▶ コンティネンタル・テーベス・アクチエンゲゼルシヤフト・ウント・コンパニー・オッフェネ・ハンデルスゲゼルシヤフトの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-02-14
(45)【発行日】2022-02-22
(54)【発明の名称】車両の制御機器に対する攻撃を検出する方法
(51)【国際特許分類】
G06F 21/55 20130101AFI20220215BHJP
B60R 16/023 20060101ALI20220215BHJP
H04L 41/00 20220101ALI20220215BHJP
H04L 43/00 20220101ALI20220215BHJP
【FI】
G06F21/55 340
B60R16/023 P
H04L41/00
H04L43/00
【請求項の数】
9
(21)【出願番号】P 2020517169
(86)(22)【出願日】2018-09-19
(65)【公表番号】
(43)【公表日】2020-12-03
(86)【国際出願番号】 EP2018075298
(87)【国際公開番号】W WO2019063374
(87)【国際公開日】2019-04-04
【審査請求日】2020-03-24
(31)【優先権主張番号】102017217195.2
(32)【優先日】2017-09-27
(33)【優先権主張国・地域又は機関】DE
(73)【特許権者】
【識別番号】399023800
【氏名又は名称】コンティネンタル・テーベス・アクチエンゲゼルシヤフト・ウント・コンパニー・オッフェネ・ハンデルスゲゼルシヤフト
(74)【代理人】
【識別番号】100069556
【弁理士】
【氏名又は名称】江崎 光史
(74)【代理人】
【識別番号】100111486
【弁理士】
【氏名又は名称】鍛冶澤 實
(72)【発明者】
【氏名】ド・カルモ・ロドリゴ・ダニエル
(72)【発明者】
【氏名】シュナイダー・ミヒャエル・ゲルハルト
【審査官】金沢 史明
(56)【参考文献】
【文献】特開2017-126978(JP,A)
【文献】英国特許出願公開第02548371(GB,A)
【文献】特開2017-112594(JP,A)
【文献】特開2017-111796(JP,A)
【文献】特開2017-073765(JP,A)
【文献】特開2016-129314(JP,A)
【文献】独国特許出願公開第102015205670(DE,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/50-21/57
H04L 9/32
B60R 16/023
H04L 41/00
H04L 43/00
(57)【特許請求の範囲】
【請求項1】
車両の制御機器(10)に対する攻撃、特に、サイバー攻撃を検出する方法であって、 この制御機器(10)と接続された、車両の少なくとも一つの通信チャネル(12,12a,12b)を介して伝送されて来た通信データを、前記の制御機器(10)の構成部品であるか、或いは前記の制御機器(10)と信号伝送形態により接続された攻撃検出システム(14)が検査する工程を有する方法において、この制御機器(10)と接続された、車両の少なくとも一つの通信チャネル(12,12a,12b)を介して伝送されて来た通信データの前記の攻撃検出システム(14)による検査が、
車両の少なくとも一つの通信チャネル(12,12a,12b)を介して伝送されて来た通信データが、一つ又は複数のルールにより定義されたデータ要件を満たすのか否かを調査する工程、
を含み、
前記の制御機器(10)が、車両内ネットワークのクライアント制御機器(10’)として動作して、前記の通信データの検査が、前記の車両内ネットワークのサーバー制御機器(28)と前記のクライアント制御機器(10’)とにより実施され、
前記のクライアント制御機器(10’)から前記のサーバー制御機器(28)に外見的に欠陥の有る検査信号(36)を送信する工程と、
前記のサーバー制御機器(28)によって、前記の検査信号(36)を受信する工程と、
前記のサーバー制御機器(28)によって、前記の受信された検査信号(36)に対する検査応答(40)を生成する工程と、
前記の生成された検査応答(40)を前記のサーバー制御機器(28)から前記のクライアント制御機器(10’)に送信する工程と、
を有し、
前記の制御機器(10)と接続された、車両の少なくとも一つの通信チャネル(12,12a,12b)を介して伝送されて来た通信データの検査が、
前記のサーバー制御機器(28)により生成された検査応答(40)の検査を含み、
前記の検査応答(40)の検査により、前記のサーバー制御機器(28)により受信された検査信号(36)が、前記のクライアント制御機器(10’)により送信された検査信号(36)と一致するのか、或いは変更されたのかを前記のクライアント制御機器(10’)により検査する工程、
を含むことを特徴とする方法。
【請求項2】
前記の通信データがデータ要件を満たした場合に、前記の車両の少なくとも一つの通信チャネル(12,12a,12b)を介して伝送されて来た通信データを安全又は無害であると分類する工程と、前記の通信データがデータ要件を満たさなかった場合に、前記の車両の少なくとも一つの通信チャネル(12,12a,12b)を介して伝送されて来た通信データを危険又は有害であると分類する工程と、
の中の少なくとも一つを有することを特徴とする請求項1に記載の方法。
【請求項3】
前記の車両の少なくとも一つの通信チャネル(12,12a,12b)を介して伝送されて来た通信データがデータ要件を満たした場合に、前記の制御機器(10)又は前記の制御機器(10)の制御ユニット(18,18a,18b)によって、前記の車両の少なくとも一つの通信チャネル(12,12a,12b)を介して伝送されて来た通信データの受信を許容する工程と、前記の車両の少なくとも一つの通信チャネル(12,12a,12b)を介して伝送されて来た通信データがデータ要件を満たさなかった場合に、前記の制御機器(10)又は前記の制御機器(10)の制御ユニット(18,18a,18b)によって、前記の車両の少なくとも一つの通信チャネル(12,12a,12b)を介して伝送されて来た通信データの受信を阻止する工程と、
の中の少なくとも一つを有することを特徴とする請求項1又は2に記載の方法。
【請求項4】
前記の車両の少なくとも一つの通信チャネル(12,12a,12b)を介して伝送されて来た通信データがデータ要件を満たさないデータ源との通信を一時的に停止するか、或いは持続的に停止する工程を有することを特徴とする請求項1又は2に記載の方法。
【請求項5】
前記のデータ要件を定義する一つ又は複数のルールを変更する工程と、前記のデータ要件を定義する一つ又は複数のルールを一つ又は複数の別のルールにより補完する工程と、
前記のデータ要件を定義するルールの中の一つ又は複数を削除又は消去する工程と、
前記のデータ要件を定義するルールの中の一つ又は複数を置き換える工程と、
の中の少なくとも一つを有することを特徴とする請求項1から4までのいずれか一つに記載の方法。
【請求項6】
前記のデータ要件を定義する一つ又は複数のルールが、ハードウェアベースのトラストアンカーを用いて改ざんに対して保護されていることを特徴とする請求項1から5までのいずれか一つに記載の方法。
【請求項7】
前記の制御機器(10)と接続された、車両の少なくとも一つの通信チャネル(12,12a,12b)を介して伝送されて来て検査される通信データが、車両の通信インタフェース(34)を介して受信されるデータ又は車両内のメモリに保存された若しくは車両により生成された車両内データであることを特徴とする請求項1から6までのいずれか一つに記載の方法。
【請求項8】
少なくとも一つの制御機器(10)と、この制御機器(10)の構成部品であるか、或いはこの制御機器(10)と信号伝送形態により接続された攻撃検出システム(14)であって、この制御機器(10)と接続された、車両の少なくとも一つの通信チャネル(12,12a,12b)を介して伝送されて来た通信データを検査するように構成されている攻撃検出システム(14)と、
を備えた車両用通信システム(100)において、
この通信システム(100)が、請求項1から7までのいずれか一つに記載の車両の制御機器(10)に対する攻撃、特に、サイバー攻撃を検出する方法を実行するように構成されていることを特徴とする通信システム。
【請求項9】
通信システム(100)を備えた車両、特に、自動車において、この通信システム(100)が請求項8に基づき構成されていることを特徴とする車両。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、車両の制御機器に対する攻撃、特に、サイバー攻撃を検出する方法であって、この制御機器と接続された、車両の少なくとも一つの通信チャネルを介して伝送されて来た通信データを検査する工程を有する方法に関する。
【0002】
本発明は、更に、少なくとも一つの制御機器と、この制御機器の構成部品であるか、或いは、この制御機器と信号伝送形態により接続された攻撃検出システムとを備えた車両用通信システムに関し、この攻撃検出システムは、制御機器と接続された、車両の少なくとも一つの通信チャネルを介して伝送されて来た通信データを検査するように構成されている。
【0003】
本発明は、更に、通信システムを備えた車両、特に、自動車に関する。
【背景技術】
【0004】
最新の車両は、車両内通信チャネルの外に、通常一つ又は複数の通信インタフェースを有し、その通信インタフェースを介して、当該の車両の通信システムに有害なデータが持ち込まれる可能性が有る。そのようなデータによって、特に、車両の電子制御機器が攻撃される可能性が有り、それにより、制御機器又は車両の機能損傷又は機能障害が引き起こされる可能性が有る。
【0005】
従来技術では、これまで車両に対する相応のサイバー攻撃を検知又は防止できる有効であると同時に省リソースの解決策は知られていない。
【発明の概要】
【発明が解決しようとする課題】
【0006】
以上のことから、本発明の課題は、サイバー攻撃に対する車両の保護性能を向上させることである。
【課題を解決するための手段】
【0007】
この課題は、制御機器と接続された、車両の少なくとも一つの通信チャネルを介して伝送されて来た通信データの検査が、この車両の少なくとも一つの通信チャネルを介して伝送されて来た通信データが一つ又は複数の変更可能なルールにより定義されるデータ要件を満たすのか否かとの調査を含む、冒頭で述べた形式の方法によって解決される。
【0008】
本発明は、データ要件がルールによって定義される場合に、伝送されて来た通信データの検査によって、有害なデータの効果的で省リソースの検知を実施できるとの知見を活用する。これらのルールが変更可能であることによって、新しい形態の攻撃方法又はデータ形式への必要に応じたルールの適合又は更新を実施することができる。更に、変更可能なルールを使用することによって、攻撃を誤検出するリスクが大幅に低減される。有利には、制御機器又は車両によるルールの自動的な適合は実施されない。これらのルールは、例えば、通信データのデータ内容に関する通信ルールであるとすることができる。これらのルールは、通信データの満たすべきデータ特性を定義する満たされるべきルールであるとすることができる。
【0009】
本発明による方法の有利な実施構成では、本方法は、制御機器と信号伝送形態により接続された、或いは制御機器の構成部品である、車両の攻撃検出システムによって、部分的又は完全に実行される。特に、通信データの検査がリアルタイムに実施される。更に、OSI(Open Systems Interconnection Model)構造の一つ、複数又は全ての層により伝送されて来た通信データが本方法を用いて同時に検査されるのが有利である。
【0010】
本発明による方法の特に有利な実施構成では、車両の少なくとも一つの通信チャネルを介して伝送されて来た通信データは、それらの通信データがデータ要件を満たした場合に安全又は無害であると分類される。それに代わって、或いはそれに追加して、車両の少なくとも一つの通信チャネルを介して伝送されて来た通信データは、それらの通信データがデータ要件を満たさなかった場合に危険又は有害であると分類される。有利には、通信データは、それらの通信データがルールの中の一つ、複数又は全部に違反した場合にデータ要件を満たさない。有利には、制御機器又は車両に対して考え得る有害性に関する通信データの評価が実施され、この評価において、通信データによるルール違反の数及び/又は程度が考慮される。
【0011】
更に、車両の少なくとも一つの通信チャネルを介して伝送されて来た通信データがデータ要件を満たした場合に、この車両の少なくとも一つの通信チャネルを介して伝送されて来た通信データの受信が制御機器又は制御機器の制御ユニットによって許容される、本発明による方法が有利である。それに代わって、或いはそれに追加して、車両の少なくとも一つの通信チャネルを介して伝送されて来た通信データがデータ要件を満たさなかった場合に、この車両の少なくとも一つの通信チャネルを介して伝送されて来た通信データの受信が制御機器又は制御機器の制御ユニットによって阻止される。この受信の阻止によって、有害なデータが制御機器又は制御機器の目標制御ユニットに到達しないことが実現され、その結果、制御機器の機能障害又は機能損傷が効果的に防止される。更に、本方法は、車両の少なくとも一つの通信チャネルを介して伝送されて来た通信データがデータ要件を満たさないデータ源との通信を一時的に停止することを含むことができる。この通信の一時的な停止は、例えば、データ源が、過去において既に通信データを車両に伝送していたが、それ自身がサイバー攻撃の犠牲になっている外部機器である場合に有効である可能性が有る。この通信停止は、例えば、外部機器による危険なデータの送信が終了した場合に解除することができる。それに代わって、或いはそれに追加して、本方法は、車両の少なくとも一つの通信チャネルを介して伝送されて来た通信データがデータ要件を満たさないデータ源との通信を持続的に停止することを含むことができる。この通信の持続的な停止によって、そのデータ源から由来するその後の攻撃の試みも効果的に防止することができる。
【0012】
本発明による方法は、更に、データ要件を定義する一つ又は複数のルールを変更することによって有利に改善構成される。それに代わって、或いはそれに追加して、このデータ要件を定義する一つ又は複数のルールは、一つ又は複数の更なるルールにより補完することができる。更に、データ要件を定義するルールの中の一つ又は複数を削除又は消去することもできる。更に、データ要件を定義するルールの中の一つ又は複数を置き換えることが有利である場合が有る。ルールの変更、補完、削除、消去及び/又は置換は、通信データが満たすべきデータ要件を新しい形態の攻撃方法及び/又は危険な通信データの新しい形態のデータ形式に適合させるために実施される。
【0013】
更に、データ要件を定義する一つ又は複数のルールが、ハードウェアベースのトラストアンカーを用いて改ざんに対して保護される、本発明による方法が有利である。このハードウェアベースのトラストアンカーは、データ要件を定義する一つ又は複数のルールをハードウェア保護形態により暗号化及び/又は署名する役割を果たす。このようにして、データ要件を改ざんするようなルールの変更、削除又は消去を効果的に防止することができる。そのため、満たされるべきデータ要件の変更を目論む予備的な攻撃も効果的に防止される。
【0014】
本発明による方法の別の有利な実施構成では、制御機器と接続された、車両の少なくとも一つの通信チャネルを介して伝送されて来て検査される通信データが車両の通信インタフェースを介して受信される。これらの通信インタフェースは、例えば、CANバス、CAN-FDバス、Flexrayバス及び/又はLINバスとして構成された、車両の通信チャネルと信号伝送形態により接続することができる。それに代わって、或いはそれに追加して、この通信インタフェースは、イーサネットインタフェース、或いは無線形態及び/又は有線形態により外部機器と通信するように構成された、車両の通信モジュールの通信インタフェースであるとすることができる。それに代わって、或いはそれに追加して、制御機器と接続された、車両の少なくとも一つの通信チャネルを介して伝送されて来て検査される通信データは、車両内のメモリに保存された、或いは車両によって生成された車両内データであるとすることができる。これらの車両内データは、例えば、プロトコル、特に、アクセスプロトコル、パラメータ及び/又は測定値を含むことができる。そのため、本方法を用いて、外部から車両内に伝送されて来る全てのデータも、車両内に保存されたデータ及び車両自体により生成されたデータも検査することができる。
【0015】
本発明による方法の改善構成では、制御機器は、車両内ネットワークのクライアント制御機器として動作し、通信データの検査は、車両内ネットワークのクライアント制御機器とサーバー制御機器によって協同して実施される。それに代わって、通信データの検査は、制御機器によって独立して実施することができる。この場合、制御機器自身は、例えば、サーバー制御機器などの別の追加機器と独立して、有害な通信データの検査を実行することができる。
【0016】
本発明による方法の別の有利な実施構成では、外見的に欠陥の有る検査信号がクライアント制御機器からサーバー制御機器に送信されるか、サーバー制御機器によって受信された検査信号がクライアント制御機器から送信された検査信号と一致するのか、又は変更されたのかがサーバー制御機器により検査されるか、或いはその両方である。それに代わって、或いはそれに追加して、本方法は、サーバー制御機器によって、受信された検査信号に対する検査応答を生成すること及び/又は生成された検査応答をサーバー制御機器からクライアント制御機器に送信することを含み、この場合、制御機器と接続された、車両の少なくとも一つの通信チャネルを介して伝送されて来た通信データの検査が、有利には、サーバー制御機器によって生成された検査応答を検査することを含む。外見的に欠陥の有る検査信号を送信することによって、制御機器又は車両に対して実現可能な攻撃手段をハッカーに示唆する。欠陥の有る信号に対して、有害なデータの補完及び/又は重畳を行なって、外見的に欠陥の無い検査信号を生成することができる。ここで、外見的に欠陥の有る検査信号が送信されたにも関わらず、外見的に欠陥の無い信号がサーバー制御機器により受信された場合、有害なデータが持ち込まれたと推定することができ、それによって、攻撃を確認することができる。外見的に欠陥の有る検査信号を意図的に送信することによって、所謂ハニーポット戦略が実現される。
【0017】
本発明による方法の別の有利な実施構成では、データ要件を満たすのか否かに関して、全てのデータパケットを検査するのではなく、幾つかのデータパケットだけを検査する負荷分散モードによって、通信データの検査が実行される。この場合、例えば、二つ又は三つのデータパケット当たり一つのデータパケットをデータ要件を満たすのか否かに関して検査することができる。このようにして、所要の計算能力が大幅に低減されて、その結果、更なる省リソースが実現される。
【0018】
別の有利な実施構成では、本発明による方法はコンピュータ実行形式による方法である。この場合、コンピュータ、特に、車両内のコンピュータによるプログラムの実行時に、そのコンピュータに、前述した実施構成の中の一つに基づく方法を実行させる命令を含むコンピュータプログラム製品を実現することができる。更に、それによって、コンピュータ、特に、車両内のコンピュータによる実行時に、そのコンピュータに、前述した実施構成の中の一つに基づく方法を実行させる命令を含むコンピュータ読取可能なメモリ媒体を実現することができる。
【0019】
本発明がベースとする課題は、更に、冒頭で述べた形式の通信システムにおいて、前述した実施構成の中の一つに基づく車両の制御機器に対する攻撃、特に、サイバー攻撃を検出する方法を実行するように構成された通信システムよって解決される。本発明による通信システムの利点及び修正に関しては、本発明による方法の利点及び修正を参照されたい。
【0020】
本発明がベースとする課題は、更に、冒頭で述べた形式の車両において、この車両の通信システムが前述した実施構成の中の一つに基づき構成された車両によって解決される。本発明による車両の利点及び修正に関しては、本発明による方法の利点及び修正を参照されたい。
【0021】
以下において、添付図面を参照して本発明の有利な実施構成を詳しく説明、記述する。
【図面の簡単な説明】
【0022】
【図1】本発明による通信システムの実施例の概略図である。
【図2】制御機器の概略図である。
【図3】本発明による通信システムの別の実施例の概略図である。
【図4】本発明による方法の実施例に基づくクライアント制御機器とサーバー制御機器との間の通信を示す。
【発明を実施するための形態】
【0023】
図1は、攻撃検出システム14を備えた制御機器10を有する車両用通信システム100を図示している。この攻撃検出システム14は、制御機器10と接続された、車両の通信チャネル12a,12bを介して伝送されて来た通信データを検査するように構成されている。
【0024】
この通信データの検査時に、通信データが、複数のルールによって定義されたデータ要件を満たすのか否かがリアルタイムに調査される。この攻撃検出システム14は、通信データがデータ要件を満たした場合に、通信データを安全又は無害であると分類するように構成されている。他方、この攻撃検出システム14は、通信データがデータ要件を満たさなかった場合に、通信データを危険又は有害であると分類するように構成されている。
【0025】
新しい攻撃方法及び/又は新しい有害なデータに対する制御機器10を保護するルールの適合を実施できるようにするために、データ要件を定義するルールを変更、補完、削除又は消去すること、並びに置き換えることができる。
【0026】
攻撃者が、データ要件の相応の変更を実施済みのルールを改ざんすることを防止するために、これらのルールは、ハードウェアベースのトラストアンカーを用いて、改ざんに対して保護されている。このハードウェアベースのトラストアンカーは、攻撃検出システム14と信号伝送形態により接続された安全モジュール16によって実現されている。
【0027】
制御機器10は、攻撃検出システム14と安全モジュール16の外に、更に、通信データの考え得る宛先である複数の制御ユニット18a,18bを有する。制御機器は、基本的に、通信データの考え得る宛先になることができる多数の制御ユニットを有することができる。通信データが安全又は無害であると分類された場合、それらの通信データは、例えば、制御プロセスを実現する制御ユニット18a,18bに転送することができる。
【0028】
図2は、模式的にソフトウェアスタック24とハードウェア26に分けられた制御機器10を図示している。
【0029】
制御機器10は、ソフトウェア側の通信モジュール20と接続された、ハードウェア側の通信インタフェース22を備えている。この通信インタフェース22を介して、制御機器が通信チャネル12と接続されており、この通信チャネルを介して、有害なデータが制御機器10に害を及ぼす可能性が有る。通信インタフェース22によって受信された通信データは、通信モジュール20を介して、攻撃検出システム14に提供される。
【0030】
攻撃検出システム14は、通信データが、複数のルールによって定義されるデータ要件を満たすのか否かとの趣旨に基づき、通信データをリアルタイムに調査するように構成されている。更に、攻撃検出システム14は、通信データがデータ要件を満たした場合に制御機器10の制御ユニット18による通信データの受信を許容し、通信データがデータ要件を満たさなかった場合に制御機器10の制御ユニット18による通信データの受信を阻止するように構成されている。
【0031】
データ要件を定義するルールは、ハードウェアベースのトラストアンカーを用いて、改ざんに対して保護されている。そのために、制御機器10は、これらのルールを暗号化する、ハードウェア側の安全モジュール16を備えている。
【0032】
図3は、複数の制御機器10’,28,30a~30cと接続された、CANバスとして構成された通信チャネル12を図示している。この通信チャネル12は、更に、テレマティーク装置32及び通信インタフェース34と接続されている。この通信インタフェース34は、例えば、車両間通信の役割を果たして、別の車両と通信データを交換するように構成することができる。
【0033】
そのため、車両の通信チャネル12を介して伝送されて来る検査すべき通信データは、車両の通信インタフェース34を介して受信されるか、或いは、例えば、車両内のメモリに保存された、又は車両によって生成された車両内データであるとすることができ、車両内データは、通信チャネル12を介して車両内に伝送される。
【0034】
この制御機器10’は、車両内ネットワークのクライアント制御機器として動作する。この場合、通信データの検査は、車両内ネットワークのクライアント制御機器10’とサーバー制御機器28によって協同して実施される。そのため、攻撃検出システムは、部分的にクライアント制御機器10’に統合されるとともに、部分的にサーバー制御機器28に統合されている。
【0035】
ここで、攻撃検出システムは、データ源から通信チャネル12を介して伝送されて来た通信データがデータ要件を満たさなかった場合に、(データ源が識別可能である限り)そのデータ源との通信を一時的に停止するか、或いは持続的に停止するように構成されている。このようにして、有害な通信データを一時的又は持続的に送信して来る別の機器を一時的又は持続的に通信から排除することができる。
【0036】
図4は、クライアント制御機器10’からサーバー制御機器28への外見的に欠陥の有る検査信号36の送信形態を図示している。この外見的に欠陥の有る検査信号36は、攻撃者44によって利用される可能性の有る信号欠陥42を有する。
【0037】
攻撃者44は、外見的に欠陥の有る検査信号を補完する信号補完部38を送信する。ここで、サーバー制御機器28により受信された検査信号は、この信号補完部38のために、欠陥が無いように見える。サーバー制御機器28は、受信した検査信号36に対する検査応答40を生成して、クライアント制御機器10’に送信するように構成されている。ここで、サーバー制御機器は、検査応答40において、検査信号36のゼロ交差毎に短い信号パルスを発生するように構成されている。
【0038】
ここで、クライアント制御機器10’は、検査応答40が期待される検査応答と一致しないので、外見的に欠陥の有る検査信号36が攻撃者44によって変更されたことを検知することができる。即ち、受信された検査応答40が期待される検査応答と異なるので、攻撃者44による信号変更が行われて、受信された通信データが危険又は有害であると推定することができる。
【0039】
外見的に欠陥の有る検査信号36を送信することによって、攻撃者44は、検査信号36の信号欠陥42を利用するように唆される。このようにして、信号の意図的な送信に基づき、待ち受けている攻撃を実行するように攻撃者44を唆す所謂ハニーポット機能が実現される。
【符号の説明】
【0040】
10 制御機器
10’ クライアント制御機器
12,12a,12b 通信チャネル
14 攻撃検出システム
16 安全モジュール
18,18a,18b 制御ユニット
20 通信モジュール
22 通信インタフェース
24 ソフトウェアスタック
26 ハードウェア
28 サーバー制御機器
30a~30c その他の制御機器
32 テレマティーク装置
34 通信インタフェース
36 検査信号
38 信号補完部
40 検査応答
42 信号欠陥
44 攻撃者
100 通信システム
10’ クライアント制御機器
12,12a,12b 通信チャネル
14 攻撃検出システム
16 安全モジュール
18,18a,18b 制御ユニット
20 通信モジュール
22 通信インタフェース
24 ソフトウェアスタック
26 ハードウェア
28 サーバー制御機器
30a~30c その他の制御機器
32 テレマティーク装置
34 通信インタフェース
36 検査信号
38 信号補完部
40 検査応答
42 信号欠陥
44 攻撃者
100 通信システム
【図1】
【図2】
【図3】
【図4】