JP2018062320A - Information processing unit, information processing method and information processing system - Google Patents

Information processing unit, information processing method and information processing system Download PDF

Info

Publication number
JP2018062320A
JP2018062320A JP2016202768A JP2016202768A JP2018062320A JP 2018062320 A JP2018062320 A JP 2018062320A JP 2016202768 A JP2016202768 A JP 2016202768A JP 2016202768 A JP2016202768 A JP 2016202768A JP 2018062320 A JP2018062320 A JP 2018062320A
Authority
JP
Japan
Prior art keywords
information processing
abnormality
processing apparatus
vehicle
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016202768A
Other languages
Japanese (ja)
Inventor
伸義 森田
Nobuyoshi Morita
伸義 森田
信 萱島
Makoto Kayashima
信 萱島
信隆 川口
Nobutaka Kawaguchi
信隆 川口
恒太 井手口
Kota Ideguchi
恒太 井手口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Automotive Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Automotive Systems Ltd filed Critical Hitachi Automotive Systems Ltd
Priority to JP2016202768A priority Critical patent/JP2018062320A/en
Priority to PCT/JP2017/032505 priority patent/WO2018070155A1/en
Publication of JP2018062320A publication Critical patent/JP2018062320A/en
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/035Bringing the control units into a predefined state, e.g. giving priority to particular actuators
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/09Arrangements for giving variable traffic instructions

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Automation & Control Theory (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Quality & Reliability (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

PROBLEM TO BE SOLVED: To take a temporary measure when a communication abnormality is detected in an information processing unit mounted to a vehicle.SOLUTION: An information processing unit is mounted to a vehicle and includes: a storage section in which a log is stored; an abnormality detection section for detecting an abnormality related to communication and causing the storage section to store the log related to the detection of the abnormality; and a temporary measure control section for restricting a function of the vehicle when the abnormality detection section detects an abnormality. Due to this configuration, in the information processing unit mounted to the vehicle, a temporary measure can be taken when a communication abnormality is detected.SELECTED DRAWING: Figure 1

Description

本発明は、情報処理装置、情報処理方法、および情報処理システムに関する。   The present invention relates to an information processing apparatus, an information processing method, and an information processing system.

自動車の車載システムはインターネットなどの外部ネットワークとつながることにより、センタシステムからインターネット経由で利用者に様々なサービスを提供するようになりつつある。これにともない、従来の閉じた車載システムとは異なり、外部からの攻撃に対する備えが重要になってきている。外部からの攻撃に対して、車載システムで発生する異常を検知し、その原因をより処理性能の高いセンタシステムで分析し、その分析結果に基づいた対策を実施する事後対処が有効とされている。
たとえば、特許文献1には、自動車の所定の部位に取り付けられたセンサと、このセンサによる検出値について一次判定を行う第1の判定手段と、前記第1の判定手段によって「異常あり」と認められた判定結果を、通信回線を介して、第2のデータ分析通信装置に送信する送信手段と、前記第2のデータ分析通信装置より送信される判定結果を受信する受信手段を有する第1のデータ分析通信装置が自動車に搭載され、前記第1のデータ分析通信装置から送信された判定結果を受信する受信手段と、受信された判定結果について独自の判定を行う第2の判定手段と、前記第1のデータ分析通信装置に送信する送信手段を有する第2のデータ分析通信装置が、前記自動車の保守点検を行うサービスセンターに配設されていることを特徴とするデータ分析通信装置が開示されている。 The in-vehicle system of an automobile is connected to an external network such as the Internet, and various services are being provided to users from the center system via the Internet. In connection with this, unlike the conventional closed vehicle-mounted system, the preparation for the attack from the outside has become important. Detecting an anomaly that occurs in an in-vehicle system against an attack from the outside, analyzing the cause with a center system with higher processing performance, and implementing countermeasures based on the analysis results is effective .
For example, in Patent Document 1, a sensor attached to a predetermined part of an automobile, a first determination unit that performs a primary determination on a detection value by the sensor, and the first determination unit recognize that there is “abnormality”. A first transmission unit that transmits the determination result to the second data analysis communication device via the communication line; and a reception unit that receives the determination result transmitted from the second data analysis communication device. A data analysis and communication device mounted on an automobile, receiving means for receiving a determination result transmitted from the first data analysis and communication device, second determination means for making an independent determination on the received determination result, and A second data analysis and communication device having a transmission means for transmitting to the first data analysis and communication device is disposed in a service center that performs maintenance and inspection of the automobile. Over data analysis communication device is disclosed.

特許第3556458号Japanese Patent No. 3556458

特許文献1に記載されている発明では、通信の異常が検出された際に暫定的な対処ができない。   In the invention described in Patent Document 1, provisional measures cannot be taken when a communication abnormality is detected.

本発明の第1の態様による情報処理装置は、車両に搭載される情報処理装置であって、ログが記憶される記憶部と、通信に関する異常を検知し、異常の検知に係るログを前記記憶部に記憶させる異常検知部と、前記異常検知部が異常を検知すると、前記車両の機能を制限する暫定対処制御部とを備える。
本発明の第2の態様による情報処理方法は、車両に搭載され、ログが記憶される記憶部を備える情報処理装置が実行する情報処理方法であって、通信に関する異常を検知し、異常の検知に係るログを前記記憶部に記憶させることと、前記異常を検知すると、前記車両の機能を制限することとを有する。
本発明の第3の態様による情報処理システムは、車両に搭載される複数の装置から構成される情報処理システムであって、ログが記憶される記憶部と、通信に関する異常を検知し、異常の検知に係るログを前記記憶部に記憶させる異常検知部と、前記異常検知部が異常を検知すると、前記車両の機能を制限する暫定対処制御部とを備える。 An information processing apparatus according to a first aspect of the present invention is an information processing apparatus mounted on a vehicle, which detects a storage unit storing a log, an abnormality related to communication, and stores the log related to the detection of the abnormality And a provisional countermeasure control unit that restricts the function of the vehicle when the abnormality detection unit detects an abnormality.
An information processing method according to a second aspect of the present invention is an information processing method executed by an information processing apparatus that is mounted on a vehicle and includes a storage unit that stores a log, and detects an abnormality related to communication, and detects an abnormality. Storing the log according to the above in the storage unit, and limiting the function of the vehicle when the abnormality is detected.
An information processing system according to a third aspect of the present invention is an information processing system including a plurality of devices mounted on a vehicle, and detects an abnormality related to communication with a storage unit in which a log is stored. An abnormality detection unit that stores a log related to detection in the storage unit, and a provisional countermeasure control unit that restricts the function of the vehicle when the abnormality detection unit detects an abnormality.

本発明によれば、通信の異常が検出された際に暫定的な対処ができる。   According to the present invention, provisional countermeasures can be taken when a communication abnormality is detected.

情報処理装置の機能構成を示す図The figure which shows the function structure of information processing apparatus ログ情報の一例を示す図Figure showing an example of log information 異常度判定ルール情報の一例を示す図The figure which shows an example of abnormality degree determination rule information 機能制約ルール情報の一例を示す図The figure which shows an example of function restriction rule information 車両状態更新ルール情報の一例を示す図The figure which shows an example of vehicle state update rule information 異常を検知した際の処理を示すフローチャートFlow chart showing processing when an abnormality is detected 異常対策情報を受信した際の処理を示すフローチャートFlowchart showing the processing when abnormality countermeasure information is received HMI制御部が表示させる画面表示の一例を示す図The figure which shows an example of the screen display which an HMI control part displays 第2の実施の形態における第1情報処理装置、および第2情報処理装置の機能構成を示す図The figure which shows the function structure of the 1st information processing apparatus in 2nd Embodiment, and a 2nd information processing apparatus

−第1の実施の形態の概要−
以下、図1〜図8を参照して、情報処理装置の第1の実施の形態を説明する。
本実施の形態では、車両に搭載される情報処理装置が通信に関する異常を検知すると、暫定的に車両の機能を制限する。そしてこの異常に対する対処がなされると、この制限を解除する。通信に関する異常の検知とは、DoS(Denialof Service)などの攻撃の直接の検知だけでなく、スケジュールどおりに通信が行われていないことなど攻撃があったことの間接的な検知や設定ミスなどが原因と考えられる通信に関する様々な異常の検知も含む。本実施の形態では、情報処理装置が搭載される車両に乗車している人間を「ユーザ」と呼ぶ。 -Outline of the first embodiment-
Hereinafter, a first embodiment of the information processing apparatus will be described with reference to FIGS.
In the present embodiment, when the information processing apparatus mounted on the vehicle detects an abnormality related to communication, the function of the vehicle is temporarily limited. And when this abnormality is dealt with, this restriction is lifted. The detection of abnormalities related to communication includes not only direct detection of attacks such as DoS (Denialof Service), but also indirect detection of setting attacks such as communication not being performed as scheduled, and misconfigurations. It also includes detection of various abnormalities related to the communication considered to be the cause. In the present embodiment, a person who is on a vehicle on which an information processing apparatus is mounted is called a “user”.

(構成)
図1は、第1の実施の形態における情報処理装置1の機能構成を示す図である。情報処理装置1は車両に搭載され、車内の通信バス2を介して他の情報処理装置に接続されている。ただし通信バス2は物理的には複数の通信バスであり、これらの通信バスの規格はすべて同一でもよいし異なっていてもよい。これら通信バスの規格はCAN(登録商標),LIN(登録商標),FlexRay(登録商標),イーサネット(登録商標)などである。
各装置間及び車外との通信は暗号技術などを用いた安全な通信路を利用すればよく、各装置で利用する暗号用の鍵及びシードは安全に配布、管理、更新されていればよく、エンジン起動時/停止時、製品開発時、メンテナンス時などの任意のタイミングで配布や更新が行なわれてもよい。 (Constitution)
FIG. 1 is a diagram illustrating a functional configuration of the information processing apparatus 1 according to the first embodiment. The information processing device 1 is mounted on a vehicle and connected to another information processing device via a communication bus 2 in the vehicle. However, the communication bus 2 is physically a plurality of communication buses, and the standards of these communication buses may all be the same or different. These communication bus standards are CAN (registered trademark), LIN (registered trademark), FlexRay (registered trademark), Ethernet (registered trademark), and the like.
The communication between each device and the outside of the vehicle may use a secure communication path using encryption technology, etc., and the encryption key and seed used by each device may be safely distributed, managed and updated. Distribution or updating may be performed at any timing such as when the engine is started / stopped, during product development, or during maintenance.

情報処理装置1は、異常を検出すると異常を検出した際のログを不図示の対策導出装置に送信する。対策導出装置は、ログを解析してその対策を決定し、情報処理装置1に検出された異常への対策を示す情報(以下、「異常対策情報」と呼ぶ)を送信する。ただし対策導出装置がログを受信してから異常対策情報を送信するまでにはある程度の時間を要する。そのため情報処理装置1は、後述するように暫定的な対策を行う。なお対策導出装置は、車両の内部に存在するECUなどの装置でもよいし、車両の外部に存在する、たとえばネットワークに接続されるサーバでもよい。   When detecting an abnormality, the information processing apparatus 1 transmits a log when the abnormality is detected to a countermeasure derivation device (not shown). The countermeasure derivation device analyzes the log to determine the countermeasure, and transmits information indicating a countermeasure against the detected abnormality (hereinafter referred to as “abnormality countermeasure information”) to the information processing apparatus 1. However, it takes a certain amount of time for the countermeasure deriving device to transmit the abnormality countermeasure information after receiving the log. Therefore, the information processing apparatus 1 performs provisional measures as will be described later. The countermeasure deriving device may be a device such as an ECU existing inside the vehicle, or may be a server existing outside the vehicle, for example, connected to a network.

情報処理装置1は、不図示のCPU,不図示のROM,および不図示のRAMを備え、ROMに格納されたプログラムをCPUがRAMに展開して実行することにより以下の機能を実現する。すなわち情報処理装置1はその機能として、異常検知部12、異常度判定部13、暫定対処制御部14、HMI制御部15、および車両状態更新部16を備える。また情報処理装置1は、通信インタフェースであり通信に必要な演算を行う通信部11、および不揮発性の記憶装置である暫定対処関連情報記憶部17を備える。   The information processing apparatus 1 includes a CPU (not shown), a ROM (not shown), and a RAM (not shown). The CPU stores the program stored in the ROM on the RAM and executes the program, thereby realizing the following functions. That is, the information processing apparatus 1 includes an abnormality detection unit 12, an abnormality degree determination unit 13, a provisional countermeasure control unit 14, an HMI control unit 15, and a vehicle state update unit 16 as its functions. In addition, the information processing apparatus 1 includes a communication unit 11 that is a communication interface and performs calculations necessary for communication, and a provisional countermeasure related information storage unit 17 that is a nonvolatile storage device.

通信部11は、通信バス2を介して前述の対策導出装置を含む他の情報処理装置からの送信メッセージを受信するとともに、通信バス2を介して他の情報処理装置に対してメッセージを送信する。前述のとおり通信バス2は物理的に複数の通信バスから構成されており、通信部11は物理的な通信バスと同数の接続ポートを有する。なお、対策導出装置が車両の外部に存在する場合、通信部11はさらに携帯電話網や無線LAN等の公衆無線回線との無線通信機能を有しており、この無線通信機能を用いて対策導出装置との間で通信を行う。異常検知部12は、予め決められた既知のルールに基づいて通信の異常を検知する。異常度判定部13は、後述する異常度判定ルール情報172を参照して、検知した異常の深刻度を判定する。   The communication unit 11 receives a transmission message from another information processing apparatus including the above-described countermeasure deriving device via the communication bus 2 and transmits a message to another information processing apparatus via the communication bus 2. . As described above, the communication bus 2 is physically composed of a plurality of communication buses, and the communication unit 11 has the same number of connection ports as the physical communication bus. When the countermeasure derivation device exists outside the vehicle, the communication unit 11 further has a wireless communication function with a public wireless line such as a mobile phone network or a wireless LAN, and the countermeasure derivation is performed using this wireless communication function. Communicate with the device. The abnormality detection unit 12 detects a communication abnormality based on a predetermined known rule. The abnormality degree determination unit 13 refers to abnormality degree determination rule information 172 described later, and determines the severity of the detected abnormality.

暫定対処制御部14は、異常検知部12が通信の異常を検出すると車両の機能を制限し、この異常への対策が実施されると車両の機能制限を解除する。なお以下では、車両の機能制限を行っている状態を「縮退モード」とも呼び、車両の機能制限を行っていない状態を「通常モード」とも呼ぶ。本実施の形態における通常モードと縮退モードの相違点は以下の3点である。すなわち第1に、後に機能制約ルール情報173を用いて説明するように、縮退モードでは通信バス2を構成する複数の通信バスのうち、異常が検出された装置が属する通信バスを流れる特定のCAN_IDを有するメッセージが破棄される。第2に、後に車両状態更新ルール情報174を用いて説明するように、縮退モードでは特定のCAN_IDのデータサイズが制限され、制限されたサイズを超えるメッセージは破棄される。なお通常モードでも特定のCAN_IDのデータサイズが制限されるが、縮退モードよりもその制限は緩やかである。第3に、縮退モードでは情報処理装置1の動作ログが対策導出装置に逐次送信される。なお動作モードが通常モードと縮退モードのいずれかであるかを示す情報は、情報処理装置1が備える不揮発性メモリ、たとえば暫定対処関連情報記憶部17に記憶され、情報処理装置1への電源供給が停止されても保持される。   The provisional countermeasure control unit 14 restricts the function of the vehicle when the abnormality detection unit 12 detects a communication abnormality, and releases the function restriction of the vehicle when the countermeasure for the abnormality is implemented. In the following, a state in which the vehicle function is restricted is also referred to as “degeneration mode”, and a state in which the vehicle function is not restricted is also referred to as “normal mode”. The difference between the normal mode and the degenerate mode in the present embodiment is the following three points. That is, first, as will be described later using the function restriction rule information 173, in the degenerate mode, a specific CAN_ID flowing through the communication bus to which the device in which the abnormality is detected belongs among the plurality of communication buses constituting the communication bus 2. Messages with are discarded. Second, as will be described later using the vehicle state update rule information 174, the data size of a specific CAN_ID is limited in the degeneration mode, and messages exceeding the limited size are discarded. Note that the data size of a specific CAN_ID is also restricted in the normal mode, but the restriction is more lenient than in the degenerate mode. Third, in the degenerate mode, the operation log of the information processing device 1 is sequentially transmitted to the countermeasure derivation device. Information indicating whether the operation mode is the normal mode or the degenerate mode is stored in a nonvolatile memory provided in the information processing apparatus 1, for example, the provisional countermeasure related information storage unit 17, and power supply to the information processing apparatus 1 is performed. Is retained even if is stopped.

HMI制御部15は、通信バス2または不図示のケーブルにより接続されるインタフェース装置への表示指令を出力し、ユーザの入力を受け付ける。すなわちHMI制御部15は、液晶ディスプレイなどの表示制御機能とタッチパネルやボタンなどへの入力受付機能とを備える。ただしこの入力受付機能は、ユーザの発話を処理してもよい。
車両状態更新部16は、通信部11が対策導出装置から受信する異常対策情報の正しさを検証し、必要であれば車両状態の更新を制御する。車両状態の更新とは、たとえばソフトウエアの更新である。 The HMI control unit 15 outputs a display command to the interface device connected by the communication bus 2 or a cable (not shown) and accepts a user input. In other words, the HMI control unit 15 includes a display control function such as a liquid crystal display and an input reception function for a touch panel, buttons, and the like. However, this input reception function may process a user's utterance.
The vehicle state update unit 16 verifies the correctness of the abnormality countermeasure information received by the communication unit 11 from the countermeasure derivation device, and controls the update of the vehicle state if necessary. The vehicle state update is, for example, software update.

暫定対処関連情報記憶部17には、異常検知に関連するログであるログ情報171、検知した異常の重要度を判定するためのルールが定義された異常度判定ルール情報172、暫定対処制御部14によって実行される暫定対処の内容が定義された機能制約ルール情報173、外部から受信するデータサイズに関するルールが定義された車両状態更新ルール情報174、および不図示の縮退モードにおける情報処理装置1の動作ログが記憶される。   The provisional countermeasure related information storage unit 17 includes log information 171 that is a log related to abnormality detection, abnormality degree determination rule information 172 in which rules for determining the importance of detected abnormality are defined, and provisional countermeasure control unit 14 Function restriction rule information 173 in which the contents of provisional countermeasures to be executed are defined, vehicle state update rule information 174 in which rules regarding the data size received from the outside are defined, and the operation of the information processing apparatus 1 in the degeneration mode (not shown) Log is stored.

(ログ情報)
図2は、ログ情報171の一例を示す図である。ログ情報171はたとえば図2に示すようにテーブル形式で記録されており、複数のログがそれぞれのレコードとして格納される。各レコードは複数のフィールド、すなわち、ログID1711、異常発生元1712、異常コード1713、および時刻1714から構成される。ただし本実施の形態では、各フィールドに格納された値をフィールドの名称でも呼ぶ。たとえば「異常コード1713に格納された値」を「異常コード1713」とも呼ぶ。 (Log information)
FIG. 2 is a diagram illustrating an example of the log information 171. Log information 171 is recorded in a table format as shown in FIG. 2, for example, and a plurality of logs are stored as respective records. Each record includes a plurality of fields, that is, a log ID 1711, an abnormality occurrence source 1712, an abnormality code 1713, and a time 1714. However, in the present embodiment, the value stored in each field is also called the field name. For example, “value stored in the abnormal code 1713” is also referred to as “abnormal code 1713”.

ログID1711には、ログ情報を識別するためのIDが格納される。異常発生元1712には、異常を検知した装置或いは通信ポートなどの異常が検知された箇所に関する情報が格納される。異常コード1713には、異常検知部12により検知された異常の種類を示すコードが格納される。異常の種類はたとえば、DoS攻撃、不正なCAN IDを用いたメッセージの受信、異なる周期で送信されたメッセージの受信、その他、などに分類される。なお異常コード1713に異常の種類を示すコードを格納する代わりに、異常内容そのものを格納してもよい。時刻1714には、異常検知部12が異常を検知した時刻の情報が格納される。時刻1714に格納される時刻は、たとえば異常が検知されたそれぞれの時間でもよいし、同一の異常が検知された最初の時間と最後の時間でもよい。   The log ID 1711 stores an ID for identifying log information. The abnormality occurrence source 1712 stores information regarding a location where an abnormality is detected, such as a device or a communication port that has detected the abnormality. The abnormality code 1713 stores a code indicating the type of abnormality detected by the abnormality detection unit 12. The type of abnormality is classified into, for example, a DoS attack, reception of a message using an illegal CAN ID, reception of a message transmitted at a different period, and the like. Instead of storing a code indicating the type of abnormality in the abnormality code 1713, the abnormality content itself may be stored. At time 1714, information on the time at which the abnormality detection unit 12 detected an abnormality is stored. The time stored in the time 1714 may be, for example, each time when an abnormality is detected, or may be the first time and the last time when the same abnormality is detected.

(異常度判定ルール情報)
図3は、異常度判定ルール情報172の一例を示す図である。異常度判定ルール情報172はたとえば図3に示すようにテーブル形式で記録されており、複数のフィールドとレコードから構成される。異常度判定ルール情報172は、異常コード1721、異常内容1722、および異常度1723のフィールドから構成される。
異常コード1721には、異常内容を識別するためのコードが格納される。なお、この異常コード1721に格納される値と、異常度判定ルール情報172の異常コード1713に格納される値は同一の意味を有する。異常内容1722には、通信に関する異常として予め設定された攻撃内容などが格納される。異常度1723には、異常内容1722の深刻さに応じて予め設定される値が格納される。 (Abnormality level judgment rule information)
FIG. 3 is a diagram showing an example of the abnormality degree determination rule information 172. As shown in FIG. The abnormality degree determination rule information 172 is recorded in a table format as shown in FIG. 3, for example, and is composed of a plurality of fields and records. The abnormality degree determination rule information 172 includes fields of an abnormality code 1721, an abnormality content 1722, and an abnormality degree 1723.
The abnormality code 1721 stores a code for identifying the abnormality content. The value stored in the abnormality code 1721 and the value stored in the abnormality code 1713 of the abnormality degree determination rule information 172 have the same meaning. The abnormality content 1722 stores attack details set in advance as communication-related abnormalities. The abnormality level 1723 stores a value set in advance according to the seriousness of the abnormality content 1722.

(機能制約ルール情報)
図4は、機能制約ルール情報173の一例を示す図である。機能制約ルール情報173はたとえば図4に示すようにテーブル形式で記録されており、複数のフィールドとレコードから構成される。機能制約ルール情報173は、通信ポート1731、対象CAN_ID1732、および通信制約1733のフィールドから構成される。
受信ポート1731には、情報処理装置1に接続された通信バス2ごとに定められたポート番号が格納される。たとえば、情報処理装置1に3本の通信バスが接続されている場合、それぞれの通信バスとの接続ポートを、port1、port2、port3として識別する。対象CAN_ID1732は受信ポート1731を介して通信されるCANメッセージのうち、機能制約を課す対象となるCANメッセージに付与されるCAN_IDの集合を示す。あるCAN_IDが機能制約を課す対象となるか否かは、情報処理装置1の工場出荷時にあらかじめ設定されている。ただし情報処理装置1の工場出荷後に機能制約ルール情報173が書き換えられてもよい。通信制約1733は、対象CAN_ID1732で定義されたCAN_IDが付与されたCANメッセージに対する通信制約の実施状況、すなわち通信の制約が「制約実施中」であるか「解除中」であるかを示す。 (Function restriction rule information)
FIG. 4 is a diagram illustrating an example of the function restriction rule information 173. As illustrated in FIG. The function restriction rule information 173 is recorded in a table format as shown in FIG. 4, for example, and includes a plurality of fields and records. The function restriction rule information 173 includes fields of a communication port 1731, a target CAN_ID 1732, and a communication restriction 1733.
The reception port 1731 stores a port number determined for each communication bus 2 connected to the information processing apparatus 1. For example, when three communication buses are connected to the information processing apparatus 1, the connection ports with the respective communication buses are identified as port1, port2, and port3. The target CAN_ID 1732 indicates a set of CAN_IDs given to the CAN message that is a target to which a function restriction is imposed among CAN messages communicated via the reception port 1731. Whether or not a certain CAN_ID is subject to function restrictions is set in advance when the information processing apparatus 1 is shipped from the factory. However, the function restriction rule information 173 may be rewritten after the information processing apparatus 1 is shipped from the factory. The communication constraint 1733 indicates the implementation status of the communication constraint for the CAN message to which the CAN_ID defined by the target CAN_ID 1732 is assigned, that is, whether the communication constraint is “constraining in progress” or “removing”.

(車両状態更新ルール情報)
図5は、車両状態更新ルール情報174の一例を示す図である。車両状態更新ルール情報174はたとえば図5に示すようにテーブル形式で記録されており、複数のフィールドとレコードから構成される。車両状態更新ルール情報174は、対象CAN_ID1741、車両状態1742、および合計データサイズ閾値1743のフィールドから構成される。 (Vehicle state update rule information)
FIG. 5 is a diagram illustrating an example of the vehicle state update rule information 174. The vehicle state update rule information 174 is recorded in a table format as shown in FIG. 5, for example, and includes a plurality of fields and records. The vehicle state update rule information 174 includes fields of a target CAN_ID 1741, a vehicle state 1742, and a total data size threshold 1743.

対象CAN_ID1741には、当該レコードに記載されたルールを適用する対象となるCAN_IDが格納される。車両状態1742には、当該レコードに記載されたルールを適用する対象となる車両の状態、すなわち通常モードまたは縮退運転モードが格納される。合計データサイズ閾値1743には、情報処理装置1が受け入れ可能な受信メッセージのデータサイズの上限値が格納される。
なお、暫定対処関連情報記憶部17のログ情報171、異常度判定ルール情報172、機能制約ルール情報173、および車両状態更新ルール情報174に格納される情報は、図2〜図5に示したようなテーブル形式以外の情報であってもよい。すなわち、図2〜図5に示す情報と同様の情報を格納できればよく、格納する形式は問わない。 The target CAN_ID 1741 stores a CAN_ID that is a target to which the rule described in the record is applied. The vehicle state 1742 stores the state of the vehicle to which the rule described in the record is applied, that is, the normal mode or the degenerate operation mode. The total data size threshold value 1743 stores an upper limit value of the data size of the received message that can be accepted by the information processing apparatus 1.
The information stored in the log information 171, the abnormality degree determination rule information 172, the function constraint rule information 173, and the vehicle state update rule information 174 in the provisional countermeasure related information storage unit 17 is as shown in FIGS. 2 to 5. Information other than a table format may be used. That is, it is sufficient if information similar to the information shown in FIGS. 2 to 5 can be stored, and the storage format is not limited.

(縮退モードへ移行するフローチャート)
図6は、情報処理装置1が異常を検知した際の処理を示すフローチャートである。以下に説明する各ステップの実行主体は、情報処理装置1の不図示のCPUである。
ステップS21では、異常検知部12は予め決められたルールに基づいて通信に関する異常を検知する。そして異常検知部12は、異常度判定ルール情報172を参照して検知した異常内容に対応する異常コードを特定し、この異常コードを含むログをログ情報171に格納する。 (Flow chart for shifting to the degeneration mode)
FIG. 6 is a flowchart illustrating processing when the information processing apparatus 1 detects an abnormality. The execution subject of each step described below is a CPU (not shown) of the information processing apparatus 1.
In step S21, the abnormality detection unit 12 detects an abnormality related to communication based on a predetermined rule. Then, the abnormality detection unit 12 specifies an abnormality code corresponding to the abnormality content detected with reference to the abnormality degree determination rule information 172, and stores a log including the abnormality code in the log information 171.

続くステップS22では、異常度判定部13はステップS21において検知した異常と、異常度判定ルール情報172とに基づいて、検出した異常の異常値を特定する。たとえば異常度判定部13は、所定時間内に検知された異常のそれぞれの異常値の和を本ステップS22における異常値としてもよいし、検知された最新の異常に対応する異常値のみを本ステップS22における異常値としてもよい。さらに異常度判定部13は、異常度判定ルール情報172を参照することなく、異常の度合いを評価する式を用いて異常値を算出してもよい。   In subsequent step S <b> 22, the abnormality degree determination unit 13 identifies an abnormality value of the detected abnormality based on the abnormality detected in step S <b> 21 and the abnormality degree determination rule information 172. For example, the abnormality level determination unit 13 may use the sum of the abnormal values of the abnormalities detected within a predetermined time as the abnormal value in the present step S22, or only the abnormal value corresponding to the latest abnormalities detected in this step. It is good also as an abnormal value in S22. Further, the abnormality degree determination unit 13 may calculate an abnormality value using an expression for evaluating the degree of abnormality without referring to the abnormality degree determination rule information 172.

続くステップS23では、異常度判定部13はステップS22で算出した異常値が予め定められた閾値を超過するか否かを判断する。算出した異常値が閾値を超過すると判断する場合はステップS24に進み、算出した異常値が閾値を超過しないと判断する場合は図6に示すフローチャートを終了する。
ステップS24では、暫定対処制御部14が検出された異常の緊急性が高いか否かを判断する。緊急性の高さは、ステップS22で算出した異常値の大きさに基づき判断してもよいし、検知された異常の種類に基づき判断してもよい。暫定対処制御部14は、緊急性が高いと判断する場合はステップS25に進み、緊急性が低いと判断する場合はステップS27に進む。 In subsequent step S23, the abnormality degree determination unit 13 determines whether or not the abnormal value calculated in step S22 exceeds a predetermined threshold value. When it is determined that the calculated abnormal value exceeds the threshold value, the process proceeds to step S24, and when it is determined that the calculated abnormal value does not exceed the threshold value, the flowchart illustrated in FIG.
In step S24, the provisional countermeasure control unit 14 determines whether or not the detected abnormality is highly urgent. The level of urgency may be determined based on the magnitude of the abnormal value calculated in step S22, or may be determined based on the type of detected abnormality. The provisional countermeasure control unit 14 proceeds to step S25 when determining that the urgency is high, and proceeds to step S27 when determining that the urgency is low.

ステップS25では、暫定対処制御部14はステップS21で格納したログ情報171と機能制約ルール情報173に基づいて暫定対処を実行、すなわち縮退モードへ移行する。たとえば、暫定対処制御部14は、ログ情報171における異常発生元1712に基づいて、異常発生元1712となる装置が接続された通信バスに該当する受信ポート1731を特定し、該当する対象CAN_ID1732が付与されたCANメッセージの通信を破棄し、機能制約ルール情報173の通信制約1733を「制約実施中」に更新する。   In step S25, the provisional countermeasure control unit 14 executes provisional countermeasures based on the log information 171 and the function restriction rule information 173 stored in step S21, that is, shifts to the degeneration mode. For example, the provisional countermeasure control unit 14 specifies the reception port 1731 corresponding to the communication bus to which the device that becomes the abnormality occurrence source 1712 is connected based on the abnormality occurrence source 1712 in the log information 171, and the corresponding target CAN_ID 1732 is given. The communication of the received CAN message is discarded, and the communication restriction 1733 of the function restriction rule information 173 is updated to “constraining in progress”.

ステップS26では、暫定対処制御部14はログ情報171に格納されたログ情報171を取得し、通信部11を用いて対策導出装置に送信する。ここでは、一度に全てのログ情報171を送信してもよいし、先にログ情報171の一部のみを送信しエンジン停止時などのあるタイミングにおいて残りのログ情報171を送信してもよい。   In step S <b> 26, the provisional countermeasure control unit 14 acquires the log information 171 stored in the log information 171 and transmits it to the countermeasure derivation device using the communication unit 11. Here, all the log information 171 may be transmitted at once, or only a part of the log information 171 may be transmitted first, and the remaining log information 171 may be transmitted at a certain timing such as when the engine is stopped.

ステップS24において否定判定されると実行されるステップS27では、暫定対処制御部14は縮退モードへの移行の承認伺いを表示させてユーザの判断を待つ。この表示は、暫定対処制御部14がHMI制御部15に表示制御機能を実行させることにより実現される。続くステップS28では暫定対処制御部14は、ユーザによる承認が得られたか否かを判断する。この判断は、HMI制御部15に入力受付機能を実行させることにより実現される。暫定対処制御部14は、承認が得られたと判断する場合はステップS25に進み、承認が得られなかったと判断する場合は図6に示すフローチャートを終了する。
以上のステップにより、情報処理装置1は、通信に関する異常を検知するとともに、その異常の重要度に応じて暫定対処処理の実行要否を判断する。 In step S27, which is executed when a negative determination is made in step S24, the provisional countermeasure control unit 14 displays an approval request for transition to the degeneration mode and waits for the user's determination. This display is realized by the provisional countermeasure control unit 14 causing the HMI control unit 15 to execute the display control function. In subsequent step S28, the provisional countermeasure control unit 14 determines whether or not approval by the user has been obtained. This determination is realized by causing the HMI control unit 15 to execute the input reception function. When it is determined that the approval has been obtained, the provisional countermeasure control unit 14 proceeds to step S25, and when it is determined that the approval has not been obtained, the flowchart shown in FIG.
Through the above steps, the information processing apparatus 1 detects an abnormality related to communication and determines whether or not provisional countermeasure processing is necessary according to the importance of the abnormality.

(異常対策情報の受信時のフローチャート)
図7は、情報処理装置1が、異常検知部12により検知された異常への対策に関する情報、すなわち異常対策情報を対策導出装置から受信した場合の処理を示すフローチャートである。なお受信したメッセージに含まれる情報が異常対策情報であるか否かは、たとえば受信したメッセージに含まれるデータのヘッダ部や受信したメッセージのCAN_IDから判断する。なお本フローチャートにより示される処理は、縮退モードだけでなく通常モードでも実行される。 (Flowchart when receiving error countermeasure information)
FIG. 7 is a flowchart showing a process when the information processing apparatus 1 receives information related to a countermeasure for an abnormality detected by the abnormality detection unit 12, that is, abnormality countermeasure information from the countermeasure derivation apparatus. Whether or not the information included in the received message is abnormality countermeasure information is determined from, for example, the header portion of the data included in the received message or the CAN_ID of the received message. Note that the processing shown by this flowchart is executed not only in the degenerate mode but also in the normal mode.

ステップS31では、車両状態更新部16は、外部から受信したメッセージを検証する。この検証はたとえば、メッセージが改竄されていないことと、データサイズが規定内であることの両方を検証する。改竄されていないことは、たとえば送信側の装置と事前に共有した秘密鍵を用いて算出されるメッセージ認証コードを生成することにより検証する。またデータサイズが規定内であることは、車両状態更新ルール情報174および現在のモードに基づき検証される。
ステップS32では、ステップS31における検証結果を判断する。検証結果が問題ない、すなわち改竄がされておらずかつデータサイズが規定内であると判断する場合はステップS33に進み、少なくともいずれかの条件が満たされないと判断する場合はステップS43に進む。 In step S31, the vehicle state update unit 16 verifies the message received from the outside. This verification, for example, verifies that the message has not been tampered with and that the data size is within specification. It is verified that the message has not been tampered with, for example, by generating a message authentication code calculated using a secret key shared in advance with the transmitting apparatus. Further, it is verified that the data size is within the regulation based on the vehicle state update rule information 174 and the current mode.
In step S32, the verification result in step S31 is determined. If it is determined that there is no problem in the verification result, that is, it has not been falsified and the data size is within the specified range, the process proceeds to step S33, and if it is determined that at least one of the conditions is not satisfied, the process proceeds to step S43.

ステップS33では、車両状態更新部16は、異常対策情報を参照してソフトウエアの更新が必要か否かを判断する。更新が必要と判断する場合はステップS34に進み、更新が不要と判断する場合はステップS41に進む。更新が不要な場合とは、異常対策が機器の交換のみの場合である。
ステップS34では、車両状態更新部16は受信した異常対策情報に基づいて、車両状態を更新する。たとえば、車両状態の更新として、設定情報を更新してもよいし、ファームウェアをアップデートしてもよい。 In step S33, the vehicle state update unit 16 refers to the abnormality countermeasure information and determines whether or not software update is necessary. If it is determined that updating is necessary, the process proceeds to step S34. If it is determined that updating is not necessary, the process proceeds to step S41. The case where the update is unnecessary is a case where the abnormality countermeasure is only the replacement of the device.
In step S34, the vehicle state update unit 16 updates the vehicle state based on the received abnormality countermeasure information. For example, as the vehicle state update, the setting information may be updated or the firmware may be updated.

続くステップS35では、暫定対処制御部14はステップS34において車両状態が更新されたことを確認する。続くステップS36では、暫定対処制御部14は車両状態が正常に更新されたか否かを判断し、正常に更新されたと判断する場合はステップS37に進み、正常に更新されていないと判断する場合はステップS39に進む。
ステップS37では、暫定対処制御部14は現在のモードが縮退モードであるか否かを判断する。暫定対処制御部14は、縮退モードであると判断する場合は縮退モードを解除して通常モードに遷移して(S38)、本フローチャートを終了する。暫定対処制御部14は、縮退モードではないと判断すると本フローチャートを終了する。
ステップS36において否定判定されると実行されるステップS39では、暫定対処制御部14はロールバック、すなわち車両状態を更新前の状態に戻す処理を行う。続くステップS40では暫定対処制御部14は、更新が正常に行われていない旨のエラーメッセージをHMI制御部15を用いて出力させて本フローチャートを終了する。 In subsequent step S35, the provisional countermeasure control unit 14 confirms that the vehicle state has been updated in step S34. In subsequent step S36, the provisional countermeasure control unit 14 determines whether or not the vehicle state has been normally updated. When determining that the vehicle state has been updated normally, the process proceeds to step S37, and when determining that the vehicle state has not been normally updated. Proceed to step S39.
In step S37, the provisional countermeasure control unit 14 determines whether or not the current mode is the degeneration mode. When determining that the mode is the degeneration mode, the provisional countermeasure control unit 14 cancels the degeneration mode and shifts to the normal mode (S38), and ends this flowchart. If the provisional countermeasure control unit 14 determines that the mode is not the degeneration mode, the process ends.
In step S39, which is executed when a negative determination is made in step S36, the provisional countermeasure control unit 14 performs a rollback, that is, a process for returning the vehicle state to the state before the update. In subsequent step S40, the provisional countermeasure control unit 14 causes the HMI control unit 15 to output an error message indicating that the update has not been normally performed, and ends this flowchart.

ステップS33において否定判定されると実行されるステップS41では、暫定対処制御部14は車両状態を確認する。本ステップではたとえば、異常対策情報に記載されているとおりにオペレータにより車両内の装置が交換されたことを確認する。続くステップS42では、異常対策情報に記載されたとおりに装置が交換されているか否かを判断し、交換されていると判断する場合はステップS37に進み、交換されていないと判断する場合はステップS40に進む。
ステップS43では、車両状態更新部16は外部から受信したメッセージを破棄し、本フローチャートを終了する。 In step S41, which is executed when a negative determination is made in step S33, the provisional countermeasure control unit 14 confirms the vehicle state. In this step, for example, it is confirmed that the device in the vehicle has been replaced by the operator as described in the abnormality countermeasure information. In the subsequent step S42, it is determined whether or not the device has been replaced as described in the abnormality countermeasure information. If it is determined that the device has been replaced, the process proceeds to step S37. Proceed to S40.
In step S43, the vehicle state update unit 16 discards the message received from the outside, and ends this flowchart.

(画面表示)
HMI制御部15による画面表示の例を説明する。
図8は、図6および図7に示した処理に連動してHMI制御部15が表示させる画面表示の一例を示す図である。なお、HMI制御部15が表示制御を実行する対象であるディスプレイは情報処理装置1に備えられていてもよいし、カーナビゲーションやその他の車内の装置に備えられてもよい。
HMI制御部15は、異常が発生していないことを示す正常画面601、暫定対処に移行することへの承認伺いを示す承認伺い画面602、暫定対処中であることを示す暫定対処中画面603、暫定対処を解除することを示す復旧通知画面604を表示させる。承認伺い画面602には、承認を受け付けるインタフェースとして承認ボタン6021が表示される。
HMI制御部15は、通常モードでは正常画面601を表示させ、図6のステップ27において正常画面601から承認伺い画面602に画面遷移させ、図6のステップS25において暫定対処中画面603を表示させる。またHMI制御部15は、図7のステップS38において暫定対処中画面603から復旧通知画面604に画面遷移させ、所定時間後に復旧通知画面604から正常画面601に画面遷移させる。 (Screen display)
An example of screen display by the HMI control unit 15 will be described.
FIG. 8 is a diagram illustrating an example of a screen display displayed by the HMI control unit 15 in conjunction with the processing illustrated in FIGS. 6 and 7. Note that a display that is a target for which the HMI control unit 15 executes display control may be provided in the information processing apparatus 1 or may be provided in a car navigation system or other in-vehicle apparatus.
The HMI control unit 15 includes a normal screen 601 indicating that no abnormality has occurred, an approval inquiry screen 602 indicating an approval request for transition to provisional countermeasures, a provisional countermeasure in progress screen 603 indicating that provisional countermeasures are being performed, A recovery notification screen 604 indicating that the provisional countermeasure is canceled is displayed. On the approval inquiry screen 602, an approval button 6021 is displayed as an interface for accepting approval.
The HMI control unit 15 displays the normal screen 601 in the normal mode, transitions the screen from the normal screen 601 to the approval inquiry screen 602 in step 27 of FIG. 6, and displays the provisional coping screen 603 in step S25 of FIG. Further, in step S38 of FIG. 7, the HMI control unit 15 causes the transition from the provisional ongoing screen 603 to the recovery notification screen 604, and after a predetermined time, causes the screen to transition from the recovery notification screen 604 to the normal screen 601.

以上説明した第1の実施の形態によれば、情報処理装置1は異常を検知し、その異常の評価値が閾値を超過すると、暫定的な対処、すなわち縮退モードへの移行を実行する。そして情報処理装置1は、外部から受信した異常対策情報を検証し、必要であればソフトウエアを更新し、対策が完了したと判断すると縮退モードを解除する。これにより、異常を検知した後も、車両の走行制御を安全な状態に維持しつつ、情報処理装置1の外部でのより詳細な分析及びそれに基づく対策を実行することを可能とする。   According to the first embodiment described above, the information processing apparatus 1 detects an abnormality, and when the evaluation value of the abnormality exceeds a threshold value, performs a provisional countermeasure, that is, a transition to the degeneration mode. The information processing apparatus 1 verifies the abnormality countermeasure information received from the outside, updates the software if necessary, and cancels the degeneration mode when it is determined that the countermeasure is completed. Thereby, it is possible to execute more detailed analysis outside the information processing apparatus 1 and countermeasures based on it while maintaining the vehicle travel control in a safe state even after detecting an abnormality.

上述した第1の実施の形態によれば、次の作用効果が得られる。
(1)情報処理装置1は車両に搭載される。情報処理装置1は、ログが記憶される暫定対処関連情報記憶部17と、通信に関する異常を検知し、異常の検知に係るログを暫定対処関連情報記憶部17に記憶させる異常検知部12と、異常検知部12が異常を検知すると、車両の機能を制限する暫定対処制御部14とを備える。
そのため情報処理装置1は、通信の異常が検出された際に迅速に暫定的な対処ができる。これはたとえば、ある異常の発生は外部からの攻撃によるものであり、第2、第3の攻撃が続けて到来することを想定して、攻撃の詳細な分析に基づく的確な対策が明らかになっていない段階で、暫定的に迅速に対応するものである。 According to the first embodiment described above, the following operational effects are obtained.
(1) The information processing apparatus 1 is mounted on a vehicle. The information processing apparatus 1 includes a provisional countermeasure related information storage unit 17 in which a log is stored, an abnormality detection unit 12 that detects an abnormality related to communication, and stores a log related to the detection of the abnormality in the provisional countermeasure related information storage unit 17; When the abnormality detection unit 12 detects an abnormality, the provisional countermeasure control unit 14 that restricts the function of the vehicle is provided.
Therefore, the information processing apparatus 1 can quickly take a provisional measure when a communication abnormality is detected. This is because, for example, the occurrence of a certain abnormality is due to an attack from the outside, and an accurate countermeasure based on a detailed analysis of the attack is clarified assuming that the second and third attacks come in succession. This is something that is tentatively and promptly addressed at a stage that is not.

(2)暫定対処関連情報記憶部17には、車両の機能が制限された状態におけるログが含まれる。
そのため、異常が検出された後の様々な情報がログとして記録されるので、異常検出時のログのみを記録する場合に比べて、多くの情報をもとにこの異常への対策を検討することができる。 (2) The provisional countermeasure related information storage unit 17 includes a log in a state where the functions of the vehicle are limited.
Therefore, since various information after an abnormality is detected is recorded as a log, consider countermeasures against this abnormality based on much information compared to recording only the log at the time of abnormality detection. Can do.

(3)暫定対処制御部14は、異常に対する対策が実施されると制限を解除する。
そのため、車両状態更新部16によるプログラムの更新やオペレータによる部品の交換がなされると縮退モードを解除し、従来どおりの機能を発揮させることができる。 (3) The provisional countermeasure control unit 14 releases the restriction when countermeasures for the abnormality are implemented.
Therefore, when the program update by the vehicle state update unit 16 or the replacement of parts by the operator is performed, the degeneration mode can be canceled and the conventional function can be exhibited.

(4)異常に対する対策はプログラムの更新であり、異常に対する対策は、暫定対処関連情報記憶部17に記憶されたログに基づいて情報処理装置1の外部で決定され、異常に対する対策の実行に必要な情報が情報処理装置1に入力される。
そのため、設置スペースや消費電力に制限のある情報処理装置1ではなく、制限が緩やかで潤沢なリソースを有する車両外部のサーバや、演算に特化した車両内の他の装置を利用できるので、プログラムの更新に必要な情報、たとえばパッチの作成を迅速に行える。また情報処理装置1はプログラムの更新に必要な情報の作成に関与しないので、プログラムの更新に必要な情報を作成している最中でも情報処理に専念できる。 (4) The countermeasure against the abnormality is a program update, and the countermeasure against the abnormality is determined outside the information processing apparatus 1 based on the log stored in the provisional countermeasure related information storage unit 17 and is necessary for executing the countermeasure against the abnormality. Information is input to the information processing apparatus 1.
Therefore, it is possible to use not the information processing apparatus 1 with limited installation space and power consumption, but a server outside the vehicle that has abundant and limited resources, and other apparatuses in the vehicle specialized for computation. It is possible to quickly create information necessary for updating the information, for example, a patch. Further, since the information processing apparatus 1 is not involved in creating information necessary for program update, it can concentrate on information processing even while creating information necessary for program update.

(5)情報処理装置1は、画面情報を生成する表示制御部、すなわちHMI制御部15を備える。HMI制御部15は、暫定対処制御部14が車両の機能を制限している場合に、図8の画面603に示すように、暫定的な対処を行っていることを示す画面情報を生成する。そのため車両に乗車しているユーザは、車両の機能が制限されている状態にあることを認識することができる。 (5) The information processing apparatus 1 includes a display control unit that generates screen information, that is, an HMI control unit 15. When the provisional countermeasure control unit 14 restricts the function of the vehicle, the HMI control unit 15 generates screen information indicating that provisional countermeasures are being performed as illustrated in a screen 603 of FIG. Therefore, a user who is on the vehicle can recognize that the function of the vehicle is limited.

(変形例1)
上述した第1の実施の形態では、縮退モードにおいて暫定対処制御部14は、図4に示した機能制約ルール情報173に基づき、通信ポートとCAN_IDにより特定されるメッセージを破棄した。しかし、機能安全の観点で装置やサブシステム単位に割り当てられる安全性要求レベルの値などに応じて、制約を課す対象CAN_IDを選定してもよい。なお安全性要求レベルとは、ASIL(Automotive Safety Integrity Level)とも呼ばれ、安全性要求レベルの値とはたとえばQM、ASIL_A、ASIL_B、ASIL_C、ASIL_Dなどである。また、装置の種類(情報系サブシステム、安全系サブシステム、パワトレ系サブシステム)に応じて制約を課す対象CAN_IDが選定されてもよい。 (Modification 1)
In the first embodiment described above, in the degenerate mode, the provisional countermeasure control unit 14 discards the message specified by the communication port and CAN_ID based on the function restriction rule information 173 illustrated in FIG. However, the target CAN_ID that imposes restrictions may be selected according to the value of the safety requirement level assigned to the device or subsystem unit from the viewpoint of functional safety. The safety requirement level is also called ASIL (Automotive Safety Integrity Level), and the value of the safety requirement level is, for example, QM, ASIL_A, ASIL_B, ASIL_C, ASIL_D, or the like. Further, a target CAN_ID that imposes restrictions may be selected according to the type of device (information subsystem, safety subsystem, powertrain subsystem).

(変形例2)
暫定対処制御部14は、異常検知部12が検知した異常の深刻さに応じて複数の縮退モードを切り替え可能に構成してもよい。複数の縮退モードは、機能の制限の度合いが異なり、異常が深刻であるほど機能の制限が厳しい。異常の深刻さはたとえば異常度判定ルール情報172に基づく異常度により評価され、たとえば機能制限が最も厳しい場合は機能安全にかかわる通信以外は一切の通信が遮断される。
この変形例2によれば、第1の実施の形態の作用効果に加えて以下の作用効果が得られる。
(6)暫定対処制御部14は、異常検知部12が検知した異常の深刻さに応じて車両の機能を制限する。そのため異常の深刻さに応じた暫定的な対処ができる。たとえば外部からの攻撃が継続して発生している場合に、異常の深刻さを所定時間あたりの異常度1723の累積値とすれば、時間の経過とともに車両の機能制限が厳密になり、攻撃を受けた当初の制限は緩やかにしつつ、長期的には攻撃の影響を受ける可能性を低減できる。 (Modification 2)
The provisional countermeasure control unit 14 may be configured to be able to switch between a plurality of degeneration modes according to the seriousness of the abnormality detected by the abnormality detection unit 12. The plurality of degeneration modes have different degrees of function restriction, and the more serious the abnormality, the more severe the function restriction. The severity of the abnormality is evaluated based on, for example, the degree of abnormality based on the abnormality degree determination rule information 172. For example, when the function restriction is the strictest, all communication other than communication related to functional safety is blocked.
According to the second modification, in addition to the operational effects of the first embodiment, the following operational effects are obtained.
(6) The provisional countermeasure control unit 14 restricts the function of the vehicle according to the seriousness of the abnormality detected by the abnormality detection unit 12. Therefore, provisional measures can be taken according to the seriousness of the abnormality. For example, if attacks from outside continue, if the severity of the abnormality is the accumulated value of the degree of abnormality 1723 per predetermined time, the vehicle function limit becomes stricter as time passes, In the long run, the possibility of being affected by an attack can be reduced while relaxing the initial restrictions.

(変形例3)
情報処理装置1が搭載される車両は、車両を制御する主体が異なる手動運転モードと自動運転モードを備えてもよい。この場合、自動運転モードは縮退モードでは無効化される。すなわち縮退モードでは自動運転機能が無効化されることにより、自動運転モードが手動運転モードに切り替えられる。
さらに自動運転モードから手動運転モードへの切り替えは、運転席に着席しているユーザが運転の準備ができていることを条件としてもよい。たとえば車両に備えられるカメラにより、ユーザが運転可能な状態であることを認識することや、ブレーキに足が置かれていることを認識することを条件として自動運転モードから手動運転モードへの切り替えを行う。 (Modification 3)
The vehicle on which the information processing apparatus 1 is mounted may include a manual operation mode and an automatic operation mode that are different in subject that controls the vehicle. In this case, the automatic operation mode is invalidated in the degeneration mode. That is, in the degenerate mode, the automatic operation function is invalidated, so that the automatic operation mode is switched to the manual operation mode.
Furthermore, the switching from the automatic operation mode to the manual operation mode may be made on condition that the user seated in the driver's seat is ready for driving. For example, it is possible to switch from the automatic operation mode to the manual operation mode on the condition that the user can recognize that the user is in a drivable state or that the foot is placed on the brake by a camera provided in the vehicle. Do.

この変形例3によれば、第1の実施の形態の作用効果に加えて以下の作用効果が得られる。
(7)機能の制限とは、自動運転モードから手動運転モードの切り替えである。
そのため、攻撃の影響を受けやすい自動運転モードを無効にすることで安全性を向上させることができる。 According to the third modified example, the following operational effects can be obtained in addition to the operational effects of the first embodiment.
(7) The function restriction is switching from the automatic operation mode to the manual operation mode.
Therefore, safety can be improved by disabling the automatic operation mode that is susceptible to attack.

(変形例4)
情報処理装置1が異常を検知した際の処理において、承認伺いを表示し、ユーザから承認されない場合は、再度承認伺いを表示してもよい。換言すると、図6のステップS28において否定判断される場合に、ステップS27に戻ってもよい。 (Modification 4)
In the process when the information processing apparatus 1 detects an abnormality, an approval request may be displayed, and if the user does not approve, an approval request may be displayed again. In other words, when a negative determination is made in step S28 of FIG. 6, the process may return to step S27.

(変形例5)
上述した第1の実施の形態では、情報処理装置1は物理的に複数の通信バスと接続された。しかし情報処理装置1は1つの通信バスのみと接続されてもよい。 (Modification 5)
In the first embodiment described above, the information processing apparatus 1 is physically connected to a plurality of communication buses. However, the information processing apparatus 1 may be connected to only one communication bus.

(変形例6)
上述した第1の実施の形態では、緊急性の高さにより承認伺いを行うか否かを判断していた。しかし、緊急性の高さを判断せず常に承認伺いを行うことなく縮退モードへ移行してもよいし、常に承認伺いを行ってから縮退モードへ移行してもよい。 (Modification 6)
In the first embodiment described above, it has been determined whether or not to make an approval visit based on the level of urgency. However, it may be possible to shift to the degenerate mode without always judging the degree of urgency and without always asking for approval, or may be shifted to the degenerate mode after always asking for approval.

(変形例7)
上述した第1の実施の形態では、機能制約ルール情報173は通信部11が備える物理ポートである通信ポートごとに通信の制約が設定された。しかし機能制約ルール情報173において、論理ポートごとに通信の制約が設定されてもよい。 (Modification 7)
In the first embodiment described above, in the function restriction rule information 173, communication restrictions are set for each communication port that is a physical port included in the communication unit 11. However, in the function restriction rule information 173, communication restrictions may be set for each logical port.

−第2の実施の形態−
図9を参照して情報処理装置の第2の実施の形態を説明する。以下の説明では、第1の実施の形態と同じ構成要素には同じ符号を付して相違点を主に説明する。特に説明しない点については、第1の実施の形態と同じである。本実施の形態では、主に、第1の実施の形態における情報処理装置が有する機能を複数の装置が分担して備える点で、第1の実施の形態と異なる。 -Second Embodiment-
A second embodiment of the information processing apparatus will be described with reference to FIG. In the following description, the same components as those in the first embodiment are denoted by the same reference numerals, and different points will be mainly described. Points that are not particularly described are the same as those in the first embodiment. This embodiment is different from the first embodiment in that a plurality of apparatuses share the functions of the information processing apparatus in the first embodiment.

(構成)
図9は、第2の実施の形態における第1情報処理装置1A、および第2情報処理装置1Bの機能構成を示す図である。なお、第1情報処理装置1A、および第2情報処理装置1Bにより情報処理システムSが構成される。
第1情報処理装置1Aは、不図示のCPU,不図示のROM,および不図示のRAMを備え、ROMに格納されたプログラムをCPUがRAMに展開して実行することにより以下の機能を実現する。すなわち第1情報処理装置1Aはその機能として、異常検知部12、および異常度判定部13を備える。また第1情報処理装置1Aは、通信インタフェースおよび通信に必要な演算を行う第1通信部11A、および不揮発性の記憶装置である、第1暫定対処関連情報記憶部17Aを備える。第1暫定対処関連情報記憶部17Aには、ログ情報171、および異常度判定ルール情報172が格納される。 (Constitution)
FIG. 9 is a diagram illustrating a functional configuration of the first information processing device 1A and the second information processing device 1B according to the second embodiment. Note that the information processing system S is configured by the first information processing apparatus 1A and the second information processing apparatus 1B.
The first information processing apparatus 1A includes a CPU (not illustrated), a ROM (not illustrated), and a RAM (not illustrated), and the CPU stores the program stored in the ROM on the RAM and executes the program, thereby realizing the following functions. . That is, the first information processing apparatus 1A includes an abnormality detection unit 12 and an abnormality degree determination unit 13 as its functions. In addition, the first information processing apparatus 1A includes a communication interface and a first communication unit 11A that performs calculations necessary for communication, and a first provisional countermeasure related information storage unit 17A that is a nonvolatile storage device. Log information 171 and abnormality degree determination rule information 172 are stored in the first provisional countermeasure related information storage unit 17A.

第2情報処理装置1Bは、不図示のCPU,不図示のROM,および不図示のRAMを備え、ROMに格納されたプログラムをCPUがRAMに展開して実行することにより以下の機能を実現する。すなわち第2情報処理装置1Bはその機能として、暫定対処制御部14、HMI制御部15、および車両状態更新部16を備える。また第2情報処理装置1Bは、通信インタフェースおよび通信に必要な演算を行う第2通信部11B、および不揮発性の記憶装置である、第2暫定対処関連情報記憶部17Bを備える。第2暫定対処関連情報記憶部17Bには、機能制約ルール情報173、車両状態更新ルール情報174、および不図示の縮退モードにおける第1情報処理装置1Aの動作ログが記憶される。   The second information processing apparatus 1B includes a CPU (not shown), a ROM (not shown), and a RAM (not shown), and the CPU stores the program stored in the ROM on the RAM and executes the program to realize the following functions. . That is, the second information processing apparatus 1B includes the provisional countermeasure control unit 14, the HMI control unit 15, and the vehicle state update unit 16 as its functions. The second information processing apparatus 1B includes a communication interface and a second communication unit 11B that performs calculations necessary for communication, and a second provisional countermeasure related information storage unit 17B that is a nonvolatile storage device. The second provisional countermeasure related information storage unit 17B stores function restriction rule information 173, vehicle state update rule information 174, and an operation log of the first information processing apparatus 1A in a degeneration mode (not shown).

第1情報処理装置1A、および第2情報処理装置1Bが備える各機能は第1の実施の形態において情報処理装置1が備える機能と同様である。第1暫定対処関連情報記憶部17A、および第2暫定対処関連情報記憶部17Bに格納されるそれぞれの情報は、第1の実施の形態において暫定対処関連情報記憶部17に格納される情報と同様である。
第1情報処理装置1A、および第2情報処理装置1Bは、通信バス2を介して通信することにより、第1の実施の形態における情報処理装置1と同様の機能を発揮する。 Each function provided in the first information processing apparatus 1A and the second information processing apparatus 1B is the same as the function provided in the information processing apparatus 1 in the first embodiment. Each information stored in the first provisional countermeasure related information storage unit 17A and the second provisional countermeasure related information storage unit 17B is the same as the information stored in the provisional countermeasure related information storage unit 17 in the first embodiment. It is.
The first information processing apparatus 1A and the second information processing apparatus 1B perform the same functions as the information processing apparatus 1 in the first embodiment by communicating via the communication bus 2.

上述した第2の実施の形態によれば、次の作用効果が得られる。
(8)車両に搭載される複数の装置から構成される情報処理システムSであって、
ログが記憶される第2暫定対処関連情報記憶部17Bと、通信に関する異常を検知し、異常の検知に係るログを記憶部に記憶させる異常検知部12と、異常検知部が異常を検知すると、車両の機能を制限する暫定対処制御部14とを備える。
そのため、第1の実施の形態における情報処理装置1を、多様な構成により実現することができる。 According to the second embodiment described above, the following operational effects can be obtained.
(8) An information processing system S composed of a plurality of devices mounted on a vehicle,
When the second provisional countermeasure related information storage unit 17B in which the log is stored, the abnormality detection unit 12 that detects an abnormality related to communication and stores the log related to the detection of the abnormality in the storage unit, and the abnormality detection unit detects an abnormality, A provisional countermeasure control unit for limiting the function of the vehicle.
Therefore, the information processing apparatus 1 according to the first embodiment can be realized with various configurations.

(第2の実施の形態の変形例)
上述した第2の実施の形態では、第1の実施の形態において情報処理装置1が備えていた機能、および構成を2つの装置が分担して備えた。しかし分担する装置の数は2に限定されず、3以上であってもよい。たとえば、異常検知部12、異常度判定部13、暫定対処制御部14、HMI制御部15、および車両状態更新部16がそれぞれ別の装置に備えられてもよい。 (Modification of the second embodiment)
In the second embodiment described above, the two devices share the functions and configuration of the information processing apparatus 1 in the first embodiment. However, the number of devices to be shared is not limited to two and may be three or more. For example, the abnormality detection unit 12, the abnormality degree determination unit 13, the provisional countermeasure control unit 14, the HMI control unit 15, and the vehicle state update unit 16 may be provided in different devices.

上述した各実施の形態および変形例では、プログラムは不図示のROMに格納されるとしたが、プログラムは不揮発性メモリ18に格納されていてもよい。また、情報処理装置1が通信部11または不図示の入出力インタフェースを備え、必要なときに入出力インタフェースと情報処理装置1が利用可能な媒体を介して、他の装置からプログラムが読み込まれてもよい。ここで媒体とは、たとえば入出力インタフェースに着脱可能な記憶媒体、または通信媒体、すなわち有線、無線、光などのネットワーク、または当該ネットワークを伝搬する搬送波やディジタル信号、を指す。また、プログラムにより実現される機能の一部または全部がハードウエア回路やFPGAにより実現されてもよい。
上述した各実施の形態および変形例は、それぞれ組み合わせてもよい。
上記では、種々の実施の形態および変形例を説明したが、本発明はこれらの内容に限定されるものではない。本発明の技術的思想の範囲内で考えられるその他の態様も本発明の範囲内に含まれる。 In each of the above-described embodiments and modifications, the program is stored in the ROM (not shown), but the program may be stored in the nonvolatile memory 18. In addition, the information processing apparatus 1 includes the communication unit 11 or an input / output interface (not shown), and when necessary, a program is read from another apparatus via the input / output interface and a medium that the information processing apparatus 1 can use. Also good. Here, the medium refers to, for example, a storage medium that can be attached to and detached from the input / output interface, or a communication medium, that is, a wired, wireless, or optical network, or a carrier wave or digital signal that propagates through the network. Also, part or all of the functions realized by the program may be realized by a hardware circuit or FPGA.
The above-described embodiments and modifications may be combined.
Although various embodiments and modifications have been described above, the present invention is not limited to these contents. Other embodiments conceivable within the scope of the technical idea of the present invention are also included in the scope of the present invention.

1 … 情報処理装置
S … 情報処理システム
12 … 異常検知部
13 … 異常度判定部
14 … 暫定対処制御部
15 … HMI制御部
16 … 車両状態更新部
17 … 暫定対処関連情報記憶部
171 … ログ情報
172 … 異常度判定ルール情報
173 … 機能制約ルール情報
174 … 車両状態更新ルール情報 DESCRIPTION OF SYMBOLS 1 ... Information processing apparatus S ... Information processing system 12 ... Abnormality detection part 13 ... Abnormality determination part 14 ... Temporary countermeasure control part 15 ... HMI control part 16 ... Vehicle state update part 17 ... Temporary countermeasure related information storage part 171 ... Log information 172 ... Abnormality determination rule information 173 ... Function restriction rule information 174 ... Vehicle state update rule information

Claims (15)

車両に搭載される情報処理装置であって、
ログが記憶される記憶部と、
通信に関する異常を検知し、異常の検知に係るログを前記記憶部に記憶させる異常検知部と、
前記異常検知部が異常を検知すると、前記車両の機能を制限する暫定対処制御部とを備える情報処理装置。 An information processing apparatus mounted on a vehicle,
A storage unit for storing logs;
An abnormality detection unit that detects an abnormality related to communication and stores a log related to the detection of the abnormality in the storage unit;
An information processing apparatus comprising: a provisional countermeasure control unit that restricts a function of the vehicle when the abnormality detection unit detects an abnormality. 請求項1に記載の情報処理装置において、
前記記憶部には、前記車両の機能が制限された状態におけるログが含まれる情報処理装置。 The information processing apparatus according to claim 1,
The information processing apparatus including a log in a state where the function of the vehicle is limited in the storage unit. 請求項1に記載の情報処理装置において、
前記暫定対処制御部は、前記異常に対する対策が実施されると前記車両の機能の制限を解除する情報処理装置。 The information processing apparatus according to claim 1,
The provisional countermeasure control unit is an information processing apparatus that releases the restriction on the function of the vehicle when the countermeasure for the abnormality is implemented. 請求項3に記載の情報処理装置において、
前記異常に対する対策はプログラムの更新であり、
前記異常に対する対策は、前記記憶部に記憶されたログに基づいて前記情報処理装置の外部で決定され、前記異常に対する対策の実行に必要な情報が前記情報処理装置に入力される情報処理装置。 The information processing apparatus according to claim 3.
The countermeasure against the abnormality is a program update,
The information processing apparatus in which the countermeasure against the abnormality is determined outside the information processing apparatus based on the log stored in the storage unit, and information necessary for executing the countermeasure against the abnormality is input to the information processing apparatus. 請求項1に記載の情報処理装置において、
前記暫定対処制御部は、前記異常検知部が検知した異常の深刻さに応じて前記車両の機能を制限する情報処理装置。 The information processing apparatus according to claim 1,
The provisional countermeasure control unit is an information processing apparatus that restricts the function of the vehicle according to a seriousness of an abnormality detected by the abnormality detection unit. 請求項1に記載の情報処理装置において、
画面情報を生成する表示制御部をさらに備え、
前記表示制御部は、前記暫定対処制御部が前記車両の機能を制限している場合に、暫定的な対処を行っていることを示す画面情報を生成する情報処理装置。 The information processing apparatus according to claim 1,
A display control unit for generating screen information;
The display control unit is an information processing apparatus that generates screen information indicating that a provisional countermeasure is being performed when the provisional countermeasure control unit restricts the function of the vehicle. 請求項1に記載の情報処理装置において、
前記機能の制限とは、自動運転モードから手動運転モードの切り替えである情報処理装置。 The information processing apparatus according to claim 1,
The function restriction is an information processing apparatus that is switching from the automatic operation mode to the manual operation mode. 車両に搭載され、ログが記憶される記憶部を備える情報処理装置が実行する情報処理方法であって、
通信に関する異常を検知し、異常の検知に係るログを前記記憶部に記憶させることと、
前記異常を検知すると、前記車両の機能を制限することとを有する情報処理方法。 An information processing method executed by an information processing device that is mounted on a vehicle and includes a storage unit that stores a log,
Detecting an abnormality related to communication and storing a log related to the detection of the abnormality in the storage unit;
An information processing method comprising: limiting the function of the vehicle when detecting the abnormality. 請求項8に記載の情報処理方法において、
前記記憶部に前記車両の機能が制限された状態におけるログを記録することをさらに有する情報処理方法。 The information processing method according to claim 8,
The information processing method which further has recorded the log in the state in which the function of the said vehicle was restrict | limited to the said memory | storage part. 請求項8に記載の情報処理方法において、
前記異常に対する対策が実施されると前記車両の機能の制限を解除することをさらに有する情報処理方法。 The information processing method according to claim 8,
An information processing method further comprising releasing a restriction on the function of the vehicle when a countermeasure against the abnormality is implemented. 請求項10に記載の情報処理方法において、
前記異常に対する対策は、前記記憶部に記憶されたログに基づいて前記情報処理装置の外部で決定され、前記異常に対する対策の実行に必要な情報が前記情報処理装置に入力される情報処理方法。 The information processing method according to claim 10,
An information processing method in which a countermeasure against the abnormality is determined outside the information processing apparatus based on a log stored in the storage unit, and information necessary for executing the countermeasure against the abnormality is input to the information processing apparatus. 請求項8に記載の情報処理方法において、
前記車両の機能の制限は、前記検知した異常の深刻さに応じた制限である情報処理方法。 The information processing method according to claim 8,
The information processing method, wherein the restriction of the function of the vehicle is a restriction according to the seriousness of the detected abnormality. 請求項8に記載の情報処理方法において、
前記車両の機能を制限している場合に、暫定的な対処を行っていることを示す画面情報を生成することをさらに有する情報処理方法。 The information processing method according to claim 8,
An information processing method further comprising: generating screen information indicating that provisional measures are being performed when the function of the vehicle is limited. 請求項8に記載の情報処理方法において、
前記機能の制限とは、自動運転モードから手動運転モードの切り替えである情報処理方法。 The information processing method according to claim 8,
The function restriction is an information processing method in which the automatic operation mode is switched to the manual operation mode. 車両に搭載される複数の装置から構成される情報処理システムであって、
ログが記憶される記憶部と、
通信に関する異常を検知し、異常の検知に係るログを前記記憶部に記憶させる異常検知部と、
前記異常検知部が異常を検知すると、前記車両の機能を制限する暫定対処制御部とを備える情報処理システム。

An information processing system comprising a plurality of devices mounted on a vehicle,
A storage unit for storing logs;
An abnormality detection unit that detects an abnormality related to communication and stores a log related to the detection of the abnormality in the storage unit;
An information processing system comprising: a provisional countermeasure control unit that restricts the function of the vehicle when the abnormality detection unit detects an abnormality.

JP2016202768A 2016-10-14 2016-10-14 Information processing unit, information processing method and information processing system Pending JP2018062320A (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016202768A JP2018062320A (en) 2016-10-14 2016-10-14 Information processing unit, information processing method and information processing system
PCT/JP2017/032505 WO2018070155A1 (en) 2016-10-14 2017-09-08 Information processing apparatus, information processing method, and information processing system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016202768A JP2018062320A (en) 2016-10-14 2016-10-14 Information processing unit, information processing method and information processing system

Publications (1)

Publication Number Publication Date
JP2018062320A true JP2018062320A (en) 2018-04-19

Family

ID=61905276

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016202768A Pending JP2018062320A (en) 2016-10-14 2016-10-14 Information processing unit, information processing method and information processing system

Country Status (2)

Country Link
JP (1) JP2018062320A (en)
WO (1) WO2018070155A1 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019217015A1 (en) 2018-11-08 2020-05-14 Denso Corporation Communication device
JP2020133520A (en) * 2019-02-20 2020-08-31 株式会社デンソー Monitoring device and drive force control system
JP2020141318A (en) * 2019-02-28 2020-09-03 日本電産モビリティ株式会社 In-vehicle control device
WO2021019635A1 (en) * 2019-07-29 2021-02-04 オムロン株式会社 Security device, attack response processing method, computer program, and storage medium
JP2021019284A (en) * 2019-07-19 2021-02-15 株式会社デンソー On-vehicle communication relay device
JP2021084493A (en) * 2019-11-27 2021-06-03 三菱電機株式会社 In-vehicle network system
JP7549948B1 (en) 2023-08-10 2024-09-12 パナソニックオートモーティブシステムズ株式会社 Monitoring device, monitoring method, and program

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7113337B2 (en) 2018-01-12 2022-08-05 パナソニックIpマネジメント株式会社 Server device, vehicle device, vehicle system, and information processing method
EP3854651A4 (en) * 2018-10-25 2021-11-10 Panasonic Intellectual Property Management Co., Ltd. Electronic control device, electronic control method, and program
JP7419658B2 (en) * 2019-02-25 2024-01-23 株式会社デンソー Center device, data distribution system, restriction enforcement program and restriction enforcement method
WO2023286331A1 (en) * 2021-07-16 2023-01-19 日立Astemo株式会社 In-vehicle system and electronic control unit

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11311322A (en) * 1998-04-28 1999-11-09 Aisin Aw Co Ltd Vehicle control device and recording medium storing program thereof
JP2000113384A (en) * 1998-09-30 2000-04-21 Honda Motor Co Ltd Common-use vehicle
JP2013002958A (en) * 2011-06-16 2013-01-07 Fujitsu Ten Ltd Server apparatus, program providing system, program providing method, and program
JP2013193612A (en) * 2012-03-21 2013-09-30 Fuji Heavy Ind Ltd Control device for vehicle
JP2015067234A (en) * 2013-09-30 2015-04-13 日立オートモティブシステムズ株式会社 Vehicle control device
WO2015156795A1 (en) * 2014-04-09 2015-10-15 Empire Technology Development, Llc Sensor data anomaly detector

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11311322A (en) * 1998-04-28 1999-11-09 Aisin Aw Co Ltd Vehicle control device and recording medium storing program thereof
JP2000113384A (en) * 1998-09-30 2000-04-21 Honda Motor Co Ltd Common-use vehicle
JP2013002958A (en) * 2011-06-16 2013-01-07 Fujitsu Ten Ltd Server apparatus, program providing system, program providing method, and program
JP2013193612A (en) * 2012-03-21 2013-09-30 Fuji Heavy Ind Ltd Control device for vehicle
JP2015067234A (en) * 2013-09-30 2015-04-13 日立オートモティブシステムズ株式会社 Vehicle control device
WO2015156795A1 (en) * 2014-04-09 2015-10-15 Empire Technology Development, Llc Sensor data anomaly detector

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7077920B2 (en) 2018-11-08 2022-05-31 株式会社デンソー Communication device
JP2020077233A (en) * 2018-11-08 2020-05-21 株式会社デンソー Communication device
DE102019217015A1 (en) 2018-11-08 2020-05-14 Denso Corporation Communication device
JP2020133520A (en) * 2019-02-20 2020-08-31 株式会社デンソー Monitoring device and drive force control system
JP7135928B2 (en) 2019-02-20 2022-09-13 株式会社デンソー Monitoring device and driving force control system
JP2020141318A (en) * 2019-02-28 2020-09-03 日本電産モビリティ株式会社 In-vehicle control device
JP2021019284A (en) * 2019-07-19 2021-02-15 株式会社デンソー On-vehicle communication relay device
JP7226164B2 (en) 2019-07-19 2023-02-21 株式会社デンソー In-vehicle communication relay device
JPWO2021019635A1 (en) * 2019-07-29 2021-02-04
WO2021019635A1 (en) * 2019-07-29 2021-02-04 オムロン株式会社 Security device, attack response processing method, computer program, and storage medium
JP7160206B2 (en) 2019-07-29 2022-10-25 オムロン株式会社 SECURITY DEVICE, ATTACK RESPONSE PROCESSING METHOD, COMPUTER PROGRAM AND STORAGE MEDIUM
JP2021084493A (en) * 2019-11-27 2021-06-03 三菱電機株式会社 In-vehicle network system
JP7549948B1 (en) 2023-08-10 2024-09-12 パナソニックオートモーティブシステムズ株式会社 Monitoring device, monitoring method, and program

Also Published As

Publication number Publication date
WO2018070155A1 (en) 2018-04-19

Similar Documents

Publication Publication Date Title
WO2018070155A1 (en) Information processing apparatus, information processing method, and information processing system
JP6574535B2 (en) Global car safety system
JP7496404B2 (en) Security processing method and server
US20200396238A1 (en) Security processing method and server
US9725073B2 (en) Method for handling transmission of fraudulent frames within in-vehicle network
JP6203365B2 (en) Fraud detection electronic control unit, in-vehicle network system and fraud detection method
WO2018150930A1 (en) On-vehicle gateway device and communication cutting-off method
JP6761793B2 (en) Vehicle control device
JP6625269B2 (en) In-vehicle authentication system, vehicle communication device, authentication management device, in-vehicle authentication method, and in-vehicle authentication program
JP6846706B2 (en) Monitoring equipment, monitoring methods and computer programs
JP6418217B2 (en) Information aggregation method executed in communication system
WO2018207551A1 (en) Information processing device and anomaly response method
JP2018133743A (en) Monitoring device, communication system, vehicle, monitoring method, and computer program
US12106610B2 (en) Vehicle log transmission device, vehicle log collection system, vehicle log transmission method, and save priority level changing device
US11829472B2 (en) Anomalous vehicle detection server and anomalous vehicle detection method
US20230283617A1 (en) Attack analysis device, attack analysis method, and non-transitory computer-readable recording medium
JP2021089632A (en) Information processor, control method, and program
JP2019209945A (en) On-vehicle control device, control program and control method
JPWO2013108381A1 (en) Information processing apparatus and information processing method
JP2019110581A (en) Fraud sensing electronic control units and fraud sensing method
US20240323205A1 (en) Threat information deploying system, threat information deploying method, and recording medium
JP7549948B1 (en) Monitoring device, monitoring method, and program
CN116639138A (en) Mitigating manipulation of vehicle software
CN115333785A (en) Safety isolation system, vehicle safety control method and related equipment

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20170126

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20170927

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190311

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191203

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200127

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20200804