JP2018164232A - 通信システム、中継装置、通信方法およびコンピュータプログラム - Google Patents
通信システム、中継装置、通信方法およびコンピュータプログラム Download PDFInfo
- Publication number
- JP2018164232A JP2018164232A JP2017061630A JP2017061630A JP2018164232A JP 2018164232 A JP2018164232 A JP 2018164232A JP 2017061630 A JP2017061630 A JP 2017061630A JP 2017061630 A JP2017061630 A JP 2017061630A JP 2018164232 A JP2018164232 A JP 2018164232A
- Authority
- JP
- Japan
- Prior art keywords
- frame
- dummy
- ecu
- unit
- vehicle
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】車両のセキュリティを効率的に向上する。【解決手段】ゲートウェイECU12は、車両10の外部装置(例えば不正装置26)から送信されたフレームを受信する。ゲートウェイECU12は、受信フレームに設定されたIDに基づいて、受信フレームが正当か不正かを判定する。ゲートウェイECU12は、受信フレームを正当と判定した場合、受信フレームを処理ECU14へ転送し、受信フレームを不正と判定した場合、受信フレームをダミーECU16へ転送する。ダミーECU16は、不正と判定されたフレームに対する肯定的な応答を、当該フレームの送信元である外部装置(例えば不正装置26)へ送信する。【選択図】図1
Description
本発明はデータ処理技術に関し、特に通信システム、中継装置、通信方法およびコンピュータプログラムに関する。
近年、自動車には、多数の電子制御ユニット(Electronic Control Unit、以下「ECU」と呼ぶ。)が搭載されている。これらのECUを繋ぐネットワークは車載ネットワークと呼ばれる。車載ネットワークには多数の規格が存在するが、広く普及した規格としてCAN(Controller Area Network)がある。
従来、車両制御装置のメモリの書き換え許可を判断する既存のセキュリティ情報(例えばセキュリティ関数)が第三者に知られてしまった場合でも、そのセキュリティ情報を変更することで、不正なメモリ書き換えの拡大を防止するメモリ書き換えシステムが知られている。
複数のECUが車載ネットワークに繋がるシステムでは、システムのセキュリティを複数のECUが相互に診断することがある。この場合、1つのECUのセキュリティ情報を書き換えると、他のECUの診断アルゴリズムにも更新が必要になり、システム全体へ大きな影響を与えることがある。
本発明は上記課題に鑑みたもので、1つの目的は、車両のセキュリティを効率的に向上することである。
上記課題を解決するために、本発明のある態様の通信システムは、車両に搭載された電子制御装置と、ダミー装置と、中継装置と、を備える。中継装置は、車両の外部装置から送信されたフレームを受信する受信部と、受信部により受信されたフレームに設定されたIDに基づいて、フレームが正当か、または、不正かを判定する判定部と、判定部によりフレームが正当と判定された場合、フレームに設定されたIDにより特定される送信先の電子制御装置へフレームを転送し、フレームが不正と判定された場合、フレームをダミー装置へ転送する転送部と、を含む。ダミー装置は、中継装置において不正と判定されたフレームに対する肯定的な応答を外部装置へ送信する。
本発明の別の態様は、中継装置である。この装置は、車両に搭載された中継装置であって、車両の外部装置から送信されたフレームを受信する受信部と、受信部により受信されたフレームに設定されたIDに基づいて、フレームが正当か、または、不正かを判定する判定部と、判定部によりフレームが正当と判定された場合、フレームに設定されたIDにより特定される送信先の電子制御装置へフレームを転送する転送部と、フレームが不正と判定された場合、フレームに対する肯定的な応答を外部装置へ送信するダミー部と、を備える。
本発明のさらに別の態様は、通信方法である。この方法は、車両に搭載された中継装置が、車両の外部装置から送信されたフレームを受信し、受信したフレームに設定されたIDに基づいて、フレームが正当か、または、不正かを判定し、フレームを正当と判定した場合、フレームに設定されたIDにより特定される送信先の電子制御装置へフレームを転送し、フレームを不正と判定した場合、フレームをダミー装置へ転送し、ダミー装置が、中継装置において不正と判定されたフレームに対する肯定的な応答を外部装置へ送信する。
なお、以上の構成要素の任意の組合せ、本発明の表現を、コンピュータプログラム、コンピュータプログラムを記録した記録媒体、本装置を搭載した車両などの間で変換したものもまた、本発明の態様として有効である。
本発明によれば、車両のセキュリティを効率的に向上することができる。
実施例の車両10に搭載されたゲートウェイECUは、外部ツールから攻撃のコマンドを受信したと判断した場合に、攻撃のコマンドをダミーECUへ転送する。ダミーECUは、コマンドの攻撃目標のECUになりすまして、あたかも攻撃が成功したように見せる応答を外部ツールへ返す。これにより、攻撃のコマンドが攻撃目標のECUに届くことを防止できる。また、攻撃が成功したと外部ツールに誤認識させ、以降の攻撃を抑制させることができる。
図1は、実施例の車両10の構成を示す。車両10は、ゲートウェイECU12、処理ECU14a、処理ECU14b(総称する場合「処理ECU14」と呼ぶ。)、ダミーECU16、OBD(On Board Diagnostics)コネクタ18を備える。各ECUは、第1CAN20または第2CAN22に接続され、車載ネットワークを用いた通信システムである車載ネットワークシステム24を構成する。
複数の処理ECU14は、第1CAN20に接続される。複数の処理ECU14は、少なくとも、各種の電装品を制御するボディコントロールモジュール(以下「BCM」とも呼ぶ。)を含み、例えば、ドアロック、イモビライザー、イグニッションスイッチを制御するBCMを含む。実施例では、BCMとして機能する処理ECU14(以下「BCM−ECU」とも呼ぶ。)が、外部装置により攻撃される対象となる。
また、複数の処理ECU14は、不図示のセンサ(温度センサ、速度センサ等)と接続され、センサによる検知内容を示すデータを外部装置へ送信するECUを含んでもよい。また、複数の処理ECU14は、不図示のアクチュエータ(ブレーキ、ステアリング等)と接続され、外部装置から受信したデータに基づいてアクチュエータを制御するECUを含んでもよい。
ダミーECU16は、第2CAN22に接続される。ダミーECU16は、処理ECU14に代わって、攻撃のコマンドを含むフレームの転送先となるECUである。ダミーECU16は、処理ECU14と異なり、センサとアクチュエータのいずれにも接続されない。ゲートウェイECU12は、第1CAN20と第2CAN22の両方に接続され、第1CAN20と第2CAN22を流れるフレームを中継し、またルーティングする。
ゲートウェイECU12は、車両10の外部ネットワーク28(4G網、インターネット等)と接続され、外部ネットワーク28を介して、車両10の外部装置と通信する。不正装置26aは、処理ECU14を不正に制御するためのコマンドを含むイーサネット(登録商標)フレームを、外部ネットワーク28を介して車両10へ送信する。
また、ゲートウェイECU12は、OBDコネクタ18に接続された外部装置から入力されたCANフレームを受信する。不正装置26bは、処理ECU14を不正に制御するためのコマンドを含むCANフレームを、OBDコネクタ18を介して車両10へ入力する。以下、不正装置26aと不正装置26bを総称する場合「不正装置26」と呼ぶ。
図2は、図1のゲートウェイECU12の機能構成を示すブロック図である。本明細書のブロック図において示される各ブロックは、ハードウェア的には、コンピュータのCPU・メモリをはじめとする素子や機械装置で実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現できることは、当業者には理解されるところである。
ゲートウェイECU12は、外部IF(インタフェース)30、OBD−IF31、第1CAN−IF32、第2CAN−IF34、ID記憶部36、フレーム受信部38、判定部40、フレーム転送部42を備える。これらのブロックに対応する複数のモジュールを含むコンピュータプログラムがゲートウェイECU12のメモリに格納され、ゲートウェイECU12のCPUがそのコンピュータプログラムを実行することにより、これらのブロックの機能が発揮されてもよい。
外部IF30は、イーサネットプロトコルにしたがって、外部ネットワーク28に接続された外部装置との間でイーサネットフレームを送受信する。OBD−IF31は、所定の通信プロトコルにしたがって、OBDコネクタ18に接続された外部装置との間でCANフレームを送受信する。
第1CAN−IF32は、CANプロトコルにしたがって、第1CAN20との間でCANフレームを送受信する。第2CAN−IF34は、CANプロトコルにしたがって、第2CAN22との間でCANフレームを送受信する。
実施例のCANフレームは、少なくとも、CAN−ID(言い換えればメッセージIDまたはフレームID)と、コマンドとを含む。また、実施例のイーサネットフレームは、少なくとも、送信元装置のID(送信元装置のアドレスでもよい。)と、送信先装置のID(送信先装置のアドレスでもよい。)と、コマンドとを含む。コマンドは、例えば、フレームの送信先装置に対する命令または指示を示すデータである。以下、単に「フレーム」と呼ぶ場合、CANフレームとイーサネットフレームの両方を含む。
ID記憶部36は、受信したフレームが正当なフレームか不正なフレームかを識別するためのID情報を記憶する。正当なフレームは、正当な装置から送信されたフレームと言え、不正なフレームは、不正な装置から送信されたフレームと言える。ID情報は、予め登録された正当なCAN−IDのリストを含む。また、ID情報は、予め登録された正当な送信元装置(例えば正当な処理ECU14を含む)のIDのリストを含む。また、ID情報は、予め登録された正当な送信先装置(例えば正当な処理ECU14を含む)のIDのリストを含む。いずれのIDも複数登録されてよい。
フレーム受信部38は、車両10の外部装置から送信されたフレームを受信する。実施例では、フレーム受信部38は、外部IF30を介して、外部ネットワーク28からイーサネットフレームを受信する。また、フレーム受信部38は、OBD−IF31を介してOBDコネクタ18へ入力されたCANフレームを受信する。また、フレーム受信部38は、第1CAN−IF32および第2CAN−IF34を介して、第1CAN20および第2CAN22を流れるCANフレームを受信する。
