WO2021144858A1 - 異常検知システム、異常検知装置、及び異常検知方法 - Google Patents

異常検知システム、異常検知装置、及び異常検知方法 Download PDF

Info

Publication number
WO2021144858A1
WO2021144858A1 PCT/JP2020/000920 JP2020000920W WO2021144858A1 WO 2021144858 A1 WO2021144858 A1 WO 2021144858A1 JP 2020000920 W JP2020000920 W JP 2020000920W WO 2021144858 A1 WO2021144858 A1 WO 2021144858A1
Authority
WO
WIPO (PCT)
Prior art keywords
detection
abnormality detection
vehicle
unit
ecu
Prior art date
Application number
PCT/JP2020/000920
Other languages
English (en)
French (fr)
Inventor
良浩 氏家
剛 岸川
平野 亮
芳賀 智之
Original Assignee
パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ filed Critical パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ
Priority to PCT/JP2020/000920 priority Critical patent/WO2021144858A1/ja
Priority to PCT/JP2020/046434 priority patent/WO2021145116A1/ja
Priority to JP2021543219A priority patent/JPWO2021145116A1/ja
Priority to CN202080067597.5A priority patent/CN114450683A/zh
Priority to EP20913320.6A priority patent/EP4092552A4/en
Publication of WO2021144858A1 publication Critical patent/WO2021144858A1/ja
Priority to US17/739,935 priority patent/US20220263849A1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • H04L12/40176Flexible bus arrangements involving redundancy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • B60R16/0232Circuits relating to the driving or the functioning of the vehicle for measuring vehicle parameters and indicating critical, abnormal or dangerous conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Definitions

  • the present invention relates to an abnormality detection system, an apparatus, and a method for detecting an abnormality in an in-vehicle network system.
  • ECUs electronice control units
  • in-vehicle network The network connecting these ECUs.
  • CAN Control Area Network
  • the communication path is composed of two buses, and the ECU connected to the buses is called a node.
  • Each node connected to the bus sends and receives a message called a frame.
  • the transmitting node attaches an ID called a message ID for each frame and transmits, and each receiving node receives only a predetermined message ID. Therefore, there is a threat that the automobile can be illegally controlled by connecting the ECU to the CAN bus and transmitting a frame containing an abnormal control command by pretending to be a legitimate ECU.
  • MAC message authentication code
  • Japanese Patent No. 5770602 Japanese Patent No. 5919205
  • an object of the present invention is to provide a safer in-vehicle network system by further providing a function for managing a function for detecting fraud.
  • the abnormality detection method in the vehicle-mounted network system which is one aspect of the present invention, is an abnormality detection method in the vehicle-mounted network system in which one or more electronic control devices are connected, and at least one or more locations.
  • Anomaly detection step that detects anomalies and outputs anomaly detection results
  • anomaly detection result management step that inputs at least one or more of the anomaly detection results and outputs anomaly detection status result information, and the anomaly detection status result. It has an abnormality detection result transmission step that outputs information to a device outside a specific vehicle.
  • the present invention it is possible to appropriately distinguish between the case where an abnormality occurs in the network system of the vehicle and the case where an abnormality occurs in the function itself for detecting the generated abnormality from the outside of the vehicle. It is possible to guarantee the overall safety.
  • FIG. 1 is a diagram showing an example of the overall configuration of the in-vehicle network system 1000 according to the first embodiment.
  • FIG. 2 is a diagram showing an example of the configuration of the ECU 1100a according to the first embodiment.
  • FIG. 3 is a diagram showing an example of a detection rule according to the first embodiment.
  • FIG. 4 is a diagram showing an example of the configuration of the GW-ECU 1200 according to the first embodiment.
  • FIG. 5 is a diagram showing an example of the format of the detection result status message in the first embodiment.
  • FIG. 6 is a diagram showing an example of the detection result management table according to the first embodiment.
  • FIG. 7 is a diagram showing an example of the configuration of the communication ECU 1300 according to the first embodiment.
  • FIG. 1 is a diagram showing an example of the overall configuration of the in-vehicle network system 1000 according to the first embodiment.
  • FIG. 2 is a diagram showing an example of the configuration of the ECU 1100a according to the first embodiment.
  • FIG. 8 is a diagram showing an example of the configuration of the server 1400 according to the first embodiment.
  • FIG. 9 is a diagram showing an example of a sequence related to detection result communication in the first embodiment.
  • FIG. 10 is a diagram showing an example of a sequence relating to flag setting in the first embodiment.
  • FIG. 11 is a diagram showing an example of the configuration of the ECU 11100a in the modified example of the first embodiment.
  • FIG. 12 is a diagram showing an example of the overall configuration of the vehicle-mounted network system 2000 according to the second embodiment.
  • FIG. 13 is a diagram showing an example of a detection rule according to the second embodiment.
  • FIG. 14 is a diagram showing an example of the configuration of the GW-ECU 2200 according to the second embodiment.
  • FIG. 15 is a diagram showing an example of the format of the detection result status message in the second embodiment.
  • FIG. 16 is a diagram showing an example of a detection result management table according to the second embodiment.
  • FIG. 17 is a diagram showing an example of the configuration of the communication ECU 2300 according to the second embodiment.
  • FIG. 18 is a diagram showing an example of the configuration of IVI2500 according to the second embodiment.
  • FIG. 19 is a diagram showing an example of a sequence related to detection result communication in the second embodiment.
  • FIG. 20 is a diagram showing an example of a sequence relating to flag setting in the second embodiment.
  • FIG. 21 is a diagram showing an example of the format of the detection result status message in the first modification of the second embodiment.
  • FIG. 22 is a diagram showing an example of the configuration of the GW-ECU 22200 in the second modification of the second embodiment.
  • FIG. 23 is a diagram showing an example of the configuration of the GW-ECU 32200 in the third modification of the second embodiment.
  • FIG. 24 is a diagram showing an example of a sequence relating to flag setting in the third modification of the third embodiment.
  • the abnormality detection method in an in-vehicle network system is an abnormality detection method in an in-vehicle network system in which one or more electronic control devices are connected, and detects an abnormality in at least one or more parts and makes an abnormality.
  • An abnormality detection step that outputs the detection result
  • an abnormality detection result management step that inputs at least one or more of the abnormality detection results and outputs the abnormality detection state result information, and the abnormality detection state result information outside the specific vehicle. It has an abnormality detection result transmission step for outputting to the device.
  • the abnormality detection method in the vehicle-mounted network system is characterized in that the abnormality detection step is an vehicle-mounted network message abnormality detection step.
  • the abnormality detection method in the vehicle-mounted network system is characterized in that the vehicle-mounted network message abnormality detection step is a CAN message abnormality detection step.
  • the abnormality detection method in the vehicle-mounted network system is characterized in that the vehicle-mounted network message abnormality detection step is an Ethernet (registered trademark) message abnormality detection step.
  • the abnormality detection method in the in-vehicle network system is characterized in that the abnormality detection step is an abnormality detection step for a system log of a specific ECU.
  • the abnormality detection result management step outputs the abnormality detection state result information according to the state of the vehicle mounted on the vehicle-mounted network system. It is characterized by.
  • the abnormality detection system is an abnormality detection system in an in-vehicle network system in which one or more electronic control devices are connected, and detects an abnormality at at least one or more places, and the abnormality detection result is obtained.
  • Anomaly detection unit that outputs anomaly detection result anomaly detection result management unit that outputs anomaly detection status result information by inputting at least one or more of the anomaly detection results, and anomaly detection status result information to a device outside a specific vehicle. It is characterized by having an abnormality detection result transmission unit that outputs.
  • the abnormality detection device is an abnormality detection device in an in-vehicle network system in which one or more electronic control devices are connected, and detects an abnormality at at least one or more points, and the abnormality detection result is obtained.
  • Anomaly detection unit that outputs anomaly detection result anomaly detection result management unit that outputs anomaly detection status result information by inputting at least one or more of the anomaly detection results, and anomaly detection status result information to a device outside a specific vehicle. It is characterized by having an abnormality detection result transmission unit that outputs.
  • FIG. 1 is a diagram showing the overall configuration of the vehicle-mounted network system 1000 according to the present invention.
  • the in-vehicle network system 1000 is composed of a vehicle 1001 and a server 1400 that operates by connecting to the vehicle 1001 via a network.
  • the vehicle 1001 relays the connection between the ECUs 1100a, 1100b, 1100c, the brake 1011, the handle 1012, and the accelerator 1013, which are controlled by each ECU, and the respective ECUs 1100a to 1100d, which are connected by various in-vehicle networks. And a communication ECU 1300 that communicates with the GW-ECU 1200 via an in-vehicle network.
  • the ECUs 1100a to 1100d realize control of the vehicle by transmitting and receiving communication messages to and from each other through the in-vehicle network.
  • CAN is used for the in-vehicle network.
  • the GW-ECU 1200 is in charge of the process of communicating with other ECUs through the in-vehicle network and transferring them.
  • the communication ECU 1300 communicates with the server 1400, and transmits / receives a message between the server 1400 and another ECU in the vehicle 1001.
  • Server 1400 remotely monitors to ensure the safety of the vehicle.
  • FIG. 2 is a diagram showing a configuration of ECU 1100a according to the present invention.
  • the ECU 1100a includes a communication unit 1101, a message conversion unit 1102, a detection unit 1103, and a detection rule holding unit 1104. Since the ECU 1100b and the ECU 1100c have the same configuration, the description thereof will be omitted here.
  • the communication unit 1101 communicates with other ECUs through various sensors and an in-vehicle network.
  • the received message and the sensor value are notified to the message conversion unit 1102. Further, the message notified by the message conversion unit 1102 and the detection unit 1103 is transmitted to other ECUs and various sensors.
  • the message conversion unit 1102 converts the notified sensor value based on the format of the vehicle-mounted network and transmits it to another ECU via the communication unit 1101. Further, the communication message received from the communication unit 1101 is converted into sensor values and setting information, and transmitted to various sensors via the communication unit 1101. In addition, the received sensor value and message are notified to the detection unit 1103.
  • the detection unit 1103 determines the received message by using the detection rule held by the detection rule holding unit 1104.
  • the detection rule holding unit 1104 holds the detection rule used by the detection unit 1103. An example of the detection rule is shown in FIG.
  • FIG. 3 shows an example of a rule for detecting an abnormality in a message of an in-vehicle network.
  • the detection rule includes the rule No.
  • the type of data detected by the rule, the ID of the target data, the content of the data included in the message, and the determination rule are included. In this embodiment, if the message data is out of the rule range, an error will occur.
  • FIG. 4 is a diagram showing the configuration of the GW-ECU 1200 according to the present invention.
  • the GW-ECU 1200 is composed of a communication unit 1201, a detection result management unit 1202, a detection result holding unit 1203, and a transfer processing unit 1204.
  • the communication unit 1201 communicates with the external ECU via the in-vehicle network, and notifies the detection result management unit 1202 and the transfer processing unit 1204 of the received message. Further, the message notified from the detection result management unit 1202 and the transfer processing unit 1204 is transmitted to another ECU.
  • the detection result management unit 1202 acquires the detection result from the received message regarding the detection result notified from the communication unit 1201 and stores it in the detection result holding unit 1203 together with the peripheral information. Further, the detection result status of each ECU is determined from the holding contents of the detection result holding unit 1203, and the detection result status message is transmitted to the communication ECU 1300 via the communication unit 1201. An example of the message format of the detection result status message is shown in FIG.
  • the detection result holding unit 1203 stores and holds the detection result data notified by the detection result management unit 1202. In addition, the detection result data is notified in response to a read instruction from the detection result management unit 1202. An example of specific retention contents is shown in FIG.
  • the transfer processing unit 1204 carries out the transfer processing of the in-vehicle message according to a predetermined rule. In this embodiment, the received message is transferred to all other ECUs.
  • FIG. 5 is a diagram showing an example of the format of the detection result status message.
  • the payload is composed of a detection result header D1101, a detection unit ID D1102, a flag D1103, and a data size D1104.
  • the detection result header D1101 is an area for storing a value indicating the type and number of data that follow. By putting a predetermined number at the beginning, it indicates that the subsequent data is a message indicating the detection result status, and at the same time, plays a role of communicating the contents to the receiver.
  • the detection unit ID D1102 stores a number for identifying the detection unit in the ECU 1100a, ECU 1100b, and ECU 1100c.
  • Flag D1103 indicates a determination result of whether or not the detection result from the detection unit specified by the detection unit ID D1102 can be normally received.
  • the detection result payload D1104 indicates the result of determining the detection result status.
  • FIG. 6 is a diagram showing an example of a detection result management table held by the detection result holding unit.
  • the detection result management table is composed of a detection unit ID, target data, a final detection result, and a collection detection result reception time.
  • the detection unit ID is a number for identifying the detection unit mounted on each ECU.
  • the target data indicates the result of detecting what kind of data the stored detection result is.
  • the final detection result indicates the latest detection result received from the detection unit.
  • the final detection result reception time is the time when the latest result is received recorded in the GW-ECU 1200.
  • FIG. 7 is a configuration diagram of the communication ECU 1300.
  • the communication ECU 1300 includes an in-vehicle communication unit 1301, a conversion unit 1302, and an external communication unit 1303.
  • the in-vehicle communication unit 1301 notifies the conversion unit 1302 of a message received from another ECU in the vehicle. Further, the message notified by the conversion unit 1302 is transmitted to another ECU in the vehicle.
  • the conversion unit 1302 converts the data that requires the transfer of the received message into a predetermined format via the in-vehicle communication unit 1301 and the out-of-vehicle communication unit 1303, and transmits the data to the other.
  • the out-of-vehicle communication unit 1303 notifies the conversion unit 1302 of the message received from the server 1400.
  • the message notified by the conversion unit 1302 is transmitted to the server 1400.
  • FIG. 8 shows a configuration diagram of server 1400.
  • the server 1400 includes a communication unit 1401 and a vehicle management unit 1402.
  • the communication unit 1401 communicates with the vehicle 1001 and notifies the vehicle management unit 1402 of the received message. In addition, the content notified by the vehicle management unit 1402 is transmitted to the vehicle 1001.
  • the vehicle management unit 1402 communicates with the vehicle 1001 via the communication unit 1401 and manages whether or not the detection unit for detecting an abnormality in the vehicle is working normally.
  • FIG. 9 shows an example of a sequence in which the ECU 1100a notifies the GW-ECU 1200 of the detection result and transmits the result of determination in the GW-ECU 1200 to the communication ECU 1300. ..
  • the GW-ECU 1200 waits for the detection results from the other ECUs 1100a to 1100c for a predetermined time.
  • the received detection result is saved in the default location each time.
  • the state of the ECU 1100a that has transmitted the detection result is determined according to a predetermined algorithm. In the present embodiment, if the NG result is received even once, it is determined that the target ECU is under attack. Further, when the OK result is received, it is determined that the ECU is normal.
  • FIG. 10 shows an example of a processing sequence for setting a flag when the GW-ECU 1200 has not sufficiently received the detection result from the ECUs 1100a to 1100c.
  • the in-vehicle network system shown in the first embodiment appropriately distinguishes between the case where an abnormality occurs in the vehicle network system and the case where an abnormality occurs in the function itself for detecting the generated abnormality from the outside of the vehicle. This makes it possible to ensure the safety of the entire vehicle.
  • the detection result management unit is provided in a GW-ECU different from the ECU having the detection unit, but the ECU having the detection unit may hold the detection result management unit. Since the description of the drawings similar to those of the first embodiment will be omitted, only the ECU 11100a having a different configuration will be described here.
  • FIG. 11 is a diagram showing a configuration of ECU 11100a according to the present invention.
  • the ECU 11100a includes a communication unit 1101, a message conversion unit 1102, a detection unit 11103, a detection rule holding unit 1104, a detection result management unit 11105, and a detection result holding unit 11106. Since the ECU 11100b and the ECU 11100c have the same configuration, the description thereof will be omitted here.
  • the detection unit 11103 determines the received message using the detection rule held by the detection rule holding unit 1104, and notifies the detection result management unit 11105 of the result.
  • the detection result management unit 11105 stores the detection result notified from the detection unit 11103 in the detection result holding unit 11106 together with the peripheral information. Further, the detection result status is determined from the holding contents of the detection result holding unit 11106, and the detection result status message is transmitted to the communication ECU 1300 via the communication unit 1101. An example of the message format of the detection result status message is shown in FIG.
  • the detection result holding unit 11106 stores and holds the detection result data notified by the detection result management unit 11105. In addition, the detection result data is notified in response to a read instruction from the detection result management unit 11105. An example of specific retention contents is shown in FIG.
  • FIG. 12 is a diagram showing the overall configuration of the vehicle-mounted network system 2000 according to the present invention.
  • the in-vehicle network system 2000 is composed of a vehicle 2001 and a server 1400 that operates by connecting to the vehicle 1001 via a network.
  • the vehicle 2001 relays the connection between the ECUs 1100a, 1100b, 1100c, the brake 1011, the handle 1012, and the accelerator 1013, which are controlled by each ECU, and the respective ECUs 1100a to 1100d, which are connected by various in-vehicle networks. It is composed of a communication ECU 2300 that communicates with the GW-ECU 2200 via an in-vehicle network, and an IVI (In-Vehicle Infotainment system) 2500 that has a screen capable of presenting information to the driver.
  • IVI In-Vehicle Infotainment system
  • the GW-ECU 2200 is in charge of the process of communicating with other ECUs through the in-vehicle network and transferring them.
  • the communication ECU 2300 communicates with the server 1400 and transmits / receives a message between the server 1400 and another ECU in the vehicle 2001.
  • the IVI2500 communicates with other ECUs via the GW-ECU2200 and presents the information in the vehicle to the driver. It is connected to the GW-ECU 2200 via Ethernet.
  • FIG. 13 shows an example of a rule for detecting an abnormality in a message of an in-vehicle network.
  • the detection rule includes the rule No.
  • the type of data detected by the rule, the ID of the target data, the content of the data included in the message, and the determination rule are included. In this embodiment, if the message or log data is outside the scope of the rule, an error will occur.
  • FIG. 14 is a diagram showing the configuration of the GW-ECU 2200 according to the present invention.
  • the GW-ECU 2200 includes a communication unit 1201, a detection result management unit 2202, a detection result holding unit 2203, and a transfer processing unit 1204.
  • the detection result management unit 2202 acquires the detection result from the received message regarding the detection result notified from the communication unit 1201 and stores it in the detection result holding unit 2203 together with the peripheral information. Further, the detection result status of each ECU is determined from the holding contents of the detection result holding unit 2203, and the detection result status message is transmitted to the communication ECU 2300 via the communication unit 1201. An example of the message format of the detection result status message is shown in FIG.
  • the detection result holding unit 2203 stores and holds the detection result data notified by the detection result management unit 2202. In addition, the detection result data is notified in response to a read instruction from the detection result management unit 2202. An example of a specific holding content is shown in FIG.
  • FIG. 15 is a diagram showing an example of the format of the detection result status message.
  • the payload is composed of a header D1101, a detection unit ID D1102, a flag D1103, and a data size D1104. Since the content of the configuration is the same as that of the first embodiment, the description thereof will be omitted, but as shown in this figure, it is possible to put flags for a plurality of detection units in one message.
  • FIG. 16 is a diagram showing an example of a detection result management table held by the detection result holding unit.
  • the detection result management table is composed of a detection unit ID, target data, a final detection result, and a collection detection result reception time. Since the configuration is the same as that of the first embodiment, the following description will be omitted.
  • FIG. 17 is a configuration diagram of the communication ECU 2300.
  • the communication ECU 2300 includes an in-vehicle communication unit 2301, a conversion unit 1302, an external communication unit 2303, a detection unit 2304, and a detection rule holding unit 2305.
  • the in-vehicle communication unit 2301 notifies the conversion unit 1302 of a message received from another ECU in the vehicle. Further, the conversion unit 1302, the detection unit 2304, and the more notified message are transmitted to other ECUs in the vehicle.
  • the out-of-vehicle communication unit 2303 notifies the conversion unit 1302 of the message received from the server 1400.
  • the message notified by the conversion unit 1302 is transmitted to the server 1400.
  • the log related to communication is notified to the detection unit 2304.
  • the detection unit 2304 examines the log related to the communication notified from the external communication unit 2303, and periodically notifies the GW-ECU 2200 via the in-vehicle communication unit 2301 whether or not a communication error has occurred. ..
  • the detection rule holding unit 2305 holds the detection rule used by the detection unit 2304. An example of the detection rule is shown in FIG.
  • FIG. 18 is a configuration diagram of IVI2500.
  • the IVI 2500 includes a communication unit 2501, a display unit 2502, a detection unit 2503, and a detection rule holding unit 2305.
  • the communication unit 2501 communicates with other ECUs through the in-vehicle network.
  • the received message is notified to the display unit 2502 and the detection unit 2503. Further, the message notified by the detection unit 1103 is transmitted to the GW-ECU 2200.
  • the display unit 2502 displays the content received via the communication unit 2501. In addition, the operation content of the driver is notified to other ECUs via the communication unit 2501.
  • the detection unit 2503 detects an abnormality in communication for the inside of the vehicle according to the detection rule held in the detection rule holding unit 2305, and periodically notifies the GW-ECU 2200 of the detection result via the communication unit 2501.
  • the detection rule holding unit 2305 holds the detection rule used by the detection unit 2503. An example of the detection rule is shown in FIG.
  • FIG. 19 shows the result of the ECU 1100a, the communication ECU 2300, and the IVI 2500 notifying the GW-ECU 2200 of the detection result and making a determination in the GW-ECU 2200.
  • An example of the sequence to be transmitted to is shown. The same processing steps as those in the first embodiment are assigned the same numbers, and the description thereof will be omitted.
  • the GW-ECU 2200 waits for the detection results from the other ECUs 1100a to 1100c, the communication ECU 2300, and the IVI 2500 for a predetermined time.
  • the received detection result is saved in the default location each time.
  • the GW-ECU 2200 proceeds to S2103 if there is an ECU that has not received the detection result within the specified time, and to S2104 if the detection results are received from all the ECUs.
  • the state of all ECUs that have transmitted the detection results is determined according to a predetermined algorithm. In the present embodiment, if the NG result is received even once, it is determined that the target ECU is under attack. Further, when the OK result is received, it is determined that the ECU is normal.
  • FIG. 20 shows an example of a processing sequence for setting a flag when there is an ECU in which the GW-ECU 2200 has not sufficiently received the detection result.
  • the same processing steps as those in the first embodiment are assigned the same numbers, and the description thereof will be omitted.
  • the in-vehicle network system shown in the second embodiment appropriately distinguishes between the case where an abnormality occurs at a plurality of locations of the vehicle network system at the same time and the case where an abnormality occurs in the function itself for detecting the generated abnormality from the outside. It becomes possible to ensure the safety of the entire vehicle. In addition, it is not necessary to send all the results of the plurality of abnormality detection functions to the outside of the vehicle, and the amount of communication can be reduced.
  • FIG. 21 is a diagram showing an example of the format of the detection result status message.
  • the payload is composed of a header D1101, a detection unit ID D1102, a flag D1103, and a data size D1104, and the final D2104 stores the result of comprehensively determining all the detection results.
  • it is determined that it is OK when all the detection rules specified in FIG. X are satisfied, and it is determined as NG when there is a rule that does not satisfy even one.
  • the in-vehicle network system shown in the first modification of the second embodiment externally determines the case where an abnormality occurs at a plurality of locations of the vehicle network system at the same time and the case where an abnormality occurs in the function itself for detecting the generated abnormality. It becomes possible to distinguish more appropriately, and it becomes possible to ensure the safety of the entire vehicle. In addition, it is not necessary to send all the results of the plurality of abnormality detection functions to the outside of the vehicle, and the amount of communication can be reduced. Further, regardless of the detection result of the individual detection function, when the processing is performed outside the vehicle, the communication amount can be further reduced.
  • each ECU has a detection unit, but the GW-ECU may have all of them as in the detection result management unit. Since the description of the drawings similar to those of the second embodiment will be omitted, the GW-ECU 22200 having a different configuration will be described here.
  • FIG. 22 is a diagram showing the configuration of the GW-ECU 22200 according to the present invention.
  • the GW-ECU 2200 detects the communication unit 22201, the detection result management unit 22202, the detection result holding unit 2203, the transfer processing unit 1204, the CAN detection unit 22205, the detection rule holding unit 22206, and the Ether detection unit 22207. It is composed of a rule holding unit 22208.
  • the communication unit 22201 communicates with the external ECU via the in-vehicle network, and notifies the received message to the CAN detection unit 22205, the Ether detection unit 22207, and the transfer processing unit 1204. Further, the message notified from the detection result management unit 22202 and the transfer processing unit 1204 is transmitted to another ECU.
  • the detection result management unit 22202 stores the CAN detection unit 22205, the Ether detection unit 22207, and the notified detection result in the detection result holding unit 2203 together with the peripheral information. Further, the detection result status of each ECU is determined from the holding contents of the detection result holding unit 2203, and the detection result status message is transmitted to the communication ECU 2300 via the communication unit 22201. An example of the message format of the detection result status message is shown in FIG.
  • the CAN detection unit 22205 determines the CAN reception message using the detection rule held by the detection rule holding unit 22206.
  • the detection rule holding unit 22206 holds the detection rule used by the CAN detection unit 22205.
  • An example of the detection rule is shown in FIG.
  • the Ether detection unit 22207 determines the Ether reception message using the detection rule held by the detection rule holding unit 22208.
  • the detection rule holding unit 22208 holds the detection rule used by the Ether detection unit 22207.
  • An example of the detection rule is shown in FIG.
  • the in-vehicle network system shown in the second embodiment appropriately distinguishes between the case where an abnormality occurs at a plurality of locations of the vehicle network system at the same time and the case where an abnormality occurs in the function itself for detecting the generated abnormality from the outside. It becomes possible to ensure the safety of the entire vehicle. In addition, it is not necessary to send all the results of the plurality of abnormality detection functions to the outside of the vehicle, and the amount of communication can be reduced.
  • the in-vehicle network system shown in the second modification of the second embodiment externally determines the case where an abnormality occurs at a plurality of locations of the vehicle network system at the same time and the case where an abnormality occurs in the function itself for detecting the generated abnormality. It becomes possible to distinguish more appropriately, and it becomes possible to ensure the safety of the entire vehicle. Further, by having the detection unit and the detection management unit in the same ECU, it is possible to reduce the load on the network in the vehicle.
  • FIG. 23 is a diagram showing the configuration of GW-ECU 32200 according to the present invention.
  • the GW-ECU 32200 includes a communication unit 1201, a detection result management unit 32202, a detection result holding unit 2203, a transfer processing unit 1204, and a vehicle state management unit 32201.
  • the detection result management unit 32202 acquires the detection result from the received message regarding the detection result notified from the communication unit 1201, and stores it in the detection result holding unit 2203 together with the peripheral information. Further, the detection result state of each ECU is determined according to the holding content of the detection result holding unit 2203 and the vehicle state notified from the vehicle state management unit 32201, and the detection result is transmitted to the communication ECU 2300 via the communication unit 1201. Send a status message.
  • An example of the message format of the detection result status message is shown in FIG.
  • FIG. 24 shows an example of a processing sequence for setting a flag according to a specific vehicle condition when there is an ECU in which the GW-ECU 32200 has not sufficiently received the detection result.
  • the same processing steps as those in the first and second embodiments are assigned the same numbers, and the description thereof will be omitted.
  • the in-vehicle network system shown in the second modification of the second embodiment can further combine the states of the vehicle to make a judgment according to the damage when an abnormality occurs, thereby ensuring the safety of the entire vehicle. It becomes possible.
  • Ethernet and CAN protocols are used as the in-vehicle network, but the present invention is not limited to this.
  • CAN-FD CAN with Flexible Data Rate
  • LIN Local Interconnect Network
  • MOST Media Oriented Systems Transport
  • the network configuration may be a combination of these networks as sub-networks.
  • the detection unit and the detection result management unit may be one or more, respectively, or may be combined with each other.
  • the flag information may be shared and added to the detection result status message by coordinating a plurality of inspection result management units in the same ECU or in highly related ECUs. That is, when a flag is set in the detection result status message transmitted by a certain ECU, another detection result management unit of the ECU or a highly relevant ECU sets the same flag as the detection result management unit. You may do so.
  • the running state is determined, but this may be determined by a specific ECU, and the other ECUs may acquire the state via the in-vehicle network, or each ECU may independently acquire the state. It may be judged. Further, in addition to the states such as running, stopped, and parked, the state such as accessory ON, ignition ON, low speed running, and high speed running may be determined.
  • the flag is set for each detection unit, but the present invention is not limited to this, and the flags may be collectively set as one.
  • a specific message code or the like may be used instead of the implementation of a flag.
  • the communication error frequency is specified as the detection rule using the system log, but the present invention is not limited to this, and any detection means using the log output by the system is excluded. It's not a thing. For example, the result of an external port scan or the result of a secure boot failure where the system checks for integrity when it boots.
  • the value of the payload, the transmission frequency, and the like are used as the unconditional method in the communication message of CAN or Ethernet, but the present invention is not limited to this, and any communication message in the vehicle is used. It does not exclude the detection means. For example, the period and the amount of change in the payload.
  • Each device in the above embodiment is specifically a computer system composed of a microprocessor, a ROM, a RAM, a hard disk unit, a display unit, a keyboard, a mouse, and the like.
  • a computer program is recorded in the RAM or the hard disk unit.
  • the microprocessor operates according to the computer program, each device achieves its function.
  • a computer program is configured by combining a plurality of instruction codes indicating instructions to a computer in order to achieve a predetermined function.
  • Each device in the above embodiment may be composed of a part or all of the constituent elements of one system LSI (Large Scale Integration: large-scale integrated circuit).
  • a system LSI is an ultra-multifunctional LSI manufactured by integrating a plurality of components on a single chip, and specifically, is a computer system including a microprocessor, a ROM, a RAM, and the like. .. A computer program is recorded in the RAM. When the microprocessor operates according to the computer program, the system LSI achieves its function.
  • each part of the component components constituting each of the above devices may be individually integrated into one chip, or may be integrated into one chip so as to include a part or all of them.
  • system LSI Although it is referred to as a system LSI here, it may be referred to as an IC, an LSI, a super LSI, or an ultra LSI due to the difference in the degree of integration. Further, the method of making an integrated circuit is not limited to LSI, and may be realized by a dedicated circuit or a general-purpose processor. An FPGA (Field Programmable Gate Array) that can be programmed after the LSI is manufactured, or a reconfigurable processor that can reconfigure the connection and settings of the circuit cells inside the LSI may be used.
  • FPGA Field Programmable Gate Array
  • Some or all of the components constituting each of the above devices may be composed of an IC card or a single module that can be attached to and detached from each device.
  • the IC card or the module is a computer system composed of a microprocessor, a ROM, a RAM, and the like.
  • the IC card or the module may include the above-mentioned super multifunctional LSI.
  • the microprocessor operates according to a computer program, the IC card or the module achieves its function. This IC card or this module may have tamper resistance.
  • the present invention may be the method shown above. Further, it may be a computer program that realizes these methods by a computer, or it may be a digital signal composed of the computer program.
  • the present invention also relates to a computer-readable recording medium such as a flexible disk, a hard disk, a CD-ROM, an MO, a DVD, a DVD-ROM, a DVD-RAM, or a BD (Blu-ray). It may be recorded on a registered trademark) Disc), a semiconductor memory, or the like. Further, it may be the digital signal recorded on these recording media.
  • a computer-readable recording medium such as a flexible disk, a hard disk, a CD-ROM, an MO, a DVD, a DVD-ROM, a DVD-RAM, or a BD (Blu-ray). It may be recorded on a registered trademark) Disc), a semiconductor memory, or the like. Further, it may be the digital signal recorded on these recording media.
  • the present invention may transmit the computer program or the digital signal via a telecommunication line, a wireless or wired communication line, a network typified by the Internet, data broadcasting, or the like.
  • the present invention is a computer system including a microprocessor and a memory, in which the memory records the computer program, and the microprocessor may operate according to the computer program.
  • the present invention it is possible to more accurately grasp the state at the time of occurrence of an abnormality in the vehicle as a whole in-vehicle network system, and it is possible to maintain a safe state.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Environmental & Geological Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

異常検知方法は、1つ以上の電子制御装置が繋がる車載ネットワークシステムにおける異常検知方法であって、少なくとも1つ以上の箇所の異常を検知し、異常検知結果を出力する異常検知ステップと、少なくとも1つ以上の前記異常検知結果を入力とし、異常検知状態結果情報を出力する異常検知結果管理ステップと、前記異常検知状態結果情報を特定の車両外部の装置へと出力する異常検知結果送信ステップと、を有する。例えば、前記異常検知ステップは、車載ネットワークメッセージ異常検知ステップであってもよい。

Description

異常検知システム、異常検知装置、及び異常検知方法
 本発明は、車載ネットワークシステムにおいて異常を検出するための異常検知システム、装置、方法に関する。
 近年、自動車の中のシステムには、電子制御装置(ECU:Electronic Control Unit)と呼ばれる装置が多数配置されている。これらのECUをつなぐネットワークは車載ネットワークと呼ばれる。車載ネットワークには、多数の規格が存在する。その中でも最も主流な車載ネットワークの一つに、ISO11898-1で規定されているCAN(Controller Area Network)という規格が存在する。
 CANでは、通信路は2本のバスで構成され、バスに接続されているECUはノードと呼ばれる。バスに接続されている各ノードは、フレームと呼ばれるメッセージを送受信する。CANでは、送信先ノードや送信元ノードを指す識別子は存在せず、送信ノードはフレーム毎にメッセージIDと呼ばれるIDを付けて送信し、各受信ノードは予め定められたメッセージIDのみを受信する。そのためCANのバスにECUを接続し、異常な制御コマンドを含むフレームを正規のECUになりすまして送信することで、自動車を不正に制御できてしまう脅威がある。
 前記脅威に対応するため、一般にCANにおけるデータフィールドにメッセージ認証コード(以降、MAC)を付加して送信することで、不正なメッセージを検出する方法が提案されている(特許文献1)。さらに、暗号鍵を使わない不正なメッセージの検出手法としてメッセージ間の周期を観測することで、不正なメッセージの注入を検出する方法が提案されている。
特許第5770602号公報 特許第5919205号公報
 しかし、先の文献は暗号鍵を双方で保持することで不正なメッセージの検出を実現しており、コストが高い上に、鍵の漏洩時には無効化されてしまうと言った課題が存在する。さらに、周期などの不正検知メッセージを単独で行う場合、そこが攻撃対象となり、無効化されてしまうと言った課題が存在する。
 そこで本発明は、上記課題を解決するため、不正検知を行う機能の管理を行う機能を更に設けることで、より安全な車載ネットワークシステムを提供することを目的とする。
 上記目的を達成するために、本発明の一態様である車載ネットワークシステムにおける異常検知方法は、1つ以上の電子制御装置が繋がる車載ネットワークシステムにおける異常検知方法であって、少なくとも1つ以上の箇所の異常を検知し、異常検知結果を出力する異常検知ステップと、少なくとも1つ以上の前記異常検知結果を入力とし、異常検知状態結果情報を出力する異常検知結果管理ステップと、前記異常検知状態結果情報を特定の車両外部の装置へと出力する異常検知結果送信ステップと、を有する。
 本発明によれば、車両のネットワークシステム内に異常が発生した場合と、発生した異常を検知する機能自体に異常が発生した場合と、を車両の外部より適切に区別することが可能となり、車両全体の安全性を担保することが可能となる。
図1は、実施の形態1における車載ネットワークシステム1000の全体構成の一例を示す図である。 図2は、実施の形態1におけるECU1100aの構成の一例を示す図である。 図3は、実施の形態1における検知ルールの一例を示す図である。 図4は、実施の形態1におけるGW-ECU1200の構成の一例を示す図である。 図5は、実施の形態1における検知結果状態メッセージのフォーマットの一例を示す図である。 図6は、実施の形態1における検知結果管理テーブルの一例を示す図である。 図7は、実施の形態1における通信ECU1300の構成の一例を示す図である。 図8は、実施の形態1におけるサーバ1400の構成の一例を示す図である。 図9は、実施の形態1における検知結果通信に関するシーケンスの一例を示す図である。 図10は、実施の形態1におけるフラグ設定に関するシーケンスの一例を示す図である。 図11は、実施の形態1の変形例におけるECU11100aの構成の一例を示す図である。 図12は、実施の形態2における車載ネットワークシステム2000の全体構成の一例を示す図である。 図13は、実施の形態2における検知ルールの一例を示す図である。 図14は、実施の形態2におけるGW-ECU2200の構成の一例を示す図である。 図15は、実施の形態2における検知結果状態メッセージのフォーマットの一例を示す図である。 図16は、実施の形態2における検知結果管理テーブルの一例を示す図である。 図17は、実施の形態2における通信ECU2300の構成の一例を示す図である。 図18は、実施の形態2におけるIVI2500の構成の一例を示す図である。 図19は、実施の形態2における検知結果通信に関するシーケンスの一例を示す図である。 図20は、実施の形態2におけるフラグ設定に関するシーケンスの一例を示す図である。 図21は、実施の形態2の変形例1における検知結果状態メッセージのフォーマットの一例を示す図である。 図22は、実施の形態2の変形例2におけるGW-ECU22200の構成の一例を示す図である。 図23は、実施の形態2の変形例3におけるGW-ECU32200の構成の一例を示す図である。 図24は、実施の形態3の変形例3におけるフラグ設定に関するシーケンスの一例を示す図である。
 本発明の一実施態様である車載ネットワークシステムにおける異常検知方法は、1つ以上の電子制御装置が繋がる車載ネットワークシステムにおける異常検知方法であって、少なくとも1つ以上の箇所の異常を検知し、異常検知結果を出力する異常検知ステップと、少なくとも1つ以上の前記異常検知結果を入力とし、異常検知状態結果情報を出力する異常検知結果管理ステップと、前記異常検知状態結果情報を特定の車両外部の装置へと出力する異常検知結果送信ステップと、を有する。
 これにより車両のネットワークシステム内に異常が発生した場合と、発生した異常を検知する機能自体に異常が発生した場合と、を車両の外部より適切に区別することが可能となり、車両全体の安全性を担保することが可能となる。
 さらに、本発明の一実施態様の車載ネットワークシステムにおける異常検知方法は、前記異常検知ステップは、車載ネットワークメッセージ異常検知ステップであることを特徴とする。
 これにより、車載ネットワークの異常と、車載ネットワークの異常を検知する機能自体に異常が発生した場合と、を車両の外部より適切に区別することが可能となり、車両全体の安全性を担保することが可能となる。
 さらに、本発明の一実施態様の車載ネットワークシステムにおける異常検知方法は、前記車載ネットワークメッセージ異常検知ステップは、CANメッセージ異常検知ステップであることを特徴とする。
 これにより、CANネットワークの異常と、車載ネットワークの異常を検知する機能自体に異常が発生した場合と、を車両の外部より適切に区別することが可能となり、車両全体の安全性を担保することが可能となる。
 さらに、本発明の一実施態様の車載ネットワークシステムにおける異常検知方法は、前記車載ネットワークメッセージ異常検知ステップは、Ethernet(登録商標)メッセージ異常検知ステップであることを特徴とする。
 これにより、Ethernetネットワークの異常と、Ethernetネットワークの異常を検知する機能自体に異常が発生した場合と、を車両の外部より適切に区別することが可能となり、車両全体の安全性を担保することが可能となる。
 さらに、本発明の一実施態様の車載ネットワークシステムにおける異常検知方法は、前記異常検知ステップは、特定のECUのシステムログに対する異常検知ステップであることを特徴とする。
 これにより、特定のECUのシステムログに対する異常と、特定のECUのシステムログに対する異常を検知する機能自体に異常が発生した場合と、を車両の外部より適切に区別することが可能となり、車両全体の安全性を担保することが可能となる。
 さらに、本発明の一実施態様の車載ネットワークシステムにおける異常検知方法は、前記異常検知結果管理ステップは、前記車載ネットワークシステムが搭載する車両の状態に応じて、前記異常検知状態結果情報を出力することを特徴とする。
 これにより、特定の車両の状態に応じた前記異常検知状態結果情報を柔軟に出力することが可能となり、車両全体の安全性を担保することが可能となる。
 さらに、本発明の一実施態様の異常検知システムは、1つ以上の電子制御装置が繋がる車載ネットワークシステムにおける、異常検知システムであって、少なくとも1つ以上の箇所の異常を検知し、異常検知結果を出力する異常検知部と、少なくとも1つ以上の前記異常検知結果を入力とし、異常検知状態結果情報を出力する異常検知結果管理部と、前記異常検知状態結果情報を特定の車両外部の装置へと出力する異常検知結果送信部と、を有することを特徴とする。
 これにより、特定の装置に機能が集中する必要がなく、個々の装置の負荷を軽減することが可能となり、全体としてのコスト低減に寄与する。
 さらに、本発明の一実施態様の異常検知装置は、1つ以上の電子制御装置が繋がる車載ネットワークシステムにおける、異常検知装置であって、少なくとも1つ以上の箇所の異常を検知し、異常検知結果を出力する異常検知部と、少なくとも1つ以上の前記異常検知結果を入力とし、異常検知状態結果情報を出力する異常検知結果管理部と、前記異常検知状態結果情報を特定の車両外部の装置へと出力する異常検知結果送信部と、を有することを特徴とする。
 これにより、特定の装置に機能を集中させることで、車両内ネットワークの負荷を低減することが可能となる。
 以下、図面を参照しながら、本発明の実施の形態に関わる不正対処方法について説明する。なお、以下で説明する実施の形態は、いずれも本発明の好ましい一具体例を示す。つまり、以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置および接続形態、ステップ、ステップの順序などは、本発明の一例であり、本発明を限定する主旨ではない。本発明は、請求の範囲の記載に基づいて特定される。したがって、以下の実施の形態における構成要素のうち、本発明の最上位概念を示す独立請求項に記載されていない構成要素は、本発明の課題を達成するために必ずしも必要ではないが、より好ましい形態を構成する構成要素として説明される。
 (実施の形態1)
 1.システムの構成
 ここでは、本発明の実施の形態として、車載ネットワークシステム1000について図面を参照しながら説明する。
 1.1 車載ネットワークシステム1000の全体構成
 図1は、本発明に係る車載ネットワークシステム1000の全体構成を示す図である。
 車載ネットワークシステム1000は、車両1001と、車両1001とネットワークを介して接続して動作するサーバ1400と、によって構成される。
 車両1001は、各種車載ネットワークにて接続される、ECU1100a、1100b、1100cと、各ECUの制御対象であるブレーキ1011、ハンドル1012、アクセル1013と、それぞれのECU1100a~1100dの接続を中継するGW-ECU1200と、GW-ECU1200と車載ネットワークを介して通信する通信ECU1300と、から構成される。
 ECU1100a~1100dは、車載ネットワークを通じて、通信メッセージをお互いに送受信することで、車両の制御を実現する。車載ネットワークにはCANを使用する。
 GW-ECU1200は、他のECUと車載ネットワークを通じて通信を行い、転送する処理を担当する。
 通信ECU1300は、サーバ1400と通信を行い、サーバ1400と、車両1001内の他のECUと、のメッセージの送受信を実施する。
 サーバ1400は、遠隔より車両の安全性を担保するための監視を実施する。
 1.2 ECU1100aの構成図
 図2は、本発明に係るECU1100aの構成を示す図である。ECU1100aは、通信部1101と、メッセージ変換部1102と、検知部1103と、検知ルール保持部1104と、から構成される。なお、ECU1100b、ECU1100cも同様の構成であるので、ここでは説明を省略する。
 通信部1101は、各種センサや、車載ネットワークを通じた他ECUとの通信を行う。受信したメッセージや、センサ値をメッセージ変換部1102に通知する。また、メッセージ変換部1102と、検知部1103より通知されたメッセージを他のECUや各種センサに送信する。
 メッセージ変換部1102は、通知されたセンサ値を車載ネットワークのフォーマットに基づき変換し、通信部1101を介して、他のECUへ送信する。また、通信部1101より受信した通信メッセージをセンサ値や、設定情報に変換し、通信部1101を介して、各種センサに送信する。また、受信したセンサ値や、メッセージを、検知部1103へ通知する。
 検知部1103は、検知ルール保持部1104の保持する検知ルールを使って受信メッセージを判定する。
 検知ルール保持部1104は、検知部1103で使用する検知ルールを保持する。検知ルールの一例は図3に示す。
 1.3 検知ルールの一例
 図3は、車載ネットワークのメッセージの異常を検知するためのルールの一例を示す。検知ルールには、ルールのNo.と、ルールの検知するデータの種別と、対象となるデータのIDと、メッセージに含まれるデータの内容と、判定ルールが含まれている。本実施例では、メッセージのデータが、ルールの範囲外の場合エラーとする。
 1.4 GW-ECU1200の構成図
 図4は、本発明に係るGW-ECU1200の構成を示す図である。GW-ECU1200は、通信部1201と、検知結果管理部1202と、検知結果保持部1203と、転送処理部1204と、から構成される。
 通信部1201は、外部のECUと車載ネットワークを介して通信し、受信メッセージを検知結果管理部1202と、転送処理部1204と、に通知する。また、検知結果管理部1202と、転送処理部1204と、から通知されたから通知されたメッセージを他のECUへと送信する。
 検知結果管理部1202は、通信部1201から通知された検知結果に関する受信メッセージより検知結果を取得し、周辺情報とともに検知結果保持部1203へ格納する。また、検知結果保持部1203の保持内容から各ECUの検知結果状態を判定し、通信部1201を介して、通信ECU1300へ検知結果状態メッセージを送信する。検知結果状態メッセージのメッセージフォーマットの一例については、図5に示す。
 検知結果保持部1203は、検知結果管理部1202より通知の受けた検知結果データを格納し、保持する。また、検知結果管理部1202からの読み出し指示に応じて、当該検知結果データを通知する。具体的な保持内容の一例については、図6に示す。
 転送処理部1204は、予め決められたルールに従い、車内メッセージの転送処理を実施する。本実施例では、受信したメッセージを他の全ECUへ転送するものとする。
 1.5 検知結果状態メッセージのフォーマットの一例
 図5は、検知結果状態メッセージのフォーマットの一例を示す図である。ペイロードは、検知結果ヘッダーD1101と、検知部ID D1102と、フラグD1103と、データサイズD1104と、によって構成される。
 検知結果ヘッダーD1101は、以降に続くデータの種別とその数を示す値を格納するための領域である。予め決められた番号を先頭に入れておくことで、以降のデータが検知結果状態を示すメッセージであることを表すと同時に、その中身を受信者に伝える役割を担う。
 検知部ID D1102は、ECU1100a、ECU1100b、ECU1100cの中にある検知部を特定するための数字を格納する。
 フラグD1103は、検知部ID D1102 で特定した検知部からの検知結果が正常に受信できているかどうかの判定結果を示す。
 検知結果ペイロード D1104は、検知結果状態を判定した結果を示す。
 1.6 検知結果管理テーブルの一例
 図6は、検知結果保持部にて保持する検知結果管理テーブルの一例を示す図である。検知結果管理テーブルは、検知部IDと、対象データ、最終検知結果と、採取検知結果受信時刻と、によって構成されている。
 検知部IDとは、各ECUに搭載されている検知部を特定するための番号である。
 対象データとは、格納している検知結果が何のデータを対象に検知した結果を示す。
 最終検知結果とは、検知部から受信した最新の検知結果を示す。
 最終検知結果受信時刻とは、最新の結果を受信した時刻をGW-ECU1200内で記録したものである。
 1.7 通信ECU1300の構成図
 図7は、通信ECU1300の構成図である。通信ECU1300は、車内通信部1301と、変換部1302と、車外通信部1303と、から構成される。
 車内通信部1301は、車内の他ECUより受信したメッセージを変換部1302へと通知する。また、変換部1302より通知されたメッセージを車内の他ECUへと送信する。
 変換部1302は、車内通信部1301と、車外通信部1303と、を介して、受信したメッセージの転送が必要となるデータを予め決められたフォーマットへ変換し、他方へと送信する。
 車外通信部1303は、サーバ1400より受信したメッセージを変換部1302へと通知する。また、変換部1302より通知されたメッセージをサーバ1400へと送信する。
 1.8 サーバ1400の構成図
 図8は、サーバ1400の構成図を示す。サーバ1400は、通信部1401と、車両管理部1402と、から構成される。
 通信部1401は、車両1001との通信を行い、受信したメッセージを車両管理部1402へと通知する。また、車両管理部1402から通知された内容を、車両1001へと送信する。
 車両管理部1402は、通信部1401を介して、車両1001と通信を行い、車両内の異常を検知するための検知部が正常に働いているかどうかを管理する。
 1.9 検知結果通信シーケンスの一例
 図9は、ECU1100aが、GW-ECU1200へ検知結果を通知して、GW-ECU1200の中で判定を行った結果を通信ECU1300へ伝えるシーケンスの一例を示している。
 (S1101)GW-ECU1200は、他ECU1100a~ECU1100cからの検知結果を予め規定された時間分待機する。受信した検知結果は都度、既定の場所へ保存しておく。
 (S1102)GW-ECU1200が、規定時間内に検知結果を受信しなかった場合、S1103へ、受信した場合はS1104へ進む。
 (S1103)メッセージにフラグを立てるための処理を行う。処理の詳細は図10にて説明する。
 (S1104)受信した検知結果にNG結果が含まれるかどうかの判定を行い、含まれていない場合はS1101へ、含まれている場合はS1105へそれぞれ進む。
 (S1105)予め決められたアルゴリズムに従い、検知結果を送信してきたECU1100aの状態を判断する。本実施の形態では、一度でもNG結果を受信した場合、対象となるECUは攻撃を受けていると判断する。また、OK結果を受信した場合、当該ECUは正常であると判断する。
 (S1106)S1105の判断結果を通信ECU1300へ送信する。
 (S1107)一連の処理を完了し、S1101へ戻る。
 1.10 フラグ処理シーケンスの一例
 図10は、GW-ECU1200がECU1100a~ECU1100cから検知結果を十分受信できていない場合のフラグを立てる処理のシーケンスの一例を示す。
 (S1201)最後に受信した検知結果の情報を取得する。
 (S1202)予め規定された時間以上に、最終検知結果が古い情報であった場合、S1203へと進む。
 (S1203)当該ECUの状態を通知するためのメッセージの当該フラグエリアを設定する。
 (実施の形態1の効果)
 実施の形態1で示した車載ネットワークシステムは、車両のネットワークシステム内に異常が発生した場合と、発生した異常を検知する機能自体に異常が発生した場合と、を車両の外部より適切に区別することが可能となり、車両全体の安全性を担保することが可能となる。
 (実施の形態1の変形例)
 実施の形態1の変形例で示した車載ネットワークシステムでは、検知部を有するECUとは別のGW-ECUに検知結果管理部を有したが、検知部を有するECUが保持するとしても良い。なお、実施の形態1と同様の図面については説明を省略するため、ここでは構成の異なるECU11100aについてのみ説明する。
 1.11 ECU11100aの構成図
 図11は、本発明に係るECU11100aの構成を示す図である。ECU11100aは、通信部1101と、メッセージ変換部1102と、検知部11103と、検知ルール保持部1104と、検知結果管理部11105と、検知結果保持部11106と、から構成される。なお、ECU11100b、ECU11100cも同様の構成であるので、ここでは説明を省略する。
 検知部11103は、検知ルール保持部1104の保持する検知ルールを使って受信メッセージを判定し、その結果を検知結果管理部11105へと通知する。
 検知結果管理部11105は、検知部11103から通知された検知結果を、周辺情報とともに検知結果保持部11106へ格納する。また、検知結果保持部11106の保持内容から検知結果状態を判定し、通信部1101を介して、通信ECU1300へ検知結果状態メッセージを送信する。検知結果状態メッセージのメッセージフォーマットの一例については、図5に示す。
 検知結果保持部11106は、検知結果管理部11105より通知の受けた検知結果データを格納し、保持する。また、検知結果管理部11105からの読み出し指示に応じて、当該検知結果データを通知する。具体的な保持内容の一例については、図6に示す。
 (実施の形態1の変形例の効果)
 実施の形態1の変形例で示した車載ネットワークシステムは、車両のネットワークシステムの複数箇所で同時に異常が発生した場合と、発生した異常を検知する機能自体に異常が発生した場合と、を外部より適切に区別することが可能となり、車両全体の安全性を担保することが可能となる。また、車両内の実際の異常の発生源に近いところで判定を行うことで、対応を早期に行うことが可能となる。
 (実施の形態2)
 実施の形態1で示した車載ネットワークシステムでは、特定のECUが持つ検知部一つに対して、検知結果管理部が1つとなる場合を示しているが、複数の検知部を束ねる検知結果管理部の例について、図面を参照しながら説明する。なお、実施の形態1と同様の図面については説明を省略する。
 2.システムの構成
 ここでは、本発明の実施の形態として、車載ネットワークシステム2000について図面を参照しながら説明する。なお、実施の形態1と同様の構成は、同一の番号を付与した上で説明を省略する。
 2.1 車載ネットワークシステム2000の全体構成
 図12は、本発明に係る車載ネットワークシステム2000の全体構成を示す図である。 車載ネットワークシステム2000は、車両2001と、車両1001とネットワークを介して接続して動作するサーバ1400と、によって構成される。
 車両2001は、各種車載ネットワークにて接続される、ECU1100a、1100b、1100cと、各ECUの制御対象であるブレーキ1011、ハンドル1012、アクセル1013と、それぞれのECU1100a~1100dの接続を中継するGW-ECU2200と、GW-ECU2200と車載ネットワークを介して通信する通信ECU2300と、ドライバへの情報提示が可能な画面を持つIVI(In-Vehicle Infotaiment system)2500から構成される。
 GW-ECU2200は、他のECUと車載ネットワークを通じて通信を行い、転送する処理を担当する。
 通信ECU2300は、サーバ1400と通信を行い、サーバ1400と、車両2001内の他のECUと、のメッセージの送受信を実施する。
 IVI2500は、GW-ECU2200を介し、他ECUと通信し、車両内の情報をドライバへ提示する。GW-ECU2200とはEthernetを介して接続している。
 2.2 検知ルールの一例
 図13は、車載ネットワークのメッセージの異常を検知するためのルールの一例を示す。検知ルールには、ルールのNo.と、ルールの検知するデータの種別と、対象となるデータのIDと、メッセージに含まれるデータの内容と、判定ルールが含まれている。本実施例では、メッセージやログデータが、ルールの範囲外の場合エラーとする。
 2.3 GW-ECU2200の構成図
 図14は、本発明に係るGW-ECU2200の構成を示す図である。GW-ECU2200は、通信部1201と、検知結果管理部2202と、検知結果保持部2203と、転送処理部1204と、から構成される。
 検知結果管理部2202は、通信部1201から通知された検知結果に関する受信メッセージより検知結果を取得し、周辺情報とともに検知結果保持部2203へ格納する。また、検知結果保持部2203の保持内容から各ECUの検知結果状態を判定し、通信部1201を介して、通信ECU2300へ検知結果状態メッセージを送信する。検知結果状態メッセージのメッセージフォーマットの一例については、図15に示す。
 検知結果保持部2203は、検知結果管理部2202より通知の受けた検知結果データを格納し、保持する。また、検知結果管理部2202からの読み出し指示に応じて、当該検知結果データを通知する。具体的な保持内容の一例については、図16に示す。
 2.4 検知結果状態メッセージのフォーマットの一例
 図15は、検知結果状態メッセージのフォーマットの一例を示す図である。ペイロードは、ヘッダーD1101と、検知部ID D1102と、フラグD1103と、データサイズD1104と、によって構成される。構成の内容は実施の形態1と同様のため説明は省略するが、本図に示すとおり、複数の検知部に向けたフラグを一つのメッセージに入れることも可能である。
 2.5 検知結果管理テーブルの一例
 図16は、検知結果保持部にて保持する検知結果管理テーブルの一例を示す図である。検知結果管理テーブルは、検知部IDと、対象データ、最終検知結果と、採取検知結果受信時刻と、によって構成されている。構成は、実施の形態1と同様のため、以降の説明は省略する。
 2.6 通信ECU2300の構成図
 図17は、通信ECU2300の構成図である。通信ECU2300は、車内通信部2301と、変換部1302と、車外通信部2303と、検知部2304と、検知ルール保持部2305と、から構成される。
 車内通信部2301は、車内の他ECUより受信したメッセージを変換部1302へと通知する。また、変換部1302と、検知部2304と、より通知されたメッセージを車内の他ECUへと送信する。
 車外通信部2303は、サーバ1400より受信したメッセージを変換部1302へと通知する。また、変換部1302より通知されたメッセージをサーバ1400へと送信する。さらに、通信に関わるログを検知部2304へと通知する。
 検知部2304は、車外通信部2303より通知された通信に関わるログを精査し、通信エラーが発生していないかどうかを、定期的に車内通信部2301を介して、GW-ECU2200へと通知する。
 検知ルール保持部2305は、検知部2304で使用する検知ルールを保持する。検知ルールの一例は図13に示す。
 2.7 IVI2500の構成図
 図18は、IVI2500の構成図である。IVI2500は、通信部2501と、表示部2502と、検知部2503と、検知ルール保持部2305と、から構成される。
 通信部2501は、車載ネットワークを通じた他ECUとの通信を行う。受信したメッセージを表示部2502と、検知部2503と、へ通知する。また、検知部1103より通知されたメッセージをGW-ECU2200へと送信する。
 表示部2502は、通信部2501を介して受信した内容を表示する。また、ドライバによる操作内容を、通信部2501を介して、他ECUへと通知する。
 検知部2503は、検知ルール保持部2305に保持する検知ルールに従い、車内向けの通信における異常を検知し、その検知結果を、定期的に通信部2501を介して、GW-ECU2200へと通知する。
 検知ルール保持部2305は、検知部2503で使用する検知ルールを保持する。検知ルールの一例は図13に示す。
 2.8 検知結果通信シーケンスの一例
 図19は、ECU1100aと、通信ECU2300と、IVI2500と、が、GW-ECU2200へ検知結果を通知して、GW-ECU2200の中で判定を行った結果を通信ECU2300へ伝えるシーケンスの一例を示している。なお、実施の形態1と同一の処理ステップに関しては同一の番号を付与し、説明を省略する。
 (S2101)GW-ECU2200は、他ECU1100a~ECU1100cと、通信ECU2300と、IVI2500と、からの検知結果を予め規定された時間分待機する。受信した検知結果は都度、既定の場所に保存しておく。
 (S2102)一定時間経過後、GW-ECU2200が、規定時間内に検知結果を受信しなかったECUが存在する場合、S2103へ、全てのECUから検知結果を受信した場合はS2104へ進む。
 (S2103)メッセージにフラグを立てるための処理を行う。処理の詳細は図20にて説明する。
 (S2104)受信した検知結果にNG結果が含まれるかどうかの判定を行い、含まれていない場合はS2101へ、含まれている場合はS2105へそれぞれ進む。
 (S2105)予め決められたアルゴリズムに従い、検知結果を送信してきた全てのECUの状態を判断する。本実施の形態では、一度でもNG結果を受信した場合、対象となるECUは攻撃を受けていると判断する。また、OK結果を受信した場合、当該ECUは正常であると判断する。
 2.9 フラグ処理シーケンスの一例
 図20は、GW-ECU2200が検知結果を十分受信できていないECUが存在する場合のフラグを立てる処理のシーケンスの一例を示す。なお、実施の形態1と同一の処理ステップに関しては同一の番号を付与し、説明を省略する。
 (S2204)対象となるECU数分、反復処理を開始する。
 (S2205)対象となるECU数分、反復処理を実施したら、処理を終了する。
 (実施の形態2の効果)
 実施の形態2で示した車載ネットワークシステムは、車両のネットワークシステムの複数箇所で同時に異常が発生した場合と、発生した異常を検知する機能自体に異常が発生した場合と、を外部より適切に区別することが可能となり、車両全体の安全性を担保することが可能となる。また、複数の異常検知機能の結果を全て車両外に送付する必要がなく、通信量の削減が可能となる。
 (実施の形態2の変形例1)
 実施の形態2の変形例1で示した車載ネットワークシステムでは、検知状態の判定結果を示すメッセージを、検知部を有するECU毎の結果として作成したが、総合的に判断するとしてもよい。なお、実施の形態2と同様の図面については説明を省略するため、ここでは、検知結果状態メッセージのフォーマットについてのみ説明する。
 2.10 検知結果状態メッセージのフォーマットの一例
 図21は、検知結果状態メッセージのフォーマットの一例を示す図である。ペイロードは、ヘッダーD1101と、検知部ID D1102と、フラグD1103と、データサイズD1104と、によって構成され、最後のD2104では、全ての検知結果を総合して判断した結果を格納する。本実施例では、図Xに規定していた検知ルールが全て満たされた場合にOK、一つでも満たされないルールが有る場合NGと判定する。
 (実施の形態2の変形例1の効果)
 実施の形態2の変形例1で示した車載ネットワークシステムは、車両のネットワークシステムの複数箇所で同時に異常が発生した場合と、発生した異常を検知する機能自体に異常が発生した場合と、を外部より適切に区別することが可能となり、車両全体の安全性を担保することが可能となる。また、複数の異常検知機能の結果を全て車両外に送付する必要がなく、通信量の削減が可能となる。さらに、個別の検知機能の検知結果を問わず、車両外での処理を行う場合には、更に通信量を削減することができる。
 (実施の形態2の変形例2)
 実施の形態2で示した車載ネットワークシステムでは、各ECUが検知部を有するとしたが、検知結果管理部と同様GW-ECUに全て持つとしても良い。なお、実施の形態2と同様の図面については説明を省略するため、ここでは構成が異なるGW-ECU22200について説明する。
 2.11 GW-ECU22200の構成図
 図22は、本発明に係るGW-ECU22200の構成を示す図である。GW-ECU2200は、通信部22201と、検知結果管理部22202と、検知結果保持部2203と、転送処理部1204と、CAN検知部22205と、検知ルール保持部22206と、Ether検知部22207と、検知ルール保持部22208から構成される。
 通信部22201は、外部のECUと車載ネットワークを介して通信し、受信メッセージをCAN検知部22205と、Ether検知部22207と、転送処理部1204と、に通知する。また、検知結果管理部22202と、転送処理部1204と、から通知されたメッセージを他のECUへと送信する。
 検知結果管理部22202は、CAN検知部22205と、Ether検知部22207と、通知された検知結果を周辺情報とともに検知結果保持部2203へ格納する。また、検知結果保持部2203の保持内容から各ECUの検知結果状態を判定し、通信部22201を介して、通信ECU2300へ検知結果状態メッセージを送信する。検知結果状態メッセージのメッセージフォーマットの一例については、図15に示す。
 CAN検知部22205は、検知ルール保持部22206の保持する検知ルールを使ってCAN受信メッセージを判定する。
 検知ルール保持部22206は、CAN検知部22205で使用する検知ルールを保持する。検知ルールの一例は図13に示す。
 Ether検知部22207は、検知ルール保持部22208の保持する検知ルールを使ってEther受信メッセージを判定する。
 検知ルール保持部22208は、Ether検知部22207で使用する検知ルールを保持する。検知ルールの一例は図13に示す。
 実施の形態2で示した車載ネットワークシステムは、車両のネットワークシステムの複数箇所で同時に異常が発生した場合と、発生した異常を検知する機能自体に異常が発生した場合と、を外部より適切に区別することが可能となり、車両全体の安全性を担保することが可能となる。また、複数の異常検知機能の結果を全て車両外に送付する必要がなく、通信量の削減が可能となる。
 (実施の形態2の変形例2の効果)
 実施の形態2の変形例2で示した車載ネットワークシステムは、車両のネットワークシステムの複数箇所で同時に異常が発生した場合と、発生した異常を検知する機能自体に異常が発生した場合と、を外部より適切に区別することが可能となり、車両全体の安全性を担保することが可能となる。また、検知部と検知管理部を同一のECUに有することで、車両内のネットワークの負荷を軽減することが可能となる。
 (実施の形態2の変形例3)
 実施の形態2で示した車載ネットワークシステムでは、車両の状態に関わらず処理を行っていたが、検知結果管理部が特定車両状態に応じて、処理を変更するとしても良い。なお、実施の形態2と同様の図面については説明を省略するため、ここでは構成が異なるGW-ECU32200と、フラグ処理シーケンスと、について説明する。
 2.12 GW-ECU32200の構成図
 図23は、本発明に係るGW-ECU32200の構成を示す図である。GW-ECU32200は、通信部1201と、検知結果管理部32202と、検知結果保持部2203と、転送処理部1204と、車両状態管理部32201から構成される。
 検知結果管理部32202は、通信部1201から通知された検知結果に関する受信メッセージより検知結果を取得し、周辺情報とともに検知結果保持部2203へ格納する。また、検知結果保持部2203の保持内容と、車両状態管理部32201から通知される車両状態と、に応じて各ECUの検知結果状態を判定し、通信部1201を介して、通信ECU2300へ検知結果状態メッセージを送信する。検知結果状態メッセージのメッセージフォーマットの一例については、図15に示す。
 2.13 フラグ処理シーケンスの一例
 図24は、GW-ECU32200が検知結果を十分受信できていないECUが存在する場合に、特定の車両状態応じて、フラグを立てる処理のシーケンスの一例を示す。なお、実施の形態1、2と同一の処理ステップに関しては同一の番号を付与し、説明を省略する。
 (S32202)予め規定された時間以上に、最終検知結果が古い情報であった場合、(S32202)へと進む。
 (S32205)車両脳状態を判定し、走行中の場合のみ、(S1203)へと進む。
 (実施の形態2の変形例3の効果)
 実施の形態2の変形例2で示した車載ネットワークシステムは、さらに車両の状態を組み合わせることで異常が発生した場合の被害に応じた判定を行うことが可能となり、車両全体の安全性を担保することが可能となる。
 3.その他変形例
 なお、本発明を上記各実施の形態に基づいて説明してきたが、本発明は、上記各実施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる。
 (1)上記の実施の形態では、車載ネットワークとしてEthernet、CANプロトコルを用いていたが、これに限るものではない。例えば、CAN-FD(CAN with Frexible Data Rate)、LIN(Local Interconnect Network)、MOST(Media Oriented Systems Transport)などを用いてもよい。あるいはこれらのネットワークをサブネットワークとして、組み合わせたネットワーク構成であってもよい。
 (2)上記実施の形態では、検知部と検知結果管理部の方法について、いくつかの組み合わせを説明したがこれに限定されない。物理的に別のECUがそれぞれを保持するケースもあれば、同一のECUが保持するケースであっても良い。更に、検知部と、検知結果管理部と、がそれぞれ一つあるいは複数の場合であっても良くそれぞれの組み合わせで合っても良い。さらに、同一ECU内あるいは関連性の高いECUが有する複数の検結果管理部が連携することでフラグ情報を共有して検知結果状態メッセージに付加してもよい。つまり、あるECUが送信する検知結果状態メッセージにフラグが設定されている場合に、そのECUが有する他の検知結果管理部、もしくは、関連性が高いECUが検知結果管理部と同様のフラグを設定するとしても良い。
 (3)上記実施の形態では、CANとEtherの検知部のみ同一のECUが有するとしたが、これに限定されるわけではなく、システムログの検知部も含めて、いかなる組み合わせを排除するものではない。
 (4)上記実施の形態では、走行状態を判定しているが、これは特定のECUが判定し、他のECUは車載ネットワークを介して状態を取得するとしても良いし、各ECUが独自に判定するとしても良い。また走行中や停車中、駐車中といった状態以外にもアクセサリーON、イグニッションON、低速走行中、高速走行中などの状態を判定するとしても良い。
 (5)上記実施の形態では、フラグを検知部ごとに設定しているが、これに限定されるものではなく、まとめて一つとしても良い。また、フラグという実装ではなく、特定のメッセージコードなどを利用するとしても良い。
 (6)上記実施の形態では、システムログを使った検知ルールとして、通信エラー頻度を指定しているが、これに限定するものではなく、システムが出力するログを使ったいかなる検知手段を排除するものではない。例えば、外部からのポートスキャン結果や、システムがブード時に完全性をチェックするセキュアブードの失敗結果などである。
 (7)上記実施の形態では、CANやEthernetの通信メッセージにおける異条件手法として、ペイロードの値や送信頻度などを用いているが、これに限定するものではなく、車内の通信メッセージを使ったいかなる検知手段を排除するものではない。例えば、周期や、ペイロードの変化量などである。
 (8)上記の実施の形態における各装置は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記RAMまたはハードディスクユニットには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。
 (9)上記の実施の形態における各装置は、構成する構成要素の一部または全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAMなどを含んで構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、システムLSIは、その機能を達成する。
 また、上記の各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部又はすべてを含むように1チップ化されてもよい。
 また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサーを利用しても良い。
 さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。
 (10)上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なICカードまたは単体のモジュールから構成されているとしてもよい。前記ICカードまたは前記モジュールは、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。前記ICカードまたは前記モジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ICカードまたは前記モジュールは、その機能を達成する。このICカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。
 (11)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。
 また、本発明は、前記コンピュータプログラムまたは前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよい。
 また、本発明は、前記コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。
 また、本発明は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記録しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。
 また、前記プログラムまたは前記デジタル信号を前記記録媒体に記録して移送することにより、または前記プログラムまたは前記デジタル信号を、前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
 (12)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。
 本発明により、車載ネットワークシステム全体として、より正確な車両の異常発生時の状態を把握することが可能となり、安全な状態を維持することができる。
 1000、2000 車載ネットワークシステム
 1001、2001 車両
 1100a、1100b、1100c、11100a、11100b、11100c ECU
 1011 ブレーキ
 1012 ハンドル
 1013 アクセル
 1101、1201、1401、2501、22201 通信部
 1102 メッセージ変換部
 1103、11103、2304、2503 検知部
 1104、2305、22206、22208 検知ルール保持部
 1200、2200、22200、32200 GW-ECU
 1202、11105、2202、22202、32202 検知結果管理部
 1203、11106、2203 検知結果保持部
 1204 転送処理部
 1300、2300 通信ECU
 1301、2301 車内通信部
 1302 変換部
 1303、2303 車外通信部
 1400 サーバ
 1402 車両管理部
 2500 IVI
 2502 表示部
 22205 CAN検知部
 22207 Ether検知部
 32201 車両状態管理部

Claims (8)

  1.  1つ以上の電子制御装置が繋がる車載ネットワークシステムにおける異常検知方法であって、
     少なくとも1つ以上の箇所の異常を検知し、異常検知結果を出力する異常検知ステップと、
     少なくとも1つ以上の前記異常検知結果を入力とし、異常検知状態結果情報を出力する異常検知結果管理ステップと、
     前記異常検知状態結果情報を特定の車両外部の装置へと出力する異常検知結果送信ステップと、を有する、
     異常検知方法。
  2.  前記異常検知ステップは、車載ネットワークメッセージ異常検知ステップである、
     請求項1記載の異常検知方法。
  3.  前記車載ネットワークメッセージ異常検知ステップは、CAN(Controller Area Network)メッセージの異常検知ステップである、
     請求項2記載の異常検知方法。
  4.  前記異常検知ステップは、Ethernetメッセージの異常検知ステップである、
     請求項2記載の異常検知方法。
  5.  前記異常検知ステップが検知するのは、特定のECUのシステムログに対する異常検知ステップである、
     請求項1記載の異常検知方法。
  6.  前記異常検知結果管理ステップは、前記車載ネットワークシステムが搭載する車両の状態に応じて、前記異常検知状態結果情報を出力する、
     請求項1記載の異常検知方法。
  7.  1つ以上の電子制御装置が繋がる車載ネットワークシステムにおける異常検知システムであって、
     少なくとも1つ以上の箇所の異常を検知し、異常検知結果を出力する異常検知部と、
     少なくとも1つ以上の前記異常検知結果を入力とし、異常検知状態結果情報を出力する異常検知結果管理部と、
     前記異常検知状態結果情報を特定の車両外部の装置へと出力する異常検知結果送信部と、を有する、
     異常検知システム。
  8.  1つ以上の電子制御装置が繋がる車載ネットワークシステムにおける、異常検知装置であって、
     少なくとも1つ以上の箇所の異常を検知し、異常検知結果を出力する異常検知部と、
     少なくとも1つ以上の前記異常検知結果を入力とし、異常検知状態結果情報を出力する異常検知結果管理部と、
     前記異常検知状態結果情報を特定の車両外部の装置へと出力する異常検知結果送信部と、を有する、
     異常検知装置。
PCT/JP2020/000920 2020-01-14 2020-01-14 異常検知システム、異常検知装置、及び異常検知方法 WO2021144858A1 (ja)

Priority Applications (6)

Application Number Priority Date Filing Date Title
PCT/JP2020/000920 WO2021144858A1 (ja) 2020-01-14 2020-01-14 異常検知システム、異常検知装置、及び異常検知方法
PCT/JP2020/046434 WO2021145116A1 (ja) 2020-01-14 2020-12-11 異常検知方法、プログラム及び異常検知システム
JP2021543219A JPWO2021145116A1 (ja) 2020-01-14 2020-12-11
CN202080067597.5A CN114450683A (zh) 2020-01-14 2020-12-11 异常检测方法、程序以及异常检测系统
EP20913320.6A EP4092552A4 (en) 2020-01-14 2020-12-11 ANOMALY DETECTION PROCEDURE, PROGRAM AND ANOMALY DETECTION SYSTEM
US17/739,935 US20220263849A1 (en) 2020-01-14 2022-05-09 Anomaly detection method, recording medium, and anomaly detection system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2020/000920 WO2021144858A1 (ja) 2020-01-14 2020-01-14 異常検知システム、異常検知装置、及び異常検知方法

Publications (1)

Publication Number Publication Date
WO2021144858A1 true WO2021144858A1 (ja) 2021-07-22

Family

ID=76863977

Family Applications (2)

Application Number Title Priority Date Filing Date
PCT/JP2020/000920 WO2021144858A1 (ja) 2020-01-14 2020-01-14 異常検知システム、異常検知装置、及び異常検知方法
PCT/JP2020/046434 WO2021145116A1 (ja) 2020-01-14 2020-12-11 異常検知方法、プログラム及び異常検知システム

Family Applications After (1)

Application Number Title Priority Date Filing Date
PCT/JP2020/046434 WO2021145116A1 (ja) 2020-01-14 2020-12-11 異常検知方法、プログラム及び異常検知システム

Country Status (5)

Country Link
US (1) US20220263849A1 (ja)
EP (1) EP4092552A4 (ja)
JP (1) JPWO2021145116A1 (ja)
CN (1) CN114450683A (ja)
WO (2) WO2021144858A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11711384B2 (en) * 2018-08-27 2023-07-25 Lear Corporation Method and system for detecting message injection anomalies
DE102021209973A1 (de) * 2021-09-09 2023-03-23 Robert Bosch Gesellschaft mit beschränkter Haftung Ressourcen-effiziente verifikation von nachrichten in einem dienstorientierten kommunikationssystem

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005041437A (ja) * 2003-07-25 2005-02-17 Toyota Motor Corp 車両診断方法、車両診断システム、車両およびセンター
WO2018105321A1 (ja) * 2016-12-06 2018-06-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 情報処理装置及び情報処理方法
WO2019117184A1 (ja) * 2017-12-15 2019-06-20 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワーク異常検知システム及び車載ネットワーク異常検知方法
JP2019125344A (ja) * 2018-01-12 2019-07-25 パナソニックIpマネジメント株式会社 車両用システム及び制御方法
JP2019125867A (ja) * 2018-01-12 2019-07-25 パナソニックIpマネジメント株式会社 監視装置、監視システム及び監視方法
JP2019197390A (ja) * 2018-05-10 2019-11-14 株式会社デンソー 移動体異常時制御装置、移動体異常時制御システムおよびその方法

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5919205B2 (ja) 1980-09-04 1984-05-04 株式会社アスク研究所 地盤の掘削方法
JP5668926B2 (ja) * 2010-03-31 2015-02-12 株式会社リコー ログ管理システム、伝送システム、ログ管理方法、ログ管理プログラム
JP2012086601A (ja) * 2010-10-15 2012-05-10 Toyota Motor Corp 電子制御ユニット、車載システム、ノード監視方法
JP5770602B2 (ja) 2011-10-31 2015-08-26 トヨタ自動車株式会社 通信システムにおけるメッセージ認証方法および通信システム
JP6299182B2 (ja) * 2013-11-28 2018-03-28 サクサ株式会社 死活監視システム
JP6216242B2 (ja) * 2013-12-13 2017-10-18 株式会社日立ハイテクノロジーズ 異常検知方法およびその装置
EP3412514B1 (en) * 2014-11-12 2019-12-04 Panasonic Intellectual Property Corporation of America Update management method, update management device, and control program
JP6839963B2 (ja) * 2016-01-08 2021-03-10 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 異常検知方法、異常検知装置及び異常検知システム
JP6939906B2 (ja) * 2018-01-22 2021-09-22 日本電気株式会社 異常検知装置
JP2019174426A (ja) * 2018-03-29 2019-10-10 パナソニックIpマネジメント株式会社 異常検知装置、異常検知方法およびプログラム
WO2019225257A1 (ja) * 2018-05-23 2019-11-28 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知装置、異常検知方法およびプログラム

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005041437A (ja) * 2003-07-25 2005-02-17 Toyota Motor Corp 車両診断方法、車両診断システム、車両およびセンター
WO2018105321A1 (ja) * 2016-12-06 2018-06-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 情報処理装置及び情報処理方法
WO2019117184A1 (ja) * 2017-12-15 2019-06-20 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワーク異常検知システム及び車載ネットワーク異常検知方法
JP2019125344A (ja) * 2018-01-12 2019-07-25 パナソニックIpマネジメント株式会社 車両用システム及び制御方法
JP2019125867A (ja) * 2018-01-12 2019-07-25 パナソニックIpマネジメント株式会社 監視装置、監視システム及び監視方法
JP2019197390A (ja) * 2018-05-10 2019-11-14 株式会社デンソー 移動体異常時制御装置、移動体異常時制御システムおよびその方法

Also Published As

Publication number Publication date
CN114450683A (zh) 2022-05-06
EP4092552A1 (en) 2022-11-23
EP4092552A4 (en) 2023-06-14
JPWO2021145116A1 (ja) 2021-07-22
WO2021145116A1 (ja) 2021-07-22
US20220263849A1 (en) 2022-08-18

Similar Documents

Publication Publication Date Title
JP6908563B2 (ja) セキュリティ処理方法及びサーバ
US11539727B2 (en) Abnormality detection apparatus and abnormality detection method
CN108028784B (zh) 不正常检测方法、监视电子控制单元以及车载网络系统
US10999248B2 (en) Information processing method, information processing system, and non-transitory computer-readable recording medium storing a program
EP3133774B1 (en) Vehicle-mounted network system, abnormality detection electronic control unit and abnormality detection method
JP6203365B2 (ja) 不正検知電子制御ユニット、車載ネットワークシステム及び不正検知方法
JP6937131B2 (ja) セキュリティ装置、攻撃検知方法及びプログラム
CN112437056B (zh) 安全处理方法以及服务器
US11848755B2 (en) Anomaly detection device, anomaly detection method, and recording medium
US10986093B2 (en) Monitoring device, monitoring method, and computer program
US11997119B2 (en) Vehicle log transmission device, vehicle log analysis server, vehicle log analysis system, and vehicle log transmission/reception method
CN111066001B (zh) 日志输出方法、日志输出装置以及存储介质
CN109005678B (zh) 非法通信检测方法、非法通信检测系统以及记录介质
CN109076016B9 (zh) 非法通信检测基准决定方法、决定系统以及记录介质
WO2021144858A1 (ja) 異常検知システム、異常検知装置、及び異常検知方法
JP7113238B2 (ja) 電子制御装置、電子制御システムおよびプログラム
JP2019146145A (ja) 通信装置、通信方法及びプログラム
WO2021241415A1 (ja) 異常検知システム及び異常検知方法
JP2023170125A (ja) セキュリティ方法、および、セキュリティ装置
JP6874102B2 (ja) 不正検知電子制御ユニット、車載ネットワークシステム及び不正検知方法
US20230267204A1 (en) Mitigating a vehicle software manipulation
WO2021241353A1 (ja) 通信ログ集約装置および通信ログ集約方法
WO2023112493A1 (ja) 脅威情報展開システム、脅威情報展開方法およびプログラム
CN117749555A (zh) 控制器区域网络系统和用于系统的方法

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20914204

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

32PN Ep: public notification in the ep bulletin as address of the adressee cannot be established

Free format text: NOTING OF LOSS OF RIGHTS PURSUANT TO RULE 112(1) EPC (EPO FORM 1205A DATED 15/11/2022)

122 Ep: pct application non-entry in european phase

Ref document number: 20914204

Country of ref document: EP

Kind code of ref document: A1