(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-12-14
(45)【発行日】2023-12-22
(54)【発明の名称】侵入検知システム
(51)【国際特許分類】
B60R 25/00 20130101AFI20231215BHJP
B60R 16/023 20060101ALI20231215BHJP
G06F 21/55 20130101ALI20231215BHJP
H04L 12/28 20060101ALI20231215BHJP
【FI】
B60R25/00
B60R16/023 Z
G06F21/55
H04L12/28 100A
【請求項の数】
6
(21)【出願番号】P 2023555891
(86)(22)【出願日】2021-10-25
(86)【国際出願番号】 JP2021039280
(87)【国際公開番号】W WO2023073761
(87)【国際公開日】2023-05-04
【審査請求日】2023-09-20
【早期審査対象出願】
(73)【特許権者】
【識別番号】000006013
【氏名又は名称】三菱電機株式会社
(74)【代理人】
【識別番号】110002941
【氏名又は名称】弁理士法人ぱるも特許事務所
(72)【発明者】
【氏名】奥山 裕司
(72)【発明者】
【氏名】松井 俊憲
【審査官】飯島 尚郎
(56)【参考文献】
【文献】国際公開第2018/134981(WO,A1)
【文献】特開2017-047835(JP,A)
【文献】特開2019-073102(JP,A)
【文献】国際公開第2015/159486(WO,A1)
【文献】米国特許出願公開第2019/0081960(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
B60R 25/00-25/40
B60R 16/00-16/08
G06F 21/55
H04L 12/28
(57)【特許請求の範囲】
【請求項1】
通信線を介して接続された車両の制御装置に侵入する不正データを検知する侵入検知システムにおいて、通信データが正常か異常かを判定するルールを状態ごとに設定した監視リストと、前記通信線に流れる通信データを取得し、前記監視リストと比較して異常有無を判定する侵入検知部と、自車両あるいは前記制御装置の状態を取得し、前記侵入検知部が利用する前記監視リストを切り替える状態管理部と、前記侵入検知部の処理内容に応じて、前記侵入検知部の処理時間を増加させる処理時間管理部を備えたことを特徴とする侵入検知システム。【請求項2】
前記通信データに関する異常があった場合に、異常に対する処理を行う異常処理部を備え、前記処理時間管理部は、前記侵入検知部と前記異常処理部の処理内容に応じて、前記侵入検知部の処理時間を増加させることを特徴とする請求項1に記載の侵入検知システム。【請求項3】
暗号鍵を用いて前記通信線に流れる通信データを認証して前記侵入検知部とは異なる通信データの異常有無を判定する認証部を備え、前記処理時間管理部は、前記侵入検知部あるいは前記認証部の処理内容に応じて、前記侵入検知部の処理時間を増加させることを特徴とする請求項1に記載の侵入検知システム。【請求項4】
あらかじめ決められた期間に受信する正常な通信データ 、受信時の車両あるいは自制御装置の状態 、受信回数を保持する受信履歴管理部と、前記受信履歴管理部に基づき前記監視リストのルールを変更するリスト変更部を備えたことを特徴とする請求項1から請求項3のいずれか1項に記載の侵入検知システム。【請求項5】
前記処理時間管理部は、処理時間を一定値に増加させることを特徴とする請求項1から請求項4のいずれか1項に記載の侵入検知システム。【請求項6】
前記処理時間管理部は、増加させる処理時間をランダムに設定することを特徴とする請求項1から請求項4のいずれか1項に記載の侵入検知システム。【発明の詳細な説明】
【技術分野】
【0001】
本願は、車両に搭載される侵入検知システムに関するものである。
【背景技術】
【0002】
車両を異常な挙動にしたり、車両内のデータを漏洩させたりするために、車両のネットワークに不正なデータを注入することが考えられる。これらに対して、暗号鍵あるいは侵入検知技術を用いた異常を検知する技術が提案されている。
【0003】
近年、自動車の車載システムはネットワークを介して車外の装置と接続されるようになり、悪意のある第三者が外部からネットワークを介して車載システムに侵入するリスクがある。第三者が車載システムに侵入されると、車両に搭載される制御装置である、例えばECU(Electronic Control Unit)において、ECUのプログラムが改ざんされ、制御を乗っ取られ遠隔操作によって事故につながる可能性がある。
【0004】
従来の車載システムでは、一部の装置が故障した場合でも、故障によって発生した異常を検知し、フェールセーフによって機能を縮退するなど、安全な走行ができるように、異常対処方法が考えられている。
【0005】
しかし、プログラムが改ざんされ、故障によって異常を検知する仕組みを変更される、もしくは異常検知の対象となる情報を正常な値になりすまされると、異常として検知することが困難となる。
【0006】
サイバー攻撃を受けて車両の異常を検知する仕組みとして、通信データを監視する仕組みが検討される。セキュリティの技術として、メッセージ認証あるいはディジタル署名などがあり、通信データのなりすましによる異常を検知することができるが、既知の攻撃シナリオに対して対策された技術であり、未知のサイバー攻撃に対応できるとは言えない。プログラムが改ざんされると、異常として検知することが困難となるため、通信データだけでなく車両あるいはECUの挙動を監視する必要がある。
【0007】
未知のサイバー攻撃対策の一つとして、セキュアブートがあるが、起動時にメモリチェックを行うため、走行中に攻撃を受けた場合に対応できない。また、走行中、常にメモリをチェックすると処理負荷が大きい課題がある。そこで、起動時だけでなく走行中にサイバー攻撃を受けても制御処理の処理負荷を抑えつつ異常を検知し、車を安全に走行可能にする仕組みが必要である。
【0008】
特許文献1は、車両の状態に応じて通信データの監視方法を変え、データ処理の負荷を増大させず、異常データを検知することができるとしている。
【先行技術文献】
【特許文献】
【0009】
【文献】特許第6531011号公報
【発明の概要】
【発明が解決しようとする課題】
【0010】
特許文献1は、車載装置におけるデータ処理の負荷を増大させずに不正なデータを検知する手段として、自車両の状態に基づいて、データの監視方法を変えるようにしているが、このような方法では、状態に応じて監視データリストあるいは監視グループリストが変化するため、処理時間が変動する。この変動を用いて、第三者がECUの内部情報を取得しうる。取得した情報は、第三者が攻撃をする際のヒントとなってしまう虞がある。
【0011】
本願は、上記のような課題を解決するためになされたものであり、セキュリティ対策の処理時間を増加させることで、第三者が攻撃のヒントを取得しづらくすることを目的とする。
【課題を解決するための手段】
【0012】
本願に開示される侵入検知システムは、通信データが正常か異常かを判定するルールを状態ごとに設定した監視リストと、通信線に流れる通信データを取得し、監視リストと比較して異常有無を判定する侵入検知部と、自車両あるいは制御装置の状態を取得し、侵入検知部が利用する監視リストを切り替える状態管理部と、侵入検知部の処理内容に応じて、侵入検知部の処理時間を増加させる処理時間管理部とを備えている。
【発明の効果】
【0013】
本願の侵入検知システムによれば、車両の通信線上の不正データを検知することができるとともに、攻撃者の攻撃容易性を下げることができる。
【図面の簡単な説明】
【0014】
【図1】実施の形態1に係る侵入検知システムを示すブロック図である。
【図2】実施の形態1に係る侵入検知システムにおける監視リストを示す図である。
【図3】実施の形態1に係る侵入検知システムにおける処理時間の変更例を示す図である。
【図4】実施の形態1に係る侵入検知システムの侵入検知処理を示すフローチャートである。
【図5】実施の形態2に係る侵入検知システムを示すブロック図である。
【図6】実施の形態2に係る侵入検知システムにおける処理時間の変更例を示す図である。
【図7】実施の形態3に係る侵入検知システムを示すブロック図である。
【図8】実施の形態3に係る侵入検知システムにおける処理時間の変更例を示す図である。
【図9】実施の形態4に係る侵入検知システムを示すブロック図である。
【図10】実施の形態4に係る侵入検知システムにおける監視リストを示す図である。
【図11】実施の形態4に係る侵入検知システムにおける処理時間の変更例を示す図である。
【図12】実施の形態4に係る侵入検知システムの侵入検知処理を示すフローチャートである。
【図13】実施の形態5に係る侵入検知システムを示すブロック図である。
【図14】実施の形態5に係る侵入検知システムにおける処理時間の変更例を示す図である。
【図15】実施の形態6に係る侵入検知システムを示すブロック図である。
【図16】実施の形態6に係る侵入検知システムにおける処理時間の変更例を示す図である。
【図17】実施の形態に係る侵入検知システムにおける制御装置のハードウェア構成の一例を示す図である。
【発明を実施するための形態】
【0015】
以下、本願に開示される侵入検知システムの好適な実施の形態について、図面を用いて説明する。なお、以下では、制御装置(ECU)の具体例として制御対象を車両および車載機器とする車載制御装置に適用する場合について、詳細に説明する。本実施の形態は、制御対象である車両の制御装置に侵入する不正データを検知する侵入検知システムとして適用可能である。なお、各図において同符号は同一もしくは相当部分を示している。
【0016】
実施の形態1.
図1は、実施の形態1に係る侵入検知システムを示すブロック図であって、車両(図示せず)に設けられた車載制御装置である制御装置10、20は、通信線(ネットワーク)を介して接続されている。制御装置10は、侵入検知部100、状態管理部101、監視リスト102、処理時間管理部103を備えて構成されている。
図1は、実施の形態1に係る侵入検知システムを示すブロック図であって、車両(図示せず)に設けられた車載制御装置である制御装置10、20は、通信線(ネットワーク)を介して接続されている。制御装置10は、侵入検知部100、状態管理部101、監視リスト102、処理時間管理部103を備えて構成されている。
【0017】
図2は、通信データあるいは通信データ群が正常か異常かを判定するルールとなる図1における監視リスト102の構成を示しており、特に監視リストおよび状態との関連の一例を示している。
各状態で用いる監視リストは、例えば、状態が、走行(高速)では監視リスト1を用い、停止では監視リスト2を用い、ECUスリープでは監視リスト3を用い、ECU診断中では監視リスト4を用いる。
各監視リストは、監視項目として、具体的には、Ethernet(登録商標)通信ではIPアドレス、ポート番号、ペイロード、受信回数、通信帯域、通信シーケンスなどの正常データをルールとして、適宜選択して定義する。
各状態で用いる監視リストは、例えば、状態が、走行(高速)では監視リスト1を用い、停止では監視リスト2を用い、ECUスリープでは監視リスト3を用い、ECU診断中では監視リスト4を用いる。
各監視リストは、監視項目として、具体的には、Ethernet(登録商標)通信ではIPアドレス、ポート番号、ペイロード、受信回数、通信帯域、通信シーケンスなどの正常データをルールとして、適宜選択して定義する。
【0018】
図1において、状態管理部101は、通信データあるいは自ECUのデータに基づいて、状態を判定する。また、取得する状態は以下のいずれか少なくとも1つ以上を考慮して、侵入検知部100が利用する監視リストを切り替える。状態を複数組み合わせて1つの状態として判断してもよい。
(A)自車の状態例:
・・走行(高速・中速・低速)/停止
・・ドライバ/システム/ドライバとシステムが車両を操作している
・・車両を構成するいずれかのECUの診断中、ソフトウェアアップデート準備/実施中
・・車外のECUあるいは他車両あるいはサーバーと通信をしているか否か(V2Xなど)
・・車両走行位置(登坂車線・走行車線・追越車線・トンネル・平地・坂道など)
・・天候(晴れ・雨・曇り・雪など)
(B)自ECUの状態例
・・通常制御中、自ECU診断中、パラメータキャリブレーション中、スリープ中、IG オン中、ACC オン中
このような状態を考慮し、例えば、図2の管理リストの表に基づき、走行状態であれば監視リスト1、停止状態であれば監視リスト2を利用する。監視リスト3、4についても適宜条件を設定することができる。
(A)自車の状態例:
・・走行(高速・中速・低速)/停止
・・ドライバ/システム/ドライバとシステムが車両を操作している
・・車両を構成するいずれかのECUの診断中、ソフトウェアアップデート準備/実施中
・・車外のECUあるいは他車両あるいはサーバーと通信をしているか否か(V2Xなど)
・・車両走行位置(登坂車線・走行車線・追越車線・トンネル・平地・坂道など)
・・天候(晴れ・雨・曇り・雪など)
(B)自ECUの状態例
・・通常制御中、自ECU診断中、パラメータキャリブレーション中、スリープ中、IG オン中、ACC オン中
このような状態を考慮し、例えば、図2の管理リストの表に基づき、走行状態であれば監視リスト1、停止状態であれば監視リスト2を利用する。監視リスト3、4についても適宜条件を設定することができる。
【0019】
侵入検知部100は、ネットワークに流れる通信データを取得し、状態に対応する監視リストと比較して異常有無を判定する。
状態に対応する監視リストは、その状態でのみ流れうる通信のデータあるいはタイミングに関する情報から構成される。
選択された監視リストに書かれたルールのいずれかに合致するかを確認する。
例えば、監視リスト2が適用される状態の場合、通信データのIPアドレスがA2かつポート番号が6058かつペイロード長が4かつペイロードが0x01~0x05か0xff、またはIPアドレス(ID/IP)がB2かつポート番号が6059かつペイロード長が8かつペイロードが0x100であれば異常なしとし、いずれのルールにも合致しなければ異常ありとする。
状態に対応する監視リストは、その状態でのみ流れうる通信のデータあるいはタイミングに関する情報から構成される。
選択された監視リストに書かれたルールのいずれかに合致するかを確認する。
例えば、監視リスト2が適用される状態の場合、通信データのIPアドレスがA2かつポート番号が6058かつペイロード長が4かつペイロードが0x01~0x05か0xff、またはIPアドレス(ID/IP)がB2かつポート番号が6059かつペイロード長が8かつペイロードが0x100であれば異常なしとし、いずれのルールにも合致しなければ異常ありとする。
【0020】
処理時間管理部103は、侵入検知部100の処理内容に応じて、侵入検知部100の処理時間を増加させる。処理時間の増加のさせ方は、ダミー処理(nop命令など)を行ったり、侵入検知部100以外の既存の処理と同様の処理を行ったり、IG ON時に定義されていた監視リストのルール以外での異常判定処理をする。
具体的には、侵入検知部100の処理開始前または処理の間に、受信したデータあるいはそのときの状態に基づき、増加させる時間を決定する。侵入検知処理の間または終了後に、演算処理を追加する。また、処理時間を増加させる値(幅)は、監視リストの数に応じて静的に決定してもよい。
監視リストでの判定対象が多い場合に増加させる時間を小さくし、判定対象が少ない場合に増加させる時間を大きくする、など増加させる量を変更しても良い。
具体的には、侵入検知部100の処理開始前または処理の間に、受信したデータあるいはそのときの状態に基づき、増加させる時間を決定する。侵入検知処理の間または終了後に、演算処理を追加する。また、処理時間を増加させる値(幅)は、監視リストの数に応じて静的に決定してもよい。
監視リストでの判定対象が多い場合に増加させる時間を小さくし、判定対象が少ない場合に増加させる時間を大きくする、など増加させる量を変更しても良い。
【0021】
図3は、侵入検知部100の処理時間分に監視リスト1、監視リスト2、監視リスト3にあらかじめ決められた処理時間を増加させた例を示している。
【0022】
次に、制御装置10による侵入検知処理について、図4のフローチャートを用いて説明する。
【0023】
侵入検知部100は、通信線(ネットワーク)から通信データを受信する(ステップS401).
【0024】
状態管理部101は、侵入検知部100が受信した通信データあるいは自ECUのデータに基づいて状態を判断する(ステップS402)。
例えば、通信データあるいは自ECUが備えるデータから車速0km/h、あるいはシフトレバーの位置をP(Parking)である情報を取得した場合は「停止」と判断する。このほかGPS等から得られた情報などを用いても良い。
例えば、通信データあるいは自ECUが備えるデータから車速0km/h、あるいはシフトレバーの位置をP(Parking)である情報を取得した場合は「停止」と判断する。このほかGPS等から得られた情報などを用いても良い。
【0025】
状態管理部101は、全ステップで判断した状態に基づいて侵入検知部100が用いる監視リストを選択する。例えば停止となった場合は、監視リスト2を選択する(ステップS403)。
【0026】
侵入検知部100は、通信線から受信した通信データが、監視リストに存在している場合は正常と判定し、監視リストに存在しない場合は異常と判定する(ステップS404)。
【0027】
処理時間管理部103は、侵入検知部100が使用している監視リストの処理時間をあらかじめ決められた値に変化させるように、起動時に定義されていた監視リストのルール以外での異常判定処理をする(ステップS405)。
【0028】
実施の形態1においては、侵入検知部100の処理時間を増加させるので、第三者が攻撃のヒントとなる情報を取得しづらくすることができる。
【0029】
実施の形態2.
図5は、実施の形態2に係る侵入検知システムを示すブロック図であって、車載制御装置である制御装置10、20は、通信線(ネットワーク)を介して接続されている。制御装置10は、侵入検知部100、状態管理部101、監視リスト102、処理時間管理部103および、異常処理部104を備えて構成されている。
この実施の形態2においては、図1に示す実施の形態1とは以下の点で異なる特徴を有している。
図5は、実施の形態2に係る侵入検知システムを示すブロック図であって、車載制御装置である制御装置10、20は、通信線(ネットワーク)を介して接続されている。制御装置10は、侵入検知部100、状態管理部101、監視リスト102、処理時間管理部103および、異常処理部104を備えて構成されている。
この実施の形態2においては、図1に示す実施の形態1とは以下の点で異なる特徴を有している。
【0030】
実施の形態2においては、図5に示すように、異常処理部104が設けられている。異常処理部104は、通信データに関する異常があった場合に、対応(データの破棄、通信遮断、外部通知、機能縮退、回復、冗長系へ切替、記録のいずれかの少なくとも1つ以上の処理)を行う。
【0031】
具体的には、例えば、
(1)当該データを、自ECUが利用しないように、また自ECU以外が利用しないように破棄する。
(2)異常検知以降に当該通信線からデータを受信しないように通信を遮断する。
(3)検知した異常内容を、通信線・無線のネットワークを通じて他ECUあるいは車外機器に通知する
(4)異常を検知したのち、最低限動作させられる機能でECUを動作させる。例えばカメラが故障した場合に、車線維持装置機能を停止させて、パワーステアリング機能のみ有効にできるようにし、ドライバが人力で安全な場所まで移動させられるようにする。
(5)異常を検知したのち、以降に受信するデータを自ECUの制御に利用したり、他ECUへデータ転送したりなどを行わないようにしつつも、通信線から受信するデータの異常判定処理を継続させておき、異常が認められない状況(所定期間異常なデータを検知しなかった、または車両が攻撃されない環境に移動したなど)となった場合に、通信遮断前の通信可能な状態に回復させる。
(6)異常を検知したのち、異常が発生した通信線あるいはIPアドレスあるいはポートなどの送信先を切り替えて、別の通信経路で通信を再開する。
(7)異常を検知したのち、異常な通信データあるいは異常が発生したときの時刻を記録する。
(1)当該データを、自ECUが利用しないように、また自ECU以外が利用しないように破棄する。
(2)異常検知以降に当該通信線からデータを受信しないように通信を遮断する。
(3)検知した異常内容を、通信線・無線のネットワークを通じて他ECUあるいは車外機器に通知する
(4)異常を検知したのち、最低限動作させられる機能でECUを動作させる。例えばカメラが故障した場合に、車線維持装置機能を停止させて、パワーステアリング機能のみ有効にできるようにし、ドライバが人力で安全な場所まで移動させられるようにする。
(5)異常を検知したのち、以降に受信するデータを自ECUの制御に利用したり、他ECUへデータ転送したりなどを行わないようにしつつも、通信線から受信するデータの異常判定処理を継続させておき、異常が認められない状況(所定期間異常なデータを検知しなかった、または車両が攻撃されない環境に移動したなど)となった場合に、通信遮断前の通信可能な状態に回復させる。
(6)異常を検知したのち、異常が発生した通信線あるいはIPアドレスあるいはポートなどの送信先を切り替えて、別の通信経路で通信を再開する。
(7)異常を検知したのち、異常な通信データあるいは異常が発生したときの時刻を記録する。
【0032】
また、処理時間管理部103は、侵入検知部100と異常処理部104の処理内容に応じて、処理時間を増加させる。
具体的には、異常が発生していない場合の侵入検知部100の処理時間を増加させる。また、そのほか異常が発生したのちの異常処理部104が処理後に、侵入検知部100の処理時間を増加させてもよい。侵入検知部100の処理開始前または処理の間に受信したデータあるいはそのときの状態に基づき、増加させる時間を決定する。侵入検知処理の間または終了後に、演算処理を追加する。
監視リストの判定対象が多い場合に増加させる時間を小さくし、判定対象が少ない場合に増加させる時間を大きくする、など増加させる量を変更しても良い。
具体的には、異常が発生していない場合の侵入検知部100の処理時間を増加させる。また、そのほか異常が発生したのちの異常処理部104が処理後に、侵入検知部100の処理時間を増加させてもよい。侵入検知部100の処理開始前または処理の間に受信したデータあるいはそのときの状態に基づき、増加させる時間を決定する。侵入検知処理の間または終了後に、演算処理を追加する。
監視リストの判定対象が多い場合に増加させる時間を小さくし、判定対象が少ない場合に増加させる時間を大きくする、など増加させる量を変更しても良い。
【0033】
図6は、侵入検知部100、異常処理部104の処理時間分に監視リスト1、監視リスト2にあらかじめ決められた処理時間を増加させた例を示している。
【0034】
実施の形態2においては、侵入検知部100および異常処理部104を合わせた処理時間を増加させるので、第三者が攻撃のヒント(正常なデータか異常なデータか)となる情報を取得しづらくすることができる。
【0035】
実施の形態3.
図7は、実施の形態3に係る侵入検知システムを示すブロック図であって、車載制御装置である制御装置10、20は、通信線(ネットワーク)を介して接続されている。制御装置10は、侵入検知部100、状態管理部101、監視リスト102、処理時間管理部103および、認証部105を備えて構成されている。
この実施の形態3においては、図1に示す実施の形態1とは以下の点で異なる特徴を有している。
図7は、実施の形態3に係る侵入検知システムを示すブロック図であって、車載制御装置である制御装置10、20は、通信線(ネットワーク)を介して接続されている。制御装置10は、侵入検知部100、状態管理部101、監視リスト102、処理時間管理部103および、認証部105を備えて構成されている。
この実施の形態3においては、図1に示す実施の形態1とは以下の点で異なる特徴を有している。
【0036】
実施の形態3においては、図7に示すように、認証部105が設けられている。認証部105は、侵入検知部100で処理するデータがやり取りされる通信線とは異なる通信線から受信したデータを認証する、あるいは同じ通信線で受信するが侵入検知部100で処理されないデータを認証する。これらの認証は、例えばCANプロトコルで言えば、同一通信線上において、CANID 0x100は侵入検知部100で処理するが、CANID 0x050は認証部105で処理する、といったことを指す。データの重要度あるいはECUのリソース制約等から全ての通信データを認証部105で処理できない場合がある。
なお、認証には、共通鍵暗号、公開鍵暗号、メッセージ認証符号あるいはデジタル署名等の暗号技術を用いて行う。
なお、認証には、共通鍵暗号、公開鍵暗号、メッセージ認証符号あるいはデジタル署名等の暗号技術を用いて行う。
【0037】
また、処理時間管理部103は、侵入検知部100と認証部105の処理内容に応じて、侵入検知部100の処理時間を増加させる。
具体的には、認証部105の処理時間と、侵入検知部100の処理時間が同一あるいは処理時間差があらかじめ決められた範囲内になるようにする。
具体的には、認証部105の処理時間と、侵入検知部100の処理時間が同一あるいは処理時間差があらかじめ決められた範囲内になるようにする。
【0038】
図8は、侵入検知部100の処理時間分に監視リスト1、監視リストにあらかじめ決められた処理時間を増加させ、また認証部105にも処理時間分に処理時間を増加させた例を示している。
【0039】
実施の形態3においては、認証部105あるいは侵入検知部100の処理時間を増加させるので、第三者が攻撃のヒント(対象の通信データが認証付きか否か、暗号鍵)となる情報を取得しづらくすることができる。
【0040】
実施の形態4.
図9は、実施の形態4に係る侵入検知システムを示すブロック図であって、車載制御装置である制御装置10、20は、通信線(ネットワーク)を介して接続されている。制御装置10は、侵入検知部100、状態管理部101、監視リスト102、処理時間管理部103、リスト変更部106、受信履歴管理部107を備えて構成されている。
この実施の形態4においては、図1に示す実施の形態1とは以下の点で異なる特徴を有している。
図9は、実施の形態4に係る侵入検知システムを示すブロック図であって、車載制御装置である制御装置10、20は、通信線(ネットワーク)を介して接続されている。制御装置10は、侵入検知部100、状態管理部101、監視リスト102、処理時間管理部103、リスト変更部106、受信履歴管理部107を備えて構成されている。
この実施の形態4においては、図1に示す実施の形態1とは以下の点で異なる特徴を有している。
【0041】
実施の形態4においては、図9に示すように、リスト変更部106,受信履歴管理部107が設けられている。
リスト変更部106は、受信履歴管理部107に基づき監視リストの中身を変更する(侵入検知部100の検知精度を変更(向上)させるように)。
監視リストに加えられていない正常なデータがあれば、侵入検知部100の処理時間が短い場合、あるいは重要な(ドライバの安全あるいはプライバシーあるいは利便性に関わるような)処理がECUで行われていない場合に、正常なデータを監視リストに加える。
リスト変更部106は、受信履歴管理部107に基づき監視リストの中身を変更する(侵入検知部100の検知精度を変更(向上)させるように)。
監視リストに加えられていない正常なデータがあれば、侵入検知部100の処理時間が短い場合、あるいは重要な(ドライバの安全あるいはプライバシーあるいは利便性に関わるような)処理がECUで行われていない場合に、正常なデータを監視リストに加える。
【0042】
受信履歴管理部107は、あらかじめ決められた期間に受信する正常な通信データ、受信時の状態、受信回数を保持する。保持するとともに正常データを定義する。
正常な通信データとその受信回数、さらにそのときの自ECUあるいは車両の状態を合わせて記録する。あらかじめ決められた期間における統計情報から正常データを定義し、当該データを監視リストに加える対象に設定する。定義する条件は、あらかじめ決められた期間の受信回数が閾値を超えた場合、受信回数が閾値を超えた場合、受信データおよび回数の動的な変化から推測する場合、などを採用できる。
なお、通信データに関する詳細な仕様書があれば、ECUへのソフトウェア実装時、監視リストに正常なデータを詳細に定義できるが、仕様書が無い場合あるいは仕様書はあるものの通信のヘッダ情報以外を正常な通信データとして定義しきれない場合もあるため、これらの対応が活用されうる。
正常な通信データとその受信回数、さらにそのときの自ECUあるいは車両の状態を合わせて記録する。あらかじめ決められた期間における統計情報から正常データを定義し、当該データを監視リストに加える対象に設定する。定義する条件は、あらかじめ決められた期間の受信回数が閾値を超えた場合、受信回数が閾値を超えた場合、受信データおよび回数の動的な変化から推測する場合、などを採用できる。
なお、通信データに関する詳細な仕様書があれば、ECUへのソフトウェア実装時、監視リストに正常なデータを詳細に定義できるが、仕様書が無い場合あるいは仕様書はあるものの通信のヘッダ情報以外を正常な通信データとして定義しきれない場合もあるため、これらの対応が活用されうる。
【0043】
図10は、監視リストを示しており、実施の形態4における監視リストの一例を示しており、特に監視リスト1(起動時)、監視リスト2(起動時)、監視リスト(更新時)の例を示している。監視リストの監視項目は、実施の形態1における図2に示す管理リストと同様に、適宜選択して定義する。図10では、ID/IP、Port、Length、Payloadを設定している。
【0044】
図10に示す監視リストにおいては、1byte目、2byte目が所定範囲の値となっていることが判断できた場合、監視リストのデータを更新する。追加されるアプリケーションから送信されるPayload仕様が不明な場合があるため、受信履歴に基づいてデータを変更する。その結果、チェック対象が多くなるため処理時間が増加する。
なお、リストに追加した項目は、起動時にリストにある項目よりも“確実性”が低いことを考慮し、追加後のリストで異常検知した場合、異常処理部の処理を、追加前と追加後で変更してもよい。追加前に破棄あるいは遮断あるいは通信経路の切替を行う処理であるものを、追加後に通知あるいは記録の処理に変更することで、車両動作に影響を与える処理を即時実行しないようにする。
なお、リストに追加した項目は、起動時にリストにある項目よりも“確実性”が低いことを考慮し、追加後のリストで異常検知した場合、異常処理部の処理を、追加前と追加後で変更してもよい。追加前に破棄あるいは遮断あるいは通信経路の切替を行う処理であるものを、追加後に通知あるいは記録の処理に変更することで、車両動作に影響を与える処理を即時実行しないようにする。
【0045】
図11は、侵入検知部100の処理時間分に監視リスト1、監視リスト2、監視リスト3にあらかじめ決められた処理時間を増加させ、また監視リストを更新(変更)したことによる侵入検知部100の処理時間分に処理時間を増加させた例を示している。
【0046】
次に、実施の形態4における侵入検知システムによる侵入検知処理について、図12のフローチャートを用いて説明する。
【0047】
ステップS1201、ステップS1202、ステップS1203、ステップS1204およびステップS1206は、図4に示した実施の形態1におけるステップS401、ステップS402、ステップS403、ステップS404およびステップS405に相当するものであり、各ステップで同様の処理を実行する。
【0048】
リスト変更部106は、あらかじめ決められた更新タイミングで、監視リストの中身を変更する(ステップS1205)。更新タイミングは以下の通りである。
(1)侵入検知部100が異常判定をした後、ある監視リストを用いたときの侵入検知部100の処理時間があらかじめ決められた値よりも小さい場合は、処理を変更する(監視リストを構成するチェック対象を増加させる)。
(2)重要な処理がECUで行われていない場合、侵入検知処理とは別のタイミングで、同様の手段を用いてリストの中身を変更する。
(1)侵入検知部100が異常判定をした後、ある監視リストを用いたときの侵入検知部100の処理時間があらかじめ決められた値よりも小さい場合は、処理を変更する(監視リストを構成するチェック対象を増加させる)。
(2)重要な処理がECUで行われていない場合、侵入検知処理とは別のタイミングで、同様の手段を用いてリストの中身を変更する。
【0049】
受信履歴管理部107は、侵入検知部100で受信データが正常であると判定されたときの受信時刻(またはECU起動時からの経過時間)、通信データのヘッダ、ペイロードを記録する(ステップS1207)。また、通信データを受信したときの状態も併せて記録する。そのときの位置情報あるいはドライバの情報を記録しても良い。また、記録された情報を統計処理するが、このフローチャートの手順内で実施されなくともよい。
【0050】
実施の形態4においては、侵入検知部100の処理時間があらかじめ決められた値以下となる監視リストを変更して、侵入検知部100の処理時間を増加させるので、第三者が攻撃のヒント(許可された通信データが多い状態がどれか)となる情報を取得しづらくすることができる。また、異常検知できる対象を増やすことができる。
【0051】
実施の形態5.
図13は、実施の形態5に係る侵入検知システムを示すブロック図であって、車載制御装置である制御装置10、20は、通信線(ネットワーク)を介して接続されている。制御装置10は、侵入検知部100、状態管理部101、監視リスト102、処理時間管理部103を備えて構成されている。
この実施の形態5は、図1に示す実施の形態1とは、処理時間管理部103における処理時間があらかじめ決められた一定値になるように、不足分の処理時間を増加させるところに特徴を有している点で異なっている。
図13は、実施の形態5に係る侵入検知システムを示すブロック図であって、車載制御装置である制御装置10、20は、通信線(ネットワーク)を介して接続されている。制御装置10は、侵入検知部100、状態管理部101、監視リスト102、処理時間管理部103を備えて構成されている。
この実施の形態5は、図1に示す実施の形態1とは、処理時間管理部103における処理時間があらかじめ決められた一定値になるように、不足分の処理時間を増加させるところに特徴を有している点で異なっている。
【0052】
図14は、侵入検知部100の処理時間分に監視リスト1、監視リスト2、監視リスト3にあらかじめ決められた処理時間を増加させ、各処理時間を同じにした例を示している。
【0053】
実施の形態5においては、処理時間管理部であらかじめ決められた一定値になるように処理時間を増加させることによって、第三者が攻撃のヒント(対象の通信データが認証付きか否か、暗号鍵)となる情報を取得しづらくすることができる。
【0054】
実施の形態6.
図15は、実施の形態6に係る侵入検知システムを示すブロック図であって、車載制御装置である制御装置10、20は、通信線(ネットワーク)を介して接続されている。制御装置10は、侵入検知部100、状態管理部101、監視リスト102、処理時間管理部103を備えて構成されている。制御装置10の基本的構成は実施の形態1と同じであるが、実施の形態6では、処理時間管理部103は、増加させる時間をランダムにしていることを特徴としている。
図15は、実施の形態6に係る侵入検知システムを示すブロック図であって、車載制御装置である制御装置10、20は、通信線(ネットワーク)を介して接続されている。制御装置10は、侵入検知部100、状態管理部101、監視リスト102、処理時間管理部103を備えて構成されている。制御装置10の基本的構成は実施の形態1と同じであるが、実施の形態6では、処理時間管理部103は、増加させる時間をランダムにしていることを特徴としている。
【0055】
図16は、侵入検知部100の処理時間分に増加させる処理時間を監視リスト1,監視リスト2、監視リスト3毎にランダムにした例を示している。
【0056】
実施の形態6においては、処理時間管理部で増加させる時間をランダムにすることによって、第三者が攻撃のヒント(対象の通信データが認証付きか否か、暗号鍵)となる情報を、より取得しづらくすることができる。
【0057】
なお、各実施の形態に用いられる監視リストに記載されるルールは、上記の限りではなく、通信線あるいは通信データに関して定義される情報から導出できるものであれば、例えばEthernetであれば、EthernetあるいはIPあるいはTCP/UDP、SOME/IP、ServiceDiscovery、HTTPなどのヘッダ情報の一部あるいは全部、またはIPパケットのペイロード部分、さらにはデータ受信のタイミングあるいは通信帯域あるいはシーケンス、パケット間のデータ相関などを用いて作成しても構わない。ほかの通信プロトコル(CAN,FlexRay,LIM,MOSTなど)でも同様に正常データを規定できればこの限りではない。
状態に応じた監視リストを1つのみ割り当てているが、複数のリストを組み合わせて、状態を定義してもよい。
状態に応じた監視リストを1つのみ割り当てているが、複数のリストを組み合わせて、状態を定義してもよい。
【0058】
なお、制御装置10は、ハードウェアの一例を図17に示すように、プロセッサ11と記憶装置12から構成される。記憶装置12は、例えば、ランダムアクセスメモリ等の揮発性記憶装置と、フラッシュメモリ等の不揮発性の補助記憶装置とを具備する。また、フラッシュメモリの代わりにハードディスクの補助記憶装置を具備してもよい。プロセッサ11は、記憶装置12から入力されたプログラムを実行する。この場合、補助記憶装置から揮発性記憶装置を介してプロセッサ11にプログラムが入力される。また、プロセッサ11は、演算結果等のデータを記憶装置12の揮発性記憶装置に出力してもよいし、揮発性記憶装置を介して補助記憶装置にデータを保存してもよい。
【0059】
本願は、様々な例示的な実施の形態及び実施例が記載されているが、1つ、または複数の実施の形態に記載された様々な特徴、態様、及び機能は特定の実施の形態の適用に限られるのではなく、単独で、または様々な組み合わせで実施の形態に適用可能である。
従って、例示されていない無数の変形例が、本願明細書に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合、さらには、少なくとも1つの構成要素を抽出し、他の実施の形態の構成要素と組み合わせる場合が含まれるものとする。
従って、例示されていない無数の変形例が、本願明細書に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合、さらには、少なくとも1つの構成要素を抽出し、他の実施の形態の構成要素と組み合わせる場合が含まれるものとする。
【符号の説明】
【0060】
10,20 制御装置、100 侵入検知部、101 状態管理部、102 監視リスト、103 処理時間管理部、104 異常処理部、105 認証部、106 リスト変更部、107 受信履歴管理部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】