[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP5522160B2 - 車両ネットワーク監視装置 - Google Patents

車両ネットワーク監視装置 Download PDF

Info

Publication number
JP5522160B2
JP5522160B2 JP2011279859A JP2011279859A JP5522160B2 JP 5522160 B2 JP5522160 B2 JP 5522160B2 JP 2011279859 A JP2011279859 A JP 2011279859A JP 2011279859 A JP2011279859 A JP 2011279859A JP 5522160 B2 JP5522160 B2 JP 5522160B2
Authority
JP
Japan
Prior art keywords
vehicle
data
monitoring
network
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011279859A
Other languages
English (en)
Other versions
JP2013131907A (ja
Inventor
充啓 馬渕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2011279859A priority Critical patent/JP5522160B2/ja
Priority to US14/367,554 priority patent/US20150066239A1/en
Priority to EP12818810.9A priority patent/EP2795879A1/en
Priority to PCT/IB2012/002707 priority patent/WO2013093591A1/en
Priority to CN201280063434.5A priority patent/CN104012065A/zh
Publication of JP2013131907A publication Critical patent/JP2013131907A/ja
Application granted granted Critical
Publication of JP5522160B2 publication Critical patent/JP5522160B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/403Bus networks with centralised control, e.g. polling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、自動車等の車両に搭載された車両ネットワークに送信されるデータの監視を行う車両ネットワーク監視装置に関する。
近年の自動車等の車両には、ナビゲーションシステムを構成する車載制御装置をはじめ、エンジンやブレーキ等の各種車載機器を電子的に制御する車載制御装置、車両の各種状態を表示するメータ等の機器を制御する車載制御装置などの多くの車載制御装置が搭載されている。そして、車両内では、それら各車載制御装置が通信線により電気的に接続されて車両ネットワークが形成されており、この車両ネットワークを介して各車載制御装置間での各種データの送受信が行われている。
また、こうした車両ネットワークは、同車両ネットワークに接続される各車載制御装置が車両に搭載されるエンジンやブレーキ等の各種車載機器の制御を担っていることから、極めて高いセキュリティーが要求される。しかし、こうした車両ネットワークは本来、外部のネットワークとは隔離されていることから、例えばコントロール・エリア・ネットワーク(CAN)等をはじめとする車両ネットワークは、同車両ネットワークで送受信されるデータが正規の車載制御装置から送信される正規のデータであることを前提に設計されている。
一方、最近は、こうした車両ネットワークと外部のネットワークとの各種データの授受や、車両に設けられたデータ・リンク・コネクタ(DLC)に接続された外部機器との各種データの授受を可能とするシステムの開発が進められている。そして、こうしたシステムでは、そのセキュリティーを確保すべく、例えば、予め登録されたデータとシグネチャマッチングを行う不正検出や、通常とは異なる動作を異常として検出する異常検出といった手法により、不正アクセスを検知する侵入検知を導入することも検討されている。
その一例として、例えば特許文献1に記載のシステムでは、図11に示すように、内部ネットワークB30と外部ネットワークB20との間に、データ通信を中継するおとり誘導装置B1を設けるようにしている。このおとり誘導装置B1は、不正アクセスの疑いのあるデータをおとりネットワークB40に誘導するおとり誘導部B3、外部ネットワークB20から送信されたデータをフィルタリングするフィルタリング処理部B5、及び大量の不正データを送りつけるいわゆるDoS攻撃(Denial of Service attack)等の攻撃を検出する侵入検知部B4からなるパケット中継部B2等を備えて構成されている。このように構成されるおとり誘導装置B1では、外部ネットワークB20から送信されたデータを受信すると、フィルタリングテーブルB6に基づきデータの信頼性を判断し、不正データを破棄するとともに、不正アクセスの疑いのあるデータをおとりネットワークB40に誘導するようにしている。そして、おとり誘導装置B1は、不正アクセスの疑いのない通常のデータのみを内部ネットワークB30に転送するようにしている。これにより、不正データや不正アクセスの疑いのあるデータが内部ネットワークB30に取り込まれることが抑制されるようになる。
特開2003−264595号公報
ところで、侵入検知のうち、不正検出による侵入検知手法では、未登録の不正データによる攻撃に対しては対応できず、また異常検出による侵入検知手法では、車両内のCAN信号で行う方法が確立されていない。そして、上記特許文献1に記載のシステムにしろ、内部ネットワークB30内に不正データが取り込まれることを抑止するためにはおとりネットワークB40、おとり誘導部B3、フィルタリング処理部B5、及び侵入検知部B4等といった各構成要素が必要となり、セキュリティーを維持する上で構成が複雑とならざるを得ない。すなわち、同システムを車両に搭載することは実現性に乏しい。
本発明は、このような実情に鑑みてなされたものであり、その目的は、特に複雑な構成を要することなく車両ネットワークに取り込まれるデータの監視を通じて、車両ネットワークのセキュリティーを高く維持することのできる車両ネットワーク監視装置を提供することにある。
以下、上記課題を解決するための手段及びその作用効果について記載する。
請求項1に記載の発明は、複数の車載制御装置の間でデータの通信が行われる車両ネットワークにあってその通信データの監視を行う車両ネットワーク監視装置であって、前記車両ネットワークで用いられる通信プロトコルを運用する上で規定されたデータの通信形式の監視を通じて不正データを検知する監視部と、前記複数の車載制御装置の間でのデータの中継用として前記車両ネットワークに設けられ、該車両ネットワーク内で送受信されるデータの送信先が予め規定されたルーティングテーブルを保有するゲートウェイと、を備え、前記監視部は、前記不正データを検知したとき、該検知した不正データの前記車両ネットワーク内への侵入に起因する前記複数の車載制御装置の不正動作を抑止する抑止処理として、前記複数の車載制御装置に対して警告情報を送信する処理、及び前記データの中継用として前記車両ネットワークに設けられたゲートウェイに対して前記検知した不正データのルーティングを禁止する禁止情報を送信する処理の少なくとも1つの処理を実行し、前記複数の車載制御装置は、前記警告情報を受信したとき、前記検知された不正データに基づく動作を禁止する処理を行い、前記ゲートウェイは、前記禁止情報を受信したとき、当該ゲートウェイが有するルーティングテーブルを変更する処理を行うことを要旨とする。
通常、車両ネットワークに接続された車載制御装置は、同車両ネットワークの通信プロトコル上で予め規定された通信形式でデータの送受信を行う。このため、この通信形式に従っていないデータが車両ネットワークに送信されたときには、車両ネットワーク内に不正データが送信されていたり、この不正データを車載制御装置が受信したこと等に起因して同車載制御装置が異常な状態になっている可能性が高い。
そこで、上記構成によるように、上記データの通信形式を上記監視部に監視させる。このため、監視部は、車両ネットワークに送信されるデータの通信形式を監視するだけで、車両ネットワーク内に不正データが送信されていることを検知することができる。これにより、特に複雑な構成を要することなく車両ネットワークのセキュリティーを高く維持することが可能となる。
また、上記不正データとして想定されるデータには、同データを受信した車載制御装置に予めインストールされているプログラム等を書き換えるものが存在する。そして、こうしたデータにより、車載制御装置に予めインストールされているプログラム等が書き換えられると、車載制御装置は、同車載制御装置に規定された正常な動作以外の不正動作を行う可能性がある。
この点、上記構成によれば、たとえ車両ネットワークに不正データが侵入したとしても、上記抑止処理が実行されることによって、不正データを受信した車載制御装置が不正動作を行うことが抑止される。これにより、不正データの侵入後においても、その影響を最小限に抑制して各車載制御装置の正常な動作を担保することが可能となる。また、これにより、不正データの送信元となる不正な制御装置等が車両ネットワーク内に組み込まれたとしても、同制御装置等を車両ネットワークから物理的に取り外さずとも、同不正な制御装置等が送信する不正データが各車載制御装置や車両ネットワークに及ぼす影響を抑止することが可能となる。
さらに、上記構成によれば、上記監視部による抑止処理の一つとして、複数の車載制御装置に対して警告情報を送信する処理が実行される。これにより、この警告情報を受信した各車載制御装置に対して不正データの存在を認知させることが可能となり、車両ネットワーク上に送信されている不正データの影響を抑止し得る各種処理を各車載制御装置に行わせることが可能となる。
また、上記構成によれば、上記監視部による抑止処理の一つとして、車両ネットワーク内に設けられたゲートウェイによる不正データのルーティングを禁止する処理が行われる。このため、不正データが当該ゲートウェイを経由しようとしても、ゲートウェイが不正データのルーティングを禁止することにより、この不正データが各車載制御装置に送信されない。これにより、不正データがゲートウェイを経由する途中で遮断されることとなり、このゲートウェイを介して不正データが拡散することが抑止される。
しかも、上記構成によれば、各車載制御装置は、例えば不正データの侵入や不正データの送信元等を示す警告情報を監視部から受信すると、例えば、受信した不正データの実行を禁止する処理等、不正データに基づく動作を禁止する処理を行う。これにより、車両ネットワーク内に不正データが送信されたとしても、この不正データが車載制御装置の動作に影響を及ぼすことを抑止できる。
また、上記構成によれば、不正データの侵入が検知されると、ゲートウェイは、自身が有するルーティングテーブルを変更する処理を行う。これにより、ルーティングテーブルの変更を通じて、不正データが拡散することが抑止され、ゲートウェイに接続された車両ネットワークのセキュリティーを高く維持することが可能となる。
請求項に記載の発明は、請求項に記載の車両ネットワーク監視装置において、前記監視部及び前記複数の車載制御装置は、特定の演算コードを予め保有し、前記監視部は、前記警告情報を送信する処理として、前記警告情報をメッセージコードとして作成するとともに、該作成したメッセージコードに前記演算コードを用いた演算処理を施して変換した変換コードを前記複数の車載制御装置に送信する処理を行い、前記複数の車載制御装置は、前記監視部から受信した変換コードを当該車載制御装置が保有する演算コードを用いて前記変換コードを前記メッセージコードに復元する処理を行うことを要旨とする。
請求項3に記載の発明は、複数の車載制御装置の間でデータの通信が行われる車両ネットワークにあってその通信データの監視を行う車両ネットワーク監視装置であって、前記車両ネットワークで用いられる通信プロトコルを運用する上で規定されたデータの通信形式の監視を通じて不正データを検知する監視部と、前記複数の車載制御装置の間でのデータの中継用として前記車両ネットワークに設けられ、該車両ネットワーク内で送受信されるデータの送信先が予め規定されたルーティングテーブルを保有するゲートウェイと、を備え、前記監視部は、前記不正データを検知したとき、該検知した不正データの前記車両ネットワーク内への侵入に起因する前記複数の車載制御装置の不正動作を抑止する抑止処理として、前記複数の車載制御装置に対して警告情報を送信する処理、及び前記データの中継用として前記車両ネットワークに設けられたゲートウェイに対して前記検知した不正データのルーティングを禁止する禁止情報を送信する処理の少なくとも1つの処理を実行するとともに、前記監視部及び前記複数の車載制御装置は、特定の演算コードを予め保有し、前記監視部は、前記警告情報を送信する処理として、前記警告情報をメッセージコー
ドとして作成するとともに、該作成したメッセージコードに前記演算コードを用いた演算処理を施して変換した変換コードを前記複数の車載制御装置に送信する処理を行い、前記複数の車載制御装置は、前記監視部から受信した変換コードを当該車載制御装置が保有する演算コードを用いて前記変換コードを前記メッセージコードに復元する処理を行うことを要旨とする。
上記構成によれば、不正データの侵入を各車載制御装置に警告するための警告情報が上記監視部及び各車載制御装置、すなわち、正当な装置のみが保有する演算コードによって秘匿化される。そして、この秘匿化された警告情報(変換コード)が、各車載制御装置に送信されると、各車載制御装置は、自身が保有する演算コードを用いて変換コードを、解読可能な状態に復元することが可能となる。一方、たとえば車両ネットワークに不正に組み込まれた不正な制御装置は、演算コードを保有していないために警告情報の内容を認識することができず、自身の存在が各車載制御装置に認知されていることを把握することができない。よって、不正な制御装置が、自身の存在が各車載制御装置に認知されたことを検知して正当な車載制御装置になりすますことが抑止される。これにより、不正データや同不正データの送信源となる制御装置の存在が一旦検知されて以降は、これら検知された不正データや同不正データの送信源となる制御装置を安定して監視することが促進される。
請求項に記載の発明は、請求項1〜のいずれか一項に記載の車両ネットワーク監視装置において、前記監視部は、正常時における通信形式として予め規定された規定の通信形式とは異なる通信形式のデータを検知したとき、該検知したデータを不正データとして特定することを要旨とする。
車両ネットワークでは、通常、送信され得る通信形式が規定されており、この規定された通信形式とは異なる通信形式のデータが車両ネットワークに送信されたときには、同データが車両ネットワークに本来送信されることのない不正なデータである蓋然性が高い。
そこで、上記構成によるように、規定の通信形式とは異なる通信形式のデータが車両ネットワークに送信されたことをもって不正データを検知することとすれば、監視部は、既知の通信形式を把握するだけで不正データを検知することが可能となる。すなわち、監視部は、不正データが未知のデータであっても、車両ネットワークに不正なデータが送信されたことを検知することが可能となる。
請求項に記載の発明は、請求項1〜のいずれか一項に記載の車両ネットワーク監視装置において、前記監視部は、前記データの通信形式として前記車両ネットワークに送信されるデータの周期を監視し、周期異常の検知を通じて前記不正データを検知することを要旨とする。
例えば、車両ネットワークとして一般に採用されるコントロール・エリア・ネットワーク(CAN)等にあっては、上記通信データを構成する送信フレームデータの周期が規定されている。よって、例えば、この規定された周期とは異なる周期のもとにデータが車両ネットワークに送信されたときは、このデータが、車両ネットワーク内の規定を知り得ない不正な制御装置等によって送信されたデータである可能性が高い。
そこで、上記構成によれば、データの通信形式としてデータの送信周期を監視するだけで不正データを検知することが可能となる。これにより、車両ネットワークに侵入した不正データをより容易かつ的確に検知することが可能となる。
請求項に記載の発明は、請求項1〜のいずれか一項に記載の車両ネットワーク監視装置において、前記監視部は、前記車載制御装置に対してデータを要求するトリガ信号の応答として前記車載制御装置から送信される応答信号の送信回数を前記データの通信形式として監視し、前記トリガ信号の受信後から次のトリガ信号を受信するまでの期間に同一の応答信号を複数受信したとき、複数受信した応答信号の一部を不正データとして検知することを要旨とする。
例えば、不正データを送信する不正な制御装置等が、車両ネットワーク内に組み込まれたり、外部ネットワークを介して車両ネットワークにアクセス可能になったときには、予め車両ネットワーク内に組み込まれている正規の車載制御装置のみならず、不正な制御装置等も上記トリガ信号に応答することが想定される。そして、正規な車載制御装置とともに制御装置等が上記トリガ信号に応答すると、車両ネットワークには、一つのトリガ信号に対して複数の応答信号が送信される。
そこで、上記構成によるように、上記監視部により、トリガ信号に対する応答信号を監視することとすれば、この応答信号の送信回数をカウントするだけで、車両ネットワーク内に不正データが送信されているか否かを検知することが可能となる。これにより、不正データの検知をより容易かつ的確に行うことが可能となる。
請求項に記載の発明は、請求項1〜のいずれか一項に記載の車両ネットワーク監視装置において、前記監視部は、エラーの検出に基づき前記車載制御装置が送信するエラーフレームの送信回数を前記データの通信形式として監視し、該監視するエラーフレームの送信回数が規定の送信回数を超えたことをもって、前記車両ネットワークに不正データが送信されている旨検知することを要旨とする。
上記車載制御装置には通常、例えば、各車載制御装置が送信するデータの衝突に反応してエラーフレームを送信する機能が設けられている。そして、データの衝突の発生頻度が所定の頻度未満で安定する傾向にあることから、エラーフレームの送信回数は、所定の回数未満になる傾向にある。
そこで、上記構成によるように、例えば、通常想定され得るエラーフレームの送信回数を上記規定の送信回数として設定し、この設定した送信回数を超えるエラーフレームが送信されたことをもって不正データの侵入を検知する。このため、監視部は、各車載制御装置から送信されるエラーフレームの送信回数を監視するだけで車両ネットワークに不正データが送信されているか否かを検知することが可能となる。
また、通常、車載制御装置には、所定回数以上のエラーフレームを送信すると、異常が発生したとしてバスオフ状態に遷移する機能が設けられている。この点、上記構成によれば、車載制御装置がバスオフ状態に遷移するエラーフレームの送信回数として設定されている回数よりも少ない回数を不正データ検知用のエラーフレームの送信回数として設定することで、車載制御装置がバスオフ状態に遷移する以前に不正データを検知することが可能となる。そして、この検知した結果に対する各種処置を行うことで、不正データを受信した車載制御装置がバスオフ状態に遷移することを抑制することが可能となり、各車載制御装置の通信状態を好適に維持することが可能ともなる。
請求項に記載の発明は、請求項1〜のいずれか一項に記載の車両ネットワーク監視装置において、前記車両ネットワークがコントロール・エリア・ネットワークであり、前記監視部は、前記車載制御装置によるデータの送信及び受信が不可能になるバスオフ状態に遷移したことを検知し、該検知したバスオフ状態の認識を通じて前記車両ネットワークに不正データが送信されている旨検知することを要旨とする。
上記コントロール・エリア・ネットワーク(CAN)にあっては、車載制御装置が、自身が不正動作していることを検知したとき、その影響が他の車載制御装置に波及することを抑止すべく、他の車載制御装置との通信を停止するバスオフ機能が設けられている。よって、車載制御装置がバスオフしたときには、同車載制御装置が不正データを受信したことに基づいて不正動作している可能性が高い。
この点、上記構成によれば、車載制御装置がバスオフ状態に遷移したことに基づいて、車両ネットワークに不正データが送信されていることが検知される。このため、監視部は、車載制御装置がバスオフ状態に遷移し、同車載制御装置との通信が不可能になっている旨と併せて、車両ネットワークに不正データが送信されている旨を検知することが可能となる。これにより、監視部は、各車載制御装置との通信状態を監視するだけで、車両ネットワークに不正データが送信されているか否かを検知することが可能となる。
なお、上記請求項〜請求項にかかる各検知態様を組み合わせて不正データの検知を行うことで、複数の観点から不正データを検知することが可能となる。これにより、車両ネットワーク内に不正データが送信されているか否かを様々な見地から監視することが可能となり、上記車両ネットワーク監視装置としての信頼性が好適に高められるようになる。
請求項に記載の発明は、請求項1〜のいずれか一項に記載の車両ネットワーク監視装置において、前記監視部は、監視用の車載制御装置として前記車両ネットワークに設けられてなることを要旨とする。
上記構成によれば、本来、車両ネットワークに接続される車載制御装置の一部を監視用の車載制御装置として機能させることで、同車両ネットワークの監視を通じてそのセキュリティーを維持することが可能となる。これにより、車両ネットワークを監視するための装置を別途に設ける必要もなく、車両ネットワークに接続される汎用性の高い車載制御装置を用いて車両ネットワークの監視を実現することが可能となる。
請求項10に記載の発明は、請求項1〜のいずれか一項に記載の車両ネットワーク監視装置において、前記車両ネットワークは、該車両ネットワークを構成する通信線が一つのゲートウェイに集約して接続されたネットワークからなり、前記監視部は、この通信線が集約して接続されたゲートウェイに設けられてなることを要旨とする。
上記構成によれば、通信線が集約されるゲートウェイに上記監視部を設けることで、監視部は、車両ネットワーク全体の通信状況を監視することが可能となる。このため、一つの監視部によって、車両ネットワーク全体のセキュリティーを一括して管理することが可能となり、より簡易な構成のもとに車両ネットワークのセキュリティーを維持することが可能となる。
請求項11に記載の発明は、請求項1〜10のいずれか一項に記載の車両ネットワーク監視装置において、前記車両ネットワークが、車両に搭載された車両駆動系の制御を行う駆動制御系の車載制御装置が接続された制御系ネットワークからなり、前記監視部は、前記制御系ネットワークに送信される不正データを検知することを要旨とする。
上記制御系ネットワークには、例えば、エンジンやブレーキ、ステアリング等といった車両の駆動状態を担う駆動制御系の車載制御装置が接続されており、そのセキュリティーを維持する必要性が特に強い。
この点、上記構成によれば、上記監視部によって制御系ネットワークが監視されることで、必要最小限の構成により制御系ネットワークのセキュリティーを担保することが可能となる。
本発明にかかる車両ネットワーク監視装置の一実施の形態について、同装置が適用される車両ネットワークの概略構成を示すブロック図。 不正データの検知態様の一例を示す図であり、(a)は、正規のデータフレームの送信周期の一例を示すタイムチャート。(b)は、不正なデータフレームの送信周期の一例を示すタイムチャート。 不正データの検知態様の一例を示す図であり、(a)は、正常時におけるトリガ信号に対する応答信号の送信態様の一例を示すタイムチャート。(b)は、異常発生時におけるトリガ信号に対する応答信号の送信態様の一例を示すタイムチャート。 不正データの検知態様の一例を示す図であり、(a)は、正常時におけるエラーフレームの送信態様の一例を示すタイムチャート。(b)は、異常発生時におけるエラーフレームの一例を示すタイムチャート。 不正データの検知態様の一例を示す図であり、(a)は、正規の車載制御装置が送信したデータに基づき変化するバスレベルの一例を示すタイムチャート。(b)は、正規の車載制御装置になりすました不正な制御装置が送信したデータの一例を示すタイムチャート。 (a)は、監視用の車載制御装置による警告情報の送信態様の一例を示すブロック図。(b)は、監視用の車載制御装置が送信する警告情報のデータ構造の一例を図。 監視用の車載制御装置による不正データの監視処理及び不正データの抑止処理の一例を示すフローチャート。 同実施の形態の車両ネットワーク監視装置の動作例を示すシーケンス図。 本発明にかかる車両ネットワーク監視装置の他の実施の形態について、同装置が適用される車両ネットワークの概略構成を示すブロック図。 本発明にかかる車両ネットワーク監視装置の他の実施の形態について、同装置が適用される車両ネットワークの概略構成を示すブロック図。 従来のおとり誘導装置が適用されるネットワークの概略構成を示すブロック図。
以下、本発明にかかる車両ネットワーク監視装置を具体化した一実施の形態について図1〜図8を参照して説明する。なお、本実施の形態の車両ネットワーク監視装置は、車両ネットワークとして車両に搭載されたコントロール・エリア・ネットワーク(CAN)に送信されるデータの監視を通じて、同ネットワークを監視するものである。また、CANにより構成される車両ネットワークでは、その通信プロトコルに従ったデータ通信が行われる。
図1に示すように、本実施の形態の車両ネットワーク監視装置が適用される車両100には、エンジンやブレーキ、ステアリング等の各種車両駆動系の機器を電子的に制御する車載制御装置(ECU)11〜13が搭載されている。各車載制御装置11〜13は、CANバスを構成する通信線10に接続されることにより、制御系ネットワークを構成する。
また、車両100には、エアコンや車両100の各種状態を表示するメータ等のボディ系の機器を制御する車載制御装置21〜23が搭載されている。各車載制御装置21〜23は、通信線20に接続されることにより、ボディ系ネットワークを構成する。
さらに、車両100には、例えば現在地から目的地までの経路案内等を行うカーナビゲーションシステムをはじめとする各種情報系の車載制御装置31〜33が搭載されている。各車載制御装置31〜33は、通信線30に接続されることにより、情報系ネットワークを構成する。
