Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6973120B2 - Spoofing detectors, detection methods, and computer programs - Google Patents
[go: Go Back, main page]

JP6973120B2 - Spoofing detectors, detection methods, and computer programs - Google Patents

Spoofing detectors, detection methods, and computer programs Download PDF

Info

Publication number
JP6973120B2
JP6973120B2 JP2018011780A JP2018011780A JP6973120B2 JP 6973120 B2 JP6973120 B2 JP 6973120B2 JP 2018011780 A JP2018011780 A JP 2018011780A JP 2018011780 A JP2018011780 A JP 2018011780A JP 6973120 B2 JP6973120 B2 JP 6973120B2
Authority
JP
Japan
Prior art keywords
communication
power supply
communication network
devices
target device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018011780A
Other languages
Japanese (ja)
Other versions
JP2019129500A5 (en
JP2019129500A (en
Inventor
哲生 山下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Electric Industries Ltd
Original Assignee
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Electric Industries Ltd filed Critical Sumitomo Electric Industries Ltd
Priority to JP2018011780A priority Critical patent/JP6973120B2/en
Publication of JP2019129500A publication Critical patent/JP2019129500A/en
Publication of JP2019129500A5 publication Critical patent/JP2019129500A5/ja
Application granted granted Critical
Publication of JP6973120B2 publication Critical patent/JP6973120B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

この発明はなりすまし検出装置、検出方法、およびコンピュータプログラムに関し、特に、車載装置への電力供給を制御するなりすまし検出装置、検出方法、およびコンピュータプログラムに関する。 The present invention relates to a spoofing detector, a detection method, and a computer program, and more particularly to a spoofing detector, a detection method, and a computer program that controls power supply to an in-vehicle device.

近年、自動車の技術分野においては、車両の高機能化が進行しており、多種多様な車載機器が車両に搭載されている。従って、車両には、各車載機器を制御するための制御装置である、所謂ECU(Electronic Control Unit)が多数搭載されている。
ECUの種類には、例えば、アクセル、ブレーキ、ハンドルの操作に対してエンジンやブレーキ、EPS(Electric Power Steering)等の制御を行う走行系に関わるもの、乗員によるスイッチ操作に応じて車内照明やヘッドライトの点灯/消灯と警報器の吹鳴等の制御を行うボディ系ECU、運転席近傍に配設されるメータ類の動作を制御するメータ系ECUなどがある。
In recent years, in the technical field of automobiles, the sophistication of vehicles has been increasing, and a wide variety of in-vehicle devices are mounted on the vehicles. Therefore, the vehicle is equipped with a large number of so-called ECUs (Electronic Control Units), which are control devices for controlling each in-vehicle device.
The types of ECUs include, for example, those related to the traveling system that controls the engine, brakes, EPS (Electric Power Steering), etc. for the operation of the accelerator, brakes, and steering wheel, and the interior lighting and head according to the switch operation by the occupants. There are body-based ECUs that control lighting / extinguishing of lights and sounding of alarms, meter-based ECUs that control the operation of meters arranged near the driver's seat, and the like.

複数のECUを含む車内ネットワークに対して悪意ある第三者のアクセスが成功すると、車外装置を用いて送信元をいずれかのECUと詐称して(なりすまして)他のECUにメッセージを送信する場合が想定される。 When a malicious third party successfully accesses an in-vehicle network including multiple ECUs, a message is sent to another ECU by spoofing (spoofing) the source as one of the ECUs using an external device. Is assumed.

この問題に対して、特許文献1には、CAN(Controller Area Network)通信システムを構成する複数のECUの各々において、受信したフレームに含まれる送信元IDが自身のIDである場合になりすましを検出する技術が開示されている。 To solve this problem, Patent Document 1 detects spoofing when the source ID included in the received frame is its own ID in each of the plurality of ECUs constituting the CAN (Controller Area Network) communication system. The technology to do is disclosed.

特開2014−11621号公報Japanese Unexamined Patent Publication No. 2014-11621

しかしながら、特許文献1では、ECUは自身が送信元と詐称されていることのみ検出するものであるため、すべてのECUについて送信元が詐称されているか否かを判定するためには、すべてのECUが検出処理を行う必要がある。そのため、全体としてECUの処理負荷が高くなることがある。 However, in Patent Document 1, since the ECU only detects that the ECU is spoofed as the source, it is necessary to determine whether or not the source is spoofed for all the ECUs. Needs to perform detection processing. Therefore, the processing load of the ECU may increase as a whole.

本発明のある局面における目的は、容易な制御によって、対象装置を詐称する通信ノードの存在を検出することにより、なりすましの存在を高精度で検出するなりすまし検出装置、その検出方法、およびコンピュータプログラムを提供することである。 An object of the present invention in a certain aspect is to provide a spoofing detection device, a detection method thereof, and a computer program for detecting the presence of spoofing with high accuracy by detecting the presence of a communication node that impersonates the target device by simple control. To provide.

ある実施の形態に従うと、なりすまし検出装置は、信ネットワークに属する複数の置への電力供給を個別に制御する電源制御部と、通信ネットワークの通信状態を取得する取得部と、複数の置のうちの1つの置である対象装置の電力供給状態、および、通信ネットワークの通信状態に基づいて、対象装置を詐称する通信ノードの存在を検出する検出部と、を備える。 According to some embodiments, spoofing detection device, a power supply control unit for individually controlling the power supply to the plurality of equipment belonging to the communication network, an acquisition unit that acquires the communication state of the communication network, a plurality of instrumentation power supply status of the target device is one equipment of the location, and comprises, based on the communication state of the communication network, a detector for detecting the presence of a communication node spoofing target device.

他の実施の形態に従うと、検出方法は、複数の置の属する信ネットワークにおいて、複数の置のうちの1つの置である対象装置を詐称する通信ノードの存在を検出する方法であって、複数の置への電力供給を個別に制御するステップと、通信ネットワークの通信状態を取得するステップと、対象装置の電力供給状態、および、通信ネットワークの通信状態に基づいて、通信ノードの存在を検出するステップと、を備える。 According to another embodiment, the detection method, the communication network Field of the plurality of equipment, a method of detecting the presence of a communication node spoofing target device is one equipment of the plurality of equipment there are, and controlling the power supply to the plurality of equipment individually acquiring a communication state of the communication network, the power supply state of the target device, and, based on the communication state of the communication network, the communication node It comprises a step of detecting the presence of.

他の実施の形態に従うと、コンピュータプログラムはなりすまし検出装置としてコンピュータを機能させるためのコンピュータプログラムであって、コンピュータを、信ネットワークに属する複数の置への電力供給を個別に制御する電源制御部と、通信ネットワークの通信状態を取得する取得部と、複数の置のうちの1つの置である対象装置の電力供給状態、および、通信ネットワークの通信状態に基づいて、対象装置を詐称する通信ノードの存在を検出する検出部、として機能させる。 According to another embodiment, a computer program for a computer program for causing a computer to function as spoofing detection device, computer, power control for individually controlling the power supply to the plurality of equipment belonging to the communication network spoofing a section, an acquisition unit that acquires the communication state of the communication network, the power supply state of the target device is one equipment of the plurality of equipment, and, based on the communication state of the communication network, the target device It functions as a detector that detects the existence of a communication node.

この発明によると、対象装置の電力供給状態および通信ネットワークの通信状態に基づいて対象装置を詐称する通信ノードの存在を検出することにより、容易な制御によって高精度でなりすましの存在を検出することができる。 According to the present invention, by detecting the existence of a communication node that spoofed the target device based on the power supply state of the target device and the communication state of the communication network, it is possible to detect the presence of spoofing with high accuracy by easy control. can.

実施の形態にかかる車両の構成を表した概略図である。It is the schematic which showed the structure of the vehicle which concerns on embodiment. 中継装置の内部構成を示すブロック図である。It is a block diagram which shows the internal structure of a relay device. 電源制御装置の内部構成を示すブロック図である。It is a block diagram which shows the internal structure of a power supply control device. 第1の実施の形態にかかる検出処理の流れを表したフローチャートである。It is a flowchart which showed the flow of the detection process which concerns on 1st Embodiment. 第2の実施の形態にかかる検出処理の流れを表したフローチャートである。It is a flowchart which showed the flow of the detection process which concerns on the 2nd Embodiment.

[実施の形態の説明]
本実施の形態には、少なくとも以下のものが含まれる。すなわち、
(1)本実施の形態に含まれるなりすまし検出装置は、車内の通信ネットワークに属する複数の車載制御装置への電力供給を個別に制御する電源制御部と、通信ネットワークの通信状態を取得する取得部と、複数の車載制御装置のうちの1つの車載制御装置である対象装置の電力供給状態、および、通信ネットワークの通信状態に基づいて、対象装置を詐称する通信ノードの存在、つまり、なりすましの存在を検出する検出部と、を備える。
対象装置の電力供給状態および通信ネットワークの通信状態に基づいて対象装置を詐称する通信ノードの存在を検出することにより、容易な制御によって高精度でなりすましの存在を検出することができる。また、複数の車載制御装置への電力供給を個別に制御することによって、複数の車載制御装置のいずれも対象装置としてなりすましの存在を検出することができる。
[Explanation of Embodiment]
The present embodiment includes at least the following. That is,
(1) The spoofing detection device included in the present embodiment is a power supply control unit that individually controls the power supply to a plurality of in-vehicle control devices belonging to the communication network in the vehicle, and an acquisition unit that acquires the communication status of the communication network. And, based on the power supply state of the target device, which is one of the in-vehicle control devices, and the communication state of the communication network, the existence of a communication node that impersonates the target device, that is, the existence of spoofing. It is provided with a detection unit for detecting.
By detecting the existence of a communication node that spoofed the target device based on the power supply state of the target device and the communication state of the communication network, the existence of spoofing can be detected with high accuracy by easy control. Further, by individually controlling the power supply to the plurality of vehicle-mounted control devices, it is possible to detect the presence of spoofing as the target device in any of the plurality of vehicle-mounted control devices.

(2)好ましくは、対象装置への電力供給が遮断された状態において、対象装置を送信元とした通信が生じている場合に、検出部は上記通信ノードの存在を検出する。
対象装置への電力供給が遮断されている場合には当該対象装置を送信元とした通信は生じないため、対象装置への電力供給が遮断されている状態においては、当該対象装置を送信元とした通信が生じているか否かという容易な判定によって高精度でなりすましの存在を検出できる。
(2) Preferably, when the power supply to the target device is cut off and the communication with the target device as the transmission source occurs, the detection unit detects the existence of the communication node.
When the power supply to the target device is cut off, communication with the target device as the source does not occur. Therefore, when the power supply to the target device is cut off, the target device is used as the transmission source. The presence of spoofing can be detected with high accuracy by easily determining whether or not the communication has occurred.

(3)好ましくは、なりすまし検出装置は、通信ノードの存在が検出されると、被詐称装置である対象装置の識別情報を複数の車載制御装置のうちの対象装置以外の車載制御装置である非対象装置に通知する通知部をさらに備える。
被詐称装置である対象装置の識別情報が通知されることによって、非対象装置は当該対象装置を送信元とした送信メッセージに対処することができる。
(3) Preferably, when the presence of the communication node is detected, the spoofing detection device is a non-vehicle-mounted control device other than the target device among a plurality of vehicle-mounted control devices, which obtains identification information of the target device which is a spoofed device. Further, a notification unit for notifying the target device is provided.
By notifying the identification information of the target device that is the spoofed device, the non-target device can deal with the transmission message originating from the target device.

(4)好ましくは、通知部は、識別情報を表示装置で表示する処理を実行する。
これにより、ユーザは、対象装置を表示装置の表示によって知ることができる。
(4) Preferably, the notification unit executes a process of displaying the identification information on the display device.
As a result, the user can know the target device by the display of the display device.

(5)好ましくは、通信ノードの存在が検出されると、電源制御部は、被詐称装置である対象装置の安全性のレベルが所定レベルよりも高いときには、対象装置への電力供給を遮断する。
これにより、対象装置の安全性のレベルが高い場合に、当該車両における安全性を確保することができる。
(5) Preferably, when the presence of the communication node is detected, the power supply control unit cuts off the power supply to the target device when the safety level of the target device, which is the spoofed device, is higher than the predetermined level. ..
As a result, when the safety level of the target device is high, the safety of the vehicle can be ensured.

(6)本実施の形態に含まれる検出方法は、(1)〜(5)のいずれか1つに記載のなりすまし装置において、複数の車載制御装置のうちの1つの車載制御装置である対象装置を詐称する通信ノードの存在を検出する方法である。
かかる検出方法は、上記(1)〜(5)のなりすまし検出装置と同様の効果を奏する。
(6) The detection method included in the present embodiment is the target device which is one of a plurality of in-vehicle control devices in the spoofing device according to any one of (1) to (5). This is a method of detecting the existence of a communication node that spoofed.
Such a detection method has the same effect as that of the spoofing detection devices (1) to (5) above.

(7)本実施の形態に含まれるコンピュータプログラムは、コンピュータを、(1)〜(5)のいずれか1つに記載のなりすまし検出装置として機能させる。
かかるコンピュータプログラムは、上記(1)〜(5)のなりすまし検出装置と同様の効果を奏する。
(7) The computer program included in the present embodiment causes the computer to function as the spoofing detection device according to any one of (1) to (5).
Such a computer program has the same effect as that of the spoofing detection devices (1) to (5) above.

[実施の形態の詳細]
以下に、図面を参照しつつ、好ましい実施の形態について説明する。以下の説明では、同一の部品および構成要素には同一の符号を付してある。それらの名称および機能も同じである。したがって、これらの説明は繰り返さない。
[Details of the embodiment]
Hereinafter, preferred embodiments will be described with reference to the drawings. In the following description, the same parts and components are designated by the same reference numerals. Their names and functions are the same. Therefore, these explanations will not be repeated.

<第1の実施の形態>
〔車両構成〕
図1は第1の実施の形態にかかる車両の構成を表した概略図である。
図1を参照して、本実施の形態にかかる車両1は、車外装置と通信するための車外通信機15と、複数のECU(Electronic Control Unit)30A,30B,30C,…と、車外装置と複数のECU30A,30B,30C,…との通信を中継するECUである中継装置10と、これらに電力を供給するバッテリ40と、電源制御装置20と、を含む。複数のECU30A,30B,30C,…を代表させてECU30とも称する。複数のECU30それぞれを区別するときには、ECU−1,ECU−2,ECU−3,…とも表現する。バッテリ40は、メインバッテリおよびサブバッテリからなるものであってもよい。
<First Embodiment>
[Vehicle configuration]
FIG. 1 is a schematic view showing the configuration of a vehicle according to the first embodiment.
With reference to FIG. 1, the vehicle 1 according to the present embodiment includes an external communication device 15 for communicating with an external device, a plurality of ECUs (Electronic Control Units) 30A, 30B, 30C, ..., And an external device. It includes a relay device 10 which is an ECU that relays communication with a plurality of ECUs 30A, 30B, 30C, ..., A battery 40 that supplies power to these, and a power supply control device 20. A plurality of ECUs 30A, 30B, 30C, ... Are also referred to as ECU30 as a representative. When distinguishing each of the plurality of ECUs 30, they are also expressed as ECU-1, ECU-2, ECU-3, .... The battery 40 may consist of a main battery and a sub-battery.

各ECU30は、中継装置10において終端する車内通信線16によって接続されて、中継装置10とともに車内の通信ネットワーク4を構成する。通信ネットワーク4はECU30同士の通信を可能とする、バス型の通信ネットワーク(たとえば、CAN(Controller Area Network))よりなる。この通信方式のネットワークでは、データフレームと呼ばれるフォーマットに情報を格納して送受信される。 Each ECU 30 is connected by an in-vehicle communication line 16 terminated in the relay device 10 to form an in-vehicle communication network 4 together with the relay device 10. The communication network 4 is composed of a bus-type communication network (for example, CAN (Controller Area Network)) that enables communication between ECUs 30. In this communication method network, information is stored in a format called a data frame and transmitted / received.

通信ネットワーク4は、CANだけでなく、LIN(Local Interconnect Network)、CANFD(CAN with Flexible Data Rate)、Ethernet(登録商標)、又はMOST(Media Oriented Systems Transport:MOSTは登録商標)などの通信規格を採用するネットワークであってもよい。 The communication network 4 uses not only CAN but also communication standards such as LIN (Local Interconnect Network), CANFD (CAN with Flexible Data Rate), Ethernet (registered trademark), or MOST (Media Oriented Systems Transport: MOST is a registered trademark). It may be the network to be adopted.

ECU30は、たとえば、アクセル、ブレーキ、ハンドルの操作に対してエンジンやブレーキ、EPS(Electric Power Steering)等の制御を行うパワー・トレイン系ECU、スイッチ操作に応じて車内照明やヘッドライトの点灯/消灯と警報器の吹鳴等の制御を行うボディ系ECU、運転席近傍に配設されるメータ類の動作を制御するメータ系ECUなどである。 The ECU 30 is, for example, a power train system ECU that controls the engine, brakes, EPS (Electric Power Steering), etc. for the operation of the accelerator, brake, and steering wheel, and turns on / off the interior lighting and headlights according to the switch operation. A body-based ECU that controls the sounding of an alarm, a meter-based ECU that controls the operation of meters arranged near the driver's seat, and the like.

中継装置10は、さらに、所定規格の通信線を介して車外通信機15と接続されている。または、中継装置10は、車外通信機15を搭載していてもよい。車外通信機15は、インターネット等の広域通信網2を介して、車外装置と無線通信する。車外装置は、たとえば、ECU30の更新用プログラムを保存するサーバ5である。または、車外通信機15は図示しないプラグを有し、当該プラグに接続された車外装置と有線にて通信してもよい。車外通信機15は、ユーザが所有する携帯電話機、スマートフォン、タブレット型端末、ノートPC(Personal Computer)等の装置であってもよい。 The relay device 10 is further connected to the out-of-vehicle communication device 15 via a communication line of a predetermined standard. Alternatively, the relay device 10 may be equipped with an out-of-vehicle communication device 15. The out-of-vehicle communication device 15 wirelessly communicates with the out-of-vehicle device via a wide area communication network 2 such as the Internet. The out-of-vehicle device is, for example, a server 5 that stores an update program for the ECU 30. Alternatively, the out-of-vehicle communication device 15 may have a plug (not shown) and may communicate with an out-of-vehicle device connected to the plug by wire. The out-of-vehicle communication device 15 may be a device such as a mobile phone, a smartphone, a tablet terminal, or a notebook PC (Personal Computer) owned by the user.

中継装置10は、車外装置から車外通信機15が受信した情報をECU30に中継する。また、中継装置10は、ECU30から受信した情報を車外通信機15に中継する。車外通信機15は、中継された情報を車外装置に無線送信する。 The relay device 10 relays the information received by the vehicle outside communication device 15 from the vehicle outside device to the ECU 30. Further, the relay device 10 relays the information received from the ECU 30 to the out-of-vehicle communication device 15. The out-of-vehicle communication device 15 wirelessly transmits the relayed information to the out-of-vehicle device.

バッテリ40は、電力線18を介して電源制御装置20と接続され、電源制御装置20は、電力線17A,17B,17C,…を介してECU30A,30B,30C…それぞれと接続されている。電力線17A,17B,17C,…を代表させて電力線17とも称する。 The battery 40 is connected to the power supply control device 20 via the power line 18, and the power supply control device 20 is connected to the ECUs 30A, 30B, 30C, etc. via the power lines 17A, 17B, 17C, .... The power lines 17A, 17B, 17C, ... Are also referred to as power lines 17.

中継装置10は、さらに、車内通信線16を介して電源制御装置20と接続されている。または、中継装置10は、電源制御装置20を搭載していてもよい。電源制御装置20は、バッテリ40からECU30への電力供給を制御する。 The relay device 10 is further connected to the power supply control device 20 via the in-vehicle communication line 16. Alternatively, the relay device 10 may be equipped with a power supply control device 20. The power control device 20 controls the power supply from the battery 40 to the ECU 30.

〔中継装置の構成〕
図2は、中継装置10の内部構成を示すブロック図である。
図2に示すように、中継装置10は、制御部11、記憶部12、および車内通信部13などを備える。
[Relay device configuration]
FIG. 2 is a block diagram showing an internal configuration of the relay device 10.
As shown in FIG. 2, the relay device 10 includes a control unit 11, a storage unit 12, an in-vehicle communication unit 13, and the like.

中継装置10の制御部11は、CPU(Central Processing Unit)を含むマイコンからなる。マイコンの種類は特定の種類に限定されない。制御部11のCPUは、記憶部12に記憶された1または複数のプログラムを読み出して各種処理を実行するための機能を有している。
制御部11のCPUは、たとえば時分割で複数のプログラムを切り替えて実行することにより、複数のプログラムを並列的に実行可能である。
The control unit 11 of the relay device 10 includes a microcomputer including a CPU (Central Processing Unit). The type of microcomputer is not limited to a specific type. The CPU of the control unit 11 has a function of reading one or a plurality of programs stored in the storage unit 12 and executing various processes.
The CPU of the control unit 11 can execute a plurality of programs in parallel by switching and executing a plurality of programs in a time division manner, for example.

制御部11のCPUは、1または複数の大規模集積回路(LSI)を含む。複数のLSIを含むCPUでは、複数のLSIが協働して当該CPUの機能を実現する。 The CPU of the control unit 11 includes one or more large-scale integrated circuits (LSIs). In a CPU including a plurality of LSIs, the plurality of LSIs cooperate to realize the function of the CPU.

制御部11のCPUが実行するコンピュータプログラムは、CD−ROMやDVD−ROMなどの記録媒体に記録した状態で譲渡することもできるし、サーバコンピュータなどのコンピュータ装置からのダウンロードによって譲渡することもできる。 The computer program executed by the CPU of the control unit 11 can be transferred in a state of being recorded on a recording medium such as a CD-ROM or a DVD-ROM, or can be transferred by downloading from a computer device such as a server computer. ..

記憶部12は、フラッシュメモリ若しくはEEPROM(Electrically Erasable Programmable Read Only Memory)などの不揮発性のメモリ素子よりなる。
記憶部12は、制御部11のCPUが実行するプログラムまたは実行に必要なデータなどを記憶する記憶領域を有する。
The storage unit 12 is composed of a non-volatile memory element such as a flash memory or an EEPROM (Electrically Erasable Programmable Read Only Memory).
The storage unit 12 has a storage area for storing a program executed by the CPU of the control unit 11, data necessary for execution, and the like.

車内通信部13には車内通信線16が接続されている。車内通信部13は、CANなどの所定の通信規格に則って、ECU30と通信する通信装置よりなる。
車内通信部13は、制御部11のCPUから与えられた情報を所定のECU30宛てに送信し、ECU30が送信元の情報を制御部11のCPUに与える。
An in-vehicle communication line 16 is connected to the in-vehicle communication unit 13. The in-vehicle communication unit 13 includes a communication device that communicates with the ECU 30 in accordance with a predetermined communication standard such as CAN.
The in-vehicle communication unit 13 transmits the information given by the CPU of the control unit 11 to the predetermined ECU 30, and the ECU 30 gives the transmission source information to the CPU of the control unit 11.

車外通信機15は、アンテナと、アンテナからの無線信号の送受信を実行する通信回路とを含む無線通信機よりなる。車外通信機15は、携帯電話網等の広域通信網2に接続されることにより車外装置との通信が可能である。
車外通信機15は、図示しない基地局により形成される広域通信網2を介して、制御部11のCPUから与えられた情報をサーバ5等の車外装置に送信するとともに、車外装置から受信した情報を制御部11のCPUに与える。
The out-of-vehicle communication device 15 includes a wireless communication device including an antenna and a communication circuit that executes transmission / reception of wireless signals from the antenna. The out-of-vehicle communication device 15 can communicate with an out-of-vehicle device by being connected to a wide area communication network 2 such as a mobile phone network.
The out-of-vehicle communication device 15 transmits information given by the CPU of the control unit 11 to an out-of-vehicle device such as a server 5 via a wide area communication network 2 formed by a base station (not shown), and information received from the out-of-vehicle device. Is given to the CPU of the control unit 11.

〔電源制御装置の構成〕
図3は、電源制御装置20の内部構成を示すブロック図である。
図3に示すように、電源制御装置20は、制御部21、記憶部22、および車内通信部23などを備える。
[Structure of power supply control device]
FIG. 3 is a block diagram showing an internal configuration of the power supply control device 20.
As shown in FIG. 3, the power supply control device 20 includes a control unit 21, a storage unit 22, an in-vehicle communication unit 23, and the like.

電源制御装置20の制御部21はCPUを含むマイコンからなる。マイコンの種類は特定の種類に限定されない。制御部21のCPUは、記憶部22に記憶された1または複数のプログラムを読み出して、各種処理を実行するための機能を有している。
制御部21のCPUは、たとえば時分割で複数のプログラムを切り替えて実行することにより、複数のプログラムを並列的に実行可能である。
The control unit 21 of the power supply control device 20 includes a microcomputer including a CPU. The type of microcomputer is not limited to a specific type. The CPU of the control unit 21 has a function of reading one or a plurality of programs stored in the storage unit 22 and executing various processes.
The CPU of the control unit 21 can execute a plurality of programs in parallel, for example, by switching and executing a plurality of programs in a time division manner.

制御部21のCPUは、1または複数の大規模集積回路(LSI)を含む。複数のLSIを含むCPUでは、複数のLSIが協働して当該CPUの機能を実現する。 The CPU of the control unit 21 includes one or more large-scale integrated circuits (LSIs). In a CPU including a plurality of LSIs, the plurality of LSIs cooperate to realize the function of the CPU.

制御部21のCPUが実行するコンピュータプログラムは、CD−ROMやDVD−ROMなどの記録媒体に記録した状態で譲渡することもできるし、サーバコンピュータなどのコンピュータ装置からのダウンロードによって譲渡することもできる。 The computer program executed by the CPU of the control unit 21 can be transferred in a state of being recorded on a recording medium such as a CD-ROM or a DVD-ROM, or can be transferred by downloading from a computer device such as a server computer. ..

記憶部22は、フラッシュメモリ若しくはEEPROMなどの不揮発性のメモリ素子よりなる。
記憶部22は、制御部21のCPUが実行するプログラムおよび実行に必要なデータなどを記憶する記憶領域を有する。
The storage unit 22 is composed of a non-volatile memory element such as a flash memory or EEPROM.
The storage unit 22 has a storage area for storing a program executed by the CPU of the control unit 21, data necessary for execution, and the like.

車内通信部23には車内通信線16が接続されている。車内通信部23は、CANなどの所定の通信規格に則って、中継装置10と通信する通信装置よりなる。
車内通信部23は、制御部21のCPUから与えられた情報を所定の中継装置10宛てに送信し、中継装置10が送信元の情報を制御部21のCPUに与える。
An in-vehicle communication line 16 is connected to the in-vehicle communication unit 23. The in-vehicle communication unit 23 includes a communication device that communicates with the relay device 10 in accordance with a predetermined communication standard such as CAN.
The in-vehicle communication unit 23 transmits the information given by the CPU of the control unit 21 to the predetermined relay device 10, and the relay device 10 gives the transmission source information to the CPU of the control unit 21.

電源制御装置20は、さらに、バッテリ40と電力線18を介して接続されたメインスイッチ25と、ECU30Aに電力線17Aを介して接続された第1個別スイッチ27A、ECU30Bに電力線17Bを介して接続された第2個別スイッチ27B、ECU30Cに電力線17Cを介して接続された第3個別スイッチ27C、…と、を含み、個別スイッチ27A,27B,27C,…は、それぞれメインスイッチ25および電力線18を介してバッテリ40と接続されている。個別スイッチ27A,27B,27C,…を代表させて個別スイッチ27とも称する。 The power control device 20 is further connected to the main switch 25 connected to the battery 40 via the power line 18, the first individual switch 27A connected to the ECU 30A via the power line 17A, and the ECU 30B via the power line 17B. The individual switches 27A, 27B, 27C, ... Include the second individual switch 27B, the third individual switch 27C, ... Connected to the ECU 30C via the power line 17C, and the individual switches 27A, 27B, 27C, ... Are batteries via the main switch 25 and the power line 18, respectively. It is connected to 40. Individual switches 27A, 27B, 27C, ... Are also referred to as individual switches 27.

メインスイッチ25および個別スイッチ27は電力供給を許容、遮断する機能を有する回路であって、たとえば、トランジスタ、FET(Field Effect Transistor:電界効果トランジスタ)、および、リレー回路、などを含む回路である。 The main switch 25 and the individual switch 27 are circuits having a function of allowing and cutting off power supply, and are circuits including, for example, a transistor, a FET (Field Effect Transistor), a relay circuit, and the like.

電源制御装置20は、さらに、メインスイッチ25を駆動するための第1駆動回路24と、個別スイッチ27それぞれを独立して駆動するための第2駆動回路26と含む。これら駆動回路24,26は制御部21に接続されて、制御部21の制御に従ってそれぞれメインスイッチ25および個別スイッチ27を駆動する。 The power supply control device 20 further includes a first drive circuit 24 for driving the main switch 25 and a second drive circuit 26 for independently driving each of the individual switches 27. These drive circuits 24 and 26 are connected to the control unit 21 and drive the main switch 25 and the individual switch 27, respectively, according to the control of the control unit 21.

メインスイッチ25の駆動は、ON状態またはOFF状態を他方状態に切り替えることである。第1駆動回路24は、制御部21のCPUからの制御信号に従って、メインスイッチ25をON状態からOFF状態、または、OFF状態からON状態に切り替える。従って、メインスイッチ25は、ON状態、または、OFF状態のいずれか一方の状態を採る。 The drive of the main switch 25 is to switch the ON state or the OFF state to the other state. The first drive circuit 24 switches the main switch 25 from the ON state to the OFF state or from the OFF state to the ON state according to the control signal from the CPU of the control unit 21. Therefore, the main switch 25 takes either an ON state or an OFF state.

個別スイッチ27の駆動は、一例として、それぞれ独立して、ON状態またはOFF状態を他方状態に切り替えることである。第2駆動回路26は、制御部21のCPUからの制御信号に従って、個別スイッチ27を個別に、ON状態からOFF状態、または、OFF状態からON状態に切り替える。従って、ECU30A,30B,30Cそれぞれに対応した個別スイッチ27A,27B,27Cは、以下のON状態またはOFF状態の組合せを採り得る。
1)ECU30A(ON)、ECU30B(ON)、ECU30C(ON)
2)ECU30A(ON)、ECU30B(ON)、ECU30C(OFF)
3)ECU30A(ON)、ECU30B(OFF)、ECU30C(ON)
4)ECU30A(ON)、ECU30B(OFF)、ECU30C(OFF)
5)ECU30A(OFF)、ECU30B(ON)、ECU30C(ON)
6)ECU30A(OFF)、ECU30B(ON)、ECU30C(OFF)
7)ECU30A(OFF)、ECU30B(OFF)、ECU30C(ON)
8)ECU30A(OFF)、ECU30B(OFF)、ECU30C(OFF)
The drive of the individual switch 27 is, for example, independently switching the ON state or the OFF state to the other state. The second drive circuit 26 individually switches the individual switches 27 from the ON state to the OFF state or from the OFF state to the ON state according to the control signal from the CPU of the control unit 21. Therefore, the individual switches 27A, 27B, 27C corresponding to the ECUs 30A, 30B, and 30C can take the following combinations of ON states or OFF states.
1) ECU30A (ON), ECU30B (ON), ECU30C (ON)
2) ECU30A (ON), ECU30B (ON), ECU30C (OFF)
3) ECU30A (ON), ECU30B (OFF), ECU30C (ON)
4) ECU30A (ON), ECU30B (OFF), ECU30C (OFF)
5) ECU30A (OFF), ECU30B (ON), ECU30C (ON)
6) ECU30A (OFF), ECU30B (ON), ECU30C (OFF)
7) ECU30A (OFF), ECU30B (OFF), ECU30C (ON)
8) ECU30A (OFF), ECU30B (OFF), ECU30C (OFF)

メインスイッチ25がON状態の場合、個別スイッチ27がON状態のECU30にのみバッテリ40から電力が供給される。上記1)ではECU30A,30B,30Cに電力が供給される。上記2)ではECU30A,30Bに電力が供給され、ECU30Cには供給されない。 When the main switch 25 is in the ON state, power is supplied from the battery 40 only to the ECU 30 in which the individual switch 27 is in the ON state. In 1) above, power is supplied to the ECUs 30A, 30B, and 30C. In 2) above, electric power is supplied to the ECUs 30A and 30B, but not to the ECU 30C.

メインスイッチ25がOFF状態の場合、個別スイッチ27の状態に関わらず、すべてのECU30にバッテリ40から電力が供給されない。 When the main switch 25 is in the OFF state, power is not supplied from the battery 40 to all the ECUs 30 regardless of the state of the individual switches 27.

車両1には、ユーザ(ドライバー)が操作可能な、図示しない電源スイッチが備えられ、制御部21は、電源スイッチに対して電源ONの操作が行われると第1駆動回路24にメインスイッチ25をON状態にさせる。また、電源OFFの操作が行われると第1駆動回路24にメインスイッチ25をOFF状態にさせる。
制御部21は、後述する中継装置10での検出処理に従って個別スイッチ27を個別に駆動する。そのため、制御部21は、個別スイッチ27を個別に駆動することによって各ECU30への電力供給を制御する電源制御部211を含む。この機能は、制御部21のCPUが記憶部22に記憶されているプログラムを読み出して実行することによって、主にCPUによって実現される。
The vehicle 1 is provided with a power switch (not shown) that can be operated by a user (driver), and the control unit 21 sets the main switch 25 in the first drive circuit 24 when the power is turned on for the power switch. Turn it on. Further, when the power is turned off, the first drive circuit 24 is turned off by the main switch 25.
The control unit 21 individually drives the individual switches 27 according to the detection process in the relay device 10 described later. Therefore, the control unit 21 includes a power supply control unit 211 that controls the power supply to each ECU 30 by individually driving the individual switches 27. This function is mainly realized by the CPU by the CPU of the control unit 21 reading and executing the program stored in the storage unit 22.

〔検出処理〕
車両1の走行中には、通信ネットワーク4では数多くのデータフレームが送受信されている。中継装置10の制御部11は、通信ネットワーク4におけるECU30間の通信を制御する通信制御部111を有する(図2)。この機能は、制御部11のCPUが記憶部12に記憶されているプログラムを読み出して実行することによって、主にCPUによって実現される。
[Detection processing]
While the vehicle 1 is traveling, a large number of data frames are transmitted and received on the communication network 4. The control unit 11 of the relay device 10 has a communication control unit 111 that controls communication between the ECUs 30 in the communication network 4 (FIG. 2). This function is mainly realized by the CPU by the CPU of the control unit 11 reading and executing the program stored in the storage unit 12.

通信ネットワーク4で送受信されるデータフレームには送信元のECUを示す識別情報(ID)が含まれる。悪意ある第三者の通信ノードが通信ネットワーク4にアクセスし、送信元のIDを詐称してあるECU30(たとえばECU30A)のIDとしたデータフレームを通信ネットワーク4に送信すると、当該データフレームを受信した他のECU30は、当該データフレームの送信元を上記ECU30(たとえばECU30A)と認識する。この状態は、あるECU30が上記通信ノードによってなりすまされている状態であって、当該あるECU30被詐称ECUとなる。以降の説明では、送信元を詐称した通信を詐称通信とも称する。 The data frame transmitted / received by the communication network 4 includes identification information (ID) indicating the ECU of the transmission source. When a malicious third-party communication node accesses the communication network 4 and transmits a data frame using the ID of the ECU 30 (for example, ECU 30A) that has spoofed the source ID to the communication network 4, the data frame is received. The other ECU 30 recognizes the transmission source of the data frame as the ECU 30 (for example, ECU 30A). In this state, a certain ECU 30 is spoofed by the communication node, and the certain ECU 30 is a spoofed ECU. In the following description, communication that spoofed the sender is also referred to as spoofed communication.

本実施の形態においては、中継装置10がなりすまし検出装置として機能する。なりすまし検出装置として機能する中継装置10の制御部11は、複数のECU30A,30B,30Cのうちの1台のECU(たとえばECU30A)について、当該ECUを被詐称ECUとした詐称通信の存在、つまり、当該ECUを詐称する通信ノード(なりすまし)の存在を検出する検出処理を実行する。以降の説明において、被詐称ECUとした詐称通信を検出する対象となる、複数のECU30A,30B,30Cのうちの1台のECUを対象ECU、対象ECU以外のECUを非対象ECUと称する。 In the present embodiment, the relay device 10 functions as a spoofing detection device. The control unit 11 of the relay device 10 that functions as a spoofing detection device has the existence of spoofed communication in which one of the plurality of ECUs 30A, 30B, 30C (for example, ECU 30A) is a spoofed ECU. A detection process for detecting the existence of a communication node (spoofing) that impersonates the ECU is executed. In the following description, one of the plurality of ECUs 30A, 30B, 30C that is the target for detecting the spoofed communication as the spoofed ECU is referred to as a target ECU, and an ECU other than the target ECU is referred to as a non-target ECU.

複数のECU30A,30B,30Cのうちの1台のECUが対象ECUとされる。対象ECUは、複数のECU30A,30B,30Cの中から予め規定された順に決定されてもよい。これにより、複数のECU30A,30B,30Cすべてが、順に、対象ECUとして、詐称通信の存在が検出される。 One of the plurality of ECUs 30A, 30B, 30C is the target ECU. The target ECU may be determined in a predetermined order from among the plurality of ECUs 30A, 30B, 30C. As a result, the existence of spoofed communication is detected in all of the plurality of ECUs 30A, 30B, and 30C as the target ECUs in order.

他の例として、対象ECUは、後述する、被詐称ECUである可能性のあるECUの判定結果に基づいて決定されてもよい。これにより、被詐称ECUである可能性のあるECUを対象ECUとして詐称通信の存在が検出されるため、高精度で詐称通信の存在が検出される。 As another example, the target ECU may be determined based on the determination result of the ECU which may be a spoofed ECU, which will be described later. As a result, the existence of spoofed communication is detected with the ECU that may be the spoofed ECU as the target ECU, so that the existence of spoofed communication is detected with high accuracy.

を参照して、中継装置10の制御部11は、検出処理を実行するための機能として、通信制御部111と、取得部112と、検出部113と、通知部114と、を有する。これら機能は、制御部11のCPUが記憶部12に記憶されているプログラムを読み出して実行することによって、主にCPUによって実現される。 With reference to FIG. 2 , the control unit 11 of the relay device 10 has a communication control unit 111, an acquisition unit 112, a detection unit 113, and a notification unit 114 as functions for executing the detection process. These functions are mainly realized by the CPU by the CPU of the control unit 11 reading and executing the program stored in the storage unit 12.

検出処理は、対象ECUに対する電力供給を遮断、許容する電源制御処理を含む。通信制御部111は、対象ECUの個別スイッチ27のON/OFF状態を独立して切り替えることを指示する制御信号を車内通信部13に渡し、電源制御装置20に送信させる。この制御信号に従って、電源制御装置20の電源制御部211は、対象ECUの個別スイッチ27のON/OFF状態を切り替える。これらの機能により、電源制御処理が実行される。 The detection process includes a power supply control process that cuts off and allows power supply to the target ECU. The communication control unit 111 passes a control signal instructing to independently switch the ON / OFF state of the individual switch 27 of the target ECU to the in-vehicle communication unit 13 and causes the power supply control device 20 to transmit the control signal. According to this control signal, the power supply control unit 211 of the power supply control device 20 switches the ON / OFF state of the individual switch 27 of the target ECU. These functions execute the power supply control process.

好ましくは、電源制御処理は対象ECUの個別スイッチ27をON状態からOFF状態に切り替えることの可否を、車両1の走行状態に基づいて判定する処理を含む。たとえば、対象ECUが車両1の現在の走行状態に必要な機能を制御するECUである場合、切替が否と判定される。車両1の現在の走行状態に必要であっても、後述する検出処理に要する時間程度であれば電力供給が遮断されてもよい場合には、切替が可と判定される。通信制御部111は、切替が可と判定した場合に、対象ECUの個別スイッチ27をOFF状態とする制御信号を電源制御装置20に送信させる。 Preferably, the power supply control process includes a process of determining whether or not the individual switch 27 of the target ECU can be switched from the ON state to the OFF state based on the traveling state of the vehicle 1. For example, when the target ECU is an ECU that controls a function required for the current traveling state of the vehicle 1, it is determined that switching is not possible. Even if it is necessary for the current traveling state of the vehicle 1, if the power supply may be cut off for the time required for the detection process described later, it is determined that the switching is possible. When the communication control unit 111 determines that switching is possible, the communication control unit 111 causes the power supply control device 20 to transmit a control signal for turning off the individual switch 27 of the target ECU.

さらに、通信制御部111は、通信ネットワーク4の通信状態を取得する。通信ネットワーク4の通信状態は、各ECU30について当該ECU30のIDが送信元IDであるデータフレームが車内通信線16で転送されているか否か、つまり、対象ECUを送信元とする通信が生じているか否かの判定結果を含む。通信制御部111は、車内通信部13によって受信された、車内通信線16で転送されるすべてのデータフレームを解析して、各データフレームに含まれる送信元IDを取得することによって、各ECU30について当該ECU30を送信元とするデータフレームが車内通信線16で転送されているか否かを判定可能である。取得部112は、通信制御部111から通信ネットワーク4の通信状態を取得する。 Further, the communication control unit 111 acquires the communication state of the communication network 4. The communication state of the communication network 4 is whether or not the data frame whose ID of the ECU 30 is the source ID is transferred on the in-vehicle communication line 16 for each ECU 30, that is, whether or not communication with the target ECU as the transmission occurs. Includes the judgment result of whether or not. The communication control unit 111 analyzes all the data frames received by the in-vehicle communication unit 13 and transferred on the in-vehicle communication line 16, and acquires the source ID included in each data frame for each ECU 30. It is possible to determine whether or not the data frame with the ECU 30 as the transmission source is transferred by the in-vehicle communication line 16. The acquisition unit 112 acquires the communication status of the communication network 4 from the communication control unit 111.

上記のように、被詐称ECUである可能性のあるECUの判定結果に基づいて対象ECUを特定する場合、取得部112は、通信制御部111から取得した通信ネットワーク4の通信状態より、各ECU30についての当該ECU30を送信元とするデータフレームの転送頻度を特定する。転送頻度は、たとえば、所定時間内における同一のECU30を送信元としたデータフレームの転送回数、または、同一のECU30を送信元としたデータフレームの転送間隔などである。 As described above, when the target ECU is specified based on the determination result of the ECU that may be a spoofed ECU, the acquisition unit 112 determines each ECU 30 from the communication state of the communication network 4 acquired from the communication control unit 111. The transfer frequency of the data frame with the ECU 30 as the transmission source is specified. The transfer frequency is, for example, the number of times a data frame is transferred from the same ECU 30 as a transmission source within a predetermined time, or the transfer interval of a data frame from the same ECU 30 as a transmission source.

通信制御部111は、取得部112で特定された各ECU30の当該ECU30を送信元とするデータフレームの転送頻度に基づいて上記判定を実行する。一例として、電源制御部211は、データフレームの転送頻度が、予め記憶している閾値より高い送信元のECUが被詐称ECUの可能性があると判定する。本来のECU30から送信されるデータフレームに加えて送信元を参詐称したデータフレームが追加されることによって、当該ECU30を送信元とするデータフレームの転送頻度が高くなっている可能性があるためである。閾値は、学習によってECU30ごとに設定されるものであってもよい。 The communication control unit 111 executes the above determination based on the transfer frequency of the data frame of each ECU 30 specified by the acquisition unit 112 with the ECU 30 as the transmission source. As an example, the power supply control unit 211 determines that the source ECU whose data frame transfer frequency is higher than the threshold value stored in advance may be a spoofed ECU. This is because there is a possibility that the transfer frequency of the data frame with the ECU 30 as the transmission source is high due to the addition of the data frame that spoofed the transmission source in addition to the data frame transmitted from the original ECU 30. be. The threshold value may be set for each ECU 30 by learning.

検出部113は、対象ECUの電源状態と通信ネットワーク4の通信状態とに基づいて、当該対象ECUについて当該対象ECUを被詐する通信ノードの存在を検出する。具体的に、検出部113は、対象ECUの個別スイッチ27がOFF状態において、当該対象ECUを送信元とする通信が生じている場合に、当該対象ECUを被詐する通信ノードが存在すると検出する。そうでない場合には、当該通信ノードの存在が検出されない。電力供給が遮断されている対象ECUからはデータフレームが送信されることがないため、対象ECUの個別スイッチ27がOFF状態において当該対象ECUを送信元とするデータフレームが転送されている場合には、そのデータフレームの真の送信元は対象ECUではないためである。 The detection unit 113 detects the existence of a communication node for the target ECU that is fraudulent with the target ECU, based on the power supply state of the target ECU and the communication state of the communication network 4. Specifically, the detection unit 113 detects that there is a communication node that tampers with the target ECU when the individual switch 27 of the target ECU is in the OFF state and communication with the target ECU as the transmission source occurs. .. Otherwise, the existence of the communication node is not detected. Since the data frame is not transmitted from the target ECU whose power supply is cut off, when the individual switch 27 of the target ECU is in the OFF state and the data frame with the target ECU as the transmission source is transferred. This is because the true source of the data frame is not the target ECU.

通知部114は、検出部113において当該対象ECUを被詐する通信ノードの存在が検出された場合に、被詐称ECUである対象ECUを非対象ECUに通知する。
好ましくは、通知部114は、検出結果、および/または、被詐称ECUをユーザに通知する処理を実行する。ユーザに通知する処理は、たとえば、図示しない表示装置で表示するための処理や、図示しないブザー等の音声出力装置で音声出力するための処理である。表示装置は、たとえば、インジケータ、ナビゲーション装置のディスプレイ、または、マルチファンクションディスプレイ、などの、車内のユーザが視認可能な表示装置である。この場合、通知部114は検出結果の出力を指示するコマンドを含むデータフレームを生成し、車内通信部13に上記の表示装置や音声出力装置を制御するECU30に対して当該データフレームを送信させる。
When the detection unit 113 detects the existence of a communication node that masquerades as the target ECU, the notification unit 114 notifies the non-target ECU of the target ECU that is the scammed ECU.
Preferably, the notification unit 114 executes a process of notifying the user of the detection result and / or the spoofed ECU. The process of notifying the user is, for example, a process for displaying on a display device (not shown) or a process for outputting audio on a voice output device such as a buzzer (not shown). The display device is a display device visible to the user in the vehicle, such as an indicator, a display of a navigation device, or a multifunction display. In this case, the notification unit 114 generates a data frame including a command instructing the output of the detection result, and causes the in-vehicle communication unit 13 to transmit the data frame to the ECU 30 that controls the display device and the voice output device.

または、ユーザに通知する処理は、予め登録された通信装置に送信する処理であってもよい。通信装置は、たとえば、スマートフォン、携帯電話、および、タブレット端末などである。この場合、通知部114は検出結果を表したメッセージの指定した通信装置への送信を指示するデータフレームを生成し、車外通信機15に、指定された通信装置へメッセージを送信させる。 Alternatively, the process of notifying the user may be a process of transmitting to a communication device registered in advance. Communication devices include, for example, smartphones, mobile phones, and tablet terminals. In this case, the notification unit 114 generates a data frame instructing the transmission of the message representing the detection result to the designated communication device, and causes the out-of-vehicle communication device 15 to transmit the message to the designated communication device.

図4は、制御部11が実行する第1の実施の形態にかかる検出処理の流れを表したフローチャートである。中継装置10の制御部11は、記憶部12に記憶されているプログラムを読み出して実行することによって図4のフローチャートに表された処理を実行する。中継装置10の制御部11は、車両1の停車中に図4に示された検出処理を繰り返し実行する。 FIG. 4 is a flowchart showing the flow of the detection process according to the first embodiment executed by the control unit 11. The control unit 11 of the relay device 10 executes the process shown in the flowchart of FIG. 4 by reading and executing the program stored in the storage unit 12. The control unit 11 of the relay device 10 repeatedly executes the detection process shown in FIG. 4 while the vehicle 1 is stopped.

図4を参照して、制御部11は通信ネットワーク4の通信状態を取得し、各ECU30を送信元としたデータフレームの転送頻度を予め記憶している閾値と比較する。この比較に基づいて、各ECU30について被詐称ECUである可能性の有無を判定する(ステップS101)。 With reference to FIG. 4, the control unit 11 acquires the communication state of the communication network 4 and compares the transfer frequency of the data frame with each ECU 30 as the transmission source with the threshold value stored in advance. Based on this comparison, it is determined whether or not each ECU 30 may be a spoofed ECU (step S101).

あるECU30について、当該ECU30を送信元としたデータフレームの転送頻度が閾値よりも高い場合、制御部11は当該ECU30が被詐称ECUである可能性が有ると判定する(ステップS101でYES)。この場合、制御部11は、当該ECU30を対象ECUとして以降の処理を実行する。 When the transfer frequency of the data frame with the ECU 30 as the transmission source is higher than the threshold value, the control unit 11 determines that the ECU 30 may be a spoofed ECU (YES in step S101). In this case, the control unit 11 executes the subsequent processing with the ECU 30 as the target ECU.

制御部11は、車両1の走行状態に基づいて対象ECUの個別スイッチ27をOFF状態に切り替えることの可否を判定する(ステップS103)。切替が可能な状態である場合(ステップS103でYES)、制御部11は、当該個別スイッチ27をOFF状態とすることを電源制御装置20に指示する(ステップS105)。これにより、対象ECUに対する電力供給が遮断される。 The control unit 11 determines whether or not the individual switch 27 of the target ECU can be switched to the OFF state based on the traveling state of the vehicle 1 (step S103). When the switchable state is possible (YES in step S103), the control unit 11 instructs the power supply control device 20 to turn off the individual switch 27 (step S105). As a result, the power supply to the target ECU is cut off.

制御部11は、通信ネットワーク4の通信状態に基づいて、対象ECUに対する電力供給が遮断されている状態において通信ネットワーク4で対象ECUを送信元とする通信が生じているか否かを判定する(ステップS107)。通信ネットワーク4において対象ECUを送信元とするデータフレームが転送されている場合(ステップS107でYES)、制御部11は対象ECUを詐称する通信ノードの存在を検出する(ステップS109)。 Based on the communication state of the communication network 4, the control unit 11 determines whether or not communication with the target ECU as a transmission source is occurring in the communication network 4 in a state where the power supply to the target ECU is cut off (step). S107). When a data frame whose transmission source is the target ECU is transferred in the communication network 4 (YES in step S107), the control unit 11 detects the existence of a communication node that impersonates the target ECU (step S109).

そうでない場合には(ステップS107でNO)、制御部11は、対象ECUを詐称する通信ノードの存在を検出せず、対象ECUの個別スイッチ27をON状態に戻すことを電源制御装置20に指示する(ステップS119)。これにより、対象ECUに対する電力供給が再開される。 If not (NO in step S107), the control unit 11 does not detect the existence of the communication node that impersonates the target ECU, and instructs the power supply control device 20 to return the individual switch 27 of the target ECU to the ON state. (Step S119). As a result, the power supply to the target ECU is restarted.

詐称通信の存在が検出されると、制御部11は、非対象ECUに被詐称ECUである対象ECU(のID)を通知する(ステップS111)。これにより、非対象ECUは、被詐称ECUが送信元であるデータフレームを破棄する、などの予め規定された処理を実行することができる。 When the presence of spoofed communication is detected, the control unit 11 notifies the non-target ECU of the target ECU (ID) which is the spoofed ECU (step S111). As a result, the non-target ECU can execute a predetermined process such as the spoofed ECU discarding the data frame as the transmission source.

好ましくは、ステップS111で制御部11は、インジケータ、ナビゲーション装置のディスプレイ、または、マルチファンクションディスプレイ、などの、車内のユーザが視認可能な表示装置や、ブザー等の音声出力装置によって、検出結果、および/または、被詐称ECUを通知する。これにより、運転者などの車内のユーザはECU30になりすましたデータフレームを送信している通信ノードの存在を知ることができる。 Preferably, in step S111, the control unit 11 is detected by a display device visible to the user in the vehicle such as an indicator, a display of a navigation device, or a multifunction display, or a voice output device such as a buzzer. / Or notify the spoofed ECU. As a result, a user in the vehicle such as a driver can know the existence of a communication node that is transmitting a data frame impersonating the ECU 30.

また、好ましくは、ステップS111で制御部11は、予め登録された通信装置にメッセージを送信することによって検出結果、および/または、被詐称ECUを通知する。これにより、ユーザが車外であっても、ECU30になりすましたデータフレームを送信している通信ノードの存在を知ることができる。 Further, preferably, in step S111, the control unit 11 notifies the detection result and / or the spoofed ECU by transmitting a message to the communication device registered in advance. As a result, even if the user is outside the vehicle, it is possible to know the existence of the communication node that is transmitting the data frame impersonating the ECU 30.

通知の後、制御部11は、対象ECUの個別スイッチ27をON状態に戻すことを電源制御装置20に指示する(ステップS113)。これにより、対象ECUに対する電力供給が再開される。 After the notification, the control unit 11 instructs the power supply control device 20 to return the individual switch 27 of the target ECU to the ON state (step S113). As a result, the power supply to the target ECU is restarted.

〔第1の実施の形態の効果〕
第1の実施の形態にかかる車両1は、ECU30ごとの個別スイッチ27を有し、電源制御装置20がECU30ごとに独立して個別スイッチ27のON/OFFを切り替える。これにより、各ECU30を個別に対象ECUとして、対象ECUへの電力供給を遮断させることができる。
[Effect of the first embodiment]
The vehicle 1 according to the first embodiment has an individual switch 27 for each ECU 30, and the power supply control device 20 independently switches ON / OFF of the individual switch 27 for each ECU 30. As a result, each ECU 30 can be individually set as the target ECU, and the power supply to the target ECU can be cut off.

対象ECUへの電力供給が遮断された状態において対象ECUを送信元とするデータフレームが車内通信線16で転送されている場合、当該データフレームの真の送信元は対象ECUではない。そのため、対象ECUの個別スイッチ27がOFF状態において、当該対象ECUを送信元とする通信が生じているか否かの判定結果に基づいて、当該ECUを詐称する通信ノードの存在、すなわちなりすましの存在を容易に検出できる。 When a data frame having the target ECU as a transmission source is transferred by the in-vehicle communication line 16 in a state where the power supply to the target ECU is cut off, the true transmission source of the data frame is not the target ECU. Therefore, when the individual switch 27 of the target ECU is in the OFF state, the existence of the communication node that impersonates the target ECU, that is, the existence of spoofing is determined based on the determination result of whether or not the communication with the target ECU as the transmission source occurs. Easy to detect.

電源制御装置20がECU30ごとに独立して個別スイッチ27のON/OFFを切り替えることによって、いずれのECU30についても、それぞれを対象ECUとして当該対象ECUを詐称する通信ノードの存在、すなわちなりすましの存在を検出できる。 The power control device 20 independently switches ON / OFF of the individual switch 27 for each ECU 30, so that the existence of a communication node that misrepresents the target ECU, that is, the existence of spoofing, can be detected for each ECU 30. Can be detected.

<第2の実施の形態>
第2の実施の形態では、中継装置10は、検出処理において、対象ECUの安全性のレベルに応じた電源制御処理を実行する。安全性のレベルは、たとえば、ISO(International Organization for Standardization(国際標準化機構))の規定するISO 26262機能安全規格が知られている。ISO 26262規格は、機能安全の指標としてASIL(Automotive Safety Integrity Level:安全性要求レベル)を規定し、各安全要求にQM(Quality Management),A,B,C,Dのレベルを割り当てる。Dが割り当てられた機能は最も高いレベルの安全方策が求められ、Aが割り当てられた機能は最も低い。QMが割り当てられた機能は、安全性と関連がないことを指す。この場合、中継装置10の制御部11は、ECU30ごとのASILのレベルを予め記憶している。
<Second embodiment>
In the second embodiment, the relay device 10 executes the power supply control process according to the safety level of the target ECU in the detection process. As for the level of safety, for example, the ISO 26262 functional safety standard defined by ISO (International Organization for Standardization) is known. The ISO 26262 standard defines ASIL (Automotive Safety Integrity Level) as an index of functional safety, and assigns QM (Quality Management), A, B, C, and D levels to each safety requirement. The function to which D is assigned requires the highest level of safety measures, and the function to which A is assigned is the lowest. The function to which the QM is assigned means that it is not related to safety. In this case, the control unit 11 of the relay device 10 stores the ASIL level for each ECU 30 in advance.

図5は、制御部11が実行する第2の実施の形態にかかる検出処理の流れを表したフローチャートである。第2の実施の形態にかかる検出処理は、図4の第1の実施の形態にかかる検出処理と比較してステップS201の処理が含まれている点が異なる。そこで、ここでは第1の実施の形態にかかる検出処理と異なる点を説明する。 FIG. 5 is a flowchart showing the flow of the detection process according to the second embodiment executed by the control unit 11. The detection process according to the second embodiment is different from the detection process according to the first embodiment of FIG. 4 in that the process of step S201 is included. Therefore, here, the points different from the detection process according to the first embodiment will be described.

図5を参照して、制御部11は、詐称通信の存在が検出され、非対象ECUに被詐称ECUである対象ECU(のID)を通知すると(ステップS111)、対象ECUのASILレベルが所定レベル以上高い(たとえば「D」である)場合には(ステップS201でYES)、対象ECUの個別スイッチ27をON状態に戻すことを電源制御装置20に指示することなくOFF状態を維持して、一連の検出動作を終了する。これにより、対象ECUへの電力供給が遮断された状態が維持され、対象ECUはデータフレームを送信することがなくなる。すなわち、被詐称ECUである対象ECUは通信ネットワーク4から切り離される。 With reference to FIG. 5, when the control unit 11 detects the existence of spoofed communication and notifies the non-target ECU of the target ECU (ID) which is the spoofed ECU (step S111), the ASIL level of the target ECU is predetermined. If the level is higher than the level (for example, "D") (YES in step S201), the OFF state is maintained without instructing the power supply control device 20 to return the individual switch 27 of the target ECU to the ON state. Ends a series of detection operations. As a result, the state in which the power supply to the target ECU is cut off is maintained, and the target ECU does not transmit the data frame. That is, the target ECU, which is the spoofed ECU, is separated from the communication network 4.

好ましくは、上記ステップS111での通知の際に、被詐称ECUである対象ECUのASILレベルが所定レベル以上高い場合には(ステップS201でYES)、制御部11は、非対象ECUに対して対象ECUを送信元とするデータフレームを受信しないように通知してもよい。 Preferably, at the time of the notification in step S111, if the ASIL level of the target ECU, which is the spoofed ECU, is higher than a predetermined level (YES in step S201), the control unit 11 targets the non-target ECU. You may notify not to receive the data frame whose transmission source is the ECU.

〔第2の実施の形態の効果〕
第2の実施の形態にかかる電源制御処理を含む検出処理が実行されることによって、安全性のレベルの高いECUを詐称する通信ノードの存在が検出された場合には当該詐称通信の解消の有無に関わらずに被詐称ECUである対象ECUが通信ネットワーク4から切り離される。または、当該検出以降は非対象ECUが被詐称ECUである対象ECUを送信元とするデータフレームを受信しなくなる。これにより、車両における安全性を確保することができる。
[Effect of the second embodiment]
When the existence of a communication node that impersonates an ECU having a high level of safety is detected by executing the detection process including the power supply control process according to the second embodiment, whether or not the spoofed communication is resolved. Regardless of this, the target ECU, which is the spoofed ECU, is disconnected from the communication network 4. Alternatively, after the detection, the non-target ECU does not receive the data frame whose source is the target ECU which is the spoofed ECU. This makes it possible to ensure the safety of the vehicle.

<変形例>
第2の実施の形態の変形例として、詐称通信が解消された場合(図4のステップS115でYESの場合に)、被詐称ECUであった対象ECUの安全性のレベルに応じた電源制御処理を実行してもよい。すなわち、第2の実施の形態にかかる検出処理の変形例では、詐称通信が解消された場合であっても(ステップS115でYES)、被詐称ECUであった対象ECUのASILレベルが所定レベル以上高い(たとえば「D」である)場合には、ステップS117で非対象ECUに当該対象ECUのIDを通知することなく、また、ステップS119で対象ECUの個別スイッチ27をON状態に戻すことを電源制御装置20に指示することなく、一連の検出動作を終了する。
<Modification example>
As a modification of the second embodiment, when the spoofed communication is eliminated (YES in step S115 in FIG. 4), the power supply control process according to the safety level of the target ECU which was the spoofed ECU. May be executed. That is, in the modified example of the detection process according to the second embodiment, the ASIL level of the target ECU that was the spoofed ECU is equal to or higher than the predetermined level even when the spoofed communication is resolved (YES in step S115). If it is high (for example, "D"), the power supply is such that the non-target ECU is not notified of the ID of the target ECU in step S117, and the individual switch 27 of the target ECU is returned to the ON state in step S119. A series of detection operations is terminated without instructing the control device 20.

これにより、被詐称ECUであった対象ECUの安全性のレベルが所定レベル以上高い場合には、詐称通信が解消された場合であっても電力供給が遮断された状態が維持され、対象ECUはデータフレームを送信することがなくなる。すなわち、被詐称ECUであった対象ECUは通信ネットワーク4から切り離される。また、詐称通信が解消された場合であっても非対象ECUは被詐称ECUであった対象ECUについての詐称通信への対処を維持する。これにより、車両における安全性を確保することができる。 As a result, when the safety level of the target ECU, which was the spoofed ECU, is higher than a predetermined level, the power supply is maintained in a state of being cut off even when the spoofed communication is resolved, and the target ECU is No more sending data frames. That is, the target ECU, which was a spoofed ECU, is separated from the communication network 4. Further, even when the spoofed communication is resolved, the non-target ECU maintains the coping with the spoofed communication of the target ECU which was the spoofed ECU. This makes it possible to ensure the safety of the vehicle.

<第3の実施の形態>
中継装置10に替えて電源制御装置20がなりすまし検出装置として機能してもよい。この場合、電源制御装置20の制御部211は、図3に示されたように、取得部212、検出部213、および、通知部214を有し、以上の検出処理を実行してもよい。さらには、中継装置10と電源制御装置20とが、協働して検出処理を実行してもよい。すなわち、なりすまし検出装置は、複数の車載装置によって実現されてもよい。
<Third embodiment>
The power supply control device 20 may function as a spoofing detection device instead of the relay device 10. In this case, as shown in FIG. 3, the control unit 211 of the power supply control device 20 has an acquisition unit 212, a detection unit 213, and a notification unit 214, and may execute the above detection process. Further, the relay device 10 and the power supply control device 20 may cooperate with each other to execute the detection process. That is, the spoofing detection device may be realized by a plurality of in-vehicle devices.

開示された特徴は、1つ以上のモジュールによって実現される。たとえば、当該特徴は、回路素子その他のハードウェアモジュールによって、当該特徴を実現する処理を規定したソフトウェアモジュールによって、または、ハードウェアモジュールとソフトウェアモジュールとの組み合わせによって実現され得る。 The disclosed features are realized by one or more modules. For example, the feature may be realized by a circuit element or other hardware module, by a software module that defines a process for realizing the feature, or by a combination of a hardware module and a software module.

上述の動作をコンピュータに実行させるための、1つ以上のソフトウェアモジュールの組み合わせであるプログラムとして提供することもできる。このようなプログラムは、コンピュータに付属するフレキシブルディスク、CD−ROM(Compact Disk-Read Only Memory)、ROM、RAMおよびメモリカードなどのコンピュータ読取り可能な記録媒体にて記録させて、プログラム製品として提供することもできる。あるいは、コンピュータに内蔵するハードディスクなどの記録媒体にて記録させて、プログラムを提供することもできる。また、ネットワークを介したダウンロードによって、プログラムを提供することもできる。 It can also be provided as a program that is a combination of one or more software modules for causing a computer to perform the above-mentioned operations. Such a program is provided as a program product by recording it on a computer-readable recording medium such as a flexible disk attached to a computer, a CD-ROM (Compact Disk-Read Only Memory), a ROM, a RAM, and a memory card. You can also do it. Alternatively, the program can be provided by recording on a recording medium such as a hard disk built in the computer. The program can also be provided by downloading over the network.

なお、本開示にかかるプログラムは、コンピュータのオペレーティングシステム(OS)の一部として提供されるプログラムモジュールのうち、必要なモジュールを所定の配列で所定のタイミングで呼出して処理を実行させるものであってもよい。その場合、プログラム自体には上記モジュールが含まれずOSと協働して処理が実行される。このようなモジュールを含まないプログラムも、本開示にかかるプログラムに含まれ得る。 The program according to the present disclosure is a program module provided as a part of a computer operating system (OS), in which necessary modules are called in a predetermined array at a predetermined timing to execute processing. May be good. In that case, the program itself does not include the above module and the process is executed in cooperation with the OS. A program that does not include such a module may also be included in the program according to the present disclosure.

また、本開示にかかるプログラムは他のプログラムの一部に組込まれて提供されるものであってもよい。その場合にも、プログラム自体には上記他のプログラムに含まれるモジュールが含まれず、他のプログラムと協働して処理が実行される。このような他のプログラムに組込まれたプログラムも、本開示にかかるプログラムに含まれ得る。提供されるプログラム製品は、ハードディスクなどのプログラム格納部にインストールされて実行される。なお、プログラム製品は、プログラム自体と、プログラムが記録された記録媒体とを含む。 In addition, the program according to the present disclosure may be provided by being incorporated into a part of other programs. Even in that case, the program itself does not include the modules included in the above other programs, and the processing is executed in cooperation with the other programs. Programs incorporated into such other programs may also be included in the programs of this disclosure. The provided program product is installed and executed in a program storage unit such as a hard disk. The program product includes the program itself and a recording medium on which the program is recorded.

今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。 It should be considered that the embodiments disclosed this time are exemplary in all respects and not restrictive. The scope of the present invention is shown by the scope of claims rather than the above description, and is intended to include all modifications within the meaning and scope equivalent to the scope of claims.

1 車両
2 広域通信網
4 通信ネットワーク
5 サーバ
10 中継装置
11 制御部
12 記憶部
13 車内通信部
15 車外通信機
16 車内通信線
17,17A,17B,17C 電力線
18 電力線
20 電源制御装置
21 制御部
22 記憶部
23 車内通信部
24 第1駆動回路
25 メインスイッチ
26 第2駆動回路
27 個別スイッチ
27A 第1個別スイッチ
27B 第2個別スイッチ
27C 第3個別スイッチ
30,30A,30B,30C ECU
40 バッテリ
111 通信制御部
112 取得部
113 検出部
114 通知部
211 電源制御部
212 取得部
213 検出部
214 通知部
1 Vehicle 2 Wide area communication network 4 Communication network 5 Server 10 Relay device 11 Control unit 12 Storage unit 13 In-vehicle communication unit 15 External communication device 16 In-vehicle communication line 17, 17A, 17B, 17C Power line 18 Power line 20 Power control device 21 Control unit 22 Storage unit 23 In-vehicle communication unit 24 1st drive circuit 25 Main switch 26 2nd drive circuit 27 Individual switch 27A 1st individual switch 27B 2nd individual switch 27C 3rd individual switch 30, 30A, 30B, 30C ECU
40 Battery 111 Communication control unit 112 Acquisition unit 113 Detection unit 114 Notification unit 211 Power supply control unit 212 Acquisition unit 213 Detection unit 214 Notification unit

Claims (11)

通信ネットワークに属する複数の装置への電力供給を個別に制御する電源制御部と、
前記通信ネットワークの通信状態を取得する取得部と、
前記複数の装置のうちの1つの装置である対象装置の電力供給状態、および、前記通信ネットワークの通信状態に基づいて、前記対象装置を詐称する通信ノードの存在を検出する検出部と、を備え
前記通信ネットワークは、車内の通信ネットワークであり、
前記複数の装置は、それぞれ車載制御装置であり、
前記電源制御部は、前記複数の装置が設置された車両の走行状態に基づいて、前記複数の装置への電力供給を個別に制御する、なりすまし検出装置。
A power control unit that individually controls the power supply to multiple devices belonging to a communication network,
An acquisition unit that acquires the communication status of the communication network, and
A detection unit that detects the existence of a communication node that impersonates the target device based on the power supply state of the target device, which is one of the plurality of devices, and the communication state of the communication network. ,
The communication network is an in-vehicle communication network.
The plurality of devices are in-vehicle control devices, respectively, and are
The power control unit, based on the running state of the vehicle in which the plurality of apparatus is installed, that controls individually the power supply to the plurality of devices, spoofing detection device.
通信ネットワークに属する複数の装置への電力供給を個別に制御する電源制御部と、
前記通信ネットワークの通信状態を取得する取得部と、
前記複数の装置のうちの1つの装置である対象装置の電力供給状態、および、前記通信ネットワークの通信状態に基づいて、前記対象装置を詐称する通信ノードの存在を検出する検出部と、を備え
前記通信ノードの存在が検出されると、前記電源制御部は、被詐称装置である前記対象装置の安全性のレベルが所定レベルよりも高いときには、前記対象装置への電力供給を遮断する、なりすまし検出装置。
A power control unit that individually controls the power supply to multiple devices belonging to a communication network,
An acquisition unit that acquires the communication status of the communication network, and
A detection unit that detects the existence of a communication node that impersonates the target device based on the power supply state of the target device, which is one of the plurality of devices, and the communication state of the communication network. ,
When the presence of said communication node is detected, the power supply control unit, when the level of safety of the subject device is to be spoofing apparatus is higher than a predetermined level, you cut off the power supply to the target device, Spoofing detector.
前記通信ノードの存在が検出されると、前記電源制御部は、被詐称装置である前記対象装置の安全性のレベルが所定レベルよりも高いときには、前記対象装置への電力供給を遮断する、請求項1記載のなりすまし検出装置。 When the presence of the communication node is detected, the power supply control unit cuts off the power supply to the target device when the safety level of the target device, which is a spoofed device, is higher than a predetermined level. Item 1. The spoofing detection device according to Item 1. 前記通信ネットワークは、車内の通信ネットワークであり、
前記複数の装置は、それぞれ車載制御装置である、請求項に記載のなりすまし検出装置。
The communication network is an in-vehicle communication network.
The spoofing detection device according to claim 2 , wherein the plurality of devices are in-vehicle control devices.
前記対象装置への電力供給が遮断された状態において、前記対象装置を送信元とした通信が生じている場合に、前記検出部は前記通信ノードの存在を検出する、請求項1から請求項4のいずれか1項に記載のなりすまし検出装置。 Claims 1 to 4 in which the detection unit detects the existence of the communication node when communication with the target device as a transmission occurs in a state where the power supply to the target device is cut off. The spoofing detection device according to any one of the above items. 前記通信ノードの存在が検出されると、被詐称装置である前記対象装置の識別情報を前記複数の装置のうちの前記対象装置以外の装置である非対象装置に通知する通知部をさらに備える、請求項1から請求項5のいずれか1項に記載のなりすまし検出装置。 When the presence of the communication node is detected, the notification unit further comprises a notification unit that notifies the non-target device, which is a device other than the target device among the plurality of devices, of the identification information of the target device, which is the spoofed device. The spoofing detection device according to any one of claims 1 to 5. 前記通知部は、前記識別情報を表示装置で表示する処理を実行する、請求項に記載のなりすまし検出装置。 The spoofing detection device according to claim 6 , wherein the notification unit executes a process of displaying the identification information on the display device. 複数の装置の属する通信ネットワークにおいて、前記複数の装置のうちの1つの装置である対象装置を詐称する通信ノードの存在を検出する方法であって、
前記複数の装置への電力供給を個別に制御するステップと、
前記通信ネットワークの通信状態を取得するステップと、
前記対象装置の電力供給状態、および、前記通信ネットワークの通信状態に基づいて、前記通信ノードの存在を検出するステップと、を備え、
前記通信ネットワークは、車内の通信ネットワークであり、
前記複数の装置は、それぞれ車載制御装置であり、
前記制御するステップは、前記複数の装置が設置された車両の走行状態に基づいて、前記複数の装置への電力供給を個別に制御するステップを含む、検出方法。
A method of detecting the presence of a communication node that impersonates a target device, which is one of the plurality of devices, in a communication network to which a plurality of devices belong.
A step of individually controlling the power supply to the plurality of devices,
The step of acquiring the communication status of the communication network and
A step of detecting the presence of the communication node based on the power supply state of the target device and the communication state of the communication network is provided.
The communication network is an in-vehicle communication network.
The plurality of devices are in-vehicle control devices, respectively, and are
The control step is a detection method including a step of individually controlling power supply to the plurality of devices based on a running state of a vehicle in which the plurality of devices are installed.
複数の装置の属する通信ネットワークにおいて、前記複数の装置のうちの1つの装置である対象装置を詐称する通信ノードの存在を検出する方法であって、
前記複数の装置への電力供給を個別に制御するステップと、
前記通信ネットワークの通信状態を取得するステップと、
前記対象装置の電力供給状態、および、前記通信ネットワークの通信状態に基づいて、前記通信ノードの存在を検出するステップと、を備え、
前記制御するステップは、前記通信ノードの存在が検出された場合に、被詐称装置である前記対象装置の安全性のレベルが所定レベルよりも高いときには、前記対象装置への電力供給を遮断するステップを含む、検出方法。
A method of detecting the presence of a communication node that impersonates a target device, which is one of the plurality of devices, in a communication network to which a plurality of devices belong.
A step of individually controlling the power supply to the plurality of devices,
The step of acquiring the communication status of the communication network and
Power supply state of the target device, and, based on the communication state of the communication network, Bei give a, and detecting the presence of said communication nodes,
The control step is a step of cutting off the power supply to the target device when the safety level of the target device, which is a spoofed device, is higher than a predetermined level when the presence of the communication node is detected. Detection method , including.
なりすまし検出装置としてコンピュータを機能させるためのコンピュータプログラムであって、
前記コンピュータを、
通信ネットワークに属する複数の装置への電力供給を個別に制御する電源制御部と、
前記通信ネットワークの通信状態を取得する取得部と、
前記複数の装置のうちの1つの装置である対象装置の電力供給状態、および、前記通信ネットワークの通信状態に基づいて、前記対象装置を詐称する通信ノードの存在を検出する検出部、として機能させ
前記通信ネットワークは、車内の通信ネットワークであり、
前記複数の装置は、それぞれ車載制御装置であり、
前記電源制御部は、前記複数の装置が設置された車両の走行状態に基づいて、前記複数の装置への電力供給を個別に制御する、コンピュータプログラム。
A computer program that allows a computer to function as a spoofing detector.
The computer
A power control unit that individually controls the power supply to multiple devices belonging to a communication network,
An acquisition unit that acquires the communication status of the communication network, and
It functions as a detection unit that detects the existence of a communication node that impersonates the target device based on the power supply state of the target device, which is one of the plurality of devices, and the communication state of the communication network. ,
The communication network is an in-vehicle communication network.
The plurality of devices are in-vehicle control devices, respectively, and are
The power control unit, based on the running state of the vehicle in which the plurality of apparatus is installed, that controls individually the power supply to the plurality of devices, the computer program.
なりすまし検出装置としてコンピュータを機能させるためのコンピュータプログラムであって、
前記コンピュータを、
通信ネットワークに属する複数の装置への電力供給を個別に制御する電源制御部と、
前記通信ネットワークの通信状態を取得する取得部と、
前記複数の装置のうちの1つの装置である対象装置の電力供給状態、および、前記通信ネットワークの通信状態に基づいて、前記対象装置を詐称する通信ノードの存在を検出する検出部、として機能させ
前記通信ノードの存在が検出されると、前記電源制御部は、被詐称装置である前記対象装置の安全性のレベルが所定レベルよりも高いときには、前記対象装置への電力供給を遮断する、コンピュータプログラム。
A computer program that allows a computer to function as a spoofing detector.
The computer
A power control unit that individually controls the power supply to multiple devices belonging to a communication network,
An acquisition unit that acquires the communication status of the communication network, and
It functions as a detection unit that detects the existence of a communication node that impersonates the target device based on the power supply state of the target device, which is one of the plurality of devices, and the communication state of the communication network. ,
When the presence of said communication node is detected, the power supply control unit, when the level of safety of the subject device is to be spoofing apparatus is higher than a predetermined level, you cut off the power supply to the target device, Computer program.
JP2018011780A 2018-01-26 2018-01-26 Spoofing detectors, detection methods, and computer programs Active JP6973120B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018011780A JP6973120B2 (en) 2018-01-26 2018-01-26 Spoofing detectors, detection methods, and computer programs

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018011780A JP6973120B2 (en) 2018-01-26 2018-01-26 Spoofing detectors, detection methods, and computer programs

Publications (3)

Publication Number Publication Date
JP2019129500A JP2019129500A (en) 2019-08-01
JP2019129500A5 JP2019129500A5 (en) 2020-10-01
JP6973120B2 true JP6973120B2 (en) 2021-11-24

Family

ID=67472429

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018011780A Active JP6973120B2 (en) 2018-01-26 2018-01-26 Spoofing detectors, detection methods, and computer programs

Country Status (1)

Country Link
JP (1) JP6973120B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019220461A1 (en) * 2019-12-20 2021-06-24 Robert Bosch Gesellschaft mit beschränkter Haftung Method and device for operating a computing device
JP7491362B2 (en) * 2020-02-18 2024-05-28 住友電気工業株式会社 SECURITY SYSTEM, VEHICLE, SECURITY DEVICE, AND AUTHENTICITY DETERMINATION METHOD
JP7651938B2 (en) * 2021-04-30 2025-03-27 株式会社オートネットワーク技術研究所 Vehicle-mounted communication system, relay device, and relay method
WO2026028749A1 (en) * 2024-07-30 2026-02-05 パナソニックIpマネジメント株式会社 Information processing method, information processing device, and program

Also Published As

Publication number Publication date
JP2019129500A (en) 2019-08-01

Similar Documents

Publication Publication Date Title
US11469921B2 (en) Security device, network system, and fraud detection method
US10093223B2 (en) System and method for generating a parking alert
CN104205181B (en) Proximity-Based Emergency Services
JP6973120B2 (en) Spoofing detectors, detection methods, and computer programs
US8391831B2 (en) In-vehicle terminal for emergency notification
US10445493B2 (en) Information processing system
EP3761715B1 (en) Information processing method, related device, and computer storage medium
KR101748273B1 (en) Vehicle head unit, user terminal, and method of notificating emergency of vehicle
JP6555559B1 (en) Electronic control device, monitoring method, program, and gateway device
JP5038166B2 (en) Vehicle emergency call system
CN108886557B (en) Emergency notification device and emergency notification system
JP5869324B2 (en) Drive recorder and traveling data transfer system
JP2009099062A (en) Zig-zag driving report system
WO2021024866A1 (en) Vehicle-mounted relay device, computer program, and failure determining method
JP2017173939A (en) Dangerous vehicle approach notification system and communication equipment for vehicle
CN112286764A (en) Security device, network system, and attack detection method
US11360486B2 (en) Vehicle assistance
CN115484295B (en) Information processing device, vehicle system, information processing method, and storage medium
JP2006253921A (en) Network system for vehicle
JP6428496B2 (en) Information processing apparatus and information storage apparatus
US10777079B2 (en) Methods and systems for estimating an end of a vehicle trip
JP4141469B2 (en) DSRC OBE
KR101950927B1 (en) Vehicle accident auto management system for the same method
CN112929399A (en) Vehicle-mounted information processing terminal, vehicle monitoring system, and computer-readable storage medium
CN112312356B (en) Vehicle communication device

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200818

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200818

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210607

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210713

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210826

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211005

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211018

R150 Certificate of patent or registration of utility model

Ref document number: 6973120

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250