ホーム > 特許ランキング > 住友電気工業株式会社
▶ 住友電気工業株式会社の特許一覧 ▶ 住友電装株式会社の特許一覧 ▶ 株式会社オートネットワーク技術研究所の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-06-17
(45)【発行日】2024-06-25
(54)【発明の名称】検知装置、車両、検知方法および検知プログラム
(51)【国際特許分類】
G06F 21/55 20130101AFI20240618BHJP
H04L 43/04 20220101ALI20240618BHJP
B60R 16/023 20060101ALI20240618BHJP
【FI】
G06F21/55
H04L43/04
B60R16/023 P
【請求項の数】
7
(21)【出願番号】P 2021561224
(86)(22)【出願日】2020-10-22
(86)【国際出願番号】 JP2020039711
(87)【国際公開番号】W WO2021106446
(87)【国際公開日】2021-06-03
【審査請求日】2023-04-21
(31)【優先権主張番号】P 2019214823
(32)【優先日】2019-11-28
(33)【優先権主張国・地域又は機関】JP
【新規性喪失の例外の表示】特許法第30条第2項適用 ウェブサイトの掲載日 令和1年10月14日 ウェブサイトのアドレス https://va.apollon.nta.co.jp/css2019-jr/ 開催日 令和1年10月21日 集会名 コンピュータセキュリティシンポジウム(CSS2019)
(73)【特許権者】
【識別番号】000002130
【氏名又は名称】住友電気工業株式会社
(73)【特許権者】
【識別番号】000183406
【氏名又は名称】住友電装株式会社
(73)【特許権者】
【識別番号】395011665
【氏名又は名称】株式会社オートネットワーク技術研究所
(74)【代理人】
【識別番号】110000682
【氏名又は名称】弁理士法人ワンディ-IPパ-トナ-ズ
(72)【発明者】
【氏名】吉田 圭吾
(72)【発明者】
【氏名】上田 浩史
(72)【発明者】
【氏名】足立 直樹
(72)【発明者】
【氏名】相羽 慎一
(72)【発明者】
【氏名】石川 史也
(72)【発明者】
【氏名】上口 翔悟
【審査官】宮司 卓佳
(56)【参考文献】
【文献】特開2017-038291(JP,A)
【文献】米国特許出願公開第2018/0262466(US,A1)
【文献】特開2019-029960(JP,A)
【文献】国際公開第2018/168291(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
H04L 43/04
B60R 16/023
(57)【特許請求の範囲】
【請求項1】
車両に搭載される車載ネットワークにおける不正メッセージを検知する検知装置であって、前記車載ネットワークにおいて送信されるメッセージを監視する監視部と、
前記監視部による監視結果に基づいて、所定期間内に前記車載ネットワークにおいて送信された、前記車両において用いる対象情報の種類ごとに与えられる識別情報を有するメッセージである対象メッセージに関する統計値を算出する算出部と、
前記算出部によって算出された前記統計値に基づいて、前記不正メッセージを検知する検知処理を行う検知部とを備え、
前記対象メッセージは、前記対象情報の提供が可能か否かを問い合わせるためのメッセージであるか、または、前記車載ネットワークにおける車載装置と、前記車載ネットワークに接続された外部装置との間の情報の中継を、前記車載ネットワークにおける中継装置において開始するための、前記外部装置からのメッセージである、検知装置。
【請求項2】
車両に搭載される車載ネットワークにおける不正メッセージを検知する検知装置であって、
前記車載ネットワークにおいて送信されるメッセージを監視する監視部と、
前記監視部による監視結果に基づいて、所定期間内に前記車載ネットワークにおいて送信された、前記車両において用いる対象情報の種類ごとに与えられる識別情報を有するメッセージである対象メッセージに関する統計値を算出する算出部と、
前記算出部によって算出された前記統計値に基づいて、前記不正メッセージを検知する検知処理を行う検知部とを備え、
前記算出部は、所定期間内に前記車載ネットワークにおいて送信された前記対象メッセージのうち、データ長が所定値未満の前記対象メッセージの数を前記統計値として算出する、検知装置。
【請求項3】
前記算出部は、所定期間内に前記車載ネットワークにおいて送信された前記対象メッセージのうち、所定の前記識別情報を有する前記対象メッセージの数を前記統計値として算出する、請求項1または請求項2に記載の検知装置。
【請求項4】
前記算出部は、所定期間内に前記車載ネットワークにおいて送信された、前記識別情報ごとの各前記対象メッセージの総数を前記統計値として算出する、請求項1から請求項3のいずれか1項に記載の検知装置。
【請求項5】
請求項1から請求項4のいずれか1項に記載の検知装置を備える、車両。
【請求項6】
車両に搭載される車載ネットワークにおける不正メッセージを検知する検知装置における検知方法であって、前記車載ネットワークにおいて送信されるメッセージを監視するステップと、
監視結果に基づいて、所定期間内に前記車載ネットワークにおいて送信された、前記車両において用いる対象情報の種類ごとに与えられる識別情報を有するメッセージである対象メッセージに関する統計値を算出するステップと、
算出した前記統計値に基づいて、前記不正メッセージを検知する検知処理を行うステップとを含み、
前記対象メッセージは、前記対象情報の提供が可能か否かを問い合わせるためのメッセージであるか、または、前記車載ネットワークにおける車載装置と、前記車載ネットワークに接続された外部装置との間の情報の中継を、前記車載ネットワークにおける中継装置において開始するための、前記外部装置からのメッセージである、検知方法。
【請求項7】
車両に搭載される車載ネットワークにおける不正メッセージを検知する検知装置において用いられる検知プログラムであって、コンピュータを、
前記車載ネットワークにおいて送信されるメッセージを監視する監視部と、
前記監視部による監視結果に基づいて、所定期間内に前記車載ネットワークにおいて送信された、前記車両において用いる対象情報の種類ごとに与えられる識別情報を有するメッセージである対象メッセージに関する統計値を算出する算出部と、
前記算出部によって算出された前記統計値に基づいて、前記不正メッセージを検知する検知処理を行う検知部、
として機能させるためのプログラムであり、
前記対象メッセージは、前記対象情報の提供が可能か否かを問い合わせるためのメッセージであるか、または、前記車載ネットワークにおける車載装置と、前記車載ネットワークに接続された外部装置との間の情報の中継を、前記車載ネットワークにおける中継装置において開始するための、前記外部装置からのメッセージである、検知プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、検知装置、車両、検知方法および検知プログラムに関する。
この出願は、2019年11月28日に出願された日本出願特願2019-214823号を基礎とする優先権を主張し、その開示のすべてをここに取り込む。
この出願は、2019年11月28日に出願された日本出願特願2019-214823号を基礎とする優先権を主張し、その開示のすべてをここに取り込む。
【背景技術】
【0002】
特許文献1(米国特許出願公開第2017/0093866号明細書)には、以下のようなシステムが開示されている。すなわち、システムは、外部装置を車内ネットワークに接続するためのインターフェースポートを含む車内ネットワークと、前記車載ネットワークに接続されたセキュリティユニットとを備え、前記セキュリティユニットは、外部デバイスから受信したセキュリティトークンに基づいて、前記外部デバイスによる前記車載ネットワークとの前記インターフェースポート経由での通信が可能なように適合されている。
【0003】
また、特許文献2(国際公開第2019/142180号)には、以下のようなシステムが開示されている。すなわち、システムは、自動車環境での侵入異常を監視するためのシステムであって、テレマティクス制御ユニットと、各々がローカルセキュリティモニタ、および前記ローカルセキュリティモニタによって検出された侵入異常に関する情報を受信する診断通信マネージャに関連付けられた複数のエンジン制御ユニットと、前記診断通信マネージャおよび前記テレマティクス制御ユニットとの間でインターネットプロトコルを介した診断を利用して通信する異常分析器とを備え、前記異常分析器は、各前記ローカルセキュリティモニタによって検出される侵入異常に関する情報を蓄積するように構成される。
【先行技術文献】
【特許文献】
【0004】
【文献】米国特許出願公開第2017/0093866号明細書
【文献】国際公開第2019/142180号
【発明の概要】
【0005】
本開示の検知装置は、車両に搭載される車載ネットワークにおける不正メッセージを検知する検知装置であって、前記車載ネットワークにおいて送信されるメッセージを監視する監視部と、前記監視部による監視結果に基づいて、所定期間内に前記車載ネットワークにおいて送信された、前記車両において用いる対象情報の種類ごとに与えられる識別情報を有するメッセージである対象メッセージに関する統計値を算出する算出部と、前記算出部によって算出された前記統計値に基づいて、前記不正メッセージを検知する検知処理を行う検知部とを備える。
【0006】
本開示の検知方法は、車両に搭載される車載ネットワークにおける不正メッセージを検知する検知装置における検知方法であって、前記車載ネットワークにおいて送信されるメッセージを監視するステップと、監視結果に基づいて、所定期間内に前記車載ネットワークにおいて送信された、前記車両において用いる対象情報の種類ごとに与えられる識別情報を有するメッセージである対象メッセージに関する統計値を算出するステップと、算出した前記統計値に基づいて、前記不正メッセージを検知する検知処理を行うステップとを含む。
【0007】
本開示の検知プログラムは、車両に搭載される車載ネットワークにおける不正メッセージを検知する検知装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおいて送信されるメッセージを監視する監視部と、前記監視部による監視結果に基づいて、所定期間内に前記車載ネットワークにおいて送信された、前記車両において用いる対象情報の種類ごとに与えられる識別情報を有するメッセージである対象メッセージに関する統計値を算出する算出部と、前記算出部によって算出された前記統計値に基づいて、前記不正メッセージを検知する検知処理を行う検知部として機能させるためのプログラムである。
【0008】
本開示の一態様は、このような特徴的な処理部を備える検知装置として実現され得るだけでなく、検知装置の一部または全部を実現する半導体集積回路として実現され得たり、検知装置における処理のステップをコンピュータに実行させるためのプログラムとして実現され得る。
【図面の簡単な説明】
【0009】
【発明を実施するための形態】
【0010】
従来、車載ネットワークにおけるセキュリティを向上させるための技術が開発されている。
【0011】
[本開示が解決しようとする課題]
特許文献1および2に記載の技術を超えて、車載ネットワークにおける不正メッセージをより正しく検知することを可能とする技術が望まれる。
特許文献1および2に記載の技術を超えて、車載ネットワークにおける不正メッセージをより正しく検知することを可能とする技術が望まれる。
【0012】
本開示は、上述の課題を解決するためになされたもので、その目的は、車載ネットワークにおける不正メッセージをより正しく検知することが可能な検知装置、車両、検知方法および検知プログラムを提供することである。
【0013】
[本開示の効果]
本開示によれば、車載ネットワークにおける不正メッセージをより正しく検知することができる。
本開示によれば、車載ネットワークにおける不正メッセージをより正しく検知することができる。
【0014】
[本開示の実施形態の説明]
最初に、本開示の実施形態の内容を列記して説明する。
最初に、本開示の実施形態の内容を列記して説明する。
【0015】
(1)本開示の実施の形態に係る検知装置は、車両に搭載される車載ネットワークにおける不正メッセージを検知する検知装置であって、前記車載ネットワークにおいて送信されるメッセージを監視する監視部と、前記監視部による監視結果に基づいて、所定期間内に前記車載ネットワークにおいて送信された、前記車両において用いる対象情報の種類ごとに与えられる識別情報を有するメッセージである対象メッセージに関する統計値を算出する算出部と、前記算出部によって算出された前記統計値に基づいて、前記不正メッセージを検知する検知処理を行う検知部とを備える。
【0016】
このように、識別情報を有する対象メッセージに関する統計値に基づいて不正メッセージを検知する構成により、たとえば、算出した統計値と、正常な対象メッセージに関する統計値に基づいて予め設定されたしきい値との比較結果に基づいて、算出した統計値が異常であるか否かを判断することで不正メッセージの検知精度を向上させることできる。したがって、車載ネットワークにおける不正メッセージをより正しく検知することができる。
【0017】
(2)好ましくは、前記対象メッセージは、前記対象情報の提供が可能か否かを問い合わせるためのメッセージである。
【0018】
このような構成により、たとえば、SOME/IP(Scalable Service-Oriented Middleware on Ethernet/Internet Protocol)の通信規格に従うフレームであって、対象情報の提供が可能か否かを問い合わせるためのメッセージであるサービス検索フレームに成りすました不正メッセージを正しく検知することができる。
【0019】
(3)好ましくは、前記対象メッセージは、前記車載ネットワークにおける車載装置と、前記車載ネットワークに接続された外部装置との間の情報の中継を、前記車載ネットワークにおける中継装置において開始するための、前記外部装置からのメッセージである。
【0020】
このような構成により、たとえば、DoIP(Diagnostics over Internet Protocol)の通信規格に従うフレームであって、車載ネットワークにおける車載装置と、整備用端末装置等の外部装置との間の情報の中継を開始するためのメッセージである中継要求フレームに成りすました不正メッセージを正しく検知することができる。
【0021】
(4)好ましくは、前記算出部は、所定期間内に前記車載ネットワークにおいて送信された前記対象メッセージのうち、データ長が所定値未満の前記対象メッセージの数を前記統計値として算出する。
【0022】
不正な対象メッセージのデータ長は一般的に短く設定されるところ、このように、データ長が所定値未満の対象メッセージの数を統計値として用いて不正メッセージを検知する構成により、不正メッセージをより効果的に検知することができる。
【0023】
(5)好ましくは、前記算出部は、所定期間内に前記車載ネットワークにおいて送信された前記対象メッセージのうち、所定の前記識別情報を有する前記対象メッセージの数を前記統計値として算出する。
【0024】
利用頻度の低い種類の対象情報に対応する対象メッセージが送信される頻度は一般的に低いところ、このように、ある種類の対象情報たとえば利用頻度の低い種類の対象情報に着目し、当該対象情報に対応する対象メッセージの数を統計値として用いて不正メッセージを検知する構成により、不正メッセージをより効果的に検知することができる。
【0025】
(6)好ましくは、前記算出部は、所定期間内に前記車載ネットワークにおいて送信された、前記識別情報ごとの各前記対象メッセージの総数を前記統計値として算出する。
【0026】
一般的に、不正な対象メッセージが送信される頻度は、正常な対象メッセージが送信される頻度よりも高いところ、このように、識別情報ごとの各対象メッセージの総数を統計値として用いて不正メッセージを検知する構成により、不正メッセージをより効果的に検知することができる。
【0027】
(7)本開示の実施の形態に係る車両は、前記検知装置を備える。
【0028】
このような構成により、検知装置を備える車両において、車載ネットワークにおける不正メッセージをより正しく検知することができる。
【0029】
(8)本開示の実施の形態に係る検知方法は、車両に搭載される車載ネットワークにおける不正メッセージを検知する検知装置における検知方法であって、前記車載ネットワークにおいて送信されるメッセージを監視するステップと、監視結果に基づいて、所定期間内に前記車載ネットワークにおいて送信された、前記車両において用いる対象情報の種類ごとに与えられる識別情報を有するメッセージである対象メッセージに関する統計値を算出するステップと、算出した前記統計値に基づいて、前記不正メッセージを検知する検知処理を行うステップとを含む。
【0030】
このように、識別情報を有する対象メッセージに関する統計値に基づいて不正メッセージを検知する方法により、たとえば、算出した統計値と、正常な対象メッセージに関する統計値に基づいて予め設定されたしきい値との比較結果に基づいて、算出した統計値が異常であるか否かを判断することで不正メッセージの検知精度を向上させることできる。したがって、車載ネットワークにおける不正メッセージをより正しく検知することができる。
【0031】
(9)本開示の実施の形態に係る検知プログラムは、車両に搭載される車載ネットワークにおける不正メッセージを検知する検知装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおいて送信されるメッセージを監視する監視部と、前記監視部による監視結果に基づいて、所定期間内に前記車載ネットワークにおいて送信された、前記車両において用いる対象情報の種類ごとに与えられる識別情報を有するメッセージである対象メッセージに関する統計値を算出する算出部と、前記算出部によって算出された前記統計値に基づいて、前記不正メッセージを検知する検知処理を行う検知部として機能させるためのプログラムである。
【0032】
このように、識別情報を有する対象メッセージに関する統計値に基づいて不正メッセージを検知する構成により、たとえば、算出した統計値と、正常な対象メッセージに関する統計値に基づいて予め設定されたしきい値との比較結果に基づいて、算出した統計値が異常であるか否かを判断することで不正メッセージの検知精度を向上させることできる。したがって、車載ネットワークにおける不正メッセージをより正しく検知することができる。
【0033】
以下、本開示の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。
【0034】
[構成および基本動作]
図1は、本開示の実施の形態に係る車載通信システムの構成を示す図である。
図1は、本開示の実施の形態に係る車載通信システムの構成を示す図である。
【0035】
図1を参照して、車載通信システム300は、1または複数の車載ECU(Electronic Control Unit)111と、中継装置100とを備える。具体的には、車載通信システム300は、車載ECU111として、車載ECU111A~111Fを備える。車載ECU111は、車載装置の一例である。
【0036】
車載通信システム300は、車両1に搭載される。車載ECU111および中継装置100は、車載ネットワーク12を構成する。
【0037】
車載ネットワーク12において、車載ECU111は、たとえばイーサネット(登録商標)ケーブル11を介して中継装置100に接続される。
【0038】
なお、車載通信システム300は、6つの車載ECU111を備える構成に限らず、5つ以下または7つ以上の車載ECU111を備える構成であってもよい。
【0039】
また、車載通信システム300は、1つの中継装置100を備える構成に限らず、2つ以上の中継装置100を備える構成であってもよい。
【0040】
中継装置100は、たとえば、セントラルゲートウェイ(Central Gateway:CGW)であり、車載ECU111と通信を行うことが可能である。中継装置100は、車載ECU111間でやり取りされる情報を中継する中継処理を行う。より詳細には、中継装置100は、ある車載ECU111から送信される他の車載ECU111宛のメッセージを中継する。
【0041】
より詳細には、中継装置100は、たとえばイーサネットの通信規格に従って、イーサネットケーブル11を介して接続された車載ECU111間でやり取りされるフレームの中継処理を行う。以下、イーサネットの通信規格に従うフレームをイーサネットフレームと称する。イーサネットフレームには、IPパケットが格納される。
【0042】
また、中継装置100は、検知装置として機能し、車載ネットワーク12における不正メッセージを検知する検知処理を行う。
【0043】
なお、車載通信システム300では、イーサネットの通信規格に従ってイーサネットフレームの中継がそれぞれ行われる構成に限らず、たとえば、CAN(Controller Area Network)、FlexRay(登録商標)、MOST(Media Oriented Systems Transport)(登録商標)およびLIN(Local Interconnect Network)等の通信規格に従ってフレームの中継が行われる構成であってもよい。
【0044】
車載ECU111は、たとえば、TCU(Telematics Communication Unit)、自動運転ECU、エンジンECU、センサ、ナビゲーション装置、ヒューマンマシンインタフェース等である。
【0045】
この例では、車載ECU111A,111B,111C,111D,111E,111Fは、それぞれTCU、自動運転ECU、運転支援ECU、ブレーキセンサ、アクセルセンサおよび画像センサである。以下、車載ECU111A,111B,111C,111D,111E,111Fを、それぞれTCU111A、自動運転ECU111B、運転支援ECU111C、ブレーキセンサ111D、アクセルセンサ111Eおよび画像センサ111Fとも称する。
【0046】
TCU111Aは、たとえば、LTE(Long Term Evolution)または3G等の通信規格に従って、無線基地局装置と無線通信を行うことが可能である。より詳細には、TCU111Aは、たとえば、IPパケットを用いて無線基地局装置経由で車両1の外部における装置である外部装置と通信することが可能である。TCU111Aは、たとえば、外部装置および中継装置100間で送受信される、ナビゲーションおよびリモートメンテナンス等のサービスに用いる情報を中継する。
【0047】
たとえば、ブレーキセンサ111Dは、定期的または不定期に、車両1のブレーキ圧を示すブレーキ情報を自動運転ECU111B等の他の車載ECU111へ送信する。ブレーキ情報は、車両1において用いる対象情報の一例である。
【0048】
アクセルセンサ111Eは、定期的または不定期に、車両1のアクセル開度を示すアクセル情報を自動運転ECU111B等の他の車載ECU111へ送信する。アクセル情報は、車両1において用いる対象情報の一例である。
【0049】
画像センサ111Fは、定期的または不定期に、車両1の周囲の領域の撮像画像を示す画像情報を自動運転ECU111Bおよび運転支援ECU111C等の他の車載ECU111へ送信する。画像情報は、車両1において用いる対象情報の一例である。
【0050】
自動運転ECU111Bは、中継装置100経由で、ブレーキセンサ111D、アクセルセンサ111Eおよび画像センサ111Fから、ブレーキ情報、アクセル情報および画像情報をそれぞれ受信すると、受信した各種情報に基づいて車両1の自動運転制御を行う。
【0051】
運転支援ECU111Cは、中継装置100経由で画像センサ111Fから画像情報を受信すると、受信した画像情報等に基づいて、たとえば運転者への車線逸脱警告等の運転支援を行う。
【0052】
すなわち、ブレーキセンサ111Dは、ブレーキ情報を通知するというサービスを提供するサービスECUである。アクセルセンサ111Eは、アクセル情報を通知するというサービスを提供するサービスECUである。画像センサ111Fは、画像情報を通知するというサービスを提供するサービスECUである。
【0053】
自動運転ECU111Bは、ブレーキセンサ111D、アクセルセンサ111Eおよび画像センサ111Fからサービスの提供を受けるクライアントECUである。運転支援ECU111Cは、画像センサ111Fからサービスの提供を受けるクライアントECUである。
【0054】
[サービス指向通信]
サービスECUおよびクライアントECUは、いわゆるサービス指向通信を行う。
サービスECUおよびクライアントECUは、いわゆるサービス指向通信を行う。
【0055】
各車載ECU111は、サービス指向通信において、所定のプロトコルに従うフレームを送受信する。たとえば、車載ECU111は、OSI(Open Systems Interconnection)参照モデルにおけるトランスポート層よりも上位のプロトコルである、SOME/IPの通信規格に従うフレームを送受信する。以下、SOME/IPの通信規格に従うフレームを、SOME/IPフレームとも称する。
【0056】
図2は、本開示の実施の形態に係る車載ECUが送受信するSOME/IPフレームの一例を示す図である。
【0057】
図2を参照して、SOME/IPフレームのヘッダは、メッセージID、データ長、リクエストID、プロトコルバージョン、インタフェースバージョン、メッセージタイプ、リターンコード、フラグ、予約、エントリ配列長、エントリ配列、オプション配列長およびオプション配列のフィールドを有する。
【0058】
データ長のフィールドには、SOME/IPフレームのペイロードのデータ長が格納される。
【0059】
【0060】
図3を参照して、SOME/IPフレームのエントリ配列のフィールドは、タイプ、Index 1st options、Index 2st options、# of opt 1、# of opt 2、サービスID、インスタンスID、Major Version、TTL(Time To Live)、Reserve、Initial Data Requested Flag、Reserve2、CounterおよびEventgroupIDのフィールドを有する。
【0061】
たとえば、車両1のユーザの操作により、新たな車載ECU111が車載ネットワーク12に追加される場合がある。車載ネットワーク12に追加される車載ECU111は、サービスECUであってもよいし、クライアントECUであってもよい。
【0062】
クライアントECUは、車載ネットワーク12に追加されたとき、または起動時に、車載ネットワーク12におけるサービスECUとのサービス指向通信を開始するための通信接続を確立するための、SOME/IPフレームの一例であるサービスディスカバリフレームを中継装置100経由でサービスECUへ送信する。
【0063】
クライアントECUは、サービスディスカバリフレームを中継装置100経由で送受信することによりサービスECUとの通信接続を確立すると、SOME/IPフレームを用いて当該サービスECUとサービス指向通信を行う。たとえば、サービスECUは、クライアントECUとの通信接続を確立すると、SOME/IPフレームの一例であるサービス提供フレームを用いて当該クライアントECUへサービスを提供する。
【0064】
より詳細には、たとえば、クライアントECUは、車載ネットワーク12に追加されたとき、または起動時に、画像情報を通知するサービスを検索中である旨の情報を含む、サービスディスカバリフレームの一例であるサービス検索フレームを生成し、生成したサービス検索フレームを中継装置100経由で他の車載ECU111へマルチキャストする。
【0065】
サービス検索フレームは、車両1において用いる画像情報等の対象情報の提供が可能か否かを問い合わせるためのメッセージである。
【0066】
クライアントECUからのサービス検索フレームにおけるメッセージIDのフィールドには、たとえば画像情報の通知等の、検索対象のサービスを識別可能な情報が格納される。より詳細には、メッセージIDのフィールドには、検索対象のサービスを識別可能なサービス番号が格納される。サービス番号は、車両1において用いる対象情報ごとに与えられる識別情報の一例である。
【0067】
サービスECUである画像センサ111Fは、中継装置100経由で当該クライアントECUからサービス検索フレームを受信すると、自己のMACアドレスおよび自己が画像情報を通知するサービスを提供可能である旨の情報を含む、サービスディスカバリフレームの一例であるサービス提供通知フレームを生成し、生成したサービス提供通知フレームを、サービス検索フレームに対する応答として中継装置100経由でクライアントECUへ送信する。
【0068】
クライアントECUは、中継装置100経由で画像センサ111Fからサービス提供通知フレームを受信すると、自己のIDおよび画像情報の送信を要求する旨の情報を含む、サービスディスカバリフレームの一例であるサービス購読要求フレームを生成し、生成したサービス購読要求フレームを中継装置100経由で画像センサ111Fへ送信する。
【0069】
画像センサ111Fは、中継装置100経由でクライアントECUからサービス購読要求フレームを受信すると、受信したサービス購読要求フレームに含まれるクライアントECUのID等に基づいて、クライアントECUによるサービス購読を許可するか否か、すなわちクライアントECUへの画像情報の通知を開始するか否かを決定する。
【0070】
そして、画像センサ111Fは、決定内容を示す情報を含む、サービスディスカバリフレームの一例であるサービス購読可否フレームを生成し、生成したサービス購読可否フレームを、サービス購読要求フレームに対する応答として中継装置100経由でクライアントECUへ送信する。
【0071】
中継装置100は、画像センサ111FがクライアントECUへのサービスの提供を開始することを決定した場合、画像センサ111FおよびクライアントECU間で送受信されるSOME/IPフレームの中継処理を有効化する。
【0072】
そして、画像センサ111Fは、定期的または不定期に、SOME/IPフレームの一例であるサービス提供フレームを中継装置100経由で当該クライアントECUへ送信する。より詳細には、画像センサ111Fは、定期的または不定期に、画像情報を含むサービス提供フレームを中継装置100経由で当該クライアントECUへ送信する。
【0073】
[整備用端末装置との通信]
中継装置100は、たとえば、ファームウェアのアップデート用のデータ、および中継装置100により蓄積されたデータ等を、車両1の外部における整備用端末装置と診断ポート112を介して送受信することが可能である。整備用端末装置は、外部装置の一例である。
中継装置100は、たとえば、ファームウェアのアップデート用のデータ、および中継装置100により蓄積されたデータ等を、車両1の外部における整備用端末装置と診断ポート112を介して送受信することが可能である。整備用端末装置は、外部装置の一例である。
【0074】
中継装置100および診断ポート112に接続された整備用端末装置は、たとえば、OSI参照モデルにおけるトランスポート層よりも上位のプロトコルである、DoIPの通信規格に従ってフレームを送受信する。以下、DoIPの通信規格に従うフレームを、DoIPフレームとも称する。
【0075】
図4は、本開示の実施の形態に係る車載ECUが送受信するDoIPフレームの一例を示す図である。
【0076】
図4を参照して、DoIPフレームのヘッダは、ペイロードタイプのフィールドを有する。DoIPフレームのペイロードは、ロジカルアドレス情報である、送信元アドレスおよび宛先アドレスのフィールドと、ダイアグメッセージデータのフィールドとを有する。
【0077】
ペイロードタイプのフィールドには、DoIPフレームのペイロードのデータ長が格納される。
【0078】
たとえば、中継装置100は、整備用端末装置が診断ポート112に接続されると、VIN(Vehicle Identification Number)および車載ネットワーク12における各車載ECU111の固有番号等をペイロードに含む、DoIPフレームの一例である車両情報通知フレームを整備用端末装置へ送信する。
【0079】
整備用端末装置は、中継装置100から車両情報通知フレームを受信すると、車載ネットワーク12における車載ECU111との間の通信接続を確立するための、DoIPフレームの一例である中継要求フレームを中継装置100へ送信する。
【0080】
中継要求フレームは、車載ネットワーク12における車載ECU111と、整備用端末装置との間の情報の中継を、中継装置100において開始するためのメッセージである。
【0081】
整備用端末装置からの中継要求フレームにおける宛先アドレスのフィールドには、車載ECU111のロジカルアドレスが格納される。より詳細には、たとえば、整備用端末装置により送信されるサービスECU宛の中継要求フレームにおける宛先アドレスのフィールドには、当該サービスECUのロジカルアドレスが格納される。ロジカルアドレスは、車両1において用いる対象情報ごとに与えられる識別情報の一例である。
【0082】
中継装置100は、整備用端末装置から中継要求フレームを受信すると、中継要求フレームにおける宛先アドレスが示す車載ECU111と、整備用端末装置との間で送受信されるフレームの中継処理を有効化する。
【0083】
整備用端末装置は、車載ECU111との通信接続が確立すると、当該車載ECU111へファームウェアのアップデート用のデータの送信、および当該車載ECU111への蓄積データの送信要求等を行う。
【0084】
[中継装置の構成]
図5は、本開示の実施の形態に係る中継装置の構成の一例を示す図である。
図5は、本開示の実施の形態に係る中継装置の構成の一例を示す図である。
【0085】
図5を参照して、中継装置100は、通信処理部10と、監視部20と、算出部30と、検知部40と、記憶部50と、図示しない複数の通信ポートとを備える。
【0086】
通信処理部10、監視部20、算出部30および検知部40は、たとえば、CPU(Central Processing Unit)およびDSP(Digital Signal Processor)等のプロセッサによって実現される。記憶部50は、たとえばフラッシュメモリである。
【0087】
上述のように、中継装置100は、検知装置として機能し、車載ネットワーク12における不正メッセージを検知する検知処理を行う。
【0088】
たとえば、外部装置が、TCU111Aおよび中継装置100経由で車載ネットワーク12における車載ECU111とサービス指向通信を行う場合がある。より詳細には、たとえば、外部装置は、TCU111Aおよび中継装置100経由でサービスディスカバリフレームをサービスECUへ送信することにより、クライアントECUと同様に、サービスECUとの通信接続を確立し、SOME/IPフレームを用いて当該サービスECUとサービス指向通信を行う。
【0089】
たとえば、サービスECUが不正な外部装置との通信接続を確立した場合、不正な外部装置によって車載ネットワーク12へ不正にアクセスされるおそれがある。
【0090】
また、たとえば、中継装置100が、車載ECU111と、不正な整備用端末装置との間で送受信されるフレームの中継処理を有効化した場合、不正な整備用端末装置によって車載ネットワーク12へ不正にアクセスされるおそれがある。
【0091】
そこで、中継装置100は、不正な外部装置からのサービスディスカバリフレームおよび不正な整備用端末装置からの中継要求フレームを不正メッセージとして以下のように検知する。
【0092】
[通信処理部]
通信処理部10は、車載ECU111間で伝送されるメッセージを中継する中継処理を行う。
通信処理部10は、車載ECU111間で伝送されるメッセージを中継する中継処理を行う。
【0093】
通信処理部10は、中継装置100における複数の通信ポートのうち、車載ECU111から対応の通信ポート経由で他の車載ECU111宛のフレームを受信すると、当該フレームを対応の通信ポート経由で当該他の車載ECU111へ送信する。
【0094】
[監視部]
監視部20は、車載ネットワーク12において送信されるメッセージを監視する。
監視部20は、車載ネットワーク12において送信されるメッセージを監視する。
【0095】
たとえば、監視部20は、中継処理を行うべきフレームを通信処理部10が受信すると、通信処理部10によって受信されたフレームが、SOME/IPの通信規格に従うサービス検索フレームおよびDoIPの通信規格に従う中継要求フレーム等の、識別情報を有するメッセージである対象メッセージであるか否かを判断する。
【0096】
より詳細には、監視部20は、通信処理部10によって受信されたフレームのUDPヘッダのポート番号を確認する。
【0097】
たとえば、監視部20は、当該フレームのポート番号が、SOME/IPフレームに予め割り当てられているポート番号と一致する場合、当該フレームはSOME/IPフレームであると判断する。
【0098】
再び図2を参照して、監視部20は、通信処理部10によって受信されたフレームがSOME/IPフレームであると判断した場合、当該SOME/IPフレームのヘッダにおけるメッセージIDに基づいて、当該SOME/IPフレームがサービスディスカバリフレームであるか否かを判断する。
【0099】
再び図3を参照して、次に、監視部20は、通信処理部10によって受信されたフレームがサービスディスカバリフレームであると判断した場合、当該サービスディスカバリフレームのヘッダにおけるメッセージタイプまたはタイプに基づいて、当該サービスディスカバリフレームがサービス検索フレームであるか否かを判断する。
【0100】
次に、監視部20は、通信処理部10によって受信されたフレームがサービス検索フレームであると判断した場合、当該サービス検索フレームのヘッダにおけるサービスIDのフィールドに格納されたサービス番号を識別情報Y1として取得するとともに、データ長のフィールドに格納されたデータ長をデータ長情報X1として取得し、取得した各情報を監視情報として算出部30へ出力する。
【0101】
また、たとえば、監視部20は、当該フレームのポート番号が、DoIPフレームに予め割り当てられているポート番号と一致する場合、当該フレームはDoIPフレームであると判断する。
【0102】
再び図4を参照して、監視部20は、通信処理部10によって受信されたフレームがDoIPフレームであると判断した場合、当該DoIPフレームのヘッダにおけるペイロードタイプに基づいて、当該DoIPフレームが中継要求フレームであるか否かを判断する。
【0103】
次に、監視部20は、通信処理部10によって受信されたフレームが中継要求フレームであると判断した場合、当該中継要求フレームの宛先アドレスのフィールドに格納されたロジカルアドレスを識別情報Y2として取得するとともに、ペイロードタイプのフィールドに格納されたデータ長をデータ長情報X2として取得し、取得した各情報を監視情報として算出部30へ出力する。
【0104】
[算出部]
算出部30は、監視部20による監視結果に基づいて、所定期間Ta内に車載ネットワーク12において送信された、車両1において用いる対象情報の種類ごとに与えられる識別情報Y1を有するメッセージであるサービス検索フレームに関する統計値を算出する。
算出部30は、監視部20による監視結果に基づいて、所定期間Ta内に車載ネットワーク12において送信された、車両1において用いる対象情報の種類ごとに与えられる識別情報Y1を有するメッセージであるサービス検索フレームに関する統計値を算出する。
【0105】
また、算出部30は、監視部20による監視結果に基づいて、所定期間Tb内に車載ネットワーク12において送信された、車両1において用いる対象情報の種類ごとに与えられる識別情報Y2を有するメッセージである中継要求フレームに関する統計値を算出する。
【0106】
より詳細には、算出部30は、監視部20から監視情報を受けると、受けた監視情報に基づいて、所定期間Ta内に車載ネットワーク12において送信されたサービス検索フレームに関する統計値、および所定期間Tb内に車載ネットワーク12において送信された中継要求フレームに関する統計値を算出する。
【0107】
サービス検索フレームおよび中継要求フレームは、対象メッセージの一例である。
【0108】
所定期間Taと所定期間Tbとは、同じであってもよいし、異なってもよい。また、所定期間Taの開始タイミングと所定期間Tbの開始タイミングとは、同じであってもよいし、異なってもよい。
【0109】
たとえば、算出部30は、所定の時間間隔T1ごとに、時刻(T1×m)から始まる所定期間Ta内に車載ネットワーク12において送信されたサービス検索フレームに関する統計値を算出する。ここで、mは正の整数である。
【0110】
なお、時間間隔T1が所定期間Taと同じであることにより、各監視期間が時間的に連続してもよい。また、時間間隔T1が所定期間Taよりも短いことにより、各監視期間が時間的に一部重複してもよい。また、時間間隔T1が所定期間Taよりも長いことにより、各監視期間が間欠的に設けられてもよい。
【0111】
また、たとえば、算出部30は、所定の時間間隔T2ごとに、時刻(T2×n)から始まる所定期間Tb内に車載ネットワーク12において送信された中継要求フレームに関する統計値を算出する。ここで、nは正の整数である。
【0112】
なお、時間間隔T2が所定期間Tbと同じであることにより、各監視期間が時間的に連続してもよい。また、時間間隔T2が所定期間Tbよりも短いことにより、各監視期間が時間的に一部重複してもよい。また、時間間隔T2が所定期間Tbよりも長いことにより、各監視期間が間欠的に設けられてもよい。
【0113】
(データ長に基づく統計値)
たとえば、算出部30は、所定期間Ta内に車載ネットワーク12において送信されたサービス検索フレームのうち、データ長が所定値未満のサービス検索フレームの数を統計値S1として算出する。また、たとえば、算出部30は、所定期間Tb内に車載ネットワーク12において送信された中継要求フレームのうち、データ長が所定値未満の中継要求フレームの数を統計値S2として算出する。
たとえば、算出部30は、所定期間Ta内に車載ネットワーク12において送信されたサービス検索フレームのうち、データ長が所定値未満のサービス検索フレームの数を統計値S1として算出する。また、たとえば、算出部30は、所定期間Tb内に車載ネットワーク12において送信された中継要求フレームのうち、データ長が所定値未満の中継要求フレームの数を統計値S2として算出する。
【0114】
たとえば、記憶部50は、データ長に関するしきい値を記憶している。たとえば、記憶部50におけるしきい値は、64バイトである。
【0115】
算出部30は、監視部20から監視情報を受けると、受けた監視情報に含まれるデータ長情報X1,X2が示すデータ長と、記憶部50におけるしきい値とを比較する。なお、データ長情報X1が示すデータ長に関するしきい値と、データ長情報X2が示すデータ長に関するしきい値とは、同じであってもよいし、異なってもよい。
【0116】
そして、算出部30は、所定期間Ta内に車載ネットワーク12において送信されたサービス検索フレームのうち、データ長情報X1が示すデータ長が64バイト未満であるサービス検索フレームの数を統計値S1として算出する。
【0117】
また、算出部30は、所定期間Tb内に車載ネットワーク12において送信された中継要求フレームのうち、データ長情報X2が示すデータ長が64バイト未満である中継要求フレームの数を統計値S2として算出する。
【0118】
(識別情報に基づく統計値)
たとえば、算出部30は、所定期間Ta内に車載ネットワーク12において送信されたサービス検索フレームのうち、所定の識別情報を有するサービス検索フレームの数を統計値S3として算出する。また、たとえば、算出部30は、所定期間Tb内に車載ネットワーク12において送信された中継要求フレームのうち、所定の識別情報を有する中継要求フレームの数を統計値S4として算出する。
たとえば、算出部30は、所定期間Ta内に車載ネットワーク12において送信されたサービス検索フレームのうち、所定の識別情報を有するサービス検索フレームの数を統計値S3として算出する。また、たとえば、算出部30は、所定期間Tb内に車載ネットワーク12において送信された中継要求フレームのうち、所定の識別情報を有する中継要求フレームの数を統計値S4として算出する。
【0119】
たとえば、記憶部50は、車載ネットワーク12における各サービスECUが提供するサービスのうち利用頻度が所定値未満であるサービスのサービス番号を、特定サービス番号として記憶している。また、たとえば、記憶部50は、特定サービス番号が示すサービスを提供するサービスECUのロジカルアドレスを特定ロジカルアドレスとして記憶している。
【0120】
たとえば、記憶部50における特定サービス番号は、アクセルセンサ111Eが提供するサービスのサービス番号であり、記憶部50における特定ロジカルアドレスは、アクセルセンサ111Eのロジカルアドレスである。
【0121】
算出部30は、監視部20から監視情報を受けると、受けた監視情報に含まれる識別情報Y1が示すサービス番号と、記憶部50における特定サービス番号とを比較する。
【0122】
そして、算出部30は、所定期間Ta内に車載ネットワーク12において送信されたサービス検索フレームのうち、識別情報Y1が示すサービス番号が特定サービス番号と一致するサービス検索フレームの数を統計値S3として算出する。
【0123】
また、算出部30は、所定期間Tb内に車載ネットワーク12において送信された中継要求フレームのうち、識別情報Y2が示すロジカルアドレスが特定ロジカルアドレスと一致するサービス検索フレームの数を統計値S4として算出する。
【0124】
(メッセージの総数に基づく統計値)
たとえば、算出部30は、所定期間Ta内に車載ネットワーク12において送信された、識別情報ごとの各サービス検索フレームの総数を統計値S5として算出する。また、たとえば、算出部30は、所定期間Tb内に車載ネットワーク12において送信された、識別情報ごとの各中継要求フレームの総数を統計値S6として算出する。
たとえば、算出部30は、所定期間Ta内に車載ネットワーク12において送信された、識別情報ごとの各サービス検索フレームの総数を統計値S5として算出する。また、たとえば、算出部30は、所定期間Tb内に車載ネットワーク12において送信された、識別情報ごとの各中継要求フレームの総数を統計値S6として算出する。
【0125】
算出部30は、監視部20から監視情報を受けると、受けた監視情報に基づいて、所定期間Ta内に車載ネットワーク12において送信されたサービス検索フレームの総数を統計値S5として算出する。
【0126】
また、算出部30は、監視部20から監視情報を受けると、受けた監視情報に基づいて、所定期間Tb内に車載ネットワーク12において送信された中継要求フレームの総数を統計値S6として算出する。
【0127】
算出部30は、統計値S1,S2,S3,S4,S5,S6を統計情報として検知部40へ出力する。
【0128】
[検知部]
検知部40は、算出部30によって算出された統計値に基づいて、不正メッセージを検知する検知処理を行う。
検知部40は、算出部30によって算出された統計値に基づいて、不正メッセージを検知する検知処理を行う。
【0129】
より詳細には、検知部40は、算出部30から統計情報を受けると、受けた統計情報に基づいて、不正なサービス検索フレームおよび不正な中継要求フレームを検知する。
【0130】
たとえば、記憶部50は、統計値S1~S6に関する6つのしきい値をそれぞれ記憶している。
【0131】
検知部40は、算出部30から受けた統計情報が示す統計値S1,S2,S3,S4,S5,S6と、記憶部50における対応のしきい値とを比較する。
【0132】
たとえば、検知部40は、統計値S1、統計値S3および統計値S5が、それぞれ対応のしきい値以上である場合、対応の期間内に送信されたサービス検索フレームの一部または全部は不正なサービス検索フレームであると判断する。
【0133】
たとえば、検知部40は、統計値S2、統計値S4および統計値S5が、それぞれ対応のしきい値以上である場合、対応の期間内に送信された中継要求フレームの一部または全部は不正な中継要求フレームであると判断する。
【0134】
検知部40は、対応の期間内に送信されたサービス検索フレームの一部または全部が不正なサービス検索フレームであるか、または対応の期間内に送信された中継要求フレームの一部または全部が不正な中継要求フレームであると判断した場合、以下の処理を行う。
【0135】
すなわち、検知部40は、対応の期間内に送信された、サービス検索フレームの情報または中継要求フレームの情報を記録する。また、検知部40は、車載ネットワーク12において不正メッセージが伝送されていることを示す警報情報を通信処理部10経由で車両1内または車両1外における上位装置へ送信する。
【0136】
[動作の流れ]
本開示の実施の形態に係る車載通信システムにおける各装置は、メモリを含むコンピュータを備え、当該コンピュータにおけるCPU等の演算処理部は、以下のフローチャートおよびシーケンスの各ステップの一部または全部を含むプログラムを当該メモリから読み出して実行する。これら複数の装置のプログラムは、それぞれ、外部からインストールすることができる。これら複数の装置のプログラムは、それぞれ、記録媒体に格納された状態で流通する。
本開示の実施の形態に係る車載通信システムにおける各装置は、メモリを含むコンピュータを備え、当該コンピュータにおけるCPU等の演算処理部は、以下のフローチャートおよびシーケンスの各ステップの一部または全部を含むプログラムを当該メモリから読み出して実行する。これら複数の装置のプログラムは、それぞれ、外部からインストールすることができる。これら複数の装置のプログラムは、それぞれ、記録媒体に格納された状態で流通する。
【0137】
図6は、本開示の実施の形態に係る車載通信システムにおいて中継装置が検知処理を行う際の動作手順の一例を定めたフローチャートである。
【0138】
図6を参照して、まず、中継装置100は、車載ネットワーク12において送信されるメッセージを監視し、サービス検索フレームを受信すると、受信したサービス検索フレームからデータ長情報X1および識別情報Y1を取得して記憶部50に蓄積する(ステップS102)。
【0139】
次に、中継装置100は、所定期間Taが経過するまでデータ長情報X1および識別情報Y1の蓄積を繰り返し(ステップS104でNO)、所定期間Taが経過すると(ステップS104でYES)、監視結果に基づいて、所定期間Ta内に車載ネットワーク12において送信された対象メッセージに関する統計値S1,S3,S5を算出する。より詳細には、中継装置100は、所定期間Ta内に記憶部50に蓄積したデータ長情報X1および識別情報Y1に基づいて、統計値S1,S3,S5を算出する(ステップS106)。
【0140】
次に、中継装置100は、記憶部50に蓄積したデータ長情報X1および識別情報Y1を消去する(ステップS108)。
【0141】
次に、中継装置100は、算出した統計値S1,S3,S5に基づいて、不正メッセージを検知する検知処理を行う(ステップS110)。
【0142】
次に、中継装置100は、検知処理の結果、所定期間Ta内に送信されたサービス検索フレームは不正メッセージではないと判断した場合(ステップS112でNO)、当該サービス検索フレーム等のサービスディスカバリフレームにより確立されるサービス指向通信においてサービスECUおよびクライアントECU間で送受信されるSOME/IPフレームの中継処理を有効化する(ステップS114)。
【0143】
一方、中継装置100は、検知処理の結果、所定期間Ta内に送信されたサービス検索フレームの一部または全部が不正なサービス検索フレームであると判断した場合(ステップS112でYES)、不正メッセージが伝送されていることを示す警報情報を車両1内または車両1外における上位装置へ送信する(ステップS116)。
【0144】
そして、中継装置100は、新たなサービス検索フレームを受信し、データ長情報X1および識別情報Y1を記憶部50に蓄積する(ステップS102)。
【0145】
なお、中継装置100は、ステップS102の処理と、ステップS106~S116の処理とを並行して行う構成であってもよい。
【0146】
図7は、本開示の実施の形態に係る車載通信システムにおいて中継装置が検知処理を行う際の動作手順の他の例を定めたフローチャートである。
【0147】
図7を参照して、まず、中継装置100は、車載ネットワーク12において送信されるメッセージを監視し、中継要求フレームを受信すると、受信した中継要求フレームからデータ長情報X2および識別情報Y2を取得して記憶部50に蓄積する(ステップS202)。
【0148】
次に、中継装置100は、所定期間Tbが経過するまでデータ長情報X2および識別情報Y2の蓄積を繰り返し(ステップS204でNO)、所定期間Tbが経過すると(ステップS204でYES)、監視結果に基づいて、所定期間Tb内に車載ネットワーク12において送信された対象メッセージに関する統計値S2,S4,S6を算出する。より詳細には、中継装置100は、所定期間Tb内に記憶部50に蓄積したデータ長情報X2および識別情報Y2に基づいて、統計値S2,S4,S6を算出する(ステップS206)。
【0149】
次に、中継装置100は、記憶部50に蓄積したデータ長情報X2および識別情報Y2を消去する(ステップS208)。
【0150】
次に、中継装置100は、算出した統計値S2,S4,S6に基づいて、不正メッセージを検知する検知処理を行う(ステップS210)。
【0151】
次に、中継装置100は、検知処理の結果、所定期間Tb内に送信された中継要求フレームは不正メッセージではないと判断した場合(ステップS212でNO)、中継要求フレーム等のDoIPフレームの中継処理を有効化する(ステップS214)。
【0152】
一方、中継装置100は、検知処理の結果、所定期間Tb内に送信された中継要求フレームの一部または全部が不正な中継要求フレームであると判断した場合(ステップS212でYES)、不正メッセージが伝送されていることを示す警報情報を車両1内または車両1外における上位装置へ送信する(ステップS216)。
【0153】
そして、中継装置100は、新たな中継要求フレームを受信し、データ長情報X2および識別情報Y2を記憶部50に蓄積する(ステップS202)。
【0154】
なお、中継装置100は、ステップS202の処理と、ステップS206~S216の処理とを並行して行う構成であってもよい。
【0155】
なお、本開示の実施の形態に係る車載通信システム300では、中継装置100が、車載ネットワーク12における不正メッセージを検知する構成であるとしたが、これに限定するものではない。車載通信システム300では、中継装置100とは別の装置が、検知装置として車載ネットワーク12における不正メッセージを検知する構成であってもよい。
【0156】
また、本開示の実施の形態に係る車載通信システム300では、検知装置として機能する中継装置100がイーサネットケーブル11に直接接続される構成であるとしたが、これに限定するものではない。
【0157】
図8は、本発明の実施の形態に係る車載ネットワークの接続トポロジの一例を示す図である。
【0158】
図8を参照して、検知装置101が、車載ECU111を介してイーサネットケーブル11に接続される構成であってもよい。この場合、検知装置101は、たとえば、当該車載ECUが送受信するメッセージを監視することにより、イーサネットケーブル11に伝送される不正メッセージを検知する。
【0159】
また、本開示の実施の形態に係る中継装置100では、監視部20は、SOME/IPの通信規格に従うサービス検索フレームからデータ長情報X1および識別情報Y1を取得し、かつDoIPの通信規格に従う中継要求フレームからデータ長情報X2および識別情報Y2を取得する構成であるとしたが、これに限定するものではない。
【0160】
算出部30は、SOME/IPの通信規格に従うフレームのうちのサービス検索フレーム以外のフレームに関する統計値を算出する構成であってもよい。また、算出部30は、DoIPの通信規格に従うフレームのうちの中継要求フレーム以外のフレームに関する統計値を算出する構成であってもよい。また、算出部30は、SOME/IPおよびDoIP以外の通信規格に従うフレームに関する統計値を算出する構成であってもよい。
【0161】
また、本開示の実施の形態に係る中継装置100では、算出部30は、監視部20から受けた監視情報に基づいて、統計値S1,S2,S3,S4,S5,S6を算出する構成であるとしたが、これに限定するものではない。算出部30は、統計値S1,S2,S3,S4,S5,S6の一部を算出しない構成であってもよい。この場合、検知部40は、統計値S1,S2,S3,S4,S5,S6のうち算出部30によって算出された他の統計値に基づいて、不正メッセージを検知することができる。
【0162】
ところで、車載ネットワークにおける不正メッセージをより正しく検知することを可能とする技術が望まれる。
【0163】
たとえば、特許文献1に記載のシステムは、セキュリティトークンに基づく認証を行う構成であり、セキュリティトークンが不正利用されると、異常を検知することができない場合がある。また、特許文献2に記載のシステムは、侵入異常に関する情報とブラックリストとを照合する構成であり、ブラックリストに登録されていない異常を検知することができない場合がある。
【0164】
これに対して、本開示の実施の形態に係る中継装置100では、監視部20は、車載ネットワーク12において送信されるメッセージを監視する。算出部30は、監視部20による監視結果に基づいて、所定期間内に車載ネットワーク12において送信された、車両1において用いる対象情報の種類ごとに与えられる識別情報を有するメッセージである対象メッセージに関する統計値を算出する。検知部40は、算出部30によって算出された統計値に基づいて、不正メッセージを検知する検知処理を行う。
【0165】
本開示の実施の形態に係る検知方法は、車両1に搭載される車載ネットワーク12における不正メッセージを検知する中継装置100における検知方法である。この検知方法では、まず、中継装置100が、車載ネットワーク12において送信されるメッセージを監視する。次に、中継装置100が、監視結果に基づいて、所定期間内に車載ネットワーク12において送信された、車両1において用いる対象情報の種類ごとに与えられる識別情報を有するメッセージである対象メッセージに関する統計値を算出する。次に、中継装置100が、算出した統計値に基づいて、不正メッセージを検知する検知処理を行う。
【0166】
このように、識別情報を有する対象メッセージに関する統計値に基づいて不正メッセージを検知する構成および方法により、たとえば、算出した統計値と、正常な対象メッセージに関する統計値に基づいて予め設定されたしきい値との比較結果に基づいて、算出した統計値が異常であるか否かを判断することで不正メッセージの検知精度を向上させることできる。
【0167】
したがって、本開示の実施の形態に係る中継装置および検知方法では、車載ネットワークにおける不正メッセージをより正しく検知することができる。
【0168】
上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
【0169】
以上の説明は、以下に付記する特徴を含む。
[付記1]
車両に搭載される車載ネットワークにおける不正メッセージを検知する検知装置であって、
前記車載ネットワークにおいて送信されるメッセージを監視する監視部と、
前記監視部による監視結果に基づいて、所定期間内に前記車載ネットワークにおいて送信された、前記車両において用いる対象情報の種類ごとに与えられる識別情報を有するメッセージである対象メッセージに関する統計値を算出する算出部と、
前記算出部によって算出された前記統計値に基づいて、前記不正メッセージを検知する検知処理を行う検知部とを備え、
前記対象メッセージは、SOME/IPの通信規格に従う、前記対象情報の提供が可能か否かを問い合わせるためのメッセージであるか、または、DoIPの通信規格に従う、前記車載ネットワークにおける車載装置と、前記車載ネットワークに接続された外部装置との間の情報の中継を開始するための、前記外部装置からのメッセージである、検知装置。
[付記1]
車両に搭載される車載ネットワークにおける不正メッセージを検知する検知装置であって、
前記車載ネットワークにおいて送信されるメッセージを監視する監視部と、
前記監視部による監視結果に基づいて、所定期間内に前記車載ネットワークにおいて送信された、前記車両において用いる対象情報の種類ごとに与えられる識別情報を有するメッセージである対象メッセージに関する統計値を算出する算出部と、
前記算出部によって算出された前記統計値に基づいて、前記不正メッセージを検知する検知処理を行う検知部とを備え、
前記対象メッセージは、SOME/IPの通信規格に従う、前記対象情報の提供が可能か否かを問い合わせるためのメッセージであるか、または、DoIPの通信規格に従う、前記車載ネットワークにおける車載装置と、前記車載ネットワークに接続された外部装置との間の情報の中継を開始するための、前記外部装置からのメッセージである、検知装置。
【0170】
[付記2]
車両に搭載される車載ネットワークにおける不正メッセージを検知する、プロセッサを備える検知装置であって、
前記プロセッサは、
前記車載ネットワークにおいて送信されるメッセージを監視する監視部と、
前記監視部による監視結果に基づいて、所定期間内に前記車載ネットワークにおいて送信された、前記車両において用いる対象情報の種類ごとに与えられる識別情報を有するメッセージである対象メッセージに関する統計値を算出する算出部と、
前記算出部によって算出された前記統計値に基づいて、前記不正メッセージを検知する検知処理を行う検知部とを実現する、検知装置。
車両に搭載される車載ネットワークにおける不正メッセージを検知する、プロセッサを備える検知装置であって、
前記プロセッサは、
前記車載ネットワークにおいて送信されるメッセージを監視する監視部と、
前記監視部による監視結果に基づいて、所定期間内に前記車載ネットワークにおいて送信された、前記車両において用いる対象情報の種類ごとに与えられる識別情報を有するメッセージである対象メッセージに関する統計値を算出する算出部と、
前記算出部によって算出された前記統計値に基づいて、前記不正メッセージを検知する検知処理を行う検知部とを実現する、検知装置。
【符号の説明】
【0171】
1 車両
10 通信処理部
11 イーサネットケーブル
12 車載ネットワーク
20 監視部
30 算出部
40 検知部
50 記憶部
100 中継装置
111 車載ECU
111A TCU(車載ECU)
111B 自動運転ECU(車載ECU)
111C 運転支援ECU(車載ECU)
111D ブレーキセンサ(車載ECU)
111E アクセルセンサ(車載ECU)
111F 画像センサ(車載ECU)
112 診断ポート
300 車載通信システム
10 通信処理部
11 イーサネットケーブル
12 車載ネットワーク
20 監視部
30 算出部
40 検知部
50 記憶部
100 中継装置
111 車載ECU
111A TCU(車載ECU)
111B 自動運転ECU(車載ECU)
111C 運転支援ECU(車載ECU)
111D ブレーキセンサ(車載ECU)
111E アクセルセンサ(車載ECU)
111F 画像センサ(車載ECU)
112 診断ポート
300 車載通信システム
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】