JP2018166309A - 車載ネットワークシステム、電子制御装置、通信方法およびコンピュータプログラム - Google Patents
車載ネットワークシステム、電子制御装置、通信方法およびコンピュータプログラム Download PDFInfo
- Publication number
- JP2018166309A JP2018166309A JP2017063801A JP2017063801A JP2018166309A JP 2018166309 A JP2018166309 A JP 2018166309A JP 2017063801 A JP2017063801 A JP 2017063801A JP 2017063801 A JP2017063801 A JP 2017063801A JP 2018166309 A JP2018166309 A JP 2018166309A
- Authority
- JP
- Japan
- Prior art keywords
- frame
- electronic control
- vehicle network
- unit
- ecu
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
【課題】車両に搭載された電子制御装置間の通信を維持しつつ、セキュリティを向上させる。【解決手段】ECU14のそれぞれは、CANバス16を流れるフレームに付与され、特定のECU14に対応するIDを第1IDから第1IDとは異なる第2IDへ変更するためのアルゴリズムであり、複数のECU14間で共通のアルゴリズムに基づく変更プログラムを記憶する。ECU14のそれぞれは、CANバス16から受信されたフレームに付与されたIDに基づいて、当該フレームが不正な装置から送信されたものか否かを判定する。ECU14のそれぞれは、不正な装置から送信されたと判定したフレームに付与されたIDが第1IDである場合、上記変更プログラムに基づいて、上記特定のECU14に対応するIDを第1IDから第2IDへ変更する。【選択図】図1
Description
本発明はデータ通信技術に関し、特に車載ネットワークシステム、電子制御装置、通信方法およびコンピュータプログラムに関する。
近年、自動車には、多数の電子制御ユニット(Electronic Control Unit、以下「ECU」と呼ぶ。)が搭載されている。これらのECUを繋ぐネットワークは車載ネットワークと呼ばれる。車載ネットワークには多数の規格が存在するが、広く普及した規格としてCAN(Controller Area Network)がある。
車両制御装置のメモリの書き換え許可を判断する既存のセキュリティ情報(例えばセキュリティ関数)が第三者に知られてしまった場合でも、そのセキュリティ情報を変更することで、不正なメモリ書き換えの拡大を防止するメモリ書き換えシステムが提案されている。
複数のECUが繋がる車載ネットワークシステムでは、セキュリティ情報そのものを書き換えてしまうと、ECU間の通信が成立しなくなる可能性がある。
本発明は上記課題に鑑みたもので、1つの目的は、車両に搭載された電子制御装置間の通信を維持しつつ、セキュリティを向上させることである。
上記課題を解決するために、本発明のある態様の車載ネットワークシステムは、車載ネットワークに接続された複数の電子制御装置を備える。複数の電子制御装置のそれぞれは、車載ネットワークを流れるフレームに付与され、複数の電子制御装置のうち特定の電子制御装置に対応するIDを、第1IDから第1IDとは異なる第2IDへ変更するためのアルゴリズムであって、複数の電子制御装置間で共通のアルゴリズムに基づく変更プログラムを記憶する記憶部と、車載ネットワークからフレームを受信する受信部と、受信部により受信されたフレームに付与されたIDに基づいて、当該フレームが不正な装置から送信されたものか否かを判定する判定部と、判定部により不正な装置から送信されたと判定されたフレームに付与されたIDが第1IDである場合、記憶部に記憶された変更プログラムに基づいて、特定の電子制御装置に対応するIDを第1IDから第2IDへ変更する変更部と、を含む。
本発明の別の態様は、電子制御装置である。この装置は、車載ネットワークに接続された複数の電子制御装置を備える車載ネットワークシステムで用いられる電子制御装置であって、車載ネットワークを流れるフレームに付与され、複数の電子制御装置のうち特定の電子制御装置に対応するIDを、第1IDから第1IDとは異なる第2IDへ変更するためのアルゴリズムであって、複数の電子制御装置間で共通のアルゴリズムに基づく変更プログラムを記憶する記憶部と、車載ネットワークからフレームを受信する受信部と、受信部により受信されたフレームに付与されたIDに基づいて、当該フレームが不正な装置から送信されたものか否かを判定する判定部と、判定部により不正な装置から送信されたと判定されたフレームに付与されたIDが第1IDである場合、記憶部に記憶された変更プログラムに基づいて、特定の電子制御装置に対応するIDを第1IDから第2IDへ変更する変更部と、を含む。
本発明のさらに別の態様は、通信方法である。この方法は、車載ネットワークに接続された複数の電子制御装置が実行する通信方法であって、複数の電子制御装置のそれぞれは、車載ネットワークを流れるフレームに付与され、複数の電子制御装置のうち特定の電子制御装置に対応するIDを、第1IDから第1IDとは異なる第2IDへ変更するためのアルゴリズムであって、複数の電子制御装置間で共通のアルゴリズムに基づく変更プログラムを記憶する記憶部を備える。複数の電子制御装置のそれぞれが、車載ネットワークからフレームを受信し、受信したフレームに付与されたIDに基づいて、当該フレームが不正な装置から送信されたものか否かを判定し、不正な装置から送信されたと判定したフレームに付与されたIDが第1IDである場合、記憶部に記憶された変更プログラムに基づいて、特定の電子制御装置に対応するIDを第1IDから第2IDへ変更する。
なお、以上の構成要素の任意の組合せ、本発明の表現を、コンピュータプログラム、コンピュータプログラムを記録した記録媒体、本装置を搭載した車両などの間で変換したものもまた、本発明の態様として有効である。
本発明によれば、車両に搭載された電子制御装置間の通信を維持しつつ、セキュリティを向上させることができる。
[第1実施例]
実施例の車載ネットワークシステムを構成する複数のECUのそれぞれは、各ECUに対応するID(実施例ではCAN−ID)を変更するためのアルゴリズムであり、複数のECU間で共通のアルゴリズムを実装した変更プログラムを記憶する。各ECUは、受信フレームが不正であることを検出すると、変更プログラムに基づいて、受信フレームに付与された特定のECUに対応するCAN−IDを、それまでとは別の値へ変更する。すなわち、実施例の車載ネットワークシステムでは、不正装置によりなりすましされた特定のECUに対応するIDを、複数のECU間で同期的に変更する。これにより、不正装置によりなりすましされたECUとの通信を維持しつつ、不正装置からの通信を遮断することができる。
実施例の車載ネットワークシステムを構成する複数のECUのそれぞれは、各ECUに対応するID(実施例ではCAN−ID)を変更するためのアルゴリズムであり、複数のECU間で共通のアルゴリズムを実装した変更プログラムを記憶する。各ECUは、受信フレームが不正であることを検出すると、変更プログラムに基づいて、受信フレームに付与された特定のECUに対応するCAN−IDを、それまでとは別の値へ変更する。すなわち、実施例の車載ネットワークシステムでは、不正装置によりなりすましされた特定のECUに対応するIDを、複数のECU間で同期的に変更する。これにより、不正装置によりなりすましされたECUとの通信を維持しつつ、不正装置からの通信を遮断することができる。
図1は、実施例の車載ネットワークシステム12の構成を示す。車載ネットワークシステム12は、車両10内部に構築された通信システムである。車載ネットワークシステム12は、ECU14a、ECU14b、ECU14c(以下、総称する場合「ECU14」と呼ぶ。)を備える。
複数のECU14のそれぞれは、他のECUから送信されたフレーム(CANフレーム、CANメッセージとも言える。)に基づいて、各種アクチュエータ(ステアリング、ブレーキ等)を制御してもよい。また、ECU14のそれぞれは、各種センサ(温度センサ、加速度センサ等)に接続され、CANバス16から受信したフレームに基づいて、センサの検知内容を他のECUへ通知してもよい。
複数のECU14は、車載ネットワークであるCANバス16に接続される。CANバス16を流れるフレームには、当該フレームの種類を示すCAN−IDが付与される。実施例におけるCAN−IDには、少なくとも送信元のECU14に対応する値が設定される。すなわち、少なくとも送信元のECU14が異なれば、異なるCAN−IDが設定される。なお、CAN−IDには、送信元のECU14と送信先のECU14との組み合わせごとに異なる値が設定されてもよい。
実施例の車載ネットワークシステム12では、本来はCANバス16に接続されるべきでない不正装置18がCANバス16に接続されている。不正装置18は、正当なECU14になりすまし、正当なECU14に対応するCAN−IDを設定したフレームを不正にCANバス16へ出力する。不正装置18は、OBD(On Board Diagnostics)コネクタ等を介してCANバス16に接続されるPCであってもよい。また、不正装置18は、車両10外部の通信網を介してCANバス16へ不正フレームを入力してもよい。
図2は、図1のECU14の機能構成を示すブロック図である。本明細書のブロック図において示される各ブロックは、ハードウェア的には、コンピュータのCPU・メモリをはじめとする素子や機械装置で実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現できることは、当業者には理解されるところである。
ECU14は、フレーム記憶部20、ID記憶部22、変更規則記憶部24、通信部26、判定部28、データ処理部30、異常時処理部32を備える。この構成は、ECU14a、ECU14b、ECU14cに共通である。また、これらのブロックに対応するモジュールを含むコンピュータプログラムがECU14のメモリに格納され、ECU14のCPUがそのコンピュータプログラムを実行することにより、これらのブロックの機能が発揮されてもよい。
フレーム記憶部20は、CANバス16から受信されたフレームを一時的に記憶する。ID記憶部22は、CANバス16に接続された複数のECU14に対応する複数のCAN−IDを格納したIDテーブルを記憶する。
図3は、IDテーブルの例を示す。IDテーブルは、ECU14の識別子と、ECU14に現在対応するCAN−ID(「1A1」等)とを対応付けたテーブルである。図3のIDテーブルは、ECU14aから送信されるフレームに、CAN−ID「1A1」が設定され、また、ECU14bから送信されるフレームに、CAN−ID「1B1」が設定されることを示している。図3には不図示だが、実施例のIDテーブルには、ECU14の識別子とCAN−IDの各組に対応付けて、予め定められたフレームの受信周期(言い換えれば送信周期)がさらに格納される。
図2に戻り、変更規則記憶部24は、複数のECU14のそれぞれに対応するCAN−IDを、それまでの値(第1ID)から別の値(第2ID)へ変更するための所定のアルゴリズムに基づくコンピュータプログラム(以下「変更プログラム」と呼ぶ。)を記憶する。変更プログラムの具体的な実装は、各ECU14のCPUの種類等に応じて異なってもよいが、変更プログラムのアルゴリズムは、複数のECU14間で共通である。すなわち、特定のECU14に対応するCAN−IDについて、1回目の変更後のID値、2回目の変更後のID値、3回目の変更後のID値、・・・は、複数のECU14間で同じになる。
実施例の変更規則記憶部24は、変更プログラムとして、複数回の変更に亘る複数個のCAN−IDを定めたID変更テーブルを記憶する。また、変更規則記憶部24は、複数のECU14に対応する複数のID変更テーブル(ECU14a用テーブル、ECU14b用テーブル、ECU14c用テーブル)を記憶する。図4は、ID変更テーブルの例を示す。図4では、ECU14aに対応するID変更テーブルを示している。このID変更テーブルは、ECU14aの複数のID候補と、候補間での変更順序を定める。例えば、図4のID変更テーブルでは、CAN−ID「1A1」から、「1A2」、「1A3」、「1A4」の順に変更することを定めてもよい。
図2に戻り、通信部26は、CANプロトコルにしたがって、CANバス16からフレームを受信する受信部として機能し、また、CANバス16へフレームを送信する送信部として機能する。通信部26は、CANバス16から受信したフレームのデータを、受信時刻と対応付けてフレーム記憶部20に格納する。
判定部28は、通信部26により受信されたフレームに付与されたIDに基づいて、当該フレームが不正な装置から送信されたもの(以下「不正フレーム」とも呼ぶ。)か否かを判定する。具体的には、判定部28は、受信フレームに設定されたCAN−IDが、ID記憶部22のIDテーブルでいずれのECU14にも対応付けられていない場合、受信フレームを第1不正フレームと判定する。
また、判定部28は、受信フレームに設定されたCAN−IDが、ID記憶部22のIDテーブルで特定のECU14と対応付けられていても、受信フレームのCAN−IDが、自装置に対応するID(例えば、IDテーブルで自装置に対応付けられたID)である場合、受信フレームを第2不正フレームと判定する。この理由は、本来は自装置が送信するフレームにのみ設定されるCAN−IDが受信フレームに設定されているからである。
また、判定部28は、今回の受信フレームに設定されたCAN−IDと同じIDが設定された過去の受信フレーム(以下「過去フレーム」とも呼ぶ。)をフレーム記憶部20を参照して特定する。判定部28は、受信フレームのCAN−IDが、ID記憶部22のIDテーブルで特定のECU14と対応付けられていても、今回の受信フレームおよび同一IDの過去フレームの受信頻度が所定値を上回る場合、今回の受信フレームを第3不正フレームと判定する。
具体的には、判定部28は、ID記憶部22のIDテーブルを参照して、今回の受信フレームに設定されたCAN−IDの受信周期を基準周期として特定する。なお、判定部28は、フレーム記憶部20に記憶された同一IDの過去フレームの受信時刻に基づいてこれまでの受信周期(すなわち基準周期)を特定してもよい。判定部28は、今回の受信フレームの受信時刻と、1つ前に受信した同一IDの過去フレームの受信時刻とに基づいて、今回の受信フレームの受信周期を特定する。
判定部28は、今回の受信フレームの受信周期が基準周期と不整合の場合、今回の受信フレームを第3不正フレームと判定する。この理由は、不正装置18が正当なECU14になりすましてフレームを送信することにより、正当なECU14のCAN−IDが設定されたフレームの受信周期が変化する(典型的には受信周期が短くなる)からである。なお、今回の受信フレームの受信周期が基準周期と不整合とは、今回の受信フレームの受信周期と基準周期との差が所定の閾値以上であることでもよく、今回の受信フレームの受信周期が基準周期よりも所定の閾値より短いことでもよい。
また、判定部28は、所定時間(予め定められた単位時間とも言え、例えば30秒等)における今回の受信フレームおよび同一IDの過去フレームの受信回数が、予め定められた閾値を超過した場合、今回の受信フレームを第3不正フレームと判定する。この理由は、不正装置18が正当なECU14になりすましてフレームを送信することで、正当なECU14のCAN−IDが設定されたフレームの受信回数が増加するからである。
なお、判定部28が使用する閾値として、開発者の知見や、車載ネットワークシステム12を使用した実験等により適切な値が決定されてよい。また、受信周期による不正フレーム検出と、受信回数による不正フレーム検出のいずれか一方を実行する構成でもよい。
データ処理部30は、判定部28により受信フレームが不正フレームと判定されなかった場合、当該受信フレームに基づいて所定のデータ処理を実行する。例えば、データ処理部30は、アクチュエータ(不図示)の制御を実行してもよい。
異常時処理部32は、判定部28により受信フレームが不正フレームと判定された場合の処理を実行する。異常時処理部32は、判定部28により受信フレームが第1不正フレームと判定された場合、すなわち、受信フレームのCAN−IDが不正の場合、受信フレームを破棄し、または無効化する。異常時処理部32は、受信フレームを無効化するためのエラーフレームをCANバス16へ送信してもよい。
異常時処理部32はID変更部34を含む。ID変更部34は、第2不正フレームおよび第3不正フレームに付与されたCAN−IDに対応する特定のECU14(以下、「特定ECU」と呼ぶ。)を識別し、特定ECUに対応するCAN−IDを変更する。例えば、特定ECUのそれまでのCAN−IDが第1IDである場合、変更規則記憶部24の変更プログラムにおいて第1IDの次に規定された第2IDを識別し、特定ECUのCAN−IDを第1IDから第2IDへ変更する。なお、特定ECUは、不正装置18がなりすましたECUと言える。
具体的には、ID変更部34は、変更規則記憶部24から特定ECUのID変更テーブルを読み出す。ID変更部34は、読み出したID変更テーブルで規定された変更順序にしたがって、第2不正フレームおよび第3不正フレームに付与されたCAN−IDの次のCAN−IDを識別する。ID変更部34は、ID変更テーブルで識別した次のCAN−IDを、特定ECUに対応する新たなCAN−IDとして、ID記憶部22のIDテーブルに保存する。これにより、特定ECUに対応するCAN−IDを、不正フレームに設定された従来の値から新たな値へ変更する。
共通のID変更テーブル(言い換えれば共通のアルゴリズムに基づく変更プログラム)を有するECU14a、ECU14b、ECU14c間では、特定ECUの新たなCAN−IDを共有できるが、ID変更テーブルを持たない不正装置18は、新たなCAN−IDを知り得ない。したがって、CAN−IDを変更することで、以降のなりすましを防止することができる。
以上の構成による車載ネットワークシステム12の動作を以下説明する。
図5は、図1のECU14の動作を示すフローチャートである。この動作は、ECU14a、ECU14b、ECU14cに共通である。
図5は、図1のECU14の動作を示すフローチャートである。この動作は、ECU14a、ECU14b、ECU14cに共通である。
通信部26がCANバス16からフレームを受信すると(S10のY)、判定部28は、ID記憶部22のIDテーブルを参照して、受信フレームが不正フレームか否かを判定する。受信フレームに付与されたCAN−ID(「受信フレームID」と呼ぶ。)が、ID記憶部22のIDテーブルでいずれかのECU14と対応付けられていれば(S12のN)、判定部28は、受信フレームIDと、自ECUに対応するCAN−IDとの異同を判定する。
受信フレームIDが、自ECUに対応するCAN−IDと異なる場合(S14のN)、判定部28は、受信フレームと同一IDのフレームの基準周期を特定する。今回の受信フレームの受信タイミングが基準周期に整合する場合(S16のN)、判定部28は、受信フレームおよび同一IDの過去フレームを、所定時間内に規定回数を超えて受信したか否かを判定する。受信フレームおよび同一IDの過去フレームの受信回数が規定回数内であれば(S18のN)、判定部28は、今回の受信フレームを正当なフレームと判定する。データ処理部30は、判定部28により正当なフレームと判定された受信フレームにしたがって、ECU14が担当する所定のデータ処理を実行する(S20)。
受信フレームIDが、自ECUに対応するCAN−IDと同一の場合(S14のY)、ID変更部34は、変更規則記憶部24に記憶された変更プログラムにしたがって、受信フレームIDに対応する特定ECUのCAN−ID(この時点では受信フレームIDと同じ)を、それまでとは異なる値に変更する(S22)。受信フレームの受信タイミングが基準周期を逸脱する場合(S16のY)、または、受信フレームおよび同一IDの過去フレームの受信回数が規定回数を超過した場合も(S18のY)、特定ECUのCAN−IDを変更する(S22)。
ECU14の電源がオフにされた場合等、所定の終了条件を満たす場合(S24のY)、本図のフローを終了する。終了条件が満たされなければ(S24のN)、S10に戻り、外部装置との通信を継続する。受信フレームIDが不正であり、例えば、受信フレームIDがIDテーブルでいずれのECU14とも対応付けられていなければ(S12のY)、判定部28は、受信フレームを不正フレームと判定する。異常時処理部32は、当該不正フレームを破棄または無効化し(S26)、S24へ進む。CANバス16からフレームを未受信であれば(S10のN)、S24へ進む。
なお、不正装置18が、ECU14aになりすまして、ECU14aのCAN−IDを指定する不正フレームをCANバス16へ送信した場合、ECU14a、ECU14b、ECU14cのそれぞれはCANバス16からこの不正フレームを受信する。そして、ECU14aは、S14の判定により不正フレーム(ECU14aへのなりすまし)を検出する。一方、ECU14bおよびECU14cは、S16またはS18の判定により不正フレーム(ECU14aへのなりすまし)を検出する。
[第2実施例]
第2実施例の車載ネットワークシステム12のECU14は、不正装置18によるなりすましフレームを検出した場合に、なりすまされた特定ECUに対応するCAN−IDを変更するとともに、CAN−IDの変更を他のECU14へ通知する。
第2実施例の車載ネットワークシステム12のECU14は、不正装置18によるなりすましフレームを検出した場合に、なりすまされた特定ECUに対応するCAN−IDを変更するとともに、CAN−IDの変更を他のECU14へ通知する。
図6は、第2実施例のECU14の機能構成を示すブロック図である。同図に示す機能ブロックのうち、第1実施例の機能ブロックと同一または対応する機能ブロックには、第1実施例と同じ符号を付している。以下、第1実施例で説明済みの内容は、再度の説明を省略する。
第2実施例のECU14の異常時処理部32は変更通知部36をさらに含む。変更通知部36は、ID変更部34により特定ECUのCAN−IDが変更された場合、その変更を示すフレーム(以下「変更通知」と呼ぶ。)を、通信部26を介して、CANバス16へブロードキャストする。変更通知部36は、変更通知のCAN−IDとして、変更通知を示す特別なIDを設定する。また、変更通知部36は、変更通知のペイロードに、特定ECUの変更前のCAN−IDを設定する一方、特定ECUの変更後のCAN−IDを設定することを抑制する。この理由は、変更後のCAN−IDが不正装置18に漏洩することを防止するためである。
ID変更部34は、通信部26により変更通知が受信されると、変更通知が示すCAN−ID(既述したように特定ECUの変更前のCAN−ID)に対応するECU14を変更対象ECUとして識別する。具体的には、ID変更部34は、変更規則記憶部24のID変更テーブルを参照し、変更通知が示すCAN−IDをID候補の中に含むECU14を変更対象ECUとして識別する。また、ID変更部34は、ID記憶部22のIDテーブルを参照して、変更対象ECUに対応する現在のCAN−IDを識別する。
変更対象ECUに対応する現在のCAN−IDが、変更通知が示すCAN−IDと一致する場合、ID変更部34は、変更対象ECUに対応するCAN−IDを自装置で変更済みと判定する。この場合、ID変更部34は、変更対象ECUに対応するCAN−IDをさらに変更することを抑制する。また、変更対象ECUに対応する現在のCAN−IDが、変更通知が示すCAN−IDと不一致の場合、ID変更部34は、第1実施例と同様の方法で、変更対象ECUに対応するCAN−IDを変更する。
この態様によると、不正装置18から送信された不正フレームが一部のECU14にのみ届く場合も、複数のECU14に、特定ECUに対応するCAN−IDを同期的に変更させることができる。また、第1実施例においてフレームの受信周期が基準周期を逸脱せず、または、受信回数が閾値を超えない場合も、複数のECU14に、特定ECUに対応するCAN−IDを同期的に変更させることができる。さらにまた、1つの不正フレームにより、特定ECUに対応するCAN−IDが複数回変更されることを抑制でき、特定ECUに対応するCAN−IDが複数のECU14間で不整合となることを防止できる。
なお、変更通知のCANフレームでは、8バイトのデータフィールドの中に、CAN−IDの変更に関する各種情報が設定されてもよい。CAN−IDの変更に関する情報は、以下の(1)〜(5)を含んでもよい。(1)特定ECUの変更前のCAN−ID値。(2)CAN−IDの変更有無。(3)変更に使用するアルゴリズムに関する情報(アルゴリズムの識別情報等)。(4)変更に使用するデータベースに関する情報(データベースの識別情報等)。(5)同期タイミング(CAN−IDの変更タイミング等)。
図7は、第2実施例のECU14の動作を示すフローチャートである。この動作は、ECU14a、ECU14b、ECU14cに共通である。図7のS30〜S34の処理は、図5のS10、S12、S26の処理と同じであるため説明を省略する。また、図7のS38〜S44、S48、S52の処理は、図5のS14〜S24と同じであるため説明を省略する。
ID変更部34が、特定ECUに対応するCAN−IDを変更した場合(S48)、変更通知部36は、特定ECUのCAN−IDを変更したことを示す変更通知のフレームをCANバス16へ送信する(S50)。
受信フレームのCAN−IDが変更通知を示す値でなければ(S36のN)、S38へ進む。受信フレームのCAN−IDが変更通知を示す値であれば(S36のY)、ID変更部34は、特定ECUに対応するCAN−IDを自装置で変更済みか否かを確認する。特定ECUに対応するCAN−IDを未変更であれば(S46のN)、S48へ進み、特定ECUに対応するCAN−IDを新たな値へ変更する。ただし、変更通知の受信を契機としてCAN−IDを変更した場合、S50の通知処理をスキップする。特定ECUに対応するCAN−IDを変更済みであれば(S46のY)、S48およびS50をスキップして、S52へ進む。
以上、本発明を第1実施例および第2実施例をもとに説明した。これらの実施例は例示であり、それらの各構成要素あるいは各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。以上の実施例によれば、車両に搭載された電子制御装置間の通信を維持しつつ、セキュリティを向上させることができる。また、セキュリティ攻撃等により、セキュリティ対応をしていないECUが車載ネットワークシステムに混在することになった場合、セキュリティ情報の書き換え自体ができないため、車載ネットワーク全体としてのセキュリティ向上の効果が期待できなかったが、上記の実施例によれば、セキュリティ情報を書き換えることなくセキュリティ向上を図ることができる。
実施例および変形例に記載の技術は、以下の項目によって特定されてもよい。
[項目1]
車載ネットワークに接続された複数の電子制御装置を備え、
前記複数の電子制御装置のそれぞれは、
前記車載ネットワークを流れるフレームに付与され、前記複数の電子制御装置のうち特定の電子制御装置に対応するIDを、第1IDから第1IDとは異なる第2IDへ変更するためのアルゴリズムであって、前記複数の電子制御装置間で共通のアルゴリズムに基づく変更プログラムを記憶する記憶部と、
前記車載ネットワークからフレームを受信する受信部と、
前記受信部により受信されたフレームに付与されたIDに基づいて、当該フレームが不正な装置から送信されたものか否かを判定する判定部と、
前記判定部により不正な装置から送信されたと判定されたフレームに付与されたIDが前記第1IDである場合、前記記憶部に記憶された変更プログラムに基づいて、前記特定の電子制御装置に対応するIDを前記第1IDから前記第2IDへ変更する変更部と、を含む車載ネットワークシステム。
この車載ネットワークシステムによると、不正なフレームを検出した電子制御装置のそれぞれが、他の電子制御装置と共通のアルゴリズムを実装した変更プログラムに基づいて、なりすましされた特定の電子制御装置に対応するIDをそれまでとは別のID(複数の電子制御装置間で同じID)に変更する。これにより、なりすましされた特定の電子制御装置との通信を維持しつつ、なりすまし側の不正装置との通信を遮断することができる。
[項目2]
前記判定部は、前記受信部により受信されたフレームに付与されたIDが、自装置に対応するIDである場合、当該フレームが不正な装置から送信されたものと判定する、
項目1に記載の車載ネットワークシステム。
この態様によると、自装置になりすまそうとする不正装置の存在を検出して、ID変更を実現できる。
[項目3]
前記判定部は、前記受信部により受信されたフレームと同じIDのフレームの受信頻度が所定値を上回る場合、当該フレームが不正な装置から送信されたものと判定する、
項目1または2に記載の車載ネットワークシステム。
この態様によると、他装置になりすまそうとする不正装置の存在を検出して、ID変更を実現できる。
[項目4]
車載ネットワークに接続された複数の電子制御装置を備える車載ネットワークシステムで用いられる電子制御装置であって、
前記車載ネットワークを流れるフレームに付与され、前記複数の電子制御装置のうち特定の電子制御装置に対応するIDを、第1IDから第1IDとは異なる第2IDへ変更するためのアルゴリズムであって、前記複数の電子制御装置間で共通のアルゴリズムに基づく変更プログラムを記憶する記憶部と、
前記車載ネットワークからフレームを受信する受信部と、
前記受信部により受信されたフレームに付与されたIDに基づいて、当該フレームが不正な装置から送信されたものか否かを判定する判定部と、
前記判定部により不正な装置から送信されたと判定されたフレームに付与されたIDが前記第1IDである場合、前記記憶部に記憶された変更プログラムに基づいて、前記特定の電子制御装置に対応するIDを前記第1IDから前記第2IDへ変更する変更部と、を含む電子制御装置。
この電子制御装置によると、不正なフレームを検出した場合、他の電子制御装置と共通のアルゴリズムを実装した変更プログラムに基づいて、なりすましされた特定の電子制御装置に対応するIDをそれまでとは別のID(複数の電子制御装置間で同じID)に変更する。これにより、なりすましされた特定の電子制御装置との通信を維持しつつ、なりすまし側の不正装置との通信を遮断することができる。
[項目5]
車載ネットワークに接続された複数の電子制御装置が実行する通信方法であって、
前記複数の電子制御装置のそれぞれは、前記車載ネットワークを流れるフレームに付与され、前記複数の電子制御装置のうち特定の電子制御装置に対応するIDを、第1IDから第1IDとは異なる第2IDへ変更するためのアルゴリズムであって、前記複数の電子制御装置間で共通のアルゴリズムに基づく変更プログラムを記憶する記憶部を備え、
前記複数の電子制御装置のそれぞれが、
前記車載ネットワークからフレームを受信し、
受信したフレームに付与されたIDに基づいて、当該フレームが不正な装置から送信されたものか否かを判定し、
前記不正な装置から送信されたと判定したフレームに付与されたIDが前記第1IDである場合、前記記憶部に記憶された変更プログラムに基づいて、前記特定の電子制御装置に対応するIDを前記第1IDから前記第2IDへ変更する、通信方法。
この通信方法によると、項目1と同様に、なりすましされた特定の電子制御装置との通信を維持しつつ、なりすまし側の不正装置との通信を遮断することができる。
[項目6]
車載ネットワークに接続された複数の電子制御装置により実行されるコンピュータプログラムであって、
前記複数の電子制御装置のそれぞれは、前記車載ネットワークを流れるフレームに付与され、前記複数の電子制御装置のうち特定の電子制御装置に対応するIDを、第1IDから第1IDとは異なる第2IDへ変更するためのアルゴリズムであって、前記複数の電子制御装置間で共通のアルゴリズムに基づく変更プログラムを記憶する記憶部を備え、
前記複数の電子制御装置のそれぞれに、
前記車載ネットワークから受信されたフレームに付与されたIDに基づいて、当該フレームが不正な装置から送信されたものか否かを判定し、
前記不正な装置から送信されたと判定したフレームに付与されたIDが前記第1IDである場合、前記記憶部に記憶された変更プログラムに基づいて、前記特定の電子制御装置に対応するIDを前記第1IDから前記第2IDへ変更する、ことを実行させるためのコンピュータプログラム。
このコンピュータプログラムによると、項目1と同様に、なりすましされた特定の電子制御装置との通信を維持しつつ、なりすまし側の不正装置との通信を遮断することができる。
[項目1]
車載ネットワークに接続された複数の電子制御装置を備え、
前記複数の電子制御装置のそれぞれは、
前記車載ネットワークを流れるフレームに付与され、前記複数の電子制御装置のうち特定の電子制御装置に対応するIDを、第1IDから第1IDとは異なる第2IDへ変更するためのアルゴリズムであって、前記複数の電子制御装置間で共通のアルゴリズムに基づく変更プログラムを記憶する記憶部と、
前記車載ネットワークからフレームを受信する受信部と、
前記受信部により受信されたフレームに付与されたIDに基づいて、当該フレームが不正な装置から送信されたものか否かを判定する判定部と、
前記判定部により不正な装置から送信されたと判定されたフレームに付与されたIDが前記第1IDである場合、前記記憶部に記憶された変更プログラムに基づいて、前記特定の電子制御装置に対応するIDを前記第1IDから前記第2IDへ変更する変更部と、を含む車載ネットワークシステム。
この車載ネットワークシステムによると、不正なフレームを検出した電子制御装置のそれぞれが、他の電子制御装置と共通のアルゴリズムを実装した変更プログラムに基づいて、なりすましされた特定の電子制御装置に対応するIDをそれまでとは別のID(複数の電子制御装置間で同じID)に変更する。これにより、なりすましされた特定の電子制御装置との通信を維持しつつ、なりすまし側の不正装置との通信を遮断することができる。
[項目2]
前記判定部は、前記受信部により受信されたフレームに付与されたIDが、自装置に対応するIDである場合、当該フレームが不正な装置から送信されたものと判定する、
項目1に記載の車載ネットワークシステム。
この態様によると、自装置になりすまそうとする不正装置の存在を検出して、ID変更を実現できる。
[項目3]
前記判定部は、前記受信部により受信されたフレームと同じIDのフレームの受信頻度が所定値を上回る場合、当該フレームが不正な装置から送信されたものと判定する、
項目1または2に記載の車載ネットワークシステム。
この態様によると、他装置になりすまそうとする不正装置の存在を検出して、ID変更を実現できる。
[項目4]
車載ネットワークに接続された複数の電子制御装置を備える車載ネットワークシステムで用いられる電子制御装置であって、
前記車載ネットワークを流れるフレームに付与され、前記複数の電子制御装置のうち特定の電子制御装置に対応するIDを、第1IDから第1IDとは異なる第2IDへ変更するためのアルゴリズムであって、前記複数の電子制御装置間で共通のアルゴリズムに基づく変更プログラムを記憶する記憶部と、
前記車載ネットワークからフレームを受信する受信部と、
前記受信部により受信されたフレームに付与されたIDに基づいて、当該フレームが不正な装置から送信されたものか否かを判定する判定部と、
前記判定部により不正な装置から送信されたと判定されたフレームに付与されたIDが前記第1IDである場合、前記記憶部に記憶された変更プログラムに基づいて、前記特定の電子制御装置に対応するIDを前記第1IDから前記第2IDへ変更する変更部と、を含む電子制御装置。
この電子制御装置によると、不正なフレームを検出した場合、他の電子制御装置と共通のアルゴリズムを実装した変更プログラムに基づいて、なりすましされた特定の電子制御装置に対応するIDをそれまでとは別のID(複数の電子制御装置間で同じID)に変更する。これにより、なりすましされた特定の電子制御装置との通信を維持しつつ、なりすまし側の不正装置との通信を遮断することができる。
[項目5]
車載ネットワークに接続された複数の電子制御装置が実行する通信方法であって、
前記複数の電子制御装置のそれぞれは、前記車載ネットワークを流れるフレームに付与され、前記複数の電子制御装置のうち特定の電子制御装置に対応するIDを、第1IDから第1IDとは異なる第2IDへ変更するためのアルゴリズムであって、前記複数の電子制御装置間で共通のアルゴリズムに基づく変更プログラムを記憶する記憶部を備え、
前記複数の電子制御装置のそれぞれが、
前記車載ネットワークからフレームを受信し、
受信したフレームに付与されたIDに基づいて、当該フレームが不正な装置から送信されたものか否かを判定し、
前記不正な装置から送信されたと判定したフレームに付与されたIDが前記第1IDである場合、前記記憶部に記憶された変更プログラムに基づいて、前記特定の電子制御装置に対応するIDを前記第1IDから前記第2IDへ変更する、通信方法。
この通信方法によると、項目1と同様に、なりすましされた特定の電子制御装置との通信を維持しつつ、なりすまし側の不正装置との通信を遮断することができる。
[項目6]
車載ネットワークに接続された複数の電子制御装置により実行されるコンピュータプログラムであって、
前記複数の電子制御装置のそれぞれは、前記車載ネットワークを流れるフレームに付与され、前記複数の電子制御装置のうち特定の電子制御装置に対応するIDを、第1IDから第1IDとは異なる第2IDへ変更するためのアルゴリズムであって、前記複数の電子制御装置間で共通のアルゴリズムに基づく変更プログラムを記憶する記憶部を備え、
前記複数の電子制御装置のそれぞれに、
前記車載ネットワークから受信されたフレームに付与されたIDに基づいて、当該フレームが不正な装置から送信されたものか否かを判定し、
前記不正な装置から送信されたと判定したフレームに付与されたIDが前記第1IDである場合、前記記憶部に記憶された変更プログラムに基づいて、前記特定の電子制御装置に対応するIDを前記第1IDから前記第2IDへ変更する、ことを実行させるためのコンピュータプログラム。
このコンピュータプログラムによると、項目1と同様に、なりすましされた特定の電子制御装置との通信を維持しつつ、なりすまし側の不正装置との通信を遮断することができる。
上述した実施例および変形例の任意の組み合わせもまた本発明の実施の形態として有用である。組み合わせによって生じる新たな実施の形態は、組み合わされる実施例および変形例それぞれの効果をあわせもつ。また、請求項に記載の各構成要件が果たすべき機能は、実施例および変形例において示された各構成要素の単体もしくはそれらの連携によって実現されることも当業者には理解されるところである。
10 車両、 12 車載ネットワークシステム、 14 ECU、 16 CANバス、 24 変更規則記憶部、 26 通信部、 28 判定部、 34 ID変更部。
Claims (6)
- 車載ネットワークに接続された複数の電子制御装置を備え、
前記複数の電子制御装置のそれぞれは、
前記車載ネットワークを流れるフレームに付与され、前記複数の電子制御装置のうち特定の電子制御装置に対応するIDを、第1IDから第1IDとは異なる第2IDへ変更するためのアルゴリズムであって、前記複数の電子制御装置間で共通のアルゴリズムに基づく変更プログラムを記憶する記憶部と、
前記車載ネットワークからフレームを受信する受信部と、
前記受信部により受信されたフレームに付与されたIDに基づいて、当該フレームが不正な装置から送信されたものか否かを判定する判定部と、
前記判定部により不正な装置から送信されたと判定されたフレームに付与されたIDが前記第1IDである場合、前記記憶部に記憶された変更プログラムに基づいて、前記特定の電子制御装置に対応するIDを前記第1IDから前記第2IDへ変更する変更部と、を含む車載ネットワークシステム。 - 前記判定部は、前記受信部により受信されたフレームに付与されたIDが、自装置に対応するIDである場合、当該フレームが不正な装置から送信されたものと判定する、
請求項1に記載の車載ネットワークシステム。 - 前記判定部は、前記受信部により受信されたフレームと同じIDのフレームの受信頻度が所定値を上回る場合、当該フレームが不正な装置から送信されたものと判定する、
請求項1または2に記載の車載ネットワークシステム。 - 車載ネットワークに接続された複数の電子制御装置を備える車載ネットワークシステムで用いられる電子制御装置であって、
前記車載ネットワークを流れるフレームに付与され、前記複数の電子制御装置のうち特定の電子制御装置に対応するIDを、第1IDから第1IDとは異なる第2IDへ変更するためのアルゴリズムであって、前記複数の電子制御装置間で共通のアルゴリズムに基づく変更プログラムを記憶する記憶部と、
前記車載ネットワークからフレームを受信する受信部と、
前記受信部により受信されたフレームに付与されたIDに基づいて、当該フレームが不正な装置から送信されたものか否かを判定する判定部と、
前記判定部により不正な装置から送信されたと判定されたフレームに付与されたIDが前記第1IDである場合、前記記憶部に記憶された変更プログラムに基づいて、前記特定の電子制御装置に対応するIDを前記第1IDから前記第2IDへ変更する変更部と、を含む電子制御装置。 - 車載ネットワークに接続された複数の電子制御装置が実行する通信方法であって、
前記複数の電子制御装置のそれぞれは、前記車載ネットワークを流れるフレームに付与され、前記複数の電子制御装置のうち特定の電子制御装置に対応するIDを、第1IDから第1IDとは異なる第2IDへ変更するためのアルゴリズムであって、前記複数の電子制御装置間で共通のアルゴリズムに基づく変更プログラムを記憶する記憶部を備え、
前記複数の電子制御装置のそれぞれが、
前記車載ネットワークからフレームを受信し、
受信したフレームに付与されたIDに基づいて、当該フレームが不正な装置から送信されたものか否かを判定し、
前記不正な装置から送信されたと判定したフレームに付与されたIDが前記第1IDである場合、前記記憶部に記憶された変更プログラムに基づいて、前記特定の電子制御装置に対応するIDを前記第1IDから前記第2IDへ変更する、
通信方法。 - 車載ネットワークに接続された複数の電子制御装置により実行されるコンピュータプログラムであって、
前記複数の電子制御装置のそれぞれは、前記車載ネットワークを流れるフレームに付与され、前記複数の電子制御装置のうち特定の電子制御装置に対応するIDを、第1IDから第1IDとは異なる第2IDへ変更するためのアルゴリズムであって、前記複数の電子制御装置間で共通のアルゴリズムに基づく変更プログラムを記憶する記憶部を備え、
前記複数の電子制御装置のそれぞれに、
前記車載ネットワークから受信されたフレームに付与されたIDに基づいて、当該フレームが不正な装置から送信されたものか否かを判定し、
前記不正な装置から送信されたと判定したフレームに付与されたIDが前記第1IDである場合、前記記憶部に記憶された変更プログラムに基づいて、前記特定の電子制御装置に対応するIDを前記第1IDから前記第2IDへ変更する、
ことを実行させるためのコンピュータプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017063801A JP2018166309A (ja) | 2017-03-28 | 2017-03-28 | 車載ネットワークシステム、電子制御装置、通信方法およびコンピュータプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017063801A JP2018166309A (ja) | 2017-03-28 | 2017-03-28 | 車載ネットワークシステム、電子制御装置、通信方法およびコンピュータプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2018166309A true JP2018166309A (ja) | 2018-10-25 |
Family
ID=63923019
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017063801A Pending JP2018166309A (ja) | 2017-03-28 | 2017-03-28 | 車載ネットワークシステム、電子制御装置、通信方法およびコンピュータプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2018166309A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111210539A (zh) * | 2020-01-02 | 2020-05-29 | 浙江吉利新能源商用车集团有限公司 | 一种动力蓄电池数据分析系统 |
WO2022162850A1 (ja) * | 2021-01-29 | 2022-08-04 | 日本電気株式会社 | 飛行体、管制システム、飛行体識別方法及びコンピュータ可読媒体 |
-
2017
- 2017-03-28 JP JP2017063801A patent/JP2018166309A/ja active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111210539A (zh) * | 2020-01-02 | 2020-05-29 | 浙江吉利新能源商用车集团有限公司 | 一种动力蓄电池数据分析系统 |
CN111210539B (zh) * | 2020-01-02 | 2023-09-19 | 浙江吉利新能源商用车集团有限公司 | 一种动力蓄电池数据分析系统 |
WO2022162850A1 (ja) * | 2021-01-29 | 2022-08-04 | 日本電気株式会社 | 飛行体、管制システム、飛行体識別方法及びコンピュータ可読媒体 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20180091525A1 (en) | On-vehicle communication system | |
US9380070B1 (en) | Intrusion detection mechanism | |
JP6525824B2 (ja) | 中継装置 | |
JP2020171065A (ja) | セキュリティ装置、攻撃検知方法及びプログラム | |
JP6566400B2 (ja) | 電子制御装置、ゲートウェイ装置、及び検知プログラム | |
CN112805968B (zh) | 车载通信装置、通信控制方法和通信控制程序 | |
JP6846706B2 (ja) | 監視装置、監視方法およびコンピュータプログラム | |
US20200014758A1 (en) | On-board communication device, computer program, and message determination method | |
EP3396922A1 (en) | Information processing apparatus, information processing system and information processing method | |
KR101972457B1 (ko) | Can 통신 기반 해킹공격 탐지 방법 및 시스템 | |
US20190340363A1 (en) | Method for providing an authenticated update in a distributed network | |
JP2018117254A (ja) | 監視装置、監視方法およびコンピュータプログラム | |
KR20210075458A (ko) | Can id 필터링 기반의 침입 탐지 시스템의 제어 방법, 장치 및 프로그램 | |
US10250434B2 (en) | Electronic control apparatus | |
JP2018166309A (ja) | 車載ネットワークシステム、電子制御装置、通信方法およびコンピュータプログラム | |
US10666671B2 (en) | Data security inspection mechanism for serial networks | |
EP3904161A1 (en) | Information processing device | |
JP2018164232A (ja) | 通信システム、中継装置、通信方法およびコンピュータプログラム | |
JP7110950B2 (ja) | ネットワークシステム | |
JP2019047177A (ja) | 監視装置、監視システムおよびコンピュータプログラム | |
CN114567456A (zh) | 用于对通信系统中的消息进行检验的方法 | |
JP7281714B2 (ja) | 情報処理装置、情報処理システム及びプログラム | |
US11246021B2 (en) | Electronic control unit, electronic control system, and recording medium | |
JP2013121071A (ja) | 中継システム及び、当該中継システムを構成する中継装置、外部装置 | |
JP6561917B2 (ja) | 制御装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20180417 |