JP7388520B2 - 中継装置、及び通信方法 - Google Patents

中継装置、及び通信方法 Download PDF

Info

Publication number
JP7388520B2
JP7388520B2 JP2022187361A JP2022187361A JP7388520B2 JP 7388520 B2 JP7388520 B2 JP 7388520B2 JP 2022187361 A JP2022187361 A JP 2022187361A JP 2022187361 A JP2022187361 A JP 2022187361A JP 7388520 B2 JP7388520 B2 JP 7388520B2
Authority
JP
Japan
Prior art keywords
discard
frame
information
discarded
port
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022187361A
Other languages
English (en)
Other versions
JP2023027784A (ja
Inventor
芳史 加来
太一 板川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2022187361A priority Critical patent/JP7388520B2/ja
Publication of JP2023027784A publication Critical patent/JP2023027784A/ja
Application granted granted Critical
Publication of JP7388520B2 publication Critical patent/JP7388520B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/16Flow control; Congestion control in connection oriented networks, e.g. frame relay
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/20Traffic policing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本開示は、複数の通信線間でのフレームの中継を行うように構成された中継装置、及び通信方法に関する。
上記の中継装置には、中継するフレームをフィルタリングする機能が備えられる場合がある。なお、フレームとは、所定のプロトコルに対応するヘッダと実データとを含む一般的なデータである。例えば、下記特許文献1には、多数のフィルタリングルールを準備しておき、多数のフィルタリングルールに従って、フレームを中継するか破棄するか等の設定をするという技術が開示されている。
特開2009-296246号公報
しかしながら、発明者の詳細な検討の結果、上記の中継装置では、フレームが破棄されたか否かを後から解析することができないため、不正アクセス等のセキュリティ攻撃を受けた場合に、後から解析することが難しいという課題が見出された。
本開示の1つの局面は、複数の通信線間でのフレームの中継を行うように構成された中継装置において、セキュリティ攻撃を受けた場合に、後から解析できるようにすることにある。
本開示の一態様は、複数の通信線間でのフレームの中継を行うように構成された中継装置(20)であって、実行部(21:S110,S120,S150)と、破棄格納部(22:S130,S140)と、を備える。実行部は、予め設定されたフィルタリングルールに従って、何れかの通信線から受信したフレームを、他の通信線に送出するか破棄するかを選択して実行するように構成される。破棄格納部は、実行部がフレームを破棄する際に、破棄するフレームに関する情報を表す破棄情報を予め設定された破棄記録部(25)に格納するように構成される。
このような構成によれば、フィルタリングルールに従ってフレームを破棄する際に、破棄情報を記録することができるので、不正アクセス等のセキュリティ攻撃を受けた場合に、破棄情報を後から参照してセキュリティ攻撃の内容を解析することができる。
通信システムの構成を示すブロック図である。 ルールテーブルの一例を示す説明図である。 破棄判定テーブルの一例を示す説明図である。 ポート判定テーブルの一例を示す説明図である。 受信フレームの構成例を示す説明図である。 破棄情報テーブルの一例を示す説明図である。 中継処理のフローチャートである。 破棄情報送出処理のフローチャートである。 ツールに送られる破棄情報を含むフレームの一例を示す説明図である。 ヘッダ部分に含まれるデータの一例を示す説明図である。
[1.概要]
複数の通信装置間でフレームの中継を行うように構成されたネットワークスイッチとしては、Ethernet(登録商標) Switchが知られている。Ethernet Switchでは、フレームをフィルタリングする機能などセキュリティ機能を搭載しているが、破棄したフレームを記録するような機能は提供されておらず、セキュリティ攻撃を後から解析することが難しい。
そこで、本実施形態では、Ethernet Switch内において、セキュリティ機能を有する中継処理部と、格納処理部と、記録部と、を備えておき、中継処理部は指定したポリシーにより受信フレームを破棄することができるように構成する。ここで、破棄するフレームについては、格納処理部が、フレームの一部のデータ、破棄した要因、受信したポート、タイムスタンプ等の情報を破棄情報として記録部に格納するように構成する。
記録部では、破棄要因毎に、破棄したフレームの数の合計値が記録される。これらの破棄情報は、ツールにより読み出すことができるように構成される。これにより、セキュリティ攻撃の解析が可能になる。また、記録対象とするフレームは、破棄要因やポート毎に指定でき、特定の攻撃のみ解析するという使い方も可能に構成される。
このような構成の詳細について以下に説明する。
[2.実施形態]
以下、図面を参照しながら、本開示の実施形態を説明する。
[2-1.構成]
通信システム1は、例えば、乗用車等の車両に搭載され、車両内の各通信装置間でフレームの中継を行うためのシステムである。
図1に示す通信システム1は、中継装置であるネットワークスイッチ20を備える。また、通信システム1は、第1ECU30Aと、第2ECU30Bと、第3ECU30Cと、ツール35と、を備えてもよい。また、ネットワークスイッチ20は、ポートP1,P2,P3,P4を備えてもよい。
第1ECU30Aは、通信線5Aに接続され、第2ECU30Bは、通信線5Bに接続される。また、第3ECU30Cは、通信線5Cに接続され、ツール35は、通信線5Dに接続される。なお、第1ECU30A、第2ECU30B、第3ECU30C、ツール35は、通信線5A,5B,5C,5Dおよびネットワークスイッチ20を介して互いに通信を行う通信装置を構成する。
4本の通信線5A,5B,5C,5Dは、順に、ポートP1,P2,P3,P4に接続される。なお、ポートP1,P2,P3,P4は、フレームの送受信を行うトランシーバとして機能する。
ネットワークスイッチ20は、例えば、EthernetおよびInternet Protocol等のプロトコルを利用して通信するレイヤ2スイッチとして構成される。ネットワークスイッチ20は、複数の通信線5A,5B,5C,5D間でフレームをフィルタリングしつつ中継するように構成される。
ネットワークスイッチ20は、例えば、半導体デバイス等の回路を備えるハードウェアとして構成される。ネットワークスイッチ20は、中継処理部21と、格納処理部22と、記録部25と、をさらに備える。
中継処理部21は、フレームの中継の全般を管理する。中継処理部21は、例えば、後述する中継処理のうちのS110,S120,S150を実施することによって、予め準備されたフィルタリングルールに従って、受信したフレームを中継するか破棄するかを選択して実施する。なお、フィルタリングルールとは、受信したフレームに含まれるアドレス、フレームの形式、フレームのデータ長、フレームの種別等のフレームの特性に応じて、該フレームを中継するか破棄するか等の処理を決定するためのルールである。
格納処理部22は、中継処理部21がフレームを破棄する際に、後述する中継処理のうちのS130,S140で、破棄情報を記録部25に格納する。破棄情報とは、破棄するフレームに関する情報を表す。本実施形態では、破棄情報には、破棄するフレームについてのヘッダ情報が含まれる。ヘッダ情報については後述する。
また、格納処理部22は、後述する破棄情報送出処理を実施することによって、記録部25に記録された破棄情報をツール35等の外部装置に送信する。
記録部25は、ルールテーブル26、破棄判定テーブル27A、ポート判定テーブル27B、破棄情報テーブル28、および中継テーブル29を記録するように構成される。
ルールテーブル26には、複数のフィルタリングルールが記述される。ルールテーブル26では、図2に示すように、1行分の記述事項を個々のフィルタリングルールとして記述される。
それぞれのフィルタリングルールには、ルール番号(No.)、適用ポート、宛先アドレス、送信元MACアドレス、タイプ、その他の条件が含まれる。
ルール番号は、フィルタリングルールを特定するための番号であり、フィルタリングルール毎に固有の番号が付される。適用ポートは、ポートP1,P2,P3,P4のうちの当該フィルタリングルールが適用されるポートを示す。宛先アドレスは、フレームの送信先となるECUのアドレス、例えばMACアドレスが記述される。
ただし、宛先アドレスは、IPアドレス等、MACアドレス以外のアドレスでもよい。タイプは、IPv4、IPv6等のインターネットプロトコルのバージョンを示す。
ここで、図2に示す例では、ルール番号1のフィルタリングルールには、ポートP1で受信したIPv4フレームのうち送信元アドレスが第1ECU30Aであるフレームだけを転送する旨、およびポートP1から送信するIPv4フレームのうち宛先アドレスが第1ECU30Aであるフレームだけ転送する旨が記述されている。また、ルール番号2のフィルタリングルールには、ポートP4で受信したIPv4フレームのうち送信元アドレスがツール35であるフレームだけを転送する旨、およびポートP4から送信するIPv4フレームのうち宛先アドレスがツール35であるフレームだけを転送する旨が記述されている。
その他、ルールテーブル26では、多数のフィルタリングルールを設定することができるが、ここでは記載を省略している。
破棄判定テーブル27Aおよびポート判定テーブル27Bは、破棄情報を記録部25に格納するか否かの設定を記述したテーブルである。破棄判定テーブル27Aでは、図3に示すように、複数のフィルタリングルールと、破棄情報の格納に関して有効または無効の設定とが対応付けられている。ポート判定テーブル27Bでは、図4に示すように、複数のポートP1,P2,P3,P4と、破棄情報の格納に関して有効または無効の設定とが対応付けられている。
例えば、図3に示す例では、フィルタリングルール番号「1」と「有効」とが対応付けられているため、中継処理部21がフィルタリングルール「1」によってフレームを破棄する場合、格納処理部22は、破棄情報を記録部25に格納することを意味する。一方で、図3に示す例では、フィルタリングルール番号「3」と「無効」とが対応付けられているため、中継処理部21がフィルタリングルール「3」によってフレームを破棄する場合、格納処理部22は、破棄情報を記録部25に格納しないことを意味する。
本実施形態では、格納処理部22は、破棄判定テーブル27Aおよびポート判定テーブル27Bの両方で有効と判定された破棄情報を記録部25に格納し、破棄判定テーブル27Aおよびポート判定テーブル27Bの何れかで無効と判定された破棄情報を格納しないように設定する。
ここで、各通信線5A,5B,5C,5Dにて送受信されるフレーム7は、例えば、図5に示すような構成である。すなわち、フレーム7は、ヘッダ部分と、実データであるペイロードとを備え、ヘッダ部分、ペイロードの順に送受信される。ヘッダ部分は、Etherヘッダ、IPヘッダ、UDPヘッダとを備える。なお、UDPヘッダに換えてTCPヘッダを備える場合もある。
破棄情報テーブル28は、複数の破棄情報を格納するための記録領域である。本実施形態では、破棄情報テーブル28では、図6に示すように、「#」の欄に記述された固有の数字にて識別される個々の破棄情報を備える。「#」の欄に記述された固有の数字は、破棄要因毎の破棄数の合計値に相当する。破棄情報には、受信ポート、フィルタリングルール、フレーム内容、タイムスタンプ、累積回数を含む。破棄情報テーブル28では、破棄情報に含まれるそれぞれをデータを格納するための欄が設けられる。
破棄情報テーブル28において、受信ポートの欄には、破棄されたフレームを受信したポートが記述される。フィルタリングルールの欄には、フレームを破棄する要因となったフィルタリングルール番号が記述される。フレーム内容の欄には、破棄情報としてのヘッダ情報を含む。
ヘッダ情報は、図5に示すフレーム7のうちのヘッダ部分のデータを示す。なお、ヘッダ情報には、Ethernetヘッダ、VLANTag、IPヘッダ、TCPヘッダ、UDPヘッダのうちの少なくとも1つが含まれていればよい。なお、VLANTagとは、例えば、IEEE802.1qに て規定されるタグVLAN (Tag VLAN) にて利用されるVLAN IDを示す。
タイムスタンプの欄には、フレームが破棄された時刻または破棄情報が生成された時刻に関する情報が数値で記述される。累積回数の欄には、フレームを破棄した回数が、フィルタリングルール毎、かつ受信ポート毎に記述される。
中継テーブル29は、各ポートに接続されたECUの宛先アドレスを記録するテーブルである。中継テーブル29は、中継処理部21がフレームの送出先のポートを特定する際に中継処理部21によって参照される。
ツール35は、記録部25に格納された破棄情報を読み出し、読み出した破棄情報に基づいてセキュリティ攻撃等の解析を行う装置である。ツール35は、通信線5Dに対して着脱自在に構成され、車両の点検時等、必要に応じて通信線5Dに接続される。また、ツール35は、使用者による所定の操作が入力されると、通信線5Dを介してネットワークスイッチ20に対して破棄情報を要求する外部指令を送信する。
なお、本実施形態では、ネットワークスイッチ20に接続される通信線の本数が4である場合を例示するが、通信線の本数は、2以上であればどのような数でもよい。
[2-2.処理]
[2-2-1.中継処理]
ネットワークスイッチ20が実行する中継処理について、図7のフローチャートを用いて説明する。中継処理は、例えば、何れかのポートからフレームを受信すると開始する処理である。
中継処理では、まず、S110で、ネットワークスイッチ20は、受信したフレームに対して破棄判定されたか否かを判定する。すなわち、中継処理部21は、フレームのヘッダ部分に記述された宛先アドレスが存在するポートを、中継テーブル29を参照して特定するとともに、ルールテーブル26に従って宛先アドレスに中継するか破棄するかを決定し、この結果が破棄であるか否かを判定する。
ネットワークスイッチ20は、S110で、受信したフレームに対して破棄判定されていないと判定した場合には、S120へ移行し、破棄するフレームでない通常フレームとして、通常フレームを宛先アドレスに中継する中継処理を実施した後、図7の中継処理を終了する。
一方、ネットワークスイッチ20は、S110で、受信したフレームに対して破棄判定されたかと判定した場合には、S130へ移行し、受信フレームを受けたポート、すなわち受信ポートについて破棄情報の記録が有効に設定され、かつ破棄要因について破棄情報の記録が有効に設定されているか否かを判定する。
換言すれば、この処理では、フレームを破棄する際に、破棄するフレームが、格納対象フレームであるか否かを判定する。格納対象フレームとは、フィルタリングルールで破棄することが決定されたフレームのうちの、破棄情報を記録部25に格納すると設定されたフレームを表す。
ネットワークスイッチ20は、S130で、破棄情報の記録が有効に設定され、かつ破棄要因について破棄情報の記録が有効に設定されていると判定した場合には、S140へ移行し、破棄情報を記録部25の破棄情報テーブル28に格納する。その後、S150に移行する。
一方、ネットワークスイッチ20は、S130で、破棄情報の記録が有効に設定されていない、或いは破棄要因について破棄情報の記録が有効に設定されていないと判定した場合には、S150へ移行し、受信フレームを破棄した後、図7の中継処理を終了する。
[2-2-2.破棄情報送出処理]
次に、ネットワークスイッチ20、特に格納処理部22が実行する破棄情報送出処理について、図8のフローチャートを用いて説明する。破棄情報送出処理は、ネットワークスイッチ20がツール35から破棄情報を要求する外部指令を受信すると開始される処理である。
破棄情報送出処理では、まず、S210で、ネットワークスイッチ20は、破棄情報が記録部25に格納されているか否かを判定する。S210で、破棄情報が記録部25に格納されていないと判定した場合には、図8の破棄情報送出処理を終了する。
一方、ネットワークスイッチ20は、S210で、破棄情報が記録部25に格納されていると判定した場合には、S220へ移行し、未送信の破棄情報があるか否かを判定する。S220で、未送信の破棄情報がないと判定した場合には、図8の破棄情報送出処理を終了する。
一方、ネットワークスイッチ20は、S220で未送信の破棄情報があるかと判定した場合には、S230へ移行し、未送信の破棄情報を必要に応じて分割してツール35に対して転送し、その後、S220に戻る。なお、格納処理部22は、送信済の破棄情報には、例えば送信済フラグを立てて、未送信の破棄情報とは識別できるように管理する。
未送信の破棄情報を送信する処理の詳細を以下に説明する。格納処理部22は、S230で、図9に示すように、データ形式がEthernet、IP、UDPの少なくとも何れかのプロトコルであるフレームを生成する。この際、当該フレームのヘッダ部分でツール35を宛先として指定し、当該フレームの実データ部分であるペイロードに、記録部25から読み出した破棄情報を含むように設定する。生成したフレームは、格納処理部22によって、ヘッダ部分の記述に従ってツール35に送信される。
また、破棄情報は、必要に応じて複数のフレームのペイロード部分に分割される。例えば、格納処理部22が、記録フレーム1および記録フレーム2という破棄情報を送信し、1フレームでは記録フレーム1のみしか送信できない場合、図9に示すように、格納処理部22は、第1フレームのペイロード部分に、記録フレーム1の全ておよび記録フレーム2の途中までのデータを含める。格納処理部22がデータを分割してすることは、ヘッダ部分に含まれるシーケンスナンバにて管理される。第1フレームのシーケンスナンバは、最初のデータを示す0に設定される。
そして、格納処理部22は、第2フレームのペイロード部分に、記録フレーム2の残りのデータを含める。第2フレームのシーケンスナンバは、第1フレームのペイロード部分が1400バイトである場合、1400に設定される。
なお、格納処理部22がS230で生成するフレームのヘッダ部分には、図10に示すような情報が格納可能に構成される。ヘッダ部分に含まれる情報は、予め設定された値であってもよいし、送出するフレームの内容に応じて算出される値であってもよい。
[2-3.効果]
以上詳述した実施形態によれば、以下の効果を奏する。
(2a)上記の通信システム1は、複数の通信線間でのフレームの中継を行うように構成されたネットワークスイッチ20を備え、ネットワークスイッチ20は、中継処理部21および格納処理部22を備える。中継処理部21は、S110,S120,S150で、予め設定されたフィルタリングルールに従って、何れかの通信線から受信したフレームを、他の通信線に送出するか破棄するかを選択して実行するように構成される。格納処理部22は、S130,S140で、フレームを破棄する際に、破棄するフレームに関する情報を表す破棄情報を予め設定された記録部25に格納するように構成される。
このような構成によれば、フィルタリングルールに従ってフレームを破棄する際に、破棄情報を記録することができるので、不正アクセス等のセキュリティ攻撃を受けた場合に、破棄情報を後から参照してセキュリティ攻撃の内容を解析することができる。なお、破棄情報には、破棄するフレームの少なくとも一部を含んでもよく、この場合、破棄情報には、フレームの任意の一部、或いはフレームの全部が含まれてもよい。
(2b)格納処理部22は、S130,S140で、破棄情報として、フレームを受信したポートを示す受信ポート、破棄要因、フレームが破棄された時刻または破棄情報が生成された時刻に関する情報を示すタイムスタンプ、のうちの少なくとも1つを格納する。
このような構成によれば、破棄情報に、受信ポート、破棄要因、タイムスタンプ、のうちの少なくとも1つが含まれるので、破棄情報からセキュリティ攻撃の内容を解析しやすくすることができる。
(2c)格納処理部22は、S140で、受信ポート、破棄要因、タイムスタンプに加えて、破棄要因毎の破棄されたフレーム数を表す破棄数、および破棄要因毎の破棄数の合計値を記録部25に格納するように構成される。
このような構成によれば、破棄数および破棄数の合計値を利用することができるので、セキュリティ攻撃の内容を解析しやすくすることができる。
(2d)格納処理部22は、S130,S140で、破棄情報として、Ethernetヘッダ、VLANTag、IPヘッダ、TCPヘッダ、UDPヘッダのうちの少なくとも1つを含むヘッダ情報を格納する。
このような構成によれば、アドレス等に関するヘッダ情報を格納するので、フレーム全てを格納する構成と比較して破棄情報を格納する記録部の容量を節約しつつ、フレームの特性を効率的に格納することができる。
(2e)格納処理部22は、S230で、予め設定された外部指令を受けると、記録部25に格納された破棄情報を予め設定された外部装置であるツール35に送信するように構成される。
このような構成によれば、外部指令に応じてツール35に破棄情報を送信することができる。
(2f)格納処理部22は、S230で、データ形式がEthernet、IP、UDPの少なくとも何れかであるフレームであって、当該フレームのヘッダ部分にツール35を指定する情報を含み、当該フレームの実データ部分に破棄情報を含むフレームを生成し、生成したフレームをヘッダ部分に従ってツール35に送信する。
このような構成によれば、データ形式がEthernet、IP、UDPの少なくとも何れかであるフレームを生成するので、ネットワークスイッチ20に接続された通信線からツール35に、破棄情報を含むフレームを送信することができる。
(2g)ネットワークスイッチ20では、フィルタリングルール毎、或いは受信ポート毎に、破棄情報を記録部25に格納するか否かの設定を記述した破棄判定テーブル27Aおよびポート判定テーブル27Bが、記録部25にて準備されている。格納処理部22は、S130で、フレームを破棄する際に、破棄するフレームが、格納対象フレームであるか否かを判定するように構成される。格納処理部22は、S140で、破棄するフレームが格納対象フレームである場合、破棄情報を、記録部25に格納するように構成される。
このような構成によれば、フィルタリングルール毎、或いは受信ポート毎に破棄情報を格納するか否かを設定できるので、必要な破棄情報を効率的に収集することができる。
[3.他の実施形態]
以上、本開示の実施形態について説明したが、本開示は上述の実施形態に限定されることなく、種々変形して実施することができる。
(3a)上記実施形態では、本実施形態では、中継処理部21、および格納処理部22としての機能が、ハードウェアにて実現される構成について説明したが、これに限定されるものではない。例えば、これらの機能はソフトウェアの処理によって実現されてもよい。この場合、ネットワークスイッチ20またはネットワークスイッチ20に接続された外部装置においてCPUおよびメモリを備え、CPUがメモリ内のプログラムを実行することによって中継処理部21、および格納処理部22としての機能を実現するとよい。
(3b)上記実施形態では、格納処理部22は、破棄情報として、受信ポート、破棄要因、およびタイムスタンプの全てを記録部25に格納したが、これに限定されるものではない。例えば、格納処理部22は、破棄情報として、受信ポート、破棄要因、およびタイムスタンプのうちの少なくとも1つを格納するように構成してもよい。
(3c)上記実施形態では、破棄情報に破棄数および破棄数の合計値を含むように構成したが、これに限定されるものではない。例えば、破棄数および破棄数の合計値は、破棄情報とは別途記録されてもよい。
(3d)上記実施形態では、ツール35からの外部指令は、ポートから入力される旨を説明したが、これに限定されるものではない。例えば、ポート以外の物理的なケーブルから入力される指令であってもよい。
(3e)上記実施形態における1つの構成要素が有する複数の機能を、複数の構成要素によって実現したり、1つの構成要素が有する1つの機能を、複数の構成要素によって実現したりしてもよい。また、複数の構成要素が有する複数の機能を、1つの構成要素によって実現したり、複数の構成要素によって実現される1つの機能を、1つの構成要素によって実現したりしてもよい。また、上記実施形態の構成の一部を省略してもよい。また、上記実施形態の構成の少なくとも一部を、他の上記実施形態の構成に対して付加又は置換してもよい。
(3f)上述した通信システム1の他、当該通信システム1の構成要素となるネットワークスイッチ20等の装置、当該装置としてコンピュータを機能させるためのプログラム、このプログラムを記録した半導体メモリ等の非遷移的実態的記録媒体、通信方法など、種々の形態で本開示を実現することもできる。
[4.実施形態の構成と本開示の構成との対応関係]
上記実施形態のネットワークスイッチ20は、本開示での中継装置に相当し、上記実施形態の記録部25は、本開示での破棄記録部および回数記録部に相当する。また、上記実施形態の破棄判定テーブル27A,ポート判定テーブル27Bは、本開示での格納情報に相当し、上記実施形態のツール35は、本開示での外部装置に相当する。
上記実施形態の中継処理部21が実行する処理のうちのS110,S120,S150は、本開示での実行部に相当する。また、上記実施形態の格納処理部22が実行する処理のうちのS130,S140は、本開示での破棄格納部に相当し、上記実施形態のS130は、本開示での格納判定部に相当し、上記実施形態のS140は、本開示での回数格納部および格納実行部に相当する。また、上記実施形態のS230は、本開示での破棄送信部に相当する。
1…通信システム、5A,5B,5C,5D…通信線、20…ネットワークスイッチ、21…中継処理部、22…格納処理部、25…記録部、26…ルールテーブル、27A…破棄判定テーブル、27B…ポート判定テーブル、28…破棄情報テーブル、29…中継テーブル、30A,30B,30C…ECU、35…ツール。

Claims (5)

  1. 複数のポートを備え、複数の通信線間でのフレームの中継を行うように構成された中継装置(20)であって、
    予め設定されたフィルタリングルールに従って、何れかの通信線を介して前記ポートで受信したフレームを、他の通信線に送出するか破棄するかを選択して実行するように構成された実行部(21:S110,S120,S150)と、
    前記実行部が前記フレームを破棄する際に、該破棄するフレームに関する情報を表す破棄情報を予め設定された破棄記録部(25)に格納するように構成された破棄格納部(22:S130,S140)と、
    予め設定された外部指令を受けると、前記破棄記録部に格納された破棄情報を予め設定された外部装置(35)に送信するように構成された破棄送信部(22:S230)と、
    前記ポート毎に前記破棄情報を前記破棄記録部に格納するか否かの設定を記述したポート判定テーブル(27B)と、
    前記フィルタリングルール毎に前記破棄情報を前記破棄記録部に格納するか否かの設定を記述した破棄判定テーブル(27A)と、
    を備え、
    前記破棄格納部は、
    前記実行部が前記フレームを破棄する際に、該破棄するフレームが、前記ポート判定テーブルにて前記破棄情報を前記破棄記録部に格納すると設定された前記ポートにて受信したフレームかつ前記破棄判定テーブルにて前記破棄情報を前記破棄記録部に格納すると設定されたフィルタリングルールで破棄することが決定されたフレームを表す格納対象フレームであるか否かを判定するように構成された格納判定部(22:S130)と、
    前記破棄するフレームが前記格納対象フレームである場合、前記破棄情報を、前記破棄記録部に格納するように構成された格納実行部(22:S140)と、
    をさらに備え、
    前記破棄送信部は、データ形式がEthernet(登録商標)、IP、UDPの少なくとも何れかであるフレームであって、当該フレームのヘッダ部分に前記外部装置を指定する情報を含み、当該フレームの実データ部分に前記破棄情報を含むフレームを生成し、該生成したフレームを前記ヘッダ部分に従って前記外部装置に送信する
    ように構成された中継装置。
  2. 請求項1に記載の中継装置であって、
    前記破棄格納部は、前記破棄情報として、フレームを受信したポートを示す受信ポート、前記フレームが破棄された時刻または前記破棄情報が生成された時刻に関する情報を示すタイムスタンプ、のうちの少なくとも1つを格納する
    ように構成された中継装置。
  3. 請求項1または請求項2に記載の中継装置であって、
    前記破棄情報に加えて、フィルタリングルール毎の破棄されたフレーム数を表す破棄数、およびフィルタリングルール毎の破棄数の合計値を予め設定された回数記録部(25)に格納するように構成された回数格納部(22:S140)と、
    を備える中継装置。
  4. 請求項1から請求項3までのいずれか1項に記載の中継装置であって、
    前記破棄格納部は、前記破棄情報として、Ethernet(登録商標)ヘッダ、VLAN Tag、IPヘッダ、TCPヘッダ、UDPヘッダのうちの少なくとも1つを含むヘッダ情報を格納する
    ように構成された中継装置。
  5. 複数のポートを備え、複数の通信線間でのフレームの中継を行うように構成された中継装置(20)が実行する通信方法であって、
    前記中継装置は、
    前記ポート毎に、破棄するフレームに関する情報を表す破棄情報を予め設定された破棄記録部(25)に格納するか否かの設定を記述したポート判定テーブル(27B)と、
    予め設定されたフィルタリングルール毎に前記破棄情報を前記破棄記録部に格納するか否かの設定を記述した破棄判定テーブル(27A)と、を備え、
    前記フィルタリングルールに従って、何れかの通信線を介して前記ポートで受信したフレームを、他の通信線に送出するか破棄するかを選択して実行し(S110,S120,S150)、
    前記フレームを破棄する際に、該破棄するフレームが、前記ポート判定テーブルにて前記破棄情報を前記破棄記録部に格納すると設定された前記ポートにて受信したフレームかつ前記破棄判定テーブルにて前記破棄情報を前記破棄記録部に格納すると設定されたフィルタリングルールで破棄することが決定されたフレームを表す格納対象フレームであるか否かを判定し、前記破棄するフレームが前記格納対象フレームである場合、前記破棄情報を前記破棄記録部に格納し(S130,S140)、
    予め設定された外部指令を受けると、データ形式がEthernet(登録商標)、IP、UDPの少なくとも何れかであるフレームであって、当該フレームのヘッダ部分に予め設定された外部装置(35)を指定する情報を含み、当該フレームの実データ部分に前記破棄記録部に格納された破棄情報を含むフレームを生成し、該生成したフレームを前記ヘッダ部分に従って前記外部装置に送信する(S230)
    通信方法。
JP2022187361A 2018-11-29 2022-11-24 中継装置、及び通信方法 Active JP7388520B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2022187361A JP7388520B2 (ja) 2018-11-29 2022-11-24 中継装置、及び通信方法

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2018223375A JP2020088716A (ja) 2018-11-29 2018-11-29 中継装置
JP2022187361A JP7388520B2 (ja) 2018-11-29 2022-11-24 中継装置、及び通信方法

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2018223375A Division JP2020088716A (ja) 2018-11-29 2018-11-29 中継装置

Publications (2)

Publication Number Publication Date
JP2023027784A JP2023027784A (ja) 2023-03-02
JP7388520B2 true JP7388520B2 (ja) 2023-11-29

Family

ID=70680989

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2018223375A Pending JP2020088716A (ja) 2018-11-29 2018-11-29 中継装置
JP2022187361A Active JP7388520B2 (ja) 2018-11-29 2022-11-24 中継装置、及び通信方法

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2018223375A Pending JP2020088716A (ja) 2018-11-29 2018-11-29 中継装置

Country Status (3)

Country Link
US (1) US11171871B2 (ja)
JP (2) JP2020088716A (ja)
DE (1) DE102019218061A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021183728A (ja) 2020-05-21 2021-12-02 セイコーエプソン株式会社 繊維同士を結合させるためのでんぷん複合体、繊維構造体、繊維構造体製造装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010152773A (ja) 2008-12-26 2010-07-08 Mitsubishi Electric Corp 攻撃判定装置及び攻撃判定方法及びプログラム
JP2013034096A (ja) 2011-08-02 2013-02-14 Nec Corp アクセス制御システム、端末装置、中継装置及びアクセス制御方法
JP2015222961A (ja) 2010-07-28 2015-12-10 マカフィー, インコーポレイテッド 悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステム及び方法
JP2018125669A (ja) 2017-01-31 2018-08-09 株式会社日立製作所 送信パケットを監視する装置

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0846642A (ja) * 1994-07-28 1996-02-16 Fujitsu Ltd フレームリレー交換ノード
JP3541787B2 (ja) * 2000-07-26 2004-07-14 株式会社デンソー 多重通信システム
JP2006333438A (ja) * 2005-04-28 2006-12-07 Fujitsu Ten Ltd ゲートウェイ装置及びルーティング方法
US20070002745A1 (en) 2005-07-01 2007-01-04 Pmc-Sierra Israel Ltd. Discard-sniffing device and method
WO2008129641A1 (ja) 2007-04-13 2008-10-30 Fujitsu Limited キャプチャ装置、キャプチャ方法
JP4734374B2 (ja) 2008-06-04 2011-07-27 アラクサラネットワークス株式会社 ネットワーク中継装置、および、ネットワーク中継装置方法
JP5919205B2 (ja) * 2013-01-28 2016-05-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびデータ送受信システム
CN105122743A (zh) 2013-03-06 2015-12-02 日本电气株式会社 通信系统、交换机、控制装置、分组处理方法和程序
JP6408832B2 (ja) * 2014-08-27 2018-10-17 ルネサスエレクトロニクス株式会社 制御システム、中継装置、及び制御方法
US10389655B2 (en) * 2014-09-22 2019-08-20 Dell Products L.P. Event-based packet mirroring
JP6201962B2 (ja) * 2014-11-06 2017-09-27 トヨタ自動車株式会社 車載通信システム
US10826915B2 (en) * 2015-06-02 2020-11-03 Mitsubishi Electric Corporation Relay apparatus, network monitoring system, and program
JP6406559B2 (ja) * 2017-03-17 2018-10-17 本田技研工業株式会社 通信装置、通信方法、およびプログラム
JP6926708B2 (ja) * 2017-06-14 2021-08-25 住友電気工業株式会社 車載通信システム、スイッチ装置、通信制御方法および通信制御プログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010152773A (ja) 2008-12-26 2010-07-08 Mitsubishi Electric Corp 攻撃判定装置及び攻撃判定方法及びプログラム
JP2015222961A (ja) 2010-07-28 2015-12-10 マカフィー, インコーポレイテッド 悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステム及び方法
JP2013034096A (ja) 2011-08-02 2013-02-14 Nec Corp アクセス制御システム、端末装置、中継装置及びアクセス制御方法
JP2018125669A (ja) 2017-01-31 2018-08-09 株式会社日立製作所 送信パケットを監視する装置

Also Published As

Publication number Publication date
JP2020088716A (ja) 2020-06-04
JP2023027784A (ja) 2023-03-02
DE102019218061A1 (de) 2020-06-04
US20200177511A1 (en) 2020-06-04
US11171871B2 (en) 2021-11-09

Similar Documents

Publication Publication Date Title
CN108370342B (zh) 网关装置、车载网络系统、转送方法和程序
EP3314827B1 (en) Method and system for managing data traffic in a computing network
US10057292B2 (en) Method for operating a security gateway of a communication system for vehicles
CN107113240B (zh) 可扩展虚拟局域网报文发送方法、计算机设备和可读介质
JP5454517B2 (ja) ゲートウェイ装置
CN108712459A (zh) 协议报文跨层通信方法、装置及电子设备
JP4365672B2 (ja) パケット通信ノード装置
US20140089507A1 (en) Application independent content control
JP7388520B2 (ja) 中継装置、及び通信方法
CN113395197B (zh) 网关装置、车载网络系统、转送方法和计算机可读记录介质
DE112008002550T5 (de) Verfahren und System für virtuelle Schnittstellenkommunikation
CN111373699B (zh) 交换装置和通信控制方法
JP3581345B2 (ja) パケット転送装置およびパケット転送方法
CN110431885B (zh) 处理报文的方法和装置
US10051058B2 (en) Method for classifying a data segment with respect to its further processing
CN112187665A (zh) 一种报文处理的方法及装置
JP2007310662A (ja) ファイアウォール装置
JP7225729B2 (ja) 中継装置及び中継方法
JP7247712B2 (ja) 中継装置及び中継方法
CN115211079B (zh) 交换机装置、车载通信系统及通信方法
US20160381140A1 (en) Method, System, and Computer-Readable Medium for Storing Diagnostic Data Relating to a Vehicle
KR100891713B1 (ko) Ip 주소 투명화를 위한 게이트웨이 및 방법과 컴퓨터프로그램 기록매체
JP2015095768A (ja) 情報伝送装置、及びプログラム
CN116390157A (zh) 数据通信方法、系统、装置及计算机可读存储介质
DE102020128284A1 (de) Verfahren zum Überwachen eines Datennetzwerks in einem Kraftfahrzeug sowie Switchvorrichtung und Kraftfahrzeug

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20221124

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230901

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231017

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231030

R151 Written notification of patent or utility model registration

Ref document number: 7388520

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151