CN112867642B - 信息处理装置、信息处理方法以及记录介质 - Google Patents

信息处理装置、信息处理方法以及记录介质 Download PDF

Info

Publication number
CN112867642B
CN112867642B CN201980067829.4A CN201980067829A CN112867642B CN 112867642 B CN112867642 B CN 112867642B CN 201980067829 A CN201980067829 A CN 201980067829A CN 112867642 B CN112867642 B CN 112867642B
Authority
CN
China
Prior art keywords
vehicle
function
risk
information
instruction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201980067829.4A
Other languages
English (en)
Other versions
CN112867642A (zh
Inventor
佐佐木崇光
高桥良太
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Priority claimed from PCT/JP2019/030795 external-priority patent/WO2020079928A1/ja
Publication of CN112867642A publication Critical patent/CN112867642A/zh
Application granted granted Critical
Publication of CN112867642B publication Critical patent/CN112867642B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/01Fittings or systems for preventing or indicating unauthorised use or theft of vehicles operating on vehicle systems or fittings, e.g. on doors, seats or windscreens
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/10Fittings or systems for preventing or indicating unauthorised use or theft of vehicles actuating a signalling device
    • B60R25/102Fittings or systems for preventing or indicating unauthorised use or theft of vehicles actuating a signalling device a signal being sent to a remote location, e.g. a radio signal being transmitted to a police station, a security company or the owner
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • B60W50/045Monitoring control system parameters
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0295Inhibiting action of specific actuators or systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2556/00Input parameters relating to data
    • B60W2556/45External transmission of data to or from the vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Automation & Control Theory (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Transportation (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Virology (AREA)
  • Medical Informatics (AREA)
  • Traffic Control Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

信息处理装置具备:意外事件信息取得部(11),其取得与在车辆中发生的意外事件的实际结果有关的意外事件信息;车辆信息取得部(12),其取得与第一车辆的状态有关的第一车辆信息;积存部(13),其积存意外事件信息和第一车辆信息;风险判定部(14),其基于所积存的意外事件信息与第一车辆信息的一致度,判定第一车辆的车辆功能的风险等级;风险对策指示生成部(16),其在风险等级高于第一基准的情况下,生成对于车辆功能的功能限制指示;以及指示输出部(17),其输出功能限制指示。

Description

信息处理装置、信息处理方法以及记录介质
技术领域
本发明涉及处理车辆中利用的信息的信息处理装置。
背景技术
在高性能化不断发展的汽车领域,在车载网络系统内,另外在车载网络与外部的信息设备、交通基础或者其他车辆等的系统之间,会交换很多信息。而且,对处理所交换的信息的车载网络系统的脆弱性(漏洞)进行攻击的网络攻击(cyber attack)的威胁日益明显。
提出了提高通过信息处理实现的高性能汽车的安全性的技术(例如参照专利文献1)。
现有技术文献
专利文献1:日本特开2014-146868号公报
发明内容
发明所要解决的问题
然而,专利文献1所公开的对抗手段是一种检测并应对攻击者已经入侵车载网络后通过发送异常报文等而发生的攻击的手段。也即是说,在到该应对完成为止的时间内,车辆会受到攻击的影响。另外,在受到对于作为攻击对象的车辆单体来说未知的模式的攻击的情况下,在检测到异常或者异常停止之前需要花费时间,进而损害可能会严重化。
本发明提供即使是对于车辆单体来说未知的手法的攻击也能抑制向车载网络的入侵而防止网络攻击的发生及损害的严重化的信息处理装置等。
用于解决问题的技术方案
本发明一个技术方案涉及的信息处理装置具备:意外事件(incident)信息取得部,其取得与在车辆中发生的网络攻击的意外事件有关的意外事件信息;车辆信息取得部,其取得与第一车辆的状态有关的第一车辆信息;积存(储备、存储)部,其积存所述意外事件信息和所述第一车辆信息;风险判定部,其基于积存于所述积存部的所述意外事件信息与所述第一车辆信息的一致度,判定所述第一车辆所具有的车辆功能的风险等级(risklevel);风险对策指示生成部,其在所述风险等级高于第一基准的情况下,生成对于所述车辆功能的功能限制指示;以及指示输出部,其输出所述功能限制指示。
另外,本发明一个技术方案涉及的信息处理方法,在所述信息处理方法中,信息处理装置,取得与在车辆中发生的网络攻击的意外事件有关的意外事件信息;取得与第一车辆的状态有关的第一车辆信息;基于所述意外事件信息与所述第一车辆信息的一致度,判定所述第一车辆所具有的车辆功能的风险等级;在所述风险等级高于第一基准的情况下,生成对于所述车辆功能的功能限制指示,并输出所述功能限制指示。
另外,本发明一个技术方案涉及的记录介质是存储有程序(program)的计算机可读取的记录介质,在具备处理器和存储器的信息处理装置中,通过由所述处理器使用所述存储器执行所述程序,使所述处理器,取得与在车辆中发生的网络攻击的意外事件有关的意外事件信息;取得与第一车辆的状态有关的第一车辆信息;基于所述意外事件信息与所述第一车辆信息的一致度判定所述第一车辆所具有的车辆功能的风险等级;在所述风险等级高于第一基准的情况下,生成对于所述车辆功能的功能限制指示,并输出所述功能限制指示。
此外,这些总括性的或者具体的技术方案既可以通过系统、集成电路或者计算机可读取的CD-ROM等记录介质来实现,也可以通过装置、系统、方法、集成电路、计算机程序和记录介质的任意组合来实现。
发明效果
本发明提供即使是对于车辆单体来说未知的手法的攻击也能抑制向车载网络的入侵并且防止网络攻击的发生或损害的严重化的信息处理装置等。
附图说明
图1是表示包括实施方式1涉及的信息处理装置的安全风险(security risk)对策系统的构成例的概要的图。
图2是表示实施方式1中的意外事件信息的数据结构例的图。
图3是表示作为由上述安全风险对策系统实施的安全风险对策的应用对象的车辆所具备的车载网络的构成例的图。
图4是表示上述安全风险对策系统所包含的安全风险对策服务器的构成例的图。
图5是表示上述安全风险对策服务器中执行的安全风险对策的处理的过程(流程)示例的流程图。
图6是表示上述安全风险对策的处理中的、包括意外事件信息收集服务器与安全风险对策服务器的协作(协同工作)的过程的时序图。
图7A是上述安全风险对策的处理中所使用的风险点数表(risk point table)的一例。
图7B是上述安全风险对策的处理中所使用的风险点数表的一例。
图7C是上述安全风险对策的处理中所使用的风险点数表的一例。
图7D是上述安全风险对策的处理中所使用的风险点数表的一例。
图7E是上述安全风险对策的处理中所使用的风险点数表的一例。
图7F是上述安全风险对策的处理中所使用的风险点数表的一例。
图7G是上述安全风险对策的处理中所使用的风险点数表的一例。
图8是表示上述风险点数表的更新处理的过程示例的流程图。
图9是表示上述安全风险对策的处理中的、包括第一车辆与安全风险对策服务器的协作的过程的时序图。
图10是表示实施方式1中的车辆信息的数据结构例的图。
图11是表示实施方式1中的车辆信息的数据结构例的图。
图12是表示实施方式1中的风险等级管理列表(list)的数据结构例的图。
图13是表示上述风险等级管理列表中包含的风险得分(score)的计算处理的过程示例的流程图。
图14A是表示上述安全风险对策的处理中的、第一车辆的车载设备的风险点数的计算处理的过程示例的流程图。
图14B是表示上述安全风险对策的处理中的、第一车辆的行驶位置的风险点数的计算处理的过程示例的流程图。
图14C是表示上述安全风险对策的处理中的、第一车辆的车种(车型、种类)的风险点数的计算处理的过程示例的流程图。
图14D是表示上述安全风险对策的处理中的、第一车辆的通信协议的风险点数的计算处理的过程示例的流程图。
图14E是表示上述安全风险对策的处理中的、第一车辆的搭载功能的风险点数的计算处理的过程示例的流程图。
图14F是表示上述安全风险对策的处理中的、第一车辆的行驶状态的风险点数的计算处理的过程示例的流程图。
图15是表示使用上述风险等级管理列表中包含的风险得分的风险控制处理的过程示例的流程图。
图16A是表示上述安全风险对策的处理中的、包括第一车辆与安全风险对策服务器的协作的过程的时序图。
图16B是表示上述安全风险对策的处理中的、包括第一车辆与安全风险对策服务器的协作的过程的时序图。
图17是表示使用上述风险等级管理列表中包含的风险得分的风险控制处理的过程示例的流程图。
图18A是表示使用上述风险等级管理列表中包含的风险得分的风险控制处理的过程示例的流程图。
图18B是表示使用上述风险等级管理列表中包含的风险得分的风险控制处理的过程示例的流程图。
图18C是表示使用上述风险等级管理列表中包含的风险得分的风险控制处理的过程示例的流程图。
图19是表示包括实施方式2涉及的信息处理装置的安全风险对策系统的构成例的概要的图。
图20是表示由实施方式2涉及的信息处理装置所实现的安全风险对策服务器中执行的安全风险对策的处理的过程示例的流程图。
图21是表示上述安全风险对策的处理中的、包括第二车辆与安全风险对策服务器的协作以及第一车辆与安全风险对策服务器的协作的过程的时序图。
图22是表示使用第二车辆的风险得分的第一车辆的风险控制处理的过程示例的流程图。
图23是表示使用第二车辆的风险得分的第一车辆的风险控制处理的过程示例的流程图。
图24A是表示使用第一车辆与第二车辆之间的距离的第一车辆的风险控制处理的过程示例的流程图。
图24B是表示使用第一车辆与第二车辆之间的距离的第一车辆的风险控制处理的过程示例的流程图。
图25是表示与第二车辆的意外事件历史记录相应的安全对策的处理的过程示例的流程图。
图26是表示执行实施方式中的安全风险对策的车载信息处理装置的构成例的图。
具体实施方式
(成为本发明的基础的见解)
关于在“背景技术”中记载的对抗网络攻击的手法,本发明人发现,由于是检测到异常后的应对,因此会产生如上所述的问题。
在信息技术(IT:Information Technology)领域,为了使得对于新手法的网络攻击也能够在控制成本的同时进行迅速的应对,已开始构建将积存的威胁信息进行共享的构造。对于信息化得到发展的汽车,作为安全对策而导入同样的构造也是一种方案。然而,关于汽车,在车辆之间存在状态差异,各车辆的状态也并非恒定。因而,对于威胁的风险等级以及所需的应对处理会因车辆而异,在各车辆中也可能发生变化。因此,如果只是单纯地构建能够收集来自各车辆的信息以及向各车辆提供与安全性有关的信息的构造,也可能会妨碍汽车的信息安全与由利用信息带来的便利性的并存。
为了解决这种问题,本发明一个技术方案涉及的信息处理装置具备:意外事件信息取得部,其取得与在车辆中发生的网络攻击的意外事件有关的意外事件信息;车辆信息取得部,其取得与第一车辆的状态有关的第一车辆信息;积存部,其积存所述意外事件信息和所述第一车辆信息;风险判定部,其基于积存于所述积存部的所述意外事件信息与所述第一车辆信息的一致度,判定所述第一车辆所具有的车辆功能的风险等级;风险对策指示生成部,其在所述风险等级高于第一基准的情况下,生成对于所述车辆功能的功能限制指示;以及指示输出部,其输出所述功能限制指示。
由此,基于与许多车辆中的网络攻击的意外事件有关的信息,判定与状态相应的第一车辆的风险等级。在该判定的结果获得的风险等级高于预定基准的情况下,通过限制第一车辆的功能从而能够抑制攻击的发生或者抑制由攻击带来的不良影响的扩大。
例如也可以,所述风险对策指示生成部在所述风险等级高于第二基准的情况下,生成对于所述车辆功能的功能无效化指示作为所述功能限制指示,所述第二基准高于所述第一基准。另外,例如也可以,具备功能限制解除指示生成部,所述功能限制解除指示生成部在所述风险等级低于所述第一基准的情况下,生成对于所述车辆功能的功能限制解除指示,所述指示输出部输出所述功能限制解除指示。
如此,通过根据风险等级的高低改变功能限制的程度,能够实现车辆中的信息利用的安全性与便利性的并存。
例如也可以,在所述第一车辆信息所表示的所述第一车辆的行驶状态变化了的情况下,所述风险判定部重新判定所述车辆功能的风险等级。作为具体的例子,也可以,在所述第一车辆的行驶状态从行驶中状态变化为停止状态的情况下,所述功能限制解除指示生成部生成解除对于所述车辆功能中的通信关联(相关)功能的功能限制的所述功能限制解除指示。
由此,根据因车辆的行驶状态而变化的风险等级的高低或者所需的应对处理,应用适当的功能限制。
例如也可以,在所述第一车辆信息所表示的所述第一车辆的行驶位置发生了预定变化的情况下,所述风险判定部重新判定所述车辆功能的风险等级。
网络攻击威胁的大小也可能根据地点变化。通过该构成,根据车辆的发生变化的风险等级的高低或者所需的应对处理,应用适当的功能限制。
例如也可以,所述车辆信息取得部取得与第二车辆的状态有关的第二车辆信息,所述风险判定部基于所述意外事件信息与所述第二车辆信息的一致度,判定所述第二车辆的车辆功能的风险等级,在所述第二车辆的车辆功能的风险等级高于第三基准的情况下,所述风险对策指示生成部生成对于与所述第二车辆的车辆功能对应的所述第一车辆的车辆功能的功能限制指示。
例如当在自身车辆(本车辆)附近行驶的车辆由于对于网络攻击的风险高而可能构成威胁的情况下,若该在附近行驶的车辆因被攻击而进行不正常行驶,则存在与自身车辆碰撞的可能性。另外,与该在附近行驶的车辆进行信息授受(给予及接受)的自身车辆的对于网络攻击的风险也会增高。例如可能被提供不正常的虚假信息,或被发送嵌入了不正常的代码的报文。通过上述构成,根据在附近行驶的车辆的发生变化的风险等级的高低或者所需的应对处理,对自身车辆应用适当等级的功能限制。此外,车辆间的距离例如既可以根据从各车辆的GPS(Global Positioning System,全球定位系统)得到的位置信息来计算,也可以利用车辆间通信的延迟时间、由雷达等测定的距离等任意方法来计算。另外,第三基准既可以是和与第一车辆的风险等级相比较的第一基准或者第二基准相同的基准,也可以是其他基准。
例如也可以,在所述第二车辆行驶于从所述第一车辆的行驶位置相距预定距离以下的位置、并且与所述第二车辆的车辆功能对应的所述第一车辆的车辆功能由于所述风险对策指示生成部生成的所述功能限制指示而受到限制的情况下,当所述第二车辆的位置变为从所述第一车辆的行驶位置相距比所述预定距离远时,所述功能限制解除指示生成部生成对于所述第一车辆的车辆功能的功能限制解除指示。
也即是说,车辆是移动体,即使是一时位于附近且对于网络攻击的风险等级高的、如果为通信对方则可能构成威胁的车辆,只要远离到不能成为通信对方的距离,也就不再是威胁。因此,不再与该对方进行信息授受的车辆的风险等级降低,因而不需要严格的功能限制。通过上述构成,在第一车辆中,根据变化的风险的高低或者所需的应对处理,应用适当等级的功能限制。另外,能够实现在第一车辆中的信息利用的安全性与便利性的并存。
例如也可以,在由所述风险判定部对所述车辆功能的风险等级进行的判定中,所述第一车辆信息的风险等级在与所积存的所述意外事件信息中的较新的意外事件信息一致的情况下,被判定得比在与所积存的所述意外事件信息中的较旧的意外事件信息一致的情况下高。另外,例如也可以,在由所述风险判定部对所述车辆功能的风险等级进行的判定中,所述第一车辆信息的风险等级在与所积存的所述意外事件信息中的、在最近的预定期间内发生了大于等于预定件数的意外事件信息一致的情况下,被判定得比在与所积存的所述意外事件信息中的、在所述预定期间内发生了小于预定件数的意外事件信息一致的情况下高。
如此,通过进行重视较新的意外事件信息的判定,也能够适当地应对已经实施对策的意外事件或者最近不断增加的攻击所引起的意外事件。
另外,本发明一个技术方案涉及的信息处理方法,在所述信息处理方法中,信息处理装置,取得与在车辆中发生的网络攻击的意外事件有关的意外事件信息;取得与第一车辆的状态有关的第一车辆信息;基于所述意外事件信息与所述第一车辆信息的一致度,判定所述第一车辆所具有的车辆功能的风险等级;在所述风险等级高于第一基准的情况下,生成对于所述车辆功能的功能限制指示,并输出所述功能限制指示。另外,本发明一个技术方案涉及的记录介质是存储有程序的计算机可读取的记录介质,在具备处理器和存储器的信息处理装置中,通过由所述处理器使用所述存储器执行所述程序,使所述处理器,取得与在车辆中发生的网络攻击的意外事件有关的意外事件信息;取得与第一车辆的状态有关的第一车辆信息;基于所述意外事件信息与所述第一车辆信息的一致度判定所述第一车辆所具有的车辆功能的风险等级;在所述风险等级高于第一基准的情况下,生成对于所述车辆功能的功能限制指示,并输出所述功能限制指示。
通过这些方法或者记录介质,基于与许多车辆中的网络攻击的意外事件有关的信息,判定与车辆的状态相应的第一车辆的风险等级。另外,在判定的结果获得的风险等级高于预定基准的情况下,通过限制第一车辆的功能从而能够抑制攻击的发生或者抑制由攻击带来的不良影响的扩大。
此外,这些总括性的或者具体的技术方案既可以通过系统、集成电路或者计算机可读取的CD-ROM等记录介质来实现,也可以通过装置、系统、方法、集成电路、计算机程序和记录介质的任意组合来实现。
以下,参照附图,对实施方式进行具体说明。
此外,以下说明的实施方式均表示总括性的或者具体的例子。以下的实施方式中所示的数值、形状、材料、构成要素、构成要素的配置位置以及连接形态、步骤、步骤的顺序以及功能性的构成要素间的功能分担等是一例,并非旨在限定本发明。另外,对于以下的实施方式中的构成要素中的、没有记载在独立权利要求中的构成要素,作为任意的构成要素来说明。
(实施方式1)
在包括实施方式1涉及的信息处理装置的安全风险对策系统中,使用与以许多车辆为对象所收集的网络攻击的意外事件有关的信息(以下,也称为意外事件信息)、和与车辆的当前状态有关的信息(以下,也称为车辆信息),判定该车辆所具有的功能(以下,也称为车辆功能)的受到网络攻击的可能性(风险等级)。本实施方式中的车辆功能分为通信关联功能和行驶关联功能。通信关联功能例如是CAN通信、Wi-Fi(注册商标)通信、蓝牙(Bluetooth)(注册商标)通信、LTE通信的功能。通过这些通信关联功能,在车辆所具备的各种设备间、车辆与乘员持有的设备之间或者车辆与位于车辆外部的设备之间进行信息交换。行驶关联功能例如是自动驾驶、各种驾驶辅助的功能。对于具备这种功能的车辆而言,网络攻击是导致异常动作的威胁。作为对该威胁的对策,在安全风险对策系统1中,在车辆功能的风险等级高于预定基准的情况下,限制该车辆功能。通过限制车辆功能,例如由网络攻击引起的不正常数据的向车载网络的入侵得以抑制。另外,即使不正常数据流通于车载网络,由该数据引起的异常动作的发生也得以抑制。
[1.构成]
图1是表示包括本实施方式涉及的信息处理装置的安全风险对策系统1的构成例的概要的图。
在图1所示的构成例中,安全风险对策服务器10、车辆20和意外事件信息收集服务器30经由互联网等通信网络连接而能够相互进行信息的授受。
[1.1意外事件信息收集服务器]
意外事件信息收集服务器30例如是车辆厂家设置的SOC(Security OperationCenter,安全运营中心)的服务器,由一台或多台包括处理器以及存储器的信息处理装置构成。在意外事件信息收集服务器30中,作为意外事件信息,积存有与在各车辆中实际发生的网络攻击有关的意外事件的历史记录。图2是表示本实施方式1中的意外事件信息的数据结构例的图。在图2所示的数据结构例中,意外事件信息所包含的项目如下。
意外事件ID:用于识别意外事件的字符串
发生日期时刻:意外事件的发生日期时刻
发生地域:包括意外事件发生地点在内的地域
车种:发生意外事件的车辆的车种
风险部件:在意外事件中成为攻击目标的部件。在本例中,部件由型号确定。
风险功能:在意外事件中受到影响的车辆功能
入侵路径:用于不正常访问车载网络的、或者设置有不正常设备的车载网络上的位置
威胁度:关于意外事件的影响大小的根据与安全有关的预定基准的评价。例如,仅入侵而对车内设备的动作没有影响的,威胁度为低。影响加减速、转向或者驾驶员或传感器对周边状况的识别的,威胁度为高。其他的,威胁度为中。
上面列举的项目仅为例子,所有这些项目在本发明中不是必须的,另外,意外事件信息中也可以包含与上述以外的信息有关的项目。例如也可以包含风险部件的制造商或者软件版本、发生意外事件时的车辆的行驶状态(行驶中或停止)、用于识别发生意外事件的车辆的信息等。
这样的意外事件信息是以许多车辆为对象所收集到的,也可以说是大规模的数据资产。而且,意外事件信息的至少一部分根据需要而提供给安全风险对策服务器10。从意外事件信息收集服务器30向安全风险对策服务器10对意外事件信息的提供例如通过虚拟专用线(图1的虚线)进行,但不限定于此。
此外,意外事件信息收集服务器30也可以为多个,例如也可以从车辆厂家各公司的SOC的意外事件信息收集服务器向安全风险对策服务器10提供意外事件信息。为了易于由这样的多个主体共享,例如也可以以遵照与威胁信息有关的国际标准即STIX(Structured Threat Information Expression)的形式记述意外事件信息。
[1.2车辆]
车辆20是由安全风险对策系统1实施的目前的安全风险对策的执行对象的车辆。在本公开中,为了将目前的安全风险对策的执行对象的车辆与全体车辆或者特定的其他车辆进行区分指定,也将其称为第一车辆。
车辆20具备车载网络200。图3是表示车载网络200的构成例的图。
车载网络200上连接有许多ECU。图3所示的车载网络200中包括基于CAN(Controller Area Network,控制器局域网)、Ethernet(以太网)(注册商标)、FlexRay(注册商标)这样的不同的通信协议的多个子网络,ECU连接于这些子网络中的任一个。在这些ECU中,例如包括与未图示的传感器连接而收集表示车辆内或车辆周边的状况的数据的ECU、或者与致动器连接并发送控制信号以使车辆上的装置动作的ECU。作为又一例,也可以包括进行监视流通于网络的数据等与安全有关的信息处理的ECU。上述的车辆功能通过这些ECU中的任一个、或者多个ECU间的伴随数据交换的协作来实现。通信协议不同的子网络彼此间经由网关220连接。网关220进行在子网络间交换的数据的在通信协议间的变换。
另外,在该构成例中,车载网络200上连接有IVI(In-Vehicle Infotainment,车载信息娱乐)系统230。
各ECU及IVI系统230经由网关220和具有作为通信模块的功能的外部通信装置240与外部的通信网络连接。向上述的SOC提供的与意外事件的发生有关的信息以及向安全风险对策服务器10提供的车辆信息也从这些ECU中的任一个经由该路径进行发送。关于车辆信息,稍后列举具体例子进行说明。
[1.3安全风险对策服务器]
安全风险对策服务器10使用从意外事件信息收集服务器30取得的意外事件信息和从车辆20取得的车辆信息,判定车辆20所具有的车辆功能的关于网络攻击的风险等级。另外,安全风险对策服务器10在判定出的风险等级高于预定基准的情况下,发出限制车辆20的车辆功能的指示(以下,也称为功能限制指示),并将该指示经由通信网络发送给车辆20。安全风险对策服务器10由一台或多台包括处理器以及存储器的信息处理装置构成。
图4是表示安全风险对策服务器10的构成例的图。
安全风险对策服务器10的构成要素包括意外事件信息取得部11、车辆信息取得部12、积存部13、风险判定部14、风险点数管理部15、风险对策指示生成部16、指示输出部17以及功能限制解除指示生成部18。
意外事件信息取得部11从意外事件信息收集服务器30接收并取得意外事件信息。
车辆信息取得部12接收并取得与车辆20的状态有关的信息即车辆信息。
积存部13积存上述的意外事件信息、车辆信息、以及在后述的风险等级判定中所使用的其他信息。图1中记载的风险等级管理列表以及风险点数表也包括在积存于积存部13的其他信息中,关于它们,稍后使用例子进行说明。
风险判定部14基于上述的意外事件信息与车辆20的车辆信息的一致度,判定车辆20所具有的各种车辆功能的风险等级。
风险点数管理部15基于意外事件信息进行风险点数信息的管理,风险点数信息是由风险判定部14进行的上述风险等级判定中所使用的信息的一种。
风险对策指示生成部16根据风险判定部14判定出的风险等级,生成与作为风险对策的对于车辆功能的限制(包括无效化的情况)有关的指示(以下,也称为风险对策指示)。
功能限制解除指示生成部18根据风险判定部14判定出的风险等级,生成解除对于车辆功能的限制的指示(以下,也称为功能限制解除指示)。
指示输出部17将功能限制指示以及功能限制解除指示发送给车辆20。
安全风险对策服务器10的这些构成要素也可以是在构成安全风险对策服务器10的信息处理装置中通过由处理器执行例如存储于存储器的一个或多个程序而实现的功能性的构成要素。在安全风险对策系统1中执行的用于安全风险对策的处理通过由安全风险对策服务器10的这些构成要素在发挥上述功能的同时进行协作来执行。
此外,意外事件信息收集服务器30与安全风险对策服务器10也可以是单独确立的存在。例如,意外事件信息收集服务器30与安全风险对策服务器10也可以是合并为一体的系统。另外,意外事件信息收集服务器30也可以是安全风险对策服务器10的一部分,例如意外事件信息收集服务器30可以作为积存部13而发挥功能。该情况下的意外事件信息取得部11的功能也可以是从积存部13取得在处理中使用的范围的意外事件信息。
[2.动作]
接着,对安全风险对策系统1中执行的安全风险对策的处理的动作进行说明。
图5是表示安全风险对策服务器10中执行的该处理的过程示例的流程图。以下,为便于说明,将该过程大体分为两个阶段进行说明。
一个是第一阶段:收集与许多车辆中的网络攻击的意外事件有关的意外事件信息,基于该意外事件信息评价关于车辆的各种状态的风险的高低,并作为风险点数进行管理(步骤S1以及步骤S2)。
另一个是第二阶段:取得表示作为安全风险对策的执行对象的第一车辆的状态的车辆信息,基于该车辆信息所表示的第一车辆的状态与意外事件信息所表示的车辆的状态的一致度,根据风险点数计算第一车辆的各车辆功能的风险等级,基于计算出的风险等级,判定是否执行车辆功能的限制或者限制的解除,并根据需要输出第一车辆的风险对策指示(步骤S3至步骤S7)。
[2.1第一阶段]
图6是表示包括意外事件信息收集服务器30与安全风险对策服务器10的协作的过程的时序图,与图5所示的处理过程示例的第一阶段有关。
在第一阶段,首先从意外事件信息收集服务器30向安全风险对策服务器10发送意外事件信息(步骤S3010)。意外事件信息是在图2中示出数据结构例的信息,省略再次的说明。意外事件信息的发送既可以按一定时间间隔进行,也可以以追加了预定数量的记录(record)或者威胁度高的意外事件的记录时等预定事件的发生为触发来进行。另外,也可以根据来自安全风险对策服务器10的请求进行发送。
在安全风险对策服务器10中,由意外事件信息取得部11接收到的意外事件信息暂时保存于积存部13(步骤S10)。到此为止相当于图5的流程图的步骤S1。接下来,在安全风险对策服务器10中,由风险点数管理部15基于该意外事件信息将风险点数表更新(步骤S20)。步骤S20相当于图5的流程图的步骤S2。
风险点数表是指,将车辆的各种状态的对于网络攻击的风险的评价值(风险点数)汇总得到的表,被保持于积存部13。风险点数基于意外事件信息所表示的意外事件的实际结果来决定,在取得新的意外事件信息时被更新。关于风险点数的更新处理,稍后使用例子进行说明。
图7A至图7G是本实施方式中的风险点数表的例子。
图7A所示的风险点数表与按作为车辆状态的车辆所搭载的设备、在本例中为ECU以IVI系统的各型号和各软件版本的风险点数有关。图7B所示的风险点数表与按作为车辆状态的车辆所搭载的设备的各制造商(厂家)的风险点数有关。图7C所示的风险点数表与按作为车辆状态的车辆正在行驶的各地域的风险点数有关。图7D所示的风险点数表与按作为车辆状态的车辆的各车种的风险点数有关。图7E所示的风险点数表与按作为车辆状态的车辆所搭载的车载网络中使用的各通信协议的风险点数有关。图7F所示的风险点数表与按作为车辆状态的所搭载的各车辆功能的风险点数有关。图7G所示的风险点数表与按作为车辆状态的在车辆中有效的每个车辆功能的各行驶状态的风险点数有关。行驶状态在本例中分为两个行驶速度域以及停止共计3个状态。
通过基于意外事件信息决定风险点数,例如反映出这些按各状态的对于网络攻击的脆弱性或者容易被攻击者瞄准的程度的现实的倾向。接着,使用流程图对包括这样的风险点数的决定在内的风险点数表的更新(或者制作)处理的过程进行说明。
图8是表示由风险点数管理部15进行的上述各风险点数表的更新处理的过程示例的流程图。该处理相当于图5的流程图的步骤S2以及图6的时序图的步骤S20。要适当参照图7A至图7G所示的风险点数表中的任一个以及图2所示的意外事件信息来理解以下的说明。
风险点数管理部15先将风险点数表内的点数初始化后(步骤S210),针对风险点数表中包含的表示状态种类的项目,依次执行以下说明的步骤S211至步骤S218(图8中的表项目循环(loop))。表示状态种类的项目在本实施方式的例子中被配置在各风险点数表的粗纵向格线的左边,在图7A的与搭载设备有关的风险点数表中为“ECU-a”以及“1.0.1”等。在图7D的与车种有关的风险点数表中为“X”和“Y”等。
在步骤S211中,风险点数管理部15判定意外事件信息的一条记录中是否包含与上述表示状态种类的项目对应的信息。在该记录包含对应的信息的情况下(步骤S211:是),将与该记录中的威胁度相应的预定值作为该项目的风险点数进行加运算(步骤S212)。作为与威胁度相应的预定值,对更高的威胁度确定更大的值。由此,对与给车辆的安全行驶带来更严重的影响的意外事件有关的项目赋予大值的风险点数。这种与威胁度相应的预定值例如也可以通过保持于积存部13的未图示的表来管理。
接着,风险点数管理部15判定从该记录所包含的发生日期时刻起是否已经经过了预定时间(步骤S213)。在已经经过了预定时间的情况下(步骤S213:是),从在步骤S212中加运算后的风险点数减去预定值(步骤S214)。这是基于以下情况进行的风险点数的调整,即,某种程度以上旧的威胁例如由车辆、ECU或者通信设备等的厂家实施对策的结果是,与发生时相比,威胁度很可能下降了。
此外,在表项目循环中,针对意外事件信息所包含的记录依次执行步骤S211至步骤S214(图8中的意外事件信息循环)。也即是说,例如对于表示状态种类的车种的项目“X”,将与车种字段中包含“X”的所有记录的威胁度相应的风险点数进行加运算,并根据该记录中的某种程度以上旧的记录的件数,从风险点数减去预定值。此外,对于在步骤S211中为“否”的记录省略步骤S212至S214,对于在步骤S213中为“否”的记录省略步骤S214。
接着,风险点数管理部15判定包含与项目对应的信息的记录的件数是否在预定的基准值n以上(步骤S215)。在该记录的件数在基准值n以上的情况下(步骤S215:是),风险点数管理部15对该项目的风险点数加上预定值(步骤S216)。这是基于以下情况进行的风险点数的调整,即,在与很多意外事件有关的状态下,很可能存在脆弱性等发生某些意外事件的主要原因。
接着,风险点数管理部15判定从当前回溯的预定期间内的、包含与项目对应的信息的记录的件数是否在预定的基准值m以上(步骤S217)。在该记录的件数在基准值m以上的情况下(步骤S217:是),风险点数管理部15对该项目的风险点数加上预定值(步骤S218)。这是基于以下情况进行的风险点数的调整,即,例如很可能存在与该项目有关的未知的脆弱性开始被攻击者当作攻击目标等、意外事件的某些倾向。
通过对风险点数表中包含的表示状态种类的全部项目执行到此为止的步骤,该风险点数表的更新完成。通过这样计算出的风险点数的大小反映对于网络攻击的车辆的各种状态的、基于由安全风险对策服务器10取得的最新的意外事件信息的风险的高低。
这样更新出的风险点数表用于在接下来的第二阶段中执行的第一车辆20的风险等级的判定。
[2.2第二阶段]
[2.2.1第一车辆的风险等级判定]
图9是表示包括第一车辆20与安全风险对策服务器10的协作的过程的时序图。另外,该时序图与图5所示的处理过程示例的第二阶段有关。
从第一车辆20向安全风险对策服务器10发送车辆信息(步骤S2030)。车辆信息是与第一车辆20的状态有关的信息,以下也称为第一车辆信息。图10和图11分别是表示该车辆信息的数据结构的一例的图。
图10的车辆信息包含关于第一车辆20所具备的设备、特别是与信息处理或者通信有关的设备的信息,以下也称为设备列表。这样的内容变更频率不高的车辆信息例如也可以在第一车辆20的各日的最初的启动时等日处理中、或者以在车载网络200上发生了设备构成的变更时等特定事件为触发而向安全风险对策服务器10发送。此处的设备构成的变更例如不仅包括设备的追加或删除,也包括软件的更新。另外,此处的关联功能是指,由各设备收发或者被进行其他处理的信息在第一车辆20中被利用的车辆功能。换句话说,是在各设备发生故障或受到网络攻击的情况下有可能受到不良影响的车辆功能。
图11的数据结构例是与第一车辆20的最近的各种状态有关的车辆信息的例子。图11的车辆信息中包含行驶位置以及行驶状态这样的变更频率高的信息,因此,例如也可以以数分钟以下的频率定期地、或者每当第一车辆20的状态发生变化时就随时向安全风险对策服务器10发送。
此外,图10和图11示出的车辆信息的例子中分别包含的信息的项目仅为一例,不限定于此。例如,也可以作为包含图10和图11示出的所有项目的一种车辆信息进行发送。另外,图11所示的项目中的车种、通信协议、搭载功能等变更频率比较低的项目也可以按与其他的变更频率高的项目不同的日程从第一车辆20向安全风险对策服务器10进行发送。另外,不论在哪个例子中,均可以并非每次都发送所有项目的信息。例如,也可以发送用于在安全风险对策服务器10中识别第一车辆20的车辆ID、和从上次发送时起有变更的项目的信息。另外,这些项目并非全部是必须的,或者也可以还包含其他项目。另外,也可以,各项目包含更详细的信息。例如行驶位置的项目不限定于由图11中的如市町村这样的地域表现的信息,也可以包含通过第一车辆20所具备的GPS接收机取得的经纬度的信息。
在安全风险对策服务器10中,由车辆信息取得部12接收到的车辆信息暂时保存于积存部13(步骤S30)。到此为止相当于图5的流程图的步骤S3。
接下来,在安全风险对策服务器10中,风险判定部14使用风险点数表以及车辆信息判定风险等级,并制作风险等级管理列表(包括进行更新的情况)(步骤S40)。步骤S40相当于图5的流程图的步骤S4。关于接下来的第二阶段,稍后进行说明。
风险等级管理列表是按第一车辆20所具有的各车辆功能所判定的对于网络攻击的风险等级(风险的高低)的列表,被保持于积存部13。在图12所示的例子中,风险等级由使用上述的基于意外事件信息的风险点数表和车辆信息计算出的风险得分表示。以下,使用例子对该风险等级管理列表以及风险等级的计算处理进行说明。
图12是表示本实施方式中的风险等级管理列表的数据结构例的图。
左端一栏表示第一车辆20所具有的车辆功能的名称。其右边一栏表示各车辆功能的种类。再向右边一栏是各车辆功能在安全风险对策系统1中被限制的情况下的该限制的详细内容。另外,再向右边一栏是各车辆功能在安全风险对策系统1中被无效化的情况下的详细内容。到此为止的各栏的内容基本上不变。但是,如果第一车辆20的车辆功能有增减,则将与该车辆功能有关的行追加到列表中或者从列表中删除。另外,在安全风险对策系统1中与第一车辆20的车辆功能的限制或者无效化有关的运用规则变更了的情况下,各栏的内容可能变更。
由风险判定部14判定出的各车辆功能的风险等级在本例中由输入到右端一栏的风险得分表示。接着,使用流程图对输入到该栏的风险得分的计算处理的过程进行说明。
图13是表示由风险判定部14进行的风险得分的计算处理的过程示例的流程图。该处理相当于图5的流程图的步骤S4以及图9的时序图的步骤S40。要适当参照图7A至图7G所示的风险点数表、图10和图11的车辆信息以及图12所示的风险等级管理列表来理解以下的说明。另外,在以下的说明中,使用取得了图11所示的车辆信息的安全风险对策服务器10的风险判定部14计算关于该车辆信息的行驶状态一栏中的“自动驾驶”的车辆功能的风险得分的情况为例。
风险判定部14先将风险等级管理列表内的风险得分初始化(步骤S410)。接下来,风险判定部14加载了保存于积存部13的车辆信息即图10的设备列表时(步骤S411),针对设备列表中列出了型号的设备依次执行步骤S412至步骤S414(图13中的设备循环)。
在步骤S412中,风险判定部14判定车辆功能是否与设备关联。该判定基于图10所示的设备列表的关联功能的信息来进行。在计算关于车辆功能“自动驾驶”的风险得分的本例中,在对于型号“ECU-a”的步骤S412中,判定为车辆功能与该设备关联(步骤S412:是)。
在步骤S412中为“是”的情况下,风险判定部14计算该设备的风险点数(步骤S413)。图14A是第一车辆20所具备的各设备的风险点数的计算处理的过程示例。
风险判定部14先将第一车辆20所具备的设备的风险点数初始化后,从设备列表中读出作为风险点数的计算对象的设备的型号以及该设备的软件版本(步骤S4130、S4131、S4132)。
接着,风险判定部14参照图7A所示的设备的风险点数表,读取与分别在步骤S4131和S4132中读出的型号以及软件版本对应的风险点数(步骤S4133)。在本例中读出了位于图10所示的设备列表的开头的型号“ECU-a”以及软件版本“1.0.2”的风险判定部14从图7A的风险点数表中读取风险点数“2”。将在步骤S4133中读取到的风险点数加算于该设备的风险点数(步骤S4134)。
接着,风险判定部14读出该设备的制造商(步骤S4135),并参照图7B所示的设备的制造商的风险点数表,读取与所读出的制造商对应的风险点数(步骤S4136)。在本例中读出了位于图10所示的设备列表的开头的制造商“A公司”的风险判定部14在步骤S4136中从风险点数表中读取风险点数“1”。将在步骤S4136中读取到的风险点数加算于该设备的风险点数(步骤S4137)。也即是说在本例中,步骤S4137之后的该设备的风险点数为2+1=3。风险判定部14将该风险点数作为该设备的风险点数进行输出(步骤S4138),并结束关于该设备的风险点数的计算。
在步骤S4138中输出的风险点数被加算于当前的风险得分的计算对象的车辆功能、即在本例中为“自动驾驶”的风险得分(步骤S414)。在步骤S414执行后、或者在步骤S412中为“否”的情况下,风险判定部14的处理回到图13的流程图的步骤S412,移至对车辆功能“自动驾驶”是否与图10的设备列表中的下一设备关联的判定。之后,风险判定部14对设备列表中包含的所有设备执行设备循环。
通过这样计算出的第一车辆20所具备的设备的风险点数的大小反映出基于也包括第一车辆20以外的车辆中发生的意外事件的网络攻击的意外事件信息的车载设备的风险高低。
从步骤S415开始,风险判定部14使用图11所示的车辆信息,针对设备以外的第一车辆20的状态,判定对于网络攻击的风险的大小。
在步骤S415中,计算表示关于作为第一车辆20的状态的行驶位置的风险大小的风险点数。图14B是第一车辆20的行驶位置的风险点数的计算处理的过程示例。
风险判定部14先将行驶位置的风险点数初始化后,从图11的车辆信息中读出作为风险点数的计算对象的第一车辆20的行驶位置(步骤S4150、S4151)。
接着,风险判定部14参照图7C所示的行驶位置的风险点数表,读取与在步骤S4151中读出的行驶位置对应的风险点数(步骤S4152)。在本例中读出了图11所示的车辆信息中的行驶位置“东京都○○区”的风险判定部14从图7C的风险点数表中读取风险点数“2”。将在步骤S4152中读取到的风险点数加算于在步骤S4150中初始化了的行驶位置的风险点数,并输出(步骤S4153、S4154)。至此,关于行驶位置的风险点数的计算结束。
在步骤S4154中输出的风险点数被加算于当前的风险得分的计算对象的车辆功能、即在本例中为步骤S414后的“自动驾驶”的风险得分(步骤S416)。
在接下来的步骤S417中,计算表示关于作为第一车辆20的状态的车种的风险大小的风险点数。图14C是第一车辆20的车种的风险点数的计算处理的过程示例。
风险判定部14先将车种的风险点数初始化后,从图11的车辆信息中读出作为风险点数的计算对象的第一车辆20的车种(步骤S4170、S4171)。
接着,风险判定部14参照图7D所示的车种的风险点数表,读取与在步骤S4171中读出的车种对应的风险点数(步骤S4172)。在本例中读出了图11所示的车辆信息中的车种“X”的风险判定部14从图7D的风险点数表中读取风险点数“1”。将在步骤S4172中读取到的风险点数加算于在步骤S4170中初始化了的车种的风险点数,并输出(步骤S4173、S4174)。至此,关于车种的风险点数的计算结束。
在步骤S4174中输出的风险点数被加算于当前的风险得分的计算对象的车辆功能、即在本例中为步骤S416后的“自动驾驶”的风险得分(步骤S418)。
在接下来的步骤S419中,计算表示关于作为第一车辆20的状态的所使用的通信协议的风险大小的风险点数。图14D是第一车辆20中所使用的通信协议的风险点数的计算处理的过程示例。
风险判定部14先将通信协议的风险点数初始化后,从图11的车辆信息中读出作为风险点数的计算对象的第一车辆20中所使用的通信协议(步骤S4190、S4191)。
接着,风险判定部14参照图7E所示的入侵路径的风险点数表,读取与在步骤S4191中读出的通信协议对应的风险点数(步骤S4192)。在本例中读出了图11所示的车辆信息中的通信协议“CAN”、“FlexRay”以及“MOST”的风险判定部14从图7E的风险点数表中读取与各通信协议相关联的风险点数“8”、“1”、“2”。将在步骤S4192中读取到的风险点数加算于在步骤S4170中初始化了的通信协议的风险点数,并输出(步骤S4193、S4194)。至此,关于通信协议的风险点数的计算结束。
在步骤S4194中输出的风险点数被加算于当前的风险得分的计算对象的车辆功能、即在本例中为步骤S418后的“自动驾驶”的风险得分(步骤S420)。
在接下来的步骤S421中,计算表示关于作为第一车辆20的状态的所搭载的车辆功能(在各图中记作搭载功能)的风险大小的风险点数。图14E是第一车辆20搭载的车辆功能的风险点数的计算处理的过程示例。
风险判定部14先将所搭载的车辆功能的风险点数初始化后,从图11的车辆信息中读出作为风险点数的计算对象的第一车辆20所搭载的车辆功能(步骤S4210、S4211)。
接着,风险判定部14参照图7F所示的所搭载的车辆功能的风险点数表,读取与在步骤S4211中读出的所搭载的车辆功能对应的风险点数(步骤S4212)。在本例中读出了图11所示的车辆信息中的所搭载的车辆功能“驾驶辅助”、“自动驾驶”以及“Wi-Fi”的风险判定部14从图7F的风险点数表中读取与各功能名相关联的风险点数“20”、“5”、“10”。将在步骤S4212中读取到的风险点数加算于在步骤S4210中初始化了的所搭载的车辆功能的风险点数,并输出(步骤S4213、S4214)。至此,关于所搭载的车辆功能的风险点数的计算结束。
在步骤S4214中输出的风险点数被加算于当前的风险得分的计算对象的车辆功能、即在本例中为步骤S420后的“自动驾驶”的风险得分(步骤S422)。
在接下来的步骤S423中,计算表示关于作为第一车辆20的状态的行驶状态的风险大小的风险点数。图14F是第一车辆20的行驶状态的风险点数的计算处理的过程示例。
风险判定部14先将行驶状态的风险点数初始化后,从图11的车辆信息中读出作为风险点数的计算对象的第一车辆20的行驶状态(步骤S4230、S4231)。
接着,风险判定部14参照图7G所示的行驶状态的风险点数表,读取与在步骤S4231中读出的行驶状态对应的风险点数(步骤S4232)。在本例中读出了图11所示的车辆信息中的行驶状态“自动驾驶”以及“停止”的风险判定部14从图7G的风险点数表中读取功能名“自动驾驶”下的与“停止”相关联的风险点数“3”。将在步骤S4232中读取到的风险点数加算于在步骤S4230中初始化了的行驶状态的风险点数,并输出(步骤S4233、S4234)。至此,关于行驶状态的风险点数的计算结束。
在步骤S4234中输出的风险点数被加算于当前的风险得分的计算对象的车辆功能、即在本例中为步骤S422后的“自动驾驶”的风险得分(步骤S424)。
在到此为止的过程中,计算出关于与第一车辆20的状态有关的各种项目(与自动驾驶关联的设备、行驶位置、车种、通信协议、搭载功能、行驶状态)的风险点数,并计算其合计作为自动驾驶的风险得分。风险判定部14将这样计算出的风险得分暂时写入到图12所示的风险等级管理列表中的自动驾驶的风险得分一栏(步骤S425)。由此制作风险等级管理列表。
如此,安全风险对策服务器10取得从包括除作为目前的安全风险对策的执行对象的第一车辆以外的车辆在内的许多车辆收集到的、表示其发生时的各车辆的状态和实际发生的网络攻击的威胁度的意外事件信息。然后基于该意外事件信息,根据发生件数、发生时期、威胁度等将按网络攻击发生时的车辆的各种状态的风险点数数值化并取得。
再者,在安全风险对策服务器10中,累计关于从第一车辆取得的车辆信息所表示的该车辆的状态中的、与上述的意外事件信息所表示的网络攻击发生时的车辆的状态一致的状态的风险点数,并作为风险得分算出。也即是说,车辆信息所表示的第一车辆的状态与意外事件信息所表示的状态的一致度越高,则风险得分越高。另外,如果第一车辆的状态与更近期的、更高频率的或者威胁度更高的网络攻击发生时的车辆的状态一致,则风险得分变得更高。
这样的风险得分表示处于车辆信息所示的状态的第一车辆受到网络攻击的可能性的高低(风险等级)。另外,在风险点数的数值化中,使用由安全风险对策服务器10取得的最新的意外事件信息,例如能够反映未在第一车辆中发生的网络攻击的事例或者进而也反映其倾向。因此,对于车辆单体来说,是不仅对于已知的网络攻击而且也对于未知的攻击表示风险等级的得分。
接着,对使用这样的风险得分的在第一车辆中的风险控制的处理进行说明。
[2.2.2与风险等级相应的风险控制(到功能限制为止)]
图15是表示在安全风险对策服务器10中执行的、使用风险等级管理列表中包含的风险得分的风险控制处理的过程示例的流程图,与图5所示的处理过程示例的第二阶段的一部分有关。
首先,由风险判定部14读取风险等级管理列表中包含的、关于当前有效的车辆功能的风险得分(步骤S500)。该步骤相当于图5的流程图的步骤S5以及图9的时序图的步骤S50。
在以下的步骤中,使用该风险得分和与风险得分有关的两个阈值(第一阈值、第二阈值),判断是否执行该有效的车辆功能的限制(包括无效化)。第一阈值是表示用于判断是否限制车辆功能的风险等级的基准。第二阈值是比第一阈值大的风险得分的值,是表示用于判断是否使车辆功能无效的更高的风险等级的基准。第一阈值是本实施方式中的第一基准的例子,第二阈值是第二基准的例子。
风险判定部14判定在步骤S500中读取到的风险得分是否在第二阈值以上(步骤S600)。在风险得分小于第二阈值的情况下(步骤S600:否),风险判定部14进一步判定该风险得分是否在第一阈值以上(步骤S601)。步骤S600以及步骤S601相当于图5的流程图的步骤S6以及图9的时序图的步骤S60。
在风险得分小于第一阈值的情况下(步骤S601:否),车辆功能既不被限制也不被无效,风险控制的处理暂时结束。
在风险得分在第二阈值以上的情况下(步骤S600:是),风险判定部14使风险对策指示生成部16生成对于该车辆功能的无效化的指示(以下,也称为功能无效化指示)。风险对策指示生成部16在风险等级管理列表中按照风险控制对象的车辆功能的“无效化”栏的内容,生成功能无效化指示(步骤S610)。生成的功能无效化指示从指示输出部17输出(步骤S620),发送给第一车辆20。
在风险得分小于第二阈值且大于等于第一阈值的情况下(步骤S601:是),风险判定部14使风险对策指示生成部16生成对于该车辆功能的限制的指示(以下,也称为功能限制指示)。风险对策指示生成部16在风险等级管理列表中按照风险控制对象的车辆功能的“限制”栏的内容,生成功能限制指示(步骤S611)。
生成的功能限制指示从指示输出部17输出(步骤S620),发送给第一车辆20。步骤S610以及步骤S611相当于图9的时序图的步骤S61。另外,步骤S620相当于图9的时序图的步骤S62。
如此,通过在图15的流程图中示出过程示例的处理,执行与在第一阶段中计算出的风险得分、也即是说风险等级相应的车辆功能的限制。在有效的车辆功能的受到网络攻击的可能性高到某种程度以上的情况下,通过限制该车辆功能,即使攻击者入侵至车载网络、进行不正常数据的发送或者已进行了发送,也能够抑制不良影响的发生或者扩大。
[2.2.3与风险等级相应的风险控制(包括风险等级的重新判定)]
到此为止,对到根据第一车辆20的状态判定是否限制第一车辆20的车辆功能为止的处理过程进行了说明。以下,使用例子说明在第一车辆20的状态有变化的情况下对给予车辆功能的限制施加变化的处理过程。由此,能够实现对于第一车辆20的状态变化跟随性高的风险对策。
此外,如上所述,图11所示的车辆信息中的行驶位置以及行驶状态可能会比较频繁地变化。在行驶位置或者行驶状态变化了的情况下,在安全风险对策服务器10中也可以进行仅针对这些点的风险得分的修正(风险等级的重新判定)。由此,能够抑制安全风险对策服务器10的负荷增大以及风险等级判定执行周期的长期化,能够实现对于第一车辆20的状态变化跟随性高的风险对策。以下,使用行驶位置有变化的情况、和行驶状态有变化的情况的两个例子,说明对给予车辆功能的限制施加变化的处理过程。
图16A和图16B分别是表示包括第一车辆20与安全风险对策服务器10的协作的过程的时序图。另外,各时序图所示的是图9的时序图所示的过程的变形,共同的过程由相同的参考符号表示。以下,以各图所示的过程与图9所示的过程的差异为中心进行说明。
在图16A的过程中,与图9的时序图所示的过程的不同之处在于,从第一车辆20发送的是行驶位置变化通知,以代替图10和图11所示的第一车辆信息。行驶位置变化通知例如是在第一车辆20越过地域间的边界时向安全风险对策服务器10发送的表示新的当前的行驶位置的通知。此外,该通知也可以通过仅发送作为图11所示的车辆信息的一部分的、车辆ID以及行驶位置的项目来进行。在收到该通知的安全风险对策服务器10中,在将行驶位置变化通知保存于积存部13后(步骤S30A),风险判定部14在图13所示的流程图的过程中进行步骤S415、S416以及S425(步骤S40A),并继续执行第二阶段的处理。
在图16B的过程中,与图9的时序图所示的过程的不同之处在于,从第一车辆20发送的是行驶状态变化通知,以代替图10和图11所示的第一车辆信息。行驶状态变化通知例如是在第一车辆20的行驶状态从低速行驶转移为预定速度以上的高速行驶的情况下向安全风险对策服务器10发送的表示新的当前的行驶速度域的通知。此外,该通知也可以通过仅发送作为图11所示的车辆信息的一部分的、车辆ID以及行驶状态的项目来进行。在收到该通知的安全风险对策服务器10中,在将行驶状态变化通知保存于积存部13后(步骤S30B),风险判定部14在图13所示的流程图的过程中进行步骤S423至S425(步骤S40B),并继续执行第二阶段的处理。
[2.2.4与风险等级相应的风险控制(功能限制解除)]
在以上的说明中,列举了根据风险等级对有效的车辆功能施加限制的例子,而在包括本实施方式涉及的安全风险对策服务器10的安全风险对策系统1中,也可以根据做出了风险等级变得低于第一基准的判定而执行车辆功能限制的解除处理。由此,第一车辆20的驾驶员能够再次受益于由于风险等级高而暂时受限制的伴随信息处理的高性能。以下,对该车辆功能限制的解除处理进行说明。
图17是表示在安全风险对策服务器10中执行的、使用风险等级管理列表中包含的风险得分的风险控制处理的过程示例的流程图,与图5所示的处理过程示例的第二阶段的一部分有关。该过程被执行例如是在通过由图15的流程图示出过程示例的处理暂时输出了风险对策指示后,接收到来自第一车辆20的新的第一车辆信息并重新制作(更新)了风险等级管理列表的情况,用图5的流程图来说,可能会在第二次及之后的风险控制循环中执行。另外,该过程也可以在从第一车辆20接收到上述的行驶位置变化通知或行驶状态变化通知时、或者风险点数表被更新的情况下执行。
风险判定部14判定再从风险等级管理列表中读取到的风险得分是否小于第一阈值(步骤S700)。在风险得分小于第一阈值的情况下(步骤S700:是),风险判定部14判定功能无效化指示是否未发出(步骤S701)。在功能无效化指示未发出的情况下(步骤S701:是),风险判定部14使功能限制解除指示生成部18生成对于该车辆功能的功能限制的解除的指示(以下,也称为功能限制解除指示)。功能限制解除指示生成部18生成功能限制解除指示(步骤S710),生成的功能限制解除指示从指示输出部17输出(步骤S720),发送给第一车辆20。步骤S700以及步骤S701相当于图5的流程图的步骤S7。
在风险得分大于等于第一阈值的情况下(步骤S700:否),或者在功能无效化指示已经发出的情况下(步骤S701:否),不对功能限制施加变更,该处理结束。
此外,在上述的处理过程示例中,在车辆功能被无效化的情况下不解除功能限制。这是考虑到车辆功能被无效化是在风险等级非常高的情况下做出的,是用于更切实地保护第一车辆20免受网络攻击的措施。车辆功能的无效化例如也可以在由第一车辆20的车辆厂家或者SOC确认安全后解除。
另外,车辆功能限制的解除处理也可以在上述的行驶位置或行驶状态变化了的情况下的风险得分的重新计算后执行。图18A是表示在风险得分的重新计算后执行的车辆功能限制的解除处理的过程示例的流程图。
在该过程示例中,在安全风险对策服务器10中取得行驶位置变化通知(步骤S300A)并保存于积存部13后,风险判定部14执行与行驶位置有关的风险得分的重新计算(在图13所示的流程图的过程中相当于步骤S415以及S416)(步骤S400A),并写入风险等级管理列表中。风险判定部14再从风险等级管理列表中读取重新计算出的风险得分,之后与图17示出的处理过程相同。
另外,在行驶状态有变化的情况下,也可以执行与行驶位置有变化的情况下同样的处理过程(参照图18B)。图18B所示的处理过程与图18A所示的处理过程的不同之处在于:在安全风险对策服务器10中取得的是行驶状态变化通知(步骤S300B);以及风险判定部14重新计算与行驶状态有关的风险得分的步骤在图13所示的流程图的过程中相当于步骤S423以及S424。
此外,关于车辆的通信关联功能,通过在行驶状态变为停止的情况下,迅速解除功能限制,具有能够迅速从第一车辆20向SOC等进行报告、或者能够从SOC等取得安全补丁等优点。另外,也因为第一车辆20在网络攻击的影响下从停止状态转变为危险动作的可能性低,所以由解除通信关联功能的功能限制带来的危险性小。在图18C中表示基于这种考虑的、行驶状态变化为停止时的通信关联功能的功能限制的解除的处理过程示例。
在本例中,在安全风险对策服务器10中取得行驶状态变化通知(步骤S300B)并保存于积存部13后,风险判定部14并非执行如图18A所示的风险得分的重新计算,而是判定行驶状态是否变成了停止(步骤S700C)。在行驶状态变化成停止的情况下(步骤S700C:是),风险判定部14判定功能无效化指示是否未发出(步骤S701)。在功能无效化指示未发出的情况下(步骤S701:是),风险判定部14使功能限制解除指示生成部18生成对于通信关联功能的功能限制解除指示。功能限制解除指示生成部18生成对于通信关联功能的功能限制解除指示(步骤S710C),生成的对于通信关联功能的功能限制解除指示从指示输出部17输出(步骤S720C),发送给第一车辆20。
在行驶状态变化成停止以外的状态的情况下(步骤S700C:否),或者功能无效化指示已经发出的情况下(步骤S701:否),不对对于通信关联功能的功能限制施加变更,该处理结束。
在安全风险对策系统1中,反复执行到此为止说明的第二阶段(图5中的风险控制循环)。由此,能够对作为安全风险对策的执行对象的第一车辆20持续地应用与根据其车辆状态而变化的车辆功能的风险等级相适应的安全风险对策。
(实施方式2)
在包括实施方式2涉及的信息处理装置的安全风险对策系统中,与实施方式1的共同之处在于,在作为目前的安全风险对策的执行对象的车辆的第一车辆所具有的车辆功能的风险等级判定中,使用以许多车辆为对象所收集到的网络攻击的意外事件信息。
另一方面,在实施方式2中,与实施方式1的不同之处在于,在该风险等级判定中,与意外事件信息一起使用了第一车辆以外的车辆(以下,也称为第二车辆)的车辆信息。以下,以该与实施方式1的不同之处为中心对本实施方式进行说明。此外,对于与实施方式1的共同之处,简化或省略说明。
此处的第二车辆是指,例如能够与第一车辆通信的车辆。更具体而言,例如是位于第一车辆的邻近能够与第一车辆直接通信的车辆。另外例如,是可以通过各自连接的中继站、路侧机或者其他车辆等中介建立与第一车辆的通信的车辆。在作为通信对方的第二车辆的对于网络攻击的风险等级高的情况下,与第二车辆进行信息授受的第一车辆的风险等级也增高。作为另一例,第二车辆也可以是搭载有与第一车辆相同的、且风险点数为预定大小以上的ECU(以下,也称为风险ECU)的车辆、同一车种的车辆、或者具有共同的车辆功能的车辆。在这种第二车辆的对于网络攻击的风险等级高的情况下,由于第一车辆很可能也具有共同的脆弱性,因此同样对于网络攻击的风险等级也高。作为又一例,第二车辆也可以是无论有没有与第一车辆进行通信但是在第一车辆附近行驶的车辆。在第二车辆受到地域性网络攻击的情况下,在附近行驶的第一车辆也有可能会同样遭受网络攻击,风险等级高。因此,像这样根据第一车辆以外的车辆的风险等级限制第一车辆的车辆功能,作为第一车辆的安全风险对策也是有效的。
[1.构成]
图19是表示包括本实施方式涉及的信息处理装置的安全风险对策系统1A的构成例的概要的图。
在图19所示的构成例中,安全风险对策服务器10A与作为第一车辆的车辆20A、和意外事件信息收集服务器30经由互联网等通信网络连接而能够相互进行信息的授受。另外,有别于第一车辆20A的第二车辆20B也与安全风险对策服务器10A以及意外事件信息收集服务器30经由互联网等通信网络连接而能够相互进行信息的授受。
关于意外事件信息收集服务器30,可以是与实施方式1相同的构成,因此省略详细说明。另外,从意外事件信息收集服务器30向安全风险对策服务器10A提供的意外事件信息的结构也可以与实施方式1相同,因此省略详细说明。
另外,关于第一车辆20A以及第二车辆20B,各自所具备的车载网络200A以及200B的构成可以与使用图3说明的实施方式1中的第一车辆20的车载网络200的构成相同,故省略详细说明。
安全风险对策服务器10A与实施方式1的安全风险对策服务器10的基本构成相同。另外,安全风险对策服务器10A也由一台或多台包括处理器以及存储器的信息处理装置构成,是本实施方式中的本发明的信息处理装置的例子。安全风险对策服务器10A与安全风险对策服务器10的不同之处在于如下的第二阶段的处理,即,如上所述使用从意外事件信息收集服务器30取得的意外事件信息、和从第二车辆20B取得的与第二车辆的状态有关的信息,判定第一车辆20A具有的车辆功能的关于网络攻击的风险等级。此外,该处理可以与实施方式1中的使用从安全风险对策的执行对象的车辆20取得的第一车辆信息的处理相结合而执行,执行处理的各构成要素可以与安全风险对策服务器10的构成要素相同,因此省略详细说明。
[2.动作]
接着,以与实施方式1的不同之处为中心,对在安全风险对策系统1A中执行的安全风险对策的处理的动作进行说明。
图20是表示安全风险对策服务器10A中执行的该处理的过程示例的流程图。
从对来自意外事件信息收集服务器30的意外事件信息的取得(步骤S21)到积存、以及基于所取得的意外事件信息的由风险点数管理部15对风险点数表进行更新(步骤S22)的处理过程可以与图5所示的实施方式1相同,故省略说明。对于以下的过程,为了与实施方式1比较,也参照与图9的时序图对应的图21的时序图来进行说明。参照图21的时序图时,除作为安全风险对策的执行对象的第一车辆20A以外的车辆即第二车辆20B参与了第一车辆20A的安全风险对策的处理。
接着,在安全风险对策系统1A中,由车辆信息取得部12将从第二车辆20B发送来的与第二车辆20B的状态有关的信息(以下,也称为第二车辆信息)暂时保存于积存部13(图20的步骤S23、图21的步骤S22030、S230)。
接下来,在安全风险对策系统1A中,风险判定部14使用风险点数表以及第二车辆信息判定第二车辆的风险等级,制作风险等级管理列表(包括进行更新的情况)(图20的步骤S24、图21的步骤S240)。关于第二车辆的风险等级的判定以及风险等级管理列表的制作的处理过程,可以与使用图10至图14F对实施方式1进行了说明的第一车辆20的情况下的处理过程相同,因此在此省略说明。
将第二车辆20B的风险得分暂时写入风险等级管理列表中的风险判定部14接着读取该风险得分(图20的步骤S25、图21的步骤S250),将其用于第一车辆20A的风险控制处理、也即是说对于是否需要对有效的车辆功能进行功能限制(包括无效化的情况)的判定(图20的步骤S26)。
图22是表示在安全风险对策服务器10A中执行的、使用第二车辆20B的风险得分的第一车辆20A的风险控制处理的过程示例的流程图。
本实施方式中的第一车辆20A的风险控制处理的基本流程可以与使用图15说明了的实施方式1中的风险控制处理相同。关于图中的第一阈值、第二阈值、功能无效化指示、功能限制指示以及风险对策指示,可以与实施方式1相同,因此省略说明。
风险判定部14从风险等级管理列表中读取到第二车辆20B的风险得分时(步骤S2500),判定该风险得分是否在第二阈值以上(步骤S2600)。在第二车辆20B的风险得分小于第二阈值的情况下(步骤S2600:否),风险判定部14进一步判定该风险得分是否在第一阈值以上(步骤S2601)。步骤S2600以及步骤S2601相当于图20的流程图的步骤S26以及图21的时序图的步骤S260。
在第二车辆20B的风险得分小于第一阈值的情况下(步骤S2601:否),第一车辆20A的车辆功能既不被限制也不被无效,风险控制的处理结束。
在第二车辆20B的风险得分在第二阈值以上的情况下(步骤S2600:是),风险判定部14使风险对策指示生成部16生成对于第一车辆20A的车辆功能的功能无效化指示。风险对策指示生成部16在风险等级管理列表(图12)中按照风险控制对象的车辆功能的“无效化”栏的内容,生成功能无效化指示(步骤S2610)。生成的功能无效化指示从指示输出部17输出(步骤S2620),发送给第一车辆20A。
在第二车辆20B的风险得分小于第二阈值且大于等于第一阈值的情况下(步骤S2601:是),风险判定部14使风险对策指示生成部16生成功能限制指示。风险对策指示生成部16在风险等级管理列表中按照风险控制对象的车辆功能的“限制”栏的内容,生成功能限制指示(步骤S2611)。生成的功能限制指示从指示输出部17输出(步骤S2620),发送给第一车辆20A。步骤S2610以及步骤S2611相当于图21的时序图的步骤S261。另外,步骤S2620相当于图21的时序图的步骤S262。
如此,通过在图15的流程图中示出过程示例的处理,根据第二车辆20B的风险得分、也即是说风险等级,执行第一车辆20A的车辆功能的限制。由此,例如即使在第二车辆20B能够与第一车辆20A通信、并且存在对网络攻击的脆弱性从而风险等级高的情况下,也能够防止在第二车辆20B中发生的意外事件的影响经由通信波及到第一车辆20A的车辆功能。
此外,对于第一车辆20A而言的第二车辆20B的选定可以在到图20的流程图中的步骤S26的跟前为止例如由风险判定部14或者风险对策指示生成部16随时进行。例如,到步骤S24为止的处理由安全风险对策系统1A对监视对象的所有车辆执行。而且,风险判定部14也可以使用作为监视对象之一的第一车辆20A的车辆信息所包含的行驶位置的信息、和第一车辆20A以外的监视对象的车辆的车辆信息所包含的行驶位置的信息,选择与第一车辆20A处于预定远近(预定距离以下)的车辆作为第二车辆20B,来进行步骤S24及之后的处理。或者,也可以选择具备可在与第一车辆20A处于预定远近(预定距离以下)处与第一车辆20A通信的功能的车辆作为第二车辆20B。或者,也可以参照车辆信息的设备列表(图10),选择具备与第一车辆20A相同的设备的车辆作为第二车辆20B。或者,也可以在由安全风险对策系统1A对监视对象的所有车辆执行了图5所示的实施方式1的安全风险对策的处理后,首先选定被应用了某些功能限制的车辆作为第二车辆20B,然后如上所述那样,第一车辆20A基于行驶位置、所具备的功能或者设备等来选定。
另外,与第二车辆20B的风险得分进行比较的第一阈值以及第二阈值既可以与在实施方式1中在第一车辆20中使用的第一阈值以及第二阈值相同,也可以是表示与它们不同的风险等级的基准。只要是在第二车辆20B中使用的第一阈值所示的基准(第三基准)与第二阈值所示的基准(第四基准)之间第四基准高于第三基准即可。
另外,在第二车辆20B的风险得分小于第二阈值且大于等于第一阈值的情况下应用于第一车辆20A的限制也可以与在第一车辆20A自身的风险得分小于第二阈值且大于等于第一阈值的情况下所应有的限制不同。例如,也可以在风险等级管理列表中有两列“限制”栏,分到各栏中规定这些限制。
另外,在第一车辆20A中被限制或者无效的车辆功能是与在第二车辆20B中风险得分超过第一阈值或者第二阈值的车辆功能对应的第一车辆20A的车辆功能。此处的与第二车辆20B的车辆功能对应的第一车辆20A的车辆功能是指例如与风险得分超过各阈值的第二车辆20B的车辆功能相同的车辆功能。另外进而也可以,在第一车辆20A中提供被限制或者无效的车辆功能的ECU所提供的其他车辆功能也包含于该对应的车辆功能。作为另一例,对应的车辆功能也可以为,即使在第一车辆20A中提供的功能不同,也与在第二车辆20B中提供风险得分超过第一阈值或者第二阈值的车辆功能的ECU制造商相同的ECU或同型的ECU所提供的车辆功能。这种对应的车辆功能可参照设备列表来掌握。
另外,也可以,作为本实施方式中的与第二车辆20B的风险等级相应的第一车辆20A的风险控制,与实施方式1同样地也执行功能限制的解除。图23是表示在第二车辆20B的风险得分的重新计算后执行的车辆功能限制的解除处理的过程示例的流程图。
在该过程示例中,首先,由风险判定部14判定第二车辆20B的行驶状态是否有变化(步骤S2300)。在第二车辆20B的行驶状态有变化的情况下(步骤S2300:是),风险判定部14执行与第二车辆20B的行驶状态有关的风险得分的重新计算(在图13所示的流程图的过程中相当于步骤S423以及S424)(步骤S2400),并写入风险等级管理列表中。接着,风险判定部14再从风险等级管理列表中读取重新计算出的第二车辆20B的风险得分,之后,使用该风险得分执行与图17示出的处理过程相同的过程。步骤S2700、S2701、S2710以及S2720相当于图17所示的实施方式1中的步骤S700、S701、S710以及S720。在步骤S2701中进行关于功能无效化指示的发出的判定是基于与在实施方式1中在车辆功能被无效的情况下不解除功能限制相同的理由。
另外,在本实施方式中,根据能否建立与第二车辆20B的通信,第一车辆20A的车辆功能会受在第二车辆20B中发生的意外事件的影响的可能性也发生变化。也即是说,如果不能建立通信,那么在第二车辆20B中发生的意外事件的影响不可能经由通信波及到第一车辆20A的车辆功能。因此,例如也可以根据第一车辆20A与风险等级高的第二车辆20B之间的距离是否是能够建立车车间通信的距离,决定是否限制第一车辆20A的车辆功能。图24A是表示该技术方案中的对于第一车辆20A的车辆功能的功能限制处理的过程示例的流程图。另外,图24B是表示在图24A所示的过程示例中输出了对于第一车辆20A的车辆功能的功能限制指示后的、对于第一车辆20A的车辆功能的功能限制解除处理的过程示例的流程图。
在图24A所示的过程示例中,风险判定部14判定从风险等级管理列表中读取到的第二车辆20B的风险得分是否在第一阈值以上(步骤S2601A)。在第二车辆20B的风险得分在第一阈值以上的情况下(步骤S2601A:是),风险判定部14进一步判定第一车辆20A与第二车辆20B的距离是否小于预定的基准距离d。基准距离d例如基于可在第一车辆20A与第二车辆20B之间建立的通信所遵照的标准中的可通信距离的上限来确定。在第一车辆20A与第二车辆20B的距离小于基准距离d的情况下(步骤S2602A:是),在本例中,风险判定部14使风险对策指示生成部16生成对于第一车辆20A的车辆功能中的行驶关联功能的功能限制指示。然后该对于行驶关联功能的功能限制指示从指示输出部17输出(步骤S2603A),发送给第一车辆20A。
在第二车辆20B的风险得分小于第一阈值的情况下(步骤S2601A:否),或者在第一车辆20A与第二车辆20B的距离在基准距离d以上的情况下,不生成对于第一车辆20A的车辆功能的功能限制指示。上述任一情况下在第二车辆20B中发生的意外事件的影响都不可能经由通信波及到第一车辆20A的车辆功能,因此无需在第一车辆20A中执行与第二车辆20B的风险等级相应的安全对策。
此外,在上述的过程示例中限制对象为行驶关联功能是因为,至少,在第二车辆20B比较近距离地行驶的状况下若受到意外事件的影响则可能导致最严重的事态的是行驶关联功能。
在执行了步骤S2702A的情况下所执行的图24B所示的过程示例中,风险判定部14判定第一车辆20A与第二车辆20B的距离是否在预定的基准距离d以上(步骤S2701A)。在第一车辆20A与第二车辆20B的距离在预定的基准距离d以上的情况下(步骤S2701A:是),由于即使在第二车辆20B中发生了意外事件,其影响也不可能经由通信波及到第一车辆20A的车辆功能,因此生成并输出对于第一车辆20A的车辆功能中的行驶关联功能的功能限制解除指示(步骤S2702A)。在第一车辆20A与第二车辆20B的距离小于预定的基准距离d的期间(步骤S2701A:否),达不到要输出该功能限制解除指示。也即是说,维持第一车辆20A中的对于行驶关联功能的功能限制。
另外,在意外事件信息包含有可确定发生了意外事件的车辆的信息的情况下,也可以在第二车辆20B有意外事件发生的历史记录的情况下使第二车辆20B的风险得分升高。在有发生了网络攻击的意外事件的实际结果的车辆中,有可能留有允许攻击的某些脆弱性、或者该攻击的影响,在能够与这种车辆通信的车辆中加以防范以采取预防的对策是妥当的。通过预先使这种第二车辆20B的风险得分大于等于第一阈值,从而在第一车辆20A中做出对于车辆功能的功能限制。由此,即使在第二车辆20B中发生了意外事件的情况下,也能够抑制其影响经由通信波及到第一车辆20A的车辆功能的可能性。图25是表示这样的与第二车辆的意外事件历史记录相应的安全对策的处理的过程示例的流程图。
在图25所示的过程示例中,风险判定部14在保存于积存部2113的意外事件信息中检索与第二车辆20B有关的意外事件信息的记录(步骤S2900)。在没有找到与第二车辆20B有关的意外事件信息的记录的情况下(步骤S2901:否),第二车辆20B的风险得分不变动。在找到与第二车辆20B有关的意外事件信息的记录的情况下(步骤S2901:是),将第二车辆20B的风险得分设定为第一阈值以上(步骤S2902)。在该情况下设定为第一阈值以上的风险得分例如也可以是与找到的意外事件信息的记录的内容相应的车辆功能的风险得分。作为具体例子,例如如果在第二车辆20B中发生的是受到自动驾驶功能影响的意外事件,那么也可以将自动驾驶功能的风险得分设定为第一阈值以上。另外,在引起该意外事件的网络攻击中同一功能系统也受影响的可能性高于其他功能系统,因此也可以将与自动驾驶功能相同的功能系统、也即是说属于行驶系统的驾驶辅助及行驶控制的功能(参照图12的风险等级管理列表)的风险得分也分别设定为第一阈值以上。
(变形例等)
以上,基于实施方式对一个或多个技术方案涉及的构成安全风险对策系统所包含的安全风险对策服务器的信息处理装置进行了说明,但本发明并非限定于这些实施方式。只要不脱离本发明的主旨,将本领域技术人员想到的各种变形实施于本实施方式而得到的方式、以及将不同实施方式中的构成要素进行组合而构建的方式也可以包含于一个或多个技术方案的范围内。以下,列举这样的变形的例子。
(1)为了上述实施方式的说明而例示的信息处理装置为服务器,但信息处理装置的构成要素的至少一部分也可以为1个以上的ECU等车载的信息处理装置。例如也可以,图3所示的ECU中的ECU210A具备与安全风险对策服务器10或者10A相同的功能构成。图26是表示这种ECU210A的功能构成例的框图。此外,图26的车辆信息取得部2112并非经由外部的通信网络接收第一车辆20的车辆信息,而是通过车载网络上的通信进行取得。另外,从指示输出部2117输出的功能限制指示以及功能限制解除指示直接送出到车载网络,不经由外部的通信网络。
另外,作为车载的信息处理装置具备安全风险对策服务器10或者10A的一部分功能的例子,例如也可以,在安全风险对策服务器中执行到由风险点数管理部基于意外事件信息对风险点数进行更新、也即是说图5的流程图中的步骤S2,并将风险点数表经由通信网络提供给车载的信息处理装置。在该情况下,车载的信息处理装置使用被提供的最新的风险点数表和从车载的其他信息处理装置取得的车辆信息执行步骤S4及之后的处理。
另外,例如也可以,在安全风险对策服务器中执行到图5的流程图中的步骤S4的风险等级管理列表的制作(更新),将风险等级管理列表经由通信网络提供给车载的信息处理装置。在该情况下,车载的信息处理装置使用被提供的最新的风险等级管理列表执行步骤S5及之后的处理。另外,也可以,从安全风险对策服务器也将风险点数表提供给车载的信息处理装置,在车载的信息处理装置中执行与行驶位置或者行驶状态有关的风险等级的比较小规模的更新以及之后的功能限制判定等。在该情况下,例如也可以将第一车辆的车辆信息在各日的深夜等通过日处理提供给安全风险对策服务器。在安全风险对策服务器中,作为夜间的日处理,执行基于意外事件信息的风险点数表的更新以及第一车辆的风险等级管理列表的全面更新,而且在早晨之前从安全风险对策服务器向第一车辆发送最新的风险点数表以及风险等级管理列表。在第一车辆的车载的信息处理装置中,从早晨到深夜执行风险等级的小规模的更新以及功能限制判定等。另外,也可以并非像日处理那样的定期处理,而是根据第一车辆的驾驶员的请求,实施向安全风险对策服务器提供第一车辆的车辆信息或者从安全风险对策服务器向第一车辆提供最新的风险点数表以及风险等级管理列表。
(2)功能限制的方案不限定于上述参照图12的风险等级管理列表以及图15等的关于功能限制的说明。例如也可以是使用更多基准判断的更多级的限制。在该情况下,风险判定部14或者2114进行的功能限制的解除的判定在概念上也包括功能限制的缓和。
(3)意外事件信息中的意外事件的发生地点以及车辆信息中的车辆的行驶位置的表现不限定于上述使用如市区町村这样的地名的例子,只要是统计上能知晓意外事件的发生多或少的地方与第一车辆的行驶位置的位置关系的表现即可。行驶位置的表现例如也可以使用地标或通信基站等设施的名称、道路的名称及其区间、经纬度、或者排列有网格的栅格地图。而且,位置关系例如可以用与它们的距离以及方位、包含或者重复来表现。经纬度的信息例如作为从各车辆提供的经纬度的信息来取得。其他表现例如也可以在意外事件信息收集服务器30或者安全风险对策服务器10中根据从各车辆提供的经纬度的信息进行变换来实现。
而且,风险判定部14或者2114在第一车辆的行驶位置发生了风险等级可能变化的预定变化的情况下执行车辆功能的风险等级的重新判定。作为该预定变化的例子,可列举就近设施的转换、道路或其区间的转换、经纬度的预定量的变化、在栅格地图中包含行驶位置的网格的转换。
(4)上述实施方式中示出的各种处理的步骤(例如图5、图8、图13~图18C、图20、图22~图25等所示的步骤等)的执行顺序不一定限定为上述那样的顺序。在不脱离本发明的要旨的范围内,可以调换执行顺序、并行地进行多个步骤、或省略该步骤的一部分。
(5)上述实施方式中的构成各装置的构成要素的一部分或者全部也可以由1个系统LSI(Large Scale Integration:大规模集成电路)构成。系统LSI是将多个构成部集成于1个芯片上而制造出的超多功能LSI,具体而言,是包含微处理器、ROM、RAM等而构成的计算机系统。RAM中记录有计算机程序。微处理器按照计算机程序进行工作,由此系统LSI达成其功能。另外,构成上述各装置的构成要素的各部既可以单独地单芯片化,也可以以包含一部分或全部的方式单芯片化。另外,虽然此处设为LSI,但根据集成度不同,也可以称为IC、LSI、超大LSI(super LSI)、特大LSI(ultra LSI)。另外,集成电路化的方法不限于LSI,也可以通过专用电路或者通用处理器实现。也可以在LSI制造后利用FPGA(Field ProgrammableGate Array;现场可编程门阵列)或者可以对LSI内部的电路单元的连接和/或设定进行重构的可重构处理器(reconfigurable processor)。进而,随着半导体技术的发展或者派生的其他技术的出现,如果出现能够替代LSI的集成电路化的技术,当然也可以利用该技术进行功能块的集成化。
(6)构成上述各装置的构成要素的一部分或全部也可以由能够装卸于各装置的IC卡或单体模块构成。IC卡或模块是由微处理器、ROM、RAM等构成的计算机系统。IC卡或模块也可以包括上述的超多功能LSI。微处理器按照计算机程序进行工作,由此IC卡或模块达成其功能。该IC卡或该模块可以具有防篡改性能。
(7)作为本发明的一个技术方案,例如也可以是包含图5、图8、图13~图18C、图20、图22~图25等所示的处理步骤的全部或者一部分的信息处理方法。另外,也可以是由计算机实现这些方法的程序(计算机程序)。
(8)作为本发明一个技术方案,也可以将上述的计算机程序或者表示该计算机程序的数字信号记录于计算机可读取的记录介质例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)Disc)、半导体存储器等。另外,也可以是记录在这些记录介质中的数字信号。另外,作为本发明一个技术方案,也可以将上述的计算机程序或者数字信号经由电通信线路、无线或有线通信线路、以因特网为代表的网络、数据广播等进行传输。另外,作为本发明一个技术方案,也可以是具备微处理器和存储器的计算机系统,存储器记录有上述计算机程序,微处理器按照计算机程序进行工作。另外,也可以通过将程序或数字信号记录在记录介质中转移、或者经由网络等将程序或数字信号进行转移,由此通过独立的其他的计算机系统来实施。
(9)通过将上述实施方式及上述变形例中示出的各构成要素以及功能任意地进行组合而实现的方式也包含在本公开的范围内。
产业上的可利用性
本发明能够利用于处理车辆中利用的信息的信息处理装置、信息处理方法以及存储有程序的记录介质。
标号说明
1、1A安全风险对策系统;10、10A安全风险对策服务器;11、2111意外事件信息取得部;12、2112车辆信息取得部;13、2113积存部;14、2114风险判定部;15、2115风险点数管理部;16、2116风险对策指示生成部;17、2117指示输出部;18、2118功能限制解除指示生成部;20车辆(第一车辆);20A车辆(第一车辆);20B车辆(第二车辆);30意外事件信息收集服务器;200、200A、200B车载网络;210A、210B、210C、211A、211B、211C、212A、212B、212C ECU;220网关;230IVI系统;240外部通信装置。

Claims (13)

1.一种信息处理装置,具备:
意外事件信息取得部,其取得与在车辆中发生的网络攻击的意外事件有关的意外事件信息;
车辆信息取得部,其取得与第一车辆的状态有关的第一车辆信息;
积存部,其积存所述意外事件信息和所述第一车辆信息;
风险判定部,其基于积存于所述积存部的所述意外事件信息与所述第一车辆信息的一致度,判定所述第一车辆所具有的车辆功能的风险等级;
风险对策指示生成部,其在所述风险等级高于第一基准的情况下,生成对于所述车辆功能的功能限制指示;
指示输出部,其输出所述功能限制指示;以及
功能限制解除指示生成部,其在所述风险等级低于所述第一基准的情况下,生成对于所述车辆功能的功能限制解除指示,
在所述第一车辆信息所表示的所述第一车辆的行驶状态变化了的情况下,所述风险判定部重新判定所述车辆功能的风险等级,
在所述第一车辆的行驶状态从行驶中状态变化为停止状态的情况下,所述功能限制解除指示生成部生成解除对于所述车辆功能中的通信关联功能的功能限制的所述功能限制解除指示,
所述指示输出部输出所述功能限制解除指示。
2.根据权利要求1所述的信息处理装置,
所述风险对策指示生成部在所述风险等级高于第二基准的情况下,生成对于所述车辆功能的功能无效化指示作为所述功能限制指示,所述第二基准高于所述第一基准。
3.根据权利要求1所述的信息处理装置,
在所述第一车辆信息所表示的所述第一车辆的行驶位置发生了预定变化的情况下,所述风险判定部重新判定所述车辆功能的风险等级。
4.根据权利要求1所述的信息处理装置,
所述车辆信息取得部取得与第二车辆的状态有关的第二车辆信息,
所述风险判定部基于所述意外事件信息与所述第二车辆信息的一致度,判定所述第二车辆的车辆功能的风险等级,
在所述第二车辆的车辆功能的风险等级高于第三基准的情况下,所述风险对策指示生成部生成对于与所述第二车辆的车辆功能对应的所述第一车辆的车辆功能的功能限制指示。
5.根据权利要求4所述的信息处理装置,
在所述第二车辆行驶于从所述第一车辆的行驶位置相距预定距离以下的位置、并且与所述第二车辆的车辆功能对应的所述第一车辆的车辆功能由于所述风险对策指示生成部生成的所述功能限制指示而受到限制的情况下,当所述第二车辆的位置变为从所述第一车辆的行驶位置相距比所述预定距离远时,所述功能限制解除指示生成部生成对于所述第一车辆的车辆功能的功能限制解除指示。
6.根据权利要求1所述的信息处理装置,
在由所述风险判定部对所述车辆功能的风险等级进行的判定中,所述第一车辆的车辆功能的风险等级在与所积存的所述意外事件信息中的较新的意外事件信息一致的情况下,被判定得比在与所积存的所述意外事件信息中的较旧的意外事件信息一致的情况下高。
7.根据权利要求1所述的信息处理装置,
在由所述风险判定部对所述车辆功能的风险等级进行的判定中,所述第一车辆的车辆功能的风险等级在与所积存的所述意外事件信息中的、在最近的预定期间内发生了大于等于预定件数的意外事件信息一致的情况下,被判定得比在与所积存的所述意外事件信息中的、在所述预定期间内发生了小于预定件数的意外事件信息一致的情况下高。
8.根据权利要求1所述的信息处理装置,
所述车辆功能是与所述第一车辆的行驶有关的功能,
与所述第一车辆的行驶有关的功能是自动驾驶或驾驶辅助功能,
对于所述车辆功能的功能限制指示是指,与所述第一车辆的行驶有关的功能的停止。
9.根据权利要求1所述的信息处理装置,
所述车辆功能是与所述第一车辆的行驶有关的功能,
对于所述车辆功能的功能限制指示是指,将所述第一车辆的速度上限设定为预定速度的指示或者将所述第一车辆与其他车辆的车间距离设定为预定距离以上的指示。
10.根据权利要求1所述的信息处理装置,
所述车辆功能是与所述第一车辆的通信有关的功能,
与所述第一车辆的通信有关的功能是所述第一车辆所具备的设备间的通信、所述第一车辆与所述第一车辆的乘员拥有的设备之间的通信、和所述第一车辆与所述第一车辆外部的设备之间的通信中的至少一方。
11.根据权利要求1至7中任一项所述的信息处理装置,
所述车辆功能是所述第一车辆中的通信功能,
对于所述车辆功能的功能限制指示是指,使所述第一车辆中的通信功能无效化的指示或者进行所述第一车辆的通信时频带限制的指示。
12.一种信息处理方法,
在所述信息处理方法中,信息处理装置,
取得与在车辆中发生的网络攻击的意外事件有关的意外事件信息;
取得与第一车辆的状态有关的第一车辆信息;
基于所述意外事件信息与所述第一车辆信息的一致度,判定所述第一车辆所具有的车辆功能的风险等级;
在所述风险等级高于第一基准的情况下,生成对于所述车辆功能的功能限制指示,并输出所述功能限制指示;
在所述风险等级低于所述第一基准的情况下,生成对于所述车辆功能的功能限制解除指示;
在所述第一车辆信息所表示的所述第一车辆的行驶状态变化了的情况下,重新判定所述车辆功能的风险等级;
在所述第一车辆的行驶状态从行驶中状态变化为停止状态的情况下,生成解除对于所述车辆功能中的通信关联功能的功能限制的所述功能限制解除指示;
输出所述功能限制解除指示。
13.一种记录介质,是存储有程序的计算机可读取的记录介质,在具备处理器和存储器的信息处理装置中,通过由所述处理器使用所述存储器执行所述程序,使所述处理器,
取得与在车辆中发生的网络攻击的意外事件有关的意外事件信息;
取得与第一车辆的状态有关的第一车辆信息;
基于所述意外事件信息与所述第一车辆信息的一致度判定所述第一车辆所具有的车辆功能的风险等级;
在所述风险等级高于第一基准的情况下,生成对于所述车辆功能的功能限制指示,并输出所述功能限制指示;
在所述风险等级低于所述第一基准的情况下,生成对于所述车辆功能的功能限制解除指示;
在所述第一车辆信息所表示的所述第一车辆的行驶状态变化了的情况下,重新判定所述车辆功能的风险等级;
在所述第一车辆的行驶状态从行驶中状态变化为停止状态的情况下,生成解除对于所述车辆功能中的通信关联功能的功能限制的所述功能限制解除指示;
输出所述功能限制解除指示。
CN201980067829.4A 2018-10-17 2019-08-06 信息处理装置、信息处理方法以及记录介质 Active CN112867642B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201862746844P 2018-10-17 2018-10-17
US62/746,844 2018-10-17
JP2019098725A JP7344009B2 (ja) 2018-10-17 2019-05-27 情報処理装置、情報処理方法及びプログラム
JP2019-098725 2019-05-27
PCT/JP2019/030795 WO2020079928A1 (ja) 2018-10-17 2019-08-06 情報処理装置、情報処理方法及びプログラム

Publications (2)

Publication Number Publication Date
CN112867642A CN112867642A (zh) 2021-05-28
CN112867642B true CN112867642B (zh) 2023-12-05

Family

ID=70387688

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201980067829.4A Active CN112867642B (zh) 2018-10-17 2019-08-06 信息处理装置、信息处理方法以及记录介质

Country Status (4)

Country Link
US (1) US11790088B2 (zh)
EP (1) EP3868617A4 (zh)
JP (1) JP7344009B2 (zh)
CN (1) CN112867642B (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7350517B2 (ja) * 2018-10-17 2023-09-26 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 情報処理装置、情報処理方法及びプログラム
US20200389474A1 (en) * 2019-06-05 2020-12-10 Upstream Security, Ltd. System and method for connected vehicle security incident integration based on aggregate events
US20240073093A1 (en) 2019-09-20 2024-02-29 Sonatus, Inc. System, method, and apparatus to execute vehicle communications using a zonal architecture
KR20220070242A (ko) * 2019-09-20 2022-05-30 소나투스, 인코포레이티드 차량에서 혼합 네트워크 통신을 지원하는 시스템, 방법 및 장치
JP7380473B2 (ja) 2020-07-29 2023-11-15 株式会社デンソー セキュリティ監視システム
WO2022091786A1 (ja) * 2020-10-27 2022-05-05 パナソニックIpマネジメント株式会社 情報処理装置、監視方法、プログラム及びセキュリティシステム
US11831688B2 (en) * 2021-06-18 2023-11-28 Capital One Services, Llc Systems and methods for network security
CN113799715B (zh) * 2021-10-25 2023-08-01 北京万集科技股份有限公司 车辆异常原因的确定方法、装置、通信设备及存储介质
CN114760147A (zh) * 2022-05-07 2022-07-15 国汽智控(北京)科技有限公司 安全事件处理方法、安全事件处理装置、设备及介质
CN115294801B (zh) * 2022-08-03 2023-09-22 广东凯莎科技有限公司 一种车载网络通讯方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004030286A (ja) * 2002-06-26 2004-01-29 Ntt Data Corp 侵入検知システムおよび侵入検知プログラム
JP2007058514A (ja) * 2005-08-24 2007-03-08 Mitsubishi Electric Corp 情報処理装置及び情報処理方法及びプログラム
CN105050868A (zh) * 2012-10-17 2015-11-11 安全堡垒有限责任公司 用于检测和防止对交通工具的攻击的设备
JP2017111796A (ja) * 2015-12-16 2017-06-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ処理方法及びサーバ
CN107078938A (zh) * 2015-08-31 2017-08-18 松下电器(美国)知识产权公司 网关装置、车载网络系统以及通信方法
CN107852357A (zh) * 2015-12-14 2018-03-27 松下电器(美国)知识产权公司 安全装置、网络系统以及攻击检测方法
WO2018146028A1 (de) * 2017-02-10 2018-08-16 Audi Ag Verfahren zum erkennen einer manipulation an einem jeweiligen datennetzwerk zumindest eines kraftfahrzeugs sowie servervorrichtung
JP2018133721A (ja) * 2017-02-16 2018-08-23 クラリオン株式会社 車載ゲートウェイ装置、通信遮断方法

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11551486B1 (en) * 2004-01-23 2023-01-10 Progressive Casualty Insurance Company Vehicle monitoring system
DE102004010752A1 (de) * 2004-03-05 2005-09-22 Robert Bosch Gmbh Verfahren zur Abstandswarnung und Abstandswarneinheit
US10157422B2 (en) * 2007-05-10 2018-12-18 Allstate Insurance Company Road segment safety rating
JP5919205B2 (ja) 2013-01-28 2016-05-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびデータ送受信システム
US11669090B2 (en) * 2014-05-20 2023-06-06 State Farm Mutual Automobile Insurance Company Autonomous vehicle operation feature monitoring and evaluation of effectiveness
US9972054B1 (en) * 2014-05-20 2018-05-15 State Farm Mutual Automobile Insurance Company Accident fault determination for autonomous vehicles
US9946531B1 (en) * 2014-11-13 2018-04-17 State Farm Mutual Automobile Insurance Company Autonomous vehicle software version assessment
CN107409051B (zh) * 2015-03-31 2021-02-26 深圳市大疆创新科技有限公司 用于生成飞行管制的认证系统和方法
US11307042B2 (en) * 2015-09-24 2022-04-19 Allstate Insurance Company Three-dimensional risk maps
US10176524B1 (en) * 2015-10-26 2019-01-08 Allstate Insurance Company Vehicle-to-vehicle incident information collection
US10308246B1 (en) * 2016-01-22 2019-06-04 State Farm Mutual Automobile Insurance Company Autonomous vehicle signal control
US11441916B1 (en) * 2016-01-22 2022-09-13 State Farm Mutual Automobile Insurance Company Autonomous vehicle trip routing
CA3014656C (en) * 2016-02-15 2021-10-26 Allstate Insurance Company Early notification of non-autonomous area
JP2017167916A (ja) 2016-03-17 2017-09-21 株式会社デンソー 情報処理システム
JP6677132B2 (ja) 2016-09-06 2020-04-08 住友電気工業株式会社 車載通信機、管理装置、管理方法および監視プログラム
US10785249B2 (en) * 2017-04-06 2020-09-22 Fortinet, Inc. Predicting the risk associated with a network flow, such as one involving an IoT device, and applying an appropriate level of security inspection based thereon
US11113727B2 (en) * 2017-10-11 2021-09-07 Toyota Motor Engineering & Manufacturing North America, Inc. Systems and methods for dynamic road sign personalization
US10887349B2 (en) * 2018-01-05 2021-01-05 Byton Limited System and method for enforcing security with a vehicle gateway
JP6968722B2 (ja) * 2018-02-02 2021-11-17 フォルシアクラリオン・エレクトロニクス株式会社 車載装置、インシデント監視方法
RU2706887C2 (ru) * 2018-03-30 2019-11-21 Акционерное общество "Лаборатория Касперского" Система и способ блокирования компьютерной атаки на транспортное средство
DE112018007217B4 (de) * 2018-04-10 2022-03-17 Mitsubishi Electric Corporation Sicherheitseinrichtung mit einer Angriffs-Detektionseinrichtung und einer Sicherheitsrisikozustand-Bestimmungseinrichtung und eingebettete Einrichtung hierfür
EP3820753B1 (en) * 2018-07-14 2023-08-02 Moove.AI Vehicle-data analytics

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004030286A (ja) * 2002-06-26 2004-01-29 Ntt Data Corp 侵入検知システムおよび侵入検知プログラム
JP2007058514A (ja) * 2005-08-24 2007-03-08 Mitsubishi Electric Corp 情報処理装置及び情報処理方法及びプログラム
CN105050868A (zh) * 2012-10-17 2015-11-11 安全堡垒有限责任公司 用于检测和防止对交通工具的攻击的设备
CN107078938A (zh) * 2015-08-31 2017-08-18 松下电器(美国)知识产权公司 网关装置、车载网络系统以及通信方法
CN107852357A (zh) * 2015-12-14 2018-03-27 松下电器(美国)知识产权公司 安全装置、网络系统以及攻击检测方法
JP2017111796A (ja) * 2015-12-16 2017-06-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ処理方法及びサーバ
WO2018146028A1 (de) * 2017-02-10 2018-08-16 Audi Ag Verfahren zum erkennen einer manipulation an einem jeweiligen datennetzwerk zumindest eines kraftfahrzeugs sowie servervorrichtung
JP2018133721A (ja) * 2017-02-16 2018-08-23 クラリオン株式会社 車載ゲートウェイ装置、通信遮断方法

Also Published As

Publication number Publication date
JP2020065242A (ja) 2020-04-23
CN112867642A (zh) 2021-05-28
US20210232687A1 (en) 2021-07-29
JP7344009B2 (ja) 2023-09-13
EP3868617A4 (en) 2021-11-17
EP3868617A1 (en) 2021-08-25
US11790088B2 (en) 2023-10-17

Similar Documents

Publication Publication Date Title
CN112867642B (zh) 信息处理装置、信息处理方法以及记录介质
CN112867643B (zh) 信息处理装置、信息处理方法以及记录介质
CN107925600B (zh) 安全处理方法以及服务器
JP7492622B2 (ja) 車両異常検知サーバ、車両異常検知システム及び車両異常検知方法
CN112437056B (zh) 安全处理方法以及服务器
US12028353B2 (en) Threat analysis apparatus, threat analysis method, and recording medium
CN113302953A (zh) 异常车辆检测服务器以及异常车辆检测方法
WO2020079943A1 (ja) 情報処理装置、情報処理方法及びプログラム
WO2020079928A1 (ja) 情報処理装置、情報処理方法及びプログラム
JP7249551B2 (ja) 車両異常検知装置、車両異常検知システム及びプログラム
US20240017732A1 (en) Notification apparatus, notification method, and non-transitory computer-readable storage medium
JP2022179940A (ja) 電子制御装置及び電子制御装置の制御方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant