JPWO2016185514A1 - 攻撃検出装置 - Google Patents
攻撃検出装置 Download PDFInfo
- Publication number
- JPWO2016185514A1 JPWO2016185514A1 JP2017518627A JP2017518627A JPWO2016185514A1 JP WO2016185514 A1 JPWO2016185514 A1 JP WO2016185514A1 JP 2017518627 A JP2017518627 A JP 2017518627A JP 2017518627 A JP2017518627 A JP 2017518627A JP WO2016185514 A1 JPWO2016185514 A1 JP WO2016185514A1
- Authority
- JP
- Japan
- Prior art keywords
- short
- circuit
- attack
- node
- signal lines
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01R—MEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
- G01R31/00—Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
- G01R31/50—Testing of electric apparatus, lines, cables or components for short-circuits, continuity, leakage current or incorrect line connections
- G01R31/52—Testing for short-circuits, leakage current or ground faults
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01R—MEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
- G01R31/00—Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
- G01R31/28—Testing of electronic circuits, e.g. by signal tracer
- G01R31/30—Marginal testing, e.g. by varying supply voltage
- G01R31/3004—Current or voltage test
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Mechanical Engineering (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Small-Scale Networks (AREA)
Abstract
本発明は、機器間の通信ネットワークに対する攻撃を検出し、通信ネットワークの情報セキュリティを向上させる攻撃検出装置に関する。攻撃検出装置は、2本の信号線の差動電圧により複数のノードに信号を伝達するCAN(Controller Area Network)と、CANの2本の信号線で伝達される信号を監視し、不正なノードによる短絡攻撃の特徴を示す信号の変化に基づいて2本の信号線間の短絡を検出する短絡検出部とを備える。
Description
本発明は、機器間の通信ネットワークに対する攻撃を検出し、通信ネットワークの情報セキュリティを向上させる攻撃検出装置に関する。
機器間の通信ネットワークとして、CAN(Controller Area Network)が広く知られている。CANは、最初は、車載機器間の通信技術として開発され、その後、ISO 11898、およびISO 11519として標準化された。現在、CANは、車載ネットワーク以外にも産業機器、医療機器など、幅広い分野で採用されている。CANは、通信速度によって高速CANと低速CANに分けられ、両者のプロトコルは共通であるが、最大通信速度や物理層が異なる。以下、高速CANを前提として背景技術を説明する。
非特許文献1で示されるように、CANは信号線が少なく、複数のノードの追加接続が容易で、ネットワーク構成の自由度が高い。また、差動電圧で通信を行なうため、外来ノイズの影響を受け難いことに加えて、さまざまなエラー検出機構も備えているため、信頼性が高い。これらのことから、例えば自動車のように、限定された空間に多数のノードが設置され、かつ、高い信頼性が求められるシステムで、CANは広く用いられている。
CANでは、特定のIDを持つメッセージは、特定のノードのみが送信することが原則である。しかしながら、もしも不正なノードがIDを偽って送信すると、CANのプロトコルでは、送信ノードを特定するための情報がIDのみであるため、当該メッセージを不正メッセージと認識できず、受信ノードは、正規のメッセージとして受信して誤動作することになる。これは、CANのなりすまし攻撃と呼ばれ、自動車のセキュリティにおいて、現在、大きな問題と考えられている。このようななりすまし攻撃は、例えば、CANに接続されているECU(Engine Control Unit)のプログラムを、ネットワーク経由で不正なプログラムに書き変える、あるいは不正なECUを物理的にCANに追加接続する、などの方法で実現できる。
CANのなりすまし攻撃に対して、松本らは、非特許文献2、非特許文献3で示される対策方式を提案している。この対策方式は、CANに接続されるノードがCAN上の信号値を監視していることを利用する。具体的には、あるノードが、自身に割り当てられているIDが他のノードによって送信されていることを検出すると、直ちにエラーフレームを挿入し、不正メッセージの通信を停止させる。この対策方式は、CANのなりすまし攻撃に対して有望な対策方式の一つと考えられていた。
しかし、最近では、松本らの対策方式に対して、CAN上で短絡を発生させてエラーフレームを挿入できないようにする短絡攻撃が可能であることが分かってきた。非特許文献2、非特許文献3の対策方式を提案した松本らは、その後、非特許文献4で、不正ノードに接続された二つの線を接続することで、CANの信号を電気的に改ざんする攻撃手法を示している。この攻撃も、短絡攻撃に含まれるものである。
CANの短絡を検出する従来技術としては、短絡攻撃のようなセキュリティ上の攻撃に対する対策を意図したものではないが、特許文献1、特許文献2、特許文献3に示される短絡検出技術がある。また、CAN上の不正ノードを検出する技術として、特許文献4、特許文献5に示される不正ノード検出技術がある。
Vector、 "はじめてのCAN"、 http://download.vector-japan.co.jp/portal/medien/cmc/beginners/For_Beginners_CAN.pdf.
畑 正人、 田邉 正人、 吉岡 克成、 大石 和臣、 松本 勉、 "不正送信阻止:CANではそれが可能である"、 コンピュータセキュリティシンポジウム(CSS)2011、 3B2-2.
T. Matsumoto、 M. Hata、 M. Tanabe、 K. Yoshioka、 and K. Oishi、 "A Method of Preventing Unauthorized Data Transmission in Controller Area Network、" Vehicular Technology Conference (VTC Spring)、 2012 IEEE 75th、 2012.
松本勉、 中山淑文、 向達泰希、 土屋遊、 吉岡克成、 "CAN における再同期を利用した電気的データ改ざん"、 SCIS2015、 2C4-1.
CANのバスは、2本の信号線を使用したライン型の構造である。両信号線の電位差が大きい状態をドミナントと呼び、電位差が小さい状態をレセシブと呼ぶ。非特許文献2、非特許文献3で示される対策方式では、不正メッセージの中のレセシブを強制的にドミナントに変えることでエラーフレームを挿入する。これは、ドミナントとレセシブが衝突したときには、CAN上ではドミナントが検出される、すなわちドミナントの方が強いというCANの電気的な仕様により、うまく機能する。しかし、CANの2本の信号線間を選択的なタイミングで短絡させることができれば、ドミナント時に2本の信号線間の電位差が十分大きくならないようにでき、CAN上ではレセシブが検出されて、エラーフレームが挿入できなくなり、なりすまし攻撃を防げないという課題があった。
特許文献1で示される技術は、車両内において、電源から流出する電流の異常を監視する。しかし、特許文献1の技術は、電流プローブを用いて電流の瞬間的な異常な変化を監視するため、定常的な異常電流の検出には不向きである。即ち、攻撃者がCANの2線間のインピーダンスを緩やかに減らしていくような場合は、異常電流を検出できず、なりすまし攻撃を防止することができない。
特許文献2で示される技術は、CANの2線間の電位差の異常を監視する。しかし、特許文献2の技術は、故障のような偶発的な異常を想定しているため、悪意を持った攻撃に対して脆弱である。例えば、短絡攻撃の攻撃者が、異常監視用のノード装置を取り外すような不正を行なうと、短絡を検出できなくなる。
特許文献3で示される技術は、CANに定常的な短絡が発生した際に、短絡箇所を特定することを目的とし、テスタを用いて人手により故障診断を行なうために適用される。従って、短絡攻撃のようなダイナミックな短絡を検出することができない。
特許文献4、特許文献5で示される技術は、CANに不正ノードが追加されたことを検出することを目的とし、CANの電圧降下やインピーダンスを監視して、予め記憶した値と比較するものである。短絡攻撃の攻撃者が不正ノードを接続する場合は、これらの技術で不正ノードの追加を検出できる可能性があるが、この場合も、攻撃者が正規のノードを不正ノードに置換する、あるいは、正規のノードを改ざんするなどの方法で、不正ノードを接続できる。不正ノード接続後は、特許文献4、特許文献5の技術では、短絡攻撃のようなダイナミックな短絡を検出することができない。
以上述べたように、従来技術では、短絡攻撃のようなダイナミックな短絡を検出することができず、なりすまし攻撃を防止することができないという課題があった。
本発明は、上記の課題を解決するためになされたもので、短絡攻撃のようなダイナミックな短絡を検出でき、CANのセキュリティを向上させてなりすまし攻撃を防止することを目的とする。
上記で述べた課題を解決するため、本発明の攻撃検出装置は、2本の信号線の差動電圧により複数のノードに信号を伝達するCAN(Controller Area Network)と、前記CANの2本の信号線で伝達される前記信号を監視し、不正な前記ノードによる短絡攻撃の特徴を示す信号の変化に基づいて前記2本の信号線間の短絡を検出する短絡検出部とを備える。
本発明によれば、CANの2線間の短絡を監視し、短絡攻撃を検知するとともに、CAN上の各ノードや上位のシステム制御部に、短絡攻撃の発生を通知することにより、短絡攻撃のようなダイナミックな短絡を検出でき、CANのセキュリティを向上させてなりすまし攻撃を防止することができるという効果がある。
実施の形態1.
本実施の形態では、まず、CANの概要と短絡攻撃の詳細を説明した後に、本実施の形態に係る攻撃検出装置の構成と動作を説明する。
本実施の形態では、まず、CANの概要と短絡攻撃の詳細を説明した後に、本実施の形態に係る攻撃検出装置の構成と動作を説明する。
<CANの概要>
図2は、CANのバス構成を示す図である。
CANのバスは、2本の信号線CAN_HとCAN_Lを使用したライン型の構造であり、両端がそれぞれ120Ωで終端される。また、ノード1〜ノードnの複数のノードが、それぞれCANトランシーバを介して、CANのバスに接続される。これらのノードは、マルチマスター方式により平等にバスアクセスが可能である。CANでは、CAN_HとCAN_Lの差動電圧で信号を伝達することでシリアル通信を行なう。
図2は、CANのバス構成を示す図である。
CANのバスは、2本の信号線CAN_HとCAN_Lを使用したライン型の構造であり、両端がそれぞれ120Ωで終端される。また、ノード1〜ノードnの複数のノードが、それぞれCANトランシーバを介して、CANのバスに接続される。これらのノードは、マルチマスター方式により平等にバスアクセスが可能である。CANでは、CAN_HとCAN_Lの差動電圧で信号を伝達することでシリアル通信を行なう。
図3は、高速CANの信号レベルを示す図である。
図3に示すように、CAN_HとCAN_Lの両者の電位差が大きい状態をドミナントと呼び、論理値0を表す。また、両者の電位差が小さい状態をレセシブと呼び、論理値1を表す。
図3に示すように、CAN_HとCAN_Lの両者の電位差が大きい状態をドミナントと呼び、論理値0を表す。また、両者の電位差が小さい状態をレセシブと呼び、論理値1を表す。
CANには、通信を開始する前に調停を行なうための専用の信号線が無く、複数のノードが同時に送信を始めることもあり得る。このような場合、調停は次のように行なわれる。ここで、異なるノードがそれぞれドミナントとレセシブを送信したときには、CAN上の状態は、ドミナントとなる点が重要である(詳細は、CANの国際規格や非特許文献1などを参照のこと)。各ノードはCAN上の信号を監視し、自身が送信した信号値と異なる信号値を検出した場合、レセシブを送信したノードは送信を停止し、ドミナントを送信したノードのみが送信を続けるという取り決めとなっている。これによって調停が実現される。
CANの通信は、フレームと呼ばれる時系列のビットの並びを単位として行なわれる。数種類のフレームが存在するが、主に使用されるのは、図4に示すデータフレームである。
図4は、CANの標準フォーマットのデータフレームを示す図である。
データフレームは、複数のフィールドに分割される。例えば、図4のSOFとEOFは、それぞれフレームの先頭と末尾を表すフィールドである。図4のデータフィールドは、送受信するデータが格納されるフィールドである。各フィールドの詳細については、非特許文献1などに示されている。本発明に特に関係するのは、IDフィールドである。IDフィールドは、データ内容や送信ノードを識別するためのフィールドであり、前述の調停にも使われる。IDフィールドの値によって、CAN上のどのノードが送信したフレームなのか、どのノードが受信すべきフレームなのか、このフレームを受信したノードはどのような処理をすべきか、などが決まる。IDフィールドの値は、システム設計者などによって、CAN毎に予め定義される。原則として、特定のIDの値を持つフレームは、特定のノードのみが送信するよう割り当てられなければならない。フレームによって実現される通信のことを、以下、メッセージと呼ぶことにする。
図4は、CANの標準フォーマットのデータフレームを示す図である。
データフレームは、複数のフィールドに分割される。例えば、図4のSOFとEOFは、それぞれフレームの先頭と末尾を表すフィールドである。図4のデータフィールドは、送受信するデータが格納されるフィールドである。各フィールドの詳細については、非特許文献1などに示されている。本発明に特に関係するのは、IDフィールドである。IDフィールドは、データ内容や送信ノードを識別するためのフィールドであり、前述の調停にも使われる。IDフィールドの値によって、CAN上のどのノードが送信したフレームなのか、どのノードが受信すべきフレームなのか、このフレームを受信したノードはどのような処理をすべきか、などが決まる。IDフィールドの値は、システム設計者などによって、CAN毎に予め定義される。原則として、特定のIDの値を持つフレームは、特定のノードのみが送信するよう割り当てられなければならない。フレームによって実現される通信のことを、以下、メッセージと呼ぶことにする。
<短絡攻撃の詳細>
次に、CANに対する短絡攻撃の詳細について説明する。
まず、非特許文献2、非特許文献3で示される従来のなりすまし攻撃への対策方式を、図5を用いて説明する。
図5は、従来のなりすまし攻撃への対策方式を示す図である。
図5において、CANに接続されているノードXを不正な送信ノードとする。ノードXは、正規の送信ノードであるノードAに割り当てられたIDを用いた不正メッセージの送信を開始する(1)。ノードAは、CAN上の信号値を監視しており(2)、フレームのIDが自身に割り当てられた値であることを検出すると、当該メッセージにエラーフレームを挿入する(3)。エラーフレームは、連続した6ビットのドミナントである。CANでは、通信中に同じビット値が6ビット以上連続して現れるとエラーと見なされる。前述のように、ドミナントとレセシブが衝突すると、CAN上ではドミナントが検出されるため、同じタイミングでノードXが送信するレセシブは打ち消される。この結果、ノードBは、通信中にエラーフレームを検出し、不正メッセージの通信は無効となる(4)。
次に、CANに対する短絡攻撃の詳細について説明する。
まず、非特許文献2、非特許文献3で示される従来のなりすまし攻撃への対策方式を、図5を用いて説明する。
図5は、従来のなりすまし攻撃への対策方式を示す図である。
図5において、CANに接続されているノードXを不正な送信ノードとする。ノードXは、正規の送信ノードであるノードAに割り当てられたIDを用いた不正メッセージの送信を開始する(1)。ノードAは、CAN上の信号値を監視しており(2)、フレームのIDが自身に割り当てられた値であることを検出すると、当該メッセージにエラーフレームを挿入する(3)。エラーフレームは、連続した6ビットのドミナントである。CANでは、通信中に同じビット値が6ビット以上連続して現れるとエラーと見なされる。前述のように、ドミナントとレセシブが衝突すると、CAN上ではドミナントが検出されるため、同じタイミングでノードXが送信するレセシブは打ち消される。この結果、ノードBは、通信中にエラーフレームを検出し、不正メッセージの通信は無効となる(4)。
次に、従来のなりすまし攻撃への対策方式に対する短絡攻撃について説明する。
図6は、短絡攻撃の実装例(その1)を示す図である。
図7は、短絡攻撃の実装例(その2)を示す図である。
図8は、短絡攻撃による信号レベルを示す図である。
図6は、短絡攻撃の実装例(その1)を示す図である。
図7は、短絡攻撃の実装例(その2)を示す図である。
図8は、短絡攻撃による信号レベルを示す図である。
図6では、CAN_HとCAN_Lの間にFETスイッチを挿入し、CAN上に接続した不正ノードがFETスイッチをON/OFF制御することで、短絡攻撃を実現する。不正ノードは、CANの信号値を監視して、攻撃者の所望のタイミングでFETスイッチをONして、図8に示すように、他のノードが送信するドミナントを強制的にレセシブにする。図8では、短絡攻撃がない場合を点線で示し、短絡攻撃がある場合を実線で示している。短絡攻撃によって、ドミナント時のCAN_HとCAN_Lの電位差が小さくなり、他のノードが送信するドミナントが強制的にレセシブにされていることが分かる。
図7は、図6と同等の機能を不正ノード内部で行なうようにしたものである。この場合、図6とは異なり、攻撃者はCANを改造してFETスイッチを挿入する必要はなく、不正ノードをCANに追加するだけでよい。
通常のCANに非特許文献2、非特許文献3の対策方式が実装された場合、攻撃者があるIDの不正メッセージを送信すると、当該IDの正規の送信者であるノードが連続した6ビットのドミナントを送信することで、不正メッセージ中の以降のレセシブはドミナントに変わり、エラーフレームとなる。すなわち、不正メッセージが無効化される。
一方、前述のように、選択的なタイミングでCANの2線を短絡可能なように改造されたCANでは、攻撃者が不正メッセージを送信する際、レセシブとしたいビットでは、スイッチをONするよう制御する。このONの期間で2線は短絡され、不正メッセージの送信途中でエラーメッセージを挿入するために他ノードがドミナントを送信したとしても、攻撃者が意図した通りに受信者にはレセシブとして認識される。
一方、前述のように、選択的なタイミングでCANの2線を短絡可能なように改造されたCANでは、攻撃者が不正メッセージを送信する際、レセシブとしたいビットでは、スイッチをONするよう制御する。このONの期間で2線は短絡され、不正メッセージの送信途中でエラーメッセージを挿入するために他ノードがドミナントを送信したとしても、攻撃者が意図した通りに受信者にはレセシブとして認識される。
短絡攻撃は、エラーフレームの挿入を阻害する以外にも、正規のノードが送信するメッセージに含まれるデータを改ざんするために利用することもできる。レセシブのデータをドミナントに改ざんすることは、短絡攻撃でなくても可能であるが、短絡攻撃では両方向の任意の改ざんが可能となる。ただし、いずれの場合も、攻撃者はCRCエラーにならないようにデータを改ざんするか、またはCRCフィールドも併せて改ざんする必要がある。
短絡攻撃は、ネットワーク経由のリモートからの攻撃と異なり、攻撃者が攻撃対象に触れられる人間に限定される。自動車の場合、利用者が自動車から離れる時には確実にドアをロックするなどして、不特定の第三者の攻撃機会を減らす対策も考えられるが、レンタカーやカーシェアリングのように、複数の利用者が存在する場合は、ある利用者が他の利用者に損害を与えるために、このような攻撃を行なう場合には無効である。また、利用者が自身のためにCANに対する攻撃者となる可能性もある。例えば、利用者は、走行速度を下げないよう、エンジンの回転速度を偽装することが可能である。従って、短絡攻撃のような攻撃者が限定される高度な攻撃に備えた対策が必要となる。本発明は、その手段を提供するものである。
次に、実施の形態1に係る攻撃検出装置を説明する。
まず、攻撃検出装置の概要を説明する.攻撃検出装置は、短絡攻撃に関連する、以下の3つの機能を実現し、CANのセキュリティを向上させる。
a.電気的な手段によって、短絡攻撃の発生を検出する。
b.短絡攻撃が発生したことを、CAN上のノードや上位のシステム制御部に通知する。
c.短絡攻撃が発生したドメインを特定する。
a.の短絡攻撃の検出には、電位差の監視、インピーダンスの監視、電流の監視の3つの実施形態がある。b.の短絡攻撃の通知は、CANのメッセージによるブロードキャスト(CAN上のノードへの通知)と、CAN以外の経路を用いた通知(システム制御部への通知)の2つの実施形態がある。c.のドメインの特定については、一般に自動車などのシステムでは、CANの2つの電源(3.5Vと1.5V)を共有する複数のドメインのCANが存在する。このようなシステムで、あるドメインが短絡攻撃を受けた場合、単純に各ドメインの中で短絡を監視するだけでは、どのドメインで短絡攻撃が発生したのかを特定できない可能性がある。上記c.の実施形態は、攻撃を受けたドメインを特定可能とするものである。
まず、攻撃検出装置の概要を説明する.攻撃検出装置は、短絡攻撃に関連する、以下の3つの機能を実現し、CANのセキュリティを向上させる。
a.電気的な手段によって、短絡攻撃の発生を検出する。
b.短絡攻撃が発生したことを、CAN上のノードや上位のシステム制御部に通知する。
c.短絡攻撃が発生したドメインを特定する。
a.の短絡攻撃の検出には、電位差の監視、インピーダンスの監視、電流の監視の3つの実施形態がある。b.の短絡攻撃の通知は、CANのメッセージによるブロードキャスト(CAN上のノードへの通知)と、CAN以外の経路を用いた通知(システム制御部への通知)の2つの実施形態がある。c.のドメインの特定については、一般に自動車などのシステムでは、CANの2つの電源(3.5Vと1.5V)を共有する複数のドメインのCANが存在する。このようなシステムで、あるドメインが短絡攻撃を受けた場合、単純に各ドメインの中で短絡を監視するだけでは、どのドメインで短絡攻撃が発生したのかを特定できない可能性がある。上記c.の実施形態は、攻撃を受けたドメインを特定可能とするものである。
実施の形態1.
図1は、実施の形態1に係る攻撃検出装置の一構成例を示す図である。
図1において、攻撃検出装置1は、対策用ノード2を備える。対策用ノード2は、短絡検出部の例である。攻撃検出装置1は、通信路4を介して、システム制御部3に接続されている。また、CANのバス上にある破線部は、短絡攻撃を模擬する短絡攻撃発生源5である。短絡攻撃発生源5は、システムが短絡攻撃の標的となったときに存在するものである。
図1は、実施の形態1に係る攻撃検出装置の一構成例を示す図である。
図1において、攻撃検出装置1は、対策用ノード2を備える。対策用ノード2は、短絡検出部の例である。攻撃検出装置1は、通信路4を介して、システム制御部3に接続されている。また、CANのバス上にある破線部は、短絡攻撃を模擬する短絡攻撃発生源5である。短絡攻撃発生源5は、システムが短絡攻撃の標的となったときに存在するものである。
図1では、従来のCANの構成を示した図2と比べると、既存のノード1〜ノードnだけでなく、短絡攻撃対策のために対策用ノード2が追加されている。対策用ノード2は、他の既存のノード1〜ノードnと同様に、CANに接続する。もちろん、既存のノード1〜ノードnのいずれかに、図1の対策用ノード2と同等の短絡攻撃対策機能を加えることで、ノード数を増やさないことも可能である。
対策用ノード2は、短絡攻撃の監視、検出、通知を行なうノードである。対策用ノード2は、CANの2本の信号線で伝達される信号を監視し、不正なノードによる短絡攻撃の特徴を示す信号の変化に基づいて2本の信号線間の短絡を検出する。短絡攻撃の監視、検出、通知の具体的な実現方法は後述する。
システム制御部3は、CANも含めて自動車全体のシステム状態やセキュリティを管理する。
通信路4は、短絡攻撃が発生したことを確実にシステム制御部3に通知するための経路である。通信路4は、従来技術のCANでは定義されてなく、本実施の形態で新たに設ける通信路である。
次に、実施の形態1に係る攻撃検出装置1の動作について説明する。
まず、CANを含めたシステム起動時においては、攻撃者が、短絡攻撃を発生させるために、攻撃対象のCANの改造や不正ノードの追加を行なう際に対策用ノード2を取り外すという脅威に備え、システム起動時のコンフィグレーションで、対策用ノード2が正しくCANに接続されていることを確認する。いくつかの確認手段がありえるが、例えば、各ノードがCAN上に存在するかどうかを各ノードに問い合わせるCANメッセージを定義して、このCANメッセージを各ノードに送信する。また、例えば、通信路4を使って、システム制御部3と対策用ノード2との間で通信を行なうことで、対策用ノード2の存在を確認しても良い。ここで、対策用ノード2が偽装されないよう、情報セキュリティ的な認証手段、例えば、チャレンジレスポンス認証方式を用いることが望ましい。また、対策用ノード2と通信路4が物理的に改ざんされないように、強固に囲われていればなお良い。
次に、攻撃検出装置1における短絡攻撃の監視動作について説明する。
CANの2線間の短絡を電気的に検出する方法としては、電位差の監視、インピーダンスの監視、電流の監視の3種類が考えられる。実施の形態1では、電位差の監視による短絡攻撃の監視動作を説明する。
CANの2線間の短絡を電気的に検出する方法としては、電位差の監視、インピーダンスの監視、電流の監視の3種類が考えられる。実施の形態1では、電位差の監視による短絡攻撃の監視動作を説明する。
図9は、電位差の監視を行なう対策用ノード2の一構成例を示す図である。
図9において、攻撃検出装置1の対策用ノード2は、CANトランシーバ6、CANプロトコルコントローラ7、ECU(Engine Control Unit)8、ADコンバータ9、ECU通信路10を備える。
図9において、攻撃検出装置1の対策用ノード2は、CANトランシーバ6、CANプロトコルコントローラ7、ECU(Engine Control Unit)8、ADコンバータ9、ECU通信路10を備える。
図9のCANトランシーバ6、CANプロトコルコントローラ7、ECU8は、CANに接続されるノードが通常備えているものである。本実施の形態では、これらに加えてADコンバータ9を設置し、CANの2線間の電位差を監視する。ADコンバータ9は、アナログ電気信号をデジタル電気信号に変換する電子回路であり、ここではCANの2線間の電位差がADコンバータ9に入力されるアナログ電気信号となるように、CANの2線をADコンバータ9に接続する。
ECU8とADコンバータ9は、ECU通信路10を介して通信を行なう。ここで、2線間の電位差をデジタル信号としてECU8に伝えられるものであれば、どのような素子や回路を用いても良く、ADコンバータ9に限定されるものではない。
対策用ノード2は、例えば、次のようにして短絡攻撃を検出する。ECU8は、定期的にADコンバータ9がデジタルデータに変換したCANの2線間の電位差を読み出す。対策用ノード2は、CANの2本の信号線間の電位差を監視し、電位差が短絡攻撃の特徴を示す範囲である場合に、2本の信号線間の短絡を検出する。具体的には、対策用ノード2は、ADコンバータ9から読み出した電位差の値が、一定回数以上の間、連続して所定の範囲内の値であれば、短絡攻撃によって2線間が短絡したと見なして、CAN上の各ノードや上位のシステム制御部3に通知する。図8に示したように、短絡攻撃によってドミナントがレセシブに改ざんされる際は、CANの2線間の電位差は、通常のレセシブ時の電位差よりも大きく、通常のドミナント時の電位差よりも小さくなる。そこで、前述の所定の範囲は、この改ざんされたドミナント時の電位差の範囲を設定する。
次に、攻撃検出装置1が短絡攻撃を検出した際に、短絡攻撃の発生を通知する方法について説明する。
短絡攻撃を受けた場合、重大な被害につながらないように、CAN上の各ノードや上位のシステム制御部3に、短絡攻撃の発生を可及的速やかに通知する必要がある。まず、CAN上の各ノードに通知するため、対策用ノード2は、短絡攻撃の発生をCAN上の各ノードにブロードキャストする。これを実現するため、予めCANのメッセージのIDに、短絡攻撃通知用IDを定義する。原則として、この短絡攻撃通知用IDのメッセージは、対策用ノード2が送信し、全てのノードが受信するように各ノードが実装される。少なくとも、誤動作が重大な被害につながる可能性のあるノードは、この短絡攻撃通知用IDのメッセージを受け付けて、適切な動作を行なうよう実装する。適切な動作がどのようなものであるかは、システム依存であるため、システムの機能に応じて適切な動作を実装しておく。
短絡攻撃を受けた場合、重大な被害につながらないように、CAN上の各ノードや上位のシステム制御部3に、短絡攻撃の発生を可及的速やかに通知する必要がある。まず、CAN上の各ノードに通知するため、対策用ノード2は、短絡攻撃の発生をCAN上の各ノードにブロードキャストする。これを実現するため、予めCANのメッセージのIDに、短絡攻撃通知用IDを定義する。原則として、この短絡攻撃通知用IDのメッセージは、対策用ノード2が送信し、全てのノードが受信するように各ノードが実装される。少なくとも、誤動作が重大な被害につながる可能性のあるノードは、この短絡攻撃通知用IDのメッセージを受け付けて、適切な動作を行なうよう実装する。適切な動作がどのようなものであるかは、システム依存であるため、システムの機能に応じて適切な動作を実装しておく。
なお、ブロードキャストにより通知する場合、短絡攻撃が発生していないにも関わらず、不正ノードが短絡攻撃通知メッセージを送信することを防止するために、CANのメッセージ認証技術を組み合わせても良い。
このように、上記のブロードキャストによる通知は、メッセージのIDに、短絡攻撃通知用IDを1つ追加実装するだけで、CAN上の各ノードに攻撃を通知できるようになるため、低コストで短絡攻撃を通知できる。
次に、短絡攻撃の発生を通知する別の方法について説明する。
上記のブロードキャストによる通知は、短絡攻撃の対象となったCANを使って通信するため、信頼性が十分でない可能性がある。すなわち、短絡攻撃検出後の短絡攻撃通知メッセージ自身が、再度、短絡攻撃にさらされると、正しく通知できない可能性がある。しかしながら、最も重要なことは、攻撃の発生をCANよりも上位のシステム制御部3に確実に通知することである。そこで、図1のように、CANに接続した対策用ノード2から上位のシステム制御部3へ、短絡攻撃の検出を通知するための専用の通信路4を設ける。この通信路4は、CANとは異なる通信路であるため、短絡攻撃を受けて信頼性が損なわれたCANを使うことなく、システム制御部3への通知が可能となる。なお、この通信路4のプロトコルや、有線、無線などの物理的な実現方法は問わない。ただし、この通信路4自身が攻撃され難くなるように、以下のようにすることが望ましい。
・通信路を強固な囲いで囲う。
・有線の場合は、複数の信号線を用いた通信路とする。
・システム制御部3は、情報セキュリティ的な認証手段を用いて、対策用ノード2を認証する。
上記のブロードキャストによる通知は、短絡攻撃の対象となったCANを使って通信するため、信頼性が十分でない可能性がある。すなわち、短絡攻撃検出後の短絡攻撃通知メッセージ自身が、再度、短絡攻撃にさらされると、正しく通知できない可能性がある。しかしながら、最も重要なことは、攻撃の発生をCANよりも上位のシステム制御部3に確実に通知することである。そこで、図1のように、CANに接続した対策用ノード2から上位のシステム制御部3へ、短絡攻撃の検出を通知するための専用の通信路4を設ける。この通信路4は、CANとは異なる通信路であるため、短絡攻撃を受けて信頼性が損なわれたCANを使うことなく、システム制御部3への通知が可能となる。なお、この通信路4のプロトコルや、有線、無線などの物理的な実現方法は問わない。ただし、この通信路4自身が攻撃され難くなるように、以下のようにすることが望ましい。
・通信路を強固な囲いで囲う。
・有線の場合は、複数の信号線を用いた通信路とする。
・システム制御部3は、情報セキュリティ的な認証手段を用いて、対策用ノード2を認証する。
以上のように、本実施の形態1の攻撃検出装置は、CANの2線間の短絡を監視し、短絡攻撃を検知するとともに、CAN上の各ノードや上位のシステム制御部に、短絡攻撃の発生を通知することにより、短絡攻撃のようなダイナミックな短絡を検出でき、CANのセキュリティを向上させてなりすまし攻撃を防止することができるという効果がある。
実施の形態2.
実施の形態1では、CANの2線間の電位差を監視することにより、短絡攻撃を検知する場合を説明したが、次に、CANの2線間のインピーダンスを監視することで短絡攻撃を検知する実施の形態を説明する。
実施の形態1では、CANの2線間の電位差を監視することにより、短絡攻撃を検知する場合を説明したが、次に、CANの2線間のインピーダンスを監視することで短絡攻撃を検知する実施の形態を説明する。
図10は、インピーダンスの監視を行なう対策用ノード2の一構成例を示す図である。
図10では、図9のADコンバータ9に代えて、インピーダンスモニタ11が設置されている。その他の構成は、図9と同様である。
図10では、図9のADコンバータ9に代えて、インピーダンスモニタ11が設置されている。その他の構成は、図9と同様である。
本実施の形態では、インピーダンスモニタ11によって、CANの2線間のインピーダンスを測定する。
図11は、インピーダンスモニタ11の一構成例を示す図である。
図11において、インピーダンスモニタ11は、抵抗12、ADコンバータ13を備える。なお、インピーダンスモニタ11は、CANの2線間のインピーダンスを測定でき、測定結果をデジタル情報としてECUに送信できる回路や素子であれば、図11の構成に限定しない。
図11は、インピーダンスモニタ11の一構成例を示す図である。
図11において、インピーダンスモニタ11は、抵抗12、ADコンバータ13を備える。なお、インピーダンスモニタ11は、CANの2線間のインピーダンスを測定でき、測定結果をデジタル情報としてECUに送信できる回路や素子であれば、図11の構成に限定しない。
通常、CAN上にドミナントが送信されている間は、120Ωの2つの終端抵抗を介して、3.5Vと1.5Vの電源が接続されるため、図10の対策用ノード2が無ければ、2つの電源間に約33mAの電流が流れる。図11の抵抗12は、CANの動作に悪影響を与えないよう、十分大きな抵抗値とする。この抵抗値を仮にR[Ω]とすると、図10の対策用ノード2が接続された状態でドミナントが送信されている間、この抵抗には、33*(60/(60+R))[mA]の電流が流れる。
一方、CAN上にレセシブが送信されている間は、通常は、3.5Vと1.5Vの2つの電源は電気的に切り離されるため、図11の抵抗12には電流がほとんど流れない。ところが、短絡攻撃が発生すると、CAN上ではレセシブが検出されるが、2つの電源間に電流が流れる。短絡攻撃では、CANの2線間のインピーダンスが非常に小さな値(仮にr[Ω]とする)になるが、0にはならないので、図10の対策用ノード2が接続された状態では、図11の抵抗12には、Rとrの比に応じた電流が流れる。そこで、図11のADコンバータ13で、抵抗12の両端の電位差を測定することで、間接的にCANの2線間のインピーダンスを知ることができる。すなわち、通常のドミナントでは約60Ω、通常のレセシブでは非常に大きな値、短絡攻撃によるレセシブでは非常に小さな値である。図10のECU8は、CAN上でレセシブを検出した時のインピーダンスを監視し、CANの2線間のインピーダンスが予め与えられた値よりも小さければ、短絡攻撃を検出したとみなして通知する。
実施の形態3.
実施の形態2では、CANの2線間のインピーダンスを監視することにより、短絡攻撃を検知する場合を説明したが、次に、CANの2線間の電流を監視することで短絡攻撃を検知する実施の形態を説明する。
実施の形態2では、CANの2線間のインピーダンスを監視することにより、短絡攻撃を検知する場合を説明したが、次に、CANの2線間の電流を監視することで短絡攻撃を検知する実施の形態を説明する。
図12は、電流の監視を行なう場合の一構成例を示す図である。
本実施の形態では、電位差やインピーダンスを監視する場合と異なり、対策用ノード2内部で実施されるものではなく、CANを用いるシステムの電源回路、または、電源回路とCANをつなぐ電源ラインや電源ケーブル上で実施される。これは、CANに接続される特定のノード内を流れる電流を監視しても、CANの2つの電源(3.5Vと1.5V)間を流れる電流全体を監視することにならないからである。
本実施の形態では、電位差やインピーダンスを監視する場合と異なり、対策用ノード2内部で実施されるものではなく、CANを用いるシステムの電源回路、または、電源回路とCANをつなぐ電源ラインや電源ケーブル上で実施される。これは、CANに接続される特定のノード内を流れる電流を監視しても、CANの2つの電源(3.5Vと1.5V)間を流れる電流全体を監視することにならないからである。
図12においては、CANの電源と、CANをつなぐ電源ライン15上に、直列に電流モニタ14を挿入し、電源とCANの間を流れる電流を監視する。電流モニタ14は、短絡検出部の例である。電流モニタ14内部で大きな電圧降下がないよう、電流モニタ14の内部抵抗は非常に小さい値である必要がある。前述のように、通常はCANの状態がドミナントの時は、電源間に約33mAの電流が流れ、レセシブの時は電流がほとんど流れない。しかし、短絡攻撃によるレセシブの時は、CANの2線間のインピーダンスが非常に小さな値になるため、電源間に極めて大きな電流が流れる。図12の電流モニタ14は、このような大電流を一定期間以上の間に渡って検出すると、短絡攻撃を検出したとみなしてシステム制御部3に通知する。短絡攻撃を受けない場合でも、CANの状態がドミナントに切り替わる時は、瞬間的に大きな電流が流れる可能性もあるが、短絡攻撃の場合は少なくとも1ビットを転送する期間の間、連続して大電流が流れるため、両者を区別することができる。
実施の形態4.
実施の形態1〜3では、CANの2線間の電位差、インピーダンス、電流等を監視して短絡攻撃を検知する場合を説明したが、次に、複数のドメインのCANが存在する場合に、どのドメインで短絡攻撃が発生したのかを特定できるようにした実施の形態を説明する。
実施の形態1〜3では、CANの2線間の電位差、インピーダンス、電流等を監視して短絡攻撃を検知する場合を説明したが、次に、複数のドメインのCANが存在する場合に、どのドメインで短絡攻撃が発生したのかを特定できるようにした実施の形態を説明する。
一つのシステムの中に、CANの2つの電源(3.5Vと1.5V)を共有する複数のドメインのCANが存在する場合がある。このようなシステムで、あるドメインが短絡攻撃を受けた場合、各ドメインの中でそれぞれ実施の形態1〜3のように、CANの2線間の電位差やインピーダンスを監視しても、どのドメインで短絡攻撃が発生したのかを特定できない可能性がある。例えば、2つのドメインのCANで、同じ時にそれぞれドミナントが送信され、一方のドメインのCANが短絡攻撃を受けた場合、他方の2線間の電位差やインピーダンスも、攻撃を受けたドメインと同様の異常な範囲の値となり得る。この場合、攻撃を受けたドメインを特定することが困難になる。この問題を解決するための実施例を説明する。
図13は、複数のドメインのCANを監視する攻撃監視装置の一構成例を示す図である。
図13の構成は、実施の形態3で説明した電流の監視を行なう場合の構成を応用したものである。この構成では、CANの電源とCANの各ドメインをつなぐ電源ライン15上に、ドメイン毎に直列に電流モニタ14を挿入し、電源と各ドメインのCANの間を流れる電流を監視する。実施の形態3と同様に、各ドメインの電流モニタ14は、短絡攻撃による大電流を監視し、一定期間以上の間に渡って大電流を検出すると、当該ドメインが短絡攻撃を受けたとみなしてシステム制御部3に通知する。システム制御部3への通知は、ドメイン毎に設けた短絡攻撃通知用の通信路4を用いて行われる。
図13の構成は、実施の形態3で説明した電流の監視を行なう場合の構成を応用したものである。この構成では、CANの電源とCANの各ドメインをつなぐ電源ライン15上に、ドメイン毎に直列に電流モニタ14を挿入し、電源と各ドメインのCANの間を流れる電流を監視する。実施の形態3と同様に、各ドメインの電流モニタ14は、短絡攻撃による大電流を監視し、一定期間以上の間に渡って大電流を検出すると、当該ドメインが短絡攻撃を受けたとみなしてシステム制御部3に通知する。システム制御部3への通知は、ドメイン毎に設けた短絡攻撃通知用の通信路4を用いて行われる。
以上のように攻撃監視装置を構成することにより、複数のCANのドメインが電源を共有していても、どのドメインで短絡攻撃が発生したのかを特定することが可能になる。
1 攻撃検出装置、2 対策用ノード、3 システム制御部、4 通信路、5 短絡攻撃発生源、6 CANトランシーバ、7 CANプロトコルコントローラ、8 ECU(Engine Control Unit)、9 ADコンバータ、10 ECU通信路、11 インピーダンスモニタ、12 抵抗、13 ADコンバータ、14 電流モニタ、15 電源ライン。
Claims (7)
- 2本の信号線の差動電圧により複数のノードに信号を伝達するCAN(Controller Area Network)と、
前記CANの2本の信号線で伝達される前記信号を監視し、不正な前記ノードによる短絡攻撃の特徴を示す信号の変化に基づいて前記2本の信号線間の短絡を検出する短絡検出部と
を備える攻撃検出装置。 - 前記短絡検出部は、前記CANの2本の信号線間の電位差を監視し、前記電位差が前記短絡攻撃の特徴を示す範囲である場合に、前記2本の信号線間の短絡を検出する請求項1記載の攻撃検出装置。
- 前記短絡検出部は、前記CANの2本の信号線間のインピーダンスを監視し、前記インピーダンスが前記短絡攻撃の特徴を示す範囲である場合に、前記2本の信号線間の短絡を検出する請求項1記載の攻撃検出装置。
- 前記短絡検出部は、前記CANの2本の信号線間の電流を監視し、前記電流が前記短絡攻撃の特徴を示す範囲である場合に、前記2本の信号線間の短絡を検出する請求項1記載の攻撃検出装置。
- 前記短絡検出部は、複数のドメインに存在する複数の前記CANの電流を監視し、短絡攻撃の特徴を示す短絡を検出した前記ドメインを特定する請求項4記載の攻撃検出装置。
- 前記ノードは、前記短絡検出部が短絡攻撃の特徴を示す短絡を検出した場合、短絡攻撃の発生を示すメッセージを他のノードに通知する請求項1記載の攻撃検出装置。
- 前記CANの上位のシステム状態を管理するシステム制御部と、
前記システム制御部と前記短絡検出部とを接続する通信路とを備え、
前記短絡検出部は、短絡攻撃の特徴を示す短絡を検出した場合、前記通信路を介して短絡攻撃の発生を示すメッセージを前記システム制御部に通知する請求項1記載の攻撃検出装置。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2015/064025 WO2016185514A1 (ja) | 2015-05-15 | 2015-05-15 | 攻撃検出装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPWO2016185514A1 true JPWO2016185514A1 (ja) | 2017-07-20 |
Family
ID=57319558
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017518627A Pending JPWO2016185514A1 (ja) | 2015-05-15 | 2015-05-15 | 攻撃検出装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20180069874A1 (ja) |
| JP (1) | JPWO2016185514A1 (ja) |
| CN (1) | CN107531200A (ja) |
| DE (1) | DE112015006541T5 (ja) |
| WO (1) | WO2016185514A1 (ja) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6747361B2 (ja) * | 2016-09-02 | 2020-08-26 | 株式会社オートネットワーク技術研究所 | 通信システム、通信装置、中継装置、通信IC(Integrated Circuit)、制御IC及び通信方法 |
| US10122684B1 (en) * | 2016-11-18 | 2018-11-06 | Cipherloc Corporation | Local area network electronic perimeter security |
| US10554241B2 (en) * | 2017-03-08 | 2020-02-04 | Robert Bosch Gmbh | Method to mitigate transients based attacks on key agreement schemes over controller area network |
| JP6956624B2 (ja) * | 2017-03-13 | 2021-11-02 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 情報処理方法、情報処理システム、及びプログラム |
| US10652256B2 (en) * | 2017-06-20 | 2020-05-12 | International Business Machines Corporation | Real-time active threat validation mechanism for vehicle computer systems |
| US11470095B2 (en) * | 2017-11-03 | 2022-10-11 | Ciena Corporation | Physical layer rogue device detection |
| CN108594787A (zh) * | 2018-03-22 | 2018-09-28 | 常熟共兴合创智能科技合伙企业(有限合伙) | 汽车远程监控模式下的通信切断方法 |
| US11354406B2 (en) * | 2018-06-28 | 2022-06-07 | Intel Corporation | Physics-based approach for attack detection and localization in closed-loop controls for autonomous vehicles |
| DE102018216953B3 (de) * | 2018-10-02 | 2020-02-20 | Conti Temic Microelectronic Gmbh | Bussystem, Busknoten und Verfahren |
| JP7074030B2 (ja) * | 2018-11-14 | 2022-05-24 | トヨタ自動車株式会社 | 車両用の装置、方法、およびプログラム |
| JP7190964B2 (ja) * | 2019-05-28 | 2022-12-16 | 株式会社ミツバ | 通信異常検出装置 |
| DE102019213633A1 (de) * | 2019-09-09 | 2021-03-11 | Robert Bosch Gmbh | Abschaltung differentieller Kommunikationsschnittstellen |
| EP3809638B1 (en) * | 2019-10-17 | 2023-05-17 | Volvo Car Corporation | Detecting manipulation of data on a can bus |
| CN110736890B (zh) * | 2019-10-31 | 2021-07-20 | 国网河南省电力公司信息通信公司 | 一种配电网数据安全预警系统 |
| WO2021090280A2 (en) * | 2019-11-08 | 2021-05-14 | Ree Technology Gmbh | Autonomous vehicle interface using bus impedance to identify control units, and associated systems and methods |
| JP7097347B2 (ja) | 2019-12-25 | 2022-07-07 | 本田技研工業株式会社 | 不正診断機検出装置 |
| WO2021196093A1 (zh) * | 2020-04-01 | 2021-10-07 | 深圳市汇顶科技股份有限公司 | 电压攻击检测电路和芯片 |
| CN111966083A (zh) * | 2020-09-18 | 2020-11-20 | 大连理工大学 | 一种汽车can总线信息安全模拟装置 |
| KR102471960B1 (ko) * | 2020-11-18 | 2022-11-30 | 한국자동차연구원 | 차량용 can 통신 보안 장치 및 방법 |
| US11847254B2 (en) * | 2022-01-21 | 2023-12-19 | Shift5, Inc. | Voltage override device for physical intrusion prevention on a data bus |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0341842A (ja) * | 1989-07-10 | 1991-02-22 | Furukawa Electric Co Ltd:The | 伝送システム |
| JP2006108952A (ja) * | 2004-10-04 | 2006-04-20 | Hitachi Ltd | 車載電子制御装置 |
| JP2011135283A (ja) * | 2009-12-24 | 2011-07-07 | Denso Corp | 通信信号処理装置及び通信装置 |
| JP2015020613A (ja) * | 2013-07-19 | 2015-02-02 | 矢崎総業株式会社 | データ排除装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102006048073A1 (de) * | 2006-10-11 | 2008-04-17 | Wabco Gmbh | Vorrichtung zum Sensieren eines Fehlerstromes in einem Feldbussystem |
-
2015
- 2015-05-15 US US15/563,067 patent/US20180069874A1/en not_active Abandoned
- 2015-05-15 WO PCT/JP2015/064025 patent/WO2016185514A1/ja active Application Filing
- 2015-05-15 CN CN201580079526.6A patent/CN107531200A/zh active Pending
- 2015-05-15 JP JP2017518627A patent/JPWO2016185514A1/ja active Pending
- 2015-05-15 DE DE112015006541.5T patent/DE112015006541T5/de not_active Withdrawn
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0341842A (ja) * | 1989-07-10 | 1991-02-22 | Furukawa Electric Co Ltd:The | 伝送システム |
| JP2006108952A (ja) * | 2004-10-04 | 2006-04-20 | Hitachi Ltd | 車載電子制御装置 |
| JP2011135283A (ja) * | 2009-12-24 | 2011-07-07 | Denso Corp | 通信信号処理装置及び通信装置 |
| JP2015020613A (ja) * | 2013-07-19 | 2015-02-02 | 矢崎総業株式会社 | データ排除装置 |
Non-Patent Citations (1)
| Title |
|---|
| 菅原健,佐伯稔,三澤学: "強いリセッシブを用いたCANの電気的データ改ざん", 電子情報通信学会技術研究報告 VOL.114 NO.489 ICSS2014−74, JPN6017046307, 24 February 2015 (2015-02-24), JP, pages 67 - 72, ISSN: 0003815007 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20180069874A1 (en) | 2018-03-08 |
| DE112015006541T5 (de) | 2018-02-15 |
| CN107531200A (zh) | 2018-01-02 |
| WO2016185514A1 (ja) | 2016-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2016185514A1 (ja) | 攻撃検出装置 | |
| Kneib et al. | Scission: Signal characteristic-based sender identification and intrusion detection in automotive networks | |
| Matsumoto et al. | A method of preventing unauthorized data transmission in controller area network | |
| US10691631B2 (en) | Broadcast bus frame filter | |
| US8925083B2 (en) | Cyber security in an automotive network | |
| KR102269220B1 (ko) | 계측 제어기 통신망(can)을 통한 키 합의에 대한 전압 기반 공격들을 완화하기 위한 방법 | |
| KR20180127221A (ko) | 사이버 공격에 대한 네트워크 보호 방법 | |
| KR20190118208A (ko) | 계측 제어기 통신망을 통한 키 합의 방식에 대한 타이밍 기반 공격들을 완화시키기 위한 방법들 | |
| US11888866B2 (en) | Security module for a CAN node | |
| KR101669946B1 (ko) | 전력 신호를 이용한 ecu 식별 장치 및 방법 | |
| JP2014236248A (ja) | 電子制御装置、電子制御システム | |
| Wang et al. | A delay based plug-in-monitor for intrusion detection in controller area network | |
| EP3772841B1 (en) | A security module for a can node | |
| EP3772839B1 (en) | Security module for a serial communications device | |
| Giannopoulos et al. | Securing vehicular controller area networks: An approach to active bus-level countermeasures | |
| Bozdal et al. | Hardware trojan enabled denial of service attack on can bus | |
| Kwon et al. | Mitigation mechanism against in-vehicle network intrusion by reconfiguring ECU and disabling attack packet | |
| Longari et al. | Copycan: An error-handling protocol based intrusion detection system for controller area network | |
| KR101734505B1 (ko) | 차량용 네트워크의 공격탐지 방법 및 그 장치 | |
| KR20180137306A (ko) | Can 통신 기반 해킹공격 탐지 방법 및 시스템 | |
| CN112583786B (zh) | 用于警报的方法、发送器设备和接收器设备 | |
| CN108965236B (zh) | 用于保护网络免受网络攻击的方法 | |
| CN108965234B (zh) | 用于保护网络防止网络攻击的方法 | |
| Campo et al. | Real-Time Network Defense of SAE J1939 Address Claim Attacks | |
| Roeschlin et al. | EdgeTDC: On the security of time difference of arrival measurements in CAN bus systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170310 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171212 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20180612 |