JP7288162B2 - 車両環境における侵入異常モニタリング - Google Patents

車両環境における侵入異常モニタリング Download PDF

Info

Publication number
JP7288162B2
JP7288162B2 JP2020559056A JP2020559056A JP7288162B2 JP 7288162 B2 JP7288162 B2 JP 7288162B2 JP 2020559056 A JP2020559056 A JP 2020559056A JP 2020559056 A JP2020559056 A JP 2020559056A JP 7288162 B2 JP7288162 B2 JP 7288162B2
Authority
JP
Japan
Prior art keywords
anomaly
monitor
intrusion
analyzer
engine control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020559056A
Other languages
English (en)
Other versions
JP2021510895A (ja
Inventor
ケルステイン、ロイエ
Original Assignee
シー2エー-エスイーシー、リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by シー2エー-エスイーシー、リミテッド filed Critical シー2エー-エスイーシー、リミテッド
Publication of JP2021510895A publication Critical patent/JP2021510895A/ja
Application granted granted Critical
Publication of JP7288162B2 publication Critical patent/JP7288162B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/008Registering or indicating the working of vehicles communicating information to a remotely located station
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40052High-speed IEEE 1394 serial bus
    • H04L12/40104Security; Encryption; Content protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Description

関連出願の相互参照
本出願は、2018年1月16日出願で「車両環境におけるソフトエラー制御(SOFT ERROR CONTROL IN A VEHICLE ENVIRONMENT)」なる名称の米国仮特許出願第62/617,668号の優先権を主張し、その米国仮特許出願の全体は、参照により本明細書に組み込まれる。
本発明は、一般にセキュリティ装置の分野に関し、より具体的には自動車環境における侵入異常をモニタするためのシステム及び方法に関する。
車両内に設置されている電子装置の数は、急速に増加している。過去において、自動車における電子装置は、スタンドアロン環境で動作する、特定の機能を扱う個別の装置だった。1980年代に、車両用のネットワーク動作標準を開発する必要があるであろうことが認識され、コントローラエリアネットワーク(CAN)バスは誕生した。
経時的に、CANバスを利用する相互接続された装置の数は、急速に増加した。これらの相互接続された装置は、照明、窓、及びサンルーフ制御などの快適さのための特徴と同様に、エンジン速度、制動制御、及び操舵制御などの運転特徴を制御し得る。
更なる発展は、インターネットの拡大及びインターネットへの無線アクセスの増え続ける需要だった。携帯電話及び無線インターネットアクセスの拡大は、将来、車両が、外部ネットワークに接続されることを保証する。近年、車両へのアクセスは、専用サービスケーブルの使用に制限され、唯一の無線アクセスは、ニュース及び音楽を伝えるラジオ用だった。今日、車両娯楽及び情報コンテンツの両方を車両に伝える統合娯楽情報システムが提供されている。
車載電子装置の数が倍増したので、多くの自動車メーカは、自動車電子制御ユニット(ECU)用のオープン標準ソフトウェアアーキテクチャに同意した。現在、ドイツ、ミュンヘンのAUTOSARコンソーシアムは、Autosar Classic Platformのバージョン4.3をリリースした。Autosar準拠の診断は、1つ以上のECUにおける実際の故障又は欠陥を検出するように設計される。診断は、「Diagnostics over Internet Protocol(インターネットプロトコルを通じた診断)」(DoIP)と呼ばれる特定の通信プロトコルを用い、DoIPは、搭載イーサネットスイッチを介した、テスト機器とECUとの間の通信用に設計される。DoIPは、透過プロトコルであり、テスト機器とECUとの間の変換を含まない。DoIPは、スイス、ジュネーブの国際標準化機構によって公表されたISO 13400、パート2で定義されている。DoIPは、IP、TCP、及びUDPを用いて、外部テスト機器と自動車ECUとの間の診断関係の通信を容易にする。ECU内の診断通信マネージャ(DCM)は、テスト機器と通信し、それぞれのECUにおいて識別された故障を表す、自動車製造業によって定義された関係する定義済み診断トラブルコード(DTC)を転送する。
図1は、イーサネットスイッチ20と、複数のECU30と、テレマティック制御ユニット(TCU)40と、外部テスタ50と、DoIPクライアント70と、ドメインコントローラユニット(DCU)80と、DoIPゲートウェイ85と、コントローラエリアネットワーク(CAN)バス90と、複数のCAN ECU95と、を含む、先行技術にとって周知の自動車通信ネットワーク10の高レベルブロック図を示す。複数のECU30、TCU40、DoIPクライアント70、DCU80、及びDoIPゲートウェイ85のそれぞれは、イーサネットスイッチ20のそれぞれのポートに接続される。別の実施形態において、DoIPゲートウェイ85は、DCU80内に実現される。外部テスタ50は、イーサネットスイッチ20のそれぞれのポートにプラグ接続可能に接続される。CANゲートウェイとして作動するDCU80は、CANバス90に更に接続され、各CAN ECU95は、CANバス90に接続される。
外部テスタ50は、テスタプラグ及び適合するレセプタクルを介して、イーサネットスイッチ20のそれぞれのポートに物理的に接続されてもよく、Bluetooth接続若しくは無線インターネットなどの無線接続によって限定することなくアクセス可能であってもよい。DCU80は、CANバス90とイーサネットスイッチ20との間のゲートウェイコントローラとして作動する。DoIPゲートウェイ85は、外部テスタ50から受け取ったDoIP要求を各ECU30、TCU40、及び/又はCAN ECU95によって理解される命令に変換する。DoIPゲートウェイ85は、イーサネットスイッチ20とCAN BUS90との間に接続されているように示されているが、追加のDoIPゲートウェイは、イーサネットスイッチ20内に設けられてもよい。別の実施形態において、上記のように、DoIPゲートウェイ85は、DCU80内に実現される。加えて、外部テスタ50は、専用DoIPノードを有する何れかのECUにDoIP要求を直接送ることができる。DoIPクライアント70は、ECU30の無線(OTA)ソフトウェア更新用に異なるベンダからソフトウェアイメージを受け取るように配置され、外部テスタ50の模倣することによって動作し、その外部テスタ50は、ターゲットECU30のファームウェアを更新するために技術者によって用いられる。ソフトウェアイメージは、TCP/IPなどの独自プロトコルを通じてDoIPクライアント70によって受け取られる。任意選択的に、ECU30、TCU40、及び/又はCAN ECU95の何れかによって生成されたDTC用のターゲットとして働くDoIPノード(図示せず)が更に設けられる。典型的には、DoIPノードは、外部テスタ50による検索用の受け取ったDTCを格納するように配置されたメモリを更に含む。TCU40は、車両用の位置情報を識別するように配置される全地球測位システム(GPS)ユニットと、リモートサイトに位置するデータベースサーバとの通信を可能にする移動通信(GSM、GPRS、Wi-Fi、WiMax、又はLTEなど)用の外部インタフェースであって、移動通信ユニットは、リモートサイトとの通信を実行するように配置されたアンテナを含む外部インタフェースと、マイクロプロセッサ又はフィールドプログラマブルゲートアレイなどのコントローラと、ローカルメモリと、を含む。
DoIPクライアント70又はDoIPゲートウェイ85が設けられるという要件はなく、各ECU30、TCU40、及び/又はCAN ECU95は、外部テスタ50にDTCを通信するように配置される適切なDoIPノード又はスタックと共に配置されてもよく、範囲を超えずにDTCを格納するための搭載メモリを提供してもよい。DoIPノードは、関係する層標準にしたがって、DoIPのトランスポート層を実現する。
したがって、自動車通信ネットワーク10の配置によって、それぞれのECU30、TCU40、及び/又はCAN ECU95の各々によって発見されたハードウェア故障の生成が可能になるが、しかしながらそれは、ECU30、TCU40、及び/又はCAN ECU95による受け取りに先立って、パケットにおける異常(以下ではネットワーク侵入異常として認識される)を検出するか、それを報告するか、又はそれに影響を及ぼすための機構を提供せず、それらのネットワーク侵入異常は、ネットワークに侵入しようとする攻撃者による試みに関連する異常である。それはまた、統計又は機械学習の使用に基づいて、ECUにおける異常(以下ではローカル侵入異常として認識される)を検出するか、それを報告するか、又はそれに影響を及ぼすための機構も提供せず、ローカル侵入異常は、ECUに侵入しようとする攻撃者による試みと関連する異常である。本明細書で用いられるときに、「侵入異常」という用語は、自動車通信ネットワークの何れかの部分に侵入しようとする攻撃者による試みと関連する異常として定義される。これは、限定するわけではないが、以下で説明されるように、ネットワークを通じて伝送されているデータにおける統計的異常、例えば分散型サービス妨害(DDOS)攻撃と、ECUのMACアドレスになりすます試みと、PORTのIPからのサブスクリプション要求と、SOME/IP情報における不正確な値と、定義済みのモデル又は規則から逸脱する信号と、スタックオーバーフローと、リターン指向のプログラミング攻撃と、を含む。加えて、車両対車両DoIP通信用の機構は提供されず、したがって、車両は、互いにDTCを共有することができない。
それに応じて、本発明の主な目的は、先行技術のバス制御方法及びシステムにおける短所の少なくとも幾つかを克服することである。これは、一実施形態において、自動車環境における侵入異常をモニタするためのシステムを提供することによってもたらされ、システムは、テレマティック制御ユニットと、複数のエンジン制御ユニットであって、複数のエンジン制御ユニットのそれぞれは、それぞれのローカルセキュリティモニタ、及びローカルセキュリティモニタによって検出された侵入異常に関する情報を受け取るように配置された診断通信マネージャに関連する、複数のエンジン制御ユニットと、診断通信マネージャ及びテレマティック制御ユニットのそれぞれと通信する異常分析器であって、通信は、インターネットプロトコルを通じた診断を利用し、異常分析器は、それぞれのローカルセキュリティモニタによって検出された侵入異常に関する情報を蓄積するように配置される異常分析器と、を含む。
一実施形態において、異常分析器は、ローカルセキュリティモニタによって検出された侵入異常に関する受け取った情報をブラックリスト比較し、受け取った情報がブラックリストと一致する場合に、テレマティック制御ユニットの通信機能を不能にする命令及び警告メッセージの少なくとも1つを出力するように更に配置される。更なる一実施形態において、システムは、異常分析器と通信する異常モニタを更に含み、警告メッセージは、異常モニタに送られ、複数のエンジン制御ユニット、異常分析器、及び異常モニタは、単一の自動車環境内に位置する。
別の更なる実施形態において、システムは、異常モニタを更に含み、警告メッセージは、異常モニタに送られ、複数のエンジン制御ユニット及び異常分析器は、単一の自動車環境内に位置し、異常モニタは、単一の自動車環境からリモートにあり、テレマティック制御ユニットを通して異常分析器と通信する。更なる一実施形態において、異常モニタは、複数の異常分析器と通信し、異常分析器のそれぞれは、それぞれの単一の自動車環境内にある。別の更なる実施形態において、異常モニタは、複数の異常分析器と通信し、異常分析器のそれぞれは、それぞれの単一の自動車環境内にあり、異常モニタは、それぞれの監視自動車環境内にある。
一実施形態において、複数のエンジン制御ユニットのそれぞれは、それぞれの単一の自動車環境内にあり、異常分析器は、それぞれの監視自動車環境内にある。別の実施形態において、複数のエンジン制御ユニットは、ネットワークのノードとして配置され、システムは、複数のエンジン制御ユニットの少なくとも1つに又はその少なくとも1つからネットワークで伝送されたソフトウェアパケットにおける異常を識別するように配置されたネットワークセキュリティモニタを更に含み、異常分析器は、インターネットプロトコルを通じた診断を利用する異常分析器と更に通信する。
一実施形態において、診断通信マネージャのそれぞれは、イベント時に異常分析器に報告するように配置され、侵入異常は、それぞれのセキュリティモニタによって識別される。別の実施形態において、異常分析器は、それぞれのセキュリティモニタによって識別された侵入異常について診断通信マネージャのそれぞれに定期的にポーリングするように配置される。
一実施形態において、複数のエンジン制御ユニットのそれぞれは、セキュリティモニタによって検出された侵入異常のそれぞれについて診断異常コードを生成するように配置された診断イベントマネージャを更に含み、それによって、診断イベントマネージャと通信する診断通信マネージャは、セキュリティモニタによって検出された異常に関する情報を受け取る。更なる一実施形態において、セキュリティモニタによって検出された各タイプの侵入異常について、診断イベントマネージャは、一意の診断異常コードを生成するように配置される。
別の実施形態において、異常分析器は、インターネットプロトコルクライアントを通じた診断を含み、複数のエンジン制御ユニットは、それぞれ、インターネットプロトコルを通じた診断を利用する通信用にインターネットプロトコルノードを通じた診断を含む。
独立した一実施形態において、自動車環境における侵入異常をモニタする方法であって、複数のエンジン制御ユニットのそれぞれのための侵入異常を検出するステップと、検出された侵入異常に関する情報を、それぞれのエンジン制御ユニットに関連するそれぞれの診断通信マネージャにおいて受け取るステップと、インターネットプロトコルを通じた診断を利用し、受け取った情報を異常分析器に通信するステップを含み、異常分析器は、複数のエンジン制御ユニットの検出された侵入異常を蓄積するように配置される方法。
一実施形態において、方法は、受け取った情報をブラックリストと比較するステップと、受け取った情報がブラックリストと一致する場合に、テレマティック制御ユニットの通信機能を不能にする命令及び警告メッセージの少なくとも1つを出力するステップと、を更に含む。更なる一実施形態において、警告メッセージは、異常モニタに送られ、複数のエンジン制御ユニット、異常分析器、及び異常モニタは、単一の自動車環境内に位置する。別の更なる実施形態において、警告メッセージは、異常モニタに送られ、複数のエンジン制御ユニット及び異常分析器は、単一の自動車環境内に位置し、異常モニタは、単一の自動車環境からリモートである。
更なる一実施形態において、異常モニタは、複数の異常分析器と通信し、異常分析器のそれぞれは、それぞれの単一の自動車環境内にある。別の更なる実施形態において、異常モニタは、複数の異常分析器と通信し、異常分析器のそれぞれは、それぞれの単一の自動車環境内にあり、異常モニタは、それぞれの監視自動車環境内にある。
一実施形態において、侵入異常を検出するステップは、複数のエンジン制御ユニットの少なくとも1つに又は少なくとも1つから伝送されたソフトウェアパケットにおける侵入異常を識別することを含む。別の実施形態において、方法は、イベント時に、検出された侵入異常を異常分析器に報告するように、診断通信マネージャのそれぞれを設定するステップを更に含む。
一実施形態において、方法は、検出された侵入異常について診断通信マネージャのそれぞれに定期的にポーリングするステップを更に含む。別の実施形態において、方法は、検出された侵入異常のそれぞれのために診断異常コードを生成するステップを更に含み、受け取った情報は、生成された診断異常コードを含む。更なる一実施形態において、各タイプの検出された侵入異常について、生成された診断異常コードは一意である。
別の独立した実施形態において、自動車環境における侵入異常をモニタするためのシステムが提供され、システムは、ネットワークのノードとして配置された複数のエンジン制御ユニットと、複数のエンジン制御ユニットの少なくとも1つに又は少なくとも1つからネットワークで伝送されたソフトウェアパケットにおける異常を識別するように配置されたネットワークセキュリティモニタを含むネットワークセキュリティ装置と、ネットワークセキュリティモニタと通信する異常分析器であって、通信は、インターネットプロトコルを通じた診断を利用し、異常分析器は、ネットワークセキュリティ装置によって検出された侵入異常に関する受け取った情報をブラックリストと比較するように、かつ受け取った情報がブラックリストと一致する場合に、テレマティック制御ユニットの通信機能を不能にする命令、及び警告メッセージの少なくとも1つを出力するように配置される異常分析器と、を含む。
一実施形態において、ネットワークセキュリティ装置は、イベント時に、ネットワークセキュリティモニタによって検出された侵入異常に関する情報を、異常分析器に報告するように配置された診断通信マネージャを更に含む。別の実施形態において、複数のエンジン制御ユニットは、それぞれ、ローカルセキュリティモニタと、ローカルセキュリティモニタによって検出された侵入異常に関する情報を受け取るように配置された診断通信マネージャと、を含み、異常分析器は、インターネットプロトコルを通じた診断を利用するエンジン制御ユニットの診断通信マネージャのそれぞれと更に通信し、異常分析器は、それぞれのローカルセキュリティモニタによって検出された侵入異常に関する情報を蓄積するように配置される。
更なる一実施形態において、異常分析器は、エンジン制御ユニットの診断通信マネージャからの侵入異常に関する受け取った情報をブラックリストと比較するように、かつ診断通信マネージャの何れかからの侵入異常に関する受け取った情報が、ブラックリストで一致する場合に、テレマティック制御ユニットの通信機能を不能にする命令、及び警告メッセージの少なくとも1つを出力するように配置される。
本発明の更なる特徴及び利点は、以下の図面及び説明から明らかになろう。
本発明についてのよりよい理解のために、かつ本発明がどのように実行され得るかを示すために、ここで、純粋に例として添付の図面が参照され、図面では、同様の数字は、全体を通して、対応するセクション又は要素を示す。
ここで、図面を詳細に特に参照すると、示された詳細が、例であり、本発明の好ましい実施形態の実例的な論述のためだけにあり、かつ本発明の原理及び概念的態様の最も有用で容易に理解される説明であると信じられるものを提供するために提示されるということが強調される。この点で、本発明の基本的理解に必要であるよりも詳細に本発明の構造的詳細を示す試みはなされず、説明は、本発明の幾つかの形態がどのように実際に具体化され得るかを当業者に明らかにする図面を用いて行われる。
先行技術に周知の自動車通信ネットワークの高レベルブロック図を示す。 ネットワークセキュリティモニタを含む自動車通信ネットワークを示す。 少なくとも1つのECUがローカルセキュリティモニタを含む自動車通信ネットワークを示す。 異常分析器が、ドメインコントローラモジュールに問い合わせるように、かつ検出された侵入異常に関する関連情報を取得するように配置されるプルモード流れ図を示す。 ドメインコントローラモジュールが、検出された侵入異常に関する関連情報を異常分析器に出力するプッシュモード流れ図を示す。 異常分析器の動作の高レベル流れ図を示す。 異常分析器が、無線インターネット接続を介して外部テスト機器と通信する配置の高レベルブロック図を示す。 第1の車両の異常分析器が、第2の車両の異常分析器と通信する多重車両配置の高レベルブロック図を示す。 第1の車両の異常分析器が、第2の車両のECUと通信する多重車両配置の高レベルブロック図を示す。
本発明の少なくとも1つの実施形態を詳細に説明する前に、本発明が、その適用において、以下の説明で明らかにされる、又は図面に示されるコンポーネントの構築及び配置の詳細に限定されないことを理解されたい。本発明は、他の実施形態に、又は様々な方法で実践若しくは実行されることに適用可能である。また、本明細書で用いられる語法及び専門用語が、説明のためであり、限定と見なされるべきでないことを理解されたい。
様々な実施形態が、CANバスに関連して本明細書で説明される。しかしながら、これは、決して限定であることを意味せず、本明細書の実施形態は、任意のバスアーキテクチャに等しく適用可能である。本明細書の実施形態は、娯楽情報システムである安全でない装置に関連して説明される。しかしながら、これは、決して限定であることを意味しない。例えば、将来、直接インターネット接続モジュールが、車両ソフトウェアを更新するために提供され得、かかるインターネット接続モジュールが、安全でない装置と考えられ得ることが想像される。同様に、OBD2(搭載診断V2)接続は、安全でない装置に車両をさらす可能性がある。
動作は、主としてAutostrar環境において本明細書で説明される。しかしながら、これは、決して限定であることを意味しない。本明細書で教示される原理は、範囲を超えずに、Linux環境を含む他の車両環境に等しく適用可能である。
図2Aは、DCU80と通信するネットワークセキュリティ装置180を含む自動車通信ネットワーク100を示す。更なる詳細において、自動車通信ネットワーク100は、イーサネットスイッチ20と、複数のECU30と、TCU40と、外部テスタ150と、DoIPクライアント70及びDoIPノード75を含む異常分析器170と、DCU80と、ネットワークセキュリティ装置180と、CANバス90と、複数のCAN ECU95と、を含む。複数のECU30、TCU40、異常分析器170、及びDCU80のそれぞれは、イーサネットスイッチ20のそれぞれのポートに接続され、自動車通信ネットワーク100のノードを表す。外部テスタ150は、イーサネットスイッチ20のそれぞれのポートにプラグ接続可能に接続される。CANゲートウェイとして作動するDCET80は、CANバス90に更に接続され、各CAN ECET95は、CANバス90に接続される。ネットワークセキュリティ装置180は、DCET80と通信し、範囲を超えずに、そこに組み込まれてもよい。ネットワークセキュリティ装置180の一実施形態は、「データバス保護装置及び方法(Data Bus Protection Device and Method)」なる名称の同時係属中のPCT出願IL第2017/050868号明細書に説明されており、その内容全体は、参照によって本明細書に組み込まれる。ネットワークセキュリティ装置180は、ネットワークセキュリティモニタ185と、診断イベントマネージャ(DEM)190と、診断通信マネージャ(DCM)195と、DoIPノード198と、を含む。
外部テスタ150は、テスタプラグ及び適合するレセプタクルを介して、イーサネットスイッチ20のそれぞれのポートに物理的に接続されてもよく、又は限定するわけではないが、Bluetooth接続若しくは無線インターネットなどの無線接続によってアクセス可能であってもよい。DCU80は、CANバス90とイーサネットスイッチ20との間のゲートウェイコントローラとして作動する。異常分析器170は、以下で更に説明されるように、DTC及び診断異常コード(DAC)を様々なECU30、CAN ECU95及びDCU80に要求するように、かつそれに応じた保護行動を或る条件で実行するように配置される。DACという用語は、本明細書で用いられるときに、適切な構成から逸脱する異常を示すコードとして意味される。DTCとは対照的に、DACは、以下で更に説明されるように、セキュリティ欠陥、安全性欠陥、及びハッキング識別などの複雑な異常のための異常コードを提供する。
異常分析器170は、ECU30、TCU40、CAN ECU95の何れかによって生成されたDTC、及び/又はネットワークセキュリティ装置180によって生成されたDAC用のターゲットとして更に働く。異常分析器170は、以下で更に説明されるように、典型的には、受け取ったDTC/DACを外部テスタ50による検索のために格納するように配置されたメモリ(図示せず)を更に含み、受け取ったDTC/DACを分析するように配置されたプロセッサを更に含み、それに応じた保護行動を或る状況で取る。
動作において、ネットワークセキュリティ装置180のネットワークセキュリティモニタ185は、何れかのCAN ECU95にアドレス指定されたメッセージをスヌープすることによってか又は積極的にブロックすることによって、CANバス90の活動をモニタする。特に、一実施形態において、何れかのCAN ECU95にアドレス指定された各受け取ったメッセージは、スヌープされ、スヌープされたメッセージのソースアドレス及びターゲットアドレスは、有効性を決定するために受理可能なアドレスの所定のリストと比較される。別の実施形態において、何れかのCAN ECU95にアドレス指定された各受け取ったメッセージはスヌープされ、スヌープされたメッセージのパケットは、メッセージにおける何れかの異常を決定するために統計的に分析される。別の実施形態において、上記で言及したPCT/IL2017/050868号明細書で説明されているように、メッセージは、カプセル化され、有効であることが決定された場合にのみリリースされる。無効メッセージという決定の何れの場合にも、ネットワークセキュリティモニタ185は、DACを生成し、DACは、以下で更に説明されるように、異常分析器170に伝送される。
ネットワークセキュリティ装置180は、DCU80に接続されているように示されているが、これは、決して限定であることを意味しない。示された実施形態において、イーサネットスイッチ20は、イーサネットスイッチ20を通過する全てのメッセージのコピーをネットワークセキュリティ装置180の方へ伝送するように好ましくはプログラムされ、その結果、メッセージは、スヌーピングに関しネットワークセキュリティモニタ185には明らかである。代替実施形態において、ネットワークセキュリティ装置180は、イーサネットスイッチ20のそれぞれのポートに接続され、イーサネットスイッチ20は、イーサネットスイッチ20を通過する全てのメッセージのコピーをネットワークセキュリティ装置180の方へ伝送するように好ましくはプログラムされる。更に別の実施形態において、ネットワークセキュリティ装置180の第1のインスタンスは、DCU80に接続され、ネットワークセキュリティ装置180の第2のインスタンスは、イーサネットスイッチ20のそれぞれのポートに接続される。
侵入異常を検出すると、ネットワークセキュリティモニタ185は、検出された侵入異常に関する情報でDEM190に合図する。DEM190は、合図される検出された侵入異常に応答して、検出された侵入異常を反映するDACを生成し、生成されたDACをDCM195に伝送する。一実施形態において、DEM190は、複数のDACの1つを生成し、各DACは、ネットワークセキュリティモニタ185によって検出され得る特定の潜在的な侵入異常を示す。別の実施形態において、単一のDACは、ネットワークセキュリティモニタ185によって検出された特定の侵入異常を示す情報を運ぶペイロードをDEM190によって提供される。上記のように、かかる侵入異常は、限定するわけではないが、統計異常と機械学習を通して検出された異常とを含むセキュリティ及び安全性異常を含む。例えば、ネットワークセキュリティモニタ185は、分散型サービス妨害(DDOS)攻撃を検出することができる。かかる攻撃は、標準DTCに関連する異常を構成しないであろう。何故なら、各アクセスの試みが、適切だからである。アクセスの試みの蓄積が、ネットワークセキュリティモニタ185によって検出されるDDOS攻撃であることを検出した場合にのみ、適切なDACは、生成される。他の例は、限定するわけではないが、ECU30のMACアドレスになりすます試みの検出と、IP又はPORTからの加入要求と、SOME/IP情報における不正確な値と、を含む。一実施形態において、機械学習アルゴリズムは、信号の相関を定義済みのモデルと比較するために用いられる。信号が、定義済みのモデルから逸脱する場合に、異常は示され、異常に関する関係情報を含む適切なDACが生成される。
ここで図3Aを参照すると、ネットワークセキュリティ装置180から異常分析器170への情報のフローを説明する高レベルプルモード流れ図が示される。各ハードウェアイベントはECU30によって気付かれるので、イベントは、DEM190に通知される。各侵入異常は、セキュリティモニタ185によって検出されるので、異常は、DEM190に通知される。定期的に、異常分析器170のDoIPクライアント70は、全ての蓄積されたDACをネットワークセキュリティ装置180に要求し、ネットワークセキュリティ装置180のDCM195は、DoIPノード198によって実施されたDoIPを利用して、伝送されDCM195によって保持された全ての蓄積されたDACで応答する。定期的に、異常分析器170のDoIPクライアント70は、全ての蓄積されたDTCをネットワークセキュリティ装置180に要求し、ネットワークセキュリティ装置180のDCM195は、DoIPノード198によって実施されたDoIPを利用して、伝送されDCM195によって保持された全ての蓄積されたDTCで応答する。一実施形態において、異常分析器170のクライアントDoIPは、単一の要求で、全ての蓄積されたDTC及びDACをネットワークセキュリティ装置180に要求する。次に、DCM195は、DEM190によって生成される将来のDAC及びDTCを蓄積するために、自らのローカルメモリを消去する。外部テスタ150は、それぞれのECU30、ネットワークセキュリティ装置180、TCU40、及びCAN ECU95によって生成された全ての蓄積されたDAC及びDTC用の要求を異常分析器170のDoIPノード75に同様に定期的に送ってもよい。蓄積されたDAC及びDTCを伝送すると、異常分析器170は、伝送されたDAC及びDTCを自らの関連するメモリから任意選択的に消去してもよい。有利なことに、異常分析器170は、以下で更に説明されるように、受け取ったDAC及びDTCを分析するように、かつそれに応じた保護行動を或る条件で取るように更に配置される。
ここで図3Bを参照すると、ネットワークセキュリティ装置180から異常分析器170へのフローを説明する高レベルプッシュモード流れ図が示される。各ハードウェアイベントはECU30によって気付かれるので、イベントは、DEM190に通知される。各侵入異常は、セキュリティモニタ185によって検出されるので、異常は、DEM190に通知される。異常分析器170は、ネットワークセキュリティ装置180のDCM185への命令を生成し、その命令は、DEM190から受け取った全ての報告されたDAC用にイベントモードで応答するようにDCM185を設定する。したがって、チャネルは、DoIPノード198と異常分析器170との間で連続的に開かれ、DEM190によって生成されたDACに応答し、DCM195は、受け取ったDACを異常分析器170に伝送する。かかる実施形態において、DCM195は、DEM190によって生成される将来のDACを蓄積するためのローカルメモリに要求しなくてもよい。定期的に、異常分析器170のDoIPクライアント70は、全ての蓄積されたDTCをネットワークセキュリティ装置180に要求し、ネットワークセキュリティ装置180のDCM195は、DoIPノード198によって実施されたDoIPを利用して、伝送されDCM195によって保持された全ての蓄積されたDTCで応答する。次に、DCM195は、DEM190によって生成される将来のDTCを蓄積するために、自らのローカルメモリを消去する。
外部テスタ150は、それぞれのECET30、ネットワークセキュリティ装置180、TCET40、及びCAN ECET95によって生成された全ての蓄積されたDAC及びDTCを異常分析器170に定期的に要求してもよい。蓄積されたDAC及びDTCを伝送すると、異常分析器170は、伝送されたDAC及びDTCの自らの関連するメモリを任意選択的に消去してもよい。加えて、異常分析器170は、TCU40を介してリモートサーバと通信するように更に配置され、リモートサーバは、それぞれのECU30、ネットワークセキュリティ装置180、TCU40、及びCAN ECU95によって生成された全ての蓄積されたDAC及びDTCを異常分析器170に定期的に要求してもよい。
図3Cは、図3A、3Bの何れかに関連する異常分析器170の動作の高レベル流れ図を示す。異常分析器170は、FPGA、マイクロコントローラ、又は関連するメモリを備えたプロセッサにおいて実現されてもよく、関連するメモリは、電子的に可読な指示を保持し、指示は、実施された場合に、説明されるようなタスクを実行する。ステージ1000において、それぞれのECU30、ネットワークセキュリティ装置180、TCU40、及びCAN ECU95によって生成されたDAC及びDTCは受け取られる。上記のように、DACは、侵入異常に関連付けられ、DTCは、ハードウェア異常に関連付けられる。任意選択的に、上記のように、各タイプの侵入異常について、一意のDACが生成される。ステージ1010において、ステージ1000の受け取ったDAC及びDTCは、異常分析器170に関連するそれぞれのメモリに格納される。
ステージ1020において、受け取ったDACは、異常分析器170に関連するそれぞれのメモリ位置に格納されたブラックリストと比較される。実際のDACが、ブラックリストと比較されるという要件はなく、別の実施形態において、受け取ったDACのペイロード情報が、ブラックリストと比較される。その比較は、直接的な項目ごとの比較に限定されることを意味せず、値域の識別又は値の変換は、範囲を超えずに利用されてもよい。
ステージ1030において、ステージ1020の比較の結果は、識別される。ステージ1000の受け取ったDACの何れか又はそのペイロード情報が、ステージ1020のブラックリストと一致する場合に、ステージ1040において、異常分析器170は、以下で更に説明されるように、モニタに警告インジケータを出力するように、かつ任意選択的にTCU40の通信機能を不能にするように配置される。特定の一実施形態において、TCU40の通信機能は、ISO14229-1で定義されるような統一診断サービス(UDS)プロトコルメッセージを利用することによって不能にされる。この特定の実施形態において、異常分析器170は、どんな着信要求もブロックするようにTCU40の状態を修正するために、メッセージのターゲットとして、TCU40と共にUDSを通じてサービス0x31要求を用いる。一致するという用語は、情報がブラックリストで見つかるか、ブラックリストで見つかる値域にある場合か、又は所定の変換を通して、受け取ったDAC若しくはそのペイロード情報が、ブラックリストの何れかの項目と適合する場合を含むことを意味する。ブラックリストの項目は、警告インジケータが送られるべきか、及び/又は通信が不能にされるべきかどうかを示す関連するフラグを有してもよい。代替実施形態において、複数のブラックリストは、関連する行動をそれぞれ提供される。
ステージ1030において、ステージ1000の受け取ったDAC若しくはそのペイロード情報の何も、ステージ1020のブラックリストで見つからない場合に、又はステージ1040の動作後に、ステージ1000は、再び実行される。
DACはまた、TCU30によって生成されてもよい。本明細書の教示にしたがって、TCU30は、そこに埋め込まれたセキュリティモニタ185によって実現されてもよい(図示せず)。かかる実施形態において、異常が、GPSユニットの活動において検出される場合に、それぞれのDACは、DoIPを介して、異常分析器170によって生成され受け取られてもよい。
図2Bは、少なくとも1つの高度ECU230がローカルセキュリティモニタ235を含む自動車通信ネットワーク200を示す。更なる詳細において、自動車通信ネットワーク200は、イーサネットスイッチ20と、少なくとも1つの高度ECU230と、外部テスタ150と、異常分析器170と、を含む。任意選択的に、自動車通信ネットワーク200は、DCU80と、ネットワークセキュリティ装置180(簡潔にするために図示せず)と、CANバス90と、CAN ECU95と、ECU30(簡潔にするために図示せず)と、TCU40と、を更に含んでもよい。高度ECU230は、更に詳細に説明されているが、同様の配置が、範囲を超えずに、TCU用に実現され得ることを理解されたい。
高度ECU230は、ローカルセキュリティモニタ235と、DEM245と、DCM255と、DoIPトランスポート層を実現するDoIPノード265と、を含む。加えて、ECU230は、先行技術のECU30(簡潔にするために図示せず)の他の標準コンポーネントを含む。例示的な実施形態において、ローカルセキュリティモニタ235、DEM245、DCM255、及びDoIPノード265は、高度ECU230内のソフトウェアモジュールとして実現される。
動作において、かつ先行技術にしたがって、ECU230は、先行技術のECU30の標準コンポーネントによって実行されるように、本発明の時点で当業者に周知のような自動車動作を実行し、適切な動作用に自らのローカルハードウェアをモニタする。ECU230の通常動作における異常の場合に、ECU230は、検出された異常に関する情報でDEM245に合図し、それに応じてDEM245は、ECU230によって合図された特定の異常に関連するDTCを生成する。DEM245は、生成されたDTCをDCM255に伝送し、DCM255は、外部テスタ150又は異常分析器170によるリコール用に生成されたDTCを格納する。特に、定期的に、外部テスタ150又は異常分析器170は、それぞれのECU230におけるそれぞれのDCM255のそれぞれに、get DTCメッセージを送ってもよく、それに応じてDCM255は、DoIPノード265のDoIPトランスポート層を利用して、蓄積されたDTCを伝送する。
