JP2020096320A - 不正信号処理装置 - Google Patents

不正信号処理装置 Download PDF

Info

Publication number
JP2020096320A
JP2020096320A JP2018234591A JP2018234591A JP2020096320A JP 2020096320 A JP2020096320 A JP 2020096320A JP 2018234591 A JP2018234591 A JP 2018234591A JP 2018234591 A JP2018234591 A JP 2018234591A JP 2020096320 A JP2020096320 A JP 2020096320A
Authority
JP
Japan
Prior art keywords
signal
communication
relay
communication network
determined
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018234591A
Other languages
English (en)
Inventor
怜史 西本
Reishi Nishimoto
怜史 西本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honda Motor Co Ltd
Original Assignee
Honda Motor Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honda Motor Co Ltd filed Critical Honda Motor Co Ltd
Priority to JP2018234591A priority Critical patent/JP2020096320A/ja
Publication of JP2020096320A publication Critical patent/JP2020096320A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

【課題】通信網に入力された不正信号の送信元を特定する。【解決手段】不正信号処理装置100は、第1、第2通信網に接続され、第1、第2通信網を介して受信した信号が不正信号であるか否かを判定するECU2a,2bと、第1、第2通信網がそれぞれ接続され、第1、第2通信網の間で送受信される信号を中継する信号中継部52と、中継履歴を記憶する記憶部51と、ECU2aにより第1通信網を介して受信した信号が不正信号と判定されると、中継履歴に基づいて、不正信号と判定された信号が第1通信網と第2通信網とのうちのいずれの通信網を介して入力されたかを判定する送信元判定部54とを備える。【選択図】図2

Description

本発明は、通信網に入力される不正な信号を処理する不正信号処理装置に関する。
従来、CAN(コントローラエリアネットワーク)通信の通信信号に含まれる送信元のID情報に基づいて、なりすまし信号を検出するようにした装置が知られている。例えば特許文献1記載の装置では、車載通信網に接続された複数のECU(電子制御ユニット)のそれぞれに互いに異なるIDを予め割り当て、各ECUにより受信された信号のIDがそのECUに割り当てられたIDと同一であれば、その受信信号を不正な信号であると判定する。
特許文献1:特開2014−11621号公報
ところで、通信網に不正な信号が入力された場合は、さらなる不正な信号による攻撃を防ぐために送信元を特定する必要がある。しかしながら、上記特許文献1記載の装置は、受信信号が不正な信号か否かを判定するだけであり、不正な信号の送信元を特定するものではない。
本発明の一態様である不正信号処理装置は、第1通信網に接続され、第1通信網を介して受信した通信信号が不正な信号であるか否かを判定する第1機器と、第2通信網に接続され、第2通信網を介して受信した通信信号が不正な信号であるか否かを判定する第2機器と、第1通信網と第2通信網とがそれぞれ接続され、第1通信網と第2通信網との間で送受信される通信信号を中継する中継部と、中継部により中継された通信信号の中継履歴を記憶する記憶部と、第1機器により、第1通信網を介して受信した通信信号が不正な信号であると判定されると、記憶部に記憶された中継履歴に基づいて、第1機器により不正な信号であると判定された通信信号が中継部により中継されたか否かを判定する中継判定部と、中継判定部により、第1機器により不正な信号であると判定された通信信号が中継部により中継されたと判定されると、第1機器により不正な信号であると判定された通信信号が第1通信網と第2通信網とのうちのいずれの通信網を介して入力されたかを判定する送信元判定部と、を備える。
本発明によれば、通信網に入力された不正な信号の送信元を特定することができる。
本発明の実施形態に係る不正信号処理装置を概略的に示す図。 本発明の実施形態に係る不正信号処理装置の要部構成を示すブロック図。 図2の記憶部に記憶される中継履歴の一例を示す図。 図1のゲートウェイによる中継が行われていない場合の不正通信の送信元の判定の一例を説明する図。 図1のゲートウェイによる中継が行われた場合の不正通信の送信元の判定の一例を説明する図。 図1のゲートウェイによる中継が行われた場合の不正通信の送信元の判定の別の例を説明する図。 本発明の実施形態に係る不正信号処理装置により実行される処理の一例を示すフローチャート。
以下、図1〜図5を参照して本発明の実施形態について説明する。図1は、本発明の実施形態に係る不正信号処理装置100を概略的に示す図である。
不正信号処理装置100が適用される車両1には、複数のECU(電子制御ユニット)2(図1の例では、4つのECU2a1,2a2,2b1,2b2)が搭載される。複数のECU2には、エンジン制御用ECU、変速機制御用ECU、操舵制御用ECUなどの車両の動作に直接的な影響を与えるECU、エアコンやナビゲーションなどの車両の動作に直接的な影響を与えない機器の制御用ECU等、機能の異なるECUが含まれる。
各ECU2は、演算処理を行うCPU等の演算部20と、揮発性メモリ(RAM)、書き換え可能な不揮発性メモリ(フラッシュメモリやEEPROM等)などの記憶部21と、その他の周辺回路とを有するコンピュータを含んで構成される(図2)。各ECU2は、予め不揮発性メモリに記憶された制御プログラムに従い、各種センサや他のECU2からの出力値に基づいて各種制御を実行する。
これら複数のECU2は、CAN(コントローラエリアネットワーク)等の車載通信網により互いに通信可能に接続される。図1の例では、ECU2a1,2a2が通信網BUSaを介して、ECU2b1,2b2が通信網BUSbを介して、それぞれ互いに通信可能に接続される。
各通信網BUSa,BUSbは、それぞれ1本の通信線(バスライン)により構成され、共通のアドレス(ドメイン)が割り当てられる。例えば、通信網BUSa,BUSbには、ドメインとして、それぞれ、「A」、「B」が割り当てられる。通信網BUSaに接続されたECU2a1,2a2、通信網BUSbに接続されたECU2b1,2b2は、それぞれ共通のドメインを使用する。
さらにECU2には、通信網BUSa,BUSbを介して、外部との無線通信を行うTCU(テレマティクス制御ユニット)3、ECU2に記憶された故障コードを読み出して車両1の故障診断を行う診断機6を接続可能なDLC(データリンクコネクタ)4などを接続することができる。
通信網BUSa,BUSb、TCU3およびDLC4の間にはゲートウェイ5が設けられ、各通信網BUSa,BUSbと車外との通信を中継するとともに、ドメインの異なる通信網BUSa,BUSb間の通信を中継する。
通信網BUSa,BUSbを介して送受信される各通信信号、例えばCAN通信のデジタル信号(データフレーム)には、送信元IDを示すヘッダ部と、送受信されるデータの内容を示すペイロード部とが含まれる。各ECU2には、互いに異なるID(送信元ID)が予め割り当てられる。
例えば、ECU2a1,2a2,2b1,2b2には、送信元IDとして、それぞれ、「2a1」、「2a2」、「2b1」、「2b2」が予め割り当てられる。各ECU2は、通信網BUSa,BUSbを介して送信する通信信号のヘッダ部に、自身の送信元IDを含める。
各ECU2は、基本的に、自身を送信先として指定する通信信号、すなわち自身のIDを送信先IDとする通信信号を受信するが、例えば実行する制御内容に応じて予め設定された送信元IDの通信信号を受信してもよい。この場合、各ECU2は、通信網BUSa,BUSbを介して入力(送信)された通信信号のうち、予め設定された送信元IDをヘッダ部に含む通信信号を受信する。より具体的には、各ECU2は、自身が接続された通信網BUSa,BUSbに入力された全てあるいは一部の通信信号の送信元IDを検出し、必要に応じてその通信信号を受信する。特に、自身のIDを送信元IDとする通信信号を検出する。
ところで、悪意のある第三者が正当なECU2の送信元IDを利用して各ECU2を攻撃対象とする不正な信号(なりすまし信号)の送信(なりすまし通信)を試みることがある。例えば、一部のECU2の制御プログラムを改ざんし、改ざんされたECU200を介して、なりすまし通信を試みる可能性がある。
このような、なりすまし通信は、各ECU2が、自身に割り当てられた送信元IDと同一の送信元IDをヘッダ部に含む通信信号を発見することで検出することができる。あるいは、各ECU2が、それぞれの制御内容に応じて、出力するはずのないECU2からの通信信号を発見することで、なりすまし通信を検出することもできる。
なりすまし通信が検出された場合は、さらなる攻撃を防ぐため、なりすまし通信の送信元である改ざんされたECU200を交換する必要がある。なりすまし通信の送信元を特定できない場合は、すべての通信網BUSa,BUSbに接続されるすべてのECU2を交換しなければならない。
そこで、本発明の実施形態に係る不正信号処理装置100は、なりすまし通信の送信元であるECU2を特定するよう、具体的には、複数の通信網BUSa,BUSbのいずれに接続されているかを特定するよう、以下のように構成する。
図2は、不正信号処理装置100の要部構成を示すブロック図である。図1および図2に示すように、不正信号処理装置100は、車両1に搭載されたECU2a(2a1,2a2),2b(2b1,2b2)と、ECU2a,2bの間に設けられたゲートウェイ5とを備えた車載通信網として構成される。
図2に示すように、各ECU2a(2a1,2a2),2b(2b1,2b2)は、演算処理を行うCPU等の演算部20と、揮発性メモリ(RAM)、書き換え可能な不揮発性メモリ(フラッシュメモリやEEPROM等)などの記憶部21と、その他の周辺回路とを有するコンピュータを含んで構成される。演算部20は、各ECU2a,2bの制御プログラムを実行する以外の機能的構成として、なりすまし判定部22と、なりすまし報知部23とを有する。
記憶部21には、演算部20により実行される制御プログラムおよび予め設定された受信すべき通信信号の送信元IDが記憶されるとともに、各ECU2a,2bに予め割り当てられた送信元ID(自身の送信元ID)が記憶される。
なりすまし判定部22は、自身が接続された通信網BUSaまたはBUSbに入力された全ての通信信号を検出し、その信号がなりすまし通信によるものであるか否かを判定する。例えば、検出された通信信号のヘッダ部を参照し、送信元IDが記憶部21に記憶された自身の送信元IDと一致するか否かを判定し、一致する場合は、なりすまし通信による信号であると判定する。検出された通信信号のヘッダ部を参照し、送信元IDが出力するはずのないIDであるか否かを判定してもよい。
なりすまし報知部23は、なりすまし判定部22により検出された通信信号がなりすまし通信による信号であると判定されると、ゲートウェイ5に対して、なりすまし通信が発生した旨を報知する。また、なりすまし通信による通信信号のペイロード部の情報をゲートウェイ5に送信する。
なりすまし報知部23は、ゲートウェイ5に対する報知に加え、車両1のインストルメントパネルに「異常な通信が発生しました。点検を行ってください」などの警告メッセージを表示してユーザに対する報知を行ってもよい。ユーザに対する報知に代えて、あるいはユーザに対する報知に加えて、車両メーカや販売店等に対して報知を行ってもよい。
ゲートウェイ5は、CPU等の演算部50と、ROM,RAM,ハードディスク等の記憶部51と、その他の周辺回路とを有するコンピュータを含んで構成される。演算部50は、機能的構成として、信号中継部52と、中継判定部53と、送信元判定部54と、通信制限部55とを有する。
信号中継部52は、ドメインの異なる複数の通信網BUSa,BUSbの間で送受信される通信信号を中継(転送)する。すなわち、信号中継部52は、送信元ドメインから通信信号を受信し、当該通信信号の通信転送フラグを、転送済みを示す値に変更した上で、送信先ドメインに転送する。信号中継部52により中継された通信信号の中継履歴は、記憶部51に記憶される。
図3は、記憶部51に記憶される中継履歴の一例を示す図である。図3に示すように、記憶部51には、中継履歴として、信号中継部52により中継された通信信号のペイロード部の情報、すなわちデータの内容に関する情報が送信元ドメインごとに記憶される。
中継判定部53は、各ECU2a,2bのなりすまし報知部23から報知を受けると、当該なりすまし通信の信号がゲートウェイ5により中継されたか否かを判定する。具体的には、各ECU2a,2bから受信した、なりすまし通信による通信信号のペイロード部の情報が、記憶部51に記憶された中継履歴に含まれるペイロード部の情報のいずれかに一致するか否かを判定する。
送信元判定部54は、なりすまし通信の送信元が通信網BUSaに接続されたECU2a(2a1,2a2)であるか、通信網BUSbに接続されたECU2b(2b1,2b2)であるかを判定する。
図4A〜4Cは、なりすまし通信の送信元の判定の一例を説明する図である。図4Aの例では、改ざんされたECU200が、自身が接続された通信網BUSaと同一の通信網BUSaに接続された正当なECU2a1の送信元ID「2a1」を利用して、同一の通信網BUSaに接続されたECU2a2を攻撃対象とする、なりすまし通信を試みる。なお以下では、説明の簡略化のため、それぞれのECU2に割り当てられる送信元IDと送信先IDとを同一のものとして説明するが、送信元IDと送信先IDとを別個に設定してもよい。
この場合、改ざんされたECU200から通信網BUSaに送信先ID「2a2」、送信元ID「2a1」のなりすまし信号が入力され、通信網BUSaに接続されたECU2a1,2a2がそれぞれ当該通信信号を検出する。そして、なりすましの対象となったECU2a1が送信元IDに基づいて、なりすまし信号を検出し、ゲートウェイ5に対し、なりすまし通信の発生を報知するとともに、当該通信信号のペイロード部の情報を送信する。
このとき、なりすまし信号の送信元ドメインと送信先ドメインとが同一のドメインAであるため、ゲートウェイ5は当該通信信号を中継せず、中継判定部53は、当該通信信号がゲートウェイ5により中継されなかったと判定する。このような場合、なりすまし信号の送信元が当該なりすまし信号の検出されたドメインA(通信網BUSa)であると判定することができる。
したがって、送信元判定部54は、中継判定部53により、なりすまし通信の通信信号がゲートウェイ5により中継されなかったと判定されると、なりすまし通信が検出されたドメインを送信元と判定する。
図4Bの例では、改ざんされたECU200が、自身が接続された通信網BUSbと異なる通信網BUSaに接続された正当なECU2a1の送信元ID「2a1」を利用して、自身が接続された通信網BUSbと異なる通信網BUSaに接続されたECU2a2を攻撃対象とする、なりすまし通信を試みる。
この場合、改ざんされたECU200から通信網BUSbに送信先ID「2a2」、送信元ID「2a1」のなりすまし信号が入力され、通信網BUSbに接続されたECU2b1,2b2がそれぞれ当該通信信号を検出する。さらに、通信網BUSbに入力された当該通信信号は、ゲートウェイ5(信号中継部52)により送信元ドメインBから送信先ドメインAへと転送されて通信網BUSaに入力され、通信網BUSaに接続されたECU2a1,2a2のそれぞれにより検出される。
送信先ドメインAでは、なりすましの対象となったECU2a1が送信元IDに基づいて、なりすまし信号を検出し、ゲートウェイ5に対し、なりすまし通信の発生を報知するとともに、当該通信信号のペイロード部の情報を送信する。
なりすまし信号が検出されたドメインA(検出ドメイン)のECU2a1により、なりすまし通信の発生が報知されると、ゲートウェイ5の中継判定部53は、当該通信信号がゲートウェイ5により中継されたか否かを判定する。すなわち、なりすまし信号のペイロード部の情報と、記憶部51に記憶された中継履歴(図3)とに基づいて、当該通信信号が検出ドメインから中継されたか否かを判定する。具体的には、図3の例では、なりすまし信号のデータ内容(ペイロード部の情報)がa〜dのいずれかに一致するか否かを判定する。
例えば、なりすまし通信のデータ内容が「f」であれば、当該通信信号は、検出ドメイン(ドメインA)から中継されたものではないと判定され、検出ドメインとは別のドメイン(ドメインB)から検出ドメイン(ドメインA)へ中継されたものであると判定される。このような場合、なりすまし信号の送信元が当該なりすまし信号の検出されたドメインA(通信網BUSa)とは異なるドメインB(通信網BUSb)であると判定することができる。
したがって、送信元判定部54は、中継判定部53により、なりすまし信号がゲートウェイ5により中継されたと判定され、かつ、検出ドメインから中継されなかったと判定されると、検出ドメインとは異なるドメインをなりすまし通信の送信元と判定する。
図4Cの例では、改ざんされたECU200が、自身が接続された通信網BUSaと同一の通信網BUSaに接続された正当なECU2a1の送信元ID「2a1」を利用して、自身が接続された通信網BUSaと異なる通信網BUSbに接続されたECU2b2を攻撃対象とする、なりすまし通信を試みる。
この場合、改ざんされたECU200から通信網BUSaに送信先ID「2b2」、送信元ID「2a1」のなりすまし信号が入力され、通信網BUSaに接続されたECU2a1,2a2がそれぞれ当該通信信号を検出する。そして、なりすましの対象となったECU2a1が送信元IDに基づいて、なりすまし信号を検出し、ゲートウェイ5に対し、なりすまし通信の発生を報知するとともに、当該通信信号のペイロード部の情報を送信する。
なりすまし通信の発生が報知されると、ゲートウェイ5の中継判定部53は、当該通信信号がゲートウェイ5により中継されたか否かを判定し、中継されたと判定すると、さらに、当該通信信号が検出ドメインから中継されたか否かを判定する。
具体的には、図3の例では、ペイロード部の情報がa〜dのいずれかに一致するか否かを判定し、例えば「d」であれば、当該通信信号は、検出ドメイン(ドメインA)から中継されたものであると判定される。このような場合、なりすまし信号の送信元が当該なりすまし信号の検出されたドメインA(通信網BUSa)であると判定することができる。
したがって、送信元判定部54は、中継判定部53により、なりすまし信号がゲートウェイ5により中継されたと判定され、かつ、検出ドメインから中継されたと判定されると、検出ドメインをなりすまし通信の送信元と判定する。
通信制限部55は、必要に応じて、送信元判定部54により、なりすまし通信の送信元であると判定されたドメインからの通信を制限、例えば、そのドメインからの通信信号のゲートウェイ5による中継を禁止(遮断)する。
なお、各ECU2a,2bのなりすまし判定部22が、検出した通信信号の通信転送フラグを参照して、送信元のドメインを判定してもよい。すなわち、通信転送フラグの情報に基づいて、なりすまし通信の通信信号がゲートウェイ5により中継(転送)されたものであると判定される場合は、なりすまし通信の送信元は自身のドメインとは異なるドメインであると判定する。なりすまし通信の通信信号が転送されたものではないと判定される場合は、なりすまし通信の送信元は自身のドメインと同一のドメインであると判定する。
この場合、各ECU2a,2bのなりすまし報知部23は、なりすまし通信による通信信号のペイロード部の情報に代えて、なりすまし通信の送信元であると判定されたドメインの情報をゲートウェイ5に送信する。
図5は、不正信号処理装置100により実行される処理の一例を示すフローチャートであり、予め記憶されたプログラムに従い、各ECU2a,2bの演算部20で実行される、なりすまし判定処理、およびゲートウェイ5の演算部50で実行される通信制限処理の一例を示す。このフローチャートに示す処理は、例えば、車両1が起動されて車載通信網に電源が供給されると開始され、所定周期で繰り返される。
各ECU2a,2bによる、なりすまし判定処理では、まず、ステップS1で、なりすまし判定部22での処理により通信信号を検出したか否かを判定する。ステップS1は肯定されるまで繰り返される。ステップS1で肯定されるとステップS2に進み、ヘッダ部の情報に基づいて、ステップS1で検出された通信信号がなりすまし通信によるものか否かを判定する。
ステップS2で肯定されるとステップS3に進み、ステップS1で検出された、なりすまし通信による通信信号のペイロード部の情報をゲートウェイ5に送信する。一方、ステップS2で否定されると各ECU2a,2bでの処理を終了する。
ゲートウェイ5による通信制限処理では、まず、ステップS4で、中継判定部53での処理により、各ECU2a,2bから送信された、なりすまし通信による通信信号のペイロード部の情報を受信する。次いで、ステップS5で、ステップS4で受信されたペイロード部の情報が記憶部51に記憶された中継履歴に含まれるペイロード部の情報のいずれかに一致するか否かを判定する。
ステップS5で肯定されると、ステップS6に進む。一方、ステップS5で否定されると、ステップS7に進み、送信元判定部54での処理により、なりすまし通信が検出されたドメインを送信元と判定する。
ステップS6では、中継判定部53での処理により、なりすまし通信が検出されたドメインから別のドメインへ中継されたか否かを判定する。ステップS6で肯定されると、ステップS7に進み、送信元判定部54での処理により、なりすまし通信が検出されたドメインを送信元と判定する。一方、ステップS6で否定されると、ステップS8に進み、なりすまし通信が検出されたドメインとは異なるドメインを送信元と判定する。
次いで、ステップS9で、通信制限部55での処理により、必要に応じて、ステップS7またはS8で、なりすまし通信の送信元であると判定されたドメインからの通信を制限する。これにより、ゲートウェイ5によるなりすまし信号の中継を禁止することができる。
本実施形態に係る不正信号処理装置100の主要な動作についてより具体的に説明する。車両1のECU2(図1)が車両1の駐車中などに改ざんされたものとする。ユーザが車両1を始動すると、車載通信網に電源が供給され、改ざんされたECU200(図4A〜4C)が、例えばECU2a1の送信元ID「2a1」を使用して、なりすまし通信を試みる。
ECU2a1が、通信網BUSaを介して、自身のIDと同一の送信元IDを使用する通信信号を検出すると、なりすまし通信による通信信号であると判定し、ゲートウェイ5に対し、なりすまし通信の発生と、その通信信号のペイロード部の情報とを報知する(図5のステップS1〜S3)。
ECU2a1から報知を受けたゲートウェイ5は、なりすまし通信のデータ内容(例えば、「f」)を中継履歴(図3)と比較する。なりすまし通信のデータ内容が中継履歴に含まれ、かつ検出ドメインとは別のドメインBから検出ドメインへ中継されている場合は、なりすまし通信の送信元がECU2a1の属するドメインA(検出ドメイン)とは異なるドメインB、すなわち通信網BUSbであると判定する(ステップS4〜S6、S8)(図4B)。
同様に、ECU2a1が、通信網BUSaを介して、自身のIDと同一の送信元IDを使用する通信信号を検出すると、なりすまし通信による通信信号であると判定し、ゲートウェイ5に対し、なりすまし通信の発生と、その通信信号のペイロード部の情報とを報知する(ステップS1〜S3)。
ECU2a1から報知を受けたゲートウェイ5は、なりすまし通信のデータ内容(例えば、「k」)を中継履歴(図3)と比較する。なりすまし通信のデータ内容が中継履歴に含まれない場合は、なりすまし通信の送信元がECU2a1の属するドメインA、すなわち通信網BUSaであると判定する(ステップS4〜S6、S8)(図4A)。
また、なりすまし通信の内容(例えば、「d」)が中継履歴に含まれ、かつ検出ドメインから別のドメインBへ中継されている場合は、なりすまし通信の送信元がECU2a1の属するドメインA(検出ドメイン)、すなわち通信網BUSaであると判定する(ステップS4〜S7)(図4C)。
ゲートウェイ5は、必要に応じて、なりすまし通信の送信元であると判定されたドメインからの通信を制限する(ステップS9)。これにより、なりすまし通信の送信元である改ざんされたECU2a2を含む通信網BUSbからの通信を制限し、車載通信網に対する攻撃を制限することができる。
また、改ざんされたECU2a2が含まれる通信網BUSbを特定することで、ECU2の交換や復旧を行うべき範囲を絞り込むことが可能となり、保守にかかる工数や費用を低減することができる。
不正信号処理装置100では、通信信号に含まれる情報のうち、なりすまし通信において偽の情報が使用されるヘッダ部の送信元IDの情報ではなく、ペイロード部に含まれるデータの内容の情報に基づいて、なりすまし通信の送信元を特定する。通信信号に含まれる情報のうち、改ざんECUによる攻撃内容そのものであるデータの内容に基づいて中継の判定を行うことで、なりすまし通信の送信元を確実に特定することができる。
本実施形態によれば以下のような作用効果を奏することができる。
(1)不正信号処理装置100は、通信網BUSaに接続され、通信網BUSaを介して受信した通信信号が不正な信号であるか否かを判定するECU2a(ECU2a1,2a2)と、通信網BUSbに接続され、通信網BUSbを介して受信した通信信号が不正な信号であるか否かを判定するECU2b(ECU2b1,2b2)と、通信網BUSaと通信網BUSbとがそれぞれ接続され、通信網BUSaと通信網BUSbとの間で送受信される通信信号を中継する信号中継部52と、信号中継部52により中継された通信信号の中継履歴を記憶する記憶部51と、ECU2a(ECU2a1,2a2)により、通信網BUSaを介して受信した通信信号が不正な信号であると判定されると、記憶部51に記憶された中継履歴に基づいて、ECU2a(ECU2a1,2a2)により不正な信号であると判定された通信信号が通信網BUSaと通信網BUSbとのうちのいずれの通信網を介して入力されたかを判定する送信元判定部54と、を備える(図1、図2)。
これにより、通信網BUSa,BUSbに入力された、なりすまし通信による通信信号などの不正な信号の送信元を特定することができる。例えば、改ざんされたECU200が含まれる通信網BUSa,BUSbを特定できるため、車載通信網のうちの通信を制限すべき範囲を絞り込むことが可能となり、車載通信網に対する攻撃を効率的に制限することができる。また、改ざんされたECU200の交換、復旧を行うべき範囲を絞り込むことが可能となり、保守にかかる工数や費用を低減することができる。
(2)不正信号処理装置100は、ECU2aにより、通信網BUSaを介して受信した通信信号が不正な信号であると判定されると、記憶部51に記憶された中継履歴に基づいて、ECU2aにより不正な信号であると判定された通信信号が信号中継部52により中継されたか否かを判定する中継判定部53をさらに備える(図2)。
送信元判定部54は、中継判定部53により、ECU2aにより不正な信号であると判定された通信信号が信号中継部52により中継されなかったと判定されると、ECU2aにより不正な信号であると判定された通信信号が通信網BUSaを介して入力されたと判定する。
これにより、図4Aに示すように、不正な信号が検出されたドメインと同一のドメインで発生し、不正な信号が検出されたドメインのECUを攻撃対象とする不正な信号の送信元ドメインを特定することができる。
(3)中継判定部53は、ECU2aにより不正な信号であると判定された通信信号が信号中継部52により中継されたと判定されると、さらに、当該通信信号が通信網BUSaから中継されたか否かを判定する。
送信元判定部54は、中継判定部53により、ECU2aにより不正な信号であると判定された通信信号が信号中継部52により中継されたと判定され、かつ、通信網BUSaから中継されなかった、すなわち、通信網BUSaへ中継されたと判定されると、ECU2aにより不正な信号であると判定された通信信号が通信網BUSbを介して入力されたと判定する。
これにより、図4Bに示すように、不正な信号が検出されたドメインとは別のドメインで発生し、不正な信号が検出されたドメインのECUを攻撃対象とする不正な信号の送信元ドメインを特定することができる。
(4)送信元判定部54は、中継判定部53により、ECU2aにより不正な信号であると判定された通信信号が信号中継部52により中継されたと判定され、かつ、通信網BUSaから中継されたと判定されると、ECU2aにより不正な信号であると判定された通信信号が通信網BUSaを介して入力されたと判定する。
これにより、図4Cに示すように、不正な信号が検出されたドメインと同一のドメインで発生し、不正な信号が検出されたドメインとは別のドメインのECUを攻撃対象とする不正な信号の送信元ドメインを特定することができる。
(5)通信信号は、当該通信信号の送信元の送信元IDを示すヘッダ部を含む。ECU2a(ECU2a1,2a2)およびECU2b(ECU2b1,2b2)のそれぞれには、互いに異なる送信元IDが予め割り当てられる。ECU2a,2bは、自身に予め割り当てられた送信元IDを送信元の識別情報としてヘッダ部に含む通信信号を不正な信号(なりすまし信号)であると判定する。
(6)通信信号は、当該通信信号のデータ内容を示すペイロード部を含む。記憶部51は、信号中継部52により中継された通信信号のペイロード部の情報を中継履歴として記憶し、中継判定部53は、記憶部51に記憶された中継履歴に基づいて、ECU2a(ECU2a1,2a2)によりなりすまし信号であると判定された通信信号のペイロード部が信号中継部52により中継された通信信号のペイロード部に一致するか否かを判定することにより、通信信号が信号中継部52により中継されたか否かを判定する。
すなわち、なりすまし通信による通信信号などの不正な信号に含まれる情報のうち、車載通信網に対する攻撃内容そのものであるペイロード部に含まれるデータの内容に基づいて中継の判定を行うことで、なりすまし通信の送信元を確実に特定することができる。
(7)信号中継部52は、送信元判定部54による判定結果に応じて、通信網BUSaまたは通信網BUSbを介して入力された通信信号の中継を禁止する。これにより、改ざんされたECU200など、不正な信号の送信元が含まれる通信網BUSa,BUSbからの通信を制限し、車載通信網に対する攻撃を制限することができる。
(8)不正信号処理装置100は、ユニット化された信号中継部52と、記憶部51と、中継判定部53と、送信元判定部54と、を有するゲートウェイ5をさらに備える。車載通信網全体の通信信号を監視するゲートウェイ5が不正な信号の送信元ドメインを特定するため、不正信号処理装置100全体を簡易な構成とすることができる。
上記実施形態は種々の形態に変更することができる。以下、変形例について説明する。上記実施形態では、信号中継部52が中継する通信信号の通信規格としてCANを例示したが、中継部が中継する通信信号はこれに限らない。すなわち、通信網BUSa,BUSbはCAN以外の通信規格によるものでもよく、通信網BUSa,BUSbの通信規格が互いに異なるものであってもよい。
上記実施形態では、各ECU2a,2bに、なりすまし判定部22およびなりすまし報知部23を設けるようにしたが、第1、第2通信網を介して受信した通信信号が不正な信号であるか否かを判定する第1、第2機器の構成はこれに限らない。例えば、各ECU2a,2bとは別の、通信網BUSa全体の通信信号を監視する専用の機器、通信網BUSb全体の通信信号を監視する専用の機器に、なりすまし判定部22およびなりすまし報知部23を設けてもよい。
上記実施形態では、不正信号処理装置100を車両1の車載通信網に適用されるものとして例示したが、不正信号処理装置はこのようなものに限らない。複数の通信網間で送受信される通信信号を中継する中継部を含む通信網であれば、どのようなものにも適用することができる。
以上の説明はあくまで一例であり、本発明の特徴を損なわない限り、上述した実施形態および変形例により本発明が限定されるものではない。上記実施形態と変形例の1つまたは複数を任意に組み合わせることも可能であり、変形例同士を組み合わせることも可能である。
1 車両、2(2a(2a1,2a2),2b(2b1,2b2)) ECU、3 TCU、4 DLC、5 ゲートウェイ、6 診断機、20 演算部、21 記憶部、22 なりすまし判定部、23 なりすまし報知部、50 演算部、51 記憶部、52 信号中継部、53 中継判定部、54 送信元判定部、55 通信制限部、100 不正信号処理装置

Claims (9)

  1. 第1通信網に接続され、前記第1通信網を介して受信した通信信号が不正な信号であるか否かを判定する第1機器と、
    第2通信網に接続され、前記第2通信網を介して受信した通信信号が不正な信号であるか否かを判定する第2機器と、
    前記第1通信網と前記第2通信網とがそれぞれ接続され、前記第1通信網と前記第2通信網との間で送受信される通信信号を中継する中継部と、
    前記中継部により中継された前記通信信号の中継履歴を記憶する記憶部と、
    前記第1機器により、前記第1通信網を介して受信した前記通信信号が不正な信号であると判定されると、前記記憶部に記憶された前記中継履歴に基づいて、前記第1機器により不正な信号であると判定された前記通信信号が前記第1通信網と前記第2通信網とのうちのいずれの通信網を介して入力されたかを判定する送信元判定部と、を備えることを特徴とする不正信号処理装置。
  2. 請求項1に記載の不正信号処理装置において、
    前記第1機器により、前記第1通信網を介して受信した前記通信信号が不正な信号であると判定されると、前記記憶部に記憶された前記中継履歴に基づいて、前記第1機器により不正な信号であると判定された前記通信信号が前記中継部により中継されたか否かを判定する中継判定部をさらに備え、
    前記送信元判定部は、前記中継判定部により、前記第1機器により不正な信号であると判定された前記通信信号が前記中継部により中継されなかったと判定されると、前記第1機器により不正な信号であると判定された前記通信信号が前記第1通信網を介して入力されたと判定することを特徴とする不正信号処理装置。
  3. 請求項1に記載の不正信号処理装置において、
    前記第1機器により、前記第1通信網を介して受信した前記通信信号が不正な信号であると判定されると、前記記憶部に記憶された前記中継履歴に基づいて、前記第1機器により不正な信号であると判定された前記通信信号が前記中継部により前記第1通信網へ中継されたか否かを判定する中継判定部をさらに備え、
    前記送信元判定部は、前記中継判定部により、前記第1機器により不正な信号であると判定された前記通信信号が前記中継部により前記第1通信網へ中継されたと判定されると、前記第1機器により不正な信号であると判定された前記通信信号が前記第2通信網を介して入力されたと判定することを特徴とする不正信号処理装置。
  4. 請求項1に記載の不正信号処理装置において、
    前記第1機器により、前記第1通信網を介して受信した前記通信信号が不正な信号であると判定されると、前記記憶部に記憶された前記中継履歴に基づいて、前記第1機器により不正な信号であると判定された前記通信信号が前記中継部により前記第1通信網から中継されたか否かを判定する中継判定部をさらに備え、
    前記送信元判定部は、前記中継判定部により、前記第1機器により不正な信号であると判定された前記通信信号が前記中継部により前記第1通信網から中継されたと判定されると、前記第1機器により不正な信号であると判定された前記通信信号が前記第1通信網を介して入力されたと判定することを特徴とする不正信号処理装置。
  5. 請求項1に記載の不正信号処理装置において、
    前記第1機器により、前記第1通信網を介して受信した前記通信信号が不正な信号であると判定されると、前記記憶部に記憶された前記中継履歴に基づいて、前記第1機器により不正な信号であると判定された前記通信信号が前記中継部により中継されたか否かを判定し、中継されたと判定されると、さらに、前記第1通信網から中継されたか否かを判定する中継判定部をさらに備え、
    前記送信元判定部は、
    前記中継判定部により、前記第1機器により不正な信号であると判定された前記通信信号が前記中継部により中継されなかったと判定されると、前記第1機器により不正な信号であると判定された前記通信信号が前記第1通信網を介して入力されたと判定し、 前記中継判定部により、前記第1機器により不正な信号であると判定された前記通信信号が前記中継部により中継されたと判定され、かつ、前記第1通信網から中継されなかったと判定されると、前記第1機器により不正な信号であると判定された前記通信信号が前記第2通信網を介して入力されたと判定し、
    前記中継判定部により、前記第1機器により不正な信号であると判定された前記通信信号が前記中継部により中継されたと判定され、かつ、前記第1通信網から中継されたと判定されると、前記第1機器により不正な信号であると判定された前記通信信号が前記第1通信網を介して入力されたと判定することを特徴とする不正信号処理装置。
  6. 請求項1〜5のいずれか1項に記載の不正信号処理装置において、
    前記通信信号は、当該通信信号の送信元の識別情報を示すヘッダ部を含み、
    前記第1機器および前記第2機器のそれぞれには、互いに異なる識別情報が予め割り当てられ、
    前記第1機器および前記第2機器は、自身に予め割り当てられた識別情報を送信元の識別情報として前記ヘッダ部に含む通信信号を不正な信号であると判定することを特徴とする不正信号処理装置。
  7. 請求項1〜6のいずれか1項に記載の不正信号処理装置において、
    前記通信信号は、当該通信信号のデータ内容を示すペイロード部を含み、
    前記記憶部は、前記中継部により中継された前記通信信号の前記ペイロード部の情報を前記中継履歴として記憶し、
    前記中継判定部は、前記記憶部に記憶された前記中継履歴に基づいて、前記第1機器により不正な信号であると判定された前記通信信号の前記ペイロード部が前記中継部により中継された前記通信信号の前記ペイロード部に一致するか否かを判定することにより、前記通信信号が前記中継部により中継された否かを判定することを特徴とする不正信号処理装置。
  8. 請求項1〜7のいずれか1項に記載の不正信号処理装置において、
    前記中継部は、前記送信元判定部による判定結果に応じて、前記第1通信網または前記第2通信網を介して入力された前記通信信号の中継を禁止することを特徴とする不正信号処理装置。
  9. 請求項1〜8のいずれか1項に記載の不正信号処理装置において、
    ユニット化された前記中継部と、前記記憶部と、前記中継判定部と、前記送信元判定部と、を有する中継装置をさらに備えることを特徴とする不正信号処理装置。
JP2018234591A 2018-12-14 2018-12-14 不正信号処理装置 Pending JP2020096320A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018234591A JP2020096320A (ja) 2018-12-14 2018-12-14 不正信号処理装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018234591A JP2020096320A (ja) 2018-12-14 2018-12-14 不正信号処理装置

Publications (1)

Publication Number Publication Date
JP2020096320A true JP2020096320A (ja) 2020-06-18

Family

ID=71086294

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018234591A Pending JP2020096320A (ja) 2018-12-14 2018-12-14 不正信号処理装置

Country Status (1)

Country Link
JP (1) JP2020096320A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022239159A1 (ja) * 2021-05-12 2022-11-17 三菱電機株式会社 空調機、セキュリティ攻撃対処方法及びプログラム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022239159A1 (ja) * 2021-05-12 2022-11-17 三菱電機株式会社 空調機、セキュリティ攻撃対処方法及びプログラム
JP7550975B2 (ja) 2021-05-12 2024-09-13 三菱電機株式会社 空調機、セキュリティ攻撃対処方法及びプログラム

Similar Documents

Publication Publication Date Title
US10778696B2 (en) Vehicle-mounted relay device for detecting an unauthorized message on a vehicle communication bus
US20160173505A1 (en) On-vehicle communication system
WO2019225257A1 (ja) 異常検知装置、異常検知方法およびプログラム
JP6369341B2 (ja) 車載通信システム
CN111788796B (zh) 车载通信系统、交换装置、验证方法和计算机可读存储介质
KR101972457B1 (ko) Can 통신 기반 해킹공격 탐지 방법 및 시스템
WO2018173732A1 (ja) 車載通信装置、コンピュータプログラム及びメッセージ判定方法
JP7176569B2 (ja) 情報処理装置、ログ分析方法及びプログラム
US11971982B2 (en) Log analysis device
WO2019012888A1 (ja) 車載装置、管理方法および管理プログラム
JP2020053778A (ja) 中継装置システム及び中継装置
JP4253979B2 (ja) 車載制御ユニットの検査方法
US12039050B2 (en) Information processing device
JP6404848B2 (ja) 監視装置、及び、通信システム
JP2020096320A (ja) 不正信号処理装置
JP5783013B2 (ja) 車載通信システム
US20230119190A1 (en) Arrangement of cyber security and prognostics, coexisting on a single platform
WO2020008872A1 (ja) 車載セキュリティシステムおよび攻撃対処方法
JP7354180B2 (ja) 車載中継装置
KR20190097216A (ko) 센서의 측정값들에 서명하기 위한 방법, 장치 및 명령어들을 포함하는 컴퓨터 판독 가능 저장 매체
JP7067508B2 (ja) ネットワークシステム
JP2018007211A (ja) 車載通信システム
JP2020092325A (ja) 不正信号処理装置
JP2020096322A (ja) 不正信号処理装置
JP7425016B2 (ja) 車載中継装置