-
Technisches Gebiet
-
Die vorliegende Erfindung bezieht sich auf eine Fahrzeugkommunikationsüberwachungseinrichtung, ein Fahrzeugkommunikationsüberwachungsverfahren und ein Fahrzeugkommunikationsüberwachungsprogramm, die ein Angriffsdetektionsverfahren für Fahrzeuge aufweisen.
-
Stand der Technik
-
Seit einigen Jahren weist eine fahrzeuginterne Einrichtung wie z. B. ein Kraftfahrzeugnavigationssystem oder eine Kopfeinheit eine Kommunikationsfunktion mit einem Netz außerhalb eines Fahrzeugs auf und stellt eine Verbindung zum Internet oder einer entfernten Dienstfunktion bereit. Die fahrzeuginterne Einrichtung ist mit einer Zugangsvorrichtung wie z. B. einem Mobiltelefon, einem Smartphone oder einem Personalcomputer (PC) durch ein Kommunikationsverfahren wie z. B. ein drahtloses lokales Netz (LAN) oder Bluetooth (eingetragenes Warenzeichen) verbunden. Das Ausrüsten der fahrzeuginternen Einrichtung mit der Kommunikationsfunktion wie dieser hat das Risiko für Hacking von Kraftfahrzeugen über das Internet durch Missbrauch der Zugangsvorrichtung oder dergleichen erhöht. Als Gegenmaßnahme gegen Hacking sind verschiedene Techniken wie z. B. Paketfiltern durch eine Firewall und ein Angriffsdetektionsverfahren in Erwägung gezogen worden.
-
Die Patentliteratur 1 offenbart eine Angriffsdetektionstechnik zum Überwachen einer Kommunikationsnachricht, die in einem Fahrzeugnetz fließt, und Bestimmen, dass eine Anomalie in dem Kommunikationszustand der Kommunikationsnachricht aufgetreten ist, falls ein Empfangsabstand kürzer ist als ein vorgeschriebener geeigneter Empfangsabstand. Die Patentliteratur 1 offenbart außerdem ein Verfahren zum Bestimmen, dass eine Anomalie in dem Kommunikationszustand einer weiteren Kommunikationsnachricht aufgetreten ist, falls der Empfangsabstand länger ist als der vorgeschriebene Empfangsabstand.
-
Die Patentliteratur 2 offenbart eine Fahrzeugnetzüberwachungseinrichtung, die Kommunikationsdaten in einem Fahrzeugnetz überwacht und bestimmt, dass die Kommunikationsdaten nicht autorisierte Daten sind, falls das Kommunikationsformat der Kommunikationsdaten von einem vorgeschriebenen Format verschieden ist, und erhält dadurch eine hohe Sicherheit für das Fahrzeugnetz aufrecht.
-
Entgegenhaltungsliste
-
Patentliteratur
-
- Patentliteratur 1: JP 2014-187445 A
- Patentliteratur 2: JP 5522160 B
-
Zusammenfassung der Erfindung
-
Technisches Problem
-
Die herkömmliche Angriffsdetektionstechnik detektiert einen Angriff auf der Basis des Kommunikationszyklus, weshalb das Problem besteht, dass sie eine Kommunikation, in der sich der Kommunikationszyklus oder das Kommunikationsvolumen abhängig von dem Zustand eines Fahrzeugs ändert, nicht beherrschen kann. Es wird darauf hingewiesen, dass das Kommunikationsvolumen das Erlauben oder das Verbieten von Kommunikation enthält. Ein weiteres Problem ist, dass die herkömmliche Angriffsdetektionstechnik für Kommunikation, in der sich die Empfangszeit aufgrund eines externen Faktors wie z. B. des Internets ändert, nicht geeignet ist.
-
Auch in dem Fall, in dem bestimmt wird, dass die Kommunikationsdaten nicht autorisierte Daten sind, falls das Kommunikationsformat der Kommunikationsdaten von dem vorgeschriebenen Format verschieden ist, ist es ein Problem, dass die Überlegungen nicht für eine Kommunikation gelten, in der sich der Kommunikationszyklus oder das Kommunikationsvolumen abhängig von dem Zustand eines Fahrzeugs ändern.
-
Es ist ein Ziel der vorliegenden Erfindung, ein fahrzeuginternes System durch Sperren einer nicht autorisierten Nachricht in Übereinstimmung mit dem Zustand eines Fahrzeugs, z. B. fahrend oder stationär und Türen offen oder geschlossen, zu schützen.
-
Lösung der Aufgabe
-
Eine Fahrzeugkommunikationsüberwachungseinrichtung gemäß der vorliegenden Erfindung enthält:
- eine Speichereinheit zum Speichern von Nachrichteninformationen, in denen ein Fahrzeugzustand, der einen Zustand eines Fahrzeugs angibt, ein Nachrichtenattribut, das eine Nachricht, die kommuniziert werden soll, spezifiziert, und Berechtigungsinformationen, die angeben, ob die Kommunikation der Nachricht, die durch das Nachrichtenattribut spezifiziert ist, erlaubt ist, einander zugeordnet sind;
- eine Zustandserfassungseinheit zum Erfassen eines aktuellen Zustands des Fahrzeugs als einen aktuellen Zustand;
- eine Nachrichtenerfassungseinheit zum Erfassen einer Nachricht, die zwischen einem fahrzeuginternen System, das in dem Fahrzeug installiert ist, und einem externen System, das nicht in dem Fahrzeug installiert ist, kommuniziert werden soll, als eine Kommunikationsnachricht; und
- eine Bestimmungseinheit zum Erfassen eines Nachrichtenattributs, das die Kommunikationsnachricht spezifiziert, als ein Kommunikationsnachrichtenattribut und, basierend auf dem aktuellen Zustand, dem Kommunikationsnachrichtenattribut und den Nachrichteninformationen, Bestimmen, ob die Kommunikation der Kommunikationsnachricht erlaubt ist, wenn das Fahrzeug in dem aktuellen Zustand ist.
-
Vorteilhafte Effekte der Erfindung
-
In einer Fahrzeugkommunikationsüberwachungseinrichtung gemäß der vorliegenden Erfindung speichert eine Speichereinheit Nachrichteninformationen, in denen ein Fahrzeugzustand, der einen Zustand eines Fahrzeugs angibt, ein Nachrichtenattribut, das eine Nachricht, die kommuniziert werden soll, spezifiziert, und Berechtigungsinformationen, die angeben, ob die Kommunikation der Nachricht, die durch das Nachrichtenattribut spezifiziert ist, erlaubt ist, einander zugeordnet sind. Eine Zustandserfassungseinheit erfasst einen aktuellen Zustand des Fahrzeugs als einen aktuellen Zustand. Eine Nachrichtenerfassungseinheit erfasst eine Nachricht, die zwischen einem fahrzeuginternen System, das in dem Fahrzeug installiert ist, und einem externen System, das nicht in dem Fahrzeug installiert ist, kommuniziert werden soll, als eine Kommunikationsnachricht. Eine Bestimmungseinheit erfasst ein Nachrichtenattribut, das die Kommunikationsnachricht spezifiziert, als ein Kommunikationsnachrichtenattribut und bestimmt, basierend auf dem aktuellen Zustand, dem Kommunikationsnachrichtenattribut und den Nachrichteninformationen, ob die Kommunikation der Kommunikationsnachricht erlaubt ist, wenn das Fahrzeug in dem aktuellen Zustand ist. Deshalb kann gemäß der Fahrzeugkommunikationsüberwachungseinrichtung der vorliegenden Erfindung in Übereinstimmung mit dem Zustand des Fahrzeugs bestimmt werden, ob die Kommunikation der Nachricht erlaubt ist, so dass die Fahrzeugkommunikation auf besser geeignete Weise überwacht werden kann.
-
Figurenliste
-
- 1 ist ein Kommunikationsdiagramm einer Fahrzeugkommunikationsüberwachungseinrichtung 100 gemäß einer ersten Ausführungsform;
- 2 ist ein Beispiel von Nachrichteninformationen 181 gemäß der ersten Ausführungsform;
- 3 ist ein Beispiel von Nachrichteninformationen 181x gemäß der ersten Ausführungsform;
- 4 ist ein Beispiel von Nachrichteninformationen 181y gemäß der ersten Ausführungsform;
- 5 ist ein Ablaufplan, der einen Nachrichteninformationserfassungsprozess S10 gemäß der ersten Ausführungsform darstellt;
- 6 ist ein Ablaufplan, der einen Zustandserfassungsprozess S20 gemäß der ersten Ausführungsform darstellt;
- 7 ist ein Ablaufplan, der einen Bestimmungsprozess S30 gemäß der ersten Ausführungsform darstellt;
- 8 ist ein Ablaufplan, der einen Nachrichtenerfassungsprozess S40 gemäß der ersten Ausführungsform darstellt;
- 9 ist ein Kommunikationsdiagramm einer Fahrzeugkommunikationsüberwachungseinrichtung 100 gemäß einer Variation der ersten Ausführungsform;
- 10 ist ein Kommunikationsdiagramm einer Fahrzeugkommunikationsüberwachungseinrichtung 100a gemäß einer zweiten Ausführungsform;
- 11 ist ein Beispiel für Nachrichteninformationen 181a gemäß der zweiten Ausführungsform;
- 12 ist ein Ablaufplan, der einen Kommunikationsvolumenerfassungsprozess S50 gemäß der zweiten Ausführungsform darstellt;
- 13 ist ein Ablaufplan, der einen Bestimmungsprozess S30a gemäß der zweiten Ausführungsform darstellt; und
- 14 ist ein Ablaufplan, der einen Nachrichtenerfassungsprozess S40a gemäß der zweiten Ausführungsform darstellt.
-
Beschreibung von Ausführungsformen
-
Ausführungsformen der vorliegenden Erfindung werden nachstehend mit Bezug auf die Zeichnungen beschrieben. In den Zeichnungen sind dieselben oder entsprechende Teile durch die gleichen oder entsprechende Bezugszeichen bezeichnet. In der Beschreibung der Ausführungsformen wird die Beschreibung der gleichen oder entsprechenden Teile weggelassen oder vereinfacht, wie jeweils erforderlich.
-
Erste Ausführungsform
-
*** Beschreibung der Konfiguration ***
-
Eine Konfiguration einer Fahrzeugkommunikationsüberwachungseinrichtung 100 gemäß dieser Ausführungsform wird mit Bezug auf 1 beschrieben.
-
Die Fahrzeugkommunikationsüberwachungseinrichtung 100 ist ein fahrzeuginternes Gateway, das in einem Fahrzeug installiert ist. Die Fahrzeugkommunikationsüberwachungseinrichtung 100 steuert die Kommunikation zwischen einem fahrzeuginternen System 602, das in dem Fahrzeug installiert ist, und einem externen System 601, das nicht in dem Fahrzeug installiert ist, und überwacht außerdem die Kommunikation zwischen dem fahrzeuginternen System 602 und dem externen System 601.
-
Das fahrzeuginterne System 602, das in dem Fahrzeug installiert ist, enthält Vorrichtungen wie z. B. eine Kopfeinheit, eine elektronische Steuereinheit (ECU) und ein Kraftfahrzeugnavigationssystem und ein Netz innerhalb des Fahrzeugs, das diese Vorrichtungen verbindet.
-
Das externe System 601, das nicht in dem Fahrzeug installiert ist, enthält ein zu dem Fahrzeug externes Netz und Vorrichtungen wie z. B. eine Zugangsvorrichtung. Insbesondere ist die Zugangsvorrichtung eine Vorrichtung wie z. B. ein Mobiltelefon, ein Smartphone, ein PC oder ein bordeigenes Diagnose- (OBD-) Werkzeug.
-
Wie in 1 dargestellt ist, ist die Fahrzeugkommunikationsüberwachungseinrichtung 100 ein Computer.
-
Die Fahrzeugkommunikationsüberwachungseinrichtung 100 weist Hardware auf, wie z. B. einen Prozessor 910, eine Speichervorrichtung 920, eine Eingabeschnittstelle 930, eine Ausgabeschnittstelle 940, eine externe Schnittstelle 951 und eine interne Kommunikationsschnittstelle 952. Die Speichervorrichtung 920 enthält einen Speicher und eine Zusatzspeichervorrichtung 922.
-
Die Fahrzeugkommunikationsüberwachungseinrichtung 100 weist als Funktionskomponenten eine Steuereinheit 110 für externes Senden, eine Steuereinheit 120 für externes Empfangen, eine Steuereinheit 130 für internes Senden, eine Steuereinheit 140 für internes Empfangen, eine Protokollumsetzungseinheit 150, eine Bestimmungseinheit 160, eine Zustandserfassungseinheit 170 und eine Speichereinheit 180 auf.
-
Die Funktion jeder aus der Steuereinheit 110 für externes Senden, der Steuereinheit 120 für externes Empfangen, der Steuereinheit 130 für internes Senden, der Steuereinheit 140 für internes Empfangen, der Protokollumsetzungseinheit 150, der Bestimmungseinheit 160 und der Zustandserfassungseinheit 170 ist durch Software realisiert. In der folgenden Beschreibung sind die Steuereinheit 110 für externes Senden, die Steuereinheit 120 für externes Empfangen, die Steuereinheit 130 für internes Senden, die Steuereinheit 140 für internes Empfangen, die Protokollumsetzungseinheit 150, die Bestimmungseinheit 160 und die Zustandserfassungseinheit 170 als Einheiten der Fahrzeugkommunikationsüberwachungseinrichtung 100 bezeichnet. Es wird darauf hingewiesen, dass die Speichereinheit 180 nicht in den Einheiten der Fahrzeugkommunikationsüberwachungseinrichtung 100 enthalten ist.
-
Die Speichereinheit 180 speichert Nachrichteninformationen 181 und einen aktuellen Zustand 182.
-
Die Speichereinheit 180 ist durch den Speicher 921 realisiert. Alternativ kann die Speichereinheit 180 allein durch die Zusatzspeichervorrichtung 922 oder durch den Speicher 921 und die Zusatzspeichervorrichtung 922 realisiert sein. Die Speichereinheit 180 kann durch irgendein Verfahren realisiert sein.
-
Der Prozessor 910 ist mit anderen Hardwarekomponenten über Signalleitungen verbunden und steuert diese anderen Hardwarekomponenten. Der Prozessor 910 ist eine integrierte Schaltung (IC), die Arithmetikverarbeitung ausführt. Spezifische Beispiele für den Prozessor 910 sind eine zentrale Verarbeitungseinheit (CPU), ein digitaler Signalprozessor (DSP) und eine Grafikverarbeitungseinheit (GPU).
-
Der Speicher 921 ist eine Speichervorrichtung zum temporären Speichern von Daten. Spezifische Beispiele für den Speicher 921 sind ein statischer Direktzugriffsspeicher (SRAM) und ein dynamischer Direktzugriffsspeicher (DRAM).
-
Die Zusatzspeichervorrichtung 922 ist eine Speichervorrichtung zum Speichern von Daten. Ein spezifisches Beispiel für die Zusatzspeichervorrichtung 922 ist ein Festplattenlaufwerk (HDD). Alternativ kann die Zusatzspeichervorrichtung 922 ein tragbares Speichermedium sein, wie z. B. seine sichere digitale (SD-) (eingetragenes Warenzeichen) Speicherkarte, CompactFlash (CF), NAND-Flash, eine flexible Platte, eine optische Platte, eine Compact-Disc, eine Blu-Ray- (eingetragenes Warenzeichen) Disc oder eine Digital Versatile Disc (DVD).
-
Die Eingabeschnittstelle 930 ist ein Anschluss, der mit einer Eingabevorrichtung wie z. B. einer Tastatur oder einer berührungssensitiven Tafel verbunden ist. Insbesondere ist die Eingabeschnittstelle 930 ein Anschluss eines universellen seriellen Busses (USB). Die Eingabeschnittstelle 930 kann ein Anschluss sein, der mit einem LAN verbunden ist.
-
Die Ausgabeschnittstelle 940 ist ein Anschluss, mit dem ein Kabel einer Anzeigevorrichtung wie z. B. eines Bildschirms verbunden ist. Insbesondere ist die Ausgabeschnittstelle 940 ein USB-Anschluss oder ein Anschluss einer hochauflösenden Multimediaschnittstelle (HDMI) (eingetragenes Warenzeichen). Insbesondere ist der Bildschirm ein Flüssigkristallbildschirm (LCD).
-
Die externe Schnittstelle 951 weist eine Kommunikationsfunktion zwischen der Fahrzeugkommunikationsüberwachungseinrichtung 100, die das fahrzeuginterne Gateway ist, und dem externen System 601, das nicht in dem Fahrzeug installiert ist, auf. Insbesondere weist die externe Schnittstelle 951 die Kommunikationsfunktion zwischen der Fahrzeugkommunikationsüberwachungseinrichtung 100 und einer Zugangsvorrichtung oder einem Netz außerhalb des Fahrzeugs wie z. B. dem Internet auf.
-
Die interne Schnittstelle 952 weist eine Kommunikationsfunktion zwischen der Fahrzeugkommunikationsüberwachungseinrichtung 100, die das fahrzeuginterne Gateway ist, und dem fahrzeuginternen System 602, das in dem Fahrzeug installiert ist, auf. Insbesondere weist die interne Schnittstelle 952 die Kommunikationsfunktion zwischen der Fahrzeugkommunikationsüberwachungseinrichtung 100 und einer Vorrichtung wie z. B. der Kopfeinheit oder der ECU auf dem Netz innerhalb des Fahrzeugs auf.
-
Die Zusatzspeichervorrichtung 922 speichert ein Programm zum Realisieren der Funktionen der Einheiten der Fahrzeugkommunikationsüberwachungseinrichtung 100. Das Programm zum Realisieren der Funktionen der Einheiten der Fahrzeugkommunikationsüberwachungseinrichtung 100 ist auch als ein Fahrzeugkommunikationsüberwachungsprogramm 620 bezeichnet. Dieses Programm wird in den Speichern 921 geladen, durch den Prozessor 910 gelesen und durch den Prozessor 910 ausgeführt. Die Zusatzspeichervorrichtung 922 speichert außerdem ein OS. Wenigstens ein Teil des OS in der Zusatzspeichervorrichtung 922 wird in den Speicher 921 geladen. Der Prozessor 910 führt das Fahrzeugkommunikationsüberwachungsprogramm 620 aus, während er das OS ausführt.
-
Die Fahrzeugkommunikationsüberwachungseinrichtung 100 kann nur einen Prozessor 910 enthalten oder kann mehrere Prozessoren 910 enthalten. Die mehreren Prozessoren 910 können zusammenarbeiten, um das Programm zum Realisieren der Funktionen der Einheiten der Fahrzeugkommunikationsüberwachungseinrichtung 100 auszuführen.
-
Informationen, Daten, Signalwerte und Variablenwerte, die Ergebnisse der Verarbeitung durch die Einheiten der Fahrzeugkommunikationsüberwachungseinrichtung 100 angeben, werden in der Zusatzspeichervorrichtung 922 oder dem Speicher 921 der Fahrzeugkommunikationsüberwachungseinrichtung 100 oder einem Register oder einem Cache-Speicher in dem Prozessor 910 gespeichert.
-
Das Programm zum Realisieren der Funktionen der Einheiten der Fahrzeugkommunikationsüberwachungseinrichtung 100 kann in einem tragbaren Aufzeichnungsmedium gespeichert sein. Insbesondere ist das tragbare Aufzeichnungsmedium eine Magnetplatte, eine flexible Platte, eine optische Platte, eine Compact Disc, eine Blu-Ray- (eingetragenes Warenzeichen) Disc, eine Digital Versatile Disc (DVD) oder einer Speicherkarte wie z. B. eine SD- (eingetragenes Warenzeichen) Karte.
-
Es wird darauf hingewiesen, dass ein Fahrzeugkommunikationsüberwachungsprogrammprodukt ein Speichermedium oder eine Speichervorrichtung ist, in dem/der das Fahrzeugkommunikationsüberwachungsprogramm 620 aufgezeichnet ist. Das Fahrzeugkommunikationsüberwachungsprogrammprodukt bezieht sich auf ein Produkt von irgendeiner Gestalt, auf das ein computerlesbares Programm geladen ist.
-
*** Beschreibung von Funktionen ***
-
Die Funktionen der Einheiten und der Speichereinheit 180 der Fahrzeugkommunikationsüberwachungseinrichtung 100 gemäß dieser Ausführungsform werden mit Bezug auf 1 beschrieben.
-
Die Steuereinheit 110 für externes Senden empfängt eine Nachricht von der Protokollumsetzungseinheit 150 und sendet die Nachricht zu dem Netz außerhalb des Fahrzeugs wie z. B. der Zugangsvorrichtung oder dem Internet. Die Steuereinheit 120 für externes Empfangen empfängt eine Nachricht von dem Netz außerhalb des Fahrzeugs wie z. B. der Zugangsvorrichtung oder dem Internet und gibt die Nachricht zu der Protokollumsetzungseinheit 150 aus.
-
Jede aus der Steuereinheit 110 für externes Senden und der Steuereinheit 120 für externes Empfangen setzt ein Verbindungsverfahren wie z. B. ein drahtloses LAN, Bluetooth (eingetragenes Warenzeichen), USB, OBD, 3G oder LTE (eingetragenes Warenzeichen) zur Kommunikation mit der Zugangsvorrichtung oder dem Netz außerhalb des Fahrzeugs wie z. B. dem Internet ein. Es wird darauf hingewiesen, dass das Verbindungsverfahren nicht eingeschränkt ist.
-
Andererseits empfängt die Steuereinheit 130 für internes Senden eine Nachricht von der Protokollumsetzungseinheit 150 und sendet die Nachricht zu dem Netz innerhalb des Fahrzeugs. Die Steuereinheit 140 für internes Empfangen empfängt eine Nachricht von dem Netz innerhalb des Fahrzeugs und gibt die Nachricht zu der Protokollumsetzungseinheit 150 aus. Jede aus der Steuereinheit 130 für internes Senden und der Steuereinheit 140 für internes Empfangen setzt ein Verbindungsverfahren wie z. B. CAN, FlexRay, MOST, LIN oder Ethernet (eingetragenes Warenzeichen) zur Kommunikation mit dem Netz innerhalb des Fahrzeugs ein. Es wird darauf hingewiesen, dass das Kommunikationsverfahren nicht eingeschränkt ist.
-
Die Protokollumsetzungseinheit 150 empfängt eine Nachricht, die über die externe Schnittstelle 951 empfangen wird, von der Steuereinheit 120 für externes Empfangen. Dann führt die Protokollumsetzungseinheit 150 das in dem Speicher 921 gespeicherte Programm mit dem Prozessor 910 aus, um die Nachricht in Übereinstimmung mit einem Protokoll zur Kommunikation mit einer Vorrichtung auf dem Netz innerhalb des Fahrzeugs umzusetzen. Dann gibt die Protokollumsetzungseinheit 150 die umgesetzte Nachricht als eine Kommunikationsnachricht 501 zu der Bestimmungseinheit 160 aus und gibt die umgesetzte Nachricht zu der Steuereinheit 130 für internes Senden aus, falls nicht bestimmt wird, dass sie ein Angriff ist. Andererseits empfängt die Protokollumsetzungseinheit 150 eine Nachricht, die über die interne Schnittstelle 952 empfangen wird, von der Steuereinheit 140 für internes Empfangen. Dann führt die Protokollumsetzungseinheit 150 das in dem Speicher 921 gespeicherte Programm mit dem Prozessor 910 aus, um die Nachricht in Übereinstimmung mit einem Protokoll zur Kommunikation mit einer externen Vorrichtung wie z. B. der Zugangsvorrichtung oder dem Internet umzusetzen. Dann gibt die Protokollumsetzungseinheit 150 die umgesetzte Nachricht als eine Kommunikationsnachricht 501 zu der Bestimmungseinheit 160 aus und gibt die umgesetzte Nachricht zu der Steuereinheit 110 für externes Senden aus, falls nicht bestimmt wird, dass sie ein Angriff ist.
-
Die Protokollumsetzungseinheit 150 ist ein Beispiel für eine Nachrichtenerfassungseinheit 50, die eine Nachricht, die zwischen dem fahrzeuginternen System 602, das in dem Fahrzeug installiert ist, und dem externen System 601, das nicht in dem Fahrzeug installiert ist, kommuniziert werden soll, als eine Kommunikationsnachricht 501 erfasst.
-
Die Bestimmungseinheit 160 führt das in dem Speicher 921 gespeicherte Programm mit dem Prozessor 901 aus, um die folgende Operation auszuführen. Die Bestimmungseinheit 160 erfasst die Nachrichteninformationen 181 aus der Speichereinheit 180, wenn die Fahrzeugkommunikationsüberwachungseinrichtung 100, die das fahrzeuginterne Gateway ist, anläuft. Die Bestimmungseinheit 160 empfängt eine Meldung bezüglich des aktuellen Zustands des Fahrzeugs von der Zustandserfassungseinheit 170. Beim Empfangen einer Nachricht von der Protokollumsetzungseinheit 150 bestimmt die Bestimmungseinheit 160, ob die Übertragung der Nachricht erlaubt ist, basierend auf den Nachrichteninformationen 181 und dem aktuellen Zustand des Fahrzeugs und meldet das Ergebnis an die Protokollumsetzungseinheit 150.
-
Die Bestimmungseinheit 160 ist auch als eine Angriffsdetektionseinheit, die einen Angriff auf die Fahrzeugkommunikation detektiert, bezeichnet.
-
Ein Beispiel für die Nachrichteninformationen 181 gemäß dieser Ausführungsform wird mit Bezug auf 2 beschrieben.
-
Die Speichereinheit 180 speichert Nachrichteninformationen 181, in denen ein Fahrzeugzustand 811, der den Zustand des Fahrzeugs angibt, ein Nachrichtenattribut 812, das eine Nachricht, die kommuniziert werden soll, spezifiziert, und Berechtigungsinformationen 813, die angeben, ob die Kommunikation der Nachricht, die durch das Nachrichtenattribut spezifiziert ist, erlaubt ist, einander zugeordnet sind. Die Nachrichteninformationen 181 sind auch als eine Angriffsdetektionslistentabelle bezeichnet.
-
Insbesondere sind Informationen wie z. B. eine Zeilennummer 81, ein Nachrichtentyp 82, der Fahrzeugzustand 811 und der genaue Nachrichteninhalt 83 in den Nachrichteninformationen 181 eingetragen.
-
Ein spezifisches Beispiel für den Nachrichtentyp 82 ist ein Typ wie z. B. Diag oder Verkehrssignalinformationen.
-
Der genaue Nachrichteninhalt 83 gibt den Inhalt der Nachricht an. Der genaue Nachrichteninhalt 83 ist eine weitere genaue Klassifizierung des Nachrichtentyps. Als ein spezifisches Beispiel können „Sensorinformationserfassungsbefehl“ oder „alles“ spezifiziert sein.
-
Die Nachrichteninformationen 181 enthalten den Nachrichtentyp 82 und den genauen Nachrichteninhalt 83, der der Inhalt der Nachricht ist, als das Nachrichtenattribut 812, das die Nachricht, die kommuniziert werden soll, spezifiziert.
-
Der Fahrzeugzustand 811 gibt den Zustand des Fahrzeugs an. Ein spezifisches Beispiel für den Fahrzeugzustand 811 ist der Zustand des Fahrzeugs, wie z. B. „stationär“, „fahrend“, „Türen offen“ oder „Türen geschlossen“. Die Nachrichteninformationen 181 enthalten als den Fahrzeugzustand 811 wenigstens eines aus dem Fahrzustand des Fahrzeugs wie z. B. „stationär“ oder „fahrend“ und den offenen oder geschlossenen Zustand der Türen des Fahrzeugs wie z. B. „Türen offen“ oder „Türen geschlossen“.
-
Es wird darauf hingewiesen, dass die Elemente und Inhalte der Nachrichteninformationen 181, die hier angegeben sind, ein Beispiel sind und die Elemente und Inhalt der Nachrichteninformationen 181 nicht auf dieses Beispiel beschränkt sind.
-
Die in 2 dargestellten Nachrichteninformationen 181 sind eine Weiße Liste, so dass die Tatsache, dass das Nachrichtenattribut 812 darin eingestellt ist, die Berechtigungsinformationen 813 sind, die angeben, dass die Kommunikation der durch das Nachrichtenattribut 812 spezifizierten Nachricht erlaubt ist. Das heißt, eine Nachricht, für die Kommunikation und Übertragung erlaubt sind, ist in den Nachrichteninformationen 181 eingestellt. In diesem Fall ist das in den Nachrichteninformationen 181 eingestellte Nachrichtenattribut 812 die Berechtigungsinformationen 813, die angeben, dass die Kommunikation der Nachricht erlaubt ist.
-
Ein Beispiel für Nachrichteninformationen 181x gemäß dieser Ausführungsform wird mit Bezug auf 3 beschrieben.
-
Wie in den Nachrichteninformationen 181x von 3 dargestellt ist, können die Nachrichteninformationen 191x eine Schwarze Liste sein, so dass die Tatsache, dass ein Nachrichtenattribut darin eingestellt ist, die Berechtigungsinformationen 813x ist, die angeben, dass die Kommunikation einer durch das Nachrichtenattribut spezifizierten Nachricht nicht erlaubt ist. Das heißt, eine Nachricht, für die Kommunikation und Übertragung verboten sind, kann in den Nachrichteninformationen 181x eingestellt sein. In diesem Fall ist das in den Nachrichteninformationen 181x eingestellte Nachrichtenattribut die Berechtigungsinformationen 813x, die angeben, dass die Kommunikation der Nachricht verboten ist.
-
Nachrichteninformationen 181y, die ein weiteres Beispiel für die Nachrichteninformationen 181 gemäß dieser Ausführungsform sind, werden mit Bezug auf 4 beschrieben.
-
Wie in den Nachrichteninformationen 181y von 4 dargestellt ist, können die Nachrichteninformationen 181y als die Berechtigungsinformationen 813y ein Flag enthalten, das angibt, ob die Kommunikation der Nachricht erlaubt ist oder nicht, basierend darauf, ob das Flag angeschaltet oder abgeschaltet ist.
-
*** Beschreibung des Betriebs ***
-
Ein Fahrzeugkommunikationsüberwachungsprozess S100 eines Fahrzeugkommunikationsüberwachungsverfahrens 610 und das Fahrzeugkommunikationsüberwachungsprogramm 620 gemäß dieser Ausführungsform werden mit Bezug auf die 5 bis 8 beschrieben. Die 5 bis 8 sind Diagramme, die ein Beispiel für Ablaufpläne darstellen, wenn die Fahrzeugkommunikationsüberwachungseinrichtung 100, die das in dem fahrzeuginternen Gateway ist, das in dem Fahrzeug installiert ist, eine Nachricht von dem externen System 601 wie z. B. der Zugangsvorrichtung oder dem Internet empfängt. Es wird darauf hingewiesen, dass die Ablaufpläne der 5 bis 8 einen Fall beschreiben, in dem die Nachrichteninformationen 181 vom Typ der Weißen Liste, der in 2 dargestellt ist, verwendet sind.
-
Der Fahrzeugkommunikationsüberwachungsprozess S100 weist einen Nachrichteninformationserfassungsprozess S10, einen Zustandserfassungsprozess S20, einen Bestimmungsprozess S30 und einen Nachrichtenerfassungsprozess S40 auf.
-
<Nachrichteninformationserfassungsprozess S10>
-
Der Nachrichteninformationserfassungsprozess S10 gemäß dieser Ausführungsform wird mit Bezug auf 5 beschrieben.
-
In Schritt S11 erfasst die Bestimmungseinheit 160 die Nachrichteninformationen 181 aus der Speichereinheit 180.
-
<Zustandserfassungsprozess S20>
-
Der Zustandserfassungsprozess S20 gemäß dieser Ausführungsform wird mit Bezug auf 6 beschrieben.
-
In dem Zustandserfassungsprozess S20 erfasst die Zustandserfassungseinheit 170 den aktuellen Zustand des Fahrzeugs als den aktuellen Zustand 182. Ein spezifischer Prozess des Zustandserfassungsprozesses S20 ist wie nachstehend beschrieben.
-
In Schritt S21 empfängt die Zustandserfassungseinheit 170 eine Nachricht, die sich auf den Zustand des Fahrzeugs bezieht, von der Steuereinheit 140 für internes Empfangen.
-
In Schritt S22 bestimmt die Zustandserfassungseinheit 170 den aktuellen Zustand des Fahrzeugs basierend auf der von der Steuereinheit 140 für internes Empfangen empfangenen Nachricht. Insbesondere bestimmt die Zustandserfassungseinheit 170 basierend auf Fahrzeuggeschwindigkeitsinformationen, ob das Fahrzeug fährt oder steht.
-
In Schritt S23 vergleicht die Zustandserfassungseinheit 170 den in der Speichereinheit 180 gespeicherten aktuellen Zustand 182 mit dem in Schritt S22 bestimmten aktuellen Zustand des Fahrzeugs. Falls der aktuelle Zustand des Fahrzeugs von dem aktuellen Zustand 182 verschieden ist, das heißt falls sich der aktuelle Zustand des Fahrzeugs seit dem aktuellen Zustand 182 verändert hat, fährt die Zustandserfassungseinheit 170 mit Schritt S24 fort. Falls der aktuelle Zustand des Fahrzeugs gleich dem aktuellen Zustand 182 ist, das heißt falls sich der aktuelle Zustand des Fahrzeugs seit dem aktuellen Zustand 182 nicht verändert hat, beendet die Zustandserfassungseinheit 170 den Prozess.
-
In Schritt S24 überschreibt die Zustandserfassungseinheit 170 den aktuellen Zustand 182 in der Speichereinheit 180 mit dem aktuellen Zustand des Fahrzeugs.
-
<Bestimmungsprozess S30>
-
Der Bestimmungsprozess S30 gemäß dieser Ausführungsform wird mit Bezug auf 7 beschrieben.
-
In dem Bestimmungsprozess S30 erfasst die Bestimmungseinheit 160 ein Nachrichtenattribut, das die Kommunikationsnachricht 501 spezifiziert, die zwischen dem fahrzeuginternen System 602 und dem externen System 601 kommuniziert werden soll, als ein Kommunikationsnachrichtenattribut 502. Basierend auf dem aktuellen Zustand 182, dem Kommunikationsnachrichtenattribut 502 und den Nachrichteninformationen 181 bestimmt die Bestimmungseinheit 160, ob die Kommunikation der Kommunikationsnachricht 501 erlaubt ist, wenn das Fahrzeug in dem aktuellen Zustand 182 ist. Dann gibt die Bestimmungseinheit 160 ein Bestimmungsergebnis 161, das angibt, ob die Kommunikation der Kommunikationsnachricht 501 erlaubt ist, zu der Nachrichtenerfassungseinheit 50 aus. Ein spezifischer Prozess des Bestimmungsprozesses S30 ist wie nachstehend beschrieben.
-
In Schritt S31 empfängt die Bestimmungseinheit 160 die Kommunikationsnachricht 501 von der Protokollumsetzungseinheit 150. Die Bestimmungseinheit 160 erfasst das Kommunikationsnachrichtenattribut 502, das die Kommunikationsnachricht 501 spezifiziert. Das Kommunikationsnachrichtenattribut 502 enthält einen Nachrichtentyp der Kommunikationsnachricht 501 und den Nachrichteninhalt der Kommunikationsnachricht 501.
-
In Schritt S32 überprüft die Bestimmungseinheit 160, ob der Nachrichtentyp 82 der Nachrichteninformationen 181, die in dem Nachrichteninformationserfassungsprozess S10 erfasst sind, einen enthält, der dem in dem Kommunikationsnachrichtenattribut 502 enthaltenen Nachrichtentyp entspricht. Falls einer vorhanden ist, fährt der Prozess mit Schritt S33 fort. Falls keiner vorhanden ist, fährt der Prozess mit Schritt S35 fort.
-
In Schritt S33 analysiert die Bestimmungseinheit 160 die Kommunikationsnachricht 501 und erfasst den Nachrichteninhalt der Kommunikationsnachricht 501.
-
In Schritt S34 bestimmt die Bestimmungseinheit 160 basierend auf den Nachrichteninformationen 181, dem aktuellen Zustand 182 des Fahrzeugs und dem Nachrichteninhalt der Kommunikationsnachricht 501, ob die Übertragung für die Kommunikationsnachricht 501 erlaubt ist, wenn das Fahrzeug im dem aktuellen Zustand 182 ist. Falls sie erlaubt ist, fährt der Prozess mit Schritt S36 fort. Falls sie nicht erlaubt ist, fährt der Prozess mit Schritt S35 fort.
-
In Schritt S35 gibt die Bestimmungseinheit 160 das Bestimmungsergebnis 161, das angibt, dass die Übertragung nicht erlaubt ist, zu der Protokollumsetzungseinheit 150 aus.
-
In Schritt S36 gibt die Bestimmungseinheit 160 das Bestimmungsergebnis 161, das angibt, dass die Übertragung erlaubt ist, zu der Protokollumsetzungseinheit 150 aus.
-
<Nachrichtenerfassungsprozess S40>
-
Der Nachrichtenerfassungsprozess S40 gemäß dieser Ausführungsform wird mit Bezug auf 8 beschrieben.
-
In dem Nachrichtenerfassungsprozess S40 erfasst die Protokollumsetzungseinheit 150 die Nachricht, die zwischen dem fahrzeuginternen System 602, das in dem Fahrzeug installiert ist, und dem externen System 601, das nicht in dem Fahrzeug installiert ist, kommuniziert werden soll, als die Kommunikationsnachricht 501. Die Protokollumsetzungseinheit 150 führt Protokollumsetzung auf der Kommunikationsnachricht 501 aus und gibt die umgesetzte Kommunikationsnachricht 501 zu der Bestimmungseinheit 160 aus. Dann wird das Bestimmungsergebnis 161 aus der Bestimmungseinheit 160 empfangen, und die Kommunikation der Kommunikationsnachricht 501 wird basierend auf dem Bestimmungsergebnis 161 gesteuert. Falls das Bestimmungsergebnis 161 angibt, dass die Kommunikation nicht erlaubt ist, verwirft die Nachrichtenerfassungseinheit 50 die Kommunikationsnachricht 501. Alternativ kann, falls das Bestimmungsergebnis 161 angibt, dass die Kommunikation nicht erlaubt ist, die Nachrichtenerfassungseinheit 50 die Kommunikationsnachricht 501 verwerfen und außerdem eine Angabe, dass die Kommunikation für die Kommunikationsnachricht 501 nicht erlaubt ist, zu einer Ausgabevorrichtung ausgeben. Der Nachrichtenerfassungsprozess S40 ist auch als Protokollumsetzungsprozess bezeichnet. Ein spezifischer Prozess des Nachrichtenerfassungsprozesses S40 ist wie nachstehend beschrieben.
-
In Schritt S41 empfängt die Protokollumsetzungseinheit 150 die Kommunikationsnachricht 501 von der Steuereinheit 120 für externes Empfangen.
-
In Schritt S42 setzt die Protokollumsetzungseinheit 150 die von der Steuereinheit 120 für externes Empfangen empfangene Kommunikationsnachricht 501 in Übereinstimmung mit dem Protokoll des Netzes innerhalb des Fahrzeugs, das das fahrzeuginterne Systeme ist, das das Ziel sein soll, um.
-
In Schritt S43 gibt die Protokollumsetzungseinheit 150 die umgesetzte Kommunikationsnachricht 501 zu der Bestimmungseinheit 160 aus.
-
In Schritt S44 wartet die Protokollumsetzungseinheit 150 auf eine Antwort von der Bestimmungseinheit 160. Nach dem Empfangen des Bestimmungsergebnisses 161 als die Antwort fährt die Protokollumsetzungseinheit 150 mit Schritt S45 fort.
-
In Schritt S45 fährt die Protokollumsetzungseinheit 150, falls das Bestimmungsergebnis 161 von der Bestimmungseinheit 160 angibt, dass die Übertragung erlaubt ist, mit Schritt S46 fort. Falls das Bestimmungsergebnis 161 von der Bestimmungseinheit 160 angibt, dass die Übertragung nicht erlaubt ist, fährt die Protokollumsetzungseinheit 150 mit Schritt S47 fort.
-
In Schritt S46 gibt die Protokollumsetzungseinheit 150 die Kommunikationsnachricht 501 zu der Steuereinheit 130 für internes Senden aus. Das heißt, da bestimmt wird, dass die Kommunikationsnachricht 501 keine nicht autorisierte Nachricht ist, führt die Protokollumsetzungseinheit 150 einen normalen Prozess auf der Kommunikationsnachricht 501 aus.
-
In Schritt S47 verwirft die Protokollumsetzungseinheit 150 die Kommunikationsnachricht 501. Das heißt, da bestimmt wird, dass die Kommunikationsnachricht 501 eine nicht autorisierte Nachricht ist, sperrt die Protokollumsetzungseinheit 150 die Kommunikationsnachricht 501 dadurch, dass sie sie verwirft.
-
*** Andere Konfigurationen ***
-
Die Fahrzeugkommunikationsüberwachungseinrichtung 100 gemäß dieser Ausführungsform kann eine Funktion zum, nach dem Sperren einer nicht autorisierten Nachricht, Benachrichtigen eines Fahrers des Fahrzeugs, dass die nicht autorisierte Nachricht gesperrt worden ist, über eine Ausgabevorrichtung wie z. B. einen Bildschirm oder einen Lautsprecher enthalten. Eine solche Funktion ermöglicht es dem Fahrer zu erkennen, dass das fahrzeuginterne System 602 angegriffen wird, und Gegenmaßnahmen wie z. B. Anhalten des Fahrzeugs zu ergreifen.
-
In dieser Ausführungsform ist ein Angriffsdetektionsverfahren für eine Nachricht von außerhalb des Fahrzeugs zu dem Inneren des Fahrzeugs genau beschrieben worden. Eine Nachricht von innerhalb des Fahrzeugs zu dem Äußeren des Fahrzeugs kann jedoch auch ähnlich verarbeitet werden. Das kann das Durchsickern vertraulicher Informationen oder privater Informationen durch eine nicht autorisierte Operation des fahrzeuginternen Systems 602 verhindern. Es wird darauf hingewiesen, dass dann, wenn eine Nachricht von innerhalb des Fahrzeugs zu dem Äußeren des Fahrzeugs verarbeitet wird, die Protokollumsetzungseinheit die Nachricht vor der Protokollumsetzung, die von der Steuereinheit für internes Empfangen empfangen wird, als eine Kommunikationsnachricht zu der Bestimmungseinheit sendet. Dann, falls das Bestimmungsergebnis von der Bestimmungseinheit angibt, dass die Übertragung erlaubt ist, setzt die Protokollumsetzungseinheit das Protokoll der Kommunikationsnachricht um und gibt die umgesetzte Kommunikationsnachricht zu der Steuereinheit für externes Senden aus.
-
In dieser Ausführungsform sind die Funktionen der Einheiten der Fahrzeugkommunikationsüberwachungseinrichtung 100 durch Software realisiert. Als eine Variation können die Funktionen der Einheiten der Fahrzeugkommunikationsüberwachungseinrichtung 100 jedoch durch Hardware realisiert sein.
-
Eine Konfiguration einer Fahrzeugkommunikationsüberwachungseinrichtung 100 gemäß einer Variation dieser Ausführungsform wird mit Bezug auf 9 beschrieben.
-
Wie in 9 dargestellt ist, enthält die Fahrzeugkommunikationsüberwachungseinrichtung 100 Hardware wie z. B. eine Verarbeitungsschaltung 909, eine Eingabeschnittstelle 930, eine Ausgabeschnittstelle 940, eine externe Schnittstelle 951 und eine interne Kommunikationsschnittstelle.
-
Die Verarbeitungsschaltung 909 ist eine dedizierte elektronische Schaltung, die die Funktionen der Einheiten und der Speichervorrichtung 180 der Fahrzeugkommunikationsüberwachungseinrichtung 100, die vorstehend beschrieben sind, realisiert. Insbesondere ist die Verarbeitungsschaltung 909 eine einzelne Schaltung, eine zusammengesetzte Schaltung, ein programmierter Prozessor, ein paralleler programmierter Prozessor, eine Logik-IC, ein GA, eine ASIC oder ein FPGA. GA ist eine Abkürzung für Gatterfeld. ASIC ist eine Abkürzung für anwendungsspezifische integrierte Schaltung. FPGA ist eine Abkürzung für feldprogrammierbares Gatterfeld.
-
Die Funktionen der Einheiten der Fahrzeugkommunikationsüberwachungseinrichtung 100 können durch eine Verarbeitungsschaltung 909 realisiert sein, oder sie können dadurch realisiert sein, dass sie über mehrere Verarbeitungsschaltungen 909 verteilt sind.
-
Als eine weitere Variation können die Funktionen der Einheiten der Fahrzeugkommunikationsüberwachungseinrichtung 100 durch eine Kombination aus Software und Hardware realisiert sein. Das heißt, einige der Funktionen der Fahrzeugkommunikationsüberwachungseinrichtung 100 können durch dedizierte Hardware realisiert sein, und die restlichen Funktionen können durch Software realisiert sein.
-
Der Prozessor 910, die Speichervorrichtung 920 und die Verarbeitungsschaltung 909 der Fahrzeugkommunikationsüberwachungseinrichtung 100 sind gemeinsam als „Verarbeitungsschaltungsanordnung“ bezeichnet. Das heißt, die Funktionen der Einheiten und der Speichereinheit 180 der Fahrzeugkommunikationsüberwachungseinrichtung 100 sind durch die Verarbeitungsschaltungsanordnung realisiert, unabhängig davon, ob die Konfiguration der Fahrzeugkommunikationsüberwachungseinrichtung 100 die in 1 dargestellte Konfiguration oder die in 9 dargestellte Konfiguration ist.
-
Die „Einheit“ kann als ein „Schritt“, eine „Prozedur“ oder ein „Prozess“ interpretiert werden. Die Funktion der „Einheit“ kann durch Firmware realisiert sein.
-
*** Beschreibung der Effekte dieser Ausführungsform ***
-
Wie vorstehend beschrieben erkennt die Fahrzeugkommunikationsüberwachungseinrichtung 100 gemäß dieser Ausführungsform den Zustand des Fahrzeugs und verbietet die Übertragung einer Nachricht, die in dem aktuellen Zustand des Fahrzeugs nicht erlaubt ist. Deshalb verhindert die Fahrzeugkommunikationsüberwachungseinrichtung 100 gemäß dieser Ausführungsform das Hacken des fahrzeuginternen Systems 602 durch Eindringen einer nicht autorisierten Nachricht in das Netz innerhalb des Fahrzeugs.
-
Zweite Ausführungsform
-
In dieser Ausführungsform werden hauptsächlich Unterschiede von der ersten Ausführungsform beschrieben.
-
*** Beschreibung der Konfiguration ***
-
Eine Konfiguration einer Fahrzeugkommunikationsüberwachungseinrichtung 100a gemäß dieser Ausführungsform wird mit Bezug auf 10 beschrieben. In 10 sind die Komponenten, die im Wesentlichen gleich den in der ersten Ausführungsform beschriebenen Komponenten sind, durch die gleichen Bezugszeichen bezeichnet, und ihre Beschreibung wird weggelassen.
-
Die Fahrzeugkommunikationsüberwachungseinrichtung 100a gemäß dieser Ausführungsform enthält eine Kommunikationsvolumenmessungseinheit 190 zusätzlich zu den funktionalen Komponenten der in der ersten Ausführungsform beschriebenen Fahrzeugkommunikationsüberwachungseinrichtung 100a. Die Speichereinheit 180 speichert Nachrichteninformationen 181a und ein Kommunikationsvolumen 183 zusätzlich zu dem aktuellen Zustand 182, der in der ersten Ausführungsform beschrieben ist. Andere funktionale Komponenten und Hardware sind im Wesentlichen gleich den denjenigen der ersten Ausführungsform.
-
Die Kommunikationsvolumenmessungseinheit 190 empfängt eine Kommunikationsnachricht 501 von der Protokollumsetzungseinheit 150 und misst das Kommunikationsvolumen der Kommunikationsnachricht, das in einer festen Zeitspanne empfangen wird. Die Kommunikationsvolumenmessungseinheit 190 aktualisiert das Kommunikationsvolumen 183 in der Speichervorrichtung 180 unter Verwendung des gemessenen Kommunikationsvolumens als das Kommunikationsvolumen, das in dem aktuellen Zustand 182 für den Nachrichtentyp der Kommunikationsnachricht 501 empfangen wird.
-
Der Nachrichteninformationen 181a gemäß dieser Ausführungsform werden mit Bezug auf 11 beschrieben.
-
Die in 11 dargestellten Nachrichteninformationen 181a sind eine Weiße Liste, und Nachrichten, für die Kommunikation erlaubt ist, sind in der Tabelle beschrieben. In den Nachrichteninformationen 181a sind Nachrichten, für die Kommunikation und Übertragung erlaubt sind, eingestellt. In diesem Fall ist ein in den Nachrichteninformationen 181a eingestelltes Nachrichtenattribut 812 Berechtigungsinformationen 813a, die angeben, dass die Kommunikation der Nachricht erlaubt ist. Die Nachrichteninformationen 181a können jedoch, wie in der ersten Ausführungsform, derart sein, dass Nachrichten, für die Kommunikation verboten ist, in der Tabelle als eine Schwarze Liste beschrieben sind. Die Nachrichteninformationen 181a können außerdem so konfiguriert sein, dass sie ein Flag zum Bestimmen, ob die Kommunikation erlaubt ist, enthalten.
-
In den in 11 dargestellten Nachrichteninformationen 181a sind eine Zeilennummer 81, ein Nachrichtentyp 82, ein Fahrzeugzustand 811 und ein Kommunikationsvolumenschwellenwert 84 eingetragen. Die Zeilennummer 81, der Nachrichtentyp 82 und der Fahrzeugzustand 811 sind im Wesentlichen gleich denjenigen in 2 der ersten Ausführungsform. Der Kommunikationsvolumenschwellenwert 84 ist ein Beispiel für das Nachrichtenattribut 812, das eine Nachricht spezifiziert. Der Kommunikationsvolumenschwellenwert 84 ist ein Schwellenwert für das Kommunikationsvolumen der Nachricht, die kommuniziert werden soll. Insbesondere ist der Kommunikationsvolumenschwellenwert 84 ein Schwellenwert für das Kommunikationsvolumen, das in jedem Fahrzeugzustand 811 für jeden Nachrichtentyp 82 erlaubt ist. Das spezifische Beispiel in 11 gibt an, dass bis zu 500 KBytes/min für eine Diag-Nachricht erlaubt sind, wenn das Fahrzeug steht.
-
*** Beschreibung des Betriebs ***
-
Ein Fahrzeugkommunikationsüberwachungsprozess S100a eines Fahrzeugkommunikationsüberwachungsverfahrens 610a und ein Fahrzeugkommunikationsüberwachungsprogramm 620a gemäß dieser Ausführungsform werden mit Bezug auf die 5, 6 und 12 bis 14 beschrieben. Die 5, 6 und 12 bis 14 sind Diagramme, die ein Beispiel für Ablaufpläne darstellen, wenn die Fahrzeugkommunikationsüberwachungseinrichtung 100a eine Nachricht von dem externen System 601 empfängt. Es wird darauf hingewiesen, dass die Ablaufpläne der 5, 6 und 12 bis 14 einen Fall beschreiben, in dem die Nachrichteninformationen 181a vom Typ der Weißen Liste, der in 11 dargestellt ist, verwendet sind.
-
Der Fahrzeugkommunikationsüberwachungsprozess S100a weist einen Nachrichteninformationserfassungsprozess S10 von 5, einen Zustandserfassungsprozess S20 von 6, einen Kommunikationsvolumenerfassungsprozess S50 von 12, einen Bestimmungsprozess S30a von 13 und einen Nachrichtenerfassungsprozess S40a von 14 auf.
-
<Nachrichteninformationserfassungsprozess S10 und Zustandserfassungsprozess S20>
-
Der Nachrichteninformationserfassungsprozess S10 und der Zustandserfassungsprozess S20 sind im Wesentlichen gleich denjenigen der ersten Ausführungsform, die mit Bezug auf die 5 und 6 beschrieben sind.
-
<Kommunikationsvolumenerfassungsprozess S50>
-
Der Kommunikationsvolumenerfassungsprozess S50 gemäß dieser Ausführungsform wird mit Bezug auf 12 beschrieben.
-
In dem Kommunikationsvolumenerfassungsprozess S50 erfasst die Kommunikationsvolumenmessungseinheit 190 den aktuellen Zustand des Fahrzeugs als den aktuellen Zustand 182. Ein spezifischer Prozess des Zustandserfassungsprozesses S20 ist wie nachstehend beschrieben.
-
In Schritt S51 empfängt die Kommunikationsvolumenmessungseinheit 190 die Kommunikationsnachricht 501 von der Protokollumsetzungseinheit 150.
-
In Schritt S52 erfasst die Kommunikationsvolumenmessungseinheit 190 den Nachrichtentyp der von der Protokollumsetzungseinheit 150 empfangenen Kommunikationsnachricht 501. Die Kommunikationsvolumenmessungseinheit 190 erfasst außerdem den aktuellen Zustand 182 aus der Speichereinheit 180.
-
In Schritt S53 misst die Kommunikationsvolumenmessungseinheit 190 das in einer XX-Zeit für die erfasste Kommunikationsnachricht 501 empfangene Kommunikationsvolumen. Es wird darauf hingewiesen, dass die XX-Zeit eine beliebige Zeit ist. Die Kommunikationsvolumenmessungseinheit 190 überschreibt das Kommunikationsvolumen 183 in der Speichereinheit 180 unter Verwendung des gemessenen Kommunikationsvolumens als das Kommunikationsvolumen, das in dem aktuellen Zustand 182 für den Nachrichtentyp der Kommunikationsnachricht 501 empfangen wird. Es wird darauf hingewiesen, dass die XX-Zeit eine beliebige Zeit ist.
-
<Bestimmungsprozess S30a>
-
In dem Bestimmungsprozess S30a bestimmt die Bestimmungseinheit 160 basierend auf dem aktuellen Zustand 182, dem Kommunikationsvolumen 183 der Kommunikationsnachricht 501 und den Nachrichteninformationen 181a, ob das Kommunikationsvolumen 183 innerhalb des Kommunikationsvolumenschwellenwerts 84 ist, wenn das Fahrzeug in dem aktuellen Zustand 182 ist. Die Bestimmungseinheit 160 bestimmt, ob die Kommunikation der Kommunikationsnachricht 501 erlaubt ist, basierend darauf, ob das Kommunikationsvolumen 183 innerhalb des Kommunikationsvolumenschwellenwerts 84 ist. Ein spezifischer Prozess des Bestimmungsprozesses S30a ist wie nachstehend beschrieben.
-
Der Bestimmungsprozess S30a gemäß dieser Ausführungsform wird mit Bezug auf 13 beschrieben.
-
In Schritt S31 empfängt die Bestimmungseinheit 160 die Kommunikationsnachricht 501 von der Protokollumsetzungseinheit 150. Die Bestimmungseinheit 160 erfasst das Kommunikationsnachrichtenattribut 502, das die Kommunikationsnachricht 501 spezifiziert. Das Kommunikationsnachrichtenattribut 502 enthält einen Nachrichtentyp der Kommunikationsnachricht 501.
-
In Schritt S32 überprüft die Bestimmungseinheit 160, ob der Nachrichtentyp 82 der Nachrichteninformationen 181, die in dem Nachrichteninformationserfassungsprozess S10 erfasst sind, einen enthält, der dem in dem Kommunikationsnachrichtenattribut 502 enthaltenen Nachrichtentyp entspricht. Falls einer vorhanden ist, fährt der Prozess mit Schritt S33a fort. Falls keiner vorhanden ist, fährt der Prozess mit Schritt S35 fort.
-
Es wird darauf hingewiesen, dass die Prozesse von Schritt S31 und Schritt S32 im Wesentlichen gleich denjenigen der mit Bezug auf 7 beschriebenen ersten Ausführungsform sind.
-
In Schritt S33a analysiert die Bestimmungseinheit 160 die Kommunikationsnachricht 501 und erfasst das Kommunikationsvolumen 183, das der Kommunikationsnachricht 501 entspricht, aus der Speichereinheit 180.
-
In Schritt S34a bestimmt die Bestimmungseinheit 183 basierend auf den Nachrichteninformationen 181, dem aktuellen Zustand 182 des Fahrzeugs und dem Kommunikationsvolumen 183 der Kommunikationsnachricht 501, ob das Kommunikationsvolumen 183 der Kommunikationsnachricht 501 innerhalb des Kommunikationsvolumenschwellenwerts 84 ist, wenn das Fahrzeug in dem aktuellen Zustand 182 ist. Falls es innerhalb des Kommunikationsvolumenschwellenwerts 84 ist, fährt der Prozess mit Schritt S36 fort. Falls es nicht erlaubt ist, fährt der Prozess mit Schritt S35 fort.
-
In Schritt S35 gibt die Bestimmungseinheit 160 das Bestimmungsergebnis 161, das angibt, dass die Übertragung nicht erlaubt ist, zu der Protokollumsetzungseinheit 150 aus.
-
In Schritt S36 gibt die Bestimmungseinheit 160 das Bestimmungsergebnis 161, das angibt, dass die Übertragung erlaubt ist, zu der Protokollumsetzungseinheit 150 aus.
-
Es wird darauf hingewiesen, dass die Prozesse von Schritt S35 und Schritt S36 im Wesentlichen gleich denjenigen der mit Bezug auf 7 beschriebenen ersten Ausführungsform sind.
-
<Nachrichtenerfassungsprozess S40a>
-
Der Nachrichtenerfassungsprozess S40a gemäß dieser Ausführungsform wird mit Bezug auf 14 beschrieben.
-
Die Prozesse von Schritt S41 bis Schritt S42 und von Schritt S44 bis Schritt S47 sind im Wesentlichen gleich denjenigen der ersten Ausführungsform, die mit Bezug auf 8 beschrieben sind. Ein Prozess, der von 8 der ersten Ausführungsform verschieden ist, ist der Schritt S43a.
-
In Schritt S43a gibt die Protokollumsetzungseinheit 150 die umgesetzte Kommunikationsnachricht 501 zu der Bestimmungseinheit 160 und der Kommunikationsvolumenmessungseinheit 190 aus.
-
*** Andere Konfigurationen ***
-
Wie in der ersten Ausführungsform kann die Fahrzeugkommunikationsüberwachungseinrichtung 100a gemäß dieser Ausführungsform eine Funktion zum Benachrichtigen eines Fahrers über eine Ausgabevorrichtung wie z. B. einen fahrzeuginternen Bildschirm oder einen Lautsprecher nach dem Sperren einer nicht autorisierten Nachricht enthalten. Diese Funktion ermöglicht es dem Fahrer zu erkennen, dass das fahrzeuginterne System 602 angegriffen wird, und Gegenmaßnahmen wie z. B. Anhalten des Fahrzeugs zu ergreifen.
-
In dieser Ausführungsform kann außerdem, wie in der ersten Ausführungsform, eine Nachricht von innerhalb des Fahrzeugs zu dem Äußeren des Fahrzeugs auch auf ähnliche Weise verarbeitet werden. Das kann das Durchsickern vertraulicher Informationen oder privater Informationen durch eine nicht autorisierte Operation des fahrzeuginternen Systems 602 verhindern. Es wird darauf hingewiesen, dass dann, wenn eine Nachricht von innerhalb des Fahrzeugs zu dem Äußeren des Fahrzeugs verarbeitet wird, die Protokollumsetzungseinheit eine Nachricht vor der Protokollumsetzung, die von der Steuereinheit für internes Empfangen empfangen wird, zu der Bestimmungseinheit als eine Kommunikationsnachricht sendet. Dann, falls das Bestimmungsergebnis von der Bestimmungseinheit angibt, dass die Übertragung erlaubt ist, setzt die Protokollumsetzungseinheit das Protokoll der Kommunikationsnachricht um und gibt die umgesetzte Kommunikationsnachricht zu der Steuereinheit für externes Senden aus.
-
*** Beschreibung von Effekten gemäß dieser Ausführungsform ***
-
Die Fahrzeugkommunikationsüberwachungseinrichtung 100a gemäß dieser Ausführungsform erkennt den Zustand des Fahrzeugs und verbietet die Übertragungen einer Nachricht, die das in dem aktuellen Zustand des Fahrzeugs erlaubte Kommunikationsvolumen übersteigt, und verhindert dadurch Hacken des fahrzeuginternen Systems 602 durch Eindringen einer nicht autorisierten Nachricht in das Netz innerhalb des Fahrzeugs. Gemäß der Fahrzeugkommunikationsüberwachungseinrichtung 100a dieser Ausführungsform wird der genaue Nachrichteninhalt einer Nachricht nicht überprüft. Deshalb kann, solange ein Ziel der Nachricht wie z. B. die Kopfeinheit oder ECU, die das Sendeziel sein sollen, bestimmt werden kann, eine nicht autorisierte Nachricht sogar in verschlüsselter Kommunikation gesperrt werden.
-
Die erste und zweite Ausführungsform sind vorstehend beschrieben worden. In der ersten und zweiten Ausführungsform bilden die Einheiten der Fahrzeugkommunikationsüberwachungseinrichtung die Fahrzeugkommunikationsüberwachungseinrichtung als unabhängige Funktionsblöcke. Die Konfiguration kann jedoch von den in den vorstehend beschriebenen Ausführungsformen beschriebenen verschieden sein, und die Konfiguration der Fahrzeugkommunikationsüberwachungseinrichtung kann irgendeine Konfiguration sein. Irgendwelche Funktionsblöcke können die Fahrzeugkommunikationsüberwachungseinrichtung bilden, unter der Voraussetzung, dass die in den vorstehend beschriebenen Ausführungsformen realisiert werden können. Die Fahrzeugkommunikationsüberwachungseinrichtung kann mit irgendeiner anderen Kombination dieser Funktionsblöcke oder irgendeiner Blockkonfiguration konfiguriert sein.
-
Die Fahrzeugkommunikationsüberwachungseinrichtung kann ein System sein, das mit mehreren Einrichtungen anstellte einer einzigen Einrichtung konfiguriert ist.
-
Die erste und zweite Ausführungsform sind beschrieben worden. Mehrere Abschnitte dieser beiden Ausführungsformen können in Kombination implementiert sein. Alternativ kann ein Abschnitt dieser Ausführungsformen implementiert sein. Alternativ können diese Ausführungsformen als Ganzes oder teilweise in irgendeiner Kombination implementiert sein.
-
Es wird darauf hingewiesen, dass die vorstehend beschriebenen Ausführungsformen im Wesentlichen bevorzugte Beispiele sind und nicht dafür vorgesehen sind, den Schutzbereich der vorliegenden Erfindung und die Schutzbereiche von Anwendungen und vorgesehenen Verwendungen der vorliegenden Erfindung einzuschränken, und es sind bei Bedarf verschiedene Modifikationen möglich.
-
Bezugszeichenliste
-
50: Nachrichtenerfassungseinheit; 100, 100a: Fahrzeugkommunikationsüberwachungseinrichtung; 110: Steuereinheit für externes Senden; 120: Steuereinheit für externes Empfangen; 130: Steuereinheit für internes Senden; 140: Steuereinheit für internes Empfangen; 150: Protokollumsetzungseinheit; 160: Bestimmungseinheit; 161: Bestimmungsergebnis; 170: Zustandserfassungseinheit; 180: Speichereinheit; 181, 181a, 181x, 181y: Nachrichteninformationen; 182: aktueller Zustand; 183: Kommunikationsvolumen; 190: Kommunikationsvolumenmessungseinheit; 81: Zeilennummer; 82: Nachrichtentyp; 83: genauer Nachrichteninhalt; 84: Kommunikationsvolumenschwellenwert; 501: Kommunikationsnachricht; 502: Kommunikationsnachrichtenattribut; 601: externes System; 602: fahrzeuginternes System; 610, 610a: Fahrzeugkommunikationsüberwachungsverfahren; 620, 620a: Fahrzeugkommunikationsüberwachungsprogramm; 811: Fahrzeugzustand; 812: Nachrichtenattribut; 813, 813x, 813y: Berechtigungsinformationen; 909: Verarbeitungsschaltung; 910: Prozessor; 920: Speichervorrichtung; 921: Speicher; 922: Zusatzspeichervorrichtung; 930: Eingabeschnittstelle; 940: Ausgabeschnittstelle; 951: externe Schnittstelle; 952: interne Schnittstelle; S100: Fahrzeugkommunikationsüberwachungsprozess; S10: Nachrichteninformationserfassungsprozess; S20: Zustandserfassungsprozess; S30, S30a: Bestimmungsprozess; S40: Nachrichtenerfassungsprozess; S50: Kommunikationsvolumenerfassungsprozess
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- JP 2014187445 A [0004]
- JP 5522160 B [0004]