JPWO2020022445A1 - フレーム転送方法及びセキュアスターカプラ - Google Patents

フレーム転送方法及びセキュアスターカプラ Download PDF

Info

Publication number
JPWO2020022445A1
JPWO2020022445A1 JP2020532476A JP2020532476A JPWO2020022445A1 JP WO2020022445 A1 JPWO2020022445 A1 JP WO2020022445A1 JP 2020532476 A JP2020532476 A JP 2020532476A JP 2020532476 A JP2020532476 A JP 2020532476A JP WO2020022445 A1 JPWO2020022445 A1 JP WO2020022445A1
Authority
JP
Japan
Prior art keywords
frame
branch
unit
star coupler
routing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020532476A
Other languages
English (en)
Other versions
JP7337063B2 (ja
Inventor
剛 岸川
剛 岸川
良浩 氏家
良浩 氏家
平野 亮
亮 平野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Publication of JPWO2020022445A1 publication Critical patent/JPWO2020022445A1/ja
Application granted granted Critical
Publication of JP7337063B2 publication Critical patent/JP7337063B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/44Star or tree networks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40013Details regarding a bus controller
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/407Bus networks with decentralised control
    • H04L12/417Bus networks with decentralised control with deterministic access, e.g. token passing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40234Local Interconnect Network LIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40241Flexray
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/44Star or tree networks
    • H04L2012/445Star or tree networks with switching in a hub, e.g. ETHERNET switch

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

タイムスロットに基づくタイムトリガー方式の通信ネットワークにおけるセキュアスターカプラ(300)は、複数のブランチにそれぞれ接続され信号を送受信する複数のトランシーバ部(301a、301b、301c、301d)と、タイムスロットとブランチとの対応を示す所定のルールを保持するルーティングテーブル保持部(305)と、非転送条件に合致する場合を除き、第1ブランチから受信した信号をその他のブランチへ転送するためにルーティングするルーティング部(302)とを備える。非転送条件は、第1ブランチについて上記の所定のルールが守られていないことと、タイムスロットにおいて、第1ブランチとは別の第2ブランチから受信した信号をその他のブランチへ転送するためのルーティングを既に開始していることとを含む。

Description

本開示は、スター型トポロジの通信ネットワークにおける不正なフレームの送信を防止するセキュアスターカプラに関する。
近年、自動車の車載システムには、電子制御ユニット(Electronic Control Unit、以下、ECU)と呼ばれる装置が多数配置されている。これらのECUをつなぐ通信ネットワークを車載ネットワークと呼ばれる。車載ネットワークには、多数の規格が存在する。その中でも現在主流となっているController Area Network(以下CAN(登録商標))よりも高速かつ高信頼のプロトコルとして設計された、FlexRay(登録商標)という規格が存在する。
FlexRayでは、2本のより線の電圧差により“0”の値と“1”の値を表す。バスに接続されているECUはノードと呼ばれ、バスに接続されている各ノードは、フレームと呼ばれるメッセージを送受信する点はCANと共通している。一方で、イベントトリガの通信方式が採用されているCANに対し、FlexRayではタイムトリガー方式であるTime Division Multiple Access(以下、TDMA)が採用されている。FlexRayの車載ネットワークでは、各フレームは事前に定義されたタイミング及び順番で送信される。
一方、セキュリティに関しては、CANの車載ネットワークでは、攻撃者がバスにアクセスし、不正なフレームを送信することでECUを不正に制御するといった脅威が存在し、このような脅威に対するセキュリティ対策が検討されている。
例えば特許文献1では、車載ネットワーク監視装置を提案しており、フレームが予め規定された通信間隔でバスに送信されているかを検出し、規定された通信間隔から外れるフレームを不正と判断することで、不正なフレームによる制御を防止する方法が開示されている。
特許第5664799号公報 特許第4871395号公報
しかしながら、FlexRayの車載ネットワークでは、予め規定された通信間隔で通信が行われるため、ある特定の識別子(ID)を持つフレームの受信間隔は一定となり、特許文献1のような不正検知手法を適用することはできない。
また、FlexRayでは、設計容易性の観点からスター型のネットワークトポロジが利用されることが多い。特許文献2では、タイムスケジュールに応じて転送元のブランチをスイッチするインテリジェントスターカプラが開示されている。インテリジェントスターカプラにより、フレームの送信が本来は予定されていないブランチからの攻撃フレームの注入を防ぐことが可能になるが、攻撃が試行されたことを把握することはできない。さらに特許文献2のインテリジェントスターカプラでは、送信が本来予定されているブランチに存在する不正なノードからの不正なフレームの注入を防ぐことはできない。
本開示は、上記課題を解決するため、スター型トポロジにより設計されているタイムトリガー方式のプロトコルを採用している通信ネットワークにおいて不正なフレームの送信箇所を把握することで、不正なフレームへの対処を可能にするフレーム転送方法及びセキュアスターカプラを提供し、より安全な通信ネットワークシステムを実現することを目的とする。
本開示の一態様に係るセキュアスターカプラは、タイムスロットに基づくタイムトリガー方式の通信ネットワークにおけるセキュアスターカプラであって、前記通信ネットワークにおいて、1以上の通信装置及び1つのバスをそれぞれ含む複数のブランチが前記セキュアスターカプラを通じて接続され、かつ、前記通信装置は所定のタイムスロット内でフレームを送受信し、前記セキュアスターカプラは、ルーティングルール保持部と、ルーティング部と、前記複数のブランチのいずれかにそれぞれ接続されている複数のトランシーバ部とを備え、前記ルーティングルール保持部は、タイムスロットと、当該タイムスロットで前記セキュアスターカプラが転送すべき物理信号を送信する送信元ブランチ又は前記複数のトランシーバ部のうちで前記送信元ブランチに接続されたトランシーバ部の対応を示した所定のルールを保持し、前記複数のトランシーバ部の一である第1トランシーバ部は、前記複数のブランチのうちで前記第1トランシーバ部が接続されている第1ブランチのバスから受信された物理信号を変換して第1デジタル信号を取得し、前記ルーティング部は、非転送条件に合致する場合を除き、前記第1デジタル信号を、前記複数のトランシーバ部のうちの前記第1トランシーバ部以外のトランシーバ部へルーティングし、前記第1トランシーバ部以外のトランシーバ部は、ルーティングされた前記第1デジタル信号を変換して取得する物理信号を、前記複数のブランチのうちの前記第1ブランチ以外のブランチの前記バスへ送信し、前記非転送条件は、前記第1ブランチ又は前記第1トランシーバ部について前記所定のルールが守られていないという第1条件と、現在のタイムスロットにおいて既に、前記複数のブランチのうちの前記第1ブランチとは別の第2ブランチから受信された物理信号を変換して取得された第2デジタル信号を前記複数のブランチのうちの前記第2ブランチ以外のブランチへルーティングしているという第2条件を含む。
また、本開示の一態様に係るフレーム転送方法は、タイムスロットに基づくタイムトリガー方式の通信ネットワークにおけるフレーム転送方法であって、前記通信ネットワークにおいて、1以上の通信装置及び1つのバスをそれぞれ含む複数のブランチがセキュアスターカプラを通じて接続され、かつ、前記通信装置は所定のタイムスロット内でフレームを送受信し、前記フレーム転送方法は、ルーティングルール保持ステップと、受信ステップと、ルーティングステップと、送信ステップとを含み、前記ルーティングルール保持ステップでは、タイムスロットと、当該タイムスロットで前記セキュアスターカプラが転送すべき物理信号を送信する送信元ブランチとの対応に関する所定のルールを保持し、前記受信ステップでは、前記複数のブランチの一である第1ブランチの前記バスから受信された物理信号を変換して第1デジタル信号を取得し、前記ルーティングステップでは、非転送条件に合致する場合を除き、前記第1デジタル信号を、前記複数のブランチのうちの前記第1ブランチ以外のブランチへルーティングし、前記送信ステップでは、ルーティングされた前記第1デジタル信号を変換して取得する物理信号を、前記第1ブランチ以外のブランチの前記バスへ送信し、前記非転送条件は、前記第1ブランチについて前記所定のルールが守られていないという第1条件と、現在のタイムスロットにおいて既に、前記複数のブランチのうちの前記第1ブランチとは別の第2ブランチから受信された物理信号を変換して取得された第2デジタル信号を、前記複数のブランチのうちの前記第2ブランチ以外のブランチへルーティングしているという第2条件を含む。
なお、これらの包括的又は具体的な態様は、システム、集積回路、コンピュータプログラム又はコンピュータ読み取り可能なCD−ROMなどの記録媒体で実現されてもよく、装置、システム、方法、コンピュータプログラム及び記録媒体の任意な組み合わせで実現されてもよい。
本開示によれば、タイムトリガー方式を採用しているスター型トポロジの通信ネットワークに対しても、不正なフレームの送信箇所を把握することで不正なフレームへの対処を可能とする。これにより、通信ネットワークシステム全体として、安全な状態をより確実に維持することができる。
図1は、実施の形態1、2における車載ネットワークシステムの全体構成を示すブロック図である。 図2は、実施の形態1、2におけるFlexRayのサイクルを説明するための図である。 図3は、実施の形態1、2におけるFlexRayフレームのフォーマットを示す図である。 図4は、実施の形態1、2におけるECUの機能的な構成を示すブロック図である。 図5は、実施の形態1におけるセキュアスターカプラの構成例を示すブロック図である。 図6は、実施の形態1における不正検知ECUの機能的な構成の例を示すブロック図である。 図7は、実施の形態1、2における通信用設定パラメータ保持部に格納される通信用設定パラメータの一例を示す図である。 図8は、実施の形態1、2における受信フレーム情報保持部に格納される受信フレーム情報の一例を示す図である。 図9は、実施の形態1、2におけるルーティングテーブル保持部に格納されるルーティングテーブルの一例を示す図である。 図10は、実施の形態1、2におけるフレーム情報保持部に格納されるフレーム情報の一例を示す図である。 図11は、実施の形態1、2におけるフレームルール保持部に格納されるフレームルールの一例を示す図である。 図12は、実施の形態1、2におけるブランチ異常度保持部に格納されるブランチ異常度の一例を示す図である。 図13は、実施の形態1、2における受信履歴保持部に格納される受信履歴の一例を示す図である。 図14は、実施の形態1におけるセキュアスターカプラの動作の手順例を示すフローチャートである。 図15は、実施の形態1における不正検知ECUの動作の手順例を示すフローチャートである。 図16は、実施の形態2におけるセキュアスターカプラの機能的な構成の例を示すブロック図である。 図17は、実施の形態2における不正検知ECUの機能的な構成の例を示すブロック図である。 図18は、実施の形態2におけるブラックリスト保持部に格納されるブラックリストの一例を示す図である。 図19は、実施の形態2における車両状態保持部に格納される車両状態の一例を示す図である。 図20は、実施の形態2におけるセキュアスターカプラのフレーム受信時の動作の手順例を示すフローチャートである。 図21は、実施の形態2における不正検知ECUの動作の手順例を示すフローチャートである。
本開示の一実施態様のセキュアスターカプラは、タイムスロットに基づくタイムトリガー方式の通信ネットワークにおけるセキュアスターカプラであって、前記通信ネットワークにおいて、1以上の通信装置及び1つのバスをそれぞれ含む複数のブランチが前記セキュアスターカプラを通じて接続され、かつ、前記通信装置は所定のタイムスロット内でフレームを送受信し、前記セキュアスターカプラは、ルーティングルール保持部と、ルーティング部と、前記複数のブランチのいずれかにそれぞれ接続されている複数のトランシーバ部とを備え、前記ルーティングルール保持部は、タイムスロットと、当該タイムスロットで前記セキュアスターカプラが転送すべき物理信号を送信する送信元ブランチ又は前記複数のトランシーバ部のうちで前記送信元ブランチに接続されたトランシーバ部の対応を示した所定のルールを保持し、前記複数のトランシーバ部の一である第1トランシーバ部は、前記複数のブランチのうちで前記第1トランシーバ部が接続されている第1ブランチのバスから受信された物理信号を変換して第1デジタル信号を取得し、前記ルーティング部は、非転送条件に合致する場合を除き、前記第1デジタル信号を、前記複数のトランシーバ部のうちの前記第1トランシーバ部以外のトランシーバ部へルーティングし、前記第1トランシーバ部以外のトランシーバ部は、ルーティングされた前記第1デジタル信号を変換して取得する物理信号を、前記複数のブランチのうちの前記第1ブランチ以外のブランチの前記バスへ送信し、前記非転送条件は、前記第1ブランチ又は前記第1トランシーバ部について前記所定のルールが守られていないという第1条件と、現在のタイムスロットにおいて既に、前記複数のブランチのうちの前記第1ブランチとは別の第2ブランチから受信された物理信号を変換して取得された第2デジタル信号を前記複数のブランチのうちの前記第2ブランチ以外のブランチへルーティングしているという第2条件を含む。これにより、ルーティングルールに合致しないブランチにて送信された不正なフレームであっても、セキュアスターカプラにより他のブランチへの転送が防止され、通信ネットワークの安全性が向上する。
また、前記通信装置と通信を行うための通信制御部をさらに備え、前記通信制御部は、前記第1デジタル信号をデコードしてフレームとして解釈し、前記フレームの情報と、前記第1デジタル信号の転送元である前記第1ブランチ又は前記第1トランシーバ部を示す識別子を対応付けて受信フレーム情報として保持する受信フレーム情報保持部とを備え前記通信制御部は、前記受信フレーム情報を前記通信装置へ通知してもよい。これにより、セキュアスターカプラが受信したフレームが送信されたブランチを、セキュアスターカプラの外部の装置が容易に把握することが可能となり、不正なフレームの発生原因の特定が容易になり得る。
また、前記複数のブランチのそれぞれの異常度を保持するブランチ異常度保持部をさらに備え、前記ルーティング部は、前記複数のブランチの一である第3ブランチに接続されている、前記複数のトランシーバ部の一である第3トランシーバ部から受信した物理信号を変換して取得された第3デジタル信号について前記所定のルールが守られていない場合に、前記第3ブランチの異常度を増加させ、前記ルーティング部は、前記第3ブランチの異常度が所定値以上であるときは、前記第3デジタル信号を前記複数のトランシーバ部のうちの前記第3トランシーバ部以外のトランシーバ部へ転送しないとしてもよい。これにより、不正なフレームを送信したと反復的に判断されたブランチから送信されるフレームの転送の防止が可能となり得る。
また、前記ルーティング部は、前記フレームに前記通信ネットワークに利用されている通信プロトコル上のエラー発生の検知し、前記第3トランシーバ部から受信した前記第3デジタル信号について前記所定のルールが守られている場合に前記通信プロトコル上のエラーを検知したとき、前記第3ブランチの異常度を増加させてもよい。これにより、ルーティングルールに従った転送を行うことで車載ネットワークの安全性を保ちながら、不正なフレームの送信が試行されている可能性の高いブランチを把握し、このブランチから送信されるフレームの転送を阻止することが可能となり得る。
また、タイムスロットとフレームに含まれるペイロードの値との適切又は不適切な対応を示す不正基準リストを保持する不正基準リスト保持部をさらに備え、前記ルーティング部は、転送が未完了のデジタル信号を解釈したフレームについて、前記不正基準リストとの照合を行い、前記ルーティング部は、前記照合の結果、前記フレームが受信されたタイムスロットと前記フレームに含まれるペイロードの値との対応が不適切である場合に、前記転送が未完了のデジタル信号の転送を停止してもよい。これにより、ルーティングルールに合致する不正なフレームであっても、フレームに含まれるペイロードから検知して、その転送の防止が可能となり得る。
また、前記通信ネットワークは車載ネットワークであり、前記セキュアスターカプラは、前記車載ネットワークを搭載する車両の状態を示す車両情報を保持する車両状態保持部をさらに備え、前記通信制御部は、前記通信装置から受信する情報を用いて前記車両情報を更新し、前記ルーティング部は、前記フレームが受信されたタイムスロットと前記フレームに含まれるペイロードの値との対応が不適切であると前記照合の結果判断し、かつ、前記車両情報が示す前記車両の状態が所定の条件を満たしている場合に、前記転送が未完了のデジタル信号の転送を停止してもよい。これにより、通信ネットワークが車載のネットワークの場合、走行状態などの車両状態に応じて、不正なフレームの転送禁止の有無を切り替えることで、運転者にとって危険な状況における不正フレームによる走行の安全性への悪影響を防止しつつ、安全な状況においては車載ネットワークシステムへの介入による先進的な機能の停止を抑えることが可能となる。
また、本開示の一実施態様のフレーム転送方法は、タイムスロットに基づくタイムトリガー方式の通信ネットワークにおけるフレーム転送方法であって、前記通信ネットワークにおいて、1以上の通信装置及び1つのバスをそれぞれ含む複数のブランチがセキュアスターカプラを通じて接続され、かつ、前記通信装置は所定のタイムスロット内でフレームを送受信し、前記フレーム転送方法は、ルーティングルール保持ステップと、受信ステップと、ルーティングステップと、送信ステップとを含み、前記ルーティングルール保持ステップでは、タイムスロットと、当該タイムスロットで前記セキュアスターカプラが転送すべき物理信号を送信する送信元ブランチとの対応に関する所定のルールを保持し、前記受信ステップでは、前記複数のブランチの一である第1ブランチの前記バスから受信された物理信号を変換して第1デジタル信号を取得し、前記ルーティングステップでは、非転送条件に合致する場合を除き、前記第1デジタル信号を、前記複数のブランチのうちの前記第1ブランチ以外のブランチへルーティングし、前記送信ステップでは、ルーティングされた前記第1デジタル信号を変換して取得する物理信号を、前記第1ブランチ以外のブランチの前記バスへ送信し、前記非転送条件は、前記第1ブランチについて前記所定のルールが守られていないという第1条件と、現在のタイムスロットにおいて既に、前記複数のブランチのうちの前記第1ブランチとは別の第2ブランチから受信された物理信号を変換して取得された第2デジタル信号を、前記複数のブランチのうちの前記第2ブランチ以外のブランチへルーティングしているという第2条件を含む。これにより、ルーティングルールに合致しないブランチにて送信された不正なフレームであっても、セキュアスターカプラにより他のブランチへの転送が防止され、通信ネットワークの安全性が向上する。
以下、実施の形態に係るセキュアスターカプラについて、図面を参照しながら説明する。ここで示す実施の形態は、いずれも包括的又は具体的な例を示すものである。したがって、以下の実施の形態で示される数値、構成要素、構成要素の配置及び接続形態、並びに、ステップ(工程)及びステップの順序等は一例であって、本開示に係る発明を限定するものではない。また、各図は模式図であり、必ずしも厳密に図示されたものではない。
(実施の形態1)
[1.システムの構成]
ここでは、本開示の一実施の形態として、スター型トポロジの車載ネットワークを監視し、送受信される各フレームと、各フレームの送信元であるブランチとを示す情報に基づいて不正なフレームの送信を検知し、又はその転送を防止するセキュアスターカプラ及び不正検知ECUについて、図面を参照しながら説明する。
[1.1 車載ネットワークシステムの全体構成]
図1は、本開示に係る車載ネットワークシステム10の全体構成の例を示すブロック図である。車載ネットワークシステム10は、FlexRayプロトコルによる通信に用いられるバスであるバス100a、100b、100c及び100dと、各バスに接続されるECUであるECU200a、200b、200c及び200dと、各ECUの制御対象であるステアリング210、ギア220、ブレーキ230及びカメラ240と、各バス間を接続するセキュアスターカプラ300と、セキュアスターカプラ300と通信線110により接続される不正検知ECU310とから構成される。ECU200a〜200dは、それぞれバス100a〜100dを通じてフレームの送受信を行うことで車両の制御を実現する。不正検知ECU310は、車載ネットワークシステム10における不正なフレームの発生を検知するために、セキュアスターカプラ300を通じてバス100a〜100dを観測する。ECU200a〜200d及び不正検知ECU310は、本実施の形態における通信装置の例である。また、バス100a〜100dのいずれにも同じ信号が流れるよう、セキュアスターカプラ300が信号の整形を行い、各ECUは、バス100a〜100dを通じて同期をとっている。本開示では、各バス及び当該バスに接続されるECUのことを指してブランチとも呼ぶ。また本開示では、当該バスを含むブランチの識別子の例として、便宜的に各バスの参照符号と同じ文字列を用いることがある。
[1.2 FlexRayサイクル]
FlexRay通信では、4つのセグメントからなるサイクル(Cycle)と呼ばれる動作の周期が繰り返される。ひとつのFlexRayネットワーク全体(クラスタともいう)に含まれる各ノードは、サイクルの長さ及び開始時刻を示すグローバルタイムと各々固有のローカルタイムとの差を測定し補正することで同期通信を実現している。
図2は、FlexRay通信のサイクルを示す図である。FlexRayの通信はこのサイクルを繰り返して実行される。各ノードは、サイクルの繰り返し回数(サイクルカウント)を同期して保持している。サイクルカウントの値(図2における、n+0、n+1)は0から63まで1ずつインクリメントし、63の次のサイクルではいったんリセットされて再び0となる。
各サイクルは、静的セグメント(Static segment)、動的セグメント(Dynamic segment)、シンボルウィンドウ(Symbol window)、ネットワークアイドルタイム(NIT)の4つのセグメントで構成される。各セグメントの時間長は予め設計されたパラメータによってクラスタで共通であるため、1サイクルの時間長もクラスタで共通である。なお、動的セグメント及びシンボルウィンドウはオプションである。各ノードは静的セグメント及び動的セグメントにおいてフレームを送信する。静的セグメント及び動的セグメントは、タイムスロット又はスロットと呼ばれる1つのフレームを送信することができる一定の時間を単位として構成される。
静的セグメントは複数のスロットから構成され、各サイクルは静的セグメントで開始する。静的セグメント内のスロットの個数及び各スロットの長さはクラスタ内で共通である。スロットには先頭から順に1ずつインクリメントする番号(スロット番号)が付されており、各スロット内で送信されるフレームには、フレームの識別子(Frame ID、以下ではフレームIDとも表記する)としてこのスロット番号が用いられる。静的セグメント内のスロットを静的スロット(又は静的タイムスロット)とも呼び、静的セグメント内で送信されるフレームを静的フレームとも呼ぶ。各静的スロットでは、予め定められたECUが、予め定められたサイクルでは常にフレームを送信する。静的フレームは、ペイロード長がクラスタ内で共通である。
動的セグメントはミニスロットと呼ばれるスロットから構成され、各サイクルで静的セグメントの次に位置する。ただし、上述のとおり必須ではない。ミニスロットにも静的セグメントのスロットと同じく先頭から順に1ずつインクリメントする番号(スロット番号)が付されている。各ECUには、フレームを送信するタイミング(ミニスロット)が予め定められているが、静的セグメントと異なり、予め定められたサイクル毎にフレームを送信する必要はない。動的セグメント内のスロットを動的スロット(又は動的タイムスロット)とも呼び、動的セグメント内で送信されるフレームを動的フレームとも呼ぶ。動的フレームのペイロード長は、0〜254の任意の値をとることができる。つまり、動的スロットの長さは可変である。
シンボルウィンドウは、シンボルと呼ばれる信号の送受信を行う時間帯である。
ネットワークアイドルタイムは、通信を行わない時間帯であり、各サイクルの最後に必ず設けられる。ネットワークアイドルタイムでは、各ECUはデータの送信を行わずに同期処理等を行い、ネットワークは文字どおりアイドル状態である。
なお、FlexRayプロトコルでは、送信先又は送信元を示す識別子は存在しない。送信ノードは、上述のように予め定められた送信タイミング(スロット)に、予め定められた内容のフレームをバスに送信する。そして受信ノードは、予め決められた受信タイミング(スロット)にのみバスからフレームを受信する。また、静的セグメント又は動的セグメントの同一の番号のスロットであっても、サイクルによって異なる内容のフレームの通信を実現する「サイクルマルチプレキシング」と呼ばれる方法も用いられる。
また、FlexRayプロトコルでは、CANのように全てのノードが1つのバスに接続されるバス型のネットワークトポロジだけでなく、スターカプラを介したスター型、バス型とスター型とのハイブリッド型のネットワークトポロジで通信ネットワークを設計することが可能である。
[1.3 フレームフォーマット]
図3は、FlexRayプロトコルのフレームフォーマットを示す図である。このフォーマットは、静的フレーム及び動的フレームで共通である。フレームは、ヘッダセグメント(Header segment)、ペイロードセグメント(Payload segment)、トレーラーセグメント(Trailer segment)の3つのセグメントから構成される。なお、本開示ではそれぞれヘッダ、ペイロード、トレーラーとも呼ぶことがある。
ヘッダセグメントはReserved bitから始まり、続いてフレームの属性(種別)に関するメタ情報としての、Payload preamble indicator、Null frame indicator、Sync frame indicator、Startup frame indicatorがそれぞれ1ビットずつ含まれる。そしてさらに11ビットのFrame ID、7ビットのPayload length、11ビットのHeader CRCが続き、最後の6ビットのCycle countまでで構成される。
Frame IDに用いられているのは上述のスロット番号であって、スロットIDとも呼ばれ、静的セグメント又は動的セグメントにおけるフレームの送信タイミング及びフレームの内容に応じた種類を識別するために用いられる。
Payload lengthは当該フレームのペイロードの長さを示し、最大値は127である。ペイロードセグメントにはPayload lengthの値に2をかけたバイト数のデータが格納される。
Header CRCは、Sync frame indicatorからPayload lengthまでの値から計算されるCRC(Cyclic Redundancy Check)である。
Cycle countには、クラスタにおける現在のサイクルの繰り返し回数を示す値(0〜63)が格納される。
ペイロードセグメントには、フレームの正味のデータが含まれ、最大で254バイトである。
トレーラーセグメントには、ヘッダ及びペイロードの全体を含んだ値から計算されるCRCが格納されている。
[1.4 ECU(不正検知ECUを除く)の構成]
図4は、ECU200aの機能的な構成の例を示すブロック図である。なお、ECU200b、ECU200c及びECU200dもECU200aと共通の構成であってよく、説明を省略する。
ECU200aは、フレーム送受信部201と、フレーム解釈部202と、外部機器制御部203と、フレーム生成部204と、通信用設定パラメータ保持部205とを備える。なお、ECU200aは、例えばプロセッサ及びメモリを含むマイクロコントローラを備え、ここに挙げた構成要素は、メモリに記憶される1個又は複数個のプログラムをプロセッサが実行することで実現される機能的な構成要素である。ECU200b、ECU200c及びECU200dについても同様である。
フレーム送受信部201は、バス100aから受信した物理信号をデジタル信号に変換してフレームのデータを取得する(フレームの受信)。フレーム送受信部201は通信用設定パラメータ保持部205に保持される、通信用設定パラメータを参照しながら、クラスタである車載ネットワークシステム10に含まれる他のECUと同期することで、他のECUが送信したフレームを正しく受信することができる。また、フレーム送受信部201は、フレーム生成部204からの送信フレーム要求に従って、フレームを物理信号に変換し、予め定められたタイミング(スロット)でこの物理信号をバス100aに送信する(フレームの送信)。
フレーム解釈部202は、フレーム送受信部201から通知される受信したフレームのペイロードを解釈し、ペイロードの内容に応じてECU200aに接続されるステアリング210の制御を実行させるための通知を外部機器制御部203へ出す。この通知によって、例えば、他のECUから通知される車両の速度の情報に基いてフレーム解釈部202が判断した走行状態に応じたステアリングのアシスト制御が実現される。また例えば、自動駐車モード時に、図示しない自動駐車ECUから受信するステアリング操作指示信号に基づくステアリングの自動操舵が実現される。
外部機器制御部203は、ECU200aに接続されるステアリング210の制御を行う。また、外部機器制御部203は、ステアリング210の状態を監視し、その状態を他のECUに通知するためのフレーム送信をフレーム生成部に要求する。ステアリング210の状態とは、例えば、ステアリング210の転舵角(ステアリング角度)である。
フレーム生成部204は、外部機器制御部203からの要求に基いてフレームを生成し、フレーム送受信部201へ当該フレームの送信を要求する。
通信用設定パラメータ保持部205は、バス100aから受信した物理信号をデジタル信号に正しく変換するためのパラメータが保持されている。このパラメータは、車載ネットワークシステム10内で共通である。したがって、他のECUでも同じものが保持される。通信用設定パラメータの詳細は、図7に示す一例を用いて後述する。
[1.5 セキュアスターカプラの構成]
図5は、セキュアスターカプラ300の構成の例を示す図である。セキュアスターカプラ300は、トランシーバ部301a、301b、301c及び301dと、ルーティング部302と、ECUインターフェース部303と、受信フレーム情報保持部304と、ルーティングテーブル保持部305とを備える。
トランシーバ部301aはバス100aに接続され、バス100aから受信した物理信号をデジタル信号に変換し、このデジタル信号をルーティング部302へ通知する。また、ルーティング部302から通知されたデジタル信号を物理信号へ変換し、この物理信号をバス100aへ送信する。同様に、トランシーバ部301bはバス100bに、トランシーバ部301cはバス100cに、トランシーバ部301dはバス100dに接続される。トランシーバ部301b〜301eの各々は、接続されるバスから受信する物理信号に対してトランシーバ部301aと同様に機能する。
ルーティング部302は、トランシーバ部301aから通知されたデジタル信号を、トランシーバ部301aを除くトランシーバ部301b、301c及び301dへルーティングする。同様に、トランシーバ部301bから通知されたデジタル信号を、ルーティング部302は、トランシーバ部301bを除く各トランシーバ部へルーティングする。ルーティング部302はさらに、ルーティング中のデジタル信号と、当該デジタル信号をどのブランチから受信しているかを示す情報(受信ブランチ情報)とをECUインターフェース部303へ通知する。また、ルーティング部302は、ECUインターフェース部303から受信する指示に従って、ルーティングテーブル保持部305が格納しているルーティングテーブルに基いて、スロット番号(スロットID)と、当該スロット番号が示すタイムスロットで転送されるべき信号を送信するブランチである送信元ブランチ(又は送信元ブランチに接続されているトランシーバ部)との対応を設定する。ルーティング部302は、各スロット番号のタイムスロットにおいて、設定されている対応する送信元ブランチから受信された信号をその他のブランチへルーティングする。スロット番号に対応していないブランチから受信された信号はルーティング部302で無視され、つまりセキュアスターカプラ300による他のブランチへの転送が実行されない。また、スロット番号と送信元ブランチとの対応が設定されていないタイムスロットにおいては、ルーティング部302は、最初に受信された信号を、当該信号を送信したブランチ以外のブランチへルーティングする。なお、ブランチとトランシーバ部とは、トランシーバ部が接続されるバスを仲立ちとして対応する関係にあり、一方を識別して指すことで他方を識別して指すことに代えることができる。この対応関係に基づいて、本開示では、例えばルーティング部302が信号をあるブランチ(のバス)に接続されるトランシーバ部へルーティングすることを、当該ブランチへルーティングするとも表現することもあり、その逆もある。また例えば、信号の送信元であるブランチを、当該ブランチ(のバス)に接続されるトランシーバ部を用いて指すこともある。
ECUインターフェース部303は、ルーティング部302からデジタル信号と受信ブランチ情報とを通知されると、当該デジタル信号をデコードして受信フレームとして解釈し、この受信フレームの情報を受信ブランチ情報とを対応付けて受信フレーム情報保持部304に保存する。また、不正検知ECU310からの要求に従って、受信フレーム情報保持部304に格納されている受信フレーム情報及び受信ブランチ情報を不正検知ECU310に通知する。さらにECUインターフェース部303は、不正検知ECU310からの指示を解釈して、ルーティングテーブル保持部305に格納されている、各スロットで転送すべき信号の送信元である送信元ブランチを示すルーティングテーブルの書換、及びルーティング部302の制御への、この書換後の設定の反映を実行する。
受信フレーム情報保持部304には、上述の受信フレームの情報と受信ブランチ情報とが対応付けられて保持されている。図8に受信フレーム情報保持部304に格納されている受信フレームの情報の一例を示す。この例では、各行において、ブランチを示す識別子(図中の100b、100a、100c)と、各ブランチから受信された信号に基づく受信フレームの情報とが対応付けられている。なお、本開示では、このように受信フレームの情報と受信ブランチ情報とが対応付けられたものについても受信フレーム情報と称する。受信フレーム情報の詳細は、図8に示すこの例を用いて後述する。
ルーティングテーブル保持部305は、各スロットで転送すべき信号を送信するブランチである送信元ブランチを示したテーブルを格納している。図9にルーティングテーブル保持部305に格納されているルーティングテーブルの一例を示す。ルーティングテーブルの詳細は、図9に示すこの例を用いて後述する。
[1.6 不正検知ECU310の構成]
図6は、不正検知ECU310の機能的な構成の例を示すブロック図である。
不正検知ECU310は、スターカプラ通信制御部311、不正検知部312、フレーム生成部313、通信用設定パラメータ保持部205、フレーム情報保持部314、フレームルール保持部315、ブランチ異常度保持部316、及び受信履歴保持部317を備える。なお、ECU200aと同様の構成要素には、同じ番号を付与して説明を省略する。不正検知ECU310もまた、例えばプロセッサ及びメモリを含むマイクロコントローラを備え、ここに挙げた構成要素は、メモリに記憶される1個又は複数個のプログラムをプロセッサが実行することで実現される機能的な構成要素である。
スターカプラ通信制御部311は、セキュアスターカプラ300との通信インターフェースであり、通信用設定パラメータ保持部205に格納されている通信用設定パラメータに基づいてセキュアスターカプラ300の設定を行う。セキュアスターカプラ300の設定には、スロットと送信元ブランチとの対応を示したテーブルに基づくルーティングの制御情報も含まれ得る。また、セキュアスターカプラ300が受信したフレームの情報である上記の受信フレーム情報をセキュアスターカプラ300から受信し、不正検知部312へ通知する。フレーム生成部313からフレームの送信を要求されると、スターカプラ通信制御部311は、このフレームの内容をセキュアスターカプラ300へ通知する。
不正検知部312は、スターカプラ通信制御部311から通知される、受信ブランチの情報を含む受信フレーム情報に基づいて、受信フレームが不正なフレームであるか否かを判断する。この判断では、不正検知部312は、まず、フレーム情報保持部314に格納されているスロットIDと送信元ブランチとの対応を示すテーブルを参照して、実際の受信フレームのフレームIDと受信ブランチとの対応が正しいかを判断する。受信フレームのフレームIDと受信ブランチとの対応が正しい場合、不正検知部312は、フレームルール保持部315に格納されている受信フレームのペイロードの内容に応じた種別ごとのルールと、受信履歴保持部317に保持されている受信履歴とをさらに参照し、ペイロードの内容がこのルールから外れる受信フレームを不正であると判断する。受信フレームが不正であると判断した場合、不正検知部312はさらに、不正なフレームが送信されていることを他のECUに通知するためのフレームの送信を、フレーム生成部313に要求する。あわせて、不正検知部312は、ブランチ異常度保持部316に格納されている各ブランチの異常度のうち、不正なフレームを送信したブランチの値を増加させる。またさらに不正検知部312は、今後このブランチから送信される不正なフレームが他のブランチへ転送されることを防ぐために、セキュアスターカプラ300のECUインターフェース部303へ、ルーティングテーブルの書換、及びこの書換後の設定のルーティング部302の制御への反映の指示を、スターカプラ通信制御部311を介して通知する。
フレーム情報保持部314は、各ECUが送信するフレームの(又はスロットの)ID、送信元のブランチ等の情報であるフレーム情報を格納している。フレーム情報保持部314に格納されるフレーム情報の一例を図10に示し、詳細は後述する。
フレームルール保持部315は、不正検知部312が受信フレームを不正であるか否かの判断に用いるルールを格納している。フレームルール保持部315に格納されるフレームルールの一例を図11に示し、詳細は後述する。
ブランチ異常度保持部316は、不正なフレームの受信数に基づくブランチごとの異常度を格納している。ブランチ異常度保持部316に格納されるブランチ異常度の一例を図12に示し、詳細は後述する。
受信履歴保持部317は、受信フレームに関する情報、例えばペイロードが示す値、フレームの属性などのメタ情報、フレームの受信数を格納している。受信履歴保持部317に格納される受信履歴の一例を図13に示し、詳細は後述する。
[1.7 通信用設定パラメータ]
図7は、通信用設定パラメータ保持部205に格納されている通信用設定パラメータの一例を示している。通信用設定パラメータとしては、データ転送の速度が10Mbpsであることと、静的セグメントのスロットID(すなわち各スロットで送受信されるフレームのフレームID)が1〜50であること、動的セグメントのスロットID(同じく、すなわちフレームID)が51〜100であることを示している。また、静的フレームのペイロード長が8(つまり16バイト)であることも示されている。クラスタでは、これらのパラメータの値は、ECU全てに共有されており、これらのパラメータの値に基づいてFlexRayフレームの送受信が実現される。なお、図7に示す通信用設定パラメータの値は一例に過ぎず、別の値であっても構わない。また、上述した通信用設定パラメータも一例に過ぎず、図7に記載のないパラメータ(例えば、各セグメントの長さ、スロットの長さ等)が含まれていてもよいし、逆に、図7に記載されているパラメータの全てが必須というわけではない。
[1.8 受信フレーム情報]
図8は、セキュアスターカプラ300が備える受信フレーム情報保持部304に格納される受信フレーム情報の一例を示している。
図8に示す例では、リスト形式で上から順に最新の受信フレームの情報が保持されている。受信フレームの情報は、セキュアスターカプラ300で受信されたフレームごとに、どのブランチから受信されたかの情報である受信ブランチ、受信フレームを示す信号を受信したタイムスロットのID(受信スロットID)、サイクルカウント、ペイロード長、ペイロードに含まれるデータ、Payload preamble indicatorのフラグ状態、フレームが正しく受信されたかを示すエラーフラグが保持されている。
[1.9 ルーティングテーブル]
図9は、セキュアスターカプラ300が備えるルーティングテーブル保持部305に格納されるルーティングテーブルの一例を示している。
図9のルーティングテーブルは、スロットID、Cycle offset及びCycle receptionの組み合わせにより決定される特定のタイミングと、当該タイミングで転送されるべき信号を送信する送信元ブランチを規定するルール(ルーティングルールともいう)を行ごとに示す。例えば1行目は、スロットIDが1、Cycle offsetが0、Cycle receptionが1のタイミングにおける送信元ブランチを、100cの識別子で示す。ルーティング部302は、このタイミングでこの識別子が示すブランチのバス(バス100c)から信号を受信すると、当該信号が他のブランチへ転送されるようにルーティングする。また、このタイミングでバス100c以外から受信された信号があった場合も、ルーティング部302は当該信号を無視する(ルーティングしない)。同様に、2行目に示されるルールでは、スロットIDが3、Cycle offsetが0、Cycle receptionが2の組み合わせにより決定されるタイミングにおける送信元ブランチは、識別子が100aのブランチである。また、3行目に示されるルールでは、スロットIDが99、Cycle offsetが1、Cycle receptionが2のタイミングにおける送信元ブランチは、識別子が100bのブランチである。このようなルーティングルールを示すルーティングテーブルを備えるルーティングテーブル保持部305は、本実施の形態におけるルーティングルール保持部の例である。
[1.10 フレーム情報]
図10は、不正検知ECU310が備えるフレーム情報保持部314に格納されるフレーム情報の一例を示している。
図10に示す例では、テーブルの各行に1件のフレーム情報として、スロットID、Cycle offset、Cycle reception、フレーム名、及びフレームに含まれるペイロードが示す情報の種類が保持されている。Cycle offset及びCycle receptionは、サイクル多重化(サイクルマルチプレキシング)と呼ばれる、同じスロットIDであってもサイクルによって異なる内容(種類)のデータを含むフレームを送受信する方法が用いられるときに対象のフレームを抽出するために必要な情報である。例えばスロットIDが99のフレームとしてはD、E、F、Gの4つのフレーム名が存在し、それぞれカメラ情報1、カメラ情報2、カメラ情報3、カメラ情報4の異なる内容の情報をペイロードに含み、異なるサイクルにおいて送受信される。
例えばカメラ情報1ではCycle offsetが0で、Cycle receptionが4である。これは、カメラ情報1のデータをペイロードに含むフレームであるフレームDの送信が、サイクルカウントが0のサイクルからスタートして、4サイクルごと実行されることを意味する。つまりフレームDは、サイクルカウントが、0、4、8、12、16、・・・、52、56、60のサイクル内のスロットIDが99のスロットで送信される。同様に、カメラ情報2を含むフレームEは、サイクルカウントが1、5、9、・・・53、57、61のサイクル内の、スロットIDが99のスロットで送信される。カメラ情報3を含むフレームFは、サイクルカウントが2、6、10、・・・、54、58、62のサイクル内のスロットIDが99のスロットで送信される。カメラ情報4を含むフレームGは、サイクルカウントが3、7、11、・・・、55、59、63のサイクル内のスロットIDが99のスロットで送信される。上記のようにして内容の異なるフレームを異なるサイクル内の同一スロットIDのスロットで送信するのが、サイクル多重化(サイクルマルチプレキシング)である。
また、各フレーム情報にはさらに、当該フレームの車載ネットワークシステム10の設計上の送信元である送信元ECUと、送信元ECUが接続されるブランチを示す情報が含まれている。このようなフレーム情報が示すのは、いわば、車載ネットワークシステム10におけるフレームの送受信のスケジュールである。
図10に例示されるフレーム情報の中身についてさらに具体的に説明する。
図10のテーブルの1行目は、スロットIDが1のスロットでは、Cycle offsetが0、Cycle receptionが1(つまり全てのサイクルで同一内容のデータを含むフレームが送信される)のスケジュールで、フレーム名がAのフレームが送信されること、フレームAのペイロードの内容、つまりペイロードが示す情報は速度に関する情報であること、送信元ECUは200cであり、ブランチは100cであることを示している。同テーブルの2行目は、スロットIDが2のスロットでは、フレームが送信されないことを示している。また、同テーブルの3行目は、スロットIDが3のスロットでは、Cycle offsetが0、Cycle receptionが2(つまりサイクルカウントが偶数のサイクルでのみ送信される)のスケジュールで、フレーム名がBのフレームが送信されること、フレームBのペイロードが示す情報はステアリング角度であること、送信元ECUは200aであり、ブランチは100aであることを示している。また、同テーブルのさらに下の行では、スロットIDが98のスロットでは、Cycle offsetが1、Cycle receptionが2(つまりサイクルカウントが奇数のときのみ送信される)のスケジュールで、フレーム名がCのフレームが送信されること、フレームCのペイロードが示す情報はギア状態(シフトレバー又はセレクターのポジション)であること、送信元ECUは200bであり、ブランチは100bであることを示している。さらに次の行では、スロットIDが99のスロットでは、Cycle offsetが0、Cycle receptionが4のスケジュールで、フレーム名がDのフレームが送信されること、フレームDのペイロードが示すのは、カメラ情報1と呼ばれる所定の情報であること、送信元ECUは200dであり、ブランチは100dであることを示している。さらに次の行では、スロットIDが99のスロットでは、Cycle offsetが1、Cycle receptionが4のスケジュールで、フレーム名がEのフレームが送信されること、フレームEのペイロードが示すのは、カメラ情報2と呼ばれる所定の情報であること、送信元ECUは200dであり、ブランチは100dであることを示している。さらに次の行では、スロットIDが99のスロットでは、Cycle offsetが2、Cycle receptionが4のスケジュールで、フレーム名がFのフレームが送信されること、フレームFのペイロードが示すのは、カメラ情報3と呼ばれる所定の情報であること、送信元ECUが200dであり、ブランチが100dであることを示している。最下行では、スロットIDが99のスロットで、Cycle offsetが3、Cycle receptionが4のスケジュールで、フレーム名がGのフレームが送信されること、フレームGのペイロードが示すのは、カメラ情報4と呼ばれる所定の情報であること、送信元ECUは200dであり、ブランチが100dであることを示している。なお、図7の通信用設定パラメータに含まれるIDによれば、フレームA及びBは静的セグメント内で送信される静的フレームであり、フレームCからフレームGは動的セグメント内で送信される動的フレームである。
[1.11 フレームルール]
図11は、不正検知ECU310が備えるフレームルール保持部315に格納されるフレームルールの一例を示した図である。図11に示す例では、テーブルの各行においてフレーム名で特定されるフレームの種別ごとに受信ルールが設定されている。
フレームAに関しては、ペイロード長は8で固定であり、受信ルールとしては、今回受信したフレームAのペイロードが示す速度と前回受信したフレームAが示す速度との差分が0.5km/h以上である場合に不正なフレームであると判断される。フレームBに関しては、ペイロード長は8で固定であり、受信ルールとしては、今回受信したフレームBのペイロードが示すステアリング角度と前回受信したフレームBのペイロードが示すステアリング角度との差分が30度以上である場合に不正なフレームであると判断される。
なお、不正検知ECU310は、受信したフレームが受信ルールに適合するかだけでなく、ペイロード長が正しいかに基づいてフレームが不正であるか否かを判断してもよい。
[1.12 ブランチ異常度]
図12は、不正検知ECU310が備えるブランチ異常度保持部316に格納されるブランチ異常度の一例である。図12に示す例では、テーブルの各行においてブランチごとの異常度が保持されている。ブランチ異常度は、不正検知部312による判断の結果に基づく不正なフレームの受信のたびに、当該フレームを送信したブランチの異常度が1ずつ増加される。図12に示す例では、識別子「100a」で識別されるブランチの異常度は0、識別子「100b」で識別されるブランチの異常度は0、識別子「100c」で識別されるブランチの異常度は0、識別子「100d」で識別されるブランチの異常度は20である。
[1.13 受信履歴]
図13は、不正検知ECU310が備える受信履歴保持部317に格納される受信履歴の一例である。図13に示す例では、テーブル内にフレーム名で特定されるフレームの種別ごとの、ペイロードが示す前回受信値及び車両状態が保持されている。前回受信値は、受信時刻(μs)と併せて保持されている。この例では、車両の速度を示すフレームAの前回受信値は40.5km/hであり、前回の受信時刻が12100μsである。また、ステアリング角度を示すフレームBの前回受信値は5度であり、前回受信時刻は8100である。また、ギア状態を示すフレームCの前回受信値はドライブ状態であり、前回の受信時刻は12400μsである。また、カメラ情報1を示すフレームDの前回受信値は、前方車両の検知を示しており、前回の受信時刻は1440μsである。また、カメラ情報2を示すフレームEの前回受信値は歩行者検知を示しており、受信時刻は5480μsである。また、カメラ情報3を示すフレームFの前回受信値はレーン検知状態を示しており、受信時刻は9520μsである。また、カメラ情報4を示すフレームGの前回受信値は、後方のカメラが未起動であることを示しており、受信時刻は13560μsである。車両状態の情報は、フレームAが示す車両の速度が0km/hより大きい場合には「走行中」に更新され、0km/hの場合には「停止中」に更新される。なお、上記の前回受信値は、例えばフレームの受信の度に、該当する値が不正検知部312によって更新される。
なお、この例では受信時刻が保持されているが、受信時刻は必須ではない。また、受信時刻が、基準となる所定の時刻からの経過時間を示すμs単位で表されているが、時間を表す単位であればよい。例えば、FlexRayプロトコルで用いられる内部クロックから算出されるマイクロティックの個数が用いられて、マイクロティックを用いて定義されるマクロティックの個数が用いられてもよい。
[1.14 セキュアスターカプラの動作]
次に、上記の様に構成されている車載ネットワークシステム10における、各情報及びルールを用いたセキュアスターカプラ300の動作の手順について例を用いて説明する。なお、セキュアスターカプラ300の動作は、セキュアスターカプラ300の構成要素による処理の実行によって実現される。したがって、以下のセキュアスターカプラ300の各構成要素による処理の説明をもって、セキュアスターカプラ300の動作の説明であると理解されたい。
図14は、セキュアスターカプラ300の動作の手順例を示すフローチャートである。
セキュアスターカプラ300において、ルーティング部302が、トランシーバ部301a〜301dのいずれかのブランチから信号を受信しているかを判断する(S1001)。信号が受信されている場合(S1001でYes)、ルーティング部302は、ルーティングテーブル保持部305に格納されているルーティングテーブルに、当該信号を受信している現在のタイミング(スロット)に対応するルーティングルールが存在するか否かを判断する(S1002)。対応するルーティングルールが存在する場合(S1002でYes)、ルーティング部302は、このルーティングルールに照らして、信号を受信したスロットと、この信号を送信したブランチとの対応が適切であるかを確認する(S1003)。対応するルーティングルールが存在しない場合(S1002でNo)、ルーティング部302は、他のブランチから信号を受信中かを確認する(S1006)。
ステップS1003にて、フレームを受信したスロットと受信したフレームを送信したブランチとの対応が適切である場合(S1003でYes)、ルーティング部302は、この信号を、受信したフレームを送信したブランチ以外のブランチへルーティングして、トランシーバ部から送信させる(S1004)。また、ECUインターフェース部303によって、この受信した信号からフレームが解釈され、受信フレームが受信フレーム情報保持部304に格納される(S1005)。フレームを受信したスロットと受信したフレームを送信したブランチとの対応が適切でない場合(S1003でNo)、セキュアスターカプラ300の処理は終了する。
ステップS1006にて、他のブランチから信号を受信していない場合(S1006でNo)、セキュアスターカプラ300では上述のステップS1004及びS1005以降の処理が実行される。他のブランチから、信号を受信している場合(S1006でYes)、セキュアスターカプラ300の処理は終了する。
ステップS1001にて、信号を受信していない場合(S1001でNo)、ECUインターフェース部303は、不正検知ECU310から通知があったかを判断する(S1007)。通知を受けていない場合(S1007でNo)、セキュアスターカプラ300の処理は、S1001に戻る。通知を受けている場合(S1007でYes)、ECUインターフェース部303が、この通知の内容が、他のECUへのアラートなどのためのフレームの送信要求であるか否かを判断する(S1008)。フレームの送信要求である場合(S1008でYes)、ECUインターフェース部303は、各トランシーバ部から全ブランチにフレームを送信させて(S1009)、セキュアスターカプラ300の処理が終了する。通知内容がフレームの送信要求でない場合(S1008でNo)、ECUインターフェース部303が、通知はルーティングテーブル(図中RT)の更新・設定の反映の要求であるとして、ルーティングテーブルを更新し、設定を反映させて(S1010)、セキュアスターカプラ300の処理が終了する。
なお、セキュアスターカプラ300の上述の動作において、ステップS1001で信号を受信したスロットとこの信号を送信したブランチとの対応が適切でないこと(S1003でNo)が、及び他のブランチから信号を受信していること(S1006でYes)が、それぞれ本実施の形態における非転送条件の第1条件及び第2条件の例である。
[1.15 不正検知ECUの動作]
次に、上記の様に構成されている車載ネットワークシステム10における、各情報、ルール及び受信履歴を用いた不正検知ECU310の動作の手順について例を用いて説明する。なお、不正検知ECU310の動作は、不正検知ECU310の構成要素による処理の実行によって実現される。したがって、以下の不正検知ECU310の各構成要素による処理の説明をもって、不正検知ECU310の動作の説明であると理解されたい。
図15は、不正検知ECU310の動作の手順例を示すフローチャートである。
不正検知ECU310において、スターカプラ通信制御部311がセキュアスターカプラ300から受信フレーム情報を受信する(S1101)。不正検知部312は、受信フレーム情報が示す受信ブランチと受信スロットIDとの組み合わせが、フレーム情報保持部314に格納されているフレーム情報(図10)が示すスロットIDと送信元ブランチとの組み合わせに適合するかを確認する(S1102)。フレーム情報に適合する場合(S1102でYes)、不正検知部312は、当該受信フレーム情報が示す受信フレームの内容(ペイロード)が、フレームルール保持部315に格納されているフレームルール(図11)に含まれる対応するものに適合するかをさらに確認する(S1103)。対応するフレームルールに適合する場合(S1103でYes)、不正検知ECU310の処理は終了する。
受信ブランチと受信スロットIDとの組み合わせがフレーム情報に適合しない(S1102でNo)場合、又は受信フレームの内容が、対応するフレームルールに適合しない場合(S1103でNo)、不正検知部312は、この受信ブランチの異常度(図12)を1増加させる(S1104)。さらに不正検知部312は、受信ブランチの累積された異常度が所定値以上であるかを判断する(S1105)。所定値以上である場合(S1105でYes)、当該ブランチからの不正である可能性が高いフレームの送信を抑制するために、不正検知部312は、スターカプラ通信制御部311を介してセキュアスターカプラ300のルーティングテーブルの更新を行う(S1106)。異常度が所定値未満の場合(S1105でNo)、又はルーティングテーブルの更新後、不正検知ECU310の処理は終了する。
なお、ルーティングテーブルの更新(S1106)は、例えば異常度が所定値以上であるとステップS1105で判断した受信ブランチが送信元ブランチであるルーティングルールを削除することで実行されてもよい。またはルーティングテーブルに、各ルーティングルールについて転送可否であることを示すフラグがさらに含まれてもよい。
(実施の形態2)
[2.システムの構成]
次に、本開示の一実施の形態として、スター型トポロジの車載ネットワークを監視し、送受信される各フレームと、各フレームで転送されるべき信号を送信する送信元ブランチを示す情報と、さらにブラックリストを用いて不正なフレームの送信を検知し、又はその転送を防止するセキュアスターカプラ及び不正検知ECUについて、図面を参照しながら説明する。実施の形態1と同様の機能を有する構成要素は同じ参照符号を付与し、説明を省略する。
なお、上記のセキュアスターカプラ及び不正検知ECUが用いられる車載ネットワークシステムの構成は、図1に示す車載ネットワークシステム10において、セキュアスターカプラ300及び不正検知ECU310を、本実施の形態に係るセキュアスターカプラ1300及び不正検知ECU1310にそれぞれ置換し、その他は共通でよいため、図示及び説明を省略する。また、図2に示されるFlexRayのサイクル、図3に示されるFlexRayフレームのフォーマット、図4に示されるECUの機能的な構成、並びに図7〜図13に示されるパラメータ、情報及びルール等も本実施の形態に適用可能であり、再度の図示及び説明は省略する。
[2.1 セキュアスターカプラの構成]
図16は、セキュアスターカプラ1300の機能的な構成の例を示す図である。セキュアスターカプラ1300は、トランシーバ部301a、301b、301c、301d、ルーティング部1302、ECUインターフェース部1303、受信フレーム情報保持部304、ルーティングテーブル保持部305、ブラックリスト保持部1306、ブランチ異常度保持部316、及び車両状態保持部1307を備える。なお、セキュアスターカプラ1300は、例えばプロセッサ及びメモリを含むマイクロコントローラ、並びに入出力回路を備える。セキュアスターカプラ1300のここに挙げた構成要素は、入力回路で信号の入力を受け、当該信号に対してプロセッサがメモリに記憶される1個又は複数個のプログラムを実行して行う判断の結果に応じて出力回路から所定のバスへ向けて信号が出力されるまでの処理を実現する機能的な構成要素である。
ルーティング部1302は、トランシーバ部301aから通知されたデジタル信号を、トランシーバ部301aを除くトランシーバ部301b、301c及び301dへルーティングする。同様に、トランシーバ部301bから通知されたデジタル信号を、ルーティング部1302は、トランシーバ部301bを除く各トランシーバ部へルーティングする。ルーティング部1302はさらに、ルーティング中のデジタル信号と、当該デジタル信号をどのブランチから受信しているかを示す受信ブランチ情報とをECUインターフェース部1303へ通知する。また、ルーティング部1302は、ルーティングテーブル保持部305に格納されているルーティングテーブルに基いて、スロット番号(スロットID)と、送信元ブランチ(又は送信元ブランチに接続されているトランシーバ部)との対応を設定する。ルーティング部1302は、各スロット番号のタイムスロットにおいて、設定されている対応する送信元ブランチから受信された信号をその他のブランチへルーティングする。設定されていない送信元ブランチから受信された信号はルーティング部1302で無視され、つまりセキュアスターカプラ300による他のブランチへの転送が実行されない。スロット番号と送信元ブランチとの対応が設定されていないタイムスロットにおいては、ルーティング部1302は、最初に受信された信号を、当該信号を送信したブランチ以外のブランチへルーティングする。
また、ルーティング部1302は、ルーティング中、つまり転送が未完了の信号をデコードしてフレームを取得し、当該フレームの内容がブラックリスト保持部1306に保持されているブラックリストに合致しているかを判断する。ルーティング部1302は、さらにブランチ異常度保持部316に格納されているブランチ異常度、及び車両状態保持部1307に格納されている車両状態を参照する。ルーティング中の信号が示すフレームの内容がブラックリストに合致し、かつ、参照して取得したブランチ異常度及び車両状態が、ブラックリストの有効化条件を満たす場合、ルーティング部1302は信号のルーティングを停止する。つまり、セキュアスターカプラ1300による当該信号の他のブランチへの転送が停止される。これにより、不正なフレームを送信するECUが、ルーティングテーブルが含むルーティングルールに合致するブランチに存在している場合であっても、このECUから送信されるフレームはペイロード値に基づいて不正と判定される。したがって、不正なフレーム(信号)の転送が防止される。
また、ルーティング部1302は、各ブランチから受信した信号をデコードしてフレームを取得し、当該フレームに各ブランチにおいてプロトコル上のエラーが発生しているか否かを確認するエラー検知処理を行う。ルーティングルールが有効なスロットにおいて受信されたフレームにエラーが発生している場合、このフレームを送信したブランチについての、ブランチ異常度保持部316に格納されているブランチの異常度を増加させる。これは、不正なフレーム送信が試行されているブランチを把握する目的で実行される。ある特定のスロットで所定のフレームを送信する正規のECUと、当該スロットにて不正なフレームを送信しようとするECUとが異なるブランチに含まれる場合には、セキュアスターカプラ1300において、ルーティングルールに合致しないブランチからの不正なフレームの送信であるとして無視される。つまり、不正なフレームの転送は防止される。しかしながら、これだけでは不正なフレームを送信したブランチは特定されない。正規のECUから送信されるフレームは、セキュアスターカプラ1300によってその他のブランチに転送される。この転送されたこのフレームと、不正なECUから送信されたフレームとが衝突を起こすことで、不正なECUを含むブランチのみエラー状態となり、このエラー状態がルーティング部1302によって検知される。
ECUインターフェース部1303は、ルーティング部302からデジタル受信した信号と、受信ブランチ情報とを通知されると、当該デジタル信号をデコードして受信フレームとして解釈し、この受信フレームの情報と受信ブランチ情報とを対応付けて受信フレーム情報保持部304に保存する。また、不正検知ECU1310からの要求に従って、受信フレーム情報保持部304に格納されている、受信フレームの情報及び受信ブランチ情報を不正検知ECU1310に通知する。さらにECUインターフェース部1303は、不正検知ECU1310からの指示を解釈して、ルーティングテーブル保持部305に格納されている、各スロットで転送すべき信号を送信する送信元ブランチを示すルーティングテーブルの書換、及びブラックリスト保持部1306に格納されているブラックリストの更新、ブランチ異常度保持部316に格納されているブランチ異常度の更新、及び車両状態保持部1307に格納されている車両状態の更新を実行する。
ブラックリスト保持部1306は、ルーティング部1302によって参照され、転送中の信号の転送を停止させるか否かの判断に用いられるブラックリストを格納している。ブラックリスト保持部1306が保持するブラックリストの一例を図18に示し、詳細は後述する。
車両状態保持部1307は、ルーティング部1302によって参照され、ブラックリスト保持部1306に格納されるブラックリストを有効化する条件として用いられる車両状態を格納している。図19に車両状態保持部1307が保持する車両状態の一例を示す。図19の例では、車両状態は走行中であることを示している。
[2.2 不正検知ECUの構成]
図17は、不正検知ECU1310の機能的な構成の例を示すブロック図である。
不正検知ECU1310は、スターカプラ通信制御部1311と、不正検知部1312と、フレーム生成部313と、通信用設定パラメータ保持部205と、フレーム情報保持部314と、フレームルール保持部315と、受信履歴保持部317とを備える。
スターカプラ通信制御部1311は、セキュアスターカプラ1300との通信インターフェースであり、通信用設定パラメータ保持部205に格納されている通信用設定パラメータに基づいてセキュアスターカプラ1300の設定を行う。セキュアスターカプラ1300の設定には、スロットと送信元ブランチとの対応を示したテーブルに基づくルーティングの制御情報、及びブラックリストも含まれ得る。さらに、セキュアスターカプラ1300が受信したフレームに基づいて決定される走行状態等の車両状態の更新通知、ブランチ異常度の増加に関する通知を行う。また、セキュアスターカプラ1300が受信したフレームの情報である上記の受信フレーム情報を受信し、不正検知部1312へ通知する。フレーム生成部313からフレームの送信を要求されると、スターカプラ通信制御部1311は、このフレームの内容をセキュアスターカプラ1300へ通知する。
不正検知部1312は、スターカプラ通信制御部1311から通知される、受信ブランチの情報を含む受信フレーム情報に基づいて、受信フレームが不正なフレームであるかを判断する。この判断では、不正検知部1312は、まず、フレーム情報保持部314に格納されているスロットIDと送信元ブランチとの対応を示すテーブルを参照して、実際の受信フレームのフレームIDと受信ブランチとの対応が正しいかを確認する。受信フレームのフレームIDと受信ブランチとの対応が正しい場合は、不正検知部1312は、フレームルール保持部315に格納されている受信フレームのペイロードの内容に応じた種別ごとのルールと、受信履歴保持部317に保持されている受信履歴とをさらに参照し、ペイロードの内容がこのルールから外れる受信フレームを不正であると判断する。受信フレームが不正であると判断した場合は、不正検知部312はさらに、不正なフレームが送信されていることを他のECUに通知するアラートのためのフレームの送信を、フレーム生成部313に要求する。あわせて、不正検知部312はスターカプラ通信制御部1311に、受信ブランチが異常であることを通知する。またさらに、不正検知部1312は、今後このブランチから送信される不正なフレームが他のブランチへ転送されることを防ぐために、セキュアスターカプラ1300のECUインターフェース部1303へ、ルーティングテーブルの書換を通知する。
[2.3 ブラックリスト]
図18は、ブラックリスト保持部1306に格納されるブラックリストの一例である。図18のブラックリストは、スロットID、Cycle offset、Cycle receptionの組み合わせにより決定される特定のスロットで受信されるフレームごとの、受信ブランチ、ペイロードの値を及びブラックリスト有効化条件を行ごとに示す。例えば1行目は、スロットIDが20、Cycle offsetが3、Cycle receptionが4のスケジュールで受信されるフレームについては、受信ブランチが100dであって、ペイロードの値が**5*・・・である場合に、車両状態が「走行中」である場合に当該フレームはブラックリストに合致し、かつブランチ異常度が30より大きいことを条件として転送が中止されることを示す。ここで、ブラックリストの欄の「*」は、ペイロードで対応するビットが示す値がドントケアであることを意味する。つまりこの例では、上位2バイト目の上位4ビットが示す値が5であるペイロードのフレームを受信した場合にブラックリストに合致することを示している。同様に2行目は、スロットIDが10、Cycle offsetが0、Cycle receptionが2のスケジュールで受信されるフレームについては、受信ブランチが100aであって、ペイロードの値がFF 11 **・・・である場合に当該フレームはブラックリストに合致し、ブラックリストに合致したフレーム(を示す信号)は常に転送が中止されることを示している。
[2.4 セキュアスターカプラの動作]
次に、上記の各情報及びルール等を用いたセキュアスターカプラ1300の動作の手順について例を用いて説明する。なお、セキュアスターカプラ1300の動作は、セキュアスターカプラ1300の構成要素による処理の実行によって実現される。したがって、以下のセキュアスターカプラ1300の各構成要素による処理の説明をもって、セキュアスターカプラ1300の動作の説明であると理解されたい。
図20はセキュアスターカプラ1300のフレーム受信時の動作の手順例を示すフローチャートである。
セキュアスターカプラ1300は、フレーム(を示す信号)の受信を開始する(S2001)。
ルーティング部1302は、ルーティングテーブル保持部305に格納されているルーティングテーブルに、当該信号を受信している現在のスロットに対応するルーティングルール(図中、RR)が存在するか否かを判断する(S2002)。対応するルーティングルールが存在する場合(S2002でYes)、ルーティング部1302は、ステップS2003の判断を実行する。そうでない場合(S2002でNo)、セキュアスターカプラ1300は、ステップS2011の判断を実行する。
ルーティング部1302は、ステップS2003では、当該信号を受信しているスロットと受信ブランチとの関係が、対応するルーティングルールに合致しているかを確認する。ルーティングルールに合致している場合(S2003でYes)、ルーティング部1302は、受信している信号を受信ブランチ以外のブランチへ転送するルーティングを開始する(S2004)。そうでない場合(S2003でNo)、セキュアスターカプラ1300は、受信ブランチの異常度を増加させて(S2008)、セキュアスターカプラ1300の処理は終了する。
また、ルーティング部1302は、ルーティング開始後に、転送が未完了の信号のデコードを行い、デコードによって取得したフレームが、ブラックリスト保持部1306に格納されるブラックリストに合致しているか否かの判断を行う(S2005)。ブラックリストに合致している場合(S2005でYes)、ルーティング部1302はルーティングを停止し(S2009)、セキュアスターカプラ1300の処理を終了する。フレームがブラックリストに合致しない場合(S2005でNo)、ルーティング部1302は、信号の転送を完了させる(S2006)。
ステップS2006の後、ルーティング部1302は、各ブランチでのエラー発生状況を確認する(S2007)。全てのブランチでエラーが無ければ(S2007でNo)、転送は正常に完了したとして、セキュアスターカプラ1300の処理は終了する。エラーの発生したブランチが存在する場合(S2007でYes)、ルーティング部1302は、不正なフレームの送信がなされていた可能性があるとして、エラーが発生したブランチの異常度を増加させ(S2010)、セキュアスターカプラ1300の処理は終了する。
ルーティング部1302は、ステップS2011では、現在のスロットで他のブランチから受信している信号を転送のためにルーティング中であるか否かを確認する。ルーティング中でない場合(S2011でNo)は、S2004を実行する。ルーティング中である場合(S2011でYes)、ルーティング部1302は受信していた信号を無視し、セキュアスターカプラ1300の処理は終了する。
[2.5 フレーム受信時の不正検知ECUの動作]
次に、上記の各情報及びルール等を用いた不正検知ECU1310の動作の手順について例を用いて説明する。なお、不正検知ECU1310の動作は、不正検知ECU1310の構成要素による処理の実行によって実現される。したがって、以下の不正検知ECU1310の各構成要素による処理の説明をもって、不正検知ECU1310の動作の説明であると理解されたい。
図21は、不正検知ECU1310のフレーム受信時の動作の手順例を示すフローチャートである。
不正検知ECU1310において、スターカプラ通信制御部1311がフレーム受信の通知をセキュアスターカプラ1300から受けると、不正検知部1312は、受信フレームの受信スロットID、ペイロード情報、及び受信ブランチに関する受信フレーム情報を取得(S2101)する。不正検知部1312は、フレーム情報保持部314に格納されているフレーム情報を参照し、当該受信フレーム情報が示す受信ブランチと受信スロットIDとの組み合わせが適切であるか否かを判断する(S2102)。組み合わせが適切である場合(S2102でYes)、不正検知部1312は、ステップS2103を実行する。対応が適切でない場合(S2102でNo)、不正検知部1312は、この受信ブランチの異常度を増加させるようにセキュアスターカプラ1300へ通知を行い(S2106)、処理を終了する。
ステップS2103では、不正検知部1312は、フレームルール保持部315に格納されているフレームルールを参照し、受信フレームが対応するフレームルールに適合するか否かを判断する。フレームルールに適合する場合(S2103でYes)、不正規のフレームを受信したとして、不正検知部1312は、受信履歴保持部317に格納されている受信履歴を更新し(S2104)、車両状態の更新通知をセキュアスターカプラ1300に行い(S2105)、不正検知ECU1310の処理は終了する。フレームルールに適合しない場合(S2103でNo)、不正なフレームを受信したとして、不正検知ECU1310は、受信ブランチの異常度を増加させるようにセキュアスターカプラ1300へ通知を行い(S2106)、不正検知ECU1310の処理は終了する。
[3. 変形例及び補足事項]
本開示の一又は複数の態様に係るフレーム転送方法及びセキュアスターカプラは、上記の各実施の形態の説明に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が想到する各種の変形を上記の実施の形態に施したものも、本開示の態様に含まれてもよい。下記に、そのような変形の例、及び実施の形態の説明へのその他の補足事項を挙げる。
(1)上記の各実施の形態は、図1に示したスター型のネットワークトポロジにおける例を用いて説明したが、適用可能なネットワークトポロジをこの例に限るものではない。例えば、バス型、又はスター型とバス型とのハイブリッド型などのネットワークトポロジにも本開示のセキュアスターカプラ等は適用できる。
(2)上記の各実施の形態では、別個の物として説明されるセキュアスターカプラと不正検知ECUとは一体的に実現されてもよいし、また、一方の機能的構成要素の一部が他方に組み込まれてもよい。これにより部品点数の削減につながる。この場合、上述のセキュアスターカプラの動作において各構成要素によって実行される各ステップは、不正検知ECUで実行されるステップとなり得る。また、上述の不正検知ECUの動作において各構成要素によって実行される各ステップは、セキュアスターカプラで実行されるステップとなり得る。なお、セキュアスターカプラと不正検知ECUとを一体的に実現するものであっても、本開示では便宜的にセキュアスターカプラと称するが、本開示に係るセキュアスターカプラの構成要素と不正検知ECUの構成要素とを組み合わせて備えるものは、その呼称に拘わらず本開示の技術的範囲に含まれる。
(3)上記の実施の形態では、セキュアスターカプラと不正検知ECUとが通信を行っていたが、不正検知ECUは必須の構成要素ではない。例えば予めルーティングテーブル保持部及び通信用設定パラメータ保持部の内容をセキュアスターカプラに埋め込んでおき、運用開始当初は必要最小限の機能のみを実現してもよい。これにより、通信ネットワーク上の通信装置の数を削減でき、コスト低下に効果的である。
(4)上記の実施の形態では、不正なフレームが発生したか否か、又はフレームが不正であるか否かという不正検知処理以降について詳細に述べていないが、この処理の結果の利用例について補足する。例えば、不正検知処理において得られる、不正なフレームのヘッダに含まれる情報、ペイロード値、受信時刻、受信時の車両状態等(これら情報の少なくとも一部を指して、以下では不正フレーム情報ともいう)がログに保存されておいてもよい。また、車載ネットワーク上の他のECUに不正なフレームの発生又は不正フレーム情報が通知されてもよいし、外部のサーバへ当該車両での不正なフレームの発生又は不正フレーム情報が通知されてもよい。また、当該車両のユーザインタフェースを介して運転者へ車載ネットワークに不正なフレームの発生又は不正フレーム情報が通知されてもよい。また、ゲートウェイ又はドメインコントローラが不正検知部を備える場合は、当該不正フレームを転送しない、又は不正なフレームであることを示す情報を付加して転送する等の処理を実行してもよい。
(5)上記の各実施の形態では、フレーム情報、フレームルールを平文で保持されているが、暗号化して保持されていてもよい。
(6)上記の各実施の形態では、異常度をブランチごとに保持していたが、フレームごとに異常度を保持していてもよい。これにより、異常度の高いフレームのみを遮断することが可能となり、車両への影響の抑止に効果的である。
(7)上記の各実施の形態では、フレームルールにはそれぞれ1つの受信ルールが設定されている(図11)が、2つ以上が設定されていてよい。また、受信ルールが設定されていない個別フレームルールが存在してもよい。例えば、重要性の高い第二種別のフレームにのみ受信ルールを設定することで、フレームの重要度に応じたチェックが可能となり、車載ネットワークの安全性の向上に効果的である。
(8)上記の各実施の形態では、動的フレームに関してフレームルールが設定されていない(図11)が、動的フレームに関してもフレームルールが設定されていてもよい。例えば、前回受信値からの変化量に関するルール設定されてもよい。
(9)上記の各実施の形態では、セキュアスターカプラは不正検知ECUからフレームの送信要求を受け、他ブランチにフレームを送信可能であったが、送信しないものであってもよい。これによりセキュアスターカプラの機能削減ができ、コストの削減に効果的である。
(10)上記の各実施の形態では、フレーム情報保持部に格納されるフレーム情報にフレーム名が保持されている(図10)が、フレーム名は必須ではない。
(11)上記の各実施の形態では、フレーム情報保持部に格納されるフレーム情報について、1つのフレームが保持するペイロード情報は1種類1件であるが、(図10)これに限定されない。1つのフレームが2種類以上又は同種の情報を複数件保持してもよいし、ペイロード情報が無くてもよい。また、複数件のペイロード情報が保持される場合には、ペイロードセグメントでの各件のフィールドを示す情報(フィールドの位置、長さ、単位等)が含まれていてもよい。
(12)上記の各実施の形態では、受信履歴(図13)の前回受信値はフレーム名ごとに1信号相当分だけ保持しているが、複数信号相当分保持してもよいし。また、ペイロード値をそのまま保持してもよい。
(13)上記の各実施の形態では、受信履歴(図13)に含まれる車両状態は、走行中か停止中の2状態のみであったが、車両状態はこの2状態に限らない。例えば、イグニッションオン状態、アクセサリーオン状態、低速走行状態、高速走行状態、ステアリング操舵状態、ギア状態、若しくは先進運転支援機能オンオフ状態、又はこれらを組み合わせた状態を取り得る。
(14)上記の実施の形態2では、ブラックリスト(図18)は予め保持しているものを使用する例を示したが、ブラックリストは、使用開始後も更新される動的なものであってもよい。例えば、不正検知ECUが不正であると検知したフレームのペイロード値を保持しておき、同じID、Cycle reception、Cycle offsetのスロットに送信されるフレームにて不正を所定回数以上検知したときに、これらのフレーム間でペイロード値が一致するフィールドを用いてブラックリストを更新してもよい。これにより、予めブラックリストに登録されていない、より新しい攻撃パターンの不正なフレームのルーティングを防止できるようになり、安全性の向上に効果的である。
(15)上記の実施の形態2では、ルーティング部は信号をデコードして取得するフレームのエラーを検出する機能を備えるが、エラー検出の機能はルーティング部(セキュアスターカプラ)内で実行されなくてよい。例えば、セキュアスターカプラに接続する不正検知ECUが任意の2ブランチの信号を受信可能にし、不正検知ECUが備えるデコーダ部でエラーの検出が行われてもよい。
(16)上記の実施の形態2では、ブラックリスト(図18)に合致するフレーム(信号)の転送が停止されるが、ブラックリストに合致するフレーム(信号)の転送停止以外の処理が行われてもよい。例えば、フレームに含まれるCRCの値を書き換えるなどしてもよい。転送された信号が、他の受信するECUに有効なフレームとして認識されて処理されることを防止することができる対処方法であればよい。
(17)上記の実施の形態2では、タイムスロットとフレームに含まれるペイロードの値との不適切な対応を示すブラックリスト(図18)に合致するフレーム(信号)の転送が停止されるが、これに限定されない。タイムスロットとフレームに含まれるペイロードの値との適切な対応を示すホワイトリストに合致しない信号の転送を停止してもよい。このようなブラックリスト及びホワイトリストは上記の実施の形態2及び本変形例における不正基準リストの例であり、ブラックリスト保持部は不正基準リスト保持部の例である。
(18)上記の実施の形態2では、車両状態及びブランチ異常度は、ブラックリスト(図18)の有効化条件に用いられていたが、ルーティングルール(図9)の有効化条件に用いてもよい。これにより、不正なECUの存在するブランチからのフレーム送信を無効化でき効果的である。
(19)上記の実施の形態2では、車両状態保持部に保持されているのは車両の走行状態であるが(図19)、これに限定されない。例えば上記のイグニッションオン状態などでもよいし、各ECUから通知される所定の状態、例えばECUに接続される外部機器の状態を示すフラグであってもよい。これによりフラグに応じてブラックリストの有効化が可能となり、車両の多様な状態により柔軟に対応することができる。
(20)上記の実施の形態では、車載ネットワークとしてFlexRayプロトコルを用いていたが、これに限るものではない。例えば、CAN、CAN−FD(CAN with Frexible Data Rate)、Ethernet(登録商標)、LIN(Local Interconnect Network)、MOST(Media Oriented Systems Transport)などを用いてもよい。あるいはこれらのネットワークをサブネットワークとして、組み合わせたネットワークであってもよい。特にタイムトリガー方式を採用しているネットワークに対して有効である。また、実施の形態は車載ネットワークに含まれるセキュアスターカプラ及びセキュアスターカプラで実行される不正フレームの転送防止方法を例に用いて説明しているが、本開示の態様に係るセキュアスターカプラ等は、車載ネットワーク以外の通信ネットワークにも適用可能である。
(21)上記の実施の形態における各装置は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。RAM又はハードディスクユニットには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。
(22)上記の実施の形態における各装置は、構成する構成要素の一部又は全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAMなどを含んで構成されるコンピュータシステムである。RAMには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、システムLSIは、その機能を達成する。
また、上記の各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部又は全てを含むように1チップ化されてもよい。
また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。
(23)上記の各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なICカード又は単体のモジュールから構成されているとしてもよい。ICカード又はモジュールは、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。ICカード又はモジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、ICカード又はモジュールは、その機能を達成する。このICカード又はこのモジュールは、耐タンパ性を有するとしてもよい。
(24)本開示は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、コンピュータプログラムからなるデジタル信号であるとしてもよい。
また、本開示は、コンピュータプログラム又はデジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD−ROM、MO、DVD、DVD−ROM、DVD−RAM、BD(Blu−ray(登録商標) Disc)、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されているデジタル信号であるとしてもよい。
また、本開示は、コンピュータプログラム又はデジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。
また、本開示は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、メモリは、上記コンピュータプログラムを記録しており、マイクロプロセッサは、コンピュータプログラムに従って動作するとしてもよい。
また、プログラム又はデジタル信号を記録媒体に記録して移送することにより、又はプログラム又はデジタル信号を、ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
(25)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。
本開示に係る技術は、通信ネットワーク、特にタイムトリガー方式を採用しているネットワークにおいて、サイバー攻撃などによる不正なフレームへの対処を可能にするために利用することができる。
10 車載ネットワークシステム
100a、100b、100c、100d バス
200a、200b、200c、200d ECU
201 フレーム送受信部
202 フレーム解釈部
203 外部機器制御部
204 フレーム生成部
205 通信用設定パラメータ保持部
210 ステアリング
220 ギア
230 ブレーキ
240 カメラ
300、1300 セキュアスターカプラ
301a、301b、301c、301d トランシーバ部
302、1302 ルーティング部
303、1303 ECUインターフェース部
304 受信フレーム情報保持部
305 ルーティングテーブル保持部
310、1310 不正検知ECU
311、1311 スターカプラ通信制御部
312、1312 不正検知部
313 フレーム生成部
314 フレーム情報保持部
315 フレームルール保持部
316 ブランチ異常度保持部
317 受信履歴保持部
1306 ブラックリスト保持部
1307 車両状態保持部

Claims (7)

  1. タイムスロットに基づくタイムトリガー方式の通信ネットワークにおけるセキュアスターカプラであって、
    前記通信ネットワークにおいて、1以上の通信装置及び1つのバスをそれぞれ含む複数のブランチが前記セキュアスターカプラを通じて接続され、かつ、前記通信装置は所定のタイムスロット内でフレームを送受信し、
    前記セキュアスターカプラは、
    ルーティングルール保持部と、ルーティング部と、前記複数のブランチのいずれかにそれぞれ接続されている複数のトランシーバ部とを備え、
    前記ルーティングルール保持部は、タイムスロットと、当該タイムスロットで前記セキュアスターカプラが転送すべき物理信号を送信する送信元ブランチ又は前記複数のトランシーバ部のうちで前記送信元ブランチに接続されたトランシーバ部の対応を示した所定のルールを保持し、
    前記複数のトランシーバ部の一である第1トランシーバ部は、前記複数のブランチのうちで前記第1トランシーバ部が接続されている第1ブランチのバスから受信された物理信号を変換して第1デジタル信号を取得し、
    前記ルーティング部は、非転送条件に合致する場合を除き、前記第1デジタル信号を、前記複数のトランシーバ部のうちの前記第1トランシーバ部以外のトランシーバ部へルーティングし、
    前記第1トランシーバ部以外のトランシーバ部は、ルーティングされた前記第1デジタル信号を変換して取得する物理信号を、前記複数のブランチのうちの前記第1ブランチ以外のブランチの前記バスへ送信し、
    前記非転送条件は、前記第1ブランチ又は前記第1トランシーバ部について前記所定のルールが守られていないという第1条件と、現在のタイムスロットにおいて既に、前記複数のブランチのうちの前記第1ブランチとは別の第2ブランチから受信された物理信号を変換して取得された第2デジタル信号を前記複数のブランチのうちの前記第2ブランチ以外のブランチへルーティングしているという第2条件を含む、
    セキュアスターカプラ。
  2. 前記通信装置と通信を行うための通信制御部をさらに備え、
    前記通信制御部は、前記第1デジタル信号をデコードしてフレームとして解釈し、前記フレームの情報と、前記第1デジタル信号の転送元である前記第1ブランチ又は前記第1トランシーバ部を示す識別子を対応付けて受信フレーム情報として保持する受信フレーム情報保持部とを備え、
    前記通信制御部は、前記受信フレーム情報を前記通信装置へ通知する、
    請求項1に記載のセキュアスターカプラ。
  3. 前記複数のブランチのそれぞれの異常度を保持するブランチ異常度保持部をさらに備え、
    前記ルーティング部は、前記複数のブランチの一である第3ブランチに接続されている、前記複数のトランシーバ部の一である第3トランシーバ部から受信した物理信号を変換して取得された第3デジタル信号について前記所定のルールが守られていない場合に、前記第3ブランチの異常度を増加させ、
    前記ルーティング部は、前記第3ブランチの異常度が所定値以上であるときは、前記第3デジタル信号を前記複数のトランシーバ部のうちの前記第3トランシーバ部以外のトランシーバ部へ転送しない、
    請求項2に記載のセキュアスターカプラ。
  4. 前記ルーティング部は、前記フレームに前記通信ネットワークに利用されている通信プロトコル上のエラー発生の検知し、前記第3トランシーバ部から受信した前記第3デジタル信号について前記所定のルールが守られている場合に前記通信プロトコル上のエラーを検知したとき、前記第3ブランチの異常度を増加させる、
    請求項3に記載のセキュアスターカプラ。
  5. タイムスロットとフレームに含まれるペイロードの値との適切又は不適切な対応を示す不正基準リストを保持する不正基準リスト保持部をさらに備え、
    前記ルーティング部は、転送が未完了のデジタル信号を解釈したフレームについて、前記不正基準リストとの照合を行い、
    前記ルーティング部は、前記照合の結果、前記フレームが受信されたタイムスロットと前記フレームに含まれるペイロードの値との対応が不適切である場合に、前記転送が未完了のデジタル信号の転送を停止する、
    請求項2から4のいずれか一項に記載のセキュアスターカプラ。
  6. 前記通信ネットワークは車載ネットワークであり、
    前記セキュアスターカプラは、前記車載ネットワークを搭載する車両の状態を示す車両情報を保持する車両状態保持部をさらに備え、
    前記通信制御部は、前記通信装置から受信する情報を用いて前記車両情報を更新し、
    前記ルーティング部は、前記フレームが受信されたタイムスロットと前記フレームに含まれるペイロードの値との対応が不適切であると前記照合の結果判断し、かつ、前記車両情報が示す前記車両の状態が所定の条件を満たしている場合に、前記転送が未完了のデジタル信号の転送を停止する、
    請求項5に記載のセキュアスターカプラ。
  7. タイムスロットに基づくタイムトリガー方式の通信ネットワークにおけるフレーム転送方法であって、
    前記通信ネットワークにおいて、1以上の通信装置及び1つのバスをそれぞれ含む複数のブランチがセキュアスターカプラを通じて接続され、かつ、前記通信装置は所定のタイムスロット内でフレームを送受信し、
    前記フレーム転送方法は、
    ルーティングルール保持ステップと、受信ステップと、ルーティングステップと、送信ステップとを含み、
    前記ルーティングルール保持ステップでは、タイムスロットと、当該タイムスロットで前記セキュアスターカプラが転送すべき物理信号を送信する送信元ブランチとの対応に関する所定のルールを保持し、
    前記受信ステップでは、前記複数のブランチの一である第1ブランチの前記バスから受信された物理信号を変換して第1デジタル信号を取得し、
    前記ルーティングステップでは、非転送条件に合致する場合を除き、前記第1デジタル信号を、前記複数のブランチのうちの前記第1ブランチ以外のブランチへルーティングし、
    前記送信ステップでは、ルーティングされた前記第1デジタル信号を変換して取得する物理信号を、前記第1ブランチ以外のブランチの前記バスへ送信し、
    前記非転送条件は、前記第1ブランチについて前記所定のルールが守られていないという第1条件と、現在のタイムスロットにおいて既に、前記複数のブランチのうちの前記第1ブランチとは別の第2ブランチから受信された物理信号を変換して取得された第2デジタル信号を、前記複数のブランチのうちの前記第2ブランチ以外のブランチへルーティングしているという第2条件を含む、
    フレーム転送方法。
JP2020532476A 2018-07-27 2019-07-25 フレーム転送方法及びセキュアスターカプラ Active JP7337063B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
PCT/JP2018/028294 WO2020021714A1 (ja) 2018-07-27 2018-07-27 不正防止方法およびセキュアスターカプラ
JPPCT/JP2018/028294 2018-07-27
PCT/JP2019/029252 WO2020022445A1 (ja) 2018-07-27 2019-07-25 フレーム転送方法及びセキュアスターカプラ

Publications (2)

Publication Number Publication Date
JPWO2020022445A1 true JPWO2020022445A1 (ja) 2021-08-05
JP7337063B2 JP7337063B2 (ja) 2023-09-01

Family

ID=69180787

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020532476A Active JP7337063B2 (ja) 2018-07-27 2019-07-25 フレーム転送方法及びセキュアスターカプラ

Country Status (5)

Country Link
US (1) US11764998B2 (ja)
EP (1) EP3832956B1 (ja)
JP (1) JP7337063B2 (ja)
CN (1) CN111788800B (ja)
WO (2) WO2020021714A1 (ja)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010503305A (ja) * 2006-09-06 2010-01-28 エヌエックスピー ビー ヴィ タイムトリガ通信用インテリジェントスターカプラ及びタイムトリガプロトコルを用いるネットワーク内のノード間で通信を行う方法
JP2010035171A (ja) * 2008-07-25 2010-02-12 Tttech Computertechnik Ag 時間制御通信システムのマルチルータ
JP2010521858A (ja) * 2007-03-14 2010-06-24 エヌエックスピー ビー ヴィ 分散通信システムのノード、分散通信システムに結合されたノード及び監視装置
WO2013171829A1 (ja) * 2012-05-14 2013-11-21 トヨタ自動車 株式会社 車両用ネットワークの通信管理装置及び通信管理方法
JP2017111796A (ja) * 2015-12-16 2017-06-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ処理方法及びサーバ
WO2018008452A1 (ja) * 2016-07-05 2018-01-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正制御抑止方法、不正制御抑止装置及び車載ネットワークシステム

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5222637Y2 (ja) 1971-12-10 1977-05-24
JPS5664799U (ja) 1979-10-23 1981-05-30
US5210632A (en) * 1989-05-26 1993-05-11 Hitachi, Ltd. Signal transmission system having a star coupled repeater
KR20090067151A (ko) * 2006-09-06 2009-06-24 엔엑스피 비 브이 클러스터 커플러, 네트워크 및 네트워크 통신 방법
WO2009063346A1 (en) * 2007-11-14 2009-05-22 Nxp B.V. Star network and method for preventing a repeatedly transmission of a control symbol in such a star network
DE102009030204A1 (de) * 2009-06-24 2010-12-30 Audi Ag Sternkoppler für ein Bussystem, Bussystem mit einem solchen Sternkoppler sowie Verfahren zum Austauschen von Signalen in einem Bussystem
WO2013094072A1 (ja) 2011-12-22 2013-06-27 トヨタ自動車 株式会社 通信システム及び通信方法
WO2015123712A1 (de) * 2014-02-24 2015-08-27 Fts Computertechnik Gmbh Verfahren und computernetzwerk zum übertragen von nachrichten
EP3139547B1 (en) * 2015-09-07 2018-10-17 TTTech Computertechnik AG An online incremental scheduling method for deterministic networks
US20170072876A1 (en) * 2015-09-14 2017-03-16 Broadcom Corporation Hardware-Accelerated Protocol Conversion in an Automotive Gateway Controller
JP6173541B2 (ja) * 2015-10-09 2017-08-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ装置、攻撃検知方法及びプログラム
WO2017061079A1 (ja) * 2015-10-09 2017-04-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ セキュリティ装置、攻撃検知方法及びプログラム
WO2017104096A1 (ja) * 2015-12-14 2017-06-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ セキュリティ装置、ネットワークシステム及び攻撃検知方法
JP6684690B2 (ja) * 2016-01-08 2020-04-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
WO2017203904A1 (ja) * 2016-05-27 2017-11-30 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 電子制御ユニット、フレーム生成方法及びプログラム
JP6492234B2 (ja) * 2016-12-06 2019-03-27 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 情報処理装置及び情報処理方法
US20180300477A1 (en) * 2017-04-13 2018-10-18 Argus Cyber Security Ltd. In-vehicle cyber protection
CN106982397B (zh) * 2017-05-16 2020-06-16 华北电力大学(保定) 基于回传检测的变电站通信网络及其时间同步安全方法
CN107342833B (zh) * 2017-06-15 2019-03-15 西安微电子技术研究所 一种时间触发以太网交换控制方法
JP7033499B2 (ja) * 2017-07-26 2022-03-10 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知装置および異常検知方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010503305A (ja) * 2006-09-06 2010-01-28 エヌエックスピー ビー ヴィ タイムトリガ通信用インテリジェントスターカプラ及びタイムトリガプロトコルを用いるネットワーク内のノード間で通信を行う方法
JP2010521858A (ja) * 2007-03-14 2010-06-24 エヌエックスピー ビー ヴィ 分散通信システムのノード、分散通信システムに結合されたノード及び監視装置
JP2010035171A (ja) * 2008-07-25 2010-02-12 Tttech Computertechnik Ag 時間制御通信システムのマルチルータ
WO2013171829A1 (ja) * 2012-05-14 2013-11-21 トヨタ自動車 株式会社 車両用ネットワークの通信管理装置及び通信管理方法
JP2017111796A (ja) * 2015-12-16 2017-06-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ処理方法及びサーバ
WO2018008452A1 (ja) * 2016-07-05 2018-01-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正制御抑止方法、不正制御抑止装置及び車載ネットワークシステム

Also Published As

Publication number Publication date
CN111788800B (zh) 2022-05-10
EP3832956A4 (en) 2021-10-13
WO2020022445A1 (ja) 2020-01-30
CN111788800A (zh) 2020-10-16
EP3832956B1 (en) 2022-04-06
EP3832956A1 (en) 2021-06-09
US20210051090A1 (en) 2021-02-18
WO2020021714A1 (ja) 2020-01-30
JP7337063B2 (ja) 2023-09-01
US11764998B2 (en) 2023-09-19

Similar Documents

Publication Publication Date Title
JP6377143B2 (ja) 車載ネットワークシステム、電子制御ユニット及び更新処理方法
JP6887040B2 (ja) 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
JP6852132B2 (ja) 不正検知方法、不正検知電子制御ユニット及び不正検知システム
JP7033499B2 (ja) 異常検知装置および異常検知方法
JP6846991B2 (ja) 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
JP7232832B2 (ja) 不正検知方法及び不正検知装置
JP6280662B2 (ja) 不正制御抑止方法、不正制御抑止装置及び車載ネットワークシステム
JP7280082B2 (ja) 不正検知方法、不正検知装置及びプログラム
JP2018026791A (ja) フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム
US20200412756A1 (en) Communication control device, anomaly detection electronic control unit, mobility network system, communication control method, anomaly detection method, and recording medium
JP7340537B2 (ja) 不正制御防止システム、監視装置、および、不正制御防止方法
US11843477B2 (en) Anomaly determination method, anomaly determination device, and recording medium
KR101972457B1 (ko) Can 통신 기반 해킹공격 탐지 방법 및 시스템
JPWO2020022445A1 (ja) フレーム転送方法及びセキュアスターカプラ
KR102352504B1 (ko) 이더넷 스위치 정보에 기초한 미등록 장치 검증 시스템 및 방법
JPWO2019187350A1 (ja) 不正検知方法、不正検知装置及びプログラム
WO2020021715A1 (ja) 不正対処方法、不正対処装置および通信システム
KR20200136124A (ko) Can 통신에서 도스 공격 방지를 위한 전자 제어 장치 및 이를 이용한 우선 순위 변경 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220511

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230425

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230713

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230808

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230822

R150 Certificate of patent or registration of utility model

Ref document number: 7337063

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150