ローカルセキュリティモニタ235は、上記のように、標準DTCに関連付けられずECU230に関連する侵入異常を検出する。侵入異常は、ECU230への、かつECU230からのネットワークトラフィックを分析することによって更に検出される。一実施形態において、メッセージは、異常を検出するために解析され分析される。侵入異常を検出すると、ローカルセキュリティモニタ235は、検出された異常に関する情報でDEM245に合図する。DEM245は、合図される検出された異常に応じて、検出された異常を反映するDACを生成し、生成されたDACをDCM255に伝送する。一実施形態において、DEM245は、複数のDACの1つを生成し、各DACは、ローカルセキュリティモニタ235によって検出され得る特定の潜在的な異常を示す。別の実施形態において、単一のDACは、DEM245によって提供され、情報を運ぶペイロードは、ローカルセキュリティモニタ235によって検出された特定の異常を示す。
上記のように、かかる侵入異常は、限定するわけではないが、統計異常及び機械学習を通して検出された異常を含むセキュリティ及び安全性異常を含む。
ここで図3Aを参照すると、ECU230から異常分析器170への情報のフローを説明する高レベルプルモード流れ図が示される。各ハードウェアイベントはECU230によって気付かれるので、イベントは、それぞれのDEM245に通知される。各侵入異常は、セキュリティモニタ185によって検出されるので、異常は、それぞれのDEM245に通知される。定期的に、異常分析器170のDoIPクライアント70は、全ての蓄積されたDACをECU230に要求し、ECU230のDCM255は、それに応じ、DoIPノード265によって実施されたDoIPを利用して、DCM255によって保持された全ての蓄積されたDACを伝送する。定期的に、異常分析器170のDoIPクライアント70は、全ての蓄積されたDTCをECU230に要求し、ECU230のDCM255は、DoIPノード265によって実施されたDoIPを利用して、伝送されDCM255によって保持された全ての蓄積されたDTCで応答する。一実施形態において、異常分析器170のDoIPクライアント70は、単一の要求で、全ての蓄積されたDTC及びDACをECU230に要求する。次に、DCM255は、DEM245によって生成される将来のDAC及びDTCを蓄積するために、自らのローカルメモリを消去する。外部テスタ150は、それぞれのECU30、ECU230、ネットワークセキュリティ装置180、TCU40、及びCAN ECU95によって生成された全ての蓄積されたDAC及びDTCを同様に定期的に異常分析器170に要求してもよい。蓄積されたDAC及びDTCを伝送すると、異常分析器170は、伝送されたDAC及びDTCの自らの関連メモリを任意選択的に消去してもよい。有利なことに、異常分析器170は、以下で更に説明されるように、受け取ったDAC及びDTCを分析するように、かつそれに応じた保護行動を或る条件で取るように更に配置される。
ここで図3Bを参照すると、ECU230から異常分析器170への情報のフローを説明する高レベルプッシュモード流れ図が示される。各ハードウェアイベントはECU30によって気付かれるので、イベントは、それぞれのDEM245に通知される。各侵入異常はセキュリティモニタ185によって検出されるので、異常は、それぞれのDEM245に通知される。異常分析器170は、ECU230のDCM255への命令を生成し、その命令は、ローカルセキュリティモニタ235から受け取った全ての報告されたDAC用にイベントモードで応答するようにDCM255を設定する。したがって、チャネルは、DoIPノード198で連続的に開かれ、DEM245によって生成されたDACに応答し、DCM255は、受け取ったDACを異常分析器に伝送する。かかる実施形態において、DCM255は、DEM245によって生成される将来のDACを蓄積するためのローカルメモリを要求しなくてもよい。しかしながら、かかるローカルメモリは、ECET30からのDTCを蓄積するように要求され得る。定期的に、異常分析器170のDoIPクライアント70は、全ての蓄積されたDTCをECET230に要求してもよく、ECU230のDCM255は、DoIPノード265によって実施されたDoIPを利用して、伝送されDCM255によって保持された全ての蓄積されたDTCで応答してもよい。一実施形態において、異常分析器170のDoIPクライアント70は、単一の要求で、全ての蓄積されたDTC及びDACをECU230に要求する。次に、DCM255は、DEM245によって生成される将来のDTCを蓄積するために、自らのローカルメモリを消去する。
外部テスタ150は、それぞれのECU30、ネットワークセキュリティ装置180、TCU40、及びCAN ECU95によって生成された全ての蓄積されたDAC及びDTCを異常分析器170に定期的に要求してもよい。蓄積されたDAC及びDTCを伝送すると、異常分析器170は、伝送されたDAC及びDTCの自らの関連するメモリを任意選択的に消去してもよい。加えて、異常分析器170は、図3Cに関連して上記で説明されたように、TCU40を介してリモートサーバと通信するように更に配置され、リモートサーバは、それぞれのECU30、ECU230、ネットワークセキュリティ装置180、TCU40、及びCAN ECU95によって生成された全ての蓄積されたDAC及びDTCを異常分析器170に定期的に要求してもよい。
図4Aは、異常分析器170が、無線インターネット接続420を介して、外部異常モニタ430と通信する配置の高レベルブロック図を示す。特に、複数の車両が示され、各車両410は、イーサネットスイッチ20、ECU230、異常分析器170、及びTCU40を含む。ECU230、異常分析器170、及びTCU40のそれぞれは、イーサネットスイッチ20を通して互いに通信する。TCU40は、無線データリンクを含み、無線データリンクは、限定するわけではないが、通信対応機器用のグローバルシステムであるEV-DO、W-CDMA、HSPA+、WIMAX、又はLTEによって実現されてもよい。異常モニタ430は、無線インターネット接続420を含む無線リンクで動作するように修正された上記の外部テスト機器150に似ている。異常モニタ430は、サーバとして動作し、したがって複数の車両410用の外部テスト機器として働いてもよい。異常モニタ430は、DoIPテスタを実現し、したがって上記のように異常分析器170と通信し、リモート調査及び分析用の複数の異常分析器170から侵入異常を検索するように配置される。更に、図3Cに関連して上記で示したように、異常分析器170は、或る異常を識別した後で、モニタに警告インジケータを出力してもよい。したがって、図4Aの実施形態において、モニタは、異常モニタ430によってリモートで実現される。
図4Bは、第1の車両410の異常分析器170が、第2の車両510の異常分析器170と通信する多重車両配置500の高レベルブロック図を示す。特に、車両410は、図4A関連して上記で説明したのと同様であり、車両510は、イーサネットスイッチ20、ECU235、異常分析器170、TCU40、及び異常モニタ520を含む。車両510のECU235、異常分析器170、及びTCU40のそれぞれは、車両510のイーサネットスイッチ20を通して互いに、かつ異常モニタ520と通信する。したがって、図4Bの実施形態において、モニタは、異なる車両に位置する異常モニタ520によってリモートで実現される。特定の一実施形態において、車両集団におけるモニタする車両は、車両集団における全ての個別車両用の単一の異常モニタを実現し、それによって、単一の異常モニタ520において車両集団全体の監視を可能にしてもよい。
図4Cは、第1の車両510だけが、異常分析器170を含む多重車両配置600の高レベルブロック図を示す。特に、複数の車両610は、それぞれ、異常分析器170がない状態の上記の車両410に全ての点で似ている(簡潔にするために1台の車両だけが610示されている)。動作において、車両510の異常分析器170は、DTC及びDAC用に車両610のECU230のDoIPノードに問い合わせる。一実施形態において、車両510の異常分析器610によって受け取られた車両610のDTC及びDACは、車両510のECU230のDTC及びDACと共に、異常モニタ520によって更に監視される。
明確にするために、別個の実施形態の文脈で説明される本発明の或る特徴はまた、単一の実施形態における組み合わせで提供されてもよいことが認識される。反対に、簡潔にするために、単一の実施形態の文脈で説明される本発明の様々な特徴はまた、別々に又は何れかの適切なサブ組み合わせで提供されてもよい。特に、本発明は、各動力を供給される装置のクラスによる識別を用いて説明された。しかしながら、これは、決して限定であることを意味しない。代替実施形態において、各動力を供給される装置は、等しく扱われ、したがって、その関連する動力要件を用いるクラスの識別は、必要とされない。
別段の定義がなされない限り、本明細書で用いられる全ての技術的及び科学的用語は、本発明が属する技術分野の当業者によって一般に理解されるのと同じ意味を有する。本明細書で説明される方法に似ているか又は等価である方法は、本発明の実践又はテストにおいて用いることができるが、適切な方法が、本明細書で説明される。
本明細書で言及される全ての出版物、特許出願、特許、及び他の参考文献は、参照によってそれらの全体において組み込まれる。矛盾する場合には、定義を含む本特許明細書が勝る。加えて、材料、方法、及び例は、単に実例であり、限定であるようには意図されていない。
本発明が、上記で特に示され説明されたものに限定されないことが、当業者によって認識されよう。より正確に言えば、本発明の範囲は、添付の特許請求の範囲によって定義され、上記で説明された様々な特徴の組み合わせ及びサブ組み合わせの両方と同様に、前述の説明を読むことで当業者の心に浮かぶであろうそれらの変形及び修正を含む。

Claims (25)

  1. 自動車環境における侵入異常をモニタするためのシステムであって、該システムは、
    テレマティック制御ユニットと、
    複数のエンジン制御ユニットであって、前記複数のエンジン制御ユニットのそれぞれは、それぞれのローカルセキュリティモニタ及び前記ローカルセキュリティモニタによって検出された侵入異常に関する情報を受け取るように配置されたそれぞれの診断通信マネージャに関連する、複数のエンジン制御ユニットと、
    前記診断通信マネージャ及び前記テレマティック制御ユニットのそれぞれと通信する異常分析器であって、前記通信は、インターネットプロトコルを通じた診断を利用し、前記異常分析器は、前記それぞれのローカルセキュリティモニタによって検出された侵入異常に関する前記情報を蓄積するように配置される異常分析器と、
    を含み、
    前記異常分析器は、前記ローカルセキュリティモニタによって検出された侵入異常に関する前記受け取った情報をブラックリストと比較し、前記受け取った情報が前記ブラックリストと一致する場合に、
    前記テレマティック制御ユニットの通信機能を不能にする命令及び
    警告メッセージの少なくとも1つを出力するように更に配置されるシステム。
  2. 前記異常分析器と通信する異常モニタであって、前記警告メッセージは、前記異常モニタに送られ、前記複数のエンジン制御ユニット、前記異常分析器、及び前記異常モニタは、単一の自動車環境内に位置する、異常モニタを更に含む、請求項に記載のシステム。
  3. 異常モニタであって、前記警告メッセージは、前記異常モニタに送られ、
    前記複数のエンジン制御ユニット及び前記異常分析器は、単一の自動車環境内に位置し、
    前記異常モニタは、前記単一の自動車環境からリモートにあり、前記テレマティック制御ユニットを通して前記異常分析器と通信する、異常モニタを更に含む、請求項に記載のシステム。
  4. 前記異常モニタは、複数の異常分析器と通信し、前記異常分析器のそれぞれは、それぞれの単一の自動車環境内にある、請求項に記載のシステム。
  5. 前記異常モニタは、複数の異常分析器と通信し、前記異常分析器のそれぞれは、それぞれの単一の自動車環境内にあり、前記異常モニタは、それぞれの監視自動車環境内にある、請求項3に記載のシステム。
  6. 前記複数のエンジン制御ユニットのそれぞれは、それぞれの単一の自動車環境内にあり、前記異常分析器は、それぞれの監視自動車環境内にある、請求項1に記載のシステム。
  7. 前記複数のエンジン制御ユニットは、ネットワークのノードとして配置され、前記システムは、前記複数のエンジン制御ユニットの少なくとも1つに又はその少なくとも1つから前記ネットワークで伝送されたソフトウェアパケットにおける異常を識別するように配置されたネットワークセキュリティモニタを更に含み、前記異常分析器は、インターネットプロトコルを通じた前記診断を利用する前記異常分析器と更に通信する、請求項1に記載のシステム。
  8. 前記診断通信マネージャのそれぞれは、イベント時に前記異常分析器に報告するように配置され、前記侵入異常は、前記それぞれのローカルセキュリティモニタによって識別される、請求項1に記載のシステム。
  9. 前記異常分析器は、前記それぞれのローカルセキュリティモニタによって識別された前記侵入異常について前記診断通信マネージャのそれぞれに定期的にポーリングするように配置される、請求項1に記載のシステム。
  10. 自動車環境における侵入異常をモニタするためのシステムであって、該システムは、
    テレマティック制御ユニットと、
    複数のエンジン制御ユニットであって、前記複数のエンジン制御ユニットのそれぞれは、それぞれのローカルセキュリティモニタ及び前記ローカルセキュリティモニタによって検出された侵入異常に関する情報を受け取るように配置されたそれぞれの診断通信マネージャに関連する、複数のエンジン制御ユニットと、
    前記診断通信マネージャ及び前記テレマティック制御ユニットのそれぞれと通信する異常分析器であって、前記通信は、インターネットプロトコルを通じた診断を利用し、前記異常分析器は、前記それぞれのローカルセキュリティモニタによって検出された侵入異常に関する前記情報を蓄積するように配置される異常分析器と、
    を含み、
    前記複数のエンジン制御ユニットのそれぞれは、前記ローカルセキュリティモニタによって検出された前記侵入異常のそれぞれについて診断異常コードを生成するように配置された診断イベントマネージャを更に含み、それによって、前記診断イベントマネージャと通信する前記診断通信マネージャは、前記ローカルセキュリティモニタによって検出された異常に関する前記情報を受け取るシステム。
  11. 前記ローカルセキュリティモニタによって検出された各タイプの前記侵入異常について、前記診断イベントマネージャは、一意の診断異常コードを生成するように配置される、請求項10に記載のシステム。
  12. 自動車環境における侵入異常をモニタするためのシステムであって、該システムは、
    テレマティック制御ユニットと、
    複数のエンジン制御ユニットであって、前記複数のエンジン制御ユニットのそれぞれは、それぞれのローカルセキュリティモニタ及び前記ローカルセキュリティモニタによって検出された侵入異常に関する情報を受け取るように配置されたそれぞれの診断通信マネージャに関連する、複数のエンジン制御ユニットと、
    前記診断通信マネージャ及び前記テレマティック制御ユニットのそれぞれと通信する異常分析器であって、前記通信は、インターネットプロトコルを通じた診断を利用し、前記異常分析器は、前記それぞれのローカルセキュリティモニタによって検出された侵入異常に関する前記情報を蓄積するように配置される異常分析器と、
    を含み、
    前記異常分析器は、インターネットプロトコルクライアントを通じた診断を含み、前記複数のエンジン制御ユニットは、それぞれ、インターネットプロトコルを通じた前記診断を利用する前記通信用に、インターネットプロトコルノードを通じた診断を含むシステム。
  13. 自動車環境における侵入異常をモニタする方法であって、該方法は、
    複数のエンジン制御ユニットのそれぞれについて侵入異常を検出するステップと、
    前記検出された侵入異常に関する情報を、前記それぞれのエンジン制御ユニットに関連するそれぞれの診断通信マネージャにおいて受け取るステップと、
    インターネットプロトコルを通じた診断を利用し、前記受け取った情報を異常分析器に通信するステップと、を含み、
    前記異常分析器は、前記複数のエンジン制御ユニットの前記検出された侵入異常を蓄積するように配置され
    前記方法は、
    前記受け取った情報をブラックリストと比較するステップと、
    前記受け取った情報が前記ブラックリストと一致する場合に、
    テレマティック制御ユニットの通信機能を不能にする命令及び
    警告メッセージの少なくとも1つを出力するステップと、
    を更に含む、方法。
  14. 前記警告メッセージは、異常モニタに送られ、前記複数のエンジン制御ユニット、前記異常分析器、及び前記異常モニタは、単一の自動車環境内に位置する、請求項13に記載の方法。
  15. 前記警告メッセージは、異常モニタに送られ、
    前記複数のエンジン制御ユニット及び前記異常分析器は、単一の自動車環境内に位置し、
    前記異常モニタは、前記単一の自動車環境からリモートである、請求項13に記載の方法。
  16. 前記異常モニタは、複数の異常分析器と通信し、前記異常分析器のそれぞれは、それぞれの単一の自動車環境内にある、請求項15に記載の方法。
  17. 前記異常モニタは、複数の異常分析器と通信し、前記異常分析器のそれぞれは、それぞれの単一の自動車環境内にあり、前記異常モニタは、それぞれの監視自動車環境内にある、請求項15に記載の方法。
  18. 前記侵入異常を検出するステップは、前記複数のエンジン制御ユニットの少なくとも1つに又はその少なくとも1つから伝送されたソフトウェアパケットにおける侵入異常を識別することを含む、請求項13に記載の方法。
  19. イベント時に、前記検出された侵入異常を前記異常分析器に報告するように、前記診断通信マネージャのそれぞれを設定するステップを更に含む、請求項14に記載の方法。
  20. 自動車環境における侵入異常をモニタする方法であって、該方法は、
    複数のエンジン制御ユニットのそれぞれについて侵入異常を検出するステップと、
    前記検出された侵入異常に関する情報を、前記それぞれのエンジン制御ユニットに関連するそれぞれの診断通信マネージャにおいて受け取るステップと、
    インターネットプロトコルを通じた診断を利用し、前記受け取った情報を異常分析器に通信するステップと、を含み、
    前記異常分析器は、前記複数のエンジン制御ユニットの前記検出された侵入異常を蓄積するように配置され、
    前記方法は、
    前記検出された侵入異常について前記診断通信マネージャのそれぞれに定期的にポーリングするステップを更に含む、方法。
  21. 前記検出された侵入異常のそれぞれのために診断異常コードを生成するステップを更に含み、前記受け取った情報は、前記生成された診断異常コードを含む、請求項13に記載の方法。
  22. 検出された侵入異常の各タイプについて、前記生成された診断異常コードは、一意である、請求項21に記載の方法。
  23. 自動車環境における侵入異常をモニタするためのシステムであって、該システムは、
    ネットワークのノードとして配置された複数のエンジン制御ユニットと、
    前記複数のエンジン制御ユニットの少なくとも1つに又はその少なくとも1つから前記ネットワークで伝送されたソフトウェアパケットにおける異常を識別するように配置されたネットワークセキュリティモニタを含むネットワークセキュリティ装置と、
    前記ネットワークセキュリティモニタと通信する異常分析器であって、前記通信は、インターネットプロトコルを通じた診断を利用し、前記異常分析器は、前記ネットワークセキュリティ装置によって検出された侵入異常に関する受け取った情報をブラックリストと比較するように、かつ前記受け取った情報が前記ブラックリストと一致する場合に、
    テレマティック制御ユニットの通信機能を不能にする命令、及び
    警告メッセージの少なくとも1つを出力するように配置される異常分析器と、
    を含み、
    前記ネットワークセキュリティ装置は、イベント時に、前記ネットワークセキュリティモニタによって検出された侵入異常に関する前記情報を、前記異常分析器に報告するように配置された診断通信マネージャを更に含むシステム。
  24. 自動車環境における侵入異常をモニタするためのシステムであって、該システムは、
    ネットワークのノードとして配置された複数のエンジン制御ユニットと、
    前記複数のエンジン制御ユニットの少なくとも1つに又はその少なくとも1つから前記ネットワークで伝送されたソフトウェアパケットにおける異常を識別するように配置されたネットワークセキュリティモニタを含むネットワークセキュリティ装置と、
    前記ネットワークセキュリティモニタと通信する異常分析器であって、前記通信は、インターネットプロトコルを通じた診断を利用し、前記異常分析器は、前記ネットワークセキュリティ装置によって検出された侵入異常に関する受け取った情報をブラックリストと比較するように、かつ前記受け取った情報が前記ブラックリストと一致する場合に、
    テレマティック制御ユニットの通信機能を不能にする命令、及び
    警告メッセージの少なくとも1つを出力するように配置される異常分析器と、
    を含み、
    前記複数のエンジン制御ユニットは、それぞれ、ローカルセキュリティモニタと、前記ローカルセキュリティモニタによって検出された侵入異常に関する情報を受け取るように配置された診断通信マネージャと、を含み、
    前記異常分析器は、インターネットプロトコルを通じた前記診断を利用する前記エンジン制御ユニットの前記診断通信マネージャのそれぞれと更に通信し、前記異常分析器は、前記それぞれのローカルセキュリティモニタによって検出された侵入異常に関する前記情報を蓄積するように配置される、システム。
  25. 前記異常分析器は、前記エンジン制御ユニットの前記診断通信マネージャからの侵入異常に関する前記受け取った情報を前記ブラックリストと比較するように、かつ前記診断通信マネージャの何れかからの侵入異常に関する前記受け取った情報が、前記ブラックリストで一致する場合に、
    前記テレマティック制御ユニットの通信機能を不能にする前記命令、及び
    前記警告メッセージの少なくとも1つを出力するように更に配置される、請求項24に記載のシステム。
JP2020559056A 2018-01-16 2018-12-30 車両環境における侵入異常モニタリング Active JP7288162B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201862617668P 2018-01-16 2018-01-16
US62/617,668 2018-01-16
PCT/IL2018/051410 WO2019142180A1 (en) 2018-01-16 2018-12-30 Intrusion anomaly monitoring in a vehicle environment

Publications (2)

Publication Number Publication Date
JP2021510895A JP2021510895A (ja) 2021-04-30
JP7288162B2 true JP7288162B2 (ja) 2023-06-07

Family

ID=65441018

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020559056A Active JP7288162B2 (ja) 2018-01-16 2018-12-30 車両環境における侵入異常モニタリング

Country Status (6)

Country Link
US (1) US11822649B2 (ja)
EP (1) EP3741091B1 (ja)
JP (1) JP7288162B2 (ja)
KR (1) KR20200106539A (ja)
CN (1) CN111630825B (ja)
WO (1) WO2019142180A1 (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10496398B2 (en) * 2017-07-25 2019-12-03 Aurora Labs Ltd. Hot updates to ECU software using tool chain
CN110771099B (zh) 2018-05-23 2022-08-26 松下电器(美国)知识产权公司 异常检测装置、异常检测方法以及记录介质
JP7280109B2 (ja) * 2019-05-23 2023-05-23 ファナック株式会社 異常監視装置
DE102019210226A1 (de) * 2019-07-10 2021-01-14 Robert Bosch Gmbh Vorrichtung und Verfahren für Angriffserkennung in einem Kommunikationsnetzwerk
EP4004782A1 (en) 2019-07-24 2022-06-01 C2A-SEC, Ltd. Intrusion anomaly monitoring in a vehicle environment
WO2021038869A1 (ja) * 2019-08-30 2021-03-04 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車両監視装置および車両監視方法
JP7207252B2 (ja) * 2019-10-10 2023-01-18 トヨタ自動車株式会社 変換装置
GB2592650A (en) * 2020-03-05 2021-09-08 Jaguar Land Rover Ltd Vehicle diagnostics
KR20210120287A (ko) * 2020-03-26 2021-10-07 현대자동차주식회사 진단 시스템 및 차량
JP7409247B2 (ja) * 2020-07-14 2024-01-09 株式会社デンソー 不正侵入防止装置、不正侵入防止方法、及び不正侵入防止用プログラム
TWI785405B (zh) * 2020-10-21 2022-12-01 財團法人資訊工業策進會 車輛狀態監測裝置及其車輛狀態監測方法
CN114460913A (zh) * 2020-11-09 2022-05-10 中兴通讯股份有限公司 一种车辆上的ecu管理方法、ecu以及可读存储介质
CN112859814B (zh) * 2021-01-19 2022-08-02 英博超算(南京)科技有限公司 一种异构平台的DoIP诊断系统
US11882013B2 (en) * 2021-08-18 2024-01-23 Hewlett Packard Enterprise Development Lp Network traffic monitoring for anomalous behavior detection
CN115174245A (zh) * 2022-07-15 2022-10-11 湖北天融信网络安全技术有限公司 一种基于DoIP协议检测的测试方法及系统
CN115320538A (zh) * 2022-07-20 2022-11-11 国汽智控(北京)科技有限公司 智能网联汽车入侵检测系统及方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140032800A1 (en) 2012-07-30 2014-01-30 GM Global Technology Operations LLC Vehicle message filter
US20150195297A1 (en) 2014-01-06 2015-07-09 Argus Cyber Security Ltd. Global automotive safety system

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9787703B2 (en) * 2006-05-16 2017-10-10 Lear Corporation Method for vehicle intrusion detection with mobile router
US9043073B2 (en) * 2011-11-16 2015-05-26 Flextronics Ap, Llc On board vehicle diagnostic module
US9319423B2 (en) * 2013-11-04 2016-04-19 At&T Intellectual Property I, L.P. Malware and anomaly detection via activity recognition based on sensor data
US10824720B2 (en) * 2014-03-28 2020-11-03 Tower-Sec Ltd. Security system and methods for identification of in-vehicle attack originator
FR3027129B1 (fr) * 2014-10-08 2016-10-21 Renault Sa Systeme de reseau embarque de vehicule et procede de detection d'intrusion sur le reseau embarque
JP6573819B2 (ja) * 2015-01-20 2019-09-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
US9866542B2 (en) * 2015-01-28 2018-01-09 Gm Global Technology Operations Responding to electronic in-vehicle intrusions
US9984512B2 (en) * 2015-07-02 2018-05-29 International Business Machines Corporation Cooperative vehicle monitoring and anomaly detection
KR20170029929A (ko) * 2015-09-08 2017-03-16 현대자동차주식회사 차량 네트워크의 통신 노드에 대한 적합성 검사 방법
US11397801B2 (en) * 2015-09-25 2022-07-26 Argus Cyber Security Ltd. System and method for controlling access to an in-vehicle communication network
KR102217255B1 (ko) * 2015-10-12 2021-02-17 현대자동차주식회사 네트워크에서 통신 노드의 동작 방법
US11044260B2 (en) * 2016-04-01 2021-06-22 The Regents Of The University Of Michigan Fingerprinting electronic control units for vehicle intrusion detection
EP3440817B1 (en) * 2016-04-06 2022-06-22 Karamba Security Automated security policy generation for controllers
US10140783B2 (en) * 2017-02-15 2018-11-27 Ford Global Technologies, Llc Enhanced central gateway for vehicle networking
KR102320043B1 (ko) * 2017-09-13 2021-11-01 현대자동차주식회사 차량용 제어 장치의 진단 방법 및 장치
US20190182267A1 (en) * 2017-12-13 2019-06-13 International Business Machines Corporation Vehicle security manager
JP7045286B2 (ja) 2018-01-22 2022-03-31 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ データ解析装置、データ解析方法及びプログラム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140032800A1 (en) 2012-07-30 2014-01-30 GM Global Technology Operations LLC Vehicle message filter
US20150195297A1 (en) 2014-01-06 2015-07-09 Argus Cyber Security Ltd. Global automotive safety system

Also Published As

Publication number Publication date
US20200342099A1 (en) 2020-10-29
JP2021510895A (ja) 2021-04-30
CN111630825A (zh) 2020-09-04
CN111630825B (zh) 2022-09-06
WO2019142180A1 (en) 2019-07-25
EP3741091B1 (en) 2022-02-02
KR20200106539A (ko) 2020-09-14
EP3741091A1 (en) 2020-11-25
US11822649B2 (en) 2023-11-21

Similar Documents

Publication Publication Date Title
JP7288162B2 (ja) 車両環境における侵入異常モニタリング
US11363045B2 (en) Vehicle anomaly detection server, vehicle anomaly detection system, and vehicle anomaly detection method
Kim et al. Cybersecurity for autonomous vehicles: Review of attacks and defense
US20200186560A1 (en) System and method for time based anomaly detection in an in-vehicle communication network
KR102506931B1 (ko) 전자화 장비 보안 검사 시스템 및 그 방법
US10708293B2 (en) System and method for time based anomaly detection in an in-vehicle communication network
JP6807906B2 (ja) 車両へのコンピュータ攻撃を阻止するためのルールを生成するシステムおよび方法
WO2021145144A1 (ja) 侵入経路分析装置および侵入経路分析方法
CN111066001A (zh) 日志输出方法、日志输出装置以及程序
JP2022541489A (ja) 車両環境における侵入異常監視
US10666671B2 (en) Data security inspection mechanism for serial networks
US20220157090A1 (en) On-vehicle security measure device, on-vehicle security measure method, and security measure system
CN115941333A (zh) 基于Tbox的车联网信息安全防护系统及方法
CN113169966B (zh) 用于监控数据传输系统的方法、数据传输系统和机动车
WO2021106446A1 (ja) 検知装置、車両、検知方法および検知プログラム
Subke et al. In-Vehicle Diagnostic System for Prognostics and OTA Updates of Automated/Autonomous Vehicles
Abbas et al. Anomaly detection system for altered signal values within the intra-vehicle network
Hadi Sultani et al. Indicators of Compromise of Vehicular Systems
JP7230147B1 (ja) 車両セキュリティ分析装置、方法およびそのプログラム
US20220394470A1 (en) Method and control unit for detecting unauthorised data traffic in a packet-oriented data network of a motor vehicle, and corresponding motor vehicle
CN115348091A (zh) 基于自动驾驶的入侵检测方法、装置和电子设备

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211102

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220913

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221213

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230322

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230418

R150 Certificate of patent or registration of utility model

Ref document number: 7288162

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150