JP6369341B2 - In-vehicle communication system - Google Patents

In-vehicle communication system Download PDF

Info

Publication number
JP6369341B2
JP6369341B2 JP2015017041A JP2015017041A JP6369341B2 JP 6369341 B2 JP6369341 B2 JP 6369341B2 JP 2015017041 A JP2015017041 A JP 2015017041A JP 2015017041 A JP2015017041 A JP 2015017041A JP 6369341 B2 JP6369341 B2 JP 6369341B2
Authority
JP
Japan
Prior art keywords
bus
communication system
attack
vehicle communication
relay
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2015017041A
Other languages
Japanese (ja)
Other versions
JP2016143963A (en
Inventor
佑樹 前
佑樹 前
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2015017041A priority Critical patent/JP6369341B2/en
Publication of JP2016143963A publication Critical patent/JP2016143963A/en
Application granted granted Critical
Publication of JP6369341B2 publication Critical patent/JP6369341B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、車載通信システムに関する。   The present invention relates to an in-vehicle communication system.

車外装置接続用のコネクタを介した車載通信システムに対する不正行為を、阻止するためのセキュリティ装置として、特許文献1のものがある。特許文献1のセキュリティ装置では、車外装置からコネクタを介して入力されるデータが、予め定められた許可情報を有している場合にだけ、そのデータを、複数の車載装置が接続されているバスへ提供することで、セキュリティ性を高めている。   Patent Document 1 discloses a security device for preventing an illegal act on an in-vehicle communication system via a connector for connecting an external device. In the security device of Patent Document 1, only when data input from a device outside a vehicle via a connector has predetermined permission information, the data is transmitted to a bus to which a plurality of vehicle-mounted devices are connected. The security is improved by providing to.

特開2013−118609号公報JP 2013-118609 A

特許文献1の技術であっても、許可情報がハッキング(不正に入手)されてしまうと、悪意のある車外装置(詳しくは、悪意のある者が操作する車外装置)がDoS攻撃(Denial of Service attack)を行えるようになってしまう。   Even in the technique of Patent Document 1, if the permission information is hacked (obtained illegally), a malicious external device (specifically, an external device operated by a malicious person) may cause a DoS attack (Denial of Service). attack).

そこで、本発明は、車載通信システムのセキュリティ性能を向上させることを目的としている。   Therefore, an object of the present invention is to improve the security performance of the in-vehicle communication system.

第1発明の車載通信システムは、第1バスを介して通信可能に接続された複数の車載装置と、車両の外部に存在する装置である車外装置がコネクタを介して接続される第2バスと、第1バス及び第2バスに接続され、前記コネクタを介して第2バスに接続された車外装置と前記車載装置との間のデータ通信を中継する中継装置と、を備える。   A vehicle-mounted communication system according to a first aspect of the present invention includes a plurality of vehicle-mounted devices communicably connected via a first bus, and a second bus to which an external device that is an external device is connected via a connector. A relay device that is connected to the first bus and the second bus and relays data communication between the vehicle-mounted device and the vehicle-mounted device connected to the second bus via the connector.

更に、この車載通信システムは、第2バスに接続されて、車外装置からのDoS攻撃を検出する監視装置を備える。監視装置は、DoS攻撃が発生したと判定すると、中継装置へ、DoS攻撃が発生したことを示す攻撃通知を送信する。そして、中継装置は、監視装置からの攻撃通知を受信すると、前記中継を停止する。   Furthermore, this in-vehicle communication system includes a monitoring device that is connected to the second bus and detects a DoS attack from an external device. If the monitoring device determines that a DoS attack has occurred, the monitoring device transmits an attack notification indicating that the DoS attack has occurred to the relay device. Then, when receiving the attack notification from the monitoring device, the relay device stops the relay.

この車載通信システムでは、悪意のある車外装置がコネクタを介して第2バスに接続され、その車外装置がDoS攻撃を行った場合に、監視装置がそれを検知して中継装置に伝え、中継装置が、車外装置と車載装置との間のデータ通信の中継を停止することで、DoS攻撃の影響を無くしている。尚、中継装置が中継を停止したとしても、第1バスを介した車載装置間の通信は正常に実施することができる。   In this in-vehicle communication system, when a malicious external device is connected to the second bus via a connector and the external device performs a DoS attack, the monitoring device detects it and transmits it to the relay device. However, the influence of the DoS attack is eliminated by stopping the relay of data communication between the external device and the in-vehicle device. Even if the relay device stops relaying, the communication between the in-vehicle devices via the first bus can be performed normally.

よって、悪意のある車外装置がDoS攻撃を行ったときに、DoS攻撃の影響を無効にして、セキュリティ性能を高めることができる。
なお、特許請求の範囲に記載した括弧内の符号は、一つの態様として後述する実施形態に記載の具体的手段との対応関係を示すものであって、本発明の技術的範囲を限定するものではない。 Therefore, when a malicious external device performs a DoS attack, the influence of the DoS attack can be invalidated to improve the security performance.
In addition, the code | symbol in the parenthesis described in the claim shows the correspondence with the specific means as described in embodiment mentioned later as one aspect, Comprising: The technical scope of this invention is limited is not.

実施形態の車載通信システムを表す構成図である。It is a block diagram showing the vehicle-mounted communication system of embodiment. 監視ECUが行う監視第1処理を表すフローチャートである。It is a flowchart showing the 1st monitoring process which monitoring ECU performs. 監視ECUが行う監視第2処理を表すフローチャートである。It is a flowchart showing the monitoring 2nd process which monitoring ECU performs. ゲートウェイが行う中継停止制御処理を表すフローチャートである。It is a flowchart showing the relay stop control process which a gateway performs.

以下に、本発明が適用された実施形態の車載通信システムについて説明する。
図1に示すように、実施形態の車載通信システム1は、車両3の各部に配置された複数の車載装置としての電子制御ユニット(以下、ECUという)5と、複数のECU5を通信可能に接続する通信線路である第1バス7と、を備える。尚、ECUは、「Electronic Control Unit」の略である。 Hereinafter, an in-vehicle communication system according to an embodiment to which the present invention is applied will be described.
As shown in FIG. 1, an in-vehicle communication system 1 according to the embodiment connects an electronic control unit (hereinafter referred to as an ECU) 5 as a plurality of in-vehicle devices arranged in each part of a vehicle 3 and a plurality of ECUs 5 so as to communicate with each other. And a first bus 7 that is a communication line. Note that ECU is an abbreviation for “Electronic Control Unit”.

更に、車載通信システム1は、車両3の外部に存在する車外装置としての外部ツール9が、車両3に設けられているコネクタ11を介して接続される通信線路である第2バス13と、第1バス7及び第2バス13に接続された中継装置であるゲートウェイ(GW)15と、第2バス13に接続された監視ECU17と、を備える。   Further, the in-vehicle communication system 1 includes a second bus 13 which is a communication line to which an external tool 9 as an external device existing outside the vehicle 3 is connected via a connector 11 provided in the vehicle 3; A gateway (GW) 15 serving as a relay device connected to the first bus 7 and the second bus 13 and a monitoring ECU 17 connected to the second bus 13 are provided.

複数のECU5は、第1バス7を介してデータ通信を行う。
ゲートウェイ15は、コネクタ11を介して第2バス13に接続された外部ツール9と、第1バス7に接続されているECU5との間の、データ通信を中継する。以下では、この中継のことを、外内中継という。 The plurality of ECUs 5 perform data communication via the first bus 7.
The gateway 15 relays data communication between the external tool 9 connected to the second bus 13 via the connector 11 and the ECU 5 connected to the first bus 7. Hereinafter, this relay is referred to as outer / inner relay.

外部ツール9は、例えば、ECU5を介して車両3の状態を診断したり、ECU5に内蔵されているソフトウェア(プログラムやデータ)を書き換えたりする車外装置である。
尚、第1バス7の通信プロトコルと、第2バス13の通信プロトコルは、例えばCAN(Controller Area Network:登録商標)であるが、他のプロトコルであっても良い。また、第1バス7は、車載通信システム1の基幹バスに相当し、第2バス13は、車外装置を当該車載通信システム1に接続するための外部バスに相当する。 The external tool 9 is, for example, an external device that diagnoses the state of the vehicle 3 via the ECU 5 and rewrites software (program and data) built in the ECU 5.
The communication protocol of the first bus 7 and the communication protocol of the second bus 13 are, for example, CAN (Controller Area Network: registered trademark), but other protocols may be used. The first bus 7 corresponds to a backbone bus of the in-vehicle communication system 1, and the second bus 13 corresponds to an external bus for connecting an external device to the in-vehicle communication system 1.

この車載通信システム1において、監視ECU17は、悪意のある車外装置からのDoS攻撃を検出して、ゲートウェイ15へ、DoS攻撃が発生したことを示す攻撃通知を送信する。悪意のある車外装置とは、正規の動作をする外部ツール9ではない車外装置である。そして、ゲートウェイ15は、監視ECU17からの攻撃通知を受信すると外内中継を停止する。   In the in-vehicle communication system 1, the monitoring ECU 17 detects a DoS attack from a malicious external device and transmits an attack notification indicating that the DoS attack has occurred to the gateway 15. The malicious external device is an external device that is not the external tool 9 that performs a normal operation. The gateway 15 stops the external / internal relay upon receiving the attack notification from the monitoring ECU 17.

次に、監視ECU17とゲートウェイ15との各々が行う処理の具体的な内容について説明する。尚、監視ECU17が行う処理は、実際には、監視ECU17に備えられたマイクロコンピュータによって実行される処理である。同様に、ゲートウェイ15が行う処理は、実際には、ゲートウェイ15に備えられたマイクロコンピュータによって実行される処理である。   Next, specific contents of processing performed by each of the monitoring ECU 17 and the gateway 15 will be described. Note that the process performed by the monitoring ECU 17 is actually a process executed by a microcomputer provided in the monitoring ECU 17. Similarly, the processing performed by the gateway 15 is actually processing executed by a microcomputer provided in the gateway 15.

〈監視第1処理〉
監視ECU17は、図2の監視第1処理を例えば一定時間毎に行う。
図2に示すように、監視ECU17は、監視第1処理を開始すると、S110にて、自身が接続されている第2バス13を監視して、第2バス13の負荷とドミナント割合とを計測する。 <First monitoring process>
The monitoring ECU 17 performs the first monitoring process of FIG. 2 at regular intervals, for example.
As shown in FIG. 2, when the monitoring ECU 17 starts the monitoring first process, the monitoring ECU 17 monitors the second bus 13 to which the monitoring ECU 17 is connected, and measures the load and the dominant ratio of the second bus 13. To do.

第2バス13の負荷は、第2バス13において単位時間(例えば1秒)当たりに伝送されるデータ量である。また、第2バス13に伝送されるビットの信号としては、優勢であるドミナント信号と、劣勢であるレセッシブ信号とがある。そして、ドミナント割合は、第2バス13において伝送される単位データ量(例えば1バイト)あたりのドミナント信号の割合である。   The load on the second bus 13 is the amount of data transmitted per unit time (for example, 1 second) on the second bus 13. The bit signals transmitted to the second bus 13 include a dominant dominant signal and an inferior recessive signal. The dominant ratio is the ratio of the dominant signal per unit data amount (for example, 1 byte) transmitted on the second bus 13.

そして、監視ECU17は、S120にて、第2バス13の負荷(以下単に、負荷ともいう)が、予め設定された閾値Lth(負荷閾値に相当)以上であるか否かを判定し、負荷が閾値Lth以上でなければ、そのまま当該監視第1処理を終了する。   In S120, the monitoring ECU 17 determines whether or not the load of the second bus 13 (hereinafter also simply referred to as a load) is equal to or greater than a preset threshold value Lth (corresponding to a load threshold value). If it is not greater than or equal to the threshold Lth, the monitoring first process is terminated as it is.

また、監視ECU17は、S120にて、負荷が閾値Lth以上であると判定した場合には、S130に進み、ドミナント割合が、予め設定された閾値Dth(割合閾値に相当)以上であるか否かを判定する。   If the monitoring ECU 17 determines in S120 that the load is equal to or greater than the threshold value Lth, the monitoring ECU 17 proceeds to S130 and determines whether the dominant ratio is equal to or greater than a preset threshold value Dth (corresponding to a ratio threshold value). Determine.

そして、監視ECU17は、ドミナント割合が閾値Dth以上でないと判定した場合には、そのまま当該監視第1処理を終了するが、ドミナント割合が閾値Dth以上であると判定した場合には、S140に進み、DoS攻撃あり(詳しくは、車外装置からのDoS攻撃が発生した)と判定する。そして、監視ECU17は、次のS150にて、ゲートウェイ15に攻撃通知を送信し、その後、当該監視第1処理を終了する。   If the monitoring ECU 17 determines that the dominant ratio is not equal to or greater than the threshold Dth, the monitoring ECU 17 ends the monitoring first process as it is. If the monitoring ECU 17 determines that the dominant ratio is equal to or greater than the threshold Dth, the process proceeds to S140. It is determined that there is a DoS attack (specifically, a DoS attack from an external device has occurred). And monitoring ECU17 transmits attack notification to the gateway 15 in following S150, and complete | finishes the said monitoring 1st process after that.

攻撃通知は、車外装置からのDoS攻撃が発生したことを示す通知であり、本実施形態では、第2バス13において伝送されるフレームのうち、優先度が最も高いフレームである。優先度が最も高いフレームであれば、第2バス13において、他の何れのフレームと衝突しても勝ち残るため、ゲートウェイ15に確実に伝達される。   The attack notification is a notification indicating that a DoS attack has occurred from an external device. In this embodiment, the attack notification is a frame having the highest priority among frames transmitted on the second bus 13. If the frame has the highest priority, it will remain in the second bus 13 even if it collides with any other frame, so that it is reliably transmitted to the gateway 15.

また、監視ECU17は、上記S150で攻撃通知を送信した場合には、その後、後述する図3におけるS250の処理を行うまでは、監視第1処理の実行を中止する。
〈監視第2処理〉
監視ECU17は、図2のS150で攻撃通知を送信すると、その後は、図3の監視第2処理を例えば一定時間毎に行う。 When the monitoring ECU 17 transmits the attack notification in S150, the monitoring ECU 17 stops the monitoring first process until the process of S250 in FIG.
<Monitoring second process>
When the monitoring ECU 17 transmits the attack notification in S150 of FIG. 2, thereafter, the monitoring ECU 17 performs the monitoring second process of FIG. 3 at regular intervals, for example.

図3に示すように、監視ECU17は、監視第2処理を開始すると、S200にて、攻撃通知を送信してから所定時間が経過したか否かを判定する。
本実施形態において、S200で判定する所定時間は、ランダムな時間である。ランダムな時間とは、ランダムに設定される時間であり、例えば、図2のS140でDoS攻撃ありと判定した場合毎にランダムに設定される。 As shown in FIG. 3, when the monitoring second process is started, the monitoring ECU 17 determines whether or not a predetermined time has elapsed since the attack notification was transmitted in S200.
In the present embodiment, the predetermined time determined in S200 is a random time. The random time is a time set at random, and is set at random every time it is determined that there is a DoS attack in S140 of FIG. 2, for example.

そして、監視ECU17は、S200にて、ランダムな時間が経過していないと判定した場合には、そのまま当該監視第2処理を終了するが、ランダムな時間が経過したと判定した場合には(S200:YES)、S210に進む。   If the monitoring ECU 17 determines in S200 that the random time has not elapsed, the monitoring second process immediately ends the monitoring second process, but if it determines that the random time has elapsed (S200). : YES), the process proceeds to S210.

監視ECU17は、S210では、図2のS110と同様に、第2バス13の負荷とドミナント割合とを計測する。そして、監視ECU17は、次のS220にて、第2バス13の負荷が前述の閾値Lth以上であるか否かを判定し、負荷が閾値Lth以上であれば、そのまま当該監視第2処理を終了する。   In S210, the monitoring ECU 17 measures the load of the second bus 13 and the dominant ratio, as in S110 of FIG. Then, in the next S220, the monitoring ECU 17 determines whether or not the load on the second bus 13 is equal to or greater than the above-described threshold value Lth. If the load is equal to or greater than the threshold value Lth, the monitoring second process is terminated as it is. To do.

また、監視ECU17は、S220にて、負荷が閾値Lth以上ではないと判定した場合には、S230に進み、ドミナント割合が前述の閾値Dth以上であるか否かを判定する。そして、監視ECU17は、ドミナント割合が閾値Dth以上であると判定した場合には(S230:YES)、そのまま当該監視第2処理を終了するが、ドミナント割合が閾値Dth以上ではないと判定した場合には(S230:NO)、S240に進む。   If the monitoring ECU 17 determines in S220 that the load is not equal to or greater than the threshold value Lth, the monitoring ECU 17 proceeds to S230 and determines whether or not the dominant ratio is equal to or greater than the aforementioned threshold value Dth. If the monitoring ECU 17 determines that the dominant ratio is equal to or greater than the threshold Dth (S230: YES), the monitoring ECU 17 ends the second monitoring process as it is, but determines that the dominant ratio is not equal to or greater than the threshold Dth. (S230: NO), the process proceeds to S240.

監視ECU17は、S240では、車外装置からのDoS攻撃が止んだ(換言すれば、DoS攻撃が無くなった)と判定する。そして、監視ECU17は、次のS250にて、ゲートウェイ15に終了通知を送信し、その後、当該監視第2処理を終了する。   In S240, the monitoring ECU 17 determines that the DoS attack from the external device has stopped (in other words, the DoS attack has disappeared). Then, the monitoring ECU 17 transmits an end notification to the gateway 15 in the next S250, and thereafter ends the second monitoring process.

終了通知は、車外装置からのDoS攻撃が終了したことを示す通知であり、本実施形態では、第2バス13において伝送されるフレームのうち、例えば優先度が2番目に高いフレームである。   The end notification is a notification indicating that the DoS attack from the external device has ended, and in the present embodiment, for example, the frame having the second highest priority among the frames transmitted on the second bus 13.

また、監視ECU17は、上記S250で終了通知を送信した場合には、その後、図2のS150で攻撃通知を送信するまでは、監視第2処理の実行を中止する。
〈中継停止制御処理〉
ゲートウェイ15は、図4の中継停止制御処理を例えば一定時間毎に行う。 Further, when the monitoring ECU 17 transmits an end notification in S250, the monitoring ECU 17 stops executing the monitoring second process until an attack notification is transmitted in S150 of FIG.
<Relay stop control processing>
The gateway 15 performs the relay stop control process of FIG. 4 at regular intervals, for example.

図4に示すように、ゲートウェイ15は、中継停止制御処理を開始すると、S310にて、外内中継の停止中であるか否かを判定し、外内中継の停止中でないと判定した場合には、S320に進む。   As shown in FIG. 4, when the gateway 15 starts the relay stop control process, the gateway 15 determines whether or not the external / internal relay is stopped in S310, and determines that the external / internal relay is not stopped. Advances to S320.

ゲートウェイ15は、S320では、監視ECU17からの攻撃通知を受信したか否かを判定し、攻撃通知を受信していないと判定した場合には、そのまま当該中継停止制御処理を終了する。   In S320, the gateway 15 determines whether or not the attack notification from the monitoring ECU 17 has been received, and if it determines that the attack notification has not been received, the gateway 15 ends the relay stop control process as it is.

また、ゲートウェイ15は、S320にて、監視ECU17からの攻撃通知を受信したと判定した場合には、S330に進み、外内中継を停止する。そして、その後、当該中継停止制御処理を終了する。尚、ゲートウェイ15による外内中継の停止は、後述するS350で外内中継を開始するまで継続する。   When the gateway 15 determines in S320 that the attack notification from the monitoring ECU 17 has been received, the gateway 15 proceeds to S330 and stops the external / internal relay. Then, the relay stop control process ends. The stoppage of the external relay by the gateway 15 is continued until the external relay is started in S350 described later.

一方、ゲートウェイ15は、上記S310にて、外内中継の停止中であると判定した場合には、S340に進む。
ゲートウェイ15は、S340では、監視ECU17からの終了通知を受信したか否かを判定し、終了通知を受信していないと判定した場合には、そのまま当該中継停止制御処理を終了する。 On the other hand, if the gateway 15 determines in S310 that the external / internal relay is stopped, the gateway 15 proceeds to S340.
In S340, the gateway 15 determines whether or not an end notification from the monitoring ECU 17 has been received. If it is determined that the end notification has not been received, the gateway 15 ends the relay stop control process.

また、ゲートウェイ15は、S340にて、監視ECU17からの終了通知を受信したと判定した場合には、S3540に進み、外内中継を開始する。つまり、停止していた外内中継を再開する。そして、その後、当該中継停止制御処理を終了する。   If the gateway 15 determines in S340 that the end notification from the monitoring ECU 17 has been received, the gateway 15 proceeds to S3540 and starts external / internal relay. In other words, the stopped external / internal relay is resumed. Then, the relay stop control process ends.

以上のような車載通信システム1では、監視ECU17が、車外装置からのDoS攻撃が発生したと判定すると(S120及びS130:YES、S140)、ゲートウェイ15へ、DoS攻撃が発生したことを示す攻撃通知を送信する(S150)。そして、ゲートウェイ15は、攻撃通知を受信すると(S320:YES)、外内中継を停止する(S330)。   In the in-vehicle communication system 1 as described above, when the monitoring ECU 17 determines that a DoS attack from an external device has occurred (S120 and S130: YES, S140), an attack notification indicating that a DoS attack has occurred to the gateway 15 Is transmitted (S150). And gateway 15 will stop outside relay, if an attack notice is received (S320: YES) (S330).

このため、悪意のある車外装置がコネクタ11を介して第2バス13に接続され、その車外装置がDoS攻撃を行った場合に、ゲートウェイ15による外内中継が停止されて、DoS攻撃の影響が無効になる。よって、悪意のある車外装置がDoS攻撃を行ったときに、DoS攻撃の影響を無効にして、セキュリティ性能を高めることができる。   For this reason, when a malicious external device is connected to the second bus 13 via the connector 11 and the external device performs a DoS attack, the internal / external relay by the gateway 15 is stopped, and the DoS attack is affected. become invalid. Therefore, when a malicious external device performs a DoS attack, the influence of the DoS attack can be invalidated to improve the security performance.

また、監視ECU17は、攻撃通知を送信してから所定時間が経過し(S200:YES)、且つ、DoS攻撃が無くなったと判定すると(S220及びS230:NO、S240)、ゲートウェイ15へ、DoS攻撃が終了したことを示す終了通知を送信する(S250)。そして、ゲートウェイ15は、終了通知を受信すると(S340:YES)、外内中継を再開する(S350)。   If the monitoring ECU 17 determines that a predetermined time has elapsed since the attack notification was transmitted (S200: YES) and that the DoS attack has disappeared (S220 and S230: NO, S240), the DoS attack is applied to the gateway 15. An end notification indicating the end is transmitted (S250). When the gateway 15 receives the end notification (S340: YES), the gateway 15 resumes the external / internal relay (S350).

このため、車外装置からのDoS攻撃が発生してゲートウェイ15による外内中継が停止した後、すぐにDoS攻撃が終了したとしても、所定時間は外内中継が停止し続けることとなる。よって、その所定時間内に車外装置がDoS攻撃を再開したとしても、その再開されたDoS攻撃の影響を最初から無効にすることができる。更に、外内中継の停止は、時限性の措置となるため、DoS攻撃を行った車外装置がコネクタ11から外され、その後、正規の外部ツール9がコネクタ11に接続された場合には、その外部ツール9とECU5とのデータ通信が可能となる。   For this reason, even if the DoS attack is terminated immediately after the DoS attack from the external device occurs and the external relay by the gateway 15 is stopped, the external / internal relay continues to stop for a predetermined time. Therefore, even if the out-of-vehicle device resumes the DoS attack within the predetermined time, the effect of the resumed DoS attack can be invalidated from the beginning. Further, the suspension of the external / internal relay is a time-limited measure. Therefore, when the vehicle external device that has performed the DoS attack is disconnected from the connector 11 and then the regular external tool 9 is connected to the connector 11, Data communication between the external tool 9 and the ECU 5 becomes possible.

また、監視ECU17が図3のS200で判定する時間(上記所定時間)は、ランダムな時間であるため、セキュリティ性能を一層高くすることができる。
上記所定時間がランダムな時間であれば、周期的なDoS攻撃に対する耐性を向上させることができる。具体的には、例えば、外内中継が停止から再開された直後にDoS攻撃が再開されて、外内中継が停止されるまでの間に不要なデータが第1バス7へ中継されてしまう、という状態が繰り返されてしまうことを防止することができる。また、外内中継が停止される時間が、悪意のある者に見破られることもなくなる。 Moreover, since the time (the predetermined time) determined by the monitoring ECU 17 in S200 in FIG. 3 is a random time, the security performance can be further enhanced.
If the predetermined time is a random time, resistance to a periodic DoS attack can be improved. Specifically, for example, immediately after the outside relay is restarted from the stop, the DoS attack is restarted, and unnecessary data is relayed to the first bus 7 until the outside relay is stopped. It can be prevented that the state is repeated. Moreover, the time when the outside / internal relay is stopped is not overlooked by a malicious person.

また、監視ECU17は、第2バス13の負荷が所定の閾値Lth以上になった場合に、DoS攻撃が発生したと判定するようになっている。このため、DoS攻撃の発生を正しく判定することができる。   In addition, the monitoring ECU 17 determines that a DoS attack has occurred when the load on the second bus 13 becomes equal to or greater than a predetermined threshold Lth. For this reason, it is possible to correctly determine the occurrence of a DoS attack.

更に、監視ECU17は、第2バスの負荷が閾値Lth以上になり、且つ、第2バス13において伝送されるドミナント信号の割合が所定の閾値Dth以上になった場合に、DoS攻撃が発生したと判定するようになっている。このため、DoS攻撃の発生を一層正しく判定することができる。ドミナント通信とレセッシブ信号とのうち、通信に対する影響は、ドミナント信号の方が大きいため、DoS攻撃を行う車外装置は、ドミナント信号の割合を大きくしてデータを送信してくると予想されるからである。   Furthermore, the monitoring ECU 17 indicates that a DoS attack has occurred when the load on the second bus exceeds the threshold Lth and the ratio of the dominant signal transmitted on the second bus 13 exceeds the predetermined threshold Dth. It comes to judge. For this reason, the occurrence of a DoS attack can be determined more correctly. The dominant signal and the recessive signal have a greater impact on the communication because the dominant signal is larger, so it is expected that an out-of-vehicle device performing a DoS attack will transmit data with a larger proportion of the dominant signal. is there.

また、監視ECU17が送信する攻撃通知は、優先度が最も高いフレームであるため、その攻撃通知をゲートウェイ15に確実に伝達させることができ、延いては、外内中継の停止が確実に実施されるようにすることができる。   Further, since the attack notification transmitted by the monitoring ECU 17 is the frame having the highest priority, the attack notification can be reliably transmitted to the gateway 15, and the stoppage of the external / internal relay is surely performed. You can make it.

《変形例1》
例えば、図2の処理では、S130を削除して、S120でYESと判定すると、S140へ進むようにしても良い。その場合、図3のS230も、同様に削除することができる。 << Modification 1 >>
For example, in the process of FIG. 2, if S130 is deleted and YES is determined in S120, the process may proceed to S140. In that case, S230 in FIG. 3 can be deleted in the same manner.

《変形例2》
図3の処理では、S220でYESと判定した場合にS230の判定を行い、そのS230でNOと判定するか、あるいは、S220でNOと判定した場合に、S240へ進むようにしても良い。つまり、第2バス13の負荷が閾値Lth以上ではないと判定するか、あるいは、第2バス13におけるドミナント割合が閾値Dth以上ではないと判定した場合に、DoS攻撃が止んだと判定するようになっていても良い。 << Modification 2 >>
In the process of FIG. 3, the determination of S230 may be performed if YES is determined in S220, and the determination may be NO in S230, or if the determination is NO in S220, the process may proceed to S240. That is, when it is determined that the load of the second bus 13 is not equal to or greater than the threshold value Lth, or when it is determined that the dominant ratio in the second bus 13 is not equal to or greater than the threshold value Dth, it is determined that the DoS attack has stopped. It may be.

《変形例3》
図3の処理では、S200を、S240の後、あるいは、S230とS240との間に移動しても良い。 << Modification 3 >>
In the process of FIG. 3, S200 may be moved after S240 or between S230 and S240.

《変形例4》
図3のS250で送信される終了通知を、図2のS150で送信される攻撃通知と同じフレームにしても良い。つまり、攻撃通知と終了通知とを、同じ共用のフレーム(換言すれば、共用の通知)にしても良い。その場合、ゲートウェイ15は、図4のS320とS340との各々では、上記共用のフレームを受信したか否かを判定すれば良い。 << Modification 4 >>
The end notification transmitted in S250 of FIG. 3 may be the same frame as the attack notification transmitted in S150 of FIG. That is, the attack notification and the end notification may be the same shared frame (in other words, the shared notification). In that case, the gateway 15 may determine whether or not the shared frame has been received in each of S320 and S340 of FIG.

《変形例5》
ゲートウェイ15は、監視ECU17からの終了通知に拘わらず、攻撃通知を受信して外内中継を停止してから所定の待ち時間が経過すると、中継を再開するようになっていても良い。更に、その場合にも、上記待ち時間をランダムな時間にすれば、周期的なDoS攻撃に対する耐性を向上させることができる。 << Modification 5 >>
Regardless of the end notification from the monitoring ECU 17, the gateway 15 may resume the relay when a predetermined waiting time elapses after receiving the attack notification and stopping the external / internal relay. Furthermore, even in that case, if the waiting time is set to a random time, resistance to a periodic DoS attack can be improved.

以上、本発明の実施形態について説明したが、本発明は上記実施形態(変形例を含む)に限定されることなく、種々の形態を採り得る。また、前述の数値も一例であり他の値でも良い。また、上記実施形態における1つの構成要素が有する機能を複数の構成要素として分散させたり、複数の構成要素が有する機能を1つの構成要素に統合させたりしてもよい。また、上記実施形態の構成の少なくとも一部を、同様の機能を有する公知の構成に置き換えてもよい。また、上記実施形態の構成の一部を省略してもよい。なお、特許請求の範囲に記載した文言によって特定される技術思想に含まれるあらゆる態様が本発明の実施形態である。また、上述した車載通信システムの他、当該車載通信システムを構成する監視装置、中継装置、監視装置又は中継装置としてコンピュータを機能させるためのプログラム、このプログラムを記録した媒体、DoS攻撃の無効化方法など、種々の形態で本発明を実現することもできる。   As mentioned above, although embodiment of this invention was described, this invention can take a various form, without being limited to the said embodiment (a modification is included). The above-mentioned numerical values are also examples, and other values may be used. In addition, the functions of one component in the above embodiment may be distributed as a plurality of components, or the functions of a plurality of components may be integrated into one component. In addition, at least a part of the configuration of the above embodiment may be replaced with a known configuration having a similar function. Moreover, you may abbreviate | omit a part of structure of the said embodiment. In addition, all the aspects included in the technical idea specified by the wording described in the claims are embodiments of the present invention. In addition to the above-described in-vehicle communication system, a monitoring apparatus, a relay apparatus, a monitoring apparatus, a program for causing a computer to function as the relay apparatus, a medium storing the program, and a DoS attack invalidating method The present invention can also be realized in various forms.

1…車載通信システム、3…車両、5…ECU(車載装置)、7…第1バス、9…外部ツール(車外装置)、11…コネクタ、13…第2バス、15…ゲートウェイ(中継装置)、17…監視ECU(監視装置)   DESCRIPTION OF SYMBOLS 1 ... In-vehicle communication system, 3 ... Vehicle, 5 ... ECU (on-vehicle apparatus), 7 ... 1st bus, 9 ... External tool (external device), 11 ... Connector, 13 ... 2nd bus, 15 ... Gateway (relay device) , 17 ... monitoring ECU (monitoring device)

Claims (6)

第1バス(7)を介して通信可能に接続された複数の車載装置(5)と、
車両(3)の外部に存在する装置である車外装置(9)がコネクタ(11)を介して接続される第2バス(13)と、
前記第1バス及び前記第2バスに接続され、前記コネクタを介して前記第2バスに接続された前記車外装置と前記車載装置との間のデータ通信を中継する中継装置(15)と、
を備える車載通信システム(1)において、
前記第2バスに接続されて、前記車外装置からのDoS攻撃(Denial of Service attack)を検出する監視装置(17)を備え、
前記監視装置は、前記DoS攻撃が発生したと判定すると、前記中継装置へ、前記DoS攻撃が発生したことを示す攻撃通知を送信し(S110〜S150)、
前記中継装置は、前記攻撃通知を受信すると、前記中継を停止するように構成され(S320,S330)、
更に、前記攻撃通知は、前記第2バスにおいて伝送されるフレームのうち、優先度が最も高いフレームであること、
を特徴とする車載通信システム。 A plurality of in-vehicle devices (5) communicably connected via the first bus (7);
A second bus (13) to which an external device (9), which is a device existing outside the vehicle (3), is connected via a connector (11);
A relay device (15) connected to the first bus and the second bus and relaying data communication between the vehicle-mounted device and the vehicle-mounted device connected to the second bus via the connector;
In-vehicle communication system (1) comprising:
A monitoring device (17) connected to the second bus for detecting a DoS attack (Denial of Service attack) from the external device;
When the monitoring device determines that the DoS attack has occurred, the monitoring device transmits an attack notification indicating that the DoS attack has occurred to the relay device (S110 to S150),
The relay device is configured to stop the relay upon receiving the attack notification (S320, S330),
Further, the attack notification is a frame having the highest priority among frames transmitted on the second bus,
An in-vehicle communication system characterized by the above. 請求項1に記載の車載通信システムにおいて、
前記監視装置は、前記攻撃通知を送信してから所定時間が経過し、且つ、前記DoS攻撃が無くなったと判定すると、前記中継装置へ、前記DoS攻撃が終了したことを示す終了通知を送信し(S200〜S250)、
前記中継装置は、前記終了通知を受信すると、前記中継を再開すること(S340,S350)、
を特徴とする車載通信システム。 The in-vehicle communication system according to claim 1,
When the monitoring apparatus determines that a predetermined time has elapsed since the transmission of the attack notification and the DoS attack has disappeared, the monitoring apparatus transmits an end notification indicating that the DoS attack has ended to the relay apparatus ( S200 to S250),
When the relay device receives the end notification, the relay device restarts the relay (S340, S350),
An in-vehicle communication system characterized by the above. 請求項2に記載の車載通信システムにおいて、The in-vehicle communication system according to claim 2,
前記攻撃通知と前記終了通知は、同じ共用のフレームであること、  The attack notification and the end notification are the same shared frame;
を特徴とする車載通信システム。  An in-vehicle communication system characterized by the above. 請求項2又は請求項3に記載の車載通信システムにおいて、
前記所定時間はランダムな時間であること、
を特徴とする車載通信システム。 In the in-vehicle communication system according to claim 2 or claim 3 ,
The predetermined time is a random time;
An in-vehicle communication system characterized by the above. 請求項1ないし請求項の何れか1項に記載の車載通信システムにおいて、
前記監視装置は、前記第2バスの負荷が所定の負荷閾値以上になった場合に、前記DoS攻撃が発生したと判定すること(S120,S140)、
を特徴とする車載通信システム。 The in-vehicle communication system according to any one of claims 1 to 4 ,
The monitoring device determines that the DoS attack has occurred when the load on the second bus exceeds a predetermined load threshold (S120, S140),
An in-vehicle communication system characterized by the above. 請求項に記載の車載通信システムにおいて、
前記監視装置は、前記第2バスの負荷が前記負荷閾値以上になり、且つ、前記第2バスにおいて伝送されるドミナント信号の割合が所定の割合閾値以上になった場合に、前記DoS攻撃が発生したと判定すること(S120,S130,S140)、
を特徴とする車載通信システム。 The in-vehicle communication system according to claim 5 ,
The monitoring device generates the DoS attack when the load on the second bus exceeds the load threshold and the ratio of dominant signals transmitted on the second bus exceeds a predetermined ratio threshold. (S120, S130, S140)
An in-vehicle communication system characterized by the above.
JP2015017041A 2015-01-30 2015-01-30 In-vehicle communication system Expired - Fee Related JP6369341B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015017041A JP6369341B2 (en) 2015-01-30 2015-01-30 In-vehicle communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015017041A JP6369341B2 (en) 2015-01-30 2015-01-30 In-vehicle communication system

Publications (2)

Publication Number Publication Date
JP2016143963A JP2016143963A (en) 2016-08-08
JP6369341B2 true JP6369341B2 (en) 2018-08-08

Family

ID=56570850

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015017041A Expired - Fee Related JP6369341B2 (en) 2015-01-30 2015-01-30 In-vehicle communication system

Country Status (1)

Country Link
JP (1) JP6369341B2 (en)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018133721A (en) * 2017-02-16 2018-08-23 クラリオン株式会社 On-vehicle gateway device and communication interruption method
JP6743778B2 (en) * 2017-07-19 2020-08-19 株式会社オートネットワーク技術研究所 Receiver, monitor and computer program
JP6968722B2 (en) 2018-02-02 2021-11-17 フォルシアクラリオン・エレクトロニクス株式会社 In-vehicle device, incident monitoring method
US11599640B2 (en) 2018-04-10 2023-03-07 Mitsubishi Electric Corporation Security device and embedded device
JP7035791B2 (en) * 2018-05-17 2022-03-15 オムロン株式会社 Anomaly detection device and anomaly detection method to detect cyber attacks
CN112823495B (en) * 2018-10-26 2023-02-28 住友电气工业株式会社 Detection device, gateway device, detection method, and detection program
US20220024471A1 (en) * 2018-11-28 2022-01-27 Autonetworks Technologies, Ltd. Monitoring apparatus, monitoring program, and monitoring method
CN111669352B (en) * 2019-03-08 2022-04-19 广州汽车集团股份有限公司 Method and device for preventing denial of service attack
CN114051744A (en) * 2019-07-12 2022-02-15 日立安斯泰莫株式会社 Gateway device

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4023712B2 (en) * 2001-10-19 2007-12-19 株式会社アイエフリサーチ Homepage defense method
JP2003244170A (en) * 2002-02-15 2003-08-29 Denso Corp Communication abnormality detector
JP2006287738A (en) * 2005-04-01 2006-10-19 Fujitsu Ten Ltd Network system
JP2008278357A (en) * 2007-05-02 2008-11-13 Ionos:Kk Communication line disconnecting apparatus
JP5594255B2 (en) * 2011-08-10 2014-09-24 トヨタ自動車株式会社 Vehicle network communication management device
JP5720618B2 (en) * 2011-10-31 2015-05-20 株式会社デンソー Security equipment
KR101371902B1 (en) * 2012-12-12 2014-03-10 현대자동차주식회사 Apparatus for detecting vehicle network attcak and method thereof

Also Published As

Publication number Publication date
JP2016143963A (en) 2016-08-08

Similar Documents

Publication Publication Date Title
JP6369341B2 (en) In-vehicle communication system
US20210312043A1 (en) Vehicle communications bus data security
JP6477281B2 (en) In-vehicle relay device, in-vehicle communication system, and relay program
US9380070B1 (en) Intrusion detection mechanism
KR102030397B1 (en) Network monitoring device
US10462161B2 (en) Vehicle network operating protocol and method
CN111147437B (en) Attributing bus disconnect attacks based on erroneous frames
US11394726B2 (en) Method and apparatus for transmitting a message sequence over a data bus and method and apparatus for detecting an attack on a message sequence thus transmitted
JP6777188B2 (en) Relay device
US20210258187A1 (en) Electronic control device, electronic control method, and recording medium
JP2021005821A (en) Abnormality detection device
JP6176199B2 (en) Transmission line abnormality detection device
CN110915170B (en) Ecu
JP6369334B2 (en) In-vehicle network
JP6404848B2 (en) Monitoring device and communication system
JP6913869B2 (en) Surveillance equipment, surveillance systems and computer programs
JP2015192216A (en) Communication device and communication method
JP7103197B2 (en) Communications system
WO2020105657A1 (en) Onboard relay device and relay method
JP2020096320A (en) Illegal signal processing device
JP2020096322A (en) Illegal signal processing device
JP2011229079A (en) Electronic control unit
JP5545125B2 (en) Communication device
JP2006254306A (en) Communication system
JP2013229670A (en) Communication control device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170602

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180411

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180417

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180530

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180612

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180625

R151 Written notification of patent or utility model registration

Ref document number: 6369341

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees