JP2019191063A - 検査システム - Google Patents
検査システム Download PDFInfo
- Publication number
- JP2019191063A JP2019191063A JP2018086066A JP2018086066A JP2019191063A JP 2019191063 A JP2019191063 A JP 2019191063A JP 2018086066 A JP2018086066 A JP 2018086066A JP 2018086066 A JP2018086066 A JP 2018086066A JP 2019191063 A JP2019191063 A JP 2019191063A
- Authority
- JP
- Japan
- Prior art keywords
- inspection
- ecu
- information
- control device
- vehicle
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Abstract
Description
ECUのいくつかは自身が備える無線通信手段を用いて、車両外部に存在する道路、住居、他の車両、カーメーカまたは車載部品供給メーカの備えるサーバーなどと無線通信を行うことにより、機器間の情報共有を実現している。
この情報共有の一部として、車両外部からECUの状態を取得して車両の故障診断を行ったり、ECUの機能を変更するために新たなソフトウェアを車両外部からECUへ送信して更新したり(たとえば、ナビゲーションなどのECUが備えるマップの更新)、することが可能となり、エンドユーザへ有益な機能を提供できるようになっている。
この不正な情報は、ECUが車両に搭載されたのちに、演算能力の向上、新たな攻撃手口などにより更新され得る。更新された情報が車両に送信された場合に、ECUが異常な動作にならないようにするのが理想的である。しかし、更新された不正な情報の中には、設計時に対応しきれない情報も存在するため、そのような情報は車両の動作に悪影響を与えることになる。
特許文献1には、ECUの動作を検査するために、ECUの設計情報に基づいて予め生成されるデータとそのデータの一部または全部をランダムデータに置き換えたデータをECUに送信し、運用時におけるECUの動作を正確に検査し得る検査装置が記載されている。
特許文献1の設計情報は「設計段階」のみが対象であり、運用段階に更新・追加される設計情報への対応が記載されていない。エンドユーザが車両を入手したのちの運用段階では、様々な要因で設計情報が変化することが想定される。その変化を考慮せずにセキュリティ上の異常を引き起こすようなデータを、設計段階の情報を基に作成して送信すると、正常にもかかわらず異常と判定する虞がある。
また、ゲートウェイあるいはサーバーでのECUの検査が前提とされており、ゲートウェイ自体の検査に対応できる構成となっていない。ゲートウェイが正常に機能しているかどうかを正しく把握できない虞がある。
図1は、実施の形態1による検査システムの概略構成を示すブロック図である。
図1において、車両101は、ECU_GW201、ECU_A301、ECU_B401の制御装置を搭載し、これらの制御装置は、有線通信501で接続されている。
車両101の外部には、サーバー1001が設けられており、車両101とサーバー1001は、無線通信502と通信網601とを介して、および無線通信503と通信網601とを介して接続されている。
サーバー1001は、車両101に搭載されたECUを検査するために、ある時点でのECUの設計情報1010と、別途収集したセキュリティ情報1011から生成される検査データであるセキュリティ検査情報を、無線通信502を介して車両101に送信する。
検査情報生成手段1012は、ある時点でのECUの設計情報1010とセキュリティ情報1011から、セキュリティ検査情報を生成する。サーバー送受信手段1013は、通信網601および無線通信502を介して、車両との間で、セキュリティ検査情報を含む車内外通信情報の送受信を行なう。
検査制御手段1014は、サーバー送受信手段1013を通じて、セキュリティ検査情報を車両に送信するための制御を行なう。
更新ソフト生成手段1015は、車両101のECUに関わる更新プログラムを自動的に生成する、またはサーバー1001の管理者が更新プログラムを格納する。更新ソフト送信制御手段1016は、サーバー送受信手段1013を通じて、更新ソフトを車両に送信するための制御を行なう。
なお、実施の形態1では、セキュリティ検査情報を、ECU_GW201を検査するためのものとして説明する。
設計情報1010は、車両101に搭載される各ECUとECU間の物理的・論理的なネットワークアーキテクチャ、機能を構成するソフトウェアおよびハードウェアについて、処理、機器の設計の際に考慮した確定できない前提条件などを蓄積した情報であり、データベースに格納されている。
セキュリティ情報1011は、自動車業界に限らず、様々な業界にて報告される公知の脆弱性情報またはインシデント、あるいはサーバーまたはECUにペネトレーションテストを実施して明らかになる機器の脆弱性情報などを蓄積した情報である。セキュリティ情報1011は、設計情報1010とは異なるデータベースに格納されている。
車両101がエンドユーザの手に渡ったのちに新たな脅威または脆弱性情報が発見され次第、セキュリティ情報1011は更新される。
ECU_GW201は、車内にあるゲートウェイであり、運転者の状態監視を行ったり、エンターテインメント系のナビゲーションあるいはスマートフォンなどの持込み機器に対する入出力を有し、コンビネーションメータに情報を表示させたりするECUである。
ECU_GW制御手段202(ゲートウェイ制御手段)は、ゲートウェイ機能を有し、受信したデータを転送し、または、このデータを加工して送信する。すなわち、サーバー1001または車内のECUから受信したデータを、有線通信501または無線通信502を介して、そのまま転送し、また、受信したデータを自身の制御を介して変更を加えた結果を、別のECUまたは車外機器に送信する。
ECU_GW201は、サーバー1001から受信したセキュリティ検査情報を、ECU_A301(第二の制御装置)用、およびECU_B401(第三の制御装置)用のデータ(第一の検査データ、第二の検査データ)に変換して、それぞれ、ECU_A301、ECU_B401に送信するようになっている。
ECU_GW更新制御手段205は、サーバー1001から受信する各ECUの更新ソフトウェアを更新対象となる車内ECUに送信するための制御を行なう。
ECU_A301は、運転支援を行うADAS(Advanced Driver Assistant System)ECUであったり、V2X(Vehicle to X:Xは車、家、交通インフラなどに配置される車外の機器)ECUであったりする。
ECU_A301は、車内の有線通信501に流れるデータを受信する。
また、本実施の形態1では、より好適な形態として、車両101の外部へ自身のもつデータを送信する無線通信503の通信経路をもつ。
ECU_A正常通信情報305は、ECU_GW201から送信されるデータが正常範囲内にあるか否かを判断するための判定指標である正常通信情報をデータベース(指標データベース)に格納したものである。
ECU_A検査結果判定手段306(第一の判定手段)は、ECU_GW201から送信されるセキュリティ検査情報を変換した情報(第一の検査データ)を、ECU_A正常通信情報305と比較することで、当該情報が正常範囲内にあるか否かを判断する。
ECU_B401は、ボディ系、シャシー系などのECUであって、他の機器の中継なしに、車外へ無線通信503を介して情報を送信しないECUである。
ECU_B401は、ECU_A301およびECU_GW201と、有線通信501で接続されており、車内の他のECUとも通信が可能になっている。
ECU_B制御手段402、ECU_B車内通信手段403、ECU_B正常通信情報405およびECU_B検査結果判定手段406(第二の判定手段)は、それぞれ、ECU_A301のECU_A制御手段302、ECU_A車内通信手段303、ECU_A正常通信情報305およびECU_A検査結果判定手段306と同じものである。
ECU_B正常通信情報405は、ECU_GW201から送信されるセキュリティ検査情報を変換した情報(第二の検査データ)が、正常範囲内にあるか否かを判定するための判定指標であり、データベース(別指標データベース)に格納されている。
ECU_A301とECU_B401の判定指標の候補は、ECU_GW201のフェイルセーフ機能またはセキュリティ対策機能の結果から出力されるデータの受信間隔あるいは取り得る値である。
通常制御状態となる範囲に加えて、フェイルセーフまたはセキュリティ対策が動作している範囲を定義し、受信間隔または取り得る値が、その範囲から逸脱していないかどうかという判定を行う。
正常と異常のいずれにも該当しない場合が、セキュリティ検査情報によって想定しない動作となっていると判定できる。
ここでは、ECU_A301が車線維持機能を持つADASECUとして機能する場合、かつECU_B401がECU_A301から受信したデータに基づき、操舵量を決める電動パワーステアリングECUとした場合において、受信間隔の判定指標に成り立つ関係性に注目して説明する。
このときのADASECUと電動パワーステアリングECUのデータ受信間隔は、車両101に搭載された運転者の状態を検知するセンサ検出値を、ECU_GW201から受信するときの受信間隔よりも一般的に長い。
このことから、このケースにおいては、ECU_A301とECU_B401のデータ受信間隔は、両方とも所定の時間より長いという関係性を持つ。ECU_GW201がECU_A301とECU_B401へ送信する間隔が、一方は所定の時間より短く、もう一方が所定の時間よりも長い場合は、その関係性が崩れてしまっており、ECU_GW201が何らかの異常を抱えていることが分かる。
実施の形態1の検査システムの動作について、図2のシーケンスチャートに従って説明する。
ステップST1002では、サーバー1001が生成したセキュリティ検査情報を、ECU_GW201に送信する。
ステップST1003では、ECU_GW201がセキュリティ検査情報を受信する。
相違なしと判定した場合、ECU_GW201の検査を継続し、ステップST1006にすすむ。
相違ありと判定した場合、無線通信502、あるいはECU_GW201の受信処理または送信処理に、異常があると推定できるので、検査を停止する。
ステップST1007とステップST1008では、セキュリティ検査情報を変換した検査データを、ECU_A301、ECU_B401へ送信する。
ステップST1009では、ECU_A301、ECU_B401が検査データを受信する。
ステップST1010とステップST1011では、ECU_A301およびECU_B401は、それぞれ、受信した検査データと判定指標とを照らし合わせることで、受信した検査データが指標を満足するか否かを判断する。(以上、パターン2−1)
また、ECU_A301は、自身が受信した検査データと、そのときECU_B401が受信するべき検査データとの関係性を判定指標(関係性判定指標)の1つとして持つ。このとき、
ステップST1012では、ECU_A301、ECU_B401が、検査データを受信し、ECU_B401が、ステップST1006と同様の処理を行なう。
ステップST1013では、ECU_B401は、受信し、ECU_A301向けに変換した検査データをECU_A301へ送信する。
ステップST1014とステップST1015では、ECU_A301が、自身の持つ検査データとECU_B401から受信した検査データとの2つの検査データに対して、判定指標となる関係性を照合する。(以上、パターン2−2)
ステップST1017では、その判定結果をサーバー1001に送信する。
ステップST1018では、サーバー1001がその判定結果を受信する。
ステップST1019では、受信した判定結果に基づいて、判定指標を満足するように修正されたプログラム(更新ソフト)および機能仕様を作成する。
ステップST1020では、修正されたプログラムすなわち更新ソフトをECU_GW201に送信する。
ステップST1021では、ECU_GW201が修正されたプログラムに更新する。
すなわち、車内に備えた可変の判定指標に基づき、ECU_GW201の動作を検査することで、運用中においても、車両に搭載されるECUが正常に動作するか否かを正確に確認することができる。
すなわち、車両101に搭載されている他のECUであって、受信したデータに基づいて他ECUに送信する機能を備えていれば、適用可能である。
たとえば、有線通信の一例として、DLC(Data Link Coupler)にディーラーなどが利用する検査用ツールを接続し、検査用ツールで生成したセキュリティ検査情報を送信してもよい。
図3は、実施の形態2による検査システムの概略構成を示すブロック図である。
図3において、符号101、201〜205、301〜306、401〜403、405、406、501〜503、601、1001、1010〜1016は図1におけるものと同一のものである。図3では、ECU_GW201に、車両機能管理手段210とECU_GW最適化手段211を設けている。また、サーバー1001に、最適化情報1021とサーバー最適化手段1022を設けている。
ECU_GW最適化手段211(機能変更手段)は、ECU_GW201が検出しているセンシング情報、および通信を介して得られる通信情報(自制御装置に入力される情報)に基づいて、設計情報1010から学習を行い、ECU_GW201の機能変更を行なう。すなわち、ECU_GW制御手段202を構成する処理時間、処理周期または処理内容を変更する。
サーバー最適化手段1022は、ECU_GW201から送信された最適化情報1021に基づき、学習を行ない、サーバー1001の機能変更を行なう。
ECU_GW201の車両機能管理手段210は、ある時刻tnにおけるゲートウェイ制御および自制御装置の制御を行う機能一覧と詳細を有している。時刻tnよりも後の時刻tn+1における同機能一覧と詳細も、合せて車両機能管理手段210が有する。
車両機能管理手段210は、ECU_GW201が備える機能の処理周期、処理時間、形式的に記載された処理内容が、時刻tnから時刻tn+1の間に、変化があったかどうかを不定期または定期的に確認を行う。変更があった場合には、ECU_A301またはECU_B401に機能変更内容を通知する。
次に、実施の形態2の検査システムを、図4のシーケンスチャートに従って説明する。
(パターン4−1:機能変更をECU_A301、ECU_B401に通知する場合)
ステップST2002では、時刻tnから時刻tn+1において、更新された機能が所定値以上であったかどうかを確認し、変更がない場合は処理を終了する。
一方、変更があった場合には、ステップST2003へ進む。
ステップST2003では、機能変更および変更内容を他のECUへ通知するために、機能変更内容通知データ(機能変更内容)を作成する。
ステップST2004とステップST2005では、車両101に搭載される各ECUへ機能変更内容通知データを送信する。
ステップST2006では、機能変更内容通知データに基づき、各ECUが備えている判定指標(正常通信情報)を更新する。(以上、パターン4−1)
ECU_GW201は、車両機能管理手段210が、ECU_GW制御手段202の機能の変更を検出した場合、サーバー1001にも機能変更を通知する。この場合の動作について、以下に説明する。
ステップST2008では、機能変更があったことを通知するための機能変更内容通知データを生成する。
ステップST2009では、サーバー1001へ生成した機能変更内容通知データを送信する。
ステップST2010では、サーバー1001は、この機能変更内容通知データを受信して、車両101を構成するECUの機能構成に変更があったことを検知して、セキュリティ検査情報を生成する。
ステップST2011では、生成したセキュリティ検査情報を、再度ECU_GW201へ送信する。(以上、パターン4−2)
以降は、図2のステップST1003以下の動作と同じである。
サーバー1001においても、ECU_GW201に搭載されている学習アルゴリズムと同様に、学習可能なサーバー最適化手段1022を有する。
次に、このサーバー最適化手段1022の動作について、ステップST2012以降で説明する。
ステップST2014では、サーバー1001がデータを受信し、最適化情報1021として保持している学習用データベースへ追加する。
ステップST2015では、時刻tnにおける設計情報1010から、学習によって変更された機能(設計情報の差分)を、サーバー最適化手段1022によって解析する。
ステップST2016では、設計情報1010とセキュリティ情報1011に加え、学習によって変更された箇所のみに注目して生成されたセキュリティ検査情報となるように、セキュリティ検査情報を更新する。
ステップST2017では、更新されたセキュリティ検査情報をECU_GW201に送信する。
以降は、図2のステップST1003以下の動作と同じである。
学習に用いるデータは、運転者の状態を検出するセンシングデータと、走行時のECUのデータであり、運転者の状態に応じて、ECU_A301およびECU_B401へ送信する指示が、運転者にとって違和感のない運転支援となるように学習する。
運転者の満足度をECU_GW201へ入力するようにし、それを教師データとして評価値が最適値になるように学習しつづけることで、ECU_A301およびECU_B401へ送信する処理周期、処理時間、処理内容が変化してゆく。
また、更新された機能がセキュリティ検査情報に正しく対応できているかどうかを即座に確認することができる。
また、サーバー最適化手段1022が、検査すべき機能変更を予想し、限定することで、セキュリティ検査情報による検査を短時間で終了させることができる。
図5は、実施の形態3による検査システムの概略構成を示すブロック図である。
図5において、符号101、201〜205、210、211、301〜306、401〜403、405、406、501〜503、601、1001、1010〜101016、1021、1022は図1におけるものと同一のものである。図5では、サーバー1001に、車両状態履歴情報1031、車両状態予測手段1032、検査計画手段1033および動作許可制御手段1034を設けている。
車両状態予測手段1032は、車両状態履歴情報1031のデータを基に、所定時間先の車両101の状態を予測する予測アルゴリズムを有する。
検査計画手段1033は、車両状態予測手段1032の予測に基づき、セキュリティ検査情報を、車両に送信する時刻を計画し、ユーザ(運転者または所有者)に提示する機能(検査予告手段)を有する。
動作許可制御手段1034は、運転者および所有者が、セキュリティ検査情報による検査を許可しない場合、または車両状態履歴情報1031から検査計画が立てられない場合に、ECUの処理の一部または全てを停止するように、当該ECUに指示する。
実施の形態3では、車両101のECU_GW201は、過去の車両101状態、そのときの時刻、位置などのデータを検知し、サーバー1001に送信するようにしている。
サーバー1001は、車両101側から送信される車両101の状態等の履歴と、ユーザの予定などの履歴を、車両状態履歴情報1031としてデータベースに蓄積し、この蓄積した車両状態履歴情報1031のデータを基にして、車両状態予測手段1032により、今後の車両101の状態を予測する。
そして、検査計画手段1033により、予測した今後の車両101の状態から、セキュリティ検査情報の送信が可能な検査計画を立案し、ユーザに提示する。
万が一、検査を実施しなければならないにもかかわらず、ユーザの許可が下りない、または車両状態履歴情報1031から検査計画が立てられない場合に、動作許可制御手段1034により、車両101の動作を限定する指示を生成する。
ステップST3001では、ECU_GW201が、時刻と車両101の状態、位置を関連付けた、車両状態情報を生成する。
ステップST3002では、ECU_GW201は、生成した車両状態情報をサーバー1001へ送信する。
ステップST3003では、サーバー1001は、受信した車両101状態、位置とそのときの時刻情報に加えて、ユーザが登録している予定表から日時と予定の情報を関連付けて、車両状態履歴情報1031として、データベースに保管する。
次いで、検査計画手段1033が、セキュリティ情報1011から、脅威によって脆弱性がつかれる可能性が高く、脆弱性をつかれたときの影響が大きいリスクのあるECUを優先的に検査できるように計画し、検査情報生成手段1012により、セキュリティ検査情報を生成する。
検査計画手段1033は、特に各ECUのリスクに差が無い場合は、全ECUを対象にセキュリティ検査情報を生成するように、検査計画を立案する。
ステップST3005では、検査可能である日時に検査を実行する旨をユーザに通知する。
ステップST3008では、動作許可制御手段1034は、検査されないことによる危険性を考慮して、セキュリティ情報1011の影響を受けない、または受けにくいと予想される箇所のみ動作することを許可する通知を生成する。
ステップST3009では、動作許可制御手段1034の通知をECU_GW201に送信する。
ステップST3011にて、ECU_GW201は、対象となるECU_B401に制御停止指示を送信する。
ステップST3012では、ECU_B401は、次の検査が行われるまで、制御動作の一部を停止する。
また、未検査の状態において、車両101での移動が必要となった場合においても、検査対象のECU以外であれば、動作させることが可能であり、走る・曲がる・止まるに関係ないECUが検査対象の場合は、走行も可能となり得る。
記憶装置12は図示していないが、ランダムアクセスメモリ等の揮発性記憶装置と、フラッシュメモリ等の不揮発性の補助記憶装置とを具備する。また、フラッシュメモリの代わりにハードディスクの補助記憶装置を具備してもよい。
プロセッサ11は、記憶装置12から入力されたプログラムを実行する。この場合、補助記憶装置から揮発性記憶装置を介してプロセッサ11にプログラムが入力される。また、プロセッサ11は、演算結果等のデータを記憶装置12の揮発性記憶装置に出力してもよいし、揮発性記憶装置を介して補助記憶装置にデータを保存してもよい。
また、サーバー1001も、制御装置10と同様のハードウェア構成である。
従って、例示されていない無数の変形例が、本願明細書に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合、さらには、少なくとも1つの構成要素を抽出し、他の実施の形態の構成要素と組み合わせる場合が含まれるものとする。
101 車両、201 ECU_GW、202 ECU_GW制御手段、
203 ECU_GW車外通信手段、204 ECU_GW車内通信手段、
205 ECU_GW更新制御手段、210 車両機能管理手段、
211 ECU_GW最適化手段、301 ECU_A、302 ECU_A制御手段、
303 ECU_A車内通信手段、304 ECU_A車外通信手段、
305 ECU_A正常通信情報、306 ECU_A検査結果判定手段、
401 ECU_B、402 ECU_B制御手段、403 ECU_B車内通信手段、
405 ECU_B正常通信情報、406 ECU_B検査結果判定手段、
501 有線通信、502 無線通信、503 無線通信、601 通信網、
1001 サーバー、1010 設計情報、1011 セキュリティ情報、
1012 検査情報生成手段、1013 サーバー送受信手段、1014 検査制御手段、
1015 更新ソフト生成手段、1016 更新ソフト送信制御手段、
1021 最適化情報、1022 サーバー最適化手段、1031 車両状態履歴情報、
1032 車両状態予測手段、1033 検査計画手段、1034 動作許可制御手段
Claims (10)
- 車両に搭載され、互いに通信可能な複数の制御装置、
およびこの複数の制御装置の機能の検査を、車外からネットワークを介して行なう検査装置を備え、
上記検査装置は、
上記複数の制御装置の設計情報および別途収集したセキュリティ情報に基づき、第一の制御装置の機能の検査に用いるセキュリティ検査情報を生成する検査情報生成手段を有し、
上記検査情報生成手段により生成された上記セキュリティ検査情報を上記第一の制御装置に送信し、
上記第一の制御装置は、
上記検査装置から送信された上記セキュリティ検査情報を、第二の制御装置向けの第一の検査データに変換するゲートウェイ制御手段を有し、
上記ゲートウェイ制御手段によって変換された第一の検査データを上記第二の制御装置に送信し、
上記第二の制御装置は、
上記第一の制御装置から送信された上記第一の検査データが、正常範囲内にあるかどうかを判定するための判定指標を格納した指標データベースと、
上記第一の検査データを上記判定指標と比較して、上記第一の検査データの正常または異常を判定する第一の判定手段とを有することを特徴とする検査システム。 - 上記第一の制御装置は、上記検査装置から送信された上記セキュリティ検査情報を、所定の処理を行なったのち、上記検査装置に送信することを特徴とする請求項1に記載の検査システム。
- 上記第一の制御装置は、上記セキュリティ検査情報を、上記ゲートウェイ制御手段により、上記第二の制御装置とは別の第三の制御装置向けの第二の検査データに変換し、この変換された第二の検査データを上記第三の制御装置に送信し、
上記第三の制御装置は、
上記第一の制御装置から送信された上記第二の検査データが、正常範囲内にあるかどうかを判定するための判定指標で、かつ 上記第二の制御装置の判定指標とは異なる判定指標を格納した別指標データベースと、
上記第二の検査データを上記別指標データベースの判定指標と比較して、上記第二の検査データの正常または異常を判定する第二の判定手段とを有することを特徴とする請求項1または請求項2に記載の検査システム。 - 上記第二の制御装置は、上記ゲートウェイ制御手段により、上記セキュリティ検査情報から自制御装置向けに変換された第一の検査データと、上記第三の制御装置向けに変換された第二の検査データとの間に所定の関係性があるかどうかを判定するための関係性判定指標を有し、
上記第三の制御装置は、上記第二の検査データを、上記第二の制御装置向けの第三の検査データに変換して、上記第二の制御装置に送信し、
上記第二の制御装置は、上記第一の判定手段により、上記第三の制御装置から送信された上記第三の検査データについて、上記関係性判定指標を用いて、上記所定の関係性があるかどうかを判定することを特徴とする請求項3に記載の検査システム。 - 上記第二の制御装置は、上記第三の制御装置から送信された上記第三の検査データが、上記所定の関係性をもたない場合は、その判定結果を上記検査装置に送信することを特徴とする請求項4に記載の検査システム。
- 上記第一の制御装置は、上記複数の制御装置の機能を管理する車両機能管理手段を有し、
上記車両機能管理手段により上記ゲートウェイ制御手段の機能が変更されたことが検知された場合は、上記第二の制御装置および上記第三の制御装置に機能変更内容を送信し、
上記第二の制御装置および上記第三の制御装置は、それぞれ、上記第一の制御装置から送信された上記機能変更内容に基づき、自制御装置の上記判定指標を更新することを特徴とする請求項3から請求項5のいずれか一項に記載の検査システム。 - 上記第一の制御装置は、上記車両機能管理手段により、上記ゲートウェイ制御手段の機能が変更されたことを検知した場合には、上記機能変更内容を上記検査装置へ送信し、
上記検査装置は、上記機能変更内容を反映させた上記セキュリティ検査情報を生成して、上記第一の制御装置へ送信することを特徴とする請求項6に記載の検査システム。 - 上記第一の制御装置は、自制御装置に入力された情報に基づき、上記ゲートウェイ制御手段の機能の変更を行なう機能変更手段を有するとともに、
上記入力された情報を上記検査装置に送信し、
上記検査装置は、上記第一の制御装置から受信した上記入力された情報を解析して、上記検査情報生成手段による上記セキュリティ検査情報の生成に反映させることを特徴とする請求項1から請求項7のいずれか一項に記載の検査システム。 - 上記検査装置は、
上記車両から車両状態に係わる情報を収集し、この収集した車両状態情報を蓄積した車両状態履歴情報を記憶する履歴データベースと、
上記車両状態履歴情報から所定時間先の車両状態を予測する車両状態予測手段と、
この車両状態予測手段により予測された車両状態に基づき、上記セキュリティ検査情報を上記車両に送信する時刻を計画する検査計画手段とを有することを特徴とする請求項1から請求項8のいずれか一項に記載の検査システム。 - 上記検査装置は、
上記セキュリティ検査情報を上記車両に送信する時刻を、上記車両の運転者または所有者に予告通知する検査予告手段と、
この検査予告手段の予告通知に応じて、返信された情報に基づき、上記制御装置の機能の一部または全てについて、実行許可または実行停止を指示する動作許可制御手段とを有することを特徴とする請求項1から請求項9のいずれか一項に記載の検査システム。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018086066A JP6552674B1 (ja) | 2018-04-27 | 2018-04-27 | 検査システム |
US16/253,441 US11126730B2 (en) | 2018-04-27 | 2019-01-22 | Inspection system |
DE102019205700.4A DE102019205700B4 (de) | 2018-04-27 | 2019-04-18 | Prüfsystem |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018086066A JP6552674B1 (ja) | 2018-04-27 | 2018-04-27 | 検査システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6552674B1 JP6552674B1 (ja) | 2019-07-31 |
JP2019191063A true JP2019191063A (ja) | 2019-10-31 |
Family
ID=67473400
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018086066A Active JP6552674B1 (ja) | 2018-04-27 | 2018-04-27 | 検査システム |
Country Status (3)
Country | Link |
---|---|
US (1) | US11126730B2 (ja) |
JP (1) | JP6552674B1 (ja) |
DE (1) | DE102019205700B4 (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021060778A (ja) * | 2019-10-07 | 2021-04-15 | 三菱電機株式会社 | 制御装置および制御方法 |
WO2021075339A1 (ja) | 2019-10-18 | 2021-04-22 | 株式会社Nttドコモ | 端末及び無線通信方法 |
JP2021076949A (ja) * | 2019-11-06 | 2021-05-20 | 三菱電機株式会社 | 車両用制御装置 |
JP2021157338A (ja) * | 2020-03-25 | 2021-10-07 | トヨタ自動車株式会社 | 車両制御システム、攻撃判定方法及びプログラム |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112277843B (zh) * | 2020-09-21 | 2022-04-01 | 江铃汽车股份有限公司 | 一种汽车雷达的配置方法及系统 |
JP7217767B2 (ja) * | 2021-03-19 | 2023-02-03 | 本田技研工業株式会社 | 更新管理サーバ、更新管理方法、及びプログラム |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102893574A (zh) * | 2010-02-22 | 2013-01-23 | 大陆汽车有限责任公司 | 防止攻击联网车辆的系统和方法 |
JP2014146868A (ja) * | 2013-01-28 | 2014-08-14 | Hitachi Automotive Systems Ltd | ネットワーク装置およびデータ送受信システム |
JP2015214169A (ja) * | 2014-05-07 | 2015-12-03 | 日立オートモティブシステムズ株式会社 | 検査装置、検査システム及び検査方法 |
JP2016134914A (ja) * | 2015-01-20 | 2016-07-25 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム |
JP2017050845A (ja) * | 2015-08-31 | 2017-03-09 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | ゲートウェイ装置、車載ネットワークシステム及び通信方法 |
US20170093866A1 (en) * | 2015-09-25 | 2017-03-30 | Argus Cyber Security Ltd. | System and method for controlling access to an in-vehicle communication network |
JP2017094869A (ja) * | 2015-11-20 | 2017-06-01 | 本田技研工業株式会社 | 通信システム、及び制御装置 |
JP2017111796A (ja) * | 2015-12-16 | 2017-06-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ処理方法及びサーバ |
JP6270965B1 (ja) * | 2016-11-16 | 2018-01-31 | 三菱電機株式会社 | プログラムの更新制御システムおよびプログラムの更新制御方法 |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8155829B2 (en) * | 2007-11-21 | 2012-04-10 | Denso Corporation | Common control apparatus and vehicle control system |
EP2403186B1 (en) * | 2010-07-02 | 2017-12-27 | Vodafone IP Licensing limited | Telecommunication networks |
JP5479408B2 (ja) * | 2011-07-06 | 2014-04-23 | 日立オートモティブシステムズ株式会社 | 車載ネットワークシステム |
JP2013103611A (ja) | 2011-11-14 | 2013-05-30 | Denso Corp | 車載中継装置及び外部通信装置 |
US9282110B2 (en) * | 2013-11-27 | 2016-03-08 | Cisco Technology, Inc. | Cloud-assisted threat defense for connected vehicles |
JP6201962B2 (ja) | 2014-11-06 | 2017-09-27 | トヨタ自動車株式会社 | 車載通信システム |
US10185547B2 (en) * | 2015-06-26 | 2019-01-22 | Intel Corporation | Techniques for distributed operation of secure controllers |
EP3407050A4 (en) * | 2016-01-19 | 2019-08-21 | IUCF-HYU (Industry-University Cooperation Foundation Hanyang University) | NETWORK DEVICE FOR VEHICLE SAFETY AND METHOD FOR CONTROLLING THEREOF |
US11044260B2 (en) * | 2016-04-01 | 2021-06-22 | The Regents Of The University Of Michigan | Fingerprinting electronic control units for vehicle intrusion detection |
EP3521124A4 (en) * | 2016-09-30 | 2020-06-17 | Pioneer Corporation | VEHICLE MOUNTED DEVICE, CONTROL METHOD AND PROGRAM |
EP3554015B1 (en) * | 2016-12-06 | 2020-12-30 | Panasonic Intellectual Property Corporation of America | Information processing method, information processng system, and program |
US11055615B2 (en) * | 2016-12-07 | 2021-07-06 | Arilou Information Security Technologies Ltd. | System and method for using signal waveform analysis for detecting a change in a wired network |
JP6696417B2 (ja) * | 2016-12-20 | 2020-05-20 | 株式会社オートネットワーク技術研究所 | 車載更新装置、更新システム及び可搬型通信器 |
US10496398B2 (en) * | 2017-07-25 | 2019-12-03 | Aurora Labs Ltd. | Hot updates to ECU software using tool chain |
US20200228988A1 (en) * | 2017-09-29 | 2020-07-16 | Lg Electronics Inc. | V2x communication device and method for inspecting forgery/falsification of key thereof |
KR102506931B1 (ko) * | 2018-02-27 | 2023-03-07 | 현대자동차 주식회사 | 전자화 장비 보안 검사 시스템 및 그 방법 |
US11321462B2 (en) * | 2018-04-10 | 2022-05-03 | Raytheon Company | Device behavior anomaly detection |
JP6964277B2 (ja) * | 2018-03-30 | 2021-11-10 | パナソニックIpマネジメント株式会社 | 通信遮断システム、通信遮断方法及びプログラム |
DE102018212657A1 (de) * | 2018-07-30 | 2020-01-30 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz |
JP6995726B2 (ja) * | 2018-09-26 | 2022-01-17 | フォルシアクラリオン・エレクトロニクス株式会社 | 脆弱性評価装置、脆弱性評価システム及びその方法 |
US11019084B2 (en) * | 2018-12-14 | 2021-05-25 | Intel Corporation | Controller, a context broadcaster and an alert processing device |
US11423145B2 (en) * | 2019-12-26 | 2022-08-23 | Intel Corporation | Methods and arrangements for multi-layer in-vehicle network intrusion detection and characterization |
-
2018
- 2018-04-27 JP JP2018086066A patent/JP6552674B1/ja active Active
-
2019
- 2019-01-22 US US16/253,441 patent/US11126730B2/en active Active
- 2019-04-18 DE DE102019205700.4A patent/DE102019205700B4/de active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102893574A (zh) * | 2010-02-22 | 2013-01-23 | 大陆汽车有限责任公司 | 防止攻击联网车辆的系统和方法 |
JP2014146868A (ja) * | 2013-01-28 | 2014-08-14 | Hitachi Automotive Systems Ltd | ネットワーク装置およびデータ送受信システム |
JP2015214169A (ja) * | 2014-05-07 | 2015-12-03 | 日立オートモティブシステムズ株式会社 | 検査装置、検査システム及び検査方法 |
JP2016134914A (ja) * | 2015-01-20 | 2016-07-25 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム |
JP2017050845A (ja) * | 2015-08-31 | 2017-03-09 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | ゲートウェイ装置、車載ネットワークシステム及び通信方法 |
US20170093866A1 (en) * | 2015-09-25 | 2017-03-30 | Argus Cyber Security Ltd. | System and method for controlling access to an in-vehicle communication network |
JP2017094869A (ja) * | 2015-11-20 | 2017-06-01 | 本田技研工業株式会社 | 通信システム、及び制御装置 |
JP2017111796A (ja) * | 2015-12-16 | 2017-06-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ処理方法及びサーバ |
JP6270965B1 (ja) * | 2016-11-16 | 2018-01-31 | 三菱電機株式会社 | プログラムの更新制御システムおよびプログラムの更新制御方法 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021060778A (ja) * | 2019-10-07 | 2021-04-15 | 三菱電機株式会社 | 制御装置および制御方法 |
WO2021075339A1 (ja) | 2019-10-18 | 2021-04-22 | 株式会社Nttドコモ | 端末及び無線通信方法 |
JP2021076949A (ja) * | 2019-11-06 | 2021-05-20 | 三菱電機株式会社 | 車両用制御装置 |
JP2021157338A (ja) * | 2020-03-25 | 2021-10-07 | トヨタ自動車株式会社 | 車両制御システム、攻撃判定方法及びプログラム |
JP7283427B2 (ja) | 2020-03-25 | 2023-05-30 | トヨタ自動車株式会社 | 車両制御システム、攻撃判定方法及びプログラム |
US11713058B2 (en) | 2020-03-25 | 2023-08-01 | Toyota Jidosha Kabushiki Kaisha | Vehicle control system, attack judging method, and recording medium on which program is recorded |
Also Published As
Publication number | Publication date |
---|---|
US11126730B2 (en) | 2021-09-21 |
JP6552674B1 (ja) | 2019-07-31 |
DE102019205700A1 (de) | 2019-10-31 |
US20190332778A1 (en) | 2019-10-31 |
DE102019205700B4 (de) | 2023-11-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6552674B1 (ja) | 検査システム | |
US11380197B2 (en) | Data analysis apparatus | |
JP7139257B2 (ja) | 車両セキュリティ監視装置、方法及びプログラム | |
US8060285B2 (en) | System and method of intelligent agent management using an overseer agent for use in vehicle diagnostics | |
BR112012006981A2 (pt) | métodos para monitorar operação de um veículo e para detectar impactos em um veículo | |
US11178164B2 (en) | Data analysis apparatus | |
KR20180105850A (ko) | 차량 고장 진단 시스템 및 그 진단방법 | |
KR20200020003A (ko) | 자동차 운전자 보조 시스템에 관련된 방법 | |
US11292480B2 (en) | Remote safe driving methods and systems | |
WO2020075809A1 (ja) | 情報処理装置、データ分析方法及びプログラム | |
CN110325410B (zh) | 数据分析装置及存储介质 | |
US20210150830A1 (en) | Center device, identification result display system for vehicle state, non-transitory tangible computer readable storage medium, and identification result transmission method for vehicle state | |
Moukahal et al. | Security vulnerability metrics for connected vehicles | |
KR20150112049A (ko) | 모바일 기기를 이용한 전기자동차 긴급구난 시스템 | |
US11763609B2 (en) | Predictive maintenance and diagnostics using modular condition monitoring | |
US10325423B1 (en) | Method and system for validating states of components of vehicle | |
JP5682388B2 (ja) | 障害診断方法及び障害診断システム | |
JP6483461B2 (ja) | 管理方法、管理プログラム、管理装置、管理システムおよび情報処理方法 | |
US20230153765A1 (en) | Maintenance system | |
Zhang | Distributed Fault Diagnosis of Interconnected Nonlinear Uncertain Systems | |
Azzoni et al. | Applying SHIELD in New Domains | |
CN117991750A (zh) | 基于数据采集分析的车载网络总线信息传输车管系统及方法 | |
JP2021165891A (ja) | 車両管理システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180427 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190522 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190604 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190702 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6552674 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |