JP2020501420A - 通信ネットワーク用の方法及び電子監視ユニット - Google Patents
通信ネットワーク用の方法及び電子監視ユニット Download PDFInfo
- Publication number
- JP2020501420A JP2020501420A JP2019526329A JP2019526329A JP2020501420A JP 2020501420 A JP2020501420 A JP 2020501420A JP 2019526329 A JP2019526329 A JP 2019526329A JP 2019526329 A JP2019526329 A JP 2019526329A JP 2020501420 A JP2020501420 A JP 2020501420A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- communication path
- risk
- data transfer
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40052—High-speed IEEE 1394 serial bus
- H04L12/40104—Security; Encryption; Content protection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/14—Multichannel or multilink protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】外部からのアクセスに対して車載ネットワークをより安全に構成され得る方法及び装置を提供する。【解決手段】本発明は、車載ネットワークにおける通信のため、データが少なくとも1つの通信経路(60)で転送される車載ネットワーク用の方法に関する。本発明は、電子監視ユニットにも関する。
Description
本発明は、請求項1の前文に記載の通信ネットワーク用の方法及び電子監視ユニットに関する。
イーサネット(登録商標)物理層及びその上のインターネットプロトコル(IP)に基づいて、情報技術システムの範囲内ですでに広く普及している技術は、自動車の通信ネットワークへの道を見出している。特にイーサネット及びインターネットプロトコルの使用の増加を考慮して、外部アクセスを防止可能とするためにさらなるセキュリティ機構が求められている。無線技術及び関連するオープンで標準化されたプロトコルの使用が増加したために、自動車分野では、したがって実質的に初めて遠隔アクセスによって自動車の通信ネットワークにアクセス可能となっている。攻撃者が無線を介して車両にアクセスする間、重要な車両機能にそれゆえ影響可能になる車両へのアクセスが、例えば知られている。他の産業分野では、例えばワークステーションコンピュータの場合、ファイアウォールが、システムに既に存在し、車両に要求されるようにオンザフライ方式ではないデータで既に動作しているので、自動車に適用できない問題及び解決策を有する。さらに、ワークステーションコンピュータのセキュリティソフトウェアは、自動車のソフトウェアよりもかなり簡単な方法で更新可能である。
従来技術による通信パケットは、通常、送信装置のプロトコルスタックの上位層のヘッダを含む。受信装置のプロトコルスタックは、この通信パケットを受信するときに徐々に進み、例えば送信されたデータを対応するソフトウェアアプリケーションに転送するために所定のフィルタによってそれを検査する。 イーサネットメッセージなどの通信パケットは、例えば制御装置内のTCP/IPスタックを通過し、内容の分析に基づいて、対応するアプリケーションに転送される。
プロトコルスタックの複雑さは使用されるプロトコルの数と共にかなり増加する。例えば、オーディオ及びビデオデータを送信及び再生するためのオーディオ/ビデオブリッジング(AVB)は4つのサブプロトコルを含み、時間依存ネットワーク(TSN)はさらに11のサブプロトコル及び包括的な仕様を含む。この不利な点は、使用される多数のプロトコルのために、容易に表すことができない非常に多数の分岐の可能性があって、決定論的プロトコルスタックに対する単純なトレーサビリティがないことである。したがって、プロトコルスタック内の既存のセキュリティギャップを決定することにはかなりの問題がある。問題は、例えば、イーサネットの新しいタイプが故意に又は意図せずに使用されているのか否かの判定をどう進めるか処理するかである。これは疑わしい場合に中央計算ユニットに転送され、重大なシステム状態を引き起こし、基盤システムの機能を大幅に制限するおそれがあり、道路利用者の安全を危険にするおそれがある。プロトコルスタック内のセキュリティギャップを意図的に検索するサービス拒否攻撃(DoS)によって、これまでに発見されていなかったセキュリティギャップに関する意図的な不正アクセスが発生するおそれがあるのである。
本発明の課題は、外部からのアクセスに対して車載ネットワークがより安全に構成され得る方法及び装置を提供することである。
上記課題は、請求項1に記載の方法と、従属請求項の記載事項とによって、達成される。
本発明は、通信ネットワークにおける通信のためにデータが少なくとも1つの通信経路で送信される、自動車内の通信ネットワークのための方法を提案する。本発明による方法は、少なくとも1つのステップ、好ましくは複数のステップを含む。これらのステップは、少なくとも、攻撃リスクに関してデータを送信する考慮の対象となる通信経路の評価に関する。
攻撃リスクは、セキュリティギャップを利用する目的で通信経路が攻撃されるリスクである。換言すると、これは通信経路が、第三者による、情報へのアクセス又は制御機構/規制機構の制御をすることにつながる攻撃(サイバー攻撃/ハッカー攻撃)の犠牲になるリスクである。自動車では、第三者によるそのような支配権の譲渡は、特に車両乗員の安全性に影響を与える可能性があるため、避けるべきである。これは本発明によって達成可能である。
本発明の文脈において、通信経路は、経路が複数の通信参加者(通信参加体)と参加者間でデータを送信するための接続とを備えると理解されるべきである。自動車内には、特定の通信、データ転送、又は異なるデータ転送に適した複数の通信経路が存在し得る。
利用可能な通信経路の攻撃リスクを確認することによって、自動車の配達の前又は試運転の前でも、おそらく攻撃のために第三者によって悪用される可能性があるギャップを検出可能である。ギャップは、したがって、なくすこと及び/又は減らすようにするか、あるいは通信参加者間の接続は、攻撃に対するセキュリティリスクを低くなるように設計され得る。
本発明の一発展態様によれば、好ましくは、通信経路におけるデータ転送のために少なくとも1つのデータ転送プロトコルが設けられる。この発展態様によると、データ転送のために問題になるデータ転送プロトコルは、攻撃リスクについて同様に評価される。
特に、データ転送プロトコルは、例えば、イーサネット、FlexRay(登録商標)、VLAN(仮想ローカルエリアネットワーク)、IP(インターネットプロトコル)、AVB(オーディオ/ビデオブリッジング)、TSN(タイムセンシティブネットワーキング)又はSOME/IP(インターネットプロトコルにわたる、スケーラブルなサービス指向ミドルウェア)として形成されている。データ転送プロトコルの追加の評価の結果、より幅広いデータベースが利用可能となり、ギャップの発見がより向上し、したがって攻撃に対するより高い安全性を達成できる。
好ましい一発展態様において、同様な方法のステップは、通信経路及びデータ転送プロトコルに関連する攻撃リスクの決定された評価に基づいて通信経路及びデータ転送プロトコルを選択することと、選択された通信経路及びデータ転送プロトコルを用いてデータを転送することとに関係する。この際に攻撃リスクの評価によって、ネットワークへの攻撃用の安全リスクが低いように、データ転送が構成されてもよい。
好ましい形式で本発明は、特に、追加の費用なしに、車両ネットワークの安全性を有利に向上可能である。自動車におけるイーサネット又は他のデータ転送システム(例えばFlexRay)の使用では、とりわけ、高価な実装及び追加のハードウェアを省略可能にするために簡単な技術及び所与の技術の特性を使用する機構が必要とされている。通信経路の早期分析による攻撃及び異常行動の早期検出の結果として、車両が配達される前にギャップ及び障害を検出可能である。本発明によるネットワークシステムは、費用及び信頼性に関して改善されている。システムを試験する能力は本発明によってより明確に定義され、試験費用は結果として節約可能である。本発明はまた、透明なセキュリティ機能を提供する。
本発明の好ましい一発展形態では、各通信経路は複数の通信参加者を含む。この場合、通信参加者は、特に好ましくは、少なくとも送信機と受信機とを含み、それらの間でデータ転送の形態で通信が実行される。この開発によれば、通信参加者のうちの少なくとも1者(1体)、すなわち送信機又は受信機は、車載通信ネットワークの一部である。この場合、この参加者は自動車内に配置されるのが好ましい。それぞれの他の通信参加者は、同様に通信ネットワークの一部であってもよく、次に同様に自動車内に配置されてもよく、又は外部に位置する外部参加者であってもよい。外部参加者は、例えば、外部に配置された制御装置又はクラウドであり得る。開発によれば、ネットワークの一部である参加者は、好ましくは、自動車の制御ユニット(例えば、ECU−電子制御ユニット)の形態である。
特に好ましくは、車外への接続は特に重要な方法で分析され、評価される可能性がある。それは、より大きなアクセス性のため、車両ネットワークへの攻撃が容易になる結果、第三者によって外部通信参加者がより簡単に操作されるおそれがあるからである。
本発明の別の好ましい発展形態では、方法が、好ましくは、さらなるステップとして、少なくとも1者の通信参加者のインタフェースパラメータ及び/又は少なくとも1者の通信参加者の接続パラメータを決定することを含む。特に好ましくは、決定されたパラメータはそれぞれ任意のデータベース又は共通のデータベースに格納される。少なくとも1つのデータベースは、特に好ましくは、中央制御装置、中央メモリ、又は通信参加者の制御装置に格納されてもよい。別の好ましい発展形態によれば、インタフェースパラメータ及び/又は接続性パラメータは、通信経路の攻撃リスクに関して通信経路を評価するためにさらなるステップで使用される。
各通信参加者は、データを送信するための1つ又は複数のインタフェースを有することが好ましい。本発明の好ましい一発展形態では、インタフェースパラメータは、少なくともインタフェースによってサポート及び/又は転送されるデータ転送プロトコルに関する情報を含む。さらに又は代わりに、インタフェースが診断機能又は充電機能(OBD、電力線など)のために提供されるかどうかを決定するための提供が好ましくは行われてもよい。充電機能の場合には、車両(特に電気自動車)にインタフェースを介して電力を供給することができる。データは、特にインタフェースを介して又は電力線を介して結合することもできる。さらに好ましくは、代替的に又は追加的に、データを転送するためのそれらの速度に関してインタフェースが検査されるようになっている。
各通信参加者はまた、他の通信参加者に接続される複数の方法を有することが好ましい。 本発明の好ましい一発展形態では、接続性パラメータは、少なくとも接続技術及び/又は配信機能のサポートに関する情報を含む。制御ユニットは、例えば、様々な無線技術、例えばWLAN又はブルートゥース(登録商標)をサポートすることができる。制御ユニットが複数のバスにアクセスできるかどうかは、分配機能パラメータの一部である。スイッチ、ブリッジ、ルータ及び/又はゲートウェイへのアクセスが可能であるかどうかも同様に確認される。
パラメータは、好ましくは、データベースに格納され、特に好ましくは、制御装置及び制御装置に直接接続されている他の装置のMACアドレス及び/又はIPアドレスに関する情報も格納される。
したがって、前述の方法によれば、状態分析は、まず始めに、どの通信参加者が存在するのかと、参加者がどのような性質を持ってきたのかとを、判断することが有利に実行される。この状態分析は、想定する攻撃の対象となるギャップを発見するべく、リスク評価の対象となる。通信経路のリスクポテンシャルは、ネットワークで与えられたパラメータを収集又は決定することで有利に正確に分析されよう。
本発明の好ましい一発展形態では、データ転送プロトコルの攻撃リスクを評価するために、当該プロトコルのパラメータも同様に算出され、データベースに格納される。この場合、好ましくは、特にプロトコルスタックが分析される。
本発明の好ましい一発展形態では、データ転送プロトコルの決定されるパラメータは、少なくとも、データプロトコルに使用される周波数、特定の数の受信機と通信するための適合性、及び/又は転送のタイプに関係する。
この場合、転送のタイプは、例えば、転送方向、同期又は非同期、通信参加者の位置及び/又は接続方向に関連する。接続方向の場合、接続の開始と終了が特別なパケットシーケンスによって定義される。データ転送プロトコルのパラメータはまた、パケット交換通信又はストリーミングが関係しているかどうかを含んでもよい。
本発明の好ましい一発展形態では、通信経路及びデータ転送プロトコルは、それぞれ関連する評価を使用してリスククラスに割り当てられる。通信経路及びデータ転送プロトコルを使用してデータの転送を決定するか否かを決定するプロセスが、したがってより簡単になる。換言すると、どの通信経路とどのデータ転送プロトコルを通信に使用することが意図されているのかに関する判断を、より簡単な方法でなし得る。
本発明の好ましい一発展形態では、異なる攻撃シナリオに関する情報を使用して通信経路の攻撃リスクを評価する。この情報は、好ましくは、特にメモリに格納されて継続的に更新されないデータベースに同様に格納される。しかしながら、攻撃シナリオに関する情報は、代替的に、より新しい攻撃シナリオも考慮可能に定期的に更新してもよい。更新は、例えば、情報が比較される外部データ接続からの更新を使用して実行してもよい。この情報は、特に好ましくは、様々な可能性のある攻撃の種類と、自動車又は乗員に対するセキュリティリスクの評価とに関する。考えられる攻撃の1つのタイプは、例えば、過負荷が第三者によって引き起こされ、機能又はサービスの障害をもたらすDoS(サービス拒否)である。したがって、通信経路の評価は、たとえば統計的に最も頻繁に発生する1つ又は複数の攻撃シナリオに合わせて有利に調整してもよい。代替的に又は付加的に、異なる攻撃シナリオに関する情報もまたデータ送信プロトコルを評価するために使用してもよい。
上述の手順の結果として、ネットワークの攻撃リスクのできるだけ正確な評価を可能とするため、詳細な分析が有利に実行されるか、又は詳細な情報が記憶される。
本発明の別の好ましい発展形態では、適切な通信経路及び適切なデータ転送プロトコルを選択する前に、通信が実際に行われ得るかどうか、又は過度に高いセキュリティリスクの結果として通信が防止されるべきかどうかを決定するようにしてもよい。さらに、他の対策、すなわち例えばファイアウォールの特別な構成も、1つ又は複数の評価に応答して採用してもよい。
本発明による方法は、好ましくは、ベルトエンドに(自動車の製造が完了した後に)、ソフトウェア更新の後に、セキュリティギャップの通信後に、又は通信の参加者の交換又は更新時に、実行される。したがって、セキュリティギャップは、例えば制御装置が交換された場合、又はソフトウェアの更新が提供された場合など、エンドカスタマーへの配達後にも有利に検出可能である。それ故、エンドカスタマーはまた、車両の運転中の攻撃に対して、より高い安全性を提供する。
好ましい一発展形態では、通信経路が攻撃されるリスクはアルゴリズムによって評価される。アルゴリズムは、好ましくは、攻撃のリスクに基づいてリスククラスを作成してもよく、通信経路をリスククラスに割り当てるようにしてもよい。この目的のために、アルゴリズムは、特に、評価における通信経路のパラメータ、データ転送プロトコル及び/又は異なる攻撃シナリオに関する情報に関する1つ又は複数のデータベースを、同時に含む。
データを転送する特定の通信経路が選択、提供、又は指定されている場合、例えば攻撃リスクを評価することによって、攻撃に関して高度なセキュリティを提供するデータ送信プロトコルを選択するようにしてもよい。この選択は、逆の方法でも可能である。データ転送プロトコルが選択され、特定され、又は提供されている場合、攻撃に関して高度なセキュリティを提供する経路は、通信経路の評価に基づいて選択するようにしてもよい。さらに、通信経路とデータ転送プロトコルとの間の相互作用における最低のセキュリティリスクを伴う組み合わせを、複数の可能な通信経路及びデータ転送プロトコルから選択してもよい。
本発明の好ましい一発展形態では、少なくとも1つのデータベース、特に好ましくは評価に使用される全てのデータベース又はデータは、セキュアメモリ領域に格納される。特に、このセキュアメモリ領域は暗号化されているため、攻撃から保護されている。この場合、セキュアメモリ領域は、例えば中央制御装置に配置してもよい。
本発明はまた、この方法を実行するように設計された自動車制御装置用の電子監視ユニット又は制御ユニットに関する。
さらなる好ましい実施形態は、図面に基づく例示的な実施態様の以下の説明から明らかになる。
図面は以下の、概略的な内容を示す。
図面は以下の、概略的な内容を示す。
例示的な実施形態の簡潔で簡単な説明を可能にするために、同一の要素には同一の参照符号が付されている。
図1は、通信パケット又はスタック1の一般に公知の構造を示す。イーサネット及びIP(インターネットプロトコル)の出現に伴う課題は、とりわけ、新しい通信スタックの複雑さである。インターネットの世界とAUTOSARの最初の融合では、両方の世界がまったく異なる方法で機能するため(静的対動的)、多くの初期費用が必要になる。
図1は、典型的な通信パケットを示す。通信のパイル(通信スタック)は、パケットの受信の度に漸次進み、正しい受信機(例えばアプリケーション)に転送するために特定のフィルタに従ってパケットを検査する。
通信パケットは、実際のデータコンテンツ3と、例として、ソフトウェアスタックの異なる層に割り当てられた複数のヘッダ2aから2dとを含む(図2参照)。ソフトウェアスタックの各層にヘッダが提供され、ヘッダは、通信パケットを処理するのに必要な情報をソフトウェアスタックの層に提供する。
図2は、制御装置内のソフトウェアスタック4の例示的表現を示す。TCP/IPスタック6が例として示されている。(例えば図1に示される)通信パケットはこのスタックを通過し、そこでパケットが分析される。コンテンツの分析に基づいて、通信パケットがどのアプリケーションに転送されるかが決定される。
図示のTCP/IPスタック6は、ここでは参照符号8、10及び12として表される複数の層を含み、層8はMAC(メディアアクセス制御)として形成されていて、層10はIP(インターネットプロトコル)の形式であり、層12はTCP/UDP(転送制御プロトコル/ユーザデータグラムプロトコル)として形成されている。通信パケットのヘッダ(図1参照)はそれぞれこれらの層の一つに割り当てられる。
MAC層8は、一般に知られているOSIモデルによれば、階層1(物理層)(例えば図1のヘッダ2aを有する層)及び階層2(データリンク層)(例えば図1のヘッダ2bを有する層)を表す。IPは、OSIモデルの(例えば図1のヘッダ2cを有する層)第3層を表し、TCP/UDPは、OSIモデルの(例えば図1のヘッダ2dを有する)第4層を表す。「ミドルウェア」層は層14に表され、これはOSIモデルの(セッション及びプレゼンテーション)階層5及び階層6(セッション層及びプレゼンテーション層)に対応する。アプリケーション(「アプリケーション」層)は、第7層16としてこれより上位にある。
イーサネットフレーム、すなわちデータパケット1は、TCP/IPスタック6に送信される。任意の層(PDU =ペイロードデータユニット)のデータ及び管理情報18は、例えばTCP/IPスタック6から「ミドルウェア層」14に送信してもよい。
図3は、複雑なイーサネット/IP通信スタック及びその分岐の例示的な例を示す。そのようなソフトウェアスタックで処理されなければならないイーサネットパケットの内容には、様々な可能性があることが明らかになっている。ソフトウェアスタックの複雑さは、イーサネットとIPの出現により、自動車では非常に大きくなっている。決定論的ソフトウェアスタックのトレーサビリティは、特にさまざまな分岐の可能性の結果として、もはやそれほど単純ではない。
図4は、データベース20が中央ゲートウェイ22に格納されるか、あるいは中央ゲートウェイ22がこのデータベース20にアクセスする、本発明の例示的な実施形態を示す。データベース20は、本発明による方法によって決定される情報を含む。中央ゲートウェイ22から分岐しているのは、さらなるゲートウェイ(GW)と、制御装置又は想定される通信相手(小さなボックスとして図示)である。ゲートウェイと、制御装置又は想定される通信相手とは、CAN(制御エリアネットワーク)、LIN(ローカル相互接続ネットワーク)、FlexRay、MOST(メディア指向システムトランスポート)、WLAN(無線ローカルエリアネットワーク)、LVDS(低電圧差動信号)、ブルートゥース又はイーサネットを経由して、互いに接続される。
個々の接続の可能性についてのリスク評価が少なくともデータベース(例えば20)に格納される本発明による方法では、これらの異なる可能な接続の全てが考慮される。リスク評価は、第三者が接続を介してデータにアクセスすることと、車両内の制御/規制メカニズムを制御することとの少なくとも一方のリスクを示す。このデータベース20内の情報は、例えばアルゴリズムによって、通信路及びデータ転送プロトコルをリスククラスに割り当てるために使用される。リスククラスは、どのデータ転送プロトコルと組み合わせてどの通信経路が複数の参加者(参加体)間の通信又はデータ転送を実行することを意図されているかを選択するための基礎として、取られる。この場合、セキュリティリスクが比較的低い、又は攻撃のリスクが比較的低いと判断された、通信経路とデータ転送プロトコルとの組み合わせが選択されることが好ましい。
図5は、制御ユニットの接続性パラメータ及びインタフェースパラメータを決定するための本発明の例示的実施形態を示す。
以下は、個々のステップの説明である。
ステップ30:接続性及びインタフェースに関する制御装置のクエリ(質問)の開始
ステップ32:ECUは無線技術(WLAN、ブルートゥースをサポートしているか?
ステップ33:直接接続されている制御機器のアドレスを含む本機器のMACアドレスとIPアドレスの要求
ステップ34:ECUには、診断や充電のために提供されているインタフェース(OBD、電力線など)があるか?
ステップ35:直接接続されている制御機器のアドレスと電源状態を含む本機器のMACアドレスとIPアドレスの要求
ステップ36:ECUは分配機能(スイッチ、ルーター、ゲートウェイ)を持っているか?
ステップ37:このデバイスのIPアドレスとポートのステータス及び速度の要求
ステップ38:ECUには100BaseT1などの高速インタフェースがあるか、又は同等以上の高速インタフェースがあるか?
ステップ39:ポリシング及びレート制限機能に関するクエリ
ステップ40:終了
ステップ30:接続性及びインタフェースに関する制御装置のクエリ(質問)の開始
ステップ32:ECUは無線技術(WLAN、ブルートゥースをサポートしているか?
ステップ33:直接接続されている制御機器のアドレスを含む本機器のMACアドレスとIPアドレスの要求
ステップ34:ECUには、診断や充電のために提供されているインタフェース(OBD、電力線など)があるか?
ステップ35:直接接続されている制御機器のアドレスと電源状態を含む本機器のMACアドレスとIPアドレスの要求
ステップ36:ECUは分配機能(スイッチ、ルーター、ゲートウェイ)を持っているか?
ステップ37:このデバイスのIPアドレスとポートのステータス及び速度の要求
ステップ38:ECUには100BaseT1などの高速インタフェースがあるか、又は同等以上の高速インタフェースがあるか?
ステップ39:ポリシング及びレート制限機能に関するクエリ
ステップ40:終了
例えば、制御ユニット(ECU)が無線接続、例えばWLAN又はブルートゥース(参照符号32)をサポートしているかどうかを問い合わせるようにしてもよい。もしそうであれば、装置のMACアドレス及び/又はIPアドレスが決定され(ステップ33)、データベース20に記憶される。制御ユニットに接続された装置のアドレス(MAC及びIP)も同様に好ましくはデータベース20に記憶される。さらに例えば、制御ユニットが診断又は充電(OBD−オンボード診断、PLC−電力線通信など)に適している(ステップ34)インタフェースを有するかどうかを問い合わせるようにしてもよい。この場合も、アドレスと電力ステータス(電力線通信用のインタフェースが存在するか否か)(ステップ35)を再び記憶するようにしてもよい。この場合、電力ステータスは、インタフェースに、いわば、例えば外部バッテリから又は内部バッテリから電力が供給される状態についてであってもよい。
さらなる例示的なクエリは、制御ユニットの配信機能に関連してもよい(ステップ36)。制御ユニットが分配機能を有する場合、それは異なるバスにアクセスしてもよく、したがって異なる通信参加者(例えばスイッチ、ルータ、ゲートウェイ)に到達してもよい。この制御ユニット及び接続可能な通信参加者のIPアドレスを記憶することに加えて、ポートのそれぞれの状態及び可能な速度もまたデータベース20に記憶されること(ステップ37)が好ましい。エネルギーの状態としては、「オン」、「省エネモード」、「ウェイクアップ可能」などのエネルギーの状態が、ポートの状態として提供されてもよい。
更なるクエリとして、例えば、インタフェースの速度、特に高速インタフェース、例えば100BASE−T1が存在するか否かを決定するための規定(38)がなされてもよい。この点で、監視(ポリシング)及びレート制限機能に関する情報が、好ましくは使用される。レート制限機能の範囲内で、データレートは時間の単位に基づいて設定される。いわゆるポリシング中に、単位時間当たりの最大データレートを超えないようにするために監視が行われる。超過が発生した場合、例えば設定されたよりも多くのデータが送信された場合、例えば、前記データは拒否される。前記機能のための情報又は設定は、インタフェースのためのパラメータとして捕捉されて(ステップ39)もよく、データベース20に格納されてもよい。
この場合、個々のクエリステップをプログラミングループで実行してもよく、例えば中央制御装置、例えばゲートウェイ22に、そして好ましくはセキュアメモリ領域に格納されているアルゴリズムの一部としてもよい。データベース20もこのセキュアメモリ領域又は他のセキュアメモリ領域に格納されるのが、好ましい。
車載ネットワーク内に存在する制御装置は、重要なパラメータを記憶するために、その接続性に基づいて上述の方法によってリスククラスに分類されることが好ましく、それに基づいてセキュリティメカニズムへの割り当てが行われる。これらのECUには無線技術又はオープンネットワークインタフェースが装備されていて、これらを使用して連絡をとることが可能である。
例えば、プロトコルサポートに関するチェックがそれから行われてもよい。これは、外部への接続を保留する前、ソフトウェアの更新後、又は既存のプロトコルのセキュリティギャップの通知があったとき、1回実行される(ベルトエンド)ようにしてもよい。この方法は中央で開始されても、個々のECUから要求されるようにしてもよい。例えば、通信経路の設定が保留中であり、例えば診断データがアンテナモジュールから無線送信されることが意図されているならば、アンテナモジュールはそれぞれの近隣装置のプロトコルサポートをチェックするようにしてもよい。
図6は、例として、本発明による方法の一部、及びその中に含まれるアルゴリズムの個々のステップ又は手順ステップを示す。個々のステップは次のとおりである。
ステップ50:プロトコル実装の検討開始
各制御装置51は、特定のプロトコルタイプ53がサポートされているかどうか(54)、及び/又は転送されているかどうか(55)を判断するために、各インタフェースを調べる(52)。
ステップ54:インタフェースがプロトコルをサポートしているか否か判定される。
ステップ55:インタフェースがプロトコルを転送しているか否か判定される。
ステップ56:データベース20に情報を記憶する。この情報は、例えば、ECU、インタフェース、及びプロトコルタイプに関連する。
ステップ57:プログラム実行の終了
プログラムのコメントを記載することで、プログラムの実行がより理解可能となるので、そのようなコメントが、参照符号に加えて図6に示される。
ステップ50:プロトコル実装の検討開始
各制御装置51は、特定のプロトコルタイプ53がサポートされているかどうか(54)、及び/又は転送されているかどうか(55)を判断するために、各インタフェースを調べる(52)。
ステップ54:インタフェースがプロトコルをサポートしているか否か判定される。
ステップ55:インタフェースがプロトコルを転送しているか否か判定される。
ステップ56:データベース20に情報を記憶する。この情報は、例えば、ECU、インタフェース、及びプロトコルタイプに関連する。
ステップ57:プログラム実行の終了
プログラムのコメントを記載することで、プログラムの実行がより理解可能となるので、そのようなコメントが、参照符号に加えて図6に示される。
したがって、ECUごとに、またECUのインタフェースごとに、異なるプロトコルタイプがサポートされているかどうか(ステップ51から54)が判定される。プロトコルタイプは、好ましくは、アルゴリズムによってそれぞれ個別に照会される(ステップ53)。結果はデータベース20に格納される。結果は、好ましくは、ECU及びインタフェースの指定及びそれぞれのプロトコルタイプがサポートされるかどうかを有するテーブルである。例えば、図7に示すように、このタイプの結果テーブルが、図7に示すように作成されてもよい。 図7に示すマトリックス は、仕様ではなく実際の実装を反映する。これにより、実装上の障害やギャップの識別が可能となる。起因する機構に関係なく、そして車両がエンドクライアントに納入される前でも、このマトリックスはさらに、例えばTUV(技術監視協会)又はシステム製造業者にとって、セキュリティの観点から車両を検証及びテストするために役立ち得る。
図8は、例えば、外部接続(例えばクラウドへの無線接続)62からなるクリティカルパス60の例を示す。外部接続は、パラメータ分析の最初から、内部の接続のみよりもクリティカルであるとして分類又は評価されることが好ましい。例えば、ソフトウェアはクラウド62からダウンロードされることが意図される、ソフトウェアダウンロード64の形のデータ転送が開始されることを意図されている。このために、内部メモリ66は、例えば、ヘッドユニット70を経由してゲートウェイ68(22と同一でもよい)に接続され、ゲートウェイ68はWLAN接続モジュール72を経由してクラウド62に接続される。この例によると、通信パートナー62から72のつながりは、したがって、通信経路60を表す。この経路60は、経路の攻撃リスクに関して評価される。攻撃リスクとは、すなわち、車内の安全性を危険にさらす可能性がある第三者による攻撃の犠牲となるリスクがどれほど高いかということである。この目的のために、個々の通信参加者62から72が、それらの接続性パラメータ及びそれらのインタフェースパラメータに関して調べられる。同時に、個々の想定されるデータ転送プロトコルのリスクが、好ましくは評価に含まれる。この経路60が通信用に選択されることが意図され、経路60が攻撃されるリスクが考慮されるときに、意図されるプロトコルがあまりにも安全でないことが明らかになったならば、例えば、異なるプロトコルを選択してデータを送信してもよい。あるいは、他のより安全な経路が、通信用に選択されてもよい。
図8に例として示されているこの経路60は、システム設計者又は設計者によって特定されてもよく、そのように定義されてよく、動的に決定されるようにしてもよい。
さらに、マトリックスをチェックした後(図7)、経路60がそのギャップについて追加的にチェックされてもよい。それでもクリティカルではないパスがクリティカルになる状況は起こり得る。例えば、制御装置の異常な動作の結果として、そのデータがCPUに転送されてしまうと、その結果として他の制御装置がブロックされて停止状態になることがある。
通信経路とパラメータの例を以下に示す。
関与する制御装置には、アンテナ、ゲートウェイ(スイッチを含む)、ヘッドユニットがある。
プロトコルには、イーサネット、VLAN、時刻同期、IP、TCP、SOME/IPがある。
メッセージ頻度には、x/パケット/秒イーサネット、x/パケット/秒TCPなど、最大パケットサイズがある。
関与する制御装置には、アンテナ、ゲートウェイ(スイッチを含む)、ヘッドユニットがある。
プロトコルには、イーサネット、VLAN、時刻同期、IP、TCP、SOME/IPがある。
メッセージ頻度には、x/パケット/秒イーサネット、x/パケット/秒TCPなど、最大パケットサイズがある。
安全であると考えられるデータストリームが、もし毎秒10個のデータパケットの代わりに、1000個のデータパケットが中央演算装置によって処理されることを突然意図されたならば、リスクになり得る。したがって、入ってくるデータパケットが常に高い優先度で処理され(受け入れられ、記憶される)、CPU(場合によっては複数)は、重要である。あまりにも多くのパケットが過度に高頻度で、そして過度のパケットサイズで到着すると、CPUはブロックされるおそれがあり、制御装置はしたがって完全に故障するかもしれない。
通信経路が固定されている場合は、例えば図8に示すように、関与する制御装置62から72は、それらのリスククラス及びそれらのプロトコルサポートに関してクエリが実行されるようにしてもよい。通信に必要なプロトコルを使用して、ギャップやリスクをしたがって即座に検出可能である。例えば、TCPデータトラフィックは、これに関連してヘッドユニット70内のCPUに贈られる。この情報はリスク評価に含まれる。実際の接続が確立される前であっても、TCPトラフィックはヘッドユニット70内又はそれ以前(ゲートウェイ68内)で制限可能であり、すなわち、1秒当たりの最大パケットデータレートを設定可能である。
さらに、ヘッドユニット70内のファイアウォールは、通信パラメータ及び(既に)検出されたギャップに基づいて構成してもよい。これは、ファイアウォールのフィルタがこの通信に合わせて調整され、より高い優先度が置かれることを意味する。
図9は、本発明による方法の可能な全体図を示す。本方法の開始時に、好ましくは、個々の通信参加者は、通信参加者のインタフェース及び通信参加者の接続性パラメータに関して、まず始めにクエリ80を受ける。結果はデータベース20に格納される。さらに、例えば次のステップとして、サポートされているデータ転送プロトコルがクエリされ(82)、同様にデータベースに格納される。この場合、各データ転送プロトコルが攻撃されるリスクも格納される。様々な種類のデータ転送プロトコルが一般に既知なので、それぞれ存在する攻撃リスクもデータベース内の情報として既に格納されている可能性があり、その情報はサポートされるプロトコルの決定時に使用される。データ転送プロトコルが攻撃されるリスクが、次に、格納された情報に基づいて評価される。
全体として、リスクマトリックス84(図7に示すように)を作成してもよい。経路は、次に、その攻撃リスクに関して評価される(ステップ86)。これはアルゴリズムによって実行してもよい。比較的低いセキュリティリスク(ネットワークに対する攻撃のリスク)を有するそのプロトコルは、通信のためにサポートされているデータ転送プロトコルから選択(ステップ88)可能である。
分類に基づいて、可能なセキュリティリソースのレベルも決定され割り当てられ(ステップ90)、そこでネットワーク内の情報セキュリティを、設計段階の間、ベルトエンドプログラミングの間、又は動的かつディスラプティブアーキテクチャの場合のいずれかに計画及び実装されるようにしてもよい。
ステップの概要を以下に示す。
ステップ80:通信参加者の接続性パラメータ及びインタフェースパラメータの決定
ステップ82:どのプロトコルがサポートされているかの判断
ステップ84:リスクマトリックスの作成
ステップ86:クリティカルパスの計算/クエリ
ステップ88:必要なプロトコルの分析/適切なデータ転送プロトコルの選択
ステップ90:セキュリティ方式の定義
ステップ80:通信参加者の接続性パラメータ及びインタフェースパラメータの決定
ステップ82:どのプロトコルがサポートされているかの判断
ステップ84:リスクマトリックスの作成
ステップ86:クリティカルパスの計算/クエリ
ステップ88:必要なプロトコルの分析/適切なデータ転送プロトコルの選択
ステップ90:セキュリティ方式の定義
データベース20及び/又は評価アルゴリズムは、特に好ましくは、集中的に及び個々の制御装置のそれぞれに格納される。いわゆるリスク評価は、サポートされているプロトコルとサポートされていないプロトコル、及びプロトコルの処理に基づいて作成される。このリスク評価は、次に、通信経路を分析し保護するために使用可能である。このマトリックスは、通信経路の作成中にクエリを受け、必要に応じてアクションが定義される。その際に生じるマトリックスは、仕様ではなく実際の実装を反映する。これにより、実装上の欠陥やセキュリティギャップを特定できるようになる。結果生じる機構とは無関係に、追加的に、マトリックスを、情報セキュリティに関して車両の検証及びチェックに役立ち得る。
プロトコルサポートの知識を得た後、ECUは、例えば、経路上に問題があると、プロトコルの選択を変更してもよい。例えば、より安全なプロトコルが選択されてもよい。
本願の図面では、データベースに参照符号20が付されている。しかしながら、個々に決定されたパラメータ及び攻撃リスクは、別々のデータベースに同様に格納されてもよい。この場合、データベースは、インタフェースパラメータ、接続パラメータ、通信経路又は通信参加者が攻撃されるリスク、データ転送プロトコルが攻撃されるリスク、及びリスククラスについてそれぞれ利用可能である。
本発明は、潜在的な攻撃機能に対して正しいソフトウェアブランチを選択するためのメカニズムを定義する。本発明は、どのパケットがどのタイプのアプリケーションに使用でき、どれが使用できないかを述べる。
本発明は、ベルトエンドプログラミング及びシステム試験に使用してもよい。さらに、将来、自動車用のソフトウェア更新がますます提供され、その結果、新しい機能が有効になる。多種多様な結果として、本発明は、更新後の車両内のソフトウェアスタックの全体及び部分について、チェック及び新たな評価に適する。本発明は、ネットワーク内でこれらの規制機構及び可能性を構成し、それらをインタフェース経由で使用可能にする方法を提案する。どの潜在的なギャップが存在するか、そしてソフトウェアが事前定義された要件を満たしているかどうかを、したがって、識別可能となる。この方法はまた、透明性を提供することを可能にし、したがって、一層簡単な方法で、セキュリティについてネットワーク全体のチェック及びテストを可能にする。
1 通信パケット又はスタック
2 ヘッダ
3 データコンテンツ
4 ソフトウェアスタック
6 TCP/IPスタック
8 MACの形式の層
10 IPの形式の層
12 TCP/UDPの形式の層
14 ミドルウェア層
16 第7層
18 データ及び管理情報
20 データベース
22 中央ゲートウェイ
30 接続性及びインタフェースに関する制御装置のクエリの開始
32 ECUは無線技術(WLAN、ブルートゥースをサポートしているか?
33 直接接続されている制御機器のアドレスを含む本機器のMACアドレスとIPアドレスの要求
34 ECUには、診断や充電のために提供されているインタフェース(OBD、電力線など)があるか?
35 直接接続されている制御機器のアドレスと電源状態を含む本機器のMACアドレスとIPアドレスの要求
36 ECUは分配機能(スイッチ、ルーター、ゲートウェイ)を持っているか?
37 このデバイスのIPアドレスとポートのステータス及び速度の要求
38 ECUには100BaseT1などの高速インタフェースがあるか、又は同等以上の高速インタフェースがあるか?
39 ポリシング及びレート制限機能に関するクエリ
40 終了
50 プロトコル実装の検討開始
51 制御装置
52 インタフェースを調べる
53 プロトコルタイプについてのクエリ
54 インタフェースがプロトコルをサポートしているか否か判定する
55 インタフェースがプロトコルを転送しているか否か判定する
56 データベース20に情報を記憶する
57 終了
60 通信経路(クリティカルパス)
62 クラウド
64 ソフトウェアダウンロード
66 内部メモリ
68 ゲートウェイ
70 ヘッドユニット
72 WLAN接続モジュール
80 通信参加者の接続性パラメータ及びインタフェースパラメータの決定
82 どのプロトコルがサポートされているかの判断
84 リスクマトリックスの作成
86 クリティカルパスの計算/クエリ
88 必要なプロトコルの分析/適切なデータ伝送プロトコルの選択
90 セキュリティ方式の定義
2 ヘッダ
3 データコンテンツ
4 ソフトウェアスタック
6 TCP/IPスタック
8 MACの形式の層
10 IPの形式の層
12 TCP/UDPの形式の層
14 ミドルウェア層
16 第7層
18 データ及び管理情報
20 データベース
22 中央ゲートウェイ
30 接続性及びインタフェースに関する制御装置のクエリの開始
32 ECUは無線技術(WLAN、ブルートゥースをサポートしているか?
33 直接接続されている制御機器のアドレスを含む本機器のMACアドレスとIPアドレスの要求
34 ECUには、診断や充電のために提供されているインタフェース(OBD、電力線など)があるか?
35 直接接続されている制御機器のアドレスと電源状態を含む本機器のMACアドレスとIPアドレスの要求
36 ECUは分配機能(スイッチ、ルーター、ゲートウェイ)を持っているか?
37 このデバイスのIPアドレスとポートのステータス及び速度の要求
38 ECUには100BaseT1などの高速インタフェースがあるか、又は同等以上の高速インタフェースがあるか?
39 ポリシング及びレート制限機能に関するクエリ
40 終了
50 プロトコル実装の検討開始
51 制御装置
52 インタフェースを調べる
53 プロトコルタイプについてのクエリ
54 インタフェースがプロトコルをサポートしているか否か判定する
55 インタフェースがプロトコルを転送しているか否か判定する
56 データベース20に情報を記憶する
57 終了
60 通信経路(クリティカルパス)
62 クラウド
64 ソフトウェアダウンロード
66 内部メモリ
68 ゲートウェイ
70 ヘッドユニット
72 WLAN接続モジュール
80 通信参加者の接続性パラメータ及びインタフェースパラメータの決定
82 どのプロトコルがサポートされているかの判断
84 リスクマトリックスの作成
86 クリティカルパスの計算/クエリ
88 必要なプロトコルの分析/適切なデータ伝送プロトコルの選択
90 セキュリティ方式の定義
Claims (9)
- 車載ネットワーク内の通信のため少なくとも1つの通信経路(60)でデータが転送される、車載ネットワーク用の方法であって、
当該方法は、攻撃リスクについて、データを転送する可能性のある通信経路(60)を評価する(86)ステップを備え、
攻撃リスクが、通信経路(60)がセキュリティギャップを利用するために通信経路(60)が攻撃されるリスクである
ことを特徴とする、車載ネットワーク用の方法。 - 少なくとも1つのデータ転送プロトコル(4)が通信経路(60)での通信に提供され、
当該方法が、攻撃リスクについて、データを転送する可能性のあるデータ転送プロトコル(4)を評価する(82)ステップをさらに備えることを特徴とする、請求項1に記載の方法。 - 通信経路(60)の攻撃リスクの評価(86)と、データ転送プロトコル(4)の攻撃リスクの評価(82)とに基づいて通信経路(60)とデータ転送プロトコル(4)とを選択するステップと、
選択された通信経路(60)と選択されたデータ転送プロトコル(4)とを用いてデータを転送するステップと
を備えることを特徴とする請求項2に記載の方法。 - 各通信経路(60)は複数の通信参加者(62、66、68、70、72)を備え、通信参加者のうちの少なくとも1者は通信ネットワークの一部であるとともに車両内の制御ユニットの形態であって、
当該方法が、
少なくとも1つの制御ユニットのインタフェースパラメータを決定するステップと、
インタフェースパラメータをデータベース(20)に格納するステップと、
インタフェースパラメータを通信経路(60)の評価(86)に使用するステップと、
をさらに備えることを特徴とする、請求項1から3のいずれか一項に記載の方法。 - 各通信経路(60)は複数の通信参加者(62、66、68、70、72)を備え、通信参加者のうちの少なくとも1者は通信ネットワークの一部であるとともに車両内の制御ユニットの形態であって、
当該方法が、
少なくとも1つの制御ユニットの接続パラメータを決定するステップと、
接続パラメータをデータベース(20)に格納するステップと、
決定された接続パラメータを通信経路(60)の評価(86)に使用するステップと、
をさらに備えることを特徴とする請求項1から4のいずれか一項に記載の方法。 - 攻撃リスクの評価(86、82)それぞれに付随するリスククラスについて、通信経路(60)とデータ転送プロトコル(4)とを評価するステップ
を備えることを特徴とする請求項1から5のいずれか一項に記載の方法。 - 異なる攻撃シナリオに関連する情報を、通信経路(60)とデータ転送プロトコル(4)との少なくとも一方についての攻撃リスクの評価(86、82)に使用することを特徴とする請求項1から6のいずれか一項に記載の方法。
- ベルトエンド時と、ソフトウェア更新後と、セキュリティギャップの公知後と、通信経路(60)の参加者の交換又は更新と、のいずれかにおいて1回実行されることを特徴とする請求項1から7のいずれか一項に記載の方法。
- 自動車制御装置用の電子監視ユニットにおいて、自動車制御装置が請求項1から8のいずれか一項に記載の方法を実施するように形成されたことを特徴とする、電子監視ユニット。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102016222741.6 | 2016-11-18 | ||
| DE102016222741.6A DE102016222741A1 (de) | 2016-11-18 | 2016-11-18 | Verfahren für ein Kommunikationsnetzwerk und elektronische Kontrolleinheit |
| PCT/EP2017/079027 WO2018091401A1 (de) | 2016-11-18 | 2017-11-13 | Verfahren für ein kommunikationsnetzwerk und elektronische kontrolleinheit |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2020501420A true JP2020501420A (ja) | 2020-01-16 |
Family
ID=60452608
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019526329A Pending JP2020501420A (ja) | 2016-11-18 | 2017-11-13 | 通信ネットワーク用の方法及び電子監視ユニット |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US11038912B2 (ja) |
| EP (1) | EP3542510A1 (ja) |
| JP (1) | JP2020501420A (ja) |
| KR (1) | KR102293752B1 (ja) |
| CN (1) | CN109937563B (ja) |
| DE (1) | DE102016222741A1 (ja) |
| WO (1) | WO2018091401A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020184651A (ja) * | 2019-04-26 | 2020-11-12 | 日本電産モビリティ株式会社 | 車載制御装置、及び情報処理装置 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3566400B1 (en) * | 2017-01-05 | 2022-08-17 | Guardknox Cyber Technologies Ltd. | Specially programmed computing systems with associated devices configured to implement centralized services ecu based on services oriented architecture and methods of use thereof |
| JP7411355B2 (ja) * | 2019-08-30 | 2024-01-11 | マツダ株式会社 | 車載ネットワークシステム |
| CN114760092A (zh) * | 2022-03-09 | 2022-07-15 | 浙江零跑科技股份有限公司 | 一种用于智能汽车与云平台的网络数据安全检测系统 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8909926B2 (en) | 2002-10-21 | 2014-12-09 | Rockwell Automation Technologies, Inc. | System and methodology providing automation security analysis, validation, and learning in an industrial controller environment |
| US8220042B2 (en) | 2005-09-12 | 2012-07-10 | Microsoft Corporation | Creating secure interactive connections with remote resources |
| US9325737B2 (en) * | 2007-06-28 | 2016-04-26 | Motorola Solutions, Inc. | Security based network access selection |
| JP2009071436A (ja) | 2007-09-11 | 2009-04-02 | Toshiba Corp | 通信経路選択方法及び中継用情報処理機器 |
| JP5188288B2 (ja) | 2008-06-25 | 2013-04-24 | 株式会社Kddi研究所 | 暗号プロトコルの安全性検証装置、安全性検証方法およびプログラム |
| US8051480B2 (en) | 2008-10-21 | 2011-11-01 | Lookout, Inc. | System and method for monitoring and analyzing multiple interfaces and multiple protocols |
| CN101937421A (zh) | 2009-07-03 | 2011-01-05 | 上海大潮电子技术有限公司 | 采集车辆实时运行信息而进行运行安全风险评估的方法 |
| US8863256B1 (en) * | 2011-01-14 | 2014-10-14 | Cisco Technology, Inc. | System and method for enabling secure transactions using flexible identity management in a vehicular environment |
| CN105050868B (zh) * | 2012-10-17 | 2018-12-21 | 安全堡垒有限责任公司 | 用于检测和防止对交通工具的攻击的设备 |
| EP3056394B1 (en) * | 2013-10-08 | 2022-11-30 | ICTK Holdings Co., Ltd. | Vehicle security network device and design method therefor |
| US9282110B2 (en) * | 2013-11-27 | 2016-03-08 | Cisco Technology, Inc. | Cloud-assisted threat defense for connected vehicles |
| US9398035B2 (en) * | 2013-12-31 | 2016-07-19 | Cisco Technology, Inc. | Attack mitigation using learning machines |
| JP6382724B2 (ja) * | 2014-01-06 | 2018-08-29 | アーガス サイバー セキュリティ リミテッド | グローバル自動車安全システム |
-
2016
- 2016-11-18 DE DE102016222741.6A patent/DE102016222741A1/de active Pending
-
2017
- 2017-11-13 CN CN201780066678.1A patent/CN109937563B/zh active Active
- 2017-11-13 EP EP17804113.3A patent/EP3542510A1/de active Pending
- 2017-11-13 US US16/344,876 patent/US11038912B2/en active Active
- 2017-11-13 WO PCT/EP2017/079027 patent/WO2018091401A1/de unknown
- 2017-11-13 KR KR1020197014356A patent/KR102293752B1/ko active IP Right Grant
- 2017-11-13 JP JP2019526329A patent/JP2020501420A/ja active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020184651A (ja) * | 2019-04-26 | 2020-11-12 | 日本電産モビリティ株式会社 | 車載制御装置、及び情報処理装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109937563B (zh) | 2021-10-22 |
| US11038912B2 (en) | 2021-06-15 |
| DE102016222741A1 (de) | 2018-05-24 |
| KR102293752B1 (ko) | 2021-08-24 |
| WO2018091401A1 (de) | 2018-05-24 |
| KR20190065439A (ko) | 2019-06-11 |
| EP3542510A1 (de) | 2019-09-25 |
| US20190268368A1 (en) | 2019-08-29 |
| CN109937563A (zh) | 2019-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106953796B (zh) | 安全网关、数据处理方法、装置、车辆网络系统及车辆 | |
| US11120149B2 (en) | Security system and method for protecting a vehicle electronic system | |
| KR102227933B1 (ko) | 통신 네트워크를 위한 방법 및 전자 제어 유닛 | |
| US10703309B2 (en) | Method and device for connecting a diagnostic unit to a control unit in a motor vehicle | |
| US11038912B2 (en) | Method of selecting the most secure communication path | |
| US11314614B2 (en) | Security for container networks | |
| JP6674007B1 (ja) | 車載通信装置、通信制御方法および通信制御プログラム | |
| CN109391523B (zh) | 用于监控网络中的网络成员之间的通信量的方法 | |
| JP2024001296A (ja) | 管理装置、車両通信システム、車両通信管理方法および車両通信管理プログラム | |
| US8605698B2 (en) | Vehicle with mobile router | |
| CN112217783A (zh) | 用于在通信网络中的攻击识别的设备和方法 | |
| Douss et al. | State-of-the-art survey of in-vehicle protocols and automotive Ethernet security and vulnerabilities | |
| EP3921988B1 (en) | Detecting short duration attacks on connected vehicles | |
| CN114884706B (zh) | 车载报文处理方法及系统 | |
| Gong | Security threats and countermeasures for connected vehicles | |
| Weiss | Security Testing in Safety-Critical Networks | |
| CN117610007A (zh) | 一种拒绝服务的测试方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190516 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200304 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200327 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20200703 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20200902 |