WO2016116977A1 - 不正対処方法及び電子制御ユニット - Google Patents

不正対処方法及び電子制御ユニット Download PDF

Info

Publication number
WO2016116977A1
WO2016116977A1 PCT/JP2015/005720 JP2015005720W WO2016116977A1 WO 2016116977 A1 WO2016116977 A1 WO 2016116977A1 JP 2015005720 W JP2015005720 W JP 2015005720W WO 2016116977 A1 WO2016116977 A1 WO 2016116977A1
Authority
WO
WIPO (PCT)
Prior art keywords
vehicle
fraud
detection notification
fraud detection
level
Prior art date
Application number
PCT/JP2015/005720
Other languages
English (en)
French (fr)
Inventor
芳賀 智之
松島 秀樹
良浩 氏家
剛 岸川
Original Assignee
パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from JP2015217211A external-priority patent/JP6595885B2/ja
Application filed by パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ filed Critical パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ
Priority to EP15878675.6A priority Critical patent/EP3249626B1/en
Priority to CN201580011083.7A priority patent/CN106062847B/zh
Publication of WO2016116977A1 publication Critical patent/WO2016116977A1/ja
Priority to US15/249,513 priority patent/US10328874B2/en
Priority to US16/413,035 priority patent/US10896616B2/en
Priority to US17/115,055 priority patent/US11538344B2/en
Priority to US17/991,357 priority patent/US11830367B2/en

Links

Images

Classifications

    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/22Platooning, i.e. convoy of communicating vehicles
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/09Arrangements for giving variable traffic instructions
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/09Arrangements for giving variable traffic instructions
    • G08G1/0962Arrangements for giving variable traffic instructions having an indicator mounted inside the vehicle, e.g. giving voice messages
    • G08G1/0967Systems involving transmission of highway information, e.g. weather, speed limits
    • G08G1/096766Systems involving transmission of highway information, e.g. weather, speed limits where the system is characterised by the origin of the information transmission
    • G08G1/096791Systems involving transmission of highway information, e.g. weather, speed limits where the system is characterised by the origin of the information transmission where the origin of the information is another vehicle
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/16Anti-collision systems
    • G08G1/161Decentralised systems, e.g. inter-vehicle communication
    • G08G1/162Decentralised systems, e.g. inter-vehicle communication event-triggered
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/46Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for vehicle-to-vehicle communication [V2V]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent

Definitions

  • This disclosure relates to a technique for dealing with a case where an illegal frame transmitted in an in-vehicle network with which an electronic control unit communicates is detected.
  • ECUs electronice control units
  • in-vehicle network A network connecting these ECUs.
  • ISO11898-1 A network connecting these ECUs.
  • CAN Controller Area Network
  • a communication path is composed of two buses, and an ECU connected to the bus is called a node.
  • Each node connected to the bus transmits and receives a message called a frame.
  • a transmission node that transmits a frame applies a voltage to two buses to generate a potential difference between the buses, thereby transmitting a value of “1” called recessive and a value of “0” called dominant.
  • the dominant is transmitted with priority.
  • the receiving node transmits a frame called an error frame.
  • An error frame is a notification of frame abnormality to a transmitting node or another receiving node by transmitting dominants continuously for 6 bits.
  • the transmission node transmits an ID called a message ID for each frame (that is, sends a signal to the bus), and each reception node is predetermined. Only the message ID is received (that is, the signal is read from the bus).
  • a CSMA / CA Carrier Sense Multiple Access / Collision Avoidance
  • arbitration is performed using a message ID during simultaneous transmission of a plurality of nodes, and a frame with a small message ID value is preferentially transmitted.
  • Patent Document 1 identifies whether or not a moving object in the vicinity of a vehicle is a dangerous element, but does not notify the rear vehicle of an abnormality inside the vehicle.
  • an accident such as a collision may occur when the vehicle is illegally controlled inside the vehicle.
  • the present disclosure provides a fraud countermeasure method that appropriately copes with in order to suppress the influence when a vehicle is likely to be illegally controlled.
  • the present disclosure provides an electronic control unit (ECU) that appropriately copes with in order to suppress the influence when a vehicle is likely to be illegally controlled.
  • ECU electronice control unit
  • a fraud countermeasure method is a fraud countermeasure method used in one or a plurality of electronic control units mounted in one vehicle, and is mounted in another vehicle.
  • a fraud frame is detected in the in-vehicle network
  • a fraud detection notification transmitted from a device mounted on the other vehicle is received, and a plurality of predetermined numbers are determined according to the content of the received fraud detection notification.
  • This is a fraud handling method for selecting a fraud handling process to be executed from the fraud handling process and executing the selected fraud handling process.
  • a fraud handling method for handling a fraud situation by performing communication between the first and second vehicles.
  • a fraud frame is detected in an in-vehicle network mounted on one vehicle
  • a device mounted on the first vehicle transmits a fraud detection notification, and one or more mounted on the second vehicle.
  • the electronic control unit receives the fraud detection notification, selects a fraud handling process to be executed from a plurality of predetermined fraud handling processes according to the content of the received fraud detection notification, and selects the selected fraud handling process. Is an illegal countermeasure to execute
  • a fraud handling method is a fraud handling method used in an electronic control unit connected to an in-vehicle network mounted on one vehicle. This is a fraud countermeasure method in which a fraud detection notification is transmitted to another vehicle when a fraud frame is detected in an in-vehicle network mounted on the vehicle.
  • the electronic control unit is configured so that when an unauthorized frame is detected in an in-vehicle network mounted on a vehicle different from the vehicle on which the unit is mounted, A reception unit that receives a fraud detection notification transmitted from a device mounted on the vehicle, and a plurality of predetermined fraud handling processes according to the content of the fraud detection notification received by the reception unit
  • the electronic control unit includes a fraud handling unit that selects a fraud handling process and executes the selected fraud handling process.
  • An electronic control unit for solving the above-described problem is an electronic control unit connected to an in-vehicle network, and an unauthorized detection unit that detects an unauthorized frame transmitted in the in-vehicle network;
  • the electronic control unit includes a transmission unit that transmits a fraud detection notification to a vehicle different from the vehicle on which the own unit is mounted when the fraud frame is detected by the fraud detection unit.
  • FIG. 1 is a diagram illustrating an overall configuration of a vehicle-to-vehicle communication system according to Embodiment 1.
  • FIG. 1 is a diagram illustrating a configuration of a vehicle according to a first embodiment. It is a figure which shows the format of the data frame prescribed
  • 1 is a configuration diagram of a fraud detection ECU according to Embodiment 1.
  • FIG. It is a figure which shows an example of the white list which fraud detection ECU which concerns on Embodiment 1 hold
  • 6 is a sequence diagram illustrating an operation example related to detection of an unauthorized frame according to Embodiment 1.
  • FIG. 6 is a diagram showing level information according to Embodiment 1.
  • FIG. 1 is a diagram illustrating an overall configuration of a vehicle-to-vehicle communication system according to Embodiment 1.
  • FIG. 1 is a diagram illustrating a configuration of a vehicle according to a first embodiment. It is a figure which shows the format of
  • FIG. 6 is a sequence diagram showing operations of respective parts of the vehicle at the time of fraud detection according to the first embodiment. 6 is a diagram showing an example of correspondence information according to Embodiment 1.
  • FIG. 5 is a sequence diagram illustrating operations of respective units of the vehicle that have received the inter-vehicle communication message according to Embodiment 1. It is a figure which shows the example which the several vehicle which concerns on Embodiment 2 notifies a vehicle-to-vehicle communication message to a succeeding vehicle continuously.
  • FIG. FIG. 16 is a sequence diagram showing the operation of each part when the vehicle according to Embodiment 2 receives and transfers the inter-vehicle communication message (continuing to FIG. 15). It is a sequence diagram which shows operation
  • FIG. FIG. 10 is a diagram showing an example of level change conditions according to the third embodiment.
  • FIG. 21 is a sequence diagram showing operations of respective units when a vehicle according to Embodiment 3 receives and transfers a vehicle-to-vehicle communication message (following FIG. 20).
  • FIG. 20 is a sequence diagram showing the operation of each part when the vehicle according to Embodiment 3 receives and transfers a vehicle-to-vehicle communication message (continuing from FIG. 19). It is a figure which shows the whole structure of the road-vehicle communication system which concerns on Embodiment 4.
  • FIG. 21 is a sequence diagram showing operations of respective units when a vehicle according to Embodiment 3 receives and transfers a vehicle-to-vehicle communication message (following FIG. 20).
  • FIG. 20 is a sequence diagram showing the operation of each part when the vehicle according to Embodiment 3 receives and transfers a vehicle-to-vehicle communication message (continuing from FIG. 19). It is a figure which shows the whole structure of the road-vehicle communication system which concerns on Embodiment 4.
  • a fraud countermeasure method is a fraud countermeasure method used in one or a plurality of electronic control units mounted on one vehicle, and the fraud frame is generated in an in-vehicle network mounted on another vehicle.
  • a fraud that is received from a fraud detection notification transmitted from a device mounted on the other vehicle when detected, and executed from a plurality of predetermined fraud countermeasure processes according to the content of the received fraud detection notification
  • This is a fraud handling method of selecting a handling process and executing the selected fraud handling process.
  • the fraud detection notification includes level information indicating one of a plurality of levels, and performs the selection of fraud handling processing according to the level indicated by the level information included in the received fraud detection notification. It is also good. Accordingly, by setting level information in another vehicle in response to the fraud handling process, it is possible to cause one vehicle to take appropriate measures when there is a possibility that the other vehicle will be fraudulently controlled. It becomes possible.
  • the selection of the fraud handling process is performed by referring to the correspondence information in which the fraud handling process is associated with each of the plurality of levels, and the correspondence to the level indicated by the level information included in the received fraud detection notification is performed. It may be a selection of fraud countermeasure processing corresponding to information. As a result, if the level and the content of the fraud handling process are appropriately set as the correspondence information, it is possible to cause one vehicle to take appropriate measures when there is a possibility that the other vehicle will be improperly controlled. Is possible.
  • each fraud handling process in which the correspondence information is associated with any one or more of the plurality of levels includes control for stopping traveling of the one vehicle, control for slowing down the vehicle, It is good also as including at least 1 of the control which keeps the distance between vehicles with a fixed distance, and the control which performs the alerting
  • a predetermined condition is satisfied based on the content of the received fraud detection notification. If the predetermined condition is satisfied, the fraud detection notification is sent to the outside of the one vehicle. If the predetermined condition is not satisfied, the fraud detection notification may not be transmitted.
  • the vehicle to which the fraud detection notification is transmitted can take measures such as shifting to a safe state.
  • the transfer since the transfer is performed with conditions, it is possible to use such that the conditions are determined so that the transfer is not performed unnecessarily over a wide range.
  • the fraud detection notification includes condition information indicating a transfer condition.
  • condition information indicating a transfer condition.
  • the predetermined condition is satisfied. If the transfer condition indicated by the condition information is not satisfied, the determination may be performed assuming that the predetermined condition is not satisfied.
  • a vehicle that transmits a fraud detection notification can determine a transfer condition for the fraud detection notification.
  • the fraud detection notification includes position information indicating a measured position of the other vehicle on which the device that has detected the fraud frame and transmitted the fraud detection notification is mounted, and the predetermined condition includes The condition may be that the distance between the measured position of one vehicle and the position indicated by the position information included in the received fraud detection notification is within a certain range.
  • the fraud detection notification includes frequency information indicating the number of times, and the predetermined condition is transferred before receiving the fraud detection notification from the device that detected the fraud frame and transmitted the fraud detection notification.
  • the number of times is less than a predetermined number, and based on the number information included in the received fraud detection notification, the determination on whether the predetermined condition is satisfied is performed, and the received fraud detection When the notification is transmitted, the transmission may be performed after updating the number-of-times information included in the fraud detection notification.
  • the fraud detection notification includes time information indicating time, and the predetermined condition is a condition that an elapsed time from the time indicated by the time information included in the received fraud detection notification is shorter than a predetermined time. It is also good.
  • the fraud detection notification is transmitted from the vehicle in which the fraud is detected to a certain extent, and the adverse effect caused by the fraud handling processing by a sufficiently distant vehicle (for example, stop as fraud handling processing)
  • the occurrence of traffic congestion due to slow driving, etc.) can be prevented.
  • instead of performing a fraud handling process for bringing all the vehicles into a safe state only vehicles within a certain range from the vehicle in which the fraud is detected can be shifted to a safe state, for example. It is possible to suppress the influence (occurrence of traffic congestion, etc.).
  • the level information included in the fraud detection notification may be updated based on a predetermined level change rule, and then the transmission may be performed.
  • the fraud countermeasure processing performed in each of the plurality of vehicles around the vehicle where the fraud is detected can be made different. For this reason, for example, the level can be lowered as the distance from the vehicle where fraud is detected increases, and the level of fraud countermeasure processing is reduced from the stop, for example, as the level decreases correspondingly. It is possible to reduce the adverse effects on the traffic system, such as traveling while maintaining a certain inter-vehicle distance from slow driving.
  • a fraud countermeasure method is a fraud countermeasure method for dealing with an improper situation by performing communication between the first and second vehicles, and is mounted on the first vehicle.
  • a device mounted on the first vehicle transmits a fraud detection notification, and one or more electronic control units mounted on the second vehicle
  • a fraud handling method that receives a detection notification, selects a fraud handling process to be executed from a plurality of predetermined fraud handling processes according to the content of the received fraud detection notice, and executes the selected fraud handling process. is there.
  • the device mounted on the first vehicle selects a frame ID based on a frame ID of the illegal frame among a plurality of levels determined in advance by dividing the frame ID when the illegal frame is detected.
  • the fraud detection notification includes level information indicating one level that has been transmitted, and the one or more electronic control units mounted on the second vehicle include the received fraud detection notification.
  • the selection of fraud countermeasure processing may be performed according to the level indicated by the included level information. Thereby, level information can be set for each function type into which functions are classified. For this reason, in the in-vehicle network, the frame ID is classified for each function type, and the fraud countermeasure processing corresponding to the degree of the influence caused by the fraud frame (an influence different for each classification) can be executed.
  • the function types include, for example, a drive system function, a chassis system function, a body system function, a safety and comfort function, an ITS (Intelligent Transport Systems) system function, a telematics system function, an infotainment system function, and the like.
  • ITS Intelligent Transport Systems
  • a fraud handling method is a fraud handling method used in an electronic control unit connected to an in-vehicle network mounted on one vehicle, the in-vehicle network mounted on the one vehicle.
  • This is a fraud handling method in which a fraud detection notification is transmitted to another vehicle when a fraud frame is detected.
  • a fraud detection notification is transmitted to another vehicle when a fraud frame is detected.
  • an electronic control unit (ECU) according to an aspect of the present disclosure is mounted on another vehicle when an unauthorized frame is detected in an in-vehicle network mounted on a vehicle different from the vehicle on which the unit is mounted.
  • the electronic control unit includes a fraud handling unit that selects and executes the selected fraud handling process. In a vehicle equipped with this ECU, it is possible to cope with an illegal frame detected by another vehicle.
  • an electronic control unit is an electronic control unit connected to an in-vehicle network, the fraud detection unit that detects an unauthorized frame transmitted in the in-vehicle network, and the fraud detection.
  • the electronic control unit includes a transmission unit that transmits a fraud detection notification to a vehicle different from the vehicle on which the unit is mounted when a fraud frame is detected by the unit. Accordingly, when an illegal frame is detected, it can be transmitted to another vehicle, and therefore it can be handled in the other vehicle.
  • FIG. 1 is a diagram illustrating an overall configuration of a vehicle-to-vehicle communication system.
  • the inter-vehicle communication system includes a vehicle 10 (vehicle A), a vehicle 20 (vehicle B), and a certificate authority 50.
  • the inter-vehicle communication system uses a public key encryption infrastructure (PKI).
  • PKI public key encryption infrastructure
  • Each vehicle has a secret key and a public key certificate used for inter-vehicle communication.
  • the public key certificate includes an electronic signature given by a certification authority (CA) 50, which is a trusted third party, as proof of the owner of the public key paired with the private key.
  • CA certification authority
  • the CA certificate 1300 includes the public key of the certificate authority 50.
  • the vehicle 10 (vehicle A) holds a vehicle A private key 1301, a vehicle A public key certificate 1302, a CA certificate 1300, and a certificate revocation list (CRL) 1303.
  • the vehicle 20 (vehicle B) holds a vehicle B private key 2301, a vehicle B public key certificate B2302, a CA certificate 1300, and a CRL 1303.
  • Each of the vehicle A public key certificate 1302 and the vehicle B public key certificate B2302 is given an electronic signature with a private key (not shown) of the certificate authority 50 and is distributed from the certificate authority 50. Recording of a public key certificate, a private key, etc. to each vehicle (for example, writing to an ECU provided in the vehicle) is performed at any of the vehicle manufacturing stage, the shipping stage, the ECU mounting stage of the vehicle, and the like. May be.
  • the CRL 1303 is a list of identification information of public key certificates that are issued from the certificate authority 50 and should be invalidated.
  • the inter-vehicle communication message 300 transmitted from the vehicle A to the vehicle B by inter-vehicle communication is signed with the vehicle A private key 1301.
  • the vehicle 20 (vehicle B) is traveling behind the traveling vehicle 10 (vehicle A).
  • vehicle 10 will be described on the assumption that wireless communication is performed using a transmitting antenna (not shown) having directivity on the rear side.
  • Vehicle-to-vehicle communication may be performed so that a vehicle behind can be received at a distance.
  • the frequency band used for inter-vehicle communication varies depending on the country. For example, 700 MHz is used in Japan, and 5.9 GHz band is used in the United States and Europe.
  • the inter-vehicle communication shown in the present embodiment is technically not necessarily limited to wireless communication in these frequency bands and can be performed.
  • the vehicle 10 transmits an inter-vehicle message to the vehicle 20 (vehicle B)
  • the inter-vehicle communication message 300 and the vehicle A public key certificate 1302 are transmitted.
  • the vehicle 20 uses the public key of the CA certificate 1300 to verify the signature of the received vehicle A public key certificate 1302, and then uses the public key of the vehicle A included in the vehicle A public key certificate.
  • the signature verification of the inter-vehicle communication message 300 is performed.
  • the vehicle 10 (vehicle A) transmits an inter-vehicle communication message 300 as a fraud detection notification when it detects an illegal CAN message.
  • the fraud detection notification is a notification for performing notification that fraud detection has been performed between vehicles
  • the inter-vehicle communication message 300 as the fraud detection notification is a vehicle-to-vehicle communication message including information related to fraud detection.
  • FIG. 2 is a diagram illustrating configurations of the vehicle 10 (vehicle A) and the vehicle 20 (vehicle B).
  • the vehicle 10 includes a CAN bus 100, ECUs 101, 102, 103, fraud detection ECU 110, a level interpretation unit 120, an inter-vehicle communication message authentication unit 130, an inter-vehicle communication message transmission / reception unit 140, and a vehicle safety state instruction unit. 150, a vehicle exterior situation determination unit 160, an in-vehicle camera 170, a laser radar 180, and a position information acquisition unit 190.
  • the CAN bus 100 is a communication path in an in-vehicle network, and is a bus (signal line) used by a plurality of ECUs to exchange frames (CAN messages) in accordance with a CAN protocol. Although one bus is shown in FIG. 2 for convenience, a plurality of buses may be included. For example, an ECU having a gateway function can transfer a CAN message between the plurality of buses.
  • the ECUs 101 to 103 are connected to the CAN bus 100. Each of the ECUs 101 to 103 may be connected to various devices (not shown) such as sensors and actuators. For example, the ECU 101 to 103 acquires the state of the connected device and displays a data frame representing the state in the CAN bus. A device that receives a data frame attached with a specific CAN message ID according to a reception ID list (list of CAN message IDs to be received) that is transmitted at 100 or individually held, and connected according to the contents Can be controlled.
  • the ECU is a device including, for example, a processor (microprocessor), a digital circuit such as a memory, an analog circuit, a communication circuit, and the like.
  • the memory is a ROM, a RAM, or the like, and can store a control program (computer program) executed by the processor.
  • a control program computer program
  • the ECU realizes various functions.
  • the computer program is configured by combining a plurality of instruction codes indicating instructions for the processor in order to achieve a predetermined function.
  • FIG. 2 only three ECUs 101, 102, and 103 are illustrated for convenience, but the vehicle 10 includes a number of ECUs that communicate with each other via the CAN bus 100. These ECUs are classified into a plurality of function types (described later).
  • the fraud detection ECU 110 is a kind of ECU and monitors whether a frame (CAN message) flowing through the CAN bus 100 is fraudulent. When fraud is detected, fraud information indicating fraud detection content is sent to the level interpretation unit 120. Notice. For example, an unauthorized ECU may be connected to the CAN bus 100 to transmit an unauthorized CAN message, and the unauthorized detection ECU 110 appears on the bus based on a rule shown in a predetermined white list (described later). The fraud is detected by checking whether the CAN message is a fraudulent CAN message that does not conform to the rules.
  • the level interpretation unit 120 refers to fraud information indicating fraud detection contents, determines level information indicating a security level to be included in the vehicle-to-vehicle communication message when the vehicle-to-vehicle communication message is transmitted as a fraud detection notification, and The inter-vehicle communication message authentication unit 130 is notified.
  • the security level is determined separately for each function type of the CAN message detected as illegal (details will be described later with reference to FIG. 7). Further, the level interpretation unit 120 sets the safety state according to the security level indicated by the level information included in the inter-vehicle communication message received from the other vehicle (other vehicle) based on the predetermined correspondence information (safety state list).
  • the fraud handling process is control for shifting to a safe state performed by the vehicle safe state instructing unit 150.
  • the fraud handling process includes a fraud handling process for controlling the vehicle to stop running, a fraud handling process for controlling the vehicle to slow down, and a control for keeping the distance between the vehicle and the vehicle ahead in a certain range. For example, and an illegal response process for controlling notification to a vehicle driver.
  • the inter-vehicle communication message authentication unit 130 includes the level information acquired from the level interpretation unit 120 and the vehicle position information acquired from the position information acquisition unit 190 when the inter-vehicle communication message 300 is transmitted. 300 is formed, and a signature is generated by using the private key of the vehicle and is included in the inter-vehicle communication message 300. Further, the vehicle-to-vehicle communication message authentication unit 130 performs signature verification on the vehicle-to-vehicle communication message received from another vehicle, and notifies the level interpretation unit 120 of the level information included in the vehicle-to-vehicle communication message.
  • the inter-vehicle communication message transmission / reception unit 140 transmits an inter-vehicle communication message to another vehicle and receives an inter-vehicle communication message from the other vehicle.
  • the vehicle safety state instructing unit 150 receives an instruction (execution instruction for improper handling process) from the level interpreting unit 120 according to the security level indicated by the level information in the inter-vehicle communication message received from another vehicle, and performs the improper handling process.
  • each part (ECU, etc.) in the vehicle travels with an instruction for stopping the vehicle traveling, an instruction for slowing the vehicle, and a distance between the vehicle and the vehicle ahead in a certain range.
  • an instruction to notify the driver of the vehicle is made by using information notified from the outside situation determination unit 160, and is performed by, for example, transmitting a CAN message defined in advance for control on the CAN bus 100.
  • the vehicle exterior situation determination unit 160 analyzes information acquired from various sensors mounted on the vehicle such as the in-vehicle camera 170 and the laser radar 180, and appropriately shifts the vehicle to a safe state while judging the situation in the vicinity of the host vehicle. Information for enabling this is notified to the vehicle safety state instruction unit 150. For example, by detecting a white line with an in-vehicle camera and detecting surrounding objects with a laser radar, stop the vehicle running near the road shoulder, slow down, or drive at a certain distance from the vehicle ahead. Information for properly realizing such information.
  • the position information acquisition unit 190 is realized by, for example, a GPS (Global Positioning System) receiver, acquires position information such as the latitude, longitude, and altitude of the vehicle and notifies the inter-vehicle communication message authentication unit 130.
  • GPS Global Positioning System
  • the level interpretation unit 120, the inter-vehicle communication message authentication unit 130, the inter-vehicle communication message transmission / reception unit 140, the vehicle safety state instruction unit 150, and the out-of-vehicle situation determination are performed by one or a plurality of devices (ECU) configured by electronic circuits.
  • Unit 160 is realized.
  • the vehicle safety state instruction unit 150 and the vehicle exterior state determination unit 160 are connected to the CAN bus 100, but one or more devices that implement the vehicle safety state instruction unit 150 and the vehicle exterior state determination unit 160 are connected to the CAN bus 100. Instead of connecting directly to the bus 100, the device may give an instruction to the CAN bus 100 via the ECU connected to the CAN bus 100 and receive information from the CAN bus 100.
  • the vehicle 20 also has the same configuration as that of the vehicle 10, and includes a CAN bus 200, ECUs 201, 202, and 203, a fraud detection ECU 210, a level interpretation unit 220, an inter-vehicle communication message authentication unit 230, and an inter-vehicle communication message transmission / reception.
  • Unit 240 vehicle safety state instruction unit 250, vehicle exterior situation determination unit 260, in-vehicle camera 270, laser radar 280, and position information acquisition unit 290.
  • the same components are given the same names although the reference numerals are different.
  • FIG. 3 is a diagram showing a data frame format defined by the CAN protocol.
  • a data frame in a standard ID format defined by the CAN protocol is shown.
  • the data frame includes an SOF (Start Of Frame), ID field, RTR (Remote Transmission Request), IDE (Identifier Extension), reserved bit “r”, DLC (Data Length Code), data field, CRC (Cyclic Redundancy Check) sequence.
  • SOF is composed of 1-bit dominant. When the bus is idle, it is recessive, and the start of frame transmission is notified by changing to dominant by SOF.
  • the ID field is a field for storing an ID (CAN message ID) that is a value indicating the type of data, which is composed of 11 bits.
  • ID CAN message ID
  • a frame having a small ID is designed to have a high priority in order to perform communication arbitration in this ID field.
  • RTR is a value for identifying a data frame and a remote frame, and is composed of a dominant 1 bit in the data frame.
  • IDE and “r” are both composed of dominant 1 bit.
  • DLC is composed of 4 bits and is a value indicating the length of the data field.
  • IDE, r, and DLC are collectively referred to as a control field.
  • the data field is a value indicating the content of data to be transmitted composed of a maximum of 64 bits.
  • the length can be adjusted every 8 bits.
  • the specification of the data to be sent is not defined by the CAN protocol, but is determined by the in-vehicle network system of the vehicle. Therefore, the specification depends on the vehicle type, manufacturer (manufacturer), and the like.
  • CRC sequence consists of 15 bits. It is calculated from the transmission values of the SOF, ID field, control field and data field.
  • CRC delimiter is a delimiter representing the end of a CRC sequence composed of 1-bit recessive.
  • the CRC sequence and the CRC delimiter are collectively referred to as a CRC field.
  • ACK slot consists of 1 bit.
  • the transmitting node performs transmission with the ACK slot being recessive.
  • the receiving node transmits an ACK slot as a dominant if reception is successful up to the CRC sequence. Since dominant is given priority over recessive, if the ACK slot is dominant after transmission, the transmitting node can confirm that any receiving node has received successfully.
  • ACK delimiter is a delimiter representing the end of ACK composed of 1-bit recessive.
  • EOF is composed of 7 bits recessive and indicates the end of the data frame.
  • FIG. 4 is a configuration diagram of the fraud detection ECU 110.
  • the fraud detection ECU 110 includes a frame transmission / reception unit 116, a frame interpretation unit 115, a fraud frame detection unit 113, a white list holding unit 112, a frame generation unit 114, and a fraud information notification unit 111.
  • Each of these components is a functional component, and each function is realized by a communication circuit in the fraud detection ECU 110, a processor that executes a control program stored in a memory, a digital circuit, or the like.
  • the frame transmission / reception unit 116 transmits / receives a frame (CAN message) according to the CAN protocol to the CAN bus 100. That is, the frame transmission / reception unit 116 receives frames from the CAN bus 100 one bit at a time and transfers the frames to the frame interpretation unit 115. Further, the content of the frame notified from the frame generation unit 114 is transmitted to the CAN bus 100.
  • a frame CAN message
  • the frame interpretation unit 115 receives the frame value from the frame transmission / reception unit 116, and interprets it so as to map it to each field in the frame format defined by the CAN protocol. The value determined as the ID field is transferred to the illegal frame detection unit 113. If the frame interpretation unit 115 determines that the frame does not conform to the CAN protocol, the frame interpretation unit 115 notifies the frame generation unit 114 to transmit an error frame. If the frame interpreter 115 receives an error frame, that is, if it interprets that the value in the received frame is an error frame, the frame interpreter 115 discards the frame thereafter, that is, cancels the interpretation of the frame. To do.
  • the frame generation unit 114 configures an error frame according to the notification for instructing transmission of the error frame notified from the frame interpretation unit 115, and notifies the frame transmission / reception unit 116 to transmit the error frame. Further, the frame generation unit 114 configures an error frame in accordance with the notification instructing transmission of the error frame notified from the illegal frame detection unit 113, and notifies the frame transmission / reception unit 116 of the error frame for transmission.
  • the white list holding unit 112 holds a white list (see FIG. 5) that defines a CAN message ID included in a regular frame transmitted on the CAN bus 100.
  • the white list also includes conditions used for determining whether or not the CAN message is invalid for each CAN message ID.
  • the illegal frame detection unit 113 has a function of determining whether or not a frame acquired from the CAN bus 100 is illegal based on a rule specified by the white list held by the white list holding unit 112. Specifically, the illegal frame detection unit 113 receives the value of the ID field (CAN message ID) notified from the frame interpretation unit 115, and if the CAN message ID is not on the white list or the white list If the condition defined in correspondence with the CAN message ID is not satisfied, the frame generation unit 114 is notified to determine that the condition is invalid and to transmit an error frame. In this case, the bit value of the CAN message determined to be invalid on the CAN bus 100 is overwritten by an error frame in which a plurality of dominant dominant priors are recessive. The fraud frame detecting unit 113 notifies the fraud information notifying unit 111 of fraud detection content that is the content of a CAN message (unauthorized frame) determined to be fraudulent.
  • the fraud information notifying unit 111 notifies the level interpretation unit 120 of fraud information indicating fraud detection content.
  • FIG. 5 is a diagram illustrating an example of a white list held by the white list holding unit 112 in the fraud detection ECU 110.
  • the white list 1120 is data in which the data length 1122, the data range 1123, and the period 1124 are associated with each ID (CAN message ID) 1121.
  • the CAN message ID 1121 indicates a regular CAN message ID that is determined to be sent to the CAN bus 100 in the in-vehicle network as vehicle specifications.
  • the data length 1122 is DLC (see FIG. 3), and indicates a normal data length defined in the specification for the CAN message with the corresponding CAN message ID.
  • the data range 1123 indicates a data range expected as the contents of the regular data field defined in the specification for the CAN message with the corresponding CAN message ID.
  • the period 1124 indicates a regular period defined in the specification when the CAN message of the corresponding CAN message ID is a periodic message that is periodically transmitted.
  • the CAN message with the ID “0x300” relating to the travel distance is a regular CAN message when the data length is 8 bytes, the data range is from 0 to 9999999, and the condition of 20 ms is satisfied. It is shown that.
  • the CAN message with ID “0x400” relating to the door open / close state is a regular CAN message if the data length is 1 byte, the data range is 0 or 1, and the condition of 1000 ms period is satisfied. It is shown that.
  • the fraud detection ECU 110 determines that a CAN message that does not conform to the conditions corresponding to each CAN message ID in the white list 1120 is an invalid CAN message.
  • FIG. 6 is a sequence diagram illustrating an operation example in which the fraud detection ECU 110 detects a fraud frame (that is, a fraudulent CAN message). Each sequence shows each processing procedure (step) in each apparatus.
  • a CAN when a fraudulent ECU is connected to the CAN bus 100 and a CAN message ID is “0x100” and data is “255 (0xFF)” (CAN message) is transmitted.
  • the operation of fraud detection ECU 110 and ECUs 101 to 103 connected to bus 100 will be described.
  • the unauthorized ECU starts transmitting a data frame with a message ID “0x100” and data “255 (0xFF)” (step S101).
  • the value of each bit constituting the frame is sequentially transmitted onto the CAN bus 100 in the order of SOF and ID field (message ID) in accordance with the data frame format described above.
  • each of the unauthorized detection ECU 110 and the ECUs 101 to 103 receives the CAN message ID (step S102).
  • Each of the ECUs 101 to 103 checks whether or not it is a CAN message ID to be received, using the held reception ID list, and the fraud detection ECU 110 uses a white list (see FIG. 5) to check for an illegal CAN message.
  • the CAN message ID is checked to determine whether or not (step S103).
  • the ECU 101 and the ECU 102 end the reception because “0x0100” is not the CAN message ID to be received.
  • the ECU 103 continues the process because “0x0100” is the CAN message ID to be received.
  • fraud detection ECU 110 continues the reception because CAN message ID “0x100” is in the white list.
  • the fraud detection ECU 110 determines whether the CAN message that has appeared on the CAN bus 100 is transmitted at a regular cycle indicated by the white list (step S104). If it is not a regular cycle, the process proceeds to step S108 to transmit an error frame.
  • the fraud detection ECU 110 determines whether or not the CAN message that appears on the CAN bus 100 satisfies the condition of the regular data size (DLC) indicated by the white list (step S105). If the data size is not normal, the process proceeds to step S108 to transmit an error frame.
  • DLC regular data size
  • the fraud detection ECU 110 determines whether or not the CAN message that appears on the CAN bus 100 satisfies the condition of the regular data range indicated by the white list (step S106). If the condition of the normal data range is satisfied, the fraud detection ECU 110 ends the process. In the example of FIG. 6, since the received data is “255 (0xFF)” and is outside the data range of the white list, a frame is generated for broadcasting an error frame (that is, transmission on the CAN bus 100).
  • the ECU 103 continues to receive the data frame while the fraud detection ECU determines whether the CAN message is fraudulent using the white list (step S107).
  • the fraud detection ECU 110 broadcasts (transmits) an error frame when it is determined in step S103 to S106 that the CAN message is invalid (step S108). By receiving this error frame, the ECU 103 stops receiving the data frame (step S109).
  • the fraud detection ECU 110 notifies the level interpretation unit 120 of fraud information indicating the content of the CAN message determined to be fraud (step S110).
  • FIG. 7 shows an example of level information 1200 held by the level interpretation unit 120.
  • the level information 1200 is information in which the function type 1201, the ID (CAN message ID) 1202, and the level 1203 are associated with each other.
  • the function type 1201 indicates a function type determined by classifying the function of the ECU that transmits the CAN message.
  • classification of ECU functions include drive system functions, chassis system functions, body system functions, safety and comfort functions, ITS system functions, telematics system functions, infotainment system functions, and the like.
  • the drive system function is a function related to “running” (running) of a vehicle such as control of an engine, a motor, fuel, a battery, a transmission, and the like.
  • the chassis system function is a function related to control of the behavior of the vehicle such as “turn”, “stop”, etc., such as brake and steering.
  • the body system function is a function related to control of vehicle equipment such as a door lock, an air conditioner, a light, and a blinker.
  • the safety / comfort function is a function for automatically realizing safe and comfortable driving such as an automatic brake, a lane keeping function, an inter-vehicle distance keeping function, a collision prevention function, and an air bag.
  • the ITS function is a function corresponding to an intelligent transportation system such as ETC (Electronic Toll Collection System).
  • the telematics function is a function corresponding to a service using mobile communication.
  • the infotainment function is an entertainment function related to car navigation, audio, and the like.
  • CAN message ID 1202 indicates an ID (CAN message ID) of a CAN message that is determined to be transmitted by an ECU belonging to the corresponding function type 1201.
  • the level 1203 is a level that is predetermined in view of the safety of the vehicle when the ECU is improperly controlled according to the nature of the function of the ECU belonging to the function type indicated by the corresponding function type 1201. Indicates a level, for example, one of four levels from 1 to 4. Here, the higher the security level, the greater the impact on safety.
  • the drive system function and the chassis system function relate to basic functions such as “run”, “turn”, and “stop” of the vehicle.
  • the security level is set as high as 4 because it is likely to lead to accidents with other vehicles.
  • the security level is set to a low value of 1 because the direct impact on the vehicle accident is considered to be small.
  • the inter-vehicle communication message 300 is used as a fraud detection notification for communicating that fraud has been detected between vehicles.
  • FIG. 8 is a diagram illustrating an example of the configuration of the inter-vehicle communication message 300.
  • the format of the inter-vehicle communication message 300 includes a common application header part, a common application data part, a free application header part, and a free application data part.
  • the free application data portion when fraud is detected by the fraud detection ECU 110 in the vehicle, the free application data portion is used for the purpose of transmitting the fact that fraud detection has been performed, and when communicating for other purposes, In this example, the free application data portion can be set in a different format predetermined for each application.
  • the common application header part is composed of common application header information 301, and the common application header information 301 includes size information of the common application data part.
  • the common application data part includes time information 302, position information 303, vehicle state information 304, and vehicle attribute information 305.
  • Time information 302 indicates time information such as year, month, date, hour, minute, and second.
  • the position information 303 is information indicating the position of the vehicle such as latitude, longitude, and altitude acquired by a GPS receiver or the like.
  • Vehicle state information 304 is information such as vehicle speed, vehicle azimuth, longitudinal acceleration, shift position, and steering angle.
  • the vehicle attribute information 305 includes information such as a vehicle size such as a large vehicle, an ordinary vehicle, a motorcycle, a use type such as a private vehicle, an emergency vehicle, and road maintenance work, and a vehicle size such as a vehicle width, a vehicle length, and a vehicle height.
  • the free application header part includes free application header information 306, and the free application header information 306 includes information such as the size and offset of the free application data part.
  • the free application data portion indicates information related to fraud detection, and includes level information 307, unauthorized vehicle position information 308, and signature data 309.
  • the level information 307 indicates the level (security level) corresponding to the unauthorized CAN message (contents of fraud detection) detected by the fraud detection ECU 110 shown in FIG.
  • Unauthorized vehicle position information 308 is position information indicating the position at the time of fraud detection measured for a vehicle in which fraud is detected by the fraud detection ECU 110 (that is, a vehicle equipped with the fraud detection ECU that detects fraud).
  • the signature data 309 is an electronic signature for the inter-vehicle communication message 300.
  • FIG. 9 is a sequence diagram illustrating an operation example of each part of the vehicle 10 until the vehicle-to-vehicle communication message 300 is transmitted to the vehicle 20 (vehicle B) when fraud is detected by the vehicle 10 (vehicle A).
  • the fraud detection ECU 110 of the vehicle 10 detects the fraudulent CAN message
  • the fraud information including the fraud detection frame ID (CAN message ID) as the fraud detection content is notified to the level interpretation unit 120. (Step S201).
  • the level interpretation unit 120 of the vehicle 10 that has received the notification of the unauthorized information identifies the level (security level) corresponding to the CAN message ID indicated by the unauthorized information based on the held level information 1200, and sets the level.
  • Level information to be indicated is determined (step S202). That is, the level information indicates one level selected based on the CAN message ID of the illegal frame (invalid CAN message) among a plurality of levels predetermined by dividing the CAN message ID.
  • the level interpretation unit 120 notifies the determined level information to the inter-vehicle communication message authentication unit 130 of the vehicle 10 (step S203).
  • the inter-vehicle communication message authentication unit 130 of the vehicle 10 that has received the notification of the level information acquires the current position information of the vehicle 10 from the position information acquisition unit 190, the position information, and the received level information. Is set to form the inter-vehicle communication message 300.
  • the vehicle-to-vehicle communication message authenticating unit 130 of the vehicle 10 adds an electronic signature to the vehicle-to-vehicle communication message 300 using the vehicle A private key 1301 (step S205).
  • the vehicle-to-vehicle communication message authentication unit 130 notifies the vehicle-to-vehicle communication message 300 with the electronic signature added to the vehicle-to-vehicle communication message transmission / reception unit 140 of the vehicle 10 (step S206).
  • the inter-vehicle communication message transmission / reception unit 140 of the vehicle 10 that has received the notification of the inter-vehicle communication message 300 sends the inter-vehicle communication message 300 and the vehicle A public key certificate 1302 to the vehicle 20 (vehicle B) by inter-vehicle communication. Send.
  • transmission of the inter-vehicle communication message 300 from the vehicle 10 (vehicle A) to the vehicle 20 (vehicle B) does not particularly specify the destination vehicle 10. Accordingly, the inter-vehicle communication message 300 is broadcast to an unspecified vehicle by a communication method that can be propagated behind the vehicle A.
  • FIG. 10 is a diagram showing correspondence information (safety state list) referenced by the level interpretation unit 120.
  • Correspondence information (safety state list) is for the vehicle that has received the inter-vehicle communication message 300 to perform control to shift to the safe state according to the level (security level) indicated by the level information in the inter-vehicle communication message 300. This is information that associates to which safety state the improper handling process for transitioning should be executed among a plurality of predetermined improper handling processes when the fraud handling process is executed.
  • Correspondence information (safety state list) 2400 is configured by associating the level 2401 and the fraud countermeasure processing 2402 for each of a plurality of level 2401 values (security levels).
  • Level 2401 indicates the same security level as level 1203 in the level information shown in FIG.
  • the fraud handling process 2402 is information for specifying a fraud handling process for performing control for shifting to a safe state, which is determined corresponding to each security level.
  • a fraud handling process for performing control for shifting to a safe state which is determined corresponding to each security level.
  • the security level is “1”
  • an illegal handling process for controlling notification to the driver of the vehicle is associated
  • the security level is “2”
  • the vehicle If the security level is “3”, an illegal response process for controlling the vehicle to slow down is performed.
  • the security level is “4”, an unauthorized response process for control for stopping the vehicle is associated.
  • Control of notification to the driver of the vehicle is, for example, control for displaying a message that alerts the driver on a display screen used for car navigation or the like provided in the vehicle, or an instrument panel in the vehicle
  • the control is such that an LED (Light-Emitting Diode) such as (instrument panel) is turned on to notify the driver.
  • the association in the correspondence information 2400 is to suppress adverse effects on the traffic system so as not to cause a traffic jam when a fraud that is considered to have a small direct impact on a vehicle accident is detected, for example. It is useful to be taken into consideration.
  • FIG. 11 is a sequence diagram showing the operation of each part until the transition to the safe state in the vehicle 20 (vehicle B) that has received the inter-vehicle communication message from the vehicle 10 (vehicle A).
  • Vehicle-to-vehicle communication message transmission / reception unit 240 of vehicle 20 receives vehicle-to-vehicle communication message 300 and vehicle A public key certificate 1302 as fraud detection notification from vehicle 10 (vehicle A) (step S301).
  • the vehicle-to-vehicle communication message transmission / reception unit 240 of the vehicle 20 notifies the vehicle-to-vehicle communication message authentication unit 230 of the vehicle-to-vehicle communication message 300 and the vehicle A public key certificate 1302 (step S302).
  • the inter-vehicle communication message authentication unit 230 of the vehicle 20 uses the public key of the CA certificate 1300 to verify the signature of the received vehicle A public key certificate 1302, and then uses the vehicle A public key certificate 1302.
  • the signature verification of the received inter-vehicle communication message 300 is performed (step S303). If signature verification fails, the process ends. If the signature verification is successful, the level interpretation unit 220 is notified of the level information of the inter-vehicle communication message 300.
  • the level interpretation unit 220 of the vehicle 20 refers to the correspondence information (safety state list) shown in FIG. 10 and changes to which safe state according to the level (security level) indicated by the level information of the inter-vehicle communication message 300. Is determined (determined) whether or not to execute the fraud handling process (step S304), and an instruction to execute the fraud handling process (request to shift to the safe state) is notified to the vehicle safety state instruction unit 250 (step S305). ). In this step S305 to S311, a fraud handling process is performed.
  • the vehicle safety state instructing unit 250 of the vehicle 20 executes a fraud handling process for shifting to the safe state, and requests the vehicle outside state determining unit 260 to determine the vehicle outside state as necessary (step S306).
  • the vehicle exterior situation determination unit 260 acquires information from various sensors such as the in-vehicle camera 270 and the laser radar 280 (steps S307 and S308), analyzes the acquired information, and determines the situation in the vicinity of the vehicle 20 (step S309). ) As a result of the determination, information for enabling the vehicle to appropriately shift to the safe state is notified to the vehicle safe state instruction unit 250 (step S310).
  • the vehicle safety state instructing unit 250 of the vehicle 20 uses the information from the out-of-vehicle situation determining unit 260 as necessary, and continues to execute the fraud handling process, thereby controlling the vehicle 20 to transition to the safe state ( Step S311). Thereby, according to the security level which the vehicle-to-vehicle communication message 300 as the fraud detection notification transmitted by the vehicle 10 (vehicle A) shows, the vehicle 20 (vehicle B) can be shifted to an appropriate safe state.
  • the fraud countermeasure method used by the inter-vehicle communication system according to the first embodiment is illegal, for example, by performing communication between vehicles A (first vehicle) and B (second vehicle). It is a fraud countermeasure method to deal with the situation.
  • a device for example, ECU mounted on the vehicle A transmits a fraud detection notification
  • the vehicle B One or a plurality of ECUs mounted on the second vehicle receive the fraud detection notification, and execute fraud countermeasures executed from a plurality of predetermined fraud countermeasure processes according to the content of the received fraud detection notification.
  • a process is selected and the selected fraud handling process is executed. Since the situation in which the unauthorized frame is detected is likely to be illegally controlled, it is possible to suppress the influence of unauthorized control by notifying other vehicles. More specifically, the device mounted on the vehicle A is selected based on the frame ID of the fraud frame among a plurality of levels determined in advance by dividing the frame ID when the fraud frame is detected. The level information indicating one level is included in the fraud detection notification and transmitted. Then, one or a plurality of ECUs mounted on the vehicle B selects the fraud handling process according to the level indicated by the level information included in the received fraud detection notification, and executes the selected fraud handling process. Transition to a safe state.
  • the fraud countermeasure method used by such a vehicle-to-vehicle communication system even in a situation where the vehicle A is fraudulently controlled by a fraudulent CAN message in the in-vehicle network inside the preceding vehicle (vehicle A), The vehicle A notifies the rear vehicle of the fraud detection notification.
  • the rear vehicle (vehicle B) that has received the fraud detection notification can shift to a safe state corresponding to the level (security level) indicated by the fraud detection notification, and can take appropriate measures according to the situation. . Thereby, the occurrence of an accident in which the vehicle B is involved can be prevented.
  • the level indicated as the fraud detection notification can be set in advance in view of the degree of influence caused by the fraudulent CAN message detected in the in-vehicle network, for example, and the safety state shifts in accordance with the level. Can be preset in consideration of, for example, suppressing adverse effects on the traffic system, so that a vehicle that has received a fraud detection notification may be able to transition to an appropriate safe state depending on the situation. .
  • the fraud detection notification related to the fraud detected by the vehicle 10 is sent to one vehicle 20 (vehicle B behind the vehicle 10).
  • the inter-vehicle communication system according to the present embodiment can transfer a fraud detection notification as a fraud countermeasure method. That is, in the inter-vehicle communication system according to the present embodiment, a fraud detection notification related to fraud detected by the vehicle 10 (vehicle A) is transmitted, and the vehicle that has received the fraud detection notification receives the fraud detection notification under certain conditions.
  • the fraud detection notification is transmitted so that a plurality of vehicles following the vehicle 10 (vehicle A) can be received.
  • vehicle A vehicle A
  • the configuration of the vehicle-to-vehicle communication system according to the second embodiment (for example, the components of each vehicle) is the same as that shown in the first embodiment, and thus the description thereof is omitted. Here, it is different from the first embodiment. The part will be explained.
  • FIG. 12 is a diagram illustrating an example in which a plurality of vehicles continuously notify a subsequent vehicle of an inter-vehicle communication message as a fraud detection notification.
  • the vehicle that has received the inter-vehicle communication message as the fraud detection notification determines whether or not a predetermined condition (transfer condition) is satisfied, and transmits the fraud detection notification to the outside of the vehicle when it is determined that the predetermined condition (transfer condition) is satisfied ( Transfer).
  • the transfer condition is a condition related to whether or not the transfer is performed. In the example of FIG. 12, the distance from the vehicle that detects the injustice is less than 500 m.
  • the vehicle 10 detects fraud, and the vehicle A transmits an inter-vehicle communication message 300a as a fraud detection notification to another vehicle.
  • the vehicle 20 (vehicle B) following the vehicle A receives the vehicle-to-vehicle communication message 300a from the vehicle A, and information related to fraud detection included in the vehicle-to-vehicle communication message 300a (level indicating level 4 in the example of FIG. 12).
  • an inter-vehicle communication message 300b including information related to the fraud detection is transmitted.
  • the vehicle 30 (vehicle C) following the vehicle B receives the inter-vehicle communication message 300b from the vehicle B, and transfers information related to fraud detection included in the inter-vehicle communication message 300b to another vehicle.
  • a vehicle-to-vehicle communication message 300c including information on fraud detection is transmitted.
  • the vehicle 40 (vehicle D) following the vehicle C receives the inter-vehicle communication message 300c from the vehicle C. Since the vehicle D is 500 m away from the vehicle A and does not satisfy the transfer condition that the distance from the vehicle that detected fraud is less than 500 m, the vehicle D does not transfer.
  • Vehicle C and vehicle D also have basically the same configuration as vehicle B.
  • FIG. 13 is a diagram showing an example of the configuration of a vehicle-to-vehicle communication message according to the present embodiment.
  • the inter-vehicle communication message 300a in the present embodiment (the same applies to the inter-vehicle communication messages 300b and 300c) is the condition information indicating the transfer condition in the configuration of the inter-vehicle communication message 300 shown in the first embodiment (see FIG. 8). 310 is added. Thereby, the range in which retransmission (transfer) is performed can be limited.
  • the transfer condition indicated by the condition information 310 is a condition regarding the distance from the vehicle on which fraud detection has been performed. For example, the measured position of one vehicle and the position information (illegal vehicle position) included in the received fraud detection notification.
  • the condition is that the distance from the position indicated by the information 308) is within a certain range.
  • the condition information 310 indicates that the distance is less than 500 m from the vehicle on which fraud is detected. In this case, if the vehicle that has received the inter-vehicle communication message 300a or the like is less than 500 m from the vehicle that has been detected for fraud, the transfer is performed. Note that the position of the vehicle where the fraud detection has been performed is indicated by the unauthorized vehicle position information 308 in the inter-vehicle communication message 300a.
  • the position of the vehicle A in which the unauthorized detection indicated by the unauthorized vehicle position information 308 and the position information acquisition unit 290 (see FIG. 2) are detected. And determining whether to retransmit (transfer) the inter-vehicle communication message 300a based on the transfer condition indicated by the condition information 310.
  • the transfer of the inter-vehicle communication message 300a includes a transfer in which the content of the inter-vehicle communication message 300a is partially changed (that is, transmission of the inter-vehicle communication message 300b). Specific values of the signature data 309, the common application data part, etc.
  • each of the inter-vehicle communication messages 300a to 300b may be different for each vehicle.
  • the specific values of the level information 307, the unauthorized vehicle position information 308, and the condition information 310 in each of the inter-vehicle communication messages 300a to 300b are the same.
  • FIG. 14 and FIG. 15 are sequence diagrams showing the operation of each unit when the vehicle receives and transfers the inter-vehicle communication message.
  • vehicle 20 vehicle B
  • vehicle 10 vehicle A
  • steps S401 to S411 are the same as steps S301 to S311 (see FIG. 11) shown in the first embodiment, description thereof will be omitted.
  • the level interpretation unit 220 of the vehicle B refers to the transfer condition indicated by the condition information 310 of the inter-vehicle communication message 300a including the level information 307 referred to in step S404, and determines whether or not the transfer condition is satisfied. . That is, the level interpretation unit 220 acquires the position of the host vehicle from the position information acquisition unit 290, refers to the unauthorized vehicle position information 308 of the inter-vehicle communication message 300a, and moves away from the vehicle A where the fraud is detected. Calculate the distance.
  • the level interpretation unit 220 uses the same information as the level information 307, the illegal vehicle position information 308, and the condition information 310 included in the vehicle-to-vehicle communication message 300a as the vehicle-to-vehicle communication.
  • the message is passed to the inter-vehicle communication message authentication unit 230 so as to be set in the level information 307, the unauthorized vehicle position information 308, and the condition information 310 of the message 300b, and a signature is requested (step S413). If the transfer condition is not satisfied, the vehicle B ends the process without performing the transfer.
  • the vehicle-to-vehicle communication message authenticating unit 230 requested to sign in step S413 sets the information passed to the level interpreting unit 220 to form the vehicle-to-vehicle communication message 300b, and uses the private key 2301 of the vehicle B.
  • An electronic signature is generated and included in the inter-vehicle communication message 300b as signature data 309 (step S414).
  • the vehicle-to-vehicle communication message authentication unit 230 notifies the vehicle-to-vehicle communication message transmission / reception unit 240 of the vehicle B of the vehicle-to-vehicle communication message 300b to which the electronic signature is added, and requests transmission (step S415).
  • the vehicle-to-vehicle communication message transmission / reception unit 240 transmits the vehicle-to-vehicle communication message 300b and the vehicle B public key certificate 2302 to the rear vehicle 30 (vehicle C) by vehicle-to-vehicle communication.
  • the transmission of the vehicle-to-vehicle communication message 300b from the vehicle B to the vehicle C which is the transfer of the fraud detection notification, is also particularly transmitted.
  • the vehicle C is not specified as the destination.
  • the inter-vehicle communication message 300b is broadcast to unspecified vehicles by a communication method that can be propagated to the rear of the vehicle B.
  • the fraud detection notification is transferred when the transfer condition indicated by the received inter-vehicle communication message is satisfied. If the transfer condition is not satisfied, the transfer is not performed.
  • the content of level information that is a part of information related to fraud detection in the fraud detection notification (vehicle-to-vehicle communication message) is changed and transferred.
  • the description of the same points as those described in the first or second embodiment will be omitted, and different points will be described here.
  • FIG. 16 is a diagram illustrating an example of a configuration of a vehicle-to-vehicle communication message according to the second embodiment.
  • the inter-vehicle communication message 300A in the present embodiment is the rule for updating the reset level information 311 and the reset level information in the configuration of the inter-vehicle communication message 300a shown in the second embodiment (see FIG. 13).
  • a level change condition 312 indicating a predetermined level change rule is added. This makes it possible to change and transmit the security level when the vehicle-to-vehicle communication message is retransmitted (transferred).
  • the reset level information 311 when a vehicle that has received a vehicle-to-vehicle communication message retransmits (transfers) a vehicle-to-vehicle communication message to another vehicle, the vehicle in which fraud is detected according to the level change condition 312 A value (level) obtained by changing the security level indicated by the set level information 307 is set. Note that, in the vehicle A that has detected fraud, the same value as the level information 307 is set in the reset level information 311 of the inter-vehicle communication message 300A.
  • FIG. 17 is a diagram illustrating an example of the level change condition 312.
  • the level change condition 312 indicating the predetermined level change rule is specifically the content of change (level change content) corresponding to each condition for changing the level (distance from an unauthorized vehicle). Show.
  • the vehicle that has received the inter-vehicle communication message 300A calculates the distance between the unauthorized vehicle and the own vehicle from the position of the own vehicle and the position of the unauthorized vehicle (that is, the vehicle A in which the fraud is detected), and the calculated distance; By comparing the level change condition 312 with the condition for changing the level, the value to be set in the reset level information 311 can be specified according to the distance.
  • the reset level information 311 set for the unauthorized vehicle is maintained without being changed at the time of transfer.
  • “level 4” is set in the level information 307, and “level” of the same value is also set in the reset level information 311. 4 "is set.
  • the level change content when the distance to the unauthorized vehicle is 100 m or more and less than 300 m is one level lower than the level information 307 set for the unauthorized vehicle, the level change content 311. (1 decrease).
  • “level 4” is set in the level information 307 and 1 is set in the reset level information 311. Reduced "level 3" is set.
  • the level change content when the distance to the unauthorized vehicle is 300 m or more and less than 500 m is set to lower the reset level information 311 by two from the level information 307 set for the unauthorized vehicle. (2 decreases).
  • “level 4” is set in the level information 307 and 1 is set in the reset level information 311. Reduced "level 2" is set.
  • each vehicle that has received the inter-vehicle communication message has executed the fraud countermeasure process for shifting to the safe state according to the level (security level) indicated by the level information 307.
  • Each vehicle that has received the inter-vehicle communication message executes an illegal response process for shifting to a safe state according to the level (security level) set in the reset level information 311.
  • FIG. 18 is a diagram illustrating an example in which a plurality of vehicles continuously notify subsequent vehicles of inter-vehicle communication messages as fraud detection notifications.
  • the vehicle that has received the inter-vehicle communication message as the fraud detection notification changes the reset level information 311 according to the level change condition 312 in the fraud detection notification when the transfer condition is satisfied, and transfers the fraud detection notification.
  • the example of FIG. 18 is an example in which the fraud detection notification is retransmitted (transferred) using the level change condition 312 illustrated in FIG.
  • One or more other vehicles may be included between the vehicle 10 (vehicle A) and the vehicle 20 (vehicle B), and the inter-vehicle communication message may be transferred.
  • one or more other vehicles may be included between the vehicle B and the vehicle 30 (vehicle C), and the inter-vehicle communication message may be transferred.
  • vehicle A detects fraud on the in-vehicle network, and level information 307 and reset level information 311 are set to “level 3” according to the fraud content and an inter-vehicle communication message 300A is transmitted.
  • the inter-vehicle communication messages 300B to 300E are also configured in the same format (see FIG. 16) as the inter-vehicle communication message 300A.
  • the inter-vehicle communication message 300A is transferred by another vehicle and received by the vehicle B as the inter-vehicle communication message 300B.
  • the reset level information 311 is satisfied because the distance to the unauthorized vehicle is 100 m or more and less than 300 m based on the level change condition 312 of the inter-vehicle communication message 300B. Is subtracted by 1 from the level information 307 set for the unauthorized vehicle, and the inter-vehicle communication message 300C with the reset level information 311 as “level 2” is transmitted. For example, the inter-vehicle communication message 300C is transferred by another vehicle and is received by the vehicle C as the inter-vehicle communication message 300D.
  • the reset level information 311 is satisfied because the distance to the unauthorized vehicle is 300 m or more and less than 500 m based on the level change condition 312 of the inter-vehicle communication message 300D. Is subtracted by 2 from the level information 307 set for the unauthorized vehicle, and the inter-vehicle communication message 300E with the reset level information 311 as “level 1” is transmitted.
  • the condition “less than 500 m” indicated by the condition information 310 of the inter-vehicle communication message 300E is not satisfied, and the inter-vehicle communication message is retransmitted ( Transfer) is not performed.
  • steps S501 to S511 are the same as steps S301 to S311 (see FIG. 11) shown in the first embodiment, description thereof is omitted.
  • the level interpretation unit 220 of the vehicle B refers to the correspondence information (safety state list) shown in FIG. 10 and the level (security level) indicated by the reset level information 311 of the inter-vehicle communication message 300B.
  • it is specified to which safety state the unauthorized response process is to be executed, and an instruction to execute the unauthorized response process (request for transition to the safety state) is notified to the vehicle safety state instruction unit 250 ( Step S505).
  • step S512 the level interpretation unit 220 of the vehicle B refers to the transfer condition indicated by the condition information 310 of the inter-vehicle communication message 300B that referred to the reset level information 311 in step S504, and determines whether or not the transfer condition is satisfied. To do. If the transfer condition is satisfied, the level interpretation unit 220 is based on the level change condition 312 of the inter-vehicle communication message 300B, and the level change content corresponding to the condition to which the host vehicle corresponds among the conditions indicated by the level change condition 312. , It is determined whether or not the level needs to be changed (step S513). Only when it is determined that the level needs to be changed, the reset level information 311 is lowered according to the level change content (step S514).
  • the level interpretation unit 220 uses the level information 307, the unauthorized vehicle position information 308, the condition information 310, and the level change condition 312 included in the vehicle-to-vehicle communication message 300B as the level information of the vehicle-to-vehicle communication message 300C.
  • it is passed to the inter-vehicle communication message authentication unit 230 and a signature is requested (step S515). If the transfer condition is not satisfied, the vehicle B ends the process without performing the transfer.
  • the vehicle-to-vehicle communication message authenticating unit 230 requested to sign in step S515 sets the information passed to the level interpreting unit 220 to form the vehicle-to-vehicle communication message 300C, and uses the private key 2301 of the vehicle B.
  • An electronic signature is generated and included in the inter-vehicle communication message 300C as signature data 309 (step S516).
  • the vehicle-to-vehicle communication message authenticating unit 230 notifies the vehicle-to-vehicle communication message transmission / reception unit 240 of the vehicle B of the vehicle-to-vehicle communication message 300C with the electronic signature added thereto, and requests transmission (step S517).
  • the vehicle-to-vehicle communication message transmission / reception unit 240 transmits the vehicle-to-vehicle communication message 300C and the vehicle B public key certificate 2302 to propagate to other vehicles by vehicle-to-vehicle communication (step S518).
  • the level related to the fraud detection notification increases as the distance from the fraudulent vehicle increases. It is lowered. This makes it possible to suppress adverse effects on the traffic system (for example, the occurrence of traffic congestion) due to the transition to the safe state by the fraud handling process in the vehicle that has received the fraud detection notification.
  • FIG. 21 is a diagram illustrating an overall configuration of a road-vehicle communication system.
  • the vehicle 10 vehicle A detects a fraud in the in-vehicle network of the host vehicle, transmits a fraud detection notification indicating information related to the fraud detection, and shows a configuration for road-to-vehicle communication received by the roadside device 70. . Since the configuration of the vehicle A is the same as that of the vehicle A in any of the first to third embodiments described above, the description thereof is omitted.
  • the road-to-vehicle communication system of the present embodiment is different from the vehicle-to-vehicle communication system shown in the first embodiment in that an object that receives the vehicle-to-vehicle communication message 300 transmitted from the vehicle A is installed on the road instead of the moving vehicle. The difference is that the roadside machine 70 is changed.
  • the roadside machine 70 includes a position information acquisition unit 790, a road-to-vehicle communication message transmission / reception unit 740, a road-to-vehicle communication message authentication unit 730, a level interpretation unit 720, a vehicle safety state instruction unit 750, and an external server communication unit 770. Consists of including.
  • the level interpretation unit 720 has the same function as the level interpretation unit 220 of the vehicle 20 (vehicle B) shown in any of the first to third embodiments. However, the level interpretation unit 720 shifts another vehicle to a safe state corresponding to the security level indicated by the level information included in the inter-vehicle communication message received from the vehicle A based on predetermined correspondence information (safety state list).
  • the vehicle safety state instruction unit 750 is notified of an instruction (instruction for executing the fraud handling process) to cause the vehicle safety state.
  • the fraud handling process in the present embodiment is a control performed by the vehicle safety state instructing unit 750 to shift a vehicle traveling around the roadside machine 70 to a safe state.
  • a fraud handling process for controlling to stop the traveling of the vehicle running around the roadside unit 70, a fraud handling process for controlling to slow down the vehicle, the vehicle and the vehicle ahead And a fraud countermeasure process for controlling the vehicle to travel within a certain range and a fraud countermeasure process for controlling notification to the driver of the vehicle.
  • the road-to-vehicle communication message authentication unit 730 holds a secret key and a public key certificate necessary for signature generation and signature verification, and performs signature generation or signature verification on the vehicle-to-vehicle communication message.
  • the road-to-vehicle communication message authentication unit 730 includes the position information of the roadside machine 70 acquired from the position information acquisition unit 790 in the information acquired from the level interpretation unit 720 when transmitting (transferring) the vehicle-to-vehicle communication message.
  • a vehicle-to-vehicle communication message is formed, a signature is generated using the vehicle's private key, and is included in the vehicle-to-vehicle communication message.
  • the position information acquisition unit 790 may record position information indicating the position where the roadside device 70 is installed, and notify the road-to-vehicle communication message authentication unit 730 of the position information. Further, the road-to-vehicle communication message authentication unit 730 performs signature verification on the vehicle-to-vehicle communication message received from the vehicle, and notifies the level interpretation unit 720 of the level information included in the vehicle-to-vehicle communication message.
  • the vehicle safety state instruction unit 750 executes a fraud countermeasure process and instructs a vehicle located in the vicinity of the roadside machine 70 to shift to the safe state via the road-to-vehicle communication message transmission / reception unit 740. Send an inter-vehicle communication message.
  • the format of the road-to-vehicle communication message at this time is the same as that of the vehicle-to-vehicle communication message described in the first to third embodiments.
  • the roadside device 70 may be provided with an electric bulletin board, and the vehicle safety state instruction unit 750 may display instruction information and the like for guiding surrounding vehicles to a safe state on the electric bulletin board.
  • External server communication unit 770 transmits the inter-vehicle communication message received from vehicle A to an external server (not shown).
  • the external server accumulates the inter-vehicle communication message received from the roadside device 70, determines the instruction content by analyzing the accumulated data, and moves the vehicle to a safe state with respect to the roadside device 70. You may instruct.
  • the roadside machine 70 that has received the instruction from the external server may instruct the vehicle located around the roadside machine 70 to shift to a safe state using road-to-vehicle communication.
  • the content of the predetermined condition (transfer condition) used when determining whether or not to transfer the fraud detection notification is implemented. This is different from that shown in Form 2.
  • the transfer condition in the present embodiment is a condition that the number of times the transfer was made before receiving the fraud detection notification from the vehicle (device in the vehicle) that detected the fraud frame and transmitted the fraud detection notification is less than the predetermined number of times. It is.
  • the number of times information is included in the inter-vehicle communication message as the fraud detection notification, and the vehicle (device of the vehicle) that has received the fraud detection notification has a transfer condition based on the number of times information included in the received fraud detection notification. A determination is made as to whether it is satisfied. When it is determined that the transfer condition is satisfied in the vehicle that has received the fraud detection notification, the number of times included in the fraud detection notification is updated and the information is updated upon transmission (transfer) of the received fraud detection notification. Perform the transfer.
  • FIG. 22 is a diagram illustrating an example in which a plurality of vehicles continuously notify subsequent vehicles of inter-vehicle communication messages as fraud detection notifications.
  • the vehicle that has received the inter-vehicle communication message as the fraud detection notification transfers the fraud detection notification when the transfer condition is satisfied.
  • the transfer condition is a condition that the number of times the transfer has been made before receiving the fraud detection notification from the fraudulent vehicle is less than a predetermined number (here, twice).
  • the vehicle 10 detects fraud, and the vehicle A transmits an inter-vehicle communication message 390a as a fraud detection notification to another vehicle.
  • the inter-vehicle communication message 390a includes number information indicating zero as the number of transfers, and includes condition information indicating less than two as the transfer conditions.
  • the vehicle 20 (vehicle B) following the vehicle A receives the inter-vehicle communication message 390a from the vehicle A, and the number of times (0 times) indicated by the frequency information satisfies less than 2 as the transfer condition.
  • an inter-vehicle communication message 390b including information related to the fraud detection is transmitted.
  • the vehicle B includes in the inter-vehicle communication message 390b frequency information indicating 1 as the number of transfers.
  • the vehicle 30 (vehicle C) following the vehicle B receives the inter-vehicle communication message 390b from the vehicle B, and the number of times (one time) indicated by the number of times information satisfies less than two transfer conditions.
  • an inter-vehicle communication message 390c including information related to the fraud detection is transmitted.
  • the vehicle C includes the number-of-times information indicating twice as the number of transfers in the inter-vehicle communication message 390c.
  • the vehicle 40 (vehicle D) following the vehicle C receives the inter-vehicle communication message 390c from the vehicle C.
  • the transfer since the number of times (two times) indicated by the number-of-times information of the received inter-vehicle communication message 390c does not satisfy the transfer condition of less than two times, the transfer is not performed.
  • FIG. 23 is a diagram showing an example of a configuration of a vehicle-to-vehicle communication message according to the present embodiment.
  • the inter-vehicle communication message 390a in the present embodiment (the same applies to the inter-vehicle communication messages 390b and 390c) is used to store the number of transfers in the configuration of the inter-vehicle communication message 300 shown in the first embodiment (see FIG. 8). Number information 391 and condition information 392 indicating transfer conditions are added. Thereby, the range in which retransmission (transfer) is performed can be limited.
  • the transfer condition indicated by the condition information 392 is that the number of times the transfer was made before receiving the fraud detection notification from the vehicle (device of the vehicle) that detected the fraud frame and transmitted the fraud detection notification is less than the predetermined number of times. It is a condition.
  • the condition information 392 indicates less than twice as a specific example.
  • the number information 391 indicates the number of transfers. In the vehicle to which the inter-vehicle communication message is transferred, it is updated so as to increase by 1 at the time of transfer.
  • Embodiments 1 to 5 have been described as examples of the technology according to the present disclosure.
  • the technology according to the present disclosure is not limited to this, and can also be applied to embodiments in which changes, replacements, additions, omissions, and the like are appropriately performed.
  • the following modifications are also included in one embodiment of the present disclosure.
  • an example of transmitting an inter-vehicle communication message as a fraud detection notification from a front vehicle to a rear vehicle has been shown, but the transmission destination is not limited to the rear vehicle, It is only necessary that the fraud detection notification is transmitted to other vehicles located in the vicinity of the host vehicle (for example, forward, side, etc.).
  • a vehicle that detects fraud may transmit fraud detection notifications uniformly in all directions without using a transmitting antenna having directivity behind the host vehicle in inter-vehicle communication.
  • the traveling vehicle that has received the inter-vehicle communication message as the fraud detection notification measures the position and traveling direction (vehicle azimuth angle) of the host vehicle, and the fraud in the inter-vehicle communication message as the fraud detection notification.
  • vehicle position information By referring to the vehicle position information, it is possible to execute fraud response processing, transfer fraud detection notifications, and the like only when an unauthorized vehicle is positioned approximately in the traveling direction of the host vehicle.
  • Each vehicle transmits a vehicle-to-vehicle communication message as a fraud detection notification once received by the host vehicle, and then a fraud detection notification transferred by another vehicle based on the fraud detection notification (that is, information on the same fraud detection). May not be forwarded when it is received again.
  • the level change condition indicating the predetermined level change rule is included in the inter-vehicle communication message.
  • the level change condition is not included in the inter-vehicle communication message. And may be referred to as necessary.
  • the condition information indicating the transfer condition may not be included in the inter-vehicle communication message but may be held by a device inside the vehicle (for example, a level interpretation unit) and referred to as necessary.
  • level information value In the above embodiment, four levels (security levels) are shown as the level information value, but the number of level divisions may be more or less than four.
  • the level of the level information is set for each function type determined by the frame ID of the illegal frame as shown in FIG. 7, but the function type is the same depending on the contents of the illegal frame.
  • different levels may be set.
  • the level may be set for each frame ID or for each ECU for which the frame ID of an illegal frame is to be transmitted.
  • the level information 307 may be used instead of the reset level information 311 shown in the third embodiment, and the reception of the fraud detection notification (vehicle-to-vehicle communication message) received in each vehicle is received.
  • the level information 307 included in the fraud detection notification is changed based on a level change condition indicating a predetermined level change rule (for example, a condition such as 1 subtracted if the received level information 307 is 2 or more).
  • a fraud detection notification including the level information 307 may be transmitted (transferred).
  • the in-vehicle network is an in-vehicle device such as an ECU in the vehicle.
  • Any communication network that does not use a CAN bus may be used as long as the communication network communicates with each other.
  • the condition regarding the distance between the vehicles or the number of times of transfer is shown as the predetermined condition (transfer condition) related to whether or not the fraud detection notification is transferred in the vehicle.
  • the transfer condition may be a condition regarding an elapsed time from the time when the fraud detection is performed.
  • the transfer condition may be a condition that the elapsed time from the time indicated by the time information included in the received fraud detection notification is shorter than a predetermined time (a certain upper limit threshold value).
  • the fraud detection notification shown in the above embodiment is not limited to being transmitted in a vehicle-to-vehicle communication message in the format shown in FIG. If the content (for example, an invalid message ID or a security level) that enables selection is included, it may be transmitted in any inter-vehicle communication format.
  • each component included in the vehicle described in the above embodiment is merely an example, and the sharing can be changed.
  • one or more ECUs (electronic control units) included in a vehicle that receives a fraud detection notification are fraudulent frames in an in-vehicle network mounted on a vehicle different from the vehicle on which the unit is mounted. Is detected in advance according to the function as a reception unit that receives a fraud detection notification transmitted from a device mounted on another vehicle when the flaw is detected and the content of the fraud detection notification received by the reception unit.
  • it may have a function as a fraud handling unit that selects a fraud handling process to be executed from a plurality of fraud handling processes and executes the selected fraud handling process.
  • one or a plurality of devices connected to the in-vehicle network included in the vehicle that transmits the fraud detection notification include an injustice detection unit (incorrect frame detection unit) that detects an inaccurate frame transmitted in the in-vehicle network.
  • a function as a transmission unit that transmits a fraud detection notification to a vehicle different from the vehicle on which the own unit is mounted when a fraud frame is detected by the fraud detection unit.
  • Each device for example, ECU, fraud detection ECU, etc.
  • a device including a digital circuit such as a processor, a memory, an analog circuit, a communication circuit, etc.
  • Other hardware components such as a display, a keyboard, and a mouse may be included.
  • the control program stored in the memory being executed by the processor and realizing the function in software, the function may be realized by dedicated hardware (digital circuit or the like).
  • a part or all of the components constituting each device in the above embodiment may be configured by one system LSI (Large Scale Integration).
  • the system LSI is an ultra-multifunctional LSI manufactured by integrating a plurality of components on a single chip.
  • the system LSI is a computer system including a microprocessor, a ROM, a RAM, and the like. .
  • a computer program is recorded in the RAM.
  • the system LSI achieves its functions by the microprocessor operating according to the computer program.
  • each part of the constituent elements constituting each of the above devices may be individually made into one chip, or may be made into one chip so as to include a part or the whole.
  • the system LSI is used here, it may be called IC, LSI, super LSI, or ultra LSI depending on the degree of integration.
  • the method of circuit integration is not limited to LSI's, and implementation using dedicated circuitry or general purpose processors is also possible.
  • An FPGA Field Programmable Gate Array
  • a reconfigurable processor that can reconfigure the connection and setting of circuit cells inside the LSI may be used.
  • integrated circuit technology comes out to replace LSI's as a result of the advancement of semiconductor technology or a derivative other technology, it is naturally also possible to carry out function block integration using this technology. Biotechnology can be applied as a possibility.
  • a part or all of the constituent elements constituting each of the above devices may be constituted by an IC card or a single module that can be attached to and detached from each device.
  • the IC card or the module is a computer system including a microprocessor, a ROM, a RAM, and the like.
  • the IC card or the module may include the super multifunctional LSI described above.
  • the IC card or the module achieves its function by the microprocessor operating according to the computer program. This IC card or this module may have tamper resistance.
  • the present invention may be a computer program that realizes these methods by a computer, or may be a digital signal composed of the computer program.
  • a computer-readable recording medium such as a flexible disk, a hard disk, a CD-ROM, an MO, a DVD, a DVD-ROM, a DVD-RAM, or a BD can be used as the computer program or the digital signal. (Blu-ray (registered trademark) Disc), recorded on a semiconductor memory or the like. Further, the digital signal may be recorded on these recording media.
  • the computer program or the digital signal may be transmitted via an electric communication line, a wireless or wired communication line, a network typified by the Internet, data broadcasting, or the like.
  • an aspect of the present disclosure may be a computer system including a microprocessor and a memory, the memory recording the computer program, and the microprocessor operating according to the computer program.
  • the program or the digital signal is recorded on the recording medium and transferred, or the program or the digital signal is transferred via the network or the like and executed by another independent computer system. You may do that.
  • One aspect of the present disclosure can be used to control other vehicles in order to suppress the influence when one vehicle is likely to be illegally controlled.
  • Certificate Authority 70 Roadside machine 100 CAN bus 101 to 103, 201 to 203 Electronic control unit (ECU) 110, 210 Fraud detection electronic control unit (fraud detection ECU) 111 Fraud Information Notification Unit 112 White List Holding Unit 113 Fraud Frame Detection Unit 114 Frame Generation Unit 115 Frame Interpretation Unit 116 Frame Transmission / Reception Unit 120, 220, 720 Level Interpretation Unit 130, 230 Inter-Vehicle Communication Message Authentication Unit 140, 240 Inter-Vehicle Communication Message transmission / reception unit 150, 250, 750 Vehicle safety state instruction unit 160, 260 Outside vehicle status determination unit 170, 270 Car-mounted camera 180, 280 Laser radar 190, 290, 790 Position information acquisition unit 1300 CA certificate 1301 Vehicle A private key 1302 Vehicle A Public Key Certificate 1303 Certificate Revocation List (CRL) 2301 Vehicle B private key 2302 Vehicle B public key certificate 300, 300a to 300c, 300A to 300E, 390a to 390c Inter

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mechanical Engineering (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Atmospheric Sciences (AREA)
  • Small-Scale Networks (AREA)

Abstract

 車両が不正に制御される可能性が高い場合にその影響を抑制するために適切に対処する不正対処方法を提供する。一の車両に搭載された1つ又は複数の電子制御ユニットにおいて用いられる不正対処方法では、他の車両に搭載された車載ネットワークで不正フレームが検知された際に当該他の車両に搭載された装置から送信される不正検知通知としての車車間通信メッセージを受信し、受信した内容に応じて(例えばレベル判定のステップS304)、例えば安全状態へ移行するために予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理(例えばステップS305~S311)を実行する。

Description

不正対処方法及び電子制御ユニット
 本開示は、電子制御ユニットが通信を行う車載ネットワークにおいて送信された不正なフレームを検知した場合に対処する技術に関する。
 近年、自動車の中のシステムには、電子制御ユニット(ECU:Electronic Control Unit)と呼ばれる装置が多数配置されている。これらのECUをつなぐネットワークは車載ネットワークと呼ばれる。車載ネットワークには、多数の規格が存在する。その中でも最も主流な車載ネットワークの一つに、ISO11898-1で規定されているCAN(Controller Area Network)という規格が存在する。
 CANでは、通信路は2本のバスで構成され、バスに接続されているECUはノードと呼ばれる。バスに接続されている各ノードは、フレームと呼ばれるメッセージを送受信する。フレームを送信する送信ノードは、2本のバスに電圧をかけ、バス間で電位差を発生させることによって、レセシブと呼ばれる「1」の値と、ドミナントと呼ばれる「0」の値を送信する。複数の送信ノードが全く同一のタイミングで、レセシブとドミナントを送信した場合は、ドミナントが優先されて送信される。受信ノードは、受け取ったフレームのフォーマットに異常がある場合には、エラーフレームと呼ばれるフレームを送信する。エラーフレームとは、ドミナントを6bit連続して送信することで、送信ノードや他の受信ノードにフレームの異常を通知するものである。
 またCANでは送信先や送信元を指す識別子は存在せず、送信ノードはフレーム毎にメッセージIDと呼ばれるIDを付けて送信し(つまりバスに信号を送出し)、各受信ノードは予め定められたメッセージIDのみを受信する(つまりバスから信号を読み取る)。また、CSMA/CA(Carrier Sense Multiple Access/Collision Avoidance)方式を採用しており、複数ノードの同時送信時にはメッセージIDによる調停が行われ、メッセージIDの値が小さいフレームが優先的に送信される。
 ところで、不正なECUが、不正なメッセージをバス上に送信し、車載ネットワークを搭載する車両を不正に制御するリスクがあり、1台の車両が不正に制御されると、周囲の車両を巻き込んで衝突等の事故が発生し得る。
 また、近年、コネクテッドカーと呼ばれるように、自動車がネットワークを介して様々な機器等と情報の交換を行うようになっている。例えば、車両同士で情報を交換する車車間通信を利用すると、未然に事故を防ぎ、より安全な交通システムを実現することが可能となる。車車間通信システムを利用した技術として、自車の近傍に位置する移動物体が危険要素であるか否かを識別し、他車に通知するシステムが知られている(特許文献1参照)。
特開2007-310457号公報
 特許文献1の技術では、車両の近傍の移動物体が危険要素であるか否かの識別をするものの、車両内部における異常について後方車両に通知しない。しかし、車両内部において車両が不正に制御されたような場合には、衝突等の事故が生じ得る。
 そこで、本開示は、車両が不正に制御される可能性が高い場合にその影響を抑制するために適切に対処する不正対処方法を提供する。また、本開示は、車両が不正に制御される可能性が高い場合にその影響を抑制するために適切に対処する電子制御ユニット(ECU)を提供する。
 上記課題を解決するために本開示の一態様に係る不正対処方法は、一の車両に搭載された1つ又は複数の電子制御ユニットにおいて用いられる不正対処方法であって、他の車両に搭載された車載ネットワークで不正フレームが検知された際に当該他の車両に搭載された装置から送信される不正検知通知を受信し、受信した前記不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行する不正対処方法である。
 また、上記課題を解決するために本開示の一態様に係る不正対処方法は、第1及び第2の車両間で通信を行うことで不正な事態に対処する不正対処方法であって、前記第1の車両に搭載された車載ネットワークで不正フレームが検知された際に当該第1の車両に搭載された装置が不正検知通知を送信し、前記第2の車両に搭載された1つ又は複数の電子制御ユニットが、前記不正検知通知を受信し、受信した当該不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行する不正対処方法である。
 また、上記課題を解決するために本開示の一態様に係る不正対処方法は、一の車両に搭載された車載ネットワークに接続された電子制御ユニットにおいて用いられる不正対処方法であって、前記一の車両に搭載された車載ネットワークで不正フレームを検知した場合に他の車両へと不正検知通知を送信する不正対処方法である。
 また、上記課題を解決するために本開示の一態様に係る電子制御ユニットは、自ユニットが搭載された車両とは別の車両に搭載された車載ネットワークで不正フレームが検知された際に当該別の車両に搭載された装置から送信される不正検知通知を受信する受信部と、前記受信部により受信された前記不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行する不正対処部とを備える電子制御ユニットである。
 また、上記課題を解決するために本開示の一態様に係る電子制御ユニットは、車載ネットワークに接続された電子制御ユニットであって、前記車載ネットワークにおいて送信された不正フレームを検知する不正検知部と、前記不正検知部により不正フレームが検知された場合に自ユニットを搭載する車両とは別の車両へと不正検知通知を送信する送信部とを備える電子制御ユニットである。
 本開示によれば、一の車両の車載ネットワークにおいて不正なフレームが検知された場合に、他の車両へとその旨を通知するため、一の車両が不正に制御された場合であっても、一の車両の周辺の他の車両への影響を抑えることが可能となる。
実施の形態1に係る車車間通信システムの全体構成を示す図である。 実施の形態1に係る車両の構成を示す図である。 CANプロトコルで規定されるデータフレームのフォーマットを示す図である。 実施の形態1に係る不正検知ECUの構成図である。 実施の形態1に係る不正検知ECUが保持するホワイトリストの一例を示す図である。 実施の形態1に係る不正なフレームの検知に係る動作例を示すシーケンス図である。 実施の形態1に係るレベル情報を示す図である。 実施の形態1に係る車車間通信メッセージの構成の一例を示す図である。 実施の形態1に係る不正検知時の車両の各部の動作を示すシーケンス図である。 実施の形態1に係る対応情報の一例を示す図である。 実施の形態1に係る車車間通信メッセージを受信した車両の各部の動作を示すシーケンス図である。 実施の形態2に係る複数の車両が連続的に後続車に車車間通信メッセージを通知する例を示す図である。 実施の形態2に係る車車間通信メッセージの構成の一例を示す図である。 実施の形態2に係る車両が車車間通信メッセージを受信して転送する場合の各部の動作を示すシーケンス図である(図15に続く)。 実施の形態2に係る車両が車車間通信メッセージを受信して転送する場合の各部の動作を示すシーケンス図である(図14から続く)。 実施の形態3に係る車車間通信メッセージの構成の一例を示す図である。 実施の形態3に係るレベル変更条件の一例を示す図である。 実施の形態3に係る複数の車両が連続的に後続車に車車間通信メッセージを通知する例を示す図である。 実施の形態3に係る車両が車車間通信メッセージを受信して転送する場合の各部の動作を示すシーケンス図である(図20に続く)。 実施の形態3に係る車両が車車間通信メッセージを受信して転送する場合の各部の動作を示すシーケンス図である(図19から続く)。 実施の形態4に係る路車間通信システムの全体構成を示す図である。 実施の形態5に係る複数の車両が連続的に後続車に車車間通信メッセージを通知する例を示す図である。 実施の形態5に係る車車間通信メッセージの構成の一例を示す図である。
 本開示の一態様に係る不正対処方法は、一の車両に搭載された1つ又は複数の電子制御ユニットにおいて用いられる不正対処方法であって、他の車両に搭載された車載ネットワークで不正フレームが検知された際に当該他の車両に搭載された装置から送信される不正検知通知を受信し、受信した前記不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行する不正対処方法である。これにより、一の車両では、他の車両の車載ネットワークにおいて不正なフレームが検知された場合に、その旨の通知を受信でき、不正対応処理により例えば他の車両が不正に制御された場合の影響を低減し得る。
 また、前記不正検知通知は、複数レベルのうち1つのレベルを示すレベル情報を含み、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに応じて、不正対応処理の前記選択を行うこととしても良い。これにより、不正対応処理に対応して他の車両においてレベル情報を設定することで、他の車両で不正に制御される可能性が生じた場合に適切な対処を一の車両に行わせることが可能になる。
 また、不正対応処理の前記選択は、前記複数レベルそれぞれについて不正対応処理を対応付けた対応情報を参照することにより行われ、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに前記対応情報で対応する不正対応処理の選択であることとしても良い。これにより、対応情報としてレベルと不正対応処理の内容とを適切に設定しておけば、他の車両で不正に制御される可能性が生じた場合に適切な対処を一の車両に行わせることが可能になる。
 また、前記対応情報が前記複数レベルのうちいずれか1つ以上と対応付けている各不正対応処理は、前記一の車両の走行を停止させる制御、当該車両を徐行させる制御、当該車両と前方の車両との車間距離を一定範囲に保って走行させる制御、及び、当該車両の運転者への報知を行う制御のうちの少なくとも1つを含むこととしても良い。これにより、他の車両で不正に制御される可能性が生じた場合に一の車両を安全状態に移行させることが可能になり、例えば複数車両を巻き込んだ事故の発生を抑制し得る。
 また、更に、受信した前記不正検知通知の内容に基づいて所定条件が満たされているか否かを判定し、当該所定条件が満たされている場合には前記一の車両の外部に当該不正検知通知を送信し、当該所定条件が満たされていない場合には当該不正検知通知を送信しないこととしても良い。これにより、一定条件下で不正検知通知の転送が可能となり、例えば個々の車両における車車間通信で比較的小さい送信出力を用いても、ある程度広い範囲(その範囲を走行中の車両)に不正検知通知を伝達することが可能となり得る。不正検知通知を伝達された車両は例えば安全状態に移行する等の対処を行うことができる。また、条件付きで転送がなされるため、不必要に広範囲にまで転送が行われないように条件を定めておくような利用が可能となる。
 また、前記不正検知通知は、転送の条件を示す条件情報を含み、受信した前記不正検知通知に含まれる前記条件情報が示す転送の条件が満たされている場合には前記所定条件が満たされているとして前記判定を行い、当該条件情報が示す転送の条件が満たされていない場合には前記所定条件が満たされていないとして前記判定を行うこととしても良い。これにより、例えば不正検知通知を送信する車両が、その不正検知通知についての転送条件を定めることが可能となる。
 また、前記不正検知通知は、前記不正フレームを検知して当該不正検知通知を送信した前記装置を搭載する前記他の車両についての測定された位置を示す位置情報を含み、前記所定条件は、前記一の車両についての測定した位置と、受信した前記不正検知通知に含まれる前記位置情報が示す位置との距離が一定範囲内であるという条件であることとしても良い。また、前記不正検知通知は回数を示す回数情報を含み、前記所定条件は、前記不正フレームを検知して前記不正検知通知を送信した前記装置からの当該不正検知通知を受信するまでに転送がなされた回数が所定回数より少ないという条件であり、受信した前記不正検知通知に含まれる前記回数情報に基づいて、前記所定条件が満たされているか否かに係る前記判定を行い、受信した前記不正検知通知の前記送信に際して、当該不正検知通知に含まれる前記回数情報を更新した上で当該送信を行うこととしても良い。また、前記不正検知通知は、時刻を示す時刻情報を含み、前記所定条件は、受信した前記不正検知通知に含まれる前記時刻情報が示す時刻からの経過時間が所定時間より短いという条件であることとしても良い。これらにより、不正が検知された車両から、ある程度の範囲内に限定して不正検知通知が伝達されるようになり、十分離れた車両が不正対応処理を行うことによる弊害(例えば不正対応処理として停止、徐行等を行うことによる交通渋滞の発生等)が防止され得る。即ち、全ての車両が安全状態にするための不正対応処理を行うのではなく、不正が検知された車両から一定の範囲にある車両のみを例えば安全状態に移行することができ、交通システムへの影響(交通渋滞の発生等)を抑えることが可能となる。
 また、受信した前記不正検知通知の前記送信に際して、当該不正検知通知に含まれる前記レベル情報を所定レベル変更規則に基づいて更新した上で当該送信を行うこととしても良い。これにより、不正が検知された車両の周辺の複数の各車両において行われる不正対応処理を相違させ得る。このため、例えば、不正が検知された車両からの距離が離れるにつれてレベルを低くすること等が可能となり、これに対応してレベルが低くなる程、不正対応処理の程度を、例えば停止から徐行、徐行から一定車間距離を保って走行等と、交通システムへの悪影響が小さくなるようにすることができる。
 また、本開示の一態様に係る不正対処方法は、第1及び第2の車両間で通信を行うことで不正な事態に対処する不正対処方法であって、前記第1の車両に搭載された車載ネットワークで不正フレームが検知された際に当該第1の車両に搭載された装置が不正検知通知を送信し、前記第2の車両に搭載された1つ又は複数の電子制御ユニットが、前記不正検知通知を受信し、受信した当該不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行する不正対処方法である。これにより、第1の車両で車載ネットワークにおいて不正フレームが検知された場合に、第2の車両で適切な不正対応処理により対処することが可能となり得る。
 また、前記第1の車両に搭載された前記装置は、前記不正フレームが検知された際に、フレームIDを区分して予め定められた複数レベルのうち、当該不正フレームのフレームIDに基づいて選定された1つのレベルを示すレベル情報を前記不正検知通知に含ませて前記送信を行い、前記第2の車両に搭載された1つ又は複数の前記電子制御ユニットは、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに応じて、不正対応処理の前記選択を行うこととしても良い。これにより、レベル情報が、機能を分類した機能種別毎に設定され得る。このため、車載ネットワークにおいてフレームIDを機能種別毎に区分して、不正フレームにより生じる影響(区分毎に異なる影響)の程度に対応した不正対応処理が実行され得る。機能種別は、例えば、駆動系機能、シャーシ系機能、ボディ系機能、安全快適機能、ITS(Intelligent Transport Systems)系機能、テレマティクス系機能、インフォテインメント系機能等である。
 また、本開示の一態様に係る不正対処方法は、一の車両に搭載された車載ネットワークに接続された電子制御ユニットにおいて用いられる不正対処方法であって、前記一の車両に搭載された車載ネットワークで不正フレームを検知した場合に他の車両へと不正検知通知を送信する不正対処方法である。これにより、一の車両において不正に制御される可能性がある程度高まったこと(つまり不正フレームが検知されたこと)を、他の車両において知ることが可能となる。
 また、本開示の一態様に係る電子制御ユニット(ECU)は、自ユニットが搭載された車両とは別の車両に搭載された車載ネットワークで不正フレームが検知された際に当該別の車両に搭載された装置から送信される不正検知通知を受信する受信部と、前記受信部により受信された前記不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行する不正対処部とを備える電子制御ユニットである。このECUを搭載した車両において、別の車両で不正フレームが検知されたことに対処することが可能になる。
 また、本開示の一態様に係る電子制御ユニット(ECU)は、車載ネットワークに接続された電子制御ユニットであって、前記車載ネットワークにおいて送信された不正フレームを検知する不正検知部と、前記不正検知部により不正フレームが検知された場合に自ユニットを搭載する車両とは別の車両へと不正検知通知を送信する送信部とを備える電子制御ユニットである。これにより、不正フレームを検知した場合に他の車両にその旨を伝達することが可能となり、このため他の車両において対処が可能となり得る。
 なお、これらの全般的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なCD-ROM等の記録媒体で実現されても良く、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されても良い。
 以下、実施の形態に係る不正対処方法を用いる車車間通信システムについて、図面を参照しながら説明する。ここで示す実施の形態は、いずれも本開示の一具体例を示すものである。従って、以下の実施の形態で示される数値、構成要素、構成要素の配置及び接続形態、並びに、ステップ(工程)及びステップの順序等は、一例であって本開示の態様を限定するものではない。以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意に付加可能な構成要素である。また、各図は、模式図であり、必ずしも厳密に図示されたものではない。
 (実施の形態1)
 以下、本開示の実施の形態として、車両に搭載された複数のECUがバスを介して通信する車載ネットワークシステムでバスに送出された不正なフレーム(不正なCANメッセージ)を検知した場合にその車両から車車間通信で後方の車両に通知する車車間通信システムについて、図面を用いて説明する。その後方の車両においては、車車間通信で受信した内容に応じてその車両を安全状態にするための不正対応処理を実施する。
 [1.1 車車間通信システムの全体構成]
 図1は、車車間通信システムの全体構成を示す図である。車車間通信システムは、車両10(車両A)と車両20(車両B)と認証局50とを含んで構成される。
 ここでは、車車間通信システムは、公開鍵暗号基盤(PKI:Public Key Infrastructure)を利用するものとする。各車両は、車車間通信で使用する秘密鍵と公開鍵証明書とを保有する。公開鍵証明書は、秘密鍵と対となる公開鍵の所有者を証明するものとして、信頼できる第三者機関である認証局(CA:Certification Authority)50によって与えられた電子署名を含む。図1では、認証局50を1つ示したが、認証局は階層関係を持って複数存在しても良い。CA証明書1300は、認証局50の公開鍵を含む。
 車両10(車両A)は、車両A秘密鍵1301と、車両A公開鍵証明書1302と、CA証明書1300と、証明書失効リスト(CRL:Certificate Revocation List)1303とを保持している。
 車両20(車両B)は、車両B秘密鍵2301と、車両B公開鍵証明書B2302と、CA証明書1300と、CRL1303とを保持している。
 車両A公開鍵証明書1302と車両B公開鍵証明書B2302とのそれぞれは、認証局50の秘密鍵(不図示)で電子署名が付与され、認証局50から配布される。各車両への公開鍵証明書、秘密鍵等の記録(例えば車両に備えられるECUへの書き込み)は、車両の製造段階、出荷段階、車両に搭載されるECUの製造段階等のいずれにおいて行われても良い。
 CRL1303は、認証局50から発行され、無効にすべき公開鍵証明書の識別情報がリスト化されたものである。
 車両Aから車両Bに対して車車間通信により、送信される車車間通信メッセージ300は、車両A秘密鍵1301で署名されている。
 例えば、走行している車両10(車両A)の後方を車両20(車両B)が走行している。ここでは、説明の便宜上、車両10は、後方に指向性を有する送信アンテナ(不図示)を用いて無線通信を行うことを前提として説明するが、その他の通信方法で車両10から少なくとも通常の車間距離を空けた後方の車両が受信可能なように車車間通信を行っても良い。なお、車車間通信に利用する周波数帯は、国によって異なり、一例としては、日本では700MHz、米国、欧州では5.9GHz帯が利用される。しかし、本実施の形態で示す車車間通信は、技術的には必ずしもこれらの周波数帯での無線通信に限られず実施可能である。
 車両10(車両A)が、車両20(車両B)に対して車車間メッセージを送信する場合には、車車間通信メッセージ300と車両A公開鍵証明書1302とを送信する。車両20は、CA証明書1300の公開鍵を利用して、受信した車両A公開鍵証明書1302を署名検証し、続いて車両A公開鍵証明書に含まれる車両Aの公開鍵を利用して、車車間通信メッセージ300の署名検証を行う。なお、車両10(車両A)は、不正なCANメッセージを検知した場合に不正検知通知としての車車間通信メッセージ300を送信する。不正検知通知は、不正検知がなされた旨の伝達を車両間で行うための通知であり、不正検知通知としての車車間通信メッセージ300は、不正検知に関する情報を含む車車間通信メッセージである。
 [1.2 車両の構成]
 図2は、車両10(車両A)及び車両20(車両B)の構成を示す図である。
 車両10は、CANバス100と、ECU101、102、103と、不正検知ECU110と、レベル解釈部120と、車車間通信メッセージ認証部130と、車車間通信メッセージ送受信部140と、車両安全状態指示部150と、車外状況判断部160と、車載カメラ170と、レーザーレーダー180と、位置情報取得部190とを含んで構成される。
 CANバス100は、車載ネットワークにおける通信路であり、CANプロトコルに従って複数のECUがフレーム(CANメッセージ)の授受を行うために用いるバス(信号線)である。図2では便宜上1つのバスを示しているが、複数のバスが含まれても良く、例えばゲートウェイの機能を有するECUが複数のバス間でのCANメッセージの転送を行い得る。
 ECU101~103は、CANバス100と接続されている。また、ECU101~103は、それぞれがセンサ、アクチュエータ等の各種機器(不図示)と接続されていても良く、例えば、接続されている機器の状態を取得してその状態を表すデータフレームをCANバス100で送信し、或いは、個別に保持する受信IDリスト(受信対象のCANメッセージIDを列挙したリスト)に従って特定のCANメッセージIDが付されたデータフレームを受信してその内容に従って接続されている機器を制御し得る。ECUは、例えば、プロセッサ(マイクロプロセッサ)、メモリ等のデジタル回路、アナログ回路、通信回路等を含む装置である。メモリは、ROM、RAM等であり、プロセッサにより実行される制御プログラム(コンピュータプログラム)を記憶することができる。例えばプロセッサが、制御プログラム(コンピュータプログラム)に従って動作することにより、ECUは各種機能を実現することになる。なお、コンピュータプログラムは、所定の機能を達成するために、プロセッサに対する指令を示す命令コードが複数個組み合わされて構成されたものである。図2では、便宜上、ECU101、102、103の3つだけを図示しているが、車両10内にはいくつものECUが含まれ、CANバス100を介して相互に通信する。これらのECUは、複数に機能種別(後述)のいずれかに分類される。
 不正検知ECU110は、一種のECUであり、CANバス100に流れるフレーム(CANメッセージ)に不正がないかを監視し、不正を検知した場合に、不正検知内容を示す不正情報をレベル解釈部120に通知する。CANバス100には例えば不正なECUが接続されて不正なCANメッセージを送信する可能性があり、不正検知ECU110は、所定のホワイトリスト(後述)で示されるルールに基づいて、バス上に現れたCANメッセージが、ルールに適合しない不正なCANメッセージか否かを判定する検査により、不正を検知する。
 レベル解釈部120は、不正検知内容を示す不正情報を参照し、不正検知通知として車車間通信メッセージを送信する場合に車車間通信メッセージ内に含ませるためのセキュリティレベルを示すレベル情報を定めて車車間通信メッセージ認証部130に通知する。セキュリティレベルは、不正として検知されたCANメッセージの機能種別毎に区別して定められる(詳細は図7を用いて後述する)。また、レベル解釈部120は、所定の対応情報(安全状態リスト)に基づいて、他車(他車両)から受信された車車間通信メッセージに含まれるレベル情報が示すセキュリティレベルに応じた安全状態に移行するための指示(不正対応処理の実行指示)を、車両安全状態指示部150に通知する。不正対応処理は、車両安全状態指示部150が行う安全状態に移行するための制御である。不正対応処理には、車両の走行を停止させる制御のための不正対応処理、車両を徐行させる制御のための不正対応処理、車両と前方の車両との車間距離を一定範囲に保って走行させる制御のための不正対応処理、車両の運転者への報知の制御のための不正対応処理等がある。
 車車間通信メッセージ認証部130は、車車間通信メッセージ300の送信に際して、レベル解釈部120から取得したレベル情報、位置情報取得部190から取得した車両の位置情報等を含ませて、車車間通信メッセージ300を形成して、車両の秘密鍵を利用して署名を生成して車車間通信メッセージ300に含ませる。また、車車間通信メッセージ認証部130は、他車両から受信した車車間通信メッセージについての署名検証を行って、車車間通信メッセージに含まれるレベル情報をレベル解釈部120に通知する。
 車車間通信メッセージ送受信部140は、他車両に対して車車間通信メッセージを送信し、また、他車両から車車間通信メッセージを受信する。
 車両安全状態指示部150は、他車両から受信した車車間通信メッセージ内のレベル情報が示すセキュリティレベルに応じたレベル解釈部120による指示(不正対応処理の実行指示)を受けて、不正対応処理を実行することで、車両内の各部(各ECU等)に、車両の走行を停止させるための指示、車両を徐行させるための指示、車両と前方の車両との車間距離を一定範囲に保って走行させる指示、及び、車両の運転者への報知を行う指示を与える。この指示は、車外状況判断部160から通知される情報を用いてなされ、また、例えば予め制御のために規定したCANメッセージをCANバス100で送信すること等により行われる。
 車外状況判断部160は、車載カメラ170、レーザーレーダー180等の車両に搭載された各種センサから取得した情報を解析し、自車両の近傍の状況を判断しながら、車両を適切に安全状態に移行できるようにするための情報を、車両安全状態指示部150に通知する。例えば、車載カメラで白線を検知し、レーザーレーダーで周囲の物体を検知することで、路肩に寄せて車両の走行を停止したり、徐行したり、前方の車両と一定の間隔を空けて走行したりすること等を適切に実現するための情報を通知する。
 位置情報取得部190は、例えばGPS(Global Positioning System)受信機で実現され、車両の緯度、経度、高度等の位置情報を取得して車車間通信メッセージ認証部130に通知する。
 なお、電子回路で構成された1つ又は複数の装置(ECU)により、レベル解釈部120、車車間通信メッセージ認証部130、車車間通信メッセージ送受信部140、車両安全状態指示部150及び車外状況判断部160が実現される。図2では、車両安全状態指示部150及び車外状況判断部160をCANバス100に接続しているが、車両安全状態指示部150及び車外状況判断部160を実現する1つ又は複数の装置をCANバス100に直接接続させずに、その装置が、CANバス100に接続されたECUを介して、CANバス100に対して指示を与え、CANバス100からの情報を受信するようにしてもよい。
 車両20も、車両10と同様な構成を備え、CANバス200と、ECU201、202、203と、不正検知ECU210と、レベル解釈部220と、車車間通信メッセージ認証部230と、車車間通信メッセージ送受信部240と、車両安全状態指示部250と、車外状況判断部260と、車載カメラ270と、レーザーレーダー280と、位置情報取得部290とを含んで構成される。なお、図2において同様の構成要素同士には、符号が相違するが同一名称を付している。
 [1.3 データフレームフォーマット]
 以下、CANプロトコルに従ったネットワークで用いられるフレーム(CANメッセージ)の1つであるデータフレームについて説明する。
 図3は、CANプロトコルで規定されるデータフレームのフォーマットを示す図である。同図には、CANプロトコルで規定される標準IDフォーマットにおけるデータフレームを示している。データフレームは、SOF(Start Of Frame)、IDフィールド、RTR(Remote Transmission Request)、IDE(Identifier Extension)、予約ビット「r」、DLC(Data Length Code)、データフィールド、CRC(Cyclic Redundancy Check)シーケンス、CRCデリミタ「DEL」、ACK(Acknowledgement)スロット、ACKデリミタ「DEL」、及び、EOF(End Of Frame)の各フィールドで構成される。
 SOFは、1bitのドミナントで構成される。バスがアイドルの状態はレセシブになっており、SOFによりドミナントへ変更することでフレームの送信開始を通知する。
 IDフィールドは、11bitで構成される、データの種類を示す値であるID(CANメッセージID)を格納するフィールドである。複数のノードが同時に送信を開始した場合、このIDフィールドで通信調停を行うために、IDが小さい値を持つフレームが高い優先度となるよう設計されている。
 RTRは、データフレームとリモートフレームとを識別するための値であり、データフレームにおいてはドミナント1bitで構成される。
 IDEと「r」とは、両方ドミナント1bitで構成される。
 DLCは、4bitで構成され、データフィールドの長さを示す値である。なお、IDE、r及びDLCを合わせてコントロールフィールドと称する。
 データフィールドは、最大64bitで構成される送信するデータの内容を示す値である。8bit毎に長さを調整できる。送られるデータの仕様については、CANプロトコルで規定されておらず、車両の車載ネットワークシステムにおいて定められる。従って、車種、製造者(製造メーカ)等に依存した仕様となる。
 CRCシーケンスは、15bitで構成される。SOF、IDフィールド、コントロールフィールド及びデータフィールドの送信値より算出される。
 CRCデリミタは、1bitのレセシブで構成されるCRCシーケンスの終了を表す区切り記号である。なお、CRCシーケンス及びCRCデリミタを合わせてCRCフィールドと称する。
 ACKスロットは、1bitで構成される。送信ノードはACKスロットをレセシブにして送信を行う。受信ノードはCRCシーケンスまで正常に受信ができていればACKスロットをドミナントとして送信する。レセシブよりドミナントが優先されるため、送信後にACKスロットがドミナントであれば、送信ノードは、いずれかの受信ノードが受信に成功していることを確認できる。
 ACKデリミタは、1bitのレセシブで構成されるACKの終了を表す区切り記号である。
 EOFは、7bitのレセシブで構成されており、データフレームの終了を示す。
 [1.4 不正検知ECU110の構成]
 図4は、不正検知ECU110の構成図である。不正検知ECU110は、フレーム送受信部116と、フレーム解釈部115と、不正フレーム検知部113と、ホワイトリスト保持部112と、フレーム生成部114と、不正情報通知部111とを含んで構成される。これらの各構成要素は、機能的な構成要素であり、その各機能は、不正検知ECU110における通信回路、メモリに格納された制御プログラムを実行するプロセッサ或いはデジタル回路等により実現される。
 フレーム送受信部116は、CANバス100に対して、CANのプロトコルに従ったフレーム(CANメッセージ)を送受信する。即ち、フレーム送受信部116は、CANバス100からフレームを1bitずつ受信し、フレーム解釈部115に転送する。また、フレーム生成部114より通知を受けたフレームの内容をCANバス100に送信する。
 フレーム解釈部115は、フレーム送受信部116よりフレームの値を受け取り、CANプロトコルで規定されているフレームフォーマットにおける各フィールドにマッピングするよう解釈を行う。IDフィールドと判断した値は、不正フレーム検知部113へ転送する。また、フレーム解釈部115は、CANプロトコルに則っていないフレームと判断した場合は、エラーフレームを送信するようにフレーム生成部114へ通知する。また、フレーム解釈部115は、エラーフレームを受信した場合、つまり受け取ったフレームにおける値からエラーフレームになっていると解釈した場合には、それ以降はそのフレームを破棄する、つまりフレームの解釈を中止する。
 フレーム生成部114は、フレーム解釈部115から通知されたエラーフレームの送信を指示する通知に従い、エラーフレームを構成し、エラーフレームをフレーム送受信部116へ通知して送信させる。また、フレーム生成部114は、不正フレーム検知部113から通知されたエラーフレームの送信を指示する通知に従い、エラーフレームを構成し、エラーフレームをフレーム送受信部116へ通知して送信させる。
 ホワイトリスト保持部112は、CANバス100上で送信される正規のフレームに含まれるCANメッセージIDを規定したホワイトリスト(図5参照)を保持する。ホワイトリストには、CANメッセージIDそれぞれについてCANメッセージが不正か否かの判定に用いられる条件も含まれている。
 不正フレーム検知部113は、ホワイトリスト保持部112が保持しているホワイトリストにより特定されるルールに基づいて、CANバス100から取得されたフレームが不正か否かについて判定する機能を有する。不正フレーム検知部113は、具体的には、フレーム解釈部115から通知されるIDフィールドの値(CANメッセージID)を受け取り、そのCANメッセージIDが、ホワイトリストに載っていない場合或いはホワイトリストでそのCANメッセージIDに対応して定められた条件が満たされない場合には、不正と判定してエラーフレームを送信するように、フレーム生成部114へ通知する。なお、この場合に、CANバス100上において、不正と判定されたCANメッセージのビット値は、レセシブに優先するドミナントが複数連続して構成されるエラーフレームにより、上書きされることになる。不正フレーム検知部113は、不正と判定したCANメッセージ(不正フレーム)の内容である不正検知内容を不正情報通知部111に通知する。
 不正情報通知部111は、不正検知内容を示す不正情報をレベル解釈部120に通知する。
 [1.5 ホワイトリスト]
 図5は、不正検知ECU110内のホワイトリスト保持部112が保持するホワイトリストの一例を示す図である。ホワイトリスト1120は、ID(CANメッセージID)1121それぞれについて、データ長1122、データ範囲1123、及び、周期1124を対応付けたデータである。
 CANメッセージID1121は、車両の仕様として車載ネットワークにおけるCANバス100に送出されても良いと定められている正規のCANメッセージIDを示す。
 データ長1122は、DLC(図3参照)であり、対応するCANメッセージIDのCANメッセージについて仕様上定められている正規のデータ長を示す。
 データ範囲1123は、対応するCANメッセージIDのCANメッセージについて仕様上定められている正規のデータフィールドの内容として期待されるデータ範囲を示す。
 周期1124は、対応するCANメッセージIDのCANメッセージが周期的に送信される周期性メッセージである場合に仕様上定められている正規の周期を示す。
 図5の例では、速度に関するID「0x100」のCANメッセージについて、データ長が8バイトで、データの範囲が0から180までで、10ms周期であるという条件を満たす場合には、正規のCANメッセージであることを示している。
 また、エンジンの回転数に関するID「0x200」のCANメッセージについて、データ長が8バイトで、データの範囲が0から10000までで、10ms周期であるという条件を満たす場合には、正規のCANメッセージであることを示している。
 また、走行距離に関するID「0x300」のCANメッセージについて、データ長が8バイトであり、データの範囲が0から9999999までで、20ms周期であるという条件を満たす場合には、正規のCANメッセージであることを示している。
 また、ドアの開閉状態に関するID「0x400」のCANメッセージについて、データ長が1バイトで、データの範囲が0又は1で、1000ms周期であるという条件を満たす場合には、正規のCANメッセージであることを示している。
 不正検知ECU110は、ホワイトリスト1120の各CANメッセージIDに対応する条件に適合しないCANメッセージを、不正なCANメッセージと判定する。
 [1.6 不正検知シーケンス]
 図6は、不正検知ECU110により不正フレーム(つまり不正なCANメッセージ)を検知する動作例を示すシーケンス図である。各シーケンスは、各装置における各処理手順(ステップ)を示す。以下、図6に即して、CANバス100に不正なECUが接続されてCANメッセージIDが「0x100」、データが「255(0xFF)」となるフレーム(CANメッセージ)を送信する場合における、CANバス100に接続された不正検知ECU110、ECU101~103の動作について説明する。
 まず、不正なECUは、メッセージIDが「0x100」、データが「255(0xFF)」となるデータフレームの送信を開始する(ステップS101)。フレームを構成する各ビットの値は、上述したデータフレームフォーマットに従ってSOF、IDフィールド(メッセージID)といった順に逐次CANバス100上に送出される。
 不正なECUがIDフィールド(CANメッセージID)までをCANバス100に送出し終えたときにおいて、不正検知ECU110、ECU101~103はそれぞれCANメッセージIDを受信する(ステップS102)。
 ECU101~103はそれぞれ、受信すべきCANメッセージIDであるか否かを、保持している受信IDリストを用いてチェックし、不正検知ECU110はホワイトリスト(図5参照)を用いて不正なCANメッセージか否かを判定すべくCANメッセージIDをチェックする(ステップS103)。図6の例では、ECU101及びECU102は、「0x0100」は、受信すべきCANメッセージIDでないため、受信を終了する。ECU103は、「0x0100」が受信すべきCANメッセージIDであるので処理を継続する。また、不正検知ECU110は、ホワイトリストにCANメッセージID「0x100」があるため受信を継続する。
 不正検知ECU110は、CANバス100に現れたCANメッセージについて、ホワイトリストが示す正規の周期でメッセージが送信されているか否かを判別する(ステップS104)。正規の周期でない場合は、ステップS108に移行してエラーフレームの送信を行う。
 次に不正検知ECU110は、CANバス100に現れたCANメッセージについて、ホワイトリストが示す正規のデータサイズ(DLC)の条件を満たすか否かを判別する(ステップS105)。正規のデータサイズでない場合は、ステップS108に移行してエラーフレームの送信を行う。
 次に不正検知ECU110は、CANバス100に現れたCANメッセージについて、ホワイトリストが示す正規のデータ範囲の条件を満たすか否かを判別する(ステップS106)。正規のデータ範囲の条件を満たす場合は、不正検知ECU110は処理を終了する。図6の例では、受信したデータが「255(0xFF)」であり、ホワイトリストのデータ範囲外であるのでエラーフレームのブロードキャスト(つまりCANバス100での送信)に向けて、フレームを生成する。
 ECU103は、不正検知ECUがホワイトリストを用いてCANメッセージが不正か否かを判定している間に、データフレームの受信を続ける(ステップS107)。
 不正検知ECU110は、ステップS103~S106での判別によりCANメッセージが不正であると判定した場合には、エラーフレームをブロードキャスト(送信)する(ステップS108)。このエラーフレームを受信することで、ECU103は、データフレームの受信を中止する(ステップS109)。
 不正検知ECU110は、不正と判定しているCANメッセージについての内容を示す不正情報をレベル解釈部120へ通知する(ステップS110)。
 [1.7 レベル情報]
 図7は、レベル解釈部120が保持するレベル情報1200の一例を示す。
 レベル情報1200は、機能種別1201と、ID(CANメッセージID)1202と、レベル1203とを対応付けた情報である。
 機能種別1201は、CANメッセージを送信するECUの機能を分類して定めた機能種別を示す。ECUの機能の分類例として、例えば駆動系機能、シャーシ系機能、ボディ系機能、安全快適機能、ITS系機能、テレマティクス系機能、インフォテインメント系機能等がある。駆動系機能は、エンジン、モータ、燃料、電池、トランスミッション等の制御といった車両の「走る」(走行)に関連する機能である。シャーシ系機能は、ブレーキ、ステアリング等の「曲がる」、「止まる」等といった車両の挙動等の制御に関連する機能である。ボディ系機能は、ドアロック、エアコン、ライト、ウィンカー等といった車両の装備の制御に関連する機能である。安全快適機能は、自動ブレーキ、車線維持機能、車間距離維持機能、衝突防止機能、エアバッグ等といった自動的に安全で快適な運転を実現するための機能である。ITS系機能は、ETC(Electronic Toll Collection System)等の高度道路交通システムに対応した機能である。テレマティクス系機能は、移動体通信を用いたサービスに対応する機能である。インフォテインメント系機能は、カーナビゲーション、オーディオ等に関連したエンターテインメント機能である。
 CANメッセージID1202は、対応する機能種別1201に属するECUが送信することと定められているCANメッセージのID(CANメッセージID)を示す。
 レベル1203は、対応する機能種別1201が示す機能種別に属するECUの機能の性質に応じて、そのECUが不正に制御された場合の車両の安全性等に鑑みて予め定められたレベルであるセキュリティレベルを示し、例えば、1から4までの4段階のうちいずれかの値を表す。ここでは、セキュリティレベルが高い程、安全性への影響が大きいものとしている。図7の例では、駆動系機能及びシャーシ系機能は、車両の「走る」、「曲がる」、「止まる」といった基本機能に関するため、これらの機能を担うECUが不正に制御される場合は、他の車両との事故にもつながり易いと考えられることから、セキュリティレベルを4と高く設定している。逆に、インフォテインメント系機能を担うECUが不正に制御される場合は、車両の事故への直接的な影響が小さいと考えられることから、セキュリティレベルを1と低く設定している。
 [1.8 車車間通信メッセージフォーマット]
 車両間で不正検知がなされた旨の伝達を行うための不正検知通知として車車間通信メッセージ300が用いられる。
 図8は、車車間通信メッセージ300の構成の一例を示す図である。車車間通信メッセージ300のフォーマットは、共通アプリヘッダ部と、共通アプリデータ部と、自由アプリヘッダ部と、自由アプリデータ部とから構成される。図8では、車両において不正検知ECU110により不正が検知された場合において、不正検知がなされた旨を伝達するという用途のために、自由アプリデータ部が用いられ、その他の用途で通信する場合には自由アプリデータ部をその用途毎に予め定めた別のフォーマットとすることを可能にする例となっている。
 共通アプリヘッダ部は、共通アプリヘッダ情報301で構成され、共通アプリヘッダ情報301は、共通アプリデータ部のサイズ情報を含む。
 共通アプリデータ部は、時刻情報302と、位置情報303と、車両状態情報304と、車両属性情報305とを含む。
 時刻情報302は、年、月、日、時、分、秒といった時刻情報を示す。
 位置情報303は、GPS受信機等により取得した緯度、経度、高度といった車両の位置を示す情報である。
 車両状態情報304は、車速、車両方位角、前後加速度、シフトポジション、ステアリング角度等の情報である。
 車両属性情報305は、大型、普通、二輪車等の車両サイズや、自家用車、緊急車両、道路維持作業用等の用途種別や、車幅と車長と車高といった車両サイズ等の情報を含む。
 自由アプリヘッダ部は、自由アプリヘッダ情報306で構成され、自由アプリヘッダ情報306は、自由アプリデータ部のサイズやオフセット等の情報を含む。
 自由アプリデータ部は、不正検知に関する情報を示し、レベル情報307と、不正車両位置情報308と、署名データ309とを含んで構成される。
 レベル情報307は、図7で示した、不正検知ECU110が検知した不正なCANメッセージ(不正検知内容)に対応したレベル(セキュリティレベル)を示す。
 不正車両位置情報308は、不正検知ECU110により不正を検知した車両(つまり不正を検知した不正検知ECUを搭載した車両)について測定された、不正検知の際の位置を示す位置情報である。
 署名データ309は、車車間通信メッセージ300に対する電子署名である。
 [1.9 不正検知シーケンス]
 図9は、車両10(車両A)で不正を検知した場合において車両20(車両B)への車車間通信メッセージ300を送信するまでの車両10の各部の動作例を示すシーケンス図である。
 車両10(車両A)の不正検知ECU110は、不正なCANメッセージを検知した場合に、不正検知内容である不正なCANメッセージのフレームID(CANメッセージID)を含む不正情報をレベル解釈部120へ通知する(ステップS201)。
 不正情報の通知を受けた、車両10のレベル解釈部120は、保持しているレベル情報1200に基づいて、不正情報が示すCANメッセージIDに応じたレベル(セキュリティレベル)を特定してそのレベルを示すレベル情報を定める(ステップS202)。つまり、レベル情報は、CANメッセージIDを区分して予め定められた複数レベルのうち、その不正フレーム(不正なCANメッセージ)のCANメッセージIDに基づいて選定された1つのレベルを示す。
 レベル解釈部120はその定めたレベル情報を、車両10の車車間通信メッセージ認証部130に通知する(ステップS203)。
 レベル情報の通知を受けた、車両10の車車間通信メッセージ認証部130は、位置情報取得部190より車両10の現在の位置情報を取得して、その位置情報と、通知を受けたレベル情報とを設定して車車間通信メッセージ300を形成する。
 続いて、車両10の車車間通信メッセージ認証部130は、車両A秘密鍵1301を用いて車車間通信メッセージ300に電子署名を付加する(ステップS205)。その車車間通信メッセージ認証部130は、電子署名を付加した車車間通信メッセージ300を、車両10の車車間通信メッセージ送受信部140へ通知する(ステップS206)。
 車車間通信メッセージ300の通知を受けた、車両10の車車間通信メッセージ送受信部140は、車車間通信メッセージ300と車両A公開鍵証明書1302とを、車車間通信により車両20(車両B)に送信する。なお、車両10(車両A)から車両20(車両B)への車車間通信メッセージ300の送信は、特に宛先の車両10を特定するものではない。これにより、車車間通信メッセージ300は、車両Aの後方に伝搬され得る通信方法により、不特定の車両に対してブロードキャストされる。
 [1.10 対応情報(安全状態リスト)]
 図10は、レベル解釈部120が参照する対応情報(安全状態リスト)を示す図である。対応情報(安全状態リスト)は、車車間通信メッセージ300を受信した車両が、車車間通信メッセージ300内のレベル情報が示すレベル(セキュリティレベル)に応じて、安全状態に移行する制御を行うための不正対応処理を実行する際に、予め定められた複数の不正対応処理のうち、どの安全状態に移行するための不正対応処理を実行すべきかを対応付けた情報である。
 対応情報(安全状態リスト)2400は、複数のレベル2401の値(セキュリティレベル)それぞれについて、レベル2401と、不正対応処理2402とを対応付けて構成される。
 レベル2401は、図7に示したレベル情報におけるレベル1203と同様のセキュリティレベルを示す。
 不正対応処理2402は、セキュリティレベル毎に対応して定められた、安全状態に移行する制御を行うための不正対応処理を特定するための情報である。図10の対応情報の例では、セキュリティレベルが「1」の場合は、車両の運転者への報知の制御のための不正対応処理が対応付けられ、セキュリティレベルが「2」の場合は、車両と前方の車両との車間距離を一定範囲に保って走行させる制御のための不正対応処理が対応付けられ、セキュリティレベルが「3」の場合は、車両を徐行させる制御のための不正対応処理が対応付けられ、セキュリティレベルが「4」の場合は、車両の走行を停止させる制御のための不正対応処理が対応付けられている。車両の運転者への報知の制御は、例えば、車両が備える、カーナビゲーション等に用いられるディスプレイ画面に、運転者の注意を喚起するようなメッセージを表示する制御、或いは、車両内のインストルメントパネル(インパネ)等のLED(Light-Emitting Diode)を点灯させて運転者に通知する制御等である。この対応情報2400での対応付けは、例えば、車両の事故への直接的な影響が小さいと考えられる不正が検知された場合においては交通渋滞を引き起こさないように、交通システムへ悪影響を抑制するように考慮してなされることが有用である。
 [1.11 不正検知通知に対応した安全状態への移行シーケンス]
 図11は、車両10(車両A)から車車間通信メッセージを受信した車両20(車両B)における安全状態への移行までの各部の動作を示すシーケンス図である。
 車両20(車両B)の車車間通信メッセージ送受信部240は、車両10(車両A)から不正検知通知としての車車間通信メッセージ300と車両A公開鍵証明書1302とを受信する(ステップS301)。
 続いて車両20の車車間通信メッセージ送受信部240は、車車間通信メッセージ認証部230へ車車間通信メッセージ300と車両A公開鍵証明書1302とを通知する(ステップS302)。
 車両20の車車間通信メッセージ認証部230は、CA証明書1300の公開鍵を用いて、受信した車両A公開鍵証明書1302の署名検証を行い、続いて車両A公開鍵証明書1302を用いて、受信した車車間通信メッセージ300の署名検証を行う(ステップS303)。署名検証に失敗すると、処理を終了する。署名検証に成功するとレベル解釈部220に車車間通信メッセージ300のレベル情報を通知する。
 車両20のレベル解釈部220は、図10で示した対応情報(安全状態リスト)を参照して、車車間通信メッセージ300のレベル情報が示すレベル(セキュリティレベル)に応じて、どの安全状態に移行するための不正対応処理を実行すべきかを特定(判定)して(ステップS304)、その不正対応処理の実行指示(安全状態への移行要求)を車両安全状態指示部250に通知する(ステップS305)。このステップS305~S311で不正対応処理が行われることになる。
 車両20の車両安全状態指示部250は、安全状態に移行するための不正対応処理を実行し、必要に応じて車外状況判断部260に対して車外状況の判断を要求する(ステップS306)。
 車外状況判断部260は、車載カメラ270やレーザーレーダー280等の各種センサから情報を取得し(ステップS307、S308)、取得した情報を解析して車両20の近傍の状況を判断して(ステップS309)、その判断結果としての、車両を適切に安全状態に移行できるようにするための情報を、車両安全状態指示部250に通知する(ステップS310)。
 車両20の車両安全状態指示部250は、必要に応じて車外状況判断部260からの情報を利用し、不正対応処理の実行を継続することで、車両20を安全状態に移行するよう制御する(ステップS311)。これにより、車両10(車両A)が送信した不正検知通知としての車車間通信メッセージ300が示すセキュリティレベルに応じて、車両20(車両B)において適切な安全状態への移行が実現される。
 [1.12 実施の形態1の効果]
 上述したように実施の形態1に係る車車間通信システムが用いる不正対処方法は、例えば車両A(第1の車両)及び車両B(第2の車両)の車両間で通信を行うことで不正な事態に対処する不正対処方法である。ここで、車両A(第1の車両)に搭載された車載ネットワークで不正フレームが検知された際にその車両Aに搭載された装置(例えばECU等)が不正検知通知を送信し、車両B(第2の車両)に搭載された1つ又は複数のECUが、不正検知通知を受信し、受信したその不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、その選択した不正対応処理を実行する。不正フレームが検知された状況は、車両が不正に制御される可能性が高いため、他車両に通知することで、不正制御の影響を抑制することが可能となる。より具体的には、車両Aに搭載された装置は、不正フレームが検知された際に、フレームIDを区分して予め定められた複数レベルのうち、その不正フレームのフレームIDに基づいて選定された1つのレベルを示すレベル情報を不正検知通知に含ませて送信を行う。そして、車両Bに搭載された1つ又は複数のECUは、受信した不正検知通知に含まれるレベル情報が示すレベルに応じて、不正対応処理の選択を行って、選択した不正対応処理の実行により安全状態へと移行する。
 このような車車間通信システムが用いる不正対処方法によれば、前方の車両(車両A)の内部の車載ネットワークにおいて不正なCANメッセージによりその車両Aが不正制御されるような状況であっても、車両Aが不正検知通知を後方の車両に通知する。そして不正検知通知を受信した後方の車両(車両B)は、不正検知通知で示されるレベル(セキュリティレベル)に応じた安全状態に移行することができ、状況に応じた適切な対処が可能となる。これにより、車両Bが巻き込まれるような事故の発生等が防止され得る。また、不正検知通知として示されるレベルは、例えば車載ネットワークで検知された不正なCANメッセージによる影響の程度に鑑みて予め設定しておくことができ、また、そのレベルに対応して移行する安全状態は、例えば交通システムへの悪影響を抑制するように考慮して予め設定しておくことができるため、不正検知通知を受信した車両は、状況に応じて適切な安全状態へと移行可能になり得る。
 (実施の形態2)
 以下、上述した車車間通信システムを一部変形した形態について示す。
 実施の形態1で示した車車間通信システムの不正対処方法では、車両10(車両A)で不正が検知されたことに係る不正検知通知を、車両10の後方の1台の車両20(車両B)に伝達する例を示した。これに対して、本実施の形態に係る車車間通信システムは、不正対処方法として不正検知通知の転送を行い得る。即ち、本実施の形態に係る車車間通信システムでは、車両10(車両A)が検知した不正に係る不正検知通知を送信し、この不正検知通知を受信した車両がその不正検知通知を一定条件下で転送することで、車両10(車両A)に後続する複数の車両が受信可能となるように不正検知通知の伝達を行う。実施の形態2に係る車車間通信システムの構成(例えば各車両の構成要素等)は、実施の形態1で示したものと同様であるため説明を省略し、ここでは、実施の形態1と異なる部分を説明する。
 [2.1 車車間通信メッセージの伝達]
 図12は、複数の車両が連続的に後続車に不正検知通知としての車車間通信メッセージを通知する例を示す図である。不正検知通知としての車車間通信メッセージを受信した車両は、所定条件(転送条件)が満たされるか否かを判定して、満たされると判定した場合に車両の外部へと不正検知通知の送信(転送)を行う。転送条件は、転送するか否かに係る条件であり、図12の例では、不正を検知した車両からの距離が500m未満という条件である。
 この例では、車両10(車両A)で不正を検知し、車両Aから他の車両へ不正検知通知としての車車間通信メッセージ300aを送信する。車両Aに後続する車両20(車両B)は、車両Aからの車車間通信メッセージ300aを受信して、車車間通信メッセージ300aに含まれる不正検知に関する情報(図12の例ではレベル4を示すレベル情報等)を他の車両に転送するために、その不正検知に関する情報を含む車車間通信メッセージ300bを送信する。車両Bに後続する車両30(車両C)は、車両Bからの車車間通信メッセージ300bを受信して、車車間通信メッセージ300bに含まれる不正検知に関する情報を他の車両に転送するために、その不正検知に関する情報を含む車車間通信メッセージ300cを送信する。車両Cに後続する車両40(車両D)は、車両Cからの車車間通信メッセージ300cを受信する。車両Dは、車両Aから500m離れており、不正を検知した車両からの距離が500m未満であるという転送条件を満たさないため、転送を行わない。なお、車両C及び車両Dも、車両Bと基本的に同様の構成を備える。
 [2.2 車車間通信メッセージフォーマット]
 図13は、本実施の形態に係る車車間通信メッセージの構成の一例を示す図である。
 本実施の形態における車車間通信メッセージ300a(車車間通信メッセージ300b、300cも同様)は、実施の形態1で示した車車間通信メッセージ300の構成(図8参照)に、転送条件を示す条件情報310を追加した構成を有する。これにより、再送信(転送)がなされる範囲を限定することができる。
 条件情報310が示す転送条件は、不正検知がなされた車両からの距離についての条件であり、例えば、一の車両についての測定した位置と、受信した不正検知通知に含まれる位置情報(不正車両位置情報308)が示す位置との距離が一定範囲内であるという条件である。条件情報310は、具体例としては不正検知がなされた車両から500m未満の距離であること等を示す。この場合に、車車間通信メッセージ300a等を受信した車両が、不正検知がなされた車両から500m未満であれば転送を行うことになる。なお、不正検知がなされた車両の位置は、車車間通信メッセージ300a内の不正車両位置情報308により示されている。従って、車車間通信メッセージ300aを受信した車両(例えば車両20)では、不正車両位置情報308が示す不正検知がなされた車両Aの位置と、例えば位置情報取得部290(図2参照)により検知される自車両の位置との距離を算出して、条件情報310が示す転送条件に基づいて、車車間通信メッセージ300aの再送信(転送)を行うか否かを決定する。ここで、車車間通信メッセージ300aの転送とは、車車間通信メッセージ300aの内容を一部変更した転送(つまり車車間通信メッセージ300bの送信)を含む。車車間通信メッセージ300a~300bのそれぞれにおける署名データ309、共通アプリデータ部等の具体的な値は車両毎に異なり得る。しかし、車車間通信メッセージ300a~300bのそれぞれにおけるレベル情報307、不正車両位置情報308及び条件情報310の具体的な値は同一である。
 [2.3 不正検知通知の転送のシーケンス]
 図14及び図15は、車両が車車間通信メッセージを受信して転送する場合の各部の動作を示すシーケンス図である。ここでは、車両10(車両A)から不正検知通知としての車車間通信メッセージを車両20(車両B)が受信する場合を例にして説明する。
 ステップS401からステップS411は、実施の形態1で示したステップS301からステップS311(図11参照)と同様であるので、説明を省略する。
 ステップS412において車両Bのレベル解釈部220は、ステップS404で参照したレベル情報307を含む車車間通信メッセージ300aの条件情報310が示す転送条件を参照し、転送条件が満たされるか否かを判別する。即ち、レベル解釈部220は、位置情報取得部290から自車両の位置を取得して、車車間通信メッセージ300aの不正車両位置情報308を参照し、不正が検知された車両Aから自車両が離れている距離を算出する。算出した距離が、転送条件を満たすならば、レベル解釈部220は、車車間通信メッセージ300aに含まれていたレベル情報307、不正車両位置情報308及び条件情報310と同一の情報を、車車間通信メッセージ300bのレベル情報307、不正車両位置情報308及び条件情報310に設定できるように車車間通信メッセージ認証部230に渡して、署名を要求する(ステップS413)。また、転送条件が満たされない場合には、車両Bでは、転送を行わずに処理を終了する。
 ステップS413で署名を要求された車車間通信メッセージ認証部230は、レベル解釈部220に渡された情報を設定して車車間通信メッセージ300bを形成して、車両Bの秘密鍵2301を利用して電子署名を生成して署名データ309として車車間通信メッセージ300bに含ませる(ステップS414)。
 そして車車間通信メッセージ認証部230は、電子署名を付加した車車間通信メッセージ300bを、車両Bの車車間通信メッセージ送受信部240へ通知して送信を要求する(ステップS415)。
 続いて車車間通信メッセージ送受信部240は、車車間通信メッセージ300bと車両B公開鍵証明書2302とを、車車間通信により後方の車両30(車両C)に送信する。なお、車両Aから車両Bへの不正検知通知としての車車間通信メッセージ300aと同様に、その不正検知通知の転送となる車両Bから車両Cへの車車間通信メッセージ300bの送信も、特に送信の宛先として車両Cを特定するものではない。これにより、車車間通信メッセージ300bは、車両Bの後方に伝搬され得る通信方法により、不特定の車両に対してブロードキャストされる。
 上述した車両Bと同様に、他の車両(例えば車両Bの後方を走行している車両C)においても、受信した車車間通信メッセージが示す転送条件が満たされる場合に不正検知通知の転送が行われ、転送条件が満たされない場合に転送が行われない。
 [2.4 実施の形態2の効果]
 実施の形態2に係る車車間通信システムが用いる不正対処方法によれば、実施の形態1に係る車車間通信システムにより生じる効果に加えて、不正が検知された車両に後続する複数の車両を安全な状態に移行することが可能になる。このため、例えば3台以上の車両を巻き込んだ大きな事故の発生が防止され得る。
 (実施の形態3)
 以下、実施の形態2で示した車車間通信システムを一部変形した形態について示す。
 本実施の形態に係る車車間通信システムが用いる不正対処方法では、不正検知通知(車車間通信メッセージ)における不正検知に関する情報の一部であるレベル情報の内容を変更して転送する。実施の形態3に係る車車間通信システムについて、上述の実施の形態1又は実施の形態2で示したものと同様の点については説明を省略し、ここでは、相違する点について説明する。
 [3.1 車車間通信メッセージフォーマット]
 図16は、本実施の形態2に係る車車間通信メッセージの構成の一例を示す図である。
 本実施の形態における車車間通信メッセージ300Aは、実施の形態2で示した車車間通信メッセージ300aの構成(図13参照)に、再設定レベル情報311と、再設定レベル情報を更新するための規則である所定レベル変更規則を示すレベル変更条件312とを追加した構成を有する。これにより、車車間通信メッセージの再送信(転送)に際してセキュリティレベルを変更して伝達することが可能になる。
 再設定レベル情報311には、車車間通信メッセージを受信した車両が、他車両に車車間通信メッセージを再送信(転送)する際に、レベル変更条件312に応じて、不正検知がなされた車両において設定されたレベル情報307が示すセキュリティレベルを変更した値(レベル)が設定される。なお、不正を検知した車両Aにおいては、車車間通信メッセージ300Aの再設定レベル情報311に、レベル情報307と同値を設定する。
 [3.2 レベル変更条件312]
 図17は、レベル変更条件312の一例を示す図である。図17の例では、所定レベル変更規則を示すレベル変更条件312は、具体的にはレベルを変更するための各条件(不正車両との距離)に応じたその変更の内容(レベル変更内容)を示している。
 車車間通信メッセージ300Aを受信した車両は、自車両の位置と不正車両(つまり不正が検知された車両A)の位置とから、不正車両と自車両との距離を算出し、算出した距離と、レベル変更条件312が示すレベルを変更するための条件とを比較することで、その距離に応じて、再設定レベル情報311に設定すべき値を特定できる。
 図17の例では、不正車両との距離が100m未満であれば、不正車両で設定された再設定レベル情報311について、転送の際に変更しないで維持する。例えば、不正車両との距離が100m未満の位置にいる車両が送信(転送)した車車間通信メッセージでは、レベル情報307に「レベル4」が設定され、再設定レベル情報311にも同値の「レベル4」が設定される。
 また、図17の例では、不正車両との距離が100m以上かつ300m未満という条件に該当した場合のレベル変更内容が、再設定レベル情報311を不正車両で設定されたレベル情報307から1つ下げる(1減ずる)ことを示している。例えば、不正車両との距離が100m以上かつ300m未満の位置にいる車両が送信(転送)した車車間通信メッセージでは、レベル情報307に「レベル4」が設定され、再設定レベル情報311には1減じた「レベル3」が設定される。
 また、図17の例では、不正車両との距離が300m以上かつ500m未満という条件に該当した場合のレベル変更内容が、再設定レベル情報311を不正車両で設定されたレベル情報307から2つ下げる(2減ずる)ことを示している。例えば、不正車両との距離が300m以上かつ500m未満の位置にいる車両が送信(転送)した車車間通信メッセージでは、レベル情報307に「レベル4」が設定され、再設定レベル情報311には1減じた「レベル2」が設定される。
 なお、実施の形態2では車車間通信メッセージを受信した各車両が、レベル情報307が示すレベル(セキュリティレベル)に応じて、安全状態に移行する不正対応処理を実行したが、本実施の形態では、車車間通信メッセージを受信した各車両は、再設定レベル情報311に設定されたレベル(セキュリティレベル)に応じて、安全状態に移行する不正対応処理を実行する。
 [3.3 車車間通信メッセージの伝達]
 図18は、複数の車両が連続的に後続車に不正検知通知としての車車間通信メッセージを通知する例を示す図である。不正検知通知としての車車間通信メッセージを受信した車両は、転送条件が満たされる場合において不正検知通知でのレベル変更条件312に応じて再設定レベル情報311を変更して、不正検知通知の転送を行う。図18の例は、図17に例示したレベル変更条件312を用いて、不正検知通知の再送信(転送)を行った例である。車両10(車両A)と車両20(車両B)との間には1台以上の他の車両が含まれていて車車間通信メッセージの転送を行うこともあり得る。また車両Bと車両30(車両C)との間に1台以上の他の車両が含まれていて車車間通信メッセージの転送を行うこともあり得る。
 図18の例では、車両Aが車載ネットワーク上で不正を検知し、不正内容に応じてレベル情報307及び再設定レベル情報311を「レベル3」と定めて車車間通信メッセージ300Aを送信している。車車間通信メッセージ300B~300Eも、車車間通信メッセージ300Aと同一のフォーマット(図16参照)で構成される。例えば車車間通信メッセージ300Aが他の車両により転送されて車車間通信メッセージ300Bとして車両Bにおいて受信される。
 車両Aの位置から100m離れた車両Bにおいては、車車間通信メッセージ300Bのレベル変更条件312に基づいて、不正車両との距離が100m以上かつ300m未満という条件に該当するため、再設定レベル情報311を不正車両で設定されたレベル情報307から1減じて、再設定レベル情報311を「レベル2」とした車車間通信メッセージ300Cを送信する。例えば車車間通信メッセージ300Cが他の車両により転送されて車車間通信メッセージ300Dとして車両Cにおいて受信される。
 車両Aの位置から300m離れた車両Cにおいては、車車間通信メッセージ300Dのレベル変更条件312に基づいて、不正車両との距離が300m以上かつ500m未満という条件に該当するため、再設定レベル情報311を不正車両で設定されたレベル情報307から2減じて、再設定レベル情報311を「レベル1」とした車車間通信メッセージ300Eを送信する。
 車両40(車両D)では、不正車両との距離が500mの位置にいるため、車車間通信メッセージ300Eの条件情報310が示す「500m未満」という条件が満たされず、車車間通信メッセージの再送信(転送)が行われない。
 [3.4 不正検知通知の転送のシーケンス]
 図19及び図20は、車両が車車間通信メッセージを受信して一定条件下でレベル情報を変更して転送する場合の各部の動作を示すシーケンス図である。ここでは、車両10(車両A)から送信され他の車両で転送された不正検知通知としての車車間通信メッセージBを車両20(車両B)が受信する場合を例にして説明する。
 ステップS501からステップS511は、実施の形態1で示したステップS301からステップS311(図11参照)と同様であるので、説明を省略する。但し、ステップS504では、車両Bのレベル解釈部220は、図10で示した対応情報(安全状態リスト)を参照して、車車間通信メッセージ300Bの再設定レベル情報311が示すレベル(セキュリティレベル)に応じて、どの安全状態に移行するための不正対応処理を実行すべきかを特定して、その不正対応処理の実行指示(安全状態への移行要求)を車両安全状態指示部250に通知する(ステップS505)。
 ステップS512において車両Bのレベル解釈部220は、ステップS504で再設定レベル情報311を参照した車車間通信メッセージ300Bの条件情報310が示す転送条件を参照し、転送条件が満たされるか否かを判別する。転送条件が満たされるならば、レベル解釈部220は、車車間通信メッセージ300Bのレベル変更条件312に基づいて、レベル変更条件312が示す各条件のうち自車両が該当する条件に対応するレベル変更内容を参照して、レベルの変更が必要か否かを判断し(ステップS513)、レベルの変更が必要と判断した場合に限り、レベル変更内容に従って再設定レベル情報311を下げる(ステップS514)。そして、レベル解釈部220は、車車間通信メッセージ300Bに含まれていたレベル情報307、不正車両位置情報308、条件情報310及びレベル変更条件312と同一の情報を、車車間通信メッセージ300Cのレベル情報307、不正車両位置情報308、条件情報310及びレベル変更条件312に設定できるように、また、ステップS513での判断に応じて、レベル値を維持した又は減じた再設定レベル情報311を車車間通信メッセージ300Cの再設定レベル情報311に設定できるように、車車間通信メッセージ認証部230に渡して、署名を要求する(ステップS515)。また、転送条件が満たされない場合には、車両Bでは、転送を行わずに処理を終了する。
 ステップS515で署名を要求された車車間通信メッセージ認証部230は、レベル解釈部220に渡された情報を設定して車車間通信メッセージ300Cを形成して、車両Bの秘密鍵2301を利用して電子署名を生成して署名データ309として車車間通信メッセージ300Cに含ませる(ステップS516)。
 そして車車間通信メッセージ認証部230は、電子署名を付加した車車間通信メッセージ300Cを、車両Bの車車間通信メッセージ送受信部240へ通知して送信を要求する(ステップS517)。
 続いて車車間通信メッセージ送受信部240は、車車間通信メッセージ300Cと車両B公開鍵証明書2302とを、車車間通信により他車両に伝搬すべく送信する(ステップS518)。
 [3.5 実施の形態3の効果]
 実施の形態3に係る車車間通信システムが用いる不正対処方法によれば、不正車両の後続車両では不正車両から離れている程、不正検知通知に係るレベル(再設定レベル情報が示すセキュリティレベル)を下げている。これにより、不正検知通知を受けた車両において不正対応処理による安全状態への移行によって、交通システムに与える悪影響(例えば交通渋滞の発生等)を抑制することが可能となる。
 (実施の形態4)
 上述した実施の形態1から3では、車車間通信の例を示したが、車両と道路に設置された路側機との間で路車間通信を行うこととしても良い。本実施の形態では、路車間通信をするための路車間通信システムの構成を示す。
 [4.1 路車間通信システムの構成]
 図21は、路車間通信システムの全体構成を示す図である。車両10(車両A)が、自車両の車載ネットワークにおける不正を検知し、その不正検知に関する情報を示す不正検知通知を送信し、路側機70が受信する路車間通信のための構成を示している。車両Aの構成は、上述した実施の形態1~3のいずれかにおける車両Aと同様であるので、説明を省略する。本実施の形態の路車間通信システムは、実施の形態1で示した車車間通信システムとは、車両Aから送信される車車間通信メッセージ300を受信する物が、移動する車両でなく道路に設置された路側機70となった点で異なる。
 路側機70は、位置情報取得部790と、路車間通信メッセージ送受信部740と、路車間通信メッセージ認証部730と、レベル解釈部720と、車両安全状態指示部750と外部サーバ通信部770とを含んで構成される。
 レベル解釈部720は、実施の形態1~3のいずれかで示した車両20(車両B)のレベル解釈部220と同じ機能を有する。但し、レベル解釈部720は、所定の対応情報(安全状態リスト)に基づいて、車両Aから受信した車車間通信メッセージに含まれるレベル情報が示すセキュリティレベルに応じた安全状態に別の車両を移行させるための指示(不正対応処理の実行指示)を、車両安全状態指示部750に通知する。本実施の形態における不正対応処理は、車両安全状態指示部750が行う、路側機70の周辺を走行中の車両を安全状態に移行するための制御である。例えば、不正対応処理には、路側機70の周辺を走行中の車両の走行を停止させる制御のための不正対応処理、その車両を徐行させる制御のための不正対応処理、その車両と前方の車両との車間距離を一定範囲に保って走行させる制御のための不正対応処理、その車両の運転者への報知の制御のための不正対応処理等がある。
 路車間通信メッセージ認証部730は、署名生成及び署名検証に必要となる秘密鍵及び公開鍵証明書を保持し、車車間通信メッセージに対して署名生成或いは署名検証を行う。路車間通信メッセージ認証部730は、車車間通信メッセージの送信(転送)に際して、レベル解釈部720から取得した情報に、位置情報取得部790から取得した路側機70の位置情報等を含ませて、車車間通信メッセージを形成して、車両の秘密鍵を利用して署名を生成して車車間通信メッセージに含ませる。なお位置情報取得部790は、路側機70の設置された位置を示す位置情報を記録しておきその位置情報を路車間通信メッセージ認証部730に通知しても良い。また、路車間通信メッセージ認証部730は、車両から受信した車車間通信メッセージについての署名検証を行って、車車間通信メッセージに含まれるレベル情報をレベル解釈部720に通知する。
 車両安全状態指示部750は、不正対応処理を実行して、路車間通信メッセージ送受信部740を介して、路側機70の周辺に所在する車両に対して、安全状態に移行することを指示する路車間通信メッセージを送信する。このときの路車間通信メッセージのフォーマットは、実施の形態1から実施の形態3で説明した車車間通信メッセージと同様である。なお、路側機70が電光掲示板を備え、車両安全状態指示部750が電光掲示板に、周辺の車両を安全状態に導くための指示情報等を表示させることとしても良い。
 外部サーバ通信部770は、車両Aから受信した車車間通信メッセージを外部サーバ(不図示)に送信する。外部サーバは、路側機70から受信した車車間通信メッセージを蓄積しておき、蓄積したデータを解析することで指示内容を決定して、路側機70に対して車両を安全な状態に移行するように指示しても良い。外部サーバから指示を受けた路側機70は、路車間通信を用いて、路側機70の周辺に位置している車両に対して安全状態に移行するように指示しても良い。
 [4.2 実施の形態4の効果]
 本実施の形態4で示した路車間通信システムを、実施の形態1~3のいずれかで示した車車間通信システムと併用することにより、路車間通信で路側機の周辺にいる車両に対して安全状態に移行するよう指示を通知すること等が可能となり、より安全な交通システムが実現可能となる。
 (実施の形態5)
 以下、実施の形態2で示した車車間通信システムを一部変形した形態について示す。
 本実施の形態に係る車車間通信システムが用いる不正対処方法では、不正検知通知(車車間通信メッセージ)の転送を行うか否かを判定する際に用いる所定条件(転送条件)の内容が、実施の形態2で示したものと異なる。本実施の形態における転送条件は、不正フレームを検知して不正検知通知を送信した車両(車両における装置)からのその不正検知通知を受信するまでに転送がなされた回数が所定回数より少ないという条件である。不正検知通知としての車車間通信メッセージに回数情報を含ませておき、不正検知通知を受信した車両(その車両の装置)では、受信した不正検知通知に含まれる回数情報に基づいて、転送条件が満たされているか否かに係る判定を行う。そして、不正検知通知を受信した車両で転送条件が満たされていると判定した場合には、受信した不正検知通知の送信(転送)に際して、不正検知通知に含まれる回数情報を更新した上でその転送を行う。
 実施の形態5に係る車車間通信システムについて、上述の実施の形態1又は実施の形態2で示したものと同様の点については説明を省略し、ここでは、相違する点について説明する。
 [5.1 車車間通信メッセージの伝達]
 図22は、複数の車両が連続的に後続車に不正検知通知としての車車間通信メッセージを通知する例を示す図である。不正検知通知としての車車間通信メッセージを受信した車両は、転送条件が満たされる場合に不正検知通知の転送を行う。図22の例では転送条件は、不正車両からの不正検知通知を受信するまでに転送がなされた回数が所定回数(ここでは2回)未満という条件である。
 この例では、車両10(車両A)で不正を検知し、車両Aから他の車両へ不正検知通知としての車車間通信メッセージ390aを送信する。車車間通信メッセージ390aは、転送回数として0回を示す回数情報を含み、転送条件として2回未満を示す条件情報を含む。車両Aに後続する車両20(車両B)は、車両Aからの車車間通信メッセージ390aを受信して、回数情報が示す回数(0回)が転送条件である2回未満を満たすので、車車間通信メッセージ390aに含まれる不正検知に関する情報を他の車両に転送するために、その不正検知に関する情報を含む車車間通信メッセージ390bを送信する。車両Bは、車車間通信メッセージ390bに、転送回数として1回を示す回数情報を含ませる。車両Bに後続する車両30(車両C)は、車両Bからの車車間通信メッセージ390bを受信して、回数情報が示す回数(1回)が転送条件である2回未満を満たすので、車車間通信メッセージ390bに含まれる不正検知に関する情報を他の車両に転送するために、その不正検知に関する情報を含む車車間通信メッセージ390cを送信する。車両Cは、車車間通信メッセージ390cに、転送回数として2回を示す回数情報を含ませる。車両Cに後続する車両40(車両D)は、車両Cからの車車間通信メッセージ390cを受信する。車両Dでは、受信した車車間通信メッセージ390cの回数情報が示す回数(2回)が転送条件である2回未満を満たさないので、転送を行わない。
 [5.2 車車間通信メッセージフォーマット]
 図23は、本実施の形態に係る車車間通信メッセージの構成の一例を示す図である。
 本実施の形態における車車間通信メッセージ390a(車車間通信メッセージ390b、390cも同様)は、実施の形態1で示した車車間通信メッセージ300の構成(図8参照)に、転送回数を格納するための回数情報391と、転送条件を示す条件情報392とを追加した構成を有する。これにより、再送信(転送)がなされる範囲を限定することができる。
 条件情報392が示す転送条件は、不正フレームを検知して不正検知通知を送信した車両(その車両の装置)からのその不正検知通知を受信するまでに転送がなされた回数が所定回数より少ないという条件である。条件情報392は、具体例としては2回未満を示す。
 回数情報391は、転送回数を示す。車車間通信メッセージを転送する車両において、その転送の際に1増加するように更新される。
 [5.3 実施の形態5の効果]
 実施の形態5に係る車車間通信システムが用いる不正対処方法によれば、実施の形態2で示した不正対処方法と同様に、不正が検知された車両に後続する複数の車両を安全な状態に移行することが可能になる。このため、例えば3台以上の車両を巻き込んだ大きな事故の発生が防止され得る。また、不正が検知された車両から、不正検知通知の転送回数が所定回数以上必要となる位置まで離れた車両については、安全状態に移行する制御がなされないため、交通渋滞等が防止され得る。
 (他の実施の形態)
 以上のように、本開示に係る技術の例示として実施の形態1~5を説明した。しかしながら、本開示に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本開示の一実施態様に含まれる。
 (1)上記実施の形態では、車車間通信として、前方の車両から後方の車両に不正検知通知としての車車間通信メッセージを送信する例を示したが、送信先は後方の車両に限られず、自車両の周辺(例えば前方、側方等)に位置する他の車両に対して不正検知通知が伝達されれば良い。例えば、不正を検知した車両が車車間通信で自車両の後方に指向性を有する送信アンテナを用いずに全方向に一様に不正検知通知を送信しても良い。この場合において、不正検知通知としての車車間通信メッセージを受信した走行中の車両が、自車両の位置及び進行方向(車両方位角)を測定して不正検知通知としての車車間通信メッセージ中の不正車両位置情報を参照することで、概ね自車両の進行方向上に不正車両が位置する場合に限って不正対応処理の実行、不正検知通知の転送等を行うこととしても良い。また、各車両は、自車両が一度受信した不正検知通知としての車車間通信メッセージを転送した後に、その不正検知通知に基づいて他車両によって転送された不正検知通知(つまり同一の不正検知に関する情報を含む不正検知通知)を再度受信したときには転送しないようにしても良い。
 (2)上記実施の形態では、所定レベル変更規則を示すレベル変更条件を、車車間通信メッセージに含めていたが、車車間通信メッセージに含めず、車両内部の装置(例えばレベル解釈部等)にて保持し、必要に応じて参照することとしても良い。また、転送条件を示す条件情報についても、同様に、車車間通信メッセージに含めず、車両内部の装置(例えばレベル解釈部等)にて保持し、必要に応じて参照することとしても良い。
 (3)上記実施の形態では、レベル情報の値として4段階のレベル(セキュリティレベル)を示したが、レベルの区分数は4より多くても少なくても良い。
 (4)上記実施の形態では、レベル情報のレベルを、図7示すように不正フレームのフレームIDにより定まる機能種別毎に設定しているが、不正フレームの内容等に応じて、機能種別が同じであっても相違するレベルを設定しても良く、例えばフレームID毎、或いは、不正フレームのフレームIDを送信することとなっている個々のECU毎に、レベルを設定しても良い。なお、実施の形態3で示した再設定レベル情報311の代わりに、レベル情報307を用いても良く、各車両において受信した不正検知通知(車車間通信メッセージ)の送信(転送)に際して、その受信した不正検知通知に含まれるレベル情報307を、所定レベル変更規則を示すレベル変更条件(例えば受信したレベル情報307が2以上であれば1減じる等といった条件)に基づいて変更して、変更後のレベル情報307を含む不正検知通知を送信(転送)することとしても良い。
 (5)上記実施の形態では、車両が、CANバスとこれに接続されたECUで構成される車載ネットワークを搭載している例を示したが、車載ネットワークは、車両内においてECU等の車載装置間で通信する通信ネットワークであれば、CANバスを用いない、いかなる通信ネットワークでも良い。
 (6)上記実施の形態では、車両において不正検知通知を転送するか否かの判定に係る所定条件(転送条件)として、車両間の距離、或いは、転送回数についての条件を示した。しかし、転送条件は、不正検知がなされた時刻からの経過時間についての条件であっても良い。例えば、転送条件は、受信した不正検知通知に含まれる時刻情報が示す時刻からの経過時間が所定時間(一定の上限閾値)より短いという条件であっても良い。このためには、不正を検知した車両が送信する不正検知通知において不正が検知された時刻を示す時刻情報を含ませると良い。
 (7)上記実施の形態で示した不正検知通知は、図8等に示すフォーマットの車車間通信メッセージで送信されることに限定されず、不正検知通知を受信した車両において実行すべき不正対応処理の選択を可能とする内容(例えば、不正なメッセージID、或いは、セキュリティレベル等)を含めば、いかなる車車間通信用フォーマットで送信されても良い。
 (8)上記実施の形態で示した車両が備える各構成要素の機能分担は、一例に過ぎず、その分担を変更し得る。例えば、車車間通信システムにおいて不正検知通知を受信する車両が備える1つ又は複数のECU(電子制御ユニット)は、自ユニットが搭載された車両とは別の車両に搭載された車載ネットワークで不正フレームが検知された際にその別の車両に搭載された装置から送信される不正検知通知を受信する受信部としての機能と、受信部により受信された不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、その選択した不正対応処理を実行する不正対処部としての機能とを有し得る。また、不正検知通知を送信する車両が備える、車載ネットワークに接続された1つ又は複数の装置(例えばECU)は、車載ネットワークにおいて送信された不正フレームを検知する不正検知部(不正フレーム検知部)としての機能と、不正検知部により不正フレームが検知された場合に自ユニットを搭載する車両とは別の車両へと不正検知通知を送信する送信部としての機能とを有し得る。
 (9)上記実施の形態における各装置(例えばECU、不正検知ECU等)は、例えば、プロセッサ、メモリ等のデジタル回路、アナログ回路、通信回路等を含む装置であることとしたが、ハードディスク装置、ディスプレイ、キーボード、マウス等の他のハードウェア構成要素を含んでいても良い。また、メモリに記憶された制御プログラムがプロセッサにより実行されてソフトウェア的に機能を実現する代わりに、専用のハードウェア(デジタル回路等)によりその機能を実現することとしても良い。
 (10)上記実施の形態における各装置を構成する構成要素の一部又は全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしても良い。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAM等を含んで構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、システムLSIは、その機能を達成する。また、上記各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部又は全部を含むように1チップ化されても良い。また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現しても良い。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行っても良い。バイオ技術の適用等が可能性としてあり得る。
 (11)上記各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なICカード又は単体のモジュールから構成されているとしても良い。前記ICカード又は前記モジュールは、マイクロプロセッサ、ROM、RAM等から構成されるコンピュータシステムである。前記ICカード又は前記モジュールは、上記の超多機能LSIを含むとしても良い。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、前記ICカード又は前記モジュールは、その機能を達成する。このICカード又はこのモジュールは、耐タンパ性を有するとしても良い。
 (12)本開示の一態様としては、例えば図9、図11、図14、図15、図19、図20等に示す不正対処方法であるとしても良い。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしても良いし、前記コンピュータプログラムからなるデジタル信号であるとしても良い。また、本開示の一態様としては、前記コンピュータプログラム又は前記デジタル信号をコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリ等に記録したものとしても良い。また、これらの記録媒体に記録されている前記デジタル信号であるとしても良い。また、本開示の一態様としては、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしても良い。また、本開示の一態様としては、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記録しており、前記マイクロプロセッサは、前記コンピュータプログラムに従って動作するとしても良い。また、前記プログラム若しくは前記デジタル信号を前記記録媒体に記録して移送することにより、又は、前記プログラム若しくは前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしても良い。
 (13)上記実施の形態及び上記変形例で示した各構成要素及び機能を任意に組み合わせることで実現される形態も本開示の範囲に含まれる。
 本開示の一態様は、一の車両が不正に制御される可能性が高い場合にその影響を抑制すべく他の車両を制御するために利用可能である。
 10,20,30,40 車両
 50 認証局(CA)
 70 路側機
 100 CANバス
 101~103,201~203 電子制御ユニット(ECU)
 110,210 不正検知電子制御ユニット(不正検知ECU)
 111 不正情報通知部
 112 ホワイトリスト保持部
 113 不正フレーム検知部
 114 フレーム生成部
 115 フレーム解釈部
 116 フレーム送受信部
 120,220,720 レベル解釈部
 130,230 車車間通信メッセージ認証部
 140,240 車車間通信メッセージ送受信部
 150,250,750 車両安全状態指示部
 160,260 車外状況判断部
 170,270 車載カメラ
 180,280 レーザーレーダー
 190,290,790 位置情報取得部
 1300 CA証明書
 1301 車両A秘密鍵
 1302 車両A公開鍵証明書
 1303 証明書失効リスト(CRL)
 2301 車両B秘密鍵
 2302 車両B公開鍵証明書
 300,300a~300c,300A~300E,390a~390c 車車間通信メッセージ
 730 路車間通信メッセージ認証部
 740 路車間通信メッセージ送受信部
 770 外部サーバ通信部

Claims (15)

  1.  一の車両に搭載された1つ又は複数の電子制御ユニットにおいて用いられる不正対処方法であって、
     他の車両に搭載された車載ネットワークで不正フレームが検知された際に当該他の車両に搭載された装置から送信される不正検知通知を受信し、
     受信した前記不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行する
     不正対処方法。
  2.  前記不正検知通知は、複数レベルのうち1つのレベルを示すレベル情報を含み、
     受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに応じて、不正対応処理の前記選択を行う
     請求項1記載の不正対処方法。
  3.  不正対応処理の前記選択は、前記複数レベルそれぞれについて不正対応処理を対応付けた対応情報を参照することにより行われ、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに前記対応情報で対応する不正対応処理の選択である
     請求項2記載の不正対処方法。
  4.  前記対応情報が前記複数レベルのうちいずれか1つ以上と対応付けている各不正対応処理は、前記一の車両の走行を停止させる制御、当該車両を徐行させる制御、当該車両と前方の車両との車間距離を一定範囲に保って走行させる制御、及び、当該車両の運転者への報知を行う制御のうちの少なくとも1つを含む
     請求項3記載の不正対処方法。
  5.  更に、受信した前記不正検知通知の内容に基づいて所定条件が満たされているか否かを判定し、当該所定条件が満たされている場合には前記一の車両の外部に当該不正検知通知を送信し、当該所定条件が満たされていない場合には当該不正検知通知を送信しない
     請求項2~4のいずれか一項に記載の不正対処方法。
  6.  前記不正検知通知は、転送の条件を示す条件情報を含み、
     受信した前記不正検知通知に含まれる前記条件情報が示す転送の条件が満たされている場合には前記所定条件が満たされているとして前記判定を行い、当該条件情報が示す転送の条件が満たされていない場合には前記所定条件が満たされていないとして前記判定を行う
     請求項5記載の不正対処方法。
  7.  前記不正検知通知は、前記不正フレームを検知して当該不正検知通知を送信した前記装置を搭載する前記他の車両についての測定された位置を示す位置情報を含み、
     前記所定条件は、前記一の車両についての測定した位置と、受信した前記不正検知通知に含まれる前記位置情報が示す位置との距離が一定範囲内であるという条件である
     請求項5記載の不正対処方法。
  8.  前記不正検知通知は回数を示す回数情報を含み、
     前記所定条件は、前記不正フレームを検知して前記不正検知通知を送信した前記装置からの当該不正検知通知を受信するまでに転送がなされた回数が所定回数より少ないという条件であり、
     受信した前記不正検知通知に含まれる前記回数情報に基づいて、前記所定条件が満たされているか否かに係る前記判定を行い、
     受信した前記不正検知通知の前記送信に際して、当該不正検知通知に含まれる前記回数情報を更新した上で当該送信を行う
     請求項5記載の不正対処方法。
  9.  前記不正検知通知は、時刻を示す時刻情報を含み、
     前記所定条件は、受信した前記不正検知通知に含まれる前記時刻情報が示す時刻からの経過時間が所定時間より短いという条件である
     請求項5記載の不正対処方法。
  10.  受信した前記不正検知通知の前記送信に際して、当該不正検知通知に含まれる前記レベル情報を所定レベル変更規則に基づいて更新した上で当該送信を行う
     請求項5記載の不正対処方法。
  11.  第1及び第2の車両間で通信を行うことで不正な事態に対処する不正対処方法であって、
     前記第1の車両に搭載された車載ネットワークで不正フレームが検知された際に当該第1の車両に搭載された装置が不正検知通知を送信し、
     前記第2の車両に搭載された1つ又は複数の電子制御ユニットが、前記不正検知通知を受信し、受信した当該不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行する
     不正対処方法。
  12.  前記第1の車両に搭載された前記装置は、前記不正フレームが検知された際に、フレームIDを区分して予め定められた複数レベルのうち、当該不正フレームのフレームIDに基づいて選定された1つのレベルを示すレベル情報を前記不正検知通知に含ませて前記送信を行い、
     前記第2の車両に搭載された1つ又は複数の前記電子制御ユニットは、受信した前記不正検知通知に含まれる前記レベル情報が示すレベルに応じて、不正対応処理の前記選択を行う
     請求項11記載の不正対処方法。
  13.  一の車両に搭載された車載ネットワークに接続された電子制御ユニットにおいて用いられる不正対処方法であって、
     前記一の車両に搭載された車載ネットワークで不正フレームを検知した場合に他の車両へと不正検知通知を送信する
     不正対処方法。
  14.  自ユニットが搭載された車両とは別の車両に搭載された車載ネットワークで不正フレームが検知された際に当該別の車両に搭載された装置から送信される不正検知通知を受信する受信部と、
     前記受信部により受信された前記不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行する不正対処部とを備える
     電子制御ユニット。
  15.  車載ネットワークに接続された電子制御ユニットであって、
     前記車載ネットワークにおいて送信された不正フレームを検知する不正検知部と、
     前記不正検知部により不正フレームが検知された場合に自ユニットを搭載する車両とは別の車両へと不正検知通知を送信する送信部とを備える
     電子制御ユニット。
PCT/JP2015/005720 2015-01-20 2015-11-17 不正対処方法及び電子制御ユニット WO2016116977A1 (ja)

Priority Applications (6)

Application Number Priority Date Filing Date Title
EP15878675.6A EP3249626B1 (en) 2015-01-20 2015-11-17 Irregularity handling method and electronic control unit
CN201580011083.7A CN106062847B (zh) 2015-01-20 2015-11-17 不正常应对方法以及电子控制单元
US15/249,513 US10328874B2 (en) 2015-01-20 2016-08-29 Method for handling case of detecting unauthorized frame transmitted over onboard network
US16/413,035 US10896616B2 (en) 2015-01-20 2019-05-15 Method for handling case of detecting unauthorized frame transmitted over onboard network
US17/115,055 US11538344B2 (en) 2015-01-20 2020-12-08 Method for handling case of detecting unauthorized frame transmitted over onboard network
US17/991,357 US11830367B2 (en) 2015-01-20 2022-11-21 Method for handling case of detecting unauthorized frame transmitted over onboard network

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201562105244P 2015-01-20 2015-01-20
US62/105,244 2015-01-20
JP2015-217211 2015-11-05
JP2015217211A JP6595885B2 (ja) 2015-01-20 2015-11-05 不正対処方法及び電子制御ユニット

Related Child Applications (1)

Application Number Title Priority Date Filing Date
US15/249,513 Continuation US10328874B2 (en) 2015-01-20 2016-08-29 Method for handling case of detecting unauthorized frame transmitted over onboard network

Publications (1)

Publication Number Publication Date
WO2016116977A1 true WO2016116977A1 (ja) 2016-07-28

Family

ID=56416548

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2015/005720 WO2016116977A1 (ja) 2015-01-20 2015-11-17 不正対処方法及び電子制御ユニット

Country Status (3)

Country Link
US (1) US11830367B2 (ja)
CN (1) CN111885078B (ja)
WO (1) WO2016116977A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2023104670A (ja) * 2022-01-18 2023-07-28 本田技研工業株式会社 検査装置及び検査方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000156911A (ja) * 1998-11-17 2000-06-06 Fuji Heavy Ind Ltd ハイブリッド車の制御装置
JP2002222485A (ja) * 2001-01-26 2002-08-09 Toshiba Corp 車間異常時保安システム及び車間異常時保安方法
JP2012186635A (ja) * 2011-03-04 2012-09-27 Toyota Motor Corp 車両ネットワークシステム
JP2013138464A (ja) * 2010-12-28 2013-07-11 Sanyo Electric Co Ltd 通信装置
JP2013168865A (ja) * 2012-02-16 2013-08-29 Hitachi Automotive Systems Ltd 車載ネットワークシステム
JP2014183395A (ja) * 2013-03-18 2014-09-29 Hitachi Automotive Systems Ltd 車載ネットワークシステム

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3364413B2 (ja) * 1997-07-23 2003-01-08 株式会社デンソー 自動運転制御装置
JP3537705B2 (ja) * 1999-05-31 2004-06-14 本田技研工業株式会社 自動追従走行システム
US6985089B2 (en) 2003-10-24 2006-01-10 Palo Alto Reserach Center Inc. Vehicle-to-vehicle communication protocol
EP2177413B1 (en) * 2004-07-15 2015-02-25 Hitachi, Ltd. Vehicle control system
US7330103B2 (en) 2005-07-21 2008-02-12 International Business Machines Corporation Vehicle collision avoidance system enhancement using in-car air bag deployment system
JP2007310457A (ja) 2006-05-16 2007-11-29 Denso Corp 車車間通信システム、車車間通信装置、および制御装置
KR100743980B1 (ko) * 2006-12-20 2007-07-30 박충서 차량 내의 ecu 를 통한 전장품 이상 진단 및 처리 장치및 방법
US8355852B2 (en) * 2007-05-04 2013-01-15 GM Global Technology Operations LLC Slow or stopped vehicle ahead advisor with digital map integration
JP4621231B2 (ja) * 2007-06-29 2011-01-26 富士通テン株式会社 電源保護装置及び電子制御装置
US8605947B2 (en) * 2008-04-24 2013-12-10 GM Global Technology Operations LLC Method for detecting a clear path of travel for a vehicle enhanced by object detection
US20100019932A1 (en) 2008-07-24 2010-01-28 Tele Atlas North America, Inc. Driver Initiated Vehicle-to-Vehicle Anonymous Warning Device
JP5369627B2 (ja) * 2008-11-10 2013-12-18 住友電気工業株式会社 路側通信機
JP5164806B2 (ja) * 2008-11-12 2013-03-21 サンデン株式会社 車両用通信制御装置
WO2010073312A1 (ja) * 2008-12-22 2010-07-01 トヨタ自動車株式会社 車両用電子制御システム、車両用電子制御ユニット、車両用制御同期方法
WO2011024237A1 (ja) * 2009-08-28 2011-03-03 富士通株式会社 移動無線通信装置および車車間通信方法
US8923147B2 (en) 2011-10-03 2014-12-30 Qualcomm Incorporated Method and apparatus for filtering and processing received vehicle peer transmissions based on reliability information
JP5522160B2 (ja) 2011-12-21 2014-06-18 トヨタ自動車株式会社 車両ネットワーク監視装置
US20130278441A1 (en) 2012-04-24 2013-10-24 Zetta Research and Development, LLC - ForC Series Vehicle proxying
WO2014054152A1 (ja) * 2012-10-04 2014-04-10 三菱電機株式会社 車載情報処理装置
KR102281914B1 (ko) 2012-10-17 2021-07-27 타워-섹 리미티드 차량에 대한 공격의 검출 및 예방을 위한 디바이스
CN103198691A (zh) * 2013-03-15 2013-07-10 安徽皖通科技股份有限公司 一种车联网路侧信息预警系统
EP2892201B1 (en) 2014-01-06 2017-08-30 Argus Cyber Security Ltd. Detective watchman
US9643615B2 (en) 2014-06-04 2017-05-09 International Business Machines Corporation Automotive dynamic virtual network
JP6595885B2 (ja) * 2015-01-20 2019-10-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正対処方法及び電子制御ユニット

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000156911A (ja) * 1998-11-17 2000-06-06 Fuji Heavy Ind Ltd ハイブリッド車の制御装置
JP2002222485A (ja) * 2001-01-26 2002-08-09 Toshiba Corp 車間異常時保安システム及び車間異常時保安方法
JP2013138464A (ja) * 2010-12-28 2013-07-11 Sanyo Electric Co Ltd 通信装置
JP2012186635A (ja) * 2011-03-04 2012-09-27 Toyota Motor Corp 車両ネットワークシステム
JP2013168865A (ja) * 2012-02-16 2013-08-29 Hitachi Automotive Systems Ltd 車載ネットワークシステム
JP2014183395A (ja) * 2013-03-18 2014-09-29 Hitachi Automotive Systems Ltd 車載ネットワークシステム

Also Published As

Publication number Publication date
US20230089171A1 (en) 2023-03-23
CN111885078B (zh) 2022-03-08
US11830367B2 (en) 2023-11-28
CN111885078A (zh) 2020-11-03

Similar Documents

Publication Publication Date Title
JP6595885B2 (ja) 不正対処方法及び電子制御ユニット
CN107431625B (zh) 网关装置、车载网络系统以及转送方法
JP7369843B2 (ja) 検証方法、検証装置およびプログラム
WO2018173603A1 (ja) 更新処理方法、車載ネットワークシステムおよび電子制御ユニット
US11830367B2 (en) Method for handling case of detecting unauthorized frame transmitted over onboard network
EP3899759A1 (en) System and methodologies using global electors with regional certificate trust lists
JP2018160888A (ja) 更新処理方法、車載ネットワークシステムおよび電子制御ユニット
JP7152579B2 (ja) 検証方法、検証装置およびプログラム
TW202316874A (zh) 用於違規行為偵測的車輛到萬物(v2x)資訊驗證
CN113300947A (zh) 网关装置、车载网络系统以及转送方法
JP6229520B2 (ja) 路車間通信システム及び車載機
JP2019212972A (ja) 電子制御装置、監視方法、プログラム及びゲートウェイ装置
WO2022218205A1 (zh) 数据传输方法及数据处理装置
JP2009003847A (ja) Etc車載器及びetc車載器における通知方法
JP2024505423A (ja) 協調型高度道路交通システムのためのローカル誤動作防止システム
CN116830622A (zh) 用于保护用来确定违规行为状况的专有信息以用于车联网(v2x)报告的方法和系统
CN117858047A (zh) 安全性验证前消息

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 15878675

Country of ref document: EP

Kind code of ref document: A1

REEP Request for entry into the european phase

Ref document number: 2015878675

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2015878675

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: DE