JP6794383B2 - 電子装置、方法、プログラム及びサーバ、方法、プログラム - Google Patents

電子装置、方法、プログラム及びサーバ、方法、プログラム Download PDF

Info

Publication number
JP6794383B2
JP6794383B2 JP2018004508A JP2018004508A JP6794383B2 JP 6794383 B2 JP6794383 B2 JP 6794383B2 JP 2018004508 A JP2018004508 A JP 2018004508A JP 2018004508 A JP2018004508 A JP 2018004508A JP 6794383 B2 JP6794383 B2 JP 6794383B2
Authority
JP
Japan
Prior art keywords
log
code
validity
vehicle
verifying
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018004508A
Other languages
English (en)
Other versions
JP2019125892A (ja
Inventor
丹 蒋
丹 蒋
利之 鬼頭
利之 鬼頭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2018004508A priority Critical patent/JP6794383B2/ja
Priority to US15/958,955 priority patent/US11170583B2/en
Publication of JP2019125892A publication Critical patent/JP2019125892A/ja
Application granted granted Critical
Publication of JP6794383B2 publication Critical patent/JP6794383B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/008Registering or indicating the working of vehicles communicating information to a remotely located station
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/02Registering or indicating driving, working, idle, or waiting time only
    • G07C5/04Registering or indicating driving, working, idle, or waiting time only using counting means or digital clocks
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0808Diagnosing performance data
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0841Registering performance data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Description

本発明の実施形態は、車両を管理するシステムにおいて、車両に搭載される電子装置と、その電子装置のログを検証するサーバに関する。
近年、自動車等の車両にあっては、外部との通信環境が整備されつつあるが、外部からの情報セキュリティ攻撃の恐れも高まっている。このため、その攻撃によって車両が事故に遭い、人命を失うことのないように、車両および車両走行環境での異常検知が必要になる。
このような異常検知を行うために、車両に搭載される電子装置では、多くの種類の制御処理におけるログデータを順次取得して改ざん検証値を生成し、その改ざん検証値とログデータの組を車内の記録媒体で一時保存した後、インターネットを経由して異常検知を行うサーバまたはサーバ群(以降クラウドと呼ぶ)に転送するようにしている。
しかしながら、従来のシステムでは、ログデータの改ざんの検証に時間がかかったり、一部が改ざんされていた場合に、その他改ざんされていないログデータを確保することができない等の問題がある。
特開2010−107832号公報
本実施形態の課題は、車両のログデータの正当性を効率的に検証でき、あわせて改ざんされていないログデータの確保が可能な電子装置及びサーバを提供することにある。
本実施形態の電子装置は、車両に搭載され、前記車両のログ及びその正当性を検証するためのコードを生成する生成手段と、前記車両のログをサーバに送信する送信手段とを備える。前記生成手段は、前記車両の第1期間の第1ログと、前記第1ログの正当性を検証するための第1コードと、前記車両の第2期間の第2ログと、前記第2ログの正当性を検証するための第2コードと、前記車両の第3期間の第3ログと、前記第3ログの正当性を検証するための第3コードと、前記車両の第4期間の第4ログと、前記第4ログの正当性を検証するための第4コードと、前記第1ログと前記第2ログとの正当性を一括して検証するための第5コードと、前記第3ログと前記第4ログとの正当性を一括して検証するための第6コードと、前記第1乃至第4ログの正当性を一括して検証するための第7コードとを生成する。前記送信手段は、前記第1乃至第7コードをサーバへ送信し、前記第1乃至第7コードをサーバへ送信した後、前記第1乃至第4ログを前記サーバへ送信する。前記サーバは、受信手段と、処理手段とを備える。前記受信手段は、前記車両に搭載された電子装置より前記第1乃至第7コードを受信し、前記第1乃至第7コードを受信した後、前記第1乃至第4ログを受信する。前記処理手段は、第7コードを検証して正当性を判定し、正当性有りのとき第1ログ乃至前記第4ログを正しいものと取り扱い、正当性無しのとき前記第5コード、前記第6コードの少なくとも一方を用いて前記第1ログ乃至前記第4ログの少なくとも1以上のログの正当性を判定する。
本実施形態に係る車両管理システムの全体構成を示すブロック図。 図1に示す車両に搭載される電子装置の構成を示すブロック図。 図1に示すシステムの電子装置及びクラウドの具体的な構成を示すブロック図。 図3に示す電子装置のログシステムにおける処理手順を示すフローチャート。 図3に示す電子装置の通信ログデータ、及び対応する階層化検証値と紐付け情報の具体例を示す図。 図3に示すログサーバで実行する改ざん検証のための処理手順を示すフローチャート。 実施形態に係る車両管理システムに適用可能なコンピュータ装置の構成を示すブロック図。
以下、図面を参照して、本発明を実施するための最良の形態(以下、単に実施形態と称する)について詳細に説明する。
なお、以下の説明において、車両とは、例えば自動車、トラック、クレーン車、トラクター、ロボット、電車、飛行機である。また、車両のログとは、車両の状態に関する履歴であればどのようなものであってもよく、例えば、車両の状態(操作状況)、走行状態(停止、走行、速度、右左折、アイドリングストップ、エンジンのON/OFF等)、位置の移動状況に関する履歴である。なお、各ログは、識別情報(ID)、例えばCAN(Controller Area Network)−IDによって識別される。また、コードとは、対象のデータの正当性を検証できればどのようなものであってもよく、例えば、ハッシュ、MAC(Message Authentication Code)、MIC(Message Integrity Code)、CRC(Cyclic Redundancy Check)等が用いられる。通信データの特徴とは、通信データを識別する情報等であればよく、少なくとも通信ネットワーク(CAN/CAN−FD、車載Ethernet(登録商標)等)に対応する識別情報(CAN−ID、IPアドレス等)、データサイズ等が含まれる。
図1は本発明の一実施形態に係る車両管理システムとして、複数車両から転送される車載ログデータの改ざん検証及び異常対策処理を行う場合の構成を示すブロック図である。
図1に示す車両管理システムは、それぞれ電子装置を搭載する複数の車両1A,1B,…と、車両1A,1B,…で生成される車載ログデータを転送する無線または有線による通信路2A,2B,…と、車両1A,1B,…から転送される車載ログデータに基づいて各車両1A,1B,…を管理するクラウド3とを備える。クラウド3は、ログサーバ31と解析サーバ32とを備える。
上記車両1A,1B,…は、図2に示す電子装置11を搭載する。この電子装置11は、従来の走行機能に加え、自動運転機能、車外との通信機能を備える。
上記ログサーバ31は、車両1A,1B,…から通信路2A,2B…を通じて車載ログデータを収集する通信機能、車載ログデータが改ざんされたかどうかを確認する改ざん検知機能、およびクラウド3の内部にある他のサーバとの通信機能を備える。なお、ログサーバ31はセキュリティ性が担保されており、データの改ざんがされにくいものと想定する。
上記ログサーバ31は、車両1A,1B,…から転送された車載ログデータが改ざんされたかを検証し、改ざんされていない車載ログデータや、改ざんを発見した異常状況をまとめて解析サーバ32に入力する。
上記解析サーバ32は、クラウド3の内部の他のサーバとの通信機能、異常検知や分析機能、異常対策の策定機能、車両1A,1B,…に異常対策を送信するための通信機能を備える。すなわち、解析サーバ32は、ログサーバ31から転送されたデータの元に異常検知や事故分析などの処理を行い、一時的な対策がある場合は、対象車両にその対策を送信する。
なお、上記ログサーバ31と解析サーバ32は、本実施形態では別々の場合を例として説明しているが、必要に応じて同じサーバにそれぞれの機能を搭載するようにしてもよい。
上記車両1A,1B,…に搭載される電子装置11は、図2に示すように、主にECU(Electronic Control Unit:電子制御装置)群111、ゲートウェイ112、ログシステム113、通信モジュール114,115を備える。
上記ECU群111の各ユニットは、制御機能等に応じて分割した各ドメインにおいて、それぞれのドメインに対応するアクチュエータと繋がっており、運転者または自動運転システムの操作制御指令により、相互通信によって協調して車両の運転に対する操作を制御する。
上記ゲートウェイ112は、主にECU群111のユニット間、および車外と車内の間で通信パケットを転送する。上記ログシステム113は、ゲートウェイ112と繋がっており、通信データを始め、車両内で発生する情報を車載ログデータとして記録する。
上記通信モジュール114,115は、それぞれの通信路を介して車外から車内へ、または車内から車外への通信データを転送する。例えば、通信モジュール114は、ゲートウェイ112と接続され、700MHz近距離無線によってゲートウェイ112と他のコネクテッドカーやインフラの信号機等との通信を行う。また、通信モジュール115は、ログシステム113と接続され、携帯電話用ネットワークを介して、クラウド3側のログサーバ31にログシステム113からのログデータ等の情報を転送する。
なお、上記電子装置11は、情報セキュリティ面から、車外からの攻撃ルートが作られないように、通信モジュール115において、外部からのデータが入り込めないように設定するとよい。また、ゲートウェイ112とログシステム113は、必要に応じて一体化するようにしてもよい。
図3は、本実施形態に係る車両管理システムの電子装置11及びログサーバ31及び解析サーバ32の具体的な機能構成及び関連性を示している。
上記ゲートウェイ112は、通信部1121、記憶部1122、転送処理部1123、時刻管理部1124を備える。
上記通信部1121は、ゲートウェイ112を経由する通信データを受け取る。上記記憶部1122は揮発メモリであり、受信した通信データを一時保持する。上記転送処理部1123は、受信した通信データを宛先情報により車内の各ドメインまたは車外に転送する。さらに、記憶部1122に溜まる通信データのサイズが一定量に達すると、その通信データを車載ログデータとしてログシステム113に転送する。上記時刻管理部1124は、受信した通信データに、ゲートウェイ112のローカル時計の時刻情報を適切なタイミングで付与する処理を行う。実施形態ではms単位の精度で時刻情報が付与されるものとするが、実際の要求に応じてs単位の精度、μs単位の精度でも対応可能である。
上記ログシステム113は、通信部1131、記憶部1132、階層化関連情報生成部1133、暗号処理部1134、記録部1135、書込み処理部1136、読出し処理部1137、転送処理部1138を備える。
上記通信部1131は、ゲートウェイ112から転送された車載ログデータを受け取る。上記記憶部1132が揮発メモリであり、受信した車載ログデータを一時保持する。上記階層化関連情報生成部1133は、車載ログデータに対応する階層化検証値および紐付情報の生成処理を行う。
ここで、紐付情報のコードは、いずれのログに対して正当性を検証するものかを識別可能であればどのようなものであってもよい。また、ゲートウェイ112の通信部1121とログシステム113の通信部1131とが同一であってもよい。上記階層化検証値の生成時に参照する階層化ルールは、事前に規定して記録部1132に保存したファイルでもよいし、クラウド3側のサーバからの指令を記憶部1132にて一時保持したファイルでもよい。
上記暗号処理部1134は、主に改ざん検証値の生成処理を行う。上記記録部1135は車載ログデータ、並びにログシステム113の処理に必要な暗号鍵等の情報を長時間保存する。上記書込み処理部1136は、車載ログデータを記録部1135に書き込む処理を行う。上記読出し処理部1137は、記録部1135から車載ログデータを読み出す処理を行う。上記転送処理部1138は、生成した階層化関連情報、または読み出した車載ログデータをクラウド3側のログサーバ31に転送する。情報セキュリティの面を考慮して、転送処理部1138で、車内から車外に送出するデータ、すなわちアウトバウントのデータしか通過させないようにする。
上記ログシステム113は、図4に示す手順で階層化関連情報を処理する。まず、通信部1131でゲートウェイ112からログデータを受信した後(ステップS11)、記憶部1132に余裕スペースがあるかどうかを確認する(ステップS12)。余裕スペースがない場合には、記憶部1132から古い順に一定量のデータを削除する(ステップS13)。記憶部1132に一定量のデータが溜まったか判断し(ステップS14)、一定量のデータが溜まっていなければステップS11の受信処理に移行する。一定量のデータが溜まった場合には、階層化関連情報生成部1133で階層化関連情報を生成する(ステップS15,S16)。階層化関連情報は階層化検証値と紐付情報を含む。階層化関連情報は階層化ルールに参照して生成されるが、その階層化ルールは事前にクラウド3のログサーバ31と共有、またはログサーバ31から指定することが可能であるものとする。階層化ルールは具体的に、階層の分類ルールおよび各階層の紐付情報を生成する方法を規定するファイルである。
例えば、一つのデータの塊に対して、以下の4階層を形成するものとする。
第1層:データ全体を対象とし、紐付情報は先頭および末尾の時刻情報とデータ全体の個数を規定する。
第2層:ネットワークの種類に応じてデータを分類するものとし、紐付情報は各ネットワークの種類の名称とそれぞれ対応するデータ個数を示すものとする。
第3層:送信元の識別子に応じて第2層の分類を元にさらにデータを分類するものとし、紐付情報は各識別子とそれぞれ対応するデータ個数とする。
第4層:個々のデータを対象とする。ここでは、紐付情報は不要である。
以上のようにして、階層化の階数と各階層においての分類ルール、紐付情報生成方法を規定する。
上記階層化関連情報の生成後、当該情報を転送処理部1138を通じてログサーバ31に転送する(ステップS17)。ここで、転送が成功したか判断し(ステップS18)、転送が成功しなかった場合には、記憶部1132にログデータが一定量溜まったか判断し(ステップS19)、一定量溜まっていない場合には、ステップS17に戻って上記階層化関連情報の転送を実行する。ステップS19で一定量溜まっていた場合には、未転送の階層化関連情報を記憶部1132で一時保持しておく。
上記ステップS18で転送が成功したと判断された場合には、書込み処理部1136で対象ログデータを記録部1135に書き込む(ステップS21)。この書込みが成功したか判断し(ステップS22)、書込みが成功しなかった場合には、記憶部1132にログデータが一定量溜まったか判断し(ステップS23)、一定量溜まっていなかった場合にはステップS21に戻って上記階層化関連情報の書込みを実行する(ステップS24)。ステップS23で一定量溜まっていた場合には、未書込みの階層化関連情報を記憶部1132で一時保持しておく。上記ステップS22で書込みが成功したと判断された場合には、一連の処理を終了して次のログデータの処理に取組む。
なお、記録部1135に書き込んだログデータは、後で順次、ログサーバ31に転送する。ログデータの転送タイミングは定期的(30分毎)または事前に定義されたトリガ(被搭載車のエンジンOFF時等)により決まる。
図5に通信ログデータ、および対応する階層化検証値と紐付情報の一例を示す。図5において、列A〜Cの部分は通信ログのデータ本体となり、識別子、通信データ、時刻から構成される。表の列D〜Gは階層化検証値となり、本実施例では4階層構造で、列Dは第4層でログデータ個々に対応する検証値となり、列Eは第3層でデータの識別子番号で分割したログデータに対応する検証値となり、列Fは第2層でログデータのタイプで分割したログデータに対応する検証値となり、列Gは第1層でログデータ全体に対応する検証値となる。最後に、表の列H〜Jは階層化検証値に対応する紐付情報となり、最下位層(第4層)はログデータと一対一になるため紐付情報が不要となる。
ただし、階層化ルールによってログデータをソートする必要があるため、第1層以外の各階層の検証値の順番が図5で例示するログデータ本体の順番と異なる場合がある。
続いて、クラウド3のログサーバ31及び解析サーバ32の構成について説明する。
図3において、ログサーバ31は、通信部311、記憶部312、記録部313、マッチング部314、改ざん検証部315、暗号処理部316、入力データ生成部317、転送処理部318を備える。
上記通信部311は、車両の電子装置11から転送される車載ログデータ、階層化関連情報等を受信する。上記記憶部312は、通信部311の受信データを一時保持する。上記記録部313は、記憶部312に一時保持された受信データを記録する。また、事前に規定された階層化ルールを保存する。
上記マッチング部314は、事前に規定された階層化ルールに従い、受信データから第1層の紐付情報を得て、それとふさわしい階層化関連情報を記録部313からピックアップする。上記改ざん検証部315は、マッチング部317のマッチングの成立結果からログデータの改ざんの有無を検証する。上記暗号処理部316は、主に改ざん検証値の生成処理を行う。
上記入力データ生成部317は、各階層での改ざん検証結果を一般入力データ(検証成功)または異常入力データ(検証失敗)としてまとめる。上記転送処理部318は、入力データ生成部317で生成された一般/異常入力データを通信部311を通じて解析サーバ32に転送する。
上記解析サーバ32は、通信部321、解析部322、対策生成部323、転送処理部324を備える。
上記通信部321は、ログサーバ311から転送される入力データを受信する。上記解析部322は、受信した入力データを解析して、異常の有無を検出する。上記対策生成部323は、上記解析部322の解析結果で異常が検出された場合に、その対策のための制御情報を生成する。上記転送処理部324は、対策生成部323で生成された対策制御情報を通信部321を通じて車両の電子装置11に送信する。
上記クラウド3の構成において、図6を参照してログサーバ31の改ざん検証処理手順を説明する。
通信部311で車両の電子装置11から転送される車載ログデータ、階層化関連情報等を受信し(ステップS31)、その受信データを記憶部312で一時保持しつつ、順次記録部313に書込み(ステップS32)、改ざん検証を開始する。マッチング部314では、事前に規定された階層化ルールに従い、受信データから第1層の紐付情報を得て、その紐付情報に対応する階層化関連情報を記録部313からピックアップする(ステップS33)。
上記マッチング処理の詳細を、第1層を例として説明する。ここでの階層化ルールは、第1層の紐付情報をログデータ先頭と末尾の時刻情報、およびログデータ個数から構成されると規定する。この場合、ログデータを受信すると、そのログデータの先頭と末尾の時刻情報、およびログデータの個数情報を抽出する。抽出した時刻情報およびデータ個数を用いて、記録部313に保存される階層化関連情報の紐付情報部分と比較する。時刻情報が一致、かつ個数も一致する場合のみ、マッチング成立とし、その階層化関連情報をピックアップする。
上記マッチングの成立を判断する(ステップS34)。失敗(不成立)と判断された場合には、改ざんを受けていない多くのデータを確保するため、マッチング部314で第1層以下の各階層の紐付情報を比較し(ステップS35)、マッチングが成立した部分のみ改ざん検証部315に転送し、改ざん検証を行う(ステップS36)。第1層以下でどのような順序で階層を比較するかは、それぞれの紐付情報に基づいてどのような順序に決定されてよく、例えば、紐付情報のデータ個数に基づいて、個数の小さい順から検証する方法がある。
すなわち、マッチングが失敗(不成立)した場合、それは転送されたログデータの先頭/末尾のデータがすでに書換えられた、またはデータの削除があるということを意味を示している。このため、ステップS35,S36では、できるだけ多くの改ざんされていないデータを確保するために、下位の階層でマッチングが成立する階層があるかどうかを探索し、成立した階層の改ざん検証を行う。ログサーバ31は、入力データ生成部317で、改ざんされていないデータを一般入力データとして、異常状況の情報(異常入力データ)と共にまとめ(ステップS37)、転送処理部318で解析サーバ32に転送する(ステップS38)。
一方、ステップS34でマッチングの成立が得られた場合、第1層の検証値を用いて、受信した車載ログデータ全体の改ざん検証を行い(ステップS39)、改ざんの有無を判断する(ステップS40)。検証が成功した場合は改ざん無しと判断し、入力データ生成部317で受信した車載ログデータを全部、解析サーバ32の一般入力データとしてまとめる。
ステップS40において、検証が失敗して改ざんありと判断した場合、改ざん検証部315において、階層化ルールに従い、次の階層でデータを分類し、分類後、データの個数の少ない部分から、第2階層の検証値および紐付情報で改ざんを検証する。さらに改ざんありの部分に特定し、第3階層の検証値および紐付情報、第4階層の検証値で次々と範囲を絞る(ステップS42)。絞った範囲及び階層化ルールにより、改ざんの原因や改ざん対象の発生時間帯等の異常情報が推測可能となる。この過程において、入力データ生成部517では、各階層での検証結果を一般入力データ(検証成功)または異常入力データ(検証失敗)としてまとめる。最下位層まで全部の検証を行い(ステップS44)、その全部の検証が終わると、ステップS38に移行して入力データを解析サーバ32に転送する。その転送が成功した場合には、一連の処理を終了して次のログを取り込み、成功しなかった場合には、入力データを記憶部312に一時保持して次回にまわす。
以上のように、本実施形態に係る車両管理システムでは、改ざん検証処理において、上位の階層から順に範囲が次第に縮小され、必ずしも全てのデータを検証することがなくなり、全体の処理時間が一定程度短縮可能となる。
すなわち、階層化検証により、車載ログデータを分割した塊の単位で検証し、問題のない塊について個々のデータを検証する必要がなくなる。このため、より早く問題のある箇所に絞り、対象ログデータに対する改ざん検証をより早く終わらせることが可能となり、単位時間内より多くの車両からのログデータを処理することができる。
また、階層化関連情報が先にクラウドのログサーバに転送されることにより、紐付情報でログデータ本体の削除の有無が一目で分かるようになり、さらに階層化検証値によりその削除の範囲を一定程度まで絞ることもできる。
さらに、階層化関連情報を車内のログ記録媒体に保存しないため、一定的な余裕スペースを作ることにより、コストの変わらない同じ容量の記録媒体でもより多くの車載ログデータを確保することができる。
なお、上記ゲートウェイ112とログシステム113を一体化し、階層化関連情報の生成機能等を含む構造とすることもできる。また、上記実施形態の階層化ルールとは異なる階層化ルールで規定することも可能であり、異なる階層数で処理することも可能である。また、階層化ルールを動的に定義することもできる。例えば、車両の状態に応じて動的に事前保持のファイルから階層化ルールを選ぶか、ログサーバから有効範囲が規定される階層化ルールを受信する。ただし、動的な場合は、階層化ルールの識別子相当の情報を、第1層の紐付情報の中に入れる必要がある。第2層、第3層の階層化ルールは、例えば車両の状態、車両の位置、車両の走行状態、通信データの特徴のいずれかに基づいて決定される。
なお、実施形態の車両管理システムに用いられる電子装置、サーバは、例えば、汎用のコンピュータ装置を基本ハードウェアとして用いることでも実現することが可能である。すなわち、各機能ブロックは、上記のコンピュータ装置に搭載されたプロセッサにプログラムを実行させることにより実現することができる。
上記構成による車両管理システムの電子装置またはサーバに適用可能なコンピュータ装置は、図7に示すように、CPU(Central Processing Unit)401などの制御装置と、ROM(Read Only Memory)402やRAM(Random Access Memory)403などの記憶装置と、マイクロホン、操作入力装置、表示装置等が接続される入出力I/F404と、ネットワークに接続して通信を行う通信I/F405と、各部を接続するバス406を備えている。上記のプログラムをコンピュータ装置に予めインストールすることで実現してもよいし、CD−ROMなどの記憶媒体に記憶して、あるいはネットワークを介して上記のプログラムを配布して、このプログラムをコンピュータ装置に適宜インストールすることで実現してもよい。また、各機能ブロックは、上記のコンピュータ装置に内蔵あるいは外付けされたメモリ、ハードディスク若しくはCD−R、CD−RW、DVD−RAM、DVD−Rなどの記憶媒体などを適宜利用して実現することができる。
なお、本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。
1A,1B,…車両、
11…電子装置、
111…ECU(Electronic Control Unit:電子制御装置)群、
112…ゲートウェイ、1121…通信部、1122…記憶部、1123…転送処理部、1124…時刻管理部、
113…ログシステム、1131…通信部、1132…記憶部、1133…階層化関連情報生成部、1134…暗号処理部、1135…記録部、1136…書込み処理部、1137…読出し処理部、1138…転送処理部、
114,115…通信モジュール、
2A,2B,…通信路、
3…クラウド、
31…ログサーバ、311…通信部、312…記憶部、313…記録部、314…マッチング部、315…改ざん検証部、316…暗号処理部、317…入力データ生成部、318…転送処理部、
32…解析サーバ、321…通信部、322…解析部、323…対策生成部、324…転送処理部、
401…CPU、402…ROM、403…RAM、404…入出力I/F、405…通信I/F、406…バス。

Claims (13)

  1. 車両に搭載され、前記車両のログ及びその正当性を検証するためのコードを生成する生成手段と、
    前記車両のログをサーバに送信する送信手段と
    を具備し、
    前記生成手段は、
    前記車両の第1期間の第1ログと、
    前記第1ログの正当性を検証するための第1コードと、
    前記車両の第2期間の第2ログと、
    前記第2ログの正当性を検証するための第2コードと、
    前記車両の第3期間の第3ログと、
    前記第3ログの正当性を検証するための第3コードと、
    前記車両の第4期間の第4ログと、
    前記第4ログの正当性を検証するための第4コードと、
    前記第1ログ及び前記第2ログの正当性を一括して検証するための第5コードと、
    前記第3ログ及び前記第4ログの正当性を一括して検証するための第6コードと、
    前記第1ログ乃至前記第4ログの正当性を一括して検証するための第7コードと、を生成し、
    前記送信手段は、
    前記第1コード乃至前記第7コードを前記サーバへ送信し、前記第1コード乃至第7コードを前記サーバへ送信した後、前記第1ログ乃至第4ログを前記サーバへ送信する、
    電子装置。
  2. 前記生成手段は、
    前記第5コードが、正当性を一括して検証可能なログが前記第1ログ及び前記第2ログであることを識別可能とする第1紐付情報と、
    前記第6コードが、正当性を一括して検証可能なログが前記第3ログ及び前記第4ログであることを識別可能とする第2紐付情報と、
    前記第7コードが、正当性を一括して検証可能なログが前記第1ログ乃至前記第4ログであることを識別可能とする第3紐付情報と、
    を生成し、
    前記送信手段は、前記第1ログ乃至前記第4ログを前記サーバへ送信する前に、前記第1紐付情報、前記第2紐付情報、前記第3紐付情報を、前記サーバに送信する請求項1記載の電子装置。
  3. 前記第5コード、前記第6コード、または、前記第7コードのいずれか1つについて、正当性を一括して検証可能な2つ以上のログは、前記車両の状態に基づいて決定される請求項1または請求項2に記載の電子装置。
  4. 前記第5コード、前記第6コード、または、前記第7コードのいずれか1つについて、正当性を一括して検証可能な2つ以上のログは、前記車両の位置に基づいて決定される請求項1または請求項2に記載の電子装置。
  5. 前記第5コード、前記第6コード、または、前記第7コードのいずれか1つについて、正当性を一括して検証可能な2つ以上のログは、前記車両の走行状態に基づいて決定される請求項1または請求項2に記載の電子装置。
  6. 前記第5コード、前記第6コード、または、前記第7コードのいずれか1つについて、正当性を一括して検証可能な2つ以上のログは、前記車両の通信データの特徴に基づいて決定される請求項1または請求項2に記載の電子装置。
  7. 車両に搭載可能な電子装置により少なくとも一部が実行される方法であって、
    前記車両の第1期間の第1ログと、
    前記第1ログの正当性を検証するための第1コードと、
    前記車両の第2期間の第2ログと、
    前記第2ログの正当性を検証するための第2コードと、
    前記車両の第3期間の第3ログと、
    前記第3ログの正当性を検証するための第3コードと、
    前記車両の第4期間の第4ログと、
    前記第4ログの正当性を検証するための第4コードと、
    前記第1ログ及び前記第2ログの正当性を一括して検証するための第5コードと、
    前記第3ログ及び前記第4ログの正当性を一括して検証するための第6コードと、
    前記第1ログ乃至前記第4ログの正当性を一括して検証するための第7コードと、
    を生成し、
    前記第1コード乃至前記第7コードをサーバへ送信し、
    前記第1コード乃至前記第7コードを前記サーバへ送信した後、前記第1ログ乃至前記第4ログを前記サーバへ送信する、方法。
  8. 車両に搭載可能な電子装置に実行させるためのプログラムであって、
    前記電子装置に、
    前記車両の第1期間の第1ログと、
    前記第1ログの正当性を検証するための第1コードと、
    前記車両の第2期間の第2ログと、
    前記第2ログの正当性を検証するための第2コードと、
    前記車両の第3期間の第3ログと、
    前記第3ログの正当性を検証するための第3コードと、
    前記車両の第4期間の第4ログと、
    前記第4ログの正当性を検証するための第4コードと、
    前記第1ログ及び前記第2ログの正当性を一括して検証するための第5コードと、
    前記第3ログ及び前記第4ログの正当性を一括して検証するための第6コードと、
    前記第1ログ乃至前記第4ログの正当性を一括して検証するための第7コードと、を生成するステップと、
    前記第1コード乃至前記第7コードをサーバへ送信するステップと、
    前記第1コード乃至前記第7コードを前記サーバへ送信した後、前記第1ログ乃至前記第4ログを前記サーバへ送信するするステップと、
    を実行させるプログラム。
  9. 車両の第1期間の第1ログと、前記第1ログの正当性を検証するための第1コードと、前記車両の第2期間の第2ログと、前記第2ログの正当性を検証するための第2コードと、前記車両の第3期間の第3ログと、前記第3ログの正当性を検証するための第3コードと、前記車両の第4期間の第4ログと、前記第4ログの正当性を検証するための第4コードと、前記第1ログ及び前記第2ログの正当性を一括して検証するための第5コードと、前記第3ログ及び前記第4ログの正当性を一括して検証するための第6コードと、前記第1ログ乃至前記第4ログの正当性を一括して検証するための第7コードとのうち、前記車両に搭載された電子装置より前記第1コード乃至前記第7コードを受信し、前記第1コード乃至前記第7コードを受信した後、前記第1ログ乃至前記第4ログを受信する受信手段と、
    前記第7コードを検証して正当性を判定し、正当性有りのとき前記第1ログ乃至前記第4ログを正しいものと取り扱い、正当性無しのとき前記第5コード、前記第6コードの少なくとも一方を用いて前記第1ログ乃至前記第4ログの少なくとも1以上のログの正当性を判定する処理手段と、
    を具備するサーバ。
  10. 前記電子装置で、前記第5コードが、正当性を一括して検証可能なログが前記第1ログ及び前記第2ログであることを識別可能とする第1紐付情報と、前記第6コードが、正当性を一括して検証可能なログが前記第3ログ及び前記第4ログであることを識別可能とする第2紐付情報と、前記第7コードが、正当性を一括して検証可能なログが前記第1ログ乃至前記第4ログであることを識別可能とする第3紐付情報と、を生成し、前記第1ログ乃至前記第4ログを前記サーバへ送信する前に、前記第1紐付情報、前記第2紐付情報、前記第3紐付情報を、前記サーバに送信するとき、
    前記処理手段は、前記第5コード及び前記第6コードの使用順序を前記第1紐付情報、前記第2紐付情報、前記第3紐付情報に基づいて決定する請求項9記載のサーバ。
  11. 前記処理手段は、受信された前記第1コード乃至前記第7コードそれぞれの正当性の判定結果で正当性有りの場合に対応するログの異常の有無を判定する請求項9記載のサーバ。
  12. 車両に搭載可能な電子装置とネットワークを介して接続されるサーバにより少なくとも一部が実行される方法であって、
    前記電子装置が、
    前記車両の第1期間の第1ログと、
    前記第1ログの正当性を検証するための第1コードと、
    前記車両の第2期間の第2ログと、
    前記第2ログの正当性を検証するための第2コードと、
    前記車両の第3期間の第3ログと、
    前記第3ログの正当性を検証するための第3コードと、
    前記車両の第4期間の第4ログと、
    前記第4ログの正当性を検証するための第4コードと、
    前記第1ログ及び前記第2ログの正当性を一括して検証するための第5コードと、
    前記第3ログ及び前記第4ログの正当性を一括して検証するための第6コードと、
    前記第1ログ乃至前記第4ログの正当性を一括して検証するための第7コードと、を生成し、
    前記第1コード乃至前記第7コードを送信し、
    前記第1コード乃至前記第7コードを送信した後、前記第1ログ乃至前記第4ログを送信するとき、
    前記第1コード乃至前記第7コードを受信し、
    前記第1コード乃至前記第7コードを受信した後、前記第1ログ乃至前記第4ログを受信し、
    前記第7コードを検証して正当性を判定し、正当性有りのとき前記第1ログ乃至前記第4ログを正しいものと取り扱い、正当性無しのとき前記第5コード、前記第6コードの少なくとも一方を用いて前記第1ログ乃至前記第4ログの少なくとも1以上のログの正当性を判定する、
    方法。
  13. 車両に搭載される電子装置とネットワークを介して接続されるサーバに実行させるためのプログラムであって、
    前記電子装置が、
    前記車両の第1期間の第1ログと、
    前記第1ログの正当性を検証するための第1コードと、
    前記車両の第2期間の第2ログと、
    前記第2ログの正当性を検証するための第2コードと、
    前記車両の第3期間の第3ログと、
    前記第3ログの正当性を検証するための第3コードと、
    前記車両の第4期間の第4ログと、
    前記第4ログの正当性を検証するための第4コードと、
    前記第1ログ及び前記第2ログの正当性を一括して検証するための第5コードと、
    前記第3ログ及び前記第4ログの正当性を一括して検証するための第6コードと、
    前記第1ログ乃至前記第4ログの正当性を一括して検証するための第7コードとを生成し、
    前記第1コード乃至前記第7コードを送信し、前記第1コード乃至前記第7コードを送信した後、前記第1ログ乃至前記第4ログを送信するとき、
    前記第1コード乃至前記第7コードを受信するステップと、
    前記第1コード乃至前記第7コードを受信した後、前記第1ログ乃至前記第4ログを受信するステップと、
    前記第7コードを検証して正当性を判定し、正当性有りのとき前記第1ログ乃至前記第4ログを正しいものと取り扱い、正当性無しのとき前記第5コード、前記第6コードの少なくとも一方を用いて前記第1ログ乃至前記第4ログの少なくとも1以上のログの正当性を判定するステップと、
    を実行させるプログラム。
JP2018004508A 2018-01-15 2018-01-15 電子装置、方法、プログラム及びサーバ、方法、プログラム Active JP6794383B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2018004508A JP6794383B2 (ja) 2018-01-15 2018-01-15 電子装置、方法、プログラム及びサーバ、方法、プログラム
US15/958,955 US11170583B2 (en) 2018-01-15 2018-04-20 Electronic apparatus, method and server and method for verifying validity of log data of vehicle

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018004508A JP6794383B2 (ja) 2018-01-15 2018-01-15 電子装置、方法、プログラム及びサーバ、方法、プログラム

Publications (2)

Publication Number Publication Date
JP2019125892A JP2019125892A (ja) 2019-07-25
JP6794383B2 true JP6794383B2 (ja) 2020-12-02

Family

ID=67214073

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018004508A Active JP6794383B2 (ja) 2018-01-15 2018-01-15 電子装置、方法、プログラム及びサーバ、方法、プログラム

Country Status (2)

Country Link
US (1) US11170583B2 (ja)
JP (1) JP6794383B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11816936B2 (en) * 2018-12-03 2023-11-14 Bendix Commercial Vehicle Systems, Llc System and method for detecting driver tampering of vehicle information systems
CN110572383B (zh) * 2019-09-03 2021-12-07 湖南工学院 一种大数据监测方法

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999040702A1 (en) * 1998-02-04 1999-08-12 Sun Microsystems, Inc. Method and apparatus for efficient authentication and integrity checking using hierarchical hashing
US8327131B1 (en) 2004-11-29 2012-12-04 Harris Corporation Method and system to issue trust score certificates for networked devices using a trust scoring service
US8266676B2 (en) 2004-11-29 2012-09-11 Harris Corporation Method to verify the integrity of components on a trusted platform using integrity database services
US9450966B2 (en) 2004-11-29 2016-09-20 Kip Sign P1 Lp Method and apparatus for lifecycle integrity verification of virtual machines
US7284221B2 (en) 2004-11-29 2007-10-16 Fci Americas Technology, Inc. High-frequency, high-signal-density, surface-mount technology footprint definitions
US7272719B2 (en) 2004-11-29 2007-09-18 Signacert, Inc. Method to control access between network endpoints based on trust scores calculated from information system component analysis
US7733804B2 (en) 2004-11-29 2010-06-08 Signacert, Inc. Method and apparatus to establish routes based on the trust scores of routers within an IP routing domain
US8004404B2 (en) 2005-08-26 2011-08-23 Mitsubishi Electric Corporation Information storage device, information storage program, verification device and information storage method
JP2009518762A (ja) 2005-12-09 2009-05-07 シグナサート, インコーポレイテッド インテグリティデータベースサービスを用いた、トラステッドプラットフォーム上のコンポーンテントのインテグリティの検証方法
US20110179477A1 (en) 2005-12-09 2011-07-21 Harris Corporation System including property-based weighted trust score application tokens for access control and related methods
JP5019382B2 (ja) 2007-10-30 2012-09-05 マーキュリー・システムズ株式会社 移動体状況検証情報制御システム
JP5200231B2 (ja) 2008-09-17 2013-06-05 セイコーインスツル株式会社 画像記憶装置
JP5137783B2 (ja) 2008-10-31 2013-02-06 三菱電機株式会社 ハッシュ生成装置及び検証装置及びハッシュ生成プログラム及びハッシュ生成方法
US9288048B2 (en) * 2013-09-24 2016-03-15 The Regents Of The University Of Michigan Real-time frame authentication using ID anonymization in automotive networks
JP6079768B2 (ja) * 2014-12-15 2017-02-15 トヨタ自動車株式会社 車載通信システム
US10303887B2 (en) * 2015-09-14 2019-05-28 T0.Com, Inc. Data verification methods and systems using a hash tree, such as a time-centric merkle hash tree
US9794025B2 (en) * 2015-12-22 2017-10-17 Qualcomm Incorporated Systems and methods for communication and verification of data blocks
US10181228B2 (en) * 2016-02-08 2019-01-15 Allstate Insurance Company Telematics authentication
JP2017167916A (ja) * 2016-03-17 2017-09-21 株式会社デンソー 情報処理システム
JP6731887B2 (ja) * 2017-06-27 2020-07-29 Kddi株式会社 保守システム及び保守方法
CN115361213A (zh) * 2017-12-01 2022-11-18 松下电器(美国)知识产权公司 不正当检测服务器及其所执行的方法
US10805086B2 (en) * 2017-12-20 2020-10-13 Intel Corporation Methods and arrangements for vehicle-to-vehicle communications

Also Published As

Publication number Publication date
US20190221051A1 (en) 2019-07-18
JP2019125892A (ja) 2019-07-25
US11170583B2 (en) 2021-11-09

Similar Documents

Publication Publication Date Title
US11748474B2 (en) Security system and methods for identification of in-vehicle attack originator
US20230418589A1 (en) Transport component acceptance
JP5641244B2 (ja) 車両用ネットワークシステム及び車両用情報処理方法
US20220394053A1 (en) Systems and methods for assessing risk in networked vehicle components
CN106458112A (zh) 更新管理方法、更新管理装置以及控制程序
CN110324219A (zh) 阻断对运输工具的计算机攻击的系统和方法
JP6794383B2 (ja) 電子装置、方法、プログラム及びサーバ、方法、プログラム
JP7063853B2 (ja) ソフトウェア更新装置、サーバ装置、ソフトウェア更新方法、およびプログラム
US20220398149A1 (en) Minimizing transport fuzzing reactions
Falco et al. A DistributedBlack Box'Audit Trail Design Specification for Connected and Automated Vehicle Data and Software Assurance
EP4113896A1 (en) Method and apparatus for updating certificate list
Dobaj et al. Cybersecurity Threat Analysis, Risk Assessment and Design Patterns for Automotive Networked Embedded Systems: A Case Study.
US20220107929A1 (en) System and Method Implementing a Distributed Audit Trail
Falco et al. Assuring automotive data and software integrity employing distributed hash tables and blockchain
US11651632B2 (en) Diagnosis of transport-related issues
US20240103843A1 (en) Robust over the air reprogramming
JP7063854B2 (ja) ソフトウェア更新装置、サーバ装置、ソフトウェア更新方法、およびプログラム
US20220335123A1 (en) Transport component tamper detection
US20220216991A1 (en) Transport keys based on actions and time
KR20220071783A (ko) 클라우드 기반 차량 데이터 보안 관리 장치 및 방법
CN111079124A (zh) 安全芯片激活方法、装置、终端设备及服务器
US20240073037A1 (en) Internal certificate authority for electronic control unit
US20230048368A1 (en) Transport onboard security check
US11787434B2 (en) Modification of transport functionality based on modified components
KR20240025970A (ko) Rxswin 정보를 포함하는 차량 제어 장치 및 그를 포함한 차량 제어 시스템

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190815

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200728

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201013

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201111

R151 Written notification of patent or utility model registration

Ref document number: 6794383

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151