクセスの検出時に車載通信装置と通信網Nとのコネクションを切断するようにしているが、不正アクセスが検出された際にインターネットプロバイダ、路側通信装置等に不正アクセスを検出した旨の情報を通知するようにしてもよい。
【0045】
実施の形態2.
実施の形態1で説明したゲートウェイ装置10はコネクタ107a〜107cを備えており、各コネクタ107a〜107に個別のアドレスを割り当てるとともに、携帯電話機11,DSRC装置12,無線通信装置13を各コネクタ107a〜107cに接続する構成とした。ゲートウェイ装置10の車載通信装置側に同一のアドレスを割り当てた場合、ある車載通信装置のコネクションを切断しても、他の車載通信装置からアクセスできるためであり、これを防止するために各コネクタ107a〜107cに個別のアドレスを割り当てるようにしている。
しかし、いわゆる仮想LANの機能を利用した場合、1つの物理的なインタフェースに複数の仮想的なLANを接続することが可能となる。本実施の形態では、仮想LANを利用した車載通信システムについて説明する。
【0046】
図5は本実施の形態に係る車載通信システムの概略構成図である。実施の形態1と同様に、オーディオ装置16、ドライブレコーダ17、ナビゲーション装置18、モニタ装置19等の車載器が、IEEE1394,MOST等の規格に準拠した車載LAN15を介してゲートウェイ装置20へ接続されている。
ゲートウェイ装置20には、携帯電話機11、DSRC装置12、無線通信装置13等の車載通信装置が接続されており、当該車載通信装置を利用してインターネット網のような車外の通信網Nに接続できるようにしている。本実施の形態では、各車載通信装置をゲートウェイ装置20へ接続する1つのインタフェースに3つの仮想LANを持たせており、各仮想LANに携帯電話機11、DSRC装置12、無線通信装置13の夫々を接続している。
【0047】
車外の通信網Nから送信される各種の情報は車載通信装置が受信した後、ゲートウェイ装置20により中継され、車載LAN15に接続された車載器へ送信される。また、車載LAN15に接続された車載器から車外の通信網Nへ接続する際には、ゲートウェイ装置20にて動的に最適な通信経路を選択し、ルーティングできるようになっている。
本実施の形態に係るゲートウェイ装置20は、実施の形態1で説明したものと同様に、車載通信装置に対する動的経路制御機能に加えて車外から不正アクセスを検出する機能、及び車載通信装置に対するコネクションを管理する機能を有している。
【0048】
図6はゲートウェイ装置20の内部構成を示すブロック図である。ゲートウェイ装置20はMPUを有するマイクロコンピュータ201を備えており、マイクロコンピュータ201には、フラッシュメモリ等の記憶部202及び中継LSI203が接続されている。
【0049】
中継LSI203には、車載LAN15側の通信インタフェースLSI204、及び車載通信装置側の通信インタフェースLSI206が接続されている。通信インタフェースLSI204には、コネクタ205を介して車載LAN15が接続されており、車載LAN15に接続された各種車載器からの情報を受信して中継LSI203へ送出すると共に、中継LSI203を通じて入力された車外からの情報を車載器側へ送出する。
このとき、通信インタフェースLSI204では、主として物理層及びデータリンク層の処理を行う。また、中継LSI203は、中継するデータのネットワーク層、トランスポート層の通信ヘッダをチェックして、データの転送処理、及びヘッダにおけるIPアドレス、ポート番号の付け替え処理を行う。
【0050】
一方、通信インタフェースLSI206には、コネクタ207を介して携帯電話機11、DSRC装置12、及び無線通信装置13が接続されている。コネクタ207に異なる3つのアドレスを割り当てて仮想LANを形成し、各仮想LANにそれぞれ車載通信装置を接続する。例えば、コネクタ207に3つのアドレス「190.0.0.*」、「190.0.1.*」、「190.0.2.*」を持たせるとともに、携帯電話機11に「190.0.0.1」、DSRC装置12「190.0.1.1」、無線通信装置13に「190.0.2.1」を割り当てることで、3つの仮想LANを形成する。
中継LSI203を通じて入力された車外へ送信すべき情報を携帯電話機11,DSRC装置12,又は無線通信装置13へ送出する。データの送出先は、マイクロコンピュータ201が作成した経路制御テーブル202aに従い、中継LSI203により実行されたルーティング処理に従う。通信インタフェースLSI206は、前述と同様に主として物理層及びデータリンク層の処理を行う。
【0051】
記憶部202には、通信制御を行うための各種制御プログラムが記憶されており、マイクロコンピュータ201が当該制御プログラムを実行することで、ゲートウェイ装置20として機能する。また、記憶部202には、車載通信装置の通信状況に応じて通信先のIPアドレス等が記憶される経路制御テーブル202aと、不正アクセスに係るアクセスパターンを記憶したアクセスパターンDB202bとを有しており、マイクロコンピュータ201の指示に応じて読出し処理、及び書込み処理が適宜行われる。また、記憶部202には、マイクロコンピュータ201の演算処理中に発生したデータ、通信インタフェースLSI204,206を通じて送受信したデータ等が一時的に記憶される。
【0052】
通信インタフェースLSI206を通じて中継LSI203に入力されるパケットは、ネットワーク層レベルであり、ルーティング処理は基本的に中継LSI203が行う。不正アクセスの検出、車載通信装置の状況に応じた動的経路制御、不正アクセス検出結果に基づくコネクション制御等のトランスポート層よる上位の処理は、マイクロコンピュータ201により行われる。
マイクロコンピュータ201が行う処理は実施の形態1と同様であり、例えば、不正アクセス検出の際には、(1)アクセスに使用されるプロトコルの仕様に準拠しているかどうか、(2)プロトコルで使用されるコマンド、URL等の内容、データの長さが適切であるか、(3)予め定めたアクセス条件に合致するか、(4)単位時間あたりのアクセス回数が許容範囲内であるか、という観点からパケットを検証する。
【0053】
【発明の効果】
以上、詳述したように、第1発明及び第6発明による場合は、複数の車載通信装置と情報機器とが中継装置を介して接続されており、車載通信装置を通じて車外からの接続要球情報が中継装置に入力された場合、中継装置は、情報機器へ接続すべきか否かを判定し、接続すべきでないと判定した場合、当該車載通信装置による車外との通信を切断するようにしている。したがって、入力された接続要求情報に基づいて不正アクセスを検出した場合、不正アクセスが検出された際に通信経路となっている車載通信装置のコネクションを切断するため、中継装置へ接続された情報機器への不正アクセスを防止することができるとともに、不正アクセスに伴う通信不能の状態を回避することができる。
【0054】
第2発明及び第7発明による場合は、外部からの接続要求に対して中継装置が情報機器への接続を不可と判定した場合、接続要求情報の送信元と異なる車載通信装置を経由する通信経路を設定するようにしている。したがって、不正アクセスが検出された際に通信経路となっている車載通信装置のコネクションを切断し、当該車載通信装置を経由しない通信経路に切替えることにより、中継装置及び通信経路の高負荷による通信不能状態が回避され、中継装置に接続された情報機器は通信経路の遮断を意識することなく車外通信装置と通信を行うことができる。
【0055】
第3発明及び第8発明による場合は、外部から受信した接続要求情報が、予め記憶された接続手順に従うか否かを判定することにより、情報機器への接続の可否を判定するようにしている。したがって、例えば、サービス不能攻撃、ポートスキャン攻撃等の不正アクセスに関する接続手順を予め記憶させておき、車外通信装置から接続要求があった場合、当該接続要求による接続手順が予め記憶させた接続手順に従うか否かを判断することによって、不正アクセスか否かを判定することができる。また、記憶させる内容を随時更新することで新たな不正アクセスにも対処することが可能となる。
【0056】
第4発明による場合は、IEEE1394のようなバス規格を利用して車載通信装置及び情報機器を中継装置へ接続することにより、ケーブルを共通化することが可能となり、省線化を図ることができる。
【0057】
第5発明による場合は、所謂VLANを利用することにより、1つの通信インタフェースに複数の車載通信装置を接続することが可能となる等、本発明は優れた効果を奏する。
【図面の簡単な説明】
【図1】本実施の形態に係る車載通信システムの概略構成図である。
【図2】ゲートウェイ装置の内部構成を示すブロック図である。
【図3】HTTPプロトコルで使用されるパケットの概念図である。
【図4】本実施の形態に係る車載通信システムを利用した通信手順を説明するフローチャートである。
【図5】本実施の形態に係る車載通信システムの概略構成図である。
【図6】ゲートウェイ装置の内部構成を示すブロック図である。
【符号の説明】
10 ゲートウェイ装置
11 携帯電話機
12 DSRC装置
13 無線通信装置
15 車載LAN
16 オーディオ装置
17 ドライブレコーダ
18 ナビゲーション装置
19 モニタ装置
101 マイクロコンピュータ
102 記憶部
102a 経路制御テーブル
102b アクセスパターンデータベース
103 中継LSI
104,106 通信インタフェースLSI
105,107a,107b,107c コネクタ
C 車両
N 通信網[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to an in-vehicle communication system and a relay device that can detect an unauthorized access from the outside and disconnect the communication path, and can secure another communication path.
[0002]
[Prior art]
2. Description of the Related Art In recent years, a system for processing various information by mounting various information devices on a vehicle has become widespread. For example, a radio receiver not only receives a broadcast wave of a radio broadcast and reproduces audio information but also displays traffic information included in the broadcast wave as character information. As a so-called car audio device, a device for reproducing an audio recording medium such as a compact disk (CD) and a mini disk (MD) is mounted. In addition, based on position information obtained from a GPS (Global Positioning System) and running state information obtained from a vehicle speed sensor and the like, navigation image data such as a road map near the current position and a route to a destination are generated. Display navigation systems are also commonly equipped. In addition to such information devices, mobile phones, television systems, and the like have been widely mounted (for example, see Patent Document 1).
[0003]
Also, an in-vehicle communication system that can connect to an external communication network such as the Internet using an in-vehicle communication device such as a mobile phone and acquire various contents such as music data and video data has been proposed. Content such as data and video data can be reproduced by the information device described above.
[0004]
[Patent Document 1]
JP-A-11-168481
[0005]
[Problems to be solved by the invention]
As described above, in a state where the information device in the vehicle (hereinafter referred to as the vehicle-mounted device) and the communication device outside the vehicle are connected by communication, an unauthorized access is made to the vehicle-mounted device from the communication device outside the vehicle, and the information is stored in the vehicle-mounted device. Personal information may leak to the outside, and communication may be disabled.
Therefore, as security measures for in-vehicle communication systems, for example, in-vehicle communication that detects the presence or absence of unauthorized access from outside the vehicle and controls the power of the in-vehicle device to disable access to the in-vehicle device when the unauthorized access is detected A system has been proposed.
[0006]
However, in the above-mentioned in-vehicle communication system, a power control function is required in addition to the function of detecting unauthorized access, and it is necessary to connect the power supply of each in-vehicle unit to a device having the power control function. There is a problem that the configuration is complicated.
[0007]
Further, when power supply control of a mobile phone or the like is performed to prevent unauthorized access, there is a problem that there is no communication path to the outside when unauthorized access is detected.
[0008]
The present invention has been made in view of such circumstances, and a plurality of in-vehicle communication devices and information devices are connected via a relay device, and the relay device has connection request information from outside the vehicle via the in-vehicle communication device. Is received, whether connection with the information device is possible or not is determined based on the connection request information, and if it is determined that the connection is not possible, by disconnecting the connection between the in-vehicle communication device and the outside-vehicle communication device, It is an object of the present invention to provide an in-vehicle communication system and a relay device that can prevent unauthorized access and increase security.
[0009]
Another object of the present invention is to set a communication path via an in-vehicle communication device different from the transmission source of the connection request information when the connection with the information device is determined to be impossible in the relay device, It is an object of the present invention to provide an in-vehicle communication system and a relay device that can prevent unauthorized access and enhance security, and can secure another communication path even when an unauthorized access is detected.
[0010]
Still another object of the present invention is to provide a storage device for storing a plurality of pieces of information relating to a connection procedure, and determining whether or not the received connection request information follows one connection procedure stored in the storage means. It is an object of the present invention to provide an in-vehicle communication system and a relay device that can prevent unauthorized access and increase security by adopting a configuration that determines whether connection to a vehicle is possible.
[0011]
Still another object of the present invention is to provide a configuration in which an in-vehicle communication device and an information device are connected to a relay device via a communication network based on the same bus standard, so that the same communication line as a communication network for connecting information devices in a vehicle is provided. It is an object of the present invention to provide an in-vehicle communication system that can be used, can prevent unauthorized access, and can enhance security.
[0012]
Still another object of the present invention is to connect a plurality of in-vehicle communication devices with a single communication interface by connecting the in-vehicle communication device and the relay device using a virtual communication network. Another object of the present invention is to provide an in-vehicle communication system capable of preventing unauthorized access and enhancing security.
[0013]
[Means for Solving the Problems]
A vehicle-mounted communication system according to a first aspect of the present invention connects a plurality of vehicle-mounted communication devices and information devices via a relay device, and the information device communicates with an external communication device via the relay device and the vehicle-mounted communication device. In the in-vehicle communication system enabled, the in-vehicle communication device receives a request for connection to the information device transmitted from the external communication device, and transmits the received connection request information to the relay device. The relay device, a means for receiving connection request information transmitted from the in-vehicle communication device, based on the received connection request information, a determination unit for determining whether to connect to the information device, When the determination unit determines that connection is not possible, a unit that transmits information to the effect that communication with the external communication device should be disconnected to the in-vehicle communication device that is the transmission source of the connection request information, If serial-vehicle communication device receives the information, characterized in that are no in order to disconnect the communication with the exterior communication device.
[0014]
According to the first invention, when a plurality of in-vehicle communication devices and information devices are connected via a relay device, and connection ball information from outside the vehicle is input to the relay device through the in-vehicle communication device, the relay device Determines whether or not to connect to the information device, and when it is determined that the connection should not be made, the communication with the outside of the vehicle by the in-vehicle communication device is disconnected. Therefore, when an unauthorized access is detected based on the input connection request information, the information device connected to the relay device is disconnected in order to disconnect the connection of the vehicle-mounted communication device serving as a communication path when the unauthorized access is detected. Unauthorized access to the server can be prevented, and a state in which communication cannot be performed due to the unauthorized access can be avoided.
[0015]
The in-vehicle communication system according to a second invention is the in-vehicle communication system according to the first invention, wherein the in-vehicle communication device different from the transmission source of the connection request information is provided when the determination unit determines that connection with the information device is not possible. It is characterized by further comprising means for setting a communication route to be passed.
[0016]
According to the second aspect, when the relay device determines that connection to the information device is not possible in response to a connection request from the outside, a communication path is set via an in-vehicle communication device different from the transmission source of the connection request information. Like that. Therefore, when an unauthorized access is detected, the connection of the in-vehicle communication device serving as a communication path is disconnected, and the communication path is switched to a communication path that does not pass through the in-vehicle communication apparatus, thereby making it impossible to perform communication due to a high load on the relay device and the communication path. The state is avoided, and the information device connected to the relay device can communicate with the external communication device without being aware of the interruption of the communication path.
[0017]
The in-vehicle communication system according to a third invention is the in-vehicle communication system according to the first invention or the second invention, wherein the relay device further includes storage means for storing a plurality of pieces of information on a connection procedure, The connection request information received via the communication device determines whether or not to follow one connection procedure stored in the storage means, thereby determining whether or not connection to the information device is possible. Features.
[0018]
According to the third aspect of the invention, it is determined whether or not connection to the information device is possible by determining whether or not the connection request information received from the outside follows a connection procedure stored in advance. Therefore, for example, a connection procedure relating to unauthorized access such as a denial of service attack (DoS attack, DoS: Denial of Service) and a port scan attack is stored in advance, and when a connection request is issued from a communication device outside the vehicle, the connection request is used. By determining whether or not the connection procedure follows a previously stored connection procedure, it is possible to determine whether or not the access is unauthorized. Further, by updating the content to be stored as needed, it is possible to cope with a new unauthorized access.
[0019]
In the in-vehicle communication system according to the fourth invention, in the in-vehicle communication system according to any of the first to third inventions, the in-vehicle communication device and the information device are connected to each other via the communication network based on the same bus standard. It is characterized by being connected to a device.
[0020]
According to the fourth aspect of the invention, by connecting the in-vehicle communication device and the information device to the relay device using a bus standard such as IEEE 1394, it becomes possible to use a common cable and reduce the number of lines. it can.
[0021]
A vehicle-mounted communication system according to a fifth invention is the vehicle-mounted communication system according to the fourth invention, wherein the communication network is a virtual communication network.
[0022]
In the fifth invention, a plurality of in-vehicle communication devices can be connected to one communication interface by using a so-called VLAN (Virtual Local Area Network).
[0023]
A relay device according to a sixth aspect of the present invention is a relay device connected to both a plurality of in-vehicle communication devices connected to an out-of-vehicle communication device and an information device communicable with the out-of-vehicle communication device via the in-vehicle communication device. A device for receiving, via the in-vehicle communication device, connection request information for the information device transmitted from the external communication device, and determining whether connection to the information device is possible based on the received connection request information Determining means, and means for transmitting, to the in-vehicle communication device which is a source of the connection request information, information indicating that communication with the external communication device should be cut off when the determining device determines that connection is impossible. It is characterized by.
[0024]
According to the sixth aspect of the present invention, when a plurality of in-vehicle communication devices and information devices are connected via a relay device, and connection ball information from outside the vehicle is input to the relay device through the in-vehicle communication device, the relay device Determines whether or not to connect to the information device, and when it is determined that the connection should not be made, the communication with the outside of the vehicle by the in-vehicle communication device is disconnected. Therefore, when an unauthorized access is detected based on the input connection request information, the information device connected to the relay device is disconnected in order to disconnect the connection of the vehicle-mounted communication device serving as a communication path when the unauthorized access is detected. Unauthorized access to the server can be prevented, and a state in which communication cannot be performed due to the unauthorized access can be avoided.
[0025]
The relay device according to a seventh aspect of the present invention is the relay device according to the sixth aspect, wherein, when the determination unit determines that connection with the information device is not possible, the relay device passes through a vehicle-mounted communication device different from the transmission source of the connection request information. It is characterized by further comprising means for setting a communication path.
[0026]
In the seventh invention, when the relay device determines that connection to the information device is not possible in response to a connection request from the outside, a communication path is set via a vehicle-mounted communication device different from the transmission source of the connection request information. Like that. Therefore, when an unauthorized access is detected, the connection of the in-vehicle communication device serving as a communication path is disconnected, and the communication path is switched to a communication path that does not pass through the in-vehicle communication apparatus, thereby making it impossible to perform communication due to a high load on the relay device and the communication path. The state is avoided, and the information device connected to the relay device can communicate with the external communication device without being aware of the interruption of the communication path.
[0027]
The relay device according to an eighth aspect of the present invention is the relay device according to the sixth or seventh aspect, further comprising a storage unit configured to store a plurality of pieces of information relating to a connection procedure, wherein the determination unit receives the information via a vehicle-mounted communication device. It is characterized in that it is determined whether or not connection to the information device is possible by determining whether or not the connection request information follows one connection procedure stored in the storage means.
[0028]
In the eighth invention, it is determined whether or not connection to the information device is possible by determining whether or not the connection request information received from the outside follows a connection procedure stored in advance. Therefore, for example, a connection procedure relating to unauthorized access such as a denial of service attack, a port scan attack or the like is stored in advance, and when a connection request is received from an external communication device, the connection procedure according to the connection request follows the stored connection procedure. By determining whether or not the access is unauthorized, it is possible to determine whether or not the access is unauthorized. Also, by updating the stored contents as needed, it is possible to deal with new unauthorized access.
[0029]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, the present invention will be specifically described with reference to the drawings showing the embodiments.
Embodiment 1 FIG.
FIG. 1 is a schematic configuration diagram of a vehicle-mounted communication system according to the present embodiment. In the figure, C denotes a vehicle such as an automobile. The vehicle C includes an audio device 16 for reproducing audio information recorded on a music recording medium such as a compact disk and a mini disk, a drive recorder 17 for recording a running history, a navigation system. Device 18 for generating video data for use, and a monitor device 19 for displaying video data and the like generated by the navigation device 18. These in-vehicle devices are connected to the gateway device 10 via the in-vehicle LAN 15. . As the in-vehicle LAN 15, a standard based on IEEE 1394, MOST (Media Oriented Systems Transport) or the like can be used.
An in-vehicle communication device such as a mobile phone 11, a DSRC device 12, and a wireless communication device 13 is connected to the gateway device 10, and the gateway device 10 can be connected to a communication network N outside the vehicle such as the Internet using the in-vehicle communication device. Like that. In addition, as an interface for connecting each in-vehicle communication device to the gateway device 10, IEEE1394, USB (Universal Serial Bus), or the like can be used.
[0030]
Various information transmitted from the communication network N outside the vehicle is received by the vehicle-mounted communication device, relayed by the gateway device 10, and transmitted to the vehicle-mounted device connected to the vehicle-mounted LAN 15. Further, when connecting from the vehicle-mounted device connected to the vehicle-mounted LAN 15 to the communication network N outside the vehicle, the gateway device 10 can dynamically select and route the optimal communication route.
The gateway device 10 according to the present embodiment has a function of detecting an unauthorized access from outside the vehicle and a function of managing a connection to the in-vehicle communication device, in addition to a dynamic path control function for the in-vehicle communication device.
[0031]
The gateway device 10 previously stores an access pattern relating to an unauthorized access such as a DoS attack or a port scan attack in a storage unit (see FIG. 2) provided therein, and detects an access request according to the access pattern as an unauthorized access.
When an unauthorized access from outside the vehicle is detected, the gateway device 10 specifies an entry route of the unauthorized access. When the gateway device 10 specifies the entry route of the unauthorized access from the mobile phone 11, the DSRC device 12, or the wireless communication device 13, the connection of the corresponding in-vehicle communication device is disconnected, and the gateway device 10 and the in-vehicle device are disconnected from the entry route. Access to the vessel.
By performing such processing, it is possible to prevent the load on the gateway device 10 and the in-vehicle LAN 15 from increasing and affecting other communications. In addition, since the gateway device 10 automatically switches the path to another external communication device by the dynamic path control function, it is possible to prevent the influence from being exerted when connecting from the vehicle-mounted device to the external communication network N. .
[0032]
FIG. 2 is a block diagram showing the internal configuration of the gateway device 10. The gateway device 10 includes a microcomputer 101 having an MPU, and a storage unit 102 such as a flash memory and a relay LSI 103 are connected to the microcomputer 101.
[0033]
The relay LSI 103 is connected to a communication interface LSI 104 on the in-vehicle LAN 15 side and a communication interface LSI 106 on the in-vehicle communication device side. That is, the in-vehicle LAN 15 is connected to the communication interface LSI 104 via the connector 105, and receives information from various on-vehicle devices connected to the in-vehicle LAN 15, sends out the information to the relay LSI 103, and inputs the information via the relay LSI 103. Sends information from outside the vehicle to the vehicle-mounted device.
At this time, the communication interface LSI 104 mainly performs processing of the physical layer and the data link layer. The relay LSI 103 checks the communication header of the network layer and the transport layer of the data to be relayed, and performs the data transfer processing and the IP address and port number replacement processing in the header.
[0034]
The communication interface LSI 106 is connected with the mobile phone 11, the DSRC device 12, and the wireless communication device 13 via connectors 107a, 107b, and 107c, respectively. The information to be transmitted to the outside of the vehicle input through the LSI 103 is transmitted to the mobile phone 11, the DSRC device 12, or the wireless communication device 13. The destination of the data follows the routing process executed by the relay LSI 103 according to the routing control table 102a created by the microcomputer 101. The communication interface LSI 106 mainly performs the processing of the physical layer and the data link layer as described above.
Note that the communication interface LSIs 104 and 106 may be provided separately as LSIs for processing the physical layer and processing for the data link layer, or may be provided integrally.
[0035]
Various control programs for performing communication control are stored in the storage unit 102, and the microcomputer 101 functions as the gateway device 10 by executing the control programs. The storage unit 102 includes a path control table 102a in which an IP address of a communication destination is stored according to a communication status of the vehicle-mounted communication device, and an access pattern database (hereinafter, referred to as an access pattern) storing an access pattern related to an unauthorized access. DBb) 102b, and a read process and a write process are appropriately performed according to an instruction from the microcomputer 101. Further, the storage unit 102 temporarily stores data generated during the arithmetic processing of the microcomputer 101, data transmitted and received through the communication interface LSIs 104 and 106, and the like.
It is desirable that the contents of the access pattern DB 102b be periodically updated via the communication network N outside the vehicle.
[0036]
The gateway device 10 verifies unauthorized access based on the received packet from outside the vehicle. Verification of unauthorized access is performed by comparing a communication header of a packet received from the outside of the vehicle received by the gateway device 10 and an access pattern to each port with the contents of the access pattern DB. Specifically, (1) whether the protocol conforms to the specification of the protocol used for access, (2) the content of the command and URL used in the protocol, and whether the length of the data is appropriate, (3) ) Unauthorized from the viewpoint of whether a predetermined access condition (for example, a combination of a source address, a destination address, a port number, etc.) is met, or (4) the number of accesses per unit time is within an allowable range. Determine whether or not access.
[0037]
It can be verified based on the communication header of the received packet whether (1) it conforms to the protocol specification and (2) whether the command used in the protocol is appropriate. Hereinafter, the HTTP protocol used in the Internet network will be described as an example.
FIG. 3 is a conceptual diagram of a packet used in the HTTP protocol. Under the use of the HTTP protocol, verification is performed in the order of an IP header, a TCP header, an HTTP header, and HTTP data. The contents of the verification include whether or not each field of the IP header in the packet falls within a correct range, whether or not the value of the entire length of the IP packet and the value of the IP header length of the IP header are consistent. In the case of violation, it is determined that there is a possibility of unauthorized access. The verification of the TCP header is the same as the verification of the IP header.
Then, it verifies whether the format of each field of the HTTP header is described as specified, or whether the format of HTTP data is described as specified.
[0038]
Regarding whether (3) a predetermined access condition is met or (4) whether the number of accesses per unit time is within an allowable range, the access pattern to each port is determined based on the contents stored in the access pattern DB 102b. Verify by comparison.
For example, the above-mentioned DoS attack is an attack in which a large amount of packets are transmitted from an intruder's computer to an attack target in a short time, and system resources of an information device to be attacked are brought down. Therefore, by extracting the destination port and the source port from the communication header of the received packet and verifying whether or not the amount of packets from one source to one destination exceeds an allowable range, unauthorized access can be performed. Can be detected.
[0039]
FIG. 4 is a flowchart illustrating a communication procedure using the in-vehicle communication system according to the present embodiment. When the in-vehicle communication device (for example, the mobile phone 11) receives a packet from a communication device outside the vehicle (step S1), the received packet is transmitted to the gateway device 10 (step S2).
[0040]
When the gateway device 10 receives the packet transmitted from the in-vehicle communication device (step S3), the microcomputer 101 of the gateway device 10 verifies the packet based on the received access pattern DB 102b (step S4). Specifically, as described above, (1) whether the protocol conforms to the specification of the protocol used for access, (2) the content of the command, the URL, etc., and the data length used in the protocol are appropriate. The packet is verified from the viewpoint of (3) whether a predetermined access condition is met or (4) the number of accesses per unit time is within an allowable range.
[0041]
Next, the microcomputer 101 determines whether or not an unauthorized access has been detected (step S5). If the unauthorized access has been detected (S5: YES), the microcomputer 101 checks the communication header of the received packet to determine whether the packet has been transmitted to the vehicle. The communication device is identified (step S6).
Then, the microcomputer 101 transmits a control signal to the in-vehicle communication device (mobile phone 11) identified in step S6 to request disconnection of communication with the external communication device (step S7). Further, the microcomputer 101 updates the route control table 102a included in the storage unit 102 (step S8), and switches to a communication route via the DSRC device 12 or the wireless communication device 13, which is another in-vehicle communication device.
[0042]
When the in-vehicle communication device (mobile phone 11) receives the control signal of the disconnection request (step S9), the in-vehicle communication device disconnects the connection with the out-of-vehicle communication device (step S10).
[0043]
In the present embodiment, the recovery process after the illegal access is detected and the communication path is disconnected is not described. However, if the reconnection is attempted after a predetermined time and no unauthorized access is detected, the connection to the in-vehicle LAN 15 is established. It may be provided.
[0044]
Further, in the present embodiment, the connection between the in-vehicle communication device and the communication network N is cut off when the unauthorized access is detected. However, when the unauthorized access is detected, the unauthorized access to the Internet provider, the roadside communication device, etc. is performed. May be notified.
[0045]
Embodiment 2 FIG.
The gateway device 10 described in the first embodiment includes the connectors 107a to 107c, assigns individual addresses to the connectors 107a to 107, and connects the mobile phone 11, the DSRC device 12, and the wireless communication device 13 to the connectors 107a to 107c. 107c. This is because, when the same address is assigned to the in-vehicle communication device of the gateway device 10, even if the connection of a certain in-vehicle communication device is disconnected, it can be accessed from another in-vehicle communication device. To 107c.
However, when a so-called virtual LAN function is used, a plurality of virtual LANs can be connected to one physical interface. In the present embodiment, an in-vehicle communication system using a virtual LAN will be described.
[0046]
FIG. 5 is a schematic configuration diagram of the in-vehicle communication system according to the present embodiment. As in the first embodiment, onboard devices such as an audio device 16, a drive recorder 17, a navigation device 18, and a monitor device 19 are connected to a gateway device 20 via an onboard LAN 15 conforming to standards such as IEEE1394 and MOST. I have.
An in-vehicle communication device such as a mobile phone 11, a DSRC device 12, and a wireless communication device 13 is connected to the gateway device 20, and the gateway device 20 can be connected to a communication network N outside the vehicle such as the Internet using the in-vehicle communication device. Like that. In this embodiment, one interface connecting each in-vehicle communication device to the gateway device 20 has three virtual LANs, and each of the virtual LANs includes the mobile phone 11, the DSRC device 12, and the wireless communication device 13, respectively. Connected.
[0047]
Various information transmitted from the communication network N outside the vehicle is received by the on-vehicle communication device, relayed by the gateway device 20, and transmitted to the on-vehicle device connected to the on-vehicle LAN 15. Further, when connecting from the vehicle-mounted device connected to the vehicle-mounted LAN 15 to the communication network N outside the vehicle, the gateway device 20 can dynamically select and route an optimal communication path.
The gateway device 20 according to the present embodiment has a function of detecting unauthorized access from outside the vehicle, as well as a function of controlling a dynamic route for the on-vehicle communication device, and a connection to the on-vehicle communication device, as described in the first embodiment. Has the function of managing
[0048]
FIG. 6 is a block diagram showing the internal configuration of the gateway device 20. The gateway device 20 includes a microcomputer 201 having an MPU, and a storage unit 202 such as a flash memory and a relay LSI 203 are connected to the microcomputer 201.
[0049]
The relay LSI 203 is connected to a communication interface LSI 204 on the vehicle-mounted LAN 15 side and a communication interface LSI 206 on the vehicle-mounted communication device side. The in-vehicle LAN 15 is connected to the communication interface LSI 204 via a connector 205. The in-vehicle LAN 15 receives information from various on-vehicle devices connected to the in-vehicle LAN 15 and sends the information to the relay LSI 203. Is transmitted to the vehicle-mounted device side.
At this time, the communication interface LSI 204 mainly performs processing of the physical layer and the data link layer. Further, the relay LSI 203 checks the communication header of the network layer and the transport layer of the data to be relayed, and performs data transfer processing and IP address and port number replacement processing in the header.
[0050]
On the other hand, the mobile phone 11, the DSRC device 12, and the wireless communication device 13 are connected to the communication interface LSI 206 via the connector 207. Three different addresses are assigned to the connector 207 to form a virtual LAN, and an in-vehicle communication device is connected to each virtual LAN. For example, the connector 207 has three addresses “190.0.0. *”, “190.0.1. *”, And “190.0.2. *”, And the mobile phone 11 has “190.0. .0.1 "," 190.0.2.1 "for the DSRC device 12, and" 190.0.2.1 "for the wireless communication device 13 to form three virtual LANs.
The information to be transmitted to the outside of the vehicle, which is input through the relay LSI 203, is transmitted to the mobile phone 11, the DSRC device 12, or the wireless communication device 13. The destination of the data follows the routing process executed by the relay LSI 203 according to the route control table 202a created by the microcomputer 201. The communication interface LSI 206 mainly performs the processing of the physical layer and the data link layer as described above.
[0051]
The storage unit 202 stores various control programs for performing communication control, and functions as the gateway device 20 when the microcomputer 201 executes the control programs. The storage unit 202 includes a route control table 202a in which an IP address of a communication destination and the like are stored in accordance with a communication state of the vehicle-mounted communication device, and an access pattern DB 202b in which an access pattern related to unauthorized access is stored. The reading process and the writing process are appropriately performed according to an instruction from the microcomputer 201. The storage unit 202 temporarily stores data generated during the arithmetic processing of the microcomputer 201, data transmitted and received through the communication interface LSIs 204 and 206, and the like.
[0052]
A packet input to the relay LSI 203 via the communication interface LSI 206 is at a network layer level, and the routing process is basically performed by the relay LSI 203. Upper-layer processing by the transport layer, such as detection of unauthorized access, dynamic path control according to the status of the in-vehicle communication device, and connection control based on the result of unauthorized access detection, is performed by the microcomputer 201.
The processing performed by the microcomputer 201 is the same as that of the first embodiment. For example, upon detection of unauthorized access, (1) whether the protocol conforms to the specification of the protocol used for access, and (2) the protocol used in the protocol Command, URL, etc., and data length are appropriate; (3) a predetermined access condition is met; and (4) the number of accesses per unit time is within an allowable range. Verify the packet from a point of view.
[0053]
【The invention's effect】
As described above in detail, in the case of the first invention and the sixth invention, a plurality of in-vehicle communication devices and information devices are connected via the relay device, and the connection essential ball information from outside the vehicle through the in-vehicle communication device. Is input to the relay device, the relay device determines whether or not to connect to the information device, and when it is determined that the connection should not be made, disconnects the communication with the outside of the vehicle by the vehicle-mounted communication device. . Therefore, when an unauthorized access is detected based on the input connection request information, the information device connected to the relay device is disconnected in order to disconnect the connection of the vehicle-mounted communication device serving as a communication path when the unauthorized access is detected. It is possible to prevent unauthorized access to the server and to avoid a state in which communication is disabled due to the unauthorized access.
[0054]
According to the second and seventh inventions, when the relay device determines that connection to the information device is not possible in response to a connection request from the outside, the communication path via the on-vehicle communication device different from the transmission source of the connection request information Is set. Therefore, when an unauthorized access is detected, the connection of the in-vehicle communication device serving as a communication path is disconnected, and the communication path is switched to a communication path that does not pass through the in-vehicle communication apparatus, thereby making it impossible to perform communication due to a high load on the relay device and the communication path. The state is avoided, and the information device connected to the relay device can communicate with the external communication device without being aware of the interruption of the communication path.
[0055]
According to the third and eighth aspects, the connection request information received from the outside determines whether or not connection to the information device is possible by determining whether or not the connection request information follows a connection procedure stored in advance. . Therefore, for example, a connection procedure relating to unauthorized access such as a denial of service attack, a port scan attack or the like is stored in advance, and when a connection request is received from an external communication device, the connection procedure according to the connection request follows the stored connection procedure. By determining whether or not the access is unauthorized, it is possible to determine whether or not the access is unauthorized. Further, by updating the content to be stored as needed, it is possible to cope with a new unauthorized access.
[0056]
In the case of the fourth aspect, by connecting the in-vehicle communication device and the information device to the relay device using a bus standard such as IEEE 1394, it becomes possible to use a common cable and to reduce the number of lines. .
[0057]
In the case of the fifth invention, the present invention has excellent effects, for example, by using a so-called VLAN, a plurality of in-vehicle communication devices can be connected to one communication interface.
[Brief description of the drawings]
FIG. 1 is a schematic configuration diagram of a vehicle-mounted communication system according to the present embodiment.
FIG. 2 is a block diagram showing an internal configuration of a gateway device.
FIG. 3 is a conceptual diagram of a packet used in the HTTP protocol.
FIG. 4 is a flowchart illustrating a communication procedure using the in-vehicle communication system according to the present embodiment.
FIG. 5 is a schematic configuration diagram of an in-vehicle communication system according to the present embodiment.
FIG. 6 is a block diagram showing an internal configuration of the gateway device.
[Explanation of symbols]
10 Gateway device
11 Mobile phone
12 DSRC device
13 Wireless communication device
15 In-vehicle LAN
16 Audio equipment
17 Drive Recorder
18 Navigation device
19 Monitor device
101 microcomputer
102 storage unit
102a routing control table
102b Access pattern database
103 Relay LSI
104,106 Communication interface LSI
105, 107a, 107b, 107c Connector
C vehicle
N communication network

Claims (8)

複数の車載通信装置と情報機器とを中継装置を介して接続してあり、前記情報機器は、前記中継装置及び車載通信装置を介して車外通信装置と通信可能になしてある車載通信システムにおいて、
前記車載通信装置は、前記車外通信装置から送信された前記情報機器に対する接続要求情報を受信する手段と、受信した接続要求情報を前記中継装置へ送信する手段とを備え、前記中継装置は、前記車載通信装置から送信された接続要求情報を受信する手段と、受信した接続要求情報に基づき、前記情報機器への接続の可否を判定する判定手段と、該判定手段が接続を不可と判定した場合、前記車外通信装置との通信を切断すべき旨の情報を前記接続要求情報の送信元の車載通信装置へ送信する手段とを備え、前記車載通信装置が前記情報を受信した場合、前記車外通信装置との通信を切断すべくなしてあることを特徴とする車載通信システム。A plurality of in-vehicle communication devices and an information device are connected via a relay device, and the information device is in an in-vehicle communication system capable of communicating with an external communication device via the relay device and the in-vehicle communication device.
The in-vehicle communication device includes a unit that receives connection request information for the information device transmitted from the external communication device, and a unit that transmits the received connection request information to the relay device. Means for receiving connection request information transmitted from the in-vehicle communication device, determination means for determining whether or not connection to the information device is possible based on the received connection request information, and when the determination means determines that connection is not possible Means for transmitting information to the effect that communication with the out-of-vehicle communication device should be disconnected to the in-vehicle communication device that is the source of the connection request information, wherein the in-vehicle communication device receives the information when the in-vehicle communication device receives the information. An in-vehicle communication system for disconnecting communication with a device. 前記判定手段が前記情報機器との接続を不可と判定した場合、前記接続要求情報の送信元と異なる車載通信装置を経由する通信経路を設定する手段を更に備えることを特徴とする請求項1に記載の車載通信システム。The apparatus according to claim 1, further comprising: a unit that sets a communication path via an in-vehicle communication device different from a transmission source of the connection request information when the determination unit determines that connection with the information device is not possible. The in-vehicle communication system according to claim 1. 前記中継装置は、接続手順に関する複数の情報を記憶する記憶手段を更に備え、前記判定手段は、車載通信装置を介して受信した接続要求情報が、前記記憶手段に記憶された一の接続手順に従うか否かを判定することにより、前記情報機器への接続の可否を判定すべくなしてあることを特徴とする請求項1又は請求項2に記載の車載通信システム。The relay device further includes a storage unit configured to store a plurality of pieces of information relating to a connection procedure, and the determination unit determines that the connection request information received via the in-vehicle communication device follows one connection procedure stored in the storage unit. The in-vehicle communication system according to claim 1, wherein whether or not connection to the information device is determined is determined by determining whether or not the information device is connected. 前記車載通信装置及び前記情報機器は、同一のバス規格による通信網にて前記中継装置と接続されていることを特徴とする請求項1乃至請求項3の何れかに記載の車載通信システム。The in-vehicle communication system according to any one of claims 1 to 3, wherein the on-vehicle communication device and the information device are connected to the relay device via a communication network based on the same bus standard. 前記通信網は、仮想的な通信網であることを特徴とする請求項4に記載の車載通信システム。The in-vehicle communication system according to claim 4, wherein the communication network is a virtual communication network. 車外通信装置と接続された複数の車載通信装置、及び該車載通信装置を介して前記車外通信装置と通信可能になしてある情報機器の双方へ接続された中継装置において、
前記車外通信装置から送信された前記情報機器に対する接続要求情報を前記車載通信装置を介して受信する手段と、受信した接続要求情報に基づき、前記情報機器への接続の可否を判定する判定手段と、該判定手段が接続を不可と判定した場合、前記車外通信装置との通信を切断すべき旨の情報を前記接続要求情報の送信元の車載通信装置へ送信する手段とを備えることを特徴とする中継装置。A plurality of in-vehicle communication devices connected to the out-of-vehicle communication device, and a relay device connected to both information devices that are capable of communicating with the out-of-vehicle communication device through the in-vehicle communication device,
Means for receiving, via the in-vehicle communication device, connection request information for the information device transmitted from the external communication device; anddetermining means for determining whether connection to the information device is possible based on the received connection request information. Means for transmitting information to the effect that communication with the external communication device should be disconnected to the in-vehicle communication device of the transmission source of the connection request information, when the determination unit determines that connection is not possible. Relay device. 前記判定手段が前記情報機器との接続を不可と判定した場合、前記接続要求情報の送信元と異なる車載通信装置を経由する通信経路を設定する手段を更に備えることを特徴とする請求項6に記載の中継装置。7. The apparatus according to claim 6, further comprising: a unit that sets a communication path via an in-vehicle communication device different from a transmission source of the connection request information when the determination unit determines that connection to the information device is not possible. The relay device as described in the above. 接続手順に関する複数の情報を記憶する記憶手段を更に備え、前記判定手段は、車載通信装置を介して受信した接続要求情報が、前記記憶手段に記憶された一の接続手順に従うか否かを判定することにより、前記情報機器への接続の可否を判定すべくなしてあることを特徴とする請求項6又は請求項7に記載の中継装置。A storage unit that stores a plurality of pieces of information relating to a connection procedure, wherein the determination unit determines whether the connection request information received via the on-vehicle communication device complies with one connection procedure stored in the storage unit. 8. The relay device according to claim 6, wherein the relay device determines whether connection to the information device is possible or not.
JP2002358623A 2002-12-10 2002-12-10 Vehicle-mounted communication system and repeating device Pending JP2004193903A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002358623A JP2004193903A (en) 2002-12-10 2002-12-10 Vehicle-mounted communication system and repeating device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002358623A JP2004193903A (en) 2002-12-10 2002-12-10 Vehicle-mounted communication system and repeating device

Publications (1)

Publication Number Publication Date
JP2004193903A true JP2004193903A (en) 2004-07-08

Family

ID=32758291

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002358623A Pending JP2004193903A (en) 2002-12-10 2002-12-10 Vehicle-mounted communication system and repeating device

Country Status (1)

Country Link
JP (1) JP2004193903A (en)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012054676A (en) * 2010-08-31 2012-03-15 Ricoh Co Ltd Autonomous mobile relay device and radio communication relay system
JP2013121071A (en) * 2011-12-07 2013-06-17 Denso Corp Relay system, and relay device and external device forming the same
WO2014115455A1 (en) 2013-01-28 2014-07-31 日立オートモティブシステムズ株式会社 Network device and data sending and receiving system
JP2015069227A (en) * 2013-09-26 2015-04-13 株式会社Kddi研究所 Authentication server, authentication method, and authentication program
JP2015136107A (en) * 2014-01-06 2015-07-27 アーガス サイバー セキュリティ リミテッド Global automobile safety system
WO2017046899A1 (en) * 2015-09-16 2017-03-23 三菱電機株式会社 In-vehicle information system
DE112016007088T5 (en) 2016-08-24 2019-04-11 Mitsubishi Electric Corporation Communication control device, communication system and communication control method
WO2024014159A1 (en) * 2022-07-15 2024-01-18 住友電気工業株式会社 Onboard device, road-side equipment, vehicle-exterior device, security management method, and computer program
JP7433620B1 (en) 2023-11-20 2024-02-20 義博 矢野 Communication method, communication device and computer program

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012054676A (en) * 2010-08-31 2012-03-15 Ricoh Co Ltd Autonomous mobile relay device and radio communication relay system
JP2013121071A (en) * 2011-12-07 2013-06-17 Denso Corp Relay system, and relay device and external device forming the same
US9794286B2 (en) 2013-01-28 2017-10-17 Hitachi Automotive Systems, Ltd. Network device, and data sending and receiving system
WO2014115455A1 (en) 2013-01-28 2014-07-31 日立オートモティブシステムズ株式会社 Network device and data sending and receiving system
JP2015069227A (en) * 2013-09-26 2015-04-13 株式会社Kddi研究所 Authentication server, authentication method, and authentication program
JP2015136107A (en) * 2014-01-06 2015-07-27 アーガス サイバー セキュリティ リミテッド Global automobile safety system
JP2019115067A (en) * 2014-01-06 2019-07-11 アーガス サイバー セキュリティ リミテッド Global automotive safety system
WO2017046899A1 (en) * 2015-09-16 2017-03-23 三菱電機株式会社 In-vehicle information system
DE112016007088T5 (en) 2016-08-24 2019-04-11 Mitsubishi Electric Corporation Communication control device, communication system and communication control method
CN110268412A (en) * 2016-08-24 2019-09-20 三菱电机株式会社 Communication control unit, communication system and communication control method
US11096057B2 (en) 2016-08-24 2021-08-17 Mitsubishi Electric Corporation Communication control device, communication system, and communication control method
DE112016007088B4 (en) 2016-08-24 2022-10-27 Mitsubishi Electric Corporation Communication system and communication control method
WO2024014159A1 (en) * 2022-07-15 2024-01-18 住友電気工業株式会社 Onboard device, road-side equipment, vehicle-exterior device, security management method, and computer program
JP7433620B1 (en) 2023-11-20 2024-02-20 義博 矢野 Communication method, communication device and computer program

Similar Documents

Publication Publication Date Title
US6901075B1 (en) Techniques for protection of data-communication networks
CN100382505C (en) Method and apparatus for waking remote terminal
US20040168062A1 (en) Contents transmission/reception scheme with function for limiting recipients
US8640258B2 (en) Service providing system
JP2021184631A (en) Server and method
JP4942261B2 (en) Vehicle relay device and in-vehicle communication system
US7865718B2 (en) Computer-readable recording medium recording remote control program, portable terminal device and gateway device
US11256498B2 (en) Node, a vehicle, an integrated circuit and method for updating at least one rule in a controller area network
US20030167410A1 (en) System for providing firewall to a communication device and method and device of same
JPWO2016185514A1 (en) Attack detection device
CN106789526A (en) Method and device for connecting multiple system networks
US10764326B2 (en) Can controller safe against can-communication-based hacking attack
JP2005079706A (en) System and apparatus for preventing illegal connection to network
JP2006240610A (en) Mobile electronic device
JP6674007B1 (en) In-vehicle communication device, communication control method, and communication control program
EP1062779B1 (en) Techniques for protection of data-communication networks
JP2004193903A (en) Vehicle-mounted communication system and repeating device
JP2000261483A (en) Network monitoring system
CN112347023A (en) Security module for CAN node
JP2019009596A (en) On-vehicle communication device, communication control method and communication control program
JPH10334008A (en) Network security system
US7840698B2 (en) Detection of hidden wireless routers
JP4353345B2 (en) COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND RECORDING MEDIUM CONTAINING COMMUNICATION SOFTWARE
JPH118640A (en) Communication system and data format used for the communication system
KR101489759B1 (en) Method for controlling file transfer protocol using storage apparatus

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050706

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20061120

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061128

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070320