JP2020535523A - 車両の制御機器に対する攻撃を検出する方法 - Google Patents
車両の制御機器に対する攻撃を検出する方法 Download PDFInfo
- Publication number
- JP2020535523A JP2020535523A JP2020517169A JP2020517169A JP2020535523A JP 2020535523 A JP2020535523 A JP 2020535523A JP 2020517169 A JP2020517169 A JP 2020517169A JP 2020517169 A JP2020517169 A JP 2020517169A JP 2020535523 A JP2020535523 A JP 2020535523A
- Authority
- JP
- Japan
- Prior art keywords
- control device
- vehicle
- communication
- data
- data transmitted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 claims abstract description 162
- 238000000034 method Methods 0.000 claims abstract description 53
- 238000007689 inspection Methods 0.000 claims description 40
- 238000001514 detection method Methods 0.000 claims description 18
- 230000004044 response Effects 0.000 claims description 13
- 230000002950 deficient Effects 0.000 claims description 10
- 230000008569 process Effects 0.000 claims description 8
- 230000008054 signal transmission Effects 0.000 claims description 5
- 230000000903 blocking effect Effects 0.000 claims description 2
- 238000012360 testing method Methods 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 230000006378 damage Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000000295 complement effect Effects 0.000 description 3
- 230000007547 defect Effects 0.000 description 3
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 230000007257 malfunction Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
- B60R16/0231—Circuits relating to the driving or the functioning of the vehicle
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Automation & Control Theory (AREA)
- Mechanical Engineering (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本発明は、制御機器10と接続された、車両の少なくとも一つの通信チャネル12a,12bを介して伝送されて来た通信データを検査する工程を有する、車両の制御機器10に対する攻撃、特に、サイバー攻撃を検出する方法に関し、この制御機器10と接続された、車両の少なくとも一つの通信チャネル12a,12bを介して伝送されて来た通信データを検査する工程が、車両の少なくとも一つの通信チャネル12a,12bを介して伝送されて来た通信データが、一つ又は複数の変更可能なルールにより定義されるデータ要件を満たすのか否かを調査することを含む。
Description
本発明は、車両の制御機器に対する攻撃、特に、サイバー攻撃を検出する方法であって、この制御機器と接続された、車両の少なくとも一つの通信チャネルを介して伝送されて来た通信データを検査する工程を有する方法に関する。
本発明は、更に、少なくとも一つの制御機器と、この制御機器の構成部品であるか、或いは、この制御機器と信号伝送形態により接続された攻撃検出システムとを備えた車両用通信システムに関し、この攻撃検出システムは、制御機器と接続された、車両の少なくとも一つの通信チャネルを介して伝送されて来た通信データを検査するように構成されている。
本発明は、更に、通信システムを備えた車両、特に、自動車に関する。
最新の車両は、車両内通信チャネルの外に、通常一つ又は複数の通信インタフェースを有し、その通信インタフェースを介して、当該の車両の通信システムに有害なデータが持ち込まれる可能性が有る。そのようなデータによって、特に、車両の電子制御機器が攻撃される可能性が有り、それにより、制御機器又は車両の機能損傷又は機能障害が引き起こされる可能性が有る。
従来技術では、これまで車両に対する相応のサイバー攻撃を検知又は防止できる有効であると同時に省リソースの解決策は知られていない。
以上のことから、本発明の課題は、サイバー攻撃に対する車両の保護性能を向上させることである。
この課題は、制御機器と接続された、車両の少なくとも一つの通信チャネルを介して伝送されて来た通信データの検査が、この車両の少なくとも一つの通信チャネルを介して伝送されて来た通信データが一つ又は複数の変更可能なルールにより定義されるデータ要件を満たすのか否かとの調査を含む、冒頭で述べた形式の方法によって解決される。
本発明は、データ要件がルールによって定義される場合に、伝送されて来た通信データの検査によって、有害なデータの効果的で省リソースの検知を実施できるとの知見を活用する。これらのルールが変更可能であることによって、新しい形態の攻撃方法又はデータ形式への必要に応じたルールの適合又は更新を実施することができる。更に、変更可能なルールを使用することによって、攻撃を誤検出するリスクが大幅に低減される。有利には、制御機器又は車両によるルールの自動的な適合は実施されない。これらのルールは、例えば、通信データのデータ内容に関する通信ルールであるとすることができる。これらのルールは、通信データの満たすべきデータ特性を定義する満たされるべきルールであるとすることができる。
本発明による方法の有利な実施構成では、本方法は、制御機器と信号伝送形態により接続された、或いは制御機器の構成部品である、車両の攻撃検出システムによって、部分的又は完全に実行される。特に、通信データの検査がリアルタイムに実施される。更に、OSI(Open Systems Interconnection Model)構造の一つ、複数又は全ての層により伝送されて来た通信データが本方法を用いて同時に検査されるのが有利である。
本発明による方法の特に有利な実施構成では、車両の少なくとも一つの通信チャネルを介して伝送されて来た通信データは、それらの通信データがデータ要件を満たした場合に安全又は無害であると分類される。それに代わって、或いはそれに追加して、車両の少なくとも一つの通信チャネルを介して伝送されて来た通信データは、それらの通信データがデータ要件を満たさなかった場合に危険又は有害であると分類される。有利には、通信データは、それらの通信データがルールの中の一つ、複数又は全部に違反した場合にデータ要件を満たさない。有利には、制御機器又は車両に対して考え得る有害性に関する通信データの評価が実施され、この評価において、通信データによるルール違反の数及び/又は程度が考慮される。
更に、車両の少なくとも一つの通信チャネルを介して伝送されて来た通信データがデータ要件を満たした場合に、この車両の少なくとも一つの通信チャネルを介して伝送されて来た通信データの受信が制御機器又は制御機器の制御ユニットによって許容される、本発明による方法が有利である。それに代わって、或いはそれに追加して、車両の少なくとも一つの通信チャネルを介して伝送されて来た通信データがデータ要件を満たさなかった場合に、この車両の少なくとも一つの通信チャネルを介して伝送されて来た通信データの受信が制御機器又は制御機器の制御ユニットによって阻止される。この受信の阻止によって、有害なデータが制御機器又は制御機器の目標制御ユニットに到達しないことが実現され、その結果、制御機器の機能障害又は機能損傷が効果的に防止される。更に、本方法は、車両の少なくとも一つの通信チャネルを介して伝送されて来た通信データがデータ要件を満たさないデータ源との通信を一時的に停止することを含むことができる。この通信の一時的な停止は、例えば、データ源が、過去において既に通信データを車両に伝送していたが、それ自身がサイバー攻撃の犠牲になっている外部機器である場合に有効である可能性が有る。この通信停止は、例えば、外部機器による危険なデータの送信が終了した場合に解除することができる。それに代わって、或いはそれに追加して、本方法は、車両の少なくとも一つの通信チャネルを介して伝送されて来た通信データがデータ要件を満たさないデータ源との通信を持続的に停止することを含むことができる。この通信の持続的な停止によって、そのデータ源から由来するその後の攻撃の試みも効果的に防止することができる。
本発明による方法は、更に、データ要件を定義する一つ又は複数のルールを変更することによって有利に改善構成される。それに代わって、或いはそれに追加して、このデータ要件を定義する一つ又は複数のルールは、一つ又は複数の更なるルールにより補完することができる。更に、データ要件を定義するルールの中の一つ又は複数を削除又は消去することもできる。更に、データ要件を定義するルールの中の一つ又は複数を置き換えることが有利である場合が有る。ルールの変更、補完、削除、消去及び/又は置換は、通信データが満たすべきデータ要件を新しい形態の攻撃方法及び/又は危険な通信データの新しい形態のデータ形式に適合させるために実施される。
更に、データ要件を定義する一つ又は複数のルールが、ハードウェアベースのトラストアンカーを用いて改ざんに対して保護される、本発明による方法が有利である。このハードウェアベースのトラストアンカーは、データ要件を定義する一つ又は複数のルールをハードウェア保護形態により暗号化及び/又は署名する役割を果たす。このようにして、データ要件を改ざんするようなルールの変更、削除又は消去を効果的に防止することができる。そのため、満たされるべきデータ要件の変更を目論む予備的な攻撃も効果的に防止される。
本発明による方法の別の有利な実施構成では、制御機器と接続された、車両の少なくとも一つの通信チャネルを介して伝送されて来て検査される通信データが車両の通信インタフェースを介して受信される。これらの通信インタフェースは、例えば、CANバス、CAN−FDバス、Flexrayバス及び/又はLINバスとして構成された、車両の通信チャネルと信号伝送形態により接続することができる。それに代わって、或いはそれに追加して、この通信インタフェースは、イーサネットインタフェース、或いは無線形態及び/又は有線形態により外部機器と通信するように構成された、車両の通信モジュールの通信インタフェースであるとすることができる。それに代わって、或いはそれに追加して、制御機器と接続された、車両の少なくとも一つの通信チャネルを介して伝送されて来て検査される通信データは、車両内のメモリに保存された、或いは車両によって生成された車両内データであるとすることができる。これらの車両内データは、例えば、プロトコル、特に、アクセスプロトコル、パラメータ及び/又は測定値を含むことができる。そのため、本方法を用いて、外部から車両内に伝送されて来る全てのデータも、車両内に保存されたデータ及び車両自体により生成されたデータも検査することができる。
本発明による方法の改善構成では、制御機器は、車両内ネットワークのクライアント制御機器として動作し、通信データの検査は、車両内ネットワークのクライアント制御機器とサーバー制御機器によって協同して実施される。それに代わって、通信データの検査は、制御機器によって独立して実施することができる。この場合、制御機器自身は、例えば、サーバー制御機器などの別の追加機器と独立して、有害な通信データの検査を実行することができる。
本発明による方法の別の有利な実施構成では、外見的に欠陥の有る検査信号がクライアント制御機器からサーバー制御機器に送信されるか、サーバー制御機器によって受信された検査信号がクライアント制御機器から送信された検査信号と一致するのか、又は変更されたのかがサーバー制御機器により検査されるか、或いはその両方である。それに代わって、或いはそれに追加して、本方法は、サーバー制御機器によって、受信された検査信号に対する検査応答を生成すること及び/又は生成された検査応答をサーバー制御機器からクライアント制御機器に送信することを含み、この場合、制御機器と接続された、車両の少なくとも一つの通信チャネルを介して伝送されて来た通信データの検査が、有利には、サーバー制御機器によって生成された検査応答を検査することを含む。外見的に欠陥の有る検査信号を送信することによって、制御機器又は車両に対して実現可能な攻撃手段をハッカーに示唆する。欠陥の有る信号に対して、有害なデータの補完及び/又は重畳を行なって、外見的に欠陥の無い検査信号を生成することができる。ここで、外見的に欠陥の有る検査信号が送信されたにも関わらず、外見的に欠陥の無い信号がサーバー制御機器により受信された場合、有害なデータが持ち込まれたと推定することができ、それによって、攻撃を確認することができる。外見的に欠陥の有る検査信号を意図的に送信することによって、所謂ハニーポット戦略が実現される。
本発明による方法の別の有利な実施構成では、データ要件を満たすのか否かに関して、全てのデータパケットを検査するのではなく、幾つかのデータパケットだけを検査する負荷分散モードによって、通信データの検査が実行される。この場合、例えば、二つ又は三つのデータパケット当たり一つのデータパケットをデータ要件を満たすのか否かに関して検査することができる。このようにして、所要の計算能力が大幅に低減されて、その結果、更なる省リソースが実現される。
別の有利な実施構成では、本発明による方法はコンピュータ実行形式による方法である。この場合、コンピュータ、特に、車両内のコンピュータによるプログラムの実行時に、そのコンピュータに、前述した実施構成の中の一つに基づく方法を実行させる命令を含むコンピュータプログラム製品を実現することができる。更に、それによって、コンピュータ、特に、車両内のコンピュータによる実行時に、そのコンピュータに、前述した実施構成の中の一つに基づく方法を実行させる命令を含むコンピュータ読取可能なメモリ媒体を実現することができる。
本発明がベースとする課題は、更に、冒頭で述べた形式の通信システムにおいて、前述した実施構成の中の一つに基づく車両の制御機器に対する攻撃、特に、サイバー攻撃を検出する方法を実行するように構成された通信システムよって解決される。本発明による通信システムの利点及び修正に関しては、本発明による方法の利点及び修正を参照されたい。
本発明がベースとする課題は、更に、冒頭で述べた形式の車両において、この車両の通信システムが前述した実施構成の中の一つに基づき構成された車両によって解決される。本発明による車両の利点及び修正に関しては、本発明による方法の利点及び修正を参照されたい。
以下において、添付図面を参照して本発明の有利な実施構成を詳しく説明、記述する。
図1は、攻撃検出システム14を備えた制御機器10を有する車両用通信システム100を図示している。この攻撃検出システム14は、制御機器10と接続された、車両の通信チャネル12a,12bを介して伝送されて来た通信データを検査するように構成されている。
この通信データの検査時に、通信データが、複数のルールによって定義されたデータ要件を満たすのか否かがリアルタイムに調査される。この攻撃検出システム14は、通信データがデータ要件を満たした場合に、通信データを安全又は無害であると分類するように構成されている。他方、この攻撃検出システム14は、通信データがデータ要件を満たさなかった場合に、通信データを危険又は有害であると分類するように構成されている。
新しい攻撃方法及び/又は新しい有害なデータに対する制御機器10を保護するルールの適合を実施できるようにするために、データ要件を定義するルールを変更、補完、削除又は消去すること、並びに置き換えることができる。
攻撃者が、データ要件の相応の変更を実施済みのルールを改ざんすることを防止するために、これらのルールは、ハードウェアベースのトラストアンカーを用いて、改ざんに対して保護されている。このハードウェアベースのトラストアンカーは、攻撃検出システム14と信号伝送形態により接続された安全モジュール16によって実現されている。
制御機器10は、攻撃検出システム14と安全モジュール16の外に、更に、通信データの考え得る宛先である複数の制御ユニット18a,18bを有する。制御機器は、基本的に、通信データの考え得る宛先になることができる多数の制御ユニットを有することができる。通信データが安全又は無害であると分類された場合、それらの通信データは、例えば、制御プロセスを実現する制御ユニット18a,18bに転送することができる。
図2は、模式的にソフトウェアスタック24とハードウェア26に分けられた制御機器10を図示している。
制御機器10は、ソフトウェア側の通信モジュール20と接続された、ハードウェア側の通信インタフェース22を備えている。この通信インタフェース22を介して、制御機器が通信チャネル12と接続されており、この通信チャネルを介して、有害なデータが制御機器10に害を及ぼす可能性が有る。通信インタフェース22によって受信された通信データは、通信モジュール20を介して、攻撃検出システム14に提供される。
攻撃検出システム14は、通信データが、複数のルールによって定義されるデータ要件を満たすのか否かとの趣旨に基づき、通信データをリアルタイムに調査するように構成されている。更に、攻撃検出システム14は、通信データがデータ要件を満たした場合に制御機器10の制御ユニット18による通信データの受信を許容し、通信データがデータ要件を満たさなかった場合に制御機器10の制御ユニット18による通信データの受信を阻止するように構成されている。
データ要件を定義するルールは、ハードウェアベースのトラストアンカーを用いて、改ざんに対して保護されている。そのために、制御機器10は、これらのルールを暗号化する、ハードウェア側の安全モジュール16を備えている。
図3は、複数の制御機器10’,28,30a〜30cと接続された、CANバスとして構成された通信チャネル12を図示している。この通信チャネル12は、更に、テレマティーク装置32及び通信インタフェース34と接続されている。この通信インタフェース34は、例えば、車両間通信の役割を果たして、別の車両と通信データを交換するように構成することができる。
そのため、車両の通信チャネル12を介して伝送されて来る検査すべき通信データは、車両の通信インタフェース34を介して受信されるか、或いは、例えば、車両内のメモリに保存された、又は車両によって生成された車両内データであるとすることができ、車両内データは、通信チャネル12を介して車両内に伝送される。
この制御機器10’は、車両内ネットワークのクライアント制御機器として動作する。この場合、通信データの検査は、車両内ネットワークのクライアント制御機器10’とサーバー制御機器28によって協同して実施される。そのため、攻撃検出システムは、部分的にクライアント制御機器10’に統合されるとともに、部分的にサーバー制御機器28に統合されている。
ここで、攻撃検出システムは、データ源から通信チャネル12を介して伝送されて来た通信データがデータ要件を満たさなかった場合に、(データ源が識別可能である限り)そのデータ源との通信を一時的に停止するか、或いは持続的に停止するように構成されている。このようにして、有害な通信データを一時的又は持続的に送信して来る別の機器を一時的又は持続的に通信から排除することができる。
図4は、クライアント制御機器10’からサーバー制御機器28への外見的に欠陥の有る検査信号36の送信形態を図示している。この外見的に欠陥の有る検査信号36は、攻撃者44によって利用される可能性の有る信号欠陥42を有する。
攻撃者44は、外見的に欠陥の有る検査信号を補完する信号補完部38を送信する。ここで、サーバー制御機器28により受信された検査信号は、この信号補完部38のために、欠陥が無いように見える。サーバー制御機器28は、受信した検査信号36に対する検査応答40を生成して、クライアント制御機器10’に送信するように構成されている。ここで、サーバー制御機器は、検査応答40において、検査信号36のゼロ交差毎に短い信号パルスを発生するように構成されている。
ここで、クライアント制御機器10’は、検査応答40が期待される検査応答と一致しないので、外見的に欠陥の有る検査信号36が攻撃者44によって変更されたことを検知することができる。即ち、受信された検査応答40が期待される検査応答と異なるので、攻撃者44による信号変更が行われて、受信された通信データが危険又は有害であると推定することができる。
外見的に欠陥の有る検査信号36を送信することによって、攻撃者44は、検査信号36の信号欠陥42を利用するように唆される。このようにして、信号の意図的な送信に基づき、待ち受けている攻撃を実行するように攻撃者44を唆す所謂ハニーポット機能が実現される。
10 制御機器
10’ クライアント制御機器
12,12a,12b 通信チャネル
14 攻撃検出システム
16 安全モジュール
18,18a,18b 制御ユニット
20 通信モジュール
22 通信インタフェース
24 ソフトウェアスタック
26 ハードウェア
28 サーバー制御機器
30a〜30c その他の制御機器
32 テレマティーク装置
34 通信インタフェース
36 検査信号
38 信号補完部
40 検査応答
42 信号欠陥
44 攻撃者
100 通信システム
10’ クライアント制御機器
12,12a,12b 通信チャネル
14 攻撃検出システム
16 安全モジュール
18,18a,18b 制御ユニット
20 通信モジュール
22 通信インタフェース
24 ソフトウェアスタック
26 ハードウェア
28 サーバー制御機器
30a〜30c その他の制御機器
32 テレマティーク装置
34 通信インタフェース
36 検査信号
38 信号補完部
40 検査応答
42 信号欠陥
44 攻撃者
100 通信システム
Claims (10)
- 車両の制御機器(10)に対する攻撃、特に、サイバー攻撃を検出する方法であって、
この制御機器(10)と接続された、車両の少なくとも一つの通信チャネル(12,12a,12b)を介して伝送されて来た通信データを検査する工程を有する方法において、
この制御機器(10)と接続された、車両の少なくとも一つの通信チャネル(12,12a,12b)を介して伝送されて来た通信データの検査が、
車両の少なくとも一つの通信チャネル(12,12a,12b)を介して伝送されて来た通信データが、一つ又は複数の変更可能なルールにより定義されたデータ要件を満たすのか否かを調査する工程、
を含むことを特徴とする方法。 - 前記の通信データがデータ要件を満たした場合に、前記の車両の少なくとも一つの通信チャネル(12,12a,12b)を介して伝送されて来た通信データを安全又は無害であると分類する工程と、
前記の通信データがデータ要件を満たさなかった場合に、前記の車両の少なくとも一つの通信チャネル(12,12a,12b)を介して伝送されて来た通信データを危険又は有害であると分類する工程と、
の中の少なくとも一つを有することを特徴とする請求項1に記載の方法。 - 前記の車両の少なくとも一つの通信チャネル(12,12a,12b)を介して伝送されて来た通信データがデータ要件を満たした場合に、前記の制御機器(10)又は前記の制御機器(10)の制御ユニット(18,18a,18b)によって、前記の車両の少なくとも一つの通信チャネル(12,12a,12b)を介して伝送されて来た通信データの受信を許容する工程と、
前記の車両の少なくとも一つの通信チャネル(12,12a,12b)を介して伝送されて来た通信データがデータ要件を満たさなかった場合に、前記の制御機器(10)又は前記の制御機器(10)の制御ユニット(18,18a,18b)によって、前記の車両の少なくとも一つの通信チャネル(12,12a,12b)を介して伝送されて来た通信データの受信を阻止する工程と、
前記の車両の少なくとも一つの通信チャネル(12,12a,12b)を介して伝送されて来た通信データがデータ要件を満たさないデータ源との通信を一時的に停止するか、或いは持続的に停止する工程と、
の中の少なくとも一つを有することを特徴とする請求項1又は2に記載の方法。 - 前記のデータ要件を定義する一つ又は複数のルールを変更する工程と、
前記のデータ要件を定義する一つ又は複数のルールを一つ又は複数の別のルールにより補完する工程と、
前記のデータ要件を定義するルールの中の一つ又は複数を削除又は消去する工程と、
前記のデータ要件を定義するルールの中の一つ又は複数を置き換える工程と、
の中の少なくとも一つを有することを特徴とする請求項1から3までのいずれか一つに記載の方法。 - 前記のデータ要件を定義する一つ又は複数のルールが、ハードウェアベースのトラストアンカーを用いて改ざんに対して保護されていることを特徴とする請求項1から4までのいずれか一つに記載の方法。
- 前記の制御機器(10)と接続された、車両の少なくとも一つの通信チャネル(12,12a,12b)を介して伝送されて来て検査される通信データが、車両の通信インタフェース(34)を介して受信されるデータ及び/又は車両内のメモリに保存された、又は車両により生成された車両内データであることを特徴とする請求項1から5までのいずれか一つに記載の方法。
- 前記の制御機器(10)が、車両内ネットワークのクライアント制御機器(10’)として動作して、前記の通信データの検査が、車両内ネットワークのクライアント制御機器(10’)とサーバー制御機器(28)によって協同して実施されることを特徴とする請求項1から6までのいずれか一つに記載の方法。
- 前記のクライアント制御機器(10’)からサーバー制御機器(28)に外見的に欠陥の有る検査信号(36)を送信する工程と、
前記のサーバー制御機器(28)により受信された検査信号(36)が、前記のクライアント制御機器(10’)により送信された検査信号(36)と一致するのか、或いは変更されたのかを前記のサーバー制御機器(28)により検査する工程と、
前記のサーバー制御機器(28)によって、前記の受信された検査信号(36)に対する検査応答(40)を生成する工程と、
前記の生成された検査応答(40)を前記のサーバー制御機器(28)から前記のクライアント制御機器(10’)に送信する工程と、
の中の少なくとも一つを有し、前記の制御機器(10)と接続された、車両の少なくとも一つの通信チャネル(12,12a,12b)を介して伝送されて来た通信データの検査が、有利には、前記のサーバー制御機器(28)により生成された検査応答(40)の検査を含むことを特徴とする請求項7に記載の方法。 - 少なくとも一つの制御機器(10)と、
この制御機器(10)の構成部品であるか、或いはこの制御機器(10)と信号伝送形態により接続された攻撃検出システム(14)であって、この制御機器(10)と接続された、車両の少なくとも一つの通信チャネル(12,12a,12b)を介して伝送されて来た通信データを検査するように構成されている攻撃検出システム(14)と、
を備えた車両用通信システム(100)において、
この通信システム(100)が、請求項1から8までのいずれか一つに記載の車両の制御機器(10)に対する攻撃、特に、サイバー攻撃を検出する方法を実行するように構成されていることを特徴とする通信システム。 - 通信システム(100)を備えた車両、特に、自動車において、
この通信システム(100)が請求項9に基づき構成されていることを特徴とする車両。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102017217195.2 | 2017-09-27 | ||
| DE102017217195.2A DE102017217195A1 (de) | 2017-09-27 | 2017-09-27 | Verfahren zum Erfassen eines Angriffs auf ein Steuergerät eines Fahrzeugs |
| PCT/EP2018/075298 WO2019063374A1 (de) | 2017-09-27 | 2018-09-19 | Verfahren zum erfassen eines angriffs auf ein steuergerät eines fahrzeugs |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020535523A true JP2020535523A (ja) | 2020-12-03 |
| JP7024069B2 JP7024069B2 (ja) | 2022-02-22 |
Family
ID=63642996
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020517169A Active JP7024069B2 (ja) | 2017-09-27 | 2018-09-19 | 車両の制御機器に対する攻撃を検出する方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US11528284B2 (ja) |
| EP (1) | EP3688951B1 (ja) |
| JP (1) | JP7024069B2 (ja) |
| KR (1) | KR102373922B1 (ja) |
| CN (1) | CN111149336B (ja) |
| DE (1) | DE102017217195A1 (ja) |
| WO (1) | WO2019063374A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102019204452A1 (de) * | 2019-03-29 | 2020-10-01 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Betreiben eines Steuergerätes in einem Verbund von Steuergeräten |
| CN111756762A (zh) * | 2020-06-29 | 2020-10-09 | 北京百度网讯科技有限公司 | 车辆安全性分析方法、装置、电子设备及存储介质 |
| EP4315751A1 (de) * | 2021-05-06 | 2024-02-07 | Siemens Mobility GmbH | Verfahren und system zum erkennen eines datentechnischen angriffs auf ein fahrzeug unter verwendung von deep-learning-verfahren |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102015205670A1 (de) * | 2015-03-30 | 2016-06-09 | Volkswagen Aktiengesellschaft | Angriffserkennungsverfahren, Angriffserkennungsvorrichtung und Bussystem für ein Kraftfahrzeug |
| JP2016129314A (ja) * | 2015-01-09 | 2016-07-14 | トヨタ自動車株式会社 | 車載ネットワーク |
| JP2017073765A (ja) * | 2015-10-09 | 2017-04-13 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ装置、攻撃検知方法及びプログラム |
| JP2017112594A (ja) * | 2015-12-14 | 2017-06-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ装置、ネットワークシステム及び攻撃検知方法 |
| JP2017111796A (ja) * | 2015-12-16 | 2017-06-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ処理方法及びサーバ |
| JP2017126978A (ja) * | 2016-01-08 | 2017-07-20 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 異常検知方法、異常検知装置及び異常検知システム |
| GB2548371A (en) * | 2016-03-15 | 2017-09-20 | William Tindell Kenneth | Firewall for securing access to vehicle networks |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE10209766B4 (de) | 2002-03-05 | 2004-02-19 | Daimlerchrysler Ag | Komponententausch-Warnsystem |
| US8378800B2 (en) * | 2009-09-30 | 2013-02-19 | Dei Headquarters, Inc. | Security system and method for operating the same |
| EP2832070B1 (en) | 2012-03-29 | 2020-05-20 | Arilou Information Security Technologies Ltd. | Device for protecting a vehicle electronic system |
| KR102281914B1 (ko) * | 2012-10-17 | 2021-07-27 | 타워-섹 리미티드 | 차량에 대한 공격의 검출 및 예방을 위한 디바이스 |
| US20140380475A1 (en) | 2013-06-25 | 2014-12-25 | International Business Machines Corporation | User centric fraud detection |
| EP2892201B1 (en) | 2014-01-06 | 2017-08-30 | Argus Cyber Security Ltd. | Detective watchman |
| US9480095B2 (en) * | 2014-10-27 | 2016-10-25 | GM Global Technology Operations LLC | Simplified pairing of a second device in a vehicle via short range wireless communication |
| KR101759136B1 (ko) * | 2015-11-17 | 2017-07-31 | 현대자동차주식회사 | 차량 헤드 유닛과 외부 기기 연동 시 차량 전용 데이터 채널 보안 서비스 제공 방법 및 그를 위한 장치 |
-
2017
- 2017-09-27 DE DE102017217195.2A patent/DE102017217195A1/de active Pending
-
2018
- 2018-09-19 KR KR1020207008727A patent/KR102373922B1/ko active IP Right Grant
- 2018-09-19 JP JP2020517169A patent/JP7024069B2/ja active Active
- 2018-09-19 US US16/650,129 patent/US11528284B2/en active Active
- 2018-09-19 EP EP18773165.8A patent/EP3688951B1/de active Active
- 2018-09-19 WO PCT/EP2018/075298 patent/WO2019063374A1/de unknown
- 2018-09-19 CN CN201880063060.4A patent/CN111149336B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016129314A (ja) * | 2015-01-09 | 2016-07-14 | トヨタ自動車株式会社 | 車載ネットワーク |
| DE102015205670A1 (de) * | 2015-03-30 | 2016-06-09 | Volkswagen Aktiengesellschaft | Angriffserkennungsverfahren, Angriffserkennungsvorrichtung und Bussystem für ein Kraftfahrzeug |
| JP2017073765A (ja) * | 2015-10-09 | 2017-04-13 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ装置、攻撃検知方法及びプログラム |
| JP2017112594A (ja) * | 2015-12-14 | 2017-06-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ装置、ネットワークシステム及び攻撃検知方法 |
| JP2017111796A (ja) * | 2015-12-16 | 2017-06-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ処理方法及びサーバ |
| JP2017126978A (ja) * | 2016-01-08 | 2017-07-20 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 異常検知方法、異常検知装置及び異常検知システム |
| GB2548371A (en) * | 2016-03-15 | 2017-09-20 | William Tindell Kenneth | Firewall for securing access to vehicle networks |
Also Published As
| Publication number | Publication date |
|---|---|
| DE102017217195A1 (de) | 2019-03-28 |
| WO2019063374A1 (de) | 2019-04-04 |
| EP3688951B1 (de) | 2023-08-23 |
| EP3688951A1 (de) | 2020-08-05 |
| CN111149336A (zh) | 2020-05-12 |
| US11528284B2 (en) | 2022-12-13 |
| JP7024069B2 (ja) | 2022-02-22 |
| KR20200040876A (ko) | 2020-04-20 |
| KR102373922B1 (ko) | 2022-03-11 |
| US20210194893A1 (en) | 2021-06-24 |
| CN111149336B (zh) | 2022-05-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102524204B1 (ko) | 차량용 네트워크의 침입 대응 장치 및 방법 | |
| US10778696B2 (en) | Vehicle-mounted relay device for detecting an unauthorized message on a vehicle communication bus | |
| CN109076001B (zh) | 帧传送阻止装置、帧传送阻止方法及车载网络系统 | |
| KR102642875B1 (ko) | 차량 내 네트워크에 보안을 제공하는 시스템 및 방법 | |
| US20190334897A1 (en) | Monitoring device, monitoring method, and computer program | |
| US8925083B2 (en) | Cyber security in an automotive network | |
| JP6846706B2 (ja) | 監視装置、監視方法およびコンピュータプログラム | |
| CN105917629B (zh) | 通过鉴权的时间测量的安全的网络接入保护 | |
| JP7024069B2 (ja) | 車両の制御機器に対する攻撃を検出する方法 | |
| US9661006B2 (en) | Method for protection of automotive components in intravehicle communication system | |
| US12118083B2 (en) | System and method for detection and prevention of cyber attacks at in-vehicle networks | |
| US11647045B2 (en) | Monitoring a network connection for eavesdropping | |
| JP7428222B2 (ja) | 車載セキュリティ対策装置、車載セキュリティ対策方法およびセキュリティ対策システム | |
| Kwon et al. | Mitigation mechanism against in-vehicle network intrusion by reconfiguring ECU and disabling attack packet | |
| US9444845B2 (en) | Network security apparatus and method | |
| US20160330629A1 (en) | Wireless data security between vehicle components | |
| US20220224672A1 (en) | Gateway device | |
| KR20190097216A (ko) | 센서의 측정값들에 서명하기 위한 방법, 장치 및 명령어들을 포함하는 컴퓨터 판독 가능 저장 매체 | |
| KR20180072340A (ko) | 운송 수단 내부 네트워크에서의 제어 데이터를 보안 전송하는 방법 | |
| KR20200124470A (ko) | 차량의 게이트웨이 장치, 그를 포함한 시스템 및 그 침입 탐지 방법 | |
| WO2018020833A1 (ja) | フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム | |
| KR20120010693A (ko) | 전자 제어 장치간 인증방법 및 그 방법을 이용한 전자 제어 장치 | |
| US20220394470A1 (en) | Method and control unit for detecting unauthorised data traffic in a packet-oriented data network of a motor vehicle, and corresponding motor vehicle | |
| Rashmi | Intrusion Detection System: An Approach to Autonomous Vehicles | |
| KR101127460B1 (ko) | 정보 보호 시스템 점검 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200324 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20200707 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210602 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210830 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220119 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220209 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7024069 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |