JP6369334B2 - 車載ネットワーク - Google Patents
車載ネットワーク Download PDFInfo
- Publication number
- JP6369334B2 JP6369334B2 JP2015003602A JP2015003602A JP6369334B2 JP 6369334 B2 JP6369334 B2 JP 6369334B2 JP 2015003602 A JP2015003602 A JP 2015003602A JP 2015003602 A JP2015003602 A JP 2015003602A JP 6369334 B2 JP6369334 B2 JP 6369334B2
- Authority
- JP
- Japan
- Prior art keywords
- message
- ecu
- communication
- electronic control
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Description
本発明は、車載ネットワークに関する。
CAN(Controller Area Network)等の車載ネットワークにおいては、各電子制御ユニット(ECU: Electronic Control Unit)は、数バイト程度の暗号化データを付与したメッセージを送受信し、該暗号化データに基づいて、通信が正常に行われているか否かを確認している。
車載ネットワークにおいて、不正なデータを侵入させて誤動作させる攻撃を検知し防御する技術が知られている(例えば、特許文献1参照)。
CANでは、メッセージに付帯できるデータ量は最大8バイトであり、該メッセージに通信データと暗号化データとを付帯する場合、暗号化データとして使用できるデータ量は限られる。特に、メッセージに付帯される通信データが誤っていないかどうかに基づいてセキュリティ対策を行う場合、8バイトでは限界がある。
また、暗号化データを作成する際に使用される暗号化アルゴリズムは一度解析されれば、同様の暗号化データを作成できる。仮に、暗号化アルゴリズムが解析された場合には、その暗号化アルゴリズムを適用した不正の電子制御ユニットを車載ネットワークに混入させ、成りすまし通信を行わせることが可能となる。
本発明の目的は、車載ネットワークにおいて、セキュリティを向上させることである。
開示の一実施例の車載ネットワークは、
複数の通信バスと接続されるゲートウェイと、前記複数の通信バスに接続される1または複数の電子制御ユニットとを有する車載ネットワークであって、
前記ゲートウェイは、
複数の通信バスと接続されるゲートウェイと、
前記複数の通信バスに接続される1または複数の電子制御ユニットとを有する車載ネットワークであって、
前記ゲートウェイは、
前記1または複数の電子制御ユニットによって送信されるメッセージと、該メッセージのIDを示すメッセージIDと、該メッセージの送信周期とを紐付けて格納する記憶部と、
前記1または複数の電子制御ユニットのいずれかによって送信される前記メッセージが、前記記憶部に格納されている送信周期と異なる送信周期で送信されている異常メッセージである場合に、前記記憶部を参照して該異常メッセージのメッセージIDに基づいて該異常メッセージの送信元の電子制御ユニットを特定し、該特定された電子制御ユニットにメッセージの送信を停止させる通信停止メッセージを送信する送信部と、
前記送信部により、該電子制御ユニットに前記通信停止メッセージを送信した後に前記異常メッセージが受信される場合に、前記1または複数の電子制御ユニットのいずれかに成りすました電子制御ユニットがあると判断する判断部と、
前記判断部により、前記1または複数の電子制御ユニットのいずれかに成りすました電子制御ユニットがあると判断された場合に、該成りすました電子制御ユニットが接続された第1の通信バスと、前記複数の通信バスのうち前記第1の通信バス以外の通信バスとの間の通信を遮断するように制御する制御部と、
を有する。
複数の通信バスと接続されるゲートウェイと、前記複数の通信バスに接続される1または複数の電子制御ユニットとを有する車載ネットワークであって、
前記ゲートウェイは、
複数の通信バスと接続されるゲートウェイと、
前記複数の通信バスに接続される1または複数の電子制御ユニットとを有する車載ネットワークであって、
前記ゲートウェイは、
前記1または複数の電子制御ユニットによって送信されるメッセージと、該メッセージのIDを示すメッセージIDと、該メッセージの送信周期とを紐付けて格納する記憶部と、
前記1または複数の電子制御ユニットのいずれかによって送信される前記メッセージが、前記記憶部に格納されている送信周期と異なる送信周期で送信されている異常メッセージである場合に、前記記憶部を参照して該異常メッセージのメッセージIDに基づいて該異常メッセージの送信元の電子制御ユニットを特定し、該特定された電子制御ユニットにメッセージの送信を停止させる通信停止メッセージを送信する送信部と、
前記送信部により、該電子制御ユニットに前記通信停止メッセージを送信した後に前記異常メッセージが受信される場合に、前記1または複数の電子制御ユニットのいずれかに成りすました電子制御ユニットがあると判断する判断部と、
前記判断部により、前記1または複数の電子制御ユニットのいずれかに成りすました電子制御ユニットがあると判断された場合に、該成りすました電子制御ユニットが接続された第1の通信バスと、前記複数の通信バスのうち前記第1の通信バス以外の通信バスとの間の通信を遮断するように制御する制御部と、
を有する。
開示の実施例によれば、車載ネットワークにおいて、セキュリティを向上させることができる。
次に、本発明を実施するための形態を、以下の実施例に基づき図面を参照しつつ説明する。以下で説明する実施例は一例に過ぎず、本発明が適用される実施の形態は、以下の実施例に限られない。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を用い、繰り返しの説明は省略する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を用い、繰り返しの説明は省略する。
<実施例>
<車載ネットワーク>
図1は、車載ネットワークの一実施例を示す。
<車載ネットワーク>
図1は、車載ネットワークの一実施例を示す。
車載ネットワークは、例えば車両等の移動体に搭載され、CAN、LIN(Local Interconnect Network)等のLAN(Local Area Network)が適用される。車載ネットワークは、情報系LAN、パワートレイン系LAN、ボディ系LAN等に適用できる。また、車載ネットワークに、FlexRay(登録商標)を適用してもよい。
車載ネットワークは、第1の通信バス1と、第2の通信バス2と、ゲートウェイ100と、第1のECU200aと、第2のECU200bと、第3のECU200cと、第4のECU200dと、第5のECU200eと、第6のECU200fと、第7のECU200gとによって構成される。以下、第1のECU200a、第2のECU200b、第3のECU200c、第4のECU200d、第5のECU200e、第6のECU200f、及び第7のECU200gのうち任意のものを表す場合には「ECU200」と記載する。
ゲートウェイ100は、第1の通信バス1、及び第2の通信バス2と有線接続される。また、第1のECU200a−第7のECU200gは、第1の通信バス1に有線接続される。
図1には、7個のECUが第1の通信バス1に接続される例が示されるが、1−6個のECUを第1の通信バス1に接続することも、8個以上のECUを第1の通信バス1に接続することもできる。また、図1では、第2の通信バス2にECUが接続されていないが、1又は複数のECUを接続できる。
車載ネットワークにCANが適用される場合、第1の通信バス1、及び第2の通信バス2は、ツイストペアの形態を有する2本の通信線(CANバス)からなる。CANバスのツイストペア線は一方がCAN High(以下、CANHという)、他方がCAN Low(以下、CANLという)と呼ばれる母線である。第1の通信バス1、及び第2の通信バス2のそれぞれの両端には終端抵抗が接続される。図1では、1本の実線でCANH、CANLを表す。
第1のECU200a−第7のECU200gは、CSMA/CD(Carrier Sense Multiple Access/Collision Detection)にしたがって、ロー(Lo)レベルの信号を送信し続けたECUが優先して通信を行い、衝突に負けた(ハイ(Hi)レベルの信号を送信した)ECUは次の機会の送信のために待機する。つまり、第1のECU200a−第7のECU200gのうち、ローレベルの信号を送信し続けたECUが第1の通信バス1を介して通信を行い、ローレベルの信号を送信し続けたECU以外のECUは次の機会まで待機する。
<第1のECU200a>
第1のECU200aのハードウェア構成について説明する。第1のECU200aのハードウェア構成は、第2のECU200b−第7のECU200gのハードウェア構成にも適用できる。
第1のECU200aのハードウェア構成について説明する。第1のECU200aのハードウェア構成は、第2のECU200b−第7のECU200gのハードウェア構成にも適用できる。
図1に示すように、第1のECU200aは、通信トランシーバ202aと、通信回路206aと、CPU208aと、RAM(Random Access Memory)210aと、ROM(Read Only Memory)212aとを有する。マイクロコントローラ204aには、第1のECU200a全体を制御するCPU208a、CPU208aが実行する第1のECU用プログラムを格納するROM212a、及び第1のECU200aの制御を実行する際にCPU208aのワークエリアとして使用されるRAM210a等のハードウェアが実装される。マイクロコントローラ204aに、2個以上のCPUを実装することもできる。
通信トランシーバ202aは、第1の通信バス1に接続され、通信ドライバによる制御によって、通信回路206aからのデータを第1の通信バス1に送信するとともに、第1の通信バス1からのデータを受信し通信回路206aに入力する。これによって、通信トランシーバ202aは、ゲートウェイ100、及び第2のECU200b−第7のECU200gとの間で、信号の送受信を行う。通信トランシーバ202aは、データを送信する場合には、CANHとCANLに反転信号を送出する。通信トランシーバ202aは、データを受信する場合には、CANHとCANLとの電圧差から、第1の通信バス1上のデータが"1"であるか"0"であるかを判定する。
通信回路206aは、通信トランシーバ202aと接続され、第1の通信バス1を介して、ゲートウェイ100、及び第2のECU200b−第7のECU200gとの間でシリアル通信を行う。通信回路206aは、CPU208aからのデータを通信トランシーバ202aから送信するとともに、通信トランシーバ202aから入力されたデータを受信し、CPU208aに入力する。
CPU208aは、通信回路206aと接続され、通信回路206aによって実行される通信処理等の第1のECU200a全体を制御する処理を実行する。CPU208aは、予め設定される送信周期にしたがって、メッセージを通信回路206aに入力することによって送信させる。CPU208aは、ゲートウェイ100によって送信される送信停止メッセージを受信した場合、メッセージの送信を停止する。
<ゲートウェイ100>
ゲートウェイ100のハードウェア構成について説明する。
ゲートウェイ100のハードウェア構成について説明する。
図1に示すように、ゲートウェイ100は、第1の通信トランシーバ102と、第1の通信回路106と、CPU108と、RAM110と、ROM116と第2の通信回路112と、第2の通信トランシーバ114とを有する。マイクロコントローラ104には、ゲートウェイ100全体を制御するCPU108、CPU108が実行するゲートウェイ用プログラムを格納するROM116、及びゲートウェイ100の制御を実行する際にCPU108のワークエリアとして使用されるRAM110等のハードウェアが実装される。また、RAM110には、第1の通信バス1、及び第2の通信バス2を介して送受信されるメッセージを登録するメッセージ管理テーブル、及び第1のECU200a−第7のECU200gのうち通信中のECUを表す情報が記憶される。メッセージ管理テーブル、及び通信中のECUについては後述する。マイクロコントローラ104に、2個以上のCPUを実装することもできる。
第1の通信トランシーバ102は、第1の通信バス1に接続され、通信ドライバによる制御によって、第1の通信回路106によって入力されるメッセージを第1の通信バス1に送信するとともに、第1の通信バス1を伝送するメッセージを受信し第1の通信回路106に入力する。これによって、第1の通信トランシーバ102は、第1のECU200a−第7のECU200gとの間で、信号の送受信を行う。
第2の通信トランシーバ114は、第2の通信バス2に接続され、通信ドライバによる制御によって、第2の通信回路112からのデータを第2の通信バス2に送信するとともに、第2の通信バス2からのデータを受信し第2の通信回路112に入力する。
第1の通信トランシーバ102、及び第2の通信トランシーバ114は、データを送信する場合には、CANHとCANLに反転信号を送出する。第1の通信トランシーバ102、及び第2の通信トランシーバ114は、データを受信する場合には、CANHとCANLとの電圧差から、第1の通信バス1及び第2の通信バス2上のデータが"1"であるか"0"であるかを判定する。
第1の通信回路106は、第1の通信トランシーバ102と接続され、第1の通信バス1を介して、第1のECU200a−第7のECU200gとの間でシリアル通信を行う。第1の通信回路106は、CPU108によって入力されるデータを第1の通信トランシーバ102から送信するとともに、第1の通信トランシーバ102によって入力されるデータを受信し、CPU108に入力する。
第2の通信回路112は、第2の通信トランシーバ114と接続され、第2の通信バス2を介してシリアル通信を行う。第2の通信回路112は、CPU108によって入力されるデータを第2の通信トランシーバ114から送信するとともに、第2の通信トランシーバ114によって入力されたデータを受信し、CPU108に入力する。
CPU108は、第1の通信回路106、及び第2の通信回路112と接続され、第1の通信回路106、及び第2の通信回路112によって実行される通信処理等のゲートウェイ100全体を制御する処理を実行する。
CPU108は、初回の通信開始の際に、第1の通信バス1を介して送受信される1又は複数のメッセージの各々について、メッセージID等のメッセージ名、送信周期、送信元ECU及び送信先(宛先)ECU(以下、「送受信ECU」という)等をメッセージ管理テーブルに登録する。
メッセージ管理テーブルへの登録後、CPU108は、メッセージ管理テーブルに登録された送信周期にしたがっていないメッセージ(以下、「異常メッセージ」という)を検出した場合、該異常メッセージに付帯されるメッセージIDによって特定されるECUを宛先とする通信停止メッセージ作成し、第1の通信回路106に入力する。この通信停止メッセージによって、該当するECUに対して送信周期よりも長い時間の間メッセージの送信を停止させる。そして、CPU108は、通信停止メッセージを送信することによって異常メッセージを送信するECUからのメッセージの送信を停止したにもかかわらず、異常メッセージを検出した場合、該ECUに成りすましたECU(以下、「成りすましECU」という)が第1の通信バス1に接続されていると判断する。
図1を参照して、具体的に説明する。ここでは、第4のECU200dが第3のECU200cに成りすましたECUであり、且つ第4のECU200dによって送信されるメッセージの送信周期がメッセージ管理テーブルにしたがっていないと仮定する。この場合、ゲートウェイ100は、第4のECU200dによって送信されたメッセージに基づいて送信停止メッセージの宛先を特定し、送信する。ここで、第4のECU200dは第3のECU200cに成りすましているため、第4のECU200dによって送信されたメッセージに基づいて特定される宛先は第3のECU200cとなる。このため、送信停止メッセージは第3のECU200cに受信され、第3のECU200cは送信を停止するが、第4のECU200dは送信を停止しない。つまり、送信停止メッセージを送信したにもかかわらず、ゲートウェイは異常メッセージを受信し続けることとなる。
CPU108は、成りすましECUが第1の通信バス1に接続されていると判断した場合、第1のECU200a−第7のECU200gを送信先とする通信停止メッセージを順次送信し、成りすましECUを特定する。CPU108は、成りすましECUを特定すると、その成りすましECUによって送信されるメッセージをダイアグ情報として通知する。
また、CPU108は、所定の時間が経過しても、通信停止メッセージの宛先であるECUによって送信されるメッセージが検出されない場合には、該通信停止メッセージの宛先であるECUに何らかの異常があるとして、ダイアグ情報として通知することもできる。
<ゲートウェイ100の機能>
次に、ゲートウェイ100の機能を詳細に説明する。
次に、ゲートウェイ100の機能を詳細に説明する。
図2は、ゲートウェイ100の一実施例に係る機能ブロック図である。
ゲートウェイ100は、送受信部152と、メッセージ登録処理部154と、記憶・読出処理部156と、メッセージ監視部158と、異常検出部160と、異常処理部168として機能する。これら各部は、ゲートウェイ100の各構成要素のいずれかが、ROM116からRAM110上に展開されたゲートウェイ用のプログラムにしたがったCPU108からの命令によって動作することで実現される機能又は手段である。また、ゲートウェイ100は、図1に示されているRAM110によって構築される記憶部162を有している。
(メッセージテーブル)
記憶部162には、図2に示されているようなメッセージテーブルによって構成されているメッセージDB164が構築されている。メッセージテーブルには、第1の通信バス1、及び第2の通信バス2の各々を介してECUとの間で送受信されるメッセージの全て、又は一部が登録される。例えば、メッセージテーブルには、例えば、メッセージID等のメッセージ名、及び送信周期等が紐付けられることによって対応付けられて記憶される。
記憶部162には、図2に示されているようなメッセージテーブルによって構成されているメッセージDB164が構築されている。メッセージテーブルには、第1の通信バス1、及び第2の通信バス2の各々を介してECUとの間で送受信されるメッセージの全て、又は一部が登録される。例えば、メッセージテーブルには、例えば、メッセージID等のメッセージ名、及び送信周期等が紐付けられることによって対応付けられて記憶される。
(メッセージ管理テーブル)
記憶部162には、図1に示されているようなメッセージ管理テーブルによって構成されているメッセージ管理DB166が構築されている。メッセージ管理テーブルには、メッセージDB164のメッセージテーブルに登録されているメッセージのうち、メッセージ登録処理部154によって検出したメッセージについて、そのメッセージID等のメッセージ名、送信周期、及び送受信ECUが紐付けられることによって対応付けられて記憶される。
記憶部162には、図1に示されているようなメッセージ管理テーブルによって構成されているメッセージ管理DB166が構築されている。メッセージ管理テーブルには、メッセージDB164のメッセージテーブルに登録されているメッセージのうち、メッセージ登録処理部154によって検出したメッセージについて、そのメッセージID等のメッセージ名、送信周期、及び送受信ECUが紐付けられることによって対応付けられて記憶される。
(通信中のECU)
記憶部162には、図1に示されているような通信中のECUを表す情報が格納される。図1に示される例では、第1のECU200a、第2のECU200b、第3のECU200c、及び第6のECU200fが現在通信中であることが示される。
記憶部162には、図1に示されているような通信中のECUを表す情報が格納される。図1に示される例では、第1のECU200a、第2のECU200b、第3のECU200c、及び第6のECU200fが現在通信中であることが示される。
<ゲートウェイ100の各機能部>
次に、ゲートウェイ100各部を詳細に説明する。
次に、ゲートウェイ100各部を詳細に説明する。
ゲートウェイ100の送受信部152は、図1に示されているCPU108からの命令、第1の通信トランシーバ102、第1の通信回路106、第2の通信トランシーバ114、及び第2の通信回路112によって実行される。送受信部152は、第1の通信トランシーバ102、及び第2の通信トランシーバ114を介して、異なるネットワークを構成するECU間で送受信される各種データ(情報)の送受信を行う。また、送受信部152は、第1の通信バス1、及び第2の通信バス2を伝送するメッセージを検出する。送受信部152は、第1の通信バス1を介して第1のECU200a−第7のECU200gによって送信されるメッセージをメッセージ登録処理部154、及びメッセージ監視部158に入力する。
ゲートウェイ100の記憶・読出処理部156は、図1に示されているCPU108からの命令、並びに一例としてマイクロコントローラ104に実装されるRAM110、及びROM116によって実行される。記憶・読出処理部156は、記憶部162に各種データを記憶したり、記憶部162に記憶された各種データを読み出す処理を行う。
ゲートウェイ100のメッセージ登録処理部154は、図1に示されているCPU108からの命令によって実行され、送受信部152によって入力されるメッセージを記憶部162のメッセージ管理DB166に登録する。メッセージ登録処理部154は、送受信部152によって入力されるメッセージに付帯されるメッセージIDに基づいて、そのメッセージのメッセージ名、送信周期、及び送受信ECUを特定し、メッセージ管理テーブルに登録する。メッセージを登録する処理は、初回の通信開始の際に実行することもできるし、通信が開始された後に随時行うこともできる。
ゲートウェイ100のメッセージ監視部158は、図1に示されているCPU108からの命令によって実行される。メッセージ監視部158は、メッセージ登録処理部154によって記憶部162のメッセージ管理DB166のメッセージ管理テーブルに登録されたメッセージに関する情報に基づいて、送受信部152によって入力されるメッセージがそのメッセージ管理テーブルの送信周期にしたがって送信されているか否かを監視する。メッセージ監視部158は、メッセージがメッセージ管理テーブルの送信周期にしたがって送信されている場合には、監視を継続する。メッセージ監視部158は、メッセージがメッセージ管理テーブルの送信周期にしたがって送信されていない場合には、異常検出部160にそのメッセージ(異常メッセージ)を通知する。
ゲートウェイ100の異常検出部160は、図1に示されているCPU108からの命令によって実行される。異常検出部160は、メッセージ監視部158によって通知された異常メッセージに基づいて、異常が発生しているか否かを判断する。異常検出部160は、メッセージ監視部158によって通知された異常メッセージから抽出されるメッセージIDに基づいて、該異常メッセージを送信するECUを特定する。異常検出部160は、送信停止メッセージを送受信部152に入力することによって、特定したECUに送信停止メッセージを送信する。
送信停止メッセージの送信後、メッセージ監視部158によって同様の異常メッセージが通知された場合、異常検出部160は、第1の通信バス1に、成りすましECUが接続されていると判断する。成りすましECUが接続されていると判断した場合、メッセージ監視部158は、第1のECU200a−第7のECU200gに順次通信停止メッセージを送信することによって成りすましECUを特定する。具体的には、異常検出部160は、あるECUに通信停止メッセージを送信した後に、該ECUによって送信されるメッセージと同様のメッセージが送受信部152によって受信される場合には、その同様のメッセージを送信するECUが成りすましECUであると判断できる。異常検出部160は、成りすましECUを検出すると、その成りすましECUによって送信されるメッセージをダイアグ情報として通知する。
ゲートウェイ100の異常処理部168は、図1に示されているCPU108からの命令によって実行される。異常処理部168は、異常検出部160によって成りすましECUが検出された場合に、成りすましECUが接続されている通信バスの外部ポートを遮断することによって、該通信バス以外の通信バスとの間の通信を遮断する。例えば、成りすましECUが第1の通信バス1に接続されている場合、該第1の通信バス1と第2の通信バス2との間の通信を遮断する。つまり、ゲートウェイ100は、第1の通信バス1からのメッセージを第2の通信バス2に中継しない。さらに、異常処理部168は、無効化フィルタを使用して、成りすましECUによって送信されるメッセージを強制的にドミナントに上書きすることによって、メッセージを無効にする。これによって、成りすましECUが接続される第1の通信バス1等の内部バス上に車載ネットワークを乗っ取ることを目的とするメッセージが送信された場合でも、強制的に書き換えることができるため無効化できる。さらに、成りすましECUによって送信されるメッセージを受信するECUに、成りすましECUによって送信されるメッセージを破棄させる。
<車載ネットワークの動作>
図3は、車載ネットワークの動作を示す。図3は、主にゲートウェイ100の動作を示す。
図3は、車載ネットワークの動作を示す。図3は、主にゲートウェイ100の動作を示す。
<(1)メッセージ管理テーブル作成処理>
ステップS302では、ゲートウェイ100のメッセージ登録処理部154は、メッセージDB164を参照し、ECU200によって送信されるメッセージが登録されているか否かを判断する。例えば、メッセージ登録処理部154は、ECU200によって送信されるメッセージのメッセージIDを取得し、該メッセージIDに該当するメッセージ名がメッセージDB164に登録されているか否かを判断する。例えば、メッセージ登録処理部154は、第1の通信バス1を伝送するメッセージBがメッセージDB164のメッセージテーブルに登録されているか否かを判断する。
ステップS302では、ゲートウェイ100のメッセージ登録処理部154は、メッセージDB164を参照し、ECU200によって送信されるメッセージが登録されているか否かを判断する。例えば、メッセージ登録処理部154は、ECU200によって送信されるメッセージのメッセージIDを取得し、該メッセージIDに該当するメッセージ名がメッセージDB164に登録されているか否かを判断する。例えば、メッセージ登録処理部154は、第1の通信バス1を伝送するメッセージBがメッセージDB164のメッセージテーブルに登録されているか否かを判断する。
ステップS304では、ゲートウェイ100のメッセージ登録処理部154は、ECU200によって送信されるメッセージのメッセージIDに該当するメッセージ名がメッセージDB164に登録されている場合、そのメッセージをメッセージ管理DB166のメッセージ管理テーブルに登録する。図3に示される例では、ECU200によってメッセージBが送信周期200msで送信される。ゲートウェイ100は、メッセージBを受信し、メッセージ管理テーブルに送信周期とともに登録する。
メッセージ管理テーブルを作成する処理は、初回の通信を開始する際に自動的に行われる。
<(2)メッセージ監視・検出処理>
ステップS306では、メッセージ管理テーブルが作成された後、ゲートウェイ100のメッセージ監視部158は、ECU200によって送信されるメッセージBがメッセージ管理テーブルにしたがっているか否かを監視する。メッセージ監視部158は、メッセージ管理テーブルに登録された送信周期と比較して、所定の閾値以上ずれてメッセージBが受信される場合、異常メッセージとして異常検出部160に通知する。
ステップS306では、メッセージ管理テーブルが作成された後、ゲートウェイ100のメッセージ監視部158は、ECU200によって送信されるメッセージBがメッセージ管理テーブルにしたがっているか否かを監視する。メッセージ監視部158は、メッセージ管理テーブルに登録された送信周期と比較して、所定の閾値以上ずれてメッセージBが受信される場合、異常メッセージとして異常検出部160に通知する。
異常検出部160は、メッセージ監視部158によって通知された異常メッセージから抽出されるメッセージIDに基づいて、該異常メッセージを送信するECUを特定し、該ECUに送信停止メッセージを送信する。
送信停止メッセージの送信後、メッセージ監視部158によって同様の異常メッセージが通知された場合、異常検出部160は、第1の通信バス1に、成りすましECUが接続されていると判断する。成りすましECUが接続されていると判断した場合、メッセージ監視部158は、第1のECU200a−第7のECU200gに順次通信停止メッセージを送信することによって成りすましECUを特定する。異常検出部160は、成りすましECUを検出すると、その成りすましECUによって送信されるメッセージをダイアグ情報として通知する。
異常処理部168は、異常検出部160によって成りすましECUが検出された場合に、成りすましECUが接続されている通信バスの外部ポートを遮断することによって、該通信バス以外の通信バスとの間の通信を遮断する。さらに、異常処理部168は、無効化フィルタを使用して、成りすましECUによって送信されるメッセージを強制的にドミナントに上書きすることによって、メッセージを無効にする。
車載ネットワークの一実施例によれば、ゲートウェイによって、予め登録された送信周期に対して所定の閾値以上ずれてメッセージが受信される場合、該メッセージを異常メッセージとし、該異常メッセージに付帯されるメッセージIDによって特定されるECUを宛先とする通信停止メッセージを送信する。その送信停止メッセージを送信した後、ゲートウェイによって、通信停止メッセージの宛先とは異なるECUによって送信される異常メッセージを受信するか否かを確認する。これによって、通信停止メッセージの宛先のECUの通信状態に起因する送信周期のずれを、該ECUとは異なる別のECUによる成りすましと判断することを抑制できる。
メッセージ監視部、及び異常検出部は制御部の一例である。
以上、本発明は特定の実施例を参照しながら説明されてきたが、実施例は単なる例示に過ぎず、当業者は様々な変形例、修正例、代替例、置換例等を理解するであろう。説明の便宜上、本発明の実施例に従った装置は機能的なブロック図を用いて説明されたが、そのような装置はハードウェアで、ソフトウェアで又はそれらの組み合わせで実現されてもよい。本発明は上記実施例に限定されず、本発明の精神から逸脱することなく、様々な変形例、修正例、代替例、置換例等が包含される。
1 第1の通信バス
2 第2の通信バス
100 ゲートウェイ
102 第1の通信トランシーバ
104 マイクロコントローラ
106 第1の通信回路
108 CPU
110 RAM
112 第2の通信回路
114 第2の通信トランシーバ
116 ROM
152 送受信部
154 メッセージ登録処理部
156 記憶・読出処理部
158 メッセージ監視部
160 異常検出部
162 記憶部
164 メッセージDB
166 メッセージ管理DB
200a 第1のECU
202a 通信トランシーバ
204a マイクロコントローラ
206a 通信回路
208a CPU
210a RAM
212a ROM
200b 第2のECU
200c 第3のECU
200d 第4のECU
200e 第5のECU
200f 第6のECU
200g 第7のECU
2 第2の通信バス
100 ゲートウェイ
102 第1の通信トランシーバ
104 マイクロコントローラ
106 第1の通信回路
108 CPU
110 RAM
112 第2の通信回路
114 第2の通信トランシーバ
116 ROM
152 送受信部
154 メッセージ登録処理部
156 記憶・読出処理部
158 メッセージ監視部
160 異常検出部
162 記憶部
164 メッセージDB
166 メッセージ管理DB
200a 第1のECU
202a 通信トランシーバ
204a マイクロコントローラ
206a 通信回路
208a CPU
210a RAM
212a ROM
200b 第2のECU
200c 第3のECU
200d 第4のECU
200e 第5のECU
200f 第6のECU
200g 第7のECU
Claims (3)
- 複数の通信バスと接続されるゲートウェイと、
前記複数の通信バスに接続される1または複数の電子制御ユニットとを有する車載ネットワークであって、
前記ゲートウェイは、
前記1または複数の電子制御ユニットによって送信されるメッセージと、該メッセージのIDを示すメッセージIDと、該メッセージの送信周期とを紐付けて格納する記憶部と、
前記1または複数の電子制御ユニットのいずれかによって送信される前記メッセージが、前記記憶部に格納されている送信周期と異なる送信周期で送信されている異常メッセージである場合に、前記記憶部を参照して該異常メッセージのメッセージIDに基づいて該異常メッセージの送信元の電子制御ユニットを特定し、該特定された電子制御ユニットにメッセージの送信を停止させる通信停止メッセージを送信する送信部と、
前記送信部により、該電子制御ユニットに前記通信停止メッセージを送信した後に前記異常メッセージが受信される場合に、前記1または複数の電子制御ユニットのいずれかに成りすました電子制御ユニットがあると判断する判断部と、
前記判断部により、前記1または複数の電子制御ユニットのいずれかに成りすました電子制御ユニットがあると判断された場合に、該成りすました電子制御ユニットが接続された第1の通信バスと、前記複数の通信バスのうち前記第1の通信バス以外の通信バスとの間の通信を遮断するように制御する制御部と、
を有する、車載ネットワーク。 - 前記1または複数の電子制御ユニットから送信されたメッセージのメッセージIDに該当するメッセージ名が前記記憶部に登録されている場合に、前記記憶部に前記メッセージを該メッセージの送信周期と紐付けて登録する登録部をさらに備える、請求項1に記載の車載ネットワーク。
- さらに、前記制御部は、前記判断部により、前記1または複数の電子制御ユニットのいずれかに成りすました電子制御ユニットがあると判断された場合に、該成りすました電子制御ユニットから送信されるメッセージに対して無効化するためのフィルタを適用することを特徴とする請求項1または2に記載の車載ネットワーク。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015003602A JP6369334B2 (ja) | 2015-01-09 | 2015-01-09 | 車載ネットワーク |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015003602A JP6369334B2 (ja) | 2015-01-09 | 2015-01-09 | 車載ネットワーク |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016129314A JP2016129314A (ja) | 2016-07-14 |
| JP6369334B2 true JP6369334B2 (ja) | 2018-08-08 |
Family
ID=56384550
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015003602A Active JP6369334B2 (ja) | 2015-01-09 | 2015-01-09 | 車載ネットワーク |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6369334B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017060057A (ja) * | 2015-09-17 | 2017-03-23 | 株式会社オートネットワーク技術研究所 | 通信制御装置及び通信システム |
| DE102017217195A1 (de) | 2017-09-27 | 2019-03-28 | Continental Teves Ag & Co. Ohg | Verfahren zum Erfassen eines Angriffs auf ein Steuergerät eines Fahrzeugs |
| JP7113337B2 (ja) | 2018-01-12 | 2022-08-05 | パナソニックIpマネジメント株式会社 | サーバ装置、車両装置、車両用システム及び情報処理方法 |
| JP6555559B1 (ja) | 2018-06-15 | 2019-08-07 | パナソニックIpマネジメント株式会社 | 電子制御装置、監視方法、プログラム及びゲートウェイ装置 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4093075B2 (ja) * | 2003-02-18 | 2008-05-28 | 住友電気工業株式会社 | 不正データ検出方法及び車載機器 |
| JP2008227591A (ja) * | 2007-03-08 | 2008-09-25 | Auto Network Gijutsu Kenkyusho:Kk | 車載用の中継接続ユニット |
| JP5522160B2 (ja) * | 2011-12-21 | 2014-06-18 | トヨタ自動車株式会社 | 車両ネットワーク監視装置 |
| JP5651615B2 (ja) * | 2012-02-16 | 2015-01-14 | 日立オートモティブシステムズ株式会社 | 車載ネットワークシステム |
| EP2852100A4 (en) * | 2012-05-14 | 2015-05-06 | Toyota Motor Co Ltd | COMMUNICATION MANAGEMENT DEVICE AND COMMUNICATION MANAGEMENT PROCESS FOR A VEHICLE-SPECIFIC NETWORK |
| JP5919205B2 (ja) * | 2013-01-28 | 2016-05-18 | 日立オートモティブシステムズ株式会社 | ネットワーク装置およびデータ送受信システム |
-
2015
- 2015-01-09 JP JP2015003602A patent/JP6369334B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016129314A (ja) | 2016-07-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210312043A1 (en) | Vehicle communications bus data security | |
| US8925083B2 (en) | Cyber security in an automotive network | |
| US20180004964A1 (en) | Security system and method for protecting a vehicle electronic system | |
| JP7075886B2 (ja) | ブロードキャストバスフレームフィルタ | |
| WO2016204081A1 (ja) | 車載中継装置、車載通信システム及び中継プログラム | |
| JP6369334B2 (ja) | 車載ネットワーク | |
| JP7182559B2 (ja) | ログ出力方法、ログ出力装置及びプログラム | |
| JP2018157463A (ja) | 車載通信システム、通信管理装置、車両制御装置 | |
| JP2018011288A (ja) | 不正制御抑止方法、不正制御抑止装置及び車載ネットワークシステム | |
| KR101972457B1 (ko) | Can 통신 기반 해킹공격 탐지 방법 및 시스템 | |
| JP2016143963A (ja) | 車載通信システム | |
| JP5712995B2 (ja) | 通信システム、通信装置及び通信方法 | |
| Kwon et al. | Mitigation mechanism against in-vehicle network intrusion by reconfiguring ECU and disabling attack packet | |
| CN110933021A (zh) | 用于在车辆中进行异常识别的方法和设备 | |
| KR102373922B1 (ko) | 차량의 제어 장치에 대한 공격을 검출하기 위한 방법 | |
| US20180359271A1 (en) | Method for protecting a vehicle network against manipulated data transmission | |
| WO2021234499A1 (en) | System and method for detection and prevention of cyber attacks at in-vehicle networks | |
| KR102179443B1 (ko) | 이더넷 스위치 연결 제어 장치 및 방법 | |
| KR102204655B1 (ko) | 공격 메시지 재전송 시간을 예측하는 can 네트워크에 대한 메시지플러딩 공격 완화방법 | |
| JP2015192216A (ja) | 通信装置および通信方法 | |
| KR102204656B1 (ko) | 일반 can 메시지의 전송지연을 예측하는 can 네트워크에 대한 메시지플러딩 공격 완화 시스템 | |
| JP2022170353A (ja) | 車載中継装置、中継方法および中継プログラム | |
| JP6798349B2 (ja) | 通信システム及び中継装置 | |
| JP2017022551A (ja) | 通信方法およびそれを利用した通信装置 | |
| JP2020115620A (ja) | 制御装置及び通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170217 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171208 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180116 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180313 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180612 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180625 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6369334 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |