CN113226858A - 信息处理装置 - Google Patents
信息处理装置 Download PDFInfo
- Publication number
- CN113226858A CN113226858A CN201980084948.0A CN201980084948A CN113226858A CN 113226858 A CN113226858 A CN 113226858A CN 201980084948 A CN201980084948 A CN 201980084948A CN 113226858 A CN113226858 A CN 113226858A
- Authority
- CN
- China
- Prior art keywords
- update
- information processing
- processing apparatus
- communication
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 209
- 238000004891 communication Methods 0.000 claims abstract description 249
- 238000003860 storage Methods 0.000 claims abstract description 25
- 238000012795 verification Methods 0.000 claims description 73
- 238000000034 method Methods 0.000 claims description 30
- 230000008569 process Effects 0.000 claims description 27
- 238000002360 preparation method Methods 0.000 claims description 2
- 238000012545 processing Methods 0.000 description 21
- 238000010586 diagram Methods 0.000 description 14
- 238000001514 detection method Methods 0.000 description 12
- 230000004044 response Effects 0.000 description 10
- 230000005856 abnormality Effects 0.000 description 8
- 230000009471 action Effects 0.000 description 8
- 230000000694 effects Effects 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 230000002411 adverse Effects 0.000 description 5
- 238000012805 post-processing Methods 0.000 description 5
- 239000002243 precursor Substances 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05D—SYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
- G05D1/00—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
- G05D1/02—Control of position or course in two dimensions
- G05D1/021—Control of position or course in two dimensions specially adapted to land vehicles
- G05D1/0212—Control of position or course in two dimensions specially adapted to land vehicles with means for defining a desired trajectory
- G05D1/0214—Control of position or course in two dimensions specially adapted to land vehicles with means for defining a desired trajectory in accordance with safety or protection criteria, e.g. avoiding hazardous areas
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05D—SYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
- G05D1/00—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
- G05D1/60—Intended control result
- G05D1/617—Safety or protection, e.g. defining protection zones around obstacles or avoiding hazards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
- G06F8/656—Updates while running
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Aviation & Aerospace Engineering (AREA)
- Radar, Positioning & Navigation (AREA)
- Remote Sensing (AREA)
- Automation & Control Theory (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
一种能够更新软件的信息处理装置,具有:存储部,其存储用于控制能否更新所述软件的控制信息;通信部,其接收从经由通信线路连接的其他信息处理装置发送的通信消息;更新控制部,其根据所述通信部接收到的所述通信消息来更新所述控制信息;以及能否更新判定部,其根据所述控制信息来判定能否更新所述软件。
Description
技术领域
本发明涉及信息处理装置。
背景技术
近年来,搭载于汽车的车载系统经由互联网、Bluetooth(注册商标)、Wi-Fi等通信线路与车外的服务器、信息处理装置连接,由此,向用户提供各种服务。与之相伴地,与以往的封闭的车载系统不同,对于来自外部的安全网络攻击的准备尤为重要。并且,在这样的车载系统中,还研究了OSS(Open Source Software)的灵活运用、与未担保安全的智能手机等信息处理装置的连接。因此,担心进一步滥用了脆弱性的安全网络攻击。
一般情况下,在安全对策中,通过为了减少威胁的风险而在设计阶段研究对策的“事前对策”、检测在运用阶段显著化的威胁的“侵入检测”、使显著化的威胁引起的损害最小化的“事后应对”这3个观点,认为从设计到运用来守护对象系统的保护资产是有效的。特别是,为了适当地进行事后应对,能够可靠地检测网络攻击者的侵入尤为重要。作为一般的信息系统中的检测来自外部的不正当的侵入的机制,例如利用IDS(Intrusion DetectionSystem)、IPS(Intrusion Prevention System)。
关于车间、工厂所使用的综合生产系统的安全对策,例如已知有下述的专利文献1的技术。在专利文献1中公开了一种控制装置,在构建于车间的综合生产系统中,根据检测针对所述综合生产系统的网络攻击的检测单元的检测结果,来确定网络攻击的对象以及类别,执行与确定出的网络攻击的对象以及类别相应的对策手段。
现有技术文献
专利文献
专利文献1:日本国特开2017-111532号公报
发明内容
发明要解决的课题
在专利文献1的技术中,以能够正确地检测网络攻击为前提,是否能够执行与事件相应的适当的事后应对取决于网络攻击的检测精度。因此,在错误检测到网络攻击的情况下,即使是本来不需要事后应对的状况,也会作为事后应对而执行全通信功能的停止、系统关闭等,有可能对系统的可用性造成较大的不良影响。特别是,在车载系统中,在异常产生时需要将汽车维持为尽可能安全的状态,因此,作为检测到异常的情况下的事后应对,多数情况下进行简并驾驶、紧急停车等紧急应对。因此,将专利文献1的技术应用于车载系统时,在针对网络攻击的错误检测率(FPR:False Positive Rate)高的情况下,即使实际上未发生网络攻击,也会频繁地执行简并驾驶、紧急停车,有可能产生车辆的可用性大幅降低这样的不良影响。
本发明是鉴于以上的问题而完成的,其目的在于,在使用信息处理装置进行控制的系统中,抑制错误检测引起的不良影响,并且安全地守护系统免受网络攻击。
解决方案
本发明的信息处理装置能够更新软件,具有:存储部,其存储用于控制能否更新所述软件的控制信息;通信部,其接收从经由通信线路连接的其他信息处理装置发送的通信消息;更新控制部,其根据所述通信部接收到的所述通信消息来更新所述控制信息;以及能否更新判定部,其根据所述控制信息来判定能否更新所述软件。
发明效果
根据本发明,能够抑制错误检测的不良影响,并且能够安全地守护使用信息处理装置进行控制的系统免受网络攻击。
附图说明
图1是表示本发明的第一实施方式的软件更新控制用安全系统的结构的图。
图2是表示本发明的第一实施方式的软件更新控制用安全系统中的整体处理时序的一例的图。
图3是通信监视识别处理的流程图。
图4是状态更新处理的流程图。
图5是软件更新控制处理的流程图。
图6是状态恢复处理的流程图。
图7是表示通信验证信息的数据构造的例子的图。
图8是表示更新状态标志的数据构造的例子的图。
图9是表示装置状态信息的数据构造的例子的图。
图10是表示本发明的第二实施方式的软件更新控制用安全系统的结构的图。
图11是表示本发明的第二实施方式的软件更新控制用安全系统中的整体处理时序的一例的图。
具体实施方式
以下,一边参照附图一边对本发明的实施方式进行详细说明。
在以下的实施方式中,对搭载于车辆且能够更新软件的信息处理装置根据从其他信息处理装置接收到的特定的通信消息来更新表示能否更新软件的标志,根据该标志来判定能否更新软件的方法的例子进行说明。但是,本发明的技术思想并不限定于该例。此外,各装置间以及与车外的通信优选利用使用了加密技术等的安全的通信路径。另外,优选各装置所利用的加密用的密钥以及种子被安全地分发、管理、更新,也可以在发动机起动时/停止时、产品开发时、维护时等任意的时间进行分发、更新。
(第一实施方式)
图1是表示本发明的第一实施方式的软件更新控制用安全系统的结构的图。图1的软件更新控制用安全系统分别通过一个或多个信息处理装置1、信息处理装置2、信息处理装置3经由通信总线4相互连接而构成。此外,信息处理装置1、2以及3例如是搭载于车辆的ECU(Electronic Control Unit),经由车内的通信总线4也与其他装置连接。但是,通信总线4物理上由多个通信总线构成,这些通信总线的规格可以全部相同,也可以不同。这些通信总线的规格例如是CAN(注册商标)、LIN(注册商标)、FlexRay(注册商标)、以太网(注册商标)等。
信息处理装置1、2以及3分别具有未图示的CPU、未图示的ROM以及未图示的RAM,通过由CPU将存储在ROM中的程序在RAM中加载并执行,从而分别实现以下的功能。
信息处理装置1具有:通信部11、通信验证部12、以及验证结果通知部13作为其功能。另外,还具有使用闪存等记录介质构成的通信判定信息存储部14。
通信部11经由通信总线4接收从其他信息处理装置发送的通信消息,并且经由通信总线4对其他信息处理装置发送通信消息。如上所述,通信总线4物理上由多个通信总线构成,因此,通信部11具有与该物理的通信总线相同数量的连接端口。
通信验证部12进行通信部11接收到的通信消息的验证,在系统上发生了需要某些事后应对的事件的情况下,对其进行检测。例如,根据通信部11接收到的通信消息,在发生了不正当的网络攻击的预兆的情况下,对其进行检测。具体而言,例如将地址扫描、端口扫描、不正当消息接收、不正当文件生成、不正当进程起动等因网络攻击而产生的事件检测为网络攻击的预兆。另外,在通信部11接收到表示在其他信息处理装置中检测到禁止动作的发生的通信消息的情况下,根据该通信消息来检测禁止动作的发生。例如,在软件的更新被禁止的状态下进行了软件的更新委托的情况下,将其检测为禁止动作。
验证结果通知部13将通信验证部12的通信消息的验证结果通知给其他信息处理装置。例如,在由通信验证部12检测到不正当的网络攻击的预兆的情况下,使用通信部11将预定的通信消息发送给其他信息处理装置,由此,通知发生了网络攻击的预兆,并且指示软件更新的禁止等事后应对。另外,在由通信验证部12检测到禁止动作的发生的情况下,使用通信部11向其他信息处理装置发送预定的通信消息,由此,通知禁止动作的发生,并且指示简并驾驶、紧急停车等事后应对。
在通信判定信息存储部14中存储有通信验证部12用于验证接收到的通信消息的通信验证信息141。通信验证部12通过参照该通信验证信息141,进行通信消息的验证。
信息处理装置2具有:通信部21、更新控制部22、能否更新判定部23、更新认证部24、更新执行部25、状态验证部26、以及状态管理部27作为其功能。另外,还具有使用闪存等记录介质构成的更新控制信息存储部28。
通信部21经由通信总线4接收从其他信息处理装置发送的通信消息,并且经由通信总线4对其他信息处理装置发送通信消息。如上所述,通信总线4物理上由多个通信总线构成,因此,通信部21具有与该物理的通信总线相同数量的连接端口。
更新控制部22根据通信部21接收到的通信消息,对存储在更新控制信息存储部28中的更新状态标志281进行更新。该更新状态标志281是用于控制能否更新信息处理装置2的软件的标志信息。
能否更新判定部23根据更新状态标志281来判定能否更新软件。
更新认证部24在通信部21从其他信息处理装置接收到预定的认证委托消息作为通信消息的情况下,执行该信息处理装置的认证处理。例如,通过确认是否为按照正规的软件更新协议发送的认证委托消息,来判定该认证委托消息是否正确。
更新执行部25执行信息处理装置2的软件的更新。例如,通过执行基于UDS(Unified Diagnosis Services,ISO14229)协议的处理,进行软件的更新。
状态验证部26在某个任意的时间验证信息处理装置2是否受到不正当的网络攻击的影响。该状态验证的时间例如设定车辆的起动时、通信部21接收到预先决定的通信消息时等。另外,也可以以预定的周期反复执行状态验证。
状态管理部27使用存储在更新控制信息存储部28中的更新状态标志281以及装置状态信息282来管理信息处理装置2的状态。
在更新控制信息存储部28中存储有表示能否更新信息处理装置2中的软件的状态的更新状态标志281和表示信息处理装置2的状态的装置状态信息282。能否更新判定部23通过参照该更新状态标志281,进行能否更新软件的判定。
信息处理装置3与信息处理装置1及2连接,经由通信总线4与信息处理装置1及2收发各种通信消息。此外,信息处理装置3也可以具有与信息处理装置1或2中的任一个相同的功能。或者,也可以具有信息处理装置1和2双方的功能。
图2是表示本发明的第一实施方式的软件更新控制用安全系统中的整体处理时序的一例的图。此外,以下要说明的各步骤的执行主体是各信息处理装置所具有的未图示的CPU。
在步骤101中,信息处理装置1利用通信部11经由通信总线4接收从其他信息处理装置发送的通信消息。
在步骤102中,信息处理装置1利用通信验证部12进行在上述步骤101中接收到的通信消息的验证。在此,验证接收到的通信消息是否表示禁止动作的发生、网络攻击的预兆的发生。在图2的例子中,根据在步骤101中接收到的通信消息,在步骤102中检测到网络攻击的预兆,作为针对该情况的事后应对,决定禁止软件的更新。
在步骤103中,信息处理装置1利用验证结果通知部13将上述步骤102中的验证结果经由通信总线4通知给其他信息处理装置。在图2的例子中,使用通信部11向信息处理装置2发送预定的通信消息,所述预定的通信消息用于指示在步骤102中决定为对网络攻击的预兆的事后应对的软件更新的禁止。
在步骤201中,信息处理装置2利用通信部21经由通信总线4接收在上述步骤103中从信息处理装置1发送的通信消息,即作为针对网络攻击的预兆的发生的事后应对而指示软件更新的禁止的通信消息。
在步骤202中,信息处理装置2利用状态管理部27确认存储在更新控制信息存储部28中的更新状态标志281,判断能否更新软件的状况。在图2的例子中,更新状态标志281未更新,表示允许软件的更新的状态即“允许更新”。
在步骤203中,信息处理装置2利用更新控制部22,根据在上述步骤201中接收到的通信消息、和上述步骤202中的更新状态标志281的确认结果,来更新信息处理装置2的状态。在图2的例子中,接收到的通信消息是表示网络攻击的预兆的发生的通信消息,且,更新状态标志281未更新,因此,按照这些来变更更新状态标志281。由此,将信息处理装置2的状态从允许软件的更新的状态即“允许更新”更新为不允许更新的状态即“不可更新”。
在步骤204中,信息处理装置2利用状态管理部27,根据存储在更新控制信息存储部28中的更新状态标志281以及装置状态信息282的内容,将当前的信息处理装置2的状态经由通信总线4通知给其他信息处理装置。在图2的例子中,按照在上述步骤203中进行了变更的更新状态标志281,使用通信部11向信息处理装置1发送用于通知信息处理装置2的状态为“不可更新”的预定的通信消息。
在步骤30中,信息处理装置3按照正规的软件更新协议,将用于通知认证委托的预定的通信消息发送给信息处理装置2,由此,对信息处理装置2指示软件的更新。
在步骤205中,信息处理装置2利用通信部21经由通信总线4接收在上述步骤30中从信息处理装置3发送的认证委托的通信消息。
在步骤206中,信息处理装置2利用能否更新判定部23,根据存储在更新控制信息存储部28中的更新状态标志281,来判定能否更新软件。在图2的例子中,在上述步骤203中更新状态标志281变更为“不可更新”,因此,将在步骤205中从信息处理装置3接收到的通知消息所表示的软件的更新指示检测为禁止动作的发生,判定为不可进行软件的更新。
在步骤207中,信息处理装置2利用状态管理部27,根据上述步骤206中的判定结果,更新信息处理装置2的状态。在图2的例子中,在步骤206中检测到禁止动作的发生,据此判定为不可进行软件的更新。通过将这样的判定结果反映到装置状态信息282,来更新信息处理装置2的状态。
在步骤208中,信息处理装置2利用状态管理部27,根据存储在更新控制信息存储部28中的更新状态标志281以及装置状态信息282的内容,将当前的信息处理装置2的状态经由通信总线4通知给其他信息处理装置。在图2的例子中,按照在上述步骤207中进行了变更的装置状态信息282,使用通信部21向信息处理装置1发送用于通知信息处理装置2检测到禁止动作的发生的预定的通信消息。
在步骤104中,信息处理装置1利用通信部11经由通信总线4接收在上述步骤208中从信息处理装置2发送的通信消息。
在步骤105中,信息处理装置1利用通信验证部12进行在上述步骤104中接收到的通信消息的验证。在此,与上述步骤102相同,验证接收到的通信消息是否表示禁止动作的发生、网络攻击的预兆的发生。在图2的例子中,根据在步骤104中接收到的通信消息,在步骤105中检测到禁止动作的发生,作为针对该情况的事后应对,决定进行简并驾驶、紧急停车。
在步骤106中,信息处理装置1利用验证结果通知部13将上述步骤105中的验证结果经由通信总线4通知给其他信息处理装置。在图2的例子中,使用通信部11向信息处理装置2发送预定的通信消息,所述预定的通信消息用于指示在步骤105中决定为对禁止动作的事后应对的简并驾驶、紧急停车。
在步骤209中,信息处理装置2经由通信总线4接收在上述步骤106中从信息处理装置1发送的通信消息,根据该通信消息,转移到用于实施车辆的简并驾驶、紧急停车的预定的控制模式。
在本实施方式的软件更新控制用安全系统中,通过以上的各步骤,在检测到针对安全的不正当的网络攻击的预兆的情况下,禁止信息处理装置2中的软件的更新。并且,在该禁止期间检测到与软件的更新相关的动作的情况下,使信息处理装置2执行简并驾驶、紧急停车等紧急应对,能够将汽车维持在安全的状态。
接着,以下参照图3~图5以及图7~图9对图2的处理实现的详细内容进行说明。
图3是在图2的步骤101至步骤105中由信息处理装置1执行的通信监视识别处理的流程图。
在步骤301中,信息处理装置1如图2的步骤101、104所说明那样,利用通信部11接收经由通信总线4从其他信息处理装置发送的通信消息。
在步骤302中,信息处理装置1利用通信验证部12,如图2的步骤102、105所说明那样,根据存储在通信判定信息存储部14中的通信验证信息141,进行在步骤301中接收到的通信消息的验证。即,验证接收到的通信消息是否符合“禁止动作的发生”、“网络攻击的预兆的发生”。
图7是表示在上述步骤302中通信验证部12用于验证通信消息的通信验证信息141的数据构造的例子的图。如图7所示,通信验证信息141例如构成为包含验证ID1411、通信类别1412以及相符通信ID一览1413。验证ID1411是用于识别构成通信验证信息141的各记录的信息,针对每个记录设定固有的值。通信类别1412是表示通信消息的类别的信息,其表示验证对象的通信消息与怎样的事件相符。相符通信ID一览1413是表示通信消息所包含的通信ID的一览的信息。
通信验证部12将通信验证信息141所包含的这些信息与通信部11接收到的通信消息进行对照,由此,能够判断接收到的通信消息与哪个事件相符。例如,在上述步骤301中接收到的通信消息中的通信ID的值为“0x001”的情况下,该值包含在相符通信ID一览1413中的是验证ID1411的值为“V1”的记录。因此,根据与该记录关联起来的通信类别1412的内容,能够判断为接收到的通信消息表示“禁止动作的发生”,在软件的更新被禁止的状态下进行了软件的更新委托。
返回到图3的说明,在步骤303中,通信验证部12根据在上述步骤302中进行的通信消息的验证结果,判定是否检测到禁止动作。在检测到禁止动作的情况下进入到步骤304,除此以外的情况下进入到步骤305。
在步骤304中,信息处理装置1利用验证结果通知部13,作为对在步骤302中检测到的禁止动作的事后应对,进行委托向简并驾驶或紧急停车的转移的通知。在此,如图2的步骤106所说明那样,利用通信部11经由通信总线4发送指示简并驾驶、紧急停车的预定的通信消息,由此,对其他各信息处理装置指示对禁止动作的事后应对。
在步骤305中,通信验证部12根据在上述步骤302中进行的通信消息的验证结果,判定是否检测到不正当的网络攻击的预兆。在检测到攻击的预兆的情况下进入到步骤306,除此以外的情况下进入到步骤307。
在步骤306中,信息处理装置1利用验证结果通知部13进行委托预定的更新控制的通知,作为对在步骤302中检测到的网络攻击的预兆的事后应对。在此,如图2的步骤103所说明那样,利用通信部11经由通信总线4发送指示软件更新的禁止的预定的通信消息(更新控制委托消息),由此,对其他各信息处理装置指示对攻击的预兆的事后应对。
在步骤307中,通信验证部12转移到继续监视由通信部11接收到的通信消息的继续监视状态。
如果执行了步骤304、306、307中的任一个,则信息处理装置1结束图3的处理。
通过以上的处理,信息处理装置1能够验证接收到的通信消息,根据该验证结果,将与事件相应的事后应对通知给其他信息处理装置。此外,信息处理装置1也可以在验证结果的通知目的地中包含信息处理装置1自身。另外,在通信验证信息141中,也可以将攻击的预兆和禁止动作以外的事件包含在通信类别1412中,由此,通信验证部12针对这些事件也能够作为需要事后对象的事件进行验证。
图4是在图2的步骤201至步骤204中信息处理装置2执行的状态更新处理的流程图。
在步骤401中,信息处理装置2如图2的步骤201所说明那样,利用通信部21接收经由通信总线4从信息处理装置1发送的更新控制委托消息,即对更新状态标志281进行更新而委托软件更新的禁止的通信消息。
在步骤402中,信息处理装置2如图2的步骤202所说明那样,利用状态管理部27确认存储在更新控制信息存储部28中的更新状态标志281,判断能否更新软件的状况。
图8是表示在上述步骤402中状态管理部27确认的更新状态标志281的数据构造的例子的图。如图8所示,更新状态标志281例如构成为包含标志值2811。标志值2811是表示允许还是禁止软件的更新的信息。在标志值2811为“0”的情况下,表示允许软件的更新,即信息处理装置2的状态为“允许更新”,在为“1”的情况下,表示禁止软件的更新,即信息处理装置2的状态为“不可更新”。
状态管理部27通过确认更新状态标志281所包含的该信息,能够判断能否更新信息处理装置2中的软件的状况。即,能够在标志值2811为“0”的情况下判断为允许软件的更新,在为“1”的情况下判断为禁止。
返回到图4的说明,在步骤403中,信息处理装置2根据在上述步骤402中确认的最新的更新状态标志281,来判定信息处理装置2的状态是“允许更新”还是“不可更新”。即,在标志值2811为“0”的情况下判定为“允许更新”而进入到步骤404,在标志值2811为“1”的情况下判定为不可更新状态而进入到步骤405。由此,即使是通信部21接收到更新控制委托消息作为通信消息的情况,因在信息处理装置2中过去已执行了下述的步骤404,因此完成了将更新状态标志281的标志值2811从“0”更新为“1”,该情况下,不执行步骤404而不对更新状态标志281进行更新。
在步骤404中,信息处理装置2利用更新控制部22对更新状态标志281进行更新。在此,通过将更新状态标志281的标志值2811从“0”更新为“1”,如图2的步骤203所说明那样,将更新状态标志281表示的信息处理装置2的状态从“允许更新”变更为“不可更新”。
在步骤405中,信息处理装置2利用更新控制部22对装置状态信息282进行更新。在此,按照步骤403的判定结果,将日志记录在装置状态信息282中。
图9是表示在上述步骤405中更新控制部22记录日志的装置状态信息282的数据构造的例子的图。如图9所示,装置状态信息282例如构成为包含装置状态ID2821、状态类别2822以及产生次数2823。装置状态ID2821是用于识别构成装置状态信息282的各记录的信息,针对每个记录设定固有的值。状态类别2822是表示状态的类别的信息,其表示信息处理装置2是怎样的状态。产生次数2823是表示该状态的产生次数的信息。此外,也可以在装置状态信息282中追加除此以外的信息,例如时刻信息、检测部位等补充信息。
更新控制部22通过改写装置状态信息282所包含的这些信息中的、与步骤403的判定结果相应的信息,将针对来自信息处理装置1的更新控制委托的处理结果记录为日志。例如,在步骤403中判定为“允许更新”的情况下,通过在步骤404中对更新状态标志281进行更新,信息处理装置2的状态从“允许更新”变更为“不可更新”。该情况下,确定状态类别2822表示“更新状态标志的更新”的记录,即装置状态ID2821为“D5”的记录,登记对该记录的产生次数2823的值加上“1”而得到的值。另一方面,在步骤403中判定为“不可更新”的情况下,不执行步骤404而不对更新状态标志281进行更新。该情况下,确定状态类别2822表示“更新状态标志访问拒绝”的记录,即装置状态ID2821为“D3”的记录,登记对该记录的产生次数2823值加“1”而得到的值。
返回到图4的说明,在步骤406中,信息处理装置2如图2的步骤204所说明那样,利用状态管理部27,根据在执行了上述步骤404的情况下进行了更新的更新状态标志281、和在上述步骤405中进行了更新的装置状态信息282,将表示当前的信息处理装置2的状态的任意的信息经由通信总线4发送给信息处理装置1。例如,作为任意的信息,可以仅发送更新状态标志281的值,也可以发送装置状态信息282的一部分。
如果执行了步骤406,则信息处理装置2结束图4的处理。
通过以上的处理,信息处理装置2能够根据从信息处理装置1通知的验证结果,对用于控制能否更新软件的更新状态标志281的内容进行更新。另外,如果对更新状态标志281进行了即使一次更新,则之后也能够将更新状态标志281维持为原来的状态。
图5是在图2的步骤205至步骤208中信息处理装置2执行的软件更新控制处理的流程图。
在步骤501中,信息处理装置2如图2的步骤205所说明那样,利用通信部21接收经由通信总线4从信息处理装置3发送的预定的通信消息(认证委托消息),作为指示软件的更新的通信消息。
在步骤502中,信息处理装置2如图2的步骤206所说明那样,利用能否更新判定部23,参照存储在更新控制信息存储部28中的更新状态标志281,判定能否更新软件。例如,参照图8的更新状态标志281中的标志值2811,如果标志值2811为“0”,则判定为允许软件的更新。即,在上述步骤404中,在通过更新控制部22使得更新状态标志281的标志值2811一次也未从“0”更新为“1”的情况下,判定为允许软件的更新。另一方面,如果标志值2811为“1”,则判定为不允许软件的更新。即,在上述步骤404中通过更新控制部22使得更新状态标志281的标志值2811即使一次从“0”更新为“1”的情况下,判定为不允许软件的更新。
在步骤503中,信息处理装置2利用能否更新判定部23,根据上述步骤502的判定结果,判定能够进行软件的更新。在步骤502中判定为允许软件的更新的情况下,判定为能够进行软件的更新而进入到步骤504。另一方面,在步骤502中判定为不允许软件的更新的情况下,判定为不可进行软件的更新而进入到步骤507。
在步骤504中,信息处理装置2利用更新认证部24,实施针对根据在步骤501中通信部21接收到的认证委托消息而委托了认证的信息处理装置3的认证处理。作为此时的认证处理,能够执行任意的处理。例如,能够将设备认证、接收到的消息的认证、签名验证等中的任一个或多个处理作为认证处理来实施。
在步骤505中,信息处理装置2利用更新认证部24,根据在上述步骤504中实施的认证处理的结果,判定信息处理装置3是否通过了认证。在认证处理中认证为信息处理装置3是正规的装置的情况下,判定为通过了认证而进入到步骤506,在判断为不是这样的情况下,判定为未通过认证而进入到步骤507。
在步骤506中,信息处理装置2利用更新执行部25,根据预定的过程执行软件的更新处理。如果在步骤506中完成了软件的更新,则进入到步骤508。
在步骤507中,信息处理装置2利用状态管理部27,根据上述步骤503或步骤505的判定结果,对装置状态信息282进行更新。例如,在步骤503中判定为不可进行软件的更新的情况下,在图9的装置状态信息282中,确定状态类别2822表示“不可更新”的记录,即装置状态ID2821为“D2”的记录,登记对该记录的产生次数2823的值加上“1”而得到的值。另外,例如,在步骤505中判定为信息处理装置3未通过认证的情况下,在图9的装置状态信息282中,确定状态类别2822表示“认证失败”的记录,即装置状态ID2821为“D1”的记录,登记对该记录的产生次数2823的值加上“1”而得到的值。如果在步骤507中更新了装置状态信息282,则进入到步骤508。
在步骤508中,信息处理装置2如图2的步骤207所说明那样,利用状态管理部27,根据更新状态标志281以及装置状态信息282,将表示当前的信息处理装置2的状态的任意的信息经由通信总线4发送给信息处理装置1。在此,与图4的步骤406相同,例如,作为任意的信息既可以仅发送更新状态标志281的值,也可以发送装置状态信息282的一部分。
如果执行了步骤508,则信息处理装置2结束图5的处理。
通过以上的处理,信息处理装置2能够针对来自信息处理装置3的软件的更新指示,根据更新状态标志281来判定能否更新软件。
接着,对将更新后的更新状态标志281复原的情况下的处理进行说明。在上述图4的处理中,若在信息处理装置2中对更新状态标志281进行即使一次更新,则之后更新状态标志281维持为原来的状态,由此,软件的更新被禁止的状态不变。以下,参照图6所示的状态恢复处理的流程图,对如下情况进行说明:在任意的时间验证信息处理装置2是否受到网络攻击的影响,在未受到网络攻击的影响的情况下,使更新状态标志281复原,再次允许软件的更新。
在步骤601中,信息处理装置2检测状态验证的请求。例如,在车辆起动时、利用通信部21接收到经由通信总线4从信息处理装置1发送的预定的通信消息时,判断为在一定周期等任意的时间进行了状态验证的请求,对其进行检测。
在步骤602中,信息处理装置2利用状态验证部26,与在步骤601中检测到的状态验证的请求相应地,进行信息处理装置2是否受到不正当的网络攻击的影响的验证。在此,例如执行预定的安全起动处理,验证信息处理装置2未被篡改,由此,验证有无网络攻击的影响。
在步骤603中,信息处理装置2根据在上述步骤602中实施的验证结果,判定有无信息处理装置2中的异常。在通过步骤602的验证能够确认信息处理装置2未被篡改的情况下,判定为“无异常”而进入到步骤604,在无法确认的情况下,判定为“有异常”而进入到步骤605。
在步骤604中,信息处理装置2利用更新控制部22对更新状态标志281进行更新。在此,通过将更新状态标志281的标志值2811从“1”更新为“0”,而将更新状态标志281表示的信息处理装置2的状态从图4的步骤404中更新完毕的状态即“不可更新”返回到更新前的状态即“允许更新”。但是,在更新状态标志281的标志值2811为“0”的情况下,不进行更新而保持不变。
在步骤605中,信息处理装置2利用更新控制部22对装置状态信息282进行更新。在此,按照步骤603的判定结果,将日志记录在装置状态信息282中。例如,在步骤603中判定为“无异常”的情况下,通过在步骤604中对更新状态标志281进行更新,使得信息处理装置2的状态从“不可更新”变更为“允许更新”。该情况下,确定状态类别2822表示“更新状态标志的更新”的记录,即装置状态ID2821为“D5”的记录,登记对该记录的产生次数2823的值加上“1”而得到的值。另一方面,在步骤603中判定为“有异常”的情况下,确定状态类别2822表示“有状态验证异常”的记录,即装置状态ID2821为“D4”的记录,登记对该记录的产生次数2823的值加上“1”而得到的值。
在步骤606中,信息处理装置2利用状态管理部27,根据更新状态标志281以及装置状态信息282,将表示当前的信息处理装置2的状态的任意的信息经由通信总线4发送给信息处理装置1。在此,与图4的步骤406、图5的步骤508相同,例如,作为任意的信息既可以仅发送更新状态标志281的值,也可以发送装置状态信息282的一部分。
如果执行了步骤606,则信息处理装置2结束图6的处理。
通过以上的处理,信息处理装置2能够在任意的时间验证信息处理装置2是否受到网络攻击的影响,与该验证结果相应地,决定是否再次允许软件的更新。
根据以上说明的第一实施方式,软件更新控制用安全系统例如在将信息处理装置2设为车辆控制系统的ECU的情况下,能够有效地应对以该ECU为目标的网络攻击。即,在信息处理装置2中,与进行软件的更新认证的更新认证部24不同,利用更新控制部22以及能否更新判定部23,使用存储在更新控制信息存储部28中的更新状态标志281,在检测到网络攻击的预兆的阶段禁止软件的更新。另外,在禁止软件的更新的期间,在检测到软件的更新指示等禁止动作的情况下,转移到简并驾驶、紧急停车等紧急应对。由此,即使因网络攻击者破坏了正规软件更新协议,也能够防止不正当的软件的更新。另外,即使在错误检测到网络攻击的预兆的情况下,也只是暂时无法进行软件的更新,能够不对行驶控制造成影响地将汽车维持为安全的状态。
根据以上说明的本发明的第一实施方式,获得以下的作用效果。
(1)能够更新软件的信息处理装置2具有:更新控制信息存储部28,其存储用于控制能否更新软件的控制信息即更新状态标志281;通信部21,其接收从经由通信总线4连接的其他信息处理装置1、3发送的通信消息;更新控制部22,其根据通信部21接收到的通信消息来对更新状态标志281进行更新;以及能否更新判定部23,其根据更新状态标志281来判定能否更新软件。因此,能够抑制错误检测引起的不良影响,并且能够安全地守护使用信息处理装置2进行控制的汽车等的系统免受网络攻击。
(2)更新控制部22在通信部21从其他信息处理装置1接收到委托更新状态标志281的更新的预定的更新控制委托消息作为通信消息的情况下(步骤401),对更新状态标志281进行更新(步骤404)。由此,能够在适当的时间对更新状态标志281进行更新。
(3)即使是通信部21接收到更新控制委托消息作为通信消息的情况下,在对更新状态标志281更新完成的情况下(步骤403:否),更新控制部22也不对更新状态标志281进行更新。因此,对更新状态标志281进行即使一次更新而将信息处理装置2的状态设定为“不可更新”之后,也能够可靠地维持该状态。
(4)能否更新判定部23在通过更新控制部22使得更新状态标志281一次也未更新的情况下,判定为允许软件的更新,在通过更新控制部22使得更新状态标志281进行了即使一次更新的情况下,判定为不允许软件的更新(步骤502)。因此,在存在网络攻击的发生的预兆的情况下,能够可靠地防止软件被不正当地更新。
(5)信息处理装置2还具有状态验证部26,该状态验证部26验证有无不正当的攻击的影响。更新控制部22根据状态验证部26的验证结果,将更新完毕的更新状态标志281恢复到更新前的状态(步骤602~604)。因此,即使在检测到网络攻击的发生的预兆而暂时禁止了软件的更新之后,在能够确认未受到网络攻击的影响的情况下,也能够再次允许软件的更新而恢复可用性。
(6)能否更新判定部23在通信部21从其他信息处理装置3接收到委托软件的更新的预定的认证委托消息作为通信消息的情况下(步骤501),根据更新状态标志281来判定能否更新软件(步骤502)。因此,能够在适当的时机判定能否更新软件。
(7)信息处理装置2还具有:更新认证部24,其在通信部21接收到认证委托消息作为通信消息的情况下,执行其他信息处理装置3的认证处理;以及更新执行部25,其执行软件的更新。更新执行部25在能否更新判定部23判定为允许软件的更新(步骤503:是),且在更新认证部24执行的认证处理中认证为其他信息处理装置3是正规的装置的情况下(步骤505:是),执行软件的更新(步骤506)。因此,能够可靠地防止通过冒充等不正当手段来更新软件。
(8)在通过更新控制部22使得更新状态标志281被更新之后,在通信部21接收到预定的禁止消息作为通信消息的情况下(步骤303:是),信息处理设备2将控制模式切换到预定的简并模式(步骤304)。因此,即使在受到不正当的网络攻击的攻击的情况下,也能够将汽车维持为安全的状态。
(第二实施方式)
图10是表示本发明的第二实施方式的软件更新控制用安全系统的结构的图。图10的软件更新控制用安全系统分别通过一个或多个信息处理装置2A、信息处理装置3经由通信总线4相互连接而构成。此外,与第一实施方式相同,信息处理装置2A以及3例如是搭载于车辆的ECU(Electronic Control Unit),经由车内的通信总线4也与其他装置连接。但是,通信总线4物理上由多个通信总线构成,这些通信总线的规格可以全部相同,也可以不同。
信息处理装置2A与第一实施方式所说明的信息处理装置2相比,不同点在于还具有与信息处理装置1相同的功能。具体而言,不同点在于,还具有通信验证部12以及验证结果通知部13、以及代替更新控制信息存储部28而具有信息存储部28A,在该信息存储部28A中除了更新状态标志281和装置状态信息282之外还存储有通信验证信息141。此外,通信验证部12、验证结果通知部13以及通信验证信息141分别与第一实施方式所说明的相同。
图11是表示本发明的第二实施方式的软件更新控制用安全系统中的处理时序的一例的图。此外,在图11中,对与第一实施方式所说明的图2相同内容的处理,标注与图2共通的步骤编号。另外,各步骤的执行主体是信息处理装置2A所具有的未图示的CPU。
在步骤101中,信息处理装置2A利用通信部21接收经由通信总线4从其他信息处理装置发送的通信消息。
在步骤102中,信息处理装置2A利用通信验证部12进行在上述步骤101中接收到的通信消息的验证。在此,对接收到的通信消息是否表示禁止动作的发生、网络攻击的预兆的发生进行验证。在图11的例子中,根据在步骤101中接收到的通信消息,在步骤102中检测到网络攻击的预兆,作为针对该情况的事后应对,决定禁止软件的更新。
当在上述步骤102中决定禁止软件的更新时,在步骤202中,信息处理装置2A利用状态管理部27确认存储在更新控制信息存储部28中的更新状态标志281,判断能否更新软件。在图11的例子中,更新状态标志281未更新,表示允许软件的更新的状态即“允许更新”。
在步骤203中,信息处理装置2A利用更新控制部22,根据上述步骤102中的验证结果、和上述步骤202中的更新状态标志281的确认结果,对信息处理装置2A的状态进行更新。在图11的例子中,作为验证结果而决定软件的更新禁止且更新状态标志281未更新,因此,按照它们来对更新状态标志281进行更新。由此,将信息处理装置2A的状态从允许软件的更新的状态即“允许更新”更新为不允许更新的状态即“不可更新”。
此外,在图11的例子中如上所述,但在作为步骤102的验证结果未决定软件的更新禁止的情况下、在步骤202中确认了更新状态标志281更新完成的情况下,在步骤203中,不对更新状态标志281进行更新而保持不变。
在步骤205~207中,分别实施与图2相同的处理。
在步骤105中,信息处理装置2A利用通信验证部12进行在上述步骤205中接收到的通信消息的验证。在此,与上述步骤102相同,对接收到的通信消息是否表示禁止动作的发生、网络攻击的预兆的发生进行验证。在图11的例子中,通过在步骤205中接收到的认证委托的通信消息,在步骤206中检测到禁止动作的发生。因此,在步骤105中作为针对禁止动作的发生的事后应对,决定进行简并驾驶、紧急停车。
在步骤209中,信息处理装置2A按照在上述步骤105中决定的事后应对,转移到用于实施车辆的简并驾驶、紧急停车的预定的控制。
在本实施方式的软件更新控制用安全系统中,通过以上的各步骤,与第一实施方式相同,在检测到针对安全的不正当的网络攻击的预兆的情况下,禁止信息处理装置2A中的软件的更新。并且,在该禁止期间检测到与软件的更新相关的动作的情况下,执行简并驾驶、紧急停车等紧急应对,能够将汽车维持在安全的状态。
根据以上说明的本发明的第二实施方式,除了第一实施方式所说明的(1)、(4)~(8)之外,还获得以下的作用效果。
(9)信息处理装置2A还具有通信验证部12,该通信验证部12根据通信部21接收到的通信消息来检测不正当的攻击的预兆。在通信验证部12检测到不正当的攻击的预兆的情况下,更新控制部22对更新状态标志281进行更新(步骤203)。因此,在发生网络攻击的预兆的情况下,防止软件被不正当地更新,因此,能够可靠地对更新状态标志281进行更新。
(10)即使是通信验证部12检测到不正当的攻击的预兆的情况下,在对更新状态标志281更新完成的情况下,更新控制部22在步骤203中不对更新状态标志281进行更新。因此,与第一实施方式相同,在对更新状态标志281进行一次更新而将信息处理装置2A的状态设定为“不可更新”之后,能够可靠地维持该状态。
此外,以上说明的各实施方式、各种变形例只不过是一例,只要不损害发明的特征,本发明不限定于这些内容。另外,以上对各种实施方式、变形例进行了说明,但本发明并不限定于这些内容。在本发明的技术思想的范围内考虑的其他方式也包含在本发明的范围内。
下面的优先权基础申请的公开内容作为引用文本并入其中。
日本国专利申请2018-247787(2018年12月28日申请)
附图标记说明
1、2、2A、3:信息处理装置;
4:通信总线;
11:通信部;
12:通信验证部;
13:验证结果通知部;
14:通信确定信息存储部;
21:通信部;
22:更新控制部;
23:能否更新判定部;
24:更新认证部;
25:更新执行部;
26:状态验证部;
27:状态管理部;
28:更新控制信息存储部;
28A:信息存储部;
141:通信验证信息;
281:更新状态标志;
282:装置状态信息。
Claims (10)
1.一种信息处理装置,该信息处理装置能够更新软件,
其特征在于,
所述信息处理装置具有:
存储部,其存储用于控制能否更新所述软件的控制信息;
通信部,其接收从经由通信线路连接的其他信息处理装置发送的通信消息;
更新控制部,其基于所述通信部接收到的所述通信消息来更新所述控制信息;以及
能否更新判定部,其基于所述控制信息来判定能否更新所述软件。
2.根据权利要求1所述的信息处理装置,其特征在于,
在所述通信部从所述其他信息处理装置接收到委托所述控制信息的更新的预定的更新控制委托消息作为所述通信消息时,所述更新控制部更新所述控制信息。
3.根据权利要求2所述的信息处理装置,其特征在于,
即使是所述通信部接收到所述更新控制委托消息作为所述通信消息的情况,在对所述控制信息更新完成的情况下,所述更新控制部也不更新所述控制信息。
4.根据权利要求1所述的信息处理装置,其特征在于,
所述信息处理装置还具有通信验证部,该通信验证部基于所述通信部接收到的所述通信消息来检测不正当的攻击的预兆,
在所述通信验证部检测到所述不正当的攻击的预兆的情况下,所述更新控制部更新所述控制信息。
5.根据权利要求4所述的信息处理装置,其特征在于,
即使是所述通信验证部检测到所述不正当的攻击的预兆的情况,在对所述控制信息更新完成的情况下,所述更新控制部也不更新所述控制信息。
6.根据权利要求1~5中任一项所述的信息处理装置,其特征在于,
所述能否更新判定部在通过所述更新控制部使所述控制信息一次也未更新的情况下,判定为允许所述软件的更新,
所述能否更新判定部在通过所述更新控制部使所述控制信息进行了哪怕一次的更新情况下,判定为不允许所述软件的更新。
7.根据权利要求6所述的信息处理装置,其特征在于,
所述信息处理装置还具有状态验证部,该状态验证部验证有无不正当的攻击的影响,
所述更新控制部基于所述状态验证部的验证结果,使更新完成的所述控制信息恢复到更新前的状态。
8.根据权利要求1~5中任一项所述的信息处理装置,其特征在于,
在所述通信部从所述其他信息处理装置接收到委托所述软件的更新的预定的认证委托消息作为所述通信消息的情况下,所述能否更新判定部基于所述控制信息来判定能否更新所述软件。
9.根据权利要求8所述的信息处理装置,其特征在于,
所述信息处理装置还具有:
更新认证部,其在所述通信部接收到所述认证委托消息作为所述通信消息的情况下,执行所述其他信息处理装置的认证处理;以及
更新执行部,其执行所述软件的更新,
在所述能否更新判定部判定为允许所述软件的更新且在所述更新认证部执行的所述认证处理中认证为所述其他信息处理装置是正规的装置的情况下,所述更新执行部执行所述软件的更新。
10.根据权利要求1~5中任一项所述的信息处理装置,其特征在于,
在由所述更新控制部更新了所述控制信息之后,在所述通信部接收到预定的禁止消息作为所述通信消息的情况下,将控制模式切换为预定的简并模式。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018247787A JP7138043B2 (ja) | 2018-12-28 | 2018-12-28 | 情報処理装置 |
| JP2018-247787 | 2018-12-28 | ||
| PCT/JP2019/050023 WO2020137852A1 (ja) | 2018-12-28 | 2019-12-20 | 情報処理装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113226858A true CN113226858A (zh) | 2021-08-06 |
| CN113226858B CN113226858B (zh) | 2024-07-16 |
Family
ID=71126211
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980084948.0A Active CN113226858B (zh) | 2018-12-28 | 2019-12-20 | 信息处理装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US12039050B2 (zh) |
| EP (1) | EP3904161A4 (zh) |
| JP (1) | JP7138043B2 (zh) |
| CN (1) | CN113226858B (zh) |
| WO (1) | WO2020137852A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220366087A1 (en) * | 2021-05-13 | 2022-11-17 | AO Kaspersky Lab | Systems and methods for verifying the integrity of a software installation image |
| JP2023176126A (ja) * | 2022-05-31 | 2023-12-13 | 日立Astemo株式会社 | 電子制御装置、検証プログラム及び検証方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1877526A (zh) * | 2005-06-07 | 2006-12-13 | 柯尼卡美能达商用科技株式会社 | 用于网络环境中的图像处理设备 |
| CN101635021A (zh) * | 2003-09-26 | 2010-01-27 | 日本电信电话株式会社 | 标签装置、标签自动识别系统和标签隐私保护方法 |
| CN102272770A (zh) * | 2009-02-16 | 2011-12-07 | 松下电器产业株式会社 | 篡改监视系统、管理装置及篡改管理方法 |
| JP2014115973A (ja) * | 2012-11-15 | 2014-06-26 | Nintendo Co Ltd | 情報処理装置、端末システム、情報処理プログラム、および、アプリケーションの更新用データの取得方法 |
| CN104243158A (zh) * | 2013-06-13 | 2014-12-24 | 松下电器产业株式会社 | 认证方法、通信系统、设备以及服务器 |
| JP2017004220A (ja) * | 2015-06-09 | 2017-01-05 | 株式会社東芝 | 通信装置、通信システム、通信方法およびプログラム |
| CN106886202A (zh) * | 2015-12-15 | 2017-06-23 | 横河电机株式会社 | 控制装置、综合生产系统及其控制方法 |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7707305B2 (en) * | 2000-10-17 | 2010-04-27 | Cisco Technology, Inc. | Methods and apparatus for protecting against overload conditions on nodes of a distributed network |
| US6754895B1 (en) * | 2001-04-26 | 2004-06-22 | Palm Source, Inc. | Method and system for automatic firmware updates in a portable hand-held device |
| US7010624B1 (en) * | 2002-04-01 | 2006-03-07 | Adaptec, Inc. | System and method of software/firmware uploading and upgrading for peripheral devices |
| US8065725B2 (en) * | 2003-05-30 | 2011-11-22 | Yuliang Zheng | Systems and methods for enhanced network security |
| US7549042B2 (en) * | 2003-12-16 | 2009-06-16 | Microsoft Corporation | Applying custom software image updates to non-volatile storage in a failsafe manner |
| US8375189B2 (en) * | 2005-12-30 | 2013-02-12 | Intel Corporation | Configuring levels of program/erase protection in flash devices |
| US7966401B2 (en) * | 2006-06-30 | 2011-06-21 | Oracle America, Inc. | Method and apparatus for containing a denial of service attack using hardware resources on a network interface card |
| US8490179B2 (en) * | 2009-10-27 | 2013-07-16 | Hewlett-Packard Development Company, L.P. | Computing platform |
| US8522322B2 (en) * | 2010-09-22 | 2013-08-27 | Intel Corporation | Platform firmware armoring technology |
| US9916454B2 (en) * | 2011-12-22 | 2018-03-13 | Intel Corporation | User controllable platform-level trigger to set policy for protecting platform from malware |
| US8898797B2 (en) * | 2012-04-12 | 2014-11-25 | Dell Products L.P. | Secure option ROM firmware updates |
| US8898654B2 (en) * | 2012-08-29 | 2014-11-25 | Microsoft Corporation | Secure firmware updates |
| US9282116B1 (en) * | 2012-09-27 | 2016-03-08 | F5 Networks, Inc. | System and method for preventing DOS attacks utilizing invalid transaction statistics |
| US9847970B1 (en) * | 2014-04-30 | 2017-12-19 | Amazon Technologies, Inc. | Dynamic traffic regulation |
| JP6147240B2 (ja) * | 2014-12-05 | 2017-06-14 | キヤノン株式会社 | 情報処理装置、該装置の制御方法、並びにプログラム |
| US9904785B2 (en) * | 2015-06-02 | 2018-02-27 | Rockwell Automation Technologies, Inc. | Active response security system for industrial control infrastructure |
| CN112367318B (zh) * | 2015-12-16 | 2023-04-07 | 松下电器(美国)知识产权公司 | 安全处理方法以及计算机 |
| CN109644153B (zh) * | 2016-04-12 | 2020-10-13 | 伽德诺克斯信息技术有限公司 | 具有被配置为实现安全锁定的相关设备的特别编程的计算系统及其使用方法 |
| JP6849528B2 (ja) * | 2016-07-28 | 2021-03-24 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム |
| US10630538B2 (en) * | 2016-10-07 | 2020-04-21 | Hyundai Motor Company | Software update method and apparatus for vehicle |
| US11038887B2 (en) * | 2017-09-29 | 2021-06-15 | Fisher-Rosemount Systems, Inc. | Enhanced smart process control switch port lockdown |
| US10678529B1 (en) * | 2017-11-30 | 2020-06-09 | Amazon Technologies, Inc. | Secure device firmware installation |
| US10628149B2 (en) * | 2018-02-05 | 2020-04-21 | Vmware, Inc. | Enterprise firmware management |
| JP6885361B2 (ja) * | 2018-03-07 | 2021-06-16 | 株式会社オートネットワーク技術研究所 | 処理装置及び処理方法 |
| US10949540B2 (en) * | 2018-03-20 | 2021-03-16 | Dell Products L.P. | Security policy enforcement based on dynamic security context updates |
-
2018
- 2018-12-28 JP JP2018247787A patent/JP7138043B2/ja active Active
-
2019
- 2019-12-20 EP EP19902616.2A patent/EP3904161A4/en active Pending
- 2019-12-20 US US17/414,824 patent/US12039050B2/en active Active
- 2019-12-20 CN CN201980084948.0A patent/CN113226858B/zh active Active
- 2019-12-20 WO PCT/JP2019/050023 patent/WO2020137852A1/ja unknown
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101635021A (zh) * | 2003-09-26 | 2010-01-27 | 日本电信电话株式会社 | 标签装置、标签自动识别系统和标签隐私保护方法 |
| CN1877526A (zh) * | 2005-06-07 | 2006-12-13 | 柯尼卡美能达商用科技株式会社 | 用于网络环境中的图像处理设备 |
| CN102272770A (zh) * | 2009-02-16 | 2011-12-07 | 松下电器产业株式会社 | 篡改监视系统、管理装置及篡改管理方法 |
| JP2014115973A (ja) * | 2012-11-15 | 2014-06-26 | Nintendo Co Ltd | 情報処理装置、端末システム、情報処理プログラム、および、アプリケーションの更新用データの取得方法 |
| CN104243158A (zh) * | 2013-06-13 | 2014-12-24 | 松下电器产业株式会社 | 认证方法、通信系统、设备以及服务器 |
| JP2017004220A (ja) * | 2015-06-09 | 2017-01-05 | 株式会社東芝 | 通信装置、通信システム、通信方法およびプログラム |
| CN106886202A (zh) * | 2015-12-15 | 2017-06-23 | 横河电机株式会社 | 控制装置、综合生产系统及其控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20220019669A1 (en) | 2022-01-20 |
| US12039050B2 (en) | 2024-07-16 |
| JP7138043B2 (ja) | 2022-09-15 |
| WO2020137852A1 (ja) | 2020-07-02 |
| EP3904161A1 (en) | 2021-11-03 |
| JP2020107237A (ja) | 2020-07-09 |
| CN113226858B (zh) | 2024-07-16 |
| EP3904161A4 (en) | 2022-09-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102642875B1 (ko) | 차량 내 네트워크에 보안을 제공하는 시스템 및 방법 | |
| EP3565212B1 (en) | Method for providing an authenticated update in a distributed network | |
| JP6782444B2 (ja) | 監視装置、監視方法およびコンピュータプログラム | |
| US11436324B2 (en) | Monitoring parameters of controllers for unauthorized modification | |
| CN101369141B (zh) | 用于可编程数据处理设备的保护单元 | |
| US12039050B2 (en) | Information processing device | |
| JP6997260B2 (ja) | 通信装置およびメッセージを認証するための方法 | |
| CN112219186B (zh) | 用于将程序代码包安装到设备中的方法以及设备和机动车 | |
| JP6468133B2 (ja) | 車載ネットワークシステム | |
| WO2023205208A1 (en) | Method for safety responses to security policy violations | |
| CN112806034A (zh) | 用于为车辆的控制设备提供通信的装置、方法和计算机程序,用于提供更新的方法、中央装置和计算机程序,控制设备和车辆 | |
| CN111133722B (zh) | 用于保护现场总线的方法和设备 | |
| CN110874323B (zh) | 信息处理装置、嵌入式系统以及调试控制方法 | |
| Nasser et al. | Exploiting AUTOSAR safety mechanisms to launch security attacks | |
| US20190370455A1 (en) | Control device | |
| Chan et al. | Towards a blockchain framework for autonomous vehicle system integrity | |
| JP2021076949A (ja) | 車両用制御装置 | |
| CN112347022B (zh) | 用于can节点的安全模块 | |
| US20220300612A1 (en) | Security processing device | |
| US20230267204A1 (en) | Mitigating a vehicle software manipulation | |
| EP4002753A1 (en) | Vehicle communication system, communication method, and storage medium storing communication program | |
| KR20230097397A (ko) | 차량 네트워크 침입 탐지 시스템 및 그 방법 | |
| CN117473466A (zh) | 接口保护方法、装置、非易失性存储介质和计算机设备 | |
| JP2023122637A (ja) | 車両のソフトウェアの改竄の軽減 | |
| CN118051919A (zh) | 数据处理方法、芯片、电子设备以及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |