JP7410804B2 - 車両制御システム、車両制御方法及び車両制御装置 - Google Patents

車両制御システム、車両制御方法及び車両制御装置 Download PDF

Info

Publication number
JP7410804B2
JP7410804B2 JP2020101545A JP2020101545A JP7410804B2 JP 7410804 B2 JP7410804 B2 JP 7410804B2 JP 2020101545 A JP2020101545 A JP 2020101545A JP 2020101545 A JP2020101545 A JP 2020101545A JP 7410804 B2 JP7410804 B2 JP 7410804B2
Authority
JP
Japan
Prior art keywords
vehicle control
information
dos attack
processor
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020101545A
Other languages
English (en)
Other versions
JP2021197595A (ja
Inventor
祥成 榎本
一 芹沢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Astemo Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Astemo Ltd filed Critical Hitachi Astemo Ltd
Priority to JP2020101545A priority Critical patent/JP7410804B2/ja
Publication of JP2021197595A publication Critical patent/JP2021197595A/ja
Application granted granted Critical
Publication of JP7410804B2 publication Critical patent/JP7410804B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明はDoS攻撃(Denial of service attack)に対処する車載装置の通信方法に関する。
複数のECU(Electronic Control Unit)を有する車両制御システムにおいて、車外及びECU間の通信ではEthernetが採用され、通信の高速化及び大容量化が進んでいる。
ただし、Ethernetを使用した場合、車外から攻撃対象のECUに対して大量のパケットを送信する行為、すなわちDoS攻撃が行われることがある。このDoS攻撃が行われることで、ECU間の通信トラフィックの増加及びECUの機能不全が発生することがある。
このようなDoS攻撃を回避するための技術として、例えば、特許文献1が知られている。この特許文献1の技術では、攻撃対象のECUがDoS攻撃を検出した場合に、DoS攻撃を経由するECUのARP(Address Resolution Protocol)テーブルを変更(攻撃対象ECUを誘導)する。このような技術によれば、攻撃対象のECUへのDoS攻撃を回避することが可能となっている。
特開2017-005519号公報 国際公開第2018/061362号
特許文献1では、DoS攻撃による通信トラフィックの増加及びECUの処理負荷の影響が考慮されていない。そのため、DoS攻撃を受けた場合に回避対処が遅延するという課題があった。
また、DoS攻撃を回避するための他の手法として、特許文献2では、制御デバイス(例えば車両制御ECU)より上位のゲートウェイ(例えば、車外―車内GWECU)でDoS攻撃のパケットのフィルタリング処理を行っている。
しかし、特許文献2の技術では、車外通信デバイス(例えば車外通信ECU)が不正な通信によって掌握された場合の復帰処理や、制御デバイスをDoS攻撃対象とした場合の対処ができない、という課題があった。
そこで、本発明では、DoS攻撃による通信トラフィック量の増加及びECUの負荷状況に依存せずに、DoS攻撃を即時回避可能な技術を提供することを目的とする。
本発明は、プロセッサとメモリを有する車両制御装置と、車両の外部と通信を行う車外通信装置と、前記車両制御装置と前記車外通信装置の間で通信の中継を行うゲートウェイ装置と、を有する車両制御システムであって、前記車外通信装置と前記ゲートウェイ装置及び前記車両制御装置を接続して車両制御に関する通信を行う第1のネットワークと、前記車外通信装置と前記ゲートウェイ装置及び前記車両制御装置を接続して状態監視に関する通信を行う第2のネットワークと、を有し、前記車両制御装置は、前記第1のネットワークを介して前記車外通信装置からの情報を受信して車両の制御を行う車両制御部と、前記車両制御部の負荷情報を監視して不正な通信に基づく攻撃を検出する処理を前記車両制御部とは独立して行う状態監視部と、を有し、前記車両制御部は、当該車両制御部が受信する通信量及び前記車両制御部で行われる処理の負荷を負荷情報として格納する。
本発明によれば、攻撃対象の通信プロトコル及びECUの負荷状況に問わず、DoS攻撃を即座に回避することができる車載装置を提供することができる。
本明細書において開示される主題の、少なくとも一つの実施の詳細は、添付されている図面と以下の記述の中で述べられる。開示される主題のその他の特徴、態様、効果は、以下の開示、図面、請求項により明らかにされる。
本発明の実施例1に係る車両制御システムの構成の一例を示すブロック図である。 本発明の実施例1に係る車両制御システムにおける車両制御ECUのハードウェア構成の一例を示すブロック図である。 本発明の実施例1に係る車両制御システムによるDoS攻撃の有無に応じた処理の一例を示すシーケンス図である。 本発明の実施例1に係る車両制御システムにおける車両制御ECUの車両制御プログラムについて、正常時の処理の一例を示すフローチャートである。 本発明の実施例1に係る車両制御システムにおける車両制御ECUの状態監視プログラムについて、DoS攻撃を受けた際の処理の一例を示すフローチャートである。 本発明の実施例1に係る車両制御システムおける車両制御ECUのCPU使用率とイーサネットフレーム受信量の関係を示すグラフで、DoS攻撃と判定する例を示す。 本発明の実施例1に係る車両制御システムおける車両制御ECUのCPU使用率とイーサネットフレーム受信量の関係を示すグラフで、正常と判定する例を示す。 本発明の実施例1に係る車両制御システムにおいて車両制御プログラムが記録する負荷情報の一例を示す図である。 本発明の実施例1に係る車両制御システムにおける車外通信ECU、車外―車内GWECU及び車両制御ECU間でやり取りされるDoS攻撃情報の一例を示す図である。 本発明の実施例1に係る車両制御システムにおける車外通信ECUで行われる、正常時の処理の一例を示すフローチャートである。 本発明の実施例1に係る車両制御システムにおける車外通信ECUで行われる、DoS攻撃時の処理の一例を示すフローチャートである。 本発明の実施例1に係る車両制御システムにおける車外通信ECUで行われる、DoS攻撃を受けた際の処理の一例を示すフローチャートである。 本発明の実施例1に係る車両制御システムにおける車外―車内GWECUで行われる、正常時の処理の一例を示すフローチャートである。 本発明の実施例1に係る車両制御システムにおける車外―車内GWECUで行われる、DoS攻撃を受けた際の処理の一例を示すフローチャートである。 本発明の実施例2に係る車両制御システムにおける車両制御ECUのハードウェア構成の一例を示すブロック図である。 本発明の実施例1に係る車両制御システムにおける車外―車内GWECUで行われる、DoS攻撃を受けた際の処理の一例を示すフローチャートの変形例である。
