JP7307117B2 - 車載システム - Google Patents

車載システム Download PDF

Info

Publication number
JP7307117B2
JP7307117B2 JP2021065462A JP2021065462A JP7307117B2 JP 7307117 B2 JP7307117 B2 JP 7307117B2 JP 2021065462 A JP2021065462 A JP 2021065462A JP 2021065462 A JP2021065462 A JP 2021065462A JP 7307117 B2 JP7307117 B2 JP 7307117B2
Authority
JP
Japan
Prior art keywords
zone
ecu
control unit
vehicle
downstream
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021065462A
Other languages
English (en)
Other versions
JP2022160932A (ja
Inventor
潤 後藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yazaki Corp
Original Assignee
Yazaki Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yazaki Corp filed Critical Yazaki Corp
Priority to JP2021065462A priority Critical patent/JP7307117B2/ja
Priority to EP22160231.1A priority patent/EP4072065B1/en
Priority to CN202210215128.4A priority patent/CN115208605A/zh
Priority to US17/710,968 priority patent/US20220330025A1/en
Publication of JP2022160932A publication Critical patent/JP2022160932A/ja
Application granted granted Critical
Publication of JP7307117B2 publication Critical patent/JP7307117B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • B60R16/0232Circuits relating to the driving or the functioning of the vehicle for measuring vehicle parameters and indicating critical, abnormal or dangerous conditions
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0225Failure correction strategy
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02GINSTALLATION OF ELECTRIC CABLES OR LINES, OR OF COMBINED OPTICAL AND ELECTRIC CABLES OR LINES
    • H02G3/00Installations of electric cables or lines or protective tubing therefor in or on buildings, equivalent structures or vehicles
    • H02G3/02Details
    • H02G3/08Distribution boxes; Connection or junction boxes
    • H02G3/16Distribution boxes; Connection or junction boxes structurally associated with support for line-connecting terminals within the box
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Transportation (AREA)
  • Human Computer Interaction (AREA)
  • Health & Medical Sciences (AREA)
  • Civil Engineering (AREA)
  • Structural Engineering (AREA)
  • Architecture (AREA)
  • Medical Informatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、車載システムに関し、特にセキュリティ対策のための技術に関する。
車載システムにおいては、例えばインターネットなどを経由して、車両外部の機器からの不正な通信により攻撃を受ける可能性がある。また、車両上の多数の電子制御ユニット(ECU)のいずれか1つが不正な機器と交換されたり、不正な機器が車載通信ネットワークに直接接続される可能性があり、その場合は、車載通信ネットワーク上で不正な機器による攻撃が発生する。したがって、不正な機器の通信による攻撃に対して、車載システムの動作を保護し車両の安全を確保する必要がある。
例えば特許文献1には、攻撃を受けた車載機器からの不正な制御を停止する車載中継装置が開示されている。すなわち、車載機器間のデータの送受信を中継する車載中継装置は、第1の通信部又は第2の通信部から受信された受信データに不正がある場合、車両の走行状態に応じて中継を停止する。
特開2019-22210号公報
特許文献1のような車載中継装置を利用する場合には、不正な受信データを確実に検出する必要がある。したがって、車両外部からの攻撃を検知するために、車両上と車外との間で通信を中継するゲートウェイの箇所にファイアウォールを設置することが一般的に行われている。
一方、車載機器を、車載通信ネットワークに接続された不正な機器による攻撃から守るためには、車載通信ネットワークは、通信を行う車載機器毎に個別に所定の認証を行った上で、車載通信ネットワーク上の通信を暗号化するなどの対策を行う必要がある。
しかしながら、車載通信ネットワーク上に接続される車載機器の数は膨大であり、しかも車種、グレード、各種オプションの有無などの違いにより、実際に接続される車載機器の数や種類が様々に変化する。そのため、全ての車載機器に認証機能や暗号化通信の機能を搭載すると、車載システムのコストが大幅に上昇するという問題が発生する。また、認証処理や暗号化通信に起因して、車載機器間の通信の実効速度が低下する懸念もある。
本発明は、上述した事情に鑑みてなされたものであり、その目的は、車載通信ネットワークの全体について認証処理や暗号化通信を行わなくても、不正な機器の攻撃に対して安全を確保することが可能な車載システムを提供することにある。
前述した目的を達成するために、本発明に係る車載システムは、下記(1)~(5)を特徴としている。
(1) 車両上と車両外との間を跨ぐ通信のセキュリティを管理する上位制御部と、第1の車載通信網を介して前記上位制御部と接続され前記車両上の1つのゾーンを管理する1つ以上のゾーン制御部と、第2の車載通信網を介して前記ゾーン制御部の下流側に接続された複数の下位制御部とを有する車載システムであって、
前記ゾーン制御部が、
前記複数の下位制御部のそれぞれに対する電源電力供給を制御する電源制御部と、
前記複数の下位制御部のそれぞれの通信を制御する通信制御部と、
前記複数の下位制御部のそれぞれの異常の有無を検知する異常検知部とを備え、
前記異常検知部は、前記下位制御部のそれぞれについて、電源電流値と、通信レスポンス時間と、MACアドレスとを含む3以上の要素を監視し、前記要素の複数の異常を検知した場合に、該当する前記下位制御部の不正を認識する、
車載システム。
(2) 前記ゾーン制御部として、第1ゾーン制御部、及び第2ゾーン制御部がそれぞれ前記第1の車載通信網を介して前記上位制御部と接続され、
前記第1ゾーン制御部の下流側に、第1ゾーンの複数の下位制御部が接続され、
前記第2ゾーン制御部の下流側に、第2ゾーンの複数の下位制御部が接続され、
前記第1ゾーン制御部は前記第1ゾーンの前記複数の下位制御部に関するセキュリティ異常を検知する機能を有し、
前記第2ゾーン制御部は前記第2ゾーンの前記複数の下位制御部に関するセキュリティ異常を検知する機能を有する、
上記(1)に記載の車載システム。
(3) 前記第1の車載通信網は第1通信規格に従って制御され、
前記第2の車載通信網は、前記第1通信規格よりも低速の第2通信規格に従って制御される、
上記(1)又は(2)に記載の車載システム。
(4) 前記ゾーン制御部は、前記第2の車載通信網を介してその下流側に接続されている全ての前記下位制御部のそれぞれを監視対象とする、
上記(1)乃至(3)のいずれかに記載の車載システム。
(5) 前記ゾーン制御部は、不正を認識した場合に、該当する前記下位制御部に対する電源電力の供給を遮断すると共に、不正の発生を前記上位制御部に通知する、
上記(1)乃至(4)のいずれかに記載の車載システム。
上記(1)の構成の車載システムによれば、第2の車載通信網上で各下位制御部の認証処理や通信の暗号化処理を行わなくても、第2の車載通信網に接続された不正な機器の存在の有無を検出できる。したがって、大きなコスト上昇を伴うことなく、第2の車載通信網上の不正な機器からの攻撃に対して、車載システムのセキュリティを確保できる。しかも、要素の複数の異常を検知した場合に、異常検知部が該当する下位制御部の不正を認識するので、不正な機器と正規の機器とを高精度で識別できる。
上記(2)の構成の車載システムによれば、車両上の複数ゾーンのそれぞれを独立した複数のゾーン制御部で管理できるので、車載システムの適正な制御が容易になる。例えば、車載システムが、第1ゾーン制御部と第2ゾーン制御部を備えた場合には、車載システム上の多数の下位制御部を、これらの2つのゾーン制御部に振り分けて接続させることができるので、第2の車載通信網の通信速度が比較的低速であっても、各ゾーン制御部は、管理対象の複数の下位制御部の全ての状態を短時間で把握し、大きな遅延を生じることなく制御可能になる。
上記(3)の構成の車載システムによれば、車両内と車両外との間の通信や、車両上の複数ゾーン間の通信を高速で行うことができる。また、例えばイーサネット(登録商標)のように汎用性の高い通信規格を第1の車載通信網で使用することにより、既存の様々な技術を利用してファイアウォール等を構築しセキュリティを確保することが容易になる。また、例えばCAN (Controller Area Network)のように車載機器に適した通信規格を第2の車載通信網で使用することにより、多数の車載機器を低コストで接続することが容易になる。
上記(4)の構成の車載システムによれば、下流側に接続されている全ての下位制御部が監視対象になるので、車載システムの安全を確保することが容易になる。例えば、不正な機器が未登録の機器として下流側に接続されている場合や、不正な機器が登録済みの正規の機器になりすまして下流側に接続されている場合であっても、それらをゾーン制御部で監視することができる。
上記(5)の構成の車載システムによれば、不正が検知された機器に対して電源電力の供給が遮断されるので、不正な機器が攻撃するのをそれ以降は回避できる。また、不正な機器の存在を上位制御部が把握できるので、車載システムに対する安全の確保が容易になる。例えば、不正な機器から車外への通信や、その逆方向への通信を上位制御部で遮断することが可能である。
本発明の車載システムによれば、車載通信ネットワークの全体について認証処理や暗号化通信を行わなくても、不正な機器の攻撃に対して安全を確保することが容易になる。したがって、セキュリティ対策のコストを大幅に低減できる。
以上、本発明について簡潔に説明した。更に、以下に説明される発明を実施するための形態(以下、「実施形態」という。)を添付の図面を参照して通読することにより、本発明の詳細は更に明確化されるであろう。
図1は、本発明の実施形態に係る車載システムの構成を示すブロック図である。 図2は、ゾーンECUの主要部の構成を示すブロック図である。 図3は、ゾーンECUの主要動作の一部分を示すフローチャートである。 図4は、ゾーンECUの主要動作の残り部分を示すフローチャートである。 図5は、車載システムの変形例の構成を示すブロック図である。
本発明に関する具体的な実施形態について、各図を参照しながら以下に説明する。
<車載システムの構成>
図1は、本発明の実施形態に係る車載システム100の構成を示すブロック図である。
図1に示した車載システム100は、セントラルECU10、ゾーンECU20、下流ECU31、32、負荷41、42、43、44、上流側通信網51、下流側通信網52、電源供給線53、54、及び無線通信モジュール60を備えている。
負荷41~44は、例えばランプ、ホーン、監視カメラ、エアコンのように、この車両上の各部に補機として搭載されている各種電装品に相当する。
下流ECU31は、車両上の所定部位に配置されている負荷41、42等を制御するために必要な機能を搭載している。また、下流ECU31は、下流側通信網52と接続するための通信機能、及びマイクロコンピュータを備えている。更に、下流ECU31はそれ自身に予め割り当てられた固有のMAC(Media Access Control)アドレスを表す情報を保持するMACアドレス保持部31aを備えている。
下流ECU32は、車両上の所定部位に配置されている負荷43、44等を制御するために必要な機能を搭載している。また、下流ECU32は、下流側通信網52と接続するための通信機能、及びマイクロコンピュータを備えている。更に、下流ECU32はそれ自身に予め割り当てられた固有のMACアドレスを表す情報を保持するMACアドレス保持部32aを備えている。
ゾーンECU20は、車両上のあるゾーンを管理するようになっている。このゾーンは、例えば車両空間上の特定領域の割り当てや、機能上の特定グループへの割り当てなどを意味する。図1に示した例では、ゾーンECU20が管理しているゾーンの中に負荷41~44が含まれている。したがって、負荷41及び42を制御する下流ECU31と、負荷43及び44を制御する下流ECU32とがそれぞれゾーンECU20の下流側に接続されている。つまり、下流ECU31及び32はそれぞれゾーンECU20の管理下にある。
ゾーンECU20の通信系統の下流側と、下流ECU31及び32の通信系統の上流側とはそれぞれ共通の下流側通信網52に接続されている。この下流側通信網52は、例えばCAN (Controller Area Network)のような通信規格に従って制御され、比較的低速のデータ通信が可能になっている。
また、下流ECU31の電源供給線53はゾーンECU20の1つの出力と接続され、下流ECU32の電源供給線54はゾーンECU20の別の出力と接続されている。つまり、ゾーンECU20は下流ECU31に対する電源電力供給と、下流ECU32に対する電源電力供給とを個別に制御することができる。
ゾーンECU20は、下流側通信網52を介して下流ECU31及び32との間でそれぞれ個別にデータ通信を行うことができる。ゾーンECU20は、下流ECU31と通信する際に、MACアドレス保持部31aに保持されている下流ECU31の固有のMACアドレスにより、下流ECU31を認識することができる。また、ゾーンECU20は、下流ECU32と通信する際に、MACアドレス保持部32aに保持されている下流ECU32の固有のMACアドレスにより、下流ECU32を認識することができる。
また、ゾーンECU20が把握している下流ECU31のMACアドレス、及び下流ECU32のMACアドレスをそれぞれ保持するために、ゾーンECU20は、前回MACアドレス記憶部21bを備えている。詳細については後述するが、ゾーンECU20はMACアドレスやその他の情報を管理することで、下流側における何らかの攻撃や不正なECUなどを検知することができる。
なお、ゾーンECU20の下流側に図示しないスマートアクチュエータを接続しても良い。但し、そのスマートアクチュエータには下流側通信網52と接続するための通信機能を搭載すると共に、それに割り当てられた固有のMACアドレスの情報を下流側通信網52に送出できるように構成する必要がある。
ゾーンECU20の通信系統の上流側は、上流側通信網51を介してセントラルECU10と接続されている。上流側通信網51は、例えばイーサネット(登録商標)のような通信規格に従って制御され、比較的高速のデータ通信が可能になっている。
セントラルECU10は、車両上の複数のネットワークを統合的に管理すると共に、車両外部のインターネット等の通信網と安全に接続するための制御を実施する。図1の車載システム100においては、セントラルECU10は、上流側通信網51を介してゾーンECU20と接続されている。また、セントラルECU10は、無線通信モジュール60を介して車両外部と通信することができる。
セントラルECU10は、上流側通信網51上の通信、及び車両外部との通信に関し、一般的なサイバーセキュリティに対応した機能を備えている。すなわち、ファイアウォール、鍵管理、上位ECU間のメッセージ認証、暗号化通信などの機能をセントラルECU10、若しくは上流側通信網51上の他の上位ECU(図示せず)が管理している。
<ゾーンECUの構成>
図2は、ゾーンECU20の主要部の構成を示すブロック図である。
図2に示したゾーンECU20は、MACアドレス監視部21、通信レスポンス監視部22、電源電流監視部23、下流側異常判定部24、電源電力供給部25、及び電力供給制御部26を備えている。
また、MACアドレス監視部21は、通信レスポンス検出部22a、レスポンス閾値記憶部22b、及び通信レスポンス比較部22cを備えている。
MACアドレス取得部21aは、ゾーンECU20の下流側に接続されている全ての下位ECUのそれぞれから下流側通信網52を介した通信によりMACアドレスの情報を取得する。
前回MACアドレス記憶部21bは、ゾーンECU20の下流側に接続されている全ての下位ECUのそれぞれについて、前回取得したMACアドレスの情報を記憶する機能を有している。また、ゾーンECU20への電源供給が遮断された場合でも情報を保持できるように、前回MACアドレス記憶部21bは不揮発性メモリ上に配置されている。
MACアドレス比較部21cは、ゾーンECU20の下流側に接続されている全ての下位ECUのそれぞれについて、MACアドレス取得部21aが今回取得したMACアドレスと、前回MACアドレス記憶部21bに保持されている前回のMACアドレスとを比較する機能を有している。MACアドレス比較部21cは、各下位ECUの比較結果C1を下流側異常判定部24に出力する。
通信レスポンス監視部22は、通信レスポンス検出部22a、レスポンス閾値記憶部22b、及び通信レスポンス比較部22cを備えている。
通信レスポンス検出部22aは、ゾーンECU20の下流側に接続されている全ての下位ECUのそれぞれについて、ゾーンECU20がデータを送信してから各下位ECUからの応答を受信するまでの所要時間を通信レスポンスとして測定する機能を有している。
レスポンス閾値記憶部22bは、ゾーンECU20の下流側に接続されている全ての下位ECUのそれぞれについて、通信レスポンスの閾値(設定値)を表すデータを保持している。また、ゾーンECU20への電源供給が遮断された場合でも情報を保持できるように、レスポンス閾値記憶部22bは不揮発性メモリ上に配置されている。
通信レスポンス比較部22cは、ゾーンECU20の下流側に接続されている全ての下位ECUのそれぞれについて、通信レスポンス検出部22aが測定した通信レスポンスの時間の長さとレスポンス閾値記憶部22bが保持している閾値とを比較する機能を有している。通信レスポンス比較部22cは、各下位ECUの比較結果C2を下流側異常判定部24に出力する。
電源電流監視部23は、電源電流検出部23a、電流閾値記憶部23b、及び電源電流比較部23cを備えている。
一方、電源電力供給部25は複数の電源供給線53、54、55のいずれかを介して各下位ECUに電源電力を供給することができる。したがって、各電源供給線53、54、55に流れる電流から、各下位ECUが消費している電源電流及び電力の大きさを把握できる。
電源電流検出部23aは、複数の電源供給線53、54、55のそれぞれを流れる電流を検出し、各下位ECUに流れる電源電流の大きさを把握する。実際には、各電源供給線53、54、55に連続的に電流が流れているときの平均的な電流の大きさを検知する。
電流閾値記憶部23bは、ゾーンECU20の下流側に接続されている全ての下位ECUのそれぞれについて、電源電流の閾値(設定値)を表すデータを保持している。また、ゾーンECU20への電源供給が遮断された場合でも情報を保持できるように、電流閾値記憶部23bは不揮発性メモリ上に配置されている。
電源電流比較部23cは、ゾーンECU20の下流側に接続されている全ての下位ECUのそれぞれについて、電源電流検出部23aが検出した電源電流の大きさと電流閾値記憶部23bが保持している閾値とを比較する機能を有している。電源電流比較部23cは各下位ECUの比較結果C3を下流側異常判定部24に出力する。
下流側異常判定部24は、MACアドレス監視部21の比較結果C1、通信レスポンス監視部22の比較結果C2、及び電源電流監視部23の比較結果C3に基づき、ゾーンECU20の下流側に接続されている全ての下位ECUのそれぞれについて、異常の有無を個別に判定する。
下流側異常判定部24は、異常を検知した場合には電力制御信号SG1を電力供給制御部26に出力し、異常の検知された下位ECUに対する電源電力供給を電源電力供給部25が遮断するように制御する。また、下流側異常判定部24は異常を検知した下位ECUの情報を異常通知信号SG2により上流側通信網51を介してセントラルECU10に通知する。
<ゾーンECUの動作>
ゾーンECU20における主要な動作を図3及び図4に示す。なお、図3及び図4に示した動作は、ゾーンECU20の下流側の下流側通信網52に接続されている全ての下流ECU31、32のそれぞれに対して個別に実施される。また、図3及び図4に示した動作は、一定の時間周期で繰り返し実行される。
以下の説明においては、ゾーンECU20が図1中に示した下流ECU31の異常の有無を調べる場合を例に説明する。
ゾーンECU20は、車両のイグニッション(IG)がオフからオンに切り替わった後で、下位ECU毎のMACアドレス整合の確認をそれぞれ1回だけ実施する。既に実施した場合はS11からS16に進む。まだ実施してなければ、S11からS12に進みMACアドレス整合の確認を実施する。
