(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-05-30
(45)【発行日】2024-06-07
(54)【発明の名称】不正フレーム検知装置および不正フレーム検知方法
(51)【国際特許分類】
G06F 21/55 20130101AFI20240531BHJP
H04L 12/28 20060101ALI20240531BHJP
B60R 16/023 20060101ALI20240531BHJP
【FI】
G06F21/55
H04L12/28 200Z
B60R16/023 P
(21)【出願番号】P 2021529985
(86)(22)【出願日】2020-06-24
(86)【国際出願番号】 JP2020024855
(87)【国際公開番号】W WO2021002264
(87)【国際公開日】2021-01-07
【審査請求日】2023-04-04
(31)【優先権主張番号】PCT/JP2019/026718
(32)【優先日】2019-07-04
(33)【優先権主張国・地域又は機関】JP
(73)【特許権者】
【識別番号】514136668
【氏名又は名称】パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ
【氏名又は名称原語表記】Panasonic Intellectual Property Corporation of America
(74)【代理人】
【識別番号】100109210
【氏名又は名称】新居 広守
(74)【代理人】
【識別番号】100137235
【氏名又は名称】寺谷 英作
(74)【代理人】
【識別番号】100131417
【氏名又は名称】道坂 伸一
(72)【発明者】
【氏名】岸川 剛
(72)【発明者】
【氏名】平野 亮
(72)【発明者】
【氏名】氏家 良浩
(72)【発明者】
【氏名】芳賀 智之
【審査官】吉田 歩
(56)【参考文献】
【文献】米国特許出願公開第2014/0136589(US,A1)
【文献】国際公開第2015/159520(WO,A1)
【文献】鳥崎 唯之 ほか,CAN-Ethernet 混在車載ネットワークにおけるセキュリティ対策の検討と提案,2018年 暗号と情報セキュリティシンポジウム概要集,一般社団法人電子情報通信学会,2018年01月23日,pp.1-8
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
H04L 12/28
B60R 16/023
(57)【特許請求の範囲】
【請求項1】
複数の電子制御ユニットと、複数のネットワークと、によって構成される車載ネットワークシステムにおける、不正フレーム検知装置であって、
前記複数の電子制御ユニットは、サービス指向型通信により、前記不正フレーム検知装置を介して通信を行い、
前記不正フレーム検知装置は、前記複数のネットワークのそれぞれに対応する複数の通信ポートと、通信制御部と、不正フレーム検知部と、を備え、
前記複数の通信ポートのそれぞれは、前記複数のネットワークのうちの対応する所定のネットワークに接続され、前記所定のネットワークを介して前記所定のネットワークに接続された電子制御ユニットとフレームの送受信を行うインタフェースを有し、
前記通信制御部は、前記複数の通信ポートのうちのいずれかの通信ポートがフレームを受信した場合、前記複数の通信ポートのうちの前記フレームを受信した通信ポート以外の通信ポートから、前記フレームが送信されるように転送制御を行い、
前記不正フレーム検知部は、前記フレームに含まれる、サービスの識別子と、前記フレームを送信した電子制御ユニットがサービスの提供側かサービスの受領側かを示すサービスのタイプと、前記フレームを受信した通信ポートを識別するためのポート情報とが、予め定められた許可ルールに合致するか否かを判断し、前記判断の結果を出力する、
不正フレーム検知装置。
【請求項2】
前記通信制御部は、前記複数の通信ポートのうちのいずれかの通信ポートがフレームを受信した場合に、前記フレームに含まれる、前記サービスの識別子と、前記サービスのタイプと、前記ポート情報とが、前記許可ルールに合致しないときには、前記フレームについて前記転送制御を行わない、
請求項1に記載の不正フレーム検知装置。
【請求項3】
前記不正フレーム検知装置は、さらにルール更新部を備え、
前記ルール更新部は、前記複数の通信ポートのうちのいずれか通信ポートが、電子制御ユニットの利用するサービスに関するマニフェスト情報を含むフレームを受信した場合、前記マニフェスト情報と、前記マニフェスト情報を含む前記フレームを受信した通信ポートを識別するポート情報とに基づいて、前記許可ルールを更新する、
請求項1または2に記載の不正フレーム検知装置。
【請求項4】
前記不正フレーム検知装置は、さらにルール生成部を備え、
前記ルール生成部は、前記車載ネットワークシステムの初回起動時に、前記複数の通信ポートが受信したフレームに含まれる、前記サービスの識別子と、前記サービスのタイプと、前記ポート情報とに基づいて、前記許可ルールを生成する、
請求項1~3のいずれか一項に記載の不正フレーム検知装置。
【請求項5】
前記不正フレーム検知装置は、さらに、前記複数のネットワークに流れるフレームに基づいて、前記車載ネットワークシステムを搭載する車両の状態を判定する車両状態判定部を備え、
前記不正フレーム検知部は、前記サービスの識別子と、前記サービスのタイプと、前記ポート情報と、さらに前記車両の状態とが、前記許可ルールに合致するか否かを判断する、
請求項1~4のいずれか一項に記載の不正フレーム検知装置。
【請求項6】
前記車両状態判定部は、前記車両の状態が自動運転モードであるか否かを判定し、
前記不正フレーム検知部は、前記サービスの識別子が、自動運転に関わるサービスである場合に限り、前記サービスの識別子と、前記サービスのタイプと、前記ポート情報と、前記車両の状態とが、前記許可ルールに合致するか否かを判断し、
前記許可ルールには、前記車両の状態が自動運転モードであるというルールが含まれる、
請求項5に記載の不正フレーム検知装置。
【請求項7】
前記サービス指向型通信はScalable Service Oriented MiddlewarE over IP(SOME/IP)であり、
前記サービスのタイプは、Offer、Find、SubscribeおよびSubscribe Ackのいずれか1つを含む、
請求項1~6のいずれか一項に記載の不正フレーム検知装置。
【請求項8】
複数の電子制御ユニットと、複数のネットワークと、によって構成される車載ネットワークシステムにおける、不正フレーム検知装置による不正フレーム検知方法であって、
前記複数の電子制御ユニットは、サービス指向型通信により、前記不正フレーム検知装置を介して通信を行い、
前記不正フレーム検知装置は、前記複数のネットワークのそれぞれに対応する複数の通信ポートを備え、
前記複数の通信ポートのそれぞれは、前記複数のネットワークのうちの対応する所定のネットワークに接続され、前記所定のネットワークを介して前記所定のネットワークに接続された電子制御ユニットとフレームの送受信を行うインタフェースを有し、
前記不正フレーム検知方法は、
前記複数の通信ポートのうちのいずれかの通信ポートがフレームを受信した場合、前記複数の通信ポートのうちの前記フレームを受信した通信ポート以外の通信ポートから、前記フレームが送信されるように転送制御を行う転送制御ステップと、
前記フレームに含まれる、サービスの識別子と、前記フレームを送信した電子制御ユニットがサービスの提供側かサービスの受領側かを示すサービスのタイプと、前記フレームを受信した通信ポートを識別するためのポート情報とが、予め定められた許可ルールに合致するか否かを判断し、前記判断の結果を出力する不正フレーム検知ステップと、を含む
不正フレーム検知方法。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、車載ネットワークセキュリティ技術についての不正フレーム検知装置および不正フレーム検知方法に関する。
【背景技術】
【0002】
近年、自動車の中のシステムには、電子制御ユニット(Electronic Control Unit、以下、ECU)と呼ばれる装置が多数配置されている。これらのECUをつなぐネットワークは車載ネットワークと呼ばれる。
【0003】
車載ネットワークには、多数の規格が存在するが、その中でも最も主流な車載ネットワークの一つに、Controller Area Network(以降、CAN(登録商標))という規格が存在する。
【0004】
一方で、自動運転やコネクテッドカーの普及に伴い、車載ネットワークトラフィックの増大が予想され、車載イーサネット(登録商標)の普及が進んでいる。車載イーサネットでは、従来のようなシグナル指向型通信から、サービス指向型通信が導入されるようになっており、開発プロセスの効率化も図ることが可能となる。サービス指向型通信の実現方法として、Service Oriented Middle WarE Over Internet Protocol(以下SOME/IP)が、AUTomotive Open System ARchitecture(AUTOSAR)で規定されている。
【0005】
SOME/IP通信においても、CANと同様に不正なノードによるなりすまし攻撃の脅威が考えられる。このような脅威に対して、従来のIP通信で用いられてきた、暗号通信を用いて不正なノードによる通信を防ぐ方法が開示されている(例えば、非特許文献1および非特許文献2参照)。
【先行技術文献】
【非特許文献】
【0006】
【文献】RFC5406:Guidelines for Specifying the Use of IPsec Version2
【文献】IEEE 802.1AE:MAC Security
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、非特許文献1または非特許文献2の方法では、暗号通信を用いるため、送受信ノードによる暗号化および復号処理が必要となりオーバーヘッドが発生する。また鍵管理が重要となり、鍵が漏洩した場合には、なりすまし攻撃が可能となってしまう。
【0008】
そこで、本開示は、通信時のオーバーヘッドを抑制しつつ、不正なECUが正規のサーバまたはクライアントになりすますことを防ぐことができる不正フレーム検知装置等を提供する。
【課題を解決するための手段】
【0009】
上記課題を解決するために、本開示の一態様に係る不正フレーム検知装置は、複数の電子制御ユニットと、複数のネットワークと、によって構成される車載ネットワークシステムにおける、不正フレーム検知装置であって、前記複数の電子制御ユニットは、サービス指向型通信により、前記不正フレーム検知装置を介して通信を行い、前記不正フレーム検知装置は、前記複数のネットワークのそれぞれに対応する複数の通信ポートと、通信制御部と、不正フレーム検知部と、を備え、前記複数の通信ポートのそれぞれは、前記複数のネットワークのうちの対応する所定のネットワークに接続され、前記所定のネットワークを介して前記所定のネットワークに接続された電子制御ユニットとフレームの送受信を行うインタフェースを有し、前記通信制御部は、前記複数の通信ポートのうちのいずれかの通信ポートがフレームを受信した場合、前記複数の通信ポートのうちの前記フレームを受信した通信ポート以外の通信ポートから、前記フレームが送信されるように転送制御を行い、前記不正フレーム検知部は、前記フレームに含まれる、サービスの識別子と、前記フレームを送信した電子制御ユニットがサービスの提供側かサービスの受領側かを示すサービスのタイプと、前記フレームを受信した通信ポートを識別するためのポート情報とが、予め定められた許可ルールに合致するか否かを判断し、前記判断の結果を出力する。
【発明の効果】
【0010】
本開示によれば、通信時のオーバーヘッドを抑制しつつ、不正なECUが正規のサーバまたはクライアントになりすますことを防ぐことができる。
【図面の簡単な説明】
【0011】
【
図1】
図1は、実施の形態1における、車載ネットワークシステムの全体構成を示す図である。
【
図2】
図2は、実施の形態1における、SOME/IP SDのメッセージフォーマットを示す図である。
【
図3】
図3は、実施の形態1における、SOME/IP SDのメッセージの一例を示す図である。
【
図4】
図4は、実施の形態1における、Zone ECUの構成を示す図である。
【
図5】
図5は、実施の形態1における、ブレーキECUの構成を示す図である。
【
図6】
図6は、実施の形態1における、鍵の一例を示す図である。
【
図7】
図7は、実施の形態1における、モードと車両状態の一例を示す図である。
【
図8】
図8は、実施の形態1における、許可テーブルに格納される許可ルールの一例を示す図である。
【
図9】
図9は、実施の形態1における、Zone ECUによる初期化モードにおける許可テーブルの登録シーケンスを示す図である。
【
図10】
図10は、実施の形態1における、Zone ECUによる通常モードにおける不正なフレームを遮断するシーケンスを示す図である。
【
図11】
図11は、実施の形態1における、Zone ECUによる通常モードにおける許可テーブルの更新シーケンスを示す図である。
【
図12】
図12は、実施の形態1における、Zone ECUによる全体処理のフローチャートである。
【
図13】
図13は、実施の形態1における、Zone ECUによるモード変更処理のフローチャートである。
【
図14】
図14は、その他の変形例(3)における、Zone ECUによる全体処理のフローチャートである。
【
図15】
図15は、その他の変形例(4)における、マニフェストファイルの一例を示す図である。
【
図16】
図16は、その他の変形例(4)および変形例(5)を組み合わせたときの、Zone ECUによる全体処理のフローチャートである。
【発明を実施するための形態】
【0012】
本開示の一実施態様の不正フレーム検知装置は、複数の電子制御ユニットと、複数のネットワークと、によって構成される車載ネットワークシステムにおける、不正フレーム検知装置であって、前記複数の電子制御ユニットは、サービス指向型通信により、前記不正フレーム検知装置を介して通信を行い、前記不正フレーム検知装置は、前記複数のネットワークのそれぞれに対応する複数の通信ポートと、通信制御部と、不正フレーム検知部と、を備え、前記複数の通信ポートのそれぞれは、前記複数のネットワークのうちの対応する所定のネットワークに接続され、前記所定のネットワークを介して前記所定のネットワークに接続された電子制御ユニットとフレームの送受信を行うインタフェースを有し、前記通信制御部は、前記複数の通信ポートのうちのいずれかの通信ポートがフレームを受信した場合、前記複数の通信ポートのうちの前記フレームを受信した通信ポート以外の通信ポートから、前記フレームが送信されるように転送制御を行い、前記不正フレーム検知部は、前記フレームに含まれる、サービスの識別子と、前記フレームを送信した電子制御ユニットがサービスの提供側かサービスの受領側かを示すサービスのタイプと、前記フレームを受信した通信ポートを識別するためのポート情報とが、予め定められた許可ルールに合致するか否かを判断し、前記判断の結果を出力する。
【0013】
例えば、複数の通信ポートのそれぞれに接続されるECUは予め決まっており、すなわち、当該ECUから当該ECUに接続された通信ポートへ送信されるフレームに含まれるサービスの識別子、サービスのタイプおよびポート情報は予め決まっている。つまり、複数の通信ポートのそれぞれが受信する正規のフレームに含まれるサービスの識別子、サービスのタイプおよびポート情報を許可ルールとして予め定めることができ、その後受信したフレームに含まれるこれらの情報が許可ルールに合致しない場合には、不正なフレームが送信されていることがわかる。このように、サービス指向型通信の、サーバまたはクライアントの物理的な配置とサービスの内容に基づいてフレーム(以下ではメッセージともいう)の不正を検知することが可能となり、車載ネットワークシステムの安全性が高まる。また、送受信ノードによる暗号化および復号処理が不要であるため、通信時のオーバーヘッドを抑制しつつ、不正なECUが正規のサーバまたはクライアントになりすますことを防ぐことができる。
【0014】
また、前記通信制御部は、前記複数の通信ポートのうちのいずれかの通信ポートがフレームを受信した場合に、前記フレームに含まれる、前記サービスの識別子と、前記サービスのタイプと、前記ポート情報とが、前記許可ルールに合致しないときには、前記フレームについて前記転送制御を行わなくてもよい。
【0015】
これにより、この場合、受信したフレームが不正なフレームであるとわかるため、不正なフレームを他のECUへ転送することを防ぐことが可能となり、車載ネットワークシステムの安全性が高まる。
【0016】
また、前記不正フレーム検知装置は、さらにルール更新部を備え、前記ルール更新部は、前記複数の通信ポートのうちのいずれか通信ポートが、電子制御ユニットの利用するサービスに関するマニフェスト情報を含むフレームを受信した場合、前記マニフェスト情報と、前記マニフェスト情報を含む前記フレームを受信した通信ポートを識別するポート情報とに基づいて、前記許可ルールを更新してもよい。
【0017】
例えば、車両のアップデート等によって、ECUが提供するサービスに変更があった場合に、許可ルールの更新が必要になるときがある。そこで、不正フレーム検知装置の通信ポートに接続されたECUに、自身が利用するサービス、例えば、自身の役割を示すマニフェスト情報を含むフレームを送信させる。これにより、マニフェスト情報と、ポート情報すなわちメッセージの送信元の物理的な配置に基づいて、許可ルールを更新することができる。
【0018】
また、前記不正フレーム検知装置は、さらにルール生成部を備え、前記ルール生成部は、前記車載ネットワークシステムの初回起動時に、前記複数の通信ポートが受信したフレームに含まれる、前記サービスの識別子と、前記サービスのタイプと、前記ポート情報とに基づいて、前記許可ルールを生成してもよい。
【0019】
車載ネットワークシステムの初回起動は、例えば、車両が市場に出回る前の車両の工場等で行われ、初回起動時の車載ネットワークは安全な状態にあり、不正フレーム検知装置が受信するフレームは正規のフレームとなる。したがって、このような安全な状態にある車載ネットワークシステムで観測される通信をもとに、不正なフレームを検知するための許可ルールの生成が可能となる。また、車載ネットワークの初回起動時に自動で許可ルールを生成でき効率的である。
【0020】
また、前記不正フレーム検知装置は、さらに、前記複数のネットワークに流れるフレームに基づいて、前記車載ネットワークシステムを搭載する車両の状態を判定する車両状態判定部を備え、前記不正フレーム検知部は、前記サービスの識別子と、前記サービスのタイプと、前記ポート情報と、さらに前記車両の状態とが、前記許可ルールに合致するか否かを判断してもよい。
【0021】
例えば、車両が停車しているときにしか利用されないサービス、車両が走行しているときにしか利用されないサービスといったように、サービスには利用されるときの車両状態が決まっているものがある。したがって、サービスが利用される車両状態と、サーバまたはクライアントの物理的な配置をもとに、不正なフレームを検知することが可能となり、車載ネットワークシステムの安全性が高まる。
【0022】
また、前記車両状態判定部は、前記車両の状態が自動運転モードであるか否かを判定し、前記不正フレーム検知部は、前記サービスの識別子が、自動運転に関わるサービスである場合に限り、前記サービスの識別子と、前記サービスのタイプと、前記ポート情報と、前記車両の状態とが、前記許可ルールに合致するか否かを判断し、前記許可ルールには、前記車両の状態が自動運転モードであるというルールが含まれていてもよい。
【0023】
自動運転に関わるサービスは、特に安全性を高める必要がある。したがって、不正を検知するフレームを自動運転に関わるサービスに関するものに限ることで、自動運転に関わるサービスが利用されるタイミングにおける、不正なフレームの検知が可能となり、車載ネットワークシステムの安全性が高まる。
【0024】
また、前記サービス指向型通信はScalable Service Oriented MiddlewarE over IP(SOME/IP)であり、前記サービスのタイプは、Offer、Find、SubscribeおよびSubscribe Ackのいずれか1つを含んでいてもよい。
【0025】
これにより、SOME/IPのService Discoveryの段階で、不正なフレームの検知が可能となり、不正なサーバまたはクライアントと正常なクライアントまたはサーバ間のセッション確立を阻止することが可能となる。
【0026】
また、本開示の一態様に係る不正フレーム検知方法は、複数の電子制御ユニットと、複数のネットワークと、によって構成される車載ネットワークシステムにおける、不正フレーム検知装置による不正フレーム検知方法であって、前記複数の電子制御ユニットは、サービス指向型通信により、前記不正フレーム検知装置を介して通信を行い、前記不正フレーム検知装置は、前記複数のネットワークのそれぞれに対応する複数の通信ポートを備え、前記複数の通信ポートのそれぞれは、前記複数のネットワークのうちの対応する所定のネットワークに接続され、前記所定のネットワークを介して前記所定のネットワークに接続された電子制御ユニットとフレームの送受信を行うインタフェースを有し、前記不正フレーム検知方法は、前記複数の通信ポートのうちのいずれかの通信ポートがフレームを受信した場合、前記複数の通信ポートのうちの前記フレームを受信した通信ポート以外の通信ポートから、前記フレームが送信されるように転送制御を行う転送制御ステップと、前記フレームに含まれる、サービスの識別子と、前記フレームを送信した電子制御ユニットがサービスの提供側かサービスの受領側かを示すサービスのタイプと、前記フレームを受信した通信ポートを識別するためのポート情報とが、予め定められた許可ルールに合致するか否かを判断し、前記判断の結果を出力する不正フレーム検知ステップと、を含む。
【0027】
これにより、サービス指向型通信の、サーバまたはクライアントの物理的な配置とサービスの内容に基づいてメッセージの不正を検知することが可能となり、車載ネットワークシステムの安全性が高まる。また、通信時のオーバーヘッドを抑制しつつ、不正なECUが正規のサーバまたはクライアントになりすますことを防ぐことができる。
【0028】
以下、図面を参照しながら、本開示の実施の形態に関わる車載ネットワークシステムについて説明する。なお、以下で説明する実施の形態は、いずれも本開示の好ましい一具体例を示す。つまり、以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置および接続形態、ステップ、ステップの順序などは、本開示の一例であり、本開示を限定する主旨ではない。本開示は、請求の範囲の記載に基づいて特定される。したがって、以下の実施の形態における構成要素のうち、本開示の最上位概念を示す独立請求項に記載されていない構成要素は、本開示の課題を達成するために必ずしも必要ではないが、より好ましい形態を構成する構成要素として説明される。
【0029】
(実施の形態1)
以下、複数のECUがCANバスおよびイーサネットを介して通信する車載ネットワークを用いた車載ネットワークシステムを搭載した車両における、不正なフレームを検知し、遮断する不正フレーム検知装置について説明する。
【0030】
[1.1 車載ネットワークシステムの全体構成]
図1は、実施の形態1における、車載ネットワークシステム1の全体構成を示す図である。車載ネットワークシステム1は、車両に搭載され、複数のECUと、複数のネットワークと、によって構成される。複数のネットワークには、イーサネットおよびCAN等が含まれる。車載ネットワークシステム1は、Zone ECU100a、100b、100cおよび100dと、ブレーキECU200a、ステアリングECU200b、カメラECU200c、ヘッドユニットECU200d、レーダーECU200eおよびアンテナECU200fと、イーサネット11、12、13、14、15および16と、CAN10および17とから構成される。
【0031】
Zone ECU100aは、Zone ECU100bとイーサネット12によって接続され、Zone ECU100cとはイーサネット11によって接続されている。さらにZone ECU100aはカメラECU200cおよびヘッドユニットECU200dとイーサネット15によって接続されている。
【0032】
Zone ECU100bは、Zone ECU100aとの接続のほかに、Zone ECU100dとイーサネット13によって接続されている。さらにZone ECU100bは、レーダーECU200eとCAN17によって接続されている。
【0033】
Zone ECU100cは、Zone ECU100aとの接続のほかに、Zone ECU100dとイーサネット14によって接続されている。また、Zone ECU100cは、ブレーキECU200aおよびステアリングECU200bとCAN10によって接続されている。
【0034】
Zone ECU100dは、Zone ECU100bおよび100cと接続されているほかに、アンテナECU200fとイーサネット16によって接続されている。
【0035】
各Zone ECUは、互いにイーサネットで接続されており、サービス指向型通信を用いて通信を行う。サービス指向型通信は、例えば、SOME/IPである。1つのZone ECUが接続されており、他にZone ECUと接続されていないネットワーク、すなわち、CAN10および17ならびにイーサネット15および16をゾーンと呼び、各Zone ECUは、それぞれのゾーンに接続されるECU(センサまたはアクチュエータに接続されるECU)の情報取得および制御を行う。
【0036】
[1.2 SOME/IPメッセージフォーマット]
SOME/IPには、Request/Response、Fire/Forget、EventsおよびGet/Set/Notifierの4種類の方法が規定されており、これらを組み合わせることで、サービス指向型通信を実現する。SOME/IPでは、通信相手とセッションを確立する方法も準備されており、その方法をService Discovery(SD)とよぶ。
【0037】
図2は、実施の形態1における、SOME/IP SDのメッセージフォーマットを示す図である。
図2に示されるメッセージフォーマットは、イーサネットのペイロード部に格納される。
図2の1つの行は32ビット長であり、前半はSOME/IPヘッダ、後半がSOME/IP SDのペイロードである。
【0038】
SOME/IPヘッダのMessage IDは、SOME/IP SDの場合は0xFFFF8100である。Lengthは、Lengthフィールドより後のデータのバイト数を格納する。Request IDは、Client IDとSession IDをあわせた数値を格納する。Service Discoveryの場合は、Protocol Versionを0x01、Interface Versionを0x01、Message Typeを0x02、Return Codeを0x00にそれぞれ設定される。
【0039】
図3は、実施の形態1における、SOME/IP SDのメッセージの一例を示す図である。
図3に示されるSOME/IP SDメッセージは、サービスIDが0x1000のサービスを提供可能であることを示すメッセージの一例である。
【0040】
まず、Entryの領域では、Flagsには0x80が設定されており、Reboot Flagが設定されている。Reserved領域は0に設定されている。Length of Entries Array in BytesにはEntryのバイト数が格納されており、この例ではEntryのバイト数は16バイトである。
【0041】
Typeはサービスのタイプであり、サービスのタイプは、Offer、Find、SubscribeおよびSubscribe Ackのいずれか1つを含む。例えば、Typeは0x00でFind、0x01でOfferを意味する。Findは、サービスの提供を受けるクライアントECUが、必要なサービスの提供を要求するときに用いられ、Offerは、サービスの提供を行うサーバECUが、自身の提供可能なサービスを通知する場合に用いる。この例では、Typeが0x01となっており、このメッセージは、サーバECUが自身の提供可能なサービスに関する情報を通知しているメッセージを示している。Index 1st optionsは、最初のオプションの位置を示し、この例では0、つまり最初であることを示している。Index 2nd optionsは、2つ目のオプションの位置を示し、この例では0が記載されている。#of opt1にはオプション1の個数が記載されており、この例では1が格納されている。#of opt2はオプション2の個数が記載されており、この例では0が格納されており、オプション2を用いないことを示している。
【0042】
Service IDは、サービスの種類を示すIDを格納するフィールドであり、
図3の例では0x1000が格納されている。Instance IDは、サービスのインスタンスを示すIDであり、
図3の例では0x0001のインスタンスであることを示している。
【0043】
Major Versionは、サービスのバージョン管理に用いる情報であり、
図3の例では0x01に設定されている。TTLは、サービスの有効期限(秒)を設定するフィールドであり、
図3の例では0xFFFFが設定されている。TTLが0xFFFFの場合は、ECUの次の起動タイミングまでサービスが有効であることを示している。Minor Versionは、サービスのバージョン管理に用いられる情報であり、
図3の例では0x00000002に設定されている。
【0044】
次に、Optionの領域では、まずLength of Options Array in BytesにOption領域の長さが格納され、
図3の例ではOption領域の長さが12バイトであることを示している。
【0045】
次のLengthでは、オプションの種類に応じて設定される値が決まる。
図3の例では、IPv4を用いた通信例を示しており、この時、Lengthは9、Typeは0x04、Reservedは0x00となる。IPv4アドレスは、サーバのIPアドレスであり、
図3の例では、192.168.0.1が設定されている。次のReserved領域は0が格納される。L4-Protoには0x11が格納されており、User Datagram Protocol(UDP)を用いることを表している。最後にポート番号が格納されており、
図3の例では、35000番ポートであることを示している。
【0046】
[1.3 Zone ECU100aの構成]
次に、Zone ECUについてZone ECU100aに着目して説明する。
【0047】
図4は、実施の形態1における、Zone ECU100aの構成を示す図である。Zone ECU100aは、例えばプロセッサ、メモリおよび通信インタフェース等を備えるコンピュータにより実現され、ホスト部101と、通信部102と、鍵保持部103と、スイッチ110とから構成される。また、Zone ECU100aは、不正フレーム検知装置を備える。不正フレーム検知装置は、複数のネットワークのそれぞれに対応する複数の通信ポートと、通信制御部と、不正フレーム検知部と、を備える。Zone ECU100aにおけるスイッチ110が不正フレーム検知装置を構成していてもよく、不正フレーム検知部は、後述する通信制御部111によって実現されてもよい。また、Zone ECU100aにおけるホスト部101、通信部102およびスイッチ100が不正フレーム検知装置を構成していてもよく、不正フレーム検知部は、ホスト部101によって実現されてもよい。
【0048】
なお、Zone ECU100b、100cおよび100dは、Zone ECU100aと同様の構成を有するが、接続されるイーサネットの数、およびCANと接続されるかによって、一部構成が異なる。例えば、Zone ECU100bでは、接続されるイーサネットの数は2つであり、CAN17は通信部102に接続される構成となる。複数のECU100a、100b、100cおよび100dは、サービス指向型通信(例えばSOME/IP)により、それぞれの不正フレーム検知装置(具体的にはスイッチ110)を介して通信を行う。
【0049】
ホスト部101は、Zone ECU100aのメイン部分であり、CPUとメモリによって実現される。ホスト部101は、通信部102から、通信内容を受信し、通信内容に応じた処理を実施する。例えばZone ECU100aの場合は、カメラECU200cから通知される情報を受信し、周辺に車両が走行していないか等の認識処理を行い、ブレーキECU200aや、ステアリングECU200bを制御するために、Zone ECU100bに、制御情報を送信する。
【0050】
このようにZone ECUのホスト部101は、自身が接続するゾーンのネットワークに流れる通信内容と、他のZone ECUからの通信内容、すなわち、他のゾーンの通信内容を受信し、解釈することで、車両の制御処理を実現する。
【0051】
またスイッチ110内の許可テーブル116の更新を行うために、ホスト部101は、受信したフレームが正常なECUからの更新要求を示すフレームであるかを、鍵保持部103に格納される鍵を用いて検証する。
【0052】
また、ホスト部101は、車載ネットワークシステム1の初回起動時に、複数の通信ポートが受信したフレームに含まれる、サービスの識別子と、サービスのタイプと、ポート情報とに基づいて、許可ルールを生成(登録)するルール生成部の一例である。
【0053】
また、ホスト部101は、複数のネットワークに流れるフレームに基づいて、車載ネットワークシステム1を搭載する車両の状態を判定する車両状態判定部の一例である。ホスト部101は、モード保持部104に格納されるモードおよび車両状態を参照し、また更新を行う。
【0054】
通信部102は、ホスト部101とスイッチ110との通信インタフェース、あるいはCANの通信インタフェースであり、通信コントローラまたはトランシーバ等によって実現される。
【0055】
鍵保持部103は、暗号化処理等に用いる秘密情報の保持部である。
【0056】
モード保持部104は、初期化モードか通常モードかを示すモードと、車両状態が保持されており、ホスト部101によって、値が更新される。
【0057】
スイッチ110は、イーサネットフレームの転送制御を行う装置であり、通信制御部111と、通信ポート112、113、114、115と、許可テーブル116とから構成される。
【0058】
通信制御部111は、複数の通信ポートのうちのいずれかの通信ポートがフレームを受信した場合、複数の通信ポートのうちのフレームを受信した通信ポート以外の通信ポートから、フレームが送信されるように転送制御を行う。具体的には、通信制御部111は、通信ポート112、113、114から通知されるイーサネットフレームに含まれるIPアドレス、ポート番号、MACアドレスおよびVLANタグ等を確認して、適切な通信ポートへイーサネットフレームを転送する。
【0059】
また、受信した内容をホスト部101へ通知するために、通信制御部111は、通信ポート115へも、イーサネットフレームを通知する。
【0060】
また、通信制御部111は、通信ポートが受信したフレームに含まれる、サービスの識別子と、フレームを送信したZone ECUがサービスの提供側かサービスの受領側かを示すサービスのタイプと、フレームを受信した通信ポートを識別するためのポート情報とが、予め定められた許可ルールに合致するか否かを判断し、当該判断の結果を出力する。許可ルールは、許可テーブル116に保持されている。また、通信制御部111は、複数の通信ポートのうちのいずれかの通信ポートがフレームを受信した場合に、フレームに含まれる、サービスの識別子と、サービスのタイプと、ポート情報とが、許可ルールに合致しないときには、当該フレームについて転送制御を行わない。具体的には、通信制御部111は、不正なフレームの転送を防止するために、許可テーブル116を参照し、SOME/IPメッセージのサービスとメッセージのタイプおよび受信したポート番号の対応を確認し、許可テーブル116に保持された許可ルールに合致しない場合は転送を行わない。
【0061】
なお、通信ポートが受信したフレームに含まれる、サービスの識別子と、フレームを送信したZone ECUがサービスの提供側かサービスの受領側かを示すサービスのタイプと、フレームを受信した通信ポートを識別するためのポート情報とが、予め定められた許可ルールに合致するか否かを判断し、当該判断の結果を出力するのをホスト部101が行ってもよい。
【0062】
通信ポート112、113、114、115は、通信先との通信インタフェースである。複数の通信ポートのそれぞれは、複数のネットワークのうちの対応する所定のネットワークに接続され、所定のネットワークを介して所定のネットワークに接続されたZone ECUとフレームの送受信を行うインタフェースを有する。通信ポート112は、所定のネットワークとしてイーサネット11に接続され、イーサネット11に接続されたZone ECU100cとの通信インタフェースとなっており、通信ポート113は、所定のネットワークとしてイーサネット12に接続され、イーサネット12に接続されたZone ECU100bとの通信インタフェースとなっており、通信ポート114は、所定のネットワークとしてイーサネット15に接続され、イーサネット15に接続されたカメラECU200cおよび、ヘッドユニットECU200dとの通信インタフェースとなっている。通信ポート115は、通信部102と接続されており、ホスト部101との通信インタフェースとなっている。
【0063】
許可テーブル116は、不正なSOME/IPメッセージの転送を禁止するための許可ルールが保持されている。許可テーブル116はフラッシュメモリ等の不揮発メモリによって実現される。許可テーブル116の詳細は後述する。
【0064】
[1.4 ブレーキECU200aの構成]
図5は、実施の形態1における、ブレーキECU200aの構成を示す図である。なお、ステアリングECU200b、カメラECU200c、ヘッドユニットECU200d、レーダーECU200eおよびアンテナECU200fも同様の構成のため、これらの構成の説明を省略する。
【0065】
図5に示されるように、ブレーキECU200aは、通信部201と、ホスト部202と、から構成される。
【0066】
通信部201は、ネットワークとの接続インタフェースであり、CAN10と接続される。通信部201は、ネットワークに流れるフレームを受信し、ホスト部202に通知するとともに、ホスト部202からの送信要求を受けて、CAN10にフレームの送信を行う。
【0067】
ホスト部202は、センサまたはアクチュエータ等の外部接続機器から取得した情報を、フレームに含めて、通信部201へ送信要求を行う。また、通信部201から通知されるフレームの情報をもとに、ホスト部202は、アクチュエータの制御処理を行う。
【0068】
[1.5 鍵保持部に格納される鍵の一例]
図6は、実施の形態1における、鍵保持部103に格納される鍵の一例を示す図である。
図6に示すように鍵は通信ポートごとに保持される。車両のアップデート等によって、ECUの提供するSOME/IPにおけるサービスに変更があった場合に、許可テーブル116を変更(更新)するときに秘密鍵が用いられる。Zone ECU100aは、秘密鍵を用いてチャレンジレスポンス認証を行い、正しいECUからの変更要求であると判断できた場合にのみ、許可テーブル116の該当サービスにおいて、ポート番号の追加もしくは削除、またはタイプの変更等を実施する。
【0069】
図6の例は、通信ポート112に対応する鍵は0x11111111であり、通信ポート113に対応する鍵は0x22222222、通信ポート114に対応する鍵は0x33333333、通信ポート115に対応する鍵は0x44444444であることを示している。鍵は、工場における製造段階において、鍵保持部103に書き込まれる。
【0070】
なお、本実施の形態では、鍵保持部103は、鍵を通信ポートごとに保持しているが、ECUごとに保持していてもよい。また本実施の形態では、鍵保持部103が保持する鍵として共通鍵を想定しているが、鍵保持部103は、他のECUの公開鍵または自身の秘密鍵を保持していてもよい。また、鍵の鍵保持部103への書き込みは工場出荷段階で行われなくてもよく、例えば、初回イグニッションON時に、鍵の交換が行われてもよいし、公開鍵を用いて、イグニッションONの都度、鍵の共有が行われてもよい。
【0071】
[1.6 モード保持部に格納されるモードの一例]
図7は、実施の形態1における、モード保持部104に格納されるモードと車両状態の一例を示す図である。モードは、許可テーブル116の初期登録(許可ルールの生成)が行われる「初期化モード」と、許可テーブル116に保存されている許可ルールに基づいて、不正なフレームの検出が行われる「通常モード」が存在する。
【0072】
車両完成後の初回のイグニッション起動時のモードは「初期化モード」であり、許可テーブル116の初期登録が行われ、イグニッションOFF時に、ホスト部101によってモードが「通常モード」に切り替えられる。
【0073】
車両状態は、イーサネットまたはCANを通じて得られるセンサ情報から、ホスト部101によって判断され、更新が行われる。例えば、ホスト部101は、車両の速度が0km/hであれば、車両状態を「停止状態」に更新し、それ以外であれば「走行状態」に更新する。
【0074】
図7では、現在のモードは「通常モード」であり、車両状態は「走行状態」である例を示している。
【0075】
[1.7 許可テーブルに格納されるルールの一例]
図8は、実施の形態1における、Zone ECU100aの許可テーブル116に格納される許可ルールの一例を示す図である。
図8に示すように許可ルールは、Service ID、タイプ、通信ポートおよび車両状態の組で表される。
【0076】
Service IDは、SOME/IPメッセージに含まれるService IDであり、サービスの内容を表す識別子である。サービスのタイプは、フレームを送信したECUがサービスの提供側かサービスの受領側かを示す。タイプも同様にSOME/IPメッセージに含まれるTypeであり、サーバからのメッセージであるかクライアントのメッセージであるかを識別するために用いられる。通信ポートは、フレームを受信した通信ポートを識別するためのポート情報であり、ここでは、同一ルールのService IDとタイプが一致するSOME/IPメッセージを受信するポートを表している。なお、同一ルールのService IDとタイプが一致するSOME/IPメッセージを受信するポートは1つとは限らない。また車両状態は、該当のSOME/IPメッセージが通信される車両状態を表している。
【0077】
図8の例では、Service IDが0x1000を含むメッセージは、サービスとして操舵指示制御を行うメッセージであり、このサービスのOfferを行うサーバECUは、通信ポート115に接続されており、車両状態が停車中のときに、スイッチ110はService IDが0x1000でタイプがOfferのメッセージを通信ポート115から受信することを表している。同様にService IDが0x1000のサービスのFindを行うクライアントECUは、通信ポート112に接続されており、車両状態が停車中のときに、スイッチ110はService IDが0x1000でタイプがFindのメッセージを通信ポート112から受信することを表している。
【0078】
Service IDが0x1010のサービスのOfferを行うサーバECUは、通信ポート112に接続されており、車両状態によらず常にスイッチ110はService IDが0x1010でタイプがOfferのメッセージを通信ポート112から受信することを表している。Service IDが0x1010のサービスのFindを行うクライアントECUは、通信ポート115に接続されており、車両状態によらず常にスイッチ110はService IDが0x1010でタイプがFindのメッセージを通信ポート115から受信することを表している。
【0079】
Service IDが0x2000のサービスのOfferを行うサーバECUは、通信ポート113に接続されており、車両状態によらず常にスイッチ110はService IDが0x2000でタイプがOfferのメッセージを通信ポート113から受信することを表している。ServiceIDが0x2000のサービスのFindを行うクライアントECUは、通信ポート112または115に接続されており、車両状態によらず常にスイッチ110はService IDが0x2000でタイプがFindのメッセージを通信ポート112または115から受信することを表している。
【0080】
Service IDが0x3000のサービスのOfferを行うサーバECUは、通信ポート114に接続されており、車両状態によらず常にスイッチ110はService IDが0x3000でタイプがOfferのメッセージを通信ポート114から受信することを表している。Service IDが0x3000のサービスのFindを行うクライアントECUは、通信ポート115に接続されており、車両状態によらず常にスイッチ110はService IDが0x3000でタイプがFindのメッセージを通信ポート115から受信することを表している。
【0081】
なお、本実施の形態では、タイプをSOME/IP SDのOfferとFindのいずれかである場合を示しているが、これに限らなくてもよい。例えば、タイプは、SubscribeおよびSubscribe Ackのいずれかであってもよい。
【0082】
[1.8 Zone ECUの初期化モードにおける許可テーブル登録シーケンス]
図9は、実施の形態1における、Zone ECUによる初期化モードにおける許可テーブル116のルールの登録シーケンスを示す図である。
【0083】
(ステップS101)Zone ECU100bは、まずService IDが0x2000のサービスを提供可能であることを知らせる、タイプがOfferのSOME/IP SDメッセージをイーサネット12に送信する。
【0084】
(ステップS102)Zone ECU100aは、イーサネット12が接続された通信ポート113でService IDが0x2000でありタイプがOfferのメッセージを受信する。
【0085】
(ステップS103)次にZone ECU100aは、許可テーブル116にService IDを0x2000、タイプをOffer、通信ポートを113とする許可ルールを登録する。
【0086】
(ステップS104)Zone ECU100aは、受信したService IDが0x2000でありタイプがOfferのメッセージを、受信した通信ポート以外の通信ポートから転送する。
【0087】
(ステップS105)Zone ECU100cは、特定の通信ポートで、Service IDが0x2000でありタイプがOfferのメッセージを受信する。
【0088】
(ステップS106)Zone ECU100cは、受信したService IDが0x2000でありタイプがOfferのメッセージに関する許可ルールをZone ECU100cが備える許可テーブル116に登録する。
【0089】
(ステップS107)Zone ECU100aは、Zone ECU100bから受けたメッセージが示すサービスの提供を受けるため、Service IDが0x2000でありタイプがSubscribeのメッセージを、Zone ECU100bに送信する。
【0090】
(ステップS108)Zone ECU100bは、Zone ECU100aからService IDが0x2000でありタイプがSubscribeメッセージを受け、Service IDが0x2000でありタイプがSubscribe AckのメッセージをZone ECU100aに返信する。
【0091】
[1.9 Zone ECUの通常モードにおけるフィルタリングシーケンス]
図10は、実施の形態1における、Zone ECUによる通常モードにおける不正なフレームを遮断するシーケンスを示す図である。
図10では、Zone ECU100cが不正なECUであり、不正なOfferのメッセージを送信して、不正にサービスを提供しようとしている場合を示している。なお許可テーブル116は、
図9において登録されたものが用いられる。
【0092】
(ステップS201)Zone ECU100cは、Service IDが0x2000でありタイプがOfferのメッセージをイーサネット11に送信する。
【0093】
(ステップS202)Zone ECU100aは、Zone ECU100cから送信されたService IDが0x2000でありタイプがOfferのメッセージを、イーサネット11が接続された通信ポート112で受信する。
【0094】
(ステップS203)Zone ECU100aは、許可テーブル116を参照する。Service IDが0x2000であり、タイプがOfferのメッセージは、通信ポート113で受信するという許可ルールが記載されているため、Zone ECU100aは、通信ポート112で受信したService IDが0x2000でありタイプがOfferのメッセージは不正であると判断し、このメッセージを破棄し、転送しない。
【0095】
(ステップS204)次に正規のZone ECU100bは、Service IDが0x2000でありタイプがOfferのメッセージをイーサネット12に送信する。
【0096】
(ステップS205)Zone ECU100aは、Zone ECU100bから送信されたService IDが0x2000でありタイプがOfferのメッセージを、イーサネット12が接続された通信ポート113で受信する。
【0097】
(ステップS206)Zone ECU100aは、許可テーブル116を参照する。受信したService IDが0x2000でありタイプがOfferのメッセージは、許可テーブル116に格納された許可ルールに合致するため、Zone ECU100aは、通信ポート113で受信したService IDが0x2000でありタイプがOfferのメッセージは不正でないと判断し、他の通信ポートへこのメッセージを転送する。
【0098】
(ステップS207)Zone ECU100cは、転送されたService IDが0x2000でありタイプがOfferのメッセージを受信する。
【0099】
(ステップS208)Zone ECU100aは、Zone ECU100bから受信したメッセージが示すサービスの提供を受けるため、Service IDが0x2000でありタイプがSubscribeのメッセージを、Zone ECU100bに送信する。
【0100】
(ステップS209)Zone ECU100bは、ECU100aから送信されたメッセージを受信したことを通知するため、Service IDが0x2000でありタイプがSubscribe AckのメッセージをZone ECU100aに送信する。
【0101】
[1.10 Zone ECUの許可テーブル更新シーケンス]
図11は、実施の形態1における、Zone ECUによる通常モードにおける許可テーブル116の更新シーケンスを示す図である。
【0102】
(ステップS301)Zone ECU100cは、Service IDが0x2000であるメッセージに関する許可テーブル116の更新要求、例えば、Offerのメッセージの送信の停止を示す更新要求をイーサネット11に送信する。
【0103】
(ステップS302)Zone ECU100aは、更新要求をイーサネット11が接続された通信ポート112で受信する。
【0104】
(ステップS303)Zone ECU100aは、更新要求が正当な要求であるかを確認するため、乱数シードを生成し、Zone ECU100cへ送信する。
【0105】
(ステップS304)Zone ECU100cは、受信した乱数シードと、鍵保持部103に保持している鍵を用いて、所定の演算により、レスポンスを算出し、Zone ECU100aに送信する。
【0106】
(ステップS305)Zone ECU100aは、レスポンスを検証し、正当な更新要求がされたとして、更新要求に従って、許可テーブル116の更新を行う。
【0107】
(ステップS306)Zone ECU100aは、他のネットワークのZone ECUに対しても、Service IDが0x2000であるメッセージに関する許可テーブル116の更新を行うために、更新要求を、他の通信ポートへ送信する。
【0108】
(ステップS307)Zone ECU100bは、受信した更新要求が正当であるかを確認するために、乱数シードをZone ECU100aに送信する。
【0109】
(ステップS308)Zone ECU100aは、受信した乱数シードと、鍵保持部103に格納されている鍵から、レスポンスを所定の演算に従って算出し、Zone ECU100bに送信する。
【0110】
(ステップS309)Zone ECU100bは受信したレスポンスを検証し、正当な更新要求がされたとして、更新要求に従って、許可テーブル116の更新を行う。
【0111】
[1.11 Zone ECUの全体処理のフローチャート]
次にZone ECUの全体処理について説明する。ここでは、Zone ECUを代表して、Zone ECU100aの全体処理について説明する。
【0112】
図12は、実施の形態1における、Zone ECU100aによる全体処理のフローチャートである。Zone ECU100aは、受信したフレームに従った制御および通信処理を行うが、ここでは省略する。
【0113】
(ステップS401)Zone ECU100aは、フレームを受信しているかを判断する。フレームを受信していない場合(Noの場合)は、フレームを受信するまでステップS401を実行し、そうでない場合、すなわち、フレームを受信した場合(Yesの場合)は、ステップS402を実施する。
【0114】
(ステップS402)Zone ECU100aは、受信したフレームがSOME/IP SDの通信であるかを確認する。Zone ECU100aは、受信したフレームがSOME/IP SDメッセージでない場合(Noの場合)は、ステップS403を実行し、SOME/IP SDメッセージである場合(Yesの場合)は、ステップS405を実行する。
【0115】
(ステップS403)Zone ECU100aは、受信したフレームが許可テーブル更新用フレームであるかを確認する。Zone ECU100aは、受信したフレームが許可テーブル更新用フレームである場合(Yesの場合)は、ステップS404を実行し、そうでない場合(Noの場合)はステップS410を実行する。
【0116】
(ステップS404)Zone ECU100aは、許可テーブル116の更新処理を行う。具体的には、Zone ECU100aは、
図10のシーケンスで示したように、チャレンジレスポンス認証を行い、正当な更新要求であった場合に許可テーブル116を更新し、他のネットワークへも許可テーブル116の更新要求を行う。Zone ECU100aは、正当な更新要求でない場合は、許可テーブル116の更新は行わない。
【0117】
(ステップS405)Zone ECU100aは、SOME/IP SDを含むフレームを受信したときに、自身が初期化モードであるかを確認する。Zone ECU100aは、自身が初期化モードである場合(Yesの場合)はステップS406を実行し、そうでない場合、つまり通常モードである場合(Noの場合)はステップS408を実行する。
【0118】
(ステップS406)Zone ECU100aは、自身が初期化モードであった場合は、受信したSOME/IP SDメッセージに含まれる情報をもとに、許可テーブル116に許可ルールを登録し、ステップS407を実行する。
【0119】
(ステップS407)Zone ECU100aは、受信したSOME/IP SDメッセージを、他の通信ポートへ転送する。
【0120】
(ステップS408)Zone ECU100aは、受信したSOME/IP SDメッセージのService IDと受信ポートとタイプ(OfferかFindか)が許可テーブル116に記載されている許可ルールと一致するかを確認する。Zone ECU100aは、許可テーブル116に一致する場合(Yesの場合)は、ステップS407を実行し、一致しない場合(Noの場合)は、ステップS409を実行する。
【0121】
(ステップS409)Zone ECU100aは、受信したSOME/IP SDメッセージを破棄する。
【0122】
(ステップS410)Zone ECU100aは、受信したフレームがSOME/IPメッセージであるかを確認する。受信したフレームがSOME/IPメッセージである場合(Yesの場合)は、ステップS408を実行する。この場合に、Zone ECU100aは、ステップS408でYesの場合には、ステップS407でSOME/IPメッセージを他の通信ポートへ転送し、ステップS408でNoの場合には、ステップS409でSOME/IPメッセージを破棄する。Zone ECU100aは、受信したフレームがSOME/IPメッセージでない場合(Noの場合)はステップS407を実行する。この場合のステップS407では、Zone ECU100aは、受信したフレームを、他の通信ポートへ転送する。
【0123】
[1.12 Zone ECUのモード変更に関わるフローチャート]
図13は、実施の形態1における、Zone ECU100aによるモード変更処理のフローチャートである。この処理は、
図12のZone ECU100aの全体処理と並列に実行される。
【0124】
(ステップS501)Zone ECU100aは、自身が初期化モードであるかを確認する。Zone ECU100aは、自身が初期化モードである場合(Yesの場合)は、ステップS406を実行し、そうでない場合(Noの場合)はモード変更処理を終了する。
【0125】
(ステップS406)Zone ECU100aは、受信したSOME/IP SDメッセージをもとに、許可テーブル116に許可ルールを登録する。ステップS406での処理内容は
図12におけるものと同様のため説明を省略する。
【0126】
(ステップS503)Zone ECU100aは、イグニッションがOFFであるかを確認する。Zone ECU100aは、イグニッションがOFFであれば(Yesの場合)、ステップS504を実行し、そうでない場合(Noの場合)は、ステップS406を実行し、許可テーブル116の登録処理を継続する。
【0127】
(ステップS504)Zone ECU100aは、自身のモードを通常モードに更新する。
【0128】
[1.13 実施の形態1の効果]
実施の形態1に係る車載ネットワークシステム1では、Zone ECUがSOME/IP SD通信に関して、サーバECUとクライアントECUの物理的な配置を接続ポートによって把握することによって(具体的には、車載ネットワークに接続されるECUの物理的な配置情報と、SOME/IP SDメッセージから各サービスについてサーバとクライアントとの対応付けを行って)、不正なECUによるサーバあるいはクライアントのなりすましメッセージの送信を検知する。すなわち、SOME/IP等のサービス指向型通信を採用した車載ネットワークにおいて、攻撃者が不正なフレームを送信したとしても、サーバとクライアントとを物理的に接続するポートの関係から不正なフレームの送信を検知することを可能とする。これにより、車両の車載ネットワークのセキュリティが高まりうる。
【0129】
さらに、Zone ECUは、不正と判断したフレームについて、他のネットワークへの転送を遮断する。これにより、正常なECUが不正なECUとセッションを確立することを防ぎ、車載ネットワークのセキュリティが高まる。
【0130】
[その他変形例]
なお、本開示を上記各実施の形態に基づいて説明してきたが、本開示は、上記各実施の形態に限定されないのはもちろんである。以下のような場合も本開示に含まれる。
【0131】
(1)上記の実施の形態では、本開示をSOME/IP通信に適用した例について説明したが、これに限定されることなく、その他のサービス指向型通信に適用してもよい。
【0132】
(2)上記の実施の形態では、許可テーブル116の許可ルールのタイプとして、OfferとFindの例を示したが、別のタイプが用いられてもよい。例えば、Subscribeでもよいし、Subscribe Ackでもよいし、通常のSOME/IPで用いられるタイプを用いてもよい。
【0133】
また許可テーブル116は、許可ルールにおけるタイプとして、サーバまたはクライアント等のサービスの役割を保持してもよい。
【0134】
(3)上記の実施の形態では、Zone ECUは、許可テーブル更新用フレームによって、通常モード時に許可テーブル116を更新する例について説明したが、Zone ECUは、許可テーブル更新用フレームを用いずに許可テーブル116を更新してもよい。
【0135】
例えば、Service IDが許可テーブル116に登録されていないSOME/IP SDメッセージが観測された場合には、ECUのアップデート等により新しいサービスが追加されたとして、SOME/IP通信のセッションが確立した段階で許可ルールを更新してもよい。
【0136】
これにより、許可テーブル116の更新処理を行わずに、許可ルールが更新されるため、処理のオーバーヘッドが少なくなり効率的である。
【0137】
図14は、その他の変形例(3)における、Zone ECU100aによる全体処理のフローチャートを示す。
図14は、
図12のステップS402にてYesの判定となった後の処理を表している。
【0138】
(ステップS1405)Zone ECU100aは、自身のモードが初期化モードであるかを判断する。Zone ECU100aは、初期化モードである場合(Yesの場合)は、ステップS406、そしてステップS407を実行し、そうでない場合(Noの場合)は、ステップS1410を実行する。
【0139】
(ステップS1410)Zone ECU100aは、受信したSOME/IP SDメッセージに含まれるService IDが許可テーブル116におけるいずれかの許可ルールとして登録されているかを確認する。Zone ECU100aは、登録されている場合(Yesの場合)はステップS408を実行し、以降の処理は
図12と同様のため説明を省略する。Zone ECU100aは、登録されていない場合(Noの場合)はステップS1411を実行する。
【0140】
(ステップS1411)Zone ECU100aは、受信したSOME/IP SDメッセージについて異なるポート間でセッションが確立するかを確認する。セッションが確立するとは、クライアントECUによるSubscribeメッセージおよび、Subscribe Ackメッセージが観測されることであり、この場合、これらのメッセージに含まれるService IDのサービスの提供が有効となっているということになる。Zone ECU100aは、セッションが確立した場合(Yesの場合)はS1412を実行し、そうでない場合(Noの場合)は、何もせずに終了する。
【0141】
(ステップS1412)Zone ECU100aは、当該Service IDに関する許可ルールを許可テーブル116に登録する。
【0142】
(4)上記の実施の形態では、Zone ECUは、モードを保持し、モードが初期化モードの場合にSOME/IP SDの許可ルールを登録していたが、モードを保持していなくてもよい。
【0143】
例えば、各ECUは事前に、自身の利用するサービスに関するマニフェストファイル(マニフェスト情報)を保持しておき、マニフェストファイルをZone ECUに通知し、Zone ECUがマニフェストファイルの正当性を検証することで、許可テーブル116を更新してもよい。例えば、ホスト部101は、ルール更新部の一例であってもよく、ルール更新部は、複数の通信ポートのうちのいずれか通信ポートが、ECUの利用するサービスに関するマニフェスト情報を含むフレームを受信した場合、マニフェスト情報と、マニフェスト情報を含むフレームを受信した通信ポートを識別するポート情報とに基づいて、許可ルールを更新してもよい。
【0144】
これによりモードの管理が不要になるとともに、より信頼できる情報をもとに許可テーブル116への許可ルールの登録が可能となりセキュリティ強度が高まり効果的である。
【0145】
図15は、その他の変形例(4)における、マニフェストファイルの一例を示す図である。
【0146】
マニフェストファイルには、各ECUが利用するService IDと役割、および利用開始条件が記載されている。役割は、サービスの提供側のサーバであるか、サービスの受領側のクライアントであるかを示し、利用開始条件は、SOME/IP SD通信が発生する車両状態の条件が記載されている。
【0147】
図15の例では、このマニフェストファイルを保持するECUは、Service IDが0x1050のサービスのサーバであり、利用開始条件は停車中であることが示されている。さらに、当該ECUはService IDが0x2050のサービスのクライアントでもあり、利用開始条件は、車両状態によらずに常に利用開始しうることを示している。
【0148】
(5)上記の実施の形態では、許可ルールに記載される車両状態を、不正なフレームの検知に利用していなかったが、不正なフレームの検知に利用してもよい。
【0149】
図16は、その他の変形例(4)および変形例(5)を組み合わせたときのZone ECU100aによる全体処理のフローチャートである。
【0150】
(ステップS601)Zone ECU100aは、フレームを受信しているかを確認する。Zone ECU100aは、フレームを受信した場合(Yesの場合)は、ステップS602を実行し、そうでない場合(Noの場合)は、フレームを受信するまでステップS601を実行する。
【0151】
(ステップS602)Zone ECU100aは、受信したフレームがSOME/IP SDメッセージであるかを確認する。Zone ECU100aは、SOME/IP SDメッセージでない場合(Noの場合)は、ステップS603を実行し、そうである場合(Yesの場合)は、ステップS606を実行する。
【0152】
(ステップS603)Zone ECU100aは、マニフェストファイルを含むフレームを受信しているかを確認する。Zone ECU100aは、マニフェストファイルを含むフレームを受信している場合(Yesの場合)は、ステップS604を実行し、そうでない場合(Noの場合)は、ステップS607を実行する。
【0153】
(ステップS604)Zone ECU100aは、受信したフレームに含まれるマニフェストファイルが正当なものであるかを確認する。マニフェストファイルの正当性の検証は、マニフェストファイルに含まれるメッセージ認証コードの検証、または電子署名の検証により確認しうる。Zone ECU100aは、マニフェストファイルが正当なものである場合(Yesの場合)は、ステップS605を実行し、そうでない場合(Noの場合)は、処理を終了する。
【0154】
(ステップS605)Zone ECU100aは、マニフェストファイルに従って、許可テーブル116の許可ルールを更新する。Zone ECU100aは、通信ポートに関しては、マニフェストファイルを含むフレームを受信したポートの情報を書き込む。
【0155】
(ステップS606)Zone ECU100aは、受信したSOME/IP SDメッセージのService ID、受信ポート、タイプ、および現在の車両状態が、許可テーブル116に格納されている許可ルールと一致するかを確認する。Zone ECU100aは、許可ルールと一致する場合(Yesの場合)は、ステップS609を実行し、そうでない場合(Noの場合)は、ステップS610を実行する。
【0156】
(ステップS607)Zone ECU100aは、受信したフレームが、車両速度情報を含むフレームであるかを確認する。Zone ECU100aは、車両速度情報を含むフレームである場合(Yesの場合)は、ステップS608を実行し、そうでない場合(Noの場合)は、ステップS609を実行する。
【0157】
(ステップS608)Zone ECU100aは、フレームに含まれる車両速度情報に基づいて車両状態を更新する。具体的には、Zone ECU100aは、車両速度が時速0キロであれば、車両状態を停止状態に更新し、それ以外であれば、走行状態に更新して、ステップS609を実行する。
【0158】
(ステップS609)Zone ECU100aは、受信したフレームを、適切なネットワークへ転送し、処理を終了する。
【0159】
(ステップS610)Zone ECU100aは、受信したフレームが、不正なフレームであったとして、受信したフレームを破棄して、処理を終了する。
【0160】
(6)上記の実施の形態では、マニフェストファイルは平文で保持される例について説明したが暗号化されて保持されてもよい。また、マニフェストファイルには、正当性を証明するための、証明書またはメッセージ認証コードが含まれていてもよい。
【0161】
(7)上記の実施の形態では、ゾーンネットワークにCANまたはイーサネットが利用される例について説明したが、CAN-FDまたはFlexRay(登録商標)が利用されてもよい。
【0162】
(8)上記の実施の形態では、イーサネット通信は平文で行われる例について説明したが、IPsec、MACsecまたはTLS等の暗号化通信が行われてもよい。
【0163】
(9)上記の実施の形態では、全てのネットワークが接続されている例について説明したが、Virtual LAN(VLAN)によって論理的に分離されてもよい。これにより、セキュリティ強度が高まり効果的である。
【0164】
(10)上記の実施の形態では、初期化モードにおいて、許可テーブル116が登録される際に、車両状態の登録はされていなかったが、現在の車両状態に基づいて、車両状態が登録されてもよい。これにより、SOME/IP通信のサービスの利用タイミングを限定することができ、不正なタイミングにおけるサービスの提供を検知することが可能となり効果的である。
【0165】
(11)上記の実施の形態では、最初のイグニッションON時のみに初期化モードになるが、初期化モードになる条件が別途設定されてもよい。例えば、ファームウェアの更新後または、診断コマンドによる初期化モードへの遷移等の条件が設定されてもよい。これにより車載ネットワークにおいて、サービスの提供関係が変化するタイミングで、新しい許可ルールを登録できるようにすることで利便性が高まり効果的である。
【0166】
(12)上記の実施の形態では、不正なフレームが検知された際に(具体的には、フレームに含まれる情報が許可ルールに合致しないという判断の結果が出力された際に)、他の通信ポートへ転送しない対応がとられる例について説明したが、別の対応がなされてもよい。例えば、不正なフレームの通信内容または不正なフレームの発生について各ECUのホスト部101へ通知されてもよいし、他のネットワークへ通知されてもよいし、車外のクラウドサーバへ通知されてもよい。これにより、不正なフレームによる、車両の制御を防ぐだけでなく、不正の発生状況の把握も可能となり、不正の発生原因の対処に有益である。また、不正なフレームを受信したポートが利用されないようにしてもよい。
【0167】
(13)上記の実施の形態では、Zone ECUの構成にスイッチが存在する例について説明したが、スイッチがZone ECUと独立して存在し、不正なフレームのフィルタを行ってもよい。例えば、Zone ECUと不正フレーム検知装置が独立して存在していてもよい。
【0168】
(14)上記の実施の形態では、車両状態を、停止状態と走行状態の2通りとしている例について説明したが、車両状態はこれらに限らない。例えば、「高速走行中」「充電中」「自動運転モード」「ファームウェアアップデート中」等の車両状態について判断されてもよい。これにより、サービスが提供される時の車両状態をより厳密にすることで、セキュリティレベルを高められ効果的である。
【0169】
(15)上記の実施の形態では、初回のイグニッションON時からイグニッションOFFまでに観測されたSOME/IP SDメッセージをもとに許可テーブル116が登録されたが、初回のイグニッションON時からイグニッションOFFの後も、所定の回数、初期化モードが繰り返されてもよい。これにより、初回のイグニッションONからイグニッションOFFまでに利用されなかったサービスについても、2回目以降の初期化モードにおいて観測される可能性があり、より正確な許可ルールの作成が可能となり効果的である。
【0170】
(16)上記の実施の形態では、Zone ECUは、受動的にSOME/IP SDメッセージを観測していたが、自らFindメッセージを送信して、有効なサービスを探索してもよい。これにより、初期化モード時に、有効なサービスを許可テーブル116に登録することが可能となり効果的である。
【0171】
(17)上記の実施の形態では、全てのSOME/IP SDメッセージに対して、許可ルールに合致するかを判断する例について説明したが、一部のサービスIDを含むSOME/IP SDメッセージに対して実施されてもよい。例えば、自動運転に関わるサービスのみを対象としてもよい。具体的には、車両状態判定部(例えばホスト部101)は、車両の状態が自動運転モードであるか否かを判定し、不正フレーム検知部(例えばホスト部101または通信制御部111)は、サービスの識別子が、自動運転に関わるサービスである場合に限り、サービスの識別子と、サービスのタイプと、ポート情報と、車両の状態とが、許可ルールに合致するか否かを判断してもよく、許可ルールには、車両の状態が自動運転モードであるというルールが含まれていてもよい。これにより、安全に関わるサービスのみを監視することになり、メモリの消費量の削減に効果的である。
【0172】
(18)上記の実施の形態では、許可ルールに合致する通信のみを通信許可する例について説明したが、禁止ルールを保持し、禁止ルールに合致する通信を不正として検知してもよい。
【0173】
(19)上記の実施の形態における各装置は、具体的には、マイクロプロセッサ、ROM(Read Only Memory)、RAM(Random Access Memory)、ハードディスクユニット、ディスプレイユニット、キーボードおよびマウスなどから構成されるコンピュータシステムである。RAMまたはハードディスクユニットには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。
【0174】
(20)上記の実施の形態における各装置は、構成する構成要素の一部または全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROMおよびRAMなどを含んで構成されるコンピュータシステムである。RAMには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、システムLSIは、その機能を達成する。
【0175】
また、上記の各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部またはすべてを含むように1チップ化されてもよい。
【0176】
また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSIまたはウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路または汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。
【0177】
さらには、半導体技術の進歩または派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。
【0178】
(21)上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なICカードまたは単体のモジュールから構成されているとしてもよい。ICカードまたはモジュールは、マイクロプロセッサ、ROMおよびRAMなどから構成されるコンピュータシステムである。ICカードまたはモジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、ICカードまたはモジュールは、その機能を達成する。このICカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。
【0179】
(22)本開示は、不正フレーム検知装置として実現できるだけでなく、不正フレーム検知装置を構成する各構成要素が行うステップ(処理)を含む不正フレーム検知方法として実現できる。
【0180】
不正フレーム検知方法は、複数のECUと、複数のネットワークと、によって構成される車載ネットワークシステムにおける、不正フレーム検知装置による不正フレーム検知方法であって、複数のECUは、サービス指向型通信により、不正フレーム検知装置を介して通信を行い、不正フレーム検知装置は、複数のネットワークのそれぞれに対応する複数の通信ポートを備え、複数の通信ポートのそれぞれは、複数のネットワークのうちの対応する所定のネットワークに接続され、所定のネットワークを介して所定のネットワークに接続されたECUとフレームの送受信を行うインタフェースを有し、不正フレーム検知方法は、
図12に示されるように、複数の通信ポートのうちのいずれかの通信ポートがフレームを受信した場合(ステップS401でYes)、複数の通信ポートのうちのフレームを受信した通信ポート以外の通信ポートから、フレームが送信されるように転送制御を行う転送制御ステップ(ステップS407)と、当該フレームに含まれる、サービスの識別子と、当該フレームを送信したECUがサービスの提供側かサービスの受領側かを示すサービスのタイプと、当該フレームを受信した通信ポートを識別するためのポート情報とが、予め定められた許可ルールに合致するか否かを判断し、判断の結果を出力する不正フレーム検知ステップ(ステップS408)と、を含む。
【0181】
また、不正フレーム検知方法におけるステップは、コンピュータ(コンピュータシステム)によって実行されてもよい。そして、本開示は、不正フレーム検知方法に含まれるステップをコンピュータに実行させるためのコンピュータプログラム、あるいは、コンピュータプログラムからなるデジタル信号として実現できる。
【0182】
また、本開示は、そのコンピュータプログラムまたはデジタル信号を記録した非一時的なコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(登録商標) Disc)または半導体メモリなどとして実現できる。
【0183】
また、本開示は、コンピュータプログラムまたはデジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。
【0184】
また、本開示は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、メモリは、上記コンピュータプログラムを記録しており、マイクロプロセッサは、コンピュータプログラムにしたがって動作するとしてもよい。
【0185】
また、プログラムまたはデジタル信号を記録媒体に記録して移送することにより、またはプログラムまたはデジタル信号をネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
【0186】
(23)上記実施の形態および上記変形例をそれぞれ組み合わせるとしてもよい。
【産業上の利用可能性】
【0187】
本開示は、サービス指向型通信を用いる車載ネットワークシステムに利用することができる。
【符号の説明】
【0188】
1 車載ネットワークシステム
10、17 CAN
11、12、13、14、15、16 イーサネット
100a、100b、100c、100d Zone ECU
101 ホスト部
102 通信部
103 鍵保持部
104 モード保持部
110 スイッチ
111 通信制御部
112、113、114、115 通信ポート
116 許可テーブル
200a ブレーキECU
200b ステアリングECU
200c カメラECU
200d ヘッドユニットECU
200e レーダーECU
200f アンテナECU
201 通信部
202 ホスト部