判定部40は、フレーム受信部38により受信されたフレーム(以下「受信フレーム」とも呼ぶ。)に設定されたIDに基づいて、受信フレームが正当なフレームか、または不正なフレームかを判定する。言い換えれば、判定部40は、受信フレームが正当な装置から送信されたフレームか、または、受信フレームが不正な装置から送信されたフレームかを判定する。
具体的には、判定部40は、受信フレームがCANフレームの場合、受信フレームに設定されたCAN−IDが、ID記憶部36に記憶された正当なCAN−IDのリストに含まれるか否かを判定する。受信フレームに設定されたCAN−IDがリスト内のCAN−IDに合致する場合、判定部40は、受信フレームを正当なフレームと判定する。一方、受信フレームに設定されたCAN−IDがリスト内のCAN−IDのいずれにも不一致の場合、判定部40は、受信フレームを不正なフレームと判定する。
また、判定部40は、受信フレームがイーサネットフレームの場合、受信フレームに設定された送信元装置IDが、ID記憶部36に記憶された正当な送信元装置IDのリストに含まれるか否かを判定する。また、判定部40は、受信フレームに設定された送信先装置IDが、ID記憶部36に記憶された正当な送信先装置IDのリストに含まれるか否かを判定する。受信フレームに設定された送信元装置IDと送信先装置IDの両方がID記憶部36に登録済みの場合、判定部40は、受信フレームを正当なフレームと判定する。一方、送信元装置IDと送信先装置IDの少なくとも一方がID記憶部36に未登録の場合、判定部40は、受信フレームを不正なフレームと判定する。
フレーム転送部42は、判定部40により受信フレームが正当と判定された場合、受信フレームに設定されたID(例えばCAN−IDまたは送信先装置ID)により特定される送信先の処理ECU14へ受信フレームを転送する。例えば、フレーム転送部42は、外部IF30で受信されたイーサネットフレームを変換したCANフレーム、または、OBD−IF31で受信されたCANフレームに対応するCANフレームを、第1CAN−IF32を介して第1CAN20へ出力する。すなわち、フレーム転送部42は、判定部40により受信フレームが正当と判定された場合、受信フレームに対する通常の転送処理を実行する。
フレーム転送部42は、判定部40により受信フレームが不正と判定された場合、受信フレームに設定されたIDにより特定される送信先の処理ECU14に代えて、ダミーECU16へ受信フレームを転送する。例えば、フレーム転送部42は、外部IF30で受信されたイーサネットフレームを変換したCANフレーム、または、OBD−IF31で受信されたCANフレームに対応するCANフレームを、第2CAN−IF34を介して第2CAN22へ出力する。
図1に示したように、第2CAN22には、ゲートウェイECU12とダミーECU16が接続されるが、処理ECU14は接続されない。したがって、不正なフレームを第2CAN22へ出力することで、処理ECU14が不正なフレームを受信してしまうことを防止できる。
図3は、図1のダミーECU16の機能構成を示すブロック図である。ダミーECU16は、CAN−IF50、他装置データ記憶部52、フレーム受信部54、コマンド処理部56、フレーム送信部58を備える。これらのブロックに対応する複数のモジュールを含むコンピュータプログラムがダミーECU16のメモリに格納され、ダミーECU16のCPUがそのコンピュータプログラムを実行することにより、これらのブロックの機能が発揮されてもよい。
CAN−IF50は、CANプロトコルにしたがって、第2CAN22との間でCANフレームを送受信する。フレーム受信部54は、CAN−IF50を介して、第2CAN22を流れるCANフレームを受信する。フレーム受信部54が受信するCANフレームのデータ(コマンド等)は、ゲートウェイECU12により不正と判定されたフレームのデータ(コマンド等)を含む。
他装置データ記憶部52は、不正装置26により攻撃対象とされる処理ECU14のメモリに記憶されるデータ(以下「メモリデータ」とも呼ぶ。)に対応するダミーデータを記憶する。ダミーデータは、攻撃対象とされる処理ECU14のメモリデータと少なくとも構造が一致するよう定められ、例えば、アドレスとデータ項目の対応関係が一致するよう定められる。ただし、ダミーデータにおける各項目の値は、攻撃対象とされる処理ECU14のメモリデータの値と異なることが望ましい。この理由は、攻撃対象とされる処理ECU14のメモリデータの値が漏洩することを防止するためである。
実施例の他装置データ記憶部52は、BCM−ECUのメモリデータに対応する(言い換えれば構造が一致する)ダミーデータを記憶する。また、他装置データ記憶部52は、予め定められたBCM−ECUの装置IDをさらに記憶する。
コマンド処理部56は、フレーム受信部54により受信されたフレーム(以下「受信フレーム」と呼ぶ。)に含まれるコマンドに応じたデータ処理を実行する。また、コマンド処理部56は、応答生成部としても機能し、受信フレームに対する肯定的な応答を生成する。肯定的な応答は、例えば、コマンドに応じたデータ処理を実行したことを示すデータを含んでよく、コマンドに応じたデータ処理の結果を含んでもよい。
コマンドの3つのパターンを説明する。例えば、(1)コマンドが装置IDの提供を要求するものである場合、コマンド処理部56は、予め定められたBCM−ECUの装置IDを他装置データ記憶部52から取得し、取得した装置IDを含む応答フレームを生成する。
また、(2)コマンドが特定アドレスのメモリデータの提供を要求するものである場合、コマンド処理部56は、他装置データ記憶部52に記憶されたダミーデータを参照し、コマンドが指定するアドレスのデータを取得する。コマンド処理部56は、取得したダミーデータを含む応答フレームを生成する。
また、(3)コマンドがメモリデータの書き換えを要求するものである場合、コマンド処理部56は、コマンドが指定する書き換え用データに基づいて、他装置データ記憶部52のダミーデータを更新する。コマンド処理部56は、メモリデータの書き換えに成功したことを示すデータを含む応答フレームを生成する。変形例として、コマンド処理部56は、ダミーデータの更新をスキップして、メモリデータの書き換えに成功した旨の応答フレームを生成するだけでもよい。
フレーム送信部58は、コマンド処理部56により生成された応答フレームを、ゲートウェイECU12を介して不正装置26へ送信する。具体的には、フレーム送信部58は、CAN−IF50を介して、応答フレームを第2CAN22へ出力する。ゲートウェイECU12は、第2CAN22から応答フレームを取得し、不正フレームの送信元である不正装置26aまたは不正装置26bへ応答フレームを転送する。
以上の構成による車両10の動作を説明する。
図4は、ゲートウェイECU12の動作を示すフローチャートである。フレーム受信部38がフレームを受信し(S10のY)、受信フレームがCANフレームであれば(S12のY)、判定部40は、ID記憶部36を参照して、受信フレームに含まれるCAN−IDが登録済みの正当なIDか否かを判定する。
図4は、ゲートウェイECU12の動作を示すフローチャートである。フレーム受信部38がフレームを受信し(S10のY)、受信フレームがCANフレームであれば(S12のY)、判定部40は、ID記憶部36を参照して、受信フレームに含まれるCAN−IDが登録済みの正当なIDか否かを判定する。
受信フレームに含まれるCAN−IDが正当なIDであれば(S14のY)、判定部40は、受信フレームを正当なフレームと判定する。フレーム転送部42は、受信フレームに含まれるCAN−IDにより特定される送信先の処理ECU14(例えばBCM−ECU)へ受信フレームを転送する(S16)。受信フレームに含まれるCAN−IDが不正なIDであれば(S14のN)、判定部40は、受信フレームを不正なフレームと判定する。フレーム転送部42は、受信フレームに含まれるCAN−IDに関わらず、ダミーECU16へ受信フレームを転送する(S18)。
受信フレームがイーサネットフレームであれば(S12のN)、判定部40は、ID記憶部36を参照して、受信フレームに含まれる送信元装置IDと送信先装置IDとが登録済みの正当なIDか否かを判定する。送信元装置IDが正当なIDであり(S20のY)、かつ、送信先装置IDが正当なIDであれば(S22のY)、判定部40は、受信フレームが正当なフレームであると判定する。フレーム転送部42は、受信フレームに含まれる送信先装置IDにより特定される送信先の処理ECU14(例えばBCM−ECU)へ受信フレームを転送する(S16)。
送信元装置IDが不正なIDであり(S20のN)、または、送信先装置IDが不正なIDであれば(S22のN)、判定部40は、受信フレームが不正なフレームであると判定する。フレーム転送部42は、受信フレームに含まれる送信先装置IDに関わらず、受信フレームに対応するCANフレームをダミーECU16へ転送する(S18)。フレーム受信部38がフレームを未受信であれば(S10のN)、S12以降の処理をスキップして本図のフローを終了する。ゲートウェイECU12は、電源オンの間、図4に示す動作を繰り返し実行する。
図5は、ダミーECU16の動作を示すフローチャートである。フレーム受信部54がフレームを受信すると(S30のY)、コマンド処理部56は、受信フレームに含まれるコマンドに応じたデータ処理を実行する。具体的には、受信フレームのコマンドが攻撃対象ECUのIDを要求するものであれば(S32のY)、コマンド処理部56は、攻撃対象ECU(実施例ではBCM−ECU)のIDを含む応答フレームを生成する。フレーム送信部58は、不正フレーム送信元の不正装置26へ応答フレームを送信する(S34)。コマンドがECUのIDを要求するものでなければ(S32のN)、S34をスキップする。
受信フレームのコマンドが攻撃対象ECUのメモリデータの提供を要求するものであれば(S36のY)、コマンド処理部56は、攻撃対象ECU(実施例ではBCM−ECU)のメモリデータに対応するダミーデータを参照して、ダミーデータの少なくとも一部を含む応答フレームを生成する。フレーム送信部58は、不正フレーム送信元の不正装置26へ応答フレームを送信する(S38)。コマンドがメモリデータの提供を要求するものでなければ(S36のN)、S38をスキップする。
受信フレームのコマンドが攻撃対象ECUのメモリデータの書き換えを要求するものであれば(S40のY)、コマンド処理部56は、コマンドに応じてダミーデータを更新し(S42)、メモリデータの書き換え成功を示す応答フレームを生成する。フレーム送信部58は、不正フレーム送信元の不正装置26へ応答フレームを送信する(S44)。コマンドがメモリデータの書き換えを要求するものでなければ(S40のN)、S42およびS44をスキップする。フレーム受信部54がフレームを未受信であれば(S30のN)、S32以降をスキップして本図のフローを終了する。ダミーECU16は、電源オンの間、図5に示す動作を繰り返し実行する。
以上、本発明を実施例をもとに説明した。この実施例は例示であり、それらの各構成要素あるいは各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。
変形例を説明する。実施例では、ゲートウェイECU12とダミーECU16を別装置としたが、変形例として、ゲートウェイECU12とダミーECU16を一体化してもよい。例えば、ゲートウェイECU12は、実施例のダミーECU16の機能を含むダミー部をさらに備えてもよい。例えば、図3に示すダミーECU16の機能ブロックに対応する複数のモジュールを含むプログラムがゲートウェイECU12のメモリに記憶され、ゲートウェイECU12のCPUがそのプログラムを実行することによりダミー部の機能が発揮されてもよい。
本変形例では、ゲートウェイECU12の判定部40は、受信フレームを不正と判定した場合、当該受信フレームをフレーム転送部42に渡すことに代えて、ダミー部に渡してもよい。ゲートウェイECU12のダミー部は、判定部40により不正と判定された受信フレームに対する肯定的な内容を示す応答フレームを生成し、受信フレームの送信元装置(例えば不正装置26)へ当該応答フレームを送信してもよい。この変形例によると、ゲートウェイECU12と別個にダミーECU16を設けることが不要になり、車載ネットワークシステム24の構築コストを低減することができる。
別の変形例を説明する。実施例では、不正装置26による攻撃対象をBCM−ECUとしたが、実施例に記載の技術は、他の種類のECU(各種のセンサECU、アクチュエータECU等)が攻撃対象となる場合にも適用可能である。この場合、ダミーECU16は、攻撃対象となるECUのメモリデータに対応するダミーデータを記憶すればよい。
なお、不正と判定された受信フレームの内容(例えばペイロードに設定されたパラメータ値)により攻撃対象のECUが識別可能な場合、ダミーECU16は、複数種類のECUのメモリデータに対応する複数種類のダミーデータと、複数種類のECUのIDを記憶してもよい。ダミーECU16は、不正と判定された受信フレームの内容に基づいて攻撃対象のECUを識別し、攻撃対象のECUに対応するIDおよびダミーデータを使用して、当該受信フレームに対する肯定的な応答を生成してもよい。
実施例および変形例に記載の技術は、以下の項目によって特定されてもよい。
[項目1]
車両に搭載された電子制御装置と、ダミー装置と、中継装置と、を備え、
前記中継装置は、
前記車両の外部装置から送信されたフレームを受信する受信部と、
前記受信部により受信されたフレームに設定されたIDに基づいて、前記フレームが正当か、または、不正かを判定する判定部と、
前記判定部により前記フレームが正当と判定された場合、前記フレームに設定されたIDにより特定される送信先の電子制御装置へ前記フレームを転送し、前記フレームが不正と判定された場合、前記フレームを前記ダミー装置へ転送する転送部と、を含み、
前記ダミー装置は、前記中継装置において不正と判定されたフレームに対する肯定的な応答を前記外部装置へ送信する、通信システム。
この通信システムによると、外部装置からの攻撃が電子制御装置に届くことを防止できる。また、攻撃側の外部装置に肯定的な応答を返すことで、攻撃が成功したと外部装置に誤認識させ、例えば、以降の攻撃を抑制させることができる。また、この通信システムは、既存の通信システムをベースに、中継装置にプログラムを追加し、また、ダミー装置を追加することで実現できる。すなわち、多大な構築コストを要さず、効率的に車両のセキュリティを向上することができる。
[項目2]
前記ダミー装置は、
前記電子制御装置のメモリに記憶されたデータに対応するダミーデータを記憶する記憶部と、
前記中継装置において不正と判定されたフレームがメモリに記憶されたデータの提供指示を含む場合、前記記憶部に記憶されたダミーデータを含む応答を前記外部装置へ送信する送信部と、を含む、項目1に記載の通信システム。
この態様によると、攻撃側の外部装置に、攻撃が成功したと誤認識させ、例えば、以降の攻撃を抑制させることができる。
[項目3]
前記ダミー装置は、前記フレームがメモリに記憶されたデータの書き換え指示を含む場合、前記データの書き換えに成功したことを示す応答を前記外部装置へ送信する送信部を含む、項目1または2に記載の通信システム。
この態様によると、攻撃側の外部装置に、攻撃が成功したと誤認識させ、例えば、以降の攻撃を抑制させることができる。
[項目4]
車両に搭載された中継装置であって、
前記車両の外部装置から送信されたフレームを受信する受信部と、
前記受信部により受信されたフレームに設定されたIDに基づいて、前記フレームが正当か、または、不正かを判定する判定部と、
前記判定部により前記フレームが正当と判定された場合、前記フレームに設定されたIDにより特定される送信先の電子制御装置へ前記フレームを転送する転送部と、
前記フレームが不正と判定された場合、前記フレームに対する肯定的な応答を前記外部装置へ送信するダミー部と、を備える中継装置。
この中継装置によると、外部装置からの攻撃が電子制御装置に届くことを防止できる。また、攻撃側の外部装置に肯定的な応答を返すことで、攻撃が成功したと外部装置に誤認識させ、例えば、以降の攻撃を抑制させることができる。また、この中継装置は、既存の中継装置をベースに、プログラム(例えばダミー部を実装したプログラム)を追加することで実現できる。すなわち、多大な構築コストを要さず、効率的に車両のセキュリティを向上することができる。
[項目5]
車両に搭載された中継装置が、
前記車両の外部装置から送信されたフレームを受信し、
受信した前記フレームに設定されたIDに基づいて、前記フレームが正当か、または、不正かを判定し、
前記フレームを正当と判定した場合、前記フレームに設定されたIDにより特定される送信先の電子制御装置へ前記フレームを転送し、前記フレームを不正と判定した場合、前記フレームをダミー装置へ転送し、
前記ダミー装置が、前記中継装置において不正と判定されたフレームに対する肯定的な応答を前記外部装置へ送信する、通信方法。
この通信方法によると、項目1の通信システムと同様の効果を奏する。
[項目6]
車両に搭載された中継装置に、
前記車両の外部装置から送信されたフレームを受信し、
受信した前記フレームに設定されたIDに基づいて、前記フレームが正当か、または、不正かを判定し、
前記フレームを正当と判定した場合、前記フレームに設定されたIDにより特定される送信先の電子制御装置へ前記フレームを転送し、
前記フレームを不正と判定した場合、前記フレームに対する肯定的な応答を前記外部装置へ送信するダミー装置へ前記フレームを転送する、ことを実行させるためのコンピュータプログラム。
このコンピュータプログラムによると、項目1の通信システムと同様の効果を奏する。
[項目1]
車両に搭載された電子制御装置と、ダミー装置と、中継装置と、を備え、
前記中継装置は、
前記車両の外部装置から送信されたフレームを受信する受信部と、
前記受信部により受信されたフレームに設定されたIDに基づいて、前記フレームが正当か、または、不正かを判定する判定部と、
前記判定部により前記フレームが正当と判定された場合、前記フレームに設定されたIDにより特定される送信先の電子制御装置へ前記フレームを転送し、前記フレームが不正と判定された場合、前記フレームを前記ダミー装置へ転送する転送部と、を含み、
前記ダミー装置は、前記中継装置において不正と判定されたフレームに対する肯定的な応答を前記外部装置へ送信する、通信システム。
この通信システムによると、外部装置からの攻撃が電子制御装置に届くことを防止できる。また、攻撃側の外部装置に肯定的な応答を返すことで、攻撃が成功したと外部装置に誤認識させ、例えば、以降の攻撃を抑制させることができる。また、この通信システムは、既存の通信システムをベースに、中継装置にプログラムを追加し、また、ダミー装置を追加することで実現できる。すなわち、多大な構築コストを要さず、効率的に車両のセキュリティを向上することができる。
[項目2]
前記ダミー装置は、
前記電子制御装置のメモリに記憶されたデータに対応するダミーデータを記憶する記憶部と、
前記中継装置において不正と判定されたフレームがメモリに記憶されたデータの提供指示を含む場合、前記記憶部に記憶されたダミーデータを含む応答を前記外部装置へ送信する送信部と、を含む、項目1に記載の通信システム。
この態様によると、攻撃側の外部装置に、攻撃が成功したと誤認識させ、例えば、以降の攻撃を抑制させることができる。
[項目3]
前記ダミー装置は、前記フレームがメモリに記憶されたデータの書き換え指示を含む場合、前記データの書き換えに成功したことを示す応答を前記外部装置へ送信する送信部を含む、項目1または2に記載の通信システム。
この態様によると、攻撃側の外部装置に、攻撃が成功したと誤認識させ、例えば、以降の攻撃を抑制させることができる。
[項目4]
車両に搭載された中継装置であって、
前記車両の外部装置から送信されたフレームを受信する受信部と、
前記受信部により受信されたフレームに設定されたIDに基づいて、前記フレームが正当か、または、不正かを判定する判定部と、
前記判定部により前記フレームが正当と判定された場合、前記フレームに設定されたIDにより特定される送信先の電子制御装置へ前記フレームを転送する転送部と、
前記フレームが不正と判定された場合、前記フレームに対する肯定的な応答を前記外部装置へ送信するダミー部と、を備える中継装置。
この中継装置によると、外部装置からの攻撃が電子制御装置に届くことを防止できる。また、攻撃側の外部装置に肯定的な応答を返すことで、攻撃が成功したと外部装置に誤認識させ、例えば、以降の攻撃を抑制させることができる。また、この中継装置は、既存の中継装置をベースに、プログラム(例えばダミー部を実装したプログラム)を追加することで実現できる。すなわち、多大な構築コストを要さず、効率的に車両のセキュリティを向上することができる。
[項目5]
車両に搭載された中継装置が、
前記車両の外部装置から送信されたフレームを受信し、
受信した前記フレームに設定されたIDに基づいて、前記フレームが正当か、または、不正かを判定し、
前記フレームを正当と判定した場合、前記フレームに設定されたIDにより特定される送信先の電子制御装置へ前記フレームを転送し、前記フレームを不正と判定した場合、前記フレームをダミー装置へ転送し、
前記ダミー装置が、前記中継装置において不正と判定されたフレームに対する肯定的な応答を前記外部装置へ送信する、通信方法。
この通信方法によると、項目1の通信システムと同様の効果を奏する。
[項目6]
車両に搭載された中継装置に、
前記車両の外部装置から送信されたフレームを受信し、
受信した前記フレームに設定されたIDに基づいて、前記フレームが正当か、または、不正かを判定し、
前記フレームを正当と判定した場合、前記フレームに設定されたIDにより特定される送信先の電子制御装置へ前記フレームを転送し、
前記フレームを不正と判定した場合、前記フレームに対する肯定的な応答を前記外部装置へ送信するダミー装置へ前記フレームを転送する、ことを実行させるためのコンピュータプログラム。
このコンピュータプログラムによると、項目1の通信システムと同様の効果を奏する。
上述した実施例および変形例の任意の組み合わせもまた本発明の実施の形態として有用である。組み合わせによって生じる新たな実施の形態は、組み合わされる実施例および変形例それぞれの効果をあわせもつ。また、請求項に記載の各構成要件が果たすべき機能は、実施例および変形例において示された各構成要素の単体もしくはそれらの連携によって実現されることも当業者には理解されるところである。
10 車両、 12 ゲートウェイECU、 14 処理ECU、 16 ダミーECU、 24 車載ネットワークシステム、 38 フレーム受信部、 40 判定部、 42 フレーム転送部、 52 他装置データ記憶部、 54 フレーム受信部、 56 コマンド処理部、 58 フレーム送信部。
Claims (6)
- 車両に搭載された電子制御装置と、ダミー装置と、中継装置と、
を備え、
前記中継装置は、
前記車両の外部装置から送信されたフレームを受信する受信部と、
前記受信部により受信されたフレームに設定されたIDに基づいて、前記フレームが正当か、または、不正かを判定する判定部と、
前記判定部により前記フレームが正当と判定された場合、前記フレームに設定されたIDにより特定される送信先の電子制御装置へ前記フレームを転送し、前記フレームが不正と判定された場合、前記フレームを前記ダミー装置へ転送する転送部と、を含み、
前記ダミー装置は、前記中継装置において不正と判定されたフレームに対する肯定的な応答を前記外部装置へ送信する、
通信システム。 - 前記ダミー装置は、
前記電子制御装置のメモリに記憶されたデータに対応するダミーデータを記憶する記憶部と、
前記中継装置において不正と判定されたフレームがメモリに記憶されたデータの提供指示を含む場合、前記記憶部に記憶されたダミーデータを含む応答を前記外部装置へ送信する送信部と、を含む、
請求項1に記載の通信システム。 - 前記ダミー装置は、前記フレームがメモリに記憶されたデータの書き換え指示を含む場合、前記データの書き換えに成功したことを示す応答を前記外部装置へ送信する送信部を含む、
請求項1または2に記載の通信システム。 - 車両に搭載された中継装置であって、
前記車両の外部装置から送信されたフレームを受信する受信部と、
前記受信部により受信されたフレームに設定されたIDに基づいて、前記フレームが正当か、または、不正かを判定する判定部と、
前記判定部により前記フレームが正当と判定された場合、前記フレームに設定されたIDにより特定される送信先の電子制御装置へ前記フレームを転送する転送部と、
前記フレームが不正と判定された場合、前記フレームに対する肯定的な応答を前記外部装置へ送信するダミー部と、
を備える中継装置。 - 車両に搭載された中継装置が、
前記車両の外部装置から送信されたフレームを受信し、
受信した前記フレームに設定されたIDに基づいて、前記フレームが正当か、または、不正かを判定し、
前記フレームを正当と判定した場合、前記フレームに設定されたIDにより特定される送信先の電子制御装置へ前記フレームを転送し、前記フレームを不正と判定した場合、前記フレームをダミー装置へ転送し、
前記ダミー装置が、前記中継装置において不正と判定されたフレームに対する肯定的な応答を前記外部装置へ送信する、
通信方法。 - 車両に搭載された中継装置に、
前記車両の外部装置から送信されたフレームを受信し、
受信した前記フレームに設定されたIDに基づいて、前記フレームが正当か、または、不正かを判定し、
前記フレームを正当と判定した場合、前記フレームに設定されたIDにより特定される送信先の電子制御装置へ前記フレームを転送し、
前記フレームを不正と判定した場合、前記フレームに対する肯定的な応答を前記外部装置へ送信するダミー装置へ前記フレームを転送する、
ことを実行させるためのコンピュータプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017061630A JP2018164232A (ja) | 2017-03-27 | 2017-03-27 | 通信システム、中継装置、通信方法およびコンピュータプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017061630A JP2018164232A (ja) | 2017-03-27 | 2017-03-27 | 通信システム、中継装置、通信方法およびコンピュータプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2018164232A true JP2018164232A (ja) | 2018-10-18 |
Family
ID=63861126
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017061630A Pending JP2018164232A (ja) | 2017-03-27 | 2017-03-27 | 通信システム、中継装置、通信方法およびコンピュータプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2018164232A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020085421A1 (ja) * | 2018-10-24 | 2020-04-30 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 不正検知装置及び不正検知方法 |
| JP2020167607A (ja) * | 2019-03-29 | 2020-10-08 | マツダ株式会社 | 自動車用演算システム及び受信データの処理方法 |
-
2017
- 2017-03-27 JP JP2017061630A patent/JP2018164232A/ja active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020085421A1 (ja) * | 2018-10-24 | 2020-04-30 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 不正検知装置及び不正検知方法 |
| JP2020167607A (ja) * | 2019-03-29 | 2020-10-08 | マツダ株式会社 | 自動車用演算システム及び受信データの処理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10104094B2 (en) | On-vehicle communication system | |
| EP3348036B1 (en) | Unauthorized access event notificaiton for vehicle electronic control units | |
| JP6807906B2 (ja) | 車両へのコンピュータ攻撃を阻止するためのルールを生成するシステムおよび方法 | |
| US8925083B2 (en) | Cyber security in an automotive network | |
| JP6762347B2 (ja) | 交通手段に対するコンピュータ攻撃を阻止するためのシステムおよび方法 | |
| Martínez-Cruz et al. | Security on in-vehicle communication protocols: Issues, challenges, and future research directions | |
| JP6846706B2 (ja) | 監視装置、監視方法およびコンピュータプログラム | |
| JP6782444B2 (ja) | 監視装置、監視方法およびコンピュータプログラム | |
| US11245535B2 (en) | Hash-chain based sender identification scheme | |
| US11647045B2 (en) | Monitoring a network connection for eavesdropping | |
| CN112805968B (zh) | 车载通信装置、通信控制方法和通信控制程序 | |
| WO2017010172A1 (ja) | ゲートウェイ装置およびその制御方法 | |
| US20160014105A1 (en) | Out-of-vehicle device interface apparatus and method for protecting in-vehicle network | |
| US11228602B2 (en) | In-vehicle network system | |
| JP2018164232A (ja) | 通信システム、中継装置、通信方法およびコンピュータプログラム | |
| KR20200040876A (ko) | 차량의 제어 장치에 대한 공격을 검출하기 위한 방법 | |
| KR102075514B1 (ko) | 차량용 네트워크 보안장치 | |
| JP6468133B2 (ja) | 車載ネットワークシステム | |
| JP2018166309A (ja) | 車載ネットワークシステム、電子制御装置、通信方法およびコンピュータプログラム | |
| JP2013112120A (ja) | 車載通信システム | |
| KR20200076217A (ko) | 공격 메시지 재전송 시간을 예측하는 can 네트워크에 대한 메시지플러딩 공격 완화방법 | |
| JP7067508B2 (ja) | ネットワークシステム | |
| JP7110950B2 (ja) | ネットワークシステム | |
| GB2548371A (en) | Firewall for securing access to vehicle networks | |
| JP2017123570A (ja) | 中継装置及び通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20180417 |