JP7027592B2 - ゲートウェイ装置、方法及び車載ネットワークシステム - Google Patents

ゲートウェイ装置、方法及び車載ネットワークシステム Download PDF

Info

Publication number
JP7027592B2
JP7027592B2 JP2021034102A JP2021034102A JP7027592B2 JP 7027592 B2 JP7027592 B2 JP 7027592B2 JP 2021034102 A JP2021034102 A JP 2021034102A JP 2021034102 A JP2021034102 A JP 2021034102A JP 7027592 B2 JP7027592 B2 JP 7027592B2
Authority
JP
Japan
Prior art keywords
frame
transfer
predetermined
unit
management information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021034102A
Other languages
English (en)
Other versions
JP2021083125A (ja
Inventor
良浩 氏家
潤 安齋
秀樹 松島
智之 芳賀
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Publication of JP2021083125A publication Critical patent/JP2021083125A/ja
Application granted granted Critical
Publication of JP7027592B2 publication Critical patent/JP7027592B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40013Details regarding a bus controller
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40026Details regarding a bus guardian
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、車載ネットワークシステム等のネットワークへの不正なフレームの伝送を阻止するセキュリティ対策技術に関する。
近年、自動車の中のシステムには、電子制御ユニット(ECU:Electronic Control Unit)と呼ばれる装置が多数配置されている。これらのECUを繋ぐネットワークは車載ネットワークと呼ばれる。車載ネットワークには、多数の通信規格が存在する。その中でも最も主流な車載ネットワークの一つに、ISO11898で規定されているCAN(Controller Area Network)という規格が存在する。
CANでは、通信路は2本のワイヤで構成されたバスであり、バスに接続されているECUはノードと呼ばれる。バスに接続されている各ノードは、データフレームと呼ばれるフレームを送受信する。データフレームを送信する送信ノードは、2本のワイヤに電圧をかけ、ワイヤ間で電位差を発生させることによって、レセシブと呼ばれる「1」の値と、ドミナントと呼ばれる「0」の値を送信する。複数の送信ノードが全く同一のタイミングで、レセシブとドミナントを送信した場合は、ドミナントが優先されて送信される。受信ノードは、受け取ったデータフレームのフォーマットに異常がある場合には、エラーフレームと呼ばれるフレームを送信する。エラーフレームとは、ドミナントを6bit連続して送信することで、送信ノード及び他の受信ノードにデータフレームの異常を通知するものである。
またCANでは送信先や送信元を指す識別子は存在せず、送信ノードはデータフレーム毎にID(identifier)を付けて送信し、各受信ノードは予め定められたIDのデータフレームのみを受信する。また、CSMA/CA(Carrier Sense Multiple Access/Collision Avoidance)方式を採用しており、複数ノードの同時送信時にはIDによる調停が行われ、IDの値が小さいデータフレームが優先的に送信される。
車載ネットワークシステムについては、攻撃者がバスにアクセスして不正なデータフレーム等の攻撃フレームを送信することでECUを不正に制御するといった脅威が存在し、セキュリティ対策が検討されている。
例えば特許文献1には、規定された通信間隔内に同一の識別子を有するフレームを2つ受信した場合にその各フレームを破棄して転送しないことで、不正フレームの伝送を阻止する方法が記載されている。また非特許文献1には、複数のノードは同一のIDをもつデータフレームを送信しないという前提条件下で、自ノードが送信するIDと同一IDのデータフレームの送信を検出した際にエラーフレームを利用して不正なデータフレームの伝送を阻止する方法が記載されている。
特開2014-146868号公報
Matsumoto、外4名、「A Method of Preventing Unauthorized Data Transmission in Controller Area Network」、Vehicular Technology Conference(VTC Spring)、IEEE、2012年
従来の方法では、例えば車両製造段階等に予め規定されたID、通信間隔等のルールに基づく条件判定の結果によってフレームの伝送を阻止する。このような方法では、車両製造後等における車載ネットワークシステムを構成するECU群の編成の変更、例えばECUの追加、交換等に適切に対応できず、例えば、追加されたECUが送信した特段の問題を引き起こさないフレームの伝送を誤って阻止する可能性がある。
そこで、本発明は、ネットワークシステムにおいて、攻撃者により送信された攻撃フレームの転送の阻止が可能であり、特段の問題を引き起こさないフレームの転送の阻止を抑制し得るゲートウェイ装置を提供する。また、本発明は、フレームの転送の阻止を適切に行うための方法及び車載ネットワークシステムを提供する。
上記課題を解決するために本発明の一態様に係るゲートウェイ装置は、車両に搭載された複数の電子制御ユニットが1つ以上のネットワークを介して通信する車載ネットワークシステムにおける前記1つ以上のネットワークに接続される前記車両に搭載されたゲートウェイ装置であって、フレームを受信する受信部と、前記フレームを、前記1つ以上のネットワークのうちの1つのネットワークに転送する転送部と、フレームの転送の阻止を許容するか否かを示す管理情報に基づいて、前記受信部により受信されたフレームが所定条件を満たす場合に当該フレームの転送を阻止する所定処理を実行するか否かを切り替える処理部と、前記管理情報を記憶している記憶部と、前記記憶部に記憶された前記管理情報を更新する更新部とを備え、前記管理情報は、複数のIDそれぞれに対応して、当該IDを有し前記所定条件を満たすフレームの転送の阻止を許容するか否かを示すフラグ情報を含み、前記処理部は、前記受信部により受信されたフレームが前記所定条件を満たす場合において、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容することを示すときには前記所定処理を実行し、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容しないことを示すときには前記所定処理を実行せず、前記更新部は、前記車両の外に所在する外部装置が送信した指示情報が、所定IDを有するフレームの転送の阻止を許容しない指示を示す場合には、前記外部装置が所定権限を有することの認証が成功していることを条件として、前記管理情報における前記所定IDに対応するフラグ情報を、前記所定IDを有するフレームの転送の阻止を許容しないことを示すように更新し、前記指示情報が、前記所定IDを有するフレームの転送の阻止を許容する指示を示す場合には、前記外部装置が前記所定権限を有するか否かに拘わらず、前記管理情報における前記所定IDに対応するフラグ情報を、前記所定IDを有するフレームの転送の阻止を許容することを示すように更新するゲートウェイ装置である。
また、上記課題を解決するために本発明の一態様に係る方法は、車両に搭載された複数の電子制御ユニットが1つ以上のネットワークを介して通信する車載ネットワークシステムで用いられる方法であって、前記車載ネットワークシステムは、フレームの転送の阻止を許容するか否かを示す管理情報を記憶する記憶部を備え、前記方法は、フレームを受信する受信ステップと、前記フレームを、前記1つ以上のネットワークのうちの1つのネットワークに転送する転送ステップと、前記管理情報に基づいて、前記受信ステップで受信されたフレームが所定条件を満たす場合に当該フレームの転送を阻止する所定処理を実行するか否かを切り替える処理ステップと、前記記憶部に記憶された前記管理情報を更新する更新ステップとを含み、前記管理情報は、複数のIDそれぞれに対応して、当該IDを有し前記所定条件を満たすフレームの転送の阻止を許容するか否かを示すフラグ情報を含み、前記処理ステップは、前記受信ステップにより受信されたフレームが前記所定条件を満たす場合において、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容することを示すときには前記所定処理を実行し、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容しないことを示すときには前記所定処理を実行せず、前記更新ステップは、前記車両の外に所在する外部装置が送信した指示情報が、所定IDを有するフレームの転送の阻止を許容しない指示を示す場合には、前記外部装置が所定権限を有することの認証が成功していることを条件として、前記管理情報における前記所定IDに対応するフラグ情報を、前記所定IDを有するフレームの転送の阻止を許容しないことを示すように更新し、前記指示情報が、前記所定IDを有するフレームの転送の阻止を許容する指示を示す場合には、前記外部装置が前記所定権限を有するか否かに拘わらず、前記管理情報における前記所定IDに対応するフラグ情報を、前記所定IDを有するフレームの転送の阻止を許容することを示すように更新する方法である。
また、上記課題を解決するために本発明の一態様に係る車載ネットワークシステムは、1つ以上のネットワークを介して通信する複数の電子制御ユニットを備える車載ネットワークシステムであって、フレームを受信する受信部と、前記フレームを、前記1つ以上のネットワークのうちの1つのネットワークに転送する転送部と、フレームの転送の阻止を許容するか否かを示す管理情報に基づいて、前記受信部により受信されたフレームが所定条件を満たす場合に当該フレームの転送を阻止する所定処理を実行するか否かを切り替える処理部と、前記管理情報を記憶している記憶部と、前記記憶部に記憶された前記管理情報を更新する更新部とを備え、前記管理情報は、複数のIDそれぞれに対応して、当該IDを有し前記所定条件を満たすフレームの転送の阻止を許容するか否かを示すフラグ情報を含み、前記処理部は、前記受信部により受信されたフレームが前記所定条件を満たす場合において、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容することを示すときには前記所定処理を実行し、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容しないことを示すときには前記所定処理を実行せず、前記更新部は、車両の外に所在する外部装置が送信した指示情報が、所定IDを有するフレームの転送の阻止を許容しない指示を示す場合には、前記外部装置が所定権限を有することの認証が成功していることを条件として、前記管理情報における前記所定IDに対応するフラグ情報を、前記所定IDを有するフレームの転送の阻止を許容しないことを示すように更新し、前記指示情報が、前記所定IDを有するフレームの転送の阻止を許容する指示を示す場合には、前記外部装置が前記所定権限を有するか否かに拘わらず、前記管理情報における前記所定IDに対応するフラグ情報を、前記所定IDを有するフレームの転送の阻止を許容することを示すように更新する車載ネットワークシステムである。
本発明によれば、攻撃者により送信された攻撃フレームの伝送が適切に阻止され、特段の問題を引き起こさないフレームの伝送の阻止が抑制され得る。
実施の形態1に係る車載ネットワークシステムの構成を示す図である。 CANプロトコルで規定されるデータフレームのフォーマットを示す図である。 CANプロトコルで規定されるエラーフレームのフォーマットを示す図である。 実施の形態1に係るECUの構成図である。 実施の形態1に係るECUにおける受信IDリストの一例を示した図である。 実施の形態1に係るエンジンECUが送信するデータフレームのID及びデータの一例を示す図である。 実施の形態1に係るブレーキECUが送信するデータフレームのID及びデータの一例を示す図である。 実施の形態1に係るドア開閉センサECUが送信するデータフレームのID及びデータの一例を示す図である。 実施の形態1に係るウィンドウ開閉センサECUが送信するデータフレームのID及びデータの一例を示す図である。 実施の形態1に係る不正検知ECUの構成図である。 実施の形態1に係る不正検知ECUが保持する不正検知ルールの一例を示す図である。 実施の形態1に係る不正検知ECUが保持する管理情報の一例を示す図である。 実施の形態1に係るサーバの構成図である。 実施の形態1に係る不正検知ECUによる不正フレームの検知及び伝送阻止のシーケンスの一例を示す図である。 実施の形態1に係る不正検知ECUにおける動作不良検知処理の一例を示すフローチャートである。 実施の形態1に係る不正検知ECUが送信する不正検知メッセージのフォーマットの一例を示す図である。 実施の形態1に係る不正検知ECUにおける伝送阻止機能のアクティベートに係る更新処理の一例を示すフローチャートである。 実施の形態1に係るサーバが送信するファームウェア(FW:firmware)を含む配信メッセージのフォーマットの一例を示す図である。 実施の形態2に係る車載ネットワークシステムの構成を示す図である。 実施の形態2に係る不正検知ECUの構成図である。 実施の形態2に係るサーバの構成図である。 実施の形態2に係る不正検知ECUによる不正フレームの検知及び伝送阻止のシーケンスの一例を示す図である。 実施の形態2に係る不正検知ECUにおける動作不良検知処理の一例を示すフローチャートである。 実施の形態2に係る不正検知ECUが車車間通信で送信する異常通知メッセージのフォーマットの一例を示す図である。 実施の形態2に係る不正検知ECUがサーバに送信する不正検知メッセージのフォーマットの一例を示す図である。 実施の形態2に係る不正検知ECUにおける伝送阻止機能アクティベーション処理の一例を示すフローチャートである。 実施の形態2に係るサーバにおけるディアクティベーションメッセージの送信に係る処理の一例を示すフローチャートである。 実施の形態2に係るサーバが送信するディアクティベーションメッセージのフォーマットの一例を示す図である。 実施の形態2に係る不正検知ECUにおける伝送阻止機能ディアクティベーション処理の一例を示すフローチャートである。 変形例に係るフレーム伝送阻止装置の構成図である。
本発明の一態様に係るフレーム伝送阻止装置は、複数の電子制御ユニットがバスを介して通信するネットワークシステムにおける当該バスに接続されるフレーム伝送阻止装置であって、前記バスからフレームを受信する受信部と、フレームの伝送の阻止を許容するか否かを示す管理情報に基づいて、前記受信部により受信されたフレームが所定条件を満たす場合に当該フレームの伝送を阻止する所定処理を実行するか否かを切り替える処理部とを備えるフレーム伝送阻止装置である。このフレーム伝送阻止装置は、攻撃フレーム以外の特段の問題(例えばネットワークシステムの動作不良等)を引き起こさないフレームの伝送の阻止の抑制を実現するために有用な構成を備えている。このフレーム伝送阻止装置によれば、攻撃者により送信された攻撃フレームの伝送の阻止が可能となり、攻撃フレーム以外の特段の問題を引き起こさないフレームの伝送の阻止の抑制を実現し得る。例えば、製造段階でのネットワークシステムについて規定したルールから外れる不正なフレームが該当するように所定条件を定めてフレーム伝送阻止装置を製造して利用することが想定される。この場合において、フレーム伝送阻止装置は、その所定条件を満たすフレームの伝送を単純に阻止するのではなく、管理情報によって阻止するか否かが変更され得る。このため、フレーム伝送阻止装置の製造後においても、ネットワークシステムにおけるECUの追加等に対応して管理情報を変更すれば、追加されたECUが送信する特段の問題を引き起こさないフレームを、不正な攻撃フレームと誤検知して伝送阻止するような事態を防止できる。なお、フレーム伝送阻止装置が参照する管理情報は、例えば、フレーム伝送阻止装置外から受信されても良いし、例えば、フレーム伝送阻止装置内の記憶媒体等から読み出されても良い。
また、前記複数の電子制御ユニットは、CAN(Controller Area Network)プロトコルに従って前記バスを介して通信し、前記所定条件を満たすフレームの伝送を阻止する前記所定処理は、前記受信部により当該フレームの最後尾のビットが受信される前にエラーフレームを前記バスへ送信する処理を含むこととしても良い。これにより、伝送阻止の対象となる所定条件を満たすフレームを管理情報に基づいて阻止することとした場合に、バス上でのそのフレームの伝送をエラーフレームの送信によって効率的に阻止することが可能となる。また、管理情報によって、特段の問題を引き起こさないフレームの伝送がエラーフレームによって阻止されることを抑制できるので、そのフレームの再送によるトラフィックの増大等といったその阻止の悪影響が抑制される。
また、前記フレーム伝送阻止装置は、前記管理情報を記憶している記憶部と、前記記憶部に記憶された前記管理情報を更新する更新部とを備え、前記管理情報は、複数のIDそれぞれに対応して、当該IDを有し前記所定条件を満たすフレームの伝送の阻止を許容するか否かを示すフラグ情報を含み、前記処理部は、前記受信部により受信されたフレームが前記所定条件を満たす場合において、当該フレームのIDに対応する前記フラグ情報が当該フレームの伝送の阻止を許容することを示すときには前記所定処理を実行し、当該フレームのIDに対応する前記フラグ情報が当該フレームの伝送の阻止を許容しないことを示すときには前記所定処理を実行しないこととしても良い。これにより、例えばフレームの内容であるデータの種別等を識別する、フレームが有するID(identifier)毎に、フレームの伝送阻止を許容するか否かを変更することが可能となる。
また、前記管理情報における前記複数のIDそれぞれに対応するフラグ情報は、前記更新部による更新が一度もなされていない状態では、フレームの伝送の阻止を許容しないことを示すこととしても良い。これにより、フレームの伝送の阻止による弊害が抑制され得る。例えば、更新部に、ネットワークシステムに追加されたECUが送信するフレームと同じIDのフレームによりネットワークシステム等に動作不良等の異常が生じた場合にそのIDに対応するフラグ情報を、伝送阻止を許容することを示すように更新させるような運用が想定される。この例では、動作不良等の異常が生じない限りそのフレームの伝送が阻止されないので、阻止による弊害が生じない。
また、前記フラグ情報は、1ビットの情報であることとしても良い。これにより、ID毎のフラグ情報を含む管理情報の記憶に必要な記憶媒体の容量を小さく抑えることが可能となる。
また、前記更新部は、前記フレーム伝送阻止装置が外部から受信した指示情報に応じて前記管理情報を更新することとしても良い。これにより、フレーム伝送阻止装置に対して、ネットワークシステム内の電子制御ユニット等の装置或いはネットワークシステム外の装置等から必要に応じて指示情報を与えてフレームの伝送阻止機能の実行を制御することが可能となる。この場合には、フレーム伝送阻止装置は、例えば管理情報を更新すべきか否かを適切に判定するための構成を有さなくても良い。
また、前記ネットワークシステムは、車載ネットワークシステムであり、前記複数の電子制御ユニットと前記バスと前記フレーム伝送阻止装置とは車両に搭載され、前記更新部は、前記車両の外に所在する外部装置が送信した前記指示情報に応じて前記管理情報を更新することとしても良い。これにより、車両の外部のサーバ装置、他の車両等によって、必要に応じて指示情報を与えてフレームの伝送阻止機能の実行を制御することが可能となる。例えば、フレーム伝送阻止装置によるフレームの伝送阻止機能の実行を、複数の車両から情報を収集して分析することで適切に指示情報を決定するサーバ装置等により制御するような運用が可能となる。指示情報として、例えば、フレーム伝送阻止装置におけるフレームの伝送阻止機能をアクティベートする指示つまり伝送阻止を許容するようにする指示、或いは、伝送阻止機能をディアクティベートする指示つまり伝送阻止を許容しないようにする指示等が想定される。
また、前記更新部は、前記外部装置が送信した前記指示情報が、所定IDを有するフレームの伝送の阻止を許容しない指示を示す場合には、前記外部装置が所定権限を有することの認証が成功していることを条件として、前記管理情報における前記所定IDに対応するフラグ情報を、前記所定IDを有するフレームの伝送の阻止を許容しないことを示すように更新し、前記指示情報が、前記所定IDを有するフレームの伝送の阻止を許容する指示を示す場合には、前記外部装置が前記所定権限を有するか否かに拘わらず、前記管理情報における前記所定IDに対応するフラグ情報を、前記所定IDを有するフレームの伝送の阻止を許容することを示すように更新することとしても良い。これにより、攻撃者による攻撃の可能性に鑑みて防御のためにフレームの伝送阻止を一旦許容したような場合において、その許容を止めるためには所定権限を必要とするので、ネットワークシステムのセキュリティが高まる。
また、前記フレーム伝送阻止装置は更に、前記処理部が一のIDを有するフレームの伝送を阻止する前記所定処理を実行する場合に、当該一のIDを有するフレームの伝送の阻止を許容する指示を示す、他の車両向けの指示情報を送信する通信部を備えることとしても良い。このフレーム伝送阻止装置は、例えば、自装置が搭載された車両の車載ネットワークシステムに対して、攻撃者による攻撃フレームの送信がなされた場合に、指示情報の送信により、同様のフレーム伝送阻止装置を搭載した他の車両を同様の攻撃から保護し得る。
また、前記フレーム伝送阻止装置は更に、前記受信部により受信されたフレームが前記所定条件を満たす場合に、当該フレームに関する情報を含む分析用情報を前記外部装置に送信する通信部を備えることとしても良い。これにより、例えば、所定条件を満たすフレームの伝送が特段の問題を引き起こすことになるか否かの判別のための分析に必要な分析用情報を外部装置に送信できる。例えば、外部装置であるサーバ装置等によって複数の車両から分析用情報を収集して分析することで適切に指示情報を決定するような運用が可能となる。分析用情報を活用した結果として外部装置が指示情報を送信すれば、フレーム伝送阻止装置は、その指示情報を受信して管理情報を更新し得る。
また、前記更新部は、前記受信部により受信されたフレームが前記所定条件を満たし、かつ、当該フレームのIDに対応する前記フラグ情報が当該フレームの伝送の阻止を許容しないことを示す場合において、当該フレームのIDとは異なる特定IDを有する、前記受信部で受信されたフレームに基づいて異常の発生を検出したときには、当該フラグ情報を、前記阻止を許容することを示すように更新することとしても良い。これにより、所定条件を満たすフレームの伝送がバスを流れる他の種類のフレームに異常をもたらしているような、特段の問題を引き起こすフレームの伝送を、フレーム伝送阻止装置が適切に阻止し得る。例えば、製造段階等でネットワークシステムにおいて用いられるフレームのIDを特定IDとして用いるようにフレーム伝送阻止装置を製造することが想定される。また、例えば、製造段階等でネットワークシステムにおいて重要なデータに係るフレームのIDが規定されている場合にそのIDを特定IDとして用いることが想定される。
また、前記更新部は、前記受信部により受信されたフレームが前記所定条件を満たし、かつ、当該フレームのIDに対応する前記フラグ情報が当該フレームの伝送の阻止を許容しないことを示す場合において、前記複数の電子制御ユニットのうち予め定められた特定の電子制御ユニットが異常であることを検出したときには、当該フラグ情報を、前記阻止を許容することを示すように更新することとしても良い。これにより、所定条件を満たすフレームの伝送が特定のECUに異常をもたらしているような、特段の問題を引き起こすフレームの伝送を、フレーム伝送阻止装置が適切に阻止し得る。例えば、製造段階等でネットワークシステムが備えるECUを特定のECUとして用いるようにフレーム伝送阻止装置を製造することが想定される。また、例えば、ネットワークシステムにおいて重要なECU、例えば車載ネットワークシステムであれば車両の走行制御に関わるECUを、特定のECUとして用いることが想定される。
また、前記所定条件は、フレームのIDについての条件であり、前記処理部は、前記受信部により受信されたフレームのIDが前記所定条件を満たす場合において前記管理情報に基づいて前記所定処理を実行するか否かを切り替えることとしても良い。これにより、例えば、構築されたネットワークシステムで利用されないフレームのIDつまり不正と推定されるID群等を示すように所定条件を定めておくと、管理情報に基づいて、攻撃者によってバスに送信された攻撃フレームの伝送阻止が実現され得る。この攻撃フレームの伝送阻止により、ネットワークシステムのセキュリティが確保される。
また、前記複数の電子制御ユニットは、CAN(Controller Area Network)プロトコルに従って前記バスを介して通信し、前記所定条件は、フレームとしてのデータフレームのDLC(Data Length Code)についての条件であり、前記処理部は、前記受信部により受信されたフレームのDLCが前記所定条件を満たす場合において前記管理情報に基づいて前記所定処理を実行するか否かを切り替えることとしても良い。これにより、例えば、構築されたネットワークシステムで利用されないDLCつまり不正と推定されるDLCを示すように所定条件を定めておくと、管理情報に基づいて、攻撃者によってバスに送信された、そのDLCを含む攻撃フレームの伝送阻止が実現され得る。
また、前記複数の電子制御ユニットは、CAN(Controller Area Network)プロトコルに従って前記バスを介して通信し、前記所定条件は、フレームとしてのデータフレームのデータフィールド内のデータについての条件であり、前記処理部は、前記受信部により受信されたフレームのデータフィールド内のデータが前記所定条件を満たす場合において前記管理情報に基づいて前記所定処理を実行するか否かを切り替えることとしても良い。これにより、例えば、不正と推定されるデータを示すように所定条件を定めておくと、管理情報に基づいて、攻撃者によってバスに送信された、そのデータを含む攻撃フレームの伝送阻止が実現され得る。
また、前記所定条件は、フレームに適正なメッセージ認証コードが含まれない場合に満たされる条件であることとしても良い。これにより、管理情報に基づいて、攻撃者によってバスに送信された、適正なメッセージ認証コードを含まない攻撃フレームの伝送阻止が実現され得る。
また、前記複数の電子制御ユニットは、CAN(Controller Area Network)プロトコルに従って前記バスを介して通信し、前記所定条件を満たすフレームの伝送を阻止する前記所定処理は、当該フレームが伝送されている際にドミナント信号を前記バスへ送信する処理を含むこととしても良い。これにより、伝送阻止の対象となる所定条件を満たすフレームを管理情報に基づいて阻止することとした場合に、バス上でのそのフレームの完全な状態での伝送を、ドミナント信号の送信でそのフレームの内容を上書きして改変することによって阻止し得る。バス上のフレームの内容の改変は、例えば受信エラー等を引き起こし、受信ノードのECUにおいてそのフレームを正常なフレームと同様に処理することが防止され得る。
また、本発明の一態様に係るフレーム伝送阻止方法は、複数の電子制御ユニットがバスを介して通信するネットワークシステムで用いられるフレーム伝送阻止方法であって、前記バスからフレームを受信する受信ステップと、フレームの伝送の阻止を許容するか否かを示す管理情報に基づいて、前記受信ステップで受信されたフレームが所定条件を満たす場合に当該フレームの伝送を阻止する所定処理を実行するか否かを切り替える処理ステップとを含むフレーム伝送阻止方法である。これにより、管理情報に基づいてフレームの伝送阻止に係る所定処理の実行が制御されるので、攻撃者により送信された攻撃フレームの伝送阻止の実現が可能となり、攻撃フレーム以外の特段の問題を引き起こさないフレームの伝送阻止の抑制の実現が可能となり得る。
また、本発明の一態様に係る車載ネットワークシステムは、バスを介して通信する複数の電子制御ユニットを備える車載ネットワークシステムであって、前記バスからフレームを受信する受信部と、フレームの伝送の阻止を許容するか否かを示す管理情報に基づいて、前記受信部により受信されたフレームが所定条件を満たす場合に当該フレームの伝送を阻止する所定処理を実行するか否かを切り替える処理部とを備える車載ネットワークシステムである。これにより、車載ネットワークに対して攻撃者により送信された攻撃フレームの伝送阻止の実現が可能となり、攻撃フレーム以外の特段の問題を引き起こさないフレームの伝送阻止の抑制の実現が可能となり得る。
なお、これらの全般的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なCD-ROM等の記録媒体で実現されても良く、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されても良い。
以下、実施の形態に係るフレーム伝送阻止方法を用いるフレーム伝送阻止装置を含む車載ネットワークシステムについて、図面を参照しながら説明する。ここで示す実施の形態は、いずれも本発明の一具体例を示すものである。従って、以下の実施の形態で示される数値、構成要素、構成要素の配置及び接続形態、並びに、処理の要素としてのステップ及びステップの順序等は、一例であって本発明を限定するものではない。以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意に付加可能な構成要素である。また、各図は、模式図であり、必ずしも厳密に図示されたものではない。
(実施の形態1)
以下、本発明の実施の形態1として、CANプロトコルに従って通信を行う複数のECUと、不正と検知したデータフレームの伝送を阻止する機能を有するフレーム伝送阻止装置としての不正検知ECUとを含む車載ネットワークシステム10について、図面を用いて説明する。
[1.1 車載ネットワークシステム10の構成]
図1は、車両に搭載された車載ネットワークシステム10の構成を示す図である。なお、同図には、他の車両及び車外のサーバ500を付記している。
車載ネットワークシステム10は、CANプロトコルに従って通信するネットワークシステムの一例であり、制御装置、センサ、アクチュエータ、ユーザインタフェース装置等の各種機器が搭載された車両(例えば自動車)におけるネットワークシステムである。車載ネットワークシステム10は、バス(ネットワークバス)を介してフレームに係る通信を行う複数のECUを備え、一定条件下でフレームの伝送を阻止するフレーム伝送阻止方法を用いる。具体的には図1に示すように車載ネットワークシステム10は、バス200と、バス200に接続されたECU100a~100d及び不正検知ECU400と、通信モジュール600とを含んで構成される。なお、車載ネットワークシステム10には、不正検知ECU400及びECU100a~100d以外にもいくつものECUが含まれ得るが、ここでは、便宜上、不正検知ECU400及びECU100a~100dに注目して説明を行う。ECU100aをエンジンECU100aとも称し、ECU100bをブレーキECU100bとも称し、ECU100cをドア開閉センサECU100cとも称し、ECU100dをウィンドウ開閉センサECU100dとも称する。
各ECUは、例えば、プロセッサ(マイクロプロセッサ)、メモリ等のデジタル回路、アナログ回路、通信回路等を含む装置である。メモリは、ROM、RAM等であり、プロセッサにより実行されるプログラム(コンピュータプログラム)を記憶することができる。例えばプロセッサが、プログラムに従って動作することにより、ECUは各種機能を実現することになる。なお、コンピュータプログラムは、所定の機能を達成するために、プロセッサに対する指令を示す命令コードが複数個組み合わされて構成されたものである。各ECUは、CANプロトコルに従って、バス200を介してフレームの授受を行い得る。ECU間で授受されるフレームにはデータフレームがある。データフレームは、例えば、車両の状態に関するデータ、車両に対して制御を指示するデータ等といった、車両の制御のために用いられるデータ等を含み得る。各ECUは、各種機器に接続され得る。エンジンECU100aは、エンジン310と接続されており、エンジン310の状態を示すデータフレームを周期的にバス200に送信する。ブレーキECU100bは、ブレーキ320と接続されており、ブレーキ320の状態を示すデータフレームを周期的にバス200に送信する。ドア開閉センサECU100cは、ドア開閉センサ330と接続されており、ドア開閉センサ330により検知されたドアの開閉状態を示すデータフレームを周期的にバス200に送信する。また、ウィンドウ開閉センサECU100dは、ウィンドウ開閉センサ340と接続されており、ウィンドウ開閉センサ340により検知されたウィンドウの開閉状態を示すデータフレームを周期的にバス200に送信する。
不正検知ECU400は、フレーム伝送阻止装置として機能する一種のECUであり、バス200に接続される。不正検知ECU400は、バス200に流れるデータフレームを監視し、予め定められた不正なフレームに関する所定条件を満たすデータフレームを検知した場合に、所定の管理情報に基づいてそのフレームの伝送を阻止する所定処理を実行する機能(伝送阻止機能と称する)を有する。
通信モジュール600は、サーバ500と通信するための通信回路を含むモジュールであり、不正検知ECU400にUSB(Universal Serial Bus)等のインタフェースにより直接接続している。
車載ネットワークシステム10は、複数の車両それぞれに搭載され得る。
サーバ500は、複数の車両と通信し得る、車両外部に所在するサーバ装置としてのコンピュータである。例えば、サーバ500と複数の車両とで車両管理システムを形成している。サーバ500は、有線又は無線の通信網を介して、複数の車両それぞれにおける不正検知ECU400に接続された通信モジュール600と通信する。サーバ500は、不正検知ECU400のファームウェア(FW)を更新するために、不正検知ECU400に対して、更新用のFWを含む配信メッセージを送信する機能を有する。
[1.2 データフレームフォーマット]
以下、CANプロトコルに従ったネットワークで用いられるデータフレームについて説明する。
図2は、CANプロトコルで規定されるデータフレームのフォーマットを示す図である。同図には、CANプロトコルで規定される標準IDフォーマットにおけるデータフレームを示している。データフレームは、SOF(Start Of Frame)、IDフィールド、RTR(Remote Transmission Request)、IDE(Identifier Extension)、予約ビット「r」、DLC(Data Length Code)、データフィールド、CRC(Cyclic Redundancy Check)シーケンス、CRCデリミタ「DEL」、ACK(Acknowledgement)スロット、ACKデリミタ「DEL」、及び、EOF(End Of Frame)で構成される。
SOFは、1bitのドミナントで構成される。バスがアイドルの状態はレセシブになっており、SOFによりドミナントへ変更することが、フレームの送信開始の通知となる。
IDフィールドは、11bitで構成される、データの種類を示す値であるIDを格納するフィールドである。複数のノードが同時に送信を開始した場合、このIDフィールドで通信調停を行うために、IDが小さい値を持つフレームが高い優先度となるよう設計されている。
RTRは、データフレームとリモートフレームとを識別するための値であり、データフレームにおいてはドミナント1bitで構成される。
IDEと「r」とは、両方ドミナント1bitで構成される。
DLCは、4bitで構成され、データフィールドの長さを示す値である。
データフィールドは、最大64bitで構成される送信するデータの内容を示す値である。データフィールドは、8bit毎に長さを調整できる。送られるデータの仕様については、CANプロトコルで規定されておらず、車載ネットワークシステムにおいて定められる。従って、車種、製造者等に依存した仕様となる。
CRCシーケンスは、15bitで構成される。CRCシーケンスは、SOF、IDフィールド、コントロールフィールド及びデータフィールドの送信値より算出される。
CRCデリミタは、1bitのレセシブで構成されるCRCシーケンスの終了を表す区切り記号である。
ACKスロットは、1bitで構成される。送信ノードはACKスロットをレセシブにして送信を行う。受信ノードはCRCシーケンスまで正常に受信ができていればACKスロットをドミナントとして送信する。レセシブよりドミナントが優先されるため、送信後にACKスロットがドミナントであれば、送信ノードは、いずれかの受信ノードが受信に成功していることを確認できる。
ACKデリミタは、1bitのレセシブで構成されるACKの終了を表す区切り記号である。
EOFは、7bitのレセシブで構成されており、データフレームの終了を示す。
[1.3 エラーフレームフォーマット]
図3は、CANプロトコルで規定されるエラーフレームのフォーマットを示す図である。エラーフレームは、エラーフラグ(プライマリ)と、エラーフラグ(セカンダリ)と、エラーデリミタ「DEL」とから構成される。
エラーフラグ(プライマリ)は、エラーの発生を他のノードに知らせるために使用される。エラーを検知したノードはエラーの発生を他のノードに知らせるために6bitのドミナントを連続で送信する。この送信は、CANプロトコルにおけるビットスタッフィングルール(つまり連続して同じ値を6bit以上送信しないルール)に違反し、他のノードからのエラーフレーム(セカンダリ)の送信を引き起こす。
エラーフラグ(セカンダリ)は、エラーの発生を他のノードに知らせるために使用される連続した6ビットのドミナントで構成される。エラーフラグ(プライマリ)を受信してビットスタッフィングルール違反を検知した全てのノードがエラーフラグ(セカンダリ)を送信することになる。
エラーデリミタ「DEL」は、8bitの連続したレセシブであり、エラーフレームの終了を示す。
[1.4 ECU100aの構成]
図4は、ECU100aの構成図である。ECU100aは、フレーム送受信部110と、フレーム解釈部120と、受信ID判断部130と、受信IDリスト保持部140と、フレーム処理部150と、フレーム生成部160と、データ取得部170とを含んで構成される。これらの各構成要素は、機能的な構成要素であり、その各機能は、例えばECU100aにおける通信回路、メモリに格納されたプログラムを実行するプロセッサ或いはデジタル回路等により実現される。なお、ECU100b~100dも、ECU100aと同様の構成を備える。
フレーム送受信部110は、バス200に対して、CANのプロトコルに従ったフレームを送受信する。バス200からフレームを1bitずつ受信し、フレーム解釈部120に転送する。また、フレーム生成部160より通知を受けたフレームの内容をバス200に送信する。通信調停といったCANのプロトコルに則った処理も、フレーム送受信部110において実現される。
フレーム解釈部120は、フレーム送受信部110よりフレームの値を受け取り、CANプロトコルで規定されているフレームフォーマットにおける各フィールドにマッピングするよう解釈を行う。IDフィールドと判断した値は受信ID判断部130へ転送する。フレーム解釈部120は、受信ID判断部130から通知される判定結果に応じて、IDフィールドの値と、IDフィールド以降に現れるデータフィールドとを、フレーム処理部150へ転送するか、或いは、その判定結果を受けた以降においてフレームの受信を中止する(つまりそのフレームとしての解釈を中止する)かを、決定する。また、フレーム解釈部120は、CANプロトコルに則っていないフレームと判断した場合は、エラーフレームを送信するようにフレーム生成部160へ通知する。また、フレーム解釈部120は、エラーフレームを受信した場合、つまり受け取ったフレームにおける値からエラーフレームになっていると解釈した場合には、それ以降はそのフレームを破棄する、つまりフレームの解釈を中止する。
受信ID判断部130は、フレーム解釈部120から通知されるIDフィールドの値を受け取り、受信IDリスト保持部140が保持しているIDのリストに従い、そのIDフィールド以降のフレームの各フィールドを受信するかどうかの判定を行う。この判定結果を、受信ID判断部130は、フレーム解釈部120へ通知する。
受信IDリスト保持部140は、ECU100aが受信するIDのリストである受信IDリストを保持する。図5に、受信IDリストの一例を示す。
フレーム処理部150は、受信したフレームのデータに応じてECU毎に異なる機能に係る処理を行う。例えば、エンジンECU100aは、時速が30kmを超えた状態でドアが開いている状態だと、アラーム音を鳴らす機能を備える。エンジンECU100aは、例えばアラーム音を鳴らすためのスピーカ等を有している。そして、エンジンECU100aのフレーム処理部150は、例えば、他のECUから受信したデータ(例えばドアの状態を示す情報)を管理し、エンジン310から取得された時速に基づいて一定条件下でアラーム音を鳴らす処理等を行う。ECU100aと同様の構成を備えるECU100cのフレーム処理部150は、ブレーキがかかっていない状況でドアが開くとアラーム音を鳴らす処理等を行う。なお、フレーム処理部150は、ここで例示した以外のフレームのデータに係る処理を行っても良い。
データ取得部170は、ECUに繋がっている機器、センサ等の状態を示すデータを取得し、フレーム生成部160に通知する。
フレーム生成部160は、フレーム解釈部120から通知されたエラーフレームの送信を指示する通知に従い、エラーフレームを構成し、エラーフレームをフレーム送受信部110へ通知して送信させる。また、フレーム生成部160は、データ取得部170より通知されたデータの値に対して、予め定められたIDをつけてデータフレームを構成し、フレーム送受信部110へ通知する。なお、ECU100a~100dのそれぞれが送信するフレームの内容については後に図6~図9を用いて説明する。
[1.5 受信IDリスト例]
図5は、ECU100a~100dのそれぞれにおいて保持される受信IDリストの一例を示す図である。同図に例示する受信IDリストは、IDの値が、全て(ALL)であることを示すIDリストとなっている。この例は、ECUが、いかなるIDを含むデータフレームも、バス200から受信する例を示している。
[1.6 エンジンECU100aの送信フレーム例]
図6は、エンジン310に接続されたエンジンECU100aから送信されるデータフレームにおけるID及びデータフィールドのデータの一例を示す図である。エンジンECU100aが送信するデータフレームのIDは「1」である。データは、時速(km/時)を表し、最低0(km/時)~最高180(km/時)までの範囲の値を取り、データ長は1byteである。図6の上行から下行へと、エンジンECU100aから逐次送信される各データフレームに対応する各ID及びデータを例示しており、0km/時から1km/時ずつ加速されている様子を表している。
[1.7 ブレーキECU100bの送信フレーム例]
図7は、ブレーキ320に接続されたブレーキECU100bから送信されるデータフレームにおけるID及びデータフィールドのデータの一例を示す図である。ブレーキECU100bが送信するデータフレームのIDは「2」である。データは、ブレーキのかかり具合を割合(%)で表し、データ長は1byteである。この割合は、ブレーキを全くかけていない状態を0(%)、ブレーキを最大限かけている状態を100(%)としたものである。図7の上行から下行へと、ブレーキECU100bから逐次送信される各データフレームに対応する各ID及びデータを例示しており、100%から徐々にブレーキを弱めている様子を表している。
[1.8 ドア開閉センサECU100cの送信フレーム例]
図8は、ドア開閉センサ330に接続されたドア開閉センサECU100cから送信されるデータフレームにおけるID及びデータフィールド(データ)の一例を示す図である。ドア開閉センサECU100cが送信するデータフレームのIDは「3」である。データは、ドアの開閉状態を表し、データ長は1byteである。データの値は、ドアが開いている状態が「1」、ドアが閉まっている状態が「0」である。図8の上行から下行へと、ドア開閉センサECU100cから逐次送信される各データフレームに対応する各ID及びデータを例示しており、ドアが開いている状態から次第に閉められた状態へと移った様子を表している。
[1.9 ウィンドウ開閉センサECU100dの送信フレーム例]
図9は、ウィンドウ開閉センサ340に接続されたウィンドウ開閉センサECU100dから送信されるデータフレームにおけるID及びデータフィールド(データ)の一例を示す図である。ウィンドウ開閉センサECU100dが送信するデータフレームのIDは「4」である。データは、窓(ウィンドウ)の開閉状態を割合(%)で表し、データ長は1byteである。この割合は、窓が完全に閉まっている状態を0(%)、窓が全開の状態を100(%)としたものである。図9の上行から下行へと、ウィンドウ開閉センサECU100dから逐次送信される各データフレームに対応する各ID及びデータを例示しており、窓が閉まっている状態から徐々に開いていく様子を表している。
[1.10 不正検知ECU400の構成]
図10は、不正検知ECU400の構成図である。不正検知ECU400は、フレーム送受信部410と、フレーム解釈部420と、不正検知処理部430、不正検知ルール保持部431、状態確認部440と、状態保持部441と、フレーム生成部450と、更新処理部460と、外部通信部470と、署名処理部480と、鍵保持部481と、車種情報保持部491と、車台番号情報保持部492とを含んで構成される。これらの各構成要素の各機能は、例えば不正検知ECU400における通信回路、メモリに格納されたプログラムを実行するプロセッサ或いはデジタル回路等により実現される。
フレーム送受信部410は、バス200に対して、CANプロトコルに従ったフレームを送受信する。フレーム送受信部410は、バスからフレームを1bitずつ受信する受信部として機能し、受信したフレームをフレーム解釈部420に転送する。また、フレーム生成部450より通知を受けたフレームに基づいて、そのフレームの内容をバス200に1bitずつ送信する。
フレーム解釈部420は、フレーム送受信部410より受信されたフレームの値を受け取り、CANプロトコルで規定されているフレームフォーマットにおける各フィールドにマッピングするよう解釈を行う。フレーム解釈部420は、受信されたデータフレームにおけるIDフィールドと判断した値つまりIDを、不正検知処理部430へ転送する。また、フレーム解釈部420は、CANプロトコルに則っていないフレームと判断した場合は、エラーフレームを送信するようにフレーム生成部450へ通知する。また、フレーム解釈部420は、エラーフレームを受信した場合、つまり受け取ったフレームにおける値からエラーフレームになっていると解釈した場合には、それ以降はそのフレームを破棄する、つまりフレームの解釈を中止する。
不正検知処理部430は、フレーム解釈部420から通知されるIDフィールドの値を受け取り、つまり不正検知ECU400が受信したデータフレームのIDを受け取る。不正検知処理部430は、受け取ったIDについて不正か否かの判定を、不正検知ルール保持部431に保持している不正検知ルールを表す正規IDリストに従って行う。不正検知処理部430は、不正と判定した場合つまり不正を検知した場合に、状態確認部440へ通知する。不正検知ECU400では、不正検知処理部430で不正と検知されたIDを有する受信中のデータフレームが、不正なデータフレームと検知されることになる。なお、検知された不正なデータフレームは、予め定められて不正検知ルール保持部431に保持された不正検知ルールに基づいて、不正と判定されたものに過ぎない。不正検知ルールは、例えば、不正である可能性が高いデータフレームをその他のデータフレームと区別して不正を検知するために規定され得る。不正検知ルールは、例えば、完全に誤検知が生じないように規定されなくても、攻撃の防御を安全に行う見地から規定されても良い。また、車載ネットワークシステム10へのECUの追加その他の状況の変化によって、不正か否かを的確に区別することが困難となり得る。このため、不正検知ルールに基づいて不正と判定されたデータフレームは、例えば不正と推定されるものの、必ずしも車載ネットワークシステム10に悪影響を及ぼすものとは限らず、必ずしもそのデータフレームのデータが不正であるとは限らない。
不正検知ルール保持部431は、不正検知ECU400が受信するデータフレームに含まれるIDが不正か否かを示す不正検知ルールに係る情報を保持する。図11に、不正検知ルールの一例を示す。
状態確認部440は、不正検知処理部430によって不正なデータフレームが検知された場合に、状態保持部441が保持する管理情報が示す伝送阻止機能のアクティベートに係る状態を確認する。伝送阻止機能がアクティベートされた状態は、伝送阻止機能の実行が許容された状態、つまり不正検知処理部430によって不正と検知されたデータフレームの、車載ネットワークでの伝送の阻止が許容された状態である。伝送阻止機能がアクティベートされていない状態は、伝送阻止機能の実行が許容されていない状態、つまり不正検知処理部430によって不正と検知されたデータフレームの、車載ネットワークでの伝送の阻止が許容されていない状態である。状態確認部440は、不正なデータフレームが検知された場合に、伝送阻止機能がアクティベートされた状態であれば、フレーム生成部450へエラーフレームを送信するよう通知する。状態確認部440は、不正なデータフレームが検知された場合において、不正伝送阻止機能がアクティベートされていない状態であれば、車両の状態を確認し、動作不良等といった異常が検知されたときには、外部通信部470に、不正と検知されたデータフレームに関するログ情報を通知する。
状態保持部441は、例えば不揮発性メモリ等の記憶媒体の一領域で実現され、伝送阻止機能のアクティベートに係る状態を示す管理情報を保持する。図12に、管理情報の一例を示す。
フレーム生成部450は、フレーム解釈部420から通知されたエラーフレームの送信を指示する通知に従い、エラーフレームを構成し、エラーフレームをフレーム送受信部410へ通知して送信させる。また、フレーム生成部450は、状態確認部440から通知されたエラーフレームの送信を指示する通知に従い、エラーフレームを構成し、エラーフレームをフレーム送受信部410へ通知して送信させる。
更新処理部460は、更新処理を行う。更新処理は、外部通信部470からFWを取得して、FWによって状態保持部441が保持する管理情報の更新を行う処理である。なお、更新処理部460は、外部通信部470から取得したFWによって、管理情報に加えて或いは管理情報の代わりに、不正検知ルールの更新を行うこととしても良い。更新処理部460でのFWによる管理情報の更新は、例えば、プロセッサに、管理情報を更新するためのFWを実行させることで実現され、或いは、新たな管理情報の内容を示すデータを含むFWのそのデータを、状態保持部441に管理情報として保持させることで実現される。
外部通信部470は、通信モジュール600を介してサーバ500と通信し、配信メッセージを取得する。外部通信部470は、取得した配信メッセージを署名処理部480へ通知して配信メッセージの署名の検証結果を取得し、検証が成功していれば配信メッセージにおけるFWを更新処理部460へ通知する。また、外部通信部470は、状態確認部440から通知されたデータフレームに関するログ情報に、車種情報保持部491より取得した車種情報と、車台番号情報保持部492より取得した車台番号情報とを付加して、署名なし不正検知メッセージを生成する。不正検知メッセージは、不正と検知されたデータフレームに関するログ情報を含み、例えば車載ネットワークシステム10に異常が生じているか否か等について、サーバ500で分析されるべき分析用情報である。外部通信部470は、署名なし不正検知メッセージを、署名処理部480に通知して署名データを取得することで署名付きの不正検知メッセージに変換し、その署名付きの不正検知メッセージを、通信モジュール600を介してサーバ500へと送信する。
署名処理部480は、外部通信部470から通知された署名付きの配信メッセージを、鍵保持部481から取得する鍵を用いて検証し、検証結果を外部通信部470へ通知する。また、署名処理部480は、外部通信部470から通知された署名なし不正検知メッセージに対して、鍵保持部481から取得する鍵を用いて署名データを生成し、生成した署名データを外部通信部470へ通知する。
鍵保持部481は、署名処理部480が利用する鍵を保持する。
車種情報保持部491は、不正検知ECU400を搭載している車両の車種を示す車種情報を保持する。
車台番号情報保持部492は、不正検知ECU400を搭載している車両の識別用の情報としての車台番号情報を保持する。車台番号情報は、例えば、車両形式と製造番号とを示す。
[1.11 不正検知ルール]
図11は、不正検知ECU400の不正検知ルール保持部431が保持する不正検知ルールの一例を示す。
同図の例の不正検知ルールに係る正規IDリストは、所謂ホワイトリストである。この例の正規IDリストは、バス200に、「1」、「2」、「3」、「4」のいずれかであるIDを有するデータフレームが送信されても不正と判定されず、その他のIDを有するデータフレームが送信されると不正と判定(つまり不正と検知)されるという不正検知ルールを表す。
[1.12 管理情報]
図12は、不正検知ECU400の状態保持部441が保持する管理情報の一例を示す。管理情報は、伝送阻止機能の実行が許容されているか否かを示す情報である。
図12の例では、管理情報は、データフレームのID毎に、そのIDを有するデータフレームが不正検知ルールによって不正と検知された場合にそのデータフレームの伝送を阻止する伝送阻止機能を実行が許容されるか否かを示すフラグ情報を対応付けている。
フラグ情報は、例えば1ビットで構成され、例えば、ビット値が1であれば伝送阻止機能の実行が許容されることを示し、ビット値が0であれば伝送阻止機能の実行が許容されないことを示す。一例としては、更新処理部460による管理情報の更新が一度もなされていない状態では、フラグ情報が、データフレームの伝送の阻止を許容しないことを示すようにしても良い。
図12の例では、ID「1」用フラグ情報は、ビット値が0であって、伝送阻止機能の実行が許容されていない状態を示している。これは、ID「1」のデータフレームについては不正検知ECU400の伝送阻止機能がアクティベートされていない状態を表す。また、図12の例では、ID「5」用フラグ情報は、ビット値が1であって、伝送阻止機能の実行が許容されている状態を示している。これは、ID「5」のデータフレームについては不正検知ECU400の伝送阻止機能がアクティベートされた状態を表す。また、例えば図12の例でID「6」用フラグ情報のビット値が0であることは、バス200に流れるID「6」のデータフレームが不正と検知された場合においてそのデータフレームの伝送の阻止が許容されないことを意味する。例えば、ID「6」用フラグ情報のビット値を1に変化させると、バス200に流れるID「6」のデータフレームが不正と検知された場合においてそのデータフレームの伝送の阻止が許容されることになる。
なお、フラグ情報のビット値の0と1との意味を逆にしても良いし、フラグ情報を複数ビット列で構成しても良い。また、管理情報は、不正検知ルールによって不正と検知されたデータフレームが、いかなるIDを有する場合であっても一括して、伝送阻止機能を実行するか否かを切り替えるための1つのフラグ情報だけで構成されても良い。
[1.13 サーバ500の構成]
サーバ500は、メモリ、ハードディスク等の記憶媒体、プロセッサ、通信回路等を含む。
図13は、サーバ500の構成図である。サーバ500は、機能面の構成要素として、通信部510と、分析部520と、FW保持部530と、配信メッセージ生成部540と、署名処理部550と、鍵保持部560とを含んで構成される。これらの各構成要素は、サーバ500における通信回路、メモリに格納されたプログラムを実行するプロセッサ等により実現される。
通信部510は、配信メッセージ生成部540から伝えられた配信メッセージを、車両に対して送信する。この配信メッセージは、車両の通信モジュール600で受信され、不正検知ECU400に伝えられる。また、通信部510は、車両の不正検知ECU400から通信モジュール600を介して送信された不正検知メッセージを受信し、分析部520へ通知する。
分析部520は、通知された不正検知メッセージを署名処理部550へ通知して不正検知メッセージの署名の検証結果を取得する。また、分析部520は、署名検証に成功した不正検知メッセージである分析用情報に含まれる、不正と検知されたデータフレームに関するログ情報を分析することで、車両の動作不良等といった車載ネットワークシステム10に係る異常を引き起こす不正なデータフレームであるか否かを判断する。分析部520は、不正と検知されたデータフレームが異常を引き起こす不正なデータフレームであると判断した場合には、同様のデータフレームが不正検知ECU400で不正と検知された際にそのデータフレームの伝送を阻止する伝送阻止機能をアクティベートするFWを生成する。分析部520は、その生成したFWをFW保持部530へ保持させる。なお、不正検知ECU400が、分析用情報に含ませる、不正と検知されたデータフレームに関するログ情報は、例えば、そのデータフレームの内容、そのデータフレームと同一IDのデータフレームの受信周期或いは受信頻度、そのデータフレームの受信の後の一定時間の間に車両の監視により得られた、車両の状態に係るログデータを含み得る。車両の監視により得られたログデータの一例は、例えば、バス200から受信された各種のデータフレームの内容と受信時刻等といった情報等である。なお、分析部520は、不正と検知されたデータフレームに関するログ情報を分析することで、車両の動作不良等といった車載ネットワークシステム10に係る異常を引き起こす不正なデータフレームを1つ又は複数特定することとしても良い。この場合には、分析部520は、異常を引き起こす不正なデータフレームとして特定したデータフレームと同様のデータフレームが不正検知ECU400で不正と検知された際にそのデータフレームの伝送を阻止する伝送阻止機能をアクティベートするFWを生成する。
FW保持部530は、不正検知ECU400に配信するFWを保持する。
配信メッセージ生成部540は、不正検知ECU400へ配信するFWを含ませた配信メッセージを生成し、署名処理部550に通知して署名データを生成させることで、署名付き配信メッセージを得て、署名付き配信メッセージを、通信部510へ伝える。
署名処理部550は、分析部520から通知された署名付きの不正検知メッセージの署名を、鍵保持部560から取得する鍵を用いて検証し、検証結果を分析部520へと通知する。また、署名処理部550は、配信メッセージ生成部540より通知された配信メッセージに対して、鍵保持部560から取得する鍵を用いて署名データを生成し、生成した署名データを配信メッセージ生成部540へ通知する。
鍵保持部560は、署名処理部550が利用する鍵を保持する。
[1.14 不正フレームの検知及び伝送阻止のシーケンス]
図14は、不正検知ECU400による不正フレームの検知及び伝送阻止のシーケンスの一例を示す。この例は、車載ネットワークシステム10のバス200に、攻撃者に支配された不正ECUが接続されていることを想定した例となっている。図14では、不正検知ECU400及びECU100aの動作を示すが、例えばECU100b~100dもECU100aと同様の動作を行い得る。以下、図14に即して、不正フレームの検知及び伝送阻止のシーケンスについて説明する。なお、ここでは、不正検知ECU400は、図11で例示した正規IDリストを保持しているものとして説明する。
不正ECUは、ID「5」を有しデータフィールドのデータが「0xFF」であるデータフレームのバス200への送信を開始する(ステップS1001)。なお、バス200へのデータフレームの送信は、バス200に接続された各ECUがそのデータフレームを受信可能となるブロードキャストとなる。
不正検知ECU400及びECU100aは、データフレームのIDを受信する(ステップS1002)。
ECU100aは、受信IDリスト(図5参照)を使って、バス200から受信したIDがデータフィールドの内容を受信すべきデータフレームのIDであるか否かを判定する(ステップS1003)。ECU100aは、受信IDリストに従って、ID「5」のデータフレームのデータフィールドの受信をするデータフィールド受信処理を継続する(ステップS1004)。
不正検知ECU400は、不正検知ルールに係る正規IDリストに従って、バス200から受信したIDが不正なデータフレームのIDであるか否かを判定する(ステップS1005)。不正検知ECU400は、正規IDリストにID「5」が含まれていないことから、受信したID「5」を有する受信中のデータフレームが不正と判定して、ステップS1006に進む。もし、正規IDリストにID「5」が含まれていれば、不正検知ECU400は、受信中のデータフレームを不正でないと判定して処理を終了する。
ステップS1006で、不正検知ECU400は、管理情報を参照して、伝送阻止機能がアクティベートされているか否かを判定する。
ステップS1006で伝送阻止機能がアクティベートされていないと判定した場合には、不正検知ECU400は、動作不良検知処理を行う(ステップS1007)。動作不良検知処理については、後に図15を用いて説明する。
不正検知ECU400は、例えば図12で例示した内容の管理情報を保持している場合においては、ID「5」を有するデータフレームについての伝送の阻止が許容され、つまりそのデータフレームについての伝送阻止機能がアクティベートされていると判定する。
ステップS1006で伝送阻止機能がアクティベートされていると判定した場合には、不正検知ECU400は、エラーフレームを生成し(ステップS1008)、エラーフレームをバス200に送信する(ステップS1009)。これにより、ID「5」を有するデータフレームの受信中においてエラーフレームがバス200にブロードキャストされるので、そのデータフレームの伝送が阻止されることになる。なお、ステップS1009では、ステップS1005で不正と判定されたデータフレームの伝送を阻止するためのエラーフレームのバス200への送信は、そのデータフレームの最後尾のビットが受信される前に行なわれる。
エラーフレームを受信したECU100aは、受信中のデータフレームのデータフィールドの受信を中止する(ステップS1010)。不正検知ECU400が送信したエラーフレームにより、バス200に接続された各ECUでは、不正ECUが送信したデータフレームの受信が中断されることになる。このため、例えば、ECU100aがその不正なデータフレームの内容に従ってエンジン310を制御すること等が、防止される。
[1.15 不正検知ECU400における動作不良検知処理]
図15は、不正検知ECU400における動作不良検知処理の一例を示す。以下、同図に即して動作不良検知処理を説明する。
不正検知ECU400は、不正なデータフレームを検知した後に、一定時間、車両の動作不良(つまり異常)の検知のための監視を行う(ステップS1101)。この一定時間の車両の監視により車両の状態に係るログデータが得られる。
車両の動作不良の一例は、特定IDを有するデータフレームが、通常は略一定周期でバス200に流れるのに、その周期で送信されていないことである。この他、車両の動作不良の一例として、バス200を流れる特定IDを有するデータフレームのデータの値、受信頻度等が、仕様或いは通常とは異なることが挙げられる。この特定IDは、例えば、不正と検知されたデータフレームのIDとは異なるIDである。例えば、特定IDとして、車載ネットワークシステム10において用いられるデータフレームのうち、車両の走行制御に関連するデータ等といった重要なデータに係るデータフレームのIDを用いることは、有用である。また、車両の動作不良の一例として、車載ネットワークシステム10を構成する特定のECUの動作が仕様或いは通常と異なることが、そのECUがバス200に送信したフレーム或いは車載センサのセンシング結果等に基づき判明したことが挙げられる。
不正検知ECU400は、ステップS1101で、動作不良が検知された場合に、通信モジュール600を介して、サーバ500へ、不正と検知されたデータフレームに関するログ情報(例えばログデータ等)を含む不正検知メッセージを送信する(ステップS1102)。
[1.16 不正検知メッセージのフォーマット]
図16に、不正検知ECU400がサーバ500に送信する不正検知メッセージのフォーマットの一例を示す。不正検知メッセージは、不正検知ECU400から通信モジュール600を介してサーバ500に送信される。
図16の例では、不正検知メッセージは、車種情報、車台番号情報、発生現象情報、ログ情報、及び、署名データで構成される。発生現象情報は、例えば、検知された動作不良の種類を示す情報である。ログ情報は、不正と検知されたデータフレームの内容、そのデータフレームの受信後の一定時間にバス200に流れたデータフレームについてのログデータ等を含む。
[1.17 不正検知ECU400における更新処理]
図17は、不正検知ECU400における伝送阻止機能のアクティベートに係る更新処理の一例を示す。以下、同図に即して更新処理を説明する。
不正検知ECU400は、サーバ500が送信した、更新用のFWを含む配信メッセージを受信する通信モジュール600を介して、その配信メッセージを取得する(ステップS1201)。
続いて、不正検知ECU400は、配信メッセージに付されている署名データを検証する(ステップS1202)。
不正検知ECU400は、配信メッセージの送信元が、正しいサーバ500であるか否かを、ステップS1202での検証結果が検証の成功を示すか否かに基づいて判定し(ステップS1203)、送信元が正しいサーバ500でない場合にはFWの更新をスキップして更新処理を終了する。
ステップS1203で検証結果が成功を示す場合つまり送信元が正しいサーバ500である場合には、不正検知ECU400は、配信メッセージに含まれるFWによってFWの更新を行う(ステップS1204)。このFWの更新によって、例えば、管理情報が更新される。この管理情報の更新により、例えば、伝送阻止機能がアクティベートされ得る。なお、ステップS1204で、不正検知ECU400は、配信メッセージに含まれる車種情報が、自装置を搭載している車両の車種と同一であるか否かを確認して同一である場合に限ってFWの更新を行うこととしても良い。
[1.18 配信メッセージのフォーマット]
図18に、サーバ500が車両へと配信する配信メッセージのフォーマットの一例を示す。
図18の例では、配信メッセージは、配信の対象となる車両の車種を示す車種情報、更新用のFW、及び、署名データで構成される。更新用のFWは、一例としては、管理情報(図12参照)における1つ以上のIDに対応するフラグ情報を更新するためのデータ或いはプログラムを含む。
[1.19 実施の形態1の効果]
実施の形態1に係る車両の車載ネットワークシステム10では、不正検知ECU400が、バス200を流れるデータフレームを不正と判定した場合に、管理情報により伝送阻止機能がアクティベートされた状態が示される場合にはそのデータフレームの伝送を阻止する。また、不正検知ECU400は、伝送阻止機能がアクティベートされていない状態においては、そのデータフレームの伝送を阻止しない。データフレームが不正と検知されて、動作不良が検知された車両から得た、ログ情報を分析してサーバ500が生成したFWがサーバ500から配信されることで、不正検知ECU400では、伝送阻止機能がアクティベートされ得る。サーバ500は、異常を引き起こす不正なデータフレームと判断したそのデータフレームの伝送の阻止を許容するように管理情報を更新するFWを生成する。これにより、例えば、攻撃者により車両に異常を引き起こす攻撃フレームがバス200に送信された場合に、不正検知ECU400がその攻撃フレームの伝送を阻止するようになる。また、不正検知ECU400における管理情報によって、車両に異常を引き起こさないデータフレームについては、そのデータフレームの伝送の阻止が許容されず、誤ってその伝送の阻止を行うことの悪影響が防止される。
(実施の形態2)
以下、実施の形態1で示した車載ネットワークシステム10を部分的に変形した車載ネットワークシステム11について説明する。車載ネットワークシステム11は、不正と判定したデータフレームの伝送を阻止する伝送阻止機能を、車車間通信によってアクティベートでき、サーバ1500からの指示によってディアクティベートできるフレーム伝送阻止装置としての不正検知ECUを備える。
[2.1 車載ネットワークシステム11の構成]
図19は、車両に搭載された車載ネットワークシステム11の構成を示す図である。なお、同図には、他の車両及び車外のサーバ1500を付記している。車載ネットワークシステム11は、複数の車両それぞれに搭載される。サーバ1500と複数の車両とで車両管理システムを形成している。
車載ネットワークシステム11は、図19に示すように、バス200と、バス200に接続されたECU100a~100d及び不正検知ECU1400と、通信モジュール1600とを含んで構成される。なお、実施の形態1(図1参照)と同様の構成については、図19において図1と同一の符号を付しており、説明を省略する。ここで特に説明しない点は、車載ネットワークシステム11は実施の形態1で示した車載ネットワークシステム10と同様である。
不正検知ECU1400は、バス200に接続される一種のECUである。不正検知ECU1400は、バス200に流れるデータフレームを監視し、予め定められた不正なフレームに関する所定条件を満たすデータフレームを検知した場合に、所定の管理情報に基づいてそのフレームの伝送を阻止する伝送阻止機能を有する。不正検知ECU1400は、ここで特に説明しない点は、実施の形態1で示した不正検知ECU400と同様である。
車両に搭載された通信モジュール1600は、サーバ1500及び他の車両と通信するための通信回路を含むモジュールであり、不正検知ECU1400にUSB等のインタフェースにより直接接続している。各車両の通信モジュール1600間で行われる車車間通信により、各車両の不正検知ECU1400が互いにメッセージを授受し得る。車両の通信モジュール1600が実行する車車間通信は、例えば一定出力の無線送信により、その車両の周囲(例えば数十m、数百m等の距離の範囲内)に所在する他の車両にメッセージを伝達することができる。
サーバ1500は、複数の車両と通信し得る、車両外部に所在するサーバ装置としてのコンピュータである。サーバ1500は、有線又は無線の通信網を介して、複数の車両それぞれにおける不正検知ECU1400に接続された通信モジュール1600と通信する。サーバ1500は、実施の形態1で示したサーバ500と同様に、不正検知ECU1400に対して、更新用のFWを含む配信メッセージを送信する機能を有する。サーバ1500は、更に、車両の不正検知ECU1400の伝送阻止機能をディアクティベートするためのディアクティベーションメッセージを送信する機能を有する。また、サーバ1500は、更に、ある車両から不正検知メッセージを受信した場合において、必要に応じて、その不正検知メッセージに含まれる車種情報及びアクティベート指示情報を含ませた異常通知メッセージを他の車両へと送信する機能を有する。なお、この機能は、車両による直接的な車車間通信による異常通知メッセージの伝送を補完する、アクティベート指示情報の中継機能である。
[2.2 不正検知ECU1400の構成]
図20は、不正検知ECU1400の構成図である。不正検知ECU1400は、フレーム送受信部410と、フレーム解釈部420と、不正検知処理部430、不正検知ルール保持部431、状態確認部1440と、状態保持部441と、フレーム生成部450と、更新処理部1460と、外部通信部1470と、署名処理部480と、鍵保持部481と、車種情報保持部491と、車台番号情報保持部492とを含んで構成される。これらの各構成要素の各機能は、例えば不正検知ECU1400における通信回路、メモリに格納されたプログラムを実行するプロセッサ或いはデジタル回路等により実現される。実施の形態1で示した不正検知ECU400(図10参照)と同様の機能を有する構成要素については、図20において同じ符号を付しており、説明を省略する。
状態確認部1440は、実施の形態1で示した状態確認部440を変形したものである。状態確認部1440は、不正なデータフレームが検知された場合に、伝送阻止機能がアクティベートされた状態であれば、フレーム生成部450へエラーフレームを送信するよう通知する。状態確認部1440は、不正なデータフレームが検知された場合において、不正伝送阻止機能がアクティベートされていない状態であれば、車両の状態を確認する。状態確認部1440は、この確認において動作不良等といった異常が検知されたときには、サーバ1500への送信のための不正と検知されたデータフレームに関するログ情報と、他の車両におけるフレーム伝送阻止装置の伝送阻止機能のアクティベートのためのアクティベート指示情報とを、外部通信部470に通知する。このアクティベート指示情報には、伝送阻止機能のアクティベートのための指示であることを示すアクティベーション命令と、不正と検知されたデータフレームのID、つまり、その伝送阻止機能のアクティベートの対象となるIDを特定するための対象フレーム情報とが含まれる。
更新処理部1460は、実施の形態1で示した更新処理部460と同様の機能に加えて、外部通信部1470から、伝送阻止機能のアクティベート状態に係るアクティベート指示情報或いはディアクティベート指示情報を通知された場合にこれらの指示情報に対応して管理情報の更新を行う機能を有する。なお、ディアクティベート指示情報には、伝送の阻止を行わないディアクティベートのための指示であることを示すディアクティベーション命令と、その伝送の阻止を行わない対象となるデータフレームのIDを特定するための対象フレーム情報とが含まれる。更新処理部1460による、アクティベート指示情報に対応した管理情報の更新に係る伝送阻止機能アクティベーション処理は、対象フレーム情報で示されるIDに対応するフラグ情報を、伝送阻止機能がアクティベートされた状態つまり伝送の阻止を許容する状態を示す値に変更することで実現される。更新処理部1460による、ディアクティベート指示情報に対応した管理情報の更新に係る伝送阻止機能ディアクティベーション処理は、対象フレーム情報で示されるIDに対応するフラグ情報を、伝送阻止機能がアクティベートされていない状態つまり伝送の阻止を許容しない状態を示す値に変更することで実現される。
外部通信部1470は、実施の形態1で示した外部通信部470を変形したものである。外部通信部1470は、通信モジュール1600を介してサーバ1500と通信し、配信メッセージ、異常通知メッセージ或いはディアクティベーションメッセージを取得する。外部通信部1470は、取得した配信メッセージを署名処理部480へ通知して配信メッセージの署名の検証結果を取得し、検証が成功していれば配信メッセージにおけるFWを更新処理部1460へ通知する。外部通信部1470は、取得した異常通知メッセージを署名処理部480へ通知して異常通知メッセージの署名の検証結果を取得し、検証が成功して車種情報が自装置の搭載されている車両と同一車種であれば、異常通知メッセージにおけるアクティベート指示情報を更新処理部1460へ通知する。外部通信部1470は、取得したディアクティベーションメッセージを署名処理部480へ通知してディアクティベーションメッセージの署名の検証結果を取得し、検証が成功していればディアクティベーションメッセージにおけるディアクティベート指示情報を更新処理部1460へ通知する。なお、車両管理システムにおいて、伝送阻止機能をディアクティベートするディアクティベーションメッセージを送信する所定権限は例えばサーバ1500に与えられているが、車両には与えられていない。このため、ディアクティベーションメッセージの署名の検証においては、ディアクティベーションメッセージに、所定権限を有するサーバ1500に係る署名データが付されていることを検証することが有用となる。
また、外部通信部1470は、状態確認部1440から通知されたデータフレームに関するログ情報及びアクティベート指示情報に、車種情報保持部491より取得した車種情報と、車台番号情報保持部492より取得した車台番号情報とを付加して、署名なし不正検知メッセージを生成する。この不正検知メッセージは、実施の形態1で示した不正検知メッセージにアクティベート指示情報を追加したものである。外部通信部1470は、署名なし不正検知メッセージを、署名処理部480に通知して署名データを取得することで署名付きの不正検知メッセージに変換し、その署名付きの不正検知メッセージを、通信モジュール1600を介してサーバ1500へと送信する。また、外部通信部1470は、状態確認部1440から通知されたアクティベート指示情報に、車種情報保持部491より取得した車種情報と、車台番号情報保持部492より取得した車台番号情報とを付加して、署名なし異常通知メッセージを生成する。外部通信部1470は、署名なし異常通知メッセージを、署名処理部480に通知して署名データを取得することで署名付きの異常通知メッセージに変換し、その署名付きの異常通知メッセージを、通信モジュール1600を介して他の車両へと送信する。
[2.3 サーバ1500の構成]
サーバ1500は、メモリ、ハードディスク等の記憶媒体、プロセッサ、通信回路等を含む。
図21は、サーバ1500の構成図である。サーバ1500は、機能面の構成要素として、通信部510と、分析部1520と、FW保持部530と、メッセージ生成部1540と、署名処理部550と、鍵保持部560とを含んで構成される。これらの各構成要素は、サーバ1500における通信回路、メモリに格納されたプログラムを実行するプロセッサ等により実現される。実施の形態1で示したサーバ500(図13参照)と同様の機能を有する構成要素については、図21において同じ符号を付しており、説明を適宜省略する。
通信部510は、メッセージ生成部1540から伝えられた配信メッセージ、ディアクティベーションメッセージ或いは異常通知メッセージを、車両に対して送信する。これらのメッセージは、車両の通信モジュール1600で受信され、不正検知ECU1400に伝えられる。また、通信部510は、車両の不正検知ECU1400から通信モジュール1600を介して送信された不正検知メッセージを受信し、分析部1520へ通知する。
分析部1520は、通知された不正検知メッセージを署名処理部550へ通知して不正検知メッセージの署名の検証結果を取得する。また、分析部1520は、署名検証に成功した不正検知メッセージである分析用情報に含まれる、不正と検知されたデータフレームに関するログ情報を分析することで、車両の動作不良等といった車載ネットワークシステム11に係る異常を引き起こす不正なデータフレームであるか否かを判断する。分析部1520は、不正と検知されたデータフレームが異常を引き起こす不正なデータフレームであると判断した場合には、同様のデータフレームが不正検知ECU1400で不正と検知された際にそのデータフレームの伝送を阻止する伝送阻止機能をアクティベートするFWを生成する。分析部1520は、その生成したFWをFW保持部530へ保持させる。また、分析部1520は、不正と検知されたデータフレームが異常を引き起こす不正なデータフレームであると判断した場合には、不正検知メッセージに含まれるアクティベート指示情報及び車種情報をメッセージ生成部1540に通知する。また、分析部1520は、不正と検知されたデータフレームが異常を引き起こす不正なデータフレームでないと判断した場合には、同様のデータフレームが不正検知ECU1400で不正と検知された際にそのデータフレームの伝送を阻止する伝送阻止機能をディアクティベートするためにディアクティベート指示情報をメッセージ生成部1540に通知する。分析部1520での判断は、不正と検知されたデータフレームの影響を踏まえ、例えば複数の車両から収集された情報等に基づいて行なわれても良い。なお、分析部1520は、メッセージ生成部1540に通知するディアクティベート指示情報に、伝送阻止機能をディアクティベートする対象となるデータフレームのIDを示す対象フレーム情報を含める。
FW保持部530は、不正検知ECU1400に配信するFWを保持する。
メッセージ生成部1540は、不正検知ECU1400へ配信するFWを含ませた配信メッセージを生成し、署名処理部550に通知して署名データを生成させることで、署名付き配信メッセージを得て、署名付き配信メッセージを、通信部510へ伝える。また、メッセージ生成部1540は、分析部1520からアクティベート指示情報及び車種情報の通知を受けた場合にはそのアクティベート指示情報及び車種情報を含ませた異常通知メッセージを生成し、署名処理部550に通知して署名データを生成させることで、署名付き異常通知メッセージを得て、署名付き異常通知メッセージを、通信部510へ伝える。また、メッセージ生成部1540は、分析部1520からディアクティベート指示情報の通知を受けた場合にはそのディアクティベート指示情報を含ませたディアクティベーションメッセージを生成し、署名処理部550に通知して署名データを生成させることで、署名付きディアクティベーションメッセージを得て、署名付きディアクティベーションメッセージを、通信部510へ伝える。
署名処理部550は、分析部1520から通知された署名付きの不正検知メッセージの署名を、鍵保持部560から取得する鍵を用いて検証し、検証結果を分析部1520へと通知する。また、署名処理部550は、メッセージ生成部1540より通知された配信メッセージ、異常通知メッセージ或いはディアクティベーションメッセージに対して、鍵保持部560から取得する鍵を用いて署名データを生成し、生成した署名データをメッセージ生成部1540へ通知する。
[2.4 不正フレームの検知及び伝送阻止のシーケンス]
図22は、不正検知ECU1400による不正フレームの検知及び伝送阻止のシーケンスの一例を示す。この例は、車載ネットワークシステム11のバス200に、攻撃者に支配された不正ECUが接続されていることを想定した例となっている。図22では、不正検知ECU1400及びECU100aの動作を示すが、例えばECU100b~100dもECU100aと同様の動作を行い得る。なお、実施の形態1で図14に示した処理のステップと同様のステップについては、図22においても同じ符号を付しており、説明を適宜省略する。
不正ECUが、ID「5」を有しデータが「0xFF」であるデータフレームの送信を開始し(ステップS1001)、不正検知ECU1400は、データフレームのIDを受信する(ステップS1002)。
不正検知ECU1400は、不正検知ルールに係る正規IDリスト(図11参照)に従って、バス200から受信したIDが不正なデータフレームのIDであるか否かを判定し(ステップS1005)、正規IDリストにID「5」が含まれていないことから、受信したID「5」を有する受信中のデータフレームが不正と判定する。続いて、不正検知ECU1400は、管理情報を参照して、伝送阻止機能がアクティベートされているか否かを判定する(ステップS1006)。
ステップS1006で伝送阻止機能がアクティベートされていないと判定した場合には、不正検知ECU1400は、動作不良検知処理を行う(ステップS2007)。この動作不良検知処理については、後に図23を用いて説明する。
ステップS1006で伝送阻止機能がアクティベートされていると判定した場合には、不正検知ECU1400は、エラーフレームを、生成して送信する(ステップS1008、S1009)。
[2.5 不正検知ECU1400における動作不良検知処理]
図23は、不正検知ECU1400における動作不良検知処理の一例を示す。なお、実施の形態1で図15に示した処理のステップと同様のステップについては、図23においても同じ符号を付しており、説明を適宜省略する。以下、図23に即して動作不良検知処理を説明する。
不正検知ECU1400は、不正なデータフレームを検知した後に、一定時間、車両の動作不良(つまり異常)の検知のための監視を行う(ステップS1101)。この一定時間の車両の監視により車両の状態に係るログデータが得られる。
不正検知ECU1400は、ステップS1101で、動作不良が検知された場合に、通信モジュール1600を介して、周囲の車両に車車間通信で、不正と検知されたデータフレームのID示す対象フレーム情報等のアクティベート指示情報を含む異常通知メッセージ(図24参照)を送信する(ステップS2102)。
ステップS2102に続いて不正検知ECU1400は、通信モジュール1600を介して、サーバ1500へ、不正と検知されたデータフレームに関するログ情報(例えばログデータ等)とアクティベート指示情報とを含む不正検知メッセージ(図25参照)を送信する(ステップS2103)。
[2.6 異常通知メッセージのフォーマット]
図24に、車両の不正検知ECU1400が通信モジュール1600によって周囲の車両に送信する異常通知メッセージのフォーマットの一例を示す。異常通知メッセージは、一定条件下でサーバ1500からも送信され得る。
図24の例では、異常通知メッセージは、車種情報、車台番号情報、アクティベート指示情報(つまりアクティベーション命令及び対象フレーム情報)、及び、署名データで構成される。異常通知メッセージにおける対象フレーム情報で例えば所定IDを示し、この場合にアクティベート指示情報は、所定IDを有するフレームの伝送の阻止を許容する指示を表す。
[2.7 不正検知メッセージのフォーマット]
図25に、不正検知ECU1400がサーバ1500に送信する不正検知メッセージのフォーマットの一例を示す。不正検知メッセージは、不正検知ECU1400から通信モジュール1600を介してサーバ1500に送信される。
図25の例では、不正検知メッセージは、車種情報、車台番号情報、アクティベート指示情報(つまりアクティベーション命令及び対象フレーム情報)、発生現象情報、ログ情報、及び、署名データで構成される。この不正検知メッセージは、実施の形態1で示した不正検知メッセージ(図16参照)にアクティベート指示情報を加えたものである。
[2.8 不正検知ECU1400の伝送阻止機能アクティベーション処理]
図26は、不正検知ECU1400における伝送阻止機能アクティベーション処理の一例を示す。以下、同図に即して伝送阻止機能アクティベーション処理を説明する。
不正検知ECU1400は、他の車両或いはサーバ1500が送信した異常通知メッセージを、受信する通信モジュール1600を介して、その異常通知メッセージを取得する(ステップS2201)。
続いて、不正検知ECU1400は、異常通知メッセージに付されている署名データを検証する(ステップS2202)。
不正検知ECU1400は、異常通知メッセージの送信元が、正しいサーバ1500或いは正しい車両であるか否かを、ステップS2202での検証結果が検証の成功を示すか否かに基づいて判定し(ステップS2203)、検証に失敗した場合には、伝送阻止機能のアクティベートをスキップして伝送阻止機能アクティベーション処理を終了する。
ステップS2203で検証結果が成功を示す場合つまり送信元が正しいサーバ1500或いは正しい車両である場合には、不正検知ECU1400は、異常通知メッセージにおける車種情報に基づいて、自装置が搭載されている車両と同じ車種であるか否かを判定する(ステップS2204)。同じ車種でない場合には、不正検知ECU1400は、伝送阻止機能アクティベーション処理を終了する。
ステップS2204で、同じ車種であると判定した場合には、不正検知ECU1400は、異常通知メッセージにおけるアクティベート指示情報に従って、伝送阻止機能をアクティベートする(ステップS2205)。不正検知ECU1400は、このアクティベートを、管理情報における、アクティベート指示情報の対象フレーム情報が示すIDに対応するフラグ情報を、フレームの伝送の阻止を許容することを示す値にすることで実現する。
[2.9 サーバ1500によるディアクティベーションメッセージの送信]
図27は、サーバ1500におけるディアクティベーションメッセージの送信に係る処理の一例を示す。ディアクティベーションメッセージは、不正検知ECU1400の伝送阻止機能をディアクティベートするためのメッセージである。
サーバ1500は、車両の不正検知ECU1400からの不正検知メッセージを受信する(ステップS2301)。
続いて、サーバ1500は、不正検知メッセージに付されている署名データを検証する(ステップS2302)。
サーバ1500は、不正検知メッセージの送信元が、正しい車両であるか否かを、ステップS2302での検証結果が検証の成功を示すか否かに基づいて判定し(ステップS2303)、送信元が正しい車両でない場合には、ディアクティベーションメッセージの送信等を行わずに処理を終了する。
ステップS2303で検証結果が成功を示す場合つまり送信元が正しい車両である場合には、サーバ1500は、不正検知メッセージにおけるログ情報等に基づいて、不正と検知されたデータフレームが異常を引き起こす不正なデータフレームであるか否かを判断する(ステップS2304)。この判断は、異常が引き起こされる状態であるか否かの確認である。ステップS2304で、異常が引き起こされる状態でないと判断した場合には、サーバ1500は、そのデータフレームが不正検知ECU1400で不正と検知された際にそのデータフレームの伝送を阻止する伝送阻止機能をディアクティベートするためにディアクティベート指示情報を含むディアクティベーションメッセージ(図28参照)を送信する(ステップS2305)。サーバ1500は、異常が引き起こされるか否かの判断の方法としていかなる方法を用いても良い。サーバ1500は、ログ情報に基づいて不正と検知されたデータフレームから、一定時間が経過するまでに、車載ネットワークシステム11において予め定められた1つ又は複数の重要なデータフレームの内容或いは送信周期等に異常がない場合に、異常が引き起こされる状態でないと判断する方法を用い得る。また、サーバ1500は、ログ情報に基づいて不正と検知されたデータフレームから、一定時間が経過するまでに、車載ネットワークシステム11を構成し車両の走行の制御に関わる1つ又は複数の特定のECUが正常に動作している場合に、異常が引き起こされる状態でないと判断する方法を用い得る。また、サーバ1500は、一例としては、ログ情報に基づいて不正と検知されたデータフレームから、ある程度十分な長さの一定時間が経過するまでに同種のメッセージが二度と受信されていない場合に、異常が引き起こされる状態でないと判断するような方法を用い得る。
ステップS2304で、異常が引き起こされる状態であると判断した場合には、サーバ1500は、ディアクティベーションメッセージの送信を行わない。なお、ステップS2304で、異常が引き起こされる状態であると判断した場合に、サーバ1500は、例えば、伝送阻止機能をアクティベートするためのFWを含む配信メッセージを送信し得る。
[2.10 ディアクティベーションメッセージのフォーマット]
図28に、サーバ1500が車両に対して送信するディアクティベーションメッセージのフォーマットの一例を示す。ディアクティベーションメッセージは、車両の通信モジュール1600を介して不正検知ECU1400に受信される。
図28の例では、ディアクティベーションメッセージは、車種情報、ディアクティベート指示情報(つまりディアクティベーション命令及び対象フレーム情報)、及び、署名データで構成される。ディアクティベーションメッセージにおける対象フレーム情報で例えば所定IDを示し、この場合にディアクティベート指示情報は、所定IDを有するフレームの伝送の阻止を許容しない指示を表す。
[2.11 不正検知ECU1400における伝送阻止機能ディアクティベーション処理]
図29は、不正検知ECU1400における伝送阻止機能ディアクティベーション処理の一例を示す。以下、同図に即して伝送阻止機能ディアクティベーション処理を説明する。
不正検知ECU1400は、通信モジュール1600を介して、ディアクティベーションメッセージを受信する(ステップS2401)。
続いて、不正検知ECU1400は、ディアクティベーションメッセージに付されている署名データを検証する(ステップS2402)。
不正検知ECU1400は、ディアクティベーションメッセージの送信元が、正しいサーバ1500であるか否かを、ステップS2402での検証結果が検証の成功を示すか否かに基づいて判定し(ステップS2403)、検証に失敗した場合には、伝送阻止機能のディアクティベートをスキップして伝送阻止機能ディアクティベーション処理を終了する。
ステップS2403で検証結果が成功を示す場合、つまり送信元がディアクティベーションメッセージを送信する所定権限を有するサーバ1500であるとの認証に成功した場合には、不正検知ECU1400は、ディアクティベーションメッセージにおけるディアクティベート指示情報の対象フレーム情報と、管理情報中のフラグ情報とに基づいて、対象フレームについての伝送阻止機能がアクティベートされた状態であるか否かを判定する(ステップS2404)。アクティベートされた状態でない場合には、不正検知ECU1400は、伝送阻止機能ディアクティベーション処理を終了する。
ステップS2404で、アクティベートされた状態であると判定した場合には、不正検知ECU1400は、その伝送阻止機能をディアクティベートする(ステップS2405)。不正検知ECU1400は、このディアクティベートを、管理情報における、ディアクティベート指示情報の対象フレーム情報が示すIDに対応するフラグ情報を、フレームの伝送の阻止を許容しないことを示す値にすることで実現する。
[2.12 実施の形態2の効果]
実施の形態2に係る車両の車載ネットワークシステム11では、不正検知ECU1400が、バス200を流れるデータフレームを不正と判定した場合に、管理情報により伝送阻止機能がアクティベートされた状態が示される場合にはそのデータフレームの伝送を阻止する。また、不正検知ECU1400は、伝送阻止機能がアクティベートされていない状態においては、そのデータフレームの伝送を阻止しない。データフレームが不正と検知されて、動作不良が検知された車両の不正検知ECU1400は、他の車両に対して、異常通知メッセージを送信する。これにより、他の車両では、不正と検知されたデータフレームについての伝送阻止機能がアクティベートされ、迅速に攻撃者による攻撃に対する防御を実現し得る。これは、攻撃者による局所的な車両群への一斉攻撃への迅速な防御を可能にしている。また、サーバ1500は、異常を引き起こすものではないと総合的に判断したデータフレームを対象として、車両の不正検知ECU1400による伝送阻止機能をディアクティベートするディアクティベーションメッセージを送信する。ディアクティベーションメッセージを送信する所定権限はサーバ1500が有する。車両において一旦アクティベートされた伝送阻止機能を、所定権限を有するサーバ1500からのみディアクティベートできるようにしておくことで、セキュリティを高めている。
(他の実施の形態)
以上のように、本発明に係る技術の例示として実施の形態1、2を説明した。しかしながら、本発明に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本発明の一実施態様に含まれる。
(1)上記実施の形態では、通信モジュール600、1600が不正検知ECUと直接接続する例を示したが、通信モジュール600、1600は、CANのバス200に繋がる通信モジュールECUであっても良い。この場合には、不正検知ECUは、バス200経由で通信モジュールECUとメッセージの授受を行うことで、通信モジュールECUを介してサーバ500、1500或いは他の車両とメッセージの送受信を行うこととしても良い。また、通信モジュール600、1600は、不正検知ECU400、1400内に通信部として備えられていても良い。
(2)上記実施の形態では、フレーム伝送阻止装置としての不正検知ECU400、1400が通信モジュール600、1600を介して車両外部のサーバ500、1500或いは他の車両とメッセージの送受信する例を示したが、フレーム伝送阻止装置内に車両外部との通信回路を有して、サーバ500等と通信できるようにしても良い。フレーム伝送阻止装置の一例を図30に示す。図30に示したフレーム伝送阻止装置2400は、例えば車両に搭載され、車載ネットワークシステム10、11等のバス200(図1、図19参照)に接続され、例えばプロセッサ、メモリ等の集積回路、通信回路等を含む装置である。フレーム伝送阻止装置2400は、機能面では、例えば、受信部2410、処理部2420、記憶部2430、通信部2440及び更新部2450を含んで構成される。受信部2410は、通信回路等で構成され、バス200からフレームを受信する。受信部2410は、上述のフレーム送受信部110において受信機能を担う部分に相当する。処理部2420は、例えばメモリに格納されたプログラムを実行するプロセッサ、通信回路等で実現され、フレームの伝送の阻止を許容するか否かを示す管理情報に基づいて、受信部2410により受信されたフレームが所定条件を満たす場合にそのフレームの伝送を阻止する所定処理を実行するか否かを切り替える。処理部2420は、例えば、上述の不正検知処理部430、状態確認部440、1440等で構成されても良い。所定条件は例えば不正なフレームを検知するための条件である。所定条件は、例えばフレームのIDについての条件であり、例えば図11で示した正規IDリスト等のIDではない場合に満たされる条件であり得る。処理部2420は、送信部2421を含み、例えば上述の所定処理として、受信部2410により所定条件を満たすフレームの最後尾のビットが受信される前にエラーフレームをバス200へ送信する処理を行い得る。処理部2420は、フレームの伝送の阻止のための所定処理としてそのフレームが伝送されている際に、エラーフレームを構成するに満たない数のドミナント信号をバス200へ送信する処理を行うこととしても良い。このドミナント信号でバス200上のフレームの内容が改変され、例えばCRCの不整合等といった受信エラー等を引き起こすと、受信ノードのECUでそのフレームを正常なフレームと同様に処理することが防止され得る。フレーム伝送阻止装置2400が、複数のバス間を接続して一方のバスから受信したデータフレームを他方のバスに転送する転送機能を有するゲートウェイ装置であっても良く、この場合には処理部2420は、フレームの伝送の阻止する所定処理として、フレームの転送を抑止する処理を行い得る。記憶部2430は、メモリ等の記憶媒体の一領域に管理情報を記憶しており、例えば上述の状態保持部441等に相当する。通信部2440は、例えば無線通信回路等で構成され
、車両外部のサーバ装置、他の車両内の装置等といった外部装置と通信する。例えば通信部2440は、他の車両向けの異常通知メッセージ(図24参照)等を送信し得る。更新部2450は、例えばプログラムを実行するプロセッサ等で構成され、記憶部2430に記憶された管理情報を更新する。更新部2450は、例えば上述の更新処理部460、1460等で構成されても良い。記憶部2430における管理情報は、複数のIDそれぞれに対応して、そのIDを有し所定条件を満たすフレームの伝送の阻止を許容するか否かを示すフラグ情報を含むこととしても良い。これに対応して処理部2420は、受信部2410により受信されたフレームが所定条件を満たす場合において、そのフレームのIDに対応するフラグ情報がそのフレームの伝送の阻止を許容することを示すときには所定処理を実行し、そのフレームのIDに対応するフラグ情報がそのフレームの伝送の阻止を許容しないことを示すときには所定処理を実行しないこととしても良い。また、更新部2450は、フレーム伝送阻止装置2400が、バス200に接続された異常監視用のECU等から、或いは、車両外部の外部装置等から、受信した指示情報に応じて管理情報を更新しても良い。この指示情報は、例えば、上記実施の形態で示したアクティベート指示情報、ディアクティベート指示情報等であり得る。
(3)上記実施の形態では、不正検知ECU400、1400が、不正なデータフレームを検知した場合において、車両の動作不良を検知したときに、車両外部へ不正検知メッセージを送信する例を示した。しかし、不正検知ECU400、1400は、不正なデータフレームが検知された場合において、伝送阻止機能がアクティベートされていない状態であれば、動作不良等といった異常が検知されるか否かに拘わらず、車両外部のサーバ等の外部装置に対して、不正と検知されたデータフレームに関するログ情報等を含む情報を送信することとしても良い。上述のフレーム伝送阻止装置2400では、受信部2410により受信されたフレームが所定条件を満たす場合に、通信部2440が、そのフレームに関する情報を含む分析用情報を車両外部の外部装置に送信することとしても良い。また、不正検知ECU400、1400は、自ら異常か否かの判断ができない場合等においてサーバ500、1500等の外部装置に異常を引き起こすか否かの判断を委ねることとしても良い。サーバ500等の外部装置では、複数の車両から収集される情報に基づいて判断の精度を上げることが可能である。そして、外部装置は異常を引き起こすと判断した場合に必要に応じて不正検知ECU400、1400の伝送阻止機能をアクティベートするためのアクティベート指示情報を含むメッセージを不正検知ECU400、1400に対して送信し得る。また、上記実施の形態では、サーバ500では分析部520及び配信メッセージ生成部540等によって車両の不正検知ECU400の伝送阻止機能のアクティベート状態を変更するFWを含む配信メッセージを生成し、サーバ1500では分析部1520及びメッセージ生成部1540等によって車両の不正検知ECU1400の伝送阻止機能のアクティベート状態を変更する配信メッセージ或いはディアクティベーションメッセージを生成する例を示した。サーバ500、1500が送信するこれらのメッセージの生成は、サーバ500、1500に対する操作者の指示等に基づいて行われることとしても良い。
(4)上記実施の形態では、不正検知ECU400、1400が、サーバ500、1500、他の車両等から送信されるメッセージに基づいて、伝送阻止機能のアクティベート状態を示す管理情報を更新する例を示した。しかし、不正検知ECU400、1400は、不正なデータフレームを検知した場合に、車両に異常が引き起こされたか否かを自ら検査して検査結果として異常の発生を検出したときに(例えばステップS1101で動作不良を検知したときに)、自ら管理情報を更新して伝送阻止機能をアクティベートされた状態にすることとしても良い。具体例として、不正検知ECU400の更新処理部460は、フレーム送受信部110により受信されたデータフレームが、正規IDリストに含まれないIDを有するという不正検知ルールに係る所定条件を満たし、かつ、管理情報におけるそのデータフレームのIDに対応するフラグ情報がそのデータフレームの伝送の阻止を許容しないことを示す場合において、そのデータフレームのIDとは異なる特定IDを有する、フレーム送受信部110で受信されたデータフレームに基づいて異常の発生を検出したときには、そのフラグ情報を伝送の阻止を許容することを示すように更新することとしても良い。例えば、特定IDを有するデータフレームの受信周期、受信頻度、データフレームの内容等が正常状態と異なるか否かを判別することで異常は検出され得る。例えば、特定IDを有するデータフレームが一定時間経過しても受信されない場合に異常と検出しても良い。例えば重要なデータフレームのIDを特定IDとして定めておくことが有用である。これにより、不正なデータフレームが検知され、重要なデータフレームに異常が発生したような場合に、その後の不正なデータフレームの伝送が阻止されるようになる。また別の具体例として、更新処理部460は、フレーム送受信部110により受信されたデータフレームが所定条件を満たし、かつ、フラグ情報がそのデータフレームの伝送の阻止を許容しないことを示す場合において、特定のECUが異常であることを検出したときには、そのフラグ情報を伝送の阻止を許容することを示すように更新することとしても良い。例えばエンジンECU100a、ブレーキECU100b等といった車両の走る、曲がる、或いは止まることの制御に関わるECUを、上述の特定のECUとして定めておくことが有用である。また、ゲートウェイ機能を有するゲートウェイECU、車両の運転者へのユーザインタフェースを提供するヘッドユニットECU等を上述の特定のECUとして定めておくことも有用である。特定のECUの異常は、特定のECUが送信するフレームの内容、特定のECUを監視する監視ECU等からの通知、特定のECUの制御対象のアクチュエータ等に関連するセンサでの測定結果、特定のECUとの個別通信による検査結果等に基づいて検出し得る。例えば、エンジン回転数のセンサによる測定値がある単位時間に通常範囲を超えて急上昇した場合に、エンジンECUの異常を検出できる。例えば、車両の加速度の急激な変化をエンジンECU或いはブレーキECUの異常と検出しても良い。これにより、不正なデータフレームが検知され、車両の走行に影響するECUに異常が発生したような場合に、その後の不正なデータフレームの伝送が阻止されるようになる。また、車載ネットワークシステムへの不正でない新たなECUの追加等により、そのECUが送信したデータフレームが不正と検知された場合においても、車両の走行に影響するECUに異常が発生していないようなときには、そのデータフレームの伝送は阻止されず、阻止による悪影響が防止される。また、不正検知ECU1400は、アクティベート指示情報を含む異常通知メッセージを他の車両に送信する場合(ステップS2102)において、自車両の管理情報についても同様に伝送阻止機能がアクティベートされた状態となるように更新しても良い。具体例としては、不正検知ECU1400は、不正と検知したデータフレームが車両に異常を引き起こすと判定した場合においてそのデータフレームのIDに対応するフラグ情報を伝送阻止機能がアクティベートされた状態を示すようにし、そのIDを有するデータフレームに対してエラーフレームの送信で伝送阻止を行う。そして、そのIDを有するデータフレームの伝送の阻止を許容するアクティベート指示情報を含むメッセージを他の車両に送信する。
(5)上記実施の形態では、不正検知ECU400、1400が、不正なデータフレームを検知するために、IDフィールドに係る正規IDリストを用いたが、IDフィールド以外のフィールドの値を用いてもよい。つまり、フレーム伝送阻止装置において、管理情報次第で伝送阻止の対象となるフレームの所定条件として、IDを用いる例を示したが、そのフレームのID以外についての条件を定めても良い。例えば、所定条件は、フレームとしてのデータフレームのDLCについての条件であっても良いし、データフレームのデータフィールド内のデータについての条件であっても良い。また、車載ネットワークシステムにおいてECU間で授受されるフレームにメッセージ認証コード(MAC:Message Authentication Code)を含ませるように定めておく場合において、所定条件は、フレームに適正なMACが含まれない場合に満たされる条件であっても良い。フレームに適正なMACが含まれるか否かは、例えば、フレーム中の予め特定可能に規定された位置に所在するデータ値としてのMACを、予め定められた検証方法によって検証して、検証に成功するか否かで判別可能である。また、所定条件は、フレームが送信される周期、頻度等に係る条件であっても良い。
(6)上記実施の形態では、フレーム伝送阻止装置としての不正検知ECU400、1400において不正検知ルールによってフレームの不正を検知し、不正と検知されたフレームの伝送阻止機能のアクティベート状態の変更を、FWの更新等によって行う例を示した。しかし、FWの更新により、伝送阻止機能のアクティベート状態の変更の代わりに不正検知ルールを更新しても良い。具体的には、製品出荷時において不正検知ECU400は、全てのIDを不正ではないと扱うよう定めた不正検知ルールを保持するようにしておき、伝送阻止機能は既にアクティベートされている状態としておき、FWの更新により、不正なフレームの伝送を阻止するように、不正検知ルールの方を変更するようにしても良い。
(7)上記実施の形態では、不正検知ECU400が、サーバ500に送信する不正検知メッセージに含ませる、不正と検知されたデータフレームに関するログ情報は、そのデータフレームの検知後の一定時間にバス200に流れたデータフレームについてのログデータ等を含むこととした。そして、サーバ500が、ログ情報を分析することで、車両の動作不良等といった車載ネットワークシステム10に係る異常を引き起こす不正なデータフレームであるか否かを判断する例を示した。しかし、不正検知ECU400は、不正なデータフレームを検知した後の一定時間ではなく、検知前の一定時間、或いはその検知の前後に亘る一定時間の間にバス200から受信された各種のデータフレームの内容と受信時刻等といった情報を、ログ情報に含ませることとしても良い。また、不正検知ECU400は、不正なデータフレームを検知した前の一定時間、又はその検知の前後に亘る一定時間の間にバス200から受信されたデータフレームに基づいて、不正と検知したデータフレームによって異常が引き起こされているか否かを判定しその異常が引き起こされていれば不正と検知したデータフレームについての伝送阻止機能をアクティベートすることとしても良い。
(8)上記実施の形態2では、不正検知ECU1400は、車種情報が、自装置が搭載されている車両と同じ車種を示すか否かを判定することとしたが、これは、動作不良等の異常の起きた車両と、自装置が搭載されている車両との共通性を判定して、伝送阻止機能をアクティベートするか否かを決める一例であり、車種情報以外にも、車両の年式、型式、モデル、製造メーカ等の情報を用いて、共通性を判定しても良い。
(9)上記実施の形態2では、IDで対象フレームを特定して、伝送阻止機能のアクティベート又はディアクティベートの指示が行われる例を示したが、全てのフレームを対象に一括でアクティベート又はディアクティベートの指示が行われることとしても良い。また、対象フレームの特定の方法は、IDに限られず、例えば、フレーム中の特定位置のビット列等で特定しても良い。また、アクティベート指示情報又はディアクティベート指示情報が、FWで表され、不正検知ECUのFWの更新によって伝送阻止機能のアクティベート状態が変更されることとしても良い。また、管理情報は、必ずしもID毎のフラグ情報で構成されている必要はなく、不正と検知された全てのデータフレームの伝送の阻止を許容するか否かを示す1つのフラグだけで構成されても良い。
(10)上記実施の形態で或いは上述の変形例で示したフレーム伝送阻止装置の構成要素は、バス200に接続された複数のECU等といった複数の装置に分散して備えられても良い。また、フレーム伝送阻止装置は、自装置内に保持される管理情報を参照する代わりに、自装置の外部から得られた管理情報を参照することで、不正と検知されたフレームについての伝送の阻止のための所定処理(例えばエラーフレームの送信等)を行うか否かを切り替えても良い。この場合に、不正と検知されたフレームの伝送の阻止を許容するか否かを示す管理情報は、ハードディスクその他の記憶媒体に記憶された情報を読み出して参照されても良いし、スイッチその他のハードウェアにより形成された状態を読み取ることで参照されても良いし、外部から情報を受信することで参照されても良い。
(11)上記の実施の形態では、車載ネットワークでCANプロトコルに従って、データフレームの伝送が行われるものとしたが、CANプロトコルは、オートメーションシステム内の組み込みシステム等に用いられるCANOpen、或いは、TTCAN(Time-Triggered CAN)、CANFD(CAN with Flexible Data Rate)等の派生的なプロトコルを包含する広義の意味のものと扱われることとしても良い。また、車載ネットワークは、CANプロトコル以外のプロトコルを用いるものであっても良い。車両の制御のためのフレーム等の伝送がなされる車載ネットワークのプロトコルとして、例えばLIN(Local Interconnect Network)、MOST(登録商標)(Media Oriented Systems Transport)、FlexRay(登録商標)、Ethernet(登録商標)等を用いても良い。また、これらのプロトコルを用いたネットワークをサブネットワークとして、複数種類のプロトコルに係るサブネットワークを組み合わせて、車載ネットワークを構成しても良い。また、Ethernet(登録商標)プロトコルは、IEEE802.1に係るEthernet(登録商標)AVB(Audio Video Bridging)、或いは、IEEE802.1に係るEthernet(登録商標)TSN(Time Sensitive Networking)、Ethernet(登録商標)/IP(Industrial Protocol)、EtherCAT(登録商標)(Ethernet(登録商標) for Control Automation Technology)等の派生的なプロトコルを包含する広義の意味のものと扱われることとしても良い。なお、車載ネットワークのネットワークバスは、例えば、ワイヤ、光ファイバ等で構成される有線通信路であり得る。例えば、フレーム伝送阻止装置2400は、上述のいずれかのプロトコルを用いてECUが通信するネットワークシステムでネットワークバスに接続され、フレームを受信し、フレームの伝送の阻止を許容するか否かを示す管理情報に基づいて、受信されたフレームが所定条件を満たす場合にそのフレームの伝送を阻止する所定処理を実行するか否かを切り替えるようにしても良い。
(12)上記実施の形態では、CANプロトコルにおけるデータフレームを標準IDフォーマットで記述しているが、拡張IDフォーマットであっても良く、データフレームのIDは、拡張IDフォーマットでの拡張ID等であっても良い。また、上述したデータフレームは、CAN以外のプロトコルが用いられるネットワークにおける一種のフレームであっても良く、この場合に、そのフレームの種類等を識別するIDが、データフレームのIDに相当する。
(13)上記実施の形態では、フレーム伝送阻止装置が、車両に搭載され、車両の制御のための通信を行う車載ネットワークシステムに含まれる例を示したが、車両以外の制御対象の制御のためのネットワークシステムに含まれるものであっても良い。車両以外の制御対象は、例えば、ロボット、航空機、船舶、機械等である。
(14)上記実施の形態で示したECU等の各装置は、メモリ、プロセッサ等の他に、ハードディスクユニット、ディスプレイユニット、キーボード、マウス等を備えるものであっても良い。また、上記実施の形態で示したECU等の各装置は、メモリに記憶されたプログラムがプロセッサにより実行されてソフトウェア的にその各装置の機能を実現するものであっても良いし、専用のハードウェア(デジタル回路等)によりプログラムを用いずにその機能を実現するものであっても良い。また、その各装置内の各構成要素の機能分担は変更可能である。
(15)上記実施の形態における各装置を構成する構成要素の一部又は全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしても良い。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAM等を含んで構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、システムLSIは、その機能を達成する。また、上記各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部又は全部を含むように1チップ化されても良い。また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現しても良い。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。更には、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行っても良い。バイオ技術の適用等が可能性としてあり得る。
(16)上記各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なICカード又は単体のモジュールから構成されているとしても良い。前記ICカード又は前記モジュールは、マイクロプロセッサ、ROM、RAM等から構成されるコンピュータシステムである。前記ICカード又は前記モジュールは、上記の超多機能LSIを含むとしても良い。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、前記ICカード又は前記モジュールは、その機能を達成する。このICカード又はこのモジュールは、耐タンパ性を有するとしても良い。
(17)本発明の一態様としては、例えば図14、図15、図17、図22、図23、図26、図27、図29等に示す処理手順の全部又は一部を含むフレーム伝送阻止方法であるとしても良い。例えば、フレーム伝送阻止方法は、複数のECUがバスを介して通信するネットワークシステムで用いられ、バスからフレームを受信する受信ステップ(例えばステップS1002)と、フレームの伝送の阻止を許容するか否かを示す管理情報に基づいて、受信ステップで受信されたフレームが所定条件を満たす場合にそのフレームの伝送を阻止する所定処理を実行するか否かを切り替える処理ステップ(例えばステップS1006~S1008)とを含む方法である。また、本発明の一態様としては、この方法をコンピュータにより実現するプログラム(コンピュータプログラム)であるとしても良いし、前記コンピュータプログラムからなるデジタル信号であるとしても良い。また、本発明の一態様としては、前記コンピュータプログラム又は前記デジタル信号をコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリ等に記録したものとしても良い。また、これらの記録媒体に記録されている前記デジタル信号であるとしても良い。また、本発明の一態様としては、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしても良い。また、本発明の一態様としては、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記録しており、前記マイクロプロセッサは、前記コンピュータプログラムに従って動作するとしても良い。また、前記プログラム若しくは前記デジタル信号を前記記録媒体に記録して移送することにより、又は、前記プログラム若しくは前記デジタル信号を、前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしても良い。
(18)上記実施の形態及び上記変形例で示した各構成要素及び機能を任意に組み合わせることで実現される形態も本発明の範囲に含まれる。
本発明は、車載ネットワーク等のネットワークへの不正なフレームの伝送を阻止するために利用可能である。
10、11 車載ネットワークシステム
100a 電子制御ユニット(エンジンECU)
100b 電子制御ユニット(ブレーキECU)
100c 電子制御ユニット(ドア開閉センサECU)
100d 電子制御ユニット(ウィンドウ開閉センサECU)
110、410 フレーム送受信部
120、420 フレーム解釈部
130 受信ID判断部
140 受信IDリスト保持部
150 フレーム処理部
160 フレーム生成部
170 データ取得部
200 バス
310 エンジン
320 ブレーキ
330 ドア開閉センサ
340 ウィンドウ開閉センサ
400、1400 不正検知ECU(フレーム伝送阻止装置)
430 不正検知処理部
431 不正検知ルール保持部
440、1440 状態確認部
441 状態保持部
450 フレーム生成部
460、1460 更新処理部
470、1470 外部通信部
480、550 署名処理部
481、560 鍵保持部
491 車種情報保持部
492 車台番号情報保持部
500、1500 サーバ
510、2440 通信部
520、1520 分析部
530 FW保持部
540 配信メッセージ生成部
600、1600 通信モジュール
1540 メッセージ生成部
2400 フレーム伝送阻止装置
2410 受信部
2420 処理部
2421 送信部
2430 記憶部
2450 更新部

Claims (21)

  1. 車両に搭載された複数の電子制御ユニットが1つ以上のネットワークを介して通信する車載ネットワークシステムにおける前記1つ以上のネットワークに接続される前記車両に搭載されたゲートウェイ装置であって、
    レームを受信する受信部と、
    前記フレームを、前記1つ以上のネットワークのうちの1つのネットワークに転送する転送部と、
    フレームの転送の阻止を許容するか否かを示す管理情報に基づいて、前記受信部により受信されたフレームが所定条件を満たす場合に当該フレームの転送を阻止する所定処理を実行するか否かを切り替える処理部と
    前記管理情報を記憶している記憶部と、
    前記記憶部に記憶された前記管理情報を更新する更新部とを備え、
    前記管理情報は、複数のIDそれぞれに対応して、当該IDを有し前記所定条件を満たすフレームの転送の阻止を許容するか否かを示すフラグ情報を含み、
    前記処理部は、前記受信部により受信されたフレームが前記所定条件を満たす場合において、
    当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容することを示すときには前記所定処理を実行し、
    当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容しないことを示すときには前記所定処理を実行せず、
    前記更新部は、
    前記車両の外に所在する外部装置が送信した指示情報が、所定IDを有するフレームの転送の阻止を許容しない指示を示す場合には、前記外部装置が所定権限を有することの認証が成功していることを条件として、前記管理情報における前記所定IDに対応するフラグ情報を、前記所定IDを有するフレームの転送の阻止を許容しないことを示すように更新し、
    前記指示情報が、前記所定IDを有するフレームの転送の阻止を許容する指示を示す場合には、前記外部装置が前記所定権限を有するか否かに拘わらず、前記管理情報における前記所定IDに対応するフラグ情報を、前記所定IDを有するフレームの転送の阻止を許容することを示すように更新する
    ゲートウェイ装置。
  2. 車両に搭載された複数の電子制御ユニットが1つ以上のネットワークを介して通信する車載ネットワークシステムにおける前記1つ以上のネットワークに接続される前記車両に搭載されたゲートウェイ装置であって、
    フレームを受信する受信部と、
    前記フレームを、前記1つ以上のネットワークのうちの1つのネットワークに転送する転送部と、
    フレームの転送の阻止を許容するか否かを示す管理情報に基づいて、前記受信部により受信されたフレームが所定条件を満たす場合に当該フレームの転送を阻止する所定処理を実行するか否かを切り替える処理部と、
    前記管理情報を記憶している記憶部と、
    前記記憶部に記憶された前記管理情報を更新する更新部と、
    前記受信部により受信されたフレームが前記所定条件を満たす場合に、当該フレームに関する情報を含む分析用情報を前記車両の外に所在する外部装置に送信する通信部とを備え、
    前記管理情報は、複数のIDそれぞれに対応して、当該IDを有し前記所定条件を満たすフレームの転送の阻止を許容するか否かを示すフラグ情報を含み、
    前記処理部は、前記受信部により受信されたフレームが前記所定条件を満たす場合において、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容することを示すときには前記所定処理を実行し、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容しないことを示すときには前記所定処理を実行せず、
    前記更新部は、前記外部装置が送信した指示情報に応じて前記管理情報を更新する
    ゲートウェイ装置。
  3. 複数の電子制御ユニットが1つ以上のネットワークを介して通信するネットワークシステムにおける前記1つ以上のネットワークに接続されるゲートウェイ装置であって、
    フレームを受信する受信部と、
    前記フレームを、前記1つ以上のネットワークのうちの1つのネットワークに転送する転送部と、
    フレームの転送の阻止を許容するか否かを示す管理情報に基づいて、前記受信部により受信されたフレームが所定条件を満たす場合に当該フレームの転送を阻止する所定処理を実行するか否かを切り替える処理部と、
    前記管理情報を記憶している記憶部と、
    前記記憶部に記憶された前記管理情報を更新する更新部とを備え、
    前記管理情報は、複数のIDそれぞれに対応して、当該IDを有し前記所定条件を満たすフレームの転送の阻止を許容するか否かを示すフラグ情報を含み、
    前記処理部は、前記受信部により受信されたフレームが前記所定条件を満たす場合において、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容することを示すときには前記所定処理を実行し、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容しないことを示すときには前記所定処理を実行せず、
    前記更新部は、前記受信部により受信されたフレームが前記所定条件を満たし、かつ、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容しないことを示す場合において、当該フレームのIDとは異なる特定IDを有する、前記受信部で受信されたフレームに基づいて異常の発生を検出したときには、当該フラグ情報を、前記阻止を許容することを示すように更新する
    ゲートウェイ装置。
  4. 複数の電子制御ユニットが1つ以上のネットワークを介して通信するネットワークシステムにおける前記1つ以上のネットワークに接続されるゲートウェイ装置であって、
    フレームを受信する受信部と、
    前記フレームを、前記1つ以上のネットワークのうちの1つのネットワークに転送する転送部と、
    フレームの転送の阻止を許容するか否かを示す管理情報に基づいて、前記受信部により受信されたフレームが所定条件を満たす場合に当該フレームの転送を阻止する所定処理を実行するか否かを切り替える処理部と、
    前記管理情報を記憶している記憶部と、
    前記記憶部に記憶された前記管理情報を更新する更新部とを備え、
    前記管理情報は、複数のIDそれぞれに対応して、当該IDを有し前記所定条件を満たすフレームの転送の阻止を許容するか否かを示すフラグ情報を含み、
    前記処理部は、前記受信部により受信されたフレームが前記所定条件を満たす場合において、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容することを示すときには前記所定処理を実行し、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容しないことを示すときには前記所定処理を実行せず、
    前記更新部は、前記受信部により受信されたフレームが前記所定条件を満たし、かつ、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容しないことを示す場合において、前記複数の電子制御ユニットのうち予め定められた特定の電子制御ユニットが異常であることを検出したときには、当該フラグ情報を、前記阻止を許容することを示すように更新する
    ゲートウェイ装置。
  5. 前記複数の電子制御ユニットは、CAN(Controller Area Network)プロトコルに従
    って前記ネットワークを介して通信し、
    前記所定条件を満たすフレームの転送を阻止する前記所定処理は、前記受信部により当該フレームの最後尾のビットが受信される前にエラーフレームを前記ネットワークへ送信する処理を含む
    請求項1~4のいずれか一項に記載のゲートウェイ装置。
  6. 前記管理情報における前記複数のIDそれぞれに対応するフラグ情報は、前記更新部による更新が一度もなされていない状態では、フレームの転送の阻止を許容しないことを示す
    請求項1~4のいずれか一項に記載のゲートウェイ装置。
  7. 前記フラグ情報は、1ビットの情報である
    請求項1~6のいずれか一項に記載のゲートウェイ装置。
  8. 前記ゲートウェイ装置は更に、前記処理部が一のIDを有するフレームの転送を阻止する前記所定処理を実行する場合に、当該一のIDを有するフレームの転送の阻止を許容する指示を示す、他の車両向けの指示情報を送信する通信部を備える
    請求項記載のゲートウェイ装置。
  9. 前記所定条件は、フレームのIDについての条件であり、
    前記処理部は、前記受信部により受信されたフレームのIDが前記所定条件を満たす場合において前記管理情報に基づいて前記所定処理を実行するか否かを切り替える
    請求項1~のいずれか一項に記載のゲートウェイ装置。
  10. 前記複数の電子制御ユニットは、CAN(Controller Area Network)プロトコルに従
    って前記ネットワークを介して通信し、
    前記所定条件は、フレームとしてのデータフレームのDLC(Data Length Code)についての条件であり、
    前記処理部は、前記受信部により受信されたフレームのDLCが前記所定条件を満たす場合において前記管理情報に基づいて前記所定処理を実行するか否かを切り替える
    請求項1~のいずれか一項に記載のゲートウェイ装置。
  11. 前記複数の電子制御ユニットは、CAN(Controller Area Network)プロトコルに従
    って前記ネットワークを介して通信し、
    前記所定条件は、フレームとしてのデータフレームのデータフィールド内のデータについての条件であり、
    前記処理部は、前記受信部により受信されたフレームのデータフィールド内のデータが前記所定条件を満たす場合において前記管理情報に基づいて前記所定処理を実行するか否かを切り替える
    請求項1~のいずれか一項に記載のゲートウェイ装置。
  12. 前記所定条件は、フレームに適正なメッセージ認証コードが含まれない場合に満たされる条件である
    請求項1~のいずれか一項に記載のゲートウェイ装置。
  13. 前記複数の電子制御ユニットは、CAN(Controller Area Network)プロトコルに従
    って前記ネットワークを介して通信し、
    前記所定条件を満たすフレームの転送を阻止する前記所定処理は、当該フレームが転送されている際にドミナント信号を前記ネットワークへ送信する処理を含む
    請求項1~4のいずれか一項に記載のゲートウェイ装置。
  14. 車両に搭載された複数の電子制御ユニットが1つ以上のネットワークを介して通信する車載ネットワークシステムで用いられる方法であって、
    前記車載ネットワークシステムは、フレームの転送の阻止を許容するか否かを示す管理情報を記憶する記憶部を備え、
    前記方法は、
    レームを受信する受信ステップと、
    前記フレームを、前記1つ以上のネットワークのうちの1つのネットワークに転送する転送ステップと、
    前記管理情報に基づいて、前記受信ステップで受信されたフレームが所定条件を満たす場合に当該フレームの転送を阻止する所定処理を実行するか否かを切り替える処理ステップと
    前記記憶部に記憶された前記管理情報を更新する更新ステップとを含み、
    前記管理情報は、複数のIDそれぞれに対応して、当該IDを有し前記所定条件を満たすフレームの転送の阻止を許容するか否かを示すフラグ情報を含み、
    前記処理ステップは、前記受信ステップにより受信されたフレームが前記所定条件を満たす場合において、
    当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容することを示すときには前記所定処理を実行し、
    当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容しないことを示すときには前記所定処理を実行せず、
    前記更新ステップは、
    前記車両の外に所在する外部装置が送信した指示情報が、所定IDを有するフレームの転送の阻止を許容しない指示を示す場合には、前記外部装置が所定権限を有することの認証が成功していることを条件として、前記管理情報における前記所定IDに対応するフラグ情報を、前記所定IDを有するフレームの転送の阻止を許容しないことを示すように更新し、
    前記指示情報が、前記所定IDを有するフレームの転送の阻止を許容する指示を示す場合には、前記外部装置が前記所定権限を有するか否かに拘わらず、前記管理情報における前記所定IDに対応するフラグ情報を、前記所定IDを有するフレームの転送の阻止を許容することを示すように更新する
    法。
  15. 車両に搭載された複数の電子制御ユニットが1つ以上のネットワークを介して通信する車載ネットワークシステムで用いられる方法であって、
    前記車載ネットワークシステムは、フレームの転送の阻止を許容するか否かを示す管理情報を記憶する記憶部を備え、
    前記方法は、
    フレームを受信する受信ステップと、
    前記フレームを、前記1つ以上のネットワークのうちの1つのネットワークに転送する転送ステップと、
    前記管理情報に基づいて、前記受信ステップで受信されたフレームが所定条件を満たす場合に当該フレームの転送を阻止する所定処理を実行するか否かを切り替える処理ステップと、
    前記記憶部に記憶された前記管理情報を更新する更新ステップと、
    前記受信ステップにより受信されたフレームが前記所定条件を満たす場合に、当該フレームに関する情報を含む分析用情報を前記車両の外に所在する外部装置に送信する通信ステップとを含み、
    前記管理情報は、複数のIDそれぞれに対応して、当該IDを有し前記所定条件を満たすフレームの転送の阻止を許容するか否かを示すフラグ情報を含み、
    前記処理ステップは、前記受信ステップにより受信されたフレームが前記所定条件を満たす場合において、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容することを示すときには前記所定処理を実行し、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容しないことを示すときには前記所定処理を実行せず、
    前記更新ステップは、前記外部装置が送信した指示情報に応じて前記管理情報を更新する
    方法。
  16. 複数の電子制御ユニットが1つ以上のネットワークを介して通信するネットワークシステムで用いられる方法であって、
    前記ネットワークシステムは、フレームの転送の阻止を許容するか否かを示す管理情報を記憶する記憶部を備え、
    前記方法は、
    フレームを受信する受信ステップと、
    前記フレームを、前記1つ以上のネットワークのうちの1つのネットワークに転送する転送ステップと、
    前記管理情報に基づいて、前記受信ステップで受信されたフレームが所定条件を満たす場合に当該フレームの転送を阻止する所定処理を実行するか否かを切り替える処理ステップと、
    前記記憶部に記憶された前記管理情報を更新する更新ステップとを含み、
    前記管理情報は、複数のIDそれぞれに対応して、当該IDを有し前記所定条件を満たすフレームの転送の阻止を許容するか否かを示すフラグ情報を含み、
    前記処理ステップは、前記受信ステップにより受信されたフレームが前記所定条件を満たす場合において、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容することを示すときには前記所定処理を実行し、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容しないことを示すときには前記所定処理を実行せず、
    前記更新ステップは、前記受信ステップにより受信されたフレームが前記所定条件を満たし、かつ、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容しないことを示す場合において、当該フレームのIDとは異なる特定IDを有する、前記受信ステップで受信されたフレームに基づいて異常の発生を検出したときには、当該フラグ情報を、前記阻止を許容することを示すように更新する
    方法。
  17. 複数の電子制御ユニットが1つ以上のネットワークを介して通信するネットワークシステムで用いられる方法であって、
    前記ネットワークシステムは、フレームの転送の阻止を許容するか否かを示す管理情報を記憶する記憶部を備え、
    前記方法は、
    フレームを受信する受信ステップと、
    前記フレームを、前記1つ以上のネットワークのうちの1つのネットワークに転送する転送ステップと、
    前記管理情報に基づいて、前記受信ステップで受信されたフレームが所定条件を満たす場合に当該フレームの転送を阻止する所定処理を実行するか否かを切り替える処理ステップと、
    前記記憶部に記憶された前記管理情報を更新する更新ステップとを含み、
    前記管理情報は、複数のIDそれぞれに対応して、当該IDを有し前記所定条件を満たすフレームの転送の阻止を許容するか否かを示すフラグ情報を含み、
    前記処理ステップは、前記受信ステップにより受信されたフレームが前記所定条件を満たす場合において、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容することを示すときには前記所定処理を実行し、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容しないことを示すときには前記所定処理を実行せず、
    前記更新ステップは、前記受信ステップにより受信されたフレームが前記所定条件を満たし、かつ、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容しないことを示す場合において、前記複数の電子制御ユニットのうち予め定められた特定の電子制御ユニットが異常であることを検出したときには、当該フラグ情報を、前記阻止を許容することを示すように更新する
    方法。
  18. 1つ以上のネットワークを介して通信する複数の電子制御ユニットを備える車載ネットワークシステムであって、
    レームを受信する受信部と、
    前記フレームを、前記1つ以上のネットワークのうちの1つのネットワークに転送する転送部と、
    フレームの転送の阻止を許容するか否かを示す管理情報に基づいて、前記受信部により受信されたフレームが所定条件を満たす場合に当該フレームの転送を阻止する所定処理を実行するか否かを切り替える処理部と
    前記管理情報を記憶している記憶部と、
    前記記憶部に記憶された前記管理情報を更新する更新部とを備え、
    前記管理情報は、複数のIDそれぞれに対応して、当該IDを有し前記所定条件を満たすフレームの転送の阻止を許容するか否かを示すフラグ情報を含み、
    前記処理部は、前記受信部により受信されたフレームが前記所定条件を満たす場合において、
    当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容することを示すときには前記所定処理を実行し、
    当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容しないことを示すときには前記所定処理を実行せず、
    前記更新部は、
    車両の外に所在する外部装置が送信した指示情報が、所定IDを有するフレームの転送の阻止を許容しない指示を示す場合には、前記外部装置が所定権限を有することの認証が成功していることを条件として、前記管理情報における前記所定IDに対応するフラグ情報を、前記所定IDを有するフレームの転送の阻止を許容しないことを示すように更新し、
    前記指示情報が、前記所定IDを有するフレームの転送の阻止を許容する指示を示す場合には、前記外部装置が前記所定権限を有するか否かに拘わらず、前記管理情報における前記所定IDに対応するフラグ情報を、前記所定IDを有するフレームの転送の阻止を許容することを示すように更新する
    車載ネットワークシステム。
  19. 1つ以上のネットワークを介して通信する複数の電子制御ユニットを備える車載ネットワークシステムであって、
    フレームを受信する受信部と、
    前記フレームを、前記1つ以上のネットワークのうちの1つのネットワークに転送する転送部と、
    フレームの転送の阻止を許容するか否かを示す管理情報に基づいて、前記受信部により受信されたフレームが所定条件を満たす場合に当該フレームの転送を阻止する所定処理を実行するか否かを切り替える処理部と、
    前記管理情報を記憶している記憶部と、
    前記記憶部に記憶された前記管理情報を更新する更新部と、
    前記受信部により受信されたフレームが前記所定条件を満たす場合に、当該フレームに関する情報を含む分析用情報を車両の外に所在する外部装置に送信する通信部とを備え、
    前記管理情報は、複数のIDそれぞれに対応して、当該IDを有し前記所定条件を満たすフレームの転送の阻止を許容するか否かを示すフラグ情報を含み、
    前記処理部は、前記受信部により受信されたフレームが前記所定条件を満たす場合において、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容することを示すときには前記所定処理を実行し、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容しないことを示すときには前記所定処理を実行せず、
    前記更新部は、前記外部装置が送信した指示情報に応じて前記管理情報を更新する
    車載ネットワークシステム。
  20. 1つ以上のネットワークを介して通信する複数の電子制御ユニットを備える車載ネットワークシステムであって、
    フレームを受信する受信部と、
    前記フレームを、前記1つ以上のネットワークのうちの1つのネットワークに転送する転送部と、
    フレームの転送の阻止を許容するか否かを示す管理情報に基づいて、前記受信部により受信されたフレームが所定条件を満たす場合に当該フレームの転送を阻止する所定処理を実行するか否かを切り替える処理部と、
    前記管理情報を記憶している記憶部と、
    前記記憶部に記憶された前記管理情報を更新する更新部とを備え、
    前記管理情報は、複数のIDそれぞれに対応して、当該IDを有し前記所定条件を満たすフレームの転送の阻止を許容するか否かを示すフラグ情報を含み、
    前記処理部は、前記受信部により受信されたフレームが前記所定条件を満たす場合において、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容することを示すときには前記所定処理を実行し、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容しないことを示すときには前記所定処理を実行せず、
    前記更新部は、前記受信部により受信されたフレームが前記所定条件を満たし、かつ、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容しないことを示す場合において、当該フレームのIDとは異なる特定IDを有する、前記受信部で受信されたフレームに基づいて異常の発生を検出したときには、当該フラグ情報を、前記阻止を許容することを示すように更新する
    車載ネットワークシステム。
  21. 1つ以上のネットワークを介して通信する複数の電子制御ユニットを備える車載ネットワークシステムであって、
    フレームを受信する受信部と、
    前記フレームを、前記1つ以上のネットワークのうちの1つのネットワークに転送する転送部と、
    フレームの転送の阻止を許容するか否かを示す管理情報に基づいて、前記受信部により受信されたフレームが所定条件を満たす場合に当該フレームの転送を阻止する所定処理を実行するか否かを切り替える処理部と、
    前記管理情報を記憶している記憶部と、
    前記記憶部に記憶された前記管理情報を更新する更新部とを備え、
    前記管理情報は、複数のIDそれぞれに対応して、当該IDを有し前記所定条件を満たすフレームの転送の阻止を許容するか否かを示すフラグ情報を含み、
    前記処理部は、前記受信部により受信されたフレームが前記所定条件を満たす場合において、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容することを示すときには前記所定処理を実行し、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容しないことを示すときには前記所定処理を実行せず、
    前記更新部は、前記受信部により受信されたフレームが前記所定条件を満たし、かつ、当該フレームのIDに対応する前記フラグ情報が当該フレームの転送の阻止を許容しないことを示す場合において、前記複数の電子制御ユニットのうち予め定められた特定の電子制御ユニットが異常であることを検出したときには、当該フラグ情報を、前記阻止を許容することを示すように更新する
    車載ネットワークシステム。
JP2021034102A 2016-07-28 2021-03-04 ゲートウェイ装置、方法及び車載ネットワークシステム Active JP7027592B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2016148990 2016-07-28
JP2016148990 2016-07-28

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2017096138A Division JP6849528B2 (ja) 2016-07-28 2017-05-15 フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム

Publications (2)

Publication Number Publication Date
JP2021083125A JP2021083125A (ja) 2021-05-27
JP7027592B2 true JP7027592B2 (ja) 2022-03-01

Family

ID=61194207

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2017096138A Active JP6849528B2 (ja) 2016-07-28 2017-05-15 フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム
JP2021034102A Active JP7027592B2 (ja) 2016-07-28 2021-03-04 ゲートウェイ装置、方法及び車載ネットワークシステム

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2017096138A Active JP6849528B2 (ja) 2016-07-28 2017-05-15 フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム

Country Status (4)

Country Link
US (1) US11356475B2 (ja)
EP (2) EP3748919B1 (ja)
JP (2) JP6849528B2 (ja)
CN (1) CN109076001B (ja)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10757113B2 (en) * 2017-03-17 2020-08-25 Cylance Inc. Communications bus signal fingerprinting
RU2725033C2 (ru) * 2018-03-30 2020-06-29 Акционерное общество "Лаборатория Касперского" Система и способ создания правил
EP3547191B1 (en) * 2018-03-30 2024-06-05 AO Kaspersky Lab System and method of generating rules for blocking a computer attack on a vehicle
JP7269922B2 (ja) * 2018-05-23 2023-05-09 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 通信制御装置、モビリティネットワークシステム、通信制御方法およびプログラム
WO2019225257A1 (ja) * 2018-05-23 2019-11-28 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知装置、異常検知方法およびプログラム
JP6922852B2 (ja) 2018-06-12 2021-08-18 株式会社デンソー 電子制御装置および電子制御システム
JP7138043B2 (ja) * 2018-12-28 2022-09-15 日立Astemo株式会社 情報処理装置
JP7384198B2 (ja) * 2019-03-05 2023-11-21 住友電気工業株式会社 管理装置、通信システム、車両、車両通信管理方法および車両通信管理プログラム
US11616862B2 (en) * 2019-03-11 2023-03-28 Saferide Technologies Ltd. System and method for compressing controller area network (CAN) messages
JP2020154540A (ja) 2019-03-19 2020-09-24 キオクシア株式会社 メモリシステム及び制御システム
CN117896698A (zh) * 2019-08-01 2024-04-16 住友电气工业株式会社 中继装置、车辆通信系统、通信方法及记录介质
JP7215378B2 (ja) * 2019-09-18 2023-01-31 トヨタ自動車株式会社 車載制御装置、情報処理装置、車両用ネットワークシステム、アプリケーションプログラムの提供方法、及びプログラム
CN110519144B (zh) 2019-09-20 2021-10-15 深圳市道通合创新能源有限公司 一种汽车诊断设备与车辆建立通信的方法、装置及汽车通信接口设备
JP7226248B2 (ja) * 2019-10-31 2023-02-21 トヨタ自動車株式会社 通信装置および異常判定装置
JP7247905B2 (ja) * 2020-01-22 2023-03-29 トヨタ自動車株式会社 第1中継装置、第2中継装置、第1中継方法、第2中継方法、第1中継プログラム、第2中継プログラム、及び中継システム
IL295313A (en) * 2020-05-21 2022-10-01 High Sec Labs Ltd A system and method for identifying and preventing cyber attacks in vehicle networks
JP7409247B2 (ja) * 2020-07-14 2024-01-09 株式会社デンソー 不正侵入防止装置、不正侵入防止方法、及び不正侵入防止用プログラム
KR102471960B1 (ko) * 2020-11-18 2022-11-30 한국자동차연구원 차량용 can 통신 보안 장치 및 방법
US12080108B1 (en) * 2021-02-11 2024-09-03 Trackonomy Systems, Inc. System for monitoring vehicles for wear and anomalous events using wireless sensing devices
US20240157893A1 (en) 2021-03-12 2024-05-16 Sumitomo Electric Industries, Ltd. Vehicle-mounted relay device, management device, vehicle-mounted system, and communication management method

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004289257A (ja) 2003-03-19 2004-10-14 Hitachi Ltd ネットワーク認証装置及びネットワーク認証システム
JP2014236248A (ja) 2013-05-30 2014-12-15 日立オートモティブシステムズ株式会社 電子制御装置、電子制御システム
WO2015159520A1 (ja) 2014-04-17 2015-10-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、不正検知電子制御ユニット及び不正検知方法
JP2016134913A (ja) 2015-01-20 2016-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム
JP2016134170A (ja) 2015-01-20 2016-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正対処方法及び電子制御ユニット
JP2016134914A5 (ja) 2015-10-30 2018-11-22

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8213321B2 (en) * 2007-02-01 2012-07-03 Deere & Company Controller area network condition monitoring and bus health on in-vehicle communications networks
JP5522160B2 (ja) * 2011-12-21 2014-06-18 トヨタ自動車株式会社 車両ネットワーク監視装置
WO2013144962A1 (en) * 2012-03-29 2013-10-03 Arilou Information Security Technologies Ltd. Security system and method for protecting a vehicle electronic system
JP5999178B2 (ja) * 2012-05-14 2016-09-28 トヨタ自動車株式会社 車両用ネットワークの通信管理装置及び通信管理方法
JP5637190B2 (ja) * 2012-07-27 2014-12-10 トヨタ自動車株式会社 通信システム及び通信方法
JP5919205B2 (ja) 2013-01-28 2016-05-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびデータ送受信システム
US9998494B2 (en) * 2013-09-13 2018-06-12 GM Global Technology Operations LLC Methods and apparatus for secure communication in a vehicle-based data communication system
US9288048B2 (en) * 2013-09-24 2016-03-15 The Regents Of The University Of Michigan Real-time frame authentication using ID anonymization in automotive networks
US10452504B2 (en) * 2013-10-02 2019-10-22 Nxp B.V. Controller area network (CAN) device and method for emulating classic CAN error management
EP4246893A3 (en) * 2014-04-17 2023-12-27 Panasonic Intellectual Property Corporation of America Vehicle-mounted network system, invalidity detection electronic control unit, and invalidity detection method
CN105594155B (zh) * 2014-05-08 2019-08-02 松下电器(美国)知识产权公司 车载网络系统、电子控制单元以及更新处理方法
JP6573819B2 (ja) * 2015-01-20 2019-09-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004289257A (ja) 2003-03-19 2004-10-14 Hitachi Ltd ネットワーク認証装置及びネットワーク認証システム
JP2014236248A (ja) 2013-05-30 2014-12-15 日立オートモティブシステムズ株式会社 電子制御装置、電子制御システム
WO2015159520A1 (ja) 2014-04-17 2015-10-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、不正検知電子制御ユニット及び不正検知方法
JP2016134913A (ja) 2015-01-20 2016-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム
JP2016134170A (ja) 2015-01-20 2016-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正対処方法及び電子制御ユニット
JP2016134914A5 (ja) 2015-10-30 2018-11-22

Also Published As

Publication number Publication date
CN109076001B (zh) 2021-10-01
US11356475B2 (en) 2022-06-07
EP3493480A1 (en) 2019-06-05
CN109076001A (zh) 2018-12-21
JP6849528B2 (ja) 2021-03-24
EP3748919A1 (en) 2020-12-09
JP2021083125A (ja) 2021-05-27
JP2018026791A (ja) 2018-02-15
EP3493480A4 (en) 2019-07-03
EP3748919B1 (en) 2022-09-21
EP3493480B1 (en) 2020-09-09
US20190173912A1 (en) 2019-06-06

Similar Documents

Publication Publication Date Title
JP7027592B2 (ja) ゲートウェイ装置、方法及び車載ネットワークシステム
JP7008100B2 (ja) 不正対処方法、不正検知電子制御ユニットおよびネットワーク通信システム
JP7105279B2 (ja) セキュリティ装置、攻撃検知方法及びプログラム
US11277427B2 (en) System and method for time based anomaly detection in an in-vehicle communication
CN111344192B (zh) 禁用恶意电子控制单元的系统、方法和计算机程序产品
EP3113529B1 (en) System and method for time based anomaly detection in an in-vehicle communication network
JP2022125099A (ja) 不正検知サーバ、及び、方法
JP7280082B2 (ja) 不正検知方法、不正検知装置及びプログラム
CN111066001B (zh) 日志输出方法、日志输出装置以及存储介质
JP2017069941A (ja) 不正検知電子制御ユニット、車載ネットワークシステム及び通信方法
KR20180127222A (ko) 사이버 공격에 대한 네트워크 보호 방법
EP4109826B1 (en) Frame transmission prevention apparatus, frame transmission prevention method, and in-vehicle network system
JP6527647B1 (ja) 不正検知方法、不正検知装置及びプログラム
JP6698190B2 (ja) 不正対処方法、不正検知電子制御ユニット、および、ネットワーク通信システム
WO2017056395A1 (ja) 不正検知電子制御ユニット、車載ネットワークシステム及び通信方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210309

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210309

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220125

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220126

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220216

R150 Certificate of patent or registration of utility model

Ref document number: 7027592

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150