▶ 日産自動車株式会社の特許一覧 ▶ ルノー エス.ア.エス.の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-10-04
(45)【発行日】2023-10-13
(54)【発明の名称】異常検知装置、セキュリティシステム及び異常検知方法
(51)【国際特許分類】
G06F 11/07 20060101AFI20231005BHJP
G06F 21/55 20130101ALI20231005BHJP
B60R 16/02 20060101ALI20231005BHJP
H04L 12/28 20060101ALI20231005BHJP
H04L 41/06 20220101ALI20231005BHJP
【FI】
G06F11/07 175
G06F11/07 178
G06F11/07 140R
G06F21/55 320
B60R16/02 650J
H04L12/28 100A
H04L41/06
【請求項の数】
8
(21)【出願番号】P 2019186790
(22)【出願日】2019-10-10
(65)【公開番号】P2021064034
(43)【公開日】2021-04-22
【審査請求日】2022-08-02
(73)【特許権者】
【識別番号】000003997
【氏名又は名称】日産自動車株式会社
(73)【特許権者】
【識別番号】507308902
【氏名又は名称】ルノー エス.ア.エス.
【氏名又は名称原語表記】RENAULT S.A.S.
【住所又は居所原語表記】122-122 bis, avenue du General Leclerc, 92100 Boulogne-Billancourt, France
(74)【代理人】
【識別番号】100083806
【弁理士】
【氏名又は名称】三好 秀和
(74)【代理人】
【識別番号】100101247
【弁理士】
【氏名又は名称】高橋 俊一
(74)【代理人】
【識別番号】100095500
【弁理士】
【氏名又は名称】伊藤 正和
(74)【代理人】
【識別番号】100098327
【弁理士】
【氏名又は名称】高松 俊雄
(72)【発明者】
【氏名】中 健
【審査官】多賀 実
(56)【参考文献】
【文献】特開2016-060406(JP,A)
【文献】国際公開第2018/047398(WO,A1)
【文献】国際公開第2019/142475(WO,A1)
【文献】特開2005-313709(JP,A)
【文献】特開2015-207946(JP,A)
【文献】中国特許出願公開第108052406(CN,A)
【文献】特開2007-326425(JP,A)
【文献】特開2006-025048(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 11/07
G06F 11/28-11/36
G06F 21/00-21/88
B60R 16/02-16/023
H04L 12/28
H04L 41/06-41/0695
(57)【特許請求の範囲】
【請求項1】
車両に搭載された複数の車載機器が互いに通信を行う車載ネットワークにおける異常を検知するコントローラと、情報を格納する記憶装置と、
を有し、
前記コントローラは、
前記異常の内容を示す詳細情報を生成し、
前記詳細情報を前記記憶装置に記録し、
前記異常の内容を前記詳細情報よりも要約した要約情報を生成し、
前記車両の外部に設けられて前記車載ネットワークの前記異常を管理する管理サーバに、前記要約情報を送信し、
前記管理サーバから前記詳細情報の送信を要求する送信要求を取得した場合、前記記憶装置から前記詳細情報を読み出して、前記管理サーバに前記詳細情報を送信する
異常検知装置。
【請求項2】
前記コントローラは、前記記憶装置から前記詳細情報を読み出し、前記詳細情報の中から抽出した情報に基づいて前記要約情報を生成する
請求項1記載の異常検知装置。
【請求項3】
前記要約情報は、前記詳細情報よりも少ないデータ量で構成される請求項1又は2記載の異常検知装置。
【請求項4】
前記要約情報は、前記異常の種別を特定することができる情報を、少なくとも含む請求項1から3いずれか一項記載の異常検知装置。
【請求項5】
前記要約情報は、前記異常の種別、及び単位時間あたりに検知される前記異常の増加量を含み、
前記詳細情報は、
前記異常の種別、前記異常を検知した部位、前記異常を検知したタイミング、前記異常が検知されたデータ、及び前記異常の種別毎に計測された前記異常の検知回数を含む
請求項1から4のいずれか一項記載の異常検知装置。
【請求項6】
前記コントローラは、前記車両に設けられた通信装置と通信可能に接続され、前記通信装置を介して前記管理サーバに前記要約情報及び前記詳細情報を送信し、
前記要約情報は、
前記管理サーバに対して前記要約情報を即座に送信するのか否かを、前記通信装置が判断するための送信情報を含む
請求項1から5のいずれか一項記載の異常検知装置。
【請求項7】
複数の車載機器が互いに通信を行う車載ネットワークが構築された車両と、前記車両との間で通信を行う管理サーバと、を有し、
前記車両は、前記車載ネットワークにおける異常を検知するコントローラと、情報を格納する記憶装置と、を有する異常検知装置を備え、
前記異常検知装置の前記コントローラは、
前記異常の内容を示す詳細情報を生成し、
前記詳細情報を前記記憶装置に記録し、
前記異常の内容を前記詳細情報よりも要約した要約情報を生成し、
前記管理サーバに、前記要約情報を送信し、
前記管理サーバから前記詳細情報の送信を要求する送信要求を取得した場合、前記記憶装置から前記詳細情報を読み出して、前記管理サーバに前記詳細情報を送信し、
前記管理サーバは、
前記車載ネットワークの前記異常を管理するコントローラを有し、
前記管理サーバの前記コントローラは、
前記異常検知装置から前記要約情報を取得し、
前記異常検知装置から取得した前記要約情報について、前記詳細情報が必要か否かを選択し、
前記詳細情報が必要と選択した場合には、前記要約情報を送信した前記異常検知装置に対して前記送信要求を送信し、
前記異常検知装置から前記詳細情報を受信する
セキュリティシステム。
【請求項8】
車両に搭載された複数の車載機器が互いに通信を行う車載ネットワークにおける異常を検知し、前記異常の詳細な内容を示す詳細情報を生成し、
前記詳細情報を記憶装置に記録し、
前記異常の内容を、前記詳細情報よりも要約して示す要約情報を生成し、
前記車両の外部に設けられて前記車載ネットワークの前記異常を管理する管理サーバに前記要約情報を送信し、
前記管理サーバから前記詳細情報の送信を要求する送信要求を取得した場合、前記記憶装置から前記詳細情報を読み出して、前記管理サーバに前記詳細情報を送信する
異常検知方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、異常検知装置、セキュリティシステム及び異常検知方法に関する。
【背景技術】
【0002】
近年、自動車には、電子制御装置(ECU(Electronic Control Unit))などの様々な種類の車載機器が搭載されている。これらの車載機器は、CAN(Controller Area Network)などの車載ネットワークで互いに接続されており、車載機器同士で通信を行うことで相互に連携を図ることができる。車載機器への不正アクセスなどを防止するために、車載ネットワークには高いセキュリティが求められる。
【0003】
例えば特許文献1には、通信装置間で送受信される情報を収集したダイアグ情報を外部から高速かつ安全に取得させることを可能とする通信システムが開示されている。具体的には、出力装置は、高速な幹線を介して得られるダイアグ情報を外部装置へ出力することで、ダイアグ情報を外部から高速に取得させることができる。
【先行技術文献】
【特許文献】
【0004】
【文献】特開2015-113002号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1に開示された技術によれば、出力装置が外部装置に情報を出力する場合、車両の記憶装置に記憶されている全ての情報を出力しているので、外部装置との通信に要するデータ量が増大するという問題がある。
【0006】
本発明は、かかる課題に鑑みてなされたものであり、その目的は、車両外部の外部装置との通信に要するデータ量を抑制することができる異常検知装置、セキュリティシステム及び異常検知方法を提供することである。
【課題を解決するための手段】
【0007】
本発明の一態様に係る異常検知装置は、車載ネットワークにおける異常の内容を示す詳細情報を生成し、詳細情報を記憶装置に記録し、異常の内容を詳細情報よりも要約した要約情報を生成し、車外の管理サーバに要約情報を送信し、管理サーバから詳細情報の送信を要求する送信要求を取得した場合、管理サーバに詳細情報を送信する。
【発明の効果】
【0008】
本発明によれば、外部装置との通信に要するデータ量を抑制することができる。
【図面の簡単な説明】
【0009】
【発明を実施するための形態】
【0010】
以下、本発明の実施形態について、図面を参照して説明する。図面の記載において同一部分には同一符号を付して説明を省略する。
【0011】
図1~3を参照して、本実施形態に係るセキュリティシステムの構成を説明する。セキュリティシステムは、車両内に構築される車載ネットワークの異常を管理するシステムである。
【0012】
セキュリティシステムは、1台以上の車両10と、管理サーバ100とを主体に構成されている。それぞれの車両10と、管理サーバ100とは、外部ネットワーク200を介して相互に通信可能に構成されている。外部ネットワーク200は、例えば携帯電話網などの移動体通信網が挙げられる。ただし、外部ネットワーク200は、インターネットなどであってもよい。図1に示す例では、車両10が2台示されているが、これに限定されない。
【0013】
車両10は、ゲートウェイ20と、複数のECU(Electronic Control Unit)30、31と、TCU(Telematics Communication Unit)50とを主体に構成されている。ゲートウェイ20、複数のECU30及びTCU50は、通信バス40、41、42に接続され、車載ネットワークを構築している。
【0014】
具体的には、通信バス40には、複数のECU30が通信バス40を介して互いに通信可能に接続されている。通信バス41には、複数のECU31が通信バス41を介して互いに通信可能に接続されている。各通信バス40、41には、車両制御の必要に応じてそれぞれ任意の数のECU30、31を接続することができる。また、通信バス42には、TCU50が接続されている。
【0015】
なお、以下の説明では、車載ネットワークがCAN(Controller Area Network)であるとする。しかしながら、車載ネットワークは、CAN以外の通信プロトコルに準拠するネットワーク、例えば、LIN(Local Interconnect Network)、FlexRay(登録商標)、Ethernet(登録商標)などであってもよい。また、車載ネットワークには、それぞれ異なる通信プロトコルに準拠する複数のネットワークが混在してもよい。
【0016】
ゲートウェイ20は、通信バス40、41、42にそれぞれ接続される。ゲートウェイ20は、通信バス40と通信バス41との間で通信データを転送したり、通信バス40又は通信バス41と通信バス42との間で通信データを転送したりする。
【0017】
また、ゲートウェイ20は、車載ネットワークへの攻撃などのセキュリティ異常を検知し、このセキュリティ異常を管理サーバ100へ通知する異常検知装置としての機能を担っている。ゲートウェイ20は、ECU(電子制御装置)を用いて実現される。
【0018】
ECU30、31は、マイクロプロセッサ、ROM、RAM、入出力インターフェースなどを備えた電子制御装置である。各ECU30、31には車両10の部品又はセンサが接続されている。ECU30、31は、センサの検出値や部品の状態に基づいて各種の制御を実行する。
【0019】
ECU30、31としては、エンジンを含むパワートレインの動作を制御するECU、変速機を制御するECU、電装品を制御するECUなどが含まれる。また、ECU30、31には、ナビゲーションシステムに係る制御を実行するECU、安全走行及び自動走行に係る制御を実行するECUなどが含まれる。ECU30、31には、機能や用途に応じた各種のECUが含まれる。
【0020】
TCU50は、外部ネットワーク200を通じて、他の車両10又は車両外部の外部装置(管理サーバ100を含む)と通信する通信ユニットである。TCU50も、ECU(電子制御装置)を用いて実現される。
【0021】
TCU50は、外部装置又は他の車両10から送信された情報を、ゲートウェイ20を介して、対応するECU30、31へ転送する。TCU50は、ゲートウェイ20を介してECU30、31から送信された情報を、外部装置又は他の車両10へ送信する。また、TCU50は、ゲートウェイ20から送信された情報を管理サーバ100へ送信し、管理サーバ100から送信された情報をゲートウェイ20へ送信する。
【0022】
なお、TCU50とゲートウェイ20とは、通信バス42で接続する以外にも、専用の通信線で接続してもよい。
【0023】
また、ゲートウェイ20には、図示しないポートが設けられており、このポートを介して診断装置(図示せず)が車両外部から接続される。診断装置は、通信バス40、41を介してECU30、31と通信する。診断装置は、ECU30、31から制御動作に関する診断データを収集するとともに、診断データの収集に必要な測定パラメータなどの診断情報をECU30、31へ送信する。なお、診断装置は、TCU50を経由して、ECU30、31と通信する構成であってもよい。
【0024】
ゲートウェイ20において、通信バス40、41、42及び診断装置用のポートには、これらを識別するためのチャネル番号が付与されている。
【0025】
図2において、ゲートウェイ20は、CPU21と、メモリ22と、記憶部23と、複数の通信部24とを有している。
【0026】
CPU21は、メモリ22などに記憶されている様々なコンピュータプログラムを読み込んで、プログラムに含まれる各種の命令を実行する。プログラムを実行することにより、CPU21は、ゲートウェイ20が備える複数の情報処理回路として機能する。なお、本実施形態では、ソフトウェアによってゲートウェイ20が備える複数の情報処理回路を実現する例を示す。もちろん、以下に示す各情報処理を実行するための専用のハードウェアを用意して、情報処理回路を構成することも可能である。また、複数の情報処理回路を個別のハードウェアにより構成してもよい。
【0027】
CPU21は、複数の情報処理回路として、処理部21aと、検知部21bと、詳細情報生成部21cと、要約情報生成部21dと、読出部21eとを備えている。処理部21aは、ゲートウェイ20としての固有の機能を担い、検知部21b、詳細情報生成部21c、要約情報生成部21d及び読出部21eは、異常検知装置としての機能を担っている。
【0028】
処理部21aは、通信バス40に接続されたECU30と、通信バス41に接続されたECU31との間で通信データの転送を行う。また、処理部21aは、通信バス40、41に接続されたECU30、31と、通信バス42に接続されたTCU50との間でデータの転送を行う。
【0029】
処理部21aは、CAN通信プロトコルに規定された通信データに従って通信を行う。通信データは、複数のフレームから構成される。個々のフレームは、ID、データフィールドなどの各種のフィールドで構成され、個々のフィールドには、データの種類を示す値であるID(CANID)、データが格納されている。
【0030】
検知部21bは、車載ネットワークにおける異常を検知する。車両10に構築された車載ネットワークにおいては、TCU50、故障診断用のポート、ナビゲーションシステムなどのように通信機能を独自に備えるシステムなどを介して、不正な攻撃が起こりえる。検知部21bは、車載ネットワークへの攻撃などのセキュリティ異常を検知する。
【0031】
詳細情報生成部21cは、異常の内容を詳細に示す詳細情報を生成する。詳細情報生成部21cは、生成した詳細情報を、記憶部23に記録する。
【0032】
要約情報生成部21dは、記憶部23に格納されている詳細情報に基づいて、要約情報を生成する。要約情報は、異常の内容を詳細情報よりも要約した情報に相当する。要約情報生成部21dは、TCU50に要約情報を出力することにより、管理サーバ100に対して要約情報を送信する。
【0033】
読出部21eは、管理サーバ100から、詳細情報の送信を要求する送信要求を取得した場合、記憶部23から詳細情報を読み出す。読出部21eは、TCU50に詳細情報を出力することにより、管理サーバ100に対して詳細情報を送信する。
【0034】
記憶部23は、詳細情報生成部21cにおいて生成された詳細情報を格納する。記憶部23には、検知部21bが検知した異常毎に、詳細情報が格納されている。個々の詳細情報には、検知部21bが検知した異常毎に、その異常を識別するための異常IDが関連付けられている。
【0035】
複数の通信部24、25、26は、複数の通信バス40、41、42に対応して設けられ、通信バス40、41、42に接続される。個々の通信部24、25、26は、CAN通信プロトコルに従って通信バス40、41、42からフレームを受信し、受信したフレーム(受信フレーム)を一時的に格納する。個々の通信部24、25、26に格納された受信フレームは、CPU21により読み出される。また、個々の通信部24、25、26は、CPU21から通信部24、25、26に入力された送信すべきフレーム(送信フレーム)を格納する。個々の通信部24、25、26は、CAN通信プロトコルに従って、格納されている送信フレームを送信する。
【0036】
管理サーバ100は、コンピュータ110と、記憶装置120とを主体に構成されている。
【0037】
コンピュータ110は、CPU及びメモリを備えるコンピュータを一台以上用いて構成される。コンピュータ110は、外部ネットワーク200を介して車両10から受信したデータに基づいて、車載ネットワークの異常を管理する(コントローラ)。コンピュータ110が行う管理には、異常の解析などが含まれる。コンピュータ110は、このような機能を所定のプログラムを実行して提供する。
【0038】
CPUは、メモリなどに記憶されている様々なコンピュータプログラムを読み込んで、プログラムに含まれる各種の命令を実行する。プログラムを実行することにより、CPUは、管理サーバ100が備える複数の機能を実現する。本実施形態では、ソフトウェアによって管理サーバ100が備える機能を実現する例を示すが、もちろん、以下に示す機能を実行するための専用のハードウェアを用意して、情報処理回路を構成することも可能である。
【0039】
本実施形態において、コンピュータ110は、ゲートウェイ20から要約情報を取得し、これを記憶装置120に格納する。コンピュータ110は、ゲートウェイ20から受信した要約情報について、詳細情報が必要となるか否かを選択する。コンピュータ110は、詳細情報が必要と選択した場合には、要約情報を送信したゲートウェイ20に対して詳細情報の送信要求を送信する。これに応答してゲートウェイ20から詳細情報が送信されると、コンピュータ110は、詳細情報を受信する。
【0040】
記憶装置120には、外部ネットワーク200を介して車両10から受信した情報が記録される。具体的には、記憶装置120には、要約情報が記録されたり、必要に応じて、詳細情報が記録されたりする。
【0041】
【0042】
図4を参照し、詳細情報に関する処理の流れを説明する。まず、検知部21bは、車載ネットワークにおける異常、具体的には、セキュリティ異常を検知する(S10)。セキュリティ異常としては、CANID異常、データ量異常、データ値異常などが挙げられる。
【0043】
CANID異常は、CANIDにおける異常であり、例えば、車載ネットワークにおいて使用する予定がないCANIDが使われている場合などが該当する。データ量異常は、通信バス40、41、42に流れる通信データのデータ量に関する異常である。例えば、単位時間あたりに流れるフレーム量が所定の基準値よりも多い場合は、データ量の異常と判断する。また、同種のフレームは一定の周期で流れると想定される。よって、同種のフレームが一定の周期で流れていない場合は、データ量の異常と判断する。さらに、データ値異常は、通信バス40、41、42に流れる通信データのデータ値に関する異常である。同種のフレームは、データ内容において連続性を有すると想定される。よって、前のフレームのデータ値から大きく相違するデータ値を有するフレームがある場合は、データ値の異常と判断する。
【0044】
セキュリティ異常を検知すると、検知部21bは、詳細情報生成部21cに検知を通知する(S11)。
【0045】
詳細情報生成部21cは、検知部21bが検知した異常に基づいて、異常の内容を詳細に示す詳細情報を生成する(S12)。詳細情報は、種別情報、部位情報、タイミング情報、状態情報、対象データ及び検知量情報を含む。詳細情報は、例えば25Kバイトのデータで構成される。
【0046】
種別情報は、異常の種別を示す情報であり、CANID異常、データ量異常、データ値異常などの種別が記述される。部位情報は、異常が検知された部位を示す情報であり、異常が検知されたチャネルが記述される。タイミング情報は、異常が検知されたタイミングを示す情報であり、ゲートウェイ20が初めて起動したタイミングを起点として異常を検知するまでの経過時間、又は検知したタイミングにおける走行距離などが記述される。状態情報は、複数の異なる動作モードで動作するゲートウェイ20が、異常を検知したときにどの動作モードで動作していたかを示す情報である。対象データ情報は、異常を検知したフレームに含まれるデータそのものである。検知量情報は、現在までに検知した異常の総量を示す情報である。検知部21bは、異常の種別毎に検知回数を計測するカウンタを保有しており、検知情報には、各カウンタのカウント値が記述される。
【0047】
詳細情報生成部21cは、詳細情報を生成すると、記憶部23に記録するためのフォーマット変換を行う。そして、詳細情報生成部21cは、詳細情報を記憶部23に記録する(S13)。この際、詳細情報生成部21cは、検知部21bが検知した異常を識別するための異常IDを詳細情報に関連付けて、この詳細情報を記録する。
【0048】
図5を参照し、要約情報に関する処理の流れを説明する。まず、検知部21bは、車載ネットワークにおける異常、具体的には、セキュリティ異常を検知する(S10)。そして、検知部21bは、要約情報生成部21dに検知を通知する(S21)。
【0049】
要約情報生成部21dは、記憶部23において、詳細情報生成部21cが記録した詳細情報を参照する(S22)。そして、要約情報生成部21dは、詳細情報の中から抽出した情報に基づいて、異常の内容を詳細情報よりも要約した要約情報を生成する(S23)。
【0050】
要約情報は、例えば、1フレームのデータフィールドに相当する8バイトで構成され、詳細情報よりも少ないデータ量で構成されている。要約情報は、少なくとも、異常の種別を特定することができる情報を含む。具体的には、要約情報は、異常種別フラグ、異常検出量を含む。
【0051】
異常種別フラグは、異常の種別毎に、各チャネルにおいて異常が発生しているか否かを示すフラグである。異常検出量は、単位時間あたりの全カウンタの増加量を示す情報である。
【0052】
また、要約情報は、管理サーバ100に対して要約情報を即座に送信するのか否かを示すフラグである送信情報フラグも含む。要約情報を即座に送信するか否かは、例えば検出された異常の種別によって決定される。セキュリティへの影響が大きい異常については、即座に送信すると決定され、セキュリティへの影響が小さい異常については、即座に送信しなくてもよいと決定されるといった如くである。さらに、要約情報は、対応する詳細情報を特定するための異常IDを含む。
【0053】
要約情報生成部21dは、要約情報を生成すると、TCU50に要約情報を出力することにより、TCU50に要約情報の送信を通知する(S24)。すなわち、要約情報生成部21dは、管理サーバ100に要約情報を送信するために、要約情報をTCU50に出力する。
【0054】
TCU50は、管理サーバ100に対して要約情報を送信する(S25)。具体的には、TCU50は、要約情報中の送信情報フラグを参照する。そして、要約情報を即座に送信する場合には、TCU50は、要約情報を管理サーバ100に送信する。一方、要約情報を即座に送信しない場合には、TCU50は、所定の送信周期が到来するまで要約情報を保持する。そして、TCU50は、送信周期が到来すると、要約情報を管理サーバ100に送信する。この際、管理サーバ100に対して未送信な要約情報を複数保持して場合、TCU50は、前回の送信周期から今回の送信周期までの間に蓄積された要約情報を一括して、管理サーバ100に送信する。また、TCU50は、要約情報に車両10を特定するための車両IDを付与して、要約情報を送信する。
【0055】
TCU50から要約情報を取得すると、管理サーバ100のコンピュータ110は、取得した要約情報について、詳細情報が必要となるか否かを選択する。詳細情報が必要となるか否かの選択は、管理サーバ100のオペレータが要約情報を解析した上で、解析結果に応じたオペレータの操作に従って行ってもよい。また、コンピュータ110が要約情報を解析し、予め定められた基準(例えば、特定の異常の種別)に該当する要約情報については、詳細情報が必要な情報として選択してもよい。
【0056】
図6を参照し、詳細情報の読み出しに関する処理の流れを説明する。管理サーバ100のコンピュータ110は、詳細情報が必要な要約情報として選択した場合には、TCU50に対して詳細情報の送信要求を行う(S30)。この詳細情報の送信要求を行うTCU50は、要約情報とともに取得した車両IDから特定することができる。また、詳細情報の送信要求には、詳細情報が必要と選択した要約情報に含まれる異常IDの情報が含まれる。
【0057】
TCU50は、ゲートウェイ20に、詳細情報の送信要求を通知する(S31)。
【0058】
ゲートウェイ20に送信要求が通知されると、読出部21eは、送信要求に含まれる異常IDに基づいて記憶部23を検索し、詳細情報を検索する(S32)。そして、読出部21eは、記憶部23から、異常IDに対応する詳細情報を読み出す(S33)。
【0059】
読出部21eは、TCU50に詳細情報を出力することにより、TCU50に詳細情報の送信を通知する(S34)。
【0060】
TCU50は、管理サーバ100に詳細情報を送信する(S35)。
【0061】
TCU50から詳細情報を取得すると、管理サーバ100のコンピュータ110は、詳細情報を解析したり、記憶装置120に記録したりする。
【0062】
このように本実施形態において、ゲートウェイ20は、車両に搭載された複数のECU30、31同士が通信を行う車載ネットワークにおける異常を検知するCPU21(コントローラ)と、情報を格納する記憶部23(記憶装置)とを有している。
【0063】
そして、CPU21は、異常の内容を示す詳細情報を生成し、詳細情報を記憶部23に記録し、異常の内容を詳細情報よりも要約した要約情報を生成し、管理サーバ100に要約情報を送信する。また、CPU21は、管理サーバ100から詳細情報の送信を要求する送信要求を取得した場合、記憶部23から詳細情報を読み出して、管理サーバ100に詳細情報を送信する。
【0064】
この構成によれば、CPU21は、詳細情報を生成しつつも、管理サーバ100に対しては、要約情報を送信している。要約情報は、異常の内容を詳細情報よりも要約した情報であるため、要約情報のデータ量を詳細情報より抑制することができる。これにより、管理サーバ100との通信に要するデータ量を抑制することができる。
【0065】
また、管理サーバ100からの求めに応じて詳細情報を送信することで、異常に関する詳細な内容を管理サーバ100に提供することができる。
【0066】
また、本実施形態において、CPU21は、記憶部23から詳細情報を読み出し、詳細情報の中から抽出した情報に基づいて要約情報を生成している。
【0067】
この構成によれば、詳細情報の中から抽出した情報に基づいて要約情報を生成しているので、要約情報のデータ量を抑制することができる。これにより、管理サーバ100との通信に要するデータ量を抑制することができる。
【0068】
また、本実施形態において、要約情報は、詳細情報よりもデータ量が少ない。
【0069】
この構成によれば、管理サーバ100との通信に要するデータ量を抑制することができる。
【0070】
また、本実施形態において、要約情報は、異常の種別を特定することができる情報を、少なくとも含んでいる。
【0071】
この構成によれば、管理サーバ100が異常を管理する上で重要な項目である、異常の種別を要約情報から認識することができる。これにより、管理サーバ100との間でデータ量を抑制した通信を行いつつも、管理サーバ100がセキュリティを管理する上で必要な情報を適切に送信することができる。
【0072】
また、本実施形態において、要約情報は、異常の種別、及び単位時間あたりに検知される異常の増加量を含む。また、詳細情報は、異常の種別、異常を検知した部位、異常を検知したタイミング、異常が検知されたデータ、及び異常の種別毎に計測された異常の検知回数を含む。
【0073】
この構成によれば、要約情報は、異常の内容を詳細情報よりも要約した情報であるため、要約情報のデータ量を抑制することができる。これにより、管理サーバ100との通信に要するデータ量を抑制することができる。
【0074】
CPU21は、管理サーバ100と通信するTCU50(通信装置)に対して要約情報を出力することにより、TCU50を介して管理サーバ100に要約情報を送信している。要約情報は、管理サーバ100に対して要約情報を即座に送信するのか否かを、管理サーバ100が判断するための送信情報を含んでいる。
【0075】
この構成によれば、TCU50側で、要約情報の具体的な異常の種別を判断せずとも、送信情報から、管理サーバ100に対して即座に送信すべき情報がどうかを判断することができる。これにより、TCU50側における処理負荷を軽減することができる。
【0076】
また、本実施形態に係るセキュリティシステムは、車両10と、管理サーバ100とを有している。この車両10は、上述したように、車載ネットワークにおける異常を検知するCPU21と、情報を格納する記憶部23とを有するゲートウェイ20を備えている。
【0077】
このセキュリティシステムによれば、ゲートウェイ20は、詳細情報を生成しつつも、管理サーバ100に対しては、要約情報を送信している。要約情報は、異常の内容を詳細情報よりも要約した情報であるため、要約情報のデータ量を詳細情報より抑制することができる。これにより、管理サーバ100との通信に要するデータ量を抑制することができる。
【0078】
また、本実施形態に係る異常検知方法は、車載ネットワークにおいて異常を検知し、詳細情報を生成し、詳細情報を記憶部23に格納し、要約情報を生成し、管理サーバに要約情報を送信し、管理サーバ100から詳細情報の送信要求を取得した場合、記憶部23から詳細情報を読み出して、管理サーバ100に詳細情報を送信する。
【0079】
この方法によれば、詳細情報を生成しつつも、管理サーバ100に対しては、要約情報を送信している。要約情報は、異常の内容を詳細情報よりも要約した情報であるため、要約情報のデータ量を詳細情報より抑制することができる。これにより、管理サーバ100との通信に要するデータ量を抑制することができる。
【0080】
なお、本実施形態では、ゲートウェイ20のCPU21は、車載ネットワークの異常を検知したタイミングで要約情報を送信している。しかしながら、CPU21は、異常を検知したタイミング以降の任意のタイミングで要約情報を送信してもよい。
【0081】
また、本実施形態では、ゲートウェイ20が、ゲートウェイ固有の機能と、異常検知装置の機能とを備えている。この場合、車載ネットワークの出入り口で異常を検知することができるので、セキュリティ異常を早期に検知することができる。
【0082】
しかしながら、車載ネットワーク内に、ゲートウェイ20から独立して異常検知装置を設けてもよい。例えば、図7において、ゲートウェイ20aは、処理部21aの機能のみを有し、異常検知装置20bは、検知部21b、詳細情報生成部21c、要約情報生成部21d及び読出部21eの各機能を有している。また、検知部21b、詳細情報生成部21c、要約情報生成部21d及び読出部21eの全部が1つのハードウェア資源で構成される必要なく、複数のハードウェア資源で構成されてもよい。
【0083】
また、本実施形態では、TCU50を用いて管理サーバ100との通信を実現している。しかしながら、管理サーバ100との通信方法は、これに限らない。例えば、Wi-Fi(登録商標)などの無線通信を行う通信アダプタにゲートウェイ20が接続する構成であってもよい。車載ネットワークに接続するシステム(例えばナビゲーションシステム)が無線通信又は有線通信で、携帯電話又はスマートフォンなどの通信端末と接続する場合には、通信端末の通信機能を利用してもよい。故障診断用のポートに接続される診断装置が通信機能を備える場合には、診断装置の通信機能を利用してもよい。
【0084】
また、ゲートウェイ20は、車載ネットネットワークによって接続するメータユニット又は情報提供装置を用いて、異常を検知した旨の情報を表示してもよい。表示する情報は、異常検知を知らせる図又は記号であってもよいし、異常の種別を示す文字、図又は記号であってもよい。
【0085】
このように、本発明の実施形態を記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなろう。
【符号の説明】
【0086】
10 車両
20 ゲートウェイ
21 CPU(コントローラ)
21a 処理部
21b 検知部
21c 詳細情報生成部
21d 要約情報生成部
21e 読出部
22 メモリ
23 記憶部(記憶装置)
24、25、26 通信部
30、31 ECU
40、41、42 通信バス
50 TCU(通信装置)
100 管理サーバ
110 コンピュータ(コントローラ)
120 記憶装置
20 ゲートウェイ
21 CPU(コントローラ)
21a 処理部
21b 検知部
21c 詳細情報生成部
21d 要約情報生成部
21e 読出部
22 メモリ
23 記憶部(記憶装置)
24、25、26 通信部
30、31 ECU
40、41、42 通信バス
50 TCU(通信装置)
100 管理サーバ
110 コンピュータ(コントローラ)
120 記憶装置
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】