JP6737189B2 - 不正判定システム及び不正判定方法 - Google Patents

不正判定システム及び不正判定方法 Download PDF

Info

Publication number
JP6737189B2
JP6737189B2 JP2017007090A JP2017007090A JP6737189B2 JP 6737189 B2 JP6737189 B2 JP 6737189B2 JP 2017007090 A JP2017007090 A JP 2017007090A JP 2017007090 A JP2017007090 A JP 2017007090A JP 6737189 B2 JP6737189 B2 JP 6737189B2
Authority
JP
Japan
Prior art keywords
access
external device
memory
area
unauthorized
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017007090A
Other languages
English (en)
Other versions
JP2018116510A (ja
Inventor
中村 哲朗
哲朗 中村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2017007090A priority Critical patent/JP6737189B2/ja
Priority to EP18151922.4A priority patent/EP3352088B1/en
Priority to US15/872,423 priority patent/US10726138B2/en
Priority to CN201810039406.9A priority patent/CN108376226B/zh
Publication of JP2018116510A publication Critical patent/JP2018116510A/ja
Application granted granted Critical
Publication of JP6737189B2 publication Critical patent/JP6737189B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication

Description

本発明は、不正判定システム及び不正判定方法に関する。
従来、車両のボディ系機器を特定の操作手順に従って操作したりパスワードを入力したりすることによって、外部装置と車載のECU(Electronic Control Unit)との間での情報のやり取りを許可する技術が知られている(例えば、特許文献1を参照)。
特開2014−021617号公報
しかしながら、従来の技術では、特定の操作手順やパスワードが漏洩した場合、外部装置からの不正アクセスを検知することが難しい。
そこで、本開示の一態様は、外部装置からの不正アクセスに対する機密性を高めることが可能な不正判定システム及び不正判定方法の提供を目的とする。
上記目的を達成するため、本開示の一態様では、
車両に搭載されたメモリと、
前記車両に搭載された接続部と、
前記接続部に有線又は無線で接続された外部装置からの不正アクセスを判定する不正アクセス判定部とを備え、
前記メモリは、所定の非アクセス領域を含み、
前記不正アクセス判定部は、前記非アクセス領域に対するアクセスが前記外部装置から要求された場合、又は前記非アクセス領域が前記外部装置によりアクセスされた場合、前記外部装置からのアクセスが不正であると判定する、不正判定システムが提供される。
本態様によれば、前記外部装置がアクセス先として指定する領域が前記メモリに含まれる所定の非アクセス領域であれば、前記外部装置からのアクセスが不正であると判定される。したがって、パスワードや特定の操作手順等の認証情報の入力が必要な構成であれば、そのような認証情報が漏洩しても、前記外部装置からの不正アクセスに対する機密性を高めることができる。あるいは、パスワード等の認証情報の入力が不必要な構成であれば、そのような認証情報がそもそも不要となるので、前記外部装置からの不正アクセスに対する機密性を高めることができる。
また、本開示の一態様では、
前記不正アクセス判定部は、前記非アクセス領域に対するアクセスが前記外部装置から要求された程度又は前記非アクセス領域が前記外部装置によりアクセスされた程度を表す変数の値が閾値に達した場合、前記外部装置からのアクセスが不正であると判定する。
本態様によれば、前記外部装置がアクセス先として指定する領域が前記非アクセス領域であっても、前記変数の値が前記閾値に達するまでは、前記外部装置からのアクセスが不正であると判定されない。したがって、例えば、正当な前記外部装置が前記非アクセス領域に対するアクセスを誤って要求しても、又は正当な前記外部装置が前記非アクセス領域に誤ってアクセスしても、前記外部装置からのアクセスが不正であると直ちに判定されない。よって、例えば、誤使用された正当な前記外部装置からのアクセスが不正であると直ちに判定されることを防ぐことができる。
また、本開示の一態様では、
前記不正アクセス判定部は、前記非アクセス領域のうちで前記外部装置がアクセスを要求した領域又は前記外部装置がアクセスした領域に応じた重み付けで、前記変数の値を変化させる。
本態様によれば、前記非アクセス領域のうちで前記外部装置がアクセスを要求した領域又は前記外部装置がアクセスした領域の違いによって、前記変数の値が前記閾値に達するまでに変化する度合いを変えることができる。したがって、前記外部装置がアクセスを要求した領域又は前記外部装置がアクセスした領域の違いによって、前記外部装置からのアクセスが不正であると判定されるまでの判定感度を変えることができる。
また、本開示の一態様では、
前記非アクセス領域は、第1の情報が格納される第1の領域と、前記第1の情報よりも機密性の高い第2の情報が格納される第2の領域とを含み、
前記不正アクセス判定部は、前記第1の領域に対するアクセスの場合に比べて前記第2の領域に対するアクセスの場合の方が前記変数の値を大きく変化させる。
本態様によれば、前記第1の領域に対するアクセスの場合に比べて前記第2の領域に対するアクセスの場合の方が、前記外部装置からのアクセスが不正であると判定されやすくなるので、前記第1の情報よりも機密性の高い第2の情報の安全性が更に向上する。
また、本開示の一態様では、
前記不正アクセス判定部は、前記非アクセス領域に対する読み出しアクセスの場合に比べて前記非アクセス領域に対する書き込みアクセスの場合の方が前記変数の値を大きく変化させる。
本態様によれば、前記非アクセス領域に対する読み出しアクセスの場合に比べて前記非アクセス領域に対する書き込みアクセスの場合の方が、前記外部装置からのアクセスが不正であると判定されやすくなる。よって、不正な書き込みアクセスに対する機密性を更に高めることができる。
また、本開示の一態様では、
前記外部装置からのアクセスが不正であると前記不正アクセス判定部により判定された場合、前記メモリに対するアクセスを禁止するメモリアクセス制御部を備える。
本態様によれば、前記メモリに対するアクセスが禁止された後の不正アクセスから前記メモリを保護することができる。
また、本開示の一態様では、
前記外部装置からのアクセスが不正であると前記不正アクセス判定部により判定される前の状態に前記メモリの内容を復元するメモリ内容復元部を備える。
前記外部装置からの不正アクセスがあると、前記メモリに格納されていた内容が書き換えられている可能性がある。しかし、前記メモリ内容復元部によれば、不正アクセスがある前の状態に前記メモリの内容を戻すことができるので、前記メモリに格納されていた内容が不正アクセスにより書き換えられたことによって生ずる不具合を防ぐことができる。
また、本開示の一態様では、
前記メモリ内容復元部は、前記外部装置からのアクセスが不正であると前記不正アクセス判定部により判定される前に前記メモリから削除された内容を、復元する。
本態様によれば、不正アクセスによって前記メモリから内容が削除されても、その削除された内容を前記メモリに回復させることができる。
また、本開示の一態様では、
前記外部装置からのアクセスが不正であると前記不正アクセス判定部により判定されるまでに前記メモリに書き込まれた内容を削除するメモリ内容削除部を備える。
本態様によれば、不正アクセスにより前記メモリに書き込まれた内容を削除することができるので、不正アクセスにより前記メモリに書き込まれた内容によって生ずる不具合を防ぐことができる。
上記目的を達成するため、本開示の他の一様態では、
車両に搭載された接続部に有線又は無線で接続された外部装置からの不正アクセスを判定する不正判定方法であって、
前記車両に搭載されたメモリは、所定の非アクセス領域を含み、
不正アクセス判定部は、前記非アクセス領域に対するアクセスが前記外部装置から要求された場合、又は前記非アクセス領域が前記外部装置によりアクセスされた場合、前記外部装置からのアクセスが不正であると判定する、不正判定方法が提供される。
本態様によれば、前記外部装置がアクセス先として指定する領域が前記メモリに含まれる所定の非アクセス領域であれば、前記外部装置からのアクセスが不正であると判定される。したがって、上述の態様と同様、前記外部装置からの不正アクセスに対する機密性を高めることができる。
本開示の一態様によれば、外部装置からの不正アクセスに対する機密性を高めることができる。
第1の実施形態に係る不正判定システムの構成の一例を示す図である。 第1の実施形態に係る不正判定システムが実行する不正判定方法の第1例を示すフローチャートである。 第1の実施形態に係る不正判定システムが実行する不正判定方法の第2例を示すフローチャートである。 各メモリ領域と各メモリ領域に予め付与されている点数との対応関係の一例を示す概念図を示す。 第2の実施形態に係る不正判定システムの構成の一例を示す図である。 第2の実施形態に係る不正判定システムが実行する不正判定方法の一例を示すフローチャートである。
以下、本実施形態に係る不正判定システム及び不正判定方法について説明する。
市場での故障診断、不具合解析及び不具合修正等の目的で、ツール等の外部装置を車載ネットワークに接続し、車載ネットワーク経由でECU内のメモリを読み書きする場合がある。例えば、ECUの故障診断情報や制御情報をメモリから読み出したり、メモリ内のECUの制御プログラムを書き換えたりする場合がある。
このような読み書き機能が悪用されると、セキュリティ性の高い情報(例えば、暗号方式で使用される鍵情報など)の読み出しや制御プログラムの書き換えが不正に行われてしまう可能性がある。従来技術では、認証により悪用者からのアクセスを拒否する手段があるが、認証が突破される可能性は零ではない。
以下に説明する本実施形態に係る不正判定システム及び不正判定方法は、仮に認証が突破されたとしても、外部装置がアクセス先として指定するメモリアドレスに基づき、外部装置からの不正アクセスを判定する。外部装置からのアクセスが不正であると判定された場合、例えば、不正と判定された以降のメモリアクセスが禁止される。これにより、メモリを不正アクセスから保護することができる。また、外部装置からのアクセスが不正であると判定された場合、例えば、不正と判定される前の状態にメモリの状態が戻される。これにより、不正な書き込みアクセスによって不正なデータがメモリに書き込まれても、書き込まれた不正なデータによって生ずる不具合を防ぐことができる。
図1は、第1の実施形態に係る不正判定システムの構成の一例を示す図である。図1に示される不正判定システム101は、車両100に搭載された接続部10に有線又は無線で接続された外部装置300からの不正アクセスを判定する。不正判定システム101は、接続部10と、通信ライン20と、ECU30とを備える。
接続部10は、車両100に搭載されている。接続部10には、ツール等の外部装置300が接続される。接続部10と外部装置300とは有線又は無線で接続される。接続部10と外部装置300とが有線で接続される構成では、接続部10は、例えば、接続コネクタ、又は、接続コネクタと通信モジュールとを含む構成である。接続部10と外部装置300とが無線で接続される構成では、接続部10は、例えば、通信モジュールである。
接続コネクタの具体例として、DLC(Data link coupler)コネクタ等が挙げられる。通信モジュールは、外部装置300と通信ライン20とを中継する機能を有する。通信モジュールは、外部装置300が送信した情報を無線で受信し、受信した情報を通信ライン20経由でECU30に送信する。逆に、通信モジュールは、ECU30が通信ライン20に送信した情報を受信し、受信した情報を外部装置300に無線で送信する。
通信ライン20は、車両100に搭載された車載ネットワークの一例である。通信ライン20は、例えば、CAN(Controller Area Network)やイーサネット(登録商標)等の通信規格による車載ネットワークである。通信ライン20は、接続部10とECU30とを一対一で結ぶ伝送路でもよい。
ECU30は、車両100に搭載された電子制御装置の一例である。ECU30は、メモリ50、不正アクセス判定部40、メモリアクセス制御部43、メモリ内容復元部44及びメモリ内容削除部45を有する。ECU30は、プロセッサの一例であるCPU(Central Processing Unit)と、メモリ50とを有する。不正アクセス判定部40、メモリアクセス制御部43、メモリ内容復元部44及びメモリ内容削除部45の各機能は、CPUが処理するプログラムによって実現される。それらの各機能を実現するためのプログラムは、メモリ50(好ましくは、メモリ50内の非アクセス領域)に格納されている。メモリ50内のメモリ領域の詳細については後述する。
不正アクセス判定部40は、接続部10に有線又は無線で接続された外部装置300からの不正アクセスを判定する。不正アクセス判定部40は、アクセス要求異常判定部41と、アクセス要求不正判定部42とを有する。以下、アクセス要求異常判定部41を異常判定部41と称し、アクセス要求不正判定部42を不正判定部42と称する。
異常判定部41は、外部装置300がアクセス先として指定するメモリアドレスに基づいて、外部装置300からのアクセス要求が正常要求か異常要求かを判定する。メモリアドレスは、メモリ50内の各メモリ領域にそれぞれ予め付与されている。
図1に例示されるメモリ50は、読み書き可能な不揮発性メモリを表し、その具体例として、フラッシュメモリ、EEPROM(Electrically Erasable Programmable Read Only Memory)などが挙げられる。
図1では、読み出しアクセスに対して、例えば、メモリ50内のメモリ領域1〜3は、読み出し必要領域として予め設定されていて、メモリ50内のメモリ領域4〜8は、読み出し不要領域として予め設定されている。また、図1では、書き込みアクセスに対して、例えば、メモリ50内のメモリ領域1〜4は、書き込み必要領域として予め設定されていて、メモリ50内のメモリ領域5〜8は、書き込み不要領域として予め設定されている。
メモリ50は、所定のアクセス領域と、所定の非アクセス領域とを含む。アクセス領域とは、解析やリプログラミング等の所定の目的に対して外部装置300からのアクセスが必要なメモリ領域、又は、外部装置300からのアクセスが許可された若しくは想定されたメモリ領域を表す。非アクセス領域とは、解析やリプログラミング等の所定の目的に対して外部装置300からのアクセスが不要なメモリ領域、又は、外部装置300からのアクセスが許可されていない若しくは想定されていないメモリ領域を表す。
読み出し必要領域は、アクセス領域の一例であり、例えば、故障診断や不具合解析目的で読み出す必要のある内容(情報)が格納されるメモリ領域を表す。
読み出し不要領域は、非アクセス領域の一例であり、例えば、読み出し必要領域以外のメモリ領域を表す。
書き込み必要領域は、アクセス領域の一例であり、例えば、市場不具合対策のリプログラミング目的で書き込む必要のある内容(情報)が格納されるメモリ領域を表す。
書き込み不要領域は、非アクセス領域の一例であり、例えば、書き込み必要領域以外のメモリ領域を表す。
異常判定部41は、外部装置300が読み出し対象として指定するメモリアドレスが読み出し必要領域のアドレスに該当する場合、外部装置300からの読み出しアクセス要求は正常な読み出し要求であると判定する。一方、異常判定部41は、外部装置300が読み出し対象として指定するメモリアドレスが読み出し不要領域のアドレスに該当する場合、外部装置300からの読み出しアクセス要求は異常な読み出し要求であると判定する。
同様に、異常判定部41は、外部装置300が書き込み対象として指定するメモリアドレスが書き込み必要領域のアドレスに該当する場合、外部装置300からの書き込みアクセス要求は正常な書き込み要求であると判定する。一方、異常判定部41は、外部装置300が書き込み対象として指定するメモリアドレスが書き込み不要領域のアドレスに該当する場合、外部装置300からの書き込みアクセス要求は異常な書き込み要求であると判定する。
不正判定部42は、非アクセス領域に対するアクセスが外部装置300から要求された程度を表す変数の値をカウントし、カウントした値が閾値に達した場合、外部装置300からのアクセスが不正であると判定する。例えば、不正判定部42は、異常要求(異常な読み出し要求又は異常は書き込み要求)と判定された回数を表す変数の値をカウントアップし、カウントアップした値が所定の閾値を超えた場合、外部装置300からのアクセスが不正であると判定する。
メモリアクセス制御部43は、メモリ50に対するアクセスを制御する。メモリアクセス制御部43は、例えば、外部装置300からのアクセス要求が正常要求(正常な読み出し要求又は正常な書き込み要求)であると異常判定部41により判定された場合には、メモリ50に対するアクセスを許可する。一方、メモリアクセス制御部43は、例えば、外部装置300からのアクセス要求が異常要求(異常な読み出し要求又は異常な書き込み要求)であると異常判定部41により判定された場合には、メモリ50に対するアクセスを拒否する。
メモリアクセス制御部43は、外部装置300からのアクセスが不正であると不正アクセス判定部40の不正判定部42により判定された場合、メモリ50に対する読み書きアクセスを禁止する。これにより、メモリ50に対するアクセスが禁止された後の不正アクセスからメモリ50を保護することができる。なお、ディーラー等に配備された正当な機器によって特別な処置がECU30に対して施されることによって、その禁止処置は解除される。
メモリ内容復元部44は、外部装置300からのアクセスが不正であると不正アクセス判定部40の不正判定部42により判定された場合、外部装置300からのアクセスが不正であると判定される前の状態にメモリ50の内容を復元する。外部装置300からの不正アクセスがあると、メモリ50に格納されていた内容が書き換えられている可能性がある。しかし、メモリ内容復元部44によれば、不正アクセスがある前の状態にメモリ50の内容を復元することができるので、メモリ50に格納されていた内容が不正アクセスにより書き換えられたことによって生ずる不具合を防ぐことができる。
メモリ内容復元部44は、外部装置300からのアクセス要求が正常な書き込み要求であると異常判定部41により判定された場合、アクセスが要求された書き込み必要領域に書き込む前に格納されていた内容をバックアップする。例えば、メモリ内容復元部44は、アクセスが要求された書き込み必要領域に書き込み前に格納されていた内容とその書き込み必要領域のアドレスとを、メモリ50内の書き込み不要領域のうちの空き領域にバックアップする。メモリ50内の書き込み不要領域にバックアップすることで、書き込み不要領域にバックアップされた情報(バックアップ情報)を、不正アクセスから保護することができる。メモリ内容復元部44は、外部装置300からのアクセスが不正であると判定された場合、メモリ50に記憶されたバックアップ情報に基づいて、外部装置300からのアクセスが不正であると判定される前の状態にメモリ50の内容を復元する。
メモリ内容削除部45は、外部装置300からのアクセスが不正であると不正アクセス判定部40の不正判定部42により判定された場合、当該アクセスが不正であると判定されるまでにメモリ50に書き込まれていた内容を削除する。これにより、不正アクセスによりメモリ50に書き込まれた内容を削除することができるので、不正アクセスによりメモリ50に書き込まれた内容によって生ずる不具合を防ぐことができる。
図2は、第1の実施形態に係る不正判定システムが実行する不正判定方法の第1例を示すフローチャートである。図1に示される不正判定システム101のECU30は、図2に示される不正判定方法の第1例に従って、外部装置300からの不正アクセスを判定する不正判定処理を実行する。ECU30は、読み出し又は書き込みのアクセス要求が外部装置300から入力されると、図2に示される不正判定方法の第1例による不正判定処理を開始する。
ステップS11にて、メモリアクセス制御部43は、メモリ50の全メモリ領域1〜8に対するアクセスが許可されているか否かを判定する。メモリアクセス制御部43は、全メモリ領域1〜8に対するアクセスが許可されている場合(ステップS13Yes)、ステップS15以降の処理を許可する。一方、メモリアクセス制御部43は、全メモリ領域1〜8に対するアクセスが禁止されている場合(ステップS13No)、ステップS15以降の処理を許可せずに(実行させずに)、図2に示される不正判定方法の第1例による不正判定処理を終了させる。これにより、全メモリ領域1〜8に対するアクセスが禁止された後の不正アクセスから全メモリ領域1〜8を保護することができる。
ステップS15にて、異常判定部41は、外部装置300から入力されたアクセス要求の種類を判定する。異常判定部41は、外部装置300から入力されたアクセス要求が読み出し要求であると判定した場合(ステップS17Yes)、ステップS19の処理を実行する。一方、異常判定部41は、外部装置300から入力されたアクセス要求が書き込み要求であると判定した場合(ステップS17No)、ステップS23の処理を実行する。
ステップS19にて、異常判定部41は、外部装置300が読み出し対象として指定するメモリ領域の種類を判定する。異常判定部41は、外部装置300が読み出し対象として指定するメモリアドレスが読み出し必要領域のアドレスに該当する場合、外部装置300からの読み出しアクセス要求は正常な読み出し要求であると判定する(ステップS21Yes)。一方、異常判定部41は、外部装置300が読み出し対象として指定するメモリアドレスが読み出し不要領域のアドレスに該当する場合、外部装置300からの読み出しアクセス要求は異常な読み出し要求であると判定する(ステップS21No)。
一方、ステップS23にて、異常判定部41は、外部装置300が書き込み対象として指定するメモリ領域の種類を判定する。異常判定部41は、外部装置300が書き込み対象として指定するメモリアドレスが書き込み必要領域のアドレスに該当する場合、外部装置300からの書き込みアクセス要求は正常な書き込み要求であると判定する(ステップS25Yes)。一方、異常判定部41は、外部装置300が書き込み対象として指定するメモリアドレスが書き込み不要領域のアドレスに該当する場合、外部装置300からの書き込みアクセス要求は異常な書き込み要求であると判定する(ステップS25No)。
ステップS43にて、メモリ内容復元部44は、外部装置300からのアクセス要求が正常な書き込み要求であると判定された場合(ステップS25Yes)、アクセスが要求された書き込み必要領域に書き込み前に格納されていた内容をバックアップする。例えば、メモリ内容復元部44は、アクセスが要求された書き込み必要領域に書き込み前に格納されていた内容とその書き込み必要領域のアドレスとを、メモリ50内の書き込み不要領域のうちの空き領域にバックアップする。
ステップS31にて、メモリアクセス制御部43は、外部装置300からのアクセス要求が異常要求(異常な読み出し要求又は異常な書き込み要求)であると判定された場合、メモリ50に対するアクセスを拒否する。
ステップS33にて、不正判定部42は、非アクセス領域に対するアクセスが外部装置300から要求された程度を表す変数(以下、「変数X」とも称する)の値をカウントアップする。例えば、不正判定部42は、外部装置300からのアクセス要求が異常要求(異常な読み出し要求又は異常な書き込み要求)であるとステップS21又はステップS25にて判定された回数を表す変数(以下、「変数Xa」と称する)の値をカウントアップする。
ステップS35にて、不正判定部42は、非アクセス領域に対するアクセスが外部装置300から要求された程度を表す変数Xの値が所定の閾値に達したか否かを判定する。例えば、不正判定部42は、異常要求と判定された回数を表す変数Xaが所定の閾値を超えたか否かを判定する。
ステップS37にて、不正判定部42は、変数Xの値が所定の閾値に達していない(例えば、変数Xaの値が所定の閾値未満である)と判定した場合、ステップS51の処理が行われる。一方、ステップS37にて、不正判定部42は、変数Xの値が所定の閾値に達した(例えば、変数Xaの値が所定の閾値以上である)と判定した場合、外部装置300からのアクセスが不正であると判定し、ステップS39の処理が行われる。
メモリアクセス制御部43は、外部装置300からのアクセスが不正であると判定された場合(ステップS37No)、それ以降のメモリ50の全メモリ領域1〜8に対するアクセスを禁止する(ステップS39)。ステップS59でアクセスが禁止されることにより、上述のステップS13にて、全メモリ領域1〜8に対するアクセスが禁止されていると判定される。
ステップS41にて、メモリ内容復元部44は、ステップS43でバックアップされた情報に基づいて、外部装置300からのアクセスが不正であると判定される前の状態にメモリ50の内容を復元する。これにより、メモリ50に格納されていた内容が不正アクセスにより書き換えられたことによって生ずる不具合を防ぐことができる。
また、ステップS41にて、メモリ内容削除部45は、外部装置300からのアクセスが不正であると不正アクセス判定部40の不正判定部42により判定されるまでにメモリ50に書き込まれた内容を削除してもよい。これにより、不正アクセスによりメモリ50に書き込まれた内容を削除することができるので、不正アクセスによりメモリ50に書き込まれた内容によって生ずる不具合を防ぐことができる。
ステップS51にて、メモリアクセス制御部43は、外部装置300からのアクセス要求が異常判定部41により正常要求と判定されたか異常要求と判定されたかを判断する。
ステップS53にて、メモリアクセス制御部43は、外部装置300からのアクセス要求がステップS21又はS25にて正常要求であると判定されている場合、メモリ50に対するアクセスを許可する。この場合、ステップS55にて、メモリアクセス制御部43は、メモリ50に対するアクセスを実行する。メモリアクセス制御部43は、外部装置300から指定された読み出し必要領域から情報を読み出す、あるいは、外部装置300から指定された書き込み必要領域に情報を書き込む。
一方、ステップS53にて、メモリアクセス制御部43は、外部装置300からのアクセス要求がステップS21又はS25にて異常要求であると判定されている場合、メモリ50に対するアクセスを実行せずに、不正判定処理を終了させる。
このように、図2に示される不正判定方法の第1例によれば、外部装置300からの不正アクセスに対する機密性を高めることができる。
図3は、第1の実施形態に係る不正判定システムが実行する不正判定方法の第2例を示すフローチャートである。上述の図2は、非アクセス領域に対するアクセスが外部装置300から「要求」された場合、不正アクセス判定部40は、非アクセス領域に対する実際のアクセスを許可することなく、外部装置300からのアクセスが不正であると判定する一例を示す。一方、図3は、非アクセス領域が外部装置300により「実際に」アクセスされた場合、不正アクセス判定部40は、外部装置300からのアクセスが不正であると判定する一例を示す。以下、図3について説明する。図3において図2と同様の箇所については、上述の説明を援用する。
図2では、メモリアクセス制御部43は、外部装置300からのアクセス要求がステップS21又はS25にて異常要求であると判定された場合、メモリ50に対するアクセスを拒否する。一方、図3では、メモリアクセス制御部43は、外部装置300からのアクセス要求がステップS21又はS25にて異常要求であると判定された場合、メモリ50に対するアクセスを拒否しない。
図3のステップS33にて、不正判定部42は、非アクセス領域が外部装置300によりアクセスされた程度を表す変数(以下、「変数Y」と称する)の値をカウントアップする。図2と同様、例えば、不正判定部42は、外部装置300からのアクセス要求が異常要求であるとステップS21又はステップS25にて判定された回数を表す変数Xaの値をカウントアップする。
図3のステップS35にて、不正判定部42は、非アクセス領域が外部装置300によりアクセスされた程度を表す変数Yの値が所定の閾値に達したか否かを判定する。
図3のステップS37にて、不正判定部42は、変数Yの値が所定の閾値に達していない(例えば、変数Xaの値が所定の閾値未満である)と判定した場合、ステップS55の処理が行われる。一方、図3のステップS37にて、不正判定部42は、変数Yの値が所定の閾値に達した(例えば、変数Xaの値が所定の閾値以上である)と判定した場合、外部装置300からのアクセスが不正であると判定し、ステップS39の処理が行われる。
したがって、図3の例では、外部装置300からのアクセス要求がステップS21又はS25にて異常要求であると判定された場合でも、ステップS55にて、メモリアクセス制御部43は、メモリ50に対するアクセスを実行する。メモリアクセス制御部43は、外部装置300から指定された読み出し必要領域又は読み出し不要領域から情報を読み出す、あるいは、外部装置300から指定された書き込み必要領域又は書き込み不要領域に情報を書き込む。
このように、図3の例では、外部装置300からのアクセス要求が異常要求であると判定された場合でも、メモリ50に対するアクセスは許容される。しかしながら、ステップS37にて変数Yの値が所定の閾値に達すれば、最終的には、外部装置300からのアクセスが不正であると判定されるので、外部装置300からの不正アクセスに対する機密性を高めることができる。
次に、非アクセス領域に対するアクセスが外部装置から要求された程度を表す変数X又は非アクセス領域が外部装置によりアクセスされた程度を表す変数Yの数をカウントする方法の変形例を示す。
図4は、各メモリ領域と各メモリ領域に予め付与されている点数との対応関係の一例を示す概念図を示す。
不正アクセス判定部40の不正判定部42は、非アクセス領域のうちで外部装置300がアクセスを要求した領域に応じた重み付けで、変数Xの値を変化させる。または、不正アクセス判定部40の不正判定部42は、非アクセス領域のうちで外部装置300がアクセスした領域に応じた重み付けで、変数Yの値を変化させる。これにより、非アクセス領域のうちで外部装置300がアクセスを要求した領域又は外部装置300がアクセスした領域の違いによって、変数X又は変数Yの値が閾値に達するまでに変化する度合いを変えることができる。したがって、外部装置300がアクセスを要求した領域又は外部装置300がアクセスした領域の違いによって、外部装置300からのアクセスが不正であると判定されるまでの判定感度を変えることができる。
例えば、メモリ50内の非アクセス領域には、外部装置300からの不正アクセスが車両100又は車両100のユーザに与える影響の大きさに比例した重み付けで、点数が予め付与されている。より具体的には、車両100の走る、曲がる、止まるなどの運動を制御するためのプログラム又はデータは、当該運動に影響を与えないプログラム又はデータに比べて高く配点される。車両100のセキュリティ上において重要なデータは、車両100のセキュリティ上において重要でないデータに比べて高く配点される。非アクセス領域に対する読み出しアクセスの場合の配点に比べて、非アクセス領域に対する書き込みアクセスの場合の配点の方が高い。
図4において、メモリ領域5には、車両100の自動運転制御のためのデータが格納される。メモリ領域6には、ドアミラーやシート等のボディ系機器の制御のためのデータが格納される。メモリ領域7には、車両100のセキュリティ上において重要なデータ(例えば、認証鍵やパスワードなど)が格納される。メモリ領域5,7に格納される情報は、メモリ領域6に格納される情報よりも機密性が高い。
不正アクセス判定部40の不正判定部42は、メモリ領域6に対するアクセスの場合に比べてメモリ領域5,7に対するアクセスの場合の方が、変数X又は変数Yの値を大きく変化させる。これにより、メモリ領域6に対するアクセスの場合に比べてメモリ領域5,7に対するアクセスの場合の方が、図2,3のステップS37にて、外部装置300からのアクセスが不正であると判定されやすくなる。よって、自動運転制御データ等の比較的機密性の高い情報の安全性が更に向上する。
また、不正アクセス判定部40の不正判定部42は、非アクセス領域に対する読み出しアクセスの場合に比べて非アクセス領域に対する書き込みアクセスの場合の方が、変数X又は変数Yの値を大きく変化させる。これにより、非アクセス領域に対する読み出しアクセスの場合に比べて非アクセス領域に対する書き込みアクセスの場合の方が、外部装置300からのアクセスが不正であると判定されやすくなる。よって、不正な書き込みアクセスに対する機密性を更に高めることができる。
例えば図4では、メモリ領域6に対するアクセスが外部装置300から要求される毎に不正アクセス判定部40が変数Xを変化させる刻みは、読み出しアクセスの場合には、「+1」であり、書き込みアクセスの場合には、「+2」である。メモリ領域6が外部装置300によりアクセスされる毎に不正アクセス判定部40が変数Yを変化させる刻みも同様である。
また、例えば図4では、メモリ領域5,7に対するアクセスが外部装置300から要求される毎に不正アクセス判定部40が変数Xを変化させる刻みは、読み出しアクセスの場合には、「+3」であり、書き込みアクセスの場合には、「+6」である。メモリ領域5,7が外部装置300によりアクセスされる毎に不正アクセス判定部40が変数Yを変化させる刻みも同様である。
図5は、第2の実施形態に係る不正判定システムの構成の一例を示す図である。図1が示す第1の実施形態では、不正アクセス判定部40は、車両100側に存在する。これに対し、図5が示す第2の実施形態では、不正アクセス判定部240は、車両100から遠隔に位置するセンター200側に存在する。以下、図5について説明する。図5において図1と同様の箇所については、上述の説明を援用する。
図5に示される不正判定システム102は、車両100に搭載された接続部10に有線又は無線で接続された外部装置300からの不正アクセスを判定する。不正判定システム102は、接続部10、通信ライン20、ECU30及び通信部60を車両100側に備え、不正アクセス判定部240及び通信部260をセンター200側に備える。
通信部60は、センター200の通信部260との間で所定の情報を無線で送受する。通信部260は、車両100の通信部60との間で所定の情報を無線で送受する。
不正アクセス判定部240は、第1の実施形態の不正アクセス判定部40と同様の機能を有し、アクセス要求異常判定部241と、アクセス要求不正判定部242とを有する。以下、アクセス要求異常判定部241を異常判定部241と称し、アクセス要求不正判定部242を不正判定部242と称する。
図6は、第2の実施形態に係る不正判定システムが実行する不正判定方法の一例を示すフローチャートである。以下、図6について説明する。図6において図2,3と同様の箇所については、上述の説明を援用する。
ステップS111,S113は、それぞれ、上述のステップS11,S13と同様である。
ステップS114にて、メモリアクセス制御部43は、外部装置300からのメモリアクセス情報を通信部60に提供する。通信部60は、メモリアクセス制御部43から提供されたメモリアクセス情報をセンター200に向けて無線送信する。メモリアクセス情報には、例えば、外部装置300がアクセス対象として指定したメモリアドレス、外部装置300から入力されたアクセス要求の種類(読み出し要求なのか書き込み要求なのか)などが含まれている。
ステップS214にて、通信部260は、通信部60から無線送信されたメモリアクセス情報を受信する。ステップS215にて、異常判定部241は、外部装置300から入力されたアクセス要求の種類を判定する。
ステップS215〜S239,S243は、それぞれ、上述のステップS15〜S39,S43と同様である。
ステップS241にて、不正判定部242は、ステップS243でバックアップされた情報に基づいて、外部装置300からのアクセスが不正であると判定される前の状態にメモリ50の内容を復元することをメモリ内容復元部44に対して要求する。ステップS241にて、不正判定部242は、外部装置300からのアクセスが不正であると判定されるまでにメモリ50に書き込まれた内容を削除することをメモリ内容削除部45に対して要求してもよい。
ステップS250にて、不正アクセス判定部240は、外部装置300からのアクセス要求が異常判定部241により正常要求と判定されたか異常要求と判定されたかを判断する。そして、不正アクセス判定部240は、その判断結果を表すメモリアクセス可否情報を通信部260に提供する。通信部260は、不正判定部242から提供されたメモリアクセス可否情報を車両100に向けて無線送信する。この際、通信部260は、メモリ50の内容の復元要求又は削減要求を車両100に向けて無線送信する。
ステップS150にて、通信部60は、通信部260から無線送信されたメモリアクセス可否情報を受信する。ステップS151にて、メモリアクセス制御部43は、メモリアクセス可否情報に基づいて、外部装置300からのアクセス要求が異常判定部241により正常要求と判定されたか異常要求と判定されたかを判断する。
ステップS153,S155は、それぞれ、上述のステップS53,S55と同様である。
ステップS157にて、メモリ内容復元部44は、復元要求があるか否かを判定する。復元要求がある場合、ステップS159にて、メモリ内容復元部44は、ステップS243でバックアップされた情報に基づいて、外部装置300からのアクセスが不正であると判定される前の状態にメモリ50の内容を復元する。これにより、メモリ50に格納されていた内容が不正アクセスにより書き換えられたことによって生ずる不具合を防ぐことができる。
以上、不正判定システム及び不正判定方法を実施形態により説明したが、本発明は上記実施形態に限定されるものではない。他の実施形態の一部又は全部との組み合わせや置換などの種々の変形及び改良が、本発明の範囲内で可能である。
例えば、メモリ50は、書き込み不能で読み出しのみが可能なメモリでもよい。また、メモリ50内の各メモリ領域には、書き込み必要領域又は書き込み不要領域のいずれか一方のみが予め設定されていてもよいし、読み出し必要領域又は読み出し不要領域のいずれか一方のみが予め設定されていてもよい。
また、不正判定部42は、非アクセス領域に対するアクセスが外部装置300から要求された程度又は非アクセス領域に対するアクセスが外部装置300から要求された程度を表す変数の値をカウントダウンするものでもよい。この場合、不正判定部42は、カウントダウンした値が閾値に達した場合、外部装置300からのアクセスが不正であると判定する。
10 接続部
20 通信ライン
30 ECU
40 不正アクセス判定部
50 メモリ
101,102 不正判定システム
300 外部装置

Claims (10)

  1. 車両に搭載されたメモリと、
    前記車両に搭載された接続部と、
    前記接続部に有線又は無線で接続された外部装置からの不正アクセスを判定する不正アクセス判定部とを備え、
    前記メモリは、所定の非アクセス領域を含み、
    前記不正アクセス判定部は、前記非アクセス領域に対するアクセスが前記外部装置から要求された場合、又は前記非アクセス領域が前記外部装置によりアクセスされた場合、前記外部装置からのアクセスが不正であると判定する、不正判定システム。
  2. 前記不正アクセス判定部は、前記非アクセス領域に対するアクセスが前記外部装置から要求された程度又は前記非アクセス領域が前記外部装置によりアクセスされた程度を表す変数の値が閾値に達した場合、前記外部装置からのアクセスが不正であると判定する、請求項1に記載の不正判定システム。
  3. 前記不正アクセス判定部は、前記非アクセス領域のうちで前記外部装置がアクセスを要求した領域又は前記外部装置がアクセスした領域に応じた重み付けで、前記変数の値を変化させる、請求項2に記載の不正判定システム。
  4. 前記非アクセス領域は、第1の情報が格納される第1の領域と、前記第1の情報よりも機密性の高い第2の情報が格納される第2の領域とを含み、
    前記不正アクセス判定部は、前記第1の領域に対するアクセスの場合に比べて前記第2の領域に対するアクセスの場合の方が前記変数の値を大きく変化させる、請求項3に記載の不正判定システム。
  5. 前記不正アクセス判定部は、前記非アクセス領域に対する読み出しアクセスの場合に比べて前記非アクセス領域に対する書き込みアクセスの場合の方が前記変数の値を大きく変化させる、請求項2から4のいずれか一項に記載の不正判定システム。
  6. 前記外部装置からのアクセスが不正であると前記不正アクセス判定部により判定された場合、前記メモリに対するアクセスを禁止するメモリアクセス制御部を備える、請求項1から5のいずれか一項に記載の不正判定システム。
  7. 前記外部装置からのアクセスが不正であると前記不正アクセス判定部により判定される前の状態に前記メモリの内容を復元するメモリ内容復元部を備える、請求項1から6のいずれか一項に記載の不正判定システム。
  8. 前記メモリ内容復元部は、前記外部装置からのアクセスが不正であると前記不正アクセス判定部により判定される前に前記メモリから削除された内容を、復元する、請求項7に記載の不正判定システム。
  9. 前記外部装置からのアクセスが不正であると前記不正アクセス判定部により判定されるまでに前記メモリに書き込まれた内容を削除するメモリ内容削除部を備える、請求項1から8のいずれか一項に記載の不正判定システム。
  10. 車両に搭載された接続部に有線又は無線で接続された外部装置からの不正アクセスを判定する不正判定方法であって、
    前記車両に搭載されたメモリは、所定の非アクセス領域を含み、
    不正アクセス判定部は、前記非アクセス領域に対するアクセスが前記外部装置から要求された場合、又は前記非アクセス領域が前記外部装置によりアクセスされた場合、前記外部装置からのアクセスが不正であると判定する、不正判定方法。
JP2017007090A 2017-01-18 2017-01-18 不正判定システム及び不正判定方法 Active JP6737189B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2017007090A JP6737189B2 (ja) 2017-01-18 2017-01-18 不正判定システム及び不正判定方法
EP18151922.4A EP3352088B1 (en) 2017-01-18 2018-01-16 Unauthorization determination system and unauthorization determination method
US15/872,423 US10726138B2 (en) 2017-01-18 2018-01-16 Unauthorization determination system and unauthorization determination method
CN201810039406.9A CN108376226B (zh) 2017-01-18 2018-01-16 未授权确定系统和未授权确定方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017007090A JP6737189B2 (ja) 2017-01-18 2017-01-18 不正判定システム及び不正判定方法

Publications (2)

Publication Number Publication Date
JP2018116510A JP2018116510A (ja) 2018-07-26
JP6737189B2 true JP6737189B2 (ja) 2020-08-05

Family

ID=61007480

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017007090A Active JP6737189B2 (ja) 2017-01-18 2017-01-18 不正判定システム及び不正判定方法

Country Status (4)

Country Link
US (1) US10726138B2 (ja)
EP (1) EP3352088B1 (ja)
JP (1) JP6737189B2 (ja)
CN (1) CN108376226B (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018230280A1 (ja) * 2017-06-14 2018-12-20 住友電気工業株式会社 車外通信装置、通信制御方法および通信制御プログラム
US20190066632A1 (en) * 2017-08-28 2019-02-28 HKC Corporation Limited Method and system for protecting software data in display panel
JP7113337B2 (ja) * 2018-01-12 2022-08-05 パナソニックIpマネジメント株式会社 サーバ装置、車両装置、車両用システム及び情報処理方法
KR20200057515A (ko) * 2018-11-16 2020-05-26 현대자동차주식회사 차량의 보안 전략 제공 장치 및 방법
CN109981569B (zh) * 2019-02-18 2022-01-11 平安科技(深圳)有限公司 网络系统访问方法、装置、计算机设备及可读存储介质
CN114127726A (zh) * 2019-07-12 2022-03-01 松下知识产权经营株式会社 车载安全存储系统
JP7361303B2 (ja) * 2019-11-20 2023-10-16 パナソニックIpマネジメント株式会社 車両診断装置、車両診断システム及び移動体診断装置
JP7417860B2 (ja) * 2020-03-31 2024-01-19 マツダ株式会社 車両用情報通信装置及び車両情報の通信方法

Family Cites Families (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6694235B2 (en) * 2001-07-06 2004-02-17 Denso Corporation Vehicular relay device, in-vehicle communication system, failure diagnostic system, vehicle management device, server device and detection and diagnostic program
JPWO2003065225A1 (ja) * 2002-01-31 2005-05-26 松下電器産業株式会社 メモリデバイス、端末装置及びデータ修復システム
JP2003233534A (ja) * 2002-02-07 2003-08-22 Hitachi Ltd メモリシステム
JP4338989B2 (ja) * 2003-02-20 2009-10-07 パナソニック株式会社 メモリデバイス
JP4242682B2 (ja) * 2003-03-26 2009-03-25 パナソニック株式会社 メモリデバイス
US7643965B2 (en) * 2005-08-10 2010-01-05 Olympus Corporation EMI management system and method
JP2007133770A (ja) * 2005-11-11 2007-05-31 Toshiba Corp メモリカード、プロセッサモジュールおよびホスト機器の制御方法
CN100517276C (zh) * 2006-07-04 2009-07-22 联想(北京)有限公司 一种数据安全存储的方法及装置
US8464068B2 (en) 2006-12-14 2013-06-11 General Motors Llc Electronic module update detection
CN100535876C (zh) * 2007-01-08 2009-09-02 中国信息安全产品测评认证中心 一种智能卡与u盘复合设备自销毁的方法
JP2009163599A (ja) * 2008-01-09 2009-07-23 Keio Gijuku 無線icタグ、icタグシステム、及び不正使用検出方法
JP2009193397A (ja) * 2008-02-15 2009-08-27 Seiko Epson Corp プリンタコントローラ、プリンタ、および、複合機
WO2009147734A1 (ja) * 2008-06-04 2009-12-10 株式会社ルネサステクノロジ 車両、メンテナンス装置、メンテナンスサービスシステム及びメンテナンスサービス方法
JP5298891B2 (ja) * 2009-01-29 2013-09-25 富士通株式会社 アクセス制御プログラム、アクセス制御方法、およびアクセス制御装置
IT1393199B1 (it) * 2009-02-25 2012-04-11 Asselle Sistema di controllo per la gestione degli accessi ad aree riservate
JP5582971B2 (ja) * 2009-12-15 2014-09-03 キヤノン株式会社 メモリ保護方法および情報処理装置
US8401875B2 (en) * 2010-03-12 2013-03-19 Os - New Horizons Personal Computing Solutions Ltd. Secured personal data handling and management system
JP2012249035A (ja) 2011-05-27 2012-12-13 Sony Corp 情報処理装置、および情報処理方法、並びにプログラム
US8656253B2 (en) * 2011-06-06 2014-02-18 Cleversafe, Inc. Storing portions of data in a dispersed storage network
CN103154959B (zh) * 2011-09-12 2016-05-11 丰田自动车株式会社 车辆用电子控制装置
ES2805290T3 (es) * 2012-03-29 2021-02-11 Arilou Information Security Tech Ltd Dispositivo para proteger un sistema electrónico de un vehículo
JP2014021617A (ja) * 2012-07-13 2014-02-03 Denso Corp 車両用認証装置及び車両用認証システム
JP5900390B2 (ja) * 2013-01-31 2016-04-06 株式会社オートネットワーク技術研究所 アクセス制限装置、車載通信システム及び通信制限方法
DE102014102271A1 (de) * 2013-03-15 2014-09-18 Maxim Integrated Products, Inc. Verfahren und Einrichtung zum Erteilen einer Zutrittserlaubnis
EP2801925B1 (en) * 2013-05-10 2019-07-17 BlackBerry Limited Methods and devices for detecting unauthorized access to credentials of a credential store
EP2892202B1 (en) * 2014-01-06 2018-06-20 Argus Cyber Security Ltd. Hosted watchman
TW201606558A (zh) * 2014-04-15 2016-02-16 Ubic股份有限公司 資料洩漏檢測裝置、資料洩漏檢測方法、及資料洩漏檢測程式
JP2016009220A (ja) * 2014-06-20 2016-01-18 株式会社東芝 ストレージ装置、通信装置、及びストレージ制御システム
JP6323235B2 (ja) * 2014-07-29 2018-05-16 株式会社デンソー 電子制御装置
US9854442B2 (en) * 2014-11-17 2017-12-26 GM Global Technology Operations LLC Electronic control unit network security
CN104486298B (zh) * 2014-11-27 2018-03-09 小米科技有限责任公司 识别用户行为的方法及装置
JP6573819B2 (ja) * 2015-01-20 2019-09-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
CN105491054B (zh) * 2015-12-22 2018-12-11 网易(杭州)网络有限公司 恶意访问的判断方法、拦截方法与装置
US10372121B2 (en) * 2016-04-26 2019-08-06 Ford Global Technologies, Llc Determination of continuous user interaction and intent through measurement of force variability
JP6585019B2 (ja) * 2016-09-13 2019-10-02 株式会社東芝 ネットワーク監視装置、ネットワークシステムおよびプログラム
JP6471739B2 (ja) * 2016-11-18 2019-02-20 トヨタ自動車株式会社 車載通信システム
US20180285885A1 (en) * 2017-03-28 2018-10-04 Toyota Motor Engineering & Manufacturing North America, Inc. Modules, systems, and methods for incentivizing green driving
JP2018173721A (ja) * 2017-03-31 2018-11-08 オムロンオートモーティブエレクトロニクス株式会社 車載通信システム、車両制御装置、通信管理装置
JP6863227B2 (ja) * 2017-10-26 2021-04-21 トヨタ自動車株式会社 電子制御装置、通信管理方法、及びプログラム

Also Published As

Publication number Publication date
JP2018116510A (ja) 2018-07-26
EP3352088A1 (en) 2018-07-25
US20180204015A1 (en) 2018-07-19
EP3352088B1 (en) 2021-01-06
CN108376226B (zh) 2022-04-01
CN108376226A (zh) 2018-08-07
US10726138B2 (en) 2020-07-28

Similar Documents

Publication Publication Date Title
JP6737189B2 (ja) 不正判定システム及び不正判定方法
US10229547B2 (en) In-vehicle gateway device, storage control method, and computer program product
US8918611B2 (en) Semiconductor device and data processing method
US9183402B2 (en) Protecting secure software in a multi-security-CPU system
TWI512529B (zh) 計算系統,及其片上系統
US20070250547A1 (en) Log Preservation Method, and Program and System Thereof
US20070005948A1 (en) Method for booting up software in the boot sector of a programmable read-only memory
JP2008129744A (ja) 外部記憶装置
KR20090130189A (ko) 기록 보호 메모리 관리 유니트 레지스터들을 가진 로직 장치
US10742412B2 (en) Separate cryptographic keys for multiple modes
KR20170102285A (ko) 보안 요소
CN110727940A (zh) 一种电子设备密码管理方法、装置、设备及存储介质
CN111026683A (zh) 访问存储器的方法
US11520893B2 (en) Integrated circuit and control method of integrated circuit
JP6961553B2 (ja) 情報処理装置、システム及び方法
WO2020090418A1 (ja) 電子制御装置、電子制御装置のリプログラミング方法
JP2019160107A (ja) 変速機制御装置
JP4471120B2 (ja) プログラマブル・コントローラ
JP5761880B2 (ja) 自動車
JP5603993B2 (ja) 電装ユニット及びデータ処理方法
US11205020B2 (en) Memory management of a security module
CN117993030A (zh) 存储器的管理方法、芯片、电子设备和可读存储介质
JP5131327B2 (ja) 認証機能を備えた情報処理装置の発行方法
US20090292864A1 (en) Identification information management system and method for microcomputer
CN118051919A (zh) 数据处理方法、芯片、电子设备以及存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190321

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200122

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200303

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200423

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200616

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200629

R151 Written notification of patent or utility model registration

Ref document number: 6737189

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151