JP6920667B2 - Information processing equipment, information processing systems, information processing methods, and programs - Google Patents
Information processing equipment, information processing systems, information processing methods, and programs Download PDFInfo
- Publication number
- JP6920667B2 JP6920667B2 JP2017175751A JP2017175751A JP6920667B2 JP 6920667 B2 JP6920667 B2 JP 6920667B2 JP 2017175751 A JP2017175751 A JP 2017175751A JP 2017175751 A JP2017175751 A JP 2017175751A JP 6920667 B2 JP6920667 B2 JP 6920667B2
- Authority
- JP
- Japan
- Prior art keywords
- gateway
- information processing
- unit
- notification
- transfer function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000010365 information processing Effects 0.000 title claims description 198
- 238000003672 processing method Methods 0.000 title claims description 6
- 238000012546 transfer Methods 0.000 claims description 224
- 238000004891 communication Methods 0.000 claims description 164
- 230000005540 biological transmission Effects 0.000 claims description 50
- 238000000034 method Methods 0.000 claims description 44
- 238000012544 monitoring process Methods 0.000 claims description 31
- 230000008569 process Effects 0.000 claims description 28
- 238000012545 processing Methods 0.000 claims description 21
- 230000004913 activation Effects 0.000 claims description 15
- 230000002159 abnormal effect Effects 0.000 claims description 13
- 230000003213 activating effect Effects 0.000 claims description 6
- 230000006870 function Effects 0.000 description 146
- 238000005516 engineering process Methods 0.000 description 25
- 238000004590 computer program Methods 0.000 description 21
- 238000010586 diagram Methods 0.000 description 19
- 238000004519 manufacturing process Methods 0.000 description 13
- 238000012986 modification Methods 0.000 description 12
- 230000004048 modification Effects 0.000 description 12
- 230000010354 integration Effects 0.000 description 7
- 239000004065 semiconductor Substances 0.000 description 7
- 230000004044 response Effects 0.000 description 4
- 102100034112 Alkyldihydroxyacetonephosphate synthase, peroxisomal Human genes 0.000 description 3
- 101000799143 Homo sapiens Alkyldihydroxyacetonephosphate synthase, peroxisomal Proteins 0.000 description 3
- 238000000848 angular dependent Auger electron spectroscopy Methods 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
Description
本発明は、ネットワークに対する攻撃へ対抗する情報処理装置、情報処理システム、情報処理方法、及びプログラムに関するものである。 The present invention relates to an information processing device, an information processing system, an information processing method, and a program that counter attacks on a network.
近年、車載ネットワークに対する攻撃(ハッキング)、並びに、攻撃によるリスクの高さが指摘されている。具体的には、外部との無線接続インタフェースを備える自動車の情報端末に無線通信などを介してアクセスした攻撃者が、プログラムを不正に書き換えた上で、その情報端末から、自動車内部の車載ネットワークに対して任意のCAN(Controller Area Network)コマンドを送信することによって、電子制御ユニット(ECU:Electronic Contorol Unit、以下、ECUと表記する)につながるアクチュエータを運転者の意図に反して制御する攻撃が発表されている。 In recent years, attacks (hacking) on in-vehicle networks and high risks due to attacks have been pointed out. Specifically, an attacker who accesses an information terminal of a car equipped with a wireless connection interface with the outside via wireless communication, etc., illegally rewrites the program and then transfers the information terminal to the in-vehicle network inside the car. An attack has been announced that controls an actuator connected to an electronic control unit (ECU: Electronic Control Unit, hereinafter referred to as ECU) against the driver's intention by sending an arbitrary CAN (Controller Area Network) command. Has been done.
その一方で、運転者の意図に反する制御が、ECUの故障や不具合などに起因して実行されるリスクも存在する。 On the other hand, there is also a risk that control contrary to the driver's intention is executed due to a failure or malfunction of the ECU.
このような状況にあって、車載ネットワークには機能安全及びセキュリティの確保が求められている。 Under such circumstances, the in-vehicle network is required to ensure functional safety and security.
従来の機能安全の手法としては、ECUなどを冗長化する方法が知られており、例えば特許文献1では、複数のゲートウェイ装置を備えるネットワークシステムが開示されている。 As a conventional functional safety method, a method of making an ECU or the like redundant is known. For example, Patent Document 1 discloses a network system including a plurality of gateway devices.
しかしながら、特許文献1に記載のネットワークシステムにおいては、セキュリティが考慮されていない。例えば、グローバルバスに不正CANコマンドを注入するような攻撃をこのネットワークシステムが受けた場合、そのメインゲートウェイ又はサブゲートウェイは、その攻撃コマンドをそのままローカルバスに送信してしまう。つまり、攻撃者は、このネットワークシステムのローカルバス内への不正侵入が可能である。 However, security is not considered in the network system described in Patent Document 1. For example, if this network system receives an attack that injects an illegal CAN command into the global bus, the main gateway or sub-gateway sends the attack command to the local bus as it is. In other words, an attacker can break into the local bus of this network system.
また、メインゲートウェイが攻撃者に乗っ取られ、メインゲートウェイ自身がローカルバスへ直接不正CANコマンドを注入するような攻撃をうけた場合、特許文献1に記載のネットワークシステムでは、この攻撃を検知して排除することができない。 Further, when the main gateway is hijacked by an attacker and the main gateway itself receives an attack that directly injects an illegal CAN command into the local bus, the network system described in Patent Document 1 detects and eliminates this attack. Can not do it.
本発明は、機能安全に対応するよう冗長化されたネットワークシステムが、セキュリティを脅かす攻撃を排除し、かつ機能を維持することができる情報処理装置、情報処理システム、情報処理方法、及びプログラムを提供することを目的とする。 The present invention provides an information processing device, an information processing system, an information processing method, and a program in which a redundant network system for functional safety can eliminate attacks that threaten security and maintain its functions. The purpose is to do.
上記目的を達成するために本発明の一態様に係る情報処理装置は、第1のゲートウェイ、第2のゲートウェイ、及び少なくとも1つの電子制御ユニットが接続されたネットワークに流れる通信データを送受信する第1の通信部と、この通信データが正常か否かを判断する監視部と、監視部が通信データは正常でないと判断した場合に、第1のゲートウェイの転送機能及び第2のゲートウェイの転送機能の一方が有効であり、他方が無効である状態にするための通知を、少なくとも第2のゲートウェイへ送信する通知部とを備える。 In order to achieve the above object, the information processing apparatus according to one aspect of the present invention transmits / receives communication data flowing through a network to which a first gateway, a second gateway, and at least one electronic control unit are connected. Communication unit, monitoring unit that determines whether this communication data is normal, and when the monitoring unit determines that the communication data is not normal, the transfer function of the first gateway and the transfer function of the second gateway It includes a notification unit that transmits a notification for making one valid and the other invalid to at least a second gateway.
本発明によれば、冗長化によって機能安全に対応するネットワークシステムにおいて、攻撃による異常を検知した場合も、このネットワークシステムの機能を維持することができる。 According to the present invention, in a network system that supports functional safety by redundancy, the function of this network system can be maintained even when an abnormality due to an attack is detected.
(実施の形態1)
以下、本発明の実施の形態1における情報処理システムについて図面を参照しながら説明する。
(Embodiment 1)
Hereinafter, the information processing system according to the first embodiment of the present invention will be described with reference to the drawings.
[1.1 情報処理システム10の構成]
情報処理システム10は、図1に示すように、第1のゲートウェイ(以下、第1のGWと表記する)101、第2のゲートウェイ(以下、第2のGWと表記する)102、情報処理装置103、通信ECU104、及び複数のECU105を備える。
[1.1 Configuration of Information Processing System 10]
As shown in FIG. 1, the
情報処理システム10では、上記の各構成要素がCANバスを用いて接続されるネットワークが形成されている。図1の例では、CANバス1、CANバス2、及びCANバス3のそれぞれにECU105が接続されており、CANバス1、CANバス2、及びCANバス3(以下、CANバス1〜3とも表記する)は、第1のGW101及び第2のGW102を介して相互に接続されている。
In the
また、情報処理装置103は、CANバス1〜3と接続されている。さらに、図1の例では、第1のGW101と第2のGW102とは、各CANバスとは別の配線である専用線600でも接続されている。専用線600は、第1のGW101と第2のGW102との間の直接通信に用いられる。
Further, the
情報処理システム10は、例えば車載ネットワーク上で構成されるネットワークシステムであり、この車載ネットワークは、それぞれのECU、GW、情報処理装置などの各構成要素がCANコマンドと呼ばれる通信データを送受信することで、様々な機能を実現している。例えば、先進運転者支援システム(ADAS:Advanced Driver Assistance System、以下、ADASと表記する)の一機能である駐車支援機能、車線維持支援機能、衝突回避支援機能などでは、電子制御化されたステアリング、アクセル、ブレーキなどをそれぞれ動作させるアクチュエータの制御が車載ネットワークを流れるCANコマンドによって行われることで実現される。
The
第1のGW101及び第2のGW102は、このようなネットワークを流れるCANコマンドを受信して、受信したCANコマンドを、当該CANコマンドのID(CAN ID)ごとに指定されたCANバスへ送信(転送)する転送機能を有する。例えば、第1のGW101がCANバス2から受信したCANコマンドのCAN IDが「0x011」であり、このCAN IDに対してあらかじめ指定された転送先がCANバス1の場合、第1のGW101は、当該CANコマンドをCANバス1へ転送する。CAN ID及びCANコマンドの転送先の指定については後述する。
The first GW 101 and the second GW 102 receive the CAN command flowing through such a network, and transmit (transfer) the received CAN command to the CAN bus specified for each ID (CAN ID) of the CAN command. ) Has a transfer function. For example, when the CAN ID of the CAN command received by the
また、上述のように第2のGW102と専用線600で接続されている第1のGW101は、第2のGW102から専用線600を介して送信される通知に基づき転送機能を無効化(強制停止)する。
Further, as described above, the first GW 101 connected to the
情報処理装置103は、CANバス1〜3を流れるCANコマンドを受信し、受信したCANコマンドが正常か否かを判断して、正常でない(異常である)と判断した場合に、第2のGW102へ所定の通知を送信する。
The
ここで、情報処理装置103が第2のGW102へ送信する所定の通知とは、情報処理システム10(又は車載ネットワーク)を、第1のGW101の転送機能が無効であり、第2のGW102の転送機能が有効な状態にするための通知である。より具体的な例を上げると、情報処理装置103が受信した通信データが正常でない(異常である)こと、第1のGW101の転送機能を無効化すること、又は第2のGW102の転送機能を有効化することを示す通知である。第2のGW102は、このような通知の受信に応じて、後述する動作を実行する。
Here, the predetermined notification transmitted by the
通信ECU104は、第1のGW101と外部ネットワーク500(例えばインターネット)との間の接続経路にあって、情報処理システム10の外部の情報処理装置であるサーバ装置11との間で外部ネットワーク500を介して通信データを送受信する。情報処理装置103は、このように外部の情報処理装置と接続してするデータのやり取りを通じて実現される機能、例えばより精度又は利便性の高い運転支援のための機能を提供することができる。
The
しかしながら、このような外部との接続のためのインタフェースは、ハッカー等の攻撃者が情報処理システム10に不正にアクセスするための侵入口にもなり得る。ただし、このインタフェース経由の不正なアクセスを完全に防ぐのは技術的に極めて困難である。したがって、情報処理システム10のセキュリティを向上させるには、攻撃者による侵入後の被害の発生又は拡大を防いで、その影響を抑える技術が不可欠であり、本実施の形態における情報処理装置103等もまたそのような技術を実現する。
However, such an interface for connecting to the outside can also be an entry point for an attacker such as a hacker to illegally access the
各ECU105は、自身が接続しているCANバス1〜3の何れかを介して、予め定められたCAN IDを持つCANコマンドを送受信する。 Each ECU 105 transmits and receives a CAN command having a predetermined CAN ID via any of the CAN buses 1 to 3 to which the ECU 105 is connected.
図1に示す情報処理システム10は、攻撃を受けていない時又は攻撃の検知前(以下、あわせて通常時ともいう)において、第1のGW101が備えるCANコマンドの転送機能が有効であり、第2のGW102が備えるCANコマンドの転送機能は無効な状態にある。つまり、第2のGW102は、CANコマンドの転送処理を行わない待機状態にある。
In the
通信ECU104を介して第1のGW101が攻撃者によりハッキングされ、第1のGW101が実行するプログラムが不正に書き換えられるなどすると、情報処理システム10は、攻撃者が操る第1のGW101から不正なCANコマンドが流され得る状態となる。
When the
情報処理装置103は、受信したCANコマンドが異常であると判断した場合(不正なCANコマンドを検知した場合)、CANバス1〜3の何れかを介して、上述の所定の通知を第2のGW102へ送信する。
When the
この通知を受信した第2のGW102は、専用線600を介して、第1のGW101に自身の転送機能を無効化させるための通知を第1のGW101へ送信し、さらに自身の転送機能を有効化する。この通知を受信した第1のGW101は、自身の転送機能を無効化する。以降、CANデータの転送処理が第2のGW102によって実行されることで情報処理システム10の機能が維持される。
Upon receiving this notification, the
[1.2 データフレーム]
ここで、CANプロトコルに従ったネットワークでの通信(CAN通信)で用いられるデータのフォーマットの1つであるデータフレームについて説明する。
[1.2 Data frame]
Here, a data frame, which is one of the data formats used in communication on a network according to the CAN protocol (CAN communication), will be described.
図2は、CANプロトコルで規定されるデータフレームの構造を示す図である。図2に示されるのは、CANプロトコルで規定されるデータフレームのうち、標準フォーマットと呼ばれるデータフレームの構造である。データフレームは、SOF(Start Of Frame)、IDフィールド、RTR(Remote Transmission Request)、IDE(Identifier Extension)、予約ビット「r」、DLC(Data Length Code)、データフィールド、CRC(Cyclic Redundancy Check)シーケンス、CRCデリミタ「DEL」、ACK(Acknowledgement)スロット、ACKデリミタ「DEL」、及び、EOF(End Of Frame)の各フィールドで構成される。以下、本発明の説明で別途触れるフィールドについて簡単に説明する。 FIG. 2 is a diagram showing a structure of a data frame defined by the CAN protocol. FIG. 2 shows the structure of a data frame called a standard format among the data frames defined by the CAN protocol. The data frame is a SOF (Start Of Frame), ID field, RTR (Remote Transmission Request), IDE (Identifier Extension), reserved bit "r", DLC (Data Length Code), data field, CRC (Cyclic Redundancy Check) sequence. , CRC delimiter "DEL", ACK (Acknowledgement) slot, ACK delimiter "DEL", and EOF (End Of Frame) fields. Hereinafter, the fields separately mentioned in the description of the present invention will be briefly described.
IDフィールドは、データの種類を示す値であるIDを格納する、11bitで構成されるフィールドであり、このIDが上述のCAN IDである。また、このIDは複数のノードが同時に送信を開始した場合の通信調停にも用いられ、優先度のより高いフレームに、より値の小さいIDが付与されるよう設計されている。 The ID field is a field composed of 11 bits that stores an ID that is a value indicating the type of data, and this ID is the CAN ID described above. This ID is also used for communication arbitration when a plurality of nodes start transmitting at the same time, and is designed so that an ID having a smaller value is given to a frame having a higher priority.
データフィールドは、最大64bitで構成され、データを格納するフィールドであり、このフィールドのデータ長は、直前のDLCフィールドに示される。 The data field is composed of a maximum of 64 bits and is a field for storing data, and the data length of this field is shown in the immediately preceding DLC field.
情報処理システム10において各ECUが送受信し、第1GW101及び第2GW102が転送するCANコマンドは、上述のデータフレームに格納される通信データである。各ECUは、規定の種類のデータをデータフィールドに、その種類のデータに対応する規定のCAN IDをIDフィールドに格納してデータフレームを生成する。このようにCANコマンドに格納されるCAN ID並びに対応するデータの種類及び構成等の規定は、車両メーカ等によって車載ネットワークの仕様として予め定められる。
The CAN command transmitted and received by each ECU in the
なお、CANプロトコルで規定されるデータフレームには、拡張フォーマットと呼ばれるもうひとつの種類がある。拡張フォーマットにおいても、上記で簡単に説明したフィールドに相当する役割のフィールドがあり、本発明はいずれのフォーマットのデータにも適用可能である。ただし、本発明に係る情報処理装置等は、これらのCANプロトコルのフォーマット以外のデータの通信に用いられるネットワークにも適用することができる。上記のフォーマットの説明は、本発明の理解の便宜のためになされるものであって、本発明を限定する趣旨ではない。 There is another type of data frame defined by the CAN protocol called an extended format. The extended format also has a field having a role corresponding to the field briefly described above, and the present invention can be applied to data in any format. However, the information processing apparatus and the like according to the present invention can also be applied to a network used for data communication other than the formats of these CAN protocols. The above format description is for convenience of understanding of the present invention and is not intended to limit the present invention.
[1.3 第1のGW101の構成]
続いて、第1のGW101の詳細な構成を説明する。図3は、第1のGW101の機能構成を示すブロック図である。
[1.3 Configuration of the first GW101]
Subsequently, the detailed configuration of the
第1のGW101は、図3に示すように、第1の送受信部201、転送リスト記憶部202、通信部203、無効化部204、及び制御部205を機能ブロックとして備える。
As shown in FIG. 3, the
第1のGW101は、具体的には図示されていない演算処理装置であるマイクロプロセッサ、及び記憶装置であるRAM(Random Access Memory)、ROM(Read−Only Memory)、ハードディスクなどから構成される。RAM、ROM、及びハードディスクにはコンピュータプログラムが記憶されており、マイクロプロセッサがこのコンピュータプログラムに従って動作することにより第1のGW101はその機能を果たす。
The
なお、第1のGW101の第1の送受信部201、転送リスト記憶部202、通信部203、無効化部204、及び制御部205は、典型的には集積回路であるLSIとして実現される。これらの各機能ブロックは個別の1チップで実現されてもよいし、複数の機能ブロックが1チップで、又は1つの機能ブロックが複数のチップで実現されてもよい。
The first transmission /
また、これらの機能ブロックを実現する集積回路をLSIとしたが、集積度の違いにより、IC、システムLSI、スーパーLSI、ウルトラLSIと呼称されることもある。 Further, although an integrated circuit that realizes these functional blocks is an LSI, it may be called an IC, a system LSI, a super LSI, or an ultra LSI depending on the degree of integration.
また、製造後にプログラム可能なFPGA(Field Programmable Gate Array)、内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサ等のプログラマブルロジックデバイスを利用してもよい。 Further, a programmable logic device such as an FPGA (Field Programmable Gate Array) programmable after manufacturing or a reconfigurable processor capable of reconfiguring the connection and setting of internal circuit cells may be used.
その他、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。 In addition, the method of making an integrated circuit is not limited to LSI, and may be realized by a dedicated circuit or a general-purpose processor.
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。 Furthermore, if an integrated circuit technology that replaces an LSI appears due to advances in semiconductor technology or another technology derived from it, it is naturally possible to integrate functional blocks using that technology. There is a possibility of applying biotechnology.
また、各機能ブロックはソフトウェアで実現されてもよいし、LSIとソフトウェアの組み合わせで実現されてもよい。また、ソフトウェアは耐タンパ化されていてもよい。 Further, each functional block may be realized by software or may be realized by a combination of LSI and software. Also, the software may be tamper resistant.
以下、第1のGW101の各機能ブロックについて説明する。 Hereinafter, each functional block of the first GW101 will be described.
(1)第1の送受信部201
第1の送受信部201は、CANバスに流れるCANコマンドを受信し、また、CANバスにCANコマンドを送信する。さらに、第1の送受信部201は、受信したCANコマンドの転送先であるCANバスを、後述する転送リスト記憶部202に記憶されるリストに基づいて決定し、決定したCANバスにCANコマンドを送信する転送処理を行う。第1のGW101の転送機能は、この転送処理を実行する第1の送受信部201によって提供される。
(1) First transmitter /
The first transmission /
(2)転送リスト記憶部202
転送リスト記憶部202は、CANコマンドに含まれるCAN IDと、当該CAN IDを含むCANコマンドの転送先として指定されているCANバスとを対で示す転送リストを記憶している。転送リストのデータ構成の一例を図4に示す。
(2) Transfer
The transfer
図4の例では、CAN IDと、当該CAN IDについて指定の転送先との対が同一行に含まれる。例えば、CAN IDが「0x011」のCANコマンドの転送先はCANバス1であり、CAN IDが「0x021」のCANコマンドの転送先はCANバス2である。 In the example of FIG. 4, the pair of the CAN ID and the transfer destination specified for the CAN ID is included in the same line. For example, the transfer destination of the CAN command having the CAN ID "0x011" is the CAN bus 1, and the transfer destination of the CAN command having the CAN ID "0x021" is the CAN bus 2.
(3)通信部203
通信部203は、専用線600を介して第2のGW102との通信データの送受信を行う。例えば、第2のGW102からは、第1のGW101に、第1のGW101の転送機能を無効化させるための通知(指示)を示す通信データが専用線600を介して送信される。第1のGW101では、この通信データを通信部203が受信する。
(3)
The
(4)無効化部204
無効化部204は、第2のGW102からの上記の通知を通信部203を介して受信すると、第1の送受信部201の転送処理を停止させることで、第1のGW101の転送機能を無効化する。第1のGW101の転送機能が無効化されることで、攻撃者によるネットワークへの攻撃、例えば不正なCANコマンドの送り込みが防止され、情報処理システム10のセキュリティが維持される。
(4)
When the
(5)制御部205
制御部205は、上記(1)〜(4)の各機能ブロックを管理及び制御して、第1のGW101の機能を実現する。
(5)
The
[1.4 第2のGW102の構成]
続いて、第2のGW102の詳細な構成を説明する。図5は、第2のGW102の機能構成を示すブロック図である。
[1.4 Configuration of the second GW102]
Subsequently, the detailed configuration of the
第2のGW102は、図5に示すように、第2の送受信部301、転送リスト記憶部302、通信部303、無効化通知部304、有効化部305、及び制御部306を機能ブロックとして備える。
As shown in FIG. 5, the
第2のGW102は、具体的には図示されていない演算処理装置であるマイクロプロセッサ、及び記憶装置であるRAM、ROM、ハードディスクなどから構成される。RAM、ROM、及びハードディスクにはコンピュータプログラムが記憶されており、マイクロプロセッサがこのコンピュータプログラムに従って動作することにより、第2のGW102はその機能を果たす。
The
なお、第2のGW102の第2の送受信部301、転送リスト記憶部302、通信部303、無効化通知部304、有効化部305、及び制御部306は、典型的には集積回路であるLSIとして実現される。これらの各機能ブロックは個別の1チップで実現されてもよいし、複数の機能ブロックが1チップで、又は各機能ブロックが複数のチップで実現されてもよい。
The second transmission /
また、これらの機能ブロックを実現する集積回路をLSIとしたが、集積度の違いにより、IC、システムLSI、スーパーLSI、ウルトラLSIと呼称されることもある。 Further, although an integrated circuit that realizes these functional blocks is an LSI, it may be called an IC, a system LSI, a super LSI, or an ultra LSI depending on the degree of integration.
また、製造後にプログラム可能なFPGA、内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサ等のプログラマブルロジックデバイスを利用してもよい。 In addition, programmable logic devices such as FPGAs that can be programmed after manufacturing and reconfigurable processors that can reconfigure the connections and settings of internal circuit cells may be used.
その他、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。 In addition, the method of making an integrated circuit is not limited to LSI, and may be realized by a dedicated circuit or a general-purpose processor.
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。 Furthermore, if an integrated circuit technology that replaces an LSI appears due to advances in semiconductor technology or another technology derived from it, it is naturally possible to integrate functional blocks using that technology. There is a possibility of applying biotechnology.
また、各機能ブロックは、ソフトウェアで実現されてもよいし、LSIとソフトウェアの組み合わせで実現されてもよい。また、ソフトウェアは耐タンパ化されていてもよい。 Further, each functional block may be realized by software or may be realized by a combination of LSI and software. Also, the software may be tamper resistant.
以下、第2のGW102の各機能ブロックについて説明する。
Hereinafter, each functional block of the
(1)第2の送受信部301
第2の送受信部301は、CANバスに流れるCANコマンドを受信し、また、CANバスにCANコマンドを送信する。さらに、第2の送受信部301は、受信したCANコマンドの転送先であるCANバスを、後述する転送リスト記憶部302に記憶されるリストに基づいて決定し、決定したCANバスにCANコマンドを送信する転送処理を行う。第2のGW102の転送機能は、この転送処理を実行する第2の送受信部301によって提供される。ただし、情報処理システム10において攻撃が検知されていない通常時は、第2の送受信部301のこの転送処理は停止している。つまり、通常時の第2のGW102は、CANコマンドの転送機能が無効化された状態(以下、待機状態ともいう)にある。
(1) Second transmission /
The second transmission /
(2)転送リスト記憶部302
転送リスト記憶部302は、CANコマンドに含まれるCAN IDと、当該CANコマンドが転送される転送先のCANバスとを対で示す転送リストを記憶している。第2のGW102が備える転送リストの一例は図4と共通であり、ここではその説明を省略する。
(2) Transfer
The transfer
(3)通信部303
通信部303は、専用線600を介して第1のGW101との通信データの送受信を行う。例えば、通信部303から、第1のGW101の転送機能を無効化させるための通知(指示)を示す通信データが専用線600を介して第1のGW101へ送信される。第1のGW101では、通信部203によってこの通信データが受信される。
(3)
The
(4)無効化通知部304
無効化通知部304は、情報処理装置103から、第2の送受信部301を介して上述の所定の通知を受信すると、通信部303から専用線600を介して、第1のGW101に第1のGW101の転送機能を無効化させるための通知(指示)を示す通信データを第1のGW101へ送信する。
(4)
When the
(5)有効化部305
有効化部305は、情報処理装置103から、第2の送受信部301を介して上述の所定の通知を受信すると、第2の送受信部301に転送処理を開始させることで、第2のGW102の転送機能を有効化(待機状態を解除)する。第2のGW102の転送機能が有効化されることで、第1のGW101の転送機能が無効化されても、ネットワーク上では電子制御等のためのCANコマンドが引き続き転送され、情報処理システム10の機能が維持される。
(5)
When the
(6)制御部306
制御部306は、上記(1)〜(5)の各機能ブロックを管理及び制御して、第2のGW102の機能を実現する。
(6)
The
[1.5 情報処理装置103の構成]
続いて、情報処理装置103の詳細な構成を説明する。図6は、情報処理装置103の機能構成を示すブロック図である。
[1.5 Configuration of Information Processing Device 103]
Subsequently, the detailed configuration of the
情報処理装置103は、図6に示すように、第1の通信部401、監視部402、通知部403、及び制御部404を機能ブロックとして備える。
As shown in FIG. 6, the
情報処理装置103は、具体的には図示されていない演算処理装置であるマイクロプロセッサ、及び記憶装置であるRAM、ROM、ハードディスクなどから構成される。RAM、ROM、及びハードディスクにはコンピュータプログラムが記憶されており、マイクロプロセッサがこのコンピュータプログラムに従って動作することにより情報処理装置103はその機能を果たす。
The
なお、情報処理装置103の第1の通信部401、監視部402、通知部403、制御部404は、典型的には集積回路であるLSIとして実現される。これらの各機能ブロックは個別の1チップで実現されてもよいし、複数の機能ブロックが1チップで、又は1つの機能ブロックが複数のチップで実現されてもよい。
The
また、これらの機能ブロックを実現する集積回路をLSIとしたが、集積度の違いにより、IC、システムLSI、スーパーLSI、ウルトラLSIと呼称されることもある。 Further, although an integrated circuit that realizes these functional blocks is an LSI, it may be called an IC, a system LSI, a super LSI, or an ultra LSI depending on the degree of integration.
また、製造後にプログラム可能なFPGA、内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサ等のプログラマブルロジックデバイスを利用してもよい。 In addition, programmable logic devices such as FPGAs that can be programmed after manufacturing and reconfigurable processors that can reconfigure the connections and settings of internal circuit cells may be used.
その他、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。 In addition, the method of making an integrated circuit is not limited to LSI, and may be realized by a dedicated circuit or a general-purpose processor.
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。 Furthermore, if an integrated circuit technology that replaces an LSI appears due to advances in semiconductor technology or another technology derived from it, it is naturally possible to integrate functional blocks using that technology. There is a possibility of applying biotechnology.
また、各機能ブロックは、ソフトウェアで実現されてもよいし、LSIとソフトウェアの組み合わせで実現されてもよい。また、ソフトウェアは耐タンパ化されていてもよい。 Further, each functional block may be realized by software or may be realized by a combination of LSI and software. Also, the software may be tamper resistant.
このような情報処理装置103は、例えば車載ネットワークとして実現される情報処理システム10に、この車載ネットワークのすべてのCANバスに接続される監視用のECUとして実装される。
Such an
以下、情報処理装置103の各機能ブロックについて説明する。
Hereinafter, each functional block of the
(1)第1の通信部401
第1の通信部401は、CANバスに流れるCANコマンドを受信し、また、CANコマンドをCANバスに流して送信する。
(1)
The
(2)監視部402
監視部402は、情報処理装置103と接続されている複数のCANバス(図1の例ではCANバス1〜3)を流れるCANコマンドを、第1の通信部401を介して受信し、受信したCANコマンドが正常か否かを判断する。CANコマンドが正常か否かを判断する方法としては、任意の公知の方法が利用可能である。例えば、各CANコマンドのDLCフィールドに示されるデータ長とデータフィールドの長さとが整合するか否か、データの種類、つまりCAN IDに応じて定まるデータフィールドの値、又は送信タイミングが規定範囲内にあるか否かに基づいて、CANコマンドが正常か否かを判断することができる。
(2)
The
(3)通知部403
通知部403は、第1の通信部401が受信したCANコマンドを、監視部402が正常でない(異常である)と判断した場合、第1の通信部401を介して、上記の所定の通知を第2のGW102へ送信する。
(3)
When the
(4)制御部404
制御部404は、上記(1)〜(3)の各機能ブロックを管理及び制御して、情報処理装置103の機能を実現する。
(4)
The
[1.6 情報処理システム10の動作]
情報処理システム10において、情報処理装置103が受信したCANコマンドは正常でないと判断した場合に、第1のGW101の転送機能を無効化し、第2のGW102に代替的に転送機能を実行させる動作の一例について、図7を用いて説明する。図7は、情報処理システム10の動作を説明するためのシーケンス図である。
[1.6 Operation of Information Processing System 10]
When the
この例の動作の開始段階にある情報処理システム10では、ネットワークに流れる通信データであるCANコマンドの転送処理を第1のGW101が行い、第2のGW102は待機状態にあるとする。
In the
情報処理装置103の第1の通信部401は、接続されている各CANバスからCANコマンドを受信する(ステップS701)。
The
第1の通信部401によって受信されたCANコマンドについて、監視部402が正常か否かを判断する(ステップS702)。正常と判断された場合(ステップS702でYes)、情報処理装置103における動作の手順はCANコマンドの受信(ステップS701)へ戻り、第1の通信部401が次のCANコマンドを受信する。
With respect to the CAN command received by the
次々に受信されるCANコマンドが監視部402によって正常と判断され続けている間、第1のGW101は受信したCANコマンドの転送を継続し、第2のGW102は引き続き待機状態にある。
While the CAN commands received one after another are continuously determined to be normal by the
受信されたCANコマンドが正常でないと監視部402によって判断された場合(ステップS702でNo)、通知部403が、第1のGW101の転送機能を無効化させ、第2のGWの転送機能を有効化させるための所定の通知を、第1の通信部401を介して第2のGW102へ通知する(ステップS703)。
When the
第2のGW102では、第2の送受信部301が上記の通知を情報処理装置103から受信すると(ステップS704)、無効化通知部304が、第1のGW101のCANコマンドの転送機能を無効化させるための通知を、通信部303から第1のGW101へ送信する(ステップS705)。
In the
また、第2のGW102ではさらに、有効化部305が、第2の送受信部301に転送処理を開始させる。これにより、第2のGW102は転送機能が有効化され(ステップS706)、CANコマンドの転送を開始する。以降、第2のGW102では、CANコマンドを受信し、受信したCANコマンドを転送リスト記憶部302にある転送リストに基づいて決定される転送先のCANバスへ送信する転送処理が第2の送受信部301によって行われる。
Further, in the
第1のGW101では、通信部203がCANコマンドの転送機能を無効化させるための通知を第2のGW102から受信すると(ステップS707)、無効化部204が、第1の送受信部201の転送処理を停止させる。これにより、第1のGW101のCANコマンドの転送機能は無効化される(ステップS708)。
In the
以上のように、本実施の形態によれば、情報処理システム10において、第1のGW101、第2のGW102、及び情報処理装置103は、CANバス1〜3で接続され、第1のGW101と第2のGW102とは、さらに専用線600で接続されている。情報処理装置103において、受信したCANコマンドが正常でないと判断された場合、情報処理装置103から第2のGW102へ、受信したCANコマンドが正常でないことに応じた所定の通知がCANバスを介して送信される。この通知を受信した第2のGW102は、第1のGW101に第1のGW101の転送機能を無効化させるための通知を、専用線600を介して第1のGW101へ送信し、また、自身の転送機能を有効化する。以降、情報処理システム10では、転送機能が有効化された第2のGW102によって通信データの転送処理が行われることによって情報処理システム10の機能は維持される。
As described above, according to the present embodiment, in the
上記の転送機能を無効化させるための通知は、専用線600を用いて安全かつ確実に送信される。これにより、冗長化による機能安全とセキュリティとを兼ね備える情報処理システム10が提供される。
The notification for disabling the transfer function is safely and reliably transmitted using the leased
(実施の形態2)
以下、本発明の実施の形態2における情報処理システムについて図面を参照しながら説明する。
(Embodiment 2)
Hereinafter, the information processing system according to the second embodiment of the present invention will be described with reference to the drawings.
[2.1 情報処理システム80の構成]
情報処理システム80は、図8に示すように、第1のゲートウェイ(以下、第1のGWと表記する)801、第2の(以下、第2のGWと表記する)802、情報処理装置803、通信ECU104、及び複数のECU105を備える。
[2.1 Configuration of Information Processing System 80]
As shown in FIG. 8, the
情報処理システム80では、上記の各構成要素が、CANバスを用いて接続されるネットワークが形成されている。図8の例では、CANバス1、CANバス2、及びCANバス3のそれぞれにECU105が接続されており、CANバス1、CANバス2、及びCANバス3(以下、CANバス1〜3とも表記する)は、第1のGW801及び第2のGW802を介して相互に接続されている。
In the
さらに、図8の例では、第1のGW801と情報処理装置803とは、各CANバスとは別の配線である専用線601でも接続されている。専用線601は、情報処理装置803と第1のGW801との間の直接通信に用いられる。また、第2のGW802と情報処理装置803とは、各CANバスとは別の配線である専用線602でも接続されている。専用線602は、情報処理装置803と第2のGW802との間の直接通信に用いられる。なお、専用線601は、本実施の形態における第2の専用線及び第3の専用線の例であり、専用線602は、本実施の形態における第1の専用線及び第4の専用線の例である。
Further, in the example of FIG. 8, the
実施の形態1における情報処理システム10と同様に、情報処理システム80もまた例えば車載ネットワークであり、この車載ネットワークは、それぞれのECU、GW、情報処理装置などの各構成要素がCANコマンドと呼ばれる通信データを送受信することで、様々な機能を実現している。なお、情報処理システム80におけるCANコマンドもまた、実施の形態1の説明の中で述べたデータフレームの通信データであり、ここでは説明を省略する。
Similar to the
第1のGW801及び第2のGW802は、このようなネットワークを流れるCANコマンドを受信して、受信したCANコマンドを指定された、当該CANコマンドのID(CAN ID)ごとに指定されたCANバスへ送信(転送)する転送機能を有する。例えば、第1のGW801がCANバス2から受信したCANコマンドのCAN IDが「0x011」であり、このCAN IDに対して指定された転送先がCANバス1の場合、第1のGW801は当該CANコマンドをCANバス1へ転送する。CAN ID及びCANコマンドの転送先の指定の詳細は実施の形態1と共通であるため、ここでは説明を省略する。 The first GW801 and the second GW802 receive the CAN command flowing through such a network, and the received CAN command is sent to the specified CAN bus for each ID (CAN ID) of the CAN command. It has a transfer function to transmit (transfer). For example, when the CAN ID of the CAN command received by the first GW801 from the CAN bus 2 is "0x011" and the transfer destination specified for this CAN ID is the CAN bus 1, the first GW801 is the CAN. Transfer the command to CAN bus 1. Since the details of specifying the CAN ID and the transfer destination of the CAN command are the same as those in the first embodiment, the description thereof will be omitted here.
また、上述のように情報処理装置803と専用線601で接続されている第1のGW801は、情報処理装置803からの専用線601を介して送信される通知に基づき転送機能を無効化(強制停止)する。同様に、情報処理装置803と専用線602で接続されている第2のGW802は、情報処理装置803からの専用線602を介して送信される通知に基づき転送機能を有効化(待機状態から復帰)する。
Further, as described above, the
情報処理装置803では、CANバス1〜3を流れるCANコマンドを受信し、受信したCANコマンドが正常か否かが判断される。正常でない(異常である)と判断された場合、情報処理装置803から、第1のGW801の転送機能を無効化させるための所定の通知が、専用線601を介して第1のGW801へ送信され、第2のGW802の転送機能を有効化させるための所定の通知が、専用線602を介して第2のGW802へ送信される。
The
ここで、情報処理装置803から第1のGW801へ送信される所定の通知とは、例えば情報処理装置803が受信した通信データが正常でない(異常である)こと、第1のGW801の転送機能を無効化すること、又は第2のGW102の転送機能を有効化することを示す通知である。第1のGW801は、このような通知の受信に応じて、後述する動作を実行する。
Here, the predetermined notification transmitted from the
また、情報処理装置803が第2のGW802へ送信する所定の通知とは、例えば情報処理装置803が受信した通信データが正常でない(異常である)こと、第2のGW802の転送機能を有効化すること、又は第1のGW801の転送機能を無効化することを示す通知である。第2のGW802は、このような通知の受信に応じて、後述する動作を実行する。
Further, the predetermined notification transmitted by the
通信ECU104及び複数のECU105は実施の形態1と共通であるため、ここではこれらについての説明を省略する。本発明における情報処理装置803等もまた、情報処理システム80のセキュリティを向上させるために、攻撃者による情報処理システム80への侵入後の被害の発生又は拡大を防いでその影響を抑える技術を実現する。
Since the
図8に示す情報処理システム80においては、攻撃を受けていない(又は攻撃の検知前である)通常時において、第1のGW801が備えるCANコマンドの転送機能が有効であり、第2のGW802が備えるCANコマンドの転送機能は無効な状態にある。つまり、第2のGW802は、CANコマンドの転送処理を行わない待機状態にある。
In the
通信ECU104を介して第1のGW801が攻撃者によりハッキングされ、第1のGW801が実行するプログラムが不正に書き換えられるなどすると、情報処理システム80は、攻撃者が操る第1のGW801から不正なCANコマンドが流され得る状態となる。
When the first GW801 is hacked by an attacker via the
情報処理装置803は、受信したCANコマンドが異常であると判断した場合(不正なCANコマンドを検知した場合)、転送機能を無効化させるための通知を専用線601を介して第1のGW801へ送信し、転送機能を有効化させるための通知を専用線602を介して第2のGW802へ送信する。
When the
この通知を情報処理装置803から受信した第1のGW801は、自身の転送機能を無効化する。また、この通知を情報処理装置803から通知を受信した第2のGW802は、自身の転送機能を有効化する。以降、情報処理システム80におけるCANデータの転送処理は、転送機能が有効化された第2のGW802によって実行され、情報処理システム80の機能は維持される。
The first GW801 that receives this notification from the
[2.2 第1のGW801の構成]
続いて、第1のGW801の詳細な構成を説明する。図9は、第1のGW801の機能構成を示すブロック図である。
[2.2 Configuration of the first GW801]
Subsequently, the detailed configuration of the first GW801 will be described. FIG. 9 is a block diagram showing a functional configuration of the first GW801.
第1のGW801は、図9に示すように、第1の送受信部901、転送リスト記憶部902、通信部903、無効化部904、及び制御部905を機能ブロックとして備える。
As shown in FIG. 9, the first GW801 includes a first transmission /
第1のGW801は、具体的には図示されていない演算処理装置であるマイクロプロセッサ、及び記憶装置であるRAM、ROM、ハードディスクなどから構成される。RAM、ROM、及びハードディスクにはコンピュータプログラムが記憶されており、マイクロプロセッサがこのコンピュータプログラムに従って動作することにより、第1のGW801はその機能を果たす。 The first GW801 is composed of a microprocessor, which is an arithmetic processing unit (not specifically shown), and a RAM, ROM, a hard disk, and the like, which are storage devices. A computer program is stored in the RAM, ROM, and hard disk, and the first GW801 fulfills its function when the microprocessor operates according to the computer program.
なお、第1のGW801の第1の送受信部901、転送リスト記憶部902、通信部903、無効化部904、及び制御部905は、典型的には集積回路であるLSIとして実現される。これらの各機能ブロックは個別の1チップで実現されてもよいし、複数の機能ブロックが1チップで、又は1つの機能ブロックが複数のチップで実現されてもよい。
The first transmission /
また、これらの機能ブロックを実現する集積回路をLSIとしたが、集積度の違いにより、IC、システムLSI、スーパーLSI、ウルトラLSIと呼称されることもある。 Further, although an integrated circuit that realizes these functional blocks is an LSI, it may be called an IC, a system LSI, a super LSI, or an ultra LSI depending on the degree of integration.
また、製造後にプログラム可能なFPGA(Field Programmable Gate Array)、内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサ等のプログラマブルロジックデバイスを利用してもよい。 Further, a programmable logic device such as an FPGA (Field Programmable Gate Array) programmable after manufacturing or a reconfigurable processor capable of reconfiguring the connection and setting of internal circuit cells may be used.
その他、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。 In addition, the method of making an integrated circuit is not limited to LSI, and may be realized by a dedicated circuit or a general-purpose processor.
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。 Furthermore, if an integrated circuit technology that replaces an LSI appears due to advances in semiconductor technology or another technology derived from it, it is naturally possible to integrate functional blocks using that technology. There is a possibility of applying biotechnology.
また、各機能ブロックはソフトウェアで実現されてもよいし、LSIとソフトウェアの組み合わせで実現されてもよい。また、ソフトウェアは耐タンパ化されていてもよい。 Further, each functional block may be realized by software or may be realized by a combination of LSI and software. Also, the software may be tamper resistant.
以下、第1のGW801の各機能ブロックについて説明する。 Hereinafter, each functional block of the first GW801 will be described.
(1)第1の送受信部901
第1の送受信部901は、CANバスに流れるCANコマンドを受信し、また、CANバスにCANコマンドを送信する。さらに、第1の送受信部901は、受信したCANコマンドの転送先であるCANバスを、後述する転送リスト記憶部902に記憶されるリストに基づいて決定し、決定したCANバスにCANコマンドを送信する転送処理を行う。第1のGW801の転送機能は、この転送処理を実行する第1の送受信部901によって提供される。
(1) First transmission /
The first transmission /
(2)転送リスト記憶部902
転送リスト記憶部902は、CANコマンドに付与されているCAN IDと、当該CAN IDを含むCANコマンドの転送先として指定されているCANバスとを対で示す転送リストを記憶している。なお、第1のGW801が備える転送リストの一例は図4と共通であり、ここではその説明を省略する。
(2) Transfer
The transfer
(3)通信部903
通信部903は、専用線601を介して情報処理装置803との通信データの送受信を行う。例えば、情報処理装置803からは、第1のGW801の転送機能を無効化させるための通知(指示)を示す通信データが専用線601を介して送信される。第1のGW801では、通信部903がこの通信データを受信する。
(3)
The
(4)無効化部904
無効化部904は、情報処理装置803からの上記の通知を通信部903を介して受信すると、第1の送受信部901の転送処理を停止させることで、第1のGW801の転送機能を無効化する。第1のGW801の転送機能が無効化されることで、攻撃者によるネットワークへの攻撃、例えば不正なCANコマンドの送り込みが防止され、情報処理システム80のセキュリティが維持される。
(4)
When the
(5)制御部905
制御部905は、上記(1)〜(4)の各機能ブロックを管理及び制御して、第1のGW801の機能を実現する。
(5)
The
[2.3 第2のGW802の構成]
続いて、第2のGW802の詳細な構成を説明する。図10は、第2のGW802の機能構成を示すブロック図である。
[2.3 Configuration of the second GW802]
Subsequently, the detailed configuration of the
第2のGW802は、図10に示すように、第2の送受信部1001、転送リスト記憶部1002、通信部1003、有効化部1004、及び制御部1005を機能ブロックとして備える。
As shown in FIG. 10, the
第2のGW802は、具体的には図示されていない演算処理装置であるマイクロプロセッサ、及び記憶装置であるRAM、ROM、ハードディスクなどから構成される。RAM、ROM、及びハードディスクにはコンピュータプログラムが記憶されており、マイクロプロセッサがこのコンピュータプログラムに従って動作することにより、第2のGW802はその機能を果たす。
The
なお、第2のGW802の第2の送受信部1001、転送リスト記憶部1002、通信部1003、有効化部1004、及び制御部1005は、典型的には集積回路であるLSIとして実現される。これらの各機能ブロックは個別の1チップで実現されてもよいし、複数の機能ブロックが1チップで、又は各機能ブロックが複数のチップで実現されてもよい。
The second transmission /
また、これらの機能ブロックを実現する集積回路をLSIとしたが、集積度の違いにより、IC、システムLSI、スーパーLSI、ウルトラLSIと呼称されることもある。 Further, although an integrated circuit that realizes these functional blocks is an LSI, it may be called an IC, a system LSI, a super LSI, or an ultra LSI depending on the degree of integration.
また、製造後にプログラム可能なFPGA、内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサ等のプログラマブルロジックデバイスを利用してもよい。 In addition, programmable logic devices such as FPGAs that can be programmed after manufacturing and reconfigurable processors that can reconfigure the connections and settings of internal circuit cells may be used.
その他、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。 In addition, the method of making an integrated circuit is not limited to LSI, and may be realized by a dedicated circuit or a general-purpose processor.
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。 Furthermore, if an integrated circuit technology that replaces an LSI appears due to advances in semiconductor technology or another technology derived from it, it is naturally possible to integrate functional blocks using that technology. There is a possibility of applying biotechnology.
また、各機能ブロックは、ソフトウェアで実現されてもよいし、LSIとソフトウェアの組み合わせで実現されてもよい。また、ソフトウェアは耐タンパ化されていてもよい。 Further, each functional block may be realized by software or may be realized by a combination of LSI and software. Also, the software may be tamper resistant.
(1)第2の送受信部1001
第2の送受信部1001は、CANバスに流れるCANコマンドを受信し、また、CANバスにCANコマンドを送信する。さらに、第2の送受信部1001は、受信したCANコマンドの転送先であるCANバスを、後述する転送リスト記憶部1002に記憶されるリストに基づいて決定し、決定したCANバスにCANコマンドを送信する転送処理を行う。第2のGW802の転送機能は、この転送処理を実行する第2の送受信部1001によって提供される。ただし、情報処理システム80において攻撃が検知されていない通常時は、第2の送受信部1001のこの転送処理は停止している。つまり、通常時の第2のGW802は、CANコマンドの転送機能が無効化された待機状態にある。
(1) Second transmission /
The second transmission /
(2)転送リスト記憶部1002
転送リスト記憶部1002は、CANコマンドに含まれるCAN IDと、当該CANコマンドが転送される転送先のCANバスとを対で示す転送リストを記憶している。第2のGW802が備える転送リストの一例は図4と共通であり、ここではその説明を省略する。
(2) Transfer
The transfer
(3)通信部1003
通信部1003は、専用線602を介して情報処理装置803との通信データの送受信を行う。例えば、情報処理装置803から、第2のGW802の転送機能を有効化させるための通知(指示)を示す通信データが専用線602を介して第2のGW802へ送信される。第2のGW802では、通信部1003によってこの通信データが受信される。
(3)
The
(4)有効化部1004
有効化部1004は、通信部1003を介して情報処理装置803からの上記の通知を受信すると、第2の送受信部1001に転送処理を開始させることで第2のGW802の通信データの転送機能を有効化(待機状態を解除)する。第2のGW802の転送機能が有効化されることで、第1のGW801の転送機能が無効化されても、ネットワーク上では電子制御等のためのCANコマンドが引き続き転送され、情報処理システム80の機能が維持される。
(4)
When the
(5)制御部1005
制御部1005は、上記(1)〜(4)の各機能ブロックを管理及び制御して、第2のGW802の機能を実現する。
(5)
The
[2.4 情報処理装置803の構成]
続いて、情報処理装置803の詳細な構成を説明する。図11は、情報処理装置803の機能構成を示すブロック図である。
[2.4 Configuration of Information Processing Device 803]
Subsequently, the detailed configuration of the
情報処理装置803は、図11に示すように、第1の通信部1101、監視部1102、第2の通信部1103、第3の通信部1104、通知部1105、及び制御部1106を備える。
As shown in FIG. 11, the
情報処理装置803は、具体的には図示されていない演算処理装置であるマイクロプロセッサ、及び記憶装置であるRAM、ROM、ハードディスクなどから構成される。RAM、ROM、及びハードディスクにはコンピュータプログラムが記憶されており、マイクロプロセッサがこのコンピュータプログラムに従って動作することにより、情報処理装置803はその機能を果たす。
The
なお、情報処理装置803の第1の通信部1101、監視部1102、第2の通信部1103、第3の通信部1104、通知部1105、及び制御部1106は、典型的には集積回路であるLSIとして実現される。これらの各機能ブロックは個別の1チップで実現されてもよいし、複数の機能ブロックが1チップで、又は1つの機能ブロックが複数のチップで実現されてもよい。
The
また、これらの機能ブロックを実現する集積回路をLSIとしたが、集積度の違いにより、IC、システムLSI、スーパーLSI、ウルトラLSIと呼称されることもある。 Further, although an integrated circuit that realizes these functional blocks is an LSI, it may be called an IC, a system LSI, a super LSI, or an ultra LSI depending on the degree of integration.
また、製造後にプログラム可能なFPGA、内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサ等のプログラマブルロジックデバイスを利用してもよい。 In addition, programmable logic devices such as FPGAs that can be programmed after manufacturing and reconfigurable processors that can reconfigure the connections and settings of internal circuit cells may be used.
その他、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。 In addition, the method of making an integrated circuit is not limited to LSI, and may be realized by a dedicated circuit or a general-purpose processor.
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。 Furthermore, if an integrated circuit technology that replaces an LSI appears due to advances in semiconductor technology or another technology derived from it, it is naturally possible to integrate functional blocks using that technology. There is a possibility of applying biotechnology.
また、各機能ブロックは、ソフトウェアで実現されてもよいし、LSIとソフトウェアの組み合わせで実現されてもよい。また、ソフトウェアは耐タンパ化されていてもよい。 Further, each functional block may be realized by software or may be realized by a combination of LSI and software. Also, the software may be tamper resistant.
このような情報処理装置803は、例えば車載ネットワークとして実現される情報処理システム80に、この車載ネットワークのすべてのCANバスに接続される監視用のECUとして実装される。
Such an
以下、情報処理装置803の各機能ブロックについて説明する。
Hereinafter, each functional block of the
(1)第1の通信部1101
第1の通信部1101は、CANバスに流れるCANコマンドを受信し、また、CANコマンドをCANバスに流して送信する。
(1)
The
(2)監視部1102
監視部1102は、情報処理装置803と接続されている複数のCANバス(図8の例ではCANバス1〜3)を流れるCANコマンドを、第1の通信部1101を介して受信し、受信したCANコマンドが正常か否かを判断する。CANコマンドが正常か否かを判断する方法については、実施の形態1の情報処理装置103の説明で述べたものと共通であり、ここではその説明を省略する。
(2)
The
(3)第2の通信部1103
情報処理装置803では、第2の通信部1103から専用線601を介して第1のGW801へ通信データを送信する。例えば、情報処理装置803では、第1のGW801の転送機能を無効化させるための通知(指示)を示す通信データが第2の通信部1103から専用線601を介して第1のGW801へ送信される。第1のGW801では、通信部903によってこの通信データが受信される。
(3)
The
(4)第3の通信部1104
情報処理装置803では、第3の通信部1104から専用線602を介して第2のGW802へ通信データを送信する。例えば、情報処理装置803では、第2のGW802の転送機能を有効化させるための通知(指示)を示す通信データが第3の通信部1104から専用線602を介して第2のGW802へ送信される。第2のGW802では、通信部1003によってこの通信データが受信される。
(4)
The
(5)通知部1105
通知部1105は、第1の通信部1101が受信したCANコマンドを監視部1102が正常でない(異常である)と判断した場合、第1のGW801及び第2のGW802へ所定の通知を送信する。より具体的には、通知部1105から第1のGW801へは、転送機能を無効化させるための通知が第2の通信部1103を介して送信される。また、通知部1105から第2のGW802へは、転送機能を有効化させるための通知が第3の通信部1104を介して送信される。
(5)
When the
(6)制御部1106
制御部1106は、上記(1)〜(5)の各機能ブロックを管理及び制御して、情報処理装置803の機能を実現する。
(6)
The
[2.5 情報処理システム80の動作]
情報処理システム80において、情報処理装置803が受信したCANコマンドは正常でないと判断した場合に、第1のGW801の転送機能を無効化し、第2のGW802に代替的に転送処理を実行させる動作の一例について、図12を用いて説明する。図12は、情報処理システム80の動作を説明するためのシーケンス図である。
[2.5 Operation of information processing system 80]
In the
この例の動作の開始段階にある情報処理システム80では、ネットワークに流れる通信データであるCANコマンドの転送処理を第1のGW801が行い、第2のGW802は待機状態にあるとする。
In the
情報処理装置803の第1の通信部1101は、接続されている各CANバスからCANコマンドを受信する(ステップS1201)。
The
第1の通信部1101によって受信されたCANコマンドについて、監視部1102が正常か否かを判断する(ステップS1202)。正常と判断された場合(ステップS1202でYes)、情報処理装置803における動作の手順はCANコマンドの受信(ステップS1201)へ戻り、第1の通信部1101が次のCANコマンドを受信する。
With respect to the CAN command received by the
次々に受信されるCANコマンドが監視部1102によって正常と判断され続けている間、第1のGW801は受信したCANコマンドの転送を継続し、第2のGW802は引き続き待機状態にある。
While the CAN commands received one after another are continuously determined to be normal by the
受信されたCANコマンドが正常でないと監視部1102によって判断された場合(ステップS1202でNo)、通知部1105が、第1のGW801に、第1のGW801の転送機能を無効化させるための所定の通知を、第2の通信部1103から第1のGW801へ送信する(ステップS1203)。また、通知部1105はさらに、第2のGW802に、第2のGW802の転送機能を有効化させるための所定の通知を、第3の通信部1104から第2のGW802へ送信する(ステップS1206)。
When the
第1のGW801では、通信部903が上記の通知を情報処理装置803から受信すると(ステップS1204)、無効化部904が、第1の送受信部901の転送処理を停止させる。これにより、第1のGW801のCANコマンドの転送機能は無効化される(ステップS1205)。
In the first GW801, when the
第2のGW802では、通信部1003が上記の通知を情報処理装置803から受信すると(ステップS1207)、有効化部1004が、第2の送受信部1001に転送処理を開始させる。これにより、第2のGW802の転送機能は有効化され(ステップS1208)、CANコマンドの転送を開始する。以降、第2のGW802では、CANコマンドを受信し、受信したCANコマンドの転送を転送リスト記憶部1002にある転送リストに基づいて決定される転送先のCANバスへ送信する転送処理が第2の送受信部1001によって行われる。
In the
以上のように、本実施の形態によれば、情報処理システム80において、第1のGW801、第2のGW802、及び情報処理装置803は、CANバス及び専用線で接続されている。情報処理装置803において、受信したCANコマンドが正常でないと判断された場合、情報処理装置803から、第1のGW801の転送機能を無効化させるための通知が専用線601を介して第1のGW801へ送信され、第2のGW802の転送機能を有効化させるための通知が専用線602を介して第2のGW802へ送信される。情報処理装置803からこの通知を受信した第1のGW801は、自身の転送機能を無効化する。また、情報処理装置803からこの通知を受信した第2のGW802は、自身の転送機能を有効化する。以降、転送機能が有効化された第2のGW802によって通信データの転送処理が行われることによって情報処理システム80の機能は維持される。また、上記の転送機能を有効化させるための通知及び無効化させるための通知は、それぞれ専用線601及び602を用いて安全かつ確実に送信される。これにより、冗長化による機能安全とセキュリティとを実現する情報処理システム80が提供される。
As described above, according to the present embodiment, in the
(変形例等)
以上のように、本発明に係る技術の例示として実施の形態1及び2を説明した。しかしながら、本発明に係る技術は、これらの実施の形態に限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本発明の一実施形態に含まれる。
(Modification example, etc.)
As described above, Embodiments 1 and 2 have been described as examples of the technique according to the present invention. However, the technique according to the present invention is not limited to these embodiments, and can be applied to embodiments in which modifications, replacements, additions, omissions, etc. are made as appropriate. For example, the following modifications are also included in one embodiment of the present invention.
(1)各実施の形態における、ゲートウェイの転送機能を有効化又は無効化させるための通知は、メッセージ認証コード(以下、Message Authentication Codeの頭字語であるMACと表記する)を付与したCANコマンドを用いてCANバスを介する経路で送信されてもよい。具体的には以下のとおりである。 (1) In each embodiment, the notification for enabling or disabling the transfer function of the gateway is a CAN command to which a message authentication code (hereinafter referred to as MAC, which is an acronym of Message Authentication Code) is attached. It may be transmitted by a route via the CAN bus. Specifically, it is as follows.
例えば実施の形態1において、情報処理装置103は、いずれかのCANバスを介して第2のGW102へ所定の通知を送信する場合、この通知を送信するためのMACを付与してもよい。
For example, in the first embodiment, when the
また、実施の形態1において、第2のGW102は、第1のGW101の転送機能を無効化させるための通知を、専用線600に代えていずれかのCANバスを介して第1のGW101へ送信し、第2のGW102は、この通知を送信するためのCANコマンドにMACを付与してもよい。
Further, in the first embodiment, the
また、実施の形態2において、情報処理装置803は、第1のGW801の転送機能を無効化させるための通知を、専用線601に代えていずれかのCANバスを介して第1のGW801へ送信し、情報処理装置803は、この通知を送信するためのCANコマンドにMACを付与してもよい。
Further, in the second embodiment, the
また、実施の形態2において、情報処理装置803は、第2のGW802の転送機能を有効化させるための通知を、専用線602に代えていずれかのCANバスを介して第2のGW802へ送信し、情報処理装置803は、この通知を送信するためのCANコマンドにMACを付与してもよい。
Further, in the second embodiment, the
これにより、改ざん又はエラーによって完全性が損なわれた通知、又は不正に流された通知によって各ゲートウェイの転送機能が無効化されたり有効化されたりすることが防止される。 This prevents the forwarding function of each gateway from being disabled or enabled due to notifications that have been compromised in integrity due to tampering or errors, or notifications that have been tampered with.
なお、上記のようにMACを用いる構成では、MACの処理負荷が各ゲートウェイ及び情報処理装置の演算処理装置にかかり、また、データフィールドの一部がMACに占有されるため、処理能力の高い演算処理装置が用いられたり、データ長を抑えたMACが用いられたりしてもよい。 In the configuration using MAC as described above, the processing load of MAC is applied to each gateway and the arithmetic processing unit of the information processing device, and a part of the data field is occupied by MAC, so that the arithmetic with high processing capacity is performed. A processing device may be used, or a MAC with a reduced data length may be used.
また、各実施の形態においてCANバスを介して送信される通知は、この通知を送信するための専用線を介する経路で送信されてもよい。より具体的には、実施の形態1において、情報処理装置103は、第2のGW102との間の直接通信に用いられる、専用線600とは別の専用線で第2のGW102と接続され、情報処理装置103から第2のGW102への所定の通知は、CANバスに代えてこの専用線を介して送信されてもよい。これにより、所定の通知は安全かつ確実に送信される。
Further, the notification transmitted via the CAN bus in each embodiment may be transmitted via a route via a dedicated line for transmitting this notification. More specifically, in the first embodiment, the
なお、上記の各実施の形態の変形例において、情報処理装置から各ゲートウェイへの通知の送信が専用線を介さず、例えばCAN通信用の物理ポート経由で行われる場合、その通知の送信に用いられる各通信部(第1の通信部401、第2の通信部1103、第3の通信部1104)は、当該通知を送信するための専用のポートとして実装されてもよい。
In the modified example of each of the above embodiments, when the notification is transmitted from the information processing device to each gateway without going through a dedicated line, for example, via a physical port for CAN communication, it is used for transmitting the notification. Each communication unit (
(2)各実施の形態及びその変形例において、情報処理装置からゲートウェイにCANバスを介して送信される上述の各通知の正当性を各ゲートウェイに確認させるために、情報処理装置は、この通知を複数又はすべてのCANバスを介して同じCANコマンドで送信してもよい。これにより、ゲートウェイでは、各CANバスから受信したCANコマンド同士を比較して、異なる場合には多数決で正当なCANコマンドを確認することができる。 (2) In each of the embodiments and variations thereof, the information processing apparatus uses this notification in order to make each gateway confirm the validity of each of the above notifications transmitted from the information processing apparatus to the gateway via the CAN bus. May be transmitted with the same CAN command via multiple or all CAN buses. As a result, the gateway can compare the CAN commands received from each CAN bus, and if they are different, confirm the valid CAN command by majority vote.
(3)各実施の形態及びその変形例において、ゲートウェイの転送機能の無効化(送受信部による転送処理の停止)は、電気的手段、物理的手段、ソフト的手段の何れによって行われてもよい。 (3) In each embodiment and its modification, the transfer function of the gateway may be invalidated (stopping the transfer process by the transmission / reception unit) by any of electrical means, physical means, and software means. ..
例えば、電気的手段として、転送機能を無効化させるゲートウェイはシャットダウンされてもよい。また、物理的手段として、ゲートウェイとCANバスとの接続が切断されてもよい。また、転送機能を無効化させるゲートウェイのソフトウェアの動作が停止されてもよい。このような強制停止は、転送機能を無効化させるゲートウェイ自身に実行させてもよいし、他のゲートウェイ又はECUによって外部から実行されてもよい。 For example, as an electrical means, the gateway that disables the transfer function may be shut down. Further, as a physical means, the connection between the gateway and the CAN bus may be disconnected. In addition, the operation of the gateway software that disables the transfer function may be stopped. Such a forced stop may be executed by the gateway itself that invalidates the transfer function, or may be executed from the outside by another gateway or ECU.
(4)上述のゲートウェイとCANバスとの接続の切断又はソフトウェアの動作の停止に関連して、ゲートウェイの転送機能の無効化は部分的になされてもよい。 (4) In connection with the above-mentioned disconnection between the gateway and the CAN bus or the suspension of software operation, the transfer function of the gateway may be partially disabled.
例えば、不正なCANコマンドが検知されたCANバスとの接続のみが物理的に切断されてもよいし、このCANバスを経路とする転送機能に関わるソフトウェアの動作のみが停止されてもよい。このような部分的な無効化のために、ゲートウェイの転送機能を無効化させるための通知には、監視部402(又は1102)が正常ではないと判断したCANコマンドが流れるCANバスを示す情報が含められてもよい。 For example, only the connection with the CAN bus in which an invalid CAN command is detected may be physically disconnected, or only the operation of the software related to the transfer function using the CAN bus as a route may be stopped. Due to such partial invalidation, the notification for disabling the transfer function of the gateway includes information indicating the CAN bus on which the CAN command determined by the monitoring unit 402 (or 1102) to be abnormal is flowing. May be included.
なお、ゲートウェイの転送機能のこのような部分的な無効化に対応して、他のゲートウェイの転送機能の有効化も部分的に行われてもよい。 In response to such partial invalidation of the transfer function of the gateway, the transfer function of another gateway may be partially enabled.
(5)また、上述のゲートウェイと一部のCANバスとの接続の切断に関連して、ゲートウェイとECUとの接続の切断は、段階的に行われてもよい。 (5) Further, in connection with the disconnection of the connection between the gateway and a part of the CAN bus described above, the disconnection of the connection between the gateway and the ECU may be performed step by step.
例えば、ゲートウェイに接続される複数のCANバスには、例えば各CANバスに接続されるECUの機能、流れるCANコマンドの種類等に基づいて所定の優先順位が設定されており、その優先順位の高い方からゲートウェイとCANバスとの接続が切断されてもよい。この優先順位は、攻撃によるリスク(被害)の大きさに応じて設定されてもよい。車載ネットワークを例にとると、CANバス1のECUは運転操作系統の機能を有し、CANバス2のECUはドア、ミラー、シート等の駆動の機能を有する場合、CANバス1により高い優先順位が設定される。 For example, a plurality of CAN buses connected to a gateway are set with a predetermined priority based on, for example, the function of the ECU connected to each CAN bus, the type of CAN command to be flown, and the like, and the priority is high. The connection between the gateway and the CAN bus may be disconnected from the other side. This priority may be set according to the magnitude of the risk (damage) caused by the attack. Taking the in-vehicle network as an example, when the ECU of the CAN bus 1 has a function of a driving operation system and the ECU of the CAN bus 2 has a function of driving a door, a mirror, a seat, etc., the CAN bus 1 has a higher priority. Is set.
また例えば、不正なCANコマンドの検知後は、まず情報処理システム10(又は80)と外部との通信のため通信ECUとゲートウェイとの接続が切断され、その上で、さらに不正なCANコマンドが検知される場合に、当該ゲートウェイの転送機能の全部または一部が無効化されてもよい。 Further, for example, after the detection of an illegal CAN command, the connection between the communication ECU and the gateway is first disconnected for communication between the information processing system 10 (or 80) and the outside, and then an even more illegal CAN command is detected. If so, all or part of the forwarding function of the gateway may be disabled.
(6)各実施の形態及びその変形例において、通常時における2つのゲートウェイの状態は、一方が転送機能が有効であり、他方は転送機能が無効であるという状態に限定されない。 (6) In each embodiment and its modification, the state of the two gateways in the normal state is not limited to the state in which one has the transfer function enabled and the other has the transfer function disabled.
例えば2つのゲートウェイは通常時において共に転送機能が有効なメインゲートウェイ及びサブゲートウェイであり、サブゲートウェイがメインゲートウェイの転送機能を補完してもよい。補完のより具体的な例を挙げると、サブゲートウェイは各CANバスをモニタリングし、メインゲートウェイによるCANコマンドの転送に漏れがあった場合に当該CANコマンドを転送してもよい。このような構成の情報処理システムでは、CANコマンドが正常でないと判断された場合の監視用ECUからの通知は、メインゲートウェイの転送機能を無効化させるための通知ではあるが、サブゲートウェイの転送機能を有効化させるための通知でなくてもよい。 For example, the two gateways are a main gateway and a sub-gateway in which the transfer function is effective in the normal state, and the sub-gateway may complement the transfer function of the main gateway. To give a more specific example of complementation, the sub-gateway may monitor each CAN bus and transfer the CAN command if there is an omission in the transfer of the CAN command by the main gateway. In an information processing system having such a configuration, the notification from the monitoring ECU when it is determined that the CAN command is not normal is a notification for invalidating the transfer function of the main gateway, but the transfer function of the sub gateway. It does not have to be a notification to activate.
(7)各実施の形態及びその変形例においては、2つのゲートウェイのうち一方のみが通信ECUを介して外部のネットワークと通信可能に接続されているが、本発明における情報処理システムの構成はこれに限定されない。2つのゲートウェイの両方が外部のネットワークと通信可能に物理的に接続されていてもよい。また、通常時には、一方のゲートウェイの外部との通信機能が無効にされていてもよく、もう一方のゲートウェイの通信機能が無効にされた場合に、当該ゲートウェイの通信機能が有効にされてもよい。 (7) In each embodiment and its modification, only one of the two gateways is communicably connected to an external network via a communication ECU, but the configuration of the information processing system in the present invention is this. Not limited to. Both of the two gateways may be physically connected to communicate with an external network. In addition, normally, the communication function with the outside of one gateway may be disabled, and when the communication function of the other gateway is disabled, the communication function of the gateway may be enabled. ..
なお、上記には、正常でないCANコマンドが受信された場合も代替的に実行される転送機能によって情報処理システムの機能が維持される旨の記載があるが、通常時以外は外部の情報処理装置との通信経路が遮断される情報処理システムでは、この通信に依存する機能については制限される。 In the above, there is a description that the function of the information processing system is maintained by the transfer function that is executed instead even when an abnormal CAN command is received, but it is an external information processing device except during normal times. In an information processing system in which the communication path with is blocked, the functions that depend on this communication are restricted.
(8)各実施の形態及びその変形例における2つのゲートウェイは、2つのゲートウェイに限定されない。2つのゲートウェイは物理的に1つのECUに実装されており、ソフトウェアなどによって提供される論理的に独立した機能モジュールとして実装されてもよい。 (8) The two gateways in each embodiment and its modifications are not limited to the two gateways. The two gateways are physically mounted in one ECU, and may be mounted as logically independent functional modules provided by software or the like.
また、各実施の形態及びその変形例において通常時は待機状態にあるゲートウェイは、情報処理装置103(又は803)を実現する監視用ECUと物理的に1つであってもよく、当該ゲートウェイはソフトウェアなどによって提供される機能モジュールとして実装されてもよい。 Further, in each embodiment and its modification, the gateway which is normally in the standby state may be physically one with the monitoring ECU that realizes the information processing device 103 (or 803), and the gateway may be one. It may be implemented as a functional module provided by software or the like.
(9)各実施の形態及びその変形例において、情報処理装置においてCANコマンドが正常でないと判断されたときは、当該CANコマンドのCAN IDに基づいて判別する当該CANコマンドを受信するECUに対して、フェイルセーフモードに移行させるための通知が情報処理装置又はゲートウェイから送信されてもよい。この通知の手段としては、CANバスを介した通知、ECUとの間に別途設けられる専用線を介した通知、及びMACを付与した通知のいずれであってもよい。この通知を受けたECUは、フェイルセーフモードに移行することで、不正なCANコマンドによる制御の影響を回避することができる。ここでのフェイルセーフモードとは、例えば自動車であれば、走行が可能な最小限の機能以外の電子制御を無効にしたり、車両を最低限の安全に停止させたりするようなモードである。 (9) In each embodiment and its modification, when it is determined that the CAN command is not normal in the information processing device, the ECU that receives the CAN command that determines based on the CAN ID of the CAN command , A notification for shifting to the fail-safe mode may be transmitted from the information processing device or the gateway. The means of this notification may be any of a notification via the CAN bus, a notification via a dedicated line separately provided between the ECU and the notification, and a notification with a MAC. The ECU that has received this notification can avoid the influence of control by an illegal CAN command by shifting to the fail-safe mode. The fail-safe mode here is, for example, a mode in which, in the case of an automobile, electronic control other than the minimum functions that can be driven is disabled, or the vehicle is stopped safely at the minimum.
(10)各実施の形態及びその変形例において、受信したCANコマンドが正常でない場合にはゲートウェイの転送機能の有効無効が切り替えられる構成としたが、本発明はその構成に限定されるものではない。 (10) In each embodiment and its modification, if the received CAN command is not normal, the transfer function of the gateway can be enabled or disabled, but the present invention is not limited to that configuration. ..
例えば、車載ネットワーク上のシステムにおいては、ADASの諸機能に関連するECUや、自動運転機能に関連するECUなどで、冗長化(多重化)されている場合がある。本発明によって、このような冗長化されているECUに対しても、攻撃から切り離すことを目的に、主として動作しているECUの機能を無効化(強制停止)させ、別のECUで代替処理するために当該機能を有効化させてもよい。 For example, in a system on an in-vehicle network, there are cases where the ECU related to various functions of ADAS, the ECU related to the automatic driving function, and the like are made redundant (multiplexed). According to the present invention, even for such a redundant ECU, for the purpose of separating it from an attack, the function of the mainly operating ECU is invalidated (forced stop), and another ECU performs alternative processing. Therefore, the function may be enabled.
(11)各実施の形態及びその変形例は、CAN通信が行われるネットワーク上のシステムとして説明されたが、本発明の適用対象はこれに限定されず、他の通信方式によるネットワークを利用するシステムにも適用することができる。例えば、CAN FD(CAN with Flexible Data rate)、TTCAN(Time Triggered CAN)、Ethernet(登録商標)、LIN(Local Interconnect Network)、MOST(登録商標)(Media Oriented Systems Transport)、FlexRay(登録商標)などの通信方式が用いられるシステムであってもよい。 (11) Each embodiment and a modification thereof have been described as a system on a network on which CAN communication is performed, but the application of the present invention is not limited to this, and a system using a network by another communication method is used. It can also be applied to. For example, CAN FD (CAN with Flexible Data rate), TTCAN (Time Triggered CAN), Ethernet (registered trademark), LIN (Local Interconnect Network), MOST (registered trademark) (Media Oriented Systems Transport), FlexRay (registered trademark), etc. The system may be a system in which the above communication method is used.
(12)上記の各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なICカード又は単体のモジュールから構成されているとしてもよい。このICカード又はモジュールは、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。また、このICカード又はモジュールは、上記のような高集積度の集積回路で実現される超多機能LSIを含んでもよい。マイクロプロセッサが、ROM又はRAMに記憶されるコンピュータプログラムに従って動作することにより、ICカード又はモジュールは、その機能を達成する。このICカード又はモジュールは、耐タンパ性を有してもよい。 (12) A part or all of the components constituting each of the above devices may be composed of an IC card or a single module that can be attached to and detached from each device. This IC card or module is a computer system composed of a microprocessor, ROM, RAM, and the like. Further, the IC card or module may include a super multifunctional LSI realized by an integrated circuit having a high degree of integration as described above. The IC card or module achieves its function by operating the microprocessor according to a computer program stored in ROM or RAM. This IC card or module may have tamper resistance.
(13)本発明は、上記の各装置が実行する動作に含まれる処理の手順を含む方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、このコンピュータプログラムからなるデジタル信号であるとしてもよい。 (13) The present invention may be a method including a processing procedure included in the operation executed by each of the above devices. Further, it may be a computer program that realizes these methods by a computer, or it may be a digital signal composed of this computer program.
また、本発明は、上記のコンピュータプログラム又はデジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD(Compact Disc)−ROM、MO(Magneto-Optical)ディスク、DVD(Digital Versatile Disc)、DVD−ROM、DVD−RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリーなどに記録したものとしてもよい。また、これらの記録媒体に記録されている上記のデジタル信号であるとしてもよい。 Further, the present invention relates to a recording medium capable of computer-readable reading of the above computer program or digital signal, for example, a flexible disc, a hard disk, a CD (Compact Disc) -ROM, an MO (Magneto-Optical) disc, or a DVD (Digital Versatile Disc). , DVD-ROM, DVD-RAM, BD (Blu-ray (registered trademark) Disc), semiconductor memory, or the like. Further, it may be the above-mentioned digital signal recorded on these recording media.
また、本発明は、上記のコンピュータプログラム又はデジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。 Further, the present invention may transmit the above-mentioned computer program or digital signal via a telecommunication line, a wireless or wired communication line, a network typified by the Internet, data broadcasting, or the like.
また、本発明は、マイクロプロセッサとメモリーとを備えたコンピュータシステムであって、このメモリーは、上記のコンピュータプログラムを記憶しており、このマイクロプロセッサは、当該コンピュータプログラムに従って動作するとしてもよい。 Further, the present invention is a computer system including a microprocessor and a memory, and the memory stores the above-mentioned computer program, and the microprocessor may operate according to the computer program.
また、上記のコンピュータプログラム又はデジタル信号を上記の記録媒体に記録して移送することにより、または上記のコンピュータプログラム又はデジタル信号を上記のネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施されるとしてもよい。 Further, another independent computer by recording and transferring the above-mentioned computer program or digital signal on the above-mentioned recording medium, or by transferring the above-mentioned computer program or digital signal via the above-mentioned network or the like. It may be implemented by the system.
(14)上記の各実施の形態及びその変形例は、それぞれ組み合わせるとしてもよい。 (14) Each of the above embodiments and modifications thereof may be combined.
本発明にかかる情報処理装置、情報処理システム、情報処理方法、及びプログラムは、攻撃に拠ってネットワークに注入された不正な通信データを検知した場合に、その攻撃を排除しつつ、当該ネットワークの機能を維持することが可能であり、これらの情報処理装置等を利用することはネットワーク上で動く、又はネットワークを含む製品の安全性向上において有用である。 When an information processing device, an information processing system, an information processing method, and a program according to the present invention detect unauthorized communication data injected into a network due to an attack, the function of the network is eliminated while eliminating the attack. It is possible to maintain, and the use of these information processing devices and the like is useful for improving the safety of products that operate on or include networks.
10、80 情報処理システム
11 サーバ装置
101、801 第1のGW
102、802 第2のGW
103、803 情報処理装置
104 通信ECU
105 ECU
201、901 第1の送受信部
202、302、902、1002 転送リスト記憶部
203、903 通信部
204、904 無効化部
205、306、404、905、1005、1106 制御部
301、1001 第2の送受信部
303、1003 通信部
304 無効化通知部
305、1004 有効化部
401、1101 第1の通信部
402、1102 監視部
403、1105 通知部
500 外部ネットワーク
600、601、602 専用線
1103 第2の通信部
1104 第3の通信部
10, 80
102, 802 Second GW
103, 803
105 ECU
201,901 First transmission /
Claims (14)
前記通信データが正常か否かを判断する監視部と、
前記第1のゲートウェイの転送機能が有効であり、前記第2のゲートウェイの転送機能が無効であるときに前記監視部が前記通信データは正常でないと判断した場合に、前記第2のゲートウェイに、前記第1のゲートウェイの転送機能を無効化させるための通知を前記第1のゲートウェイへ送信させ、前記第2のゲートウェイの転送機能を有効化させるための通知を前記第2のゲートウェイへ送信する通知部とを備える、
情報処理装置。 A first communication unit that transmits and receives communication data flowing through a network to which a first gateway, a second gateway, and at least one electronic control unit are connected.
A monitoring unit that determines whether the communication data is normal, and
When the transfer function of the first gateway is valid and the transfer function of the second gateway is invalid and the monitoring unit determines that the communication data is not normal, the second gateway is contacted. a notification order to disable the transfer function of the first gateway is sent to the first gateway sends a notification of the order to activate the transfer function of the second gateway Previous Stories second gateway Equipped with a notification unit,
Information processing device.
前記監視部が前記通信データは正常でないと判断した場合、前記通知部は、前記通知を、前記第2の通信部を介して前記第2のゲートウェイへ送信する、
請求項1に記載の情報処理装置。 A second communication unit different from the first communication unit is further provided.
When the monitoring unit determines that the communication data is not normal, the notification unit transmits the notification to the second gateway via the second communication unit.
The information processing device according to claim 1.
請求項2に記載の情報処理装置。 The second communication unit is connected to the second gateway by a dedicated line used for direct communication with the second gateway.
The information processing device according to claim 2.
請求項1から3のいずれか1項に記載の情報処理装置。 The communication executed by the first communication unit is CAN communication.
The information processing device according to any one of claims 1 to 3.
請求項1から4のいずれか1項に記載の情報処理装置。 The notification is a notification indicating that the received communication data is not normal, the transfer function of the first gateway is invalidated, or the transfer function of the second gateway is enabled.
The information processing device according to any one of claims 1 to 4.
前記第1のゲートウェイと、
前記第2のゲートウェイと、
前記少なくとも1つの電子制御ユニットとを備える情報処理システムであって、
前記第1のゲートウェイは、
前記第1のゲートウェイの転送機能を提供する第1の送受信部と、
前記第1の送受信部の転送処理を停止させる無効化部とを備え、
前記第2のゲートウェイは、
前記第2のゲートウェイの転送機能を提供する第2の送受信部と、
前記第2の送受信部の転送処理を開始させる有効化部とを備え、
前記第1のゲートウェイの転送機能が有効であり、前記第2のゲートウェイの転送機能が無効であるときに前記監視部が前記通信データは正常でないと判断した場合、前記通知部は、前記第2のゲートウェイに、前記第1のゲートウェイの転送機能を無効化させるための通知を前記第1のゲートウェイへ送信させ、前記第2のゲートウェイの転送機能を有効化させるための前記通知を前記第2のゲートウェイへ送信する、
情報処理システム。 The information processing device according to claim 1 and
With the first gateway
With the second gateway
An information processing system including the at least one electronic control unit.
The first gateway is
A first transmitter / receiver that provides a transfer function of the first gateway, and
It is provided with an invalidation unit for stopping the transfer processing of the first transmission / reception unit.
The second gateway is
A second transmitter / receiver that provides a transfer function for the second gateway, and
It is provided with an activation unit for starting the transfer processing of the second transmission / reception unit.
When the transfer function of the first gateway is valid and the transfer function of the second gateway is invalid and the monitoring unit determines that the communication data is not normal, the notification unit uses the second notification unit. the gateway, the first notification of the order to disable the transfer function of the gateway is sent to the first gateway, the prior notice SL second order to enable the transfer function of the second gateway Send to the gateway of
Information processing system.
前記第2のゲートウェイは、前記第1のゲートウェイに前記第1のゲートウェイの転送機能を無効化させるための前記通知を前記第1のゲートウェイへ送信する無効化通知部をさらに備え、
前記第2のゲートウェイが前記通知部から送信された前記通知を受信すると、前記無効化通知部は、前記第1のゲートウェイの転送機能を無効化させるための前記通知を、前記専用線を介して前記第1のゲートウェイへ送信し、
前記第1のゲートウェイが前記第1のゲートウェイの転送機能を無効化させるための前記通知を受信すると、前記無効化部は前記第1の送受信部の転送処理を停止させる、
請求項6に記載の情報処理システム。 Further, it is provided with a dedicated line used only for communication between the first gateway and the second gateway.
It said second gateway further comprises an invalidation notifying unit configured to transmit the notification for disabled forwarding function of the first gateway to the first gateway to the first gateway,
When the second gateway receives the notification transmitted from the notification unit, the invalidation notification unit sends the notification for disabling the transfer function of the first gateway via the dedicated line. Send to the first gateway
When the first gateway receives the notification for disabling the transfer function of the first gateway, the disabling unit stops the transfer process of the first transmitting / receiving unit.
The information processing system according to claim 6.
前記通知部と前記第2のゲートウェイとの間の直接通信に用いられる第4の専用線とを備え、
前記第1のゲートウェイの転送機能が有効であり前記第2のゲートウェイの転送機能が無効であるときに、前記監視部が前記通信データは正常でないと判断した場合、前記通知部は、
前記第1のゲートウェイに前記第1のゲートウェイの転送機能を無効化させるための前記通知を、前記第3の専用線を用いて前記第1のゲートウェイへ送信し、
前記第2のゲートウェイに前記第2のゲートウェイの転送機能を有効化させるための前記通知を、前記第4の専用線を用いて前記第2のゲートウェイへ送信し、
前記第1のゲートウェイが前記第1のゲートウェイの転送機能を無効化させるための前記通知を受信すると、前記無効化部は前記第1の送受信部の転送機能を停止させ、
前記第2のゲートウェイが前記第2のゲートウェイの転送機能を有効化させるための前記通知を受信すると、前記有効化部は前記第2の送受信部の転送機能を開始させる、
請求項6に記載の情報処理システム。 Further, a third dedicated line used for direct communication between the notification unit and the first gateway,
It is provided with a fourth leased line used for direct communication between the notification unit and the second gateway.
When the transfer function of the first gateway is valid and the transfer function of the second gateway is invalid, when the monitoring unit determines that the communication data is not normal, the notification unit receives the notification unit.
The notification for disabling the transfer function of the first gateway to the first gateway is transmitted to the first gateway using the third dedicated line.
The notification for enabling the transfer function of the second gateway to the second gateway is transmitted to the second gateway using the fourth dedicated line.
When the first gateway receives the notification for disabling the transfer function of the first gateway, the disabling unit stops the transfer function of the first transmission / reception unit.
When the second gateway receives the notification for activating the transfer function of the second gateway, the activation unit starts the transfer function of the second transmission / reception unit.
The information processing system according to claim 6.
前記無効化部は、
前記第1のゲートウェイが前記第1のゲートウェイの転送機能を無効化させるための前記通知を受信すると、前記接続経路を切断し、
前記接続経路が切断された状態で、前記第1のゲートウェイが前記第1のゲートウェイの転送機能を無効化させるための前記通知をさらに受信すると、さらに前記第1の送受信部の転送処理を停止させる、
請求項7又は8に記載の情報処理システム。 The first gateway has a connection path for communicating with the outside of the information processing system.
The invalidation part is
When the first gateway receives the notification for disabling the transfer function of the first gateway, the connection path is disconnected.
When the first gateway further receives the notification for invalidating the transfer function of the first gateway while the connection path is disconnected, the transfer process of the first transmission / reception unit is further stopped. ,
The information processing system according to claim 7 or 8.
前記無効化部は、前記複数の配線のうち、所定の優先順位の高い方から選択される少なくとも一部の配線との接続を切断することで前記第1の送受信部の転送処理を停止させる、
請求項7又は8に記載の情報処理システム。 The first gateway is connected to a plurality of wires included in the network to which the at least one electronic control unit is connected.
The invalidation unit stops the transfer process of the first transmission / reception unit by disconnecting the connection with at least a part of the wirings selected from the plurality of wirings having a higher priority.
The information processing system according to claim 7 or 8.
前記第1のゲートウェイの転送機能を無効化させるための前記通知は、前記複数の配線のうち、前記監視部が正常でないと判断した前記通信データが流れる配線を示し、
前記無効化部は、前記通知が示す配線との接続を切断をすることで前記第1の送受信部の転送処理を停止させる、
請求項7又は8に記載の情報処理システム。 The first gateway is connected to a plurality of wires included in the network to which the at least one electronic control unit is connected.
The notification for disabling the transfer function of the first gateway indicates, among the plurality of wirings, the wiring through which the communication data that the monitoring unit determines to be abnormal flows.
The invalidation unit stops the transfer process of the first transmission / reception unit by disconnecting the connection with the wiring indicated by the notification.
The information processing system according to claim 7 or 8.
請求項6から11のいずれか1項に記載の情報処理システム。 When the monitoring unit determines that the communication data is not normal, the notification unit further notifies the electronic control unit that receives the communication data among the at least one electronic control unit to shift to the fail-safe mode. To send,
The information processing system according to any one of claims 6 to 11.
前記ネットワークに流れる通信データを送受信し、
前記通信データが正常か否かを判断し、
前記第1のゲートウェイの転送機能が有効であり、前記第2のゲートウェイの転送機能が無効であるときに前記通信データは正常でないと判断した場合に、前記第2のゲートウェイに、前記第1のゲートウェイの転送機能を無効化させるための通知を前記第1のゲートウェイへ送信させ、前記第2のゲートウェイの転送機能を有効化させるための通知を前記第2のゲートウェイに送信する、
情報処理方法。 A method of information processing performed in an information processing apparatus connected to a network to which a first gateway, a second gateway, and at least one electronic control unit are connected.
Send and receive communication data flowing through the network
Judging whether the communication data is normal or not,
When it is determined that the communication data is not normal when the transfer function of the first gateway is valid and the transfer function of the second gateway is invalid, the first gateway is contacted with the first. a notification order to disable the gateway forwarding function is transmitted to the first gateway sends a notification of the order to activate the transfer function of the second gateway before Symbol second gateway,
Information processing method.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/947,105 US10873600B2 (en) | 2017-04-11 | 2018-04-06 | Information processing device, information processing system, information processing method, and information processing program |
US16/042,160 US10917387B2 (en) | 2017-04-11 | 2018-07-23 | Information processing device, information processing system, information processing method, and information processing program |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017078327 | 2017-04-11 | ||
JP2017078327 | 2017-04-11 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018182713A JP2018182713A (en) | 2018-11-15 |
JP6920667B2 true JP6920667B2 (en) | 2021-08-18 |
Family
ID=64276406
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017175751A Active JP6920667B2 (en) | 2017-04-11 | 2017-09-13 | Information processing equipment, information processing systems, information processing methods, and programs |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6920667B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7160103B2 (en) * | 2018-08-30 | 2022-10-25 | 住友電気工業株式会社 | In-vehicle communication system, data acquisition device, management device and monitoring method |
JP2020113932A (en) * | 2019-01-15 | 2020-07-27 | 株式会社デンソーテン | Controller, control system and control method |
WO2020246031A1 (en) * | 2019-06-07 | 2020-12-10 | 三菱電機株式会社 | Vehicle on-board control device and vehicle on-board control system |
-
2017
- 2017-09-13 JP JP2017175751A patent/JP6920667B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018182713A (en) | 2018-11-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107710657B (en) | Method and device for real-time data security of a communication bus | |
US10873600B2 (en) | Information processing device, information processing system, information processing method, and information processing program | |
US10693905B2 (en) | Invalidity detection electronic control unit, in-vehicle network system, and communication method | |
JP7231559B2 (en) | Anomaly detection electronic control unit, in-vehicle network system and anomaly detection method | |
EP3435617B1 (en) | A node, a vehicle, an integrated circuit and method for updating at least one rule in a controller area network | |
JP6964277B2 (en) | Communication blocking system, communication blocking method and program | |
US10917387B2 (en) | Information processing device, information processing system, information processing method, and information processing program | |
CN109104352B (en) | Vehicle network operation protocol and method | |
JP6920667B2 (en) | Information processing equipment, information processing systems, information processing methods, and programs | |
JP2016134913A (en) | Unauthorized frame handling method, unauthorized detection electronic control unit and on-vehicle network system | |
US11938897B2 (en) | On-vehicle device, management method, and management program | |
WO2019193786A1 (en) | Log output method, log output device, and program | |
JP2019008618A (en) | Information processing apparatus, information processing method, and program | |
JP2014236248A (en) | Electronic control device and electronic control system | |
JP7340537B2 (en) | Unauthorized control prevention system, monitoring device, and unauthorized control prevention method | |
US11394726B2 (en) | Method and apparatus for transmitting a message sequence over a data bus and method and apparatus for detecting an attack on a message sequence thus transmitted | |
JP2008271040A (en) | Communication apparatus and communication system | |
WO2021234499A1 (en) | System and method for detection and prevention of cyber attacks at in-vehicle networks | |
JP2019146145A (en) | Communication device, communication method, and program | |
CN112583786B (en) | Method for alarming, transmitter device and receiver device | |
KR102352504B1 (en) | System for verification of non-registered device based on imformation of ethernet switch and method for the same | |
KR101570711B1 (en) | Gateway for vehicle, and diagnostic communication method for MCU disable of the same, and reprogram method of the same | |
JP2015192216A (en) | Communication device and communication method | |
CN111694299B (en) | Communication system for vehicle | |
JP2018160870A (en) | On-vehicle communication system and input/output device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200219 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201217 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210112 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210226 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210615 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210712 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6920667 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
SZ03 | Written request for cancellation of trust registration |
Free format text: JAPANESE INTERMEDIATE CODE: R313Z03 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |