JP2019047177A - 監視装置、監視システムおよびコンピュータプログラム - Google Patents

監視装置、監視システムおよびコンピュータプログラム Download PDF

Info

Publication number
JP2019047177A
JP2019047177A JP2017165141A JP2017165141A JP2019047177A JP 2019047177 A JP2019047177 A JP 2019047177A JP 2017165141 A JP2017165141 A JP 2017165141A JP 2017165141 A JP2017165141 A JP 2017165141A JP 2019047177 A JP2019047177 A JP 2019047177A
Authority
JP
Japan
Prior art keywords
monitoring
control unit
unit
vehicle
monitoring device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017165141A
Other languages
English (en)
Other versions
JP6913869B2 (ja
Inventor
正人 田邉
Masato Tanabe
正人 田邉
吉治 今本
Yoshiharu Imamoto
吉治 今本
安齋 潤
Jun Anzai
潤 安齋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Priority to JP2017165141A priority Critical patent/JP6913869B2/ja
Priority to PCT/JP2018/025740 priority patent/WO2019044174A1/ja
Priority to DE112018004881.0T priority patent/DE112018004881T5/de
Publication of JP2019047177A publication Critical patent/JP2019047177A/ja
Priority to US16/783,487 priority patent/US20200177412A1/en
Application granted granted Critical
Publication of JP6913869B2 publication Critical patent/JP6913869B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/0088Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots characterized by the autonomous decision making process, e.g. artificial intelligence, predefined behaviours
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0784Routing of error reports, e.g. with a specific transmission path or data flow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0841Registering performance data
    • G07C5/085Registering performance data using electronic data carriers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • H04L12/2878Access multiplexer, e.g. DSLAM
    • H04L12/2879Access multiplexer, e.g. DSLAM characterised by the network type on the uplink side, i.e. towards the service provider network
    • H04L12/2881IP/Ethernet DSLAM
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40013Details regarding a bus controller
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • H04L43/0847Transmission error
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/44Star or tree networks
    • H04L2012/445Star or tree networks with switching in a hub, e.g. ETHERNET switch
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Medical Informatics (AREA)
  • Health & Medical Sciences (AREA)
  • Environmental & Geological Engineering (AREA)
  • General Health & Medical Sciences (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Automation & Control Theory (AREA)
  • Business, Economics & Management (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Game Theory and Decision Science (AREA)
  • Mechanical Engineering (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Computer Hardware Design (AREA)
  • Mathematical Physics (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】車両のセキュリティに関連する処理を好適に制御する。
【解決手段】監視部32は、CAN22を流れるフレームの異常状態を監視する。監視結果送信部42は、CAN22とは別の要素を監視する他の監視装置へ監視部32による監視結果を送信する。監視結果受信部44は、他の監視装置による監視結果を受信する。処理制御部46は、他の監視装置による監視結果に応じて、CAN監視ECU16が実行する処理を変更する。
【選択図】図2

Description

本発明はデータ処理技術に関し、特に監視装置、監視システムおよびコンピュータプログラムに関する。
近年、自動車は、複数の電子機器および複数のネットワーク(NW)ドメインにより構成され、複数の電子機器のそれぞれにセキュリティ機能が導入されることがある。自動車に搭載される電子機器には、例えば、(1)IVI(In Vehicle Infotainment)装置、TCU(Telematics Control Unit)等のエントリポイント機器、(2)GW(Gateway)、イーサネットスイッチ(「イーサネット」は登録商標)等のネットワーク機器、(3)自動車内の末端のシステムを制御する電子制御ユニット(Electronic Control Unit、以下「ECU」と呼ぶ。)が含まれうる。
特開2017−47835号公報
自動車に搭載される複数の電子機器には、セキュリティ機能として、自機またはNW等に対する監視機能が導入されることが想定される。また、監視機能により攻撃を検知した際には、車両として安全に動作するための処理が求められる。ただし、各機器単体で監視可能な範囲は限られており、また、監視機能が攻撃を誤検知する可能性もある。そのため、それぞれの監視機器が自機で検知した攻撃に対する処理を実行すると、車両全体の状態で見た場合に過度な制御となる可能性がある。
本願発明は上記課題に鑑みたもので、1つの目的は、車両のセキュリティに関連する処理を好適に制御することである。
上記課題を解決するために、本発明のある態様の監視装置は、車両に搭載される複数の監視装置に含まれる、第一監視対象の異常状態を監視する監視装置であって、第一監視対象とは異なる第二監視対象の異常状態を監視する他の監視装置による異常検出結果を受信する受信部と、他の監視装置による異常検出結果に応じて、監視装置が実行する処理を変更する制御部と、を備える。
本発明の別の態様は、監視システムである。この監視システムは、車両に搭載される第一監視装置が、第一監視対象が異常な状態かを検出し、第一監視対象とは異なる第二監視対象を監視する第二監視装置へ、異常検出結果を送信し、車両に搭載される第二監視装置が、第一監視装置から送信された異常検出結果を受信し、異常検出結果に応じて、第二監視装置が実行する処理を変更する。
なお、以上の構成要素の任意の組合せ、本発明の表現を、コンピュータプログラム、コンピュータプログラムを記録した記録媒体、本装置を搭載した車両などの間で変換したものもまた、本発明の態様として有効である。
本発明によれば、車両のセキュリティに関連する処理を好適に制御することができる。
実施例の車両の構成を模式的に示す図である。 図1のCAN監視ECUの機能構成を示すブロック図である。 図1のCAN監視ECUの動作を示すフローチャートである。 図1のIVI装置における動作切替の例を示す図である。 図1のイーサネット監視ECUにおける動作切替の例を示す図である。 図1のCAN監視ECUにおける動作切替の例を示す図である。 第1変形例のIVI装置における動作切替の例を示す図である。 第2変形例のIVI装置における動作切替の例を示す図である。 第3変形例のCAN監視ECUの機能構成を示すブロック図である。 第3変形例のIVI装置における動作切替の例を示す図である。
実施例の詳細な構成を説明する前にまず概要を述べる。実施例の車両には、互いに異なる対象(車両の構成要素とも言える)の状態を監視する複数の監視装置が搭載される。これらの監視装置は、単体で監視可能な範囲は限られており、また、一定の確率で、監視対象が実際には正常であるにも関わらず、異常であるように誤検知する可能性がある。そのため、各監視装置が、自装置単体での監視結果に基づいて、検知した攻撃に対する無効化処理や自動車を安全側に制御するための処理(「フェイルセーフ処理」とも呼ぶ。)を実行すると、車両全体の状態に比して過剰な無効化処理やフェイルセーフ処理が実行される可能性がある。
実施例の車両では、複数の監視装置が自装置で検知した監視対象の状態を互いに通知しあうことで、各監視装置において、自装置では把握できない範囲の車両の状態を参照可能にする。これにより、各監視装置は、自装置では把握できない範囲の車両の状態に応じて、車両のセキュリティに関連するデータ処理を適切に実行し、また、そのデータ処理の態様を適切に調整または変更することが可能になる。
以下、監視対象が正常とは、外部装置から攻撃(不正なフレーム等)を受けていない状態、改ざんのない正規のファームウェアが実行されることを含む。また、監視対象が異常とは、外部装置から攻撃(不正なフレーム等)を受けている状態、改ざんされたファームウェアまたは不正なファームウェアが実行されることを含む。
図1は、実施例の車両10の構成を模式的に示す。車両10は、内部のネットワーク(以下「車載NW」とも呼ぶ。)として、イーサネット20とCAN(Controller Area Network)22を備える。また、車両10は、複数種類の監視装置として、IVI装置12、イーサネット監視ECU14、CAN監視ECU16を備える。これらの監視装置は、車両10に関連する所定の対象の状態を監視する。監視の対象には、車両10内部の要素と、車両10が接続される車両10外部の要素(車外NW等)が含まれる。
IVI装置12は、各種情報をユーザへ提供する電子機器であり、例えば、カーナビゲーション機能およびオーディオ機能を有してもよい。また、IVI装置12は、インターネット等の車外NW18と接続され、車両10外部の装置と通信する。IVI装置12は、車外NW18が異常な状態か否かを検出する。例えば、IVI装置12は、車外NW18を流れるメッセージを受信し、そのメッセージが異常か否かを検出する。
イーサネット監視ECU14は、イーサネット20とのインタフェースを備える。イーサネット監視ECU14は、イーサネット20を監視し、イーサネット20が異常な状態か否かを検出する。具体的には、イーサネット監視ECU14は、イーサネット20を流れるメッセージであるイーサネットフレームが異常である場合、そのことを検出する。なお、イーサネット監視ECU14は、イーサネット20における中継装置が監視機能を備える形態で実装されてもよい。
CAN監視ECU16は、CAN22とのインタフェースを備える。CAN監視ECU16は、CAN22を監視し、CAN22が異常な状態か否かを検出する。具体的には、CAN監視ECU16は、CAN22を流れるメッセージであるCANフレームが異常である場合、そのことを検出する。なお、CAN監視ECU16は、CAN22における中継装置が監視機能を備える形態で実装されてもよい。
IVI装置12は、イーサネット20を介してイーサネット監視ECU14に接続され、CAN22を介してCAN監視ECU16に接続される。また、イーサネット監視ECU14とCAN監視ECU16は、IVI装置12または所定のGW(不図示)を介して接続される。メッセージは、他の装置に対するコマンドを含んでもよい。
図2は、図1のCAN監視ECU16の機能構成を示すブロック図である。CAN監視ECU16は、フレーム受信部30、フレーム無効化部31、監視部32、ログ保存部38、ログ送信部40、監視結果送信部42、監視結果受信部44、処理制御部46を備える。
本明細書のブロック図において示される各ブロックは、ハードウェア的には、コンピュータのCPU・メモリをはじめとする素子や機械装置で実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現できることは、当業者には理解されるところである。
例えば、図2の各ブロックに対応するモジュールを含むコンピュータプログラムが、記録媒体に格納され、その記録媒体を介してCAN監視ECU16に導入されてもよい。また、上記コンピュータプログラムが、ネットワークを介してCAN監視ECU16に導入されてもよい。CAN監視ECU16のCPUは、そのコンピュータプログラムを適宜読み出して実行することにより、各ブロックの機能を発揮してもよい。
監視部32は、車両10に関連する予め定められた監視対象の状態を監視する。監視部32は、異常検出部とも言え、監視対象が異常な状態であるかどうかを検出する。監視部32は、NW監視部34とホスト監視部36を含む。
フレーム受信部30は、CAN監視ECU16の外部装置(例えば、ブレーキECUなどの他のECU)がCAN22へ出力したCANフレームを受信する。NW監視部34は、フレーム受信部30により受信されたCANフレーム(以下「受信フレーム」とも呼ぶ。)が異常か否かを検出する。例えば、NW監視部34は、無効とすべきCAN−IDを示すブラックリストを記憶し、受信フレームに設定されたCAN−IDがブラックリスト内のCAN−IDに一致する場合、受信フレームを異常と検出してもよい。なお、NW監視部34は、正規のCAN−IDを示すホワイトリストを記憶してもよく、ホワイトリストに不一致のCAN−IDが設定された受信フレームを異常と検出してもよい。なお、受信フレームがイーサネットフレームの場合、受信フレームに設定されたMACアドレスに基づいて、受信フレームの正否を判定してもよい。
また、NW監視部34は、メッセージの周期(例えば、同一CAN−IDのメッセージの受信間隔)に基づいて、受信フレームが異常か否かを判定してもよい。また、NW監視部34は、メッセージが示すデータの変化特性に基づいて、受信フレームが異常か否かを判定してもよい。例えば、NW監視部34は、同一CAN−IDのメッセージが示す速度データの変化量が所定の閾値を超過する場合に、受信フレームが異常と判定してもよい。
フレーム無効化部31は、NW監視部34により異常と判定された受信フレームを無効化するための処理を実行する。例えば、フレーム無効化部31は、受信フレームに対応するエラーフレームをCAN22へ出力することにより、CAN22を流れる受信フレームを無効化してもよい。なお、監視対象がエラーフレームによる受信フレーム無効化ができないNW(イーサネット等)である場合、フレーム無効化部31は、異常を検出した受信フレームをフィルタリング(廃棄等)してもよく、当該受信フレームを再度NWへ出力する中継処理を抑制してもよい。
ホスト監視部36は、デジタル署名等の公知の技術を使用して、自装置の異常を検出する。具体的には、ホスト監視部36は、自装置内部に記憶されたファームウェアが正しいものであるかを検証し、言い換えれば、自身のファームウェアが不正に改ざんされていないかどうかを検出する。ホスト監視部36は、いわゆるセキュアブートを実行し、すなわち、CAN監視ECU16の起動時にファームウェアが改ざんされていないことを検証する。ホスト監視部36はさらに、CAN監視ECU16におけるアプリケーション実行時(実行直前)に、実行対象のアプリケーションが改ざんされていないことを検証してもよい。
また、ホスト監視部36は、特定のプロセスやファイルへのアクセスをカーネル等のシステムレベルで制限する機能である強制アクセス制御を逸脱する動作を検出した場合、自装置が異常と判定する。例えば、ホスト監視部36は、予め定められた強制アクセス制御によりアクセスが禁止された特定のファイルに対してファームウェアまたはアプリケーションがアクセスした場合、自装置または自装置のファームウェアが異常であると判定してもよい。
ログ保存部38は、監視部32による監視結果(言い換えれば異常検出結果)を示す監視ログを所定の記憶領域へ保存する。例えば、ログ保存部38は、NW監視部34により検出されたCAN22(もしくはCAN22を流れるフレーム)が正常であること、または異常であることを示す監視ログをCAN監視ECU16内部の不揮発メモリへ格納してもよい。また、ログ保存部38は、ホスト監視部36により検出されたCAN監視ECU16(もしくはCAN監視ECU16のファームウェア)が正常であること、または異常であることを示す監視ログをCAN監視ECU16内部の不揮発メモリへ格納してもよい。
ログ送信部40は、監視部32による監視結果を示す監視ログを外部装置へ送信する。例えば、ログ送信部40は、NW監視部34により検出されたCAN22が正常であること、または異常であることを示す監視ログを予め定められたエントリポイント装置(IVI装置12、TCU等)へ送信して蓄積させてもよい。また、ログ送信部40は、ホスト監視部36により検出されたCAN監視ECU16が正常であること、または異常であることを示す監視ログを上記エントリポイント装置へ送信してもよい。
監視結果送信部42は、監視部32による監視結果を他の監視装置(実施例ではIVI装置12、イーサネット監視ECU14)へ送信する。この監視結果は、NW監視部34により検出されたCAN22が正常であること、または異常であることを示すデータを含む。また、この監視結果は、ホスト監視部36により検出されたCAN監視ECU16が正常であること、または異常であることを示すデータを含む。
監視結果受信部44は、他の監視装置から送信された異常検出結果を受信する。例えば、監視結果受信部44は、車外NW18の監視結果とホスト監視結果とをIVI装置12から受信する。また、監視結果受信部44は、イーサネットフレームの監視結果とホスト監視結果とをイーサネット監視ECU14から受信する。
処理制御部46は、他の監視装置による異常検出結果に応じて、自装置が実行するセキュリティ関連処理または車両10の挙動を変更する。以下に示すように、処理制御部46は、様々な種別の動作を変更対象とすることができる。以下の変更対象例1〜4は、CAN監視ECU16が実行するセキュリティ関連処理と言える。
変更対象例1.監視態様:
処理制御部46は、監視部32の動作態様を切り替えてもよく、例えば、自装置またはNWが異常な状態か否かを検出するための処理を変更してもよい。具体的には、処理制御部46は、監視部32の監視規則を切り替えてもよい。例えば、処理制御部46は、正常と見なす許容範囲が広い規則と、許容範囲が狭い規則とを切り替えてもよい。
NW監視における許容範囲が広い規則は、例えば、周期またはデータの変化量について相対的に広い範囲を正常と見なす規則であってもよい。NW監視における許容範囲が狭い規則は、例えば、周期またはデータの変化量について相対的に狭い範囲を正常と見なす規則であってもよい。また、ホスト監視における許容範囲が広い規則は、例えば、改ざんの検出対象および/または強制アクセス制御違反の検出対象とするプログラムの個数または種類が相対的に少ない規則であってもよい。ホスト監視における許容範囲が狭い規則は、例えば、改ざんの検出対象および/または強制アクセス制御違反の検出対象とするプログラムの個数または種類が相対的に多い規則であってもよい。
また、処理制御部46は、監視部32による監視対象範囲を拡大または縮小してもよい。例えば、処理制御部46は、ミドルウェアまでの範囲で改ざんを検知することと、ミドルウェアにアプリケーションを加えた範囲で改ざんを検知することとを切り替えてもよい。さらにまた、処理制御部46は、監視部32の監視タイミングを切り替えてもよい。例えば、処理制御部46は、ソフトウェアの起動時にのみ当該ソフトウェアの改ざん有無を検証することと、定期的に複数のソフトウェアの改ざん有無を検証することとを切り替えてもよい。
変更対象例2.コマンドの無効化態様:
処理制御部46は、フレーム無効化部31の動作態様を切り替えてもよく、具体的には、異常が検出されたCANフレームをエラーフレームにより無効化することと、異常が検出されたCANフレームを記録するが無効化はしないこととを切り替えてもよい。また、処理制御部46は、異常が検出されたメッセージ(例えばCANフレームまたはイーサネットフレーム)をフィルタリング(例えば廃棄)することの有無を切り替えてもよい。
変更対象例3.異常記録態様:
処理制御部46は、ログ保存部38の動作態様を切り替えてもよく、具体的には、不揮発メモリへ監視ログを保存するか否かを切り替えてもよい。また、処理制御部46は、監視ログにおける保存対象を切り替えてもよい。例えば、処理制御部46は、異常が検出されたメッセージのみ保存することと、異常が検出されたメッセージに加えて、その前後の所定数のメッセージを保存することとを切り替えてもよい。後者の態様は、異常が発生する場合の前兆または傾向を把握する場合に有用である。
変更対象例4.異常通知態様:
処理制御部46は、ログ送信部40の動作態様を切り替えてもよく、具体的には、車両10の外部に設けられたSOC(Security Operation Center)(不図示)へ監視ログを送信することの有無を切り替えてもよい。また、処理制御部46は、他の監視装置(IVI装置12、TCU等)へ監視ログを送信することの有無を切り替えてもよい。
変更対象例5.車両の動作態様:
処理制御部46は、車両10における自動運転機能を有効にした状態と、自動運転機能を無効にした状態とを切り替えてもよい。この場合、処理制御部46は、自動運転機能を有効にする(言い換えれば開始する)ことを指示するコマンド、または、自動運転機能を無効にする(言い換えれば終了する)ことを指示するコマンドを、車両10の自動運転コントローラ(不図示)またはADAS(Advanced Driver Assistance System) ECU(不図示)へ送信してもよい。また、処理制御部46は、自動運転コントローラ、ADAS、または他のECUと連携して、車両10におけるフェイルセーフ処理(例えば自動運転の停止処理等)を有効にした状態と、フェイルセーフ処理を無効にした状態とを切り替えてもよい。
なお、IVI装置12の機能構成もCAN監視ECU16(図2)と同様である。異なる点として、IVI装置12のフレーム受信部30は、車外NW18から通信フレームを受信する。また、IVI装置12の監視結果送信部42は、送信先がイーサネット監視ECU14およびCAN監視ECU16になる。また、IVI装置12の監視結果受信部44は、送信元がイーサネット監視ECU14およびCAN監視ECU16になる。また、IVI装置12のフレーム無効化部31は、受信フレームのアドレスや周期、データの変化特性等に応じて、エラーフレームの送信に代えて、受信フレームをフィルタリング(例えば廃棄)してもよい。
また、イーサネット監視ECU14の機能構成もCAN監視ECU16(図2)と同様である。異なる点として、イーサネット監視ECU14のフレーム受信部30は、イーサネット20からフレームを受信する。また、イーサネット監視ECU14の監視結果送信部42は、送信先がIVI装置12およびCAN監視ECU16になる。また、イーサネット監視ECU14の監視結果受信部44は、送信元がIVI装置12およびCAN監視ECU16になる。また、イーサネット監視ECU14のフレーム無効化部31は、受信フレームのアドレスや周期、データの変化特性等に応じて、エラーフレームの送信に代えて、受信フレームをフィルタリング(例えば廃棄)してもよい。
図3は、図1のCAN監視ECU16の動作を示すフローチャートである。同図は、CAN監視ECU16が実行する処理のうち、主に、監視処理およびセキュリティ関連処理を示している。車両10における他の監視装置、すなわちIVI装置12およびイーサネット監視ECU14も、CAN監視ECU16と同様の監視処理およびセキュリティ関連処理を実行する。
フレーム受信部30が、CAN22からCANフレームを受信すると(S10のY)、NW監視部34は、受信されたCANフレームの正常性を判定する(S12)。CANフレームを未受信であれば(S10のN)、S12をスキップする。ホスト監視の実行タイミング(例えばCAN監視ECU16の起動時、または、前回のホスト監視から所定時間経過時)であれば(S14のY)、ホスト監視部36は、自装置のメモリ等に記憶されたファームウェアの正常性を検証する(S16)。ホスト監視の実行タイミングでなければ(S14のN)、S16をスキップする。なお、NW監視とホスト監視の実行順序は問わず、また、NW監視とホスト監視が並行して実行されてもよい。
ログ保存部38は、ホスト監視の結果とNW監視の結果の少なくとも一方に応じて、それらの結果を示すログを所定の記憶領域へ保存する(S18)。ログ送信部40は、ホスト監視の結果とNW監視の結果の少なくとも一方に応じて、それらの結果を示すログを所定の外部装置へ送信する(S20)。監視結果送信部42は、ホスト監視の結果を示すデータと、NW監視の結果を示すデータの両方をIVI装置12およびイーサネット監視ECU14へ送信する(S22)。なお、ホスト監視のタイミングと、NW監視のタイミングによっては、いずれか一方の監視結果を送信してもよい。また、IVI装置12とイーサネット監視ECU14のいずれか一方へ監視結果を送信する構成であってもよい。
監視結果受信部44は、IVI装置12およびイーサネット監視ECU14から出力されたホスト監視結果を示すデータと、NW監視結果を示すデータを、通信網を介して受信する(S24のY)。ホスト監視の結果を示すデータと、NW監視の結果を示すデータの少なくとも一方が、前回受信したデータから変化している場合(S26のY)、処理制御部46は、所定のセキュリティ関連処理を変更し、または車両10の挙動を変更する(S28)。他の監視装置による監視結果を未受信であれば(S24のN)、S26とS28をスキップし、監視結果に変化がなければ(S26のN)、S28をスキップする。CAN監視ECU16は、図3に示す処理を繰り返し実行する。
図3のS28の動作切替について、その具体例を説明する。図4は、IVI装置12における動作切替の例を示す。IVI装置12は、CAN監視ECU16と同様の機能ブロック(図2)を含むこととする。動作例(1)では、他の複数の監視装置によるホスト監視結果がいずれも正常であれば、処理制御部46は、自装置のホスト監視において、ミドルウェアの範囲まで改ざん有無を検出するようホスト監視部36を制御する。一方、他の複数の監視装置によるホスト監視結果の少なくともいずれかが異常であれば、処理制御部46は、自装置のホスト監視において、ミドルウェアに加えてアプリケーションの範囲まで改ざん有無を検出するようホスト監視部36を制御する。
また、他の複数の監視装置によるNW監視結果がいずれも正常であれば、処理制御部46は、自装置のNW監視において、異常を検出したメッセージのみ不揮発メモリへ保存するようログ保存部38を制御する。一方、他の複数の監視装置によるNW監視結果の少なくともいずれかが異常であれば、処理制御部46は、自装置のNW監視において、異常を検出したメッセージに加えて、その前後の所定数のメッセージを不揮発メモリへ保存するようログ保存部38を制御する。
動作例(2)では、他の複数の監視装置によるホスト監視結果がいずれも正常であれば、処理制御部46は、自装置のホスト監視において、自装置の起動時にのみファームウェアの改ざん有無を検出するようホスト監視部36を制御する。一方、他の複数の監視装置によるホスト監視結果の少なくともいずれかが異常であれば、処理制御部46は、自装置のホスト監視として、定期的にファームウェアの改ざんを検出するようホスト監視部36を制御する。
また、他の複数の監視装置によるNW監視結果がいずれも正常であれば、処理制御部46は、自装置の監視ログをローカルの記憶領域に保存するが、外部装置への送信を抑制するようログ保存部38およびログ送信部40を制御する。一方、他の複数の監視装置によるNW監視結果の少なくともいずれかが異常であれば、処理制御部46は、自装置の監視ログをローカルの記憶領域に保存し、かつ、SOCへ送信するようログ保存部38およびログ送信部40を制御する。
図5は、イーサネット監視ECU14における動作切替の例を示す。イーサネット監視ECU14は、CAN監視ECU16と同様の機能ブロック(図2)を含むこととする。動作例(1)では、他の複数の監視装置によるホスト監視結果がいずれも正常であれば、処理制御部46は、フレーム廃棄等のフィルタリング処理を抑制するようフレーム無効化部31を制御する。一方、他の複数の監視装置によるホスト監視結果の少なくともいずれかが異常であれば、処理制御部46は、フィルタリング処理を有効にするようフレーム無効化部31を制御する。
また、CAN監視ECU16によるNW監視結果が正常であれば、処理制御部46は、許容範囲が相対的に広い監視規則に基づく監視処理を実行するようNW監視部34および/またはホスト監視部36を制御する。言い換えれば、処理制御部46は、イーサネット20を正常と判定する基準を緩める。一方、CAN監視ECU16によるNW監視結果が異常であれば、処理制御部46は、許容範囲が相対的に狭い監視規則に基づく監視処理を実行するようNW監視部34および/またはホスト監視部36を制御する。言い換えれば、処理制御部46は、イーサネット20を正常と判定する基準を厳しくする。
また、IVI装置12によるNW監視結果が正常であれば、処理制御部46は、自装置の監視ログをローカルの記憶領域に保存するが、外部装置への送信を抑制するようログ保存部38およびログ送信部40を制御する。一方、IVI装置12によるNW監視結果が異常であれば、処理制御部46は、自装置の監視ログをローカルの記憶領域に保存し、かつ、IVI装置12へ送信するようログ保存部38およびログ送信部40を制御する。
動作例(2)では、他の複数の監視装置によるホスト監視結果がいずれも正常であれば、処理制御部46は、動作切替を抑制し、それまでの監視動作を継続させる。一方、他の複数の監視装置によるホスト監視結果の少なくともいずれかが異常であれば、処理制御部46は、自動運転の終了を指示するコマンドを自動運転コントローラへ送信し、および/または、車両10を停止させる等のフェイルセーフ処理を実行するよう自動運転コントローラもしくは他のECUを制御する。
また、CAN監視ECU16によるNW監視結果が正常であれば、処理制御部46は、異常が検出されたフレームを廃棄する等のフィルタリング処理の実行を抑制するようフレーム無効化部31を制御する。一方、CAN監視ECU16によるNW監視結果が異常であれば、処理制御部46は、フィルタリング処理を実行するようフレーム無効化部31を制御する。
また、IVI装置12によるNW監視結果が正常であれば、処理制御部46は、許容範囲が相対的に広い監視規則に基づく監視処理を実行するようNW監視部34および/またはホスト監視部36を制御する。一方、IVI装置12によるNW監視結果が異常であれば、処理制御部46は、許容範囲が相対的に狭い監視規則に基づく監視処理を実行するようNW監視部34および/またはホスト監視部36を制御する。
図6は、CAN監視ECU16における動作切替の例を示す。動作例(1)では、他の複数の監視装置によるホスト監視結果がいずれも正常であれば、処理制御部46は、異常が検出されたフレームのログを所定の記憶領域に保存するが、異常が検出されたフレームに対するエラーフレームの出力を抑制するようログ保存部38およびフレーム無効化部31を制御する。一方、他の複数の監視装置によるホスト監視結果の少なくともいずれかが異常であれば、処理制御部46は、異常が検出されたフレームのログを所定の記憶領域に保存するとともに、異常が検出されたフレームに対するエラーフレームを出力するようログ保存部38およびフレーム無効化部31を制御する。
また、イーサネット監視ECU14によるNW監視結果が正常であれば、処理制御部46は、許容範囲が相対的に広い監視規則に基づく監視処理を実行するようNW監視部34および/またはホスト監視部36を制御する。一方、イーサネット監視ECU14によるNW監視結果が異常であれば、処理制御部46は、許容範囲が相対的に狭い監視規則に基づく監視処理を実行するようNW監視部34および/またはホスト監視部36を制御する。
また、IVI装置12によるNW監視結果が正常であれば、処理制御部46は、自装置の監視ログをローカルの記憶領域に保存するが、外部装置への送信を抑制するようログ保存部38およびログ送信部40を制御する。一方、IVI装置12によるNW監視結果が異常であれば、処理制御部46は、自装置の監視ログをローカルの記憶領域に保存し、かつ、IVI装置12へ送信するようログ保存部38およびログ送信部40を制御する。
動作例(2)では、他の複数の監視装置によるホスト監視結果がいずれも正常であれば、処理制御部46は、動作切替を抑制し、それまでの監視動作を継続させる。一方、他の複数の監視装置によるホスト監視結果の少なくともいずれかが異常であれば、処理制御部46は、自動運転の終了を指示するコマンドを自動運転コントローラへ送信し、および/または、車両10を停止させる等のフェイルセーフ処理を実行するよう自動運転コントローラもしくは他のECUを制御する。
また、イーサネット監視ECU14によるNW監視結果が正常であれば、処理制御部46は、異常が検出されたフレームのログを所定の記憶領域に保存するが、異常が検出されたフレームに対するエラーフレームの出力を抑制するようログ保存部38およびフレーム無効化部31を制御する。一方、イーサネット監視ECU14によるNW監視結果が異常であれば、処理制御部46は、異常が検出されたフレームのログを所定の記憶領域に保存するとともに、異常が検出されたフレームに対するエラーフレームを出力するようログ保存部38およびフレーム無効化部31を制御する。
また、IVI装置12によるNW監視結果が正常であれば、処理制御部46は、許容範囲が相対的に広い監視規則に基づく監視処理を実行するようNW監視部34および/またはホスト監視部36を制御する。一方、IVI装置12によるNW監視結果が異常であれば、処理制御部46は、許容範囲が相対的に狭い監視規則に基づく監視処理を実行するようNW監視部34および/またはホスト監視部36を制御する。
実施例の車両10に搭載された監視装置(例えばIVI装置12、イーサネット監視ECU14、CAN監視ECU16のそれぞれ)は、他の監視装置との連携により、自装置による監視対象以外の状態を把握し、車両10全体の状態に即したセキュリティ関連処理を実行できる。また、車両10全体の状態に即して車両10の挙動を変更することができる。これにより、監視装置単体で異常を誤検知した場合にも、過度なフェイルセーフ処理の実行を回避しやすくなる。
以上、本発明を実施例をもとに説明した。この実施例は例示であり、それらの各構成要素あるいは各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。
第1変形例を説明する。処理制御部46は、他の複数の監視装置により異常が検出された個数に応じて、予め定められた複数種類の動作切替態様の中からいずれかを選択してもよい。上記個数は、同じ監視対象(装置内部、車載NW等)にて異常を検出した監視装置の個数でもよく、異常が検出された監視対象の個数でもよい。処理制御部46は、上記個数が多いほど、自装置における監視基準をより厳しい基準へ切り替えてもよく、また、より重大な異常に対応づけられたセキュリティ関連処理を実行してもよい。
図7は、第1変形例のIVI装置12における動作切替の例を示す。他の複数の監視装置によるホスト監視結果がいずれも正常であれば、処理制御部46は、自装置のホスト監視において、装置起動時にミドルウェアの範囲まで改ざん有無を検出するようホスト監視部36を制御する。一方、他の複数の監視装置によるホスト監視結果の少なくとも1つが異常であれば、処理制御部46は、自装置のホスト監視において、装置起動時にミドルウェアに加えてアプリケーションの範囲まで改ざん有無を検出するようホスト監視部36を制御する。
さらに、他の複数の監視装置によるホスト監視結果がいずれも異常であれば、処理制御部46は、装置起動時に加えて、定期的にアプリケーションの範囲まで改ざん有無を検出するようホスト監視部36を制御する。他の複数の監視装置によるホスト監視結果がいずれも異常である場合は、自装置もプログラムの改ざん等の攻撃を受けている蓋然性が高い。そのため、通常時より監視対象と監視タイミングの両方を拡大することで、自装置の異常を迅速かつ確実に検出しやすくなる。
第2変形例を説明する。処理制御部46は、複数種類の監視対象のうち、他の複数の監視装置により異常が検出された監視対象の個数(種類数)に応じて、複数種類の動作切替態様の中からいずれかを選択してもよい。図8は、第2変形例のIVI装置12における動作切替の例を示す。同図の4行目までは、ホスト監視とNW監視の個々の正否に基づく動作切替であり、図4の動作例(1)で説明済みのため再度の説明を省略する。
処理制御部46は、ホスト監視結果とNW監視結果のそれぞれに応じて既述の動作切替を実行するとともに、ホスト監視とNW監視の両方が異常の場合はさらに、車両10の自動運転を終了させる。ホスト監視とNW監視の両方が異常の場合、処理制御部46は、監視対象の拡大、ログ保存対象の拡大とともに、自動運転を終了させてもよい。また、処理制御部46は、イーサネット監視ECU14によるホスト監視結果とCAN監視ECU16によるホスト監視結果の少なくとも一方が異常となり、イーサネット監視ECU14によるNW監視結果とCAN監視ECU16によるNW監視結果の少なくとも一方が異常となった場合に、ホスト監視とNW監視の両方が異常であると判定してもよい。
第3変形例を説明する。図9は、図2に対応し、第3変形例のCAN監視ECU16の機能構成を示すブロック図である。IVI装置12およびイーサネット監視ECU14の機能構成もCAN監視ECU16と同様になる。監視部32は、NW監視部34によるNW監視の結果と、ホスト監視部36によるホスト監視の結果の両方を処理制御部46へさらに出力してもよい。処理制御部46は、他の監視装置による監視結果と、自装置による監視結果の組み合わせに基づいて、自装置が実行するセキュリティ関連処理または車両10の挙動を変更してもよい。
図10は、第3変形例のIVI装置12における動作切替の例を示す。図10における個々の動作は、図4に関連して説明済みのため再度の説明を省略する。なお、他の監視装置のホスト監視結果が異常で、かつ、自装置の車外NW監視結果も異常の場合、セキュリティのリスクがより高いと考えられる。そこで、処理制御部46は、アプリケーションまで改ざんを検出し、かつ、定期的に自装置の改ざんを検出するように、自装置のホスト監視を制御してもよい。同様に、他の監視装置の車載NW監視結果が異常で、かつ、自装置の車外NW監視結果も異常の場合、処理制御部46は、異常メッセージ+前後のメッセージをログ保存し、かつ、SOCへログ通知を開始するように制御してもよい。
第4変形例を説明する。予め監視対象ごとに重要度が設定されてよく、監視装置の処理制御部46は、異常を検出した監視対象の重要度に応じて動作を切り替えてもよい。具体的には、処理制御部46は、他の複数の監視装置により異常が検出された監視対象の重要度に応じて、予め定められた複数種類の動作切替態様の中からいずれかを選択してもよい。上記重要度は、監視対象の種別(監視装置内部、車載NW、車外NW等)に応じて設定されてもよく、例えば、車外NWは重要度低、車載NWは重要度中、監視機器内部は重要度高が設定されてもよい。また、上記重要度は、異常が検出された監視対象の個数に応じて設定されてもよく、その個数が多いほど高い重要度が設定されてもよい。また、同種の監視対象(CAN、イーサネット等)で異なる重要度が設定されてもよい。処理制御部46は、異常が検出された監視対象の重要度が高いほど、自装置における監視基準をより厳しい基準へ切り替えてもよく、また、より重大な異常に対応付けられたセキュリティ関連処理を実行してもよい。
別の変形例を説明する。車両10は、実施例に記載した以外の監視装置を備えてもよい。また、監視装置の個数に制約はない。例えば、車両10は、実施例に記載した以外のNW、例えばCAN FD、FlexRay、MOST等を備えてもよく、これらのNWを監視する監視装置を備えてもよい。また、同種のNWが複数チャネル(例えば複数バス)設けられる場合、各チャネルに対して別の監視装置が設けられてもよい。例えば、2種類の車外NWに対して、エントリポイントの監視装置が2つ設けられてもよい。また、2つのCANに対して、2つのCAN監視ECUが設けられてもよい。
車両10に搭載される監視装置は2つでもよい。ここでは、車両10に、IVI装置12とCAN監視ECU16が搭載されることとし、IVI装置12における動作切替の例を図4の動作例(1)を参照しつつ説明する。CAN監視ECU16によるホスト監視結果が正常であれば、IVI装置12は、自装置のホスト監視において、ミドルウェアの範囲まで改ざん有無を検出するよう制御する。一方、CAN監視ECU16によるホスト監視結果が異常であれば、IVI装置12は、自装置のホスト監視において、ミドルウェアに加えてアプリケーションの範囲まで改ざん有無を検出するよう制御する。また、CAN監視ECU16によるNW監視結果が正常であれば、IVI装置12は、自装置のNW監視において、異常を検出したメッセージのみ不揮発メモリへ保存するよう制御する。一方、CAN監視ECU16によるNW監視結果が異常であれば、IVI装置12は、自装置のNW監視において、異常を検出したメッセージに加えて、その前後の所定数のメッセージを不揮発メモリへ保存するよう制御する。
ゲートウェイや制御ECU等、任意のECUが、実施例に記載の監視機能を備えてもよい。
監視装置間における監視結果のデータの通知方法は、任意の公知技術を適用できる。例えば、車載ネットワーク(CAN、CAN FD、イーサネット、MOST、FlexRay等)を介して監視結果を通知してもよい。また、専用線(ジカ線、CAN、イーサネット等)を介して監視結果を通知してもよい。
処理制御部46は、自動運転の有効化・無効化に限らず、監視結果に応じて、他の機器へ動作切替指示を送信してもよい。
監視結果は、正常と異常だけでなく、未定状態を含んでもよい。未定状態は、例えば、監視機能動作前の状態を含んでもよく、監視機能による検証中の状態を含んでもよい。車両10における複数の監視装置のそれぞれは、監視機能動作前または検証中において未定状態を示す監視結果を他の監視装置へ通知してもよい。
処理制御部46は、監視結果が未定状態の場合、監視結果が正常および異常の場合とは異なる処理を実行してもよい。処理制御部46は、全ての監視結果、例えば、自装置および他の監視装置によるホスト監視結果とNW監視結果の少なくとも一部に未定状態または異常が含まれる場合、自動運転機能を有効化しないよう自動運転コントローラまたはADASを制御してもよい。また、処理制御部46は、未定状態を示す監視結果が他の監視装置から通知された場合、当該他の監視装置から異常を示す監視結果が通知されるまで、すなわち異常が確定するまでは、フレームの無効化処理を抑制するようにフレーム無効化部31を制御してもよい。
また、監視結果は、正常と異常に加えてグレー状態を含んでもよく、または、正常と異常と未定状態に加えてグレー状態を含んでもよい。グレー状態は、監視機能により正常または異常を判断することが難しい状態である。例えば、NW監視部34は、正常の範囲に含まれる値をとるメッセージであるが、当該メッセージの値が、異常と判断する閾値に近い場合、当該メッセージをグレー状態として判定してもよく、また、NW監視結果をグレー状態と判定してもよい。同様にホスト監視部36も、自装置の状態に関する値が正常の範囲であるが、その値が、異常と判断する閾値に近い場合、ホスト監視結果をグレー状態と判定してもよい。処理制御部46は、監視結果がグレー状態の場合、監視結果が正常、異常、未定状態の場合とは異なる処理を実行してもよい。
なお、実施例および変形例に記載の技術は、以下の項目によって特定されてもよい。
[項目1]
車両に搭載される複数の監視装置に含まれる、第一監視対象の異常状態を監視する監視装置であって、
前記第一監視対象とは異なる第二監視対象の異常状態を監視する他の監視装置による異常検出結果を受信する受信部と、
前記他の監視装置による異常検出結果に応じて、前記監視装置が実行する処理を変更する制御部と、
を備える監視装置。
この監視装置によると、監視装置単体で状態を監視可能な範囲を超えた、車両に関連する様々な要素の状態に応じて、セキュリティ関連処理の態様または車両の挙動を一層適切に制御可能になる。
[項目2]
前記監視装置はエントリポイント機器であり、前記第一監視対象は前記エントリポイント機器または前記車両の外部のネットワークであり、
前記他の監視装置は電子制御ユニットであり、前記第二監視対象は前記電子制御ユニットまたは前記車両の内部のネットワークである、
項目1に記載の監視装置。
この監視装置によると、監視装置単体で状態を監視可能な範囲を超えた、車両に関連する様々な要素の状態に応じて、セキュリティ関連処理の態様または車両の挙動を一層適切に制御可能になる。
[項目3]
前記第一監視対象が異常な状態かを検出する検出部、をさらに備え、
前記制御部は、前記検出部による検出処理を変更する、
項目2に記載の監視装置。
この監視装置によると、車両に関連する様々な要素の状態に応じて、監視処理の態様を適切に調整することができる。
[項目4]
前記第一監視対象の異常検出結果を示すログを保存する保存部、をさらに備え、
前記制御部は、前記保存部による保存処理を変更する、
項目2または3に記載の監視装置。
この監視装置によると、車両に関連する様々な要素の状態に応じて、ログの保存処理の態様を適切に調整することができる。
[項目5]
前記監視装置は、前記車両の内部の第一ネットワークを監視する第一監視電子制御ユニットであり、
前記第一監視対象は、前記第一監視電子制御ユニットまたは前記第一ネットワークであり、
前記他の監視装置は、前記第一ネットワークとは異なる車両の内部の第二ネットワークを監視する第二監視電子制御ユニットであり、
前記第二監視対象は、前記第二監視電子制御ユニットまたは前記第二ネットワークである、
項目1に記載の監視装置。
この監視装置によると、監視装置単体で状態を監視可能な範囲を超えた、車両に関連する様々な要素の状態に応じて、セキュリティ関連処理の態様または車両の挙動を一層適切に制御可能になる。
[項目6]
前記第一ネットワークおよび前記第二ネットワークは、一方がイーサネットであり、他方がCANである
項目5に記載の監視装置。
この監視装置によると、車両にイーサネットおよびCANが併設される場合に、それらの状態に応じて、セキュリティ関連処理の態様または車両の挙動を一層適切に制御可能になる。
[項目7]
前記第一監視対象が異常な状態かを検出する検出部と、をさらに備え、
前記制御部は、前記検出部による検出処理を変更する、
項目5または6に記載の監視装置。
この監視装置によると、監視装置単体で状態を監視可能な範囲を超えた、車両に関連する様々な要素の状態に応じて、自装置による監視処理を一層適切に制御可能になる。
[項目8]
外部装置から送信されたメッセージを受信する受信部と、
前記メッセージを無効化する無効化部と、をさらに備え、
前記制御部は、前記無効化部による無効化処理を変更する、
項目5から7のいずれかに記載の監視装置。
この監視装置によると、車両に関連する様々な要素の状態に応じて、メッセージのフィルタリングまたは無効化等の態様を適切に調整することができる。
[項目9]
前記第一監視対象の異常検出結果を示すログを保存する保存部をさらに備え、
前記制御部は、前記保存部による保存処理を変更する、
項目5から8のいずれかに記載の監視装置。
この監視装置によると、車両に関連する様々な要素の状態に応じて、ログの保存処理の態様を適切に調整することができる。
[項目10]
前記第一監視対象の異常検出結果を示すログを外部装置へ通知する通知部をさらに備え、
前記制御部は、前記通知部による通知処理を変更する、
項目5から9のいずれかに記載の監視装置。
この監視装置によると、車両に関連する様々な要素の状態に応じて、ログの通知処理の態様を適切に調整することができる。
[項目11]
前記制御部は、前記車両の自動運転機能に関する処理を変更する、
項目5から10のいずれかに記載の監視装置。
この監視装置によると、車両に関連する様々な要素の状態に応じて、当該車両における自動運転機能を適切に制御することができる。
[項目12]
車両に搭載される第一監視装置が、
第一監視対象が異常な状態かを検出し、
前記第一監視対象とは異なる第二監視対象を監視する第二監視装置へ、異常検出結果を送信し、
前記車両に搭載される前記第二監視装置が、
前記第一監視装置から送信された前記異常検出結果を受信し、
前記異常検出結果に応じて、前記第二監視装置が実行する処理を変更する、
監視システム。
この監視システムによると、1つの監視装置により状態を監視可能な範囲を超えた、車両に関連する様々な要素の状態に応じて、セキュリティ関連処理の態様または車両の挙動を一層適切に制御可能になる。
[項目13]
車両に搭載される複数の監視装置に含まれる、第一監視対象の異常状態を監視する監視装置に、
前記第一監視対象とは異なる第二監視対象の異常状態を監視する他の監視装置による異常検出結果を受信する受信処理と、
前記他の監視装置による異常検出結果に応じて、前記監視装置が実行する処理を変更する制御処理と、
を実行させるためのコンピュータプログラム。
このコンピュータプログラムによると、監視装置単体で状態を監視可能な範囲を超えた、車両に関連する様々な要素の状態に応じて、セキュリティ関連処理の態様または車両の挙動を一層適切に制御する監視装置を実現できる。
上述した実施例および変形例の任意の組み合わせもまた本発明の実施の形態として有用である。組み合わせによって生じる新たな実施の形態は、組み合わされる実施例および変形例それぞれの効果をあわせもつ。また、請求項に記載の各構成要件が果たすべき機能は、実施例および変形例において示された各構成要素の単体もしくはそれらの連携によって実現されることも当業者には理解されるところである。
10 車両、 12 IVI装置、 14 イーサネット監視ECU、 16 CAN監視ECU、 30 フレーム受信部、 31 フレーム無効化部、 32 監視部、 38 ログ保存部、 40 ログ送信部、 42 監視結果送信部、 44 監視結果受信部、 46 処理制御部。

Claims (13)

  1. 車両に搭載される複数の監視装置に含まれる、第一監視対象の異常状態を監視する監視装置であって、
    前記第一監視対象とは異なる第二監視対象の異常状態を監視する他の監視装置による異常検出結果を受信する受信部と、
    前記他の監視装置による異常検出結果に応じて、前記監視装置が実行する処理を変更する制御部と、
    を備える監視装置。
  2. 前記監視装置はエントリポイント機器であり、前記第一監視対象は前記エントリポイント機器または前記車両の外部のネットワークであり、
    前記他の監視装置は電子制御ユニットであり、前記第二監視対象は前記電子制御ユニットまたは前記車両の内部のネットワークである、
    請求項1に記載の監視装置。
  3. 前記第一監視対象が異常な状態かを検出する検出部、をさらに備え、
    前記制御部は、前記検出部による検出処理を変更する、
    請求項2に記載の監視装置。
  4. 前記第一監視対象の異常検出結果を示すログを保存する保存部、をさらに備え、
    前記制御部は、前記保存部による保存処理を変更する、
    請求項2または3に記載の監視装置。
  5. 前記監視装置は、前記車両の内部の第一ネットワークを監視する第一監視電子制御ユニットであり、
    前記第一監視対象は、前記第一監視電子制御ユニットまたは前記第一ネットワークであり、
    前記他の監視装置は、前記第一ネットワークとは異なる車両の内部の第二ネットワークを監視する第二監視電子制御ユニットであり、
    前記第二監視対象は、前記第二監視電子制御ユニットまたは前記第二ネットワークである、
    請求項1に記載の監視装置。
  6. 前記第一ネットワークおよび前記第二ネットワークは、一方がイーサネットであり、他方がCANである
    請求項5に記載の監視装置。
  7. 前記第一監視対象が異常な状態かを検出する検出部と、をさらに備え、
    前記制御部は、前記検出部による検出処理を変更する、
    請求項5または6に記載の監視装置。
  8. 外部装置から送信されたメッセージを受信する受信部と、
    前記メッセージを無効化する無効化部と、をさらに備え、
    前記制御部は、前記無効化部による無効化処理を変更する、
    請求項5から7のいずれかに記載の監視装置。
  9. 前記第一監視対象の異常検出結果を示すログを保存する保存部をさらに備え、
    前記制御部は、前記保存部による保存処理を変更する、
    請求項5から8のいずれかに記載の監視装置。
  10. 前記第一監視対象の異常検出結果を示すログを外部装置へ通知する通知部をさらに備え、
    前記制御部は、前記通知部による通知処理を変更する、
    請求項5から9のいずれかに記載の監視装置。
  11. 前記制御部は、前記車両の自動運転機能に関する処理を変更する、
    請求項5から10のいずれかに記載の監視装置。
  12. 車両に搭載される第一監視装置が、
    第一監視対象が異常な状態かを検出し、
    前記第一監視対象とは異なる第二監視対象を監視する第二監視装置へ、異常検出結果を送信し、
    前記車両に搭載される前記第二監視装置が、
    前記第一監視装置から送信された前記異常検出結果を受信し、
    前記異常検出結果に応じて、前記第二監視装置が実行する処理を変更する、
    監視システム。
  13. 車両に搭載される複数の監視装置に含まれる、第一監視対象の異常状態を監視する監視装置に、
    前記第一監視対象とは異なる第二監視対象の異常状態を監視する他の監視装置による異常検出結果を受信する受信処理と、
    前記他の監視装置による異常検出結果に応じて、前記監視装置が実行する処理を変更する制御処理と、
    を実行させるためのコンピュータプログラム。
JP2017165141A 2017-08-30 2017-08-30 監視装置、監視システムおよびコンピュータプログラム Active JP6913869B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2017165141A JP6913869B2 (ja) 2017-08-30 2017-08-30 監視装置、監視システムおよびコンピュータプログラム
PCT/JP2018/025740 WO2019044174A1 (ja) 2017-08-30 2018-07-06 監視装置、監視システムおよびコンピュータプログラム
DE112018004881.0T DE112018004881T5 (de) 2017-08-30 2018-07-06 Überwachungsvorrichtung, Überwachungssystem und Computerprogramm
US16/783,487 US20200177412A1 (en) 2017-08-30 2020-02-06 Monitoring device, monitoring system, and computer readable storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017165141A JP6913869B2 (ja) 2017-08-30 2017-08-30 監視装置、監視システムおよびコンピュータプログラム

Publications (2)

Publication Number Publication Date
JP2019047177A true JP2019047177A (ja) 2019-03-22
JP6913869B2 JP6913869B2 (ja) 2021-08-04

Family

ID=65525021

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017165141A Active JP6913869B2 (ja) 2017-08-30 2017-08-30 監視装置、監視システムおよびコンピュータプログラム

Country Status (4)

Country Link
US (1) US20200177412A1 (ja)
JP (1) JP6913869B2 (ja)
DE (1) DE112018004881T5 (ja)
WO (1) WO2019044174A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021078086A (ja) * 2019-11-13 2021-05-20 株式会社オートネットワーク技術研究所 車載中継装置及び情報処理方法
JP7420285B2 (ja) 2020-12-10 2024-01-23 株式会社オートネットワーク技術研究所 車載装置、不正検知方法及びコンピュータプログラム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015136107A (ja) * 2014-01-06 2015-07-27 アーガス サイバー セキュリティ リミテッド グローバル自動車安全システム
JP2016134914A (ja) * 2015-01-20 2016-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
JP2016134170A (ja) * 2015-01-20 2016-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正対処方法及び電子制御ユニット

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6531011B2 (ja) 2015-09-04 2019-06-12 日立オートモティブシステムズ株式会社 車載ネットワーク装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015136107A (ja) * 2014-01-06 2015-07-27 アーガス サイバー セキュリティ リミテッド グローバル自動車安全システム
JP2016134914A (ja) * 2015-01-20 2016-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
JP2016134170A (ja) * 2015-01-20 2016-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正対処方法及び電子制御ユニット

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021078086A (ja) * 2019-11-13 2021-05-20 株式会社オートネットワーク技術研究所 車載中継装置及び情報処理方法
WO2021095589A1 (ja) * 2019-11-13 2021-05-20 株式会社オートネットワーク技術研究所 車載中継装置及び情報処理方法
JP7192747B2 (ja) 2019-11-13 2022-12-20 株式会社オートネットワーク技術研究所 車載中継装置及び情報処理方法
JP7420285B2 (ja) 2020-12-10 2024-01-23 株式会社オートネットワーク技術研究所 車載装置、不正検知方法及びコンピュータプログラム

Also Published As

Publication number Publication date
US20200177412A1 (en) 2020-06-04
DE112018004881T5 (de) 2020-06-18
WO2019044174A1 (ja) 2019-03-07
JP6913869B2 (ja) 2021-08-04

Similar Documents

Publication Publication Date Title
CN105981336B (zh) 不正常检测电子控制单元、车载网络系统以及不正常检测方法
JP6846706B2 (ja) 監視装置、監視方法およびコンピュータプログラム
US20160323287A1 (en) Method for detecting and dealing with unauthorized frames in vehicle network system
WO2018135098A1 (ja) 監視装置、監視方法およびコンピュータプログラム
JP6369341B2 (ja) 車載通信システム
KR101972295B1 (ko) 침입 검지 장치 및 기억 매체에 저장된 침입 검지 프로그램
JP6782444B2 (ja) 監視装置、監視方法およびコンピュータプログラム
JP6418217B2 (ja) 通信システムで実行される情報集約方法
US20200014758A1 (en) On-board communication device, computer program, and message determination method
US20210258187A1 (en) Electronic control device, electronic control method, and recording medium
JP2019008618A (ja) 情報処理装置、情報処理方法及びプログラム
JP6586500B2 (ja) データバスによってメッセージシーケンスを送信するための方法及び装置並びにこうして送信されるメッセージシーケンスに対する攻撃を認識するための方法及び装置
WO2021111681A1 (ja) 情報処理装置、制御方法及びプログラム
JP6497656B2 (ja) 通信方法およびそれを利用した通信装置
JP6913869B2 (ja) 監視装置、監視システムおよびコンピュータプログラム
JP6404848B2 (ja) 監視装置、及び、通信システム
KR102204655B1 (ko) 공격 메시지 재전송 시간을 예측하는 can 네트워크에 대한 메시지플러딩 공격 완화방법
JP2020107237A (ja) 情報処理装置
JP2017050719A (ja) 車載ネットワークシステム
JP2015192216A (ja) 通信装置および通信方法
JP2018166309A (ja) 車載ネットワークシステム、電子制御装置、通信方法およびコンピュータプログラム
JP2012174198A (ja) 異常検出装置、および異常検出プログラム
WO2020105657A1 (ja) 車載中継装置及び中継方法
JP2020039177A (ja) 不正検知電子制御ユニット、車載ネットワークシステム及び不正検知方法
JP7471532B2 (ja) 制御装置

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20180417

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201201

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201211

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210316

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210413

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210525

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210623

R151 Written notification of patent or utility model registration

Ref document number: 6913869

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

SZ03 Written request for cancellation of trust registration

Free format text: JAPANESE INTERMEDIATE CODE: R313Z03