JP6761793B2 - 車両用制御装置 - Google Patents

車両用制御装置 Download PDF

Info

Publication number
JP6761793B2
JP6761793B2 JP2017199331A JP2017199331A JP6761793B2 JP 6761793 B2 JP6761793 B2 JP 6761793B2 JP 2017199331 A JP2017199331 A JP 2017199331A JP 2017199331 A JP2017199331 A JP 2017199331A JP 6761793 B2 JP6761793 B2 JP 6761793B2
Authority
JP
Japan
Prior art keywords
abnormality
security
safety
information
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017199331A
Other languages
English (en)
Other versions
JP2019073102A (ja
Inventor
伸義 森田
伸義 森田
恒太 井手口
恒太 井手口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Automotive Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Automotive Systems Ltd filed Critical Hitachi Automotive Systems Ltd
Priority to JP2017199331A priority Critical patent/JP6761793B2/ja
Priority to US16/755,465 priority patent/US11580223B2/en
Priority to CN201880066529.XA priority patent/CN111225834B/zh
Priority to PCT/JP2018/037701 priority patent/WO2019074000A1/ja
Priority to EP18865747.2A priority patent/EP3696025B1/en
Publication of JP2019073102A publication Critical patent/JP2019073102A/ja
Application granted granted Critical
Publication of JP6761793B2 publication Critical patent/JP6761793B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0763Error or fault detection not based on redundancy by bit configuration check, e.g. of formats or tags
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0775Content or structure details of the error report, e.g. specific table structure, specific error fields
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/75Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation
    • G06F21/755Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation with measures against power attack
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40234Local Interconnect Network LIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40241Flexray
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Description

