CN117413266A - 监视系统、监视方法、监视装置以及功能限制装置 - Google Patents
监视系统、监视方法、监视装置以及功能限制装置 Download PDFInfo
- Publication number
- CN117413266A CN117413266A CN202280036876.4A CN202280036876A CN117413266A CN 117413266 A CN117413266 A CN 117413266A CN 202280036876 A CN202280036876 A CN 202280036876A CN 117413266 A CN117413266 A CN 117413266A
- Authority
- CN
- China
- Prior art keywords
- monitoring
- reliability
- vehicle
- module
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 437
- 238000000034 method Methods 0.000 title claims description 66
- 238000012806 monitoring device Methods 0.000 title claims description 19
- 230000006870 function Effects 0.000 claims abstract description 153
- 238000004891 communication Methods 0.000 claims description 90
- 238000012795 verification Methods 0.000 claims description 57
- 230000008569 process Effects 0.000 claims description 40
- 230000008859 change Effects 0.000 claims description 21
- 230000009471 action Effects 0.000 claims description 6
- 230000003247 decreasing effect Effects 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 72
- 238000012986 modification Methods 0.000 description 23
- 230000004048 modification Effects 0.000 description 23
- 238000012545 processing Methods 0.000 description 19
- 238000004590 computer program Methods 0.000 description 15
- 238000012423 maintenance Methods 0.000 description 9
- 238000011084 recovery Methods 0.000 description 9
- 239000000470 constituent Substances 0.000 description 7
- 238000010276 construction Methods 0.000 description 7
- 230000007423 decrease Effects 0.000 description 7
- 230000004044 response Effects 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 5
- 230000010354 integration Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 102100034112 Alkyldihydroxyacetonephosphate synthase, peroxisomal Human genes 0.000 description 1
- 101000799143 Homo sapiens Alkyldihydroxyacetonephosphate synthase, peroxisomal Proteins 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000016571 aggressive behavior Effects 0.000 description 1
- 238000000848 angular dependent Auger electron spectroscopy Methods 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
- B60R16/0239—Electronic boxes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45591—Monitoring or debugging support
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mechanical Engineering (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及的监视系统是用于对车辆(10)或者在车辆(10)内动作的监视对象进行监视的监视系统,所述监视系统具备:可靠度管理部(1186),对与车辆(10)的车辆事件相应并表示监视对象的安全保护状态的可靠度进行管理;以及功能限制部(1163),根据可靠度来进行监视对象的功能的至少一部分的限制。
Description
技术领域
本申请涉及监视系统、监视方法、监视装置以及功能限制装置。
背景技术
近年来,为了向利用者提供自动驾驶等先进功能,车辆系统正在复杂化。为了消除随着复杂化而增大的开发周期以及成本的课题,存在将以往分为多个ECU(ElectronicControl Unit:电子控制单元)而搭载的功能集成到一个ECU的动向。在ECU的集成中,为了在一个ECU中使多个虚拟计算机动作而利用了虚拟化技术,该虚拟的计算机被称为虚拟机,成为使多个虚拟机动作的虚拟化平台的软件被称为虚拟机管理程序。在虚拟机管理程序内的虚拟化软件或者器件驱动所含的脆弱性或者规格的不良情况显著化的情况下,存在分配给虚拟机管理程序或者虚拟机的存储器区域能够被篡改的问题。
作为这样的课题的对策,专利文献1中公开了一种定期对操作系统的篡改进行监视的装置。
现有技术文献
专利文献
专利文献1:日本专利第4388292号公报
发明内容
发明要解决的课题
然而,期望提高车辆的安全性。
因此,本申请提供提高了车辆的安全性的监视系统、监视方法、监视装置以及功能限制装置。
用于解决课题的手段
本申请的一个方式的监视系统,用于对车辆或者在所述车辆内动作的第一监视对象进行监视,所述监视系统具备:可靠度管理部,对与所述车辆的车辆事件相应并表示所述第一监视对象的安全保护状态的第一可靠度进行管理,以及功能限制部,根据所述第一可靠度来进行所述第一监视对象的功能的至少一部分的限制。
本申请的一个方式的监视方法,用于对车辆或者在车辆内动作的监视对象进行监视,所述监视方法包含:可靠度管理步骤,针对所述监视对象,与车辆事件相应并表示该监视对象的安全保护状态的可靠度进行管理;以及功能限制步骤,根据所述可靠度来进行所述监视对象的功能的至少一部分的限制。
本申请的一个方式的监视装置,包含于监视系统,所述监视系统具备用于对车辆或者在所述车辆内动作的监视对象进行监视的所述监视装置、以及用于对所述监视对象的功能进行限制的功能限制装置,所述监视装置具备可靠度管理部,所述可靠度管理部对与所述车辆的车辆事件相应并表示所述监视对象的安全保护状态的可靠度进行管理。
本申请的一个方式的功能限制装置,包含于监视系统,所述监视系统具备用于对车辆或者在所述车辆内动作的监视对象进行监视的监视装置、以及用于对所述监视对象的功能进行限制的所述功能限制装置,所述功能限制装置具备功能限制部,所述功能限制部根据与所述车辆的车辆事件相应并表示所述监视对象的安全保护状态的可靠度来进行所述监视对象的功能的至少一部分的限制。
发明效果
根据本申请的一个方式的监视系统等,能够提高车辆的安全性。
附图说明
图1是表示实施方式1的车辆网络系统的整体构成的一个例子的图。
图2是表示实施方式1的集成ECU的构成的一个例子的图。
图3是表示实施方式1的监视对象模块的构成的一个例子的图。
图4是表示实施方式1的监视模块的构成的一个例子的图。
图5是表示实施方式1的可靠度管理表的一个例子的图。
图6是表示实施方式1的可靠度调整表的一个例子的图。
图7是表示实施方式1的功能限制表的一个例子的图。
图8是表示实施方式1的可靠度更新时序的一个例子的图。
图9是表示使用实施方式1的可靠度的判定时序的一个例子的图。
图10是表示实施方式1的可靠度复原时序的一个例子的图。
图11是表示实施方式1的变形例的监视对象模块的构成的一个例子的图。
图12是表示实施方式1的变形例的可靠度管理表的一个例子的图。
图13是表示实施方式1的变形例的监视模块的构成的一个例子的图。
图14是表示实施方式1的变形例的可靠度更新时序的一个例子的图。
图15是表示使用实施方式1的变形例的可靠度的判定时序的一个例子的图。
图16是表示实施方式1的变形例的可靠度复原时序的一个例子的图。
图17是表示实施方式2的网络系统的整体构成的一个例子的图。
图18是实施方式2的集成ECU的构成的一个例子的图。
图19是表示实施方式2的监视模块的构成的一个例子的图。
图20是表示实施方式2的服务器的构成的一个例子的图。
图21是表示实施方式2的可靠度管理表的一个例子的图。
图22是表示实施方式2的可靠度调整表的一个例子的图。
图23是表示实施方式2的功能限制表的一个例子的图。
图24是表示实施方式2的可靠度更新时序的一个例子的图。
图25是表示使用实施方式2的可靠度的判定时序的一个例子的图。
图26是表示实施方式2的可靠度复原时序的一个例子的图。
图27是表示其他实施方式的集成ECU的构成的一个例子的图。
图28是表示其他实施方式的集成ECU的构成的一个例子的图。
图29是表示其他实施方式的集成ECU的构成的一个例子的图。
图30是表示其他实施方式的集成ECU的构成的一个例子的图。
图31是表示其他实施方式的集成ECU的构成的一个例子的图。
图32是表示其他实施方式的集成ECU的构成的一个例子的图。
图33是表示其他实施方式的集成ECU的构成的一个例子的图。
图34是表示其他实施方式的集成ECU的构成的一个例子的图。
图35是表示其他实施方式的集成ECU的构成的一个例子的图。
图36是表示其他实施方式的显示画面的一个例子的图。
具体实施方式
(达成本申请的经过)
在对本申请进行说明之前,先对达成本申请的经过进行说明。
当将上述的专利文献1的装置应用于在一个ECU中使多个虚拟计算机动作的构成的ECU时,作为验证对象的区域会变得膨大,至各个验证对象的验证完成所需的时间增加,因此在每个验证对象验证结束的时刻会产生较大差异。此外,由于验证定期进行,因此在验证与验证之间的时间即使受到攻击也难以检测出。因此,期望提高搭载有ECU的车辆的安全性。
因此,本申请发明人们对能够提高车辆的安全性的监视系统等进行深入研究,创造了以下说明的监视系统等。例如,即使在每个验证对象验证结束的时刻会产生较大差异的情况下,设定成为将验证对象判定为正常的依据的数值,根据该数值来对该对象的功能进行部分限制,由此创造了能够实现更安全的ECU的监视系统等。由此,能够适当地对能够根据监视对象的状态来使用的功能进行判定和限制,作为系统整体能够维持安全的状态。
本申请的一个方式的监视系统,用于对车辆或者在所述车辆内动作的第一监视对象进行监视,所述监视系统具备:可靠度管理部,对与所述车辆的车辆事件相应并表示所述第一监视对象的安全保护状态的第一可靠度进行管理;以及,功能限制部,根据所述第一可靠度来进行所述第一监视对象的功能的至少一部分的限制。
由此,能够适当地对能够根据监视对象的状态来使用的功能进行判定,能够作为系统整体维持安全的状态。即,能够提高车辆的安全性。
此外,例如,也可以是,所述第一可靠度是具有表示所述第一监视对象的所述安全保护状态的程度的至少两个以上的等级的值,所述可靠度管理部在每次发生所述车辆事件时变更所述等级。
由此,能够更详细地管理监视对象的状态。
此外,例如,也可以是,发生所述等级的变更的所述车辆事件包含作为所述第一监视对象的软件的完整性验证。
由此,对作为监视对象的软件的篡改进行检测,能够抑制对其他监视对象等的影响。
此外,例如,所述可靠度管理部进行在所述完整性验证正常完成的情况下增加所述第一可靠度、以及在所述完整性验证未正常完成的情况下减少所述第一可靠度中的至少一方,由此可以变更所述等级。
由此,能够根据完整性验证的结果来更新可靠度。
此外,例如,也可以是,发生所述等级的变更的所述车辆事件包含规定时间的经过。
由此,对篡改等风险随着经过时间而增加了的监视对象的状态进行适当管理,根据状态来限制功能,由此能够抑制对其他监视对象等的影响。
此外,例如,也可以是,所述可靠度管理部在经过了所述规定时间的情况下,减少所述第一可靠度。
由此,能够在经过了规定时间的情况下更新可靠度。
此外,例如,也可以是,发生所述等级的变更的所述车辆事件包含所述第一监视对象的重启。
由此,对由于篡改等而会使成功与否变化的重启的状态进行适当管理,根据状态来限制功能,由此能够抑制对其他监视对象等的影响。
此外,例如,也可以是,所述可靠度管理部在所述重启正常完成的情况下,增加所述第一可靠度或者将所述第一可靠度设为初始值,由此变更所述等级。
由此,能够根据重启的成功与否来更新可靠度。
此外,例如,也可以是,所述可靠度管理部对所述第一监视对象的所述第一可靠度是否小于阈值进行判定,在所述第一可靠度小于所述阈值的情况下,使所述第一监视对象执行所述重启。
由此,在可靠度降低的情况下,能够自动地进行重启来更新可靠度。
此外,例如,也可以是,与所述第一监视对象的所述第一可靠度相应的至少一部分的功能限制包含所述第一监视对象针对特定资源的访问权的停止。
由此,能够根据监视对象的状态来对向资源的访问进行适当管理。
此外,例如,也可以是,与所述第一监视对象的所述第一可靠度相应的至少一部分的功能限制包含所述第一监视对象的通信功能的停止。
由此,能够对可靠度低的监视对象经过通信而将要向其他监视对象等扩大影响的行动进行限制。
此外,例如,也可以是,所述功能限制部在所述第一监视对象要对通信对象进行通信的情况下,在所述第一可靠度小于阈值时,禁止所述第一监视对象与所述通信对象进行通信。
由此,能够对可靠度低的监视对象开始通信而将要向其他监视对象等扩大影响的行动进行限制。
此外,例如,也可以是,所述监视系统进一步对所述车辆或者在所述车辆内动作的第二监视对象进行监视,所述可靠度管理部进一步对与所述车辆的车辆事件相应并表示所述第二监视对象的安全保护状态的第二可靠度进行管理,所述功能限制部在所述第一监视对象与所述第二监视对象要进行通信的情况下,在所述第一可靠度和所述第二可靠度中的至少一方小于阈值时,禁止所述第一监视对象与所述第二监视对象进行通信。
由此,能够更可靠地对可靠度低的监视对象开始通信而将要向其他监视对象等扩大影响的行动进行限制。
此外,例如,也可以是,与所述第一监视对象的所述第一可靠度相应的至少一部分的功能限制包含所述第一监视对象的动作停止。
由此,能够防止可靠度低的监视对象继续动作而给系统整体带来负面影响。
此外,例如,也可以是,计算出所述第一可靠度的所述第一监视对象的单位包含软件过程、操作系统、虚拟机管理程序、在所述虚拟机管理程序上动作的虚拟机、在所述车辆内动作的电子控制单元以及所述车辆中的某一方。
由此,能够按照各个单元进行功能限制,能够进行遍及系统整体的广泛的监视。
此外,例如,也可以是,具备显示部,所述显示部一并显示所述第一监视对象与所述第一可靠度。
由此,能够从外部确认监视对象的当前的状态,能够作为系统整体维持安全的状态。
此外,例如,也可以是,所述可靠度管理部和所述功能限制部搭载于所述车辆。
由此,能够不与车外进行通信而提高车辆的安全性。
此外,例如,也可以是,所述监视系统具备与所述车辆能够通信地连接的服务器,所述可靠度管理部和所述功能限制部中的至少一方通过所述服务器来实现。
由此,即使作为监视对象的软件等被篡改,也能够准确地进行可靠度和功能限制中的至少一方的判定。
此外,本申请的一个方式的监视方法,用于对车辆或者在车辆内动作的监视对象进行监视,所述监视方法包含:可靠度管理步骤,针对所述监视对象,对与车辆事件相应并表示该监视对象的安全保护状态的可靠度进行管理;以及功能限制步骤,根据所述可靠度来进行所述监视对象的功能的至少一部分的限制。
由此,起到与上述的监视系统相同的效果。具体而言,能够对能够根据监视对象的状态来使用的功能进行适当判定,能够作为系统整体维持安全的状态。
此外,本申请的一个方式的监视装置,包含于监视系统,所述监视系统具备用于对车辆或者在所述车辆内动作的监视对象进行监视的所述监视装置、以及用于对所述监视对象的功能进行限制的功能限制装置,所述监视装置具备可靠度管理部,所述可靠度管理部对与所述车辆的车辆事件相应并表示所述监视对象的安全保护状态的可靠度进行管理。
由此,能够适当地管理监视对象的状态。
此外,本申请的一个方式的功能限制装置,包含于监视系统,所述监视系统具备用于对车辆或者在所述车辆内动作的监视对象进行监视的监视装置、以及用于对所述监视对象的功能进行限制的所述功能限制装置,所述功能限制装置具备功能限制部,所述功能限制部根据与所述车辆的车辆事件相应并表示所述监视对象的安全保护状态的可靠度来进行所述监视对象的功能的至少一部分的限制。
由此,能够根据监视对象的状态来对能够使用的功能进行适当判定。
以下,一边参照附图一边对与本申请的实施方式相关的不当应对方法进行说明。另外,以下说明的实施方式均表示本申请的一个优选的具体例。即,以下的实施方式中示出的数值、形状、材料、构成要素、构成要素的配置和连接方式、步骤、步骤的顺序等是本申请的一个例子,并非旨在限定本申请。本申请基于权利要求书中的记载来确定。因此,以下的实施方式中的构成要素中没有记载在表示本申请的最上位概念的独立技术方案中的构成要素为了实现本申请的课题不一定是必需的,但将其作为构成更优选的方式的构成要素来进行说明。
此外,各图是示意图,不一定严密地进行图示。因而,例如,在各图中,比例尺等不一定一致。在各图中,对于实质上相同的构成标注相同的附图标记,省略或简化重复的说明。
此外,在本说明书中,表示一致等要素间的关系性的术语、以及数值和数值范围不是仅表示严格意思的表现,是意味着也包含在实质上等同的范围、例如数%左右(例如10%左右)的差异的表现。
(实施方式1)
[1.系统的构成]
这里,作为本申请的实施方式,一边参照附图一边对车辆网络系统进行说明。
[1.1车辆网络系统1000的整体构成]
图1是表示本实施方式的车辆网络系统1000的整体构成的一个例子的图。
如图1所示,车辆网络系统1000是位于车辆10的内部的网络系统,具备刹车1011、发动机1012、显示器1013和将它们全部连接的集成ECU1100。另外,集成ECU1100也可以与除刹车1011、发动机1012以及显示器1013以外的构成要素连接。此外,车辆网络系统1000是监视系统的一个例子。
从集成ECU1100向刹车1011和发动机1012发送与驾驶操作相应的处理命令,反馈该结果。
从集成ECU1100发送与驾驶操作相应的显示命令,显示器1013显示该内容。此外,接受对于显示器1013侧的驾驶操作,将该内容反馈到集成ECU1100。
另外,显示器1013例如也可以一并显示后述的监视对象与该监视对象的可靠度。此外,显示器1013也可以显示后述的完整性验证的结果、维护检查处理的结果等判定结果。
[1.2集成ECU1100的构成图]
图2是表示本实施方式的集成ECU1100的构成的一个例子的图。
如图2所示,集成ECU1100假定为如下环境:虚拟机管理程序(Hypervisor)1120和可信执行环境(以下称为TEE:Trusted Execution Environment)1130在作为硬件的系统芯片(以下称为SoC:System on Chip)1110上动作,虚拟机(以下称为VM:Virtual Machine)在该虚拟机管理程序1120上启动多个(未图示),在各个的VM上不同的操作系统(以下称为OS:Operating Sytem)动作。
在本实施方式中,在OS1140、1150上分别使作为监视对象的监视对象模块1160、监视对象模块1170动作,并且对监视对象模块1160和监视对象模块1170进行监视的监视模块1180在TEE1130上动作。TEE1130与OS1140、1150独立地动作。在本实施方式中,对监视模块1180的监视对象为监视对象模块1160和1170的例子进行说明,但监视对象的数量没有特别限定,为一个以上即可。
[1.3监视对象模块1160的构成图]
图3是表示本实施方式的监视对象模块1160的构成的一个例子的图。
如图3所示,监视对象模块1160具备通信部1161、功能处理部1162和功能限制部1163。另外,监视对象模块1170与监视对象模块1160为相同的构成,因此省略说明。此外,也将监视对象模块1160和1170简称为模块。
通信部1161负责与虚拟机管理程序1120、在其他VM上动作的OS内动作的模块或者过程等的通信。通信部1161主要对监视模块1180实施可靠度的判定结果的查询,接收判定结果。通信部1161构成为包含通信模块(通信电路)。
另外,可靠度是表示监视对象(这里为监视对象模块1160)在安全性方面是否安全的指标,例如是表示监视对象的安全保护状态的程度。可靠度例如表示未被进行与监视对象相关的篡改(这里为监视对象模块1160的存储器区域的篡改等)或者监视对象未被非法访问的可靠性。
功能处理部1162是用于实现监视对象模块1160的原本的功能的处理部。例如,面向显示器1013的描绘处理、面向对于刹车1011或者发动机1012的行驶控制的指示等是用于实现原本功能的处理的一个例子。
功能限制部1163根据可靠度来进行每个监视对象的功能的至少一部分的限制。功能限制部1163例如从监视模块1180接受可靠度的判定结果,根据可靠度来对功能处理部1162的动作进行限制。
另外,之后,也将监视对象模块1160记载为监视对象模块A,也将监视对象模块1170记载为监视对象模块B。此外,监视对象模块1160和1170搭载于车辆10。
[1.4监视模块1180的构成图]
图4是表示本实施方式的监视模块1180的构成的一个例子的图。
如图4所示,监视模块1180具备通信部1181、车辆状态取得部1182、监视部1183、监视信息存储部1184、监视日志存储部1185、可靠度管理部1186和表存储部1187。在本实施方式中,监视模块1180是用于对车辆10或者在车辆10内动作的监视对象进行监视的监视装置的一个例子。
另外,在本实施方式中,对监视模块1180的监视对象为监视对象模块的例子进行说明,但监视对象的单位是软件过程、操作系统、虚拟机管理程序、在虚拟机管理程序上动作的虚拟机、在车辆10内动作的电子控制单元(ECU)以及车辆10中的某一方即可。
通信部1181负责与虚拟机管理程序1120、在其他VM上动作的OS、在OS内动作的模块或者过程等的通信。通信部1181主要接受来自其他模块的查询等,回复判定结果。通信部1181构成为包含通信模块(通信电路)。
车辆状态取得部1182将车辆10的行驶状态、在车辆10内发生的特定的事件等作为车辆状态信息取得。车辆状态取得部1182向可靠度管理部1186通知所接收到的车辆状态信息。
监视部1183使用保存于监视信息存储部1184的完整性验证所需的哈希值等来对作为监视对象的模块或者VM的文件或者存储器区域的完整性进行验证。监视部1183将验证结果存储于监视日志存储部1185并向可靠度管理部1186通知该验证结果。
可靠度管理部1186使用从车辆状态取得部1182接收到的车辆状态信息、从监视部1183接收到的验证结果和可靠度管理表(之后使用图5进行叙述),按照每个监视对象模块(监视对象)对与车辆事件相应的监视对象模块的可靠度进行管理。可靠度管理部1186将对于每个监视对象模块记载了可靠度的值的可靠度管理表保存于表存储部1187。图5是表示本实施方式的可靠度管理表的一个例子的图。
如图5所示,可靠度管理表是监视对象与该监视对象的可靠度建立了对应的表。在图5的例子中,监视对象模块A(监视对象模块1160)的可靠度为8,监视对象模块B(监视对象模块1170)的可靠度为7。可靠度能够根据车辆事件来变更。即,可靠度能够动态地变化。另外,可靠度由上限为10、下限为0的数值表示,是具有表示每个监视对象模块的状态的程度的至少两个以上的等级的值即可。此外,可靠度例如也可以是“高”、“中”、“低”等等级。
再次参照图4,此外,可靠度管理部1186按照可靠度调整规则来进行可靠度管理表中记载的可靠度的变更。可靠度管理部1186例如在每次发生车辆事件时变更可靠度(例如为2以上的等级)。可靠度调整规则例如预先保存于表存储部1187。图6是表示本实施方式的可靠度调整表的一个例子的图。
如图6所示,可靠度调整规则是行为、对象与结果建立了对应的表。
行为是作为变更可靠度的对象的车辆事件,是发生等级的变更的车辆事件的一个例子。行为中包含完整性验证完成、经过一定时间、行驶一定距离、特定车辆事件发生(积极)、特定车辆事件发生(消极)、车辆状态变化(积极)、车辆状态变化(消极)以及复位,但并不限定于此,包含这些中的至少一方即可。
完整性验证完成表示作为监视对象的软件的完整性验证正常完成,经过一定时间表示自实施了作为基准的时刻或者前次的完整性验证的时刻起经过了一定时间,行驶一定距离表示自作为基准的位置或者实施了前次的完整性验证的位置起行驶了一定距离。特定车辆事件发生(积极)表示发生了监视对象的安全性上升的车辆事件,特定车辆事件发生(消极)表示发生了监视对象的安全性降低的事件。特定车辆事件例如是基于由作业者等进行的对车辆10的应对的事件,例如,虽然例示出车辆的维护检查、修理等,但并不限定于此。
车辆状态变化(积极)表示发生了监视对象的安全性上升的车辆状态变化,车辆状态变化(消极)表示发生了监视对象的安全性降低的车辆状态变化。复位表示将监视对象重启(成功重启)。
例如,完成了完全验证的监视对象而言,无论是哪个监视对象都被设为该监视对象的可靠度+5。此外,在行驶了一定距离的情况下,在多个监视对象中,仅监视对象模块A的可靠度被设为-1。
如上所述,发生等级的变更的车辆事件可以包含作为监视对象的软件的完整性验证,也可以包含规定时间的经过,还可以包含监视对象的复位(重启)。
另外,在图6中,也可以包含在完整性验证失败的情况下,将结果设为负。此外,示出了在复位中示出结果为“+10”,在复位后将该监视对象的可靠度设为+10。此外,在复位后,可靠度也可以变更为基准值(例如为初始值)。
再次参照图4,此外,可靠度管理部1186使用功能限制表来对监视对象模块1160的功能进行限制。功能限制表例如预先保存于表存储部1187。
图7是表示本实施方式的功能限制表的一个例子的图。
如图7所示,功能限制表是限制内容与阈值建立了对应的表。
限制内容表示对可靠度小于阈值的监视对象进行的功能限制的内容,是与每个监视对象的可靠度相应的至少一部分的功能限制的内容的一个例子。阈值表示执行限制的可靠度的值。在图7的例子中,例如,当阈值小于5时,执行其他VM对该监视对象模块1160的通信限制,当阈值小于1时,动作停止。如此,限制内容可以随着可靠度下降而等级性地增强。
如上所述,与每个监视对象的可靠度相应的至少一部分的功能限制可以包含监视对象的通信功能的限制(例如通信功能的停止),也可以包含监视对象的动作停止。
另外,监视对象的通信功能的限制是使监视对象进行的对特定资源的访问权停止的一个例子。对特定资源的访问中包含对通信功能(通信模块)的访问、对(特定)文件的访问、对OS的一部分功能的访问等。
另外,在本实施方式中,监视模块1180的各构成要素搭载于车辆10。即,在本实施方式中,可靠度管理部1186和功能限制部1163搭载于车辆10。此外,车辆网络系统1000至少具备可靠度管理部1186和功能限制部1163即可。
[1.5可靠度更新时序的一个例子]
图8是表示本实施方式的可靠度更新时序(监视方法所含的可靠度管理步骤)的一个例子的图。另外,图8中的步骤S1101~S1105分别设为以定期实施的方式进行调度(scheduling)。此外,在图8中,仅示出了增加可靠度的处理,但也可以进行减少可靠度的处理。
(S1101)监视模块1180定期对监视对象模块1160进行完整性验证处理。这里所谓的完整性验证处理是指如下处理:为了检测出作为完整性验证对象的模块的存储器区域的篡改,读出该存储器区域,计算哈希值,预先通过与作为正确数据具有的哈希值的比较来对是否一致进行判定。
(S1102)监视部1183对步骤S1101的完整性验证处理是否正常结束进行判定。可靠度管理部1186在通过监视部1183判定为步骤S1101的完整性验证处理正常结束的情况下,例如在判定为所计算的哈希值与正确数据一致的情况下(S1102所示的“是”),设为篡改等未能检测出,对作为验证对象的监视对象模块A(监视对象模块1160)增加可靠度。另外,可靠度管理部1186在通过监视部1183判定为所计算的哈希值与正确数据一致的情况下,也可以变更(例如复位)为能够取的可靠度的最大值。
此外,可靠度管理部1186在通过监视部1183判定为步骤S1101的完整性验证处理未正常结束的情况下,例如,在通过监视部1183判定为所计算的哈希值与正确数据不一致的情况下(S1102所示的“否”),设为错误,跳过监视对象模块A(监视对象模块1160)的可靠度的变更处理。
另外,可靠度管理部1186在通过监视部1183判定为所计算的哈希值与正确数据不一致的情况下,也可以对作为验证对象的监视对象模块A减少可靠度。可靠度管理部1186在步骤S1102中,进行在完整性验证正常完成的情况下增加可靠度、以及在完整性验证未正常完成的情况下减少可靠度中的至少一方,由此变更(更新)可靠度即可。
(S1103)监视对象模块1170从外部工具(未图示)接受维护检查处理,向监视模块1180通知顺利完成的意思。
(S1104)监视模块1180的监视部1183对所通知的车辆事件是否属于特定车辆事件进行判定。例如,监视部1183对所通知的车辆事件在可靠度调整表中是否有记载进行确认(判定)。可靠度管理部1186在通过监视部1183判定为有记载的情况下(S1104所示的“是”),变更作为对象的监视对象模块B(监视对象模块1170)的可靠度。维护检查处理顺利完成属于图6所示的特定车辆事件发生(积极),因此可靠度管理部1186对监视对象模块1170的可靠度加“1”。此外,可靠度管理部1186在判定为没有记载的情况下(S1104所示的“否”),跳过监视对象模块B(监视对象模块1170)的可靠度的变更处理。
另外,可以可靠度管理部1186在步骤S1104中,对车辆事件是否为特定车辆事件发生(消极)进行判定,在为特定车辆事件发生(消极)的情况下,对作为验证对象的监视对象模块B减少可靠度,在不是特定车辆事件发生(消极)的情况下,跳过监视对象模块B的可靠度的变更处理。
(S1105)可靠度管理部1186对是否经过了一定时间(规定时间的一个例子)进行判定,在经过了一定时间的情况下(S1105所示的“是”),减少全部监视对象模块的可靠度,在未经过一定时间的情况下(S1105所示的“否”),跳过全部监视对象模块的可靠度的变更处理。可靠度管理部1186可以每当经过预先设定的一定时间时,对全部监视对象模块的可靠度减少预先设定的一定数值。另外,也可以是,在经过了一定时间的情况下,并不限定于减少全部监视对象模块的可靠度,仅减少特定的监视对象模块的可靠度。
[1.6使用可靠度的判定时序的一个例子]
图9是表示使用本实施方式的可靠度的判定时序(监视方法所含的功能限制步骤)的一个例子的图。图9示出了监视对象模块1160对监视对象模块1170请求连接时的使用可靠度的判定时序的一个例子。监视对象模块1170是监视对象模块1160的通信对象的一个例子。
(S1201)监视对象模块1160对监视对象模块1170请求连接。
(S1202)监视对象模块1170向监视模块1180查询能否进行与监视对象模块1160的连接。
(S1203)监视模块1180将监视对象模块1160的当前的可靠度与阈值比较,实施监视对象模块1160能否与其他模块通信的判定,将该判定结果发送到监视对象模块1170。
(S1204)监视对象模块1170基于从监视模块1180接收到的判定结果,对来自监视对象模块1160的连接请求进行应答。监视对象模块1170在监视对象模块1160能够与其他模块通信的情况下(S1204所示的“是”),将允许连接的连接应答发送到监视对象模块1160,在监视对象模块1160不能与其他模块通信的情况下(S1204所示的“否”),向监视对象模块1160发送错误通知,结束与监视对象模块1160的连接处理。另外,也可以由显示器1013进行与错误通知相应的显示。
监视对象模块1160的功能限制部1163当取得连接应答时,不进行与监视对象模块1170的通信限制,当取得错误通知时,对监视对象模块1170的通信进行限制(禁止通信)。
如此,功能限制部1163在监视对象模块1160要对监视对象模块1170进行通信的情况下,在该监视对象模块1160的可靠度小于阈值时,禁止监视对象模块1160与监视对象模块1170进行通信。由此,能够抑制可靠度低的监视对象模块1160与监视对象模块1170进行通信。通过功能限制部1163限制通信,例如在监视对象模块1160被非法访问的情况下,能够抑制该影响波及到监视对象模块1170。
例如,在监视对象模块1160开始与监视对象模块1170的通信之前执行图9所示的步骤S1201~S1204的处理。
[1.7可靠度复原时序的一个例子]
图10是表示本实施方式的可靠度复原时序(监视方法所含的可靠度管理步骤)的一个例子的图。图10示出了用于监视模块1180随着监视对象模块1160的可靠度降低而使监视对象模块1160复原的时序的一个例子。另外,图10中的步骤S1301~S1303分别以定期实施的方式进行调度。
(S1301)可靠度管理部1186对监视对象模块A(监视对象模块1160)的当前的可靠度是否小于阈值进行判定。这里的阈值是用于对是否执行重启进行判定的阈值。可靠度管理部1186对监视对象模块1160的当前的可靠度进行确认,在上述可靠度为阈值以上的情况下(S1301所示的“否”),结束处理。此外,可靠度管理部1186在监视对象模块1160的当前的可靠度小于阈值的情况下(S1301所示的“是”),命令监视对象模块1160重启。
(S1302)监视对象模块1160重启,向监视模块1180通知重启完成。这里的重启完成意思是重启正常完成。
(S1303)可靠度管理部1186对监视对象模块A(监视对象模块1160)增加可靠度。另外,可靠度管理部1186在步骤S1303中,进行在重启正常完成的情况下增加可靠度或者将可靠度设为初始值、以及在重启未正常完成的情况下减少可靠度中的至少一方即可。
[1.8实施方式1的效果]
实施方式1中示出的车辆网络系统1000(监视系统)根据自对作为监视对象的监视对象模块进行了最后验证的日期和时间起经过的时间来进行功能限制,由此能够抑制可靠度下降的监视对象模块被篡改而成为对其他模块的威胁的可能性,保证作为集成ECU1100整体的安全性。
另外,本申请是具备用于对车辆10或者在车辆10内动作的监视对象进行监视的监视模块1180(监视装置的一个例子)、以及用于对车辆10或者在车辆10内动作的监视对象进行功能限制的功能限制部1163(功能限制装置的一个例子)的车辆网络系统1000所含的监视模块1180,也可以作为具备按照每个监视对象对与车辆事件相应的可靠度进行管理的可靠度管理部1186的构成来实现。此外,本申请也可以是该车辆网络系统1000所含的功能限制装置,作为具备功能限制部1163的构成来实现,所述功能限制部1163对监视对象进行根据与车辆事件相应的可靠度的每个监视对象的功能的至少一部分的限制。即,可靠度管理部1186和功能限制部1163可以分别作为单独的装置来实现。
(实施方式1的变形例)
在实施方式1中,对监视模块1180管理可靠度的方式进行了说明,但在本变形例中,一边参照附图一边对监视对象的模块管理自身的可靠度的方式例进行说明。另外,对与实施方式1相同的附图省略其说明。进而,对与实施方式1相同的构成要素和处理步骤标注相同的编号,省略其说明。
[1.1.1监视对象模块11160的构成图]
图11是表示本变形例的监视对象模块11160的构成的一个例子的图。
如图11所示,监视对象模块11160具备通信部1161、功能处理部1162、功能限制部1163、车辆状态取得部11164、可靠度管理部11165和表存储部11166。另外,监视对象模块11170(参照图14)也是相同的构成,因此省略说明。
车辆状态取得部11164将车辆10的行驶状态、在车辆10内发生的特定的车辆事件等作为车辆状态信息取得。车辆状态取得部11164例如也可以从搭载于车辆10的各主传感器等中取得车辆状态信息。车辆状态取得部11164向可靠度管理部11165通知所取得的车辆状态信息。
可靠度管理部11165使用可靠度管理表来管理自身(这里为监视对象模块11160)的可靠度。可靠度管理部11165将记载有自身的可靠度的值的可靠度管理表保存于表存储部11166。图12是表示本变形例的可靠度管理表的一个例子的图。
如图12所示,可靠度管理表包含自身的可靠度。在图12的例子中,自身(例如监视对象模块11160)的可靠度为8。另外,也可以在可靠度表中包含除自身以外的监视对象的可靠度。
再次参照图11,此外,可靠度管理部11165按照可靠度调整规则来进行可靠度管理表中记载的可靠度的变更。可靠度调整规则预先保存于表存储部11166。可靠度调整表的一个例子与实施方式1相同(参照图6),因此省略说明。
此外,可靠度管理部11165使用功能限制表来限制监视对象模块(即,自身)的功能。功能限制表例如预先保存于表存储部11166。功能限制表的一个例子与实施方式1相同(参照图7),因此省略说明。
[1.1.2监视模块11180的构成图]
图13是表示本实施方式的监视模块11180的构成的一个例子的图。
如图13所示,监视模块11180具备通信部11181、监视部11183、监视信息存储部1184和监视日志存储部1185。
通信部11181负责与虚拟机管理程序1120、在其他VM上动作的OS、在OS内动作的模块以及过程等的通信。通信部11181主要将监视部11183的验证结果发送到其他模块。通信部11181构成为包含通信电路。
监视部11183使用来自监视信息存储部1184的完整性验证所需的哈希值(正确数据)等来对作为监视对象的模块或者VM的文件或者存储器区域的完整性进行验证。监视部11183将验证结果存储于监视日志存储部1185并经由通信部11181将该验证结果发送到其他模块。
[1.1.3可靠度更新时序的一个例子]
图14是表示本变形例的可靠度更新时序(监视方法所含的可靠度管理步骤)的一个例子的图。另外,图14中的步骤S1101、S11001~S11005分别以定期实施的方式进行调度。
(S11001)监视模块11180的监视部11183对步骤S1101的完整性验证处理是否正常结束进行判定。监视部11183在步骤S1101的完整性验证处理正常结束的情况下(S11001所示的“是”),设为未检测出篡改等,向监视对象模块11160通知表示该意思的验证结果通知。此外,监视部11183在步骤S1101的完整性验证处理未正常结束的情况下(S11001所示的“否”),设为错误,跳过对监视对象模块11160的通知。
监视部11183例如按照多个监视对象进行步骤S1101以及S11001的处理。另外,监视部11183在步骤S1101的完整性验证处理未正常结束的情况下,也可以向监视对象模块11160通知表示该意思的验证结果通知。
(S11002)接收到通知的监视对象模块11160的可靠度管理部11165更新(这里为增加)由自身管理的可靠度。另外,可靠度管理部11165当取得表示完整性验证处理正常结束的验证结果通知时,也可以变更为自身(监视对象模块11160)的可靠度能够取的的最大值。
(S11003)监视对象模块11170当从外部工具(未图示)接受维护检查处理时,执行维护检查处理。
(S11004)监视对象模块11170的可靠度管理部对所发生的车辆事件是否属于特定车辆事件进行判定。例如,可靠度管理部对发生车辆事件在可靠度调整表中是否有记载进行确认(判定)。可靠度管理部在判定为有记载的情况下(S11004所示的“是”),变更自身(监视对象模块B)的可靠度。维护检查处理顺利完成属于图6所示的特定车辆事件发生(积极),因此可靠度管理部将自身的可靠度增加+1。此外,可靠度管理部在没有记载的情况下(S11004所示的“否”),跳过自身的可靠度的变更处理。
(S11005)监视对象模块11160的可靠度管理部11165和监视对象模块11170的可靠度管理部分别对是否经过了一定时间进行判定。可靠度管理部11165在经过了一定时间的情况下(S11005所示的“是”),更新(这里为减少)自身(监视对象模块A)的可靠度,在未经过一定时间的情况下(S11005所示的“否”),跳过自身的可靠度的变更处理。此外,监视对象模块11170的可靠度管理部在经过了一定时间的情况下(S11005所示的“是”),更新(这里为减少)自身(监视对象模块B)的可靠度,在未经过一定时间的情况下(S11005所示的“否”),跳过自身的可靠度的变更处理。
如此,在步骤S11005中,监视对象模块11160与监视对象模块11170例如每当经过预先设定的一定时间时,对由自身管理的自身的可靠度减少预先设定的一定数值。
[1.1.4使用可靠度的判定时序的一个例子]
图15是表示使用本变形例的可靠度的判定时序(监视方法所含的功能限制步骤)的一个例子的图。图15示出了监视对象模块11160对监视对象模块11170请求连接时的使用可靠度的判定时序的一个例子。
(S11201)监视对象模块11160对自身的可靠度是否为阈值以上进行判定。也可以说,监视对象模块11160将自身的当前的可靠度与阈值比较,实施自身能否与其他模块进行通信的判定。监视对象模块11160在判定的结果为不能通信的情况下(S11201所示的“否”),即,在判定为可靠度小于阈值的情况下,作为错误结束处理,在判定的结果为能够通信的情况下(S11201所示的“是”),即,在判定为可靠度为阈值以上的情况下,监视对象模块11160对监视对象模块11170请求连接。
另外,监视对象模块11160在判定的结果为不能通信的情况下,也可以将不能通信的意思通知到监视模块11180。此外,也可以预先设定阈值,例如将阈值存储于表存储部11166。
(S11202)监视对象模块11170当受理来自监视对象模块11160的连接请求时,对自身的当前的可靠度是否为阈值以上进行判定。也可以说,监视对象模块11170将自身的当前的可靠度与阈值比较,实施自身能否与其他模块进行通信的判定。监视对象模块11170基于判定结果,对来自监视对象模块11160的连接请求进行应答。监视对象模块11170例如在判定的结果为不能通信的情况下(S11202所示的“否”),即,在判定为可靠度小于阈值的情况下,向监视对象模块11160发生错误通知,结束与监视对象模块11160的连接处理。此外,监视对象模块11170例如在判定的结果为能够通信的情况下(S11202所示的“是”),即,在判定为可靠度为阈值以上的情况下,将允许连接的连接应答发送到监视对象模块11160。
如此,在本变形例中,监视对象模块11160和监视对象模块11170分别对自身的可靠度进行判定。然后,仅在监视对象模块11160和监视对象模块11170各自的可靠度为阈值以上的情况下,监视对象模块11160与监视对象模块11170进行通信。换言之,在本变形例中,监视模块11180不参与能否通信的判定。另外,步骤S11201的判定中使用的阈值与步骤S11202的判定中使用的阈值可以为共同的值,也可以为相互不同的值。
也可以说,本变形例的车辆网络系统所具备的功能限制部(这里为功能限制部1163和监视对象模块11170所具备的功能限制部)在监视对象模块11160要与监视对象模块11170进行通信的情况下,在监视对象模块11160的可靠度和监视对象模块11170的可靠度中的至少一方小于阈值时,禁止监视对象模块11160与监视对象模块11170进行通信。
[1.1.5可靠度复原时序的一个例子]
图16是表示本变形例的可靠度复原时序的一个例子的图。图16示出了用于监视对象模块11160随着自身的模块的可靠度降低而使其复原的流程的一个例子。另外,图16中的步骤S11301~S11303分别以定期实施的方式进行调度。
(S11301)监视对象模块11160对自身的模块的当前的可靠度是否小于阈值进行判定。监视对象模块11160在可靠度为阈值以上的情况下(S11301所示的“否”),结束处理。此外,监视对象模块11160在自身的模块的可靠度小于阈值的情况下(S11301所示的“是”),命令重启。
(S11302)步骤S11301的结果是,在自身的模块的可靠度小于阈值的情况下,监视对象模块11160重启。
(S11303)在监视对象模块11160重启成功的情况下,增加自身的模块的可靠度。在模块的存储器区域等被篡改的情况下,有时重启不能正常进行,因此在监视对象模块11160重启成功的情况下,增加自身的模块的可靠度。另外,也可以在监视对象模块11160重启成功的情况下,将自身的模块的可靠度设为初始值。
另外,图16所示的处理例如也可以通过监视对象模块11160的可靠度管理部11165来执行。
[1.1.6实施方式1的变形例的效果]
在实施方式1的变形例中示出的车辆网络系统中,模块自身管理各模块的可靠度,由此能够减少监视模块11180的代码大小,在TrustedOS(可信操作系统)上也容易进行动作。由此,能够期待成本减少效果,能够在更广泛的系统中抑制可靠度下降的监视对象模块被篡改,而成为对其他模块的威胁的可能性,保证作为集成ECU1100整体的安全性。
(实施方式2)
实施方式1中示出的监视模块1180(监视装置的一个例子)(1)存在于ECU上,(2)将在车辆10内的特定的ECU上动作的模块单元作为可靠度的监视对象,(3)用数字表现可靠度,但(1’)也可以存在于车辆10外,(2’)可靠度监视单元不限定于模块,例如也可以是VM、ECU、车辆10的单元,(3’)也可以不用数字来表现可靠度,而是用OK或者NG等状态来表现可靠度。将上述的一个例子示于实施方式2。
[2.系统的构成]
这里,作为本申请的实施方式,一边参照附图一边对网络系统2000进行说明。另外,对与实施方式1相同的附图省略说明。进而,对与实施方式1相同的构成要素和处理步骤标注相同的编号,省略其说明。
[2.1网络系统2000的整体构成]
图17是表示本实施方式的网络系统2000的整体构成的一个例子的图。网络系统2000是监视系统的一个例子。
如图17所示,网络系统2000具备车辆11和与车辆11能够通信地连接的服务器20。车辆11具备刹车1011、发动机1012、显示器1013和将它们全部连接的集成ECU2100作为位于该车辆11的内部的车辆网络系统。这里,集成ECU2100一并具有车辆10内的通信部和与车辆10外的通信部。
[2.2集成ECU2100的构成图]
图18是表示本实施方式的集成ECU2100的构成的一个例子的图。
如图18所示,作为集成ECU2100,假定为如下环境:虚拟机管理程序1120和可信执行环境(以下称为TEE)1130在作为硬件的SoC1110上动作,虚拟机(以下称为VM)(未图示)在该虚拟机管理程序1120上启动多个,在各个的VM上操作系统(以下称为OS)分别动作。
在本实施方式中,监视对象OS2140、监视对象OS2150成为监视对象,对监视对象OS2140和监视对象OS2150进行监视的监视模块2180在TEE1130上动作。此外,功能限制模块2160在监视对象OS2140上动作,功能限制模块2170在监视对象OS2150上动作。功能限制模块2160和2170具有与图3所示的功能限制部1163相同的功能。功能限制模块2160和2170是功能限制部的一个例子。
另外,之后,也将监视对象OS2140记载为监视对象OS-A,也将监视对象OS2150记载为监视对象OS-B。
[2.3监视模块2180的构成图]
图19是表示本实施方式的监视模块2180的构成的一个例子的图。
如图19所示,监视模块2180具备通信部2181、车辆状态取得部2182、监视部2183、监视信息存储部1184和监视日志存储部1185。
通信部2181除负责与虚拟机管理程序1120、在其他VM上动作的OS、在OS内动作的模块或者过程等的通信之外,还负责与位于车辆10外的服务器20的通信。通信部2181主要向服务器20通知监视部2183的验证结果、车辆状态取得部2182所接收到的车辆状态等,或者向其他模块通知服务器20的判定结果。通信部2181具有通信电路(通信模块)。
车辆状态取得部2182将车辆的行驶状态、在车辆内发生的特定的事件等作为车辆状态信息取得。车辆状态取得部2182经由通信部2181向服务器20通知所接收到的车辆状态信息。另外,车辆状态信息能够从搭载于车辆的各种传感器等中取得。
监视部2183使用监视信息存储部1184中的完整性验证所需的哈希值(正确数据)等对作为监视对象的VM的文件或者存储器区域的完整性进行验证。监视部2183将验证结果存储于监视日志存储部1185并经由通信部2181向服务器20通知该验证结果。
[2.4服务器20的构成图]
图20是表示本实施方式的服务器20的构成的一个例子的图。
如图20所示,服务器20具备通信部21、显示部22、可靠度管理部23和表存储部24。
通信部21负责与车辆11的通信。
显示部22是一并显示表示监视对象(例如监视对象模块)的信息与该监视对象的可靠度的显示装置。显示部22例如通过液晶显示器等来实现。
可靠度管理部23使用由车辆11接收到的车辆状态信息、验证结果以及可靠度管理表来对监视对象模块的可靠度进行管理。可靠度管理表按照每个监视对象模块来记载可靠度的值并保存于表存储部24。
图21是表示本实施方式的可靠度管理表的一个例子的图。
如图21所示,可靠度管理表是监视对象与该监视对象的可靠度建立了对应的表。在图21的例子中,监视对象OS-A(监视对象OS2140)的可靠度为OK,监视对象OS-B(监视对象OS2150)的可靠度为NG。如此,可靠度可以是二等级的程度(例如为判定结果)。
再次参照图20,此外,可靠度管理部23按照可靠度调整规则来进行可靠度管理表中记载的可靠度的变更。可靠度管理部23例如在每次发生车辆事件时变更可靠度。可靠度调整规则例如预先保存于表存储部24。图22是表示本实施方式的可靠度调整表的一个例子的图。
如图22所示,可靠度调整规则是行为、对象与结果建立了对应的表。行为包含错误是否发生和复位。此外,行为也可以是错误发生规定次数(例如为5次以上等)。
再次参照图20,此外,可靠度管理部23使用功能限制表来限制监视对象模块的功能。功能限制表例如预先保存于表存储部24。
图23是表示本实施方式的功能限制表的一个例子的图。
如图23所示,功能限制表是限制内容与对象状态建立了对应的表。限制内容包含对其他车辆的通信限制和动作停止。
另外,在图18和图20中,对服务器20具备可靠度管理部23、集成ECU2100具备功能限制部(功能限制模块)的例子进行了说明,但服务器20也可以取代可靠度管理部23或者与可靠度管理部23一起具备功能限制部。即,服务器20可以具备可靠度管理部23和功能限制部中的至少一方。
[2.5可靠度更新时序的一个例子]
图24是表示本实施方式的可靠度更新时序(监视方法所含的可靠度管理步骤)的一个例子的图。另外,图24中的步骤S1101、S2103~S2105分别以定期实施的方式进行调度。
(S2103)监视模块2180对是否发生了错误、例如步骤S1101的完整性验证处理是否正常结束进行判定。
(S2104)监视模块2180在判断为发生了错误的情况下(S2103所示的“是”)、即在步骤S1101的完整性验证处理未正常结束的情况下,参照可靠度调整表来变更监视对象OS-A(监视对象OS2140)的可靠度。监视模块2180例如在完全验证成功或者完整性验证的成功超过规定次数的情况下设定为OK状态,在完全验证失败或者错误超过规定次数超过的情况下设定为NG状态。
(S2105)监视模块2180在日志中保存在步骤S2104中变更后的可靠度的结果,将相同的内容上传到服务器20。
[2.6使用可靠度的判定时序的一个例子]
图25是表示使用本实施方式的可靠度的判定时序(监视方法所含的功能限制步骤)的一个例子的图。图25示出了监视对象OS2140请求外部通信连接时的使用可靠度的判定时序的一个例子。外部通信的连接目标的装置是监视对象OS2140的通信对象的一个例子。
(S2201)监视对象OS2140对监视模块2180请求连接。
(S2202)监视模块2180向服务器20查询能否与监视对象OS2140连接。
(S2203)服务器20根据监视对象OS-A(监视对象OS2140)的可靠度对能否进行外部连接进行判定。例如,服务器20对监视对象OS2140的可靠度和功能限制表进行确认,实施监视对象OS2140能否与外部进行通信的判定,将该判定结果发送到监视模块2180。
(S2204)监视模块2180基于从服务器20接收到的判定结果,对来自监视对象OS2140的连接请求进行应答。监视模块2180在监视对象OS2140能够与外部进行通信的情况下(S2204所示的“是”),将允许连接的连接允许应答发送到监视对象OS2140,在监视对象OS2140不能与外部进行通信的情况下(S2204所示的“否”),向监视对象OS2140发送错误通知,结束监视对象OS2140处的外部连接处理。
监视对象OS2140的功能限制模块2160(功能限制部的一个例子)当取得连接允许应答时,对与车辆10的外部的装置(通信对象的一个例子)的通信不进行限制,当取得错误通知时,对与车辆10的外部的装置的通信进行限制(禁止通信)。
如此,功能限制模块2160在监视对象OS2140要对车辆10的外部的装置进行通信的情况下,在该监视对象OS2140的可靠度小于阈值时,禁止监视对象OS2140与车辆10的外部的装置进行通信。由此,能够抑制可靠度低的监视对象OS2140与车辆10的外部的装置进行通信。
例如在监视对象OS2140开始与通信对象的通信之前执行图25所示的步骤S2201~S2204的处理。
[2.7可靠度复原时序的一个例子]
图26是表示本实施方式的可靠度复原时序的一个例子的图。图26示出了用于服务器20随着监视对象OS2140的可靠度变更而经由监视模块2180使监视对象OS2140复原的时序的一个例子。另外,图26中的步骤S2301~S2305分别以定期实施的方式进行调度。
(S2301)服务器20对监视对象OS-A(监视对象OS2140)的当前的可靠度是否小于阈值进行判定。服务器20在可靠度不小于阈值(可靠度为阈值以上)情况下(S2301中为“否”),即在可靠度为OK状态的情况下,结束处理。此外,服务器20在监视对象OS2140的可靠度小于阈值的情况下(S2301中为“是”),即,在可靠度为NG状态的情况下,对监视模块2180命令重启监视对象OS2140。
(S2302)监视模块2180当从服务器20取得表示重启监视对象OS2140的命令时,对监视对象OS2140命令重启(发送重启命令)。
(S2303)当监视对象OS2140重启成功时,向监视模块2180通知重启完成(发送重启完成通知)。
(S2304)当监视模块2180取得重启完成通知时,向服务器20通知监视对象OS2140重启完成的意思(发送重启完成通知)。
(S2305)服务器20变更监视对象OS2140的可靠度。这里,服务器20对监视对象OS2140增加可靠度。
[2.8实施方式2的效果]
实施方式2中示出的监视装置进行与作为监视对象的OS的验证结果相应的功能限制,由此能够抑制可靠度下降的监视对象OS被篡改而成为对其他模块的威胁的可能性,保证作为集成ECU2100整体的安全性。
(其他实施方式)
[3.其他变形例]
另外,基于上述各实施方式对本申请进行了说明,但本申请当然不限定于上述各实施方式。本申请也包含以下的情况。另外,以下示出的图27~图35是表示集成ECU的构成的各例的图。
(1)在上述实施方式中,作为可靠度加法的一个例子,记载了软件的完整性验证,作为可靠度减法的一个例子,记载了一定时间的经过这样的车辆事件,但车辆事件并不限定于此。例如,如图6所示,可以按照每个车辆事件来预先决定进行加法还是进行减法,也可以按照每个车辆行驶状态来预先决定进行加法还是进行减法。例如,作为行驶状态的例子,有行驶开始或者结束、停车开始或者结束、驻车开始或者结束、外部充电器连接开始或者结束、充电开始或者结束等。此外,作为在车辆内发生的特定的车辆事件的例子,有维护检查处理的开始或者完成、与外部机器的通信开始或者结束、安全错误或者故障的发生、ECU的更新、利用外部的维护工具进行的ECU的功能检查等。进而,在上述的实施方式中,能够按模块分别设定可靠度的调整项目,但也可以在全部监视对象中一致地设定。
(2)在上述实施方式1的变形例中,示出了监视模块实施监视对象模块的软件的完整性验证并直接通知该结果的例子,但也可以将该结果作为车辆事件通知到车辆内所有的模块。监视对象模块能够接收该车辆事件并反映到自身的可靠度。
(3)在上述实施方式中,记载了以作为虚拟机管理程序的导入环境的集成ECU为对象的监视装置,但不限定于有无虚拟机管理程序。例如,如图27、图28和图29所示,本申请也可以在未导入虚拟机管理程序的环境中实现。图27~图29是表示其他实施方式的集成ECU的构成的各例的图。图27表示监视模块对相同的监视对象OS内的监视对象模块A和B进行监视的例子,图28表示监视模块对监视对象OS进行监视的例子,图29表示监视模块对监视对象OS内的监视对象模块进行监视的例子。此时,监视模块可以在TEE1130上动作,也可以在与作为监视对象的模块相同的OS上动作。
(4)在上述实施方式中,记载了赋予可靠度的监视对象的单位为在OS上动作的模块或者OS的例子,但并不限定于此。如图30所示,也可以将虚拟机管理程序作为监视对象。进而,监视对象例如是ECU本身,或者是由多个ECU实现的功能(例如为ADAS系统)这样的单位,或者也可以是车辆本身这样的单位。此外,可靠度管理部可以将各模块的可靠度相加来作为OS的可靠度进行计算,将每个OS的可靠度相加作为集成ECU的可靠度,或者也可以将每个ECU的可靠度相加来作为车辆的可靠度进行计算。
(5)在上述实施方式中,在TEE上动作的监视模块对全部监视对象进行监视,但并不限定于此。例如,如图31和图32所示,监视模块也可以在虚拟机管理程序上动作,还可以作为SoC上的硬件动作。此外,如图33所示,也可以按照每个监视对象使监视模块不同。
(6)在上述实施方式中,作为可靠度复原的一个例子,举出了基于模块或者OS自身的重启的例子,但也可以将进行该可靠度复原的专用的模块设置于除对象以外的区域。例如,如图34所示,为了使监视对象OS复原,虚拟机管理程序可以重启VM,还可以重启SoC。
(7)在上述实施方式中,作为功能限制的一个例子,举出了基于模块或者OS自身的限制的例子,但也可以将用于进行该功能限制的专用的模块配置于除对象以外的区域。例如,如图35所示,新将功能限制模块配置于虚拟机管理程序内,在该功能限制模块对监视对象模块A和B与监视模块之间的通信进行中继时,可以向监视模块询问功能限制内容,对监视对象模块A和B实施功能限制。
(8)在上述实施方式中,将可靠度用于进行内部处理的判断,但为了在服务器或者车辆内管理可靠度,也可以准备表示各监视对象的可靠度的画面。图36是表示其他实施方式中的显示画面22a的一个例子的图。图36表示将可靠度映射到各监视对象的画面的一个例子。配置各监视对象,并与各监视对象重叠地显示被映射到各监视对象的当前的可靠度。这些配置是一个例子,但并不限定于此。例如,也可以是作为列表通过表一览地显示的画面。此外,还可以不仅显示状态,以能够从画面中进行各个监视对象的选择、复位、动作停止等指示的方式准备操作画面(例如为操作用的图标)。
(9)具体而言,上述的实施方式中的各装置是由微处理器、ROM(只读存储器)、RAM(随机存取存储器)、硬盘单元、显示器单元、键盘、鼠标等构成的计算机系统。在RAM或者硬盘单元中记录有计算机程序。微处理器按照计算机程序来进行动作,由此各装置实现其功能。这里,为了实现规定的功能,计算机程序是将表示对于计算机的指令的命令代码组合多个而构成的。
(10)上述的实施方式中的各装置的构成的构成要素的一部分或者全部可以由一个系统LSI(Large Scale Integration:大规模集成电路)构成。系统LSI是将多个构成部集成在一个芯片上而制造的超多功能LSI,具体而言,是包含微处理器、ROM、RAM等而构成的计算机系统。在RAM中记录有计算机程序。微处理器按照计算机程序进行动作,由此系统LSI实现其功能。
(11)此外,构成上述的各装置的构成要素的各部可以单独地单芯片化,也可以以包含一部分或者所有的方式单芯片化。
此外,这里,设为系统LSI,但根据集成度的不同,也存在称作IC、LSI、超级LSI、超大规模LSI的情况。此外,集成电路化的方法并不限于LSI,也可以由专用电路或通用处理器来实现。也可以利用在LSI制造后能够编程的FPGA(Field Programmable Gate Array:现场可编程门阵列)或能够重构LSI内部的电路单元的连接或设定的可重构处理器。
进而,如果出现由半导体技术的进步或者派生的其他技术来取代LSI的集成电路化的技术,则当然也可以使用该技术来进行功能模块的集成化。有可能应用于生物技术等。
(12)构成上述各装置的构成要素的一部分或全部也可以由能够相对于各装置拆卸的IC(集成电路)卡或单体的模块构成。IC卡或者模块是由微处理器、ROM、RAM等构成的计算机系统。IC卡或模块也可以包含上述的超多功能LSI。通过由微处理器按照计算机程序动作,IC卡或模块实现其功能。该IC卡或该模块也可以具有耐篡改性。
(13)本申请可以设为上述所示的方法。此外,也可以将这些方法设为由计算机实现的计算机程序,还可以设为由计算机程序构成的数字信号。计算机程序例如可以是使计算机执行图8~图10、图14~图16、图24~图26中的某一方所示的监视方法所含的特征的各步骤的计算机程序。
此外,本申请也可以将计算机程序或数字信号记录到能够由计算机读取的记录介质,例如可以记录于软盘、硬盘、CD-ROM(只读光盘存储器)、MO(磁光盘)、DVD(数字化视频光盘)、DVD-ROM(数字只读光盘存储器)、DVD-RAM(数字随机存取存储器)、BD(蓝牙设备)(Blu-ray(注册商标)Disc)、半导体存储器等。此外,也可以是记录在这些记录介质中的数字信号。
此外,本申请也可以经由以电通信线路、无线或者有线通信线路、因特网为代表的网络、数据广播等来传送计算机程序或者数字信号。
此外,本申请也可以是具备微处理器和存储器的计算机系统,存储器记录上述计算机程序,存储器记录有上述计算机程序,微处理器按照计算机程序进行动作。
此外,可以将程序或者数字信号记录于记录介质并转移,或者将程序或者数字信号经由网络等转移,由此通过独立的其他的计算机系统来实施。
(14)此外,上述实施方式等车辆网络系统可以作为单一的装置来实现,也可以由多个装置实现。在车辆网络系统由多个装置实现的情况下,该车辆网络系统所具有的各构成要素可以由多个装置以任意方式分配。在车辆网络系统由多个装置实现的情况下,该多个装置间的通信方法没有特别限定,可以是无线通信,也可以是有线通信。此外,在装置间,也可以将无线通信以及有线通信组合。
(15)此外,执行各时序图中的各步骤的顺序是为了具体说明本申请而例示的,也可以是除上述以外的顺序。此外,上述步骤的一部分也可以与其他步骤同时(并列)执行,还可以不执行上述步骤的一部分。
(16)此外,上述实施方式等中的可靠度管理表、可靠度调整表以及功能限制表中的至少一方可以是按照每个监视对象而相互不同的表,也可以是由每个监视对象共享的表。
(17)此外,在上述实施方式中,对在完整性验证正常完成等监视对象的安全性被确认的情况下,使用被增加数值的可靠度来进行监视对象的功能限制的例子进行了说明,但也可以使用在完整性验证未正常完成等监视对象的安全性未被确认的情况下使用被增加数值的危险度来进行监视对象的功能限制。可靠度和危险度是表示车辆的安全性保护状态的指标的一个例子。
(18)也可以将上述实施方式与上述变形例分别组合。此外,基于本申请的技术并不限定于这些,也能够应用于适当进行了变更、置换、附加、省略等的实施方式。例如,只要不脱离本申请的主旨,在本实施方式中实施了本领域技术人员想到的各种变形的方式、将不同的实施方式中的构成要素组合而构建的方式也包含于本申请中。
工业上的可利用性
根据本申请,能够使构成系统的各要素的可靠度明确化,能够抑制发生异常等时的损害而维持安全的状态。
附图标记说明
10、11:车辆
20:服务器
21、1161、1181、2181、11181:通信部
22:显示部
22a:显示画面
23、1186、11165:可靠度管理部
24、1187,、11166:表存储部
1000:车辆网络系统(监视系统)
1011:刹车
1012:发动机
1013:显示器
1100、2100:集成ECU
1110:SoC
1120:虚拟机管理程序
1130:TEE
1140、1150:OS
1160、1170、11160、11170:监视对象模块
1162:功能处理部
1163:功能限制部
1180、2180、11180:监视模块
1182、2182、11164:车辆状态取得部
1183、2183、11183:监视部
1184:监视信息存储部
1185:监视日志存储部
2000:网络系统(监视系统)
2140、2150:监视对象OS
2160、2170:功能限制模块
Claims (21)
1.一种监视系统,用于对车辆或者在所述车辆内动作的第一监视对象进行监视,
所述监视系统具备:
可靠度管理部,对与所述车辆的车辆事件相应并表示所述第一监视对象的安全保护状态的第一可靠度进行管理;以及
功能限制部,根据所述第一可靠度来进行所述第一监视对象的功能的至少一部分的限制。
2.根据权利要求1所述的监视系统,其中,
所述第一可靠度是具有表示所述第一监视对象的所述安全保护状态的程度的至少两个以上的等级的值,
所述可靠度管理部在每次发生所述车辆事件时变更所述等级。
3.根据权利要求2所述的监视系统,其中,
发生所述等级的变更的所述车辆事件包含作为所述第一监视对象的软件的完整性验证。
4.根据权利要求3所述的监视系统,其中,
所述可靠度管理部进行在所述完整性验证正常完成的情况下增加所述第一可靠度、以及在所述完整性验证未正常完成的情况下减少所述第一可靠度中的至少一方,由此变更所述等级。
5.根据权利要求2所述的监视系统,其中,
发生所述等级的变更的所述车辆事件包含规定时间的经过。
6.根据权利要求5所述的监视系统,其中,
所述可靠度管理部在经过了所述规定时间的情况下,减少所述第一可靠度。
7.根据权利要求2所述的监视系统,其中,
发生所述等级的变更的所述车辆事件包含所述第一监视对象的重启。
8.根据权利要求7所述的监视系统,其中,
所述可靠度管理部在所述重启正常完成情况下,增加所述第一可靠度或者将所述第一可靠度设为初始值,由此变更所述等级。
9.根据权利要求7所述的监视系统,其中,
所述可靠度管理部对所述第一监视对象的所述第一可靠度是否小于阈值进行判定,在所述第一可靠度小于所述阈值的情况下,使所述第一监视对象执行所述重启。
10.根据权利要求1~9中任一项所述的监视系统,其中,
与所述第一监视对象的所述第一可靠度相应的至少一部分的功能限制包含所述第一监视对象针对特定资源的访问权的停止。
11.根据权利要求10所述的监视系统,其中,
与所述第一监视对象的所述第一可靠度相应的至少一部分的功能限制包含所述第一监视对象的通信功能的停止。
12.根据权利要求11所述的监视系统,其中,
所述功能限制部在所述第一监视要对象对通信对象进行通信的情况下,在所述第一可靠度小于阈值时,禁止所述第一监视对象与所述通信对象进行通信。
13.根据权利要求11所述的监视系统,其中,
所述监视系统进一步对所述车辆或者在所述车辆内动作的第二监视对象进行监视,
所述可靠度管理部进一步对与所述车辆的车辆事件相应并表示所述第二监视对象的安全保护状态的第二可靠度进行管理,
所述功能限制部在所述第一监视对象与所述第二监视对象要进行通信的情况下,在所述第一可靠度和所述第二可靠度中的至少一方小于阈值时,禁止所述第一监视对象与所述第二监视对象进行通信。
14.根据权利要求1~9中任一项所述的监视系统,其中,
与所述第一监视对象的所述第一可靠度相应的至少一部分的功能限制包含所述第一监视对象的动作停止。
15.根据权利要求1~9中任一项所述的监视系统,其中,
计算出所述第一可靠度的所述第一监视对象的单位包含软件过程、操作系统、虚拟机管理程序、在所述虚拟机管理程序上动作的虚拟机、在所述车辆内动作的电子控制单元、以及所述车辆之中的某一方。
16.根据权利要求1~9中任一项所述的监视系统,其中,
具备显示部,所述显示部一并显示所述第一监视对象与所述第一可靠度。
17.根据权利要求1~9中任一项所述的监视系统,其中,
所述可靠度管理部和所述功能限制部搭载于所述车辆。
18.根据权利要求1~9中任一项所述的监视系统,其中,
所述监视系统具备与所述车辆能够通信地连接的服务器,
所述可靠度管理部和所述功能限制部中的至少一方通过所述服务器来实现。
19.一种监视方法,用于对车辆或者在车辆内动作的监视对象进行监视,
所述监视方法包含:
可靠度管理步骤,针对所述监视对象,对与车辆事件相应并表示该监视对象的安全保护状态的可靠度进行管理;以及
功能限制步骤,根据所述可靠度来进行所述监视对象的功能的至少一部分的限制。
20.一种监视装置,包含于监视系统,所述监视系统具备用于对车辆或者在所述车辆内动作的监视对象进行监视的所述监视装置、以及用于对所述监视对象的功能进行限制的功能限制装置,
所述监视装置具备可靠度管理部,所述可靠度管理部对与所述车辆的车辆事件相应并表示所述监视对象的安全保护状态的可靠度进行管理。
21.一种功能限制装置,包含于监视系统,所述监视系统具备用于对车辆或者在所述车辆内动作的监视对象进行监视的监视装置、以及用于对所述监视对象的功能进行限制的所述功能限制装置,
所述功能限制装置具备功能限制部,所述功能限制部根据与所述车辆的车辆事件相应并表示所述监视对象的安全保护状态的可靠度来进行所述监视对象的功能的至少一部分的限制。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2021/020681 WO2022254521A1 (ja) | 2021-05-31 | 2021-05-31 | 監視システム、監視方法、監視装置および機能制限装置 |
| JPPCT/JP2021/020681 | 2021-05-31 | ||
| PCT/JP2022/018819 WO2022255005A1 (ja) | 2021-05-31 | 2022-04-26 | 監視システム、監視方法、監視装置および機能制限装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117413266A true CN117413266A (zh) | 2024-01-16 |
Family
ID=84323956
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280036876.4A Pending CN117413266A (zh) | 2021-05-31 | 2022-04-26 | 监视系统、监视方法、监视装置以及功能限制装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20240086226A1 (zh) |
| EP (1) | EP4350550A1 (zh) |
| JP (1) | JPWO2022255005A1 (zh) |
| CN (1) | CN117413266A (zh) |
| WO (2) | WO2022254521A1 (zh) |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4388292B2 (ja) | 2003-03-12 | 2009-12-24 | 新日本製鐵株式会社 | 廃棄物の熱分解処理方法 |
| JP2006281883A (ja) * | 2005-03-31 | 2006-10-19 | Fujitsu Ten Ltd | 車両用電子制御装置及び車両サービスセンター |
| CN106464566B (zh) * | 2014-06-16 | 2020-01-21 | 株式会社理光 | 网络系统、通信控制方法以及存储介质 |
| JP6782446B2 (ja) * | 2017-02-16 | 2020-11-11 | パナソニックIpマネジメント株式会社 | 監視装置、通信システム、車両、監視方法、およびコンピュータプログラム |
| US11218535B2 (en) * | 2017-04-12 | 2022-01-04 | Sony Corporation | Information processing apparatus, information processing method, and computer program |
| EP3699794A1 (en) * | 2017-08-10 | 2020-08-26 | Argus Cyber Security Ltd. | System and method for detecting exploitation of a component connected to an in-vehicle network |
-
2021
- 2021-05-31 WO PCT/JP2021/020681 patent/WO2022254521A1/ja active Application Filing
-
2022
- 2022-04-26 WO PCT/JP2022/018819 patent/WO2022255005A1/ja active Application Filing
- 2022-04-26 JP JP2023525665A patent/JPWO2022255005A1/ja active Pending
- 2022-04-26 EP EP22815760.8A patent/EP4350550A1/en active Pending
- 2022-04-26 CN CN202280036876.4A patent/CN117413266A/zh active Pending
-
2023
- 2023-11-22 US US18/517,128 patent/US20240086226A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20240086226A1 (en) | 2024-03-14 |
| WO2022255005A1 (ja) | 2022-12-08 |
| EP4350550A1 (en) | 2024-04-10 |
| WO2022254521A1 (ja) | 2022-12-08 |
| JPWO2022255005A1 (zh) | 2022-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2650809B1 (en) | Information processing device and information processing method | |
| US20140142781A1 (en) | Vehicle Unit And Method For Operating The Vehicle Unit | |
| US20150149757A1 (en) | System and Method for Validating Components During a Booting Process | |
| CN107949847B (zh) | 车辆的电子控制单元 | |
| US9141464B2 (en) | Computing device and method for processing system events of computing device | |
| KR20110093816A (ko) | 플러그인들의 샌드박스 실행 | |
| JP5713138B1 (ja) | 仮想計算機システム、プリンタ制御システム、仮想計算機プログラム及びプリンタ制御プログラム | |
| US11416601B2 (en) | Method and system for improved data control and access | |
| US9448888B2 (en) | Preventing a rollback attack in a computing system that includes a primary memory bank and a backup memory bank | |
| CN112181459B (zh) | 一种cpld升级优化方法及系统 | |
| WO2021111681A1 (ja) | 情報処理装置、制御方法及びプログラム | |
| CN101369141A (zh) | 用于可编程数据处理设备的保护单元 | |
| US10742412B2 (en) | Separate cryptographic keys for multiple modes | |
| CN117413266A (zh) | 监视系统、监视方法、监视装置以及功能限制装置 | |
| US12008256B2 (en) | Memory system with accessible storage region to gateway | |
| JP2024041711A (ja) | 情報処理装置、情報処理装置の制御方法及びプログラム | |
| US8689206B2 (en) | Isolating operating system in-memory modules using error injection | |
| CN111090443A (zh) | 一种保障linux系统安全升级的方法、设备和存储介质 | |
| CN111198832A (zh) | 一种处理方法和电子设备 | |
| JP2013171467A (ja) | 情報処理装置、車両用電子制御装置、データ読み書き方法 | |
| US20230177894A1 (en) | Information processing apparatus and information processing method | |
| JP7341376B2 (ja) | 情報処理装置、情報処理方法、及び、情報処理プログラム | |
| CN111258805B (zh) | 一种服务器的硬盘状态监控方法、设备和计算机设备 | |
| JP2010061548A (ja) | 計算機システム、処理方法及びプログラム | |
| US11613266B2 (en) | Monitoring a component of a control system for a means of transport |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |