(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2022-09-26
(54)【発明の名称】車両環境における侵入異常監視
(51)【国際特許分類】
H04L 43/02 20220101AFI20220915BHJP
H04L 43/04 20220101ALI20220915BHJP
B60R 16/023 20060101ALI20220915BHJP
【FI】
H04L43/02
H04L43/04
B60R16/023 P
B60R16/023 Z
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2022502578
(86)(22)【出願日】2020-07-23
(85)【翻訳文提出日】2022-01-21
(86)【国際出願番号】 IL2020050826
(87)【国際公開番号】W WO2021014454
(87)【国際公開日】2021-01-28
(31)【優先権主張番号】62/877,962
(32)【優先日】2019-07-24
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】521391760
【氏名又は名称】シー2エー‐セック,リミテッド
(74)【代理人】
【識別番号】100114775
【弁理士】
【氏名又は名称】高岡 亮一
(74)【代理人】
【識別番号】100121511
【弁理士】
【氏名又は名称】小田 直
(74)【代理人】
【識別番号】100202751
【弁理士】
【氏名又は名称】岩堀 明代
(74)【代理人】
【識別番号】100208580
【弁理士】
【氏名又は名称】三好 玲奈
(74)【代理人】
【識別番号】100191086
【弁理士】
【氏名又は名称】高橋 香元
(72)【発明者】
【氏名】ダビドヴィッチ,イツハク
(72)【発明者】
【氏名】ナイマン,アハロン
(72)【発明者】
【氏名】キルステン,ロイエ
(57)【要約】
自動車両における侵入異常を監視するシステムであって、このシステムは、少なくとも1つの電子制御ユニットと、少なくとも1つの電子制御ユニットの侵入異常を検出し、検出された侵入異常に関する情報を出力するように構成された少なくとも1つのセキュリティモニタと、異常分析器であって、検出された侵入異常に関する出力情報を蓄積し、少なくとも1つの車両ステータス信号を受信し、受信された少なくとも1つの車両ステータス信号に応答して、検出された侵入異常に関する蓄積された出力情報を異常事象リストと比較することであって、異常事象リストが、少なくとも1つの異常事象を含む、比較することと、比較の所定の結果に応答して、所定の事象信号を出力するよう構成された異常分析器と、を備える。
【選択図】図1E
【選択図】図1E
【特許請求の範囲】
【請求項1】
自動車両における侵入異常を監視するシステムであって、少なくとも1つの電子制御ユニットと、
前記少なくとも1つの電子制御ユニットに関連する侵入異常を検出し、前記検出された侵入異常に関する情報を出力するように構成された少なくとも1つのセキュリティモニタと、
異常分析器であって、
前記検出された侵入異常に関する前記出力情報を蓄積し、
少なくとも1つの車両ステータス信号を受信し、
前記受信された少なくとも1つの車両ステータス信号に応答して、前記検出された侵入異常に関する前記蓄積された出力情報を、異常事象リストと比較することであって、前記異常事象リストが、少なくとも1つの異常事象を含む、比較することと、
前記比較の所定の結果に応答して、所定の事象信号を出力するよう構成された異常分析器と、を備えるシステム。
【請求項2】
前記異常分析器が、車両ステータスグレードを決定するようにさらに構成され、前記車両ステータスグレードが、前記受信された少なくとも1つの車両ステータス信号の所定の機能に応答して決定され、前記異常事象リストが、複数セットの異常事象リストパラメータ値を含み、前記比較が、前記複数のセットの異常事象リストパラメータ値に関して実施され、
前記異常事象リストパラメータ値が、前記決定された車両ステータスグレードに応答して選択される、請求項1に記載のシステム。
【請求項3】
前記少なくとも1つのセキュリティモニタが、1つ以上のメッセージの所定の属性が所定の検証パラメータ値を満たさないことに応答して、前記侵入異常を検出するように構成され、前記比較の前記所定の結果に応答して、前記異常分析器が、
調整信号を生成し、
前記生成された調整信号を前記少なくとも1つのセキュリティモニタに出力し、前記生成された調整信号に応答して、前記少なくとも1つのセキュリティモニタの前記所定の検証パラメータ値が調整されるようにさらに構成されている、請求項1に記載のシステム。
【請求項4】
前記受信された少なくとも1つの車両ステータス信号が、前記車両の少なくとも1つの内部システムのステータスを示す少なくとも1つの信号を含む、請求項1~3のいずれか一項に記載のシステム。
【請求項5】
前記車両の少なくとも1つの内部システムのステータスを示す前記受信された少なくとも1つの車両ステータス信号が、前記車両の速度、
前記車両のステアリングホイール角度、
前記車両が入っているギア、
前記車両のブレーキ、
前記車両のエンジン、または
前記車両のジャイロの位置のステータスを示す少なくとも1つの信号を含む、請求項4に記載のシステム。
【請求項6】
前記受信された少なくとも1つの車両ステータス信号が、前記車両の外部の環境のステータスを示す少なくとも1つの信号を含む、請求項1~3のいずれか一項に記載のシステム。
【請求項7】
前記受信された少なくとも1つの車両ステータス信号が、前記車両を取り巻く追加の車両のステータスを示す少なくとも1つの信号を含む、請求項1~3のいずれか一項に記載のシステム。
【請求項8】
前記少なくとも1つの車両ステータス信号が、複数の車両ステータス信号を含む、請求項1~3のいずれか一項に記載のシステム。
【請求項9】
前記所定の事象信号が、アラートメッセージを含む、請求項1~3のいずれか一項に記載のシステム。
【請求項10】
前記少なくとも1つの電子制御ユニットとのデータ通信を制御するように構成された通信制御ユニットをさらに備え、前記所定の事象信号が、前記通信制御ユニットの通信機能を無効にするコマンドを含む、請求項1~3のいずれか一項に記載のシステム。
【請求項11】
前記少なくとも1つの電子制御ユニットとのデータ通信を制御するように構成された通信制御ユニットをさらに備え、前記少なくとも1つの異常事象が複数の異常事象を含み、前記比較の前記所定の結果が、前記蓄積された出力情報が前記複数の異常事象のうちの1つの存在を示すことを識別することを含み、
前記所定の事象信号が、前記複数の異常事象のうちの前記それぞれの検出された1つに応答して、複数の所定の事象信号から選択され、
前記複数の所定の事象信号が、
アラートメッセージ、および
前記通信制御ユニットの通信機能を無効にするコマンドを含む、請求項1~3のいずれか一項に記載のシステム。
【請求項12】
前記少なくとも1つの電子制御ユニットが、複数の電子制御ユニットを含み、前記少なくとも1つのセキュリティモニタが、複数のローカルセキュリティモニタを含み、前記複数のローカルセキュリティモニタの各々が、前記複数の電子制御ユニットのそれぞれの1つに関連付けられている、請求項1~3のいずれか一項に記載のシステム。
【請求項13】
自動車両における侵入異常を監視する方法であって、少なくとも1つの電子制御ユニットに関連する侵入異常を検出することと、
前記検出された侵入異常に関する情報を出力することと、
前記検出された侵入異常に関する前記出力情報を蓄積することと、
少なくとも1つの所定の車両ステータス信号を受信することと、
前記受信された少なくとも1つの車両ステータス信号に応答して、前記蓄積された出力情報を異常事象リストと比較することであって、前記異常事象リストが、少なくとも1つの異常事象を含む、比較することと、
前記比較の所定の結果に応答して、所定の事象信号を出力することと、を含む方法。
【請求項14】
車両ステータスグレードを決定することをさらに含み、前記車両ステータスグレードが、前記受信された少なくとも1つの車両ステータス信号の所定の機能に応答して決定され、前記異常事象リストが、複数のセットの異常事象リストパラメータ値を含み、前記比較が、前記複数のセットの異常事象リストパラメータ値に関して実施され、
前記異常事象リストパラメータ値が、前記決定された車両ステータスグレードに応答して選択される、請求項13に記載の方法。
【請求項15】
前記侵入異常を前記検出することが、1つ以上のメッセージの所定の属性が所定の検証パラメータ値を満たさないことに応答してのものであり、前記比較の前記所定の結果に応答して、前記方法は、
調整信号を生成することと、
前記生成された調整信号を出力することであって、前記所定の検証パラメータ値が、前記出力調整信号に応答して調整される、出力することと、をさらに含む、請求項13に記載の方法。
【請求項16】
前記受信された少なくとも1つの車両ステータス信号が、前記車両の少なくとも1つの内部システムのステータスを示す少なくとも1つの信号を含む、請求項13~15のいずれか一項に記載の方法。
【請求項17】
前記車両の少なくとも1つの内部システムのステータスを示す前記受信された少なくとも1つの車両ステータス信号が、前記車両の速度;
