JP7017520B2 - 通信装置、通信方法及び通信システム - Google Patents

通信装置、通信方法及び通信システム Download PDF

Info

Publication number
JP7017520B2
JP7017520B2 JP2018552904A JP2018552904A JP7017520B2 JP 7017520 B2 JP7017520 B2 JP 7017520B2 JP 2018552904 A JP2018552904 A JP 2018552904A JP 2018552904 A JP2018552904 A JP 2018552904A JP 7017520 B2 JP7017520 B2 JP 7017520B2
Authority
JP
Japan
Prior art keywords
message
range
ttl
received message
whitelist
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018552904A
Other languages
English (en)
Other versions
JPWO2019021995A1 (ja
Inventor
良浩 氏家
唯之 鳥崎
智之 芳賀
弘泰 寺澤
遼 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Publication of JPWO2019021995A1 publication Critical patent/JPWO2019021995A1/ja
Application granted granted Critical
Publication of JP7017520B2 publication Critical patent/JP7017520B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W72/00Local resource management
    • H04W72/04Wireless resource allocation
    • H04W72/044Wireless resource allocation based on the type of the allocated resource
    • H04W72/0446Resources in time domain, e.g. slots or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/28Flow control; Congestion control in relation to timing considerations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing

Description

本開示は、モビリティネットワークに接続される通信装置等に関する。
特許文献1は、同一グループ内に位置する機器を通信にかかる時間で判定する装置を開示している。また、特許文献2は、IP(Internet Protocol)フレームのTTL(Time To Live)フィールドの値を用いて、コンテンツの共有範囲を制限する装置を開示している。
特許第4129216号公報 特許第4181951号公報
しかしながら、特許文献1及び特許文献2では、送信元の通信装置がデータの流出を抑制するための制御を行う。したがって、送信元の通信装置が改ざんされることなどにより、正常な動作が行われず、データが流出するという可能性が存在する。
そこで、本開示は、データの流出を抑制することができる通信装置等を提供することを目的とする。
本開示の一態様に係る通信装置は、モビリティに搭載されるネットワークであり、複数の電子制御装置が通信に用いるネットワークであるモビリティネットワークに接続される通信装置であって、前記モビリティネットワーク上のメッセージに対して定められる転送可能な経路範囲を示す範囲情報を保持する保持部と、前記モビリティネットワーク上の前記メッセージを受信する受信部と、受信された前記メッセージの正当性を、前記範囲情報を用いて判定する判定部とを備え、前記範囲情報は、RTT(Round Trip Time)の範囲を前記転送可能な経路範囲として示し、前記判定部は、受信された前記メッセージの正当性を、受信された前記メッセージに含まれる情報を用いて導出されるRTTの値と、前記範囲情報によって示されるRTTの範囲との比較により判定する。
また、本開示の一態様に係る通信装置は、モビリティに搭載されるネットワークであり、複数の電子制御装置が通信に用いるネットワークであるモビリティネットワークに接続される通信装置であって、前記モビリティネットワーク上のメッセージに対して定められる転送可能な経路範囲を示す範囲情報を保持する保持部と、前記モビリティネットワーク上の前記メッセージを受信する受信部と、受信された前記メッセージの正当性を、前記範囲情報を用いて判定する判定部とを備え、前記範囲情報は、TTL(Time To Live)の範囲を前記転送可能な経路範囲として示し、前記判定部は、受信された前記メッセージの正当性を、受信された前記メッセージに含まれるTTLの値と、前記範囲情報によって示されるTTLの範囲との比較により判定し、さらに、受信された前記メッセージが正当でないと判定された場合、受信された前記メッセージに含まれるTTLの値を前記範囲情報によって示されるTTLの範囲内に更新することにより、受信された前記メッセージを更新し、更新された前記メッセージを転送する処理部を備える通信装置であってもよい。
なお、これらの包括的又は具体的な態様は、システム、装置、方法、集積回路、コンピュータプログラム、又は、コンピュータ読み取り可能なCD-ROMなどの非一時的な記録媒体で実現されてもよく、システム、装置、方法、集積回路、コンピュータプログラム、及び、記録媒体の任意な組み合わせで実現されてもよい。
本開示の一態様に係る通信装置は、データの流出を抑制することができる。
図1は、実施の形態1における車載ネットワークシステムの全体構成の一例を示す図である。 図2は、実施の形態1におけるIPアドレス及びMACアドレスの一覧表の一例を示す図である。 図3は、実施の形態1におけるEthernetスイッチの構成の一例を示す図である。 図4は、実施の形態1におけるIVIの構成の一例を示す図である。 図5は、実施の形態1におけるECUの構成の一例を示す図である。 図6は、実施の形態1におけるCGWの構成の一例を示す図である。 図7は、実施の形態1におけるTCUの構成の一例を示す図である。 図8は、実施の形態1におけるECUから送信されるメッセージに含まれるフィールドの一例を示す図である。 図9は、実施の形態1における転送テーブルの構成の一例を示す図である。 図10は、実施の形態1におけるTTLホワイトリストの構成の一例を示す図である。 図11は、実施の形態1におけるTTLホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。 図12は、実施の形態1の変形例1におけるEthernetスイッチの構成の一例を示す図である。 図13は、実施の形態1の変形例1における転送テーブルの構成の一例を示す図である。 図14は、実施の形態1の変形例1におけるTTLホワイトリストの構成の一例を示す図である。 図15は、実施の形態1の変形例1におけるTTLホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。 図16は、実施の形態1の変形例2におけるEthernetスイッチの構成の一例を示す図である。 図17は、実施の形態1の変形例3におけるEthernetスイッチの構成の一例を示す図である。 図18は、実施の形態1の変形例3におけるECUから送信されるメッセージに含まれるフィールドの一例を示す図である。 図19は、実施の形態1の変形例3におけるTTLホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。 図20は、実施の形態2におけるEthernetスイッチの構成の一例を示す図である。 図21は、実施の形態2におけるRTT(Round Trip Time)ホワイトリストの構成の一例を示す図である。 図22は、実施の形態2におけるRTTホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。 図23は、実施の形態2の変形例におけるEthernetスイッチの構成の一例を示す図である。 図24は、実施の形態3における車載ネットワークシステムの全体構成の一例を示す図である。 図25は、実施の形態3におけるIPアドレス及びMACアドレスの一覧表の一例を示す図である。 図26は、実施の形態3におけるEthernetスイッチの構成の一例を示す図である。 図27は、実施の形態3におけるECUから送信されるメッセージに含まれるフィールドの一例を示す図である。 図28は、実施の形態3における転送テーブルの構成の一例を示す図である。 図29は、実施の形態3におけるTTLホワイトリストの構成の一例を示す図である。 図30は、実施の形態3におけるTTLホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。 図31は、実施の形態3の変形例におけるTTLホワイトリストの構成の一例を示す図である。 図32は、実施の形態3の変形例におけるTTLホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。 図33は、実施の形態4におけるEthernetスイッチの構成の一例を示す図である。 図34は、実施の形態4におけるRTTホワイトリストの構成の一例を示す図である。 図35は、実施の形態4におけるRTTホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。
(本開示の基礎となった知見)
近年、自動車の中のシステムには、電子制御ユニット(Electronic Control Unit、以下、ECU)と呼ばれる装置が多数配置されており、これらのECUをつなぐネットワークは、車載ネットワークと呼ばれる。車載ネットワークには、多数の規格が存在する。また、一般の情報ネットワークとして既に実績のあるEthernet(登録商標)を車載ネットワークに適応しようとする動きがあり、近年注目を集めている。
Ethernetの採用により、帯域幅の大幅な増加、及び、自動車分野以外でのこれまでの技術資産の活用が可能となり、コスト削減効果などが期待される一方、セキュリティリスクの可能性が高まるとの懸念も指摘されている。
また、自動車の電子システムは今後も進化を続けることが予想され、扱うデータ量も膨大となる可能性がある。今後増加が予想されるデータとは、自動運転技術などに必須となる、各種センサデータ及び映像データなどである。これらのデータを外部からモニタリングするだけで、自動車が今現在どこを走っており、周囲の状況がどういった状況かが判明してしまうため、これらのデータが意図せず外部に流出してしまわないような対策が重要である。
車両内に存在する特定のノードが不正に改ざんされ、車両内のネットワークのみに送信すべきメッセージが意図せず車外へ送信される可能性がある。このようなケースを想定し、例えば送信先が車両内か車両外か等のようにメッセージが届く範囲に従ってメッセージの正当性を判定する通信装置について、これまで十分に検討はされていなかった。
特許文献1は、同一グループ内に位置する機器を通信にかかる時間で判定する装置を開示している。また、特許文献2は、IP(Internet Protocol)フレームのTTL(Time To Live)フィールドの値を用いて、コンテンツの共有範囲を制限する装置を開示している。
しかしながら、特許文献1及び特許文献2では、送信元の通信装置がデータの流出を抑制するための制御を行う。したがって、送信元の通信装置が改ざんされることなどにより、正常な動作が行われず、データが流出するという可能性が存在する。
そこで、本開示の一態様に係る通信装置は、モビリティに搭載されるネットワークであり、複数の電子制御装置が通信に用いるネットワークであるモビリティネットワークに接続される通信装置であって、前記モビリティネットワーク上のメッセージに対して定められる転送可能な経路範囲を示す範囲情報を保持する保持部と、前記モビリティネットワーク上の前記メッセージを受信する受信部と、受信された前記メッセージの正当性を、前記範囲情報を用いて判定する判定部とを備える。
これにより、通信装置は、モビリティネットワーク上のメッセージが想定の範囲を超えて転送されることを抑制することができ、データの流出を抑制することができる。
例えば、前記範囲情報は、TTL(Time To Live)の範囲を前記転送可能な経路範囲として示し、前記判定部は、受信された前記メッセージの正当性を、受信された前記メッセージに含まれるTTLの値と、前記範囲情報によって示されるTTLの範囲との比較により判定してもよい。
これにより、通信装置は、メッセージにTTLの値が適切に設定されているか否かに従って、メッセージの正当性を判定することができる。したがって、通信装置は、メッセージが想定の範囲を超えて転送されることを抑制することができ、データの流出を抑制することができる。
また、例えば、前記範囲情報は、RTT(Round Trip Time)の範囲を前記転送可能な経路範囲として示し、前記判定部は、受信された前記メッセージの正当性を、受信された前記メッセージに含まれる情報を用いて導出されるRTTの値と、前記範囲情報によって示されるRTTの範囲との比較により判定してもよい。
これにより、通信装置は、メッセージに対するRTTの値が適切な範囲であるか否かに従って、メッセージの正当性を判定することができる。したがって、通信装置は、メッセージが想定の範囲を超えて転送されることを抑制することができ、データの流出を抑制することができる。
また、例えば、前記範囲情報は、送信元又は送信先に応じて定められる前記転送可能な経路範囲を示してもよい。
これにより、通信装置は、送信元又は送信先に応じて定められる転送可能な経路範囲を示す範囲情報を用いて、メッセージの正当性を適切に判定することができる。
また、例えば、前記範囲情報は、前記送信元のMACアドレス、又は、前記送信先のMACアドレスに応じて定められる前記転送可能な経路範囲を示してもよい。
これにより、通信装置は、例えばMACアドレスを用いてメッセージを転送するL2スイッチである場合でも、MACアドレスに応じて定められる転送可能な経路範囲を示す範囲情報を用いて、メッセージの正当性を適切に判定することができる。
また、例えば、前記範囲情報は、前記送信元のIPアドレス、又は、前記送信先のIPアドレスに応じて定められる前記転送可能な経路範囲を示してもよい。
これにより、通信装置は、例えばIPアドレスを用いてメッセージを転送するL3スイッチである場合でも、IPアドレスに応じて定められる転送可能な経路範囲を示す範囲情報を用いて、メッセージの正当性を適切に判定することができる。
また、例えば、前記範囲情報は、前記モビリティの状態に応じて定められる前記転送可能な経路範囲を示してもよい。
これにより、通信装置は、モビリティの状態の変化に応じて転送可能な経路範囲が変化する場合でも、モビリティの状態に応じて定められる転送可能な経路範囲を示す範囲情報を用いて、メッセージの正当性を適切に判定することができる。
また、例えば、前記モビリティの状態は、前記モビリティが移動しているか停止しているかに関連する状態であってもよい。
これにより、通信装置は、移動中における転送可能な経路範囲と停止中における転送可能な経路範囲とが異なる場合でも、各状態に応じて定められる転送可能な経路範囲を示す範囲情報を用いて、メッセージの正当性を適切に判定することができる。
また、例えば、前記範囲情報は、静的に予め定められた固定の範囲を前記転送可能な経路範囲として示してもよい。
これにより、通信装置は、例えば静的な環境下において、静的に定められる範囲情報を用いて、メッセージの正当性を適切に判定することができる。
また、例えば、前記通信装置は、さらに、前記複数の電子制御装置の更新に応じて、前記範囲情報を動的に更新する更新部を備えてもよい。
これにより、通信装置は、例えば電子制御装置の追加又は削除に対応する物理的な変更等に伴って、範囲情報を更新することができ、更新された範囲情報を用いて、メッセージの正当性を適切に判定することができる。すなわち、通信装置は、より柔軟に定められる範囲情報を用いて、メッセージの正当性を適切に判定することができる。
また、例えば、前記更新部は、前記複数の電子制御装置の属性情報の更新に応じて、前記範囲情報を動的に更新してもよい。
これにより、通信装置は、例えば電子制御装置のIPアドレスなどに対応する属性情報が動的に変更される環境下においても、動的に定められる範囲情報を用いて、メッセージの正当性を適切に判定することができる。
また、例えば、前記属性情報は、SOME/IP(Scalable service-Oriented MiddlewarE over IP)プロトコルを用いて更新されてもよい。
これにより、通信装置は、SOME/IPに基づくファームウェアのアップデートなどにより電子制御装置の属性情報が動的に変更される環境下においても、動的に定められる範囲情報を用いて、メッセージの正当性を適切に判定することができる。
また、例えば、前記通信装置は、さらに、受信された前記メッセージの正当性の判定結果に基づいて、所定のアクションを実施する処理部を備えてもよい。
これにより、通信装置は、判定結果に基づいて、適切な処理を実施することができ、モビリティネットワークのシステム全体の安全性を高めることができる。
