[go: up one dir, main page]

JP2024078798A - 通信システム、及び中継装置 - Google Patents

通信システム、及び中継装置 Download PDF

Info

Publication number
JP2024078798A
JP2024078798A JP2022191360A JP2022191360A JP2024078798A JP 2024078798 A JP2024078798 A JP 2024078798A JP 2022191360 A JP2022191360 A JP 2022191360A JP 2022191360 A JP2022191360 A JP 2022191360A JP 2024078798 A JP2024078798 A JP 2024078798A
Authority
JP
Japan
Prior art keywords
data
diagnosis target
target device
diagnostic
relay device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022191360A
Other languages
English (en)
Inventor
慎之介 菅原
Shinnosuke Sugawara
徳也 稲垣
Noriya Inagaki
聖剛 渡邊
Kiyotake Watanabe
亮介 村上
Ryosuke Murakami
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Toyota Motor Corp
Original Assignee
Denso Corp
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp, Toyota Motor Corp filed Critical Denso Corp
Priority to JP2022191360A priority Critical patent/JP2024078798A/ja
Priority to US18/379,750 priority patent/US12549564B2/en
Priority to CN202311342678.3A priority patent/CN118118203A/zh
Publication of JP2024078798A publication Critical patent/JP2024078798A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)

Abstract

Figure 2024078798000001
【課題】不正アクセスを防止したうえで、処理負荷が無用に高くなることを抑制する。
【解決手段】中継装置が診断ツールとの間で送受信される診断対象を診断するための診断用データDDを受信したとき(S11:YES)、ステップS12では、中継装置は、受信した診断用データDDの通信経路が正しいか否かを判定する。ステップS13では、中継装置は、受信した診断用データDDの通信経路が正しいか否かの判定結果を含む監視結果MRを診断対象装置へ送信する。
【選択図】図2

Description

本発明は、通信システム、及び中継装置に関する。
特許文献1には、通信システムが記載されている。通信システムは、複数の装置を接続するバスを備えている。バスを介して送受信されるデータについて、各装置は、共通鍵及びメッセージ認証コードを用いて、データの改ざん及びなりすましによる不正アクセスを防止している。
特開2016-096375号公報
特許文献1に記載されているような通信システムにおいて、データを中継する中継装置に診断ツールを接続することがある。このように診断ツールを接続すると、診断ツールとバスに接続されている各装置との間で、診断に関する各種のデータ等が送受信可能になる。このような機能を悪用して、上記の診断ツールからのデータになりすました不正なデータがバスを介して各装置へ入力されることがあり得る。特許文献1に記載されているような共通鍵及びメッセージ認証コードを用いた不正アクセスの防止技術であれば、上記のような不正なデータが送受信されることを防止し得る。しかし、共通鍵及びメッセージ認証コードを用いた技術は、各装置における処理負荷の増加をもたらす。したがって、共通鍵及びメッセージ認証コードを用いた技術とは別に、より処理負荷の低い不正アクセスの防止技術が求められている。
上記課題を解決するため、本開示の一態様は、診断ツールを接続するためのポートを有する中継装置と、前記中継装置とバスを介して接続している診断対象装置と、を備えており、前記中継装置は、前記診断ツールとの間で送受信される前記診断対象装置を診断するための診断用データを受信したとき、受信した前記診断用データの通信経路が正しいか否かを判定することと、受信した前記診断用データの前記通信経路が正しいか否かの判定結果を含む監視結果を、前記診断対象装置へ送信することと、を実行可能である通信システムである。
上記課題を解決するため、本開示の一態様は、診断ツールを接続するためのポートを有している中継装置であって、前記診断ツールとの間で送受信される診断対象装置を診断するための診断用データを受信したとき、受信した前記診断用データの通信経路が正しいか否かを判定することと、受信した前記診断用データの前記通信経路が正しいか否かの判定結果を含む監視結果を、前記ポートとは別の通信用のバスを介して外部へ送信することと、を実行可能である中継装置である。
上記各構成によれば、中継装置は、診断用データを受信したとき、受信した診断用データの通信経路が正しいか否かを判定する。そして、中継装置は判定結果を含む監視結果を、診断対象装置へ送信する。これにより、中継装置によって、不正アクセスか否かを判定できる。一方で、診断対象装置は、中継装置から受信する監視結果によって不正アクセスを把握できる。したがって、診断対象装置における処理負荷が無用に高くなることを抑制できる。
図1は、一実施形態の通信システムを示す概略図である。 図2は、中継装置の監視に関する一連の処理を示すフローチャートである。 図3は、中継装置の要求データについての監視の処理を示すフローチャートである。 図4は、中継装置の応答データについての監視の処理を示すフローチャートである。 図5は、診断対象装置のロック状態に関する処理を示すフローチャートである。 図6は、中継装置の通知信号に関する処理を示すフローチャートである。 図7は、診断対象装置のアンロック状態に関する処理を示すフローチャートである。 図8は、通信システムの信号の送受信を示すシーケンスチャートである。 図9は、変更例の通信システムを示す概略図である。
(一実施形態)
以下、通信システムの一実施形態について、図面を参照して説明する。なお、以下の説明では、通信システムを備える車両について説明する。
<通信システムの概略>
図1に示すように、車両10は、通信システム20を備えている。通信システム20は、中継装置30と、複数の制御装置40と、を備えている。中継装置30と各制御装置40とは、通信用のバス50を介して接続している。
本実施形態では、3つの制御装置40が、第1のバス50Aを介して中継装置30と接続している。また、2つの制御装置40が、第2のバス50Bを介して中継装置30と接続している。
各制御装置40は、車両10に搭載されたアクチュエータを制御する。制御装置40は、実行ユニット41と、記憶ユニット42と、を有している。実行ユニット41は、CPUである。記憶ユニット42は、ROM及びRAMである。記憶ユニット42は、自身の通信状態を示すパラメータを記憶している。通信状態は、ロック状態又はアンロック状態を示す。ロック状態は、診断ツール80との間で送受信される診断対象の装置を診断するためのデータである診断用データDDの通信ができない状態である。アンロック状態は、ロック状態が解除された状態、すなわち診断用データDDの通信を含む各種の通信ができる状態である。記憶ユニット42は、各種プログラムを記憶している。実行ユニット41は、記憶ユニット42に記憶されている各種プログラムを実行可能である。実行ユニット41がこれらのプログラムを実行することにより、アクチュエータに対する以下の制御機能を実現する。
例えば、制御装置40の1つは、車両10のエンジンを制御する。また例えば、制御装置40の1つは、車両10のブレーキを制御する。また例えば、制御装置40の1つは、車両10の操舵装置を制御する。また例えば、制御装置40の1つは、車両10のドアの鍵の開閉を制御する。
中継装置30は、各バス50を跨いで送受信されるデータを中継する。例えば、第1のバス50Aに接続されている制御装置40から、第2のバス50Bに接続されている制御装置40へとデータを送信すると仮定する。この場合、中継装置30は、第1のバス50Aを介して受信したデータを、第2のバス50Bを介して送信する。また、中継装置30は、診断ツール80を接続するためのポート31を備えている。ポート31には、診断ツール80からの信号が入力される。また、ポート31からは、診断ツール80への信号が送信される。診断ツール80は、例えば、ディーラなどの整備工場において、制御装置40の少なくとも1つを対象とした診断を行うためのツールである。
中継装置30は、実行ユニット32と、記憶ユニット33と、を有している。実行ユニット32は、CPUである。記憶ユニット33は、ROM及びRAMである。記憶ユニット33は、各種プログラムを記憶している。実行ユニット32は、記憶ユニット33に記憶されている各種プログラムを実行可能である。実行ユニット32は、これらのプログラムを実行することにより、以下の通信機能を実現する。
中継装置30は、ポート31を介して診断ツール80から、第1通信規格で送信されたメッセージを受信可能である。また、中継装置30は、受信した第1通信規格のメッセージを、第2通信規格にプロトコル変換して、バス50を介して宛先の制御装置40へ送信可能とする。すなわち、中継装置30は、いわゆるゲートウェイとして機能する。
また、中継装置30は、制御装置40からバス50を介して第2通信規格のメッセージを受信する。そして、中継装置30は、受信した第2通信規格のメッセージを、第1通信規格にプロトコル変換して、ポート31から診断ツール80へ送信可能とする。
ここで、複数の制御装置40のうち、診断ツール80の診断対象となる1つを診断対象装置40Aとする。そのため、診断対象装置40Aは、中継装置30とバス50を介して接続可能となっている。診断ツール80と、診断対象装置40Aと、の間では、診断用データDDを含むメッセージが送受信される。具体的には、診断ツール80による診断をするに際して、診断ツール80は、診断用データDDのうちの要求データRQを含むメッセージを、ポート31へ送信する。したがって、要求データRQの送信元は、診断ツール80である。そして、要求データRQは診断対象装置40Aに送信されるので、当該要求データRQは特定データの一例である。
中継装置30は、要求データRQを受信すると、要求データRQを含むメッセージを、バス50を介して中継装置30の外部である診断対象装置40Aへ送信する。診断対象装置40Aは、要求データRQを受信すると、要求データRQに応じて、応答データRPを出力する。そして、診断対象装置40Aは、応答データRPを含むメッセージを、バス50を介して中継装置30へ送信する。中継装置30は、受信した応答データRPを含むメッセージをポート31から診断ツール80へ送信する。そして、診断ツール80は、応答データRPに基づいて、診断対象装置40Aを診断する。したがって、応答データRPの送信先は、診断ツール80である。
なお、ここでいう「診断用データDD」は、メッセージ内に送信元又は送信先が診断ツール80であると特定できる情報が含まれるものをいう。したがって、「診断用データDD」は、実際に診断ツール80を送信元とするものだけでなく、診断ツール80が送信元であるかのように偽装したデータも含む。また、「診断用データDD」は、実際に診断ツール80に送信されたものだけでなく、診断ツール80であるかのように偽装した装置に送信されたデータも含む。
<中継装置の監視に関する一連の処理>
次に、中継装置30の監視に関する一連の処理について説明する。記憶ユニット33は、監視結果MRを送信するための監視結果送信用プログラムを記憶している。また、記憶ユニット33は、診断用データDDの通信経路を判定するためのプログラムとして、要求データ判定用プログラムと、応答データ判定用プログラムと、の2つのプログラムを記憶している。要求データ判定用プログラムは、要求データRQを基に、診断用データDDの通信経路を判定するプログラムである。応答データ判定用プログラムは、要求データRQに応じた応答データRPを基に、診断用データDDの通信経路を判定するプログラムである。実行ユニット32は、何らかのデータを受信したときに、監視結果送信用プログラムを実行する。
図2に示すように、実行ユニット32が、監視結果送信用プログラムの実行を開始すると、先ず、ステップS11の処理を行う。ステップS11では、実行ユニット32は、受信したデータが診断用データDDであるか否かを判定する。つまり、実行ユニット32は、診断用データDDを受信したか否かを判定する。なお、受信したデータが診断用データDDであるか否かは、受信したデータの送信元及び送信先により判定できる。実行ユニット32が受信したデータが診断用データDDでなかったとき(S11:NO)、実行ユニット32は、今回の一連の処理を終了する。一方で、実行ユニット32が診断用データDDを受信したとき(S11:YES)、実行ユニット32は、処理をステップS12へ進める。
ステップS12では、実行ユニット32は、受信した診断用データDDの通信経路が正しいか否かを判定する。具体的には、実行ユニット32は、記憶ユニット33が記憶している要求データ判定用プログラム及び応答データ判定用プログラムを実行する。各プログラムによる処理については、後述する。これにより、実行ユニット32は、診断用データDDの通信経路が正しいか否かを示す判定結果JRを取得する。その後、実行ユニット32は、処理をステップS13へ進める。
ステップS13では、実行ユニット32は、ステップS12において取得した判定結果JRを含む監視結果MRを、診断対象装置40Aと同じバス50を介して接続している診断対象のすべての制御装置40へ送信する。その後、実行ユニット32は、処理をステップS14へ進める。
ステップS14では、実行ユニット32は、ステップS12の処理を開始してから、予め定められた所定時間RTだけ経過したか否かを判定する。所定時間RTだが経過していないとき(S14:NO)、実行ユニット32は、ステップS13へ処理を戻す。つまり、実行ユニット32は、所定時間RT経過するまで、監視結果MRを繰り返し送信する。一方で、所定時間RTが経過したとき(S14:YES)、実行ユニット32は、今回の一連の処理を終了する。
<要求データについての監視>
図3に示すように、実行ユニット32が、要求データ判定用プログラムの実行を開始すると、先ず、ステップS21の処理を行う。ステップS21では、実行ユニット32は、診断用データDDのうちの要求データRQを受信したか否かを判定する。受信した診断用データDDが要求データRQでないとき(S21:NO)、実行ユニット32は、今回の一連の処理を終了する。一方で、受信した診断用データDDが要求データRQであるとき(S21:YES)、実行ユニット32は、処理をステップS22へ進める。
ステップS22では、実行ユニット32は、要求データRQをポート31から受信したか否かを判定する。具体的には、実行ユニット32は、受信した要求データRQを、実行ユニット32がポート31から受信したか、又はバス50から受信したか、を判定する。実行ユニット32が要求データRQを、バス50から受信したとき、実行ユニット32は、要求データRQをポート31から受信していないと判定する。実行ユニット32がポート31を介して要求データRQを受信したとき(S22:YES)、実行ユニット32は、処理をステップS23へ進める。
ステップS23では、実行ユニット32は、診断ツール80がポート31に接続されているか否かを判定する。診断ツール80がポート31に接続されているとき(S23:YES)、実行ユニット32は、処理をステップS24へ進める。
ステップS24では、実行ユニット32は、受信した要求データRQの通信経路が正しいと判定する。そして、実行ユニット32は、診断用データDDの通信経路が正しいことを示す判定結果JRを取得する。その後、実行ユニット32は、一連の処理を終了する。
一方で、ポート31を介して要求データRQを受信していないとき(S22:NO)、つまり、バス50を介して要求データRQを受信したとき、実行ユニット32は、処理をステップS25へ進める。また、診断ツール80がポート31に接続されていないとき(S23:NO)、実行ユニット32は、処理をステップS25へ進める。
ステップS25では、実行ユニット32は、受信した要求データRQの通信経路が正しくないと判定する。そして、実行ユニット32は、診断用データDDの通信経路が正しくないことを示す判定結果JRを取得する。その後、実行ユニット32は、一連の処理を終了する。
<応答データについての監視>
図4に示すように、実行ユニット32が、応答データ判定用プログラムの実行を開始すると、先ず、ステップS31の処理を行う。ステップS31では、実行ユニット32は、診断用データDDのうちの応答データRPを受信したか否かを判定する。実行ユニット32は、応答データRPを受信していないとき(S31:NO)、今回の一連の処理を終了する。一方で、実行ユニット32は、応答データRPを受信しているとき(S31:YES)、処理をステップS32へ進める。
ステップS32では、実行ユニット32は、診断ツール80がポート31に接続されているか否かを判定する。診断ツール80がポート31に接続されているとき(S32:YES)、実行ユニット32は、処理をステップS33へ進める。
ステップS33では、実行ユニット32は、受信した応答データRPの通信経路が正しいと判定する。そして、実行ユニット32は、診断用データDDの通信経路が正しいことを示す判定結果JRを取得する。その後、実行ユニット32は、一連の処理を終了する。
一方で、診断ツール80がポート31に接続されていないとき(S32:NO)、実行ユニット32は、処理をステップS34へ進める。
ステップS34では、実行ユニット32は、受信した応答データRPの通信経路が正しくないと判定する。そして、実行ユニット32は、診断用データDDの通信経路が正しくないことを示す判定結果JRを取得する。その後、実行ユニット32は、一連の処理を終了する。
<診断対象装置のロック状態>
診断対象装置40Aの記憶ユニット42Aは、自身の通信状態をロック状態にするための通信ロック用プログラムを記憶している。診断対象装置40Aの実行ユニット41Aは、監視結果MRを受信する度に、当該プログラムを実行する。なお、診断対象装置40Aの実行ユニット41を実行ユニット41Aと、診断対象装置40Aの記憶ユニット42を記憶ユニット42Aと、それぞれ称呼する。
図5に示すように、実行ユニット41Aが、通信ロック用プログラムの実行を開始すると、先ず、ステップS41の処理を行う。ステップS41では、実行ユニット41Aは、受信した監視結果MRに含まれる判定結果JRが、診断用データDDの通信経路が正しいものか否かを判定する。
受信した判定結果JRが、通信経路が正しいことを示すとき(S41:YES)、実行ユニット41Aは、今回の一連の処理を終了する。なお、この場合、実行ユニット41Aは、通常どおり、診断用データDDの通信等を行う。一方で、受信した判定結果JRが、通信経路が正しくないことを示すとき(S41:NO)、実行ユニット41Aは、処理をステップS42へ進める。
ステップS42では、実行ユニット41Aは、診断対象装置40A自身の通信状態を、診断用データDDの通信ができないロック状態にする。具体的には、実行ユニット41Aは、記憶ユニット42に記憶している通信状態を示すパラメータを、ロック状態を示すパラメータに変更する。これにより、診断対象装置40Aは、診断用データDD、すなわち診断ツール80を送信元又は送信先とするデータを受信できない状態になる。その後、実行ユニット41Aは、今回の一連の処理を終了する。
<診断ツールの接続>
記憶ユニット33は、ポート31への診断ツール80の接続状態を監視するためツール接続監視用プログラムを記憶している。実行ユニット32は、監視結果送信用プログラムを実行することにより、診断用データDDの通信経路が正しくないことを示す判定結果JRを含む監視結果MRを送信する。そして、実行ユニット32は、当該監視結果MRを送信した後の予め定められた期間、予め定められた周期で、ツール接続監視用プログラムを繰り返し実行する。
図6に示すように、実行ユニット32が、ツール接続監視用プログラムの実行を開始すると、先ず、ステップS51の処理を行う。ステップS51では、ポート31に診断ツール80が接続されたか否かを判定する。ポート31に診断ツール80が接続されていないとき(S51:NO)、実行ユニット32は、今回の一連の処理を終了する。
一方で、ポート31に診断ツール80が接続されたとき(S51:YES)、実行ユニット32は、処理をステップS52へ進める。ステップS52では、実行ユニット32は、ポート31に診断ツール80が接続されたことを示す通知信号NSを診断対象装置40Aへ送信する。その後、実行ユニット32は、今回の一連の処理を終了する。
<アンロック状態への変更>
記憶ユニット42Aは、診断対象装置40Aの通信状態について、ロック状態を解除するためのロック解除用プログラムを記憶している。実行ユニット41Aは、通知信号NSを受信したとき、ロック解除用プログラムを実行する。
図7に示すように、実行ユニット41Aがロック解除用プログラムの実行を開始すると、先ず、ステップS61の処理を行う。ステップS61では、実行ユニット41Aは、診断対象装置40Aの通信状態がロック状態であるか否かを判定する。実行ユニット41Aは、記憶ユニット42Aが記憶する通信状態を示すパラメータを参照して、通信状態を判定する。診断対象装置40Aの通信状態がロック状態でないとき(S61:NO)、実行ユニット41Aは、今回の一連の処理を終了する。一方で、診断対象装置40Aの通信状態がロック状態であるとき(S61:YES)、実行ユニット41Aは、処理をステップS62へ進める。
ステップS62では、実行ユニット41Aは、診断対象装置40Aの通信状態をロック状態にしてから予め定められた規定時間PTが経過しているか否かを判定する。規定時間PTが経過していないとき(S62:NO)、実行ユニット41Aは、今回の一連の処理を終了する。一方で、規定時間PTが経過しているとき(S62:YES)、実行ユニット41Aは、処理をステップS63へ進める。
ステップS63では、実行ユニット41Aは、診断対象装置40Aの通信状態について、ロック状態を解除してアンロック状態にする。具体的には、実行ユニット41Aは、記憶ユニット42Aが記憶している通信状態を示すパラメータを、ロック状態を示すパラメータからアンロック状態を示すパラメータへ変更する。通信状態がアンロック状態になっているときには、診断対象装置40Aは、診断用データDDを受信可能である。その後、実行ユニット41Aは、一連の処理を終了する。
(実施形態の作用)
上記実施形態の通信システム20においては、通常であれば、診断ツール80から中継装置30を介して診断対象装置40Aに診断用データDDのうちの要求データRQが送信される。また、要求データRQに応じて、診断対象装置40Aから中継装置30を介して診断対象装置40Aに診断用データDDのうちの応答データRPが送信される。一方、不正アクセスの場合には、要求データRQがバス50を介して中継装置30へ送信されたり、診断ツール80がポート31に接続されていない状態で応答データRPが中継装置30へ送信されたりする。
図8に示すように、上記実施形態の通信システム20において、中継装置30は、ポート31又はバス50を介して診断用データDDを受信したとき、診断用データDDの通信経路が正しいか否かを判定する。そして、中継装置30は、判定結果JRを含む監視結果MRを診断対象装置40Aへ繰り返し送信する。
監視結果MRを受信した診断対象装置40Aは、監視結果MRに含まれる判定結果JRにおいて診断用データDDの通信経路が正しくないことを示すとき、自身の通信状態をロック状態にする。
また、中継装置30は、診断用データDDの通信経路が正しくないことを示す判定結果JRを含む監視結果MRを送信した後、ポート31への診断ツール80の接続を監視する。そして、ポート31へ診断ツール80が接続されると、中継装置30は、診断対象装置40Aへ、通知信号NSを送信する。通知信号NSを受信した診断対象装置40Aは、自身の通信状態について、ロック状態を解除してアンロック状態にする。
(実施形態の効果)
(1)上記実施形態によれば、中継装置30は、診断用データDDを受信したとき、受信した診断用データDDの通信経路が正しいか否かを判定する。そして、中継装置30は判定結果JRを含む監視結果MRを、診断対象装置40Aへ送信する。これにより、通信経路が正しいか否かを判定できる中継装置30によって、不正アクセスか否かを判定できる。一方で、診断対象装置40Aは、中継装置30から受信する監視結果MRによって不正アクセスを把握できる。したがって、診断対象装置40Aにおける処理負荷が無用に高くなることを抑制できる。
(2)上記実施形態によれば、中継装置30は、正常時には、診断ツール80を送信元とする特定データとしての要求データRQを、ポート31を介して受信する。そのため、バス50を介して診断ツール80を送信元とする要求データRQを受信したとき、その要求データRQは送信元を偽った不正なものである可能性が高い。この点、上記実施形態では、中継装置30は、バス50を介して要求データRQを受信したことを条件に、要求データRQの通信経路は正しくないと判定する。したがって、上記実施形態によれば、診断対象装置40Aが受信した診断用データDDの通信経路が正しいか否かを高精度で判定できる。
(3)中継装置30は、正常時には、診断ツール80を送信元とする要求データRQを、ポート31を介して受信する。そのため、バス50を介して診断ツール80を送信元とする要求データRQを受信したとき、その要求データRQは送信元を偽った不正なものである可能性が高い。この点、上記実施形態では、中継装置30は、診断ツール80がポート31に接続されていることを条件に、要求データRQの通信経路が正しいと判定する。したがって、上記実施形態によれば、診断対象装置40Aが受信した要求データRQの通信経路が、診断ツール80を送信元とする正しい経路か否かを高精度で判定できる。
(4)診断ツール80は、応答データRPを送信することはない。したがって、中継装置30は、正規な応答データRPを、診断対象装置40Aからバス50を介して受信する。そのため、バス50を介して応答データRPを受信したことだけを条件として、通信経路が正しくないと判定することは不適である。この点、上記実施形態によれば、中継装置30は、バス50を介して応答データRPを受信したときには、診断ツール80がポート31に接続されていなことを条件に、応答データRPの通信経路が正しくないと判定する。つまり、中継装置30は、要求データRQに応じて応答データRPを送信するような状況でない場合には、応答データRPの通信経路が正しくないと判定している。これによれば、中継装置30は、応答データRPに基づいて、診断用データDDの通信経路を判定できる。
(5)上記実施形態によれば、中継装置30は、受信した診断用データDDの通信経路が正しくないことを示す判定結果JRを含む監視結果MRを、所定時間RT、診断対象装置40Aへ繰り返し送信する。仮に、不正アクセスをされると、一時的に中継装置30から診断対象装置40Aへのメッセージの送信ができないような状態になる可能性がある。そこで、上記実施形態では、監視結果MRを繰り返し送信することで、仮に一時的に送信できなかったとしても、診断対象装置40Aへ監視結果MRが届く可能性を高めることができる。
(6)上記実施形態によれば、診断対象装置40Aは、診断用データDDの通信経路が正しくないことを示す判定結果JRを含む監視結果MRを受信したことを条件に、通信状態をロック状態にする。ロック状態では、診断対象装置40Aは診断用データDDの通信ができない。これにより、不正になりすましたデータの通信も不可能となる。その結果、診断対象装置40Aが不正なデータを送受信することを防止できる。
(7)上記実施形態によれば、診断対象装置40Aは、通信状態をロック状態にしてから規定時間PT経過したことを条件に、通信状態をアンロック状態にする。悪意ある者が診断対象装置40Aに不正アクセスしようとしても、不正アクセスに失敗すれば、速やかにあきらめる可能性が高い。つまり、悪意ある者は、長時間に亘って不正アクセスを試みようとするとは考えにくい。したがって、上記実施形態のように、規定時間PT経過した後であれば、診断対象装置40Aの通信状態をアンロック状態にしても、問題は生じにくい。その一方で、ロック状態にしてからの規定時間PTを判定基準とするのであれば、診断対象装置40Aの処理負荷は最小限で済む。
(8)上記実施形態では、診断対象装置40Aは、通信状態がロック状態のとき、通知信号NSを受信したこと、及び通信状態をロック状態にしてから規定時間PT経過したことを条件に、通信状態をアンロック状態にする。これによれば、診断ツール80がポート31に接続されたこと、すなわち、正規の診断用データDDが受信される蓋然性があるときに、診断対象装置40Aがアンロック状態になる。したがって、診断ツール80を接続して正規にデータを送受信したい場合に、そのデータの送受信ができないといった状態は生じにくい。
(9)上記実施形態によれば、中継装置30は、監視結果MRを、診断対象装置40Aと同じバス50を介して接続している診断対象のすべての制御装置40へ送信する。ここで、診断対象装置40Aを、第1診断対象装置とし、第1のバス50Aに接続している他の制御装置40を第2診断対象装置とする。このとき、第1診断対象装置が第1のバス50Aを介して不正なデータを受信するとき、第2診断対象装置も第1のバス50Aを介して不正なデータを受信する可能性がある。この点、上記実施形態によれば、中継装置30は、監視結果MRを第2診断対象装置へも送信する。よって、第2診断対象装置も、診断用データDDの通信経路が正しくない場合に、そのことを把握できる。
(その他の実施形態)
上記実施形態は、以下のように変更して実施することができる。上記実施形態及び以下の変更例は、技術的に矛盾しない範囲で互いに組み合わせて実施することができる。
<全体について>
・上記実施形態では、送信元を診断ツール80とする特定データとして、要求データRQを例に挙げたが、特定データはこれに限られない。特定データは、送信元が診断ツール80であるデータであればよい。例えば、特定データは、応答データRPに対する診断結果を示すデータであってもよい。また例えば、特定データは、診断ツール80による診断を開始する旨を示すデータであってもよい。つまり、特定データは、応答データRPを要求するデータに限られない。
・診断用データDDは、要求データRQ及び応答データRPに限られない。診断用データDDは、上述した特定データを含む。診断用データDDは、送信元又は送信先が診断ツール80であるデータであればよい。
・監視結果MRは、少なくとも判定結果JRを含んでいればよい。例えば、監視結果MRとして、診断用データDDの通信経路が正しいか否かを示す判定結果JRとともに、ロック状態とすることを要求する旨のデータを含んだメッセージであってもよい。
・ロック状態では、診断対象装置40Aは、診断用データDDを含むすべてのデータについて、バス50を介して受信しなくてもよい。この場合、例えば、図9に示す例のように、診断対象装置40Aは、第1のバス50Aとは別に別バス60によって中継装置30に接続していればよい。そして、中継装置30は、別バス60を介して監視結果MRを送信すればよい。これによれば、中継装置30は、不正なデータを受信する可能性がある第1のバス50Aとは別の別バス60によって、監視結果MRを送信する。そのため、仮に診断対象装置40Aが第1のバス50Aを介してデータを受信しないように制御されていたとしても、監視結果MRを送信できる。
・診断ツール80は、いわゆるダイアグツールであればよい。診断ツール80における診断では、診断対象装置40Aから受信する応答データRPを取得するのみであってもよい。また、診断ツール80における診断では、要求データRQに応じた制御を行った結果を示すデータを応答データRPとして受信して、応答データRPに基づいて何らかの判断処理を行ってもよい。つまり、診断ツール80による診断の処理内容は問わない。
・上記実施形態の通信システム20において、特開2016-096375号公報に記載されているような、メッセージ認証コードをさらに用いてもよい。これにより、不正アクセスをさらに抑制することができる。
<中継装置について>
・中継装置30は、コンピュータプログラム(ソフトウェア)に従って各種処理を実行する1つ以上のプロセッサを含む回路(circuitry)として構成してもよい。なお、中継装置30は、各種処理のうち少なくとも一部の処理を実行する、特定用途向け集積回路(ASIC)等の1つ以上の専用のハードウェア回路、又はそれらの組み合わせを含む回路として構成してもよい。プロセッサは、CPU及び、RAM並びにROM等のメモリを含む。メモリは、処理をCPUに実行させるように構成されたプログラムコード又は指令を格納している。メモリすなわちコンピュータ可読媒体は、汎用又は専用のコンピュータでアクセスできるあらゆる利用可能な媒体を含む。この点、制御装置40についても同様である。
・中継装置30は、通知信号NSを送信しなくてもよい。この場合、診断対象装置40Aは、通知信号NSの受信に依らずに、通信状態をアンロック状態にすればよい。
・上記実施形態において、中継装置30は、バス50を介して要求データRQを受信したとき、要求データRQの通信経路が正しくないと判定しているが、さらに条件を加えて、判定してもよい。この場合、中継装置30は、バス50を介して要求データRQを受信したことを条件の1つに、要求データRQの通信経路が正しくないと判定してもよい。
・中継装置30は、要求データRQがバス50を介したか否かに拘わらず、要求データRQの通信経路を判定してもよい。具体的には、中継装置30は、要求データRQを受信したときに、診断ツール80がポート31に接続されていることのみを条件に、要求データRQの通信経路が正しいと判定してもよい。
・中継装置30は、監視結果MRを繰り返し送信しなくてもよい。例えば、中継装置30は、1回の判定による判定結果JRを含む監視結果MRを1回のみ送信してもよい。
・上記実施形態では、中継装置30は、診断用データDDのうち、要求データRQ及び応答データRPのいずれについても通信経路が正しいか否かを判定しているが、いずれかのデータのみについて判定をしてもよい。具体的には、中継装置30は、ステップS21において、要求データ判定用プログラム又は応答データ判定用プログラムを実行してもよい。そのため、中継装置30は、応答データRPを用いて診断用データDDの通信経路が正しいか否かを判定しなくてもよい。また例えば、中継装置30は、要求データRQを用いて診断用データDDの通信経路が正しいか否かを判定しなくてもよい。
<診断対象装置について>
・複数の制御装置40のうち、診断対象となる装置は1つのみでもよい。
・診断対象装置40Aは、通知信号NSに依らずに、ロック状態にしてから規定時間PT経過したことのみを条件に、通信状態をアンロック状態にしてもよい。この場合であっても、規定時間PTだけ、通信状態がロック状態とされることで、不正アクセスを試みることが中断される。
・診断対象装置40Aは、規定時間PT経過したか否かに依らずに、通知信号NSを受信したことのみを条件に、通信状態をアンロック状態にしてもよい。このように、診断対象装置40Aは、通知信号NSによって、通信状態を変更してもよい。
・診断対象装置40Aは、診断用データDDの通信経路が正しくないことを示す判定結果JRを含む監視結果MRを受信したとき、通信状態をロック状態にしなくてもよい。例えば、診断対象装置40Aは、診断用データDDを受信はするものの、当該診断用データDDに基づいた制御をしなければよい。
<関連する技術的思想>
上記実施形態及び変更例から把握できる技術的思想について記載する。
<1>
診断ツールを接続するためのポートを有する中継装置と、前記中継装置とバスを介して接続している診断対象装置と、を備えており、
前記中継装置は、
前記診断ツールとの間で送受信される前記診断対象装置を診断するための診断用データを受信したとき、受信した前記診断用データの通信経路が正しいか否かを判定することと、
受信した前記診断用データの前記通信経路が正しいか否かの判定結果を含む監視結果を、前記診断対象装置へ送信することと、を実行可能である
通信システム。
<2>
前記中継装置は、前記診断用データとして、前記診断ツールから前記診断対象装置へと送信される特定データを、前記バスを介して受信したとき、受信した前記診断用データの前記通信経路が正しくないと判定する
<1>に記載の通信システム。
<3>
前記中継装置は、前記診断用データとして、前記診断ツールから前記診断対象装置へと送信される特定データを受信したとき、前記診断ツールが前記ポートに接続されていることを条件に、前記診断用データの前記通信経路は正しいと判定する
<1>又は<2>に記載の通信システム。
<4>
前記診断対象装置は、前記診断ツールから前記診断対象装置へと送信される特定データに応じて、前記診断ツールに対して応答データを出力すること、を実行可能であり、
前記中継装置は、前記診断用データとして、前記応答データを受信したとき、前記診断ツールが前記ポートに接続されていないことを条件に、前記診断用データの前記通信経路は正しくないと判定する
<1>~<3>のいずれか1つに記載の通信システム。
<5>
前記中継装置は、
受信した前記診断用データの前記通信経路が正しくないと判定したとき、受信した前記診断用データの前記通信経路が正しくないことを示す判定結果を含む前記監視結果を、予め定められた所定時間、前記診断対象装置へ繰り返し送信する
<1>~<4>のいずれか1つに記載の通信システム。
<6>
前記診断対象装置は、
前記診断用データの前記通信経路が正しくないことを示す前記判定結果を含む前記監視結果を受信したことを条件に、自身の通信状態を、少なくとも前記診断用データの通信ができないロック状態にする
<1>~<5>のいずれか1つに記載の通信システム。
<7>
前記診断対象装置は、
自身の前記通信状態を前記ロック状態にしてから予め定められた規定時間経過したことを条件に、自身の前記通信状態を、前記診断用データの通信が可能なアンロック状態にする
<6>に記載の通信システム。
<8>
前記中継装置は、前記ポートに前記診断ツールが接続されたとき、前記ポートに前記診断ツールが接続されたことを示す通知信号を前記診断対象装置へ送信することを、さらに実行可能であり、
前記診断対象装置は、
自身の前記通信状態が前記ロック状態のとき、前記通知信号を受信したこと、及び自身の前記通信状態を前記ロック状態にしてから前記規定時間経過したことを条件に、自身の前記通信状態を、前記アンロック状態にする
<7>に記載の通信システム。
<9>
前記診断対象装置は、前記バスに加えて、前記バスとは別の別バスで前記中継装置に接続しており、
前記診断対象装置は、前記ロック状態では、前記バスを介したデータの通信をしない状態とし、
前記中継装置は、前記別バスを介して前記監視結果を前記診断対象装置へ送信する
<6>~<8>のいずれか1つに記載の通信システム。
<10>
前記診断対象装置を第1診断対象装置としたとき、
前記第1診断対象装置とは別の第2診断対象装置をさらに備え、
前記第2診断対象装置は、前記バスを介して前記中継装置と接続しており、
前記中継装置は、前記監視結果を前記第2診断対象装置へ送信する
<1>~<9>のいずれか1つに記載の通信システム。
10…車両
20…通信システム
30…中継装置
31…ポート
32…実行ユニット
33…記憶ユニット
40…制御装置
40A…診断対象装置
41,41A…実行ユニット
42,42A…記憶ユニット
50…バス
60…別バス
80…診断ツール

Claims (11)

  1. 診断ツールを接続するためのポートを有する中継装置と、前記中継装置とバスを介して接続している診断対象装置と、を備えており、
    前記中継装置は、
    前記診断ツールとの間で送受信される前記診断対象装置を診断するための診断用データを受信したとき、受信した前記診断用データの通信経路が正しいか否かを判定することと、
    受信した前記診断用データの前記通信経路が正しいか否かの判定結果を含む監視結果を、前記診断対象装置へ送信することと、を実行可能である
    通信システム。
  2. 前記中継装置は、前記診断用データとして、前記診断ツールから前記診断対象装置へと送信される特定データを、前記バスを介して受信したとき、受信した前記診断用データの前記通信経路が正しくないと判定する
    請求項1に記載の通信システム。
  3. 前記中継装置は、前記診断用データとして、前記診断ツールから前記診断対象装置へと送信される特定データを受信したとき、前記診断ツールが前記ポートに接続されていることを条件に、前記診断用データの前記通信経路は正しいと判定する
    請求項1に記載の通信システム。
  4. 前記診断対象装置は、前記診断ツールから前記診断対象装置へと送信される特定データに応じて、前記診断ツールに対して応答データを出力すること、を実行可能であり、
    前記中継装置は、前記診断用データとして、前記応答データを受信したとき、前記診断ツールが前記ポートに接続されていないことを条件に、前記診断用データの前記通信経路は正しくないと判定する
    請求項1に記載の通信システム。
  5. 前記中継装置は、
    受信した前記診断用データの前記通信経路が正しくないと判定したとき、受信した前記診断用データの前記通信経路が正しくないことを示す前記判定結果を含む前記監視結果を、予め定められた所定時間、前記診断対象装置へ繰り返し送信する
    請求項1に記載の通信システム。
  6. 前記診断対象装置は、
    前記診断用データの前記通信経路が正しくないことを示す前記判定結果を含む前記監視結果を受信したことを条件に、自身の通信状態を、少なくとも前記診断用データの通信ができないロック状態にする
    請求項1に記載の通信システム。
  7. 前記診断対象装置は、
    自身の前記通信状態を前記ロック状態にしてから予め定められた規定時間経過したことを条件に、自身の前記通信状態を、前記診断用データの通信が可能なアンロック状態にする
    請求項6に記載の通信システム。
  8. 前記中継装置は、前記ポートに前記診断ツールが接続されたとき、前記ポートに前記診断ツールが接続されたことを示す通知信号を前記診断対象装置へ送信することを、さらに実行可能であり、
    前記診断対象装置は、
    自身の前記通信状態が前記ロック状態のとき、前記通知信号を受信したこと、及び自身の前記通信状態を前記ロック状態にしてから前記規定時間経過したことを条件に、自身の前記通信状態を、前記アンロック状態にする
    請求項7に記載の通信システム。
  9. 前記診断対象装置は、前記バスに加えて、前記バスとは別の別バスで前記中継装置に接続しており、
    前記診断対象装置は、前記ロック状態では、前記バスを介したデータの通信をしない状態とし、
    前記中継装置は、前記別バスを介して前記監視結果を前記診断対象装置へ送信する
    請求項6に記載の通信システム。
  10. 前記診断対象装置を第1診断対象装置としたとき、
    前記第1診断対象装置とは別の第2診断対象装置をさらに備え、
    前記第2診断対象装置は、前記バスを介して前記中継装置と接続しており、
    前記中継装置は、前記監視結果を前記第2診断対象装置へ送信する
    請求項1に記載の通信システム。
  11. 診断ツールを接続するためのポートを有している中継装置であって、
    前記診断ツールとの間で送受信される診断対象装置を診断するための診断用データを受信したとき、受信した前記診断用データの通信経路が正しいか否かを判定することと、
    受信した前記診断用データの前記通信経路が正しいか否かの判定結果を含む監視結果を、前記ポートとは別の通信用のバスを介して外部へ送信することと、を実行可能である
    中継装置。
JP2022191360A 2022-11-30 2022-11-30 通信システム、及び中継装置 Pending JP2024078798A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2022191360A JP2024078798A (ja) 2022-11-30 2022-11-30 通信システム、及び中継装置
US18/379,750 US12549564B2 (en) 2022-11-30 2023-10-13 Communication system and relay device
CN202311342678.3A CN118118203A (zh) 2022-11-30 2023-10-17 通信系统和中继装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022191360A JP2024078798A (ja) 2022-11-30 2022-11-30 通信システム、及び中継装置

Publications (1)

Publication Number Publication Date
JP2024078798A true JP2024078798A (ja) 2024-06-11

Family

ID=91191262

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022191360A Pending JP2024078798A (ja) 2022-11-30 2022-11-30 通信システム、及び中継装置

Country Status (2)

Country Link
JP (1) JP2024078798A (ja)
CN (1) CN118118203A (ja)

Also Published As

Publication number Publication date
CN118118203A (zh) 2024-05-31
US20240179179A1 (en) 2024-05-30

Similar Documents

Publication Publication Date Title
JP6477281B2 (ja) 車載中継装置、車載通信システム及び中継プログラム
US7797737B2 (en) Security for network-connected vehicles and other network-connected processing environments
US11647045B2 (en) Monitoring a network connection for eavesdropping
JP2019174426A (ja) 異常検知装置、異常検知方法およびプログラム
CN109005148B (zh) 用于保护车辆网络免受被篡改的数据传输的方法
US11394726B2 (en) Method and apparatus for transmitting a message sequence over a data bus and method and apparatus for detecting an attack on a message sequence thus transmitted
JP2006191338A (ja) バス内のデバイスの故障診断を行うゲートウエイ装置
JP2017168993A (ja) 監視装置、及び、通信システム
JP2024078798A (ja) 通信システム、及び中継装置
CN103475634B (zh) 用于安全地传输数据的方法和通信系统
JP2024078797A (ja) 通信システム、中継装置、及び診断対象装置
CN115761942A (zh) 一种蓝牙解锁方法、系统、设备及存储介质
US12549564B2 (en) Communication system and relay device
JP7067508B2 (ja) ネットワークシステム
CN115891905A (zh) 锁车方法、装置、设备及存储介质
KR100772877B1 (ko) 디바이스 상호간 계층적 연결 장치 및 방법
JP2018007211A (ja) 車載通信システム
CN110445798B (zh) Dns防劫持方法、装置及电子设备
JP2023171038A5 (ja)
JP7753961B2 (ja) 車載ゲートウェイ装置及びインジェクション攻撃の検出方法
CN119011335B (zh) 一种控制方法、装置、芯片及计算机程序产品
JP2021114687A (ja) 情報処理装置、情報処理システム及びプログラム
CN115082069B (zh) 一种基于智能合约调度的跨链数据获取方法和装置
KR102746386B1 (ko) Can 버스 통신에서 위변조 ecu의 진단 id 식별 방법 및 이를 수행하는 시스템
JP6822090B2 (ja) 通信システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20251008