JP6628005B1 - データ通信制御装置、データ通信制御プログラムおよび車両制御システム - Google Patents
データ通信制御装置、データ通信制御プログラムおよび車両制御システム Download PDFInfo
- Publication number
- JP6628005B1 JP6628005B1 JP2019516551A JP2019516551A JP6628005B1 JP 6628005 B1 JP6628005 B1 JP 6628005B1 JP 2019516551 A JP2019516551 A JP 2019516551A JP 2019516551 A JP2019516551 A JP 2019516551A JP 6628005 B1 JP6628005 B1 JP 6628005B1
- Authority
- JP
- Japan
- Prior art keywords
- data
- discard
- attack
- information
- domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims abstract description 137
- 230000005540 biological transmission Effects 0.000 claims description 152
- 230000002159 abnormal effect Effects 0.000 claims description 24
- 238000013500 data storage Methods 0.000 claims description 17
- 230000007257 malfunction Effects 0.000 claims description 8
- 239000002699 waste material Substances 0.000 claims description 5
- 230000006378 damage Effects 0.000 abstract 2
- 230000006870 function Effects 0.000 description 46
- 238000001514 detection method Methods 0.000 description 40
- 238000000034 method Methods 0.000 description 21
- 230000008569 process Effects 0.000 description 18
- 238000010586 diagram Methods 0.000 description 12
- 238000012545 processing Methods 0.000 description 11
- 238000004088 simulation Methods 0.000 description 11
- 230000000694 effects Effects 0.000 description 6
- 239000000284 extract Substances 0.000 description 6
- 230000007547 defect Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000009474 immediate action Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
車載ネットワークで攻撃データが検知された場合に、車載ネットワークでのデータ通信を制御するデータ通信制御装置、データ通信制御プログラムおよび車両制御システムを提供する。本発明に係るデータ通信制御装置等は、車載ネットワークで送信される第1データが廃棄された場合に車両の制御に不具合を生じさせる第1廃棄候補データを予め特定しておき、第1廃棄候補データを示す情報である第1廃棄情報と、第1データを示す情報である第1データ識別情報と、を対応づけて記憶している。車載ネットワークで検知された攻撃データの攻撃データ識別情報を取得し、取得した攻撃データ識別情報と一致する第1データ識別情報に対応づけられた第1廃棄情報の示す第1廃棄候補データを車載ネットワークから廃棄するデータとして決定し、廃棄する指示を行う。
Description
本発明は、車載ネットワークで攻撃データが検知された場合に、車載ネットワークのデータ通信を制御するデータ通信制御装置、データ通信制御プログラムおよび車両制御システムに関する。
車両は、エンジンおよびステアリング装置などの複数の車載装置と、車載装置を制御するための複数のECU(Electronic Control Unit)を備えている。車載装置はそれぞれ、複数あるECUの1つと通信可能に接続されている。また車両は複数のセンサを備えており、複数のセンサと複数のECUとは車載ネットワークを介して接続されている。
ECUは、センサが生成する車両の状態量またはユーザの操作量を示すデータを受信し、データの示す状態量または操作量に対応した制御信号を生成し、当該ECUに接続されている車載装置を制御する。また、ECUは制御対象である車載装置の状態量を示すデータを生成し、他のECUへ送信する。他のECUは当該データに基づいて他の車載装置を制御する。
一方、車載装置に異常な動作を起こさせて、車両の動作を不安定にするような攻撃が可能であると指摘されている。このような攻撃は、センサまたはECUのプログラムを不正なプログラムに書き換えることにより行われる。ここで、プログラムが不正なプログラムに書き換えられたセンサおよびECUを攻撃データ送信機器と呼ぶ。
攻撃データ送信機器は、車載装置に異常な動作を起こさせるデータ(以下、攻撃データという)として、本来の車両の状態量または制御対象の車載装置の本来の状態量と異なる状態量を示す異常なデータを生成し、ECUへ送信する。また、本来のユーザの操作量と異なる操作量を示す異常なデータを生成し、ECUへ送信する。攻撃データを受信したECUはこの攻撃データに基づいて異常な制御信号を生成し、車載装置は、異常な制御信号に基づいて異常な動作を行う。
攻撃データ送信機器は、車載装置に異常な動作を起こさせるデータ(以下、攻撃データという)として、本来の車両の状態量または制御対象の車載装置の本来の状態量と異なる状態量を示す異常なデータを生成し、ECUへ送信する。また、本来のユーザの操作量と異なる操作量を示す異常なデータを生成し、ECUへ送信する。攻撃データを受信したECUはこの攻撃データに基づいて異常な制御信号を生成し、車載装置は、異常な制御信号に基づいて異常な動作を行う。
上記のような攻撃に対して、車載ネットワークで送信される攻撃データを検知し、廃棄する攻撃データ廃棄装置がある(特許文献1)。この攻撃データ廃棄装置は、車載ネットワークに接続されており、車載ネットワークで送信されるデータを監視している。また攻撃データ廃棄装置は、正常なデータと攻撃データとを判別するための攻撃データ検知ルールを記憶しており、攻撃データ検知ルールに基づいて車載ネットワークで送信されるデータが攻撃データであるか否かを判定し、攻撃データの検知および廃棄を行う。
特許文献1の攻撃データ廃棄装置は、記憶している攻撃データ検知ルールに基づいて、車載ネットワークで送信されるデータの中から攻撃データを検知して、廃棄する。
この攻撃データ廃棄装置を用いて攻撃データを検知および廃棄した場合、当該攻撃データが用いられることによる車載装置の異常な動作を防止することはできる。しかし、攻撃データを廃棄したとしても、ECUは、本来、攻撃データ送信機器から送信されるべきであった正常なデータを受信できるわけではなく、正常なデータを受信できないことによって車載装置に対する適切な制御が行えない場合がある。
またECUは、適切に制御が行えなかった車載装置の状態量を示すデータを生成し、他のECUへ送信する。他のECUは、当該データを用いて他の車載装置を制御するため、他の車載装置もまた、適切な制御が行えない場合がある。
この攻撃データ廃棄装置を用いて攻撃データを検知および廃棄した場合、当該攻撃データが用いられることによる車載装置の異常な動作を防止することはできる。しかし、攻撃データを廃棄したとしても、ECUは、本来、攻撃データ送信機器から送信されるべきであった正常なデータを受信できるわけではなく、正常なデータを受信できないことによって車載装置に対する適切な制御が行えない場合がある。
またECUは、適切に制御が行えなかった車載装置の状態量を示すデータを生成し、他のECUへ送信する。他のECUは、当該データを用いて他の車載装置を制御するため、他の車載装置もまた、適切な制御が行えない場合がある。
以上のように、車載装置に異常な動作を起こさせるような攻撃を受けた場合に特許文献1の攻撃データ廃棄装置を用いて車載ネットワークの攻撃データを廃棄したとしても、正常なデータが送信されていないことに伴う影響が、他のECUの制御に波及して、車両の制御に不具合を生じさせてしまうという問題があった。
本発明は、上記のような課題を解決するためになされたものであり、車載ネットワークで攻撃データを廃棄した場合に、攻撃データ送信機器から正常なデータが送信されないことによって適切な制御を行えなかったECUの生成するデータが、他のECUの制御に用いられて、車両の制御に不具合を生じさせる可能性を低減するデータ通信制御装置、データ通信制御プログラムおよび車両制御システムを提供することを目的とする。
本発明に係るデータ通信制御装置は、車載ネットワークで送信され車両の制御に用いられる複数のデータで構成されるデータ群の中に、車両に異常な動作を起こさせる攻撃データが検知された場合に、攻撃データをデータ群の中から識別するための情報である攻撃データ識別情報を取得する攻撃データ情報取得部と、データ群に含まれ、第1データ送信機器から送信される第1データを前記データ群の中から識別するための情報である第1データ識別情報を記憶し、第1データが廃棄された場合に車両の制御に不具合を生じさせるデータである第1廃棄候補データを示す情報である第1廃棄情報を、第1データ識別情報と対応づけて記憶する廃棄データ記憶部と、攻撃データ情報取得部が攻撃データ識別情報を取得した場合、かつ、攻撃データ識別情報と第1データ識別情報が一致する場合、第1データ識別情報に対応付けられた第1廃棄情報を廃棄データ記憶部から読み出し、第1廃棄情報が示す第1廃棄候補データを、車載ネットワークから廃棄するデータである廃棄データとして決定する廃棄データ決定部と、廃棄データ決定部が決定した廃棄データを車載ネットワークから廃棄する指示を送信するデータ廃棄指示部と、を備え、第1データ送信機器を含む複数のデータ送信機器が属する第1ドメインは、第1データが廃棄された場合に、ドメインの機能に不具合が生じるドメインであり、第1廃棄情報は、第1ドメインに属するすべてのデータ送信機器から送信されるデータを示す情報であることを特徴とするものである。
本発明に係るデータ通信制御プログラムは、車載ネットワークに接続されるネットワーク構成装置を、車載ネットワークで送信され車両の制御に用いられる複数のデータで構成されるデータ群の中に、車両に異常な動作を起こさせる攻撃データが検知された場合に、攻撃データをデータ群の中から識別するための情報である攻撃データ識別情報を取得する攻撃データ情報取得部、データ群に含まれ、第1データ送信機器から送信される第1データをデータ群の中から識別するための情報である第1データ識別情報を記憶し、第1データが廃棄された場合に車両の制御に不具合を生じさせるデータである第1廃棄候補データを示す情報である第1廃棄情報を、第1データ識別情報と対応づけて記憶する廃棄データ記憶部、攻撃データ情報取得部が攻撃データ識別情報を取得した場合、かつ、攻撃データ識別情報と第1データ識別情報が一致する場合、第1データ識別情報に対応付けられた第1廃棄情報を廃棄データ記憶部から読み出し、第1廃棄情報が示す第1廃棄候補データを、車載ネットワークから廃棄するデータである廃棄データとして決定する廃棄データ決定部、廃棄データ決定部が決定した廃棄データを車載ネットワークから廃棄する指示を送信するデータ廃棄指示部、として機能させるデータ通信制御プログラムであって、第1データ送信機器を含む複数のデータ送信機器が属する第1ドメインは、第1データが廃棄された場合に、ドメインの機能に不具合が生じるドメインであり、第1廃棄情報は、第1ドメインに属するすべてのデータ送信機器から送信されるデータを示す情報であることを特徴とするものである。
本発明に係る車両制御システムは、上記のデータ通信制御装置と、車載ネットワークに設けられ、第1データを受信して第1廃棄候補データを送信するデータ送信機器と、を備え、データ通信制御装置のデータ廃棄指示部は、データ送信機器へ廃棄データを廃棄する指示を送信し、データ送信機器は指示をデータ廃棄指示部から受信した場合に、車載ネットワークへの廃棄データの送信を中止するものである。
廃棄データ記憶部には、第1データ識別情報と第1廃棄情報とが対応づけて記憶されている。廃棄データ記憶部に記憶された第1データ識別情報と第1廃棄情報との対応関係に基づいて、第1データが廃棄された場合に第1廃棄候補データが車両の制御に不具合を生じさせるデータであると特定できる。
よって、攻撃データが検知された場合に、上記対応関係に基づいて第1廃棄候補データを特定し、廃棄するように決定および指示することによって、車両の制御に不具合を生じさせる可能性を低減することが可能となる。
よって、攻撃データが検知された場合に、上記対応関係に基づいて第1廃棄候補データを特定し、廃棄するように決定および指示することによって、車両の制御に不具合を生じさせる可能性を低減することが可能となる。
実施の形態1
以下、図1から図7を参照し、本発明の実施の形態1について説明する。
図1は、本発明の実施の形態1に係る車両制御システム100の構成を示すブロック図である。まず車両制御システム100の概要を説明し、その後、車両制御システム100に含まれる各構成要素について説明する。
以下、図1から図7を参照し、本発明の実施の形態1について説明する。
図1は、本発明の実施の形態1に係る車両制御システム100の構成を示すブロック図である。まず車両制御システム100の概要を説明し、その後、車両制御システム100に含まれる各構成要素について説明する。
車両制御システム100は、データ通信制御装置1、攻撃検知装置2、複数のブリッジ3、複数のECU4、複数のセンサ5それぞれが通信線6により通信可能に接続された車載ネットワークにより構成されており、車両に搭載された複数の車載装置(不図示)の制御を行うものである。
車両には、エンジン、ステアリング装置、ブレーキ装置、エアコンおよびナビゲーション装置など電子制御される様々な車載装置が搭載されている。複数の車載装置はそれぞれ、ECU4の1つと通信可能に接続されている。ECU4は、車載ネットワークで送信される車両の状態量を示すデータまたはユーザの操作量を示すデータを受信して、当該データに基づいて自身と接続されている車載装置の制御を行う。車両の状態量を示すデータまたはユーザの操作量を示すデータは、ECU4またはセンサ5により生成され、ブリッジ3を介して、車載装置の制御を行うECU4へ送信される。
上記のように、車両制御システム100は、各ECU4が制御に必要なデータを送受信して個々に車載装置の制御を行うことにより、車両全体の制御を行っている。
上記のように、車両制御システム100は、各ECU4が制御に必要なデータを送受信して個々に車載装置の制御を行うことにより、車両全体の制御を行っている。
なお、本発明の実施の形態1では、車両の状態量を示すデータまたはユーザの操作量を示すデータを生成して他のECU4へ送信するECU4およびセンサ5をデータ送信機器と呼ぶ場合がある。またこれらのデータを受信して制御対象の車載装置の制御を行うECU4を制御機器と呼ぶ場合がある。ECU4はデータ送信機器にも、制御機器にもなりうるが、ECU4がデータを送信する機能を実行している場合は、当該ECU4をデータ送信機器と呼び、受信したデータに基づいて車載装置を制御する機能を実行している場合は、当該ECU4を制御機器と呼ぶこととする。
ここで、車両の状態量を示すデータは、主に車両の走行状態または車内環境の状態を示すものであるが、車両そのものの状態に限らず、車両周辺の状態を示すデータまたは車両の位置情報を示すデータも含まれる。
当該データの具体例として、車速のデータ、エンジンの回転数のデータ、車輪の操舵角のデータおよび車内温度のデータなどがある。また、車両前方に向けて送信された超音波の反射波に関するデータおよび車両の位置座標のデータなどがある。
ユーザの操作量を示すデータは、ユーザが車両を操作した場合の操作量を示すデータであり、例えばハンドルの回転角を示すデータ、アクセルの踏み込み量を示すデータおよびエアコンの設定温度のデータなどがある。
また、これらのデータは、センサ5やECU4によって生成され、車載ネットワークに送信されるものである。例えば、センサ5が測定した状態量を示すデータ(測定データ)がある。また測定データに基づいてECU4が算出した状態量を示すデータがある。さらに、特定の車載装置を制御するECU4が生成する当該車載装置の状態量を示すデータがある。
以上のような車両の状態量を示すデータおよび操作量を示すデータは、車載ネットワークで送信され車両の制御に用いられるデータであり、これらをまとめてデータ群と呼ぶ。
当該データの具体例として、車速のデータ、エンジンの回転数のデータ、車輪の操舵角のデータおよび車内温度のデータなどがある。また、車両前方に向けて送信された超音波の反射波に関するデータおよび車両の位置座標のデータなどがある。
ユーザの操作量を示すデータは、ユーザが車両を操作した場合の操作量を示すデータであり、例えばハンドルの回転角を示すデータ、アクセルの踏み込み量を示すデータおよびエアコンの設定温度のデータなどがある。
また、これらのデータは、センサ5やECU4によって生成され、車載ネットワークに送信されるものである。例えば、センサ5が測定した状態量を示すデータ(測定データ)がある。また測定データに基づいてECU4が算出した状態量を示すデータがある。さらに、特定の車載装置を制御するECU4が生成する当該車載装置の状態量を示すデータがある。
以上のような車両の状態量を示すデータおよび操作量を示すデータは、車載ネットワークで送信され車両の制御に用いられるデータであり、これらをまとめてデータ群と呼ぶ。
また車両制御システム100は、車載装置に異常な動作を起こさせて、車両の動作を不安定にするような攻撃に対処するために、データ通信制御装置1および攻撃検知装置2を備えている。
上記の攻撃は、ECU4またはセンサ5のプログラムを不正なプログラムに書き換えることにより行われる。不正にプログラムを書き換えられたECU4またはセンサ5(攻撃データ送信機器)は、車載装置に異常な動作を起こさせるための攻撃データを生成し、制御機器へ送信する。制御機器は攻撃データを用いて、車載装置を制御するための異常な制御信号を生成し、車載装置は異常な制御信号に基づいて異常な動作を行う。
また上記の攻撃の他の態様として、車両制御システム100が外部との通信が可能なものである場合、外部より攻撃データを送信することにより、制御機器に異常な制御信号を生成させ、車載装置に異常な動作を行わせる場合もある。
上記の攻撃は、ECU4またはセンサ5のプログラムを不正なプログラムに書き換えることにより行われる。不正にプログラムを書き換えられたECU4またはセンサ5(攻撃データ送信機器)は、車載装置に異常な動作を起こさせるための攻撃データを生成し、制御機器へ送信する。制御機器は攻撃データを用いて、車載装置を制御するための異常な制御信号を生成し、車載装置は異常な制御信号に基づいて異常な動作を行う。
また上記の攻撃の他の態様として、車両制御システム100が外部との通信が可能なものである場合、外部より攻撃データを送信することにより、制御機器に異常な制御信号を生成させ、車載装置に異常な動作を行わせる場合もある。
ここで、攻撃データ送信機器が生成する攻撃データおよび外部から送信されてくる攻撃データには種々のものが考えられるが、車載装置に異常な動作を起こさせるためものとして、次のような攻撃データが想定される。
攻撃データは、車載装置に異常な動作を起こさせるためものであるから、攻撃対象とする車載装置に接続されたECU4で受信されるものであることが必要である。そのため、攻撃データの識別子およびデータ長などには、正常なデータと同様のものが用いられる。一方、攻撃データが示す車両の状態量またはユーザの操作量には、正常な状態量または操作量とは異なるものが用いられる。
攻撃データは、車載装置に異常な動作を起こさせるためものであるから、攻撃対象とする車載装置に接続されたECU4で受信されるものであることが必要である。そのため、攻撃データの識別子およびデータ長などには、正常なデータと同様のものが用いられる。一方、攻撃データが示す車両の状態量またはユーザの操作量には、正常な状態量または操作量とは異なるものが用いられる。
車両制御システム100では、上記の攻撃に対して、次のように対処している。
攻撃検知装置2は、攻撃データ送信機器または外部から送信された攻撃データを検知すると、車載ネットワークで送信され車両の制御に用いられるデータ群の中から攻撃データを識別するための情報である攻撃データ識別情報を、攻撃データから抽出し、ブリッジ3を介して、データ通信制御装置1へ送信する。
データ通信制御装置1は、攻撃データ識別情報を取得し、攻撃データを廃棄することに伴い車載装置の制御に不具合を生じさせるデータを廃棄するように決定し、当該データを廃棄する指示をブリッジ3へ送信する。
上記のようにデータ通信制御装置1および攻撃検知装置2が機能することにより、車両制御システム100は、車両の動作を不安定にするような攻撃に対処している。
攻撃検知装置2は、攻撃データ送信機器または外部から送信された攻撃データを検知すると、車載ネットワークで送信され車両の制御に用いられるデータ群の中から攻撃データを識別するための情報である攻撃データ識別情報を、攻撃データから抽出し、ブリッジ3を介して、データ通信制御装置1へ送信する。
データ通信制御装置1は、攻撃データ識別情報を取得し、攻撃データを廃棄することに伴い車載装置の制御に不具合を生じさせるデータを廃棄するように決定し、当該データを廃棄する指示をブリッジ3へ送信する。
上記のようにデータ通信制御装置1および攻撃検知装置2が機能することにより、車両制御システム100は、車両の動作を不安定にするような攻撃に対処している。
次に、車両制御システム100に含まれる各構成要素について説明する。
データ通信制御装置1は、車載ネットワークで送信されるデータの廃棄を指示するものであり、車載ネットワークに接続されたECUにより構成されている。
図1に示されるように、データ通信制御装置1は、通信線6によってブリッジ3に接続され、ブリッジ3を介して攻撃検知装置2、ECU4、およびセンサ5とデータ通信を行う。
以下、図2を参照して、データ通信制御装置1の機能構成を説明する。
図1に示されるように、データ通信制御装置1は、通信線6によってブリッジ3に接続され、ブリッジ3を介して攻撃検知装置2、ECU4、およびセンサ5とデータ通信を行う。
以下、図2を参照して、データ通信制御装置1の機能構成を説明する。
図2は、本発明の実施の形態1に係るデータ通信制御装置1の構成を示すブロック図である。
データ通信制御装置1は、攻撃データ情報取得部11、廃棄データ決定部12、ドメイン構成データベース13、廃棄ポリシデータベース14およびデータ廃棄指示部15を備えている。
データ通信制御装置1は、攻撃データ情報取得部11、廃棄データ決定部12、ドメイン構成データベース13、廃棄ポリシデータベース14およびデータ廃棄指示部15を備えている。
攻撃データ情報取得部11は、車載ネットワークで送信され車両の制御に用いられるデータ群の中から攻撃データを識別するための情報である攻撃データ識別情報を、攻撃検知装置2から取得する機能を有する。
攻撃データ情報取得部11は、攻撃データ識別情報を取得するためのプログラムを記憶したメモリ112またはディスク(不揮発性メモリ)114と、そのプログラムを実行するプロセッサ111と、ブリッジ3と接続してデータ通信を可能とするネットワークインタフェース113とにより構成されている(図5参照)。
攻撃データ情報取得部11は、通信線6を介してブリッジ3に接続され、ブリッジ3を介して攻撃検知装置2と通信を行う。
攻撃データ情報取得部11は、攻撃データ識別情報を取得するためのプログラムを記憶したメモリ112またはディスク(不揮発性メモリ)114と、そのプログラムを実行するプロセッサ111と、ブリッジ3と接続してデータ通信を可能とするネットワークインタフェース113とにより構成されている(図5参照)。
攻撃データ情報取得部11は、通信線6を介してブリッジ3に接続され、ブリッジ3を介して攻撃検知装置2と通信を行う。
攻撃データ情報取得部11による攻撃データ識別情報の取得および出力は次のように行われる。
攻撃検知装置2は車載ネットワークで送信されるデータを監視しており、攻撃データを検知すると、攻撃データから攻撃データ識別情報を抽出し、データ通信制御装置1へ送信する。攻撃データ情報取得部11は、攻撃検知装置2から送信される攻撃データ識別情報を取得する。
攻撃データ情報取得部11は、攻撃データ識別情報を取得すると、廃棄データ決定部12へ攻撃データ識別情報を出力する。
攻撃検知装置2は車載ネットワークで送信されるデータを監視しており、攻撃データを検知すると、攻撃データから攻撃データ識別情報を抽出し、データ通信制御装置1へ送信する。攻撃データ情報取得部11は、攻撃検知装置2から送信される攻撃データ識別情報を取得する。
攻撃データ情報取得部11は、攻撃データ識別情報を取得すると、廃棄データ決定部12へ攻撃データ識別情報を出力する。
ここで、攻撃検知装置2が攻撃データから抽出し、攻撃データ情報取得部11が取得する攻撃データ識別情報について説明する。
攻撃データ識別情報は、攻撃データの発生源に関する情報および攻撃データの用途に関する情報を含む。
攻撃データの発生源に関する情報には2つの情報がある。1つは、攻撃データを送信するデータ送信機器である攻撃データ送信機器を示す情報(攻撃データ送信機器情報に相当)である。もう1つは、攻撃データ送信機器が属しているドメインを示す情報(攻撃データドメイン情報に相当)である。例えば前者は攻撃データのヘッダに追加された送信元アドレス、後者はドメイン内で共通に用いられるID(Identifier)である。
また、攻撃データの用途に関する情報とは、攻撃データの用途、すなわち、攻撃データがどのようなアプリケーションに用いられるかを示す情報(攻撃データアプリケーション情報に相当)であり、例えば特定のアプリケーションに用いられることを示すportナンバーである。
なお、ドメインとは、車両の制御系(駆動系、ボディ系、安全系など)ごとに含まれるECU4、センサ5の集合である。また本実施の形態1では、ID(VLAN_ID、CAN_ID)はドメイン内のデータすべてに共通のものが用いられており、1つのIDには1つのドメインが対応する。
攻撃データ識別情報は、攻撃データの発生源に関する情報および攻撃データの用途に関する情報を含む。
攻撃データの発生源に関する情報には2つの情報がある。1つは、攻撃データを送信するデータ送信機器である攻撃データ送信機器を示す情報(攻撃データ送信機器情報に相当)である。もう1つは、攻撃データ送信機器が属しているドメインを示す情報(攻撃データドメイン情報に相当)である。例えば前者は攻撃データのヘッダに追加された送信元アドレス、後者はドメイン内で共通に用いられるID(Identifier)である。
また、攻撃データの用途に関する情報とは、攻撃データの用途、すなわち、攻撃データがどのようなアプリケーションに用いられるかを示す情報(攻撃データアプリケーション情報に相当)であり、例えば特定のアプリケーションに用いられることを示すportナンバーである。
なお、ドメインとは、車両の制御系(駆動系、ボディ系、安全系など)ごとに含まれるECU4、センサ5の集合である。また本実施の形態1では、ID(VLAN_ID、CAN_ID)はドメイン内のデータすべてに共通のものが用いられており、1つのIDには1つのドメインが対応する。
次に、廃棄データ決定部12について説明する。廃棄データ決定部12は、攻撃データ情報取得部11が取得した攻撃データ識別情報と、ドメイン構成データベース13および廃棄ポリシデータベース14に記憶された情報とを用いて、攻撃データを廃棄することに伴い車載装置の制御に不具合を生じさせるデータを、車載ネットワークから廃棄するデータである廃棄データとして決定する機能を有する。
廃棄データ決定部12は、廃棄データを決定するためのプログラムを記憶したメモリ112またはディスク114と、そのプログラムを実行するプロセッサ111とにより構成されている(図5参照)。
廃棄データ決定部12は、廃棄データを決定するためのプログラムを記憶したメモリ112またはディスク114と、そのプログラムを実行するプロセッサ111とにより構成されている(図5参照)。
ここで、廃棄データ決定部12が廃棄データを決定するために用いるドメイン構成データベース13および廃棄ポリシデータベース14について説明する。
ドメイン構成データベース13および廃棄ポリシデータベース14は、メモリ112またはディスク114により構成されている。
まず、ドメイン構成データベース13が記憶している情報について、図3を参照して、説明する。図3は、本発明の実施の形態1に係るドメイン構成データベース13に記憶されているデータ識別情報のリストの例を示す図である。
ドメイン構成データベース13は、車載ネットワークで送信され、データ通信制御装置1の制御下に置かれる複数のデータ(第1データ、第2データに相当)に関する情報を記憶している。より具体的には、複数のデータにより構成されるデータ群の中から各データを識別するための情報であるデータ識別情報(第1データ識別情報、第2データ識別情報に相当)のリストを記憶している(図3を参照)。
上記のデータ識別情報は、攻撃データ識別情報と対応する情報を含むものであり、データの生成元に関する情報およびデータの用途に関する情報を含む。
データの生成元に関する情報には2つの情報がある。1つは、データを送信するデータ送信機器を示す情報(第1送信機器情報および第2送信機器情報に相当。図3では”データ送信機器”の列の情報)である。もう1つは、データを送信するデータ送信機器が属しているドメインを示す情報(第1ドメイン情報および第2ドメイン情報に相当。図3では”識別子”および”識別値”の列の情報)である。例えば前者はデータのヘッダに追加された送信元アドレス、後者はドメイン内で共通に用いられるID(VLAN_IDまたはCAN_ID)である。
また、データの用途に関する情報とは、データの用途、すなわち、当該データがどのようなアプリケーションに用いられるかを示す情報(第1アプリケーション情報および第2アプリケーション情報に相当。図3では”サービス識別子”および”サービス識別値”の列の情報)であり、例えば特定のアプリケーションに用いられることを示すportナンバーである。
データの生成元に関する情報には2つの情報がある。1つは、データを送信するデータ送信機器を示す情報(第1送信機器情報および第2送信機器情報に相当。図3では”データ送信機器”の列の情報)である。もう1つは、データを送信するデータ送信機器が属しているドメインを示す情報(第1ドメイン情報および第2ドメイン情報に相当。図3では”識別子”および”識別値”の列の情報)である。例えば前者はデータのヘッダに追加された送信元アドレス、後者はドメイン内で共通に用いられるID(VLAN_IDまたはCAN_ID)である。
また、データの用途に関する情報とは、データの用途、すなわち、当該データがどのようなアプリケーションに用いられるかを示す情報(第1アプリケーション情報および第2アプリケーション情報に相当。図3では”サービス識別子”および”サービス識別値”の列の情報)であり、例えば特定のアプリケーションに用いられることを示すportナンバーである。
またドメイン構成データベース13に記憶されるデータ識別情報にはそれぞれ、ドメイン名(図3ではドメインA、BおよびC)が付されている。ドメイン名は、ドメイン構成データベース13と廃棄ポリシデータベース14とで共通して用いられる各ドメインの名称である。
図3を用いて、より具体的に、ドメイン構成データベース13に記憶されているリストについて説明する。
図3の例では、リストに、3つのドメインに属する複数のデータと対応するデータ識別情報が記憶されている。ドメイン名としてA、BまたはCが各データ識別情報に追加されている。以下、ドメインA、B、Cそれぞれに属するデータのデータ識別情報について、図3のリストに沿って説明する。
ドメインAに属するデータのデータ識別情報は、リストの上段に記憶されている。
ドメインAには、ドメインを示す情報として、識別子がVLAN_IDであり、識別値が100であるデータが属している。またデータ送信機器を示す情報として、データ送信機器がA1のデータおよびデータ送信機器がA2のデータが属している。
VLAN_IDが100で、データ送信機器がA1またはA2のデータには特定のサービス識別子に対応するサービス識別値を有するものがある。しかし、廃棄データ決定部12がドメインAに属するデータの中で廃棄データを決定する際には、サービス識別子およびサービス識別値は用いない。そのため、このドメインAの行にはサービス識別子およびサービス識別値は記憶されていない。
以上をまとめると、リストの上段には、VLAN_IDが100で、データ送信機器がA1またはA2のデータ識別情報を有するデータがドメインAに属することが記憶されている。
ドメインAには、ドメインを示す情報として、識別子がVLAN_IDであり、識別値が100であるデータが属している。またデータ送信機器を示す情報として、データ送信機器がA1のデータおよびデータ送信機器がA2のデータが属している。
VLAN_IDが100で、データ送信機器がA1またはA2のデータには特定のサービス識別子に対応するサービス識別値を有するものがある。しかし、廃棄データ決定部12がドメインAに属するデータの中で廃棄データを決定する際には、サービス識別子およびサービス識別値は用いない。そのため、このドメインAの行にはサービス識別子およびサービス識別値は記憶されていない。
以上をまとめると、リストの上段には、VLAN_IDが100で、データ送信機器がA1またはA2のデータ識別情報を有するデータがドメインAに属することが記憶されている。
ドメインBに属するデータのデータ識別情報は、リストの中段に記憶されている。
ドメインBには、ドメインを示す情報として、識別子がVLAN_IDで、識別値が200であるデータが属している。またデータ送信機器を示す情報として、データ送信機器がB1のデータおよびデータ送信機器がB2のデータが属している。さらに攻撃データがどのようなアプリケーションに用いられるかを示す情報として、サービス識別子がport noで、サービス識別値が8080であるデータが属している。
以上をまとめると、リストの中段には、VLAN_IDが200で、データ送信機器がB1またはB2であり、port noが8080のデータ識別情報を有するデータがドメインBに属することが記憶されている。
ドメインBには、ドメインを示す情報として、識別子がVLAN_IDで、識別値が200であるデータが属している。またデータ送信機器を示す情報として、データ送信機器がB1のデータおよびデータ送信機器がB2のデータが属している。さらに攻撃データがどのようなアプリケーションに用いられるかを示す情報として、サービス識別子がport noで、サービス識別値が8080であるデータが属している。
以上をまとめると、リストの中段には、VLAN_IDが200で、データ送信機器がB1またはB2であり、port noが8080のデータ識別情報を有するデータがドメインBに属することが記憶されている。
ドメインCに属するデータのデータ識別情報は、リストの下段に記憶されている。
ドメインCには、ドメインを示す情報として、識別子がCAN_IDであり、識別値が200であるデータが属している。またデータ送信機器を示す情報として、データ送信機器がC1のデータおよびデータ送信機器がC2のデータが属している。
ドメインAの場合と同様に、廃棄データ決定部12がドメインCに属するデータの中で廃棄するデータを決定する際には、サービス識別子およびサービス識別値は用いない。そのため、このドメインCの行にはサービス識別子およびサービス識別値は記憶されていない。
以上をまとめると、リストの下段には、CAN_IDが200であり、データ送信機器がC1またはC2のデータ識別情報を有するデータがドメインCに属することが記憶されている。
ドメインCには、ドメインを示す情報として、識別子がCAN_IDであり、識別値が200であるデータが属している。またデータ送信機器を示す情報として、データ送信機器がC1のデータおよびデータ送信機器がC2のデータが属している。
ドメインAの場合と同様に、廃棄データ決定部12がドメインCに属するデータの中で廃棄するデータを決定する際には、サービス識別子およびサービス識別値は用いない。そのため、このドメインCの行にはサービス識別子およびサービス識別値は記憶されていない。
以上をまとめると、リストの下段には、CAN_IDが200であり、データ送信機器がC1またはC2のデータ識別情報を有するデータがドメインCに属することが記憶されている。
また、各ドメインA、B、Cで用いられている通信プロトコルの情報についても、合わせてリストに記憶されている。
以上のように、ドメイン構成データベース13には、データ識別情報が記憶されており、各データ識別情報は、データ識別情報の示すデータが属するドメインごとに分類されて記憶されている。攻撃データ識別情報とドメイン構成データベース13に記憶されたデータ識別情報とを比較することにより、攻撃データがどのドメインに属するデータであるかを判別することが可能となる。
次に、廃棄ポリシデータベース14が記憶している情報について、図4を参照して、説明する。図4は、本発明の実施の形態1に係る廃棄ポリシデータベース14に記憶されている廃棄ポリシの例を示す図である。
廃棄ポリシデータベース14は、ドメイン構成データベース13に記憶されている各ドメインに対応する廃棄ポリシが記憶されている。
廃棄ポリシとは、各ドメインに属する攻撃データが検知された場合に、廃棄対象とする廃棄データを定めたものである。
廃棄ポリシとは、各ドメインに属する攻撃データが検知された場合に、廃棄対象とする廃棄データを定めたものである。
廃棄ポリシには3種類あり、ドメイン内で攻撃データが検知された場合に、ドメイン内のすべてのデータ送信機器から送信されるデータすべてを廃棄データとする廃棄ポリシ”ドメイン”(第1廃棄情報に相当)と、攻撃データの発生源である攻撃データ送信機器から送信されるデータすべてを廃棄データとする廃棄ポリシ”データ送信機器”(第2廃棄情報に相当)と、攻撃データの発生源である攻撃データ送信機器から送信されるデータのうち、攻撃データと同じ用途に用いられるデータを廃棄データとする廃棄ポリシ”サービス”(第2廃棄情報に相当)がある。
廃棄対象となるデータの範囲は、上記の通り、廃棄ポリシ”ドメイン”が最も大きく、廃棄ポリシ”データ送信機器”、廃棄ポリシ”サービス”の順となる。
廃棄対象となるデータの範囲は、上記の通り、廃棄ポリシ”ドメイン”が最も大きく、廃棄ポリシ”データ送信機器”、廃棄ポリシ”サービス”の順となる。
3種類の廃棄ポリシについて具体的に説明する。
廃棄ポリシ”ドメイン”は、あるドメインに属するデータ送信機器が送信するデータ(第1データ)が廃棄されたときに当該ドメインの機能に不具合が生じる場合に、設定される。すなわち、廃棄ポリシ”ドメイン”は、車載ネットワークで送信されるデータ群に含まれる第1データ以外のほかのデータであって、車両の制御に不具合を生じさせるデータが生じる場合に、設定される。
上記の第1データを送信するデータ送信機器を第1データ送信機器と呼び、第1データ送信機器の属するドメインを第1ドメインと呼ぶ場合がある。
廃棄ポリシ”ドメイン”は、あるドメインに属するデータ送信機器が送信するデータ(第1データ)が廃棄されたときに当該ドメインの機能に不具合が生じる場合に、設定される。すなわち、廃棄ポリシ”ドメイン”は、車載ネットワークで送信されるデータ群に含まれる第1データ以外のほかのデータであって、車両の制御に不具合を生じさせるデータが生じる場合に、設定される。
上記の第1データを送信するデータ送信機器を第1データ送信機器と呼び、第1データ送信機器の属するドメインを第1ドメインと呼ぶ場合がある。
ここで、どのような場合にドメインの機能に不具合が生じるかを説明する。
ドメインは、車両の制御系(駆動系、ボディ系、安全系など)ごとに設定されている。ドメインの機能とは、ドメインが設定されている各制御系の機能である。
ドメインの機能は、一つまたは複数の車載装置が動作することにより実行される。これらの車載装置の制御は、ドメインに属する1つまたは複数のECU4が行っている。
また、ドメインによっては、複数の車載装置が連携して動作することで、制御系の機能を実行しているものがある。このようなドメインでは、複数の車載機器と対応する複数のECU4は、それぞれのECU4が制御対象としている車載装置の状態量を示すデータをやり取りしながら、ドメイン全体として適切な制御を行い、ドメインの機能を実行している。
一方、1つのECUが受信するデータが攻撃データとして廃棄された場合、当該ECUは正常なデータを受信できないために、適切な制御が行えないだけでなく、当該ECUが生成する制御対象の車載装置の状態量を示すデータも適切なものではなくなり、当該データを受信して他の車載機器の制御を行う他のECUも適切な制御が行えなくなる。そのため、攻撃データの廃棄の影響は、攻撃データの廃棄により正常なデータを受信できないECUと連携して制御を行っているドメイン内の他のECUの制御にも及ぶ。その結果、当該ドメインの機能に不具合が生じることとなる。
ドメインは、車両の制御系(駆動系、ボディ系、安全系など)ごとに設定されている。ドメインの機能とは、ドメインが設定されている各制御系の機能である。
ドメインの機能は、一つまたは複数の車載装置が動作することにより実行される。これらの車載装置の制御は、ドメインに属する1つまたは複数のECU4が行っている。
また、ドメインによっては、複数の車載装置が連携して動作することで、制御系の機能を実行しているものがある。このようなドメインでは、複数の車載機器と対応する複数のECU4は、それぞれのECU4が制御対象としている車載装置の状態量を示すデータをやり取りしながら、ドメイン全体として適切な制御を行い、ドメインの機能を実行している。
一方、1つのECUが受信するデータが攻撃データとして廃棄された場合、当該ECUは正常なデータを受信できないために、適切な制御が行えないだけでなく、当該ECUが生成する制御対象の車載装置の状態量を示すデータも適切なものではなくなり、当該データを受信して他の車載機器の制御を行う他のECUも適切な制御が行えなくなる。そのため、攻撃データの廃棄の影響は、攻撃データの廃棄により正常なデータを受信できないECUと連携して制御を行っているドメイン内の他のECUの制御にも及ぶ。その結果、当該ドメインの機能に不具合が生じることとなる。
以上のように、複数の車載装置が連携して動作しているドメインでは、攻撃データの廃棄により、ドメインの機能に不具合が生じる。
上記のように、ドメイン内のデータ(第1データ)が廃棄されることに伴いドメインの機能に不具合が生じる場合、ドメイン内のすべてのデータ送信機器から送信されるデータ(第1廃棄候補データに相当)を廃棄データとする廃棄ポリシ”ドメイン”が、当該ドメインに設定される。廃棄データとされる第1廃棄候補データは、第1データを用いて生成されたデータである。また、第1廃棄候補データは、ドメイン内のすべてのデータ送信機器から送信されるデータであるから、第1データを送信する第1データ送信機器とは異なるデータ送信機器が生成したデータが含まれる。
またドメイン内のすべてのデータとは、当該ドメインに属するすべてのデータ送信機器から送信されるデータであり、これらのデータ送信機器から当該ドメイン外へ送信されるデータも含む。
ドメインが異なる車載装置同士は、連携の度合いがドメイン内の車載機器同士より小さいが、攻撃データが廃棄された際の影響が他のドメインの車載装置の制御にも及ぶ可能性があるからである。
ドメインが異なる車載装置同士は、連携の度合いがドメイン内の車載機器同士より小さいが、攻撃データが廃棄された際の影響が他のドメインの車載装置の制御にも及ぶ可能性があるからである。
次に、廃棄ポリシ”データ送信機器”について説明する。廃棄ポリシ”データ送信機器”は、あるドメインに属するデータ(第2データに相当)が廃棄されたときに、当該ドメインの機能に不具合が生じない場合であり、かつ、廃棄されたデータを送信していたデータ送信機器の属するドメインが車両の安全性に関わる制御を行う場合に、設定される。
上記の第2データを送信するデータ送信機器を第2データ送信機器と呼び、第2データ送信機器の属するドメインを第2ドメインと呼ぶ場合がある。
上記の第2データを送信するデータ送信機器を第2データ送信機器と呼び、第2データ送信機器の属するドメインを第2ドメインと呼ぶ場合がある。
ドメインに属するデータが廃棄されたときに、ドメインの機能に不具合が生じない場合とは、ドメインの機能を実行するために、車載装置同士が連携して動作しない場合である。別の言い方をすれば、ドメインに属するデータが廃棄されたときに、車両の制御に不具合を生じさせるデータ(第1廃棄候補データ)が生じない場合である。
この場合、攻撃データが廃棄されても当該ドメインや他のドメインの機能に影響を与えないため、攻撃データの発生源となっている攻撃データ送信機器から送信されるデータに対して対処を行えば、攻撃データによる車両の動作への影響を低減できる。
この場合、攻撃データが廃棄されても当該ドメインや他のドメインの機能に影響を与えないため、攻撃データの発生源となっている攻撃データ送信機器から送信されるデータに対して対処を行えば、攻撃データによる車両の動作への影響を低減できる。
廃棄ポリシ”データ送信機器”が設定されたドメインでは、攻撃データの発生源となっている攻撃データ送信機器から送信されるすべてのデータを廃棄データとする。
攻撃データ送信機器であるECU4またはセンサ5は、1つのデータだけを送信するものもあるが、異なる用途で用いられる複数種類のデータを送信しているものもある。複数種類のデータのうち、1つの種類のデータが攻撃データであると検知されたとき、攻撃データの発生源である攻撃データ送信機器は、そのほかの種類のデータについても攻撃データを送信し始める可能性がある。このほかの種類のデータが車両の安全性に関わる制御に用いられる場合は、攻撃データを送信し始める前に、迅速に対応する必要がある。そのため、攻撃データと同じ用途のデータだけでなく、攻撃データ送信機器から送信されるすべてのデータを廃棄データとしている。
攻撃データ送信機器であるECU4またはセンサ5は、1つのデータだけを送信するものもあるが、異なる用途で用いられる複数種類のデータを送信しているものもある。複数種類のデータのうち、1つの種類のデータが攻撃データであると検知されたとき、攻撃データの発生源である攻撃データ送信機器は、そのほかの種類のデータについても攻撃データを送信し始める可能性がある。このほかの種類のデータが車両の安全性に関わる制御に用いられる場合は、攻撃データを送信し始める前に、迅速に対応する必要がある。そのため、攻撃データと同じ用途のデータだけでなく、攻撃データ送信機器から送信されるすべてのデータを廃棄データとしている。
上記のように廃棄ポリシ”データ送信機器”が設定されたドメインでは、攻撃データ送信機器から送信されるすべてのデータ(第2廃棄候補データに相当)が廃棄データとされるが、攻撃データ送信機器が属するドメイン内のすべてのデータ送信機器が送信するデータ(第1廃棄候補データ)は廃棄データとされない。すなわち、廃棄ポリシ”データ送信機器”が設定されたドメインでは、攻撃データ送信機器が送信するデータを除いて、ドメイン内のデータ送信機器が送信する第1廃棄候補データは廃棄されず、通信が維持される。
最後に、廃棄ポリシ”サービス”について説明する。廃棄ポリシ”サービス”は、ドメイン(第2ドメイン)に属するデータ(第2データ)が廃棄されたときに、当該ドメインの機能に不具合が生じない場合であり、かつ、廃棄されたデータを送信していたデータ送信機器(第2データ送信機器)の属するドメインが車両の安全性に関わる制御を行わない場合に、設定される。
この場合、攻撃データが廃棄されても当該ドメインや他のドメインの機能に影響を与えないため、攻撃データの発生源となっている攻撃データ送信機器から送信されるデータに対して対処を行えば、攻撃データによる車両の動作への影響を低減できる。
この場合、攻撃データが廃棄されても当該ドメインや他のドメインの機能に影響を与えないため、攻撃データの発生源となっている攻撃データ送信機器から送信されるデータに対して対処を行えば、攻撃データによる車両の動作への影響を低減できる。
廃棄ポリシ”サービス”が設定されたドメインでは、攻撃データの発生源となっている攻撃データ送信機器から送信されるデータのうち、攻撃データと用途が同じデータを廃棄データとする。攻撃データ送信機器であるECU4またはセンサ5には、異なる用途で用いられる複数種類のデータを送信しているものもあり、攻撃データが検知された用途のデータだけでなく、ほかの用途のデータについても攻撃データが送信され始める可能性がある。しかし、ほかの用途のデータが車両の安全性に影響を与えないなど、車両の動作に対する重要性が低い場合は、ほかの用途のデータについて攻撃データが検知されていない状態で直ちに対処する必要性は低い。そのため、攻撃データの発生源となっている攻撃データ送信機器から送信されるデータのうち、攻撃データと用途が同じデータだけを廃棄データとしている。
上記のように廃棄ポリシ”サービス”が設定されたドメインでは、攻撃データ送信機器から送信されるデータのうち、攻撃データと用途が同じデータ(第2廃棄候補データに相当)が廃棄データとされるが、攻撃データ送信機器が属するドメイン内のほかのデータ送信機器が送信するデータ(第1廃棄候補データ)は廃棄データとされない。すなわち、廃棄ポリシ”サービス”が設定されたドメインでは、攻撃データ送信機器が送信する攻撃データの用途と同じデータを除いて、第1廃棄候補データは廃棄されず、通信が維持される。
ここで、図4を用いて、より具体的に、廃棄ポリシデータベース14に記憶されている廃棄ポリシについて説明する。
図4の例では、ドメインAに属する攻撃データが検知された場合に、攻撃データの発生源である攻撃データ送信機器から送信されるデータ(第2廃棄候補データ)を廃棄データとする廃棄ポリシ(第2廃棄情報)が設定されている。この場合、同じドメイン内であっても、攻撃データの発生源である攻撃データ送信機器から送信されるデータ以外は廃棄データとはならない。
ドメインBに属する攻撃データが検知された場合に、攻撃データの発生源である攻撃データ送信機器から送信され、サービス識別子およびサービス識別値が攻撃データと同じデータ(第2廃棄候補データ)を廃棄データとする廃棄ポリシ(第2廃棄情報)が設定されている。この場合、同じドメイン内であっても、攻撃データの発生源であるデータ送信機器から送信され、サービス識別子およびサービス識別値が攻撃データと同じデータ以外は廃棄データとはならない。
ドメインCに属する攻撃データが検知された場合に、同じドメインに分類されているデータ(第1廃棄候補データ)を廃棄データとする廃棄ポリシ(第1廃棄情報)が設定されている。この場合、同じドメイン内のデータ送信機器から送信されるデータであれば、いずれのデータ送信機器から送信されるデータであっても、廃棄データとする。またデータのサービス識別子またはサービス識別値がどのようなものであっても、廃棄データとする。
ドメインBに属する攻撃データが検知された場合に、攻撃データの発生源である攻撃データ送信機器から送信され、サービス識別子およびサービス識別値が攻撃データと同じデータ(第2廃棄候補データ)を廃棄データとする廃棄ポリシ(第2廃棄情報)が設定されている。この場合、同じドメイン内であっても、攻撃データの発生源であるデータ送信機器から送信され、サービス識別子およびサービス識別値が攻撃データと同じデータ以外は廃棄データとはならない。
ドメインCに属する攻撃データが検知された場合に、同じドメインに分類されているデータ(第1廃棄候補データ)を廃棄データとする廃棄ポリシ(第1廃棄情報)が設定されている。この場合、同じドメイン内のデータ送信機器から送信されるデータであれば、いずれのデータ送信機器から送信されるデータであっても、廃棄データとする。またデータのサービス識別子またはサービス識別値がどのようなものであっても、廃棄データとする。
以上のように、廃棄ポリシデータベース14には、ドメインと、廃棄ポリシが対応づけて記憶されている。ドメイン構成データベース13に基づいて攻撃データの属するドメインが判別された場合、廃棄ポリシデータベース14に基づいて、廃棄データを決定することが可能となる。
なお、ドメイン構成データベース13および廃棄ポリシデータベース14は廃棄データ記憶部に相当する。
再び、図2を参照して、廃棄データ決定部12の説明を行う。
廃棄データ決定部12は、攻撃データ情報取得部11から出力された攻撃データ識別情報とドメイン構成データベース13に記憶されているデータ識別情報との比較を行う。具体的には、廃棄データ決定部12は、ドメイン構成データベース13に記憶されているデータ識別情報の中に、攻撃データ識別情報と一致するものがあるか検索を行う。
攻撃データ識別情報と一致するデータ識別情報がある場合、廃棄データ決定部12は、当該データ識別情報と対応するドメイン名の情報を読み出す。
次に、廃棄データ決定部12は、廃棄ポリシデータベース14に記憶されているドメイン名の情報の中に、ドメイン構成データベース13から読み出したドメイン名と一致するものがあるか検索を行う。一致するドメイン名の情報がある場合、廃棄ポリシデータベース14から当該ドメイン名の情報と対応する廃棄ポリシを読み出す。
廃棄データ決定部12は、廃棄ポリシがドメインである場合は、攻撃データの発生源であるデータ送信機器が属するドメイン内のすべてのデータ(第1廃棄候補データ)を廃棄するよう決定する。具体的には、ドメイン内では共通の識別子および識別値がいられているので、攻撃データ識別情報に含まれる識別子および識別値と同様のものを用いているデータを廃棄データと決定する。
廃棄データ決定部12は、廃棄ポリシがデータ送信機器である場合は、攻撃データの発生源である攻撃データ送信機器から送信されるすべてのデータ(第2廃棄候補データ)を廃棄するよう決定する。具体的には、攻撃データ識別情報に含まれるデータ送信機器を示す情報と同様のものを用いているデータを廃棄データと決定する。
廃棄データ決定部12は、廃棄ポリシがサービスである場合は、攻撃データの発生源である攻撃データ送信機器から送信されるデータのうち、攻撃データの用途と同じ用途のデータ(第2廃棄候補データ)を廃棄するよう決定する。具体的には、攻撃データ識別情報に含まれるデータ送信機器を示す情報、サービス識別子およびサービス識別値と同様のものが設定されているデータを廃棄データと決定する。
廃棄データ決定部12は、攻撃データ情報取得部11から出力された攻撃データ識別情報とドメイン構成データベース13に記憶されているデータ識別情報との比較を行う。具体的には、廃棄データ決定部12は、ドメイン構成データベース13に記憶されているデータ識別情報の中に、攻撃データ識別情報と一致するものがあるか検索を行う。
攻撃データ識別情報と一致するデータ識別情報がある場合、廃棄データ決定部12は、当該データ識別情報と対応するドメイン名の情報を読み出す。
次に、廃棄データ決定部12は、廃棄ポリシデータベース14に記憶されているドメイン名の情報の中に、ドメイン構成データベース13から読み出したドメイン名と一致するものがあるか検索を行う。一致するドメイン名の情報がある場合、廃棄ポリシデータベース14から当該ドメイン名の情報と対応する廃棄ポリシを読み出す。
廃棄データ決定部12は、廃棄ポリシがドメインである場合は、攻撃データの発生源であるデータ送信機器が属するドメイン内のすべてのデータ(第1廃棄候補データ)を廃棄するよう決定する。具体的には、ドメイン内では共通の識別子および識別値がいられているので、攻撃データ識別情報に含まれる識別子および識別値と同様のものを用いているデータを廃棄データと決定する。
廃棄データ決定部12は、廃棄ポリシがデータ送信機器である場合は、攻撃データの発生源である攻撃データ送信機器から送信されるすべてのデータ(第2廃棄候補データ)を廃棄するよう決定する。具体的には、攻撃データ識別情報に含まれるデータ送信機器を示す情報と同様のものを用いているデータを廃棄データと決定する。
廃棄データ決定部12は、廃棄ポリシがサービスである場合は、攻撃データの発生源である攻撃データ送信機器から送信されるデータのうち、攻撃データの用途と同じ用途のデータ(第2廃棄候補データ)を廃棄するよう決定する。具体的には、攻撃データ識別情報に含まれるデータ送信機器を示す情報、サービス識別子およびサービス識別値と同様のものが設定されているデータを廃棄データと決定する。
廃棄データ決定部12は、廃棄対象として決定した廃棄データを、データ廃棄指示部15へ出力する。
具体的には、廃棄データがドメイン内のすべてのデータ(第1廃棄候補データ)である場合、廃棄データ決定部12は廃棄データを示す情報(以下、廃棄データ情報という)として、攻撃データ識別情報に含まれる識別子および識別値(例えば、VLAN_IDおよびその値)を、データ廃棄指示部15へ出力する。
廃棄データが攻撃データ送信機器から送信されるすべてのデータ(第2廃棄候補データ)である場合、廃棄データ決定部12は廃棄データ情報として、攻撃データ識別情報に含まれる識別子、識別値およびデータ送信機器を示す情報(例えば、送信元アドレス)を、データ廃棄指示部15へ出力する。
廃棄データが攻撃データ送信機器から送信されるデータのうち、攻撃データの用途と同じ用途のデータ(第2廃棄候補データ)である場合、廃棄データ決定部12は廃棄データ情報として、攻撃データ識別情報に含まれる識別子、識別値、データ送信機器を示す情報および用途を示す情報(例えば、portナンバー)を、データ廃棄指示部15へ出力する。
具体的には、廃棄データがドメイン内のすべてのデータ(第1廃棄候補データ)である場合、廃棄データ決定部12は廃棄データを示す情報(以下、廃棄データ情報という)として、攻撃データ識別情報に含まれる識別子および識別値(例えば、VLAN_IDおよびその値)を、データ廃棄指示部15へ出力する。
廃棄データが攻撃データ送信機器から送信されるすべてのデータ(第2廃棄候補データ)である場合、廃棄データ決定部12は廃棄データ情報として、攻撃データ識別情報に含まれる識別子、識別値およびデータ送信機器を示す情報(例えば、送信元アドレス)を、データ廃棄指示部15へ出力する。
廃棄データが攻撃データ送信機器から送信されるデータのうち、攻撃データの用途と同じ用途のデータ(第2廃棄候補データ)である場合、廃棄データ決定部12は廃棄データ情報として、攻撃データ識別情報に含まれる識別子、識別値、データ送信機器を示す情報および用途を示す情報(例えば、portナンバー)を、データ廃棄指示部15へ出力する。
廃棄データ決定部12の機能が実行される場合の具体例を図3のドメイン構成データベース13の例および図4の廃棄ポリシデータベース14の例を用いて説明する。
攻撃データ情報取得部11が取得した攻撃データ識別情報に、VLAN_IDが100で、データ送信機器がA1で、port noが1010である情報が含まれていた場合を説明する。
廃棄データ決定部12は、ドメイン構成データベース13に記憶されたデータ識別情報の中で上記の攻撃データ識別情報と一致するものを検索し、一致するデータ識別情報と対応づけられたドメイン名の情報を読み出す。この例では、図3のリストの上段に記載されているドメインAのデータ識別情報と攻撃データ識別情報とが一致するため、ドメインAを示すドメイン名の情報が読み出される。
次に、廃棄データ決定部12は、廃棄ポリシデータベース14の中でドメイン名の情報であるドメインAと一致するものを検索し、廃棄ポリシデータベース14に記憶されたドメインAと対応する廃棄ポリシを読み出す。この例では、図4のリストの上段に記載されているデータ送信機器を示す廃棄ポリシを読み出す。
廃棄データ決定部12は、廃棄ポリシがデータ送信機器であるから、攻撃データの発生源となっているデータ送信機器A1から送信されるデータを廃棄データとして決定する。さらに、廃棄データ決定部12は、廃棄データ情報として、VLAN_IDが100で、データ送信機器がA1であることを示す情報をデータ廃棄指示部15へ出力する。
廃棄データ決定部12は、ドメイン構成データベース13に記憶されたデータ識別情報の中で上記の攻撃データ識別情報と一致するものを検索し、一致するデータ識別情報と対応づけられたドメイン名の情報を読み出す。この例では、図3のリストの上段に記載されているドメインAのデータ識別情報と攻撃データ識別情報とが一致するため、ドメインAを示すドメイン名の情報が読み出される。
次に、廃棄データ決定部12は、廃棄ポリシデータベース14の中でドメイン名の情報であるドメインAと一致するものを検索し、廃棄ポリシデータベース14に記憶されたドメインAと対応する廃棄ポリシを読み出す。この例では、図4のリストの上段に記載されているデータ送信機器を示す廃棄ポリシを読み出す。
廃棄データ決定部12は、廃棄ポリシがデータ送信機器であるから、攻撃データの発生源となっているデータ送信機器A1から送信されるデータを廃棄データとして決定する。さらに、廃棄データ決定部12は、廃棄データ情報として、VLAN_IDが100で、データ送信機器がA1であることを示す情報をデータ廃棄指示部15へ出力する。
また、攻撃データ情報取得部11が取得した攻撃データ識別情報に、VLAN_IDが200で、データ送信機器がB2で、port noが8080である情報が含まれていた場合を説明する。
廃棄データ決定部12は、ドメイン構成データベース13に記憶されたデータ識別情報の中で上記の攻撃データ識別情報と一致するものを検索し、一致するデータ識別情報と対応づけられたドメイン名の情報を読み出す。この例では、図3のリストの中段に記載されているドメインBのデータ識別情報と攻撃データ識別情報とが一致するため、ドメインBを示すドメイン名が読み出される。
次に、廃棄データ決定部12は、廃棄ポリシデータベース14の中でドメイン名の情報であるドメインBと一致するものを検索し、廃棄ポリシデータベース14に記憶されたドメインBと対応する廃棄ポリシを読み出す。この例では、図4のリストの中段に記載されているサービスを示す廃棄ポリシを読み出す。
廃棄データ決定部12は、廃棄ポリシがサービスであるから、攻撃データの発生源となっているデータ送信機器B2から送信されるデータのうち、port no 8080のデータを廃棄データとして決定する。さらに、廃棄データ決定部12は、廃棄データ情報として、VLAN_IDが200で、データ送信機器がB2で、port noが8080であることを示す情報をデータ廃棄指示部15へ出力する。
廃棄データ決定部12は、ドメイン構成データベース13に記憶されたデータ識別情報の中で上記の攻撃データ識別情報と一致するものを検索し、一致するデータ識別情報と対応づけられたドメイン名の情報を読み出す。この例では、図3のリストの中段に記載されているドメインBのデータ識別情報と攻撃データ識別情報とが一致するため、ドメインBを示すドメイン名が読み出される。
次に、廃棄データ決定部12は、廃棄ポリシデータベース14の中でドメイン名の情報であるドメインBと一致するものを検索し、廃棄ポリシデータベース14に記憶されたドメインBと対応する廃棄ポリシを読み出す。この例では、図4のリストの中段に記載されているサービスを示す廃棄ポリシを読み出す。
廃棄データ決定部12は、廃棄ポリシがサービスであるから、攻撃データの発生源となっているデータ送信機器B2から送信されるデータのうち、port no 8080のデータを廃棄データとして決定する。さらに、廃棄データ決定部12は、廃棄データ情報として、VLAN_IDが200で、データ送信機器がB2で、port noが8080であることを示す情報をデータ廃棄指示部15へ出力する。
また、攻撃データ情報取得部11が取得した攻撃データ識別情報に、CAN_IDが200で、データ送信機器がC1で、port noが8080である情報が含まれていた場合を説明する。
廃棄データ決定部12は、ドメイン構成データベース13に記憶されたデータ識別情報の中で上記の攻撃データ識別情報と一致するものを検索し、一致するデータ識別情報と対応づけられたドメイン名の情報を読み出す。この例では、図3のリストの下段に記載されているドメインCのデータ識別情報と攻撃データ識別情報とが一致するため、ドメインCを示すドメイン名が読み出される。
次に、廃棄データ決定部12は、廃棄ポリシデータベース14の中でドメイン名の情報であるドメインCと一致するものを検索し、廃棄ポリシデータベース14に記憶されたドメインCと対応する廃棄ポリシを読み出す。この例では、図4のリストの下段に記載されているドメインを示す廃棄ポリシを読み出す。
廃棄データ決定部12は、廃棄ポリシがドメインであるから、当該ドメインで共通していられているCAN_IDが200のデータを廃棄するデータとして決定する。さらに、廃棄データ決定部12は、廃棄データ情報として、CAN_IDが200であることを示す情報をデータ廃棄指示部15へ出力する。
この場合、攻撃データの発生源となっているデータ送信機器C1から送信されるデータだけでなく、ドメインCに属するデータ送信機器C2から送信されるデータについても廃棄するデータとなる。
廃棄データ決定部12は、ドメイン構成データベース13に記憶されたデータ識別情報の中で上記の攻撃データ識別情報と一致するものを検索し、一致するデータ識別情報と対応づけられたドメイン名の情報を読み出す。この例では、図3のリストの下段に記載されているドメインCのデータ識別情報と攻撃データ識別情報とが一致するため、ドメインCを示すドメイン名が読み出される。
次に、廃棄データ決定部12は、廃棄ポリシデータベース14の中でドメイン名の情報であるドメインCと一致するものを検索し、廃棄ポリシデータベース14に記憶されたドメインCと対応する廃棄ポリシを読み出す。この例では、図4のリストの下段に記載されているドメインを示す廃棄ポリシを読み出す。
廃棄データ決定部12は、廃棄ポリシがドメインであるから、当該ドメインで共通していられているCAN_IDが200のデータを廃棄するデータとして決定する。さらに、廃棄データ決定部12は、廃棄データ情報として、CAN_IDが200であることを示す情報をデータ廃棄指示部15へ出力する。
この場合、攻撃データの発生源となっているデータ送信機器C1から送信されるデータだけでなく、ドメインCに属するデータ送信機器C2から送信されるデータについても廃棄するデータとなる。
次に、データ廃棄指示部15について説明する。データ廃棄指示部15は、廃棄データ決定部12が決定した廃棄データを車載ネットワークから廃棄する指示を行う機能を有する。
データ廃棄指示部15は、廃棄指示を行うためのプログラムを記憶したメモリ112またはディスク114と、そのプログラムを実行するプロセッサ111と、ブリッジ3と接続してデータ通信を可能とするネットワークインタフェース113とにより構成されている(図5参照)。
データ廃棄指示部15は、廃棄指示を行うためのプログラムを記憶したメモリ112またはディスク114と、そのプログラムを実行するプロセッサ111と、ブリッジ3と接続してデータ通信を可能とするネットワークインタフェース113とにより構成されている(図5参照)。
データ廃棄指示部15は、車載ネットワークの各ブリッジ3と通信可能に接続されており、廃棄指示を各ブリッジ3へ送信する。
廃棄データ決定部12が廃棄データを決定した場合、データ廃棄指示部15は、データを廃棄するコマンドを生成する。生成したコマンドとともに廃棄データ情報を廃棄指示として、各ブリッジ3へ送信する。
データを廃棄するコマンドは、車載ネットワーク設計時に設定された特定のIDを用いたデータである。ブリッジ3は当該特定のIDを用いたデータを受信すると当該データに対する廃棄処理を開始するよう設定されている。
データ廃棄指示部15は、廃棄指示を行う場合、コマンドとして、当該特定のIDを用いたデータを送信する。また、データフィールドに廃棄データ情報を記録して送信する。
廃棄データ情報は、廃棄データ決定部12が生成しデータ廃棄指示部15へ出力したものと同様であり、具体的には、廃棄ポリシがドメインであった場合は、攻撃データの識別子および識別値であり、廃棄ポリシがデータ送信機器であった場合は、攻撃データの識別子、識別値および攻撃データ送信機器を示す情報であり、廃棄ポリシがサービスであった場合は、攻撃データの識別子、識別値、攻撃データ送信機器を示す情報、サービス識別子およびサービス識別値である。
データを廃棄するコマンドは、車載ネットワーク設計時に設定された特定のIDを用いたデータである。ブリッジ3は当該特定のIDを用いたデータを受信すると当該データに対する廃棄処理を開始するよう設定されている。
データ廃棄指示部15は、廃棄指示を行う場合、コマンドとして、当該特定のIDを用いたデータを送信する。また、データフィールドに廃棄データ情報を記録して送信する。
廃棄データ情報は、廃棄データ決定部12が生成しデータ廃棄指示部15へ出力したものと同様であり、具体的には、廃棄ポリシがドメインであった場合は、攻撃データの識別子および識別値であり、廃棄ポリシがデータ送信機器であった場合は、攻撃データの識別子、識別値および攻撃データ送信機器を示す情報であり、廃棄ポリシがサービスであった場合は、攻撃データの識別子、識別値、攻撃データ送信機器を示す情報、サービス識別子およびサービス識別値である。
再び、図1を参照する。ここまで、車両制御システム100の構成要素であるデータ通信制御装置1の説明を行った。次に、車両制御システム100の他の構成要素について説明する。
攻撃検知装置2は、車載ネットワークの攻撃データを検知するものである。また攻撃データから攻撃データ識別情報を抽出して、データ通信制御装置1へ送信するものである。
攻撃検知装置2は、ECUにより構成されており、通信線6を介して複数のブリッジ3と通信可能に接続されている。
また、攻撃検知装置2は、車載ネットワークで送信されている正常なデータと攻撃データとを判別するための判断基準を、攻撃データ検知ルールとして記憶している。
攻撃データの示す車両の状態量およびユーザの操作量は、正常な状態量等とは異なるので、正常な状態量が取りえない範囲に閾値を設定し、攻撃データ検知ルールとして用いることができる。また、状態量等が大幅に変化する場合も正常なデータの送信が途絶え、攻撃データの送信が開始されたと判断できることから、状態量の変化量に対して閾値を設定し、攻撃データ検知ルールとして用いることができる。
そのほか、正常な状態では連続して取りえない状態量を示すデータが、連続して送信されている場合やユーザによる正常な操作の周期と異なる周期で操作量を示すデータが送信されている場合についても、それらのデータは攻撃データと考えられるので、判断基準として用いることができる。
また、攻撃検知装置2は、車載ネットワークで送信されている正常なデータと攻撃データとを判別するための判断基準を、攻撃データ検知ルールとして記憶している。
攻撃データの示す車両の状態量およびユーザの操作量は、正常な状態量等とは異なるので、正常な状態量が取りえない範囲に閾値を設定し、攻撃データ検知ルールとして用いることができる。また、状態量等が大幅に変化する場合も正常なデータの送信が途絶え、攻撃データの送信が開始されたと判断できることから、状態量の変化量に対して閾値を設定し、攻撃データ検知ルールとして用いることができる。
そのほか、正常な状態では連続して取りえない状態量を示すデータが、連続して送信されている場合やユーザによる正常な操作の周期と異なる周期で操作量を示すデータが送信されている場合についても、それらのデータは攻撃データと考えられるので、判断基準として用いることができる。
攻撃検知装置2は、ブリッジ3を介して送信されてくる、車載ネットワークで送信されているデータを監視する。
また、攻撃検知装置2は、攻撃データ検知ルールに基づいて、監視しているデータに攻撃データが含まれるか否かを判断し、攻撃データの検知を行う。
また、攻撃検知装置2は、攻撃データ検知ルールに基づいて、監視しているデータに攻撃データが含まれるか否かを判断し、攻撃データの検知を行う。
攻撃検知装置2は、攻撃データを検知した場合、攻撃データから攻撃データ識別情報を抽出する。攻撃データ識別情報は、攻撃データの発生源に関する情報および攻撃データが用いられる用途に関する情報を含む。攻撃検知装置2は抽出した攻撃データ識別情報をデータ通信制御装置1へ送信する。
ここで、図3のドメイン構成データベース13のリストの例にも記載されているとおり、車載ネットワークの中には、Ethernetのプロトコルに基づいて識別子としてVLAN_IDを用いるドメインと、CAN(Controller Area Network)のプロトコルに基づいて識別子としてCAN_IDを用いるドメインがある。
攻撃検知装置2は、攻撃データ識別情報を抽出する際に、各プロトコルのフレーム構造の違いを認識する。
具体的には、Ethernetのフレームでは、フレームの最初にプリアンブル部と呼ばれるデータ領域があり、CANのフレームでは、フレームの最初にSOF(Start Of Frame)と呼ばれるデータ領域がある。これらのデータ領域はそれぞれ異なっているため、その違いを利用して、攻撃検知装置2は、各プロトコルのフレーム構造の違いを認識する。
そして、攻撃検知装置2は、フレームの特定の領域からID等の攻撃データ識別情報を取得する。
攻撃検知装置2は、攻撃データ識別情報を抽出する際に、各プロトコルのフレーム構造の違いを認識する。
具体的には、Ethernetのフレームでは、フレームの最初にプリアンブル部と呼ばれるデータ領域があり、CANのフレームでは、フレームの最初にSOF(Start Of Frame)と呼ばれるデータ領域がある。これらのデータ領域はそれぞれ異なっているため、その違いを利用して、攻撃検知装置2は、各プロトコルのフレーム構造の違いを認識する。
そして、攻撃検知装置2は、フレームの特定の領域からID等の攻撃データ識別情報を取得する。
次に、ブリッジ3について説明する。ブリッジ3は、車載ネットワークで送信されるデータの中継を行うものである。また、廃棄対象となっているデータの中継を中止するものである。
ブリッジ3に代えて、スイッチングハブまたはゲートウェイを用いることもできる。
またブリッジ3は、データ通信制御装置1、攻撃検知装置2、ECU4およびセンサ5と通信線6を介して通信可能に接続されている。
ブリッジ3は、ECU4同士、またはECU4とセンサ5の間で送信されるデータを中継する。また攻撃検知装置2にデータを監視させるため、中継するデータを攻撃検知装置2へ転送する。
また、データ通信制御装置1が廃棄データを決定し、当該データを廃棄する指示を各ブリッジ3へ送信した場合、各ブリッジ3は、中継しないデータの判断条件として当該データを設定し、中継を中止して、当該データがECU4に用いられることを防止する。
具体的には、ブリッジ3は、データ通信制御装置1が送信する廃棄指示を示すコマンドおよび廃棄データ情報を受信したら、当該コマンドを読み取り、廃棄データ情報をブリッジ3の有する廃棄データのリスト(以下、廃棄データリストという)に登録する。
ブリッジ3は、中継するデータが廃棄データリストに含まれているかリスト内の検索を行い、廃棄データリストに含まれている場合は、同データの中継を行わない。
ここで、本実施の形態におけるブリッジ3は、廃棄データの中継を中止するために、中継するデータの各階層のヘッダ情報を読み取る機能を備えている。具体的には、ブリッジ3は、ブリッジ3内のメモリまたはディスクに中継するデータの各階層のヘッダ情報を読み取るためのプログラムを記憶しており、ブリッジ3内のプロセッサにそのプログラムを実行させることで、当該機能を実行する。
例えば、TCP/IPプロトコルに基づいたフレームには、データフィールドの前にTCPヘッダが追加されており、さらにその前にEthernetヘッダが追加されている。TCPヘッダにはデータの用途を示すportナンバーが記録されており、EthernetヘッダにはVLAN_IDと送信元MAC(Media Access Control)アドレスが記録されている。ブリッジ3は、これらのヘッダ情報を読み取り、廃棄データリストに含まれる廃棄データのVLAN_ID等と一致するか検索を行い、一致する場合は、そのデータの中継を中止する。
具体的には、ブリッジ3は、データ通信制御装置1が送信する廃棄指示を示すコマンドおよび廃棄データ情報を受信したら、当該コマンドを読み取り、廃棄データ情報をブリッジ3の有する廃棄データのリスト(以下、廃棄データリストという)に登録する。
ブリッジ3は、中継するデータが廃棄データリストに含まれているかリスト内の検索を行い、廃棄データリストに含まれている場合は、同データの中継を行わない。
ここで、本実施の形態におけるブリッジ3は、廃棄データの中継を中止するために、中継するデータの各階層のヘッダ情報を読み取る機能を備えている。具体的には、ブリッジ3は、ブリッジ3内のメモリまたはディスクに中継するデータの各階層のヘッダ情報を読み取るためのプログラムを記憶しており、ブリッジ3内のプロセッサにそのプログラムを実行させることで、当該機能を実行する。
例えば、TCP/IPプロトコルに基づいたフレームには、データフィールドの前にTCPヘッダが追加されており、さらにその前にEthernetヘッダが追加されている。TCPヘッダにはデータの用途を示すportナンバーが記録されており、EthernetヘッダにはVLAN_IDと送信元MAC(Media Access Control)アドレスが記録されている。ブリッジ3は、これらのヘッダ情報を読み取り、廃棄データリストに含まれる廃棄データのVLAN_ID等と一致するか検索を行い、一致する場合は、そのデータの中継を中止する。
次に、ECU4について説明する。ECU4は、車両の状態量またはユーザの操作量を示すデータに基づいて、車載装置の制御を行うものである。また、制御を行っている車載装置の状態量を示すデータを生成して、他のECU4へ送信するものである。
ECU4は、通信線6を介してブリッジ3に通信可能に接続されており、他のECU4またはセンサ5とデータ通信を行う。またECU4は、車両に搭載された複数の車載装置の一つと通信可能に接続されている。
ECU4は、他のECU4やセンサ5から車両の状態量等のデータを受信して、接続されている車載装置を制御するための制御信号を生成し、車載装置へ送信することで、車載装置の制御を行う。
またECU4は、車載装置からその状態量を取得して、車載装置の状態量を示すデータを生成し、他のECU4へ送信する。他のECU4は、当該データを用いて、別の車載装置の制御を行う。
またECU4は、車載装置からその状態量を取得して、車載装置の状態量を示すデータを生成し、他のECU4へ送信する。他のECU4は、当該データを用いて、別の車載装置の制御を行う。
ECU4の例として、車載装置であるエンジン、ステアリング装置、ブレーキ装置、ナビゲーション装置またはエアコンなどの制御を行うものがある。
次に、センサ5について説明する。センサ5は、車両の状態量を示すデータまたはユーザの操作量を示すデータを生成し、ECU4へ送信するものである。
センサ5は、通信線6を介してブリッジ3に通信可能に接続されており、ECU4とデータ通信を行う。
センサ5は、車両の状態量を示すデータ等を一定の周期で生成し、順次、ECU4へ送信する。またECU4からのデータ送信指令を受信して、データを生成し、送信する場合もある。
センサ5は、車両の状態量を示すデータ等を一定の周期で生成し、順次、ECU4へ送信する。またECU4からのデータ送信指令を受信して、データを生成し、送信する場合もある。
センサ5の例として、エンジンの温度を測定する温度センサおよびユーザによるハンドルの操作量を検知する回転角センサなどがある。
なお、図1に示されるECU4およびセンサ5は、”ECU A1”または”センサ A2”などと表記されている。これは図3のドメイン構成データベース13のリストのデータ送信機器を示す情報と対応している。すなわち、図1における”ECU A1”および”センサ A2”はドメインAに属しており、”ECU B1”および”センサ B2”はドメインBに属しており、”ECU C1”および”ECU C2”はドメインCに属している。
図1の例では、1つのブリッジ3に接続されているECU4およびセンサ5が同一ドメインに属する例を示しているが、ブリッジ3をまたいでドメインが設定されてもよい。
図1の例では、1つのブリッジ3に接続されているECU4およびセンサ5が同一ドメインに属する例を示しているが、ブリッジ3をまたいでドメインが設定されてもよい。
次に、通信線6について説明する。通信線6は、データ通信制御装置1、攻撃検知装置2、複数のブリッジ3、複数のECU4、および複数のセンサ5(これらをネットワーク構成機器と呼ぶ)から送信されるデータを別のネットワーク構成機器へ伝送するものである。
通信線6は複数あり、データ通信制御装置1、攻撃検知装置2、複数のブリッジ3、複数のECU4、複数のセンサ5それぞれと接続されている。
通信線6の例として、バスやLAN(Local Area Network)ケーブルなどがある。
通信線6の例として、バスやLAN(Local Area Network)ケーブルなどがある。
また、ネットワーク構成機器間が上記の通信線6により接続されることで、車両制御システム100の車載ネットワークが構築されている。
ネットワーク構成機器の間は、通信線6を介して、CANまたはEthernetなどの通信プロトコルに基づいたデータ通信が行われる。
ネットワーク構成機器の間は、通信線6を介して、CANまたはEthernetなどの通信プロトコルに基づいたデータ通信が行われる。
ここまで、車両制御システム100の各構成要素の説明を行った。また車両制御システム100に含まれるデータ通信制御装置1の各構成要素の説明を行った。
次に、データ通信制御装置1の構成要素として説明したドメイン構成データベース13に記憶されたデータ識別情報のリストおよび廃棄ポリシデータベース14に記憶されたドメインに対応する廃棄ポリシの作成方法を説明する。
次に、データ通信制御装置1の構成要素として説明したドメイン構成データベース13に記憶されたデータ識別情報のリストおよび廃棄ポリシデータベース14に記憶されたドメインに対応する廃棄ポリシの作成方法を説明する。
データ識別情報のリストおよび廃棄ポリシは、コンピュータを用いて、仮想的に車載ネットワークの通信を再現してシミュレーションを行い、正常状態におけるシミュレーション結果と攻撃データを廃棄した攻撃状態でのシミュレーション結果とを比較することにより、作成する。以下、具体的に説明する。
コンピュータ上で、実際の車載ネットワークと対応する仮想車載ネットワークを設計し、仮想車両制御システムを構築する。また、車両が実際に動作しているときの車両の状態量を示すデータおよびユーザの操作量を示すデータなど、車両が実際に動作している際に取得または入力されるデータを用意する。これらのデータを用いて、仮想車両制御システムを仮想的に動作させ、シミュレーションを行う。シミュレーションにより、仮想車両制御システムを構成する仮想ECU、仮想センサ間で行われる通信内容や仮想車載装置へ送信される制御信号の内容に関する結果を得る。この結果は、仮想車両制御システムの正常状態における結果である。
また、仮想車両制御システムに含まれる仮想ECUまたは仮想センサである仮想データ送信機器が不正にプログラムを書き換えられて仮想攻撃データ送信機器となり、攻撃データを送信し始めたと仮定して、仮想攻撃データ送信機器から送信されるデータ(第1データまたは第2データ)を廃棄した状態でシミュレーションを行う。シミュレーションにより、仮想車両制御システムを構成する仮想ECU同士、または仮想ECUと仮想センサの間で行われる通信内容や仮想車載装置へ送信される制御信号の内容に関する結果を得る。この結果は、仮想車両制御システムが攻撃を受け、攻撃データを廃棄した攻撃状態における結果である。
上記の正常状態における結果と攻撃状態における結果とを比較することにより、仮想攻撃データ送信機器から送信されるデータ(第1データまたは第2データ)を廃棄した状態において、仮想攻撃データ送信機器が属するドメインの機能にどのような影響があるかを知ることができ、当該ドメインの機能に対して生じる不具合を確認することができる。
同様にして、仮想攻撃データ送信機器となりうるECU、センサそれぞれについて、仮想攻撃データ送信機器であったと仮定して、上記のシミュレーションを繰り返し、ドメインの機能に対して生じる不具合の確認を行う。
上記のシミュレーションの結果を用いたデータ識別情報のリストの作成方法について具体的に説明する。
まず上記の正常状態におけるシミュレーションの結果である通信内容から、車載ネットワークで送信され車両の制御に用いられる複数のデータ(第1データおよび第2データ)を特定する。特定した複数のデータと対応する複数のデータ識別情報をドメイン毎に分類してリスト化する。ここで、ドメイン内では共通する識別子および識別値が用いられるため、識別子および識別値に基づいて分類することが可能である。あるいは、ドメインは、車両の制御系(駆動系、ボディ系、安全系など)ごとに含まれるデータ送信機器の集合であるため、制御系ごとに分類したデータ送信機器から送信されるデータを同一ドメインに属するデータとして分類することが可能である。
さらに同一のドメインに分類されたデータのデータ識別情報には、同一のドメイン名を付してドメイン構成データベース13に記憶させる。
まず上記の正常状態におけるシミュレーションの結果である通信内容から、車載ネットワークで送信され車両の制御に用いられる複数のデータ(第1データおよび第2データ)を特定する。特定した複数のデータと対応する複数のデータ識別情報をドメイン毎に分類してリスト化する。ここで、ドメイン内では共通する識別子および識別値が用いられるため、識別子および識別値に基づいて分類することが可能である。あるいは、ドメインは、車両の制御系(駆動系、ボディ系、安全系など)ごとに含まれるデータ送信機器の集合であるため、制御系ごとに分類したデータ送信機器から送信されるデータを同一ドメインに属するデータとして分類することが可能である。
さらに同一のドメインに分類されたデータのデータ識別情報には、同一のドメイン名を付してドメイン構成データベース13に記憶させる。
なお、車両の制御に用いられる複数のデータ(第1データおよび第2データ)のデータ識別情報すべてをリスト化してもよいが、データ識別情報を構成する識別子、識別値、データ送信機器、サービス識別子またはサービス識別値が複数の第1データで共通する場合は、1つだけ記憶させればよい。
具体的には、ドメインAに属するデータが2つあり、識別子および識別値はVLAN_ID 100で共通しており、1つの第1データがデータ送信機器A1から、もう1つの第1データがデータ送信機器A2から送信されている場合、図3のリストの例のように、ドメインAの行において、識別子の列にはVLAN_IDを1つ、識別値の列には100を1つ記憶する。またデータ送信機器の列にはA1およびA2を記憶する。
具体的には、ドメインAに属するデータが2つあり、識別子および識別値はVLAN_ID 100で共通しており、1つの第1データがデータ送信機器A1から、もう1つの第1データがデータ送信機器A2から送信されている場合、図3のリストの例のように、ドメインAの行において、識別子の列にはVLAN_IDを1つ、識別値の列には100を1つ記憶する。またデータ送信機器の列にはA1およびA2を記憶する。
次に、ドメインごとに廃棄ポリシを設定する方法を具体的に説明する。
シミュレーションの正常状態の結果と攻撃状態の結果の比較から、あるデータが廃棄され、そのデータの属するドメインの機能に不具合が生じていると確認できた場合は、そのデータの属するドメインの廃棄ポリシをドメインと設定する。言い換えれば、攻撃データが廃棄された場合に、車両の制御に不具合を生じさせるデータ(第1廃棄候補データ)として、当該ドメインに属するデータが設定される。
シミュレーションの正常状態の結果と攻撃状態の結果の比較から、あるデータが廃棄され、そのデータの属するドメインの機能に不具合が生じていると確認できた場合は、そのデータの属するドメインの廃棄ポリシをドメインと設定する。言い換えれば、攻撃データが廃棄された場合に、車両の制御に不具合を生じさせるデータ(第1廃棄候補データ)として、当該ドメインに属するデータが設定される。
リスト上のすべてのドメインに対して、廃棄ポリシをドメインとするか否かを判断した後、廃棄ポリシにドメインを設定しなかったドメインについて廃棄ポリシを設定する。
あるデータを送信しているデータ送信機器が、車両の安全上重要な機能を実行するドメインに属している場合は、当該データ送信機器から送信されているほかの用途に用いられるデータについても、予め廃棄しておくことが好ましい。そのため、廃棄ポリシをドメインと設定しなかったドメインが車両の安全上重要な機能を実行するドメインである場合は、当該ドメインに対する廃棄ポリシとしてデータ送信機器(第2廃棄情報)を設定する。
また、廃棄ポリシをドメインと設定しなかったドメインが車両の安全上重要な機能を実行していないドメインである場合は、当該ドメインに対する廃棄ポリシとしてサービス(第2廃棄情報)を設定する。
あるデータを送信しているデータ送信機器が、車両の安全上重要な機能を実行するドメインに属している場合は、当該データ送信機器から送信されているほかの用途に用いられるデータについても、予め廃棄しておくことが好ましい。そのため、廃棄ポリシをドメインと設定しなかったドメインが車両の安全上重要な機能を実行するドメインである場合は、当該ドメインに対する廃棄ポリシとしてデータ送信機器(第2廃棄情報)を設定する。
また、廃棄ポリシをドメインと設定しなかったドメインが車両の安全上重要な機能を実行していないドメインである場合は、当該ドメインに対する廃棄ポリシとしてサービス(第2廃棄情報)を設定する。
以上のようにして、ドメイン構成データベース13に記憶されたデータ識別情報のリストおよび廃棄ポリシデータベース14に記憶された廃棄ポリシは作成される。
なお、ドメイン構成データベース13に記憶されたデータ識別情報のリストおよび廃棄ポリシデータベース14に記憶された廃棄ポリシは、上記のようにシミュレーション結果を利用して作成できるほか、経験則に基づいて、車両の制御に不具合が生じるか、車両の安全に関わるものかを判断して、作成できる。
次に、図5を参照して、データ通信制御装置1のハードウェア構成を説明する。
図5は、本発明の実施の形態1に係るデータ通信制御装置1を実現するためのハードウェア構成を示すブロック図である。
図5は、本発明の実施の形態1に係るデータ通信制御装置1を実現するためのハードウェア構成を示すブロック図である。
データ通信制御装置1はECUで構成されており、プロセッサ111、メモリ112、ネットワークインタフェース113およびディスク(不揮発性メモリ)114を備えている。
攻撃データ情報取得部11は、攻撃データ識別情報を取得するためのプログラムを、メモリ112またはディスク114からプロセッサ111が読み出し、実行することにより実現される。廃棄データ決定部12は、廃棄データを決定するためのプログラムを、メモリ112またはディスク114からプロセッサ111が読み出し、実行することにより実現される。データ廃棄指示部15は、廃棄指示を送信するためのプログラムを、メモリ112またはディスク114からプロセッサ111が読み出し、実行することにより実現される。
また、攻撃データ情報取得部11およびデータ廃棄指示部15による攻撃データ識別情報の取得および廃棄指示の送信は、ネットワークインタフェース113により行われる。
ドメイン構成データベース13および廃棄ポリシデータベース14はメモリ112またはディスク114にデータ識別情報のリストおよび廃棄ポリシを記憶することにより実現される。
攻撃データ情報取得部11は、攻撃データ識別情報を取得するためのプログラムを、メモリ112またはディスク114からプロセッサ111が読み出し、実行することにより実現される。廃棄データ決定部12は、廃棄データを決定するためのプログラムを、メモリ112またはディスク114からプロセッサ111が読み出し、実行することにより実現される。データ廃棄指示部15は、廃棄指示を送信するためのプログラムを、メモリ112またはディスク114からプロセッサ111が読み出し、実行することにより実現される。
また、攻撃データ情報取得部11およびデータ廃棄指示部15による攻撃データ識別情報の取得および廃棄指示の送信は、ネットワークインタフェース113により行われる。
ドメイン構成データベース13および廃棄ポリシデータベース14はメモリ112またはディスク114にデータ識別情報のリストおよび廃棄ポリシを記憶することにより実現される。
次に実施の形態1に係るデータ通信制御装置1の動作について、図6を参照して説明する。
図6は、本発明の実施の形態1に係るデータ通信制御装置1の処理を示すフローチャートである。
データ通信制御装置1の処理は、車両制御システム100の起動時に開始される。
具体的には、データ通信制御装置1のプロセッサ111は、車両制御システム100の起動時に、メモリ112またはディスク114に記憶された攻撃データ情報を取得するプログラム、廃棄データを決定するプログラム、廃棄指示を送信するためのプログラムを読み出し、実行する。
具体的には、データ通信制御装置1のプロセッサ111は、車両制御システム100の起動時に、メモリ112またはディスク114に記憶された攻撃データ情報を取得するプログラム、廃棄データを決定するプログラム、廃棄指示を送信するためのプログラムを読み出し、実行する。
攻撃データ情報取得部11は攻撃データ識別情報の受信の判定を行い(ステップS101)、攻撃データ識別情報を受信するまで判定を繰り返す(ステップS101でNOの場合)。
具体的には、攻撃データ識別情報は、攻撃検知装置2から、予め定められた特定のIDを追加したデータとして送信されてくるため、データ通信制御装置1のプロセッサ111は、送信されてくるデータのIDを識別し、攻撃データ識別情報の受信の判定を行う。
具体的には、攻撃データ識別情報は、攻撃検知装置2から、予め定められた特定のIDを追加したデータとして送信されてくるため、データ通信制御装置1のプロセッサ111は、送信されてくるデータのIDを識別し、攻撃データ識別情報の受信の判定を行う。
攻撃データ情報取得部11が攻撃データ識別情報を受信した場合(ステップS101でYESの場合)、攻撃データ識別情報が攻撃データ情報取得部11から廃棄データ決定部12へ送られ、廃棄データ決定部12は、ドメイン構成データベース13に記憶されたデータ識別情報のリストの中で攻撃データ識別情報(識別子、識別値、データ送信機器、サービス識別子およびサービス識別値)と一致するものを検索し(ステップS102)、攻撃データ識別情報がリスト内のデータ識別情報のいずれかと一致するか判定を行う(ステップS103)。
具体的には、データ通信制御装置1のプロセッサ111は、メモリ112またはディスク114に記憶されたデータ識別情報のリストの1番目のデータ識別情報と攻撃データ識別情報とが一致するか判定し、一致するデータ識別情報が見つかるまでリスト内のデータ識別情報を順次判定する。
具体的には、データ通信制御装置1のプロセッサ111は、メモリ112またはディスク114に記憶されたデータ識別情報のリストの1番目のデータ識別情報と攻撃データ識別情報とが一致するか判定し、一致するデータ識別情報が見つかるまでリスト内のデータ識別情報を順次判定する。
そして、一致する場合(ステップS103でYESの場合)、廃棄データ決定部12は、攻撃データ識別情報と一致するデータ識別情報に対応するドメイン名をドメイン構成データベース13から読み出す(ステップS104)。攻撃データ識別情報がリスト内のデータ識別情報のいずれとも一致しない場合(ステップS103でNOの場合)、再び攻撃データ識別情報が受信されるまで、攻撃データ識別情報の受信の判定を繰り返す(ステップS101)。
具体的には、データ通信制御装置1のプロセッサ111は、メモリ112またはディスク114に記憶されたデータ識別情報のリストの中で、あるデータ識別情報が攻撃データ識別情報と一致すると判定した場合には、当該データ識別情報に付されているドメイン名を、メモリ112またはディスク114から読み出す。またいずれのデータ識別情報も一致しないと判定した場合は、攻撃データ識別情報の受信の判定処理へと戻る。
具体的には、データ通信制御装置1のプロセッサ111は、メモリ112またはディスク114に記憶されたデータ識別情報のリストの中で、あるデータ識別情報が攻撃データ識別情報と一致すると判定した場合には、当該データ識別情報に付されているドメイン名を、メモリ112またはディスク114から読み出す。またいずれのデータ識別情報も一致しないと判定した場合は、攻撃データ識別情報の受信の判定処理へと戻る。
廃棄データ決定部12は、廃棄ポリシデータベース14から、ステップS104で読み出したドメイン名と一致するものを検索し、一致したドメイン名と対応する廃棄ポリシを読み出す(ステップS105)。
廃棄データ決定部12は読み出した廃棄ポリシに基づいて、廃棄データを決定する(ステップS106)。
具体的には、データ通信制御装置1のプロセッサ111は、メモリ112またはディスク114に記憶された廃棄ポリシのリストの一番目のドメイン名を示す情報と、先に読み出したドメイン名を示す情報とが一致するか判定し、一致するドメイン名を示す情報が見つかるまでリスト内のドメイン名を示す情報を順次判定する。一致するドメイン名を示す情報が見つかった場合は、プロセッサ111は、メモリ112またはディスク114から、当該ドメイン名を示す情報と対応づけられた廃棄ポリシを読み出す。
プロセッサ111は、廃棄ポリシ”ドメイン”を読み出した場合、メモリ112またはディスク114に保持している攻撃データ識別情報から、識別子および識別値を読み出し、これらと同じ識別子および識別値が設定されたデータを廃棄データと決定する。
プロセッサ111は、廃棄ポリシ”データ送信機器”を読み出した場合、メモリ112またはディスク114に保持している攻撃データ識別情報から、識別子、識別値およびデータ送信機器を示す情報を読み出し、これらと同じ識別子、識別値およびデータ送信機器を示す情報が設定されたデータを廃棄データと決定する。
プロセッサ111は、廃棄ポリシ”サービス”を読み出した場合、メモリ112またはディスク114に保持している攻撃データ識別情報から、識別子、識別値、データ送信機器を示す情報、サービス識別子およびサービス識別値を読み出し、これらと同じ識別子、識別値、データ送信機器を示す情報、サービス識別子およびサービス識別値が設定されたデータを廃棄データと決定する。
廃棄データ決定部12は読み出した廃棄ポリシに基づいて、廃棄データを決定する(ステップS106)。
具体的には、データ通信制御装置1のプロセッサ111は、メモリ112またはディスク114に記憶された廃棄ポリシのリストの一番目のドメイン名を示す情報と、先に読み出したドメイン名を示す情報とが一致するか判定し、一致するドメイン名を示す情報が見つかるまでリスト内のドメイン名を示す情報を順次判定する。一致するドメイン名を示す情報が見つかった場合は、プロセッサ111は、メモリ112またはディスク114から、当該ドメイン名を示す情報と対応づけられた廃棄ポリシを読み出す。
プロセッサ111は、廃棄ポリシ”ドメイン”を読み出した場合、メモリ112またはディスク114に保持している攻撃データ識別情報から、識別子および識別値を読み出し、これらと同じ識別子および識別値が設定されたデータを廃棄データと決定する。
プロセッサ111は、廃棄ポリシ”データ送信機器”を読み出した場合、メモリ112またはディスク114に保持している攻撃データ識別情報から、識別子、識別値およびデータ送信機器を示す情報を読み出し、これらと同じ識別子、識別値およびデータ送信機器を示す情報が設定されたデータを廃棄データと決定する。
プロセッサ111は、廃棄ポリシ”サービス”を読み出した場合、メモリ112またはディスク114に保持している攻撃データ識別情報から、識別子、識別値、データ送信機器を示す情報、サービス識別子およびサービス識別値を読み出し、これらと同じ識別子、識別値、データ送信機器を示す情報、サービス識別子およびサービス識別値が設定されたデータを廃棄データと決定する。
データ廃棄指示部15は廃棄データ決定部12から廃棄データとして決定されたデータを示す廃棄データ情報を取得し、廃棄指示を生成し、ブリッジ3へ送信する(ステップS107)。
具体的には、データ通信制御装置1のプロセッサ111は、特定のIDを追加したフレームのデータフィールドへ、決定した廃棄データを示す識別子等の情報を廃棄データ情報として記録し、コマンドを生成する。このコマンドをネットワークインタフェース113からブリッジ3へ送信する。ここでいう特定のIDは、ブリッジ3に廃棄データを廃棄させるために予め定められたIDである。
具体的には、データ通信制御装置1のプロセッサ111は、特定のIDを追加したフレームのデータフィールドへ、決定した廃棄データを示す識別子等の情報を廃棄データ情報として記録し、コマンドを生成する。このコマンドをネットワークインタフェース113からブリッジ3へ送信する。ここでいう特定のIDは、ブリッジ3に廃棄データを廃棄させるために予め定められたIDである。
その後、再び攻撃データ識別情報が受信されるまで、攻撃データ識別情報の受信の判定を繰り返す(ステップS101)。
次に、ブリッジ3の処理について図7を用いて説明する。図7は、本発明の実施の形態1に係るブリッジの処理を示すフローチャートである。
ブリッジ3は、データ通信制御装置1から送信される廃棄指示のコマンドを受信して、IDを読み取って廃棄指示と認識すると、廃棄指示のコマンドに含まれる廃棄データ情報を読み出し、廃棄データリストに追加する。
この廃棄データリストを用いて、ブリッジ3が車載ネットワークで送信されるデータを中継するか否かを判定し、中継または中継中止を行う処理は、次の通りである。
この廃棄データリストを用いて、ブリッジ3が車載ネットワークで送信されるデータを中継するか否かを判定し、中継または中継中止を行う処理は、次の通りである。
ブリッジ3の中継または中継中止を行う処理は、車両制御システム100の起動時に開始される。
ブリッジ3は、自身と通信線6を介して接続されているデータ送信機器から、中継するデータを受信したか否かの判定を行う(ステップS111)。中継するデータを受信していない場合は、中継するデータを受信するまで判定処理を繰り返す(ステップS111でNOの場合)。
ブリッジ3は中継するデータを受信した場合(ステップS111でYESの場合)、中継するデータが、廃棄データリストに含まれる廃棄データ情報と一致するデータか否かを判定する処理を開始する(ステップS112からステップS114)。ステップS112からステップS114は廃棄データリストの一番目のリストから順番に、中継するデータがリスト内の廃棄データ情報と一致するデータであるか判定する処理である(図7ではリスト検索ループと表記)。この処理は、リスト内のすべての廃棄データ情報を検索し終えると終了する。また、検索の途中で、中継するデータが廃棄データ情報と一致するデータであると判定した場合も終了する(ステップS113でNOの場合)。
ブリッジ3は、中継するデータがリストの一番目の廃棄データ情報と一致するデータであるかを判定し、一致しない場合(ステップS113でNOの場合)、次の廃棄データ情報について同様に判定処理を行い、これを繰り返す。中継するデータがリストの一番目または何番目かの廃棄データ情報と一致するデータである場合(ステップS113でYESの場合)、この中継するデータは、廃棄データであるから、データの中継を中止する(ステップS116)。
またブリッジ3は、中継するデータがリスト内のすべての廃棄データ情報と一致するデータではなかった場合は、ループ(ステップS112からステップS114)を終了し、データの中継を行う(ステップS115)。
なお、廃棄データ情報は、例えば廃棄ポリシがドメインの場合、識別子および識別値の情報である。中継するデータの識別子および識別値が廃棄データ情報である識別子および識別値と一致する場合、当該中継するデータを廃棄データ情報と一致するデータと判定する。
そのほか、廃棄ポリシがデータ送信機器である場合は、識別子、識別値およびデータ送信機器を示す情報が廃棄データ情報であり、中継するデータの識別子、識別値およびデータ送信機器を示す情報が一致する場合、廃棄データ情報と一致するデータと判定する。廃棄ポリシがサービスである場合は、識別子、識別値データ送信機器を示す情報、サービス識別子およびサービス識別値が廃棄データ情報であり、中継するデータの識別子、識別値データ送信機器を示す情報、サービス識別子およびサービス識別値が一致する場合、廃棄データ情報と一致するデータと判定する。
そのほか、廃棄ポリシがデータ送信機器である場合は、識別子、識別値およびデータ送信機器を示す情報が廃棄データ情報であり、中継するデータの識別子、識別値およびデータ送信機器を示す情報が一致する場合、廃棄データ情報と一致するデータと判定する。廃棄ポリシがサービスである場合は、識別子、識別値データ送信機器を示す情報、サービス識別子およびサービス識別値が廃棄データ情報であり、中継するデータの識別子、識別値データ送信機器を示す情報、サービス識別子およびサービス識別値が一致する場合、廃棄データ情報と一致するデータと判定する。
本発明の実施の形態1に係るデータ通信制御装置1は、以上のように構成されており、次のような効果を奏する。
データ通信制御装置1は、車載ネットワークで送信されるデータ(第1データ)を示すデータ識別情報(第1データ識別情報)を記憶している。また、記憶されているデータが廃棄され、そのデータが属するドメインの機能に不具合が生じる場合に、当該ドメインに属するデータを車両の制御に不具合を生じさせるデータ(第1廃棄候補データ)として予め特定して、データ識別情報と対応づけて記憶している。すなわち、攻撃データが廃棄された場合に車両の制御に不具合を生じさせるデータ(第1廃棄候補データ)が第1廃棄情報として記憶されている。
また、データ通信制御装置1は、攻撃データ識別情報を取得した場合に、攻撃データ識別情報と一致するデータ識別情報と対応する第1廃棄候補データを廃棄データと決定する。
これにより、攻撃データが廃棄され、車両の制御に不具合が生じる場合であっても、不具合の原因となるデータ(第1廃棄候補データ)を廃棄することが可能となる。その結果、車両の制御に不具合が生じる可能性を低減できる。
また、データ通信制御装置1は、攻撃データ識別情報を取得した場合に、攻撃データ識別情報と一致するデータ識別情報と対応する第1廃棄候補データを廃棄データと決定する。
これにより、攻撃データが廃棄され、車両の制御に不具合が生じる場合であっても、不具合の原因となるデータ(第1廃棄候補データ)を廃棄することが可能となる。その結果、車両の制御に不具合が生じる可能性を低減できる。
また、データ通信制御装置1は、車載ネットワークで送信されるデータが廃棄された場合、ドメインの機能に不具合が生じる場合とドメインの機能に不具合が生じない場合とで、異なる廃棄ポリシ(第1廃棄情報および第2廃棄情報)を設定している。これらの廃棄ポリシを用いて、攻撃データの廃棄に伴いドメインの機能に不具合が生じる場合には、ドメイン内のすべてのデータを廃棄データとし、攻撃データの廃棄に伴いドメインの機能に不具合が生じない場合には、ドメイン内で攻撃データ送信機器から送信されるデータだけを廃棄データとしている。
これにより、ドメインの機能に不具合を生じる場合は、不具合の原因となるデータを廃棄して不具合が生じる可能性を低減し、ドメインの機能に不具合が生じない場合には、ドメイン内のデータをできるだけ維持して、攻撃データによって車両に異常な動作が生じる可能性を低減できる。
これにより、ドメインの機能に不具合を生じる場合は、不具合の原因となるデータを廃棄して不具合が生じる可能性を低減し、ドメインの機能に不具合が生じない場合には、ドメイン内のデータをできるだけ維持して、攻撃データによって車両に異常な動作が生じる可能性を低減できる。
また、データ通信制御装置1は、ドメインの機能に不具合が生じない場合に、さらに2つの異なる廃棄ポリシ(第2廃棄情報)を設定している。攻撃データ送信機器が属するドメインが車両の安全性に関わる機能を有する場合は、攻撃データ送信機器が送信するすべてのデータを廃棄データとし、車両の安全性に関わる機能を有しない場合は、攻撃データ送信機器が送信するデータのうち、攻撃データと同じ用途のデータを廃棄データとする。
これにより、攻撃データの車両の安全性に対する影響度合いに応じて、正常なデータを維持することが可能となり、車両の動作をできるだけ維持することが可能となる。
これにより、攻撃データの車両の安全性に対する影響度合いに応じて、正常なデータを維持することが可能となり、車両の動作をできるだけ維持することが可能となる。
実施の形態2
次に、本発明の実施の形態2について説明する。実施の形態1の構成および動作と同様の部分については説明を省略し、実施の形態1と異なる部分について、以下に説明する。
次に、本発明の実施の形態2について説明する。実施の形態1の構成および動作と同様の部分については説明を省略し、実施の形態1と異なる部分について、以下に説明する。
実施の形態1では、廃棄データ決定部12が、攻撃データ情報取得部11が取得した攻撃データ識別情報とドメイン構成データベース13に記憶されたデータ識別情報のリストを比較し、一致した場合に、一致したデータ識別情報と対応する廃棄ポリシを読み出して、廃棄データを決定していた。
しかし、攻撃データ識別情報は、識別子、識別値、データ送信機器、サービス識別子およびサービス識別値の情報により構成されているが、攻撃データ情報取得部11がこれらのすべての情報を入手できない場合が考えられる。例えば、攻撃検知装置2が攻撃データ識別情報を攻撃データから抽出する際にエラーが生じて、すべての情報を取りきれない場合、攻撃検知装置2の性能上または機能上の問題ですべての情報が取りきれない場合、攻撃検知装置2から攻撃データ情報取得部11へ攻撃データ識別情報が送信される際に通信エラーが生じて、一部の情報が破損してしまう場合が考えられる。
実施の形態2では、廃棄データ決定部12は、上記のように攻撃データ識別情報として、識別子、識別値、データ送信機器、サービス識別子およびサービス識別値の情報のうち、一部の情報が得られなかった場合であっても、所定の条件を満たす場合に、廃棄対象のデータを決定する。
所定の条件とは、攻撃データ識別情報として一部の情報のみが得られた場合に、その一部の情報において一致するデータ識別情報がドメイン構成データベース13に1つしかない場合である。その場合は廃棄ポリシを一律に決定できる。
また一部の情報において一致するデータ識別情報がドメイン構成データベース13に複数ある場合であっても、複数のデータ識別情報に対応する廃棄ポリシが一致している場合も同様である。この場合も、廃棄ポリシを一律に決定できる。
また一部の情報において一致するデータ識別情報がドメイン構成データベース13に複数ある場合であっても、複数のデータ識別情報に対応する廃棄ポリシが一致している場合も同様である。この場合も、廃棄ポリシを一律に決定できる。
実施の形態2に係るデータ通信制御装置1の装置構成は、実施の形態1のものと同様であるが、攻撃データ識別情報とドメイン構成データベース13に記憶されたデータ識別情報のリストとが一致しないと判定された際の処理(図6のステップS103でNOの場合)が追加されている。追加された処理について図8をいて説明する。
図8は本発明の実施の形態2に係るデータ通信制御装置の処理を示すフローチャートである。
攻撃データ識別情報の取得から、廃棄指示の送信までの処理は、実施の形態1と同様である(ステップS101〜107)。
攻撃データ情報取得部11が取得した攻撃データ識別情報がドメイン構成データベース13に記憶されたデータ識別情報と完全に一致しない場合(ステップS103でNOの場合)、廃棄データ決定部12は、次の処理を行う。攻撃データ識別情報に識別子、識別値(図8ではIDと表記)およびデータ送信機器の情報が含まれる場合、廃棄データ決定部12は、ドメイン構成データベース13に記憶されたデータ識別情報の中で、攻撃データ識別情報の識別子、識別値およびデータ送信機器の情報と一致するデータ識別情報があるか判定する(ステップS201)。
攻撃データ識別情報の識別子、識別値およびデータ送信機器の情報と一致するデータ識別情報がある場合(ステップS201でYESの場合)、それらのデータ識別情報と対応するドメイン名を読み出す(ステップS202)。ここで、一致したデータ識別情報の識別子および識別値は同一であるから、ドメインは同じであり、ドメイン名は共通する。そのため、データ識別情報の一つと対応するドメイン名を読み出してもよい。
さらに、廃棄データ決定部12は、読み出したドメイン名と対応する廃棄ポリシを廃棄ポリシデータベース14から読み出す(ステップS203)。読み出された廃棄ポリシが、ドメイン(第1廃棄情報)またはデータ送信機器(第2廃棄情報)である場合(ステップS204でYESの場合)、その廃棄ポリシに基づいて、廃棄データを決定し(ステップS106)、廃棄指示をブリッジ3へ送信する(ステップS107)。
また、読み出された廃棄ポリシが、ドメインまたはデータ送信機器でない場合(ステップS204でNOの場合)、欠落した攻撃データ識別情報を改めて受信するため、ステップS101へ戻る。
ここで、攻撃データ識別情報が一部しかないにもかかわらず、廃棄対象のデータを決定できる理由を説明する。攻撃データ識別情報は、識別子、識別値およびデータ送信機器までの情報が得られているが、サービス識別子およびサービス識別値の情報は得られていない。すなわち、攻撃データは、識別子、識別値およびデータ送信機器を示す情報から、発生源となっているドメインおよびデータ送信機器までが判明しているが、どのような用途で用いられるか不明なものである。
廃棄データ決定部12は、廃棄ポリシがドメインまたはデータ送信機器である場合にだけ、廃棄データを決定している。これは、廃棄ポリシがドメインの場合は、どのような用途で用いられる攻撃データであってもドメインに属するデータすべてが廃棄され、廃棄ポリシがデータ送信機器の場合は、どのような用途で用いられる攻撃データであっても同一のデータ送信機器から送信されるデータは廃棄されるからである。言い換えれば、サービス識別子およびサービス識別値がどのようなものであれ、廃棄ポリシは一致し、廃棄対象とするデータは一律に決定できるからである。
反対に、廃棄ポリシがサービスの場合、攻撃データの用途によって廃棄するデータが異なる。廃棄ポリシ”サービス”は、攻撃データの用途と同じ用途のデータを廃棄データとするものだからである。そのため、ステップS204で、廃棄ポリシがサービスだった場合は廃棄データを決定できない。
廃棄データ決定部12は、廃棄ポリシがドメインまたはデータ送信機器である場合にだけ、廃棄データを決定している。これは、廃棄ポリシがドメインの場合は、どのような用途で用いられる攻撃データであってもドメインに属するデータすべてが廃棄され、廃棄ポリシがデータ送信機器の場合は、どのような用途で用いられる攻撃データであっても同一のデータ送信機器から送信されるデータは廃棄されるからである。言い換えれば、サービス識別子およびサービス識別値がどのようなものであれ、廃棄ポリシは一致し、廃棄対象とするデータは一律に決定できるからである。
反対に、廃棄ポリシがサービスの場合、攻撃データの用途によって廃棄するデータが異なる。廃棄ポリシ”サービス”は、攻撃データの用途と同じ用途のデータを廃棄データとするものだからである。そのため、ステップS204で、廃棄ポリシがサービスだった場合は廃棄データを決定できない。
図8に戻って、攻撃データ識別情報の識別子、識別値およびデータ送信機器の情報と一致するデータ識別情報がない場合(ステップS201でNOの場合)、ステップS205へ進む。攻撃データ識別情報に識別子、識別値またはデータ送信機器の情報が含まれなかった場合も同様である。
次にステップS205において、攻撃データ識別情報の識別子および識別値の情報と一致するデータ識別情報がある場合(ステップS205でYESの場合)、それらのデータ識別情報と対応するドメイン名を読み出す(ステップS206)。ここで、一致したデータ識別情報の識別子および識別値は同一であるから、ドメインは同じであり、ドメイン名は共通する。そのため、データ識別情報の一つと対応するドメイン名を読み出してもよい。
さらに、廃棄データ決定部12は、読み出したドメイン名と対応する廃棄ポリシを廃棄ポリシデータベース14から読み出す(ステップS207)。読み出された廃棄ポリシがドメイン(第1廃棄情報)である場合(ステップS208でYESの場合)、その廃棄ポリシに基づいて、廃棄データを決定し(ステップS106)、廃棄指示をブリッジ3へ送信する(ステップS107)。
また、読み出された廃棄ポリシが、ドメインでない場合(ステップS207でNOの場合)、欠落した攻撃データ識別情報を改めて受信するため、ステップS101へ戻る。
攻撃データ識別情報に識別子または識別値の情報が含まれなかった場合は、攻撃データ識別情報の識別子および識別値の情報と一致するデータ識別情報がない場合にあたるので、ステップS205でNOとなり、欠落した攻撃データ識別情報を改めて受信するため、ステップS101へ戻る。
攻撃データ識別情報が一部しかないにもかかわらず、廃棄対象のデータを決定できる理由は先述の理由と同様である。攻撃データは、識別子および識別値までの情報が得られているが、データ送信機器、サービス識別子およびサービス識別値の情報は得られていない。すなわち、攻撃データは、識別子と識別値から、発生源となっているドメインまでが判明しているが、どのデータ送信機器から送信され、どのような用途で用いられるか不明なものである。
廃棄データ決定部12は、廃棄ポリシがドメインである場合にだけ、廃棄対象とするデータを決定している。これは、廃棄ポリシがドメインの場合は、同じドメイン内であればすべてのデータ送信機器から送信されるデータを廃棄し、どのような用途で用いられる攻撃データであっても廃棄するからである。言い換えれば、データ送信機器、サービス識別子およびサービス識別値がどのようなものであれ、廃棄ポリシは一致し、廃棄データは一律に決定できるからである。
反対に、廃棄ポリシがデータ送信機器またはサービスの場合、攻撃データの発生源であるデータ送信機器または攻撃データの用途によって廃棄データが異なる。廃棄ポリシ”データ送信機器”は、攻撃データの発生源であるデータ送信機器から送信されるデータを廃棄データとするものだからである。また廃棄ポリシ”サービス”は、攻撃データの用途と同じ用途のデータを廃棄データとするものだからである。そのため、ステップS208で、廃棄ポリシがデータ送信機器またはサービスだった場合は廃棄データを決定できない。
廃棄データ決定部12は、廃棄ポリシがドメインである場合にだけ、廃棄対象とするデータを決定している。これは、廃棄ポリシがドメインの場合は、同じドメイン内であればすべてのデータ送信機器から送信されるデータを廃棄し、どのような用途で用いられる攻撃データであっても廃棄するからである。言い換えれば、データ送信機器、サービス識別子およびサービス識別値がどのようなものであれ、廃棄ポリシは一致し、廃棄データは一律に決定できるからである。
反対に、廃棄ポリシがデータ送信機器またはサービスの場合、攻撃データの発生源であるデータ送信機器または攻撃データの用途によって廃棄データが異なる。廃棄ポリシ”データ送信機器”は、攻撃データの発生源であるデータ送信機器から送信されるデータを廃棄データとするものだからである。また廃棄ポリシ”サービス”は、攻撃データの用途と同じ用途のデータを廃棄データとするものだからである。そのため、ステップS208で、廃棄ポリシがデータ送信機器またはサービスだった場合は廃棄データを決定できない。
本発明の実施の形態2に係るデータ通信制御装置1は、以上のように処理を行うよう構成されており、次のような効果を奏する。
本発明の実施の形態2に係るデータ通信制御装置1では、攻撃データ情報取得部11が取得した攻撃データ識別情報の一部に欠落がある場合であっても、一部欠落した攻撃データ識別情報と一致するデータ識別情報に対応づけられた廃棄ポリシが1つに定まる場合は、廃棄対象のデータを決定することができる。
これにより、攻撃データ識別情報の一部が欠落した場合であっても、攻撃データを廃棄したことによる車両の制御への影響を低減することができる。
これにより、攻撃データ識別情報の一部が欠落した場合であっても、攻撃データを廃棄したことによる車両の制御への影響を低減することができる。
実施の形態3
次に、本発明の実施の形態3について説明する。実施の形態1の構成および動作と同様の部分については説明を省略し、実施の形態1と異なる部分について、以下に説明する。
なお、実施の形態3を実施の形態2と組み合わせて用いることも可能である。
次に、本発明の実施の形態3について説明する。実施の形態1の構成および動作と同様の部分については説明を省略し、実施の形態1と異なる部分について、以下に説明する。
なお、実施の形態3を実施の形態2と組み合わせて用いることも可能である。
実施の形態1では、データ通信制御装置1が送信した廃棄指示をブリッジ3が受信し、ブリッジ3が、中継するデータの中に廃棄対象のデータが含まれるかを監視して、廃棄対象のデータを検知した際に、そのデータの中継を中止していた。
一方、実施の形態3では、ブリッジ3による廃棄対象のデータの廃棄に代えて、各ECU34および各センサ35に設けられた通信制御部36が各ECU34および各センサ35による廃棄対象のデータの送信を中止し、車載ネットワーク上で送信されるデータ量を削減する。
図9は、本発明の実施の形態3に係る車両制御システム300の構成を示すブロック図である。
データ通信制御装置31は、実施の形態1と同様に廃棄データを決定し、廃棄指示を行うが、廃棄指示を送信する対象が実施の形態1と異なり、各ECU34および各センサ35に設けられた通信制御部36を送信対象とする。
通信制御部36は、ECU内の、データを廃棄するためのプログラムを記憶したメモリまたはディスク、そのプログラムを実行するプロセッサ、および、データ通信制御装置31からの廃棄指示を受信するネットワークインタフェースにより構成されている。
通信制御部36は、データ通信制御装置31が送信する廃棄指示を受信すると、通信制御部36は自身が設けられているECU34またはセンサ35から送信されるデータの生成または送信を制御し、ECU34またはセンサ35に廃棄対象のデータの生成または送信を中止させる。
具体的には、通信制御部36は、自身が設けられたECU34またはセンサ35が車載ネットワークへ送信するデータを示す情報である送信データ識別情報を記憶しており、データ通信制御装置31が送信する廃棄指示を示すコマンドと廃棄データ情報を受信したら、当該コマンドを読み取り、廃棄データ情報と一致する送信データ識別情報を検索する。
廃棄データ情報と一致する送信データ識別情報があれば、通信制御部36は、一致した送信データ識別情報の示すデータに対するECU34またはセンサ35による生成処理または送信処理を中止させる。
具体的には、通信制御部36は、自身が設けられたECU34またはセンサ35が車載ネットワークへ送信するデータを示す情報である送信データ識別情報を記憶しており、データ通信制御装置31が送信する廃棄指示を示すコマンドと廃棄データ情報を受信したら、当該コマンドを読み取り、廃棄データ情報と一致する送信データ識別情報を検索する。
廃棄データ情報と一致する送信データ識別情報があれば、通信制御部36は、一致した送信データ識別情報の示すデータに対するECU34またはセンサ35による生成処理または送信処理を中止させる。
本発明の実施の形態3に係る車両制御システム300は、以上のように構成されており、次のような効果を奏する。
本発明の実施の形態3に係る車両制御システム300は、各ECU34および各センサ35に設けられた通信制御部36が廃棄対象のデータの廃棄を行う。これにより、ECU34またはセンサ35からブリッジ3へ廃棄データが送信される前に、ECU34またはセンサ35内で廃棄されるため、実施の形態1のようにブリッジ3で廃棄対象のデータを廃棄する場合に比べ、車載ネットワーク上で送信されるデータ量を削減することができ、車載ネットワークの帯域圧迫を抑制することができる。
なお、本発明の実施の形態3では、ECU34およびセンサ35に設けた通信制御部36が廃棄データを廃棄する例を示しているが、ECU34およびセンサ35での廃棄に加え、実施の形態1のようにブリッジ3が廃棄データの中継を中止するように構成してもよい。このように構成した場合、すべてのECU34またはセンサ35に通信制御部36を設けてなくともよい。
また、本発明の実施の形態3では、各ECU34および各センサ35に通信制御部36を設けたが、これに代えて、複数のECU34またはセンサ35と接続され、ブリッジ3との通信を中継しているHUBに通信制御部を設けてもよい。このように構成した場合、すべてのECU34およびセンサ35に通信制御部36を設けてなくともよい。
以下、上記の実施の形態1から3の変形例について示す。
上記の実施の形態1から3において、データ通信制御装置1およびデータ通信制御装置31の決定する廃棄データの中には攻撃データも含まれている。そのため、攻撃データを廃棄する指示を個別に行っていないが、攻撃検知装置2が攻撃データを検知した際に、攻撃検知装置2が攻撃データの廃棄指示を送信するようにしてもよい。このようにすることで、データ通信制御装置1およびデータ通信制御装置31による廃棄対象のデータの決定を待たずに、攻撃データを廃棄できる。
上記の実施の形態1から3において、データ通信制御装置1およびデータ通信制御装置31はECUにより構成されるとしたが、ほかのネットワーク構成機器にデータ通信制御装置1、31の機能を付加して構成してもよい。その際、データ通信制御装置1、31の機能をプログラムとして作成し、ネットワーク構成機器に記憶させて、実行させるようにしてもよい。
なお、図1から図9において、同一の符号は同一または相当する部分を表す。
本発明に係るデータ通信制御装置、データ通信制御プログラムおよび車両制御システムは、車載ネットワークへの攻撃に対するセキュリティの分野で利用することができる。
1、31 データ通信制御装置、2 攻撃検知装置、3 ブリッジ、4、34 ECU、5 センサ、11 攻撃データ情報取得部、12 廃棄データ決定部、13 ドメイン構成データベース、14 廃棄ポリシデータベース、15 データ廃棄指示部、36 通信制御部、100、300 車両制御システム、111 プロセッサ、112 メモリ、113 ネットワークインタフェース、114 ディスク
Claims (11)
- 車載ネットワークで送信され車両の制御に用いられる複数のデータで構成されるデータ群の中に、前記車両に異常な動作を起こさせる攻撃データが検知された場合に、前記攻撃データを前記データ群の中から識別するための情報である攻撃データ識別情報を取得する攻撃データ情報取得部と、
前記データ群に含まれ、第1データ送信機器から送信される第1データを前記データ群の中から識別するための情報である第1データ識別情報を記憶し、前記第1データが廃棄された場合に前記車両の制御に不具合を生じさせるデータである第1廃棄候補データを示す情報である第1廃棄情報を、前記第1データ識別情報と対応づけて記憶する廃棄データ記憶部と、
前記攻撃データ情報取得部が前記攻撃データ識別情報を取得した場合、かつ、前記攻撃データ識別情報と前記第1データ識別情報が一致する場合、前記第1データ識別情報に対応付けられた前記第1廃棄情報を前記廃棄データ記憶部から読み出し、前記第1廃棄情報が示す前記第1廃棄候補データを、前記車載ネットワークから廃棄するデータである廃棄データとして決定する廃棄データ決定部と、
前記廃棄データ決定部が決定した前記廃棄データを前記車載ネットワークから廃棄する指示を送信するデータ廃棄指示部と、
を備え、
前記第1データ送信機器を含む複数のデータ送信機器が属する第1ドメインは、前記第1データが廃棄された場合に、ドメインの機能に不具合が生じるドメインであり、
前記第1廃棄情報は、前記第1ドメインに属するすべての前記データ送信機器から送信されるデータを示す情報である
ことを特徴とするデータ通信制御装置。 - 前記廃棄データ記憶部は、前記データ群に含まれ、第2データ送信機器から送信される第2データを前記データ群の中から識別するための情報である第2データ識別情報を記憶し、前記第2データが廃棄された場合に前記車両の制御に不具合を生じさせるデータである第2廃棄候補データを示す情報である第2廃棄情報を、前記第2データ識別情報と対応づけて記憶しており、
前記廃棄データ決定部は、前記攻撃データ情報取得部が前記攻撃データ識別情報を取得した場合、かつ、前記攻撃データ識別情報と前記第2データ識別情報が一致する場合、前記第2データ識別情報に対応付けられた前記第2廃棄情報を前記廃棄データ記憶部から読み出し、前記第2廃棄情報が示すデータを前記廃棄データとして決定し、
前記第2データ送信機器を含む複数のデータ送信機器が属する第2ドメインは、前記第2データが廃棄された場合に、ドメインの機能に不具合が生じないドメインであり、
前記第2廃棄情報は、前記第2ドメインに属するデータ送信機器のうち、前記第2データ送信機器から送信されるデータを示す情報である
ことを特徴とする請求項1に記載のデータ通信制御装置。 - 前記第2廃棄情報は、前記第2ドメインが前記車両の安全性に関わる機能を有する場合、前記第2データ送信機器が送信するすべてのデータを示す情報であり、前記第2ドメインが前記車両の安全性に関わる機能を有しない場合、前記第2データ送信機器が送信するデータのうち、前記第2データの用途と共通する用途で用いられるデータを示す情報であることを特徴とする請求項2に記載のデータ通信制御装置。
- 前記第1データ識別情報は、前記第1データ送信機器を示す情報である第1送信機器情報と、前記第1ドメインを示す情報である第1ドメイン情報と、前記第1データの用途を示す情報である第1アプリケーション情報とを含み、
前記第2データ識別情報は、前記第2データ送信機器を示す情報である第2送信機器情報と、前記第2ドメインを示す情報である第2ドメイン情報と、前記第2データの用途を示す情報である第2アプリケーション情報とを含み、
前記攻撃データ識別情報は、前記攻撃データを送信するデータ送信機器である攻撃データ送信機器を示す情報である攻撃データ送信機器情報と、前記攻撃データ送信機器の属するドメインを示す情報である攻撃データドメイン情報と、前記攻撃データの用途を示す情報である攻撃データアプリケーション情報とを含み、
前記廃棄データ決定部は、前記攻撃データ情報取得部が前記攻撃データ識別情報の一部として取得した前記攻撃データドメイン情報と一致する前記第1ドメイン情報を含む前記第1データ識別情報が前記廃棄データ記憶部に記憶されている場合、前記第1廃棄情報を読み出し、前記第1廃棄情報の示す前記第1廃棄候補データを前記廃棄データとして決定する
ことを特徴とする請求項2または請求項3に記載のデータ通信制御装置。 - 前記第1廃棄候補データは、前記第1データを用いて生成されたデータであることを特徴とする請求項1に記載のデータ通信制御装置。
- 前記第1廃棄候補データは、前記第1データを送信するデータ送信機器とは異なるデータ送信機器が生成したデータであることを特徴とする請求項1に記載のデータ通信制御装置。
- 車両の制御系ごとに含まれるデータ送信機器の集合であるドメイン毎に予め設定された廃棄ポリシを記憶する廃棄データ記憶部と、
前記車両に異常な動作を起こさせる攻撃データが各ドメイン内で検知された場合に前記廃棄ポリシに基づき、攻撃データを廃棄することに伴い車載装置の制御に不具合を生じさせるデータを廃棄対象である廃棄データとして決定する廃棄データ決定部と、
前記廃棄データ決定部が決定した前記廃棄データを車載ネットワークから廃棄する指示を送信するデータ廃棄指示部と、を備え、
前記廃棄ポリシは、各ドメインに属する前記攻撃データが検知された場合に、廃棄対象とする前記廃棄データを定めたものであり、
前記廃棄データ記憶部は、前記攻撃データが廃棄された場合に、ドメインの機能に不具合が生じるドメインとドメインの機能に不具合が生じないドメインとで、異なる廃棄ポリシを記憶する
ことを特徴とするデータ通信制御装置。 - 前記廃棄データ記憶部は前記廃棄ポリシとして”ドメイン”、”データ送信機器”、”サービス”を記憶し、
前記廃棄ポリシの一つである”ドメイン”は、前記攻撃データが廃棄されたときに、前記攻撃データを送信したデータ送信機器が属するドメインの機能に不具合が生じる場合に設定され、前記攻撃データを送信したデータ送信機器が属するドメインに含まれるすべてのデータ送信機器から送信されるデータを前記廃棄データとして定め、
前記廃棄ポリシの一つである”データ送信機器”は、前記攻撃データが廃棄されたときに、前記攻撃データを送信したデータ送信機器が属するドメインの機能に不具合が生じない場合であり、かつ、前記攻撃データを送信したデータ送信機器の属するドメインが車両の安全性に関わる制御を行う場合に設定され、前記攻撃データを送信したデータ送信機器から送信されるすべてのデータを前記廃棄データとして定め、
前記廃棄ポリシの一つである”サービス”は、前記攻撃データが廃棄されたときに、前記攻撃データを送信したデータ送信機器が属するドメインの機能に不具合が生じない場合であり、かつ、前記攻撃データを送信したデータ送信機器の属するドメインが車両の安全性に関わる制御を行わない場合に設定され、前記攻撃データを送信したデータ送信機器から送信されるデータのうち前記攻撃データと同じ用途で用いられるデータを前記廃棄データとして定める、
ことを特徴とする請求項7に記載のデータ通信制御装置。 - 車載ネットワークで送信され前記車両の制御に用いられる複数のデータで構成されるデータ群の中に、前記攻撃データが検知された場合に、前記攻撃データを前記データ群の中から識別するための情報である攻撃データ識別情報を取得する攻撃データ情報取得部をさらに備え、
前記廃棄データ記憶部は、前記データ群の中から各データを識別するためのデータ識別情報のリストを記憶し、
前記攻撃データ識別情報は、前記攻撃データを送信するデータ送信機器である攻撃データ送信機器を示す情報である攻撃データ送信機器情報と、前記攻撃データ送信機器の属するドメインを示す情報である攻撃データドメイン情報と、前記攻撃データの用途を示す情報である攻撃データアプリケーション情報とを含み、
前記攻撃データ情報取得部が、前記攻撃データ識別情報のうち前記攻撃データドメイン情報のみ取得し、前記攻撃データ送信機器情報と前記攻撃データアプリケーション情報を取得できなかった場合、
前記廃棄データ決定部は、前記攻撃データドメイン情報と一致するドメイン情報を含む前記データ識別情報を前記リストから読み出し、読み出された前記データ識別情報が示すドメインに設定された前記廃棄ポリシが”ドメイン”であった場合、前記廃棄ポリシ”ドメイン”に基づき前記廃棄データを決定する
ことを特徴とする請求項8に記載のデータ通信制御装置。 - 車載ネットワークに接続されるネットワーク構成装置を、
車載ネットワークで送信され車両の制御に用いられる複数のデータで構成されるデータ群の中に、前記車両に異常な動作を起こさせる攻撃データが検知された場合に、前記攻撃データを前記データ群の中から識別するための情報である攻撃データ識別情報を取得する攻撃データ情報取得部、
前記データ群に含まれ、第1データ送信機器から送信される第1データを前記データ群の中から識別するための情報である第1データ識別情報を記憶し、前記第1データが廃棄された場合に前記車両の制御に不具合を生じさせるデータである第1廃棄候補データを示す情報である第1廃棄情報を、前記第1データ識別情報と対応づけて記憶する廃棄データ記憶部、
前記攻撃データ情報取得部が前記攻撃データ識別情報を取得した場合、かつ、前記攻撃データ識別情報と前記第1データ識別情報が一致する場合、前記第1データ識別情報に対応付けられた前記第1廃棄情報を前記廃棄データ記憶部から読み出し、前記第1廃棄情報が示す前記第1廃棄候補データを、前記車載ネットワークから廃棄するデータである廃棄データとして決定する廃棄データ決定部、
前記廃棄データ決定部が決定した前記廃棄データを前記車載ネットワークから廃棄する指示を送信するデータ廃棄指示部、
として機能させるデータ通信制御プログラムであって、
前記第1データ送信機器を含む複数のデータ送信機器が属する第1ドメインは、前記第1データが廃棄された場合に、ドメインの機能に不具合が生じるドメインであり、
前記第1廃棄情報は、前記第1ドメインに属するすべてのデータ送信機器から送信されるデータを示す情報である
ことを特徴とするデータ通信制御プログラム。 - 請求項1に記載された前記データ通信制御装置と、
前記車載ネットワークに設けられ、前記第1データを受信して前記第1廃棄候補データを送信するデータ送信機器と、を備え、
前記データ通信制御装置の前記データ廃棄指示部は、前記データ送信機器へ前記廃棄データを廃棄する前記指示を送信し、前記データ送信機器は前記指示を前記データ廃棄指示部から受信した場合に、前記車載ネットワークへの前記廃棄データの送信を中止すること
を特徴とする車両制御システム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2018/021135 WO2019229969A1 (ja) | 2018-06-01 | 2018-06-01 | データ通信制御装置、データ通信制御プログラムおよび車両制御システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP6628005B1 true JP6628005B1 (ja) | 2020-01-08 |
| JPWO2019229969A1 JPWO2019229969A1 (ja) | 2020-06-25 |
Family
ID=68697949
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019516551A Active JP6628005B1 (ja) | 2018-06-01 | 2018-06-01 | データ通信制御装置、データ通信制御プログラムおよび車両制御システム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20210021618A1 (ja) |
| JP (1) | JP6628005B1 (ja) |
| CN (1) | CN112204926B (ja) |
| DE (1) | DE112018007548B4 (ja) |
| WO (1) | WO2019229969A1 (ja) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013131907A (ja) * | 2011-12-21 | 2013-07-04 | Toyota Motor Corp | 車両ネットワーク監視装置 |
| JP2016134914A (ja) * | 2015-01-20 | 2016-07-25 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム |
| US20160381059A1 (en) * | 2015-06-29 | 2016-12-29 | Argus Cyber Security Ltd. | System and method for time based anomaly detection in an in-vehicle communication network |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9100418B2 (en) * | 2008-08-21 | 2015-08-04 | GM Global Technology Operations LLC | Adaptive data verification for resource-constrained systems |
| CN103841198B (zh) * | 2014-03-07 | 2017-03-29 | 中南大学 | 一种净室云计算数据处理方法及系统 |
| CN106650505A (zh) * | 2016-12-28 | 2017-05-10 | 北京奇虎科技有限公司 | 一种车辆攻击检测方法和装置 |
| CN106647724B (zh) * | 2017-02-15 | 2017-12-26 | 北京航空航天大学 | 一种基于车辆异常数据监测的t‑box信息安全检测及防护方法 |
| US10931635B2 (en) * | 2017-09-29 | 2021-02-23 | Nec Corporation | Host behavior and network analytics based automotive secure gateway |
| JP7225948B2 (ja) * | 2019-03-11 | 2023-02-21 | 株式会社オートネットワーク技術研究所 | 代替装置、代替制御プログラム及び代替方法 |
-
2018
- 2018-06-01 CN CN201880093749.1A patent/CN112204926B/zh active Active
- 2018-06-01 DE DE112018007548.6T patent/DE112018007548B4/de active Active
- 2018-06-01 JP JP2019516551A patent/JP6628005B1/ja active Active
- 2018-06-01 WO PCT/JP2018/021135 patent/WO2019229969A1/ja active Application Filing
-
2020
- 2020-09-25 US US17/032,618 patent/US20210021618A1/en active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013131907A (ja) * | 2011-12-21 | 2013-07-04 | Toyota Motor Corp | 車両ネットワーク監視装置 |
| JP2016134914A (ja) * | 2015-01-20 | 2016-07-25 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム |
| US20160381059A1 (en) * | 2015-06-29 | 2016-12-29 | Argus Cyber Security Ltd. | System and method for time based anomaly detection in an in-vehicle communication network |
Non-Patent Citations (2)
| Title |
|---|
| DENNIS K. NILSSON, ET AL.: ""VEHICLE ECU CLASSIFICATION BASED ON SAFETY-SECURITY CHARACTERISTICS"", IET ROAD TRANSPORT INFORMATION AND CONTROL - RTIC 2008, JPN6019022270, 15 July 2008 (2008-07-15), ISSN: 0004111078 * |
| TIMO VAN ROERMUND, ET AL.: ""Cybersecurity for ECUs: Attacks and Countermeasures"", WHITEPAPER, JPN6019022271, November 2017 (2017-11-01), ISSN: 0004111079 * |
Also Published As
| Publication number | Publication date |
|---|---|
| DE112018007548T5 (de) | 2021-01-14 |
| CN112204926B (zh) | 2022-03-04 |
| US20210021618A1 (en) | 2021-01-21 |
| WO2019229969A1 (ja) | 2019-12-05 |
| JPWO2019229969A1 (ja) | 2020-06-25 |
| CN112204926A (zh) | 2021-01-08 |
| DE112018007548B4 (de) | 2021-07-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11277427B2 (en) | System and method for time based anomaly detection in an in-vehicle communication | |
| US11115433B2 (en) | System and method for content based anomaly detection in an in-vehicle communication network | |
| US10440120B2 (en) | System and method for anomaly detection in diagnostic sessions in an in-vehicle communication network | |
| JP7071510B2 (ja) | 車両内ネットワークにセキュリティを提供するシステム及び方法 | |
| US10380057B2 (en) | Data storage device | |
| JP7115536B2 (ja) | 車載通信システム、スイッチ装置、検証方法および検証プログラム | |
| US11075927B2 (en) | Fraud detection electronic control unit, electronic control unit, and non-transitory recording medium in which computer program is described | |
| JP2019008618A (ja) | 情報処理装置、情報処理方法及びプログラム | |
| US20200389436A1 (en) | On-vehicle communication device, communication control method, and communication control program | |
| JP7485110B2 (ja) | 代替装置、代替制御プログラム及び代替方法 | |
| US20170331787A1 (en) | Unauthorized communication detection system and unauthorized communication detection method | |
| JP7065444B2 (ja) | 情報処理装置および情報処理システム | |
| WO2021145144A1 (ja) | 侵入経路分析装置および侵入経路分析方法 | |
| JP6628005B1 (ja) | データ通信制御装置、データ通信制御プログラムおよび車両制御システム | |
| JP7176569B2 (ja) | 情報処理装置、ログ分析方法及びプログラム | |
| JP2020119596A (ja) | ログ解析システム、解析装置、方法、および解析用プログラム | |
| WO2007134102A2 (en) | System and method of agent self-repair within an intelligent agent system | |
| JP6918067B2 (ja) | 制御装置および制御方法 | |
| WO2019207764A1 (ja) | 抽出装置、抽出方法および記録媒体、並びに、検知装置 | |
| JP7224536B2 (ja) | 制御装置および制御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190326 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190326 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20190326 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20190409 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190618 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190725 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190910 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191025 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191105 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191118 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6628005 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |