安全装置、网络系统以及攻击检测方法制造方法及图纸

本公开涉及安全装置、网络系统以及攻击检测方法，与车辆内的总线连接的安全装置(2110)具备：判定部(2113)，其针对由从总线接收帧的接收部(2111)接收到的帧，判定是否满足预定条件，所述预定条件用于区分有无可能是攻击帧；取得部(2114)，其在判定部判定为满足预定条件的情况下，进行控制以向车辆外的外部装置(2200)传达判定请求，取得根据判定请求而从外部装置传达的判定结果；以及输出部(2115)，其在判定部判定为满足预定条件的情况下输出第1提示用信息，在取得部取得了来自外部装置的判定结果的情况下输出第2提示用信息。

【技术实现步骤摘要】
【国外来华专利技术】安全装置、网络系统以及攻击检测方法
本公开涉及检测攻击帧的技术，所述攻击帧是在搭载于车辆等的电子控制单元进行通信的网络中发送的不正常帧。
技术介绍
近年来，在汽车中的系统内，配置有许多被称为电子控制单元(ECU：ElectronicControlUnit)的装置。连接这些ECU的网络称为车载网络。车载网络存在多种标准。作为其中最主流的车载网络之一，存在由ISO11898-1规定的CAN(ControllerAreaNetwork：控制器局域网络)这一标准。在CAN中，通信路径是由两条线构成的总线，与总线连接的ECU称为节点。与总线连接的各节点收发被称为帧的消息。在CAN中不存在指示发送目的地或发送源的标识符，发送节点在每帧中附加被称为消息ID的ID并进行发送(即，向总线送出信号)，各接收节点仅接收预先确定的ID的帧(即，从总线读取信号)。另外，采用CSMA/CA(CarrierSenseMultipleAccess/CollisionAvoidance：载波侦听多址访问/冲突避免)方式，在多个节点同时发送时，进行基于消息ID的仲裁(调停)，优先发送消息ID的值小的帧。如上所述，因为在CAN中未实施发送源是否正确的验证，所以攻击者(不正常节点)通过访问CAN的总线并发送不正常帧(攻击帧)，能够不正常地控制汽车。作为针对如此攻击的防御技术，已知如下技术：在帧已被发送到CAN的总线上的情况下，判定是否为不正常地发送的帧，采取发出警报、阻止不正常帧等的行动(参照专利文献1)。现有技术文献专利文献1：日本特开2015-136107号公报
技术实现思路
专利技术要解决的技术问题然而，在上述以往技术中，需要进一步改善。用于解决问题的技术方案本公开的一技术方案的安全装置，是与车辆内的一条或多条总线连接的安全装置，具备：接收部，其从一条所述总线接收帧；判定部，其针对由所述接收部接收到的帧，判定是否满足预定条件，所述预定条件用于区分有无可能是攻击帧，取得部，其在所述判定部判定为满足所述预定条件的情况下，进行控制以向位于所述车辆外部的外部装置传达判定请求，取得根据该判定请求而从该外部装置传达的判定结果；以及输出部，其在所述判定部判定为满足所述预定条件的情况下输出第1提示用信息，在所述取得部取得了来自所述外部装置的判定结果的情况下输出第2提示用信息。此外，这些概括性或具体的技术方案既可以通过装置、系统、集成电路、计算机程序或计算机可读取的CD-ROM等记录介质来实现，也可以通过装置、系统、方法、计算机程序和记录介质的任意组合来实现。专利技术的效果根据本公开，在疑似攻击帧的帧被发送了的情况下进行适当的通知，因此，车辆的驾驶员等会接收该通知并适当地进行应对。此外，本公开的进一步的效果以及优点可从本说明书以及附图的公开内容知晓。上述进一步的效果以及优点，可以单独地由本说明书及附图所公开的各种实施方式及特征来提供，不一定需要提供所有的效果以及优点。附图说明图1是表示实施方式1的网络系统的整体构成的图。图2是表示实施方式1的网络系统的工作例的时序图。图3是表示由网关授受的帧的内容的具体例的图。图4是方向盘ECU的构成图。图5是速度通知ECU的构成图。图6是白线角度通知ECU的构成图。图7是自动操舵指示ECU的构成图。图8是主机单元ECU的构成图。图9是表示主机单元ECU的显示内容保持部所保持的显示内容表的一例的图。图10是表示主机单元ECU中的警告通知的显示例的图。图11是表示主机单元ECU中的无异常通知的显示例的图。图12是表示主机单元ECU中的攻击检测通知的显示例的图。图13是表示主机单元ECU中的停车劝告的显示例的图。图14是实施方式1的网关的构成图。图15是表示网关接收的帧所涉及的接收ID列表的一例的图。图16是表示网关在是否为不正常帧的确认中使用的帧格式规则的一例的图。图17是表示网关在是否需要向外部发送判定请求的判断中使用的判断规则的一例的图。图18是表示网关在是否需要警告的判断中使用的警告规则的一例的图。图19是表示网关在通知内容的决定中使用的通知规则的一例的图。图20是表示网关所使用的转送规则的一例的图。图21是表示网关的状态存储部所存储的数据值的一例的图。图22是表示实施方式1的网关中的帧接收对应处理的一例的流程图。图23是表示实施方式1的网关中的判定结果接收对应处理的一例的流程图。图24是服务器的构成图。图25是表示服务器中的异常判定处理的一例的流程图。图26是表示服务器的工作例的流程图。图27是表示实施方式2的网络系统的整体构成的图。图28是表示实施方式2的网络系统的工作例的时序图。图29是实施方式2的网关的构成图。图30是表示实施方式2的网关中的帧接收对应处理的一例的流程图。图31是表示实施方式2的网关中的判定结果接收对应处理的一例的流程图。图32是表示汽车B中的与判定请求对应的工作例的流程图。图33是网络系统的概略构成图。具体实施方式(成为本公开的基础的见解)在专利文献1所记载的技术中，在帧已被发送到CAN的总线上的情况下，判定是否为不正常地发送的帧，采取发出警报、阻止不正常帧等的行动。然而，在虽然怀疑已被发送到车载网络的总线上的帧是攻击者为了不正常地控制汽车等车辆而发送的攻击帧但无法断定是攻击帧的情况下，未必应该阻止该帧。基于上述考察，本专利技术人想到了本公开的各技术方案。本公开的一技术方案的安全装置，是与车辆内的一条或多条总线连接的安全装置，具备：接收部，其从一条所述总线接收帧；判定部，其针对由所述接收部接收到的帧，判定是否满足预定条件，所述预定条件用于区分有无可能是攻击帧，取得部，其在所述判定部判定为满足所述预定条件的情况下，进行控制以向位于所述车辆外部的外部装置传达判定请求，取得根据该判定请求而从该外部装置传达的判定结果；以及输出部，其在所述判定部判定为满足所述预定条件的情况下输出第1提示用信息，在所述取得部取得了来自所述外部装置的判定结果的情况下输出第2提示用信息。安全装置在基于区分有无可能是攻击帧的预定条件进行了判定之后，如果满足预定条件则会等待外部装置的判定结果来判定是否为攻击帧。对于向外部装置发送判定请求、使外部装置进行判定并接收该判定结果，需要一定的时间。根据基于上述结构的安全装置，在满足预定条件的情况即疑似攻击帧的帧被发送了的情况下，通过第1提示用信息的输出来进行适当的通知，在经过一定时间后得到了外部装置的判定结果的阶段，通过第2提示用信息的输出来进行适当的通知。此外，对于提示用信息的输出，是直接或者经由具有用户接口的装置等向车辆的驾驶员、同乘者等人进行的通知(信息提示等)。因此，可使得车辆的驾驶员等能够接收该通知并适当地应对。例如，若在疑似攻击帧的帧被发送了的情况下通过基于第1提示用信息的通知引起了驾驶员等的注意，则在利用外部装置判定为该帧是攻击帧而进行了基于第2提示用信息的通知时，驾驶员等会能够顺畅地应对。因此，可减低在疑似攻击帧的帧被发送了的情况下的因该帧或继该帧之后的帧引起的不良影响。另外，例如也可以是，所述车辆搭载有遵循CAN协议即控制器局域网协议经由所述一条或多条总线进行帧的授受的多个电子控制单元。由此，可成为：在遵循用于在电子控制单元(ECU)间进行帧的授受的CAN的车载网络中本文档来自技高网...

【技术保护点】
一种安全装置，是与车辆内的一条或多条总线连接的安全装置，具备：接收部，其从一条所述总线接收帧；判定部，其针对由所述接收部接收到的帧，判定是否满足预定条件，所述预定条件用于区分有无可能是攻击帧，取得部，其在所述判定部判定为满足所述预定条件的情况下，进行控制以向位于所述车辆外部的外部装置传达判定请求，取得根据该判定请求而从该外部装置传达的判定结果；以及输出部，其在所述判定部判定为满足所述预定条件的情况下输出第1提示用信息，在所述取得部取得了来自所述外部装置的判定结果的情况下输出第2提示用信息。

【技术特征摘要】
【国外来华专利技术】2016.09.14 JP 2016-179736;2015.12.14 US 62/266,8311.一种安全装置，是与车辆内的一条或多条总线连接的安全装置，具备：接收部，其从一条所述总线接收帧；判定部，其针对由所述接收部接收到的帧，判定是否满足预定条件，所述预定条件用于区分有无可能是攻击帧，取得部，其在所述判定部判定为满足所述预定条件的情况下，进行控制以向位于所述车辆外部的外部装置传达判定请求，取得根据该判定请求而从该外部装置传达的判定结果；以及输出部，其在所述判定部判定为满足所述预定条件的情况下输出第1提示用信息，在所述取得部取得了来自所述外部装置的判定结果的情况下输出第2提示用信息。2.根据权利要求1所述的安全装置，所述车辆搭载有遵循CAN协议即控制器局域网协议经由所述一条或多条总线进行帧的授受的多个电子控制单元。3.根据权利要求1或2所述的安全装置，所述安全装置是与所述车辆内的所述多条总线连接的网关装置。4.根据权利要求3所述的安全装置，所述安全装置还具备确认部，所述确认部针对由所述接收部从一总线接收到的帧确认是否符合不正常条件，所述安全装置针对由所述接收部从一总线接收到的帧，在通过所述确认部确认到不符合所述不正常条件的情况下，将该帧向其他总线转送，在通过所述确认部确认到符合所述不正常条件的情况下，不转送该帧，在针对由所述接收部接收到的帧通过所述确认部确认到符合所述不正常条件的情况下，所述判定部不判定为满足所述预定条件，所述输出部在所述判定部判定为满足所述预定条件时输出所述第1提示用信息。5.根据权利要求1～4中任一项所述的安全装置，所述输出部在所述判定部判定为满足所述预定条件的情况下，当满足警告条件时输出所述第1提示用信息，当不满足该警告条件时不输出所述第1提示用信息。6.根据权利要求1～4中任一项所述的安全装置，所述输出部在所述取得部取得了来自所述外部装置的判定结果的情况下，将与所述第1提示用信息不同的预先确定的多个相异的信息中的、根据该判定结果和是否满足警告条件而选择出的信息作为所述第2提示用信息进行输出。7.根据权利要求5或6所述的安全装置，所述输出部基于由所述接收部过去接收到的一个或多个帧的内容，判别是否满足所述警告条件。8.根据权利要求1～5中任一项所述的安全装置，来自所述外部装置的所述判定结果，择一地表示是否正常，所述输出部在所述取得部取得了来自所述外部装置的判定结果的情况下，将与所述第1提示用信息不同的预先确定的多个相异的信息中的、根据该判定结果是否表示正常而选择出的信息作为所述第2提示用信息进行输出。9.根据权利要求1～8中任一项所述的安全装置，所述取得部包括外部通信部，所述外部通信部向所述外部装置发送所述判定请求，接收根据该判定请求而从所述外部装置发送的判定结果。10.根据权利要求1～9中任一项所述的安全装置，所述输出部在所述判定部判定为满足所述预定条件的情况下，向所述车辆内的一条总线发送包含所述第1提示用信息的帧，在所述取得部取得了来自所述外部装置的判定结果的情况下，向该一条总线发送...

【专利技术属性】
技术研发人员：鹤见淳一，氏家良浩，中野稔久，松岛秀树，海上勇二，
申请(专利权)人：松下电器美国知识产权公司，
类型：发明
国别省市：美国,US