以下、添付図面を参照して本発明の実施形態について説明する。添付図面では、機能的に同じ要素は同じ符号で表示される場合もある。なお、添付図面は本開示の原理に則った実施形態と実装例を示しているが、これらは本開示の理解のためのものであり、決して本開示を限定的に解釈するために用いられるものではない。本明細書の記述は典型的な例示に過ぎず、本開示の特許請求の範囲又は適用例を如何なる意味においても限定するものではない。
本実施形態では、当業者が本開示を実施するのに十分詳細にその説明がなされているが、他の実装及び形態も可能で、本開示の技術的思想の範囲と精神を逸脱することなく構成や構造の変更や多様な要素の置き換えが可能であることを理解する必要がある。従って、以降の記述をこれに限定して解釈してはならない。
図1は、本発明の実施例1に係る車両制御システムのブロック図を示す。まず、構成要素の名称と包含関係を記載し、次に各構成要素の機能を記載する。図1及び図2の構成図における処理の流れを図3、図4、図5、図9、図10、図11及び図12のフローチャート又はシーケンス図を用いて説明する。
<構成及び基本処理>
車両制御システム101は、車外通信ECU(Electronic Control Unit)102と、車外-車内GW(GateWay)ECU103及び複数の車両制御ECU104-1~104-nを有する。車両制御システム101は車両(図示省略)に搭載される。
また、当該車両には、当該車両の内部における装置の一例である、車両制御ECU104-1~104-nは複数搭載される。以降、各ECUの基本処理について説明する。なお、車両制御ECUを個々に特定しない場合には、「-」以降を省略した符号「104」を使用する。他の構成要素の符号についても同様である。
車外通信ECU(車外通信装置)102は、車両制御システム101の外部通信装置と情報のやり取りを行う。外部通信装置としては、例えば、無線通信装置及び通信モジュール等である。
無線通信装置は、例えば、LTE(Long Term Evolution)又は3G等の通信規格に従って、無線基地局装置110と無線通信を行うことが可能であり、かつ車外-車内GWECU(ゲートウェイ装置)103を経由して車両制御ECU104と通信を行うことが可能である。
通信モジュールは、例えば、OBD2(On Board Diagnosis second generation)の通信規格に従って、整備用端末装置111と無線通信を行うことが可能であり、かつ車外-車内GWECU103を経由して車両制御ECU104と通信を行うことが可能である。なお、整備用端末装置111は、整備時以外では通信モジュールに接続されないことがある。
車外-車内GWECU103は、イーサネット10、12及びCAN(Control Area Network)11、13を経由して、車外通信ECU102及び車両制御ECU(車両制御装置)104と通信を行う。
車外-車内GWECU103は、車外通信ECU102と車両制御ECU104との間でやり取りされる情報の中継処理を行う。
車両制御ECU104は、例えば、エンジン制御や、AT(Automatic Transmission)制御や、HEV(Hybrid Electric Vehicle)制御や、ブレーキ制御や、シャーシ制御や、ステアリング制御及び計器表示制御等を行う車両制御を行う。
前記構成においては、例えば、不正な外部通信装置からの不正アクセスにより車外通信ECU102の機能が掌握される可能性がある。これにより、車外通信ECU102がイーサネット10、12を経由して、大量のデータを送りつける意図的な攻撃、すなわちDoS攻撃を車両制御ECU104に行い、その結果、車両制御ECU104が機能不全を起こす恐れがある。
そこで、本発明の実施例1に係る車両制御システム101では、以下のような構成及び処理により、DoS攻撃による車両制御ECU104の機能不全を解決する。
<車両制御ECU104の構成>
図2は、車両制御ECU104のハードウェア構成を示すブロック図である。
車両制御ECU104は、CPU200と、周辺モジュール210及びメモリ220を有する。CPU200と、周辺モジュール210及びメモリ220は、内部バス又はアダプタなどを介して相互に接続している。
メモリ220は、CPU200の処理を規定するプログラム及び情報を記録する記録部である。本実施例では、メモリ220は、車両制御プログラム221と、状態監視プログラム222及び負荷情報223を記録する。
CPU200は、CPUコア(車両制御部)201及びCPUコア(状態監視部)202を有する。CPUコア(車両制御部)201は、車両制御プログラム221を実行し、CPUコア(状態監視部)202は、状態監視プログラム222を実行し、各々の機能を実現する。以下では、便宜上、プログラムを主語として説明することもあるが、各処理の実行主体は、実際にはCPU200である。
周辺モジュール210は、各々のプログラムが車両制御情報の入出力等に使用する。本実施例では、EtherMAC(Ethernet Media Access Controller)211とCan(CAN controller)212を有する。EtherMAC211は、イーサネット12に接続される。CAN212は、CAN13に接続される。
負荷情報223は、車両制御プログラム221の処理に要する負荷情報を記録する。負荷情報223は、具体的には、車両制御プログラム221を実行するCPUコア(車両制御部)201の負荷状況が格納されるため、図7に示す負荷情報フォーマット700のような情報を含む。
図7の負荷情報フォーマット700は、CPU使用率(%)とイーサネットフレーム受信量(byte)で構成される例を示す。CPU使用率は、CPUコア201の使用率を示す。イーサネットフレーム受信量は、単位時間(例えば、1秒)当たりのイーサネット12のデータ量(受信量)を示す。また、CPU使用率(%)は、単位時間(例えば、1秒)当たりのCPUコア201の使用率を示す。
車両制御プログラム221は、車両制御の機能を実現するためのプログラムである。また、負荷情報223へ定期的にCPU使用率とイーサネットフレーム受信量の書き込みを行う。
状態監視プログラム222は、車両制御プログラム221が出力した負荷情報223を取得し、負荷情報223からDoS攻撃の検知及び通知を行う。
CPU200は、各機能部のプログラムに従って処理を実行することによって、所定の機能を提供する機能部として稼働する。例えば、CPU200のCPUコア201は、車両制御プログラム221に従って処理を実行することで車両制御部として機能する。他のプログラムについても同様である。さらに、CPU200は、各プログラムが実行する複数の処理のそれぞれの機能を提供する機能部としても稼働する。計算機及び計算機システムは、これらの機能部を含む装置及びシステムである。
<車外通信ECU102の処理>
図9A、図9B、図10は、本発明の実施例1に係る車両制御システム101における車外通信ECU102で行われる処理の一例を示すフローチャートである。
図9Aは、車外通信ECU102の基本処理における、外部通信装置の無線基地局装置110からの受信、又はイーサネット10を経由した車外―車内GWECU103からのパケット受信及び転送処理の一例を示す。
ステップS900では、車外通信ECU102が、外部通信装置又は車外―車内GWECU103からのいずれのパケット送信であるかを判定する。
ステップS901では、車外通信ECU102が、外部通信装置からのパケット送信(S900がYESの場合)と判断し、受信したパケットを車外―車内GWECU103に送信する。
ステップS902では、車外通信ECU102が、車外―車内GWECU103からのパケット送信(S900がNOの場合)と判断し、受信したパケットを外部通信装置に送信する。
図9Bは、車外通信ECU102が制御不能状態における、転送処理の一例を示す図である。また本図は、不正な外部通信装置からの不正アクセスにより、図9Aの処理が不正に書き換えられ、制御不能となった状態を示す一例である。
ステップS910では、車外通信ECU102が、外部通信装置又は車外―車内GWECU103からのいずれのパケット送信であるかを判定する。
ステップS911~S913では、車外通信ECU102が、外部通信装置からのパケット送信(S910がYESの場合)と判断し、ステップS912の処理を繰り返して実行させ、意図的なDoS攻撃を発生させる。
ステップS912では、車外通信ECU102が、受信したパケットを車外―車内GWECU103に送信する。
一方、ステップS914では、車外通信ECU102が、車外―車内GWECU103からのパケット送信(S910がNOの場合)と判断し、受信したパケットを外部通信装置に送信する。
以上により、車外通信ECU102が不正な外部通信装置からの不正アクセスによって掌握された場合には、車外通信ECU102が受信したパケットを車外―車内GWECU103に繰り返して送信することでDoS攻撃が実行される。
図10は、車外通信ECU102のDoS攻撃時における、CAN11を経由して車外―車内GWECU103から通知されるDoS攻撃情報の判定、及び復帰処理の一例を示すフローチャートである。
ステップS1000では、車外通信ECU102が、CAN11を経由して、車外―車内GWECU103からDoS攻撃情報が通知されているか否かを判定する。なお、判定結果がNOの場合、車外通信ECU102はDoS攻撃をしていないと判定して処理を終了する。
ステップS1001では、車外通信ECU102が、DoS攻撃情報を不揮発メモリ(図示省略)に書き込む。ステップS1002では、車外通信ECU102が、リブート処理を行う。具体的には、ソフトウェアリセットやウォッチドッグリセットを用いて、意図的なリセットを発生させる処理を行う。
なお、車外通信ECU102は、図示しないROM(Read Only Memory)から通信プログラムを読み込んで起動する。
ステップS1003では、車外通信ECU102が、上記ステップS1001で不揮発メモリに書き込んだDoS攻撃情報を読み込む。
ステップS1004では、車外通信ECU102が、DoS攻撃情報をもとに、不正アクセスをしている不正な外部通信装置を特定し、当該外部通信装置からのアクセスを遮断する。
また、図10のフローチャートは、車外通信ECU102が図9Bのフローチャートの処理中であっても、確実に処理するものとする。具体的には、リアルタイムOS機能を用いたマルチタスクによる優先度制御にて実現する。好ましくは、車外通信ECU102のCPU(図示省略)をCPUコアAとCPUコアBを含むマルチコア構成とし、例えば、CPUコアAで図9Bのフローチャートの処理を行い、CPUコアBで図10のフローチャートの処理を行える構成とする。
これにより、不正な車外通信装置からの不正アクセスにより車外通信ECU102の機能が掌握されて、図9Bの処理が常駐したとしても、図10のフローチャートが確実に処理されることで、CAN11を経由した車外―車内GWECU103からの通知(DoS攻撃情報)を受け付けることができれば、リブートによって車外通信ECU102の復帰処理が可能となる。
<車外-車内GWECU103の処理>
図11は、本実施例に係る車両制御システム101における車外―車内GWECU103で行われる処理のフローチャートを示す。
図11は、車外―車内GWECU103における、イーサネット10、12を経由した車外通信ECU102及び車両制御ECU104からのパケット転送処理、及びDoS攻撃時のDoS攻撃情報の検知、DoS攻撃パケットのフィルタリング及び車外通信ECU102へのDoS攻撃情報の通知処理を示す図である。
ステップS1100では、車外-車内GWECU103が、車外通信ECU102又は車両制御ECU104からパケットを受信したか否かを判定する。なお、NOの場合は、車外-車内GWECU103が、パケットを受信していないと判定して処理を終了する。
ステップS1101では、車外-車内GWECU103が、転送情報テーブル(図示省略)を参照する。転送情報テーブルは、具体的には、受信したパケットのポート番号に対応する送信先のECU及び転送可否の情報を含む。
ステップS1102では、車外-車内GWECU103が、転送情報テーブルに基づき、受信したパケットが送信先のECUへ転送可能か否かを判定する。なお、NOの場合は、車外-車内GWECU103が不要なパケット情報、又はDoS攻撃パケットと判定して処理を終了する。なお、車外-車内GWECU103は、転送が禁止又は拒否されているパケットは破棄する。
ステップS1103では、車外-車内GWECU103が、転送情報テーブルに基づき、送信先のECUへパケットを送信する。
以上の処理によって、車外-車内GWECU103は、車外通信ECU102又は車両制御ECU104からのパケットを転送情報に基づいて宛先と転送の可否を判定して、転送が許可されているパケットを宛先へ送信する。
図12は、車外―車内GWECU103のDoS攻撃時の処理における、CAN13を経由して車両制御ECU104から通知されるDoS攻撃情報の検知と、DoS攻撃パケットのフィルタリング及び車外通信ECU102へのDoS攻撃情報の通知処理の一例を示すフローチャートである。
ステップS1200では、車外―車内GWECU103が、CAN13を経由して、車両制御ECU104からDoS攻撃情報が通知されているか否かを判定する。判定結果がNOの場合は、車外―車内GWECU103はDoS攻撃がされていないと判断して処理を終了する。
ステップS1201では、車外―車内GWECU103が、DoS攻撃情報に基づいて転送情報テーブルを、対象のDoS攻撃パケットの転送を不可に設定する。また、当ステップを処理することで、以降、図11の基本処理では、当該DoS攻撃パケットが上記ステップS1102の判定にて転送不可となり、DoS攻撃パケットが破棄される(フィルタリング処理)。
ステップS1202では、車外―車内GWECU103が、CAN11を用いて、車外通信ECU102へDoS攻撃情報(リブート要求)を通知する。
また、図12のフローチャートは図11のフローチャートの処理中であっても、車外―車内GWECU103が、確実に処理するものとする。具体的には、リアルタイムOS機能を用いたマルチタスクによる優先度制御にて実現する。好ましくは、車外―車内GWECU103のCPU(図示省略)を、CPUコアAとCPUコアBを含むマルチコア構成とし、例えば、CPUコアAで図11のフローチャートの処理を行い、CPUコアBで図12のフローチャートの処理を行える構成とする。
これにより、車外通信ECU102からのDoS攻撃パケットにより図11の基本処理が常駐したとしても、図12のフローチャートが確実に処理されることで、CAN13を経由した車両制御ECUからの通知があれば、DoS攻撃パケットのフィルタリング及び車外通信ECU102へのDoS攻撃情報の通知が可能となる。
<車両制御ECU104の処理>
図4、図5は、本発明の実施例1に係る車両制御システム101における車両制御ECU104のフローチャートを示す図である。
図4は、車両制御ECU104における車両制御プログラム221の処理の一例を示すフローチャートである。この処理は、車両制御ECU104がパケットを受信する度に実行される。
ステップS400では、車両制御ECU104が、EtherMAC211を用いて、イーサネット12を経由して車外―車内GWECU103から、車両制御で使用する車両制御情報を受信する。なお、車両制御情報は、車外―車内GWECU103が車外通信ECU102から受信したパケットから抽出した情報を含む。
ステップS401では、車両制御ECU104が、ステップS400で取得した車両制御情報に基づいて、車両制御の処理を行う。
ステップS402では、車両制御ECU104が、所定のタイミング(例えば1{ms})であるかを判定する。所定のタイミングではない場合、車両制御ECU104は、次の車両制御を行う(S400に戻る)。
ステップS403では、車両制御ECU104が、負荷情報223に、車両制御プログラム221を実行しているCPUコア201のCPU使用率及びイーサネットフレーム受信量を記録する。
上記処理によって、車両制御ECU104は車両制御を実施して、所定のタイミング(周期)となる度に負荷情報223にCPU使用率とイーサネットフレーム受信量を格納する。
図5は、車両制御ECU104における状態監視プログラムの処理の一例を示すフローチャートである。
ステップS500では、車両制御ECU104が、所定のタイミング(例えば1{ms})まで待機する。ステップS501では、車両制御ECU104が、負荷情報223を読み出す。
ステップS502では、車両制御ECU104が、負荷情報223のCPU使用率が予め定められた閾値(例えば80%以上)となったことを判定する。ステップS503では、車両制御ECU104が、負荷情報223のイーサネットフレーム受信量が予め定められた閾値(例えば1{ms}あたり10000{byte}以上)となったことを判定する。
ステップS504では、車両制御ECU104が、負荷情報223のCPU使用率とイーサネットフレーム受信量が比例して、ともに増加しているか否かを後述するように判定する。
ステップS505では、車両制御ECU104が、DoS攻撃あり(S502、S503、S504の全てがYESの場合)とした判定し、CAN212を用いて、CAN13を経由して車外-車内GWECU103へDoS攻撃情報を通知する。
DoS攻撃情報とは、具体的には、DoS攻撃の送信元が判断できる図8のDoS攻撃情報フォーマット800の情報を含む。図8のDoS攻撃情報フォーマット800は、CANIDと自IPアドレスと、送信元ポート番号と、データ識別子を含む。
CANIDは、DoS攻撃を実施したECUのCANの識別子が格納される。自IPアドレスには、DoS攻撃を実施したECUのIPアドレスが格納される。送信元ポート番号には、DoS攻撃で使用されたパケットのポート番号が格納される。データ識別子には、パケットに格納されたデータの属性が格納される。
また、車両制御ECU104が、DoS攻撃なし(S502、S503、S504のいずれかがNOの場合)と判定した場合は、新たな判定を行うべき所定のタイミングまで待機する(S500に戻る)。
上記処理によって、車両制御ECU104は所定のタイミング(1ms)毎に負荷情報223を読み込んで、CPU使用率とイーサネットフレーム受信量が規定値以上で、かつ、CPU使用率とイーサネットフレーム受信量が比例して増大している場合に、DoS攻撃を受けていることを検知することができる。
また、図6A、図6Bを参照して、上記ステップS504で行われる処理の具体的な判定方法を説明する。図6Aは、DoS攻撃と判定する場合のCPU使用率とイーサネットフレーム受信量の関係を示すグラフで、図6Bは、正常と判定する場合のグラフを示す。
図6AのDoS攻撃あり(S504がYESの場合)では、CPU使用率及びイーサネットフレーム受信量の増加の推移が一定の間隔(t1~t4)で所定の回数(例えば4回)同様である場合、DoS攻撃と判断する。
換言すれば、所定の時間内において、CPU使用率及びイーサネットフレーム受信量の変化が共に増大方向であれば、車両制御ECU104はDoS攻撃を受けていると判定することができる。
図6BのDoS攻撃なし(S504がNOの場合)では、CPU使用率及びイーサネットフレーム受信量増加の推移が一定の間隔で所定の回数(例えば4回の内1回以上)異なった場合は、DoS攻撃なしと判断する。
換言すれば、CPU使用率及びイーサネットフレーム受信量の変化が異なる場合は、車両制御ECU104は正常な処理であると判定することができる。
<処理>
図3を参照して、本実施例に係る車両制御システム101の処理の一例を説明する。
図3は、本発明の実施の形態に係る車両制御システム101における、正常時とDoS攻撃時の処理を定めたシーケンス図である。なお、各ECUの具体的な処理内容は、前記で示しているため本項では割愛して説明する。ステップS1~S3が正常時の処理を示し、ステップS4~S9がDoS攻撃を受けた場合の処理を示す。
正常時の処理としては、正規の外部通信装置112から送信されたパケットを、車外通信ECU102の車外パケット受信処理(S1、図9AのステップS900、S901)と、車外―車内GWECU103のパケット転送処理(S2、図11のステップS1100~S1103)及び車両制御ECU104の車両制御プログラムが順次実行され、車両制御処理(S3、図4のステップS400、S401)を行う。
図3のステップS4~S9は、本発明の実施の形態に係る車両制御システム101において、車外通信ECU102が不正な外部通信装置119からの不正アクセスによりマルウェアなどに感染した状態、すなわち制御不能状態を想定し、車外通信ECU102からのDoS攻撃時に車両制御ECU104と、車外-車内GWECU103及び車外通信ECU102が行う処理を定めたシーケンス図である。なお、各ECUの具体的な処理内容は前記を参照し、本項では割愛して説明する。
まず、車両制御システム101の起動後、具体的には、イグニッションキーオン後に車両制御ECU104における状態監視プログラム222は、車両制御プログラム221により書き込まれた負荷情報223(図4のS402、S403)を参照して車両制御プログラム221へのDoS攻撃の監視を開始する(S10及び図5のS500~S504)。
車外通信ECU102は、不正な外部通信装置119からのアクセスにより制御不能状態となり、DoS攻撃を開始する(S4及び図9BのS910~S913)。
状態監視プログラム222は、DoS攻撃を検知すると(S5)、CAN13を用いて、車外-車内GWECU103へDoS攻撃情報を通知する(S6及び図5のS505)。
また、この場合、DoS攻撃を受けたことを重要度が高いものとして即時対応するため、CAN13のプロトコルの性質を利用し、DoS攻撃情報のCANIDの値を小さくして優先度を高く設定して、優先的に、以降の処理を実行させることが好ましい。
車外-車内GWECU103がDoS攻撃情報に基づいてDoS攻撃となっているイーサネットフレームのフィルタリングを行う(S7)。具体的には、車外通信ECU102から受信したDoS攻撃のイーサネットフレームを車両制御ECU104へ送信せず破棄する(図12のS1200、S1201実施後に、図11の正常処理のS1102で破棄)。
車外-車内GWECU103は、CAN11を用いて、車外通信ECU102へリブート要求及びDoS攻撃情報を通知する(S8及び図11のS1202)。
車外通信ECU102は、車外―車内GWECU103からのDoS攻撃情報受信後、リブート(S9)し、DoS攻撃情報に基づいて不正な外部通信装置119を特定し、アクセスを遮断する(図10のS1000~S1004)。
以上説明したように本実施例では、攻撃対象の通信プロトコル及びECUの負荷状況に問わず、DoS攻撃を即座に回避することが可能になる。
<変形例>
上記実施例1では、車外通信ECU102を経由したDoS攻撃を想定したが、本変形例においては、車両制御システム101内に不正なECUが混入した場合のDoS攻撃の検知にも活用できる。
具体的には、車外-車内GWECU103は、車両制御ECU104から送られるDoS攻撃情報、より具体的には図8のDoS攻撃情報フォーマット800に含まれる送信元ポート番号をもとに、攻撃元のECUへ通知する。この通知による攻撃元ECUからの応答を判定し、不正なECUか否かを判定できる。
第1の実施形態からの変更点としては、車外―車内GWECU103のみであり、車外通信ECU102及び車両制御ECU104の構成及び処理については、前記実施例1と同様であるため説明を割愛する。
図14は、本開示の変形例に係る車外―車内GWECU103が行うDoS攻撃時の処理のフローチャートを示す。実施例1の図12のフローチャートと比べて、ステップS1400、S1401、S1402及びS1403が追加された点が異なる。また、図14のフローチャートにおいて、図12のステップと同一の内容については、図14において同一の符号を付しているので、その詳細な説明は行わない。
ステップS1400では、車外―車内GWECU103がDoS攻撃情報の送信元ポート番号を取得し、車両制御システム101内からのDoS攻撃か否かを判定する。車両制御システム101内からのDoS攻撃であればステップS1401へ進む。そうでない場合には、車外―車内GWECU103がステップS1201へ進んで、前記実施例1と同様に処理を実施する。
ステップS1401では、車外―車内GWECU103がCAN13を用いて、車両制御ECU104以外の攻撃元のECU(例えば、車両制御ECU104-n)へDoS攻撃情報を通知する。
ステップS1402では、車外―車内GWECU103が攻撃元のECUから正規のECUを示すメッセージを受信したかを判定する。車外―車内GWECU103はメッセージが正規のECUの場合は、正規のECUからのパケット送信であり、DoS攻撃がされていないと判定して処理を終了する。
ステップS1403では、車外―車内GWECU103がDoS攻撃情報に基づいて転送情報テーブルを更新して、対象のDoS攻撃パケットの転送を不可に設定する。また、当ステップを処理することで、以降、図11の基本処理では、当該DoS攻撃パケットがステップS1102の判定にて転送不可となり、DoS攻撃パケットが破棄される。
本変形例によれば、攻撃対象の通信プロトコル(ネットワーク)及びECUの負荷状況に問わず、さらに、車外からのDoS攻撃もしくは車内からのDoS攻撃のように、攻撃経路を問わず、DoS攻撃を即座に回避することが可能になる。
本実施例では、車両制御ECU104のハードウェア構成における他の例について説明する。
本実施形態では、既存の車両制御ECUに実施例1の機能を適用することを想定している。ただし、既存の車両制御ECUに搭載されているCPUがシングルコアであった場合、第1の実施形態を適用することができない。
そこで、本実施形態では、既存の車両制御ECUを最小限の変更で、第1の実施形態と同様の機能を実現する。
実施例1からの変更点としては、車両制御ECU104のみであり、車外通信ECU102及び車外―車内GWECU103の構成及び処理については、実施例1と同様であるため説明を割愛する。以下、実施例1の車両制御ECU104から異なる点について説明する。
図13は、本開示の実施例2に係るマルチCPUデバイスを搭載した車両制御ECU1300のハードウェア構成を示した図である。本実施例では、前記実施例1の車両制御ECU104を車両制御ECU1300で置き換える例を示す。
車両制御ECU1300は、CPUデバイス1301と、CPUデバイス1321及び共有メモリ1310を有する。
共有メモリ1310は、CPUデバイス1301及びCPUデバイス1321と外部バス又はアダプタなどを介して相互に接続している。また、CPUデバイス1301と、CPUデバイス1321は、それぞれ周辺モジュール1304、を有し、周辺モジュール1304にはEtherMAC211が配置されてイーサネット12に接続され、周辺モジュール1324にはCAN210が配置されてCAN13に接続される。
既存の車両制御ECUからの変化点としては、CPUデバイス1321と共有メモリ1310が追加されている点が異なり、既存の車両制御の機能はCPUデバイス1301で実現することに変更はない。
よって、本実施形態は、図2で示した実施例1の車両制御ECU104と比べて、車両制御の機能(車両制御プログラム221)をCPUデバイス1301で実現し、状態監視の機能(状態監視プログラム222)をCPUデバイス1321で実現する点が異なる。
また、図2で示した実施例1の車両制御プログラム221の負荷情報223は、共有メモリ1310に記録される点が本実施例と前記実施例1で異なる。
また、車両制御と状態監視の負荷情報223のやり取りは共有メモリ1310ではなく、シリアル通信を用いてもよい。
本実施例では、CPUデバイス1301及びCPUデバイス1321内の、CPU、周辺モジュール、及びメモリの役割は、図2の実施例1で示した内容と同様であるため説明を割愛する。
本実施例によれば、既存の車両制御ECU104の資産を活用して、攻撃対象の通信プロトコル(又は通信環境)及びECUの負荷状況に問わず、DoS攻撃を即座に回避することが可能になる。
なお、上記各実施例では、第1のネットワークとしてイーサネット10、12を採用し、第2のネットワークとしてCAN11、13を採用する例を示したが、これらに限定されるものではなく、CAN-FDやFlexRay等のネットワークを採用することができる。
また、各ECU間は、車外通信ECU102と車外-車内GWECU103及び車両制御ECU104の間で、車両制御に関する通信を第1のネットワークで通信を行って、車両制御ECU104と車外-車内GWECU103及び車外通信ECU102の間で各ECUの状態に関する通信を第2のネットワークで行うことが望ましい。これにより、第1のネットワークのデータ量が過大になった場合には、第2のネットワークを介して各ECUがデータ量に異常が生じていることを通知することができる。
また、第1のネットワークと第2のネットワークは、物理層が異なり、かつ、通信プロトコルが異なることが望ましい。
また、上記各実施例では、不正な外部通信装置119からの攻撃としてDoS攻撃の例を示したが、これに限定されるものではなく、車両制御システム101の各ECUの負荷を不正に増大させる等の不正な通信に基づく攻撃であればよい。
<結び>
以上のように、上記各実施例の車両制御システムは、以下のような構成とすることができる。
(1)プロセッサ(CPU200)とメモリ(220)を有する車両制御装置(車両制御ECU104)と、車両の外部と通信を行う車外通信装置(車外通信ECU102)と、前記車両制御装置(104)と前記車外通信装置(102)の間で通信の中継を行うゲートウェイ装置(車外-車内GWECU103)と、を有する車両制御システム(101)であって、前記車外通信装置(102)と前記ゲートウェイ装置(103)及び前記車両制御装置(104)を接続して車両制御に関する通信を行う第1のネットワーク(イーサネット12)と、前記車外通信装置(102)と前記ゲートウェイ装置(103)及び前記車両制御装置(104)を接続して状態監視に関する通信を行う第2のネットワーク(CAN13)と、を有し、前記車両制御装置(104)は、前記第1のネットワーク(12)を介して前記車外通信装置(102)からの情報を受信して車両の制御を行う車両制御部(車両制御プログラム221)と、前記車両制御部(221)の負荷情報(223)を監視して不正な通信に基づく攻撃を検出する処理を前記車両制御部(221)とは独立して行う状態監視部(状態監視プログラム222)と、を有し、前記車両制御部(221)は、当該車両制御部(221)が受信する通信量及び前記車両制御部(221)で行われる処理の負荷を負荷情報(223)として格納することを特徴とする車両制御システム。
上記構成により、車外からの攻撃による通信トラフィック量の増加及び車両制御装置(車両制御ECU104)の負荷状況に依存せずに、攻撃を即時回避することが可能となる。
(2)上記(1)に記載の車両制御システムであって、前記プロセッサ(200)は、
前記車両制御部(221)の処理を実行する第1のプロセッサコア(CPUコア201)と、前記状態監視部(222)の処理を実行する第2のプロセッサコア(CPUコア202)と、を含むことを特徴とする車両制御システム。
上記構成により、第1のプロセッサコアのプロセッサ使用率(負荷)が増大しても、第2のプロセッサコアで状態監視部の処理を独立して実行することができるので、第2のプロセッサコアは、攻撃による通信トラフィックの増加及び車両制御装置(ECU)の負荷状況に依存せずに、攻撃を即時回避する処理を実行することができる。
(3)上記(1)に記載の車両制御システムであって、前記プロセッサ(200)は、 前記車両制御部(221)の処理を実行する第1のプロセッサ(1302)と、前記状態監視部(222)の処理を実行する第2のプロセッサ(1322)で構成されることを特徴とする車両制御システム。
上記構成により、第1のプロセッサのプロセッサ使用率(負荷)が増大しても、第2のプロセッサで状態監視部の処理を独立して実行することができるので、第2のプロセッサは、攻撃による通信トラフィックの増加及び車両制御装置(ECU)の負荷状況に依存せずに、攻撃を即時回避する処理を実行することができる。
(4)上記(1)に記載の車両制御システムであって、前記車両制御部(221)は、前記プロセッサ(200)のプロセッサ使用率と、単位時間あたりの前記情報の受信量を前記負荷情報(223)として前記メモリに格納し、前記状態監視部(222)は、前記メモリ(220)から前記負荷情報(223)を読み込んで、前記プロセッサ使用率と前記単位時間あたりの前記情報の受信量が所定条件となった場合に前記攻撃としてDoS攻撃が行われていることを判定することを特徴とする車両制御システム。
上記構成により、状態監視部(222)は、負荷情報(223)のプロセッサ使用率と単位時間あたりの情報の受信量が所定条件となった場合に、車両制御装置(104)でDoS攻撃を受けていると判定することができる。所定条件は、例えば、プロセッサ使用率と情報の受信量が閾値を超え、かつ、共に増大とすることができる。
(5)上記(4)に記載の車両制御システムであって、前記状態監視部(222)は、前記DoS攻撃を判定した場合に、DoS攻撃の内容をDoS攻撃情報(DoS攻撃情報フォーマット800)として取得して、前記第2のネットワーク(13)から前記ゲートウェイ装置(103)へ送信し、前記ゲートウェイ装置(103)は、前記第2のネットワーク(13)からDoS攻撃情報(800)を受信すると、前記第1のネットワーク(12)から前記車両制御装置(104)へ送信する情報を前記DoS攻撃情報(800)に基づいてフィルタリングを実施することを特徴とする車両制御システム。
上記構成により、ゲートウェイ装置(103)は、車両制御装置(104)からDoS攻撃情報(800)を受け付けると、DoS攻撃情報(800)に基づいて、車外通信装置(102)から車両制御装置(104)への通信をフィルタリングすることで、車両制御装置(104)のプロセッサ(200)の負荷を低減することができる。
(6)上記(4)に記載の車両制御システムであって、前記第1のネットワーク(12)は、イーサネットで構成され、前記第2のネットワーク(13)は、CANで構成され、前記状態監視部(222)は、前記DoS攻撃を判定した場合に、CANIDの値を減少させることを特徴とする車両制御システム。
上記構成により、CANIDの値を小さくして優先度を高く設定することで、優先的にDoS攻撃に対処する処理を実行することが可能となる。
(7)上記(5)に記載の車両制御システムであって、前記ゲートウェイ装置(103)は、前記第2のネットワーク(13)からDoS攻撃情報(800)を受信すると、当該DoS攻撃情報(800)を前記第2のネットワーク(13)を介して前記車外通信装置(102)へ送信し、前記車外通信装置(102)は、前記第2のネットワーク(13)からDoS攻撃情報(800)を受信すると、不正な外部通信装置(119)のDoS攻撃情報を保持し、リブートを実施した後に、前記DoS攻撃情報に含まれる不正な前記外部通信装置(119)からの通信を遮断することを特徴とする車両制御システム。
上記構成により、車外通信装置(102)は、第2のネットワーク(13)からDoS攻撃情報(800)を受信すると、不正な外部通信装置(119)のDoS攻撃情報を保持してからROMの情報からリブートを実施して正常な状態に復帰した後に、DoS攻撃情報に含まれる不正な前記外部通信装置(119)からの通信を遮断することができる。
これにより、不正な外部通信装置(119)の情報を不揮発メモリ等に保持してからROMの情報でリブートすることで正常な状態に復帰し、不揮発メモリの情報に基づいて不正な外部通信装置(119)からの通信を遮断することができる。
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に記載したものであり、必ずしも説明した全ての構成を含むものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加、削除、又は置換のいずれもが、単独で、又は組み合わせても適用可能である。
また、上記の各構成、機能、処理部、及び処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、及び機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、又は、ICカード、SDカード、DVD等の記録媒体に置くことができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
10、12 イーサネット
11、13 CAN
101 車両制御システム
104、1300 車両制御ECU
201 CPUコア(車両制御部)
202 CPUコア(状態監視部)
221 車両制御プログラム
222 状態監視プログラム
223 負荷情報

Claims (18)

  1. プロセッサとメモリを有する車両制御装置と、
    車両の外部と通信を行う車外通信装置と、
    前記車両制御装置と前記車外通信装置の間で通信の中継を行うゲートウェイ装置と、を有する車両制御システムであって、
    前記車外通信装置と前記ゲートウェイ装置及び前記車両制御装置を接続して車両制御に関する通信を行う第1のネットワークと、
    前記車外通信装置と前記ゲートウェイ装置及び前記車両制御装置を接続して状態監視に関する通信を行う第2のネットワークと、を有し、
    前記車両制御装置は、
    前記第1のネットワークを介して前記車外通信装置からの情報を受信して車両の制御を行う車両制御部と、
    前記車両制御部の負荷情報を監視して不正な通信に基づく攻撃を検出する処理を前記車両制御部とは独立して行う状態監視部と、を有し、
    前記車両制御部は、
    当該車両制御部が受信する通信量及び前記車両制御部で行われる処理の負荷を負荷情報として格納することを特徴とする車両制御システム。
  2. 請求項1に記載の車両制御システムであって、
    前記プロセッサは、
    前記車両制御部の処理を実行する第1のプロセッサコアと、前記状態監視部の処理を実行する第2のプロセッサコアと、を含むことを特徴とする車両制御システム。
  3. 請求項1に記載の車両制御システムであって、
    前記プロセッサは、
    前記車両制御部の処理を実行する第1のプロセッサと、前記状態監視部の処理を実行する第2のプロセッサで構成されることを特徴とする車両制御システム。
  4. 請求項1に記載の車両制御システムであって、
    前記車両制御部は、
    前記プロセッサのプロセッサ使用率と、単位時間あたりの前記情報の受信量を前記負荷情報として前記メモリに格納し、
    前記状態監視部は、
    前記メモリから前記負荷情報を読み込んで、前記プロセッサ使用率と前記単位時間あたりの前記情報の受信量が所定条件となった場合に前記攻撃としてDoS攻撃が行われていることを判定することを特徴とする車両制御システム。
  5. 請求項4に記載の車両制御システムであって、
    前記状態監視部は、
    前記DoS攻撃を判定した場合に、DoS攻撃の内容をDoS攻撃情報として取得して、前記第2のネットワークから前記ゲートウェイ装置へ送信し、
    前記ゲートウェイ装置は、
    前記第2のネットワークからDoS攻撃情報を受信すると、前記第1のネットワークから前記車両制御装置へ送信する情報を前記DoS攻撃情報に基づいてフィルタリングを実施することを特徴とする車両制御システム。
  6. 請求項4に記載の車両制御システムであって、
    前記第1のネットワークは、イーサネットで構成され、
    前記第2のネットワークは、CANで構成され、
    前記状態監視部は、
    前記DoS攻撃を判定した場合に、CANIDの値を減少させることを特徴とする車両制御システム。
  7. 請求項5に記載の車両制御システムであって、
    前記ゲートウェイ装置は、
    前記第2のネットワークからDoS攻撃情報を受信すると、当該DoS攻撃情報を前記第2のネットワークを介して前記車外通信装置へ送信し、
    前記車外通信装置は、
    前記第2のネットワークからDoS攻撃情報を受信すると、不正な外部通信装置を含むDoS攻撃情報を保持し、リブートを実施した後に、前記DoS攻撃情報に含まれる不正な前記外部通信装置からの通信を遮断することを特徴とする車両制御システム。
  8. プロセッサとメモリを有する車両制御装置と、車両の外部と通信を行う車外通信装置と、前記車両制御装置と前記車外通信装置の間で通信の中継を行うゲートウェイ装置と、を有して車両の制御を行う車両制御方法であって、
    前記車両制御装置が、前記車外通信装置と前記ゲートウェイ装置及び前記車両制御装置を接続する第1のネットワークから前記ゲートウェイ装置を介して前記車外通信装置からの情報を受信して車両の制御を行い、前記車外通信装置から受信する通信量及び処理の負荷を負荷情報として格納する車両制御ステップと、
    前記負荷情報を監視して不正な通信に基づく攻撃を検出する処理を前記車両制御ステップから独立して行う状態監視ステップと、
    を含むことを特徴とする車両制御方法。
  9. 請求項8に記載の車両制御方法であって、
    前記車両制御ステップは、前記プロセッサに含まれる第1のプロセッサコアで実行され、
    前記状態監視ステップは、前記プロセッサに含まれる第2のプロセッサコアで実行されることを特徴とする車両制御方法。
  10. 請求項8に記載の車両制御方法であって、
    前記プロセッサが第1のプロセッサと第2のプロセッサで構成されて、
    前記車両制御ステップは、前記第1のプロセッサで実行され、
    前記状態監視ステップは、前記第2のプロセッサで実行されることを特徴とする車両制御方法。
  11. 請求項8に記載の車両制御方法であって、
    前記車両制御ステップは、
    前記車両制御ステップのプロセッサ使用率と、単位時間あたりの前記情報の受信量を前記負荷情報として前記メモリに格納し、
    前記状態監視ステップは、
    前記メモリから前記負荷情報を読み込んで、前記プロセッサ使用率と前記単位時間あたりの前記情報の受信量が所定条件となった場合に前記攻撃としてDoS攻撃が行われていることを判定することを特徴とする車両制御方法。
  12. 請求項11に記載の車両制御方法であって、
    前記状態監視ステップは、
    前記DoS攻撃を判定した場合に、DoS攻撃の内容をDoS攻撃情報として取得して、前記車外通信装置と前記ゲートウェイ装置及び前記車両制御装置を接続する第2のネットワークから前記ゲートウェイ装置へ送信するステップを含み、
    前記ゲートウェイ装置が、前記第2のネットワークからDoS攻撃情報を受信すると、前記第1のネットワークから前記車両制御装置へ送信する情報を前記DoS攻撃情報に基づいてフィルタリングを実施するフィルタリングステップをさらに含むことを特徴とする車両制御方法。
  13. 請求項11に記載の車両制御方法であって、
    前記車両制御装置は、前記第1のネットワークと、前記車外通信装置と前記ゲートウェイ装置及び前記車両制御装置を接続して状態監視に関する通信を行う第2のネットワークに接続され、
    前記第1のネットワークは、イーサネットで構成され、
    前記第2のネットワークは、CANで構成され、
    前記状態監視ステップは、
    前記DoS攻撃を判定した場合に、CANIDの値を減少させることを特徴とする車両制御方法。
  14. 請求項12に記載の車両制御方法であって、
    前記フィルタリングステップは、
    前記第2のネットワークからDoS攻撃情報を受信すると、当該DoS攻撃情報を前記第2のネットワークを介して前記車外通信装置へ送信するステップを含み、
    前記車外通信装置が、前記第2のネットワークからDoS攻撃情報を受信すると、不正な外部通信装置を含むDoS攻撃情報を保持し、リブートを実施した後に、前記DoS攻撃情報に含まれる不正な前記外部通信装置からの通信を遮断するリブートステップをさらに含むことを特徴とする車両制御方法。
  15. プロセッサとメモリを有する車両制御装置であって、
    車両制御に関する通信を行う第1のネットワークを介して情報を受信して車両の制御を行う車両制御部と、
    前記車両制御部の負荷情報を監視して不正な通信に基づく攻撃を検出する処理を前記車両制御部とは独立して行う状態監視部と、を有し、
    前記車両制御部は、
    当該車両制御部が受信する通信量及び前記車両制御部で行われる処理の負荷を前記負荷情報として格納することを特徴とする車両制御装置。
  16. 請求項15に記載の車両制御装置であって、
    前記プロセッサは、
    前記車両制御部の処理を実行する第1のプロセッサコアと、前記状態監視部の処理を実行する第2のプロセッサコアと、を含むことを特徴とする車両制御装置。
  17. 請求項15に記載の車両制御装置であって、
    前記プロセッサは、
    前記車両制御部の処理を実行する第1のプロセッサと、前記状態監視部の処理を実行する第2のプロセッサで構成されることを特徴とする車両制御装置。
  18. 請求項15に記載の車両制御装置であって、
    前記車両制御部は、
    前記プロセッサのプロセッサ使用率と、単位時間あたりの前記情報の受信量を前記負荷情報として前記メモリに格納し、
    前記状態監視部は、
    前記メモリから前記負荷情報を読み込んで、前記プロセッサ使用率と前記単位時間あたりの前記情報の受信量が所定条件となった場合に前記攻撃としてDoS攻撃が行われていることを判定することを特徴とする車両制御装置。
JP2020101545A 2020-06-11 2020-06-11 車両制御システム、車両制御方法及び車両制御装置 Active JP7410804B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020101545A JP7410804B2 (ja) 2020-06-11 2020-06-11 車両制御システム、車両制御方法及び車両制御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020101545A JP7410804B2 (ja) 2020-06-11 2020-06-11 車両制御システム、車両制御方法及び車両制御装置

Publications (2)

Publication Number Publication Date
JP2021197595A JP2021197595A (ja) 2021-12-27
JP7410804B2 true JP7410804B2 (ja) 2024-01-10

Family

ID=79196215

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020101545A Active JP7410804B2 (ja) 2020-06-11 2020-06-11 車両制御システム、車両制御方法及び車両制御装置

Country Status (1)

Country Link
JP (1) JP7410804B2 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016134049A (ja) 2015-01-21 2016-07-25 日立オートモティブシステムズ株式会社 車両制御装置
JP2016144144A (ja) 2015-02-04 2016-08-08 日本電信電話株式会社 負荷分散システム及び負荷分散方法
WO2020044638A1 (ja) 2018-08-30 2020-03-05 住友電気工業株式会社 車載通信システム、データ取得装置、管理装置および監視方法
WO2020085330A1 (ja) 2018-10-25 2020-04-30 パナソニックIpマネジメント株式会社 電子制御装置、電子制御方法及びプログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016134049A (ja) 2015-01-21 2016-07-25 日立オートモティブシステムズ株式会社 車両制御装置
JP2016144144A (ja) 2015-02-04 2016-08-08 日本電信電話株式会社 負荷分散システム及び負荷分散方法
WO2020044638A1 (ja) 2018-08-30 2020-03-05 住友電気工業株式会社 車載通信システム、データ取得装置、管理装置および監視方法
WO2020085330A1 (ja) 2018-10-25 2020-04-30 パナソニックIpマネジメント株式会社 電子制御装置、電子制御方法及びプログラム

Also Published As

Publication number Publication date
JP2021197595A (ja) 2021-12-27

Similar Documents

Publication Publication Date Title
US11240253B2 (en) Vehicle communication apparatus, in-vehicle network system, and vehicle communication method
JP5919205B2 (ja) ネットワーク装置およびデータ送受信システム
CN109076001B (zh) 帧传送阻止装置、帧传送阻止方法及车载网络系统
CN107113214B (zh) 不正常检测电子控制单元、车载网络系统以及通信方法
JP4077812B2 (ja) 個別の送信速度をサポートする集積回路間ルータ
JP2018152842A (ja) 情報処理方法、情報処理システム、及びプログラム
JP2005004745A (ja) 集積回路間バスルータ
JP6964277B2 (ja) 通信遮断システム、通信遮断方法及びプログラム
JP2019008618A (ja) 情報処理装置、情報処理方法及びプログラム
JP2005004746A (ja) 集積回路間ルータに接続されたデバイスの存在検出およびリセット用システムならびに方法
JP6558703B2 (ja) 制御装置、制御システム、及びプログラム
WO2018168291A1 (ja) 情報処理方法、情報処理システム、及びプログラム
JP2008054204A (ja) 接続装置及び端末装置及びデータ確認プログラム
JP7113238B2 (ja) 電子制御装置、電子制御システムおよびプログラム
JP2005004748A (ja) I2cルータを通じたデータ送信方法
JP7410804B2 (ja) 車両制御システム、車両制御方法及び車両制御装置
JP2021089632A (ja) 情報処理装置、制御方法及びプログラム
JP6527647B1 (ja) 不正検知方法、不正検知装置及びプログラム
EP3078167B1 (en) Method, secure element and system for monitoring controller area network devices
JP2005006306A (ja) 集積回路間ルータエラー管理システムおよび方法
WO2021144858A1 (ja) 異常検知システム、異常検知装置、及び異常検知方法
JP2017228887A (ja) 制御システム、ネットワーク装置、及び制御装置の制御方法
WO2020105657A1 (ja) 車載中継装置及び中継方法
JP2019172261A (ja) 制御装置、制御システム、及び制御プログラム
CN113783958A (zh) 网关装置、方法及车载网络系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230104

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20231027

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231128

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231222

R150 Certificate of patent or registration of utility model

Ref document number: 7410804

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150