JP2023152461A - 車載ゲートウェイ装置及びインジェクション攻撃の検出方法 - Google Patents
車載ゲートウェイ装置及びインジェクション攻撃の検出方法 Download PDFInfo
- Publication number
- JP2023152461A JP2023152461A JP2022062495A JP2022062495A JP2023152461A JP 2023152461 A JP2023152461 A JP 2023152461A JP 2022062495 A JP2022062495 A JP 2022062495A JP 2022062495 A JP2022062495 A JP 2022062495A JP 2023152461 A JP2023152461 A JP 2023152461A
- Authority
- JP
- Japan
- Prior art keywords
- transmission
- error
- gateway
- connector
- gateway device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000002347 injection Methods 0.000 title claims abstract description 12
- 239000007924 injection Substances 0.000 title claims abstract description 12
- 238000001514 detection method Methods 0.000 title claims description 36
- 230000005540 biological transmission Effects 0.000 claims abstract description 93
- 238000004891 communication Methods 0.000 claims abstract description 34
- 238000012544 monitoring process Methods 0.000 claims abstract description 27
- 230000005856 abnormality Effects 0.000 claims description 19
- 238000000034 method Methods 0.000 claims description 9
- 238000010586 diagram Methods 0.000 abstract description 6
- 239000000243 solution Substances 0.000 abstract 1
- 238000012545 processing Methods 0.000 description 14
- 238000005516 engineering process Methods 0.000 description 8
- 238000012546 transfer Methods 0.000 description 4
- 238000003745 diagnosis Methods 0.000 description 3
- 230000000737 periodic effect Effects 0.000 description 3
- 238000007796 conventional method Methods 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 230000000052 comparative effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】車載ネットワークに対するインジェクション攻撃を、より低リソースで検出する。【解決手段】ゲートウェイ装置2は、コネクタ3に接続される外部装置とECU4との間の通信を中継するゲートウェイ手段20と、ゲートウェイ手段20からコネクタ3に送信される送信メッセージが外部装置に到達したことを示す送信ステータスを監視する監視手段25とを備える。監視手段25は、ECU4から出力された送信メッセージがゲートウェイ手段20を介してコネクタ3に送信された場合において、送信メッセージの送信ステータスにエラーが生じたことに基づいて、車載通信ネットワーク1に対して不正な信号が注入されたと判定する。【選択図】図3
Description
ここに開示する技術は、車載ゲートウェイ装置及びインジェクション攻撃の検出方法に関する。
車両ネットワークにおける不正なデータを検出する侵入検知システムの導入が進められている。
様々なバリエーションの不正なデータによる攻撃を検出するためには、侵入検知システムとして多様な検出ロジックを搭載する必要がある。一方で、車両のコストダウンのためには、それらのロジックを極力低リソースで実行できることが望ましい。
特許文献1には、情報処理装置間で送られるデータに対応する送信状態(送信実行状態/送信停止状態)を決定し、取得部の取得データに対応する送信状態が送信停止状態である場合に、その取得データに異常があると判定する技術が示されている。具体的に、特許文献1には、所定の周期で送信される周期データが所定期間にわたって取得されないときに、その周期データが送信停止状態であると判断し、送信停止状態中にその周期データが受信されると異常と判定する例が示されている。
しかしながら、車両内では送受信の周期やタイミング、データ長さ等が異なる多種多様なメッセージのやり取りがなされている。したがって、従来技術のように、各メッセージに対応する送信状態を決定して適用する方式の場合、それぞれのメッセージについて送信状態の設定をするための演算や送信状態を記憶をするために多くの演算リソース(演算回路及び記憶領域を含む)を要するという問題がある。また、近年、車両の自動化、高機能化に伴って、車載ECUの数及びメッセージの種類数やデータ量が増大傾向にあるので、この問題点がより重要になる。
また、車両では、車室内の限られた空間に車両制御用の演算リソース、乗員の快適性を向上させるための演算リソース、上記の侵入検知システムのための演算リソース、車両の盗難防止用の演算リソース等の多種多様の目的のための演算リソースを搭載する必要がある。したがって、車両の高性能化、高機能化を進展させてユーザーの満足度を向上させていく上でも、車両制御や快適性等に直接的に影響しない侵入検知システムのための演算リソースをできるだけ削減することには大きな意味がある。
ここで、使用する演算リソースを節約するために、送信状態を設定するデータの種類や量を減らすことも考えられるが、そうすると不正なデータによる攻撃の検出に対する網羅性が低下するという問題がある。
ここに開示された技術は、斯かる点に鑑みてなされたものであり、その目的とするところは、車載ネットワークに対する不正なデータの注入によるインジェクション攻撃を、より低リソースで検出することにある。
前記課題を解決するために、ここに開示された技術の一態様では、車載通信ネットワークに外部装置を接続するためのコネクタと車載のECUとの間に設けられたゲートウェイ装置を対象として、前記コネクタに接続される外部装置と前記ECUとの間の通信を中継するゲートウェイ手段と、前記ゲートウェイ手段から前記コネクタに送信される送信メッセージが前記外部装置に到達したことを示す送信ステータスを監視する監視手段とを備え、前記監視手段は、前記ECUから出力された送信メッセージが前記ゲートウェイ手段を介して前記コネクタに送信された場合において、当該送信メッセージの送信ステータスにエラーが生じたことに基づいて、前記車載通信ネットワークに対して不正な信号が注入されたと判定する、という構成とした。
この構成によると、コネクタに外部装置が接続されていない状態で外部装置への送信メッセージを不正に注入する攻撃を従来よりも少ない演算リソース(演算回路及び記憶領域を含む)で検出できる。
具体的には、前述のとおり、各データに対応する送信状態を決定して適用する従来方式の場合、送信状態の設定をするための演算や送信状態を記憶をするために演算リソースを割り当てる必要がある。これに対し、上記態様の構成では、各データに対応する送信状態を決定したり、ECUの状態や車載通信ネットワーク上を流れる信号の状態を記憶する必要がないので、車載通信ネットワークに対して不正な信号が注入されたことを検出するためのリソースを大幅に削減することができる。
上記態様において、前記監視手段は、所定の閾値以上の前記送信ステータスのエラーが生じた場合に、前記車載通信ネットワークに対して不正な送信メッセージが注入されたと判定する、としてもよい。
この態様によると、エラーの判定に対して一定の閾値を設けているので、不正な送信メッセージの誤判定を回避できるようになり、エラー判定の精度を高めることができる。
前記監視手段は、前記送信メッセージの送信ステータスにエラーが生じたことを検知する異常検出部と、前記異常検出部で前記送信ステータスのエラーが検知された場合に、当該エラーの内容を示すエラー情報に当該エラーに関する付加情報を付加した検知ログを出力する出力部とを備える、としてもよい。
ここで、付加情報には、エラーが発生した時刻に関する時刻情報、エラーが発生した場所に関する場所情報が含まれる、としてもよい。
この態様によると、エラー情報に付加情報を付けて保存するようにしているので、インジェクション攻撃かどうかの判断などのエラーの解析が容易になる。
ここに開示された技術の他の一態様では、インジェクション攻撃の検出方法を対象として、監視手段が、車載通信ネットワークの内部バスからゲートウェイ装置を経由して当該車載通信ネットワークに外部装置を接続するためのコネクタに送信される送信メッセージの前記外部装置への到達を示す送信ステータスを監視する監視工程と、前記監視手段が、前記送信メッセージの前記送信ステータスにエラーが生じたことに基づいて、前記車載通信ネットワークに対して不正な信号が注入されたと判定する判定工程とを備える、構成とした。
本態様によると、各データに対応する送信状態を決定したり、ECUの状態や車載通信ネットワーク上を流れる信号の状態を記憶する必要がない。したがって、車載通信ネットワークに対して不正な信号が注入されたことを検出するためのリソースを大幅に削減することができる。
以上説明したように、ここに開示された技術によると、車載ネットワークに対するインジェクション攻撃を、従来よりも低リソースで検出することができる。
以下、例示的な実施形態について、図面を参照しながら詳細に説明する。図中同一または相当部分には同一の符号を付すものとし、繰り返しの説明を省略する場合がある。また、以下の実施形態では、本開示の内容に関連性の高い構成を中心に説明する。
以下の説明では、外部装置、コネクタ、ECU、センサ、アクチュエータの総括名称として「デバイス」という用語を用いる場合がある。例えば、デバイス間の接続との記載は、外部装置とコネクタとの間の接続や外部装置とECUとの間の接続、ECU、センサ、アクチュエータの相互間の接続等のように、各デバイス同士の接続を広く包含する概念として用いる。
図1は、本実施形態に係る車載通信ネットワーク1の構成例を示す。
図1に示すように、車載通信ネットワーク1は、外部バス領域5と内部バス領域6とを含む。以下では、車載通信ネットワーク1は、CAN(Controller Area Network)通信のプロトコルに準拠したネットワーク(以下、単に「CANネットワーク」という)であるものとする。なお、車載通信ネットワーク1が、イーサネット(登録商標)のプロトコルに準拠したネットワークのように他方式のネットワークであってもよい。
外部バス領域5では、故障診断機8や充電ステーション等の外部装置を接続するためのコネクタ3が外部バスEBを介して接続されている。この例では、ゲートウェイ装置2よりも車両外側のネットワークを構成するバスを外部バスEBという。
内部バス領域6では、車載のECU4、センサ、アクチュエータ等が内部バスIBを介して接続されている。この例では、ゲートウェイ装置2よりも車両内側のネットワークを構成するバスを内部バスEBという。
別の言い方をすると、車両外から接続される装置(外部装置)に直接接続されるバスを外部バスEBといい、それ以外のバスを内部バスIBという。なお、以下の説明において、外部バスEBと内部バスIBとを特に区別しない場合に、単に「バス」という場合がある。
外部バス領域5と内部バス領域6との間には、ゲートウェイ装置2が設けられる。ゲートウェイ装置2は、車載通信ネットワーク1において、デバイス間の通信を中継する機能を有する。また、コネクタ3に外部装置が接続された場合、ゲートウェイ装置2は、外部装置とECU4との間の通信を中継する。
例えば、図2に示すように、コネクタ3に対してECU4の故障を診断する故障診断機8が接続された場合に、ゲートウェイ装置2は、故障診断機8と診断対象となるECU4との間のデータ通信を中継する。以下の説明では、説明の便宜上、故障診断機8等の外部装置が接続されたコネクタ3に「31」の符号を付して、他のコネクタ3と区別して説明する場合がある。同様に、診断対象となるECU4に「41」の符号を付して、他のECU4と区別して説明する場合がある。故障診断機8は、外部装置の一例である。なお、図2において、図示の便宜上、故障診断機8とコネクタ31との間を線CTで結んでいるが、両者間を配線で接続することを限定する意図はなく、故障診断機8と接触式のコネクタ31とが端子同士で直接接続されてもよい。
図2の例において、故障診断機8は、コネクタ31に接続された後、診断対象のECU41に対してリクエストメッセージを送信する。リクエストメッセージは、故障診断機8から出力された後、コネクタ31及び外部バスEBを介してゲートウェイ装置2に入力される。ゲートウェイ装置2では、リクエストメッセージを受信すると、後述するゲートウェイ手段20でルーティングして、ECU41が接続された内部バスIBに出力する。
別の具体例を挙げると、例えば、コネクタ31に外部装置として急速充電器が接続された場合、急速充電器からECU41に動作ステータスのリクエストメッセージが送信される。
ECU41は、リクエストメッセージを受信すると、リクエストメッセージに対するレスポンスメッセージを内部バスIBを介してゲートウェイ装置2に出力する。ゲートウェイ装置2では、ECU41からのレスポンスメッセージを受信すると、ゲートウェイ手段20でルーティングして、外部バスEBを介してコネクタ31に出力する。故障診断機8は、コネクタ31を介してレスポンスメッセージを受信すると、そのレスポンスメッセージをサーバ9に送信したり、レスポンスメッセージに基づく診断結果をサーバ9に通知したりする。
上記の別の具体例では、例えば、前述の動作ステータスのリクエストメッセージに対して、ECU41は充電許可信号及び電流指令値のレスポンスメッセージを急速充電器に返送する。
-ゲートウェイ装置-
図3は、ゲートウェイ装置2の構成例を示すブロック図である。なお、図3において、ECU4からコネクタ3に送信する送信メッセージが受信された場合におけるデータフローを矢印で示している。
図3は、ゲートウェイ装置2の構成例を示すブロック図である。なお、図3において、ECU4からコネクタ3に送信する送信メッセージが受信された場合におけるデータフローを矢印で示している。
図3に示すように、ゲートウェイ装置2は、ゲートウェイ手段20と、監視手段25とを備える。
ゲートウェイ手段20は、内部バスIBに接続された第1送受信部21と、外部バスEBに接続された第2送受信部22と、ゲートウェイ処理部23と、記憶部24とを備える。
第1送受信部21は、内部バスIBを介して受信されたメッセージをゲートウェイ処理部23に転送したり、ゲートウェイ処理部23からECU4に送信するメッセージを内部バスIBに出力する。
第2送受信部22は、ゲートウェイ処理部23からコネクタ3に送信するデータを外部バスEBに出力したり、外部バスEBを介して受信されたデータをゲートウェイ処理部23に転送したりする。
ゲートウェイ処理部23は、ルーティングテーブルTBに従って、各ECU4から送信されたメッセージや各コネクタ3を経由して入力されたメッセージを、送信先のデバイスが接続されたバスに転送する機能を有する。
ルーティングテーブルTBは、バスを介して受信されたメッセージの種別や内容に応じた転送先のバスを示すものであり、記憶部24に格納されている。例えば、ルーティングテーブルTBには、前述のレスポンスメッセージの転送先としてコネクタ3が登録されている。
監視手段25は、取得部26と、異常検出部27と、出力部28と、記憶部29とを備える。
取得部26は、ゲートウェイ手段20からコネクタ3に送信される送信メッセージの送信ステータスを取得する。送信ステータスは、上記の送信メッセージが外部装置に到達したことを示すステータス情報である。例えば、CANネットワークの場合、ゲートウェイ装置2内のレジスタに各コネクタ3への送信メッセージに関する送信ステータスが反映される。したがって、取得部26は、送信メッセージが送信された後に、そのレジスタの状態を確認することにより送信メッセージの送信ステータスを取得する。
例えば、内部バスIBからゲートウェイ手段20を経由してコネクタ31に接続された外部バスEBにメッセージが転送された場合において、外部バスEBに外部装置が接続されていないときには、外部バスEBにメッセージを送信した後に、CANのAck(Acknowledgement)が立たない。そうすると、メッセージの送信エラーに基づいて、ゲートウェイ装置2内部のAckErrorレジスタが立つようになっている。そこで、取得部26において、そのAckErrorレジスタの状態を確認することにより送信メッセージの送信ステータスを取得することができる。
また、取得部26は、CANコントローラに搭載されているTEC(Transmit Error Counter:送信エラーカウンター)の値を送信メッセージの送信ステータスとして取得してもよい。具体的には、例えば、送信エラーカウンターは、送信が成功すると減算される一方で、エラーフラグの検出があった場合のように送信メッセージの送信状態に応じて所定のルールにしたがって加算される。そこで、TECのカウント値を参照することで、送信ステータスを把握することができる。
なお、取得部26は、例えば、車載通信ネットワーク1が、ハンドシェイク方式のプロトコルを採用している場合、ハンドシェイクの成立状態(相手からの応答返信状態)を示すフラグを送信ステータスとして取得してもよい。
異常検出部27は、記憶部29に格納された判定条件に基づいて、取得部26で取得された送信ステータスにエラーが生じたことを検知する。記憶部29には、判定条件として、例えば、前述の送信エラーカウンターの閾値が記憶されている。異常検出部27は、送信エラーカウンターが判定条件で示された所定の閾値以上になった場合に、車載通信ネットワークに対して不正な信号が注入されたと判定する。すわわち、送信ステータスにエラーが生じたことを検知する。異常検出部27での送信ステータスのエラーの検知結果は、出力部28に出力される。
なお、判定条件は、送信エラーカウンターの値に限定されず、送信エラーカウンター以外の指標を用いてもよい。例えば、前述のハンドシェイク方式の場合、リトライの回数や応答がなかった回数を判定条件として用いてもよい。
また、図3の例では、記憶部24と記憶部29とを別々に設けた例を示しているが、これらをまとめて1つの記憶部としてもよい。
出力部28は、異常検出部27で送信ステータスのエラーが検知された場合に、検知されたエラーの内容を示すエラー情報に、検知されたエラーに関する付加情報を付加した検知ログを出力する。付加情報は、例えば、エラーが発生した時刻を示す時刻情報であったり、エラーが発生した場所を示す場所情報などが含まれる。出力部28から出力された検知ログは、記憶部29に記憶される。このように、エラー情報に付加情報を付けて保存することで、インジェクション攻撃かどうかの判断などのエラーの解析が容易になる。
<ゲートウェイ装置の動作>
次に、図4を参照しつつ、ゲートウェイ装置2の動作について説明する。ここでは、前述のECU41から前述のコネクタ31にレスポンスメッセージが送信される例について説明する。
次に、図4を参照しつつ、ゲートウェイ装置2の動作について説明する。ここでは、前述のECU41から前述のコネクタ31にレスポンスメッセージが送信される例について説明する。
-ステップS1-
ステップS1において、異常検出部27は、記憶部29に格納された判定条件を取得する。この例では、異常検出部27は、判定条件として、送信エラーカウンターの閾値(以下、「エラー閾値」という)を取得する。
ステップS1において、異常検出部27は、記憶部29に格納された判定条件を取得する。この例では、異常検出部27は、判定条件として、送信エラーカウンターの閾値(以下、「エラー閾値」という)を取得する。
-ステップS2-
ステップS2において、取得部26は、内部バスIBからゲートウェイ手段20を経由してコネクタ31に接続された外部バスEBにリクエストメッセージが転送されると、そのリクエストメッセージの送信ステータスを取得する。具体的に、取得部26は、前述の送信エラーカウンターの値を取得する。
ステップS2において、取得部26は、内部バスIBからゲートウェイ手段20を経由してコネクタ31に接続された外部バスEBにリクエストメッセージが転送されると、そのリクエストメッセージの送信ステータスを取得する。具体的に、取得部26は、前述の送信エラーカウンターの値を取得する。
-ステップS3-
ステップS3において、異常検出部27は、取得部26で取得された送信エラーカウンタ値がエラー閾値以上かどうかを判定する。送信エラーカウンタ値がエラー閾値以上の場合、フローはステップS4に進み、送信エラーカウンタ値がエラー閾値未満の場合、フローはステップS2に戻る。
ステップS3において、異常検出部27は、取得部26で取得された送信エラーカウンタ値がエラー閾値以上かどうかを判定する。送信エラーカウンタ値がエラー閾値以上の場合、フローはステップS4に進み、送信エラーカウンタ値がエラー閾値未満の場合、フローはステップS2に戻る。
-ステップS4-
ステップS4において、異常検出部27は、出力部28に検知結果を出力する。ここでは、送信エラーカウンタ値がエラー閾値以上になっているので、異常検出部27は、インジェクション攻撃が発生したと判定し、その判定結果を出力部28に通知する。
ステップS4において、異常検出部27は、出力部28に検知結果を出力する。ここでは、送信エラーカウンタ値がエラー閾値以上になっているので、異常検出部27は、インジェクション攻撃が発生したと判定し、その判定結果を出力部28に通知する。
-ステップS5-
出力部28は、異常検出部27からインジェクション攻撃の発生通知を受信すると、異常検出部27で検知されたエラー情報に付加情報を付加した検知ログを生成し、記憶部29に保存する。
出力部28は、異常検出部27からインジェクション攻撃の発生通知を受信すると、異常検出部27で検知されたエラー情報に付加情報を付加した検知ログを生成し、記憶部29に保存する。
そして、ステップS2からステップS5の動作が繰り返される。
以上のように、本実施形態によると、コネクタ3に外部装置が接続されていない状態で外部装置への送信メッセージを不正に注入する攻撃を従来よりも少ない演算リソース(演算回路及び記憶領域を含む)で検出できる。
具体的には、各データに対応する送信状態を決定して適用する従来方式の場合、送信状態の設定をするための演算や送信状態を記憶をするために演算リソースを割り当てる必要がある。
これに対し、本実施形態の構成では、外部装置とECU4とのメッセージのやり取りに対して個々に送信状態を決定したり、ECU4の状態や車載通信ネットワーク1上を流れる信号の状態を記憶する必要がない。これにより、車載通信ネットワーク1に対して不正な信号が注入されたことを検出するためのリソースを大幅に削減することができる。
-比較例-
比較例として、例えば、リクエストメッセージの識別子(CAN Request ID)とレスポンスメッセージの識別子(CAN Response ID)を対で監視する方法が考えられる。この場合、対となる識別子のテーブル表(例えば、通信対象ECUを35個と想定した場合、70個のID表)をROM(記憶部に相当)に保持する必要があり、かつ、受信したリクエストを処理しRAM(記憶部に相当)に保存する必要があるが、本実施形態ではそのような構成や処理を要しない。
比較例として、例えば、リクエストメッセージの識別子(CAN Request ID)とレスポンスメッセージの識別子(CAN Response ID)を対で監視する方法が考えられる。この場合、対となる識別子のテーブル表(例えば、通信対象ECUを35個と想定した場合、70個のID表)をROM(記憶部に相当)に保持する必要があり、かつ、受信したリクエストを処理しRAM(記憶部に相当)に保存する必要があるが、本実施形態ではそのような構成や処理を要しない。
(その他の実施形態)
ここに開示された技術は、上記実施形態に限られるものではなく、請求の範囲の主旨を逸脱しない範囲での代用や、構成要素及び処理等の追加や変更などが可能である。
ここに開示された技術は、上記実施形態に限られるものではなく、請求の範囲の主旨を逸脱しない範囲での代用や、構成要素及び処理等の追加や変更などが可能である。
例えば、上記の実施形態では、監視手段25がゲートウェイ装置2の内部に設けられている例を示したが、監視手段25の一部または全部の構成をゲートウェイ装置2の外部に設けてもよい。
例えば、図4の例では、出力部28は、検知ログを生成し、記憶部29に保存するものとしたが、この保存された検知ログを用いた処理や動作を行うようにしてもよい。図5には、検知ログを用いた動作の一例を示している。図5において、ステップS1からステップS5の動作は、図4と同じであり、ここではステップS6及びS7の動作について説明する。
-ステップS6-
ステップS6において、ゲートウェイ処理部23は、検知ログにおいてエラーが発生している送信メッセージ(外部装置向けにゲートウェイされている送信メッセージ)のID(以下、「エラーID」という)を識別する。
ステップS6において、ゲートウェイ処理部23は、検知ログにおいてエラーが発生している送信メッセージ(外部装置向けにゲートウェイされている送信メッセージ)のID(以下、「エラーID」という)を識別する。
-ステップS7-
ステップS7において、ゲートウェイ処理部23は、エラーIDが付与された送信メッセージが内部バスIB上に発生した場合に、そのIDが付与されたメッセージ(以下、「不正メッセージ」という)を無効化する。このように、内部バスIB上に発生した不正メッセージ自体を無効化することで、不正メッセージに起因する各種の動作への影響を回避することができる。
ステップS7において、ゲートウェイ処理部23は、エラーIDが付与された送信メッセージが内部バスIB上に発生した場合に、そのIDが付与されたメッセージ(以下、「不正メッセージ」という)を無効化する。このように、内部バスIB上に発生した不正メッセージ自体を無効化することで、不正メッセージに起因する各種の動作への影響を回避することができる。
もしくは、ステップS7において、ゲートウェイ処理部23は、エラーIDを各ECU4に対して通知する。各ECU4では、エラーIDが付与された不正メッセージの受信を行うことになるが、不正メッセージであることが認識できるので、制御に使用しないなどの対応をとることができる。
例えば、図6に示すように、ゲートウェイ装置7として、前述のゲートウェイ装置2と同様の機能を有する第1のゲートウェイ装置71と、監視機能を有さない第2のゲートウェイ装置72とを備えるようにしてもよい。第1のゲートウェイ装置71と第2のゲートウェイ装置72との間は、内部バスNBで接続されている。
この場合、一部のECU4は、内部バスIB1を介して直接第1のゲートウェイ装置71に接続される。また、他の一部のECU4は、内部バスIB2を介して第2のゲートウェイ装置72に接続され、第2のゲートウェイ装置72を介して第1のゲートウェイ装置71に接続される。この場合、第1のゲートウェイ装置71が、図3と同様の構成となり、図3の内部バスIBに代えて、内部バスNBを介して第2のゲートウェイ装置72が接続される。
図6に示す構成においても、第1のゲートウェイ装置72において、前述の実施形態におけるゲートウェイ装置2と同様の処理が実行され、上記実施形態と同様の効果が得られる。
ここに開示された技術は、車載ネットワークに用いられるゲートウェイ装置として有用である。
1 車載通信ネットワーク
2 ゲートウェイ装置
3 コネクタ
4 ECU
7 ゲートウェイ装置
8 診断機(外部装置)
20 ゲートウェイ手段
21 監視手段
27 異常検出部
28 出力部
2 ゲートウェイ装置
3 コネクタ
4 ECU
7 ゲートウェイ装置
8 診断機(外部装置)
20 ゲートウェイ手段
21 監視手段
27 異常検出部
28 出力部
Claims (5)
- 車載通信ネットワークに外部装置を接続するためのコネクタと車載のECUとの間に設けられたゲートウェイ装置であって、
前記コネクタに接続される外部装置と前記ECUとの間の通信を中継するゲートウェイ手段と、
前記ゲートウェイ手段から前記コネクタに送信される送信メッセージが前記外部装置に到達したことを示す送信ステータスを監視する監視手段とを備え、
前記監視手段は、前記ECUから出力された送信メッセージが前記ゲートウェイ手段を介して前記コネクタに送信された場合において、当該送信メッセージの送信ステータスにエラーが生じたことに基づいて、前記車載通信ネットワークに対して不正な信号が注入されたと判定する、ゲートウェイ装置。 - 前記監視手段は、所定の閾値以上の前記送信ステータスのエラーが生じた場合に、前記車載通信ネットワークに対して不正な送信メッセージが注入されたと判定する、
請求項1に記載のゲートウェイ装置。 - 前記監視手段は、
前記送信メッセージの送信ステータスにエラーが生じたことを検知する異常検出部と、
前記異常検出部で前記送信ステータスのエラーが検知された場合に、当該エラーの内容を示すエラー情報に当該エラーに関する付加情報を付加した検知ログを出力する出力部とを備える、
請求項1に記載のゲートウェイ装置。 - 前記外部装置は、前記ECUの故障を診断する故障診断機である、
請求項1から3のいずれか1項に記載のゲートウェイ装置。 - インジェクション攻撃の検出方法であって、
監視手段が、車載通信ネットワークの内部バスからゲートウェイ装置を経由して当該車載通信ネットワークに外部装置を接続するためのコネクタに送信される送信メッセージの前記外部装置への到達を示す送信ステータスを監視する監視工程と、
前記監視手段が、前記送信メッセージの前記送信ステータスにエラーが生じたことに基づいて、前記車載通信ネットワークに対して不正な信号が注入されたと判定する判定工程とを備える、
インジェクション攻撃の検出方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022062495A JP2023152461A (ja) | 2022-04-04 | 2022-04-04 | 車載ゲートウェイ装置及びインジェクション攻撃の検出方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022062495A JP2023152461A (ja) | 2022-04-04 | 2022-04-04 | 車載ゲートウェイ装置及びインジェクション攻撃の検出方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2023152461A true JP2023152461A (ja) | 2023-10-17 |
Family
ID=88349534
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022062495A Pending JP2023152461A (ja) | 2022-04-04 | 2022-04-04 | 車載ゲートウェイ装置及びインジェクション攻撃の検出方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2023152461A (ja) |
-
2022
- 2022-04-04 JP JP2022062495A patent/JP2023152461A/ja active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4407752B2 (ja) | 故障箇所検出装置及び通信装置並びに故障箇所検出方法 | |
EP3358788B1 (en) | Illegality detection electronic control unit, vehicle onboard network system, and communication method | |
US9537744B2 (en) | Communication system and communication method | |
KR101198724B1 (ko) | 캔통신 에러 검출 및 대처방법 | |
JP2002158668A (ja) | 車両用ネットワークシステムの異常検出装置 | |
US20060287784A1 (en) | Vehicle onboard communication system and method | |
US20110035180A1 (en) | Diagnostic apparatus and system adapted to diagnose occurrence of communication error | |
JP4195272B2 (ja) | Can−コントローラ内部のデータ伝送におけるエラーの認識方法,can−コントローラ,プログラム,記録媒体,及び制御装置 | |
CN109104352B (zh) | 车辆网络操作协议和方法 | |
JP2016143963A (ja) | 車載通信システム | |
US20250156536A1 (en) | In-vehicle relay device, in-vehicle relay method, and in-vehicle relay program | |
CN113442848B (zh) | 车辆控制系统、攻击判定方法及记录有程序的记录介质 | |
JP2004348274A (ja) | 通信故障の診断装置 | |
JP6369334B2 (ja) | 車載ネットワーク | |
JP2023152461A (ja) | 車載ゲートウェイ装置及びインジェクション攻撃の検出方法 | |
KR20150015831A (ko) | Can 통신의 오류 검출 장치 및 오류 검출 방법 | |
JP2013236184A (ja) | 車載通信システム、車載通信システムの通信異常監視方法、及び車載通信システムの通信異常監視プログラム | |
CN114244746A (zh) | 处理装置、通信系统和非暂时性存储介质 | |
JP2006135375A (ja) | Canネットワークシステム | |
JP2009111911A (ja) | 通信装置及び通信システム並びに通信方法 | |
JP2022138678A (ja) | 車両システム | |
JP5212339B2 (ja) | データ中継装置及びデータ中継方法 | |
JP4243025B2 (ja) | ネットワークコンポーネントの伝送阻止装置の阻止機能の検査のための方法及び装置 | |
US20240176720A1 (en) | Communication system, relay device, and diagnosis target device | |
JP2004234183A (ja) | 計算機制御装置のバスチェック方法およびシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20250121 |