CN112422495B - 判定装置、判定系统、存储程序的存储介质以及判定方法 - Google Patents

判定装置、判定系统、存储程序的存储介质以及判定方法 Download PDF

Info

Publication number
CN112422495B
CN112422495B CN202010839162.XA CN202010839162A CN112422495B CN 112422495 B CN112422495 B CN 112422495B CN 202010839162 A CN202010839162 A CN 202010839162A CN 112422495 B CN112422495 B CN 112422495B
Authority
CN
China
Prior art keywords
control device
determination
notification
normal
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010839162.XA
Other languages
English (en)
Other versions
CN112422495A (zh
Inventor
加藤良彦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Publication of CN112422495A publication Critical patent/CN112422495A/zh
Application granted granted Critical
Publication of CN112422495B publication Critical patent/CN112422495B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W40/00Estimation or calculation of non-directly measurable driving parameters for road vehicle drive control systems not related to the control of a particular sub unit, e.g. by using mathematical models
    • B60W40/10Estimation or calculation of non-directly measurable driving parameters for road vehicle drive control systems not related to the control of a particular sub unit, e.g. by using mathematical models related to vehicle motion
    • B60W40/105Speed
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Automation & Control Theory (AREA)
  • General Health & Medical Sciences (AREA)
  • Mechanical Engineering (AREA)
  • Transportation (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Human Computer Interaction (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明提供一种判定装置,其具备:通信部;第一发送部,其向控制装置发送不符合控制装置中的防火墙的规则的第一信息;第一判定部,其当从控制装置获取到作为第一通知的、控制装置对第一信息的响应时,在第一通知是表示控制装置正常的正常通知的情况下,第一判定部判定控制装置为故障,在第一通知是表示控制装置异常的异常通知的情况下,第一判定部判定控制装置为正常;第二发送部,在由第一判定部判定为控制装置为正常的情况下,其进而向控制装置发送符合规则的第二信息;以及第二判定部,其当从控制装置获取到作为第二通知的、控制装置对第二信息的响应时,在第二通知是正常通知的情况下,第二判定部判定控制装置为正常。

Description

判定装置、判定系统、存储程序的存储介质以及判定方法
技术领域
本发明涉及判定装置、判定系统、存储程序的存储介质以及判定方法。
背景技术
在收集与针对车内LAN的安全攻击有关的攻击信息的情况下,存在下述方式:通过消息认证、防火墙等安全功能检测安全攻击,并通过中央装置等收集与之伴随的攻击信息。由此,中央装置能够对收集到的攻击信息进行分析。另一方面,在与消息认证、防火墙有关的电路发生故障的情况下,正常的通信有可能被误检测为安全攻击而被上传至中央装置,因此可能会浪费通信成本和中央装置的分析资源。为此,有必要验证与消息认证、防火墙有关的电路是否正常工作。
日本特开2017-118487号公报中公开了一种方法,即,在收集与不正当访问等安全攻击有关的攻击信息的情况下,中央装置进行收集时,将由电路故障等导致的攻击信息排除在外。在该方法中,基于消息认证码的一致/不一致而进行电路是否正常的判断。
然而,日本特开2017-118487号公报的方法中,虽然公开了将与消息认证有关的电路发生故障的情况下的攻击信息区分开,但是没有考虑与防火墙有关的电路发生故障的情况下的应对。
发明内容
本发明的目的在于提供一种判定装置、判定系统、存储程序的存储介质以及判定方法,其在由通过防火墙确保安全性的控制装置收集与安全攻击有关的攻击信息的情况下,能够排除由控制装置的故障而产生的误检测。
第一方式为一种判定装置,其具备:通信部,其能够与搭载在车辆上的控制装置之间进行通信;第一发送部,其向所述控制装置发送不符合所述控制装置中的防火墙的规则的第一信息;第一判定部,其当从所述控制装置获取到作为第一通知的、所述控制装置对所述第一信息的响应时,在所述第一通知是表示所述控制装置正常的正常通知的情况下,第一判定部判定所述控制装置为故障,在所述第一通知是表示所述控制装置异常的异常通知的情况下,第一判定部判定所述控制装置为正常;第二发送部,在由所述第一判定部判定为所述控制装置为正常的情况下,其进而向所述控制装置发送符合所述规则的第二信息;以及第二判定部,其当从所述控制装置获取到作为第二通知的、所述控制装置对所述第二信息的响应时,在所述第二通知是所述正常通知的情况下,第二判定部判定所述控制装置为正常。
第一方式的判定装置通过通信部能够与搭载在车辆上的控制装置之间进行通信。首先,该判定装置的第一发送部发送不符合控制装置中的防火墙的规则的第一信息,从控制装置获取对该第一信息的响应作为第一通知。然后,在该判定装置中,第一判定部在获取到作为第一通知的、表示控制装置正常的正常通知的情况下,判定控制装置为故障,在获取到作为第一通知的、表示控制装置异常的异常通知的情况下,判定控制装置为正常。接着,该判定装置的第二发送部发送符合控制装置中的防火墙的规则的第二信息,从控制装置获取对该第二信息的响应作为第二通知。然后,在该判定装置中,第二判定部在获取到作为第二通知的、表示控制装置正常的正常通知的情况下,判定控制装置为正常。
第一方式的判定装置通过首先进行不符合防火墙的规则的通信,从而把握将安全性方面存在问题的通信判定为正常的控制装置的故障。然后,该判定装置通过接着进行符合防火墙的规则的通信,从而把握将安全性方面没有问题的通信判定为异常的控制装置的故障。如上所述,根据该判定装置,在由通过防火墙确保安全性的控制装置收集与安全攻击有关的攻击信息的情况下,能够排除由控制装置的故障而产生的误检测。
根据第一方式的判定装置,第二方式的判定装置为,具备获取部,该获取部能够从所述控制装置获取针对所述控制装置接收到的通信的攻击信息,在由所述第二判定部判定所述控制装置为正常的情况下,所述获取部获取所述攻击信息。
由于第二方式的判定装置是在判定为控制装置没有故障之后从控制装置获取攻击信息的,因此排除了由于故障进行的误检测而产生的攻击信息。因此,根据该判定装置,在控制装置的诊断时,能够减少从控制装置获取的信息量,能够缩短诊断时间。
根据第二方式的判定装置,第三方式的判定装置为,在由所述第一判定部判定为所述控制装置为故障的情况、且已经正在获取所述攻击信息的情况下,所述获取部放弃正在获取的所述攻击信息。
根据第三方式的判定装置,通过在控制装置故障时获取到攻击信息的情况下,丢弃该攻击信息,从而能够在控制装置的诊断时将与误检测相伴的攻击信息排除在外。
第四方式是一种判定系统,其具备前述第一~第三方式中任一方式的判定装置、以及控制所述车辆的所述控制装置,所述控制装置具备:诊断部,其在不妨碍所述车辆的安全的情况下诊断所述控制装置;符合判定部,其判定在所述诊断部的诊断中从所述通信部接收到的所述第一信息或所述第二信息是否符合所述规则;以及通知部,在所述符合判定部判定为符合所述规则的情况下,所述通知部将所述正常通知向所述判定装置通知,在所述符合判定部判定为不符合所述规则的情况下,所述通知部将所述异常通知向所述判定装置通知。
在第四方式的判定系统中,在控制装置中,诊断部在不妨碍车辆的安全的情况下开始诊断,符合判定部判定来自判定装置的信息是否符合防火墙的规则,通知部向判定装置进行与判定结果对应的通知。如上所述,判定装置根据不符合控制装置中的防火墙的规则的通信而进行故障的判定,在收集攻击信息时,控制装置的安全性可能会变得脆弱。但根据该判定系统,通过在不妨碍车辆的安全的情况下收集攻击信息,能够确保车辆的行驶的安全性。
第五方式是一种存储程序的非易失性存储介质,该程序用于通过与搭载在车辆上的控制装置之间进行通信而判定所述控制装置的故障,该程序使计算机执行包括以下处理的处理:第一发送处理,在该处理中,向所述控制装置发送不符合所述控制装置中的防火墙的规则的第一信息;第一判定处理,在该处理中,当从所述控制装置获取到作为第一通知的、所述控制装置对所述第一信息的响应时,在所述第一通知是表示所述控制装置正常的正常通知的情况下,判定所述控制装置为故障,在所述第一通知是表示所述控制装置异常的异常通知的情况下,判定所述控制装置为正常;第二发送处理,在该处理中,在由所述第一判定处理判定为所述控制装置为正常的情况下,进而向所述控制装置发送符合所述规则的第二信息;以及第二判定处理,在该处理中,当从所述控制装置获取到作为第二通知的、所述控制装置对所述第二信息的响应时,在所述第二通知是所述正常通知的情况下,判定所述控制装置为正常。
第五方式的非易失性存储介质中所存储的程序能够安装在与搭载在车辆上的控制装置之间进行通信的计算机上。该程序通过首先使计算机进行不符合控制装置中的防火墙的规则的通信,从而把握将安全性方面存在问题的通信判定为正常的控制装置的故障。然后,该程序通过使计算机接着进行符合控制装置中的防火墙的规则的通信,从而把握将安全性方面没有问题的通信判定为异常的控制装置的故障。以上,根据该程序,在由通过防火墙确保安全性的控制装置收集与安全攻击有关的攻击信息的情况下,能够排除由控制装置的故障而产生的误检测。
第六方式是一种判定方法,其通过搭载在车辆上的控制装置和与所述控制装置连接的判定装置进行通信,从而判定所述控制装置的故障,该判定方法包括:请求处理,在该处理中,所述判定装置向所述控制装置请求所述控制装置的诊断;开始处理,在该处理中,接收所述请求处理,所述控制装置在不妨碍所述车辆的安全的情况下使所述诊断开始;第一发送处理,在该处理中,在所述开始处理之后,从所述判定装置向所述控制装置发送不符合所述控制装置中的防火墙的规则的第一信息;第一响应处理,在该处理中,在接收到所述第一信息的所述控制装置中,判定所述控制装置是正常还是异常,进行对所述判定装置的响应;第一判定处理,在该处理中,在所述判定装置中获取的、与所述第一响应处理对应的第一通知是表示所述控制装置正常的正常通知的情况下,判定所述控制装置为故障,在所述第一通知是表示所述控制装置异常的异常通知的情况下,判定所述控制装置为正常;第二发送处理,在该处理中,在由所述第一判定处理判定为所述控制装置为正常的情况下,进而从所述判定装置向所述控制装置发送符合所述规则的第二信息;第二响应处理,在该处理中,在接收到所述第二信息的所述控制装置中,判定所述控制装置是正常还是异常,进行对所述判定装置的响应;以及第二判定处理,在该处理中,在所述判定装置中获取的、与所述第二响应处理对应的第二通知是所述正常通知的情况下,判定所述控制装置为正常。
第六方式的判定方法通过判定装置与搭载在车辆上的控制装置进行通信而判定控制装置的故障。该判定方法中,判定装置通过首先对控制装置进行不符合防火墙的规则的通信,从而把握将安全性方面存在问题的通信判定为正常的控制装置的故障。然后,判定装置通过接着对控制装置进行符合防火墙的规则的通信,从而把握将安全性方面没有问题的通信判定为异常的控制装置的故障。在这里,在该判定方法中,在不妨碍车辆的安全的情况下,控制装置在开始诊断之后,与判定装置之间进行不符合防火墙的规则的通信。根据该判定方法,在由通过防火墙确保安全性的控制装置收集与安全攻击有关的攻击信息的情况下,能够排除由控制装置的故障而产生的误检测。此外,由于能够在不妨碍车辆的安全的情况下收集攻击信息,因此能够确保车辆的行驶的安全性。
根据本发明,在由通过防火墙确保安全性的控制装置收集与安全攻击有关的攻击信息的情况下,能够排除由控制装置的故障而产生的误检测。
附图说明
基于以下附图对本发明的示例性实施例进行详细描述,其中:
图1是表示第一实施方式所涉及的判定系统的示意性构成的图;
图2是表示第一实施方式的DCM的硬件构成的框图;
图3是表示第一实施方式的DCM的功能构成的例子的框图;
图4是表示第一实施方式的中央服务器的硬件构成的框图;
图5是表示第一实施方式的中央服务器的功能构成的例子的框图;
图6是示出在第一实施方式中DCM所执行的信息提供处理、以及中央服务器所执行的信息收集处理的流程的流程图;以及
图7是示出在第一实施方式中DCM所执行的信息提供处理、以及中央服务器所执行的信息收集处理的流程的流程图(接图6)。
具体实施方式
[第一实施方式]
图1是表示第一实施方式所涉及的判定系统10的示意性构成的框图。
(概要)
如图1所示,第一实施方式所涉及的判定系统10配置为包括:车辆12、作为判定装置的中央服务器30、车辆诊断仪40。
本实施方式的车辆12具备:DCM(Data Communication Module)20、中央GW(Central Gateway)22、多个ECU(Electronic Control Unit)24。DCM 20是控制装置的一个例子。
DCM 20经由作为通信网络的网络N与中央服务器30连接。
中央GW 22经由外部总线(通信总线)14分别与DCM 20以及各个ECU 24连接。外部总线14具有将中央GW 22与DCM 20连接的第一总线14A、以及将中央GW 22与各个ECU 24相互连接的第二总线14B。外部总线14中进行基于CAN(Controller Area Network)协议的通信。
ECU 24是车辆12的控制所需的装置、或是搭载在车辆12上的辅助设备的控制所需的装置。ECU 24例如是车身ECU、发动机ECU、变速器ECU、仪表ECU、多媒体ECU、智能钥匙ECU等的ECU。
此外,中央GW 22与连接器(DLC:Data Link Connector)16连接。该连接器16上能够连接作为诊断工具的车辆诊断仪40。
(DCM)
如图2所示,DCM 20配置为包括:CPU(Central Processing Unit)20A、ROM(ReadOnly Memory)20B、RAM(Random Access Memory)20C、通信I/F(Inter Face)20D以及通信部20E。CPU 20A、ROM 20B、RAM 20C、通信I/F 20D以及通信部20E经由内部总线20F互相可通信地连接。CPU 20A是第二处理器的一个例子,RAM 20C是第二存储器的一个例子。
CPU 20A是中央演算处理单元,执行各种程序,控制各个部分。即,CPU 20A从ROM20B读取程序,将RAM 20C作为作业区域而执行程序。
ROM 20B存储各种程序以及各种数据。在本实施方式中,ROM 20B存储有执行程序200。执行程序200是用于进行后述信息提供处理的程序。此外,ROM 20B存储有通信日志220。通信日志220包括“攻击信息”,该“攻击信息”是在对通信部20E的不正当访问等的安全攻击为原因的认证处理异常时所存储的信息。RAM 20C作为作业区域暂时存储程序或数据。
通信I/F 20D是用于与中央GW 22以及其他ECU 24连接的接口。该接口使用基于CAN协议的通信标准。通信I/F 20D连接到第一总线14A。
通信部20E是用于与中央服务器30连接的无线通信模块。该无线通信模块使用例如4G、LTE等的通信标准。通信部20E连接到网络N。
图3是示出DCM 20的功能构成的例子的框图。如图3所示,DCM 20具有诊断部250、符合判定部260、以及状态通知部270。各个功能构成是通过CPU 20A读取并执行存储在ROM20B中的执行程序200而实现的。
诊断部250具有执行用于诊断DCM 20是否正常的测试模式的功能。诊断部250从中央服务器30接收到测试模式的开始请求时,在不妨碍车辆12的安全的情况下转换至测试模式。在本实施方式中,“不妨碍车辆12的安全的情况”是指车辆12位于确保与通信有关的安全性的地方且车辆12正在停止的情况。车辆12的停止能够基于车速信息、停车信息而判定。
“确保与通信有关的安全性的地方”可以举出例如经销商的维修车间、自家的车库等能够限制通信、难以受到不正当访问等的安全攻击的地方。如果测试模式开始,则诊断部250进行控制以使得搭载有DCM 20的车辆12无法行驶。例如,诊断部250通过停止各个ECU24的功能而禁止发动机的启动、禁止制动器的释放,从而能够使车辆12无法行驶。
符合判定部260具有判定从中央服务器30接收到的信息是否符合DCM 20中的防火墙的规则的功能。本实施方式的符合判定部260,在转换至测试模式的情况下,判定从中央服务器30接收到的信息是否符合防火墙的规则。
作为通知部的状态通知部270具有将DCM 20所判定的DCM 20的状态向中央服务器30通知的功能。在符合判定部260中判定为从中央服务器30接收到的信息符合防火墙的规则的情况下,状态通知部270将表示DCM 20正常的正常通知向中央服务器30发送。此外,在符合判定部260中判定为从中央服务器30接收到的信息不符合防火墙的规则的情况下,状态通知部270将表示DCM 20异常的异常通知向中央服务器30发送。
在这里,从中央服务器30接收到的信息中存在后述的不符合信息和符合信息。在从中央服务器30接收到不符合信息的情况下,本实施方式的状态通知部270将正常通知和异常通知的其中一个作为第一通知向中央服务器30发送。此外,在从中央服务器30接收到符合信息的情况下,状态通知部270将正常通知和异常通知的其中一个作为第二通知向中央服务器30发送。
(中央服务器)
图4是表示搭载在本实施方式的中央服务器30中的设备的硬件构成的框图。
中央服务器30配置为包括CPU 30A、ROM 30B、RAM 30C、存储部30D以及通信部30E。CPU 30A、ROM 30B、RAM 30C、存储部30D以及通信部30E经由内部总线30F相互可通信地连接。CPU 30A、ROM 30B、RAM 30C以及通信部30E的功能与上述DCM 20的CPU 20A、ROM 20B、RAM 20C以及通信部20E相同。CPU 30A是第一处理器的一个例子,RAM 30C是第一存储器的一个例子。
存储部30D由HDD(Hard Disk Drive)或SSD(Solid State Drive)构成。本实施方式的存储部30D中存储有分析程序300和分析数据320。分析程序300是用于进行后述信息收集处理的程序。分析数据320是作为信息收集处理的结果而存放有从DCM 20收集到的攻击信息的数据。
本实施方式的CPU 30A从ROM 30B读取分析程序300,将RAM 30C作为作业区域而执行分析程序300。通过CPU 30A执行分析程序300,中央服务器30作为图5所示的不符合信息发送部350、符合信息发送部360、一次判定部370、二次判定部380、信息获取部390而发挥作用。
图5是表示中央服务器30的功能构成的例子的框图。如图5所示,中央服务器30具有不符合信息发送部350、符合信息发送部360、一次判定部370、二次判定部380、信息获取部390。
作为第一发送部的不符合信息发送部350具有将不符合DCM 20中的防火墙的规则的不符合信息向该DCM 20发送的功能。该不符合信息是第一信息的一个例子。
作为第二发送部的符合信息发送部360具有将符合DCM 20中的防火墙的规则的符合信息向该DCM 20发送的功能。该符合信息是第二信息的一个例子。在后述的一次判定部370判定为DCM 20为正常的情况下,符合信息发送部360将符合信息发送至DCM 20。
作为第一判定部的一次判定部370具有以下功能:在获取到作为第一通知的、DCM20对发送到DCM 20的不符合信息的响应时,判定DCM 20是否正常。一次判定部370在接收到的第一通知是正常通知的情况下判定DCM 20为故障,在第一通知是异常通知的情况下判定DCM 20为正常。
作为第二判定部的二次判定部380具有以下功能:在获取到作为第二通知的、DCM20对发送到DCM 20的符合信息的响应时,判定DCM 20是否正常。二次判定部380在接收到的第二通知是正常通知的情况下判定DCM 20为正常,在第二通知是异常通知的情况下判定DCM 20为故障。
作为获取部的信息获取部390具有以下功能:从DCM 20获取针对该DCM 20的通信部20E接收到的通信的攻击信息,或者放弃已经获取到的攻击信息。在由二次判定部380判定DCM 20为正常的情况下,信息获取部390从DCM 20获取接收到的攻击信息。此外,在由一次判定部370判定DCM 20为故障的情况下,且已经正在获取攻击信息的情况下,信息获取部390放弃正在获取的攻击信息。
(控制的流程)
在本实施方式中,以图6以及图7的流程图来说明DCM 20所执行的信息提供处理、以及中央服务器30所执行的信息收集处理的流程的例子。
首先,在执行信息提供处理之前,DCM 20在存在不正当访问等的情况下,将攻击信息存储在通信日志220中。然后,在需要在中央服务器30中分析攻击信息的情况下,在DCM20以及中央服务器30中执行以下处理。
如图6所示,中央服务器30向作为获取攻击信息的对象的DCM 20发出测试模式的开始请求(S100)。详细地,中央服务器30向DCM 20发送用于使测试模式开始的指令。
与此相对,DCM 20进行是否能够转换至测试模式的判定(S200)。具体地,在车辆12的位置信息为位于经销商的维修车间、自家的车库等难以受到不正当访问等的安全攻击的地方、且车辆12正在停止的情况下,DCM 20判定为能够转换至测试模式。DCM 20在判定为能够转换至测试模式的情况下(S200中为“是”),开始测试模式(S201)。随着测试模式的开始,DCM 20向中央服务器30发送表示已开始测试模式的指令。
另一方面,在上述判定中,DCM 20在判定为不能转换至测试模式的情况(S200中为“否”)下,不转换至测试模式(S202),结束信息提供处理。
中央服务器30在从DCM 20接收到表示已开始测试模式的指令的情况下,通过防火墙(FW)的规则之外的通信向DCM 20请求信息(S101)。具体地,中央服务器30将不符合防火墙的规则的不符合信息发送至DCM 20。
DCM 20在从中央服务器30接收到不符合信息的情况下,进行接收到的信息是否符合防火墙的规则的判定(S203)。DCM 20在判定为符合防火墙的规则的情况(S203中为“是”)下,判定设备为正常(S204)。然后,DCM 20将表示DCM 20为正常的正常通知与攻击信息一起发送至中央服务器30(S205)。
另一方面,在上述判定中,DCM 20在判定为不符合防火墙的规则的情况(S203中为“否”)下,判定设备为异常(S206)。然后,DCM 20将表示DCM 20为异常的异常通知发送至中央服务器30(S207)。
如图7所示,接着,中央服务器30进行是否从DCM 20接收到异常通知的判定(S102)。中央服务器30在判定为从DCM 20接收到异常通知的情况(S102中为“是”)下,判定设备为正常(S103)。然后,中央服务器30通过防火墙(FW)的规则内的通信向DCM 20请求信息(S104)。具体地,中央服务器30将符合防火墙的规则的符合信息发送至DCM 20。
另一方面,在上述判定中,中央服务器30在判定为没有从DCM 20接收到异常通知、即接收到正常通知的情况(S102中为“否”)下,判定设备为故障(S105)。然后,中央服务器30放弃与正常通知一起接收到的攻击信息(S106),结束信息收集处理。
DCM 20在从中央服务器30接收到符合信息的情况下,进行接收到的信息是否符合防火墙的规则的判定(S208)。DCM 20在判定为符合防火墙的规则的情况(S208中为“是”)下,判定设备为正常(S209)。然后,DCM 20将表示DCM 20为正常的正常通知与攻击信息一起发送至中央服务器30(S210)。
另一方面,在上述判定中,DCM 20在判定为不符合防火墙的规则的情况(S208中为“否”)下,判定设备为异常(S211)。然后,DCM 20将表示DCM 20为异常的异常通知发送至中央服务器30(S212)。
DCM 20将正常通知或异常通知发送至中央服务器30之后,结束测试模式(S213),结束信息提供处理。
接着,中央服务器30进行是否从DCM 20接收到正常通知的判定(S107)。中央服务器30在判定为从DCM 20接收到正常通知的情况(S107中为“是”)下,判定设备为正常(S108)。然后,中央服务器30获取接收到的攻击信息(S109),结束信息收集处理。
另一方面,在上述判定中,中央服务器30在判定为没有从DCM 20接收到正常通知、即接收到异常通知的情况(S107中为“否”)下,判定设备为故障(S110)。然后,中央服务器30结束信息收集处理。
(第一实施方式的总结)
在本实施方式中,中央服务器30首先对DCM 20进行不符合防火墙的规则的通信,从而把握将安全性方面存在问题的通信判定为正常的DCM 20的故障。然后,中央服务器30接着对DCM 20进行符合防火墙的规则的通信,从而把握将安全性方面没有问题的通信判定为异常的DCM 20的故障。以上,根据本实施方式,在由通过防火墙确保安全性的DCM 20收集与安全攻击有关的攻击信息的情况下,能够排除由DCM 20的故障而产生的误检测。由此,能够进行高精度的分析。
在这里,与符合限定条件的防火墙的规则的通信相对,不符合防火墙的规则的通信的条件方案很多。因此,在本实施方式中,首先通过方案数量多的通信而在较宽条件下把握DCM 20的故障,从而进行判定故障时的预处理。即,首先进行不符合防火墙的规则的通信,在判定为DCM 20故障的情况下,中央服务器30无需进行符合防火墙的规则的通信,无需获取包括误检测在内的攻击信息。因此,在DCM 20的诊断时,能够减少从DCM 20获取的信息量,能够缩短诊断时间。通过减少信息量,能够实现数据包负载(Packet load)的减少。
此外,在本实施方式的判定系统10中,DCM 20中的诊断部250在不妨碍车辆12的安全的情况下开始测试模式之后,DCM 20与中央服务器30之间进行不符合防火墙的规则的通信。在根据不符合防火墙的规则的通信进行故障的判定的情况下,DCM 20的安全性可能变得脆弱。但根据本实施方式,通过在不妨碍车辆12的安全的情况下收集攻击信息,能够确保车辆12的行驶的安全性。
另外,在测试模式的执行过程中车辆12的车速从0开始增加、或者车辆12从确保与通信有关的安全性的地方开始发生了移动的情况下,诊断部250强制结束测试模式,返回至用于使车辆12行驶的普通模式。根据本实施方式,通过限定转换至测试模式的场景,能够在提高安全性的同时收集信息。
此外,根据本实施方式的中央服务器30,通过在DCM 20发生故障时获取到攻击信息的情况下丢弃该攻击信息,能够在DCM 20的诊断时将与误检测相伴的攻击信息排除在外。
另外,在本实施方式中,DCM 20在判定自身设备为正常的情况下,向中央服务器30发送攻击信息(S205、S210),但是不限于此,DCM 20也可以在由中央服务器30判定为没有故障之后,发送攻击信息。例如,能够在由二次判定部380判定为DCM 20正常之后,中央服务器30通过向DCM 20发送请求发送攻击信息的请求指令而获取攻击信息。
在该情况下,由于中央服务器30是在判定DCM 20没有发生故障之后从DCM 20获取攻击信息的,因此完全排除了由于故障进行的误检测得到的攻击信息。因此,在DCM 20的诊断时,能够进一步减少从DCM 20获取的信息量,能够缩短诊断时间。
[第二实施方式]
在第一实施方式中,作为判定装置的中央服务器30获取了作为控制装置的DCM 20中的攻击信息。与此相对,在第二实施方式中,将车辆诊断仪40作为判定装置,将中央GW 22作为控制装置。
本实施方式的中央GW 22的硬件构成以及功能构成,除了通信部是有线的之外,具有与第一实施方式的DCM 20相同的构成。此外,本实施方式的车辆诊断仪40的硬件构成以及功能构成,除了通信部是有线的之外,具有与第一实施方式的中央服务器30相同的构成。
因此,在本实施方式中,车辆诊断仪40能够与中央GW 22进行通信,获取与中央GW22受到的不正当访问等的安全攻击有关的攻击信息。在该情况下,车辆诊断仪40首先对中央GW 22进行不符合中央GW 22的防火墙的规则的通信,从而把握将安全性方面存在问题的通信判定为正常的中央GW 22的故障。然后,车辆诊断仪40接着对中央GW 22进行符合中央GW 22的防火墙的规则的通信,从而把握将安全性方面没有问题的通信判定为异常的中央GW 22的故障。以上,根据本实施方式,在由通过防火墙确保安全性的中央GW 22收集与安全攻击有关的攻击信息的情况下,能够排除由中央GW 22的故障而产生的误检测。
另外,根据本实施方式,能够取得与第一实施方式相同的作用效果。
[备注]
此外,在上述实施方式中,由CPU 20A读入软件(程序)而执行的各个处理、由CPU30A读入软件(程序)而执行的各个处理,也可以由CPU以外的各种处理器执行。作为该情况下的处理器,例示FPGA(Field-Programmable Gate Array)等制造后可变更电路结构的PLD(Programmable Logic Device)、以及ASIC(Application Specific Integrated Circuit)等具有为了执行特定的处理而专门设计的电路结构的处理器即专用电路等。另外,各个处理可以通过上述各种处理器的其中一个执行,也可以通过相同种类或者不同种类的两个以上处理器的组合(例如,多个FPGA、以及CPU与FPGA的组合等)执行。此外,更具体地,上述各种处理器的硬件构造是将半导体元件等电路元件组合而成的电路。
此外,在上述实施方式中,以程序预先存储(安装)在计算机可读的非易失性存储介质中的方式进行了说明。例如,在车辆12的DCM 20中,执行程序200预先存储在ROM 20B中。此外,在中央服务器30中,分析程序300预先存储在存储部30D中。但是不限于此,也可以以各个程序存储在CD-ROM(Compact Disc Read Only Memory)、DVD-ROM(DigitalVersatile Disc Read Only Memory)、以及USB(Universal Serial Bus)存储器等的非易失性存储介质中的方式进行提供。此外,也可以是各个程序经由网络从外部装置下载的方式。
上述实施方式中说明的处理的流程仅为一个例子,在不脱离本发明的主旨的范围内,可以删除不需要的步骤、追加新的步骤、或者更换处理顺序。

Claims (7)

1.一种判定装置,其具备:
通信部,其与搭载在车辆上的控制装置之间进行通信;
第一发送部,其向所述控制装置发送不符合所述控制装置中的防火墙的规则的第一信息;
第一判定部,其当从所述控制装置获取到作为第一通知的、所述控制装置对所述第一信息的响应时,在所述第一通知是表示所述控制装置正常的正常通知的情况下,第一判定部判定所述控制装置为故障,在所述第一通知是表示所述控制装置异常的异常通知的情况下,第一判定部判定所述控制装置为正常;
第二发送部,在由所述第一判定部判定为所述控制装置为正常的情况下,其进而向所述控制装置发送符合所述规则的第二信息;以及
第二判定部,其当从所述控制装置获取到作为第二通知的、所述控制装置对所述第二信息的响应时,在所述第二通知是所述正常通知的情况下,第二判定部判定所述控制装置为正常。
2.根据权利要求1所述的判定装置,
其具备获取部,该获取部从所述控制装置获取针对所述控制装置接收到的通信的攻击信息,
在由所述第二判定部判定所述控制装置为正常的情况下,所述获取部获取所述攻击信息。
3.根据权利要求2所述的判定装置,其中,
在由所述第一判定部判定为所述控制装置为故障的情况、且已经正在获取所述攻击信息的情况下,所述获取部放弃正在获取的所述攻击信息。
4.一种判定系统,其具备权利要求1至3中任一项所述的判定装置、以及控制车辆的控制装置,
所述控制装置具备:
诊断部,其在不妨碍所述车辆的安全的情况下诊断所述控制装置;
符合判定部,其判定在所述诊断部的诊断中从所述通信部接收到的所述第一信息或所述第二信息是否符合所述规则;以及
通知部,在所述符合判定部判定为符合所述规则的情况下,所述通知部将所述正常通知向所述判定装置通知,在所述符合判定部判定为不符合所述规则的情况下,所述通知部将所述异常通知向所述判定装置通知。
5.根据权利要求4所述的判定系统,其中,
所述诊断部在所述车辆正在停止的情况下诊断所述控制装置,
在所述控制装置的诊断中,在正在停止的所述车辆开始行驶的情况下,中止所述控制装置的诊断。
6.一种存储程序的非易失性存储介质,该程序用于通过与搭载在车辆上的控制装置之间进行通信而判定所述控制装置的故障,所述程序使计算机执行包括以下处理的处理:
第一发送处理,在该处理中,向所述控制装置发送不符合所述控制装置中的防火墙的规则的第一信息;
第一判定处理,在该处理中,当从所述控制装置获取到作为第一通知的、所述控制装置对所述第一信息的响应时,在所述第一通知是表示所述控制装置正常的正常通知的情况下,判定所述控制装置为故障,在所述第一通知是表示所述控制装置异常的异常通知的情况下,判定所述控制装置为正常;
第二发送处理,在该处理中,在由所述第一判定处理判定为所述控制装置为正常的情况下,进而向所述控制装置发送符合所述规则的第二信息;以及
第二判定处理,在该处理中,当从所述控制装置获取到作为第二通知的、所述控制装置对所述第二信息的响应时,在所述第二通知是所述正常通知的情况下,判定所述控制装置为正常。
7.一种判定方法,其通过搭载在车辆上的控制装置和与所述控制装置连接的判定装置进行通信,从而判定所述控制装置的故障,该判定方法包括:
请求处理,在该处理中,所述判定装置向所述控制装置请求所述控制装置的诊断;
开始处理,在该处理中,接收所述请求处理,所述控制装置在不妨碍所述车辆的安全的情况下使所述诊断开始;
第一发送处理,在该处理中,在所述开始处理之后,从所述判定装置向所述控制装置发送不符合所述控制装置中的防火墙的规则的第一信息;
第一响应处理,在该处理中,在接收到所述第一信息的所述控制装置中,判定所述控制装置是正常还是异常,进行对所述判定装置的响应;
第一判定处理,在该处理中,在所述判定装置中获取的、与所述第一响应处理对应的第一通知是表示所述控制装置正常的正常通知的情况下,判定所述控制装置为故障,在所述第一通知是表示所述控制装置异常的异常通知的情况下,判定所述控制装置为正常;
第二发送处理,在该处理中,在由所述第一判定处理判定为所述控制装置为正常的情况下,进而从所述判定装置向所述控制装置发送符合所述规则的第二信息;
第二响应处理,在该处理中,在接收到所述第二信息的所述控制装置中,判定所述控制装置是正常还是异常,进行对所述判定装置的响应;以及
第二判定处理,在该处理中,在所述判定装置中获取的、与所述第二响应处理对应的第二通知是所述正常通知的情况下,判定所述控制装置为正常。
CN202010839162.XA 2019-08-21 2020-08-19 判定装置、判定系统、存储程序的存储介质以及判定方法 Active CN112422495B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2019151515A JP7115442B2 (ja) 2019-08-21 2019-08-21 判定装置、判定システム、プログラム及び判定方法
JP2019-151515 2019-08-21

Publications (2)

Publication Number Publication Date
CN112422495A CN112422495A (zh) 2021-02-26
CN112422495B true CN112422495B (zh) 2022-10-28

Family

ID=74495616

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010839162.XA Active CN112422495B (zh) 2019-08-21 2020-08-19 判定装置、判定系统、存储程序的存储介质以及判定方法

Country Status (4)

Country Link
US (1) US11444922B2 (zh)
JP (1) JP7115442B2 (zh)
CN (1) CN112422495B (zh)
DE (1) DE102020121540A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7409247B2 (ja) * 2020-07-14 2024-01-09 株式会社デンソー 不正侵入防止装置、不正侵入防止方法、及び不正侵入防止用プログラム
JP7273875B2 (ja) * 2021-03-03 2023-05-15 本田技研工業株式会社 判定装置、移動体、判定方法及びプログラム

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4033692B2 (ja) * 2002-03-08 2008-01-16 富士通株式会社 ファイアウォールのセキュリティ管理方法及びその管理プログラム
JP2006048588A (ja) * 2004-08-09 2006-02-16 Matsushita Electric Ind Co Ltd リモート診断システム及びリモート診断方法
US8095983B2 (en) * 2005-03-15 2012-01-10 Mu Dynamics, Inc. Platform for analyzing the security of communication protocols and channels
JP2008191878A (ja) * 2007-02-02 2008-08-21 Ricoh Co Ltd 遠隔診断・障害対応システム、遠隔診断・障害対応装置、遠隔診断・障害対応指示装置、遠隔診断・障害対応方法、及び遠隔診断・障害対応プログラム
JP2013103611A (ja) * 2011-11-14 2013-05-30 Denso Corp 車載中継装置及び外部通信装置
WO2013144962A1 (en) * 2012-03-29 2013-10-03 Arilou Information Security Technologies Ltd. Security system and method for protecting a vehicle electronic system
CN103067395B (zh) * 2012-12-31 2016-03-30 山石网科通信技术有限公司 诊断网络防火墙的方法及装置
JP6263437B2 (ja) * 2014-05-07 2018-01-17 日立オートモティブシステムズ株式会社 検査装置、検査システム及び検査方法
DE102014208611A1 (de) * 2014-05-08 2015-11-12 Robert Bosch Gmbh Verfahren zur Diagnose eines Zustands in einem Fahrzeug und Diagnose-Testgerät
GB201411620D0 (en) * 2014-06-30 2014-08-13 British Telecomm Network diagnostic device
JP2016059008A (ja) * 2014-09-12 2016-04-21 トヨタ自動車株式会社 車両ネットワークシステム
DE102015211540A1 (de) * 2015-06-23 2016-12-29 Bayerische Motoren Werke Aktiengesellschaft Verfahren, Server, Firewall, Steuergerät, und System zur Programmierung eines Steuergeräts eines Fahrzeugs
US10666615B2 (en) * 2015-08-03 2020-05-26 Sectigo, Inc. Method for detecting, blocking and reporting cyber-attacks against automotive electronic control units
US11397801B2 (en) * 2015-09-25 2022-07-26 Argus Cyber Security Ltd. System and method for controlling access to an in-vehicle communication network
CN105320050A (zh) * 2015-11-27 2016-02-10 奇瑞汽车股份有限公司 一种基于网关的车辆功能集中控制方法
JP6649215B2 (ja) * 2015-12-14 2020-02-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ装置、ネットワークシステム及び攻撃検知方法
JP6418217B2 (ja) * 2015-12-18 2018-11-07 トヨタ自動車株式会社 通信システムで実行される情報集約方法
DE102016124352A1 (de) * 2015-12-18 2017-06-22 Toyota Jidosha Kabushiki Kaisha Kommunikationssystem und ein in dem Kommunikationssystem ausgeführtes Informationssammelverfahren
JP2017174111A (ja) * 2016-03-23 2017-09-28 株式会社東芝 車載ゲートウェイ装置、蓄積制御方法およびプログラム
CN105871830B (zh) * 2016-03-28 2019-03-08 成都信息工程大学 一种汽车车载信息系统的防火墙
JP2017214049A (ja) * 2016-05-27 2017-12-07 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング セキュリティ検査システム、セキュリティ検査方法、機能評価装置、及びプログラム
DE102016222740A1 (de) * 2016-11-18 2018-05-24 Continental Automotive Gmbh Verfahren für ein Kommunikationsnetzwerk und elektronische Kontrolleinheit
DE102017209556A1 (de) * 2017-06-07 2018-12-13 Robert Bosch Gmbh Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
CN108337291B (zh) * 2017-12-28 2021-08-17 蔚来(安徽)控股有限公司 车辆远程服务系统和方法、处理装置和存储装置
KR102506931B1 (ko) * 2018-02-27 2023-03-07 현대자동차 주식회사 전자화 장비 보안 검사 시스템 및 그 방법
US10764134B2 (en) * 2018-06-22 2020-09-01 Blackberry Limited Configuring a firewall system in a vehicle network
US11237570B2 (en) * 2019-04-12 2022-02-01 Uber Technologies, Inc. Methods and systems for configuring vehicle communications

Also Published As

Publication number Publication date
DE102020121540A1 (de) 2021-02-25
CN112422495A (zh) 2021-02-26
JP7115442B2 (ja) 2022-08-09
JP2021034829A (ja) 2021-03-01
US11444922B2 (en) 2022-09-13
US20210058372A1 (en) 2021-02-25

Similar Documents

Publication Publication Date Title
JP7492622B2 (ja) 車両異常検知サーバ、車両異常検知システム及び車両異常検知方法
JP7362856B2 (ja) 電子制御ユニット、方法およびプログラム
EP3393086B1 (en) Security processing method and server
EP3609138A1 (en) Method for detecting unauthorized communication, system for detecting unauthorized communication, and program
CN112437056B (zh) 安全处理方法以及服务器
EP3748524A1 (en) In-vehicle device and incident monitoring method
CN112422495B (zh) 判定装置、判定系统、存储程序的存储介质以及判定方法
US10178094B2 (en) Communication system and information collection method executed in communication system
JPWO2019216306A1 (ja) 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
CN109076016B9 (zh) 非法通信检测基准决定方法、决定系统以及记录介质
CN109005678B (zh) 非法通信检测方法、非法通信检测系统以及记录介质
CN110612527A (zh) 信息处理装置以及异常应对方法
CN109891848B (zh) 借助检查can标识符识别can网络中的操纵方法及can控制器
JP2019008618A (ja) 情報処理装置、情報処理方法及びプログラム
JP2014236248A (ja) 電子制御装置、電子制御システム
US11785023B2 (en) Vehicle abnormality detection device and vehicle abnormality detection method
CN111448787A (zh) 用于提供安全的车载网络的系统及方法
US20220182404A1 (en) Intrusion path analysis device and intrusion path analysis method
CN115811732A (zh) 控制装置、车辆、控制系统、控制方法以及记录介质
CN113442849B (zh) 车辆控制系统、数据发送方法及记录程序的记录介质
JP7318710B2 (ja) セキュリティ装置、インシデント対応処理方法、プログラム、及び記憶媒体
US20220194396A1 (en) Information collection device, information collection system, information collection method, and storage medium storing program
WO2024018683A1 (ja) 侵入検知装置及び侵入検知方法
JP2024041392A (ja) 電子制御装置
JP2023042954A (ja) 情報処理装置及びこれを備えた車両、情報処理方法、並びにプログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant