JP6556207B2 - 車両用セキュリティ装置およびセキュリティ方法 - Google Patents
車両用セキュリティ装置およびセキュリティ方法 Download PDFInfo
- Publication number
- JP6556207B2 JP6556207B2 JP2017202808A JP2017202808A JP6556207B2 JP 6556207 B2 JP6556207 B2 JP 6556207B2 JP 2017202808 A JP2017202808 A JP 2017202808A JP 2017202808 A JP2017202808 A JP 2017202808A JP 6556207 B2 JP6556207 B2 JP 6556207B2
- Authority
- JP
- Japan
- Prior art keywords
- vehicle
- security
- control
- security attack
- influence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 18
- 238000001514 detection method Methods 0.000 claims description 115
- 230000001629 suppression Effects 0.000 claims description 29
- 238000004891 communication Methods 0.000 claims description 27
- 238000012937 correction Methods 0.000 claims description 17
- 230000008859 change Effects 0.000 claims description 12
- 238000012545 processing Methods 0.000 description 16
- 230000002093 peripheral effect Effects 0.000 description 15
- 230000002159 abnormal effect Effects 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 230000007423 decrease Effects 0.000 description 3
- 230000007257 malfunction Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Landscapes
- Traffic Control Systems (AREA)
Description
本発明は、車両用のセキュリティ装置およびセキュリティ方法に関するものである。
近年、車両の電子制御技術の発達に伴い、車両の制御に用いられる車両情報を車載機器間で送受信するためネットワーク(例えば、CAN(Controller Area Network)など)を搭載した車両が普及しつつある。
一方、車両のネットワークに対し、不正な情報を流すなどのセキュリティ上の攻撃(以下「セキュリティ攻撃」という)が行われた場合に、その対策措置を講ずるセキュリティ装置が提案されている。例えば、下記の特許文献1には、車両のネットワークを流れる車両情報に不正なフレーム(攻撃フレーム)が含まれていることが検知されると、検知された不正なフレームを車両情報から除去するセキュリティ装置が開示されている。
車両情報のセキュリティ攻撃が車両の制御に与える影響度は、セキュリティ攻撃を受けた車両情報の種類や、セキュリティ攻撃の程度によって異なる。そのため、車両情報がセキュリティ攻撃を受けたとしても、例えば、車両の制御の一部を継続できる場合や、制御量を縮小すれば車両の制御を継続できる場合も考えられる。引用文献1の技術では、セキュリティ攻撃が車両の制御に与える影響度は考慮されていない。
本発明は、車両情報がセキュリティ攻撃を受けたときに、セキュリティ攻撃が車両の制御に与える影響度を考慮した対策措置を講ずることが可能なセキュリティ装置を提供することを目的とする。
本発明に係る車両用セキュリティ装置は、車両用セキュリティ装置が搭載される車両である自車両のデータ受信装置が受信した前記自車両の車両情報が受けたセキュリティ攻撃を検知するセキュリティ攻撃検知部と、前記セキュリティ攻撃が前記自車両の制御に与える影響度を判定する影響度判定部と、前記セキュリティ攻撃の前記影響度に応じて、前記車両情報に基づき前記自車両を制御する車両制御装置の動作に抑制をかける車両制御抑制部と、を備え、前記車両制御抑制部は、前記車両制御装置の動作に抑制をかける際、前記セキュリティ攻撃の前記影響度を考慮して、抑制する制御の種類または抑制の程度を決定する。
本発明によれば、セキュリティ攻撃が自車両の制御に与える影響度に応じた車両制御が行われるため、例えば、セキュリティ攻撃の影響度が低い制御のみを継続するなど、柔軟なセキュリティ対策を実現できる。
<実施の形態1>
図1は、本発明の実施の形態1に係る車両制御システムの構成を示すブロック図である。当該車両制御システムは、データ受信装置1、車両制御装置2、アクチュエータ3、速度検出装置4、周辺物体検出装置5、外部通信装置6および車両用セキュリティ装置10を備えている。以下、当該車両制御システムを搭載した車両を「自車両」という。また、車両用セキュリティ装置10を、単に「セキュリティ装置10」という。
図1は、本発明の実施の形態1に係る車両制御システムの構成を示すブロック図である。当該車両制御システムは、データ受信装置1、車両制御装置2、アクチュエータ3、速度検出装置4、周辺物体検出装置5、外部通信装置6および車両用セキュリティ装置10を備えている。以下、当該車両制御システムを搭載した車両を「自車両」という。また、車両用セキュリティ装置10を、単に「セキュリティ装置10」という。
データ受信装置1は、自車両の制御を行う際に使用される車両情報を、自車両内に構築されたネットワークを通して受信する。データ受信装置1が受信する車両情報としては、例えば、自車両のセンサが検出したヨーレート、横G(横加速度)など車両の状態を示す情報や、自車両のECU(Electronic Control Unit)の演算結果の情報などが考えられる。車両情報の多くはセンサやECUから一定周期で送信されるが、一部の車両情報は特定の条件が成立したときのみに送信される。本実施の形態では、データ受信装置1が接続するネットワークをCAN(Controller Area Network)とするが、当該ネットワークはCANに限られず、LIN(Local Interconnect Network)、CAN−FD(CAN with Flexible Data rate)、Ethernet(登録商標)など、車両情報の送受信が可能な任意のネットワークでよい。
車両制御装置2は、データ受信装置1が受信した自車両の車両情報に基づいて、自車両の制動、駆動および操舵を行うアクチュエータ3を制御する。アクチュエータ3は、車両制御装置2からの指示に従って、自車両の走行を制御するための制動力、駆動力、操舵力を発生させる。詳細は後述するが、車両制御装置2が行うアクチュエータ3の制御は、車両情報のセキュリティ攻撃が検知されたときに、セキュリティ装置10によって抑制がかけられる。
速度検出装置4は、自車両の速度を検出する車速センサである。速度検出装置4によって検出された自車両の速度は、ネットワークおよびデータ受信装置1を介さずにセキュリティ装置10へ入力される。よって、セキュリティ装置10が速度検出装置4から取得する速度の情報は、セキュリティ攻撃を受けることはない。
周辺物体検出装置5は、カメラやミリ波レーダ、ソナー、赤外線センサ、LIDAR(Light Detection and Ranging)など、自車両の周囲の物体を検出するセンサである。周辺物体検出装置5による物体検出結果は、ネットワークおよびデータ受信装置1を介さずにセキュリティ装置10へ入力される。よって、セキュリティ装置10が周辺物体検出装置5から取得する物体検出結果は、セキュリティ攻撃を受けることはない。
外部通信装置6は、他の車両との車車間通信や路側設備との路車間通信など、自車両の外部との通信により、自車両に関する情報を取得する。外部通信装置6が取得する自車両に関する情報としては、例えば、自車両周辺の他の車両の有無、自車両周辺の障害物の有無、他の車両がレーダ等を用いて推定した自車両の速度などがある。外部通信装置6が取得した情報は、ネットワークおよびデータ受信装置1を介さずにセキュリティ装置10へ入力される。よって、セキュリティ装置10が周辺物体検出装置5から取得する情報は、セキュリティ攻撃を受けることはない。以下、外部通信装置6が取得した自車両に関する情報を、「外部自車両情報」という。
一方、データ受信装置1が受信する車両情報は、CANなどのネットワークを通して受信されるため、悪意者によるセキュリティ攻撃を受ける可能性がある。例えば、データ受信装置1が受信した車両情報に、悪意者がネットワークに繋げたセキュリティ攻撃装置から出力された不正な信号(なりすまし信号)が含まれている恐れがある。また、悪意者が車載センサやECUの出力を改ざんしたことによって、データ受信装置1が受信した車両情報に異常な信号が含まれる恐れもある。
車両制御装置2が、セキュリティ攻撃を受けた車両情報に基づいて制限なくアクチュエータ3を制御すると、アクチュエータ3が誤動作する恐れがある。例えば、自車両のヨーレートセンサが出力するヨーレート信号が改ざんされ、不正なヨーレートに基づいて車両制御装置2が動作すると、アクチュエータ3としての横滑り防止装置が正しく動作しないなどの問題が生じる。
セキュリティ装置10は、データ受信装置1が受信した車両情報がセキュリティ攻撃を受けたことを検知すると、車両制御装置2の動作に抑制をかけ、それによって、セキュリティ攻撃に起因するアクチュエータ3の誤動作を防止する。また、セキュリティ装置10は、車両制御装置2の動作に抑制をかける際、当該セキュリティ攻撃が自車両の制御に与える影響度を考慮して、抑制する制御の種類、抑制の程度などを決定する。セキュリティ攻撃が自車両の制御に与える影響度(以下、単に「影響度」ということもある)は、具体的には、自車両の制動、駆動、操舵の各制御のために車両制御装置2が行う演算処理に与える影響の度合いに相当する。セキュリティ装置10が、セキュリティ攻撃の影響度を考慮して車両制御装置2の制御に抑制をかけることで、例えば、セキュリティ攻撃の影響を受けない範囲でアクチュエータ3の制御を継続するなど、セキュリティ攻撃に対する柔軟な措置を講ずることができる。
図1に示すように、セキュリティ装置10は、セキュリティ攻撃検知部11、影響度判定部12および車両制御抑制部13を備えている。
セキュリティ攻撃検知部11は、データ受信装置1が受信した車両情報が受けたセキュリティ攻撃を検知する。また、セキュリティ攻撃検知部11は、検知したセキュリティ攻撃の種類および程度の判定も行うことができる。
影響度判定部12は、セキュリティ攻撃検知部11が検知したセキュリティ攻撃の種類および程度、速度検出装置4から取得した自車両の速度、周辺物体検出装置5から取得した物体検出結果、ならびに、外部通信装置6から取得した外部自車両情報に基づいて、当該セキュリティ攻撃が自車両の制御に与える影響度を判定する。
車両制御抑制部13は、影響度判定部12が判定したセキュリティ攻撃の影響度に応じて、車両制御装置2がアクチュエータ3を制御する動作に抑制をかける。
ここで、セキュリティ攻撃検知部11について詳細に説明する。図2は、セキュリティ攻撃検知部11の構成例を示す図である。図2のセキュリティ攻撃検知部11は、セキュリティ攻撃の検知手段として、時間条件判定部111とデータ条件判定部112とを備えている。
時間条件判定部111は、センサやECUから車両情報が一定周期で送信されることを利用して、車両情報がデータ受信装置1に受信された時間からセキュリティ攻撃の有無を判定する。また、時間条件判定部111は、車両情報がデータ受信装置1に受信された周期を検知する周期検知部111aと、車両情報がデータ受信装置1に受信された頻度(一定時間あたりの受信回数)を検知する頻度検知部111bとを備えている。
以下、データ受信装置1が、車両情報としてヨーレート信号を受信する場合を例に挙げて、時間条件判定部111の動作を説明する。
例えば、ヨーレートセンサがヨーレート信号を送信する周期が100msと規定されていると仮定する。また、悪意者が自車両のネットワークに接続させたセキュリティ攻撃装置からも、同じく100ms周期で不正なヨーレート信号(なりすましのヨーレート信号)が送信されたとする。この場合、データ受信装置1は100msの期間にヨーレート信号を2回受信するため、周期検知部111aが検知するヨーレート信号の受信周期は100msよりも短い値となる。時間条件判定部111は、周期検知部111aによって、100msよりも短い受信周期(例えば、50ms周期以下の受信周期)が検知されると、セキュリティ攻撃があったと判定する。
また、ヨーレート信号の送信周期が100msと規定されており、頻度検知部111bが、100msの期間内にデータ受信装置1がヨーレート信号を受信した回数を検知するものと仮定する。セキュリティ攻撃のない通常の状態では、データ受信装置1は、100msあたり1回の頻度でヨーレート信号を受信する。しかし、例えばセキュリティ攻撃装置が不正なヨーレート信号を10ms周期で送信した場合、データ受信装置1は、100msあたり10回以上の頻度でヨーレート信号を受信する。時間条件判定部111は、頻度検知部111bによって、100msあたり2回以上の受信頻度(例えば、100msあたり3回以上の受信頻度)が検知されると、セキュリティ攻撃があったと判定する。
一方、データ条件判定部112は、データ受信装置1が受信した車両信号のデータの値が正しいかどうかを推定することよって、セキュリティ攻撃の有無を判定する。また、データ条件判定部112は、データ受信装置1が受信した車両情報のデータの値を検知する値検知部112aと、当該データの値の変化率を検知する変化率検知部112bと、当該データの値とその推定値との差(以下「残差」という)を検知する残差検知部112cとを備えている。
ここでも、データ受信装置1が、車両情報としてヨーレート信号を受信する場合を例に挙げて、データ条件判定部112の動作を説明する。
例えば、データ受信装置1が、通常ではとり得ない異常な値を示すヨーレート信号を受信した場合、その値から、当該ヨーレート信号がネットワークに接続させたセキュリティ攻撃装置から送信された不正なヨーレート信号であると判断できる。時間条件判定部111は、値検知部112aにより、ヨーレート信号の値として異常な値が検知されると、そのヨーレート信号を不正なヨーレート信号であると判断し、セキュリティ攻撃があったと判定する。
また、セキュリティ攻撃装置が送信する不正なヨーレート信号の値が、ヨーレートセンサが送信する正規のヨーレート信号の値と大きく異なる場合、データ受信装置1で受信されたヨーレート信号の値が大きく変化する。データ条件判定部112は、変化率検知部112bにより、ヨーレート信号の値の変化率として異常な値が検知されると、セキュリティ攻撃があったと判定する。
また、自車両のヨーレートは、次の数式(1)により推定できる。
数式(1)において、rはヨーレート、δは舵角、Vは速度、Aは自車両のスタビリティファクタ、lは自車両のホイールベース(前輪軸と後輪軸との間の距離)である。
残差検知部112cは、データ受信装置1が受信したヨーレート信号が示す値と数式(1)から算出したヨーレートの推定値との差(残差)を検知する。時間条件判定部111は、残差検知部112cにより、予め定められた閾値よりも大きな残差が検知されると、セキュリティ攻撃があったと判定する。
ここでは、車両情報をヨーレート信号と仮定して説明したが、セキュリティ攻撃検知部11が検出するセキュリティ攻撃は、ヨーレート信号に対するセキュリティ攻撃に限られず、上記と同様の手法を用いれば、他の車両情報のセキュリティ攻撃も検出することが可能である。
なお、時間条件判定部111およびデータ条件判定部112は、周期検知部111a、頻度検知部111b、値検知部112a、変化率検知部112bまたは残差検知部112cの1回の検知結果のみからセキュリティ攻撃の有無を判定してもよいが、予め定められた回数だけ連続して異常な値が検知された場合に限りセキュリティ攻撃があったと判断してもよい。それにより、ノイズの影響などで車両信号が一時的に異常な値をとった場合に、時間条件判定部111およびデータ条件判定部112がセキュリティ攻撃を誤検知することが防止される。
また、セキュリティ攻撃検知部11は、周期検知部111a、頻度検知部111b、値検知部112a、変化率検知部112bまたは残差検知部112cによる検知結果から、セキュリティ攻撃の種類や程度も判断することができる。
例えば、値検知部112aにより、正常な範囲内の値をとるヨーレート信号と、異常な値のヨーレート信号とが交互に検知されていれば、データ受信装置1が、セキュリティ攻撃装置からの不正なヨーレート信号だけでなく、ヨーレートセンサからの正規のヨーレート信号も受信していると判断できる。
また、周期検知部111aで異常な周期が検知されていても、変化率検知部112bで検知されるヨーレート信号の値の変化率が小さければ、不正なヨーレート信号の値は正規のヨーレート信号の値とほぼ同じであるため、セキュリティ攻撃の程度は低いと判断できる。また、残差検知部112cが検知した残差の大きさから、セキュリティ攻撃の程度を判断してもよい。
さらに、車両情報のCANメッセージ内の特定の領域に、当該メッセージが正しい送信元から送信されたかどうかを識別するためのメッセージ認証コードを埋め込むようにし、セキュリティ攻撃検知部11が、メッセージ認証コードから、セキュリティ攻撃の有無を判断してもよい。
次に、影響度判定部12および車両制御抑制部13の詳細を説明する。影響度判定部12は、セキュリティ攻撃検知部11によるセキュリティ攻撃の検知結果と、速度検出装置4から取得した自車両の速度と、周辺物体検出装置5から取得した物体検出結果と、外部通信装置6から取得した外部自車両情報とに基づいて、セキュリティ攻撃検知部11が検知したセキュリティ攻撃が自車両の制御に与える影響度を判定する。車両制御抑制部13は、影響度判定部12が判定したセキュリティ攻撃の影響度に応じて、車両制御装置2がアクチュエータ3を制御する動作に抑制をかける。
以下、車両制御装置2が、自車両の制動、駆動および操舵の各制御を行うものと仮定して、影響度判定部12および車両制御抑制部13の動作の具体例を説明する。この場合、影響度判定部12は、自車両の制動制御、駆動制御および操舵制御のそれぞれについて、車両信号が受けたセキュリティ攻撃の影響度を判定する。また、車両制御抑制部13は、影響度判定部12による判定結果に応じて、車両制御装置2が行う制動制御、駆動制御および操舵制御のそれぞれに個別に抑制をかける。
例えば、自車両のヨーレートの情報が、制動制御および操舵制御には用いられるが、駆動制御には用いられないと仮定すると、ヨーレート信号のセキュリティ攻撃が検知された場合、影響度判定部12は、当該セキュリティ攻撃の制動制御および操舵制御への影響度は高いが、駆動制御への影響度は低いと判定する。この場合、車両制御抑制部13は、車両制御装置2が行う制動制御および操舵制御に抑制をかけ、駆動制御には抑制をかけない。このように、車両制御抑制部13が、セキュリティ攻撃の影響度が高い制御だけに抑制をかけることで、セキュリティ攻撃の影響を受けない制御を継続することができる。
また、影響度判定部12は、セキュリティ攻撃検知部11が判定したセキュリティ攻撃の程度を考慮して、セキュリティ攻撃が各制御に与える影響度を判定してもよい。例えば、車両情報がセキュリティ攻撃を受けたとしても、車両情報の変化が殆ど無ければ、セキュリティ攻撃検知部11は、当該セキュリティ攻撃が自車両の各制御に与える影響度は低いと判断してもよい。この場合、車両制御抑制部13は、車両制御装置2が行う各制御に抑制をかけない。
車両制御抑制部13が、車両制御装置2が行う制御に抑制をかける際、当該制御を完全に停止させず、範囲を縮小して制御を継続させてもよい。例えば、セキュリティ攻撃からの影響度が高い制御であっても、制御量を縮小したり制御量に上限を設けたりして、制御の範囲を縮小することによって、セキュリティ攻撃の影響を除去できる場合がある。その場合には、車両制御抑制部13が、車両制御装置2が行う当該制御の範囲をセキュリティ攻撃の影響のない範囲に縮小して、当該制御を継続させてもよい。
また、本実施の形態では、影響度判定部12は、速度検出装置4から取得した自車両の速度に基づいて、セキュリティ攻撃の影響度を補正する。例えば、セキュリティ攻撃の種類によっては、自車両の速度が低くなると、車両制御装置2の制御に殆ど影響しなくなる場合がある。その場合、影響度判定部12は、自車両の速度が低くなるほど、セキュリティ攻撃の影響度を低くするように補正するとよい。これにより、自車両の速度が低く、セキュリティ攻撃の影響を殆ど受けない状況で、車両制御装置2が行う制御が不要に抑制されることが防止される。
本実施の形態では、影響度判定部12が、速度検出装置4から直接入力される自車両の速度を参照するものとした。しかし、自車両の速度の情報に対するセキュリティ攻撃が検知されていないことを前提に、データ受信装置1が受信した自車両の速度を、速度検出装置4が参照するようにしてもよい。
また、本実施の形態では、影響度判定部12は、周辺物体検出装置5による物体検出結果に基づいて、セキュリティ攻撃の影響度を補正する。例えば、自車両の周囲に他の車両や路側の障害物がない場合は、セキュリティ攻撃の影響度を低くするように補正することが考えられる。これにより、自車両の周囲に他の車両や障害物が存在し、自車両の走行に高い正確性が求められる状況でセキュリティ攻撃を受けた場合にのみ、車両制御装置2が行う制御が抑制されるようになる。
本実施の形態では、影響度判定部12が、周辺物体検出装置5から直接入力される物体検出結果を参照するものとした。しかし、物体検出結果の情報に対するセキュリティ攻撃が検知されていないことを前提に、データ受信装置1が受信した物体検出結果を、速度検出装置4が参照するようにしてもよい。
さらに、本実施の形態では、影響度判定部12は、外部通信装置6から取得した外部自車両情報に基づいて、セキュリティ攻撃の影響度を補正する。例えば、車車間通信可能な範囲に他の車両が存在しない場合や、路側設備から周囲に他の車両や障害物がない旨が通知されている場合には、セキュリティ攻撃の影響度を低くするように補正することが考えられる。これにより、自車両の周囲に他の車両や障害物が存在し、自車両の走行に高い正確性が求められる状況でセキュリティ攻撃を受けた場合にのみ、車両制御装置2が行う制御が抑制されるようになる。
また例えば、影響度判定部12が、外部通信装置6から、他の車両がレーダ等を用いて推定した自車両の速度の情報を取得し、自車両の速度が低くなるほど、セキュリティ攻撃の影響度を低くするように補正してもよい。これにより、自車両の速度が低く、セキュリティ攻撃の影響を殆ど受けない状況で、車両制御装置2が行う制御が不要に抑制されることが防止される。
影響度判定部12は、セキュリティ攻撃検知部11によるセキュリティ攻撃の検知結果と、速度検出装置4から取得した自車両の速度と、周辺物体検出装置5から取得した物体検出結果と、外部通信装置6から取得した外部自車両情報とを総合的に判断して、セキュリティ攻撃が自車両の制御に与える影響度を判定してもよい。例えば、セキュリティ攻撃検知部11、速度検出装置4、周辺物体検出装置5および外部通信装置6から取得した情報を全て数値化し、それらの数値の合計から、セキュリティ攻撃の影響度を判定してもよい。あるいは、それらの各数値の組み合わせと、セキュリティ攻撃の影響度との対応関係を規定したマップを予め用意しておき、影響度判定部12が当該マップに基づいてセキュリティ攻撃の影響度を判定してもよい。
また、影響度判定部12は、少なくともセキュリティ攻撃検知部11によるセキュリティ攻撃の検知結果からセキュリティ攻撃の影響度を判定すればよく、必ずしも速度検出装置4、周辺物体検出装置5および外部通信装置6から取得される情報を考慮しなくてもよい。また、影響度判定部12が、セキュリティ攻撃検知部11によるセキュリティ攻撃の検知結果と、速度検出装置4、周辺物体検出装置5および外部通信装置6のうちのいずれか1つまたは2つから取得される情報と考慮して、セキュリティ攻撃の影響度を判定してもよい。速度検出装置4、周辺物体検出装置5、外部通信装置6の全部または一部を省略して、セキュリティ装置のコストを低減させることができる。
図3は、実施の形態1に係るセキュリティ装置10の動作を示すフローチャートである。以下、図3を参照しつつ、セキュリティ装置10の動作を説明する。
車両制御システムの起動に伴ってセキュリティ装置10が起動すると、まず、セキュリティ攻撃検知部11が、データ受信装置1から車両情報を取得する(ステップS1)。続いて、セキュリティ攻撃検知部11は、車両情報の受信時間やデータの値に基づいて、車両情報がセキュリティ攻撃を受けているか否かを判定する(ステップS2)。車両情報がセキュリティ攻撃を受けていないと判定された場合(ステップS2でNO)、ステップS1およびS2が繰り返し実行される。
車両情報がセキュリティ攻撃を受けていると判定された場合(ステップS2でYES)、影響度判定部12が、速度検出装置4から自車両の速度を取得し(ステップS3)、周辺物体検出装置5から自車両周辺の物体の検出結果を取得し(ステップS4)、外部通信装置6から外部自車両情報(外部との通信で取得した自車両の情報)を取得する(ステップS5)。
影響度判定部12は、ステップS3〜S5で取得した各情報に基づいて、セキュリティ攻撃が車両制御装置2の制御に与える影響度を判定する(ステップS6)。そして、車両制御抑制部13が、影響度判定部12が判定したセキュリティ攻撃の影響度に応じて、車両制御装置2が行う制御に抑制をかける(ステップS7)。
セキュリティ装置10は、以上の動作を繰り返し実行する。
図4および図5は、それぞれセキュリティ装置10のハードウェア構成の一例を示す図である。図1に示したセキュリティ装置10の構成要素は、例えば図4に示す処理回路50により実現される。すなわち、処理回路50は、自車両のデータ受信装置1が受信した自車両の車両情報が受けたセキュリティ攻撃を検知するセキュリティ攻撃検知部11と、セキュリティ攻撃が自車両の制御に与える影響度を判定する影響度判定部12と、セキュリティ攻撃の影響度に応じて、車両情報に基づき自車両を制御する車両制御装置2の動作に抑制をかける車両制御抑制部13と、を備える。処理回路50には、専用のハードウェアが適用されてもよいし、メモリに格納されるプログラムを実行するプロセッサ(中央処理装置(CPU:Central Processing Unit)、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、DSP(Digital Signal Processor)ともいう)が適用されてもよい。
処理回路50が専用のハードウェアである場合、処理回路50は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC(Application Specific Integrated Circuit)、FPGA(Field-Programmable Gate Array)、またはこれらを組み合わせたものなどが該当する。セキュリティ装置10の構成要素の機能のそれぞれは、複数の処理回路で実現されてもよいし、それらの機能がまとめて一つの処理回路で実現されてもよい。
図5は、処理回路50がプロセッサを用いて構成されている場合におけるセキュリティ装置10のハードウェア構成を示している。この場合、セキュリティ装置10の構成要素の機能は、ソフトウェア等(ソフトウェア、ファームウェア、またはソフトウェアとファームウェア)との組み合わせにより実現される。ソフトウェア等はプログラムとして記述され、メモリ52に格納される。処理回路50としてのプロセッサ51は、メモリ52に記憶されたプログラムを読み出して実行することにより、各部の機能を実現する。すなわち、セキュリティ装置10は、処理回路50により実行されるときに、自車両のデータ受信装置1が受信した自車両の車両情報が受けたセキュリティ攻撃を検知する処理と、セキュリティ攻撃が自車両の制御に与える影響度を判定する処理と、セキュリティ攻撃の影響度に応じて、車両情報に基づき自車両を制御する車両制御装置2の動作に抑制をかける処理と、が結果的に実行されることになるプログラムを格納するためのメモリ52を備える。換言すれば、このプログラムは、セキュリティ装置10の構成要素の動作の手順や方法をコンピュータに実行させるものであるともいえる。
ここで、メモリ52は、例えば、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリー、EPROM(Erasable Programmable Read Only Memory)、EEPROM(Electrically Erasable Programmable Read Only Memory)などの、不揮発性または揮発性の半導体メモリ、HDD(Hard Disk Drive)、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD(Digital Versatile Disc)およびそのドライブ装置等、または、今後使用されるあらゆる記憶媒体であってもよい。
以上、セキュリティ装置10の構成要素の機能が、ハードウェアおよびソフトウェア等のいずれか一方で実現される構成について説明した。しかしこれに限ったものではなく、セキュリティ装置10の一部の構成要素を専用のハードウェアで実現し、別の一部の構成要素をソフトウェア等で実現する構成であってもよい。例えば、一部の構成要素については専用のハードウェアとしての処理回路50でその機能を実現し、他の一部の構成要素についてはプロセッサ51としての処理回路50がメモリ52に格納されたプログラムを読み出して実行することによってその機能を実現することが可能である。
以上のように、セキュリティ装置10は、ハードウェア、ソフトウェア等、またはこれらの組み合わせによって、上述の各機能を実現することができる。
<実施の形態2>
図6は、本発明の実施の形態2に係る車両制御システムの構成を示すブロック図である。図6の車両制御システムの構成は、図1の構成に対し、セキュリティ装置10に車両情報修正部14を追加したものである。
図6は、本発明の実施の形態2に係る車両制御システムの構成を示すブロック図である。図6の車両制御システムの構成は、図1の構成に対し、セキュリティ装置10に車両情報修正部14を追加したものである。
車両情報修正部14は、影響度判定部12からの指示に応じて、データ受信装置1が受信した車両情報を修正する。具体的には、車両情報修正部14は、データ受信装置1が受信した車両情報のデータのうち、セキュリティ攻撃として検知されたデータを除去または修正する。以下、車両情報修正部14によって修正された後の車両情報を「修正車両情報」という。
また、車両情報修正部14は、車両情報を修正した場合、データ受信装置1が受信した車両情報に代えて、修正車両情報を車両制御装置2に入力する。従って、車両制御装置2は、車両情報のセキュリティ攻撃が検知されたときには、データ受信装置1が受信した車両情報ではなく、修正車両情報に基づいて、アクチュエータ3を制御する。
車両情報修正部14は、外部通信装置6が受信した外部自車両情報(外部との通信で取得した自車両の情報)を取得でき、セキュリティ攻撃を受けたデータを、外部自車両情報から推定されたデータに置き換えることができる。例えば、自車両の速度が改ざんされた場合、改ざんされた速度のデータを、他の車両がレーダ等を用いて推定した自車両の速度のデータに置き換えることができる。
また、車両情報修正部14は、セキュリティ攻撃として検知されたデータを、演算により求めた推定値に置き換えてもよい。例えば、ヨーレート信号が改ざんされた場合、改ざんされたヨーレートのデータを、上記の数式(1)から算出した推定値のデータに置き換えることができる。
本実施の形態においても、車両制御抑制部13は、影響度判定部12が判定したセキュリティ攻撃の影響度に応じて、車両制御装置2がアクチュエータ3を制御する動作に抑制をかける。よって、実施の形態2においても、実施の形態1と同様の効果が得られる。
さらに、実施の形態2に係る車両制御システムでは、車両情報のセキュリティ攻撃が検知されたとき、車両情報修正部14がセキュリティ攻撃を受けた車両情報を修正した修正車両情報を生成し、車両制御装置2が修正車両情報に基づいてアクチュエータ3を制御する。よって、セキュリティ攻撃に起因するアクチュエータ3の誤動作をより確実に防止できる。
図7は、実施の形態2に係るセキュリティ装置10の動作を示すフローチャートである。図7のフローは、図3のフローに対し、ステップS6とS7との間に、車両情報修正部14がセキュリティ攻撃を受けた車両情報を修正して修正車両情報を生成するステップS10を挿入したものである。その他のステップは図3と同様であるため、図7のフローについての詳細な説明は省略する。
図6の車両制御システムは、車両情報修正部14が影響度判定部12からの指示に応じて、修正車両情報を生成する構成であったが、車両情報修正部14は、セキュリティ攻撃検知部11によるセキュリティ攻撃の検知結果に基づいて、修正車両情報を生成してもよい。
また、実施の形態1,2では、車両制御装置2はアクチュエータ3を制御するものとしてが、例えば音や光によって運転者への報知を行う、自車両に搭載された報知装置を制御するものでもよい。この場合、車両情報がセキュリティ攻撃を受けたときに、車両制御装置2による報知装置の制御に抑制がかけられ、報知装置による誤報知を防止することができる。
なお、本発明は、その発明の範囲内において、各実施の形態を自由に組み合わせたり、各実施の形態を適宜、変形、省略したりすることが可能である。
1 データ受信装置、2 車両制御装置、3 アクチュエータ、4 速度検出装置、5 周辺物体検出装置、6 外部通信装置、10 セキュリティ装置、11 セキュリティ攻撃検知部、12 影響度判定部、13 車両制御抑制部、14 車両情報修正部、111 時間条件判定部、111a 周期検知部、111b 頻度検知部、112 データ条件判定部、112a 値検知部、112b 変化率検知部、112c 残差検知部、50 処理回路、51 プロセッサ、52 メモリ。
Claims (20)
- 車両用セキュリティ装置が搭載される車両である自車両のデータ受信装置が受信した前記自車両の車両情報が受けたセキュリティ攻撃を検知するセキュリティ攻撃検知部と、
前記セキュリティ攻撃が前記自車両の制御に与える影響度を判定する影響度判定部と、
前記セキュリティ攻撃の前記影響度に応じて、前記車両情報に基づき前記自車両を制御する車両制御装置の動作に抑制をかける車両制御抑制部と、
を備え、
前記車両制御抑制部は、前記車両制御装置の動作に抑制をかける際、前記セキュリティ攻撃の前記影響度を考慮して、抑制する制御の種類または抑制の程度を決定する、
車両用セキュリティ装置。 - 前記車両制御装置は、前記自車両の制動制御、駆動制御および操舵制御を行い、
前記影響度判定部は、前記セキュリティ攻撃が前記制動制御、前記駆動制御および前記操舵制御に与える影響度をそれぞれ判定し、
前記車両制御抑制部は、前記制動制御、前記駆動制御および前記操舵制御のそれぞれに個別に抑制をかける、
請求項1に記載の車両用セキュリティ装置。 - 前記車両制御抑制部は、前記車両制御装置が行う制御を停止または制御の範囲を縮小させることによって、前記車両制御装置の動作に抑制をかける、
請求項1または請求項2に記載の車両用セキュリティ装置。 - 前記セキュリティ攻撃検知部は、前記車両情報を前記データ受信装置が受信した周期または頻度に基づいて前記セキュリティ攻撃を検知する、
請求項1から請求項3のいずれか一項に記載の車両用セキュリティ装置。 - 前記セキュリティ攻撃検知部は、前記データ受信装置が受信した前記車両情報のデータの値、当該データの値の変化率、または当該データの値とその推定値との差に基づいて前記セキュリティ攻撃を検知する、
請求項1から請求項3のいずれか一項に記載の車両用セキュリティ装置。 - 前記影響度判定部は、前記自車両の速度に基づいて、前記セキュリティ攻撃の前記影響度を判定する、
請求項1から請求項5のいずれか一項に記載の車両用セキュリティ装置。 - 前記影響度判定部は、前記自車両周辺の物体の検出結果に基づいて、前記セキュリティ攻撃の前記影響度を判定する、
請求項1から請求項5のいずれか一項に記載の車両用セキュリティ装置。 - 前記影響度判定部は、他の車両または路側設備との通信によって得られた前記自車両に関する情報に基づいて、前記セキュリティ攻撃の前記影響度を判定する、
請求項1から請求項5のいずれか一項に記載の車両用セキュリティ装置。 - 前記車両情報から、前記セキュリティ攻撃として検知されたデータを除去または修正した修正車両情報を生成して、前記修正車両情報を前記車両制御装置に入力する車両情報修正部をさらに備える、
請求項1から請求項8のいずれか一項に記載の車両用セキュリティ装置。 - 前記車両情報修正部は、他の車両または路側設備との通信によって得られた前記自車両に関する情報に基づいて、前記セキュリティ攻撃として検知されたデータを修正する、
請求項9に記載の車両用セキュリティ装置。 - セキュリティ装置のセキュリティ攻撃検知部が、前記セキュリティ装置が搭載される車両である自車両のデータ受信装置が受信した前記自車両の車両情報が受けたセキュリティ攻撃を検知し、
前記セキュリティ装置の影響度判定部が、前記セキュリティ攻撃が前記自車両の制御に与える影響度を判定し、
前記セキュリティ装置の車両制御抑制部が、前記セキュリティ攻撃の前記影響度に応じて、前記車両情報に基づき前記自車両を制御する車両制御装置の動作に抑制をかけ、
前記車両制御抑制部は、前記車両制御装置の動作に抑制をかける際、前記セキュリティ攻撃の前記影響度を考慮して、抑制する制御の種類または抑制の程度を決定する、
セキュリティ方法。 - 前記車両制御装置は、前記自車両の制動制御、駆動制御および操舵制御を行い、
前記影響度判定部は、前記セキュリティ攻撃が前記制動制御、前記駆動制御および前記操舵制御に与える影響度をそれぞれ判定し、
前記車両制御抑制部は、前記制動制御、前記駆動制御および前記操舵制御のそれぞれに個別に抑制をかける、
請求項11に記載のセキュリティ方法。 - 前記車両制御抑制部は、前記車両制御装置が行う制御を停止または制御の範囲を縮小させることによって、前記車両制御装置の動作に抑制をかける、
請求項11または請求項12に記載のセキュリティ方法。 - 前記セキュリティ攻撃検知部は、前記車両情報を前記データ受信装置が受信した周期または頻度に基づいて前記セキュリティ攻撃を検知する、
請求項11から請求項13のいずれか一項に記載のセキュリティ方法。 - 前記セキュリティ攻撃検知部は、前記データ受信装置が受信した前記車両情報のデータの値、当該データの値の変化率、または当該データの値とその推定値との差に基づいて前記セキュリティ攻撃を検知する、
請求項11から請求項13のいずれか一項に記載のセキュリティ方法。 - 前記影響度判定部は、前記自車両の速度に基づいて、前記セキュリティ攻撃の前記影響度を判定する、
請求項11から請求項15のいずれか一項に記載のセキュリティ方法。 - 前記影響度判定部は、前記自車両周辺の物体の検出結果に基づいて、前記セキュリティ攻撃の前記影響度を判定する、
請求項11から請求項15のいずれか一項に記載のセキュリティ方法。 - 前記影響度判定部は、他の車両または路側設備との通信によって得られた前記自車両に関する情報に基づいて、前記セキュリティ攻撃の前記影響度を判定する、
請求項11から請求項15のいずれか一項に記載のセキュリティ方法。 - さらに、前記セキュリティ装置の車両情報修正部が、前記車両情報から、前記セキュリティ攻撃として検知されたデータを除去または修正した修正車両情報を生成して、前記修正車両情報を前記車両制御装置に入力する、
請求項11から請求項18のいずれか一項に記載のセキュリティ方法。 - 前記車両情報修正部は、他の車両または路側設備との通信によって得られた前記自車両に関する情報に基づいて、前記セキュリティ攻撃として検知されたデータを修正する、
請求項19に記載のセキュリティ方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017202808A JP6556207B2 (ja) | 2017-10-19 | 2017-10-19 | 車両用セキュリティ装置およびセキュリティ方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017202808A JP6556207B2 (ja) | 2017-10-19 | 2017-10-19 | 車両用セキュリティ装置およびセキュリティ方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019075056A JP2019075056A (ja) | 2019-05-16 |
| JP6556207B2 true JP6556207B2 (ja) | 2019-08-07 |
Family
ID=66545138
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017202808A Active JP6556207B2 (ja) | 2017-10-19 | 2017-10-19 | 車両用セキュリティ装置およびセキュリティ方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6556207B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11921853B2 (en) * | 2019-07-23 | 2024-03-05 | Denso Corporation | System for adaptive vehicle security and response |
| JP6918067B2 (ja) * | 2019-10-07 | 2021-08-11 | 三菱電機株式会社 | 制御装置および制御方法 |
| JP2021099764A (ja) * | 2019-12-24 | 2021-07-01 | コベルコ建機株式会社 | 改ざん対象機器特定システム、改ざん対象機器特定プログラム、および改ざん対象機器特定方法 |
| JP2023170125A (ja) | 2022-05-18 | 2023-12-01 | パナソニックIpマネジメント株式会社 | セキュリティ方法、および、セキュリティ装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4069754B2 (ja) * | 2003-02-07 | 2008-04-02 | 日産自動車株式会社 | 車両運動制御装置 |
| JP4926648B2 (ja) * | 2006-10-27 | 2012-05-09 | 富士通セミコンダクター株式会社 | 車載ゲートウェイ装置 |
| JP5919205B2 (ja) * | 2013-01-28 | 2016-05-18 | 日立オートモティブシステムズ株式会社 | ネットワーク装置およびデータ送受信システム |
| JP2015067234A (ja) * | 2013-09-30 | 2015-04-13 | 日立オートモティブシステムズ株式会社 | 車両制御装置 |
| WO2016075865A1 (ja) * | 2014-11-12 | 2016-05-19 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 更新管理方法、更新管理装置及び制御プログラム |
| JP6423402B2 (ja) * | 2015-12-16 | 2018-11-14 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ処理方法及びサーバ |
| JP6761793B2 (ja) * | 2017-10-13 | 2020-09-30 | 日立オートモティブシステムズ株式会社 | 車両用制御装置 |
-
2017
- 2017-10-19 JP JP2017202808A patent/JP6556207B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019075056A (ja) | 2019-05-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6556207B2 (ja) | 車両用セキュリティ装置およびセキュリティ方法 | |
| CN112204578B (zh) | 使用机器学习在数据接口上检测数据异常 | |
| US9731728B2 (en) | Sensor abnormality detection device | |
| CN110356418B (zh) | 用于提供车辆控制权转移的通知的装置和方法 | |
| JP6793883B2 (ja) | 車両走行制御装置、車両走行制御方法、制御回路および記憶媒体 | |
| WO2012140721A1 (ja) | 車両制御装置及び車両制御方法 | |
| US11945452B2 (en) | Determination of reliability of vehicle control commands via memory test | |
| JP2007226680A (ja) | 物体検出装置 | |
| JP7130983B2 (ja) | 車両制御装置 | |
| KR20140100787A (ko) | 차선 유지 제어 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
| JP2018173760A (ja) | 映像記録装置および映像記録方法 | |
| JP7045476B2 (ja) | 車両用センサ装置およびセンサを監視する方法 | |
| US10255815B2 (en) | Method and control unit for monitoring the lane of a vehicle | |
| KR102242671B1 (ko) | 슬라이딩 윈도우를 이용한 메시지 검증 기반의 차량 내 보안 침입 탐지 장치 및 그 동작 방법 | |
| JP2006195579A (ja) | 車両用制御装置 | |
| JP2012230604A (ja) | データ処理装置 | |
| JP6834020B2 (ja) | 物体認識装置および物体認識方法 | |
| JP5967196B2 (ja) | ドライバ状態判定装置及びドライバ状態判定方法 | |
| KR102045286B1 (ko) | 초음파 센서를 대상으로 하는 공격 탐지 장치 및 방법 | |
| JP2020068506A (ja) | 電子制御装置、電子制御システム及びプログラム | |
| KR102322457B1 (ko) | 차량의 센서 정보 간 오차를 이용한 센서 공격 탐지 장치 및 방법 | |
| KR102045011B1 (ko) | 캘리브레이션 데이터 강건화 방법 및 그 장치 | |
| CN110893863B (zh) | 警告状态调整装置和方法 | |
| US11577753B2 (en) | Safety architecture for control of autonomous vehicle | |
| US20220144285A1 (en) | Device and method for controlling travel of vehicle |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20171019 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181218 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190128 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190611 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190709 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6556207 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |