JP2018117254A - 監視装置、監視方法およびコンピュータプログラム - Google Patents
監視装置、監視方法およびコンピュータプログラム Download PDFInfo
- Publication number
- JP2018117254A JP2018117254A JP2017007043A JP2017007043A JP2018117254A JP 2018117254 A JP2018117254 A JP 2018117254A JP 2017007043 A JP2017007043 A JP 2017007043A JP 2017007043 A JP2017007043 A JP 2017007043A JP 2018117254 A JP2018117254 A JP 2018117254A
- Authority
- JP
- Japan
- Prior art keywords
- frame
- determination
- determined
- target frame
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 44
- 238000012544 monitoring process Methods 0.000 title claims description 33
- 238000012806 monitoring device Methods 0.000 title claims description 21
- 238000004590 computer program Methods 0.000 title claims description 13
- 238000012545 processing Methods 0.000 claims abstract description 43
- 230000005540 biological transmission Effects 0.000 claims abstract description 36
- 238000004891 communication Methods 0.000 claims abstract description 25
- 230000008569 process Effects 0.000 claims description 33
- 238000012795 verification Methods 0.000 description 98
- 208000033126 Colobomatous microphthalmia Diseases 0.000 description 80
- 208000034367 isolated with coloboma microphthalmia Diseases 0.000 description 80
- 230000006399 behavior Effects 0.000 description 79
- 238000012986 modification Methods 0.000 description 21
- 230000004048 modification Effects 0.000 description 21
- 238000001514 detection method Methods 0.000 description 19
- 230000006870 function Effects 0.000 description 17
- 238000010586 diagram Methods 0.000 description 5
- 238000006243 chemical reaction Methods 0.000 description 4
- 239000000470 constituent Substances 0.000 description 3
- 230000001186 cumulative effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000006872 improvement Effects 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 229940004975 interceptor Drugs 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000008672 reprogramming Effects 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
【課題】通信システムのセキュリティを向上させる。【解決手段】CGW20は、第1判定として、CAN24から取得されたフレームに対するメッセージ認証の結果に基づいて、当該フレームが不正かを判定する。CGW20は、第2判定として、CAN24から取得されたフレームの態様と予め定められたルールとに基づいて、当該フレームが不正かを判定する。CGW20は、第1判定結果と第2判定結果の組み合わせに応じて、CAN24から取得されたフレームに関する不正対策処理と、フレームの送信元装置に関する不正対策処理の少なくとも一方を実行する。【選択図】図1
Description
本発明はデータ処理技術に関し、特に監視装置、監視方法およびコンピュータプログラムに関する。
近年、自動車には、多数の電子制御ユニット(Electronic Control Unit、以下「ECU」と呼ぶ。)が搭載されている。これらのECUを繋ぐネットワークは車載ネットワークと呼ばれる。車載ネットワークには多数の規格が存在するが、広く普及した規格としてCAN(Controller Area Network)がある。
自動車の電動化に伴い、車載ネットワーク経由でステアリング等のアクチュエータを制御することが可能である。一方で、車載ネットワークで不正コマンドが伝送されることによるアクチュエータの不正操作等を防止するため、メッセージ認証コード(Message Authentication Code、以下「MAC」と呼ぶ。)を用いたメッセージ認証が実行されることがある(例えば特許文献1参照)。
しかし、メッセージ認証を実行する場合も、MACの鍵が漏洩するリスクがあり、また、MAC対応のECUごと不正者に乗っ取られるリスクもある。本発明者は、通信システムにおけるセキュリティの一層の向上が必要であると考えた。
本願発明は上記課題に鑑みたもので、1つの目的は、通信システムのセキュリティを向上させることである。
上記課題を解決するために、本発明のある態様の監視装置は、通信網からフレームを受信する受信部と、フレームに対するメッセージ認証の結果に基づいてフレームが不正かを判定する第1判定と、フレームの態様と予め定められたルールとに基づいてフレームが不正かを判定する第2判定とを行い、第1判定の結果と第2判定の結果との組み合わせに応じて、フレームに関する処理とフレームの送信元装置に関する処理の少なくとも一方を実行する処理部と、を備える。
本発明の別の態様は、監視方法である。この方法は、通信網からフレームを受信し、受信されたフレームに対するメッセージ認証の結果に基づいてフレームが不正かを判定する第1判定と、受信されたフレームの態様と予め定められたルールとに基づいてフレームが不正かを判定する第2判定と、を行い、第1判定の結果と第2判定の結果との組み合わせに応じて、受信されたフレームに関する処理と受信されたフレームの送信元装置に関する処理の少なくとも一方を実行する、ことをコンピュータが実行する。
なお、以上の構成要素の任意の組合せ、本発明の表現を、コンピュータプログラム、コンピュータプログラムを記録した記録媒体、本装置を搭載した車両などの間で変換したものもまた、本発明の態様として有効である。
本発明によれば、通信システムのセキュリティを向上させることができる。
実施例の詳細な構成を説明する前にまず概要を述べる。実施例の車載ネットワークシステムでは、MACを用いたメッセージ認証(以下「MAC検証」とも呼ぶ。)と、車載ネットワークを流れるフレーム(言い換えればコマンド)に対する振る舞い検証を併用する。振る舞い検証は、振る舞い検知技術と言え、侵入検知技術とも言える。振る舞い検証には、例えば「特開2014−146868号公報」に記載された技術を適用してもよい。実施例の車載ネットワークシステムでは、MAC検証の結果と、振る舞い検証の結果の両方を総合的に判断して、不正対策アクション(言い換えれば防御アクション)を実行する。
図1は、実施例の車載ネットワークシステムの構成を示す。実施例の車載ネットワークシステム12は、車両10に構築された通信システムであり、車載ネットワークにおける不正検知システムとしての機能を備える。車載ネットワークシステム12は、ECU14で総称されるECU14a、ECU14b、ECU14c、ECU14d、IVI装置16、OBDアダプタ18、CGW20、CMI22を備える。これらの装置はCAN24を介して接続される。
複数のECU14のそれぞれは、不図示のセンサまたはアクチュエータに接続され、センサによる検知内容を示すフレームをCAN24へ送信し、または、CAN24から受信したフレームが示すコマンドに基づいてアクチュエータを制御する。CAN24の複数のバスのうちパワートレインバス26aに接続されるECU14aは、例えばエンジンECUである。また、運転支援バス26bに接続されるECU14bは、例えばステアリングECUである。また、シャーシバス26cに接続されるECU14cは、例えばサスペンションECUである。また、ボディバス26dに接続されるECU14dは、例えばパワーウィンドウECUである。
IVI(In-Vehicle Infotainment)装置16は、様々な情報を乗員へ提示する情報機器であり、例えばカーナビゲーション装置である。IVI装置16は、車両10外部の通信網(インターネット等)である外部通信網28と接続される。車両10は、外部通信網28を介してルール生成装置29と接続される。ルール生成装置29は、後述の振る舞いルールを生成するサーバである。OBDアダプタ18は、CAN24を流れる様々な情報、例えば車両10の動作状態を示す情報を外部装置へ出力するアダプタである。IVI装置16およびOBDアダプタ18は、CAN24の複数のバスのうち外部バス26eに接続される。外部バス26eは、ECU14以外の装置から送信されたフレームが流れるバスである。外部バス26eを流れるフレームは、例えば、外部通信網28側の装置から送信されたフレーム、および、OBDアダプタ18に接続された装置から送信されたフレームを含む。
CGW(Central GateWay)20は、CAN24の複数のバスに接続され、バス間でのフレームの中継処理およびルーティング処理を実行するゲートウェイECUである。CMI(Centralized Monitoring and Interceptor)22は、CAN24の複数のバスに接続され、各バスを流れるフレームを監視するECUである。変形例として、CMI22がCAN24に非接続の構成であってもよく、言い換えれば、車載ネットワークシステム12は、CMI22を備えなくてもよい。
実施例では、MACを用いたメッセージ認証に対応する複数の装置に監視モジュールが導入される。具体的には、CGW20と一部のECU14に監視モジュールが導入される。監視モジュールが導入されたCGW20とECU14は、CAN24を流れる不正フレーム(言い換えれば不正コマンド)を監視し、不正対策を実行する監視装置として機能する。変形例として、(1)CGW20にのみ監視モジュールを導入する構成でもよく、(2)CMI22にのみ監視モジュールを導入する構成でもよく、(3)MACを用いたメッセージ認証に対応するECU14にのみ監視モジュールを導入する構成でもよい。
図2は、図1のCGW20の機能構成を示すブロック図である。CGW20は、フレーム受信部30、フレーム送信部32、MAC検証部34、振る舞い検証部36、不正対策部38を備える。なお、図1のCMI22が監視モジュールを備える場合、CMI22の機能構成は図2と同様になる。また、MAC検証部34、振る舞い検証部36、不正対策部38を含めて、監視モジュールとして1つの処理部を構成してもよい。
本明細書のブロック図において示される各ブロックは、ハードウェア的には、コンピュータのCPU・メモリをはじめとする素子や機械装置で実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現できることは、当業者には理解されるところである。例えば、図2の各ブロックに対応するモジュールを含むコンピュータプログラムがCGW20のメモリに格納されてもよい。CGW20のCPUは、そのコンピュータプログラムを適宜読み出して実行することにより、各ブロックの機能を発揮してもよい。
フレーム受信部30は、CAN24の各バスからフレームを受信する。フレーム受信部30は、受信したフレームのデータを、当該フレームを受信したバスの識別情報とともにMAC検証部34、振る舞い検証部36を経て、不正対策部38へ入力する。フレーム送信部32は、CAN24の各バスへフレームを送信する。例えば、フレーム送信部32は、あるバスから受信したフレームを、そのバスを除く他のバスへ転送する。
MAC検証部34は、フレーム受信部30により受信されたフレーム(以下「対象フレーム」とも呼ぶ。)に対するメッセージ認証を実行する。例えば、MAC検証部34は、予め定められたメッセージ認証用の共通鍵(以下「MAC鍵」と呼ぶ。)に基づいてMACを生成する。MAC検証部34は、生成したMACと、予め送信元装置(例えばECU14)が対象フレームに付加したMACとを比較する。MAC検証部34は、両者のMACが一致する場合、メッセージ認証に成功したと判定し、両者のMACが不一致の場合、メッセージ認証に失敗したと判定する。MAC検証部34は、メッセージ認証に成功した場合、対象フレームを正当と判定し、メッセージ認証に失敗した場合、対象フレームを不正と判定する。
振る舞い検証部36は、振る舞い検証処理として、対象フレームの態様と予め定められた振る舞いルールとに基づいて、対象フレームが不正か否かを判定する。振る舞い検証部36は、ルール生成装置29から提供された振る舞いルールを所定の記憶領域に保持する。振る舞いルールは、フレーム(言い換えればメッセージ)のフォーマットに関する規定を含む。フォーマットに関する規定は、具体的には、ID・DLC(データ長コード)・ペイロード等における固定値の規定を含む。例えば、振る舞いルールは、フレームの所定位置に特定の固定値が設定されることを規定してもよい。
また、振る舞いルールは、フレームの振る舞いに関する規定を含む。振る舞いに関する規定は、具体的には、周期・頻度・ペイロードに関する可変値の規定を含む。例えば、振る舞いルールは、複数のID(フレームIDとも言え、CAN−IDとも言える)のそれぞれについて、前回のフレーム受信から今回のフレーム受信までの時間間隔の範囲または差分の規定を含んでもよい。また、振る舞いルールは、フレームIDごとに、ペイロードの所定位置に設定されたデータ項目、または、ペイロード内の所定名称のデータ項目について、前回受信したフレームからの差分の制限(許容する範囲等)を含んでもよい。
なお、振る舞いルールは、ブラックリストとホワイトリストのいずれも含みうる。振る舞い検証部36は、対象フレームがブラックリストとしてのルールを充足する場合、対象フレームを不正と判定する。また、振る舞い検証部36は、対象フレームがホワイトリストとしてのルールから逸脱する場合、対象フレームを不正と判定する。
不正対策部38は、MAC検証部34による不正判定結果と、振る舞い検証部36による不正判定結果との組み合わせに応じて、対象フレームに関する処理(「コマンド対策」とも呼ぶ。)と、フレームの送信元装置に関する処理(「ECU対策」とも呼ぶ。)の少なくとも一方を実行する。なお、不正対策部38は、MAC検証と振る舞い検証の両方で対象フレームが正当と判定された場合、対象フレームをフレーム送信部32に渡してCAN24へ送信させる。
不正対策部38は、無効化部40、受信フレーム記憶部42、ログ保存部44、ルール更新部46、構成情報記憶部48、対象検出部50、プログラム更新部52、鍵更新部54を含む。
無効化部40は、対象フレームの無効化処理として、CAN24のバス上に存在する対象フレームを消去する処理を実行する。具体的には、無効化部40は、対象フレームに対するエラーフレームを生成し、フレーム送信部32からCAN24へエラーフレームを出力させる。これにより、CAN24上の他の装置(ECU14等)における対象フレームも無効にする。フレームの無効化処理には、非特許文献「T. Matsumoto, M. Hata, M. Tanabe, K. Yoshioka, and K. Oishi, "A Method of Preventing Unauthorized Data Transmission in Controller Area Network,"Vehiclular Technology Conference, 2012.」に記載の技術を適用してもよい。実施例のCGW20は、不正なフレームに対して無効化処理を実行するが、後述のECU14と同様に、不正なフレームに対して破棄処理(言い換えればフィルタ処理)を実行してもよい。
受信フレーム記憶部42は、フレーム受信部30により受信された複数のフレームを所定の記憶領域に記憶させ、蓄積する。受信フレーム記憶部42は、受信されてから所定時間(30分等)が経過したフレームを記憶領域から順次消去しても良い。受信フレーム記憶部42は、フレームのデータと、そのフレームに対するMAC検証部34による判定結果と振る舞い検証部36による判定結果を対応付けて蓄積してもよい。
ログ保存部44は、MAC検証部34により対象フレームが不正と判定され、振る舞い検証部36により対象フレームが正当と判定された場合に、少なくとも対象フレームに関するログデータを保存する。そして、オフライン上で(例えばディーラーでのメンテナンスにおいて)、保存されたログデータを収集し、上記判定結果をルール生成装置29へ送信する。これにより、ルール生成装置29は、振る舞い検証において対象フレームが不正と判断されるように、振る舞いルールを更新する。具体的には、ログ保存部44は、受信フレーム記憶部42に保持されたフレームのうち対象フレームとIDが一致する過去のフレームと、対象フレームとを含むルール更新指示データをログデータとして保存する。例えば、対象フレームと過去のフレームはともに、ステアリングの制御コマンドを指定し、かつ、ステアリングの回動角度を指定するものであってもよい。
過去のフレームは、MAC検証部34による判定結果と振る舞い検証部36による判定結果の組み合わせが対象フレームとは異なるフレームであってもよい。そのため、過去のフレームを含めてルール生成装置29へ提供することにより、ルール生成装置29による振る舞いルール更新を支援できる。また、ログ保存部44は、過去のフレームと対象フレームそれぞれの、MAC検証部34による判定結果と振る舞い検証部36による判定結果を、ログデータとしてルール更新指示データに含めてもよい。また、対象フレームより後に受信されたフレームのうち対象フレームとIDが一致するフレームをルール更新データに含めてもよい。
ルール生成装置29は、生成または更新した振る舞いルールを外部通信網28を介して車両10へ配信する。ルール更新部46は、ルール生成装置29から提供された振る舞いルールをCAN24を介して取得する。そしてルール更新部46は、取得した振る舞いルールを振る舞い検証部36に渡し、振る舞い検証部36が保持する振る舞いルールを更新させる。
構成情報記憶部48は、CAN24の様々な構成要素に関する属性情報(ここでは「構成情報」と呼ぶ。)を記憶する。実施例の構成情報は、複数のECU14のそれぞれが接続されたバスの識別情報と、複数のECU14のそれぞれが送信するフレームのIDとを含む。
対象検出部50は、複数のECU14から送信された複数のフレームにおける不正有無に基づいて、複数のECU14の中から不正対策の対象となるECU(以下「対象ECU」と呼ぶ。)を検出する。対象検出部50は、各ECU14から送信されたフレームの不正率または不正回数に基づいて、対象ECUを検出してもよい。対象ECUは、不正なECUともいえ、不正者により乗っ取られたECUとも言える。
実施例の対象検出部50は、MAC検証と振る舞い検証の少なくとも一方で不正と判定されたフレームについて、IDごとの不正判定回数を蓄積する。対象検出部50は、不正判定回数が予め定められた閾値(例えば5回)以上になったIDを検出し、構成情報記憶部48を参照して、そのIDのフレームを送信するECU14を対象ECUとして検出する。
以下、ECU対策のための4種類の構成を説明するが、実際にはいずれか1つの対策が実行されてもよく、2つ以上の対策の組み合わせが実行されてもよい。
(1)無効化部40は、構成情報記憶部48を参照して、対象ECUから送信されうる全てのIDのフレームを無効化する処理を実行する。(2)無効化部40は、構成情報記憶部48を参照して、対象ECUが接続されたCAN24のバスを識別し、識別したバスからフレーム受信部30が受信した全てのフレームを無効化する処理を実行する。
(3)プログラム更新部52は、対象ECUのROMに格納されたコンピュータプログラムを更新させるための処理(すなわちリプログラミング)を実行する。例えば、CGW20は、個々のECU14ごとの正規のプログラムを予め保持し、プログラム更新部52は、対象ECU用の正規のプログラムを、対象ECUのROMに上書き保存してもよい。また、プログラム更新部52は、対象ECU用の正規のプログラムを、外部通信網28を介して外部のサーバから取得し、対象ECUのROMに上書き保存してもよい。
(4)鍵更新部54は、複数のECU14に亘り使用される共通鍵であるMAC鍵を更新する。鍵更新部54は、更新したMAC鍵を複数のECU14へ配布する。後述するように、MAC検証の結果と振る舞い検証の結果の組み合わせに応じて、鍵更新部54は、全てのECU14へ更新したMAC鍵を送信して、全てのECU14が使用するMAC鍵を変更させる。または、鍵更新部54は、対象ECUを除く残りのECU14へ更新したMAC鍵を送信して、対象ECU以外のECU14が使用するMAC鍵を変更させる。なお、鍵更新部54は、予め定められたEUCごとに異なる鍵(MAC鍵とは異なる鍵)を使用して暗号化したMAC鍵を各ECUへ配布してもよい。
実施例では、鍵更新部54は、MAC検証部34により対象フレームが正当と判定され、振る舞い検証部36により対象フレームが不正と判定された場合であり、かつ、対象フレームが、ECU14以外から送信されたフレームが流れるバス(実施例では外部バス26e)から受信されたものであるとき、全てのECU14が使用するMAC鍵を更新する。この判定の場合、MAC検証は成功したため、MAC鍵が漏洩している可能性がある。また、不正フレームは外部から注入されたものである。そこで、全てのECU14が使用するMAC鍵を更新することで、MAC鍵の漏洩リスクを解消し、セキュリティを向上させる。
その一方、不正フレームが外部バス26e以外のバス(パワートレインバス26a等)から受信された場合、対象ECUが不正者により乗っ取られ、さらにMAC鍵を不正者が使用可能である状況が想定される。そこで、不正フレームが外部バス26e以外のバスから受信された場合、鍵更新部54は、対象ECU以外のECU14が使用するMAC鍵を更新する。
図3は、図1のECU14の機能構成を示すブロック図である。図3では、図1の複数のECU14のうちMACを用いたメッセージ認証に対応するECU14の機能構成を示している。また、図3では、図2で説明したCGW20の機能ブロックと同一または対応する機能ブロックに同一の符号を付している。以下、図2に関連して説明済みの内容は適宜省略する。
ECU14は、フレーム受信部30、フレーム送信部32、MAC検証部34、振る舞い検証部36、不正対策部38、コマンド実行部56、フレーム生成部58を備える。コマンド実行部56は、フレームで指定されたコマンドを実行する。例えば、コマンド実行部56は、自ECUに接続されたアクチュエータをコマンドにしたがって制御する。フレーム生成部58は、外部装置(例えば他のECU14)に対するコマンドを指定したフレームを生成し、生成したフレームをフレーム送信部32に渡して送信させる。
ECU14の不正対策部38は、受信フレーム記憶部42、ログ保存部44、ルール更新部46、構成情報記憶部48、対象検出部50、プログラム更新部52、鍵更新部54、フィルタ部60、モード切替部62を含む。フィルタ部60は、CGW20における無効化部40に対応し、ECU14のコマンド対策を実行する。具体的には、フィルタ部60は、不正と判定された対象フレームを破棄し、言い換えれば、対象フレームで指定されたコマンドを破棄する。例えば、フィルタ部60は、対象フレームのデータをECU14内部のメモリ(不図示)から消去してもよい。
また、ECU14は、既述したECU対策を実行する。ただし、実施例のCGW20におけるECU対策(1)(2)ではフレームの無効化処理を実行したが、ECU14におけるECU対策(1)(2)ではフレームの廃棄処理、言い換えればフィルタ処理を実行する。ECU対策(3)(4)はCGW20と同様である。
モード切替部62は、CGW20を経由して伝送されたフレームが振る舞い検証で不正と判定された場合、複数のバスに接続して車載ネットワークの要であるCGW20のセキュリティ機能が突破されている状態であると判断し、車両10の自動運転のモードをフェイルセーフモードへ切り替える。例えば、モード切替部62は、構成情報記憶部48を参照して、不正と判定された対象フレームのIDに基づいて送信元のECU14を特定してもよい。そして、送信元のECU14が、自ECUが接続されたバスとは異なるバスに接続されたものである場合に、モード切替部62は、対象フレームがCGW20により中継されたと判定してもよい。また、フェイルセーフモードは、自動運転制御(言い換えれば電動による運転支援処理)をオフにした状態であってもよい。
CGW20を経由して伝送されたフレームが不正であることは、CGW20が不正者に乗っ取られた可能性が高いことを意味する。CAN24におけるCGW20は、複数のECU14間の通信の基盤であり、CGW20が乗っ取られたことはセキュリティ上、重大な問題である。そこで、実施例のモード切替部62は、CGW20を経由して伝送されたフレームが不正である場合に自動運転をフェイルセーフモードへ移行させることで、車両運転の安全性を一層高める。なお、CMI22に監視モジュールが導入される場合、CMI22は、モード切替部62を備えてもよい。
変形例として、CGW20を経由して伝送されたフレームが不正である場合に限らず、車載ネットワークシステム12のセキュリティの根幹装置から送信されたフレームが不正である場合に、モード切替部62は、車両10の自動運転のモードをフェイルセーフモードへ切り替えてもよい。セキュリティの根幹装置は、例えば、個々のECU14ごとの鍵を保持し、ECUごとの鍵で暗号化したMAC鍵を各ECU14へ配布する装置(CGW20、ECU14等)が該当する。モード切替部62は、構成情報記憶部48を参照して、不正と判定された対象フレームのIDに基づいて、対象フレームの送信元がセキュリティの根幹装置かを判定してもよい。
図4は、不正検出パターン別の不正対策を示す。ここでは、監視モジュールが導入されうる装置(ECU14、CGW20、CMI22)を総称して「監視装置」と呼ぶ。図4のコマンド対策欄では、監視装置がECU14、CGW20、CMI22の場合の処理をそれぞれ示している。
MAC検証で対象フレームが正当と判定され、振る舞い検証で対象フレームが不正と判定された場合(パターン1およびパターン5)、または、MAC検証で対象フレームが不正と判定され、振る舞い検証で対象フレームが不正と判定された場合(パターン2)、監視装置の不正対策部38は、コマンド対策として、対象フレームを破棄または無効化する。なお、パターン2において、ECU14でのコマンド対策が「なし」であるのは、メッセージ認証に対応するECU14では、通常、MAC検証のNGに伴いエラー処理が実行されるからである。また、パターン2において、CGW20のコマンド対策が無効化であるのは、DoS攻撃(Denial of Service attack)への対策として有効だからである。
パターン1およびパターン2の場合、不正対策部38は、4種類のEUC対策のうち1つまたは複数を実行する。パターン5の場合、不正対策部38は、EUC対策として、全てのECU14のMAC鍵を更新する。
MAC検証で対象フレームが不正と判定され、振る舞い検証で対象フレームが正当と判定された場合(パターン6)、監視装置の不正対策部38は、対象フレームとその前後のフレームを含むルール更新指示データをログデータとして保存することにより、ルール生成装置29に対象フレームとその前後のフレームに基づいて振る舞いルールを更新させる。例えば、ルール生成装置29は、監視装置が再度対象フレームを受け付けた場合、振る舞い検証において不正を検出するように振る舞いルールを更新する。
図4のパターン3とパターン4は、MACを用いたメッセージ認証に対応しないECU14から送信されたフレームが不正であるパターンである。すなわち、フレームにMACが付加されないためMAC検証はできず、振る舞い検証にて不正が検出されたパターンである。なお、パターン3は、不正と判定された対象フレームがECU14から送信されたパターンであり、パターン4は、不正と判定された対象フレームが外部から注入された(言い換えれば外部バス26eから受信された)パターンである。
パターン3とパターン4のいずれでも、監視装置の不正対策部38は、コマンド対策として、対象フレームを破棄または無効化する。パターン4は、不正フレームが外部注入された状況であり、MAC鍵の漏洩はないため、ECU対策は実行しない。その一方、パターン3では対象ECUが乗っ取られた可能性が高いため、不正対策部38は、パターン1等と同様のECU対策を実行する。
以上の構成による車載ネットワークシステム12の動作を説明する。図5は、図1のCGW20の動作を示すフローチャートである。フレーム受信部30は、CAN24からフレームを受信する(S10)。MAC検証部34は、受信された対象フレームに対するMAC検証を実行して、対象フレームが正当か不正かを判定する(S12)。振る舞い検証部36は、受信された対象フレームに対する振る舞い検証を実行して、対象フレームが正当か不正かを判定する(S14)。なお、S12とS14の実行順序に制限はなく、並行して実行してもよい。
MAC検証と振る舞い検証の両方で対象フレームが正当と判定された場合(S16のY)、不正対策部38は、対象フレームをフレーム送信部32に渡し、フレーム送信部32は、フレームID、転送元バス、転送先バスを対応付けたルーティングテーブルにしたがって、対象フレームを転送する(S18)。MAC検証で対象フレームが不正と判定され、振る舞い検証で対象フレームが正当と判定された場合(S16のN、S20のY)、不正対策部38は、ルール生成装置29に振る舞いルールを更新させるためのログデータであり、対象フレームとその前後のフレームを含むログデータを保存する(S22)。MAC検証結果が不正かつ振る舞い検証結果が不正となった場合、または、MAC検証結果が正当かつ振る舞い検証結果が不正となった場合(S20のN)、不正対策部38は、図4に示したコマンド対策を実行する(S24)。
不正検出パターン(図4)にしたがってECU対策が必要な場合(S26のY)、不正対策部38は、乗っ取られた可能性が高い対象ECUを特定する(S28)。不正対策部38は、対象ECUおよび/または他のECU14に関するECU対策を実行する(S30)。ECU対策が不要であれば(S26のN)、S28、S30をスキップする。
図6は、図1のECU14の動作を示すフローチャートである。S40〜S44の処理は図5のS10〜S14と同じであるため説明を省略する。MAC検証と振る舞い検証の両方で対象フレームが正当と判定された場合(S46のY)、不正対策部38は、対象フレームをコマンド実行部56に渡し、コマンド実行部56は、対象フレームで指定されたコマンドにしたがいデータ処理を実行する(S48)。対象フレームがCGW20経由のフレームであり、かつ、少なくとも振る舞い検証により不正と判定された場合(S46のN、S50のY)、不正対策部38は、車両10の自動運転をフェイルセーフモードへ移行させる(S52)。S50のN以降、S54〜S64の処理は図5のS20〜S30と同じであるため説明を省略する。
実施例の監視装置(例えばECU14、CGW20)によると、メッセージ認証の結果と振る舞い検証の結果との組み合わせに基づいて、セキュリティの脅威の種類をきめ細かに認識し、脅威の種類に応じた適切なコマンド対策およびECU対策を自動実行する。これにより、車載ネットワークシステム12のセキュリティを担保できる。例えば、MAC鍵の漏洩、および、MAC対応ECUの乗っ取りを検知し、MAC鍵の更新およびECUのリプログラミングを適切に実行できる。また、車載ネットワークシステム12内にMAC未対応のECU14が存在し、MAC未対応のECU14が脅威にさらされた場合も、セキュリティを担保しやすくなる。
以上、本発明を実施例をもとに説明した。この実施例は例示であり、それらの各構成要素あるいは各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。
第1変形例を説明する。実施例の振る舞い検証部36は、対象フレームを正当または不正に分類したが、変形例として、振る舞い検証部36は、対象フレームの態様と振る舞いルールとの乖離の度合い(もしくは一致の度合い)に応じて、対象フレームを正当、不正、グレーのいずれかに分類してもよい。不正対策部38のログ保存部44は、対象フレームがグレーに分類された場合、対象フレームと、同じIDの過去のフレームとを含むルール更新指示データをログデータとして保存する。既述したように、ルール更新指示データは、対象フレームより後に受信された同IDのフレームを含んでもよい。これにより、保存されたログデータはオフライン上で収集されてルール生成装置29に通知され、ルール生成装置29は、例えば対象フレームを不正と判定するように振る舞いルール更新する。
具体例として、振る舞い検証部36は、検知パラメータA〜Eのそれぞれで対象フレームを評価し、各検知パラメータによる中間判定結果A〜Eを生成し、4つ以上の中間判定結果が不正となった場合に最終判定結果を不正としてもよい。また、不正となった中間判定結果の個数が3個以下であれば最終判定結果を正当としてもよい。この構成において、振る舞い検証部36は、各フレームで指定されるフレームID(コマンドIDでもよい)ごとに中間判定結果が不正となった回数を累計していく。振る舞い検証部36は、中間判定結果が不正となった累計数が所定の閾値(例えば10回等)を超えたIDのフレームをグレーと判定する。
また、振る舞い検証部36は、フレームID(コマンドID)で区別せずに全てのフレームを母集団として、中間判定結果が不正となった回数を累計してもよい。振る舞い検証部36は、中間判定結果が不正となった累計数が所定の閾値(例えば10回等)を超えた場合にグレーと判定してもよい。この場合、ログ保存44は、過去の一定期間に受信した全フレームを含むルール更新指示データをログデータとして保存してもよい。
フレームの正当性がグレーと判定されることは本来望ましくないが、第1変形例によると、振る舞いルールを適切に更新し、車載ネットワークシステム12のセキュリティを向上させることができる。なお、振る舞い検証部36は、対象フレームの振る舞い検証において、対象フレームのIDに紐付く不正判定累計数が所定の閾値を超過した場合、対象フレームの最終判定結果を「不正」としてもよい。この態様によると、グレー判定となったフレームに基づいてコマンド対策およびECU対策が実行され、車載ネットワークシステム12のセキュリティを一層高めることができる。
第2変形例を説明する。図7は、変形例のCGW20のハードウェア構成を示す。CGW20は、CPU70、監視モジュール72、LANコントローラ74、LANコントローラ76を備える。LANコントローラ74およびLANコントローラ76は、CAN24の各バスに接続される。CPU70は、CGW20全体の動作を制御するとともに、図2に示した各機能ブロックの機能を実行する。
監視モジュール72は、CPU70と物理的に異なるLSIであり、言い換えれば、CPU70と物理的に分離または独立して実装されたLSIである。監視モジュール72は、図2に示した機能ブロックのうちMAC検証部34、振る舞い検証部36、不正対策部38の機能を実行する。監視モジュール72が備える不正対策部38の機能は、図4に示したパターン別のコマンド対策およびECU対策を決定する機能を少なくとも含む。
CPU70と監視モジュール72は、互いに並行して、同じ対象フレームに対する不正判定処理を実行する。監視モジュール72は、不正判定処理の結果と、CPU70におえるフレーム処理の内容に基づいて、CPU70が正常か否かを判定する。例えば、監視モジュール72は、MAC検証と振る舞い検証の少なくとも一方で対象フレームが不正と判定された場合であって、かつ、CPU70が対象フレームをCAN24へ送信した場合に、CPU70(特にCPU70のルーティング機能)が異常と判定する。また、監視モジュール72は、MAC検証と振る舞い検証の両方で対象フレームが正当と判定された場合であって、かつ、CPU70が対象フレームを破棄または無効化した場合に、CPU70が異常と判定する。
CPU70が異常と判定した場合、監視モジュール72は、所定のエラー処理、リカバリー処理、乗員または外部の人等への通知処理のうち少なくとも1つを実行してもよい。第2変形例によると、CGW20のCPU70が不正者により乗っ取られた場合も、その事実を監視モジュール72により検出して、セキュリティの脅威を解消するための処理を実行可能になる。なお、CPU70と監視モジュール72は、仮想的または論理的に分離して実装されてもよい。また、ここではCGW20の例を示したが、監視装置として動作するECU14においても本変形例の構成を適用可能である。
第3変形例を説明する。上記実施例では、車載ネットワークをCANとしたが、変形例として、車載ネットワークをイーサネット(登録商標)にしてもよく、この場合も、ECU14およびCGW20には実施例と同様の構成を適用できる。
第4変形例を説明する。第3変形例に関連して、車載ネットワークにおいてCANとイーサネットが混在してもよい。監視装置としてのCGW20は、CANとイーサネットを接続し、CANのフレームとイーサネットフレームとを相互に変換する機能をさらに備えてもよい。CGW20は、MAC検証と振る舞い検証の少なくとも一方で不正と判定されたCANフレームをイーサネットフレームへ変換することを抑制する。同様に、上記不正と判定されたイーサネットフレームをCANフレームへ変換することを抑制する。
また、CGW20は、CANの複数のバスと、イーサネットの複数のバスに接続されてもよい。この場合に、或るフレームがMAC検証と振る舞い検証の少なくとも一方で不正と判定された場合、CGW20は、そのフレームが流れるバスから他のバスへの、全フレームの変換および中継を抑制してもよい。さらにまた、CGW20は、不正と判定されたフレームが流れるバスへの他のバスからの、全フレームの変換および中継を抑制してもよい。
さらにまた、CGW20は、イーサネットにおけるセキュリティ機能(例えばファイヤウォール機能、MACアドレスフィルタ等)を備えてもよい。CGW20は、イーサネットにおけるセキュリティ機能とMAC検証との少なくとも一方で対象フレームが不正と判定されたことを、実施例においてMAC検証で不正と判定した場合と同等に取り扱ってもよい。なお、CGW20は、イーサネットにおけるセキュリティ機能とMAC検証の両方で対象フレームが不正と判定された場合、不正の確度が高いと判定して、コマンド対策およびECU対策の実行に代えて、もしくはコマンド対策およびECU対策の実行とともに、車両10の自動運転のモードをフェイルセーフモードへ移行させてもよい。なお、第4変形例は、CGW20に限らず、異なる種類のネットワークを接続する装置全般に適用可能である。
第5変形例を説明する。車載ネットワークシステム12のECU14、CGW20には、自装置の改ざん有無を判定するセキュリティチップ(Trusted Platform Module、以下「TPM」と呼ぶ。)が搭載されてもよい。監視装置(例えばCGW20、ECU14)の対象検出部50は、少なくとも振る舞い検証で不正と判定されたフレームを送信したECUのTPMに対して改ざん有無を問い合わせてもよい(Attestation)。なお、第2変形例との組み合わせ時、対象検出部50は、CGW20のSoC(System on Chip)に対して改ざん有無を問い合わせてもよい。対象検出部50は、問い合わせの結果が改ざんありを示す場合、問い合わせ先の装置(例えばCGW20、ECU14)を不正と判定し、言い換えれば、不正対策の対象装置と判定する。
なお、実施例および変形例に記載の技術は、以下の項目によって特定されてもよい。
[項目1]
通信網からフレームを受信する受信部と、フレームに対するメッセージ認証の結果に基づいてフレームが不正かを判定する第1判定と、フレームの態様と予め定められたルールとに基づいてフレームが不正かを判定する第2判定とを行い、第1判定の結果と第2判定の結果との組み合わせに応じて、フレームに関する処理とフレームの送信元装置に関する処理の少なくとも一方を実行する処理部と、を備える監視装置。
この監視装置によると、通信システムのセキュリティを向上させることができる。
[項目2]
第1判定により判定対象フレームが正当と判定され、第2判定により判定対象フレームが不正と判定された場合、または、第1判定により判定対象フレームが不正と判定され、第2判定により判定対象フレームが不正と判定された場合、処理部は、判定対象フレームを破棄または無効化する処理を実行してもよい。
この態様によると、不正なフレームによるセキュリティのリスクを低減できる。
[項目3]
第1判定により判定対象フレームが正当と判定され、第2判定により判定対象フレームが不正と判定された場合、または、第1判定により判定対象フレームが不正と判定され、第2判定により判定対象フレームが不正と判定された場合に、複数の送信元装置から送信された複数のフレームにおける不正有無に基づいて、複数の送信元装置の中から不正対策の対象装置を検出し、(1)対象装置から送信されるフレームを破棄または無効化する処理、(2)対象装置におけるコンピュータプログラムを更新する処理、(3)対象装置以外の送信元装置におけるメッセージ認証の鍵を更新する処理、(4)対象装置が接続された通信網のバスから受信されたフレームを破棄または無効化する処理、のうち少なくとも1つを実行してもよい。
この態様によると、不正なフレームの検出に基づいて、フレームの送信元装置に関する不正対策を実施できる。
[項目4]
第1判定により判定対象フレームが正当と判定され、第2判定により判定対象フレームが不正と判定された場合であり、かつ、判定対象フレームが、所定の送信元装置以外から送信されたフレームが流れるバスから受信されたものであるとき、処理部は、所定の送信元装置におけるメッセージ認証の鍵を更新する処理を実行してもよい。
この態様によると、外部から不正なフレームが注入され、メッセージ認証の鍵が漏洩している可能性がある場合に、メッセージ認証の鍵を更新し、セキュリティのリスクを低減できる。
[項目5]
第1判定により判定対象フレームが不正と判定され、第2判定により判定対象フレームが正当と判定された場合に、処理部は、少なくとも判定対象フレームに関するログデータを保存してもよい。
この態様によると、第2判定のためのルールが不完全であることが想定される場合に、ルールの改善を支援できる。
[項目6]
処理部は、判定対象フレームの態様とルールとの乖離の度合いに応じて、判定対象フレームを正当、不正、グレーのいずれかに分類し、判定対象フレームがグレーに分類された場合、少なくとも判定対象フレームに関するログデータを保存してもよい。
この態様によると、本来望ましくないグレー判定に伴い、第2判定のためのルールの改善を支援できる。
[項目7]
監視装置は、車両に搭載された電子制御ユニットであってもよい。処理部は、車載ネットワークにおける所定のゲートウェイ装置を経由して伝送されたフレームが第2判定により不正と判定された場合、車両の自動運転のモードをフェイルセーフモードへ切り替えてもよい。
この態様によると、車両運転の安全性を一層高めることができる。
[項目8]
通信網からフレームを受信し、受信されたフレームに対するメッセージ認証の結果に基づいてフレームが不正かを判定する第1判定と、受信されたフレームの態様と予め定められたルールとに基づいてフレームが不正かを判定する第2判定と、を行い、第1判定の結果と第2判定の結果との組み合わせに応じて、受信されたフレームに関する処理と受信されたフレームの送信元装置に関する処理の少なくとも一方を実行する、ことをコンピュータが実行する監視方法。
この監視方法によると、通信システムのセキュリティを向上させることができる。
[項目9]
通信網からフレームを受信し、受信されたフレームに対するメッセージ認証の結果に基づいてフレームが不正かを判定する第1判定と、受信されたフレームの態様と予め定められたルールとに基づいてフレームが不正かを判定する第2判定と、を行い、第1判定の結果と第2判定の結果との組み合わせに応じて、受信されたフレームに関する処理と受信されたフレームの送信元装置に関する処理の少なくとも一方を実行する、ことをコンピュータに実行させるためのコンピュータプログラム。
このコンピュータプログラムによると、通信システムのセキュリティを向上させることができる。
[項目1]
通信網からフレームを受信する受信部と、フレームに対するメッセージ認証の結果に基づいてフレームが不正かを判定する第1判定と、フレームの態様と予め定められたルールとに基づいてフレームが不正かを判定する第2判定とを行い、第1判定の結果と第2判定の結果との組み合わせに応じて、フレームに関する処理とフレームの送信元装置に関する処理の少なくとも一方を実行する処理部と、を備える監視装置。
この監視装置によると、通信システムのセキュリティを向上させることができる。
[項目2]
第1判定により判定対象フレームが正当と判定され、第2判定により判定対象フレームが不正と判定された場合、または、第1判定により判定対象フレームが不正と判定され、第2判定により判定対象フレームが不正と判定された場合、処理部は、判定対象フレームを破棄または無効化する処理を実行してもよい。
この態様によると、不正なフレームによるセキュリティのリスクを低減できる。
[項目3]
第1判定により判定対象フレームが正当と判定され、第2判定により判定対象フレームが不正と判定された場合、または、第1判定により判定対象フレームが不正と判定され、第2判定により判定対象フレームが不正と判定された場合に、複数の送信元装置から送信された複数のフレームにおける不正有無に基づいて、複数の送信元装置の中から不正対策の対象装置を検出し、(1)対象装置から送信されるフレームを破棄または無効化する処理、(2)対象装置におけるコンピュータプログラムを更新する処理、(3)対象装置以外の送信元装置におけるメッセージ認証の鍵を更新する処理、(4)対象装置が接続された通信網のバスから受信されたフレームを破棄または無効化する処理、のうち少なくとも1つを実行してもよい。
この態様によると、不正なフレームの検出に基づいて、フレームの送信元装置に関する不正対策を実施できる。
[項目4]
第1判定により判定対象フレームが正当と判定され、第2判定により判定対象フレームが不正と判定された場合であり、かつ、判定対象フレームが、所定の送信元装置以外から送信されたフレームが流れるバスから受信されたものであるとき、処理部は、所定の送信元装置におけるメッセージ認証の鍵を更新する処理を実行してもよい。
この態様によると、外部から不正なフレームが注入され、メッセージ認証の鍵が漏洩している可能性がある場合に、メッセージ認証の鍵を更新し、セキュリティのリスクを低減できる。
[項目5]
第1判定により判定対象フレームが不正と判定され、第2判定により判定対象フレームが正当と判定された場合に、処理部は、少なくとも判定対象フレームに関するログデータを保存してもよい。
この態様によると、第2判定のためのルールが不完全であることが想定される場合に、ルールの改善を支援できる。
[項目6]
処理部は、判定対象フレームの態様とルールとの乖離の度合いに応じて、判定対象フレームを正当、不正、グレーのいずれかに分類し、判定対象フレームがグレーに分類された場合、少なくとも判定対象フレームに関するログデータを保存してもよい。
この態様によると、本来望ましくないグレー判定に伴い、第2判定のためのルールの改善を支援できる。
[項目7]
監視装置は、車両に搭載された電子制御ユニットであってもよい。処理部は、車載ネットワークにおける所定のゲートウェイ装置を経由して伝送されたフレームが第2判定により不正と判定された場合、車両の自動運転のモードをフェイルセーフモードへ切り替えてもよい。
この態様によると、車両運転の安全性を一層高めることができる。
[項目8]
通信網からフレームを受信し、受信されたフレームに対するメッセージ認証の結果に基づいてフレームが不正かを判定する第1判定と、受信されたフレームの態様と予め定められたルールとに基づいてフレームが不正かを判定する第2判定と、を行い、第1判定の結果と第2判定の結果との組み合わせに応じて、受信されたフレームに関する処理と受信されたフレームの送信元装置に関する処理の少なくとも一方を実行する、ことをコンピュータが実行する監視方法。
この監視方法によると、通信システムのセキュリティを向上させることができる。
[項目9]
通信網からフレームを受信し、受信されたフレームに対するメッセージ認証の結果に基づいてフレームが不正かを判定する第1判定と、受信されたフレームの態様と予め定められたルールとに基づいてフレームが不正かを判定する第2判定と、を行い、第1判定の結果と第2判定の結果との組み合わせに応じて、受信されたフレームに関する処理と受信されたフレームの送信元装置に関する処理の少なくとも一方を実行する、ことをコンピュータに実行させるためのコンピュータプログラム。
このコンピュータプログラムによると、通信システムのセキュリティを向上させることができる。
上述した実施例および変形例の任意の組み合わせもまた本発明の実施の形態として有用である。組み合わせによって生じる新たな実施の形態は、組み合わされる実施例および変形例それぞれの効果をあわせもつ。また、請求項に記載の各構成要件が果たすべき機能は、実施例および変形例において示された各構成要素の単体もしくはそれらの連携によって実現されることも当業者には理解されるところである。
10 車両、 12 車載ネットワークシステム、 14 ECU、 20 CGW、 22 CMI、 24 CAN、 29 ルール生成装置、 30 フレーム受信部、 32 フレーム送信部、 34 MAC検証部、 36 振る舞い検証部、 38 不正対策部、 50 対象検出部。
Claims (9)
- 通信網からフレームを受信する受信部と、
前記フレームに対するメッセージ認証の結果に基づいて前記フレームが不正かを判定する第1判定と、前記フレームの態様と予め定められたルールとに基づいて前記フレームが不正かを判定する第2判定とを行い、前記第1判定の結果と前記第2判定の結果との組み合わせに応じて、前記フレームに関する処理と前記フレームの送信元装置に関する処理の少なくとも一方を実行する処理部と、
を備える監視装置。 - 前記第1判定により判定対象フレームが正当と判定され、前記第2判定により前記判定対象フレームが不正と判定された場合、または、前記第1判定により前記判定対象フレームが不正と判定され、前記第2判定により前記判定対象フレームが不正と判定された場合、前記処理部は、前記判定対象フレームを破棄または無効化する処理を実行する、請求項1に記載の監視装置。
- 前記第1判定により判定対象フレームが正当と判定され、前記第2判定により前記判定対象フレームが不正と判定された場合、または、前記第1判定により前記判定対象フレームが不正と判定され、前記第2判定により前記判定対象フレームが不正と判定された場合に、
複数の送信元装置から送信された複数のフレームにおける不正有無に基づいて、前記複数の送信元装置の中から不正対策の対象装置を検出し、
(1)前記対象装置から送信されるフレームを破棄または無効化する処理、
(2)前記対象装置におけるコンピュータプログラムを更新する処理、
(3)前記対象装置以外の送信元装置における前記メッセージ認証の鍵を更新する処理、
(4)前記対象装置が接続された前記通信網のバスから受信されたフレームを破棄または無効化する処理、
のうち少なくとも1つを実行する、請求項1または2に記載の監視装置。 - 前記第1判定により判定対象フレームが正当と判定され、前記第2判定により前記判定対象フレームが不正と判定された場合であり、かつ、前記判定対象フレームが、所定の送信元装置以外から送信されたフレームが流れるバスから受信されたものであるとき、前記処理部は、前記所定の送信元装置における前記メッセージ認証の鍵を更新する処理を実行する、請求項1または2に記載の監視装置。
- 前記第1判定により判定対象フレームが不正と判定され、前記第2判定により前記判定対象フレームが正当と判定された場合に、前記処理部は、少なくとも前記判定対象フレームに関するログデータを保存する、請求項1から4のいずれかに記載の監視装置。
- 前記処理部は、判定対象フレームの態様と前記ルールとの乖離の度合いに応じて、前記判定対象フレームを正当、不正、グレーのいずれかに分類し、前記判定対象フレームがグレーに分類された場合、少なくとも前記判定対象フレームに関するログデータを保存する、請求項1から5のいずれかに記載の監視装置。
- 前記監視装置は、車両に搭載された電子制御ユニットであり、
前記処理部は、車載ネットワークにおける所定のゲートウェイ装置を経由して伝送されたフレームが前記第2判定により不正と判定された場合、前記車両の自動運転のモードをフェイルセーフモードへ切り替える、請求項1から6のいずれかに記載の監視装置。 - 通信網からフレームを受信し、
前記受信されたフレームに対するメッセージ認証の結果に基づいて前記フレームが不正かを判定する第1判定と、
前記受信されたフレームの態様と予め定められたルールとに基づいて前記フレームが不正かを判定する第2判定と、を行い、
前記第1判定の結果と前記第2判定の結果との組み合わせに応じて、前記受信されたフレームに関する処理と前記受信されたフレームの送信元装置に関する処理の少なくとも一方を実行する、
ことをコンピュータが実行する監視方法。 - 通信網からフレームを受信し、
前記受信されたフレームに対するメッセージ認証の結果に基づいて前記フレームが不正かを判定する第1判定と、
前記受信されたフレームの態様と予め定められたルールとに基づいて前記フレームが不正かを判定する第2判定と、を行い、
前記第1判定の結果と前記第2判定の結果との組み合わせに応じて、前記フレームに関する処理と前記フレームの送信元装置に関する処理の少なくとも一方を実行する、
ことをコンピュータに実行させるためのコンピュータプログラム。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017007043A JP6782444B2 (ja) | 2017-01-18 | 2017-01-18 | 監視装置、監視方法およびコンピュータプログラム |
| PCT/JP2017/040173 WO2018135098A1 (ja) | 2017-01-18 | 2017-11-08 | 監視装置、監視方法およびコンピュータプログラム |
| DE112017006854.1T DE112017006854T5 (de) | 2017-01-18 | 2017-11-08 | Überwachungsvorrichtung, Überwachungsverfahren und Computerprogramm |
| US16/505,628 US10986093B2 (en) | 2017-01-18 | 2019-07-08 | Monitoring device, monitoring method, and computer program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017007043A JP6782444B2 (ja) | 2017-01-18 | 2017-01-18 | 監視装置、監視方法およびコンピュータプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018117254A true JP2018117254A (ja) | 2018-07-26 |
| JP6782444B2 JP6782444B2 (ja) | 2020-11-11 |
Family
ID=62984429
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017007043A Active JP6782444B2 (ja) | 2017-01-18 | 2017-01-18 | 監視装置、監視方法およびコンピュータプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6782444B2 (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020032121A1 (ja) * | 2018-08-10 | 2020-02-13 | 株式会社デンソー | 車両用マスタ装置、更新データの検証方法及び更新データの検証プログラム |
| WO2020085421A1 (ja) * | 2018-10-24 | 2020-04-30 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 不正検知装置及び不正検知方法 |
| JP2020088732A (ja) * | 2018-11-29 | 2020-06-04 | トヨタ自動車株式会社 | 中継装置 |
| JP2020092379A (ja) * | 2018-12-07 | 2020-06-11 | トヨタ自動車株式会社 | 監視装置 |
| WO2021019860A1 (ja) * | 2019-08-01 | 2021-02-04 | 住友電気工業株式会社 | 中継装置、車両、通信方法および通信プログラム |
| US11671498B2 (en) | 2018-08-10 | 2023-06-06 | Denso Corporation | Vehicle master device, update data verification method and computer program product |
| JP7443832B2 (ja) | 2020-03-05 | 2024-03-06 | 株式会社デンソー | セキュリティ管理装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001358774A (ja) * | 2000-06-13 | 2001-12-26 | Mitsubishi Electric Corp | データ不正流出防止方法および装置 |
| JP2005343430A (ja) * | 2004-06-07 | 2005-12-15 | Denso Corp | 車両制御システム |
| JP2009253557A (ja) * | 2008-04-03 | 2009-10-29 | Autonetworks Technologies Ltd | 車載用の中継接続ユニット |
| JP2013131907A (ja) * | 2011-12-21 | 2013-07-04 | Toyota Motor Corp | 車両ネットワーク監視装置 |
| WO2013171829A1 (ja) * | 2012-05-14 | 2013-11-21 | トヨタ自動車 株式会社 | 車両用ネットワークの通信管理装置及び通信管理方法 |
| JP2015091062A (ja) * | 2013-11-06 | 2015-05-11 | トヨタ自動車株式会社 | 通信システムおよびゲートウェイ装置並びに通信方法 |
| JP2015114907A (ja) * | 2013-12-12 | 2015-06-22 | 日立オートモティブシステムズ株式会社 | ネットワーク装置およびネットワークシステム |
| WO2015170451A1 (ja) * | 2014-05-08 | 2015-11-12 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車載ネットワークシステム、電子制御ユニット及び不正検知方法 |
-
2017
- 2017-01-18 JP JP2017007043A patent/JP6782444B2/ja active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001358774A (ja) * | 2000-06-13 | 2001-12-26 | Mitsubishi Electric Corp | データ不正流出防止方法および装置 |
| JP2005343430A (ja) * | 2004-06-07 | 2005-12-15 | Denso Corp | 車両制御システム |
| JP2009253557A (ja) * | 2008-04-03 | 2009-10-29 | Autonetworks Technologies Ltd | 車載用の中継接続ユニット |
| JP2013131907A (ja) * | 2011-12-21 | 2013-07-04 | Toyota Motor Corp | 車両ネットワーク監視装置 |
| WO2013171829A1 (ja) * | 2012-05-14 | 2013-11-21 | トヨタ自動車 株式会社 | 車両用ネットワークの通信管理装置及び通信管理方法 |
| JP2015091062A (ja) * | 2013-11-06 | 2015-05-11 | トヨタ自動車株式会社 | 通信システムおよびゲートウェイ装置並びに通信方法 |
| JP2015114907A (ja) * | 2013-12-12 | 2015-06-22 | 日立オートモティブシステムズ株式会社 | ネットワーク装置およびネットワークシステム |
| WO2015170451A1 (ja) * | 2014-05-08 | 2015-11-12 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車載ネットワークシステム、電子制御ユニット及び不正検知方法 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11671498B2 (en) | 2018-08-10 | 2023-06-06 | Denso Corporation | Vehicle master device, update data verification method and computer program product |
| JP2022031446A (ja) * | 2018-08-10 | 2022-02-18 | 株式会社デンソー | 電子制御装置、更新データの検証プログラム及び処理結果送信プログラム |
| WO2020032121A1 (ja) * | 2018-08-10 | 2020-02-13 | 株式会社デンソー | 車両用マスタ装置、更新データの検証方法及び更新データの検証プログラム |
| WO2020085421A1 (ja) * | 2018-10-24 | 2020-04-30 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 不正検知装置及び不正検知方法 |
| JP2020088732A (ja) * | 2018-11-29 | 2020-06-04 | トヨタ自動車株式会社 | 中継装置 |
| JP7095575B2 (ja) | 2018-11-29 | 2022-07-05 | トヨタ自動車株式会社 | 中継装置 |
| JP2020092379A (ja) * | 2018-12-07 | 2020-06-11 | トヨタ自動車株式会社 | 監視装置 |
| JP7124679B2 (ja) | 2018-12-07 | 2022-08-24 | トヨタ自動車株式会社 | 監視装置 |
| US11736506B2 (en) | 2018-12-07 | 2023-08-22 | Toyota Jidosha Kabushiki Kaisha | Monitoring apparatus |
| WO2021019860A1 (ja) * | 2019-08-01 | 2021-02-04 | 住友電気工業株式会社 | 中継装置、車両、通信方法および通信プログラム |
| CN113892247A (zh) * | 2019-08-01 | 2022-01-04 | 住友电气工业株式会社 | 中继装置、车辆、通信方法以及通信程序 |
| JP7464054B2 (ja) | 2019-08-01 | 2024-04-09 | 住友電気工業株式会社 | 中継装置、通信方法および通信プログラム |
| JP7443832B2 (ja) | 2020-03-05 | 2024-03-06 | 株式会社デンソー | セキュリティ管理装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6782444B2 (ja) | 2020-11-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2018135098A1 (ja) | 監視装置、監視方法およびコンピュータプログラム | |
| JP6782444B2 (ja) | 監視装置、監視方法およびコンピュータプログラム | |
| JP6846706B2 (ja) | 監視装置、監視方法およびコンピュータプログラム | |
| JP7492622B2 (ja) | 車両異常検知サーバ、車両異常検知システム及び車両異常検知方法 | |
| JP7496404B2 (ja) | セキュリティ処理方法及びサーバ | |
| US10798114B2 (en) | System and method for consistency based anomaly detection in an in-vehicle communication network | |
| US11848947B2 (en) | System and method for providing security to in-vehicle network | |
| JP2018133743A (ja) | 監視装置、通信システム、車両、監視方法、およびコンピュータプログラム | |
| CN110445633A (zh) | 用于在分布式网络中提供经认证更新的方法 | |
| WO2017008829A1 (en) | A method and a system for reliable computation of a program | |
| US11971982B2 (en) | Log analysis device | |
| Fallstrand et al. | Applicability analysis of intrusion detection and prevention in automotive systems | |
| WO2020137852A1 (ja) | 情報処理装置 | |
| WO2017150003A1 (ja) | 検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法 | |
| CN114834393B (zh) | 车辆控制系统 | |
| US10701088B2 (en) | Method for transmitting data | |
| WO2023048185A1 (ja) | 車両セキュリティ分析装置、方法およびそのプログラム | |
| Potteiger et al. | A tutorial on moving target defense approaches within automotive cyber-physical systems | |
| CN111077873B (zh) | 用于控制对信息-物理系统的访问的系统和方法 | |
| Iclodean et al. | Safety and cybersecurity | |
| JP2018164232A (ja) | 通信システム、中継装置、通信方法およびコンピュータプログラム | |
| van Roermund | In-vehicle networks and security | |
| WO2020008872A1 (ja) | 車載セキュリティシステムおよび攻撃対処方法 | |
| US20230267204A1 (en) | Mitigating a vehicle software manipulation | |
| JP7408033B2 (ja) | 車載制御装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20180416 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190925 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200526 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200612 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200811 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200909 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200929 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20201002 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6782444 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| SZ03 | Written request for cancellation of trust registration |
Free format text: JAPANESE INTERMEDIATE CODE: R313Z03 |