CN112889259A - 不正常帧检测装置以及不正常帧检测方法 - Google Patents
不正常帧检测装置以及不正常帧检测方法 Download PDFInfo
- Publication number
- CN112889259A CN112889259A CN202080005603.4A CN202080005603A CN112889259A CN 112889259 A CN112889259 A CN 112889259A CN 202080005603 A CN202080005603 A CN 202080005603A CN 112889259 A CN112889259 A CN 112889259A
- Authority
- CN
- China
- Prior art keywords
- service
- frame
- communication
- zone
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/48—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mechanical Engineering (AREA)
- Small-Scale Networks (AREA)
Abstract
提供一种能够在抑制通信时的额外开销的同时,防止不正常的ECU冒充正规的服务器或客户端的不正常帧检测装置以及不正常帧检测方法。不正常帧检测装置具备:多个网络各自所对应的多个通信端口、通信控制部、以及不正常帧检测部,多个通信端口各自与多个网络之中的对应的预定的网络连接,经由预定的网络进行帧的收发,不正常帧检测部判断帧所包含的、服务的标识符、服务的类型、端口信息是否符合预先确定的许可规则,并输出判断的结果。
Description
技术领域
本公开涉及关于车载网络安全技术的不正常帧检测装置以及不正常帧检测方法。
背景技术
近年来,在汽车中的系统配置许多被称为电子控制单元(Electronic ControlUnit,以下称为ECU)的装置。将连接这些ECU的网络称为车载网络。
车载网络存在许多标准,而其中最主流的车载网络之一,存在Controller AreaNetwork即控制器局域网络(以后,称为CAN(注册商标))这一标准。
另一方面,伴随自动驾驶、车联网(Connected Cars)的普及,可以预想车载网络流量的增大,车载以太网(注册商标)的普及不断发展。在车载以太网中,使得从以往那样的信号指向型通信导入服务指向型通信,也能够实现开发过程的有效化。作为服务指向型通信的实现方法,Service Oriented Middle WarE Over Internet Protocol即基于IP的可扩展面向服务的中间件(以下SOME/IP)规定了AUTomotive Open System ARchitecture(AUTOSAR)即汽车开放系统架构。
在SOME/IP通信中,也与CAN同样地考虑到由不正常的节点导致的冒充攻击的威胁。已经公开了对于这样的威胁,在以往的IP通信中使用的、使用加密通信防止由不正常的节点进行的通信的方法(例如,参照非专利文献1以及非专利文献2)。
现有技术文献
非专利文献
非专利文献1:RFC5406:Guidelines for Specifying the Use of IPsecVersion2
非专利文献2:IEEE 802.1AE:MAC Security
发明内容
发明要解决的问题
然而,在非专利文献1或非专利文献2的方法中,为了使用加密通信,需要由收发节点进行的加密以及解密处理而产生额外开销。而且密钥管理变得重要,在密钥泄露了的情况下,有可能导致冒充攻击。
因此,本公开提供一种能够在抑制通信时的额外开销的同时,防止不正常的ECU冒充正规的服务器或客户端的不正常帧检测装置等。
用于解决问题的手段
为了解决上述问题,本公开的一技术方案的不正常帧检测装置,是由多个电子控制单元和多个网络构成的车载网络系统中的不正常帧检测装置,所述多个电子控制单元通过服务指向型通信,经由所述不正常帧检测装置进行通信,所述不正常帧检测装置具备:所述多个网络各自所对应的多个通信端口、通信控制部、以及不正常帧检测部,所述多个通信端口各自与所述多个网络之中的对应的预定的网络连接,具有经由所述预定的网络与所述预定的网络所连接的电子控制单元进行帧的收发的接口,所述通信控制部,在所述多个通信端口之中的任一个通信端口接收到帧的情况下,进行传送控制以使得:从所述多个通信端口之中的除了接收到所述帧的通信端口以外的通信端口发送所述帧送,所述不正常帧检测部,判断所述帧所包含的服务的标识符、表示发送了所述帧的电子控制单元是服务的提供方还是服务的接受方的服务的类型、以及用于识别接收到所述帧的通信端口的端口信息是否符合预先确定的许可规则,并输出所述判断的结果。
发明效果
根据本公开,能够在抑制通信时的额外开销的同时,防止不正常的ECU冒充正规的服务器或客户端这一情况的发生。
附图说明
图1是表示实施方式1中的车载网络系统的整体构成的图。
图2是表示实施方式1中的SOME/IP SD的消息格式的图。
图3是表示实施方式1中的SOME/IP SD的消息的一例的图。
图4是表示实施方式1中的Zone ECU的构成的图。
图5是表示实施方式1中的制动器ECU的构成的图。
图6是表示实施方式1中的密钥的一例的图。
图7是表示实施方式1中的模式与车辆状态的一例的图。
图8是表示实施方式1中的许可表所保存的许可规则的一例的图。
图9是表示是实施方式1中的、由Zone ECU实现的初始化模式中的许可表的登记时序的图。
图10是表示实施方式1中的、由Zone ECU实现的切断通常模式中的不正常的帧的时序的图。
图11是表示实施方式1中的、由Zone ECU实现的通常模式中的许可表的更新时序的图。
图12是实施方式1中的、由Zone ECU实现的整体处理的流程图。
图13是实施方式1中的、由Zone ECU实现的模式变更处理的流程图。
图14是其他变形例(3)中的、由Zone ECU实现的整体处理的流程图。
图15是表示其他变形例(4)中的、声明(Manifest)文件的一例的图。
图16是使其他变形例(4)以及变形例(5)组合时的、由Zone ECU实现的整体处理的流程图。
具体实施方式
本公开的一实施技术方案的不正常帧检测装置,是由多个电子控制单元和多个网络构成的车载网络系统中的不正常帧检测装置,所述多个电子控制单元通过服务指向型通信,经由所述不正常帧检测装置进行通信,所述不正常帧检测装置具备:所述多个网络各自所对应的多个通信端口、通信控制部、以及不正常帧检测部,所述多个通信端口各自与所述多个网络之中的对应的预定的网络连接,具有经由所述预定的网络与所述预定的网络所连接的电子控制单元进行帧的收发的接口,所述通信控制部,在所述多个通信端口之中的任一个通信端口接收到帧的情况下,进行传送控制以使得:从所述多个通信端口之中的除了接收到所述帧的通信端口以外的通信端口发送所述帧送,所述不正常帧检测部,判断所述帧所包含的服务的标识符、表示发送了所述帧的电子控制单元是服务的提供方还是服务的接受方的服务的类型、以及用于识别接收到所述帧的通信端口的端口信息是否符合预先确定的许可规则,并输出所述判断的结果。
例如,多个通信端口各自所连接的ECU被预先决定、即,从该ECU向与该ECU连接的通信端口发送的帧所包含的服务的标识符、服务的类型以及端口信息被预先决定。也就是说,能够将多个通信端口各自接收的正规的帧所包含的服务的标识符、服务的类型以及端口信息预先确定为许可规则,在之后接收到的帧所包含的这些信息不符合许可规则的情况下,可知发送了不正常的帧。这样,能够基于服务指向型通信的、服务器或客户端的物理配置和服务的内容来检测帧(以下也称为消息)的不正常,车载网络系统的安全性得以提高。另外,由于不需要由收发节点进行的加密以及解密处理,所以能够在抑制通信时的额外开销的同时,防止不正常的ECU冒充正规的服务器或客户端这一情况的发生。
另外,也可以是,所述通信控制部,在所述多个通信端口之中的任一个通信端口接收到帧的情况下,在所述帧所包含的所述服务的标识符、所述服务的类型、以及所述端口信息不符合所述许可规则时,不对所述帧进行所述传送控制。
由此,该情况下,由于知晓所接收到的帧是不正常的帧,所以能够防止将不正常的帧向其他ECU传送,车载网络系统的安全性得以提高。
另外,也可以是,所述不正常帧检测装置还具备规则更新部,所述规则更新部,在所述多个通信端口之中的任一个通信端口接收到包含与电子控制单元利用的服务相关的声明信息的帧的情况下,基于所述声明信息、和识别接收到包含所述声明信息的所述帧的通信端口的端口信息,更新所述许可规则。
例如,在因车辆的更新(update)等、ECU提供的服务发生了变更的情况下,有时需要更新许可规则。因此,使不正常帧检测装置的通信端口所连接的ECU发送包含自身利用的服务、例如,表示自身的作用的声明信息的帧。由此,基于声明信息、和端口信息即消息的发送源的物理配置,能够更新许可规则。
另外,也可以是,所述不正常帧检测装置还具备规则生成部,所述规则生成部在所述车载网络系统的初回启动时,基于所述多个通信端口接收到的帧所包含的所述服务的标识符、所述服务的类型、以及所述端口信息,生成所述许可规则。
车载网络系统的初回启动,例如在车辆进入市场之前的车辆工厂等进行,初回启动时的车载网络处于安全状态,不正常帧检测装置接收的帧是正规的帧。因此,以由处于这样的安全状态的车载网络系统观测的通信为基础,能够生成用于检测不正常的帧的许可规则。另外,在车载网络的初回启动时能够自动生成许可规则,非常有效率。
另外,也可以是,所述不正常帧检测装置还具备车辆状态判定部,所述车辆状态判定部基于在所述多个网络中流动的帧,判定搭载所述车载网络系统的车辆的状态,所述不正常帧检测部,判断所述服务的标识符、所述服务的类型、所述端口信息、进而所述车辆的状态是否符合所述许可规则。
例如,像只在车辆停车时利用的服务、只在车辆行驶时利用的服务这样,存在已经决定了服务被利用时的车辆状态的服务。因此,以服务被利用的车辆状态、和服务器或客户端的物理配置为基础,能够检测不正常的帧,车载网络系统的安全性得以提高。
另外,也可以是,所述车辆状态判定部判定所述车辆的状态是否是自动驾驶模式,所述不正常帧检测部只有在所述服务的标识符是与自动驾驶相关的服务的情况下,才判断所述服务的标识符、所述服务的类型、所述端口信息、以及所述车辆的状态是否符合所述许可规则,所述许可规则包含所述车辆的状态是自动驾驶模式这一规则。
与自动驾驶相关的服务尤其需要提高安全性。因此,通过将检测不正常的帧限定于与自动驾驶相关的服务,能够进行与自动驾驶相关的服务被利用的时机中的、不正常的帧的检测,车载网络系统的安全性得以提高。
另外,也可以是,所述服务指向型通信是基于ip的可扩展面向服务中间件即Scalable Service Oriented MiddlewarE over IP(SOME/IP),所述服务的类型包含Offer即提供、Find即查找、Subscribe即订阅以及Subscribe Ack即订阅应答中的任一个。
由此,在SOME/IP的Service Discovery即服务发现阶段,能够进行不正常的帧的检测,能够阻止不正常的服务器或客户端与正常的客户端或服务器间的会话建立。
另外,本公开的一技术方案的不正常帧检测方法,是由多个电子控制单元和多个网络构成的车载网络系统中的、不正常帧检测装置的不正常帧检测方法,所述多个电子控制单元通过服务指向型通信,经由所述不正常帧检测装置进行通信,所述不正常帧检测装置具备所述多个网络各自所对应的多个通信端口,所述多个通信端口各自与所述多个网络之中的对应的预定的网络连接,具有经由所述预定的网络与所述预定的网络所连接的电子控制单元进行帧的收发的接口,所述不正常帧检测方法包括:传送控制步骤,在所述多个通信端口之中的任一个通信端口接收到帧的情况下,进行传送控制以使得:从所述多个通信端口之中的除了接收到所述帧的通信端口以外的通信端口发送所述帧;和不正常帧检测步骤,判断所述帧所包含的服务的标识符、表示发送了所述帧的电子控制单元是服务的提供方还是服务的接受方的服务的类型、以及用于识别接收到所述帧的通信端口的端口信息是否符合预先确定的许可规则,并输出所述判断的结果。
由此,能够基于服务指向型通信的、服务器或客户端的物理配置和服务的内容来检测消息的不正常,车载网络系统的安全性得以提高。另外,能够在抑制通信时的额外开销的同时,防止不正常的ECU冒充正规的服务器或客户端。
以下,参照附图,说明本公开的实施方式相关的车载网络系统。此外,以下说明的实施方式均表示本公开的优选的一具体例。也就是说,以下的实施方式所示出的数值、形状、材料、构成要素、构成要素的配置以及连接方式、步骤、步骤的顺序等是本公开的一例,并不意在限定本公开。本公开基于权利要求的范围的记载而确定。因此,以下的实施方式中的构成要素之中、表示本公开的最上位概念的独立权利要求所没有记载的构成要素并非是为了达成本公开的课题所必须的,但是是作为构成更加优选的方式的构成要素进行说明。
(实施方式1)
以下,说明对搭载了车载网络系统的车辆中的不正常的帧进行检测、切断的不正常帧检测装置,所述车载网络系统是使用了多个ECU经由CAN总线以及以太网进行通信的车载网络的系统。
[1.1车载网络系统的整体构成]
图1是表示实施方式1中的、车载网络系统1的整体构成的图。车载网络系统1搭载于车辆,由多个ECU、和多个网络构成。多个网络包含以太网以及CAN等。车载网络系统1由Zone(区)ECU100a、100b、100c以及100d、制动器ECU200a、转向器ECU200b、摄像头ECU200c、头单元ECU200d、雷达ECU200e以及天线ECU200f、以太网11、12、13、14、15以及16、CAN10以及17构成。
Zone ECU100a通过以太网12与Zone ECU100b连接,通过以太网11与Zone ECU100c连接。进而Zone ECU100a通过以太网15与摄像头ECU200c以及头单元ECU200d连接。
Zone ECU100b除了与Zone ECU100a连接以外,还通过以太网13与Zone ECU100d连接。进而Zone ECU100b通过CAN17与雷达ECU200e连接。
Zone ECU100c除了与Zone ECU100a连接以外,还通过以太网14与Zone ECU100d连接。另外,Zone ECU100c通过CAN10与制动器ECU200a以及转向器ECU200b连接。
Zone ECU100d除了与Zone ECU100b以及100c连接以外,还通过以太网16与天线ECU200f连接。
各Zone ECU彼此由以太网连接,使用服务指向型通信进行通信。服务指向型通信例如是SOME/IP。将连接有1个Zone ECU、且不与其他Zone ECU连接的网络、即、CAN10及17以及以太网15及16称为区(zone),各Zone ECU进行各自的区所连接的ECU(传感器或致动器所连接的ECU)的信息取得以及控制。
[1.2SOME/IP消息格式]
SOME/IP规定了Request/Response即请求/应答、Fire/Forget即即发即弃、Events即事件以及Get/Set/Notifier即取得/设置/通知这4种方法,通过将它们进行组合,实现服务指向型通信。在SOME/IP中,也准备与通信对象建立会话的方法,将该方法称为ServiceDiscovery(SD)即服务发现。
图2是表示实施方式1中的、SOME/IP SD的消息格式的图。图2所示的消息格式由以太网的有效载荷部所保存。图2的1个行是32比特(bit)长,前半部分是SOME/IP头,后半部分是SOME/IP SD的有效载荷。
SOME/IP头的Message ID即消息ID在SOME/IP SD的情况下是0xFFFF8100。Length即长度保存有Length字段之后的数据的字节数。Request ID即请求ID保存有将Client ID即客户端ID和Session ID即会话ID合起来的数值。在Service Discovery的情况下,分别将Protocol Version即协议版本设定为0x01、将Interface Version即接口版本设定为0x01、将Message Type即消息类型设定为0x02、将Return Code即返回码设定为0x00。
图3是表示实施方式1中的、SOME/IP SD的消息的一例的图。图3所示的SOME/IP SD消息是表示能够提供服务ID为0x1000的服务的消息的一例。
首先,在Entry(条目)区域中,对Flags(标志)设定0x80,设定有Reboot Flag(重启标志)。Reserved(保留)区域被设定为0。在Length of Entries Array in Bytes(条目数组的字节长度)中保存有Entry的字节数,在该例中Entry的字节数是16字节。
Type是服务的类型,服务的类型包含Offer(提供)、Find(查找)、Subscribe(订阅)以及Subscribe Ack(订阅应答)中的任一个。例如,Type用0x00表示Find、用0x01表示Offer。Find在接受服务的提供的客户端ECU请求必要的服务的提供时使用,Offer在进行服务的提供的服务器ECU通知自身能够提供的服务的情况下使用。在该例中,Type为0x01,该消息表示服务器ECU通知自身能够提供的服务相关的信息的消息。Index 1st options(第1选项索引)表示最初的选项的位置,在该例中为0、也即是表示是最初的。Index 2ndoptions(第2选项索引)表示第2个选项的位置,在该例中记载有0。#of opt1记载了选项1的个数,在该例中保存有1。#of opt2记载了选项2的个数,在该例中保存有0,表示不使用选项2。
Service ID是保存表示服务的种类的ID的字段,在图3的例子中保存有0x1000。Instance ID是表示服务的实例的ID,在图3的例子中表示是0x0001的实例。
Major Version(主要版本)是在服务的版本管理中使用的信息,在图3的例子中设定为0x01。TTL是设定服务的有效期限(秒)的字段,在图3的例子中设定有0xFFFF。在TTL是0xFFFF的情况下,表示直到ECU的下一次启动时机为止服务是有效的。Minor Version(次要版本)是在服务的版本管理中使用的信息,在图3的例子中被设定为0x00000002。
接着,在Option区域中,首先在Length of Options Array in Bytes(选项数组的字节长度)中保存Option区域的长度,在图3的例子中表示Option区域的长度是12字节。
在接下来的Length(长度)中,根据选项的种类决定所设定的值。在图3的例子中、示出了使用了IPv4的通信例,此时,Length是9、Type是0x04、Reserved是0x00。IPv4地址是服务器的IP地址,在图3的例子中、设定有192.168.0.1。在接下来的Reserved区域保存0。在L4-Proto保存有0x11,表示使用User Datagram Protocol(UDP,用户数据包协议)。最后保存有端口编号,在图3的例子中,表示是35000号端口。
[1.3Zone ECU100a的构成]
接着,对Zone ECU着眼于Zone ECU100a进行说明。
图4是表示实施方式1中的Zone ECU100a的构成的图。Zone ECU100a例如由具备处理器、存储器以及通信接口等的计算机实现,由主机部101、通信部102、密钥保持部103、开关110构成。另外,Zone ECU100a具备不正常帧检测装置。不正常帧检测装置具备:多个网络各自所对应的多个通信端口、通信控制部、以及不正常帧检测部。Zone ECU100a中的开关110也可以构成不正常帧检测装置,不正常帧检测部也可以由后述的通信控制部111实现。另外,Zone ECU100a中的主机部101、通信部102以及开关100也可以构成不正常帧检测装置,不正常帧检测部也可以由主机部101实现。
此外,Zone ECU100b、100c以及100d具有与Zone ECU100a同样的构成,但是因所连接的以太网的数量、以及是否与CAN连接而一部分构成不同。例如,在Zone ECU100b中,所连接的以太网的数量为2个,CAN17成为与通信部102连接的构成。多个ECU100a、100b、100c以及100d通过服务指向型通信(例如SOME/IP),经由各个不正常帧检测装置(具体而言是开关110)进行通信。
主机部101是Zone ECU100a的主要部分,通过CPU和存储器实现。主机部101从通信部102接收通信内容,实施与通信内容相应的处理。例如在Zone ECU100a的情况下,接收从摄像头ECU200c通知的信息,进行在周边是否行驶有车辆等的识别处理,为了控制制动器ECU200a、和/或转向器ECU200b,向Zone ECU100b发送控制信息。
这样,Zone ECU的主机部101接收在自身连接的区的网络中流动的通信内容,和来自其他Zone ECU的通信内容、即,接收其他区的通信内容,并进行解释,由此实现车辆的控制处理。
另外,为了进行开关110内的许可表116的更新,主机部101使用密钥保持部103所保存的密钥来验证所接收到的帧是否是表示来自正常的ECU的更新请求的帧。
另外,主机部101是在车载网络系统1的初回启动时基于多个通信端口接收到的帧所包含的、服务的标识符、服务的类型、以及端口信息,生成(登记)许可规则的规则生成部的一例。
另外,主机部101是基于在多个网络中流动的帧来判定搭载车载网络系统1的车辆的状态的车辆状态判定部的一例。主机部101参照模式保持部104所保存的模式以及车辆状态,还会进行更新。
通信部102是主机部101与开关110的通信接口、或是CAN的通信接口,通过通信控制器或收发器(Transceiver)等而实现。
密钥保持部103是在加密处理等中使用的秘密信息的保持部。
模式保持部104保持有表示是初始化模式还是通常模式的模式、和车辆状态,通过主机部101来更新值。
开关110是进行以太网帧的传送控制的装置,由通信控制部111、通信端口112、113、114、115、以及许可表116构成。
通信控制部111在多个通信端口之中的任一个通信端口接收到帧的情况下,进行传送控制,以使得从多个通信端口之中的除了接收到帧的通信端口以外的通信端口发送帧。具体而言,通信控制部111确认从通信端口112、113、114通知的以太网帧所包含的IP地址、端口编号、MAC地址以及VLAN标签(tag)等,向适当的通信端口传送以太网帧。
另外,为了将所接收到的内容向主机部101通知,通信控制部111也向通信端口115通知以太网帧。
另外,通信控制部111判断通信端口接收到的帧所包含的、服务的标识符、表示发送了帧的Zone ECU是服务的提供方还是服务的接受方的服务的类型、以及用于识别接收到帧的通信端口的端口信息是否符合预先确定的许可规则,并输出该判断的结果。许可规则保持于许可表116中。另外,通信控制部111在多个通信端口之中的任一个通信端口接收到帧的情况下,在帧所包含的、服务的标识符、服务的类型、以及端口信息不符合许可规则时,不对该帧进行传送控制。具体而言,通信控制部111为了防止不正常的帧的传送,参照许可表116,确认SOME/IP消息的服务和消息的类型以及所接收到的端口编号的对应(关系),在不符合许可表116所保持的许可规则的情况下不进行传送。
此外,也可以是,判断通信端口接收到的帧所包含的、服务的标识符、表示发送了帧的Zone ECU是服务的提供方还是服务的接受方的服务的类型、以及用于识别接收到帧的通信端口的端口信息是否符合预先确定的许可规则,由主机部101输出该判断的结果。
通信端口112、113、114、115是与通信目标之间的通信接口。多个通信端口各自与多个网络之中对应的预定的网络连接,具有经由预定的网络与预定的网络所连接的ZoneECU进行帧的收发的接口。通信端口112与作为预定的网络的以太网11连接,成为与以太网11所连接的Zone ECU100c的通信接口,通信端口113与作为预定的网络的以太网12连接,成为与以太网12所连接的Zone ECU100b的通信接口,通信端口114与作为预定的网络的以太网15连接,成为与以太网15所连接的摄像头ECU200c以及头单元ECU200d的通信接口。通信端口115与通信部102连接,成为与主机部101之间的通信接口。
许可表116保持有用于禁止不正常的SOME/IP消息的传送的许可规则。许可表116由闪速存储器等的非易失性存储器实现。许可表116的详情稍后说明。
[1.4制动器ECU200a的构成]
图5是表示实施方式1中的制动器ECU200a的构成的图。此外,转向器ECU200b、摄像头ECU200c、头单元ECU200d、雷达ECU200e以及天线ECU200f也是同样的构成,所以省略这些构成的说明。
如图5所示,制动器ECU200a由通信部201和主机部202构成。
通信部201是与网络的连接接口,与CAN10连接。通信部201接收在网络上流动的帧,向主机部202通知,并且接受来自主机部202的发送请求,向CAN10进行帧的发送。
主机部202将从传感器或致动器等的外部连接设备取得的信息包含于帧而向通信部201进行发送请求。另外,基于从通信部201通知的帧的信息,主机部202进行致动器的控制处理。
[1.5密钥保持部所保存的密钥的一例]
图6是表示实施方式1中的、密钥保持部103所保存的密钥的一例的图。如图6所示,密钥按每个通信端口而被保持。在因车辆的更新等而ECU提供的SOME/IP中的服务发生了变更的情况下,在变更(更新)许可表116时使用私钥。Zone ECU100a使用私钥进行挑战响应认证,仅在判断为是来自正确的ECU的变更请求的情况下,在许可表116的相应服务中,实施端口编号的追加或削除、或类型的变更等。
图6的例子示出了,通信端口112所对应的密钥是0x11111111、通信端口113所对应的密钥是0x22222222、通信端口114所对应的密钥是0x33333333、通信端口115所对应的密钥是0x44444444。密钥在工厂中的制造阶段被写入密钥保持部103。
此外,在本实施方式中,密钥保持部103将密钥按每个通信端口保持,但是也可以按每个ECU保持。另外,在本实施方式中,假定共同密钥来作为密钥保持部103保持的密钥,但是密钥保持部103也可以保持其他ECU的公开密钥或自身的私钥。另外,密钥向密钥保持部103的写入也可以不在工厂出厂阶段进行,例如也可以在初回点火装置启动(ON)时,进行密钥的更换,也可以使用公开密钥,在每次点火装置ON时,进行密钥的共有。
[1.6模式保持部所保存的模式的一例]
图7是表示实施方式1中的、模式保持部104所保存的模式和车辆状态的一例的图。模式存在进行许可表116的初始登记(许可规则的生成)的「初始化模式」、和基于许可表116所保存的许可规则,进行不正常的帧的检测的「通常模式」。
车辆完成后的初回的点火装置启动时的模式是「初始化模式」,进行许可表116的初始登记,在点火装置关闭(OFF)时,由主机部101将模式切换为「通常模式」。
车辆状态,根据通过以太网或CAN得到的传感器信息,由主机部101判断、并进行更新。例如,主机部101,若车辆的速度为0km/h,则将车辆状态更新为「停止状态」,除此以外更新为「行驶状态」。
在图7中,示出了当前的模式是「通常模式」,车辆状态是「行驶状态」的例子。
[1.7许可表所保存的规则的一例]
图8是表示实施方式1中的、Zone ECU100a的许可表116所保存的许可规则的一例的图。如图8所示,许可规则由Service ID即服务ID、类型、通信端口以及车辆状态的组表示。
Service ID是SOME/IP消息所包含的Service ID,是表示服务的内容的标识符。服务的类型表示发送了帧的ECU是服务的提供方还是服务的接受方。类型也同样地是SOME/IP消息所包含的Type,用于识别是来自服务器的消息还是来自客户端的消息。通信端口是用于识别接收到帧的通信端口的端口信息,在此,示出了对同一规则的Service ID和类型一致的SOME/IP消息进行接收的端口。此外,对同一规则的Service ID和类型一致的SOME/IP消息进行接收的端口不限于1个。另外,车辆状态表示进行相应的SOME/IP消息的通信的车辆状态。
在图8的例子中,示出了,包含Service ID为0x1000的消息是作为服务进行操舵指示控制的消息,进行该服务的Offer(提供)的服务器ECU与通信端口115连接,在车辆状态是停车中时,开关110从通信端口115接收Service ID是0x1000且类型是Offer的消息。同样地示出了,进行Service ID为0x1000的服务的Find(查找)的客户端ECU与通信端口112连接,在车辆状态是停车中时,开关110从通信端口112接收Service ID为0x1000且类型是Find(查找)的消息。
示出了,进行Service ID是0x1010的服务的Offer的服务器ECU与通信端口112连接,与车辆状态无关地开关110始终从通信端口112接收Service ID是0x1010且类型是Offer的消息。示出了,进行Service ID是0x1010的服务的Find的客户端ECU与通信端口115连接,与车辆状态无关地开关110始终从通信端口115接收Service ID是0x1010且类型是Find的消息。
示出了,进行Service ID是0x2000的服务的提供(Offer)的服务器ECU与通信端口113连接,与车辆状态无关地开关110始终从通信端口113接收Service ID是0x2000且类型是提供(Offer)的消息。示出了,进行Service ID是0x2000的服务的查找(Find)的客户端ECU与通信端口112或115连接,与车辆状态无关地开关110始终从通信端口112或115接收Service ID是0x2000且类型是查找(Find)的消息。
示出了,进行Service ID是0x3000的服务的提供(Offer)的服务器ECU与通信端口114连接,与车辆状态无关地开关110始终从通信端口114接收Service ID是0x3000且类型是提供(Offer)的消息。示出了,进行Service ID是0x3000的服务的查找(Find)的客户端ECU与通信端口115连接,与车辆状态无关地开关110始终从通信端口115接收Service ID是0x3000且类型是查找(Find)的消息。
此外,在本实施方式中,示出了类型作为SOME/IP SD的提供(Offer)和查找(Find)中的任一个的情况,但是不限于此。例如,类型也可以是Subscribe(订阅)以及SubscribeAck(订阅应答)中的任一个。
[1.8Zone ECU的初始化模式中的许可表登记时序]
图9是表示实施方式1中的、由Zone ECU(区ECU)实现的初始化模式中的许可表116的规则的登记时序的图。
(步骤S101)Zone ECU100b,首先将通知能够提供Service ID是0x2000的服务的、类型是Offer的SOME/IP SD消息向以太网12发送。
(步骤S102)Zone ECU100a利用连接了以太网12的通信端口113接收Service ID是0x2000且类型是Offer的消息。
(步骤S103)接着,Zone ECU100a向许可表116登记将Service ID作为0x2000、将类型作为Offer、将通信端口作为113的许可规则。
(步骤S104)Zone ECU100a将所接收到的Service ID是0x2000且类型是Offer的消息,从除了所接收到的通信端口以外的通信端口传送。
(步骤S105)Zone ECU100c由特定的通信端口接收Service ID是0x2000且类型是Offer的消息。
(步骤S106)Zone ECU100c将所接收到的Service ID是0x2000且类型是Offer的消息相关的许可规则向Zone ECU100c具备的许可表116登记。
(步骤S107)Zone ECU100a为了接受从Zone ECU100b接收的消息表示的服务的提供,将Service ID是0x2000且类型是Subscribe的消息向Zone ECU100b发送。
(步骤S108)Zone ECU100b从Zone ECU100a接收Service ID是0x2000且类型是Subscribe消息,将Service ID是0x2000且类型是Subscribe Ack的消息向Zone ECU100a回复。
[1.9Zone ECU的通常模式中的过滤时序]
图10是表示实施方式1中的、由Zone ECU实现的切断通常模式中的不正常的帧的时序的图。在图10中,示出了Zone ECU100c是不正常的ECU、将要发送不正常的Offer的消息,从而非法(不正常地)提供服务的情况。此外,许可表116在图9中用于登记。
(步骤S201)Zone ECU100c将Service ID是0x2000且类型是Offer的消息向以太网11发送。
(步骤S202)Zone ECU100a利用连接了以太网11的通信端口112接收从ZoneECU100c发送的Service ID是0x2000且类型是Offer的消息。
(步骤S203)Zone ECU100a参照许可表116。由于记载有Service ID是0x2000、类型是Offer的消息由通信端口113接收这一许可规则,所以Zone ECU100a判断为由通信端口112接收到的Service ID是0x2000且类型是Offer的消息是不正常(非法)的,废弃该消息而不进行传送。
(步骤S204)接着,正规的Zone ECU100b将Service ID是0x2000且类型是Offer的消息向以太网12发送。
(步骤S205)Zone ECU100a利用连接了以太网12的通信端口113接收从ZoneECU100b发送的Service ID是0x2000且类型是Offer的消息。
(步骤S206)Zone ECU100a参照许可表116。由于所接收到的Service ID是0x2000且类型是Offer的消息符合许可表116所保存的许可规则,所以Zone ECU100a判断为由通信端口113接收到的Service ID是0x2000且类型是Offer的消息并非不正常,向其他通信端口传送该消息。
(步骤S207)Zone ECU100c接收所传送的Service ID是0x2000且类型是Offer的消息。
(步骤S208)Zone ECU100a为了接受从Zone ECU100b接收到的消息表示的服务的提供,将Service ID是0x2000且类型是Subscribe的消息向Zone ECU100b发送。
(步骤S209)Zone ECU100b为了通知接收到从ECU100a发送的消息,将Service ID是0x2000且类型是Subscribe Ack的消息向Zone ECU100a发送。
[1.10Zone ECU的许可表更新时序]
图11是表示实施方式1中的、由Zone ECU实现的通常模式中的许可表116的更新时序的图。
(步骤S301)Zone ECU100c将Service ID是0x2000的消息相关的许可表116的更新请求、例如,表示停止Offer的消息的发送的更新请求向以太网11发送。
(步骤S302)Zone ECU100a利用连接了以太网11的通信端口112接收更新请求。
(步骤S303)Zone ECU100a为了确认更新请求是否是合法的请求,生成随机数种子向Zone ECU100c发送。
(步骤S304)Zone ECU100c使用所接收到的随机数种子、和密钥保持部103所保持的密钥,通过预定的运算,算出响应,向Zone ECU100a发送。
(步骤S305)Zone ECU100a验证响应,以进行了合法的更新请求而按照更新请求进行许可表116的更新。
(步骤S306)Zone ECU100a为了也对其他网络的Zone ECU进行Service ID是0x2000的消息相关的许可表116的更新,将更新请求向其他通信端口发送。
(步骤S307)Zone ECU100b为了确认所接收到的更新请求是否合法,将随机数种子向Zone ECU100a发送。
(步骤S308)Zone ECU100a根据所接收到的随机数种子、和密钥保持部103所保存的密钥,按照预定的运算算出响应(response),向Zone ECU100b发送。
(步骤S309)Zone ECU100b验证接收到的响应,以进行了合法的更新请求而按照更新请求,进行许可表116的更新。
[1.11Zone ECU的整体处理的流程图]
接着,对Zone ECU的整体处理进行说明。在此,代表Zone ECU,对Zone ECU100a的整体处理进行说明。
图12是实施方式1中的、由Zone ECU100a实现的整体处理的流程图。Zone ECU100a进行按照所接收到的帧的控制以及通信处理,但是在此省略说明。
(步骤S401)Zone ECU100a判断是否接收到帧。在没有接收到帧的情况(否的情况)下,执行步骤S401直到接收到帧,否则,即,在接收到帧的情况(是的情况)下,实施步骤S402。
(步骤S402)Zone ECU100a确认所接收到的帧是否是SOME/IP SD的通信。ZoneECU100a在所接收到的帧不是SOME/IP SD消息的情况(否的情况)下,执行步骤S403,在是SOME/IP SD消息的情况(是的情况)下,执行步骤S405。
(步骤S403)Zone ECU100a确认所接收到的帧是否是许可表更新用帧。ZoneECU100a在所接收到的帧是许可表更新用帧的情况(是的情况)下,执行步骤S404,否则(否的情况)下执行步骤S410。
(步骤S404)Zone ECU100a进行许可表116的更新处理。具体而言,Zone ECU100a如图10的时序所示,进行挑战响应认证,在是合法的更新请求的情况下更新许可表116,也向其他网络进行许可表116的更新请求。Zone ECU100a在并非是合法的更新请求的情况下,不进行许可表116的更新。
(步骤S405)Zone ECU100a在接收到包含SOME/IP SD的帧时,确认自身是否是初始化模式。Zone ECU100a在自身是初始化模式的情况(是的情况)下执行步骤S406,否则,也即是是通常模式的情况(否的情况)下执行步骤S408。
(步骤S406)Zone ECU100a在自身是初始化模式的情况下,基于接收到的SOME/IPSD消息所包含的信息,向许可表116登记许可规则,执行步骤S407。
(步骤S407)Zone ECU100a将所接收到的SOME/IP SD消息向其他通信端口传送。
(步骤S408)Zone ECU100a确认所接收到的SOME/IP SD消息的Service ID、接收端口以及类型(Offer或Find)是否与许可表116所记载的许可规则一致。在与许可表116一致的情况(是的情况)下,Zone ECU100a执行步骤S407,在不一致的情况(否的情况),执行步骤S409。
(步骤S409)Zone ECU100a废弃所接收到的SOME/IP SD消息。
(步骤S410)Zone ECU100a确认所接收到的帧是否是SOME/IP消息。在所接收到的帧是SOME/IP消息的情况(是的情况)下,执行步骤S408。该情况下,Zone ECU100a在步骤S408中为是的情况下,在步骤S407中将SOME/IP消息向其他通信端口传送,在步骤S408中为否的情况下,在步骤S409中废弃SOME/IP消息。Zone ECU100a在所接收到的帧并非是SOME/IP消息的情况(否的情况)下执行步骤S407。在该情况下的步骤S407中,Zone ECU100a将所接收到的帧向其他通信端口传送。
[1.12与Zone ECU的模式变更相关的流程图]
图13是实施方式1中的、由Zone ECU100a实现的模式变更处理的流程图。该处理与图12的Zone ECU100a的整体处理并行执行。
(步骤S501)Zone ECU100a确认自身是否是初始化模式。Zone ECU100a在自身是初始化模式的情况(是的情况)下,执行步骤S406,否则(否的情况),结束模式变更处理。
(步骤S406)Zone ECU100a基于所接收到的SOME/IP SD消息,向许可表116登记许可规则。由于在步骤S406中的处理内容与图12中的是同样的因此省略说明。
(步骤S503)Zone ECU100a确认点火装置是否是OFF(关)。Zone ECU100a,若点火装置是OFF(是的情况),则执行步骤S504,否则(否的情况),执行步骤S406,继续许可表116的登记处理。
(步骤S504)Zone ECU100a将自身的模式更新为通常模式。
[1.13实施方式1的效果]
在实施方式1的车载网络系统1中,关于SOME/IP SD通信,Zone ECU通过连接端口把握服务器ECU与客户端ECU的物理配置(具体而言,根据车载网络所连接的ECU的物理配置信息、和SOME/IP SD消息,针对各服务进行服务器与客户端的关联),检测由不正常的ECU导致的服务器或客户端的冒充消息的发送。即,在采用了SOME/IP等的服务指向型通信的车载网络中,即使攻击者发送了不正常的帧,也能够根据将服务器和客户端物理连接的端口的关系检测不正常的帧的发送。由此,车辆的车载网络的安全性能够提高。
进而,Zone ECU针对判断为不正常的帧,切断向其他网络的传送。由此,防止正常的ECU与不正常的ECU建立会话,车载网络的安全提高。
[其他变形例]
此外,基于上述各实施方式对本公开进行了说明,但是本公开当然不限定于上述各实施方式。以下那样的情况也包含于本公开。
(1)在上述的实施方式中,对将本公开适用于SOME/IP通信的例子进行了说明,但并不限定于此,也可以适用于其他服务指向型通信。
(2)在上述的实施方式中,作为许可表116的许可规则的类型,示出了Offer和Find的例子,但是也可以使用其他类型。例如,可以是Subscribe、Subscribe Ack、也可以是在通常的SOME/IP中使用的类型。
另外,也可以是,作为许可规则中的类型,许可表116保持服务器或客户端等的服务的作用。
(3)在上述的实施方式中,对Zone ECU通过许可表更新用帧在通常模式时更新许可表116的例子进行了说明,但是Zone ECU也可以不使用许可表更新用帧来更新许可表116。
例如,也可以是,在观测到Service ID是许可表116所没有登记的SOME/IP SD消息的情况下,通过ECU的更新等追加了新的服务,在SOME/IP通信的会话建立的阶段更新许可规则。
由此,由于不进行许可表116的更新处理而更新许可规则,所以处理的额外开销变少而有效率。
图14表示其他变形例(3)中的、由Zone ECU100a实现的整体处理的流程图。图14表示在图12的步骤S402中成为了是的判定后的处理。
(步骤S1405)Zone ECU100a判断自身的模式是否是初始化模式。Zone ECU100a在是初始化模式的情况(是的情况)下,执行步骤S406,然后执行步骤S407,否则(否的情况),执行步骤S1410。
(步骤S1410)Zone ECU100a确认所接收到的SOME/IP SD消息所包含的Service ID是否作为许可表116中的任一个许可规则而被登记。Zone ECU100a在登记了的情况(是的情况)下执行步骤S408,以后的处理与图12同样因此省略说明。Zone ECU100a在未登记的情况(否的情况)下执行步骤S1411。
(步骤S1411)Zone ECU100a针对所接收到的SOME/IP SD消息确认是否是在不同的端口间建立会话。建立会话是指,观测到由客户端ECU实现的Subscribe消息以及SubscribeAck消息,该情况下,这些消息所包含的Service ID的服务的提供变为有效。Zone ECU100a在建立了会话的情况(是的情况)下执行S1412,否则(否的情况),什么都不做而结束。
(步骤S1412)Zone ECU100a将与该Service ID相关的许可规则向许可表116登记。
(4)在上述的实施方式中,Zone ECU保持模式,在模式是初始化模式的情况下登记了SOME/IP SD的许可规则,但是也可以不保持模式。
例如,也可以是,各ECU事先保持与自身利用的服务相关的声明文件(声明信息),将声明文件向Zone ECU通知,Zone ECU通过验证声明文件的合法性,更新许可表116。例如,主机部101也可以是规则更新部的一例,规则更新部在多个通信端口之中的任一个通信端口接收到包含与ECU利用的服务相关的声明信息的帧的情况下,基于声明信息、和识别接收到包含声明信息的帧的通信端口的端口信息,更新许可规则。
由此,无需进行模式的管理,并且能够基于更加可靠的信息进行向许可表116的许可规则的登记,有效提高安全强度。
图15是表示其他变形例(4)中的、声明文件的一例的图。
声明文件记载有各ECU利用的Service ID、作用、以及利用开始条件。作用表示是服务的提供方的服务器还是服务的接受方的客户端,利用开始条件记载有发生SOME/IP SD通信的车辆状态的条件。
在图15的例子中,示出了,保持该声明文件的ECU是Service ID为0x1050的服务的服务器,且利用开始条件是停车中。进而,示出了,该ECU也作为Service ID是0x2050的服务的客户端,且利用开始条件是与车辆状态无关而始终能够开始利用。
(5)在上述的实施方式中,没有将许可规则所记载的车辆状态利用于不正常的帧的检测,但是也可以利用于不正常的帧的检测。
图16是将其他变形例(4)以及变形例(5)进行组合时的由Zone ECU100a实现的整体处理的流程图。
(步骤S601)Zone ECU100a确认是否接收到帧。Zone ECU100a在接收到帧的情况(是的情况)下,执行步骤S602,否则(否的情况),执行步骤S601直到接收到帧为止。
(步骤S602)Zone ECU100a确认所接收到的帧是否是SOME/IP SD消息。ZoneECU100a在并非是SOME/IP SD消息的情况(否的情况)下,执行步骤S603,否则(是的情况)下,执行步骤S606。
(步骤S603)Zone ECU100a确认是否接收到包含声明文件的帧。Zone ECU100a在接收到包含声明文件的帧的情况(是的情况)下,执行步骤S604,否则(否的情况),执行步骤S607。
(步骤S604)Zone ECU100a确认所接收到的帧所包含的声明文件是否合法。声明文件的合法性的验证能通过声明文件所包含的消息认证码的验证、或电子签名的验证来确认。Zone ECU100a在声明文件合法的情况(是的情况)下,执行步骤S605,否则(否的情况),结束处理。
(步骤S605)Zone ECU100a按照声明文件来更新许可表116的许可规则。ZoneECU100a关于通信端口,将接收到包含声明文件的帧的端口的信息进行写入。
(步骤S606)Zone ECU100a确认所接收到的SOME/IP SD消息的Service ID、接收端口、类型、以及当前的车辆状态是否与许可表116所保存的许可规则一致。Zone ECU100a在与许可规则一致的情况(是的情况)下,执行步骤S609,否则(否的情况),执行步骤S610。
(步骤S607)Zone ECU100a确认所接收到的帧是否是包含车辆速度信息的帧。ZoneECU100a在是包含车辆速度信息的帧的情况(是的情况)下,执行步骤S608,否则(否的情况),执行步骤S609。
(步骤S608)Zone ECU100a基于帧所包含的车辆速度信息来更新车辆状态。具体而言,Zone ECU100a,若车辆速度为时速0公里,则将车辆状态更新为停止状态,若为除此以外的情况,则更新为行驶状态,执行步骤S609。
(步骤S609)Zone ECU100a将所接收到的帧向适当的网络传送,结束处理。
(步骤S610)Zone ECU100a将所接收到的帧作为不正常的帧,废弃所接收到的帧而结束处理。
(6)在上述的实施方式中,对声明文件是以明文保持的例子进行了说明,但是也可以加密保持。另外,声明文件也可以包含用于证明合法性的证件或消息认证码。
(7)在上述的实施方式中,对区网络利用CAN或以太网的例子进行了说明,但是也可以利用CAN-FD或FlexRay(注册商标)。
(8)在上述的实施方式中,对以太网通信以明文进行的例子进行了说明,但是也可以进行IPsec、MACsec或TLS等的加密通信。
(9)在上述的实施方式中,对连接全部网络的例子进行了说明,但是也可以通过Virtual LAN(VLAN)进行逻辑分离。由此,有效提高安全强度。
(10)在上述的实施方式中,在初始化模式中,登记许可表116时,没有进行车辆状态的登记,但是也可以基于当前的车辆状态登记车辆状态。由此,能够限定SOME/IP通信的服务的利用时机,能够有效检测不正常的时机中的服务的提供。
(11)在上述的实施方式中,仅在最初的点火装置ON(开)时成为初始化模式,但是成为初始化模式的条件也可以另行设定。例如,也可以设定固件的更新后、或由诊断命令实现的向初始化模式的转变等的条件。由此在车载网络中,在服务的提供关系变化的时机,能够登记新的许可规则,由此有效提高便利性。
(12)在上述的实施方式中,对在检测到不正常的帧时(具体而言,帧所包含的信息不符合许可规则这一判断的结果被输出时),采取不向其他通信端口传送这一应对的例子进行了说明,也可以是其他应对。例如,可以针对不正常的帧的通信内容或不正常的帧的产生向各ECU的主机部101通知,也可以向其他网络通知,还可以向车外的云服务器通知。由此,不仅能够防止由不正常的帧导致的车辆的控制,还能够把握不正常的发生状况,对不正常的发生原因的应付是有益的。另外,也可以使得不利用接收到不正常的帧的端口。
(13)在上述的实施方式中,对Zone ECU的构成存在开关的例子进行了说明,但是开关也可以独立于Zone ECU而存在,也可以进行不正常的帧的过滤。例如,Zone ECU和不正常帧检测装置也可以独立存在。
(14)在上述的实施方式中,对将车辆状态设为停止状态和行驶状态这2种的例子进行了说明,但是车辆状态不限于此。例如,也可以对「高速行驶中」「充电中」「自动驾驶模式」「固件更新中」等的车辆状态进行判断。由此,通过更加严格地设定提供服务时的车辆状态,有效提高安全等级。
(15)在上述的实施方式中,基于从初回的点火装置ON时到点火装置OFF为止所观测到的SOME/IP SD消息来登记许可表116,但是也可以从初回的点火装置ON时起到点火装置OFF之后也按预定的次数反复进行初始化模式。由此,对于从初回的点火装置ON起到点火装置OFF为止所没有利用的服务,在第2次以后的初始化模式中能够被观测到,能够有效进行更准确的许可规则的制作。
(16)在上述的实施方式中,Zone ECU被动地观测SOME/IP SD消息,但是也可以亲自发送Find消息,搜索有效的服务。由此,在初始化模式时,能够有效地将有效的服务登记到许可表116。
(17)在上述的实施方式中,说明了对全部SOME/IP SD消息,判断是否符合许可规则的例子,但是也可以对包含一部分服务ID的SOME/IP SD消息实施。例如,也可以仅将与自动驾驶相关的服务作为对象。具体而言,车辆状态判定部(例如主机部101)判定车辆的状态是否是自动驾驶模式,不正常帧检测部(例如主机部101或通信控制部111)仅在服务的标识符是与自动驾驶相关的服务的情况下,判断服务的标识符、服务的类型、端口信息、车辆的状态是否符合许可规则,许可规则也可以包含车辆的状态是自动驾驶模式这一规则。由此,仅监视与安全相关的服务,有效削减存储器的消耗量。
(18)在上述的实施方式中,说明了仅对符合许可规则的通信进行通信许可的例子,但是也可以保持禁止规则,将符合禁止规则的通信检测为不正常。
(19)上述的实施方式中的各装置,具体而言,是由微处理器、ROM(Read OnlyMemory)、RAM(Random Access Memory)、硬盘单元、显示器单元、键盘以及鼠标等构成的计算机系统。RAM或硬盘单元记录有计算机程序。微处理器按照计算机程序进行动作,由此各装置实现其功能。在此计算机程序为了实现预定的功能,将表示对计算机的指令的命令代码组合多个而构成。
(20)构成上述实施方式以及变形例中的各装置的构成要素的一部分或全部也可以由1个系统LSI(Large Scale Integration:大规模集成电路)构成。系统LSI是将多个构成部集成于1个芯片上制造而成的超多功能LSI,具体而言,是包含微处理器、ROM、RAM等而构成的计算机系统。在RAM中记录有计算机程序。通过微处理器按照计算机程序进行动作,从而系统LSI实现其功能。
另外,构成上述各装置的构成要素的各部既可以独立地进行单芯片化,也可以以包含一部分或全部的方式进行单芯片化。
另外,在此,虽然设为系统LSI,但是根据集成度的不同,也有时称为IC、LSI、超大(super)规模LSI、甚超大(ultra)规模LSI。另外,集成电路化的方法不限于LSI,也可以由专用电路或通用处理器实现。也可以在LSI制造后,利用能够编程的FPGA(FieldProgrammable Gate Array:现场可编程门阵列)、能够再构成LSI内部的电路单元的连接和设定的可重构处理器。
进而,若由于半导体技术的进步或派生的其他技术而出现可代替LSI的集成电路化的技术,则当然也可以使用该技术进行功能块的集成化。也能够进行生物技术的适用等。
(21)构成上述各装置的构成要素的一部分或全部也可以由能够装卸于各装置的IC卡或单个模块构成。IC卡或模块是由微处理器、ROM以及RAM等构成的计算机系统。IC卡或模块也可以包含上述的超多功能LSI。通过微处理器按照计算机程序进行动作,IC卡或模块实现其功能。该IC卡或该模块也可以具有防篡改性。
(22)本公开不仅可以作为不正常帧检测装置而实现,也可以作为包含构成不正常帧检测装置的各构成要素进行的步骤(处理)的不正常帧检测方法而实现。
不正常帧检测方法是由多个ECU和多个网络构成的车载网络系统中的、不正常帧检测装置的不正常帧检测方法,多个ECU通过服务指向型通信,经由不正常帧检测装置进行通信,不正常帧检测装置具备多个网络的各自所对应的多个通信端口,多个通信端口各自与多个网络之中的对应的预定的网络连接,具有经由预定的网络与预定的网络连接的ECU进行帧的收发的接口,不正常帧检测方法如图12所示,包括:传送控制步骤(步骤S407),在多个通信端口之中的任一个通信端口接收到帧的情况(步骤S401中为是),进行传送控制以使得:从多个通信端口之中的除了接收到帧的通信端口以外的通信端口发送帧;和不正常帧检测步骤(步骤S408),判断该帧所包含的、服务的标识符、表示发送了该帧的ECU是服务的提供方还是服务的接受方的服务的类型、以及用于识别接收到该帧的通信端口的端口信息是否符合预先确定的许可规则,并输出判断的结果。
另外,不正常帧检测方法中的步骤也可以通过计算机(计算机系统)执行。而且,本公开也可以作为用于使计算机执行不正常帧检测方法所包含的步骤的计算机程序、或由计算机程序构成的数字信号而实现。
另外,本公开也可以作为记录了该计算机程序或数字信号的非瞬时性计算机可读取的记录介质、例如,软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)Disc)或半导体存储器等而实现。
另外,本公开也可以将计算机程序或数字信号经由电通信线路、无线或有线通信线路、以互联网为代表的网络、数据广播等进行传输。
另外,本公开也可以是具备微处理器和存储器的计算机系统,存储器记录有上述计算机程序,微处理器按照计算机程序进行动作。
另外,也可以是,将程序或数字信号记录于记录介质进行移送、或将程序或数字信号经由网络等进行移送,由此通过独立的其他计算机系统实施。
(23)也可以将上述实施方式以及上述变形例分别进行组合。
产业上的可利用性
本公开能够利用于使用服务指向型通信的车载网络系统。
标号说明
1 车载网络系统
10、17 CAN
11、12、13、14、15、16 以太网
100a、100b、100c、100d Zone ECU
101 主机部
102 通信部
103 密钥保持部
104 模式保持部
110 开关
111 通信控制部
112、113、114、115 通信端口
116 许可表
200a 制动器ECU
200b 转向器ECU
200c 摄像头ECU
200d 头单元ECU
200e 雷达ECU
200f 天线ECU
201 通信部
202 主机部。
Claims (8)
1.一种不正常帧检测装置,是由多个电子控制单元和多个网络构成的车载网络系统中的不正常帧检测装置,
所述多个电子控制单元通过服务指向型通信,经由所述不正常帧检测装置进行通信,
所述不正常帧检测装置具备:所述多个网络各自所对应的多个通信端口、通信控制部、以及不正常帧检测部,
所述多个通信端口各自与所述多个网络之中的对应的预定的网络连接,具有经由所述预定的网络与所述预定的网络所连接的电子控制单元进行帧的收发的接口,
所述通信控制部,在所述多个通信端口之中的任一个通信端口接收到帧的情况下,进行传送控制以使得:从所述多个通信端口之中的除了接收到所述帧的通信端口以外的通信端口发送所述帧送,
所述不正常帧检测部,判断所述帧所包含的服务的标识符、表示发送了所述帧的电子控制单元是服务的提供方还是服务的接受方的服务的类型、以及用于识别接收到所述帧的通信端口的端口信息是否符合预先确定的许可规则,并输出所述判断的结果。
2.根据权利要求1所述的不正常帧检测装置,
所述通信控制部,在所述多个通信端口之中的任一个通信端口接收到帧的情况下,在所述帧所包含的所述服务的标识符、所述服务的类型、以及所述端口信息不符合所述许可规则时,不对所述帧进行所述传送控制。
3.根据权利要求1或2所述的不正常帧检测装置,
所述不正常帧检测装置还具备规则更新部,
所述规则更新部,在所述多个通信端口之中的任一个通信端口接收到包含与电子控制单元利用的服务相关的声明信息的帧的情况下,基于所述声明信息、和识别接收到包含所述声明信息的所述帧的通信端口的端口信息,更新所述许可规则。
4.根据权利要求1至3中任一项所述的不正常帧检测装置,
所述不正常帧检测装置还具备规则生成部,
所述规则生成部在所述车载网络系统的初回启动时,基于所述多个通信端口接收到的帧所包含的所述服务的标识符、所述服务的类型、以及所述端口信息,生成所述许可规则。
5.根据权利要求1至4中任一项所述的不正常帧检测装置,
所述不正常帧检测装置还具备车辆状态判定部,所述车辆状态判定部基于在所述多个网络中流动的帧,判定搭载所述车载网络系统的车辆的状态,
所述不正常帧检测部,判断所述服务的标识符、所述服务的类型、所述端口信息、进而所述车辆的状态是否符合所述许可规则。
6.根据权利要求5所述的不正常帧检测装置,
所述车辆状态判定部判定所述车辆的状态是否是自动驾驶模式,
所述不正常帧检测部只有在所述服务的标识符是与自动驾驶相关的服务的情况下,才判断所述服务的标识符、所述服务的类型、所述端口信息、以及所述车辆的状态是否符合所述许可规则,
所述许可规则包含所述车辆的状态是自动驾驶模式这一规则。
7.根据权利要求1至6中任一项所述的不正常帧检测装置,
所述服务指向型通信是SOME/IP即基于IP的可扩展面向服务中间件,
所述服务的类型包含Offer即提供、Find即查找、Subscribe即订阅以及Subscribe Ack即订阅应答中的任一个。
8.一种不正常帧检测方法,是由多个电子控制单元和多个网络构成的车载网络系统中的、不正常帧检测装置的不正常帧检测方法,
所述多个电子控制单元通过服务指向型通信,经由所述不正常帧检测装置进行通信,
所述不正常帧检测装置具备所述多个网络各自所对应的多个通信端口,
所述多个通信端口各自与所述多个网络之中的对应的预定的网络连接,具有经由所述预定的网络与所述预定的网络所连接的电子控制单元进行帧的收发的接口,
所述不正常帧检测方法包括:
传送控制步骤,在所述多个通信端口之中的任一个通信端口接收到帧的情况下,进行传送控制以使得:从所述多个通信端口之中的除了接收到所述帧的通信端口以外的通信端口发送所述帧;和
不正常帧检测步骤,判断所述帧所包含的服务的标识符、表示发送了所述帧的电子控制单元是服务的提供方还是服务的接受方的服务的类型、以及用于识别接收到所述帧的通信端口的端口信息是否符合预先确定的许可规则,并输出所述判断的结果。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2019/026718 WO2021002010A1 (ja) | 2019-07-04 | 2019-07-04 | 不正フレーム検知装置および不正フレーム検知方法 |
| JPPCT/JP2019/026718 | 2019-07-04 | ||
| PCT/JP2020/024855 WO2021002264A1 (ja) | 2019-07-04 | 2020-06-24 | 不正フレーム検知装置および不正フレーム検知方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112889259A true CN112889259A (zh) | 2021-06-01 |
| CN112889259B CN112889259B (zh) | 2023-08-22 |
Family
ID=74100260
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080005603.4A Active CN112889259B (zh) | 2019-07-04 | 2020-06-24 | 不正常帧检测装置以及不正常帧检测方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11930021B2 (zh) |
| EP (1) | EP3996395B1 (zh) |
| JP (1) | JP7496823B2 (zh) |
| CN (1) | CN112889259B (zh) |
| WO (2) | WO2021002010A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113992344A (zh) * | 2021-09-10 | 2022-01-28 | 深圳开源互联网安全技术有限公司 | 基于some/ip协议的通信数据异常检测方法及系统 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102019210226A1 (de) * | 2019-07-10 | 2021-01-14 | Robert Bosch Gmbh | Vorrichtung und Verfahren für Angriffserkennung in einem Kommunikationsnetzwerk |
| WO2022153442A1 (ja) * | 2021-01-14 | 2022-07-21 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | サービス仲介装置およびサービス仲介方法 |
| JP2022144358A (ja) * | 2021-03-19 | 2022-10-03 | 株式会社オートネットワーク技術研究所 | 車載装置、車載通信システムおよびデータ送信方法 |
| US20230185940A1 (en) * | 2021-12-13 | 2023-06-15 | Docusign, Inc. | Batch processing of audit records |
| US12054118B2 (en) | 2022-08-29 | 2024-08-06 | Geotab Inc. | Methods for shared vehicle access |
| US11814010B1 (en) | 2022-08-29 | 2023-11-14 | Geotab Inc. | Devices for shared vehicle access |
| US11970135B2 (en) | 2022-08-29 | 2024-04-30 | Geotab Inc. | Methods for shared vehicle access |
| DE102023103947A1 (de) * | 2023-02-17 | 2024-09-05 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren und Fahrzeug zur serviceorientierten Berechtigungsabfrage in Netzwerken |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105594156A (zh) * | 2014-05-08 | 2016-05-18 | 松下电器(美国)知识产权公司 | 车载网络系统、电子控制单元及不正常检测方法 |
| CN106031098A (zh) * | 2015-01-20 | 2016-10-12 | 松下电器(美国)知识产权公司 | 不正常帧应对方法、不正常检测电子控制单元以及车载网络系统 |
| US20160373449A1 (en) * | 2015-01-20 | 2016-12-22 | Panasonic Intellectual Property Corporation Of America | Method for handling case of detecting unauthorized frame transmitted over onboard network |
| US20170126709A1 (en) * | 2015-10-30 | 2017-05-04 | Citrix Systems, Inc. | Feature engineering for web-based anomaly detection |
| EP3316524A1 (en) * | 2016-10-28 | 2018-05-02 | Magneti Marelli S.p.A. | Protection device from cyber attacks to a vehicle through a diagnostic connector and related method |
| US20180262466A1 (en) * | 2017-03-09 | 2018-09-13 | Argus Cyber Security Ltd | System and method for providing cyber security to an in-vehicle network |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9087193B2 (en) | 2012-11-13 | 2015-07-21 | Gogo Llc | Communication system and method for nodes associated with a vehicle |
| EP3133774B1 (en) * | 2014-04-17 | 2020-11-25 | Panasonic Intellectual Property Corporation of America | Vehicle-mounted network system, abnormality detection electronic control unit and abnormality detection method |
| JP2016100842A (ja) * | 2014-11-25 | 2016-05-30 | 富士通株式会社 | 通信制御装置、通信制御方法、および、通信制御プログラム |
| US9866542B2 (en) * | 2015-01-28 | 2018-01-09 | Gm Global Technology Operations | Responding to electronic in-vehicle intrusions |
| US9762509B2 (en) * | 2015-04-20 | 2017-09-12 | Ge Aviation Systems Llc | Apparatus and method of operating a network traffic policing module |
| US9912754B2 (en) * | 2015-05-01 | 2018-03-06 | GM Global Technology Operations LLC | Vehicular data isolation device |
| US10334445B2 (en) * | 2015-10-14 | 2019-06-25 | Cisco Technology, Inc. | Accurate detection of rogue wireless access points |
| US10356127B2 (en) * | 2016-06-06 | 2019-07-16 | NeuVector, Inc. | Methods and systems for applying security policies in a virtualization environment |
| JP6547154B2 (ja) * | 2016-11-30 | 2019-07-24 | 本田技研工業株式会社 | 通信システム |
| JP7020990B2 (ja) * | 2017-07-19 | 2022-02-16 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車載中継装置、中継方法及びプログラム |
| JP7033499B2 (ja) * | 2017-07-26 | 2022-03-10 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知装置および異常検知方法 |
| WO2019123447A1 (en) * | 2017-12-24 | 2019-06-27 | Arilou Information Security Technologies Ltd. | System and method for tunnel-based malware detection |
| US20190281052A1 (en) * | 2018-03-08 | 2019-09-12 | Auton, Inc. | Systems and methods for securing an automotive controller network |
| US11652827B2 (en) * | 2018-06-08 | 2023-05-16 | Nvidia Corporation | Virtualized intrusion detection and prevention in autonomous vehicles |
-
2019
- 2019-07-04 WO PCT/JP2019/026718 patent/WO2021002010A1/ja active Application Filing
-
2020
- 2020-06-24 JP JP2021529985A patent/JP7496823B2/ja active Active
- 2020-06-24 WO PCT/JP2020/024855 patent/WO2021002264A1/ja unknown
- 2020-06-24 EP EP20835264.1A patent/EP3996395B1/en active Active
- 2020-06-24 CN CN202080005603.4A patent/CN112889259B/zh active Active
-
2021
- 2021-06-22 US US17/354,213 patent/US11930021B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105594156A (zh) * | 2014-05-08 | 2016-05-18 | 松下电器(美国)知识产权公司 | 车载网络系统、电子控制单元及不正常检测方法 |
| CN106031098A (zh) * | 2015-01-20 | 2016-10-12 | 松下电器(美国)知识产权公司 | 不正常帧应对方法、不正常检测电子控制单元以及车载网络系统 |
| US20160373449A1 (en) * | 2015-01-20 | 2016-12-22 | Panasonic Intellectual Property Corporation Of America | Method for handling case of detecting unauthorized frame transmitted over onboard network |
| US20170126709A1 (en) * | 2015-10-30 | 2017-05-04 | Citrix Systems, Inc. | Feature engineering for web-based anomaly detection |
| EP3316524A1 (en) * | 2016-10-28 | 2018-05-02 | Magneti Marelli S.p.A. | Protection device from cyber attacks to a vehicle through a diagnostic connector and related method |
| US20180262466A1 (en) * | 2017-03-09 | 2018-09-13 | Argus Cyber Security Ltd | System and method for providing cyber security to an in-vehicle network |
Non-Patent Citations (2)
| Title |
|---|
| SANG HAI-FENG 等: "Vehicle Abnormal Behavior Detection System Based on Video", IEEE * |
| 潘吴斌 等: "网络加密流量识别研究综述及展望", 通信学报, no. 09 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113992344A (zh) * | 2021-09-10 | 2022-01-28 | 深圳开源互联网安全技术有限公司 | 基于some/ip协议的通信数据异常检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7496823B2 (ja) | 2024-06-07 |
| WO2021002264A1 (ja) | 2021-01-07 |
| EP3996395B1 (en) | 2024-02-14 |
| EP3996395A4 (en) | 2022-05-11 |
| US11930021B2 (en) | 2024-03-12 |
| CN112889259B (zh) | 2023-08-22 |
| JPWO2021002264A1 (zh) | 2021-01-07 |
| EP3996395A1 (en) | 2022-05-11 |
| US20210314336A1 (en) | 2021-10-07 |
| WO2021002010A1 (ja) | 2021-01-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112889259B (zh) | 不正常帧检测装置以及不正常帧检测方法 | |
| US11956262B2 (en) | Anomaly detection device and anomaly detection method | |
| EP3148236B1 (en) | System and method for controlling access to an in-vehicle communication network | |
| JP5651615B2 (ja) | 車載ネットワークシステム | |
| US10735206B2 (en) | Securing information exchanged between internal and external entities of connected vehicles | |
| JP5395036B2 (ja) | 車載ネットワークシステム | |
| US9132790B2 (en) | In-vehicle network system | |
| KR101754951B1 (ko) | Can 통신 기반 해킹공격에 안전한 can 컨트롤러 | |
| JP7017520B2 (ja) | 通信装置、通信方法及び通信システム | |
| US20230353656A1 (en) | Service broker, service brokering method, and recording medium | |
| EP3910906B1 (en) | Communication security apparatus, control method, and storage medium storing a program | |
| US11438343B2 (en) | Motor vehicle having a data network which is divided into multiple separate domains and method for operating the data network | |
| JP2024088803A (ja) | 中継装置、車両通信方法および車両通信プログラム | |
| JP7045247B2 (ja) | 通信保護装置、制御方法、および、プログラム | |
| KR101825711B1 (ko) | Can 통신 기반 해킹공격에 안전한 can 컨트롤러 | |
| US20220210143A1 (en) | Apparatus and method for communicating data in in-vehicle network based on automotive ethernet | |
| KR20180039586A (ko) | Can 통신 기반 해킹공격에 안전한 can 컨트롤러 | |
| CN117195216A (zh) | 车辆校验方法、相关装置及系统 | |
| Burgardt | In-Vehicle Network Security: Attacks and Countermeasures | |
| CN113271283B (zh) | 消息接入方法及系统 | |
| JP2024131140A (ja) | 車両制御システムおよび通信処理方法 | |
| CN116266793A (zh) | 访问控制方法及其相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |