知財求人 - 知財ポータルサイト「IP Force」
▶ ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツングの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022172456
(43)【公開日】2022-11-16
(54)【発明の名称】車両の電子データシステムへの侵入の検知/評価
(51)【国際特許分類】
H04L 43/04 20220101AFI20221109BHJP
B60W 50/02 20120101ALI20221109BHJP
B60R 16/023 20060101ALI20221109BHJP
H04L 12/28 20060101ALI20221109BHJP
【FI】
H04L43/04
B60W50/02
B60R16/023 Z
H04L12/28 100A
【審査請求】未請求
【請求項の数】16
【出願形態】OL
【外国語出願】
(21)【出願番号】P 2022075715
(22)【出願日】2022-05-02
(31)【優先権主張番号】10 2021 204 409.3
(32)【優先日】2021-05-03
(33)【優先権主張国・地域又は機関】DE
(71)【出願人】
【識別番号】591245473
【氏名又は名称】ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング
【氏名又は名称原語表記】ROBERT BOSCH GMBH
(74)【代理人】
【識別番号】100118902
【弁理士】
【氏名又は名称】山本 修
(74)【代理人】
【識別番号】100196508
【弁理士】
【氏名又は名称】松尾 淳一
(74)【代理人】
【識別番号】100195408
【弁理士】
【氏名又は名称】武藤 陽子
(72)【発明者】
【氏名】パウリウス・デュプリイス
【テーマコード(参考)】
3D241
5K033
【Fターム(参考)】
3D241BA65
3D241CD21
5K033AA08
5K033BA06
5K033DB20
5K033EA06
(57)【要約】 (修正有)
【課題】車両の電子データシステムへの侵入を検知/評価するコンピュータ実装方法、サーバ及び車両を提供する。
【解決手段】車両の電子データシステムへの侵入を検知および/または評価するためのコンピュータ実装方法であって、車両の電子データシステムのノードの集合のノード毎にデータを受信するステップと、データに基づいて車両状態を計算するステップと、少なくとも車両状態に基づいて、車両の電子データシステムへの侵入を検知および/または評価するステップと、を含む。車両の電子データシステム及び任意で、さらなる車両の集合のさらなる各車両の各電子データシステムが、ネットワークに接続されている車両セキュリティマネジメントシステムにおいて、ネットワーク内のサーバ200は、コンピュータ実装方法を実施する。
【選択図】図1
【解決手段】車両の電子データシステムへの侵入を検知および/または評価するためのコンピュータ実装方法であって、車両の電子データシステムのノードの集合のノード毎にデータを受信するステップと、データに基づいて車両状態を計算するステップと、少なくとも車両状態に基づいて、車両の電子データシステムへの侵入を検知および/または評価するステップと、を含む。車両の電子データシステム及び任意で、さらなる車両の集合のさらなる各車両の各電子データシステムが、ネットワークに接続されている車両セキュリティマネジメントシステムにおいて、ネットワーク内のサーバ200は、コンピュータ実装方法を実施する。
【選択図】図1
【特許請求の範囲】
【請求項1】
車両の電子データシステムへの侵入を検知および/または評価するためのコンピュータ実装方法(100)であって、
- 車両の電子データシステムのノードの集合のノードごとにデータを受信(110)するステップと、
- 前記データに基づいて車両状態を計算(120)するステップと、
- 少なくとも前記車両状態に基づいて、前記車両の前記電子データシステムへの侵入を検知(130a)および/または評価(130b)するステップと、
を含む、方法(100)。
- 車両の電子データシステムのノードの集合のノードごとにデータを受信(110)するステップと、
- 前記データに基づいて車両状態を計算(120)するステップと、
- 少なくとも前記車両状態に基づいて、前記車両の前記電子データシステムへの侵入を検知(130a)および/または評価(130b)するステップと、
を含む、方法(100)。
【請求項2】
- さらなる車両の集合のさらなる車両ごとに、前記さらなる車両の電子データシステムのノードの集合のノードごとにさらなるデータを受信(111)するステップと、
- 前記さらなる車両の集合のさらなる車両ごとに、前記さらなる車両の前記さらなるデータに基づいてさらなる車両状態を計算(121)するステップと、をさらに含み、
前記車両の前記電子データシステムへの前記侵入を検知(130a)および/または評価(130b)することは、少なくとも1つのさらなる車両状態にも基づく、請求項1に記載の方法(100)。
- 前記さらなる車両の集合のさらなる車両ごとに、前記さらなる車両の前記さらなるデータに基づいてさらなる車両状態を計算(121)するステップと、をさらに含み、
前記車両の前記電子データシステムへの前記侵入を検知(130a)および/または評価(130b)することは、少なくとも1つのさらなる車両状態にも基づく、請求項1に記載の方法(100)。
【請求項3】
前記車両の前記電子データシステムは制御システムを含み、前記電子データシステムの前記ノードの集合の少なくとも1つのノードが電子制御ユニット(ECU)である、請求項1または2に記載の方法(100)。
【請求項4】
前記車両の前記電子データシステムの前記ノードの集合が、少なくとも2つのノードを含む、請求項1から3のいずれか1項に記載の方法(100)。
【請求項5】
前記さらなる車両の集合が、少なくとも1つのさらなる車両を含む、請求項1から4のいずれか1項に記載の方法(100)。
【請求項6】
前記データに基づいて前記車両状態を前記計算(120)するステップが、
- 前記車両のデジタルツインに前記データを供給(122a)するステップと、
- 前記デジタルツインによって前記車両状態を計算(122b)するステップと、
- 任意で、前記デジタルツインに前記車両状態を記憶(122c)するステップと、を含む、
請求項1から5のいずれか1項に記載の方法(100)。
- 前記車両のデジタルツインに前記データを供給(122a)するステップと、
- 前記デジタルツインによって前記車両状態を計算(122b)するステップと、
- 任意で、前記デジタルツインに前記車両状態を記憶(122c)するステップと、を含む、
