DE112017006948T5 - Fahrzeugkommunikationsüberwachungseinrichtung, fahrzeugkommunikationsüberwachungsverfahren und fahrzeugkommunikationsüberwachungsprogramm - Google Patents

Fahrzeugkommunikationsüberwachungseinrichtung, fahrzeugkommunikationsüberwachungsverfahren und fahrzeugkommunikationsüberwachungsprogramm Download PDF

Info

Publication number
DE112017006948T5
DE112017006948T5 DE112017006948.3T DE112017006948T DE112017006948T5 DE 112017006948 T5 DE112017006948 T5 DE 112017006948T5 DE 112017006948 T DE112017006948 T DE 112017006948T DE 112017006948 T5 DE112017006948 T5 DE 112017006948T5
Authority
DE
Germany
Prior art keywords
message
communication
vehicle
unit
attribute
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE112017006948.3T
Other languages
English (en)
Other versions
DE112017006948B4 (de
Inventor
Yuya Takatsuka
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of DE112017006948T5 publication Critical patent/DE112017006948T5/de
Application granted granted Critical
Publication of DE112017006948B4 publication Critical patent/DE112017006948B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Traffic Control Systems (AREA)

Abstract

Eine Speichereinheit (180) speichert Nachrichteninformationen (181), in denen ein Fahrzeugzustand, ein Nachrichtenattribut, das eine Nachricht, die kommuniziert werden soll, spezifiziert, und Berechtigungsinformationen für die Kommunikation der durch das Nachrichtenattribut spezifizierten Nachricht einander zugeordnet sind. Eine Protokollumsetzungseinheit (150) erfasst eine Nachricht, die zwischen einem fahrzeuginternen System (602) und einem externen System (601) kommuniziert werden soll, als eine Kommunikationsnachricht (501). Basierend auf einem Nachrichtenattribut, das die Kommunikationsnachricht (501) spezifiziert, einem aktuellen Zustand (182), der ein aktueller Zustand eines Fahrzeugs ist, und den Nachrichteninformationen (181) bestimmt eine Bestimmungseinheit (160), ob die Kommunikation der Kommunikationsnachricht (501) erlaubt ist, wenn das Fahrzeug in dem aktuellen Zustand (182) ist.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung bezieht sich auf eine Fahrzeugkommunikationsüberwachungseinrichtung, ein Fahrzeugkommunikationsüberwachungsverfahren und ein Fahrzeugkommunikationsüberwachungsprogramm, die ein Angriffsdetektionsverfahren für Fahrzeuge aufweisen.
  • Stand der Technik
  • Seit einigen Jahren weist eine fahrzeuginterne Einrichtung wie z. B. ein Kraftfahrzeugnavigationssystem oder eine Kopfeinheit eine Kommunikationsfunktion mit einem Netz außerhalb eines Fahrzeugs auf und stellt eine Verbindung zum Internet oder einer entfernten Dienstfunktion bereit. Die fahrzeuginterne Einrichtung ist mit einer Zugangsvorrichtung wie z. B. einem Mobiltelefon, einem Smartphone oder einem Personalcomputer (PC) durch ein Kommunikationsverfahren wie z. B. ein drahtloses lokales Netz (LAN) oder Bluetooth (eingetragenes Warenzeichen) verbunden. Das Ausrüsten der fahrzeuginternen Einrichtung mit der Kommunikationsfunktion wie dieser hat das Risiko für Hacking von Kraftfahrzeugen über das Internet durch Missbrauch der Zugangsvorrichtung oder dergleichen erhöht. Als Gegenmaßnahme gegen Hacking sind verschiedene Techniken wie z. B. Paketfiltern durch eine Firewall und ein Angriffsdetektionsverfahren in Erwägung gezogen worden.
  • Die Patentliteratur 1 offenbart eine Angriffsdetektionstechnik zum Überwachen einer Kommunikationsnachricht, die in einem Fahrzeugnetz fließt, und Bestimmen, dass eine Anomalie in dem Kommunikationszustand der Kommunikationsnachricht aufgetreten ist, falls ein Empfangsabstand kürzer ist als ein vorgeschriebener geeigneter Empfangsabstand. Die Patentliteratur 1 offenbart außerdem ein Verfahren zum Bestimmen, dass eine Anomalie in dem Kommunikationszustand einer weiteren Kommunikationsnachricht aufgetreten ist, falls der Empfangsabstand länger ist als der vorgeschriebene Empfangsabstand.
  • Die Patentliteratur 2 offenbart eine Fahrzeugnetzüberwachungseinrichtung, die Kommunikationsdaten in einem Fahrzeugnetz überwacht und bestimmt, dass die Kommunikationsdaten nicht autorisierte Daten sind, falls das Kommunikationsformat der Kommunikationsdaten von einem vorgeschriebenen Format verschieden ist, und erhält dadurch eine hohe Sicherheit für das Fahrzeugnetz aufrecht.
  • Entgegenhaltungsliste
  • Patentliteratur
    • Patentliteratur 1: JP 2014-187445 A
    • Patentliteratur 2: JP 5522160 B
  • Zusammenfassung der Erfindung
  • Technisches Problem
  • Die herkömmliche Angriffsdetektionstechnik detektiert einen Angriff auf der Basis des Kommunikationszyklus, weshalb das Problem besteht, dass sie eine Kommunikation, in der sich der Kommunikationszyklus oder das Kommunikationsvolumen abhängig von dem Zustand eines Fahrzeugs ändert, nicht beherrschen kann. Es wird darauf hingewiesen, dass das Kommunikationsvolumen das Erlauben oder das Verbieten von Kommunikation enthält. Ein weiteres Problem ist, dass die herkömmliche Angriffsdetektionstechnik für Kommunikation, in der sich die Empfangszeit aufgrund eines externen Faktors wie z. B. des Internets ändert, nicht geeignet ist.
  • Auch in dem Fall, in dem bestimmt wird, dass die Kommunikationsdaten nicht autorisierte Daten sind, falls das Kommunikationsformat der Kommunikationsdaten von dem vorgeschriebenen Format verschieden ist, ist es ein Problem, dass die Überlegungen nicht für eine Kommunikation gelten, in der sich der Kommunikationszyklus oder das Kommunikationsvolumen abhängig von dem Zustand eines Fahrzeugs ändern.
  • Es ist ein Ziel der vorliegenden Erfindung, ein fahrzeuginternes System durch Sperren einer nicht autorisierten Nachricht in Übereinstimmung mit dem Zustand eines Fahrzeugs, z. B. fahrend oder stationär und Türen offen oder geschlossen, zu schützen.
  • Lösung der Aufgabe
  • Eine Fahrzeugkommunikationsüberwachungseinrichtung gemäß der vorliegenden Erfindung enthält:
    • eine Speichereinheit zum Speichern von Nachrichteninformationen, in denen ein Fahrzeugzustand, der einen Zustand eines Fahrzeugs angibt, ein Nachrichtenattribut, das eine Nachricht, die kommuniziert werden soll, spezifiziert, und Berechtigungsinformationen, die angeben, ob die Kommunikation der Nachricht, die durch das Nachrichtenattribut spezifiziert ist, erlaubt ist, einander zugeordnet sind;
    • eine Zustandserfassungseinheit zum Erfassen eines aktuellen Zustands des Fahrzeugs als einen aktuellen Zustand;
    • eine Nachrichtenerfassungseinheit zum Erfassen einer Nachricht, die zwischen einem fahrzeuginternen System, das in dem Fahrzeug installiert ist, und einem externen System, das nicht in dem Fahrzeug installiert ist, kommuniziert werden soll, als eine Kommunikationsnachricht; und
    • eine Bestimmungseinheit zum Erfassen eines Nachrichtenattributs, das die Kommunikationsnachricht spezifiziert, als ein Kommunikationsnachrichtenattribut und, basierend auf dem aktuellen Zustand, dem Kommunikationsnachrichtenattribut und den Nachrichteninformationen, Bestimmen, ob die Kommunikation der Kommunikationsnachricht erlaubt ist, wenn das Fahrzeug in dem aktuellen Zustand ist.
  • Vorteilhafte Effekte der Erfindung
  • In einer Fahrzeugkommunikationsüberwachungseinrichtung gemäß der vorliegenden Erfindung speichert eine Speichereinheit Nachrichteninformationen, in denen ein Fahrzeugzustand, der einen Zustand eines Fahrzeugs angibt, ein Nachrichtenattribut, das eine Nachricht, die kommuniziert werden soll, spezifiziert, und Berechtigungsinformationen, die angeben, ob die Kommunikation der Nachricht, die durch das Nachrichtenattribut spezifiziert ist, erlaubt ist, einander zugeordnet sind. Eine Zustandserfassungseinheit erfasst einen aktuellen Zustand des Fahrzeugs als einen aktuellen Zustand. Eine Nachrichtenerfassungseinheit erfasst eine Nachricht, die zwischen einem fahrzeuginternen System, das in dem Fahrzeug installiert ist, und einem externen System, das nicht in dem Fahrzeug installiert ist, kommuniziert werden soll, als eine Kommunikationsnachricht. Eine Bestimmungseinheit erfasst ein Nachrichtenattribut, das die Kommunikationsnachricht spezifiziert, als ein Kommunikationsnachrichtenattribut und bestimmt, basierend auf dem aktuellen Zustand, dem Kommunikationsnachrichtenattribut und den Nachrichteninformationen, ob die Kommunikation der Kommunikationsnachricht erlaubt ist, wenn das Fahrzeug in dem aktuellen Zustand ist. Deshalb kann gemäß der Fahrzeugkommunikationsüberwachungseinrichtung der vorliegenden Erfindung in Übereinstimmung mit dem Zustand des Fahrzeugs bestimmt werden, ob die Kommunikation der Nachricht erlaubt ist, so dass die Fahrzeugkommunikation auf besser geeignete Weise überwacht werden kann.
  • Figurenliste
    • 1 ist ein Kommunikationsdiagramm einer Fahrzeugkommunikationsüberwachungseinrichtung 100 gemäß einer ersten Ausführungsform;
    • 2 ist ein Beispiel von Nachrichteninformationen 181 gemäß der ersten Ausführungsform;
    • 3 ist ein Beispiel von Nachrichteninformationen 181x gemäß der ersten Ausführungsform;
    • 4 ist ein Beispiel von Nachrichteninformationen 181y gemäß der ersten Ausführungsform;
    • 5 ist ein Ablaufplan, der einen Nachrichteninformationserfassungsprozess S10 gemäß der ersten Ausführungsform darstellt;
    • 6 ist ein Ablaufplan, der einen Zustandserfassungsprozess S20 gemäß der ersten Ausführungsform darstellt;
    • 7 ist ein Ablaufplan, der einen Bestimmungsprozess S30 gemäß der ersten Ausführungsform darstellt;
    • 8 ist ein Ablaufplan, der einen Nachrichtenerfassungsprozess S40 gemäß der ersten Ausführungsform darstellt;
    • 9 ist ein Kommunikationsdiagramm einer Fahrzeugkommunikationsüberwachungseinrichtung 100 gemäß einer Variation der ersten Ausführungsform;
    • 10 ist ein Kommunikationsdiagramm einer Fahrzeugkommunikationsüberwachungseinrichtung 100a gemäß einer zweiten Ausführungsform;
    • 11 ist ein Beispiel für Nachrichteninformationen 181a gemäß der zweiten Ausführungsform;
    • 12 ist ein Ablaufplan, der einen Kommunikationsvolumenerfassungsprozess S50 gemäß der zweiten Ausführungsform darstellt;
    • 13 ist ein Ablaufplan, der einen Bestimmungsprozess S30a gemäß der zweiten Ausführungsform darstellt; und
    • 14 ist ein Ablaufplan, der einen Nachrichtenerfassungsprozess S40a gemäß der zweiten Ausführungsform darstellt.
  • Beschreibung von Ausführungsformen
  • Ausführungsformen der vorliegenden Erfindung werden nachstehend mit Bezug auf die Zeichnungen beschrieben. In den Zeichnungen sind dieselben oder entsprechende Teile durch die gleichen oder entsprechende Bezugszeichen bezeichnet. In der Beschreibung der Ausführungsformen wird die Beschreibung der gleichen oder entsprechenden Teile weggelassen oder vereinfacht, wie jeweils erforderlich.
  • Erste Ausführungsform
  • *** Beschreibung der Konfiguration ***
  • Eine Konfiguration einer Fahrzeugkommunikationsüberwachungseinrichtung 100 gemäß dieser Ausführungsform wird mit Bezug auf 1 beschrieben.
  • Die Fahrzeugkommunikationsüberwachungseinrichtung 100 ist ein fahrzeuginternes Gateway, das in einem Fahrzeug installiert ist. Die Fahrzeugkommunikationsüberwachungseinrichtung 100 steuert die Kommunikation zwischen einem fahrzeuginternen System 602, das in dem Fahrzeug installiert ist, und einem externen System 601, das nicht in dem Fahrzeug installiert ist, und überwacht außerdem die Kommunikation zwischen dem fahrzeuginternen System 602 und dem externen System 601.
  • Das fahrzeuginterne System 602, das in dem Fahrzeug installiert ist, enthält Vorrichtungen wie z. B. eine Kopfeinheit, eine elektronische Steuereinheit (ECU) und ein Kraftfahrzeugnavigationssystem und ein Netz innerhalb des Fahrzeugs, das diese Vorrichtungen verbindet.
  • Das externe System 601, das nicht in dem Fahrzeug installiert ist, enthält ein zu dem Fahrzeug externes Netz und Vorrichtungen wie z. B. eine Zugangsvorrichtung. Insbesondere ist die Zugangsvorrichtung eine Vorrichtung wie z. B. ein Mobiltelefon, ein Smartphone, ein PC oder ein bordeigenes Diagnose- (OBD-) Werkzeug.
  • Wie in 1 dargestellt ist, ist die Fahrzeugkommunikationsüberwachungseinrichtung 100 ein Computer.
  • Die Fahrzeugkommunikationsüberwachungseinrichtung 100 weist Hardware auf, wie z. B. einen Prozessor 910, eine Speichervorrichtung 920, eine Eingabeschnittstelle 930, eine Ausgabeschnittstelle 940, eine externe Schnittstelle 951 und eine interne Kommunikationsschnittstelle 952. Die Speichervorrichtung 920 enthält einen Speicher und eine Zusatzspeichervorrichtung 922.
  • Die Fahrzeugkommunikationsüberwachungseinrichtung 100 weist als Funktionskomponenten eine Steuereinheit 110 für externes Senden, eine Steuereinheit 120 für externes Empfangen, eine Steuereinheit 130 für internes Senden, eine Steuereinheit 140 für internes Empfangen, eine Protokollumsetzungseinheit 150, eine Bestimmungseinheit 160, eine Zustandserfassungseinheit 170 und eine Speichereinheit 180 auf.
  • Die Funktion jeder aus der Steuereinheit 110 für externes Senden, der Steuereinheit 120 für externes Empfangen, der Steuereinheit 130 für internes Senden, der Steuereinheit 140 für internes Empfangen, der Protokollumsetzungseinheit 150, der Bestimmungseinheit 160 und der Zustandserfassungseinheit 170 ist durch Software realisiert. In der folgenden Beschreibung sind die Steuereinheit 110 für externes Senden, die Steuereinheit 120 für externes Empfangen, die Steuereinheit 130 für internes Senden, die Steuereinheit 140 für internes Empfangen, die Protokollumsetzungseinheit 150, die Bestimmungseinheit 160 und die Zustandserfassungseinheit 170 als Einheiten der Fahrzeugkommunikationsüberwachungseinrichtung 100 bezeichnet. Es wird darauf hingewiesen, dass die Speichereinheit 180 nicht in den Einheiten der Fahrzeugkommunikationsüberwachungseinrichtung 100 enthalten ist.
  • Die Speichereinheit 180 speichert Nachrichteninformationen 181 und einen aktuellen Zustand 182.
  • Die Speichereinheit 180 ist durch den Speicher 921 realisiert. Alternativ kann die Speichereinheit 180 allein durch die Zusatzspeichervorrichtung 922 oder durch den Speicher 921 und die Zusatzspeichervorrichtung 922 realisiert sein. Die Speichereinheit 180 kann durch irgendein Verfahren realisiert sein.
  • Der Prozessor 910 ist mit anderen Hardwarekomponenten über Signalleitungen verbunden und steuert diese anderen Hardwarekomponenten. Der Prozessor 910 ist eine integrierte Schaltung (IC), die Arithmetikverarbeitung ausführt. Spezifische Beispiele für den Prozessor 910 sind eine zentrale Verarbeitungseinheit (CPU), ein digitaler Signalprozessor (DSP) und eine Grafikverarbeitungseinheit (GPU).
  • Der Speicher 921 ist eine Speichervorrichtung zum temporären Speichern von Daten. Spezifische Beispiele für den Speicher 921 sind ein statischer Direktzugriffsspeicher (SRAM) und ein dynamischer Direktzugriffsspeicher (DRAM).
  • Die Zusatzspeichervorrichtung 922 ist eine Speichervorrichtung zum Speichern von Daten. Ein spezifisches Beispiel für die Zusatzspeichervorrichtung 922 ist ein Festplattenlaufwerk (HDD). Alternativ kann die Zusatzspeichervorrichtung 922 ein tragbares Speichermedium sein, wie z. B. seine sichere digitale (SD-) (eingetragenes Warenzeichen) Speicherkarte, CompactFlash (CF), NAND-Flash, eine flexible Platte, eine optische Platte, eine Compact-Disc, eine Blu-Ray- (eingetragenes Warenzeichen) Disc oder eine Digital Versatile Disc (DVD).
  • Die Eingabeschnittstelle 930 ist ein Anschluss, der mit einer Eingabevorrichtung wie z. B. einer Tastatur oder einer berührungssensitiven Tafel verbunden ist. Insbesondere ist die Eingabeschnittstelle 930 ein Anschluss eines universellen seriellen Busses (USB). Die Eingabeschnittstelle 930 kann ein Anschluss sein, der mit einem LAN verbunden ist.
  • Die Ausgabeschnittstelle 940 ist ein Anschluss, mit dem ein Kabel einer Anzeigevorrichtung wie z. B. eines Bildschirms verbunden ist. Insbesondere ist die Ausgabeschnittstelle 940 ein USB-Anschluss oder ein Anschluss einer hochauflösenden Multimediaschnittstelle (HDMI) (eingetragenes Warenzeichen). Insbesondere ist der Bildschirm ein Flüssigkristallbildschirm (LCD).
  • Die externe Schnittstelle 951 weist eine Kommunikationsfunktion zwischen der Fahrzeugkommunikationsüberwachungseinrichtung 100, die das fahrzeuginterne Gateway ist, und dem externen System 601, das nicht in dem Fahrzeug installiert ist, auf. Insbesondere weist die externe Schnittstelle 951 die Kommunikationsfunktion zwischen der Fahrzeugkommunikationsüberwachungseinrichtung 100 und einer Zugangsvorrichtung oder einem Netz außerhalb des Fahrzeugs wie z. B. dem Internet auf.
  • Die interne Schnittstelle 952 weist eine Kommunikationsfunktion zwischen der Fahrzeugkommunikationsüberwachungseinrichtung 100, die das fahrzeuginterne Gateway ist, und dem fahrzeuginternen System 602, das in dem Fahrzeug installiert ist, auf. Insbesondere weist die interne Schnittstelle 952 die Kommunikationsfunktion zwischen der Fahrzeugkommunikationsüberwachungseinrichtung 100 und einer Vorrichtung wie z. B. der Kopfeinheit oder der ECU auf dem Netz innerhalb des Fahrzeugs auf.
  • Die Zusatzspeichervorrichtung 922 speichert ein Programm zum Realisieren der Funktionen der Einheiten der Fahrzeugkommunikationsüberwachungseinrichtung 100. Das Programm zum Realisieren der Funktionen der Einheiten der Fahrzeugkommunikationsüberwachungseinrichtung 100 ist auch als ein Fahrzeugkommunikationsüberwachungsprogramm 620 bezeichnet. Dieses Programm wird in den Speichern 921 geladen, durch den Prozessor 910 gelesen und durch den Prozessor 910 ausgeführt. Die Zusatzspeichervorrichtung 922 speichert außerdem ein OS. Wenigstens ein Teil des OS in der Zusatzspeichervorrichtung 922 wird in den Speicher 921 geladen. Der Prozessor 910 führt das Fahrzeugkommunikationsüberwachungsprogramm 620 aus, während er das OS ausführt.
  • Die Fahrzeugkommunikationsüberwachungseinrichtung 100 kann nur einen Prozessor 910 enthalten oder kann mehrere Prozessoren 910 enthalten. Die mehreren Prozessoren 910 können zusammenarbeiten, um das Programm zum Realisieren der Funktionen der Einheiten der Fahrzeugkommunikationsüberwachungseinrichtung 100 auszuführen.
  • Informationen, Daten, Signalwerte und Variablenwerte, die Ergebnisse der Verarbeitung durch die Einheiten der Fahrzeugkommunikationsüberwachungseinrichtung 100 angeben, werden in der Zusatzspeichervorrichtung 922 oder dem Speicher 921 der Fahrzeugkommunikationsüberwachungseinrichtung 100 oder einem Register oder einem Cache-Speicher in dem Prozessor 910 gespeichert.
  • Das Programm zum Realisieren der Funktionen der Einheiten der Fahrzeugkommunikationsüberwachungseinrichtung 100 kann in einem tragbaren Aufzeichnungsmedium gespeichert sein. Insbesondere ist das tragbare Aufzeichnungsmedium eine Magnetplatte, eine flexible Platte, eine optische Platte, eine Compact Disc, eine Blu-Ray- (eingetragenes Warenzeichen) Disc, eine Digital Versatile Disc (DVD) oder einer Speicherkarte wie z. B. eine SD- (eingetragenes Warenzeichen) Karte.
  • Es wird darauf hingewiesen, dass ein Fahrzeugkommunikationsüberwachungsprogrammprodukt ein Speichermedium oder eine Speichervorrichtung ist, in dem/der das Fahrzeugkommunikationsüberwachungsprogramm 620 aufgezeichnet ist. Das Fahrzeugkommunikationsüberwachungsprogrammprodukt bezieht sich auf ein Produkt von irgendeiner Gestalt, auf das ein computerlesbares Programm geladen ist.
  • *** Beschreibung von Funktionen ***
  • Die Funktionen der Einheiten und der Speichereinheit 180 der Fahrzeugkommunikationsüberwachungseinrichtung 100 gemäß dieser Ausführungsform werden mit Bezug auf 1 beschrieben.
  • Die Steuereinheit 110 für externes Senden empfängt eine Nachricht von der Protokollumsetzungseinheit 150 und sendet die Nachricht zu dem Netz außerhalb des Fahrzeugs wie z. B. der Zugangsvorrichtung oder dem Internet. Die Steuereinheit 120 für externes Empfangen empfängt eine Nachricht von dem Netz außerhalb des Fahrzeugs wie z. B. der Zugangsvorrichtung oder dem Internet und gibt die Nachricht zu der Protokollumsetzungseinheit 150 aus.
  • Jede aus der Steuereinheit 110 für externes Senden und der Steuereinheit 120 für externes Empfangen setzt ein Verbindungsverfahren wie z. B. ein drahtloses LAN, Bluetooth (eingetragenes Warenzeichen), USB, OBD, 3G oder LTE (eingetragenes Warenzeichen) zur Kommunikation mit der Zugangsvorrichtung oder dem Netz außerhalb des Fahrzeugs wie z. B. dem Internet ein. Es wird darauf hingewiesen, dass das Verbindungsverfahren nicht eingeschränkt ist.
  • Andererseits empfängt die Steuereinheit 130 für internes Senden eine Nachricht von der Protokollumsetzungseinheit 150 und sendet die Nachricht zu dem Netz innerhalb des Fahrzeugs. Die Steuereinheit 140 für internes Empfangen empfängt eine Nachricht von dem Netz innerhalb des Fahrzeugs und gibt die Nachricht zu der Protokollumsetzungseinheit 150 aus. Jede aus der Steuereinheit 130 für internes Senden und der Steuereinheit 140 für internes Empfangen setzt ein Verbindungsverfahren wie z. B. CAN, FlexRay, MOST, LIN oder Ethernet (eingetragenes Warenzeichen) zur Kommunikation mit dem Netz innerhalb des Fahrzeugs ein. Es wird darauf hingewiesen, dass das Kommunikationsverfahren nicht eingeschränkt ist.
  • Die Protokollumsetzungseinheit 150 empfängt eine Nachricht, die über die externe Schnittstelle 951 empfangen wird, von der Steuereinheit 120 für externes Empfangen. Dann führt die Protokollumsetzungseinheit 150 das in dem Speicher 921 gespeicherte Programm mit dem Prozessor 910 aus, um die Nachricht in Übereinstimmung mit einem Protokoll zur Kommunikation mit einer Vorrichtung auf dem Netz innerhalb des Fahrzeugs umzusetzen. Dann gibt die Protokollumsetzungseinheit 150 die umgesetzte Nachricht als eine Kommunikationsnachricht 501 zu der Bestimmungseinheit 160 aus und gibt die umgesetzte Nachricht zu der Steuereinheit 130 für internes Senden aus, falls nicht bestimmt wird, dass sie ein Angriff ist. Andererseits empfängt die Protokollumsetzungseinheit 150 eine Nachricht, die über die interne Schnittstelle 952 empfangen wird, von der Steuereinheit 140 für internes Empfangen. Dann führt die Protokollumsetzungseinheit 150 das in dem Speicher 921 gespeicherte Programm mit dem Prozessor 910 aus, um die Nachricht in Übereinstimmung mit einem Protokoll zur Kommunikation mit einer externen Vorrichtung wie z. B. der Zugangsvorrichtung oder dem Internet umzusetzen. Dann gibt die Protokollumsetzungseinheit 150 die umgesetzte Nachricht als eine Kommunikationsnachricht 501 zu der Bestimmungseinheit 160 aus und gibt die umgesetzte Nachricht zu der Steuereinheit 110 für externes Senden aus, falls nicht bestimmt wird, dass sie ein Angriff ist.
  • Die Protokollumsetzungseinheit 150 ist ein Beispiel für eine Nachrichtenerfassungseinheit 50, die eine Nachricht, die zwischen dem fahrzeuginternen System 602, das in dem Fahrzeug installiert ist, und dem externen System 601, das nicht in dem Fahrzeug installiert ist, kommuniziert werden soll, als eine Kommunikationsnachricht 501 erfasst.
  • Die Bestimmungseinheit 160 führt das in dem Speicher 921 gespeicherte Programm mit dem Prozessor 901 aus, um die folgende Operation auszuführen. Die Bestimmungseinheit 160 erfasst die Nachrichteninformationen 181 aus der Speichereinheit 180, wenn die Fahrzeugkommunikationsüberwachungseinrichtung 100, die das fahrzeuginterne Gateway ist, anläuft. Die Bestimmungseinheit 160 empfängt eine Meldung bezüglich des aktuellen Zustands des Fahrzeugs von der Zustandserfassungseinheit 170. Beim Empfangen einer Nachricht von der Protokollumsetzungseinheit 150 bestimmt die Bestimmungseinheit 160, ob die Übertragung der Nachricht erlaubt ist, basierend auf den Nachrichteninformationen 181 und dem aktuellen Zustand des Fahrzeugs und meldet das Ergebnis an die Protokollumsetzungseinheit 150.
  • Die Bestimmungseinheit 160 ist auch als eine Angriffsdetektionseinheit, die einen Angriff auf die Fahrzeugkommunikation detektiert, bezeichnet.
  • Ein Beispiel für die Nachrichteninformationen 181 gemäß dieser Ausführungsform wird mit Bezug auf 2 beschrieben.
  • Die Speichereinheit 180 speichert Nachrichteninformationen 181, in denen ein Fahrzeugzustand 811, der den Zustand des Fahrzeugs angibt, ein Nachrichtenattribut 812, das eine Nachricht, die kommuniziert werden soll, spezifiziert, und Berechtigungsinformationen 813, die angeben, ob die Kommunikation der Nachricht, die durch das Nachrichtenattribut spezifiziert ist, erlaubt ist, einander zugeordnet sind. Die Nachrichteninformationen 181 sind auch als eine Angriffsdetektionslistentabelle bezeichnet.
  • Insbesondere sind Informationen wie z. B. eine Zeilennummer 81, ein Nachrichtentyp 82, der Fahrzeugzustand 811 und der genaue Nachrichteninhalt 83 in den Nachrichteninformationen 181 eingetragen.
  • Ein spezifisches Beispiel für den Nachrichtentyp 82 ist ein Typ wie z. B. Diag oder Verkehrssignalinformationen.
  • Der genaue Nachrichteninhalt 83 gibt den Inhalt der Nachricht an. Der genaue Nachrichteninhalt 83 ist eine weitere genaue Klassifizierung des Nachrichtentyps. Als ein spezifisches Beispiel können „Sensorinformationserfassungsbefehl“ oder „alles“ spezifiziert sein.
  • Die Nachrichteninformationen 181 enthalten den Nachrichtentyp 82 und den genauen Nachrichteninhalt 83, der der Inhalt der Nachricht ist, als das Nachrichtenattribut 812, das die Nachricht, die kommuniziert werden soll, spezifiziert.
  • Der Fahrzeugzustand 811 gibt den Zustand des Fahrzeugs an. Ein spezifisches Beispiel für den Fahrzeugzustand 811 ist der Zustand des Fahrzeugs, wie z. B. „stationär“, „fahrend“, „Türen offen“ oder „Türen geschlossen“. Die Nachrichteninformationen 181 enthalten als den Fahrzeugzustand 811 wenigstens eines aus dem Fahrzustand des Fahrzeugs wie z. B. „stationär“ oder „fahrend“ und den offenen oder geschlossenen Zustand der Türen des Fahrzeugs wie z. B. „Türen offen“ oder „Türen geschlossen“.
  • Es wird darauf hingewiesen, dass die Elemente und Inhalte der Nachrichteninformationen 181, die hier angegeben sind, ein Beispiel sind und die Elemente und Inhalt der Nachrichteninformationen 181 nicht auf dieses Beispiel beschränkt sind.
  • Die in 2 dargestellten Nachrichteninformationen 181 sind eine Weiße Liste, so dass die Tatsache, dass das Nachrichtenattribut 812 darin eingestellt ist, die Berechtigungsinformationen 813 sind, die angeben, dass die Kommunikation der durch das Nachrichtenattribut 812 spezifizierten Nachricht erlaubt ist. Das heißt, eine Nachricht, für die Kommunikation und Übertragung erlaubt sind, ist in den Nachrichteninformationen 181 eingestellt. In diesem Fall ist das in den Nachrichteninformationen 181 eingestellte Nachrichtenattribut 812 die Berechtigungsinformationen 813, die angeben, dass die Kommunikation der Nachricht erlaubt ist.
  • Ein Beispiel für Nachrichteninformationen 181x gemäß dieser Ausführungsform wird mit Bezug auf 3 beschrieben.
  • Wie in den Nachrichteninformationen 181x von 3 dargestellt ist, können die Nachrichteninformationen 191x eine Schwarze Liste sein, so dass die Tatsache, dass ein Nachrichtenattribut darin eingestellt ist, die Berechtigungsinformationen 813x ist, die angeben, dass die Kommunikation einer durch das Nachrichtenattribut spezifizierten Nachricht nicht erlaubt ist. Das heißt, eine Nachricht, für die Kommunikation und Übertragung verboten sind, kann in den Nachrichteninformationen 181x eingestellt sein. In diesem Fall ist das in den Nachrichteninformationen 181x eingestellte Nachrichtenattribut die Berechtigungsinformationen 813x, die angeben, dass die Kommunikation der Nachricht verboten ist.
  • Nachrichteninformationen 181y, die ein weiteres Beispiel für die Nachrichteninformationen 181 gemäß dieser Ausführungsform sind, werden mit Bezug auf 4 beschrieben.
  • Wie in den Nachrichteninformationen 181y von 4 dargestellt ist, können die Nachrichteninformationen 181y als die Berechtigungsinformationen 813y ein Flag enthalten, das angibt, ob die Kommunikation der Nachricht erlaubt ist oder nicht, basierend darauf, ob das Flag angeschaltet oder abgeschaltet ist.
  • *** Beschreibung des Betriebs ***
  • Ein Fahrzeugkommunikationsüberwachungsprozess S100 eines Fahrzeugkommunikationsüberwachungsverfahrens 610 und das Fahrzeugkommunikationsüberwachungsprogramm 620 gemäß dieser Ausführungsform werden mit Bezug auf die 5 bis 8 beschrieben. Die 5 bis 8 sind Diagramme, die ein Beispiel für Ablaufpläne darstellen, wenn die Fahrzeugkommunikationsüberwachungseinrichtung 100, die das in dem fahrzeuginternen Gateway ist, das in dem Fahrzeug installiert ist, eine Nachricht von dem externen System 601 wie z. B. der Zugangsvorrichtung oder dem Internet empfängt. Es wird darauf hingewiesen, dass die Ablaufpläne der 5 bis 8 einen Fall beschreiben, in dem die Nachrichteninformationen 181 vom Typ der Weißen Liste, der in 2 dargestellt ist, verwendet sind.
  • Der Fahrzeugkommunikationsüberwachungsprozess S100 weist einen Nachrichteninformationserfassungsprozess S10, einen Zustandserfassungsprozess S20, einen Bestimmungsprozess S30 und einen Nachrichtenerfassungsprozess S40 auf.
  • <Nachrichteninformationserfassungsprozess S10>
  • Der Nachrichteninformationserfassungsprozess S10 gemäß dieser Ausführungsform wird mit Bezug auf 5 beschrieben.
  • In Schritt S11 erfasst die Bestimmungseinheit 160 die Nachrichteninformationen 181 aus der Speichereinheit 180.
  • <Zustandserfassungsprozess S20>
  • Der Zustandserfassungsprozess S20 gemäß dieser Ausführungsform wird mit Bezug auf 6 beschrieben.
  • In dem Zustandserfassungsprozess S20 erfasst die Zustandserfassungseinheit 170 den aktuellen Zustand des Fahrzeugs als den aktuellen Zustand 182. Ein spezifischer Prozess des Zustandserfassungsprozesses S20 ist wie nachstehend beschrieben.
  • In Schritt S21 empfängt die Zustandserfassungseinheit 170 eine Nachricht, die sich auf den Zustand des Fahrzeugs bezieht, von der Steuereinheit 140 für internes Empfangen.
  • In Schritt S22 bestimmt die Zustandserfassungseinheit 170 den aktuellen Zustand des Fahrzeugs basierend auf der von der Steuereinheit 140 für internes Empfangen empfangenen Nachricht. Insbesondere bestimmt die Zustandserfassungseinheit 170 basierend auf Fahrzeuggeschwindigkeitsinformationen, ob das Fahrzeug fährt oder steht.
  • In Schritt S23 vergleicht die Zustandserfassungseinheit 170 den in der Speichereinheit 180 gespeicherten aktuellen Zustand 182 mit dem in Schritt S22 bestimmten aktuellen Zustand des Fahrzeugs. Falls der aktuelle Zustand des Fahrzeugs von dem aktuellen Zustand 182 verschieden ist, das heißt falls sich der aktuelle Zustand des Fahrzeugs seit dem aktuellen Zustand 182 verändert hat, fährt die Zustandserfassungseinheit 170 mit Schritt S24 fort. Falls der aktuelle Zustand des Fahrzeugs gleich dem aktuellen Zustand 182 ist, das heißt falls sich der aktuelle Zustand des Fahrzeugs seit dem aktuellen Zustand 182 nicht verändert hat, beendet die Zustandserfassungseinheit 170 den Prozess.
  • In Schritt S24 überschreibt die Zustandserfassungseinheit 170 den aktuellen Zustand 182 in der Speichereinheit 180 mit dem aktuellen Zustand des Fahrzeugs.
  • <Bestimmungsprozess S30>
  • Der Bestimmungsprozess S30 gemäß dieser Ausführungsform wird mit Bezug auf 7 beschrieben.
  • In dem Bestimmungsprozess S30 erfasst die Bestimmungseinheit 160 ein Nachrichtenattribut, das die Kommunikationsnachricht 501 spezifiziert, die zwischen dem fahrzeuginternen System 602 und dem externen System 601 kommuniziert werden soll, als ein Kommunikationsnachrichtenattribut 502. Basierend auf dem aktuellen Zustand 182, dem Kommunikationsnachrichtenattribut 502 und den Nachrichteninformationen 181 bestimmt die Bestimmungseinheit 160, ob die Kommunikation der Kommunikationsnachricht 501 erlaubt ist, wenn das Fahrzeug in dem aktuellen Zustand 182 ist. Dann gibt die Bestimmungseinheit 160 ein Bestimmungsergebnis 161, das angibt, ob die Kommunikation der Kommunikationsnachricht 501 erlaubt ist, zu der Nachrichtenerfassungseinheit 50 aus. Ein spezifischer Prozess des Bestimmungsprozesses S30 ist wie nachstehend beschrieben.
  • In Schritt S31 empfängt die Bestimmungseinheit 160 die Kommunikationsnachricht 501 von der Protokollumsetzungseinheit 150. Die Bestimmungseinheit 160 erfasst das Kommunikationsnachrichtenattribut 502, das die Kommunikationsnachricht 501 spezifiziert. Das Kommunikationsnachrichtenattribut 502 enthält einen Nachrichtentyp der Kommunikationsnachricht 501 und den Nachrichteninhalt der Kommunikationsnachricht 501.
  • In Schritt S32 überprüft die Bestimmungseinheit 160, ob der Nachrichtentyp 82 der Nachrichteninformationen 181, die in dem Nachrichteninformationserfassungsprozess S10 erfasst sind, einen enthält, der dem in dem Kommunikationsnachrichtenattribut 502 enthaltenen Nachrichtentyp entspricht. Falls einer vorhanden ist, fährt der Prozess mit Schritt S33 fort. Falls keiner vorhanden ist, fährt der Prozess mit Schritt S35 fort.
  • In Schritt S33 analysiert die Bestimmungseinheit 160 die Kommunikationsnachricht 501 und erfasst den Nachrichteninhalt der Kommunikationsnachricht 501.
  • In Schritt S34 bestimmt die Bestimmungseinheit 160 basierend auf den Nachrichteninformationen 181, dem aktuellen Zustand 182 des Fahrzeugs und dem Nachrichteninhalt der Kommunikationsnachricht 501, ob die Übertragung für die Kommunikationsnachricht 501 erlaubt ist, wenn das Fahrzeug im dem aktuellen Zustand 182 ist. Falls sie erlaubt ist, fährt der Prozess mit Schritt S36 fort. Falls sie nicht erlaubt ist, fährt der Prozess mit Schritt S35 fort.
  • In Schritt S35 gibt die Bestimmungseinheit 160 das Bestimmungsergebnis 161, das angibt, dass die Übertragung nicht erlaubt ist, zu der Protokollumsetzungseinheit 150 aus.
  • In Schritt S36 gibt die Bestimmungseinheit 160 das Bestimmungsergebnis 161, das angibt, dass die Übertragung erlaubt ist, zu der Protokollumsetzungseinheit 150 aus.
  • <Nachrichtenerfassungsprozess S40>
  • Der Nachrichtenerfassungsprozess S40 gemäß dieser Ausführungsform wird mit Bezug auf 8 beschrieben.
  • In dem Nachrichtenerfassungsprozess S40 erfasst die Protokollumsetzungseinheit 150 die Nachricht, die zwischen dem fahrzeuginternen System 602, das in dem Fahrzeug installiert ist, und dem externen System 601, das nicht in dem Fahrzeug installiert ist, kommuniziert werden soll, als die Kommunikationsnachricht 501. Die Protokollumsetzungseinheit 150 führt Protokollumsetzung auf der Kommunikationsnachricht 501 aus und gibt die umgesetzte Kommunikationsnachricht 501 zu der Bestimmungseinheit 160 aus. Dann wird das Bestimmungsergebnis 161 aus der Bestimmungseinheit 160 empfangen, und die Kommunikation der Kommunikationsnachricht 501 wird basierend auf dem Bestimmungsergebnis 161 gesteuert. Falls das Bestimmungsergebnis 161 angibt, dass die Kommunikation nicht erlaubt ist, verwirft die Nachrichtenerfassungseinheit 50 die Kommunikationsnachricht 501. Alternativ kann, falls das Bestimmungsergebnis 161 angibt, dass die Kommunikation nicht erlaubt ist, die Nachrichtenerfassungseinheit 50 die Kommunikationsnachricht 501 verwerfen und außerdem eine Angabe, dass die Kommunikation für die Kommunikationsnachricht 501 nicht erlaubt ist, zu einer Ausgabevorrichtung ausgeben. Der Nachrichtenerfassungsprozess S40 ist auch als Protokollumsetzungsprozess bezeichnet. Ein spezifischer Prozess des Nachrichtenerfassungsprozesses S40 ist wie nachstehend beschrieben.
  • In Schritt S41 empfängt die Protokollumsetzungseinheit 150 die Kommunikationsnachricht 501 von der Steuereinheit 120 für externes Empfangen.
  • In Schritt S42 setzt die Protokollumsetzungseinheit 150 die von der Steuereinheit 120 für externes Empfangen empfangene Kommunikationsnachricht 501 in Übereinstimmung mit dem Protokoll des Netzes innerhalb des Fahrzeugs, das das fahrzeuginterne Systeme ist, das das Ziel sein soll, um.
  • In Schritt S43 gibt die Protokollumsetzungseinheit 150 die umgesetzte Kommunikationsnachricht 501 zu der Bestimmungseinheit 160 aus.
  • In Schritt S44 wartet die Protokollumsetzungseinheit 150 auf eine Antwort von der Bestimmungseinheit 160. Nach dem Empfangen des Bestimmungsergebnisses 161 als die Antwort fährt die Protokollumsetzungseinheit 150 mit Schritt S45 fort.
  • In Schritt S45 fährt die Protokollumsetzungseinheit 150, falls das Bestimmungsergebnis 161 von der Bestimmungseinheit 160 angibt, dass die Übertragung erlaubt ist, mit Schritt S46 fort. Falls das Bestimmungsergebnis 161 von der Bestimmungseinheit 160 angibt, dass die Übertragung nicht erlaubt ist, fährt die Protokollumsetzungseinheit 150 mit Schritt S47 fort.
  • In Schritt S46 gibt die Protokollumsetzungseinheit 150 die Kommunikationsnachricht 501 zu der Steuereinheit 130 für internes Senden aus. Das heißt, da bestimmt wird, dass die Kommunikationsnachricht 501 keine nicht autorisierte Nachricht ist, führt die Protokollumsetzungseinheit 150 einen normalen Prozess auf der Kommunikationsnachricht 501 aus.
  • In Schritt S47 verwirft die Protokollumsetzungseinheit 150 die Kommunikationsnachricht 501. Das heißt, da bestimmt wird, dass die Kommunikationsnachricht 501 eine nicht autorisierte Nachricht ist, sperrt die Protokollumsetzungseinheit 150 die Kommunikationsnachricht 501 dadurch, dass sie sie verwirft.
  • *** Andere Konfigurationen ***
  • Die Fahrzeugkommunikationsüberwachungseinrichtung 100 gemäß dieser Ausführungsform kann eine Funktion zum, nach dem Sperren einer nicht autorisierten Nachricht, Benachrichtigen eines Fahrers des Fahrzeugs, dass die nicht autorisierte Nachricht gesperrt worden ist, über eine Ausgabevorrichtung wie z. B. einen Bildschirm oder einen Lautsprecher enthalten. Eine solche Funktion ermöglicht es dem Fahrer zu erkennen, dass das fahrzeuginterne System 602 angegriffen wird, und Gegenmaßnahmen wie z. B. Anhalten des Fahrzeugs zu ergreifen.
  • In dieser Ausführungsform ist ein Angriffsdetektionsverfahren für eine Nachricht von außerhalb des Fahrzeugs zu dem Inneren des Fahrzeugs genau beschrieben worden. Eine Nachricht von innerhalb des Fahrzeugs zu dem Äußeren des Fahrzeugs kann jedoch auch ähnlich verarbeitet werden. Das kann das Durchsickern vertraulicher Informationen oder privater Informationen durch eine nicht autorisierte Operation des fahrzeuginternen Systems 602 verhindern. Es wird darauf hingewiesen, dass dann, wenn eine Nachricht von innerhalb des Fahrzeugs zu dem Äußeren des Fahrzeugs verarbeitet wird, die Protokollumsetzungseinheit die Nachricht vor der Protokollumsetzung, die von der Steuereinheit für internes Empfangen empfangen wird, als eine Kommunikationsnachricht zu der Bestimmungseinheit sendet. Dann, falls das Bestimmungsergebnis von der Bestimmungseinheit angibt, dass die Übertragung erlaubt ist, setzt die Protokollumsetzungseinheit das Protokoll der Kommunikationsnachricht um und gibt die umgesetzte Kommunikationsnachricht zu der Steuereinheit für externes Senden aus.
  • In dieser Ausführungsform sind die Funktionen der Einheiten der Fahrzeugkommunikationsüberwachungseinrichtung 100 durch Software realisiert. Als eine Variation können die Funktionen der Einheiten der Fahrzeugkommunikationsüberwachungseinrichtung 100 jedoch durch Hardware realisiert sein.
  • Eine Konfiguration einer Fahrzeugkommunikationsüberwachungseinrichtung 100 gemäß einer Variation dieser Ausführungsform wird mit Bezug auf 9 beschrieben.
  • Wie in 9 dargestellt ist, enthält die Fahrzeugkommunikationsüberwachungseinrichtung 100 Hardware wie z. B. eine Verarbeitungsschaltung 909, eine Eingabeschnittstelle 930, eine Ausgabeschnittstelle 940, eine externe Schnittstelle 951 und eine interne Kommunikationsschnittstelle.
  • Die Verarbeitungsschaltung 909 ist eine dedizierte elektronische Schaltung, die die Funktionen der Einheiten und der Speichervorrichtung 180 der Fahrzeugkommunikationsüberwachungseinrichtung 100, die vorstehend beschrieben sind, realisiert. Insbesondere ist die Verarbeitungsschaltung 909 eine einzelne Schaltung, eine zusammengesetzte Schaltung, ein programmierter Prozessor, ein paralleler programmierter Prozessor, eine Logik-IC, ein GA, eine ASIC oder ein FPGA. GA ist eine Abkürzung für Gatterfeld. ASIC ist eine Abkürzung für anwendungsspezifische integrierte Schaltung. FPGA ist eine Abkürzung für feldprogrammierbares Gatterfeld.
  • Die Funktionen der Einheiten der Fahrzeugkommunikationsüberwachungseinrichtung 100 können durch eine Verarbeitungsschaltung 909 realisiert sein, oder sie können dadurch realisiert sein, dass sie über mehrere Verarbeitungsschaltungen 909 verteilt sind.
  • Als eine weitere Variation können die Funktionen der Einheiten der Fahrzeugkommunikationsüberwachungseinrichtung 100 durch eine Kombination aus Software und Hardware realisiert sein. Das heißt, einige der Funktionen der Fahrzeugkommunikationsüberwachungseinrichtung 100 können durch dedizierte Hardware realisiert sein, und die restlichen Funktionen können durch Software realisiert sein.
  • Der Prozessor 910, die Speichervorrichtung 920 und die Verarbeitungsschaltung 909 der Fahrzeugkommunikationsüberwachungseinrichtung 100 sind gemeinsam als „Verarbeitungsschaltungsanordnung“ bezeichnet. Das heißt, die Funktionen der Einheiten und der Speichereinheit 180 der Fahrzeugkommunikationsüberwachungseinrichtung 100 sind durch die Verarbeitungsschaltungsanordnung realisiert, unabhängig davon, ob die Konfiguration der Fahrzeugkommunikationsüberwachungseinrichtung 100 die in 1 dargestellte Konfiguration oder die in 9 dargestellte Konfiguration ist.
  • Die „Einheit“ kann als ein „Schritt“, eine „Prozedur“ oder ein „Prozess“ interpretiert werden. Die Funktion der „Einheit“ kann durch Firmware realisiert sein.
  • *** Beschreibung der Effekte dieser Ausführungsform ***
  • Wie vorstehend beschrieben erkennt die Fahrzeugkommunikationsüberwachungseinrichtung 100 gemäß dieser Ausführungsform den Zustand des Fahrzeugs und verbietet die Übertragung einer Nachricht, die in dem aktuellen Zustand des Fahrzeugs nicht erlaubt ist. Deshalb verhindert die Fahrzeugkommunikationsüberwachungseinrichtung 100 gemäß dieser Ausführungsform das Hacken des fahrzeuginternen Systems 602 durch Eindringen einer nicht autorisierten Nachricht in das Netz innerhalb des Fahrzeugs.
  • Zweite Ausführungsform
  • In dieser Ausführungsform werden hauptsächlich Unterschiede von der ersten Ausführungsform beschrieben.
  • *** Beschreibung der Konfiguration ***
  • Eine Konfiguration einer Fahrzeugkommunikationsüberwachungseinrichtung 100a gemäß dieser Ausführungsform wird mit Bezug auf 10 beschrieben. In 10 sind die Komponenten, die im Wesentlichen gleich den in der ersten Ausführungsform beschriebenen Komponenten sind, durch die gleichen Bezugszeichen bezeichnet, und ihre Beschreibung wird weggelassen.
  • Die Fahrzeugkommunikationsüberwachungseinrichtung 100a gemäß dieser Ausführungsform enthält eine Kommunikationsvolumenmessungseinheit 190 zusätzlich zu den funktionalen Komponenten der in der ersten Ausführungsform beschriebenen Fahrzeugkommunikationsüberwachungseinrichtung 100a. Die Speichereinheit 180 speichert Nachrichteninformationen 181a und ein Kommunikationsvolumen 183 zusätzlich zu dem aktuellen Zustand 182, der in der ersten Ausführungsform beschrieben ist. Andere funktionale Komponenten und Hardware sind im Wesentlichen gleich den denjenigen der ersten Ausführungsform.
  • Die Kommunikationsvolumenmessungseinheit 190 empfängt eine Kommunikationsnachricht 501 von der Protokollumsetzungseinheit 150 und misst das Kommunikationsvolumen der Kommunikationsnachricht, das in einer festen Zeitspanne empfangen wird. Die Kommunikationsvolumenmessungseinheit 190 aktualisiert das Kommunikationsvolumen 183 in der Speichervorrichtung 180 unter Verwendung des gemessenen Kommunikationsvolumens als das Kommunikationsvolumen, das in dem aktuellen Zustand 182 für den Nachrichtentyp der Kommunikationsnachricht 501 empfangen wird.
  • Der Nachrichteninformationen 181a gemäß dieser Ausführungsform werden mit Bezug auf 11 beschrieben.
  • Die in 11 dargestellten Nachrichteninformationen 181a sind eine Weiße Liste, und Nachrichten, für die Kommunikation erlaubt ist, sind in der Tabelle beschrieben. In den Nachrichteninformationen 181a sind Nachrichten, für die Kommunikation und Übertragung erlaubt sind, eingestellt. In diesem Fall ist ein in den Nachrichteninformationen 181a eingestelltes Nachrichtenattribut 812 Berechtigungsinformationen 813a, die angeben, dass die Kommunikation der Nachricht erlaubt ist. Die Nachrichteninformationen 181a können jedoch, wie in der ersten Ausführungsform, derart sein, dass Nachrichten, für die Kommunikation verboten ist, in der Tabelle als eine Schwarze Liste beschrieben sind. Die Nachrichteninformationen 181a können außerdem so konfiguriert sein, dass sie ein Flag zum Bestimmen, ob die Kommunikation erlaubt ist, enthalten.
  • In den in 11 dargestellten Nachrichteninformationen 181a sind eine Zeilennummer 81, ein Nachrichtentyp 82, ein Fahrzeugzustand 811 und ein Kommunikationsvolumenschwellenwert 84 eingetragen. Die Zeilennummer 81, der Nachrichtentyp 82 und der Fahrzeugzustand 811 sind im Wesentlichen gleich denjenigen in 2 der ersten Ausführungsform. Der Kommunikationsvolumenschwellenwert 84 ist ein Beispiel für das Nachrichtenattribut 812, das eine Nachricht spezifiziert. Der Kommunikationsvolumenschwellenwert 84 ist ein Schwellenwert für das Kommunikationsvolumen der Nachricht, die kommuniziert werden soll. Insbesondere ist der Kommunikationsvolumenschwellenwert 84 ein Schwellenwert für das Kommunikationsvolumen, das in jedem Fahrzeugzustand 811 für jeden Nachrichtentyp 82 erlaubt ist. Das spezifische Beispiel in 11 gibt an, dass bis zu 500 KBytes/min für eine Diag-Nachricht erlaubt sind, wenn das Fahrzeug steht.
  • *** Beschreibung des Betriebs ***
  • Ein Fahrzeugkommunikationsüberwachungsprozess S100a eines Fahrzeugkommunikationsüberwachungsverfahrens 610a und ein Fahrzeugkommunikationsüberwachungsprogramm 620a gemäß dieser Ausführungsform werden mit Bezug auf die 5, 6 und 12 bis 14 beschrieben. Die 5, 6 und 12 bis 14 sind Diagramme, die ein Beispiel für Ablaufpläne darstellen, wenn die Fahrzeugkommunikationsüberwachungseinrichtung 100a eine Nachricht von dem externen System 601 empfängt. Es wird darauf hingewiesen, dass die Ablaufpläne der 5, 6 und 12 bis 14 einen Fall beschreiben, in dem die Nachrichteninformationen 181a vom Typ der Weißen Liste, der in 11 dargestellt ist, verwendet sind.
  • Der Fahrzeugkommunikationsüberwachungsprozess S100a weist einen Nachrichteninformationserfassungsprozess S10 von 5, einen Zustandserfassungsprozess S20 von 6, einen Kommunikationsvolumenerfassungsprozess S50 von 12, einen Bestimmungsprozess S30a von 13 und einen Nachrichtenerfassungsprozess S40a von 14 auf.
  • <Nachrichteninformationserfassungsprozess S10 und Zustandserfassungsprozess S20>
  • Der Nachrichteninformationserfassungsprozess S10 und der Zustandserfassungsprozess S20 sind im Wesentlichen gleich denjenigen der ersten Ausführungsform, die mit Bezug auf die 5 und 6 beschrieben sind.
  • <Kommunikationsvolumenerfassungsprozess S50>
  • Der Kommunikationsvolumenerfassungsprozess S50 gemäß dieser Ausführungsform wird mit Bezug auf 12 beschrieben.
  • In dem Kommunikationsvolumenerfassungsprozess S50 erfasst die Kommunikationsvolumenmessungseinheit 190 den aktuellen Zustand des Fahrzeugs als den aktuellen Zustand 182. Ein spezifischer Prozess des Zustandserfassungsprozesses S20 ist wie nachstehend beschrieben.
  • In Schritt S51 empfängt die Kommunikationsvolumenmessungseinheit 190 die Kommunikationsnachricht 501 von der Protokollumsetzungseinheit 150.
  • In Schritt S52 erfasst die Kommunikationsvolumenmessungseinheit 190 den Nachrichtentyp der von der Protokollumsetzungseinheit 150 empfangenen Kommunikationsnachricht 501. Die Kommunikationsvolumenmessungseinheit 190 erfasst außerdem den aktuellen Zustand 182 aus der Speichereinheit 180.
  • In Schritt S53 misst die Kommunikationsvolumenmessungseinheit 190 das in einer XX-Zeit für die erfasste Kommunikationsnachricht 501 empfangene Kommunikationsvolumen. Es wird darauf hingewiesen, dass die XX-Zeit eine beliebige Zeit ist. Die Kommunikationsvolumenmessungseinheit 190 überschreibt das Kommunikationsvolumen 183 in der Speichereinheit 180 unter Verwendung des gemessenen Kommunikationsvolumens als das Kommunikationsvolumen, das in dem aktuellen Zustand 182 für den Nachrichtentyp der Kommunikationsnachricht 501 empfangen wird. Es wird darauf hingewiesen, dass die XX-Zeit eine beliebige Zeit ist.
  • <Bestimmungsprozess S30a>
  • In dem Bestimmungsprozess S30a bestimmt die Bestimmungseinheit 160 basierend auf dem aktuellen Zustand 182, dem Kommunikationsvolumen 183 der Kommunikationsnachricht 501 und den Nachrichteninformationen 181a, ob das Kommunikationsvolumen 183 innerhalb des Kommunikationsvolumenschwellenwerts 84 ist, wenn das Fahrzeug in dem aktuellen Zustand 182 ist. Die Bestimmungseinheit 160 bestimmt, ob die Kommunikation der Kommunikationsnachricht 501 erlaubt ist, basierend darauf, ob das Kommunikationsvolumen 183 innerhalb des Kommunikationsvolumenschwellenwerts 84 ist. Ein spezifischer Prozess des Bestimmungsprozesses S30a ist wie nachstehend beschrieben.
  • Der Bestimmungsprozess S30a gemäß dieser Ausführungsform wird mit Bezug auf 13 beschrieben.
  • In Schritt S31 empfängt die Bestimmungseinheit 160 die Kommunikationsnachricht 501 von der Protokollumsetzungseinheit 150. Die Bestimmungseinheit 160 erfasst das Kommunikationsnachrichtenattribut 502, das die Kommunikationsnachricht 501 spezifiziert. Das Kommunikationsnachrichtenattribut 502 enthält einen Nachrichtentyp der Kommunikationsnachricht 501.
  • In Schritt S32 überprüft die Bestimmungseinheit 160, ob der Nachrichtentyp 82 der Nachrichteninformationen 181, die in dem Nachrichteninformationserfassungsprozess S10 erfasst sind, einen enthält, der dem in dem Kommunikationsnachrichtenattribut 502 enthaltenen Nachrichtentyp entspricht. Falls einer vorhanden ist, fährt der Prozess mit Schritt S33a fort. Falls keiner vorhanden ist, fährt der Prozess mit Schritt S35 fort.
  • Es wird darauf hingewiesen, dass die Prozesse von Schritt S31 und Schritt S32 im Wesentlichen gleich denjenigen der mit Bezug auf 7 beschriebenen ersten Ausführungsform sind.
  • In Schritt S33a analysiert die Bestimmungseinheit 160 die Kommunikationsnachricht 501 und erfasst das Kommunikationsvolumen 183, das der Kommunikationsnachricht 501 entspricht, aus der Speichereinheit 180.
  • In Schritt S34a bestimmt die Bestimmungseinheit 183 basierend auf den Nachrichteninformationen 181, dem aktuellen Zustand 182 des Fahrzeugs und dem Kommunikationsvolumen 183 der Kommunikationsnachricht 501, ob das Kommunikationsvolumen 183 der Kommunikationsnachricht 501 innerhalb des Kommunikationsvolumenschwellenwerts 84 ist, wenn das Fahrzeug in dem aktuellen Zustand 182 ist. Falls es innerhalb des Kommunikationsvolumenschwellenwerts 84 ist, fährt der Prozess mit Schritt S36 fort. Falls es nicht erlaubt ist, fährt der Prozess mit Schritt S35 fort.
  • In Schritt S35 gibt die Bestimmungseinheit 160 das Bestimmungsergebnis 161, das angibt, dass die Übertragung nicht erlaubt ist, zu der Protokollumsetzungseinheit 150 aus.
  • In Schritt S36 gibt die Bestimmungseinheit 160 das Bestimmungsergebnis 161, das angibt, dass die Übertragung erlaubt ist, zu der Protokollumsetzungseinheit 150 aus.
  • Es wird darauf hingewiesen, dass die Prozesse von Schritt S35 und Schritt S36 im Wesentlichen gleich denjenigen der mit Bezug auf 7 beschriebenen ersten Ausführungsform sind.
  • <Nachrichtenerfassungsprozess S40a>
  • Der Nachrichtenerfassungsprozess S40a gemäß dieser Ausführungsform wird mit Bezug auf 14 beschrieben.
  • Die Prozesse von Schritt S41 bis Schritt S42 und von Schritt S44 bis Schritt S47 sind im Wesentlichen gleich denjenigen der ersten Ausführungsform, die mit Bezug auf 8 beschrieben sind. Ein Prozess, der von 8 der ersten Ausführungsform verschieden ist, ist der Schritt S43a.
  • In Schritt S43a gibt die Protokollumsetzungseinheit 150 die umgesetzte Kommunikationsnachricht 501 zu der Bestimmungseinheit 160 und der Kommunikationsvolumenmessungseinheit 190 aus.
  • *** Andere Konfigurationen ***
  • Wie in der ersten Ausführungsform kann die Fahrzeugkommunikationsüberwachungseinrichtung 100a gemäß dieser Ausführungsform eine Funktion zum Benachrichtigen eines Fahrers über eine Ausgabevorrichtung wie z. B. einen fahrzeuginternen Bildschirm oder einen Lautsprecher nach dem Sperren einer nicht autorisierten Nachricht enthalten. Diese Funktion ermöglicht es dem Fahrer zu erkennen, dass das fahrzeuginterne System 602 angegriffen wird, und Gegenmaßnahmen wie z. B. Anhalten des Fahrzeugs zu ergreifen.
  • In dieser Ausführungsform kann außerdem, wie in der ersten Ausführungsform, eine Nachricht von innerhalb des Fahrzeugs zu dem Äußeren des Fahrzeugs auch auf ähnliche Weise verarbeitet werden. Das kann das Durchsickern vertraulicher Informationen oder privater Informationen durch eine nicht autorisierte Operation des fahrzeuginternen Systems 602 verhindern. Es wird darauf hingewiesen, dass dann, wenn eine Nachricht von innerhalb des Fahrzeugs zu dem Äußeren des Fahrzeugs verarbeitet wird, die Protokollumsetzungseinheit eine Nachricht vor der Protokollumsetzung, die von der Steuereinheit für internes Empfangen empfangen wird, zu der Bestimmungseinheit als eine Kommunikationsnachricht sendet. Dann, falls das Bestimmungsergebnis von der Bestimmungseinheit angibt, dass die Übertragung erlaubt ist, setzt die Protokollumsetzungseinheit das Protokoll der Kommunikationsnachricht um und gibt die umgesetzte Kommunikationsnachricht zu der Steuereinheit für externes Senden aus.
  • *** Beschreibung von Effekten gemäß dieser Ausführungsform ***
  • Die Fahrzeugkommunikationsüberwachungseinrichtung 100a gemäß dieser Ausführungsform erkennt den Zustand des Fahrzeugs und verbietet die Übertragungen einer Nachricht, die das in dem aktuellen Zustand des Fahrzeugs erlaubte Kommunikationsvolumen übersteigt, und verhindert dadurch Hacken des fahrzeuginternen Systems 602 durch Eindringen einer nicht autorisierten Nachricht in das Netz innerhalb des Fahrzeugs. Gemäß der Fahrzeugkommunikationsüberwachungseinrichtung 100a dieser Ausführungsform wird der genaue Nachrichteninhalt einer Nachricht nicht überprüft. Deshalb kann, solange ein Ziel der Nachricht wie z. B. die Kopfeinheit oder ECU, die das Sendeziel sein sollen, bestimmt werden kann, eine nicht autorisierte Nachricht sogar in verschlüsselter Kommunikation gesperrt werden.
  • Die erste und zweite Ausführungsform sind vorstehend beschrieben worden. In der ersten und zweiten Ausführungsform bilden die Einheiten der Fahrzeugkommunikationsüberwachungseinrichtung die Fahrzeugkommunikationsüberwachungseinrichtung als unabhängige Funktionsblöcke. Die Konfiguration kann jedoch von den in den vorstehend beschriebenen Ausführungsformen beschriebenen verschieden sein, und die Konfiguration der Fahrzeugkommunikationsüberwachungseinrichtung kann irgendeine Konfiguration sein. Irgendwelche Funktionsblöcke können die Fahrzeugkommunikationsüberwachungseinrichtung bilden, unter der Voraussetzung, dass die in den vorstehend beschriebenen Ausführungsformen realisiert werden können. Die Fahrzeugkommunikationsüberwachungseinrichtung kann mit irgendeiner anderen Kombination dieser Funktionsblöcke oder irgendeiner Blockkonfiguration konfiguriert sein.
  • Die Fahrzeugkommunikationsüberwachungseinrichtung kann ein System sein, das mit mehreren Einrichtungen anstellte einer einzigen Einrichtung konfiguriert ist.
  • Die erste und zweite Ausführungsform sind beschrieben worden. Mehrere Abschnitte dieser beiden Ausführungsformen können in Kombination implementiert sein. Alternativ kann ein Abschnitt dieser Ausführungsformen implementiert sein. Alternativ können diese Ausführungsformen als Ganzes oder teilweise in irgendeiner Kombination implementiert sein.
  • Es wird darauf hingewiesen, dass die vorstehend beschriebenen Ausführungsformen im Wesentlichen bevorzugte Beispiele sind und nicht dafür vorgesehen sind, den Schutzbereich der vorliegenden Erfindung und die Schutzbereiche von Anwendungen und vorgesehenen Verwendungen der vorliegenden Erfindung einzuschränken, und es sind bei Bedarf verschiedene Modifikationen möglich.
  • Bezugszeichenliste
  • 50: Nachrichtenerfassungseinheit; 100, 100a: Fahrzeugkommunikationsüberwachungseinrichtung; 110: Steuereinheit für externes Senden; 120: Steuereinheit für externes Empfangen; 130: Steuereinheit für internes Senden; 140: Steuereinheit für internes Empfangen; 150: Protokollumsetzungseinheit; 160: Bestimmungseinheit; 161: Bestimmungsergebnis; 170: Zustandserfassungseinheit; 180: Speichereinheit; 181, 181a, 181x, 181y: Nachrichteninformationen; 182: aktueller Zustand; 183: Kommunikationsvolumen; 190: Kommunikationsvolumenmessungseinheit; 81: Zeilennummer; 82: Nachrichtentyp; 83: genauer Nachrichteninhalt; 84: Kommunikationsvolumenschwellenwert; 501: Kommunikationsnachricht; 502: Kommunikationsnachrichtenattribut; 601: externes System; 602: fahrzeuginternes System; 610, 610a: Fahrzeugkommunikationsüberwachungsverfahren; 620, 620a: Fahrzeugkommunikationsüberwachungsprogramm; 811: Fahrzeugzustand; 812: Nachrichtenattribut; 813, 813x, 813y: Berechtigungsinformationen; 909: Verarbeitungsschaltung; 910: Prozessor; 920: Speichervorrichtung; 921: Speicher; 922: Zusatzspeichervorrichtung; 930: Eingabeschnittstelle; 940: Ausgabeschnittstelle; 951: externe Schnittstelle; 952: interne Schnittstelle; S100: Fahrzeugkommunikationsüberwachungsprozess; S10: Nachrichteninformationserfassungsprozess; S20: Zustandserfassungsprozess; S30, S30a: Bestimmungsprozess; S40: Nachrichtenerfassungsprozess; S50: Kommunikationsvolumenerfassungsprozess
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 2014187445 A [0004]
    • JP 5522160 B [0004]

Claims (12)

  1. Fahrzeugkommunikationsüberwachungseinrichtung, die Folgendes umfasst: eine Speichereinheit zum Speichern von Nachrichteninformationen, in denen ein Fahrzeugzustand, der einen Zustand eines Fahrzeugs angibt, ein Nachrichtenattribut, das eine Nachricht, die kommuniziert werden soll, spezifiziert, und Berechtigungsinformationen, die angeben, ob die Kommunikation der Nachricht, die durch das Nachrichtenattribut spezifiziert ist, erlaubt ist, einander zugeordnet sind; eine Zustandserfassungseinheit zum Erfassen eines aktuellen Zustands des Fahrzeugs als einen aktuellen Zustand; eine Nachrichtenerfassungseinheit zum Erfassen einer Nachricht, die zwischen einem fahrzeuginternen System, das in dem Fahrzeug installiert ist, und einem externen System, das nicht in dem Fahrzeug installiert ist, kommuniziert werden soll, als eine Kommunikationsnachricht und eine Bestimmungseinheit zum Erfassen eines Nachrichtenattributs, das die Kommunikationsnachricht spezifiziert, als ein Kommunikationsnachrichtenattribut und Bestimmen, basierend auf dem aktuellen Zustand, dem Kommunikationsnachrichtenattribut und den Nachrichteninformationen, ob die Kommunikation der Kommunikationsnachricht erlaubt ist, wenn das Fahrzeug in dem aktuellen Zustand ist.
  2. Fahrzeugkommunikationsüberwachungseinrichtung nach Anspruch 1, wobei die Speichereinheit als den Fahrzeugzustand wenigstens einen aus einem fahrenden Zustand des Fahrzeugs und einem offenen oder geschlossenen Zustand einer Tür des Fahrzeugs enthält.
  3. Fahrzeugkommunikationsüberwachungseinrichtung nach Anspruch 1 oder Anspruch 2, wobei die Speichereinheit als das Nachrichtenattribut einen Typ der Nachricht, die kommuniziert werden soll, enthält.
  4. Fahrzeugkommunikationsüberwachungseinrichtung nach Anspruch 3, wobei die Speichereinheit als das Nachrichtenattribut Inhalt der Nachricht, die kommuniziert werden soll, enthält.
  5. Fahrzeugkommunikationsüberwachungseinrichtung nach Anspruch 3, wobei die Speichereinheit als das Nachrichtenattribut einen Kommunikationsvolumenschwellenwert für ein Kommunikationsvolumen der Nachricht, die kommuniziert werden soll, enthält.
  6. Fahrzeugkommunikationsüberwachungseinrichtung nach Anspruch 5, die ferner Folgendes umfasst: eine Kommunikationsvolumenmessungseinheit zum Erfassen der Kommunikationsnachricht von der Nachrichtenerfassungseinheit und Messen eines Kommunikationsvolumens der Kommunikationsnachricht, wobei die Bestimmungseinheit basierend auf dem aktuellen Zustand, dem Kommunikationsvolumen der Kommunikationsnachricht und den Nachrichteninformationen bestimmt, ob die Kommunikation der Kommunikationsnachricht erlaubt ist, basierend darauf, ob das Kommunikationsvolumen innerhalb des Kommunikationsvolumenschwellenwerts ist, wenn das Fahrzeug in dem aktuellen Zustand ist.
  7. Fahrzeugkommunikationsüberwachungseinrichtung nach einem der Ansprüche 1 bis 6, wobei die Nachrichteninformationen eine Weiße Liste sind, so dass eine Tatsache, dass das Nachrichtenattribut darin eingestellt ist, angibt, dass die Kommunikation der Nachricht, die durch das Nachrichtenattribut spezifiziert ist, erlaubt ist.
  8. Fahrzeugkommunikationsüberwachungseinrichtung nach einem der Ansprüche 1 bis 6, wobei die Nachrichteninformationen eine Schwarze Liste sind, so dass eine Tatsache, dass das Nachrichtenattribut darin eingestellt ist, angibt, dass die Kommunikation der Nachricht, die durch das Nachrichtenattribut spezifiziert ist, nicht erlaubt ist.
  9. Fahrzeugkommunikationsüberwachungseinrichtung nach einem der Ansprüche 1 bis 8, wobei die Bestimmungseinheit zu der Nachrichtenerfassungseinheit ein Bestimmungsergebnis darüber ausgibt, ob die Kommunikation der Kommunikationsnachricht erlaubt ist, und wobei dann, wenn das Bestimmungsergebnis angibt, dass die Kommunikation nicht erlaubt ist, die Nachrichtenerfassungseinheit die Kommunikationsnachricht verwirft.
  10. Fahrzeugkommunikationsüberwachungseinrichtung nach Anspruch 9, wobei dann, wenn das Bestimmungsergebnis angibt, dass die Kommunikation nicht erlaubt ist, die Nachrichtenerfassungseinheit die Kommunikationsnachricht verwirft und außerdem eine Angabe, dass die Kommunikation der Kommunikationsnachricht nicht erlaubt ist, zu einer Ausgabevorrichtung ausgibt.
  11. Fahrzeugkommunikationsüberwachungsverfahren für eine Fahrzeugkommunikationsüberwachungseinrichtung, die eine Speichereinheit zum Speichern von Nachrichteninformationen, in denen ein Fahrzeugzustand, der einen Zustand eines Fahrzeugs angibt, ein Nachrichtenattribut, das eine Nachricht, die kommuniziert werden soll, spezifiziert, und Berechtigungsinformationen, die angeben, ob die Kommunikation der Nachricht, die durch das Nachrichtenattribut spezifiziert ist, erlaubt ist, einander zugeordnet sind, enthält, wobei das Fahrzeugkommunikationsüberwachungsverfahren Folgendes umfasst: Erfassen eines aktuellen Zustands des Fahrzeugs als einen aktuellen Zustand durch eine Zustandserfassungseinheit; Erfassen einer Nachricht, die zwischen einem fahrzeuginternen System, das in dem Fahrzeug installiert ist, und einem externen System, das nicht in dem Fahrzeug installiert ist, kommuniziert werden soll, als eine Kommunikationsnachricht durch eine Nachrichtenerfassungseinheit; und Erfassen eines Nachrichtenattributs, das die Kommunikationsnachricht spezifiziert, als ein Kommunikationsnachrichtenattribut und Bestimmen, durch eine Bestimmungseinheit, basierend auf dem aktuellen Zustand, dem Kommunikationsnachrichtenattribut und den Nachrichteninformationen, ob die Kommunikation der Kommunikationsnachricht erlaubt ist, wenn das Fahrzeug in dem aktuellen Zustand ist.
  12. Fahrzeugkommunikationsüberwachungsprogramm für eine Fahrzeugkommunikationsüberwachungseinrichtung, die eine Speichereinheit zum Speichern von Nachrichteninformationen, in denen ein Fahrzeugzustand, der einen Zustand eines Fahrzeugs angibt, ein Nachrichtenattribut, das eine Nachricht, die kommuniziert werden soll, spezifiziert, und Berechtigungsinformationen, die angeben, ob die Kommunikation der Nachricht, die durch das Nachrichtenattribut spezifiziert ist, erlaubt ist, einander zugeordnet sind, enthält, wobei das Fahrzeugkommunikationsüberwachungsprogramm veranlasst, dass die Fahrzeugkommunikationsüberwachungseinrichtung, die ein Computer ist, Folgendes ausführt: einen Zustandserfassungsprozess zum Erfassen eines aktuellen Zustands des Fahrzeugs als einen aktuellen Zustand; einen Nachrichtenerfassungsprozess zum Erfassen einer Nachricht, die zwischen einem fahrzeuginternen System, das in dem Fahrzeug installiert ist, und einem externen System, das nicht in dem Fahrzeug installiert ist, kommuniziert werden soll, als eine Kommunikationsnachricht; und einen Bestimmungsprozess zum Erfassen eines Nachrichtenattributs, das die Kommunikationsnachricht spezifiziert, als ein Kommunikationsnachrichtenattribut und Bestimmen, basierend auf dem aktuellen Zustand, dem Kommunikationsnachrichtenattribut und den Nachrichteninformationen, ob die Kommunikation der Kommunikationsnachricht erlaubt ist, wenn das Fahrzeug in dem aktuellen Zustand ist.
DE112017006948.3T 2017-02-28 2017-02-28 Fahrzeugkommunikationsüberwachungseinrichtung, fahrzeugkommunikationsüberwachungsverfahren und fahrzeugkommunikationsüberwachungsprogramm Active DE112017006948B4 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2017/007946 WO2018158848A1 (ja) 2017-02-28 2017-02-28 車両通信監視装置、車両通信監視方法および車両通信監視プログラム

Publications (2)

Publication Number Publication Date
DE112017006948T5 true DE112017006948T5 (de) 2019-10-31
DE112017006948B4 DE112017006948B4 (de) 2022-07-28

Family

ID=61195719

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112017006948.3T Active DE112017006948B4 (de) 2017-02-28 2017-02-28 Fahrzeugkommunikationsüberwachungseinrichtung, fahrzeugkommunikationsüberwachungsverfahren und fahrzeugkommunikationsüberwachungsprogramm

Country Status (5)

Country Link
US (1) US20200015075A1 (de)
JP (1) JP6279174B1 (de)
CN (1) CN110326260A (de)
DE (1) DE112017006948B4 (de)
WO (1) WO2018158848A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015103220B4 (de) * 2014-03-20 2021-01-14 Analog Devices, Inc. System, umfassend ein Master-Sicherheitsprüfungsregister, Verfahren, Nichtflüchtiges Medium und maschinenlesbare Anweisungen
DE102019220164A1 (de) * 2019-12-19 2021-06-24 Volkswagen Aktiengesellschaft Verfahren zur Sicherheitsüberprüfung, Sicherheitsüberprüfungsvorrichtung, Informationssystem, Kraftfahrzeug
DE102019220157A1 (de) * 2019-12-19 2021-06-24 Volkswagen Aktiengesellschaft Verfahren zur Sicherheitsüberprüfung, Sicherheitsüberprüfungsvorrichtung, Informationssystem für ein Kraftfahrzeug, Kraftfahrzeug
DE102020131284A1 (de) 2020-11-26 2022-06-02 Bayerische Motoren Werke Aktiengesellschaft Vorrichtung und Verfahren für eine Datenkommunikation zwischen einem Bordnetz und einer Drittkomponente

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6956624B2 (ja) 2017-03-13 2021-11-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 情報処理方法、情報処理システム、及びプログラム
JP7020990B2 (ja) * 2017-07-19 2022-02-16 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載中継装置、中継方法及びプログラム
EP3646253A4 (de) * 2017-07-27 2021-03-31 Upstream Security Ltd. System und verfahren zur cybersicherheit eines verbundenen fahrzeugs
US10798104B2 (en) * 2018-01-15 2020-10-06 Ford Global Technologies, Llc Networked communications control for vehicles
WO2020021713A1 (ja) * 2018-07-27 2020-01-30 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正検知方法および不正検知電子制御装置
WO2021094941A1 (en) * 2019-11-12 2021-05-20 Marvell Asia Pte, Ltd. Automotive network with centralized storage
DE102021127370A1 (de) 2021-10-21 2023-04-27 Wacker Neuson Produktion GmbH & Co. KG Fernsteuerung für ein selbstfahrendes Arbeitsgerät
CN117155719A (zh) * 2023-11-01 2023-12-01 北京傲星科技有限公司 一种车辆数据安全检测方法、系统、电子设备及存储介质

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002016614A (ja) * 2000-06-30 2002-01-18 Sumitomo Electric Ind Ltd 車載ゲートウェイ
JP2003312392A (ja) * 2002-04-18 2003-11-06 Nissan Motor Co Ltd 車載情報端末
JP2003324459A (ja) * 2002-04-26 2003-11-14 Sumitomo Electric Ind Ltd 通信システム
JP2009071688A (ja) * 2007-09-14 2009-04-02 Fujitsu Ten Ltd 通信ゲートウェイ装置、車載ネットワークシステム、及びゲートウェイ方法
JP5434512B2 (ja) * 2009-11-18 2014-03-05 トヨタ自動車株式会社 車載通信システム、ゲートウェイ装置
JP5327149B2 (ja) * 2010-02-10 2013-10-30 株式会社デンソー 車載通信装置
WO2013051122A1 (ja) * 2011-10-05 2013-04-11 トヨタ自動車株式会社 車載ネットワークシステム
JP2013107454A (ja) * 2011-11-18 2013-06-06 Denso Corp 車載中継装置
JP5522160B2 (ja) 2011-12-21 2014-06-18 トヨタ自動車株式会社 車両ネットワーク監視装置
JP5954228B2 (ja) 2013-03-22 2016-07-20 トヨタ自動車株式会社 ネットワーク監視装置及びネットワーク監視方法
EP3080730B1 (de) 2013-12-11 2021-02-17 Continental Teves AG & Co. OHG Verfahren zum betreiben eines sicherheitsgateways eines kommunikationssystems für fahrzeuge
KR101472896B1 (ko) 2013-12-13 2014-12-16 현대자동차주식회사 차량 내 통신 네트워크에서의 보안 강화 방법 및 그 장치
JP6201962B2 (ja) * 2014-11-06 2017-09-27 トヨタ自動車株式会社 車載通信システム
CN106458112B (zh) * 2014-11-12 2019-08-13 松下电器(美国)知识产权公司 更新管理方法、更新管理系统以及计算机可读取的记录介质
JP6594732B2 (ja) * 2015-01-20 2019-10-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム
US10666615B2 (en) 2015-08-03 2020-05-26 Sectigo, Inc. Method for detecting, blocking and reporting cyber-attacks against automotive electronic control units
CN105893844A (zh) * 2015-10-20 2016-08-24 乐卡汽车智能科技(北京)有限公司 车辆总线网络的报文发送方法和装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015103220B4 (de) * 2014-03-20 2021-01-14 Analog Devices, Inc. System, umfassend ein Master-Sicherheitsprüfungsregister, Verfahren, Nichtflüchtiges Medium und maschinenlesbare Anweisungen
DE102019220164A1 (de) * 2019-12-19 2021-06-24 Volkswagen Aktiengesellschaft Verfahren zur Sicherheitsüberprüfung, Sicherheitsüberprüfungsvorrichtung, Informationssystem, Kraftfahrzeug
DE102019220157A1 (de) * 2019-12-19 2021-06-24 Volkswagen Aktiengesellschaft Verfahren zur Sicherheitsüberprüfung, Sicherheitsüberprüfungsvorrichtung, Informationssystem für ein Kraftfahrzeug, Kraftfahrzeug
DE102020131284A1 (de) 2020-11-26 2022-06-02 Bayerische Motoren Werke Aktiengesellschaft Vorrichtung und Verfahren für eine Datenkommunikation zwischen einem Bordnetz und einer Drittkomponente

Also Published As

Publication number Publication date
WO2018158848A1 (ja) 2018-09-07
JP6279174B1 (ja) 2018-02-14
US20200015075A1 (en) 2020-01-09
DE112017006948B4 (de) 2022-07-28
JPWO2018158848A1 (ja) 2019-03-07
CN110326260A (zh) 2019-10-11

Similar Documents

Publication Publication Date Title
DE112017006948B4 (de) Fahrzeugkommunikationsüberwachungseinrichtung, fahrzeugkommunikationsüberwachungsverfahren und fahrzeugkommunikationsüberwachungsprogramm
DE112019000485T5 (de) System und verfahren zum bereitstellen der sicherheit für einfahrzeuginternes netzwerk
DE102013209055A1 (de) Datenquellenidentifizierung, Datensammlung und Datenspeicherung für Verkehrsereignisse
Buquerin et al. A generalized approach to automotive forensics
DE102014116111A1 (de) Vorrichtung und Verfahren zur Durchsetzung von Sicherheits-Tagging eingebettteter Netzwerkkommunikationen
DE102015200587A1 (de) Vorrichtung und Verfahren zum Anfordern eines Notrufes bei einer Fahrzeugstörung unter Verwendung von Reiseinformationen über das Fahrzeug
DE112014006857T5 (de) Warnungsmeldungssystem, Warnungsmeldungsverfahren und Programm
DE102019203345A1 (de) Verfahren zur Überwachung des Umfelds eines Fahrzeugs
EP3529789B1 (de) Verfahren und vorrichtung zum generieren eines notrufs für ein fahrzeug
DE112016002785T5 (de) Elektronische Steuereinheiten für Fahrzeuge
DE102018123197A1 (de) Priorisierung und behebung von cybersicherheitsschwachstellen
DE102017214661A1 (de) Verfahren zum Erkennen einer Manipulation zumindest eines Steuergeräts eines Kraftfahrzeugs sowie Prozessorvorrichtung für ein Kraftfahrzeug und Kraftfahrzeug
DE102020206755A1 (de) Redundanzinformationen für objektschnittstelle für hoch und vollautomatisiertes fahren
EP3732913A1 (de) Steuereinheit und verfahren zum manipulationsgeschütztes erfassen von betriebssicherheitsrelevanten integritätsüberwachungsdaten
DE112020005954T5 (de) Informationsverarbeitungsvorrichtung, Steuerverfahren und Programm
EP3655876B1 (de) Ein-chip-system, verfahren zum betrieb eines ein-chip-systems und kraftfahrzeug
DE102018109080A1 (de) Systeme und verfahren zum verwenden mechanischer schwingung für ausserbandkommunikationen an bord eines fahrzeugs
DE102007004280A1 (de) Ein-Chip-Computer und Tachograph
DE102016204999A1 (de) Verfahren zur Überwachung der Sicherheit von Kommunikationsverbindungen eines Fahrzeugs
DE112018004881T5 (de) Überwachungsvorrichtung, Überwachungssystem und Computerprogramm
DE102018212657A1 (de) Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz
DE102018002944A1 (de) Verfahren zum Betrieb eines Fahrzeuges
DE102017003079A1 (de) Technik zur Einbeziehung einer Bedienungsanleitung in die Fahrzeugbedienung
DE102012216666A1 (de) Verfahren zum Bereitstellen von einem Fahrzeug zugeordneten Daten
DE102017000727A1 (de) Verfahren zum Austausch von Daten

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R084 Declaration of willingness to licence
R018 Grant decision by examination section/examining division
R020 Patent grant now final