前記車両のステアリングホイール角度、
前記車両が入っているギア、
前記車両のブレーキ、
前記車両のエンジン、または
前記車両のジャイロの位置のステータスを示す、少なくとも1つの信号を含む、請求項16に記載の方法。
【請求項18】
前記受信された少なくとも1つの車両ステータス信号が、前記車両の外部の環境のステータスを示す少なくとも1つの信号を含む、請求項13~15のいずれか一項に記載の方法。
【請求項19】
前記受信された少なくとも1つの車両ステータス信号が、前記車両を取り巻く追加の車両のステータスを示す少なくとも1つの信号を含む、請求項13~15のいずれか一項に記載の方法。
【請求項20】
前記少なくとも1つの車両ステータス信号が、複数の車両ステータス信号を含む、請求項13~15のいずれか一項に記載の方法。
【請求項21】
前記所定の事象信号が、アラートメッセージを含む、請求項13~15のいずれか一項に記載の方法。
【請求項22】
前記所定の事象信号が、前記少なくとも1つの電子制御ユニットへの通信を無効にするコマンドを含む、請求項13~15のいずれか一項に記載の方法。
【請求項23】
前記少なくとも1つの異常事象が複数の異常事象を含み、前記比較の前記所定の結果が、前記蓄積された出力情報が前記複数の異常事象のうちの1つの存在を示すことを識別することを含み、前記所定の事象信号が、前記複数の異常事象のうちの前記それぞれの検出された1つに応答して複数の所定の事象信号から選択され、
前記複数の所定の事象信号が、
アラートメッセージ、および
前記少なくとも1つの電子制御ユニットへの通信を無効にするコマンドを含む、請求項13~15のいずれか一項に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願の相互参照
本出願は、2019年7月24日に出願された「車両環境における侵入異常監視」と題された米国仮特許出願S/N62/877,962からの優先権を主張し、その全内容は参照により本明細書に組み込まれる。
本出願は、2019年7月24日に出願された「車両環境における侵入異常監視」と題された米国仮特許出願S/N62/877,962からの優先権を主張し、その全内容は参照により本明細書に組み込まれる。
【0002】
本発明は、一般に、セキュリティデバイスの分野に係わり、より具体的には、自動車環境における侵入異常を監視するシステムおよび方法に関する。
【背景技術】
【0003】
車載に搭載される電子デバイスの数は急速に増加している。以前は、自動車の電子デバイスは、スタンドアローン環境で動作する、特定の機能を扱う個別のデバイスである。1980年代には、車両用のネットワーク動作標準を開発する必要があることが認識され、コントローラエリアネットワーク(CAN)バスが誕生した。
【0004】
時間の経過とともに、CANバスを利用する相互接続されたデバイスの数は急速に増加している。これらの相互接続されたデバイスは、エンジン速度、制動制御、ステアリング制御などの運転特徴、および照明、窓、サンルーフ制御などの快適特徴を制御してもよい。
【0005】
さらなる発展はインターネットの拡大であり、インターネットへのワイヤレスアクセスに対する需要はますます高まっている。携帯電話およびワイヤレスインターネットアクセスの拡大により、将来的には車両が外部ネットワークに接続されることが確実になるであろう。最近では、車両へのアクセスは専用のサービスケーブルの使用に制限されており、唯一のワイヤレスアクセスはニュースおよび音楽を配信するラジオのみであった。今日では、エンターテインメントと情報コンテンツの両方を車両に配信する統合インフォテインメントシステムが提供されている。
【0006】
車載電子デバイスの数が増えるにつれ、多くの自動車メーカーが自動車用電子制御ユニット(ECU)用のオープンスタンダードソフトウェアアーキテクチャに合意している。現在、ドイツのミュンヘンにあるAUTOSAR組合は、Autosar Classic Platformのバージョン4.3をリリースしている。Autosar準拠の診断は、1つ以上のECUの実際の障害または欠陥を検出するように設計されている。診断では、「インターネットプロトコルを介した診断(DoIP)または統一診断サービス(UDS)と呼ばれる特定の通信プロトコルを使用し、これらは、オンボードイーサネットスイッチを介したテスト機器とECUとの間の通信用に設計されている。DoIPは透明なプロトコルであり、テスト機器とECUとの間の変換を伴わない。DoIPは、スイスのジュネーブにある国際標準化機構によって発行されたISO 13400、パート2で定義されている。DoIPは、外部テスト機器と自動車用ECUとの間の診断関連の通信を容易にする。ECU内の診断通信マネージャー(DCM)は、テスト機器と通信し、それぞれのECUで検出された故障を表す自動車メーカーによって定義された関連する事前定義された診断トラブルコード(DTC)を転送する。
【0007】
様々なECUで検出された故障を生成および通信するシステムが、従来技術には、自動車通信ネットワークの任意の部分に侵入しようとする外部の攻撃者による攻撃を監視および識別するシステムが欠けている。これは、ネットワークを介して送信されるデータの統計的異常、例えば、以下に説明するように、分散型サービス拒否(DDOS)攻撃、ECUのMACアドレスをスプーフィングする試み、PORTのIPからのサブスクリプションリクエスト、SOME/IP情報における不正確な値、事前定義されたモデルまたはルールから外れた信号、スタックオーバーフロー、およびリターン指向プログラミング攻撃を含むがこれらに制限されない。さらに、車両間のDoIP通信にはメカニズムが提供されていないため、車両は互いとDTCを共有することができない。
【発明の概要】
【0008】
したがって、本発明の主な目的は、従来技術のバス制御方法およびシステムの不都合な点の少なくともいくらかを克服することである。これは、一実施形態では、自動車両における侵入異常を監視するシステムによって提供され、システムは、少なくとも1つの電子制御ユニットと、少なくとも1つの電子制御ユニットの侵入異常を検出し、検出された侵入異常に関する情報を出力するように構成された少なくとも1つのセキュリティモニタと、異常分析器であって、検出された侵入異常に関する出力情報を蓄積し、少なくとも1つの車両ステータス信号を受信し、受信された少なくとも1つの車両ステータス信号に応答して、検出された侵入異常に関する蓄積された出力情報を異常事象リストと比較することであって、異常事象リストが少なくとも1つの異常事象を含む、比較することと、比較の所定の結果に応答して、所定の事象信号を出力するように構成された異常分析器とを備える。
【0009】
一実施形態では、異常分析器は、車両ステータスグレードを決定するようにさらに構成され、車両ステータスグレードは、受信された少なくとも1つの車両ステータス信号の所定の機能に応答して決定され、異常事象リストは、複数のセットの異常事象リストパラメータ値を含み、比較は複数のセットの異常事象リストパラメータ値関して実施され、異常事象リストパラメータ値は、決定された車両ステータスグレードに応じて選択される。別の実施形態では、少なくとも1つのセキュリティモニタは、1つ以上のメッセージの所定の属性が所定の検証パラメータ値を満たさないことに応答して、侵入異常を検出するように構成され、比較の所定の結果に応答して、異常分析器は、調整信号を生成し、生成された調整信号を少なくとも1つのセキュリティモニタに出力し、生成された調整信号に応答して、少なくとも1つのセキュリティモニタの所定の検証パラメータ値が調整されるようにさらに構成されている。
【0010】
一実施形態では、受信された少なくとも1つの車両ステータス信号は、車両の少なくとも1つの内部システムのステータスを示す少なくとも1つの信号を含む。別の実施形態では、車両の少なくとも1つの内部システムのステータスを示す受信された少なくとも1つの車両ステータス信号は、車両の速度、車両のステアリングホイール角度、車両が入っているギア、車両のブレーキ、車両のエンジン、または車両のジャイロの位置のステータスを示す少なくとも1つの信号を含む。
【0011】
一実施形態では、受信された少なくとも1つの車両ステータス信号は、車両の外部の環境のステータスを示す少なくとも1つの信号を含む。別の実施形態では、受信された少なくとも1つの車両ステータス信号は、車両を取り巻く追加の車両のステータスを示す少なくとも1つの信号を含む。
【0012】
一実施形態では、少なくとも1つの車両ステータス信号は、複数の車両ステータス信号を含む。別の実施形態では、所定の事象信号はアラートメッセージを含む。
【0013】
一実施形態では、システムは、少なくとも1つの電子制御ユニットとのデータ通信を制御するように構成された通信制御ユニットをさらに備え、所定の事象信号は、通信制御ユニットの通信機能を無効にするコマンドを含む。別の実施形態では、システムは、少なくとも1つの電子制御ユニットとのデータ通信を制御するように構成された通信制御ユニットをさらに備え、少なくとも1つの異常事象は、複数の異常事象を含み、比較の所定の結果は、蓄積された出力情報が、複数の異常事象のうちの1つの存在を示すことを識別することを含み、所定の事象信号は、複数の異常事象のうちのそれぞれの検出された1つに応答して、複数の所定の事象信号から選択され、ここで、複数の所定の事象信号は、アラートメッセージ、および通信制御ユニットの通信機能を無効にするコマンドを含む。
【0014】
一実施形態では、少なくとも1つの電子制御ユニットは、複数の電子制御ユニットを含み、少なくとも1つのセキュリティモニタは、複数のローカルセキュリティモニタを含み、複数のローカルセキュリティモニタの各々は、複数の電子制御ユニットのそれぞれの1つに関連付けられている。
【0015】
1つの独立した実施形態では、自動車における侵入異常を監視する方法が提供され、この方法は、少なくとも1つの電子制御ユニットについて侵入異常を検出することと、検出された侵入異常に関する情報を出力することと、検出された侵入異常に関する出力情報を蓄積することと、少なくとも1つの所定の車両ステータス信号を受信することと、受信された少なくとも1つの車両ステータス信号に応答して、蓄積された出力情報を異常事象リストと比較することであって、異常事象リストが少なくとも1つの異常事象を含む、比較することと、比較の所定の結果に応答して、所定の事象信号を出力することと、を含む。
【0016】
一実施形態では、この方法は、車両ステータスグレードを決定することをさらに含み、車両ステータスグレードは、受信された少なくとも1つの車両ステータス信号の所定の機能に応答して決定され、異常事象リストは、複数のセットの異常事象リストパラメータ値を含み、比較は、複数のセットの異常事象リストパラメータ値に関して実施され、異常事象リストパラメータ値は、決定された車両ステータスグレードに応じて選択される。別の実施形態では、侵入異常を検出することは、1つ以上のメッセージの所定の属性が所定の検証パラメータ値を満たさないことに応答してのものであり、比較の所定の結果に応答して、この方法は、調整信号を生成することと、生成された調整信号を出力することであって、所定の検証パラメータ値が、出力調整信号に応答して調整される、出力することと、をさらに含む。
【0017】
一実施形態では、受信された少なくとも1つの車両ステータス信号は、車両の少なくとも1つの内部システムの状態を示す少なくとも1つの信号を含む。別の実施形態では、車両の少なくとも1つの内部システムのステータスを示す受信された少なくとも1つの車両状態信号は、車両の速度、車両のステアリングホイール角度、車両が入っているギア、車両のブレーキ、車両のエンジン、または車両のジャイロの位置のステータスを示す少なくとも1つの信号を含む。
【0018】
一実施形態では、受信された少なくとも1つの車両ステータス信号は、車両の外部の環境のステータスを示す少なくとも1つの信号を含む。別の実施形態では、受信された少なくとも1つの車両ステータス信号は、車両を取り巻く追加の車両のステータスを示す少なくとも1つの信号を含む。
【0019】
一実施形態では、少なくとも1つの車両ステータス信号は、複数の車両ステータス信号を含む。別の実施形態では、所定の事象信号は、アラートメッセージを含む。
【0020】
一実施形態では、所定の事象信号は、少なくとも1つの電子制御ユニットとの通信を無効にするコマンドを含む。別の実施形態では、少なくとも1つの異常事象は、複数の異常事象を含み、比較の所定の結果は、蓄積された出力情報が複数の異常事象のうちの1つの存在を示すことを識別することを含み、所定の事象信号は、複数の異常事象のうちのそれぞれの検出された1つに応答して複数の所定の事象信号から選択され、複数の所定の事象信号は、アラートメッセージ、および少なくとも1つの電子制御ユニットへの通信を無効にするコマンドを含む。本発明の追加の特徴および利点は、以下の図面および説明から明らかになるであろう。
【図面の簡単な説明】
【0021】
本発明の様々な実施形態をよりよく理解し、それがどのように実施され得るかを示すために、ここで、純粋に例として、同様の符号が全体を通して対応するセクションまたは要素を示す、添付の図面を参照する。
【0022】
ここで詳細に図面を具体的に参照すると、示される詳細は、例として本発明の好ましい実施形態の例示的な議論のみを目的としており、本発明の原理および概念的側面の最も有用で容易に理解される説明であると考えられるものを提供するという理由で提示されている。これに関して、本発明の基本的な理解に必要である以上に本発明の構造の詳細を示す試みはなされておらず、図面とともに行われた説明は、本発明のいくつかの形態が実際にどのように具体化され得るかを当業者に明らかにしている。添付の図面は以下のとおりである。
【0023】
【図1A-1F】車両環境における侵入異常を監視するシステムの様々な実施形態の高レベルブロック図を示す。
【図2】特定の実施形態による、車両環境における侵入異常を監視するための方法の高レベルフローチャートを示す。
【発明を実施するための形態】
【0024】
本発明の少なくとも1つの実施形態を詳細に説明する前に、本発明が、その適用において、以下の説明に記載されるかまたは図面に例示される構成ならびに構成要素の配置に必ずしも限定されないことを理解されたい。本発明は、他の実施形態に適用可能、または様々な方法で実施されるもしくは行われる。また、本明細書で使用される表現または用語は、説明を目的としたものであり、限定として解釈されるべきではないことを理解されたい。
【0025】
図1Aは、車両環境において侵入異常を監視するシステム10の高レベルブロック図を示し、図1Bは、侵入異常を監視するシステム100の高レベルブロック図を示し、図1Cは侵入異常を監視するシステム200の高レベルブロック図を示し、図1Dは、侵入異常を監視するシステム300の高レベルブロック図を示し、図1Eは侵入異常を監視するシステム400の高レベルブロック図を示し、図1Fは、システム10、100、200、および300のそれぞれの部分の高レベルブロック図を示す。図1A~1Fは一緒に説明される。
【0026】
システム10は、それぞれのセキュリティモニタ30を各々が含む複数のECU20と、異常分析器40と、を備える。各ECU20は、それぞれのセキュリティモニタ30を備えるものとして示されているが、これはいかなる方法でも限定することを意味するものではない。別の実施形態では、各セキュリティモニタ30は、それぞれのECU20の外部に設けられ、それぞれのECU20と通信している。異常分析器40は、セキュリティモニタ30と通信している。
【0027】
システム100は、複数のECU110とセキュリティモニタ120と、異常分析器40と、を備える。セキュリティモニタ120は、ECU110と通信しており、異常分析器40は、セキュリティモニタ110と通信している。システム200は、それぞれのセキュリティモニタ30を各々が含む複数のECU20と、複数のECU110と、セキュリティモニタ120と、異常分析器40と、を備える。セキュリティモニタ120は、ECU110と通信している。異常分析器40は、ECU20のセキュリティモニタ30およびセキュリティモニタ120と通信している。
【0028】
システム300は、イーサネットスイッチ/ハブ310と、通信制御ユニット320と、通信制御ユニット330と、バス340と、複数のECU350と、複数のECU360と、セキュリティモニタ120と、を備える。一実施形態では、イーサネットスイッチ/ハブ310は、イーサネットスイッチまたはイーサネットハブのいずれかである。別の実施形態では、通信制御ユニット320は、スマートアンテナを含む。一実施形態では、通信制御ユニット320は、テレマティック制御ユニット(TCU)を含む。別の実施形態では、通信制御ユニット320は、テレマティクスボックスを含む。一実施形態では、通信制御ユニット320は、ワイヤレスデータリンクを含み、これは、モバイル通信用のグローバルシステム(GSM)、最適化された進化データ(EV-DO)、広帯域コード分割多重アクセス(W-CDMA)、高速パケットアクセス(HSPA)、マイクロ波アクセスニタイスルワールドワイド相互運用性(WIMAX)、および/または長期進化(LTE)と、制限なく、互換性のある機器によって実装され得る。
【0029】
一実施形態では、通信制御ユニット330は、ゲートウェイを含む。別の実施形態では、通信制御ユニット330は、ドメインコントローラユニット(DCU)を含む。一実施形態では、バス340はCANバスである。1つのさらなる実施形態では、通信制御ユニット330は、CANゲートウェイとして作用する。通信制御ユニット320、通信制御ユニット330、およびECU350の各々は、イーサネットスイッチ/ハブ310と通信している。バス340は、通信制御ユニット330と通信しており、ECU360の各々は、バス340と通信している。一実施形態では、セキュリティモニタ120は、イーサネットスイッチ/ハブ310および/または通信制御ユニット330と通信している。さらなる一実施形態では、セキュリティモニタ120は、イーサネットスイッチ/ハブ310のそれぞれのポートに結合されている。別の実施形態(図示せず)では、セキュリティモニタ120は、システム400に示されているように、イーサネットスイッチ/ハブ310内に実装されている。特に、システム400は、セキュリティモニタ120がイーサネットスイッチ/ハブ310内に実装されていることを除いて、すべての点でシステム300と同様である。別の実施形態(図示せず)では、セキュリティモニタ120は、通信制御ユニット320内に実装されている。別の実施形態(図示せず)では、セキュリティモニタ120は、通信制御ユニット330内に実装されている。システム300は、単一のセキュリティモニタ120が提供される実施形態で示されているが、これは、いかなる方法でも限定することを意味するものではない。別の実施形態では、複数のセキュリティモニタ120が提供され、各々がイーサネットスイッチ/ハブ310、通信制御ユニット320および/または通信制御ユニット330と通信している、および/またはその中に実装されている。
【0030】
システム10、100、200、および300は、セキュリティモニタ30および120が異常分析器40から分離されている実施形態で図示され、説明されているが、これは如何なる方法でも限定することを意味するものではない。別の実施形態(図示せず)では、異常分析器40およびセキュリティモニタ30および/または120のうちの1つ以上は、プログラムの異なるコードセクションなどの単一の構成要素として一緒に実装される。
【0031】
システム10、100、200、および300の配置は、限定的と考えられてはならず、その全内容が参照として本明細書に組み込まれる2018年12月30に発行された「Intrusion Anomaly Monitoring In A Vehicle Environment」と題されるPCT公報WO2019/142180,およびその全内容が参照として本明細書に組み込む2019年6月6日に発行された「Data Bus Protection Device and Method」と題される米国特許出願公報S/N US2019/0171813に記載されるように、他の配置が実行され得る。
【0032】
一実施形態では、異常分析器40は、第1の車両内に配置され、第2の車両(図示せず)のセキュリティモニタ30および/または120と通信している。別の実施形態では、異常分析器40は、任意選択的にワイヤレスインターネット接続を介して、外部異常モニタ(図示せず)とさらに通信している。
【0033】
図1Fは、異常分析器40の詳細な実施形態の高レベルのブロック図を示す。図示の実施形態では、異常分析器40は、通信ノード400と、車両信号機能410と、異常機能420と、調整機能430と、メモリ440と、を備える。通信ノード400、車両信号機能410、異常機能420、および調整機能430は、本明細書では別個の構成要素として説明されているが、これはいかなる方法でも限定することを意味するものではない。1つの特定の実施形態では、通信ノード400、車両信号機能410、異常機能420、および調整機能430は各々、プロセッサ上のそれぞれの専用ルーチンによって実施される。車両信号機能410は、一実施形態では、イーサネットスイッチ/ハブ310および/または通信制御ユニット330と通信している。異常分析器40は、関連するメモリを備えたFPGA、マイクロコントローラ、またはプロセッサに実装されてもよく、関連するメモリは、実装されると、説明するタスクを実施する、電子的に読み取り可能な命令を保持する。
【0034】
異常分析器40は、その中に異常事象リストを記憶している。任意選択的には、異常事象リストはメモリ440に記憶される。本明細書で使用される「リスト」という用語は、異常事象リストの情報が何らかの方法で記憶および配置される方法を限定することを意味するものではない。異常事象リストは、少なくとも1つの異常事象、好ましくは複数の異常事象を含む。本明細書で使用される「異常事象リスト」という用語は、少なくとも1つの異常事象の所定の属性に関する情報として意味される。一実施形態では、異常事象リストは、ルールのリストを含み、以下に説明するように、異常分析器40は、受信された侵入異常の異なる属性を所定のルールセットと比較する。
【0035】
一実施形態では、イーサネットスイッチ/ハブ310は、イーサネットスイッチ/ハブ310を通過するすべてのメッセージのコピーをセキュリティモニタ120に向けて送信するようにプログラムされ、その結果、メッセージは、スニッフィングのためにセキュリティモニタ120に可視となる。
【0036】
セキュリティモニタ120が通信制御ユニット330に実装され、通信制御ユニット330がゲートウェイとして実装される一実施形態では、イーサネットスイッチ/ハブ310は、ルーティングのために、パケットのすべてまたは一部をゲートウェイ330に任意選択的に転送する。この場合、一実施形態のセキュリティモニタ120は、すべてのパケット、または検査のために定義された特定のパケットに対して分析を実施する。別の実施形態では、イーサネットスイッチ/ハブ310は、パケットミラーリングを実施して、それぞれのパケットをコピーし、そのコピーをセキュリティモニタ120に送信する。
【0037】
別の実施形態では、イーサネットスイッチ/ハブ310は、ハードウェアに事前定義されたセキュリティポリシーを施行する。例えば、ネットワーキングデバイスの文脈における三値連想メモリ(TCAM)により、ハードウェアに事前定義されたパターンに対する入来するパケットの効率的なパターンマッチングが可能になる。これらの事前定義されたパターンの各々には、構成可能な作用が付いていてもよい。TCAMヒットが発生した場合、つまりパケットが事前定義されたパターンに一致した場合、定義された作用がそれぞれのパケットに対して実行される。一実施形態では、定義された作用は、以下を含む。
1.TCAMヒットを生成したパケットをドロップする。
2.カウンターをインクリメントする。
3.TCAMヒットを生成したパケットの物理的な宛先ポートを変更する。
4.TCAMヒットを生成したパケットをQoSクラス識別子(QCI)ストリームに割り当てる、および/または
5.それぞれのパケットの仮想ローカルエリアネットワーク(VLAN)タグを変更する。
1.TCAMヒットを生成したパケットをドロップする。
2.カウンターをインクリメントする。
3.TCAMヒットを生成したパケットの物理的な宛先ポートを変更する。
4.TCAMヒットを生成したパケットをQoSクラス識別子(QCI)ストリームに割り当てる、および/または
5.それぞれのパケットの仮想ローカルエリアネットワーク(VLAN)タグを変更する。
【0038】
これらの能力を使用して、イーサネットスイッチ/ハブ310は、そのような実施形態では、さらなる分析のために、または報告のために、定義されたパケットをセキュリティモニタ120に転送するように構成される。別の実施形態では、上記のように、セキュリティモニタ120は、イーサネットスイッチ/ハブ310内に実装される。このような実施形態では、TCAMヒットが発生すると、侵入異常はセキュリティモニタ120によって識別され、セキュリティモニタ120は、以下に説明するように、侵入異常を異常分析器40に通知する。
【0039】
1つの非限定的な例では、その内容全体が参照により本明細書に組み込まれるIEEE P802.1Qci標準に記載されているように、所定のレート制限施行がQCIストリームの概念を使用して、パケットに構成される。パケット数が所定のレート制限を超えた場合、イーサネットスイッチ/ハブ310の内部CPUに実装されたセキュリティモニタ120は、その値について定義されたレジスタを読み取り、レート制限違反によりパケットがドロップされたかどうかを検出する。次に、イーサネットスイッチ/ハブ310の内部CPU内のセキュリティモニタ120は、異常分析器40にこの侵入異常について通知する。
【0040】
別の非限定的な例では、イーサネットスイッチ/ハブ310内のTCAMの1つは、許可されていないパケットの場合にパケット宛先を変更するように構成される。一実施形態では、新しいパケット宛先は、セキュリティモニタ120である。別の実施形態では、上記のように、セキュリティモニタ120がイーサネットスイッチ/ハブ310内に実装され、TCAMヒットに応答して、以下に説明するように、セキュリティモニタ120は、これを侵入異常として検出し、侵入異常に関する情報を異常分析器40に出力する。さらなる一実施形態では、セキュリティモニタ120は、パケットのパケット宛先を異常分析器40に変更することで、異常分析器40にパケット全体を提供する。
【0041】
別の非限定的な例では、イーサネットスイッチ/ハブ310内のTCAMの1つは、VLAN IDを、検出された侵入異常に関する情報を符号化する固有のIDに変更する。そのような実施形態では、異常分析器40、および/またはセキュリティモニタ120は、VLAN IDのメンバーであり、それぞれのパケットを受信する。
【0042】
システム10、100、200、300は各々、異常分析器40がセキュリティモニタ30および/またはセキュリティモニタ120と直接通信している実施形態に示されているが、これはいかなる方法でも限定することを意味するものではない。別の実施形態(図示せず)では、以下に説明するように、様々なセキュリティモニタ30、またはセキュリティモニタ120と異常分析器40との間の通信を実施する1つ以上の追加の構成要素が提供される。特に、一実施形態では、診断通信マネージャ(DCM)が提供され、これは、セキュリティモニタ30および/またはセキュリティモニタ120と異常分析器40との間の通信を実施する。システム10、100、200、300は各々、複数のECUを備えるものとして本明細書に図示され、説明されているが、これはいかなる方法でも限定することを意味するものではない。別の実施形態(図示せず)では、単一のECU20、110、350、または360が提供される。システム10、100、200および300の動作が一緒に説明される。
【0043】
図2は、特定の実施形態による、車両環境における侵入異常を監視するための方法の高レベルフローチャートを示す。図2の方法は、システム10、100、200、および300に関連して本明細書で説明されるが、これはいかなる方法でも限定することを意味するものではなく、図2の方法は、範囲を超えることなく、すべての好適なシステムによって実装され得る。ステージ1000において、セキュリティモニタ30および/またはセキュリティモニタ120は、それぞれのECU20、110、350、および360に関連する侵入異常を検出する。本明細書で使用される「侵入異常」という用語は、自動車通信ネットワークの任意の部分に侵入しようとする攻撃者による試みに関連する異常として定義される。これには、ネットワークを介して送信されるデータの統計的異常、例えば、分散型サービス拒否(DDOS)攻撃、ECUのメディアアクセス制御(MAC)アドレスをスプーフィングする試み、ポートのインターネットプロトコル(IP)アドレスからのサブスクリプションリクエスト、IPを介したスケーラブルなサービス指向のミドルウェア(SOME/IP)情報における不正確な値、事前定義されたモデルまたはルールから逸脱する信号、スタックオーバーフロー、およびリターン指向のプログラミング攻撃を含むが、これらに制限されない。
【0044】
一実施形態では、セキュリティモニタ30および/またはセキュリティモニタ120は、それぞれのECU20、110、350、および360に向けられたメッセージを監視する。システム300の実施形態では、セキュリティモニタ120は、イーサネットスイッチ/ハブ310上の活動を監視することによって、それぞれのECU350および/または360にアドレス指定されたメッセージを任意選択的にスヌープするか、または能動的にブロックする。別の実施形態では、セキュリティモニタ120は、バス340で向けられたメッセージを監視する。別の実施形態(図示せず)では、1つ以上のセキュリティモニタ30および/または120は、通信制御ユニット320および/または通信制御ユニット330で向けられたメッセージを監視して、そこで向けられた侵入異常を決定する。
【0045】
一実施形態では、1つ以上のメッセージの少なくとも1つの所定の属性が、侵入異常を識別するために、所定の検証パラメータの1つ以上の値と比較される。さらなる一実施形態では、機械学習アルゴリズムを使用して、信号の相関関係を事前定義されたモデルと比較する。信号が事前定義されたモデルから逸脱した場合、侵入異常が検出される。一実施形態では、受信された各メッセージはスヌープされ、スヌープされたメッセージのソースアドレスおよびターゲットアドレスは、妥当性を決定するために許容可能なアドレスの所定のリストと比較される、すなわち、所定の属性が、ソースアドレスおよびターゲットアドレスおよび/またはポート番号である。特に、イーサネットパケットには、ソースと宛先のメディアアクセス制御(MAC)アドレスとインターネットプロトコル(IP)アドレス、およびそれぞれのポート番号に関する情報が含まれている。一実施形態では、それぞれのセキュリティモニタ30、または120は、これらのアドレスを、許容可能なソースおよび宛先アドレスの所定のリストと比較する。別の実施形態では、それぞれのセキュリティモニタ30または120は、ソースのIPアドレスおよびMACアドレスが同じコンポーネントに属するかどうかを決定する。別の実施形態では、それぞれのセキュリティモニタ30または120は、それぞれのIPアドレスおよびポート番号を有するソースが、それぞれのIPアドレスおよびポート番号を有する宛先にデータを送信することが認可されているかどうかを決定する。上記のアドレスのいずれかまたはアドレス関連が無効である場合、すなわち、メッセージの少なくとも1つの所定の属性が所定の検証パラメータの有効な値を満たさない場合、メッセージは異常なメッセージであると判断され、侵入異常が検出される。
【0046】
別の実施形態では、受信された各メッセージがスヌープされ、スヌープされたメッセージのパケットが分析されて、メッセージ内のすべての異常が決定される。さらなる一実施形態では、メッセージを分析して、メッセージ内の値がそれぞれの宛先に対して有効であるかどうか、すなわち、メッセージの所定の属性がそれぞれの値および宛先であるか否かが決定される。例えば、ステアリングホイールを対象とするメッセージでは、ステアリングホイールの角度を調整するための値は、それが所定のステアリングホイールの角度の範囲内にある場合にのみ有効である。所定のハンドル角度範囲外の場合、メッセージは異常メッセージと決定され、侵入異常が検出される。
【0047】
別のさらなる実施形態では、それらの間に特定の関係を有する複数の信号よりなるメッセージにおいて、それぞれのセキュリティモニタ30、または120は、関係が有効か否か、すなわち、メッセージの所定の属性が、複数の信号値間の関係かを決定する。例えば、4つの信号を含む車輪速度に関するメッセージが受信され、4つの信号は、信号a-右前輪速度、信号b-左前輪速度、信号c-左後輪速度、信号d-左後輪速度である。1つの非限定的な実施形態では、そのような例では、メッセージパケットのペイロードは8バイトであり、各信号はパケットのうちの2バイトを含む。それぞれのセキュリティモニタ30、または120は、限定されないが、信号aの値と信号bの値との間の差、信号bの値と信号cの値の差、任意選択的に、信号a、b、c、dの各2つの間の差を決定する。それぞれのセキュリティモニタ30、または120は、決定された差を1つ以上のそれぞれの所定の閾値と比較する、すなわち、所定の検証パラメータの値が、それぞれの閾値である。決定された差または複数の差がそれぞれの閾値または複数の閾値よりも大きい場合、メッセージは異常なメッセージであると決定され、侵入異常が検出される。
【0048】
別の実施形態では、受信された各メッセージがスヌープされ、スヌープされたメッセージのパケットが統計的に分析されて、メッセージの異常が決定される、すなわち、所定の属性が複数の受信メッセージに関連する。さらなる一実施形態では、所定の属性は、メッセージのタイムスタンプであり、以前に受信された複数のメッセージに関連している。例えば、それぞれのセキュリティモニタ30または120は、所定の時間間隔内にどれだけのメッセージを受信されたかを決定する。合計で、または現在のメッセージを含み、特定のECU20、110、350、または360にアドレス指定された、所定の時間間隔内に受信された数が所定の閾値よりも大きい場合、侵入異常が検出される。特に、所定の検証パラメータの値は、所定の時間間隔内に受信されたメッセージの数のそれぞれの閾値である。当業者に知られているように、サービス拒否攻撃の場合、任意の時間間隔のメッセージの合計数が増加し、それぞれのセキュリティモニタ30、または120は、そのような攻撃を検出することができる。
【0049】
別のさらなる実施形態では、所定の属性は、第1のメッセージのペイロード信号の値と第2のメッセージの対応するペイロード信号の値との間の差である。例えば、システム300の実施形態では、バス340に向けられた第1のメッセージは、車速の信号を含み、それぞれのECU350に向けられた第2のメッセージは、自動運転支援システム(ADAS)の信号を含み。セキュリティモニタ120は、第1のメッセージのそれぞれの信号の値と第2のメッセージのそれぞれの信号の値との間の差を決定する。差が所定の閾値よりも大きい場合、メッセージは異常であると決定され、侵入異常が検出される。
【0050】
別の実施形態では、周期信号、すなわち、適切な動作のために特定のシステムに何度も送られるコマンドの場合、周期性が変化されるときに異常が検出される。具体的には、受信されたメッセージの周期性が所定の閾値より増加または減少すると、侵入異常が検出される。
【0051】
一実施形態では、各セキュリティモニタ30および/または120は、1つ以上の所定の重大度ルールに従って、任意の検出された侵入異常の重大度をさらに決定する。一実施形態では、3つの異なるレベルの重大度が割り当てられるが、これはいかなる方法でも限定することを意味するものではない。別の実施形態では、所定の重大度のルールは、限定されないが、特定のシステムへのコマンドとそのシステムの現在の状態との間の差、異常メッセージの対象となるシステム、すなわち重要なシステムおよび安全システムを対象とする異常メッセージにはより高い重大度の評価が割り当てられるシステム、および周期信号の場合、周期性が乱れる程度のうちの1つ以上を含む。
【0052】
特に、特定のシステムへのコマンドとそのシステムの現在の状態との間の差は、一実施形態では、コマンドが実行された後のシステムの将来的な状態とシステムの現在の状態と比較することによって測定される。例えば、特定のコマンドを受信された後に車両が達成する速度は、車両の現在の速度と比較される。コマンドが侵入異常として検出された場合、差が大きいと異常の重大度が高くなり、より高い重大度の評価が割り当てられる。周期信号、すなわち適切な動作のために特定のシステムに何度も送られるコマンドの場合、一実施形態では、上記のように、周期性が変化されたときに侵入異常が検出される。具体的には、受信されたメッセージの周期性が所定の閾値よりも増加または減少すると、侵入異常が検出される。所定の閾値からの周期性距離の距離が重大度を決定する。距離が大きい場合、重大度の評価が高くなる。距離が小さい場合、重大度の評価が低くなる。
【0053】
一実施形態では、より高い値がより高い重大度評価に割り当てられ、より低い値がより低い重大度評価に割り当てられるが、これはいかなる方法でも限定することを意味するものではない。上記は、セキュリティモニタ30および/または120によって重大度が決定される実施形態に関連して説明されてきたが、これは、いかなる方法でも限定することを意味するものではない。別の実施形態では、異常分析器40は、セキュリティモニタ30および/または120と協力して、またはそれ自体で、侵入異常の重大度を決定する。
【0054】
ステージ1010において、セキュリティモニタ30および/または120は、ステージ1000の検出された侵入異常に関する情報を異常分析器40に出力する。一実施形態では、出力情報は、インターネットプロトコルを介した診断(DoIP)、伝送制御プロトコル(TCP)、統一診断サービス(UDS)および/またはユーザーデータグラムプロトコル(UDP)を使用して送信される。
【0055】
一実施形態では、セキュリティモニタ30および/または120は、検出された侵入異常に関する情報を含むよう診断異常コード(DAC)を生成する。本明細書で使用されるDACという用語は、適切な構成から逸脱する異常を示すコードとして意味される。DTCとは対照的に、以下により詳細に説明するように、DACは、セキュリティ上の欠陥、安全上の欠陥、ハッキングの識別などの複雑な異常に対して、異常コードを提供する。例えば、DDOS攻撃が検出された場合、各アクセスの試みは適切なため、そのような攻撃は標準DTCに関連する異常を構成しない。アクセスの試みの蓄積が検出された場合のみ、セキュリティモニタ30および/または120によってDDOS攻撃が検出され、適当なDACが生成される。さらに、以下に説明するように、DTCは典型的には、サイズが制限されており、通常2バイトのデータしか含めることができないが、DACは、より大きく、より多くのデータを含めることができる。
【0056】
一実施形態では、各DACは、それぞれの侵入異常を示している。別の実施形態では、同じDACが各侵入異常に対して生成され、DACのペイロードは、検出されたそれぞれの侵入異常を示す情報を運ぶ。一実施形態では、セキュリティモニタ30および/または120は、関連情報を診断イベントマネージャ(DEM)に出力し、DEM(図示せず)は、それぞれのDACを生成する。一実施形態では、出力情報は、侵入異常のタイプ、侵入異常の重大度、およびすべての他の関連情報を含む。
【0057】
一実施形態では、セキュリティモニタ30および/または120は、検出された侵入異常に関する情報をそれぞれのメモリ(図示せず)に記憶する。さらなる一実施形態では、異常分析器40は、検出されたすべての侵入異常に関する情報を定期的に要求する。別のさらなる実施形態では、セキュリティモニタ30および/または120は、所定の時間間隔で、または所定のルールに応答して、そこからの要求を受信することなく、記憶された情報を異常分析器40に定期的に送信する。さらなる一実施形態では、所定のルールは、一旦少なくとも所定の数の侵入異常が検出されると情報を送信すること、所定の値の重大度を示す少なくとも所定の数の侵入異常が検出されると情報を送信すること、および/または一旦ECU20、110、350および/または360の少なくとも所定の数またはタイプに関連する少なくとも所定の数の侵入異常だと、情報を送信すること、を含む。別の実施形態では、検出された侵入異常に関する情報は、ECU20、110、350、および/または360に関連する任意のDTCとともに送信される。別の実施形態では、各検出された侵入異常に関する情報は、それぞれの侵入異常が検出されると、異常分析器に送信される。
【0058】
1つの非限定的な実施形態では、各それぞれの侵入異常の情報を含む出力メッセージは、次のフィールドを含む:任意選択的には1バイトのサイズのメッセージ長、任意選択的には4バイトのサイズのメッセージ識別子、任意選択的には1バイトのサイズの異常タイプ、任意選択的には1バイトのサイズの異常サブタイプ、任意選択的には1バイトのサイズの異常の決定された重大度、任意選択的には1バイトのサイズの第1の値のフィールド、および、任意選択的には4バイトのサイズの任意の第2の値のフィールド。
【0059】
例えば、ステアリングホイールの角度の値が所定の有効な角度範囲の最大値より10度大きく、異常の重大度が2であることを示す異常の場合、メッセージは任意選択的に次のようになる。
【表1】
【0060】
このような例では、第2の値のフィールドは利用されない。別の例では、重大度が3で、信号「a」の値と信号「b」の値の差が所定の閾値よりも大きいことを示す異常の場合、メッセージは任意選択的に次のようになる。
【表2】
【0061】
このような例では、第2の値のフィールドは、実際の偏差値とともに実際の信号値を送信するために利用される。上記のように、同じメッセージが信号「c」および「d」を追加で含む場合、メッセージは任意選択的に次のようになる。
【表3】
【0062】
したがって、2つのDACメッセージが同じメッセージに対して送られる。
【0063】
無効なMACアドレスが検出される別の例では、上記のように、メッセージは任意選択的に次のようになる。
【表4】
【0064】
MACアドレスの長さは6バイトで、第1の値のフィールドの長さは2バイトしかないため、第2の値のフィールドもMACアドレスに使用される。上記のように、無効性になる可能性があるのは、それぞれのMACアドレスを表すソースが、それぞれのIPアドレスを表すそれぞれの宛先にメッセージを送ることが許可されていない場合である。したがって、異常サブタイプはMACアドレスとIPアドレスの不一致である。
【0065】
別の例では、上記のように、2つのメッセージ間の値の不一致の異常の場合、メッセージは任意選択的に次のとおりになる。
【表5】
【0066】
上記の例は、メッセージが15バイトの長さを表す実施形態を示しているが、これはいかなる方法でも限定することを意味するものではなく、様々な長さのメッセージが生成され得る。上記の例は、異常の関連情報が単一のメッセージで送信される実施形態を示しているが、これはいかなる方法でも限定することを意味するものではなく、検出された侵入異常ごとに複数のメッセージを生成され得る。
【0067】
ステージ1020において、異常分析器40は、検出された侵入異常に関するステージ1010の受信された出力情報を蓄積する。任意選択的には、受信された情報はメモリ440に記憶される。ステージ1030において、異常分析器40は、少なくとも1つの車両ステータス信号を受信する。一実施形態では、少なくとも1つの車両ステータス信号は、車両信号機能410によって受信される。別の実施形態では、少なくとも1つの車両ステータス信号は、イーサネットスイッチ/ハブ310および/または通信制御ユニット330から受信される。本明細書で使用される「車両ステータス信号」という用語は、車両の特定のシステムの現在の状態を表す信号、および/または車両の外部の状態を表す信号として定義される。具体的には、一実施形態では、少なくとも1つの車両ステータス信号は、限定されないが、車両の速度、初期位置に関連するステアリングホイールの角度、車両が入っているギア、ブレーキの位置、車両のエンジンのステータス、例えば、1分間当たりの回転数(RPM)、および/または初期位置に関連する車両のジャイロの位置を含む。さらなる一実施形態では、少なくとも1つの車両ステータス状態信号は、環境条件、例えば、天候の所定の属性、車両の外側の照明の量および/またはタイプ、または車両が走行している道路の状態をさらに含む。このような信号は、車両の専用センサーから受信されるか、および/またはインターネットなどの外部ソースから受信される。別のさらなる実施形態では、少なくとも1つの車両ステータス信号は、周囲の車両のステータス、例えば、最も近い車両からの距離、周囲の車両の速度、および/または周囲の車両の角運動量をさらに含む。このような信号は、レーダーシステムから、および/または車両間(V2V)通信を介して受信される。
【0068】
さらなる一実施形態では、少なくとも1つの車両ステータス信号は、それぞれの所定の閾値に関連している。一例では、車両の速度が所定の速度閾値と比較され、車速が所定の速度閾値よりも大きいか、または所定の速度閾値よりも小さいかが決定される。別の例では、初期位置に対するステアリングホイールの角度が所定の角度閾値と比較され、ステアリングホイール角度が所定の角度閾値よりも大きいか、または所定の角度閾値よりも小さいかが決定される。
【0069】
別の例では、車両の現在のギアが所定のギア閾値と比較され、車両の現在のギアが所定のギア閾値よりも大きいか、または所定のギア閾値よりも小さいかが決定される。別の例では、ブレーキの位置が所定のブレーキ閾値と比較され、現在のブレーキ位置が所定のブレーキ閾値よりも大きいか、または所定のブレーキ閾値よりも小さいかが決定される。1つの非限定的な実施形態では、所定のブレーキ閾値は.
BTH=|MAX-MIN|/2 EQ.1
として提供され、MAXはブレーキが完全に押し下げられたときの位置であり、MINはブレーキが押し下げられていないときの位置である。
BTH=|MAX-MIN|/2 EQ.1
として提供され、MAXはブレーキが完全に押し下げられたときの位置であり、MINはブレーキが押し下げられていないときの位置である。
【0070】
別の例では、エンジンのRPMが所定のRPM閾値と比較され、現在のRPM値が所定のRPM閾値よりも大きいか、または所定のRPM閾値よりも小さいかが決定される。別の例では、初期位置に対するジャイロの位置が所定のジャイロ閾値と比較され、現在のジャイロ位置値が所定のジャイロ閾値よりも大きいか、または所定のジャイロ閾値よりも小さいかが決定される。
【0071】
一実施形態では、所定の閾値との比較は、車両信号機能410によって実施される。別の実施形態では、比較は、車両内の他のシステムによって実施され、車両ステータス信号の相対値、すなわち、各信号とそれぞれの所定の値との関係は、車両信号機能410によって受信される。例えば、異常分析器40の外部にある専用システムは、車両が高速または低速のどちらで走行しているかを決定し、車両信号機能410は、車両の速度が高速か低速かを示すそれぞれの信号を受信する。
【0072】
任意選択的はステージ1040において、異常分析器40は、受信された少なくとも1つの車両ステータス信号の各々のグレードを決定し、1つ以上の所定のグレード付けルールにさらに応答する。任意選択的には、グレードは、車両信号機能410によって決定される。1つの非限定的な実施形態では、第1のグレード値は、それぞれの車両ステータス信号値がゼロに等しいときに割り当てられる。そのような実施形態では、第2のグレード値は、それぞれの車両ステータス信号値がゼロよりも大きいが、それぞれの所定の閾値よりも小さいときに割り当てられる。例えば、車両の速度がゼロより大きく、所定の速度閾値よりも小さい場合、第2のグレード値が車速に割り当てられる。さらに、それぞれの車両ステータス信号値がそれぞれの所定の閾値以上である場合、第3グレードの値が割り当てられる。
【0073】
任意選択的なステージ1050において、現在の車両のステータスの合計グレードは、ステージ1030の受信された少なくとも1つの車両ステータス信号および所定のグレード付けルールに応じて、異常分析器によって、任意選択的には、車両信号機能410によって決定される。一実施形態では、所定のグレード付けルールが次のように提供される。
TG=f(speed_g、angle_g、gear_g、brake_g、engine_g、gyro_g) EQ.2
ここで、TGは現在の車両ステータスの合計グレード、speed_gは任意のステージ1030の車速グレード、angle_gはステアリングホイールの角度グレード、gear_gはギアグレード、brake_gはブレーキグレード、engine_gはエンジンステータスのグレードであり、gyro_gはジャイロのステータスのグレードであり、上記のように、fは、相手先商標製造会社(OEM)によって定義されることが好ましい関数である。1つの非限定的なさらなる実施形態では、合計グレードは次のように定義される:
TG=w1*(speed_g)+w2*(angle_g)+w3*(gear_g)+w4*(brake_g)+
w5*(engine_g)+w6*(gyro_g) EQ.3
ここで、w1は任意のステージ1040の車速グレードに対する所定の重み、w2は任意のステージ1040のステアリングホイール角度のグレードに対する所定の重み、w3は任意のステージ1040のギアステータスのグレードに対する所定の重み、w4は任意のステージ1040のブレーキステータスのグレードに対する所定の重み、w5は任意のステージ1040のエンジンステータスのグレードに対する所定の重み、w6は任意のステージ1040のジャイロステータスのグレードに対する所定の重みである。
TG=f(speed_g、angle_g、gear_g、brake_g、engine_g、gyro_g) EQ.2
ここで、TGは現在の車両ステータスの合計グレード、speed_gは任意のステージ1030の車速グレード、angle_gはステアリングホイールの角度グレード、gear_gはギアグレード、brake_gはブレーキグレード、engine_gはエンジンステータスのグレードであり、gyro_gはジャイロのステータスのグレードであり、上記のように、fは、相手先商標製造会社(OEM)によって定義されることが好ましい関数である。1つの非限定的なさらなる実施形態では、合計グレードは次のように定義される:
TG=w1*(speed_g)+w2*(angle_g)+w3*(gear_g)+w4*(brake_g)+
w5*(engine_g)+w6*(gyro_g) EQ.3
ここで、w1は任意のステージ1040の車速グレードに対する所定の重み、w2は任意のステージ1040のステアリングホイール角度のグレードに対する所定の重み、w3は任意のステージ1040のギアステータスのグレードに対する所定の重み、w4は任意のステージ1040のブレーキステータスのグレードに対する所定の重み、w5は任意のステージ1040のエンジンステータスのグレードに対する所定の重み、w6は任意のステージ1040のジャイロステータスのグレードに対する所定の重みである。
【0074】
上記のように、一実施形態では、少なくとも1つの車両ステータス信号は、環境条件および/または周囲の車両のステータスをさらに備える。そのような実施形態では、EQ.2の関数は、任意のステージ1040に関して上記で説明したように、任意選択的にグレード付けされるこれらの信号をさらに含む。したがって、車両が危険にさらされているレベルをより正確に示すことができる。
【0075】
任意のステージ1040~1050は、受信された車両ステータス信号にグレードが割り当てられる実施形態に関連して説明されてきたが、これは如何なる方法でも限定することを意味するものではない。別の実施形態では、実際のグレード値を割り当てることなく、受信された車両ステータス信号の情報を利用する別の方法を使用することができる。
【0076】
任意のステージ1060において、異常分析器40、任意選択的には、異常機能420によって、各異常の持続時間、すなわち、それぞれのシステムの所定の時間期間内の異常メッセージの数が決定される。
【0077】
ステージ1070において、異常分析器40は、ステージ1030の受信された少なくとも1つの車両ステータス信号に応答して、ステージ1020の検出された侵入異常に関する蓄積された出力情報を異常事象リストと比較する。上記のように、一実施形態では、異常事象リストは、メモリ440に記憶される。任意選択的には、比較は、異常機能420によって実施される。
【0078】
比較は、アイテム比較により直接アイテムに限定されるものではなく、値の範囲の識別、または値の変換は、範囲を超えずに利用でき、1つ以上の所定の異常事象リストルールに従っている。1つの特定の実施形態では、異常事象リスト内の各異常事象は、所定のパラメータのセットを含み、検出された侵入異常または複数の異常の所定の属性がそれぞれのパラメータの値を満たすときに異常事象が検出される。一実施形態では、所定のルールセットは、上記のように、受信された検出された異常の数、検出された異常の厳しさ、検出された異常の持続時間、および/または検出された異常の対象となるECUの数を含むが、これらに制限されない、複数の所定のパラメータを備える。一実施形態では、重大度および/または持続時間は、それぞれ、最高の重大度および最長の持続時間を有する異常に関連して決定される。別の実施形態では、重大度および/または持続時間は、検出された異常の所定の数またはパーセンテージに関連して決定される。
【0079】
例えば、異常分析器40は、重大度のグレードが2より大きい異常が2つ以下であることなどをチェックする。一実施形態では、異常事象リストに設定された各ルールは、警告インジケータが送られるかどうかを示す関連フラグを有する、および/または通信が無効にされる。代替の実施形態では、複数の異常事象リストが提供され、各々が関連する1つまたは複数の作用を伴う。別の実施形態では、関連する作用は、検出された異常の特定のタイプまたは複数のタイプに応答する。
【0080】
さらに、上記のように、異常事象リストとの比較は、ステージ1030の受信された少なくとも1つの車両ステータス信号に関連してさらに実施される。特に、一実施形態では、比較は、EQ.2に関連して上記で説明した、車両ステータスの決定された合計グレードTGに関連して実施される。さらなる一実施形態では、異常事象リストの所定のイベントのパラメータ値は、合計グレードの値に従って決定される。
【0081】
異常事象リスト内の複数の異常事象の非限定的な例を表1に示す。
【表6】
【0082】
TG1とTG2は異なる合計グレードTGであり、TG2はTG1よりも大きく、t1は、所定の持続時間閾値である。本例の異常事象は、それぞれのグレードTGに従って、異なるルールセットによって定義されている。受信された検出された異常がルールセットのパラメータ値を満たす場合、異常事象が発生したと決定される。表1に示すように、異なるグレードTGには、異なるルールセットがある。例えば、上記のように、合計グレードTGが大きい場合、異常事象を識別するために、より多くの数のタイプおよび/または異常が必要になる。これは、合計グレードTGが高いほど車両の危険性が高いことを示しているため、誤検知の数を減らすようにルールセットが配置されているためである。しかしながら、これはいかなる方法でも限定することを意味するものではなく、異なるルールセットは、任意の所定の関連ルールに従って、異なるそれぞれの合計グレードTGに関連付けられる。例えば、ルールセット3で説明されるように、重大度が高い異常の場合、明確で車両に危険な状況を迅速に引き起こす可能性のある異常に迅速に対応するよう、合計グレードTGが高いほど異常が少なくて済む。
【0083】
一例では、合計で2つのメッセージを受信すると次のようになる。
および
合計車両グレードTG1については、侵入異常はルールセット1の条件を満たしているため、すなわち、タイプの異なる2つの異常があり、重大度が2を超えているため、異常事象リストのそれぞれのパラメータを満たしている。
【表7】
【表8】
【0084】
しかしながら、次の異常は、異常事象リストのそれぞれのパラメータを満たしていない、すなわち、どのルールセットの条件も満たしていない。
および
重大度が2を超える異常が2つあるが、異常は同じタイプであるため、ルールセット1、ルールセット2、またはルールセット3の条件を満たしていない。
【表9】
【表10】
【0085】
上記は異常のタイプに関連して説明されているが、これはいかなる方法でも限定することを意味するものではない。別の実施形態では、異常事象リストのルールセットは、異常のタイプに関する条件に加えて、異常のサブタイプに関する条件をさらに含む。
【0086】
ステージ1080において、ステージ1070の比較の所定の結果に応答して、異常分析器40は、少なくとも1つの所定の事象信号を出力する。所定の事象信号は、異常事象が検出されたことを示すことを含む。一実施形態では、ステージ1070の比較の第1の結果に応答して、所定の事象信号が出力され、ステージ1070の比較の第2の結果に応答して、所定の事象信号が出力されない。第1の結果は、異常事象が検出されたという決定であり、第2の結果は、異常事象が検出されなかったという決定である。比較が、それぞれの侵入異常の所定の属性が異常事象リスト内の異常事象の所定のパラメータの値を満たすかどうかを決定する上記で説明した実施形態では、比較の第1の結果は、それぞれの侵入異常の所定の属性が、異常事象の所定のパラメータの値を満たすという決定であり、比較の第2の結果は、それぞれの侵入異常の所定の属性が、異常事象の所定のパラメータの値を満たさないという決定である。
【0087】
一実施形態では、所定の事象信号は、複数の所定の事象信号から選択される。複数の所定の事象信号は、アラートメッセージ、および所定の時間間隔の間、ECU20、110、350および/または360への通信を無効にするコマンドを含む。一実施形態では、通信を無効にすることは、通信制御ユニット320または通信制御ユニット330の通信機能を無効にすることを含む。さらなる一実施形態では、アラートメッセージはサーバーに送信される。別のさらなる実施形態では、アラートメッセージは、車両の運転者に表示される。任意選択的には、表示されたアラートメッセージは、運転者に車を道の片側に寄せて停止するように促すことができる。さらに、任意選択的には、自動運転車では、アラートメッセージは、車を道の片側に寄せて停止させることができる。一実施形態では、通信制御ユニット320または通信制御ユニット330の通信機能を無効にするコマンドは、ISO 14229-1で定義されているように、統一診断サービス(UDS)プロトコルメッセージを利用することによって実施される。この特定の実施形態では、異常分析器40は、通信制御ユニット320または通信制御ユニット330をメッセージの対象として、UDSを介したサービス0x31リクエストを使用して、通信制御ユニット320または通信制御ユニット330の状態を、すべての入来するリクエストをブロックするように、変更する。
【0088】
一実施形態では、所定の事象信号は、複数の異常事象のうちのそれぞれの検出された1つに応答する複数の事象信号から選択される、すなわち、検出された異常事象ごとに、異なる所定の事象信号が選択される。別の実施形態では、アラートメッセージが常に生成され、通信制御ユニット320または通信制御ユニット330の通信機能を無効にするコマンドは、ある所定の異常事象の検出、および/または所定の車両グレードなどの1つ以上の所定のパラメータを満たす受信された少なくとも1つの車両信号に応答してのみ生成される。
【0089】
任意選択的なステージ1090において、ステージ1080の検出された異常事象に応答して、異常分析器40、任意選択的にはその調整機能430が調整信号を生成し、ECU20、110、350、もしくは360、セキュリティモニタ30および/もしくは120、または通信制御ユニット320および/もしくは330のうち1つ以上に出力される。生成された調整信号に応答して、将来的な異常識別は、調整された検証値のセットに従って実施される。特に、上記のように、異常は、所定のセットの異常ルールに応答して検出される。異常事象が検出された場合、セキュリティリスクが高まるため、より厳格なセットの異常ルールが利用される。例えば、サービス拒否攻撃が検出された場合、生成された調整信号により、セキュリティモニタ30および/または120は、異常の検出をトリガーする所定の時間間隔内のメッセージの数が減少するように、それぞれの検証値を調整する。
【0090】
明確にするために別個の実施形態に関連して説明される本発明のある特定の特徴は、単一の実施形態に組み合わせて提供することもできることが理解される。逆に、簡略化のために単一の実施形態の文脈で説明される本発明の様々な特徴もまた、別個にまたは任意の好適なサブ組み合わせで提供され得る。特に、本発明は、クラスによる各動力デバイスの識別で説明されてきたが、これは、いかなる方法でも限定することを意味するものではない。代替の実施形態では、すべての動力デバイスは等しく扱われ、したがって、関連する動力要件によるクラスの識別は必要とされない。
【0091】
別段に定義されない限り、本明細書で使用されるすべての専門用語および/または科学用語は、本発明が帰属する技術分野の当業者によって一般に理解されるのと同意を有する。本明細書に説明されているものと同様または同等の方法を本発明の実施または試験に使用することができるが、本明細書には好適な方法が記載されている。
【0092】
本明細書で言及されるすべての刊行物、特許出願、特許、および他の参考文献は、それらの全体が参照によって組み込まれる。矛盾する場合は、定義を含む本特許明細書が優先される。さらに、材料、方法、および例は、単なる例示であり、限定することを意図していない。
【0093】
当業者には、本発明が、上で特に示され説明されたものによって限定されないことが理解されよう。むしろ、本発明の範囲は、添付の特許請求の範囲によって定義され、上記の様々な特徴の組み合わせおよびサブ組み合わせの両方、ならびに前述の説明を読んだときに当業者に生じるであろうそれらの変形および修正を含む。
【図1A】
【図1B】
【図1C】
【図1D】
【図1E】
【図1F】
【図2】
【国際調査報告】