JP2017195524A - Network system - Google Patents

Network system Download PDF

Info

Publication number
JP2017195524A
JP2017195524A JP2016084963A JP2016084963A JP2017195524A JP 2017195524 A JP2017195524 A JP 2017195524A JP 2016084963 A JP2016084963 A JP 2016084963A JP 2016084963 A JP2016084963 A JP 2016084963A JP 2017195524 A JP2017195524 A JP 2017195524A
Authority
JP
Japan
Prior art keywords
network device
message
network
impersonation
transmission
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016084963A
Other languages
Japanese (ja)
Other versions
JP6223498B2 (en
Inventor
大久保 陽一
Yoichi Okubo
陽一 大久保
昭暢 杉山
Akinobu Sugiyama
昭暢 杉山
喜嗣 北田
Yoshitsugu Kitada
喜嗣 北田
恒毅 中村
Nobutaka Nakamura
恒毅 中村
吉川 篤志
Atsushi Yoshikawa
篤志 吉川
政隆 四郎園
Masataka Shirouzono
政隆 四郎園
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2016084963A priority Critical patent/JP6223498B2/en
Publication of JP2017195524A publication Critical patent/JP2017195524A/en
Application granted granted Critical
Publication of JP6223498B2 publication Critical patent/JP6223498B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To secure communication reliability while reducing the load, in a network system where multiple network systems are connected.SOLUTION: When detecting existence of an impersonation network device 117 using an ID (111), currently in use by oneself, a transmission side network device 111 transmits an impersonation occurrence notification. The transmission side network device 111 and reception side network devices 113, 114, that were using the ID (111) until then, select an alternative ID (112) different from the ID (111) and currently in use by other network devices. A transmission side network device 112 and reception side network devices 115, 116, that were using the ID (112) until then, stop transmission and reception of message using the alternative ID (112). Subsequently, the transmission side network device 111 and reception side network devices 113, 114 transmit and receive a message by using the alternative ID (112).SELECTED DRAWING: Figure 7

Description

本発明は、共通の通信路に複数のネットワーク装置が接続されて構成されるネットワークシステムに関するものである。   The present invention relates to a network system configured by connecting a plurality of network devices to a common communication path.

共通の通信路に複数のネットワーク装置が接続されて構成されるネットワークシステムが一般に知られている。例えば、車両の分野においては、ネットワーク装置としての制御ユニット(ECU:Electronic Control unit)が、共通の通信路(バス)に接続されて成る車載ネットワークシステムが普及している。車載ネットワークシステムにおける制御ユニット間の相互通信の方式としては、CAN(Control Area Network)(登録商標)、CAN−FD(CAN with Flexible Data-Rate)(登録商標)、FlexRay(登録商標)、Ether Net(登録商標)等の通信プロトコルが知られている。   A network system configured by connecting a plurality of network devices to a common communication path is generally known. For example, in the field of vehicles, an in-vehicle network system in which a control unit (ECU: Electronic Control unit) as a network device is connected to a common communication path (bus) is widely used. As communication methods between control units in an in-vehicle network system, CAN (Control Area Network) (registered trademark), CAN-FD (CAN with Flexible Data-Rate) (registered trademark), FlexRay (registered trademark), Ether Net A communication protocol such as (registered trademark) is known.

近年、ADAS(Advanced Driving Assistant System:先進運転支援システム)を搭載した車両の開発に伴って、車載ネットワークシステムにおける通信の信頼性確保が重要になっている。ところが、車載ネットワークシステムに一般的に用いられているCAN通信プロトコルは、メッセージに送信元および送信先のネットワーク機器を特定できる情報が含まれていないため、いわゆる“なりすまし”による不正なメッセージの送信が容易であるという問題がある。この問題の対策としては、MAC(Message Authentication Code:メッセージ認証コード)を用いた通信を行うことで、不正なメッセージを排除する技術がある。   In recent years, with the development of vehicles equipped with ADAS (Advanced Driving Assistant System), it has become important to ensure the reliability of communication in an in-vehicle network system. However, the CAN communication protocol generally used in the in-vehicle network system does not include information that can specify the network device of the transmission source and the transmission destination in the message, so that an illegal message transmission by so-called “spoofing” is performed. There is a problem that it is easy. As a countermeasure against this problem, there is a technique for eliminating an illegal message by performing communication using a MAC (Message Authentication Code).

一方、車両の電装化が進むにつれ、一台の車両に搭載されるECUの数や、ECUが扱うデータ量は増えており、CANバスのトラフィック量は増加している。MACを用いた通信を行う場合、MACはCANメッセージのデータフィールドに付加されるため、メッセージに含めることができるデータフィールドの長さが短くなるため、トラフィック量のさらなる増加を招いてしまう。そのため、通信の信頼性を確保しつつ、車載ネットワークシステムの負荷低減を図ることが重要な課題となっている。   On the other hand, as the number of electric vehicles is increased, the number of ECUs mounted on one vehicle and the amount of data handled by the ECUs are increasing, and the amount of CAN bus traffic is increasing. When performing communication using the MAC, the MAC is added to the data field of the CAN message, so that the length of the data field that can be included in the message is shortened, resulting in a further increase in traffic volume. Therefore, it is an important issue to reduce the load on the in-vehicle network system while ensuring the reliability of communication.

例えば、下記の特許文献1に開示された車載ネットワークシステムでは、ECUが、他の送信装置から送信されたメッセージの通信規則が、当該メッセージの自己の通信規則と一致した場合に、なりすましの存在を通知するメッセージをブロードキャスト送信し、その後はMACによる通信が行われる。つまり、特許文献1では、通常はMACを用いない通信を行うことで通信負荷の増大を抑え、なりすましが検出された後はMACを用いたセキュリティの高い通信が行われる。   For example, in the in-vehicle network system disclosed in Patent Document 1 below, when the communication rule of a message transmitted from another transmission device matches the communication rule of the message, the presence of impersonation is detected. A message to be notified is broadcasted, and then communication by MAC is performed. In other words, in Patent Document 1, normally, communication without using MAC is performed to suppress an increase in communication load, and after impersonation is detected, high-security communication using MAC is performed.

また、下記の特許文献2の車載ネットワークシステムでは、送信機器が、自己のIDと同じ送信元IDを含むメッセージを受信すると、なりすましが存在すると判断する。その場合、送信機器と受信機器の双方が、自己のIDを新規のIDに変更することで、通信のセキュリティが確保される。   Moreover, in the vehicle-mounted network system of the following patent document 2, if a transmission apparatus receives the message containing the same transmission source ID as self ID, it will judge that the impersonation exists. In this case, both the transmitting device and the receiving device change their own IDs to new IDs, thereby ensuring communication security.

国際公開第2015/182103号International Publication No. 2015/182103 特開2014−11621号公報JP 2014-11621 A

特許文献1の技術では、なりすましが検出された後に、MACを用いた通信を行うため、メッセージに格納可能なデータ長が短くなってしまう。MACを用いる前と同じ通信速度を維持しようとすると、メッセージの送信周期を短くする必要があり、結果としてネットワークの通信負荷が増大してしまう。また、メッセージの送信側と受信側の両方に、MACによる暗号化および復号化を行うセキュリティモジュールを実装する必要があるため、コストの上昇を伴うという問題もある。   In the technique of Patent Literature 1, since communication using MAC is performed after impersonation is detected, the data length that can be stored in the message is shortened. In order to maintain the same communication speed as before using the MAC, it is necessary to shorten the message transmission cycle, and as a result, the communication load of the network increases. In addition, since it is necessary to mount a security module for performing encryption and decryption by MAC on both the transmission side and the reception side of the message, there is a problem that costs increase.

特許文献2の技術では、MACを使用していないが、なりすましが検出された後に新規のIDのメッセージを追加する必要があり、それによって通信路を流れるメッセージの量が増え、通信速度が低下することが懸念される。   In the technique of Patent Document 2, MAC is not used, but it is necessary to add a message with a new ID after spoofing is detected, thereby increasing the amount of messages flowing through the communication path and lowering the communication speed. There is concern.

本発明は以上のような課題を解決するためになされたものであり、複数のネットワーク装置が接続したネットワークシステムにおいて、通信の信頼性を確保と負荷の低減の両立を図ることを目的とする。   The present invention has been made to solve the above-described problems, and an object of the present invention is to ensure both communication reliability and load reduction in a network system in which a plurality of network devices are connected.

本発明の第1の態様に係るネットワークシステムは、共通の通信路に複数のネットワーク装置が接続して構成されたネットワークシステムであって、前記複数のネットワーク装置の少なくとも1つは、自己がメッセージの送信に使用中のIDである第1のIDを含むメッセージを受信すると、前記第1のIDを用いるなりすましネットワーク装置が存在すると判断し、前記なりすましネットワーク装置が存在すると判断したネットワーク装置が、前記なりすましネットワーク装置の存在を通知するメッセージである、なりすまし発生通知を前記通信路に送信すると、それまで前記第1のIDを用いてメッセージの送受信を行っていたネットワーク装置が、前記第1のIDを用いたメッセージの送受信を停止して、前記第1のIDとは異なり他のネットワーク装置が使用中の第2のIDを選択し、それまで前記第2のIDを用いたメッセージの送受信を行っていたネットワーク装置が、前記第2のIDを用いたメッセージの送受信を停止し、その後は、前記それまで前記第1のIDを用いてメッセージの送受信を行っていたネットワーク装置が、前記第2のIDを用いてメッセージの送受信を行う。   A network system according to a first aspect of the present invention is a network system configured by connecting a plurality of network devices to a common communication path, wherein at least one of the plurality of network devices is a message itself. When a message including a first ID that is an ID being used for transmission is received, it is determined that there is a spoofed network device that uses the first ID, and the network device that has determined that the spoofed network device is present is the spoofing. When a spoofing occurrence notification, which is a message notifying the presence of a network device, is transmitted to the communication path, the network device that has been transmitting and receiving messages using the first ID uses the first ID. Different from the first ID, etc. The network device selects the second ID being used by the network device, and the network device that has been transmitting / receiving the message using the second ID until then stops transmitting / receiving the message using the second ID, Thereafter, the network device that has transmitted and received the message using the first ID transmits and receives the message using the second ID.

本発明の第2の態様に係るネットワークシステムは、共通の通信路に複数のネットワーク装置が接続して構成されたネットワークシステムであって、前記複数のネットワーク装置の少なくとも1つは、自己がメッセージの送信に使用中のIDである第1のIDを含むメッセージを受信すると、なりすましネットワーク装置が存在すると判断し、なりすましネットワーク装置が存在すると判断したネットワーク装置が、なりすましネットワーク装置の存在を通知するメッセージを前記通信路に送信すると、それまで前記第1のIDを用いてメッセージの送受信を行っていたネットワーク装置が、前記第1のIDを用いたメッセージの送受信を停止して、前記第1のIDとは異なり他のネットワーク装置が使用中の第2のIDを選択し、その後は、前記それまで前記第1のIDを用いてメッセージの送受信を行っていたネットワーク装置と、それまで前記第2のIDを用いたメッセージの送受信を行っていたネットワーク装置とが、前記第2のIDを用いてメッセージの送受信を交互に行う。   A network system according to a second aspect of the present invention is a network system configured by connecting a plurality of network devices to a common communication path, wherein at least one of the plurality of network devices is a message itself. When a message including a first ID that is an ID used for transmission is received, it is determined that a spoofed network device exists, and a network device that has determined that a spoofed network device exists notifies the presence of a spoofed network device. When transmitting to the communication path, the network device that has been transmitting and receiving messages using the first ID stops sending and receiving messages using the first ID, and the first ID and Select the second ID that other network devices are using, and then The network device that has been transmitting and receiving messages using the first ID until now, and the network device that has been transmitting and receiving messages using the second ID until then are the second IDs. To send and receive messages alternately.

本発明の第3の態様に係るネットワークシステムは、共通の通信路に複数のネットワーク装置が接続して構成されたネットワークシステムであって、前記複数のネットワーク装置の少なくとも1つは、自己がメッセージの送信に使用中のIDである第1のIDを含むメッセージを受信すると、なりすましネットワーク装置が存在すると判断し、なりすましネットワーク装置が存在すると判断したネットワーク装置が、なりすましネットワーク装置の存在を通知するメッセージを前記通信路に送信すると、それまで前記第1のIDを用いてメッセージの送受信を行っていたネットワーク装置が、前記第1のIDを用いたメッセージの送受信を停止して、前記第1のIDとは異なり他のネットワーク装置が使用中の第2のIDを選択し、その後は、前記それまで前記第1のIDを用いてメッセージの送受信を行っていたネットワーク装置と、それまで前記第2のIDを用いたメッセージの送受信を行っていたネットワーク装置とが、互いに異なるデータ領域に通信内容を記述したメッセージの送受信を前記第2のIDを用いて行う。   A network system according to a third aspect of the present invention is a network system configured by connecting a plurality of network devices to a common communication path, wherein at least one of the plurality of network devices is a message itself. When a message including a first ID that is an ID used for transmission is received, it is determined that a spoofed network device exists, and a network device that has determined that a spoofed network device exists notifies the presence of a spoofed network device. When transmitting to the communication path, the network device that has been transmitting and receiving messages using the first ID stops sending and receiving messages using the first ID, and the first ID and Select the second ID that other network devices are using, and then The network device that has previously transmitted and received messages using the first ID and the network device that has been previously transmitted and received messages using the second ID communicate with different data areas. A message describing the contents is transmitted and received using the second ID.

本発明の第1の態様に係るネットワークシステムは、共通の通信路に複数のネットワーク装置が接続して構成されたネットワークシステムであって、前記複数のネットワーク装置のそれぞれに、メッセージの送受信に用いるIDが複数割り当てられており、前記複数のネットワーク装置の少なくとも1つは、自己がメッセージの送信に使用中のIDである第1のIDを含むメッセージを受信すると、なりすましネットワーク装置が存在すると判断し、なりすましネットワーク装置が存在すると判断したネットワーク装置が、なりすましネットワーク装置の存在を通知するメッセージを前記通信路に送信すると、それまで前記第1のIDを用いてメッセージの送受信を行っていたネットワーク装置が、前記第1のIDを用いたメッセージの送受信を停止して、自己に割り当てられている複数のIDのうちから、前記第1のIDとは異なる第2のIDを選択し、その後は、前記第2のIDを用いてメッセージの送受信を行う。   The network system according to the first aspect of the present invention is a network system configured by connecting a plurality of network devices to a common communication path, and is used for transmitting and receiving messages to each of the plurality of network devices. Are assigned, and at least one of the plurality of network devices determines that a spoofed network device exists when it receives a message including a first ID that is an ID that is being used to transmit the message, When the network device that has determined that there is an impersonation network device transmits a message notifying the presence of the impersonation network device to the communication path, the network device that has transmitted and received the message using the first ID until then, Sending and receiving messages using the first ID Is selected, a second ID different from the first ID is selected from among a plurality of IDs assigned to itself, and thereafter, message transmission / reception is performed using the second ID. .

本発明に係るネットワークシステムによれば、なりすましが原因の通信障害を防止して、通信の信頼性の低下を防止することができる。また、MACを用いず、また、新たなIDを追加することもないため、ネットワークシステムにおける通信負荷の増大も抑えられる。   According to the network system of the present invention, it is possible to prevent a communication failure caused by spoofing and prevent a decrease in communication reliability. Further, since no MAC is used and no new ID is added, an increase in communication load in the network system can be suppressed.

CAN通信で使用されるメッセージのデータフレーム構造を示す図である。It is a figure which shows the data frame structure of the message used by CAN communication. 本発明の実施の形態に係るネットワークシステムの構成例を示す図である。It is a figure which shows the structural example of the network system which concerns on embodiment of this invention. ネットワークシステムになりすましネットワーク装置が接続された例を示す図である。It is a figure which shows the example by which the impersonation network apparatus was connected to the network system. 本発明の実施の形態に係るネットワーク装置の主要部の構成を示すブロック図である。It is a block diagram which shows the structure of the principal part of the network apparatus which concerns on embodiment of this invention. ネットワーク装置のハードウェア構成の例を示すブロック図である。It is a block diagram which shows the example of the hardware constitutions of a network device. ネットワーク装置のハードウェア構成の例を示すブロック図である。It is a block diagram which shows the example of the hardware constitutions of a network device. 実施の形態1に係るネットワークシステムの動作を示すフローチャートである。3 is a flowchart showing an operation of the network system according to the first embodiment. 実施の形態3で用いられるメッセージのデータフレーム構造を示す図である。10 is a diagram showing a data frame structure of a message used in Embodiment 3. FIG.

<実施の形態1>
以下の実施の形態では、ネットワークシステムの通信プロトコルとして、CAN通信プロトコルが用いられる例を示す。ただし、本発明は、例えば、CAN−FD、FlexRay、Ether Netなど、メッセージに送信元および送信先の識別情報が含まれない通信プロトコルに広く適用可能である。
<Embodiment 1>
In the following embodiment, an example in which the CAN communication protocol is used as a communication protocol of the network system is shown. However, the present invention can be widely applied to communication protocols such as CAN-FD, FlexRay, Ether Net, etc., in which the identification information of the transmission source and the transmission destination is not included in the message.

図1は、CAN通信で使用される標準的な形式のメッセージのデータ構造を示す図である。メッセージに含まれるデジタル信号のまとまりのことを「フレーム」と言う。CAN通信のメッセージの構成を概略的に示すと、図1のように、メッセージのデータフレームには、SOF(Start Of Frame)、ID(識別子)、RTR(Remote Transmission Request)、コントロールフィールド、データフィールド、CRC(Cyclic Redundancy Check)、CRCデリミタ、Ack(Acknowledge)、Ackデリミタ、EOF(End Of Frame)の各フィールドが含まれている。図1における括弧書きの数字は、各フィールドのビット長を示している。   FIG. 1 is a diagram illustrating a data structure of a standard format message used in CAN communication. A group of digital signals included in a message is called a “frame”. The structure of a CAN communication message is schematically shown in FIG. 1. As shown in FIG. 1, a message data frame includes an SOF (Start Of Frame), an ID (identifier), an RTR (Remote Transmission Request), a control field, and a data field. , CRC (Cyclic Redundancy Check), CRC delimiter, Ack (Acknowledge), Ack delimiter, and EOF (End Of Frame) fields are included. The numbers in parentheses in FIG. 1 indicate the bit length of each field.

SOFは、メッセージのデータフレームの開始位置を示し、フレームの同期をとる用途にも使用される。IDは、データの内容および送信側のネットワーク装置を識別のために使用される。IDとRTRは、通信調停の優先順位を決定するために使用される。   The SOF indicates the start position of the data frame of the message and is also used for the purpose of synchronizing the frames. The ID is used for identifying the contents of data and the network device on the transmission side. ID and RTR are used to determine the priority of communication arbitration.

コントロールフィールドは、予約ビットとDLC(Data Length Code)で構成される。予約ビットは常にドミナント(0)に設定される。DLCは、データフィールドで送信されるデータ長を示す値に設定される。データフィールドは、送信されるデータの部分であり、最長64ビットのデータを格納できる。   The control field is composed of reserved bits and DLC (Data Length Code). The reserved bit is always set to dominant (0). The DLC is set to a value indicating the data length transmitted in the data field. The data field is a portion of data to be transmitted and can store data of up to 64 bits.

CRCおよびCRCデリミタは、先に送信されたSOF、ID、コントロールフィールド、データフィールドの値の検証に使用される。ACKおよびACKデリミタは、受信側のネットワーク装置がメッセージを正しく受信できたときに確認応答を行うために使用される。EOFは、データフレームの終端を示すために使用される。   The CRC and CRC delimiter are used to verify the values of the previously transmitted SOF, ID, control field, and data field. The ACK and ACK delimiter are used to perform an acknowledgment when the network device on the receiving side has received the message correctly. The EOF is used to indicate the end of the data frame.

なお、本発明は、主にメッセージのIDとデータフィールドに関するものであるため、以下ではそれ以外のフィールドについての説明は省略している。   Since the present invention mainly relates to message IDs and data fields, description of other fields is omitted below.

図2は、本発明の実施の形態に係るネットワークシステムの構成例を示す図である。当該ネットワークシステム101は、共通の通信路であるバス102と、そのバス102に接続した複数のネットワーク装置111〜116とによって構成されている。本実施の形態では、ネットワークシステム101は車載ネットワークシステムであり、ネットワーク装置111〜116はそれぞれ車両のECUであると仮定する。   FIG. 2 is a diagram showing a configuration example of the network system according to the embodiment of the present invention. The network system 101 includes a bus 102 that is a common communication path, and a plurality of network devices 111 to 116 connected to the bus 102. In the present embodiment, it is assumed that network system 101 is an in-vehicle network system and network devices 111 to 116 are vehicle ECUs.

ネットワーク装置111〜116は、メッセージの送信側にも受信側にもなり得るが、説明の便宜のため、ネットワーク装置111,112を送信側、ネットワーク装置113〜116を送信側として説明する。   Although the network devices 111 to 116 can be either a message transmission side or a reception side, for convenience of explanation, the network devices 111 and 112 will be described as a transmission side, and the network devices 113 to 116 will be described as a transmission side.

送信側ネットワーク装置111,112には、それぞれ異なるIDが割り当てられている。ここでは、送信側ネットワーク装置111に、ID「111」が割り当てられ、送信側ネットワーク装置112に、ID「112」が割り当てられているものとする。この場合、送信側ネットワーク装置111が送信するメッセージのIDの値は「111」となり、送信側ネットワーク装置112が送信するメッセージのIDの値は「112」となる。   Different IDs are assigned to the transmission side network devices 111 and 112, respectively. Here, it is assumed that ID “111” is assigned to the transmission side network device 111 and ID “112” is assigned to the transmission side network device 112. In this case, the ID value of the message transmitted by the transmission side network device 111 is “111”, and the ID value of the message transmitted by the transmission side network device 112 is “112”.

受信側ネットワーク装置113〜116には、それぞれが受信するメッセージのIDが割り当てられている。ここでは、受信側ネットワーク装置113,114にID「111」が割り当てられ、受信側ネットワーク装置115,116にID「112」が割り当てられているものとする。この場合、受信側ネットワーク装置113,114は、IDの値が「111」のメッセージを受信し、受信側ネットワーク装置115,116は、IDの値が「112」のメッセージを受信する。つまり、受信側ネットワーク装置113,114は、送信側ネットワーク装置111が送信したメッセージを受信し、受信側ネットワーク装置115,116は、送信側ネットワーク装置112が送信したメッセージを受信する。   IDs of messages received by the receiving side network devices 113 to 116 are assigned. Here, it is assumed that the ID “111” is assigned to the receiving network devices 113 and 114 and the ID “112” is assigned to the receiving network devices 115 and 116. In this case, the receiving-side network devices 113 and 114 receive a message whose ID value is “111”, and the receiving-side network devices 115 and 116 receive a message whose ID value is “112”. That is, the receiving side network devices 113 and 114 receive the message transmitted from the transmitting side network device 111, and the receiving side network devices 115 and 116 receive the message transmitted from the transmitting side network device 112.

ここで、図3のように、なりすましを行うネットワーク装置117(以下「なりすましネットワーク装置」と称す)が、バス102に接続された状態を想定する。ここで言う“なりすまし”は、正規のネットワーク装置のいずれかがメッセージの送信に用いているIDと同じIDを使用して、偽のデータフィールドを含むメッセージ(以下「偽装メッセージ」という)を送信することを指す。   Here, as shown in FIG. 3, it is assumed that a network device 117 that performs impersonation (hereinafter referred to as “spoofing network device”) is connected to the bus 102. Here, “spoofing” transmits a message including a fake data field (hereinafter referred to as “spoofed message”) using the same ID used by any of the legitimate network devices for transmitting the message. Refers to that.

例えば、図3において、なりすましネットワーク装置117が、IDの値が「111」で、データフィールドのフォーマットが正規のメッセージのフォーマットに適合した偽装メッセージを送信した場合、受信側ネットワーク装置113,114は、その偽装メッセージを、ネットワーク装置111から送信された正規のメッセージと誤認して、偽装メッセージに含まれる偽のデータに基づいた処理を実行するおそれがある。例えば、それらの受信側ネットワーク装置113,114が、車両のEPS(電動パワーステアリング)やブレーキを制御するECUであった場合、ドライバーの意図と異なるハンドル操作やブレーキ操作が行われて事故を引き起こす可能性がある。   For example, in FIG. 3, when the spoofing network device 117 transmits a spoofed message whose ID value is “111” and the data field format conforms to the regular message format, the receiving network devices 113 and 114 There is a possibility that the forged message is mistaken as a regular message transmitted from the network device 111 and processing based on the fake data included in the forged message is executed. For example, when the receiving side network devices 113 and 114 are ECUs that control the vehicle's EPS (electric power steering) and brakes, a steering wheel operation and a brake operation different from the driver's intention may be performed to cause an accident. There is sex.

CANプロトコルのように、メッセージが送信側および受信側のネットワーク装置を一意に特定できる情報を含まない通信プロトコルを用いたネットワークシステムでは、受信側ネットワーク装置は、受信したメッセージが、正規のネットワーク装置が送信したメッセージ(以下「正規メッセージ」という)か、なりすましネットワーク装置が送信した偽装メッセージかを、当該メッセージの内容だけで判断することはできない。しかし、送信側ネットワーク装置は、自己がメッセージの送信に使用しているIDと同じIDを含むメッセージを受信したときは、そのメッセージが偽装メッセージであると判断することができる。   In a network system using a communication protocol such as the CAN protocol in which a message does not include information that can uniquely identify a transmission-side and a reception-side network device, the reception-side network device receives a message from a legitimate network device. Whether it is a transmitted message (hereinafter referred to as a “regular message”) or a spoofed message transmitted by a spoofed network device cannot be determined only by the content of the message. However, when the network device on the transmission side receives a message including the same ID as that used for transmission of the message, the transmission side network device can determine that the message is a forged message.

そこで、本実施の形態のネットワークシステム101では、送信側ネットワーク装置111,112に、偽装メッセージの検出を行わせ、それにより、なりすましネットワーク装置の存在を検知する。送信側ネットワーク装置111,112は、なりすましネットワーク装置の存在を検知すると、なりすましネットワーク装置の存在を通知するメッセージである「なりすまし発生通知」を他のネットワーク装置へ送信する。   Therefore, in the network system 101 according to the present embodiment, the transmitting-side network devices 111 and 112 detect the impersonation message, thereby detecting the presence of the spoofed network device. When the transmission-side network devices 111 and 112 detect the presence of the spoofed network device, the transmitting-side network devices 111 and 112 transmit “spoofing notification” that is a message notifying the presence of the spoofed network device to the other network devices.

例えば、なりすましネットワーク装置117がIDの値が「111」の偽装メッセージを送信した場合、メッセージの送信にID「111」を使用中の送信側ネットワーク装置111によってその偽装メッセージが検出され、送信側ネットワーク装置111から、なりすまし発生通知のメッセージが送信される。受信側ネットワーク装置113,114は、送信側ネットワーク装置111から送信されたなりすまし発生通知のメッセージを受信することで、ID「111」を使用するなりすましネットワーク装置117の存在を認識することができる。しかし、その場合でも、受信側ネットワーク装置113,114では、受信したメッセージが偽装メッセージか正規のメッセージかの判断はできない。   For example, when the spoofing network device 117 transmits a forged message with an ID value of “111”, the forged message is detected by the transmitting side network device 111 using the ID “111” for transmitting the message, and the transmitting side network An impersonation occurrence notification message is transmitted from the device 111. The receiving-side network devices 113 and 114 can recognize the presence of the spoofing network device 117 using the ID “111” by receiving the spoofing occurrence notification message transmitted from the transmitting-side network device 111. However, even in that case, the receiving-side network devices 113 and 114 cannot determine whether the received message is a forged message or a regular message.

そこで、本実施の形態のネットワークシステム101では、偽装メッセージが検出された後は、検出された偽装メッセージと同じID(上の例では「111」)を使用したメッセージの送受信を禁止して、受信側ネットワーク装置113〜116が偽装メッセージを受信しないようにする。さらに、それまで偽装メッセージと同じIDを使用していたネットワーク装置が正規のメッセージの送受信を継続できるように、それらのネットワーク装置には、偽装メッセージのIDとは異なる代替IDを割り当てる。   Therefore, in the network system 101 according to the present embodiment, after a forged message is detected, transmission and reception of a message using the same ID (“111” in the above example) as the detected forged message is prohibited. The side network devices 113 to 116 are prevented from receiving the forged message. Further, an alternative ID different from the ID of the forged message is assigned to the network devices so that the network devices that have been using the same ID as the forged message can continue to transmit and receive regular messages.

ここで、代替IDは、他の正規のネットワーク装置がメッセージの送受信に使用中のものとする。その場合、2つの送信側ネットワーク装置に、同じIDが割り当てられることになり、通信の負荷が増大するおそれがある。そのため、代替IDと同じIDをそれまで使用していたネットワーク装置には、メッセージの送受信を停止してもらう。   Here, the alternative ID is assumed to be in use by another legitimate network device for message transmission / reception. In this case, the same ID is assigned to the two transmission side network devices, which may increase the communication load. Therefore, the network device that has been using the same ID as the alternative ID until then stops sending and receiving messages.

以下、偽装メッセージのIDを「なりすましの対象となったID」と称し、偽装メッセージのIDと同じIDを使用していたネットワーク装置を「なりすましの対象となったネットワーク装置」と称す。   Hereinafter, the ID of the spoofed message is referred to as “an ID that is subject to impersonation”, and a network device that uses the same ID as the ID of the impersonation message is referred to as “a network device that is subject to impersonation”.

図4は、本実施の形態に係るネットワーク装置の主要部の構成を示すブロック図であり、ネットワーク装置におけるメッセージの送受信動作に係る部分を示している。図2および図3に示したネットワーク装置111〜116は、いずれも図4の構成を含んでいる。   FIG. 4 is a block diagram showing a configuration of a main part of the network device according to the present embodiment, and shows a part related to a message transmission / reception operation in the network device. Each of the network devices 111 to 116 shown in FIGS. 2 and 3 includes the configuration of FIG.

図4のように、本実施の形態に係るネットワーク装置は、受信部1、抽出部2、データ演算部3、なりすまし検出演算部4、送信IDデータベース5、代替IDデータベース6、代替ID選択部7、メッセージ作成部8および送信部9を備えている。   As shown in FIG. 4, the network device according to the present embodiment includes a reception unit 1, an extraction unit 2, a data calculation unit 3, an impersonation detection calculation unit 4, a transmission ID database 5, an alternative ID database 6, and an alternative ID selection unit 7. A message creation unit 8 and a transmission unit 9 are provided.

受信部1は、バス102に流れるメッセージを受信する。抽出部2は、受信したメッセージを各フィールドに分離して、各種の演算部に転送する。ここでは、演算部として、受信したメッセージのデータデータフィールドに含まれたデータに対する演算処理を行うデータ演算部3と、受信したメッセージのIDに基づいて偽装メッセージを検出することで、なりすましネットワーク装置の存在を検知するなりすまし検出演算部4とを示している。   The receiving unit 1 receives a message flowing on the bus 102. The extraction unit 2 separates the received message into fields and transfers them to various arithmetic units. Here, as the calculation unit, the data calculation unit 3 that performs calculation processing on the data included in the data data field of the received message, and the impersonation message is detected based on the ID of the received message. An impersonation detection calculation unit 4 that detects existence is shown.

送信IDデータベース5には、当該ネットワーク装置がメッセージの送信に用いる全てのIDの値が登録されている。なりすまし検出演算部4は、受信したメッセージから抽出部2が抽出したIDの値が、送信IDデータベース5に登録されるIDの値と符合した場合に、そのメッセージが偽装メッセージであると判断し、なりすましネットワーク装置の存在を検知する。   In the transmission ID database 5, all ID values used by the network device for transmitting messages are registered. The impersonation detection calculation unit 4 determines that the message is a fake message when the ID value extracted by the extraction unit 2 from the received message matches the ID value registered in the transmission ID database 5; Detects the presence of spoofed network devices.

代替IDデータベース6は、送信IDデータベース5に登録されているIDとは異なるIDで、且つ、他のネットワーク装置が使用中のIDが、代替IDの候補として1つ以上登録されている。代替IDデータベース6に登録される各代替IDは、それぞれ代替IDデータベース6に登録されている各IDと紐付けされている。この紐づけのロジック(ルール)は、ネットワークシステム101を構成する全てのネットワーク装置111〜116で共通している。   In the alternative ID database 6, one or more IDs that are different from the IDs registered in the transmission ID database 5 and are being used by other network devices are registered as alternative ID candidates. Each substitute ID registered in the substitute ID database 6 is associated with each ID registered in the substitute ID database 6. This association logic (rule) is common to all the network devices 111 to 116 configuring the network system 101.

代替ID選択部7は、当該ネットワーク装置がなりすましの対象となったときに、それまで使用していたIDの代わりとなる代替IDを、代替IDデータベース6に登録されている代替IDの候補の中から選択する。この代替ID選択部7が代替IDを選択するロジック(ルール)も、ネットワークシステム101を構成する全てのネットワーク装置111〜116で共通している。   The alternative ID selection unit 7 selects an alternative ID that replaces the ID used so far when the network device is to be impersonated, among the alternative ID candidates registered in the alternative ID database 6. Select from. The logic (rule) by which the alternative ID selection unit 7 selects an alternative ID is also common to all the network devices 111 to 116 configuring the network system 101.

先に述べたように、本実施の形態では、なりすましの対象となったネットワーク装置に、代替IDが割り当てられると、2つの送信側ネットワーク装置に、同じIDが割り当てられることになるので、代替IDと同じIDをそれまで使用していたネットワーク装置には、メッセージの送受信を停止してもらう。そのため、代替ID選択部7が選択する代替IDは、例えば、ドライバーが現在使用していない機能を制御するためのメッセージなど、送受信を停止しても車両の動作上問題が生じないメッセージに用いられているIDに限定する必要がある。   As described above, in this embodiment, when an alternative ID is assigned to the network device that is the target of impersonation, the same ID is assigned to the two transmission side network devices. The network device that has been using the same ID as before stops sending and receiving messages. Therefore, the alternative ID selected by the alternative ID selection unit 7 is used for a message that causes no problem in operation of the vehicle even if transmission / reception is stopped, such as a message for controlling a function that is not currently used by the driver. It is necessary to limit to the ID which is.

代替ID選択部7が代替IDを選択するロジックは、ケースに応じて様々なものが想定される。例えば、昼間の時間帯であれば、使用頻度の低い前照灯類をコントロールするメッセージのIDを代替IDとして選択したり、降雨センサによって雨が降っていないと判断できれば、使用頻度の低いワイパーをコントロールするメッセージのIDを代替IDとして選択したりすることが考えられる。あるいは、なりすましの対象となったIDが、機能安全に係る要件が課せられたメッセージのIDであった場合、当該メッセージの送信先となるECUの機能のASIL(Automotive safety Integrity Leve)を考慮して、安全侵害の可能性がより低いメッセージのIDを選択する方法も考えられる。   Various logics for the alternative ID selection unit 7 to select an alternative ID are assumed depending on the case. For example, during daytime hours, if the ID of the message that controls the infrequently used headlamps is selected as an alternative ID, or if it can be judged that it is not raining by the rain sensor, a less frequently used wiper can be used. For example, the ID of a message to be controlled may be selected as an alternative ID. Alternatively, if the ID that was impersonated was the ID of a message that imposed functional safety requirements, taking into account the ASIL (Automotive Safety Integrity Level) of the function of the ECU that is the destination of the message A method of selecting an ID of a message that is less likely to be a security breach is also conceivable.

また、通信の安定性を確保するために、送信IDデータベース5に記憶されている各IDには、それよりも優先度の高い代替IDが紐付けされるようにしてもよい。また、代替ID選択部7が代替IDを選択する際、代替IDデータベース6に記憶されている代替IDの候補の中から最も優先度の高いIDを選択するようにしてもよい。   Further, in order to ensure communication stability, each ID stored in the transmission ID database 5 may be associated with an alternative ID having a higher priority. Further, when the alternative ID selection unit 7 selects an alternative ID, an ID having the highest priority may be selected from among alternative ID candidates stored in the alternative ID database 6.

メッセージ作成部8は、代替ID選択部7が選択したID値、データ演算部3の出力値などを収集してCANのメッセージを作成する。送信部9は、メッセージ作成部8が作成したメッセージを、CANプロトコルに適合したフォーマットに変換して、バス102へと送信する。   The message creation unit 8 collects the ID value selected by the alternative ID selection unit 7 and the output value of the data calculation unit 3 to create a CAN message. The transmission unit 9 converts the message created by the message creation unit 8 into a format compatible with the CAN protocol, and transmits the converted message to the bus 102.

図5および図6は、それぞれネットワーク装置の主要部のハードウェア構成の一例を示す図である。図4に示したネットワーク装置の各要素(受信部1、抽出部2、データ演算部3、なりすまし検出演算部4、送信IDデータベース5、代替IDデータベース6、代替ID選択部7、メッセージ作成部8および送信部9)は、例えば図5に示す処理回路50により実現される。すなわち、処理回路50は、バス102に流れるメッセージを受信する受信部1と、受信したメッセージのデータデータフィールドに含まれたデータに対する演算処理を行うデータ演算部3と、受信したメッセージのIDに基づいてなりすましネットワーク装置の存在を検知するなりすまし検出演算部4と、当該ネットワーク装置がメッセージの送信に用いるIDの値が登録された送信IDデータベース5と、代替IDが登録された代替IDデータベース6と、当該ネットワーク装置がなりすましの対象となったときにIDの代わりとなる代替IDを選択する代替ID選択部7と、送信するメッセージを作成するメッセージ作成部8と、作成されたメッセージを送信する送信部9と、を備える。処理回路50には、専用のハードウェアが適用されてもよいし、メモリに格納されるプログラムを実行するプロセッサ(Central Processing Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、Digital Signal Processor)が適用されてもよい。   5 and 6 are diagrams each illustrating an example of a hardware configuration of a main part of the network device. Each element (reception unit 1, extraction unit 2, data calculation unit 3, spoofing detection calculation unit 4, transmission ID database 5, alternative ID database 6, alternative ID selection unit 7, message creation unit 8 of the network device shown in FIG. The transmission unit 9) is realized by, for example, the processing circuit 50 shown in FIG. That is, the processing circuit 50 is based on the reception unit 1 that receives a message flowing on the bus 102, the data calculation unit 3 that performs calculation processing on data included in the data data field of the received message, and the ID of the received message. An impersonation detection calculation unit 4 that detects the presence of an impersonation network device, a transmission ID database 5 in which ID values used by the network device for message transmission are registered, an alternative ID database 6 in which alternative IDs are registered, An alternative ID selection unit 7 that selects an alternative ID instead of an ID when the network device becomes a target of impersonation, a message creation unit 8 that creates a message to be sent, and a transmission unit that sends the created message 9. Dedicated hardware may be applied to the processing circuit 50, or a processor (Central Processing Unit, central processing unit, processing unit, arithmetic unit, microprocessor, microcomputer, Digital, which executes a program stored in the memory Signal Processor) may be applied.

処理回路50が専用のハードウェアである場合、処理回路50は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGA、またはこれらを組み合わせたものなどが該当する。ネットワーク装置の主要部の各要素の機能のそれぞれは、複数の処理回路で実現されてもよいし、それらの機能がまとめて一つの処理回路で実現されてもよい。   When the processing circuit 50 is dedicated hardware, the processing circuit 50 corresponds to, for example, a single circuit, a composite circuit, a programmed processor, a processor programmed in parallel, an ASIC, an FPGA, or a combination thereof. To do. Each function of each element of the main part of the network device may be realized by a plurality of processing circuits, or these functions may be realized by a single processing circuit.

図6は、処理回路50がプロセッサを用いて構成されている場合におけるネットワーク装置の主要部のハードウェア構成を示している。この場合、ネットワーク装置の主要部の各要素の機能は、ソフトウェア等(ソフトウェア、ファームウェア、またはソフトウェアとファームウェア)との組み合わせにより実現される。ソフトウェア等はプログラムとして記述され、メモリ52に格納される。処理回路50としてのプロセッサ51は、メモリ52に記憶されたプログラムを読み出して実行することにより、各部の機能を実現する。すなわち、ネットワーク装置の主要部は、処理回路50により実行されるときに、当該ネットワーク装置がメッセージの送信に用いるIDおよびその代わりとなる代替IDを登録する処理と、バス102に流れるメッセージを受信する処理と、受信したメッセージのデータデータフィールドに含まれたデータに対する演算処理と、受信したメッセージのIDに基づいてなりすましネットワーク装置の存在を検知する処理と、当該ネットワーク装置がなりすましの対象となったときに代替IDを選択して、当該ネットワーク装置が使用するIDを代替IDに変更する処理と、送信するメッセージを作成する処理と、作成されたメッセージを送信する処理と、が、結果的に実行されることになるプログラムを格納するためのメモリ52を備える。換言すれば、このプログラムは、ネットワーク装置の主要部の各要素の動作の手順や方法をコンピュータに実行させるものであるともいえる。なお、送信IDデータベース5および代替IDデータベース6の記憶領域は、メモリ52の一部に確保される。   FIG. 6 shows a hardware configuration of a main part of the network device when the processing circuit 50 is configured using a processor. In this case, the function of each element of the main part of the network device is realized by a combination of software and the like (software, firmware, or software and firmware). Software or the like is described as a program and stored in the memory 52. The processor 51 as the processing circuit 50 implements the functions of the respective units by reading out and executing the program stored in the memory 52. That is, the main part of the network device receives, when executed by the processing circuit 50, a process for registering an ID used by the network device to transmit a message and a substitute ID instead, and a message flowing on the bus 102. Processing, calculation processing on data contained in the data data field of the received message, processing for detecting the presence of a spoofed network device based on the received message ID, and when the network device is subject to impersonation As a result, a process of selecting an alternative ID and changing the ID used by the network device to the alternative ID, a process of creating a message to be transmitted, and a process of transmitting the created message are executed as a result. A memory 52 for storing the program to be stored is provided. In other words, it can be said that this program causes a computer to execute the operation procedure and method of each element of the main part of the network device. Note that the storage areas of the transmission ID database 5 and the alternative ID database 6 are secured in a part of the memory 52.

ここで、メモリ52には、例えば、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリー、EPROM(Erasable Programmable Read Only Memory)、EEPROM(Electrically Erasable Programmable Read Only Memory)などの、不揮発性または揮発性の半導体メモリ、HDD(Hard Disk Drive)、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD(Digital Versatile Disc)およびそのドライブ装置等が該当する。   Here, the memory 52 is non-volatile such as RAM (Random Access Memory), ROM (Read Only Memory), flash memory, EPROM (Erasable Programmable Read Only Memory), EEPROM (Electrically Erasable Programmable Read Only Memory), etc. Or a volatile semiconductor memory, HDD (Hard Disk Drive), a magnetic disk, a flexible disk, an optical disk, a compact disk, a mini disk, DVD (Digital Versatile Disc), its drive device, etc. correspond.

以上、ネットワーク装置の主要部の各要素の機能が、ハードウェアおよびソフトウェア等のいずれか一方で実現される構成について説明した。しかしこれに限ったものではなく、ネットワーク装置の主要部の一部の要素を専用のハードウェアで実現し、別の一部の要素をソフトウェア等で実現する構成であってもよい。例えば、一部の要素については専用のハードウェアとしての処理回路50でその機能を実現し、他の一部の要素についてはプロセッサ51としての処理回路50がメモリ52に格納されたプログラムを読み出して実行することによってその機能を実現することが可能である。   The configuration in which the function of each element of the main part of the network device is realized by either hardware or software has been described above. However, the present invention is not limited to this, and a configuration in which some elements of the main part of the network device are realized by dedicated hardware and another part of the elements is realized by software or the like. For example, the functions of some elements are realized by the processing circuit 50 as dedicated hardware, and the processing circuit 50 as the processor 51 reads a program stored in the memory 52 for the other some elements. The function can be realized by executing.

以上のように、ネットワーク装置の主要部は、ハードウェア、ソフトウェア等、またはこれらの組み合わせによって、上述の各機能を実現することができる。   As described above, the main part of the network device can realize the above-described functions by hardware, software, or the like, or a combination thereof.

図7は、実施の形態1に係るネットワークシステム101の動作を説明するためのフローチャートである。図7においては、複数のネットワーク装置で同じ処理が行われるステップには、その各ステップに共通の符号を付してある(具体的には、ステップS109、S110およびS114)。また、以下の説明において、各メッセージのIDの値を括弧書きで示している。   FIG. 7 is a flowchart for explaining the operation of the network system 101 according to the first embodiment. In FIG. 7, steps in which the same processing is performed by a plurality of network devices are denoted by common reference numerals for each step (specifically, steps S109, S110, and S114). In the following description, the ID value of each message is shown in parentheses.

なりすましが発生する前、ネットワーク装置111〜116は、それぞれの送信IDデータベース5に記憶されているIDを用いて、通常の情報通信を行う(ステップS101〜S104)。すなわち、送信側ネットワーク装置111がメッセージ(ID=111)を送信し、受信側ネットワーク装置113,114がそのメッセージを受信する。また、送信側ネットワーク装置112がメッセージ(ID=112)を送信し、受信側ネットワーク装置115,116がそのメッセージを受信する。   Before spoofing occurs, the network devices 111 to 116 perform normal information communication using IDs stored in the respective transmission ID databases 5 (steps S101 to S104). That is, the transmission side network device 111 transmits a message (ID = 111), and the reception side network devices 113 and 114 receive the message. Further, the transmission side network device 112 transmits a message (ID = 112), and the reception side network devices 115 and 116 receive the message.

ここで、なりすましネットワーク装置117がバス102に接続され、あるいは、あらかじめバス102接続されていたなすましネットワーク装置117が活動を開始し、なりすましネットワーク装置117から偽装メッセージ(ID=111)が送信されたと仮定する(ステップS105)。つまり、送信側ネットワーク装置111が、なりすましの対象となったネットワーク装置であり、IDは「111」が、なりすましの対象となったIDである。   Here, it is assumed that the impersonation network device 117 is connected to the bus 102, or the impersonation network device 117 connected in advance to the bus 102 starts its activity, and the impersonation message (ID = 111) is transmitted from the impersonation network device 117. Assume (step S105). That is, the transmission-side network device 111 is a network device that is a target of impersonation, and the ID “111” is an ID that is a target of impersonation.

送信側ネットワーク装置111のなりすまし検出演算部4は、バス102を流れるメッセージの中に、自己が使用中のID「111」を含むメッセージがあることを検出すると、それを偽装メッセージと判断し、なりすましの発生を検知する(ステップS106)。なりすましの発生を検知した送信側ネットワーク装置111では、メッセージ作成部8がなりすまし発生通知のメッセージ(ID=111)を作成し、それを送信部9が送信する(ステップS107)。送信側ネットワーク装置111から送信されたなりすまし発生通知のメッセージ(ID=111)は、受信側ネットワーク装置113,114により受信される(ステップS108)。   When the spoofing detection calculation unit 4 of the transmission-side network device 111 detects that there is a message including the ID “111” being used in the message flowing through the bus 102, the spoofing detection calculation unit 4 determines that the message is a spoofed message. Is detected (step S106). In the transmission-side network device 111 that detects the occurrence of impersonation, the message creation unit 8 creates a message for impersonation occurrence notification (ID = 111), and the transmission unit 9 transmits it (step S107). The spoofing occurrence notification message (ID = 111) transmitted from the transmission-side network device 111 is received by the reception-side network devices 113 and 114 (step S108).

その後、送信側ネットワーク装置111および受信側ネットワーク装置113,114のそれぞれにおいて、代替ID選択部7が、代替IDデータベース6に記憶されている代替IDのうちの1つを選択し(ステップS109)、メッセージの送受信に使用するIDを代替IDに変更する(ステップS110)。   Thereafter, in each of the transmission-side network device 111 and the reception-side network devices 113 and 114, the alternative ID selection unit 7 selects one of the alternative IDs stored in the alternative ID database 6 (step S109). The ID used for message transmission / reception is changed to an alternative ID (step S110).

送信側ネットワーク装置111および受信側ネットワーク装置113,114において、送信IDデータベース5に登録されているIDと代替IDデータベース6に登録される代替IDとの紐づけのロジック、および、代替ID選択部7が代替IDを選択するロジックは、共通しているため、それぞれの代替ID選択部7により同じ代替IDが選択される。従って、送信側ネットワーク装置111および受信側ネットワーク装置113,114が代替IDを互いに通知し合うための通信を行うことなく、送信側ネットワーク装置111および受信側ネットワーク装置113,114の全てに、同じ代替IDが設定される。それにより、送信側ネットワーク装置111および受信側ネットワーク装置113,114に設定された代替IDの値が、なりすましネットワーク装置117へ漏洩することが防止される。ここでは、図7に示すように、送信側ネットワーク装置112および受信側ネットワーク装置115,116が使用中であったID「112」が、代替IDとして、送信側ネットワーク装置111および受信側ネットワーク装置113,114に設定されたと仮定する。   In the transmission-side network device 111 and the reception-side network devices 113 and 114, the logic for associating the ID registered in the transmission ID database 5 with the alternative ID registered in the alternative ID database 6, and the alternative ID selection unit 7 Since the logic for selecting an alternative ID is common, the alternative ID selection unit 7 selects the same alternative ID. Therefore, the transmission side network device 111 and the reception side network devices 113 and 114 do not perform communication for notifying each other of the replacement ID, and the same replacement is made for all of the transmission side network device 111 and the reception side network devices 113 and 114. An ID is set. This prevents the alternative ID values set in the transmission-side network device 111 and the reception-side network devices 113 and 114 from leaking to the spoofing network device 117. Here, as shown in FIG. 7, the ID “112” used by the transmission-side network device 112 and the reception-side network devices 115 and 116 is used as an alternative ID, and the transmission-side network device 111 and the reception-side network device 113. , 114 is assumed to be set.

送信側ネットワーク装置111および受信側ネットワーク装置113,114に、代替ID「112」が設定されると、送信側ネットワーク装置111は、今までID「112」を使用していた送信側ネットワーク装置112、受信側ネットワーク装置115,116に対し、ID「112」を用いたメッセージの送受信の停止を要求するメッセージである送受信停止リクエスト(ID=112)を送信する(ステップS111)。   When the alternative ID “112” is set in the transmission-side network device 111 and the reception-side network devices 113 and 114, the transmission-side network device 111 uses the ID “112” until now. A transmission / reception stop request (ID = 112), which is a message requesting to stop transmission / reception of a message using ID “112”, is transmitted to the receiving-side network devices 115 and 116 (step S111).

代替ID「112」が設定された送信側ネットワーク装置111および受信側ネットワーク装置113,114は、代替ID「112」を用いたメッセージを送受信することができる。しかし、2つの送信側ネットワーク装置111,112に同じIDが設定されているため、すぐにメッセージの送受信を開始するとネットワークシステムの通信負荷が増大する可能性がある。そのため、送信側ネットワーク装置111はID「112」を用いたメッセージの送信を行わずに待機する(ステップS112)。また、受信側ネットワーク装置113,114は、ID「112」を用いたメッセージの受信を行わずに待機する(ステップS113)。   The transmission side network device 111 and the reception side network devices 113 and 114 to which the alternative ID “112” is set can transmit and receive a message using the alternative ID “112”. However, since the same ID is set in the two transmission-side network devices 111 and 112, there is a possibility that the communication load of the network system increases if message transmission / reception is started immediately. Therefore, the transmission-side network device 111 waits without transmitting a message using the ID “112” (step S112). Further, the receiving side network devices 113 and 114 stand by without receiving a message using the ID “112” (step S113).

送信側ネットワーク装置111から送信された送受信停止リクエスト(ID=112)は、送信側ネットワーク装置112および受信側ネットワーク装置115,116に受信される(ステップS114)。送受信停止リクエスト(ID=112)を受信した送信側ネットワーク装置112は、自己がID「112」を用いたメッセージの送信を停止する旨を連絡するメッセージである送信停止連絡(ID=112)を送信してから(ステップS115)、メッセージの送信を停止する(ステップS116)。また、送受信停止リクエスト(ID=112)を受信した受信側ネットワーク装置115,116は、メッセージの受信を停止する(ステップS117)。   The transmission / reception stop request (ID = 112) transmitted from the transmission-side network device 111 is received by the transmission-side network device 112 and the reception-side network devices 115 and 116 (step S114). The transmission-side network device 112 that has received the transmission / reception stop request (ID = 112) transmits a transmission stop notification (ID = 112), which is a message for notifying that the transmission side network device 112 stops transmission of a message using the ID “112”. Then (step S115), the message transmission is stopped (step S116). In addition, the receiving-side network devices 115 and 116 that have received the transmission / reception stop request (ID = 112) stop receiving messages (step S117).

送信側ネットワーク装置111は、送信側ネットワーク装置112から送信された送信停止連絡(ID=112)を受信すると(ステップS118でYES)、代替ID「112」を含むメッセージの受信を要求するメッセージである受信開始リクエスト(ID=112)を送信する(ステップS119)。送信側ネットワーク装置111から送信された受信開始リクエスト(ID=112)は、受信側ネットワーク装置113,114に受信される(ステップS120)。その後は、送信側ネットワーク装置111および受信側ネットワーク装置113,114によって、代替ID「112」を用いたメッセージの送受信が行われる。すなわち、送信側ネットワーク装置111がメッセージ(ID=112)を送信し(ステップS121)、受信側ネットワーク装置113,114がそのメッセージを受信する(ステップS122)。このとき、送信側ネットワーク装置111および受信側ネットワーク装置113,114で送受信されるメッセージの内容は、なりすましが発生する前と同様のものである。   When the transmission-side network device 111 receives the transmission stop notification (ID = 112) transmitted from the transmission-side network device 112 (YES in step S118), the transmission-side network device 111 requests to receive a message including the alternative ID “112”. A reception start request (ID = 112) is transmitted (step S119). The reception start request (ID = 112) transmitted from the transmission side network device 111 is received by the reception side network devices 113 and 114 (step S120). Thereafter, the transmission-side network device 111 and the reception-side network devices 113 and 114 transmit and receive messages using the alternative ID “112”. That is, the transmission side network device 111 transmits a message (ID = 112) (step S121), and the reception side network devices 113 and 114 receive the message (step S122). At this time, the content of the message transmitted and received by the transmission-side network device 111 and the reception-side network devices 113 and 114 is the same as that before the impersonation occurred.

図7には示していないが、例えば、なりすましネットワーク装置117の存在が検出されてから一定時間が経過した後、それが検出されなくなれば、代替IDを使用している送信側ネットワーク装置111および受信側ネットワーク装置113,114が、自己がメッセージの送受信に用いるIDを、なりすましネットワーク装置117が検出される前の状態、すなわちID「111」に戻すようにしてもよい。   Although not shown in FIG. 7, for example, if a certain period of time has elapsed after the presence of the spoofing network device 117 is detected, and it is not detected, the transmission side network device 111 using the alternative ID and the reception are received. The side network devices 113 and 114 may return the ID used by themselves for message transmission / reception to the state before the spoofing network device 117 is detected, that is, the ID “111”.

このように、本実施の形態のネットワークシステム101によれば、なりすましの対象となったIDを使用していた送信側ネットワーク装置111および受信側ネットワーク装置113,114は、なりすましが発生した後も、代替IDを用いてメッセージの送受信を継続して行うことができる。また、それまで代替IDと同じIDを使用していた送信側ネットワーク装置112および受信側ネットワーク装置115,116に、メッセージの送受信を停止させることにより、通信負荷の増大も抑制される。   As described above, according to the network system 101 of the present embodiment, the transmission-side network device 111 and the reception-side network devices 113 and 114 that have used the ID to be impersonated can be used even after impersonation occurs. The message can be continuously transmitted and received using the alternative ID. In addition, the transmission side network device 112 and the reception side network devices 115 and 116 that have been using the same ID as the alternative ID until then stop transmitting / receiving messages, thereby suppressing an increase in communication load.

なお、なりすまし発生通知を送信した送信側ネットワーク装置111、または、その通知を受けた受信側ネットワーク装置113,114が、ユーザに対し、なりすまし装置の存在を示す警告を行うようにしてもよい。また、なりすまし発生通知を送信した送信側ネットワーク装置111、または、その通知を受けた受信側ネットワーク装置113,114が、なりすましネットワーク装置117の存在が検出されたことを示すログを記録するようにしてもよい。   The transmission-side network device 111 that has transmitted the spoofing occurrence notification or the receiving-side network devices 113 and 114 that have received the notification may issue a warning indicating the presence of the impersonation device to the user. Further, the transmission-side network device 111 that has transmitted the spoofing occurrence notification or the receiving-side network devices 113 and 114 that have received the notification records a log indicating that the presence of the impersonation network device 117 has been detected. Also good.

<実施の形態2>
実施の形態1では、なりすましの対象となったネットワーク装置において代替IDが設定された後は、それまで当該代替IDと同じIDを使用していたネットワーク装置によるメッセージの送受信を停止させていた。
<Embodiment 2>
In the first embodiment, after an alternative ID is set in the network device that is the target of impersonation, transmission and reception of messages by the network device that has been using the same ID as the alternative ID is stopped.

実施の形態2では、代替IDが設定されたネットワーク装置と、それまで当該代替IDと同じIDを使用していたネットワーク装置とが、同一のIDを用いて、メッセージの送受信を交互に行うようにする。代替IDが設定されたネットワーク装置が送受信するメッセージのID以外のフィールドのフォーマットと、それまで当該代替IDと同じIDを使用していたネットワーク装置が送受信するメッセージのID以外のフィールドのフォーマットとは、互いに異なるものとする。   In the second embodiment, a network device in which an alternative ID is set and a network device that has been using the same ID as the alternative ID so far alternately transmit and receive messages using the same ID. To do. The format of the field other than the ID of the message transmitted / received by the network device in which the alternative ID is set and the format of the field other than the ID of the message transmitted / received by the network device that has been using the same ID as the alternative ID until Shall be different from each other.

なお、なりすましが発生して、なりすましの対象となったネットワーク装置に代替IDが設定されるまでの動作(図7のステップS101〜S110)は、実施の形態1と同一であるため、ここでの説明は省略する。   Note that the operations (steps S101 to S110 in FIG. 7) from when spoofing occurs until an alternative ID is set for the network device that is the target of impersonation are the same as those in the first embodiment. Description is omitted.

ここで、図7の例と同様に、送信側ネットワーク装置111がなりすましの対象となり、送信側ネットワーク装置112が使用中のIDが「112」が代替IDとして、送信側ネットワーク装置111に設定されたと仮定し、送信側ネットワーク装置111と送信側ネットワーク装置112とがメッセージの送信を交互に行う動作について、図4のブロック図を参照して説明する。   Here, as in the example of FIG. 7, it is assumed that the transmission-side network device 111 is a target of impersonation, and the ID that is being used by the transmission-side network device 112 is set to the transmission-side network device 111 as “112” as an alternative ID. Assuming that the transmission side network device 111 and the transmission side network device 112 alternately transmit messages, the operation will be described with reference to the block diagram of FIG.

送信側ネットワーク装置111,112において、受信部1が、ID「112」を含むメッセージを受信すると、抽出部2が、当該メッセージのデータフィールドをデータ演算部3に転送する。データ演算部3は、当該データフィールドのフォーマットに基づいて、そのメッセージの送信元が送信側ネットワーク装置111か、送信側ネットワーク装置112かを判定することによって、自己のネットワーク装置が2度連続してメッセージを送信しないようにする。すなわち、受信したメッセージの送信元が自己のネットワーク装置であった場合は、次は自己のネットワーク装置が送信する番ではないと判断し、送信部9に蓄積されたメッセージを破棄して受信待ちの状態にする。また、受信したメッセージの送信元が自己のネットワーク装置でなければ、次は自己のネットワーク装置が送信する番と判断し、送信部9にメッセージを送信させる。   In the transmission side network devices 111 and 112, when the reception unit 1 receives a message including the ID “112”, the extraction unit 2 transfers the data field of the message to the data calculation unit 3. Based on the format of the data field, the data operation unit 3 determines whether the source of the message is the transmission-side network device 111 or the transmission-side network device 112, so that its own network device is continuously twice. Avoid sending messages. In other words, if the transmission source of the received message is its own network device, it is determined that the next network device is not the number to be transmitted, and the message stored in the transmission unit 9 is discarded and waiting for reception. Put it in a state. If the transmission source of the received message is not the own network device, it is determined that the next network device is the next transmission number, and the transmission unit 9 transmits the message.

データ演算部3におけるメッセージの送信元の判断は、当該メッセージのデータフィールドのフォーマットが、自己のネットワーク装置で規定されたフォーマットと符合するかどうかで判断してもよいし、他方のネットワーク装置で規定されたフォーマットと符合するかどうかで判断してもよい。   The determination of the transmission source of the message in the data calculation unit 3 may be made based on whether or not the format of the data field of the message matches the format specified by the own network device, or specified by the other network device. Judgment may be made based on whether the format matches.

送信側ネットワーク装置111と送信側ネットワーク装置112とがメッセージの送信を交互に行う他の方法としては、送信側ネットワーク装置111,112の両方が、送信周期を2倍にして、メッセージの動機をせずに各々が送信するという方法も考えられる。   As another method in which the transmission-side network device 111 and the transmission-side network device 112 alternately transmit messages, both the transmission-side network devices 111 and 112 may double the transmission period to motivate the message. A method is also conceivable in which each of them transmits.

次に、送信側ネットワーク装置111,112が交互に送信するIDが同一のメッセージを、受信側ネットワーク装置113〜116が適切に受信する動作について説明する。   Next, an operation in which the receiving-side network devices 113 to 116 appropriately receive messages having the same ID that are alternately transmitted by the transmitting-side network devices 111 and 112 will be described.

一般に、CANの受信側ネットワーク装置は、受信したメッセージのフォーマットに異常を検知すると、エラーメッセージ(「エラーフレーム」という)を送信して、その受信データは使用しない。また、受信側ネットワーク装置が、エラーフレームを一定期間内に一定回数送信すると、受信を停止するという制御仕様も一般的である。   In general, when an CAN receiving-side network device detects an abnormality in the format of a received message, it transmits an error message (referred to as an “error frame”) and does not use the received data. Also, the control specification is such that reception is stopped when the receiving side network device transmits an error frame a certain number of times within a certain period.

そこで、実施の形態2では、受信したメッセージのフォーマットに異常が検知された場合でも、予め定められた回数以上連続して検知されない限りはエラーフレームを送信しない制御ロジックを採用する。これにより、送信側ネットワーク装置111,112が、IDが同一でデータフレームのフォーマットが異なるメッセージを送信しても、その送信が交互に行われている限りは、エラーフレームは発生せず、受信側ネットワーク装置113〜116がそれらのメッセージを受信することができる。   Therefore, in the second embodiment, even when an abnormality is detected in the format of the received message, a control logic that does not transmit an error frame is adopted unless it is detected continuously more than a predetermined number of times. As a result, even if the transmission side network devices 111 and 112 transmit messages having the same ID and different data frame formats, as long as the transmission is performed alternately, no error frame is generated, and the reception side The network devices 113 to 116 can receive these messages.

なお、本実施の形態では、送信側ネットワーク装置111,112によるメッセージの送信周期が2倍になり、見かけ上、送信側ネットワーク装置111,112の動作速度が低下するため、その影響で通信の信頼性や車両の安全要件が侵害されない用途のメッセージのIDを、代替IDとして選択する必要がある。また、例えば「警告と縮退」コンセプトに従い、送信側ネットワーク装置111,112の機能が低下していることをユーザ(主に車両の運転者)にHMI(Human Machine Interface)を経由して警告した上で、制御を継続する、または車両が安全な場所に停止するまでの一定期間内に限定して制御を継続する、といった方法をとってもよい。また、送信側ネットワーク装置111,112の動作速度の低下に合わせて、送信側ネットワーク装置111,112が自己の機能を制限した動作を行うようにしてもよい。   In the present embodiment, the transmission cycle of messages by the transmission side network devices 111 and 112 is doubled, and the operating speed of the transmission side network devices 111 and 112 is apparently reduced. It is necessary to select an ID of a message for a purpose that does not violate the safety and vehicle safety requirements as an alternative ID. Further, for example, according to the “warning and degeneration” concept, the user (mainly the driver of the vehicle) is warned via HMI (Human Machine Interface) that the functions of the transmission side network devices 111 and 112 are deteriorated. Thus, a method may be adopted in which the control is continued or the control is continued for a certain period until the vehicle stops at a safe place. Further, the transmission side network devices 111 and 112 may perform operations with their functions restricted in accordance with a decrease in the operation speed of the transmission side network devices 111 and 112.

<実施の形態3>
実施の形態2では、代替IDが設定されたネットワーク装置と、それまで当該代替IDと同じIDを使用していたネットワーク装置とで、メッセージの送信タイミングを分けることによって、両者がメッセージの送信を継続して行えるようにした。
<Embodiment 3>
In the second embodiment, the message transmission timing is divided between the network device in which the alternative ID is set and the network device that has been using the same ID as the alternative ID, so that both continue to transmit the message. I was able to do it.

実施の形態3では、代替IDが設定されたネットワーク装置と、それまで当該代替IDと同じIDを使用していたネットワーク装置とが、メッセージのデータフィールドの使用領域(書き込み領域)を分けることによって、両者がメッセージの送信を継続して行う。例えば図8は、代替ID「112」が設定された送信側ネットワーク装置111と、それまでID「112」を使用していた送信側ネットワーク装置112とが、同じメッセージのデータフィールドを分けて使用する場合の、当該メッセージのデータフレーム構造の例である。   In the third embodiment, a network device in which an alternative ID is set and a network device that has been using the same ID as the alternative ID until now separate the use area (write area) of the data field of the message, Both continue to send messages. For example, in FIG. 8, the transmission side network device 111 in which the alternative ID “112” is set and the transmission side network device 112 that has been using the ID “112” use the data fields of the same message separately. Is an example of the data frame structure of the message.

このような処理は、両者が送信するメッセージのデータフィールドのビット長の合計が、64ビット以下である場合に可能となる。そのため、なりすましの対象となったネットワーク装置の代替ID選択部7が、他のネットワーク装置の送信周期および空きビットのビット長を基準に選択して代替IDを選択するようにしてもよい。   Such processing is possible when the sum of the bit lengths of the data fields of the messages transmitted by both is 64 bits or less. For this reason, the alternative ID selection unit 7 of the network device to be impersonated may select the alternative ID based on the transmission period of other network devices and the bit length of empty bits.

なお、なりすましが発生して、なりすましの対象となったネットワーク装置に代替IDが設定されるまでの動作(図7のステップS101〜S110)は、実施の形態1と同一である。   Note that the operation (steps S101 to S110 in FIG. 7) from when spoofing occurs until an alternative ID is set to the network device that is the target of impersonation is the same as in the first embodiment.

本実施の形態のように、“相乗り型”のメッセージを実現するためには、代替IDが設定されたネットワーク装置およびそれまで当該代替IDと同じIDを使用していたネットワーク装置の一方が送信したメッセージを他方が一旦受信して、当該メッセージのデータフィールドの自己の使用領域のデータを上書きする必要がある。その場合、図8のように、両ネットワーク装置のそれぞれにおいて、書き込み可能なビットが特定されている必要がある。   As in the present embodiment, in order to realize a “carpooling type” message, one of the network device in which the alternative ID is set and the network device that has been using the same ID as the alternative ID until then transmits. The message must be received once by the other side and the data in its own use area in the data field of the message must be overwritten. In this case, as shown in FIG. 8, it is necessary to specify writable bits in both network devices.

一方、代替IDおよびそれと同じIDを使用する受信側ネットワーク装置は、各々独立してメッセージを受信してもよい。ただし、受信側ネットワーク装置においても、送信側ネットワーク装置それぞれの書き込み可能なビットが特定されている必要がある。   On the other hand, the receiving side network device using the alternative ID and the same ID may receive the message independently. However, also in the receiving side network device, the writable bit of each transmitting side network device needs to be specified.

<実施の形態4>
実施の形態1〜3では、各ネットワーク装置の代替IDデータベース6に登録される代替IDは他のネットワーク装置で使用中のIDであったが、実施の形態4では、他のネットワーク装置が通常時(なりすましが発生していないとき)に使用しないIDが、代替IDとして予め代替IDデータベース6に登録されているものとする。つまり、実施の形態4では、複数のネットワーク装置のそれぞれの代替IDデータベース6には、自己および他のネットワーク装置の通常時のIDと重複しない代替IDが、あらかじめ登録されている。
<Embodiment 4>
In the first to third embodiments, the substitute ID registered in the substitute ID database 6 of each network device is an ID that is being used by another network device. However, in the fourth embodiment, the other network device is in a normal state. It is assumed that an ID that is not used (when impersonation does not occur) is registered in advance in the substitute ID database 6 as a substitute ID. That is, in the fourth embodiment, alternative IDs that do not overlap with normal IDs of the self and other network devices are registered in advance in the alternative ID database 6 of each of the plurality of network devices.

なお、なりすましが発生して、なりすましの対象となったネットワーク装置に代替IDが設定されるまでの動作(図7のステップS101〜S110)は、実施の形態1と同一である。   Note that the operation (steps S101 to S110 in FIG. 7) from when spoofing occurs until an alternative ID is set to the network device that is the target of impersonation is the same as in the first embodiment.

例えば、図3のように、ネットワークシステム101のバス102になりすましネットワーク装置117が接続され、送信側ネットワーク装置111がなりすましネットワーク装置117の存在を検知したと仮定する。この場合、送信側ネットワーク装置111においては、送信部9が受信側ネットワーク装置113,114へなりすまし発生通知を送信し、代替ID選択部7が、送信側ネットワーク装置111が使用するIDを代替IDに変更する。このときの代替IDの値は、ネットワークシステム101の他のネットワーク装置で使用されていない、例えば「121」などが選択される。   For example, as shown in FIG. 3, it is assumed that the impersonation network device 117 is connected to the bus 102 of the network system 101 and the transmission-side network device 111 detects the presence of the impersonation network device 117. In this case, in the transmission side network device 111, the transmission unit 9 transmits an impersonation occurrence notification to the reception side network devices 113 and 114, and the alternative ID selection unit 7 sets the ID used by the transmission side network device 111 as an alternative ID. change. As the alternative ID value at this time, for example, “121” or the like that is not used by another network device of the network system 101 is selected.

また、なりすまし発生通知を受信した受信側ネットワーク装置113,114でも、代替ID選択部7が、受信側ネットワーク装置113,114が使用するIDを代替IDに変更する。本実施の形態でも、送信側ネットワーク装置111と受信側ネットワーク装置113,114とでは、代替ID選択部7が代替IDを選択するロジック(ルール)は同じであり、受信側ネットワーク装置113,114にも、送信側ネットワーク装置111と同じ値の代替ID(例えば「121」)が設定される。   In the receiving side network devices 113 and 114 that have received the spoofing notification, the alternative ID selection unit 7 changes the ID used by the receiving side network devices 113 and 114 to the alternative ID. Also in this embodiment, the transmission side network device 111 and the reception side network devices 113 and 114 have the same logic (rule) for the alternative ID selection unit 7 to select an alternative ID, and the reception side network devices 113 and 114 have the same logic. Also, an alternative ID (for example, “121”) having the same value as that of the transmission-side network device 111 is set.

送信側ネットワーク装置111および受信側ネットワーク装置113,114は、代替IDを用いることにより、メッセージの送受信を継続して行うことができる。また、それらの代替IDは、送信側ネットワーク装置112および受信側ネットワーク装置115,116が使用しているIDと重複しないため、送信側ネットワーク装置112および受信側ネットワーク装置115,116も、それまでどおりメッセージの送受信を継続して行うことができる。   The transmission-side network device 111 and the reception-side network devices 113 and 114 can continuously transmit and receive messages by using the alternative ID. Further, since these alternative IDs do not overlap with the IDs used by the transmission-side network device 112 and the reception-side network devices 115 and 116, the transmission-side network device 112 and the reception-side network devices 115 and 116 are also the same as before. You can continue to send and receive messages.

なお、本発明は、その発明の範囲内において、各実施の形態を自由に組み合わせたり、各実施の形態を適宜、変形、省略することが可能である。   It should be noted that the present invention can be freely combined with each other within the scope of the invention, and each embodiment can be appropriately modified or omitted.

101 ネットワークシステム、102 バス、111〜116 ネットワーク装置、117 なりすましネットワーク装置、1 受信部、2 抽出部、3 データ演算部、4 なりすまし検出演算部、5 送信IDデータベース、6 代替IDデータベース、7 代替ID選択部、8 メッセージ作成部、9 送信部。   101 Network System, 102 Bus, 111-116 Network Device, 117 Impersonation Network Device, 1 Receiving Unit, 2 Extraction Unit, 3 Data Operation Unit, 4 Impersonation Detection Operation Unit, 5 Transmission ID Database, 6 Alternative ID Database, 7 Alternative ID Selection unit, 8 message creation unit, 9 transmission unit.

本発明の第1の態様に係るネットワークシステムは、共通の通信路に複数のネットワーク装置が接続して構成されたネットワークシステムであって、前記複数のネットワーク装置は、共通のIDを持つ1つの送信側ネットワーク装置と1つ以上の受信側ネットワーク装置との間でメッセージの送受信を行い、第1のIDを使用中の送信側ネットワーク装置は、前記第1のIDを含むメッセージを受信すると、前記第1のIDを用いるなりすましネットワーク装置が存在すると判断し、前記なりすましネットワーク装置が存在すると判断した前記送信側ネットワーク装置が、前記なりすましネットワーク装置の存在を通知するメッセージである、なりすまし発生通知を前記通信路に送信すると、それまで前記第1のIDを用いてメッセージの送受信を行っていたネットワーク装置が、前記第1のIDを用いたメッセージの送受信を停止して、前記第1のIDとは異なり他のネットワーク装置が使用中の第2のIDを選択し、それまで前記第2のIDを用いたメッセージの送受信を行っていたネットワーク装置が、前記第2のIDを用いたメッセージの送受信を停止し、その後は、前記それまで前記第1のIDを用いてメッセージの送受信を行っていたネットワーク装置が、前記第2のIDを用いてメッセージの送受信を行う。 A network system according to a first aspect of the present invention is a network system configured by connecting a plurality of network devices to a common communication path, and the plurality of network devices transmit one transmission having a common ID. When transmitting and receiving messages between the receiving network device and one or more receiving network devices and using the first ID, the transmitting network device receiving the message including the first ID receives the first ID. It is determined that there is an impersonation network device that uses the ID of 1, and the transmission-side network device that has determined that the impersonation network device exists is a message for notifying the presence of the impersonation network device. Until the message is sent using the first ID. The network device that has performed communication stops transmission / reception of a message using the first ID, and selects a second ID that is being used by another network device, unlike the first ID, The network device that has been transmitting / receiving the message using the second ID stops the transmission / reception of the message using the second ID, and thereafter the message using the first ID until then. The network device that has transmitted / received the message transmits / receives the message using the second ID.

本発明の第2の態様に係るネットワークシステムは、共通の通信路に複数のネットワーク装置が接続して構成されたネットワークシステムであって、前記複数のネットワーク装置は、共通のIDを持つ1つの送信側ネットワーク装置と1つ以上の受信側ネットワーク装置との間でメッセージの送受信を行い、第1のIDを使用中の送信側ネットワーク装置は、前記第1のIDを含むメッセージを受信すると、前記第1のIDを用いるなりすましネットワーク装置が存在すると判断し、前記なりすましネットワーク装置が存在すると判断した前記送信側ネットワーク装置が、前記なりすましネットワーク装置の存在を通知するメッセージである、なりすまし発生通知を前記通信路に送信すると、それまで前記第1のIDを用いてメッセージの送受信を行っていたネットワーク装置が、前記第1のIDを用いたメッセージの送受信を停止して、前記第1のIDとは異なり他のネットワーク装置が使用中の第2のIDを選択し、その後は、前記それまで前記第1のIDを用いてメッセージの送受信を行っていたネットワーク装置と、それまで前記第2のIDを用いたメッセージの送受信を行っていたネットワーク装置とが、前記第2のIDを用いてメッセージの送受信を交互に行う。 A network system according to a second aspect of the present invention is a network system configured by connecting a plurality of network devices to a common communication path, wherein the plurality of network devices transmit one transmission having a common ID. When transmitting and receiving messages between the receiving network device and one or more receiving network devices and using the first ID, the transmitting network device receiving the message including the first ID receives the first ID . determines that spoofing network devices exist using 1 of ID, wherein the transmitting-side network device determines that the network device exists spoofing is a message notifying the presence of the spoofing network device, the communication path occurrence notification spoofing Until the message is sent using the first ID. The network device that performed the communication stops transmission / reception of the message using the first ID, and, unlike the first ID, selects a second ID that is being used by another network device, and then The network device that has been transmitting and receiving messages using the first ID until then, and the network device that has been transmitting and receiving messages using the second ID until then are the second Messages are sent and received alternately using the ID.

本発明の第3の態様に係るネットワークシステムは、共通の通信路に複数のネットワーク装置が接続して構成されたネットワークシステムであって、前記複数のネットワーク装置は、共通のIDを持つ1つの送信側ネットワーク装置と1つ以上の受信側ネットワーク装置との間でメッセージの送受信を行い、第1のIDを使用中の送信側ネットワーク装置は、前記第1のIDを含むメッセージを受信すると、前記第1のIDを用いるなりすましネットワーク装置が存在すると判断し、前記なりすましネットワーク装置が存在すると判断した前記送信側ネットワーク装置が、前記なりすましネットワーク装置の存在を通知するメッセージである、なりすまし発生通知を前記通信路に送信すると、それまで前記第1のIDを用いてメッセージの送受信を行っていたネットワーク装置が、前記第1のIDを用いたメッセージの送受信を停止して、前記第1のIDとは異なり他のネットワーク装置が使用中の第2のIDを選択し、その後は、前記それまで前記第1のIDを用いてメッセージの送受信を行っていたネットワーク装置と、それまで前記第2のIDを用いたメッセージの送受信を行っていたネットワーク装置とが、互いに異なるデータ領域に通信内容を記述したメッセージの送受信を前記第2のIDを用いて行う。 A network system according to a third aspect of the present invention is a network system configured by connecting a plurality of network devices to a common communication path, and the plurality of network devices transmit one transmission having a common ID. When transmitting and receiving messages between the receiving network device and one or more receiving network devices and using the first ID, the transmitting network device receiving the message including the first ID receives the first ID . determines that spoofing network devices exist using 1 of ID, wherein the transmitting-side network device determines that the network device exists spoofing is a message notifying the presence of the spoofing network device, the communication path occurrence notification spoofing Until the message is sent using the first ID. The network device that performed the communication stops transmission / reception of the message using the first ID, and, unlike the first ID, selects a second ID that is being used by another network device, and then Is a data area in which the network device that has been transmitting and receiving messages using the first ID and the network device that has been transmitting and receiving messages using the second ID are different from each other. A message describing communication contents is transmitted / received using the second ID.

Claims (10)

共通の通信路に複数のネットワーク装置が接続して構成されたネットワークシステムであって、
前記複数のネットワーク装置の少なくとも1つは、自己がメッセージの送信に使用中のIDである第1のIDを含むメッセージを受信すると、前記第1のIDを用いるなりすましネットワーク装置が存在すると判断し、
前記なりすましネットワーク装置が存在すると判断したネットワーク装置が、前記なりすましネットワーク装置の存在を通知するメッセージである、なりすまし発生通知を前記通信路に送信すると、
それまで前記第1のIDを用いてメッセージの送受信を行っていたネットワーク装置が、前記第1のIDを用いたメッセージの送受信を停止して、前記第1のIDとは異なり他のネットワーク装置が使用中の第2のIDを選択し、
それまで前記第2のIDを用いたメッセージの送受信を行っていたネットワーク装置が、前記第2のIDを用いたメッセージの送受信を停止し、
その後は、前記それまで前記第1のIDを用いてメッセージの送受信を行っていたネットワーク装置が、前記第2のIDを用いてメッセージの送受信を行う、
ことを特徴とするネットワークシステム。
A network system configured by connecting a plurality of network devices to a common communication path,
When at least one of the plurality of network devices receives a message including a first ID that is an ID that is being used to transmit a message, the network device determines that there is an impersonation network device that uses the first ID;
When the network device that has determined that the impersonation network device exists is a message that notifies the presence of the impersonation network device, the impersonation occurrence notification is transmitted to the communication path.
The network device that has been transmitting and receiving messages using the first ID until then stops transmitting and receiving messages using the first ID, and other network devices are different from the first ID. Select the second ID in use,
The network device that has been sending and receiving messages using the second ID until then stops sending and receiving messages using the second ID,
Thereafter, the network device that has been transmitting and receiving messages using the first ID transmits and receives messages using the second ID,
A network system characterized by this.
共通の通信路に複数のネットワーク装置が接続して構成されたネットワークシステムであって、
前記複数のネットワーク装置の少なくとも1つは、自己がメッセージの送信に使用中のIDである第1のIDを含むメッセージを受信すると、なりすましネットワーク装置が存在すると判断し、
なりすましネットワーク装置が存在すると判断したネットワーク装置が、なりすましネットワーク装置の存在を通知するメッセージを前記通信路に送信すると、
それまで前記第1のIDを用いてメッセージの送受信を行っていたネットワーク装置が、前記第1のIDを用いたメッセージの送受信を停止して、前記第1のIDとは異なり他のネットワーク装置が使用中の第2のIDを選択し、
その後は、前記それまで前記第1のIDを用いてメッセージの送受信を行っていたネットワーク装置と、それまで前記第2のIDを用いたメッセージの送受信を行っていたネットワーク装置とが、前記第2のIDを用いてメッセージの送受信を交互に行う、
ことを特徴とするネットワークシステム。
A network system configured by connecting a plurality of network devices to a common communication path,
When at least one of the plurality of network devices receives a message including a first ID that is an ID that is being used to transmit the message, the network device determines that a spoofed network device exists;
When a network device that has determined that an impersonation network device exists transmits a message notifying the presence of an impersonation network device to the communication path,
The network device that has been transmitting and receiving messages using the first ID until then stops transmitting and receiving messages using the first ID, and other network devices are different from the first ID. Select the second ID in use,
Thereafter, the network device that has been transmitting and receiving messages using the first ID until then, and the network device that has been transmitting and receiving messages using the second ID until then are the second Alternately send and receive messages using the ID of
A network system characterized by this.
共通の通信路に複数のネットワーク装置が接続して構成されたネットワークシステムであって、
前記複数のネットワーク装置の少なくとも1つは、自己がメッセージの送信に使用中のIDである第1のIDを含むメッセージを受信すると、なりすましネットワーク装置が存在すると判断し、
なりすましネットワーク装置が存在すると判断したネットワーク装置が、なりすましネットワーク装置の存在を通知するメッセージを前記通信路に送信すると、
それまで前記第1のIDを用いてメッセージの送受信を行っていたネットワーク装置が、前記第1のIDを用いたメッセージの送受信を停止して、前記第1のIDとは異なり他のネットワーク装置が使用中の第2のIDを選択し、
その後は、前記それまで前記第1のIDを用いてメッセージの送受信を行っていたネットワーク装置と、それまで前記第2のIDを用いたメッセージの送受信を行っていたネットワーク装置とが、互いに異なるデータ領域に通信内容を記述したメッセージの送受信を前記第2のIDを用いて行う、
ことを特徴とするネットワークシステム。
A network system configured by connecting a plurality of network devices to a common communication path,
When at least one of the plurality of network devices receives a message including a first ID that is an ID that is being used to transmit the message, the network device determines that a spoofed network device exists;
When the network device that has determined that there is an impersonation network device transmits a message notifying the presence of the impersonation network device to the communication path,
The network device that has been transmitting and receiving messages using the first ID until then stops transmitting and receiving messages using the first ID, and other network devices are different from the first ID. Select the second ID in use,
Thereafter, the network device that has been transmitting and receiving messages using the first ID and the network device that has been transmitting and receiving messages using the second ID until then are different from each other. Using the second ID to transmit and receive a message describing communication contents in the area;
A network system characterized by this.
共通の通信路に複数のネットワーク装置が接続して構成されたネットワークシステムであって、
前記複数のネットワーク装置の少なくとも1つは、自己がメッセージの送信に使用中のIDである第1のIDを含むメッセージを受信すると、なりすましネットワーク装置が存在すると判断し、
なりすましネットワーク装置が存在すると判断したネットワーク装置が、なりすましネットワーク装置の存在を通知するメッセージを前記通信路に送信すると、
それまで前記第1のIDを用いてメッセージの送受信を行っていたネットワーク装置が、前記第1のIDを用いたメッセージの送受信を停止して、前記第1のIDとは異なり他のネットワーク装置が使用していない第2のIDを選択し、その後は、前記第2のIDを用いてメッセージの送受信を行う、
ことを特徴とするネットワークシステム。
A network system configured by connecting a plurality of network devices to a common communication path,
When at least one of the plurality of network devices receives a message including a first ID that is an ID that is being used to transmit the message, the network device determines that a spoofed network device exists;
When the network device that has determined that there is an impersonation network device transmits a message notifying the presence of the impersonation network device to the communication path,
The network device that has been transmitting and receiving messages using the first ID until then stops transmitting and receiving messages using the first ID, and other network devices are different from the first ID. Select a second ID that is not in use, and then send and receive messages using the second ID.
A network system characterized by this.
メッセージの送受信に用いる各IDの優先度が規定されており、
前記第2のIDは、前記第1のIDよりも優先度が高いものである
請求項1から請求項4のいずれか一項に記載のネットワークシステム。
The priority of each ID used for sending and receiving messages is specified,
The network system according to claim 1, wherein the second ID has a higher priority than the first ID.
メッセージの送受信に用いる各IDの優先度が規定されており、
前記複数のネットワーク装置の各々は、前記第2のIDの候補を1つ以上記憶しており、前記第2のIDの候補のうちから最も優先度の高いものを選択する
請求項1から請求項4のいずれか一項に記載のネットワークシステム。
The priority of each ID used for sending and receiving messages is specified,
Each of the plurality of network devices stores one or more candidates for the second ID, and selects the one with the highest priority from the candidates for the second ID. 5. The network system according to any one of 4.
前記なりすまし発生通知を送信したネットワーク装置、または、前記なりすまし発生通知を受信したネットワーク装置が、ユーザに対してなりすまし装置の存在を示す警告を行う
請求項1から請求項6のいずれか一項に記載のネットワークシステム。
The network device that has transmitted the impersonation occurrence notification or the network device that has received the impersonation occurrence notification issues a warning indicating the presence of the impersonation device to the user. Network system.
前記なりすまし発生通知を送信したネットワーク装置、および、前記なりすまし発生通知を受信したネットワーク装置が、自己の機能を制限した動作を行う
請求項2または請求項3に記載のネットワークシステム。
4. The network system according to claim 2, wherein the network device that has transmitted the impersonation occurrence notification and the network device that has received the impersonation occurrence notification perform an operation that restricts its function.
前記なりすまし発生通知を送信したネットワーク装置、または、前記なりすまし発生通知を受信したネットワーク装置が、前記なりすましネットワーク装置が存在することを示すログを記録する
請求項1から請求項8のいずれか一項に記載のネットワークシステム。
The network device that has transmitted the spoofing occurrence notification or the network device that has received the impersonation occurrence notification records a log indicating that the spoofing network device is present. The network system described.
前記なりすましネットワーク装置が検出されてから一定時間が経過した後、
前記なりすましネットワーク装置が検出されなくなれば、前記複数のネットワーク装置は、自己がメッセージの送受信に用いるIDを、前記なりすましネットワーク装置が検出される前の状態に戻す
請求項1から請求項9のいずれか一項に記載のネットワークシステム。
After a certain period of time has elapsed since the impersonation network device was detected,
The network device according to any one of claims 1 to 9, wherein when the spoofing network device is no longer detected, the plurality of network devices restores an ID used for transmission / reception of a message to a state before the spoofing network device is detected. The network system according to one item.
JP2016084963A 2016-04-21 2016-04-21 Network system Active JP6223498B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016084963A JP6223498B2 (en) 2016-04-21 2016-04-21 Network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016084963A JP6223498B2 (en) 2016-04-21 2016-04-21 Network system

Publications (2)

Publication Number Publication Date
JP2017195524A true JP2017195524A (en) 2017-10-26
JP6223498B2 JP6223498B2 (en) 2017-11-01

Family

ID=60155091

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016084963A Active JP6223498B2 (en) 2016-04-21 2016-04-21 Network system

Country Status (1)

Country Link
JP (1) JP6223498B2 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019225259A1 (en) * 2018-05-23 2019-11-28 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Communication control device, unauthorized access-detecting electronic control unit, mobility network system, communication control method, unauthorized access detection method and program
WO2019225257A1 (en) * 2018-05-23 2019-11-28 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Abnormality detection device, abnormality detection method, and program
WO2020022327A1 (en) * 2018-07-27 2020-01-30 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Fraud handling method and fraud handling device

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013171829A1 (en) * 2012-05-14 2013-11-21 トヨタ自動車 株式会社 Vehicle-specific network communication management device and communication management method
JP2014011621A (en) * 2012-06-29 2014-01-20 Toyota Motor Corp Communication system
JP2014226946A (en) * 2013-05-17 2014-12-08 トヨタ自動車株式会社 Abnormality response system and abnormality response method for vehicular communication device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013171829A1 (en) * 2012-05-14 2013-11-21 トヨタ自動車 株式会社 Vehicle-specific network communication management device and communication management method
JP2014011621A (en) * 2012-06-29 2014-01-20 Toyota Motor Corp Communication system
JP2014226946A (en) * 2013-05-17 2014-12-08 トヨタ自動車株式会社 Abnormality response system and abnormality response method for vehicular communication device

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110771099B (en) * 2018-05-23 2022-08-26 松下电器(美国)知识产权公司 Abnormality detection device, abnormality detection method, and recording medium
JPWO2019225257A1 (en) * 2018-05-23 2021-04-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Anomaly detection device, anomaly detection method and program
JP7362856B2 (en) 2018-05-23 2023-10-17 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Electronic control unit, method and program
CN111434077B (en) * 2018-05-23 2023-02-24 松下电器(美国)知识产权公司 Communication control device, mobile network system, communication control method, and storage medium
CN110771099A (en) * 2018-05-23 2020-02-07 松下电器(美国)知识产权公司 Abnormality detection device, abnormality detection method, and program
CN111434077A (en) * 2018-05-23 2020-07-17 松下电器(美国)知识产权公司 Communication control device, fraud detection electronic control unit, mobile network system, communication control method, fraud detection method, and program
WO2019225257A1 (en) * 2018-05-23 2019-11-28 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Abnormality detection device, abnormality detection method, and program
JP7121737B2 (en) 2018-05-23 2022-08-18 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Anomaly detection device, anomaly detection method and program
JP2022140785A (en) * 2018-05-23 2022-09-27 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Electronic control unit, method, and program
WO2019225259A1 (en) * 2018-05-23 2019-11-28 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Communication control device, unauthorized access-detecting electronic control unit, mobility network system, communication control method, unauthorized access detection method and program
JPWO2020022327A1 (en) * 2018-07-27 2021-08-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Fraud handling method and fraud handling device
WO2020021715A1 (en) * 2018-07-27 2020-01-30 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Fraud countermeasure method, fraud countermeasure device and communication system
WO2020022327A1 (en) * 2018-07-27 2020-01-30 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Fraud handling method and fraud handling device
JP7362613B2 (en) 2018-07-27 2023-10-17 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Fraud countermeasure method and fraud countermeasure device

Also Published As

Publication number Publication date
JP6223498B2 (en) 2017-11-01

Similar Documents

Publication Publication Date Title
US10902109B2 (en) Misuse detection method, misuse detection electronic control unit, and misuse detection system
CN105981336B (en) Abnormality detection electronic control unit, vehicle-mounted network system, and abnormality detection method
US10693905B2 (en) Invalidity detection electronic control unit, in-vehicle network system, and communication method
JP7231559B2 (en) Anomaly detection electronic control unit, in-vehicle network system and anomaly detection method
US10454957B2 (en) Method for preventing electronic control unit from executing process based on malicious frame transmitted to bus
US9705699B2 (en) Method and apparatus for reducing load in can communication
JP6585019B2 (en) Network monitoring device, network system and program
KR101956940B1 (en) Method and device for serial data transmission which is adapted to memory sizes
JP7182559B2 (en) Log output method, log output device and program
US11843477B2 (en) Anomaly determination method, anomaly determination device, and recording medium
CN111434077B (en) Communication control device, mobile network system, communication control method, and storage medium
CN112347021B (en) Security module for serial communication device
JP2019008618A (en) Information processing apparatus, information processing method, and program
JP6223498B2 (en) Network system
US20140107863A1 (en) Vehicle Control Device, Vehicle Control System
KR101714526B1 (en) Method and apparatus for protecting hacking in vehicle network
CN108632242B (en) Communication device and receiving device
CN112533173B (en) Method for ensuring data integrity to ensure operation safety and device for vehicle-to-external information interaction
JP2009267853A (en) Communication system and communication method
KR20180058537A (en) Method and Apparatus for Providing In-Vehicle Communication Security
JP2020039177A (en) Fraud detection electronic control uni, in-vehicle network system, and fraud detection method
JP4959484B2 (en) Relay connection unit
CN113348124A (en) Authentication method, authentication system, and authentication device
CN117749555A (en) Controller area network system and method for the same
WO2017056395A1 (en) Illegality detection electronic control unit, vehicle onboard network system, and communication method

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170724

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170905

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171003

R150 Certificate of patent or registration of utility model

Ref document number: 6223498

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250