JP5772666B2 - 通信システム - Google Patents
通信システム Download PDFInfo
- Publication number
- JP5772666B2 JP5772666B2 JP2012048463A JP2012048463A JP5772666B2 JP 5772666 B2 JP5772666 B2 JP 5772666B2 JP 2012048463 A JP2012048463 A JP 2012048463A JP 2012048463 A JP2012048463 A JP 2012048463A JP 5772666 B2 JP5772666 B2 JP 5772666B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- information
- unauthorized access
- unit
- received
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Description
本発明は、異なる複数の通信バスに通信装置が分かれて接続しており、通信バス間の情報を中継する中継装置を含む通信システムに関し、不正アクセスに対して適切に対処することを可能とする通信システムに関する。
FA(Factory Automation)、OA(Office Automation )、又は車両制御の分野では、通信機能を有する制御機器(ECU:Electronic Control Unit)を通信バスで接続し、相互に情報を送受信させて、相互に協調して制御を行なう構成が一般的となっている。1つの通信バスに接続されるECUの数に制限があること、又はECUの役割によって通信速度が異なることから、ECUを複数の群に分け、群毎に1つの通信バスに接続し、異なる通信バス間を中継装置(ゲートウェイ)で接続する構成が採用されている。
このような制御機器間で通信を行なう通信システムでは、通信バスで接続されている制御機器間で送受信される情報のみならず、システム外の無線通信機器、外部サーバ、又は記録媒体との間で入出力される情報を用いて制御する場合がある。
特許文献1には、車両内の異常検出機器及びセンサ群により車両の異常が検出されたときに、保険会社が管理するサーバへ異常に関する情報を送信する構成が開示されている。
システム外の機器と無線通信、又は記憶媒体を介した情報を入出力する機能を有するECUが存在する場合、当該ECUを経由して、ネットワークへ不正アクセスがされないよう、各ECUにて対応する必要がある。各ECUで不正アクセスを防止する処理を行なう構成では、システム全体でのセキュリティ処理が複雑化し、システム全体のコストを抑えることが困難である。
本発明は斯かる事情に鑑みてなされたものであり、不正アクセスに対して適切に対処することを可能とする通信システムを提供することを目的とする。
本発明に係る通信システムは、複数の通信バスと、該複数の通信バスのいずれかに夫々接続されており、前記通信バスを介して情報を周期的に送受信する複数の通信装置と、前記複数の通信バスに夫々接続された複数の第1通信部を備え、該複数の第1通信部により情報を周期的に送受信し、異なる通信バス間での情報の中継を行なう第1中継手段を備える中継装置とを含む通信システムにおいて、前記中継装置は、前記複数の通信バス以外の他の媒体を介して1又は複数の他の通信装置との間で情報を送受信する第2通信部と、該第2通信部にて送受信する情報を、前記複数の第1通信部の内のいずれかにより送受信し、前記他の通信バスと前記複数の通信バスとの間の中継を行なう第2中継手段と、前記第2通信部から受信する情報の受信タイミング、1周期の間における情報の受信順序、受信する情報の情報長、及び受信する情報に含まれる数値範囲を、各情報の送信元の前記他の通信装置の識別情報に対応付けて予め記憶しておく記憶手段と、前記複数の通信部から受信した情報の受信タイミングが、記憶してあるタイミングと異なるか否か、情報の受信順序が記憶してある順序と異なるか否か、受信した情報長が記憶してある情報長と異なるか否か、又は受信した情報に含まれる数値が前記数値範囲内にあるか否かにより、当該通信システムの外部からの不正アクセスがあったか否かを検知する不正アクセス検知手段とを備えることを特徴とする。
また本発明に係る通信システムは、前記不正アクセス検知手段は、前記複数の第2通信部から受信した情報を表す信号の波形が、規定されている信号であるか否かにより、外部からの不正アクセスがあったか否かを更に検知することを特徴とする。
更に本発明に係る通信システムは、前記他の通信装置は、前記中継装置から送信される情報に対して応答を返信するようにしてあり、前記不正アクセス検知手段は、前記複数の第2通信部から送信した情報への応答が返信されるまでの時間が、規定の範囲内にあるか否かにより、外部からの不正アクセスがあったか否かを更に検知することを特徴とする。
また本発明に係る通信システムは、前記不正アクセス検知手段は、前記複数の第2通信部から受信した情報を表す信号の波形が、規定されている信号であるか否かにより、外部からの不正アクセスがあったか否かを更に検知することを特徴とする。
更に本発明に係る通信システムは、前記他の通信装置は、前記中継装置から送信される情報に対して応答を返信するようにしてあり、前記不正アクセス検知手段は、前記複数の第2通信部から送信した情報への応答が返信されるまでの時間が、規定の範囲内にあるか否かにより、外部からの不正アクセスがあったか否かを更に検知することを特徴とする。
本発明では、中継装置に通信バスを介して接続されている複数の通信装置は、通信バスを介して情報を送受信し、各通信装置が接続される通信バス以外の媒体を介した情報の送受信は、別途第2通信部を備える中継装置で行なわれる。複数の通信装置と、システム外の機器等との間での情報のやりとりは、必ず中継装置の第2中継手段を介して行われる。更に、システム内の通信装置間の情報の中継、及び、システム外の機器とやりとりされる情報の中継のいずれも行なう中継装置にて、外部からの不正アクセスが検知される。
なお他の媒体とは例えば、各通信装置が接続されている通信バス同様の有線通信媒体(通信バス)であってもよいし、記憶媒体であってもよいし、無線通信媒体であってもよい。例えば第2通信部は、シリアルバス等を含む通信バスである他の媒体を介して各通信バスに接続されている複数の通信装置以外の他の通信機器と情報をやりとりする。ここで他の通信機器はダイアグ端末、又はパーソナルコンピュータなどの通信機器が含まれる。また他の媒体が記録媒体である場合、第2通信部は、記録媒体から情報を読み出して入力し、前記記録媒体へ情報を書き込むことで情報を出力する。また他の媒体が無線通信媒体である場合、第2通信部は、各通信バスに接続されている複数の通信装置以外の通信機器と無線通信することにより情報を入出力する。いずれの場合も、他の媒体を介して送受信された情報は必ず中継装置を介して当該通信システム内の通信装置へ中継される。
なお他の媒体とは例えば、各通信装置が接続されている通信バス同様の有線通信媒体(通信バス)であってもよいし、記憶媒体であってもよいし、無線通信媒体であってもよい。例えば第2通信部は、シリアルバス等を含む通信バスである他の媒体を介して各通信バスに接続されている複数の通信装置以外の他の通信機器と情報をやりとりする。ここで他の通信機器はダイアグ端末、又はパーソナルコンピュータなどの通信機器が含まれる。また他の媒体が記録媒体である場合、第2通信部は、記録媒体から情報を読み出して入力し、前記記録媒体へ情報を書き込むことで情報を出力する。また他の媒体が無線通信媒体である場合、第2通信部は、各通信バスに接続されている複数の通信装置以外の通信機器と無線通信することにより情報を入出力する。いずれの場合も、他の媒体を介して送受信された情報は必ず中継装置を介して当該通信システム内の通信装置へ中継される。
本発明に係る通信システムは、前記他の媒体は、通信バスであり、前記他の通信装置は、更に他の媒体を介して外部と情報を入出力する手段を備えることを特徴とする。
更に本発明に係る通信システムは、前記他の媒体は、無線通信媒体であることを特徴とする。
更に本発明に係る通信システムは、前記他の媒体は、無線通信媒体であることを特徴とする。
本発明では、外部に接続可能な他の通信装置との間で送受信される情報は必ず第2通信部により中継装置を介して、当該通信システム内の通信装置へ中継される。他の通信装置は例えば、無線通信機能を有して外部から情報を受信する装置であってもよい。また、他の通信装置はダイアグ端末、又はパーソナルコンピュータなど、一時的に接続される装置であって外部にて情報を入出力する機能を有するものであってもよい。このように本発明では、他の媒体を介して外部と情報の入出力が可能な通信装置は、複数の通信バスに接続されている複数の通信装置と直接的に情報を送受信することはできない。中継装置に通信バスを介して接続される通信装置であっても、更に他の媒体と入出力する手段を備える通信装置と、他の媒体と入出力する手段を有さない通信装置とは、区別されて接続され、当該通信装置間の情報の送受信は、中継装置の第2中継手段により実現される。システム外の更に他の媒体と入出力する手段を備える通信装置からの情報は、中継装置の第2中継手段を介すことなく他の通信装置へ中継されることはない。
更に不正アクセス検知は、受信した情報の受信タイミングが、記憶してあるタイミングと異なるか否か、情報の受信順序が記憶してある順序と異なるか否か、受信した情報長が記憶してある情報長と異なるか否か、又は受信した情報に含まれる数値が前記数値範囲内にあるか否かにより実現される。したがって、不正な動作を行なう装置による不具合を防止することが可能になる。
更に不正アクセス検知は、受信した情報の受信タイミングが、記憶してあるタイミングと異なるか否か、情報の受信順序が記憶してある順序と異なるか否か、受信した情報長が記憶してある情報長と異なるか否か、又は受信した情報に含まれる数値が前記数値範囲内にあるか否かにより実現される。したがって、不正な動作を行なう装置による不具合を防止することが可能になる。
本発明に係る通信システムは、前記中継装置は、前記不正アクセス検知手段が不正アクセスを検知した場合、前記複数の通信装置の内の特定の通信装置へ、通信の遮断を指示する手段を更に備えることを特徴とする。
本発明では、不正アクセスが検知された場合は、特定の通信装置へ通信の遮断が指示される。特定の通信装置は、不正アクセスに係る通信装置であってもよいし、不正アクセスがあった場合に優先的に保護されるべき特別な通信装置であってもよい。これにより、通信システムにおける不正アクセスの影響が軽減される。なお、通信の遮断の指示は、特定の通信装置が電源オフとなることを指示することで実現されてもよい。
本発明に係る通信システムは、前記中継装置は、前記不正アクセス検知手段が不正アクセスを検知した場合、アクセス状況に関する情報を記録する記録手段を備えることを特徴とする。
本発明では、不正アクセスが検知された場合は、アクセス状況に関する情報、例えば発生時刻、アクセス元、アクセス先、不正アクセスに係る通信内容、又はシステム状態が記録手段に記録される。後に記録手段からのアクセス状況に関する情報の参照が可能である。
本発明に係る通信システムは、前記中継装置は、前記記録手段が記録した情報を、当該通信システム外へ送信する手段を更に備えることを特徴とする。
本発明では、不正アクセスが検知された場合に記録手段に記録されたアクセス状況に関する情報が当該通信システム外へ送信される。これにより、本発明の通信システム外から不正アクセスがあったこと、及び不正アクセスがされたときの状況の把握が可能である。
本発明に係る通信システムは、前記不正アクセス検知手段が不正アクセスを検知した場合、前記第2通信部による情報の送受信を禁止する手段を更に備えることを特徴とする。
本発明では、不正アクセスが検知された場合に、他の媒体を介した装置との情報の送受信が禁止される。これにより、更に不正なアクセスが当該通信システム外からされることを防止し、被害の拡大を防止することが可能である。
本発明による場合、不正アクセス検知機能を有する中継装置のみで、内部の通信装置が接続されている通信バス以外の媒体を介した外部の通信装置との間の情報の送受信が行なわれる。したがって、通信システム内の通信装置が不正なアクセス被害を受ける可能性が低減され、更に、中継装置にて外部からの不正アクセスに対して適切に対処することが可能である。
以下、本発明をその実施の形態を示す図面に基づいて具体的に説明する。
なお、以下の実施の形態では本発明を、車載機器を制御する車載通信システムに適用した場合の例を挙げて説明する。
なお、以下の実施の形態では本発明を、車載機器を制御する車載通信システムに適用した場合の例を挙げて説明する。
(実施の形態1)
図1は、実施の形態1における車載通信システムの構成を示すブロック図である。車載通信システムは、複数の通信バス11及び通信バス12と、通信バス11,12夫々に複数接続されているECU21,22及びECU23と、通信バス13に接続されているECU31、ECU32及びダイアグコネクタ33と、通信バス11〜13間の情報の中継処理を行なうGW(Gate Way)装置4とを含む。実施の形態1における車載通信システムは、当該車載通信システム外からの不正アクセスをGW装置4にて検知し、適切に処理する。
図1は、実施の形態1における車載通信システムの構成を示すブロック図である。車載通信システムは、複数の通信バス11及び通信バス12と、通信バス11,12夫々に複数接続されているECU21,22及びECU23と、通信バス13に接続されているECU31、ECU32及びダイアグコネクタ33と、通信バス11〜13間の情報の中継処理を行なうGW(Gate Way)装置4とを含む。実施の形態1における車載通信システムは、当該車載通信システム外からの不正アクセスをGW装置4にて検知し、適切に処理する。
実施の形態1では、通信バス11〜13を介した通信は、いずれもCANプロトコルに準じる。勿論、CANには限定されない。通信バス11〜13は、接続されるECU21〜23、ECU31及びECU32の制御対象の種類で区別されている。換言すれば、送受信される情報の種類で区別される。通信速度は、通信バス11〜13で異なる設定とされていてもよい。例えば、通信バス11には動力制御、及び走行制御等を含むシャシーの制御を行なう複数のECU21が接続されており、計器、走行制御系の情報が送受信される。また通信バス11には計器のメータ51及びスピーカ52を制御するECU22が接続されている。通信バス12には、ボディの制御を行なう複数のECU23が接続されており、ドアロック、セキュリティなどに関する情報が送受信される。通信バス13には、外部から時間情報、位置情報、ダイアグ情報、更新情報等を送受信する外部との情報の入出力機能を有する複数のECU31、及びECU32が接続されている。また通信バス13には、ダイアグコネクタ33が接続されている。車両の納品時、又は点検時等の一時的に、ダイアグ端末301、パーソナルコンピュータ(Personal Computer ;以下PCという)302、又は他のECU303が通信バス13を介して情報を送受信することができる。
ECU21及びECU22は、図示しないマイクロコンピュータ(以下、マイコンという)及びCANトランシーバを備え、通信バス11に接続されている。ECU23も同様にマイコン及びCANトランシーバを備え、通信バス12に接続されている。ECU21〜23が備えるマイコンは、CANコントローラ機能を有して通信バス11又は通信バス12に送信されるCANメッセージを受信すると共に、CANメッセージを送信する。なお、ECU21〜23は、いずれも通信バス11又は通信バス12とのインタフェース以外に、他の機器との情報の入出力に関するインタフェースを持たない。ECU21〜23は、PC、ダイアグ端末等との通信機能も、外部との無線通信による情報の入出力機能も、USBメモリ等の記録媒体を介した情報の入出力の機能も有さない。
ECU31及びECU32は、ECU21及びECU22と同様にマイコン及びCANトランシーバを備え、通信バス13に接続されている。ECU31及びECU32が備えるマイコンは、CANコントローラ機能を有して通信バス13に送信されるCANメッセージを受信すると共に、CANメッセージを送信する。また、ECU31は例えばカーナビゲーションシステムに関する情報を外部との間で送受信するためのGPS(Global Positioning System )受信機、又は無線LAN通信ユニットなどである無線通信部34を備える。ECU32は、可搬型の記憶部等の記録媒体と情報を入出力する入出力部35を備える。ダイアグコネクタ33は、通信バス13の接続コネクタであり、ダイアグコネクタ33を介してダイアグ端末301、PC302、及びECU303は通信バス13を介した送受信が可能である。このように、通信バス13に接続される機器は、外部との情報の入出力を行なう機能を有する。
GW装置4は、制御部40と、第1通信部41と、第2通信部42と、第3通信部43と、不正アクセス検知部44と、記憶部45と、一時記憶部46とを備えている。
制御部40は、CPU(Central Processing Unit)を用いる。制御部40は、記憶部45に記憶されているプログラム47に基づき、一時記憶部46を送信バッファ又は受信バッファとして用い、第1〜第3通信部41〜43を介した送受信を実行して中継処理を実現する。制御部40はMPU(Micro Processing Unit )に代替されてもよい。
第1〜第3通信部41〜43は夫々、CANコントローラ及びCANトランシーバを含み、CANプロトコルに基づいてCANメッセージの送受信を実現する。第1通信部41は通信バス11に、第2通信部42は通信バス12に、第3通信部43は通信バス13に接続されている。第1通信部41は、通信バス11に送信されたCANメッセージを検知すると、受信割込を制御部40へ通知する。同様に、第2通信部42は、接続されている通信バス12に送信されたCANメッセージを検知すると、受信割込を制御部40へ通知する。第3通信部43は、接続されている通信バス13に送信されたCANメッセージを検知すると、受信割込を制御部40へ通知する。
不正アクセス検知部44は、車載通信システム外からの不正アクセスを検知する。不正アクセス検知部44は、制御部40がプログラム47を読み出して実行することによりソフトウェア的に実現される機能であってもよいし、チップ化されてハードウェア的に実現されてもよい。不正アクセス検知部44は、第3通信部43により受信したCANメッセージの送信(受信)タイミング、CANメッセージのCANID、CANメッセージに含まれるデータ内容、CANメッセージの送信元が既知のものと異なるか否かを判断し、異なる場合に不正アクセスがあったと検知する。CANプロトコル以外でも、メッセージ、即ち送受信する情報の内容を識別する情報(ID)に基づいて、不正アクセスの有無を検知することができる。また不正アクセス検知部44は、第3通信部43にて受信する通信信号の波形に基づき、通信バス13のトポロジ(線長又はノード数等)の変化があるか否かを判断し、変化がある場合に不正アクセスがあったと検知する。
制御部40は、不正アクセス検知部44により不正アクセスが検知された場合、不正アクセスの可能性を示す警告をメータ51に表示させ、スピーカから警告音を出力させるべく、ECU22への警告情報の送信を第1通信部41へ指示する。
記憶部45は、書き換え可能なフラッシュメモリ等の不揮発性メモリであり、制御部40が読み出すプログラム47を記憶する。なお、記憶部45の代替として、EEPROM(登録商標)などの不揮発性メモリを用いてもよい。また記憶部45は、不正アクセス検知部44により不正アクセスが検知された場合に、後述するようにログ情報48の記録先として使用される。
一時記憶部46は、SRAM(Static Random Access Memory )又はDRAM(Dynamic RAM )等のRAMを用いる。一時記憶部46は、送受信バッファとして利用される。制御部40は、第1〜第3通信部41〜44にて受信したCANメッセージ、及び、第1〜第3通信部41〜43にて送信するCANメッセージを一時記憶部46に一時的に記憶する。
なお、制御部40、第1〜第3通信部41〜43におけるCANコントローラ部、記憶部45及び一時記憶部46でマイコンとして構成されていてよい。
このように構成される車載通信システムにおけるGW装置4による中継処理について、フローチャートを参照しながら詳細を説明する。
図2は、実施の形態1におけるGW装置4による中継処理の内、CANメッセージを受信した際の処理手順の一例を示すフローチャートである。制御部40へ、受信割込が通知された場合、制御部40は以下の処理を実行する。
図2は、実施の形態1におけるGW装置4による中継処理の内、CANメッセージを受信した際の処理手順の一例を示すフローチャートである。制御部40へ、受信割込が通知された場合、制御部40は以下の処理を実行する。
制御部40は、受信したCANメッセージのCANID、及び受信した通信バス(通信バス11〜13のいずれか)を特定する(ステップS101)。
制御部40は、特定した通信バスが通信バス11又は通信バス12のいずれかであるか否かを判断する(ステップS102)。制御部40は、特定した通信バスは通信バス11又は通信バス12であると判断した場合(S102:YES)、ステップS101で特定したCANID及び通信バスに基づき、受信したCANメッセージに中継要の信号情報が含まれているか否かを判断する(ステップS103)。
制御部40は、ステップS103にて中継要の信号情報が含まれていると判断した場合(S103:YES)、受信したCANメッセージから必要な信号情報を抽出する(ステップS104)。制御部40は、抽出した信号情報を一時記憶部46に一時的に記憶し(ステップS105)、受信処理を終了する。
制御部40は、ステップS102にて特定した通信バスが通信バス13であると判断した場合(S102:NO)、不正アクセス検知部44により不正アクセスが検知されたか否かを判断する(ステップS106)。制御部40は、不正アクセスが検知されないと判断した場合(S106:NO)、処理をステップS103へ進める。
制御部40は、ステップS106にて不正アクセスが検知されたと判断した場合(S106:YES)、受信したCANメッセージを破棄し(ステップS107)、不正アクセスの可能性を示す警告をメータ51に表示させ、スピーカから警告音を出力させるべく、ECU22への警告情報を第1通信部31から出力させる(ステップS108)。制御部40は、以後の通信バス13が接続されている第3通信部43による通信を以後禁止し(ステップS109)、特定したCANID、及び不正であると判断した根拠を含むログ情報48を記憶部45に記憶し(ステップS110)、処理を終了する。
これにより、不正アクセスがあった場合でも通信バス11及び通信バス12に接続されているECU21〜23へ不正アクセスに係るCANメッセージは到達しない。したがって、車載通信システムを保護することが可能となる。また、不正アクセスが検知された場合、メータ51から警告表示、又はスピーカ52からの警告音が出力される。したがって、ユーザは不正アクセスに気付くことが可能であるから、ユーザはディーラへ連絡したり、ディーラへ車両を運搬したり、種々の適切な対処をとることができる。更に、不正アクセスがあった場合には、車外装置との入出力に係るECU31、ECU32、及びダイアグコネクタ33が接続されている通信バス13との接続が禁止される。したがって、不正アクセスの被害の拡大を防止することが可能となる。
図3は、実施の形態1におけるGW装置4による中継処理の内、CANメッセージを送信する際の処理手順の一例を示すフローチャートである。GW装置4は、CANメッセージを受信する都度、以下の処理を行なってもよいし、定期的に以下の処理を行なってもよい。送信するCANメッセージを特定する情報と共に、送信タイミングとの対応が記憶されており、各CANメッセージの送信タイミングが到来すると、以下に示す処理が実行される。なお、定期的に行なう場合は具体的には、GW装置4は、図示しないタイマ部にて、例えば10ミリ秒の一定期間をカウントしており、10ミリ秒が経過する都度、タイマ割込を制御部40へ通知する。制御部40は、当該タイマ割込が通知された場合に、以下の送信(中継)処理を実行する。
制御部40は、送信するCANメッセージを選択する(ステップS21)。制御部40は、中継要と抽出してある信号情報を読み出し(ステップS22)、抽出してある信号情報から、選択した送信CANメッセージに含められるべき信号情報を選択してCANメッセージを作成する(ステップS23)。
制御部40は、作成したCANメッセージの送信条件が成立しているか否かを判断する(ステップS24)。例えば、図3に示した処理手順が定期的(10ミリ秒)毎に実行されることに対し、送信条件が周期の3倍である30ミリ秒毎に送信されるべきであるときには、制御部40は、10ミリ秒又は20ミリ秒経過後は、送信条件が成立していないと判断する。
制御部40は、送信条件が成立していると判断した場合(S24:YES)、作成したCANメッセージを、第1〜第3通信部41〜43のいずれかの中継先に与えて送信する(ステップS25)。
制御部40は、送信すべき全てのCANメッセージについて選択したか否かを判断する(ステップS26)。制御部40は、ステップS26で全て選択したと判断した場合(S26:YES)、中継処理を終了する。
制御部40は、ステップS24で送信条件が成立していないと判断した場合(S24:NO)、処理をステップS26へ進める。
制御部40は、ステップS26にて、選択していないCANメッセージがあると判断した場合(ステップS26:NO)、処理をステップS21へ戻し、次の送信CANメッセージについて処理を実行する。
このようにGW装置4は、受信したCANメッセージをそのまま送受信する方法でなく、中継先が必要な情報を含むCANメッセージを作成してから送信する方法で各情報の中継を実現する。更にGW装置4は、外部との情報の入出力を行なわないECU21又はECU22と接続している第1通信部41又は第2通信部42により受信した情報と、外部との情報の入出力を行なう機能を有するECU31若しくはECU32、外部から接続されるダイアグ端末301、PC302又はECU303と接続している第3通信部43により受信した情報とを区別して中継する。そしてGW装置4は、第3通信部43により受信した情報に対して特に、不正アクセス検知部44による処理を行なう。
図4は、実施の形態1におけるGW装置4による不正アクセス検知の処理手順の一例を示すフローチャートである。制御部40が第3通信部43により受信割込の通知を受けると、制御部40の指示に基づき不正アクセス検知部44が以下の処理を実行する。
不正アクセス検知部44は、受信したCANメッセージのCANIDを特定する(ステップS31)。不正アクセス検知部44は、特定したCANIDが不正なCANIDであるか否かを判断する(ステップS32)。不正なCANIDとは、車載通信システムで使用されると規定されているCANID以外のものか、又は不正IDリストに記憶されてあるCANIDである。不正アクセス検知部44は、不正なCANIDであると判断した場合(S32:YES)、不正アクセスがあったと判断し(ステップS33)、処理を終了する。
不正アクセス検知部44は、ステップS32で正当なCANIDであると判断した場合(S32:NO)、受信したCANメッセージの送信(受信)タイミングが不正であるか否かを判断する(ステップS34)。不正アクセス検知部44は、規定されているCANメッセージ毎に、送信周期又は送信時間等の送信タイミングを記憶しておき、規定されている送信タイミングと異なる場合、不正であると判断する。不正アクセス検知部44は、不正であると判断した場合(S34:YES)、処理をステップS33へ進める。
不正アクセス検知部44は、ステップS34で送信タイミングが正当であると判断した場合(S34:NO)、受信したCANメッセージの送信順序が不正であるか否かを判断する(ステップS35)。不正アクセス検知部44は、送信されるCANメッセージの正当な順序(1周期における順序)を記憶しておき、受信したCANメッセージの順序が記憶してある順序と異なる場合、不正アクセスがあったと判断する。不正アクセス検知部44は、不正であると判断した場合(S35:YES)、処理をステップS33へ進める。
不正アクセス検知部44は、ステップS35で送信順序が正当であると判断した場合(S35:NO)、データ部を参照してデータが不正であるか否かを判断する(ステップS36)。不正アクセス検知部44は、CANID毎にデータ長を規定しておき、受信したCANメッセージのデータ部のデータ長が、規定されているデータ長と異なる場合、不正であると判断する。また不正アクセス検知部44は、CANID毎に、データ値の正常範囲を規定しておき、受信したCANメッセージのデータ部のデータ値が規定されている正常範囲外である場合、不正であると判断する。不正アクセス検知部44は、不正であると判断した場合(S36:YES)、処理をステップS33へ進める。
不正アクセス検知部44は、データが正当であると判断した場合(S36:NO)、第3通信部43における通信信号の波形に基づき、通信バス13に接続されている通信装置が規定されたもの、即ち正当な通信装置であるか否かを判断する(ステップS37)。つまり不正アクセス検知部44は、ECU31及びECU32以外に不正なECUが通信バス13に接続されていないか否かを判断する。不正アクセス検知部44は、規定されているものでないと判断した場合(S37:NO)、処理をステップS33へ進める。
不正アクセス検知部44は、通信装置は規定されているものであると判断した場合(S37:YES)、そのまま処理を終了する。この場合、不正アクセスは検知されなかったものと判断される。
上述したように実施の形態1における車載通信システムでは、外部との情報の入出力を行なう機能を有するECU31及びECU32、又は外部からダイアグコネクタ33に接続されるダイアグ端末301、PC302若しくはECU303による通信バス13を介した通信は、通信バス11及び通信バス12による通信と区別されている。更に、外部との情報の入出力を行なう機能を有するECU31及びECU32等による通信バス13を介した受信される情報は、不正アクセス検知部44を必ず経由して、通信バス11及び通信バス12へ送信されるように構成されている。これにより、車載通信システム外部からの不正アクセスを防ぐことが可能である。
(実施の形態2)
実施の形態1では、GW装置4の不正アクセス検知部44は、システム外からの不正アクセスを検知する構成とした。これに対し、実施の形態2では、システム内のECU21〜23の不正な交換等による不正アクセスを監視する機能も有する。
実施の形態1では、GW装置4の不正アクセス検知部44は、システム外からの不正アクセスを検知する構成とした。これに対し、実施の形態2では、システム内のECU21〜23の不正な交換等による不正アクセスを監視する機能も有する。
実施の形態2における車載通信システムの構成の内、通信バス11及び通信バス12、ECU21〜23、メータ51、及びスピーカ52については、実施の形態1における構成と同様である。したがって、これらの共通する構成には同一の符号を付して詳細な説明を省略する。
図5は、実施の形態2における車載通信システムの構成を示すブロック図である。実施の形態2における車載通信システムは、複数の通信バス11及び通信バス12と、通信バス11,12夫々に複数接続されているECU21〜23と、通信バス11,12間の情報の中継処理を行なうGW装置6と、ECU21〜23の電源オン/オフを制御する電源制御装置7とを含む。実施の形態2における車載通信システムは、当該車載通信システム内のECU21〜23を不正に交換することによる不正アクセスをGW装置6にて検知し、適切に処理する。
GW装置6は、制御部60と、第1通信部61と、第2通信部62と、接続部63と、不正アクセス検知部64と、記憶部65と、一時記憶部66とを備えている。
制御部60は、CPUを用いる。制御部60は、記憶部65に記憶されているプログラム67に基づき、一時記憶部66を送信バッファ又は受信バッファとして用い、第1通信部61及び第2通信部62を介した送受信を実行して中継処理を実現する。制御部60はMPUに代替されてもよい。
第1通信部61及び第2通信部62は夫々、CANコントローラ及びCANトランシーバを含み、CANプロトコルに基づいてCANメッセージの送受信を実現する。第1通信部61は通信バス11に、第2通信部62は通信バス12に接続されている。第1通信部61は、通信バス11に送信されたCANメッセージを検知すると、受信割込を制御部60へ通知する。同様に第2通信部62は、接続されている通信バス12に送信されたCANメッセージを検知すると、受信割込を制御部60へ通知する。
接続部63は、電源制御装置7に接続される専用線8のインタフェースである。制御部60は、接続部63を介して電源制御装置7からECU21〜23の状態情報を取得し、接続部63を介して電源制御装置7へ制御情報を送信する。なお、電源制御装置7とGW装置6との間の接続は専用線8に限らず、他の通信バスであってもよい。また、接続部63はLIN(Local Interconnect Network)等の通信バスのインタフェースであって、当該通信バスには複数の電源制御装置7がバス接続されている構成としてもよい。
不正アクセス検知部64は、車載通信システム内からの不正アクセスを検知する。ここでいう不正アクセスとは、ECU21〜23のいずれかが通信バス11又は通信バス12から離脱し、不正なプログラム、又は不正な情報が記憶されているECUに交換され、再度通信バス11又は通信バス12に接続されることが想定される。不正アクセス検知部64は、制御部60がプログラム67を読み出して実行することによりソフトウェア的に実現される機能であってもよいし、チップ化されてハードウェア的に実現されてもよい。
不正アクセス検知部64は、第1通信部61又は第2通信部62により受信したECU21〜23からのCANメッセージの送信(受信)タイミング、CANメッセージのCANID、CANメッセージに含まれるデータ内容又はデータ量、CANメッセージの送信元が既知のものと異なるか否かを判断し、異なる場合に、ECU21〜23が交換された、即ち不正アクセスがあったと検知する。また、不正アクセス検知部64は、ECU21〜23へのCANメッセージを送信した場合の応答が返信されるまでの時間が規定の範囲内であるか否かを判断し、範囲外の場合はECU21〜23のいずれかが交換された、即ち不正アクセスがあったと検知する。なお、ECU21〜23に不具合又は故障が発生した場合も、不正アクセスがあったと検知される可能性が高い。
また、不正アクセス検知部64は、電源制御装置7から取得するECU21〜23の状態情報に基づき、ECU21〜23のクロック周波数、消費電力、消費電流、又は起動時間(起動されてから最初にCANメッセージを送信するまでの時間)が規定されている範囲内であるか否かを判断する。不正アクセス検知部64は、電源制御装置7から取得した状態情報に基づき、上述の各種情報が規定範囲外であると判断した場合、不正アクセスがあったと検知する。
制御部60は、不正アクセス検知部64により不正アクセスが検知された場合、不正アクセスの可能性を示す警告をメータ51に表示させ、スピーカから警告音を出力させるべく、ECU22への警告情報の送信を第1通信部61へ指示する。
記憶部65は、書き換え可能なフラッシュメモリ等の不揮発性メモリであり、制御部60が読み出すプログラム67を記憶する。なお、記憶部65の代替として、EEPROM(登録商標)などの不揮発性メモリを用いてもよい。また記憶部65は、不正アクセス検知部64により不正アクセスが検知された場合に、ログ情報68の記録先として使用される。
一時記憶部66は、RAMを用いる。そして一時記憶部66は、送受信バッファとして利用される。制御部60は、第1通信部61又は第2通信部62にて受信したCANメッセージ、及び、第1通信部61又は第2通信部62にて送信するCANメッセージを一時記憶部66に一時的に記憶する。
なお、制御部60、第1通信部61及び第2通信部62におけるCANコントローラ部、記憶部65及び一時記憶部66でマイコンとして構成されていてよい。
電源制御装置7は、マイコン70と、マイコン70に接続されているスイッチ71〜73とを備えている。マイコン70は、専用線8を介してGW装置4と情報を送受信することが可能である。スイッチ71〜73は半導体リレー又は半導体ヒューズを用いる。スイッチ71〜73には、電源制御対象のECU21〜23が接続されている。スイッチ71〜73は、マイコン70から電源オン/オフを示す制御信号を入力し、制御信号に基づき接続されている電源制御対象のオン/オフを制御すると共に、電源制御対象の状態情報を取得することが可能である。
このように構成される車載通信システムにおけるGW装置6による中継処理について、フローチャートを参照しながら詳細を説明する。
図6は、実施の形態2におけるGW装置6による中継処理の内、CANメッセージを受信した際の処理手順の一例を示すフローチャートである。制御部60へ、受信割込が通知された場合、制御部60は以下の処理を実行する。
図6は、実施の形態2におけるGW装置6による中継処理の内、CANメッセージを受信した際の処理手順の一例を示すフローチャートである。制御部60へ、受信割込が通知された場合、制御部60は以下の処理を実行する。
制御部60は、受信したCANメッセージのCANID、及び受信した通信バス(通信バス11又は通信バス12)を特定する(ステップS401)。
制御部60は、受信したCANメッセージに基づき、不正アクセス検知部64により不正アクセスが検知されたか否かを判断する(ステップS402)。
制御部60は、不正アクセスが検知されないと判断した場合(S402:NO)、電源制御装置7からECU21〜23の状態情報を取得する(ステップS403)。制御部60は、取得した状態情報に基づき、不正アクセス検知部64により不正アクセスが検知されたか否かを判断する(ステップS404)。
制御部60は、不正アクセスが検知されないと判断した場合(S404:NO)、特定したCANID及び通信バスに基づき、受信したCANメッセージに中継要の信号情報が含まれているか否かを判断する(ステップS405)。制御部60は、ステップS405にて中継要の信号情報が含まれていると判断した場合(S405:YES)、受信したCANメッセージから必要な信号情報を抽出する(ステップS406)。制御部60は、抽出した信号情報を一時記憶部66に一時的に記憶し(ステップS407)、受信処理を終了する。
制御部60は、ステップS402で不正アクセスが検知されたと判断した場合(S402:YES)、受信したCANメッセージを破棄し(ステップS408)、不正アクセスの可能性を示す警告をメータ51に表示させ、スピーカから警告音を出力させるべく、ECU22への警告情報を第1通信部61から出力させる(ステップS409)。制御部60は、保護されるべきECU(例えばECU21)へ、以後の通信を遮断するように指示するCANメッセージを送信し(ステップS410)、不正であると判断した根拠を含むログ情報68を記憶部65に記憶し(ステップS411)、処理を終了する。この場合、ECU22が復帰する場合はリセットなどが必要になる。ステップS410における通信を遮断するように指示するCANメッセージは、電源オフ状態への遷移を指示するメッセージであってもよい。
制御部60は、ステップS404で不正アクセスが検知されたと判断した場合(S404:YES)、ECU22への警告情報を第1通信部61から出力させる(ステップS412)。そして制御部60は、交換がされた可能性のあるECU21〜23のいずれかによる通信を以後禁止とし(ステップS413)、不正であると判断した根拠を含むログ情報68を記憶部65に記憶し(S411)、処理を終了する。なおステップS413では例えば、交換がされた可能性のあるECU21〜23へ、通信禁止を指示するCANメッセージを送信するか、電源制御装置7を介して電源を強制的にオフするなどの処理などが考えられる。
これにより、不正なECU21〜23の交換があった場合にこれを検知し、交換されたECU21〜23のいずれかが接続されている通信バス11又は通信バス12における通信は遮断、停止される。したがって、不正な情報を含むCANメッセージが中継されて被害が拡大されることを防止することが可能となる。また、不正アクセスが検知された場合、メータ51から警告表示、又はスピーカ52からの警告音が出力される。したがって、ユーザは不正アクセスに気付くことが可能であるから、ユーザはディーラへ連絡したり、ディーラへ車両を運搬したり、種々の適切な対処をとることができる。
GW装置6にて、中継処理の内のCANメッセージを送信する際の処理手順は、実施の形態1の図3のフローチャートに示した処理手順と同様であるので、詳細な説明を省略する。
実施の形態2におけるGW装置6による不正アクセス検知の処理手順について説明する。制御部60が第1通信部61及び第2通信部62により受信割込の通知を受けると、制御部60の指示に基づき、不正アクセス検知部64はまず、受信したCANメッセージに基づき不正アクセスを検知する処理を行なう。この処理手順は、実施の形態1の図3のフローチャートに示した処理手順と同様であるので詳細な説明を省略する。
図7は、実施の形態2におけるGW装置6による電源制御情報に基づく不正アクセス検知の処理手順の一例を示すフローチャートである。制御部60は、10ミリ秒などの一定時間の経過毎に、定期的に以下の処理を行なう。
制御部60は、接続部63から、電源制御装置7へECU21〜23の状態情報の取得指示を出力し、状態情報を取得する(ステップS51)。
不正アクセス検知部64は取得された状態情報に基づき、ECU21〜23における動作が規定範囲内にあるか否かを判断する(ステップS52)。具体的には、不正アクセス検知部64はECU21〜23のクロック周波数、消費電力、消費電流、又は起動時間(起動されてから最初にCANメッセージを送信するまでの時間)が規定されている範囲内であるか否かを判断する。
不正アクセス検知部64は、ステップS52にて規定範囲外であると判断した場合(S52:NO)、不正アクセスがあったと判断し(ステップS53)、処理を終了する。
不正アクセス検知部64は、ステップS52にて規定範囲内であると判断した場合(S52:YES)、第1通信部61及び第2通信部62における通信信号の波形に基づき、通信バス11又は通信バス12に接続されているECUが規定されたものであるか否か、即ち正当なECUであるか否かを判断する(ステップS54)。つまり不正アクセス検知部64は、ECU21〜23の代わりに不正なECUが通信バス11又は通信バス12に接続されていないか否かを判断する。不正アクセス検知部64は、規定されているものでないと判断した場合(S54:NO)、処理をステップS53へ進める。
不正アクセス検知部64は、通信装置は規定されているものであると判断した場合(S54:YES)、そのまま処理を終了する。この場合、不正アクセスは検知されなかったものと判断される。
このように実施の形態2では、GW装置6が、通信バス11及び通信バス12に接続されている通信装置が交換されたものでないか否かを判断し、車載通信システム内部からの不正アクセスをも適切に検知し、対処することが可能となる。
(実施の形態3)
実施の形態3では、GW装置自身が外部と通信する機能を有する構成とする。
実施の形態3における車載通信システムの構成の内、通信バス11及び通信バス12、ECU21〜23、メータ51、及びスピーカ52については実施の形態1における構成と同様である。したがって、共通する構成には同一の符号を付して詳細な説明を省略する。
実施の形態3では、GW装置自身が外部と通信する機能を有する構成とする。
実施の形態3における車載通信システムの構成の内、通信バス11及び通信バス12、ECU21〜23、メータ51、及びスピーカ52については実施の形態1における構成と同様である。したがって、共通する構成には同一の符号を付して詳細な説明を省略する。
図8は、実施の形態3における車載通信システムの構成を示すブロック図である。実施の形態3における車載通信システムは、複数の通信バス11及び通信バス12と、通信バス11,12夫々に複数接続されているECU21〜23と、通信バス11,12間の情報の中継処理を行なうGW装置9とを含む。
GW装置9は、制御部90と、第1通信部91と、第2通信部92と、車外通信部93と、入出力部94と、不正アクセス検知部95と、記憶部96と、一時記憶部97とを備えている。
制御部90は、CPUを用いる。制御部90は、記憶部96に記憶されているプログラム98に基づき、一時記憶部97を送信バッファ又は受信バッファとして用い、第1通信部91及び第2通信部92を介した送受信を実行して中継処理を実現する。制御部90は、MPUに代替されてもよい。
第1通信部91及び第2通信部92は夫々、CANコントローラ及びCANトランシーバを含み、CANプロトコルに基づいてCANメッセージの送受信を実現する。第1通信部91は通信バス11に、第2通信部92は通信バス12に接続されている。第1通信部91は、通信バス11に送信されたCANメッセージを検知すると、受信割込を制御部90に通知する。同様に第2通信部92は、接続されている通信バス12に送信されたCANメッセージを検知すると、受信割込を制御部90へ通知する。
車外通信部93は、無線通信機の機能を有し、サーバ100、クラウドサーバ101、又は車内に持ち込まれる通信端末装置102との通信を実現する。車外通信部93は、外部からの情報を検知すると、受信割込を制御部90へ通知する。サーバ100又はクラウドサーバ101は、車両メーカ又はディーラのサーバとしてサーバセンタに設置されている。車外通信部93は他に、GPS受信機、車車間通信機、路車間通信機、又は充電通信機の機能を有してもよい。制御部90は、車外通信部93により、サーバ100、クラウドサーバ101又は通信端末装置102から、適宜情報を受信する。例えば制御部90は、車外通信部93から、プログラム98の更新情報を受信し、プログラム98を更新したり、ユーザの趣向に合わせた地図情報を受信したりすることができる。また制御部90は、後述するように、不正アクセスが検知された場合に、ログ情報99をサーバ100又はクラウドサーバ101へ車外通信部93から送信することが可能である。
入出力部94は、ダイアグコネクタ等の接続インタフェースであり、ダイアグ端末103、又は記憶媒体104との情報の入出力を実現する。入出力部94は、自身へのダイアグ端末103又は記憶媒体104の接続を検知すると、受信割込を制御部90へ通知する。制御部90は、入出力部94により、ダイアグ端末103からの信号を入力し、ダイアグ情報をダイアグ端末103へ出力することができる。また制御部90は、後述するように不正アクセスが検知された場合に、ログ情報99を入出力部94から出力することが可能である。なお、入出力部94はUSB(Universal Serial Bus)等の接続インタフェースであってもよい。
不正アクセス検知部95は、車外通信システム外、及び車外通信システム内からの不正アクセスを検知する。不正アクセス検知部95は、制御部90がプログラム98を読み出して実行することによりソフトウェア的に実現される機能であってもよいし、チップ化されたハードウェア的に実現されてもよい。
不正アクセス検知部95は、車外通信部93により受信した情報(更新情報など)の内容、送信タイミング、認証情報などに基づき、受信した情報が正当なものであるか否かを判断し、不当であると判断した場合に不正アクセスがあったと検知する。また、不正アクセス検知部95は、入出力部94により入力された情報の内容に基づき、入力した情報が正当なものであるか否かを判断し、不当であると判断した場合に不正アクセスがあったと検知する。更に不正アクセス検知部95は、第1通信部91又は第2通信部92から受信したCANメッセージの送信(受信)タイミング、CANメッセージのCANID、CANメッセージに含まれるデータ内容又はデータ量、CANメッセージの送信元が既知のものと異なるか否かを判断し、異なる場合に、ECU21〜23が交換された、即ち不正アクセスがあったと検知する。不正アクセス検知部95は、ECU21〜23へのCANメッセージを送信した場合の応答が返信されるまでの時間が規定の範囲内であるか否かを判断し、範囲外の場合はECU21〜23のいずれかが交換された、即ち不正アクセスがあったと検知する。更に不正アクセス検知部95は、第1通信部91又は第2通信部92にて受信する通信信号の波形に基づき、通信バス11〜12のトポロジ(線長又はノード数等)の変化があるか否かを判断し、変化がある場合にECU21〜23のいずれかが交換された、即ち不正アクセスがあったと検知する。
記憶部96は、書き換え可能なフラッシュメモリ等の不揮発性メモリであり、制御部90が読み出すプログラム98を記憶する。なお、記憶部96の代替として、EEPROM(登録商標)などの不揮発性メモリを用いてもよい。また記憶部96は、不正アクセス検知部95により不正アクセスが検知された場合に、ログ情報99の記録先として使用される。
一時記憶部97は、RAMを用いる。そして一時記憶部97は、送受信バッファとして利用される。制御部90は、第1通信部91又は第2通信部92にて受信したCANメッセージ、及び、第1通信部91又は第2通信部92にて送信するCANメッセージを一時記憶部97に一時的に記憶する。
なお、制御部90、第1通信部91及び第2通信部92におけるCANコントローラ部、記憶部96及び一時記憶部97でマイコンとして構成されていてよい。
このように構成される車載通信システムにおけるGW装置9による中継処理についてフローチャートを参照しながら詳細を説明する。
図9は、実施の形態3におけるGW装置9による中継処理の内、情報を受信した際の処理手順の一例を示すフローチャートである。制御部90へ、受信割込が通知された場合、制御部90は以下の処理を実行する。
図9は、実施の形態3におけるGW装置9による中継処理の内、情報を受信した際の処理手順の一例を示すフローチャートである。制御部90へ、受信割込が通知された場合、制御部90は以下の処理を実行する。
制御部90は、第1通信部91又は第2通信部92により通信バス11又は通信バス12から情報を受信したか否か判断する(ステップS601)。制御部90は、第1通信部91又は第2通信部92により情報を受信したと判断した場合(S601:YES)、受信した情報、即ちCANメッセージのCANID、及び受信した通信バス(通信バス11又は通信バス12)を特定する(ステップS602)。制御部90は、特定したCANID及び通信バスに基づき、不正アクセス検知部95によりシステム内からの不正アクセスが検知されたか否かを判断する(ステップS603)。
制御部90は、不正アクセスが検知されないと判断した場合(S603:NO)、特定したCANID及び通信バスに基づき、受信したCANメッセージに中継要の信号情報が含まれているか否かを判断する(ステップS604)。制御部90は、ステップS604にて中継要の信号情報が含まれていると判断した場合(S604:YES)、受信したCANメッセージから必要な信号情報を抽出する(ステップS605)。制御部90は、抽出した信号情報を一時記憶部96に一時的に記憶し(ステップS606)、受信処理を終了する。
制御部90は、ステップS603にてシステム内から不正アクセスが検知されたと判断した場合(S603:YES)、受信したCANメッセージを破棄し(ステップS607)、不正アクセスの可能性を示す警告をメータ51に表示させ、スピーカから警告音を出力させるべく、ECU22への警告情報を第1通信部91から出力させる(ステップS608)。制御部90は、保護されるべきECU(例えばECU21)へ、以後の通信を遮断するように指示するCANメッセージを送信する(ステップS609)。制御部90は、不正であると判断した根拠を含むログ情報99を記憶部96に記憶し(ステップS610)、更に当該ログ情報を車外通信部93からサーバ100若しくはクラウドサーバ101へ送信し、(ステップS611)、処理を終了する。
なお、制御部90は、ステップS611の代替として、点検時に、入出力部94にダイアグ端末103又は記録媒体104、若しくはPC等が接続された場合に、記憶部96に記憶してあるログ情報99を出力し、記録させるようにしてもよい。
制御部90は、ステップS601にて車外通信部93又は入出力部94により情報を受信したと判断した場合(S601:NO)、受信した情報に基づき、不正アクセス検知部95によりシステム外からの不正アクセスが検知されたか否かを判断する(ステップS612)。
制御部90は、不正アクセスが検知されないと判断した場合(S612:NO)、処理をステップS604へ進める。
制御部90は、ステップS612にて不正アクセスが検知されたと判断した場合(S612:YES)、処理をステップS608へ進める。
これにより、不正なECU21〜23の交換があった場合など、システム内から不正アクセスがあった場合にこれを検知し、不正アクセスに係るCANメッセージは中継されない。システム外から不正アクセスがあった場合もこれを検知し、不正アクセスに係る情報は中継されない。したがって、車載通信システムを保護することが可能となる。また、不正アクセスが検知された場合、メータ51から警告表示、又はスピーカ52からの警告音が出力される。したがって、ユーザは不正アクセスに気付くことが可能であるから、ユーザはディーラへ連絡したり、ディーラへ車両を運搬したり、種々の適切な対処をとることができる。しかも、不正アクセスがあった場合には、ログ情報がディーラやメーカのサーバ100、又はクラウドサーバ101へ送信されるから、ディーラ又はメーカにて事前にログ情報を解析し、当該車両が持ち込まれた際に、迅速に適切な処理を行なうことも可能である。
実施の形態3におけるGW装置9による不正アクセス検知の処理手順について説明する。制御部90が第1通信部91及び第2通信部92により受信割込の通知を受けると、制御部90の指示に基づき、不正アクセス検知部95はまず、受信したCANメッセージに基づき不正アクセスを検知する処理を行なう。この処理手順は、実施の形態1の図3のフローチャートに示した処理手順と同様であるので詳細な説明を省略する。
図10は、実施の形態3におけるGW装置9によるシステム外からの不正アクセス検知の処理手順の一例を示すフローチャートである。制御部90が車外通信部93又は入出力部94から受信割込の通知を受けると、制御部90の指示に基づき不正アクセス検知部95が以下の処理を実行する。
不正アクセス検知部95は、受信した情報の内容が不当であるか否かを判断する(ステップS71)。具体的には、不正アクセス検知部95は、情報の内容が規定外であるか否か等を判断する。
不正アクセス検知部95は、ステップS71にて不当であると判断した場合(S71:YES)、不正アクセスがあったと判断し(ステップS72)、処理を終了する。
不正アクセス検知部95は、ステップS71にて正当であると判断した場合(S71:NO)、受信した情報が送信(受信)タイミングは不正であるか否かを判断する(ステップS73)。不正アクセス検知部95は、外部から受信する予定がある情報に対応付けて送信時間等の送信タイミングを記憶しておき、規定されている送信タイミングと異なる場合、不正であると判断する。
不正アクセス検知部95は、不正であると判断した場合(S73:YES)、処理をステップS72へ進める。
不正アクセス検知部95は、ステップS73にて送信タイミングは正当であると判断した場合(S73:NO)、接続されている機器は不当であるか否かを判断する(ステップS74)。不正アクセス検知部95は、例えば入出力部94に接続されるダイアグ端末103から、端末を識別する識別情報の入力を受け付け、当該識別情報が予め記憶してある識別情報と対応しない場合に不当であると判断する。また、例えば車外通信部93に通信端末装置102から接続された場合に、装置を識別する識別情報の入力を受け付け、当該識別情報が予め記憶してある識別情報と対応しない場合に不当であると判断するなどの方法が考えられる。
不正アクセス検知部95は、ステップS74にて接続されている機器は不当であると判断した場合(S74:YES)、処理をステップS72へ進める。
不正アクセス検知部95は、ステップS74にて接続されている機器は正当であると判断した場合(S74:NO)、そのまま処理を終了する。この場合、不正アクセスは検知されなかったものと判断される。
このように、実施の形態3ではGW装置9が、システム内外からの不正アクセスを適切に検知し、対処することが可能となる。ECU21〜23のいずれかが不当に交換された場合など、GW装置9がこれを検知し、ディーラのサーバ100又はクラウドサーバ101などへ通知することにより、車両が盗難されているなど緊急事態であることを外部から把握することも可能である。通信端末装置102から不当な更新が行なわれた場合などもこれをGW装置9が不正アクセスとして検知し、ディーラのサーバ100又はクラウドサーバ101などへ通知し、外部からこれを把握することも可能である。逆に、ユーザから、車両が盗難されているとの情報があった場合に、サーバ100又はクラウドサーバ101からGW装置9へ情報を送信し、GW装置9がこれに応じてシステム内の通信を遮断するなどの対処を行なうことも可能である。
上述の実施の形態では、本発明を、車載機器を制御する車載通信システムに適用した場合の例について説明した。しかしながら本発明はこれに限らず、FAにおける複数のECUを含む通信システム、又はOAにおける複数の通信機器を含む通信システムに適用し、各分野の通信システムにおける内部ネットワークの安全性を維持することが可能となる。
なお、上述のように開示された本実施の形態はすべての点で例示であって、制限的なものではないと考えられるべきである。本発明の範囲は、上記した意味ではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
11,12,13 通信バス
21,22,31,32 ECU(通信装置)
4,6,9 GW装置(中継装置)
40,60,90 制御部
41,61,91 第1通信部
42,62,92 第2通信部
43 第3通信部
44,64,95 不正アクセス検知部
45,65,96 記憶部
48,68,99 ログ情報
93 車外通信部
94 入出力部
21,22,31,32 ECU(通信装置)
4,6,9 GW装置(中継装置)
40,60,90 制御部
41,61,91 第1通信部
42,62,92 第2通信部
43 第3通信部
44,64,95 不正アクセス検知部
45,65,96 記憶部
48,68,99 ログ情報
93 車外通信部
94 入出力部
Claims (9)
- 複数の通信バスと、該複数の通信バスのいずれかに夫々接続されており、前記通信バスを介して情報を周期的に送受信する複数の通信装置と、前記複数の通信バスに夫々接続された複数の第1通信部を備え、該複数の第1通信部により情報を周期的に送受信し、異なる通信バス間での情報の中継を行なう第1中継手段を備える中継装置とを含む通信システムにおいて、
前記中継装置は、
前記複数の通信バス以外の他の媒体を介して1又は複数の他の通信装置との間で情報を送受信する第2通信部と、
該第2通信部にて送受信する情報を、前記複数の第1通信部の内のいずれかにより送受信し、前記他の通信バスと前記複数の通信バスとの間の中継を行なう第2中継手段と、
前記第2通信部から受信する情報の受信タイミング、1周期の間における情報の受信順序、受信する情報の情報長、及び受信する情報に含まれる数値範囲を、各情報の送信元の前記他の通信装置の識別情報に対応付けて予め記憶しておく記憶手段と、
前記複数の通信部から受信した情報の受信タイミングが、記憶してあるタイミングと異なるか否か、情報の受信順序が記憶してある順序と異なるか否か、受信した情報長が記憶してある情報長と異なるか否か、又は受信した情報に含まれる数値が前記数値範囲内にあるか否かにより、当該通信システムの外部からの不正アクセスがあったか否かを検知する不正アクセス検知手段と
を備えることを特徴とする通信システム。 - 前記不正アクセス検知手段は、
前記複数の第2通信部から受信した情報を表す信号の波形が、規定されている信号であるか否かにより、外部からの不正アクセスがあったか否かを更に検知する
ことを特徴とする請求項1に記載の通信システム。 - 前記他の通信装置は、前記中継装置から送信される情報に対して応答を返信するようにしてあり、
前記不正アクセス検知手段は、
前記複数の第2通信部から送信した情報への応答が返信されるまでの時間が、規定の範囲内にあるか否かにより、外部からの不正アクセスがあったか否かを更に検知する
ことを特徴とする請求項1又は2に記載の通信システム。 - 前記他の媒体は、通信バスであり、
前記他の通信装置は、更に他の媒体を介して外部と情報を入出力する手段を備える
ことを特徴とする請求項1乃至3のいずれかに記載の通信システム。 - 前記他の媒体は、無線通信媒体であること
を特徴とする請求項1乃至3のいずれかに記載の通信システム。 - 前記中継装置は、前記不正アクセス検知手段が不正アクセスを検知した場合、前記複数の通信装置の内の特定の通信装置へ、通信の遮断を指示する手段を更に備えること
を特徴とする請求項1乃至5のいずれかに記載の通信システム。 - 前記中継装置は、前記不正アクセス検知手段が不正アクセスを検知した場合、アクセス状況に関する情報を記録する記録手段を備えること
を特徴とする請求項1乃至6のいずれかに記載の通信システム。 - 前記中継装置は、前記記録手段が記録した情報を、当該通信システム外へ送信する手段を更に備えること
を特徴とする請求項7に記載の通信システム。 - 前記不正アクセス検知手段が不正アクセスを検知した場合、前記第2通信部による情報の送受信を禁止する手段を更に備えること
を特徴とする請求項1乃至7のいずれかに記載の通信システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012048463A JP5772666B2 (ja) | 2012-03-05 | 2012-03-05 | 通信システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012048463A JP5772666B2 (ja) | 2012-03-05 | 2012-03-05 | 通信システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013187555A JP2013187555A (ja) | 2013-09-19 |
| JP5772666B2 true JP5772666B2 (ja) | 2015-09-02 |
Family
ID=49388677
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012048463A Expired - Fee Related JP5772666B2 (ja) | 2012-03-05 | 2012-03-05 | 通信システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5772666B2 (ja) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6217469B2 (ja) * | 2014-03-10 | 2017-10-25 | トヨタ自動車株式会社 | 不正データ検出装置、及び通信システム並びに不正データ検出方法 |
| EP3128699B1 (en) * | 2014-04-03 | 2021-04-28 | Panasonic Intellectual Property Corporation of America | Network communication system, fraud detection electronic control unit and fraud handling method |
| JP6698190B2 (ja) * | 2014-04-03 | 2020-05-27 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正対処方法、不正検知電子制御ユニット、および、ネットワーク通信システム |
| JP2015207937A (ja) * | 2014-04-22 | 2015-11-19 | 株式会社デンソー | 通信装置 |
| EP3738836B1 (en) * | 2014-09-12 | 2022-03-02 | Panasonic Intellectual Property Corporation of America | Vehicle communication device, in-vehicle network system, and vehicle communication method |
| JP6306485B2 (ja) * | 2014-09-29 | 2018-04-04 | 日本電信電話株式会社 | 判別装置及び判別方法 |
| JP6573819B2 (ja) * | 2015-01-20 | 2019-09-11 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム |
| JP6603617B2 (ja) * | 2015-08-31 | 2019-11-06 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | ゲートウェイ装置、車載ネットワークシステム及び通信方法 |
| JP6296426B2 (ja) * | 2016-03-23 | 2018-03-20 | マツダ株式会社 | 緊急通報システム |
| WO2017178888A1 (en) * | 2016-04-12 | 2017-10-19 | Guardknox Cyber Technologies Ltd. | Specially programmed computing systems with associated devices configured to implement secure lockdowns and methods of use thereof |
| JP6674854B2 (ja) * | 2016-07-14 | 2020-04-01 | 日立オートモティブシステムズ株式会社 | 演算装置 |
| JP6512205B2 (ja) | 2016-11-14 | 2019-05-15 | トヨタ自動車株式会社 | 通信システム |
| JPWO2018146747A1 (ja) | 2017-02-08 | 2019-02-14 | 三菱電機株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
| JP2018157288A (ja) * | 2017-03-16 | 2018-10-04 | 本田技研工業株式会社 | 通信システム |
| JP6988893B2 (ja) * | 2017-06-14 | 2022-01-05 | 住友電気工業株式会社 | 車外通信装置、通信制御方法および通信制御プログラム |
| WO2019117184A1 (ja) | 2017-12-15 | 2019-06-20 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車載ネットワーク異常検知システム及び車載ネットワーク異常検知方法 |
| US12136300B2 (en) | 2019-03-14 | 2024-11-05 | Nec Corporation | On-vehicle security measure device, on-vehicle security measure method, and security measure system |
| JP6788717B1 (ja) * | 2019-09-20 | 2020-11-25 | 株式会社ラック | 接続装置、接続方法およびプログラム |
| JP7283427B2 (ja) * | 2020-03-25 | 2023-05-30 | トヨタ自動車株式会社 | 車両制御システム、攻撃判定方法及びプログラム |
| JP2021158454A (ja) * | 2020-03-25 | 2021-10-07 | トヨタ自動車株式会社 | 車両制御システム、データ送信方法及びプログラム |
| JP2020141414A (ja) * | 2020-05-11 | 2020-09-03 | 日立オートモティブシステムズ株式会社 | Ecu、ネットワーク装置 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11177586A (ja) * | 1997-12-16 | 1999-07-02 | Mitsubishi Electric Corp | プロセス入出力制御装置 |
| JP4942261B2 (ja) * | 2001-07-31 | 2012-05-30 | 株式会社デンソー | 車両用中継装置、及び、車内通信システム |
| JP2004179772A (ja) * | 2002-11-25 | 2004-06-24 | Sumitomo Electric Ind Ltd | 車載ゲートウェイ装置及び車載通信システム |
| JP2004247944A (ja) * | 2003-02-13 | 2004-09-02 | Sumitomo Electric Ind Ltd | 車内通信システム及び中継装置 |
| JP2005343430A (ja) * | 2004-06-07 | 2005-12-15 | Denso Corp | 車両制御システム |
| JP2007067812A (ja) * | 2005-08-31 | 2007-03-15 | Fujitsu Ten Ltd | フレーム監視装置 |
| JP2008001133A (ja) * | 2006-06-20 | 2008-01-10 | Tokai Rika Co Ltd | 車両用セキュリティ制御装置 |
| US7869906B2 (en) * | 2007-01-08 | 2011-01-11 | Ford Global Technologies | Wireless gateway apparatus and method of bridging data between vehicle based and external data networks |
| JP2008211637A (ja) * | 2007-02-27 | 2008-09-11 | Mitsubishi Electric Corp | Pon通信システム、局側装置及び加入者側装置 |
| JP5028202B2 (ja) * | 2007-09-28 | 2012-09-19 | 株式会社日立製作所 | 制御ネットワークシステム |
| JP5522160B2 (ja) * | 2011-12-21 | 2014-06-18 | トヨタ自動車株式会社 | 車両ネットワーク監視装置 |
| CN103999410B (zh) * | 2011-12-22 | 2017-04-12 | 丰田自动车株式会社 | 通信系统及通信方法 |
-
2012
- 2012-03-05 JP JP2012048463A patent/JP5772666B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2013187555A (ja) | 2013-09-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5772666B2 (ja) | 通信システム | |
| JP6741559B2 (ja) | 評価装置、評価システム及び評価方法 | |
| US11356475B2 (en) | Frame transmission prevention apparatus, frame transmission prevention method, and in-vehicle network system | |
| JP6024564B2 (ja) | 車載通信システム | |
| JP5741480B2 (ja) | 通信システム、中継装置及び電源制御方法 | |
| JP6477281B2 (ja) | 車載中継装置、車載通信システム及び中継プログラム | |
| JP6594732B2 (ja) | 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム | |
| JP5423754B2 (ja) | バス監視セキュリティ装置及びバス監視セキュリティシステム | |
| US9575476B2 (en) | System and method to protect against local control failure using cloud-hosted control system back-up processing | |
| CA2582478C (en) | Dual protocol handheld field maintenance tool with radio-frequency communication | |
| US10192379B2 (en) | System and method for mitigating relay station attack | |
| WO2018173732A1 (ja) | 車載通信装置、コンピュータプログラム及びメッセージ判定方法 | |
| WO2016080417A1 (ja) | CAN(Controller Area Network)通信システム及びエラー情報記録装置 | |
| US20220385553A1 (en) | Vehicle-mounted relay device and information processing method | |
| JP2016127299A (ja) | 中継装置及びネットワーク構築方法 | |
| KR20060118471A (ko) | 네트워크에서 디바이스의 도난 방지를 위한 방법 및 장치 | |
| EP3759952A1 (en) | Traffic management of proprietary data in a network | |
| JP7192747B2 (ja) | 車載中継装置及び情報処理方法 | |
| WO2018037894A1 (ja) | 車両用認証装置 | |
| CN109094506A (zh) | 安全气囊控制器的监控装置以及安全气囊系统 | |
| KR20250035260A (ko) | 배터리 시스템 및 이의 보안 방법 | |
| JP2007128436A (ja) | フィールド通信システム | |
| JP2007080194A (ja) | 制御システム及び制御システムのパラメータ設定方法 | |
| JP2013150059A (ja) | 中継装置 | |
| WO2017125978A1 (ja) | 評価装置、評価システム及び評価方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140627 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150305 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150310 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150508 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20150508 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150602 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150615 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5772666 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |