JP7196882B2 - 乗り物コンピュータシステム - Google Patents

乗り物コンピュータシステム Download PDF

Info

Publication number
JP7196882B2
JP7196882B2 JP2020115040A JP2020115040A JP7196882B2 JP 7196882 B2 JP7196882 B2 JP 7196882B2 JP 2020115040 A JP2020115040 A JP 2020115040A JP 2020115040 A JP2020115040 A JP 2020115040A JP 7196882 B2 JP7196882 B2 JP 7196882B2
Authority
JP
Japan
Prior art keywords
vehicle
controller
computer system
controllers
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020115040A
Other languages
English (en)
Other versions
JP2021018811A (ja
Inventor
ステファーン フィリペック
レマー タケウチ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Publication of JP2021018811A publication Critical patent/JP2021018811A/ja
Application granted granted Critical
Publication of JP7196882B2 publication Critical patent/JP7196882B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Description

この開示は、乗り物に搭載されたコンピュータシステムにおけるサイバーセキュリティ(cybersecurity)に関する。
車両には、サイバー攻撃から車両に搭載されたコンピュータシステムを保護するためのサイバーセキュリティシステムが装備されている場合がある。車両は、異なる生活環境や状況において、運転される場合がある。例えば、車両は、ひとつの生活環境では就労地点へ向かうために運転され、別の生活環境では自宅の位置へ向けて運転される場合がある。
ここに開示される発明は、乗り物の環境に関する入力を受信するように構成されたひとつ以上のセンサ、および、乗り物のひとつまたは複数のセンサと通信するコントローラを備え、コントローラは、乗り物のためのひとつ以上の乗り物コントローラに対するサイバー攻撃を識別する識別部と、少なくとも乗り物の環境に基づいてサイバー攻撃に対処する対処部とを備え、対処部は、乗り物コントローラが運転機能を制御していない場合、乗り物の移動速度を遅くすることを含む乗り物の運転機能を低下させた劣化運転を提供する劣化運転手段と、乗り物コントローラが運転機能の制御を受け持っている場合、乗り物コントローラに対するコマンドを停止するか、または、乗り物を停止させて乗り物の移動を阻止する移動阻止手段とを備え、サイバー攻撃の間に、乗り物がしきい値速度を超えていることを示す乗り物の環境に関する入力に応答して、ひとつまたは複数の乗り物コントローラに命令を送信することにより、劣化運転手段による劣化運転、または、移動阻止手段による移動阻止を提供する乗り物コンピュータシステムである。
ひとつの実施形態において、車両に関する車両コンピュータシステムは、車両がおかれている車両環境に関する入力を受け取るように構成されたひとつ以上のセンサと、このセンサと通信するコントローラとを含む。コントローラは、車両内の1つまたは複数のコントローラへのサイバー攻撃を認識するように構成されている。さらに、コントローラは、サイバー攻撃に応答するように構成されている。この応答は、少なくとも車両環境に基づいたものである。
別の実施形態によれば、車両コンピュータシステムは、車両環境に関する入力を受け取るように構成されたひとつまたは複数のセンサを含む。車両コンピュータシステムは、車両のひとつ、または、複数のセンサと通信するコントローラを含む場合がある。コントローラは、車両環境に関する入力に対する応答を作動させるためのパラメータを含む車両セキュリティプロトコルを特定し、車両セキュリティプロトコルをアクティブ化する(作動させる)ように構成されている。
さらに他のひとつの実施形態において、車両コンピュータシステムは、車両環境に関する入力を受け取るように構成されたひとつ以上のセンサと、このセンサと通信するセキュリティコントローラとを含む。コントローラは、車両内のひとつ以上の車両コントローラに対するサイバー攻撃を識別し、少なくとも車両環境に基づいてサイバー攻撃に応答し、車両環境に関する入力に応答して、外部デバイスと通信するように構成された車両コントローラをアクティブ化し、または、非アクティブ化する(作動停止させる)ためのパラメータを含む、車両セキュリティプロトコルを決定し、車両セキュリティプロトコルをアクティブ化するように構成されている。
図1Aは、この実施形態にかかるシステム100の概要を示すブロック図である。 図1Bは、他の車両およびホームネットワークと通信する代替的な実施形態のシステム150の概要を示すブロック図である。 図2は、図1Aに示す車両のサイバーセキュリティに関するシステムの別の実施形態の概要を示すブロック図である。 図3は、サイバー攻撃に応答する車両のサイバーセキュリティに関するシステムの作動例を示すフローチャートである。 図4は、適応的にセキュリティ機能を更新する実施形態を示すフローチャートである。
この開示の実施形態が以下において説明されている。しかしながら、開示された実施形態は単なる例であり、他の実施形態は様々な代替形態を取ることができることを理解されたい。図は必ずしも縮尺どおりではなく、一部の機能は、特定のコンポーネントの詳細を示すために誇張または縮小されている場合がある。したがって、この明細書に開示される特定の構造的および機能的詳細は、限定的に解釈されるべきではなく、単に、当業者に対して、実施形態を様々に使用できることを教示するための代表的な基礎として解釈されるべきである。当業者が理解するように、図のいずれかを参照して図示および説明される様々な特徴は、1つまたは複数の他の図に示される特徴と組み合わせて、明示的に図示または説明されない実施形態を生成することができる。図示された特徴の組み合わせは、典型的な用途のための代表的な実施形態を提供する。しかしながら、この開示の教示と一致する特徴の様々な組み合わせおよび修正は、特定の用途または実装のために望まれる可能性がある。
セキュリティシステムは、車両のセキュリティ態勢を適応させることにより、リソースの利用と、セキュリティとの対立関係を最適化する実施形態を含む場合がある。セキュリティ態勢を更新するために、さまざまな車両の入力を利用することができる。例えば、バッテリにおける蓄電量のレベル、中央処理装置(CPU)のリソース、および、メモリリソース(他の入力の中において、)を利用することができる。したがって、セキュリティは、車両の過去、現在、および/または、将来の状態に基づいて、コア車両サービス(core vehicle services)、および/または、セキュリティサービス(security services)の状態を制御することができる。車両への脅威は、その状態、場所などに基づいて変化する可能性がある。車両サービスの優先度は、ユーザの要求に基づいて変化する可能性がある。ユーザの要求は、ラジオ、ナビゲーション、ストリーミングビデオ、電話などの使用を含む。したがって、車両セキュリティレベルは、車両の過去の状態、車両の現在の状態、または車両の将来の状態に基づいて変化する可能性がある。したがって、セキュリティの1つのレイヤを提供することができるシステムが開示されている。
一実施形態によれば、サイバー攻撃の場合に、セキュリティの第2のレイヤを追加することができる。車両が車載HIDS(ホストベースの侵入検知システム:Host-based Intrusion Detection System)、または、NIDS(ネットワークベースの侵入検知システム:Network-based Intrusion Detection System)によってサイバー攻撃を検出した場合、車両は検出された事態に対応するための応答的な処理を実行する必要がある場合がある。例えば、車両は、サイバー攻撃を実行しているプロセスを攻撃する対策処理、攻撃されたCPUを再起動する対策処理、または、サイバー攻撃中に他のアクションを実行する対策処理を実行する。これら対策処理は、併用されてもよい。適切な応答的処理は、サイバー攻撃が検出された時点の車両の状況と、検出された攻撃のタイプとに依存するため、応答的処理を決定するとき、車両は両方の視点を一緒に考慮する必要がある。
この明細書において、”車両”の語は、広義に解釈されるべきである。車両の語は、地上移動物、船舶、航空機、アミューズメント機器、シミュレーション機器、少人数のための個室を備えた機器などを含む。以下の説明において、車両は、乗り物とも呼ばれる場合がある。”自宅”の語は、広義に解釈されるべきである。自宅の語は、車両所有者の自宅、または、車両の定置場所などを含む。自宅は、HOMEとも表記される場合がある。
サイバー攻撃に対する応答的処理は、サイバー攻撃に応答してアクティブ化される処理を含む。この応答は、サイバー攻撃の再発を予防すること、サイバー攻撃を遮断すること、サイバー攻撃を無効化すること、サイバー攻撃の被害を修復すること、サイバー攻撃に対して反撃すること、サイバー攻撃の根源に対する追跡を可能とするトレース情報を収集し、残すことなど多様な対策処理を含むことができる。サイバー攻撃に対する応答は、サイバー攻撃による被害を最小化する対策処理とも呼ばれる場合がある。対策処理を提供する機能ブロックは、対処部とも呼ばれる。なお、Wi-Fi、Bluetooth、ZigBeeは、登録商標である場合がある。これらの通信を提供するコントローラは、近接通信コントローラとも呼ばれる。
図1Aは、この実施形態の車両サイバーセキュリティシステム100の概要を示す。システムは、乗用車、商用車、オートバイなどの任意のタイプの車両に適用することができる。車両システム100は、サイバーセキュリティ態勢コントローラ101、または、任意の他のタイプのコントローラを含み得る。サイバーセキュリティ態勢コントローラ101は、コントローラ、または、サイバーセキュリティコントローラとも呼ばれる。サイバーセキュリティ態勢コントローラ101は、セキュリティ関連サービスの属性を変更して、所望のセキュリティ態勢のニーズを満たすことができる。例えば、車両の特定の側面が攻撃されたとき、サイバーセキュリティ態勢コントローラ101は、(1)セキュリティサービスをすべて一緒に有効化、または、無効化し、(2)セキュリティサービスに優先順位を付け、(3)セキュリティルールセットを変更し、(4)車両の攻撃を受けたインターフェースを有効化、または、無効化することができる。セキュリティルールセットは、例えば、フィルタルール、コールグラフなどを含む。攻撃を受けた面は、Bluetooth、Wi-Fi、および/または、セルラーである場合がある。コントローラ101は、中央集中的にひとつの制御装置によって構成されてもよく、分散的に複数の制御装置によって構成されてもよい。サイバーセキュリティ態勢コントローラ101は、サイバー攻撃を識別する識別部と、サイバー攻撃に対処する対処部とを提供する。対処部の一部は、セキュリティ関連サービス107によって提供されてもよい。
システム100は、セキュリティ状態を更新するために利用される様々な車両の入力103、または、電子制御ユニット(ECU)状態の入力103を利用することができる。一例では、システム100は、キーの状態、またはキーフォブ(非接触キーシステムの携帯機)の状態、または、イグニッションスイッチの状態を識別することができる。システム100は、例えば、(1)イグニッションスイッチがオンであるか、オフであるか、(2)バッテリがオンであるか、オフであるか、(3)適応巡航制御(ACC)がオンであるか、オフであるかを決定することができる。別の入力は、ECUリソースの使用率である。他の入力には、(1)車両の地理的位置(例えば、全地球測位システム(GPS)の位置)、(2)車両速度、(3)車両加速度、(4)無線信号環境(SSID、Bluetooth、近接無線通信など)、(5)他の車両の近接度(例えば、さまざまなカメラ、レーダーセンサ(RADAR)、ライダーセンサ(LIDAR)などから収集されたレーダーデータ、または、近接データ)、(6)ユーザが選択した車両モード、(7)乗員数(例えば、シートベルトデータ、または、重量センサデータに基づく乗員データ)、(8)特定の運転者(携帯電話機との接続、キーフォブなどに基づく乗員データ識別子)、(9)同期されたスケジュールデータ(例えば、予定、会議、予定された活動などを識別する)、(10)データの時刻、(11)自動運転モード(例えば、完全自動運転、半自律運転(ステアリングと速度との制御、または、所定のブレーキング状況における制御など)を含む場合がある。例えば、GPS位置は、就労地点、自宅の位置、慣れた位置(例えば、家族または友人の家)などに関連付けられる場合がある。セキュリティプロトコルは、車両の位置に基づいて調整される。
サイバーセキュリティ態勢コントローラ101は、適用されるポリシーロジック105またはルール105と通信することもできる。ポリシーロジック105は、以下で説明される使用事例、または図4で説明されるフローチャートに関してより詳細に論じられる。ポリシーロジック105は、車両システム100が車両コンテキストに基づいてセキュリティ基準を強化または軽減するために組み込むことができるセキュリティ対策の一部を記述している。例えば、車両が慣れていない外国の領域または地域にある場合、より多くのセキュリティプロトコルが実装されてもよい。別の例では、車両が自宅の位置、または、認可された販売店の近くの位置にある場合、車両はセキュリティ基準を下げる場合がある。
セキュリティ関連のサービス107は、また、サイバーセキュリティ態勢コントローラ101(または他の任意のタイプのコントローラまたはプロセッサ)によって制御されてもよい。例えば、どのようにして車両のセキュリティシステム100がサイバー攻撃を検出し、サイバー攻撃を防止し、サイバー攻撃および被害を緩和し、または、サイバー攻撃に対して応答的に処理するように構成される場合があるかを識別するように、セキュリティシステム100は、入力103、および、ポリシーロジック105、または、ルール105を利用することができる。セキュリティ関連サービス107は、様々な車両コントローラが、設定が、他のアプリケーションが、および、機能が、どのようにオンまたはオフにされるかに関連する場合がある。例えば、特定のセキュリティ関連サービス107は、外部デバイス、または、車載モバイルデバイスとの無線通信をオフにすることができる。さらに、これらのさまざまなコントローラ、設定、および、の他のアプリケーションに対してポリシーがどのように調整されるかについて説明される。
図1Bは、他の車両およびホームネットワークと通信する代替的な実施形態のシステム150の概要を示す。車両151は、サイバーセキュリティ態勢コントローラ101を含むシステム100を備えることができる。車両151は、搭載モデム、または、他の任意のタイプのセルラー通信モジュールを介してクラウド153と呼ばれるサーバと通信することができる。クラウド153は、車両151に通信されるべき、様々な車外サービス、および、データを許容する。例えば、サイバーセキュリティ態勢コントローラ101がセキュリティプロトコルにおいて分析、または、利用するために、クラウド153は、気象情報、交通情報、または、他の任意のタイプの情報を伝達することができる。
さらに、車両151は、自宅のホームネットワーク155、または、他のタイプの建物に設置された装置と通信していてもよい。他のタイプの建物には、例えば、オフィス、商業ビル、住宅ビルなどが含まれる。車両151は、自宅のホームネットワーク155と通信して、自宅のホームネットワーク155との間でデータを送受信することができる。例えば、車両151は、自宅のホームネットワーク155としてのWi-Fiネットワークに接続することができる。さらに、車両151は、自宅のホームネットワーク155に配置されたひとつ、または、複数のスマートデバイスと関連することができる。この関連には、データの送受信、および/または、機能の制御が含まれる。スマートデバイスは、例えば、自宅の空調のためのサーモスタット、カメラ、電化製品、電気プラグ、および、コンセント、ならびに他のスマートホームアプリケーションなどが含まれる。
最後に、車両151は、モバイルデバイス157と通信する場合がある。モバイルデバイス157は、携帯電話、タブレット、スマートウォッチ、ラップトップ、または他のデバイスであり得る。車両システム150は、Bluetooth通信、または、無線接続を介してモバイルデバイス157と通信することができる。車両151は、モバイルシステム157を利用して、リモートシステムにも接続することができる。
車両151は、他の車両を識別するか、または、物体を検出するためにひとつまたは複数のセンサ152を備えることができる。例えば、車両151は、レーダー(RADAR)、ライダー(LIDAR)、カメラ、または、物体の検出を可能にする他のセンサを備えることができる。車両151は、静止している物体だけでなく、移動している物体を検出するためにセンサを利用してもよい。車両151は、他の車両154とのV2V通信を可能にするために、センサ152、または、車両トランシーバを備える場合がある。
図2は、図1Aに示す車両のサイバーセキュリティに関するシステム200の別の実施形態の概要を示す。車両は、サイバー攻撃よる被害の防止、および、サイバー攻撃への応答を含むサイバーセキュリティに焦点を合わせたセキュリティECU201を備える。セキュリティECU201は、サイバーセキュリティECU、または、サイバーセキュリティコントローラとも呼ばれる。セキュリティECU201は、図1Aに関して説明したサイバーセキュリティ態勢コントローラ101と同じまたは同様の機能を提供することができる。したがって、ハイレベルでは、セキュリティECU201は、サイバー攻撃を防止し、サイバー攻撃に応答するためにデータ、および、他の入力を分析するソフトウェアを有することができる。セキュリティECU201は、DSAECU203(Driving Situation Analysis ECU)と通信することができる。DSAECU203は、運転状況分析コントローラとも呼ばれる。DSAコントローラ203は、車両の運転状況を分析する。DSAECU203は、DSAECU203にデータを提供する様々な車両センサ、および、入力と通信することができる。車両センサ、および、入力は、例えば、GPSセンサ、クラウドベースのサーバ、車両速度入力によって提供される。通信は、通信ネットワーク204、または、無線通信を介して提供される。通信ネットワーク204は、例えば、コントローラエリアネットワーク(CAN)バスによって提供される。DSAECU203は、他のECU、または、センサからの生データではなく、抽象化された運転環境情報を提供することができる。DSAECU203は、記号化技術を使用することによって実装され得る。DSAECU203は、近くの特徴における車両環境を予測することができ、その情報は、応答的処理を決定するために利用することができる。DSAECU203に提供されるデータは、車両の特定の運転状態を識別するために利用され得る。例えば、DSAECU203は、車両速度、車両が通っている道路の機能クラス、または、他の車両状態を分析することができる。
セキュリティECU201、および、DSAECU203は、複数の保護対象ECUと通信することができる。保護対象ECUは、例えば、符号207で示される保護対象ECU1と、符号208で示される保護対象ECU2と、符号209で示される保護対象ECU3とを含む。保護対象ECU207、208、209は、基本機能を提供する機能的なブロックと、サイバー攻撃による侵入を検知する侵入検知機能を提供する機能的なブロックとを備える。侵入検知機能は、例えば、ホストベースの侵入検知システム(HIDS)、制御フローの整合性(CFI)、または、データフローの整合性(DFI)などで提供することができる。例えば、任意の保護対象ECU207、208、209のHIDSが攻撃を検出すると、当該ECUはそれをセキュリティコントローラ201に詳細情報とともに報告することができる。例えば、保護対象ECU207は、メモリマップ情報、レジスタ情報、トレース情報(サイバー攻撃の発信元を追跡するために貢献する情報)、実行されたコードライン情報、攻撃されたインターフェース情報、および/または、攻撃されたプロトコル情報、および、その他の状態情報などに関する情報をサイバーセキュリティコントローラ201に提供する場合がある。攻撃されたインターフェース情報、および/または、攻撃されたプロトコル情報は、例えば、Bluetooth、Wi-Fi、または、USBなどである。したがって、セキュリティECU201は、サイバー攻撃に関する詳細な情報を提供されることにより、サイバー攻撃に適切に応答する方法を識別することができる。セキュリティECU201は、サイバー攻撃を識別する識別部と、サイバー攻撃に対処する対処部とを提供する。対処部の一部は、セキュリティ応答データベース205によって提供されてもよい。セキュリティECU201は、セキュリティプロトコルを実行する実行部を提供する。
セキュリティ応答データベース205は、サイバー攻撃中にシステムがどのように応答できるかについての様々なオプションを含むデータベースである。データベースは、サイバー攻撃の場合に、アクティブ化するべきセキュリティプロトコルのさまざまなシナリオの概要を示している。図3に関してさらに説明されるように、システムセキュリティ応答データベース205は、サイバー攻撃のタイプ、および、車両のシナリオに基づいて特定の応答を規定する。
図3は、サイバー攻撃に応答する車両のサイバーセキュリティに関するシステムの作動例としてのフローチャートを示す。したがって、フローチャートは、現在サイバー攻撃を受けている車両の実施形態である場合がある。フローチャートは、サイバーセキュリティコントローラにおけるアルゴリズムの例である場合がある。決定ステップ301において、システムは、現在の運転状況が再起動しても安全な状況にあるかどうかを分析する。例えば、コントローラは、車両に搭載された車両センサと通信する様々な車両コントローラと通信することができる。車両センサはデータを収集して、車両がおかれた環境における、さまざまな車両状態、または、条件を判断する。例えば、車両センサは、GPS位置、または、速度信号データを利用して、車両が高速道路を高速で走行していることを決定することができる。システムは、サイバー攻撃のシナリオにおいて、車両システムを再起動するために車両が安全な運転環境にあるかどうかを判断するためのさまざまな使用事例シナリオまたはしきい値を持つことができる。再起動は、特定の状況において、サイバー攻撃が攻撃を停止したり、攻撃の被害を軽減したりできる場合がある。例えば、車両が高速道路、または、高速走行を許容する道路にあることをシステムが識別した場合、システムは、車両が渋滞のために停止している状況、または、交差点(例えば、赤信号)で停止している状況を認識する。車両が高速道路、または、高速走行を許容する道路にあることは、例えば、車両の速度が時速50マイル(MPH)のしきい値速度を超えた場合に識別される。また、予想される再起動時間が(データベースに格納されている場合がある)十分に短い場合、システムはプロセッサまたはECUを再起動する場合がある。再起動時間が十分に短いかどうかを判断するために、機能の運転状況を予測するための予想再走行時間(例えば、信号が青になるタイミング)をDSAが提供したり、信号機や他の地上施設との通信などの他の要因を提供したりすることが考えられる。
サイバー攻撃のひとつのシナリオでは、システムの再起動が安全でないと、システムが判断した場合がある。そのようなシナリオでは、システムは、ステップ303において、攻撃されている車両コントローラが自動車のひとつまたは複数の運転機能を制御しているかどうかを決定する場合がある。運転機能には、車両のステアリング操作機能、アクセル操作機能、ブレーキ操作機能などが含まれる。例えば、システムは、サイバー攻撃者が自律運転車両、および、手動操作車両の車両制御を乗っ取る可能性があるかどうかを決定する場合がある。車両コントローラ(例えば、車両に搭載されたECU)が運転機能を制御していない場合、システムは、ステップ313において車両の運転機能を低下させた劣化運転を提供することができる。例えば、車両の自律運転システムは車両の運転を制御し続ける場合があるが、システムは、攻撃されたコントローラ(ECU)をオフにするか、攻撃されたコントローラ(ECU)上のすべてのソフトウェアの動作を停止する場合がある。別の例では、そのようにすることが安全であると判断された場合、システムは車両速度を低下させることにより車両の操作性を低下させることがある。車両システムは、そのようなシナリオでとるべき適切な行動を決定するためにセキュリティ応答データベース205を調べる。しかし、別のシナリオでは、攻撃を受けている車両コントローラが車両の運転機能(例えば、ステアリング、アクセル、ブレーキなど)の制御を受け持っている場合、システムは、ステップ311に示すように、そのコントローラに対するコマンドを停止するか、または、車両を停止させて車両の移動を阻止することができる。コマンドを停止することは、コントローラを停止させるか、コントローラの運転機能を失敗させる。
サイバー攻撃の別のシナリオでは、車両のシステム再起動を実行してもよいとシステムが判断した場合である。この判定は、例えば、ステップ301で実行されている。このようなシナリオでは、システムは車両環境を分析し、システムの遮断、および/または、システムの再スタートを含む再起動が、現在の車両環境において適切か否かを判定する。車両環境の分析は、例えば、車両環境に関する入力がしきい値を下回っている場合に再起動が適切であると判断される。再起動を許容する可能性のあるこのようなシナリオには、(1)車両が駐車されている場合、(2)車両のシフト装置がニュートラル位置にある場合、(3)車両が非常に低速で運転されている場合、または、(4)車両の近くに他の車両、歩行者、または物体を識別していない場合が含まれている。近くの物体は、例えば、レーダー(RADAR)、ライダー(LIDAR)、カメラなどのセンサによって識別される。このシナリオにおいて、車両を再起動することが適切であると決定された場合、ステップ305において、システムは、車両の攻撃されたインターフェース(IF)を遮断できるか否かを判定する。例えば、システムは、車両環境が、攻撃されたインターフェースを遮断することを許容するかどうか、または、攻撃されたインターフェースが遮断できる重要ではないプロセッサかどうかを判断する。攻撃されたインターフェースを遮断できると判定された場合、ステップ307において、システムは、識別された攻撃されたインターフェースを遮断するために、攻撃されたECUのみを再起動する場合がある。例えば、攻撃されたECUにWi-FiやBluetoothコントローラなどの外部インターフェースがあり、それらのインターフェースが運転機能を維持するために必要でない場合、システムはインターフェースが無効になっている可能性があることを識別する可能性がある。攻撃されたインターフェースを遮断できないと判断された場合、ステップ309において、システムは、すべての車両ECUを再起動する。例えば、攻撃されたECUに車両内のCANバスやイーサネットなどの内部通信インターフェースがあり、攻撃されたECUが車両の動作を制御している場合、システムはインターフェースを遮断できないと識別する。
図4は、適応的にセキュリティ機能を更新する実施形態のフローチャートを示す。図4に示すシステムは、図3に示すシナリオとは異なり、サイバー攻撃を受けていない場合がある。したがって、ここでのセキュリティ応答は、利便性のセキュリティと機能のセキュリティとのバランスを取るための予防的な試みである。ステップ401において、システムは、車両、および/または、環境状態の入力を集めることができる。サイバーセキュリティ態勢コントローラ101は、通信ネットワーク204を介して、様々な車両センサ、または、他の車両入力と通信することができる。車両センサは、例えば、センサ103である。他の車両入力は、例えば、クラウドベースのデータプロバイダの外部入力である。通信ネットワーク204は、例えば、CANバスである。
ステップ403において、システムは、最適なセキュリティ態勢を計算することができる。システムは、さまざまなセンサによって識別された車両の状態を利用して、車両のセキュリティ態勢が車両の状態にどのように適応すべきかを識別する。例えば、車両センサが、車両が自宅の位置、または、就労地点の近くにあることを識別した場合、特定の車両セキュリティプロトコルが実行される場合がある。別のシナリオでは、例えば、車両がハッカー集団の関心対象であるときに、より厳密なセキュリティプロトコルが実行される。システムは、エッジベース(入力が実際に変更されたときのみ)、または、ポーリングベースで車両のセキュリティ態勢を移行させる。望ましいセキュリティ態勢は、車両の状態の入力に基づいて直接的に計算でき、または、認識されたセキュリティリスク、必要な車両のパフォーマンス、必要なリソースの使用状況、または、ユーザの希望するモードなどの派生的な値に基づいて直接的に計算できる。例えば、さまざまなセキュリティリスクにポイントを割り当て、リスクを決定するために計算することができ、例えば、ユーザのデバイスとのワイヤレス接続には比較的低いポイントを割り当て、外部の不明な接続へのワイヤレス接続には高いポイントを割り当てることができる。このようなアルゴリズムの実装は、ハードコードされたロジック、ルックアップテーブル、データベース、機械学習、または他の人工知能アルゴリズムを含むが、これらに限定されない、任意の数の方法を介して実行することができる。そのようなアルゴリズムは、将来の望ましいセキュリティ態勢を計算するように予測することもできる。
ステップ405において、システムは、セキュリティ状態の更新が必要かどうかを決定することができる。システムは、ステップ403によって決定された望ましいセキュリティ態勢を現在の状態に対して分析し、セキュリティ態勢/セキュリティプロトコルを更新する必要があるかどうかを決定する。システム構成に応じて、セキュリティ更新の頻度は、固定、または、可変の場合がある。
ステップ407において、セキュリティ態勢/セキュリティプロトコルが更新された場合、システムは影響を受ける被影響セキュリティサービスを識別することができる。例えば、システムは、車両環境の状態に基づいて(例えば、車両センサに基づいて)適切なセキュリティプロトコルを識別し、アクティブ化、または、非アクティブ化する特定の車両機能を識別する。したがって、車両状態入力に応答して実装する必要があるさまざまなアクションをリストアップしたセキュリティプロトコルまたはセキュリティ態勢を識別することができる。ステップ409において、システムは、サイバーセキュリティ態勢コントローラ101によって実行されるセキュリティ態勢の更新を送信することができる。したがって、サイバーセキュリティコントローラ101は、特定の機能をアクティブ化、または、非アクティブ化するか、セキュリティ関連サービスの状態を変更するために、他のコントローラにさまざまなコマンドを送信することができる。例えば、望ましいセキュリティ態勢に基づいて、システムは、(1)Wi-Fi、セルラー、または、Bluetoothコントローラのアクティブ化、または、非アクティブ化を要求したり、(2)侵入検知アルゴリズムを有効化、無効化、または再構成したり、(3)一般的なファイアウォールルールを更新したりする場合がある。
このシステムは、上記のフローチャートで説明されている複数の使用事例において利用できる。一例では、車両は、HOMEとして定義された地理上の領域に戻ると、セキュリティ態勢(例えば、セキュリティプロトコルなど)を変更する場合がある。さまざまな車両の状態や環境など、いくつかの前提条件(たとえば、車両の状態や、センサ、受信機などから車両が収集した入力)を利用できる場合がある。例えば、車両は、その現在の位置(例えば、自宅から離れている)と一致するセキュリティ状態にある場合がある。802.11フィルタは、V2V通信を許可するように設定できる。セルラーインターフェースは、V2I(車両と地上施設との接続)通信に対応している場合がある。ZigBee、または、その他のスマートホームインターフェースが無効になっている場合がある。スマートホームアプリケーションは、ワイヤレスインターフェースを介した通信を許可されない場合がある。個人情報(カレンダー情報、連絡先、場所など)を保護するために、システムのプライバシー保護が追加されている場合がある。車両の地理的位置が、事前定義された自宅の位置の外にある可能性がある。自宅の位置は、例えば、位置データと関連付けて設定されたジオフェンスと呼ばれる地理的な境界によって規定される。このようなシナリオでは、Wi-Fiネットワークなどのホームネットワークが範囲外になる可能性がある。
車両が帰宅したことをシステムが検出した場合、車両はセキュリティ態勢の他の側面を変更する可能性がある。車両のワイヤレス接続に関するフィルタは、セキュリティを維持しながら、より優れた自宅にふさわしい接続性を可能にするように調整される場合がある。たとえば、V2V通信がブロックされる場合がある。別の実施形態では、そのようなシナリオの間に、ZigBee、または、他のスマートホームインターフェース(例えば、無線通信)を有効にすることができる。Bluetoothフィルタリングにより、そのシナリオにおいて新しいデバイスのペアリングが可能になる場合がある。
車両は、任意の数の車両からの入力、または環境的な入力を使用して、運転者が所定の自宅の位置の範囲内にあると判断することができる。一実施形態では、車両は、SSIDが所定のHOMEを示すものであること、および、ネットワークへの認証が成功したことに基づいてWi-Fiネットワークなどのホームネットワークを検出することができる。別の実施形態では、車両は、自宅の位置の周辺の所定の境界に基づいて、または、ジオフェンスのみを介して、位置の変化を検出することができる。別の実施形態では、車両は、無線通信フィルタルールを調整することができる。さらに別の実施形態では、車両は、格納されたデータのプライバシー保護を調整することができる。
第2の使用事例シナリオでは、車両は、自宅での夜間の保管を見越してセキュリティをロックダウンする場合がある。車両システムは、このシナリオのいくつかの前提条件を有している。前提条件は、(1)車両が「オフ」(たとえば、イグニッションがオフになっている)であること、または、(2)車両が以前のセキュリティ態勢によって決定された自宅の位置と一致するセキュリティ状態にあることを含む。セキュリティ態勢においては、例えば、GPSセンサが、車両の位置が定義された自宅の位置であることを識別する。セキュリティ態勢のいくつかの側面としては、(1)Wi-Fi接続は、SSIDがHOMEであることの決定に基づいて制限されていること、(2)ZigBeeやその他のスマートホームインターフェースが無効化されていること、(3)Bluetoothのペアリングやリモートキーのアンロックが大幅にレート制限されていること(例えば、総当り攻撃(ブルートフォース攻撃)から保護するためなど)、(4)個人を特定できる情報が暗号化されて保存されていること、(5)ホストベースの保護がすべてのシステム(Bluetooth、インフォテインメントなど)に対して最高の安全状態に設定されていること、例えば、制御フロー攻撃から保護するためにきめ細かい制御フローグラフを有効にすること、および、(6)ランタイムメモリの完全性チェックが高レベルに設定されていることなどが挙げられる。
第2の使用事例シナリオでは、車両は、車両が自宅、または、定置場所にあることを前提として、車両がセキュリティ状態を変更することが適切であると判断する。この判断は、(1)サービスセット識別子(SSID)がHOMEであるWi-Fiへの接続性、(2)車両の地理的位置、(3)車両がしきい値時間(例えば、1時間)の間「オフ」状態になっていること、および/または、(4)一日における時刻が所定の「夜間」を示すしきい値(例えば、午後10時または他の時間)に達していることに基づいて実行可能である。車両は、ワイヤレスセキュリティ状態を「ロックダウン」状態(閉鎖状態)に更新して保存することもできる。別の実施形態では、車両は、長期保存のために個人情報を暗号化することができる。さらに別の実施形態では、車両は、ホストベースのセキュリティ保護を向上させることができる。
第3の使用事例シナリオでは、車両は、所有者の過去の行動履歴、または、保存されたカレンダー上の予定に基づいて、所有者が短時間で車両に戻ることを予測する場合がある。車両は、セキュリティ態勢をロックダウンモードから、より応答性の高いパフォーマンスと格納された個人情報の使用を可能にするより緩められたモードに変更する場合がある。例えば、車両システムがクラウドベースのサーバ、または、車載デバイスのみと通信していないため、システムの応答性が向上し、長距離無線通信の間に発生する遅延が緩和される。いくつかの前提条件には、車両が自宅に駐車していること(例えば、GPSセンサが定義済みの自宅の位置であることを特定する)、車両がオフであること(例えば、イグニッションがオフになっている)、および、車両が、以前のセキュリティ体制の事後条件によって確認されたロックダウンセキュリティモードであることを含むことができる。第3のシナリオでの車両のセキュリティ状況には、(1)アクティブな使用のために解読された個人識別情報(カレンダー情報、連絡先など)、(2)Bluetoothペアリング、または、より速い応答を可能にために増加されたリモートキーロック解除のレート制限、または、(3)ZigBee、または、その他のスマートホームインターフェースが有効であることにより地理的な位置が自宅であるか否かを含む場合がある。別の態勢の変更には、Bluetoothホストベースにより、インフォテインメントユニットのホストベースの保護を緩和されたセキュリティ状態にして、より応答性の高いユーザーインタラクションを可能にすることが含まれていてもよい。これには、CPU使用率とメモリ使用率とを削減するために粗い制御フローグラフをロードできるようにすることが含まれる場合がある。さらに、ランタイムメモリの整合性チェックを緩和することによりCPU使用率を削減できる場合がある。
第3の使用事例シナリオでは、車両は、現在の日時を、所定の時間、または、予測された時間、または、過去の運転者の行動履歴に基づく出発時間のヒューリスティックな決定と、定期的に照合することにより、新しいセキュリティ態勢の必要性を判断する。さらに、現在の日時が、第1のステップからの所定の予測された時間の時間枠(例えば、30分)内にある。車両は、運転者の要求を見越して無線セキュリティ体制を更新する場合がある。別の実施形態では、車両は、より応答性の高いユーザ対話のためにホストベースのセキュリティメカニズムを調整することができる。その結果、この使用例で前述したように、車両はセキュリティ態勢になる。
第4の使用事例シナリオでは、車両は、その駐車位置から出発し、高速道路に入り、セキュリティ態勢を調整することにより、安全、または、自動運転のために他の車両、または、地上施設とよりよく通信する。車両は、地図データベースから情報を収集して、車両の道路クラスを特定する。同様に、車両の状態やそのようなシナリオの前提条件を特定するための他の入力も収集する。車両セキュリティシステムは、必ずしも必要ではないシステムのセキュリティを提供する場合がある。車両のそのような前提条件状態は、車両が駐車されており、かつ、以前のセキュリティ態勢によって決定されたセキュリティモードであることである可能性がある。
第4の使用事例シナリオでは、セキュリティ態勢が更新され、ワイヤレス通信のフィルタリングがV2VおよびV2I通信を可能とする。例えば、802.11フィルタは、V2Vに一致するように更新されるか、V2Iのためにセルラーインターフェースを許容するように更新される。別の例では、802.11のMACアドレスをランダム化するか、または、匿名化することにより、ユーザのプライバシーを保護できる。
別の事後条件として、新しいデバイスとのペアリングを許可しないようにBluetooth信号がフィルタリングされることがある。さらに、ZigBee接続、または、他のスマートホームインターフェースを経由する接続が無効になっている可能性がある。このように、スマートホームアプリケーションは、ワイヤレスインターフェースを介した通信を許可されない場合がある。
第4の使用事例シナリオでは、車両は、運転者が車両に乗り込み、車両のイグニッション設定を「オン」状態にすることから、更新されたセキュリティ態勢の必要性を判断することができる。次に、車両はHOMEの位置を離れることがあり、SSIDがHOMEである範囲の外であること、および/または、地理的位置がHOMEを示す境界の外であること(例えば、ジオフェンスを利用して決定される)に基づいて決定される。車両は、速度が、さらに加えて、加速度が、高速道路の運転と一致する場合を判断する場合がある。車両は、例えば、車両の速度が特定のしきい値速度を超えている場合に、高速道路の運転であると判断する。さらに、車両は、車車間通信(V2V通信)の信号の存在を介して、または、車両センサ(例えば、レーダー(RADAR)、ライダー(LIDAR)、カメラ、または、他の車両感知入力)を介して他の車両の存在を検出することができる。次に、車両はセキュリティ態勢を調整することにより、より良いV2V/V2I通信を可能にする。さらに、車両は追加の無線インターフェースをフィルタリングする場合がある。その結果、この使用例で前述したように、車両はセキュリティ態勢になる。
第5の使用事例シナリオでは、車両は、セキュリティプロトコルを適応させることにより、ビデオストリーミングまたはインタラクティブゲームの需要のために、より高速なワイヤレス通信とより応答性の高いパフォーマンスを可能にする。前提条件(たとえば、車両センサまたはその他の入力からの入力)には、車両が高速道路に沿って走行しており、第4の使用事例シナリオの事後条件から適合したものと同様のセキュリティモードで走行していることが含まれる。第5の使用事例シナリオのセキュリティ態勢は、ワイヤレスフィルタリングを更新することにより、ビデオストリーミングを「高速パス」ルールとして優先させる。さらに、インフォテインメントユニットには、制御フローの整合性の無効化や、ランタイムメモリの整合性チェックの停止など、最適なパフォーマンスを実現するために削除されたホストベースの保護機能がある場合がある。
車両は、いくつかの異なる方法を通じて、更新されたセキュリティ体制の必要性を判断する。例えば、乗員はインフォテインメント画面をナビゲートして、ストリーミングするビデオを選択できる。次に、乗員は、ビデオの再生を開始する。インフォテインメントシステムは、「ビデオ再生」ストリーミングモードに入る場合がある。その結果、インフォテインメントシステムのセキュリティ態勢が更新される。したがって、ストリーミングビデオプロバイダーが認識されない、または、安全でない場合、ストリーミングビデオプロバイダーからのデータの追加のスクリーニングが行われる可能性がある。
第5の使用事例シナリオの代替フローでは、乗員はインフォテインメント画面をナビゲートして、再生するインタラクティブビデオゲームを選択できる。次に、乗員はビデオゲームを開始することができる。その結果、インフォテインメントシステムは「ビデオゲーム」モードに入り、インフォテインメントシステムのセキュリティ態勢が更新される。
第6の使用事例シナリオでは、車両は車両の衝突に備えてセキュリティサービスを削除し、外部システムとの通信を可能にする。前提条件には、車両が高速道路に沿って走行しており、第4の使用事例シナリオの事後条件からのセキュリティモードであることが含まれる。第6の使用事例シナリオのセキュリティ態勢には、すべてのホストベースのセキュリティサービスが無効になり、すべてのワイヤレスフィルタリングが削除される場合がある。車両は、このセキュリティ態勢の必要性をさまざまな方法で判断する。例えば、車両がレーダー(RADAR)、ライダー(LIDAR)、カメラ、または、一般的な車両の近接センサや衝突センサを通じて差し迫った衝突を検出する場合がある。その結果、車両はセキュリティ姿勢を更新して完全な無線通信を可能にし、および/または、車両はセキュリティサービスを無効にしてシステムリソースを解放することができる。
例示的な実施形態が上記に説明されているが、これらの実施形態が、特許請求の範囲に含まれるすべての可能な形態を説明することは意図されていない。この明細書で使用される用語は、限定ではなく説明の用語であり、この開示の趣旨および範囲から逸脱することなく、様々な変更を行うことができることが理解される。前述のように、様々な実施形態の特徴を組み合わせることによって、明示的に説明または図示されていない可能性がある本発明のさらなる実施形態を形成することができる。特定のアプリケーションと実装に依存して、ひとつまたは複数の所望の特性に関して、様々な実施形態は、利点を提供するか、または他の実施形態または従来技術の実装よりも好ましいと説明されているが、当業者は、ひとつまたは複数の特徴または特性は、所望の全体的なシステム属性を達成するために妥協可能であることを認識する。これらの属性には、限定的ではない多数の要素が含まれる。要素は、例えば、コスト、強度、耐久性、ライフサイクルコスト、市場性、外観、パッケージ化の態様、サイズ、保守性、重量、製造性、組み立てやすさなどを含む。したがって、任意の実施形態が1つまたは複数の特性に関して他の実施形態または従来技術の実装よりも望ましくないと記載されていても、これらの実施形態はこの開示の範囲外ではなく、特定の用途にとって望ましい場合がある。
この明細書には、以上に説明した実施形態によって、以下に列挙する複数の技術的思想が記載されている。なお、コントローラ、または、ECUと呼ばれる制御装置が提供する複数の機能は、ソフトウェア、または、ハードウェアによって実現することができ、方法的なステップとして、または、構成的な機能ブロック要素として解釈することができる。
(技術的思想1)乗り物の環境に関する入力を受信するように構成されたひとつ以上のセンサ、および、前記乗り物のひとつまたは複数の前記センサと通信するコントローラを備え、前記コントローラは、前記乗り物のためのひとつ以上の乗り物コントローラに対するサイバー攻撃を識別する識別部と、少なくとも前記乗り物の前記環境に基づいて前記サイバー攻撃に対処する対処部とを備える乗り物コンピュータシステム。(技術的思想2)前記コントローラは、サイバー攻撃の間に、前記乗り物がしきい値速度を超えていることを示す前記乗り物の前記環境に関する入力に応答して、ひとつまたは複数の前記乗り物コントローラに命令を送信することにより、前記乗り物の移動速度を遅くするように構成されている技術的思想1に記載の乗り物コンピュータシステム。(技術的思想3)前記コントローラは、前記乗り物のひとつ以上の運転機能を制御するように構成されたひとつ以上の前記乗り物コントローラへのサイバー攻撃に応答して、ひとつ以上の前記乗り物コントローラを再起動するように、または、前記乗り物コントローラにおける処理を再起動するように構成されている技術的思想1から3のいずれかに記載の乗り物コンピュータシステム。
(技術的思想4)ひとつまたは複数の前記センサは、前記乗り物の地理的位置を識別するように構成された全地球測位システム(GPS)センサを含み、前記コントローラは、前記乗り物の前記地理的位置に基づいて前記対処部をアクティブ化するように構成されている技術的思想1に記載の乗り物コンピュータシステム。(技術的思想5)前記乗り物の前記地理的位置は、前記乗り物の興味地点(POI)に関連付けられており、前記コントローラは、前記興味地点に応答して前記対処部をアクティブ化するように構成されている技術的思想4に記載の乗り物コンピュータシステム。(技術的思想6)前記乗り物の前記地理的位置は、前記乗り物の就労地点に関連付けられており、前記コントローラは、前記就労地点に応答して前記対処部をアクティブ化するように構成されている技術的思想4に記載の乗り物コンピュータシステム。
(技術的思想7)ひとつまたは複数の前記乗り物コントローラは、サイバー攻撃に応答してメモリマップ情報を前記コントローラに提供するように構成されている技術的思想1から6のいずれかに記載の乗り物コンピュータシステム。(技術的思想8)ひとつまたは複数の前記乗り物コントローラは、サイバー攻撃に応答してレジスタ情報を前記コントローラに提供するように構成されている技術的思想1から7のいずれかに記載の乗り物コンピュータシステム。(技術的思想9)ひとつまたは複数の前記乗り物コントローラは、サイバー攻撃に応答してトレース情報を前記コントローラに提供するように構成されている技術的思想1から8のいずれかに記載の乗り物コンピュータシステム。
(技術的思想10)乗り物の環境に関する入力を受信するように構成されたひとつ以上のセンサ、および、ひとつまたは複数のセンサと通信するコントローラを備え、前記コントローラは、前記乗り物の前記環境に関する入力に応答して、外部デバイスと通信するように構成された乗り物コントローラをアクティブ化するか、または、非アクティブ化するパラメータを含む乗り物セキュリティプロトコルを識別する識別部と、前記乗り物セキュリティプロトコルを実行する実行部とを備える乗り物コンピュータシステム。(技術的思想11)前記コントローラは、サイバー攻撃を受けていないことを決定するように構成されている技術的思想10に記載の乗り物コンピュータシステム。(技術的思想12)前記乗り物セキュリティプロトコルは、ひとつまたは複数の近接通信コントローラを非アクティブ化するためのパラメータを含む技術的思想10または11に記載の乗り物コンピュータシステム。(技術的思想13)前記乗り物セキュリティプロトコルは、ひとつまたは複数のWi-Fiコントローラを非アクティブ化するためのパラメータを含む技術的思想10から12のいずれかに記載の乗り物コンピュータシステム。(技術的思想14)前記乗り物セキュリティプロトコルは、関心地点での車両の位置に関する入力を受信するひとつまたは複数のセンサに応答して、ひとつまたは複数のWi-Fiコントローラをアクティブ化するパラメータを含む技術的思想10から13のいずれかに記載の乗り物コンピュータシステム。(技術的思想15)前記乗り物セキュリティプロトコルは、ひとつまたは複数のセンサを非アクティブ化するためのパラメータを含む技術的思想10から14のいずれかに記載の乗り物コンピュータシステム。
(技術的思想16)乗り物の環境に関する入力を受信するように構成されたひとつ以上のセンサ、および、ひとつまたは複数のセンサと通信するセキュリティコントローラを備え、前記セキュリティコントローラは、前記乗り物のためのひとつ以上の乗り物コントローラに対するサイバー攻撃を識別する識別部と、少なくとも前記乗り物の前記環境に基づいて前記サイバー攻撃に対処する対処部と、前記乗り物の前記環境に関する入力に応答して、外部デバイスと通信するように構成された乗り物コントローラをアクティブ化するか、または、非アクティブ化するパラメータを含む乗り物セキュリティプロトコルを識別する識別部と、前記乗り物セキュリティプロトコルを実行する実行部とを備える乗り物コンピュータシステム。(技術的思想17)前記乗り物セキュリティプロトコルは、ひとつまたは複数の前記乗り物コントローラを再起動するように構成されている技術的思想16に記載の乗り物コンピュータシステム。(技術的思想18)前記セキュリティコントローラは、前記乗り物の前記環境に関する入力がしきい値を下回ったことに応答して、前記乗り物コンピュータシステムを再起動するように構成されている技術的思想16または17に記載の乗り物コンピュータシステム。(技術的思想19)前記乗り物セキュリティプロトコルは、前記乗り物の前記環境に関する入力がしきい値を超えたことに応答して、ひとつまたは複数の前記乗り物コントローラの動作を停止するように構成されている技術的思想16から18のいずれかに記載の乗り物コンピュータシステム。(技術的思想20)前記セキュリティコントローラは、サイバー攻撃に応答して前記乗り物コントローラのメモリ情報を前記セキュリティコントローラに提供するように構成されている技術的思想16から19のいずれかに記載の乗り物コンピュータシステム。
100 システム、 101 サイバーセキュリティ態勢コントローラ、
103 入力、 105 ポリシーロジック、
107 セキュリティ関連サービス、 150 システム、
151 車両、 152 センサ、 153 クラウド、 154 車両、
155 ホームネットワーク、 157 モバイルデバイス、
200 システム、 201 セキュリティECU、
203 運転状況分析ECU(DSAECU)、
204 通信ネットワーク、 205 セキュリティ応答データベース、
207、208、209 保護対象ECU。

Claims (18)

  1. 乗り物の環境に関する入力を受信するように構成されたひとつ以上のセンサ、および、
    前記乗り物のひとつまたは複数の前記センサと通信するコントローラを備え、
    前記コントローラは、
    前記乗り物のためのひとつ以上の乗り物コントローラに対するサイバー攻撃を識別する識別部と、
    少なくとも前記乗り物の前記環境に基づいて前記サイバー攻撃に対処する対処部とを備え、
    前記対処部は、
    前記乗り物コントローラが運転機能を制御していない場合、前記乗り物の移動速度を遅くすることを含む前記乗り物の運転機能を低下させた劣化運転を提供する劣化運転手段と、
    前記乗り物コントローラが運転機能の制御を受け持っている場合、前記乗り物コントローラに対するコマンドを停止するか、または、前記乗り物を停止させて前記乗り物の移動を阻止する移動阻止手段とを備え、
    前記サイバー攻撃の間に、前記乗り物がしきい値速度を超えていることを示す前記乗り物の前記環境に関する入力に応答して、ひとつまたは複数の前記乗り物コントローラに命令を送信することにより、前記劣化運転手段による前記劣化運転、または、前記移動阻止手段による移動阻止を提供する乗り物コンピュータシステム。
  2. 前記コントローラは、前記乗り物のひとつ以上の運転機能を制御するように構成されたひとつ以上の前記乗り物コントローラへのサイバー攻撃に応答して、ひとつ以上の前記乗り物コントローラを再起動するように、または、前記乗り物コントローラにおける処理を再起動するように構成されている請求項1に記載の乗り物コンピュータシステム。
  3. ひとつまたは複数の前記センサは、前記乗り物の地理的位置を識別するように構成された全地球測位システム(GPS)センサを含み、
    前記コントローラは、前記乗り物の前記地理的位置に基づいて前記対処部をアクティブ化するように構成されている請求項1または2に記載の乗り物コンピュータシステム。
  4. 前記乗り物の前記地理的位置は、前記乗り物の興味地点(POI)に関連付けられており、前記コントローラは、前記興味地点に応答して前記対処部をアクティブ化するように構成されている請求項3に記載の乗り物コンピュータシステム。
  5. 前記乗り物の前記地理的位置は、前記乗り物の就労地点に関連付けられており、前記コントローラは、前記就労地点に応答して前記対処部をアクティブ化するように構成されている請求項3に記載の乗り物コンピュータシステム。
  6. ひとつまたは複数の前記乗り物コントローラは、サイバー攻撃に応答してメモリマップ情報を前記コントローラに提供するように構成されている請求項1から5のいずれかに記載の乗り物コンピュータシステム。
  7. ひとつまたは複数の前記乗り物コントローラは、サイバー攻撃に応答してレジスタ情報を前記コントローラに提供するように構成されている請求項1から6のいずれかに記載の乗り物コンピュータシステム。
  8. ひとつまたは複数の前記乗り物コントローラは、サイバー攻撃に応答してトレース情報を前記コントローラに提供するように構成されている請求項1から7のいずれかに記載の乗り物コンピュータシステム。
  9. 前記乗り物の前記環境に関する入力に応答して、外部デバイスと通信するように構成された乗り物コントローラをアクティブ化するか、または、非アクティブ化するパラメータを含む乗り物セキュリティプロトコルを識別するプロトコル識別部と、
    前記乗り物セキュリティプロトコルを実行する実行部とを備える請求項1から請求項8のいずれかに記載の乗り物コンピュータシステム。
  10. 前記コントローラは、サイバー攻撃を受けていないことを決定するように構成されている請求項9に記載の乗り物コンピュータシステム。
  11. 前記乗り物セキュリティプロトコルは、ひとつまたは複数の近接通信コントローラを非アクティブ化するためのパラメータを含む請求項9または10に記載の乗り物コンピュータシステム。
  12. 前記乗り物セキュリティプロトコルは、ひとつまたは複数のWi-Fiコントローラを非アクティブ化するためのパラメータを含む請求項9から11のいずれかに記載の乗り物コンピュータシステム。
  13. 前記乗り物セキュリティプロトコルは、関心地点での車両の位置に関する入力を受信するひとつまたは複数のセンサに応答して、ひとつまたは複数のWi-Fiコントローラをアクティブ化するパラメータを含む請求項9から12のいずれかに記載の乗り物コンピュータシステム。
  14. 前記乗り物セキュリティプロトコルは、ひとつまたは複数のセンサを非アクティブ化するためのパラメータを含む請求項9から13のいずれかに記載の乗り物コンピュータシステム。
  15. 前記乗り物セキュリティプロトコルは、ひとつまたは複数の前記乗り物コントローラを再起動するように構成されている請求項9から14のいずれかに記載の乗り物コンピュータシステム。
  16. 前記コントローラは、前記乗り物の前記環境に関する入力がしきい値を下回ったことに応答して、前記乗り物コンピュータシステムを再起動するように構成されている請求項9から15のいずれかに記載の乗り物コンピュータシステム。
  17. 前記乗り物セキュリティプロトコルは、前記乗り物の前記環境に関する入力がしきい値を超えたことに応答して、ひとつまたは複数の前記乗り物コントローラの動作を停止するように構成されている請求項9から16のいずれかに記載の乗り物コンピュータシステム。
  18. 前記コントローラは、サイバー攻撃に応答して前記乗り物コントローラのメモリ情報を前記コントローラに提供するように構成されている請求項9から17のいずれかに記載の乗り物コンピュータシステム。
JP2020115040A 2019-07-23 2020-07-02 乗り物コンピュータシステム Active JP7196882B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/519,167 2019-07-23
US16/519,167 US11921853B2 (en) 2019-07-23 2019-07-23 System for adaptive vehicle security and response

Publications (2)

Publication Number Publication Date
JP2021018811A JP2021018811A (ja) 2021-02-15
JP7196882B2 true JP7196882B2 (ja) 2022-12-27

Family

ID=74098700

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020115040A Active JP7196882B2 (ja) 2019-07-23 2020-07-02 乗り物コンピュータシステム

Country Status (3)

Country Link
US (1) US11921853B2 (ja)
JP (1) JP7196882B2 (ja)
DE (1) DE102020119153A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022175060A (ja) * 2021-05-12 2022-11-25 株式会社日立製作所 移動体管制システム、攻撃通知方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004017676A (ja) 2002-06-12 2004-01-22 Denso Corp 車両用通信システム、初期化装置及び車両用制御装置
JP2013133000A (ja) 2011-12-27 2013-07-08 Advics Co Ltd 車両の制動制御装置
JP2018073004A (ja) 2016-10-26 2018-05-10 トヨタ自動車株式会社 攻撃通知システムおよび攻撃通知方法
JP2018194909A (ja) 2017-05-12 2018-12-06 日立オートモティブシステムズ株式会社 情報処理装置及び異常対処方法
JP2019509565A (ja) 2016-03-09 2019-04-04 アップテイク テクノロジーズ、インコーポレイテッド アセットの場所に基づいてなされる予測モデルの扱い
JP2019075056A (ja) 2017-10-19 2019-05-16 三菱電機株式会社 車両用セキュリティ装置およびセキュリティ方法

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10329196A1 (de) 2003-06-28 2005-01-20 Audi Ag Verfahren zum Reset von elektronischen Fahrzeug-Steuergeräten
US8561129B2 (en) * 2008-02-28 2013-10-15 Mcafee, Inc Unified network threat management with rule classification
US7607174B1 (en) 2008-12-31 2009-10-20 Kaspersky Lab Zao Adaptive security for portable information devices
US8467768B2 (en) 2009-02-17 2013-06-18 Lookout, Inc. System and method for remotely securing or recovering a mobile device
US8683556B2 (en) 2011-05-04 2014-03-25 Apple Inc. Electronic devices having adaptive security profiles and methods for selecting the same
JP6508631B2 (ja) 2012-10-17 2019-05-08 タワー−セク・リミテッド 輸送手段への攻撃の検出および防止のためのデバイス
JP6307356B2 (ja) 2014-06-06 2018-04-04 株式会社デンソー 運転コンテキスト情報生成装置
JP6573819B2 (ja) 2015-01-20 2019-09-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
DE102015001971A1 (de) 2015-02-19 2016-08-25 Iav Gmbh Ingenieurgesellschaft Auto Und Verkehr Verfahren und Überwachungsvorrichtung zur Überwachung von Fahrerassistenzsystemen
EP3440817B1 (en) * 2016-04-06 2022-06-22 Karamba Security Automated security policy generation for controllers
EP3440818B1 (en) * 2016-04-06 2022-06-22 Karamba Security Reporting and processing controller security information
WO2017175157A1 (en) * 2016-04-06 2017-10-12 Karamba Security Secure controller operation and malware prevention
EP3264718B1 (en) 2016-06-29 2021-03-03 Argus Cyber Security Ltd System and method for detection and prevention of attacks on in-vehicle networks
JP6846991B2 (ja) 2016-07-05 2021-03-24 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
EP3291119B1 (en) * 2016-08-31 2020-05-06 Bayerische Motoren Werke Aktiengesellschaft Automotive monitoring and security system
WO2018127816A1 (en) * 2017-01-03 2018-07-12 Karamba Security Mode-based controller security and malware prevention
US20180300477A1 (en) 2017-04-13 2018-10-18 Argus Cyber Security Ltd. In-vehicle cyber protection
US20180351980A1 (en) 2017-05-30 2018-12-06 Argus Cyber Security Ltd System and method for providing fleet cyber-security
US11477212B2 (en) 2017-07-27 2022-10-18 Upstream Security, Ltd. System and method for connected vehicle cybersecurity
US20200216097A1 (en) * 2017-08-10 2020-07-09 Argus Cyber Security Ltd System and method for detecting exploitation of a component connected to an in-vehicle network
US10630699B2 (en) * 2017-08-14 2020-04-21 Argus Cyber Security Ltd. Automotive cybersecurity
KR102411961B1 (ko) * 2017-09-07 2022-06-22 현대자동차주식회사 차량 및 그 제어 방법
US10678954B2 (en) 2017-09-21 2020-06-09 GM Global Technology Operations LLC Cybersecurity vulnerability prioritization and remediation
WO2019116054A1 (en) * 2017-12-15 2019-06-20 GM Global Technology Operations LLC Ethernet network-profiling intrusion detection control logic and architectures for in-vehicle controllers
EP3528163A1 (en) * 2018-02-19 2019-08-21 Argus Cyber Security Ltd Cryptic vehicle shield
RU2706887C2 (ru) * 2018-03-30 2019-11-21 Акционерное общество "Лаборатория Касперского" Система и способ блокирования компьютерной атаки на транспортное средство
US20190312892A1 (en) * 2018-04-05 2019-10-10 Electronics And Telecommunications Research Institute Onboard cybersecurity diagnostic system for vehicle, electronic control unit, and operating method thereof
KR102524204B1 (ko) * 2018-04-27 2023-04-24 한국전자통신연구원 차량용 네트워크의 침입 대응 장치 및 방법
US20200274851A1 (en) * 2019-02-22 2020-08-27 Juniper Networks, Inc. Full featured packet-based automotive network security gateway
US20200389474A1 (en) * 2019-06-05 2020-12-10 Upstream Security, Ltd. System and method for connected vehicle security incident integration based on aggregate events
US10932135B2 (en) * 2019-06-28 2021-02-23 Toyota Jidosha Kabushiki Kaisha Context system for providing cyber security for connected vehicles
US11368471B2 (en) * 2019-07-01 2022-06-21 Beijing Voyager Technology Co., Ltd. Security gateway for autonomous or connected vehicles

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004017676A (ja) 2002-06-12 2004-01-22 Denso Corp 車両用通信システム、初期化装置及び車両用制御装置
JP2013133000A (ja) 2011-12-27 2013-07-08 Advics Co Ltd 車両の制動制御装置
JP2019509565A (ja) 2016-03-09 2019-04-04 アップテイク テクノロジーズ、インコーポレイテッド アセットの場所に基づいてなされる予測モデルの扱い
JP2018073004A (ja) 2016-10-26 2018-05-10 トヨタ自動車株式会社 攻撃通知システムおよび攻撃通知方法
JP2018194909A (ja) 2017-05-12 2018-12-06 日立オートモティブシステムズ株式会社 情報処理装置及び異常対処方法
JP2019075056A (ja) 2017-10-19 2019-05-16 三菱電機株式会社 車両用セキュリティ装置およびセキュリティ方法

Also Published As

Publication number Publication date
JP2021018811A (ja) 2021-02-15
US11921853B2 (en) 2024-03-05
DE102020119153A1 (de) 2021-01-28
US20210026958A1 (en) 2021-01-28

Similar Documents

Publication Publication Date Title
US10320836B2 (en) Automotive ECU controller and data network having security features for protection from malware transmission
US9854442B2 (en) Electronic control unit network security
US10939262B2 (en) System and method for bringing programmability and connectivity into isolated vehicles
US11165851B2 (en) System and method for providing security to a communication network
US11790074B2 (en) Context-based secure controller operation and malware prevention
US9866542B2 (en) Responding to electronic in-vehicle intrusions
US9134986B2 (en) On board vehicle installation supervisor
US20190182267A1 (en) Vehicle security manager
US9081653B2 (en) Duplicated processing in vehicles
Dibaei et al. An overview of attacks and defences on intelligent connected vehicles
JP6723955B2 (ja) 情報処理装置及び異常対処方法
CN111466107A (zh) 用于载具内控制器的以太网网络剖析入侵检测控制逻辑和架构
Wright Hacking cars
US20140143839A1 (en) On board vehicle remote control module
US20130200991A1 (en) On board vehicle media controller
WO2014158667A1 (en) Duplicated processing in vehicles
EP2972768A1 (en) Occupant sharing of displayed content in vehicles
Scalas et al. Automotive cybersecurity: Foundations for next-generation vehicles
US20200034574A1 (en) Cybersecurity vulnerability prioritization and remediation
WO2022049894A1 (ja) 制御モード切替装置、および、制御モード切替方法
JP7196882B2 (ja) 乗り物コンピュータシステム
US20220019661A1 (en) Log analysis device
Kiran et al. Cyber security and risk analysis on connected autonomous vehicles
US20220019662A1 (en) Log management device and center device
Möller et al. Automotive electronics, IT, and cybersecurity

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200702

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210726

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210803

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20210909

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211019

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220308

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20220712

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221007

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20221007

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20221019

C21 Notice of transfer of a case for reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C21

Effective date: 20221025

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221115

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221128

R151 Written notification of patent or utility model registration

Ref document number: 7196882

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151