ゾーンECU20のMACアドレス取得部21aは、下流側通信網52を介して該当する下流ECU31との間で通信を行い、下流ECU31のMACアドレスの情報を取得する(S12)。なお、MACアドレスの情報は全体で48ビット、すなわち6バイトのデータで構成されているが必ずしもその全体を取得する必要はない。例えば、MACアドレスの下位8ビット(1バイト)だけをS12で取得してもよい。また、同じ下流ECU31からMACアドレスの情報を所定回数、例えば16回、S12で繰り返し取得する。
ゾーンECU20のMACアドレス比較部21cは、下流ECU31から今回取得したMACアドレスの値と、前回MACアドレス記憶部21bが保持している前回のMACアドレスの値とを比較して一致しているか否かをS13で識別する。
また、MACアドレス比較部21cは、MACアドレスの整合を比較した回数をカウントするMACカウンタを備えている。そして、MACアドレス比較部21cは、S13でMACアドレスの一致を検出する毎に、MACカウンタをS14でカウントアップする。また、MACアドレスの不一致をS13で検出した場合は、S15でMACカウンタをリセットする。
MACアドレス比較部21cは、MACカウンタの値と事前に定めた設定値、例えば「16」とをS16で比較する。そして、MACカウンタの値が設定値以上であればS17に進み、設定値未満であればS18に進む。
例えば、ゾーンECU20は、S12で取得した下流ECU31のMACアドレスに不一致がない状態が16回連続的に生じた場合には、S16からS17に進み、MACアドレス比較部21cは、「MACアドレス不一致フラグ」を「0」にクリアする。
また、ゾーンECU20は、S12で取得した下流ECU31のMACアドレスの不一致を1回でも検知した場合には、S16からS18に進むので、MACアドレス比較部21cは「MACアドレス不一致フラグ」に「1」をセットする。
この「MACアドレス不一致フラグ」が、図2中の比較結果C1として下位ECU毎に下流側異常判定部24に出力される。
一方、ゾーンECU20の通信レスポンス検出部22aは、図4のS19で下流ECU31に対して所定のデータを送信する。そして、その直後に下流ECU31からのレスポンスを受信する(S20)。これにより、通信レスポンス検出部22aがデータを送信してから送信先からのレスポンスが戻ってくるまでのレスポンス時間を下位ECU毎に測定できる。
ゾーンECU20の通信レスポンス比較部22cは、S19、S20で測定した下流ECU31のレスポンス時間を、レスポンス閾値記憶部22bが保持している設定値と比較する(S21)。そして、S21の条件を満たす場合は通信レスポンス比較部22cがS22で下流ECU31の「通信レスポンス遅延フラグ」を「0」にクリアする。また、S21の条件を満たさない場合は、S23で下流ECU31の「通信レスポンス遅延フラグ」に「1」をセットする。
この「通信レスポンス遅延フラグ」が図2中の比較結果C2として下位ECU毎に下流側異常判定部24に出力される。
また、ゾーンECU20の電源電流検出部23aは、検査対象の下流ECU31が接続されている電源供給線53に流れる電源電流を測定し、電源電流比較部23cは電源電流検出部23aが測定した電流値と、電流閾値記憶部23bが保持している電流の設定値とを比較する(S24)。
そして、ゾーンECU20は、S24の条件を満たす場合はS25に進み、電源電流比較部23cは下流ECU31の「電流値増加フラグ」を「0」にクリアする。また、S24の条件を満たさない場合は、電源電流比較部23cはS26で下流ECU31の「電流値増加フラグ」に「1」をセットする。
この「電流値増加フラグ」は、図2中の比較結果C3として、下位ECU毎に下流側異常判定部24に出力される。
下流側異常判定部24は、比較結果C1、C2、C3を参照し、上記「MACアドレス不一致フラグ」、「通信レスポンス遅延フラグ」、及び「電流値増加フラグ」の合計値を下位ECU毎に算出し、それを「2」と比較する(S27)。
そして、同時に複数のフラグが立っている場合、つまりS27でフラグ合計値が2以上の場合には、下流側異常判定部24が異常検出とみなしS28の処理に進む。したがって、下流ECU31の異常を検知した場合は、下流ECU31と接続されている電源供給線53に対する電源供給を遮断するように、下流側異常判定部24が電力制御信号SG1をS28で制御する。また、下流ECU31の異常が発生したことを、下流側異常判定部24は上流側通信網51を介してセントラルECU10に通知する(S29)。
<検出される事象と不正ECUの攻撃との関係>
次に、検出される異常な事象と不正ECUの攻撃との関係について説明する。
(1)各下位ECUにおける消費電流増加の検出
(1a)サイバー攻撃を受けたと考えられるケース:
該当する下位ECU上で不正なプログラムが動作することで攻撃の前と比べて電源電力の消費が平均的に増大している。
(1b)サイバー攻撃を受けていないケース:
機能追加のために、該当する下位ECUに新たな補機(アクチュエータ等)が取り付けられ、電源電力の消費が平均的に増大している。
(2)各下位ECUにおける通信レスポンス低下の検出
(2a)サイバー攻撃を受けたと考えられるケース:
該当する下位ECU上で不正なプログラムが動作して処理が多くなり、正規の通信動作の処理に遅れが発生し、通信レスポンスが低下している。
(2b)サイバー攻撃を受けていないケース:
ノイズなどに起因して各下位ECUに発生する一時的な通信レスポンスの低下。
(3)各下位ECUのMACアドレス不一致の検出
(3a)サイバー攻撃を受けたと考えられるケース:
該当する下位ECUが正規のECUから不正なECUに交換された。
(3b)サイバー攻撃を受けていないケース:
故障などに対応するため、正規ディーラー以外で下位ECUが正規のECUと交換された後、所定の登録作業が行われていない。
したがって、上記(1)、(2)、及び(3)のいずれの異常を検出した場合でも、それだけでは該当する下位ECUが攻撃を受けているかどうかは判別不能である。しかし、上記(1)、(2)、及び(3)の複数が重なって同時に発生した場合には、該当する下位ECUがサイバー攻撃を受けている可能性が極めて高いと考えられる。
つまり、図4に示したS27で同じ下位ECUに対して2以上のフラグ異常を同時に検知した場合に、ゾーンECU20が該当する下位ECUを車載システム100上から排除するようにS28、S29で処理することにより、サイバー攻撃に対して安全を確保できる。しかも、末端の多数の下位ECUが接続される下流側通信網52上に各下位ECUを認証する機能や、通信を暗号化する機能などを追加する必要がないので、システム全体のコスト増大を抑制しつつ安全を確保することが容易になる。
<変形例>
図5は、車載システム100Aの変形例の構成を示すブロック図である。
図5の車載システム100Aにおいては、同じ車両上のゾーン1及びゾーン2を、それぞれ独立したゾーンECU20A及び20Bが管理している。ゾーンECU20A及び20Bは、それぞれ上流側通信網51を介してセントラルECU10と接続されている。
図5のゾーン1においては、下流ECU31に負荷41、42が接続され、下流ECU32に負荷43、44が接続されている。また、2つの下流ECU31、32が同じ下流側通信網52Aを介してゾーンECU20Aと接続されている。また、下流ECU31の電源供給線53Aと、下流ECU32の電源供給線54AはそれぞれゾーンECU20Aと接続されている。
図5のゾーン2においては、下流ECU33に負荷45が接続され、下流ECU34に負荷46が接続されている。また、2つの下流ECU33、34が同じ下流側通信網52Bを介してゾーンECU20Bと接続されている。また、下流ECU33の電源供給線53Bと、下流ECU34の電源供給線54BはそれぞれゾーンECU20Bと接続されている。
図5に示した2つのゾーンECU20A及び20Bの構成及び動作は、図1のゾーンECU20と同様である。したがって、ゾーンECU20Aはゾーン1において各下流ECU31、32の攻撃に対し安全を確保できる。また、ゾーンECU20Bはゾーン2において各下流ECU33、34の攻撃に対し安全を確保できる。
ここで、上述した本発明の実施形態に係る車載システムの特徴をそれぞれ以下[1]~[5]に簡潔に纏めて列記する。
[1] 車両上と車両外との間を跨ぐ通信のセキュリティを管理する上位制御部(セントラルECU10)と、第1の車載通信網(上流側通信網51)を介して前記上位制御部と接続され前記車両上の1つのゾーンを管理する1つ以上のゾーン制御部(ゾーンECU20)と、第2の車載通信網(下流側通信網52)を介して前記ゾーン制御部の下流側に接続された複数の下位制御部(下流ECU31、32)とを有する車載システム(100)であって、
前記ゾーン制御部が、
前記複数の下位制御部のそれぞれに対する電源電力供給を制御する電源制御部(電源電力供給部25)と、
前記複数の下位制御部のそれぞれの通信を制御する通信制御部(MACアドレス監視部21、通信レスポンス監視部22)と、
前記複数の下位制御部のそれぞれの異常の有無を検知する異常検知部(下流側異常判定部24)とを備え、
前記異常検知部は、前記下位制御部のそれぞれについて、電源電流値と、通信レスポンス時間と、MACアドレスとを含む3以上の要素を監視し、前記要素の複数の異常を検知した場合に、該当する前記下位制御部の不正を認識する(S27)、
車載システム。
[2] 前記ゾーン制御部として、第1ゾーン制御部(ゾーンECU20A)、及び第2ゾーン制御部(ゾーンECU20B)がそれぞれ前記第1の車載通信網(上流側通信網51)を介して前記上位制御部(セントラルECU10)と接続され、
前記第1ゾーン制御部の下流側に、第1ゾーン(ゾーン1)の複数の下位制御部(下流ECU31、32)が接続され、
前記第2ゾーン制御部の下流側に、第2ゾーン(ゾーン2)の複数の下位制御部(下流ECU33、34)が接続され、
前記第1ゾーン制御部は前記第1ゾーンの前記複数の下位制御部に関するセキュリティ異常を検知する機能を有し、
前記第2ゾーン制御部は前記第2ゾーンの前記複数の下位制御部に関するセキュリティ異常を検知する機能を有する、
上記[1]に記載の車載システム。
[3] 前記第1の車載通信網(上流側通信網51)は第1通信規格に従って制御され、
前記第2の車載通信網(下流側通信網52)は、前記第1通信規格よりも低速の第2通信規格に従って制御される、
上記[1]又は[2]に記載の車載システム。
[4] 前記ゾーン制御部(ゾーンECU20)は、前記第2の車載通信網を介してその下流側に接続されている全ての前記下位制御部(下流ECU31、32)のそれぞれを監視対象とする、
上記[1]乃至[3]のいずれかに記載の車載システム。
[5] 前記ゾーン制御部は、不正を認識した場合に、該当する前記下位制御部に対する電源電力の供給を遮断する(S28)と共に、不正の発生を前記上位制御部に通知する(S29)、
上記[1]乃至[4]のいずれかに記載の車載システム。
10 セントラルECU
20,20A,20B ゾーンECU
21 MACアドレス監視部
21a MACアドレス取得部
21b 前回MACアドレス記憶部
21c MACアドレス比較部
22 通信レスポンス監視部
22a 通信レスポンス検出部
22b レスポンス閾値記憶部
22c 通信レスポンス比較部
23 電源電流監視部
23a 電源電流検出部
23b 電流閾値記憶部
23c 電源電流比較部
24 下流側異常判定部
25 電源電力供給部
26 電力供給制御部
31,32,33,34 下流ECU
31a,32a MACアドレス保持部
41,42,43,44,45,46 負荷
51 上流側通信網
52,52A,52B 下流側通信網
53,53A,53B,54,54A,54B,55 電源供給線
60 無線通信モジュール
100,100A 車載システム
C1,C2,C3 比較結果
SG1 電力制御信号
SG2 異常通知信号

Claims (5)

  1. 車両上と車両外との間を跨ぐ通信のセキュリティを管理する上位制御部と、第1の車載通信網を介して前記上位制御部と接続され前記車両上の1つのゾーンを管理する1つ以上のゾーン制御部と、第2の車載通信網を介して前記ゾーン制御部の下流側に接続された複数の下位制御部とを有する車載システムであって、
    前記ゾーン制御部が、
    前記複数の下位制御部のそれぞれに対する電源電力供給を制御する電源制御部と、
    前記複数の下位制御部のそれぞれの通信を制御する通信制御部と、
    前記複数の下位制御部のそれぞれの異常の有無を検知する異常検知部とを備え、
    前記異常検知部は、前記下位制御部のそれぞれについて、電源電流値と、通信レスポンス時間と、MACアドレスとを含む3以上の要素を監視し、前記要素の複数の異常を検知した場合に、該当する前記下位制御部の不正を認識する、
    車載システム。
  2. 前記ゾーン制御部として、第1ゾーン制御部、及び第2ゾーン制御部がそれぞれ前記第1の車載通信網を介して前記上位制御部と接続され、
    前記第1ゾーン制御部の下流側に、第1ゾーンの複数の下位制御部が接続され、
    前記第2ゾーン制御部の下流側に、第2ゾーンの複数の下位制御部が接続され、
    前記第1ゾーン制御部は前記第1ゾーンの前記複数の下位制御部に関するセキュリティ異常を検知する機能を有し、
    前記第2ゾーン制御部は前記第2ゾーンの前記複数の下位制御部に関するセキュリティ異常を検知する機能を有する、
    請求項1に記載の車載システム。
  3. 前記第1の車載通信網は第1通信規格に従って制御され、
    前記第2の車載通信網は、前記第1通信規格よりも低速の第2通信規格に従って制御される、
    請求項1又は請求項2に記載の車載システム。
  4. 前記ゾーン制御部は、前記第2の車載通信網を介してその下流側に接続されている全ての前記下位制御部のそれぞれを監視対象とする、
    請求項1乃至請求項3のいずれか1項に記載の車載システム。
  5. 前記ゾーン制御部は、不正を認識した場合に、該当する前記下位制御部に対する電源電力の供給を遮断すると共に、不正の発生を前記上位制御部に通知する、
    請求項1乃至請求項4のいずれか1項に記載の車載システム。
JP2021065462A 2021-04-07 2021-04-07 車載システム Active JP7307117B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2021065462A JP7307117B2 (ja) 2021-04-07 2021-04-07 車載システム
EP22160231.1A EP4072065B1 (en) 2021-04-07 2022-03-04 In-vehicle system for abnormality detection
CN202210215128.4A CN115208605A (zh) 2021-04-07 2022-03-07 车载***
US17/710,968 US20220330025A1 (en) 2021-04-07 2022-03-31 In-vehicle system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021065462A JP7307117B2 (ja) 2021-04-07 2021-04-07 車載システム

Publications (2)

Publication Number Publication Date
JP2022160932A JP2022160932A (ja) 2022-10-20
JP7307117B2 true JP7307117B2 (ja) 2023-07-11

Family

ID=80736017

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021065462A Active JP7307117B2 (ja) 2021-04-07 2021-04-07 車載システム

Country Status (4)

Country Link
US (1) US20220330025A1 (ja)
EP (1) EP4072065B1 (ja)
JP (1) JP7307117B2 (ja)
CN (1) CN115208605A (ja)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016111477A (ja) 2014-12-04 2016-06-20 トヨタ自動車株式会社 通信システム、及びゲートウェイ
WO2019021402A1 (ja) 2017-07-26 2019-01-31 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 通信装置、通信方法および通信システム
JP2019029993A (ja) 2017-07-26 2019-02-21 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 異常検知装置および異常検知方法
US20190173862A1 (en) 2016-08-03 2019-06-06 Lg Electronics Inc. Vehicle and method for controlling same
JP2019180005A (ja) 2018-03-30 2019-10-17 パナソニックIpマネジメント株式会社 通信遮断システム、通信遮断方法及びプログラム
JP2019209945A (ja) 2018-06-08 2019-12-12 住友電装株式会社 車載制御装置、制御プログラム及び制御方法
JP2019219709A (ja) 2018-06-15 2019-12-26 オムロン株式会社 サイバー攻撃通知装置及び通知方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7020990B2 (ja) 2017-07-19 2022-02-16 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載中継装置、中継方法及びプログラム
EP3665601A4 (en) * 2017-08-10 2021-04-21 Argus Cyber Security Ltd SYSTEM AND METHOD FOR DETECTING USING A COMPONENT CONNECTED TO AN IN-VEHICLE NETWORK
JP7074004B2 (ja) * 2018-09-25 2022-05-24 株式会社オートネットワーク技術研究所 中継装置システム及び中継装置
WO2021038869A1 (ja) * 2019-08-30 2021-03-04 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車両監視装置および車両監視方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016111477A (ja) 2014-12-04 2016-06-20 トヨタ自動車株式会社 通信システム、及びゲートウェイ
US20190173862A1 (en) 2016-08-03 2019-06-06 Lg Electronics Inc. Vehicle and method for controlling same
WO2019021402A1 (ja) 2017-07-26 2019-01-31 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 通信装置、通信方法および通信システム
JP2019029993A (ja) 2017-07-26 2019-02-21 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 異常検知装置および異常検知方法
JP2019180005A (ja) 2018-03-30 2019-10-17 パナソニックIpマネジメント株式会社 通信遮断システム、通信遮断方法及びプログラム
JP2019209945A (ja) 2018-06-08 2019-12-12 住友電装株式会社 車載制御装置、制御プログラム及び制御方法
JP2019219709A (ja) 2018-06-15 2019-12-26 オムロン株式会社 サイバー攻撃通知装置及び通知方法

Also Published As

Publication number Publication date
JP2022160932A (ja) 2022-10-20
CN115208605A (zh) 2022-10-18
EP4072065A1 (en) 2022-10-12
EP4072065B1 (en) 2023-04-26
US20220330025A1 (en) 2022-10-13

Similar Documents

Publication Publication Date Title
US9471770B2 (en) Method and control unit for recognizing manipulations on a vehicle network
Palanca et al. A stealth, selective, link-layer denial-of-service attack against automotive networks
Matsumoto et al. A method of preventing unauthorized data transmission in controller area network
US11356475B2 (en) Frame transmission prevention apparatus, frame transmission prevention method, and in-vehicle network system
JP7075886B2 (ja) ブロードキャストバスフレームフィルタ
CN105917629B (zh) 通过鉴权的时间测量的安全的网络接入保护
US9154509B2 (en) Intelligent electric device and network system including the device
WO2019193786A1 (ja) ログ出力方法、ログ出力装置及びプログラム
US11784871B2 (en) Relay apparatus and system for detecting abnormalities due to an unauthorized wireless transmission
KR101966345B1 (ko) Can 통신 기반 우회 공격 탐지 방법 및 시스템
US20220182404A1 (en) Intrusion path analysis device and intrusion path analysis method
KR101972457B1 (ko) Can 통신 기반 해킹공격 탐지 방법 및 시스템
Kwon et al. Mitigation mechanism against in-vehicle network intrusion by reconfiguring ECU and disabling attack packet
JP7024069B2 (ja) 車両の制御機器に対する攻撃を検出する方法
WO2021234499A1 (en) System and method for detection and prevention of cyber attacks at in-vehicle networks
JP7307117B2 (ja) 車載システム
US9298175B2 (en) Method for detecting abnormal traffic on control system protocol
CN112104608A (zh) 一种车辆信息安全防护方法、***及存储介质
US11945451B2 (en) Electronic anomaly detection unit for use in a vehicle, and method for detecting an anomaly in a component of a vehicle
JP2016129314A (ja) 車載ネットワーク
JP2022024266A (ja) ログ分析装置
WO2020137852A1 (ja) 情報処理装置
KR20200082485A (ko) 이더넷 스위치 연결 제어 장치 및 방법
JP7420623B2 (ja) 車載通信システム及び通信制御方法
US20220394470A1 (en) Method and control unit for detecting unauthorised data traffic in a packet-oriented data network of a motor vehicle, and corresponding motor vehicle

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220805

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230619

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230627

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230629

R150 Certificate of patent or registration of utility model

Ref document number: 7307117

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150