また、制御系ネットワークを構成する通信線10とボディ系ネットワークを構成する通信線20との間には、各ネットワーク間のデータ通信を中継するゲートウェイ41が接続されている。同様に、ボディ系ネットワークを構成する通信線20と情報系ネットワークを構成する通信線30との間には、各ネットワーク間のデータ通信を中継するゲートウェイ42が接続されている。ゲートウェイ41及び42は、中継するデータの送信先が予め登録されたルーティングテーブル41a及び42aを保有している。そして、こうしたゲートウェイ41及び42を介して各車載制御装置11〜13、21〜23、及び31〜33の間で、各ネットワークの通信プロトコルを運用する上で規定されたデータの通信形式に従ったデータ通信が行われる。これにより、例えば上記カーナビゲーションシステムでは、エンジン制御装置やブレーキ制御装置等の各種車載制御装置から取得される車両操作に関する情報に基づいてドライバに対する各種表示支援などが行われるようになる。
また、本実施の形態では、各ネットワークの間に、各ネットワークで送信されるデータを監視する監視用の車載制御装置(監視ECU)50が設けられている。監視用の車載制御装置50には、通信線10から延設された通信線10a、通信線20から延設された通信線20a、及び通信線30から延設された通信線30aが接続されている。これにより、監視用の車載制御装置50は、各通信線10〜30を介して各ネットワークで行われるデータ通信の状況を監視することが可能となっている。また、本実施の形態の監視用の車載制御装置50は、特定の監視ポリシー、各車載制御装置11〜13、21〜23、及び31〜33のエラー状況をカウントするエラーカウンタを有する。同様に、本実施の形態の監視用の車載制御装置50は、各車載制御装置11〜13、21〜23、及び31〜33に予め割り当てられたIDが登録されたIDテーブルを有する。さらに、本実施の形態の監視用の車載制御装置50は、例えば、ネットワーク上に送信されるデータ内容をログデータとして記録するロギング機能を有している。
そして、監視用の車載制御装置50は、各車載制御装置11〜13、21〜23、及び31〜33の間でデータ通信が行われるとき、同データ通信が各ネットワークに予め規定されたデータの通信形式に従った通信であるかを監視する。そして、監視用の車載制御装置50は、この監視結果に基づき、予め規定されたデータの通信形式とは異なる通信形式のデータが各ネットワークに送信されていると検知したとき、各ネットワークに本来送信されることのない不正データがネットワークに不正に送信されている旨検知する。すなわち、監視用の車載制御装置50は、例えば、通信線20に不正に取り付けられた不正な制御装置(不正ECU)60が、各車載制御装置11〜13、21〜23、及び31〜33が送信する正規のデータとは異なる不正データを送信している旨検知する。
なお、不正な制御装置60が送信する不正データは、例えば、各車載制御装置11〜13、21〜23、及び31〜33に予め組み込まれたプログラムを書き換えることにより、各車載制御装置11〜13、21〜23、及び31〜33に不正な動作を行わせるデータである。そして、各車載制御装置11〜13、21〜23、及び31〜33のプログラムが書き換えられたときには、各車載制御装置11〜13、21〜23、及び31〜33は、上記規定された通信形式とは異なる通信形式のデータを送信する。よって、監視用の車載制御装置50は、該異なる通信形式のデータを各車載制御装置11〜13、21〜23、及び31〜33から受信したときには、自身が監視するネットワーク内に不正なデータが送信されている旨検知する。なお、不正な制御装置60が送信する不正データには、例えば、各車載制御装置11〜13、21〜23、及び31〜33が送信する正規のデータに近似するなりすましデータが存在する。
そして、本実施の形態の監視用の車載制御装置50は、不正データを検知したとき、該検知した不正データのネットワーク内への侵入に起因する車載制御装置11〜13、21〜23、及び31〜33の不正動作を抑止する抑止処理を実行する。なお、本実施の形態の監視用の車載制御装置50は、抑止処理として、各車載制御装置11〜13、21〜23、及び31〜33に対して警告情報を送信する処理、及びゲートウェイ41及び42による不正データのルーティングを禁止する禁止情報を各ゲートウェイ41及び42に対して送信する処理を行う。
次に、本実施の形態の監視用の車載制御装置50による不正データの検知態様を図2〜図5を参照して説明する。なお、図2〜図5は、監視用の車載制御装置50が有する上記監視ポリシーに基づき監視される監視態様を示したものである。
図2(a)に示すように、各車載制御装置11〜13、21〜23、及び31〜33は、データの送信に際しては、上記規定された通信形式に従い、例えば最小で約「12ms」の周期で通信データが分割されたデータフレームDaを送信する。なお、こうしたデータフレームDaには、データ内容や送信ノードを示す識別子であるIDが付与されている。また、このIDにより、通信調整の優先順位が決定される。そして、IDの異なるデータフレームが同時にネットワーク上に送信されたときは、IDの値が小さいデータフレームが優先して送信されることとなる。
一方、図2(a)に示すように、ネットワークに事後的に取り付けられた制御装置60は、予め規定された通信形式を把握できず、上記規定された通信形式とは異なる周期約「6ms」のもとに不正なデータフレームDsを送信する。また、例えば、不正な制御装置60が送信した不正データにより各車載制御装置11〜13、21〜23、及び31〜33に予め組み込まれたプログラムが書き換えられたときにも、各車載制御装置11〜13、21〜23、及び31〜33が、上記規定された通信形式とは異なる周期約「6ms」のもとに不正なデータフレームDsを送信する。
そこで、本実施の形態の監視用の車載制御装置50は、上記規定された周期約「12ms」未満の周期のデータフレームが自身の監視するネットワーク上に送信されたときは、ネットワーク上に不正データが送信されていることを検知する。また、監視用の車載制御装置50は、この不正データの送信源が不正な制御装置60であることを、例えば、不正データ(不正なデータフレームDs)に付されているIDに基づき特定する。
また、図3(a)に示すように、各車載制御装置11〜13、21〜23、及び31〜33は、各種データの通信に際し、自身の必要とするデータを要求するトリガ信号を示す第1のデータフレームDt1を送信する。すると、このデータフレームDtを受信した特定の車載制御装置から、要求されたデータを示すデータフレームDr1がトリガ信号に応答する応答信号として送信される。そして、上記規定された通信形式のもとでは、こうしたトリガ信号と応答信号とが交互にネットワークに送信される。これにより、ネットワークには、第1のデータフレームDt1、同データフレームDt1に応答するデータフレームDr1、第2のデータフレームDt2…といった態様で各データフレームが送信される。
一方、図3(b)に示すように、ネットワークに事後的に取り付けられた制御装置60は、データの送信が自身に対して要求されていないにも拘わらず、第1のデータフレームDt1に応答してデータフレームDrsを送信する。このため、一旦、第1のデータフレームDt1が送信されると、不正なデータフレームDrsと正規のデータフレームDr1とがネットワークに送信される。この結果、一つのトリガ信号に対して複数の応答信号が送信されることとなる。
そこで、本実施の形態の監視用の車載制御装置50は、一つのトリガ信号(第1のデータフレームDt1)に応答する態様で複数の応答信号が送信されたときには、この複数の応答信号のうちの一部の信号が不正な制御装置60から送信された信号であることを検知する。
また一方、図4(a)に示すように、各車載制御装置11〜13、21〜23、及び31〜33には、例えば、自身が送信したデータフレームが他の車載制御装置が送信したデータフレームと衝突したことを検知したとき、エラーフレームDeを送信する機能が設けられている。そして通常、各車載制御装置11〜13、21〜23、及び31〜33が正常に動作している状態において送信されるエラーフレームDeの送信回数は、例えば約「150回」以内になる傾向にある。このため、図4(b)に示すように、通常想定される頻度よりも高い頻度でエラーフレームDeが送信されるときは、ネットワーク上に不正データが送信されたり、同不正データによりプログラムが書き換えられた車載制御装置によって、或る車載制御装置がエラーフレームDeを送信した可能性が高い。また、通常想定される頻度よりも高い頻度でエラーフレームDeが送信されるときは、このエラーフレームDeが不正な制御装置60によって送信されたデータフレームである可能性が高い。
そこで、本実施の形態の監視用の車載制御装置50は、ネットワーク上に送信されるエラーフレームDeの送信回数が通常想定され得る送信回数を超えたときは、このエラーフレームDeが不正データの存在に起因して発生したものであると検知する。
ここで、図5(a)に示すように、各車載制御装置11〜13、21〜23、及び31〜33は、CANの仕様に基づくデータ通信に際し、通信線10〜30の電位であるバスレベルを「0」及び「1」に変化させることによってデータ通信を行う。また、各車載制御装置11〜13、21〜23、及び31〜33には、自身が送信したデータがネットワーク上に送信されているか否かを監視する機能が設けられている。この機能により、各車載制御装置11〜13、21〜23、及び31〜33は、自身が送信したデータ、すなわちバスレベルと、各通信線10〜30のバスレベルとが一致しているかを監視する。
そして、図5(b)に示すように、不正な制御装置60が車載制御装置11になりすまして同車載制御装置11が送信するデータに近似するデータを送信したとする。また、タイミングt1において、車載制御装置11が送信したデータと不正な制御装置60が送信したデータとが相違するために、車載制御装置11が指示したバスレベルと各通信線10〜30のバスレベルとの相違が発生したとする。
そして、車載制御装置11がビットエラーの発生を認知すると、同車載制御装置11は、例えば、データの送信エラーが発生した旨を示すエラー情報を監視用の車載制御装置50に送信する。監視用の車載制御装置50は、エラー情報を受信すると、自身が管理するエラーカウンタに例えば「8」を加算する。逆に、監視用の車載制御装置50は、データの送信に成功したことを検知したとき、カウントしたエラーカウンタから「3」を減算する。なお、こうしたエラーカウンタは、例えば各車載制御装置11〜13、21〜23、及び31〜33毎にカウントされる。
そして、各車載制御装置11〜13、21〜23、及び31〜33は、このようにしてカウントされるエラーカウンタの数が例えば「255」を超えたとき、異常が発生したとして、各通信線10〜30を介したデータ通信を禁止する「バスオフ状態」に遷移する。
そこで、本実施の形態の監視用の車載制御装置50は、各車載制御装置11〜13、21〜23、及び31〜33が「バスオフ状態」に遷移したことを検知したとき、車載制御装置11〜13、21〜23、及び31〜33になりすました不正な制御装置60がネットワーク上にデータを送信している旨検知する。
次に、本実施の形態の監視用の車載制御装置50による警告情報の送信態様を図6を参照して説明する。
図6(a)に示すように、本実施の形態では、車両100に正規に搭載された各車載制御装置11〜13、21〜23、及び31〜33、各ゲートウェイ41及び42、並びに監視用の車載制御装置50は、例えば53ビットの特定の演算コード「X」を保有している。この演算コード「X」は、車両100の出荷時やディーラーでの車両100の診断時等に保有されるものである。これに対し、不正な制御装置60は、不正な手段により車両100に事後的に取り付けられることから、演算コード「X」を保有していない。
そして、本実施の形態の監視用の車載制御装置50は、こうした監視ポリシーに基づき不正データを検知すると、同不正データのデータフレームに付与されているIDをもとに同不正データの送信源である不正な制御装置60を特定する。
次いで、監視用の車載制御装置50は、この特定した不正な制御装置60が送信する不正データの利用を、各車載制御装置11〜13、21〜23、及び31〜33に禁止させる内容のメッセージコード「Y」を作成する。このメッセージコード「Y」は、例えば、53ビットのデータとして作成される。本実施の形態では、メッセージコード「Y」は、抑止処理の解除条件が満たされるまでの間、各車載制御装置11〜13、21〜23、及び31〜33に不正な制御装置60が送信するデータの利用を禁止させる内容となっている。なお、抑止処理の解除条件としては、例えば、所定時間が経過すること、及びイグニッションキーがオンとされることが規定されている。そして、本実施の形態では、各解除条件のうち、いずれかの条件が満たされることを条件として抑止処理が解除される。
そして、監視用の車載制御装置50は、図6(b)に示すように、同監視用の車載制御装置50が予め保有する演算コード「X」とメッセージコード「Y」とを例えばXOR演算することによって変換コード「Z」を作成する。監視用の車載制御装置50は、この作成した変換コード「Z」と例えば11ビットで示される特定した不正な制御装置60のIDとを、データフレームのデータフィールドに書き込む。そして、監視用の車載制御装置50は、このデータフレームに自身のIDを付して、同データフレームをネットワーク上に送信する。なお、この警告情報を示すデータフレームに付されるIDは、警告情報を示すデータを他のデータよりも優先して各車載制御装置11〜13、21〜23、及び31〜33に送信すべく、各車載制御装置11〜13、21〜23、及び31〜33がデータフレームに付するIDよりも小さい値のIDとなっている。
各車載制御装置11〜13、21〜23、及び31〜33は、監視用の車載制御装置50が送信したデータフレームを受信すると、データフィールドに書き込まれた変換コード「Z」と自身が保有する演算コード「X」とを例えばXOR演算することにより、メッセージコード「Y」を復元する。そして、各車載制御装置11〜13、21〜23、及び31〜33は、メッセージコード「Y」の指示内容に従って、不正な制御装置60から送信される不正データ(不正なデータフレーム)の利用を禁止する処理を行う。
一方、不正な制御装置60は、監視用の車載制御装置50から送信されたデータフレームを取得したとしても、演算コード「X」を保有していないために、メッセージコード「Y」を解読することができない。よって、不正な制御装置60は、自身の存在が検知されていることを察知することができない。これにより、監視用の車載制御装置50による警告情報(メッセージコード「Y」)の送信後、不正な制御装置60が自身の存在が検知されたことを察知してなりすまし等を行うことが抑制される。
次に、本実施の形態の監視用の車載制御装置50によるネットワークの監視手順及び不正データの抑制手順を図7を参照して説明する。
図7に示すように、例えば車両100のイグニッションキーがオンとされると、監視用の車載制御装置50がネットワークの監視を開始する(ステップS100)。次いで、監視用の車載制御装置50は、自身が保有する監視ポリシーに基づきネットワーク上に不正データが送信されていないかを監視する。すなわち、監視用の車載制御装置50は、ネットワーク上に送信されるデータフレームの送信周期が予め規定された最小周期未満であるか否かを監視する(ステップS101)。また、監視用の車載制御装置50は、一つのトリガ信号に対して複数の応答信号が送信されているか否かを監視する(ステップS102)。また一方、監視用の車載制御装置50は、各車載制御装置11〜13、21〜23、及び31〜33が送信するエラーフレームの送信回数が異常発生の基準となる異常回数(例えば150回)を超えているか否かを監視する(ステップS103)。さらに、監視用の車載制御装置50は、各車載制御装置11〜13、21〜23、及び31〜33のうち、バスオフ状態に遷移した車載制御装置が存在するか否かを監視する(ステップS104)。
そして、この監視の結果、該当する周期、応答信号、エラーフレーム、及び車載制御装置のいずれもが存在しないとき、監視用の車載制御装置50は、ネットワークに不正データが送信されていないと判断する(ステップS105)。すなわち、監視用の車載制御装置50は、ネットワークのセキュリティーが維持され、同ネットワーク及び各車載制御装置11〜13、21〜23、及び31〜33が正常に機能している旨判断する。
他方、上記監視の結果、該当する周期、応答信号、エラーフレーム、及び車載制御装置のいずれかが存在するとき、監視用の車載制御装置50は、ネットワーク上に不正データが送信されていると判断する(ステップS106)。すなわち、監視用の車載制御装置50は、同監視結果に基づいて、ネットワーク上に不正データが送信されており、ネットワーク内に不正な制御装置60が組み込まれている旨検知する。
そして、監視用の車載制御装置50は、ネットワーク上に送信されている不正データを検知すると、同不正データに付与されているIDに基づいて不正な制御装置60を特定する(ステップS107)。
次いで、監視用の車載制御装置50は、抑止処理として、各車載制御装置11〜13、21〜23、及び31〜33に警告情報を送信する処理を行う(ステップS108)。また、監視用の車載制御装置50は、抑止処理として、同ゲートウェイ41及び42が保有するルーティングテーブル41a及び42aを変更するための禁止情報をゲートウェイ41及び42に送信する処理を行う(ステップS109)。
以下、本実施の形態の車両ネットワーク監視装置の作用を図8を参照して説明する。
図8に示すように、例えば、車両100のイグニッションキーがオンとされると、監視用の車載制御装置50によるネットワークの監視が開始される。また、各種車両制御を行うべく、各車載制御装置11〜13、21〜23、及び31〜33間で、データの授受が行われる。同様に、ネットワークを跨いだデータの授受が、ルーティングテーブル41a、42aを保有するゲートウェイ41、42を中継して行われる。
ここで、ネットワーク内に不正に取り付けられたり外部のネットワークから不正アクセスする不正な制御装置60によって、通信線20を有するボディ系ネットワーク内に不正データが送信されたとする。
このとき、監視用の車載制御装置50は、例えば、不正な制御装置60が送信した不正データを構成するデータフレームが、上記規定された最小周期約「12ms」未満の異常周期で送信されたことを検出すると、不正データがボディ系ネットワーク内に送信されており、同ボディ系ネットワーク内に不正な制御装置60が不正侵入していることを検知する。
そして、監視用の車載制御装置50は、各車載制御装置11〜13、21〜23、及び31〜33に対し、警告情報を示す変換コード「Z」を送信する。変換コード「Z」を受信した各車載制御装置11〜13、21〜23、及び31〜33は、変換コード「Z」を復元する。次いで、各車載制御装置11〜13、21〜23、及び31〜33は、復元した警告情報に基づいて、不正な制御装置60が送信した不正データの利用を禁止する処理を行う。これにより、各車載制御装置11〜13、21〜23、及び31〜33により不正データが利用されることによって、各車載制御装置11〜13、21〜23、及び31〜33に予め組み込まれた正常なプログラムやデータ等が不正に書き換えられることが抑制される。
また、不正データを検知した監視用の車載制御装置50は禁止情報をゲートウェイ41及び42送信することにより、ゲートウェイ41及び42に対し、同ゲートウェイ41及び42が保有するルーティングテーブル41a及び42aを変更する旨を依頼する。これにより、ゲートウェイ41及び42が保有するルーティングテーブル41a及び42aが、当該ゲートウェイ41及び42を経由しようとする不正データのルーティングを禁止するように変更される。この結果、ボディ系ネットワーク内に送信された不正データが、ゲートウェイ41及び42を中継して制御系ネットワークや情報系ネットワークに拡散することが抑止される。
以上説明したように、本実施の形態にかかる車両ネットワーク監視装置によれば、以下の効果が得られるようになる。
(1)車両ネットワーク内に、同車両ネットワークで用いられる通信プロトコルを運用する上で規定されたデータの通信形式の監視を通じて不正データを検知する監視用の車載制御装置50を設けた。このため、車両ネットワークに送信されるデータの通信形式を監視用の車載制御装置50に監視させるだけで、車両ネットワーク内に不正データが送信されていることを検知することができる。これにより、特に複雑な構成を要することなく車両ネットワークのセキュリティーを高く維持することが可能となる。
(2)監視用の車載制御装置50が不正データを検知したとき、該検知した不正データの前記車両ネットワーク内への侵入に起因する車載制御装置11〜13、21〜23、及び31〜33の不正動作を抑止する抑止処理を同監視用の車載制御装置50に実行させた。このため、たとえ車両ネットワークに不正データが侵入したとしても、上記抑止処理が実行されることによって、不正データを受信した車載制御装置11〜13、21〜23、及び31〜33が不正動作を行うことが抑止される。これにより、不正データの侵入後においても、その影響を最小限に抑制して各車載制御装置11〜13、21〜23、及び31〜33の正常な動作を担保することが可能となる。また、これにより、不正データの送信元となる不正な制御装置60が車両ネットワーク内に組み込まれたとしても、同不正な制御装置60を車両ネットワークから物理的に取り外さずとも、同不正な制御装置60が送信する不正データが各車載制御装置11〜13、21〜23、及び31〜33や車両ネットワークに及ぼす影響を抑止することが可能となる。
(3)上記抑止処理として、各車載制御装置11〜13、21〜23、及び31〜33に対して警告情報を送信する処理、及びゲートウェイ41及び42に対して上記検知した不正データのルーティングを禁止する禁止情報を送信する処理を行うこととした。これにより、警告情報を受信した各車載制御装置11〜13、21〜23、及び31〜33に対して不正データの存在を認知させることが可能となり、車両ネットワーク上に送信されている不正データの影響を抑止し得る各種処理を車載制御装置11〜13、21〜23、及び31〜33に行わせることが可能となる。また、このため、不正データがゲートウェイ41及び42を経由しようとしても、ゲートウェイ41及び42が不正データのルーティングを禁止することにより、この不正データが各車載制御装置11〜13、21〜23、及び31〜33に送信されない。これにより、不正データがゲートウェイ41及び42を経由する途中で遮断されることとなり、このゲートウェイ41及び42を介して不正データが拡散することが抑止される。
(4)警告情報を受信した各車載制御装置11〜13、21〜23、及び31〜33に対し、上記検知された不正データに基づく動作を禁止する処理を行わせた。これにより、車両ネットワーク内に不正データが送信されたとしても、この不正データが各車載制御装置11〜13、21〜23、及び31〜33の動作に影響を及ぼすことを抑止できる。また、不正データが検知されたとき、ゲートウェイ41及び42に該ゲートウェイ41及び42が保有するルーティングテーブル41a及び42aを変更させる処理を行わせた。これにより、ルーティングテーブル41a及び42aの変更を通じて、不正データが拡散することが抑止され、ゲートウェイ41及び42を有した車両ネットワークのセキュリティーを高く維持することが可能となる。
(5)各車載制御装置11〜13、21〜23、及び31〜33、並びに監視用の車載制御装置50に、特定の演算コード「X」を予め保有させた。そして、監視用の車載制御装置50に、警告情報をメッセージコード「Y」として作成させた。また、監視用の車載制御装置50に、演算コード「X」を用いた演算処理により変換コード「Z」に変換されたメッセージコード「Y」を、車載制御装置11〜13、21〜23、及び31〜33に対して送信させた。このため、不正な制御装置60が、自身の存在が各車載制御装置11〜13、21〜23、及び31〜33等に認知されたことを検知して正当な車載制御装置になりすましをすることが抑止される。これにより、不正データや同不正データの送信源となる制御装置60の存在が一旦検知されて以降は、これら検知された不正データや制御装置を安定して監視することが促進される。
(6)正常時における通信形式として予め規定された規定の通信形式とは異なる通信形式のデータを監視用の車載制御装置50が検知したとき、該検知したデータを不正データとして特定させた。このため、監視用の車載制御装置50は、既知の通信形式を把握するだけで、不正データを検知することが可能となる。これにより、監視用の車載制御装置50は、不正データが未知のデータであっても、車両ネットワークに不正なデータが送信されたことを検知することが可能となる。
(7)上記データの通信形式として車両ネットワークに送信されるデータフレームの周期を監視用の車載制御装置50に監視させ、周期異常の検知を通じて不正データを検知させた。このため、監視用の車載制御装置50は、データの通信形式としてデータの送信周期を監視するだけで不正データを検知することが可能となる。これにより、車両ネットワークに侵入した不正データをより容易かつ的確に検知することが可能となる。
(8)トリガ信号の応答として車載制御装置11〜13、21〜23、及び31〜33から送信される応答信号の送信回数を、上記データの通信形式として監視用の車載制御装置50に監視させた。そして、トリガ信号の受信後から次のトリガ信号を受信するまでの期間に同一の応答信号が複数送信されたとき、同複数受信した応答信号の一部を不正データとして検知させた。このため、監視用の車載制御装置50は、応答信号の送信回数をカウントするだけで、車両ネットワーク内に不正データが送信されているか否かを検知することが可能となる。これにより、不正データの検知をより容易かつ的確に行うことが可能となる。
(9)上記データの通信形式として、エラーの検出に基づき各車載制御装置11〜13、21〜23、及び31〜33が送信するエラーフレームDeの送信回数を監視用の車載制御装置50に監視させた。そして、エラーフレームDeの送信回数が規定の送信回数を超えたことをもって、車両ネットワークに不正データが送信されている旨検知させた。このため、監視用の車載制御装置50は、各車載制御装置11〜13、21〜23、及び31〜33から送信されるエラーフレームDeの送信回数を監視するだけで車両ネットワークに不正データが送信されているか否かを検知することが可能となる。また、不正データの検知の指標となるエラーフレームDeの送信回数(例えば150回)を、車載制御装置がバスオフ状態に遷移する基準として設定されたエラーフレームDeの送信回数(255回)よりも少なく設定した。これにより、監視用の車載制御装置50は、エラーフレームDeが過剰に送信されることに起因して各車載制御装置11〜13、21〜23、及び31〜33がバスオフ状態に遷移する以前に不正データを検知することが可能となる。
(10)車載制御装置11〜13、21〜23、及び31〜33がバスオフ状態に遷移したとき、該検知したバスオフ状態の認識を通じて車両ネットワークに不正データが送信されている旨を監視用の車載制御装置50に検知させた。このため、監視用の車載制御装置50は、車載制御装置11〜13、21〜23、及び31〜33がバスオフ状態に遷移し、同車載制御装置11〜13、21〜23、及び31〜33との通信が不可能になっている旨と併せて、車両ネットワークに不正データが送信されている旨を検知することが可能となる。これにより、監視用の車載制御装置50は、各車載制御装置11〜13、21〜23、及び31〜33との通信状態を監視するだけで、車両ネットワークに不正データが送信されているか否かを検知することが可能となる。
(11)監視用の車載制御装置50による監視を、データフレームの周期、応答信号のカウント、エラーフレームDeの送信回数、及び各車載制御装置11〜13、21〜23、及び31〜33のバスオフ状態に基づいて行った。これにより、監視用の車載制御装置50は、車両ネットワーク内に不正データが送信されているか否かを様々な見地から監視することが可能となり、上記車両ネットワーク監視装置としての信頼性が好適に高められるようになる。
(12)上記監視部は、監視用の車載制御装置50として車両ネットワークに設ける構成とした。このため、本来、車両ネットワークに接続される車載制御装置の一部を監視用の車載制御装置50として機能させることで、同車両ネットワークの監視を通じてそのセキュリティーを維持することが可能となる。これにより、車両ネットワークを監視するための装置を別途に設ける必要もなく、本来、車両ネットワークに接続される汎用性の高い車載制御装置を用いて車両ネットワークの監視を実現することが可能となる。
なお、上記実施の形態は、以下のような形態をもって実施することもできる。
・上記演算コード「X」を用いて警告情報を変換コード「Z」に変換することとした。これに限らず、監視用の車載制御装置50、各車載制御装置11〜13、21〜23、及び31〜33が送信する全てのデータを、上記演算コード「X」を用いて変換コード「Z」に変換してもよい。そして、この変換コードを受信した各車載制御装置11〜13、21〜23、及び31〜33が同変換コード「Z」を自身が保有する演算コード「X」を用いて復元できたとき、同復元できたデータが正規の監視用の車載制御装置50や各車載制御装置11〜13、21〜23、及び31〜33から送信された正規のデータとして判別させるようにしてもよい。そして、正規のデータとして判別されたデータのみの利用を、監視用の車載制御装置50や各車載制御装置11〜13、21〜23、及び31〜33に許可させるようにしてもよい。これにより、監視用の車載制御装置50、並びに各車載制御装置11〜13、21〜23、及び31〜33は、自身が保有する演算コード「X」を用いて復元できるか否かを基準として、受信したデータが正規のデータであるか否かを判別することが可能となる。
・上記演算コード「X」を用いた演算をXOR演算により行った。これに限らず、例えば、監視用の車載制御装置50、並びに正規の車載制御装置11〜13、21〜23、及び31〜33のみが予め保有する共通鍵や秘密鍵等により警告情報を監視用の車載制御装置50にて暗号化させてもよい。そして、この暗号化された警告情報を各車載制御装置11〜13、21〜23、及び31〜33に送信させるようにしてもよい。このように共通鍵や秘密鍵等を用いた手法でも、不正な制御装置60に自身の存在が検知されていることを察知させることなく、抑止処理を実行することが可能となる。
・上記抑止処理の解除条件として、所定時間が経過すること、及びイグニッションキーがオンとされたことのうち、いずれかの条件が満たされることを条件として抑止処理を解除させた。これに限らず、所定時間が経過し、かつ、イグニッションキーがオンとされたことを条件として抑止処理を解除させるようにしてもよい。この他、抑止処理の解除条件とは、不正データの送信が停止されたこと等が推測される条件であればよく、例えば、車両100の診断終了や各車載制御装置11〜13、21〜23、及び31〜33等が初期化されたことを条件としてもよい。
・不正データとして、ボディ系ネットワークに不正に取り付けられた不正な制御装置60から送信されたデータを対象とした。この他、不正データとしては、外部のネットワークからの不正アクセスにより、車両ネットワーク内に不正送信されたデータであってもよい。このように、外部ネットワークから送信された不正データが車両ネットワークに侵入したとしても、上記監視用の車載制御装置50による監視を通じて同不正データを監視することは可能である。
・監視用の車載制御装置50に、監視するデータをロギングさせることとした。さらに、このロギングされるログデータを、新たな監視ポリシーの定義や、不正な制御装置60による攻撃のトレーサビリティ(追跡性)として利用させるようにしてもよい。新たな監視ポリシーの定義に際しては、例えば、異常周期の更新やエラーフレームの異常送信回数の更新等が行われる。
・上記監視部として、一つの監視用の車載制御装置50を車両ネットワーク内に設けることとした。これに限らず、2つ以上の監視用の車載制御装置50を車両ネットワーク内に設けるようにしてもよい。この構成ではさらに、制御系ネットワーク、ボディ系ネットワーク、及び情報系ネットワークの別に監視用の車載制御装置を設けることで、ネットワークを単位とした監視を専用の監視用の車載制御装置により個別に行わせることが可能となる。これにより、たとえ一つの監視用の車載制御装置のプログラムやデータ等が不正データにより書き換えられたとしても、他の監視用の車載制御装置により車両ネットワークのセキュリティーを好適に維持することが可能となる。よって、車両ネットワークの監視にかかるフォールトトレラントが維持されることとなる。
・監視用の車載制御装置50による監視を、制御系ネットワーク、ボディ系ネットワーク、及び情報系ネットワークの全てのネットワークを対象として行った。これに限らず、制御系ネットワークのみを監視用の車載制御装置50に監視させるようにしてもよい。この監視態様では、監視対象が車両100の制御に際して重要度の高い制御系ネットワークに限定されることで、監視用の車載制御装置50の監視負荷が最小限に抑制される。また、これにより、監視用の車載制御装置50による監視を、重要度の高い制御系ネットワークに注力させることが可能となる。またこの他、監視用の車載制御装置50による監視対象とは、制御系ネットワーク、ボディ系ネットワーク、及び情報系ネットワークのうち、いずれか一つのネットワークであってもよい。要は、車両100に搭載される車両ネットワークの一部または全部であれば、監視用の車載制御装置50の監視対象とすることが可能である。
・不正データの検知の指標となるエラーフレームDeの送信回数を、車載制御装置がバスオフ状態に遷移する基準として設定されたエラーフレームDeの送信回数よりも少なく設定した。これに限らず、例えば、不正データの検知の指標となるエラーフレームDeの送信回数を、車載制御装置がバスオフ状態に遷移する基準として設定されたエラーフレームDeの送信回数と同じ回数に設定してもよい。
・監視用の車載制御装置50による監視を、データフレームの周期、応答信号のカウント、エラーフレームDeの送信回数、及び各車載制御装置11〜13、21〜23、及び31〜33のバスオフ状態の全てに基づいて行った。これに限らず。データフレームの周期、応答信号のカウント、エラーフレームDeの送信回数、及び各車載制御装置11〜13、21〜23、及び31〜33のバスオフ状態の少なくとも一つに基づいて、監視用の車載制御装置50による監視を行うようにしてもよい。またこの他、ネットワークのプロトコルを運用する上で予め規定された通信形式に従ったデータ通信が行われているかを基準として、車載制御装置50による監視を行うようにしてもよい。
・上記警告情報を、演算コード「X」を用いて変換したメッセージコード「Y」として送信することとした。これに限らず、各車載制御装置11〜13、21〜23、及び31〜33、並びに監視用の車載制御装置50に、特定の演算コード「X」を予め保有させない構成としてもよい。そして、平文の警告情報を、監視用の車載制御装置50から車載制御装置11〜13、21〜23、及び31〜33等に送信させるようにしてもよい。この構成では、警告情報の送受信に際しての演算負荷が軽減されることとなる。なお、この構成であれ、一旦検知された不正データについては、各車載制御装置11〜13、21〜23、及び31〜33に利用されることが抑止される。
・警告情報を受信した各車載制御装置11〜13、21〜23、及び31〜33に対し、上記検知された不正データに基づく動作を禁止する処理を行わせた。また、不正データが検知されたとき、ゲートウェイ41及び42に該ゲートウェイ41及び42が保有するルーティングテーブル41a及び42aを変更させる処理を行わせた。これに限らず、例えば、検知された不正データについては、各車載制御装置11〜13、21〜23、及び31〜33、並びにゲートウェイ41及び42に破棄させることとしてもよい。
・上記抑止処理として、警告情報を送信する処理、並びにゲートウェイ41及び42による不正データのルーティングを禁止させる処理を行った。これに限らず、抑止処理として、警告情報を送信する処理、並びにゲートウェイ41及び42による不正データのルーティングを禁止させる処理のいずれか一方の処理を行うようにしてもよい。またこの他、抑止処理として、ネットワーク内に不正データが送信されている旨を、ドライバ、車両100の状態が管理される管理センタ、及び車両100のディーラ等に報知する処理を行うようにしてもよい。
・監視用の車載制御装置50が不正データを検知したとき、抑止処理を同監視用の車載制御装置50に実行させた。これに限らず、監視用の車載制御装置50は、不正データの検知のみを行うこととしてもよい。また、例えば、監視用の車載制御装置50に不正データの検知のみを行わせ、この検知結果に基づき抑止処理を実行する装置を監視用の車載制御装置50と別体に設けてもよい。
・監視用の車載制御装置50に、エラーカウンタ、IDテーブル、及びロギング機能を設けた。これに限らず、監視用の車載制御装置50は、車両ネットワークに送信されるデータの通信形式を監視可能な構成であればよく、エラーカウンタ、IDテーブル、及びロギング機能を割愛することも可能である。
・監視用の車載制御装置50を、一つの車載制御装置として車両ネットワーク内に設けた。これに代えて、先の図1に対応する図として例えば図9に示すように、ゲートウェイ41α、42βに、監視用の車載制御装置50と同等の機能を有する監視部51を設ける構成としてもよい。この構成では、ゲートウェイ41α、42βと監視部51とが一体に構成されることにより、不正データの監視のための車載制御装置が不要となり、車両ネットワーク監視装置としてのさらなる簡略化を図ることが可能となる。また、これにより、監視部51が不正データを検知したときは、同監視部51が搭載されたゲートウェイ41α、42βによる不正データのルーティングを直接的に禁止することが可能となる。また、先の図1に対応する図として例えば図10に示すように、各ネットワークを構成する全ての通信線10〜30に一つのゲートウェイ43を集約して接続させる構成としてもよい。そして、ゲートウェイ43に、監視部51を設ける構成としてもよい。この構成では、通信線10〜30が集約されるゲートウェイ43に監視部51を設けることで、監視部51は、車両ネットワーク全体の通信状況を効率よく監視することが可能となる。このため、一つの監視部51によって、車両ネットワーク全体のセキュリティーを一括して管理することが可能となり、より簡易な構成のもとに車両ネットワークのセキュリティーを維持することが可能となる。この他、監視部51を、各車載制御装置11〜13、21〜23、及び31〜33のうちの少なくとも1つの車載制御装置に設ける構成としてもよい。この構成であれ、不正データの監視のための車載制御装置が不要となり、車両ネットワーク監視装置としてのさらなる簡略化を図ることが可能となる。また、この構成では、車両100の制御を担う各車載制御装置11〜13、21〜23、及び31〜33が単体で自身のセキュリティを担保することが可能となる。この他、監視部とは、車両ネットワークに送信されるデータの通信形式を監視可能な位置に設けられるものであればよく、その設置態様は適宜変更することが可能である。
・上記車両ネットワークとして、CANを対象とした。これに限らず、車両ネットワークとは、通信プロトコルを運用する上でデータの通信形式が規定されたものであればよく、例えば、フレックスレイ、IDB−1394、BEAN、CAN、LIN、AVC−LAN、MOST(登録商標)等であってもよい。
10、10a、20、20a、30、30a…通信線、11−13、21−23、31−33…正規の車載制御装置、41、41α…ゲートウェイ、41a…ルーティングテーブル、42、42β…ゲートウェイ、42a…ルーティングテーブル、43…ゲートウェイ、50…監視用の車載制御装置、51…監視部、60…不正な制御装置、100…車両。

Claims (11)

  1. 複数の車載制御装置の間でデータの通信が行われる車両ネットワークにあってその通信データの監視を行う車両ネットワーク監視装置であって、
    前記車両ネットワークで用いられる通信プロトコルを運用する上で規定されたデータの通信形式の監視を通じて不正データを検知する監視部と、
    前記複数の車載制御装置の間でのデータの中継用として前記車両ネットワークに設けられ、該車両ネットワーク内で送受信されるデータの送信先が予め規定されたルーティングテーブルを保有するゲートウェイと、を備え、
    前記監視部は、前記不正データを検知したとき、該検知した不正データの前記車両ネットワーク内への侵入に起因する前記複数の車載制御装置の不正動作を抑止する抑止処理として、前記複数の車載制御装置に対して警告情報を送信する処理、及び前記データの中継用として前記車両ネットワークに設けられたゲートウェイに対して前記検知した不正データのルーティングを禁止する禁止情報を送信する処理の少なくとも1つの処理を実行し、
    前記複数の車載制御装置は、前記警告情報を受信したとき、前記検知された不正データに基づく動作を禁止する処理を行い、前記ゲートウェイは、前記禁止情報を受信したとき、当該ゲートウェイが有するルーティングテーブルを変更する処理を行う
    ことを特徴とする車両ネットワーク監視装置。
  2. 前記監視部及び前記複数の車載制御装置は、特定の演算コードを予め保有し、
    前記監視部は、前記警告情報を送信する処理として、前記警告情報をメッセージコードとして作成するとともに、該作成したメッセージコードに前記演算コードを用いた演算処理を施して変換した変換コードを前記複数の車載制御装置に送信する処理を行い、
    前記複数の車載制御装置は、前記監視部から受信した変換コードを当該車載制御装置が保有する演算コードを用いて前記変換コードを前記メッセージコードに復元する処理を行う
    請求項に記載の車両ネットワーク監視装置。
  3. 複数の車載制御装置の間でデータの通信が行われる車両ネットワークにあってその通信データの監視を行う車両ネットワーク監視装置であって、
    前記車両ネットワークで用いられる通信プロトコルを運用する上で規定されたデータの
    通信形式の監視を通じて不正データを検知する監視部と、
    前記複数の車載制御装置の間でのデータの中継用として前記車両ネットワークに設けられ、該車両ネットワーク内で送受信されるデータの送信先が予め規定されたルーティングテーブルを保有するゲートウェイと、を備え、
    前記監視部は、前記不正データを検知したとき、該検知した不正データの前記車両ネットワーク内への侵入に起因する前記複数の車載制御装置の不正動作を抑止する抑止処理として、前記複数の車載制御装置に対して警告情報を送信する処理、及び前記データの中継用として前記車両ネットワークに設けられたゲートウェイに対して前記検知した不正データのルーティングを禁止する禁止情報を送信する処理の少なくとも1つの処理を実行するとともに、
    前記監視部及び前記複数の車載制御装置は、特定の演算コードを予め保有し、
    前記監視部は、前記警告情報を送信する処理として、前記警告情報をメッセージコードとして作成するとともに、該作成したメッセージコードに前記演算コードを用いた演算処理を施して変換した変換コードを前記複数の車載制御装置に送信する処理を行い、
    前記複数の車載制御装置は、前記監視部から受信した変換コードを当該車載制御装置が保有する演算コードを用いて前記変換コードを前記メッセージコードに復元する処理を行う
    ことを特徴とする車両ネットワーク監視装置。
  4. 前記監視部は、正常時における通信形式として予め規定された規定の通信形式とは異なる通信形式のデータを検知したとき、該検知したデータを不正データとして特定する
    請求項1〜のいずれか一項に記載の車両ネットワーク監視装置。
  5. 前記監視部は、前記データの通信形式として前記車両ネットワークに送信されるデータの周期を監視し、周期異常の検知を通じて前記不正データを検知する
    請求項1〜のいずれか一項に記載の車両ネットワーク監視装置。
  6. 前記監視部は、前記車載制御装置に対してデータを要求するトリガ信号の応答として前記車載制御装置から送信される応答信号の送信回数を前記データの通信形式として監視し、前記トリガ信号の受信後から次のトリガ信号を受信するまでの期間に同一の応答信号を複数受信したとき、複数受信した応答信号の一部を不正データとして検知する
    請求項1〜のいずれか一項に記載の車両ネットワーク監視装置。
  7. 前記監視部は、エラーの検出に基づき前記車載制御装置が送信するエラーフレームの送信回数を前記データの通信形式として監視し、該監視するエラーフレームの送信回数が規定の送信回数を超えたことをもって、前記車両ネットワークに不正データが送信されている旨検知する
    請求項1〜のいずれか一項に記載の車両ネットワーク監視装置。
  8. 前記車両ネットワークがコントロール・エリア・ネットワークであり、
    前記監視部は、前記車載制御装置によるデータの送信及び受信が不可能になるバスオフ状態に遷移したことを検知し、該検知したバスオフ状態の認識を通じて前記車両ネットワークに不正データが送信されている旨検知す
    請求項1〜のいずれか一項に記載の車両ネットワーク監視装置。
  9. 前記監視部は、監視用の車載制御装置として前記車両ネットワークに設けられてなる
    請求項1〜のいずれか一項に記載の車両ネットワーク監視装置。
  10. 前記車両ネットワークは、該車両ネットワークを構成する通信線が一つのゲートウェイに集約して接続されたネットワークからなり、前記監視部は、この通信線が集約して接続
    されたゲートウェイに設けられてなる
    請求項1〜のいずれか一項に記載の車両ネットワーク監視装置。
  11. 前記車両ネットワークが、車両に搭載された車両駆動系の制御を行う駆動制御系の車載制御装置が接続された制御系ネットワークからなり、前記監視部は、前記制御系ネットワークに送信される不正データを検知する
    請求項1〜10のいずれか一項に記載の車両ネットワーク監視装置。
JP2011279859A 2011-12-21 2011-12-21 車両ネットワーク監視装置 Expired - Fee Related JP5522160B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2011279859A JP5522160B2 (ja) 2011-12-21 2011-12-21 車両ネットワーク監視装置
US14/367,554 US20150066239A1 (en) 2011-12-21 2012-12-14 Vehicle network monitoring method and apparatus
EP12818810.9A EP2795879A1 (en) 2011-12-21 2012-12-14 Vehicle network monitoring method and apparatus
PCT/IB2012/002707 WO2013093591A1 (en) 2011-12-21 2012-12-14 Vehicle network monitoring method and apparatus
CN201280063434.5A CN104012065A (zh) 2011-12-21 2012-12-14 车辆网络监测方法及车辆网络监测装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011279859A JP5522160B2 (ja) 2011-12-21 2011-12-21 車両ネットワーク監視装置

Publications (2)

Publication Number Publication Date
JP2013131907A JP2013131907A (ja) 2013-07-04
JP5522160B2 true JP5522160B2 (ja) 2014-06-18

Family

ID=47603846

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011279859A Expired - Fee Related JP5522160B2 (ja) 2011-12-21 2011-12-21 車両ネットワーク監視装置

Country Status (5)

Country Link
US (1) US20150066239A1 (ja)
EP (1) EP2795879A1 (ja)
JP (1) JP5522160B2 (ja)
CN (1) CN104012065A (ja)
WO (1) WO2013093591A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE112017006948B4 (de) 2017-02-28 2022-07-28 Mitsubishi Electric Corporation Fahrzeugkommunikationsüberwachungseinrichtung, fahrzeugkommunikationsüberwachungsverfahren und fahrzeugkommunikationsüberwachungsprogramm

Families Citing this family (109)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5772666B2 (ja) * 2012-03-05 2015-09-02 株式会社オートネットワーク技術研究所 通信システム
FR2992079A1 (fr) * 2012-06-15 2013-12-20 France Telecom Dispositif et procede d'extraction de donnees sur un bus de communication d'un vehicule automobile
US9525700B1 (en) * 2013-01-25 2016-12-20 REMTCS Inc. System and method for detecting malicious activity and harmful hardware/software modifications to a vehicle
JP5954228B2 (ja) * 2013-03-22 2016-07-20 トヨタ自動車株式会社 ネットワーク監視装置及びネットワーク監視方法
JP6184171B2 (ja) * 2013-05-28 2017-08-23 三菱電機株式会社 管理制御ネットワークシステム
WO2014199687A1 (ja) * 2013-06-13 2014-12-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム
JP2015015643A (ja) * 2013-07-05 2015-01-22 ローム株式会社 信号伝達回路
JP6099269B2 (ja) * 2013-07-19 2017-03-22 矢崎総業株式会社 データ排除装置
JP5796612B2 (ja) * 2013-09-13 2015-10-21 トヨタ自動車株式会社 通信システム
JP6028717B2 (ja) * 2013-11-06 2016-11-16 トヨタ自動車株式会社 通信システムおよびゲートウェイ装置並びに通信方法
EP3358800B1 (en) 2014-01-06 2021-10-20 Argus Cyber Security Ltd Bus watchman
KR101519777B1 (ko) * 2014-01-29 2015-05-12 현대자동차주식회사 차량 네트워크 내의 제어기간의 데이터 송신 방법 및 수신 방법
JP6217469B2 (ja) * 2014-03-10 2017-10-25 トヨタ自動車株式会社 不正データ検出装置、及び通信システム並びに不正データ検出方法
US10824720B2 (en) * 2014-03-28 2020-11-03 Tower-Sec Ltd. Security system and methods for identification of in-vehicle attack originator
EP3852313B1 (en) * 2014-04-03 2022-06-08 Panasonic Intellectual Property Corporation of America Network communication system, fraud detection electronic control unit and anti-fraud handling method
JP6698190B2 (ja) * 2014-04-03 2020-05-27 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正対処方法、不正検知電子制御ユニット、および、ネットワーク通信システム
JP6651662B2 (ja) * 2014-04-17 2020-02-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知電子制御ユニット及び不正検知方法
EP3133774B1 (en) * 2014-04-17 2020-11-25 Panasonic Intellectual Property Corporation of America Vehicle-mounted network system, abnormality detection electronic control unit and abnormality detection method
JP6490058B2 (ja) * 2014-04-17 2019-03-27 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 車載ネットワークシステム及び不正検知方法
EP3462670B1 (en) * 2014-05-08 2021-06-09 Panasonic Intellectual Property Corporation of America In-vehicle network system, fraud-sensing electronic control unit, and anti-fraud method
JP6875576B2 (ja) * 2014-05-08 2021-05-26 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正対処方法
JP6569087B2 (ja) * 2014-05-29 2019-09-04 パナソニックIpマネジメント株式会社 受信装置および受信方法
TWI569995B (zh) * 2014-05-30 2017-02-11 Icm Inc Information gateway and its interference with vehicle operation
JP6267596B2 (ja) * 2014-07-14 2018-01-24 国立大学法人名古屋大学 通信システム、通信制御装置及び不正情報送信防止方法
CN110290039B (zh) * 2014-09-12 2021-08-31 松下电器(美国)知识产权公司 电子控制单元、车载网络系统以及车辆用通信方法
FR3027129B1 (fr) * 2014-10-08 2016-10-21 Renault Sa Systeme de reseau embarque de vehicule et procede de detection d'intrusion sur le reseau embarque
CN104301177B (zh) * 2014-10-08 2018-08-03 清华大学 Can报文异常检测方法及系统
JP6874102B2 (ja) * 2014-12-01 2021-05-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知電子制御ユニット、車載ネットワークシステム及び不正検知方法
EP3657757B1 (en) 2014-12-01 2021-08-04 Panasonic Intellectual Property Corporation of America Illegality detection electronic control unit, car onboard network system, and illegality detection method
JP6369334B2 (ja) * 2015-01-09 2018-08-08 トヨタ自動車株式会社 車載ネットワーク
CN111885078B (zh) 2015-01-20 2022-03-08 松下电器(美国)知识产权公司 不正常应对方法以及电子控制单元
EP3813333B1 (en) * 2015-01-20 2022-06-29 Panasonic Intellectual Property Corporation of America Irregularity detection rule update for an on-board network
JP6595885B2 (ja) 2015-01-20 2019-10-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正対処方法及び電子制御ユニット
JP6594732B2 (ja) 2015-01-20 2019-10-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム
WO2016116973A1 (ja) * 2015-01-20 2016-07-28 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム
US9787605B2 (en) * 2015-01-30 2017-10-10 Nicira, Inc. Logical router with multiple routing components
DE102015205670A1 (de) * 2015-03-30 2016-06-09 Volkswagen Aktiengesellschaft Angriffserkennungsverfahren, Angriffserkennungsvorrichtung und Bussystem für ein Kraftfahrzeug
US9531750B2 (en) * 2015-05-19 2016-12-27 Ford Global Technologies, Llc Spoofing detection
JP6477281B2 (ja) 2015-06-17 2019-03-06 株式会社オートネットワーク技術研究所 車載中継装置、車載通信システム及び中継プログラム
US9984512B2 (en) * 2015-07-02 2018-05-29 International Business Machines Corporation Cooperative vehicle monitoring and anomaly detection
CN107710657B (zh) * 2015-07-22 2021-04-13 阿瑞路资讯安全科技股份有限公司 用于通信总线的实时数据安全的方法和装置
US10250689B2 (en) * 2015-08-25 2019-04-02 Robert Bosch Gmbh Security monitor for a vehicle
JP6585001B2 (ja) * 2015-08-31 2019-10-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、不正検知電子制御ユニット及び不正検知システム
CN111934994B (zh) * 2015-08-31 2022-06-07 松下电器(美国)知识产权公司 网关装置、车载网络系统以及通信方法
JP6603617B2 (ja) * 2015-08-31 2019-11-06 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ ゲートウェイ装置、車載ネットワークシステム及び通信方法
US10279775B2 (en) 2015-09-10 2019-05-07 Robert Bosch Gmbh Unauthorized access event notification for vehicle electronic control units
KR101675332B1 (ko) * 2015-09-14 2016-11-11 인포뱅크 주식회사 차량용 데이터 통신 방법 및 그를 이용하는 차량용 전자 제어 장치 및 시스템
JP6836340B2 (ja) * 2015-09-29 2021-02-24 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知電子制御ユニット、車載ネットワークシステム及び通信方法
CN105893844A (zh) * 2015-10-20 2016-08-24 乐卡汽车智能科技(北京)有限公司 车辆总线网络的报文发送方法和装置
JP6286749B2 (ja) * 2015-10-21 2018-03-07 本田技研工業株式会社 通信システム、制御装置、及び制御方法
US20170150361A1 (en) * 2015-11-20 2017-05-25 Faraday&Future Inc. Secure vehicle network architecture
CN112286764B (zh) * 2015-12-14 2024-11-26 松下电器(美国)知识产权公司 安全装置、网络系统以及攻击检测方法
JP6566400B2 (ja) * 2015-12-14 2019-08-28 パナソニックIpマネジメント株式会社 電子制御装置、ゲートウェイ装置、及び検知プログラム
WO2017104122A1 (ja) * 2015-12-14 2017-06-22 パナソニックIpマネジメント株式会社 通信装置、通信方法、及び通信プログラム
JP6684690B2 (ja) * 2016-01-08 2020-04-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
JP6404848B2 (ja) * 2016-03-15 2018-10-17 本田技研工業株式会社 監視装置、及び、通信システム
CN109076011B (zh) * 2016-04-19 2021-05-07 三菱电机株式会社 中继装置
JP2017214049A (ja) * 2016-05-27 2017-12-07 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング セキュリティ検査システム、セキュリティ検査方法、機能評価装置、及びプログラム
JP6631426B2 (ja) * 2016-07-08 2020-01-15 マツダ株式会社 車載通信システム
JP6849528B2 (ja) * 2016-07-28 2021-03-24 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム
JP6783578B2 (ja) * 2016-08-04 2020-11-11 株式会社Subaru 車両制御システム
US11096057B2 (en) * 2016-08-24 2021-08-17 Mitsubishi Electric Corporation Communication control device, communication system, and communication control method
DE102017122771A1 (de) * 2016-10-04 2018-04-05 Toyota Jidosha Kabushiki Kaisha On-Board Netzwerksystem
CN106411648A (zh) * 2016-10-13 2017-02-15 交控科技股份有限公司 城市轨道交通信号系统的数据监测方法及数据监测服务器
US20190273755A1 (en) 2016-11-10 2019-09-05 Lac Co., Ltd. Communication control device, communication control method, and program
JP6490879B2 (ja) * 2016-12-06 2019-03-27 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 情報処理装置及び情報処理方法
WO2018104929A1 (en) 2016-12-07 2018-06-14 Arilou Information Security Technologies Ltd. System and method for using signal waveform analysis for detecting a change in a wired network
CN106685967A (zh) * 2016-12-29 2017-05-17 同济大学 一种车载网络通信加密和入侵监测装置
JP6782444B2 (ja) * 2017-01-18 2020-11-11 パナソニックIpマネジメント株式会社 監視装置、監視方法およびコンピュータプログラム
DE112017006854T5 (de) 2017-01-18 2019-10-02 Panasonic Intellectual Property Management Co., Ltd. Überwachungsvorrichtung, Überwachungsverfahren und Computerprogramm
JP6956624B2 (ja) 2017-03-13 2021-11-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 情報処理方法、情報処理システム、及びプログラム
JP6693450B2 (ja) * 2017-03-14 2020-05-13 株式会社デンソー 情報管理システム、車載装置、サーバ、及びルーティングテーブル変更方法
JP2018157288A (ja) * 2017-03-16 2018-10-04 本田技研工業株式会社 通信システム
JP6527541B2 (ja) * 2017-03-17 2019-06-05 本田技研工業株式会社 送信装置
US10637737B2 (en) * 2017-03-28 2020-04-28 Ca Technologies, Inc. Managing alarms from distributed applications
WO2018186053A1 (ja) * 2017-04-07 2018-10-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正通信検知方法、不正通信検知システム及びプログラム
KR102309438B1 (ko) 2017-06-23 2021-10-07 현대자동차주식회사 차량 검사 시스템, 차량 및 차량의 제어 방법
JP6743778B2 (ja) * 2017-07-19 2020-08-19 株式会社オートネットワーク技術研究所 受信装置、監視機及びコンピュータプログラム
JP6828632B2 (ja) 2017-08-03 2021-02-10 住友電気工業株式会社 検知装置、検知方法および検知プログラム
JP6808595B2 (ja) * 2017-09-01 2021-01-06 クラリオン株式会社 車載装置、インシデント監視方法
US10498749B2 (en) * 2017-09-11 2019-12-03 GM Global Technology Operations LLC Systems and methods for in-vehicle network intrusion detection
US10484425B2 (en) 2017-09-28 2019-11-19 The Mitre Corporation Controller area network frame override
JP7003544B2 (ja) * 2017-09-29 2022-01-20 株式会社デンソー 異常検知装置、異常検知方法、プログラム及び通信システム
EP3692393B1 (en) * 2017-10-02 2023-06-07 Tower-Sec Ltd. Detection and prevention of a cyber physical attack aimed at sensors
DE102017218134B3 (de) 2017-10-11 2019-02-14 Volkswagen Aktiengesellschaft Verfahren und Vorrichtung zum Übertragen einer Botschaftsfolge über einen Datenbus sowie Verfahren und Vorrichtung zum Erkennen eines Angriffs auf eine so übertragene Botschaftsfolge
CN111466107A (zh) * 2017-12-15 2020-07-28 通用汽车环球科技运作有限责任公司 用于载具内控制器的以太网网络剖析入侵检测控制逻辑和架构
US20200389469A1 (en) 2017-12-24 2020-12-10 Arilou Information Security Technologies Ltd. System and method for tunnel-based malware detection
US10887349B2 (en) * 2018-01-05 2021-01-05 Byton Limited System and method for enforcing security with a vehicle gateway
JP7247089B2 (ja) * 2018-01-22 2023-03-28 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車両異常検知サーバ、車両異常検知システム及び車両異常検知方法
JP6950605B2 (ja) * 2018-03-27 2021-10-13 トヨタ自動車株式会社 車両用通信システム
DE112018007548B4 (de) * 2018-06-01 2021-07-08 Mitsubishi Electric Corporation Datenkommunikationssteuerungseinrichtung, Datenkommunikationssteuerprogramm und Datensteuerungssystem
WO2020021713A1 (ja) * 2018-07-27 2020-01-30 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正検知方法および不正検知電子制御装置
WO2020044638A1 (ja) 2018-08-30 2020-03-05 住友電気工業株式会社 車載通信システム、データ取得装置、管理装置および監視方法
CN109257261A (zh) * 2018-10-17 2019-01-22 南京汽车集团有限公司 基于can总线信号物理特征的抗假冒节点攻击方法
WO2020090108A1 (ja) * 2018-11-02 2020-05-07 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正制御防止システムおよび、不正制御防止方法
CN111443682B (zh) * 2018-12-29 2023-09-01 北京奇虎科技有限公司 基于车辆can总线结构的安全防护装置及方法
CN111669352B (zh) * 2019-03-08 2022-04-19 广州汽车集团股份有限公司 防拒绝服务攻击方法和装置
WO2020184001A1 (ja) * 2019-03-14 2020-09-17 日本電気株式会社 車載セキュリティ対策装置、車載セキュリティ対策方法およびセキュリティ対策システム
CN110098990A (zh) * 2019-05-07 2019-08-06 百度在线网络技术(北京)有限公司 控制器局域网的安全防护方法、装置、设备及存储介质
US20220232022A1 (en) * 2019-05-13 2022-07-21 Cummins Inc. Method and system for detecting intrusion in a vehicle system
WO2021038869A1 (ja) * 2019-08-30 2021-03-04 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車両監視装置および車両監視方法
JP7411895B2 (ja) 2019-12-05 2024-01-12 パナソニックIpマネジメント株式会社 情報処理装置、異常検知方法およびコンピュータプログラム
JP7247875B2 (ja) 2019-12-06 2023-03-29 株式会社オートネットワーク技術研究所 判定装置、判定プログラム及び判定方法
CN111262846B (zh) * 2020-01-09 2022-04-19 鹏城实验室 总线控制器的控制方法、总线控制器及可读存储介质
JP2020141414A (ja) * 2020-05-11 2020-09-03 日立オートモティブシステムズ株式会社 Ecu、ネットワーク装置
JP7170945B2 (ja) 2020-07-17 2022-11-14 三菱電機株式会社 通信許可リスト生成装置、通信許可リスト生成方法、及び、プログラム
WO2022244200A1 (ja) * 2021-05-20 2022-11-24 三菱電機株式会社 制御装置
CN113596023A (zh) * 2021-07-27 2021-11-02 北京卫达信息技术有限公司 数据中继和远程引导设备
CN119032551A (zh) * 2022-05-12 2024-11-26 株式会社自动网络技术研究所 监视装置、车辆监视方法及车辆监视程序

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7576637B2 (en) * 1996-08-22 2009-08-18 Omega Patents, L.L.C Vehicle security system including pre-warning features for a vehicle having a data communications bus and related methods
US6608557B1 (en) * 1998-08-29 2003-08-19 Royal Thoughts, Llc Systems and methods for transmitting signals to a central station
JP2001103063A (ja) * 1999-09-29 2001-04-13 Matsushita Electric Ind Co Ltd ネットワーク監視装置、監視方法、および記録媒体
JP3790486B2 (ja) 2002-03-08 2006-06-28 三菱電機株式会社 パケット中継装置、パケット中継システムおよびオトリ誘導システム
JP2005128919A (ja) * 2003-10-27 2005-05-19 Nec Fielding Ltd ネットワークセキュリティーシステム
JP2006316639A (ja) * 2005-05-10 2006-11-24 Denso Corp メインリレー故障診断方法及び電子制御装置
JP4523480B2 (ja) * 2005-05-12 2010-08-11 株式会社日立製作所 ログ分析システム、分析方法及びログ分析装置
JP4890909B2 (ja) * 2006-03-30 2012-03-07 ルネサスエレクトロニクス株式会社 通信システム及び通信方法。
JP4466597B2 (ja) * 2006-03-31 2010-05-26 日本電気株式会社 ネットワークシステム、ネットワーク管理装置、ネットワーク管理方法及びプログラム
JP2008092185A (ja) * 2006-09-29 2008-04-17 Matsushita Electric Works Ltd ネットワーク装置及び宅内ネットワークシステム
JP2009010851A (ja) * 2007-06-29 2009-01-15 Mitsubishi Fuso Truck & Bus Corp 車載ゲートウェイ装置
JP2010206651A (ja) * 2009-03-04 2010-09-16 Toyota Motor Corp 通信中継装置、通信中継方法、通信ネットワークおよび電子制御装置
US8351454B2 (en) * 2009-05-20 2013-01-08 Robert Bosch Gmbh Security system and method for wireless communication within a vehicle
CN102461118B (zh) * 2009-06-11 2016-07-06 松下航空电子公司 用于在移动平台上提供安全性的系统和方法
CN102056105A (zh) * 2009-11-02 2011-05-11 祁勇 一种监控垃圾短信的方法和系统
JP5434512B2 (ja) * 2009-11-18 2014-03-05 トヨタ自動車株式会社 車載通信システム、ゲートウェイ装置
JP5311494B2 (ja) * 2009-12-04 2013-10-09 Necアクセステクニカ株式会社 データ中継用光通信システム、およびその試験方法
WO2013179392A1 (ja) * 2012-05-29 2013-12-05 トヨタ自動車 株式会社 認証システム及び認証方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE112017006948B4 (de) 2017-02-28 2022-07-28 Mitsubishi Electric Corporation Fahrzeugkommunikationsüberwachungseinrichtung, fahrzeugkommunikationsüberwachungsverfahren und fahrzeugkommunikationsüberwachungsprogramm

Also Published As

Publication number Publication date
WO2013093591A1 (en) 2013-06-27
CN104012065A (zh) 2014-08-27
EP2795879A1 (en) 2014-10-29
JP2013131907A (ja) 2013-07-04
US20150066239A1 (en) 2015-03-05

Similar Documents

Publication Publication Date Title
JP5522160B2 (ja) 車両ネットワーク監視装置
JP6578224B2 (ja) 車載システム、プログラムおよびコントローラ
JP6807906B2 (ja) 車両へのコンピュータ攻撃を阻止するためのルールを生成するシステムおよび方法
US10666615B2 (en) Method for detecting, blocking and reporting cyber-attacks against automotive electronic control units
JP6762347B2 (ja) 交通手段に対するコンピュータ攻撃を阻止するためのシステムおよび方法
JP5999178B2 (ja) 車両用ネットワークの通信管理装置及び通信管理方法
JP6201962B2 (ja) 車載通信システム
JP5838983B2 (ja) 情報処理装置及び情報処理方法
CN109076001B (zh) 帧传送阻止装置、帧传送阻止方法及车载网络系统
JP2022125099A (ja) 不正検知サーバ、及び、方法
US10326793B2 (en) System and method for guarding a controller area network
JPWO2019117184A1 (ja) 車載ネットワーク異常検知システム及び車載ネットワーク異常検知方法
JP6846706B2 (ja) 監視装置、監視方法およびコンピュータプログラム
WO2018135098A1 (ja) 監視装置、監視方法およびコンピュータプログラム
US12107876B2 (en) Intrusion path analysis device and intrusion path analysis method
JP6782444B2 (ja) 監視装置、監視方法およびコンピュータプログラム
US11784871B2 (en) Relay apparatus and system for detecting abnormalities due to an unauthorized wireless transmission
CN111225834A (zh) 车辆用控制装置
JP2022541489A (ja) 車両環境における侵入異常監視
KR20190003112A (ko) Can 통신 기반 우회 공격 탐지 방법 및 시스템
JP2019071572A (ja) 制御装置及び制御方法
JP7428222B2 (ja) 車載セキュリティ対策装置、車載セキュリティ対策方法およびセキュリティ対策システム
JP6191397B2 (ja) 通信中継装置、通信中継処理
CN113169966B (zh) 用于监控数据传输系统的方法、数据传输系统和机动车
JP7318710B2 (ja) セキュリティ装置、インシデント対応処理方法、プログラム、及び記憶媒体

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130618

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130809

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131022

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131218

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140311

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140324

R151 Written notification of patent or utility model registration

Ref document number: 5522160

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees