CN111225834B - 车辆用控制装置 - Google Patents
车辆用控制装置 Download PDFInfo
- Publication number
- CN111225834B CN111225834B CN201880066529.XA CN201880066529A CN111225834B CN 111225834 B CN111225834 B CN 111225834B CN 201880066529 A CN201880066529 A CN 201880066529A CN 111225834 B CN111225834 B CN 111225834B
- Authority
- CN
- China
- Prior art keywords
- abnormality
- security
- information
- external
- internal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
- G06F11/0739—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0763—Error or fault detection not based on redundancy by bit configuration check, e.g. of formats or tags
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0766—Error or fault reporting or storing
- G06F11/0775—Content or structure details of the error report, e.g. specific table structure, specific error fields
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0793—Remedial or corrective actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/75—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation
- G06F21/755—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation with measures against power attack
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/86—Secure or tamper-resistant housings
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40169—Flexible bus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/002—Countermeasures against attacks on cryptographic mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40234—Local Interconnect Network LIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40241—Flexray
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Quality & Reliability (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Mechanical Engineering (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Debugging And Monitoring (AREA)
- Small-Scale Networks (AREA)
- Traffic Control Systems (AREA)
Abstract
一种车辆用控制装置,在具有经由通信总线相互连接的多个信息处理装置的车载系统中被使用,具备:存储信息的存储部;以及基于所述存储部中存储的所述信息进行处理的运算部;所述信息包含与外部安全异常相关的第1管理信息、以及与内部安全异常相关的第2管理信息,所述外部安全异常是由于来自所述车载系统的外部的外部安全攻击引起的通信数据的异常,所述内部安全异常是由于所述车载系统内的异常引起的通信数据的异常,所述第1管理信息包含表示用于针对所述外部安全异常执行外部安全应对的第1制约条件的第1制约条件信息,所述第2管理信息包含表示用于针对所述内部安全异常执行内部安全应对的第2制约条件的第2制约条件信息,所述运算部在所述车载系统中的通信数据的异常被检测出的情况下,基于所述第1管理信息及所述第2管理信息,决定针对检测出的所述通信数据的异常的应对内容。
Description
技术领域
本发明涉及车辆用控制装置。
背景技术
近年来,在搭载于汽车并进行各种电子控制的车载系统中,日益经由互联网、Bluetooth(注册商标)、无线LAN等通信网络与车外的装置相连从而向用户提供各种服务。与此相伴,在近年来的车载系统中,与不具有与车外装置的通信功能的以往的车载装置相比,针对来自外部的外部安全攻击的防备变得日益重要。另外,在近年来的车载系统中,越来越多地采用OSS(Open Source Software:开源软件),或者有可能连接着未确保外部安全的智能电话或售后服务用的信息设备,因此愈发担心滥用了脆弱性的外部安全攻击。基于这样的背景,需要在车载系统中检测出由于外部安全攻击引起的异常的情况下能够抑制攻击的影响的技术。
关于上述情况,已知例如专利文献1的技术。在专利文献1中公开了如下技术:从通信总线接收通信帧,在具有不同ID的通信帧的接收间隔从规定的允许范围偏离的情况下,判定所接收的通信帧是否为非法的帧,如果判定为非法的帧则将该通信帧丢弃。
在先技术文献
专利文献
专利文献1:日本特开2017-50841号公报
发明内容
发明所要解决的课题
在车载系统中发生的通信数据的异常中,存在由于来自外部的外部安全攻击(非法的消息的注入、数据或固件的篡改等)引起的异常(以下称为“外部安全异常”)、以及由于车载系统内产生的异常(断线、噪声、故障等)引起的异常(以下称为“内部安全异常”)。但是,在专利文献1的技术中仅设想了外部安全异常,关于内部安全异常并未考虑。本发明鉴于这样的问题而做出,其目的在于,实现针对外部安全异常和内部安全异常双方能合适地应对的车载系统。
用于解决课题的手段
本发明所涉及的车辆用控制装置在具有经由通信总线相互连接的多个信息处理装置的车载系统中被使用,具备存储信息的存储部、以及基于所述存储部中存储的所述信息进行处理的运算部,所述信息包含:与由于来自所述车载系统的外部的外部安全(security)攻击引起的通信数据的异常即外部安全异常相关的第1管理信息、以及与由于所述车载系统内的异常引起的通信数据的异常即内部安全(safety)异常相关的第2管理信息,所述第1管理信息包含表示用于针对所述外部安全异常执行外部安全应对的第1制约条件的第1制约条件信息,所述第2管理信息包含表示用于针对所述内部安全异常执行内部安全应对的第2制约条件的第2制约条件信息,所述运算部在所述车载系统中的通信数据的异常被检测出的情况下,基于所述第1管理信息及所述第2管理信息,决定针对检测出的所述通信数据的异常的应对内容。
发明效果
根据本发明,能够实现针对外部安全异常和内部安全异常双方都能合适地应对的车载系统。
附图说明
图1是表示本发明的一个实施方式所涉及的车辆用控制装置的构成的图。
图2是表示本发明的一个实施方式所涉及的车辆用控制装置的处理的流程的流程图。
图3是表示应对优先级判定的处理的流程的流程图。
图4是表示行驶控制影响度计算的处理的流程的流程图。
图5是表示外部安全功能变更判定的处理的流程的流程图。
图6是表示日志信息的数据构造例的图。
图7是表示可疑度计算信息的数据构造例的图。
图8是表示内部安全异常验证信息的数据构造例的图。
图9是表示外部安全应对时间信息及内部安全应对时间信息的数据构造例的图。
图10是表示要求性能信息的数据构造例的图。
图11是表示判定表的例子的图。
具体实施方式
以下,关于本发明的实施方式,参照附图详细说明。
以下,说明在多个信息处理装置经由通信总线相互连接而成的车载系统中使用的车辆用控制装置的一个实施方式。该车辆用控制装置在车载系统内发生了通信数据的异常的情况下,从车载系统内的各信息处理装置收集用于判断状态的信息,确定外部安全异常和内部安全异常各自有无发生。然后,决定针对该异常实施的应对内容,并向各信息处理装置通知。
此外,在使用本实施方式的车辆用控制装置的车载系统中,各装置之间的通信和与车外的通信优选利用使用了公知的加密技术等的安全通信路径。此时,各装置中利用的加密用的密钥或种子能够以任意的方法安全地分发、管理、更新。另外,也可以在车辆的发动机启动时、停止时、产品开发时、维护时等任意的定时,进行这些分发或更新。
图1是表示本发明的一个实施方式所涉及的车辆用控制装置的构成的图。图1所示的车辆用控制装置1经由通信总线2与ECU(Electronic Control Unit:电子控制单元)3、4连接。ECU3、4是搭载于车辆并进行各种控制或运算的信息处理装置。此外,图1中仅图示了2个ECU3、4,但实际上大量ECU经由通信总线2相互连接。
通信总线2是车辆内设置的通信路径,例如能够使用CAN(Controller AreaNetwork:控制器域网)、LIN(Local Interconnect Network:局部互联网)、FlexRay(注册商标)、以太网(注册商标)等。此外,也可以在物理上由多个通信总线构成通信总线2。在该情况下,通信总线的规格既可以全部相同,也可以不同。车辆用控制装置1与ECU3、4经由通信总线2相互连接并被搭载于车辆,构成本发明所涉及的车载系统。
车辆用控制装置1具备运算部10及存储部20。运算部10由未图示的CPU、ROM、RAM等构成,通过CPU将ROM中存放的程序在RAM上展开并执行,实现以下的功能。即,运算部10作为其功能,具备通信部11、日志信息取得部12、外部安全可疑度验证部13、内部安全异常验证部14、应对优先级判定部15、行驶控制影响度计算部16、外部安全功能变更判定部17及应对内容决定部18。
通信部11是与通信总线2的通信接口,进行经由通信总线2的通信所需的运算等。通信部11经由通信总线2接收从ECU3、4发送的通信消息,并且经由通信总线2向ECU3、4发送通信消息。此外,如上所述,在通信总线2在物理上由多个通信总线构成的情况下,通信部11具有与通信总线2相同数量的连接端口。另外,也可以将通信部11设为与运算部10分别的构成。
日志信息取得部12基于从ECU3、4发送并由通信部11接收的通信消息,取得表示车载系统中的通信数据的异常发生的日志信息,并存储至存储部20。
外部安全可疑度验证部13基于由日志信息取得部12取得的日志信息,取得表示与外部安全异常对应的可疑度的外部安全可疑度。然后,通过对取得的外部安全可疑度进行验证,判断有无从外部对车载系统的外部安全攻击。
内部安全异常验证部14基于由日志信息取得部12取得的日志信息,对有无内部安全异常进行验证。
应对优先级判定部15在外部安全异常和内部安全异常双方被检测出的情况下,判断优先执行针对外部安全异常的应对即外部安全应对和针对内部安全异常的应对即内部安全应对中的哪一个。此外,在外部安全应对中,例如包含日志记录、日志通知、消息丢弃、外部安全功能强化、波及防止等。另一方面,在内部安全应对中,例如包含控制功能的弱化、自动驾驶等级的变更、消息丢弃等。
行驶控制影响度计算部16在外部安全异常被检测出的情况下,计算与该外部安全异常相应的行驶控制影响度。行驶控制影响度表示该外部安全异常对车辆的行驶控制造成的影响的严重度,在应对内容决定部18决定外部安全应对的内容时被利用。
外部安全功能变更判定部17在内部安全异常被检测出的情况下,判定在针对该内部安全异常执行内部安全应对时是否需要变更车载系统所具有的外部安全功能。此外,车载系统例如具有使用作为篡改检测用的认证码的MAC(Message Authentication Code:消息认证码)来确保通信消息的安全性的消息认证功能、对通信消息进行加密的加密处理功能、针对通信消息的过滤功能等,作为针对通信数据的外部安全功能。外部安全功能变更判定部17与车载系统的处理负荷状况相应地,判断是否需要使这些外部安全功能的一部分弱化或者无效。
应对内容决定部18基于应对优先级判定部15的判定结果、由行驶控制影响度计算部16计算的行驶控制影响度、外部安全功能变更判定部17的判定结果中的至少任一个,决定针对车载系统中发生的通信数据的异常的应对内容。由应对内容决定部18决定的应对内容根据需要,经由通信部11被向ECU3、4通知。
存储部20是非易失性的存储装置。在存储部20中,存储与外部安全异常相关的管理信息即外部安全异常管理信息21、与内部安全异常相关的管理信息即内部安全异常管理信息25、以及日志信息29。此外,也可以使这些以外的信息,例如运算部10的CPU所执行的程序的一部分或者全部存储至存储部20。
外部安全异常管理信息21包含表示与外部安全应对相关的时间信息的外部安全应对时间信息22、表示ECU3、4各自的重要度的重要度信息23、以及定义了供外部安全可疑度验证部13计算外部安全可疑度的规则的可疑度计算信息24。此外,关于这些信息的详细情况留待后述。
内部安全异常管理信息25包含表示与内部安全应对相关的时间信息的内部安全应对时间信息26、定义了内部安全应对所要求的车载系统的性能的要求性能信息27、以及在内部安全异常验证部14进行内部安全异常的验证时使用的内部安全异常验证信息28。此外,关于这些信息的详细情况留待后述。
日志信息29是由日志信息取得部12存储的日志信息。即,日志信息取得部12使表示车载系统中的通信数据的异常发生的日志信息,作为日志信息29存储于存储部20。
接下来,说明车辆用控制装置1决定针对通信数据的异常的应对内容时的处理。图2是表示本发明的一个实施方式所涉及的车辆用控制装置1的处理的流程的流程图。此外,以下说明的各步骤的执行主体是运算部10的CPU。
在步骤201中,日志信息取得部12使用通信部11,取得从ECU3、4发送的通信消息之中的表示车载系统中的通信数据的异常发生的通信消息,作为日志信息29存放于存储部20。步骤202以后的处理利用该日志信息29进行。此外,既可以在日志信息取得部12每次取得日志信息29时执行步骤202以后的处理,也可以将日志信息取得部12在规定期间内收集的多个日志信息29汇总并作为步骤202以后的处理对象。另外,日志信息取得部12也可以基于经由通信总线2收发的通信消息以外的信息、例如经由互联网从中心服务器发送的信息,取得日志信息29。
图6是表示日志信息取得部12所取得的日志信息29的数据构造例的图。图6的(a)表示在具有通信数据的异常监视功能的ECU在异常发生时能够判定其影响程度的情况下,基于从该ECU发送的通信消息取得的日志信息29的例子。该日志信息29包含:表示异常发生位置的异常状态用CAN ID601、表示异常状态的类别的异常状态ID602、以及表示异常的影响程度的异常度603。
在异常状态用CAN ID601中,例如设定针对作为通信消息的发送源的ECU预先分配的固有的ID编号。此外,为了能够根据通信消息容易地判别通信数据中发生了异常,也可以将与通常的通信消息中包含的CAN ID不同的ID编号分配给异常状态用CAN ID601。
在异常状态ID602中,例如设定与异常状态的内容(种类)相应地预先分配的ID编号。此外,为了能够容易地判别被检测出的通信数据异常对应于外部安全异常和内部安全异常中的哪一方,优选将在该异常对应于外部安全异常的情况下对异常状态ID602设定的ID编号,与在该异常对应于内部安全异常的情况下对异常状态ID602设定的ID编号相区别地进行管理。在本实施方式中,说明如下情况:在对应于外部安全异常的日志信息29中针对异常状态ID602中设定的ID编号分配“0x01”~“0x9F”,在对应于内部安全异常的日志信息29中针对异常状态ID602中设定的ID编号分配“0xA1”~“0xFF”。
在异常度603中,设定与被检测出的通信数据异常对车辆的运用造成的影响程度相应的数值。例如,该异常的影响程度越高,即,由于该异常越使得车辆难以正常运用,对车辆的乘坐者或周围造成危险的可能性越高,对异常度603设定越高的数值。
图6的(b)表示基于从仅具有通信数据的异常监视功能的ECU发送的通信消息取得的日志信息29的例子。该日志信息29包含与图6的(a)分别同样的异常状态用CAN ID601及异常状态ID602、以及表示异常的内容的监视类型604、以及每个监视类型的监视结果605。
在监视类型604中,存放表示被检测出的通信数据异常的具体的内容的信息。该信息所示的通信数据异常的内容例如包含检测出非法的周期的通信消息、认证的失败、通信量的增大、CPU或存储器的资源消耗状况等。此外,也可以在监视类型604中设定按通信数据异常的每个内容预先分配的ID编号等。
在监视结果605中,存放与监视类型604所示的通信数据异常的内容相应的信息。例如,将该异常的发生次数、由于该异常导致的资源消耗量超过了规定的阈值的次数等存放至监视结果605。另外,也可以将表示异常状态的通信数据自身设定至监视结果605。
此外,图6所示的日志信息29是一例,也可以将其以外的信息包含于日志信息29。例如,也可以将通信消息中包含的MAC、通信用计数器、时刻信息等附加信息包含于日志信息29。
如果返回图2的说明,在步骤202中,外部安全可疑度验证部13对表示与外部安全异常对应的可疑度的外部安全可疑度进行验证。此时外部安全可疑度验证部13基于在步骤201中日志信息取得部12所取得的日志信息29,计算或者取得外部安全可疑度。例如,如图6的(a)中例示的日志信息29那样,在取得了包含表示异常的影响程度的异常度603的日志信息29的情况下,外部安全可疑度验证部13将该异常度603的值作为外部安全可疑度取得。即,在该情况下,外部安全可疑度验证部13能够从发送了作为该日志信息29之源的通信消息的ECU,取得外部安全可疑度。另一方面,如图6的(b)中例示的日志信息29那样,在异常度603不被包含于日志信息29的情况下,外部安全可疑度验证部13使用存储部20中存储的外部安全异常管理信息21中包含的可疑度计算信息24,根据日志信息29计算外部安全可疑度。
图7是表示外部安全可疑度验证部13在外部安全可疑度的计算中使用的可疑度计算信息24的数据构造例的图。图7所示的可疑度计算信息24包含:按每个记录分配的验证ID701、表示用于计算外部安全可疑度的验证条件的验证内容702、表示每个记录的外部安全可疑度的增减的外部安全可疑度增加/减少703、以及表示每个记录的外部安全可疑度的增减值的程度的加权值704。
例如,在验证ID701的值为“1”的记录中,在验证内容702中,定义了验证在与车外直接相连的信息处理装置那样的入口点中是否检测到异常。因此,在日志信息取得部12取得了包含相当于入口点的ECU中检测到异常的情况在内的日志信息29的情况下,外部安全可疑度验证部13与该记录的外部安全可疑度增加/减少703的值相应地,使外部安全可疑度的值增加。此时,与加权值704的值相应地,决定使外部安全可疑度的值以何种程度增加。例如,由于该记录的加权值704的值是“低”,因此使外部安全可疑度的值加1。同样,例如在加权值704的值是“中”的情况下加3,在“高”的情况下加5。另外,验证内容702可以按照各ECU是与车外直接相连的信息处理装置那样的“入口点”、介于从入口点到攻击对象装置的路径上的“中继装置”、能够经由中继装置针对攻击对象装置执行攻击的“最终攻击源装置”、及“攻击对象装置”那样的攻击的流程中的任一个或者多个阶段被分配,包含各阶段中的验证内容、以及与在各阶段间迁移的攻击的流程相应的验证内容,与检测位置(异常的发生位置)及检测内容相应地选择验证内容即可。
此外,图7所示的可疑度计算信息24是一例,也可以包含其以外的信息。
另外,外部安全可疑度的计算方法不限定于上述的方法。例如,除了相加或相减以外,也可以使用累计或相除等。或者,也可以定义例如“+1”、“+3”、“-1”等的增减值,从而将外部安全可疑度增加/减少703与加权值704合并。
外部安全可疑度验证部13所计算出的外部安全可疑度的值例如在运算部10的RAM中被保持规定期间。或者,也可以将计算出的外部安全可疑度存放至存储部20。在该情况下,例如也可以与外部安全可疑度的计算中使用的日志信息29建立关联,或者对该日志信息29附加外部安全可疑度,从而将外部安全可疑度与日志信息29建立对应地存放至存储部20。
如果返回图2的说明,在步骤203中,外部安全可疑度验证部13基于在步骤202中计算出的外部安全可疑度的值,判断有无外部安全异常。此时外部安全可疑度验证部13验证外部安全可疑度的值是否超过了预先设定的阈值。在其结果是外部安全可疑度的值超过阈值的情况下,判断为有外部安全异常并前进至步骤204,在不超过阈值的情况下,判断为无外部安全异常并前进至步骤209。
在步骤204中,内部安全异常验证部14基于在步骤201中日志信息取得部12所取得的日志信息29,对有无内部安全异常进行验证。此时内部安全异常验证部14使用存储部20中存储的内部安全异常管理信息25中包含的内部安全异常验证信息28,根据日志信息29判断有无内部安全异常。在其结果是判断为有内部安全异常的情况下前进至步骤205,在判断为无内部安全异常的情况下前进至步骤207。
图8是表示内部安全异常验证部14在内部安全异常的验证中使用的内部安全异常验证信息28的数据构造例的图。图8所示的内部安全异常验证信息28包含:按每个记录分配的内部安全异常ID101、以及表示内部安全异常的内容的异常内容102。此外,在内部安全异常ID101中设定的值对应于在图6的日志信息29中被设定至异常状态ID602的ID编号之中的与内部安全异常对应的“0xA1”~“0xFF”。
在异常内容102中,存放表示具体的内部安全异常的内容的信息。该信息所示的内部安全异常的内容例如包含装置的故障警报、装置的总线关闭状态、电源消失、断线、自动驾驶等级的变更、通信数据的噪声、传感器异常等。
内部安全异常验证部14将日志信息29中的异常状态ID602的值与内部安全异常验证信息28的各记录中的内部安全异常ID101的值进行比较,验证这些值一致的记录是否存在于内部安全异常验证信息28。在其结果是存在与异常状态ID602相同的值被设定于内部安全异常ID101中的记录的情况下判断为有内部安全异常,在不存在的情况下判断为无内部安全异常。
如果返回图2的说明,在步骤205中,应对优先级判定部15进行应对优先级的判定,判定优先执行针对所检测的内部安全异常的内部安全应对和针对所检测的外部安全异常的外部安全应对中的哪一个。此时应对优先级判定部15依照后述的图3的流程图,执行应对优先级判定的处理。
在步骤206中,应对优先级判定部15取得表示步骤205的判定结果的应对优先级,前进至步骤213。
在步骤207中,行驶控制影响度计算部16计算表示所检测的外部安全异常对车辆的行驶控制造成的影响度的行驶控制影响度。此时行驶控制影响度计算部16依照后述的图4的流程图,执行行驶控制影响度计算的处理。
在步骤208中,行驶控制影响度计算部16取得在步骤207中计算出的行驶控制影响度,前进至步骤213。
在步骤209中,内部安全异常验证部14与上述步骤204同样,基于在步骤201中日志信息取得部12所取得的日志信息29,使用内部安全异常验证信息28,对有无内部安全异常进行验证。在其结果是判断为有内部安全异常的情况下前进至步骤210,在判断为无内部安全异常的情况下前进至步骤212。
在步骤210中,外部安全功能变更判定部17判定在针对所检测的内部安全异常执行内部安全应对时有无应变更的外部安全功能。此时外部安全功能变更判定部17依照后述的图5的流程图,执行外部安全功能变更判定的处理。
在步骤211中,外部安全功能变更判定部17取得表示步骤210的判定结果的外部安全功能的变更内容,前进至步骤213。
在步骤212中,应对内容决定部18判断为未发生通信数据的异常的平常状态,前进至步骤213。
在步骤213中,应对内容决定部18基于上述步骤206、步骤208、步骤211、步骤212中的某一个的处理结果,决定要执行的应对内容。此时应对内容决定部18例如使用后述的图11所示的判定表,决定应对内容。
如果在步骤213中决定了应对内容,则应对内容决定部18使用通信部11,将决定的应对内容根据需要向ECU3、4通知。此外,针对无需特别应对的ECU,也可以不通知应对内容。如果实施了步骤213,则应对内容决定部18结束图2的流程图所示的处理。通过以上的步骤,车辆用控制装置1对车载系统中的外部安全异常和内部安全异常双方进行监视,在发生了异常的情况下,能够基于这些异常的发生状况和特征信息,判断应实施的一次应对的内容。
接下来,关于图2的步骤205中应对优先级判定部15所执行的应对优先级判定,参照图3的流程图进行说明。图3是表示应对优先级判定的处理的流程的流程图。此外,以下说明的各步骤的执行主体是运算部10的CPU。
在步骤301中,应对优先级判定部15分别取得所检测的外部安全异常和内部安全异常的ID。此时应对优先级判定部15从图2的步骤201中日志信息取得部12所取得的日志信息29,取得与该外部安全异常和内部安全异常分别对应的异常状态ID602的值。
在步骤302中,应对优先级判定部15取得针对检测出的内部安全异常的内部安全应对的允许时间。此时应对优先级判定部15根据存储部20中存储的内部安全异常管理信息25中包含的内部安全应对时间信息26,取得与在步骤301中取得的内部安全异常的ID对应的内部安全应对的允许时间。
在步骤303中,应对优先级判定部15计算针对所检测的外部安全异常和内部安全异常各自的应对预测时间的合计值。此时应对优先级判定部15根据存储部20中存储的外部安全异常管理信息21和内部安全异常管理信息25中分别包含的外部安全应对时间信息22和内部安全应对时间信息26,分别取得与在步骤301中取得的外部安全异常和内部安全异常的ID对应的外部安全应对和内部安全应对的预测时间。然后,通过对取得的这些预测时间进行合计,来计算应对预测时间的合计值。
图9是表示应对优先级判定部15在内部安全应对的允许时间、应对预测时间的取得中使用的外部安全应对时间信息22及内部安全应对时间信息26的数据构造例的图。图9的(a)所示的外部安全应对时间信息22包含:按每个记录分配的外部安全异常ID801、表示外部安全应对中的允许时间的应对允许时间802、表示外部安全应对的内容的外部安全应对803、以及表示执行外部安全应对所需的预测时间的应对预测时间804。此外,在外部安全异常ID801中设定的值对应于在图6的日志信息29中被设定至异常状态ID602的ID编号之中的与外部安全异常对应的“0x01”~“0x9F”。
在外部安全应对803中,存放表示针对与该记录的外部安全异常ID801的值对应的外部安全异常应执行的外部安全应对的内容的信息。此外,也可以将表示外部安全应对的内容的信息作为其他文件事先存放于存储部20,并在外部安全应对803中设定用于确定所对应的文件的信息。
应对允许时间802及应对预测时间804分别表示用于执行针对该记录的外部安全异常的外部安全应对的制约条件。在应对允许时间802中,例如存放基于车载系统中要求的外部安全规格在设计阶段事先设定的与该外部安全应对的实施对应的允许时间的值。另外,也可以考虑针对车辆的行驶控制的影响等来设定应对允许时间802的值。此外,在图3的流程图中,未执行使用外部安全应对的允许时间的处理,因此在外部安全应对时间信息22中也可以不设定应对允许时间802。在应对预测时间804中,例如存放有在设计阶段事先计测或者计算的与该外部安全应对的实施对应的预测时间的值。
图9的(b)所示的内部安全应对时间信息26包含:按每个记录分配的内部安全异常ID805、表示内部安全应对中的允许时间的应对允许时间806、表示内部安全应对的内容的内部安全应对807、以及表示执行内部安全应对所需的预测时间的应对预测时间808。此外,在内部安全异常ID805中设定的值对应于在图6的日志信息29中被设定至异常状态ID602的ID编号之中的与内部安全异常对应的“0xA1”~“0xFF”。
在内部安全应对807中,存放表示针对与该记录的内部安全异常ID805的值对应的内部安全异常应执行的内部安全应对的内容的信息。此外,与外部安全应对时间信息22中的外部安全应对803同样,也可以将表示内部安全应对的内容的信息作为其他文件事先存放于存储部20,在内部安全应对807中设定用于确定所对应的文件的信息。
应对允许时间806及应对预测时间808分别表示用于执行针对该记录的内部安全异常的内部安全应对的制约条件。在应对允许时间806中,例如存放基于车载系统中要求的内部安全规格在设计阶段事先设定的与该内部安全应对的实施对应的允许时间的值。另外,也可以考虑针对车辆的行驶控制的影响等来设定应对允许时间802的值。在应对预测时间808中,例如存放有在设计阶段事先计测或者计算的与该内部安全应对的实施对应的预测时间的值。
应对优先级判定部15在图3的步骤302中,对步骤301中取得的内部安全异常的ID的值与图9的(b)的内部安全应对时间信息26的各记录中的内部安全异常ID805的值进行比较,在内部安全应对时间信息26中确定这些值一致的记录。然后,通过取得所确定的记录中的应对允许时间806的值,来取得针对检测出的内部安全异常的内部安全应对的允许时间。此时也可以进而通过与车辆状态、周边环境状态相应地调节所取得的内部安全应对的允许时间,来计算不对车辆的行驶控制造成影响而可利用的内部安全应对的允许时间。在该情况下,作为车辆状态,例如使用车辆的驾驶模式、行驶状态(行驶中/停车中)等。另外,作为周边环境状态,例如使用天气、道路状态、行驶场所(高速/市区)等。具体而言,例如在车辆行驶中而且天气是下雨的情况下,要求迅速的控制,因此与从内部安全应对时间信息26取得的值相比,将内部安全应对的允许时间调节得更短。另外,例如在车辆停车中的情况下,不需要立即的控制,因此与从内部安全应对时间信息26取得的值相比,将内部安全应对的允许时间调节得更长。此外,也可以通过任意的方法求出内部安全应对的允许时间。
应对优先级判定部15在图3的步骤303中,对步骤301中取得的外部安全异常的ID的值与图9的(a)的外部安全应对时间信息22的各记录中的外部安全异常ID801的值进行比较,在外部安全应对时间信息22中确定这些值一致的记录。然后,通过取得所确定的记录中的应对预测时间804的值,取得针对所检测的外部安全异常的外部安全应对的预测时间。另外,对步骤301中取得的内部安全异常的ID的值与图9的(b)的内部安全应对时间信息26的各记录中的内部安全异常ID805的值进行比较,在内部安全应对时间信息26中确定这些值一致的记录。然后,通过取得所确定的记录中的应对预测时间808的值,取得针对所检测的内部安全异常的内部安全应对的预测时间。之后,对所取得的外部安全应对的预测时间和内部安全应对的预测时间进行合计,求出应对预测时间的合计值。
如果返回图3的说明,在步骤304中,应对优先级判定部15对步骤302中取得的内部安全应对的允许时间与步骤303中计算的应对预测时间的合计值进行比较。在其结果是应对预测时间的合计值比内部安全应对的允许时间大的情况下前进至步骤305,否则,即在应对预测时间的合计值为内部安全应对的允许时间以下的情况下前进至步骤306。
在步骤305中,应对优先级判定部15判定为使内部安全应对的执行比外部安全应对更优先。此时应对优先级判定部15例如通过参照步骤303中确定的外部安全应对时间信息22及内部安全应对时间信息26的各记录中的外部安全应对803、内部安全应对807,确定各自的应对内容。然后,将所确定的内部安全应对的优先级设定得比外部安全应对的优先级更高,并保持这些优先级。
在步骤306中,应对优先级判定部15判定为使外部安全应对的执行比内部安全应对更优先。此时应对优先级判定部15例如与步骤305同样,通过参照步骤303中确定的外部安全应对时间信息22及内部安全应对时间信息26的各记录中的外部安全应对803、内部安全应对807,确定各自的应对内容。然后,将所确定的外部安全应对的优先级设定得比内部安全应对的优先级更高,并保持这些优先级。
如果执行了步骤305或者306的任一个,则应对优先级判定部15结束图3的流程图所示的处理。通过以上的步骤,车辆用控制装置1使用应对优先级判定部15,在检测到外部安全异常和内部安全异常双方的情况下能够判断应使哪一方的应对优先。
接下来,关于图2的步骤207中行驶控制影响度计算部16所执行的行驶控制影响度计算,参照图4的流程图进行说明。图4是表示行驶控制影响度计算的处理的流程的流程图。此外,以下说明的各步骤的执行主体是运算部10的CPU。
在步骤401中,行驶控制影响度计算部16取得在图2的步骤202中外部安全可疑度验证部13所计算或者取得的外部安全可疑度。
在步骤402中,行驶控制影响度计算部16取得所检测的外部安全异常的发生位置的重要度。此时行驶控制影响度计算部16根据存储部20中存储的外部安全异常管理信息21中包含的重要度信息23,取得与所检测的外部安全异常的发生位置对应的重要度。在此,重要度信息23如上所述,是表示针对ECU3、4分别分配的重要度的信息。行驶控制影响度计算部16根据日志信息29中包含的异常状态用CAN ID601的值判断所检测的外部安全异常的发生位置是ECU3、4中的哪一个,从重要度信息23取得针对该ECU分配的重要度。
在重要度信息23中,例如能够使用基于ASIL(Automotive Safety IntegrityLevel:汽车安全完整性等级)换算出的值。ASIL作为避免无法允许的风险所需的安全对策的规格是公知的,通过对ASIL D(最严格)到ASIL A(最不严格)的4阶段的要求等级,再加上表示无要求等级的QM(Quality Management:品质管理)而成的5阶段被评价。例如,能够将符合ASIL中规定的5阶段的要求等级中的哪一个等级变成数值,作为重要度信息23事先存储于存储部20。此时,各装置中要求的ASIL的等级由危险的严酷性(Severity)、暴露概率(Exposure)、控制性(Controllability)这3个观点被决定。例如,在该装置的故障对车辆的控制而言是致命的情况、该装置的故障有可能在频繁的场景下发生的情况、难以避免该装置的故障的情况等下,作为该装置的ASIL等级设定ASIL D。基本上在构成车载系统的ECU中,ASIL等级越高,则对车辆的行驶控制的影响越高,因此进行用于避免该故障的故障安全防护设计。
此外,也可以使用上述的ASIL以外的指标来设定重要度信息23。例如,能够利用将与车外直接相连的装置视为更重要的观点、将操作对行驶控制造成影响的促动器的装置视为更重要的观点、将处理与金钱有关的应用程序的装置视为更重要的观点等,设定重要度信息23。
在步骤403中,行驶控制影响度计算部16取得表示车辆状态的车辆状态信息及表示周边环境状态的环境信息。其中,如上所述作为车辆状态,例如使用车辆的驾驶模式或行驶状态(行驶中/停车中)等。另外,作为周边环境状态,例如使用天气、道路状态、行驶场所(高速/市区)等。行驶控制影响度计算部16例如能够从车载系统内的ECU或各种传感器类取得表示这些状态的车辆状态信息及环境信息。
在步骤404中,行驶控制影响度计算部16基于上述步骤401中取得的外部安全可疑度、上述步骤402中取得的异常发生位置的重要度、以及上述步骤403中取得的车辆状态信息及环境信息,计算该异常对车辆的行驶控制造成的影响度。此时,行驶控制影响度计算部16例如使用下述的式(1)计算行驶控制的影响度E。在式(1)中,I(i)表示与所检测的外部安全异常相关联的各ECU的重要度,与步骤402中取得的异常发生位置的重要度相应地决定。在此,i是各ECU的标识符,被设定为与ECU的数量相应的值。另外,W1表示与车辆状态或周边环境状态相应的调整系数,S表示外部安全可疑度。W1的值基于步骤403中取得的车辆状态信息及环境信息决定,S的值基于步骤401中取得的外部安全可疑度决定。
[数学式1]
此外,上述式(1)是行驶控制影响度的计算方法的一例,也可以利用其他方法计算行驶控制影响度。另外,也可以不使用车辆状态信息或环境信息地计算行驶控制影响度,也可以不使用异常发生位置的重要度地计算行驶控制影响度。或者,也可以不使用外部安全可疑度地计算行驶控制影响度。行驶控制影响度计算部16能够使用外部安全可疑度、异常发生位置的重要度、车辆状态信息及环境信息中的至少任一个,计算行驶控制影响度。
如果在步骤404中计算了行驶控制影响度,则行驶控制影响度计算部16结束图4的流程图所示的处理。通过以上的步骤,车辆用控制装置1使用行驶控制影响度计算部16,在检测到外部安全异常的情况下能够计算该外部安全异常对车辆的行驶控制造成的影响程度。
接下来,关于图2的步骤210中外部安全功能变更判定部17所执行的外部安全功能变更判定,参照图5的流程图进行说明。图5是表示外部安全功能变更判定的处理的流程的流程图。此外,以下说明的各步骤的执行主体是运算部10的CPU。
在步骤501中,外部安全功能变更判定部17取得所检测的内部安全异常的ID。此时外部安全功能变更判定部17从图2的步骤201中日志信息取得部12所取得的日志信息29,取得与该内部安全异常对应的异常状态ID602的值。
在步骤502中,外部安全功能变更判定部17取得针对所检测的内部安全异常的内部安全应对的要求性能。此时外部安全功能变更判定部17根据存储部20中存储的内部安全异常管理信息25中包含的要求性能信息27,取得与在步骤501中取得的内部安全异常的ID对应的内部安全应对的要求性能。
图10是表示外部安全功能变更判定部17在内部安全应对的要求性能的取得中使用的要求性能信息27的数据构造例的图。图10所示的要求性能信息27包含:按每个记录分配的内部安全异常ID901、表示内部安全应对的内容的内部安全应对902、表示在执行内部安全应对时要求的车载系统的性能的要求性能903、表示在车载系统的性能不满足要求的情况下作为变更对象的外部安全功能的变更对象外部安全功能904、以及表示与该外部安全功能的变更相关联的ECU的应对关联装置905。此外,在内部安全异常ID901中设定的值对应于在图6的日志信息29中被设定至异常状态ID602的ID编号之中的与内部安全异常对应的“0xA1”~“0xFF”。
外部安全功能变更判定部17在图5的步骤502中,对步骤501中取得的内部安全异常的ID的值与图10的要求性能信息27的各记录中的内部安全异常ID901的值进行比较,在要求性能信息27中确定这些值一致的记录。然后,通过参照所确定的记录中的要求性能903的内容,来判断针对所检测的内部安全异常的内部安全应对的要求性能,并取得该判断结果。
如果返回图5的说明,则在步骤503中,外部安全功能变更判定部17取得车载系统的处理负荷状况。此时外部安全功能变更判定部17取得表示车载系统中的资源使用状况的各种信息、例如车载系统中包含的ECU3、4各自的CPU工作率或存储器(内存)使用率、通信总线2的使用量、通信负荷、通信延迟等,作为车载系统的处理负荷状况。此外,外部安全功能变更判定部17既可以从ECU3、4定期地取得处理负荷状况,也可以与步骤503的执行定时相应地有意取得。
在步骤504中,外部安全功能变更判定部17对上述步骤502中取得的内部安全应对的要求性能与上述步骤503中取得的处理负荷状况进行比较。在其结果是处理负荷状况满足要求性能的情况下前进至步骤505,否则,即在处理负荷状况不满足要求性能的情况下前进至步骤506。
在步骤505中,外部安全功能变更判定部17判定为无外部安全功能变更。
在步骤506中,外部安全功能变更判定部17判定为有外部安全功能变更,判定为需要使与所检测的内部安全异常相应的外部安全功能弱化或者无效。此时外部安全功能变更判定部17通过参照上述步骤502中确定的要求性能信息27的记录中的变更对象外部安全功能904的内容,判断针对所检测的内部安全异常成为弱化或者无效的对象的外部安全功能,并取得该判断结果。
如果执行了步骤505或者506中的某一个,则外部安全功能变更判定部17结束图5的流程图所示的处理。通过以上的步骤,车辆用控制装置1使用外部安全功能变更判定部17,在检测到内部安全异常的情况下能够判断有无应变更的外部安全功能、以及使哪个外部安全功能成为变更对象。
接下来,关于图2的步骤213中的应对内容决定部18的应对内容决定方法,参照图11的判定表进行说明。图11是应对内容决定部18在决定应对内容时使用的判定表的例子。
应对内容决定部18例如在图2的步骤205中应对优先级判定部15判定了应对优先级的情况下,依照图11的判定栏111、112决定应对内容。在该情况下,应对内容决定部18基于图3的步骤304的判定结果,判断依照判定栏111、112中的哪一个。即,在步骤304中判断为应对预测时间的合计值为内部安全应对的允许时间以下,且在步骤306中判断为使外部安全应对的执行优先的情况下,应对内容决定部18依照判定栏111决定应对内容。在该情况下,应对内容决定部18决定为:实施与日志信息29中异常状态ID602所示的外部安全异常对应的外部安全应对,之后实施与异常状态ID602所示的内部安全异常对应的内部安全应对。另一方面,在步骤304中判定为应对预测时间的合计值比内部安全应对的允许时间更大,且在步骤305中判定为使内部安全应对的执行优先的情况下,应对内容决定部18依照判定栏112决定应对内容。在该情况下,应对内容决定部18决定为:实施与日志信息29中异常状态ID602所示的内部安全异常对应的内部安全应对,之后实施与异常状态ID602所示的外部安全异常对应的外部安全应对。此外,在实施外部安全应对或内部安全应对时,也可以在各自的应对允许时间内先实施优先级高的应对,之后设置一定的监视时间来监视有无异常发生,在异常不再发生的情况下省略实施剩余的应对。
另外,应对内容决定部18例如在图2的步骤207中行驶控制影响度计算部16计算了行驶控制影响度的情况下,依照图11的判定栏113、114决定应对内容。在该情况下,应对内容决定部18基于行驶控制影响度计算部16所计算的行驶控制影响度的值,判断依照判定栏113、114中的哪一个。例如,将行驶控制影响度的值设为D,将该D与预先设定的阈值Th1、Th2(其中Th1<Th2)进行比较,根据该比较结果判断应对内容。即,在0<D≤Th1的情况下,应对内容决定部18依照判定栏113决定应对内容。在该情况下,应对内容决定部18例如决定为:作为外部安全应对进行“日志的保持及收集”。另外,在Th1<D≤Th2的情况下,应对内容决定部18依照判定栏113决定应对内容。在该情况下,应对内容决定部18例如决定为:作为与上述独立的外部安全应对,进行“路由停止、向中心上载日志”等。另一方面,在Th2<D的情况下,应对内容决定部18依照判定栏114决定应对内容。在该情况下,应对内容决定部18决定为不仅进行外部安全应对还进行内部安全应对。例如决定为:作为外部安全应对进行“防止攻击波及”等,作为内部安全应对进行“弱化驾驶”。
另外,应对内容决定部18例如在图2的步骤210中外部安全功能变更判定部17进行了外部安全功能变更的判定的情况下,依照图11的判定栏115、116决定应对内容。在该情况下,应对内容决定部18基于图5的步骤504的判定结果,判断依照判定栏115、116中的哪一个。即,在步骤504中判断为处理负荷状况满足要求性能,且在步骤505中判定为不变更外部安全功能的情况下,应对内容决定部18依照判定栏115决定应对内容。在该情况下,应对内容决定部18决定为:实施与日志信息29中异常状态ID602所示的内部安全异常对应的内部安全应对。另一方面,在步骤504中判断为处理负荷状况不满足要求性能,且在步骤506中判定为有外部安全功能变更的情况下,应对内容决定部18依照判定栏116决定应对内容。在该情况下,应对内容决定部18决定为:实施与日志信息29中异常状态ID602所示的内部安全异常对应的内部安全应对,并且使步骤506中判断的外部安全功能弱化或者无效,从而变更车载系统中的外部安全功能的一部分。
另外,应对内容决定部18例如在图2的步骤212中判断为平常状态的情况下,依照图11的判定栏117决定应对内容。在该情况下,应对内容决定部18决定为:既不实施外部安全应对也不实施内部安全应对,而是继续监视车载系统中有无通信数据异常。
根据以上的实施方式,车辆用控制装置1考虑行驶中的车辆发生了内部安全异常或者外部安全异常的情况、发生了其双方的异常的情况,实现足够但不过分的应对。由此,车辆用控制装置1在安全(内部安全)第一的汽车中,能够防止由于车载系统的有限的资源冲突导致内部安全应对的延迟。另外,能够防止由于伴随外部安全异常的发生而向内部安全应对过度转移导致车辆行驶的实用性下降。因此,能够以低成本确保车辆的安全性并且维持车辆行驶的实用性。
根据以上说明的本发明的一个实施方式,具有以下的作用效果。
(1)车辆用控制装置1在具有经由通信总线2相互连接的ECU3、4的车载系统中被使用。车辆用控制装置1具备存储信息的存储部20、以及基于存储部20中存储的信息进行处理的运算部10。存储部20中存储的信息包含:与由于来自车载系统的外部的外部安全攻击引起的通信数据的异常即外部安全异常相关的外部安全异常管理信息21、以及与由于车载系统内的异常引起的通信数据的异常即内部安全异常相关的内部安全异常管理信息25。外部安全异常管理信息21包含表示用于执行针对外部安全异常的外部安全应对的制约条件的外部安全应对时间信息22,内部安全异常管理信息25包含表示用于执行针对内部安全异常的内部安全应对的制约条件的内部安全应对时间信息26。运算部10在车载系统中的通信数据的异常被检测到的情况下,通过应对内容决定部18基于外部安全异常管理信息21及内部安全异常管理信息25,决定针对所检测的通信数据的异常的应对内容。通过像这样,能够实现针对外部安全异常和内部安全异常双方都能合适地应对的车载系统。
(2)外部安全应对时间信息22所示的制约条件包含表示执行外部安全应对所需的时间的应对预测时间804,内部安全应对时间信息26所示的制约条件包含:表示执行内部安全应对时允许的时间的应对允许时间806、以及表示执行内部安全应对所需的时间的应对预测时间808。运算部10在外部安全异常及内部安全异常双方被检测到的情况下,基于应对预测时间804、应对允许时间806及应对预测时间808,决定应对内容。即,运算部10通过应对优先级判定部15求出应对预测时间804与应对预测时间808的合计值(步骤303),基于该合计值与应对允许时间806的比较结果,通过应对内容决定部18决定应对内容(步骤304~306、步骤213)。具体而言,运算部10通过应对优先级判定部15及应对内容决定部18,在步骤213中决定应对内容,以在上述合计值比应对允许时间806更大的情况下使内部安全应对的执行优先(步骤305),在上述合计值为应对允许时间806以下的情况下使外部安全应对的执行优先(步骤306)。通过像这样,在发生了外部安全异常和内部安全异常双方的情况下,能够合适地判断优先实施哪一方的应对为佳并决定应对内容。
(3)外部安全异常管理信息21包含表示ECU3、4各自的重要度的重要度信息23,作为用于执行外部安全应对的制约条件。运算部10在外部安全异常被检测出的情况下,通过行驶控制影响度计算部16,基于ECU3、4之中与外部安全异常的发生位置对应的ECU的重要度,计算对车辆的行驶控制的影响度(步骤207),基于计算的影响度,通过应对内容决定部18决定应对内容(步骤213)。通过像这样,在发生了外部安全异常的情况下,能够考虑对车辆的行驶控制的影响度来合适地决定应对内容。
(4)运算部10通过外部安全可疑度验证部13,计算或者从ECU3、4取得表示与外部安全异常对应的可疑度的外部安全可疑度(步骤202)。然后,通过行驶控制影响度计算部16,基于由外部安全可疑度验证部13计算或者取得的外部安全可疑度、以及重要度信息23所示的与外部安全异常的发生位置对应的ECU的重要度,计算对车辆的行驶控制的影响度(步骤401、402、404)。通过像这样,能够考虑外部安全异常的发生状况、以及由于外部安全异常的发生而受到影响的ECU的重要度,准确地计算对车辆的行驶控制的影响度。
(5)运算部10通过外部安全可疑度验证部13,基于计算或者取得的外部安全可疑度判断有无外部安全异常(步骤203)。通过像这样,能够准确地判断有无外部安全异常。
(6)运算部10通过行驶控制影响度计算部16,取得表示车辆的驾驶模式或者行驶状态的车辆状态信息、表示车辆的周围环境的环境信息(步骤403),基于所取得的车辆状态信息、环境信息、以及重要度信息23所示的与外部安全异常的发生位置对应的ECU的重要度,计算对车辆的行驶控制的影响度(步骤404)。通过像这样,能够考虑外部安全异常发生时的车辆的驾驶模式、行驶状态、周围环境等的状况、以及由于外部安全异常的发生而受到影响的ECU的重要度,准确地计算对车辆的行驶控制的影响度。
(7)内部安全异常管理信息25包含表示内部安全应对所要求的车载系统的性能的要求性能信息27,作为用于执行内部安全应对的制约条件。运算部10在内部安全异常被检测出的情况下,通过外部安全功能变更判定部17,取得车载系统的处理负荷状况(步骤503),基于所取得的处理负荷状况与要求性能信息27的比较结果,通过应对内容决定部18决定应对内容(步骤504~506、步骤213)。具体而言,运算部10通过外部安全功能变更判定部17及应对内容决定部18,在步骤213中决定应对内容,以使在处理负荷状况不满足要求性能信息27中的要求性能903的情况下,车载系统所具有的外部安全功能的一部分弱化或者无效(步骤506)。通过像这样,在发生了内部安全异常的情况下,能够考虑车载系统的处理负荷状况、要求性能来合适地决定应对内容。
此外,在以上说明的实施方式中,在图2的流程图中,说明了在检测出外部安全异常和内部安全异常双方的情况下,在步骤205中进行应对优先级的判定,之后在步骤213中决定应对内容的例子,但本发明不限定于此。例如,也可以在步骤205中进行应对优先级的判定之后,在步骤207中进行行驶控制影响度的计算或在步骤210中进行外部安全功能变更的判定。此时也可以设为:在步骤205中判定为优先执行外部安全应对的情况下,在步骤207中进行行驶控制影响度的计算,在步骤205中判定为优先执行内部安全应对的情况下,在步骤210中进行外部安全功能变更的判定。
另外,在以上说明的实施方式中,说明了使用与ECU3、4不同的车辆用控制装置1,决定发生了外部安全异常、内部安全异常的情况下的应对内容的例子,但本发明不限定于此。例如,也可以设为通过在ECU3、4中进行如上所述的处理从而能够分别决定应对内容。另外,也可以将例如智能电话等信息处理装置与车载系统连接,将该信息处理装置用作车辆用控制装置1,还可以将设于车辆外的信息处理装置用作车辆用控制装置1。
以上说明的实施方式和各种变形例不过是一例,只要无损于发明的特征,本发明不限定于这些内容。另外,上述说明了各种实施方式和变形例,但本发明不限定于这些内容。在本发明的技术思想的范围内能够想到的其他方式也包含在本发明的范围内。
下述优先权基础申请的公开内容以引用方式并入于此。
日本专利申请2017年第199331号(于2017年10月13日申请)
附图标记说明:
1 车辆用控制装置
2 通信总线
3 ECU
4 ECU
10 运算部
11 通信部
12 日志信息取得部
13 外部安全可疑度验证部
14 内部安全异常验证部
15 应对优先级判定部
16 行驶控制影响度计算部
17 外部安全功能变更判定部
18 应对内容决定部
20 存储部
21 外部安全异常管理信息
22 外部安全应对时间信息
23 重要度信息
24 可疑度计算信息
25 内部安全异常管理信息
26 内部安全应对时间信息
27 要求性能信息
28 内部安全异常验证信息
29 日志信息
Claims (10)
1.一种车辆用控制装置,在具有经由通信总线相互连接的多个信息处理装置的车载系统中被使用,具备:
存储信息的存储部;以及
基于所述存储部中存储的所述信息进行处理的运算部;
所述信息包含与外部安全异常相关的第1管理信息、以及与内部安全异常相关的第2管理信息,所述外部安全异常是由于来自所述车载系统的外部的外部安全攻击引起的通信数据的异常,所述内部安全异常是由于所述车载系统内的异常引起的通信数据的异常,
所述第1管理信息包含表示第1制约条件的第1制约条件信息,所述第1制约条件用于针对所述外部安全异常执行外部安全应对,
所述第2管理信息包含表示第2制约条件的第2制约条件信息,所述第2制约条件用于针对所述内部安全异常执行内部安全应对,
所述运算部在所述车载系统中的通信数据的异常被检测出的情况下,基于所述第1管理信息及所述第2管理信息,决定针对检测出的所述通信数据的异常的应对内容,
所述第1制约条件包含执行所述外部安全应对所需的第1时间,
所述第2制约条件包含执行所述内部安全应对时允许的第2时间、以及执行所述内部安全应对所需的第3时间,
所述运算部在所述外部安全异常及所述内部安全异常双方被检测出的情况下,基于所述第1时间、所述第2时间及所述第3时间,决定所述应对内容。
2.如权利要求1所述的车辆用控制装置,
所述运算部求出所述第1时间与所述第3时间的合计值,基于所述合计值与所述第2时间的比较结果,决定所述应对内容。
3.如权利要求2所述的车辆用控制装置,
所述运算部决定所述应对内容,以使在所述合计值比所述第2时间大的情况下优先执行所述内部安全应对,在所述合计值为所述第2时间以下的情况下优先执行所述外部安全应对。
4.一种车辆用控制装置,在具有经由通信总线相互连接的多个信息处理装置的车载系统中被使用,具备:
存储信息的存储部;以及
基于所述存储部中存储的所述信息进行处理的运算部;
所述信息包含与外部安全异常相关的第1管理信息、以及与内部安全异常相关的第2管理信息,所述外部安全异常是由于来自所述车载系统的外部的外部安全攻击引起的通信数据的异常,所述内部安全异常是由于所述车载系统内的异常引起的通信数据的异常,
所述第1管理信息包含表示第1制约条件的第1制约条件信息,所述第1制约条件用于针对所述外部安全异常执行外部安全应对,
所述第2管理信息包含表示第2制约条件的第2制约条件信息,所述第2制约条件用于针对所述内部安全异常执行内部安全应对,
所述运算部在所述车载系统中的通信数据的异常被检测出的情况下,基于所述第1管理信息及所述第2管理信息,决定针对检测出的所述通信数据的异常的应对内容,
所述第1制约条件包含所述多个信息处理装置各自的重要度,
所述运算部在所述外部安全异常被检测出的情况下,基于所述多个信息处理装置之中与所述外部安全异常的发生位置对应的信息处理装置的重要度,计算对车辆的行驶控制的影响度,基于计算的所述影响度,决定所述应对内容。
5.如权利要求4所述的车辆用控制装置,
所述运算部计算或者从所述信息处理装置取得表示与所述外部安全异常对应的可疑度的外部安全可疑度,基于所计算或者取得的所述外部安全可疑度及所述重要度,计算所述影响度。
6.如权利要求5所述的车辆用控制装置,
所述运算部基于所述外部安全可疑度,判断有无所述外部安全异常。
7.如权利要求4至权利要求6中的任一项所述的车辆用控制装置,
所述运算部取得表示所述车辆的驾驶模式或者行驶状态的车辆状态信息,基于所取得的所述车辆状态信息及所述重要度,计算所述影响度。
8.如权利要求4至权利要求6中的任一项所述的车辆用控制装置,
所述运算部取得表示所述车辆的周围环境的环境信息,基于所取得的所述环境信息及所述重要度,计算所述影响度。
9.一种车辆用控制装置,在具有经由通信总线相互连接的多个信息处理装置的车载系统中被使用,具备:
存储信息的存储部;以及
基于所述存储部中存储的所述信息进行处理的运算部;
所述信息包含与外部安全异常相关的第1管理信息、以及与内部安全异常相关的第2管理信息,所述外部安全异常是由于来自所述车载系统的外部的外部安全攻击引起的通信数据的异常,所述内部安全异常是由于所述车载系统内的异常引起的通信数据的异常,
所述第1管理信息包含表示第1制约条件的第1制约条件信息,所述第1制约条件用于针对所述外部安全异常执行外部安全应对,
所述第2管理信息包含表示第2制约条件的第2制约条件信息,所述第2制约条件用于针对所述内部安全异常执行内部安全应对,
所述运算部在所述车载系统中的通信数据的异常被检测出的情况下,基于所述第1管理信息及所述第2管理信息,决定针对检测出的所述通信数据的异常的应对内容,
所述第2制约条件包含表示所述内部安全应对所要求的所述车载系统的性能的要求性能,
所述运算部在所述内部安全异常被检测出的情况下,取得所述车载系统的处理负荷状况,基于所取得的所述处理负荷状况与所述要求性能的比较结果,决定所述应对内容。
10.如权利要求9所述的车辆用控制装置,
所述运算部在所述处理负荷状况不满足所述要求性能的情况下,决定所述应对内容,以使所述车载系统所具有的外部安全功能的一部分弱化或者无效。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017199331A JP6761793B2 (ja) | 2017-10-13 | 2017-10-13 | 車両用制御装置 |
| JP2017-199331 | 2017-10-13 | ||
| PCT/JP2018/037701 WO2019074000A1 (ja) | 2017-10-13 | 2018-10-10 | 車両用制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111225834A CN111225834A (zh) | 2020-06-02 |
| CN111225834B true CN111225834B (zh) | 2023-03-28 |
Family
ID=66101446
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880066529.XA Active CN111225834B (zh) | 2017-10-13 | 2018-10-10 | 车辆用控制装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11580223B2 (zh) |
| EP (1) | EP3696025B1 (zh) |
| JP (1) | JP6761793B2 (zh) |
| CN (1) | CN111225834B (zh) |
| WO (1) | WO2019074000A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6556207B2 (ja) * | 2017-10-19 | 2019-08-07 | 三菱電機株式会社 | 車両用セキュリティ装置およびセキュリティ方法 |
| DE102019218045A1 (de) * | 2019-11-22 | 2021-05-27 | Volkswagen Aktiengesellschaft | Verfahren zur Überwachung der Kommunikation auf einem Kommunikationsbus, elektronische Vorrichtung zum Anschluss an einen Kommunikationsbus, sowie zentrale Überwachungsvorrichtung zum Anschluss an einen Kommunikationsbus |
| DE102019220461A1 (de) * | 2019-12-20 | 2021-06-24 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren und Vorrichtung zum Betreiben einer Recheneinrichtung |
| JP2022007238A (ja) * | 2020-06-26 | 2022-01-13 | パナソニックIpマネジメント株式会社 | 情報処理装置、情報処理方法及びプログラム |
| US20220358224A1 (en) * | 2020-10-30 | 2022-11-10 | Nissan Motor Co., Ltd. | Onboard computer, computer program, computer-readable recording medium, and security setting method |
| JP2022127512A (ja) * | 2021-02-19 | 2022-08-31 | 日立Astemo株式会社 | 電子制御システム |
| JP2023028510A (ja) * | 2021-08-19 | 2023-03-03 | パナソニックIpマネジメント株式会社 | 検知ルール出力方法、及び、セキュリティシステム |
| JP7403728B2 (ja) | 2021-10-25 | 2023-12-22 | 三菱電機株式会社 | 侵入検知システム |
| JP2024011955A (ja) * | 2022-07-15 | 2024-01-25 | キヤノン株式会社 | 通知装置、通知方法 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7050860B2 (en) * | 2001-06-22 | 2006-05-23 | Omron Corporation | Safety network system, safety slave, and communication method |
| JP2014058210A (ja) * | 2012-09-18 | 2014-04-03 | Hitachi Automotive Systems Ltd | 車両制御装置および車両制御システム |
| KR101371902B1 (ko) * | 2012-12-12 | 2014-03-10 | 현대자동차주식회사 | 차량 네트워크 공격 탐지 장치 및 그 방법 |
| JP6126980B2 (ja) * | 2013-12-12 | 2017-05-10 | 日立オートモティブシステムズ株式会社 | ネットワーク装置およびネットワークシステム |
| FR3025035B1 (fr) * | 2014-08-22 | 2016-09-09 | Jtekt Europe Sas | Calculateur pour vehicule, tel qu’un calculateur de direction assistee, pourvu d’un enregistreur d’evenements integre |
| JP6218184B2 (ja) * | 2014-11-13 | 2017-10-25 | 日立オートモティブシステムズ株式会社 | 情報処理装置、メッセージ認証方法 |
| JP6585001B2 (ja) | 2015-08-31 | 2019-10-02 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知方法、不正検知電子制御ユニット及び不正検知システム |
| CN105843206A (zh) * | 2016-01-07 | 2016-08-10 | 乐卡汽车智能科技(北京)有限公司 | 车辆总线安全监控方法、装置和系统 |
| WO2017119027A1 (ja) * | 2016-01-08 | 2017-07-13 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム |
| CN113014464B (zh) * | 2016-01-08 | 2022-07-26 | 松下电器(美国)知识产权公司 | 异常检测方法、异常检测装置及异常检测系统 |
| JP6578224B2 (ja) * | 2016-02-22 | 2019-09-18 | ルネサスエレクトロニクス株式会社 | 車載システム、プログラムおよびコントローラ |
| CN105656693B (zh) * | 2016-03-15 | 2019-06-07 | 南京联成科技发展股份有限公司 | 一种基于回归的信息安全异常检测的方法及系统 |
| JP5999614B1 (ja) | 2016-04-20 | 2016-09-28 | 株式会社ソフトベース | データリカバリシステム、データリカバリ方法、データリカバリプログラム、情報処理装置、データ作成型の携帯端末及びパッシブタイプの記憶媒体 |
| JP6846991B2 (ja) * | 2016-07-05 | 2021-03-24 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法 |
| US10991175B2 (en) * | 2018-12-27 | 2021-04-27 | Beijing Voyager Technology Co., Ltd. | Repair management system for autonomous vehicle in a trusted platform |
-
2017
- 2017-10-13 JP JP2017199331A patent/JP6761793B2/ja active Active
-
2018
- 2018-10-10 CN CN201880066529.XA patent/CN111225834B/zh active Active
- 2018-10-10 EP EP18865747.2A patent/EP3696025B1/en active Active
- 2018-10-10 US US16/755,465 patent/US11580223B2/en active Active
- 2018-10-10 WO PCT/JP2018/037701 patent/WO2019074000A1/ja unknown
Also Published As
| Publication number | Publication date |
|---|---|
| JP6761793B2 (ja) | 2020-09-30 |
| JP2019073102A (ja) | 2019-05-16 |
| EP3696025A1 (en) | 2020-08-19 |
| WO2019074000A1 (ja) | 2019-04-18 |
| US11580223B2 (en) | 2023-02-14 |
| EP3696025A4 (en) | 2021-03-17 |
| CN111225834A (zh) | 2020-06-02 |
| EP3696025B1 (en) | 2022-10-05 |
| US20200242247A1 (en) | 2020-07-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111225834B (zh) | 车辆用控制装置 | |
| CN112204578B (zh) | 使用机器学习在数据接口上检测数据异常 | |
| JP7496404B2 (ja) | セキュリティ処理方法及びサーバ | |
| CN110226310B (zh) | 电子控制装置、不正当检测服务器、车载网络系统、车载网络监视系统以及方法 | |
| KR102642875B1 (ko) | 차량 내 네트워크에 보안을 제공하는 시스템 및 방법 | |
| EP3393086B1 (en) | Security processing method and server | |
| US20190182267A1 (en) | Vehicle security manager | |
| US20160381067A1 (en) | System and method for content based anomaly detection in an in-vehicle communication network | |
| JP6723955B2 (ja) | 情報処理装置及び異常対処方法 | |
| KR102524204B1 (ko) | 차량용 네트워크의 침입 대응 장치 및 방법 | |
| JP6846706B2 (ja) | 監視装置、監視方法およびコンピュータプログラム | |
| US11522878B2 (en) | Can communication based hacking attack detection method and system | |
| US20230109507A1 (en) | System and Method for Detecting Intrusion Into In-Vehicle Network | |
| WO2018168291A1 (ja) | 情報処理方法、情報処理システム、及びプログラム | |
| US11971982B2 (en) | Log analysis device | |
| JP2021140460A (ja) | セキュリティ管理装置 | |
| JP7392586B2 (ja) | ログ送信制御装置 | |
| US20220157090A1 (en) | On-vehicle security measure device, on-vehicle security measure method, and security measure system | |
| EP3904161A1 (en) | Information processing device | |
| EP4106278A1 (en) | System and method for detecting intrusion into in-vehicle network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Ibaraki Applicant after: Hitachi astemo Co.,Ltd. Address before: Ibaraki Applicant before: HITACHI AUTOMOTIVE SYSTEMS, Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |