JP2018182713A - 情報処理装置、情報処理システム、情報処理方法、及びプログラム - Google Patents

情報処理装置、情報処理システム、情報処理方法、及びプログラム Download PDF

Info

Publication number
JP2018182713A
JP2018182713A JP2017175751A JP2017175751A JP2018182713A JP 2018182713 A JP2018182713 A JP 2018182713A JP 2017175751 A JP2017175751 A JP 2017175751A JP 2017175751 A JP2017175751 A JP 2017175751A JP 2018182713 A JP2018182713 A JP 2018182713A
Authority
JP
Japan
Prior art keywords
gateway
unit
information processing
notification
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017175751A
Other languages
English (en)
Other versions
JP6920667B2 (ja
Inventor
中野 稔久
Toshihisa Nakano
稔久 中野
安齋 潤
Jun Anzai
潤 安齋
正人 田邉
Masato Tanabe
正人 田邉
横田 薫
Kaoru Yokota
薫 横田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Priority to US15/947,105 priority Critical patent/US10873600B2/en
Priority to US16/042,160 priority patent/US10917387B2/en
Publication of JP2018182713A publication Critical patent/JP2018182713A/ja
Application granted granted Critical
Publication of JP6920667B2 publication Critical patent/JP6920667B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

【課題】冗長化されたネットワークシステムに攻撃によって不正なコマンドが流された場合に、その攻撃の影響を排除し、かつ、このネットワークシステムの機能を維持する。【解決手段】情報処理装置103は、第1のGW、第2のGW、及び少なくとも1つの電子制御ユニットが接続されたネットワークに流れる通信データを送受信する第1の通信部401と、このネットワークに流れる通信データが正常か否かを判断する監視部402と、監視部402が通信データは正常でないと判断した場合に、ネットワークを、第1のGWの転送機能及び第2のGWの転送機能の一方が有効であり、他方が無効である状態にするための通知を、少なくとも第2のGWに送信する通知部403とを備える。【選択図】図6

Description

本発明は、ネットワークに対する攻撃へ対抗する情報処理装置、情報処理システム、情報処理方法、及びプログラムに関するものである。
近年、車載ネットワークに対する攻撃(ハッキング)、並びに、攻撃によるリスクの高さが指摘されている。具体的には、外部との無線接続インタフェースを備える自動車の情報端末に無線通信などを介してアクセスした攻撃者が、プログラムを不正に書き換えた上で、その情報端末から、自動車内部の車載ネットワークに対して任意のCAN(Controller Area Network)コマンドを送信することによって、電子制御ユニット(ECU:Electronic Contorol Unit、以下、ECUと表記する)につながるアクチュエータを運転者の意図に反して制御する攻撃が発表されている。
その一方で、運転者の意図に反する制御が、ECUの故障や不具合などに起因して実行されるリスクも存在する。
このような状況にあって、車載ネットワークには機能安全及びセキュリティの確保が求められている。
従来の機能安全の手法としては、ECUなどを冗長化する方法が知られており、例えば特許文献1では、複数のゲートウェイ装置を備えるネットワークシステムが開示されている。
特開2011−250098号公報
しかしながら、特許文献1に記載のネットワークシステムにおいては、セキュリティが考慮されていない。例えば、グローバルバスに不正CANコマンドを注入するような攻撃をこのネットワークシステムが受けた場合、そのメインゲートウェイ又はサブゲートウェイは、その攻撃コマンドをそのままローカルバスに送信してしまう。つまり、攻撃者は、このネットワークシステムのローカルバス内への不正侵入が可能である。
また、メインゲートウェイが攻撃者に乗っ取られ、メインゲートウェイ自身がローカルバスへ直接不正CANコマンドを注入するような攻撃をうけた場合、特許文献1に記載のネットワークシステムでは、この攻撃を検知して排除することができない。
本発明は、機能安全に対応するよう冗長化されたネットワークシステムが、セキュリティを脅かす攻撃を排除し、かつ機能を維持することができる情報処理装置、情報処理システム、情報処理方法、及びプログラムを提供することを目的とする。
上記目的を達成するために本発明の一態様に係る情報処理装置は、第1のゲートウェイ、第2のゲートウェイ、及び少なくとも1つの電子制御ユニットが接続されたネットワークに流れる通信データを送受信する第1の通信部と、この通信データが正常か否かを判断する監視部と、監視部が通信データは正常でないと判断した場合に、第1のゲートウェイの転送機能及び第2のゲートウェイの転送機能の一方が有効であり、他方が無効である状態にするための通知を、少なくとも第2のゲートウェイへ送信する通知部とを備える。
本発明によれば、冗長化によって機能安全に対応するネットワークシステムにおいて、攻撃による異常を検知した場合も、このネットワークシステムの機能を維持することができる。
実施の形態1における情報処理システムの構成を示すブロック図 CANプロトコルで規定されるデータフレームの構造を示す図 実施の形態1における第1のGWの構成を示すブロック図 実施の形態1における転送リストのデータ構成の一例 実施の形態1における第2のGWの構成を示すブロック図 実施の形態1における情報処理装置の構成を示すブロック図 実施の形態1における情報処理システムの動作を説明するためのシーケンス図 実施の形態2における情報処理システムの構成を示すブロック図 実施の形態2における第1のGWの構成を示すブロック図 実施の形態2における第2のGWの構成を示すブロック図 実施の形態2における情報処理装置の構成を示すブロック図 実施の形態2における情報処理システムの動作を説明するためのシーケンス図
(実施の形態1)
以下、本発明の実施の形態1における情報処理システムについて図面を参照しながら説明する。
[1.1 情報処理システム10の構成]
情報処理システム10は、図1に示すように、第1のゲートウェイ(以下、第1のGWと表記する)101、第2のゲートウェイ(以下、第2のGWと表記する)102、情報処理装置103、通信ECU104、及び複数のECU105を備える。
情報処理システム10では、上記の各構成要素がCANバスを用いて接続されるネットワークが形成されている。図1の例では、CANバス1、CANバス2、及びCANバス3のそれぞれにECU105が接続されており、CANバス1、CANバス2、及びCANバス3(以下、CANバス1〜3とも表記する)は、第1のGW101及び第2のGW102を介して相互に接続されている。
また、情報処理装置103は、CANバス1〜3と接続されている。さらに、図1の例では、第1のGW101と第2のGW102とは、各CANバスとは別の配線である専用線600でも接続されている。専用線600は、第1のGW101と第2のGW102との間の直接通信に用いられる。
情報処理システム10は、例えば車載ネットワーク上で構成されるネットワークシステムであり、この車載ネットワークは、それぞれのECU、GW、情報処理装置などの各構成要素がCANコマンドと呼ばれる通信データを送受信することで、様々な機能を実現している。例えば、先進運転者支援システム(ADAS:Advanced Driver Assistance System、以下、ADASと表記する)の一機能である駐車支援機能、車線維持支援機能、衝突回避支援機能などでは、電子制御化されたステアリング、アクセル、ブレーキなどをそれぞれ動作させるアクチュエータの制御が車載ネットワークを流れるCANコマンドによって行われることで実現される。
第1のGW101及び第2のGW102は、このようなネットワークを流れるCANコマンドを受信して、受信したCANコマンドを、当該CANコマンドのID(CAN ID)ごとに指定されたCANバスへ送信(転送)する転送機能を有する。例えば、第1のGW101がCANバス2から受信したCANコマンドのCAN IDが「0x011」であり、このCAN IDに対してあらかじめ指定された転送先がCANバス1の場合、第1のGW101は、当該CANコマンドをCANバス1へ転送する。CAN ID及びCANコマンドの転送先の指定については後述する。
また、上述のように第2のGW102と専用線600で接続されている第1のGW101は、第2のGW102から専用線600を介して送信される通知に基づき転送機能を無効化(強制停止)する。
情報処理装置103は、CANバス1〜3を流れるCANコマンドを受信し、受信したCANコマンドが正常か否かを判断して、正常でない(異常である)と判断した場合に、第2のGW102へ所定の通知を送信する。
ここで、情報処理装置103が第2のGW102へ送信する所定の通知とは、情報処理システム10(又は車載ネットワーク)を、第1のGW101の転送機能が無効であり、第2のGW102の転送機能が有効な状態にするための通知である。より具体的な例を上げると、情報処理装置103が受信した通信データが正常でない(異常である)こと、第1のGW101の転送機能を無効化すること、又は第2のGW102の転送機能を有効化することを示す通知である。第2のGW102は、このような通知の受信に応じて、後述する動作を実行する。
通信ECU104は、第1のGW101と外部ネットワーク500(例えばインターネット)との間の接続経路にあって、情報処理システム10の外部の情報処理装置であるサーバ装置11との間で外部ネットワーク500を介して通信データを送受信する。情報処理装置103は、このように外部の情報処理装置と接続してするデータのやり取りを通じて実現される機能、例えばより精度又は利便性の高い運転支援のための機能を提供することができる。
しかしながら、このような外部との接続のためのインタフェースは、ハッカー等の攻撃者が情報処理システム10に不正にアクセスするための侵入口にもなり得る。ただし、このインタフェース経由の不正なアクセスを完全に防ぐのは技術的に極めて困難である。したがって、情報処理システム10のセキュリティを向上させるには、攻撃者による侵入後の被害の発生又は拡大を防いで、その影響を抑える技術が不可欠であり、本実施の形態における情報処理装置103等もまたそのような技術を実現する。
各ECU105は、自身が接続しているCANバス1〜3の何れかを介して、予め定められたCAN IDを持つCANコマンドを送受信する。
図1に示す情報処理システム10は、攻撃を受けていない時又は攻撃の検知前(以下、あわせて通常時ともいう)において、第1のGW101が備えるCANコマンドの転送機能が有効であり、第2のGW102が備えるCANコマンドの転送機能は無効な状態にある。つまり、第2のGW102は、CANコマンドの転送処理を行わない待機状態にある。
通信ECU104を介して第1のGW101が攻撃者によりハッキングされ、第1のGW101が実行するプログラムが不正に書き換えられるなどすると、情報処理システム10は、攻撃者が操る第1のGW101から不正なCANコマンドが流され得る状態となる。
情報処理装置103は、受信したCANコマンドが異常であると判断した場合(不正なCANコマンドを検知した場合)、CANバス1〜3の何れかを介して、上述の所定の通知を第2のGW102へ送信する。
この通知を受信した第2のGW102は、専用線600を介して、第1のGW101に自身の転送機能を無効化させるための通知を第1のGW101へ送信し、さらに自身の転送機能を有効化する。この通知を受信した第1のGW101は、自身の転送機能を無効化する。以降、CANデータの転送処理が第2のGW102によって実行されることで情報処理システム10の機能が維持される。
[1.2 データフレーム]
ここで、CANプロトコルに従ったネットワークでの通信(CAN通信)で用いられるデータのフォーマットの1つであるデータフレームについて説明する。
図2は、CANプロトコルで規定されるデータフレームの構造を示す図である。図2に示されるのは、CANプロトコルで規定されるデータフレームのうち、標準フォーマットと呼ばれるデータフレームの構造である。データフレームは、SOF(Start Of Frame)、IDフィールド、RTR(Remote Transmission Request)、IDE(Identifier Extension)、予約ビット「r」、DLC(Data Length Code)、データフィールド、CRC(Cyclic Redundancy Check)シーケンス、CRCデリミタ「DEL」、ACK(Acknowledgement)スロット、ACKデリミタ「DEL」、及び、EOF(End Of Frame)の各フィールドで構成される。以下、本発明の説明で別途触れるフィールドについて簡単に説明する。
IDフィールドは、データの種類を示す値であるIDを格納する、11bitで構成されるフィールドであり、このIDが上述のCAN IDである。また、このIDは複数のノードが同時に送信を開始した場合の通信調停にも用いられ、優先度のより高いフレームに、より値の小さいIDが付与されるよう設計されている。
データフィールドは、最大64bitで構成され、データを格納するフィールドであり、このフィールドのデータ長は、直前のDLCフィールドに示される。
情報処理システム10において各ECUが送受信し、第1GW101及び第2GW102が転送するCANコマンドは、上述のデータフレームに格納される通信データである。各ECUは、規定の種類のデータをデータフィールドに、その種類のデータに対応する規定のCAN IDをIDフィールドに格納してデータフレームを生成する。このようにCANコマンドに格納されるCAN ID並びに対応するデータの種類及び構成等の規定は、車両メーカ等によって車載ネットワークの仕様として予め定められる。
なお、CANプロトコルで規定されるデータフレームには、拡張フォーマットと呼ばれるもうひとつの種類がある。拡張フォーマットにおいても、上記で簡単に説明したフィールドに相当する役割のフィールドがあり、本発明はいずれのフォーマットのデータにも適用可能である。ただし、本発明に係る情報処理装置等は、これらのCANプロトコルのフォーマット以外のデータの通信に用いられるネットワークにも適用することができる。上記のフォーマットの説明は、本発明の理解の便宜のためになされるものであって、本発明を限定する趣旨ではない。
[1.3 第1のGW101の構成]
続いて、第1のGW101の詳細な構成を説明する。図3は、第1のGW101の機能構成を示すブロック図である。
第1のGW101は、図3に示すように、第1の送受信部201、転送リスト記憶部202、通信部203、無効化部204、及び制御部205を機能ブロックとして備える。
第1のGW101は、具体的には図示されていない演算処理装置であるマイクロプロセッサ、及び記憶装置であるRAM(Random Access Memory)、ROM(Read−Only Memory)、ハードディスクなどから構成される。RAM、ROM、及びハードディスクにはコンピュータプログラムが記憶されており、マイクロプロセッサがこのコンピュータプログラムに従って動作することにより第1のGW101はその機能を果たす。
なお、第1のGW101の第1の送受信部201、転送リスト記憶部202、通信部203、無効化部204、及び制御部205は、典型的には集積回路であるLSIとして実現される。これらの各機能ブロックは個別の1チップで実現されてもよいし、複数の機能ブロックが1チップで、又は1つの機能ブロックが複数のチップで実現されてもよい。
また、これらの機能ブロックを実現する集積回路をLSIとしたが、集積度の違いにより、IC、システムLSI、スーパーLSI、ウルトラLSIと呼称されることもある。
また、製造後にプログラム可能なFPGA(Field Programmable Gate Array)、内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサ等のプログラマブルロジックデバイスを利用してもよい。
その他、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。
また、各機能ブロックはソフトウェアで実現されてもよいし、LSIとソフトウェアの組み合わせで実現されてもよい。また、ソフトウェアは耐タンパ化されていてもよい。
以下、第1のGW101の各機能ブロックについて説明する。
(1)第1の送受信部201
第1の送受信部201は、CANバスに流れるCANコマンドを受信し、また、CANバスにCANコマンドを送信する。さらに、第1の送受信部201は、受信したCANコマンドの転送先であるCANバスを、後述する転送リスト記憶部202に記憶されるリストに基づいて決定し、決定したCANバスにCANコマンドを送信する転送処理を行う。第1のGW101の転送機能は、この転送処理を実行する第1の送受信部201によって提供される。
(2)転送リスト記憶部202
転送リスト記憶部202は、CANコマンドに含まれるCAN IDと、当該CAN IDを含むCANコマンドの転送先として指定されているCANバスとを対で示す転送リストを記憶している。転送リストのデータ構成の一例を図4に示す。
図4の例では、CAN IDと、当該CAN IDについて指定の転送先との対が同一行に含まれる。例えば、CAN IDが「0x011」のCANコマンドの転送先はCANバス1であり、CAN IDが「0x021」のCANコマンドの転送先はCANバス2である。
(3)通信部203
通信部203は、専用線600を介して第2のGW102との通信データの送受信を行う。例えば、第2のGW102からは、第1のGW101に、第1のGW101の転送機能を無効化させるための通知(指示)を示す通信データが専用線600を介して送信される。第1のGW101では、この通信データを通信部203が受信する。
(4)無効化部204
無効化部204は、第2のGW102からの上記の通知を通信部203を介して受信すると、第1の送受信部201の転送処理を停止させることで、第1のGW101の転送機能を無効化する。第1のGW101の転送機能が無効化されることで、攻撃者によるネットワークへの攻撃、例えば不正なCANコマンドの送り込みが防止され、情報処理システム10のセキュリティが維持される。
(5)制御部205
制御部205は、上記(1)〜(4)の各機能ブロックを管理及び制御して、第1のGW101の機能を実現する。
[1.4 第2のGW102の構成]
続いて、第2のGW102の詳細な構成を説明する。図5は、第2のGW102の機能構成を示すブロック図である。
第2のGW102は、図5に示すように、第2の送受信部301、転送リスト記憶部302、通信部303、無効化通知部304、有効化部305、及び制御部306を機能ブロックとして備える。
第2のGW102は、具体的には図示されていない演算処理装置であるマイクロプロセッサ、及び記憶装置であるRAM、ROM、ハードディスクなどから構成される。RAM、ROM、及びハードディスクにはコンピュータプログラムが記憶されており、マイクロプロセッサがこのコンピュータプログラムに従って動作することにより、第2のGW102はその機能を果たす。
なお、第2のGW102の第2の送受信部301、転送リスト記憶部302、通信部303、無効化通知部304、有効化部305、及び制御部306は、典型的には集積回路であるLSIとして実現される。これらの各機能ブロックは個別の1チップで実現されてもよいし、複数の機能ブロックが1チップで、又は各機能ブロックが複数のチップで実現されてもよい。
また、これらの機能ブロックを実現する集積回路をLSIとしたが、集積度の違いにより、IC、システムLSI、スーパーLSI、ウルトラLSIと呼称されることもある。
また、製造後にプログラム可能なFPGA、内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサ等のプログラマブルロジックデバイスを利用してもよい。
その他、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。
また、各機能ブロックは、ソフトウェアで実現されてもよいし、LSIとソフトウェアの組み合わせで実現されてもよい。また、ソフトウェアは耐タンパ化されていてもよい。
以下、第2のGW102の各機能ブロックについて説明する。
(1)第2の送受信部301
第2の送受信部301は、CANバスに流れるCANコマンドを受信し、また、CANバスにCANコマンドを送信する。さらに、第2の送受信部301は、受信したCANコマンドの転送先であるCANバスを、後述する転送リスト記憶部302に記憶されるリストに基づいて決定し、決定したCANバスにCANコマンドを送信する転送処理を行う。第2のGW102の転送機能は、この転送処理を実行する第2の送受信部301によって提供される。ただし、情報処理システム10において攻撃が検知されていない通常時は、第2の送受信部301のこの転送処理は停止している。つまり、通常時の第2のGW102は、CANコマンドの転送機能が無効化された状態(以下、待機状態ともいう)にある。
(2)転送リスト記憶部302
転送リスト記憶部302は、CANコマンドに含まれるCAN IDと、当該CANコマンドが転送される転送先のCANバスとを対で示す転送リストを記憶している。第2のGW102が備える転送リストの一例は図4と共通であり、ここではその説明を省略する。
(3)通信部303
通信部303は、専用線600を介して第1のGW101との通信データの送受信を行う。例えば、通信部303から、第1のGW101の転送機能を無効化させるための通知(指示)を示す通信データが専用線600を介して第1のGW101へ送信される。第1のGW101では、通信部203によってこの通信データが受信される。
(4)無効化通知部304
無効化通知部304は、情報処理装置103から、第2の送受信部301を介して上述の所定の通知を受信すると、通信部303から専用線600を介して、第1のGW101に第1のGW101の転送機能を無効化させるための通知(指示)を示す通信データを第1のGW101へ送信する。
(5)有効化部305
有効化部305は、情報処理装置103から、第2の送受信部301を介して上述の所定の通知を受信すると、第2の送受信部301に転送処理を開始させることで、第2のGW102の転送機能を有効化(待機状態を解除)する。第2のGW102の転送機能が有効化されることで、第1のGW101の転送機能が無効化されても、ネットワーク上では電子制御等のためのCANコマンドが引き続き転送され、情報処理システム10の機能が維持される。
(6)制御部306
制御部306は、上記(1)〜(5)の各機能ブロックを管理及び制御して、第2のGW102の機能を実現する。
[1.5 情報処理装置103の構成]
続いて、情報処理装置103の詳細な構成を説明する。図6は、情報処理装置103の機能構成を示すブロック図である。
情報処理装置103は、図6に示すように、第1の通信部401、監視部402、通知部403、及び制御部404を機能ブロックとして備える。
情報処理装置103は、具体的には図示されていない演算処理装置であるマイクロプロセッサ、及び記憶装置であるRAM、ROM、ハードディスクなどから構成される。RAM、ROM、及びハードディスクにはコンピュータプログラムが記憶されており、マイクロプロセッサがこのコンピュータプログラムに従って動作することにより情報処理装置103はその機能を果たす。
なお、情報処理装置103の第1の通信部401、監視部402、通知部403、制御部404は、典型的には集積回路であるLSIとして実現される。これらの各機能ブロックは個別の1チップで実現されてもよいし、複数の機能ブロックが1チップで、又は1つの機能ブロックが複数のチップで実現されてもよい。
また、これらの機能ブロックを実現する集積回路をLSIとしたが、集積度の違いにより、IC、システムLSI、スーパーLSI、ウルトラLSIと呼称されることもある。
また、製造後にプログラム可能なFPGA、内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサ等のプログラマブルロジックデバイスを利用してもよい。
その他、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。
また、各機能ブロックは、ソフトウェアで実現されてもよいし、LSIとソフトウェアの組み合わせで実現されてもよい。また、ソフトウェアは耐タンパ化されていてもよい。
このような情報処理装置103は、例えば車載ネットワークとして実現される情報処理システム10に、この車載ネットワークのすべてのCANバスに接続される監視用のECUとして実装される。
以下、情報処理装置103の各機能ブロックについて説明する。
(1)第1の通信部401
第1の通信部401は、CANバスに流れるCANコマンドを受信し、また、CANコマンドをCANバスに流して送信する。
(2)監視部402
監視部402は、情報処理装置103と接続されている複数のCANバス(図1の例ではCANバス1〜3)を流れるCANコマンドを、第1の通信部401を介して受信し、受信したCANコマンドが正常か否かを判断する。CANコマンドが正常か否かを判断する方法としては、任意の公知の方法が利用可能である。例えば、各CANコマンドのDLCフィールドに示されるデータ長とデータフィールドの長さとが整合するか否か、データの種類、つまりCAN IDに応じて定まるデータフィールドの値、又は送信タイミングが規定範囲内にあるか否かに基づいて、CANコマンドが正常か否かを判断することができる。
(3)通知部403
通知部403は、第1の通信部401が受信したCANコマンドを、監視部402が正常でない(異常である)と判断した場合、第1の通信部401を介して、上記の所定の通知を第2のGW102へ送信する。
(4)制御部404
制御部404は、上記(1)〜(3)の各機能ブロックを管理及び制御して、情報処理装置103の機能を実現する。
[1.6 情報処理システム10の動作]
情報処理システム10において、情報処理装置103が受信したCANコマンドは正常でないと判断した場合に、第1のGW101の転送機能を無効化し、第2のGW102に代替的に転送機能を実行させる動作の一例について、図7を用いて説明する。図7は、情報処理システム10の動作を説明するためのシーケンス図である。
この例の動作の開始段階にある情報処理システム10では、ネットワークに流れる通信データであるCANコマンドの転送処理を第1のGW101が行い、第2のGW102は待機状態にあるとする。
情報処理装置103の第1の通信部401は、接続されている各CANバスからCANコマンドを受信する(ステップS701)。
第1の通信部401によって受信されたCANコマンドについて、監視部402が正常か否かを判断する(ステップS702)。正常と判断された場合(ステップS702でYes)、情報処理装置103における動作の手順はCANコマンドの受信(ステップS701)へ戻り、第1の通信部401が次のCANコマンドを受信する。
次々に受信されるCANコマンドが監視部402によって正常と判断され続けている間、第1のGW101は受信したCANコマンドの転送を継続し、第2のGW102は引き続き待機状態にある。
受信されたCANコマンドが正常でないと監視部402によって判断された場合(ステップS702でNo)、通知部403が、第1のGW101の転送機能を無効化させ、第2のGWの転送機能を有効化させるための所定の通知を、第1の通信部401を介して第2のGW102へ通知する(ステップS703)。
第2のGW102では、第2の送受信部301が上記の通知を情報処理装置103から受信すると(ステップS704)、無効化通知部304が、第1のGW101のCANコマンドの転送機能を無効化させるための通知を、通信部303から第1のGW101へ送信する(ステップS705)。
また、第2のGW102ではさらに、有効化部305が、第2の送受信部301に転送処理を開始させる。これにより、第2のGW102は転送機能が有効化され(ステップS706)、CANコマンドの転送を開始する。以降、第2のGW102では、CANコマンドを受信し、受信したCANコマンドを転送リスト記憶部302にある転送リストに基づいて決定される転送先のCANバスへ送信する転送処理が第2の送受信部301によって行われる。
第1のGW101では、通信部203がCANコマンドの転送機能を無効化させるための通知を第2のGW102から受信すると(ステップS707)、無効化部204が、第1の送受信部201の転送処理を停止させる。これにより、第1のGW101のCANコマンドの転送機能は無効化される(ステップS708)。
以上のように、本実施の形態によれば、情報処理システム10において、第1のGW101、第2のGW102、及び情報処理装置103は、CANバス1〜3で接続され、第1のGW101と第2のGW102とは、さらに専用線600で接続されている。情報処理装置103において、受信したCANコマンドが正常でないと判断された場合、情報処理装置103から第2のGW102へ、受信したCANコマンドが正常でないことに応じた所定の通知がCANバスを介して送信される。この通知を受信した第2のGW102は、第1のGW101に第1のGW101の転送機能を無効化させるための通知を、専用線600を介して第1のGW101へ送信し、また、自身の転送機能を有効化する。以降、情報処理システム10では、転送機能が有効化された第2のGW102によって通信データの転送処理が行われることによって情報処理システム10の機能は維持される。
上記の転送機能を無効化させるための通知は、専用線600を用いて安全かつ確実に送信される。これにより、冗長化による機能安全とセキュリティとを兼ね備える情報処理システム10が提供される。
(実施の形態2)
以下、本発明の実施の形態2における情報処理システムについて図面を参照しながら説明する。
[2.1 情報処理システム80の構成]
情報処理システム80は、図8に示すように、第1のゲートウェイ(以下、第1のGWと表記する)801、第2の(以下、第2のGWと表記する)802、情報処理装置803、通信ECU104、及び複数のECU105を備える。
情報処理システム80では、上記の各構成要素が、CANバスを用いて接続されるネットワークが形成されている。図8の例では、CANバス1、CANバス2、及びCANバス3のそれぞれにECU105が接続されており、CANバス1、CANバス2、及びCANバス3(以下、CANバス1〜3とも表記する)は、第1のGW801及び第2のGW802を介して相互に接続されている。
さらに、図8の例では、第1のGW801と情報処理装置803とは、各CANバスとは別の配線である専用線601でも接続されている。専用線601は、情報処理装置803と第1のGW801との間の直接通信に用いられる。また、第2のGW802と情報処理装置803とは、各CANバスとは別の配線である専用線602でも接続されている。専用線602は、情報処理装置803と第2のGW802との間の直接通信に用いられる。なお、専用線601は、本実施の形態における第2の専用線及び第3の専用線の例であり、専用線602は、本実施の形態における第1の専用線及び第4の専用線の例である。
実施の形態1における情報処理システム10と同様に、情報処理システム80もまた例えば車載ネットワークであり、この車載ネットワークは、それぞれのECU、GW、情報処理装置などの各構成要素がCANコマンドと呼ばれる通信データを送受信することで、様々な機能を実現している。なお、情報処理システム80におけるCANコマンドもまた、実施の形態1の説明の中で述べたデータフレームの通信データであり、ここでは説明を省略する。
第1のGW801及び第2のGW802は、このようなネットワークを流れるCANコマンドを受信して、受信したCANコマンドを指定された、当該CANコマンドのID(CAN ID)ごとに指定されたCANバスへ送信(転送)する転送機能を有する。例えば、第1のGW801がCANバス2から受信したCANコマンドのCAN IDが「0x011」であり、このCAN IDに対して指定された転送先がCANバス1の場合、第1のGW801は当該CANコマンドをCANバス1へ転送する。CAN ID及びCANコマンドの転送先の指定の詳細は実施の形態1と共通であるため、ここでは説明を省略する。
また、上述のように情報処理装置803と専用線601で接続されている第1のGW801は、情報処理装置803からの専用線601を介して送信される通知に基づき転送機能を無効化(強制停止)する。同様に、情報処理装置803と専用線602で接続されている第2のGW802は、情報処理装置803からの専用線602を介して送信される通知に基づき転送機能を有効化(待機状態から復帰)する。
情報処理装置803では、CANバス1〜3を流れるCANコマンドを受信し、受信したCANコマンドが正常か否かが判断される。正常でない(異常である)と判断された場合、情報処理装置803から、第1のGW801の転送機能を無効化させるための所定の通知が、専用線601を介して第1のGW801へ送信され、第2のGW802の転送機能を有効化させるための所定の通知が、専用線602を介して第2のGW802へ送信される。
ここで、情報処理装置803から第1のGW801へ送信される所定の通知とは、例えば情報処理装置803が受信した通信データが正常でない(異常である)こと、第1のGW801の転送機能を無効化すること、又は第2のGW102の転送機能を有効化することを示す通知である。第1のGW801は、このような通知の受信に応じて、後述する動作を実行する。
また、情報処理装置803が第2のGW802へ送信する所定の通知とは、例えば情報処理装置803が受信した通信データが正常でない(異常である)こと、第2のGW802の転送機能を有効化すること、又は第1のGW801の転送機能を無効化することを示す通知である。第2のGW802は、このような通知の受信に応じて、後述する動作を実行する。
通信ECU104及び複数のECU105は実施の形態1と共通であるため、ここではこれらについての説明を省略する。本発明における情報処理装置803等もまた、情報処理システム80のセキュリティを向上させるために、攻撃者による情報処理システム80への侵入後の被害の発生又は拡大を防いでその影響を抑える技術を実現する。
図8に示す情報処理システム80においては、攻撃を受けていない(又は攻撃の検知前である)通常時において、第1のGW801が備えるCANコマンドの転送機能が有効であり、第2のGW802が備えるCANコマンドの転送機能は無効な状態にある。つまり、第2のGW802は、CANコマンドの転送処理を行わない待機状態にある。
通信ECU104を介して第1のGW801が攻撃者によりハッキングされ、第1のGW801が実行するプログラムが不正に書き換えられるなどすると、情報処理システム80は、攻撃者が操る第1のGW801から不正なCANコマンドが流され得る状態となる。
情報処理装置803は、受信したCANコマンドが異常であると判断した場合(不正なCANコマンドを検知した場合)、転送機能を無効化させるための通知を専用線601を介して第1のGW801へ送信し、転送機能を有効化させるための通知を専用線602を介して第2のGW802へ送信する。
この通知を情報処理装置803から受信した第1のGW801は、自身の転送機能を無効化する。また、この通知を情報処理装置803から通知を受信した第2のGW802は、自身の転送機能を有効化する。以降、情報処理システム80におけるCANデータの転送処理は、転送機能が有効化された第2のGW802によって実行され、情報処理システム80の機能は維持される。
[2.2 第1のGW801の構成]
続いて、第1のGW801の詳細な構成を説明する。図9は、第1のGW801の機能構成を示すブロック図である。
第1のGW801は、図9に示すように、第1の送受信部901、転送リスト記憶部902、通信部903、無効化部904、及び制御部905を機能ブロックとして備える。
第1のGW801は、具体的には図示されていない演算処理装置であるマイクロプロセッサ、及び記憶装置であるRAM、ROM、ハードディスクなどから構成される。RAM、ROM、及びハードディスクにはコンピュータプログラムが記憶されており、マイクロプロセッサがこのコンピュータプログラムに従って動作することにより、第1のGW801はその機能を果たす。
なお、第1のGW801の第1の送受信部901、転送リスト記憶部902、通信部903、無効化部904、及び制御部905は、典型的には集積回路であるLSIとして実現される。これらの各機能ブロックは個別の1チップで実現されてもよいし、複数の機能ブロックが1チップで、又は1つの機能ブロックが複数のチップで実現されてもよい。
また、これらの機能ブロックを実現する集積回路をLSIとしたが、集積度の違いにより、IC、システムLSI、スーパーLSI、ウルトラLSIと呼称されることもある。
また、製造後にプログラム可能なFPGA(Field Programmable Gate Array)、内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサ等のプログラマブルロジックデバイスを利用してもよい。
その他、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。
また、各機能ブロックはソフトウェアで実現されてもよいし、LSIとソフトウェアの組み合わせで実現されてもよい。また、ソフトウェアは耐タンパ化されていてもよい。
以下、第1のGW801の各機能ブロックについて説明する。
(1)第1の送受信部901
第1の送受信部901は、CANバスに流れるCANコマンドを受信し、また、CANバスにCANコマンドを送信する。さらに、第1の送受信部901は、受信したCANコマンドの転送先であるCANバスを、後述する転送リスト記憶部902に記憶されるリストに基づいて決定し、決定したCANバスにCANコマンドを送信する転送処理を行う。第1のGW801の転送機能は、この転送処理を実行する第1の送受信部901によって提供される。
(2)転送リスト記憶部902
転送リスト記憶部902は、CANコマンドに付与されているCAN IDと、当該CAN IDを含むCANコマンドの転送先として指定されているCANバスとを対で示す転送リストを記憶している。なお、第1のGW801が備える転送リストの一例は図4と共通であり、ここではその説明を省略する。
(3)通信部903
通信部903は、専用線601を介して情報処理装置803との通信データの送受信を行う。例えば、情報処理装置803からは、第1のGW801の転送機能を無効化させるための通知(指示)を示す通信データが専用線601を介して送信される。第1のGW801では、通信部903がこの通信データを受信する。
(4)無効化部904
無効化部904は、情報処理装置803からの上記の通知を通信部903を介して受信すると、第1の送受信部901の転送処理を停止させることで、第1のGW801の転送機能を無効化する。第1のGW801の転送機能が無効化されることで、攻撃者によるネットワークへの攻撃、例えば不正なCANコマンドの送り込みが防止され、情報処理システム80のセキュリティが維持される。
(5)制御部905
制御部905は、上記(1)〜(4)の各機能ブロックを管理及び制御して、第1のGW801の機能を実現する。
[2.3 第2のGW802の構成]
続いて、第2のGW802の詳細な構成を説明する。図10は、第2のGW802の機能構成を示すブロック図である。
第2のGW802は、図10に示すように、第2の送受信部1001、転送リスト記憶部1002、通信部1003、有効化部1004、及び制御部1005を機能ブロックとして備える。
第2のGW802は、具体的には図示されていない演算処理装置であるマイクロプロセッサ、及び記憶装置であるRAM、ROM、ハードディスクなどから構成される。RAM、ROM、及びハードディスクにはコンピュータプログラムが記憶されており、マイクロプロセッサがこのコンピュータプログラムに従って動作することにより、第2のGW802はその機能を果たす。
なお、第2のGW802の第2の送受信部1001、転送リスト記憶部1002、通信部1003、有効化部1004、及び制御部1005は、典型的には集積回路であるLSIとして実現される。これらの各機能ブロックは個別の1チップで実現されてもよいし、複数の機能ブロックが1チップで、又は各機能ブロックが複数のチップで実現されてもよい。
また、これらの機能ブロックを実現する集積回路をLSIとしたが、集積度の違いにより、IC、システムLSI、スーパーLSI、ウルトラLSIと呼称されることもある。
また、製造後にプログラム可能なFPGA、内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサ等のプログラマブルロジックデバイスを利用してもよい。
その他、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。
また、各機能ブロックは、ソフトウェアで実現されてもよいし、LSIとソフトウェアの組み合わせで実現されてもよい。また、ソフトウェアは耐タンパ化されていてもよい。
(1)第2の送受信部1001
第2の送受信部1001は、CANバスに流れるCANコマンドを受信し、また、CANバスにCANコマンドを送信する。さらに、第2の送受信部1001は、受信したCANコマンドの転送先であるCANバスを、後述する転送リスト記憶部1002に記憶されるリストに基づいて決定し、決定したCANバスにCANコマンドを送信する転送処理を行う。第2のGW802の転送機能は、この転送処理を実行する第2の送受信部1001によって提供される。ただし、情報処理システム80において攻撃が検知されていない通常時は、第2の送受信部1001のこの転送処理は停止している。つまり、通常時の第2のGW802は、CANコマンドの転送機能が無効化された待機状態にある。
(2)転送リスト記憶部1002
転送リスト記憶部1002は、CANコマンドに含まれるCAN IDと、当該CANコマンドが転送される転送先のCANバスとを対で示す転送リストを記憶している。第2のGW802が備える転送リストの一例は図4と共通であり、ここではその説明を省略する。
(3)通信部1003
通信部1003は、専用線602を介して情報処理装置803との通信データの送受信を行う。例えば、情報処理装置803から、第2のGW802の転送機能を有効化させるための通知(指示)を示す通信データが専用線602を介して第2のGW802へ送信される。第2のGW802では、通信部1003によってこの通信データが受信される。
(4)有効化部1004
有効化部1004は、通信部1003を介して情報処理装置803からの上記の通知を受信すると、第2の送受信部1001に転送処理を開始させることで第2のGW802の通信データの転送機能を有効化(待機状態を解除)する。第2のGW802の転送機能が有効化されることで、第1のGW801の転送機能が無効化されても、ネットワーク上では電子制御等のためのCANコマンドが引き続き転送され、情報処理システム80の機能が維持される。
(5)制御部1005
制御部1005は、上記(1)〜(4)の各機能ブロックを管理及び制御して、第2のGW802の機能を実現する。
[2.4 情報処理装置803の構成]
続いて、情報処理装置803の詳細な構成を説明する。図11は、情報処理装置803の機能構成を示すブロック図である。
情報処理装置803は、図11に示すように、第1の通信部1101、監視部1102、第2の通信部1103、第3の通信部1104、通知部1105、及び制御部1106を備える。
情報処理装置803は、具体的には図示されていない演算処理装置であるマイクロプロセッサ、及び記憶装置であるRAM、ROM、ハードディスクなどから構成される。RAM、ROM、及びハードディスクにはコンピュータプログラムが記憶されており、マイクロプロセッサがこのコンピュータプログラムに従って動作することにより、情報処理装置803はその機能を果たす。
なお、情報処理装置803の第1の通信部1101、監視部1102、第2の通信部1103、第3の通信部1104、通知部1105、及び制御部1106は、典型的には集積回路であるLSIとして実現される。これらの各機能ブロックは個別の1チップで実現されてもよいし、複数の機能ブロックが1チップで、又は1つの機能ブロックが複数のチップで実現されてもよい。
また、これらの機能ブロックを実現する集積回路をLSIとしたが、集積度の違いにより、IC、システムLSI、スーパーLSI、ウルトラLSIと呼称されることもある。
また、製造後にプログラム可能なFPGA、内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサ等のプログラマブルロジックデバイスを利用してもよい。
その他、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。
また、各機能ブロックは、ソフトウェアで実現されてもよいし、LSIとソフトウェアの組み合わせで実現されてもよい。また、ソフトウェアは耐タンパ化されていてもよい。
このような情報処理装置803は、例えば車載ネットワークとして実現される情報処理システム80に、この車載ネットワークのすべてのCANバスに接続される監視用のECUとして実装される。
以下、情報処理装置803の各機能ブロックについて説明する。
(1)第1の通信部1101
第1の通信部1101は、CANバスに流れるCANコマンドを受信し、また、CANコマンドをCANバスに流して送信する。
(2)監視部1102
監視部1102は、情報処理装置803と接続されている複数のCANバス(図8の例ではCANバス1〜3)を流れるCANコマンドを、第1の通信部1101を介して受信し、受信したCANコマンドが正常か否かを判断する。CANコマンドが正常か否かを判断する方法については、実施の形態1の情報処理装置103の説明で述べたものと共通であり、ここではその説明を省略する。
(3)第2の通信部1103
情報処理装置803では、第2の通信部1103から専用線601を介して第1のGW801へ通信データを送信する。例えば、情報処理装置803では、第1のGW801の転送機能を無効化させるための通知(指示)を示す通信データが第2の通信部1103から専用線601を介して第1のGW801へ送信される。第1のGW801では、通信部903によってこの通信データが受信される。
(4)第3の通信部1104
情報処理装置803では、第3の通信部1104から専用線602を介して第2のGW802へ通信データを送信する。例えば、情報処理装置803では、第2のGW802の転送機能を有効化させるための通知(指示)を示す通信データが第3の通信部1104から専用線602を介して第2のGW802へ送信される。第2のGW802では、通信部1003によってこの通信データが受信される。
(5)通知部1105
通知部1105は、第1の通信部1101が受信したCANコマンドを監視部1102が正常でない(異常である)と判断した場合、第1のGW801及び第2のGW802へ所定の通知を送信する。より具体的には、通知部1105から第1のGW801へは、転送機能を無効化させるための通知が第2の通信部1103を介して送信される。また、通知部1105から第2のGW802へは、転送機能を有効化させるための通知が第3の通信部1104を介して送信される。
(6)制御部1106
制御部1106は、上記(1)〜(5)の各機能ブロックを管理及び制御して、情報処理装置803の機能を実現する。
[2.5 情報処理システム80の動作]
情報処理システム80において、情報処理装置803が受信したCANコマンドは正常でないと判断した場合に、第1のGW801の転送機能を無効化し、第2のGW802に代替的に転送処理を実行させる動作の一例について、図12を用いて説明する。図12は、情報処理システム80の動作を説明するためのシーケンス図である。
この例の動作の開始段階にある情報処理システム80では、ネットワークに流れる通信データであるCANコマンドの転送処理を第1のGW801が行い、第2のGW802は待機状態にあるとする。
情報処理装置803の第1の通信部1101は、接続されている各CANバスからCANコマンドを受信する(ステップS1201)。
第1の通信部1101によって受信されたCANコマンドについて、監視部1102が正常か否かを判断する(ステップS1202)。正常と判断された場合(ステップS1202でYes)、情報処理装置803における動作の手順はCANコマンドの受信(ステップS1201)へ戻り、第1の通信部1101が次のCANコマンドを受信する。
次々に受信されるCANコマンドが監視部1102によって正常と判断され続けている間、第1のGW801は受信したCANコマンドの転送を継続し、第2のGW802は引き続き待機状態にある。
受信されたCANコマンドが正常でないと監視部1102によって判断された場合(ステップS1202でNo)、通知部1105が、第1のGW801に、第1のGW801の転送機能を無効化させるための所定の通知を、第2の通信部1103から第1のGW801へ送信する(ステップS1203)。また、通知部1105はさらに、第2のGW802に、第2のGW802の転送機能を有効化させるための所定の通知を、第3の通信部1104から第2のGW802へ送信する(ステップS1206)。
第1のGW801では、通信部903が上記の通知を情報処理装置803から受信すると(ステップS1204)、無効化部904が、第1の送受信部901の転送処理を停止させる。これにより、第1のGW801のCANコマンドの転送機能は無効化される(ステップS1205)。
第2のGW802では、通信部1003が上記の通知を情報処理装置803から受信すると(ステップS1207)、有効化部1004が、第2の送受信部1001に転送処理を開始させる。これにより、第2のGW802の転送機能は有効化され(ステップS1208)、CANコマンドの転送を開始する。以降、第2のGW802では、CANコマンドを受信し、受信したCANコマンドの転送を転送リスト記憶部1002にある転送リストに基づいて決定される転送先のCANバスへ送信する転送処理が第2の送受信部1001によって行われる。
以上のように、本実施の形態によれば、情報処理システム80において、第1のGW801、第2のGW802、及び情報処理装置803は、CANバス及び専用線で接続されている。情報処理装置803において、受信したCANコマンドが正常でないと判断された場合、情報処理装置803から、第1のGW801の転送機能を無効化させるための通知が専用線601を介して第1のGW801へ送信され、第2のGW802の転送機能を有効化させるための通知が専用線602を介して第2のGW802へ送信される。情報処理装置803からこの通知を受信した第1のGW801は、自身の転送機能を無効化する。また、情報処理装置803からこの通知を受信した第2のGW802は、自身の転送機能を有効化する。以降、転送機能が有効化された第2のGW802によって通信データの転送処理が行われることによって情報処理システム80の機能は維持される。また、上記の転送機能を有効化させるための通知及び無効化させるための通知は、それぞれ専用線601及び602を用いて安全かつ確実に送信される。これにより、冗長化による機能安全とセキュリティとを実現する情報処理システム80が提供される。
(変形例等)
以上のように、本発明に係る技術の例示として実施の形態1及び2を説明した。しかしながら、本発明に係る技術は、これらの実施の形態に限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本発明の一実施形態に含まれる。
(1)各実施の形態における、ゲートウェイの転送機能を有効化又は無効化させるための通知は、メッセージ認証コード(以下、Message Authentication Codeの頭字語であるMACと表記する)を付与したCANコマンドを用いてCANバスを介する経路で送信されてもよい。具体的には以下のとおりである。
例えば実施の形態1において、情報処理装置103は、いずれかのCANバスを介して第2のGW102へ所定の通知を送信する場合、この通知を送信するためのMACを付与してもよい。
また、実施の形態1において、第2のGW102は、第1のGW101の転送機能を無効化させるための通知を、専用線600に代えていずれかのCANバスを介して第1のGW101へ送信し、第2のGW102は、この通知を送信するためのCANコマンドにMACを付与してもよい。
また、実施の形態2において、情報処理装置803は、第1のGW801の転送機能を無効化させるための通知を、専用線601に代えていずれかのCANバスを介して第1のGW801へ送信し、情報処理装置803は、この通知を送信するためのCANコマンドにMACを付与してもよい。
また、実施の形態2において、情報処理装置803は、第2のGW802の転送機能を有効化させるための通知を、専用線602に代えていずれかのCANバスを介して第2のGW802へ送信し、情報処理装置803は、この通知を送信するためのCANコマンドにMACを付与してもよい。
これにより、改ざん又はエラーによって完全性が損なわれた通知、又は不正に流された通知によって各ゲートウェイの転送機能が無効化されたり有効化されたりすることが防止される。
なお、上記のようにMACを用いる構成では、MACの処理負荷が各ゲートウェイ及び情報処理装置の演算処理装置にかかり、また、データフィールドの一部がMACに占有されるため、処理能力の高い演算処理装置が用いられたり、データ長を抑えたMACが用いられたりしてもよい。
また、各実施の形態においてCANバスを介して送信される通知は、この通知を送信するための専用線を介する経路で送信されてもよい。より具体的には、実施の形態1において、情報処理装置103は、第2のGW102との間の直接通信に用いられる、専用線600とは別の専用線で第2のGW102と接続され、情報処理装置103から第2のGW102への所定の通知は、CANバスに代えてこの専用線を介して送信されてもよい。これにより、所定の通知は安全かつ確実に送信される。
なお、上記の各実施の形態の変形例において、情報処理装置から各ゲートウェイへの通知の送信が専用線を介さず、例えばCAN通信用の物理ポート経由で行われる場合、その通知の送信に用いられる各通信部(第1の通信部401、第2の通信部1103、第3の通信部1104)は、当該通知を送信するための専用のポートとして実装されてもよい。
(2)各実施の形態及びその変形例において、情報処理装置からゲートウェイにCANバスを介して送信される上述の各通知の正当性を各ゲートウェイに確認させるために、情報処理装置は、この通知を複数又はすべてのCANバスを介して同じCANコマンドで送信してもよい。これにより、ゲートウェイでは、各CANバスから受信したCANコマンド同士を比較して、異なる場合には多数決で正当なCANコマンドを確認することができる。
(3)各実施の形態及びその変形例において、ゲートウェイの転送機能の無効化(送受信部による転送処理の停止)は、電気的手段、物理的手段、ソフト的手段の何れによって行われてもよい。
例えば、電気的手段として、転送機能を無効化させるゲートウェイはシャットダウンされてもよい。また、物理的手段として、ゲートウェイとCANバスとの接続が切断されてもよい。また、転送機能を無効化させるゲートウェイのソフトウェアの動作が停止されてもよい。このような強制停止は、転送機能を無効化させるゲートウェイ自身に実行させてもよいし、他のゲートウェイ又はECUによって外部から実行されてもよい。
(4)上述のゲートウェイとCANバスとの接続の切断又はソフトウェアの動作の停止に関連して、ゲートウェイの転送機能の無効化は部分的になされてもよい。
例えば、不正なCANコマンドが検知されたCANバスとの接続のみが物理的に切断されてもよいし、このCANバスを経路とする転送機能に関わるソフトウェアの動作のみが停止されてもよい。このような部分的な無効化のために、ゲートウェイの転送機能を無効化させるための通知には、監視部402(又は1102)が正常ではないと判断したCANコマンドが流れるCANバスを示す情報が含められてもよい。
なお、ゲートウェイの転送機能のこのような部分的な無効化に対応して、他のゲートウェイの転送機能の有効化も部分的に行われてもよい。
(5)また、上述のゲートウェイと一部のCANバスとの接続の切断に関連して、ゲートウェイとECUとの接続の切断は、段階的に行われてもよい。
例えば、ゲートウェイに接続される複数のCANバスには、例えば各CANバスに接続されるECUの機能、流れるCANコマンドの種類等に基づいて所定の優先順位が設定されており、その優先順位の高い方からゲートウェイとCANバスとの接続が切断されてもよい。この優先順位は、攻撃によるリスク(被害)の大きさに応じて設定されてもよい。車載ネットワークを例にとると、CANバス1のECUは運転操作系統の機能を有し、CANバス2のECUはドア、ミラー、シート等の駆動の機能を有する場合、CANバス1により高い優先順位が設定される。
また例えば、不正なCANコマンドの検知後は、まず情報処理システム10(又は80)と外部との通信のため通信ECUとゲートウェイとの接続が切断され、その上で、さらに不正なCANコマンドが検知される場合に、当該ゲートウェイの転送機能の全部または一部が無効化されてもよい。
(6)各実施の形態及びその変形例において、通常時における2つのゲートウェイの状態は、一方が転送機能が有効であり、他方は転送機能が無効であるという状態に限定されない。
例えば2つのゲートウェイは通常時において共に転送機能が有効なメインゲートウェイ及びサブゲートウェイであり、サブゲートウェイがメインゲートウェイの転送機能を補完してもよい。補完のより具体的な例を挙げると、サブゲートウェイは各CANバスをモニタリングし、メインゲートウェイによるCANコマンドの転送に漏れがあった場合に当該CANコマンドを転送してもよい。このような構成の情報処理システムでは、CANコマンドが正常でないと判断された場合の監視用ECUからの通知は、メインゲートウェイの転送機能を無効化させるための通知ではあるが、サブゲートウェイの転送機能を有効化させるための通知でなくてもよい。
(7)各実施の形態及びその変形例においては、2つのゲートウェイのうち一方のみが通信ECUを介して外部のネットワークと通信可能に接続されているが、本発明における情報処理システムの構成はこれに限定されない。2つのゲートウェイの両方が外部のネットワークと通信可能に物理的に接続されていてもよい。また、通常時には、一方のゲートウェイの外部との通信機能が無効にされていてもよく、もう一方のゲートウェイの通信機能が無効にされた場合に、当該ゲートウェイの通信機能が有効にされてもよい。
なお、上記には、正常でないCANコマンドが受信された場合も代替的に実行される転送機能によって情報処理システムの機能が維持される旨の記載があるが、通常時以外は外部の情報処理装置との通信経路が遮断される情報処理システムでは、この通信に依存する機能については制限される。
(8)各実施の形態及びその変形例における2つのゲートウェイは、2つのゲートウェイに限定されない。2つのゲートウェイは物理的に1つのECUに実装されており、ソフトウェアなどによって提供される論理的に独立した機能モジュールとして実装されてもよい。
また、各実施の形態及びその変形例において通常時は待機状態にあるゲートウェイは、情報処理装置103(又は803)を実現する監視用ECUと物理的に1つであってもよく、当該ゲートウェイはソフトウェアなどによって提供される機能モジュールとして実装されてもよい。
(9)各実施の形態及びその変形例において、情報処理装置においてCANコマンドが正常でないと判断されたときは、当該CANコマンドのCAN IDに基づいて判別する当該CANコマンドを受信するECUに対して、フェイルセーフモードに移行させるための通知が情報処理装置又はゲートウェイから送信されてもよい。この通知の手段としては、CANバスを介した通知、ECUとの間に別途設けられる専用線を介した通知、及びMACを付与した通知のいずれであってもよい。この通知を受けたECUは、フェイルセーフモードに移行することで、不正なCANコマンドによる制御の影響を回避することができる。ここでのフェイルセーフモードとは、例えば自動車であれば、走行が可能な最小限の機能以外の電子制御を無効にしたり、車両を最低限の安全に停止させたりするようなモードである。
(10)各実施の形態及びその変形例において、受信したCANコマンドが正常でない場合にはゲートウェイの転送機能の有効無効が切り替えられる構成としたが、本発明はその構成に限定されるものではない。
例えば、車載ネットワーク上のシステムにおいては、ADASの諸機能に関連するECUや、自動運転機能に関連するECUなどで、冗長化(多重化)されている場合がある。本発明によって、このような冗長化されているECUに対しても、攻撃から切り離すことを目的に、主として動作しているECUの機能を無効化(強制停止)させ、別のECUで代替処理するために当該機能を有効化させてもよい。
(11)各実施の形態及びその変形例は、CAN通信が行われるネットワーク上のシステムとして説明されたが、本発明の適用対象はこれに限定されず、他の通信方式によるネットワークを利用するシステムにも適用することができる。例えば、CAN FD(CAN with Flexible Data rate)、TTCAN(Time Triggered CAN)、Ethernet(登録商標)、LIN(Local Interconnect Network)、MOST(登録商標)(Media Oriented Systems Transport)、FlexRay(登録商標)などの通信方式が用いられるシステムであってもよい。
(12)上記の各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なICカード又は単体のモジュールから構成されているとしてもよい。このICカード又はモジュールは、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。また、このICカード又はモジュールは、上記のような高集積度の集積回路で実現される超多機能LSIを含んでもよい。マイクロプロセッサが、ROM又はRAMに記憶されるコンピュータプログラムに従って動作することにより、ICカード又はモジュールは、その機能を達成する。このICカード又はモジュールは、耐タンパ性を有してもよい。
(13)本発明は、上記の各装置が実行する動作に含まれる処理の手順を含む方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、このコンピュータプログラムからなるデジタル信号であるとしてもよい。
また、本発明は、上記のコンピュータプログラム又はデジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD(Compact Disc)−ROM、MO(Magneto-Optical)ディスク、DVD(Digital Versatile Disc)、DVD−ROM、DVD−RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリーなどに記録したものとしてもよい。また、これらの記録媒体に記録されている上記のデジタル信号であるとしてもよい。
また、本発明は、上記のコンピュータプログラム又はデジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。
また、本発明は、マイクロプロセッサとメモリーとを備えたコンピュータシステムであって、このメモリーは、上記のコンピュータプログラムを記憶しており、このマイクロプロセッサは、当該コンピュータプログラムに従って動作するとしてもよい。
また、上記のコンピュータプログラム又はデジタル信号を上記の記録媒体に記録して移送することにより、または上記のコンピュータプログラム又はデジタル信号を上記のネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施されるとしてもよい。
(14)上記の各実施の形態及びその変形例は、それぞれ組み合わせるとしてもよい。
本発明にかかる情報処理装置、情報処理システム、情報処理方法、及びプログラムは、攻撃に拠ってネットワークに注入された不正な通信データを検知した場合に、その攻撃を排除しつつ、当該ネットワークの機能を維持することが可能であり、これらの情報処理装置等を利用することはネットワーク上で動く、又はネットワークを含む製品の安全性向上において有用である。
10、80 情報処理システム
11 サーバ装置
101、801 第1のGW
102、802 第2のGW
103、803 情報処理装置
104 通信ECU
105 ECU
201、901 第1の送受信部
202、302、902、1002 転送リスト記憶部
203、903 通信部
204、904 無効化部
205、306、404、905、1005、1106 制御部
301、1001 第2の送受信部
303、1003 通信部
304 無効化通知部
305、1004 有効化部
401、1101 第1の通信部
402、1102 監視部
403、1105 通知部
500 外部ネットワーク
600、601、602 専用線
1103 第2の通信部
1104 第3の通信部

Claims (18)

  1. 第1のゲートウェイ、第2のゲートウェイ、及び少なくとも1つの電子制御ユニットが接続されたネットワークに流れる通信データを送受信する第1の通信部と、
    前記通信データが正常か否かを判断する監視部と、
    前記監視部が前記通信データは正常でないと判断した場合に、前記第1のゲートウェイの転送機能及び前記第2のゲートウェイの転送機能の一方が有効であり、他方が無効である状態にするための通知を、少なくとも前記第2のゲートウェイへ送信する通知部とを備える、
    情報処理装置。
  2. 前記第1のゲートウェイの転送機能が有効であり、前記第2のゲートウェイの転送機能が無効であるときに前記監視部が前記通信データは正常でないと判断した場合、前記通知部は、前記第2のゲートウェイに、前記第1のゲートウェイの転送機能を無効化させるための通知を前記第1のゲートウェイへ送信させ、前記第2のゲートウェイの転送機能を有効化させるための前記通知を前記第2のゲートウェイへ送信する、
    請求項1に記載の情報処理装置。
  3. 前記第1の通信部とは異なる第2の通信部をさらに備え、
    前記監視部が前記通信データは正常でないと判断した場合、前記通知部は、前記通知を、前記第2の通信部を介して前記第2のゲートウェイへ送信する、
    請求項2に記載の情報処理装置。
  4. 前記第2の通信部は、前記第2のゲートウェイとの直接通信に用いられる専用線で前記第2のゲートウェイと接続される、
    請求項3に記載の情報処理装置。
  5. 前記第1のゲートウェイの転送機能が有効であり、前記第2のゲートウェイの転送機能が無効であるときに前記監視部が前記通信データは正常でないと判断した場合、前記通知部は、前記第2のゲートウェイの転送機能を有効化させるための前記通知を前記第2のゲートウェイへ送信し、前記第1のゲートウェイの転送機能を無効化させるための前記通知を前記第1のゲートウェイへ送信する、
    請求項1に記載の情報処理装置。
  6. 前記第1の通信部とは異なる第2の通信部と、前記第1の通信部及び前記第2の通信部とは異なる第3の通信部と、をさらに備え、
    前記監視部が前記通信データは正常でないと判断した場合、前記通知部は、前記通知を、前記第2の通信部を介して前記第2のゲートウェイへ送信し、前記第3の通信部を介して前記第1のゲートウェイへ送信する、
    請求項5に記載の情報処理装置。
  7. 前記第2の通信部は、前記第2のゲートウェイとの通信のみに用いられる第1の専用線で前記第2のゲートウェイと接続され、
    前記第3の通信部は、前記第1のゲートウェイとの通信のみに用いられる第2の専用線で前記第1のゲートウェイと接続される、
    請求項6に記載の情報処理装置。
  8. 前記第1の通信部が実行する通信はCAN通信である、
    請求項1から7のいずれか1項に記載の情報処理装置。
  9. 前記通知は、受信された通信データが正常でないこと、前記第1のゲートウェイの転送機能を無効化すること、又は前記第2のゲートウェイの転送機能を有効化することを示す通知である、
    請求項1から8のいずれか1項に記載の情報処理装置。
  10. 請求項1に記載の情報処理装置と、
    前記第1のゲートウェイと、
    前記第2のゲートウェイと、
    前記少なくとも1つの電子制御ユニットとを備える情報処理システムであって、
    前記第1のゲートウェイは、
    前記第1のゲートウェイの転送機能を提供する第1の送受信部と、
    前記第1の送受信部の転送処理を停止させる無効化部とを備え、
    前記第2のゲートウェイは、
    前記第2のゲートウェイの転送機能を提供する第2の送受信部と、
    前記第2の送受信部の転送処理を開始させる有効化部とを備え、
    前記監視部が前記通信データは正常でないと判断した場合、前記通知部は、前記通知を少なくとも前記第2のゲートウェイへ送信する、
    情報処理システム。
  11. さらに、前記第1のゲートウェイと前記第2のゲートウェイとの間の通信のみに用いられる専用線を備え、
    前記第2のゲートウェイは、前記第1のゲートウェイに前記第1のゲートウェイの転送機能を無効化させるための通知を前記第1のゲートウェイへ送信する無効化通知部をさらに備え、
    前記第2のゲートウェイが前記通知部から送信された前記通知を受信すると、前記無効化通知部は、前記第1のゲートウェイの転送機能を無効化させるための前記通知を、前記専用線を介して前記第1のゲートウェイへ送信し、
    前記第1のゲートウェイが前記第1のゲートウェイの転送機能を無効化させるための前記通知を受信すると、前記無効化部は前記第1の送受信部の転送処理を停止させる、
    請求項10に記載の情報処理システム。
  12. さらに、前記通知部と前記第1のゲートウェイとの間の直接通信に用いられる第3の専用線と、
    前記通知部と前記第2のゲートウェイとの間の直接通信に用いられる第4の専用線とを備え、
    前記第1のゲートウェイの転送機能が有効であり前記第2のゲートウェイの転送機能が無効であるときに、前記監視部が前記通信データは正常でないと判断した場合、前記通知部は、
    前記第1のゲートウェイに前記第1のゲートウェイの転送機能を無効化させるための前記通知を、前記第3の専用線を用いて前記第1のゲートウェイへ送信し、
    前記第2のゲートウェイに前記第2のゲートウェイの転送機能を有効化させるための前記通知を、前記第4の専用線を用いて前記第2のゲートウェイへ送信し、
    前記第1のゲートウェイが前記第1のゲートウェイの転送機能を無効化させるための前記通知を受信すると、前記無効化部は前記第1の送受信部の転送機能を停止させ、
    前記第2のゲートウェイが前記第2のゲートウェイの転送機能を有効化させるための前記通知を受信すると、前記有効化部は前記第2の送受信部の転送機能を開始させる、
    請求項10に記載の情報処理システム。
  13. 前記第1のゲートウェイは、前記情報処理システムの外部と通信するための接続経路を有し、
    前記無効化部は、
    前記第1のゲートウェイが前記第1のゲートウェイの転送機能を無効化させるための前記通知を受信すると、前記接続経路を切断し、
    前記接続経路が切断された状態で、前記第1のゲートウェイが前記第1のゲートウェイの転送機能を無効化させるための前記通知をさらに受信すると、さらに前記第1の送受信部の転送処理を停止させる、
    請求項11又は12に記載の情報処理システム。
  14. 前記第1のゲートウェイは、前記少なくとも1つの電子制御ユニットが接続された前記ネットワークに含まれる複数の配線に接続され、
    前記無効化部は、前記複数の配線のうち、所定の優先順位の高い方から選択される少なくとも一部の配線との接続を切断することで前記第1の送受信部の転送処理を停止させる、
    請求項11又は12に記載の情報処理システム。
  15. 前記第1のゲートウェイは、前記少なくとも1つの電子制御ユニットが接続された前記ネットワークに含まれる複数の配線に接続され、
    前記第1のゲートウェイの転送機能を無効化させるための前記通知は、前記複数の配線のうち、前記監視部が正常でないと判断した前記通信データが流れる配線を示し、
    前記無効化部は、前記通知が示す配線との接続を切断をすることで前記第1の送受信部の転送処理を停止させる、
    請求項11又は12に記載の情報処理システム。
  16. 前記監視部が前記通信データは正常でないと判断した場合、前記通知部はさらに、前記少なくとも1つの電子制御ユニットのうち、当該通信データを受信する電子制御ユニットへ、フェイルセーフモードに移行させるための通知を送信する、
    請求項10から15のいずれか1項に記載の情報処理システム。
  17. 第1のゲートウェイ、第2のゲートウェイ、及び少なくとも1つの電子制御ユニットが接続されたネットワークに接続される情報処理装置において実行される情報処理方法であって、
    前記ネットワークに流れる通信データを送受信し、
    前記通信データが正常か否かを判断し、
    前記通信データは正常でないと判断した場合に、前記第1のゲートウェイの転送機能及び前記第2のゲートウェイの転送機能の一方が有効であり、他方が無効である状態にするための通知を、少なくとも前記第2のゲートウェイに送信する、
    情報処理方法。
  18. 請求項17に記載の情報処理方法を前記情報処理装置に実行させるためのプログラム。
JP2017175751A 2017-04-11 2017-09-13 情報処理装置、情報処理システム、情報処理方法、及びプログラム Active JP6920667B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US15/947,105 US10873600B2 (en) 2017-04-11 2018-04-06 Information processing device, information processing system, information processing method, and information processing program
US16/042,160 US10917387B2 (en) 2017-04-11 2018-07-23 Information processing device, information processing system, information processing method, and information processing program

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2017078327 2017-04-11
JP2017078327 2017-04-11

Publications (2)

Publication Number Publication Date
JP2018182713A true JP2018182713A (ja) 2018-11-15
JP6920667B2 JP6920667B2 (ja) 2021-08-18

Family

ID=64276406

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017175751A Active JP6920667B2 (ja) 2017-04-11 2017-09-13 情報処理装置、情報処理システム、情報処理方法、及びプログラム

Country Status (1)

Country Link
JP (1) JP6920667B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020044638A1 (ja) * 2018-08-30 2020-03-05 住友電気工業株式会社 車載通信システム、データ取得装置、管理装置および監視方法
JP6727463B1 (ja) * 2019-06-07 2020-07-22 三菱電機株式会社 車載制御装置および車載制御システム
JP2020113932A (ja) * 2019-01-15 2020-07-27 株式会社デンソーテン 制御装置、制御システムおよび制御方法

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020044638A1 (ja) * 2018-08-30 2020-03-05 住友電気工業株式会社 車載通信システム、データ取得装置、管理装置および監視方法
JPWO2020044638A1 (ja) * 2018-08-30 2021-09-09 住友電気工業株式会社 車載通信システム、データ取得装置、管理装置および監視方法
JP7160103B2 (ja) 2018-08-30 2022-10-25 住友電気工業株式会社 車載通信システム、データ取得装置、管理装置および監視方法
US11981339B2 (en) 2018-08-30 2024-05-14 Sumitomo Electric Industries, Ltd. Vehicle-mounted communication system, data acquisition device, management device, and monitoring method
JP2020113932A (ja) * 2019-01-15 2020-07-27 株式会社デンソーテン 制御装置、制御システムおよび制御方法
JP6727463B1 (ja) * 2019-06-07 2020-07-22 三菱電機株式会社 車載制御装置および車載制御システム
WO2020246031A1 (ja) * 2019-06-07 2020-12-10 三菱電機株式会社 車載制御装置および車載制御システム
CN113891824A (zh) * 2019-06-07 2022-01-04 三菱电机株式会社 车载控制装置和车载控制系统
CN113891824B (zh) * 2019-06-07 2024-04-16 三菱电机株式会社 车载控制装置和车载控制系统

Also Published As

Publication number Publication date
JP6920667B2 (ja) 2021-08-18

Similar Documents

Publication Publication Date Title
JP6836340B2 (ja) 不正検知電子制御ユニット、車載ネットワークシステム及び通信方法
US10873600B2 (en) Information processing device, information processing system, information processing method, and information processing program
US11539727B2 (en) Abnormality detection apparatus and abnormality detection method
CN107710657B (zh) 用于通信总线的实时数据安全的方法和装置
JP6594732B2 (ja) 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム
EP3435617B1 (en) A node, a vehicle, an integrated circuit and method for updating at least one rule in a controller area network
JP6964277B2 (ja) 通信遮断システム、通信遮断方法及びプログラム
US10691631B2 (en) Broadcast bus frame filter
JP7231559B2 (ja) 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
US10581739B2 (en) System for verification of unregistered device based on information of Ethernet switch and method for the same
JP7182559B2 (ja) ログ出力方法、ログ出力装置及びプログラム
CN109104352B (zh) 车辆网络操作协议和方法
JP2018026791A (ja) フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム
JP6920667B2 (ja) 情報処理装置、情報処理システム、情報処理方法、及びプログラム
US10917387B2 (en) Information processing device, information processing system, information processing method, and information processing program
JP7340537B2 (ja) 不正制御防止システム、監視装置、および、不正制御防止方法
JP2014236248A (ja) 電子制御装置、電子制御システム
WO2020021713A1 (ja) 不正検知方法および不正検知電子制御装置
JP7030742B2 (ja) 通信システム、および通信制御方法
JP2019146145A (ja) 通信装置、通信方法及びプログラム
JP2017200050A (ja) ゲートウェイ装置
KR102352504B1 (ko) 이더넷 스위치 정보에 기초한 미등록 장치 검증 시스템 및 방법
KR101570711B1 (ko) 차량용 게이트웨이, 차량용 게이트웨이의 mcu 불능 시 진단통신 방법 및 차량용 게이트웨이의 리프로그램 방법
JP2015192216A (ja) 通信装置および通信方法
CN111694299B (zh) 车辆用通信系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200219

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201217

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210112

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210226

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210615

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210712

R151 Written notification of patent or utility model registration

Ref document number: 6920667

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

SZ03 Written request for cancellation of trust registration

Free format text: JAPANESE INTERMEDIATE CODE: R313Z03