CN115668191A - 控制系统 - Google Patents
控制系统 Download PDFInfo
- Publication number
- CN115668191A CN115668191A CN202080101016.5A CN202080101016A CN115668191A CN 115668191 A CN115668191 A CN 115668191A CN 202080101016 A CN202080101016 A CN 202080101016A CN 115668191 A CN115668191 A CN 115668191A
- Authority
- CN
- China
- Prior art keywords
- unit
- control
- processing
- arithmetic processing
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/035—Bringing the control units into a predefined state, e.g. giving priority to particular actuators
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/04—Monitoring the functioning of the control system
- B60W50/045—Monitoring control system parameters
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Transportation (AREA)
- Mechanical Engineering (AREA)
- Human Computer Interaction (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
- Traffic Control Systems (AREA)
Abstract
本发明提供一种控制系统,将车辆(1)的控制装置(10)的控制处理中正常时的信息与执行时的信息进行比较,在所比较的运算处理的执行顺序和运算处理步骤之间的输出值中的至少任一个不一致的情况下,判定为异常,从而即使在行驶中受到未知的网络攻击,也会检测出车辆(1)的异常,从而能够正常行驶。
Description
技术领域
本申请涉及控制系统。
背景技术
近年来,汽车的车载系统通过网络与车外装置连接,存在恶意第三方从外部通过网络侵入车载系统的风险。若车载系统被侵入,则作为搭载于车辆的控制装置的例如ECU(Electronic Control Unit:电子控制单元)中,存储的程序有可能被篡改,ECU的控制有可能被劫持,有可能通过远程操作故意造成事故。
车载系统中,考虑有异常处理方法,使得即使在一部分装置发生了故障的情况下,也能检测出由于故障而发生的异常,通过自动防故障装置使功能降低等,从而使得能够正常行驶。
然而,如上所述,如果由于程序的篡改,检测故障所导致的异常的机制发生变更,或者作为异常检测对象的信息被伪装成正常值,那么本来必须被判断为异常的现象就很难被检测为异常。
针对这种课题,作为安全保护技术,有消息认证或数字签名等。但是,这些技术针对的是已知的攻击场景,不一定能够应对未知的网络攻击。例如,如果通信数据被伪装成正常值,则很难检测为异常。因此,不仅要监视通信数据,还要监视车辆或ECU的动作。
作为未知的网络攻击对策之一,有安全引导。然而,由于是在启动时进行存储器检查,所以无法应对行驶中受到攻击的情况。此外,在行驶中经常检查存储器的话会有处理负荷大的问题。因此,需要一种机制,即使在行驶中受到未知的网络攻击,也能检测异常而不会对控制处理的处理负荷造成太大影响,从而使车辆能够正常行驶。
专利文献1中,为了监视执行多个进程的CPU,能够基于多个进程的执行状况来提取多个进程相互间的依赖关系,基于提取出的依赖关系检测多个进程的动作异常。
专利文献2中,在电子控制装置的功能序列的处理顺序、执行条件、执行定时以及控制值等脱离正常状态时,能够检测异常。
现有技术文献
专利文献
专利文献1:日本专利第5365273号公报
专利文献2:国际公开第2019/159615号
发明内容
发明所要解决的技术问题
在专利文献1中,在进程的执行顺序以及执行时间正常、但是进程的内容的处理的值被篡改的情况下,无法检测到异常。另外,由于在多个进程完成后进行异常检测判定,所以在单一进程的处理中途发生异常时,到检测出异常为止会花费时间。
另外,在专利文献2中,以功能序列的处理顺序以及控制值为对象,但不以序列的每个步骤的输出值为对象。在由于未知的网络攻击在序列的步骤中追加了另一个新处理的情况下,序列通过正常路径执行原始控制值,但若发生与该序列并行的控制相关的重要值通过追加的另一个新处理而被处理的异常,则无法检测。另外,如果序列不结束则无法检测序列的步骤中发生的异常。
本申请是为了解决这样的问题而完成的,其目的是获得一种控制系统,通过在对执行控制处理的控制值进行运算的运算处理中,对每个步骤判定是否异常,从而即使在行驶中的车辆受到未知的网络攻击也能够尽早地检测出异常。
用于解决技术问题的技术手段
本申请所公开的控制系统的特征在于,包括:
控制部,该控制部执行控制装置的控制处理;运算部,该运算部通过多个步骤的运算处理来运算控制处理的控制值;存储部,该存储部预先存储有控制部的运算处理的执行顺序和运算处理的步骤间的输出值的、正常时的信息;获取部,该获取部获取所执行的运算处理的执行顺序和运算处理的步骤间的输出值的、执行时的信息;比较部,该比较部将正常时的信息与执行时的信息进行比较;以及判定部,该判定部在所比较的运算处理的执行顺序和运算处理的步骤间的输出值中的至少任一个不一致的情况下,判定为异常。
发明效果
根据本申请所公开的控制系统,即使是行驶中的车辆,也能够尽早地检测出由于受到未知的网络攻击而导致的车辆异常,从而使车辆正常行驶。
附图说明
图1是说明实施方式1所涉及的搭载了控制系统的车辆的图。
图2是实施方式1所涉及的控制装置的功能框图。
图3是实施方式1所涉及的控制装置的另一个功能框图。
图4是说明实施方式1所涉及的从存储器的检查到改写的图。图4A是说明确定部的动作的图,图4B是说明存储器检查部的动作的图,图4C是说明改写部的动作的图。
图5是示出控制电路的硬件结构的一个示例的图。
图6是通过3个运算处理的步骤进行实施方式1所涉及的控制系统的控制处理的流程图。
图7是说明实施方式1所涉及的控制系统的控制处理时的异常检测处理的流程图。
图8是表示将实施方式1所涉及的控制系统的正常动作时的运算部的运算处理的执行顺序和步骤间的输出值存储到存储部为止的处理流程的流程图。
图9是实施方式1所涉及的控制系统的判断部进行的判断处理的流程图。
图10是说明实施方式1所涉及的控制系统的异常判定时的处理的流程图。
具体实施方式
以下,使用附图对本申请的控制系统的优选实施方式进行说明。特别地,作为控制系统的具体示例,详细说明应用于将控制对象设为车辆和车载设备的车载控制装置(ECU)的控制系统的情况。另外,对于相同内容及对应部分配置相同标号,省略其详细说明。在之后的实施方式中,也同样地对附加了相同标号的结构省略重复说明。
实施方式1.
图1是说明搭载了应用了实施方式1所涉及的控制系统的ECU(以下称为控制装置10)的车辆的图。控制装置10也可以经由通信线30例如CAN(Controller Area Network:控制器区域网络)与车辆1内的其他控制装置20连接。
<控制装置10内的各功能>
图2是控制装置10的功能框图。控制装置10包括控制部100、运算部101、存储部102、获取部103、比较部104、判定部105、判断部106、车辆状态管理部107、周边状况管理部108、确定部109、存储器检查部110、待机用控制部111、切换部112、改写部113以及通知部114。以下详述各构成要素。
控制部100具有控制搭载于车内的控制对象的设备的功能。在控制装置10中可以存在一个或多个。另外,对于图1所示的控制对象的设备2,虽然不详细说明,但其相当于致动器等。以下仅作为控制对象2进行说明。
控制部100从ROM(Read Only Memory:只读存储器)、以及RAM(Random AccessMemory:随机存取存储器)中读取与控制对象2对应的控制用程序数据,通过执行读取出的程序来控制控制对象2。也可以存在多个控制方法。例如,在条件A的情况下,执行控制值X,在条件B的情况下,执行控制值Y。
运算部101对控制部100的控制处理中使用的控制值进行运算。用于运算该控制值的运算处理包括多个步骤。此外,也可以存在多个运算处理。例如,通过运算处理C运算控制值X,并通过运算处理D运算控制值Y。
存储部102将由后述的获取部103获取到的、由运算部101使用的运算处理步骤的执行顺序和每个步骤的输出值存储在存储部102内的特定区域(这里称为“执行时的存储器”)中。另外,将控制部100和运算部101的正常动作时的动作程序、以及动作时使用的控制值和运算处理的每个步骤的输出值存储在与“执行时的存储器1021”的区域不同的区域(这里称为“正常动作时的存储器1022”)中。随后在图4中进行详细描述。
存储在存储部102中的信息可以通过HSM(Hardware Security Module:硬件安全模块)进行密码密钥管理。此外,可以压缩存储的信息,或者为了强化安全性,也可以对要存储的信息进行运算后的结果进行存储。例如,存在作为加密或散列、MAC(MessageAuthentication Code:信息认证码)进行存储的方法。
获取部103获取在执行时由运算部101使用的运算处理步骤的执行顺序和每个步骤的输出值。所获取的定时可以是在运算处理的每个步骤中获取的定时,或者可以是直到运算处理结束为止想要获取的定时。所获取的步骤的执行顺序和每个步骤的输出值存储在存储部102的“执行时的存储器1021”中。
比较部104对预先存储在存储部102中的正常动作时的运算处理步骤的执行顺序和每个步骤的输出值、与由获取部103获取到的执行时的运算处理步骤的执行顺序和每个步骤的输出值进行比较。此外,进行比较的定时也可以是每个步骤的定时或到运算处理结束时为止想要进行比较的定时。
在比较部104的比较结果不一致时,判定部105判定为异常。即,也可以在比较结果是运算处理步骤的执行顺序和每个步骤的输出值中的任一个不一致或者都不一致的情况下,判定为异常。另外,判定方法不限于运算处理步骤的执行顺序、每个步骤的输出值,还可以追加运算处理的执行时间等其他信息。
判定部105判定为异常的情况下,转移至异常检测处理。在判定为正常的情况下,继续执行控制部100的控制处理。
判断部106设置从控制装置10的多个控制部中优先检查哪个控制部的优先顺序。在图3中示出控制部100由多个控制部A~C构成的控制装置10的示例。获取部103根据判断部106的判断结果,从控制部A、控制部B和控制部C中决定作为对象的控制部。在控制装置10中仅有一个控制部时,不设置优先顺序。
判断部106进一步基于后述的车辆状态管理部107和周边状况管理部108的信息,判断应该是获取部103获取信息的对象的控制部100。具体来说,在由于网络攻击导致车辆被劫持的情况下,使损害影响变大的控制优先。例如,在图3的控制部A中,当进行与速度急剧上升时的“行驶”相关的处理、与拥挤时的“转弯”相关的处理、或者与天气为下雪时的“停止”相关的处理时,进行使该控制部A优先的判断。
车辆状态管理部107管理车辆的动作状态。动作状态例如表示车辆处于“行驶”、“转弯”、“停止”等状态。可以从控制装置10以外的其他控制装置例如图1的控制装置20获取动作状态。
周边状况管理部108管理车辆的周边状况。所谓周边状况,例如表示堵塞等交通状况、或者下雪等天气等。可以从控制装置10以外的其他控制装置例如图1的控制装置20获取周边状况。
确定部109在由判定部105判定为异常的情况下,如图4A所示,根据存储部102的“执行时的存储器1021”中存储的执行时的运算处理步骤的执行顺序,确定成为异常原因的存储器的范围。具体地,读取并确定将从获取部103获取到的信息存储在存储部102中的、即存储在RAM和/或ROM内的、与所执行的运算处理相关的“执行时的存储器1021”中的相应范围。
如图4A所示,存储器检查部110检查在由确定部109确定的存储器中的相应范围中是否与预先存储在存储部102中的“正常动作时的存储器1022”一致,检测有差异的范围。根据检查结果,图4B中示出检测出有差异的范围的例子。检查是否与存储器一致的方法中,可以分割存储器来检查是否一致。另外,也可以对存储器数据进行散列化等压缩并进行检查。为了使处理高速化,也可以用HSM进行检查。
待机用控制部111是能够执行与控制部100相同的控制处理并且与控制部100分开的控制部。具体而言,在通常的控制处理中不执行。仅在由切换部112执行了切换处理的情况下,执行控制处理。为了在切换后立即执行,也可以预先启动。
切换部112在由判定部105判定为异常的情况下,将控制部100的控制处理切换为待机用控制部111的控制处理。在切换后控制部100可以停止功能,或者也可以将功能降低一部分来执行。
如图4C所示,在通过切换部112将控制部100的控制处理切换为待机用控制部111后,改写部113将由存储器检查部110检测出的具有差异的范围从“正常动作时的存储器1022”改写为存储有“执行时的存储器1021”的存储部102的ROM和/或RAM。
通知部114将由判定部105判定为异常的信息和改写部113的改写结果通知到控制装置10的外部。通知方法可以同时通知被判定为异常的信息和改写结果,或者可以分别通知。通知目标是通过仪表盘的显示画面等通知给驾驶员。或者也可以是车外的通知中心。此外,通知内容是异常信息、攻击信息或引起注意等。该通知内容可以在仪表盘的显示画面上例如显示为“异常”、“正常”、“处理了异常”、“被攻击了”、“注意速度”等。
图5中示出控制装置10内的微机的硬件的一个示例。由处理器3及存储装置4构成,虽未图示,但存储装置具备上述的RAM这样的易失性存储装置、和上述的ROM、或闪存等非易失性辅助存储装置。此外,也可以具备硬盘这样的辅助存储装置以代替闪存。如上所述,处理器3执行从存储装置4的RAM和ROM输入的程序。在这种情况下,程序从辅助存储装置(例如ROM)经由易失性存储装置(例如RAM)输入到处理器3。此外,处理器3可以将运算结果等数据输出至存储装置4的易失性存储装置(例如RAM),也可以经由易失性存储装置将数据保存至辅助存储装置。在图2所示的功能框图的各功能之内,存储部102以外的功能可以由处理器执行,也可以在存储装置4内存在存储部102的功能,也可以在处理器3内存在存储部102的一部分功能。除了这些硬件之外,还可以追加HSM等用于安全性的硬件。
<控制处理>
接着,用图6详细说明控制装置10的控制处理。图6是示出从实施方式1所涉及的控制部100的控制处理开始,通过运算部101的3个运算处理步骤的运算处理来运算控制值,直到执行控制处理为止的处理的流程的流程图。运算处理的步骤数当然不限于3个步骤。
首先,控制部100开始控制处理(步骤S201)。该控制处理例如是:(1)为了在运算部101中运算控制值,从控制装置10或控制装置20或连接到它们的传感器来检测用于控制控制对象2的各种车辆的状态(例如故障等)。(2)基于检测到的车辆状态,从ROM或/和RAM读取与控制对象2对应的控制用程序数据,并指示运算部101进行用于控制控制对象2的控制值的运算等的处理。
运算部101执行用于运算控制值的运算处理的步骤1(步骤S202)。在步骤1结束后,与进行异常检测处理(步骤S203)并行地执行运算处理的步骤2(步骤S204)。
所谓运算处理的步骤,例如可以是用于使处理器执行1个运算的以汇编语言为单位的指令或以机器语言的指令集为单位的指令。另外,在进行多个运算而获得一个输出的情况下,也可以将多个运算作为一个处理步骤。例如,如果将算术运算指令与逻辑运算指令相结合的结果是获得一个输出,则可以将两个指令作为一个运算处理步骤。
运算部101在完成运算处理的步骤2之后,与进行异常检测处理(步骤S203)并行地执行运算处理的步骤3(步骤S205)。
所有运算处理结束,基于通过运算处理获得的控制值执行控制用程序,从而在控制部100中执行控制对象2的控制(步骤S206)。之后,结束控制处理。
下面说明更具体的例子。
(1)通过步骤S201的控制处理,检测传感器A、B、C、D的状态a、b、c、d。
(2)通过步骤S202的运算处理步骤1运算传感器A的状态a和传感器B的状态b的逻辑或P,然后通过步骤S203进行异常检测处理。
(3)通过步骤S204的运算处理步骤2运算传感器C的状态c和传感器D的状态d的逻辑或Q,然后通过步骤S203进行异常检测处理。
(4)通过步骤S205的运算处理步骤3运算逻辑或P与逻辑或Q的逻辑与m,然后通过步骤S203进行异常检测处理。
(5)通过步骤S206,基于逻辑与m对控制对象2执行控制M。
<异常检测处理>
接下来,用图7详细说明图6所示的异常检测处理。图7是示出实施方式1所涉及的从控制部100的控制开始到检测出异常的为止的处理的流程的流程图。
如上述步骤S201至步骤S206那样,控制部100开始执行控制处理,运算部101开始用于运算控制处理的控制值的运算处理。
获取部103获取运算部101的运算处理的执行顺序(步骤S301)。执行顺序例如可以是在处理器3中进行的算术运算指令、逻辑运算指令等各个指令单位,也可以仅是某个特定的指令、例如算术运算指令的执行顺序。在上述例子中,是逻辑或P、逻辑或Q以及逻辑与m。
获取部103获取运算部101的运算处理的步骤间的输出值(步骤S302)。在上述例子中,是逻辑或P的输出值(a+c)、逻辑或Q的输出值(c+d)、逻辑与m的输出值(a+c)*(c+d)。
比较部104将所获取到的运算处理的执行顺序与预先存储在存储部102中的运算处理的执行顺序进行比较(步骤S303)。
比较部104将所获取到的运算处理的步骤间的输出值与预先存储在存储部102中的运算处理的步骤间的输出值进行比较(步骤S304)。
判定运算处理的执行顺序或运算处理的步骤间的输出值的比较结果中的任意一个或双方是否一致(步骤S305)。至少在比较结果中的任意一个不一致的情况下,进行异常判定时的处理(步骤S306)。在比较结果双方一致时,使异常检测处理结束。
在判定部105被判定为异常的情况下,转移到用于使车辆正常行驶的处理,作为异常判定时的处理。在异常判定时的处理结束后,结束异常检测处理。
<存储部102的存储处理>
接着,用图8详细说明在控制部100的控制处理执行前的存储部102的存储处理。图8是表示将实施方式1所涉及的控制部100的正常动作时的运算部101的运算处理的执行顺序和运算处理的步骤间的输出值存储到存储部102内的“正常动作时的存储器”为止的处理流程的流程图。该存储处理是在工厂出货前进行的处理。
首先,控制部100开始执行控制处理。运算部101开始运算控制处理的控制值的运算处理(步骤S401)。
存储部102获取运算部101的运算处理的执行顺序(步骤S402)。
存储部102存储运算部101的运算处理的步骤间的输出值(步骤S403)。
存储部102存储与控制部100中进行的控制处理有关的所有程序。换句话说,存储硬件ROM和RAM内的用于执行控制处理的所有软件(步骤S404)。
存储部102存储与控制部101中进行的运算处理有关的所有程序。换句话说,存储硬件ROM和RAM内的用于执行运算处理的所有软件(步骤S405)。
存储处理方法可以按每个步骤存储,也可以在所有控制处理结束后汇总存储。
<判断部106的判断处理>
接下来,用图9详细说明为了决定由获取部103设为对象的控制部100而由判断部106进行的判断处理。图9是表示直到判断部106根据实施方式1所涉及的车辆状态管理部107和周边状况管理部108的信息来设定优先顺序并决定由获取部103设为对象的控制部100为止的判断处理的流程的流程图。这里,设为有多个控制部100。处理的执行定时可以经常进行,也可以在有一定条件的时候进行。所谓一定的条件,例如表示正常行驶时或者高速公路行驶时等。
车辆状态管理部107获取车辆1的动作状态的信息(步骤S501)。具体来说,就是车辆动作的“行驶”、“转弯”、“停止”这样的状态。另外,可以向该动作状态追加更详细的信息。例如,车速或车辆倾斜的角度等数值信息。此外,可以从连接到其他控制装置(例如图1的控制装置20)的传感器等获取这些信息。
周边状况管理部108获取车辆的周边状况信息(步骤S502)。具体表示交通状况或天气等。周边状况可以是细分状况而得的信息。例如,若对天气进行举例,有“晴天”、“高温”、“多云”、“雨”、“大雨”、“雪”、“大雪”、“强风”、“台风”等。也可以从连接到其他控制装置(例如图1的控制装置20)的传感器或接收装置获取。
判断部106根据车辆状态管理部107的车辆状态信息和周边状况管理部108的车辆的周边状况信息,决定由获取部103设为对象的控制部100的优先顺序(步骤S503)。具体来说,控制被劫持时的损害影响越大,优先顺序越高。例如,表示与速度急剧上升时的“行驶”相关的处理、与堵塞时的“转弯”相关的处理、或者与雪地上的“停止”相关的处理等。优先顺序排序的方法是在工厂出货前进行分析,并且将分析结果反映在判断部106的判断处理中。另外,可以在OTA(Over the air:通过无线电)等更新时更新分析结果的内容。
判断部106将判断为具有最高优先顺序的控制部决定为由获取部103设为对象的控制部100(步骤S504),然后结束判断处理。即使优先顺序不是最高的,在能够判断为在车辆行驶中危险度高的情况下,也可以先实施与该控制相应的控制部100的异常检测处理。
<异常判定时的处理>
接下来,用图10详细说明图7中的异常判定时的处理。图10是示出异常判定时的处理流程的流程图。
确定部109在由判定部105判定为异常的情况下,根据存储部102的“执行时的存储器1021”(参照图4)中存储的执行时的运算处理步骤的执行顺序,确定成为异常原因的存储器的范围(步骤S601)。具体地,读取并确定与存储在存储部102中的、即存储在RAM和/或ROM内的与实际处理相关联的存储器中的相应范围。
存储器检查部110进行由确定部109确定的范围是否与存储部102中存储的存储器一致的存储器检查,检测有差异的范围(步骤S602)。
切换部112在由判定部105判定为异常的情况下,将控制部100的控制处理切换为待机用控制部111的控制处理(步骤S603)。
切换部112停止控制部100的控制处理或者将功能降低一部分(步骤S604)。
改写部113通过切换部112将控制部100的控制处理切换为待机用控制部111的控制处理后,将由存储器检查部110检测出的存储部102中存储的存储器的有差异的范围改写为ROM和/或RAM(步骤S605)。
通知部114将由判定部105判定为异常的信息和改写部113的改写结果通知到控制装置10的外部,并结束异常判定时的处理。通知方法是同时通知异常信息和改写结果(步骤S606)。通知也可以分别通知。通知目标可以在显示画面上警告驾驶员。
另外,以上说明的实施方式1说明了将本申请所涉及的控制系统用作车载控制系统的示例。然而,本申请所涉及的控制系统不限于此。例如,可以用于具有高安全性强度并且需要尽早检测出控制装置的异常的机制、并且连接到通信线的控制装置的控制系统。
根据以上说明的本申请的实施方式1,在控制处理中得到以下的效果。
具有如下结构:通过比较用于控制处理的控制值的运算处理的执行顺序和运算处理的步骤间的输出值与正常动作时相比是否一致,来检测控制处理的异常。由此,不限于专门用于基于通信数据的控制值或处理顺序的检测方法,即使控制值、处理顺序被未知的网络攻击伪装,也能检测异常。
另外,通过在各步骤每次结束时对用于控制处理的控制值的运算处理的执行顺序和运算处理的步骤间的输出值与正常动作时相比是否一致进行比较,能在控制处理结束之前尽早检测控制处理的异常。
另外,具有如下结构:包括能够进行与控制部的控制处理相同的控制的待机用控制部,在判断为控制部异常的情况下,将控制处理切换到待机用控制部。由此能保持正常行驶。
另外,具有以下结构:对成为异常检测处理的对象的控制部设定优先顺序,并判断应优先的控制处理。由此,能优先应对由于网络攻击损害影响较大的处理,将损害抑制在最小。另外,与对所有控制处理进行异常检测处理的情况相比,能抑制处理负荷。
另外,还具备以下结构:管理车辆的动作状态,根据车辆的动作状态对成为异常检测处理对象的控制部设定优先顺序,判断应该优先的控制处理。由此,能优先应对从车辆动作方面来看若控制被劫持则损害影响较大的控制处理。
另外,还具备以下结构:管理车辆的周边状况,根据车辆的周边状况对成为异常检测处理对象的控制部设定优先顺序,判断应该优先的控制处理。由此,能优先应对从周边环境或者交通状况方面来看若控制被劫持则损害影响较大的控制处理。
另外,具备以下结构:在被判定为控制处理异常的情况下,根据运算处理的执行顺序确定成为异常原因的存储器的范围。由此,在通过存储器检查检测存储器的异常部位的情况下,不是检查全部的存储器,而是能部分地进行存储器检查,能实现存储器检查处理的高效化。
另外,具备以下结构:在被判定为控制处理异常的情况下,在确定的存储器的范围内进行存储器检查,检测与在控制处理的正常动作时已存储的存储器有差异的范围。由此能检测出被未知的网络攻击篡改的存储器的位置。
另外,具有以下结构:在判定为控制处理异常的情况下,将控制处理切换为待机用控制部的控制处理,并将与在控制处理的正常动作时已存储的存储器有差异的范围改写为存储器。由此,能进行应对以避免被制造新的后门。
此外,具备以下结构:向控制装置外部通知被判定为控制处理异常的信息和改写结果。由此,能立即通知驾驶员被网络攻击了。此外,被通知攻击的驾驶员能迅速对车辆进行检查。
本申请记载了例示性的实施方式,但实施方式所记载的各种特征、方式及功能并不限于特定的实施方式的适用,能单独或以各种组合适用于实施方式。
因此,可以认为未例示的无数变形例也包含在本申请说明书所公开的技术范围内。例如,设为包含有对至少一个结构要素进行变形的情况、追加的情况或省略的情况。
标号说明
10:控制装置,100:控制部,101:运算部,102:存储部,103:获取部,104:比较部,105:判定部,106:判断部,107:车辆状态管理部,108:周边状况管理部,109:确定部,110:存储器检查部,111:待机用控制部,112:切换部,113:改写部,114:通知部。
Claims (10)
1.一种控制系统,其特征在于,包括:
控制部,该控制部执行控制装置的控制处理;
运算部,该运算部通过多个步骤的运算处理来运算所述控制处理的控制值;
存储部,该存储部预先存储有所述控制部的运算处理的执行顺序和运算处理的步骤之间的输出值的、正常时的信息;
获取部,该获取部获取所执行的运算处理的执行顺序和运算处理的步骤之间的输出值的、执行时的信息;
比较部,该比较部将所述正常时的信息与所述执行时的信息进行比较;以及
判定部,该判定部在所比较的运算处理的执行顺序和运算处理的步骤之间的输出值中的至少任一个不一致的情况下,判定为异常。
2.如权利要求1所述的控制系统,其特征在于,
所述比较部在所执行的所述运算部的多个步骤的运算处理中,各步骤每次结束时,将所述运算处理的执行顺序与所述运算处理的每个步骤的输出值进行比较,在至少任一个比较结果不一致的情况下,通过所述判定部判定所述控制部的异常。
3.如权利要求1或2所述的控制系统,其特征在于,包括:
待机用控制部,该待机用控制部能够进行与所述控制部相同的控制,并且与所述控制部分开;以及
切换部,该切换部在由所述判定部判定为异常的情况下,将所述控制部的控制处理切换到所述待机用控制部的控制处理。
4.如权利要求1或2所述的控制系统,其特征在于,
所述控制部有多个,所述控制部包括判断部,该判断部在多个控制部之内对由所述获取部设为对象的控制部的优先顺序进行设定,所述获取部获取对优先顺序高的控制部的控制处理的控制值进行运算的多个步骤的运算处理的执行顺序和所述运算部的运算处理的步骤间的输出值。
5.如权利要求4所述的控制系统,其特征在于,
所述控制装置搭载在车辆上,所述控制装置包括车辆状态管理部,该车辆状态管理部对所述车辆的动作状态进行管理,所述判断部基于所述车辆状态管理部的输出,对由所述获取部设为对象的控制部的优先顺序进行设定。
6.如权利要求4或5所述的控制系统,其特征在于,
所述控制装置搭载在车辆上,所述控制装置包括周边状况管理部,该周边状况管理部对所述车辆的周边状况进行管理,所述判断部基于所述周边状况管理部的输出,对由所述获取部设为对象的控制部的优先顺序进行设定。
7.如权利要求1至6中任一项所述的控制系统,其特征在于,
包括确定部,该确定部在由所述判定部判定为异常的情况下,确定在所述存储部中所存储的运算处理的执行顺序中的、异常的范围。
8.如权利要求7所述的控制系统,其特征在于,
所述存储部存储由所述获取部获取到的、所述执行时的信息,所述控制系统包括存储器检查部,该存储器检查部在由所述确定部确定的异常范围内,检测所述执行时的信息与所述正常时的信息有差异的部分。
9.如权利要求8所述的控制系统,其特征在于,包括:
待机用控制部,该待机用控制部能够进行与所述控制部相同的控制,并且与所述控制部分开;切换部,该切换部在由所述判定部判定为异常的情况下,将所述控制部的控制处理切换到所述待机用控制部的控制处理;以及改写部,该改写部在由所述切换部切换为所述待机用控制部后,将由所述存储器检查部检测出的有差异的部分改写为所述正常时的信息。
10.如权利要求9所述的控制系统,其特征在于,
包括通知部,该通知部向所述控制装置的外部通知与由所述判定部判定的异常有关的信息和所述改写部的改写结果。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2020/021033 WO2021240700A1 (ja) | 2020-05-28 | 2020-05-28 | 制御システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115668191A true CN115668191A (zh) | 2023-01-31 |
Family
ID=78723138
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080101016.5A Pending CN115668191A (zh) | 2020-05-28 | 2020-05-28 | 控制系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11932269B2 (zh) |
| JP (1) | JP7361912B2 (zh) |
| CN (1) | CN115668191A (zh) |
| DE (1) | DE112020007248T5 (zh) |
| WO (1) | WO2021240700A1 (zh) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002303202A (ja) * | 2001-04-04 | 2002-10-18 | Denso Corp | 車両用電子制御装置 |
| JP5365273B2 (ja) | 2009-03-11 | 2013-12-11 | 日本電気株式会社 | 情報処理システム、監視方法及び監視プログラム |
| US10017205B2 (en) * | 2014-09-25 | 2018-07-10 | Nsk Ltd. | Control apparatus and control method of on-vehicle electronic equipment |
| JP2021067960A (ja) | 2018-02-14 | 2021-04-30 | 日立Astemo株式会社 | 車両監視システム |
-
2020
- 2020-05-28 US US17/919,935 patent/US11932269B2/en active Active
- 2020-05-28 CN CN202080101016.5A patent/CN115668191A/zh active Pending
- 2020-05-28 DE DE112020007248.7T patent/DE112020007248T5/de active Pending
- 2020-05-28 JP JP2022527371A patent/JP7361912B2/ja active Active
- 2020-05-28 WO PCT/JP2020/021033 patent/WO2021240700A1/ja active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| US11932269B2 (en) | 2024-03-19 |
| US20230174082A1 (en) | 2023-06-08 |
| JP7361912B2 (ja) | 2023-10-16 |
| JPWO2021240700A1 (zh) | 2021-12-02 |
| DE112020007248T5 (de) | 2023-03-09 |
| WO2021240700A1 (ja) | 2021-12-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110612527A (zh) | 信息处理装置以及异常应对方法 | |
| EP3293659A1 (en) | Network monitoring device, network system and computer-readable medium | |
| US11784871B2 (en) | Relay apparatus and system for detecting abnormalities due to an unauthorized wireless transmission | |
| US20220052854A1 (en) | Accelerated verification of automotive software in vehicles | |
| JP2021067960A (ja) | 車両監視システム | |
| US12050691B2 (en) | Security processing device | |
| JP7447905B2 (ja) | モビリティ制御システム、方法、および、プログラム | |
| CN115668191A (zh) | 控制系统 | |
| WO2020008872A1 (ja) | 車載セキュリティシステムおよび攻撃対処方法 | |
| CN118043808A (zh) | 信息处理装置、信息处理装置的控制方法以及程序 | |
| WO2022244200A1 (ja) | 制御装置 | |
| JP6968137B2 (ja) | 車両用制御装置 | |
| JP7109621B1 (ja) | 制御システム | |
| JP6698778B2 (ja) | 制御システム | |
| JP6604661B2 (ja) | 車両制御装置 | |
| US20160011932A1 (en) | Method for Monitoring Software in a Road Vehicle | |
| JP7403728B2 (ja) | 侵入検知システム | |
| US20230249698A1 (en) | Control apparatus | |
| KR20200124470A (ko) | 차량의 게이트웨이 장치, 그를 포함한 시스템 및 그 침입 탐지 방법 | |
| JP7471532B2 (ja) | 制御装置 | |
| US20230267206A1 (en) | Mitigation of a manipulation of software of a vehicle | |
| US20230267213A1 (en) | Mitigation of a manipulation of software of a vehicle | |
| WO2023084624A1 (ja) | 車載制御装置 | |
| US20240361935A1 (en) | Data storage device, mobile object, and storage medium storing data deletion program | |
| US20230376588A1 (en) | Vehicle control system and method for controlling vehicle control system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |