特開2021-60778(P2021-60778A)IP Force 特許公報掲載プロジェクト 2015.5.11 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ 三菱電機株式会社の特許一覧
<>
  • 特開2021060778-制御装置および制御方法 図000003
  • 特開2021060778-制御装置および制御方法 図000004
  • 特開2021060778-制御装置および制御方法 図000005
  • 特開2021060778-制御装置および制御方法 図000006
  • 特開2021060778-制御装置および制御方法 図000007
  • 特開2021060778-制御装置および制御方法 図000008
  • 特開2021060778-制御装置および制御方法 図000009
  • 特開2021060778-制御装置および制御方法 図000010
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】特開2021-60778(P2021-60778A)
(43)【公開日】2021年4月15日
(54)【発明の名称】制御装置および制御方法
(51)【国際特許分類】
   G06F 21/55 20130101AFI20210319BHJP
   B60R 16/02 20060101ALI20210319BHJP
【FI】
   G06F21/55
   B60R16/02 660J
【審査請求】有
【請求項の数】7
【出願形態】OL
【全頁数】17
(21)【出願番号】特願2019-184247(P2019-184247)
(22)【出願日】2019年10月7日
(71)【出願人】
【識別番号】000006013
【氏名又は名称】三菱電機株式会社
(74)【代理人】
【識別番号】110002941
【氏名又は名称】特許業務法人ぱるも特許事務所
(72)【発明者】
【氏名】松井 俊憲
(57)【要約】      (修正有)
【課題】セキュリティ攻撃を受けても、攻撃を受ける前と同等の車両制御を継続できる制御装置および制御方法を提供する。
【解決手段】ADAS制御装置100は、複数の機能要素1〜3と、同じ制御機能を実行可能な予備機能要素1B〜3Bとを保持する機能要素保持部120、セキュリティ攻撃による異常を検知する異常検知部111、異常が生じた機能要素を特定する異常発生元特定部112、波及先となる機能要素を特定する波及箇所特定部113、特定された機能要素の制御機能を、それぞれ対応する予備機能要素に切り替えて実行させる機能要素切替部116及び複数の機能要素の使用状況に応じ、切り替えにおける予備機能要素の起動の優先順位を付与する優先順位付与部115を備える。
【選択図】図1
【特許請求の範囲】
【請求項1】
車両に搭載され、通信網を介して、前記車両に搭載された機器の少なくともいずれかを制御する制御装置であって、
前記制御を実行するための複数の機能要素、および前記複数の機能要素それぞれに対応し、各機能要素と同じ制御機能を実行可能な予備機能要素を保持する機能要素保持部、
前記通信網を介したセキュリティ攻撃に起因する異常を検知する異常検知部、
前記異常が検知されたとき、前記複数の機能要素のうち、異常が生じた機能要素と波及先となる機能要素を処理対象として特定する処理対象特定部、
前記特定された機能要素の制御機能を、それぞれ対応する予備機能要素に切り替えて実行させる機能要素切替部、および
前記複数の機能要素の使用状況に応じ、前記切り替えにおける予備機能要素の起動の優先順位を付与する優先順位付与部、
を備えたことを特徴とする制御装置。
【請求項2】
前記異常が検知されたとき、前記セキュリティ攻撃の種類に応じて、前記通信網に対するセキュリティ対策の変更を行うセキュリティ対策部を備えたことを特徴とする請求項1に記載の制御装置。
【請求項3】
前記セキュリティ対策部は、前記セキュリティ対策の変更内容を、前記車両に搭載された他の制御装置に通知することを特徴とする請求項2に記載の制御装置。
【請求項4】
前記特定された機能要素それぞれを、当該機能要素への入力を維持し、外部への出力を遮断した隔離領域に移動させる隔離処理部を有することを特徴とする請求項1から3のいずれか1項に記載の制御装置。
【請求項5】
前記特定された機能要素を無効化した後、前記無効化した機能要素の内容を対応する予備機能要素の内容に書き換え、切り替え後の予備機能要素に対する予備機能要素として前記機能要素保持部に保持する機能要素書換部を備えたことを特徴とする請求項1から4のいずれか1項に記載の制御装置。
【請求項6】
通信網を介して、車両に搭載された機器の少なくともいずれかを制御する制御方法であって、
前記制御を実行するための複数の機能要素、および前記複数の機能要素それぞれに対応し、各機能要素と同じ制御機能を実行可能な予備機能要素を保持する機能要素保持ステップ、
前記通信網を介したセキュリティ攻撃に起因する異常を検知する異常検知ステップ、
前記異常が検知されたとき、前記複数の機能要素のうち、異常が生じた機能要素と波及先となる機能要素を処理対象として特定する処理対象特定ステップ、
前記複数の機能要素の使用状況に応じ、前記特定された機能要素それぞれに優先順位を付与する優先順位付与ステップ、および
前記特定された機能要素の制御機能を、前記優先順位に基づいて、それぞれ対応する予備機能要素に切り替えて実行させる機能要素切替ステップ、
を含むことを特徴とする制御方法。
【請求項7】
前記機能要素切替ステップにおける前記予備機能要素による前記制御機能の実行前に、前記セキュリティ攻撃の種類に応じて、前記通信網に対するセキュリティ対策の変更を行う、セキュリティ対策ステップ、を含むことを特徴とする請求項6に記載の制御方法。
【発明の詳細な説明】
【技術分野】
【0001】
本願は、制御装置および制御方法に関するものである。
【背景技術】
【0002】
一般に、車両には、ECU(Electronic Control Unit)と呼ばれる制御装置が複数台搭載され、それぞれ、他のECU、または車両外の通信機器と有線または無線によって接続される。そのため、通信線を経由したセキュリティ攻撃により、内部に不正侵入されてプログラムデータが改ざんされることで、車両の走行制御に不具合をきたすおそれがある。
【0003】
それに対し、セキュリティ攻撃に起因した異常発生時に、異常の発生元と波及箇所を特定し、異常が発生しても利用できる運転モードに切り替えて、自動車の走行制御を継続させる情報処理装置が開示されている(例えば、特許文献1参照。)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2018−194909号公報(段落0015〜0103、図1図9
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、切り替えた運転モードは、異常発生以前とは異なるため、車両として同じ制御ができなくなってしまう。
【0006】
本願は、上記のような課題を解決するための技術を開示するものであり、セキュリティ攻撃を受けても、攻撃を受ける前と同等の車両制御を継続できる制御装置を得ることを目的としている。
【課題を解決するための手段】
【0007】
本願に開示される制御装置は、車両に搭載され、通信網を介して、前記車両に搭載された機器の少なくともいずれかを制御する制御装置であって、前記制御を実行するための複数の機能要素、および前記複数の機能要素それぞれに対応し、各機能要素と同じ制御機能を実行可能な予備機能要素を保持する機能要素保持部、前記通信網を介したセキュリティ攻撃に起因する異常を検知する異常検知部、前記異常が検知されたとき、前記複数の機能要素のうち、異常が生じた機能要素と波及先となる機能要素を処理対象として特定する処理対象特定部、前記特定された機能要素の制御機能を、それぞれ対応する予備機能要素に切り替えて実行させる機能要素切替部、および前記複数の機能要素の使用状況に応じ、前記切り替えにおける予備機能要素の起動の優先順位を付与する優先順位付与部、を備えたことを特徴とする。
【0008】
本願に開示される制御方法は、通信網を介して、車両に搭載された機器の少なくともいずれかを制御する制御方法であって、前記制御を実行するための複数の機能要素、および前記複数の機能要素それぞれに対応し、各機能要素と同じ制御機能を実行可能な予備機能要素を保持する機能要素保持ステップ、前記通信網を介したセキュリティ攻撃に起因する異常を検知する異常検知ステップ、前記異常が検知されたとき、前記複数の機能要素のうち、異常が生じた機能要素と波及先となる機能要素を処理対象として特定する処理対象特定ステップ、前記複数の機能要素の使用状況に応じ、前記特定された機能要素それぞれに優先順位を付与する優先順位付与ステップ、および前記特定された機能要素の制御機能を、前記優先順位に基づいて、それぞれ対応する予備機能要素に切り替えて実行させる機能要素切替ステップ、を含むことを特徴とする。
【発明の効果】
【0009】
本願に開示される制御装置、あるいは制御方法によれば、車両の状況に応じた優先度に基づいて、影響を受ける機能要素を同等の制御機能を有する予備機能要素に切り替えるように構成したので、セキュリティ攻撃を受けても、攻撃を受ける前と同等の車両制御を継続することができる。
【図面の簡単な説明】
【0010】
図1】実施の形態1にかかる制御装置の構成を説明するためのブロック図である。
図2】実施の形態1にかかる制御装置の動作を説明するためのフローチャートである。
図3】実施の形態1にかかる制御装置の構成における、異常が発生した機能要素を示すためのブロック図である。
図4】実施の形態2にかかる制御装置の構成を説明するためのブロック図である。
図5図5A図5Bは、実施の形態2にかかる制御装置の構成における隔離領域について説明するための、通常状態の機能要素と、隔離領域に移動した機能要素それぞれでの、入出力の状態を示すブロック図である。
図6】実施の形態2にかかる制御装置の動作を説明するためのフローチャートである。
図7】実施の形態2にかかる制御装置の構成における、異常が発生した機能要素を示すためのブロック図である。
図8】各実施の形態にかかる制御装置の演算処理を実行する部分の構成例を示すブロック図である。
【発明を実施するための形態】
【0011】
実施の形態1.
図1図3は、実施の形態1にかかる制御装置の構成、および動作について説明するためのものであり、図1は制御装置の構成について、通信経路を介した他の制御装置とのつながりを含めた制御装置のブロック図、図2はセキュリティ攻撃を受けた際の対処動作、つまり制御方法について説明するためのフローチャートである。また、図3は制御装置の機能要素保持部に保持された複数の機能要素のうち、異常が発生した機能要素と波及先となる機能要素を示すためのブロック図である。
【0012】
車両の制御を行う車両制御システムは、背景技術で述べたように、ECUと呼ばれる複数の制御装置それぞれが、他のECU、または車両外の通信機器と有線または無線によって接続されることで構成される。本実施の形態1にかかる制御装置は、そのうち、ADAS(Advanced Driver Assistance System:先進運転支援システム)と呼ばれる制御装置を例にして説明する。
【0013】
本実施の形態1にかかる制御装置(ADAS制御装置100)は、図1に示すように、車載ネットワーク400により、EPS制御装置200、ブレーキ制御装置300等、他の制御装置とつながっている。例えば、EPS制御装置200は、電動パワーステアリング(Electric Power Steering)の角度、トルク等を制御する装置、ブレーキ制御装置300は、ブレーキの制御量等を制御するものである。なお、図1に示す車両制御システムは、実際には、図示していない構成も含まれているが、本実施の形態1の説明に直接関係しないものについては記載を省略している。
【0014】
ADAS制御装置100は、図示しない自身の持つセンサー値、車載ネットワーク400経由で他の制御装置から入手した入力値に基づいて、車両内、あるいは他の車両との関係等の状況を判断する。そして、例えば、EPS制御装置200、ブレーキ制御装置300に対しては、それぞれ角度、トルク等の制御量の指示、ブレーキの制御量の指示等を実施する。
【0015】
車載ネットワーク400は、車両内外と通信するための通信路となる、CAN(Controller Area Network)、Ehernet(ともに、登録商標)等が一般的に使われるが、これに限るものではない。
【0016】
ADAS制御装置100は、他の機器との送受信を行う送受信部140と、車両および他の機器を制御するための複数の機能要素iを保持する機能要素保持部120と、セキュリティ対策を行うセキュリティ対策部130と、異常時の対応を行う異常対応制御部110とを備えている。以下、各構成要素とその機能について簡単に説明する。
【0017】
送受信部140は、車載ネットワーク400で接続される他の制御装置(ここでは、EPS制御装置200、ブレーキ制御装置300をあげているがこれに限るものではない)、あるいは車外の機器との間で、通信によりデータの送受信を実施する。
【0018】
機能要素保持部120は、EPS制御装置200、ブレーキ制御装置300の制御に関わる制御量または各種処理値を演算するための複数の機能要素1、機能要素2、機能要素3を保持する。また、機能要素1と同じ制御機能を有する予備機能要素1B、機能要素2と同じ制御機能を有する予備機能要素2B、機能要素3と同じ制御機能を有する予備機能要素3Bをバックアップとして保持する。つまり、ある機能要素iに対して同じ制御機能を有する要素を予備機能要素iBとして保持する。ここでは、機能要素1〜3として、ハンドルの目標角を計算する制御機能を機能要素1、ハンドルの目標角速度を決める制御機能を機能要素2、ブレーキの制御量を決める制御機能を機能要素3とするが、これらに限定されるものではない。
【0019】
セキュリティ対策部130は、ADAS制御装置100のセキュリティ耐性を確保するための機能を保持する。ここでは、通信メッセージのなりすましへの対策となる通信認証機能131、接続される機器のなりすましへの対策となる機器認証機能132、送信するデータの秘匿性、制御装置内に保存するデータの秘匿性を確保する暗号化機能133等を記載している。
【0020】
異常対応制御部110には、車内の機器の動作状況を確認して異常を検知する異常検知部111と、異常がセキュリティ攻撃に起因するか否かを判定し、異常の発生元を特定する異常発生元特定部112と、異常の波及先を特定する波及箇所特定部113が設けられている。そして、車両内の機能要素iの使用状況を検知する機能使用状況確認部114と、検知した機能使用状況に応じて、異常発生元、波及箇所等として特定された機能要素iに対して処理対象としての優先順位を付与する優先順位付与部115を設けている。さらに、決定した優先順位に従って、機能要素保持部120内の機能要素iの停止・切り替え等を制御する機能要素切替部116と、セキュリティ対策部130内のセキュリティ対策機能を変更する対策変更部117と、が設けられている。
【0021】
異常検知部111は、車両内の各機器の動作状況に関する情報を収集し、収集した情報から、車両に発生した故障、およびセキュリティ攻撃に起因する異常を検知する。ここで、異常に関するデータとしては、通常と異なるメモリの変化、動作、出力値等が考えられる。収集先としては、自機(ADAS制御装置100内)だけでなく、車載ネットワーク400を経由した、他の制御装置(EPS制御装置200、ブレーキ制御装置300等)がある。
【0022】
異常発生元特定部112は、異常検知部111によって確認された情報に含まれる、異常を示す情報に基づいて、異常が故障に起因するものか、セキュリティ攻撃に起因するものかなどの異常の種類を判別する。そして、セキュリティ攻撃に起因する異常であれば、その発生元(攻撃を受けた機能要素i)を特定する。
【0023】
波及箇所特定部113は、異常発生元特定部112が特定した異常の発生元となる機能要素iから、さらに、その異常が波及している箇所(機能要素i)を特定する。
【0024】
機能使用状況確認部114は、車両内の各制御装置の状態、例えば、ステアリングの頻度といった車両操作、あるいは車両制御に関する機能要素iの使用状況に関する情報を収集し、機能要素iの使用状況を確認する。
【0025】
優先順位付与部115は、異常発生元特定部112で特定された発生元となる機能要素i、波及箇所特定部113で特定された波及箇所となる機能要素iに対し、機能使用状況確認部114が確認した機能使用状況に応じて、処理対象としての優先順位を付与する。
【0026】
機能要素切替部116は、優先順位付与部115で付与された優先順位に基づいて、異常の発生元および波及箇所となる機能要素iを予備機能要素iBに切り替える。ここでは、機能要素保持部120が有する複数の機能要素iのうち、機能要素1ならば予備機能要素1Bに、機能要素2ならば予備機能要素2Bに、機能要素3ならば予備機能要素3Bに切り替えることとなる。
【0027】
対策変更部117は、セキュリティ対策部130が管理するセキュリティ対策機能をよりセキュリティ耐性が向上するように変更する。例えば、通信認証機能131は、通信メッセージのなりすましを防止するために、通信データから算出されるMAC(Message Authentication Code:認証用の符号)を通信メッセージと一緒に送信することとなる。ここで、例えば、セキュリティ耐性を向上させるのであれば、このMACの長さを通常より長くすることがあげられる。セキュリティ対策部130に含まれる他の機能ついても使用する暗号の暗号化鍵長を長くする、認証子の長さを長くする、暗号のアルゴリズムそのものを変更するなどして、セキュリティ耐性を向上させることとなる。
【0028】
次に、実施の形態1にかかる車両制御システムのADAS制御装置100の異常検出時の一連の処理の流れ、つまり制御方法について、図2のフローチャートを用いて説明する。
【0029】
異常検知部111は、自身の制御装置内の状態(メモリ、入出力データ、処理内容の変化)だけでなく、車載ネットワーク400経由でEPS制御装置200、ブレーキ制御装置300等からも動作状況を示す情報を収集する(ステップS100)。
【0030】
そして、収集した情報のなかに、異常がある旨の情報があるか否かを判定する(ステップS110)。異常を検知していれば(「Yes」)、以降のステップS120へ進む。異常が検知されていなければ(「No」)、ステップS100に戻り、機器動作状況情報の収集を継続する。
【0031】
異常を検知した場合、異常発生元特定部112は、収集された異常情報に基づいて、異常が故障に起因するものか、セキュリティ攻撃に起因するものか否かを判別する(ステップS120)。異常が故障に起因する場合(「No」)、例えば、フェールセーフに則った、一般的な故障対処を実行し(ステップS300)、終了する。
【0032】
一方、異常がセキュリティ攻撃に起因するものであれば(「Yes」)、異常の発生元となる機能要素iを特定する(ステップS130)。発生元が特定されると、波及箇所特定部113は、その異常がどの機能要素iまで波及しているか(波及先)を特定する(ステップS140)。
【0033】
さらに、機能使用状況確認部114は、車両操作、あるいは車両状況に応じた機能要素iの使用状況を示す情報(機能使用情報)を入手し、機能要素iの使用状況を確認する(ステップS150)。ここでは、操作履歴として、ステアリング操作と、ブレーキ操作の頻度等を確認する。そして、優先順位付与部115は、機能使用状況に応じて、異常発生元と波及箇所に対して、その機能要素iが担っていた制御機能を予備機能要素iBによって回復処理を行う際の優先順位を付与する(ステップS160)。
【0034】
ステップS130〜ステップS160において、処理の対象と優先順位が決定すると、機能要素切替部116は、処理対象として特定されたすべての機能要素iを停止する(ステップS170)。
【0035】
続いて、対策変更部117は、セキュリティ対策部130が管理する対策機能をよりセキュリティ耐性が向上するように変更する(ステップS180)。本実施の形態では、通信によりセキュリティ攻撃を受けたものとして、通信認証機能131を変更する例を示す。しかし、実際の変更対象は、セキュリティ攻撃の種類に応じて選択するように構成することで、よりセキュリティ耐性の向上が期待できる。また、セキュリティ対策機能を切り替えたことを送受信部140により他の制御装置へ通知する。ただし、自身の制御装置のみで実施するセキュリティ対策については他の制御装置には通知しない。
【0036】
そして、機能要素切替部116は、ステップS170で停止した機能要素iに対し、ステップS160で付与した優先順位の高い機能要素iに対応する予備機能要素iBから順に起動して、停止した機能要素iからの切り替えを行う(ステップS190)。これにより、異常時の対応を終了する。
【0037】
上述した構成と、基本動作(処理フロー)を有するADAS制御装置100において、あるセキュリティ攻撃に起因する異常が発生した際の動作例について、説明する。セキュリティ攻撃に起因する異常としては、車載ネットワーク400経由でのセキュリティ攻撃により、機能要素保持部120が保持する機能要素iのうち、図3に示すように、機能要素1が改ざんされ、機能要素3に波及した場合を想定する。
【0038】
ステップS100において、異常検知部111は、メモリ、入出力データ、処理内容の変化等の自身の制御装置内の動作状況情報、および車載ネットワーク400を介した他の機器の動作状況情報を収集し、各機器の動作状況を確認する。そして、収集した動作状況情報のなかに、異常が発生したことを示す異常情報が含まれるか否かで、異常の発生の有無を判定する(ステップS110)。
【0039】
この状態で、上述したセキュリティ攻撃を受けると、セキュリティ攻撃により機能要素1が改ざんされるので、それに起因して処理内容が変化しているとの異常情報が収集され、異常があることを検知し(ステップS110で「Yes」)、ステップS120へ進む。さらに、異常情報に基づいて、異常がセキュリティ攻撃に起因するものであると判別し(ステップS120で「Yes])、ステップS130へ進む。なお、改ざんの判定に関しては、予備機能要素1Bと比較するなどがあげられるが、これに限るものではない。
【0040】
ここでは、異常がセキュリティ攻撃によるものと判別されたので、さらに詳細を分析し、異常の発生元となる機能要素iが「機能要素1:ハンドルの目標角を計算する機能」であることを特定する(ステップS130)。
【0041】
さらに、波及箇所特定部113は、特定した異常元となる機能要素1に関して、その異常が波及している機能要素iを特定する(ステップS140)。ここでは、機能要素2、機能要素3を分析し、機能要素3には異常が波及して制御機能が変更されていて、機能要素2には異常が波及していないと判定する。波及しているか否かの判定に関しては、元の機能要素2、機能要素3を、予備機能要素2B、予備機能要素3Bそれぞれと比較するなどがあげられるが、これに限るものではない。
【0042】
一方、機能使用状況確認部114は、車両操作、車両制御、車両状態、あるいは走行する路面状態に応じた機能要素iの使用状況に関する情報を収集する(ステップS150)。そして、機能要素1〜3のうち、ステアリング操作に関する機能要素(機能要素1)の操作頻度が他の機能要素iよりも高いと判定すると、優先順位付与部115は、機能要素1に対して、機能要素3よりも高い優先順位を付与する(ステップS160)。
【0043】
つぎに、機能要素切替部116は、異常発生元と特定された機能要素1と、波及先として特定された機能要素3を停止する(ステップS170)。一方、他の機能要素iに関しては、これまで通り処理を続ける。
【0044】
続いて対策変更部117は、セキュリティ攻撃への耐性を高めるため、セキュリティ対策部130が管理する対策機能を変更する(ステップS180)。本ケースでは、通信を介してセキュリティ攻撃されていることから、通信に対するセキュリティ対策となる通信認証機能131のMAC長を長くすることでセキュリティ耐性を向上させる。また、セキュリティ対策機能を切り替えたことを、送受信部140を介して、EPS制御装置200、ブレーキ制御装置300等、車内の各機器に通知する。
【0045】
機能要素切替部116は、ステップS160で付与された優先順位に基づき、停止した機能要素iに対応する予備機能要素iBを起動させる(ステップS190)。本ケースでは、ステアリングに関する機能要素1の優先順位が高いため、機能要素1の予備機能要素1Bの起動処理を優先的に行い、次にブレーキに関わる機能要素3の予備機能要素3Bを起動する。
【0046】
以上のように、本実施の形態1においては、機能要素1に異常が発生し、機能要素3に異常が波及しても、図2に示す処理フローに従って、同等の機能を担う予備機能要素1B、予備機能要素3Bに切り替えることで、攻撃前と同等の車両制御を継続できる。その際、車両における機能要素iの使用状況を考慮した優先度に基づき、優先度の高い機能要素(予備機能要素1B)から先に起動(切替)処理を行うようにしたので、さらに、攻撃前後で、操作に対する違和感を覚えることもない。また、起動した予備機能要素iBに、機能要素iと同じ攻撃が仕掛けられたとしても、セキュリティ対策部130の通信認証機能131のMAC長を変更してセキュリティ耐性を向上させているため、攻撃を回避することが可能である。
【0047】
また、セキュリティ対策を変更したことを関係する制御装置にも通知することで、セキュリティ対策の変更による車両としての影響を抑えることができる。なお、本実施の形態1においては、セキュリティ対策部130として、通信認証機能131、機器認証機能132、暗号化機能133をあげたがこれに限るものではない。
【0048】
例えば、あらかじめ、車両に発生しうるセキュリティ攻撃を分析し、それに対応するセキュリティ対策部とそのセキュリティを強化させる手順を用意しておけば、セキュリティ攻撃に対する耐性を向上させることができる。また、セキュリティ対策内容、および予備機能要素を外部からのアクセスに対してのガードがより強固な記憶領域に保存しておくことで、セキュリティ攻撃に対するセキュリティ耐性を向上させることができる。
【0049】
さらに、予備機能要素iBの内容を、異常が発生して停止させた機能要素iへ上書きすることで、停止させた機能要素iを新たな予備機能要素iBとして構築する機能要素書換部を異常対応制御部110に設けるようにしてもよい。このようにして、機能切り替え以後のセキュリティ攻撃に対しても、機能要素のバックアップを備えることで、セキュリティ攻撃に対するセキュリティ耐性をより向上させることができる。
【0050】
実施の形態2.
