JP7247875B2 - 判定装置、判定プログラム及び判定方法 - Google Patents

判定装置、判定プログラム及び判定方法 Download PDF

Info

Publication number
JP7247875B2
JP7247875B2 JP2019221517A JP2019221517A JP7247875B2 JP 7247875 B2 JP7247875 B2 JP 7247875B2 JP 2019221517 A JP2019221517 A JP 2019221517A JP 2019221517 A JP2019221517 A JP 2019221517A JP 7247875 B2 JP7247875 B2 JP 7247875B2
Authority
JP
Japan
Prior art keywords
data
determination
combination
identifier
identifiers
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019221517A
Other languages
English (en)
Other versions
JP2021093572A (ja
Inventor
慎一 相羽
浩史 上田
直樹 足立
翔悟 上口
史也 石川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Original Assignee
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Wiring Systems Ltd, AutoNetworks Technologies Ltd, Sumitomo Electric Industries Ltd filed Critical Sumitomo Wiring Systems Ltd
Priority to JP2019221517A priority Critical patent/JP7247875B2/ja
Priority to US17/756,927 priority patent/US12107703B2/en
Priority to PCT/JP2020/042793 priority patent/WO2021111865A1/ja
Priority to DE112020005980.4T priority patent/DE112020005980T5/de
Priority to CN202080083196.9A priority patent/CN114747182A/zh
Publication of JP2021093572A publication Critical patent/JP2021093572A/ja
Application granted granted Critical
Publication of JP7247875B2 publication Critical patent/JP7247875B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40013Details regarding a bus controller
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/12Arrangements for remote connection or disconnection of substations or of equipment thereof
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、判定装置、判定プログラム及び判定方法に関する。
従来、車両に搭載された複数の車載ECU(Electronic Control Unit)間の通信には、CANの通信プロトコルが広く採用されている。車両の多機能化及び高機能化に伴って、搭載される車載ECUの数が増加する傾向となるが、当該車載ECUをグループ(セグメント)に分けて車両ネットワークを構成し、同一グループとなる複数の車載ECUは共通の通信線で接続され相互にデータの送受信を行うと共に、異なるグループの車載ECU間のデータの送受信は、車載中継装置(ゲートウェイ)によって中継される(例えば、特許文献1)。
特許文献1の車両ネットワークには、車載中継装置(ゲートウェイ)に加え、車両ネットワークのセグメント夫々に接続され、車両ネットワークに流れる不正なデータ(メッセージ)を検知する車両ネットワーク監視装置を備えている。当該車両ネットワーク監視装置は、不正なデータ(メッセージ)を検知したとき、車載制御装置(車載ECU)に対して警告情報(メッセージコード)を送信する。
特開2013-131907号公報
しかしながら、特許文献1の車両ネットワーク監視装置は、互いに関連性を有する複数のデータのいずれかのデータに対し攻撃がされた場合、当該攻撃によって不正となったデータを判定する点については、考慮されていない。
本発明の目的は、互いに関連性を有する複数のデータのいずれかのデータに対し攻撃がされた場合、当該攻撃によって不正となったデータを判定することができる判定装置等を提供する。
本開示の一態様に係る判定装置は、車両に搭載され、複数の車載ECUと通信可能に接続された判定装置であって、前記複数の車載ECUから送信されるデータの正否の判定に関する制御を行う制御部を備え、前記データは、第1データ及び第2データを含み、前記制御部は、前記複数の車載ECUから送信される複数の前記第1データ及び前記第2データを取得し、前記第1データに基づいて、判定用データを導出し、前記第1データを識別する識別子と前記第2データを識別する識別子の複数の組合せにおいて、前記第2データ及び前記判定用データに基づき、正当な第1データ及び第2データの識別子を含む正当判定組合せと、不正な第1データ又は第2データの識別子を含む不正判定組合せとを特定し、特定した前記不正判定組合せに含まれる複数の識別子と、前記正当判定組合せに含まれる複数の識別子に基づいて、特定した前記不正判定組合せに含まれるいずれの識別子の第1データ又は第2データが不正であるかを判定し、前記組合せを構成する前記識別子に対応する前記第1データ及び前記第2データは、相関関係を有し、前記第1データ及び前記第2データの相関係数の絶対値は、0.7以上である
本開示の一態様によれば、互いに関連性を有する複数のデータのいずれかのデータに対し攻撃がされた場合、当該攻撃によって不正となったデータを判定する判定装置等を提供することができる。
実施形態1に係る判定装置を含むシステム構成を例示する模式図である。 判定装置の内部構成を例示するブロック図である。 複数の識別子夫々における相関を例示した説明図である。 第1データ及び第2データ夫々を識別する識別子による複数の組合せ(組合せテーブル)に関する説明図である。 判定装置の制御部に含まれる機能部を例示する機能ブロック図である。 判定装置の制御部の処理を例示するフローチャートである。
[本発明の実施形態の説明]
最初に本開示の実施態様を列挙して説明する。また、以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。
(1)本開示の一態様に係る判定装置は、車両に搭載され、複数の車載ECUと通信可能に接続された判定装置であって、
前記複数の車載ECUから送信されるデータの正否の判定に関する制御を行う制御部を備え、
前記データは、第1データ及び第2データを含み、
前記制御部は、
前記複数の車載ECUから送信される複数の前記第1データ及び前記第2データを取得し、
前記第1データに基づいて、判定用データを導出し、
前記第1データを識別する識別子と前記第2データを識別する識別子の複数の組合せにおいて、
前記第2データ及び前記判定用データに基づき、正当な第1データ及び第2データの識別子を含む正当判定組合せと、不正な第1データ又は第2データの識別子を含む不正判定組合せとを特定し、
特定した前記不正判定組合せに含まれる複数の識別子と、前記正当判定組合せに含まれる複数の識別子に基づいて、特定した前記不正判定組合せに含まれるいずれの識別子の第1データ又は第2データが不正であるかを判定する。
本態様にあたっては、判定装置は、第1データ、第2データ及び判定用データに基づき、複数の第1データ及び第2データを識別する識別子による複数の組合せにおいて、正当な第1データ及び第2データの識別子のみを含む正当判定組合せと、不正な第1データ又は第2データの識別子を含む不正判定組合せとを特定する。従って、判定装置は、互いに関連性を有する複数のデータにおいて、正当なデータを特定することができる。判定装置は、不正判定組合せに含まれる識別子の第1データ又は第2データと、特定した正当なデータ(正当判定組合せに含まれる識別子の第1データ及び第2データ)とに基づいて、不正判定組合せに含まれる識別子の第1データ又は第2データのいずれのデータが不正であるかを判定する。従って、互いに関連性を有する複数のデータのいずれかのデータに対し攻撃がされた場合であっても、当該攻撃によって不正となったデータを特定することができる。
(2)本開示の一態様に係る判定装置は、前記複数の組合せ夫々は、複数の前記第1データ夫々を識別するための複数の識別子と、前記第2データの識別子とを含み、
同一の識別子が、2つ以上の前記組合せに重複して含まれる。
本態様にあたっては、組合せ夫々は、複数の第1データ夫々を示す複数の識別子と、単一の第2データの識別子とによるデータセットによって構成され、同一の識別子が、2つ以上の組合せにて重複して含まれる。従って、いずれかの識別子に基づき、これら組合せを互いに数珠繋ぎに連関させることができ、正当判定組合せと判定された組合せに含まれる第1データ又は第2データの識別子を用いて、他の組合せに含まれる識別子の第1データ及び第2データの判定を効率的に行うことができる。
(3)本開示の一態様に係る判定装置は、前記制御部は、前記複数の組合せにおける、いずれかの組合せに含まれる識別子の第1データに基づき導出した判定用データと、前記いずれかの組合せに含まれる識別子の第2データとの差異が所定値以内である場合、前記いずれかの組合せは、正当判定組合せであると特定する。
本態様にあたっては、判定装置は、複数の組合せの夫々において、いずれかの組合せに含まれる複数の第1データに基づき導出した判定用データと、当該組合せに含まれる第2データとの差異が所定値以内である場合、当該組合せは、正当判定組合せである特定する。このように複数の組合せの夫々において、当該組合せに含まれる第1データ及び第2データの正否を判定するため、組合せ夫々に対する判定を効率的に行うことができる。所定値は、判定用データと第2データとを比較するにあたり、判定装置による判定処理の精度上、判定用データと第2データとが実質的に同一の値であると判定するための閾値である。
(4)本開示の一態様に係る判定装置は、前記制御部は、前記複数の組合せにおける、いずれかの組合せに含まれる識別子の第1データに基づき導出した判定用データと、前記いずれかの組合せに含まれる識別子の第2データとの差異が所定値よりも大きい場合、前記いずれかの組合せは、不正判定組合せであると特定する。
本態様にあたっては、判定装置は、複数の組合せの夫々において、組合せに含まれる複数の第1データに基づき導出した判定用データと、当該組合せに含まれる第2データとの差異が所定値よりも大きい場合、当該組合せは、不正判定組合せである特定する。このように複数の組合せの夫々において、当該組合せに含まれる第1データ及び第2データの正否を判定するため、組合せ夫々に対する判定を効率的に行うことができる。
(5)本開示の一態様に係る判定装置は、前記制御部は、前記不正判定組合せに含まれる識別子において、前記正当判定組合せに含まれる識別子とは異なる識別子の第1データ又は第2データを、不正なデータとして判定する。
本態様にあたっては、正当判定組合せに含まれる識別子の第1データ及び第2データは、既に正当なデータであると判定されている。これに対し、不正判定組合せに含まれる識別子の第1データ及び第2データのいずれかのデータは、不正なデータであると推定される。そこで、当該不正判定組合せに含まれる識別子の第1データ又は第2データであっても、正当判定組合せに含まれる識別子の第1データ及び第2データと同じデータは、正当なデータであると判定することができる。従って、不正判定組合せに含まれる識別子の第1データ及び第2データにおいて、正当判定組合せに含まれる識別子の第1データ又は第2データとは異なるデータを、不正なデータとして判定することにより、不正判定組合せに含まれる識別子の第1データ及び第2データにおける、いずれのデータが不正であるかを効率的に判定することができる。
(6)本開示の一態様に係る判定装置は、前記制御部は、前記不正判定組合せに含まれる複数の第1データの識別子において、
他の不正判定組合せにて不正と判定されたデータの識別子を除いた識別子の第1データに基づき、判定用データを導出し、
該判定用データ及び前記不正判定組合せに含まれる識別子の第2データに基づき、前記不正判定組合せに含まれる第1データ及び該第2データの正否を判定する。
本態様にあたっては、いずれかの不正判定組合せに含まれる識別子の複数の第1データにおいて、他の不正判定組合せにて不正と判定されたデータの識別子を除いた第1データに基づき、判定用データを導出する。そして、判定装置は、当該不正と判定されたデータを除いた第1データと、判定用データ当該と、不正判定組合せに含まれる識別子の第2データとに基づき、第1データ及び第2データの正否を判定する。判定用データを導出するために用いられる第1データは、他の不正判定組合せにて不正と判定されたデータの識別子を除いた第1データであるため、正当なデータである可能性が高い。従って、不正と判定されたデータを除いた第1データを用いて導出した判定用データと、第2データとに基づき、第1データ及び第2データの正否の判定を効率的に行うことができる。
(7)本開示の一態様に係る判定装置は、複数の組合せに関する情報は、自装置からアクセス可能な所定の記憶領域に記憶されており、
制御部は、所定の記憶領域を参照することにより、複数の組合せに関する情報を取得する。
本態様にあたっては、複数の組合せに関する情報は、判定装置に含まれる記憶部のみならず、例えば、判定装置と通信可能に接続された外部サーバ等、判定装置からアクセス可能な所定の記憶領域に記憶されているため、当該組合せに関する情報を効率的に取得することができる。
(8)本開示の一態様に係る判定装置は、前記組合せを構成する前記識別子に対応する前記第1データ及び前記第2データは、相関関係を有し、
前記第1データ及び前記第2データの相関係数の絶対値は、0.7以上である。
本態様にあたっては、組合せを構成する識別子に対応する第1データ及び前記第2データは相関関係を有し、当該第1データ及び前記第2データの相関係数の絶対値の所定値を0.7とすることで、第1データとの間の相関係数の絶対値が、0.7以上の第2データを用いてデータの正否を判定することができ、当該判定結果の精度を向上させることができる。
(9)本開示の一態様に係る判定プログラムは、コンピュータに、
複数の車載ECUから送信される複数の第1データ及び第2データを取得し、
前記第1データに基づいて、判定用データを導出し、
前記第1データ及び前記第2データ夫々を識別する識別子による複数の組合せに関する情報を取得し、
取得した前記第2データ及び導出した前記判定用データに基づき、前記複数の組合せにおいて、正当な第1データ及び第2データの識別子を含む正当判定組合せと、不正な第1データ又は第2データの識別子を含む不正判定組合せとを特定し、
特定した前記不正判定組合せに含まれる複数の識別子と、前記正当判定組合せに含まれる複数の識別子に基づいて、特定した前記不正判定組合せに含まれるいずれの識別子の第1データ又は第2データが不正であるかを判定する
処理を実行させる。
本態様にあたっては、コンピュータを判定装置として機能させることができる。
(10)本開示の一態様に係る判定方法は、複数の車載ECUから送信される複数の第1データ及び第2データを取得し、
前記第1データに基づいて、判定用データを導出し、
前記第1データ及び前記第2データ夫々を識別する識別子による複数の組合せに関する情報を取得し、
取得した前記第2データ及び導出した前記判定用データに基づき、前記複数の組合せにおいて、正当な第1データ及び第2データの識別子を含む正当判定組合せと、不正な第1データ又は第2データの識別子を含む不正判定組合せとを特定し、
特定した前記不正判定組合せに含まれる複数の識別子と、前記正当判定組合せに含まれる複数の識別子に基づいて、特定した前記不正判定組合せに含まれるいずれの識別子の第1データ又は第2データが不正であるかを判定する
処理をコンピュータに実行させる。
本態様にあたっては、互いに関連性を有する複数のデータのいずれかのデータに対し攻撃がされた場合、当該攻撃によって不正となったデータを判定する判定方法を提供することができる。
[本発明の実施形態の詳細]
本発明をその実施の形態を示す図面に基づいて具体的に説明する。本開示の実施形態に係る判定装置2を、以下に図面を参照しつつ説明する。なお、本発明はこれらの例示に限定されるものではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。
(実施形態1)
以下、実施の形態について図面に基づいて説明する。図1は、実施形態1に係る判定装置2を含むシステム構成を例示する模式図である。図2は、判定装置2等の内部構成を例示するブロック図である。車両Cには、車外通信装置1、判定装置2及び判定装置2と通信可能に接続された複数の車載ECU3が搭載されている。
判定装置2は、これら複数の車載ECU3が出力(送信)するメッセージ等のデータの正否を判定する。判定装置2は、これら複数の車載ECU3間において送受信されるデータを中継する例えばCANゲートウェイ又はイーサスイッチ(登録商標)等の車載中継装置として機能する。又、判定装置2は、車外通信装置1を介して車外ネットワークNに接続された外部サーバS1(プログラム提供装置)と通信する車載中継装置として機能するものであってもよい。判定装置2は、外部サーバS1から取得したプログラム又はデータを、車両Cに搭載されている車載ECU3(Electronic Control Unit)に送信するリプロマスターとして機能するものであってもよい。判定装置2は、外部サーバS1と協働して、後述する一連の判定処理を行うものであってもよい。
外部サーバS1は、例えばインターネット又は公衆回線網等の車外ネットワークNに接続されているサーバ等のコンピュータであり、RAM(Random Access Memory)、ROM(Read Only Memory)又はハードディスク等による記憶部S11を備える。外部サーバS1には、車載ECU3の製造メーカ等によって作成された当該車載ECU3を制御するためのプログラム又はデータが、記憶部S11に保存されている。当該プログラム又はデータは、更新プログラムとして車両Cに送信され、車両Cに搭載されている車載ECU3のプログラム又はデータを更新するために用いられるものであってもよい。このように構成された外部サーバS1(プログラム提供装置)は、OTA(Over The Air)サーバとも称される。車両に搭載される車載ECU3は、外部サーバS1から無線通信により送信された更新プログラムを取得し、当該更新プログラムを実行するプログラムとして適用することにより、自ECUが実行するプログラムを更新(リプロ)することができる。更に、外部サーバS1の記憶部S11には、判定装置2と協働して一連の判定処理を行うためのプログラム又はデータが記憶されているものであってもよい。
車両Cには、車外通信装置1、判定装置2、表示装置5、及び種々の車載機器を制御するための複数の車載ECU3が搭載されている。車外通信装置1と判定装置2とは、例えばシリアルケーブル等のハーネスにより通信可能に接続されている。判定装置2及び車載ECU3は、CAN(Control Area Network/登録商標)又はTCP/IP等の通信プロトコルに対応した車内LAN4によって通信可能に接続されている。
車外通信装置1は、車外通信部11及び、判定装置2と通信するための入出力I/F(インターフェイス)12を含む。車外通信部11は、3G、LTE、4G、WiFi等の移動体通信のプロトコルを用いて無線通信をするための通信装置であり、車外通信部11に接続されたアンテナ13を介して外部サーバS1とデータの送受信を行う。車外通信装置1と外部サーバS1との通信は、例えば公衆回線網又はインターネット等の外部ネットワークを介して行われる。
入出力I/F12は、判定装置2と、例えばシリアル通信するための通信インターフェイスである。車外通信装置1と判定装置2とは、入出力I/F12及び入出力I/F12に接続されたシリアルケーブル等のハーネスを介して相互に通信する。本実施形態では、車外通信装置1は、判定装置2と別装置とし、入出力I/F12等によってこれら装置を通信可能に接続しているが、これに限定されない。車外通信装置1は、判定装置2の一構成部位として、判定装置2に内蔵されるものであってもよい。
判定装置2は、制御部20、記憶部21、車内通信部23及び入出力I/F24を含む。判定装置2は、例えば、制御系の車載ECU3、安全系の車載ECU3及び、ボディ系の車載ECU3等の複数の系統の通信線41(CANバス、イーサネット(登録商標)ケーブル)によるセグメントを統括し、これらセグメント間での車載ECU3同士の通信を中継するゲートウェイ又はイーサスイッチ等の車載中継装置である。又は、判定装置2は、車両C全体をコントロールするボディECUの一機能部として構成されるものであってもよい。又は、判定装置2は、車載中継装置とは別体の装置として構成され、車載中継装置と通信可能に接続されるものであってもよい。判定装置2は、車載中継装置を介して車載ECU3が出力したメッセージ等のデータを取得し、当該データの正否を判定するものであってもよい。
記憶部21は、RAM(Random Access Memory)等の揮発性のメモリ素子又は、ROM(Read Only Memory)、EEPROM(Electrically Erasable Programmable ROM)若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成してあり、制御プログラム及び処理時に参照するデータがあらかじめ記憶してある。記憶部21に記憶された制御プログラムは、判定装置2が読み取り可能な記録媒体22から読み出された制御プログラムを記憶したものであってもよい。また、図示しない通信網に接続されている図示しない外部コンピュータから制御プログラムをダウンロードし、記憶部21に記憶させたものであってもよい。記憶部21には、車両Cに搭載される全ての車載ECU3の構成情報及び中継処理を行うにあたり用いる経路情報(ルーティングテーブル)が記憶される。記憶部21には、更に、後述する組合せテーブルに関する情報が記憶されている。
車内通信部23は、例えば、CAN(Control Area Network)又はTCP/IP等の通信プロトコルを用いた入出力インターフェイス(CANトランシーバ)であり、制御部20は、車内通信部23を介して車内LAN4に接続されている車載ECU3又は他の中継装置等の車載機器と相互に通信する。車内通信部23は、複数個(図面上では3つ)設けられており、車内通信部23夫々に、車内LAN4を構成する通信線41が接続されている。このように車内通信部23を複数個設けることにより、車内LAN4を複数個のセグメントに分け、各セグメントに車載ECU夫々を、当該車載ECUの機能(制御系機能、安全系機能、ボディ系機能)に応じて接続する。
車内通信部23がCANの通信プロトコルを用いる場合、判定装置が車載ECUから取得するデータは、CANメッセージとなる。車内通信部23がTCP/IPの通信プロトコルを用いる場合、判定装置が車載ECUから取得するデータは、IPパケットとなる。
制御部20は、CPU(Central Processing Unit)又はMPU(Micro Processing Unit)等により構成してあり、記憶部21に予め記憶された制御プログラム及びデータを読み出して実行することにより、種々の制御処理及び演算処理等を行うようにしてある。制御部20は、通信線41夫々に接続されている車載ECU3から送信されるメッセージ等のデータを受信、又は当該車載ECU3に対しメッセージ等のデータを送信するものであり、例えばCANコントローラとして機能する。又、制御部20は、受信したメッセージ内に含まれるCAN-ID等のメッセージ識別子を参照し、参照したメッセージ識別子(CAN-ID)及び記憶部21に記憶してある経路情報(ルーティングテーブル)に基づいて送信先となるセグメントに対応する車内通信部23を特定する。そして、制御部20は、特定した車内通信部23から、当該受信したメッセージを送信することにより、該メッセージを中継するCANゲートウェイとして機能する。制御部20はCANコントローラとして機能するとしたがこれに限定されない。車内通信部23がCANトランシーバ及びCANコントローラとして機能するものであってもよい。又は、制御部20は、車載ECU3から送信されるIPパケット等のデータを受信及び中継処理を行うレイヤー2又はレイヤー3のイーサスイッチとして機能するものであってもよい。
制御部20は、車載ECU3から取得(受信)したメッセージ等のデータを解析等することにより、当該データの正否を判定する。データの正否の判定において、不正なデータとは、例えば、車外通信装置1等を介して車外から侵入したウィルス等により異常な状態となった車載ECU3又は不正に交換された車載ECU3等の不正な車載ECU3から送信されるメッセージ等のデータである。詳細は後述するが、制御部20は、受信したデータを解析等して正否を判定し、例えば、正当(正常)な車載ECU3になりすました不正(異常)な車載ECU3、又は外部から攻撃を受けて異常となった車載ECU3から送信されたメッセージを、不正なメッセージとして判定することができる。制御部20は、不正と判定したメッセージ等のデータに含まれる識別子(CAN-IDのメッセージ識別子等)を特定し、例えば、当該特定した識別子を含むデータの中継処理を禁止する等の防衛処理を行う。
車載ECU3は、制御部30、記憶部31及び車内通信部32を含む。記憶部31は、RAM(Random Access Memory)等の揮発性のメモリ素子又は、ROM(Read Only Memory)、EEPROM(Electrically Erasable Programmable ROM)若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成してあり、車載ECU3のプログラム又はデータが記憶されている。
表示装置5は、例えばカーナビゲーションのディスプレイ等のHMI(Human Machine Interface)装置である。表示装置5は、判定装置2の入出力I/F24とシリアルケーブル等のハーネスにより通信可能に接続されている。表示装置5には、判定装置2の制御部20から入出力I/F24を介して出力されたデータ又は情報が表示される。判定装置2は、上述のごとく、受信したメッセージが不正なメッセージであると判定した場合、当該不正なメッセージに含まれる識別子等の情報を表示装置5に送信し、表示装置5に当該情報を表示させるものであってもよい。表示装置5に当該情報を表示させることにより、車両Cの操作者に不正なメッセージを検出したことを報知することができる。表示装置5と判定装置2との接続形態は、入出力I/F24等による接続形態に限定されず、表示装置5と判定装置2とは、車内LAN4を介した接続形態であってもよい。
図3は、複数の識別子夫々における相関を例示した説明図である。図4は、第1データ及び第2データ夫々を識別する識別子による複数の組合せ(組合せテーブル211)に関する説明図である。
車載ECU3から出力(送信)されるデータは、当該データを識別するための識別子が含まれる。車載ECU3から出力されるデータが、例えばCANメッセージの場合、CANメッセージのフレームに含まれるCAN-IDのフィールドに格納されるメッセージ識別子(CAN-IDの番号)が、識別子に相当する。複数の識別子のデータが互いに相関関係を有している。相関関係を有するとは、いずれか二つの識別子のデータにおいて、これらデータの相関係数の絶対値が所定値以上であることを示すものである。相関係数は、例えば、CANメッセージ又はIPパケットのペイロードに格納されている値又は内容に関する情報に基づき、算出するものであってもよい。
当該所定値は、例えば0.7であり、所定値を0.7とすることにより、取得部201から出力されたデータ群から、比較的に相関が高い状態量となる複数のデータを抽出することができる。更に推定精度を向上させるにあたり、当該所定値は、0.9とすることが望ましい。更に好ましくは、当該所定値は、0.97とするのが良い。相関係数は、例えば、算式(相関係数=複数のデータに含まれる第1データの値と、複数のデータに含まれる第1データ以外の第2データの値との共分散/(第1データの値の標準偏差 × 第2データの値の標準偏差))を用いることにより算出することができる。相関係数夫々の絶対値を所定値以上とすることにより、正又は負の相関において、互いに相関が高い状態量となる複数のデータを抽出することができる。第2データが第1データに対し負の相関となる場合、相関係数は、負(マイナス)の値となるが、この値に-1を乗算することにより、正の相関となる第2データとして用いることができる。
本実施形態の図示にて、例えば、8個の識別子における相関関係を示す。すなわち、図3及び4において、当該識別子を、CAN-IDとした場合、CAN-IDが、100,110,120,130,140、150、160及び170のメッセージ(データ)間の相関関係が、例示されている。図3に示すとおり、いずれかの識別子のメッセージは、他の複数の識別子のメッセージと相関関係を有している。すなわち、これら複数の識別子のメッセージ夫々は、他のメッセージを介して数珠繋ぎとなるように相関関係を有している。
例えば、CAN-IDが170の識別子において、160及び140を介して自識別子(170)に回帰する経路と、120,150及び110を介して自識別子(170)に回帰する経路による少なくとも2つの経路によって、他のメッセージを介して数珠繋ぎとなる相関関係を有している。従って、いずれかの識別子に対し攻撃がされた場合であっても、当該複数の経路にて数珠繋ぎとなっている他の複数の識別子との関係を用いることにより、どの識別子のデータが不正なデータであるかを判定し、当該不正な識別子を特定することができる。
図4は、これら複数の識別子における相関関係の組合せをテーブル形式(組合せテーブル211)にて示している。なお、図4においては、これら組合せ夫々に基づき、当該組合せに含まれる識別子(第1識別子又は第2識別子)のデータの正否に関する事項を付記してあるが、事項当該については、後述する。
組合せテーブル211は、管理項目(メタデータ)として、例えば、組合せNo、複数の第1識別子、第2識別子を含む。組合せNoの項目(フィールド)には、組合せを特定するための管理番号が格納される。本実施形態においては、一例として、8個の識別子(100,110,120,130,140,150,160,170及び180)を、8個の組合せ(No1からNo8)にて構成した組合せテーブル211としている。このように組合せの個数は、判定対象となるデータの識別子の個数と同数とするものであってもよい。第2識別子の項目(フィールド)には、後述する判定データとの比較対象となるデータの識別子(第2識別子)が、格納される。複数の第1識別子の各項目(フィールド)には、第2識別子のデータと相関関係を有するデータの識別子(第1識別子)夫々が格納される。当該第1識別子夫々を含むデータは、第2識別子のデータと比較するための判定データを導出するために用いられるデータである。
上述のとおり、いずれかの識別子のメッセージは、他の複数の識別子のメッセージと相関関係を有しており、組合せテーブル211にて例示しているとおり、全ての識別子夫々は、少なくとも2つ以上の組合せに含まれている。例えば、CAN-IDが100の識別子は、第2識別子としてNo.1の組合せに含まれると共に、第1識別子としてNo.1、2及び7の組合せに含まれている。すなわち、識別子の組合せ夫々は、複数の第1データ夫々を示す複数の識別子と、単一の第2データの識別子とによるデータセットによって構成される。その上で、同一の識別子が、少なくとも2つ以上の組合せにおいて重複して含まれるように、当該組合せ夫々は、構成されている。
組合せテーブル211は、更に、第1識別子夫々と第2識別子との相関係数の絶対値を含むものであってもよい。相関係数の絶対値の項目(フィールド)には、対応する第1識別子と第2識別子との相関係数又は、相関係数の絶対値が格納される。
本実施形態において、データを識別するための識別子は、CAN-IDによるメッセージ識別子であると記載したが、これに限定されない。車載ECU3及び判定装置2が用いる通信プロトコルが、例えばTCP/IPである場合、当該データを識別するための識別子は、IPパケットに含まれる送信元アドレス、送信先アドレス、ポート番号又は、これらの組合せによるものであってもよい。
図5は、判定装置2の制御部20に含まれる機能部を例示する機能ブロック図である。判定装置2の制御部20は、記憶部21に記憶されている制御プログラムを実行することにより、取得部201、出力部202及び中継処理部203として機能し、判定装置2を車載中継装置として動作させる。更に、判定装置2の制御部20は、記憶部21に記憶されている制御プログラムを実行することにより、データ分類部204、判定用データ導出部205、比較部206、特定部207及び、判定部208として機能し、取得したデータの正否を判定し、これらデータに含まれる識別子において、正当な識別子と、不正な識別子とを特定する。
取得部201は、車載ECU3から出力(送信)されたメッセージ等の複数のデータを車内通信部23を介して取得する。取得部201は、取得したデータを中継処理部203及びデータ分類部204に出力する。
中継処理部203は、記憶部21に記憶されている経路情報を参照することにより、取得したメッセージ等のデータに含まれるCAN-ID又は、送信先アドレスに基づき当該データの中継先となる車内通信部23を特定し、当該データを出力部202に出力する。
出力部202は、中継処理部203から出力されたデータを、中継先として特定された車内通信部23を介して出力し、これら取得部201、中継処理部203及び出力部202によって、データ中継処理が行われる。
データ分類部204は、取得部201を介して、車載ECU3から出力(送信)されたメッセージ等の複数のデータを取得する。データ分類部204は、記憶部21に記憶されている組合せテーブル211を参照して組合せ夫々に含まれる第1識別子及び第2識別子に基づき、取得した複数のデータを、個々の組合せにおける第1識別子を含むデータ(第1データ)と、第2識別子を含むデータ(第2データ)とに分類(分別)する。上述のとおり、データ分類部204は、例えば、CANメッセージに含まれるCAN-ID又は、IPパケットに含まれる送信先アドレス等を識別子(第1識別子又は第2識別子)として用いる。このように中継処理に用いるCAN-ID(CANメッセージ)又は送信先アドレス等(IPパケット)を、データを識別するための識別子として用いることにより、中継処理に付随する処理として当該データの識別を行うことができ、判定装置2の処理負荷が増加することを抑制することができる。
データ分類部204は、第1データ及び第2データの分類(分別)を、個々の組合せ夫々において行う。すなわち、データ分類部204は、各組合せにおいて、複数の第1データ及び第2データからなるデータセットを生成する。
データ分類部204は、全ての組合せ夫々において、個々の組合せ(一の組合せ)に含まれる複数の第1識別子の第1データを判定用データ導出部205に出力すると共に、当該個々の組合せ(一の組合せ)に含まれる第2識別子の第2データを比較部206に出力する。すなわち、データ分類部204は、複数の組合せにおいて、一の組合せに含まれる第1識別子の第1データを判定用データ導出部205に出力し、当該一の組合せに含まれる第2識別子の第2データを比較部206に出力する処理を、組合せの個数分、順次又は逐次に繰り返す。
判定用データ導出部205は、データ分類部204から出力された各組合せ毎の第1データに基づき、判定用データを導出する。すなわち、判定用データ導出部205は、例えば、No1の組合せに含まれる複数の第1識別子(120,130,140)を含む第1データ夫々を入力値として、判定用データを出力値として出力する変換関数を用いることにより、当該No1の組合せに含まれる第2識別子(100)を含む第2データに対応する判定用データを導出する。又は、判定用データ導出部205は、例えば、複数の第1データを入力した場合、判定用データを出力するように学習されたDNN(deep neural network)等の学習モデルより構成されるものであってもよい。判定用データ導出部205は、例えば、DNN等の学習モデルを含み、当該学習モデルに複数の第1データを入力し、学習モデルから出力される判定用データを取得することにより、判定用データを導出するものであってもよい。このように相関関係を有する第1識別子の第1データと第2識別子の第2データとは、判定用データを介して対応関係にあり、第2識別子を攻撃からの保護対象とする保護CANIDとした場合、第1識別子は、第2識別子のデータを推定するにあたって当該第2識別子に関連する関連CANIDに相当する。判定用データ導出部205は、導出した判定用データを比較部206に出力する。
比較部206は、全ての組合せ夫々において、判定用データ導出部205から取得した判定用データと、データ分類部204から出力された第2データとを比較する。比較部206は、比較結果として、例えば、判定用データ及び第2データが一致したか否かに関する情報、又は判定用データと第2データとの差異が所定以内である否か等、当該差異に関する情報を特定部207に出力する。
特定部207は、判定用データと第2データとが一致する等、判定用データと第2データとの差異が所定値以内である場合、当該判定用データの元データである複数の第1データ及び第2データは、正当(正常)なデータであると判定し、当該第1データの第1識別子及び第2データの第2識別子を含む組合せを正当判定組合せである特定する。当該所定値とは、判定用データと第2データとを比較するにあたり、判定装置2による判定処理の精度上、判定用データと第2データとが実質的に同一の値であると判定するための閾値である。
特定部207は、判定用データと第2データとが一致しない等、判定用データと第2データとの差異が所定値より大きい場合、当該判定用データの元データである複数の第1データ又は第2データは、不当(異常)なデータであると判定し、当該第1データの第1識別子及び第2データの第2識別子を含む組合せを不正判定組合せである特定する。特定部207は、複数の組合せ夫々における特定結果、すなわち個々の組合せが正当判定組合せであるか、又は不正判定組合せであるかを特定した結果を判定部208に出力する。
判定部208は、特定部207から出力された複数の組合せ夫々における特定結果を取得する。判定部208は、組合せテーブル211を参照することにより、複数の組合せ夫々において、個々の組合せが含む第1識別子及び第2識別子に関する情報を取得する。判定部208は、正当判定組合せに含まれる第1識別子及び第2識別子は、正当(正常)な識別子であり、当該識別子を含むデータは、正当(正常)なデータであると判定する。
本実施形態の図3にて例示しているように、例えば100及び140の識別子のデータが攻撃を受け、不正なデータとなっている場合、当該不正なデータの識別子(100、140)を含まない組合せである組合せNo6において、判定用データと第2データとの差異が所定値以内となる。すなわち、当該組合せNo6に含まれる第1識別子(120,130)及び第2識別子(150)のデータは、正当(正常)なデータであると判定される。
これに対し、100及び140の識別子を第1識別子又は第2識別子として含む他組合せ(No1,2,3,4,5,7及び8)においては、判定用データと第2データとの差異が所定値よりも大きくなり、当該第1識別子又は第2識別子のデータは、不当(異常)なデータであると、一旦判定される。上述のとおり、これら他組合せは、不正判定組合せとして特定される。
当該不正判定組合せに含まれる第1識別子及び第2識別子において、正当判定組合せに含まれる第1識別子及び第2識別子として既に正当(正常)あると判定された識別子を除いた結果、単一の識別子が残存した場合、判定部208は、当該残存した識別子を不正な識別子であると判定(特定)する。本実施形態において、例えば組合せNo4に含まれる第1識別子(120,140)及び第2識別子(130)において、120及び130の識別子は、正当判定組合せである組合せNo6にも含まれる識別子であり、既に正当(正常)な識別子として判定されている。従って、140の識別子は、正当(正常)あると判定された識別子を除いた結果、残存する単一の識別子に相当する。すなわち、140の識別子が不正であるために、組合せNo4における判定データと第2識別子の第2データとの差異が所定値以内とならず、当該組合せNo4は、不正判定組合せに特定されたものとなる。
判定部208は、不正判定組合せにおいて、既に正当と判定した識別子を除いた結果、単一の識別子が残存した場合、当該残存した識別子は不正な識別子であり、当該不正な識別子を含むデータは不正なデータであると判定する。このように判定部208は、正当判定組合せに含まれる複数の識別子に基づいて、不正判定組合せに含まれるいずれの識別子の第1データ又は第2データが不正であるかを、効率的に判定することができる。
判定部208は、不正判定組合せ及び、不正と判定した識別子に関する情報を、判定用データ導出部205に出力することにより、ループ処理を行う。すなわち、不正判定組合せ及び、不正と判定した識別子に関する情報は、判定部208から判定用データ導出部205に帰還され、判定用データ導出部205による判定用データ導出する処理が、再度実行される。
判定用データ導出部205は、判定部208から出力された不正判定組合せ及び、不正と判定した識別子に関する情報を取得する。判定用データ導出部205は、夫々の不正判定組合せにおいて、当該不正判定組合せの複数の第1識別子から、既に不正と判定した識別子を除いた第1識別子を含む第1データに基づき、判定用データを導出する。
本実施形態においては、例えば、組合せNo8に含まれる第1識別子(110,140)において、140の識別子は、既に不正な識別子として判定されており、当該不正な識別子(140)を除いた第1識別子(110)に基づき、判定用データを導出する。このように既に不正と判定された識別子を除いた第1識別子の第1データに基づくことにより、第2識別子の第2データとの差異が所定値以内となる可能性が高い判定用データを導出することができる。
比較部206、特定部207及び判定部208は、判定用データ導出部205が再度、導出した判定用データに基づき、前回の処理と同様の処理を行い、夫々の不正判定組合せにおいて、不正と判定した識別子を除いた第1識別子及び、第2識別子の正否について判定する。比較部206は、不正と判定した識別子を除いた第1識別子に基づき導出された判定用データと、第2識別子の第2データとを比較し、比較結果として、当該判定用データと、第2識別子の第2データとの差異が所定値以内であるか否か等、当該差異に関する情報を判定部208に出力する。
判定部208は、不正と判定した識別子を除いた第1識別子に基づき導出された判定用データと第2識別子の第2データとが一致する等、差異が所定値以内である場合、不正と判定した識別子を除いた第1識別子及び第2識別子は、正当な識別子であり、当該正当な識別子を含むデータは正当なデータであると判定する。判定部208は、このような判定処理を再起的に繰り返すことにより、正当と判定した識別子を追加していき、正当な識別子、すなわち信頼できる識別子の個数を増加させることができる。判定部208は、再度、不正判定組合せにおいて、正当と判定した識別子を除いた結果、単一の識別子が残存した場合、当該残存した識別子は不正な識別子であり、当該不正な識別子を含むデータは不正なデータであると判定する。判定部208等は、複数の組合せ夫々に含まれる全ての識別子のデータに対し、当該処理を繰り返すことにより、これら全ての識別子の正否を判定する。
判定部208は、識別子の判定結果に関する情報を表示装置5に出力する。当該判定結果に関する情報を表示装置5に出力することにより、例えば、いずれかの識別子のデータが攻撃され、不正(異常)となっていることを車両Cの操作者に報知することができる。判定部208は、不正と判定した識別子に関する情報又は、不正と判定した識別子のデータの中継を禁止する信号(中継禁止信号)を中継処理部203に出力する。当該中継禁止信号等を中継処理部203に出力することにより、攻撃され不正(異常)となっている識別子のデータの中継を禁止し、当該不正なデータに対する防御処置を行うことができる。
データ分類部204、判定用データ導出部205、比較部206、特定部207及び判定部208は、判定装置2の制御部20における機能部として説明したが、これに限定されない。これら機能部における一部の機能部は、判定装置2と通信可能に接続される外部サーバS1等のクラウドサーバ、又は車両Cに搭載されるビークルコンピュータの一機能部として構成され、判定装置2と、外部サーバS1又はビークルコンピュータ等が協働して、これら機能部における一連の処理を行うものであってもよい。
図6は、判定装置2の制御部20の処理を例示するフローチャートである。判定装置2の制御部20は、車両CCが起動状態(IGスイッチがオン)又は停止状態(IGスイッチがオフ)において、常時的に以下の処理を行う。
判定装置2の制御部20は、車載ECU3から送信される複数のデータ(第1データ及び第2データ)を取得する(S101)。制御部20は、車載ECU3から送信される複数のデータを取得する。制御部20が取得したデータは、識別子による複数の組合せに応じて、個々の組合せに含まれる第1識別子の第1データ又は、第2識別子の第2データに分類されるデータである。従って、制御部20が取得したデータは、個々の組合せにおける第1データ及び第2データを含む。
判定装置2の制御部20は、第1データ及び第2データ夫々を識別する識別子による複数の組合せに関する情報を取得する(S102)。制御部20は、記憶部21を参照し、当該記憶部21に記憶されている複数の組合せに関する情報を取得する。複数の組合せに関する情報は、例えば、外部サーバS1の記憶部21等、判定装置2の制御部20がクセス可能な所定の記憶領域に記憶されており、制御部20は、車外通信装置1を介して外部サーバS1と通信することにより、当該外部サーバS1から複数の組合せに関する情報を取得するものであってもよい。
判定装置2の制御部20は、複数の組合せ夫々における第1データに基づいて、複数の組合せ夫々における第2データに相当する判定用データを導出する(S103)。制御部20は、複数の組合せにおける個々の組合せが含む第1識別子の第1データに基づいて、判定用データを導出する。制御部20は、取得したデータに含まれるCAN-ID等の識別子を抽出し、抽出した識別子が、組合せに含まれる第1識別子と同じ識別子のデータを、第1データとして特定する。制御部20は、取得したデータに含まれるCAN-ID等の識別子を抽出し、抽出した識別子が、組合せに含まれる第2識別子と同じ識別子のデータを、第2データとして特定する。
個々の組合せは、複数の第1識別子を含むものため、制御部20は、当該複数の第1識別子に基づいて、複数の第1データを特定する。制御部20は、特定した複数の第1データを、例えば変換関数等に入力し、第2データに対応する判定用データを導出する。制御部20は、複数の組合せ夫々において、個々の組合せにおける第2データに対応する判定用データを導出する。
判定装置2の制御部20は、複数の組合せ夫々における第2データ及び判定用データの差異は所定値以内であるかを判定する(S104)。制御部20は、複数の組合せ夫々において、個々の組合せ毎に、第2データと判定用データとは一致するか、又は第2データ及び判定用データの差異は所定値以内であるかの判定を行う。当該所定値とは、判定用データと第2データとを比較するにあたり、判定装置2による判定処理の精度上、判定用データと第2データとが実質的に同一の値であると判定するための閾値である。または、制御部20は、判定用データ及び第2データの一致度を基準とし、当該一致度が所定値以上であれば、判定用データと第2データとが実質的に同一の値であると判定するものであってもよい。
差異が所定値以下の場合(S104:YES)、判定装置2の制御部20は、正当な第1データ及び第2データの識別子を含む正当判定組合せを特定する(S105)。差異が所定値以下の場合、制御部20は、判定用データの元データである複数の第1データを示す第1識別子及び、第2データを示す第2識別子を含む組合せを正当判定組合せと特定する。すなわち、正当判定組合せに含まれる第1識別子及び第2識別子は、正当な識別子であり、当該正当な識別子を含むデータは、正当なデータであると判定される。
差異が所定値以下でない場合(S104:NO)、すなわち差異が所定値よりも大きい場合、判定装置2の制御部20は、不正な第1データ又は第2データの識別子を含む不正判定組合せを特定する(S1051)。差異が所定値よりも大きい場合、制御部20は、判定用データの元データである複数の第1データを示す第1識別子及び、第2データを示す第2識別子を含む組合せを不正判定組合せと特定する。すなわち、不正判定組合せ含まれる第1識別子及び第2識別子のいずれかの識別子は、不正な識別子であり、当該不正な識別子データは、不正なデータであると判定される。
判定装置2の制御部20は、正当又は不正と判定した第1データ又は第2データの識別子を抽出する(S106)。制御部20は、正当判定組合せに含まれる第1データ及び第2データを示す識別子は、正当な識別子であるとして判定(特定)し抽出する。制御部20は、不正判定組合せに含まれる第1データ及び第2データを示す識別子において、既に正常と判定した識別子を除いた結果、単一の識別子が残存した場合、当該残存した識別子を不正な識別子であると判定(特定)し抽出する。従って、正当判定組合せに含まれる複数の識別子に基づいて、特定した不正判定組合せに含まれるいずれの識別子の第1データ又は第2データが不正であるかを判定し、抽出することができる。
判定装置2の制御部20は、不正判定組合せに含まれる複数の第1データの識別子において、他の不正判定組合せにて不正と判定されたデータの識別子を除いた第1データに基づき、判定用データを導出する(S107)。制御部20は、夫々の不正判定組合せにおいて、当該不正判定組合せの第1識別子から、既に不正と判定した識別子を除いた第1識別子を含むデータに基づき、判定用データを再度、導出する。既に不正と判定された識別子を除いた第1識別子のデータに基づくことにより、制御部20は、第2識別子のデータとの差異が所定値以内となる可能性が高い判定用データを導出することができる。
判定装置2の制御部20は、不正判定組合せに含まれる第2データ及び、導出した判定用データの差異が所定値以内であるかを判定する(S108)。制御部20は、不正判定組合せに含まれる第2データと、既に不正と判定された識別子を除いた第1識別子のデータに基づき導出した判定用データとを、上述の処理S104と同様に比較し、第2データ及び判定用データの差異が所定値以内であるかを判定する。
差異が所定値以下の場合(S108:YES)、判定装置2の制御部20は、第1データ及び第2データの識別子を正当と判定する(S109)。制御部20は、夫々の不正判定組合せにおいて、既に不正と判定された識別子を除いた第1識別子と、第2識別子とは、正当な正当な識別子であり、当該正当な識別子を含むデータは、正当なデータであると判定する。制御部20は、このような判定処理を再起的に繰り返すことにより、正当と判定した識別子を追加していき、正当な識別子、すなわち信頼できる識別子の個数を増加させることができる。
差異が所定値以下でない場合(S108:NO)、すなわち差異が所定値よりも大きい場合、判定装置2の制御部20は、第1データ又は第2データの識別子を不正と判定する(S1091)。制御部20は、夫々の不正判定組合せにおいて、既に不正と判定された識別子を除いた第1識別子及び第2識別子のいずれかの識別子は、不正な識別子であり、当該不正な識別子のデータは、不正なデータであると判定する。
判定装置2の制御部20は、全ての識別子について判定したか否かを判断する(S110)。制御部20は、複数の組合せに含まれる全ての識別子のデータの正否の判定結果を記憶部21に記憶しており、当該判定結果を参照して、全ての識別子について判定したか否かを判断する。
全ての識別子を判定していない場合(S110:NO)、制御部20は、再度S107からの処理を実行することにより、S107からS110までをループ処理する。制御部20は、S107及びS108等の判定処理を再起的に繰り返すことにより、正当と判定した識別子を追加していき、正当な識別子、すなわち信頼できる識別子の個数を増加させることができる。制御部20は、夫々の不正判定組合せにおいて、既に正当(正常)あると判定された識別子を除いた結果、単一の識別子が残存した場合、当該残存した識別子を不正な識別子であると判定することにより、不正な識別子を確実に特定し、特定した不正な識別子個数を増加させることができる。
全ての識別子を判定した場合(S110:YES)、制御部20は、判定結果を表示装置5等に出力する(S111)。当該判定結果に関する情報を表示装置5に出力することにより、相関関係を有する複数の識別子において、例えば、個々の識別子の正否の状態、又はいずれかの識別子のデータが攻撃され不正(異常)となっていることを車両Cの操作者に報知することができる。制御部20は、不正と判定した識別子のデータの中継を禁止する信号(中継禁止信号)を中継処理部203に出力するものであってもよい。当該中継禁止信号等を中継処理部203に出力することにより、攻撃され不正(異常)となっている識別子のデータの中継を禁止し、当該不正なデータによる攻撃に対する防御処置を行うことができる。
本実施形態によれば、判定装置2は、特定した不正判定組合せに含まれる第1識別子の第1データ及び第2識別子の第2データと、特定した正当判定組合せに含まれる第1識別子の第1データ及び第2識別子の第2データとに基づいて、不正判定組合せに含まれる識別子の第1データ又は第2データのいずれのデータが不正であるかを判定する。従って、互いに関連性を有する複数の識別子を含むデータ夫々において、いずれかのデータに対し攻撃がされた場合であっても、当該攻撃によって不正となったデータの識別子を特定することができる。
本実施形態によれば、組合せ夫々は、複数の第1データ夫々を示す複数の第1識別子と、単一の第2データを示す第2識別子とによるデータセットによって構成され、同一の識別子が、2つ以上の組合せにて重複して含まれる。いずれかの識別子に基づき、これら組合せを互いに数珠繋ぎに連関させることができ、正当判定組合せと判定された組合せに含まれる第1データの第1識別子又は第2データの第2識別子を用いて、他の組合せに含まれる識別子の第1識別子及び第2識別子の判定を効率的に行うことができる。
本実施形態によれば、いずれかの不正判定組合せに含まれる第1識別子において、他の不正判定組合せにて不正と判定されたデータの識別子を除いた第1識別子の第1データに基づき、判定用データを再度、導出する。そして、判定装置2は、再度、導出した当該判定用データと、当該いずれかの不正判定組合せに含まれる第2識別子の第2データとの差異に基づき、不正と判定されたデータの識別子を除いた第1識別子及び第2識別子の正否を判定する処理を繰り返し実行する。従って、複数の組合せ夫々に含まれる全ての識別子に対する正否判定を効率的に行うことができ、互いに相関関係を有する複数の識別子において、いずれの識別子が不正であるかを特定することができる。
今回開示された実施形態はすべての点で例示であって、制限的なものではないと考えられるべきである。本発明の範囲は、上記した意味ではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。
C 車両
S1 外部サーバ
S11 記憶部
1 車外通信装置
11 車外通信部
12 入出力I/F
13 アンテナ
2 判定装置(車載中継装置)
20 制御部
201 取得部
202 出力部
203 中継処理部
204 データ分類部
205 判定用データ導出部
206 比較部
207 特定部
208 判定部
21 記憶部
211 組合せテーブル
22 記録媒体
23 車内通信部
24 入出力I/F
3 車載ECU
30 制御部
31 記憶部
32 車内通信部
4 車内LAN
41 通信線
5 表示装置

Claims (9)

  1. 車両に搭載され、複数の車載ECUと通信可能に接続された判定装置であって、
    前記複数の車載ECUから送信されるデータの正否の判定に関する制御を行う制御部を備え、
    前記データは、第1データ及び第2データを含み、
    前記制御部は、
    前記複数の車載ECUから送信される複数の前記第1データ及び前記第2データを取得し、
    前記第1データに基づいて、判定用データを導出し、
    前記第1データを識別する識別子と前記第2データを識別する識別子の複数の組合せにおいて、
    前記第2データ及び前記判定用データに基づき、正当な第1データ及び第2データの識別子を含む正当判定組合せと、不正な第1データ又は第2データの識別子を含む不正判定組合せとを特定し、
    特定した前記不正判定組合せに含まれる複数の識別子と、前記正当判定組合せに含まれる複数の識別子に基づいて、特定した前記不正判定組合せに含まれるいずれの識別子の第1データ又は第2データが不正であるかを判定し、
    前記組合せを構成する前記識別子に対応する前記第1データ及び前記第2データは、相関関係を有し、
    前記第1データ及び前記第2データの相関係数の絶対値は、0.7以上である
    判定装置。
  2. 前記複数の組合せ夫々は、複数の前記第1データ夫々を識別するための複数の識別子と、前記第2データの識別子とを含み、
    同一の識別子が、2つ以上の前記組合せに重複して含まれる
    請求項1に記載の判定装置。
  3. 前記制御部は、前記複数の組合せにおける、いずれかの組合せに含まれる識別子の第1データに基づき導出した判定用データと、前記いずれかの組合せに含まれる識別子の第2データとの差異が所定値以内である場合、前記いずれかの組合せは、正当判定組合せであると特定する
    請求項1又は請求項2に記載の判定装置。
  4. 前記制御部は、前記複数の組合せにおける、いずれかの組合せに含まれる識別子の第1データに基づき導出した判定用データと、前記いずれかの組合せに含まれる識別子の第2データとの差異が所定値よりも大きい場合、前記いずれかの組合せは、不正判定組合せであると特定する
    請求項3に記載の判定装置。
  5. 前記制御部は、前記不正判定組合せに含まれる識別子において、前記正当判定組合せに含まれる識別子とは異なる識別子の第1データ又は第2データを、不正なデータとして判定する
    請求項1から請求項4のいずれか1項に記載の判定装置。
  6. 前記制御部は、前記不正判定組合せに含まれる複数の第1データの識別子において、
    他の不正判定組合せにて不正と判定されたデータの識別子を除いた識別子の第1データに基づき、判定用データを導出し、
    該判定用データ及び前記不正判定組合せに含まれる識別子の第2データに基づき、前記不正判定組合せに含まれる第1データ及び該第2データの正否を判定する
    請求項5に記載の判定装置。
  7. 複数の組合せに関する情報は、自装置からアクセス可能な所定の記憶領域に記憶されており、
    制御部は、所定の記憶領域を参照することにより、複数の組合せに関する情報を取得する
    請求項1から請求項6のいずれか1項に記載の判定装置。
  8. コンピュータに、
    複数の車載ECUから送信される複数の第1データ及び第2データを取得し、
    前記第1データに基づいて、判定用データを導出し、
    前記第1データ及び前記第2データ夫々を識別する識別子による複数の組合せに関する情報を取得し、
    取得した前記第2データ及び導出した前記判定用データに基づき、前記複数の組合せにおいて、正当な第1データ及び第2データの識別子を含む正当判定組合せと、不正な第1データ又は第2データの識別子を含む不正判定組合せとを特定し、
    特定した前記不正判定組合せに含まれる複数の識別子と、前記正当判定組合せに含まれる複数の識別子に基づいて、特定した前記不正判定組合せに含まれるいずれの識別子の第1データ又は第2データが不正であるかを判定し、
    前記組合せを構成する前記識別子に対応する前記第1データ及び前記第2データは、相関関係を有し、
    前記第1データ及び前記第2データの相関係数の絶対値は、0.7以上である
    処理を実行させる判定プログラム。
  9. 複数の車載ECUから送信される複数の第1データ及び第2データを取得し、
    前記第1データに基づいて、判定用データを導出し、
    前記第1データ及び前記第2データ夫々を識別する識別子による複数の組合せに関する情報を取得し、
    取得した前記第2データ及び導出した前記判定用データに基づき、前記複数の組合せにおいて、正当な第1データ及び第2データの識別子を含む正当判定組合せと、不正な第1データ又は第2データの識別子を含む不正判定組合せとを特定し、
    特定した前記不正判定組合せに含まれる複数の識別子と、前記正当判定組合せに含まれる複数の識別子に基づいて、特定した前記不正判定組合せに含まれるいずれの識別子の第1データ又は第2データが不正であるかを判定し、
    前記組合せを構成する前記識別子に対応する前記第1データ及び前記第2データは、相関関係を有し、
    前記第1データ及び前記第2データの相関係数の絶対値は、0.7以上である
    処理をコンピュータに実行させる判定方法。
JP2019221517A 2019-12-06 2019-12-06 判定装置、判定プログラム及び判定方法 Active JP7247875B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2019221517A JP7247875B2 (ja) 2019-12-06 2019-12-06 判定装置、判定プログラム及び判定方法
US17/756,927 US12107703B2 (en) 2019-12-06 2020-11-17 Determination device, determination program, and determination method
PCT/JP2020/042793 WO2021111865A1 (ja) 2019-12-06 2020-11-17 判定装置、判定プログラム及び判定方法
DE112020005980.4T DE112020005980T5 (de) 2019-12-06 2020-11-17 Ermittlungsvorrichtung, Ermittlungsprogramm und Ermittlungsverfahren
CN202080083196.9A CN114747182A (zh) 2019-12-06 2020-11-17 判定装置、判定程序和判定方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019221517A JP7247875B2 (ja) 2019-12-06 2019-12-06 判定装置、判定プログラム及び判定方法

Publications (2)

Publication Number Publication Date
JP2021093572A JP2021093572A (ja) 2021-06-17
JP7247875B2 true JP7247875B2 (ja) 2023-03-29

Family

ID=76221901

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019221517A Active JP7247875B2 (ja) 2019-12-06 2019-12-06 判定装置、判定プログラム及び判定方法

Country Status (5)

Country Link
US (1) US12107703B2 (ja)
JP (1) JP7247875B2 (ja)
CN (1) CN114747182A (ja)
DE (1) DE112020005980T5 (ja)
WO (1) WO2021111865A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2024004312A (ja) * 2022-06-28 2024-01-16 株式会社オートネットワーク技術研究所 中継装置、情報処理方法及び車載システム

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017123639A (ja) 2016-01-08 2017-07-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
WO2019117184A1 (ja) 2017-12-15 2019-06-20 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワーク異常検知システム及び車載ネットワーク異常検知方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5522160B2 (ja) 2011-12-21 2014-06-18 トヨタ自動車株式会社 車両ネットワーク監視装置
JP5729337B2 (ja) * 2012-03-21 2015-06-03 株式会社デンソー 車両用認証装置、及び車両用認証システム
CN111181732B (zh) * 2014-05-08 2024-10-01 松下电器(美国)知识产权公司 车载网络系统、电子控制单元及不正常检测方法
JP6348150B2 (ja) * 2016-07-26 2018-06-27 国立大学法人名古屋大学 通信システム、通信制御装置及び不正情報送信防止方法
JP7006335B2 (ja) * 2018-02-06 2022-01-24 トヨタ自動車株式会社 車載通信システム、車載通信方法、およびプログラム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017123639A (ja) 2016-01-08 2017-07-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
WO2019117184A1 (ja) 2017-12-15 2019-06-20 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワーク異常検知システム及び車載ネットワーク異常検知方法

Also Published As

Publication number Publication date
US12107703B2 (en) 2024-10-01
JP2021093572A (ja) 2021-06-17
CN114747182A (zh) 2022-07-12
DE112020005980T5 (de) 2022-09-15
US20230006860A1 (en) 2023-01-05
WO2021111865A1 (ja) 2021-06-10

Similar Documents

Publication Publication Date Title
CN110494330B (zh) 车辆监视装置、不正当检测服务器、以及控制方法
CN107925600B (zh) 安全处理方法以及服务器
CN110463142B (zh) 车辆异常检测服务器、车辆异常检测系统及车辆异常检测方法
CN110226310B (zh) 电子控制装置、不正当检测服务器、车载网络系统、车载网络监视系统以及方法
CN112437056B (zh) 安全处理方法以及服务器
JP7007632B2 (ja) 検知装置、検知方法および検知プログラム
JP7030957B2 (ja) 自動車用サイバーセキュリティ
JP6805667B2 (ja) 検知装置、ゲートウェイ装置、検知方法および検知プログラム
US20190334897A1 (en) Monitoring device, monitoring method, and computer program
JP2017111796A5 (ja)
JP7276670B2 (ja) 検知装置、検知方法および検知プログラム
WO2018173732A1 (ja) 車載通信装置、コンピュータプログラム及びメッセージ判定方法
US11971982B2 (en) Log analysis device
CN113169927A (zh) 判定装置、判定程序、判定方法及神经网络模型的生成方法
JP7247875B2 (ja) 判定装置、判定プログラム及び判定方法
JP2014017733A (ja) 通信システム、通信装置及び中継装置
JP7480786B2 (ja) 検知装置、車両、検知方法および検知プログラム
JP6544250B2 (ja) 中継装置
JP7211224B2 (ja) 管理装置、通信システム、車両通信管理方法および車両通信管理プログラム
CN111376848B (zh) 不正常检测规则更新方法、电子控制单元和车载网络系统
JP7420285B2 (ja) 車載装置、不正検知方法及びコンピュータプログラム
JP7226248B2 (ja) 通信装置および異常判定装置
JP2020096320A (ja) 不正信号処理装置
JP7507205B2 (ja) 通信監視装置および通信監視方法
JP7573585B2 (ja) 不正検知サーバ、および、制御方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220419

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230126

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230214

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230227

R150 Certificate of patent or registration of utility model

Ref document number: 7247875

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150