JP6728700B2 - 通信システム、通信プログラム、通信方法、および、通信装置 - Google Patents

通信システム、通信プログラム、通信方法、および、通信装置 Download PDF

Info

Publication number
JP6728700B2
JP6728700B2 JP2016006646A JP2016006646A JP6728700B2 JP 6728700 B2 JP6728700 B2 JP 6728700B2 JP 2016006646 A JP2016006646 A JP 2016006646A JP 2016006646 A JP2016006646 A JP 2016006646A JP 6728700 B2 JP6728700 B2 JP 6728700B2
Authority
JP
Japan
Prior art keywords
frame
authentication
identification information
communication device
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016006646A
Other languages
English (en)
Other versions
JP2017126966A (ja
Inventor
純 矢嶋
純 矢嶋
長谷部 高行
高行 長谷部
鳥居 直哉
直哉 鳥居
松本 勉
勉 松本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2016006646A priority Critical patent/JP6728700B2/ja
Priority to US15/403,279 priority patent/US10270768B2/en
Publication of JP2017126966A publication Critical patent/JP2017126966A/ja
Application granted granted Critical
Publication of JP6728700B2 publication Critical patent/JP6728700B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Power Engineering (AREA)

Description

本発明は、ネットワーク中の装置での通信に関する。
自動車の車載ネットワークやファクトリーオートメーションなどに使用される装置間で、データや制御情報を送受信するために、CAN(Controller Area Network)と呼ばれるネットワーク技術が使用されることがある。CANが用いられるシステムは、複数のECU(electronic control unit)を含む。ECU同士はフレームを送受信することにより通信を行う。CANでは、通信に使用されるフレームには、フレームの識別に使用される識別情報(ID)が含まれている。また、各ECUは、受信するフレームのIDを予め記憶している。フレームはブロードキャストされ、各ECUは、ECUが受信するように設定されたIDを含むフレームを受信するが、受信対象に設定されていないIDを含むフレームは破棄する。
しかし、各ECUは、そのECUが受信するように設定されたIDを含むフレームを用いてネットワークへの攻撃が行われた場合、攻撃に使用されるフレームを受信してしまう。そこで、このような攻撃を防ぐために、データ、ID、IDに対応するカウンタ値から生成したメッセージ認証コード(Message Authentication Code、MAC)を用いる検証方法が提案されている(特許文献1など)。送信されたフレーム中の所定のフィールドの内容が不正を示す所定条件に該当する場合、そのフレームの最後尾が送信される前にエラーフレームを送信する通信システムも考案されている(特許文献2など)。さらに、バスを介して接続された複数の装置のうちの1つが送信するデータ中の認証用情報を用いた認証に失敗すると、データの送信元が他の装置に成りすまして不正データを送信したと判定してデータを無効化するシステムも提案されている(特許文献3など)。
国際公開第2013/065689号 国際公開第2015/151418号 特開2015−114907号公報
CANシステム中の各装置がフレームを受信するたびにMAC認証を行う場合、システム中の全ての装置がデータを含むフレームとMACを含むフレームの両方を送受信するので、ネットワーク中の装置の負荷が高くなってしまう。背景技術に述べたいずれの技術を適用しても、攻撃が検出されないフレームについても、攻撃が検出されたフレームと同様に認証などの処理が発生する。
本発明は、1つの側面では、ネットワーク中の装置の負荷を抑えつつ、ネットワークを保護することを目的とする。
ある1つの態様にかかる通信システムは、フレームの識別情報を用いて前記フレームを受信するかを判定する第1の通信装置と、前記第1の通信装置と同じネットワークに属する第2の通信装置を備える。通知フレームは、前記ネットワークへの攻撃を検出したことを示す情報と、前記攻撃に使用されたフレームに含まれている識別情報である対象識別情報とを含む。前記第1の通信装置は、通知フレームを前記第2の通信装置から受信すると、前記対象識別情報を含むフレームを、認証処理の対象に設定する。前記第1の通信装置は、認証処理の対象に設定した送信フレームを送信する際に、前記送信フレームから生成した認証情報を、前記送信フレームと共に送信する。前記第2の通信装置は、前記対象識別情報を含むフレームに対する認証処理を終了するかどうかを、前記ネットワークが設置されているシステムの状態の検知結果に応じて決定し、前記対象識別情報を含むフレームに対する認証処理を終了することを決定すると、前記対象識別情報を含むフレームに対する認証処理の終了を要求する要求フレームを前記ネットワークに送信する。
ネットワーク中の装置の負荷を抑えつつ、ネットワークを保護できる。
実施形態にかかる通信方法の例を説明する図である。 通信装置の構成の例を説明する図である。 通信装置のハードウェア構成の例を説明する図である。 送受信されるフレームのフォーマットの例を示す図である。 通信装置が保持する情報の例を説明する図である。 通信処理の例を説明するシーケンス図である。 攻撃を検出した場合のテーブルの変更例と通知フレームの例を説明する図である。 MACの生成方法の例を説明する図である。 攻撃の検出方法の例を説明するフローチャートである。 攻撃が検出されたときの処理の例を説明する図である。 攻撃が検出されたときの処理の例を説明する図である。 攻撃が検出されたときの処理の例を説明する図である。 通信装置が行う処理の例を説明するフローチャートである。 通信装置がフレームを受信したときに行う処理の例を説明するフローチャートである。 攻撃が検出されたときの処理の例を説明する図である。 第2の実施形態にかかる通信方法の例を説明するフローチャートである。 ネットワークの変形例を説明する図である。
図1は、実施形態にかかる通信方法の例を説明する図である。ネットワークN1は、実施形態にかかる通信方法が用いられるCANネットワークの例である。ネットワークN1では、通信装置10(10a〜10d)がバスで接続されている。通信装置10同士は、バスを介してフレームを送受信することにより通信を行う。
ネットワークN1に含まれる通信装置10の各々は、いずれかの通信装置10において攻撃が検出されるまで、いずれのIDについてもMAC認証を行わずにフレームを送受信し、攻撃が検出されたIDについては、フレームの受信の際にMAC認証を行う。ネットワークN1に示すCANネットワークに含まれる各々の通信装置10が行う通信処理の例を、図1中のフローチャートに示す。
ステップS1において、通信装置10は、ネットワーク中の他の通信装置10との間で、MACの生成に使用する共通鍵の取得や、各IDに対して認証を行うかを判定するために使用するフラグ(認証フラグ)の初期設定を行う。なお、MAC認証のために使用されるカウンタ値や共通鍵の取得は、その通信装置10が送信又は受信するID毎に行われているものとする。初期設定の時点では、いずれのIDに対応付けられた認証フラグもOFFに設定されているとする。以下の説明では、認証フラグ=ONはMAC認証を用いてフレームの送受信を行うことを示し、認証フラグ=OFFはMAC認証を行わずにフレームの送受信を行うことを示すものとする。
初期設定が終わると、ネットワークN1に含まれる通信装置10の各々は、いずれかの通信装置10において攻撃が検出されるまで、いずれのIDについてもMAC認証を行わずにフレームを送受信する(ステップS2、ステップS3でNo)。
ネットワークN1に対する攻撃を検出した場合、通信装置10は、攻撃を検出したIDに対応付けられている認証フラグをONに更新すると共に、ネットワークN1中の他の通信装置10に対して攻撃の検出を通知する(ステップS3でYes、ステップS4)。ここで、攻撃検出の通知は、攻撃を検出したIDを通知する通知フレームを用いて行われる。なお、通知フレームは、ネットワーク中の全ての通信装置10が受信対象とするIDを用いて送信されるものとする。通知フレームを受信した通信装置10は、通知フレームで通知されたIDについての認証フラグをONに更新することにより、通知されたIDを用いた通信ではMAC認証を行うことを設定する。
その後、攻撃が検出されたIDを含むフレームの送受信の際には、MAC認証が行われ、攻撃が検出されていないIDを含むフレームの送受信の際には、MAC認証が行われない(ステップS5)。すなわち、認証フラグ=ONに設定されているIDを含むフレームを送信する通信装置10は、データフレームの他に、データフレーム中のデータを用いて生成したMACを認証用の情報として送信する。一方、認証フラグ=ONに設定されているIDを受信対象としている通信装置10は、フレームの受信の際にデータフレーム中のデータからMACを計算すると共に、送信元から送信された認証用のMACと計算で得られたMACを比較する。送信元から送信された認証用のMACと、データを用いた計算で得られたMACが一致すると、通信装置10は、受信したフレームを処理する。
このように、図1を用いて説明した通信方法では、攻撃が検出されていないIDについてはMAC認証が行われず、ネットワーク中のいずれかの通信装置10によって攻撃が検出されてから、攻撃が検出されたIDを用いた通信ではMAC認証が行われる。このため、攻撃が検出されたIDを用いた不正アクセスがあったとしても、フレームの受信側の通信装置10は、攻撃が検出されたIDを含むフレームについては、MAC認証を行うので、不正アクセスが防止される。また、MAC認証は、攻撃が検出されたIDに対して行われるに過ぎないので、MAC認証に起因して通信装置10にかかる負荷や処理の遅延は、攻撃の検出状況に関わらず全IDについてMAC認証を行うシステムに比べて小さくなる。従って、実施形態にかかるシステムでは、ネットワーク中の装置にかかる負荷を抑えつつ、ネットワークの保護が可能になる。
ところで、MAC認証による負荷を抑えるために、一部のIDに限定して攻撃の検出状況に関わらずMAC認証を行うことも考えられるが、この場合は、特定のIDで識別されるフレームについては、処理の遅延が発生するという問題がある。一方、実施形態にかかる通信方法は、MAC認証を行うIDを、攻撃が検出されたIDを含むフレームに限定することにより、攻撃が発生していないときの処理遅延等を防ぐこともできる。
<装置構成の例とフレームのフォーマットの例>
以下の説明では、CANネットワークへの攻撃が発生していない状況では、CANネットワーク中の各通信装置10は、自装置が送信するフレームに付すIDを含むフレームを他の通信装置10から受信しないものとする。