上記実施の形態1にかかる車両システムにおける制御装置では、攻撃を受けた機能要素を停止する例について説明した。本実施の形態2にかかる車両システムにおける制御装置では、攻撃を受けた機能要素を停止させるだけではなく、セキュリティ攻撃の解析に利用できるよう、隔離して保持するようにした例について説明する。
【0051】
図4図7は、実施の形態2にかかる制御装置の構成、および動作について説明するためのものであり、図4は制御装置の構成について、通信経路を介した他の制御装置とのつながりを含めた制御装置のブロック図、図5は隔離領域について説明するための、通常状態でのある機能要素に対する入出力の状態を示すブロック図(図5A)と、隔離領域に移動した機能要素に対する入出力の状態を示すブロック図(図5B)である。図6はセキュリティ攻撃を受けた際の対処動作、つまり制御方法について説明するためのフローチャート、図7は制御装置の機能要素保持部に保持された複数の機能要素のうち、異常が発生した機能要素と波及先となる機能要素を示すためのブロック図である。なお、本実施の形態2において、実施の形態1と同一もしくは相当する部分は同一符号で示し、重複する説明は省略する。
【0052】
本実施の形態2においても、車両制御システムは、実施の形態1と同様に、ADAS制御装置100とEPS制御装置200、ブレーキ制御装置300が車載ネットワーク400により接続される構成とする。一方、本実施の形態2においては、図4に示すように、ADAS制御装置100が、図1で説明した構成に加えて、新たに隔離処理部118、隔離領域150を備えている点が異なる。例えば、機能要素切替部116のような隔離処理部118の動作に関与する構成以外の構成については、基本的に実施の形態1と同じであるため、ここでは、その説明を省略する。
【0053】
まず、実施の形態1にかかるADAS制御装置100に対して追加された構成と機能について簡単に説明する。隔離処理部118は、攻撃を受けた際の異常の発生元である機能要素i、あるいは異常の波及先である機能要素iを生かした状態で、他の機能要素iに影響を及ぼさないように、隔離領域150に移動させる。ここで、隔離領域150とは、他の機能要素i、あるいは記憶領域へのアクセスが制限された記憶領域として準備するものとなる。
【0054】
つまり、図5Aに示すように、攻撃を受ける前の機能要素iを通常領域で動作させている場合には、入力に対して機能要素iの処理を実施し、出力を他の機能要素i、あるいは制御装置に引き渡すこととなる。しかし、図5Bに示すように、機能要素iを隔離領域150へ移した場合は、通常領域と同じ入力値を与えるが、出力に関しては、他の機能要素i、あるいは他の制御装置に影響を及ぼさないように遮断することとなる。
【0055】
一方、遮断した出力は、例えば、診断装置に接続することで、異常をきたした機能要素iの動作を通常動作に近い形で観察することができ、セキュリティ攻撃による異常の詳細分析、あるいはセキュリティ攻撃を実施した者の意図の解明に役だてることができる。ここで、隔離領域150への移動方法としては、仮想的に同じメモリ番地を与えた隔離領域150へコピーして、元の機能要素iを削除すること等があるが、これに限るものではない。
【0056】
上述した構成に基づき、実施の形態2にかかる車両制御システムのADAS制御装置100の異常検出時の一連の処理の流れ、つまり制御方法について、図6のフローチャートを用いて説明する。なお、図6において、実施の形態1における図2のステップS170をステップS175に変更した以外は、実施の形態1で説明した動作と同様である。
【0057】
異常検知部111は、自身の制御装置内の状態(メモリ、入出力データ、処理内容の変化)だけでなく、車載ネットワーク400経由でEPS制御装置200、ブレーキ制御装置300等からも動作状況を示す情報を収集する(ステップS100)。
【0058】
そして、収集した情報のなかに、異常がある旨の情報があるか否かを判定し(ステップS110)、異常を検知すれば(「Yes」)、異常の種類を判別するステップS120へ進む。異常が検知されていなければ(「No」)、ステップS100に戻り、動作状況の情報収集を継続する。
【0059】
異常を検知した場合、異常発生元特定部112は、収集された異常情報に基づいて、異常が故障に起因するものか、セキュリティ攻撃に起因するものか否かを判別する(ステップS120)。そして、異常がセキュリティ攻撃に起因するものであれば(「Yes」)、さらに、異常の発生元となる機能要素iを特定する(ステップS130)。異常発生元が特定されると、波及箇所特定部113は、その異常がどの機能要素iまで波及しているかを特定する(ステップS140)。
【0060】
さらに、機能使用状況確認部114は、車両操作、車両制御、車両状態、あるいは走行する路面状態に応じた機能使用情報を入手し、機能要素iの使用状況を確認する(ステップS150)。ここでは、操作履歴として、ステアリング操作と、ブレーキ操作の頻度等を確認する。そして、優先順位付与部115は、機能使用状況に応じて、異常発生元と波及箇所に対して、制御機能を回復させる処理を行う際の優先順位を付与する(ステップS160)。
【0061】
ステップS130〜ステップS160において、処理の対象と優先順位が決定すると、機能要素切替部116は、実施の形態1で説明した処理対象の機能要素iの停止に代え、隔離処理部118に対し、処理対象の機能要素iを生かしたまま、隔離領域150へ移動させる(ステップS175)。隔離領域150に移動させた機能要素iは、車両内あるいは車外の機器への出力が遮断され、処理対象の機能要素iの制御機能は実質的に停止する。
【0062】
続いて、対策変更部117は、セキュリティ対策部130が管理する対策機能をよりセキュリティ耐性が向上するように変更する(ステップS180)。本実施の形態2でも、通信によりセキュリティ攻撃を受けたものとして、通信認証機能131を変更する例を示すが、実際の変更対象についても、セキュリティ攻撃の種類に応じて選択するように構成することで、よりセキュリティ耐性の向上が期待できる。また、セキュリティ対策機能を切り替えたことを送受信部140により他の制御装置へ通知する。ただし、自身の制御装置のみで実施するセキュリティ対策については他の制御装置には通知しない。
【0063】
そして、機能要素切替部116は、ステップS175で隔離した機能要素iに対し、ステップS160で付与した優先順位の高い機能要素iに対応する予備機能要素iBから順に起動して、隔離した機能要素iからの切り替えを行う(ステップS190)。これにより、異常時の対応を終了する。
【0064】
上述した構成と、基本動作(処理フロー)を有するADAS制御装置100において、あるセキュリティ攻撃に起因する異常が発生した際の動作例について、説明する。セキュリティ攻撃に起因する異常としては、実施の形態1と同様に、車載ネットワーク400経由でのセキュリティ攻撃により、機能要素保持部120が保持する機能要素iのうち、図7に示すように、機能要素1が改ざんされ、機能要素3に波及した場合を想定する。
【0065】
ステップS100において、異常検知部111は、メモリ、入出力データ、処理内容の変化等の自身の制御装置内の動作状況情報、および車載ネットワーク400を介した他の機器の動作状況情報を収集し、各機器の動作状況を確認する。
【0066】
ここで、想定したようなセキュリティ攻撃を受けると、機能要素1が改ざんされるので、それに起因して処理内容が変化しているとの異常情報が収集され、異常があることを検知し(ステップS110で「Yes」)、ステップS120へ進む。ステップS120では、異常情報に基づいて、異常がセキュリティ攻撃に起因するものであると判別し(「Yes])、ステップS130へ進む。なお、改ざんの判定に関しても、実施の形態1と同様に、予備機能要素1Bと比較するなどがあげられるが、これに限るものではない。
【0067】
ここでは、異常がセキュリティ攻撃によるものと判別されたので、さらに詳細を分析し、異常の発生元となる機能要素iが「機能要素1:ハンドルの目標角を計算する機能」であることを特定する(ステップS130)。さらに、波及箇所特定部113は、特定した異常元となる機能要素1に関して、その異常がどの機能要素iまで波及しているか機能要素iを特定する(ステップS140)。ここでは、機能要素2、機能要素3を分析し、機能要素3には異常が波及して制御機能が変更されていて、機能要素2には異常が波及していないと判定する。波及しているか否かの判定に関しても、元の機能要素2、機能要素3を、予備機能要素2B、予備機能要素3Bそれぞれと比較するなどがあげられるが、これに限るものではない。
【0068】
一方、機能使用状況確認部114は、車両内での機能要素iの使用状況に関する情報を収集する(ステップS150)。そして、機能要素1〜3のうち、ブレーキ操作に関する機能要素(機能要素3)の操作頻度が他の機能要素iよりも高いと判定すると、優先順位付与部115は、機能要素3に対して、機能要素1よりも高い優先順位を付与する(ステップS160)。
【0069】
つぎに、隔離処理部118は、機能要素切替部116による停止処理に代わって、異常発生元と特定された機能要素1と、波及先として特定された機能要素3を隔離領域150へ移動し隔離する(ステップS175)。一方、他の機能要素iに関しては、実施の形態1と同様に、これまで通りの処理を続ける。
【0070】
対策変更部117については、実施の形態1と同様に、セキュリティ攻撃への耐性を高めるため、セキュリティ対策部130が管理する対策機能を変更する(ステップS180)。本ケースでも、通信を介してセキュリティ攻撃されていることから、通信に対するセキュリティ対策となる通信認証機能131のMAC長を長くすることでセキュリティ耐性を向上させる。また、セキュリティ対策機能を切り替えたことを、送受信部140を介して、EPS制御装置200、ブレーキ制御装置300等、車内の各機器に通知する。
【0071】
機能要素切替部116は、ステップS160で付与された優先順位に基づき、停止した機能要素iに対応する予備機能要素iBを起動させる(ステップS190)。本ケースでは、ブレーキに関する機能要素3の優先順位が高いため、機能要素3の予備機能要素3Bの起動処理を優先的に行い、次にステアリングに関わる機能要素1の予備機能要素1Bを起動する。
【0072】
以上のように、本実施の形態2においては、機能要素1に異常が発生し、機能要素3に異常が波及しても、図6に示す処理フローに従って同等の機能を担う予備機能要素1B、予備機能要素3Bに切り替えることで、攻撃前と同等の車両制御を継続できる。その際、車両における機能要素iの使用状況を考慮した優先度に基づき、優先度の高い機能要素(予備機能要素3B)から先に起動(切替)処理を行うようにしたので、さらに、攻撃前後で、操作に対する違和感を覚えることもない。また、起動した予備機能要素iBに、機能要素iと同じ攻撃が仕掛けられたとしても、セキュリティ対策部130の通信認証機能131のMAC長を変更してセキュリティ耐性を向上させているため、攻撃を回避することが可能である。
【0073】
とくに、本実施の形態2にかかる制御装置(ADAS制御装置100)によれば、セキュリティ攻撃に起因する異常が発生した場合には、処理対象と特定した機能要素iを生かしたまま隔離して、予備機能要素に切り替えて同等の制御を継続するようにした。そのため、セキュリティ攻撃における異常の詳細分析、あるいはセキュリティ攻撃を実施した者の意図の解明に役だてることができる。さらには、セキュリティ攻撃を受けたことの証拠保全(状態保持)にもつながる。
【0074】
また、セキュリティ対策を変更したことを、関係する制御装置にも通知することで、セキュリティ対策の変更による車両としての影響を抑えることができる。なお、本実施の形態2においても、セキュリティ対策部130として、通信認証機能131、機器認証機能132、暗号化機能133をあげたがこれに限るものではない。例えば、あらかじめ、車両に発生しうるセキュリティ攻撃を分析し、それに対応するセキュリティ対策部とそのセキュリティを強化させる手順を用意しておけば、セキュリティ攻撃に対する耐性を向上させることができる。また、セキュリティ対策、および予備機能要素を外部からのアクセスに対してのガードがより強固な記憶領域に保存しておくことで、セキュリティ攻撃に対するセキュリティ耐性を向上させることができる。
【0075】
また、本実施の形態2においても、攻撃を受ける前の予備機能要素iBの内容を、異常が発生して停止させた機能要素iへ上書きすることで、停止させた機能要素iを新たな予備機能要素1Bとして構築する機能要素書換部を設けるようにしてもよい。このようにして、機能切り替え以後のセキュリティ攻撃に対しても、機能要素iのバックアップを備えることで、セキュリティ攻撃に対するセキュリティ耐性をより向上させることができる。
【0076】
なお、上述した各実施の形態にかかる制御装置(ADAS制御装置100)における演算処理を行う部分、とくに各機能要素iは、図8に示すようにプロセッサ11と記憶装置12を備えたひとつのハードウェア10によって構成することも考えられる。記憶装置12は、図示していないが、ランダムアクセスメモリ等の揮発性記憶装置と、フラッシュメモリ等の不揮発性の補助記憶装置とを具備する。また、フラッシュメモリの代わりにハードディスクの補助記憶装置を具備してもよい。プロセッサ11は、記憶装置12から入力されたプログラムを実行する。この場合、補助記憶装置から揮発性記憶装置を介してプロセッサ11にプログラムが入力される。また、プロセッサ11は、演算結果等のデータを記憶装置12の揮発性記憶装置に出力してもよいし、揮発性記憶装置を介して補助記憶装置にデータを保存してもよい。
【0077】
なお、本願は、例示的な実施の形態が記載されているが、実施の形態に記載された様々な特徴、態様、および機能は特定の実施の形態の適用に限られるのではなく、単独で、または様々な組み合わせで実施の形態に適用可能である。従って、例示されていない無数の変形例が、本願明細書に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合が含まれるものとする。
【0078】
また、本願で開示した制御装置は、車両制御システムのADAS制御装置100として説明したが、これに限ることはない。例えば、ECUで制御される制御装置を含むシステムであれば、起動時の記憶領域の検証部としてどのような制御装置にも利用することができる。一方、車両のように機器の動作状況が刻々と変わるシステムにおいては、異常をきたした機能要素iのうち、状況に応じて回復させる優先順位をつけることが望ましく、機能使用状況に応じて優先順位を付与する本願の構成は、車両制御システムに対して好適である。
【0079】
以上のように、各実施の形態にかかる制御装置(ADAS制御装置100)によれば、車両に搭載され、通信網(車載ネットワーク400)を介して、車両に搭載された機器(例えば、EPS制御装置200、ブレーキ制御装置300、あるいは車両内の他の機器)の少なくともいずれかを制御する制御装置であって、制御を実行するための複数の機能要素i、および複数の機能要素iそれぞれに対応し、各機能要素iと同じ制御機能を実行可能な予備機能要素iBを保持する機能要素保持部120、通信網(車載ネットワーク400)を介したセキュリティ攻撃に起因する異常を検知する異常検知部111、異常が検知されたとき、複数の機能要素iのうち、異常が生じた機能要素と波及先となる機能要素を処理対象として特定する処理対象特定部(異常発生元特定部112、波及箇所特定部113)、特定された機能要素iの制御機能を、それぞれ対応する予備機能要素iBに切り替えて実行させる機能要素切替部116、および複数の機能要素iの使用状況に応じ、切り替えにおける対応する予備機能要素iBの起動の優先順位を付与する優先順位付与部115、を備えるように構成したので、セキュリティ攻撃を受けても、車両制御に支障をきたすことなく、攻撃を受ける前と同等の車両制御を継続することができる。
【0080】
異常が検知されたとき、セキュリティ攻撃の種類に応じて、通信網(車載ネットワーク400)に対するセキュリティ対策の変更を行うセキュリティ対策部130を備えるように構成すれば、とくに、機能要素iと同じ構造を有する予備機能要素iBに対して、機能要素iに影響を与えたのと同じセキュリティ攻撃を受けても、耐性の向上により、影響を受けることを防止できる。
【0081】
セキュリティ対策部130は、セキュリティ対策の変更内容を、車両に搭載された他の制御装置(例えば、EPS制御装置200、ブレーキ制御装置300)に通知するように構成すれば、セキュリティ対策変更に伴う車両内での連携動作での障害を抑えることができる。
【0082】
また、処理対象として特定された機能要素iそれぞれを、当該機能要素iへの入力を維持し、外部への出力を遮断した隔離領域150に移動させる隔離処理部118を有するようにすれば、セキュリティ攻撃の分析、攻撃者の意図の解析等を行うことができる。
【0083】
処理対象として特定された機能要素iを無効化した後、無効化した機能要素iの内容を対応する予備機能要素iBの内容に書き換え、切り替え後の予備機能要素iBに対する予備機能要素iBとして機能要素保持部120に保持する機能要素書換部を備えることで、以降のセキュリティ攻撃に対する対応も可能になる。
【0084】
以上のように、各実施の形態にかかる制御方法によれば、車両に搭載された機器の少なくともいずれかを制御する制御方法であって、制御を実行するための複数の機能要素i、および複数の機能要素iそれぞれに対応し、各機能要素iと同じ制御機能を実行可能な予備機能要素iBを保持する機能要素保持ステップ、通信網(車載ネットワーク400)を介したセキュリティ攻撃に起因する異常を検知する異常検知ステップ(ステップS100〜S120)、異常が検知されたとき、複数の機能要素iのうち、異常が生じた機能要素と波及先となる機能要素を処理対象として特定する処理対象特定ステップ(ステップS130〜S140)、複数の機能要素iの使用状況に応じ、特定された機能要素それぞれに優先順位を付与する優先順位付与ステップ(ステップS150〜S160)、および特定された機能要素の制御機能を、優先順位に基づいて、それぞれ対応する予備機能要素に切り替えて実行させる機能要素切替ステップ(ステップS170/S175〜190)、を含むように構成したので、セキュリティ攻撃を受けても、車両制御に支障をきたすことなく、攻撃を受ける前と同等の車両制御を継続することができる。
【0085】
機能要素切替ステップにおける予備機能要素iBによる制御機能の実行前に、セキュリティ攻撃の種類に応じて、通信網(車載ネットワーク400)に対するセキュリティ対策の変更を行う、セキュリティ対策ステップ(ステップS180)を含むように構成すれば、とくに、機能要素iと同じ構造を有する予備機能要素iBに対して、機能要素iに影響を与えたのと同じセキュリティ攻撃を受けても、耐性の向上により、影響を受けることを防止できる。
【符号の説明】
【0086】
100:ADAS制御装置(制御装置)、 110:異常対応制御部、 111:異常検知部、 112:異常発生元特定部(処理対象特定部)、 113:波及箇所特定部(処理対象特定部)、 114:機能使用状況確認部、 115:優先順位付与部、 116:機能要素切替部、 117:対策変更部、 118:隔離処理部、 120:機能要素保持部、 130:セキュリティ対策部、 131:通信認証機能、 132:機器認証機能、 133:暗号化機能、 140:送受信部、 150:隔離領域、 200:EPS制御装置、 300:ブレーキ制御装置、 400:車載ネットワーク(通信網)、 i:機能要素、 iB:予備機能要素、 iB:予備機能要素。
図1
図2
図3
図4
図5
図6
図7
図8
【手続補正書】
【提出日】2021年1月22日
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
車両に搭載され、通信網を介して、前記車両に搭載された機器の少なくともいずれかを制御する制御装置であって、
前記制御を実行するための複数の機能要素、および前記複数の機能要素それぞれに対応し、各機能要素と同じ制御機能を実行可能な予備機能要素を保持する機能要素保持部、
前記通信網を介したセキュリティ攻撃に起因する異常を検知する異常検知部、
前記異常が検知されたとき、前記複数の機能要素のうち、異常が生じた機能要素と波及先となる機能要素を処理対象として特定する処理対象特定部、
前記特定された機能要素の制御機能を、それぞれ対応する予備機能要素に切り替えて実行させる機能要素切替部、および
前記複数の機能要素の使用状況に応じ、前記切り替えにおける予備機能要素の起動の優先順位を付与する優先順位付与部、
を備えたことを特徴とする制御装置。
【請求項2】
前記異常が検知されたとき、前記セキュリティ攻撃の種類に応じて、前記通信網に対するセキュリティ対策の変更を行うセキュリティ対策部を備えたことを特徴とする請求項1に記載の制御装置。
【請求項3】
前記セキュリティ対策部は、前記セキュリティ対策の変更内容を、前記車両に搭載された他の制御装置に通知することを特徴とする請求項2に記載の制御装置。
【請求項4】
前記特定された機能要素それぞれを、当該機能要素への入力を維持し、外部への出力を遮断した隔離領域に移動させる隔離処理部を有することを特徴とする請求項1から3のいずれか1項に記載の制御装置。
【請求項5】
前記特定された機能要素を無効化した後、前記無効化した機能要素の内容を対応する予備機能要素の内容に書き換え、切り替え後の予備機能要素に対する予備機能要素として前記機能要素保持部に保持する機能要素書換部を備えたことを特徴とする請求項1から4のいずれか1項に記載の制御装置。
【請求項6】
通信網を介して、車両に搭載された機器の少なくともいずれかを制御する制御装置に対し、前記車両に搭載された制御装置が実行する制御方法であって、
前記制御を実行するための複数の機能要素、および前記複数の機能要素それぞれに対応し、各機能要素と同じ制御機能を実行可能な予備機能要素を保持する機能要素保持ステップ、
前記通信網を介したセキュリティ攻撃に起因する異常を検知する異常検知ステップ、
前記異常が検知されたとき、前記複数の機能要素のうち、異常が生じた機能要素と波及先となる機能要素を処理対象として特定する処理対象特定ステップ、
前記複数の機能要素の使用状況に応じ、前記特定された機能要素それぞれに優先順位を付与する優先順位付与ステップ、および
前記特定された機能要素の制御機能を、前記優先順位に基づいて、それぞれ対応する予備機能要素に切り替えて実行させる機能要素切替ステップ、
を含むことを特徴とする制御方法。
【請求項7】
前記機能要素切替ステップにおける前記予備機能要素による前記制御機能の実行前に、前記セキュリティ攻撃の種類に応じて、前記通信網に対するセキュリティ対策の変更を行う、セキュリティ対策ステップ、を含むことを特徴とする請求項6に記載の制御方法。
【手続補正2】
【補正対象書類名】明細書
【補正対象項目名】0008
【補正方法】変更
【補正の内容】
【0008】
本願に開示される制御方法は、通信網を介して車両に搭載された機器の少なくともいずれかを制御する制御装置に対し、前記車両に搭載された制御装置が実行する制御方法であって、前記制御を実行するための複数の機能要素、および前記複数の機能要素それぞれに対応し、各機能要素と同じ制御機能を実行可能な予備機能要素を保持する機能要素保持ステップ、前記通信網を介したセキュリティ攻撃に起因する異常を検知する異常検知ステップ、前記異常が検知されたとき、前記複数の機能要素のうち、異常が生じた機能要素と波及先となる機能要素を処理対象として特定する処理対象特定ステップ、前記複数の機能要素の使用状況に応じ、前記特定された機能要素それぞれに優先順位を付与する優先順位付与ステップ、および前記特定された機能要素の制御機能を、前記優先順位に基づいて、それぞれ対応する予備機能要素に切り替えて実行させる機能要素切替ステップ、を含むことを特徴とする。