また、例えば、前記処理部は、前記判定結果に基づいて、受信された前記メッセージの転送可否を制御してもよい。
これにより、通信装置は、メッセージの転送可否を適切に制御することができ、モビリティネットワークのシステム全体の安全性を高めることができる。
また、例えば、前記処理部は、前記判定結果を記録してもよい。
これにより、通信装置は、後で判定結果の分析を可能にすることができる。そして、通信装置は、範囲情報によって示される転送可能な経路範囲の適切な更新を可能にすることができる。
また、例えば、前記処理部は、受信された前記メッセージの送信元に対して、前記判定結果を通知してもよい。
これにより、通信装置は、適切なメッセージを送信するよう送信元を誘導することができる。
また、例えば、前記通信装置は、さらに、受信された前記メッセージが正当でないと判定された場合、受信された前記メッセージに含まれるTTLの値を前記範囲情報によって示されるTTLの範囲内に更新することにより、受信された前記メッセージを更新し、更新された前記メッセージを転送する処理部を備えてもよい。
これにより、送信元がメッセージに適切なTTLの値を設定することが難しい環境下において、通信装置がメッセージに適切なTTLの値を設定することができる。
また、本開示の一態様に係る通信方法は、モビリティに搭載されるネットワークであり、複数の電子制御装置が通信に用いるネットワークであるモビリティネットワーク上の通信方法であって、前記モビリティネットワーク上のメッセージを受信する受信ステップと、受信された前記メッセージの正当性を、前記モビリティネットワーク上の前記メッセージに対して定められる転送可能な経路範囲を示す範囲情報を用いて判定する判定ステップとを含む通信方法であってもよい。
これにより、モビリティネットワーク上のメッセージが想定の範囲を超えて転送されることが抑制され得る。したがって、データの流出が抑制され得る。
また、本開示の一態様に係る通信システムは、モビリティに搭載されるネットワークであり、複数の電子制御装置が通信に用いるネットワークであるモビリティネットワークの通信システムであって、前記モビリティネットワーク上のメッセージに対して定められる転送可能な経路範囲を示す範囲情報を保持する保持部と、前記モビリティネットワーク上の前記メッセージを受信する受信部と、受信された前記メッセージの正当性を、前記範囲情報を用いて判定する判定部とを備える通信システムであってもよい。
これにより、通信システムは、モビリティネットワーク上のメッセージが想定の範囲を超えて転送されることを抑制することができ、データの流出を抑制すことができる。
さらに、これらの包括的又は具体的な態様は、システム、装置、方法、集積回路、コンピュータプログラム、又は、コンピュータ読み取り可能なCD-ROMなどの非一時的な記録媒体で実現されてもよく、システム、装置、方法、集積回路、コンピュータプログラム、及び、記録媒体の任意な組み合わせで実現されてもよい。
以下、図面を参照しながら、実施の形態に関わる通信装置、通信方法及び通信システムについて説明する。
なお、以下で説明する実施の形態は、いずれも包括的又は具体的な例を示す。つまり、以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置及び接続形態、ステップ、ステップの順序などは、一例であり、請求の範囲を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。
(実施の形態1)
本実施の形態では、受信したメッセージに含まれるTTL(Time To Live)が、予め定められたホワイトリストによってチェックされる。以下、受信したメッセージに含まれるTTLを予め定められたホワイトリストによってチェックする機能を持つ通信装置について、図面を参照しながら説明する。
[1.1 車載ネットワークシステムの全体構成]
図1は、本実施の形態における車載ネットワークシステムの全体構成の一例を示す図である。車載ネットワークシステム10は、Ethernetスイッチ100a、100bと、In-Vehicle Infotainment System(以下、IVI)200と、ECU300a、300b、300c、300d、300eと、Central Gateway(以下、CGW)400と、Telematics Control Unit(以下、TCU)500とを備える。
Ethernetスイッチ100aと、Ethernetスイッチ100bとは、それぞれスイッチングハブであり、CGW400及びEthernetケーブルを介して互いに接続されている。また、Ethernetスイッチ100aは、ECU300a~300eと、それぞれEthernetケーブルを介して接続されている。また、Ethernetスイッチ100bは、IVI200と、TCU500と、それぞれEthernetケーブルを介して接続されている。Ethernetスイッチ100a及び100bは、それぞれのポートから受信するメッセージを、その他のポート、あるいは、全てのポートに転送する機能を持つ。
IVI200は、Ethernetスイッチ100bとEthernetケーブルを介して接続されている。また、IVI200は、ディスプレイを有する。そして、IVI200は、ドライバーに対して情報を提示する機能を持つ。
ECU300a~300eは、それぞれ、前方距離センサ310、前方カメラ320、高度運転支援機能(以下、ADAS)330、後方距離センサ340、及び、後方カメラ350に接続されている。また、ECU300a~300eは、それぞれ、接続されている装置から情報を取得し、取得された情報をメッセージとして別のECUに送信する機能を持つ。
CGW400は、Ethernetスイッチ100aと、Ethernetスイッチ100bとに、それぞれEthernetを介して接続されている。そして、CGW400は、各ドメインを分割するルータの機能を持つ。
TCU500は、Ethernetスイッチ100aとEthernetケーブルを介して接続されている。また、TCU500は、3G又はLTE(登録商標)などの無線通信を介して基地局600と通信し、車内で必要な情報を車外から取得する、あるいは、車内の情報を外部へ送信する機能を持つ。基地局600の説明は省略する。
[1.2 IPアドレス及びMACアドレス一覧表]
図2は、本実施の形態におけるIPアドレス及びMACアドレスの一覧表の一例を示す図である。例えば、MACアドレスは、製造時に搭載される部品により一意に設定され、IPアドレスはシステム構築時に静的に与えられる。
[1.3 Ethernetスイッチの構成]
図3は、本実施の形態におけるEthernetスイッチ100aの構成の一例を示す図である。Ethernetスイッチ100aは、通信部101と、転送処理部102と、転送テーブル保持部103と、ホワイトリスト判定部104と、ホワイトリスト保持部105と、エラーメッセージ送信部106とを備える。
なお、Ethernetスイッチ100bは、Ethernetスイッチ100aと同様の構成であるため、説明は省略する。
通信部101は、Ethernetを介し、他のECUからメッセージを受信し、転送処理部102へ通知する。また、転送処理部102又はエラーメッセージ送信部106から通知された送信先ECUにメッセージを送信する。
転送処理部102は、転送テーブル保持部103から取得する転送テーブルと、ホワイトリスト判定部104の判定結果とに基づき、メッセージの転送可否を決定する。そして、転送処理部102は、メッセージが転送可能である場合、転送先を通信部101に通知する。転送処理部102は、メッセージが転送可能でない場合、メッセージが転送可能でないことをエラーメッセージ送信部106に通知してもよい。
転送テーブル保持部103は、転送テーブルを保持する。転送テーブルの詳細は、図9を用いて後述する。
ホワイトリスト判定部104は、ホワイトリスト保持部105が保持するホワイトリストと、転送処理部102より通知される受信メッセージとに応じて、メッセージに対する判定を行う。そして、ホワイトリスト判定部104は、判定結果を転送処理部102と、エラーメッセージ送信部106とに通知する。
ホワイトリスト保持部105は、メッセージの転送可否を判断するためのホワイトリストを保持する。ホワイトリストの詳細は、図10を用いて後述する。
エラーメッセージ送信部106は、転送処理部102又はホワイトリスト判定部104から通知された結果に基づき、エラーメッセージを送信するよう、通信部101に通知を行う。
[1.4 IVIの構成]
図4は、本実施の形態におけるIVI200の構成の一例を示す図である。IVI200は、通信部201と、メッセージ処理部202と、表示部203と、操作部204とを備える。
通信部201は、Ethernetを介し、他のECUからメッセージを受信し、メッセージ処理部202へメッセージを通知する。また、通信部201は、メッセージ処理部202から通知されたメッセージを他のECUへ送信する。
メッセージ処理部202は、通信部201から通知された受信メッセージから、表示対象の内容を抽出し、表示部203へ通知する。また、操作部204からの通知内容に応じて、送信対象のメッセージを作成し、通信部201へ通知する。
表示部203は、メッセージ処理部202から通知された表示対象の内容を画面に表示する処理を行う。
操作部204は、ドライバーによる操作に対応する内容をメッセージ処理部202へ通知する。
[1.5 ECUの構成]
図5は、本実施の形態におけるECU300aの構成の一例を示す図である。ECU300aは、通信部301と、メッセージ処理部302と、センサ通信部303とを備える。なお、ECU300b~300dは、ECU300aと同様の構成であるため、説明を省略する。
通信部301は、Ethernetを介し、他のECUからメッセージを受信し、メッセージ処理部302へ通知する。また、通信部301は、メッセージ処理部302から通知されたメッセージを他のECUへ送信する。
メッセージ処理部302は、通信部301から通知された受信メッセージから、センサ等に対する指示内容を抽出し、センサ通信部303へ通知する。また、メッセージ処理部302は、センサ通信部303からの通知内容に応じて、送信対象のメッセージを作成し、通信部301へ通知する。
センサ通信部303は、外部にあるセンサ等から情報を取得し、その情報の内容をメッセージ処理部302へ通知する。また、センサ通信部303は、メッセージ処理部302から通知された指示内容に応じて、外部のセンサ等へ指示を送る。
ECU300aの通信部301が他のECUへ送信するメッセージの一例は、図8を用いて後述する。
[1.6 CGWの構成]
図6は、本実施の形態におけるCGW400の構成の一例を示す図である。CGW400は、通信部401と、転送処理部402と、転送テーブル保持部403と、エラーメッセージ送信部404とを備える。
通信部401は、Ethernetを介し、他のECUからメッセージを受信し、転送処理部402へ通知する。また、通信部401は、転送処理部402又はエラーメッセージ送信部404から通知された通信先ECUにメッセージを送信する。
転送処理部402は、転送テーブル保持部403から取得する転送テーブルに基づき、転送先を通信部401に通知する。転送処理部402は、転送テーブルに基づき、メッセージが転送可能でない場合、メッセージが転送可能でないことをエラーメッセージ送信部404に通知してもよい。
転送テーブル保持部403は、転送テーブルを保持する。
エラーメッセージ送信部404は、転送処理部402から通知された結果に基づきエラーメッセージを送信するよう、通信部401に通知を行う。
[1.7 TCUの構成]
図7は、本実施の形態におけるTCU500の構成の一例を示す図である。TCU500は、車内通信部501と、メッセージ処理部502と、車外通信部503とを備える。
車内通信部501は、Ethernetを介し、他のECUからメッセージを受信し、メッセージ処理部502へ通知する。また、車内通信部501は、メッセージ処理部502から通知されたメッセージを他のECUへ送信する。
メッセージ処理部502は、車内通信部501から通知された受信メッセージから、外部に対する送信対象の内容を抽出し、車外通信部503へ通知する。また、メッセージ処理部502は、車外通信部503からの通知内容に応じて、車内に対する送信対象のメッセージを作成し、車内通信部501へ通知する。
車外通信部503は、車外にある基地局600と通信を行い、受信メッセージをメッセージ処理部502へ通知する。また、車外通信部503は、メッセージ処理部502から通知された送信対象の内容に応じて、車外の基地局600へメッセージを送信する。
[1.8 ECUから送信されるメッセージに含まれるフィールドの一例]
図8は、本実施の形態におけるECU300aから送信されるメッセージに含まれるフィールドの一例を示す図である。なお、ECU300b~300eから送信されるメッセージはECU300aから送信されるメッセージとほぼ同様であるため、ここでは説明は省略する。
MACヘッダには、送信元MACアドレスと、送信先MACアドレスとが含まれる。IPヘッダには、TTLと、送信元IPアドレスと、送信先IPアドレスとが含まれる。IPヘッダには、さらに、パケット種別が含まれていてもよい。IPペイロードには、センサデータ等のデータ本体が含まれる。例えば、IPレイヤにおいて、メッセージが装置を経由する度に、メッセージに含まれるTTLの値から1が減らされる。そして、メッセージが送信先に到達する前に、メッセージに含まれるTTLの値が0になれば、メッセージは破棄される。
本実施の形態では、ECU300aは、ECU300cにのみセンサデータを送信する。そのため、ECU300aは、送信元MACアドレス、及び、送信元IPアドレスにECU300aの情報を設定し、送信先MACアドレス、及び、送信先IPアドレスにECU300cの情報を設定する。また、ECU300aは、TTLに、途中に中継器を介さないことを示す1を設定する。
[1.9 転送テーブルの構成]
図9は、本実施の形態におけるEthernetスイッチ100aが持つ転送テーブルの構成の一例を示す図である。Ethernetスイッチ100bが持つ転送テーブルは、Ethernetスイッチ100aが持つ転送テーブルとほぼ同様であるため、ここでは説明を省略する。図9の転送テーブルでは、MACアドレスがEthernetポートに対応付けられている。
図9では、Ethernetスイッチ100aが、6つのEthernetポートを保持し、これらのポート番号は、ポートNo.1~6である。また、ポートNo.1~6の接続先MACアドレスは、それぞれ、0a:0a:0a:0a:0a:0a、0b:0b:0b:0b:0b:0b、0c:0c:0c:0c:0c:0c、0d:0d:0d:0d:0d:0d、0e:0e:0e:0e:0e:0e、及び、04:04:04:04:04:04である。
[1.10 TTLホワイトリストの構成]
図10は、本実施の形態におけるEthernetスイッチ100aが持つホワイトリストであるTTLホワイトリストの構成の一例を示す図である。Ethernetスイッチ100bが持つTTLホワイトリストは、Ethernetスイッチ100aが持つTTLホワイトリストとほぼ同様であるため、ここでは説明を省略する。
図10において、TTLホワイトリストは、送信元MACアドレスと、送信先MACアドレスと、TTLとのセットでそれぞれが構成される5つのセットを含む。これらの5つのセットは、正しい組み合わせである。メッセージがこれらの組み合わせに含まれている場合、メッセージは転送され、メッセージがこれらの組み合わせに含まれていない場合、メッセージはNGとして破棄される。
[1.11 TTLホワイトリストの判定シーケンス]
図11は、本実施の形態におけるEthernetスイッチ100aによる、TTLホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。
ステップS1001において、Ethernetスイッチ100aは、Ethernetスイッチ100aが保有するEthernetポートからメッセージを受信する。
ステップS1002において、Ethernetスイッチ100aは、受信したメッセージから、送信元MACアドレスを取得する。
ステップS1003において、Ethernetスイッチ100aは、受信したメッセージから、送信先MACアドレスを取得する。
ステップS1004において、Ethernetスイッチ100aは、受信したメッセージから、TTLの値を取得する。
ステップS1005において、Ethernetスイッチ100aは、受信したメッセージと、TTLホワイトリストとを照合する。そして、Ethernetスイッチ100aは、送信元MACアドレスと送信先MACアドレスとに応じたTTLホワイトリストのTTLの値に基づいて、受信したメッセージのTTLの値が正しい値かどうかをチェックする。つまり、Ethernetスイッチ100aは、受信したメッセージから得られるTTLがTTLホワイトリストに適合するか否かを判定する。
例えば、受信したメッセージのTTLの値が、TTLホワイトリストのTTLの値以下である場合、Ethernetスイッチ100aは、受信したメッセージのTTLの値が正しい値であると判定する。受信したメッセージのTTLの値が、TTLホワイトリストのTTLの値以下でない場合、Ethernetスイッチ100aは、受信したメッセージのTTLの値が正しい値でないと判定する。
受信したメッセージのTTLの値が正しい値の場合(Yesの場合)、Ethernetスイッチ100aは、ステップS1007の処理を実行する。受信したメッセージのTTLの値が正しい値でない場合(Noの場合)、Ethernetスイッチ100aは、ステップS1006の処理を実行する。
ステップS1006において、Ethernetスイッチ100aは、受信したメッセージを破棄する。
ステップS1007において、Ethernetスイッチ100aは、転送テーブルに従い、送信先MACアドレスを持つ機器がつながるポートを介してメッセージを送信する。
図8の受信メッセージの例では、送信元MACアドレスが0a:0a:0a:0a:0a:0aであり、送信先MACアドレスが0c:0c:0c:0c:0c:0cであり、TTLが1である。図10のTTLホワイトリストに図8のセットが適合するため、Ethernetスイッチ100aは、ステップS1005においてTTLの値は正しいと判定し、メッセージを転送する。
(実施の形態1の効果)
本実施の形態では、MACアドレスによるTTLホワイトリストに基づいて、予め決められた通信範囲を逸脱するようなメッセージが破棄される。したがって、データの流出が抑制される。
(実施の形態1の変形例1)
実施の形態1の基本的な態様では、MACアドレスに対応付けられたTTLホワイトリストが用いられているが、TTLホワイトリストはこれに限られない。本変形例では、IPレイヤで転送制御を行うL3スイッチにおいて、IPアドレスに対応付けられたTTLホワイトリストが用いられる。これにより、MACアドレスの偽装によらず、IPアドレスに基づいて、メッセージの正当性が適切に判定される。
また、本変形例では、図1に示されたEthernetスイッチ100aの代わりに、Ethernetスイッチ100aの変形例であるEthernetスイッチ110aが用いられる。Ethernetスイッチ110aは、IPレイヤで転送制御を行うL3スイッチである。Ethernetスイッチ100bについても、Ethernetスイッチ100bの代わりに、Ethernetスイッチ100bの変形例が用いられるが、Ethernetスイッチ110aとほぼ同じであるため、説明を省略する。
以下、IPレイヤで転送制御を行うEthernetスイッチ110aについて、図面を参照しながら説明する。なお、前述の実施の形態の基本的な態様と同一の内容については説明を省略する。
[1.12 Ethernetスイッチの構成]
図12は、本変形例におけるEthernetスイッチ110aの構成の一例を示す図である。Ethernetスイッチ110aは、通信部101と、転送処理部102と、転送テーブル保持部113と、ホワイトリスト判定部114と、ホワイトリスト保持部115と、エラーメッセージ送信部106とを備える。なお、図3と同様の構成については同一の符号を付与し、その説明は省略する。
転送テーブル保持部113は、転送テーブルを保持する。転送テーブルの詳細は、図13を用いて後述する。
ホワイトリスト判定部114は、ホワイトリスト保持部115が保持するホワイトリストと、転送処理部102より通知される受信メッセージとに応じて、メッセージに対する判定を行う。そして、ホワイトリスト判定部114は、判定結果を転送処理部102と、エラーメッセージ送信部106とに通知する。
ホワイトリスト保持部115は、メッセージの転送可否を判断するためのホワイトリストを保持する。ホワイトリストの詳細は、図14を用いて後述する。
[1.13 転送テーブルの構成]
図13は、本変形例におけるEthernetスイッチ110aが持つ転送テーブルの構成の一例を示す図である。図13の転送テーブルでは、IPアドレスがEthernetポートに対応付けられている。
図13では、Ethernetスイッチ110aが、6つのEthernetポートを保持し、これらのポート番号は、ポートNo.1~6である。また、ポートNo.1~6の接続先IPアドレスは、それぞれ192.168.0.1、192.168.0.2、192.168.0.3、192.168.0.4、192.168.0.5、及び、192.168.0.127、である。
[1.14 TTLホワイトリストの構成]
図14は、本変形例におけるEthernetスイッチ110aが持つホワイトリストであるTTLホワイトリストの構成の一例を示す図である。
図14において、TTLホワイトリストは、送信元IPアドレスと、送信先IPアドレスと、TTLとのセットでそれぞれが構成される5つのセットを含む。これらの5つのセットは、正しい組み合わせである。メッセージがこれらの組み合わせに含まれている場合、メッセージは転送され、メッセージがこれらの組み合わせに含まれていない場合、メッセージはNGとして破棄される。
[1.15 TTLホワイトリストの判定シーケンス]
図15は、本変形例におけるEthernetスイッチ110aによる、TTLホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。なお、図11と同様の処理については同一の番号を付与し、説明を省略する。
ステップS1102において、Ethernetスイッチ110aは、受信したメッセージから、送信元IPアドレスを取得する。
ステップS1103において、Ethernetスイッチ110aは、受信したメッセージから、送信先IPアドレスを取得する。
ステップS1105において、Ethernetスイッチ110aは、受信したメッセージと、TTLホワイトリストとを照合する。そして、Ethernetスイッチ110aは、送信元IPアドレスと送信先IPアドレスとに応じたTTLホワイトリストのTTLの値に基づいて、受信したメッセージのTTLの値が正しい値かどうかをチェックする。つまり、Ethernetスイッチ110aは、受信したメッセージから得られるTTLがTTLホワイトリストに適合するか否かを判定する。
例えば、受信したメッセージのTTLの値が、TTLホワイトリストのTTLの値以下である場合、Ethernetスイッチ110aは、受信したメッセージのTTLの値が正しい値であると判定する。受信したメッセージのTTLの値が、TTLホワイトリストのTTLの値以下でない場合、Ethernetスイッチ110aは、受信したメッセージのTTLの値が正しい値でないと判定する。
受信したメッセージのTTLの値が正しい値の場合(Yesの場合)、Ethernetスイッチ110aは、ステップS1108の処理を実行する。受信したメッセージのTTLの値が正しい値でない場合(Noの場合)、Ethernetスイッチ110aは、ステップS1006の処理を実行する。
ステップS1108において、Ethernetスイッチ110aは、受信したメッセージのTTLの値を1デクリメントして上書きする。
ステップS1109において、Ethernetスイッチ110aは、受信したメッセージのTTLの値が、0とは異なるかどうか、つまり0よりも大きいか否かをチェックする。受信したメッセージのTTLの値が0である場合(Noの場合)、Ethernetスイッチ110aは、ステップS1110の処理を実行する。受信したメッセージのTTLの値が0とは異なる場合(Yesの場合)、Ethernetスイッチ110aは、ステップS1107の処理を実行する。
ステップS1110において、Ethernetスイッチ110aは、受信したメッセージを破棄する。
ステップS1107において、Ethernetスイッチ110aは、転送テーブルに従い、送信先IPアドレスを持つ機器がつながるポートを介してメッセージを送信する。
(実施の形態1の変形例1の効果)
本変形例では、IPアドレスによるTTLホワイトリストによって、予め決められた通信範囲を逸脱するようなメッセージが、Ethernetスイッチで破棄される。また、MACアドレスの偽装によらず、IPアドレスに基づいて、メッセージの正当性が適切に判定される。
(実施の形態1の変形例2)
実施の形態1の変形例1では、静的なIPアドレスの固定のセットを用いたTTLホワイトリストが用いられている。本変形例では、システム開始後にInternet Control Message Protocol(以下ICMP)などを用いて変更される動的なIPアドレスのセットを含むTTLホワイトリストが用いられる。
これにより、静的にIPアドレスなどが取得されない環境、例えばDynamic Host Configuration Protocol(以下DHCP)などの環境下において、ECUの撤去又は置き換えなどの物理的な変更が発生しても、TTLホワイトリストを用いたメッセージの判定が適切に行われる。
また、本変形例では、図1に示されたEthernetスイッチ100aの代わりに、Ethernetスイッチ100aの変形例であるEthernetスイッチ120aが用いられる。Ethernetスイッチ120aは、IPレイヤで転送制御を行うL3スイッチであって、システム開始後に動的に変更されるTTLホワイトリストを保持する。Ethernetスイッチ100bについても、Ethernetスイッチ100bの代わりに、Ethernetスイッチ100bの変形例が用いられるが、Ethernetスイッチ120aとほぼ同じであるため、説明を省略する。
以下、システム開始後に動的に変更されるTTLホワイトリストを保持するEthernetスイッチ120aについて、図面を参照しながら説明する。なお、前述の実施の形態の基本的な態様又は変形例と同一の内容については説明を省略する。
[1.16 Ethernetスイッチの構成]
図16は、本変形例におけるEthernetスイッチ120aの構成の一例を示す図である。Ethernetスイッチ120aは、通信部121と、転送処理部102と、転送テーブル保持部123と、ホワイトリスト判定部114と、ホワイトリスト保持部125と、エラーメッセージ送信部106と、ホワイトリスト作成部127とを備える。なお、図3又は図12と、同様の構成については同一の符号を付与し、その説明は省略する。
通信部121は、Ethernetを介し、他のECUからメッセージを受信し、転送処理部102又はホワイトリスト作成部127へ通知する。また、通信部121は、転送処理部102、エラーメッセージ送信部106、又は、ホワイトリスト作成部127から通知された送信先ECUにメッセージを送信する。
ホワイトリスト保持部125は、ホワイトリスト作成部127から通知された、メッセージの転送可否を判断するためのホワイトリストを保持する。ホワイトリストの一例は、図14と同様であるため、その説明を省略する。
ホワイトリスト作成部127は、ICMPメッセージを作成し、通信部121へ通知する。また、ホワイトリスト作成部127は、通信部121から通知されたICMPのリプライメッセージを集計し、ホワイトリストを作成し、ホワイトリスト保持部125へ通知する。
例えば、ホワイトリストの作成は、不正な機器が車載ネットワークに接続されていないことが確認された状態で行われる。ホワイトリスト作成部127は、ホワイトリストの作成前に、通信部121を介して、ICMPメッセージの送信先に対して、チャレンジレスポンス認証等によって機器認証を行ってもよい。そして、ホワイトリスト作成部127は、通信部121を介して、機器認証が行われた装置に対して、ICMPメッセージを送信し、その応答に従って、ホワイトリストを作成してもよい。
また、ホワイトリスト作成部127は、ECUの撤去又は置き換えなどが発生した時に、ホワイトリストを作成し直してもよい。つまり、ホワイトリスト作成部127は、ECUの撤去又は置き換えなどが発生した時に、ホワイトリストを更新してもよい。
具体的には、ホワイトリスト作成部127は、ECUに割り当てられるIPアドレスの更新を検知して、ホワイトリストを更新してもよい。あるいは、ホワイトリスト作成部127は、周期的にホワイトリストを更新してもよい。これにより、ECUの撤去又は置き換えなどに伴って、ホワイトリストが変更される。
(実施の形態1の変形例2の効果)
本変形例では、DHCPにより動的に各ノードのIPアドレスが設定されるような環境下においても、動的に定められる通信範囲を逸脱するようなメッセージがEthernetスイッチで破棄される。
(実施の形態1の変形例3)
実施の形態1の変形例1では、メッセージとTTLホワイトリストとが照合され、メッセージがTTLホワイトリストに適合しない場合、メッセージが破棄される。本変形例では、メッセージがTTLホワイトリストに適合しない場合、TTLホワイトリストの値でメッセージにおけるTTLが更新される。これにより、全てのECUのそれぞれがメッセージにおけるTTLに適切な値を設定することが困難である場合でも、Ethernetスイッチにより適切な値が設定される。したがって、TTLホワイトリストが適切に適用される。
また、本変形例では、図1に示されたEthernetスイッチ100aの代わりに、Ethernetスイッチ100aの変形例であるEthernetスイッチ130aが用いられる。Ethernetスイッチ120aは、IPレイヤで転送制御を行うL3スイッチであって、TTLに適切な値を設定する機能を持つ。Ethernetスイッチ100bについても、Ethernetスイッチ100bの代わりに、Ethernetスイッチ100bの変形例が用いられるが、Ethernetスイッチ130aとほぼ同じであるため、説明を省略する。
以下、TTLに適切な値を設定する機能を持つEthernetスイッチ130aについて、図面を参照しながら説明する。なお、前述の実施の形態の基本的な態様又は変形例と同一の内容については説明を省略する。
[1.17 Ethernetスイッチの構成]
図17は、本変形例におけるEthernetスイッチ130aの構成の一例を示す図である。Ethernetスイッチ130aは、通信部101と、転送処理部132と、転送テーブル保持部103と、ホワイトリスト判定部134と、ホワイトリスト保持部105と、エラーメッセージ送信部106とを備える。なお、図3又は図12と、同一の構成については、同一の符号を付与し、その説明は省略する。
転送処理部132は、転送テーブル保持部103から取得する転送テーブルと、ホワイトリスト判定部134の判定結果とに応じて、受信メッセージのTTL値をホワイトリスト上のTTLの値で更新し、転送先を通信部101に通知する。
ホワイトリスト判定部134は、ホワイトリスト保持部105が保持するホワイトリストと、転送処理部132より通知される受信メッセージとに応じて、メッセージに対する判定を行う。そして、ホワイトリスト判定部134は、判定結果と、ホワイトリスト上のTTLの値を、転送処理部132と、エラーメッセージ送信部106とに通知する。
[1.18 ECUから送信されるメッセージに含まれるフィールドの一例]
図18は、本変形例におけるECU300aから送信されるメッセージに含まれるフィールドの一例を示す図である。なお、ECU300b~300eから送信されるメッセージはECU300aから送信されるメッセージとほぼ同様であるため、ここでは説明は省略する。
MACヘッダには、送信元MACアドレスと、送信先MACアドレスとが含まれる。IPヘッダには、TTLと、送信元IPアドレスと、送信先IPアドレスとが含まれる。IPヘッダには、さらに、パケット種別が含まれていてもよい。IPペイロードには、センサデータ等のデータ本体が含まれる。
本変形例では、ECU300aは、ECU300cにのみセンサデータを送信する。そのため、ECU300aは、送信元MACアドレス、及び、送信元IPアドレスにECU300aの情報を設定し、送信先MACアドレス、及び、送信先IPアドレスにECU300cの情報を設定する。また、ECU300aは、TTLに値を個別に設定せず、TTLに上限値である255を設定する。
[1.19 TTLホワイトリストの判定シーケンス]
図19は、本変形例におけるEthernetスイッチ130aによる、TTLホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。なお、図11と同様の処理については同一の番号を付与し、説明を省略する。
S1306において、Ethernetスイッチ130aは、TTLホワイトリストと合致しない場合(S1005でNoの場合)、受信したメッセージのTTLの値をTTLホワイトリストにおける値に更新する。そして、Ethernetスイッチ130aは、ステップS1007の処理を実行する。
(実施の形態1の変形例3の効果)
本変形例では、全てのECUのそれぞれが適切なTTLを設定することが困難である場合でも、Ethernetスイッチにより適切な値が設定される。したがって、TTLホワイトリストが適切に適用される。
(実施の形態2)
実施の形態1では、受信したメッセージに含まれる情報とホワイトリストとが照合される。本実施の形態では、受信したメッセージに含まれる情報を用いて、送信にかかる時間を取得し、送信にかかる時間とホワイトリストとが照合される。
また、本実施の形態では、図1に示されたEthernetスイッチ100aの代わりに、Ethernetスイッチ100aの変形例であるEthernetスイッチ1110aが用いられる。Ethernetスイッチ1110aは、IPレイヤで転送制御を行うL3スイッチであって、受信したメッセージに含まれる情報を用いて、送信にかかる時間を取得し、送信にかかる時間とホワイトリストとを照合する機能を持つ。Ethernetスイッチ100bについても、Ethernetスイッチ100bの代わりに、Ethernetスイッチ100bの変形例が用いられるが、Ethernetスイッチ1110aとほぼ同じであるため、説明を省略する。
本実施の形態では、受信したメッセージに含まれる情報を用いて、送信にかかる時間を取得し、送信にかかる時間とホワイトリストとを照合する機能を持つEthernetスイッチ1110aについて図面を参照しながら説明する。なお、前述の実施の形態又は変形例と同一の内容については説明を省略する。
[2.1 Ethernetスイッチの構成]
図20は、本実施の形態におけるEthernetスイッチ1110aの構成の一例を示す図である。Ethernetスイッチ1110aは、通信部1111と、転送処理部102と、転送テーブル保持部113と、ホワイトリスト判定部1114と、ホワイトリスト保持部1115と、エラーメッセージ送信部106と、RTT取得部1108とを備える。なお、図3又は図12と、同様の構成については同一の符号を付与し、その説明は省略する。
通信部1111は、Ethernetを介し、他のECUからメッセージを受信し、転送処理部102と、RTT取得部1108とへ通知する。また、通信部1111は、転送処理部102、エラーメッセージ送信部106、又は、RTT取得部1108から通知された送信先ECUにメッセージを送信する。
ホワイトリスト判定部1114は、ホワイトリスト保持部1115が保持するホワイトリストと、転送処理部102より通知される受信メッセージとに応じて、メッセージに対する判定を行う。そして、ホワイトリスト判定部1114は、判定結果を転送処理部102と、エラーメッセージ送信部106とに通知する。
ホワイトリスト保持部1115は、メッセージの転送可否を判断するためのRTTホワイトリストを保持する。RTTホワイトリストの詳細は、図21を用いて後述する。
[2.2 RTTホワイトリストの構成]
図21は、本実施の形態におけるEthernetスイッチ1110aが持つホワイトリストであるRTTホワイトリストの構成の一例を示す図である。
図21において、RTTホワイトリストは、送信元IPアドレスと、送信先IPアドレスと、RTTとのセットでそれぞれが構成される5つのセットを含む。これらの5つのセットは、正しい組み合わせである。メッセージがこれらの組み合わせに含まれている場合、メッセージは転送され、メッセージがこれらの組み合わせに含まれていない場合、メッセージはNGとして破棄される。
RTT(Round Trip Time)は、例えば、信号を発してから応答が返ってくるまでの時間であり、メッセージの送信にかかる時間に対応する。例えば、Ethernetスイッチ1110aが持つRTTホワイトリストにおけるRTTは、Ethernetスイッチ1110aが送信先IPアドレスに信号を送信してから応答が返ってくるまでの時間の上限に対応する。
[2.3 RTTホワイトリストの判定シーケンス]
図22は、本実施の形態におけるEthernetスイッチ1110aによる、RTTホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。なお、図11又は図15と同様の処理については同一の符号を付与し、その説明を省略する。
S2004において、Ethernetスイッチ1110aは、受信したメッセージの送信先のIPアドレス宛にICMPメッセージを送信し、その返答時間に基づいて、RTTの値を取得する。
Ethernetスイッチ1110aは、メッセージを受信する度に、メッセージに含まれる送信先にICMPメッセージを送信し、その返答時間に基づいて、RTTの値を取得してもよい。また、Ethernetスイッチ1110aは、IPCMメッセージを送信してRTTの値を取得してから所定の期間において、同じ送信先にIPCMメッセージを送信せずに、前回の送信結果に基づいて、RTTの値を取得してもよい。
S2005において、Ethernetスイッチ1110aは、受信したメッセージから取得されたRTTの値と、RTTホワイトリストとを照合する。そして、Ethernetスイッチ1110aは、受信したメッセージから取得されたRTTの値が、送信元IPアドレスと送信先IPアドレスとに応じたRTTホワイトリストの範囲内の値かどうかをチェックする。つまり、Ethernetスイッチ1110aは、受信したメッセージから取得されたRTTの値が、RTTホワイトリストに適合するか否かを判定する。
ここで、取得されたRTTの値がRTTホワイトリストの範囲内の値である場合(Yesの場合)、Ethernetスイッチ1110aは、ステップS1107の処理を実行する。一方、取得されたRTTの値がRTTホワイトリストの範囲内の値でない場合(Noの場合)、Ethernetスイッチ1110aは、ステップS1006の処理を実行する。
なお、Ethernetスイッチ1110aは、図15の例のように、メッセージに含まれるTTLのデクリメントを行ってもよい。
また、本実施の形態において、RTTは、Ethernetスイッチ1110aから送信先へ信号が送信されてから応答が返ってくるまでの時間に対応する。しかしながら、RTTは、送信元から送信先へ信号が送信されてから送信先から送信元へ応答が返ってくるまでの時間に対応していてもよい。この場合、Ethernetスイッチ1110aは、送信先に信号を送信してから応答を受信するまでの時間と、送信元に信号を送信してから応答を受信するまでの時間との合計時間をRTTとして取得してもよい。
(実施の形態2の効果)
本実施の形態では、IPアドレスによるRTTホワイトリストによって、予め決められた通信範囲を逸脱するようなメッセージがEthernetスイッチで破棄される。また、MACアドレスの偽装によらず、IPアドレスに基づいて、メッセージの正当性が適切に判定される。
(実施の形態2の変形例)
実施の形態2の基本的な態様では、RTTホワイトリストとして予め設定した固定のリストが用いられる。本変形例では、システム開始後にICMPなどを用いて動的に更新されるリストがRTTホワイトリストとして用いられる。
これにより、静的にIPアドレスなどが取得されない環境、例えばDHCPなどの環境下において、ECUの撤去又は置き換えなどの物理的な変更が発生しても、適切にメッセージの正当性が判定される。
また、本変形例では、図1に示されたEthernetスイッチ100aの代わりに、Ethernetスイッチ100aの変形例であるEthernetスイッチ1120aが用いられる。Ethernetスイッチ1120aは、IPレイヤで転送制御を行うL3スイッチであって、システム開始後に動的に変更されるRTTホワイトリストを保持する。Ethernetスイッチ100bについても、Ethernetスイッチ100bの代わりに、Ethernetスイッチ100bの変形例が用いられるが、Ethernetスイッチ1120aとほぼ同じであるため、説明を省略する。
以下、システム開始後に動的に更新されるホワイトリストを保持するEthernetスイッチ1120aについて、図面を参照しながら説明する。なお、前述の実施の形態又は変形例と同一の内容については説明を省略する。
[2.4 Ethernetスイッチの構成]
図23は、本変形例におけるEthernetスイッチ1120aの構成を示す図である。Ethernetスイッチ1120aは、通信部1121と、転送処理部102と、転送テーブル保持部113と、ホワイトリスト判定部1114と、ホワイトリスト保持部1125と、エラーメッセージ送信部106と、RTT取得部1108と、ホワイトリスト作成部1127とを備える。なお、図3、図12又は図20と、同様の構成については同一の符号を付与し、その説明は省略する。
通信部1121は、Ethernetを介し、他のECUからメッセージを受信し、転送処理部102、RTT取得部1108又はホワイトリスト作成部1127へ通知する。また、通信部1121は、転送処理部102、エラーメッセージ送信部106、RTT取得部1108、又は、ホワイトリスト作成部1127から通知された送信先ECUにメッセージを送信する。
ホワイトリスト保持部1125は、ホワイトリスト作成部1127から通知された、メッセージの転送可否を判断するためのホワイトリストを保持する。ホワイトリストの一例は、図21と同様であるため、その説明を省略する。
ホワイトリスト作成部1127は、ICMPメッセージを作成し、通信部1121へ通知する。また、ホワイトリスト作成部1127は、通信部1121から通知されたICMPのリプライメッセージを集計し、ホワイトリストを作成し、ホワイトリスト保持部1125へ通知する。
(実施の形態2の変形例の効果)
本変形例では、DHCPにより動的に各ノードのIPアドレスが設定されるような環境下においても、動的に定められる通信範囲を逸脱するようなメッセージがEthernetスイッチで破棄される。したがって、データの流出が抑制される。
(実施の形態3)
本実施の形態では、メッセージの正当性の判定において、車両の状態に対応付けられたTTLホワイトリストが用いられる。これにより、車両の状態に応じて、メッセージの正当性が適切に判定される。
[3.1 車載ネットワークシステムの全体構成]
図24は、本実施の形態における車載ネットワークシステムの全体構成の一例を示す図である。車載ネットワークシステム40は、Ethernetスイッチ140a、140bと、IVI200と、ECU300aと、CGW400と、TCU500とを備える。なお、図1と同様の構成については同一の符号を付与し、その説明は省略する。
Ethernetスイッチ140aと、Ethernetスイッチ140bとは、それぞれ、CGW400及びEthernetケーブルを介して接続されている。また、Ethernetスイッチ140aは、ECU300aと、Ethernetケーブルを介して接続されている。また、Ethernetスイッチ140bは、IVI200と、TCU500と、それぞれEthernetケーブルを介して接続されている。Ethernetスイッチ140a及び140bは、それぞれのポートから受信するメッセージを、その他のポート、あるいは、全てのポートに転送する機能を持つ。
本実施の形態において、ECU300aは、低電力GPS(Global Positioning System)360に接続されている。また、ECU300aは、低電力GPS360から情報を取得し、取得された情報をメッセージとして別のECUに送信する機能を持つ。
また、図示されない多数のECUが車両に搭載されていてもよい。そして、車両の多数の装置が、多数のECUによって制御されてもよい。
そして、多数のECU及び多数の装置のうち、いくつかのECU及び装置が車両の走行中のみにおいて動作してもよい。また、いくつかのECU及び装置が車両の停車中のみにおいて動作してもよい。また、いくつかのECU及び装置が車両の走行中及び停車中の両方において動作してもよい。ECU300a及び低電力GPS360は、車両の走行中及び停車中の両方において動作するECU及び装置の例である。
車両が走行しているか停車しているかの状態の変化に応じて、通信範囲も変化する可能性がある。そのため、Ethernetスイッチ140a及び140bは、車両の状態に応じたホワイトリストを保持する。
[3.2 IPアドレス及びMACアドレス一覧表]
図25は、本実施の形態におけるIPアドレス及びMACアドレスの一覧表の一例を示す図である。図25の例は、図2の例と基本的に同じであるが、図25の例では、便宜上、図2の例の一部が省略されている。また、より多くのECUが車両に搭載される場合、より多くのECUのIPアドレス及びMACアドレスが一覧表に含まれ得る。
[3.3 Ethernetスイッチの構成]
図26は、本実施の形態におけるEthernetスイッチ140aの構成の一例を示す図である。Ethernetスイッチ140aは、通信部101と、転送処理部102と、転送テーブル保持部103と、ホワイトリスト判定部144と、ホワイトリスト保持部145と、エラーメッセージ送信部106とを備える。
なお、Ethernetスイッチ140bは、Ethernetスイッチ140aと同様の構成であるため、説明は省略する。また、図3と同様の構成については同一の符号を付与し、その説明は省略する。
ホワイトリスト判定部144は、車両の状態と、ホワイトリスト保持部145が保持するホワイトリストと、転送処理部102より通知される受信メッセージとに応じて、メッセージに対する判定を行う。そして、ホワイトリスト判定部144は、判定結果を転送処理部102と、エラーメッセージ送信部106とに通知する。
ホワイトリスト保持部145は、車両の状態に応じてメッセージの転送可否を判断するためのホワイトリストを保持する。ホワイトリストの詳細は、図29を用いて後述する。
[3.4 ECUから送信されるメッセージに含まれるフィールドの一例]
図27は、本実施の形態におけるECU300aから送信されるメッセージに含まれるフィールドの一例を示す図である。
MACヘッダには、送信元MACアドレスと、送信先MACアドレスとが含まれる。IPヘッダには、TTLと、送信元IPアドレスと、送信先IPアドレスとが含まれる。IPヘッダには、さらに、パケット種別が含まれていてもよい。IPペイロードには、センサデータ等のデータ本体が含まれる。
ECU300aは、送信元MACアドレス及び送信元IPアドレスにECU300aの情報を設定する。そして、ECU300aは、送信先MACアドレス及び送信先IPアドレスに、適宜、送信先の情報を設定する。図27の送信先MACアドレス及び送信先IPアドレスには、仮の値が示されている。例えば、ECU300aは、図24に図示されない送信先のECUのMACアドレス及びIPアドレスをメッセージにおける送信先MACアドレス及び送信先IPアドレスに設定する。
また、図27の例において、ECU300aは、メッセージにおけるTTLに、31回の転送許容回数を示す32を設定する。
[3.5 転送テーブルの構成]
図28は、本実施の形態におけるEthernetスイッチ140aが持つ転送テーブルの構成の一例を示す図である。Ethernetスイッチ140bが持つ転送テーブルは、Ethernetスイッチ140aが持つ転送テーブルとほぼ同様であるため、ここでは説明を省略する。図28の転送テーブルでは、MACアドレスがEthernetポートに対応付けられている。
図28では、Ethernetスイッチ140aが、2つのEthernetポートを保持し、これらのポート番号は、ポートNo.1~2である。また、ポートNo.1~2の接続先MACアドレスは、それぞれ、0a:0a:0a:0a:0a:0a、及び、04:04:04:04:04:04である。
また、Ethernetスイッチ140aは、より多くのEthernetポートを保持していてもよい。そして、より多くのECUが車両に搭載される場合、より多くのECUのMACアドレスが、それぞれ、より多くのEthernetポートに対応付けられていてもよい。
[3.6 TTLホワイトリストの構成]
図29は、本実施の形態におけるEthernetスイッチ140aが持つホワイトリストであるTTLホワイトリストの構成の一例を示す図である。Ethernetスイッチ140bが持つTTLホワイトリストは、Ethernetスイッチ140aが持つTTLホワイトリストとほぼ同様であるため、ここでは説明を省略する。
図29において、TTLホワイトリストは、送信元MACアドレスと、送信先MACアドレスと、状態と、TTLとのセットでそれぞれが構成される2つのセットを含む。これらの2つのセットは、正しい組み合わせである。メッセージがこれらの組み合わせに含まれている場合、メッセージは転送され、メッセージがこれらの組み合わせに含まれていない場合、メッセージはNGとして破棄される。
TTLホワイトリストにおける状態は、車両の状態に対応し、例えば、車両が停車している状態、及び、車両が走行している状態を含む複数の状態のうちのいずれかである。また、図29の例において、送信先MACアドレスが「*」で示されている。この「*」は、あらゆるMACアドレスに対応する。
図29の例におけるTTLホワイトリストでは、送信元がECU300aであり、車両が停車中であれば、送信先にかかわらず、TTLが32に制限される。また、送信元がECU300aであり、車両が走行中であれば、送信先にかかわらず、TTLが2に制限される。
[3.7 TTLホワイトリストの判定シーケンス]
図30は、本実施の形態におけるEthernetスイッチ140aによる、TTLホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。なお、図11と同様の処理については同一の番号を付与し、説明を省略する。
ステップS1401において、Ethernetスイッチ140aは、車両の状態を取得する。Ethernetスイッチ140aは、図示しないECU又はセンサ等から車両の状態を取得してもよい。
ステップS1405において、Ethernetスイッチ140aは、受信されたメッセージと、TTLホワイトリストとを車両の状態に応じて照合する。そして、Ethernetスイッチ140aは、送信元MACアドレスと送信先MACアドレスと車両の状態とに応じたTTLホワイトリストのTTLの値に基づいて、受信したメッセージのTTLの値が正しい値かどうかをチェックする。つまり、Ethernetスイッチ140aは、受信されたメッセージから得られるTTLが、TTLホワイトリストに適合するか否かを判定する。
例えば、受信したメッセージのTTLの値が、TTLホワイトリストのTTLの値以下である場合、Ethernetスイッチ140aは、受信したメッセージのTTLの値が正しい値であると判定する。受信したメッセージのTTLの値が、TTLホワイトリストのTTLの値以下でない場合、Ethernetスイッチ140aは、受信したメッセージのTTLの値が正しい値でないと判定する。本実施の形態において、TTLホワイトリストのTTLの値は、車両の状態に依存する。
受信したメッセージのTTLの値が正しい値の場合(Yesの場合)、Ethernetスイッチ140aは、ステップS1007の処理を実行する。受信したメッセージのTTLの値が正しい値でない場合(Noの場合)、Ethernetスイッチ140aは、ステップS1006の処理を実行する。
図27の受信メッセージの例では、送信元MACアドレスが0a:0a:0a:0a:0a:0aであり、TTLが32である。
車両が停車中において、図29のTTLホワイトリストに図27のセットが適合するため、Ethernetスイッチ140aは、ステップS1405においてTTLの値は正しいと判定し、メッセージを転送する。一方、車両が走行中において、図29のTTLホワイトリストに図27のセットが適合しないため、Ethernetスイッチ140aは、ステップS1405においてTTLの値は正しくないと判定し、メッセージを破棄する。
(実施の形態3の効果)
本実施の形態では、MACアドレスによるTTLホワイトリストによって、車両の状態に応じた通信範囲を逸脱するようなメッセージがEthernetスイッチで破棄される。
(実施の形態3の変形例)
実施の形態3の基本的な態様では、車両の状態と、送信元のMACアドレスと、送信先のMACアドレスと、TTLとが対応付けられたTTLホワイトリストが用いられる。本変形例では、車両の状態と、送信元のIPアドレスと、送信先のIPアドレスと、TTLとが対応付けられたTTLホワイトリストが用いられる。
これにより、車両の状態、及び、IPアドレスに応じて、メッセージの正当性が適切に判定される。そして、例えば、IPレイヤで転送制御を行うL3スイッチにおいて、車両の状態に応じて、メッセージの正当性が適切に判定され、メッセージの転送及び破棄が適切に制御される。
以下、IPレイヤで転送制御を行うEthernetスイッチ140aについて、図面を参照しながら説明する。なお、前述の実施の形態又は変形例と同一の内容については説明を省略する。また、Ethernetスイッチ140bは、Ethernetスイッチ140aと同様の構成であるため、説明は省略する。
[3.8 Ethernetスイッチの構成]
本変形例におけるEthernetスイッチ140aの構成は、図26に示された実施の形態3の基本的な態様におけるEthernetスイッチ140aの構成とほぼ同じである。ただし、転送テーブル保持部103が保持する転送テーブルの詳細、ホワイトリスト判定部144が行う判定処理の詳細、及び、ホワイトリスト保持部145が保持するホワイトリストの詳細が、実施の形態3の基本的な態様とは異なる。
[3.9 転送テーブルの構成]
本変形例における転送テーブルでは、MACアドレスの代わりにIPアドレスがEthernetポートに対応付けられている。具体的には、図28の例における転送テーブルが、MACアドレスの代わりにIPアドレスを含むように変更される。そして、0a:0a:0a:0a:0a:0aの代わりに192.168.0.1が用いられ、04:04:04:04:04:04の代わりに192.168.0.127が用いられる。
[3.10 TTLホワイトリストの構成]
図31は、本変形例におけるEthernetスイッチ140aが持つホワイトリストであるTTLホワイトリストの構成の一例を示す図である。
図31において、TTLホワイトリストは、送信元IPアドレスと、送信先IPアドレスと、状態と、TTLとのセットでそれぞれが構成される2つのセットを含む。これらの2つのセットは、正しい組み合わせである。メッセージがこれらの組み合わせに含まれている場合、メッセージは転送され、メッセージがこれらの組み合わせに含まれていない場合、メッセージはNGとして破棄される。
図29と同様に、図31に示されたTTLホワイトリストにおける状態は、車両の状態に対応し、例えば、車両が停車している状態、及び、車両が走行している状態を含む複数の状態のうちのいずれかである。また、図31の例において、送信先IPアドレスが「*」で示されている。この「*」は、あらゆるIPアドレスに対応する。
また、図29の例と同様に、図31の例におけるTTLホワイトリストでは、送信元がECU300aであり、車両が停車中であれば、送信先にかかわらず、TTLが32に制限される。また、送信元がECU300aであり、車両が走行中であれば、送信先にかかわらず、TTLが2に制限される。
[3.11 TTLホワイトリストの判定シーケンス]
図32は、本変形例におけるEthernetスイッチ140aによる、TTLホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。なお、図30又は図15と同様の処理については同一の番号を付与し、説明を省略する。
ステップS1505において、Ethernetスイッチ140aは、受信したメッセージと、TTLホワイトリストとを車両の状態に応じて照合する。そして、Ethernetスイッチ140aは、送信元IPアドレスと送信先IPアドレスと車両の状態に応じたTTLホワイトリストのTTLの値に基づいて、受信したメッセージのTTLの値が正しい値かどうかをチェックする。つまり、Ethernetスイッチ140aは、受信したメッセージから得られるTTLが、TTLホワイトリストに適合するか否かを判定する。
例えば、受信したメッセージのTTLの値が、TTLホワイトリストのTTLの値以下である場合、Ethernetスイッチ140aは、受信したメッセージのTTLの値が正しい値であると判定する。受信したメッセージのTTLの値が、TTLホワイトリストのTTLの値以下でない場合、Ethernetスイッチ140aは、受信したメッセージのTTLの値が正しい値でないと判定する。
受信したメッセージのTTLの値が正しい値の場合(Yesの場合)、Ethernetスイッチ140aは、ステップS1108の処理を実行する。受信したメッセージのTTLの値が正しい値でない場合(Noの場合)、Ethernetスイッチ140aは、ステップS1006の処理を実行する。
(実施の形態3の変形例の効果)
本変形例では、車両の状態、及び、IPアドレスに応じて、メッセージの正当性が適切に判定される。そして、例えば、IPレイヤで転送制御を行うL3スイッチにおいて、車両の状態に応じて、メッセージの正当性が適切に判定され、メッセージの転送及び破棄が適切に制御される。
(実施の形態4)
本実施の形態では、実施の形態2と同様にRTTホワイトリストが用いられ、かつ、実施の形態3と同様に車両の状態に応じてメッセージの正当性が判定される。
また、本実施の形態では、図24に示された実施の形態3のEthernetスイッチ140aの代わりに、Ethernetスイッチ140aの変形例であるEthernetスイッチ1140aが用いられる。Ethernetスイッチ140bについても、Ethernetスイッチ140bの代わりに、Ethernetスイッチ140bの変形例が用いられるが、Ethernetスイッチ1140aとほぼ同じであるため、説明を省略する。
以下、本実施の形態におけるEthernetスイッチ1140aについて図面を参照しながら説明する。なお、前述の実施の形態又は変形例と同一の内容については説明を省略する。
[4.1 Ethernetスイッチの構成]
図33は、本実施の形態におけるEthernetスイッチ1140aの構成の一例を示す図である。Ethernetスイッチ1140aは、通信部1111と、転送処理部102と、転送テーブル保持部113と、ホワイトリスト判定部1144と、ホワイトリスト保持部1145と、エラーメッセージ送信部106と、RTT取得部1108とを備える。
なお、図3又は図12と、同様の構成については同一の符号を付与し、その説明は省略する。
ホワイトリスト判定部1144は、ホワイトリスト保持部1145が保持するホワイトリストと、転送処理部102より通知される受信メッセージとに応じて、メッセージに対する判定を行う。そして、ホワイトリスト判定部1144は、判定結果を転送処理部102と、エラーメッセージ送信部106とに通知する。ホワイトリスト判定部1144が行う判定の詳細は、図35を用いて後述する。
ホワイトリスト保持部1145は、メッセージの転送可否を判断するためのRTTホワイトリストを保持する。ホワイトリスト保持部1145が保持するRTTホワイトリストの詳細は、図34を用いて後述する。
[4.2 RTTホワイトリストの構成]
図34は、本実施の形態におけるEthernetスイッチ1140aが持つホワイトリストであるRTTホワイトリストの構成の一例を示す図である。
図34において、RTTホワイトリストは、送信元IPアドレスと、送信先IPアドレスと、状態と、RTTとのセットでそれぞれが構成される2つのセットを含む。これらの2つのセットは、正しい組み合わせである。メッセージがこれらの組み合わせに含まれている場合、メッセージは転送され、メッセージがこれらの組み合わせに含まれていない場合、メッセージはNGとして破棄される。
図31と同様に、図34に示されたRTTホワイトリストにおける状態は、車両の状態に対応し、例えば、車両が停車している状態、及び、車両が走行している状態を含む複数の状態のうちのいずれかである。また、図34において、送信先IPアドレスが「*」で示されている。この「*」は、あらゆるIPアドレスに対応する。
また、図34の例におけるRTTホワイトリストでは、送信元がECU300aであり、車両が停車中であれば、送信先にかかわらず、RTTが32[msec]に制限される。また、送信元がECU300aであり、車両が走行中であれば、送信先にかかわらず、RTTが2[msec]に制限される。
[4.3 RTTホワイトリストの判定シーケンス]
図35は、本実施の形態におけるEthernetスイッチ1140aによる、RTTホワイトリストを用いたメッセージの判定シーケンスの一例を示す図である。なお、図22又は図30と同様の処理については同一の符号を付与し、その説明を省略する。
S2405において、Ethernetスイッチ1140aは、受信したメッセージから取得されたRTTの値と、RTTホワイトリストとを車両の状態に応じて照合する。そして、Ethernetスイッチ1140aは、受信したメッセージから取得されたRTTの値が、送信元IPアドレスと送信先IPアドレスと車両の状態とに応じたRTTホワイトリストの範囲内の値かどうかをチェックする。
つまり、Ethernetスイッチ1140aは、受信したメッセージから取得されたRTTの値が、RTTホワイトリストに適合するか否かを判定する。取得されたRTTの値がRTTホワイトリストの範囲内の値である場合(Yesの場合)、Ethernetスイッチ1140aは、ステップS1107の処理を実行する。取得されたRTTの値がRTTホワイトリストの範囲内の値でない場合(Noの場合)、Ethernetスイッチ1140aは、ステップS1006の処理を実行する。
(実施の形態4の効果)
本実施の形態では、IPアドレスによるRTTホワイトリストによって、車両の状態に応じた通信範囲を逸脱するようなメッセージがEthernetスイッチで破棄される。
(その他変形例)
通信装置の態様を上記の複数の実施の形態及び複数の変形例に基づいて説明してきたが、通信装置の態様は、上記の複数の実施の形態及び複数の変形例に限定されない。通信装置の態様は、以下のような態様であってもよい。
(1)上記の複数の実施の形態及び複数の変形例において、Ethernetスイッチが示されているが、Ethernetスイッチは通信装置の例であり、通信装置はメッセージを中継する如何なる装置であってもよい。例えば、CGW、各ドメインに配置されるドメインコントローラ、又は、Controller Area NetworkとEthernetとの間の変換装置などであってもよい。また、通信装置は、メッセージを中継せずに、メッセージの正当性を判定する装置であってもよい。
(2)上記の複数の実施の形態及び複数の変形例において、Ethernetスイッチは、ホワイトリストを保持し、ホワイトリストに適合するメッセージを転送し、ホワイトリストに適合しないメッセージを破棄している。しかし、Ethernetスイッチは、ブラックリストを保持し、ブラックリストに適合しないメッセージを転送し、ブラックリストに適合するメッセージを破棄してもよい。また、Ethernetスイッチは、ホワイトリスト及びブラックリストの両方を保持してもよい。
(3)上記の複数の実施の形態及び複数の変形例において、Ethernetスイッチは、ホワイトリストを保持し、ホワイトリストに適合しないメッセージを破棄している。しかし、Ethernetスイッチは、メッセージがホワイトリストに適合しない場合、メッセージを転送しつつ、非適合の結果をログとして保存するとしてもよい。ログを保存する処理は、エラーメッセージ送信部によって行われてもよいし、転送処理部によって行われてもよい。また、ログは、図示しないログ保持部に保存されてもよい。
また、Ethernetスイッチは、メッセージがホワイトリストに適合しない場合、送信先へメッセージを転送しつつ、ICMPを使って、送信元へ判定結果に応じたメッセージを通知してもよい。この通知は、通信部を介して、エラーメッセージ送信部によって行われてもよいし、転送処理部によって行われてもよい。
また、Ethernetスイッチは、メッセージの種別ごとに対応するアクションを切り替えるよう、リストに種別及び対応アクションの項目を保持してもよい。例えば、Ethernetスイッチは、特定の種別のメッセージを破棄しないが、判定結果を常にログとして保存してもよい。あるいは、Ethernetスイッチは、特定の種別のメッセージを破棄しないが、判定結果がNGだった場合のみ判定結果をログとして保存してもよい。メッセージの種別に代えて、メッセージの送信元又は送信先が用いられてもよい。
(4)実施の形態1の変形例2、及び、実施の形態2の変形例において、動的な環境の一例としてDHCP環境が説明されている。しかし、Ethernetスイッチは、DHCPの環境に限らず、サービスごとに通信先を変えるSOME/IPに対応する環境下において、サービスディスカバリーのプロトコルによる通信関係が決定される度に、ICMPなどを用いて、TTLホワイトリスト又はRTTホワイトリストを更新してもよい。
つまり、DHCPに限らず、SOME/IPに従って、送信元のIPアドレス、又は、送信先のIPアドレスが変更されてもよい。そして、送信元のIPアドレス、又は、送信先のIPアドレスの変更に伴って、TTLホワイトリスト又はRTTホワイトリストが変更されてもよい。
(5)実施の形態1の変形例3では、Ethernetスイッチが、MACアドレスに対応付けられたホワイトリストを持つ。しかし、Ethernetスイッチが、IPアドレスに対応付けられたホワイトリストを持っていてもよい。
また、実施の形態1の変形例3では、メッセージのTTLがホワイトリストに適合しない場合、Ethernetスイッチがホワイトリストの値を使ってメッセージを更新する。しかし、更新の態様は、実施の形態1の変形例3に示された例に限定されない。例えば、Ethernetスイッチは、ECUごとに予め設定される特定の値に適合するメッセージのみ、ホワイトリストの値を使って更新してもよい。また、Ethernetスイッチは、ECUごとに予め設定される特定の値をホワイトリストに別途保持してもよい。
(6)上記の複数の実施の形態及び複数の変形例において、車載ネットワークはEthernetのネットワークであるが、車載ネットワークはEthernetのネットワークに限定されない。車載ネットワークは、CAN、CAN-FD、LIN、又は、Flexrayであってもよいし、これらの全部又は一部が組み合わされたネットワークであってもよい。また、Ethernetに対応するIEEE802.3規格等に適合する有線LANが用いられてもよい。
また、上記の複数の実施の形態及び複数の変形例において、自動車に搭載される車載ネットワークにおけるサイバーセキュリティ対策が説明されている。本開示のサイバーセキュリティ対策の適用範囲は、自動車に搭載される車載ネットワークに限られない。本開示のサイバーセキュリティ対策は、建機、農機、船舶、鉄道、又は、飛行機などのモビリティに搭載されるモビリティネットワークに適用されてもよい。すなわち、モビリティネットワーク及びモビリティネットワークシステムにおいて本開示のサイバーセキュリティ対策は適用可能である。
(7)上記の複数の実施の形態及び複数の変形例における各装置は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレイユニット、キーボード及びマウスなどを備えるコンピュータシステムである。RAM又はハードディスクユニットには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するための、コンピュータに対する指令を示す命令コードの複数の組み合わせで構成される。
(8)上記の複数の実施の形態及び複数の変形例における各装置を構成する構成要素は、例えば、電気回路である。複数の構成要素は、全体として1つの電気回路に対応していてもよいし、それぞれ別々の複数の電気回路に対応していてもよい。また、これらの電気回路は、所定の動作を行うための専用のハードウェアに対応していてもよいし、所定の動作を行うためのコンピュータプログラム等を実行する汎用のハードウェアに対応していてもよい。
また、情報を保持する構成要素はメモリであってもよいし、情報を処理する構成要素はプロセッサであってもよい。
(9)上記の複数の実施の形態及び複数の変形例における各装置を構成する構成要素の一部又は全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)で構成されていてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、及び、RAMなどを含んで構成されるコンピュータシステムに対応する。RAMには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、システムLSIは、その機能を達成する。
また、上記の各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部又はすべてを含むように1チップ化されてもよい。
また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、又は、ウルトラLSIと呼称される場合もある。また、集積回路は、LSIに限られず、専用回路又は汎用プロセッサで実現されてもよい。また、LSI製造後にプログラミング可能なFPGA(Field Programmable Gate Array)、又は、LSI内部の回路セルの接続及び設定を再構成可能なリコンフィギュラブル・プロセッサが利用されても良い。
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路の技術が登場すれば、当然、その技術を用いて機能ブロックが集積化されてもよい。バイオ技術の適用等が可能性としてありえる。
(10)上記の各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なICカード又は単体のモジュールで構成されていてもよい。ICカード又はモジュールは、マイクロプロセッサ、ROM及びRAMなどを備えるコンピュータシステムで用いられる。ICカード又はモジュールは、上記の超多機能LSIを含んでもよい。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、ICカード又はモジュールは、その機能を達成する。このICカード又はこのモジュールは、耐タンパ性を有してもよい。
(11)本開示は、上記の複数の実施の形態及び複数の変形例において示された方法として用いられてもよい。また、本開示は、これらの方法をコンピュータが実行するためのコンピュータプログラムとして用いられてもよいし、コンピュータプログラムで構成されるデジタル信号として用いられてもよい。
また、本開示は、コンピュータプログラム又はデジタル信号が記録されたコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(登録商標) Disc)、又は、半導体メモリなどに用いられてもよい。また、本開示は、これらの記録媒体に記録されているコンピュータプログラム又はデジタル信号に用いられてもよい。
また、コンピュータプログラム又はデジタル信号は、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、又は、データ放送等を経由して伝送されてもよい。
また、マイクロプロセッサとメモリとを備えるコンピュータシステムにおいて、メモリが、コンピュータプログラムを記録しており、マイクロプロセッサが、コンピュータプログラムに従って動作してもよい。
また、コンピュータプログラム又はデジタル信号が、記録媒体に記録されて移送されることにより、あるいは、ネットワーク等を経由して移送されることにより、独立した他のコンピュータシステムにおいて用いられてもよい。
(12)上記の複数の実施の形態及び上記の複数の変形例が部分的又は全体的に組み合わされてもよい。例えば、特定の実施の形態の変形例が、他の実施の形態に適用されてもよい。
(結び)
以下に、上記の複数の実施の形態及び上記の複数の変形例等に示された基本的な構成及び代表的な変形例等を示す。これらは、部分的又は全体的に互いに組み合わされてもよいし、上記の実施の形態等の一部と組み合わされてもよい。また、以下に示されていない構成要素は、実装されなくてもよい。
(1)例えば、本開示の一態様における通信装置(100a、100b、110a、120a、130a、140a、140b、1110a、1120a、1140a)は、モビリティネットワークに接続される。モビリティネットワークは、モビリティに搭載されるネットワークであり、複数の電子制御装置が通信に用いるネットワークである。
通信装置(100a、100b、110a、120a、130a、140a、140b、1110a、1120a、1140a)は、保持部(105、115、125、145、1115、1125、1145)と、受信部(101、121、1111、1121)と、判定部(104、114、134、144、1114、1144)とを備える。
保持部(105、115、125、145、1115、1125、1145)は、モビリティネットワーク上のメッセージに対して定められる転送可能な経路範囲を示す範囲情報を保持する。受信部(101、121、1111、1121)は、モビリティネットワーク上のメッセージを受信する。判定部(104、114、134、144、1114、1144)は、受信されたメッセージの正当性を、範囲情報を用いて判定する。
これにより、通信装置(100a、100b、110a、120a、130a、140a、140b、1110a、1120a、1140a)は、モビリティネットワーク上のメッセージが想定の範囲を超えて転送されることを抑制することができ、データの流出を抑制することができる。
(2)例えば、上記の通信装置(100a、100b、110a、120a、130a、140a、140b)において、範囲情報は、TTL(Time To Live)の範囲を転送可能な経路範囲として示す。そして、判定部(104、114、134、144)は、受信されたメッセージの正当性を、受信されたメッセージに含まれるTTLの値と、範囲情報によって示されるTTLの範囲との比較により判定する。
これにより、通信装置(100a、100b、110a、120a、130a、140a、140b)は、メッセージにTTLの値が適切に設定されているか否かに従って、メッセージの正当性を判定することができる。したがって、通信装置(100a、100b、110a、120a、130a、140a、140b)は、メッセージが想定の範囲を超えて転送されることを抑制することができ、データの流出を抑制することができる。
(3)例えば、上記の通信装置(1110a、1120a、1140a)において、範囲情報は、RTT(Round Trip Time)の範囲を転送可能な経路範囲として示す。そして、判定部(1114、1144)は、受信されたメッセージの正当性を、受信されたメッセージに含まれる情報を用いて導出されるRTTの値と、範囲情報によって示されるRTTの範囲との比較により判定する。
これにより、通信装置(1110a、1120a、1140a)は、メッセージに対するRTTの値が適切な範囲であるか否かに従って、メッセージの正当性を判定することができる。したがって、通信装置(1110a、1120a、1140a)は、メッセージが想定の範囲を超えて転送されることを抑制することができ、データの流出を抑制することができる。
(4)例えば、上記の通信装置(100a、100b、110a、120a、130a、140a、140b、1110a、1120a、1140a)において、範囲情報は、送信元又は送信先に応じて定められる転送可能な経路範囲を示す。これにより、通信装置(100a、100b、110a、120a、130a、140a、140b、1110a、1120a、1140a)は、送信元又は送信先に応じて定められる転送可能な経路範囲を示す範囲情報を用いて、メッセージの正当性を適切に判定することができる。
(5)例えば、上記の通信装置(100a、100b、140a、140b)において、範囲情報は、送信元のMACアドレス、又は、送信先のMACアドレスに応じて定められる転送可能な経路範囲を示す。これにより、通信装置(100a、100b、140a、140b)は、例えばMACアドレスを用いてメッセージを転送するL2スイッチである場合でも、MACアドレスに応じて定められる転送可能な経路範囲を示す範囲情報を用いて、メッセージの正当性を適切に判定することができる。
(6)例えば、上記の通信装置(110a、120a、130a、1110a、1120a、1140a)において、範囲情報は、送信元のIPアドレス、又は、送信先のIPアドレスに応じて定められる転送可能な経路範囲を示す。これにより、通信装置(110a、120a、130a、1110a、1120a、1140a)は、例えばIPアドレスを用いてメッセージを転送するL3スイッチである場合でも、IPアドレスに応じて定められる転送可能な経路範囲を示す範囲情報を用いて、メッセージの正当性を適切に判定することができる。
(7)例えば、上記の通信装置(140a、140b、1140a)において、範囲情報は、モビリティの状態に応じて定められる転送可能な経路範囲を示す。これにより、通信装置(140a、140b、1140a)は、モビリティの状態の変化に応じて転送可能な経路範囲が変化する場合でも、モビリティの状態に応じて定められる転送可能な経路範囲を示す範囲情報を用いて、メッセージの正当性を適切に判定することができる。
(8)例えば、上記の通信装置(140a、140b、1140a)において、モビリティの状態は、モビリティが移動しているか停止しているかに関連する状態である。これにより、通信装置(140a、140b、1140a)は、移動中における転送可能な経路範囲と停止中における転送可能な経路範囲とが異なる場合でも、各状態に応じて定められる転送可能な経路範囲を示す範囲情報を用いて、メッセージの正当性を適切に判定することができる。
(9)例えば、上記の通信装置(100a、100b、110a、130a、140a、140b、1110a、1140a)において、範囲情報は、静的に予め定められた固定の範囲を転送可能な経路範囲として示す。これにより、通信装置(100a、100b、110a、130a、140a、140b、1110a、1140a)は、例えば静的な環境下において、静的に定められる範囲情報を用いて、メッセージの正当性を適切に判定することができる。
(10)例えば、上記の通信装置(120a、1120a)は、さらに、更新部(127、1127)を備える。更新部(127、1127)は、複数の電子制御装置の更新に応じて、範囲情報を動的に更新する。
これにより、通信装置(120a、1120a)は、例えば電子制御装置の追加又は削除に対応する物理的な変更等に伴って、範囲情報を更新することができ、更新された範囲情報を用いて、メッセージの正当性を適切に判定することができる。すなわち、通信装置(120a、1120a)は、より柔軟に定められる範囲情報を用いて、メッセージの正当性を適切に判定することができる。
(11)例えば、上記の通信装置(120a、1120a)において、更新部(127、1127)は、複数の電子制御装置の属性情報の更新に応じて、範囲情報を動的に更新する。
これにより、通信装置(120a、1120a)は、例えば電子制御装置のIPアドレスなどに対応する属性情報が動的に変更される環境下においても、動的に定められる範囲情報を用いて、メッセージの正当性を適切に判定することができる。
(12)例えば、上記の通信装置(120a、1120a)において、属性情報は、SOME/IP(Scalable service-Oriented MiddlewarE over IP)プロトコルを用いて更新される。
これにより、通信装置(120a、1120a)は、SOME/IPに基づくファームウェアのアップデートなどにより電子制御装置の属性情報が動的に変更される環境下においても、動的に定められる範囲情報を用いて、メッセージの正当性を適切に判定することができる。
(13)例えば、通信装置(100a、100b、110a、120a、130a、140a、140b、1110a、1120a、1140a)は、さらに、処理部(102、106、132)を備える。処理部(102、106、132)は、受信されたメッセージの正当性の判定結果に基づいて、所定のアクションを実施する。
これにより、通信装置(100a、100b、110a、120a、130a、140a、140b、1110a、1120a、1140a)は、判定結果に基づいて、適切な処理を実施することができ、モビリティネットワークのシステム全体の安全性を高めることができる。
(14)例えば、上記の通信装置(100a、100b、110a、120a、140a、140b、1110a、1120a、1140a)において、処理部(102)は、判定結果に基づいて、受信されたメッセージの転送可否を制御する。
これにより、通信装置(100a、100b、110a、120a、140a、140b、1110a、1120a、1140a)は、メッセージの転送可否を適切に制御することができ、モビリティネットワークのシステム全体の安全性を高めることができる。
(15)例えば、通信装置(100a、100b、110a、120a、130a、140a、140b、1110a、1120a、1140a)において、処理部(102、106、132)は、判定結果を記録する。
これにより、通信装置(100a、100b、110a、120a、130a、140a、140b、1110a、1120a、1140a)は、後で判定結果の分析を可能にすることができる。そして、通信装置(100a、100b、110a、120a、130a、140a、140b、1110a、1120a、1140a)は、範囲情報によって示される転送可能な経路範囲の適切な更新を可能にすることができる。
(16)例えば、通信装置(100a、100b、110a、120a、130a、140a、140b、1110a、1120a、1140a)において、処理部(102、106、132)は、受信されたメッセージの送信元に対して、判定結果を通知する。これにより、通信装置(100a、100b、110a、120a、130a、140a、140b、1110a、1120a、1140a)は、適切なメッセージを送信するよう送信元を誘導することができる。
(17)例えば、通信装置(130a)は、さらに、処理部(132)を備える。処理部(132)は、受信されたメッセージが正当でないと判定された場合、受信されたメッセージに含まれるTTLの値を範囲情報によって示されるTTLの範囲内に更新することにより、受信されたメッセージを更新し、更新されたメッセージを転送する。これにより、送信元がメッセージに適切なTTLの値を設定することが難しい環境下において、通信装置(130a)がメッセージに適切なTTLの値を設定することができる。
(18)例えば、本開示の一態様における通信方法は、モビリティネットワーク上の通信方法である。モビリティネットワークは、モビリティに搭載されるネットワークであり、複数の電子制御装置が通信に用いるネットワークである。
通信方法は、受信ステップ(S1001)と、判定ステップ(S1005、S1105、S1405、S1505、S2005、S2405)とを含む。受信ステップ(S1001)では、モビリティネットワーク上のメッセージが受信される。判定ステップ(S1005、S1105、S1405、S1505、S2005、S2405)では、受信されたメッセージの正当性を、モビリティネットワーク上のメッセージに対して定められる転送可能な経路範囲を示す範囲情報を用いて判定する。
これにより、モビリティネットワーク上のメッセージが想定の範囲を超えて転送されることが抑制され得る。したがって、データの流出が抑制され得る。
(19)例えば、本開示の一態様に係る通信システム(10、40)は、モビリティネットワークの通信システム(10、40)である。モビリティネットワークは、モビリティに搭載されるネットワークであり、複数の電子制御装置が通信に用いるネットワークである。通信システム(10、40)は、保持部(105、115、125、145、1115、1125、1145)と、受信部(101、121、1111、1121)と、判定部(104、114、134、144、1114、1144)とを備える。
保持部(105、115、125、145、1115、1125、1145)は、モビリティネットワーク上のメッセージに対して定められる転送可能な経路範囲を示す範囲情報を保持する。受信部(101、121、1111、1121)は、モビリティネットワーク上のメッセージを受信する。判定部(104、114、134、144、1114、1144)は、受信されたメッセージの正当性を、範囲情報を用いて判定する。
これにより、通信システム(10、40)は、モビリティネットワーク上のメッセージが想定の範囲を超えて転送されることを抑制することができ、データの流出を抑制すことができる。
(20)例えば、上記の通信装置(100a、100b、110a、120a、130a、140a、140b、1110a、1120a、1140a)は、Ethernetスイッチ100a、100b、110a、120a、130a、140a、140b、1110a、1120a及び1140a等に対応する。上記の通信システム(10、40)は、車載ネットワークシステム10及び40等に対応する。
上記の保持部(105、115、125、145、1115、1125、1145)は、ホワイトリスト保持部105、115、125、145、1115、1125及び1145等に対応する。上記の受信部(101、121、1111、1121)は、通信部101、121、1111及び1121等に対応する。上記の判定部(104、114、134、144、1114、1144)は、ホワイトリスト判定部104、114、134、144、1114及び1144等に対応する。上記の更新部(127、1127)は、ホワイトリスト作成部127及び1127等に対応する。上記の処理部(102、106、132)は、転送処理部102及び132、並びに、エラーメッセージ送信部106等に対応する。
本開示の一態様に係る通信装置等は、モビリティネットワーク上のメッセージの正当性を判定する通信装置等として利用可能であり、モビリティネットワークを利用する様々なシステムに適用可能である。
10、40 車載ネットワークシステム
100a、100b、110a、120a、130a、140a、140b、1110a、1120a、1140a Ethernetスイッチ
101、121、201、301、401、1111、1121 通信部
102、132、402 転送処理部
103、113、123、403 転送テーブル保持部
104、114、134、144、1114、1144 ホワイトリスト判定部
105、115、125、145、1115、1125、1145 ホワイトリスト保持部
106、404 エラーメッセージ送信部
127、1127 ホワイトリスト作成部
200 IVI
202、302、502 メッセージ処理部
203 表示部
204 操作部
300a、300b、300c、300d、300e ECU
303 センサ通信部
310 前方距離センサ
320 前方カメラ
330 ADAS
340 後方距離センサ
350 後方カメラ
360 低電力GPS
400 CGW
500 TCU
501 車内通信部
503 車外通信部
600 基地局
1108 RTT取得部

Claims (19)

  1. モビリティに搭載されるネットワークであり、複数の電子制御装置が通信に用いるネットワークであるモビリティネットワークに接続される通信装置であって、
    前記モビリティネットワーク上のメッセージに対して定められる転送可能な経路範囲を示す範囲情報を保持する保持部と、
    前記モビリティネットワーク上の前記メッセージを受信する受信部と、
    受信された前記メッセージの正当性を、前記範囲情報を用いて判定する判定部とを備え
    前記範囲情報は、RTT(Round Trip Time)の範囲を前記転送可能な経路範囲として示し、
    前記判定部は、受信された前記メッセージの正当性を、受信された前記メッセージに含まれる情報を用いて導出されるRTTの値と、前記範囲情報によって示されるRTTの範囲との比較により判定する
    通信装置。
  2. モビリティに搭載されるネットワークであり、複数の電子制御装置が通信に用いるネットワークであるモビリティネットワークに接続される通信装置であって、
    前記モビリティネットワーク上のメッセージに対して定められる転送可能な経路範囲を示す範囲情報を保持する保持部と、
    前記モビリティネットワーク上の前記メッセージを受信する受信部と、
    受信された前記メッセージの正当性を、前記範囲情報を用いて判定する判定部とを備え、
    前記範囲情報は、TTL(Time To Live)の範囲を前記転送可能な経路範囲として示し、
    前記判定部は、受信された前記メッセージの正当性を、受信された前記メッセージに含まれるTTLの値と、前記範囲情報によって示されるTTLの範囲との比較により判定し、
    さらに、受信された前記メッセージが正当でないと判定された場合、受信された前記メッセージに含まれるTTLの値を前記範囲情報によって示されるTTLの範囲内に更新することにより、受信された前記メッセージを更新し、更新された前記メッセージを転送する処理部を備える
    信装置。
  3. 前記範囲情報は、送信元又は送信先に応じて定められる前記転送可能な経路範囲を示す
    請求項1または2に記載の通信装置。
  4. 前記範囲情報は、前記送信元のMACアドレス、又は、前記送信先のMACアドレスに応じて定められる前記転送可能な経路範囲を示す
    請求項に記載の通信装置。
  5. 前記範囲情報は、前記送信元のIPアドレス、又は、前記送信先のIPアドレスに応じて定められる前記転送可能な経路範囲を示す
    請求項に記載の通信装置。
  6. 前記範囲情報は、前記モビリティの状態に応じて定められる前記転送可能な経路範囲を示す
    請求項1~のいずれか1項に記載の通信装置。
  7. 前記モビリティの状態は、前記モビリティが移動しているか停止しているかに関連する状態である
    請求項に記載の通信装置。
  8. 前記範囲情報は、静的に予め定められた固定の範囲を前記転送可能な経路範囲として示す
    請求項1~のいずれか1項に記載の通信装置。
  9. 前記通信装置は、さらに、前記複数の電子制御装置の更新に応じて、前記範囲情報を動的に更新する更新部を備える
    請求項1~のいずれか1項に記載の通信装置。
  10. 前記更新部は、前記複数の電子制御装置の属性情報の更新に応じて、前記範囲情報を動的に更新する
    請求項に記載の通信装置。
  11. 前記属性情報は、SOME/IP(Scalable service-Oriented MiddlewarE over IP)プロトコルを用いて更新される
    請求項10に記載の通信装置。
  12. 前記通信装置は、さらに、受信された前記メッセージの正当性の判定結果に基づいて、所定のアクションを実施する処理部を備える
    請求項1に記載の通信装置。
  13. 前記処理部は、前記判定結果に基づいて、受信された前記メッセージの転送可否を制御する
    請求項12に記載の通信装置。
  14. 前記処理部は、前記判定結果を記録する
    請求項12又は13に記載の通信装置。
  15. 前記処理部は、受信された前記メッセージの送信元に対して、前記判定結果を通知する
    請求項1214のいずれか1項に記載の通信装置。
  16. モビリティに搭載されるネットワークであり、複数の電子制御装置が通信に用いるネットワークであるモビリティネットワーク上の通信方法であって、
    前記モビリティネットワーク上のメッセージを受信する受信ステップと、
    受信された前記メッセージの正当性を、前記モビリティネットワーク上の前記メッセージに対して定められる転送可能な経路範囲を示す範囲情報を用いて判定する判定ステップとを含み、
    前記範囲情報は、RTT(Round Trip Time)の範囲を前記転送可能な経路範囲として示し、
    前記判定ステップでは、受信された前記メッセージの正当性を、受信された前記メッセージに含まれる情報を用いて導出されるRTTの値と、前記範囲情報によって示されるRTTの範囲との比較により判定する
    通信方法。
  17. モビリティに搭載されるネットワークであり、複数の電子制御装置が通信に用いるネットワークであるモビリティネットワーク上の通信方法であって、
    前記モビリティネットワーク上のメッセージを受信する受信ステップと、
    受信された前記メッセージの正当性を、前記モビリティネットワーク上の前記メッセージに対して定められる転送可能な経路範囲を示す範囲情報を用いて判定する判定ステップとを含み、
    前記範囲情報は、TTL(Time To Live)の範囲を前記転送可能な経路範囲として示し、
    前記判定ステップでは、受信された前記メッセージの正当性を、受信された前記メッセージに含まれるTTLの値と、前記範囲情報によって示されるTTLの範囲との比較により判定し、
    さらに、受信された前記メッセージが正当でないと判定された場合、受信された前記メッセージに含まれるTTLの値を前記範囲情報によって示されるTTLの範囲内に更新することにより、受信された前記メッセージを更新し、更新された前記メッセージを転送する処理ステップを含む
    通信方法。
  18. モビリティに搭載されるネットワークであり、複数の電子制御装置が通信に用いるネットワークであるモビリティネットワークの通信システムであって、
    前記モビリティネットワーク上のメッセージに対して定められる転送可能な経路範囲を示す範囲情報を保持する保持部と、
    前記モビリティネットワーク上の前記メッセージを受信する受信部と、
    受信された前記メッセージの正当性を、前記範囲情報を用いて判定する判定部とを備え
    前記範囲情報は、RTT(Round Trip Time)の範囲を前記転送可能な経路範囲として示し、
    前記判定部は、受信された前記メッセージの正当性を、受信された前記メッセージに含まれる情報を用いて導出されるRTTの値と、前記範囲情報によって示されるRTTの範囲との比較により判定する
    通信システム。
  19. モビリティに搭載されるネットワークであり、複数の電子制御装置が通信に用いるネットワークであるモビリティネットワークの通信システムであって、
    前記モビリティネットワーク上のメッセージに対して定められる転送可能な経路範囲を示す範囲情報を保持する保持部と、
    前記モビリティネットワーク上の前記メッセージを受信する受信部と、
    受信された前記メッセージの正当性を、前記範囲情報を用いて判定する判定部とを備え、
    前記範囲情報は、TTL(Time To Live)の範囲を前記転送可能な経路範囲として示し、
    前記判定部は、受信された前記メッセージの正当性を、受信された前記メッセージに含まれるTTLの値と、前記範囲情報によって示されるTTLの範囲との比較により判定し、
    さらに、受信された前記メッセージが正当でないと判定された場合、受信された前記メッセージに含まれるTTLの値を前記範囲情報によって示されるTTLの範囲内に更新することにより、受信された前記メッセージを更新し、更新された前記メッセージを転送する処理部を備える
    通信システム。
JP2018552904A 2017-07-26 2018-07-23 通信装置、通信方法及び通信システム Active JP7017520B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
PCT/JP2017/027116 WO2019021402A1 (ja) 2017-07-26 2017-07-26 通信装置、通信方法および通信システム
JPPCT/JP2017/027116 2017-07-26
PCT/JP2018/027465 WO2019021995A1 (ja) 2017-07-26 2018-07-23 通信装置、通信方法及び通信システム

Publications (2)

Publication Number Publication Date
JPWO2019021995A1 JPWO2019021995A1 (ja) 2020-05-28
JP7017520B2 true JP7017520B2 (ja) 2022-02-08

Family

ID=65040692

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018552904A Active JP7017520B2 (ja) 2017-07-26 2018-07-23 通信装置、通信方法及び通信システム

Country Status (5)

Country Link
US (2) US10904883B2 (ja)
EP (1) EP3661128A4 (ja)
JP (1) JP7017520B2 (ja)
CN (1) CN109845195B (ja)
WO (2) WO2019021402A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021002013A1 (ja) * 2019-07-04 2021-01-07 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知装置および異常検知方法
KR20210120287A (ko) * 2020-03-26 2021-10-07 현대자동차주식회사 진단 시스템 및 차량
JP7415726B2 (ja) 2020-03-26 2024-01-17 株式会社オートネットワーク技術研究所 車載情報処理装置、情報処理方法及びサーバプログラム
JP7307117B2 (ja) 2021-04-07 2023-07-11 矢崎総業株式会社 車載システム

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002016614A (ja) 2000-06-30 2002-01-18 Sumitomo Electric Ind Ltd 車載ゲートウェイ
JP2003324458A (ja) 2002-04-26 2003-11-14 Sumitomo Electric Ind Ltd ゲートウェイ装置
WO2004051946A1 (ja) 2002-12-02 2004-06-17 Fujitsu Limited 送信元アドレス偽装パケット検出装置、送信元アドレス偽装パケット検出方法、送信元アドレス偽装パケット検出プログラム
JP2004349961A (ja) 2003-05-21 2004-12-09 Denso Corp 中継装置、及びプログラム
US20150020152A1 (en) 2012-03-29 2015-01-15 Arilou Information Security Technologies Ltd. Security system and method for protecting a vehicle electronic system
JP2016134170A (ja) 2015-01-20 2016-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正対処方法及び電子制御ユニット

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10271154A (ja) * 1997-03-21 1998-10-09 Nec Eng Ltd 不正アクセス防止方法およびシステム
US7295552B1 (en) * 1999-06-30 2007-11-13 Broadcom Corporation Cluster switching architecture
WO2002003620A1 (fr) * 2000-06-30 2002-01-10 Sumitomo Electric Industries, Ltd. Passerelle sur vehicule
US6536816B1 (en) * 2002-03-04 2003-03-25 Fang-Chang Fan Adjustable door lock core
TW200414737A (en) 2002-09-27 2004-08-01 Matsushita Electric Ind Co Ltd Contents transmission system
JP4129216B2 (ja) 2002-09-27 2008-08-06 松下電器産業株式会社 グループ判定装置
JP4181951B2 (ja) 2002-09-27 2008-11-19 松下電器産業株式会社 コンテンツ配信システム
US20050180421A1 (en) * 2002-12-02 2005-08-18 Fujitsu Limited Source address-fabricated packet detection unit, source address-fabricated packet detection method, and source address-fabricated packet detection program
US7873731B1 (en) * 2004-04-08 2011-01-18 Cisco Technology, Inc. Use of per-flow monotonically decreasing TTLs to prevent IDS circumvention
JP4645281B2 (ja) * 2005-04-19 2011-03-09 ソニー株式会社 情報処理装置および方法、プログラム、並びに記録媒体
JP4634320B2 (ja) * 2006-02-28 2011-02-16 株式会社日立製作所 対異常通信防御を行うための装置とネットワークシステム
US8514845B2 (en) * 2008-12-31 2013-08-20 Telefonaktiebolaget L M Ericsson (Publ) Usage of physical layer information in combination with signaling and media parameters
CN101674312B (zh) * 2009-10-19 2012-12-19 中兴通讯股份有限公司 一种在网络传输中防止源地址欺骗的方法及装置
JP5301011B1 (ja) * 2012-05-23 2013-09-25 株式会社東芝 コンテンツ送信装置、及びコンテンツ送信方法
DE102015213522A1 (de) * 2015-07-17 2017-01-19 Robert Bosch Gmbh Bussystem, Teilnehmerstation dafür und Verfahren zur Konfiguration eines statischen Bussystems für eine dynamische Kommunikation
US9749955B2 (en) * 2015-07-20 2017-08-29 Intel Corporation Connectivity management for mobile wireless low-power wake-up radios
CN105577669B (zh) * 2015-12-25 2018-09-21 北京神州绿盟信息安全科技股份有限公司 一种识别虚假源攻击的方法及装置
CN107370677B (zh) * 2016-05-12 2021-01-26 西安三星电子研究有限公司 节点确定路径生存时间的方法和设备
CN109644208B (zh) * 2016-08-25 2022-03-04 黑莓有限公司 分组交换服务的监管
US10650621B1 (en) * 2016-09-13 2020-05-12 Iocurrents, Inc. Interfacing with a vehicular controller area network
JP6424870B2 (ja) * 2016-09-27 2018-11-21 住友電気工業株式会社 ゲートウェイ、車載通信システム、通信制御方法および通信制御プログラム
US10776798B2 (en) * 2017-04-25 2020-09-15 Comscore, Inc. Device identification systems and methods

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002016614A (ja) 2000-06-30 2002-01-18 Sumitomo Electric Ind Ltd 車載ゲートウェイ
JP2003324458A (ja) 2002-04-26 2003-11-14 Sumitomo Electric Ind Ltd ゲートウェイ装置
WO2004051946A1 (ja) 2002-12-02 2004-06-17 Fujitsu Limited 送信元アドレス偽装パケット検出装置、送信元アドレス偽装パケット検出方法、送信元アドレス偽装パケット検出プログラム
JP2004349961A (ja) 2003-05-21 2004-12-09 Denso Corp 中継装置、及びプログラム
US20150020152A1 (en) 2012-03-29 2015-01-15 Arilou Information Security Technologies Ltd. Security system and method for protecting a vehicle electronic system
JP2016134170A (ja) 2015-01-20 2016-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正対処方法及び電子制御ユニット

Also Published As

Publication number Publication date
WO2019021995A1 (ja) 2019-01-31
US11553484B2 (en) 2023-01-10
CN109845195B (zh) 2022-01-18
CN109845195A (zh) 2019-06-04
US20190239221A1 (en) 2019-08-01
EP3661128A1 (en) 2020-06-03
US10904883B2 (en) 2021-01-26
EP3661128A4 (en) 2020-06-03
WO2019021402A1 (ja) 2019-01-31
JPWO2019021995A1 (ja) 2020-05-28
US20210153194A1 (en) 2021-05-20

Similar Documents

Publication Publication Date Title
JP7017520B2 (ja) 通信装置、通信方法及び通信システム
ES2353395T3 (es) Recepción de tramas redundantes y no redundantes.
EP3726790B1 (en) Fraud detection device, in-vehicle network system, and fraud detection method
US11956262B2 (en) Anomaly detection device and anomaly detection method
US11930021B2 (en) Unauthorized frame detection device and unauthorized frame detection method
US10680893B2 (en) Communication device, system, and method
US11606334B2 (en) Communication security apparatus, control method, and storage medium storing a program
WO2018061362A1 (ja) ゲートウェイ、車載通信システム、通信制御方法および通信制御プログラム
WO2019021923A1 (ja) ネットワーク監視器、ネットワーク監視方法およびプログラム
US20170180397A1 (en) Thin Client Unit apparatus to transport intra-vehicular data on a communication network
JPWO2020137304A1 (ja) 統計情報生成装置、統計情報生成方法、および、プログラム
KR20170011826A (ko) 이더넷 기반의 네트워크를 위한 보안 방법
US20130305347A1 (en) Methods, Systems, and Computer Readable Media for Adaptive Assignment of an Active Security Association Instance in a Redundant Gateway Configuration
US20150128260A1 (en) Methods and systems for controlling communication in a virtualized network environment
CN104641594A (zh) 组播消息更新
US20180007075A1 (en) Monitoring dynamic device configuration protocol offers to determine anomaly
US9571459B2 (en) Synchronizing a routing-plane and crypto-plane for routers in virtual private networks
JP5553036B2 (ja) 通信制御装置、通信制御方法および通信制御プログラム
Lastinec et al. Approach to Securing In-vehicle Communication Using Ethernet/IP

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210127

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211026

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220104

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220111

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220127

R150 Certificate of patent or registration of utility model

Ref document number: 7017520

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150