特許第6782842号(P6782842)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > コンチネンタル オートモーティヴ ゲゼルシャフト ミット ベシュレンクテル ハフツング

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ コンチネンタル オートモーティヴ ゲゼルシャフト ミット ベシュレンクテル ハフツングの特許一覧

特許6782842通信ネットワーク用の方法及び電子監視ユニット
<>
  • 特許6782842-通信ネットワーク用の方法及び電子監視ユニット 図000002
  • 特許6782842-通信ネットワーク用の方法及び電子監視ユニット 図000003
  • 特許6782842-通信ネットワーク用の方法及び電子監視ユニット 図000004
  • 特許6782842-通信ネットワーク用の方法及び電子監視ユニット 図000005
  • 特許6782842-通信ネットワーク用の方法及び電子監視ユニット 図000006
  • 特許6782842-通信ネットワーク用の方法及び電子監視ユニット 図000007
  • 特許6782842-通信ネットワーク用の方法及び電子監視ユニット 図000008
  • 特許6782842-通信ネットワーク用の方法及び電子監視ユニット 図000009
  • 特許6782842-通信ネットワーク用の方法及び電子監視ユニット 図000010
  • 特許6782842-通信ネットワーク用の方法及び電子監視ユニット 図000011
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6782842
(24)【登録日】2020年10月22日
(45)【発行日】2020年11月11日
(54)【発明の名称】通信ネットワーク用の方法及び電子監視ユニット
(51)【国際特許分類】
   G06F 21/55 20130101AFI20201102BHJP
   H04L 12/66 20060101ALI20201102BHJP
   H04L 12/28 20060101ALI20201102BHJP
   H04L 12/46 20060101ALI20201102BHJP
【FI】
   G06F21/55
   H04L12/66 B
   H04L12/28 100A
   H04L12/46 E
【請求項の数】7
【全頁数】15
(21)【出願番号】特願2019-526259(P2019-526259)
(86)(22)【出願日】2017年11月17日
(65)【公表番号】特表2020-500374(P2020-500374A)
(43)【公表日】2020年1月9日
(86)【国際出願番号】EP2017079584
(87)【国際公開番号】WO2018099736
(87)【国際公開日】20180607
【審査請求日】2019年5月16日
(31)【優先権主張番号】102016222740.8
(32)【優先日】2016年11月18日
(33)【優先権主張国】DE
(73)【特許権者】
【識別番号】508097870
【氏名又は名称】コンチネンタル オートモーティヴ ゲゼルシャフト ミット ベシュレンクテル ハフツング
【氏名又は名称原語表記】Continental Automotive GmbH
(74)【代理人】
【識別番号】100069556
【弁理士】
【氏名又は名称】江崎 光史
(74)【代理人】
【識別番号】100111486
【弁理士】
【氏名又は名称】鍛冶澤 實
(74)【代理人】
【識別番号】100191835
【弁理士】
【氏名又は名称】中村 真介
(72)【発明者】
【氏名】ツィナー・ヘルゲ
【審査官】 岸野 徹
(56)【参考文献】
【文献】 特表2014−520441(JP,A)
【文献】 特開2000−330897(JP,A)
【文献】 特開2015−136107(JP,A)
【文献】 特開2004−318742(JP,A)
【文献】 特開2000−293493(JP,A)
【文献】 特開2006−240610(JP,A)
【文献】 米国特許出願公開第2015/0191136(US,A1)
【文献】 米国特許出願公開第2014/0185463(US,A1)
【文献】 米国特許第06161071(US,A)
【文献】 稲田徹ほか,分散配置型セキュリティデバイスの開発,電子情報通信学会総合大会予稿集,日本,2005年 3月 7日,P.517
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
H04L 12/28
H04L 12/46
H04L 12/66
(57)【特許請求の範囲】
【請求項1】
車載通信ネットワーク(1)用の方法であって、通信ネットワーク(1)内の通信のためにデータ送信が実施され、通信ネットワーク(1)は通信加入者(5、5“、7、9、11)を有し、通信加入者の中の制御装置の少なくとも一部によって実施される当該方法が、
(i)各通信加入者(5、5“、7、9、11)の最大可能探索深度を確認すること(26、30)と、
(ii)前記最大可能探索深度を使用して、各通信加入者(5、5“、7、9、11)について最大可能セキュリティ支援を確認することと、
(iii)前記最大可能セキュリティ支援に基づいて、通信ネットワーク(1)への攻撃に対するセキュリティ対策の実装の少なくとも一部を、通信加入者(5、5“、7、9、11)に分配すること
を備えることを特徴とする方法。
【請求項2】
提供されるセキュリティ対策はフィルタ規則であることを特徴とする、請求項1に記載の方法。
【請求項3】
通信は、複数階層を持つデータ送信プロトコルを手段として実施され、最大可能探索深度のため、各通信加入者(5、5“、7、9、11)により分析可能な最大階層と、各通信加入者(5、5“、7、9、11)により分析可能な各層(30、32)の最大バイト深さとの少なくとも一方が確認されること(26、28)を特徴とする、請求項に記載の方法。
【請求項4】
通信加入者(5、5“、7、9、11)として、少なくとも1つの制御装置(11)と、少なくとも1つのスイッチ(7)が提供されることを特徴とする、請求項1からのいずれか一項に記載の方法。
【請求項5】
通信ネットワーク(1)は、通信ネットワーク(1)に対する攻撃を防御する少なくとも1つのファイアウォール(3、3‘、3“、3““)を備え、
請求項1から4のいずれか一項に記載された方法の後に、
セキュリティ対策の分配にファイアウォール(3、3‘、3“、3““)の構成を適合させる別のステップを備えることを特徴とする、方法。
【請求項6】
当該方法を、製造の最終工程と、ソフトウェアの更新後と、セキュリティギャップの発見後と、通信加入者の交換又は更新時とのいずれかにおいて一回実施することを特徴とする、請求項1からのいずれか一項に記載の方法。
【請求項7】
請求項1からのいずれか一項に記載の方法を実施するために前記制御装置が形成されていることを特徴とする、自動車制御装置用の電子監視ユニット。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、請求項1の前文に記載の通信ネットワーク用の方法及び電子監視ユニットに関する。
【背景技術】
【0002】
イーサネット(登録商標)物理層及びその上のインターネットプロトコル(IP)に基づいて、情報技術システムの範囲内ですでに広く普及している技術は、自動車の通信ネットワークへの道を見出している。特にイーサネット及びインターネットプロトコルの使用の増加を考慮して、外部アクセスを防止可能とするためにさらなるセキュリティ機構が求められている。無線技術及び関連するオープンで標準化されたプロトコルの使用が増加したために、自動車分野では、したがって実質的に初めて遠隔アクセスによって自動車の通信ネットワークにアクセス可能となっている。攻撃者が無線を介して車両にアクセスする間、重要な車両機能にそれゆえ影響可能になる車両へのアクセスが、例えば知られている。他の産業分野では、例えばワークステーションコンピュータの場合、ファイアウォールが、システムに既に存在し、車両に要求されるようにオンザフライ方式ではないデータで既に動作しているので、自動車に適用できない問題及び解決策を有する。さらに、ワークステーションコンピュータのセキュリティソフトウェアは、自動車のソフトウェアよりもかなり簡単な方法で更新可能である。
【0003】
従来技術による通信パケットは、通常、送信装置のプロトコルスタックの上位層のヘッダを含む。受信装置のプロトコルスタックは、この通信パケットを受信するときに徐々に進み、例えば送信されたデータを対応するソフトウェアアプリケーションに転送するために所定のフィルタによってそれを検査する。 イーサネットメッセージなどの通信パケットは、例えば制御装置内のTCP/IPスタックを通過し、内容の分析に基づいて、対応するアプリケーションに転送される。
【0004】
プロトコルスタックの複雑さは使用されるプロトコルの数と共にかなり増加する。例えば、オーディオ及びビデオデータを送信及び再生するためのオーディオ/ビデオブリッジング(AVB)は4つのサブプロトコルを含み、時間依存ネットワーク(TSN)はさらに11のサブプロトコル及び包括的な仕様を含む。この不利な点は、使用される多数のプロトコルのために、容易に表すことができない非常に多数の分岐の可能性があって、決定論的プロトコルスタックに対する単純なトレーサビリティがないことである。したがって、プロトコルスタック内の既存のセキュリティギャップを決定することにはかなりの問題がある。問題は、例えば、イーサネットの新しいタイプが故意に又は意図せずに使用されているのか否かの判定をどう進めるか処理するかである。これは疑わしい場合に中央計算ユニットに転送され、重大なシステム状態を引き起こし、基盤システムの機能を大幅に制限するおそれがあり、道路利用者の安全を危険にするおそれがある。プロトコルスタック内のセキュリティギャップを意図的に検索するサービス拒否攻撃(DoS)によって、これまでに発見されていなかったセキュリティギャップに関する意図的な不正アクセスが発生するおそれがあるのである。
【0005】
OSIモデルによれば、データパケットは7階層(レイヤ)を持つことがある。この場合、データパケットは、各層の有用データとヘッダから構成される。各ヘッダは、関連する層の処理情報を格納する。したがって、各層には、有用データと、その層のヘッダと、下層のヘッダとが含まれている。層は、この場合、その下層の正しい処理に依存して、その働きを利用する。第3層は、例えば「IP層」(ネットワーク層)として知られるものを形成し、これは送信者と受信者のIPアドレスを含む。
【0006】
通信ネットワークへの攻撃は非常に多様な形をとり得る。攻撃が個々の層を攻撃する場合、そこで得られた情報へのアクセスを利用する可能性がある。一例として、最初に第2層上の「スニッフィング」として知られるものは加入者のIPアドレスを確認するかもしれず、次いで「スプーフィング」(なりすまし)として知られるものはサービスユーザのMAC(アドレス)テーブルを変更し、サービスプロバイダにはクエリが正しく送信されなくなる。これは、そして「サービス拒否の攻撃」(DoS)と呼ばれるものとなり、サービスやリソースの入手可能性が制限される。上位層への攻撃は、これには全く必要ない。
【0007】
全ての攻撃を適切なタイミングで検出するには、しかしながら、下位層のヘッダだけでなく、上位層及び有用データも、考えられるエラー又は変更について検索する必要がある。また、層の深層分析も役立つ。個々の層に対してより深い分析が実行されるほど、その層のより多くのバイトを検索する必要があり、より多くのエラー又は潜在的な攻撃を発見可能となる。分析される可能な最大層と層の最大検索可能バイトとの組み合わせは、「検索深度」と呼ぶことができる。 データ全体の検索(5から7階層のヘッダと、有用データと、選択的に層内の詳細調査)は「ディープパケットインスペクション」という。しかし、分析によって調べられる層が上位であるほど、そして個々の層の内部をより深く見るほど、ハードウェアとソフトウェアはより強力である必要がある。したがって、より深い分析及びより上位層における分析もまたより高価になる。
【0008】
ファイアウォールは、たとえば全ての層を分析できるため、できるだけ包括的に攻撃を検出可能である。しかし、イーサネットの出現、と100Mbit/s、あるいは将来的には1000Mbit/s又は最大10 Gbit/sの速度では、以前の制御装置でデータストリームを管理できない。このようなデータレートでDoS攻撃が発生すると、使用されているファイアウォール(又は制御装置)が過負荷になり、制御装置が停止するおそれがある。
【0009】
しかしながら、費用の理由から、追加のファイアウォールを全ての制御装置に実装することは想像できない。これがそれぞれの場合において追加のコントローラコアを必要とすると仮定すると、制御装置の費用が実質的に急上昇するであろう。
【0010】
E/Eアーキテクチャ(電気/電子アーキテクチャ、すなわちE/Eシステムの相互作用とネットワーキングの点で、インタフェース、環境、E/Eシステム内のデータ及びエネルギーの流れ、データ及びソフトウェアアーキテクチャに関して車両のためのストラクチャを作ることで、連続的で車両全体にわたるアーキテクチャが、全てのE/Eシステム及びE/Eコンポーネント用に、ハードウェア、ソフトウェア、車両電気システム、ワイヤーハーネス及びトポロジーレベルでプロデュースされること)の1つの技術的問題は、大きなデータレートの処理である。障害が発生した場合、ファイアウォールで管理できなくなった大量のデータが発生する可能性がある。コントローラが100Mbpsのインタフェースを持っているからといって、ソフトウェア(ファイアウォール)がこれらの大量のデータを(リアルタイムで)処理できるわけではない この場合、同時に指数関数的に費用を引き上げることなく、車両の電気システムの安全性をより確保する技術が必要である。
【発明の概要】
【発明が解決しようとする課題】
【0011】
本発明の目的は、それゆえ、外部アクセスに関して車両ネットワークをより安全に構成され得ると同時にファイアウォールが軽減され得る方法及び装置を提供することである。
【課題を解決するための手段】
【0012】
上記目的は請求項1に記載された方法と、従属請求項の事項とにより達成される。
【0013】
本発明による方法は、車載通信ネットワークに関し、通信ネットワーク内の通信は、データ転送の実施を含む。通信ネットワーク内に、少なくとも2者(2体)の通信加入者(通信加入体)が提供される。通信ネットワークへの攻撃に対するセキュリティ対策が用意されている。本発明によれば、セキュリティ手段の実装は複数の通信加入者にわたって分割される。
【0014】
通信ネットワークへの攻撃は、このコンテキストではセキュリティギャップを悪用するためのネットワークへの攻撃として理解されることを意図する。換言すると、それは、情報へのアクセス又は車両内の制御機構/統制機構の制御を獲得することを手段とする、第三者の攻撃(サイバー攻撃/ハッカー攻撃)に関する。自動車では、第三者によるそのような制御の乗っ取りは、特に車両乗員の安全性に影響を及ぼすおそれがあり、したがって回避しなければならない。これは本発明を手段として達成可能である。
【0015】
セキュリティ対策は、例えば、特定の種類の攻撃(DoS攻撃など)に対する追跡及び防御であり得る。例えば、異なる通信加入者が、異なるタイプの攻撃をフィルタするか、防御するというセキュリティ対策のパフォーマンスの分布は、ファイアウォールに追加のハードウェアを装備すること及び/又はファイアウォールに過負荷をかけることなく、多くの異なる可能性のある攻撃に対する完全なカバー又は防御を有利に提供する。したがって、費用が有利に節約される。また、攻撃に対する防御もこのようにリアルタイムで可能である。さらに、本発明は、有害なデータパケットがファイアウォールに到達する前でさえ、攻撃が他の通信加入者による攻撃の傍受を可能にする。
【0016】
セキュリティ機構の分配は、通信加入者間又は通信加入者とファイアウォールとの間で単独で実行してもよい。例として、特定のセキュリティ対策はファイアウォールによって実行されるのが特に好ましいが、他のセキュリティ対策は1者又は複数の通信加入者によって実行されるか、あるいは1者又は複数の通信加入者にわたって分割される。
【0017】
好ましくは、通信加入者は通信経路を生成するために組み合わされる。通信は、通信加入者と関連する通信経路で行われる。本発明のさらに好ましい発展形態では、セキュリティ機構の分配は、通信用に提供されたそれぞれの通信経路の通信加入者にわたって行われる。通信加入者は、特に好ましくは、少なくとも送信機と受信機とを備え、それらの間でデータ伝送の形態の通信が行われる。この発展例によれば、通信加入者のうちの少なくとも1者、すなわち送信機又は受信機のいずれかが自動車内に配置されている。他のそれぞれの通信加入者も同様に自動車内に配置してもよく、あるいは外部に配置させる外部加入者である。外部加入者は、例えば、外部に配置された制御装置又はクラウドであってもよい。
【0018】
本発明の好ましい発展形態では、方法は、各通信加入者に対する最大限可能なセキュリティ支援を確認することも含む。換言すると、それぞれの通信加入者が提供可能な最大のセキュリティ支援が確かめられる。この場合のセキュリティ支援は、セキュリティ対策を実行するための通信加入者による支援に関連する。特に好ましくは、確認された情報はデータベースに格納される。
【0019】
発展形態では、ファイアウォールを支援するために利用可能なリソースの確認と、それに応じたセキュリティ対策の配布の実行とが可能になる。したがって、利用可能なリソースは、ネットワークへの攻撃を防ぐために最適な方法で利用可能である。
【0020】
本発明の好ましい発展形態では、方法は、各通信加入者に対する最大可能探索深度の確認を含む。最大可能探索深度は、特に好ましくは、通信加入者が探索することができるプロトコル層の最大複雑度に関連する。この場合、プロトコル層の「複雑さ」は、プロトコル層の数が増加するにつれて「複雑さ」が増加するように理解されることを意図している。階層1(物理層)では、例えば、ヘッダと有用データのみが利用可能であり、有用データは実際に送信されるべきデータであり、ヘッダはそれぞれ関連する層によるこれらのデータの処理に関する情報を含む(この場合、階層1)。これは最も下位の、最も複雑でない層であり、必要な容量(計算コスト)は最小である。一方、階層7では、さらに6つの階層を探索する必要があり、必要な容量(計算コスト)は最大である。各通信加入者に対しては、したがって、通信加入者がどの階層までデータパケットを検索可能か確かめることが好ましい。
【0021】
最大探索深度は、代替的又は追加的に、個々の階層の解析の深さ、すなわち個々の階層がどれだけ深く(バイト深度)探索されるか、すなわち、それぞれの階層内の「バイト数」が何バイトであるか見られるのかに関する。
【0022】
通信加入者によってどの攻撃が検出可能なのかを探索深度が決め手となるので、この情報は通信加入者の最大可能なセキュリティ支援を確かめるために使用されることが好ましい。これにより、リソースの最適配分も可能になる。
【0023】
本発明の好ましい発展形態では、セキュリティ機構は、フィルタ規則の形態であるか、あるいは使用されるセキュリティ機構がフィルタ規則である。フィルタ規則は、この場合、好ましくはそれに基づいてそれぞれのデータパケットで何が起こるかが決定される規則である。フィルタ規則は、パケットフィルタ又はネットワークフィルタとして利用可能であることが特に好ましく、通信加入者と、ファイアウォールとの少なくとも1つにおいてこの形式で実施される。
【0024】
本発明の好ましい発展形態では、通信のためのデータ送信は、データ送信プロトコルによって行われる。データ送信プロトコルは複数の層を持つ。有利には、この方法のために、既知のデータ送信プロトコル及びそれに関連して必要な分析リソースを持つデータベースが提供される。攻撃を確実に検出できるように、どの階層をどのバイト深さで分析する必要があるか、既知の全てのデータ送信プロトコルが、したがって提供される。データベースは、利用可能なリソースが通信加入者に問い合わせされるときと、セキュリティ対策が配布されるときに使用されることとの少なくとも一方において、好ましくは使用される。未知のデータ送信プロトコルの場合、未知のプロトコルであると攻撃が隠されるおそれある場所が不明であるため、最大リソースが必要とすることが特に好ましい。この例では、しかして、全階層が最大バイト深度で検索されるべきであると規定する。
【0025】
特に、データ送信プロトコルは、例えばイーサネット、FlexRay(登録商標)、VLAN(仮想ローカルエリアネットワーク)、IP(インターネットプロトコル)、AVB(オーディオ/ビデオブリッジング)、TSN(タイムセンシティブネットワーキング)又はSOME/IP(インターネットプロトコルにわたる、スケーラブルなサービス指向ミドルウェア)として形成されている。
【0026】
本発明のさらに好ましい発展形態では、通信加入者は制御装置(ECU、すなわち電子制御ユニット)と、スイッチとの少なくとも一つである。車両内にとにかく存在する様々な装置は、このようにセキュリティ対策を分配するために使用してもよい。その結果、さらなる追加のハードウェアの提供は不要である。
【0027】
本発明の好ましい発展形態では、通信ネットワークは、ファイアウォールを備え、ファイアウォールの構成はセキュリティ対策の分布に合わせられる。セキュリティ対策が通信加入者によって行われる場合、ファイアウォールがそれら行われたセキュリティ対策をその後実行しないようにファイアウォールの構成を変更してもよい。これにより、ファイアウォールの負荷が軽減される。あるいは、ファイアウォールはそれらのセキュリティ機構の実行を継続してもよいので、冗長性が有利にある。
【0028】
本発明による方法は、製造終了時(自動車の製造が完了した後)、ソフトウェア更新後、セキュリティギャップが明らかになった後、通信経路の加入者を交換又は更新するときのいずれかに一意に実行されるのが好ましい。したがって、セキュリティギャップは、例えば、制御装置が交換された場合、又はソフトウェアアップデートが提供された場合、エンドカスタマーへの自動車の配達後にも有利に検出可能である。したがって、エンドカスタマーもまた、車両の運転中の攻撃に対するセキュリティの強化を提供する。
【0029】
本発明の好ましい一発展形態では、異なる攻撃シナリオに関する情報が、セキュリティ支援に関する問い合わせと、セキュリティ機構の配布との少なくとも一方のために使用される。この情報は、特にメモリに格納され、継続的に更新されないデータベースに同様に格納されることが好ましい。この情報は、特に好ましくは、異なる可能性のある種類の攻撃及び必要なセキュリティ機構に関する。考えられる攻撃の1つのタイプは、過負荷が第三者によって引き起こされ、機能、サービス、ファイアウォール、又はECUの機能不全を招く、DoS(サービス拒否)である。
【0030】
好ましい一発展形態では、データベースは、セキュアメモリ領域に格納される。特に、このセキュアメモリ領域は暗号化されているため、攻撃から保護される。この場合、セキュアメモリ領域は、例えば、中央制御装置に配置してもよい。
【0031】
好ましい一発展形態では、通信加入者の最大限可能なセキュリティ支援に対する通信加入者の格付けは、アルゴリズムによって実行される。このアルゴリズムは、リソースクラスも作成し、通信加入者をそのリソースクラスに割り当てられるよう、可能な限り最大の検索深度を使用することが好ましい。この目的のために、アルゴリズムは特に、最大可能探索深度と、データ送信プロトコルと、評価にもおいて異なる攻撃シナリオに関する情報との少なくとも1つに関連する1つ又は複数のデータベースも含む。
【0032】
本発明はさらに、上記方法を実行するように構成された車両制御装置用の電子監視ユニット、又は制御ユニットに関する。
【0033】
本発明は、特に追加の経済的支出なしに、車両ネットワークのセキュリティを有利に高めることができる。自動車におけるイーサネット又は他のデータ送信システム(例えばFlexRayなど)の使用では、とりわけ、高価な実装及びさらなる追加ハードウェアを省略可能とするため、単純な技術及び所与の技術の特性を利用する機構が必要である。
【0034】
さらなる好ましい実施形態は、図面に基づく例示的な実施形態の以下の説明から明らかになる。
【0035】
概略図が示す内容は以下のとおりである。
【図面の簡単な説明】
【0036】
図1】通信パケット又はスタックの構成を示す図である。
図2】接続ユニット及びセントラルファイアウォールを経由するインターネットの車載ネットワークの一実例を示す図である。
図3】複数の接続ユニット及び複数の中央ファイアウォールを介したインターネットへの車載ネットワークのネットワーキングの実例図である。
図4図3の実例の一発展の一実施例を示す図である。
図5】最大可能探索深度を確認するための本発明による方法の例示的な構成を示す図である。
図6】確認された検索深度に関するデータベースの例示的構成を示す図である。
図7】セキュリティ支援に従って制御装置を割り当てるための方法の例示的な構成を示す図である。
図8】イーサネットスイッチとファイアウォールの検索深度の比較を示す図である。
図9】探索深度を分配する方法の例示的実施形態を示す図である。
図10】セキュリティメカニズムを配布するための例示的なシーケンスを示す図である。
【発明を実施するための形態】
【0037】
例示的な実施形態の簡潔で簡単な説明を可能にするために、同一の要素には同一の参照符号が付されている。
【0038】
図1は、描画による通信スタックの構造を示す。例によれば、通信スタックは、OSIモデルに基づいて7階層を有してもよい。ネットワークを保護するためのファイアウォールに対する要求は、通信層によって異なる。通信が行われる層がより高いほど、フレームの深さもより深くなる。保持する必要があるメモリがより多くなれば、必要な計算能力がより大きくなる。加えて、計算された電力は、各層の分析の深さが増すにつれて増加する。この場合、分析深度とは、層の内側を見るために使用されるバイト深度を意味する。
【0039】
図1は、したがって、チェックされた通信層に関する複雑さ、計算能力及びメモリ要件の変化を示す。階層が増加すると(層の数が増加すると)、パケットのフレームサイズは増加する。そのため、チェック時にデータをバッファ格納するために必要なバッファメモリも増大する。同様に、必要な計算能力もまた増大する。将来のデータパケットを全ての層で検索可能とするには、ファイアウォールに、より優れた又は追加のハードウェアを装備する必要があり、これが費用を作り出す。
【0040】
図2は、車両ネットワーク1のインターネットへのネットワーキングの描画的な例を示している。この場合、車両ネットワーク1は、接続ユニット5と、(中央)ファイアウォール3を持つ車両ネットワークの残りの部分9とを有する。車両ネットワークの残りの部分9は、例えば、制御装置であってもよく、複数の制御装置及びゲートウェイを有してもよい。複数の制御装置及びゲートウェイは、CAN、LIN、FlexRay、MOST、LVDS、WLAN、ブルートゥース(登録商標)又はイーサネットを介して互いに接続されている(図示せず)。ネットワーク1は、接続ユニット5(「接続性ユニット」)を介してインターネットに接続されている。この例によれば、ネットワークの残りの部分9と接続ユニット5との間の接続は有線接続の形態であり、接続ユニット5とインターネットとの間の接続はワイヤレス(無線)接続の形態である。
【0041】
図3は、図2のより複雑な変形例を示す。 ここでは、車両ネットワーク1は、複数のファイアウォール3‘、3“及び複数のイーサネットスイッチ7を含む。接続ユニット5‘及びさらなる接続ユニット5“も同様に、車両ネットワーク1内に配置されている。ブロックとして示されている、車両ネットワークの残りの部分9に、さらなるユニットが提供されてもよい。車両ネットワークの残りの部分9及び2つの接続ユニット5‘、5“は、それぞれのファイアウォール3‘、3“、3“‘を有する。ファイアウォール3、3‘、3“は、例えば、セキュリティ対策の実装などの適切なタスクを実行するように構成されたコントローラの形式であり得る。
【0042】
図4は、図3の発展形を示す。ここで、車両ネットワークの残りの部分9は、ファイアウォール3“を有する制御装置(ECU)11の形態である。イーサネットスイッチ7は、それぞれさらにファイアウォール3““を有する。これは、例えばそれに応じて構成されている、すなわちファイアウォールのタスクを引き受けるというマイクロコントローラユニット、特にASICによって提供してもよい。この例によれば、ファイアウォール3““はデータパケットの事前分類を実行可能であり、それは次に攻撃のためにファイアウォール3“及び3“‘(そしておそらく3‘)によってフィルタリングされるか、又は引き受け可能である。ファイアウォール3“、3“‘(そしておそらく3‘)のタスクのいくつかはそれによってそれらへの負荷を軽減する。この場合、ファイアウォール3‘及び3“は、より単純な及び/又は冗長なファイアウォールの形態であってもよい。複数のユニット(5“、7、11)が分析に協力し、それによって検査の計算負荷が分散される結果、分析を実行するために単一のファイアウォールを使用する必要はもはやない。
【0043】
ネットワーク1内の個々のユニットを、通信加入者(通信加入体)としてもよい。接続ユニット5“はもはや主要な通信経路の一部ではないが、それはセキュリティ機構の実装にも関与し得る。セキュリティ対策の実装後、データ又は結果は通信経路に返される必要がある。
【0044】
セキュリティ対策の実装は通信加入者に分散される。この場合、全てのファイアウォール又は全ての通信加入者がセキュリティ対策を講じる必要があるわけではない。好ましくは、分配は、最適な資源利用があるように行われる。特に、通信加入者及び/又はファイアウォールも、冗長性として動作することがあり、したがって、他のファイアウォール又は他の通信加入者によって同様に実装され得るセキュリティ対策をとってもよい。攻撃を検出する際のエラーを削減可能なので、これはより高いレベルのセキュリティを提供する。
【0045】
図5は、個々の通信加入者の最大可能検索深度を確認するための可能な方法を示す。この場合、方法の開始20の後、選択された通信経路、又は通信と、関連する制御装置とに必要な通信要件は、最初に選択されたファイアウォールに送信される(例えば3から3““)。通信要件は、例えば、メッセージ頻度、パケットタイプ、又はプロトコルタイプ、及びセキュリティレベルを備えてもよい。ファイアウォール3から3““、又は別の制御ユニットは、通信24に必要なリソースを計算し、それらを通信マトリックスに格納する。特に、必要なリソースは、使用されるプロトコルタイプに基づいて分類されている。必要とされる既知のプロトコル及び関連するリソースは、利用可能なデータベースとして提供可能である。特に新しいプロトコルタイプが使用される外部通信は、最大分析が行われるように分類されることが好ましい。すなわち未知のプロトコルの場合には、プロトコル内のどこで攻撃が隠されることが可能であるかは明らかではないので、全てのプロトコル層が最大バイト分析深度で検査されることが好ましい。
【0046】
必要なリソースを確認した後、制御装置5、5‘、5“、7、11に対して情報の要求26、30が行われる。例えば、どのパケット層まで制御装置5、5‘、5“、7、11による支援の可能性26があるか、そしてどのバイト深さまで支援の可能性30があるかが確認される。したがって、制御装置5、5‘、5“、7、11の最大可能探索深度がどのように見えるかが確認される。制御装置5、5‘、5“、7、11は、その要求に対する適切な応答28、30を備えたファイアウォール3から3““を提供する。確認された情報は、データベース、特に好ましくは安全なメモリ領域に格納され、作業負荷のリソース最適化分布が確認される。その後、制御装置5、5‘、5“、7、11によって分析を起動(34)してもよい。この場合、制御装置5、5‘、5“、7、11及びファイアウォール3から3““は、確認された分布に従って攻撃に対して防御するように構成される。
【0047】
補助層26に関する制御装置5、5‘、5“、7、11による問い合わせは、例えば段階的に、行ってもよい。この場合、第1の層から最大番号の層までの支援を、連続して照会してもよい。例として、第1の層が支援されているかどうかが最初に質問される。もしそうであれば、第2の層が支援されているかどうかなどが問われる。この場合、物理的ベースとしての第1の層は常に分析可能でなければならないので、第1の層に対する問い合わせは実際には省くことができることに留意すべきである。段階的な質問の過程で、特定の層がもはや分析できないことが確認された場合、ここから、支援されていると確認された層であって最初に調べられた層が、最大番号の支援された層である。この結果は、次に、検査された制御装置と関連して例えばデータベースに格納してもよい。
【0048】
図6は、個々の通信加入者に関する確認された情報を有するデータベースの可能なマトリックスを示す。通信加入者は、例えば、制御装置5、5‘、5“、7、11、及び/又はファイアウォール3から3‘‘‘‘であり得る。この例によれば、データベースは、制御装置5、5‘、5“、7、11及びファイアウォール3から3““が、特定の攻撃を識別かつ防御可能か否かを格納してもよい。全ての攻撃は、特定のプロトコル層で行われる。複数の種類の攻撃が考えられるため、さまざまな層が影響を受ける可能性がある。全ての制御装置は、データプロトコルに対して最大限の検索深度を持っている。例えば、第1の制御装置は下位層のみを検索可能であるが、第2の制御装置は、例えば上位層も検索可能である。これにより、例えば、第2制御装置が上位層への攻撃をカバーし、第1制御装置が下位層への攻撃をカバーするようにしてもよい。ファイアウォールはまた、最大探索深度を有し、セキュリティ機構が制御装置にわたって分散されている場合、例えば、制御装置によって実行不可能な残りの層を覆うように構成してもよい。
【0049】
本発明による概念は図7にも示されている。図7の左側は、例えばアンテナ42を介してネットワークに到達する可能性のある攻撃40を示している。他の通信加入者として、データパケットを受信することになっているスイッチ7及びECU11が用意されている。この例によれば、図示されている可能性のある攻撃40は、DoS(サービス拒否攻撃)の様々な変形であり、例えば、 「Ping of Death」、「SYNフラッド」、又は「ブロードキャストストーム」攻撃である。攻撃は、この例によれば、アンテナ42によって処理されない。攻撃のうちのいくつかの最初の識別は、スイッチ7によって行われる。攻撃40は、それによりフィルタ除去され(フィルタアウェイ)か、又はフィルタ除外(フィルタアウト)されるようにしてもよい。そのため、スイッチ7によって行われていない、攻撃40の残りは、まだ存在する。情報又はデータパケットはECU11に転送され、ECU11が攻撃40の残りの識別を行うか、又は攻撃40の残りに対して防御する。攻撃40の識別又は防御は、セキュリティ対策といってもよい。ネットワーク1への攻撃40を回避するためのセキュリティ対策は、したがって、ネットワーク1内で分散的に実行される。その目的のために、(例えば、スイッチ7及びECU11による)利用可能なリソースの分析に続いて、セキュリティ対策の割り当てが実行される。有利には、全ての攻撃40を検出する必要のため新しいハードウェアを提供する必要なしに、広い帯域幅の攻撃40を、このように、防御可能である。セキュリティ対策の性能を分散させることによって、コストをしかして節約できるようになる。
【0050】
図8は、例示的な様式で、イーサネットスイッチ7及びファイアウォール3−3の探索深度を表すのに使用されるデータパケットを示す。異なるボックスはヘッダと有用なデータである。イーサネットスイッチ7はデータ(一番左のボックス)及び最初の2つのヘッダ/層のみを検索可能である(50)一方、ファイアウォール3から3““がデータパケットの全層を検索可能である。例えば、データパケットは、7層を持つ。スイッチ7とファイアウォール3から3““との両方がサーチを開始するためのものであると仮定すると、最初の2つの層50の領域に、それゆえ冗長性があることになるであろう。スイッチ7とこの領域のファイアウォール3から3““、あるいはファイアウォール3から3““は、スイッチ7で検索できないヘッダのみを検索する(図9)。後者の場合、分析領域のシフト54は、ファイアウォール3から3““について行われる。したがって、スイッチ7によっても分析され得る層を検索する必要はもはやない。その場合、ファイアウォール3から3““は、さらなるタスクのために利用可能なリソースを有利に有する。分析される領域は、当然のことながら、さらなるスイッチ7又は制御装置11にまたがって分割可能であり、その結果、ファイアウォール3から3““のシェアはさらに小さくなる。
【0051】
図10は、特定のデータ送信プロトコルが使用されるときのセキュリティ対策を分配するために、図5に示す方法の全体図の代替描写を示す。方法ステップ20の開始後、必要な分析リソースが、例えば、コントロールユニット又はファイアウォールによって確認される(ステップ24)。確認されたリソースは、その後、通信マトリックスに格納される。次に、どの層と、どの程度の分析深度とを、コントロールユニット又はファイアウォールが、提供できるかが確認される。結果は、セキュリティデータベース62に格納される。その後、セキュリティ対策の分配がどのように行われることになっているかが決定される(ステップ33)。その後、確認された分配が、制御ユニット及びファイアウォールがしたがって構成されて(ステップ34)、実際に実施されてもよい。この目的のために、制御ユニット及びファイアウォールとの通信が行われる(ステップ35)。適合した構成を使用して、分散方式で攻撃をうまく発見し遮断する(ステップ36)。
【0052】
本発明に関するさらなる情報は、次のとおりである。
本発明は、ネットワーク内でフィルタ規則(ファイアウォールの基本原理)を配布し公開するための新規な方法を提案する。さらに、本発明は、前記規則に関して自動車ネットワーク及びその構成要素に問い合わせし、それらを前記規則に従って構成するための方法を提供する。この場合、本発明は、潜在的な攻撃機能に対して正しいセキュリティプラットフォームを適時に選択するためのメカニズムを定義する。これに関しては、図5を参照してほしい。
【0053】
本発明は、インタフェースを介してネットワーク内でセキュリティ機能及びオプションを構成し、それらを使用可能にする方法を提案する。したがって、どのセキュリティ機構を繰り返しカバーできるのか、どのセキュリティ機構をまったくカバーできないのか、そしてどのセキュリティ機構を省略可能なのかが明らかになる。このようにして得られたセキュリティマトリックスは、第一にどのタイプのセキュリティを実施可能なのか、第二にそれぞれの制御装置によって提供可能なセキュリティのレベルを簡単に描写することを可能にする。本発明の方法は、ファイアウォールがどのようにして負荷から解放され、計算能力がどこに移されるのかを初めて明らかにする。
【0054】
この方法により、(外部からの攻撃に対する)安全の点で、ネットワーク全体チェック及び試験がかなり容易になる。
【0055】
本発明は、車両のセキュリティを目的として、イーサネットTSN規格、及びこの場合は特にIEEE802.1、Qci、進入フィルタリング及びポリシング規格の使用を提案する。一方で、これら機能がハードウェアに実装され、それによりソフトウェアにおける演算能力を必要とせず、他方では、予想的にこの種の要素は各将来的に自動車に含有されるので、その規格及びその能力は自動車分野にとって極めて重要になり得る。
【0056】
本発明の本質及び新規性は、第一に車両ネットワークのセキュリティが(同じ費用で)高められ、第二にセキュリティ機構のために冗長性が提供されることである。イーサネットの出現に伴い、とりわけ、高価な実装及びさらなる追加のハードウェアの省略を可能にするため、単純なテクニック及び技術の所与の特性を利用する機構も必要とされている。
【0057】
本発明は、イーサネット又はIPなどの新しい技術をよりよく管理できるという利点を有する。新技術は、自動車においてもはや遅れることはできない。ITから得られる典型的なテクニックを全て採用することはできない。例えば、必要な計算時間は典型的には数秒の範囲内であるので、暗号化は有限の深さ(128ビット)ではありえない。この例では、自動車での要求を満たすことはできない。
【0058】
CAN又はLINでエラーが発生した場合、(ファイアウォールを含む)コントローラは、現在100%で動作していれば、確かにパケットの洪水を管理可能である。100Mbit/sのイーサネット、又は1000Mbit/sのイーサネットをもってしても、(コントローラにそのようなインタフェースがあるかどうかに関係なく)これはもはや可能ではない。ファイアウォールは、本発明の結果として確実に動作可能であり、過負荷にさらされない。
【0059】
したがって、ファイアウォールに対するハードウェアの要求は、引き上げなくてもよい。セキュリティ性能重視が一定のままであれば、追加のコントローラは、しかして省略可能である。これは、ファイアウォールの必要な計算能力の減少の結果として、費用削減をもたらす。
【0060】
セキュリティ機構の分配と、いくつかの機構の冗長な実行又は計算ともまた、単純なエラーを回避できるようにする。車両の電気システムにセキュリティ機能を繰り返し統合することで、このように、実際のファイアウォールよりも先に攻撃/エラーを検出し、対策をより迅速に開始できるようにする。
【0061】
これは、(合理的全体費用を考慮して)部品単独では車両の電気システムのセキュリティを管理できないことを示す。ファイアウォールは原則としてほとんど全てをカバーできるが、リアルタイムでこれを行うには結果として非常に高いレベルのパフォーマンスが必要である。スイッチは、下位層のこれらの機能の多くをすでにカバーしていて、組み込みのハードウェア支援方式の結果として、メモリやCPUなどの追加コンポーネントなしで管理可能である。この目的のためにシステムに対して達成された支援は、全体的な概念をより冗長かつより安全にするだけでなく、ファイアウォールの複雑さをより単純にする。
【0062】
(システム内で動的に、DBCを使用するファイアウォールの実装、FIBEXファイル、又は生産終了プログラミングで)通信経路の送信に続いて、ファイアウォールは着信メッセージを保護するために必要なリソースを計算する。パケットタイプ、パケット長、プロトコル及びメッセージ周波数は、それに必要な計算能力及びメモリに直接影響を与える。今日でも、単一のCPUは詳細なパケット検査のためにのみ提供されている。本発明は、ファイアウォールがネットワーク内のセキュリティ機構を再配置するか、又はそれらを冗長的に提供することを提案する。この目的のために、システム設計中、更新中又は実装中に、イーサネットスイッチは、サービス発見方法を使用してそれらの機能についてクエリを受ける。クエリの目的は、ディープパケットインスペクションの再配置についてのインサイト(隠れていた事項の発見)である。これには、高いレベルの計算能力が必要であり、すでに部分的に再配置してもよい。
【0063】
様々な攻撃技術が、最初はファイアウォールによって阻止されず、むしろ実際のファイアウォール及び受信機の前にある制御装置によって部分的にすでに排除されることで、このように有利である。セキュリティ支援の分類後、システム(ファイアウォール)は通信経路を保護し、セキュリティ機構を割り当て可能である。
【0064】
本発明によって提供されるさらなる選択的事項は、ファイアウォールの最適化である。ECU又はスイッチの検索深度を検出することで、ファイアウォールは他の検査にコンピューティング能力を使用し、それによってリアルタイム検査を実行可能である。フレーム全体を検索する必要がなくなるため、これによりメモリと計算能力が節約される。
【符号の説明】
【0065】
1 車両ネットワーク
3、3‘、3“、3‘“、3““ ファイアウォール
5、5‘、5“ 接続ユニット
7 イーサネットスイッチ
9 車両ネットワーク1の残りの部分
11 電子制御ユニット
40 攻撃
42 アンテナ
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.