JP7283427B2 - 車両制御システム、攻撃判定方法及びプログラム - Google Patents

車両制御システム、攻撃判定方法及びプログラム Download PDF

Info

Publication number
JP7283427B2
JP7283427B2 JP2020055168A JP2020055168A JP7283427B2 JP 7283427 B2 JP7283427 B2 JP 7283427B2 JP 2020055168 A JP2020055168 A JP 2020055168A JP 2020055168 A JP2020055168 A JP 2020055168A JP 7283427 B2 JP7283427 B2 JP 7283427B2
Authority
JP
Japan
Prior art keywords
communication
communication path
vehicle
control
instruction device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020055168A
Other languages
English (en)
Other versions
JP2021157338A (ja
Inventor
哲平 福澤
健 松井
佳成 竹山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2020055168A priority Critical patent/JP7283427B2/ja
Priority to US17/193,027 priority patent/US11713058B2/en
Priority to CN202110244080.5A priority patent/CN113442848B/zh
Publication of JP2021157338A publication Critical patent/JP2021157338A/ja
Application granted granted Critical
Publication of JP7283427B2 publication Critical patent/JP7283427B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • B60R16/0232Circuits relating to the driving or the functioning of the vehicle for measuring vehicle parameters and indicating critical, abnormal or dangerous conditions
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • B60W60/0015Planning or execution of driving tasks specially adapted for safety
    • B60W60/0018Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions
    • B60W60/00188Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions related to detected security violation of control systems, e.g. hacking of moving vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Computer Security & Cryptography (AREA)
  • Mechanical Engineering (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、車両制御システム、攻撃判定方法及びプログラムに関する。
特許文献1には、CAN(Controller Area Network)プロトコルに従って少なくとも1つのバスを介してメッセージ認証コード(MAC:Message Authentication Code)が付加されたデータフレームの授受を行う複数の電子制御ユニットを備える車載ネットワークシステムが開示されている。
特許第6407981号公報
一方、メッセージ認証のための通信を行うことにより、車両ネットワークの負荷が増大する。
本発明は、車両ネットワークの負荷を抑えつつ、外部から車内ネットワークに対する攻撃等の通信異常の判定を行うことが可能な車両制御システム、攻撃判定方法及びプログラムを提供することを目的とする。
請求項1に記載の車両制御システムは、車両に設けられた駆動部を制御する制御装置である駆動制御装置と、前記駆動制御装置に対する通信による指示を行うことで前記駆動制御装置を制御する制御装置である制御指示装置と、前記制御指示装置及び前記駆動制御装置を含む複数の前記制御装置を相互に通信可能に接続する通信路と、前記制御指示装置及び前記駆動制御装置の各々に設けられ、前記通信路を介した他の制御装置との通信における通信周期と予め記憶されている基準周期とを比較し、前記通信周期が前記基準周期に対して許容される誤差範囲内に入っていない場合に通信フレームを不正フレームとして検出し、検知回数をカウントし、比較結果としてカウントした検知回数を前記制御指示装置に通知する比較部と、前記制御指示装置に設けられ、前記制御指示装置及び前記駆動制御装置の各前記比較部における前記検知回数の合計が予め設定した閾値を超えた場合に、前記通信路において生じた外部からの攻撃となりうる通信異常を判定する攻撃判定部と、を備え、前記制御指示装置及び前記駆動制御装置を含む複数の制御装置を相互に通信可能に接続すると共に、前記通信路とは独立した他の通信路を備え、前記制御指示装置は、前記車両の自動運転の制御を行う機能を有する運転支援用ECUであって、車両走行用の前記駆動部を制御するための制御信号の前記駆動制御装置への送信に前記通信路又は前記他の通信路を介しており、前記制御指示装置は、前記攻撃判定部が前記通信路について前記通信異常があると判定した場合に、前記他の通信路のみを介して前記駆動制御装置と通信を行い、前記制御指示装置は、前記攻撃判定部が前記通信路について前記通信異常があると判定した場合において、前記他の通信路のみを用いて、運転者が適正な運転姿勢にあり、自動運転から手動運転へのハンドオーバが可能である場合、ハンドオーバ処理を開始し、ハンドオーバが不可能である場合、前記車両を停止させる制御を行う。
請求項1に記載の車両制御システムは、制御指示装置が通信路を通じて駆動制御装置に制御信号を送信することで、駆動制御装置が駆動部を駆動させるものである。当該車両制御システムでは、制御指示装置及び駆動制御装置の各々に設けられた比較部が通信路の通信における通信周期と予め記憶されている基準周期とを比較し、攻撃判定部が各比較部における比較結果に基づいて通信路に対する攻撃を判定する。そのため、当該車両制御システムによれば、メッセージ認証を使用することなく車両ネットワークに対する攻撃を判定することができる。すなわち、車両ネットワークの負荷を抑えつつ、外部から車内ネットワークに対する攻撃等の通信異常の判定を行うことができる。
また、車両制御システムでは、複数の制御装置が通信路及び他の通信路の双方により通信可能に接続されており、通信路について通信異常がある場合には他の通信路により制御装置間の通信が行われる。そのため、当該車両制御システムによれば、通信路について通信異常があった場合でも他の通信路の通信により駆動部の制御を継続することができる。
また、車両制御システムでは、自動運転に係る制御信号はセキュリティが担保された通信路を介して送信されることで、自動運転車両の通信の信頼性を向上させることができる。
請求項2に記載の車両制御システムは、請求項1に記載の車両制御システムにおいて、前記制御指示装置及び前記駆動制御装置の各々は、他の制御装置との通信においてメッセージ認証を行う認証部を備え、前記攻撃判定部は、第一種の情報に対しては、前記認証部が実行したメッセージ認証に基づいて前記通信路についての前記通信異常を判定し、前記第一種の情報とは異なる第二種の情報に対しては、前記比較部の比較結果に基づいて前記通信路についての前記通信異常を判定する。
請求項2に記載の車両制御システムでは、第一種の情報についてはメッセージ認証に基づいて通信路に対する攻撃を判定し、第二の情報については通信周期と基準周期との比較結果に基づいて通信路に対する攻撃を判定する。当該車両制御システムによれば、通信路における一部の通信においてはメッセージ認証を必要としないため、車両ネットワークの負荷を抑えつつ、通信異常判定を行うことができる。
請求項3に記載の車両制御システムは、請求項2に記載の車両制御システムにおいて、前記第一種の情報は、前記第二種の情報よりも前記通信路における攻撃判定時のリスクの高い情報であって緊急停止に係る制御信号である
請求項3に記載の車両制御システムは、通信路が攻撃を受けた場合にリスクの高い情報についてはメッセージ認証を行うものである。当該車両制御システムによれば、リスクの高い情報に対してはより確実な認証手段を設けることにより、セキュリティ性を担保しつつ、車両ネットワークの負荷を抑えることができる。
請求項4に記載の車両制御システムは、請求項1~3の何れか1項に記載の車両制御システムにおいて、前記車両は複数の前記駆動制御装置として、前記駆動部を制御するECUであって、ステアリングECUと、ブレーキECUとを少なくとも含み、前記攻撃判定部は、更に、複数の前記駆動制御装置に設けられることにより、前記複数の制御装置のそれぞれに設けられ、前記複数の制御装置のそれぞれの前記攻撃判定部において、前記通信異常を判定し、何れかの前記制御装置において前記通信異常と判定されている場合に、システム全体について前記通信異常であると判定する。
請求項4に記載の車両制御システムによれば、複数の制御装置は、それぞれの制御装置の通信異常の判定により、車両ネットワークに対するシステム全体の通信異常があると判定できる。
請求項に記載の攻撃判定方法は、車両に設けられた駆動部を制御する駆動制御装置と、前記駆動制御装置を制御する制御指示装置と、を含む複数の制御装置を相互に接続する通信路における攻撃判定方法であって、前記制御指示装置及び前記駆動制御装置の各々において実行され、前記通信路を介した他の制御装置との通信における通信周期と予め記憶されている基準周期とを比較し、前記通信周期が前記基準周期に対して許容される誤差範囲内に入っていない場合に通信フレームを不正フレームとして検出し、検知回数をカウントし、比較結果としてカウントした検知回数を前記制御指示装置に通知する比較ステップと、前記制御指示装置において実行され、前記比較ステップにおける前記検知回数の合計が予め設定した閾値を超えた場合に、前記通信路において生じた外部からの攻撃となりうる通信異常を判定する攻撃判定ステップと、を含み、前記制御指示装置及び前記駆動制御装置を含む複数の制御装置を相互に通信可能に接続すると共に、前記通信路とは独立した他の通信路があり、前記制御指示装置は、前記車両の自動運転の制御を行う機能を有する運転支援用ECUであって、車両走行用の前記駆動部を制御するための制御信号の前記駆動制御装置への送信に前記通信路又は前記他の通信路を介しており、前記制御指示装置は、前記攻撃判定ステップにおいて前記通信路について前記通信異常があると判定した場合に、前記他の通信路のみを介して前記駆動制御装置と通信を行い、前記制御指示装置は、前記攻撃判定ステップにおいて前記通信路について前記通信異常があると判定した場合において、前記他の通信路のみを用いて、運転者が適正な運転姿勢にあり、自動運転から手動運転へのハンドオーバが可能である場合、ハンドオーバ処理を開始し、ハンドオーバが不可能である場合、前記車両を停止させる制御を行う。
請求項に記載の攻撃判定方法は、車両において制御指示装置が通信路を通じて駆動制御装置に指示を行うことで、駆動制御装置が駆動部を駆動させる場合に適用される。当該攻撃判定方法では、制御指示装置及び駆動制御装置の各々において実行される比較ステップにおいて通信路の通信における通信周期と予め記憶されている基準周期とが比較され、攻撃判定ステップにおいて比較ステップの比較結果に基づいて通信路に対する攻撃が判定される。そのため、当該攻撃判定方法によれば、メッセージ認証を使用することなく車両ネットワークに対する攻撃を判定することができる。すなわち、車両ネットワークの負荷を抑えつつ、外部から車内ネットワークに対する攻撃等の通信異常の判定を行うことができる。
また、攻撃判定方法では、複数の制御装置が通信路及び他の通信路の双方により通信可能に接続されており、通信路について通信異常がある場合には他の通信路により制御装置間の通信が行われる。そのため、当該車両制御システムによれば、通信路について通信異常があった場合でも他の通信路の通信により駆動部の制御を継続することができる。
また、車両制御システムでは、自動運転に係る制御信号はセキュリティが担保された通信路を介して送信されることで、自動運転車両の通信の信頼性を向上させることができる。
請求項に記載のプログラムは、車両に設けられた駆動部を制御する駆動制御装置と、前記駆動制御装置を制御する制御指示装置と、を含む複数の制御装置を相互に接続する通信路における攻撃を判定するプログラムであって、前記通信路を介した他の制御装置との通信における通信周期と予め記憶されている基準周期とを比較し、前記通信周期が前記基準周期に対して許容される誤差範囲内に入っていない場合に通信フレームを不正フレームとして検出し、検知回数をカウントし、比較結果としてカウントした検知回数を前記制御指示装置に通知する比較ステップと、前記比較ステップにおける前記検知回数の合計が予め設定した閾値を超えた場合に、前記通信路において生じた外部からの攻撃となりうる通信異常を判定する攻撃判定ステップと、を含む処理を前記制御指示装置が備えるコンピュータに実行させ、前記制御指示装置及び前記駆動制御装置を含む複数の制御装置を相互に通信可能に接続すると共に、前記通信路とは独立した他の通信路があり、前記制御指示装置は、前記車両の自動運転の制御を行う機能を有する運転支援用ECUであって、車両走行用の前記駆動部を制御するための制御信号の前記駆動制御装置への送信に前記通信路又は前記他の通信路を介しており、前記制御指示装置は、前記攻撃判定ステップにおいて前記通信路について前記通信異常があると判定した場合に、前記他の通信路のみを介して前記駆動制御装置と通信を行い、前記制御指示装置は、前記攻撃判定ステップにおいて前記通信路について前記通信異常があると判定した場合において、前記他の通信路のみを用いて、運転者が適正な運転姿勢にあり、自動運転から手動運転へのハンドオーバが可能である場合、ハンドオーバ処理を開始し、ハンドオーバが不可能である場合、前記車両を停止させる制御を行う。
請求項に記載のプログラムは、車両において制御指示装置が通信路を通じて駆動制御装置に指示を行うことで、駆動制御装置が駆動部を駆動させる場合に適用される。当該プログラムでは、制御指示装置が駆動制御装置に指示を行う場合に、制御指示装置が備えるコンピュータは次の処理を実行する。すなわち、比較ステップにおいて通信路の通信における通信周期と予め記憶されている基準周期とが比較され、攻撃判定ステップにおいて比較ステップの比較結果に基づいて通信路に対する攻撃が判定される。そのため、当該プログラムによれば、メッセージ認証を使用することなく車両ネットワークに対する攻撃を判定することができる。すなわち、車両ネットワークの負荷を抑えつつ、外部から車内ネットワークに対する攻撃等の通信異常の判定を行うことができる。
また、プログラムでは、複数の制御装置が通信路及び他の通信路の双方により通信可能に接続されており、通信路について通信異常がある場合には他の通信路により制御装置間の通信が行われる。そのため、当該車両制御システムによれば、通信路について通信異常があった場合でも他の通信路の通信により駆動部の制御を継続することができる。
また、車両制御システムでは、自動運転に係る制御信号はセキュリティが担保された通信路を介して送信されることで、自動運転車両の通信の信頼性を向上させることができる。
本発明によれば、車両ネットワークの負荷を抑えつつ、外部から車内ネットワークに対する攻撃等の通信異常の判定を行うことができる。
実施形態に係る車両制御システムの概略構成を示す図である。 実施形態のECUのハードウェア構成を示すブロック図である。 実施形態の自動運転ECUの機能構成の例を示すブロック図である。 実施形態の駆動制御用のECUの機能構成の例を示すブロック図である。 実施形態において、各ECUにおいて実行される処理の流れを示すシーケンス図である。
図1は、本発明の実施形態に係る車両制御システム10の概略構成を示すブロック図である。
(基本構成)
図1に示されるように、本実施形態に係る車両制御システム10は、自動運転を可能とする車両12に設けられている。
本実施形態の車両制御システム10は、複数のECU(Electronic Control Unit)20と、複数のECU20同士を接続する通信路である車内バス30と、DCM(Data Communication Module)34と、セントラルGW(Central Gateway)38と、を含んで構成されている。
ECU20は、車両12の各部を制御する制御装置として機能する。ECU20は、自動運転ECU22、ステアリングECU24、及びブレーキECU26を含む。なお、図示していないが、ECU20は、ボデーECU、エンジンECU、トランスミッションECU、メータECU、マルチメディアECU、スマートキーECU等を含んでいる。自動運転ECU22は運転支援用ECUであって、制御指示装置の一例である。また、ステアリングECU24及びブレーキECU26は駆動制御用のECU20であって、駆動制御装置の一例である。
ステアリングECU24及びブレーキECU26にはそれぞれアクチュエータ40が接続されており、各アクチュエータ40は、自動運転ECU22の制御信号に基づいて駆動する。すなわち、本実施形態の車両12では、自動運転ECU22から送信された制御信号に基づいて、ステアリングECU24及びブレーキECU26等のECU20がアクチュエータ40を駆動することで自動運転が実現される。ECU20の詳細な構成については後述する。
車内バス30は、各ECU20を相互に接続するものである。車内バス30は、車両12の外部のネットワークNと接続可能な第一バス30Aと、第一バス30Aとは独立し、かつ外部のネットワークから遮断された第二バス30Bと、を含む。また、第一バス30Aには、各ECU20の他にDCM34とセントラルGW38とが接続されている。
車内バス30では、CAN(Controller Area Network)プロトコルによる通信が行われている。第一バス30Aは他の通信路の一例であり、第二バス30Bは通信路の一例である。
DCM34は、通信網であるネットワークNと車両12とを接続する通信装置として設けられている。上述のようにDCM34は、第一バス30Aに対して接続されている。
セントラルGW38は、ネットワークを管理したりデータを通信したりする機能を有している。上述のようにセントラルGW38は、第一バス30Aに対して接続されている。なお、第一バス30Aの他に図示しない複数のバスが接続されている。
また、セントラルGW38は、DLC(Data Link Connector)42と接続されている。このDLC42は、無線機器18との接続が可能である。つまり、セントラルGW38は、無線機器18を介してネットワークNと接続可能に構成されている。
(ECU)
図2に示されるように、ECU20は、CPU(Central Processing Unit)20A、ROM(Read Only Memory)20B、RAM(Random Access Memory)20C、第一通信I/F(Inter Face)20D、第二通信I/F20E、及び入出力I/F20Fを含んで構成されている。CPU20A、ROM20B、RAM20C、第一通信I/F20D、第二通信I/F20E、及び入出力I/F20Fは、内部バス20Hを介して相互に通信可能に接続されている。
CPU20Aは、中央演算処理ユニットであり、各種プログラムを実行したり、各部を制御したりする。すなわち、CPU20Aは、ROM20Bからプログラムを読み出し、RAM20Cを作業領域としてプログラムを実行する。
ROM20Bは、各種プログラム及び各種データを記憶している。本実施形態では、ROM20Bに実行プログラム100が記憶されている。実行プログラム100は、後述する攻撃監視及び攻撃対応に係る処理を行うためのプログラムである。また、ROM20Bには、フレームパラメータ120が記憶されている。フレームパラメータ120は、各車内バス30を通信するフレームの間隔である基準周期を記憶したものである。
RAM20Cは、作業領域として一時的にプログラム又はデータを記憶する。RAM20Cには、フレーム受信ログ140が記憶されている。フレーム受信ログ140は、他のECU20からフレームを受信した際の受信した時刻が記憶されている。
第一通信I/F20Dは、他のECU20と接続するためのインタフェースである。当該インタフェースは、CANプロトコルによる通信規格が用いられる。第一通信I/F20Dは、第一バス30Aに対して接続されている。
第二通信I/F20Eは、他のECU20と接続するためのインタフェースである。当該インタフェースは、CANプロトコルによる通信規格が用いられる。第二通信I/F20Eは、第二バス30Bに対して接続されている。
なお、本実施形態では、第一通信I/F20D及び第二通信I/F20Eを異なるインタフェースとして設けているが、これに限らず、一つの通信インタフェースが第一バス30A及び第二バス30Bに接続されていてもよい。この場合、第一バス30Aと第二バス30Bとが異なるチャンネルに接続される等、第一バス30Aの通信と第二バス30Bの通信とは独立したものとする。
入出力I/F20Fは、アクチュエータ40又はメータ50と通信するためのインタフェースである。詳しくは、駆動制御用のECU20の入出力I/F20Fには、アクチュエータ40が接続され、自動運転ECU22の入出力I/F20Fには、メータ50が接続されている。なお、メータ50はメータECUを介して接続されていてもよい。なお、入出力I/F20Fに接続される機器類はアクチュエータ40及びメータ50に限らず、他のセンサ類が接続されていてもよい。
(自動運転ECU)
図3は、自動運転ECU22の機能構成の例を示すブロック図である。図3に示されるように、自動運転ECU22は、送信部200、受信部210、生成部220、認証部230、攻撃検出部240、攻撃集約部250、攻撃判定部260及び運転制御部270を有している。各機能構成は、CPU20AがROM20Bに記憶された実行プログラム100を読み出し、これを実行することによって実現される。
送信部200は、他のECU20に向けて通信フレームを送信する機能を有している。つまり、送信部200は、第一バス30A及び第二バス30Bの双方に対して通信フレームを出力することが可能である。ここで、通信フレームはCANID及び通信データを含んでいる。
なお、第一バス30A及び第二バス30Bを通じて送信される通信データは、メッセージに対して認証コードであるMAC(Message Authentication Code)を含めることができる。例えば、車両12の緊急停止に係る制御信号に対してはメッセージ認証を行う。すなわち、送信部200は、ブレーキや舵角に関する制御信号のメッセージに対しては生成部220において生成されたMACを付加して送信する。これに対して、緊急停止以外の制御信号に対してはメッセージ認証を行わず、送信部200は制御信号のみを送信する。ここで、緊急停止に係る制御信号は、通信路における攻撃判定時のリスクの高い情報であって、第一種の情報に相当する。また、緊急停止以外の制御信号は、第二種の情報に相当する。
受信部210は、他のECU20から通信フレームを受信する機能を有している。つまり、受信部210は、第一バス30A及び第二バス30Bの双方から通信フレームを取得することが可能である。
生成部220は、暗号鍵を使用して所定のデータからMACを生成する機能を有している。ECU20が送信側となる場合の生成部220は、送信するメッセージと暗号鍵とに基づいて演算処理を実行してMACを生成する。一方、ECU20が受信側となる場合の生成部220は、送信側のECU20から受信したメッセージと暗号鍵とに基づいて演算処理を実行して検証用MACを生成する。本実施形態の暗号鍵は、送信側と受信側とで共通とされる共通鍵が使用される。
認証部230は、メッセージを認証する機能を有している。認証部230は、受信した通信データに含まれるMACと、受信したメッセージから生成された検証用MACとを比較して一致した場合にメッセージを認証する。また、認証部230は、メッセージの認証が不成立の場合、認証不成立の回数をカウントする。
比較部としての攻撃検出部240は、他のECU20から受信したフレームが不正なフレームか否かを判定する機能を有している。この攻撃検出部240は、フレーム受信ログ140とフレームパラメータ120とに基づいて不正フレームが挿入されているか否かの判定を行う。具体的に、攻撃検出部240はフレーム受信ログ140に記憶されている所定フレームの受信時刻と一つ前に受信したフレームの受信時刻との差から通信周期を算出し、当該通信周期とフレームパラメータ120に記憶されている基準周期とを比較する。
そして、攻撃検出部240は通信周期と基準周期とが一致しない場合、詳しくは、通信周期が基準周期に対して許容される誤差範囲内に入っていない場合、当該通信周期を算出した際の所定フレームを不正フレームとして検出する。
攻撃集約部250は、他のECU20からそれぞれ通知された不正フレームの検知回数を集約する機能を有している。具体的には駆動制御用のECU20の後述する攻撃通知部280から通知された検知回数を取得する。また、攻撃集約部250は、他のECU20からそれぞれ通知された認証不成立の回数を取得することができる。
攻撃判定部260は、車両ネットワークが攻撃を受けているか否かを判定する機能を有している。攻撃判定部260は、攻撃検出部240から取得した不正フレームの検知回数と、攻撃集約部250から取得した不正フレームの検知回数との合計が予め定めた閾値を上回る場合に、車内バス30が攻撃を受けていると判定する。また、攻撃判定部260は、認証部230から取得した認証不成立の回数と、攻撃集約部250から取得した認証不成立の回数との合計が予め定めた閾値を上回る場合に、車内バス30が攻撃を受けていると判定する。
運転制御部270は、車両12の自動運転の制御を行う機能を有している。運転制御部270は、車両12に搭載された認識センサやネットワークN等から車両12に係るデータを取得し、取得したデータに基づいて車両12の走行計画を作成し、アクチュエータ40を制御するための制御信号を生成する。
また、運転制御部270は、攻撃検出部240により何れか一方の車内バス30が攻撃を受けていると検知された場合、縮退処理を実行する。縮退処理において運転制御部270は、攻撃を受けていない他方の車内バス30を通じて制御信号を送信するように制御する。これにより、運転制御部270は、自動運転から手動運転にハンドオーバを行い車両12の運転を運転者に戻すか、車両12を安全な場所に速やかに停車させて自動運転を終了させる。縮退処理が行われる場合、運転制御部270は、メータ50に対して自動運転を終了し手動運転に切り替える旨や、直ちに停車させて自動運転を終了する旨を運転者に通知する。
(駆動制御用ECU)
駆動制御用のECU20であるステアリングECU24及びブレーキECU26は、自動運転ECU22に対して以下の点で相違する。なお、その他の構成及び機能は自動運転ECU22と同じであり、詳細な説明は割愛する。
図4は、駆動制御用のECU20であるステアリングECU24及びブレーキECU26の機能構成の例を示すブロック図である。図4に示されるように、駆動制御用のECU20は、送信部200、受信部210、生成部220、認証部230、攻撃検出部240、攻撃通知部280、及び駆動指示部290を有している。送信部200、受信部210、生成部220、認証部230、及び攻撃検出部240の機能は、自動運転ECU22と同じである。
攻撃通知部280は、攻撃検出部240から取得した不正フレームの検知回数を自動運転ECU22に通知する機能を有している。また、攻撃通知部280は、認証部230が認証不成立と判定した回数を自動運転ECU22に通知することができる。
駆動指示部290は、受信部210で受信したメッセージに含まれる制御信号に基づいて各アクチュエータ40を駆動させる機能を有している。例えば、ステアリングECU24の駆動指示部290は、制御信号に含まれるステアリングの舵角量に応じてアクチュエータ40を駆動して操舵輪を転舵させる。また例えば、ブレーキECU26は、制御信号に含まれる制動量に応じてアクチュエータ40を駆動して各車輪を制動させる。
(制御の流れ)
本実施形態において、各ECU20において実行される攻撃監視及び攻撃対応に係る処理の流れの例を図5のシーケンス図で説明する。なお、同図は、自動運転ECU22から制御信号をCPU20Aは第一バス30A及び第二バス30Bの双方を通じてステアリングECU24及びブレーキECU26に送信して車両12の自動運転を行う例である。
図5のステップS10において、自動運転ECU22は第一バス30A及び第二バス30Bを通じてステアリングECU24に向けて制御信号を送信する。また、ステップS11において、自動運転ECU22は第一バス30A及び第二バス30Bを通じてブレーキECU26に向けて制御信号を送信する。
ステップS12において、自動運転ECU22は、受信フレームの受信時刻を記憶する。図示しないが、自動運転ECU22はセントラルGW38や他のECU20からフレームを受信している。
ステップS13において、ステアリングECU24は、制御信号を含む受信フレームの受信時刻を記憶する。同様に、ステップS14において、ブレーキECU26は、制御信号を含む受信フレームの受信時刻を記憶する。
ステップS15において、ステアリングECU24は第一バス30A及び第二バス30Bの双方から受信した制御信号のうち、第二バス30Bから受信した制御信号をアクチュエータ40の駆動制御に反映させる。同様に、ステップS16において、ブレーキECU26は第一バス30A及び第二バス30Bの双方から受信した制御信号のうち、第二バス30Bから受信した制御信号をアクチュエータ40の駆動制御に反映させる。
ステップS17において、自動運転ECU22は、不正フレーム検出処理を実行する。すなわち、受信時刻から算出した通信周期とフレームパラメータ120に記憶されている基準周期とを比較し、一致しない場合を不正フレームとして検出し、その回数をカウントする。
同様に、ステップS18において、ステアリングECU24は、不正フレーム検出処理を実行し、ステップS19において、ブレーキECU26は、不正フレーム検出処理を実行する。
ステップS20において、ステアリングECU24は、不正フレームの検出回数を自動運転ECU22に通知する。同様に、ステップS21において、ブレーキECU26は、不正フレームの検出回数を自動運転ECU22に通知する。
ステップS22において、自動運転ECU22は、他のECU20から不正フレームの検出回数を集約する。
ステップS23において、自動運転ECU22は、車内バス30に対する攻撃判定を行う。例えば、各ECU20で検知された第二バス30Bにおける不正フレームの検知回数の合計が予め設定した閾値を超えた場合、自動運転ECU22は第二バス30Bが攻撃を受けていると判定する。
そして、第二バス30Bが攻撃を受けている場合、以下の制御が実行される。
ステップS24において、自動運転ECU22は、縮退処理を開始させる。すなわち、自動運転ECU22は、運転者が適正な運転姿勢にある場合等、自動運転から手動運転へのハンドオーバが可能である場合、ハンドオーバ処理を開始する。この場合、自動運転ECU22は、ハンドオーバを行う旨をメータ50に表示して運転者に通知する。また、自動運転ECU22は、バンドオーバが不可能である場合、車両12を停止させる制御を行う。この場合、自動運転ECU22は、車両12を停止させる旨をメータ50に表示して運転者に通知する。なお、メータ50における通知は表示のみに限らず、音声を伴っていてもよい。
ステップS25において、自動運転ECU22は第一バス30Aのみを通じてステアリングECU24に向けて制御信号を送信する。また、ステップS26において、自動運転ECU22は第一バス30Aのみを通じてブレーキECU26に向けて制御信号を送信する。
ステップS27において、ステアリングECU24は第一バス30Aから受信した制御信号をアクチュエータ40の駆動制御に反映させる。同様に、ステップS28において、ブレーキECU26は第一バス30Aから受信した制御信号をアクチュエータ40の駆動制御に反映させる。これにより、車両12では最小限の自動運転が継続され、自動運転ECU22は車両12を安全な場所に速やかに停車させる。
(実施形態のまとめ)
本実施形態の車両制御システム10は、自動運転ECU22が駆動制御用のECU20に制御信号を送信することで、駆動制御用のECU20がアクチュエータ40を駆動させて車両12を走行させるものである。本実施形態は、自動運転ECU22及び駆動制御用のECU20を含むECU20を相互に通信可能に接続する車内バス30である第一バス30Aと第二バス30Bとを備えている。ここで、第一バス30Aは、DCM34を通じてネットワークNと通信が可能であり、セントラルGW38及び無線機器18を通じてネットワークNと通信が可能である。一方、第二バス30Bは第一バス30Aとは独立し、かつ車外から遮断されたネットワークとして構成されている。
本実施形態では、各ECU20に設けられた攻撃検出部240が各車内バス30の通信における通信周期とフレームパラメータ120に予め記憶されている基準周期とを比較して不一致の場合に不正フレームを検出する。そして、攻撃判定部260が各ECU20の攻撃検出部240における比較結果に基づいて車内バス30に対する攻撃を判定する。そのため、本実施形態によれば、必ずしもメッセージ認証を使用しなくとも車両ネットワークに対する攻撃を判定することができる。
ここで、メッセージ認証で通信する場合、8byteのデータ長しかないペイロード部分に割り当てて通信を行うためには、8byte分を使っていた元々のフレームは2つのフレームに分けて送信する必要が出てくる。その結果、メッセージ認証で通信をするフレーム数が多い場合、送信フレーム数が大幅に増加し、バス負荷が増大する。
また、付与するMACは攻撃者等に通信Logから暗号鍵が解析されないよう、複雑な計算を行う。そのため、元々暗号演算等を考慮されていない既存のECU20の場合、MAC演算による処理負荷が重く、本来機能の処理を逼迫する状態にする。これに対して、本実施形態によれば、車両ネットワークやECU20の負荷を抑えつつ、外部からの攻撃等の通信異常の判定を行うことができる。
ただし、本実施形態の車両制御システム10では、車両12の緊急停止に係る制御信号については不正フレームの検出と合わせてメッセージ認証を行うことで、攻撃判定部260は車内バス30に対する攻撃を判定することができる。他方、緊急停止以外に係る制御信号について、攻撃判定部260は不正フレームの検出に基づいて車内バス30に対する攻撃を判定すれば足りる。したがって、本実施形態によれば、車内バス30における一部の通信においてはメッセージ認証を必要としないため、車両ネットワークの負荷を抑えつつ、通信異常判定を行うことができる。
特に、車両12の緊急停止に係る制御信号のように車内バス30が攻撃を受けた場合にリスクの高い情報についてはメッセージ認証のような、より確実な認証手段を設けることにより、セキュリティ性を担保しつつ、車両ネットワークの負荷を抑えることができる。
そして、緊急停止に係る制御信号がセキュリティの担保された車内バス30を介して送信されることで、自動運転車両における通信の信頼性を向上させることができる。
さらに、本実施形態の車両制御システム10では、複数のECU20が第一バス30Aと第二バス30Bの双方により通信可能に接続されている。通常、外部とは遮断されている第二バス30Bを主に使用することで、信頼性の確保された通信を行うことができるが、仮に第二バス30Bに対する攻撃がある場合には第一バス30AによりECU20間の通信を行うことができる。
すなわち、車内バス30に不正フレームを挿入されている場合でも、車両12が危険な車両挙動を示す前に処置を行うことができる。そのため、本実施形態によれば、仮に第二バス30Bに対して攻撃があった場合でも第一バス30Aの通信により車両12の自動運転を継続することができる。
(変形例)
上記実施形態の攻撃判定部260は各ECU20における不正フレームの検出回数や認証不成立の回数の合計値に基づいて車内バス30の攻撃を判定しているが、これに限らず、各ECU20において車内バス30の攻撃を判定してもよい。
具体的には、本変形例における攻撃検出部240は、一定期間内に所定回数以上の不正フレームを検出した場合、攻撃状態と判定する。また、攻撃検出部240は、一定期間内に受信したフレームの通信データにおいてMACと検証用MACとの不一致が所定回数以上あった場合、攻撃状態と判定する。そして、自動運転ECU22の攻撃判定部260は、何れか一のECU20において攻撃状態と判定されている場合に、システム全体が攻撃を受けていると判定する。本変形例の場合も本実施形態と同様の作用効果を奏する。
[備考]
上記実施形態では、車両12の緊急停止に係る制御信号にはメッセージ認証を適用しているが、この限りではなく、外部から遮断された第二バス30Bを使用する場合に限れば、必ずしもメッセージ認証は必要とされない。第二バス30Bの通信に対してメッセージ認証を省略することにより、認証に係るECU20の負担を軽減することができる。
なお、上記実施形態でCPU20Aがソフトウェア(プログラム)を読み込んで実行した各処理を、CPU以外の各種のプロセッサが実行してもよい。この場合のプロセッサとしては、FPGA(Field-Programmable Gate Array)等の製造後に回路構成を変更可能なPLD(Programmable Logic Device)、及びASIC(Application Specific Integrated Circuit)等の特定の処理を実行させるために専用に設計された回路構成を有するプロセッサである専用電気回路等が例示される。また、各処理を、これらの各種のプロセッサのうちの1つで実行してもよいし、同種又は異種の2つ以上のプロセッサの組み合わせ(例えば、複数のFPGA、及びCPUとFPGAとの組み合わせ等)で実行してもよい。また、これらの各種のプロセッサのハードウェア的な構造は、より具体的には、半導体素子等の回路素子を組み合わせた電気回路である。
また、上記実施形態において、プログラムはコンピュータが読み取り可能な非一時的記録媒体に予め記憶(インストール)されている態様で説明した。例えば、車両12のECU20において実行プログラム100は、ROM20Bに予め記憶されている。しかしこれに限らず、各プログラムは、CD-ROM(Compact Disc Read Only Memory)、DVD-ROM(Digital Versatile Disc Read Only Memory)、及びUSB(Universal Serial Bus)メモリ等の非一時的記録媒体に記録された形態で提供されてもよい。また、各プログラムは、ネットワークを介して外部装置からダウンロードされる形態としてもよい。
上記実施形態で説明した処理の流れも、一例であり、主旨を逸脱しない範囲内において不要なステップを削除したり、新たなステップを追加したり、処理順序を入れ替えたりしてもよい。
10 車両制御システム
12 車両
20 ECU(制御装置)
22 自動運転ECU(制御指示装置、運転支援用ECU)
24 ステアリングECU(駆動制御装置)
26 ブレーキECU(駆動制御装置)
30A 第一バス(他の通信路)
30B 第二バス(通信路)
40 アクチュエータ(駆動部)
100 実行プログラム(プログラム)
230 認証部
240 攻撃検出部(比較部)
260 攻撃判定部

Claims (6)

  1. 車両に設けられた駆動部を制御する制御装置である駆動制御装置と、
    前記駆動制御装置に対する通信による指示を行うことで前記駆動制御装置を制御する制御装置である制御指示装置と、
    前記制御指示装置及び前記駆動制御装置を含む複数の前記制御装置を相互に通信可能に接続する通信路と、
    前記制御指示装置及び前記駆動制御装置の各々に設けられ、前記通信路を介した他の制御装置との通信における通信周期と予め記憶されている基準周期とを比較し、前記通信周期が前記基準周期に対して許容される誤差範囲内に入っていない場合に通信フレームを不正フレームとして検出し、検知回数をカウントし、比較結果としてカウントした検知回数を前記制御指示装置に通知する比較部と、
    前記制御指示装置に設けられ、前記制御指示装置及び前記駆動制御装置の各前記比較部における前記検知回数の合計が予め設定した閾値を超えた場合に、前記通信路において生じた外部からの攻撃となりうる通信異常を判定する攻撃判定部と、
    を備え
    前記制御指示装置及び前記駆動制御装置を含む複数の制御装置を相互に通信可能に接続すると共に、前記通信路とは独立した他の通信路を備え、
    前記制御指示装置は、前記車両の自動運転の制御を行う機能を有する運転支援用ECUであって、車両走行用の前記駆動部を制御するための制御信号の前記駆動制御装置への送信に前記通信路又は前記他の通信路を介しており、
    前記制御指示装置は、前記攻撃判定部が前記通信路について前記通信異常があると判定した場合に、前記他の通信路のみを介して前記駆動制御装置と通信を行い、
    前記制御指示装置は、前記攻撃判定部が前記通信路について前記通信異常があると判定した場合において、前記他の通信路のみを用いて、運転者が適正な運転姿勢にあり、自動運転から手動運転へのハンドオーバが可能である場合、ハンドオーバ処理を開始し、ハンドオーバが不可能である場合、前記車両を停止させる制御を行う、車両制御システム。
  2. 前記制御指示装置及び前記駆動制御装置の各々は、他の制御装置との通信においてメッセージ認証を行う認証部を備え、
    前記攻撃判定部は、
    第一種の情報対しては、前記認証部が実行したメッセージ認証に基づいて前記通信路についての前記通信異常を判定し、
    前記第一種の情報とは異なる第二種の情報に対しては、前記比較部の比較結果に基づいて前記通信路についての前記通信異常を判定する請求項1に記載の車両制御システム。
  3. 前記第一種の情報は、前記第二種の情報よりも前記通信路における攻撃判定時のリスクの高い情報であって緊急停止に係る制御信号である請求項2に記載の車両制御システム。
  4. 前記車両は複数の前記駆動制御装置として、前記駆動部を制御するECUであって、ステアリングECUと、ブレーキECUとを少なくとも含み、
    前記攻撃判定部は、更に、複数の前記駆動制御装置に設けられることにより、前記複数の制御装置のそれぞれに設けられ、
    前記複数の制御装置のそれぞれの前記攻撃判定部において、前記通信異常を判定し、何れかの前記制御装置において前記通信異常と判定されている場合に、システム全体について前記通信異常であると判定する、請求項1~3の何れか1項に記載の車両制御システム。
  5. 車両に設けられた駆動部を制御する駆動制御装置と、前記駆動制御装置を制御する制御指示装置と、を含む複数の制御装置を相互に接続する通信路における攻撃判定方法であって、
    前記制御指示装置及び前記駆動制御装置の各々において実行され、前記通信路を介した他の制御装置との通信における通信周期と予め記憶されている基準周期とを比較し、前記通信周期が前記基準周期に対して許容される誤差範囲内に入っていない場合に通信フレームを不正フレームとして検出し、検知回数をカウントし、比較結果としてカウントした検知回数を前記制御指示装置に通知する比較ステップと、
    前記制御指示装置において実行され、前記比較ステップにおける前記検知回数の合計が予め設定した閾値を超えた場合に、前記通信路において生じた外部からの攻撃となりうる通信異常を判定する攻撃判定ステップと、を含み、
    前記制御指示装置及び前記駆動制御装置を含む複数の制御装置を相互に通信可能に接続すると共に、前記通信路とは独立した他の通信路があり、
    前記制御指示装置は、前記車両の自動運転の制御を行う機能を有する運転支援用ECUであって、車両走行用の前記駆動部を制御するための制御信号の前記駆動制御装置への送信に前記通信路又は前記他の通信路を介しており、
    前記制御指示装置は、前記攻撃判定ステップにおいて前記通信路について前記通信異常があると判定した場合に、前記他の通信路のみを介して前記駆動制御装置と通信を行い、
    前記制御指示装置は、前記攻撃判定ステップにおいて前記通信路について前記通信異常があると判定した場合において、前記他の通信路のみを用いて、運転者が適正な運転姿勢にあり、自動運転から手動運転へのハンドオーバが可能である場合、ハンドオーバ処理を開始し、ハンドオーバが不可能である場合、前記車両を停止させる制御を行う、
    攻撃判定方法。
  6. 車両に設けられた駆動部を制御する駆動制御装置と、前記駆動制御装置を制御する制御指示装置と、を含む複数の制御装置を相互に接続する通信路における攻撃を判定するプログラムであって、
    前記通信路を介した他の制御装置との通信における通信周期と予め記憶されている基準周期とを比較し、前記通信周期が前記基準周期に対して許容される誤差範囲内に入っていない場合に通信フレームを不正フレームとして検出し、検知回数をカウントし、比較結果としてカウントした検知回数を前記制御指示装置に通知する比較ステップと、
    前記比較ステップにおける前記検知回数の合計が予め設定した閾値を超えた場合に、前記通信路において生じた外部からの攻撃となりうる通信異常を判定する攻撃判定ステップと、
    を含む処理を前記制御指示装置が備えるコンピュータに実行させ
    前記制御指示装置及び前記駆動制御装置を含む複数の制御装置を相互に通信可能に接続すると共に、前記通信路とは独立した他の通信路があり、
    前記制御指示装置は、前記車両の自動運転の制御を行う機能を有する運転支援用ECUであって、車両走行用の前記駆動部を制御するための制御信号の前記駆動制御装置への送信に前記通信路又は前記他の通信路を介しており、
    前記制御指示装置は、前記攻撃判定ステップにおいて前記通信路について前記通信異常があると判定した場合に、前記他の通信路のみを介して前記駆動制御装置と通信を行い、
    前記制御指示装置は、前記攻撃判定ステップにおいて前記通信路について前記通信異常があると判定した場合において、前記他の通信路のみを用いて、運転者が適正な運転姿勢にあり、自動運転から手動運転へのハンドオーバが可能である場合、ハンドオーバ処理を開始し、ハンドオーバが不可能である場合、前記車両を停止させる制御を行う、プログラム。
JP2020055168A 2020-03-25 2020-03-25 車両制御システム、攻撃判定方法及びプログラム Active JP7283427B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2020055168A JP7283427B2 (ja) 2020-03-25 2020-03-25 車両制御システム、攻撃判定方法及びプログラム
US17/193,027 US11713058B2 (en) 2020-03-25 2021-03-05 Vehicle control system, attack judging method, and recording medium on which program is recorded
CN202110244080.5A CN113442848B (zh) 2020-03-25 2021-03-05 车辆控制系统、攻击判定方法及记录有程序的记录介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020055168A JP7283427B2 (ja) 2020-03-25 2020-03-25 車両制御システム、攻撃判定方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2021157338A JP2021157338A (ja) 2021-10-07
JP7283427B2 true JP7283427B2 (ja) 2023-05-30

Family

ID=77809024

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020055168A Active JP7283427B2 (ja) 2020-03-25 2020-03-25 車両制御システム、攻撃判定方法及びプログラム

Country Status (3)

Country Link
US (1) US11713058B2 (ja)
JP (1) JP7283427B2 (ja)
CN (1) CN113442848B (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI791322B (zh) * 2021-11-10 2023-02-01 財團法人資訊工業策進會 流量控制伺服器及流量控制方法
JP7552623B2 (ja) 2022-01-12 2024-09-18 トヨタ自動車株式会社 通信装置、車両、通信方法、及びプログラム

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004328488A (ja) 2003-04-25 2004-11-18 Denso Corp 車両用通信システム
JP2008271040A (ja) 2007-04-18 2008-11-06 Toyota Motor Corp 通信装置、通信システム
JP2012249107A (ja) 2011-05-27 2012-12-13 Toshiba Corp 通信システム
JP2018160786A (ja) 2017-03-22 2018-10-11 パナソニックIpマネジメント株式会社 監視装置、監視方法およびコンピュータプログラム
JP2019191063A (ja) 2018-04-27 2019-10-31 三菱電機株式会社 検査システム

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5772666B2 (ja) * 2012-03-05 2015-09-02 株式会社オートネットワーク技術研究所 通信システム
JP2014058210A (ja) * 2012-09-18 2014-04-03 Hitachi Automotive Systems Ltd 車両制御装置および車両制御システム
EP4236196A3 (en) 2014-05-08 2023-10-18 Panasonic Intellectual Property Corporation of America In-vehicle network system, fraud-sensing electronic control unit, and anti-fraud method
JP6081437B2 (ja) * 2014-12-04 2017-02-15 本田技研工業株式会社 車両通信システム
JP5968501B1 (ja) * 2015-06-01 2016-08-10 三菱電機株式会社 車載電子制御装置
JP6649215B2 (ja) * 2015-12-14 2020-02-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ装置、ネットワークシステム及び攻撃検知方法
CN109074453B (zh) * 2016-04-26 2021-10-26 三菱电机株式会社 入侵检测装置、入侵检测方法以及计算机能读取的存储介质
JP6846991B2 (ja) * 2016-07-05 2021-03-24 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
WO2018186053A1 (ja) * 2017-04-07 2018-10-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正通信検知方法、不正通信検知システム及びプログラム
CN109688152B (zh) * 2019-01-03 2021-01-12 南京邮电大学 一种面向车载can总线的报文注入式攻击的检测方法
JP2019209961A (ja) * 2019-04-10 2019-12-12 パナソニックIpマネジメント株式会社 情報処理装置、監視方法、プログラム及びゲートウェイ装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004328488A (ja) 2003-04-25 2004-11-18 Denso Corp 車両用通信システム
JP2008271040A (ja) 2007-04-18 2008-11-06 Toyota Motor Corp 通信装置、通信システム
JP2012249107A (ja) 2011-05-27 2012-12-13 Toshiba Corp 通信システム
JP2018160786A (ja) 2017-03-22 2018-10-11 パナソニックIpマネジメント株式会社 監視装置、監視方法およびコンピュータプログラム
JP2019191063A (ja) 2018-04-27 2019-10-31 三菱電機株式会社 検査システム

Also Published As

Publication number Publication date
CN113442848B (zh) 2023-10-20
US20210300432A1 (en) 2021-09-30
CN113442848A (zh) 2021-09-28
JP2021157338A (ja) 2021-10-07
US11713058B2 (en) 2023-08-01

Similar Documents

Publication Publication Date Title
JP7231559B2 (ja) 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
JP7524421B2 (ja) 運転管理システム、車両、及び、情報処理方法
US20180004964A1 (en) Security system and method for protecting a vehicle electronic system
JP7283427B2 (ja) 車両制御システム、攻撃判定方法及びプログラム
JP2018157463A (ja) 車載通信システム、通信管理装置、車両制御装置
CN110892683B (zh) 车载装置、管理方法和管理程序
KR101491293B1 (ko) 게이트웨이 장치 및 그의 메시지 라우팅 방법
JP2019008618A (ja) 情報処理装置、情報処理方法及びプログラム
KR101972457B1 (ko) Can 통신 기반 해킹공격 탐지 방법 및 시스템
JP2020108132A (ja) 電子制御システム、電子制御装置、制御方法及びプログラム
US11394726B2 (en) Method and apparatus for transmitting a message sequence over a data bus and method and apparatus for detecting an attack on a message sequence thus transmitted
JP6920667B2 (ja) 情報処理装置、情報処理システム、情報処理方法、及びプログラム
US11902300B2 (en) Method for monitoring a data transmission system, data transmission system and motor vehicle
US11814069B2 (en) Vehicle control system, data transmitting method, and recording medium on which program is recorded
WO2020246031A1 (ja) 車載制御装置および車載制御システム
JP2023102696A (ja) 通信装置、車両、通信方法、及びプログラム
CN111077873B (zh) 用于控制对信息-物理系统的访问的系统和方法
JP2022097250A (ja) 情報収集装置、情報収集システム、情報収集方法及びプログラム
JP2021147008A (ja) 車両制御装置
WO2022016419A1 (zh) 认证检测方法、装置及系统
JP2020068506A (ja) 電子制御装置、電子制御システム及びプログラム
US20240007450A1 (en) Apparatus, Method, and Computer Program for the Secure, High-Availability Transmission of Messages, and a Vehicle Comprising the Apparatus
JP7549948B1 (ja) 監視装置、監視方法、及び、プログラム
CN111464969B (zh) 车载联网电子系统的控制方法
CN113348124A (zh) 认证方法、认证系统以及认证装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220422

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230118

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230124

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230322

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230418

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230501

R151 Written notification of patent or utility model registration

Ref document number: 7283427

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151