請求項1から5のいずれか1項に記載の方法(100)。
【請求項7】
前記さらなる車両の集合のさらなる車両ごとに、前記さらなるデータに基づいて前記さらなる車両状態を計算(121)するステップが、
- 前記さらなる車両のさらなるデジタルツインに前記データを供給(123a)するステップと、
- 前記さらなるデジタルツインによって前記さらなる車両状態を計算(123b)するステップと、
- 任意で、前記さらなるデジタルツインに前記さらなる車両状態を記憶(123c)するステップと、を含む、
請求項1から6のいずれか1項に記載の方法(100)。
- 前記さらなる車両のさらなるデジタルツインに前記データを供給(123a)するステップと、
- 前記さらなるデジタルツインによって前記さらなる車両状態を計算(123b)するステップと、
- 任意で、前記さらなるデジタルツインに前記さらなる車両状態を記憶(123c)するステップと、を含む、
請求項1から6のいずれか1項に記載の方法(100)。
【請求項8】
- 任意で前記デジタルツインから、以前の時点における少なくとも1つの以前の車両状態を受信(140)するステップ、を含み、
前記車両の前記電子データシステムへの前記侵入を検知(130a)および/または評価(130b)するステップは、少なくとも1つの以前の車両状態にも基づく、
請求項1から7のいずれか1項に記載の方法(100)。
前記車両の前記電子データシステムへの前記侵入を検知(130a)および/または評価(130b)するステップは、少なくとも1つの以前の車両状態にも基づく、
請求項1から7のいずれか1項に記載の方法(100)。
【請求項9】
- 任意で前記さらなるデジタルツインから、以前の時点における少なくとも1つの以前のさらなる車両状態を受信(141)するステップ、を含み、
前記車両の前記電子データシステムへの前記侵入を検知(130a)および/または評価(130b)することは、少なくとも1つの以前のさらなる車両状態にも基づく、
請求項1から8のいずれか1項に記載の方法(100)。
前記車両の前記電子データシステムへの前記侵入を検知(130a)および/または評価(130b)することは、少なくとも1つの以前のさらなる車両状態にも基づく、
請求項1から8のいずれか1項に記載の方法(100)。
【請求項10】
- 前記車両の前記電子データシステムによって特定された異常状態を受信(150)するステップであって、
前記車両の前記電子データシステムへの前記侵入を評価(130b)するステップが、さらに、少なくとも前記異常状態に基づき、かつ、少なくとも前記異常状態を含む、ステップと、
- 少なくとも1つの所定の評価基準が満たされる場合、前記異常状態を確認(131)するステップであって、任意で前記侵入を確認するステップと、をさらに含む、
請求項1から9のいずれか1項に記載の方法(100)。
前記車両の前記電子データシステムへの前記侵入を評価(130b)するステップが、さらに、少なくとも前記異常状態に基づき、かつ、少なくとも前記異常状態を含む、ステップと、
- 少なくとも1つの所定の評価基準が満たされる場合、前記異常状態を確認(131)するステップであって、任意で前記侵入を確認するステップと、をさらに含む、
請求項1から9のいずれか1項に記載の方法(100)。
【請求項11】
前記車両の前記電子データシステムへの前記侵入を検知(130a)することが、少なくとも1つの所定の検知基準が満たされた場合に行われる、
請求項1から10のいずれか1項に記載の方法(100)。
請求項1から10のいずれか1項に記載の方法(100)。
【請求項12】
検知(130a)された侵入および/または確認(131、132)された侵入、任意で評価(130b)された非侵入が、前記車両の前記電子データシステムに伝送される、請求項1から11のいずれか1項に記載の方法(100)。
【請求項13】
検知(130a)された侵入および/または確認(131、132)された侵入の場合、前記電子データシステムの少なくとも1つのノード、任意で少なくとも1つの制御装置が、前記侵入について前記車両のユーザに通知し、および/または前記侵入に対応する運転操作を開始させる、請求項12に記載の方法(100)。
【請求項14】
請求項1から13のいずれか1項に記載の、車両の前記電子データシステムへの侵入を検知および/または評価するためのコンピュータ実装方法(100)を実施するように構成されたネットワーク内のサーバ(200)であって、前記車両の前記電子データシステム、および任意で、さらなる車両の集合のさらなる各車両の各電子データシステムが、前記ネットワークに接続されている、サーバ(200)。
【請求項15】
前記車両の前記デジタルツイン、および任意で、さらなる車両ごとのさらなる各デジタルツインが、前記サーバ(200)に実装されている、
請求項14に記載のサーバ(200)。
請求項14に記載のサーバ(200)。
【請求項16】
請求項1から13のいずれか1項に記載の、前記車両の前記電子データシステムへの侵入を検知および/または評価するためのコンピュータ実装方法(100)に従って保護されている、電子データシステムを含む車両。
【発明の詳細な説明】
【背景技術】
【0001】
例えば車両などの電子機械技術システムは、1つまたは複数の電子データシステムを有することが多い。例えば、電子機械技術システムは、少なくとも1つの電子データシステム、例えば少なくとも1つのバスシステム内で相互作用できる多数の(電子)制御装置を含んでもよい。そのような技術システムの機能は、通常、この相互作用に大きく依存する。例えば、非自律走行車両においてさえ、100個超の(電子)制御装置、例えばエンジン制御部、変速機制御部、アンチロックブレーキシステム/走行動特性制御部、エアバッグ、ボディコントロールユニット、運転支援システム、カーアラームシステム等のための100個超の(電子)制御装置が、ノードとして少なくとも1つの電子データシステムを介して互いにネットワーク接続されていてもよい。技術システムのデジタル化、ならびに自動化およびネットワーク接続が増加すると、電子データシステムが大きくなるか(すなわち、ノードが増える)、または複数の電子データシステムが(例えばゲートウェイを介して)組み合わされる場合がある。
【0002】
技術システム、特に車両の制御装置がCANバスを介して接続され、CANプロトコルに従って互いに通信することができるコントロールエリアネットワーク(CAN)は、マルチマスタの原理に従った、既知な標準化されたシリアルバスシステムであり、そこではCAN内の全ての制御装置が同等である。例えば、(現在では様々なバージョンの)CANおよび/またはCANの影響を受けた発展例は、あらゆる種類の電子機械技術システムにおいて(例えば自動車産業、オートメーション技術、リフトシステム、医療技術、航空および宇宙飛行技術、鉄道車両建設、造船、…において)使用することができる。従来技術では、CANおよび/またはCANの影響を受けた発展例(CAN等と略される)に対する代替通信システムおよび/または通信プロトコルが、特に車両について知られている。
【0003】
電子データシステム、特にCAN等は、CANバスを介したデータ伝送が、例えば電磁両立性(Electromagnetic Compatibility:EMC)などの観点から、外部のランダムな干渉から可能な限り独立するように開発されてきたし開発されている。例えば、CANバスは2本の撚り線(CAN_HIGH、CAN_LOW)によって実現され、ひいては対称の信号伝送が達成される。それにより、CAN等は、特に、高いデータセキュリティが重要な安全関連分野において(例えば車両において)も実証されている。例えばCAN等の電子データシステムは、(例えば暗号を使わないことによって)比較的単純でロバストかつ高速であるが、一方で、(例えばマルチマスタの原理および/または暗号の欠如により)外部からの意図的な攻撃および/または操作の影響を受けやすい場合がある。
【0004】
一般的に、電子データシステム、特にバスシステムへのそのような侵入は、例えば、電子データシステムの追加的で意図しないノードから、または、電子データシステムの意図したが侵入されたノードから、メッセージ(フレームともいう)を送信することを含む場合がある。そのようなメッセージは、電子データシステムの意図したノードの通信を妨害する可能性がある。特に、この場合、意図的に騙すことによって(例えば、意図したノードの認識符号/識別子を設定することによって)偽のメッセージが送信され、このメッセージが、電子データシステムおよび/または関連する技術システム、特に車両の動作に悪影響を与え得る場合がある。技術システムのデジタル化の増加(インターフェース、例えば現在では一般的な車両内マルチメディアインターフェースの増加)、ならびに自動化およびネットワーク接続の過程で、侵入が起こり得る攻撃領域はますます拡大している。そのため、電子システムを侵入から保護することが重要である。
【0005】
従来技術では、電子データシステムへの侵入を低統合レベルで(例えば、電子データシステムのレベルで)検知するように構成された侵入検知システム(intrusion detection systems、IDS)が既に知られている。そのような侵入検知システムの例は、ETAS/ESCRYPTのCycurIDS、ARGUSのIn-vehicle Network Protection、またはARILOUのSentinel-CANである。電子データシステムへの侵入が侵入検知システムによって検知される場合、例えばノードに、文書化と後の分析とのために、ログを記録することができる。代替的または追加的に、ユーザインターフェースを介して、技術システム(例えば車両)のユーザ(例えば運転者または乗員)または別のサービスポイントに情報提供することができる。これらの受動的な反応に対して追加的または代替的に、特に電子データシステムおよび/または関連する技術システムの操作を(適時に)防ぐために、能動的で可能な限り直後の反応が望まれる場合がある。バスシステムでは、例えばエラーメッセージ(エラーフレームともいう)をバス、ひいてはバスシステムの全ノードに送信することができる。
【発明の概要】
【課題を解決するための手段】
【0006】
本開示の第1の一般的態様は、車両の電子データシステムへの侵入を検知および/または評価するためのコンピュータ実装方法に関する。本方法は、車両の電子データシステムのノードの集合のノードごとにデータを受信することを含む。本方法は、データに基づいて車両状態を計算することをさらに含む。本方法は、少なくとも車両状態に基づいて、車両の電子データシステムへの侵入を検知することをさらに含んでもよい。代替的または追加的に、本方法は、少なくとも車両状態に基づいて、車両の電子データシステムへの侵入を評価することを含んでもよい。
【0007】
本開示の第2の一般的態様は、第1の一般的態様(またはその一実施形態)に記載の、車両の電子データシステムへの侵入を検知および/または評価するためのコンピュータ実装方法を実施するように構成されたネットワーク内のサーバであって、車両の電子データシステム、および任意で、さらなる車両の集合のさらなる各車両の各電子データシステムが、ネットワークに接続されている、サーバに関する。
【0008】
本開示の第3の一般的態様は、第1の一般的態様(またはその一実施形態)に記載の、車両の電子データシステムへの侵入を検知および/または評価するためのコンピュータ実装方法に従って保護されている電子データシステムを含む車両に関する。
【0009】
従来技術において既に記載したように、車両の電子データシステムへの侵入を(適時に)検知することは、車両および場合によってはそのユーザ(例えば、運転者および/または乗客)に対しても、車両の周辺(例えば、さらなる道路利用者を含む)に対しても車両の安全な動作を保証できるようにするために、非常に重要である。たとえ車両の電子データシステムへの侵入の原則的な防止を試みることもできるとしても、歴史が示すように、(十分に)保護された電子データシステムであっても、いつかは侵入が成功する。その理由は、例えば、特に車両のような技術システムは、ある一定の動作期間で(例えば10から20年で)想定しているため、保護のための技術と、侵入するおよび/または保護を回避するための技術との間で常に競争が行われていることにある可能性がある。さらに、技術システムのデジタル化の増加(インターフェース、例えば現在では一般的な車両内マルチメディアインターフェースの増加)、ならびに自動化およびネットワーク接続の過程で、起こり得る侵入のためのおよび/または保護を回避するための攻撃領域が増加していることが確かめられ得る。そのため、車両の電子システムへの侵入を検知するように構成された、車両用の少なくとも1つの(車載または車外)侵入検知システムを設けることが重要である。侵入によって引き起こされた有害な干渉を防ぐために、侵入検知システムは、可能な限り適時に介入および/または警告できることが望ましい。
【0010】
しかしながら、侵入の検知は時々エラーであることがある。これは、例えば、車両およびまた電子データシステムなどの技術システムは、通常、複雑度が高度であり、例えば、自動運転の際のようにオープンコンテキストの対象となり得るということに起因する場合がある。実際の侵入が検知されない可能性(この場合を英語ではfalse positive:偽陽性と呼び得る)の他に、非侵入を侵入と誤検知することがさらに可能である(この場合を英語ではfalse negative:偽陰性と呼び得る)。検知されない侵入(偽陽性ケース)が、侵入検知システムの誤作動を示す可能性があり、したがって望ましくないのに対し、検知された侵入疑惑(陰性陽性ケース)は、通常の場合でも(すなわち、実際の侵入がなくても)、技術システム、特に車両の機能性を妨害さえし得る。例えば、車両のユーザのデジタルスマートデバイスがマルチメディアインターフェースを介して車両の電子データシステムに接続され、その後、ユーザがサービスを訪問するように要求される時に、車両への侵入疑惑が毎回検知されるとしたら、それは受け入れがたいであろう。そのため、(車載および/または車外)侵入検知システムにより侵入と判定された事象(状況ともいう)を評価、場合によって確認できることが重要である場合がある。
【0011】
そのため、コンピュータ実装方法において(またはその実施形態において)提案されているように、侵入を検知および/または評価する際に、車両の車両状態を考慮することが有利な場合がある。したがって、事象/状況をより広いコンテキストにおいて考察する、ひいてはより良好に評価することができる。従来技術で知られているように、車両の電子データシステムの単一の制御装置が侵入検知システムを有することができるのに対し、特に、通常、制御装置はそれらを統合する技術システムから独立して開発および配布されるため、統合レベルが低く、そのためより包括的な車両状態を考慮することはまず可能ではないであろう。実際、例えば、同一の制御装置が、様々な車両における、様々な車両プロジェクトにおける、および/または異なる車両メーカー(オリジナル機器メーカーともいう、英語:original equipment manufacturer、OEM)向けの使用のために構想されている場合がある。さらに、さらなる制御装置からの知見を、侵入の検知および/または評価に統合することが有利な場合がある。それにより、同様に、コンテキストを増やし、より確実に侵入を検知および/または評価することができる。
【0012】
コンピュータ実装方法において(またはその実施形態において)さらに提案されるように、コンテキストを車両群まで拡張することが有利な場合があり、その際車両群は、例えば車両メーカー、車両プロジェクトおよび/または定義された車両プロジェクト状態(特に定義されたソフトウェア状態)の多数の車両を含む場合がある。この場合、多数の車両のデータおよび評価を、サーバを介してまとめることができるため、(第2の一般的態様に記載の)ネットワーク内のサーバが特に有用なことが明らかになる場合がある。一方で、既に1つの車両に対してもネットワーク内のサーバが有利な場合がある。例えば、車両内の演算能力および/または記憶容量は、例えば費用の理由から制限される場合がある。これに対して、サーバには、例えば、またデータおよび/または車両状態に基づく信頼性の高い検知および/または評価に必要な(専用の)ハードウェアが提供される場合がある。
【0013】
サーバによって検知および/または確認された侵入(および例えば提案された対策)は、車両におよび/または車両群のさらなる車両に伝送することができる。したがって、車両および/またはさらなる車両は、侵入に対して適時反応することができる。
【0014】
サーバは、車両に存在する侵入検知システムが静的であることが多いという点で、さらに有利であり得る。実際、侵入検知システムにおいては、例えばロバスト性および/またはセキュリティの理由から、開発の特定の時点で侵入の検知および/または評価のための静的なルール/アルゴリズム/データが実装され(「ハードコーディング」)、これらは全動作時間の間有効にされているべきである。その上、ソフトウェアのアップデートはサービス内で行うことができる。しかし、保護と侵入との間の競争は、そのようなサービス間隔よりも速く進むことが多い。技術的には、そのようなルール/アルゴリズム/データを、例えばいわゆる無線ソフトウェアアップデートにおいて車両の動作中に更新することが可能であろう。しかしこれは、実際には、とりわけそれによって新たな攻撃領域が生じることになるため、これまでまったくまたはほとんど使用されていない。これに対して、サーバには、侵入の検知および/または評価のアルゴリズムにおいて新しい知見を考慮することができる。
【図面の簡単な説明】
【0015】
【図1】少なくとも1台の車両と車両セキュリティマネジメントシステム(英語:vehicle security incident and event management(VSIEM)system)を備えた例示的な一実施形態を示す図である。
【図2】車両の電子データシステムへの侵入を検知および/または評価するためのコンピュータ実装方法を概略的に示す図である。
【図3】車両の電子データシステムへの侵入を検知および/または評価するためのコンピュータ実装方法の実施形態を概略的に示す図である。
【図4a】車両の電子データシステムへの侵入を検知および/または評価するための例示的な機能依存関係を示す図である。
【図4b】車両の電子データシステムへの侵入を検知および/または評価するための例示的な機能依存関係を示す図である。
【図4c】車両の電子データシステムへの侵入を検知および/または評価するための例示的な機能依存関係を示す図である。
【図4d】車両の電子データシステムへの侵入を検知および/または評価するための例示的な機能依存関係を示す図である。
【図4e】車両の電子データシステムへの侵入を検知および/または評価するための例示的な機能依存関係を示す図である。
【発明を実施するための形態】
【0016】
コンピュータ実装方法100は、車両の電子データシステムへの侵入を検知および/または評価することを目的とする。それにより、セキュリティが高められ、または攻撃領域がますますより拡大した場合にもセキュリティが確保されるべきである。その実施形態において、方法100は、必ずしも車両ではないが、それぞれが少なくとも1つの電子データシステムを含む1つまたは多数の技術システムにも一般化できる。
【0017】
図1は、いかに車両(ここでは、車両1)の制御装置(ここでは、ECU1、車両1)から開始して、電子データシステムへの侵入の検知および/または評価のためのコンテキストを、さらなる車両のさらなるノード/制御装置(ここでは、ECU2、...、車両1)およびノード/制御装置(ここでは、ECU1、ECU2、...、車両2、...)へ拡張できるかを可視化している。例えば、(さらなる)データは、これら全てのノード/制御装置から、任意でそれぞれ1つの(さらなる)デジタルツイン(ここでは、デジタルツイン1、デジタルツイン2、...)を介して、コンピュータ実装方法100(またはその一実施形態)を実施するように構成されていてもよいVehicle Security Incident and Event Management(VSIEM)システムへ伝送することができる。VSIEMシステムは、サーバ200に実装されていてもよい。
【0018】
車両および/またはさらなる各車両は、それぞれ、車両内に侵入検知システム(IDS)を有してもよく、このシステムは、侵入を(暫定的に)評価するように構成されていてもよい。例えば、ここではそれぞれ(さらなる)異常状態を特定し、それを同様にVSIEMシステムに伝送してもよい。
【0019】
開示されるのは、車両の電子データシステムへの侵入を検知および/または評価するためのコンピュータ実装方法100である。すなわち、方法100は、車両の電子データシステムへの侵入を検知するための方法であってもよい。代替的または追加的に、方法100は、車両の電子データシステムへの侵入を評価するための方法であってもよい。この方法は、車両の電子データシステムのノードの集合のノードごとにデータを受信110することを含んでもよい。方法100は、データに基づいて車両状態を計算120することをさらに含んでもよい。本方法は、少なくとも車両状態に基づいて、車両の電子データシステムへの侵入を検知130aおよび/または評価130bすることをさらに含んでもよい。図2は、車両の電子データシステムへの侵入を検知および/または評価するためのコンピュータ実装方法を概略的に示す。コンピュータ実装方法の様々な実施形態が図3に概略的に示され、まとめられている。
【0020】
電子データシステムへの侵入の検知は、少なくとも1つの所定の検知基準に基づいてもよい。少なくとも1つの所定の検知基準は、所定の(静的な)規則を含んでもよい。代替的または追加的に、侵入の検知は、分類アルゴリズム(例えば、例えばサポートベクターマシンまたは人工ニューラルネットワークなどの学習済み機械学習アルゴリズム)および/または回帰アルゴリズム(例えば、例えば人工ニューラルネットワークなどの学習済み機械学習アルゴリズム)に基づいてもよい。電子データシステムへの侵入の検知は、少なくとも1つの所定の検知基準に基づいて、ノードの集合の少なくとも1つのノードのデータに異常/不整合があるかどうかを検査することを含んでもよい。そのような検査は、車両の動作中(ただし、必ずしも車両内である必要はない)、時点ごとに(例えば、各割込みにおいて)行うことができる。
【0021】
電子データシステムへの侵入の評価は、少なくとも1つの所定の評価基準に(および/または少なくとも1つの所定の検知基準に)基づいてもよい。少なくとも1つの所定の評価基準は、所定の(静的な)規則を含んでもよい。代替的または追加的に、侵入の評価は、分類アルゴリズム(例えば、例えばサポートベクターマシンまたは人工ニューラルネットワークなどの学習済み機械学習アルゴリズム)および/または回帰アルゴリズム(例えば、例えば人工ニューラルネットワークなどの学習済み機械学習アルゴリズム)に基づいてもよい。電子データシステムへの侵入の評価は、発見された異常/不整合をデータに基づいて確認できるかどうかを検査することを含んでもよい。そのような検査は、車両の動作中(ただし、必ずしも車両内である必要はない)、時点ごとに(例えば、各割込みにおいて)行うことができる。
【0022】
少なくとも1つの評価基準は、少なくとも1つの所定の検知基準であってもよい。
侵入の検知は、既に暗黙的に侵入の評価を含んでもよい。
侵入の検知は、既に暗黙的に侵入の評価を含んでもよい。
【0023】
車両の電子データシステムのノードの集合は、車両の電子データシステムを介して互いにネットワーク接続されていてもよい車両の制御装置の集合であってもよい。したがって、1つの/各ノードが制御装置であってもよい。代替的に、(少なくとも)1つのノードは、必ずしも制御装置ではない電子装置であってもよい。したがって、そのような電子装置は、必ずしも車両の技術(サブ)システムを制御する必要はない。電子データシステムは、例えば、CANバスを有するCAN等であってもよい/を含んでもよい。電子データシステムは、また電子データシステムのネットワークであってもよい。例えば、複数のCAN等を、それぞれゲートウェイを介して相互接続することができる。
【0024】
ノードごとの、すなわち例えば制御装置ごとのデータは、技術システム、特に車両、および/またはその周辺を特徴付ける1つまたは複数の時間記録(例えば時系列)を含んでもよい。1つまたは複数の時間記録は、例えば、車両および/またはその周辺(例えば、さらなる道路利用者)の挙動に関する情報を記述することができる。時間記録は、例えば車速であってもよい。車速は、例えば、車両が走行しているかまたは停止しているかを評価するために利用することができる。ノードごとのさらなるデータ、下記参照、は、後述するが、データと同じ種類のものでよいが、さらなる車両に関するという条件が付く。図4a~図4eにおいて、1番目の制御装置E1のデータをD1、...m番目の制御装置EmのデータをDmとする。
【0025】
車両状態は、侵入の検知におよび/または評価に関連する情報を含んでもよい。これらの情報は、車両に対して普遍的に通用する情報(例えば車速など)以外に、車両のアーキテクチャに依存してもよい。さらに、これらの情報(またはその一部)は、(具体的な)車両に依存してもよい(例えば、車両内に設置されたソフトウェア状態)。車両状態は、走行状態を含んでもよい。例えば、情報は、また電子データシステムの1つまたは複数のノード(制御装置)の状態を含んでもよい。車両状態は、情報を符号化するデータ構造であってもよい。代替的または追加的に、車両状態は、例えば数、ベクトル、行列、またはテンソルなどの数値オブジェクトを含んでもよい。車両状態は、バイト列またはビット信号列として符号化されていてもよい。車両(v)または多数の車両における第1の車両(v1)、...、n番目の車両(vn)の車両状態は、数学的オブジェクトSvまたは
、...、
として表現することができる。
【数1】
【数2】
【0026】
車両の電子データシステムへの侵入の検知130aおよび/または評価130bは、侵入の検知および/または評価に関する情報を含む結果をもたらすことができる。例えば、結果は侵入/非侵入のビットを含んでもよい。代替的または追加的に、結果は、侵入の確率と相関する(例えば、確率0の場合は0、または確率1の場合は1)(準)連続数(例えば、実数[0、1]の区間内)を含んでもよい。代替的または追加的に、結果は侵入確認/侵入未確認のビットを含んでもよい。代替的または追加的に、結果は、例えばルーチンの数値符号化による処置を含んでもよい。結果は、情報を符号化するデータ構造であってもよい。代替的または追加的に、結果は、例えば数値、ベクトル、行列、またはテンソルなどの数値オブジェクトを含んでもよい。結果は、バイトまたはビット信号列として符号化されていてもよい。
【0027】
車両の電子データシステムへの侵入の検知130aおよび/または評価130bが少なくとも車両状態に基づくことで、その結果は、少なくとも車両の車両状態Svに依存する関数fの値として表現することができる:
f(Sv)
方法100は、さらなる車両の集合のさらなる車両ごとに、さらなる車両の電子データシステムのノードの集合のノードごとにさらなるデータを受信111することをさらに含んでもよい。
f(Sv)
方法100は、さらなる車両の集合のさらなる車両ごとに、さらなる車両の電子データシステムのノードの集合のノードごとにさらなるデータを受信111することをさらに含んでもよい。
【0028】
方法100は、さらなる車両の集合のさらなる車両ごとに、さらなる車両のさらなるデータに基づいてさらなる車両状態を計算121することをさらに含んでもよい。車両の電子データシステムへの侵入を検知130aおよび/または評価130bすることは、さらに、少なくとも1つのさらなる車両状態に基づいてもよい。なお、さらなる車両の集合は、多数の車両(単数の車両を除く)であってもよい。(それぞれの)さらなる車両は、さらなる車両の集合からの別の車両であってもよい。(それぞれの)さらなる車両の電子データシステムは、そのアーキテクチャおよび/またはデータ(例えば、ソフトウェア状態)に関して同一構造であってもよい(ただし、同一構造でなくてもよい)。ノードの集合は、多数の制御装置であってもよい。さらなる車両の電子データシステムのノードの集合は、車両の電子データシステムのノードの集合に対応してもよい(ただし、対応しなくてもよい)。
【0029】
車両の電子データシステムへの侵入の検知130aおよび/または評価130bが、少なくとも1つのさらなる車両状態に基づくことで、その結果は、この場合も、少なくとも車両の車両状態
および少なくとも1つのさらなる車両状態
に依存する関数fの値として表現することができる:
さらなるn-1台の車両について、n-1>1の場合、さらに以下の依存関係が生じる場合がある:
そのような依存関係が図4eに記載されている。
【数3】
【数4】
【数5】
【数6】
【0030】
車両の電子データシステムは、制御システムを含んでもよい(または、制御システムであってもよい)。制御システムは、例えばCAN等であってもよい。電子データシステムのノードの集合の少なくとも1つのノードは、電子制御ユニット(ECU)であってもよい。電子制御ユニットは、技術システム、特に車両を制御するか、またはその制御に寄与するように構成していてもよい。車両の電子データシステムのノードの集合は、少なくとも2つのノード(例えば2、3、4、5、>5、>10、>20、>50、>100、>200)を含んでもよい。同様に、(それぞれの)さらなる車両の電子データシステムのノードの集合は、少なくとも2つのノード(例えば2、3、4、5、>5、>10、>20、>50、>100、>200)を含んでもよい。さらなる車両の集合は、少なくとも1つのさらなる車両(例えば1、>1、>5、>10、>100、>1e3、>1e4、>1e5、>1e6)を含んでもよい。
【0031】
データに基づいて車両状態を計算120することは、図3に概略的に示されるように、車両のデジタルツインにデータを供給122aすることを含んでよい。計算120は、デジタルツインによって車両状態を計算122bすることをさらに含んでもよい。計算120は、デジタルツインに車両状態を記憶122cすることをさらに含んでもよい。
【0032】
さらなる車両の集合のさらなる車両ごとに、さらなるデータに基づいてさらなる車両状態を計算121することは、図3に概略的に示されるように、さらなる車両のさらなるデジタルツインにデータを供給123aすることを含んでもよい。さらなる車両の集合のさらなる車両ごとに、計算121は、さらなるデジタルツインによってさらなる車両状態を計算123bすることをさらに含んでもよい。さらなる車両の集合のさらなる車両ごとに、計算121は、さらなるデジタルツインにさらなる車両状態を記憶123cすることをさらに含んでもよい。
【0033】
デジタルツインは、車両のデジタル表現であってもよい。同様に、さらなる各デジタルツインは、それぞれのさらなる車両のデジタル表現であってもよい。デジタル表現は、それぞれ、(さらなる)データに基づく侵入の検知および/または評価に関連する範囲に、その現実の対応物(すなわち、車両またはそれぞれのさらなる車両)を可能な限り良く表すように構成されたシミュレーションを含んでもよい。(さらなる)車両の動作の時点ごとに、シミュレーションをこの時点まで拡張し、場合によって(さらなる)データと比較してもよい。利点は、例えば、その場合(さらなる)車両の動作の理解がある期間にわたって蓄積されることに見ることができる。それにより、(リアルタイム)侵入検知システムに比べて、より確実に侵入を検知および/または評価することができる。図1に示すように、デジタルツイン(ここでは、デジタルツイン1)および/またはさらなる各デジタルツイン(ここでは、デジタルツイン2、...)を、サーバ200に実装していてもよい(ただし、実装しなくてもよい)。(さらなる)車両状態を記憶122c、123cする場合、(さらなる)デジタルツインはバッファとして機能することができる。さらに、1つまたは複数の(さらなる)評価結果をバッファ記憶するために、この/各さらなるデジタルツインを利用してもよい。例えば、(さらなる)関連する運転状況を記憶することができ、それらを侵入の検知および/または評価において比較対象として考慮に入れてもよい。代替的に、(さらなる)デジタルツインは、また(さらなる)車両内に実装していてもよい。
【0034】
車両状態の計算120および/またはさらなる各車両状態の計算121は、図4a~図4eに示すように、挿図lによって表現することができる。そのような挿図は、デジタルツインからの計算規則および/またはそれぞれのさらなるデジタルツインからの計算規則を含んでもよい(ただし、含まなくてもよい)。
【0035】
図3に概略的に示されるように、方法100は、任意でデジタルツインから、以前の時点における少なくとも1つの以前の車両状態を受信140することを含んでもよい。ここで、車両の電子データシステムへの侵入を検知130aおよび/または評価130bは、さらに少なくとも、少なくとも1つ(または複数の)以前の車両状態に基づいてもよい。
車両の電子データシステムへの侵入の検知130aおよび/または評価130bが少なくとも、少なくとも1つの以前の車両状態にさらに基づくことにより、その結果は、この場合も、少なくとも車両の車両状態
および少なくとも1つの以前の車両状態
に依存する関数fの値として表現することができる:
そのような依存関係が図4c~図4dに記載されている。
車両の電子データシステムへの侵入の検知130aおよび/または評価130bが少なくとも、少なくとも1つの以前の車両状態にさらに基づくことにより、その結果は、この場合も、少なくとも車両の車両状態
【数7】
【数8】
【数9】
【0036】
侵入の検知130aおよび/または評価130bが車両の複数の以前の車両状態に基づくと、これらの複数の以前の車両状態の選択は、フィルタ関数gによって実装されてもよく、(表記ゆれがある)オブジェクト
は、以前の車両状態のベクトルを表す。さらに、バッファ記憶された評価結果(例えば、記憶された関連する運転状況)を、(表記のゆれを改めた)オブジェクト
に、ひいては検知および/または評価に一緒に含んでもよい。そして、その結果の依存関係は、
によって与えられていてもよく、図4dも参照のこと。
【数10】
【数11】
【数12】
【0037】
図3に概略的に示されるように、方法100は、任意でさらなるデジタルツインから、以前の時点における少なくとも1つの以前のさらなる車両状態を受信141することを含んでもよい。ここで、車両の電子データシステムへの侵入の検知130aおよび/または評価130bは、さらに少なくとも、少なくとも1つの以前のさらなる車両状態に基づいてもよい。
【0038】
車両の電子データシステムへの侵入の検知130aおよび/または評価130bが少なくとも、少なくとも1つの以前のさらなる車両状態にさらに基づくことにより、結果は、この場合も、少なくとも車両の車両状態
および少なくとも1つの以前のさらなる車両状態
に依存する関数fの値として表現することができる:
【数13】
【数14】
【数15】
【0039】
侵入の検知130aおよび/または評価130bが、さらなる車両の複数の以前のさらなる運転状態に基づくと、これらの複数の以前の運転状態の選択は、(さらなる)フィルタ関数gによって実装されてもよく、(表記ゆれがある)オブジェクト
は、さらなる車両の以前のさらなる車両状態のベクトルを表す。さらに、バッファ記憶されたさらなる評価結果(例えば、記憶されたさらなる関連する運転状況)を、(表記のゆれを改めた)オブジェクト
に、ひいては検知および/または評価に一緒に含んでもよい。そして、その結果の依存関係は、
によって与えられていてもよい。
【数16】
【数17】
【数18】
【0040】
さらなるn-1台の車両について、n-1>1の場合、例えばさらに結果の以下の依存関係が生じる場合がある:
【数19】
【0041】
図3に概略的に示されるように、方法100は、車両の電子データシステムによって(例えば、車両内の侵入検知システムによって)特定された異常状態を受信150することを含んでもよい。車両の電子データシステムへの侵入を評価130bすることは、その後、さらに少なくとも異常状態に基づいてもよく、かつ、少なくとも異常状態を含んでもよい。少なくとも1つの所定の評価基準が満たされる場合、異常状態を確認131すること、任意で侵入を確認することを含んでもよい。車両の電子データシステムへの侵入を評価130bすることは、さらに、少なくとも1つの所定の評価基準を満たさない場合、異常状態を拒否し、任意で侵入を拒否することを含んでもよい。
【0042】
異常状態(またはさらなる各異常状態、下記参照)は、侵入の検知および/または評価に関する情報を含んでもよい。異常状態(またはさらなる各異常状態)は、侵入の検知および/または評価の(暫定)結果、特に低い統合レベルにおける侵入検知システムの結果を含んでもよい。例えば、異常状態(またはさらなる各異常状態)は、侵入/非侵入のビットを含んでもよい。代替的または追加的に、異常状態(またはさらなる各異常状態)は、侵入の確率と相関する(例えば、確率0の場合は0、または確率1の場合は1)(準)連続数(例えば、実数[0、1]の区間内)を含んでもよい。代替的または追加的に、異常状態(またはさらなる各異常状態)は、侵入確認/侵入非確認のビットを含んでもよい。代替的または追加的に、異常状態(またはさらなる各異常状態)は、例えばルーチンの数値符号化による処置を含んでもよい。異常状態(またはさらなる各異常状態)は、情報を符号化するデータ構造であってもよい。代替的または追加的に、異常状態(またはさらなる各異常状態)は、数値、ベクトル、行列、またはテンソルなどの数値オブジェクトを含んでもよい。異常状態(またはさらなる各異常状態)は、バイト列またはビット信号列として符号化されていてもよい。異常状態(またはさらなる各異常状態)は、例えば、異常値、または複数の異常値および/もしくは侵入の検知/評価の中間結果からなるベクトルであってもよい。その際異常が存在するかは、1つまたは複数の異常値に依存する場合がある(例えば、異常値0は異常なしを意味し、一方で異常値1は異常、複数の異常値からの平均値を表す)。
【0043】
車両の電子データシステムへの侵入の評価130bがさらに少なくとも、少なくとも1つの異常状態に基づくことにより、結果は、この場合も、少なくとも車両の車両状態
および少なくとも1つの異常状態
に依存する関数fの値として表現することができる:
図4aには、そのような依存関係が記載されている。
さらなるn-1台の車両について、n-1>1の場合、例えばさらに結果の以下の依存関係が生じる場合がある:
【数20】
【数21】
【数22】
さらなるn-1台の車両について、n-1>1の場合、例えばさらに結果の以下の依存関係が生じる場合がある:
【数23】
【0044】
図3に概略的に示されるように、方法100は、さらなる車両の(第2の)集合のさらなる車両ごとに、それぞれさらなる車両の電子データシステムによって(例えば、さらなる車両内の侵入検知システムによって)特定された、さらなる異常状態を受信151することをさらに含んでもよい。車両の電子データシステムへの侵入を評価130bすることは、さらに少なくとも、少なくとも1つのさらなる異常状態に基づいても、かつ、少なくとも1つの所定の評価基準を満たした場合、異常状態を確認132し、任意で侵入を確認し、および/または少なくとも1つのさらなる異常状態を確認することを含んでもよい。この場合、車両の電子データシステムへの侵入が必ずしも存在している必要はない。その代わりに、さらなる車両において検知および確認された侵入を車両において先行して処理してもよい。例えば、車両のユーザに、起こり得る侵入について警告し、および/または、(例えばソフトウェア更新のために)サービスを訪問するよう要求してもよい。車両の電子データシステムへの侵入を評価130bすることは、さらに、少なくとも1つの所定の評価基準を満たさない場合、少なくとも1つのさらなる異常状態を拒否し、任意で侵入を拒否することを含んでもよい。さらなる車両の(第2の)集合は、さらなる車両の集合であってもよいが、さらなる車両の集合でなくてもよい。
【0045】
車両の電子データシステムへの侵入の評価130bが、さらに少なくとも、少なくとも1つのさらなる異常状態に基づくことにより、結果は、この場合も、少なくとも車両の車両状態
および少なくとも1つのさらなる異常状態
に依存する関数fの値として表現することができる:
さらなるn-1台の車両について、n-1>1の場合、例えばさらに結果の以下の依存関係が生じる場合がある:
最後に述べた依存関係を図4bに示す。さらなる依存関係は、
であってもよい。
【数24】
【数25】
【数26】
【数27】
【数28】
【0046】
車両の電子データシステムへの侵入を検知130aすることは、少なくとも1つの所定の検知基準が満たされた場合に行われ得る。一方で、少なくとも1つの所定の検知基準を満たさない場合、非侵入が存在している場合がある。
【0047】
検知130aされた侵入および/または確認(131、132)された侵入、任意で評価130bされた非侵入は、車両の電子データシステムに伝送されてもよい。検知130aされた侵入および/または確認(131、132)された侵入の場合、電子データシステムの少なくとも1つのノード、任意で少なくとも1つの制御装置は、侵入について車両のユーザ(例えば、運転者および/または乗員)に通知し、および/または侵入に対応する運転操作を(例えば、結果に応じて)開始させることができる。
【0048】
図3に概略的に示されるように、車両の電子データシステムのノードの集合のノードごとのデータを受信110することは、車両の電子データシステムのノードの集合のノードごとの圧縮データを受信112aおよび解凍112bすることを含んでもよい。この場合、データは車両内で(サーバ200への)送信前に圧縮される。データの圧縮は、ロスレスでもよい。
【0049】
さらなる車両の集合の少なくとも1つについてまたはさらなる車両ごとに、同様に図3に概略的に示されるように、さらなる車両の電子データシステムのノードの集合のノードごとのさらなるデータを受信111することは、さらなる車両の電子データシステムのノードの集合のノードごとにロスレスに圧縮されたさらなるデータを受信113aおよび解凍113bすることを含んでもよい。この場合、それぞれのさらなるデータはそれぞれのさらなる車両内で(サーバ200への)送信前に圧縮される。さらなるデータの圧縮は、同様にロスレスでもよい。
【0050】
【0051】
基本的に、全てのデータ(例えば、結果、異常状態、...)は、車両とサーバ200との間、またはさらなる車両とサーバ200との間で圧縮して伝送できる。典型的には、結果および/または異常状態は、(さらなるデータ)に比べて大きなデータサイズを必要としないため、圧縮する必要はない。
【0052】
さらに開示されるのは、車両の電子データシステムへの侵入を検知および/または評価するためのコンピュータ実装方法100を実施するように構成されたネットワーク内のサーバ200であり、車両の電子データシステム、および任意で、さらなる車両の集合のさらなる各車両の各電子データシステムがネットワークに接続されている。換言すると、サーバは車両間のリンクとして機能することができる。ネットワークは、例えば、無線ネットワーク、特に、4G、5G、6G、...であってもよい。車両および/またはさらなる各車両は、それぞれ、(例えば、所定のプロトコルに従って)ネットワーク内のサーバ200と通信するように構成された通信インターフェースを含んでもよい。それにより、データまたはさらなるデータを(例えばロスレスに圧縮して)サーバ200に送信することができる。他方で、サーバ200は、例えば、車両(またはさらなる車両)への侵入を検知および/または評価した結果を返送してもよい。サーバ200は、クラウドサーバであってもよい。図1に示すように、例えばVehicle Security Incident and Event Management(VSIEM)システムが、サーバ200に実装されていてもよい。また、車両のデジタルツイン(図1でのデジタルツイン1)、および、任意で、さらなる車両ごとのさらなる各デジタルツイン(例えば図1でのデジタルツイン2)がサーバ200に実装されていてもよい。
【0053】
サーバ200は、より大きな演算および/または記憶容量のおかげで、より信頼性の高い侵入の検知および/または評価をもたらすことができる。さらに、サーバ200を介して、車両および/または(さらなる)車両と追加データ(例えば、ソフトウェアアップデート方針、システム識別子等、さらなる車両の問題の予防的放送)を交換してもよい。追加データを、車両の電子データシステムへの侵入の検知および/または評価において考慮してもよい。
【0054】
さらに開示されるのは、車両の電子データシステムへの侵入を検知および/または評価するためのコンピュータ実装方法100に従って保護されている電子データシステムを含む車両(またはさらなる各車両)である。
【0055】
開示されるのは、車両の電子データシステムへの侵入を検知および/または評価するためのコンピュータ実装方法100を実施するように構成された少なくとも1つのコンピュータプログラムである。コンピュータプログラムは、例えば、解釈可能な形式でまたはコンパイルされた形式であってもよい。それは、例えばビットまたはバイトシーケンスとして、制御装置またはコンピュータのRAMにおける実施のために(部分的にも)ロードされてもよく、コンピュータはサーバ200としても機能してもよい。
【0056】
さらに開示されるのは、少なくとも1つのコンピュータプログラムを記憶および/または含むコンピュータ読み取り可能な媒体または信号である。媒体は、例えば、信号が記憶されるRAM、ROM、EPROM、...のいずれかを含んでもよい。
【0057】
さらに開示されるのは、コンピュータプログラムを実施するように構成されたコンピュータシステムである。特に、コンピュータシステムは、少なくとも1つのプロセッサと少なくとも1つの主記憶装置とを含んでもよい。さらに、コンピュータシステムは、メモリを含んでもよい。コンピュータシステムは、車両、任意でさらなる車両、およびサーバ200からなるシステム全体に広がっていてもよい。
【符号の説明】
【0058】
200 サーバ
100 コンピュータ実装方法、方法
110 受信
111 受信
112a 受信
112b 解凍
113a 受信
113b 解凍
120 計算
121 計算
123a 供給
123b 計算
123c 記憶
130a 検知
130b 評価
131 確認
132 確認
140 受信
141 受信
150 受信
151 受信
100 コンピュータ実装方法、方法
110 受信
111 受信
112a 受信
112b 解凍
113a 受信
113b 解凍
120 計算
121 計算
123a 供給
123b 計算
123c 記憶
130a 検知
130b 評価
131 確認
132 確認
140 受信
141 受信
150 受信
151 受信
【図1】
【図2】
【図3】
【図4a】
【図4b】
【図4c】
【図4d】
【図4e】
【外国語明細書】