図2は、通信装置10の構成の例を説明する図である。通信装置10は、通信部11、制御部20、記憶部30を備える。通信部11は、受信部12と送信部13を有する。制御部20は、攻撃検出部21、設定部22、MAC生成部23、認証部24、通知処理部25、フレーム処理部26、判定部27を有する。記憶部30は、送信ホワイトリスト31、受信ホワイトリスト32、受信ブラックリスト33を格納し、さらに、制御部20での処理に使用されるデータも、適宜、格納する。
送信ホワイトリスト31は、通信装置10が他の通信装置10に送信するフレームの識別に使用されるIDのリストと、リストに含まれる各IDに対応付けられた認証フラグが含まれる。受信ホワイトリスト32は、通信装置10が受信するフレームの識別に使用されるIDと、各IDに対応付けられた認証フラグが含まれる。受信ブラックリスト33は、CANネットワークへの攻撃が発生していない場合に、通信装置10が受信しないことが予測されるIDのリストである。例えば、受信ブラックリスト33は、送信ホワイトリスト31に含まれているIDのリストであっても良い。送信ホワイトリスト31、受信ホワイトリスト32、受信ブラックリスト33の例は後述する。
送信部13は、CANネットワーク中の他の装置に、適宜、フレームを送信する。受信部12は、CANネットワーク中の他の装置から送信されたフレームを受信する。受信部12は、受信したフレームを攻撃検出部21に出力する。
攻撃検出部21は、入力されたフレームを用いて、ネットワークへの攻撃を検出する。例えば、入力されたフレーム中のIDが受信ブラックリスト33に含まれている場合、攻撃検出部21は、攻撃を検出したと判定する。攻撃検出部21で攻撃が検出されると、通知処理部25は、通知フレームを生成し、送信部13を介して、他の装置に攻撃の発生を通知する。また、入力されたフレームが通知フレームである場合、攻撃検出部21は、通知フレームを設定部22に出力する。設定部22は、通知フレームを用いて、適宜、送信ホワイトリスト31や受信ホワイトリスト32の認証フラグを変更する。
攻撃検出部21は、入力されたフレームを用いて新たな攻撃を検出しない場合、受信ホワイトリスト32で認証フラグ=OFFに設定されているIDを含むフレームを、フレーム処理部26に出力する。一方、攻撃検出部21は、受信ホワイトリスト32で認証フラグ=ONに設定されているIDを含むフレームを認証部24に出力する。
MAC生成部23は、認証部24に入力されたフレーム中のデータを用いて、MACを生成する。認証部24は、データを含むフレームの認証用に送信されてきたMACと、MAC生成部23で生成されたMACを比較することにより、MAC認証を行う。MAC認証に成功すると、認証部24は、フレームをフレーム処理部26に出力する。一方、MAC認証に失敗した場合、認証部24は、受信フレームが不正なフレームであると判定して廃棄する。フレーム処理部26は、入力されたデータを処理する。
判定部27は、フレーム処理部26で他の通信装置10宛に生成されたフレーム中のIDが送信ホワイトリスト31に含まれているかを判定する。他の通信装置10宛に生成されたフレーム中のIDが送信ホワイトリスト31に含まれている場合、判定部27は、生成されたフレームを、送信部13を介して送信する。一方、他の通信装置10宛に生成されたフレーム中のIDが送信ホワイトリスト31に含まれていない場合、フレームを廃棄する、或いはフレームを破棄すると共に、廃棄するフレーム中のIDを通知処理部25に通知する。すると、通知処理部25は、判定部27から通知されたIDを、攻撃に使用される可能性のあるIDとして含む通知フレームを生成し、他の通信装置10に送信する。
なお、図2は一例であり、例えば、実装に応じて、通信装置10がフレーム処理部26を含まないように設計されても良い。例えば、通信装置10をECUとCANとの間に接続される別のECUとしてのアダプタや、ECU中のCANコントローラとして実現される場合、通信装置10はフレーム処理部26を含まなくても良い。通信装置10にフレーム処理部26が含まれない場合、攻撃検出部21や認証部24は、フレーム処理部26と同様の処理を行うために通信装置10に接続されている装置に、フレームを出力する。また、判定部27は、通信装置10に接続されている装置からフレームを取得する。
図3は、通信装置10のハードウェア構成の例を説明する図である。図3の例では、通信装置10は、ECU100として実現されている。ECU100は、CANトランシーバ101、CANコントローラ102、処理回路103を含む。処理回路103は、プロセッサ104とメモリ105を備える。CANコントローラ102は、プロセッサ111とメモリ112を備える。
CANトランシーバ101は、適宜、バス電圧の調整など、ECU100がCANネットワーク中の他の装置と通信するための処理を行う。CANコントローラ102は、受信したフレームに対するCRC(Cyclic Redundancy Check)チェックやビットスタッフィングなどの処理を行うことにより、データを抽出する。CANコントローラ102は、データをプロセッサ104に出力する。プロセッサ104とプロセッサ111は、いずれも、任意の処理回路である。プロセッサ104は、メモリ105に格納されたプログラムを読み込んで、処理を行う。一方、プロセッサ111は、メモリ112に格納されたプログラムを読み込んで、処理を行う。
ECU100が通信装置10として動作する場合、CANトランシーバ101とCANコントローラ102により、通信部11が実現される。また、後述するように、通信装置10は、CANコントローラ102によって実現されても良い。制御部20は、プロセッサ104またはプロセッサ111によって実現される。記憶部30は、メモリ105かメモリ112で実現される。さらに、プロセッサ(104、111)での処理で得られたデータやプロセッサ(104、111)での処理に使用されるデータも、メモリ105やメモリ112に格納され得る。なお、制御部20の一部又は全部が、プロセッサの代わりに制御部20の処理に適した回路などのハードウェアで実現されても良い。
図4は、送受信されるフレームのフォーマットの例を示す図である。図4のF11は、一般仕様のフレームのフォーマット例であり、F12は拡張仕様で使用されるフレームのフォーマット例である。
一般仕様のフレームは、SOF(Start of Frame)、調停(arbitration)フィールド、コントロールフィールド、データフィールド、CRCフィールド、ACKフィールド、EOF(End of Frame)を含む。調停フィールドには、IDとRTR(Remote Transmission Request)が含まれる。ここで、IDは、フレームの識別に使用される識別情報である。コントロールフィールドには、IDE(Identifier Extension)、予約ビット、DLC(Data Length Code)が含まれる。CRCフィールドは、CRCシーケンスとCRCデリミタを含む。ACKフィールドは、ACKスロットとACKデリミタを含む。なお、各フィールドに含まれる情報要素のビット長は、F11の一番下の行に記載したとおりである。例えば、IDの長さは11ビットであり、データフィールドの長さは0〜64ビットの可変長である。
拡張仕様で使用されるフレーム(F12)も、SOF、調停フィールド、コントロールフィールド、データフィールド、CRCフィールド、ACKフィールド、EOFを含む。拡張仕様の調停フィールドは、IDベース、SRR(Substitute Remote Request Bit)、IDE、ID拡張、RTRを含む。拡張仕様では、IDベースとして格納されたビット列の次に、ID拡張として格納されたビット列をつなげて得られるビット列により、フレームの識別情報(ID)を表わす。コントロールフィールドからEOFまでは、拡張仕様のフォーマットでも、一般仕様のフォーマットと同様である。また、各フィールドに含まれる情報要素のビット長は、F12の一番下の行に記載したとおりである。このため、拡張フォーマットでは、送信元の識別情報として、IDベースの11ビットとID拡張の18ビットを合わせた29ビットのビット列が使用される。以下、図4のF11に示すフォーマットを用いたフレームが送受信される場合を例として、各実施形態で行われる処理の例を説明する。なお、通信に使用されるフレームが拡張仕様の場合でも、同様に処理が行われる。
<第1の実施形態>
以下の説明では、動作を行っている装置などを特定しやすくするために、符号の後に特定しようとする通信装置10に割り当てられたアルファベットを記載することがある。例えば、攻撃検出部21aは、通信装置10aに含まれている攻撃検出部21である。さらに、以下の説明では、テーブルの番号の後にアンダースコアに数字を続けて、テーブルの更新状態などを説明することもある。以下、第1の実施形態を、攻撃の検出の前後で行われる通信処理の例、MACの生成方法の例、攻撃の検出方法の例、ハードウェアでの実装方法の例に分けて説明した後、通信装置10が行う処理を時系列に述べる。なお、第1の実施形態では、図1に示すネットワークN1において通信が行われる場合を例として説明する。
(1)攻撃の検出の前後で行われる通信処理の例
図5は、通信装置10が保持する情報の例を説明する図である。送信ホワイトリスト31a_1は、通信の開始時点で通信装置10aが保持する送信ホワイトリスト31の例である。送信ホワイトリスト31a_1は、送信対象IDと認証フラグを含む。送信対象IDは、その送信ホワイトリスト31を保持している通信装置10が送信する対象のフレームの識別に使用される識別情報である。認証フラグは、各エントリ中の送信対象IDで識別されるフレームに対するMAC認証を行うかを表す。図5の例では、通信装置10aは、ID=123、234、456のフレームを送信対象としている。また、ID=123、234、456のいずれに対しても、攻撃が検出されていないので、認証フラグはOFFに設定されている。
受信ホワイトリスト32b_1は、通信の開始時点で通信装置10bが保持する受信ホワイトリスト32の例である。受信ホワイトリスト32b_1は、受信対象IDと認証フラグを含む。受信対象IDは、受信ホワイトリスト32を保持している通信装置10が受信する対象のフレームを識別する識別情報である。認証フラグは、各エントリ中の受信対象IDに対するMAC認証を行うかを表す。図5の例では、通信装置10bは、ID=123、345、457のフレームを受信対象としている。また、ID=123、345、457のいずれに対しても、攻撃が検出されていないので、認証フラグはOFFに設定されている。
同様に、受信ホワイトリスト32cには、受信対象ID=456に対応付けて、認証フラグ=OFFという情報が格納されている。従って、通信装置10cでは、ID=456のフレームを受信する。また、ID=456で識別されるフレームの送受信の際にはMAC認証は行われていない。
受信ブラックリスト33aは、通信装置10aが保持する受信ブラックリスト33の例である。受信ブラックリスト33は、その受信ブラックリスト33を保持している通信装置10において、CANネットワークに対する攻撃による通信以外では受信しないことが想定されるフレームを識別するIDのリストである。例えば、攻撃が行われていない場合には、通信装置10aは通信装置10aでの送信対象IDを受信しないと想定されるので、受信ブラックリスト33aは、送信ホワイトリスト31a中の送信対象IDと同じであっても良い。図5の例では、受信ブラックリスト33aは、送信ホワイトリスト31a_1の送信対象IDと同様に、ID=123、234、456を含む。
図6は通信処理の例を説明するシーケンス図である。図7は、攻撃を検出した場合のテーブルの変更例と通知フレームの例を説明する図である。以下、図6と図7を参照しながら、通信装置10a〜10cが図5に示す情報を保持している場合に行われる通信の例を説明する。
ステップS11において、通信装置10aがID=123を含むフレームを送信したとする。通信装置10aから送信されるフレームは、ネットワーク中にブロードキャストされるので、ID=123を含むフレームは、通信装置10bと通信装置10cのいずれにも到達する。
通信装置10bの受信部12bは、ID=123を含むフレームを受信すると、受信フレームを攻撃検出部21bに出力する。攻撃検出部21bは、受信フレームのIDが受信ホワイトリスト32b_1(図5)に含まれているので、受信フレーム中のIDは受信対象のフレームを識別するIDであると判定する。また、受信ホワイトリスト32b_1では、ID=123に対応付けられた認証フラグはOFFに設定されている。そこで、攻撃検出部21bは、受信フレームをフレーム処理部26bに出力し、フレーム処理部26bは、受信フレームを処理する(ステップS12)。
通信装置10cにおいても、受信部12cはID=123を含むフレームを受信すると、受信フレームを攻撃検出部21cに出力する。攻撃検出部21cは、受信フレームのIDが受信ホワイトリスト32c(図5)に含まれていないので、受信フレーム中のIDは受信対象のフレームを識別するIDではないと判定して、受信フレームを廃棄する(ステップS13)。
ID=123を含むフレームを用いた攻撃が検出されるまでは、ステップS11〜S13を参照しながら説明したように、ID=123を含むフレームの送受信の際には、認証処理が行われない。その後、通信装置10aにおいて、ID=123を用いた攻撃が検出されたとする(ステップS14)。攻撃の検出方法は任意の既知の方法が用いられ得るが、図6の例では、通信装置10aにID=123のフレームが通信装置10d(図示せず)から送信されたとする。この場合、通信装置10a中の攻撃検出部21aは、受信部12aを介してID=123の受信フレームを取得すると、フレーム中のIDを受信ブラックリスト33a(図5)と比較する。受信ブラックリスト33aには、受信フレーム中のID=123が含まれているので、攻撃検出部21aは、ネットワークに対する攻撃を検出したと判定する。設定部22aは、攻撃が検出されたIDに対応付けられている認証フラグをONに設定する。
図7の送信ホワイトリスト31a_2は、ステップS14での処理による送信ホワイトリスト31a_1(図5)の更新例を示す。ステップS14の処理では、設定部22aは、ID=123に対応付けられた認証フラグを更新する。このため、送信ホワイトリスト31a_2では、送信対象IDのうち、ID=123に対応する認証フラグがONに設定される。
一方、通信装置10aの通知処理部25aは、ID=123に対する攻撃が発生したことを通知するための通知フレームを生成する。図7のM1は、通知フレーム中に含まれている情報要素の例を示す。通知フレームには、フレームの種別と通知対象のIDが含まれる。ステップS14での攻撃の検出に際して生成される通知フレームでは、種別=通知フレーム、対象ID=123に設定される。M1に示す情報要素は、フレーム中のデータフィールドに含まれる。通知処理部25aは、生成した通知フレームを、送信部13aを介して、ネットワーク中の通信装置10に送信する(図6のステップS15)。なお、通知フレームは、ネットワーク中の全ての通信装置10が受信対象とする制御用のIDを用いて送信されるものとする。このため、通知フレームは、通信装置10bと通信装置10cの両方に到達する。また、通知フレーム専用の全ECUが受信するIDを用いることで、種別の情報をデータ部に格納していなくても良い。
通信装置10bの攻撃検出部21bは、受信部12bを介して通知フレームを取得すると、通知フレームを設定部22bに出力する。設定部22bは、通知フレーム中の対象IDが、送信ホワイトリスト31bと受信ホワイトリスト32bのいずれかに記録されているかを判定する。この例では、対象ID=123であり、受信ホワイトリスト32b_1(図5)にID=123が含まれている。そこで、設定部22bは、受信ホワイトリスト32b_1中でID=123に対応付けられている認証フラグをONに設定することにより、ID=123のフレームをMAC認証の対象に設定する(ステップS16)。ステップS16での処理により、受信ホワイトリスト32b_1は、受信ホワイトリスト32b_2(図7)に示すように更新される。
通信装置10cにおいても、攻撃検出部21cは受信部12cを介して通知フレームを取得し、通知フレームを設定部22cに出力する。設定部22cは、通知フレーム中の対象IDが、送信ホワイトリスト31cと受信ホワイトリスト32cのいずれかに記録されているかを判定する。ここで、対象ID=123は、受信ホワイトリスト32c(図5)と送信ホワイトリスト31cのいずれにも含まれていないとする。そこで、設定部22cは、通知フレームによって認証処理の開始が通知されたIDは、通信装置10cでの処理対象のフレームを識別するIDではないと判定して、通知フレームを廃棄する。
その後、通信装置10aのフレーム処理部26aがID=123を含む送信フレームを生成したとする。フレーム処理部26aは、生成したフレームを、判定部27aに出力する。判定部27aは、生成されたフレーム中のID=123をキーとして、送信ホワイトリスト31a_2(図7)を検索することにより、送信可能なフレームであるかを判定する。送信ホワイトリスト31a_2には、ID=123が含まれているので、判定部27aは、送信可能な送信フレームが生成されたと判定する。さらに、送信ホワイトリスト31a_2中でID=123に対応付けられた認証フラグがONに設定されていることから、判定部27aは、送信対象のフレームは、送受信の際に認証処理を行う対象であると判定する。そこで、判定部27aは、送信フレームを送信部13aとMAC生成部23aに出力する。送信部13aは、入力された送信フレームをネットワークに送信する(ステップS17)。
MAC生成部23aは、入力されたフレームを用いて、認証用のMACを生成する。認証用のMACの生成方法については後述する(図8)。図6の例では、ステップS17で送信されたID=123のフレームから生成されたMACはMACaであるとする(ステップS18)。
ステップS17で送信されたID=123のフレームが到達した通信装置10bでは、攻撃検出部21bが受信部12bを介してID=123のフレームを取得する。攻撃検出部21bは、受信ホワイトリスト32b_2(図7)を用いて、ID=123のフレームが受信対象であることを特定する。さらに、ID=123に対応付けられた認証フラグがONに設定されていることから、攻撃検出部21bは、ID=123のフレームの受信の際にはMAC認証を行うことを決定し、ID=123のフレームを認証部24bに出力する。認証部24bは、入力されたフレームを用いたMACの生成をMAC生成部23bに要求する。MAC生成部23bは、認証部24bからの要求に応じて、MACを生成する(ステップS19)。図6の例では、通信装置10bに到達したID=123のフレームから計算されたMACをMACbとする。なお、MAC生成部23bでのMACの生成方法と、MAC生成部23aでのMACの生成方法は同じであるものとする。
ステップS17で送信されたID=123のフレームは、通信装置10cにも到達するが、ID=123のフレームは、通信装置10cの受信対象でも送信対象でもない。このため、通信装置10cでは、ステップS13と同様の処理によりID=123のフレームが廃棄される。
その後、通信装置10aのMAC生成部23aは、ステップS18で計算したMAC(MACa)を、ステップS17で送信したID=123のフレームの認証用の情報として送信する(ステップS20)。
ステップS20で送信されたID=123のフレームが到達した通信装置10bでは、ステップS17で通信装置10bがID=123のデータフレームを受信したときと同様の手順により、受信フレームが認証部24bに出力される。認証部24bは、入力されたフレームから、ID=123のフレームの送信元(通信装置10a)で生成されたMACaを抽出し、MAC生成部23bでの計算結果(MACb)と比較する。MACaとMACbが一致すると、認証部24bは、ステップS17で受信したデータフレーム中のデータをフレーム処理部26bに出力する。このため、受信フレームは通信装置10bにおいて処理される(ステップS21)。なお、MACaとMACbが一致しない場合、認証部24bは、ステップS17で受信したデータフレームとステップS20で受信した認証用の情報を廃棄する。
その後、ステップS22において、通信装置10a中のフレーム処理部26aがID=456を含むフレームを生成したとする。判定部27aは、生成されたフレーム中のID=456をキーとして、送信ホワイトリスト31a_2(図7)を検索することにより、送信可能なフレームであるかを判定する。送信ホワイトリスト31a_2には、ID=456が含まれているので、判定部27aは、送信可能な送信フレームが生成されたと判定する。さらに、送信ホワイトリスト31a_2中でID=456に対応付けられた認証フラグはOFFに設定されていることから、判定部27aは、送信対象のフレームは、送受信の際の認証処理の対象ではないと判定する。そこで、判定部27aは、送信部13aを介して、送信フレームをネットワークに送信する(ステップS22)。
通信装置10bの受信部12bは、ID=456を含むフレームを受信すると、受信フレームを攻撃検出部21bに出力する。攻撃検出部21bは、受信フレームのIDが受信ホワイトリスト32b_2(図7)と送信ホワイトリスト31bのいずれにも含まれていないので、受信フレームを廃棄する(ステップS23)。
通信装置10cにおいても、受信部12cはID=456を含むフレームを受信すると、受信フレームを攻撃検出部21cに出力する。攻撃検出部21cは、受信フレームのID=456をキーとして受信ホワイトリスト32c(図5)を検索する。ID=456が受信対象に含まれており、かつ、認証フラグ=OFFであるので、攻撃検出部21cは、ID=456で識別されるフレームを、認証処理を行わずに受信することを決定する。このため、攻撃検出部21cは、ID=456の受信フレームをフレーム処理部26cに出力する。従って、ID=456のフレームは通信装置10cで処理される(ステップS24)。
このように、図6の例では、攻撃が検出されたID=123のフレームについては、ステップS15での通知フレームの送信以降では、フレームの送受信の際に認証処理が行われる。一方、ID=123を用いた攻撃が検出された後でも、ID=456による攻撃は検出されていない。このため、ステップS22以降の処理でも、ID=456については認証処理を伴わずにフレームの送受信が行われる。
なお、図5〜図7を参照しながら説明した処理は一例であり、例えば、プログラムやハードウェアの実装に応じて、データの入力先や出力先が変更されてもよい。例えば、MAC生成部23は、認証部24を介さずにMACを生成するために使用するデータ(CANデータ)を取得してもよい。
(2)MACの生成方法の例
図8は、MACの生成方法の例を説明する図である。MACの生成方法として、HMAC−SHA1(Hash-based Message Authentication Code - Secure Hash Algorithm 1)、HMAC−SHA256などのハッシュ関数を使う方式や、ブロック暗号アルゴリズムを使う方式が使用されうる。以下の説明では、図8を参照しながらブロック暗号アルゴリズムを用いる場合の例を説明するが、MACの生成方法は、ネットワーク中の通信装置10の間で共通していれば、任意の方法でよい。
MACの生成には、MACを計算する対象のフレームのデータフィールド中のデータ、カウンタ値、MACを計算する対象のフレームのID(CAN ID)を結合した文字列が使用される。ここで、カウンタ値は、1つのIDについてのMACの計算の度に異なる値が用いられるようにMAC生成部23で処理された値である。なお、カウンタ値は、IDごとに異なる値であっても、同じ値であっても良い。図8の例では、データ、カウンタ値、CAN IDの順に連続させた文字列を生成しているが、実装に応じて、結合される要素の順序が入れ替えられても良い。次に、MAC生成部23は、データ、カウンタ値、CAN IDから得られた文字列を、共通鍵を用いて、暗号化することにより、暗号文を生成する。MAC生成部23は、暗号文から予め決められた方法で64ビットを選択し、得られた値をMACとする。なお、64ビットの選択方法は、ネットワーク中の通信装置10で共通していれば、任意である。例えば、MAC生成部23は、生成した暗号文の先頭の64ビットをMACとしてもよいし、暗号文の末尾の64ビットをMACにしても良い。またセキュリティーに応じて64ビット以外の長さに調整してもよい。
(3)攻撃の検出方法の例
図9は、攻撃の検出方法の例を説明するフローチャートである。図9を参照しながら、図5〜図7を参照しながら説明した処理と同様に、通信装置10が通知フレーム以外のフレームを用いて、攻撃を検出する方法の例を説明する。
通信装置10の受信部12は、通知メッセージではないフレームを受信したとする(ステップS31)。受信部12は、受信したフレームを攻撃検出部21に出力する。攻撃検出部21は、入力されたフレームを識別するIDが受信ホワイトリスト32に含まれているかを判定する(ステップS32)。入力されたフレームを識別するIDが受信ホワイトリスト32に無い場合、攻撃検出部21は、入力されたフレームを識別するIDが受信ブラックリスト33に含まれているかを判定する(ステップS32でNo、ステップS33)。入力されたフレームを識別するIDが受信ブラックリスト33にある場合、攻撃検出部21は、攻撃を検出したと判定する(ステップS33でYes、ステップS34)。そこで、攻撃検出部21は入力されたフレームの識別に使用するIDを設定部22に出力すると共に、入力されたフレームを廃棄する(ステップS35)。
一方、入力されたフレームを識別するIDが受信ブラックリスト33にも含まれていない場合、攻撃検出部21は、入力されたフレームは処理対象ではないと判定する(ステップS33でNo)。そこで、攻撃検出部21は入力されたフレームを廃棄する(ステップS35)。
入力されたフレームを識別するIDが受信ホワイトリスト32に含まれている場合、攻撃検出部21は、フレームのIDに対応付けられている認証フラグがONに設定されているかを判定する(ステップS32でYes、ステップS36)。フレームのIDに対応付けられている認証フラグがONに設定されていない場合、攻撃検出部21は、入力されたフレームをフレーム処理部26に出力する(ステップS36でNo)。フレーム処理部26は、入力されたフレームを処理する(ステップS38)。一方、フレームのIDに対応付けられている認証フラグがONに設定されている場合、攻撃検出部21は、入力されたフレームを認証部24に出力する(ステップS36でYes)。認証部24は、入力されたフレームを、入力されたフレーム中のデータから計算されたMACと、入力されたフレームの認証用に送信元から取得したMACを用いて、認証処理を行うと共に、認証結果に応じた処理を行う(ステップS37)。
攻撃の検出は、自装置が送信するフレームのIDと同じIDを他の通信装置10から受信した場合以外にも行われうる。例えば、攻撃検出部21は、受信ホワイトリスト32に含まれているIDごとに、フレームの受信周期や受信頻度を記録することができる。フレームの受信周期の変動が所定の割合以上になった場合、攻撃検出部21は、攻撃を検出したと判定しても良い。同様に、フレームの受信頻度が所定の割合を超えて増加した場合も、攻撃検出部21は、攻撃が発生したと判定しても良い。攻撃が発生したと判定された後の処理は、図5〜図7を参照しながら説明した処理と同様である。
さらに、通信装置10は、判定部27において送信対象のフレームを識別するIDが送信ホワイトリスト31に含まれていないことが検出された場合にも、攻撃が発生していると判定する。このような処理は、例えば、通信装置10がCANコントローラ102として実現されているなどの理由により、通信装置10の接続先でフレームが処理されている場合に特に有効である。すなわち、通信装置10の接続先の装置が攻撃者によってすりかえられた場合に、悪意のあるフレームが通信装置10に送信フレームとして入力されることになる。そこで、判定部27は、送信ホワイトリスト31に含まれないIDを識別情報として含むフレームを検出すると、判定部27が、攻撃を検出したと判定しても良い。判定部27は、攻撃の検出に使用したフレームの廃棄と並行して、廃棄するフレーム中のIDを通知処理部25に通知する。通知処理部25での通知フレームの送信のための処理や、通知フレームを受信した通信装置10での処理は、図5〜図7を参照しながら説明した処理と同様である。
(4)ハードウェアでの実装方法の例
図5〜図9を参照しながら説明した処理では、通信装置10での処理がプログラムを読み込んだプロセッサによって行われる場合を例としたが、通信装置10の処理の一部や全部がハードウェアで実現されても良い。以下、認証処理の切り替えや通知フレームの送信を、スイッチを用いて制御する場合の制御例を説明する。
図10は、攻撃が検出されたときの処理の例を説明する図である。図10の通信装置10aを参照しながら、通知フレームの送信処理がスイッチSW1で制御される場合の例を説明する。図10の通信装置10aで図示するケースでは、スイッチSW1は、記憶部30aおよび通知処理部25aと、設定部22aの間の接続に設置されている。また、スイッチSW1は、攻撃が検出されていない間は、設定部22aからの信号が通知処理部25aなどに流れない状態に設定されているとする。この状態で、例えば、通信装置10aが受信フレームを用いて攻撃を検出したとする。攻撃の検出方法は、前述の方法のうちで、受信フレームを用いる方法のいずれかであるとする。攻撃検出部21aは、受信フレームの識別に使用されるIDの情報を設定部22aに出力する(矢印A1)。設定部22aは、スイッチSW1を用いて、通知処理部25aおよび記憶部30aに接続する(矢印A2でSW1の設定変更)。さらに、設定部22aと通知処理部25aが接続されると、設定部22aから出力された信号が通知処理部25aに入力される(矢印A3)。通知処理部25aは、設定部22aから、攻撃が検出されたIDを取得すると、通知フレームを生成し、送信部13aに出力する(矢印A4)。送信部13aは、他の装置に通知フレームを送信する。一方、設定部22aは、記憶部30a中の送信ホワイトリスト31aか受信ホワイトリスト32aのいずれかで、攻撃が検出されたIDに対応付けられた認証フラグをONに設定する(矢印A5)。
図10の通信装置10bは、通信装置10aから送信された通知フレームを受信した場合に行われる制御の例を示している。図10中の通信装置10bを参照しながら、受信ホワイトリスト32中のIDに対応付けられた認証フラグが、スイッチSW2として実現される場合を説明する。認証フラグがスイッチSW2として実現される場合、通信装置10が処理する対象の各IDに対して、データの出力を制御するためのデータ出力部43が、スイッチSW2とともに設置される。なお、スイッチSW2も、IDごとに設置される。なお、図10の通信装置10bの例では、通知フレームで攻撃が通知されたIDの処理に使用される部分を抜き出して図示している。例えば、受信部12bとフレーム処理部26bや認証部24bの間には、攻撃検出部21bなどが接続されていてもよい。
通知フレームを受信する前は、スイッチSW2は、破線Aで示すように、Yesを表す信号が、常時、データ出力部43bに出力されるように設定されている。ここで、データ出力部43bにYesという信号が出力されると、データ出力部43bは、受信部12bや攻撃検出部21b(図示せず)などを介して取得したフレーム中のデータをフレーム処理部26bに出力する(矢印A11、A12)。MAC生成部23bに対しては、データフレーム中のデータ(CANデータ)が入力されるとする(矢印A13)。一方、認証部24bには、MAC認証が行われる場合に送信されるMACデータが入力されるものとする(矢印A14)。MAC生成部23bは、入力されたCANデータを用いてMACを生成すると、生成したMACを認証部24bに出力する(矢印A15)。なお、MAC認証が行われない場合には、認証部24bにはMACデータが入力されないので、MAC生成部23bでのMACの計算結果と認証部24bが取得した認証用のMACデータの比較処理は行われない。
通知フレームを受信すると、設定部22b(図示せず)によって、通知フレームで通知されたIDに対応付けられたスイッチSW2は、実線Bで示すように、設定が変更される。実線Bに示す設定では、認証部24bから認証結果がスイッチSW2に出力される(矢印A16)。このため、認証結果が認証成功(Yes)であれば、データ出力部43bにYesという信号がスイッチSW2から出力されるが、認証に失敗するとNoという信号がスイッチSW2にからデータ出力部43bに出力される。データ出力部43bは、認証失敗を表すNoが入力されると、データ出力部43bが取得したデータを破棄して、フレーム処理部26bには出力しない。このため、認証処理に成功した場合のみ、フレーム処理部26bにCANデータが出力される。
図11は、攻撃が検出されたときの処理の例を説明する図である。図11を参照しながら、送信ホワイトリスト31中のIDに対応付けられた認証フラグが、スイッチSW3として実現される場合を説明する。認証フラグが、スイッチSW3として実現される場合、スイッチSW3は、MAC生成部23dと送信部13dの間の接続に設置される。ここで、スイッチSW3は、通信装置10dが送信する対象とするIDの各々に対して1つずつ設置されるものとする。なお、図11の例でも、通知フレームで攻撃が通知されたIDの処理に使用される部分を抜き出して図示している。
通知フレームの受信前では、スイッチSW3は、実線Dに示すように設定されているため、MAC生成部23dと送信部13dは接続されていない。このため、MAC生成部23dでMACが生成されても、スイッチSW3が押下されていないので、生成されたMACは送信部13dに出力されない。
設定部22dは、受信部12dや攻撃検出部21d(図示せず)を介して、通知フレームを取得する(矢印A21)。設定部22dは、通知フレームで通知されたIDに対応付けられたスイッチSW3の設定を、破線Eに示すように変更する。このため、設定の変更後は、MAC生成部23dで生成されたMACが送信部13dに出力されるようになる。スイッチSW3の設定変更後に、フレーム処理部26でデータ(CANデータ)が生成されると、通知対象となるCANデータは送信部13dとMAC生成部23dの両方に入力される(矢印A23、A24)。スイッチSW3が認証フラグ=ONに相当する設定になっている場合、MAC生成部23dで生成されたMACデータは送信部13dに出力される。このため、通知フレームによって攻撃が検出されたIDについては、攻撃の通知後、送信部13dからは、CANデータとMACデータの両方が送信されるようになる。
図12は、攻撃が検出されたときの処理の例を説明する図である。図12を参照しながら、通知フレームの送信処理の制御と送信ホワイトリスト31中の認証フラグの両方がスイッチで実現される場合の例を説明する。図12では、通知フレームの送信処理の制御がスイッチSW4で行われ、送信ホワイトリスト31中の認証フラグがスイッチSW5で実現される。スイッチSW4は、通知処理部25aと設定部22aの間の接続に設置されており、攻撃が検出されていない間は、設定部22aからの信号が通知処理部25aに流れない状態に設定されている。この状態で、通信装置10aが受信フレームを用いて攻撃を検出したとする。攻撃検出部21aは、攻撃に使用されたフレームの識別に使用されるIDの情報を設定部22aに出力する(矢印A31)。設定部22aは、スイッチSW4を用いて、通知処理部25aに接続する(矢印A32でSW4の設定変更)。さらに、設定部22aと通知処理部25aが接続されると、設定部22aから出力された信号が通知処理部25aに入力される(矢印A33)。通知処理部25aは、攻撃が検出されたIDを設定部22aから取得すると、通知フレームを生成し、送信部13aに出力する(矢印A34)。送信部13aは、他の装置に通知フレームを送信する。
一方、認証フラグとして動作するスイッチSW5は、MAC生成部23aと送信部13aの間の接続に設置される。ここで、スイッチSW5は、通信装置10aが送信する対象とするIDの各々対して1つずつ設置されるものとする。通知フレームの受信前では、スイッチSW5によって、MAC生成部23aと送信部13aの間の接続は切断されている。
設定部22aは、攻撃検出部21aから攻撃が検出されたIDが通知されると、通知されたIDに対応付けられたスイッチSW5の設定を変更することにより、MAC生成部23aと送信部13aを接続する(矢印A35)。このため、設定の変更後は、MAC生成部23aで生成されたMACが送信部13aに出力されるようになる。スイッチSW5の設定変更後に、フレーム処理部26aでデータ(CANデータ)が生成されると、通知対象となるCANデータは送信部13aとMAC生成部23aの両方に入力される(矢印A36、A37)。このため、スイッチSW5が認証フラグ=ONに相当する設定になっている場合、MAC生成部23aで生成されたMACデータは送信部13aに出力される。このため、通知フレームによって攻撃が検出されたIDについては、攻撃の通知後、CANデータとMACデータの両方が送信されるようになる。
図13は、通信装置10が行う処理の例を説明するフローチャートである。通信装置10中の判定部27は、フレーム送信を行うかを判定する(ステップS51)。フレーム送信を行う場合、判定部27は、送信対象のフレームを用いた攻撃を検出したかを判定する(ステップS52)。例えば、判定部27は、送信フレームを識別するIDが送信ホワイトリスト31に含まれているかの判定を、ステップS52の処理として行うことができる。送信対象のフレームを用いた攻撃を検出した場合、判定部27は、処理対象のフレームを廃棄する(ステップS53)。
判定部27は、送信対象のフレームによって攻撃を検出していない場合、送信対象のフレームに対応付けられた認証フラグがONに設定されているかを判定する(ステップS52でNo、ステップS56)。送信対象のフレームに対応付けられた認証フラグがOFFに設定されている場合、判定部27は、送信部13を介して送信対象のフレームを送信する(ステップS56でNo、ステップS57)。一方、送信対象のフレームに対応付けられた認証フラグがONに設定されている場合、MAC生成部23は、送信対象のフレームからMACを計算する(ステップS56でYes、ステップS58)。送信部13は、送信対象のフレームと、MAC生成部23で計算されたMACを送信する(ステップS59)。
ステップS51において、フレームの送信処理を行っていないと判定される場合、フレームの受信処理中であるかが判定される(ステップS51でNo、ステップS60)。フレームの受信処理中の場合、通信装置10は、フレームの受信処理を行う(ステップS60でYes、ステップS61)。ステップS61の詳細は、図14を参照しながら説明する。
一方、フレームの受信処理中でもない場合、攻撃検出部21は、攻撃を検出したかを判定する(ステップS60でNo、ステップS62)。攻撃検出部21が攻撃を検出していない場合、ステップS51に戻る(ステップS62でNo)。攻撃検出部21が攻撃を検出した場合、通知処理部25は、攻撃を検出したIDについての通知フレームを送信する(ステップS62でYes、ステップS63)。設定部22は、攻撃検出部21が攻撃を検出したIDに対応付けられた認証フラグをONに設定する(ステップS64)。ステップS53、S57、S59、S64の処理が終了した場合、ステップS51以降の処理が繰り返される。
なお、図13は一例であり、実装に応じて手順が変更されても良い。例えば、ステップS63とS64の順序は、任意に変更され得る。また、ステップS53の処理後に、ステップS63、S64の処理が行われるように通信装置10が設計されても良い。例えば、判定部27が、送信対象のフレームのIDが送信ホワイトリスト31に含まれていないIDであることを検出した場合、ステップS53の処理後に、ステップS63、S64の処理が行われても良い。
図14は、通信装置10がフレームを受信したときに行う処理の例を説明するフローチャートである。図14は、図13中のステップS61の詳細の例を示している。なお、図14も処理の一例を示しており、実装に応じて変更され得る。例えば、ステップS82とS83の順序は任意に変更され得る。
受信部12はフレームを受信する(ステップS71)。攻撃検出部21は、受信フレームが通知フレームであるかを判定する(ステップS72)。受信フレームが通知フレームではない場合、攻撃検出部21は、受信フレームによって攻撃を検出したかを判定する(ステップS72でNo、ステップS73)。なお、ステップS73の判定処理は、例えば、図9を参照しながら説明した処理とすることができる。受信フレームを用いて攻撃を検出していない場合、攻撃検出部21は、受信フレームのIDに対応付けられた認証フラグがONに設定されているかを判定する(ステップS73でNo、ステップS74)。受信フレームのIDに対応付けられた認証フラグがONに設定されている場合、MAC生成部23は、受信フレームからMAC(MACx)を計算する。さらに、認証部24は、計算されたMACxと認証用に受信したMAC(MACy)を比較する(ステップS74でYes、ステップS75)。MACxとMACyが一致する場合、認証部24は、受信フレームをフレーム処理部26に出力し、フレーム処理部26はフレームを処理する(ステップS76でYes、ステップS77)。MACxとMACyが一致しない場合、認証部24は、受信フレームを廃棄する(ステップS76でNo、ステップS78)。
ステップS74において、受信フレームのIDに対応付けられた認証フラグがONに設定されていない場合、受信フレームは認証を行わずに送受信されるフレームである(ステップS74でNo)。攻撃検出部21は、受信フレームのIDは受信ホワイトリスト32に含まれているかを判定する(ステップS79)。受信フレームのIDが受信ホワイトリスト32に含まれている場合、攻撃検出部21は受信フレームをフレーム処理部26に出力し、フレーム処理部26はフレームを処理する(ステップS79でYes、ステップS80)。一方、受信フレームのIDが受信ホワイトリスト32に含まれていない場合、攻撃検出部21は受信フレームを廃棄する(ステップS79でNo、ステップS81)。
ステップS73において攻撃を検出したと判定されると、通知処理部25は、攻撃が検出されたIDについての通知フレームを送信する処理を行う(ステップS73でYes、ステップS82)。設定部22は、攻撃が検出されたIDに対応付けられた認証フラグをONに設定する(ステップS83)。
ステップS72において、通知フレームを受信したと判定した場合、設定部22は、通知フレームで通知されたIDが受信ホワイトリスト32か送信ホワイトリスト31に含まれるかを判定する(ステップS72でYes、ステップS73)。通知フレームで通知されたIDが受信ホワイトリスト32と送信ホワイトリスト31のいずれにも含まれない場合、設定部22は受信処理を終了する(ステップS84でNo)。通知フレームで通知されたIDが受信ホワイトリスト32か送信ホワイトリスト31に含まれる場合、設定部22は、通知されたIDに対応付けられた認証フラグをONに設定する(ステップS84でYes、ステップS85)。
以上説明したように、第1の実施形態によると、ネットワーク中のいずれかの通信装置10によって攻撃が検出されてから、攻撃が検出されたIDを用いた通信ではMAC認証を行って、不正アクセスを防止する。このため、第1の実施形態によると、ネットワークのセキュリティーを高めることができる。さらに、MAC認証は、攻撃が検出されたIDに対して行われるに過ぎないので、MAC認証に起因して通信装置10にかかる負荷や処理の遅延は、攻撃の検出状況に関わらずにMAC認証を行うシステムに比べて小さい。さらに、特定のIDに対して、攻撃の検出状況に関わらずMAC認証を行う場合に比べて、特定のIDを用いたときの処理速度が遅くなるなどの問題も発生しない。
<第2の実施形態>
第1の実施形態に加えて、攻撃が終了した場合や、攻撃に対する対処が成功したことにより、MAC認証を用いたフレームの送受信を終了する場合について説明する。
図15は、第2の実施形態において、攻撃が検出されたときの処理の例を説明する図である。第2の実施形態にかかる通信装置10は、図15に示すように、状態検知部41と処理部42を備える。状態検知部41は、ネットワークが設置されているシステムの稼動状況をモニタし、得られた情報を処理部42と設定部22に通知する。処理部42は、攻撃検出部21から攻撃の発生が通知されると、システムの稼動状況に合わせて予め決定された処理のいずれかを行う。なお、状態検知部41と処理部42のいずれも、プロセッサ104かプロセッサ111によって実現される。以下、状態検知部41と処理部42の動作の説明も、図15を参照しながら述べる。なお、図15では、通知フレームの送信処理の制御がスイッチSW11で行われ、送信ホワイトリスト31中の認証フラグがスイッチSW12で実現される。図15では、認証フラグなどをハードウェアで実装する場合の例を説明しているが、第2の実施形態にかかる通信装置10でも、制御部20の一部、または、全部をソフトウェアで実現することもできる。
状態検知部41は、通信装置10が起動している間、ネットワークが設置されているシステムでの動作状態をモニタするための処理を行う。例えば、状態検知部41は、ネットワーク中の他の通信装置10に含まれている状態検知部41との間での通信結果や、ネットワークが設置されているシステム中の装置との通信結果を用いて、稼動状況を判定しても良い。例えば、CANネットワークが自動車に搭載されている場合、状態検知部41は、CANネットワークが搭載されている自動車が走行中であるかをモニタする。状態検知部41は、モニタ処理によって得られた情報を、定期的に設定部22と処理部42に出力する(矢印A41、A42)。
その後、攻撃検出部21で攻撃が検出されたとする。攻撃検出部21での攻撃の検出処理は、第1の実施形態と同様である。攻撃検出部21は、攻撃を検出したことを処理部42に通知する(矢印A43)。
処理部42は、攻撃が検出されると、予め決められた安全対策のための処理を行う。例えば、CANネットワークが自動車に搭載されている場合、処理部42は、攻撃検出部21から攻撃が通知されると、停車を促す音声信号を車内のスピーカから出力させるために予め決められている処理を行っても良い。また、車内に搭載された表示画面などがある場合には、これに画像信号を出力しても良い。また、処理部42は、処理部42が保持している検査プログラムを用いてシステムの状態を検査しても良い。
矢印A44〜A47に示す処理は、図12を参照しながら説明した矢印A31〜A34の処理と同様である。このため、第2の実施形態でも、第1の実施形態と同様に通知フレームの送信が行われる。さらに、矢印A48〜A50の処理は、図12を参照しながら説明した矢印A35〜A37の処理と同様である。このため、第2の実施形態でも、第1の実施形態と同様に通知フレームによって攻撃が通知されたIDを有するフレームの送受信に際して、認証処理が行われる。
図16は、第2の実施形態にかかる通信方法の例を説明するフローチャートである。以下、図16を参照しながら、復帰処理の例について説明する。図16のステップS91〜S95は、図1を参照しながら説明したステップS1〜S5と同様である。第2の実施形態では、MAC認証を用いるフレームの送受信を行っている間、処理部42は、状態検知部41から取得した情報や検査プログラムを用いた検査の結果などを用いて、認証処理を終了するIDがあるかを判定する(ステップS96)。例えば、処理部42は、攻撃の検出後に状態検知部41から停車したことが通知された場合は、認証処理を行っている全てのIDについて、認証処理を終了できると判定しても良い。また、特定のIDを用いた攻撃の終了が確認できた場合には、攻撃の終了が確認できたIDについて、認証処理を終了できると判定する。
認証処理を終了するIDがあると判定すると、処理部42は、認証処理を終了するIDを設定部22に通知する。設定部22は、処理部42から通知されたIDについての認証フラグをOFFに設定する。さらに、処理部42は、他の通信装置10に対して、自装置が認証処理を終了するIDに対する認証処理を終了することを要求するための復帰要求フレームを生成する。復帰要求フレームには、フレーム種別と、認証処理の終了を要求するIDが含められる。例えば、ID=123に対する復帰処理を行う場合、処理部42は、以下の情報要素を含む復帰要求フレームを生成する。
種別 :復帰要求フレーム
対象ID:123
処理部42は、生成した復帰要求フレームを、送信部13から送信する。なお復帰要求フレームも、通知フレームと同様に、ネットワーク中の全ての通信装置10が受信対象とする制御用のIDを用いて送信されるものとする。または、復帰要求フレームを作成する代わりに対象IDのみを含むフレームを作成し、復帰要求フレームを送信するための専用IDを用いて送信しても良い。
復帰要求を受信した通信装置10では、攻撃検出部21が受信部12を介して、復帰要求フレームを取得する。攻撃検出部21は、復帰要求フレームを設定部22に出力する。設定部22は、受信した復帰要求フレームで通知されたIDに対応付けられた認証フラグをOFFに設定する。このため、復帰要求フレームの受信後の通信装置10では、復帰要求フレームで通知されたIDに対する認証処理が行われなくなる(ステップS97)。例えば、認証処理の対象となっていたフレームを送信する通信装置10は、復帰要求フレームの受信後は、復帰要求フレームで通知されたIDを含むフレームの送信の際に、送信対象のフレームのMACを送信しなくなる。一方、認証処理の対象となっていたフレームを受信する通信装置10は、復帰要求フレームの受信後は、復帰要求フレームで通知されたIDを含むフレームの受信の際に認証処理を行わずに受信処理を行う。
その後、ネットワーク中の各通信装置10は、新たに攻撃を検知したかを判定する(ステップS98)。新たな攻撃が検出されていない場合、ステップS95以降の処理が繰り返される(ステップS98でNo)。このため、認証フラグ=ONのままの設定が継続しているIDについては、認証処理を伴う通信が継続されるが認証フラグ=OFFのIDについては認証処理が行われない。一方、新たな攻撃が検知された場合には、ステップS94以降の処理が繰り返される(ステップS98でYes)。このため、新たに攻撃が検出された場合には、攻撃が検出されたIDについての認証処理が開始される。
第2の実施形態では、攻撃の停止などに伴い、認証処理を終了することができる。このため、攻撃の検出や攻撃の停止の確認などに応じて、認証処理の開始や停止を行うことができ、通信装置10にかかる負担を小さくすると共に、ネットワークのセキュリティーも担保できる。このため、第2の実施形態は、ネットワークへの攻撃が検出されてもシステムを停止せずに連続使用する場合に特に効果的である。
<その他>
なお、実施形態は上記に限られるものではなく、様々に変形可能である。以下にその例をいくつか述べる。
図17は、ネットワークの変形例を説明する図である。ネットワークN2は、通信装置10(10a〜10d)と検知装置70を含む。ネットワークN2の例では、各通信装置10は、CANネットワークのECUとしても動作する。検知装置70は、ネットワーク中で送受信されるフレームのIDごとの統計値などを用いることにより、ネットワークN2への攻撃を検知する。ネットワークN2のように、検知装置70がネットワーク中に含まれている場合、各通信装置10は、攻撃検出部21を備えなくても良い。さらに、検知装置70は、ネットワークへの攻撃の終了なども検知する。攻撃が終了したIDを特定すると、検知装置70は、特定したIDを含む復帰要求フレームを、ネットワークN2中の通信装置10に送信する。
図17のネットワークN3には、ECU100(100a〜100d)と、通知装置80が含まれており、各ECU100は、通信装置10(10a〜10d)を介してネットワークの他の装置と通信可能になるように接続されている。ネットワークN3に含まれる通信装置10は、通知処理部25を備えなくてもよい。この場合、各通信装置10は、攻撃検出部21において攻撃を検出すると、攻撃の検出を通知装置80に通知する。通知装置80は、いずれかの通信装置10から攻撃の検出と、攻撃が検出されたIDが通知されると、ネットワークN3中の装置に、通知フレームをブロードキャストする。第2の実施形態に対応した通信装置10がネットワークN3に用いられる場合、処理部42は、認証処理を終了することを決定したIDを、通知装置80に通知する。通知装置80は、認証処理を終了することを決定したIDをネットワーク中の通信装置10に通知するために、復帰要求フレームを送信する。また、各通信装置10は、フレーム処理部26を保持しなくても良く、通信装置10において受信対象であると判定したフレーム中のデータは、通信装置10からECU100に転送される。
以上の説明では、攻撃が検出されたIDについて、MAC認証が行われる場合の例を説明したが、攻撃が検出されたID以外にも、攻撃の検出により監視を強めることが望ましいIDもMAC認証の対象に追加されてもよい。例えば、乗用車のCANネットワークにおいて、ハンドルの情報を伝える際に使用されるIDに対する攻撃が検出された場合、攻撃が検出されたIDに加えて、ブレーキの情報を通知する際に使用されるIDについてもMAC認証を行っても良い。この場合、通知処理部25や設定部22は、攻撃が検出されたIDに対応付けて、認証処理を開始するIDを特定するための情報を記憶しているものとする。
さらに、以上の説明では、攻撃が検出されるとMAC認証を用いる場合について説明したが、攻撃が検出されたIDについては、重要度に応じて、MAC認証とCANデータの暗号化を併用しても良い。認証処理と暗号化が併用されるIDについては、受信ホワイトリスト32や送信ホワイトリスト31において、認証フラグと合わせて、暗号化を行うかなどの情報も登録されているものとする。
上述の第1および第2の実施形態を含む実施形態に関し、さらに以下の付記を開示する。
(付記1)
フレームの識別情報を用いて前記フレームを受信するかを判定する第1の通信装置と、
前記第1の通信装置と同じネットワークに属する第2の通信装置
を備え、
前記第1の通信装置は、
前記ネットワークへの攻撃の検出と、前記攻撃に使用されたフレームに含まれている識別情報である対象識別情報とを通知する通知フレームを前記第2の通信装置から受信すると、前記対象識別情報を含むフレームを、認証処理の対象に設定し、
前記認証処理の対象に設定した送信フレームを送信する際に、前記送信フレームから生成した認証情報を、前記送信フレームと共に送信する
ことを特徴とする通信システム。
(付記2)
前記対象識別情報を含むフレームを受信する第3の通信装置をさらに備え、
前記第3の通信装置は
前記通知フレームを前記第2の通信装置から受信すると、前記対象識別情報を含むフレームを、前記認証処理の対象に設定し、
前記第1の通信装置から送信された前記認証情報と前記送信フレームを取得し、
前記第1の通信装置から取得した前記認証情報と前記送信フレームから生成した認証情報とを比較する
ことを特徴とする付記1に記載の通信システム。
(付記3)
前記第2の通信装置は、前記対象識別情報を含むフレームに対する認証処理を終了することを決定すると、前記対象識別情報を含むフレームに対する認証処理の終了を要求する要求フレームを前記ネットワークに送信する
ことを特徴とする付記2に記載の通信システム。
(付記4)
フレームの識別情報を用いて前記フレームを受信するかを判定するネットワークに含まれる通信装置に、
前記ネットワークへの攻撃の検出と、前記攻撃に使用されたフレームに含まれている識別情報である対象識別情報とを通知する通知フレームを受信すると、前記対象識別情報を含むフレームを、認証処理の対象に設定し、
前記認証処理の対象に設定した送信フレームを送信する際に、前記送信フレームから認証情報を生成し
前記送信フレームと共に、前記認証情報を送信する
処理を行わせることを特徴とする通信プログラム。
(付記5)
前記ネットワークで送受信されるフレームを監視することにより前記ネットワークへの攻撃を検出すると、前記通知フレームを、前記ネットワークに送信する、
処理を前記通信装置に行わせることを特徴とする付記4に記載の通信プログラム。
(付記6)
前記対象識別情報を含むフレームに対する前記認証処理を終了することを決定すると、前記対象識別情報を含むフレームを、前記認証処理の対象から除外し、
前記対象識別情報を含むフレームに対する認証処理の終了を要求する要求フレームを送信する
処理を前記通信装置に行わせることを特徴とする付記4または5に記載の通信プログラム。
(付記7)
フレームの識別情報を用いて前記フレームを受信するかを判定するネットワークに含まれる通信装置が、
前記ネットワークへの攻撃の検出と、前記攻撃に使用されたフレームに含まれている識別情報である対象識別情報とを通知する通知フレームを受信すると、前記対象識別情報を含むフレームを、認証処理の対象に設定し、
前記認証処理の対象に設定した送信フレームを送信する際に、前記送信フレームから認証情報を生成し
前記送信フレームと共に、前記認証情報を送信する
処理を行うことを特徴とする通信方法。
(付記8)
前記ネットワークで送受信されるフレームを監視することにより前記ネットワークへの攻撃を検出すると、前記通知フレームを、前記ネットワークに送信する、
処理を前記通信装置が行うことを特徴とする付記7に記載の通信方法。
(付記9)
前記対象識別情報を含むフレームに対する前記認証処理を終了することを決定すると、前記対象識別情報を含むフレームに対する認証処理の終了を要求する要求フレームを送信する、
処理を前記通信装置が行うことを特徴とする付記7または8に記載の通信方法。
(付記10)
フレームの識別情報を用いて前記フレームを受信するかを判定するネットワークに含まれる通信装置であって、
前記ネットワーク中の他の通信装置との間でフレームを送受信する通信部と、
前記ネットワークへの攻撃の検出と、前記攻撃に使用されたフレームに含まれている識別情報である対象識別情報とを通知する通知フレームを、前記通信部が受信すると、前記対象識別情報を含むフレームを、認証処理の対象に設定する設定部と、
前記認証処理の対象に設定した送信フレームを送信する際に、前記送信フレームから認証情報を生成する生成部
を備えることを特徴とする通信装置。
(付記11)
前記ネットワークで送受信されるフレームを監視することにより前記ネットワークへの攻撃を検出する検出部
をさらに備え、
前記検出部が前記攻撃を検出すると、
前記通信部は、前記通知フレームを、前記ネットワークに送信し、
前記設定部は、検出された攻撃で使用された識別情報を含むフレームを、前記認証処理の対象に設定する
ことを特徴とする付記10に記載の通信装置。
(付記12)
前記対象識別情報を含むフレームに対する前記認証処理を終了することを決定すると、前記対象識別情報を含むフレームを、前記認証処理の対象から除外する処理部
をさらに備え、
前記通信部は、前記対象識別情報を含むフレームに対する認証処理の終了を要求する要求フレームを送信する
ことを特徴とする付記10または11に記載の通信装置。
10 通信装置
11 通信部
12 受信部
13 送信部
20 制御部
21 攻撃検出部
22 設定部
23 MAC生成部
24 認証部
25 通知処理部
26 フレーム処理部
27 判定部
30 記憶部
31 送信ホワイトリスト
32 受信ホワイトリスト
33 受信ブラックリスト
41 状態検知部
42 処理部
43 データ出力部
70 検知装置
80 通知装置
100 ECU
101 CANトランシーバ
102 CANコントローラ
103 処理回路
104、111 プロセッサ
105、112 メモリ

Claims (5)

  1. フレームの識別情報を用いて前記フレームを受信するかを判定する第1の通信装置と、
    前記第1の通信装置と同じネットワークに属する第2の通信装置
    を備え、
    前記第1の通信装置は、
    前記ネットワークへの攻撃の検出と、前記攻撃に使用されたフレームに含まれている識別情報である対象識別情報とを通知する通知フレームを前記第2の通信装置から受信すると、前記対象識別情報を含むフレームを、認証処理の対象に設定し、
    前記認証処理の対象に設定した送信フレームを送信する際に、前記送信フレームから生成した認証情報を、前記送信フレームと共に送信し、
    前記第2の通信装置は、前記対象識別情報を含むフレームに対する認証処理を終了するかどうかを、前記ネットワークが設置されているシステムの状態の検知結果に応じて決定し、前記対象識別情報を含むフレームに対する認証処理を終了することを決定すると、前記対象識別情報を含むフレームに対する認証処理の終了を要求する要求フレームを前記ネットワークに送信する
    ことを特徴とする通信システム。
  2. 前記対象識別情報を含むフレームを受信する第3の通信装置をさらに備え、
    前記第3の通信装置は
    前記通知フレームを前記第2の通信装置から受信すると、前記対象識別情報を含むフレームを、前記認証処理の対象に設定し、
    前記第1の通信装置から送信された前記認証情報と前記送信フレームを取得し、
    前記第1の通信装置から取得した前記認証情報と前記送信フレームから生成した認証情報とを比較する
    ことを特徴とする請求項1に記載の通信システム。
  3. フレームの識別情報を用いて前記フレームを受信するかを判定するネットワークに含まれる通信装置に、
    前記ネットワークへの攻撃の検出と、前記攻撃に使用されたフレームに含まれている識別情報である対象識別情報とを通知する通知フレームを受信すると、前記対象識別情報を含むフレームを、認証処理の対象に設定し、
    前記認証処理の対象に設定した送信フレームを送信する際に、前記送信フレームから認証情報を生成し、
    前記送信フレームと共に、前記認証情報を送信し、
    前記対象識別情報を含むフレームに対する認証処理を終了するかどうかを、前記ネットワークが設置されているシステムの状態の検知結果に応じて決定し、
    前記対象識別情報を含むフレームに対する前記認証処理を終了することを決定すると、前記対象識別情報を含むフレームを、前記認証処理の対象から除外し、
    前記対象識別情報を含むフレームに対する認証処理の終了を要求する要求フレームを送信する
    処理を行わせることを特徴とする通信プログラム。
  4. フレームの識別情報を用いて前記フレームを受信するかを判定するネットワークに含まれる通信装置が、
    前記ネットワークへの攻撃の検出と、前記攻撃に使用されたフレームに含まれている識別情報である対象識別情報とを通知する通知フレームを受信すると、前記対象識別情報を含むフレームを、認証処理の対象に設定し、
    前記認証処理の対象に設定した送信フレームを送信する際に、前記送信フレームから認証情報を生成し、
    前記送信フレームと共に、前記認証情報を送信し、
    前記対象識別情報を含むフレームに対する認証処理を終了するかどうかを、前記ネットワークが設置されているシステムの状態の検知結果に応じて決定し、
    前記対象識別情報を含むフレームに対する前記認証処理を終了することを決定すると、前記対象識別情報を含むフレームを、前記認証処理の対象から除外し、
    前記対象識別情報を含むフレームに対する認証処理の終了を要求する要求フレームを送信する
    処理を行うことを特徴とする通信方法。
  5. フレームの識別情報を用いて前記フレームを受信するかを判定するネットワークに含まれる通信装置であって、
    前記ネットワーク中の他の通信装置との間でフレームを送受信する通信部と、
    前記ネットワークへの攻撃の検出と、前記攻撃に使用されたフレームに含まれている識別情報である対象識別情報とを通知する通知フレームを、前記通信部が受信すると、前記対象識別情報を含むフレームを、認証処理の対象に設定する設定部と、
    前記認証処理の対象に設定した送信フレームを送信する際に、前記送信フレームから認証情報を生成する生成部と、
    前記ネットワークが設置されているシステムの状態を検知する状態検知部と、
    前記対象識別情報を含むフレームに対する認証処理を終了するかどうかを、前記状態検知部による前記システムの状態の検知結果に応じて決定する決定部
    を備え、
    前記設定部は、前記対象識別情報を含むフレームに対する前記認証処理を終了することを前記決定部が決定すると、前記対象識別情報を含むフレームを、前記認証処理の対象から除外し、
    前記通信部は、前記対象識別情報を含むフレームに対する認証処理の終了を要求する要求フレームを送信する
    ことを特徴とする通信装置。
JP2016006646A 2016-01-15 2016-01-15 通信システム、通信プログラム、通信方法、および、通信装置 Active JP6728700B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016006646A JP6728700B2 (ja) 2016-01-15 2016-01-15 通信システム、通信プログラム、通信方法、および、通信装置
US15/403,279 US10270768B2 (en) 2016-01-15 2017-01-11 Communication system, communication method, and communication device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016006646A JP6728700B2 (ja) 2016-01-15 2016-01-15 通信システム、通信プログラム、通信方法、および、通信装置

Publications (2)

Publication Number Publication Date
JP2017126966A JP2017126966A (ja) 2017-07-20
JP6728700B2 true JP6728700B2 (ja) 2020-07-22

Family

ID=59315298

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016006646A Active JP6728700B2 (ja) 2016-01-15 2016-01-15 通信システム、通信プログラム、通信方法、および、通信装置

Country Status (2)

Country Link
US (1) US10270768B2 (ja)
JP (1) JP6728700B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110290038B (zh) * 2014-09-12 2021-11-09 松下电器(美国)知识产权公司 电子控制单元、车载网络系统以及车辆用通信方法
CN108123775B (zh) * 2016-11-29 2020-09-29 华为技术有限公司 传输数据包的方法和设备
JP7006335B2 (ja) * 2018-02-06 2022-01-24 トヨタ自動車株式会社 車載通信システム、車載通信方法、およびプログラム
CN113132307B (zh) * 2019-12-31 2023-09-01 厦门雅迅网络股份有限公司 检测车内can网络遭受非法行为的方法、装置及存储介质
KR102432972B1 (ko) * 2020-12-04 2022-08-16 재단법인대구경북과학기술원 버스 네트워크 시스템에서 악의적 노드 탐지 방법 및 노드 장치
JP2022114778A (ja) * 2021-01-27 2022-08-08 セイコーエプソン株式会社 電子機器及び電子機器の制御方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5770602B2 (ja) 2011-10-31 2015-08-26 トヨタ自動車株式会社 通信システムにおけるメッセージ認証方法および通信システム
JP6126980B2 (ja) 2013-12-12 2017-05-10 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム
EP3852313B1 (en) 2014-04-03 2022-06-08 Panasonic Intellectual Property Corporation of America Network communication system, fraud detection electronic control unit and anti-fraud handling method
US10165442B2 (en) * 2014-05-29 2018-12-25 Panasonic Intellectual Property Management Co., Ltd. Transmission device, reception device, transmission method, and reception method

Also Published As

Publication number Publication date
US10270768B2 (en) 2019-04-23
US20170208065A1 (en) 2017-07-20
JP2017126966A (ja) 2017-07-20

Similar Documents

Publication Publication Date Title
JP6728700B2 (ja) 通信システム、通信プログラム、通信方法、および、通信装置
JP6685023B2 (ja) 電子制御装置、通信方法およびプログラム
JP6488702B2 (ja) 通信制御装置、通信制御方法、および、通信制御プログラム
US10242176B1 (en) Controlled access communication between a baseboard management controller and PCI endpoints
JP6814549B2 (ja) 演算装置、認証システム、認証方法
US20100241861A1 (en) Dhcp client server system, dhcp client device and dhcp server device
US10050983B2 (en) Communication system, receiving apparatus, receiving method, and computer program product
JP2018133744A (ja) 通信システム、車両、および監視方法
US11888866B2 (en) Security module for a CAN node
KR101882694B1 (ko) Mac을 포함하는 can 메시지 송수신을 위한 방법 및 시스템
KR101734505B1 (ko) 차량용 네트워크의 공격탐지 방법 및 그 장치
JP6887108B2 (ja) 不正検知電子制御ユニット、電子制御ユニット、車載ネットワークシステム、不正検知方法およびコンピュータプログラム
KR20180137306A (ko) Can 통신 기반 해킹공격 탐지 방법 및 시스템
JP2019126004A (ja) 攻撃検知装置および攻撃検知方法
WO2015096905A1 (en) A method and apparatus for detecting that an attacker has sent one or more messages to a receiver node
JP2017091280A (ja) 監視方法および監視システム
JP2013041587A (ja) 遠隔ソースからコマンドを実行するためのシステム及び方法
JP7016783B2 (ja) 情報処理装置、管理装置
JP2016100842A (ja) 通信制御装置、通信制御方法、および、通信制御プログラム
CN115118504A (zh) 知识库更新方法、装置、电子设备及存储介质
JP7110950B2 (ja) ネットワークシステム
JP2015192216A (ja) 通信装置および通信方法
CN113364807A (zh) 一种网络节点可信认证实现方法
US20150237059A1 (en) Information processing apparatus, information processing method, and non-transitory computer readable medium
JP6615721B2 (ja) 通信システム、受信装置、受信方法およびプログラム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170111

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180912

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190619

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190625

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190823

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20190823

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20190823

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191224

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200205

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200602

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200615

R150 Certificate of patent or registration of utility model

Ref document number: 6728700

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150