本発明は、車両用制御装置に関する。
近年、自動車に搭載されて各種の電子制御を行う車載システムでは、インターネット、Bluetooth(登録商標)、無線LAN等の通信網を介して車外の装置と繋がることにより、ユーザに様々なサービスを提供するようになりつつある。これに伴い、近年の車載システムでは、車外の装置との通信機能を持たない従来の車載装置と比べて、外部からのセキュリティ攻撃に対する備えが重要になってきている。また、近年の車載システムでは、OSS(Open Source Software)の採用が進められていることや、セキュリティが担保されていないスマートフォンやアフターサービス用の情報機器が接続される可能性があることから、脆弱性を悪用したセキュリティ攻撃に対する懸念が高まっている。こうした背景により、車載システムにおいてセキュリティ攻撃に起因する異常を検知した場合に、攻撃の影響を抑えることができる技術が求められている。
上記に関して、例えば特許文献1の技術が知られている。特許文献1には、通信バスから通信フレームを受信し、異なるIDを有する通信フレームの受信間隔が所定の許容範囲から外れる場合に、受信した通信フレームが不正なフレームか否かを判定し、不正なフレームと判定すると当該通信フレームを破棄する技術が開示されている。
特開2017−50841号公報
車載システムにおいて発生する通信データの異常には、外部からのセキュリティ攻撃(不正なメッセージの注入、データやファームウェアの改ざん等)に起因するもの(以下、「セキュリティ異常」と称する)と、車載システム内で生じた異常(断線、ノイズ、故障等)に起因するもの(以下、「セーフティ異常」と称する)とが存在する。しかしながら、特許文献1の技術ではセキュリティ異常のみを想定しており、セーフティ異常については考慮されていない。本発明は、こうした問題に鑑みてなされたものであり、セキュリティ異常とセーフティ異常の両方に対して適切に対処可能な車載システムを実現することを目的とする。
本発明による車両用制御装置は、通信バスを介して互いに接続された複数の情報処理装置を有する車載システムにおいて用いられるものであって、情報を記憶する記憶部と、前記記憶部に記憶された前記情報に基づく処理を行う演算部と、を備え、前記情報は、前記車載システムの外部からのセキュリティ攻撃に起因する通信データの異常であるセキュリティ異常に関する第1の管理情報と、前記車載システム内の異常に起因する通信データの異常であるセーフティ異常に関する第2の管理情報と、を含み、前記第1の管理情報は、前記セキュリティ異常に対するセキュリティ対処を実行するための第1の制約条件を示す第1の制約条件情報を含み、前記第2の管理情報は、前記セーフティ異常に対するセーフティ対処を実行するための第2の制約条件を示す第2の制約条件情報を含み、前記演算部は、前記車載システムにおける通信データの異常が検出された場合に、前記第1の管理情報および前記第2の管理情報に基づいて、検出された前記通信データの異常への対処内容を決定する。
本発明によれば、セキュリティ異常とセーフティ異常の両方に対して適切に対処可能な車載システムを実現できる。
本発明の一実施形態に係る車両用制御装置の構成を示す図 本発明の一実施形態に係る車両用制御装置の処理の流れを示すフローチャート 対処優先度判定の処理の流れを示すフローチャート 走行制御影響度算出の処理の流れを示すフローチャート セキュリティ機能変更判定の処理の流れを示すフローチャート ログ情報のデータ構造例を示す図 不審度算出情報のデータ構造例を示す図 セーフティ異常検証情報のデータ構造例を示す図 セキュリティ対処時間情報およびセーフティ対処時間情報のデータ構造例を示す図 要求性能情報のデータ構造例を示す図 判定表の例を示す図
以下、本発明の実施形態について、図面を参照しながら詳細に説明する。
以下では、複数の情報処理装置が通信バスを介して互いに接続された車載システムにおいて用いられる車両用制御装置の一実施形態について説明する。この車両用制御装置は、車載システム内で通信データの異常が発生した場合に、車載システム内の各情報処理装置から状態を判断するための情報を収集し、セキュリティ異常とセーフティ異常のそれぞれについて発生の有無を特定する。そして、当該異常に対して実施する対処内容を決定し、各情報処理装置に通知する。
なお、本実施形態の車両用制御装置が用いられる車載システムにおいて、各装置間の通信や車外との通信は、周知の暗号技術などを用いた安全な通信路を利用することが好ましい。その際、各装置で利用する暗号用の鍵やシードは、任意の方法で安全に配布、管理、更新することができる。また、車両のエンジン起動時や停止時、製品開発時、メンテナンス時などの任意のタイミングで、これらの配布や更新が行なわれてもよい。
図1は、本発明の一実施形態に係る車両用制御装置の構成を示す図である。図1に示す車両用制御装置1は、通信バス2を介して、ECU(Electronic Control Unit)3、4に接続されている。ECU3、4は、車両に搭載されて各種の制御や演算を行う情報処理装置である。なお、図1では2つのECU3、4のみを図示しているが、実際には多数のECUが通信バス2を介して互いに接続されている。
通信バス2は、車両内に設けられた通信路であり、例えばCAN(Controller Area Network)、LIN(Local Interconnect Network)、FlexRay(登録商標)、イーサネット(登録商標)などを用いることができる。なお、通信バス2を物理的に複数の通信バスで構成してもよい。その場合、通信バスの規格はすべて同一でもよいし、異なっていてもよい。車両用制御装置1とECU3、4が通信バス2を介して互いに接続されて車両に搭載されることにより、本発明に係る車載システムが構成される。
車両用制御装置1は、演算部10および記憶部20を備える。演算部10は、不図示のCPU、ROM、RAM等により構成されており、ROMに格納されたプログラムをCPUがRAMに展開して実行することにより、以下の機能を実現する。すなわち演算部10はその機能として、通信部11、ログ情報取得部12、セキュリティ不審度検証部13、セーフティ異常検証部14、対処優先度判定部15、走行制御影響度算出部16、セキュリティ機能変更判定部17、および対処内容決定部18を備える。
通信部11は、通信バス2との通信インタフェースであり、通信バス2を介した通信に必要な演算等を行う。通信部11は、ECU3、4から送信された通信メッセージを通信バス2を介して受信すると共に、ECU3、4への通信メッセージを通信バス2を介して送信する。なお、前述のように通信バス2が物理的に複数の通信バスから構成されている場合、通信部11は通信バス2と同数の接続ポートを有する。また、通信部11を演算部10とは別の構成としてもよい。
ログ情報取得部12は、ECU3、4から送信されて通信部11で受信された通信メッセージに基づいて、車載システムにおける通信データの異常発生を示すログ情報を取得し、記憶部20に記憶する。
セキュリティ不審度検証部13は、ログ情報取得部12により取得されたログ情報に基づいて、セキュリティ異常に対する不審度を示すセキュリティ不審度を取得する。そして、取得したセキュリティ不審度の検証を行うことで、外部から車載システムに対するセキュリティ攻撃の有無を判断する。
セーフティ異常検証部14は、ログ情報取得部12により取得されたログ情報に基づいて、セーフティ異常の有無を検証する。
対処優先度判定部15は、セキュリティ異常とセーフティ異常の両方が検出された場合に、セキュリティ異常への対処であるセキュリティ対処と、セーフティ異常への対処であるセーフティ対処のどちらを優先して実行するかを判断する。なお、セキュリティ対処には、例えばログ記録、ログ通知、メッセージ破棄、セキュリティ機能強化、波及防止などが含まれる。一方、セーフティ対処には、例えば制御機能の縮退、自動運転レベルの変更、メッセージ破棄などが含まれる。
走行制御影響度算出部16は、セキュリティ異常が検出された場合に、そのセキュリティ異常に応じた走行制御影響度を算出する。走行制御影響度は、当該セキュリティ異常が車両の走行制御に及ぼす影響の深刻度を表すものであり、対処内容決定部18がセキュリティ対処の内容を決定する際に利用される。
セキュリティ機能変更判定部17は、セーフティ異常が検出された場合に、そのセーフティ異常に対するセーフティ対処を実行するにあたって車載システムが有するセキュリティ機能の変更が必要か否かを判定する。なお、車載システムは、通信データに対するセキュリティ機能として、例えば、改ざん検知用の認証コードであるMAC(Message Authentication Code)を用いて通信メッセージの安全性を確保するメッセージ認証機能、通信メッセージを暗号化する暗号処理機能、通信メッセージに対するフィルタリング機能などを有する。セキュリティ機能変更判定部17は、車載システムの処理負荷状況に応じて、これらのセキュリティ機能の一部を縮退または無効化する必要の有無を判断する。
対処内容決定部18は、対処優先度判定部15の判定結果、走行制御影響度算出部16により算出された走行制御影響度、セキュリティ機能変更判定部17の判定結果のいずれか少なくとも一つに基づいて、車載システムにおいて発生した通信データの異常への対処内容を決定する。対処内容決定部18により決定された対処内容は、必要に応じて、通信部11を介してECU3、4に通知される。
記憶部20は、不揮発性の記憶装置である。記憶部20には、セキュリティ異常に関する管理情報であるセキュリティ異常管理情報21と、セーフティ異常に関する管理情報であるセーフティ異常管理情報25と、ログ情報29とが記憶される。なお、これら以外の情報、例えば演算部10のCPUが実行するプログラムの一部または全部を記憶部20に記憶させてもよい。
セキュリティ異常管理情報21は、セキュリティ対処に関する時間情報を示すセキュリティ対処時間情報22と、ECU3、4の各々の重要度を示す重要度情報23と、セキュリティ不審度検証部13がセキュリティ不審度を算出するためのルールが定義された不審度算出情報24とを含む。なお、これらの情報の詳細については後述する。
セーフティ異常管理情報25は、セーフティ対処に関する時間情報を示すセーフティ対処時間情報26と、セーフティ対処に要求される車載システムの性能が定義された要求性能情報27と、セーフティ異常検証部14がセーフティ異常の検証を行う際に用いられるセーフティ異常検証情報28とを含む。なお、これらの情報の詳細については後述する。
ログ情報29は、ログ情報取得部12により記憶されたログ情報である。すなわちログ情報取得部12は、車載システムにおける通信データの異常発生を示すログ情報を、記憶部20にログ情報29として記憶させる。
次に、車両用制御装置1が通信データの異常への対処内容を決定する際の処理について説明する。図2は、本発明の一実施形態に係る車両用制御装置1の処理の流れを示すフローチャートである。なお、以下で説明する各ステップの実行主体は、演算部10のCPUである。
ステップ201では、ログ情報取得部12は、通信部11を用いて、ECU3、4から送信された通信メッセージのうち、車載システムにおける通信データの異常発生を示す通信メッセージを取得し、ログ情報29として記憶部20に格納する。ステップ202以降の処理は、このログ情報29を用いて行われる。なお、ログ情報取得部12がログ情報29を取得する毎にステップ202以降の処理を実行してもよいし、ログ情報取得部12が所定期間内に収集した複数のログ情報29をまとめてステップ202以降の処理対象としてもよい。また、ログ情報取得部12は通信バス2を介して送受信される通信メッセージ以外の情報、例えばインターネットを介してセンタサーバから送信された情報に基づき、ログ情報29を取得してもよい。
図6は、ログ情報取得部12が取得するログ情報29のデータ構造例を示す図である。図6(a)は、通信データの異常監視機能を有するECUが異常発生時にその影響度合いを判定できる場合に、当該ECUから送信された通信メッセージに基づき取得されるログ情報29の例を示している。このログ情報29は、異常発生箇所を示す異常状態用CAN ID601と、異常状態の種別を示す異常状態ID602と、異常の影響度合いを示す異常度603とを含む。
異常状態用CAN ID601には、例えば通信メッセージの送信元であるECUに対して予め割り当てられた固有のID番号が設定される。なお、通信データに異常が発生したことを通信メッセージから容易に判別できるようにするため、通常の通信メッセージに含まれるCAN IDとは異なるID番号を異常状態用CAN ID601に割り当ててもよい。
異常状態ID602には、例えば異常状態の内容(種類)に応じて予め割り当てられたID番号が設定される。なお、検出された通信データ異常がセキュリティ異常とセーフティ異常のどちらに対応するかを容易に判別できるようにするため、当該異常がセキュリティ異常に対応する場合に異常状態ID602に設定されるID番号と、当該異常がセーフティ異常に対応する場合に異常状態ID602に設定されるID番号とは、区別して管理することが好ましい。本実施形態では、セキュリティ異常に対応するログ情報29において異常状態ID602に設定されるID番号には「0x01」〜「0x9F」を割り当て、セーフティ異常に対応するログ情報29において異常状態ID602に設定されるID番号には「0xA1」〜「0xFF」を割り当てるものとして説明する。
異常度603には、検出された通信データ異常が車両の運用に対して及ぼす影響度合いに応じた数値が設定される。例えば、当該異常の影響度合いが高いほど、すなわち当該異常によって車両を正常に運用させるのが困難となり、車両の乗員や周囲に対して危険を及ぼす可能性が高くなるものほど、高い数値が異常度603に設定される。
図6(b)は、通信データの異常監視機能のみを有するECUから送信された通信メッセージに基づき取得されるログ情報29の例を示している。このログ情報29は、図6(a)のものとそれぞれ同様の異常状態用CAN ID601および異常状態ID602と、異常の内容を示す監視タイプ604と、監視タイプごとの監視結果605とを含む。
監視タイプ604には、検出された通信データ異常の具体的な内容を示す情報が格納される。この情報が示す通信データ異常の内容は、例えば不正な周期の通信メッセージ検知、認証の失敗、通信量の増大、CPUやメモリのリソース消費状況等を含む。なお、通信データ異常の内容ごとに予め割り当てられたID番号等を監視タイプ604に設定してもよい。
監視結果605には、監視タイプ604が示す通信データ異常の内容に応じた情報が格納される。例えば、当該異常の発生回数や、当該異常によるリソース消費量が所定の閾値を超過した回数等が監視結果605に格納される。また、異常状態を示す通信データそのものを監視結果605に設定してもよい。
なお、図6に示したログ情報29は一例であり、これ以外の情報をログ情報29に含めることも可能である。例えば、通信メッセージに含まれるMAC、通信用カウンタ、時刻情報等の付加情報をログ情報29に含めてもよい。
図2の説明に戻ると、ステップ202では、セキュリティ不審度検証部13は、セキュリティ異常に対する不審度を示すセキュリティ不審度の検証を行う。このときセキュリティ不審度検証部13は、ステップ201でログ情報取得部12が取得したログ情報29に基づいて、セキュリティ不審度を算出または取得する。例えば、図6(a)に例示したログ情報29のように、異常の影響度合いを示す異常度603が含まれているログ情報29が取得された場合、セキュリティ不審度検証部13は、この異常度603の値をセキュリティ不審度として取得する。すなわち、この場合にはセキュリティ不審度検証部13は、当該ログ情報29の元となった通信メッセージを送信したECUから、セキュリティ不審度を取得することができる。一方、図6(b)に例示したログ情報29のように、異常度603がログ情報29に含まれていない場合、セキュリティ不審度検証部13は、記憶部20に記憶されているセキュリティ異常管理情報21に含まれる不審度算出情報24を用いて、ログ情報29からセキュリティ不審度を算出する。
図7は、セキュリティ不審度検証部13がセキュリティ不審度の算出に用いる不審度算出情報24のデータ構造例を示す図である。図7に示す不審度算出情報24は、レコードごとに割り当てられた検証ID701と、セキュリティ不審度を算出するための検証条件を示す検証内容702と、レコードごとのセキュリティ不審度の増減を示すセキュリティ不審度Up/Down703と、レコードごとのセキュリティ不審度の増減値の程度を示す重み付け値704とを含む。
例えば、検証ID701の値が「1」のレコードにおいて、検証内容702には、車外と直接繋がる情報処理装置のようなエントリポイントにおいて異常を検知したかどうかを検証することが定義されている。そのため、エントリポイントに相当するECUで異常を検知したことを含むログ情報29をログ情報取得部12が取得した場合、セキュリティ不審度検証部13は、当該レコードのセキュリティ不審度Up/Down703の値に応じて、セキュリティ不審度の値を増加させる。このとき、重み付け値704の値に応じて、セキュリティ不審度の値をどの程度増加させるかを決定する。例えば、当該レコードの重み付け値704の値は「低」であるため、セキュリティ不審度の値に1を加算する。同様に、例えば重み付け値704の値が「中」の場合は3を加算し、「高」の場合は5を加算する。また、検証内容702は、各ECUが、車外と直接繋がる情報処理装置のような「エントリポイント」、エントリポイントから攻撃対象装置までの経路で介在する「中継装置」、中継装置を介して攻撃対象装置に対して攻撃を実行可能な「最終攻撃元装置」、および「攻撃対象装置」のような攻撃の流れにおける何れか一つ、或いは複数の段階に割り当てられ、各段階における検証内容、および各段階を遷移する攻撃の流れに応じた検証内容が含まれてよく、検知箇所(異常の発生箇所)および検知内容に応じて検証内容を選択してよい。
なお、図7に示した不審度算出情報24は一例であり、これ以外の情報を含んでもよい。
また、セキュリティ不審度の算出方法は上述の方法に限定されない。例えば、加算や減算以外に積算や商算等を用いてもよい。あるいは、例えば「+1」、「+3」、「−1」等の増減値を定義することで、セキュリティ不審度Up/Down703と重み付け値704を併合してもよい。
セキュリティ不審度検証部13が算出したセキュリティ不審度の値は、例えば演算部10のRAMにおいて所定期間保持される。あるいは、算出したセキュリティ不審度を記憶部20に格納してもよい。この場合、例えばセキュリティ不審度の算出に用いられたログ情報29と紐づけたり、当該ログ情報29にセキュリティ不審度を付加したりすることで、セキュリティ不審度とログ情報29とを対応付けて記憶部20に格納することも可能である。
図2の説明に戻ると、ステップ203では、セキュリティ不審度検証部13は、ステップ202で算出したセキュリティ不審度の値に基づいて、セキュリティ異常の有無を判断する。このときセキュリティ不審度検証部13は、セキュリティ不審度の値が予め設定した閾値を超過するかどうかを検証する。その結果、セキュリティ不審度の値が閾値を超過する場合は、セキュリティ異常ありと判断してステップ204に進み、閾値を超過しない場合は、セキュリティ異常なしと判断してステップ209に進む。
ステップ204では、セーフティ異常検証部14は、ステップ201でログ情報取得部12が取得したログ情報29に基づいて、セーフティ異常の有無を検証する。このときセーフティ異常検証部14は、記憶部20に記憶されているセーフティ異常管理情報25に含まれるセーフティ異常検証情報28を用いて、ログ情報29からセーフティ異常の有無を判断する。その結果、セーフティ異常があると判断した場合はステップ205に進み、セーフティ異常がないと判断した場合はステップ207に進む。
図8は、セーフティ異常検証部14がセーフティ異常の検証に用いるセーフティ異常検証情報28のデータ構造例を示す図である。図8に示すセーフティ異常検証情報28は、レコードごとに割り当てられたセーフティ異常ID101と、セーフティ異常の内容を示す異常内容102とを含む。なお、セーフティ異常ID101に設定される値は、図6のログ情報29において異常状態ID602に設定されるID番号のうち、セーフティ異常に対する「0xA1」〜「0xFF」に対応している。
異常内容102には、具体的なセーフティ異常の内容を示す情報が格納される。この情報が示すセーフティ異常の内容は、例えば装置の故障アラート、装置のバスオフ状態、電源消失、断線、自動運転レベルの変更、通信データのノイズ、センサ異常等を含む。
セーフティ異常検証部14は、ログ情報29における異常状態ID602の値と、セーフティ異常検証情報28の各レコードにおけるセーフティ異常ID101の値とを比較し、これらの値が一致するレコードがセーフティ異常検証情報28に存在するか否かを検証する。その結果、異常状態ID602と同一の値がセーフティ異常ID101に設定されているレコードが存在する場合はセーフティ異常があると判断し、存在しない場合はセーフティ異常がないと判断する。
図2の説明に戻ると、ステップ205では、対処優先度判定部15は、検知したセーフティ異常に対するセーフティ対処と、検知したセキュリティ異常に対するセキュリティ対処とのどちらを優先して実行するかを判定する対処優先度の判定を行う。このとき対処優先度判定部15は、後述の図3のフローチャートに従って、対処優先度判定の処理を実行する。
ステップ206では、対処優先度判定部15は、ステップ205の判定結果を示す対処優先度を取得し、ステップ213に進む。
ステップ207では、走行制御影響度算出部16は、検知したセキュリティ異常が車両の走行制御に対して与える影響度を示す走行制御影響度の算出を行う。このとき走行制御影響度算出部16は、後述の図4のフローチャートに従って、走行制御影響度算出の処理を実行する。
ステップ208では、走行制御影響度算出部16は、ステップ207で算出した走行制御影響度を取得し、ステップ213に進む。
ステップ209では、セーフティ異常検証部14は、上記ステップ204と同様に、ステップ201でログ情報取得部12が取得したログ情報29に基づき、セーフティ異常検証情報28を用いて、セーフティ異常の有無を検証する。その結果、セーフティ異常があると判断した場合はステップ210に進み、セーフティ異常がないと判断した場合はステップ212に進む。
ステップ210では、セキュリティ機能変更判定部17は、検知したセーフティ異常に対するセーフティ対処の実行にあたって変更すべきセキュリティ機能の有無を判定する。このときセキュリティ機能変更判定部17は、後述の図5のフローチャートに従って、セキュリティ機能変更判定の処理を実行する。
ステップ211では、セキュリティ機能変更判定部17は、ステップ210の判定結果を示すセキュリティ機能の変更内容を取得し、ステップ213に進む。
ステップ212では、対処内容決定部18は、通信データの異常が発生していない平常状態と判断し、ステップ213に進む。
ステップ213では、対処内容決定部18は、上記ステップ206、ステップ208、ステップ211、ステップ212いずれかの処理結果に基づいて、実行する対処内容を決定する。このとき対処内容決定部18は、例えば後述の図11に示す判定表を用いて、対処内容を決定する。
ステップ213で対処内容を決定したら、対処内容決定部18は、通信部11を用いて、決定した対処内容を必要に応じてECU3、4に通知する。なお、特に対処が不要なECUについては、対処内容を通知しなくてもよい。ステップ213を実施したら、対処内容決定部18は図2のフローチャートに示す処理を終了する。以上のステップにより、車両用制御装置1は、車載システムにおけるセキュリティ異常とセーフティ異常の両方を監視し、異常が発生した場合には、これらの異常の発生状況と特徴情報に基づいて、実施すべき一次対処の内容を判断できる。
次に、図2のステップ205で対処優先度判定部15が実行する対処優先度判定について、図3のフローチャートを参照して説明する。図3は、対処優先度判定の処理の流れを示すフローチャートである。なお、以下で説明する各ステップの実行主体は、演算部10のCPUである。
ステップ301では、対処優先度判定部15は、検知したセキュリティ異常とセーフティ異常のIDをそれぞれ取得する。このとき対処優先度判定部15は、図2のステップ201でログ情報取得部12が取得したログ情報29より、当該セキュリティ異常とセーフティ異常にそれぞれ対応する異常状態ID601の値を取得する。
ステップ302では、対処優先度判定部15は、検知したセーフティ異常に対するセーフティ対処の許容時間を取得する。このとき対処優先度判定部15は、記憶部20に記憶されているセーフティ異常管理情報25に含まれるセーフティ対処時間情報26から、ステップ301で取得したセーフティ異常のIDに対応するセーフティ対処の許容時間を取得する。
ステップ303では、対処優先度判定部15は、検知したセキュリティ異常とセーフティ異常のそれぞれに対する対処予測時間の合計値を算出する。このとき対処優先度判定部15は、記憶部20に記憶されているセキュリティ異常管理情報21とセーフティ異常管理情報25にそれぞれ含まれるセキュリティ対処時間情報22とセーフティ対処時間情報26から、ステップ301で取得したセキュリティ異常とセーフティ異常のIDに対応するセキュリティ対処とセーフティ対処の予測時間をそれぞれ取得する。そして、取得したこれらの予測時間を合計することで、対処予測時間の合計値を算出する。
図9は、対処優先度判定部15がセーフティ対処の許容時間や対処予測時間の取得に用いるセキュリティ対処時間情報22およびセーフティ対処時間情報26のデータ構造例を示す図である。図9(a)に示すセキュリティ対処時間情報22は、レコードごとに割り当てられたセキュリティ異常ID801と、セキュリティ対処における許容時間を示す対処許容時間802と、セキュリティ対処の内容を示すセキュリティ対処803と、セキュリティ対処の実行に要する予測時間を示す対処予測時間804とを含む。なお、セキュリティ異常ID801に設定される値は、図6のログ情報29において異常状態ID602に設定されるID番号のうち、セキュリティ異常に対する「0x01」〜「0x9F」に対応している。
セキュリティ対処803には、当該レコードのセキュリティ異常ID801の値に対応するセキュリティ異常に対して実行すべきセキュリティ対処の内容を示す情報が格納される。なお、セキュリティ対処の内容を示す情報を別ファイルとして記憶部20に格納しておき、セキュリティ対処803には対応するファイルを特定するための情報を設定するようにしてもよい。
対処許容時間802および対処予測時間804は、当該レコードのセキュリティ異常に対するセキュリティ対処を実行するための制約条件をそれぞれ示している。対処許容時間802には、例えば、車載システムで要求されるセキュリティ仕様に基づいて設計段階で事前に設定された当該セキュリティ対処の実施に対する許容時間の値が格納される。また、車両の走行制御に対する影響等を考慮して対処許容時間802の値を設定してもよい。なお、図3のフローチャートではセキュリティ対処の許容時間を用いた処理が実行されないため、セキュリティ対処時間情報22において対処許容時間802を設定しなくてもよい。対処予測時間804には、例えば、設計段階で事前に計測または計算された当該セキュリティ対処の実施に対する予測時間の値が格納される。
図9(b)に示すセーフティ対処時間情報26は、レコードごとに割り当てられたセーフティ異常ID805と、セーフティ対処における許容時間を示す対処許容時間806と、セーフティ対処の内容を示すセーフティ対処807と、セーフティ対処の実行に要する予測時間を示す対処予測時間808とを含む。なお、セーフティ異常ID805に設定される値は、図6のログ情報29において異常状態ID602に設定されるID番号のうち、セーフティ異常に対する「0xA1」〜「0xFF」に対応している。
セーフティ対処807には、当該レコードのセーフティ異常ID805の値に対応するセーフティ異常に対して実行すべきセーフティ対処の内容を示す情報が格納される。なお、セキュリティ対処時間情報22におけるセキュリティ対処803と同様に、セーフティ対処の内容を示す情報を別ファイルとして記憶部20に格納しておき、セーフティ対処807には対応するファイルを特定するための情報を設定するようにしてもよい。
対処許容時間806および対処予測時間808は、当該レコードのセーフティ異常に対するセーフティ対処を実行するための制約条件をそれぞれ示している。対処許容時間806には、例えば、車載システムで要求されるセーフティ仕様に基づいて設計段階で事前に設定された当該セーフティ対処の実施に対する許容時間の値が格納される。また、車両の走行制御に対する影響等を考慮して対処許容時間802の値を設定してもよい。対処予測時間808には、例えば、設計段階で事前に計測または計算された当該セーフティ対処の実施に対する予測時間の値が格納される。
対処優先度判定部15は、図3のステップ302において、ステップ301で取得したセーフティ異常のIDの値と、図9(b)のセーフティ対処時間情報26の各レコードにおけるセーフティ異常ID805の値とを比較し、これらの値が一致するレコードをセーフティ対処時間情報26において特定する。そして、特定したレコードにおける対処許容時間806の値を取得することで、検知したセーフティ異常に対するセーフティ対処の許容時間を取得する。このときさらに、取得したセーフティ対処の許容時間を車両状態や周辺環境状態に応じて調節することで、車両の走行制御に影響を与えずに利用可能なセーフティ対処の許容時間を算出してもよい。この場合、車両状態としては、例えば車両の運転モードや走行状態(走行中/停車中)等が用いられる。また、周辺環境状態としては、例えば天気、道路状態、走行場所(高速/市街地)等が用いられる。具体的には、例えば車両が走行中かつ天気が雨の場合は、迅速な制御が求められるため、セーフティ対処時間情報26から取得した値よりもセーフティ対処の許容時間を短く調節する。また、例えば車両が停車中の場合は、即時の制御を必要としないため、セーフティ対処時間情報26から取得した値よりもセーフティ対処の許容時間を長く調節する。これ以外にも、任意の方法でセーフティ対処の許容時間を求めることが可能である。
対処優先度判定部15は、図3のステップ303において、ステップ301で取得したセキュリティ異常のIDの値と、図9(a)のセキュリティ対処時間情報22の各レコードにおけるセキュリティ異常ID801の値とを比較し、これらの値が一致するレコードをセキュリティ対処時間情報22において特定する。そして、特定したレコードにおける対処予測時間804の値を取得することで、検知したセキュリティ異常に対するセキュリティ対処の予測時間を取得する。また、ステップ301で取得したセーフティ異常のIDの値と、図9(b)のセーフティ対処時間情報26の各レコードにおけるセーフティ異常ID805の値とを比較し、これらの値が一致するレコードをセーフティ対処時間情報26において特定する。そして、特定したレコードにおける対処予測時間808の値を取得することで、検知したセーフティ異常に対するセーフティ対処の予測時間を取得する。その後、取得したセキュリティ対処の予測時間とセーフティ対処の予測時間とを合計して、対処予測時間の合計値を求める。
図3の説明に戻ると、ステップ304では、対処優先度判定部15は、ステップ302で取得したセーフティ対処の許容時間と、ステップ303で算出した対処予測時間の合計値とを比較する。その結果、対処予測時間の合計値がセーフティ対処の許容時間よりも大きい場合はステップ305に進み、そうでない場合、すなわち対処予測時間の合計値がセーフティ対処の許容時間以下である場合はステップ306に進む。
ステップ305では、対処優先度判定部15は、セーフティ対処の実行をセキュリティ対処よりも優先すると判定する。このとき対処優先度判定部15は、例えば、ステップ303で特定したセキュリティ対処時間情報22およびセーフティ対処時間情報26の各レコードにおけるセキュリティ対処803、セーフティ対処807を参照することで、それぞれの対処内容を特定する。そして、特定したセーフティ対処の優先度をセキュリティ対処の優先度よりも高く設定し、これらの優先度を保持する。
ステップ306では、対処優先度判定部15は、セキュリティ対処の実行をセーフティ対処よりも優先すると判定する。このとき対処優先度判定部15は、例えば、ステップ305と同様に、ステップ303で特定したセキュリティ対処時間情報22およびセーフティ対処時間情報26の各レコードにおけるセキュリティ対処803、セーフティ対処807を参照することで、それぞれの対処内容を特定する。そして、特定したセキュリティ対処の優先度をセーフティ対処の優先度よりも高く設定し、これらの優先度を保持する。
ステップ305または306のいずれかを実行したら、対処優先度判定部15は図3のフローチャートに示す処理を終了する。以上のステップにより、車両用制御装置1は、対処優先度判定部15を用いて、セキュリティ異常とセーフティ異常の両方を検知した場合にどちらの対処を優先させるかを判断できる。
次に、図2のステップ207で走行制御影響度算出部16が実行する走行制御影響度算出について、図4のフローチャートを参照して説明する。図4は、走行制御影響度算出の処理の流れを示すフローチャートである。なお、以下で説明する各ステップの実行主体は、演算部10のCPUである。
ステップ401では、走行制御影響度算出部16は、図2のステップ202でセキュリティ不審度検証部13が算出または取得したセキュリティ不審度を取得する。
ステップ402では、走行制御影響度算出部16は、検知したセキュリティ異常の発生箇所の重要度を取得する。このとき走行制御影響度算出部16は、記憶部20に記憶されているセキュリティ異常管理情報21に含まれる重要度情報23から、検知したセキュリティ異常の発生箇所に対応する重要度を取得する。ここで、重要度情報23は前述のように、ECU3、4に対してそれぞれ割り当てられた重要度を示す情報である。走行制御影響度算出部16は、検知したセキュリティ異常の発生箇所がECU3、4のいずれであるかをログ情報29に含まれる異常状態用CAN ID601の値から判断し、当該ECUに対して割り当てられた重要度を重要度情報23から取得する。
重要度情報23には、例えばASIL(Automotive Safety Integrity Level)に基づいて換算された値を用いることができる。ASILは、許容できないリスクを回避するために必要な安全方策の規格として周知のものであり、ASIL D(もっとも厳しい)からASIL A(もっとも厳しくない)までの4段階の要求レベルに、要求レベルなしを表すQM(Quality Management)をさらに加えた5段階で評価される。例えば、ASILで規定された5段階の要求レベルのいずれに該当するかを数値化し、重要度情報23として記憶部20に記憶しておくことができる。このとき、各装置で要求されるASILのレベルは、ハザードの過酷さ(Severity)、曝露確率(Exposure)、制御性(Controllability)の3つの観点で決定される。例えば、当該装置の故障が車両の制御にとって致命的な場合や、当該装置の故障が頻繁なシチュエーションで起こる可能性がある場合や、当該装置の故障を回避困難な場合などは、当該装置のASILレベルとしてASIL Dが設定される。基本的に車載システムを構成するECUでは、ASILレベルが高いものほど車両の走行制御に対する影響が高くなるため、その故障を回避するためのフェールセーフ設計がなされている。
なお、上記のASIL以外の指標を用いて重要度情報23を設定してもよい。例えば、車外と直接繋がる装置をより重要とする観点や、走行制御に影響するアクチュエータを操作する装置をより重要とする観点や、金銭に関るアプリケーションを扱う装置をより重要とする観点等を用いて、重要度情報23を設定することができる。
ステップ403では、走行制御影響度算出部16は、車両状態を示す車両状態情報および周辺環境状態を示す環境情報を取得する。なお、前述のように車両状態としては、例えば車両の運転モードや走行状態(走行中/停車中)等が用いられる。また、周辺環境状態としては、例えば天気、道路状態、走行場所(高速/市街地)等が用いられる。走行制御影響度算出部16は、これらの状態を示す車両状態情報および環境情報を、例えば車載システム内のECUや各種センサ類から取得することができる。
ステップ404では、走行制御影響度算出部16は、上記ステップ401で取得したセキュリティ不審度と、上記ステップ402で取得した異常発生箇所の重要度と、上記ステップ403で取得した車両状態情報および環境情報とに基づいて、当該異常が車両の走行制御に与える影響度を算出する。このとき、走行制御影響度算出部16は例えば、下記の式(1)を用いて走行制御の影響度Eを算出する。式(1)において、I(i)は検知したセキュリティ異常に関連する各ECUの重要度を表しており、ステップ402で取得した異常発生箇所の重要度に応じて定められる。ここで、iは各ECUの識別子であり、ECUの数に応じた値が設定される。また、W1は車両状態や周辺環境状態に応じた調整係数、Sはセキュリティ不審度をそれぞれ表している。W1の値は、ステップ403で取得した車両状態情報および環境情報に基づいて定められ、Sの値は、ステップ401で取得したセキュリティ不審度に基づいて定められる。
Figure 0006761793
なお、上記式(1)は走行制御影響度の算出方法の一例であり、他の方法で走行制御影響度を算出してもよい。また、車両状態情報や環境情報を用いずに走行制御影響度を算出してもよいし、異常発生箇所の重要度を用いずに走行制御影響度を算出してもよい。あるいは、セキュリティ不審度を用いずに走行制御影響度を算出してもよい。走行制御影響度算出部16は、セキュリティ不審度、異常発生箇所の重要度、車両状態情報および環境情報の少なくともいずれか一つを用いて、走行制御影響度の算出を行うことができる。
ステップ404で走行制御影響度を算出したら、走行制御影響度算出部16は図4のフローチャートに示す処理を終了する。以上のステップにより、車両用制御装置1は、走行制御影響度算出部16を用いて、セキュリティ異常を検知した場合にそのセキュリティ異常が車両の走行制御に与える影響度合いを算出できる。
次に、図2のステップ210でセキュリティ機能変更判定部17が実行するセキュリティ機能変更判定について、図5のフローチャートを参照して説明する。図5は、セキュリティ機能変更判定の処理の流れを示すフローチャートである。なお、以下で説明する各ステップの実行主体は、演算部10のCPUである。
ステップ501では、セキュリティ機能変更判定部17は、検知したセーフティ異常のIDを取得する。このときセキュリティ機能変更判定部17は、図2のステップ201でログ情報取得部12が取得したログ情報29より、当該セーフティ異常に対応する異常状態ID601の値を取得する。
ステップ502では、セキュリティ機能変更判定部17は、検知したセーフティ異常に対するセーフティ対処の要求性能を取得する。このときセキュリティ機能変更判定部17は、記憶部20に記憶されているセーフティ異常管理情報25に含まれる要求性能情報27から、ステップ501で取得したセーフティ異常のIDに対応するセーフティ対処の要求性能を取得する。
図10は、セキュリティ機能変更判定部17がセーフティ対処の要求性能の取得に用いる要求性能情報27のデータ構造例を示す図である。図10に示す要求性能情報27は、レコードごとに割り当てられたセーフティ異常ID901と、セーフティ対処の内容を示すセーフティ対処902と、セーフティ対処の実行に際して要求される車載システムの性能を示す要求性能903と、車載システムの性能が要求を満たさない場合に変更対象とするセキュリティ機能を示す変更対象セキュリティ機能904と、当該セキュリティ機能の変更に関連するECUを示す対処関連装置905とを含む。なお、セーフティ異常ID901に設定される値は、図6のログ情報29において異常状態ID602に設定されるID番号のうち、セーフティ異常に対する「0xA1」〜「0xFF」に対応している。
セキュリティ機能変更判定部17は、図5のステップ502において、ステップ501で取得したセーフティ異常のIDの値と、図10の要求性能情報27の各レコードにおけるセーフティ異常ID901の値とを比較し、これらの値が一致するレコードを要求性能情報27において特定する。そして、特定したレコードにおける要求性能903の内容を参照することで、検知したセーフティ異常に対するセーフティ対処の要求性能を判断し、その判断結果を取得する。
図5の説明に戻ると、ステップ503では、セキュリティ機能変更判定部17は、車載システムの処理負荷状況を取得する。このときセキュリティ機能変更判定部17は、車載システムにおけるリソース使用状況を示す各種情報、例えば、車載システムに含まれるECU3、4それぞれのCPU稼動率やメモリ使用率、通信バス2の使用量、通信負荷、通信遅延等を、車載システムの処理負荷状況として取得する。なお、セキュリティ機能変更判定部17は、ECU3、4から定期的に処理負荷状況を取得してもよいし、ステップ503の実行タイミングに合わせて意図的に取得してもよい。
ステップ504では、セキュリティ機能変更判定部17は、上記ステップ502で取得したセーフティ対処の要求性能と、上記ステップ503で取得した処理負荷状況とを比較する。その結果、処理負荷状況が要求性能を満たす場合はステップ505に進み、そうでない場合、すなわち処理負荷状況が要求性能を満たさない場合はステップ506に進む。
ステップ505では、セキュリティ機能変更判定部17は、セキュリティ機能変更なしと判定する。
ステップ506では、セキュリティ機能変更判定部17は、セキュリティ機能変更ありと判定し、検知したセーフティ異常に該当するセキュリティ機能を縮退または無効化する必要があると判定する。このときセキュリティ機能変更判定部17は、上記ステップ502で特定した要求性能情報27のレコードにおける変更対象セキュリティ機能904の内容を参照することで、検知したセーフティ異常に対して縮退または無効化の対象とするセキュリティ機能を判断し、その判断結果を取得する。
ステップ505または506のいずれかを実行したら、セキュリティ機能変更判定部17は図5のフローチャートに示す処理を終了する。以上のステップにより、車両用制御装置1は、セキュリティ機能変更判定部17を用いて、セーフティ異常を検知した場合に変更すべきセキュリティ機能の有無と、どのセキュリティ機能を変更対象にするかを判断できる。
次に、図2のステップ213における対処内容決定部18の対処内容決定方法について、図11の判定表を参照して説明する。図11は、対処内容決定部18が対処内容を決定する際に用いる判定表の例である。
対処内容決定部18は、例えば、図2のステップ205で対処優先度判定部15が対処優先度の判定を行った場合、図11の判定欄111、112に従って対処内容を決定する。この場合、対処内容決定部18は、図3のステップ304の判定結果に基づいて、判定欄111、112のいずれに従うかを判断する。すなわち、ステップ304で対処予測時間の合計値がセーフティ対処の許容時間以下と判断され、ステップ306でセキュリティ対処の実行を優先すると判断された場合、対処内容決定部18は、判定欄111に従って対処内容を決定する。この場合、対処内容決定部18は、ログ情報29において異常状態ID601が示すセキュリティ異常に対応するセキュリティ対処を実施し、その後に異常状態ID601が示すセーフティ異常に対応するセーフティ対処を実施すると決定する。一方、ステップ304で対処予測時間の合計値がセーフティ対処の許容時間よりも大きいと判断され、ステップ305でセーフティ対処の実行を優先すると判断された場合、対処内容決定部18は、判定欄112に従って対処内容を決定する。この場合、対処内容決定部18は、ログ情報29において異常状態ID601が示すセーフティ異常に対応するセーフティ対処を実施し、その後に異常状態ID601が示すセキュリティ異常に対応するセキュリティ対処を実施すると決定する。なお、セキュリティ対処やセーフティ対処を実施する際には、それぞれの対処許容時間内で優先度の高い対処を先に実施してから、一定の監視時間を設けて異常発生の有無を監視し、異常が発生しなくなった場合は残りの対処の実施を省略してもよい。
また、対処内容決定部18は、例えば、図2のステップ207で走行制御影響度算出部16が走行制御影響度の算出を行った場合、図11の判定欄113、114に従って対処内容を決定する。この場合、対処内容決定部18は、走行制御影響度算出部16が算出した走行制御影響度の値に基づいて、判定欄113、114のいずれに従うかを判断する。例えば、走行制御影響度の値をDとし、このDを予め設定された閾値Th1、Th2(ただしTh1<Th2)と比較して、その比較結果により対処内容を判断する。すなわち、0<D≦Th1の場合、対処内容決定部18は、判定欄113に従って対処内容を決定する。この場合、対処内容決定部18は、例えばセキュリティ対処として「ログの保持および収集」を行うと決定する。また、Th1<D≦Th2の場合も、対処内容決定部18は、判定欄113に従って対処内容を決定する。この場合、対処内容決定部18は、例えば上記とは別のセキュリティ対処として「ルーティング停止、センタへのログのアップ」等を行うと決定する。一方、Th2<Dの場合、対処内容決定部18は、判定欄114に従って対処内容を決定する。この場合、対処内容決定部18は、セキュリティ対処に加えてセーフティ対処も行うと決定する。例えばセキュリティ対処として「攻撃波及防止」等を行い、セーフティ対処として「縮退運転」を行うと決定する。
また、対処内容決定部18は、例えば、図2のステップ210でセキュリティ機能変更判定部17がセキュリティ機能変更の判定を行った場合、図11の判定欄115、116に従って対処内容を決定する。この場合、対処内容決定部18は、図5のステップ504の判定結果に基づいて、判定欄115、116のいずれに従うかを判断する。すなわち、ステップ504で処理負荷状況が要求性能を満たすと判断され、ステップ505でセキュリティ機能変更なしと判定された場合、対処内容決定部18は、判定欄115に従って対処内容を決定する。この場合、対処内容決定部18は、ログ情報29において異常状態ID601が示すセーフティ異常に対応するセーフティ対処を実施すると決定する。一方、ステップ504で処理負荷状況が要求性能を満たさないと判断され、ステップ506でセキュリティ機能変更ありと判定された場合、対処内容決定部18は、判定欄116に従って対処内容を決定する。この場合、対処内容決定部18は、ログ情報29において異常状態ID601が示すセーフティ異常に対応するセーフティ対処を実施すると共に、ステップ506で判断したセキュリティ機能を縮退または無効化することで、車載システムにおけるセキュリティ機能の一部を変更すると決定する。
また、対処内容決定部18は、例えば、図2のステップ212で平常状態と判断した場合、図11の判定欄117に従って対処内容を決定する。この場合、対処内容決定部18は、セキュリティ対処とセーフティ対処のいずれも実施せずに、車載システムにおける通信データ異常の有無を継続して監視すると決定する。
以上の実施形態によれば、車両用制御装置1は、走行中の車両にセーフティ異常またはセキュリティ異常が発生した場合や、これら両方の異常が発生した場合を考慮して、過不足のない対処を実現する。これにより、車両用制御装置1は、セーフティファーストの自動車において、車載システムの限られたリソースが競合することによるセーフティ対処の遅延を防止することができる。また、セキュリティ異常の発生に伴うセーフティ対処への過度な移行による車両走行の可用性の低下を防止することができる。したがって、車両の安全性を担保しつつ、車両走行の可用性維持を低コストで実現できる。
以上説明した本発明の一実施形態によれば、以下の作用効果を奏する。
(1)車両用制御装置1は、通信バス2を介して互いに接続されたECU3、4を有する車載システムにおいて用いられる。車両用制御装置1は、情報を記憶する記憶部20と、記憶部20に記憶された情報に基づく処理を行う演算部10とを備える。記憶部20に記憶される情報は、車載システムの外部からのセキュリティ攻撃に起因する通信データの異常であるセキュリティ異常に関するセキュリティ異常管理情報21と、車載システム内の異常に起因する通信データの異常であるセーフティ異常に関するセーフティ異常管理情報25とを含む。セキュリティ異常管理情報21は、セキュリティ異常に対するセキュリティ対処を実行するための制約条件を示すセキュリティ対処時間情報22を含み、セーフティ異常管理情報25は、セーフティ異常に対するセーフティ対処を実行するための制約条件を示すセーフティ対処時間情報26を含む。演算部10は、対処内容決定部18により、車載システムにおける通信データの異常が検出された場合に、セキュリティ異常管理情報21およびセーフティ異常管理情報25に基づいて、検出された通信データの異常への対処内容を決定する。このようにしたので、セキュリティ異常とセーフティ異常の両方に対して適切に対処可能な車載システムを実現できる。
(2)セキュリティ対処時間情報22が示す制約条件は、セキュリティ対処の実行に要する時間を示す対処予測時間804を含み、セーフティ対処時間情報26が示す制約条件は、セーフティ対処を実行する際に許容される時間を示す対処許容時間806と、セーフティ対処の実行に要する時間を示す対処予測時間808とを含む。演算部10は、セキュリティ異常およびセーフティ異常の両方が検出された場合に、対処予測時間804、対処許容時間806および対処予測時間808に基づいて、対処内容を決定する。すなわち、演算部10は、対処優先度判定部15により、対処予測時間804と対処予測時間808の合計値を求め(ステップ303)、その合計値と対処許容時間806との比較結果に基づいて、対処内容決定部18により対処内容を決定する(ステップ304〜306、ステップ213)。具体的には、演算部10は、対処優先度判定部15および対処内容決定部18により、上記合計値が対処許容時間806よりも大きい場合にはセーフティ対処の実行を優先し(ステップ305)、上記合計値が対処許容時間806以下の場合にはセキュリティ対処の実行を優先する(ステップ306)ように、ステップ213で対処内容を決定する。このようにしたので、セキュリティ異常とセーフティ異常の両方が発生した場合に、どちらの対処を優先的に実施すればよいかを適切に判断して対処内容を決定できる。
(3)セキュリティ異常管理情報21は、セキュリティ対処を実行するための制約条件として、ECU3、4の各々の重要度を示す重要度情報23を含む。演算部10は、セキュリティ異常が検出された場合に、走行制御影響度算出部16により、ECU3、4のうちでセキュリティ異常の発生箇所に対応するECUの重要度に基づいて、車両の走行制御に対する影響度を算出し(ステップ207)、算出した影響度に基づいて、対処内容決定部18により対処内容を決定する(ステップ213)。このようにしたので、セキュリティ異常が発生した場合に、車両の走行制御に対する影響度を考慮して対処内容を適切に決定できる。
(4)演算部10は、セキュリティ不審度検証部13により、セキュリティ異常に対する不審度を示すセキュリティ不審度を算出またはECU3、4から取得する(ステップ202)。そして、走行制御影響度算出部16により、セキュリティ不審度検証部13で算出または取得したセキュリティ不審度、および、重要度情報23が示すセキュリティ異常の発生箇所に対応するECUの重要度に基づいて、車両の走行制御に対する影響度を算出する(ステップ401、402、404)。このようにしたので、セキュリティ異常の発生状況と、セキュリティ異常の発生により影響を受けるECUの重要度とを考慮して、車両の走行制御に対する影響度を正確に算出できる。
(5)演算部10は、セキュリティ不審度検証部13により、算出または取得したセキュリティ不審度に基づいてセキュリティ異常の有無を判断する(ステップ203)。このようにしたので、セキュリティ異常の有無を正確に判断できる。
(6)演算部10は、走行制御影響度算出部16により、車両の運転モードまたは走行状態を示す車両状態情報や、車両の周囲環境を示す環境情報を取得し(ステップ403)、取得した車両状態情報や環境情報、および、重要度情報23が示すセキュリティ異常の発生箇所に対応するECUの重要度に基づいて、車両の走行制御に対する影響度を算出する(ステップ404)。このようにしたので、セキュリティ異常が発生したときの車両の運転モード、走行状態、周囲環境等の状況と、セキュリティ異常の発生により影響を受けるECUの重要度とを考慮して、車両の走行制御に対する影響度を正確に算出できる。
(7)セーフティ異常管理情報25は、セーフティ対処を実行するための制約条件として、セーフティ対処に要求される車載システムの性能を示す要求性能情報27を含む。演算部10は、セーフティ異常が検出された場合に、セキュリティ機能変更判定部17により、車載システムの処理負荷状況を取得し(ステップ503)、取得した処理負荷状況と要求性能情報27との比較結果に基づいて、対処内容決定部18により対処内容を決定する(ステップ504〜506、ステップ213)。具体的には、演算部10は、セキュリティ機能変更判定部17および対処内容決定部18により、処理負荷状況が要求性能情報27における要求性能903を満たさない場合に、車載システムが有するセキュリティ機能の一部を縮退または無効化する(ステップ506)ように、ステップ213で対処内容を決定する。このようにしたので、セーフティ異常が発生した場合に、車載システムの処理負荷状況や要求性能を考慮して対処内容を適切に決定できる。
なお、以上説明した実施形態では、図2のフローチャートにおいて、セキュリティ異常とセーフティ異常の両方が検知された場合に、ステップ205で対処優先度の判定を行い、その後にステップ213で対処内容を決定する例を説明したが、本発明はこれに限定されない。例えば、ステップ205で対処優先度の判定を行った後、ステップ207で走行制御影響度の算出やステップ210でセキュリティ機能変更の判定を行ってもよい。このとき、ステップ205でセキュリティ対処を優先して実行すると判定した場合は、ステップ207で走行制御影響度の算出を行い、ステップ205でセーフティ対処を優先して実行すると判定した場合は、ステップ210でセキュリティ機能変更の判定を行うようにしてもよい。
また、以上説明した実施形態では、ECU3、4とは別の車両用制御装置1を用いて、セキュリティ異常やセーフティ異常が発生した場合の対処内容を決定する例を説明したが、本発明はこれに限定されない。例えば、ECU3、4において上述したような処理を行うことで対処内容をそれぞれ決定できるようにしてもよい。また、例えばスマートフォン等の情報処理装置を車載システムに接続し、この情報処理装置を車両用制御装置1として利用してもよいし、車両外に設けられた情報処理装置を車両用制御装置1として利用してもよい。
以上説明した実施形態や各種変形例はあくまで一例であり、発明の特徴が損なわれない限り、本発明はこれらの内容に限定されるものではない。また、上記では種々の実施形態や変形例を説明したが、本発明はこれらの内容に限定されるものではない。本発明の技術的思想の範囲内で考えられるその他の態様も本発明の範囲内に含まれる。
1 車両用制御装置
2 通信バス
3 ECU
4 ECU
10 演算部
11 通信部
12 ログ情報取得部
13 セキュリティ不審度検証部
14 セーフティ異常検証部
15 対処優先度判定部
16 走行制御影響度算出部
17 セキュリティ機能変更判定部
18 対処内容決定部
20 記憶部
21 セキュリティ異常管理情報
22 セキュリティ対処時間情報
23 重要度情報
24 不審度算出情報
25 セーフティ異常管理情報
26 セーフティ対処時間情報
27 要求性能情報
28 セーフティ異常検証情報
29 ログ情報

Claims (11)

  1. 通信バスを介して互いに接続された複数の情報処理装置を有する車載システムにおいて用いられる車両用制御装置であって、
    情報を記憶する記憶部と、
    前記記憶部に記憶された前記情報に基づく処理を行う演算部と、を備え、
    前記情報は、前記車載システムの外部からのセキュリティ攻撃に起因する通信データの異常であるセキュリティ異常に関する第1の管理情報と、前記車載システム内の異常に起因する通信データの異常であるセーフティ異常に関する第2の管理情報と、を含み、
    前記第1の管理情報は、前記セキュリティ異常に対するセキュリティ対処を実行するための第1の制約条件を示す第1の制約条件情報を含み、
    前記第2の管理情報は、前記セーフティ異常に対するセーフティ対処を実行するための第2の制約条件を示す第2の制約条件情報を含み、
    前記演算部は、前記車載システムにおける通信データの異常が検出された場合に、前記第1の管理情報および前記第2の管理情報に基づいて、検出された前記通信データの異常への対処内容を決定する、車両用制御装置。
  2. 請求項1に記載の車両用制御装置において、
    前記第1の制約条件は、前記セキュリティ対処の実行に要する第1の時間を含み、
    前記第2の制約条件は、前記セーフティ対処を実行する際に許容される第2の時間と、前記セーフティ対処の実行に要する第3の時間と、を含み、
    前記演算部は、前記セキュリティ異常および前記セーフティ異常の両方が検出された場合に、前記第1の時間、前記第2の時間および前記第3の時間に基づいて、前記対処内容を決定する、車両用制御装置。
  3. 請求項2に記載の車両用制御装置において、
    前記演算部は、前記第1の時間と前記第3の時間の合計値を求め、前記合計値と前記第2の時間との比較結果に基づいて、前記対処内容を決定する、車両用制御装置。
  4. 請求項3に記載の車両用制御装置において、
    前記演算部は、前記合計値が前記第2の時間よりも大きい場合には前記セーフティ対処の実行を優先し、前記合計値が前記第2の時間以下の場合には前記セキュリティ対処の実行を優先するように、前記対処内容を決定する、車両用制御装置。
  5. 請求項1から請求項4までのいずれか一項に記載の車両用制御装置において、
    前記第1の制約条件は、前記複数の情報処理装置の各々の重要度を含み、
    前記演算部は、前記セキュリティ異常が検出された場合に、前記複数の情報処理装置のうちで前記セキュリティ異常の発生箇所に対応する情報処理装置の重要度に基づいて、車両の走行制御に対する影響度を算出し、算出した前記影響度に基づいて、前記対処内容を決定する、車両用制御装置。
  6. 請求項5に記載の車両用制御装置において、
    前記演算部は、前記セキュリティ異常に対する不審度を示すセキュリティ不審度を算出または前記情報処理装置から取得し、算出または取得した前記セキュリティ不審度および前記重要度に基づいて、前記影響度を算出する、車両用制御装置。
  7. 請求項6に記載の車両用制御装置において、
    前記演算部は、前記セキュリティ不審度に基づいて前記セキュリティ異常の有無を判断する、車両用制御装置。
  8. 請求項5から請求項7までのいずれか一項に記載の車両用制御装置において、
    前記演算部は、前記車両の運転モードまたは走行状態を示す車両状態情報を取得し、取得した前記車両状態情報および前記重要度に基づいて、前記影響度を算出する、車両用制御装置。
  9. 請求項5から請求項8までのいずれか一項に記載の車両用制御装置において、
    前記演算部は、前記車両の周囲環境を示す環境情報を取得し、取得した前記環境情報および前記重要度に基づいて、前記影響度を算出する、車両用制御装置。
  10. 請求項1から請求項9までのいずれか一項に記載の車両用制御装置において、
    前記第2の制約条件は、前記セーフティ対処に要求される前記車載システムの性能を示す要求性能を含み、
    前記演算部は、前記セーフティ異常が検出された場合に、前記車載システムの処理負荷状況を取得し、取得した前記処理負荷状況と前記要求性能との比較結果に基づいて、前記対処内容を決定する、車両用制御装置。
  11. 請求項10に記載の車両用制御装置において、
    前記演算部は、前記処理負荷状況が前記要求性能を満たさない場合に、前記車載システムが有するセキュリティ機能の一部を縮退または無効化するように、前記対処内容を決定する、車両用制御装置。
JP2017199331A 2017-10-13 2017-10-13 車両用制御装置 Active JP6761793B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2017199331A JP6761793B2 (ja) 2017-10-13 2017-10-13 車両用制御装置
US16/755,465 US11580223B2 (en) 2017-10-13 2018-10-10 Vehicular control apparatus
CN201880066529.XA CN111225834B (zh) 2017-10-13 2018-10-10 车辆用控制装置
PCT/JP2018/037701 WO2019074000A1 (ja) 2017-10-13 2018-10-10 車両用制御装置
EP18865747.2A EP3696025B1 (en) 2017-10-13 2018-10-10 Vehicle control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017199331A JP6761793B2 (ja) 2017-10-13 2017-10-13 車両用制御装置

Publications (2)

Publication Number Publication Date
JP2019073102A JP2019073102A (ja) 2019-05-16
JP6761793B2 true JP6761793B2 (ja) 2020-09-30

Family

ID=66101446

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017199331A Active JP6761793B2 (ja) 2017-10-13 2017-10-13 車両用制御装置

Country Status (5)

Country Link
US (1) US11580223B2 (ja)
EP (1) EP3696025B1 (ja)
JP (1) JP6761793B2 (ja)
CN (1) CN111225834B (ja)
WO (1) WO2019074000A1 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6556207B2 (ja) * 2017-10-19 2019-08-07 三菱電機株式会社 車両用セキュリティ装置およびセキュリティ方法
DE102019218045A1 (de) * 2019-11-22 2021-05-27 Volkswagen Aktiengesellschaft Verfahren zur Überwachung der Kommunikation auf einem Kommunikationsbus, elektronische Vorrichtung zum Anschluss an einen Kommunikationsbus, sowie zentrale Überwachungsvorrichtung zum Anschluss an einen Kommunikationsbus
DE102019220461A1 (de) 2019-12-20 2021-06-24 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Vorrichtung zum Betreiben einer Recheneinrichtung
JP2022007238A (ja) * 2020-06-26 2022-01-13 パナソニックIpマネジメント株式会社 情報処理装置、情報処理方法及びプログラム
EP4239506A4 (en) * 2020-10-30 2023-11-29 Nissan Motor Co., Ltd. VEHICLE-MOUNTED COMPUTER, COMPUTER PROGRAM, COMPUTER-READABLE STORAGE MEDIA AND SECURITY SETTING METHOD
JP2022127512A (ja) * 2021-02-19 2022-08-31 日立Astemo株式会社 電子制御システム
JP2023028510A (ja) * 2021-08-19 2023-03-03 パナソニックIpマネジメント株式会社 検知ルール出力方法、及び、セキュリティシステム
WO2023073761A1 (ja) * 2021-10-25 2023-05-04 三菱電機株式会社 侵入検知システム
JP2024011955A (ja) * 2022-07-15 2024-01-25 キヤノン株式会社 通知装置、通知方法

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3912379B2 (ja) * 2001-06-22 2007-05-09 オムロン株式会社 安全ネットワークシステム及び安全スレーブ並びに通信方法
JP2014058210A (ja) * 2012-09-18 2014-04-03 Hitachi Automotive Systems Ltd 車両制御装置および車両制御システム
KR101371902B1 (ko) * 2012-12-12 2014-03-10 현대자동차주식회사 차량 네트워크 공격 탐지 장치 및 그 방법
JP6126980B2 (ja) * 2013-12-12 2017-05-10 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム
FR3025035B1 (fr) * 2014-08-22 2016-09-09 Jtekt Europe Sas Calculateur pour vehicule, tel qu’un calculateur de direction assistee, pourvu d’un enregistreur d’evenements integre
JP6218184B2 (ja) * 2014-11-13 2017-10-25 日立オートモティブシステムズ株式会社 情報処理装置、メッセージ認証方法
JP6585001B2 (ja) 2015-08-31 2019-10-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、不正検知電子制御ユニット及び不正検知システム
CN105843206A (zh) * 2016-01-07 2016-08-10 乐卡汽车智能科技(北京)有限公司 车辆总线安全监控方法、装置和系统
WO2017119027A1 (ja) * 2016-01-08 2017-07-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
WO2017119246A1 (ja) * 2016-01-08 2017-07-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知方法、異常検知装置及び異常検知システム
JP6578224B2 (ja) * 2016-02-22 2019-09-18 ルネサスエレクトロニクス株式会社 車載システム、プログラムおよびコントローラ
CN105656693B (zh) * 2016-03-15 2019-06-07 南京联成科技发展股份有限公司 一种基于回归的信息安全异常检测的方法及系统
JP5999614B1 (ja) 2016-04-20 2016-09-28 株式会社ソフトベース データリカバリシステム、データリカバリ方法、データリカバリプログラム、情報処理装置、データ作成型の携帯端末及びパッシブタイプの記憶媒体
JP6846991B2 (ja) * 2016-07-05 2021-03-24 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
US10991175B2 (en) * 2018-12-27 2021-04-27 Beijing Voyager Technology Co., Ltd. Repair management system for autonomous vehicle in a trusted platform

Also Published As

Publication number Publication date
EP3696025A4 (en) 2021-03-17
JP2019073102A (ja) 2019-05-16
CN111225834A (zh) 2020-06-02
CN111225834B (zh) 2023-03-28
WO2019074000A1 (ja) 2019-04-18
US11580223B2 (en) 2023-02-14
EP3696025A1 (en) 2020-08-19
US20200242247A1 (en) 2020-07-30
EP3696025B1 (en) 2022-10-05

Similar Documents

Publication Publication Date Title
JP6761793B2 (ja) 車両用制御装置
JP7410223B2 (ja) 不正検知サーバ、及び、方法
CN112204578B (zh) 使用机器学习在数据接口上检测数据异常
US10992688B2 (en) Unauthorized activity detection method, monitoring electronic control unit, and onboard network system
US10911182B2 (en) In-vehicle information processing for unauthorized data
JP6723955B2 (ja) 情報処理装置及び異常対処方法
KR101853676B1 (ko) 차량 침입 탐지 장치 및 방법
KR20200103643A (ko) 차량 내 네트워크에 보안을 제공하는 시스템 및 방법
JPWO2019216306A1 (ja) 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
WO2018168291A1 (ja) 情報処理方法、情報処理システム、及びプログラム
JP2018062320A (ja) 情報処理装置、情報処理方法、および情報処理システム
US11621967B2 (en) Electronic control unit, electronic control system, and recording medium
JP2021005821A (ja) 異常検出装置
JP7124679B2 (ja) 監視装置
JP7392586B2 (ja) ログ送信制御装置
US20210281594A1 (en) Security management device, security management method, and computer program executed by security management device
WO2021084961A1 (ja) 分析装置及び分析方法
KR102204655B1 (ko) 공격 메시지 재전송 시간을 예측하는 can 네트워크에 대한 메시지플러딩 공격 완화방법
JP7409247B2 (ja) 不正侵入防止装置、不正侵入防止方法、及び不正侵入防止用プログラム
JP6896194B2 (ja) 攻撃検知装置および攻撃検知プログラム
KR102204656B1 (ko) 일반 can 메시지의 전송지연을 예측하는 can 네트워크에 대한 메시지플러딩 공격 완화 시스템
JP5040323B2 (ja) 車両ダイアグ情報収集システム、車両ダイアグ情報収集方法、及び情報センタ
JP7226248B2 (ja) 通信装置および異常判定装置
JP7439668B2 (ja) ログ送信制御装置
EP4237975A1 (en) Intrusion filter for an intrusion detection system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200313

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200811

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200907

R150 Certificate of patent or registration of utility model

Ref document number: 6761793

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350