CN112889051A - 车辆用系统以及控制方法 - Google Patents
车辆用系统以及控制方法 Download PDFInfo
- Publication number
- CN112889051A CN112889051A CN201980069725.7A CN201980069725A CN112889051A CN 112889051 A CN112889051 A CN 112889051A CN 201980069725 A CN201980069725 A CN 201980069725A CN 112889051 A CN112889051 A CN 112889051A
- Authority
- CN
- China
- Prior art keywords
- vehicle
- intrusion
- log
- attack
- depth
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 179
- 238000004891 communication Methods 0.000 claims abstract description 131
- 230000007123 defense Effects 0.000 claims abstract description 40
- 230000005856 abnormality Effects 0.000 claims description 170
- 230000008859 change Effects 0.000 claims description 44
- 238000012544 monitoring process Methods 0.000 description 174
- 238000001514 detection method Methods 0.000 description 109
- 230000005540 biological transmission Effects 0.000 description 53
- 238000012545 processing Methods 0.000 description 41
- 230000006870 function Effects 0.000 description 34
- 238000010586 diagram Methods 0.000 description 33
- 230000010365 information processing Effects 0.000 description 23
- 230000008569 process Effects 0.000 description 12
- 230000003044 adaptive effect Effects 0.000 description 6
- 239000000284 extract Substances 0.000 description 6
- 230000002159 abnormal effect Effects 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 239000000470 constituent Substances 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000010354 integration Effects 0.000 description 2
- 238000005070 sampling Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/08—Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
- G07C5/0841—Registering performance data
- G07C5/085—Registering performance data using electronic data carriers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Mechanical Engineering (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Traffic Control Systems (AREA)
Abstract
车辆用系统(100)用于车辆,该车辆用系统(100)具备搭载于车辆的多个车载装置(110)、以及控制器(120),该控制器(120)按照针对多个车载装置(110)的非法的攻击的入侵的深度,对向车辆的外部的通信方法、针对非法的攻击的防御方法、以及关于多个车载装置(110)的日志的保存方法中的至少一个方法进行变更。
Description
技术领域
本发明涉及车辆用系统等。
背景技术
专利文献1中提出了一种用于向车载通信网络提供安全性的系统。并且,专利文献2中提出了一种对非法连接到车载网络的装置进行检测的车载系统。专利文献3中提出了一种能够进行反映了时间序列数据的动向的异常检测的网络异常判断装置。专利文献4中提出了一种使安全性提高的车载网络。
(现有技术文献)
(专利文献)
专利文献1 日本 特开2015-136107号公报
专利文献2 日本 特开2016-151871号公报
专利文献3 日本 特开2008-146157号公报
专利文献4 日本 特开2016-129314号公报
然而,在针对车辆采用的车辆用系统中,针对攻击的控制会因攻击的影响,而有不能恰当地进行的可能性。
发明内容
于是,本发明的目的在于提供一种针对攻击能够进行适应性控制的车辆用系统等。
本发明的一个形态所涉及的车辆用系统用于车辆,所述车辆用系统具备:搭载于所述车辆的多个车载装置;以及控制器,按照针对所述多个车载装置的非法的攻击的入侵的深度,对如下方法中的至少一个方法进行变更,这些方法是指,向所述车辆的外部的通信方法、针对所述非法的攻击的防御方法、以及关于所述多个车载装置的日志的保存方法。
另外,这些概括的或具体的形态可以由系统、装置、方法、集成电路、计算机程序、或计算机可读取的CD-ROM等非暂时性的记录介质来实现,也可以由系统、装置、方法、集成电路、计算机程序、以及记录介质的任意的组合来实现。
本发明的一个形态所涉及的车辆用系统等针对攻击能够进行适应性控制。
附图说明
图1是示出实施方式1中的车辆用系统等的构成的方框图。
图2是示出实施方式1中的车辆用系统的功能块的模式图。
图3是示出实施方式1中的入侵的深度的概念图。
图4是示出实施方式1中的车辆用系统的工作的流程图。
图5是示出实施方式1中的车辆用系统的第1具体例的方框图。
图6是示出实施方式1中的第1入侵例的概念图。
图7是示出在第1入侵例中,监视ECU或监视块进行控制的情况下的控制例的图表。
图8是示出在第1入侵例中,GW进行控制的情况下的控制例的图表。
图9是示出在第1入侵例中,ADAS ECU进行控制的情况下的控制例的图表。
图10是示出在第1入侵例,V2X ECU进行控制的情况下的控制例的图表。
图11是示出在第1入侵例中,IVI进行控制的情况下的控制例的图表。
图12是示出实施方式1中的第2入侵例的概念图。
图13是示出在第2入侵例中,监视ECU或监视块进行控制的情况下的控制例的图表。
图14是示出在第2入侵例中,GW进行控制的情况下的控制例的图表。
图15是示出实施方式1中的车辆用系统的第2具体例的方框图。
图16是示出实施方式1中的第3入侵例的概念图。
图17是示出在第3入侵例中,ADAS ECU进行控制的情况下的控制例的图表。
图18是示出实施方式2中的车辆用系统等的构成的方框图。
图19是示出实施方式2中的异常检测部的功能块的模式图。
图20是示出实施方式2中的车辆用系统的工作的流程图。
图21是示出实施方式2中的非法的攻击的判断处理的流程图。
图22是示出实施方式2中的车辆用系统等的构成的变形例的方框图。
图23是示出实施方式2中的车辆用系统的功能块的变形例的模式图。
图24是示出实施方式2中的车辆用系统的具体例的方框图。
图25是示出实施方式2中的存储完毕的多个异常检测结果的图表。
图26是示出实施方式2中的新的异常检测结果以及提取对象的多个异常检测结果的图表。
图27是示出实施方式2中的异常信息与攻击信息的比较处理的模式图。
图28是示出实施方式2中的规定的攻击顺序的第1例的模式图。
图29是示出实施方式2中的规定的攻击顺序的第2例的模式图。
具体实施方式
(成为本发明的基础的见解)
具备时常与互联网连接的功能的机动车被称为互联汽车(Connected car)。互联汽车由于会受到入侵的威胁,因此搭载防御功能。但是,互联汽车有可能在10年以上的长的期间中使用,这样,防御功能会变得陈旧。因此探讨了例如通过服务器继续对互联汽车进行(远程)监视,来检测被搭载在互联汽车上的防御功能的陈旧、以及互联汽车出厂时没有设想到的新的攻击的系统。
在这种检测系统中,例如以定期的定时或特定的定时,将日志从互联汽车发送到服务器。于是,在服务器通过日志来检测入侵或攻击等。
然而,由于入侵、攻击或通信状况等,会出现互联汽车难于发送日志的情况。对此,采用的方法是,在不能发送的状态下,将日志蓄积到通信缓冲器,在能够发送的状态下,对日志进行发送。
但是,发送也会受到攻击的阻碍。并且,会有攻击者监听发送内容的可能性。
于是,本发明的一个形态所涉及的车辆用系统用于车辆,所述车辆用系统具备:搭载于所述车辆的多个车载装置;以及控制器,按照针对所述多个车载装置的非法的攻击的入侵的深度,对如下方法中的至少一个方法进行变更,这些方法是指,向所述车辆的外部的通信方法、针对所述非法的攻击的防御方法、以及关于所述多个车载装置的日志的保存方法。
据此,车辆用系统能够按照攻击的状况,对通信方法、防御方法或保存方法等进行变更。即车辆用系统能够针对攻击进行适应性控制。
例如可以是,所述控制器通过按照所述入侵的深度,来变更所述多个车载装置之中的用于向所述车辆的外部进行通信的车载装置,从而对所述通信方法进行变更。
据此,车辆用系统能够按照攻击的状况,对用于通信的车载装置进行适应性变更。因此,车辆用系统能够抑制因攻击而受到的影响。
并且,例如也可以是,所述多个车载装置包括远程信息控制单元,所述控制器,在所述入侵的深度到达所述远程信息控制单元的情况下,将所述通信方法从经由所述远程信息控制单元的第1通信方法,变更为不经由所述远程信息控制单元的第2通信方法。
据此,车辆用系统能够不经由受到攻击的远程信息控制单元,恰当地进行通信。
并且,例如也可以是,所述多个车载装置包括车载信息娱乐系统,所述控制器,在所述入侵的深度到达所述远程信息控制单元的情况下,将所述通信方法从经由所述远程信息控制单元的所述第1通信方法,变更为经由所述车载信息娱乐系统的所述第2通信方法。
据此,车辆用系统能够不经由被攻击的远程信息控制单元,而是经由车载信息娱乐系统,来恰当地进行通信。
并且,例如也可以是,所述控制器,在所述入侵的深度到达所述车载信息娱乐系统的情况下,将所述通信方法变更为不经由所述车载信息娱乐系统的第3通信方法。
据此,车辆用系统能够不经由被攻击的车载信息娱乐系统,来恰当地进行通信。
并且,例如也可以是,所述控制器,通过按照所述入侵的深度,对所述多个车载装置之中的作为所述日志的保存目的地而被使用的车载装置进行变更,从而对所述保存方法进行变更。
据此,车辆用系统能够按照攻击的状况,对日志的保存目的地进行适应性变更。因此,车辆用系统能够抑制因攻击而受到的影响。
并且,例如也可以是,所述控制器,在所述入侵的深度到达所述多个车载装置中包括的一个以上的车载装置的情况下,通过将所述一个以上的车载装置的每一个的日志包括在保存对象日志中,来对所述保存方法进行变更。
据此,车辆用系统在一个以上的车载装置受到攻击的情况下,能够将被攻击的一个以上的车载装置的日志包括在保存对象日志中。
并且,例如也可以是,所述多个车载装置包括远程信息控制单元,所述控制器,在所述入侵的深度到达所述远程信息控制单元的情况下,通过将所述远程信息控制单元的日志包括在所述保存对象日志中,来对所述保存方法进行变更。
据此,车辆用系统在远程信息控制单元受到攻击的情况下,能够将被攻击的远程信息控制单元的日志包括在保存对象日志中。
并且,例如也可以是,所述多个车载装置包括车载信息娱乐系统,所述控制器,在所述入侵的深度到达所述车载信息娱乐系统的情况下,通过将所述车载信息娱乐系统的日志包括在所述保存对象日志中,来对所述保存方法进行变更。
据此,车辆用系统在车载信息娱乐系统受到攻击的情况下,能够将被攻击的车载信息娱乐系统的日志包括在保存对象日志中。
并且,例如也可以是,所述控制器,在所述入侵的深度到达所述多个车载装置中包括的第1车载装置的情况下,通过将第2车载装置的日志包括在所述保存对象日志中,来对所述保存方法进行变更,所述第2车载装置是所述多个车载装置中包括的被估计为所述入侵的深度在所述第1车载装置之后下一个将要到达的车辆装置。
据此,车辆用系统能够将具有下一个被攻击的可能性的车载装置的日志包括在保存对象日志中。
并且,例如可以是,所述多个车载装置的至少一部分,以两个信道进行通信,所述控制器,在所述入侵的深度到达所述两个信道中的一方的情况下,以所述两个信道中的另一方,使所述多个车载装置的至少一部分的通信继续进行,在所述入侵的深度到达了所述两个信道的双方的情况下,通过使自动驾驶停止、所述车辆的行驶停止、或进行故障自动保护的控制,来变更所述防御方法。
据此,车辆用系统能够在两个信道中的一个信道受到攻击的情况下、与两个信道都受到攻击的情况下,采用不同的防御方法。于是,车辆用系统能够按照攻击的状况,对防御方法进行恰当地变更。
并且,例如可以是,所述多个车载装置包括车载信息娱乐系统,所述车载信息娱乐系统具备所述控制器。
据此,车辆用系统能够通过搭载于车辆的车载信息娱乐系统,针对攻击进行适应性控制。
并且,例如可以是,所述多个车载装置包括网关,所述网关具备所述控制器,所述控制器,将所述日志的一部分或全部,保存到所述多个车载装置中的与所述网关不同的车载装置。
据此,车辆用系统能够通过搭载于车辆的网关,针对攻击进行适应性控制。于是,车辆用系统即使在网关的存储器容量少的情况下,也能够将日志保存到其他的车载装置。
并且,例如也可以是,所述车辆用系统进一步具备判断器,该判断器按照所述多个车载装置中的异常发生顺序,判断是否发生了所述非法的攻击。
据此,车辆用系统能够恰当地判断是否受到非法的攻击。于是,车辆用系统能够按照是否受到非法的攻击,来进行恰当的控制。
并且,例如可以是,所述判断器,在所述异常发生顺序与规定的顺序相符的情况下,判断为发生了所述非法的攻击,所述规定的顺序是,所述多个车载装置中的至少两个车载装置,沿着规定的入侵路径,从较浅的一侧排列到较深的一侧的顺序。
据此,车辆用系统能够将沿着规定的入侵路径发生的异常,作为非法的攻击来恰当地进行判断。
并且,也可以是,本发明的一个形态所涉及的控制方法按照针对被搭载于所述车辆的多个车载装置的非法的攻击的入侵的深度,对如下方法中的至少一个方法进行变更,这些方法是指,向所述车辆的外部的通信方法、针对所述非法的攻击的防御方法、以及关于所述多个车载装置的日志的保存方法。
据此,使用该控制方法的车辆用系统等能够按照攻击的状况,对通信方法、防御方法或保存方法等进行变更。即,使用该控制方法的车辆用系统等能够针对攻击进行适应性控制。
并且可以是,本发明的一个形态所涉及的程序是使计算机执行上述的控制方法的程序。
据此,执行该程序的计算机等能够按照攻击的状况,对通信方法、防御方法或保存方法等进行变更。即,执行该程序的计算机能够针对攻击进行适应性控制。
而且,这些概括性的或具体的形态可以由系统、装置、方法、集成电路、计算机程序、或计算机可读取的CD-ROM等非暂时性的记录介质来实现,也可以由系统、装置、方法、集成电路、计算机程序、以及、记录介质的任意的组合来实现。
以下参照附图对实施方式进行具体说明。另外,以下将要说明的实施方式均为概括性的或具体的例子。以下的实施方式所示的数值、形状、材料、构成要素、构成要素的配置位置以及连接方式、步骤、步骤的顺序等均为一个例子,其主旨并非是对本权利要求书进行限定。并且,对于以下的实施方式的构成要素之中没有记载在示出最上位概念的独立技术方案中的构成要素,作为任意的构成要素来说明。
(实施方式1)
图1是示出本实施方式中的车辆用系统等的构成的方框图。图1所示的车辆用系统100具备多个车载装置110以及控制器120。基本上,车辆用系统100是车辆用系统100中包括的构成要素的全部或一部分被搭载于车辆130的车载系统。并且,至少一个车载装置110经由外部网络140,与外部装置150连接。
各车载装置110是搭载于车辆130的装置。例如,多个车载装置110可以包括一个以上的电子控制单元(ECU:Electronic Control Unit)。
并且,多个车载装置110也可以包括远程信息控制单元(TCU:TelematicsCommunication Unit)。并且,多个车载装置110也可以包括车载信息娱乐系统(IVI:In-Vehicle Infotainment)。并且,多个车载装置110也可以包括网关(GW:Gateway)。
例如,多个车载装置110经由车载网络彼此进行通信。并且,多个车载装置110中的第1车载装置110可以经由多个车载装置110中的第2车载装置110,与多个车载装置110中的第3车载装置110进行通信。
控制器120是对多个车载装置110进行控制的控制器。控制器120不受限于直接与各个车载装置110连接的情况,也可以经由一个车载装置110与其他的车载装置110连接。并且,控制器120也可以经由一个车载装置110,对其他的车载装置110进行控制。
并且,控制器120也可以包括在多个车载装置110的某一个中。具体而言,控制器120可以包括在多个车载装置110的TCU中。或者,控制器120可以包括在多个车载装置110的IVI中。或者,控制器120可以包括在多个车载装置110的GW中。或者,控制器120可以包括在其他的车载装置110中。
并且,控制器120按照对多个车载装置110的非法攻击的入侵的深度,对如下方法的至少其中之一进行变更,这些方法是:向车辆130的外部的通信方法、针对非法攻击的防御方法、以及与多个车载装置110有关的日志的保存方法。例如,控制器120按照入侵的深度的变更,对通信方法、防御方法、保存方法的至少其中之一进行变更。
关于向车辆130的非法攻击的入侵的深度,例如根据攻击的结果来判断,即在ECU等车载装置110中,当程序的工作成为攻击者所企图的状态时,判断为深度进展了。但是,在被攻击的ECU等车载装置110中的程序的工作给多个功能或多个ECU等带来影响的状态下,则会判断为仅是被攻击的ECU等的深度进展,而针对其他的关联的ECU等(受到影响的ECU等)则会判断为深度没有进展。
车辆130是在路上行驶的车辆。车辆用系统100基本上被搭载在车辆130。车辆130可以是汽油车、电动车、混合动力车,还可以是其他的机动车。
外部网络140是车辆130的外部的通信网络。例如,外部网络140是互联网。至少一个车载装置110通过无线与外部网络140连接。
外部装置150是车辆130的外部的装置。例如,外部装置150是服务器。外部装置150与至少一个车载装置110,经由外部网络140彼此通信。
图2是示出图1所示的车辆用系统100的功能块的模式图。例如,车辆用系统100具备:异常检测部201、保存控制部202、一个以上的保存部203、信息收集部204、受害检测部205、发送控制部206、以及一个以上的发送部207。
这些构成要素可以包括在图1所示的控制器120中,也可以包括在图1所示的多个车载装置110。或者,异常检测部201、保存控制部202、信息收集部204、受害检测部205、以及发送控制部206也可以包括在控制器120中。而且,一个以上的保存部203以及一个以上的发送部207也可以包括在多个车载装置110。
异常检测部201是对车载装置110或车载网络的异常进行检测的信息处理部。例如可以是,异常检测部201包括在车载装置110中,通过对该车载装置110进行监视,来检测车载装置110的异常。并且也可以是,异常检测部201通过经由网络对车载装置110进行监视,从而对该车载装置110的异常进行检测。异常检测部201也可以对车载网络进行监视,对车载网络的异常进行检测。
并且例如也可以是,异常检测部201按照车载装置110或车载网络的日志等,对车载装置110或车载网络的异常进行检测。
受害检测部205是对车辆130、车载装置110或车载网络的受害进行检测的信息处理部。例如,受害检测部205对没有正常工作的状态进行检测。受害检测部205可以对车辆130、车载装置110或车载网络的工作异常、工作停止、反应降低或反应过强等进行检测。并且,异常检测部201所进行的检测、与受害检测部205所进行的检测可以有一部分重复。并且,异常可以包括受害,受害也可以包括异常。
并且例如也可以是,受害检测部205按照车载装置110或车载网络的日志等,对车辆130、车载装置110或车载网络的受害进行检测。
保存控制部202是对信息的保存进行控制的信息处理部。例如,保存控制部202按照异常检测部201以及受害检测部205中的检测结果,对保存场所、保存形式、保存定时、以及保存对象信息等进行控制。
具体而言,在GW、TCU以及IVI分别具备保存部203的情况下,保存控制部202可以对保存到GW、TCU以及IVI所包括的多个保存部203中的哪个保存部203进行控制。并且,保存控制部202也可以控制保存对象信息的安全等级。例如,保存控制部202可以对是否在保存对象信息中签名进行控制。并且,保存控制部202也可以对保存频度进行控制。
并且,保存控制部202也可以将包括发生异常时在内的一定期间的范围中的所有日志,作为保存对象信息来决定,也可以从所有日志、异常日志、正常日志以及采样日志等中,决定保存对象信息。并且也可以是,保存控制部202经由信息收集部204,从车载装置110以及车载网络等收集信息,将收集的信息保存到保存部203。
保存部203是保存信息的信息处理部。例如,保存部203是存储器等存储部。保存控制部202通过将信息保存到保存部203,从而信息被保存到保存部203。
并且,车辆用系统100可以具备一个保存部203,也可以具备多个保存部203。并且可以是,一个车载装置110具备多个保存部203,也可以是多个车载装置110的每一个具备一个以上的保存部203。并且,控制器120也可以具备保存部203。
发送控制部206是对信息的发送进行控制的信息处理部。例如,发送控制部206按照异常检测部201以及受害检测部205中的检测结果,对发送目的地、发送路径、发送定时、以及发送对象信息等进行控制。
具体而言,发送控制部206可以从服务器、基础设施、信息终端以及其他的车辆等选择发送目的地。并且,发送控制部206也可以从移动电话网、WiFi(注册商标)、DSRC(Dedicated Short Range Communications:专用短程通信)、以及V2V等来选择发送路径。并且,发送控制部206可以对发送频度进行控制。
并且,发送控制部206可以将包括发生异常时在内的一定期间的范围中的所有日志,作为发送对象信息来决定,从所有日志、异常日志、正常日志以及采样日志等中,决定发送对象信息。并且也可以是,发送控制部206经由信息收集部204,从车载装置110以及车载网络等收集信息,将收集的信息发送到发送部207。
发送部207是对信息进行发送的信息处理部。例如,发送部207可以具备用于通过无线来发送信息的天线。通过发送控制部206将信息发送到发送部207,从而发送部207对信息进行发送。
并且,车辆用系统100可以具备一个发送部207,也可以具备多个发送部207。并且,可以是其中一个车载装置110具备多个发送部207,也可以是多个车载装置110的每一个具备一个以上的发送部207。并且,控制器120可以具备发送部207。
信息收集部204是收集信息的信息处理部。例如,信息收集部204从多个车载装置110以及车载网络等,收集保存对象信息以及发送对象信息等。信息收集部204可以经由车载网络,从车载装置110收集保存对象信息以及发送对象信息等。并且,信息收集部204可以经由车载网络以及其他的车载装置110等,从一个车载装置110收集保存对象信息以及发送对象信息等。
例如,控制器120具备保存控制部202以及发送控制部206等,按照针对多个车载装置110的非法的攻击的入侵的深度,对日志的保存方法、以及日志的发送方法等进行变更。另外,图2的构成是一个例子,车辆用系统100的构成并非受图2的例子所限。
图3是示出图1所示的车辆用系统100中的入侵的深度的概念图。车辆用系统100与外部网络140连接。因此,具有非法的攻击从外部网络140,入侵到车辆用系统100的可能性。
例如,车辆用系统100中的多个车载装置110包括:直接与外部网络140连接的车载装置110、以及经由其他的车载装置110与外部网络140连接的车载装置110。而且,车辆用系统100中的多个车载装置110可以包括经由2个以上的车载装置110,与外部网络140连接的车载装置110。
据此,车辆用系统100中的多个车载装置110可以包括在通信路径上离外部网络140近的车载装置110、以及离外部网络140远的车载装置110。基本上针对车辆用系统100的非法的攻击,是从离外部网络140近的车载装置110开始,依次对离外部网络140远的车载装置110进行攻击。
并且,基本上,离外部网络140近的车载装置110是与车辆130的驱动控制的关系浅的信息系统的车载装置,离外部网络140远的车载装置110是与车辆130的驱动控制的关系深的控制系统的车载装置。即,非法的攻击从与车辆130的驱动控制的关系浅的信息系统的车载装置110开始,依次对与车辆130的驱动控制的关系深的控制系统的车载装置110进行攻击。
例如,信息系统的车载装置110受到非法的攻击,被攻击者侵占,接着,与车辆130的驱动控制比较近的车载装置110受到非法的攻击。于是,最后是与车辆130的驱动控制的关系深的控制系统的车载装置110受到非法的攻击,由攻击者侵占,从而车辆130会有被攻击者控制的可能性。
如以上所述,针对车辆用系统100的非法的攻击,例如从离外部网络140近的车载装置110开始,依次向离外部网络140远的车载装置110进行攻击。并且,针对车辆用系统100的非法的攻击,例如从信息系统的车载装置110依次向控制系统的车载装置110进行攻击。并且,针对车辆用系统100的非法的攻击沿着针对多个车载装置110的入侵路径进行。
关于针对车辆用系统100的非法的攻击入侵到哪种程度,可以采用入侵的深度来表现。在入侵为离外部网络140近的位置的情况下,可以表现为入侵浅。在入侵为离外部网络140远的位置的情况下,可以表现为入侵深。
入侵的深度也可以通过与其他的入侵方式的比较,而进行相对的评价。例如,根据假定的规定的入侵路径,来规定针对多个车载装置110的顺序。具体而言,规定第1个车载装置110以及第2个车载装置110等。于是,可以评价为,针对第1个车载装置110的非法的攻击的入侵,比针对第2个车载装置110的非法的攻击的入侵浅。
或者,入侵的深度可以由绝对的数值来规定。例如,在假定的规定的入侵路径中,入侵的深度可以由到达被攻击的车载装置110所经由的车载装置110的数量来规定。
并且,入侵的深度并非受与多个车载装置110之中的受到非法的攻击的车载装置110对应来规定的限制,也可以由针对各个车载装置110的入侵的程度来规定。
例如,车载装置110受到非法的攻击的状态下的入侵的深度可以被评价为,比车载装置110由于非法的攻击而已经被侵占的状态下的入侵的深度浅。并且,在车载装置110具有多个功能的情况下,可以按照受到非法的攻击的功能的数量、或被侵占的功能的数量来规定。例如可以是,在受到非法的攻击的功能的数量、或被侵占的功能的数量越多,则规定为攻击的入侵的深度深。
更具体而言,车载装置110会有存在用于以2个信道来进行通信的2个通信功能的情况。在这种情况下,与一个通信功能被攻击的状态、或一个通信功能被侵占的状态下的入侵的深度相比,2个通信功能被攻击的状态、或2个通信功能被侵占的状态下的入侵的深度深。
并且,入侵的深度也可以基于车辆用系统100的多层防御中的多个层。例如,可以按照多层防御的多个层之中的受到非法的攻击的层相当于哪个层,来确定入侵的深度。
另外,入侵的深度也可以用程度来表现。在这种情况下,入侵的深度越深,入侵的程度越大。并且,入侵的深度也可以用入侵的进展程度来表现。在这种情况下,入侵的深度越深,入侵的进展程度越大。并且,入侵的深度也可以用入侵的达成程度来表现。在这种情况下,入侵的深度越深,入侵的达成程度越高。
在车载装置110或其功能被攻击并被侵占的情况下,车载装置110或其功能陷入不能正常工作的状态。车载装置110或其功能被攻击并被侵占的状态,可以用攻击成功的状态来表现。相反,车载装置110或其功能虽然受到攻击,但是没有被侵占而正常工作的状态,可以用攻击失败的状态来表现。可以规定为,攻击成功的状态下的入侵的深度,比攻击失败的状态下的入侵的深度深。
图4是示出图1所示的车辆用系统100进行的基本的工作的流程图。
控制器120按照针对多个车载装置110的非法的攻击的入侵的深度,对如下方法中的至少一个方法进行变更,这些方法是指,向车辆130的外部的通信方法、针对非法的攻击的防御方法、以及关于多个车载装置110的日志的保存方法(S101)。在此,非法的攻击的入侵的深度可以是针对多个车载装置110的每一个进行非法攻击的入侵的深度,也可以是针对多个车载装置110全体进行非法攻击的入侵的深度。
具体而言,控制器120可以针对通信目的地、通信路径、哪个车载装置110用于通信、通信频度、通信定时、以及通信内容,至少对其中之一进行变更,据此来变更通信方法。并且,控制器120也可以通过对车辆130或一个以上的车载装置110等的工作模式进行变更,从而对防御方法进行变更。
并且,控制器120可以针对保存目的地、哪个车载装置110用于保存、保存频度、保存定时、保存内容、保存内容的签名的有无、以及保存内容的加密的有无,至少对其中之一进行变更,从而对保存方法进行变更。
例如,在入侵深的情况下,控制器120可以将与入侵浅的情况不同的通信路径用于通信。并且,在入侵深的情况下,控制器120可以将与入侵浅的情况不同的工作,作为针对攻击的防御,来使多个车载装置110执行。并且,在入侵深的情况下,控制器120可以将日志保存到,与入侵浅的情况不同的保存目的地。
并且,控制器120可以按照非法的攻击的入侵的深度,来收集入侵路径上的车载装置110的日志,对入侵路径上的车载装置110的日志进行发送或保存。
并且,在入侵深的情况与入侵浅的情况中,车辆用系统100中的多个车载装置110之中能够利用的车载装置110不同。控制器120可以按照入侵的深度,来选择能够利用的车载装置110,并进行通信、防御或保存的控制,以使能够利用的车载装置110被使用。即,控制器120以被攻击的车载装置110不被使用的方式,来进行通信、防御或保存的控制。
据此,控制器120能够按照攻击的状况,来对通信方法、防御方法或保存方法等进行变更。即,控制器120针对攻击,能够进行适应性控制。
并且,控制器120也可以对多个车载装置110的每一个中的异常进行检测。例如,控制器120在多个车载装置110中的一个车载装置110发生了异常的情况下,对一个车载装置110中发生的异常进行检测。控制器120可以收集多个车载装置110的每一个的日志,并根据日志来检测异常,也可以针对多个车载装置110发送指令,并根据该指令的应答来检测异常。
于是,控制器120可以按照检测的异常,来估计非法的攻击的入侵的深度。例如,控制器120可以将入侵的深度估计为到达检测到异常的车载装置110。于是,控制器120可以根据估计的深度,对通信方法、防御方法或保存方法等进行变更。
并且,入侵的深度到达车载装置110可以用入侵到达车载装置110、或攻击到达车载装置110来表现。
以下,利用图5至图17,对上述的车辆用系统100进行更具体的说明。
图5是示出图1所示的车辆用系统100的第1具体例的方框图。
图5所示的车辆用系统100被搭载在车辆310,具备E-call311、TCU312、IVI313、GW315、ADAS ECU317、V2X ECU318、一个以上的ECU319、以及一个以上的控制系统ECU320等。例如,TCU312以及IVI313由USB(通用串行总线)来连接。
并且,E-call311、TCU312、IVI313、以及GW315由CAN(Controller Area Network:控制器局域网)或以太网(注册商标)来连接。并且,GW315、ADAS ECU317、以及V2X ECU318由CAN或以太网(注册商标)来连接。并且,GW315、一个以上的ECU319、以及一个以上的控制系统ECU320由CAN或以太网(注册商标)来连接。
并且,车辆用系统100的至少一部分的构成要素之间可以由CAN以及以太网(注册商标)这双方来连接,也可以通过CAN以及以太网(注册商标)这双方来通信。
在此,ADAS ECU317以及V2X ECU318所连接的总线、与一个以上的ECU319以及一个以上的控制系统ECU320所连接的总线彼此不同。不过,ADAS ECU317、V2X ECU318、一个以上的ECU319、以及一个以上的控制系统ECU320也可以被连接到共同的总线。
并且,E-call311以及TCU312经由移动电话网,互联网302连接,经由互联网302,与服务器301连接。并且,IVI313由Bluetooth(注册商标)、USB或WiFi(注册商标),与AP303或终端装置304等连接。并且,IVI313经由AP303或终端装置304等,与互联网302连接,经由互联网302,与服务器301连接。
并且,V2X ECU318由DSRC或WiFi(注册商标)而与车辆305或基础设施306连接。车辆305以及基础设施306与互联网302连接,经由互联网302,与服务器301连接。
E-call311、TCU312、IVI313、GW315、ADAS ECU317、V2X ECU318、一个以上的ECU319、以及一个以上的控制系统ECU320是图1所示的多个车载装置110的例子。并且,服务器301是图1所示的外部装置150的例子。并且,互联网302是图1所示的外部网络140的例子。
E-call311是在事故发生时对信息进行自动地发送的信息处理部。E-call311也可以表现为自动紧急通报装置。例如,E-call311经由移动电话网,通过无线与互联网302连接,经由互联网302,将信息发送给服务器301。E-call311也可以包括用于以无线进行通信的天线。并且,E-call311也可以与TCU312一体化。
TCU(远程信息控制单元)312是进行通信的信息处理部。例如,TCU312经由移动电话网,通过无线与互联网302连接,经由互联网302,与服务器301进行通信。TCU312也可以包括用于进行无线通信的天线。并且,TCU312也可以与E-call311一体化。
IVI(车载信息娱乐系统)313是提供信息以及娱乐等的信息处理部。IVI313也可以表现为信息提供装置。例如,IVI313作为汽车导航、车载音响或电视调谐器等而被利用。
例如,IVI313具有Bluetooth(注册商标)或WiFi(注册商标)等通信功能,可以与AP303或终端装置304等连接。而且,IVI313可以经由AP303或终端装置304等与互联网302连接,经由互联网302与服务器301进行通信。并且,IVI313也可以包括用于进行无线通信的天线。
GW(网关)315是与多个网络连接的信息处理部,将信息从一个网络传输到其他的网络。例如,GW315与E-call311和TCU312和IVI313的网络连接、与ADAS ECU317和V2XECU318的网络连接、与一个以上的ECU319和一个以上的控制系统ECU320的网络连接。
并且,GW315也可以与车辆310中的其他的各构成要素,能够通过多个信道进行通信。例如,GW315可以将CAN的信道作为主信道来进行通信,可以将以太网(注册商标)的信道作为副信道来进行通信。于是,GW315可以按照每个信道来具备独立的硬件以及软件。据此,GW315即使在一方的信道不能利用的情况下,也能够利用另一方的信道。将仅在一方的信道进行最低限的控制的工作模式称为安全模式。
ADAS(高级辅助驾驶系统:Advanced Driver Assistant System)ECU317是对车辆310的驾驶员的驾驶操作进行辅助的信息处理部。例如,ADAS ECU317通过将用于驾驶车辆310的信号发送给控制系统ECU320,从而进行保持车道或自动制动等驾驶辅助。即,ADASECU317对用于辅助车辆310的驾驶的自动化进行控制。
V2X ECU318是与其他的车辆305或基础设施306等进行通信的信息处理部。与其他的车辆305的通信也称为车与车之间的通信(V2V)。与基础设施306的通信也称为路与车之间的通信(V2I)。并且,V2X ECU318也可以表现为V2X通信部。例如,V2X ECU318通过无线与其他的车辆305或基础设施306等连接,与其他的车辆305或基础设施306等进行通信。V2XECU318也可以包括用于进行无线通信的天线。
ECU319是进行车辆310的电子控制的信息处理部。ECU319进行与车辆310的驱动控制不同的控制。ECU319可以对车窗的开闭进行控制,也可以对锁门进行控制。
控制系统ECU320与ECU319同样,是进行车辆310的电子控制的信息处理部。控制系统ECU320进行车辆310的驱动控制。控制系统ECU320可以对车辆310的行驶进行控制,也可以对车辆310的停止进行控制。并且,控制系统ECU320可以对车辆310的行驶速度进行控制,也可以对车辆310的行驶方向(转向)进行控制。
服务器301是进行信息处理的信息处理装置。服务器301经由互联网302等,与车辆310进行通信。例如,服务器301从车辆310收集日志等信息,通过对日志等信息进行分析来获得非法的攻击等信息,并向车辆310提供非法的攻击等信息。
互联网302是用于进行信息通信的通信网络。服务器301以及车辆310等经由互联网302进行通信。
AP(接入点)303是进行无线通信的信息处理装置。AP303也被称为无线基站。例如,AP303与IVI313进行无线通信。并且,AP303通过无线或有线与互联网302连接,经由互联网302,与服务器301进行通信。据此,AP303对IVI313与服务器301之间的通信进行中继。
终端装置304是进行通信的信息处理装置。终端装置304可以是便携式信息终端,可以是便携式电话、智能手机、平板电脑。例如,终端装置304通过无线或有线与IVI313进行通信。并且,终端装置304通过无线与互联网302连接,经由互联网302,与服务器301进行通信。据此,终端装置304对IVI313与服务器301之间的通信进行中继。
车辆305是与车辆310不同的车辆。车辆305与车辆310进行车与车之间的通信。并且,车辆305可以与互联网302连接,经由互联网302,能够与服务器301进行通信。并且,车辆305可以是与车辆310相同的构成。
基础设施306是道路或信号灯等设备。基础设施306与车辆310进行道路与车之间的通信。并且,基础设施306可以与互联网302连接,经由互联网302,能够与服务器301进行通信。
车辆用系统100还可以具备起到控制器120的作用的监视ECU316。
监视ECU316对车辆用系统100中包括的E-call311、TCU312、IVI313、GW315、ADASECU317、V2X ECU318、一个以上的ECU319、以及一个以上的控制系统ECU320等进行监视。并且,监视ECU316与多个车载网络连接,对多个车载网络进行监视。在此,多个车载网络例如包括用于以CAN进行通信的多个总线。
监视ECU316可以经由一个以上的车载网络,对E-call311、TCU312、IVI313、GW315、ADAS ECU317、V2X ECU318、一个以上的ECU319、以及一个以上的控制系统ECU320等进行监视。例如,监视ECU316可以从各个构成要素获得日志,按照日志来检测非法的工作。或者,监视ECU316可以向各个构成要素发送指示信号,按照针对指示信号的应答信号,来检测非法的工作。
车辆用系统100也可以不具备监视ECU316,而是在IVI313具备与监视ECU316起到相同作用的监视块314。例如,监视块314在IVI313中,可以与IVI313的基本功能的安装部分隔开安装。监视块314的安装可以采用虚拟机监视器、多个CPU、多核心、或TrustZone(注册商标)等。
例如,针对服务器301的正常日志以及异常日志的随时发送或紧急发送会有受到非法的攻击而被阻碍的情况。并且,有难于将事故验证用日志保存到车辆310的情况。并且,TCU312或GW315由非法的攻击侵占,而会有难于防御非法的攻击的情况。
对此,例如IVI313可以被用于车辆用系统100的可靠性的提高。具体而言,IVI313可以随时保存日志,在能够通信时进行发送。并且,IVI313在紧急时可以利用IVI313的资源,来确定车辆310的状态,对ADAS进行无效化。
并且,IVI313可以利用安全芯片,将事故发生时的日志附加签名来保存。并且,IVI313可以通过利用安全芯片来保证完备性,从而对TCU312或GW315的侵占进行监视。
并且,IVI313可以通过虚拟技术或CPU的双重化,来分离成两个以上的块。于是,如以上所述,可以在一个块(监视块314)中设置监视功能。于是,监视块314可以对TCU312以及GW315等进行监视,来确定异常以及受害的状态。
并且,TCU312可以进行正常日志的定期加载、以及发生异常时的紧急通知。另外,IVI313在TCU312不进行正常日志的定期加载的情况下,可以对正常日志进行暂时保存以及再次加载。
并且,IVI313也可以对异常时的分析所需要的日志进行收集、选别、保存以及加载。并且,IVI313也可以检测TCU312的侵占。并且,在TCU312被侵占的情况下,IVI313可以通过WiFi(注册商标)等其他的通信路径来进行通信。并且,IVI313也可以保存证据日志。
并且,也可以取代IVI313,而可以由GW315来进行监视,也可以由ADAS ECU317进行监视、由V2X ECU318进行监视。并且,GW315可以被双重化,ADAS ECU317也可以被双重化、V2X ECU318也可以被双重化。即,监视块314可以被配置在GW315、也可以被配置在ADASECU317、还可以被配置在V2X ECU318。
图6是示出图5所示的车辆用系统100中的第1入侵例的概念图。例如,针对车辆用系统100,设想以TCU312、IVI313、GW315、ADAS ECU317、以及控制系统ECU320的顺序受到攻击。
另外,针对TCU312的攻击也有被跳过的情况。例如,在TCU312只是不起作用的结构物的情况下,则TCU312不会被侵占,而IVI313有被攻击的可能性。并且,会有针对ADASECU317的攻击被跳过的情况。例如,在GW315被侵占的情况下,不会对ADAS ECU317进行攻击,而控制系统ECU320有被攻击的可能性。
图7是示出图5所示的车辆用系统100中的在第1入侵例中,监视ECU316或监视块314进行控制的情况下的控制例的图表。在图7中示出了,在第1入侵例中的入侵的各个深度中,监视ECU316或监视块314所进行的控制。在该例子中,监视ECU316按照入侵的深度,对关于通知、防御以及保存的控制进行变更。另外,可以采用与通知同样的通信方法,将保存的日志发送给服务器301。
例如,在针对TCU312的攻击失败了的情况下,监视ECU316将攻击的信息在TCU312通知给服务器301。并且,在针对TCU312的攻击成功了的情况下,监视ECU316将攻击的信息在IVI313通知给服务器301。
并且,在TCU312受到攻击的情况下,监视ECU316使TCU312停止,将与外部进行通信的通信系统切换为不经由TCU312的通信系统。另外,若针对TCU312的攻击失败,监视ECU316则可以将攻击的信息在TCU312通知给服务器301之后,将与外部进行通信的通信系统切换为不经由TCU312的通信系统。
并且,在TCU312受到攻击的情况下,监视ECU316收集TCU312的日志、以及TCU312所连接的车载网络的日志,在这些日志上附加签名,在监视ECU316对这些日志进行保存。具体而言,监视ECU316将日志保存到监视ECU316所具备的存储器中。此时,监视ECU316可以利用GPS(Global Positioning System)以及GPS时间,将位置信息以及时间戳附加到日志。
并且,在IVI313受到攻击的情况下,若TCU312能够利用,监视ECU316则在TCU312将攻击的信息通知给服务器301。若TCU312不能利用,监视ECU316则将攻击的信息在V2XECU318或E-call311通知给服务器301。在全都不能利用的情况下,监视ECU316将攻击的信息通知给用户。
在入侵到达比IVI313深的情况下也是同样,以相同的通信路径进行通知。监视ECU316可以按照深度对通知的信息进行变更。
并且,在IVI313受到攻击的情况下,监视ECU316使IVI313停止,将与外部进行通信的通信系统切换为不经由IVI313的通信系统。并且,在IVI313受到攻击的情况下,监视ECU316将IVI313的日志、以及IVI313所连接的车载网络的日志添加到保存对象的日志中。即,在这种情况下,监视ECU316对IVI313的日志、以及IVI313所连接的车载网络的日志进行重新保存。
并且,在针对具有两个信道的各自的通信功能的GW315的一方的信道的通信功能的攻击成功了的情况下,监视ECU316经由能够利用的另一方的信道,将GW315的工作模式切换为安全模式。据此,仅是两个信道中的能够利用的另一方的信道被用于通信。在针对GW315的所有的信道的攻击成功了的情况下,监视ECU316使自动驾驶停止。或者,在这种情况下,监视ECU316将自动驾驶移向故障自动保护。或者,在这种情况下,监视ECU316可以发出使车辆310的行驶停止的指示。
并且,在GW315的一方的信道受到攻击的情况下,监视ECU316将受到攻击的信道的信息等,通知给ADAS ECU317以及控制系统ECU320等。据此,监视ECU316以ADAS ECU317以及控制系统ECU320等不会从被攻击的信道接收信号的方式来进行控制。
并且,在GW315受到攻击的情况下,监视ECU316以错误帧来覆盖CAN中的非法指令。例如,监视ECU316在对从GW315输出的指令进行检测的情况下,通过输出错误帧,从而能够以错误帧来覆盖从GW315输出的指令。
并且,在GW315受到攻击的情况下,监视ECU316将GW315的日志添加到保存对象的日志。监视ECU316可以按照每个信道来保存GW315的日志。
并且,在ADAS ECU317或控制系统ECU320受到攻击的情况下,监视ECU316可以用错误帧来覆盖CAN中的非法指令。例如,监视ECU316在检测到从ADAS ECU317或控制系统ECU320输出的指令的情况下,也可以输出错误帧。据此,从ADAS ECU317或控制系统ECU320输出的指令由错误帧覆盖。
并且,在ADAS ECU317或控制系统ECU320受到攻击的情况下,监视ECU316将ADASECU317或控制系统ECU320的日志添加到保存对象的日志。在这种情况下,监视ECU316可以在保存对象的日志中添加ADAS ECU317、V2X ECU318、一个以上的ECU319、以及一个以上的控制系统ECU320的日志。于是,监视ECU316可以按照每个ECU来保存这些日志。
并且,在ADAS ECU317或控制系统ECU320受到攻击的情况下,监视ECU316可以将ADAS ECU317或控制系统ECU320所连接的车载网络的日志添加到保存对象的日志。并且,在这种情况下,监视ECU316可以将ADAS ECU317、V2X ECU318、一个以上的ECU319、以及一个以上的控制系统ECU320所连接的多个总线的日志添加到保存对象的日志。于是,监视ECU316可以按照每个总线来保存这些日志。
入侵越深,则日志的信息量就越大。监视ECU316为了进一步提高安全性,可以按照比当前的入侵的深度更深的入侵的深度,来保存日志,也可以发送日志。例如,在IVI313受到攻击的情况下,监视ECU316可以将GW315的日志包含在保存对象的日志中。
并且,以上虽然示出了监视ECU316的工作,在IVI313中的监视块314替代监视ECU316时,也能够进行同样的工作。在图5所示的构成中,在GW315受到攻击的情况下,监视块314经由GW315来收集控制系统ECU320等日志会有困难的可能性。然而,若GW315的两个信道中的一方能够利用,则监视块314可以经由能够利用的信道,来收集控制系统ECU320等日志。
并且,监视块314可以将日志保存到监视块314的内部的存储器,IVI313可以将日志保存到监视块314的外部具备的存储器。并且,若GW315的两个信道中的一方能够利用,监视块314可以则经由能够利用的信道,指示ECU319等,以错误帧来覆盖受到攻击的构成要素输出的指令。
图8是示出在图5所示的车辆用系统100中的第1入侵例中,由GW315进行控制的情况下的控制例的图表。图8示出了,在第1入侵例中的入侵的各个深度,不是由监视ECU316或监视块314进行控制,而是由GW315来进行控制。在该例子中,GW315按照入侵的深度,对关于通知、防御以及保存的控制进行变更。
在入侵的深度与TCU312或IVI313对应的情况下,GW315所进行的控制与监视ECU316等进行的控制相同,与图7所示的控制相同。因此,在入侵的深度与TCU312或IVI313对应的情况下,可以将图7的说明中的监视ECU316替换为GW315。
并且,在针对GW315的两个信道中的一方的信道的攻击成功的情况下,GW315使用能够利用的另一方的信道,以与入侵的深度对应于TCU312或IVI313的情况相同的通信路径,向服务器301进行通知。在入侵到达了比GW315深的情况下也是同样,GW315使用能够利用的另一方的信道,以相同的通信路径向服务器301进行通知。GW315可以按照深度对通知的信息进行变更。
并且,GW315在检测到攻击的指令的情况下,禁止该指令的传输。并且,在针对GW315的两个信道中的一方的信道的攻击成功的情况下GW315使其他的信道的通信功能停止,将工作模式切换为安全模式。并且,在GW315的所有的信道被攻击之前,GW315使自动驾驶停止。或者,在GW315的所有的信道被攻击之前,GW315使自动驾驶移向故障自动保护。或者,在这种情况下,GW315可以发出使车辆310的行驶停止的指示。
并且,GW315通过将被攻击的信道通知给ADAS ECU317以及控制系统ECU320等,ADAS ECU317以及控制系统ECU320等以不接收来自被攻击的信道的信号的方式来进行控制。
并且,在GW315被攻击的情况下,GW315将GW315的日志添加到保存对象的日志。GW315也可以按每个信道来保存GW315的日志。
并且,在ADAS ECU317或控制系统ECU320受到攻击的情况下,若GW315的一方的信道能够利用,GW315则将ADAS ECU317或控制系统ECU320的日志添加到保存对象的日志。
即在ADAS ECU317或控制系统ECU320受到攻击的情况下,GW315经由能够利用的信道,收集ADAS ECU317或控制系统ECU320的日志,并保存收集的日志。并且,在这种情况下,GW315可以将ADAS ECU317、V2X ECU318、一个以上的ECU319、以及一个以上的控制系统ECU320的日志添加到保存对象的日志。于是,GW315可以按照每个ECU来保存这些日志。
并且,在ADAS ECU317或控制系统ECU320受到攻击的情况下,若GW315的一方的信道能够利用,GW315则可以将ADAS ECU317或控制系统ECU320所连接的车载网络的日志添加到保存对象的日志。
即,在ADAS ECU317或控制系统ECU320受到攻击的情况下,GW315经由能够利用的信道,收集ADAS ECU317或控制系统ECU320所连接的车载网络的日志,并保存收集的日志。并且,在这种情况下,GW315可以将ADAS ECU317、V2X ECU318、一个以上的ECU319、以及一个以上的控制系统ECU320所连接的多个总线的日志添加到保存对象的日志。于是,GW315可以按照每个总线来保存日志。
入侵的深度越深,则日志的信息量就越大。GW315为了进一步提高安全性,可以按照比当前的入侵的深度更深的入侵的深度,来保存日志,并发送日志。在IVI313受到攻击的情况下,GW315将GW315的日志包括在保存对象的日志中。
GW315所具备的存储器的容量基本上比较小。因此,GW315可以在GW315所具备的存储器中保存最小限的日志,将剩余的日志保存到IVI313所具备的存储器。并且,GW315在IVI313没有受到攻击的情况下,可以将剩余的日志等保存到IVI313所具备的存储器。
并且,与IVI313中的监视块314同样,GW315可以包括监视块,GW315中的监视块可以进行上述的控制。据此,GW315中的监视块能够进行与监视ECU316同等的控制。
图9是示出在图5所示的车辆用系统100的第1入侵例中,由ADAS ECU317进行控制的情况下的控制例的图表。图9示出了,在第1入侵例中的入侵的各个深度中,不是由监视ECU316或监视块314进行控制,而是由ADAS ECU317进行控制。在该例子中,ADAS ECU317按照入侵的深度,对与通知、防御以及保存有关的控制进行变更。
在入侵的深度与TCU312、IVI313以及GW315的任一个对应的情况下,由ADASECU317进行的控制与由监视ECU316等进行的控制相同,与图7所示的控制相同。因此,在入侵的深度与TCU312、IVI313以及GW315的任一个对应的情况下,能够将图7的说明中的监视ECU316替换为ADAS ECU317。
不过,在ADAS ECU317收集TCU312以及IVI313等的日志时,经由GW315能够利用的信道来收集日志。并且,ADAS ECU317经由GW315,对TCU312以及IVI313的非法的工作进行检测等。
并且,在入侵的深度与ADAS ECU317相同、或比ADAS ECU317深的情况下,由于ADASECU317会因攻击而有不能进行恰当的工作的情况,因此在该例子中没有对控制进行规定。
图10是示出在图5所示的车辆用系统100的第1入侵例中,由V2XECU318进行控制的情况下的控制例的图表。图10示出了,在第1入侵例中的入侵的各个深度中,不是由监视ECU316或监视块314进行控制,而是由V2X ECU318进行控制。在该例子中,V2X ECU318按照入侵的深度,对与通知、防御以及保存有关的控制进行变更。
V2X ECU318所进行的控制与由监视ECU316等进行的控制相同,与图7所示的控制相同。因此,能够将图7的说明中的监视ECU316替换为V2XECU318。
不过,在V2X ECU318收集TCU312、IVI313以及控制系统ECU320等的日志时,经由GW315能够利用的信道来收集日志。并且,V2X ECU318经由GW315,对TCU312以及IVI313的非法的工作进行检测等。
图11是示出在图5所示的车辆用系统100的第1入侵例中,由IVI313进行控制的情况下的控制例的图表。图11示出了,在第1入侵例中的入侵的各个深度中,不是由监视ECU316或监视块314进行控制,而是由IVI313来进行控制。在该例子中,IVI313按照入侵的深度,对与通知、防御以及保存有关的控制进行变更。
并且,在该例子中设想IVI313不具备监视块314。并且,在该例子中设想,在TCU312受到攻击后,IVI313不受到攻击,而GW315受到攻击。
在入侵的深度与TCU312对应的情况下,由IVI313进行的控制与由监视ECU316等进行的控制相同,与图7所示的控制相同。因此,在入侵的深度与TCU312对应的情况下,能够将图7的说明中的监视ECU316替换为IVI313。
并且,在GW315受到攻击的情况下,若TCU312能够利用,IVI313则将攻击的信息在TCU312通知给服务器301。并且,在这种情况下,若TCU312不能利用,IVI313则将攻击的信息在IVI313通知给服务器301。即,若TCU312不能利用,IVI313不经由TCU312,而经由从IVI313向服务器301连接的通信路径,将攻击的信息通知给服务器301。
在入侵到比GW315深的情况下也是同样,以相同的通信路径进行通知。IVI313可以按照深度来变更将要通知的信息。
并且,在针对GW315的两个信道中的一方的信道的攻击成功的情况下,IVI313经由另一方的信道,将GW315的工作模式切换为安全模式。并且,IVI313通过经由能够利用的信道,将被攻击的信道通知给ADAS ECU317以及控制系统ECU320等,从而能够控制成ADASECU317以及控制系统ECU320等不接收来自被攻击的信道的信号。
并且,在GW315受到攻击的情况下,IVI313将GW315的日志添加到保存对象的日志。并且,在ADAS ECU317或控制系统ECU320受到攻击的情况下,IVI313将ADAS ECU317或控制系统ECU320的日志添加到保存对象的日志。这些工作与图7以及图8等所示的例子相同。IVI313可以经由GW315能够利用的信道来收集日志。
图12是示出图5所示的车辆用系统100中的第2入侵例的概念图。图12示出了与图5所示的第1入侵例不同的第2入侵例。在该例子中设想,针对车辆用系统100而言,以V2XECU318、ADAS ECU317、GW315、以及控制系统ECU320的顺序受到攻击。
另外,向ADAS ECU317的攻击也有被跳过的情况。例如,在V2X ECU318被侵占的情况下,则不会向ADAS ECU317攻击,而是GW315有受到攻击的可能性。并且,向GW315的攻击有被跳过的情况。例如,在ADAS ECU317被侵占的情况下,则不会向GW315攻击,而是控制系统ECU320有受到攻击的可能性。而且,向ADAS ECU317、以及GW315的攻击有被跳过的情况。
图13是示出在图5所示的车辆用系统100的第2入侵例中,由监视ECU316或监视块314进行控制的情况下的控制例的图表。图13示出了在第2入侵例中的入侵的各个深度中,监视ECU316或监视块314所进行的控制。在该例子中,监视ECU316按照入侵的深度,对与通知、防御以及保存有关的控制进行变更。
例如,在V2X ECU318受到攻击的情况下,监视ECU316将攻击的信息在TCU312、IVI313或E-call311通知给服务器301。若全都不能利用,则监视ECU316将攻击的信息通知给用户。在入侵到达比V2X ECU318更深的位置的情况下,也是采用相同的通信路径来进行通知。监视ECU316按照深度,来变更进行通知的信息。
并且,在V2X ECU318受到攻击的情况下,监视ECU316使V2X ECU318停止,将与外部的通信系统切换为不经由V2X ECU318的通信系统。并且,在这种情况下,监视ECU316通过将攻击的信息通知给ADAS ECU317以及控制系统ECU320等,从而能够以不从被攻击的信道接收信号的方式,对ADAS ECU317以及控制系统ECU320等进行控制。
并且,在V2X ECU318受到攻击的情况下,监视ECU316以错误帧来覆盖CAN中的非法指令。例如,监视ECU316在检测到从V2X ECU318输出的指令的情况下,输出错误帧,以错误帧来覆盖从V2X ECU318输出的指令。
并且,在V2X ECU318受到攻击的情况下,监视ECU316收集V2X ECU318的日志、以及V2X ECU318所连接的车载网络的日志。于是,监视ECU316在这些日志中附加签名,在监视ECU316对这些日志进行保存。具体而言,监视ECU316将日志保存到监视ECU316所具备的存储器。此时,监视ECU316可以利用GPS以及GPS时间,将位置信息以及时间戳附加到日志。
并且,在ADAS ECU317受到攻击的情况下,监视ECU316错误帧来覆盖CAN中的非法指令。例如,监视ECU316在检测到从ADAS ECU317输出的指令的情况下,通过输出错误帧,从而以错误帧来覆盖从ADAS ECU317输出的指令。并且,在ADAS ECU317受到攻击的情况下,监视ECU316将ADAS ECU317的日志添加到保存对象的日志。
并且,在针对GW315的两个信道中的一方的信道的攻击成功的情况下,监视ECU316经由另一方的信道,将GW315的工作模式切换为安全模式。在针对GW315的所有信道的攻击都成功的情况下,监视ECU316使自动驾驶停止。或者,在这种情况下,监视ECU316使自动驾驶移向故障自动保护。或者,在这种情况下,监视ECU316可以发出使车辆310的行驶停止的指示。
并且,在GW315受到攻击的情况下,监视ECU316以错误帧来覆盖CAN中的非法指令。例如,监视ECU316在检测到从GW315输出的指令的情况下,通过输出错误帧,从而以错误帧来覆盖从GW315输出的指令。
并且,在GW315受到攻击的情况下,监视ECU316将GW315的日志添加到保存对象的日志。监视ECU316可以按每个信道来保存GW315的日志。
并且,在控制系统ECU320受到攻击的情况下,监视ECU316以错误帧来覆盖CAN中的非法指令。例如,监视ECU316在检测到从控制系统ECU320输出的指令的情况下,通过输出错误帧,从而以错误帧来覆盖从控制系统ECU320输出的指令。
并且,在控制系统ECU320受到攻击的情况下,监视ECU316将控制系统ECU320的日志添加到保存对象的日志。在这种情况下,监视ECU316可以将一个以上的ECU319、以及一个以上的控制系统ECU320的日志添加到保存对象的日志。于是,监视ECU316可以按照每个ECU来保存这些日志。
并且,在控制系统ECU320受到攻击的情况下,监视ECU316可以将控制系统ECU320所连接的车载网络的日志添加到保存对象的日志。并且,在这种情况下,监视ECU316可以将一个以上的ECU319、以及一个以上的控制系统ECU320所连接的多个总线的日志添加到保存对象的日志。于是,监视ECU316可以按照每个总线来保存这些日志。
入侵越深,则日志的信息量就越大。监视ECU316为了进一步提高安全性,可以按照比当前的入侵的深度深的入侵的深度来保存日志,并可以发送日志。例如,在ADAS ECU317受到攻击的情况下,监视ECU316可以将GW315的日志包括在保存对象的日志中。
并且,以上虽然示出了监视ECU316的工作,IVI313中的监视块314可以替代监视ECU316来进行相同的工作。在图5所示的构成中,在GW315受到攻击的情况下,监视块314经由GW315,来收集控制系统ECU320等的日志会有困难的情况。然而,若GW315的两个信道中的一方能够利用,监视块314则可以经由能够利用的信道,来收集控制系统ECU320等的日志。
并且,监视块314可以将日志保存到监视块314的内部的存储器,IVI313也可以将日志保存到监视块314的外部所具备的存储器。并且,若GW315的两个信道中的一方能够利用,监视块314可以经由能够利用的信道,针对ECU319等发出以错误帧来覆盖从被攻击的构成要素输出的指令的指示。
图14是示出在图5所示的车辆用系统100的第2入侵例中,由GW315进行控制的情况下的控制例的图表。在图14中示出了在第2入侵例中的入侵的各个深度中,不是由监视ECU316或监视块314进行控制,而是由GW315进行控制。在该例子中,GW315按照入侵的深度,对与通知、防御以及保存有关的控制进行变更。
在入侵的深度与V2X ECU318或ADAS ECU317对应的情况下,由GW315进行的控制与监视ECU316等所进行控制相同,与图13所示的控制相同。因此,在入侵的深度与V2X ECU318或ADAS ECU317对应的情况下,能够将图13的说明中的监视ECU316替换为GW315。
并且,在针对GW315的两个信道中的一方的信道的攻击成功的情况下,GW315使用能够利用的另一方的信道,以与入侵的深度对应于V2X ECU318或ADAS ECU317的情况相同的通信路径,向服务器301进行通知。并且,在入侵到达比GW315更深的位置的情况下,也采用相同的通信路径进行通知。GW315也可以按照深度来变更通知的信息。
并且,GW315在检测到攻击的指令的情况下,禁止该指令的传输。并且,在针对GW315的两个信道中的一方的信道的攻击成功的情况下,GW315停止该信道的通信功能,将工作模式切换为安全模式。并且,在GW315的所有的信道被攻击前,GW315停止自动驾驶。或者,在GW315的所有的信道被攻击前,GW315将自动驾驶移向故障自动保护。或者,在GW315的所有的信道被攻击前,GW315可以发出使车辆310的行驶停止的指示。
并且,在GW315受到攻击的情况下,GW315将GW315的日志添加到保存对象的日志。GW315可以按每个信道来保存GW315的日志。
并且,在控制系统ECU320受到攻击的情况下,若GW315的一方的信道能够利用,GW315则将控制系统ECU320的日志添加到保存对象的日志。
即在控制系统ECU320受到攻击的情况下,GW315经由能够利用的信道,收集控制系统ECU320的日志,并保存收集的日志。并且,在这种情况下,GW315可以将一个以上的ECU319以及一个以上的控制系统ECU320的日志添加到保存对象的日志。于是,GW315可以按照每个ECU来保存这些日志。
并且,在控制系统ECU320受到攻击的情况下,若GW315的一方的信道能够利用,GW315则可以将控制系统ECU320所连接的车载网络的日志添加到保存对象的日志。
即在控制系统ECU320受到攻击的情况下,GW315经由能够利用的信道,收集控制系统ECU320所连接的车载网络的日志,并保存收集的日志。并且,在这种情况下,GW315可以将一个以上的ECU319以及一个以上的控制系统ECU320所连接的多个总线的日志,添加到保存对象的日志。于是,GW315可以按照每个总线来保存日志。
入侵越深,则日志的信息量就越大。GW315为了进一步提高安全性,可以按照比当前的入侵的深度深的入侵的深度,来保存日志并进行发送。在IVI313受到攻击的情况下,GW315可以将GW315的日志包括在保存对象的日志中。
GW315所具备的存储器的容量基本上比较小。因此,GW315可以将日志的一部分或全部保存到ADAS ECU317所具备的存储器,也可以将日志的一部分或全部保存到IVI313所具备的存储器。并且,在GW315的两个信道中的一方的信道的攻击成功的情况下,GW315可以经由另一方的能够利用的信道,将日志保存到ADAS ECU317所具备的存储器、或IVI313所具备存储器。
并且,在ADAS ECU317被攻击的情况下,GW315可以将日志保存到IVI313所具备的存储器。并且,在IVI313被攻击的情况下,GW315可以将日志保存到ADAS ECU317所具备的存储器。
图15是示出图1所示的车辆用系统100的第2具体例的方框图。图15所示的车辆用系统100基本上与图5所示的车辆用系统100的构成相同但是,在图15所示的车辆用系统100中,ADAS ECU317与V2X ECU318经由GW315来连接。
图16是示出图15所示的车辆用系统100中的入侵例的概念图。在该例子中假定针对车辆用系统100,以V2X ECU318、GW315、ADAS ECU317、以及控制系统ECU320的顺序而被攻击。
另外,给GW315的攻击有被跳过的情况。例如,在V2X ECU318被侵占的情况下,不是向GW315攻击,而是ADAS ECU317有被攻击的可能性。并且,给ADAS ECU317的攻击有被跳过的情况。例如,在GW315被侵占的情况下,不是向ADAS ECU317攻击,而是控制系统ECU320有被攻击的可能性。而且,给GW315以及ADAS ECU317的攻击有被跳过的情况。
图17是示出在图15所示的车辆用系统100中的入侵例中,由ADAS ECU317进行控制的情况下的控制例的图表。在图17中示出了,在图16所示的入侵例中的入侵的各个深度,不是监视ECU316或监视块314进行控制,而是ADAS ECU317进行控制。在该例子中,ADASECU317按照入侵的深度,对与通知、防御以及保存有关的控制进行变更。
例如,在V2X ECU318受到攻击的情况下,ADAS ECU317将攻击的信息,在TCU312、IVI313或E-call311通知给服务器301。若全都不能利用,则ADAS ECU317将攻击的信息通知给用户。
并且,在V2X ECU318受到攻击的情况下,ADAS ECU317停止V2X ECU318,将与外部的通信系统切换为不经由V2X ECU318的通信系统。并且,在这种情况下,ADAS ECU317通过将攻击的信息通知给控制系统ECU320等,从而能够以不从被攻击的信道接收信号的方式,来对控制系统ECU320等进行控制。
并且,在V2X ECU318受到攻击的情况下,ADAS ECU317收集V2X ECU318的日志、以及V2X ECU318所连接的车载网络的日志。于是,ADAS ECU317对这些日志赋予签名,在监视ECU316对这些日志进行保存。
具体而言,ADAS ECU317将日志保存到ADAS ECU317所具备的存储器。此时,ADASECU317可以利用GPS以及GPS时间,将位置信息以及时间戳附加到日志。
并且,在针对GW315的两个信道中的一方的信道的攻击成功的情况下,ADASECU317经由另一方的信道,将GW315的工作模式切换为安全模式。并且,在GW315的所有的信道被攻击前,ADAS ECU317使自动驾驶停止。或者,在GW315的所有的信道被攻击前,ADASECU317将自动驾驶移向故障自动保护。或者,在GW315的所有信道被攻击前,ADAS ECU317可以发出使车辆310的行驶停止的指示。
并且,在GW315受到攻击的情况下,ADAS ECU317以错误帧来覆盖CAN中的非法指令。例如,ADAS ECU317在检测到从GW315输出的指令的情况下,通过输出错误帧,以错误帧来覆盖从GW315输出的指令。
并且,在GW315受到攻击的情况下,ADAS ECU317将GW315的日志添加到保存对象的日志。ADAS ECU317也可以按照每个信道来保存GW315的日志。
图2以及图5至图17等所示的车辆用系统100的构成以及工作仅为例子,车辆用系统100的构成以及工作并非受这些例子所限。车辆用系统100所具备的多个车载装置110以及控制器120可以是各种构成。
例如,GW315也可以与其他的装置一体化。具体而言,GW315可以与TCU312一体化。或者,GW315可以与任一个ECU319一体化,也可以与任一个控制系统ECU320一体化。或者,GW315也可以与ADAS ECU317、或V2XECU318一体化。
并且,例如,车辆用系统100可以具备多个GW315。具体而言,车辆用系统100可以具备用于CAN的GW315、以及用于以太网(注册商标)的GW315。于是,与两个信道的一方被攻击或者双方都被攻击时的防御方法的变更同样,根据是两个GW315的一方被攻击还是双方都被攻击,来变更防御方法。
并且,例如监视ECU316等可以不将日志保存到自身装置,而可以将日志保存到专用的存储装置,也可以将日志保存到其他的装置。并且,监视ECU316等也可以按照入侵的深度,来变更日志的保存目的地的装置。于是,监视ECU316等可以按照入侵的深度,在对日志的保存目的地的装置进行变更的同时,将日志的获得对象的装置进行变更。
在图5等的例子中,经由TCU312、IVI313、GW315、以及ADAS ECU317等,对车辆310的驱动进行控制的控制系统ECU320有被攻击的可能性。另外,在TCU312、IVI313、GW315、ADASECU317、以及控制系统ECU320的其中一个装置的日志,会有难于识别攻击的情况。并且,以一个装置的日志来识别攻击的整体概况是困难的。
具体而言,即使在ADAS ECU317的日志中包括异常的指令,异常的指令也具有因故障、或预想外的操作而造成的可能性。另外,即使在TCU312也发生了异常的情况下,这些异常受到非法的攻击的可能性较高。
因此,例如本实施方式中的车辆用系统100在检测到一个装置被攻击(或者预想到攻击的异常等)的情况下,直到攻击到达该一个装置为止,对经由一个以上的装置的日志进行通知或保存。并且,车辆用系统100不利用被攻击的装置以及功能,对日志进行通知或保存。据此,日志被恰当地通知或保存,因此,攻击以及攻击的整体概况的识别成为可能。
(实施方式2)
在本实施方式中,对用于判断是否被非法的攻击的具体的构成以及处理进行说明。本实施方式中的基本的构成以及处理与利用图1至17所说明的实施方式1中的构成以及处理相同。以下主要对与实施方式1不同的部分进行说明。
图18是示出本实施方式中的车辆用系统100等构成的方框图。与实施方式1比较,车辆用系统100还具备判断器160。
判断器160是对是否受到非法的攻击进行判断的信息处理器。具体而言,判断器160获得示出多个车载装置110中的异常的信息。于是,判断器160按照多个车载装置110中的异常发生顺序,对是否受到非法的攻击进行判断。
例如,判断器160在异常发生顺序与规定的顺序相符的情况下,可以判断为受到非法的攻击。规定的顺序可以是,多个车载装置110中的至少两个车载装置110沿着规定的入侵路径,从浅的一方向深的一方排列的顺序。
并且,判断器160可以包括在控制器120。并且,判断器160也可以包括在多个车载装置110的任一个。并且,判断器160与控制器120同样,可以直接或间接的与多个车载装置110分别连接。
并且,本实施方式中的车辆用系统100如图2所示,可以具备:异常检测部201、保存控制部202、一个以上的保存部203、信息收集部204、受害检测部205、发送控制部206、以及一个以上的发送部207。这些各个构成要素可以包括在图18所示的多个车载装置110、控制器120或判断器160中。
图19是示出图2所示的异常检测部201的功能块的模式图。例如,异常检测部201具备一个以上的检测部401、获得部402、处理部403、存储部404以及输出部405。例如,获得部402、处理部403、存储部404以及输出部405可以包括在判断器160中。并且,一个以上的检测部401可以包括在多个车载装置110中。
检测部401是对车载装置110或车载网络的异常进行检测的信息处理部。例如,检测部401可以包括在车载装置110中,通过对该车载装置110进行监视,来检测该车载装置110的异常。并且,检测部401可以经由网络,对车载装置110进行监视,据此对该车载装置110的异常进行检测。检测部401可以对车载网络进行监视,来对车载网络的异常进行检测。
并且,例如,检测部401可以按照车载装置110或车载网络的日志等,对车载装置110或车载网络的异常进行检测。
获得部402是获得信息的信息处理部。具体而言,获得部402从检测部401获得异常检测结果。例如,检测部401发送异常检测结果,获得部402接收异常检测结果,据此,获得部402从检测部401获得异常检测结果。并且,获得部402通过每当在一个以上的检测部401的每一个检测到异常时就获得异常检测结果,从一个以上的检测部401依次获得多个异常检测结果。
并且,例如获得部402可以按照车载装置110或车载网络的日志等,将示出车载装置110或车载网络的异常的信息作为异常检测结果来获得。
处理部403是对信息进行处理的信息处理部。具体而言,处理部403按照多个异常检测结果,判断是否受到非法的攻击。此时,处理部403按照多个车载装置110中的异常发生顺序,判断是否受到非法的攻击。并且,处理部403在判断为受到非法的攻击的情况下,可以对非法的攻击的入侵路径、以及非法的攻击的入侵的深度进行确定。另外,入侵路径也可以表现为攻击路径。
存储部404是存储有信息的信息蓄积部。存储部404可以是存储器等。在存储部404中存储用于处理部403对信息进行处理的信息,即存储有用于判断是否受到非法的攻击的信息。具体而言,在存储部404中可以存储多个异常检测结果,也可以存储规定的攻击信息,还可以存储非法的攻击的判断结果。
并且,处理部403可以进行将信息存储到存储部404的存储处理,获得部402等其他的构成要素可以进行将信息存储到存储部404的存储处理。并且,处理部403可以进行参照被存储在存储部404的信息的参照处理,输出部405等其他的构成要素可以进行参照被存储在存储部404的信息的参照处理。
输出部405是对信息进行输出的信息处理部。具体而言,输出部405对处理部403中的判断结果等进行输出。即,输出部405对包括是否受到非法的攻击的判断结果的信息进行输出。具体而言,输出部405可以输出是否受到非法的攻击的判断结果、非法的攻击的入侵路径、非法的攻击的入侵的深度、以及异常检测结果等。
例如,从输出部405输出的信息从异常检测部201输出,并被输入到图2所示的保存控制部202以及发送控制部206。保存控制部202以及发送控制部206按照被输入的信息,进行保存以及发送的控制。
另外,输出部405在判断为受到非法的攻击的情况下,可以输出异常检测结果,在判断为没有受到非法的攻击的情况下,可以不输出异常检测结果。并且,在这种情况下,输出部405可以不输出是否受到非法的攻击的判断结果。并且,输出部405在判断为受到非法的攻击的情况下,可以仅输出示出在最深的位置发生的异常的异常检测结果。
并且,图19的构成是一个例子,异常检测部201的构成并非受图19的例子所限。并且,在实施方式1中虽然对受害与异常进行了区分说明,受害也可以作为异常的一种,而与异常同样地被处理。
图20是示出图18所示的车辆用系统100进行的基本的工作的流程图。
判断器160按照多个车载装置110中的异常发生顺序,判断是否受到非法的攻击(S100)。
于是,控制器120在由判断器160判断为受到非法的攻击的情况下(S100的“是”),如实施方式1所示,按照非法的攻击的入侵的深度,对通信方法、防御方法、保存方法中的至少一个进行变更(S101)。另外,控制器120在由判断器160判断为没有受到非法的攻击的情况下(S100的“否”),维持既定的通信方法、既定的防御方法、以及既定的保存方法。
图21是示出图20所示的非法的攻击的判断处理(S100)的流程图。例如,判断器160具备图19所示的获得部402、处理部403、存储部404以及输出部405,这些构成要素进行图21所示的判断处理。
首先,获得部402从检测部401接收异常检测结果,将接收的异常检测结果存储到存储部404(S201)。于是,处理部403从存储部404提取接收的异常检测结果以及检测时刻近的多个异常检测结果(S202)。于是,处理部403将提取的多个异常检测结果,按照检测时刻顺序进行排列(S203)。
于是,处理部403判断被排列的多个异常检测结果是否与规定的攻击顺序相符(S204)。示出规定的攻击顺序的信息也可以被事先存储到存储部404。并且,处理部403可以判断被排列的多个异常检测结果是否与多个规定的攻击顺序中的一个相符。
在被排列的多个异常检测结果与规定的攻击顺序相符的情况下(S204的“是”),处理部403判断这些异常检测结果与非法的攻击相对应(S205)。即处理部403判断为受到非法的攻击。于是,处理部403按照多个异常检测结果以及规定的攻击顺序,对入侵路径以及入侵的深度进行确定(S206)。
在被排列的多个异常检测结果与规定的攻击顺序不相符的情况下(S204的“否”),处理部403判断为这些异常检测结果与非法的攻击不对应(S207)。即,处理部403判断为没有受到非法的攻击。
于是,输出部405对包括是否受到非法的攻击的判断结果的信息进行输出(S208)。例如,在判断为受到非法的攻击的情况下,输出部405对示出受到非法的攻击、入侵路径、以及入侵的深度的信息进行输出。在判断为没有受到非法的攻击的情况下,输出部405对示出没有受到非法的攻击的信息进行输出。
图22是示出图18所示的车辆用系统100等的构成的变形例的方框图。在本变形例中,判断器160包括在外部装置150。
例如,控制器120经由车载装置110,将与多个车载装置110有关的日志发送给外部装置150。并且,在车载装置110发生了异常的情况下,控制器120暂定在车载装置110因非法的攻击发生了异常。于是,控制器120按照暂定的非法的攻击的入侵的深度,对与外部的通信方法、针对非法的攻击的防御方法、以及日志的保存方法进行变更。于是,控制器120按照被变更的通信方法,将日志发送给外部装置150。
于是,例如外部装置150从车辆130接收与多个车载装置110有关的日志。判断器160按照与多个车载装置110有关的日志,获得示出多个车载装置110中的异常的信息。于是,按照多个车载装置110中的异常发生顺序,最终判断是否受到非法的攻击。于是,外部装置150将包括判断结果的信息发送给车辆130。
并且,控制器120从外部装置150,经由车载装置110,接收包括判断结果的信息,按照包括判断结果的信息,对与外部的通信方法、针对非法的攻击的防御方法、以及日志的保存方法进行变更或维持。
即在图18的例子中,在按照异常检测结果进行了是否受到非法的攻击的判断后,车辆130中的通知方法、防御方法或保存方法等被控制。并且,在图22的例子中,在按照异常检测结果,车辆130中的通知方法、防御方法或保存方法等被控制后,判断是否受到非法的攻击,判断结果被反馈到控制中。
图23是示出图22所示的车辆用系统100的功能块的模式图。例如,在图19所示的异常检测部201的多个构成要素之中,获得部402、处理部403、存储部404以及输出部405被配置在外部装置150。
例如,在车辆130,包括一个以上的检测部401的异常检测部201对异常进行检测。保存控制部202以及发送控制部206按照由于异常而暂定估计的非法的攻击的入侵的深度,对保存方法以及通信方法进行变更。于是,保存控制部202将包括异常检测结果的日志保存到保存部203。并且,发送控制部206经由发送部207,将日志发送给外部装置150。
并且,例如在外部装置150,通过由获得部402从车辆130获得包括异常检测结果的日志,从而获得异常检测结果,将获得的异常检测结果存储到存储部404。处理部403存储部404获得已获得的异常检测结果和检测时刻近的多个异常检测结果,按照获得的多个异常检测结果,判断是否受到非法的攻击。输出部405对包括判断结果的信息进行输出。输出部405将包括判断结果的信息发送给车辆130。
于是,在车辆130,保存控制部202以及发送控制部206从外部装置150,经由信息收集部204等,接收包括判断结果的信息,按照包括判断结果的信息,对控制进行变更或维持。
图24是示出图18以及图22所示的车辆用系统100的具体例子的方框图。图24所示的车辆用系统100基本上与图5所示的车辆用系统100的构成相同。
不过,监视块314或监视ECU316在实现控制器120的作用的同时,还实现判断器160的作用。或者,实现判断器160的作用的监视块324可以与监视块314或监视ECU316独立地包括在服务器301。即,车辆用系统100可以在车辆310具备实现控制器120的作用的监视块314或监视ECU316,并且,可以在服务器301具备实现判断器160的作用的监视块324。
例如,监视ECU316与实施方式1同样,对E-call311、TCU312、IVI313、GW315、ADASECU317、V2X ECU318、一个以上的ECU319、以及一个以上的控制系统ECU320等进行监视。于是,监视ECU316对这些异常进行检测。
并且,监视ECU316按照异常发生顺序,判断是否受到非法的攻击。并且,监视ECU316在受到非法的攻击的情况下,按照非法的攻击的入侵的深度,对通信方法、防御方法或保存方法进行变更。
车辆用系统100与实施方式1相同,可以取代监视ECU316,而具备实现与监视ECU316相同的作用的监视块314。
并且,如以上所述,车辆用系统100可以在服务器301具备实现判断器160的作用的监视块324。在这种情况下,车辆310中的监视ECU316对异常进行检测,按照根据检测到的异常而暂定的非法的攻击的入侵的深度,对通信方法、防御方法或保存方法进行变更。于是,监视ECU316将包括异常检测结果的日志发送给服务器301。
在此之后,服务器301中的监视块324获得包括异常检测结果的日志。并且,监视块324按照蓄积的多个异常检测结果,判断是否受到非法的攻击。于是,监视块324将包括判断结果的信息发送给车辆310。车辆310中的监视ECU316按照包括判断结果的信息,对通信方法、防御方法或保存方法进行变更或维持。
并且,监视块314、监视ECU316或监视块324可以经由IVI313或终端装置304等,将包括是否受到非法的攻击的判断结果的信息通知给用户。并且,监视块314、监视ECU316或监视块324可以经由服务器301所具有的用户界面、或互联网302等,将包括是否受到非法的攻击的判断结果的信息通知给操作员。
包括是否受到非法的攻击的判断结果的信息如以上所述,可以包括是否受到非法的攻击的判断结果、非法的攻击的入侵路径、非法的攻击的入侵的深度、以及异常检测结果等。并且,包括是否受到非法的攻击的判断结果的信息,也可以包括示出入侵路径以及入侵位置等的图像。于是,这种信息可以被通知给用户或操作员。
并且,例如,图24所示的监视块314、监视ECU316或监视块324具备图19所示的获得部402、处理部403、存储部404以及输出部405。
图25是示出图19所示的存储部404中存储的多个异常检测结果的图表。在存储部404,按照异常被检测到的顺序,存储多个异常检测结果。异常检测结果包括检测时刻和异常发生位置。检测时刻是异常被检测到的日期和时间。在此,异常被检测到的日期和时间可以被视为是异常发生的日期和时间。异常发生位置是发生了异常的位置。异常检测结果可以包括其他的信息。
在该例子中,在2018/08/01,在IVI313检测到异常。并且,在2018/08/03,在控制系统ECU320检测到异常。并且,在ADAS ECU317检测到异常。在2018/08/10,在IVI313检测到异常,在此之后,在GW315检测到异常。这些信息被存储到存储部404。
图26是示出被存储在图19所示的存储部404的新的异常检测结果、以及从存储部404提取的多个异常检测结果的图表。
在检测到新的异常的情况下,获得部402获得新的异常检测结果,将获得的新的异常检测结果存储到存储部404。在该例子中,新的异常检测结果示出,在2018/08/10,在ADASECU317检测到异常。
于是,处理部403从存储部404提取新的异常检测结果以及检测时刻近的多个异常检测结果。在该例子中,处理部403提取包括新的异常检测结果的、与新的异常检测结果为同一个日期检测到的三个异常检测结果。处理部403可以从新的异常检测结果的检测时刻提取24小时以内的异常检测结果,也可以提取1个小时以内的异常检测结果,还可以提取其他的范围的异常检测结果。
图27是示出由图19所示的处理部403提取的异常信息、与事先存储在图19所示的存储部404的攻击信息的比较处理的模式图。由图19所示的处理部403提取的异常信息,在图26中与由处理部403提取的多个异常检测结果对应。
处理部403对提取的异常信息与存储的攻击信息进行比较,判断提取的异常信息与存储的攻击信息是否相符。即处理部403判断被提取的多个异常检测结果所示的异常发生顺序、与规定的攻击顺序是否相符。处理部403在被提取的异常信息、与被存储的攻击信息相符的情况下,判断为受到非法的攻击。即处理部403判断是否因非法的攻击发生了异常。
并且,作为攻击信息,多个规定的攻击顺序可以事先存储到存储部404。处理部403可以判断异常发生顺序是否与多个规定的攻击顺序的任一个相符。处理部403在异常发生顺序与多个规定的攻击顺序的任一个相符的情况下,可以判断为受到非法的攻击。此时,处理部403判断为沿着多个规定的攻击顺序中的与异常发生顺序相符的规定的攻击顺序,受到了非法的攻击。
图28是示出事先存储在图19所示的存储部404的规定的攻击顺序的第1例的模式图。该攻击顺序基于图6所示的设想的规定的入侵路径。即在该攻击顺序中,根据图6所示的设想的规定的入侵路径,TCU312、IVI313、GW315、ADAS ECU317、以及控制系统ECU320从较浅的一侧向较深的一侧(即浅的顺序)排列。
图29是示出被事先存储到图19所示的存储部404的规定的攻击顺序的第2例的模式图。该攻击顺序基于图12所示的设想的规定的入侵路径。即在该攻击顺序中,根据图12所示的设想的规定的入侵路径,V2X ECU318、ADAS ECU317、GW315、以及控制系统ECU320从较浅的一侧向较深的一侧(即浅的顺序)排列。
在异常发生顺序与图28或图29所示的攻击顺序相符的情况下,本实施方式中的车辆用系统100能够判断为按照与异常发生顺序相符的攻击顺序,受到非法的攻击。
如以上所述,本实施方式中的车辆用系统100按照多个车载装置110中的异常发生顺序,判断是否受到非法的攻击。据此,车辆用系统100能够恰当地判断是否受到非法的攻击。
例如,异常并非受非法的攻击所限,也可以因故障、缺陷、干扰或误检测等而被检测到。因此,若将检测到的所有的异常都视为是因非法的攻击而发生的异常,则不能确切地进行对策。因此,有用于是否受到非法的攻击的判断中。另外,从检测到的一个异常来判断是否受到非法的攻击是不容易的。并且,在受否受到非法的攻击的分析中,会在人、时间以及资源等上花费较大的成本。
本实施方式中的车辆用系统100由于能够简单地对是否受到非法的攻击进行确定,因此能够减少分析的成本。并且,车辆用系统100能够将是否受到非法的攻击的判断结果,反映到针对攻击的对策。
另外,在此按照多个车载装置110中的异常发生顺序,判断是否受到非法的攻击。异常发生顺序中也可以不是车载装置110的异常,而可以包括车载网络的异常。
例如,有在车辆130上搭载多个车载网络的情况。并且,多个车载网络有包括离外部网络140近的车载网络、以及离外部网络140远的车载网络的情况。在离外部网络140近的车载网络的异常被检测到后,检测到离外部网络140远的车载网络的异常的情况下,可以判断为受到非法的攻击。
并且,车载网络的异常被设想为由车载装置110引起,与车载装置110建立关联。因此,车载网络的异常可以被视为是与车载网络的异常相关联的车载装置110的异常。于是,按照多个车载装置110中的异常发生顺序,可以判断是否受到非法的攻击。
以上基于实施方式等对本发明的一个形态中的车辆用系统100进行了说明,本发明并非受上述的实施方式等所限。针对上述的实施方式等执行本领域技术人员所能够想到的变形而得到的形态、以及对上述的实施方式等中的多个构成要素进行任意地组合而实现的其他的形态均包括在本发明中。
例如,可以将特定的构成要素所执行的处理,由其他的构成要素执行。并且,执行处理的顺序可以变更,多个处理可以并行执行。
并且,本发明不仅可以作为车辆用系统100来实现,而且可以作为包括由构成车辆用系统100的各构成要素执行的步骤(处理)的控制方法来实现。
例如,这些步骤可以由计算机执行。该计算机可以是车辆用系统100所具备的计算机。并且,本发明能够作为使计算机执行这些方法中包括的步骤的程序来实现。而且,本发明能够作为记录了该程序的CD-ROM等非暂时性的计算机可读取的记录介质来实现。
例如,在本发明由程序(软件)来实现的情况下,通过利用计算机的处理器以及存储器等硬件资源来执行程序,从而各个步骤被执行。即,处理器通过对从存储器等获得数据进行运算,并将运算结果输出到存储器等,从而各步骤被执行。
并且,车辆用系统100等中包括的多个构成要素可以分别作为专用或通用的电路来实现。多个构成要素可以作为一个电路来实现,也可以作为多个回路来实现。
并且,车辆用系统100等中包括的多个构成要素可以作为集成电路(IC:Integrated Circuit)的LSI(Large Scale Integration)来实现。这些构成要素可以分别被制成在一个芯片,也可以是其中的一部分或全部全部被包括在1个芯片。LSI根据集成度的不同,会有称为系统LSI、超级LSI或极大规模LSI的情况。
并且,集成电路并非受LSI所限,可以由专用电路或通用处理器来实现。也可以利用可编程的FPGA(Field Programmable Gate Array:现场可编程门阵列)、或LSI内部的电路单元的连接以及设定能够重构的可重构处理器。
而且,随着半导体技术的进步或派生出的其他的技术,若出现替代LSI的集成电路化的技术,也可以利用该技术,使车辆用系统100等中包括的多个构成要素集成电路化。
如以上所述,车辆用系统100具备多个车载装置110和控制器120。控制器120按照针对多个车载装置110的非法的攻击的入侵的深度,对如下方法的至少一个进行变更,这些方法是指,向车辆的外部进行通信的通信方法、针对非法的攻击的防御方法、关于多个车载装置110的日志的保存方法。
据此,车辆用系统100能够按照攻击的状况,对通信方法、防御方法或保存方法等进行变更。即车辆用系统100能够针对攻击进行适应性控制。
例如,控制器120可以按照入侵的深度,对多个车载装置110之中的、用于向车辆的外部进行通信的车载装置110进行变更,从而对通信方法进行变更。据此,车辆用系统100能够按照攻击的状况,对用于通信的车载装置110进行适应性的变更。因此,车辆用系统100能够抑制因攻击而受到的影响。
并且,例如多个车载装置110也可以包括远程信息控制单元。于是,控制器120在入侵的深度到达远程信息控制单元的情况下,可以将通信方法从经由远程信息控制单元的第1通信方法,变更到不经由远程信息控制单元的第2通信方法。据此,车辆用系统100能够恰当地进行不经由受到攻击的远程信息控制单元的通信。
并且,例如多个车载装置110可以包括车载信息娱乐系统。于是,控制器120在入侵的深度到达远程信息控制单元的情况下,可以将通信方法从经由远程信息控制单元的第1通信方法,变更为经由车载信息娱乐系统的第2通信方法。据此,车辆用系统100能够恰当地进行不经由受到攻击的远程信息控制单元、而经由车载信息娱乐系统的通信。
并且,例如,控制器120在入侵的深度到达车载信息娱乐系统的情况下,可以将通信方法变更为不经由车载信息娱乐系统的第3通信方法。据此,车辆用系统100能够恰当地进行不经由受到攻击的车载信息娱乐系统的通信。
并且,例如,控制器120可以按照入侵的深度,对多个车载装置110之中的作为日志的保存目的地来使用的车载装置110进行变更,从而对保存方法进行变更。据此,车辆用系统100能够按照攻击的状况,对日志的保存目的地进行适应性的变更。因此,车辆用系统100能够抑制因攻击而受到的影响。
并且,例如,控制器120在入侵的深度到达多个车载装置110中包括的一个以上的车载装置110的情况下,通过将一个以上的车载装置110的每一个的日志包括在保存对象日志中,从而对保存方法进行变更。据此,车辆用系统100在一个以上的车载装置110受到攻击的情况下,能够将受到攻击的一个以上的车载装置110的日志包括在保存对象日志中。
并且,例如多个车载装置110可以包括远程信息控制单元。于是,控制器120在入侵的深度到达远程信息控制单元的情况下,通过将远程信息控制单元的日志包括在保存对象日志中,从而对保存方法进行变更。据此,车辆用系统100在远程信息控制单元受到攻击的情况下,能够将受到攻击的远程信息控制单元的日志包括在保存对象日志中。
并且,例如多个车载装置110可以包括车载信息娱乐系统。于是,控制器120在入侵的深度到达车载信息娱乐系统的情况下,通过将车载信息娱乐系统的日志包括在保存对象日志中,从而对保存方法进行变更。据此,车辆用系统100在车载信息娱乐系统受到攻击的情况下,能够将受到攻击的车载信息娱乐系统的日志包括在保存对象日志中。
并且,例如,控制器120在入侵的深度到达多个车载装置110所包括的第1车载装置110的情况下,可以将第2车载装置110的日志包括在保存对象日志中。在此,第2车载装置110是多个车载装置110中包括的、入侵的深度被估计为在第1车载装置110之后下一个将要到达的车载装置110。于是,控制器120通过将第2车载装置110的日志包括在保存对象日志中,从而对保存方法进行变更。
据此,车辆用系统100能够将具有下一个被攻击的可能性的车载装置110的日志,包括在保存对象日志中。
并且,例如多个车载装置110的至少一部分可以通过两个信道来进行通信。于是,控制器120在入侵的深度到达两个信道之中的一方的情况下,可以通过两个信道中的另一方,使多个车载装置110的至少一部分的通信继续进行。并且,控制器120在入侵的深度到达两个信道这双方的情况下,可以进行使自动驾驶停止、使车辆的行驶停止、或故障自动保护的控制。据此,控制器120可以对防御方法进行变更。
据此,车辆用系统100在两个信道中的一个通信路受到攻击的情况下、与两个信道都受到攻击的情况下,能够采用不同的防御方法。于是,车辆用系统100能够按照攻击的状况,来恰当地对防御方法进行变更。
并且,例如多个车载装置110可以包括车载信息娱乐系统。并且,车载信息娱乐系统可以具备控制器120。据此,车辆用系统100能够通过被搭载于车辆的车载信息娱乐系统,来对攻击进行适应性控制。
并且,例如多个车载装置110可以包括网关。并且,网关可以具备控制器120。并且,控制器120可以将日志的一部分或全部,保存到多个车载装置110之中的与网关不同的车载装置110。
据此,车辆用系统100能够通过搭载于车辆的网关,来对攻击进行适应性控制。于是,车辆用系统100即使在网关的存储器容量少的情况下,也能够将日志保存到其他的车载装置110。
并且,例如,车辆用系统100可以进一步具备判断器160,按照多个车载装置110中的异常发生顺序,来判断是否受到非法的攻击。据此,车辆用系统100能够恰当地判断是否受到非法的攻击。因此,车辆用系统100能够按照是否受到非法的攻击,来恰当地进行控制。
并且,例如,判断器160可以在异常发生顺序与规定的顺序相符的情况下,判断为受到非法的攻击。在此,规定的顺序是指,多个车载装置110中的至少两个车载装置110沿着规定的入侵路径,从较浅的一侧向较深的一侧排列的顺序。据此,车辆用系统100能够将沿着规定的入侵路径发生的异常,作为非法的攻击恰当地进行判断。
并且,上述的控制方法是针对车辆采用的车辆用系统100的控制方法。并且,按照对搭载于车辆的多个车载装置110的非法的攻击的入侵的深度,对如下方法的至少一个进行变更,这些方法是指,向车辆的外部进行通信的通信方法、针对非法的攻击的防御方法、关于多个车载装置110的日志的保存方法。据此,能够按照攻击的状况,对通信方法、防御方法或保存方法等进行变更。即,能够针对攻击进行适应性控制。
并且,上述的程序是用于使计算机执行上述的控制方法的程序。据此,执行该程序的计算机等能够按照攻击的状况,对通信方法、防御方法或保存方法等进行变更。即,执行该程序的计算机等能够针对攻击进行适应性控制。
本发明能够利用于车辆中所使用的车辆用系统等,能够适用于从非法的攻击中对车辆进行保护的安全性系统等。
符号说明
100 车辆用系统
110 车载装置
120 控制器
130、305、310 车辆
140 外部网络
150 外部装置
160 判断器
201 异常检测部
202 保存控制部
203 保存部
204 信息收集部
205 受害检测部
206 发送控制部
207 发送部
301 服务器
302 互联网
303 AP(接入点)
304 终端装置
306 基础设施
311 E-call
312 TCU(远程信息控制单元)
313 IVI(车载信息娱乐系统)
314、324 监视块
315 GW(网关)
316 监视ECU
317 ADAS ECU
318 V2X ECU
319 ECU
320 控制系统ECU
401 检测部
402 获得部
403 处理部
404 存储部
405 输出部
Claims (17)
1.一种车辆用系统,用于车辆,
所述车辆用系统具备:
搭载于所述车辆的多个车载装置;以及
控制器,按照针对所述多个车载装置的非法的攻击的入侵的深度,对如下方法中的至少一个方法进行变更,这些方法是指,向所述车辆的外部的通信方法、针对所述非法的攻击的防御方法、以及关于所述多个车载装置的日志的保存方法。
2.如权利要求1所述的车辆用系统,
所述控制器,通过按照所述入侵的深度,来变更所述多个车载装置之中的用于向所述车辆的外部进行通信的车载装置,从而对所述通信方法进行变更。
3.如权利要求2所述的车辆用系统,
所述多个车载装置包括远程信息控制单元,
所述控制器,在所述入侵的深度到达所述远程信息控制单元的情况下,将所述通信方法从经由所述远程信息控制单元的第1通信方法,变更为不经由所述远程信息控制单元的第2通信方法。
4.如权利要求3所述的车辆用系统,
所述多个车载装置包括车载信息娱乐系统,
所述控制器,在所述入侵的深度到达所述远程信息控制单元的情况下,将所述通信方法从经由所述远程信息控制单元的所述第1通信方法,变更为经由所述车载信息娱乐系统的所述第2通信方法。
5.如权利要求4所述的车辆用系统,
所述控制器,在所述入侵的深度到达所述车载信息娱乐系统的情况下,将所述通信方法变更为不经由所述车载信息娱乐系统的第3通信方法。
6.如权利要求1至5的任一项所述的车辆用系统,
所述控制器,通过按照所述入侵的深度,对所述多个车载装置之中的作为所述日志的保存目的地而被使用的车载装置进行变更,从而对所述保存方法进行变更。
7.如权利要求6所述的车辆用系统,
所述控制器,在所述入侵的深度到达所述多个车载装置中包括的一个以上的车载装置的情况下,通过将所述一个以上的车载装置的每一个的日志包括在保存对象日志中,来对所述保存方法进行变更。
8.如权利要求7所述的车辆用系统,
所述多个车载装置包括远程信息控制单元,
所述控制器,在所述入侵的深度到达所述远程信息控制单元的情况下,通过将所述远程信息控制单元的日志包括在所述保存对象日志中,来对所述保存方法进行变更。
9.如权利要求8所述的车辆用系统,
所述多个车载装置包括车载信息娱乐系统,
所述控制器,在所述入侵的深度到达所述车载信息娱乐系统的情况下,通过将所述车载信息娱乐系统的日志包括在所述保存对象日志中,来对所述保存方法进行变更。
10.如权利要求6所述的车辆用系统,
所述控制器,在所述入侵的深度到达所述多个车载装置中包括的第1车载装置的情况下,通过将第2车载装置的日志包括在保存对象日志中,来对所述保存方法进行变更,所述第2车载装置是所述多个车载装置中包括的被估计为所述入侵的深度在所述第1车载装置之后下一个将要到达的车辆装置。
11.如权利要求1至10的任一项所述的车辆用系统,
所述多个车载装置的至少一部分,以两个信道进行通信,
所述控制器,在所述入侵的深度到达所述两个信道中的一方的情况下,以所述两个信道中的另一方,使所述多个车载装置的至少一部分的通信继续进行,在所述入侵的深度到达了所述两个信道的双方的情况下,通过使自动驾驶停止、所述车辆的行驶停止、或进行故障自动保护的控制,来变更所述防御方法。
12.如权利要求1至11的任一项所述的车辆用系统,
所述多个车载装置包括车载信息娱乐系统,
所述车载信息娱乐系统具备所述控制器。
13.如权利要求1至11的任一项所述的车辆用系统,
所述多个车载装置包括网关,
所述网关具备所述控制器,
所述控制器,将所述日志的一部分或全部,保存到所述多个车载装置中的与所述网关不同的车载装置。
14.如权利要求1至13的任一项所述的车辆用系统,
所述车辆用系统进一步具备判断器,该判断器按照所述多个车载装置中的异常发生顺序,判断是否发生了所述非法的攻击。
15.如权利要求14所述的车辆用系统,
所述判断器,在所述异常发生顺序与规定的顺序相符的情况下,判断为发生了所述非法的攻击,
所述规定的顺序是,所述多个车载装置中的至少两个车载装置,沿着规定的入侵路径,从较浅的一侧排列到较深的一侧的顺序。
16.一种控制方法,是针对车辆所采用的车辆用系统的控制方法,
按照针对被搭载于所述车辆的多个车载装置的非法的攻击的入侵的深度,对如下方法中的至少一个方法进行变更,这些方法是指,向所述车辆的外部的通信方法、针对所述非法的攻击的防御方法、以及关于所述多个车载装置的日志的保存方法。
17.一种程序,用于使计算机执行权利要求16所述的控制方法。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018003692 | 2018-01-12 | ||
| JP2018-202629 | 2018-10-29 | ||
| JP2018202629A JP7113337B2 (ja) | 2018-01-12 | 2018-10-29 | サーバ装置、車両装置、車両用システム及び情報処理方法 |
| PCT/JP2019/022977 WO2020090146A1 (ja) | 2018-01-12 | 2019-06-10 | 車両用システム及び制御方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112889051A true CN112889051A (zh) | 2021-06-01 |
Family
ID=67398892
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980069725.7A Pending CN112889051A (zh) | 2018-01-12 | 2019-06-10 | 车辆用系统以及控制方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20210237665A1 (zh) |
| EP (1) | EP3859577A4 (zh) |
| JP (1) | JP7113337B2 (zh) |
| CN (1) | CN112889051A (zh) |
| WO (1) | WO2020090146A1 (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11700270B2 (en) * | 2019-02-19 | 2023-07-11 | The Aerospace Corporation | Systems and methods for detecting a communication anomaly |
| US20240086523A1 (en) * | 2019-10-28 | 2024-03-14 | Nec Corporation | Information processing device, display method, and non-transitory computer readable medium |
| JP7296470B2 (ja) * | 2019-10-29 | 2023-06-22 | 日立Astemo株式会社 | 分析装置及び分析方法 |
| JP7361303B2 (ja) * | 2019-11-20 | 2023-10-16 | パナソニックIpマネジメント株式会社 | 車両診断装置、車両診断システム及び移動体診断装置 |
| WO2021144858A1 (ja) * | 2020-01-14 | 2021-07-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知システム、異常検知装置、及び異常検知方法 |
| WO2021144860A1 (ja) * | 2020-01-14 | 2021-07-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車両ログ保存装置、車両ログ送信装置、車両ログ収集システムおよび車両ログ保存方法 |
| WO2021144859A1 (ja) * | 2020-01-14 | 2021-07-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 侵入経路分析装置および侵入経路分析方法 |
| JP7443832B2 (ja) | 2020-03-05 | 2024-03-06 | 株式会社デンソー | セキュリティ管理装置 |
| EP4160417A4 (en) * | 2020-05-27 | 2023-11-22 | Panasonic Intellectual Property Corporation of America | ANOMALY DETECTION SYSTEM AND ANOMALY DETECTION METHOD |
| JP2022007238A (ja) * | 2020-06-26 | 2022-01-13 | パナソニックIpマネジメント株式会社 | 情報処理装置、情報処理方法及びプログラム |
| JP7409247B2 (ja) | 2020-07-14 | 2024-01-09 | 株式会社デンソー | 不正侵入防止装置、不正侵入防止方法、及び不正侵入防止用プログラム |
| JP7419998B2 (ja) * | 2020-07-14 | 2024-01-23 | 株式会社デンソー | ログ管理装置及びセンタ装置 |
| JP7373803B2 (ja) | 2020-09-29 | 2023-11-06 | パナソニックIpマネジメント株式会社 | 情報送信装置、サーバ、及び、情報送信方法 |
| WO2022091786A1 (ja) * | 2020-10-27 | 2022-05-05 | パナソニックIpマネジメント株式会社 | 情報処理装置、監視方法、プログラム及びセキュリティシステム |
| JP7478085B2 (ja) | 2020-12-03 | 2024-05-02 | フォルシアクラリオン・エレクトロニクス株式会社 | 車載セキュリティ装置、車両セキュリティシステム、および車両管理方法 |
| JP2022113050A (ja) * | 2021-01-22 | 2022-08-03 | 日立Astemo株式会社 | 電子制御装置、車載制御システム、及び冗長機能制御方法 |
| EP4319061A1 (en) * | 2021-03-25 | 2024-02-07 | Sony Group Corporation | Onboard communication device, communication method, and communication system |
| JP2022149464A (ja) * | 2021-03-25 | 2022-10-07 | ソニーグループ株式会社 | 車載通信装置、通信方法、及び、通信システム |
| DE102021119952A1 (de) * | 2021-08-02 | 2023-02-02 | Harman Becker Automotive Systems Gmbh | Telematikeinheit |
| JP2023028510A (ja) * | 2021-08-19 | 2023-03-03 | パナソニックIpマネジメント株式会社 | 検知ルール出力方法、及び、セキュリティシステム |
| JP2023043078A (ja) | 2021-09-15 | 2023-03-28 | トヨタ自動車株式会社 | 制御装置、車両、制御システム、制御方法、及び制御プログラム |
| JP2023096727A (ja) * | 2021-12-27 | 2023-07-07 | 国立大学法人東海国立大学機構 | 車載装置、プログラム及び、情報処理方法 |
| JP2024070327A (ja) * | 2022-11-11 | 2024-05-23 | パナソニックオートモーティブシステムズ株式会社 | 情報提供方法及び情報処理装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003085139A (ja) * | 2001-09-10 | 2003-03-20 | Mitsubishi Electric Corp | 侵入検知管理システム |
| JP2009151499A (ja) * | 2007-12-19 | 2009-07-09 | Canon It Solutions Inc | 情報処理システム、情報処理装置、その制御方法及びプログラム |
| CN106062847A (zh) * | 2015-01-20 | 2016-10-26 | 松下电器(美国)知识产权公司 | 不正常应对方法以及电子控制单元 |
| CN106227159A (zh) * | 2015-06-02 | 2016-12-14 | 洛克威尔自动控制技术股份有限公司 | 用于工业控制基础设施的使用动态签名的安防系统 |
| CN107925600A (zh) * | 2015-12-16 | 2018-04-17 | 松下电器(美国)知识产权公司 | 安全处理方法以及服务器 |
| CN108282440A (zh) * | 2017-01-05 | 2018-07-13 | 阿里巴巴集团控股有限公司 | 一种安全检测方法、安全检测装置及服务器 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7971244B1 (en) * | 2003-11-19 | 2011-06-28 | Cisco Technology, Inc. | Method of determining network penetration |
| US9776597B2 (en) * | 2006-05-16 | 2017-10-03 | Lear Corporation | Vehicle with electronic system intrusion detection |
| JP2008146157A (ja) | 2006-12-06 | 2008-06-26 | Mitsubishi Electric Corp | ネットワーク異常判定装置 |
| CA2841319C (en) * | 2011-07-26 | 2018-07-17 | United Parcel Service Of America, Inc. | Systems and methods for managing fault codes |
| US20130203400A1 (en) * | 2011-11-16 | 2013-08-08 | Flextronics Ap, Llc | On board vehicle presence reporting module |
| US9173100B2 (en) * | 2011-11-16 | 2015-10-27 | Autoconnect Holdings Llc | On board vehicle network security |
| CN105050868B (zh) * | 2012-10-17 | 2018-12-21 | 安全堡垒有限责任公司 | 用于检测和防止对交通工具的攻击的设备 |
| EP3358800B1 (en) | 2014-01-06 | 2021-10-20 | Argus Cyber Security Ltd | Bus watchman |
| EP3133774B1 (en) * | 2014-04-17 | 2020-11-25 | Panasonic Intellectual Property Corporation of America | Vehicle-mounted network system, abnormality detection electronic control unit and abnormality detection method |
| JP6369334B2 (ja) | 2015-01-09 | 2018-08-08 | トヨタ自動車株式会社 | 車載ネットワーク |
| JP2016151871A (ja) | 2015-02-17 | 2016-08-22 | 株式会社デンソー | 車載システム、及び、ecu |
| US11397801B2 (en) * | 2015-09-25 | 2022-07-26 | Argus Cyber Security Ltd. | System and method for controlling access to an in-vehicle communication network |
| US20190018959A1 (en) | 2015-12-09 | 2019-01-17 | Nec Corporation | Diagnosis device, diagnosis method, and non-transitory recording medium |
| US11096057B2 (en) * | 2016-08-24 | 2021-08-17 | Mitsubishi Electric Corporation | Communication control device, communication system, and communication control method |
| JP6701030B2 (ja) * | 2016-08-25 | 2020-05-27 | クラリオン株式会社 | 車載装置、ログ収集システム |
| JP2018062320A (ja) * | 2016-10-14 | 2018-04-19 | 日立オートモティブシステムズ株式会社 | 情報処理装置、情報処理方法、および情報処理システム |
| DE112017006854T5 (de) * | 2017-01-18 | 2019-10-02 | Panasonic Intellectual Property Management Co., Ltd. | Überwachungsvorrichtung, Überwachungsverfahren und Computerprogramm |
| JP6737189B2 (ja) * | 2017-01-18 | 2020-08-05 | トヨタ自動車株式会社 | 不正判定システム及び不正判定方法 |
-
2018
- 2018-10-29 JP JP2018202629A patent/JP7113337B2/ja active Active
-
2019
- 2019-06-10 WO PCT/JP2019/022977 patent/WO2020090146A1/ja unknown
- 2019-06-10 CN CN201980069725.7A patent/CN112889051A/zh active Pending
- 2019-06-10 EP EP19877807.8A patent/EP3859577A4/en active Pending
-
2021
- 2021-04-23 US US17/239,187 patent/US20210237665A1/en active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003085139A (ja) * | 2001-09-10 | 2003-03-20 | Mitsubishi Electric Corp | 侵入検知管理システム |
| JP2009151499A (ja) * | 2007-12-19 | 2009-07-09 | Canon It Solutions Inc | 情報処理システム、情報処理装置、その制御方法及びプログラム |
| CN106062847A (zh) * | 2015-01-20 | 2016-10-26 | 松下电器(美国)知识产权公司 | 不正常应对方法以及电子控制单元 |
| CN106227159A (zh) * | 2015-06-02 | 2016-12-14 | 洛克威尔自动控制技术股份有限公司 | 用于工业控制基础设施的使用动态签名的安防系统 |
| CN107925600A (zh) * | 2015-12-16 | 2018-04-17 | 松下电器(美国)知识产权公司 | 安全处理方法以及服务器 |
| CN108282440A (zh) * | 2017-01-05 | 2018-07-13 | 阿里巴巴集团控股有限公司 | 一种安全检测方法、安全检测装置及服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20210237665A1 (en) | 2021-08-05 |
| WO2020090146A1 (ja) | 2020-05-07 |
| JP2019125344A (ja) | 2019-07-25 |
| JP7113337B2 (ja) | 2022-08-05 |
| EP3859577A1 (en) | 2021-08-04 |
| EP3859577A4 (en) | 2021-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112889051A (zh) | 车辆用系统以及控制方法 | |
| CN112204578B (zh) | 使用机器学习在数据接口上检测数据异常 | |
| US11575538B2 (en) | Anomaly detection device, anomaly detection method, and recording medium | |
| CN104620530B (zh) | 用于执行车辆的安全功能的方法和执行该方法的系统 | |
| EP3793141B1 (en) | Anomaly sensing electronic control unit, vehicle-mounted network system, and anomaly sensing method | |
| EP3623971A1 (en) | Information processing device and anomaly response method | |
| US10178094B2 (en) | Communication system and information collection method executed in communication system | |
| US9686746B2 (en) | Telematics terminal and telematics center for preventing vehicle discharge and control method thereof | |
| US20150039174A1 (en) | Vehicular Communication Device and Communication Management System | |
| KR20140054016A (ko) | 제동 시스템 | |
| JP7255710B2 (ja) | 攻撃監視用センター装置、及び攻撃監視用端末装置 | |
| US10944775B2 (en) | Authentication device for a vehicle | |
| US11971982B2 (en) | Log analysis device | |
| WO2021024588A1 (ja) | モビリティ制御システム、方法、および、プログラム | |
| US20230007033A1 (en) | Attack analyzer, attack analysis method and attack analysis program | |
| US20230007034A1 (en) | Attack analyzer, attack analysis method and attack analysis program | |
| CN112422495A (zh) | 判定装置、判定系统、存储程序的存储介质以及判定方法 | |
| US20220019662A1 (en) | Log management device and center device | |
| JP7409247B2 (ja) | 不正侵入防止装置、不正侵入防止方法、及び不正侵入防止用プログラム | |
| CN115134109A (zh) | 攻击分析器、攻击分析方法和存储介质 | |
| JP7318710B2 (ja) | セキュリティ装置、インシデント対応処理方法、プログラム、及び記憶媒体 | |
| KR20190030514A (ko) | 차량 네트워크 공격 신호 차단 장치 및 방법 | |
| JP7471532B2 (ja) | 制御装置 | |
| US20230208859A1 (en) | Anomaly monitoring apparatus and anomaly monitoring method | |
| CN113614803B (zh) | 车辆数据处理装置、车辆数据处理系统以及车辆数据处理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20240327 Address after: Kanagawa Prefecture, Japan Applicant after: Panasonic Automotive Electronic Systems Co.,Ltd. Country or region after: Ri Ben Address before: Osaka, Japan Applicant before: PANASONIC INTELLECTUAL PROPERTY MANAGEMENT Co.,Ltd. Country or region before: Ri Ben |