JP6483461B2 - Management method, management program, management device, management system, and information processing method - Google Patents
Management method, management program, management device, management system, and information processing method Download PDFInfo
- Publication number
- JP6483461B2 JP6483461B2 JP2015025857A JP2015025857A JP6483461B2 JP 6483461 B2 JP6483461 B2 JP 6483461B2 JP 2015025857 A JP2015025857 A JP 2015025857A JP 2015025857 A JP2015025857 A JP 2015025857A JP 6483461 B2 JP6483461 B2 JP 6483461B2
- Authority
- JP
- Japan
- Prior art keywords
- transmission
- information
- control device
- management
- control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000007726 management method Methods 0.000 title claims description 172
- 230000010365 information processing Effects 0.000 title claims description 12
- 238000003672 processing method Methods 0.000 title claims description 6
- 230000005540 biological transmission Effects 0.000 claims description 272
- 238000012545 processing Methods 0.000 claims description 62
- 238000000034 method Methods 0.000 claims description 34
- 230000002159 abnormal effect Effects 0.000 claims description 30
- 238000004891 communication Methods 0.000 claims description 30
- 230000008569 process Effects 0.000 claims description 29
- 238000012795 verification Methods 0.000 claims description 13
- 230000007613 environmental effect Effects 0.000 claims description 8
- 230000004044 response Effects 0.000 claims description 5
- 238000004364 calculation method Methods 0.000 claims description 2
- 238000007689 inspection Methods 0.000 description 150
- 239000003795 chemical substances by application Substances 0.000 description 88
- 230000005856 abnormality Effects 0.000 description 20
- 230000006870 function Effects 0.000 description 14
- 238000012986 modification Methods 0.000 description 11
- 230000004048 modification Effects 0.000 description 11
- 230000004913 activation Effects 0.000 description 4
- 230000004075 alteration Effects 0.000 description 4
- 238000005259 measurement Methods 0.000 description 3
- 239000000969 carrier Substances 0.000 description 2
- 238000003745 diagnosis Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000005764 inhibitory process Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004171 remote diagnosis Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Landscapes
- Selective Calling Equipment (AREA)
Description
本発明は、管理方法、管理プログラム、管理装置、管理システムおよび情報処理方法に関する。 The present invention relates to a management method, a management program, a management device, a management system, and an information processing method.
管理装置が管理対象の装置の状態を遠隔的に監視するシステムがある。関連する技術として、昇降機に接続された遠隔監視端末が、公衆回線網にデータを送出する際のデータ送出レベルを自動調整する技術が提案されている。この技術は、上記のデータ送出レベルを監視センタとの通信が安定して行える安定送出レベル範囲内で高低いずれのレベル側にも余裕を持った値に設定している(例えば、特許文献1参照)。 There is a system in which a management device remotely monitors the status of a device to be managed. As a related technique, a technique for automatically adjusting a data transmission level when a remote monitoring terminal connected to an elevator transmits data to a public line network has been proposed. In this technique, the above data transmission level is set to a value having a margin on either the high or low level within a stable transmission level range in which communication with the monitoring center can be performed stably (see, for example, Patent Document 1). ).
管理装置が管理対象の装置の状態を管理する場合、管理対象の装置は、状態に関する情報を管理装置に送信する。管理対象の装置に対して何らかの不正行為が行われた場合、管理対象の装置が送信する情報の信頼性は低くなる。管理対象が送信する情報の信頼性が低くなると、管理装置は、管理対象の装置を高い信頼性で管理することが難しい。 When the management apparatus manages the state of the management target apparatus, the management target apparatus transmits information about the state to the management apparatus. When some kind of fraud is performed on a managed device, the reliability of information transmitted by the managed device is lowered. When the reliability of the information transmitted by the management target becomes low, it is difficult for the management apparatus to manage the management target apparatus with high reliability.
そこで、1つの側面では、本発明は、高い信頼性で管理対象を管理することを目的とする。 Therefore, in one aspect, an object of the present invention is to manage a management target with high reliability.
1つの態様では、管理方法は、1以上の制御装置と管理装置とが相互に通信を行い、前記管理装置が前記制御装置を管理する管理方法であって、前記制御装置に関する情報と該情報の送信処理の実行に関する記録とを含む送信情報を所定タイミングで前記制御装置が前記管理装置に送信し、前記管理装置が、前記送信情報を受信したことに応じて、前記制御装置に受領通知を返信し、前記制御装置が前記送信処理を実行した後、前記管理装置から前記受領通知を受信しない場合、前記送信処理の実行に関する記録を前記制御装置が記憶部に記憶し、前記制御装置から前記送信情報を受信していない期間と、前記制御装置から受信した前記記憶部の前記記録に含まれる前記送信処理の実行回数とに基づいて、前記制御装置が異常であるか否かを前記管理装置が判定する。 In one aspect, the management method is a management method in which one or more control devices and a management device communicate with each other, and the management device manages the control device. The control device transmits transmission information including a record related to execution of transmission processing to the management device at a predetermined timing, and the management device returns a receipt notification to the control device in response to the reception of the transmission information. When the control device does not receive the receipt notification from the management device after executing the transmission processing, the control device stores a record relating to the execution of the transmission processing in the storage unit, and transmits the transmission from the control device. Whether or not the control device is abnormal is determined based on a period during which no information is received and the number of executions of the transmission process included in the recording of the storage unit received from the control device. Serial management device is determined.
1つの側面によれば、高い信頼性で管理対象を管理することができる。 According to one aspect, the management target can be managed with high reliability.
<システムの全体構成の一例>
図面を参照して、実施形態について説明する。以下の実施形態では、自動車に備えられる制御装置の例について説明するが、制御装置は自動車以外の任意の車両に備えられてもよい。例えば、制御装置は、ダンプトラックのような運搬車両等に備えられてもよい。
<Example of overall system configuration>
Embodiments will be described with reference to the drawings. In the following embodiment, an example of a control device provided in an automobile will be described, but the control device may be provided in any vehicle other than the automobile. For example, the control device may be provided in a transport vehicle such as a dump truck.
また、実施形態では、制御装置は自動車のような可動物に備えられる例について説明するが、制御装置は可動物以外の固定物に備えられてもよい。制御装置が固定物に備えられる例については後述する。 In the embodiment, an example in which the control device is provided in a movable object such as an automobile will be described. However, the control device may be provided in a fixed object other than the movable object. An example in which the control device is provided on a fixed object will be described later.
図1は、管理システム1の一例を示す。管理システム1は、自動車2と管理サーバ3とを含む。自動車2は車載器4と車内ネットワーク5とEngine Control Unit(ECU)6A〜6C(以下、総称して、ECU6と称する)とを備える。図1は、1台の自動車2を例示しているが、管理サーバ3が管理の対象とする自動車2は複数台であってもよい。管理サーバ3は、管理装置の一例である。
FIG. 1 shows an example of the
車載器4は、管理サーバ3と通信する機能を有する。また、車載器4は、車内ネットワーク5を介して、各ECU6と接続されている。車載器4は、車内ネットワーク5を介して接続される各ECU6に関する情報を管理サーバ3に送信する。車載器4は、各ECU6に関する情報を纏めて管理サーバ3に送信してもよいし、個別的に管理サーバ3に送信してもよい。
The vehicle-mounted
車載器4は、管理サーバ3と通信する機能以外の機能を有していてもよい。例えば、車載器4は、各ECU6を統括制御する機能を有していてもよい。また、車載器4は、該車載器4に関する情報を管理サーバ3に送信してもよい。車載器4は、第1の制御装置の一例である。
The vehicle-mounted
車内ネットワーク5は、例えば、Controller Area Network(CAN)やFlex Ray等であってもよい。車内ネットワーク5には、ECU6以外の任意の制御装置が接続されていてもよい。
The in-
ECU6は、自動車2に備えられる各種機構を制御する。例えば、ECU6は、エンジンの制御で用いられる各種のセンサを含むセンサ系統やエンジンの動作等を制御する。図1では、3つのECU6を例示しているが、自動車2に含まれるECU6の数は限定されない。ECU6は、第2の制御装置または情報処理装置の一例である。
The ECU 6 controls various mechanisms provided in the automobile 2. For example, the ECU 6 controls a sensor system including various sensors used in engine control, engine operation, and the like. Although three
通信機能を有する第1の制御装置と所定の情報を処理する第2の制御装置とを総称して制御装置と称する。制御装置3は、管理サーバ3が管理する管理対象である。第1の制御装置は、車載器4以外であってもよい。また、第2の制御装置は、ECU6以外であってもよい。
The first control device having a communication function and the second control device that processes predetermined information are collectively referred to as a control device. The control device 3 is a management target managed by the management server 3. The first control device may be other than the vehicle-mounted
図1の一例に示すように、管理サーバ3は、車載器4と無線通信を行うことにより、各ECU6に関する情報および車載器4に関する情報を取得することができる。例えば、自動車2に電子制御で動作する部品が多く含まれる場合、ECU6の数も多くなる。
As illustrated in the example of FIG. 1, the management server 3 can acquire information on each
管理サーバ3は、自動車2の車載器4から定期的に各ECU6または各ECU6と車載器4との両者に関する情報を取得し、車載器4または各ECU6の状態を把握し、それに拠って管理する。管理サーバ3は、車載器4またはECU6に、更新すべきソフトウェアが在る事を把握した時、あるいは異常があることを認識した場合、リモートメンテナンスを行ってもよい。
The management server 3 periodically acquires information on each
例えば、車載器4またはECU6のソフトウェアのバージョンが旧い場合、管理サーバ3は、新しいバージョンのソフトウェアを車載器4に送信し、車載器4またはECU6は新たなバージョンのソフトウェアに更新する。
For example, when the software version of the vehicle-mounted
例えば、車載器4またはECU6のソフトウェアに不具合、あるいは管理サーバが正当と把握しているもの以外のソフトウェアを発見した場合、管理サーバ3は、修正プログラムを車載器4に送信する。これにより、車載器4またはECU6は、修正プログラムにより不具合がなくなる。以上により、リモートメンテナンスを行うことができる。
For example, when the software of the vehicle-mounted
<ECUの一例>
次に、図2を参照して、ECU6の一例について説明する。ECU6は、ECUソフトウェア11とセキュリティチップ12とを備える。ECUソフトウェア11は、システムソフトウェア13と1以上のアプリケーション14と検査エージェント15とを含む。
<Example of ECU>
Next, an example of the
システムソフトウェア13は、ECUソフトウェアの基本的なソフトウェアである。例えば、システムソフトウェア13は、Operating System(OS)やブートプログラム等であってもよい。
The
アプリケーション6は、既存のアプリケーションであり、ECU6が制御する対象の部品の機能を制御するソフトウェアであってもよい。ECUソフトウェア11は、複数のアプリケーションを有していてもよい。
The
検査エージェント15は、所定のタイミングでECU6に関する情報を収集し、収集した情報を含む送信情報を管理サーバ3に送信する。また、検査エージェント15は、ECU6に不具合を生じているか否かの検査を行う機能を有している。検査エージェント15は、定期的に送信情報を管理サーバ3に送信する。
The
自動車2のイグニッションがオンにされるときには、イグニッションがオフにされる前の状態は維持されているものとする。例えば、自動車2のイグニッションがオフにされたとしても、ECU6のCPUのレジスタの値やRandom Access Memory(RAM)等の情報は失われないものとする。これにより、検査エージェント15は、イグニッションがオフにされる直前のレジスタやRAM等の値を引き続き利用することができる。
When the ignition of the automobile 2 is turned on, the state before the ignition is turned off is maintained. For example, even if the ignition of the automobile 2 is turned off, the CPU register value of the
このために、例えば、自動車2のイグニッションがオフにされたとしても、自動車2のバッテリは、ECU6に少量の電源を供給し続けてもよい。または、ECU6のRAM等の情報やCentral Processing Unit(CPU)のレジスタの値の情報等は、不揮発性メモリに記憶されてもよい。
For this reason, for example, even if the ignition of the automobile 2 is turned off, the battery of the automobile 2 may continue to supply a small amount of power to the
セキュリティチップ12について説明する。セキュリティチップ12は、耐タンパ性を有する。従って、セキュリティチップ12が保持する情報は機密性が高い。セキュリティチップの一例としては、Trusted Platform Module(TPM)と呼ばれるチップが挙げられる。このTPMは、国際的な業界団体であるTrusted Computing Group(TCG)により策定された仕様のモジュールである。
The
セキュリティチップ12は、信頼性の基点となるハードウェアである。セキュリティチップ12はECU6の内部の各種ソフトウェアの真正性を確認する。セキュリティチップ12により真正性が確認されたソフトウェアは信頼性が高い。
The
検査エージェント15およびセキュリティチップ12の機能ブロックの一例について、図3を参照して、説明する。検査エージェント15は、情報収集部21と第1のタイマ22と第2のタイマ23と第1の記憶部24と送信制御部25と環境情報取得部26とエンジン制御部27とを備える。セキュリティチップ12は、要約値生成部31と電子署名付与部32とを備える。
An example of functional blocks of the
情報収集部21は、ECU6に関する情報を収集する。例えば、情報収集部21は、ECU6のソフトウェアの構成情報を収集する。また、情報収集部21は、ECU6の回路の状態に関する情報等を収集してもよい。
The
第1のタイマ22および第2のタイマ23は、それぞれ時間を計測するタイマである。第1のタイマ22と第2のタイマ23とはそれぞれ異なる時間を計測する。図3の例では、第1のタイマ22と第2のタイマ23とはそれぞれ独立なタイマとなっているが、1つのタイマが2種類の時間を計測するようにしてもよい。
Each of the first timer 22 and the
実施形態では、検査エージェント15は、所定のタイミングで活性化して、送信情報を管理サーバ3に送信する。このため、第1のタイマ22が計測する時間が上記のタイミングに達したときに、検査エージェント15は管理サーバ3に送信情報を送信する。
In the embodiment, the
第1の記憶部24は、情報収集部21が収集した情報や環境情報取得部26が取得した環境情報等を記憶する。送信制御部25は、管理サーバ3に所定の情報を送信する制御を行う。
The
実施形態では、送信制御部25が管理サーバ3に送信する送信情報は、構成情報および送信実行記録を含む。構成情報は、ECU6のソフトウェアの状態に関する情報である。送信実行記録は、送信制御部25が送信情報を送信する処理を実行に失敗したことを示す記録である。
In the embodiment, the transmission information that the
検査エージェント15が送信情報を管理サーバ3に送信すると、管理サーバ3は、所定時間内に、送信情報を受信したことを示す受領通知を検査エージェント15に返信する。従って、送信制御部25が送信処理を実行したにもかかわらず、所定時間内に管理サーバ3から受領通知を受信しない場合には、送信処理は失敗したことになる。
When the
第2のタイマ23は、送信処理を実行してから時間の計測を行う。第2のタイマ23が計測する時間が上記の所定時間を超過したときに、検査エージェント15は、送信失敗を示す送信実行記録を第1の記憶部24に記憶する。
The
送信制御部25は、構成情報および送信実行記録を含む送信情報を管理サーバ3に送信する。構成情報および送信実行記録には電子署名が付与されている。送信情報は、構成情報および送信実行記録以外の情報を含んでもよい。例えば、送信情報は、ECU6の回路等の状態に関する情報や後述する環境情報を含んでもよい。
The
環境情報取得部26は、送信制御部25が送信情報を送信する制御を行ったときの自動車2の環境に関する環境情報を取得する。環境情報は、例えば、自動車2の位置情報であってもよい。自動車2が不図示のGlobal Positioning System(GPS)を備えている場合、環境情報取得部26はGPSから位置情報を取得する。
The environment
環境情報は、自動車2と管理サーバ3との間の通信状況を判定するために用いられる。例えば、自動車2がトンネルを通過している間に送信制御部25が送信情報を管理サーバ3に送信しても、管理サーバ3は送信情報を受信しない。管理サーバ3は、環境情報に基づいて、送信情報を受信しなかった原因を認識できる。
The environmental information is used to determine the communication status between the automobile 2 and the management server 3. For example, even if the
エンジン制御部27は、所定の条件下で、自動車2のエンジンの起動を抑止する。この場合、例えば、エンジンの起動操作が行われたとしても、所定の条件を満たしている場合には、エンジン制御部27は、エンジンの起動を抑止する。
The
次に、セキュリティチップ12の要約値生成部31について説明する。情報収集部21は、ECU6のソフトウェアの構成情報を収集する。情報収集部21は、収集したソフトウェアの構成情報を要約値生成部31に出力する。
Next, the summary
要約値生成部31は、ソフトウェアの構成情報の要約値を生成する。要約値は、例えばハッシュ関数を用いて演算されるハッシュ値である。なお、要約値は、ソフトウェアの構成情報に基づく要約値であれば、ハッシュ値には限定されない。
The summary
電子署名付与部32は、要約値生成部31が生成した構成情報の要約値および送信実行記録に電子署名を付与する。電子署名の付与および検証は、公開鍵と秘密鍵との鍵ペアを用いた公開鍵暗号方式が用いられてもよい。
The electronic
公開鍵暗号方式を用いて、電子署名の付与および検証を行う場合、電子署名付与部32には、電子署名の付与に必要な鍵情報が自動車2の出荷前に予め設定されていても良い。あるいは、必要に応じて、電子署名付与部32に於いて、公開鍵と秘密鍵との鍵ペアを生成することとしても良い。なお、電子署名の付与および検証は、公開鍵暗号方式には限定されない。
When the electronic signature is assigned and verified using the public key cryptosystem, key information necessary for giving the electronic signature may be set in advance in the electronic
検査エージェント15は、ソフトウェアであるため、プログラムの改竄を受けたりすることにより、通信の妨害等を受ける可能性がある。よって、検査エージェント15は、通信状況に関する情報を第1の記憶部24に記憶してもよい。この場合、電子署名付与部32が通信状況に関する情報に電子署名を付与して、送信制御部25は通信状況に関する情報を管理サーバ3に送信してもよい。
Since the
また、検査エージェント15がプログラムの改竄を受けたりすることにより、真正でない可能性もある。セキュリティチップ12は、ソフトウェアの真正性を検証する機能を有する。セキュリティチップ12は、検査エージェント15が真正であることが検証してもよい。
Further, there is a possibility that the
上述したように、セキュリティチップ12は、耐タンパ性を有するため、セキュリティチップ12によって生成された電子署名の信頼性が高い。従って、電子署名付与部32により電子署名が付された要約値および送信結果記録は、信頼性が高い。
As described above, since the
<管理サーバの一例>
次に、管理サーバ3の一例について説明する。図4は、管理サーバ3の一例を示している。図4の検査エンジン40は、返信制御部41と電子署名検証部42と比較部43と判定部44と第2の記憶部45と第3のタイマ46とカウンタ47と通信部48とを備えている。
<Example of management server>
Next, an example of the management server 3 will be described. FIG. 4 shows an example of the management server 3. The
返信制御部41は、所定のタイミングで検査エージェント15の送信制御部25が送信する送信情報を通信部48が受信したときに、受信したことを示す受領通知を検査エージェント15に返信する。
When the
電子署名検証部42は、要約値に付与された電子署名の検証を行う。実施形態では、上述した公開鍵と秘密鍵との鍵ペアの内の、公開鍵情報を用いて、電子署名検証部42は、電子署名の検証を行う。
The electronic
比較部43は、実施形態の処理を行うときに、各種の比較を行う。判定部44は、実施形態の処理を行うときに、各種の判定を行う。第2の記憶部45は、送信情報を受信した受信履歴やECU6が異常であるか否か、あるいは旧いソフトウェアが入っているか否かの情報等を記憶する。
The
また、第2の記憶部45は、ホワイトリストを記憶する。ホワイトリストについて説明する。ホワイトリストは、検査エージェント15の送信制御部25が送信する送信情報が正当な情報であるか否か、あるいはECU6のソフトウェアが最新のものであるか否かを判定するための基準となる情報である。
The
ホワイトリストは、各ECU6のソフトウェアごとの要約値の正解値を含む。要約値がハッシュ値の場合、正解値も要約値に対応したハッシュ値になる。送信情報に含まれる正解値とホワイトリストに含まれる何れかの正解値とが一致すれば、要約値は、ホワイトリストが保持する、その正しい情報になる。
The white list includes the correct value of the summary value for each software of each
例として、ホワイトリストがECU6のソフトウェアとして旧い版と最新の版との要約値を持っているとする。送信情報に含まれる正解値が旧い版の正解値と一致すれば、今の状態のECU6には旧い版のソフトウェアがインストールされていると判定される。送信情報に含まれる正解値が最新の版の正解値と一致すれば、今の状態のECU6には最新の版のソフトウェアがインストールされていると判定される。送信情報に含まれる正解値が、旧い版の正解値とも最新の版の正解値と一致しなければ、今の状態のECU6には不明のソフトウェアがインストールされていると判定される。
As an example, assume that the white list has summary values of the old version and the latest version as software of the
ホワイトリストは、正解値以外の他の情報を含んでもよい。例えば、ホワイトリストは、ソフトウェアの名称や製造者、種別、ハッシュ値の取得方法、ソフトウェアのバイナリデータ、登録日等の情報を含んでいてもよい。 The white list may include information other than the correct answer value. For example, the white list may include information such as software name, manufacturer, type, hash value acquisition method, software binary data, and registration date.
第3のタイマ46は、時間の計測を行う。実施形態では、第3のタイマ46は、検査エージェント15の送信制御部25が送信した送信情報を受信するインターバルの時間を計測する。
The
カウンタ47は、初期値がゼロの計数部である。カウンタ47は、第3のタイマ46が計測している時間が予め設定されている所定の時間を超過したときに、値をインクリメントする。上記の所定の時間は任意に設定されてもよい。
The
カウンタ47は、値をインクリメントしたときに、第3のタイマ46の計測時間をリセットする。また、カウンタ47には、ECU6が異常であることを判定するためのカウンタ閾値が設定されている。カウンタ47は、自身の値がカウンタ閾値を超過したときに、値をゼロに戻す。
The
検査エンジン40は検査エージェント15から定期的に送信情報を受信する。このとき、検査エンジン40が検査エージェント15から送信情報を受信しない場合に、カウンタ47はカウンタ値をインクリメントする。このため、カウンタ47は、未受信カウンタと称してもよい。通信部48は、車載器4および車内ネットワーク5を介して、ECU6と通信を行う。
The
ここで、検査エージェント15および検査エンジン20と上述したTCGが策定した通信プロトコルであるTrusted Network Connect(TNC)との関係について説明する。TNCにおいて、検査エージェント15は、Integrity Measurement Collector(IMC)と称される。検査エンジン20は、TNCにおいて、Integrity Measurement Verifier(IMV)と称される。
Here, the relationship between the
IMCは、ECU6の構成情報を収集し、IMVに送信する。IMVは、IMCから送信された送信情報に含まれる要約値をホワイトリストと比較して、ECU6の状態を解析する。これにより、管理サーバ3は自動車2の状態を遠隔診断することができる。
The IMC collects configuration information of the
<検査エージェントの処理の一例>
次に、検査エージェント15の処理の一例について、図5を参照して、説明する。第1のタイマ22が計測する時間が所定のタイミングに達したときに、検査エージェント15は活性化する(ステップS1)。検査エージェント15は、自動車2が走行中であるか、または停止中であるかにかかわらず、所定のタイミングで活性化する。
<Example of inspection agent processing>
Next, an example of processing of the
情報収集部21は、ECU6の情報を収集する(ステップS2)。ECU6が収集する情報は、ソフトウェアの構成情報を含む。検査エージェント15の情報収集部21は、セキュリティチップ12の要約値生成部31にソフトウェアの構成情報を出力する。
The
要約値生成部31は、ハッシュ関数を用いて、ソフトウェアの構成情報の要約値を生成する。そして、電子署名付与部32は、要約値に電子署名を付与する。これにより、電子署名を伴った要約値が生成される(ステップS3)。
The summary
第1の記憶部24は、送信制御部25が送信情報の送信処理を行ったにもかかわらず、管理サーバ3から受領通知を受信しなかった場合、送信実行の失敗を示す送信実行記録を記憶している。
The
検査エージェント15は、第1の記憶部24に記憶されている送信実行記録をセキュリティチップ12の電子署名付与部32に出力する。電子署名付与部32は、送信実行記録に電子署名を付与することで、電子署名を付与した送信実行記録が生成される(ステップS4)。
The
送信制御部25は、要約値および送信実行記録をセキュリティチップ12から取得する。要約値および送信実行記録は、耐タンパ性を有するセキュリティチップ12により電子署名が付与されているため、信頼性が高い。
The
送信制御部25は、セキュリティチップ12から取得した要約値および送信実行記録を含む送信情報を管理サーバ3に送信する制御を行う(ステップS5)。これにより、送信情報は、管理サーバ3に送信される。検査エンジン40の返信制御部41は、送信情報を受信したときに、受領通知を返信する。
The
第2のタイマ23は時間の計測を行う。検査エージェント15は、送信情報を送信した後、第2のタイマ23が計測する時間に基づいて、所定時間内に管理サーバ3から受領通知を受信したか否かを判定する(ステップS6)。
The
検査エージェント15が受領通知を所定時間に達するまで受領通知を受信しない場合(ステップS6でNO)、検査エージェント15は、送信実行の失敗を示す送信実行記録を第1の記憶部24に記憶する(ステップS7)。その後、検査エージェントの処理は終了する。
一方、検査エージェント15が受領通知を所定時間に達しない間に受領通知を受信した場合(ステップS6でYES)、そのまま処理を終了する。この場合、管理サーバ3は、所定時間内に正常に送信情報を受信する。
When the
On the other hand, when the
検査エージェント15は、処理が終了すると、不活性な状態になる。このとき、検査エージェント15は、第1のタイマ22をリセットする。第1のタイマ22が計測する時間が所定のタイミングに達したときに、検査エージェント15は再び活性化する。
The
送信制御部25は、送信が失敗した記録を含む送信実行記録を第1の記憶部24に記憶してもよい。例えば、検査エージェント15が送信実行記録と送信を実行した時刻とを関連付けて第1の記憶部24に記憶することで、後に、第1の記憶部24に記憶されている情報に基づいて、送信処理に関する情報を検証することができる。
The
また、例えば、検査エージェント15は、送信実行記録と送信を実行した時刻と環境情報とを関連付けて第1の記憶部24に記憶することで、不正な改竄が行われたか否かを検証することができる。
Further, for example, the
送信処理を行った時刻において、環境情報が管理サーバ3との通信が可能な状態であったことを示している場合、自動車2が位置していた環境が要因となって送信処理が失敗したのではないことが認識できる。 If the environment information indicates that communication with the management server 3 was possible at the time when the transmission process was performed, the transmission process failed due to the environment in which the automobile 2 was located. It can be recognized that it is not.
従って、この場合、ECU6のソフトウェアに対して不正な改竄が行われた可能性があることを後に検証することができる。つまり、第1の記憶部24に記憶されている情報は、送信処理に関する情報を含んでいるため、後の検証において、該情報は検証の証拠の一部となり得る。
Therefore, in this case, it can be verified later that there is a possibility that the software of the
<検査エンジンの処理の一例>
次に、図6を参照して、検査エンジン40の処理について説明する。検査エンジン40の第3のタイマ46は、時間の計測を行っている。通信部48が検査エージェント15から送信情報を受信しない場合であり、且つ第3のタイマ46が計測する時間が所定の時間を経過した場合、検査エンジン40が活性化する(ステップS11)。
<Example of inspection engine processing>
Next, processing of the
検査エンジン40は、第3のタイマ46が計測する時間が所定の時間を経過したことを契機として、自身が活性化したか否かを判定する(ステップS12)。なお、上記の所定の時間は、上述したインターバルに設定してもよい。
The
検査エンジン40が活性化した契機が、第3のタイマ46が計測する時間による場合(ステップS12でYES)、カウンタ47は自身の値をインクリメントする(ステップS13)。なお、上述したように、カウンタ47の初期値はゼロである。
When the trigger of the
判定部44は、カウンタ47の値(以下、カウンタ値と称する)が予め設定されている閾値以上であるか否かを判定する(ステップS14)。カウンタ値が閾値以上の場合(ステップS14でYES)、判定部44は、対象のECU6が異常であると判定する(ステップS15)。このとき、判定部44は、カウンタ47のカウンタ値をゼロに戻す。そして、検査エンジン40の処理が終了する。
The
一方、カウンタ値が閾値未満の場合(ステップS14でNO)、そのまま検査エンジン40の処理が終了する。検査エンジン40の処理が終了すると、検査エンジン40は不活性な状態になる。
On the other hand, when the counter value is less than the threshold value (NO in step S14), the processing of the
検査エンジン40は不活性な状態になるが、第3のタイマ46は時間の計測を再び開始する。そして、検査エンジン40は、通信部48が送信情報を受信しない場合であり、且つ第3のタイマ46が計測する時間が所定の時間を経過した場合に活性化する。
The
次に、ステップS12でNOと判定された場合について説明する。検査エンジン40は、検査エージェント15から送信情報を受信したことを契機としても活性化する。この場合、ステップS12の判定はNOとなり、処理は「A」に進む。
Next, the case where it is determined NO in step S12 will be described. The
「A」以降の処理について、図7を参照して説明する。図7は、「A」以降の処理の一例を示す。ステップS12でNOと判定された場合、通信部48は送信情報を受信している。送信情報は、電子署名が付与された要約値および送信実行記録を含む。
The processing after “A” will be described with reference to FIG. FIG. 7 shows an example of processing after “A”. When it determines with NO by step S12, the
このとき、検査エンジン40は、送信情報を受信した受信履歴を第2の記憶部45に記憶してもよい。検査エンジン40は、受信履歴を時系列的に第2の記憶部45に記憶してもよい。
At this time, the
電子署名検証部42は、検査エージェント15の電子署名付与部32に対応する鍵ペアの内の公開鍵情報を有している。よって、電子署名検証部42は、この公開鍵情報を用いて、要約値および送信実行記録の電子署名の検証を行う(ステップS16)。電子署名が正当でないことを電子署名検証部42が検証した場合、判定部44はECU6のソフトウェアに対して不正な改竄やなりすまし等が行われた可能性があると判定する。
The electronic
電子署名が正当であることを電子署名検証部42が検証した場合、比較部43は、送信実行記録に含まれる送信実行回数(実行回数とも称する)とカウンタ47のカウンタ値との比較を行う(ステップS17)。送信実行回数は、検査エージェント15による送信処理が失敗した回数を示す。
When the electronic
カウンタ47は、第3のタイマ46が計測する時間に基づいて、カウンタ値をインクリメントする。図6の例において、通信部48が検査エージェント15から送信情報を受信したときには、ステップS12の判定はNOとなる。
The
従って、カウンタ47は、送信情報を受信していない期間は、カウンタ値をインクリメントする。つまり、カウンタ47のカウンタ値は、検査エンジン40が検査エージェント15から送信情報を受信していない期間を示す。
Therefore, the
一方、検査エージェント15の第1のタイマ22が正常であれば、送信制御部25は、定期的に送信情報を管理サーバ3に送信する。従って、ECU6のソフトウェアが正常であれば、送信情報に含まれる送信実行記録に含まれる送信実行回数とカウンタ47のカウンタ値とは一致する。
On the other hand, if the first timer 22 of the
例えば、自動車2がトンネルを通過する期間の間に、検査エージェント15は送信情報を3回送信したとする。この場合、検査エージェント15が送信した送信情報は、検査エンジン40に届かない。
For example, it is assumed that the
従って、検査エンジン40のカウンタ47はカウンタ値をインクリメントする。検査エンジン40が送信情報を受信しない期間は、検査エージェント15が送信情報を送信した期間と対応する。
Accordingly, the
よって、カウンタ47のカウンタ値は3になり、カウンタ47のカウンタ値と送信実行記録に含まれる送信実行回数は3であるため、両者の値は一致する。一方、ECU6のソフトウェアに対して何らかの不正行為が行われていた場合には、カウンタ値と送信実行回数とが一致しない場合がある。
Therefore, the counter value of the
例えば、第三者がECU6のソフトウェア、例えば検査エージェント15のソフトウェアの改竄を行ったとする。この場合、ソフトウェアの改竄を行っている間に、検査エージェント15の送信機能が危殆化していることを要因として、検査エージェント15が送信情報を送信しなかったことが想定される。
For example, it is assumed that a third party has tampered with software of the
従って、送信実行記録に含まれる送信実行回数とカウンタ47のカウンタ値とが一致しない場合には、検査エンジン40は、ECU6のソフトウェアに対して何らかの改竄が行われた可能性があることを判定することができる。
Therefore, when the number of transmission executions included in the transmission execution record and the counter value of the
判定部44は、上述したように、カウンタ値と送信実行回数とが一致しているか否かを判定する(ステップS18)。カウンタ値と送信実行回数とが一致している場合(ステップS19でYES)、比較部43は、送信情報に含まれる要約値と第2の記憶部45に記憶されているホワイトリストとを比較する(ステップS19)。
As described above, the
比較部43が要約値とホワイトリストとの比較を行うときに、判定部44は、要約値が想定値であるか否かを判定する(ステップS20)。要約値が想定値であるか否かの処理について、図8の一例を参照して説明する。ただし、要約値が想定値であるか否かを判定する処理は、図8の例には限定されない。
When the
ホワイトリストは、ソフトウェアごとに正解値を含む。判定部44は、要約値がホワイトリストの何れかの正解値と一致するか否かを判定する(ステップS31)。要約値がホワイトリストの正解値と一致しない場合(ステップS32でNO)、判定部44は、要約値は想定値でないと判定する(ステップS32)。
The white list includes correct values for each software. The
一方、要約値がホワイトリストの何れかの正解値と一致する場合(ステップS32でYES)、判定部44は、ソフトウェアのバージョンが許容されるか否かを判定する(ステップS33)。
On the other hand, when the summary value matches any correct value in the white list (YES in step S32), the
ソフトウェアのバージョンが旧い場合や修正対象の場合等は、ソフトウェアのバージョンは許容されない。従って、この場合(ステップS33でNO)、判定部44は、要約値は想定値でないと判定する。
The software version is not allowed if the software version is old or if it is to be modified. Therefore, in this case (NO in step S33), the
一方、ソフトウェアのバージョンが許容される場合(ステップS33でYES)、判定部44は、要約値は想定値であると判定する(ステップS34)。従って、ステップS31〜ステップS34により、ステップS20の要約値が想定値であるか否かの判定が行われる。
On the other hand, when the software version is allowed (YES in step S33), the
ECU6の各ソフトウェアの要約値が想定値であると判定部44が判定した場合(ステップS34でYES)、検査エンジン40は対象のECU6が正常であると判定する(ステップS21)。第2の記憶部45は、ECU6ごとに正常であるか、または異常であるかの情報を記憶してもよい。
When the
判定部44は、第2の記憶部45に記憶されている情報のうち、対象のECU6の情報が異常であることを示しているか否かを判定する(ステップS22)。ステップS21において、対象のECU6は正常であると判定されている。
よって、対象のECU6が異常であることが第2の記憶部45に記憶されている場合(ステップS22でYES)、第2の記憶部45から対象のECU6の情報がリセットされる(ステップS23)。
The
Therefore, when it is stored in the
対象のECU6の情報が異常であることが記憶されていない場合(ステップS22でNO)、ステップS23の処理は行われない。図7の例の「A」以降の処理が行われているときには、検査エンジン40の通信部48は、検査エージェント15から送信情報を受信している。
If it is not stored that the information of the
よって、カウンタ47はカウンタ値をリセットする(ステップS24)。検査エンジン40は送信情報を受信したため、通信部48は受領通知を検査エージェント15に返信する(ステップS25)。その後、処理は「B」を経由して、検査エンジンの処理は終了する。
Therefore, the
ステップS20において、各ECU6のソフトウェアのうち何れかの要約値が想定値でない場合(ステップS20でNO)、判定部44は、対象のECU6が異常であると判定する(ステップS26)。また、ステップS18において、カウンタ値と送信実行回数とが一致しなければ(ステップS18でNO)、判定部44は、対象のECU6が異常であると判定する。
In step S20, when one of the summary values of the software of each
判定部44は、カウンタ値が送信実行回数より多いか否かを判定する(ステップS27)。カウンタ値が送信実行回数より多い場合(ステップS27でYES)、判定部44は、対象のECU6のタイマ異常、改変または改竄の可能性があると判定する(ステップS27)。
The
つまり、この場合、送信実行記録に含まれる送信実行回数は正常な値より少ないことになる。例えば、送信制御部25が送信情報を送信するタイミングのときに、第三者がECU6のソフトウェアを改変または改竄している場合、送信処理は実行されない。このため、送信実行回数は正常な値よりも少なくなる。
That is, in this case, the number of transmission executions included in the transmission execution record is less than a normal value. For example, if a third party has modified or altered the software of the
従って、ステップS27でYESの場合、対象のECU6のソフトウェアが改変または改竄された可能性がある。なお、第1のタイマ22が異常である場合には、正常なタイミングで送信処理が実行されないため、第1のタイマ22が異常である可能性もある。
Therefore, in the case of YES in step S27, there is a possibility that the software of the
例えば、判定部44が対象のECU6のタイマ異常、改変または改竄の可能性があると判定した場合、検査エンジン40は、対象のECU6に異常が発生したことを検査エージェント15に送信してもよい。
For example, when the
検査エージェント15は、自動車2に備えられる不図示の表示装置(例えば、カーナビゲーション等)に、ECU6の異常を表示してもよい。これにより、表示装置は、自動車2の所有者に対して、自動車2を取り扱う事業者にECU6の異常の原因の調査を依頼することを促すことができる。
The
また、検査エンジン40は、検査エージェント15に対して、特別な検査を実施する指令を送信してもよい。上述したように、検査エージェント15は、ECU6を検査する機能を有する。そこで、検査エージェント15は、改変や改竄等の痕跡が残る可能性のある部位を検査し、検査結果を検査エンジン40に送信してもよい。
Further, the
また、第三者が、自動車2に対して改変を行っているときに、検査エージェント15が送信情報を生成する場合もある。この場合、第三者は、生成された送信情報を削除し、送信情報を改竄する可能性もある。これに対して、例えば、個々の送信情報にシリアル番号を付与することで、送信情報が改竄されたことを検証することができる。
Further, when a third party is modifying the automobile 2, the
カウンタ値が送信実行回数よりも少ないと判定部44が判定した場合(ステップS27でNO)、判定部44は、タイマ異常またはなりすましの可能性があると判定する(ステップS29)。
When the
カウンタ値が送信実行回数と一致せず、且つカウンタ値が送信実行回数より多くない場合、カウンタ値は送信実行回数よりも少なくなる。従って、送信実行回数は、正常な値より多くなる。 If the counter value does not match the transmission execution count and the counter value is not greater than the transmission execution count, the counter value is less than the transmission execution count. Therefore, the number of transmission executions is greater than the normal value.
この場合、第1のタイマ22に異常が生じたことが考えられる。また、第三者が検査エージェント15になりすまして、送信情報を多く検査エンジン40に送信することが考えられる。従って、検査エージェント15は、上記の表示装置に、ECU6の異常を表示してもよい。
In this case, it is considered that an abnormality has occurred in the first timer 22. It is also conceivable that a third party impersonates the
ステップS28またはステップS29の処理が行われた後、処理は、ステップS24に移る。また、第2の記憶部45に対象のECU6が異常と記憶されていない場合(ステップS22でNO)、同様に、処理は、ステップS24に移る。
After the process of step S28 or step S29 is performed, the process proceeds to step S24. If the
従って、検査エンジン40が検査エージェント15から送信情報を受信していない期間と送信処理の実行回数とに基づいて、高い信頼性で対象のECU6に異常が生じているか否かを判定することができる。
Therefore, based on the period during which the
つまり、カウンタ47のカウンタ値と送信実行記録に含まれる送信実行回数とが一致しなければ、送信情報の信頼性は低いものとなる。カウンタ値は、送信情報を受信していない期間に、異常が発生してなければ、正常に送信情報を受信する回数になる。よって、検査エンジン40は、カウンタ値と送信実行回数とが一致するか否かを判定することで、送信情報の信頼性を判定できる。
That is, if the counter value of the
このため、検査エンジン40は、カウンタ値と送信実行回数とが一致したときの送信情報に基づいて、ECU6の状態を管理するため、高い信頼性で管理対象を管理することができる。
For this reason, since the
実施形態の場合、耐タンパ性を有するセキュリティチップ12の電子署名付与部32は、要約値および送信結果記録に電子署名を付与する。これにより、送信情報の信頼性は高くなる。
In the case of the embodiment, the electronic
従って、電子署名が付与された送信結果記録に含まれる送信実行回数とカウンタ47のカウンタ値とが一致するか否かを判定部44が判定することにより、送信情報の信頼性はより高いものとなる。
Therefore, the
<変形例1>
上述したように、車載器4が管理サーバ3と通信を行う。自動車2は、複数のECU6を有している場合がある。この場合、例えば、図9の例に示すように、車載器4は、各ECU6のソフトウェアの送信情報を収集する(ステップS51)。
<
As described above, the vehicle-mounted
車載器4は、収集した各ECUのソフトウェアの送信情報を纏めて管理サーバ3に送信する(ステップS52)。このとき、車載器4は、自動車2を特定する番号(例えば、製造番号等)を送信情報に付してもよい。
The vehicle-mounted
この場合、管理サーバ3の検査エンジン40は、1台の自動車2に備えられる各ECU6のソフトウェアが異常であるか否かの判定を纏めて行うことができる。つまり、検査エンジン40は、1台の自動車2の各ECU6の状態の検査を一括して行うことができる。
In this case, the
<変形例2>
上述したように、ECU6の検査エージェント15は環境情報取得部26を備える。変形例2においては、環境情報は位置情報であるものとし、不図示のGPSが位置情報を取得する。
<Modification 2>
As described above, the
図10の例に示すように、環境情報取得部26が環境情報を取得する(ステップS51)。電子署名付与部32は、環境情報に電子署名を付与する(ステップS52)。送信制御部25は、送信情報に電子署名が付与された環境情報を管理サーバ3の検査エンジン40に送信する(ステップS53)。
As shown in the example of FIG. 10, the environment
検査エンジン40の判定部44は、カウンタ値と送信実行回数とが一致するか否かを判定する(ステップS54)。上述したように、カウンタ値と送信実行回数とが一致しなければ(ステップS54でNO)、判定部44は対象のECU6が異常と判定する(ステップS55)。
The
カウンタ値と送信実行回数とが一致する場合(ステップS54でYES)、判定部44はカウンタ値と送信実行回数とが一致した要因が環境によるものか否かを判定する(ステップS56)。
If the counter value matches the transmission execution count (YES in step S54), the
上述したように、自動車2がトンネルを通過しているときには、送信制御部25が送信情報を送信しても、送信情報は管理サーバ3に届かない。よって、送信情報に含まれる環境情報が、例えばトンネル通過を示しているときには、判定部44は、検査エンジン40が送信情報を受信しない要因が環境によるものであると判定できる。
As described above, when the automobile 2 is passing through the tunnel, the transmission information does not reach the management server 3 even if the
この場合、判定部44は対象のECU6が正常であると判定することができる(ステップS57)。一方、カウンタ値と送信実行回数とが一致した要因が環境によるものでない場合(ステップS56でNO)、偶発的にカウンタ値と送信実行回数とが一致したことが想定される。この場合、判定部44は、対象のECU6が異常を生じている可能性があると判定する(ステップS58)。
In this case, the
従って、送信情報が環境情報を含むことにより、検査エンジン40は、対象のECU6が正常であることを認識することができる。これにより、送信情報は不正な情報でないことの信頼性が向上する。
Therefore, when the transmission information includes the environment information, the
<変形例3>
次に、遠隔操作の一例について、図11を参照して、説明する。検査エンジン40の判定部44が、対象のECU6が異常であると判定した場合、検査エージェント15に対して、Read Only Memory(ROM)の検査を行うように指示する(ステップS61)。
<Modification 3>
Next, an example of remote control will be described with reference to FIG. When the
検査エージェント15は、ROMの検査を行う。例えば、第三者がECU6のソフトウェアを改変しようとする場合、RAMに展開されているプログラムを改変すると、システムが停止する可能性がある。このため、第三者は、RAMではなく、ROMのソフトウェアを改変しようとする可能性が高い。
The
検査エージェント15は、ROMの検査を行う(ステップS62)。次に、検査エージェント15は、動作中のプログラムが停止されて改変されたか否かを判定する(ステップS63)。
The
動作中のプログラムが停止されて改変された場合(ステップS63でYES)、検査エージェント15はブート処理を実行する(ステップS64)。検査エージェント15は、第1のブート処理または第2のブート処理の何れかを実行する。
When the operating program is stopped and modified (YES in step S63), the
第1のブート処理は、上述したTNCにおいては、Trusted Boot(TB)と称されるブート処理である。第1のブート処理は、検査エンジン40が検査エージェント15からECU6の状態を取得して、状態の診断を行う。そして、検査エンジン40は、診断結果に応じた起動を行うように、検査エージェント15に対して指示を出す。
The first boot process is a boot process called Trusted Boot (TB) in the TNC described above. In the first boot process, the
第2のブート処理は、上述したTNCにおいては、Secure Boot(SB)と称されるブート処理である。第2のブート処理は、検査エージェント15が自身の状態の診断を行い、診断結果に応じた起動を行うブート処理である。
The second boot process is a boot process called Secure Boot (SB) in the TNC described above. The second boot process is a boot process in which the
例えば、検査エンジン40が対象のECU6の異常を判定したときに、自動車2のイグニッションがオフになっていた場合、検査エンジンはエンジン起動の抑止の指示を検査エージェント15に送信する。
For example, when the
検査エージェント15は、イグニッションオフの状態からイグニッションオンの状態に遷移する前に、エンジン起動抑止の指示を受信したか否かを判定する(ステップS65)。検査エージェント15がエンジン起動抑止の指示を受信した場合(ステップS65でYES)、エンジン制御部27は、自動車2のエンジンの起動を抑止する(ステップS66)。
The
一方、検査エージェント15がエンジン起動抑止の指示を受信していない場合(ステップS65でNO)、ステップS66の処理は行われない。これにより、ECU6に何らかの異常が生じているときに、エンジンが起動されなくなる。例えば、エンジン制御部27は、イモビライザと連携して、エンジンの起動を抑止してもよい。
On the other hand, when the
例えば、制御装置がエンジンを制御する制御装置の場合、ステップS66において、検査エンジン40は、制御装置に対して、エンジンを起動させる機能を停止させる指示を送信してもよい。
For example, if the control device is a control device that controls the engine, in step S66, the
検査エンジン40は、検査エージェント15が動作中に異常を生じた場合、または検査エージェント15が検査エンジン40と非通信状態のときに、エンジンの起動を抑止する指示を送信してもよい。
The
<変形例4>
変形例4は、実施形態をInformation of Things(IoT)に適用した場合を示す。例えば、管理サーバ3が管理する対象は、家屋やビル、インフラストラクチャ制御システム等であってもよい。なお、変形例4の場合、通信の方式は、有線通信であってもよい。
<
家屋の場合、例えば、管理サーバ3と通信を行う第1の制御装置はホームゲートウェイであり、所定の情報を処理する第2の制御装置はエアコンディショナー等であってもよい。ビルの場合、第1の制御装置は制御室のコンピュータであり、第2の制御装置はエレベータ等であってもよい。 In the case of a house, for example, the first control device that communicates with the management server 3 may be a home gateway, and the second control device that processes predetermined information may be an air conditioner or the like. In the case of a building, the first control device may be a computer in the control room, and the second control device may be an elevator or the like.
水道やガス、電気等のインフラストラクチャのシステムの場合、第1の制御装置は、制御室のコンピュータであり、第2の制御装置は、バルブやスイッチ等であってもよい。管理サーバ3の対象は、可動物であってもよいし、固定物であってもよい。 In the case of an infrastructure system such as water, gas, and electricity, the first control device may be a computer in a control room, and the second control device may be a valve, a switch, or the like. The object of the management server 3 may be a movable object or a fixed object.
変形例4の場合、検査エンジン40は、検査エージェント15の異常を2つに分けて判定する。第1の制御装置が第2の制御装置から構成情報を収集することができなかった場合、検査エンジン40は、検査エージェント15の異常を判定する。
In the case of the
この場合、第1の制御装置(Richとも称される)は、第2の制御装置(Thinとも称される)に構成情報の再送要求を行う。第1の制御装置が所定時間内に一部の第2の制御装置の情報を収集できなかった場合、第1の制御装置は、収集できなかった第2の制御装置の情報を検査エンジン40に送信する。これにより、検査エンジン40は、第1の制御装置が収集できなかった第2の制御装置に関する情報を認識することができる。
In this case, the first control device (also referred to as Rich) makes a configuration information retransmission request to the second control device (also referred to as Thin). When the first control device cannot collect information on some of the second control devices within a predetermined time, the first control device informs the
第1の制御装置による管理サーバ3への送信情報の送信が失敗した場合、検査エンジン40は検査エージェント15の異常を判定する。このときの処理は、上述した実施形態と同様の処理になる。
When transmission of transmission information to the management server 3 by the first control device fails, the
また、第1の制御装置と第2の制御装置との間で異常が生じた場合、検査エンジン40は異常を検出する。この場合、第2の制御装置は、第1の制御装置に出力する情報に電子署名を付与する。そして、第1の制御装置は、電子署名が付与された情報を検証する。これにより、改竄等の検知を行うことが可能になる。
When an abnormality occurs between the first control device and the second control device, the
<制御装置のハードウェア構成の一例>
次に、図12を参照して、制御装置のハードウェア構成の一例を説明する。制御装置は、例えば、車載器4またはECU6である。図12の例に示すように、バス100に対して、CPU111とRAM112とROM113と補助記憶装置114と媒体接続部115と入出力インタフェース116とセキュリティチップ12とが接続されている。
<Example of hardware configuration of control device>
Next, an example of the hardware configuration of the control device will be described with reference to FIG. The control device is, for example, the vehicle-mounted
CPU111は任意の処理回路である。CPU111はRAM112に展開されたプログラムを実行する。実行されるプログラムとしては、情報処理プログラムを適用することができる。ROM113はRAM112に展開されるプログラムを記憶する不揮発性の記憶装置である。
The
補助記憶装置114は、種々の情報を記憶する記憶装置であり、例えばハードディスクドライブや半導体メモリ等を補助記憶装置114に適用することができる。媒体接続部115は、可搬型記録媒体118と接続可能に設けられている。
The
可搬型記録媒体118としては、可搬型のメモリや光学式ディスク(例えば、Compact Disk(CD)やDigital Versatile Disk(DVD)等)を適用することができる。この可搬型記録媒体118に実施形態の処理を行うプログラムが記録されていてもよい。
As the
入出力インタフェース117は外部との入出力を制御するインタフェースである。例えば、入出力インタフェース117は、車内ネットワーク5と接続される。検査エージェント15の第1の記憶部24以外の各部は、CPU111により実現されてもよい。第1の記憶部24は、RAM112または補助記憶装置114により実現されてもよい。
The input / output interface 117 is an interface for controlling input / output with the outside. For example, the input / output interface 117 is connected to the in-
RAM112、ROM113および補助記憶装置114は、何れもコンピュータ読み取り可能な有形の記憶媒体の一例である。これらの有形な記憶媒体は、信号搬送波のような一時的な媒体ではない。
The
<管理装置のハードウェア構成の一例>
次に、図13を参照して、管理装置のハードウェア構成の一例を説明する。図13の例に示すように、バス100に対して、CPU211とRAM212とROM213と補助記憶装置214と媒体接続部215と通信インタフェース216とが接続されている。
<Example of hardware configuration of management device>
Next, an example of the hardware configuration of the management apparatus will be described with reference to FIG. As illustrated in the example of FIG. 13, a
CPU211とRAM212とROM213と補助記憶装置214と媒体接続部215とは上述した例と同様である。CPU211が実行するプログラムは、例えば管理プログラムであってもよい。通信インタフェース216は、外部との通信を行う。通信部28は、通信インタフェース216により実現されてもよい。
The
RAM212、ROM213および補助記憶装置214は、何れもコンピュータ読み取り可能な有形の記憶媒体の一例である。これらの有形な記憶媒体は、信号搬送波のような一時的な媒体ではない。
The
<その他>
本実施形態は、以上に述べた実施の形態に限定されるものではなく、本実施形態の要旨を逸脱しない範囲内で種々の構成または実施形態を取ることができる。
<Others>
The present embodiment is not limited to the above-described embodiment, and various configurations or embodiments can be taken without departing from the gist of the present embodiment.
以上の実施形態に関し、更に以下の付記を開示する。
(付記1)
1以上の制御装置と管理装置とが相互に通信を行い、前記管理装置が前記制御装置を管理する管理方法であって、
前記制御装置に関する情報と該情報の送信処理の実行に関する記録とを含む送信情報を所定タイミングで前記制御装置が前記管理装置に送信し、
前記管理装置が、前記送信情報を受信したことに応じて、前記制御装置に受領通知を返信し、
前記制御装置が前記送信処理を実行した後、前記管理装置から前記受領通知を受信しない場合、前記送信処理の実行に関する記録を前記制御装置が記憶部に記憶し、
前記制御装置から前記送信情報を受信していない期間と、前記制御装置から受信した前記記憶部の前記記録に含まれる前記送信処理の実行回数とに基づいて、前記制御装置が異常であるか否かを前記管理装置が判定する、
管理方法。
(付記2)
前記管理装置が前記期間に前記送信情報を正常に受信すべき回数と前記実行回数とが一致しないときに前記制御装置が異常であると前記管理装置が判定する、
付記1記載の管理方法。
(付記3)
前記送信処理を行った記録に対して、耐タンパ性を有するチップ内のソフトウェアにより電子署名が付与される、
付記1記載の管理方法。
(付記4)
前記管理装置が前記期間に前記送信情報を正常に受信すべき回数と前記実行回数とが一致し、前記電子署名の検証が成功したときに、前記制御装置が正常であると前記管理装置が判定する、
付記3記載の管理方法。
(付記5)
前記制御装置に関する情報は、所定の演算が行われて要約値に変換され、耐タンパ性を有するチップ内のソフトウェアにより前記要約値に電子署名が付与される、
付記3記載の管理方法。
(付記6)
前記制御装置は、前記管理装置と通信を行う第1の制御装置、または該第1の制御装置に接続され、所定の情報を処理する1以上の第2の制御装置であり、
前記第1の制御装置は、前記第2の制御装置に関する情報を纏めて前記管理装置に送信する、
付記1記載の管理方法。
(付記7)
前記送信情報は環境情報を含み、該環境情報に基づいて、前記制御装置が正常であるか否かを判定する、
付記4記載の管理方法。
(付記8)
前記チップ内のソフトウェアが前記制御装置を検査するソフトウェアの真正性を検証する、
付記3記載の管理方法。
(付記9)
前記制御装置が異常であると前記管理装置が判定した場合、前記制御装置の機能を停止する、
付記3記載の管理方法。
(付記10)
1以上の制御装置を管理する管理装置により実行される管理方法であって、
前記制御装置に関する情報と該情報を前記管理装置に送信したことを示す送信処理の実行に関する記録とを含む送信情報を受信し、
前記制御装置から前記送信情報を受信していない期間と、受信した前記記録に含まれる前記送信処理の実行回数とに基づいて、前記制御装置が異常であるか否かを判定する、
管理方法。
(付記11)
管理対象である制御装置に関する情報と該情報を送信したことを示す送信処理の実行に関する記録とを含む送信情報を受信し、
前記制御装置から前記送信情報を受信していない期間と、受信した前記記録に含まれる前記送信処理の実行回数とに基づいて、前記制御装置が異常であるか否かを判定する、
処理をコンピュータに実行させるための管理プログラム。
(付記12)
1以上の制御装置を管理する管理装置であって、
前記制御装置に関する情報と該情報を前記管理装置に送信したことを示す送信処理の実行に関する記録とを含む送信情報を受信する通信部と、
前記制御装置から前記送信情報を受信していない期間と、受信した前記記録に含まれる前記送信処理の実行回数とに基づいて、前記制御装置が異常であるか否かを判定する判定部と、
を備える管理装置。
(付記13)
1以上の制御装置と該制御装置を管理する管理装置とを含む管理システムであって、
前記制御装置は、
該制御装置に関する情報と該情報の送信処理の実行に関する記録とを含む送信情報を所定タイミングで前記管理装置に送信する制御を行う送信制御部と、
前記制御装置が前記送信処理を実行した後、前記管理装置から前記受領通知を受信しない場合、前記送信処理の実行に関する記録を記憶する記憶部と、
を備え、
前記管理装置は、
前記送信情報を受信したことに応じて、前記制御装置に受領通知を返信する制御を行う返信制御部と、
前記制御装置から前記送信情報を受信していない期間と、前記制御装置から受信した前記記憶部の前記記録に含まれる前記送信処理の実行回数とに基づいて、前記制御装置が異常であるか否かを判定する判定部と、
を備える管理システム。
(付記14)
管理装置と相互に通信を行う制御装置の情報処理方法であって、
前記制御装置に関する情報と該情報を前記管理装置に送信したことを示す送信処理の実行に関する記録とを含む送信情報を所定タイミングで前記制御装置が前記管理装置に送信し、
前記制御装置が前記送信処理を実行した後、前記管理装置から前記送信情報を受信した通知を受信しない場合、前記送信処理の実行に関する記録を記憶部に記憶する、
情報処理方法。
(付記15)
管理装置と相互に通信を行う制御装置の情報処理プログラムであって、
前記制御装置に関する情報と該情報を前記管理装置に送信したことを示す送信処理の実行に関する記録とを含む送信情報を所定タイミングで前記制御装置が前記管理装置に送信し、
前記制御装置が前記送信処理を実行した後、前記管理装置から前記送信情報を受信した通知を受信しない場合、前記送信処理の実行に関する記録を記憶部に記憶する、
処理をコンピュータに実行させるための情報処理プログラム。
(付記16)
管理装置と相互に通信を行う制御装置の情報処理装置であって、
該制御装置に関する情報と該情報を前記管理装置に送信したことを示す送信処理の実行に関する記録とを含む送信情報を所定タイミングで前記管理装置に送信する制御を行う送信制御部と、
前記制御装置が前記送信処理を実行した後、前記管理装置から前記受領通知を受信しない場合、前記送信処理の実行に関する記録を記憶する記憶部と、
を備える情報処理装置。
Regarding the above embodiment, the following additional notes are disclosed.
(Appendix 1)
One or more control devices and a management device communicate with each other, and the management device manages the control device,
The control device transmits transmission information including information related to the control device and a record related to execution of transmission processing of the information to the management device at a predetermined timing,
In response to receiving the transmission information, the management device returns a receipt notification to the control device,
When the control device does not receive the receipt notification from the management device after executing the transmission processing, the control device stores a record relating to the execution of the transmission processing in the storage unit,
Whether or not the control device is abnormal based on a period in which the transmission information is not received from the control device and the number of executions of the transmission process included in the recording of the storage unit received from the control device The management device determines whether
Management method.
(Appendix 2)
The management device determines that the control device is abnormal when the number of times the management device should normally receive the transmission information during the period and the number of executions do not match.
The management method according to
(Appendix 3)
An electronic signature is given to the record subjected to the transmission process by software in a tamper-resistant chip,
The management method according to
(Appendix 4)
The management device determines that the control device is normal when the number of times that the management device should normally receive the transmission information in the period matches the number of execution times and the verification of the electronic signature is successful. To
The management method according to attachment 3.
(Appendix 5)
Information regarding the control device is converted into a summary value by performing a predetermined calculation, and an electronic signature is given to the summary value by software in a chip having tamper resistance.
The management method according to attachment 3.
(Appendix 6)
The control device is a first control device that communicates with the management device, or one or more second control devices that are connected to the first control device and process predetermined information;
The first control device collectively transmits information related to the second control device to the management device.
The management method according to
(Appendix 7)
The transmission information includes environmental information, and based on the environmental information, it is determined whether or not the control device is normal.
The management method according to
(Appendix 8)
The software in the chip verifies the authenticity of the software that checks the controller;
The management method according to attachment 3.
(Appendix 9)
When the management device determines that the control device is abnormal, the function of the control device is stopped.
The management method according to attachment 3.
(Appendix 10)
A management method executed by a management device that manages one or more control devices,
Receiving transmission information including information relating to the control device and a record relating to execution of transmission processing indicating that the information has been transmitted to the management device;
Determining whether or not the control device is abnormal based on a period in which the transmission information is not received from the control device and the number of executions of the transmission process included in the received record;
Management method.
(Appendix 11)
Receiving transmission information including information related to a control device to be managed and a record relating to execution of transmission processing indicating that the information has been transmitted;
Determining whether or not the control device is abnormal based on a period in which the transmission information is not received from the control device and the number of executions of the transmission process included in the received record;
A management program that causes a computer to execute processing.
(Appendix 12)
A management device that manages one or more control devices,
A communication unit that receives transmission information including information related to the control device and a record related to execution of transmission processing indicating that the information has been transmitted to the management device;
A determination unit that determines whether or not the control device is abnormal based on a period in which the transmission information is not received from the control device and the number of executions of the transmission process included in the received record;
A management device comprising:
(Appendix 13)
A management system including one or more control devices and a management device that manages the control devices,
The control device includes:
A transmission control unit that performs control to transmit transmission information including information related to the control device and a record related to execution of transmission processing of the information to the management device at a predetermined timing;
When the control device does not receive the receipt notification from the management device after executing the transmission processing, a storage unit that stores a record relating to execution of the transmission processing;
With
The management device
In response to receiving the transmission information, a reply control unit that performs control to return a receipt notification to the control device;
Whether or not the control device is abnormal based on a period in which the transmission information is not received from the control device and the number of executions of the transmission process included in the recording of the storage unit received from the control device A determination unit for determining whether or not
A management system comprising:
(Appendix 14)
An information processing method of a control device that communicates with a management device,
The control apparatus transmits transmission information including information related to the control apparatus and a record related to execution of transmission processing indicating that the information has been transmitted to the management apparatus to the management apparatus at a predetermined timing.
When the control device does not receive the notification of receiving the transmission information from the management device after executing the transmission processing, stores a record relating to the execution of the transmission processing in the storage unit,
Information processing method.
(Appendix 15)
An information processing program for a control device that communicates with a management device,
The control apparatus transmits transmission information including information related to the control apparatus and a record related to execution of transmission processing indicating that the information has been transmitted to the management apparatus to the management apparatus at a predetermined timing.
When the control device does not receive the notification of receiving the transmission information from the management device after executing the transmission processing, stores a record relating to the execution of the transmission processing in the storage unit,
An information processing program for causing a computer to execute processing.
(Appendix 16)
An information processing device of a control device that communicates with a management device,
A transmission control unit that performs control to transmit transmission information including information related to the control device and a record related to execution of transmission processing indicating that the information has been transmitted to the management device to the management device;
When the control device does not receive the receipt notification from the management device after executing the transmission processing, a storage unit that stores a record relating to execution of the transmission processing;
An information processing apparatus comprising:
1 管理システム
2 自動車
3 管理サーバ
4 車載器
6 ECU
12 セキュリティチップ
15 検査エージェント
21 情報収集部
22 第1のタイマ
23 第2のタイマ
24 第1の記憶部
25 送信制御部
26 環境情報取得部
27 エンジン制御部
31 要約値生成部
32 電子署名付与部
40 検査エンジン
41 返信制御部
42 電子署検証部
43 比較部
44 判定部
45 第2の記憶部
46 第3のタイマ
47 カウンタ
48 通信部
111、211 CPU
112、212 RAM
113、213 ROM
DESCRIPTION OF
DESCRIPTION OF
112, 212 RAM
113, 213 ROM
Claims (12)
前記制御装置に関する情報と該情報の送信処理の実行に関する記録とを含む送信情報を所定タイミングで前記制御装置が前記管理装置に送信し、
前記管理装置が、前記送信情報を受信したことに応じて、前記制御装置に受領通知を返信し、
前記制御装置が前記送信処理を実行した後、前記管理装置から前記受領通知を受信しない場合、前記送信処理の実行に関する記録を前記制御装置が記憶部に記憶し、
前記制御装置から前記送信情報を受信していない期間と前記制御装置から受信した前記記憶部の前記記録に含まれる前記送信処理の実行回数とに基づいて、前記制御装置が異常であるか否かを前記管理装置が判定する、
管理方法。 One or more control devices and a management device communicate with each other, and the management device manages the control device,
The control device transmits transmission information including information related to the control device and a record related to execution of transmission processing of the information to the management device at a predetermined timing,
In response to receiving the transmission information, the management device returns a receipt notification to the control device,
When the control device does not receive the receipt notification from the management device after executing the transmission processing, the control device stores a record relating to the execution of the transmission processing in the storage unit,
Whether or not the control device is abnormal based on a period in which the transmission information is not received from the control device and the number of executions of the transmission process included in the record of the storage unit received from the control device The management device determines,
Management method.
請求項1記載の管理方法。 The management device determines that the control device is abnormal when the number of times the management device should normally receive the transmission information during the period and the number of executions do not match.
The management method according to claim 1.
請求項1または2記載の管理方法。 An electronic signature is given to the record subjected to the transmission process by software in a tamper-resistant chip,
The management method according to claim 1 or 2.
請求項3記載の管理方法。 The management device determines that the control device is normal when the number of times that the management device should normally receive the transmission information in the period matches the number of execution times and the verification of the electronic signature is successful. To
The management method according to claim 3.
請求項3または4記載の管理方法。 Information regarding the control device is converted into a summary value by performing a predetermined calculation, and an electronic signature is given to the summary value by software in a chip having tamper resistance.
The management method according to claim 3 or 4.
前記第1の制御装置は、前記第2の制御装置に関する情報を纏めて前記管理装置に送信する、
請求項1乃至5のうち何れか1項の記載の管理方法。 The control device is a first control device that communicates with the management device, or one or more second control devices that are connected to the first control device and process predetermined information;
The first control device collectively transmits information related to the second control device to the management device.
The management method according to any one of claims 1 to 5.
請求項1乃至6のうち何れか1項に記載の管理方法。 The transmission information includes environmental information, and based on the environmental information, it is determined whether or not the control device is normal.
The management method according to any one of claims 1 to 6.
前記制御装置に関する情報と該情報を前記管理装置に送信したことを示す送信処理の実行に関する記録とを含む送信情報を受信し、
前記制御装置から前記送信情報を受信していない期間と、受信した前記記録に含まれる前記送信処理の実行回数とに基づいて、前記制御装置が異常であるか否かを判定する、
管理方法。 A management method executed by a management device that manages one or more control devices,
Receiving transmission information including information relating to the control device and a record relating to execution of transmission processing indicating that the information has been transmitted to the management device;
Determining whether or not the control device is abnormal based on a period in which the transmission information is not received from the control device and the number of executions of the transmission process included in the received record;
Management method.
前記制御装置から前記送信情報を受信していない期間と、受信した前記記録に含まれる前記送信処理の実行回数とに基づいて、前記制御装置が異常であるか否かを判定する、
処理をコンピュータに実行させるための管理プログラム。 Receiving transmission information including information related to a control device to be managed and a record relating to execution of transmission processing indicating that the information has been transmitted;
Determining whether or not the control device is abnormal based on a period in which the transmission information is not received from the control device and the number of executions of the transmission process included in the received record;
A management program that causes a computer to execute processing.
前記制御装置に関する情報と該情報を前記管理装置に送信したことを示す送信処理の実行に関する記録とを含む送信情報を受信する通信部と、
前記制御装置から前記送信情報を受信していない期間と、受信した前記記録に含まれる前記送信処理の実行回数とに基づいて、前記制御装置が異常であるか否かを判定する判定部と、
を備える管理装置。 A management device that manages one or more control devices,
A communication unit that receives transmission information including information related to the control device and a record related to execution of transmission processing indicating that the information has been transmitted to the management device;
A determination unit that determines whether or not the control device is abnormal based on a period in which the transmission information is not received from the control device and the number of executions of the transmission process included in the received record;
A management device comprising:
前記制御装置は、
該制御装置に関する情報と該情報の送信処理の実行に関する記録とを含む送信情報を所定タイミングで前記管理装置に送信する制御を行う送信制御部と、
前記制御装置が前記送信処理を実行した後、前記管理装置から受領通知を受信しない場合、前記送信処理の実行に関する記録を記憶する記憶部と、
を備え、
前記管理装置は、
前記送信情報を受信したことに応じて、前記制御装置に受領通知を返信する制御を行う返信制御部と、
前記制御装置から前記送信情報を受信していない期間と、前記制御装置から受信した前記記憶部の前記記録に含まれる前記送信処理の実行回数とに基づいて、前記制御装置が異常であるか否かを判定する判定部と、
を備える管理システム。 A management system including one or more control devices and a management device that manages the control devices,
The control device includes:
A transmission control unit that performs control to transmit transmission information including information related to the control device and a record related to execution of transmission processing of the information to the management device at a predetermined timing;
A storage unit that stores a record relating to the execution of the transmission process, when the control apparatus does not receive a receipt notification from the management apparatus after executing the transmission process;
With
The management device
In response to receiving the transmission information, a reply control unit that performs control to return a receipt notification to the control device;
Whether or not the control device is abnormal based on a period in which the transmission information is not received from the control device and the number of executions of the transmission process included in the recording of the storage unit received from the control device A determination unit for determining whether or not
A management system comprising:
前記制御装置に関する情報と該情報を前記管理装置に送信したことを示す送信処理の実行に関する記録とを含む送信情報を所定タイミングで前記制御装置が前記管理装置に送信し、
前記制御装置が前記送信処理を実行した後、前記管理装置から前記送信情報を受信した通知を受信しない場合、前記送信処理の実行に関する記録を記憶部に記憶し、
前記制御装置が送信する前記送信情報に含まれている前記送信処理の実行に関する記録には、前記送信処理の実行回数が含まれており、
送信した前記送信情報を前記管理装置が受信していない期間と、前記送信処理の実行回数とが、前記管理装置による前記制御装置が異常であるか否かの判定に用いられる、
情報処理方法。
An information processing method of a control device that communicates with a management device,
The control apparatus transmits transmission information including information related to the control apparatus and a record related to execution of transmission processing indicating that the information has been transmitted to the management apparatus to the management apparatus at a predetermined timing.
When the control device does not receive the notification of receiving the transmission information from the management device after executing the transmission processing, stores a record relating to the execution of the transmission processing in a storage unit,
The control device to record about the execution of the said included in the transmission information transmission processing of transmitting, includes the number of times of execution of the transmission process,
A period in which the management device to transmit to the transmission information has not been received, and execution count of the transmission process, the control device by the management device is used to determine whether or not abnormal,
Information processing method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015025857A JP6483461B2 (en) | 2015-02-12 | 2015-02-12 | Management method, management program, management device, management system, and information processing method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015025857A JP6483461B2 (en) | 2015-02-12 | 2015-02-12 | Management method, management program, management device, management system, and information processing method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016149655A JP2016149655A (en) | 2016-08-18 |
JP6483461B2 true JP6483461B2 (en) | 2019-03-13 |
Family
ID=56691770
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015025857A Expired - Fee Related JP6483461B2 (en) | 2015-02-12 | 2015-02-12 | Management method, management program, management device, management system, and information processing method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6483461B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018116349A (en) * | 2017-01-16 | 2018-07-26 | 住友電気工業株式会社 | Relay apparatus, communication control method and communication control program |
JP6737731B2 (en) * | 2017-03-31 | 2020-08-12 | ヤンマーパワーテクノロジー株式会社 | Agricultural vehicle autonomous driving system |
JP2024051738A (en) * | 2022-09-30 | 2024-04-11 | 株式会社デンソー | Information processing device, information processing system, information processing program, and information processing method |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0599474A (en) * | 1991-10-04 | 1993-04-20 | Yokokawa Johnson Controls Kk | Air conditioning control system |
JP2009239511A (en) * | 2008-03-26 | 2009-10-15 | Daikin Ind Ltd | Device for processing data about equipment item, equipment item management system, and data processing method |
JP2012068729A (en) * | 2010-09-21 | 2012-04-05 | Mitsubishi Denki Information Technology Corp | Information processor and management device and program |
JP5861597B2 (en) * | 2012-08-30 | 2016-02-16 | トヨタ自動車株式会社 | Authentication system and authentication method |
JP2014085799A (en) * | 2012-10-23 | 2014-05-12 | Fujitsu Telecom Networks Ltd | Wireless sensor terminal, wireless monitoring device and wireless monitoring system |
-
2015
- 2015-02-12 JP JP2015025857A patent/JP6483461B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2016149655A (en) | 2016-08-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102506931B1 (en) | System and method for security inspection of electronic equipment | |
JP6594732B2 (en) | Fraud frame handling method, fraud detection electronic control unit, and in-vehicle network system | |
US10268557B2 (en) | Network monitoring device, network system, and computer program product | |
US20190312892A1 (en) | Onboard cybersecurity diagnostic system for vehicle, electronic control unit, and operating method thereof | |
US10723361B2 (en) | Monitoring apparatus, communication system, vehicle, monitoring method, and non-transitory storage medium | |
US20160378457A1 (en) | Program update system and program update method | |
US10178094B2 (en) | Communication system and information collection method executed in communication system | |
US11126730B2 (en) | Inspection system | |
US11683341B2 (en) | System and method for network intrusion detection based on physical measurements | |
JP6712538B2 (en) | Tamper detection system | |
JP6483461B2 (en) | Management method, management program, management device, management system, and information processing method | |
JP2009533736A (en) | Expansion of functions of mass production software in control equipment | |
JP2019185575A (en) | Controller and control method | |
CN101369141A (en) | Protection unit for a programmable data processing unit | |
JP7013921B2 (en) | Verification terminal | |
JP6459851B2 (en) | Electronic control device for vehicle | |
US11361600B2 (en) | Method for authenticating a diagnostic trouble code generated by a motor vehicle system of a vehicle | |
US10789365B2 (en) | Control device and control method | |
JP7176444B2 (en) | VEHICLE ELECTRONIC CONTROLLER, DEMAND DEVICE, AND FAULT DETECTION SYSTEM | |
JP7229426B2 (en) | In-vehicle control system and abnormality diagnosis method | |
KR102246322B1 (en) | Diagnostic system and method for vehicle | |
JP2016076053A (en) | Control system | |
JP2021165891A (en) | Vehicle management system | |
CN117040865A (en) | SecOC communication security event processing method and device and electronic control unit | |
CN115765904A (en) | Embedded system timing for automobile |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170313 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180221 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180306 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180411 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180724 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180822 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181204 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190107 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190129 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190214 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6483461 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |