図面 (/)

技術 攻撃検知システムおよび攻撃検知方法

出願人 トヨタ自動車株式会社国立大学法人横浜国立大学
発明者 遠山毅小熊寿松本勉後藤英樹守谷友和
出願日 2015年7月30日 (5年9ヶ月経過) 出願番号 2015-151086
公開日 2017年2月9日 (4年3ヶ月経過) 公開番号 2017-033186
状態 特許登録済
技術分野 移動無線通信システム 交通制御システム
主要キーワード 位置情報センサ センシング位置 アクセス許可レベル シグネチャ情報 検証メッセージ 侵入防止システム 近赤外線レーザー 超音波ソナー
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2017年2月9日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (11)

課題

車両が外部から通信により情報を受信するシステムにおいて、当該通信による攻撃を検知可能な技術を提供する。

解決手段

互いに無線通信可能なサーバ装置と複数の車両とから構成される攻撃検知システムであって、前記複数の車両の各々は、センサと、前記センサからセンサ情報を取得するセンサ情報取得手段と、無線通信により交通情報を受信する交通情報受信手段と、前記センサ情報および前記交通情報を前記サーバ装置へ送信する送信手段と、を備え、前記サーバ装置は、前記複数の車両の少なくともいずれかから前記センサ情報および前記交通情報を受信する受信手段と、前記センサ情報と前記交通情報の間に矛盾があるか否かを検証する検証手段と、前記センサ情報と前記交通情報の間に矛盾がある場合に、前記複数の車両の少なくともいずれかに通知する通知手段と、を備える。

概要

背景

近年、車両に通信機能を持たせ他の車両や路側機から送信される情報に基づいて運転支援自動運転を行うシステムの研究・開発が進められている。外部から送信される情報が正しくない場合に当該情報に基づいて制御を行うと、交通混乱を招く可能性がある。例えば、実際には存在しない車両が存在するという情報を周囲に送信することで正常な交通を阻害する、という攻撃が想定される。そこで、外部から送信される情報の正当性を検証することが望まれる。

特許文献1は、車載システムにおける送信ECUと受信ECUの双方から検証メッセージを受信し、これらの検証メッセージが一致するか否かを確認することによって、車載システムに対する攻撃を検知することが開示されている。

特許文献2には、プログラムの実行に伴って発生する車両ネットワークの情報へのアクセスを、各プログラムのアクセス権限レベルと各情報のアクセス許可レベルに基づいて、制限することが開示されている。

特許文献3には、ネットワーク攻撃ログ分析して未登録攻撃パターンが得られた場合に当該攻撃パターンを登録し、プログラムを更新する不正アクセス解析システムが開示されている。特許文献3の技術において、特許文献1や2の手法を用いて攻撃パターンを解析し、解析した攻撃パターンを登録することで車両に対する攻撃を検知することは可能である。

しかしながら、特許文献1は車両システム内部の通信を考慮した攻撃検知技術であり、特許文献2は外部装置から車両内部に対するアクセスにおける攻撃検知技術である。いずれにおいても、外部から送信される情報が正しいか否かを検知できるものではない。

送信される情報の正当性を検証する技術として電子署名が存在するが、これは送信された情報が改竄されていないことと、送信者のなりすましが発生していないことを検出できるのみであり、送信された情報自体が正しいことまでは検証できない。

概要

車両が外部から通信により情報を受信するシステムにおいて、当該通信による攻撃を検知可能な技術を提供する。互いに無線通信可能なサーバ装置と複数の車両とから構成される攻撃検知システムであって、前記複数の車両の各々は、センサと、前記センサからセンサ情報を取得するセンサ情報取得手段と、無線通信により交通情報を受信する交通情報受信手段と、前記センサ情報および前記交通情報を前記サーバ装置へ送信する送信手段と、を備え、前記サーバ装置は、前記複数の車両の少なくともいずれかから前記センサ情報および前記交通情報を受信する受信手段と、前記センサ情報と前記交通情報の間に矛盾があるか否かを検証する検証手段と、前記センサ情報と前記交通情報の間に矛盾がある場合に、前記複数の車両の少なくともいずれかに通知する通知手段と、を備える。

目的

本発明は、車両が外部から通信により情報を受信するシステムにおいて、当該通信による攻撃を検知可能な技術を提供する

効果

実績

技術文献被引用数
0件
牽制数
1件

この技術が所属する分野

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

互いに無線通信可能なサーバ装置と複数の車両とから構成される攻撃検知システムであって、前記複数の車両の各々は、センサと、前記センサからセンサ情報を取得するセンサ情報取得手段と、無線通信により交通情報を受信する交通情報受信手段と、前記センサ情報および前記交通情報を前記サーバ装置へ送信する送信手段と、を備え、前記サーバ装置は、前記複数の車両の少なくともいずれかから前記センサ情報および前記交通情報を受信する受信手段と、前記センサ情報と前記交通情報の間に矛盾があるか否かを検証する検証手段と、前記センサ情報と前記交通情報の間に矛盾がある場合に、前記複数の車両の少なくともいずれかに通知する通知手段と、を備える、攻撃検知システム。

請求項2

前記通知手段は、センサ情報との間に矛盾がある交通情報の特徴を表すシグネチャ情報を前記複数の車両の少なくともいずれかに通知し、前記複数の車両の各々は、前記サーバ装置から受信するシグネチャ情報を記憶する記憶手段を有し、前記通知手段から通知されたシグネチャ情報と一致する交通情報を信用しない、請求項1に記載の攻撃検知システム。

請求項3

前記交通情報には当該交通情報の送信者識別子が含まれている場合は、交通情報のシグネチャ情報を、当該交通情報の送信者の識別子とする、請求項2に記載の攻撃検知システム。

請求項4

前記交通情報には、道路上に存在する物体の位置が含まれており、前記検証手段は、前記交通情報によって示される物体の位置に当該物体が存在しないことが、前記センサ情報から推定できる場合に、前記センサ情報と前記交通情報の間に矛盾があると判断する、請求項1から3のいずれか1項に記載の攻撃検知システム。

請求項5

前記交通情報には、さらに、前記物体の移動速度および移動方向の少なくともいずれかが含まれており、前記検証手段は、前記交通情報によって示される物体の位置に存在する物体の移動速度又は移動方向が、前記交通情報によって示される前記移動速度または前記移動方向に一致しないことが、前記センサ情報から推定できる場合に、前記センサ情報と前記交通情報の間に矛盾があると判断する、請求項4に記載の攻撃検知システム。

請求項6

前記交通情報には、道路の状況に関する情報が含まれており、前記検証手段は、前記交通情報によって示される道路の状況と、前記センサ情報から得られる道路の状況が一致しない場合に、前記センサ情報と前記交通情報の間に矛盾があると判断する、請求項1から5のいずれか1項に記載の攻撃検知システム。

請求項7

車両が備えるセンサから取得されるセンサ情報を取得する第1取得手段と、車両が無線通信により受信した交通情報を取得する第2取得手段と、センサ情報と交通情報の間に矛盾があるか否かを検証する検証手段と、を備える、攻撃検知システム。

請求項8

センサと、前記センサからセンサ情報を取得するセンサ情報取得手段と、無線通信により交通情報を受信する交通情報受信手段と、前記センサ情報および前記交通情報を前記サーバ装置へ送信する送信手段と、前記センサ情報と前記交通情報の間に矛盾があるか否かを検証する検証手段と、を備える車両。

請求項9

前記検証手段によってセンサ情報と矛盾すると判断された交通情報の特徴を表すシグネチャ情報を、周囲の車両またはサーバ装置へ送信する通知手段をさらに備える、請求項8に記載の車両。

請求項10

互いに無線通信可能なサーバ装置と複数の車両とから構成される攻撃検知システムにおける攻撃検知方法であって、前記複数の車両の少なくともいずれかが、センサからセンサ情報を取得するセンサ情報取得ステップと、無線通信により交通情報を受信する交通情報受信ステップと、前記センサ情報および前記交通情報を前記サーバ装置へ送信する送信ステップと、を実行し、前記サーバ装置が、前記複数の車両の少なくともいずれかから前記センサ情報および前記交通情報を受信する受信ステップと、前記センサ情報と前記交通情報の間に矛盾があるか否かを検証する検証ステップと、前記センサ情報と前記交通情報の間に矛盾がある場合に、前記複数の車両の少なくともいずれかに通知する通知ステップと、を実行する、攻撃検知方法。

請求項11

コンピュータによって実行される攻撃検知方法であって、車両が備えるセンサから取得されるセンサ情報を取得する第1取得ステップと、車両が無線通信により受信した交通情報を取得する第2取得ステップと、センサ情報と交通情報の間に矛盾があるか否かを検証する検証ステップと、を含む、攻撃検知方法。

請求項12

請求項10または11に記載の方法の各ステップを、コンピュータに実行させるためのコンピュータプログラム

技術分野

0001

本発明は、攻撃検知システムに関し、特に、車両に対して送信される交通情報による攻撃を検知する攻撃検知システムに関する。

背景技術

0002

近年、車両に通信機能を持たせ他の車両や路側機から送信される情報に基づいて運転支援自動運転を行うシステムの研究・開発が進められている。外部から送信される情報が正しくない場合に当該情報に基づいて制御を行うと、交通混乱を招く可能性がある。例えば、実際には存在しない車両が存在するという情報を周囲に送信することで正常な交通を阻害する、という攻撃が想定される。そこで、外部から送信される情報の正当性を検証することが望まれる。

0003

特許文献1は、車載システムにおける送信ECUと受信ECUの双方から検証メッセージを受信し、これらの検証メッセージが一致するか否かを確認することによって、車載システムに対する攻撃を検知することが開示されている。

0004

特許文献2には、プログラムの実行に伴って発生する車両ネットワークの情報へのアクセスを、各プログラムのアクセス権限レベルと各情報のアクセス許可レベルに基づいて、制限することが開示されている。

0005

特許文献3には、ネットワーク攻撃ログ分析して未登録攻撃パターンが得られた場合に当該攻撃パターンを登録し、プログラムを更新する不正アクセス解析システムが開示されている。特許文献3の技術において、特許文献1や2の手法を用いて攻撃パターンを解析し、解析した攻撃パターンを登録することで車両に対する攻撃を検知することは可能である。

0006

しかしながら、特許文献1は車両システム内部の通信を考慮した攻撃検知技術であり、特許文献2は外部装置から車両内部に対するアクセスにおける攻撃検知技術である。いずれにおいても、外部から送信される情報が正しいか否かを検知できるものではない。

0007

送信される情報の正当性を検証する技術として電子署名が存在するが、これは送信された情報が改竄されていないことと、送信者のなりすましが発生していないことを検出できるのみであり、送信された情報自体が正しいことまでは検証できない。

先行技術

0008

特開2014−138380号公報
特開2014−168219号公報
特開2010−250607号公報

発明が解決しようとする課題

0009

上記のような問題を考慮して、本発明は、車両が外部から通信により情報を受信するシステムにおいて、当該通信による攻撃を検知可能な技術を提供することを目的とする。

課題を解決するための手段

0010

上記目的を達成するために、本発明においては、車両が無線通信により受信する交通情
報と、車両がセンサから取得するセンサ情報とを比較して、交通情報とセンサ情報の間に矛盾がある場合には、当該交通情報は不正なものであると判断する。

0011

交通情報は、交通に関連する任意の情報であり、一例として、車両の位置・移動速度・移動方向などの車両に関する情報、信号機に関する情報、道路上の障害物に関する情報、渋滞に関する情報、路面状況に関する情報などが含まれる。

0012

例えば、交通情報においてある位置に車両が存在すると示されている場合に、センサ情報からは当該位置には何もないことが示されることがある。このような場合は、交通情報とセンサ情報が矛盾しており、交通情報が不正なものである可能性が高い。ここで挙げた車両の位置は一例に過ぎない。交通情報がセンサ情報に基づいて生成されるものである限り、センサ情報を用いてその正しさを検証することができる。

0013

本発明の一態様は、互いに無線通信可能なサーバ装置と複数の車両とから構成される攻撃検知システムである。前記複数の車両の各々は、センサと、前記センサからセンサ情報を取得するセンサ情報取得手段と、無線通信により交通情報を受信する交通情報受信手段と、前記センサ情報および前記交通情報を前記サーバ装置へ送信する送信手段と、を備える。前記サーバ装置は、前記複数の車両の少なくともいずれかから前記センサ情報および前記交通情報を受信する受信手段と、前記センサ情報と前記交通情報の間に矛盾があるか否かを検証する検証手段と、前記センサ情報と前記交通情報の間に矛盾がある場合に、前記複数の車両の少なくともいずれかに通知する通知手段と、を備える。ここで、比較する交通情報とセンサ情報は、同一の車両によって取得された情報であってもよいし、異なる車両によって取得された情報であってもよい。

0014

このように、車両が取得した交通情報およびセンサ情報をサーバ装置に送信し、サーバ装置において解析を行うことで交通情報を用いた攻撃を検知することができる。

0015

本態様において、前記通知手段は、センサ情報との間に矛盾がある交通情報の特徴を表すシグネチャ情報を前記複数の車両の少なくともいずれかに通知し、前記複数の車両の各々は、前記サーバ装置から受信するシグネチャ情報を記憶する記憶手段を有し、前記通知手段から通知されたシグネチャ情報と一致する交通情報を信用しない、ことができる。

0016

このような構成によれば、サーバ装置が検知した攻撃を、それぞれの車両において検知可能となる。

0017

シグネチャ情報は、交通情報の特徴を表す情報であり、例えば、交通情報に当該交通情報の送信者の識別子が含まれている場合には、当該交通情報の送信者の識別子を採用することができる。

0018

また、本態様において、前記交通情報には、道路上に存在する物体の位置が含まれており、前記検証手段は、前記交通情報によって示される物体の位置に当該物体が存在しないことが、前記センサ情報から推定できる場合に、前記センサ情報と前記交通情報の間に矛盾があると判断する、ことも好ましい。ここで、道路上に存在する物体とは、車両や障害物などが含まれる。交通情報の送信者が車両である場合には、送信者車両の位置を表す情報が交通情報に該当し、送信者車両自体が道路上に存在する物体に該当する。

0019

道路上に存在する物体の有無や位置は、例えば、カメラ可視光カメラ赤外カメラ)、レーダーミリ波レーダー準ミリ波レーダー、近赤外線レーザーレーダー)、超音波ソナーによって検知可能である。したがって、交通情報によって示される位置に物体が存在することが、これらのセンサ情報から確認できない場合に、当該交通情報がセンサ情報
と矛盾すると判断できる。また、交通情報に示されている位置に何らかの物体が存在している場合であっても、交通情報によって示される種類の物体(例えば車両)と異なる物体が存在するとセンサ情報から把握できる場合には、当該交通情報がセンサ情報と矛盾すると判断できる。

0020

本態様において、前記交通情報には、さらに、前記物体の移動速度および移動方向の少なくともいずれかが含まれており、前記検証手段は、前記交通情報によって示される物体の位置に存在する物体の移動速度又は移動方向が、前記交通情報によって示される前記移動速度または前記移動方向に一致しないことが、前記センサ情報から推定できる場合に、前記センサ情報と前記交通情報の間に矛盾があると判断する、こともできる。

0021

本態様において、前記交通情報には、道路の状況に関する情報が含まれており、前記検証手段は、前記交通情報によって示される道路の状況と、前記センサ情報から得られる道路の状況が一致しない場合に、前記センサ情報と前記交通情報の間に矛盾があると判断する、こともできる。道路の状況には、渋滞の有無や、道路工事の有無、車線規制凍結などの路面状況が含まれる。

0022

本発明の第2の態様は、車両が備えるセンサから取得されるセンサ情報を取得する第1取得手段と、車両が無線通信により受信した交通情報を取得する第2取得手段と、センサ情報と交通情報の間に矛盾があるか否かを検証する検証手段と、を備える攻撃検知システムである。

0023

本態様に係る攻撃検知システムは、センサ情報と交通情報を取得できる限り、その構成や取得方法は特に限定されない。例えば、攻撃検知システムの上記各手段は車両とは異なる装置に備えられており、車両からセンサ情報や交通情報を無線通信によって取得することができる。あるいは、攻撃検知システムの上記各手段が車両に備えられており、車両に搭載されたセンサや無線通信装置からセンサ情報や交通情報を取得することができる。

0024

本発明の第3の態様は、センサと、前記センサからセンサ情報を取得するセンサ情報取得手段と、無線通信により交通情報を受信する交通情報受信手段と、前記センサ情報および前記交通情報を前記サーバ装置へ送信する送信手段と、前記センサ情報と前記交通情報の間に矛盾があるか否かを検証する検証手段と、を備える車両。

0025

本態様によれば、車両が自らのセンサ情報に基づいて、交通情報が正しいか否かを検出する。

0026

本態様において、前記検証手段によってセンサ情報と矛盾すると判断された交通情報の特徴を表すシグネチャ情報を、周囲の車両またはサーバ装置へ送信する通知手段をさらに備える、ことが好ましい。

0027

このような構成によれば、不正な交通情報の存在を周囲の車両に直接あるいはサーバ装置を介して通知することができる。

0028

なお、本発明は、上記手段の少なくとも一部を備える攻撃検知システム、車両、あるいはサーバ装置として捉えることができる。また、本発明は、上記手段が行う処理の少なくとも一部を実行する方法として捉えることもできる。また、本発明は、この方法をコンピュータに実行させるためのコンピュータプログラム、あるいはこのコンピュータプログラムを非一時的に記憶したコンピュータ可読記憶媒体として捉えることもできる。上記手段および処理の各々は可能な限り互いに組み合わせて本発明を構成することができる。

発明の効果

0029

本発明によれば、車両が外部から情報を受信するシステムにおいて、当該通信による攻撃を検知できる。

図面の簡単な説明

0030

図1は第1の実施形態のシステム概要を示す図である。
図2Aは車両の機能ブロック図であり、図2Bはサーバ装置の機能ブロック図である。
図3Aは交通情報のメッセージフォーマットを示す図であり、図3Bはセンサ情報のメッセージフォーマットを示す図である。
図4は第1の実施形態における車両の動作を示すフローチャートである。
図5は第1の実施形態における車両での交通情報検証処理を示すフローチャートである。
図6は第1の実施形態におけるサーバ装置での交通情報検証処理を示すフローチャートである。
図7は第2の実施形態のシステム概要を示す図である。
図8は第2の実施形態における車両での交通情報検証処理を示すフローチャートである。
図9は第3の実施形態のシステム概要を示す図である。
図10Aは車車間通信システムに対する攻撃を説明する図であり、図10Bはこの攻撃の検知方法を説明する図である。

実施例

0031

(システム概要)
自動運転を行う車両は、自らが有するセンサから得られるセンサ情報と、周囲の車両や路側機から通信により得られる交通情報を用いて車両の制御を行う。このような自動運転車両に対して誤った交通情報を送信することで、交通の混乱を生じさせるという攻撃が想定される。

0032

例えば、図10Aに示すように、路側機Xから交差点進入する車両Aに対して、本来は存在しない車両Yが存在するという交通情報を送信する(1001)ことが考えられる。この交差点の見通しが悪く車両Aが自らのセンサを用いて検知(1002)できない場合には、車両Aは交差点への進入が待たされることになる。

0033

このような状況において、図10Bに示すように、交差点に別の方向から接近する車両Bは、路側機Xからの交通情報によって存在が通知される車両Yが実際には存在しないことを、車両Bのセンサを用いて検知(1003)できる。すなわち、車両Bは路側機Xから送信される交通情報が誤ったものであると判断できる。そこで、車両Bから車両Aに通知を行うことで、車両Aは路側機Xからの交通情報を信用せずに自動運転することが可能となる。

0034

ここでは、不正交通情報を送信する装置が路側機である場合を説明したが、不正交通情報は車両やその他の無線通信装置から送信されてもよい。また、周囲から送信される交通情報を利用した制御は、自動運転に限られず、運転支援やその他の任意の制御であって構わない。

0035

(第1の実施形態)
<構成>
本実施形態は、車両に対して送信される交通情報が不正なものであるかどうかを検知する攻撃検知システムである。本攻撃検知システムは、図1に示すように、互いに無線通信
可能な複数の車両100とサーバ装置200とから構成される。

0036

本実施形態においては、複数の車両100のそれぞれが、周囲から受信した交通情報と自らのセンサによって取得したセンサ情報をサーバ装置200に送信する。サーバ装置200は、車両100から収集される交通情報とセンサ情報を蓄積し、センサ情報と矛盾する交通情報(以下、不正交通情報と称する)を特定する。サーバ装置200は、不正交通情報の特徴を表すシグネチャ情報を特定して、車両100に通知する。車両100は、侵入検知システム(Intrusion Detection System: IDS)あるいは侵入防止システム(Intrusion Prevention System: IPS)を備えており、サーバ装置200から通知されるシグネ
チャ情報を用いて不正交通情報を検知する。

0037

[車両]
図2Aは、車両100の構成を示すブロック図である。図に示すように、車両100は、センサ群102,無線通信装置104、車両制御部106、メモリ108、補助記憶装置110、演算処理部112を有する。

0038

センサ群102は、車両の内部状態車両周囲の環境の状態を取得するための複数のセンサを含む。車両の内部状態を取得するためのセンサには、位置情報センサ方位センサ速度センサ加速度センサヨーレートセンサ操舵角センサアクセル開度センサブレーキ圧センサエンジン回転速度センサなどが含まれる。車両周囲の環境の状態を取得するためのセンサには、カメラ(可視光カメラや赤外カメラ)、レーダー(ミリ波レーダー、準ミリ波レーダー、近赤外線レーザーレーダー)、超音波ソナー、照度センサなどが含まれる。

0039

無線通信装置104は、他の車両100やサーバ装置200と無線通信を行うための装置である。無線通信の規格は特定の方式には限定されず、無線LAN(IEEE 802.11a/b/g/n/ac)、Mobile WiMAX(IEEE 802.16e)、iBurstやWAVE(IEEE 802.20)、DSRC(専用境域通信)、
携帯電話通信(3G、LTE)などを採用可能である。他の車両100と通信するための無線
信装置とサーバ装置200と通信するための無線通信装置は、同一の装置であってもよいし異なる装置であってもよい。

0040

車両制御部106は、エンジン駆動力)、ステアリング操舵)、ブレーキ制動)など走行に必要な制御を行う1つまたは複数のECU(Electronic Control Unit)から
構成される。

0041

メモリ108は、RAM(Random Access Memory)などの主記憶装置である。補助記憶装置110は、磁気ディスク半導体メモリなどである。車両100は、これらの装置以外に、タッチパネルやボタンなどの入力装置ディスプレイスピーカーなどの出力装置を備えることも好ましい。

0042

演算処理部112は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などのプロセッサであり、補助記憶装置110に格納されているプログラムをメモリ108に読み込んで実行することで、種々の機能を実現する。演算処理部112は、例えば、センサ情報取得部114、交通情報送信部115、交通情報受信部116、情報アップロード部118、シグネチャ情報受信部120、攻撃検知部122、暗号処理部124の各機能を実現する。ただし、これらの機能の一部または全部を、ASIC(Application Specific IntegratedCircuit)やFPGA(Field Programmable Gate Array)やDSP(Digital Signal Processor)などを用いて実現しても構わない。また、演算処理部112は、1つのプロセッサとして構成する必要はなく、複数のプロセッサから構成されてもよい。例えば、暗号処理部124は専用のセキュリティチップを用いて実装するこ
とが好ましい。

0043

センサ情報取得部114は、センサ群102から定期的にあるいは必要に応じてセンサ情報を取得する。取得されたセンサ情報は、メモリ108や補助記憶装置110(以下、記憶部と総称する)に記憶される。

0044

交通情報送信部115は、センサ情報取得部114が取得したセンサ情報に基づいて生成される交通情報を送信する。交通情報は、交通に関連する任意の情報である。交通情報の一例は、車両の位置・移動速度・移動方向などの車両に関する情報、信号機に関する情報、道路上の障害物に関する情報、渋滞に関する情報、路面状況に関する情報などである。本実施形態においては、交通情報送信部115が、図3Aに示すフォーマットの交通情報30を定期的に送信する。

0045

送信される交通情報30は、送信元ID31、宛先ID32、送信時刻33、位置情報34、移動速度35、進行方向36、車両状態37を含み、またこれらの情報に対する電子署名38も付加される。送信元ID31は、交通情報30を送信する車両を特定するための識別子である。宛先ID32は交通情報30の宛先車両を特定するための識別子である。交通情報30がブロードキャストされる場合には、宛先ID32にはブロードキャストである旨を示す値が格納される。送信時刻33は、交通情報30が生成される時刻である。位置情報34は、例えば、GPS装置のような位置情報センサから取得される情報であり、緯度経度・高度の形式で表されたり、マップコードの形式で表わされたりする。移動速度35は、速度センサから取得される車両100の移動速度である。進行方向36は、方位センサから取得される車両100の進行方向である。車両状態37は車両100のその他の任意の状態を表す情報である。電子署名38は、なりすまし検出および改竄検出のために付される。電子署名38は、例えば、公開鍵暗号方式に基づくデジタル署名が採用できる。

0046

交通情報受信部116は、無線通信装置104を介して、周囲の車両や路側機から交通情報を受信する。交通情報に電子署名が付されている場合には、暗号処理部124によって電子署名の検証が行われる。また、受信した交通情報が正当なものであるか否かが、攻撃検知部122によって検証される。正当であると判断された交通情報は、記憶部に記憶され、自動運転などの車両制御に用いられる。

0047

情報アップロード部118は、センサ情報取得部114が取得したセンサ情報や、交通情報受信部116が受信した交通情報を、無線通信装置104を介してサーバ装置200へ送信(アップロード)する。アップロードされる交通情報のフォーマットは、車両に送信する場合と同様(図3A)とすることもできるし、異なるものとすることもできる。

0048

アップロードされるセンサ情報のフォーマットを、図3Bに示す。アップロードされるセンサ情報40は、送信元ID41、宛先ID42、送信時刻43、位置情報44、センシング時刻45、センシング位置46、センサ情報47を含み、またこれらの情報に対する電子署名48も付加される。送信元ID41、宛先ID42、送信時刻43、位置情報44、電子署名48は、交通情報30に含まれるものと同様である。センシング時刻45はセンサ情報47を取得した時刻である。センシング位置46はセンサ情報47を取得した際の車両100の位置である。センサ情報47はセンサ群102から得られるセンサ情報である。ここでは、1つのメッセージに1つのセンサ情報のみを格納して送信する例を示しているが、1つのメッセージに複数のセンサ情報を格納して送信しても構わない。この場合、センシング時刻とセンシング位置がほぼ等しい複数のセンサ情報をまとめて送信してもよいし、センサ情報ごとにセンシング時刻とセンシング位置を格納して任意のセンサ情報をまとめて送信するようにしてもよい。

0049

シグネチャ情報120は、サーバ装置200から不正交通情報の特徴を表すシグネチャ情報(電子署名とは異なる)を受信する。受信されたシグネチャ情報は記憶部に記憶され、攻撃検知部122が不正な情報を検知する際に用いられる。

0050

攻撃検知部122は、無線通信により受信した情報から不正な情報を検出する。具体的には、攻撃検知部122は、記憶部に記憶されているシグネチャ情報と一致する情報を、不正な情報であると判断する。

0051

暗号処理部124は、電子署名の付与や検証、暗号化処理復号処理などを行う。本実施形態においては、公開鍵方式の電子署名を利用するので、暗号処理部124が電子署名の付与や検証を実施する。暗号処理部124によって、周囲の車両100から送信される交通情報や、サーバ装置200から送信されるシグネチャ情報が正当なものであることを検証できる。また、暗号処理部124は、周囲の車両100に対して送信する交通情報や、サーバ装置200に対して送信するセンサ情報および交通情報に対して電子署名を付与する。

0052

[サーバ装置]
図2Bは、サーバ装置200の構成を示すブロック図である。図に示すように、サーバ装置200は、汎用的なコンピュータであり、無線通信装置204、メモリ208、補助記憶装置210、演算処理部212を有する。これらの構成は、車両100が有するものと同様であるため説明を省略する。

0053

演算処理部212は、センサ情報収集部214、交通情報収集部216、交通情報検証部218、シグネチャ情報決定部220、シグネチャ情報送信部222、暗号処理部224の機能を実現する。

0054

センサ情報収集部214は、車両100から送信されるセンサ情報を無線通信装置204を介して受信し、記憶部に記憶する。交通情報収集部216は、車両100から送信される交通情報を無線通信装置204を介して受信し、記憶部に記憶する。

0055

交通情報検証部218は、交通情報収集部216によって収集した交通情報が、センサ情報収集部214によって収集したセンサ情報と矛盾するかどうかを検証する。交通情報とセンサ情報が矛盾するというのは、例えば、交通情報にはある位置に車両が存在することが示されているが、センサ情報はその位置に何もないことあるいは車両以外のものが存在することを示している場合が該当する。あるいは、交通情報に示される位置に車両が存在するものの、交通情報によって示される移動速度または進行方向が、センサ情報によって示される移動速度または進行方向と異なる場合も、交通情報とセンサ情報が矛盾する場合に該当する。

0056

交通情報検証部218による検証処理の詳細は、後ほどフローチャートともに詳細に説明するので、ここでは簡単に説明する。交通情報検証部218は、交通情報収集部216によって収集した交通情報のそれぞれについて、関連するセンサ情報が交通情報と一致するか矛盾するかを検証する。交通情報検証部218は、交通情報と矛盾するセンサ情報が多い場合に、当該交通情報が不正なものであると判断する。

0057

シグネチャ情報決定部220は、交通情報検証部218によって不正であると判断された交通情報の特徴を表すシグネチャ情報を決定する。シグネチャ情報は、不正な情報のパターンを定義した情報とも言える。シグネチャ情報決定部220は、例えば、ある特定の車両が不正の交通情報を送信している場合には、送信元ID31が当該車両のIDと等し
いというパターンをシグネチャ情報として決定する。また、車両IDが異なる複数の車両から、例えば、位置情報34・移動速度35・進行方向36が特定の値を有する交通情報が送信されている場合には、これらのフィールドが当該特定の値を有するというパターンをシグネチャ情報として決定することもできる。シグネチャ情報は、不正交通情報を特定することができればどのようなものであっても構わない。

0058

シグネチャ情報送信部222は、シグネチャ情報決定部220によって決定された不正交通情報のシグネチャ情報を、無線通信装置204を介して車両100に送信する。これにより車両100の攻撃検知部122は、最新のシグネチャ情報に基づいて攻撃検知をすることができる。

0059

暗号処理部224は、電子署名の付与や検証、暗号化処理、復号処理などを行う。暗号処理部224によって、車両100から送信される交通情報やセンサ情報が正当なものであることを検証できる。また、暗号処理部224は、車両100に対して送信するシグネチャ情報に対して電子署名を付与する。

0060

<処理>
[車両の動作]
図4図5のフローチャートを参照して、車両100が行う処理を説明する。なお、フローチャートではそれぞれの処理が順次行われるように示してあるが、これらの処理は必ずしもこの順序で行われる必要はなく、異なる順序で実行したり複数の処理を並列に実行したりしても構わない。

0061

まず、センサ情報取得部114がセンサ群102からセンサ情報を取得する(S101)。なお、センサ情報の取得は定期的に行われる。取得の時間間隔はセンサによって異なっていてもよい。センサ情報取得部114は、取得したセンサ情報を記憶部に記憶する。

0062

また、交通情報受信部116が無線通信装置104を介して他の車両から交通情報を受信する(S102)。車両100は、受信した交通情報の検証処理を行う(S103)。交通情報の検証処理S103の詳細を、図5のフローチャートを参照して説明する。まず、暗号処理部124を用いて、交通情報の電子署名38の検証を行う(S201)。検証に失敗した場合(S202−NO)には、情報内容に改竄があるかなりすましが行われているので、受信した交通情報は不正であると判断できる(S206)。一方、署名検証成功した場合(S202−YES)は、改善もなりすましも行われていないことが分かる。その場合であっても交通情報の内容が正しくない可能性もあるので、さらに、攻撃検知部122が、シグネチャ情報を用いて交通情報の検証を行う(S203)。攻撃検知部122は、交通情報がシグネチャ情報と一致するかどうかを調べ、一致する場合(S204−YES)には、交通情報が不正であると判断する(S206)。一方、受信した交通情報がシグネチャ情報と一致しない場合(S204−NO)には、受信した交通情報が正当であると判断できる(S205)。

0063

図4のフローチャートに戻る。交通情報検証処理S103の結果、交通情報が不当であると判断された場合(S104−NO)は、車両100は受信した交通情報を破棄する(S105)。交通情報が正当であると判断された場合(S104−YES)は、この交通情報をそのまま受け入れる。

0064

車両制御部106は、センサ群102から得られたセンサ情報と、正当性が検証された交通情報を用いて車両100の自動運転制御を行う。なお、図4のフローチャートの処理では、交通情報が正当であるか否かを判定し、不当であると判断された交通情報は破棄してしまい制御に利用していない。しかしながら、交通情報を破棄する代わりに、信用でき
ない交通情報であることを認識した上で制御に利用しても構わない。例えば、信用できない交通情報が得られた場合に、センサ群102から得られるセンサ情報からこの交通情報が正しいか否かを確認したり、センサ群102によって再度センシングを行ったりすることができる。また、交通情報が不当であると認識した上で、安全のために速度を落としたり事前回避行動をとったりしてもよい。また、図4のフローチャートの処理では、交通情報が正当か不当であるか二択の判断を行っているが、交通情報が正当である可能性を3段階以上で評価して、その評価値信頼度)を考慮した上で、交通情報を自動運転制御に利用することもできる。

0065

車両100は、サーバ装置200への情報のアップロードタイミングであるか否かを判断(S107)する。アップロードタイミングであれば(S107−YES)、情報アップロード部118が、センサ情報取得部114が取得したセンサ情報と交通情報受信部116が受信した交通情報をサーバ装置200へ送信する。サーバ装置200へのアップロードタイミングは特に限定されず、例えば、サーバ装置200と通信可能な任意の時としてもよいし、さらに車両100が停止していることを条件としてもよい。また、車両100のエンジンが停止したときに一括してセンサ情報と交通情報をアップロードしてもよい。

0066

[サーバ装置の動作]
図6のフローチャートを参照して、サーバ装置200が行う処理を説明する。なお、フローチャートではそれぞれの処理が順次行われるように示してあるが、これらの処理は必ずしもこの順序で行われる必要はなく、異なる順序で実行したり複数の処理を並列に実行したりしても構わない。

0067

センサ情報収集部214は、無線通信装置204を介して車両100からセンサ情報を受信し(S301)、記憶部に記憶する。また、交通情報収集部216は、無線通信装置204を介して車両100から交通情報を受信し(S302)、記憶部に記憶する。フローチャートには記載していないが、暗号処理部224によって、センサ情報や交通情報の電子署名38,48を検証し、電子署名の検証に失敗したセンサ情報や交通情報は破棄することが好ましい。

0068

交通情報検証部218は、受信した交通情報の中から検証が完了していない交通情報を選択する(S303)。未検証の交通情報が複数存在する場合の選択基準は任意であってよい。交通情報検証部218は、選択した交通情報がセンサ情報と矛盾するかどうかを調べることにより、当該交通情報が正しいものであるか否かを検証する。

0069

具体的には、交通情報検証部218は、まず、選択した交通情報の送信時刻と送信位置(送信時刻33および位置情報34)と近い取得時刻取得位置(センシング時刻45およびセンシング情報46)を有するセンサ情報を選択する(S304)。これは、交通情報によって示される情報が正しいか否かを検証可能なセンサ情報を絞り込むための処理である。したがって、交通情報との位置や時刻が「近い」センサ情報とは、交通情報によって示される情報が正しいか否かを判断できる可能性が高いセンサ情報を意味する。例えば、車両の存在を通知する交通情報を検証する場合には、ほぼ同時刻に同じ道路を走行している車両から得られるセンサ情報が選択される。

0070

交通情報検証部218は、ステップS304において選択したセンサ情報のそれぞれが、ステップS303において選択した交通情報と矛盾するかどうかを判断する(S305)。例えば、車両の存在については、交通情報に示されている位置に車両が存在することがセンサ情報から推定できる場合には、交通情報とセンサ情報が矛盾せず一致すると判断できる。一方、交通情報に示されている位置に何も存在しない、または車両以外の物体が
存在することが推定できる場合には、交通情報とセンサ情報が矛盾すると判断できる。また、交通情報に示されている位置に車両が存在するかしないかがセンサ情報から分からない場合には、本実施形態では、交通情報とセンサ情報は矛盾しないと判断する。

0071

ここでは、車両の位置情報の検証について説明したが、交通情報検証部218は、車両の速度や進行方向についてもセンサ情報と一致するかどうかを判断する。交通情報によって示される位置に存在する車両の移動速度または移動方向が、センサ情報から得られる当該車両の移動速度や移動方向と異なる場合には、交通情報はセンサ情報と矛盾すると判断される。すなわち、交通情報に含まれる情報のうち、いずれかの情報がセンサ情報と矛盾する場合には、この交通情報はセンサ情報と矛盾すると判断される。

0072

交通情報検証部218は、ステップS304において選択した全てのセンサ情報について交通情報との比較が終了したら、交通情報と矛盾するセンサ情報の数が所定数以上であるか否かを判断する(S306)。ここで所定数とは、あらかじめ定められた固定値とすることができる。ただし所定数は、ステップS304において取得されたセンサ情報の数に応じた値であってもよいし、ステップS304において取得されたセンサ情報のうち交通情報と一致するセンサ情報の数に応じた値であってもよい。

0073

ステップS306の判定において、交通情報と矛盾するセンサ情報が多数存在する場合は(S306−YES)、この交通情報は不正なものであると判断される。この判定は、矛盾するセンサ情報の数(単純和)が所定数以上であるか否かに基づいて行われてもよいが、各センサ情報に対して情報の質に応じた重みを付け、矛盾するセンサ情報の重みの合計が所定数以上であるか否かに基づいて行われることがより好ましい。シグネチャ情報決定部220は、不正交通情報の特徴を表すシグネチャ情報を決定する(S307)。例えば、不正交通情報の送信元ID31をシグネチャ情報として決定することができる。シグネチャ情報送信部222は、決定されたシグネチャ情報を無線通信装置204を介して車両100に送信する(S308)。これにより、車両100は、送信されたシグネチャ情報を用いて、不正交通情報を検出することができるようになる。

0074

ステップS306の判定において、交通情報と矛盾するセンサ情報の数が少ない場合(S306−NO)、交通情報は正しいものであると判断され、シグネチャ情報の決定および送信処理は行われない。

0075

以上により、ステップS303において選択された交通情報に対する処理が終了する。未検証の交通情報が存在する場合(S309−YES)にはステップS303に戻って未検証の交通情報に対して上記と同様の処理が行われる。全ての交通情報に対する検証処理が終了したら(S309−NO)、処理を終了する。

0076

<本実施形態の有利な効果>
本実施形態によれば、車両がセンサによって得た情報(センサ情報)と矛盾する交通情報を、不正交通情報すなわち攻撃であると車両において判断できる。車両が自らのセンサ情報で交通情報が不正であることを検知できない場合であっても、サーバ装置経由で他の車両のセンサ情報との矛盾に基づいて攻撃を検知できる。

0077

交通情報に電子署名を付加していることから、なりすましや改竄による攻撃は車両においても検知することができるが、正当な送信者が不正交通情報を意図的にあるいは意図せずに送信した場合には、電子署名の仕組みでは攻撃を検知できない。本実施形態のように不正交通情報のシグネチャ情報を用いることで、このような攻撃も検知可能となる。

0078

本実施形態では、センサ情報を用いた交通情報の検証をサーバ装置で行っている。この
ような検証は比較的高い計算能力を必要とするが、サーバ装置は車載装置と比較して高度な計算能力を有することから、複雑な解析を実施できる。

0079

<変形例>
上記の説明では、交通情報の検証処理において、交通情報が正当であるか不当であるかを択一的に決定している。しかしながら、交通情報の信頼度を3段階以上で評価してもよい。例えば、交通情報検証部218は、交通情報と矛盾するセンサ情報の数に応じて交通情報の信頼度を決定してもよい。また、交通情報とセンサ情報が確実に矛盾するとも確実に一致するとも判断できない場合に、その確度を用いて交通情報の信頼度を決定してもよい。車両側では、交通情報の信頼度に応じて、交通情報をどの程度信頼するかを決めて車両の制御を行うことが好ましい。例えば、信頼度が最低の交通情報は無視して制御を行う一方、信頼度が中程度の交通情報は正しいかもしれないし間違っているかもしれないという前提で制御を行うとよい。

0080

上記の説明では、車両から送信される交通情報が、当該車両の位置・移動速度・移動方向を含むものであるとして説明したが、交通情報に含まれる交通に関連する情報であれば任意のものであってよい。例えば、信号機に関する情報、道路上に存在する障害物に関する情報、渋滞に関する情報、路面状況に関する情報などである。どのような交通情報であっても、車両から送信される交通情報は、車両のセンサ情報に基づいて生成できるものである。したがって、これらの交通情報は車両のセンサ情報との比較によって正しいものであるか否かを検証可能である。

0081

上記の説明では、車両は周囲から送信される交通情報を用いて自動運転制御を行っているが、交通情報に基づく制御は任意の制御であって構わない。例えば、運転支援制御や、車両の乗員に対する情報提供制御などであっても構わない。

0082

(第2の実施形態)
本発明の第2の実施形態は、サーバ装置を用いずに車両のみによって不正交通情報を検知する実施形態である。本実施形態における車両の構成は、センサ情報に基づいて交通情報を検証する交通情報検証部218と同等の機能を有する点と、サーバ装置との送受信を行う機能を有しない点を除けば、図2Aと同様である。

0083

図7に、本実施形態のシステム概要を示す。車両71は、周囲の車両72から交通情報を受信すると、自車両のセンサから得られるセンサ情報と比較して、受信した交通情報が不正なものであるかどうかを検証する。受信した交通情報が不正なものである場合には、車両71は、当該交通情報が不正なものである旨を周囲に通知する。この通知を受信した車両73は、当該交通情報が不正なものであることを知ることができる。これは、車両71は車両72から送信される交通情報の正否を自らのセンサによって検証できるが、車両73は自らのセンサ情報では検証が行えない場合に、特に有効である。

0084

図8は、本実施形態における車両が実施する交通情報検証処理の流れを示すフローチャートである。車両71は、受信した交通情報の電子署名38を暗号処理部124によって検証する(S401)。検証に失敗した場合(S402−NO)には、情報内容に改竄があるかなりすましが行われているので、受信した交通情報は不正であると判断できる(S407)。一方、署名検証に成功した場合(S402−YES)は、改善もなりすましも行われていないことが分かる。その場合であっても交通情報の内容が正しくない可能性もあるので、さらに、攻撃検知部122が、受信した交通情報が、周囲の車両から不正であると通知された交通情報と一致するかどうかを判断する(S403)。ここで、受信した交通情報が不正であるという通知を受けていた場合(S403−YES)は、受信した交通情報が不正であると判断できる(S407)。一方、受信した交通情報が不正であると
いう通知を受けていない場合(S403−NO)には、受信した交通情報の内容が自装置のセンサから得られるセンサ情報と矛盾するかどうかを検証する(S404)。受信した交通情報の内容がセンサ情報と矛盾する場合(S404−YES)は、受信した交通情報が不正であると判断できる。そこで、車両71は、当該交通情報が不正である旨を周囲に車両に通知する(S405)。この通知は、不正交通情報の送信元IDを通知するものであってもよいし、不正交通情報のメッセージIDを通知するものであってもよいし、第1の実施形態と同様のシグネチャ情報であってもよい。受信した交通情報がセンサ情報と矛盾しない場合(S404−NO)は、当該交通情報が正しいものであると判断できる(S406)。

0085

本実施形態によれば、サーバ装置を用いず車両のみによって、不正交通情報の検知と周囲の車両への通知が行える。サーバ装置を用いずに車両によってリアルタイムに交通情報の正当性を検証しているので、不正交通情報の通知が迅速に行えるという利点がある。

0086

なお、上記の処理では、自車両で得られるセンサ情報と交通情報が矛盾する場合(S404−NO)のみ、交通情報が不正である旨の通知を周囲の車両に送信しているが、交通情報が不正であると判断される場合は常に上記の通知を送信することも好ましい。

0087

(第3の実施形態)
本発明の第3の実施形態は、第2の実施形態とほぼ同様であるが、不正交通情報の通知を車両から送信するだけでなく、サーバ装置からも送信する点が異なる。

0088

図9に、本実施形態のシステム概要を示す。車両91は、周囲の車両92から交通情報を受信すると、自車両のセンサから得られるセンサ情報と比較して、受信した交通情報が不正なものであるかどうかを検証する。受信した交通情報が不正なものである場合には、車両91は、当該交通情報が不正なものである旨を周囲に通知する。この通知を受信した車両93は、当該交通情報が不正なものであることを知ることができる。これは、車両91は車両92から送信される交通情報の正否を自らのセンサによって検証できるが、車両93は自らのセンサ情報では検証が行えない場合に、特に有効である。ここまでは上記第2の実施形態と同様である。

0089

本実施形態では、車両91は、不正交通情報の存在を周囲の車両93だけでなく、サーバ装置94に対しても送信する。そして、サーバ装置94は、不正交通情報の通知をその他の車両95にも送信する。

0090

第2の実施形態では、センサ情報との矛盾を検知できた車両91の周囲にしか通知が行えない。本実施形態ではサーバ装置94が不正交通情報に関する情報(シグネチャ情報など)を送信することで、広い範囲の車両に対して不正交通情報を通知することができる。

0091

なお、本実施形態においては、サーバ装置は、交通情報が不正であるという車両からの通報が正しいものであることを検証することも好ましい。例えば、同じ交通情報を受信している車両のうちごく一部しか不正交通情報である旨の通報をしない場合には、この通報が誤っていると判断してもよい。

0092

(第4の実施形態)
上記第1の実施形態と、上記第2または第3の実施形態を組み合わせたシステムを提供することも好ましい。すなわち、交通情報およびセンサ情報をサーバ装置に送信してサーバ装置において不正交通情報を検知するとともに、車両においても自らのセンサ情報との比較で不正交通情報を検知するようにしたシステムを提供することも好ましい。

0093

サーバ装置における検証は、多くのセンサ情報に基づいてより高度な解析が行えるという利点があるが、この検証結果を用いて車両が攻撃を検知できるようになるまでの時間が長いという欠点がある。一方、車両における検証は、自らのセンサ情報に基づいた解析しか行えないが、不正交通情報を周囲に迅速に通知できるという利点がある。本実施形態によれば、互いの欠点を補ってより効果的なシステムを提供することができる。

0094

上記の実施形態および変形例の説明は、本発明の実施形態を説明するための例示に過ぎず、本発明をその開示の範囲に限定する趣旨のものではない。また、上記の実施形態および各変形例において説明した要素技術は、それぞれ技術的に矛盾しない範囲で組み合わせて本発明を実施することができる。

0095

100:車両
102:センサ群104:無線通信装置106:車両制御部
114:センサ情報取得部 116:交通情報受信部 118:情報アップロード部120:シグネチャ情報受信部 122:攻撃検知部 124:暗号処理部
200:サーバ装置
204:無線通信装置 214:センサ情報収集部 216:交通情報収集部
218:交通情報検証部 220:シグネチャ情報決定部
222:シグネチャ情報送信部 224:暗号処理部

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

技術視点だけで見ていませんか?

この技術の活用可能性がある分野

分野別動向を把握したい方- 事業化視点で見る -

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