DE112018003038T5 - Vorrichtung für fahrzeuginterne Kommunikation, Kommunikationssteuerverfahren und Kommunikationssteuerungsprogramm - Google Patents

Vorrichtung für fahrzeuginterne Kommunikation, Kommunikationssteuerverfahren und Kommunikationssteuerungsprogramm Download PDF

Info

Publication number
DE112018003038T5
DE112018003038T5 DE112018003038.5T DE112018003038T DE112018003038T5 DE 112018003038 T5 DE112018003038 T5 DE 112018003038T5 DE 112018003038 T DE112018003038 T DE 112018003038T DE 112018003038 T5 DE112018003038 T5 DE 112018003038T5
Authority
DE
Germany
Prior art keywords
communication
vehicle
information
emergency
control unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112018003038.5T
Other languages
English (en)
Inventor
Yuya Tanaka
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Electric Industries Ltd
Original Assignee
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Electric Industries Ltd filed Critical Sumitomo Electric Industries Ltd
Publication of DE112018003038T5 publication Critical patent/DE112018003038T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/01Fittings or systems for preventing or indicating unauthorised use or theft of vehicles operating on vehicle systems or fittings, e.g. on doors, seats or windscreens
    • B60R25/04Fittings or systems for preventing or indicating unauthorised use or theft of vehicles operating on vehicle systems or fittings, e.g. on doors, seats or windscreens operating on the propulsion system, e.g. engine or drive motor
    • B60R25/043Fittings or systems for preventing or indicating unauthorised use or theft of vehicles operating on vehicle systems or fittings, e.g. on doors, seats or windscreens operating on the propulsion system, e.g. engine or drive motor by blocking the exhaust
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/0055Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements
    • G05D1/0061Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements for transition from automatic pilot to manual pilot and vice versa
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/30Detection related to theft or to other events relevant to anti-theft systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/02Control of position or course in two dimensions
    • G05D1/021Control of position or course in two dimensions specially adapted to land vehicles
    • G05D1/0212Control of position or course in two dimensions specially adapted to land vehicles with means for defining a desired trajectory
    • G05D1/0214Control of position or course in two dimensions specially adapted to land vehicles with means for defining a desired trajectory in accordance with safety or protection criteria, e.g. avoiding hazardous areas
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/02Control of position or course in two dimensions
    • G05D1/021Control of position or course in two dimensions specially adapted to land vehicles
    • G05D1/0276Control of position or course in two dimensions specially adapted to land vehicles using signals provided by a source external to the vehicle
    • G05D1/028Control of position or course in two dimensions specially adapted to land vehicles using signals provided by a source external to the vehicle using a RF signal
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/008Registering or indicating the working of vehicles communicating information to a remotely located station
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/90Services for handling of emergency or hazardous situations, e.g. earthquake and tsunami warning systems [ETWS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/50Connection management for emergency connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Automation & Control Theory (AREA)
  • Computer Security & Cryptography (AREA)
  • Mechanical Engineering (AREA)
  • Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • Emergency Management (AREA)
  • Environmental & Geological Engineering (AREA)
  • Public Health (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

Eine in einem Fahrzeug installierte und zur Kommunikation mit einer externen Vorrichtung außerhalb des Fahrzeugs fähige Vorrichtung für fahrzeugexterne Kommunikation beinhaltet: eine Steuereinheit; und eine Speichereinheit, die einen manipulationsbeständigen sicheren Bereich aufweist und in dem sicheren Bereich mindestens eine von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einem Notfall speichert. Wenn ein unbefugter Zugriff in einer im Fahrzeug installierten fahrzeuginternen Einrichtung erkannt wird, führt die Steuereinheit mindestens eine von der Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen durch.

Description

  • TECHNISCHER BEREICH
  • Die vorliegende Erfindung betrifft eine Vorrichtung für fahrzeugexterne Kommunikation, ein Kommunikationssteuerverfahren und ein Kommunikationssteuerprogramm.
  • Diese Anmeldung beansprucht Priorität auf der Grundlage der am 14. Juni 2017 eingereichten japanischen Patentanmeldung Nr. 2017-116857 , deren gesamte Offenbarung hierin enthalten ist.
  • STAND DER TECHNIK
  • Die Patentliteratur 1 ( Japanese Patent Laid-Open No. 2013-168865 ) offenbart ein fahrzeuginternes Netzwerksystem wie folgt. Das heißt, das Fahrzeugnetzwerksystem beinhaltet: eine Fahrzeugsteuerung, die mit einem Speicher versehen ist, der Definitionsdaten speichert, die einen Teil des in einem Fahrzeugnetzwerk verwendeten Kommunikationsprotokolls definieren, wobei der Teil von der Implementierung des Fahrzeugnetzwerks abhängt; und eine Kommunikationsprotokollausgabevorrichtung, die die Definitionsdaten an die Fahrzeugsteuerung ausgibt. Wenn die Kommunikationsprotokollausstellvorrichtung von einer Registrierungsvorrichtung, die bewirkt, dass die Fahrzeugsteuerung am Fahrzeugnetzwerk teilnimmt, eine Registrierungsanforderung zum Anfordern der Teilnahme der Fahrzeugsteuerung am Fahrzeugnetzwerk erhält, führt die Kommunikationsprotokollausstellvorrichtung eine Authentifizierung für die Registrierungsvorrichtung durch, erstellt die Definitionsdaten abhängig von der Implementierung im Fahrzeugnetzwerk und sendet die Definitionsdaten an die Registrierungsvorrichtung zurück. Die Registrierungsvorrichtung empfängt die von der Ausgabevorrichtung des Kommunikationsprotokolls übertragenen Definitionsdaten und fordert die Fahrzeugsteuerung auf, die empfangenen Definitionsdaten im Speicher zu speichern. Anschließend empfängt die Fahrzeugsteuerung die Definitionsdaten von der Erfassungsvorrichtung, speichert die Definitionsdaten im Speicher und führt die Kommunikation in Abhängigkeit vom Kommunikationsprotokoll unter Verwendung des Fahrzeugnetzwerks gemäß dem durch die Definitionsdaten definierten Abschnitt durch.
  • ZITIERLISTE
  • PATENTLITERATUR
  • Patentliteratur 1: Japanisches offengelegtes Patent Nr. 2013-168865
  • [NICHT- PATENTLITERATUR]
    • Nicht-Patentliteratur 1: „Wikipedia“, [online], [gesucht am 16. Januar 2017], Internet <URL: http://ja.wikipedia.org/wiki/Virtual_Private_Network>
    • Nicht-Patentliteratur 2: „IT-Glossary e-Words“, [online], [gesucht am 1. Mai 2017], Internet <URL: http://e-words.jp/w/tamper resistance.html
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • (1) Eine Vorrichtung für fahrzeugexterne Kommunikation der vorliegenden Offenbarung ist eine Vorrichtung für fahrzeugexterne Kommunikation, die in einem Fahrzeug installiert ist und mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann, wobei die Vorrichtung für fahrzeugexterne Kommunikation Folgendes umfasst: eine Steuereinheit; und eine Speichereinheit, die einen manipulationsbeständigen sicheren Bereich aufweist und im sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallinformationen bezüglich eines vorgegebenen Vorgangs in einem Notfall speichert. Wenn ein unbefugter Zugriff in einer im Fahrzeug installierten Fahrzeugeinrichtung erkannt wird, führt die Steuereinheit mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen durch.
  • (2) Eine Vorrichtung für fahrzeugexterne Kommunikation der vorliegenden Offenbarung ist eine Vorrichtung für fahrzeugexterne Kommunikation, die in einem Fahrzeug installiert ist und mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann, wobei die Vorrichtung für fahrzeugexterne Kommunikation Folgendes beinhaltet: eine Speichereinheit, die Normalbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einer Normalzeit speichert; eine Hauptsteuereinheit, die eine Verarbeitung basierend auf den Normalbetriebsinformationen durchführt, eine sichere Speichereinheit, die einen manipulationsbeständigen sicheren Bereich aufweist und in dem sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einem Notfall speichert; und eine sichere Steuereinheit, die in der Lage ist, auf den sicheren Bereich zuzugreifen und anstelle der Hauptsteuereinheit mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen durchführt, wenn ein unbefugter Zugriff in im Fahrzeug installierten fahrzeuginternen Einrichtungen erkannt wird.
  • (3) Eine Vorrichtung für fahrzeugexterne Kommunikation der vorliegenden Offenbarung ist eine Vorrichtung für fahrzeugexterne Kommunikation, die in einem Fahrzeug installiert ist und mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann, wobei die Vorrichtung für fahrzeugexterne Kommunikation Folgendes umfasst: eine Steuereinheit; und eine Speichereinheit, die einen sicheren Bereich aufweist, zu dem der Zugriff von der Steuereinheit aus zulässig ist, wenn die Steuereinheit vorgegebene Informationen ausgibt, wobei die Speichereinheit im sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs im Notfall speichert. Wenn ein unbefugter Zugriff in einer im Fahrzeug installierten fahrzeuginternen Einrichtung erkannt wird, führt die Steuereinheit mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen durch.
  • (4) Eine Vorrichtung für fahrzeugexterne Kommunikation der vorliegenden Offenbarung ist eine Vorrichtung für fahrzeugexterne Kommunikation, die in einem Fahrzeug installiert ist und mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann, wobei die Vorrichtung für fahrzeugexterne Kommunikation Folgendes beinhaltet: eine Speichereinheit, die Normalbetriebsinformationen bezüglich eines vorgegebenen Betriebs in einer Normalzeit speichert; eine Hauptsteuereinheit, die eine Verarbeitung basierend auf den Normalbetriebsinformationen durchführt, eine sichere Speichereinheit, die einen sicheren Bereich aufweist und in dem sicheren Bereich mindestens einem von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Betriebs in einem Notfall speichert; und eine sichere Steuereinheit, die in der Lage ist, auf den sicheren Bereich zuzugreifen und anstelle der Hauptsteuereinheit mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen durchführt, wenn ein unbefugter Zugriff in im Fahrzeug installierten fahrzeuginternen Einrichtungen erkannt wird.
  • (13) Ein Kommunikationssteuerverfahren der vorliegenden Offenbarung ist ein Kommunikationssteuerverfahren in einer Vorrichtung für fahrzeugexterne Kommunikation, die in einem Fahrzeug installiert ist, mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann und eine Speichereinheit und eine Steuereinheit beinhaltet. Die Speichereinheit weist einen manipulationsbeständigen sicheren Bereich auf und speichert in dem sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einem Notfall, wobei das Verfahren die folgenden Schritte beinhaltet: Erfassen von mindestens einem von Kommunikationszielinformationen und der Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einem Notfall von der Speichereinheit, wenn ein unbefugter Zugriff in einer im Fahrzeug installierten fahrzeuginternen Einrichtung erkannt wird, und Durchführen mindestens einem von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der erfassten Kommunikationszielinformationen und Verarbeitung basierend auf den erfassten Notfallbetriebsinformationen.
  • (14) Ein Kommunikationssteuerverfahren der vorliegenden Offenbarung ist ein Kommunikationssteuerverfahren in einer Vorrichtung für fahrzeugexterne Kommunikation, die in einem Fahrzeug installiert ist, mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann und eine Speichereinheit, eine sichere Speichereinheit, eine Hauptsteuereinheit und eine sichere Steuereinheit beinhaltet. Die Speichereinheit speichert Normalbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einer normalen Zeit, die sichere Speichereinheit weist einen manipulationsbeständigen sicheren Bereich auf und speichert im sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einem Notfall, die sichere Steuereinheit ist in der Lage, auf den sicheren Bereich zuzugreifen, und das Verfahren beinhaltet die Schritte von: durch die Hauptsteuereinheit, Durchführen einer Verarbeitung basierend auf den Normalbetriebsinformationen, und durch die sichere Steuereinheit, Durchführen, anstelle der Hauptsteuereinheit, von mindestens einem von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeiten basierend auf den Notfallbetriebsinformationen, wenn ein unbefugter Zugriff in im Fahrzeug installierten fahrzeuginternen Einrichtungen erkannt wird.
  • (15) Ein Kommunikationssteuerverfahren der vorliegenden Offenbarung ist ein Kommunikationssteuerverfahren in einer Vorrichtung für fahrzeugexterne Kommunikation, die in einem Fahrzeug installiert ist, mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann und eine Speichereinheit und eine Steuereinheit beinhaltet. Die Speichereinheit weist einen sicheren Bereich auf, in den der Zugriff von der Steuereinheit aus gestattet ist, wenn die Steuereinheit vorgegebene Informationen ausgibt, und speichert in dem sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Betriebs im Notfall, wobei das Verfahren die folgenden Schritte umfasst: Erfassen mindestens eines von Kommunikationszielinformationen und Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einem Notfall von der Speichereinheit, wenn ein unbefugter Zugriff in einer im Fahrzeug installierten fahrzeuginternen Einrichtung erkannt wird, und Durchführen mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der erfassten Kommunikationszielinformationen und Verarbeitung basierend auf den erfassten Notfallbetriebsinformationen.
  • (16) Ein Kommunikationssteuerverfahren der vorliegenden Offenbarung ist ein Kommunikationssteuerverfahren in einer Vorrichtung für fahrzeugexterne Kommunikation, die in einem Fahrzeug installiert ist, mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann und eine Speichereinheit, eine sichere Speichereinheit, eine Hauptsteuereinheit und eine sichere Steuereinheit beinhaltet. Die Speichereinheit speichert Normalbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einer normalen Zeit, die sichere Speichereinheit weist einen sicheren Bereich auf und speichert im sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einem Notfall, die sichere Steuereinheit ist in der Lage, auf den sicheren Bereich zuzugreifen, und das Verfahren beinhaltet die Schritte von: durch die Hauptsteuerung, Durchführen einer Verarbeitung basierend auf den Normalbetriebsinformationen, und durch die sichere Steuereinheit, anstelle der Hauptsteuereinheit, Durchführen von mindestens einem von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeiten basierend auf den Notfallbetriebsinformationen, wenn ein unbefugter Zugriff in im Fahrzeug installierten fahrzeuginternen Einrichtungen erkannt wird.
  • (17) Ein Kommunikationssteuerprogramm der vorliegenden Offenbarung ist ein Programm, das in einer Vorrichtung für fahrzeugexterne Kommunikation verwendet wird, die in einem Fahrzeug installiert ist, mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann und eine Speichereinheit und eine Steuereinheit beinhaltet. Die Speichereinheit weist einen manipulationsbeständigen sicheren Bereich auf und speichert im sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einem Notfall, und das Programm veranlasst einen Computer, als Steuereinheit zu fungieren, die mindestens eines von der Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen durchführt, wenn ein unbefugter Zugriff in im Fahrzeug installierten Einrichtungen im Fahrzeug festgestellt wird.
  • (18) Ein Kommunikationssteuerungsprogramm der vorliegenden Offenbarung ist ein Programm, das in einer Vorrichtung für fahrzeugexterne Kommunikation verwendet wird, die in einem Fahrzeug installiert ist, mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann und eine Speichereinheit und eine sichere Speichereinheit beinhaltet. Die Speichereinheit speichert Normalbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einer normalen Zeit, wobei die sichere Speichereinheit einen manipulationsbeständigen sicheren Bereich aufweist, und im sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einem Notfall speichert, und das Programm bewirkt, dass ein Computer als Hauptsteuereinheit fungiert, die eine Verarbeitung basierend auf den Normalzeitbetriebsinformationen durchführt, und eine sichere Steuereinheit, die in der Lage ist, auf den sicheren Bereich zuzugreifen und anstelle der Hauptsteuereinheit mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen, wenn ein unbefugter Zugriff in im Fahrzeug installierten fahrzeuginternen Einrichtungen festgestellt wird.
  • (19) Ein Kommunikationssteuerprogramm der vorliegenden Offenbarung ist ein Programm, das in einer Vorrichtung für fahrzeugexterne Kommunikation verwendet wird, die in einem Fahrzeug installiert ist, mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann und eine Speichereinheit und eine Steuereinheit beinhaltet. Die Speichereinheit weist einen sicheren Bereich auf, in den der Zugriff von der Steuereinheit gestattet ist, wenn die Steuereinheit vorgegebene Informationen ausgibt und in dem sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Betriebs im Notfall speichert, und das Programm bewirkt, dass ein Computer als Steuereinheit fungiert, die mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen durchführt, wenn ein unbefugter Zugriff in einer im Fahrzeug installierten fahrzeuginternen Einrichtung festgestellt wird.
  • (20) Ein Kommunikationssteuerungsprogramm der vorliegenden Offenbarung ist ein Programm, das in einer Vorrichtung für fahrzeugexterne Kommunikation verwendet wird, die in einem Fahrzeug installiert ist, mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann und eine Speichereinheit und eine sichere Speichereinheit beinhaltet. Die Speichereinheit speichert Normalbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einer normalen Zeit, die sichere Speichereinheit weist einen sicheren Bereich auf und speichert im sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einem Notfall, und das Programm veranlasst einen Computer, als Hauptsteuereinheit zu fungieren, der eine Verarbeitung basierend auf den Normalzeitbetriebsinformationen durchführt, und eine sichere Steuereinheit, die in der Lage ist, auf den sicheren Bereich zuzugreifen und anstelle der Hauptsteuereinheit mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen durchführt, wenn ein unbefugter Zugriff in im Fahrzeug installierten fahrzeuginternen Einrichtungen erkannt wird.
  • Ein Aspekt der vorliegenden Offenbarung kann nicht nur als Vorrichtung für fahrzeugexterne Kommunikation mit einer solchen charakteristischen Verarbeitungseinheit, sondern auch als fahrzeuginternes Kommunikationssystem mit einer Vorrichtung für fahrzeugexterne Kommunikation realisiert werden. Darüber hinaus kann die vorliegende Erfindung als integrierte Halbleiterschaltung realisiert werden, die einen Teil oder die gesamte Vorrichtung für fahrzeugexterne Kommunikation realisiert.
  • Figurenliste
    • [1] 1 ist ein Diagramm, das eine Konfiguration eines fahrzeuginternen Kommunikationssystems gemäß einer ersten Ausführungsform der vorliegenden Erfindung darstellt.
    • [2] 2 ist ein Diagramm, das eine Konfiguration einer Vorrichtung für fahrzeugexterne Kommunikation im Fahrzeugkommunikationssystem gemäß der ersten Ausführungsform der vorliegenden Erfindung darstellt.
    • [3] 3 ist ein Diagramm, das eine Konfiguration einer Large Scale Integration (LSI) Kommunikation in der Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung darstellt.
    • [4] 4 ist ein Flussdiagramm, das einen Betriebsablauf für jede Verarbeitung definiert, die durchgeführt wird, wenn die Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung unberechtigten Zugriff erkennt.
    • [5] 5 ist ein Flussdiagramm, das einen Betriebsablauf für jede Verarbeitung definiert, die durchgeführt wird, wenn die Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung unberechtigten Zugriff erkennt.
    • [6] 6 ist ein Flussdiagramm, das einen Betriebsablauf für jede Verarbeitung definiert, die durchgeführt wird, wenn die Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung unberechtigten Zugriff erkennt.
    • [7] 7 ist ein Flussdiagramm, das einen Betriebsablauf für jede Verarbeitung definiert, die durchgeführt wird, wenn die Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung unberechtigten Zugriff erkennt.
    • [8] 8 ist ein Flussdiagramm, das einen Betriebsablauf für jede Verarbeitung definiert, die durchgeführt wird, wenn die Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung unberechtigten Zugriff erkennt.
    • [9] 9 ist ein Diagramm, das eine Konfiguration einer Vorrichtung für fahrzeugexterne Kommunikation in einem fahrzeuginternen Kommunikationssystem gemäß einer zweiten Ausführungsform der vorliegenden Erfindung darstellt.
    • [10] 10 ist ein Flussdiagramm, das einen Betriebsablauf für jede Verarbeitung definiert, die durchgeführt wird, wenn die Vorrichtung für fahrzeugexterne Kommunikation gemäß der zweiten Ausführungsform der vorliegenden Erfindung unberechtigten Zugriff erkennt.
    • [11] 11 ist ein Flussdiagramm, das einen Betriebsablauf für jede Verarbeitung definiert, die durchgeführt wird, wenn die Vorrichtung für fahrzeugexterne Kommunikation gemäß der zweiten Ausführungsform der vorliegenden Erfindung unberechtigten Zugriff erkennt.
    • [12] 12 ist ein Flussdiagramm, das einen Betriebsablauf für jede Verarbeitung definiert, die durchgeführt wird, wenn die Vorrichtung für fahrzeugexterne Kommunikation gemäß der zweiten Ausführungsform der vorliegenden Erfindung unberechtigten Zugriff erkennt.
    • [13] 13 ist ein Flussdiagramm, das einen Betriebsablauf für jede Verarbeitung definiert, die durchgeführt wird, wenn die Vorrichtung für fahrzeugexterne Kommunikation gemäß der zweiten Ausführungsform der vorliegenden Erfindung unberechtigten Zugriff erkennt.
    • [14] 14 ist ein Flussdiagramm, das einen Betriebsablauf für jede Verarbeitung definiert, die durchgeführt wird, wenn die Vorrichtung für fahrzeugexterne Kommunikation gemäß der zweiten Ausführungsform der vorliegenden Erfindung unberechtigten Zugriff erkennt.
  • BESCHREIBUNG DER AUSFÜHRUNGSFORMEN
  • Konventionell wurde ein fahrzeuginternes Netzwerksystem zur Verbesserung der Sicherheit in einem fahrzeuginternen Netzwerk entwickelt.
  • [Problem, das durch die vorliegende Offenbarung zu lösen ist]
  • Wenn beispielsweise das in der Patentliteratur 1 beschriebene Fahrzeugnetzwerk mit einem externen Netzwerk außerhalb des Fahrzeugs verbunden ist, kann im Fahrzeug eine Vorrichtung für fahrzeugexterne Kommunikation zur Kommunikation mit dem externen Netzwerk vorgesehen werden. In diesem Fall ist es denkbar, dass die Vorrichtung für fahrzeugexterne Kommunikation einen unbefugten Zugriff, wie beispielsweise Hacking von der Außenseite des Fahrzeugs, erhält, und ein Verfahren zur Durchführung einer geeigneten Verarbeitung, wie sie die Vorrichtung für fahrzeugexterne Kommunikation benötigt, wenn ein solcher unbefugter Zugriff erfolgt.
  • Die vorliegende Offenbarung wurde vorgenommen, um das vorstehend beschriebene Problem zu lösen, und ein Ziel der vorliegenden Offenbarung ist es, eine Vorrichtung für fahrzeugexterne Kommunikation, ein Kommunikationssteuerverfahren und ein Kommunikationssteuerprogramm bereitzustellen, das in der Lage ist, eine entsprechende Verarbeitung zuverlässiger durchzuführen, selbst wenn ein unbefugter Zugriff in einem Fahrzeugnetzwerk empfangen wird.
  • [Wirkung der vorliegenden Offenbarung]
  • Nach der vorliegenden Offenbarung kann eine entsprechende Verarbeitung auch dann zuverlässiger durchgeführt werden, wenn im fahrzeuginternen Netz ein unbefugter Zugriff erfolgt.
  • [Beschreibung der Ausführungsformen]
  • Zunächst wird der Inhalt der Ausführungsformen der vorliegenden Erfindung aufgelistet und beschrieben.
  • (1) Eine Vorrichtung für fahrzeugexterne Kommunikation gemäß einer Ausführungsform der vorliegenden Erfindung ist eine in einem Fahrzeug installierte Vorrichtung für fahrzeugexterne Kommunikation, die in der Lage ist, mit einer externen Vorrichtung außerhalb des Fahrzeugs zu kommunizieren, wobei die Vorrichtung für fahrzeugexterne Kommunikation Folgendes umfasst: eine Steuereinheit; und eine Speichereinheit, die einen manipulationsbeständigen sicheren Bereich aufweist und im sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einem Notfall speichert. Wenn ein unbefugter Zugriff in einer im Fahrzeug installierten fahrzeuginternen Einrichtung erkannt wird, führt die Steuereinheit mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel, indem sie die Informationen des Kommunikationsziels verwendet und Verarbeitungen basierend auf den Notfallbetriebsinformationen durch.
  • Wie so beschrieben, kann beispielsweise bei der Konfiguration, bei der mindestens eines von Kommunikationszielinformationen und für die Verarbeitung erforderlichen Notfallbetriebsinformationen, die bei Erhalt eines unbefugten Zugangs durchgeführt werden sollen, in dem von außen schwer umschreibbaren sicheren Bereich gespeichert werden, auch wenn ein unbefugter Zugang empfangen wird, eine Information, die aufgrund eines unbefugten Zugangs frei von Sorgen um ein Umschreiben ist, aus dem sicheren Bereich erfasst werden, so dass es möglich ist, mindestens eine der Kommunikation mit dem angenommenen Kommunikationsziel und der angenommenen Verarbeitung zuverlässig durchzuführen. Daher kann im fahrzeuginternen Netzwerk eine entsprechende Verarbeitung auch bei unberechtigtem Zugriff zuverlässiger durchgeführt werden. Darüber hinaus ist es bei Empfang eines unbefugten Zugriffs mit der Konfiguration zur Durchführung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen möglich, die Übertragung von Informationen sicherzustellen, die für den Umgang mit dem unbefugten Zugriff erforderlich sind, im Vergleich zu beispielsweise einer Konfiguration, bei der die Kommunikation mit der externen Vorrichtung vollständig blockiert ist, wenn ein unbefugter Zugriff empfangen wird.
  • (2) Eine Vorrichtung für fahrzeugexterne Kommunikation gemäß einer Ausführungsform der vorliegenden Erfindung ist eine in einem Fahrzeug installierte Vorrichtung für fahrzeugexterne Kommunikation, die mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann, wobei die Vorrichtung für fahrzeugexterne Kommunikation Folgendes beinhaltet: eine Speichereinheit, die Normalzeitbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einer Normalzeit speichert; eine Hauptsteuereinheit, die eine Verarbeitung basierend auf den Normalzeitbetriebsinformationen durchführt; eine sichere Speichereinheit, die einen manipulationsbeständigen sicheren Bereich aufweist und in dem sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einem Notfall speichert; und eine sichere Steuereinheit, die in der Lage ist, auf den sicheren Bereich zuzugreifen und anstelle der Hauptsteuereinheit mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen durchführt, wenn ein unbefugter Zugriff in im Fahrzeug installierten Einrichtungen erkannt wird.
  • Wie so beschrieben, z.B. bei der Konfiguration, bei der mindestens eines von Kommunikationszielinformationen und für die Verarbeitung erforderlichen Notfallbetriebsinformationen, die bei Empfang eines unbefugten Zugriffs durchgeführt werden sollen, in dem für die sichere Steuereinheit zugänglichen sicheren Bereich gespeichert sind und die sichere Steuereinheit die Steuerung anstelle der Hauptsteuereinheit ausführt, wenn ein unbefugter Zugriff erkannt wird, selbst wenn ein unbefugter Zugriff empfangen wird, kann die sichere Steuereinheit, die für eine unbefugte Bedienung von außen schwierig ist, zuverlässig mindestens eines von Kommunikation mit dem angenommenen Kommunikationsziel und angenommener Verarbeitung durch Verwendung der Informationen im gesicherten Bereich durchführen, die frei von Sorgen um das Umschreiben durch den Zugriff ist. Daher kann im fahrzeuginternen Netzwerk eine entsprechende Verarbeitung auch bei unberechtigtem Zugriff zuverlässiger durchgeführt werden. Darüber hinaus ist es bei Empfang eines unbefugten Zugriffs mit der Konfiguration zur Durchführung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen möglich, die Übertragung von Informationen sicherzustellen, die für den Umgang mit dem unbefugten Zugriff erforderlich sind, im Vergleich zu beispielsweise einer Konfiguration, bei der die Kommunikation mit der externen Vorrichtung vollständig blockiert ist, wenn ein unbefugter Zugriff empfangen wird.
  • (3) Eine Vorrichtung für fahrzeugexterne Kommunikation gemäß einer Ausführungsform der vorliegenden Erfindung ist eine in einem Fahrzeug installierte Vorrichtung für fahrzeugexterne Kommunikation, die in der Lage ist, mit einer externen Vorrichtung außerhalb des Fahrzeugs zu kommunizieren, wobei die Vorrichtung für fahrzeugexterne Kommunikation Folgendes umfasst: eine Steuereinheit; und eine Speichereinheit, die einen sicheren Bereich aufweist, zu dem der Zugriff von der Steuereinheit zulässig ist, wenn die Steuereinheit vorgegebene Informationen ausgibt, wobei die Speichereinheit im sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einem Notfall speichert. Wenn ein unbefugter Zugriff in einer im Fahrzeug installierten Fahrzeugeinrichtung erkannt wird, führt die Steuereinheit mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen durch.
  • Wie so beschrieben, kann beispielsweise bei der Konfiguration, bei der mindestens eines von Kommunikationszielinformationen und die für die Verarbeitung erforderlichen Notfallbetriebsinformationen, die bei Erhalt eines unbefugten Zugangs durchgeführt werden sollen, in dem von außen schwer umschreibbaren sicheren Bereich gespeichert werden, auch wenn ein unbefugter Zugang empfangen wird, eine Information, die aufgrund eines unbefugten Zugangs frei von Sorgen um das Umschreiben ist, aus dem sicheren Bereich erfasst werden, so dass es möglich ist, mindestens eines von Kommunikation mit dem angenommenen Kommunikationsziel und angenommener Verarbeitung zuverlässig durchzuführen. Daher kann im Fahrzeugnetz eine entsprechende Verarbeitung auch bei unberechtigtem Zugriff zuverlässiger durchgeführt werden. Darüber hinaus ist es bei Empfang eines unbefugten Zugriffs mit der Konfiguration zur Durchführung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen möglich, die Übertragung von Informationen sicherzustellen, die für den Umgang mit dem unbefugten Zugriff erforderlich sind, im Vergleich zu beispielsweise einer Konfiguration, bei der die Kommunikation mit der externen Vorrichtung vollständig blockiert ist, wenn ein unbefugter Zugriff empfangen wird.
  • (4) Eine Vorrichtung für fahrzeugexterne Kommunikation gemäß einer Ausführungsform der vorliegenden Erfindung ist eine in einem Fahrzeug installierte Vorrichtung für fahrzeugexterne Kommunikation, die mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann, wobei die Vorrichtung für fahrzeugexterne Kommunikation Folgendes beinhaltet: eine Speichereinheit, die Normalzeitbetriebsinformationen bezüglich eines vorgegebenen Betriebs in einer Normalzeit speichert; eine Hauptsteuereinheit, die eine Verarbeitung basierend auf den Normalzeitbetriebsinformationen durchführt; eine sichere Speichereinheit, die einen sicheren Bereich aufweist und in dem sicheren Bereich mindestens eines der Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Betriebs in einem Notfall speichert; und eine sichere Steuereinheit, die in der Lage ist, auf den sicheren Bereich zuzugreifen und anstelle der Hauptsteuereinheit mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen durchführt, wenn ein unbefugter Zugriff in im Fahrzeug installierten Einrichtungen erkannt wird.
  • Wie so beschrieben, z.B. bei der Konfiguration, bei der mindestens eines von Kommunikationszielinformationen und die für die Verarbeitung erforderlichen Notfallbetriebsinformationen, die bei Empfang eines unbefugten Zugriffs durchgeführt werden sollen, in dem für die sichere Steuereinheit zugänglichen sicheren Bereich gespeichert sind und die sichere Steuereinheit die Steuerung anstelle der Hauptsteuereinheit ausführt, wenn ein unbefugter Zugriff erkannt wird, selbst wenn ein unbefugter Zugriff empfangen wird, kann die sichere Steuereinheit, die für eine unbefugte Bedienung von außen schwierig ist, zuverlässig mindestens eines von Kommunikation mit dem angenommenen Kommunikationsziel und der angenommenen Verarbeitung durch Verwendung der Informationen im gesicherten Bereich durchführen, der frei von Sorgen um das Umschreiben durch den Zugriff ist. Daher kann im Fahrzeugnetz eine entsprechende Verarbeitung auch bei unberechtigtem Zugriff zuverlässiger durchgeführt werden. Darüber hinaus ist es bei Empfang eines unbefugten Zugriffs mit der Konfiguration zur Durchführung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen möglich, die Übertragung von Informationen sicherzustellen, die für den Umgang mit dem unbefugten Zugriff erforderlich sind, im Vergleich zu beispielsweise einer Konfiguration, bei der die Kommunikation mit der externen Vorrichtung vollständig blockiert ist, wenn ein unbefugter Zugriff empfangen wird.
  • (5) Vorzugsweise ist das Kommunikationsziel die externe Vorrichtung, die Informationen überträgt, die für das autonome Fahren des Fahrzeugs erforderlich sind.
  • Mit einer solchen Konfiguration kann die Übertragung von Informationen, die mit der externen Vorrichtung ausgetauscht werden, die Informationen überträgt, die für das autonome Fahren des Fahrzeugs erforderlich sind, gewährleistet werden, wodurch ein Beitrag zur Fortsetzung des autonomen Fahrens des Fahrzeugs bei Erhalt eines unbefugten Zugangs geleistet wird.
  • (6) Vorzugsweise ist das Kommunikationsziel die externe Vorrichtung einer Notruf- Empfangsorganisation.
  • Mit einer solchen Konfiguration ist es möglich, die Notruf-Empfangsorganisation zuverlässiger zu benachrichtigen, dass das Fahrzeug unbefugten Zugang und dergleichen erhalten hat.
  • (7) Vorzugsweise zeigt das Kommunikationsziel eine Übertragung an.
  • Wenn beispielsweise in einem Fall, in dem ein Kommunikationsziel angegeben ist, es für das Kommunikationsziel schwierig ist, Informationen von der Vorrichtung für fahrzeugexterne Kommunikation zu empfangen, können Informationen nicht von der Vorrichtung für fahrzeugexterne Kommunikation an das Äußere des Fahrzeugs übertragen werden. Andererseits ist es mit der oben beschriebenen Konfiguration, bei der das Kommunikationsziel nicht angegeben ist, möglich, Informationen zuverlässiger an das Äußere des Fahrzeugs zu übertragen.
  • (8) Vorzugsweise werden Informationen, die anzeigen, dass das Fahrzeug den unbefugten Zugang erhält, als Kommunikation mit dem Kommunikationsziel übertragen.
  • Mit einer solchen Konfiguration ist es möglich, an jede Vorrichtung zu senden, dass das Fahrzeug unbefugten Zugriff erhalten hat.
  • (9) Vorzugsweise ist der vorgegebene Notfallbetrieb die Kommunikation mit mindestens einer der externen Vorrichtungen und der fahrzeuginternen Einrichtung.
  • Mit einer solchen Konfiguration ist es selbst in einer Situation, in der ein unbefugter Zugriff, der die Kommunikationszuverlässigkeit beeinträchtigen könnte, empfangen wird, möglich, die Kommunikation mit mindestens einer der externen Vorrichtungen und der fahrzeuginternen Einrichtung auf der Grundlage der Notfallinformationen im sicheren Bereich zufriedenstellend durchzuführen, ohne sich um ein Umschreiben aufgrund eines unbefugten Zugriffs zu sorgen.
  • (10) Vorzugsweise wird der vorgegebene Notfallbetrieb vom autonomen Fahren auf das manuelle Fahren des Fahrzeugs umgestellt.
  • Wie so beschrieben, kann der Fahrer in einer Situation, in der unbefugter Zugriff die Zuverlässigkeit des autonomen Fahrens des Fahrzeugs beeinträchtigen kann, mit der Konfiguration, vom autonomen Fahren auf manuelles Fahren umzuschalten, das Fahrzeug steuern, und es ist somit möglich, ein zufriedenstellendes Fahren des Fahrzeugs aufrechtzuerhalten, selbst wenn ein unbefugter Zugriff erfolgt.
  • (11) Vorzugsweise stoppt der vorgegebene Vorgang im Notfall das Fahrzeug auf einem Seitenstreifen.
  • Wie so beschrieben, ist es in einer Situation, in der unbefugter Zugriff die Zuverlässigkeit der autonomen Fahrt des Fahrzeugs beeinträchtigen kann, mit der Konfiguration, in der das Fahrzeug auf einem Seitenstreifen angehalten wird, möglich, die Sicherheit des Fahrzeugs zu gewährleisten und die Fortsetzung der autonomen Fahrt mit geringer Zuverlässigkeit zu verhindern.
  • (12) Vorzugsweise ist der sichere Bereich in einem Speicherbereich einer sicheren Vorrichtung enthalten.
  • Wie vorstehend beschrieben, ist es beispielsweise bei der Konfiguration zur Verwendung des sicheren Bereichs in einer universellen sicheren Vorrichtung möglich, den sicheren Bereich in der Vorrichtung für fahrzeugexterne Kommunikation einfach zu gewährleisten.
  • (13) Ein Kommunikationssteuerverfahren gemäß einer Ausführungsform der vorliegenden Erfindung ist ein Kommunikationssteuerverfahren in einer Vorrichtung für fahrzeugexterne Kommunikation, die in einem Fahrzeug installiert ist, mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann und eine Speichereinheit und eine Steuereinheit beinhaltet. Die Speichereinheit weist einen manipulationsbeständigen sicheren Bereich auf und speichert in dem sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einem Notfall, wobei das Verfahren die folgenden Schritte beinhaltet: Erfassen von mindestens eines von der Kommunikationszielinformationen und der Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einem Notfall von der Speichereinheit, wenn ein unbefugter Zugriff in einer im Fahrzeug installierten fahrzeuginternen Einrichtung erkannt wird, und Durchführen mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der erfassten Kommunikationszielinformationen und Verarbeitung basierend auf den erfassten Notfallbetriebsinformationen.
  • Wie so beschrieben, kann beispielsweise bei der Konfiguration, bei der mindestens eine der Kommunikationszielinformationen und die für die Verarbeitung erforderlichen Notfallbetriebsinformationen, die bei Erhalt eines unbefugten Zugangs durchgeführt werden sollen, in dem von außen schwer umschreibbaren sicheren Bereich gespeichert werden, auch wenn ein unbefugter Zugang empfangen wird, eine Information, die aufgrund eines unbefugten Zugangs keine Sorge um ein Umschreiben hat, aus dem sicheren Bereich erfasst werden, so dass es möglich ist, mindestens eine der Kommunikation mit dem angenommenen Kommunikationsziel und der angenommenen Verarbeitung zuverlässig durchzuführen. Daher kann im Fahrzeugnetz eine entsprechende Verarbeitung auch bei unberechtigtem Zugriff zuverlässiger durchgeführt werden. Darüber hinaus ist es bei Empfang eines unbefugten Zugriffs mit der Konfiguration zur Durchführung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen möglich, die Übertragung von Informationen sicherzustellen, die für den Umgang mit dem unbefugten Zugriff erforderlich sind, im Vergleich zu beispielsweise einer Konfiguration, bei der die Kommunikation mit der externen Vorrichtung vollständig blockiert ist, wenn ein unbefugter Zugriff empfangen wird.
  • (14) Ein Kommunikationssteuerverfahren gemäß einer Ausführungsform der vorliegenden Erfindung ist ein Kommunikationssteuerverfahren in einer Vorrichtung für fahrzeugexterne Kommunikation, die in einem Fahrzeug installiert ist, mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann und eine Speichereinheit, eine sichere Speichereinheit, eine Hauptsteuereinheit und eine sichere Steuereinheit beinhaltet. Die Speichereinheit speichert Normalzeitbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einer Normalzeit, die sichere Speichereinheit weist einen manipulationsbeständigen sicheren Bereich auf und speichert im sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einem Notfall, die sichere Steuereinheit ist in der Lage, auf den sicheren Bereich zuzugreifen, und das Verfahren beinhaltet die Schritte von: die sichere Steuereinheit, die eine Verarbeitung basierend auf den Normalzeitbetriebsinformationen durchführt, und die sichere Steuereinheit, die anstelle der Hauptsteuereinheit mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen durchführt, wenn ein unbefugter Zugriff in einer im Fahrzeug installierten Fahrzeugeinrichtung erkannt wird.
  • Wie so beschrieben, z.B. bei der Konfiguration, bei der mindestens eines von Kommunikationszielinformationen und für die Verarbeitung erforderlichen Notfallbetriebsinformationen, die bei Empfang eines unbefugten Zugriffs durchgeführt werden sollen, in dem für die sichere Steuereinheit zugänglichen sicheren Bereich gespeichert sind und die sichere Steuereinheit die Steuerung anstelle der Hauptsteuereinheit ausführt, wenn ein unbefugter Zugriff erkannt wird, selbst wenn ein unbefugter Zugriff empfangen wird, kann die sichere Steuereinheit, die für eine unbefugte Bedienung von außen schwierig ist, zuverlässig mindestens eine Kommunikation mit dem angenommenen Kommunikationsziel und der angenommenen Verarbeitung durch Verwendung der Informationen im gesicherten Bereich durchführen, der frei von Sorgen um das Umschreiben durch den Zugriff ist. Daher kann im Fahrzeugnetz eine entsprechende Verarbeitung auch bei unberechtigtem Zugriff zuverlässiger durchgeführt werden. Darüber hinaus ist es bei Empfang eines unbefugten Zugriffs mit der Konfiguration zur Durchführung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen möglich, die Übertragung von Informationen sicherzustellen, die für den Umgang mit dem unbefugten Zugriff erforderlich sind, im Vergleich zu beispielsweise einer Konfiguration, bei der die Kommunikation mit der externen Vorrichtung vollständig blockiert ist, wenn ein unbefugter Zugriff empfangen wird.
  • (15) Ein Kommunikationssteuerverfahren gemäß einer Ausführungsform der vorliegenden Erfindung ist ein Kommunikationssteuerverfahren in einer Vorrichtung für fahrzeugexterne Kommunikation, die in einem Fahrzeug installiert ist, mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann und eine Speichereinheit und eine Steuereinheit beinhaltet. Die Speichereinheit weist einen sicheren Bereich auf, in den der Zugriff von der Steuereinheit aus gestattet ist, wenn die Steuereinheit vorgegebene Informationen ausgibt, und speichert in dem sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Betriebs im Notfall, wobei das Verfahren die folgenden Schritte umfasst: Erfassen mindestens eines von Kommunikationszielinformationen und Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einem Notfall von der Speichereinheit, wenn ein unbefugter Zugriff in einer im Fahrzeug installierten Fahrzeugeinrichtung erkannt wird, und Durchführen mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der erfassten Kommunikationszielinformationen und Verarbeitung basierend auf den erfassten Notfallbetriebsinformationen.
  • Wie so beschrieben, kann beispielsweise bei der Konfiguration, bei der mindestens eines von Kommunikationszielinformationen und für die Verarbeitung erforderlichen Notfallbetriebsinformationen, die bei Erhalt eines unbefugten Zugangs durchgeführt werden sollen, in dem von außen schwer umschreibbaren sicheren Bereich gespeichert werden, auch wenn ein unbefugter Zugang empfangen wird, eine Information, die aufgrund eines unbefugten Zugangs keine Sorge um ein Umschreiben hat, aus dem sicheren Bereich erfasst werden, so dass es möglich ist, mindestens eine der Kommunikation mit dem angenommenen Kommunikationsziel und der angenommenen Verarbeitung zuverlässig durchzuführen. Daher kann im Fahrzeugnetz eine entsprechende Verarbeitung auch bei unberechtigtem Zugriff zuverlässiger durchgeführt werden. Darüber hinaus ist es bei Empfang eines unbefugten Zugriffs mit der Konfiguration zur Durchführung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen möglich, die Übertragung von Informationen sicherzustellen, die für den Umgang mit dem unbefugten Zugriff erforderlich sind, im Vergleich zu beispielsweise einer Konfiguration, bei der die Kommunikation mit der externen Vorrichtung vollständig blockiert ist, wenn ein unbefugter Zugriff empfangen wird.
  • (16) Ein Kommunikationssteuerverfahren gemäß einer Ausführungsform der vorliegenden Erfindung ist ein Kommunikationssteuerverfahren in einer Vorrichtung für fahrzeugexterne Kommunikation, die in einem Fahrzeug installiert ist, mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann und eine Speichereinheit, eine sichere Speichereinheit, eine Hauptsteuereinheit und eine sichere Steuereinheit beinhaltet. Die Speichereinheit speichert Normalzeitbetriebsinformationen bezüglich eines vorgegebenen Betriebs in einer normalen Zeit, die sichere Speichereinheit weist einen sicheren Bereich auf und speichert im sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Betriebs in einem Notfall, die sichere Steuereinheit ist in der Lage, auf den sicheren Bereich zuzugreifen, und das Verfahren beinhaltet die Schritte von: die Hauptsteuerung, die eine Verarbeitung auf der Grundlage der Normalzeitbetriebsinformationen durchführt, und die sichere Steuereinheit, die anstelle der Hauptsteuereinheit mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung auf der Grundlage der Notfallbetriebsinformationen durchführt, wenn ein unbefugter Zugriff in im Fahrzeug installierten Einrichtungen im Fahrzeug erkannt wird.
  • Wie so beschrieben, beispielsweise bei der Konfiguration, bei der mindestens eines von Kommunikationszielinformationen und für die Verarbeitung erforderlichen Notfallbetriebsinformationen, die bei Empfang eines unbefugten Zugriffs durchgeführt werden sollen, in dem für die sichere Steuereinheit zugänglichen sicheren Bereich gespeichert sind und die sichere Steuereinheit die Steuerung anstelle der Hauptsteuereinheit ausführt, wenn ein unbefugter Zugriff erkannt wird, selbst wenn ein unbefugter Zugriff empfangen wird, kann die sichere Steuereinheit, die für eine unbefugte Bedienung von außen schwierig ist, zuverlässig mindestens eines von Kommunikation mit dem angenommenen Kommunikationsziel und angenommener Verarbeitung durch Verwendung der Informationen im gesicherten Bereich durchführen, der frei von Sorgen um das Umschreiben durch den Zugriff ist. Daher kann im Fahrzeugnetz eine entsprechende Verarbeitung auch bei unberechtigtem Zugriff zuverlässiger durchgeführt werden. Darüber hinaus ist es bei Empfang eines unbefugten Zugriffs mit der Konfiguration zur Durchführung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen möglich, die Übertragung von Informationen sicherzustellen, die für den Umgang mit dem unbefugten Zugriff erforderlich sind, im Vergleich zu beispielsweise einer Konfiguration, bei der die Kommunikation mit der externen Vorrichtung vollständig blockiert ist, wenn ein unbefugter Zugriff empfangen wird.
  • (17) Ein Kommunikationssteuerprogramm gemäß einer Ausführungsform der vorliegenden Erfindung ist ein Programm, das in einer Vorrichtung für fahrzeugexterne Kommunikation verwendet wird, die in einem Fahrzeug installiert ist, mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann und eine Speichereinheit und eine Steuereinheit beinhaltet. Die Speichereinheit weist einen manipulationsbeständigen sicheren Bereich auf und speichert im sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einem Notfall, und das Programm veranlasst einen Computer, als Steuereinheit zu fungieren, die mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen durchführt, wenn ein unbefugter Zugriff in im Fahrzeug installierten Einrichtungen erkannt wird.
  • Wie so beschrieben, kann beispielsweise bei der Konfiguration, bei der mindestens eines von Kommunikationszielinformationen und für die Verarbeitung erforderlichen Notfallbetriebsinformationen, die bei Erhalt eines unbefugten Zugangs durchgeführt werden sollen, in dem von außen schwer umschreibbaren sicheren Bereich gespeichert werden, auch wenn ein unbefugter Zugang empfangen wird, eine Information, die aufgrund eines unbefugten Zugangs keine Sorge um ein Umschreiben hat, aus dem sicheren Bereich erfasst werden, so dass es möglich ist, mindestens eines von Kommunikation mit dem angenommenen Kommunikationsziel und angenommener Verarbeitung zuverlässig durchzuführen. Daher kann im Fahrzeugnetz eine entsprechende Verarbeitung auch bei unberechtigtem Zugriff zuverlässiger durchgeführt werden. Darüber hinaus ist es bei Empfang eines unbefugten Zugriffs mit der Konfiguration zur Durchführung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen möglich, die Übertragung von Informationen sicherzustellen, die für den Umgang mit dem unbefugten Zugriff erforderlich sind, im Vergleich zu beispielsweise einer Konfiguration, bei der die Kommunikation mit der externen Vorrichtung vollständig blockiert ist, wenn ein unbefugter Zugriff empfangen wird.
  • (18) Ein Kommunikationssteuerprogramm gemäß einer Ausführungsform der vorliegenden Erfindung ist ein Programm, das in einer Vorrichtung für fahrzeugexterne Kommunikation verwendet wird, die in einem Fahrzeug installiert ist, mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann und eine Speichereinheit und eine sichere Speichereinheit beinhaltet. Die Speichereinheit speichert Normalzeitbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einer Normalzeit, wobei die sichere Speichereinheit einen manipulationsbeständigen sicheren Bereich aufweist, und speichert im sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einem Notfall, und das Programm bewirkt, dass ein Computer als Hauptsteuereinheit fungiert, die eine Verarbeitung basierend auf den Normalzeitbetriebsinformationen durchführt, und eine sichere Steuereinheit, die in der Lage ist, auf den sicheren Bereich zuzugreifen und anstelle der Hauptsteuereinheit mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen durchführt, wenn ein unbefugter Zugriff in im Fahrzeug installierten Einrichtungen erkannt wird.
  • Wie so beschrieben, beispielsweise mit der Konfiguration, bei der mindestens eine der Kommunikationszielinformationen und die für die Verarbeitung erforderlichen Notfallbetriebsinformationen, die bei Empfang eines unbefugten Zugriffs durchgeführt werden sollen, in dem für die sichere Steuereinheit zugänglichen sicheren Bereich gespeichert sind und die sichere Steuereinheit die Steuerung anstelle der Hauptsteuereinheit durchführt, wenn ein unbefugter Zugriff erkannt wird, selbst wenn ein unbefugter Zugriff empfangen wird, kann die sichere Steuereinheit, die für eine unbefugte Bedienung von außen schwierig ist, zuverlässig mindestens eine Kommunikation mit dem angenommenen Kommunikationsziel und der angenommenen Verarbeitung durch Verwendung der Informationen im gesicherten Bereich durchführen, der frei von Sorgen um das Umschreiben durch den Zugriff ist. Daher kann im Fahrzeugnetz eine entsprechende Verarbeitung auch bei unberechtigtem Zugriff zuverlässiger durchgeführt werden. Darüber hinaus ist es bei Empfang eines unbefugten Zugriffs mit der Konfiguration zur Durchführung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen möglich, die Übertragung von Informationen sicherzustellen, die für den Umgang mit dem unbefugten Zugriff erforderlich sind, im Vergleich zu beispielsweise einer Konfiguration, bei der die Kommunikation mit der externen Vorrichtung vollständig blockiert ist, wenn ein unbefugter Zugriff empfangen wird.
  • (19) Ein Kommunikationssteuerprogramm gemäß einer Ausführungsform der vorliegenden Erfindung ist ein Programm, das in einer Vorrichtung für fahrzeugexterne Kommunikation verwendet wird, die in einem Fahrzeug installiert ist, mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann und eine Speichereinheit und eine Steuereinheit beinhaltet. Die Speichereinheit weist einen sicheren Bereich auf, in den der Zugriff von der Steuereinheit gestattet ist, wenn die Steuereinheit vorgegebene Informationen ausgibt und in dem sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Betriebs im Notfall speichert, und das Programm bewirkt, dass ein Computer als Steuereinheit fungiert, die mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen durchführt, wenn ein unbefugter Zugriff in einer im Fahrzeug installierten Fahrzeugeinrichtung erkannt wird.
  • Wie so beschrieben, kann beispielsweise bei der Konfiguration, bei der mindestens eine der Kommunikationszielinformationen und die für die Verarbeitung erforderlichen Notfallbetriebsinformationen, die bei Erhalt eines unbefugten Zugangs durchgeführt werden sollen, in dem von außen schwer umschreibbaren sicheren Bereich gespeichert werden, auch wenn ein unbefugter Zugang empfangen wird, eine Information, die aufgrund eines unbefugten Zugangs keine Sorge um ein Umschreiben hat, aus dem sicheren Bereich erfasst werden, so dass es möglich ist, mindestens eines von Kommunikation mit dem angenommenen Kommunikationsziel und angenommener Verarbeitung zuverlässig durchzuführen. Daher kann im Fahrzeugnetz eine entsprechende Verarbeitung auch bei unberechtigtem Zugriff zuverlässiger durchgeführt werden. Darüber hinaus ist es bei Empfang eines unbefugten Zugriffs mit der Konfiguration zur Durchführung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen möglich, die Übertragung von Informationen sicherzustellen, die für den Umgang mit dem unbefugten Zugriff erforderlich sind, im Vergleich zu beispielsweise einer Konfiguration, bei der die Kommunikation mit der externen Vorrichtung vollständig blockiert ist, wenn ein unbefugter Zugriff empfangen wird.
  • (20) Ein Kommunikationssteuerprogramm gemäß einer Ausführungsform der vorliegenden Erfindung ist ein Programm, das in einer Vorrichtung für fahrzeugexterne Kommunikation verwendet wird, die in einem Fahrzeug installiert ist, mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann und eine Speichereinheit und eine sichere Speichereinheit beinhaltet. Die Speichereinheit speichert Normalzeitbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einer normalen Zeit, die sichere Speichereinheit weist einen sicheren Bereich auf und speichert im sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einem Notfall, und das Programm veranlasst einen Computer, als Hauptsteuereinheit zu fungieren, der eine Verarbeitung basierend auf den Normalzeitbetriebsinformationen durchführt, und eine sichere Steuereinheit, die in der Lage ist, auf den sicheren Bereich zuzugreifen und anstelle der Hauptsteuereinheit mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen durchführt, wenn ein unbefugter Zugriff in im Fahrzeug installierten Einrichtungen erkannt wird.
  • Wie so beschrieben, beispielsweise bei der Konfiguration, bei der mindestens eine der Kommunikationszielinformationen und die für die Verarbeitung erforderlichen Notfallbetriebsinformationen, die bei Empfang eines unbefugten Zugriffs durchgeführt werden sollen, in dem für die sichere Steuereinheit zugänglichen sicheren Bereich gespeichert sind und die sichere Steuereinheit die Steuerung anstelle der Hauptsteuereinheit ausführt, wenn ein unbefugter Zugriff erkannt wird, selbst wenn ein unbefugter Zugriff empfangen wird, kann die sichere Steuereinheit, die für eine unbefugte Bedienung von außen schwierig ist, zuverlässig mindestens eines von Kommunikation mit dem angenommenen Kommunikationsziel und angenommener Verarbeitung durch Verwendung der Informationen im gesicherten Bereich durchführen, die frei von Sorgen um das Umschreiben durch den Zugriff ist. Daher kann im Fahrzeugnetz eine entsprechende Verarbeitung auch bei unberechtigtem Zugriff zuverlässiger durchgeführt werden. Darüber hinaus ist es bei Empfang eines unbefugten Zugriffs mit der Konfiguration zur Durchführung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen möglich, die Übertragung von Informationen sicherzustellen, die für den Umgang mit dem unbefugten Zugriff erforderlich sind, im Vergleich zu beispielsweise einer Konfiguration, bei der die Kommunikation mit der externen Vorrichtung vollständig blockiert ist, wenn ein unbefugter Zugriff empfangen wird.
  • Im Folgenden werden die Ausführungsformen der vorliegenden Erfindung mit Bezug auf die Zeichnungen beschrieben. In den Zeichnungen werden die gleichen oder korrespondierenden Abschnitte mit den gleichen Referenznummern gekennzeichnet, und die Beschreibung wird nicht wiederholt. Mindestens ein Teil jeder der nachfolgend beschriebenen Ausführungsformen kann frei wählbar kombiniert werden.
  • <Erste Ausführungsform>
  • [Konfiguration und grundlegende Bedienung]
  • 1 ist ein Diagramm, das eine Konfiguration eines fahrzeuginternen Kommunikationssystems gemäß einer ersten Ausführungsform der vorliegenden Erfindung darstellt.
  • Unter Bezugnahme auf 1 beinhaltet ein fahrzeuginternes Kommunikationssystem 301 eine Vorrichtung für fahrzeugexterne Kommunikation 101, eine fahrzeuginterne elektronische Steuereinheit (ECU) 111, ein Selbstfahr-ECU fv und eine Schaltvorrichtung 151. Das fahrzeuginterne Kommunikationssystem 301 ist in einem Zielfahrzeug 1 installiert.
  • Die Vorrichtung für fahrzeugexterne Kommunikation 101, das fahrzeuginterne ECU 111, das Selbstfahr-ECU 112 und die Schaltvorrichtung 151 sind Beispiele für Fahrzeugeinrichtungen.
  • Die Schaltvorrichtung 151 ist mit der Vorrichtung für fahrzeugexterne Kommunikation 101, dem fahrzeuginternen ECU 111 und dem Selbstfahr-ECU 112 verbunden, um ein fahrzeuginternen Netzwerk 10 zu bilden.
  • Es ist zu beachten, dass die Fahrzeugeinrichtung nicht auf diese spezifischen Beispiele beschränkt ist, sondern eine andere Vorrichtung sein kann, solange sie im Zielfahrzeug 1 installiert ist.
  • Die Vorrichtung für fahrzeugexterne Kommunikation 101 kann mit einer externen Vorrichtung außerhalb des Zielfahrzeugs 1 kommunizieren. Insbesondere kann die Vorrichtung für fahrzeugexterne Kommunikation 101 beispielsweise mit einer Funkbasisstation 161, einem Berichtszielserver 182, einem Trägerserver 183, einem Kartenserver 184, einem Steuerserver 185, einem allgemeinen Server 186 und einer fahrzeuginternen Kommunikationsvorrichtung 187 in einem anderen Fahrzeug 2 kommuniziert werden, die Beispiele für die externe Vorrichtung sind.
  • Jeder der Berichtszielserver 182, der Trägerserver 183, der Kartenserver 184, der Steuerserver 185 und der allgemeine Server 186 ist beispielsweise ein Server, der in der Lage ist, eine Kommunikation gemäß dem Internetprotokoll (IP) durchzuführen. Im Folgenden wird jeder dieser Server auch als IP-Server bezeichnet.
  • Es ist zu beachten, dass die externe Vorrichtung nicht auf diese spezifischen Beispiele beschränkt ist, sondern eine andere Vorrichtung sein kann, solange sie eine außerhalb des Zielfahrzeugs 1 bereitgestellte Vorrichtung ist.
  • Der Berichtszielserver 182 ist beispielsweise ein Server, der von einer Notruf-Empfangsorganisation wie einer Polizeibehörde oder einem Feuerwehrfahrzeug betrieben wird und einen Notfallbericht von einer drahtlosen Kommunikationsvorrichtung wie der Vorrichtung für fahrzeugexterne Kommunikation 101 annehmen kann.
  • Der Trägerserver 183 ist beispielsweise ein von einem Kommunikationsträger betriebener Server und durch Authentifizierung der drahtlosen Kommunikationsvorrichtung, wie beispielsweise der Vorrichtung für fahrzeugexterne Kommunikation 101, ermöglicht der Trägerserver 183 der drahtlosen Kommunikationsvorrichtung den Zugriff auf ein externes Netzwerk 11 über die Funkbasisstation 161.
  • Der Kartenserver 184 und der Steuerungsserver 185 übertragen beispielsweise Informationen, die für das autonome Fahren des Zielfahrzeugs 1 erforderlich sind.
  • Insbesondere überträgt der Kartenserver 184 beispielsweise Karteninformationen, die eine Karte basierend auf absoluten Koordinaten anzeigen, an die drahtlose Kommunikationsvorrichtung, wie beispielsweise die Vorrichtung für fahrzeugexterne Kommunikation 101.
  • Der Steuerserver 185 überträgt beispielsweise Steuerinformationen, wie beispielsweise ferngesteuerte Selbstfahrinformationen zum autonomen Fahren eines unbemannten Fahrzeugs aus einer entfernten Position, und eine Führungsanweisungsinformation zum sicheren Anhalten des Fahrzeugs an einer bestimmten Position, insbesondere einem Seitenstreifen oder dergleichen, durch das autonome Fahren, an die drahtlose Kommunikationsvorrichtung, wie beispielsweise die Vorrichtung für fahrzeugexterne Kommunikation 101.
  • Der allgemeine Server 186 überträgt beispielsweise Textinformationen, Bildinformationen, Bewegtbildinformationen, Audioinformationen und dergleichen als Reaktion auf eine Anforderung der drahtlosen Kommunikationsvorrichtung an die drahtlose Kommunikationsvorrichtung, wie beispielsweise die Vorrichtung für fahrzeugexterne Kommunikation 101.
  • Die Schaltvorrichtung 151 ist beispielsweise ein Layer-2-(L2)-Switch, und in Übereinstimmung mit dem Kommunikationsstandard von Ethernet (eingetragene Marke) führt die Schaltvorrichtung 151 eine Relaisverarbeitung auf einem Ethernet-Rahmen durch.
  • Insbesondere leitet die Schaltvorrichtung 151 einen Ethernet-Frame weiter, der beispielsweise zwischen der Vorrichtung für fahrzeugexterne Kommunikation 101, dem fahrzeuginternen ECU 111 und dem Selbstfahr-ECU 112 ausgetauscht wird.
  • Das Fahrzeug-ECU 111 ist beispielsweise eine Kamera, ein Lasersensor und dergleichen, erkennt andere Fahrzeuge 2, Fußgänger, Strukturen und dergleichen um das Zielfahrzeug 1 herum und erzeugt Umgebungserkennungsinformationen, die Erkennungsergebnisse anzeigen.
  • Das Fahrzeug-ECU 111 speichert beispielsweise die erzeugten Umgebungserkennungsinformationen in einem Ethernet-Frame, stellt die Ziel-Media-Access-Control (MAC)-Adresse des Ethernet-Frames als MAC-Adresse des Selbstfahr-ECU 112 ein und sendet die MAC-Adresse an die Schaltvorrichtung 151.
  • Beim Empfangen des Ethernet-Frames vom Fahrzeug-ECU 111 bestätigt die Schaltvorrichtung 151 die MAC-Zieladresse des empfangenen Ethernet-Frames und sendet den Ethernet-Frame an das Selbstfahr-ECU 112.
  • Das Selbstfahr-ECU 112 steuert das Fahren des eigenen Zielfahrzeugs 1. Insbesondere kann das Selbstfahr-ECU 112 für das eigene Zielfahrzeug 1 vollautonomes Fahren und teilautonomes Fahren steuern.
  • Die vollautonome Fahrsteuerung ist hier z.B. eine Steuerung, bei der der Fahrer das Zielfahrzeug 1 nicht bedienen muss. Die teilautonome Fahrsteuerung ist beispielsweise die Steuerung zur Automatisierung eines Teils des Fahrerbetriebs am Zielfahrzeug 1 wie Bremsassistent und Spurhaltung.
  • Genauer gesagt, wenn das Selbstfahr-ECU 112 einen Ethernet-Frame empfängt, der beispielsweise die Umgebungserkennungsinformationen von der Schaltvorrichtung 151 speichert, erfasst das Selbstfahr-ECU 112 die Umgebungserkennungsinformationen vom empfangenen Ethernet-Frame.
  • Darüber hinaus erfasst das Selbstfahr-ECU 112 beispielsweise die Position des eigenen Zielfahrzeugs 1 basierend auf Funkwellen von Satelliten des Global Positioning System (GPS) bei jedem vorgegebenen Zyklus und erzeugt Fahrzeugpositionsdaten, die die erfasste Position anzeigen.
  • Darüber hinaus erfasst das Selbstfahr-ECU 112 beispielsweise die Karteninformationen und die Steuerinformationen vom Kartenserver 184 bzw. vom Steuerserver 185 über das externe Netzwerk 11, die Funkbasisstation 161, die Vorrichtung für fahrzeugexterne Kommunikation 101 und die Schaltvorrichtung 151.
  • Wenn beispielsweise das Zielfahrzeug 1 ein unbemanntes Fahrzeug ist, steuert das Selbstfahr-ECU 112 das vollautonome Fahren des eigenen Zielfahrzeugs 1 basierend auf den Umgebungserkennungsinformationen, den Fahrzeugpositionierungsinformationen, den Karteninformationen, den Steuerinformationen und dergleichen.
  • Insbesondere steuert das Selbstfahr-ECU 112 beispielsweise das vollautonome Fahren für das eigene Zielfahrzeug 1, um auf einer Straße, einem Parkplatz oder dergleichen zu fahren oder auf einem ausgewiesenen Seitenstreifen gemäß einer Anweisung des Steuerservers 185 anzuhalten.
  • Darüber hinaus kann beispielsweise, wenn das Zielfahrzeug 1 ein bemanntes Fahrzeug ist, das Selbstfahr-ECU 112 das vollautonome Fahren für das eigene Zielfahrzeug 1 basierend auf den Umgebungserkennungsinformationen, den Fahrzeugpositionierungsinformationen, den Karteninformationen und dergleichen steuern.
  • Weiterhin steuert beispielsweise das Selbstfahr-ECU 112 das teilautonome Fahren basierend auf den umgebenden Erkennungsinformationen.
  • [Einfaches Beispiel für Kommunikationssteuerung im Notfall]
  • 2 ist ein Diagramm, das die Konfiguration der Vorrichtung für fahrzeugexterne Kommunikation im fahrzeuginternen Kommunikationssystem gemäß der ersten Ausführungsform der vorliegenden Erfindung darstellt.
  • Unter Bezugnahme auf 2 beinhaltet die Vorrichtung für fahrzeugexterne Kommunikation 101 eine integrierte Hauptschaltung (IC) 51, einen sicheren IC 52 und eine Communication Large Integration Integration (LSI) 53.
  • Die Hauptschaltung 51 beinhaltet eine Hauptsteuereinheit 23, eine Erkennungseinheit für unbefugten Zugriff 24, einen Nur-Lese-Speicher (ROM) 30 und einen Direktzugriffsspeicher (RAM) 31.
  • Der sichere IC 52 beinhaltet eine Speichereinheit 26, eine sichere Steuereinheit 28 und ein RAM 29. Die Lagereinheit 26 beinhaltet einen sicheren Bereich 27.
  • Der RAM 31 in der Hauptschaltung IC 51 dient als Arbeitsbereich für die Hauptsteuereinheit 23, als Zwischenspeicher für Programme und dergleichen.
  • Das ROM 30 ist beispielsweise ein Flash-ROM (FROM) und speichert Informationen über den Normalbetrieb zu einem vorgegebenen Betrieb in einer normalen Zeit.
  • Genauer gesagt, beinhalten die Informationen zum Normalbetrieb ein Hauptprogramm zum Ausführen eines vorgegebenen Vorgangs in einer normalen Zeit, wenn kein unbefugter Zugriff empfangen wird. Insbesondere beinhalten die Informationen zum Normalbetrieb z.B. ein externes Hauptkommunikationsprogramm und ein internes Hauptkommunikationsprogramm als Hauptprogramme.
  • Das wichtigste externe Kommunikationsprogramm ist ein Programm, das bewirkt, dass das Kommunikations-LSI 53 Informationen zu und von der externen Vorrichtung sendet und empfängt.
  • Das wichtigste interne Kommunikationsprogramm ist ein Programm, das bewirkt, dass die Kommunikations-LSI 53 Informationen zu und von der Fahrzeugeinrichtung sendet und empfängt.
  • Der sichere IC 52 ist ein Beispiel für eine sichere Vorrichtung und ist insbesondere eine SIM-Karte (Subscriber Identity Module). Es ist schwierig, die sichere Steuereinheit 28 im sicheren IC 52 von außen illegal zu bedienen und die im sicheren Bereich 27 gespeicherten Informationen von außen illegal neu zu schreiben.
  • Der RAM 29 im sicheren IC 52 dient als Arbeitsbereich für die sichere Steuereinheit 28, als Zwischenspeicher für Programme und dergleichen.
  • Die Speichereinheit 26 speichert im sicheren Bereich 27 Notfallinformationen zu einem vorgegebenen Notfallbetrieb.
  • Weiterhin speichert die Speichereinheit 26 beispielsweise Auftragnehmerinformationen einschließlich einer Kommunikationsgeschwindigkeit und Teilnehmerauthentifizierungsinformationen im sicheren Bereich 27.
  • Genauer gesagt, beinhalten die Informationen zum Notfallbetrieb beispielsweise ein Notfallprogramm zur Durchführung einer vorgegebenen Operation im Notfall. In diesem Beispiel beinhalten die Notfallbetriebsinformationen ein externes Notfallkommunikationsprogramm und ein internes Notfallkommunikationsprogramm als Notfallprogramme.
  • Das externe Notfallkommunikationsprogramm ist ein Programm zur Kommunikation mit der externen Vorrichtung. Genauer gesagt, ist das externe Notfallkommunikationsprogramm ein Programm, das bewirkt, dass die Kommunikations-LSI 53 mindestens Informationen zu und von der externen Vorrichtung sendet und empfängt.
  • Das interne Notfallkommunikationsprogramm ist ein Programm zur Kommunikation mit der Fahrzeugeinrichtung. Genauer gesagt, ist das interne Notfallkommunikationsprogramm ein Programm, das bewirkt, dass die Kommunikations-LSI 53 mindestens Informationen zu und von der Fahrzeugeinrichtung sendet und empfängt.
  • Der Zugang zum sicheren Bereich 27 von der Hauptsteuereinheit 23 aus ist zulässig, wenn die Hauptsteuereinheit 23 vorgegebene Informationen ausgibt.
  • In diesem Beispiel ist der sichere Bereich 27 von der Hauptsteuereinheit 23 aus zugänglich, wenn die Hauptsteuereinheit 23 einem vorgegebenen Verfahren P1 folgt, und nicht zugänglich, wenn die Hauptsteuereinheit 23 dem Verfahren P1 nicht folgt.
  • Genauer gesagt, kann die sichere Steuereinheit 28 auf den sicheren Bereich 27 zugreifen. Andererseits kann die Hauptsteuereinheit 23 nur dann auf den sicheren Bereich 27 zugreifen, wenn sie von der sicheren Steuereinheit 28 im sicheren IC 52 authentifiziert wird.
  • Beim Versuch, auf den sicheren Bereich 27 zuzugreifen, gibt die Hauptsteuereinheit 23 beispielsweise eine Zugriffsanforderung an die sichere Steuereinheit 28 aus.
  • Beim Empfangen einer Zugriffsanforderung von der Hauptsteuereinheit 23 gibt die sichere Steuereinheit 28 an die Hauptsteuereinheit 23 eine Authentifizierungsinformationsanforderung aus, die eine Anforderung von Authentifizierungsinformationen anzeigt.
  • Beim Empfangen der Authentifizierungsinformationsanforderung von der sicheren Steuereinheit 28 gibt die Hauptsteuereinheit 23 Authentifizierungsinformationen aus, die beispielsweise ein Passwort oder eine Kombination aus einem Passwort und einer ID an die sichere Steuereinheit 28 gemäß der empfangenen Authentifizierungsinformationsanforderung beinhalten.
  • Beim Empfangen der Authentifizierungsinformationen von der Hauptsteuereinheit 23 authentifiziert die sichere Steuereinheit 28 die empfangenen Authentifizierungsinformationen. Wenn die Authentifizierung der Authentifizierungsinformationen erfolgreich ist, gibt die sichere Steuereinheit 28 Berechtigungsinformationen aus, die die Zugangsberechtigung für die Hauptsteuereinheit 23 anzeigen. Andererseits, wenn die Authentifizierung der Authentifizierungsinformationen fehlschlägt, gibt die sichere Steuereinheit 28 Nichtberechtigungsinformationen aus, die den Zugriff auf die Hauptsteuereinheit 23 ohne Berechtigung anzeigen.
  • Beim Empfangen von Berechtigungsinformationen von der sicheren Steuereinheit 28 kann die Hauptsteuereinheit 23 über die sichere Steuereinheit 28 auf den sicheren Bereich 27 zugreifen, aber beim Empfangen von Nichtberechtigungsinformationen von der sicheren Steuereinheit 28 wird die Hauptsteuereinheit 23 beim Zugriff auf den sicheren Bereich 27 durch die sichere Steuereinheit 28 gesperrt.
  • Die Authentifizierung der Hauptsteuereinheit 23 durch die sichere Steuereinheit 28 ist nicht auf die Konfiguration gemäß dem vorstehend beschriebenen Verfahren P1 beschränkt, sondern kann so konfiguriert werden, dass beispielsweise die Hauptsteuereinheit 23 Authentifizierungsinformationen an die sichere Steuereinheit 28 überträgt und die sichere Steuereinheit 28 die von der Hauptsteuereinheit 23 empfangenen Authentifizierungsinformationen authentifiziert.
  • 3 ist ein Diagramm, das die Konfiguration des Kommunikations-LSI in der Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung darstellt.
  • Unter Bezugnahme auf 3 beinhaltet die Kommunikations-LSI 53 eine fahrzeugexterne Kommunikationseinheit 21, eine Kommunikationsdatenverarbeitungseinheit 22 und eine Intrafahrzeug-Kommunikationseinheit 25.
  • Die Kommunikationsdatenverarbeitungseinheit 22 in der Kommunikations-LSI 53 arbeitet gemäß der Steuerung der Hauptsteuereinheit 23.
  • Die fahrzeugexterne Kommunikationseinheit 21 kann mit der externen Vorrichtung kommunizieren. Insbesondere kann die fahrzeugexterne Kommunikationseinheit 21 über die Funkbasisstation 161 beispielsweise nach dem IP-Protokoll mit dem IP-Server kommunizieren.
  • Genauer gesagt, kann die fahrzeugexterne Kommunikationseinheit 21 eine drahtlose Kommunikation mit der Funkbasisstationsvorrichtung 161 in Übereinstimmung mit einem Kommunikationsstandard wie beispielsweise Long Term Evolution (LTE) oder 3G durchführen.
  • Insbesondere wenn beispielsweise ein drahtloser Rahmen empfangen wird, der ein IP-Paket von einem IP-Server von der Funkbasisstation 161 speichert, erfasst die fahrzeugexterne Kommunikationseinheit 21 das IP-Paket vom empfangenen drahtlosen Rahmen und gibt das erworbene IP-Paket an die Kommunikationsdatenverarbeitungseinheit 22 aus.
  • Weiterhin speichert die fahrzeugexterne Kommunikationseinheit 21 beim Empfangen des IP-Pakets mit Ziel IP-Server von der Kommunikationsdatenverarbeitungseinheit 22 das empfangene IP-Paket in einem drahtlosen Rahmen und sendet den drahtlosen Rahmen an die FunkBasisstationsvorrichtung 161.
  • Unter erneuter Bezugnahme auf 1 erfasst die Funkbasisstationsvorrichtung 161 beim Empfangen eines drahtlosen Rahmens von der Vorrichtung für fahrzeugexterne Kommunikation 101 ein IP-Paket vom empfangenen drahtlosen Rahmen und sendet das erworbene IP-Paket über das externe Netzwerk 11 an den Ziel-IP-Server.
  • Weiterhin speichert die Funkbasisstation 161 beim Empfangen des IP-Pakets vom IP-Server über das externe Netzwerk 11 das empfangene IP-Paket in einem drahtlosen Rahmen und sendet den drahtlosen Rahmen an die Vorrichtung für fahrzeugexterne Kommunikation 101.
  • Unter erneuter Bezugnahme auf 2 kann die fahrzeugexterne Kommunikationseinheit 21 beispielsweise in einem anderen Fahrzeug 2 eine Fahrzeugzu-Fahrzeug-Kommunikation mit der fahrzeuginternen Kommunikationsvorrichtung 187 durchführen.
  • Die Intrafahrzeug-Kommunikationseinheit 25 kann mit der Schaltvorrichtung 151 kommunizieren. Insbesondere kann die Intrafahrzeug-Kommunikationseinheit 25 mit der Schaltvorrichtung 151 beispielsweise nach einem Ethernet-Kommunikationsstandard kommunizieren.
  • Genauer gesagt, wenn die Intrafahrzeug-Kommunikationseinheit 25 einen Ethernet-Rahmen von der Schaltvorrichtung 151 empfängt, erfasst sie ein IP-Paket vom empfangenen Ethernet-Rahmen und gibt das erworbene IP-Paket an die Kommunikationsdatenverarbeitungseinheit 22 aus.
  • Weiterhin speichert die Intrafahrzeug-Kommunikationseinheit 25 beim Empfangen des IP-Pakets von der Kommunikationsdatenverarbeitungseinheit 22 das empfangene IP-Paket in einem Ethernet-Frame und sendet den Ethernet-Frame an die Schaltvorrichtung 151.
  • [Betriebsablauf]
  • Jede Vorrichtung im Fahrzeugkommunikationssystem 301 beinhaltet einen Computer, und eine arithmetische Verarbeitungseinheit, wie beispielsweise eine zentrale Verarbeitungseinheit (CPU) im Computer, liest und führt ein Programm aus, das einige oder alle Schritte im folgenden Sequenzdiagramm oder Flussdiagramm aus einem Speicher (nicht dargestellt) beinhaltet. Die Programme der Vielzahl von Vorrichtungen können jeweils von außen installiert werden. Die Programme der Vielzahl von Vorrichtungen sind jeweils im Zustand der Speicherung auf einem Aufzeichnungsmedium verteilt.
  • 4 ist ein Flussdiagramm, das die Funktionsweise jeder Verarbeitung definiert, die durchgeführt wird, wenn die Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung unberechtigten Zugriff erkennt.
  • Unter Bezugnahme auf 4 wird beispielsweise davon ausgegangen, dass die Stromversorgung der Vorrichtung für fahrzeugexterne Kommunikation 101 eingeschaltet ist.
  • Zunächst erfasst die Vorrichtung für fahrzeugexterne Kommunikation 101 ein externes Hauptkommunikationsprogramm und ein internes Hauptkommunikationsprogramm aus dem ROM 30 (Schritt S102).
  • Genauer gesagt, wenn beispielsweise die Stromversorgung der eigenen Vorrichtung für fahrzeugexterne Kommunikation 101 eingeschaltet wird, erfasst die Hauptsteuereinheit 23 das externe Hauptkommunikationsprogramm und das interne Hauptkommunikationsprogramm aus dem ROM 30.
  • Anschließend führt die Vorrichtung für fahrzeugexterne Kommunikation 101 das erfasste externe Hauptkommunikationsprogramm und das interne Hauptkommunikationsprogramm aus (Schritt S104).
  • Genauer gesagt, führt die Hauptsteuereinheit 23 die Verarbeitung basierend auf Informationen über den Normalbetrieb durch. Insbesondere initialisiert die Hauptsteuereinheit 23 die Kommunikationsdatenverarbeitungseinheit 22 in der Kommunikations-LSI 53 gemäß dem internen Hauptkommunikationsprogramm und dem externen Hauptkommunikationsprogramm.
  • Damit ist es möglich, Daten zwischen der Kommunikationsdatenverarbeitungseinheit 22, der Funkbasisstation 161 und der Schaltvorrichtung 151 zu senden und zu empfangen.
  • Anschließend stellt die Hauptsteuereinheit 23 eine Leitungsverbindung mit dem Trägerserver 183 gemäß dem zentralen externen Kommunikationsprogramm her.
  • Insbesondere bewirkt die Hauptsteuereinheit 23, dass sich die sichere Steuereinheit 28 durch den Informationsaustausch mit der sicheren Steuereinheit 28 gemäß dem Verfahren P1 authentifiziert und die Auftragnehmerinformationen aus dem sicheren Bereich 27 über die sichere Steuereinheit 28 bezieht.
  • Die Hauptsteuereinheit 23 sendet Kommunikationsauftragnehmerinformationen an den Trägerserver 183 über die Kommunikations-LSI 53, die Funkbasisstation 161 und das externe Netzwerk 11, um die Authentifizierung vom Trägerserver 183 zu empfangen.
  • Die Hauptsteuereinheit 23 empfängt die Authentifizierung vom Trägerserver 183 durch den Austausch vorgegebener Informationen mit dem Trägerserver 183 über die Kommunikations-LSI 53 und stellt eine Kommunikationsverbindung mit dem Trägerserver 183 her.
  • Dies versetzt die Kommunikationsdatenverarbeitungseinheit 22 in den Zustand, in dem sie in der Lage ist, die Übertragungssteuerung von IP-Paketen durchzuführen, die zwischen der externen Vorrichtung und der Fahrzeugeinrichtung übertragen und empfangen werden.
  • Anschließend überträgt die Vorrichtung für fahrzeugexterne Kommunikation 101 das von der externen Vorrichtung empfangene IP-Paket an die Schaltvorrichtung 151 und führt eine IP-Paketübertragungsverarbeitung durch, um das von der Schaltvorrichtung 151 empfangene IP-Paket an die externe Vorrichtung zu übertragen (Schritt S106).
  • Insbesondere, wenn die Kommunikationsdatenverarbeitungseinheit 22 in der Kommunikations-LSI 53 ein IP-Paket mit einer Anforderung von Steuerinformationen, Karteninformationen, Textinformationen, Bildinformationen, Bewegtbildinformationen und Audioinformationen von der Intrafahrzeug-Kommunikationseinheit 25 empfängt, gibt die Kommunikationsdatenverarbeitungseinheit 22 das empfangene IP-Paket über die fahrzeugexterne Kommunikationseinheit 21, die Funkbasisstation 161 und das externe Netzwerk 11 an den Ziel-IP-Server aus.
  • Wenn die Kommunikationsdatenverarbeitungseinheit 22 beispielsweise vom IP-Server ein IP-Paket mit Steuerinformationen, Karteninformationen, Textinformationen, Bildinformationen, Bewegtbildinformationen und Audioinformationen über das externe Netzwerk 11, die Funkbasisstationsvorrichtung 161 und die fahrzeugexterne Kommunikationseinheit 21 empfängt, gibt die Kommunikationsdatenverarbeitungseinheit 22 das empfangene IP-Paket an die Fahrzeugeinrichtung aus, die die Anforderung über die Intrafahrzeug-Kommunikationseinheit 25 und die Schaltvorrichtung 151 übertragen hat.
  • In diesem Fall ist der Kommunikationsweg des von der Kommunikationsdatenverarbeitungseinheit 22 gesendeten und empfangenen IP-Pakets nicht begrenzt.
  • Als nächstes versucht die Vorrichtung für fahrzeugexterne Kommunikation 101, unberechtigten Zugriff in der Fahrzeugeinrichtung zu erkennen (Schritt S108).
  • Genauer gesagt, erkennt die Erkennungseinheit für unbefugten Zugriff 24 den unbefugten Zugriff auf die im Zielfahrzeug installierte Fahrzeugeinrichtung 1. Insbesondere erkennt die Erkennungseinheit für unbefugten Zugriff 24 unbefugten Zugriff in ihrer eigenen Vorrichtung für fahrzeugexterne Kommunikation 101, Schaltvorrichtung 151, fahrzeuginternen ECU 111, Selbstfahr-ECU 112 und dergleichen.
  • Die Erkennungseinheit für unbefugten Zugriff 24 erkennt beispielsweise einen Angriff auf die fahrzeuginterne Einrichtung, unberechtigte Steuerung der fahrzeuginternen Einrichtung, Neuschreiben der von der fahrzeuginternen Einrichtung verwendeten Firmware und dergleichen.
  • Wenn ferner ein Teil der fahrzeuginternen Einrichtung durch ein nichtautorisiertes Teil ersetzt wird, wird eine im fahrzeuginternen Netzwerk 10 übertragene nicht-autorisierte Nachricht erkannt.
  • Insbesondere überwacht die Erkennungseinheit für unbefugten Zugriff 24 beispielsweise Informationen, die von der fahrzeugexternen Kommunikationseinheit 21 in der Kommunikations-LSI 53 übertragen und empfangen werden, und erkennt anhand des Überwachungsergebnisses unbefugten Zugriff von außen auf das Zielfahrzeug 1. Weiterhin überwacht die Erkennungseinheit für unbefugten Zugriff 24 beispielsweise Informationen, die von der Intrafahrzeug-Kommunikationseinheit 25 in der Kommunikations-LSI 53 übertragen und empfangen werden, und erkennt anhand des Überwachungsergebnisses unbefugten Zugriff vom Inneren des Zielfahrzeugs 1 aus.
  • Insbesondere, wenn beispielsweise eine abnormale IP-Adresse, eine abnormale Frame-Konfiguration, ein abnormaler IP-Paketinhalt oder dergleichen erkannt wird, bestimmt die Erkennungseinheit für unbefugten Zugriff 24, dass es einen unbefugten Zugriff in der Fahrzeugeinrichtung gegeben hat.
  • Weiterhin erfasst die Erkennungseinheit für unbefugten Zugriff 24 das Ergebnis der Erkennung des unbefugten Zugriffs, z.B. von der fahrzeuginternen Einrichtung, die in der Lage ist, unbefugten Zugriff zu erkennen, wie die Schaltvorrichtung 151.
  • Insbesondere überwacht die Schaltvorrichtung 151 beispielsweise selbstständig übermittelte Informationen und erkennt anhand des Überwachungsergebnisses unberechtigte Zugriffe in der Fahrzeugeinrichtung. Wenn beispielsweise ein nicht-autorisierter Zugriff erkannt wird, sendet die Schaltvorrichtung 151 Erkennungsinformationen, die anzeigen, dass ein nicht-autorisierter Zugriff erkannt wurde, an die Vorrichtung für fahrzeugexterne Kommunikation 101.
  • Beim Empfangen der Erkennungsinformationen von der Schaltvorrichtung 151 über die Intrafahrzeug-Kommunikationseinheit 25 stellt die Erkennungseinheit für unbefugten Zugriff 24 fest, dass es in der Fahrzeugeinrichtung einen unbefugten Zugriff gegeben hat.
  • Wenn die Vorrichtung für fahrzeugexterne Kommunikation 101 keinen unbefugten Zugriff in der Fahrzeugeinrichtung erkannt hat (NEIN in Schritt S108), setzt die Vorrichtung für fahrzeugexterne Kommunikation 101 die IP-Paketübertragungsverarbeitung fort (Schritt S106).
  • Andererseits erfasst die Vorrichtung für fahrzeugexterne Kommunikation 101 bei der Erkennung von unbefugtem Zugriff in der Fahrzeugeinrichtung (JA in Schritt S108) die Notfallbetriebsinformationen, insbesondere das externe Notfallkommunikationsprogramm und das interne Notkommunikationsprogramm, aus dem sicheren Bereich 27 in der Speichereinheit 26 (Schritt S110).
  • Genauer gesagt, wenn festgestellt wird, dass ein unbefugter Zugriff in der Fahrzeugeinrichtung stattgefunden hat, gibt die Erkennungseinheit für unbefugten Zugriff 24 für unbefugten Zugriff Bestimmungsinformationen aus, die den Bestimmungsinhalt anzeigen, an die Hauptsteuereinheit 23.
  • Wenn ein unbefugter Zugriff in der Fahrzeugeinrichtung erkannt wird, führt die Hauptsteuereinheit 23 eine Verarbeitung basierend auf den Notfallbetriebsinformationen durch.
  • Insbesondere veranlasst die Hauptsteuereinheit 23 beim Empfangen der Bestimmungsinformationen von der Erkennungseinheit für unbefugten Zugriff 24 die sichere Steuereinheit 28, sich durch Informationsaustausch mit der sicheren Steuereinheit 28 gemäß dem Verfahren P1 zu authentifizieren und erfasst das externe Notfallkommunikationsprogramm und das interne Notkommunikationsprogramm aus dem sicheren Bereich 27 über die sichere Steuereinheit 28.
  • Anschließend führt die Vorrichtung für fahrzeugexterne Kommunikation 101 das erfasste externe Notfallkommunikationsprogramm und das interne Notfallkommunikationsprogramm aus (Schritt S112).
  • Genauer gesagt, bewirkt die Hauptsteuereinheit 23, dass die Kommunikations-LSI 53 das Senden/Empfangen von Informationen mit der externen Vorrichtung und das Senden/Empfangen von Informationen mit der Fahrzeugeinrichtung mindestens in Übereinstimmung mit dem erfassten externen Notfallkommunikationsprogramm und dem internen Notfallkommunikationsprogramm durchführt.
  • In diesem Fall ist der Kommunikationsweg des von der Kommunikationsdatenverarbeitungseinheit 22 gesendeten und empfangenen IP-Pakets nicht begrenzt.
  • Mit einer solchen Konfiguration kann die Vorrichtung für fahrzeugexterne Kommunikation 101 auch bei Empfang eines unbefugten Zugangs sicher mit einer nicht-spezifizierten externen Vorrichtung unter Verwendung eines im sicheren Bereich 27 gespeicherten sicheren Programms kommunizieren.
  • In Schritt S110 oben wurde die Hauptsteuereinheit 23 in der Vorrichtung für fahrzeugexterne Kommunikation 101 konfiguriert, um das externe Notfallkommunikationsprogramm und das interne Notkommunikationsprogramm aus dem sicheren Bereich 27 in der Speichereinheit 26 zu erfassen. Die vorliegende Erfindung ist jedoch nicht darauf beschränkt. Wenn beispielsweise das im sicheren Bereich 27 gespeicherte Notfallprogramm eines der externen Notfallkommunikationsprogramme und des internen Notfallkommunikationsprogramms ist, kann die Hauptsteuereinheit 23 konfiguriert werden, um eines der gespeicherten externen Notfallkommunikationsprogramme und internen Notfallkommunikationsprogramme zu erfassen. In diesem Fall veranlasst die Hauptsteuereinheit 23 die Kommunikations-LSI 53, mindestens eines der folgenden Schritte durchzuführen: Senden/Empfangen von Informationen mit der externen Vorrichtung und Senden/Empfangen von Informationen mit der Fahrzeugeinrichtung.
  • [Erste Änderung der Kommunikationssteuerung im Notfall]
  • Die Vorrichtung für fahrzeugexterne Kommunikation 101 ist nicht auf die Konfiguration zur Kommunikation mit einer nicht-spezifizierten externen Vorrichtung zum Zeitpunkt des Auftretens eines nicht-autorisierten Zugriffs beschränkt, sondern kann so konfiguriert werden, dass sie das Kommunikationsziel auf eine bestimmte externe Vorrichtung beschränkt.
  • Unter erneuter Bezugnahme auf 2 speichert der sichere Bereich 27 in der Speichereinheit 26 in diesem Beispiel Notfallbetriebsinformationen und Notfallkommunikationszielinformationen bezüglich eines Notfallkommunikationsziels außerhalb des Zielfahrzeugs 1.
  • Insbesondere ist das Notfallkommunikationsziel beispielsweise die externe Vorrichtung (im Folgenden auch als fahrbezogene externe Vorrichtung bezeichnet), die Informationen überträgt, die für das autonome Fahren des Zielfahrzeugs 1 erforderlich sind.
  • Genauer gesagt, beinhalten die Notfallkommunikationszielinformationen beispielsweise die IP-Adresse des Kartenservers 184 und die IP-Adresse des Steuerservers 185 als Adressen der fahrbezogenen externen Vorrichtungen.
  • In diesem Beispiel beinhalten die Notfallbetriebsinformationen ein Notfallübertragungsbeschränkungsprogramm als Notfallprogramm. Das Notfallübertragungsbeschränkungsprogramm ist ein Programm, mit dem bewirkt wird, dass die Kommunikations-LSI 53 die zu übertragenden Informationen einschränkt.
  • Weiterhin stellt die Hauptsteuereinheit 23 beispielsweise einen kontinuierlichen Modus und einen nicht-kontinuierlichen Modus ein. Ob der kontinuierliche Modus oder der nicht-kontinuierliche Modus eingestellt werden soll, wird z.B. vom Benutzer ausgewählt.
  • Im kontinuierlichen Modus, wenn der unbefugte Zugriff in einem Zustand erkannt wird, in dem das autonome Fahren durchgeführt wird, wird das autonome Fahren kontinuierlich ausgeführt. Im nicht-kontinuierlichen Modus hingegen, wenn der unbefugte Zugriff in dem Zustand erkannt wird, in dem das autonome Fahren durchgeführt wird, wird das autonome Fahren auf das manuelle Fahren umgestellt.
  • [Betriebsablauf]
  • 5 ist ein Flussdiagramm, das einen Betriebsablauf für jede Verarbeitung definiert, die durchgeführt wird, wenn die Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung einen unbefugten Zugriff erkennt.
  • Unter Bezugnahme auf 5 wird beispielsweise angenommen, dass die Stromversorgung der Vorrichtung für fahrzeugexterne Kommunikation 101 eingeschaltet wird, die Hauptsteuereinheit 23 den kontinuierlichen Modus einstellt und das autonome Fahren im Zielfahrzeug 1 durchgeführt wird.
  • Die Vorgänge in den Schritten S202 bis S208 sind die gleichen wie die in 4 dargestellten Vorgänge in den Schritten S102 bis S108.
  • Als nächstes erfasst die Vorrichtung für fahrzeugexterne Kommunikation 101 bei der Erkennung von unbefugtem Zugriff in der Fahrzeugeinrichtung (JA in Schritt S208) Notfallbetriebsinformationen, insbesondere das Notfallübertragungsprogramm, aus dem sicheren Bereich 27 in der Speichereinheit 26 (Schritt S210).
  • Insbesondere, wenn ein unbefugter Zugriff in der Fahrzeugeinrichtung erkannt wird, führt die Hauptsteuereinheit 23 die Kommunikation mit dem Kommunikationsziel durch, indem sie die Informationen des Notfallkommunikationsziels verwendet und auf der Grundlage der Notfallbetriebsinformationen verarbeitet.
  • Genauer gesagt, veranlasst die Hauptsteuereinheit 23 beim Empfangen der Bestimmungsinformationen von der Erkennungseinheit für unbefugten Zugriff 24 die sichere Steuereinheit 28, sich durch Informationsaustausch mit der sicheren Steuereinheit 28 gemäß dem Verfahren P1 zu authentifizieren, und erfasst das Notfallübertragungsbeschränkungsprogramm aus dem sicheren Bereich 27 über die sichere Steuereinheit 28.
  • Anschließend führt die Vorrichtung für fahrzeugexterne Kommunikation 101 das erfasste Notfallübertragungsbeschränkungsprogramm (Schritt S212) aus.
  • Insbesondere arbeitet die Hauptsteuereinheit 23 gemäß dem erfassten Notfallübertragungsprogramm und erfasst die Notfallkommunikationszielinformationen aus dem sicheren Bereich 27 über die sichere Steuereinheit 28.
  • Dann beschränkt die Hauptsteuereinheit 23 das von der Kommunikations-LSI 53 übermittelte IP-Paket auf ein IP-Paket, dessen Ziel das durch die Notfallkommunikationszielinformationen angegebene Kommunikationsziel ist, und ein IP-Paket, dessen Ziel das durch die Notfallkommunikationszielinformationen angegebene Ziel ist.
  • Insbesondere registriert die Hauptsteuereinheit 23 die IP-Adresse des Kartenservers 184 und die IP-Adresse des Steuerservers 185 in der Kommunikationsdatenverarbeitungseinheit 22 im LSI 53.
  • Die Kommunikationsdatenverarbeitungseinheit 22 verwendet beispielsweise die registrierte IP-Adresse des Kartenservers 184 und die registrierte IP-Adresse des Steuerservers 185, um IP-Pakete zu verwerfen, mit Ausnahme derjenigen, die an und von dem Kartenserver 184 und dem Steuerserver 185 gesendet und empfangen werden.
  • Genauer gesagt, wenn die Kommunikationsdatenverarbeitungseinheit 22 ein IP-Paket von der fahrzeugexternen Kommunikationseinheit 21 empfängt, bestätigt sie, ob die Quell-IP-Adresse des empfangenen IP-Pakets mit der IP-Adresse des Kartenservers 184 oder der IP-Adresse des Steuerservers 185 übereinstimmt oder nicht.
  • Bei der Bestätigung, dass das IP-Paket mit einer der IP-Adressen übereinstimmt, gibt die Kommunikationsdatenverarbeitungseinheit 22 das IP-Paket an die Intrafahrzeug-Kommunikationseinheit 25 aus. Bei der Bestätigung, dass die IP-Adresse mit keiner der IP-Adressen übereinstimmt, hingegen verwirft die Kommunikationsdatenverarbeitungseinheit 22 das IP-Paket.
  • Weiterhin bestätigt die Kommunikationsdatenverarbeitungseinheit 22 beim Empfangen des IP-Pakets von der Intrafahrzeug-Kommunikationseinheit 25, ob die Ziel-IP-Adresse des empfangenen IP-Pakets mit der IP-Adresse des Kartenservers 184 oder der IP-Adresse des Steuerservers 185 übereinstimmt oder nicht.
  • Bei der Bestätigung, dass das IP-Paket mit einer der IP-Adressen übereinstimmt, gibt die Kommunikationsdatenverarbeitungseinheit 22 das IP-Paket an die fahrzeugexterne Kommunikationseinheit 21 aus. Bei der Bestätigung, dass die IP-Adresse mit keiner der IP-Adressen übereinstimmt, verwirft die Kommunikationsdatenverarbeitungseinheit 22 das IP-Paket.
  • Mit einer solchen Konfiguration ist es möglich, bei unbefugtem Zugriff auf Steuerinformationen, Karteninformationen, Textinformationen, Bildinformationen, Bewegtbildinformationen, Audioinformationen und dergleichen, die in einer normalen Zeit übertragen werden, die Übertragung von Informationen mit Ausnahme der Steuerinformationen und der Karteninformationen, die für das autonome Fahren des Zielfahrzeugs 1 erforderlich sind, einzuschränken, so dass das autonome Fahren zufriedenstellend fortgesetzt werden kann.
  • Es ist zu beachten, dass die Hauptsteuereinheit 23 die Übertragung von Informationen mit Ausnahme von Informationen, die für das autonome Fahren des Zielfahrzeugs 1 erforderlich sind, einschränken kann und die folgende Verarbeitung durchführen kann, wenn ein unbefugter Zugriff in der Fahrzeugeinrichtung erkannt wird. Das heißt, die Hauptsteuereinheit 23 kann konfiguriert werden, um eine Kommunikationsverbindung mit der fahrzeugbezogenen externen Vorrichtung herzustellen, z.B. über ein Virtual Private Network (VPN) oder ein IP-VPN, wie in der Nicht-Patentliteratur 1 („Wikipedia“, [online], [gesucht am 16. Januar 2017], Internet <URL:http://ja.wikipedia.org/wiki/Virtual_Private_Network>) beschrieben.
  • Da die Vorrichtung für fahrzeugexterne Kommunikation 101 und die fahrzeugbezogene externe Vorrichtung durch Kommunikation über eine einzige virtuelle Standleitung verbunden sind, kann bei einer solchen Konfiguration die Möglichkeit für eine nicht-autorisierte externe Vorrichtung, auf das fahrzeuginterne Netzwerk 10 zuzugreifen, reduziert werden, um eine nachteilige Auswirkung eines nicht-autorisierten Zugangs im fahrzeuginternen Netzwerk 10 zu verhindern.
  • [Zweite Änderung der Kommunikationssteuerung im Notfall] Die Vorrichtung für fahrzeugexterne Kommunikation 101 ist nicht auf die Konfiguration beschränkt, um mit einer nicht-spezifizierten externen Vorrichtung zu kommunizieren, wenn ein unbefugter Zugriff erfolgt, sondern kann konfiguriert werden, ein vorgegebenes Kommunikationsziel darüber zu informieren, dass ein unbefugter Zugriff empfangen wurde.
  • Unter erneuter Bezugnahme auf 2 speichert die Speichereinheit 26 in diesem Beispiel Notfallkommunikationszielinformationen, Notfallbetriebsinformationen und Auftragnehmerinformationen im sicheren Bereich 27.
  • Das Ziel der Notfallkommunikation ist beispielsweise die externe Vorrichtung der Notruf-Empfangsorganisation (im Folgenden auch als externe Vorrichtung des Berichtsziels bezeichnet).
  • Genauer gesagt, beinhalten die Notfallkommunikationszielinformationen beispielsweise die IP-Adresse des Berichtszielservers 182 als Adresse der externen Vorrichtung des Berichtsziels.
  • Die Informationen zum Notfallbetrieb beinhalten ein Notfallmeldeprogramm als Notfallprogramm. Das Notfallberichtsprogramm ist ein Programm, mit dem die Kommunikations-LSI 53 veranlasst wird, die empfangende Notfallberichtsorganisation darüber zu informieren, dass unbefugter Zugriff empfangen wurde.
  • [Betriebsablauf]
  • 6 ist ein Flussdiagramm, das einen Betriebsablauf für jede Verarbeitung definiert, die durchgeführt wird, wenn die Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung einen unbefugten Zugriff erkennt.
  • Unter Bezugnahme auf 6 wird beispielsweise davon ausgegangen, dass die Stromversorgung der Vorrichtung für fahrzeugexterne Kommunikation 101 eingeschaltet ist.
  • Die Vorgänge in den Schritten S302 bis S308 sind die gleichen wie die in den Schritten S102 bis S108 in 4 dargestellten.
  • Als nächstes erfasst die Vorrichtung für fahrzeugexterne Kommunikation 101 bei der Erkennung von unbefugtem Zugriff in der Fahrzeugeinrichtung (JA in Schritt S308) Notfallbetriebsinformationen, insbesondere das Notfallberichtsprogramm, aus dem sicheren Bereich 27 in der Speichereinheit 26 (Schritt S310).
  • Genauer gesagt, veranlasst die Hauptsteuereinheit 23 beim Empfangen der Bestimmungsinformationen von der Erkennungseinheit für unbefugten Zugriff 24 die sichere Steuereinheit 28, sich durch Informationsaustausch mit der sicheren Steuereinheit 28 gemäß dem Verfahren P1 zu authentifizieren, und erfasst das Notfallmeldeprogramm aus dem sicheren Bereich 27 über die sichere Steuereinheit 28.
  • Anschließend führt die Vorrichtung für fahrzeugexterne Kommunikation 101 das erfasste Notfallmeldeprogramm (Schritt S312) aus.
  • Insbesondere arbeitet die Hauptsteuereinheit 23 gemäß dem erfassten Notfallmeldeprogramm und erfasst die Notfallkommunikationszielinformationen aus dem sicheren Bereich 27 über die sichere Steuereinheit 28.
  • Anschließend benachrichtigt die Hauptsteuereinheit 23 die empfangende Notfallmeldeorganisation, dass ein unbefugter Zugriff im Zielfahrzeug 1 stattgefunden hat, z.B. unter Verwendung der IP-Adresse des Berichtszielservers 182, die in den Zielinformationen der Notfallkommunikation enthalten ist.
  • Genauer gesagt, erstellt die Hauptsteuereinheit 23 beispielsweise Notfallbenachrichtigungsinformationen, die anzeigen, dass ein unbefugter Zugriff im Zielfahrzeug 1 stattgefunden hat, und erstellt ein IP-Paket mit den erstellten Notfallbenachrichtigungsinformationen in einer Nutzlast.
  • Die Hauptsteuereinheit 23 setzt die Ziel-IP-Adresse des erstellten IP-Pakets als IP-Adresse des Berichtszielservers 182 und veranlasst die Kommunikations-LSI 53, das IP-Paket an den Berichtszielserver 182 zu übertragen.
  • [Dritte Änderung der Kommunikationssteuerung im Notfall]
  • Die Vorrichtung für fahrzeugexterne Kommunikation 101 ist nicht auf die Konfiguration beschränkt, um zum Zeitpunkt des Auftretens eines unbefugten Zugangs mit einer nicht-spezifizierten externen Vorrichtung zu kommunizieren, sondern kann so konfiguriert werden, dass sie das Auftreten eines unbefugten Zugangs übermittelt.
  • Unter erneuter Bezugnahme auf 2 speichert die Speichereinheit 26 in diesem Beispiel Notfallkommunikationszielinformationen, Notfallbetriebsinformationen und Auftragnehmerinformationen im sicheren Bereich 27.
  • Das Notfallkommunikationsziel zeigt z.B. eine Übertragung an. Genauer gesagt, zeigen die Informationen zum Notfallkommunikationsziel beispielsweise eine Übertragungsadresse als Kommunikationsziel an, die eine Übertragung anzeigt.
  • Die Notfallbetriebsinformationen beinhalten ein Notfallumgebungsprogramm als Notfallprogramm. Das Notfallumgebungs-Sendeprogramm ist ein Programm zur Übertragung an Umgebungsfahrzeuge, bei dem die Kommunikations-LSI 53 unbefugten Zugriff erhalten hat.
  • [Betriebsablauf]
  • 7 ist ein Flussdiagramm, das ein Betriebsverfahren für jede Verarbeitung definiert, die durchgeführt wird, wenn die Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung einen unbefugten Zugriff erkennt.
  • Unter Bezugnahme auf 7 wird beispielsweise angenommen, dass die Stromversorgung der Vorrichtung für fahrzeugexterne Kommunikation 101 eingeschaltet ist.
  • Die Vorgänge in den Schritten S402 bis S408 sind die gleichen wie die in den Schritten S102 bis S108 in 4 dargestellten Vorgänge.
  • Als nächstes erfasst die Vorrichtung für fahrzeugexterne Kommunikation 101 bei der Erkennung von unbefugtem Zugriff in der Fahrzeugeinrichtung (JA in Schritt S408) aus dem sicheren Bereich 27 in der Speichereinheit 26 (Schritt S410) Notfallinformationen, insbesondere das Notfallumgebungsprogramm.
  • Insbesondere veranlasst die Hauptsteuereinheit 23 beim Empfangen der Bestimmungsinformationen von der Erkennungseinheit für unbefugten Zugriff 24 die sichere Steuereinheit 28, sich durch Informationsaustausch mit der sicheren Steuereinheit 28 gemäß dem Verfahren P1 zu authentifizieren, und erfasst das Notfallumgebungsprogramm aus dem sicheren Bereich 27 über die sichere Steuereinheit 28.
  • Als nächstes führt die Vorrichtung für fahrzeugexterne Kommunikation 101 das erfasste Notfallumgebungsprogramm aus (Schritt S412).
  • Insbesondere arbeitet die Hauptsteuereinheit 23 in Übereinstimmung mit dem erfassten Notfall-Rundsendeprogramm und erfasst die Notfallkommunikationszielinformationen aus dem sicheren Bereich 27 über die sichere Steuereinheit 28.
  • Dann sendet die Hauptsteuereinheit 23 Informationen, dass das Zielfahrzeug 1 unbefugten Zugriff als Kommunikation mit dem Kommunikationsziel erhalten hat, unter Verwendung der Notfallkommunikationszielinformationen unter Verwendung der in den Notfallkommunikationszielinformationen angegebenen Übertragungsadresse.
  • Insbesondere erzeugt die Hauptsteuereinheit 23 beispielsweise Umgebungsbenachrichtigungsinformationen, die anzeigen, dass ein unbefugter Zugriff im Zielfahrzeug 1 stattgefunden hat, und erstellt ein IP-Paket mit den erstellten Umgebungsbenachrichtigungsinformationen in der Nutzlast.
  • Die Hauptsteuereinheit 23 stellt die Ziel-IP-Adresse des erstellten IP-Pakets als Übertragungsadresse ein und veranlasst die Kommunikations-LSI 53, das IP-Paket zu übertragen.
  • Genauer gesagt, bestätigt die fahrzeugexterne Kommunikationseinheit 21 in der Kommunikations-LSI 53, dass die Ziel-IP-Adresse des IP-Pakets von der Hauptsteuereinheit 23 eine Übertragungsadresse gemäß der Steuerung der Hauptsteuereinheit 23 ist. Anschließend speichert die fahrzeugexterne Kommunikationseinheit 21 das IP-Paket in einem drahtlosen Rahmen und sendet den drahtlosen Rahmen.
  • Unter erneuter Bezugnahme auf 1, wenn die fahrzeuginterne Kommunikationsvorrichtung 187 in einem anderen Fahrzeug 2 die Umgebungsbenachrichtigungsinformationen vom Zielfahrzeug 1 empfängt, während beispielsweise ein anderes Fahrzeug 2 autonom gefahren wird, führt die fahrzeuginterne Kommunikationsvorrichtung 187 eine Fahrsteuerung durch, um eine Kollision mit dem Zielfahrzeug 1 basierend auf den empfangenen Umgebungsbenachrichtigungsinformationen zu vermeiden.
  • Wenn die Fahrzeugkommunikationsvorrichtung 187 beispielsweise die Umgebungsbenachrichtigungsinformationen vom Zielfahrzeug 1 empfängt, während ein anderes Fahrzeug 2 beispielsweise manuell von einem Fahrer gefahren wird, benachrichtigt die Fahrzeugkommunikationsvorrichtung 187 den Fahrer über den Inhalt der empfangenen Umgebungsbenachrichtigungsinformationen.
  • [Steuerung des autonomen Fahrens im Notfall]
  • Die Vorrichtung für fahrzeugexterne Kommunikation 101 ist nicht auf die Konfiguration zur Kommunikation mit einer nicht-spezifizierten externen Vorrichtung zum Zeitpunkt des Auftretens eines unbefugten Zugangs beschränkt, sondern kann auch zur Steuerung der autonomen Fahrt des eigenen Zielfahrzeugs 1 konfiguriert werden.
  • Unter erneuter Bezugnahme auf 2 speichert die Speichereinheit 26 in diesem Beispiel die Notfallbetriebsinformationen und die Auftragnehmerinformationen im sicheren Bereich 27.
  • Die Notfallbetriebsinformationen beinhalten ein Notfallfahranweisungsprogramm und ein Notfallfahrschaltprogramm als Notfallprogramme.
  • Das Notfallfahranweisungsprogramm ist ein Programm zur Erteilung einer Anweisung zum sicheren Anhalten des Zielfahrzeugs 1 durch das autonome Fahren an das Selbstfahr-ECU 112 im oben beschriebenen kontinuierlichen Modus. Das Notfallfahrschaltprogramm ist ein Programm zum Umschalten der Fahrt des Zielfahrzeugs 1 von der autonomen Fahrt auf die manuelle Fahrt im oben beschriebenen nicht-kontinuierlichen Modus.
  • [Betriebsablauf]
  • 8 ist ein Flussdiagramm, das einen Betriebsablauf für jede Verarbeitung definiert, die durchgeführt wird, wenn die Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung einen unbefugten Zugriff erkennt.
  • Unter Bezugnahme auf 8 wird beispielsweise angenommen, dass die Stromversorgung der Vorrichtung für fahrzeugexterne Kommunikation 101 eingeschaltet ist.
  • Die Vorgänge in den Schritten S502 bis S508 sind die gleichen wie die in den Schritten S102 bis S108 in 4 dargestellten.
  • Wenn nun der kontinuierliche Modus eingestellt ist (JA in Schritt S510), erfasst die Vorrichtung für fahrzeugexterne Kommunikation 101 Notfallbetriebsinformationen, insbesondere das Notfallfahranweisungsprogramm, aus dem sicheren Bereich 27 in der Speichereinheit 26 (Schritt S512).
  • Insbesondere wenn der kontinuierliche Modus eingestellt ist, veranlasst die Hauptsteuereinheit 23 nach Empfang der Bestimmungsinformationen von der Erkennungseinheit für unbefugten Zugriff 24 die sichere Steuereinheit 28, sich durch Informationsaustausch mit der sicheren Steuereinheit 28 gemäß dem Verfahren P1 zu authentifizieren und erfasst das Notfallfahranweisungsprogramm aus dem sicheren Bereich 27 über die sichere Steuereinheit 28.
  • Andererseits, wenn der nicht-kontinuierliche Modus eingestellt wurde (NO in Schritt S510), erfasst die Vorrichtung für fahrzeugexterne Kommunikation 101 Notfallbetriebsinformationen, insbesondere das Notfallfahrschaltprogramm, aus dem sicheren Bereich 27 in der Speichereinheit 26 (Schritt S514).
  • Insbesondere, wenn der nicht-kontinuierliche Modus eingestellt wurde, veranlasst die Hauptsteuereinheit 23 nach Empfang der Bestimmungsinformationen von der Erkennungseinheit für unbefugten Zugriff 24 die sichere Steuereinheit 28, sich durch Informationsaustausch mit der sicheren Steuereinheit 28 gemäß dem Verfahren P1 zu authentifizieren, und erfasst das Notfallfahrschaltprogramm aus dem sicheren Bereich 27 über die sichere Steuereinheit 28.
  • Anschließend führt die Vorrichtung für fahrzeugexterne Kommunikation 101 das erfasste Notfallfahranweisungsprogramm oder Notfallfahrschaltprogramm (Schritt S516) aus.
  • Insbesondere beim Erfassen des Notfallfahranweisungsprogramms aus dem sicheren Bereich 27 arbeitet die Hauptsteuereinheit 23 gemäß dem Notfallfahranweisungsprogramm, führt eine Steuerung zum sicheren Anhalten des eigenen Zielfahrzeugs 1 auf dem Selbstfahr-ECU 112 durch und benachrichtigt den Fahrer über die Steuerung.
  • Genauer gesagt, erstellt die Hauptsteuereinheit 23 ein IP-Paket, das in der Nutzlast einen Befehl zum Anhalten des Straßenschildes enthält, der das Anhalten des Zielfahrzeugs 1 auf dem Straßenschild anzeigt.
  • Die Hauptsteuereinheit 23 stellt die Ziel-IP-Adresse des erstellten IP-Pakets als IP-Adresse des Selbstfahr-ECU 112 ein und veranlasst die Kommunikations-LSI 53, das IP-Paket an das Selbstfahr-ECU 112 zu übertragen.
  • Das Selbstfahr-ECU 112 empfängt über die Schaltvorrichtung 151 einen Seitenstreifenstoppbefehl von der Vorrichtung für fahrzeugexterne Kommunikation 101 und stoppt das eigene Zielfahrzeug 1 auf dem Seitenstreifen durch das autonome Fahren gemäß dem empfangenen Seitenstreifenstoppbefehl (vgl. 1).
  • Weiterhin erzeugt die Hauptsteuereinheit 23 Statusinformationen, die das Anhalten des Zielfahrzeugs 1 auf dem Seitenstreifen aufgrund des Auftretens eines unbefugten Zugangs anzeigen, und erstellt ein IP-Paket mit den erzeugten Statusinformationen in der Nutzlast.
  • Die Hauptsteuereinheit 23 stellt die Ziel-IP-Adresse des erstellten IP-Pakets als IP-Adresse einer Instrumentenanzeigesteuerung ein, die ein Beispiel für das Fahrzeug-ECU 111 ist, und veranlasst die Kommunikations-LSI 53, das IP-Paket an die Instrumentenanzeigesteuerung zu übertragen.
  • Die Instrumentenanzeigesteuerung empfängt die Statusinformationen von der Vorrichtung für fahrzeugexterne Kommunikation 101 über die Schaltvorrichtung 151 und zeigt die empfangenen Steuerstatusinformationen an einem Instrument an, um den Fahrer über den Inhalt der Statusinformationen zu informieren (vgl. 1).
  • Darüber hinaus arbeitet die Hauptsteuereinheit 23, wenn das Notfallfahrschaltprogramm aus dem sicheren Bereich 27 erfasst wird, gemäß dem Notfallfahrschaltprogramm, schaltet die Fahrsteuerung des Zielfahrzeugs 1 von der vollautonomen Fahrt oder der teilautonomen Fahrt auf die manuelle Fahrt um und benachrichtigt den Fahrer über die Schaltung.
  • Genauer gesagt, erstellt die Hauptsteuereinheit 23 ein IP-Paket, das einen manuellen Fahrbefehl in der Nutzlast beinhaltet.
  • Die Hauptsteuereinheit 23 stellt die Ziel-IP-Adresse des erstellten IP-Pakets als IP-Adresse des Selbstfahr-ECU 112 ein und veranlasst die Kommunikations-LSI 53, das IP-Paket an das Selbstfahr-ECU 112 zu übertragen.
  • Das Selbstfahr-ECU 112 empfängt den Schaltbefehl des manuellen Fahrens von der Vorrichtung für fahrzeugexterne Kommunikation 101 über die Schaltvorrichtung 151 und schaltet die Fahrsteuerung des eigenen Zielfahrzeugs 1 von dem vollautonomen Fahren oder dem teilautonomen Fahren auf das manuelle Fahren gemäß dem empfangenen Schaltbefehl des manuellen Fahrens um (vgl. 1).
  • Weiterhin erzeugt die Hauptsteuereinheit 23 Statusinformationen, die den Wechsel von der autonomen Fahrt zur manuellen Fahrt aufgrund des Auftretens eines unbefugten Zugriffs anzeigen, und erstellt ein IP-Paket mit den erzeugten Statusinformationen in der Nutzlast.
  • Die Hauptsteuereinheit 23 stellt die Ziel-IP-Adresse des erstellten IP-Pakets als IP-Adresse der Instrumentenanzeigesteuerung ein und veranlasst die Kommunikations-LSI 53, das IP-Paket an die Instrumentenanzeigesteuerung zu übertragen.
  • In der Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung wurde die Speichereinheit 26 konfiguriert, um die Notfallbetriebsinformationen im sicheren Bereich 27 zu speichern oder die Notfallkommunikationszielinformationen und die Notfallbetriebsinformationen im sicheren Bereich 27 zu speichern. Die vorliegende Erfindung ist jedoch nicht darauf beschränkt. Die Speichereinheit 26 kann konfiguriert werden, die Informationen über das Ziel der Notfallkommunikation im sicheren Bereich 27 zu speichern. In diesem Fall arbeitet beispielsweise die Hauptsteuereinheit 23 gemäß dem Hauptprogramm im ROM 30, erfasst die Notfallkommunikationszielinformationen aus dem sicheren Bereich 27 und verwendet die erfassten Informationen.
  • Darüber hinaus wurde in der Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung die Hauptsteuereinheit 23 konfiguriert, eine Verarbeitung basierend auf den Notfallbetriebsinformationen durchzuführen oder eine Kommunikation mit dem Kommunikationsziel unter Verwendung der Notfallkommunikationszielinformationen und eine Verarbeitung basierend auf den Notfallbetriebsinformationen durchzuführen, wenn ein unbefugter Zugriff in der Fahrzeugeinrichtung erkannt wird. Die vorliegende Erfindung ist jedoch nicht darauf beschränkt. Die Hauptsteuereinheit 23 kann konfiguriert werden, die Kommunikation mit dem Kommunikationsziel unter Verwendung der Notfallkommunikationszielinformationen durchzuführen, wenn der nicht-autorisierte Zugriff erkannt wird. In diesem Fall erfasst beispielsweise die Hauptsteuereinheit 23 gemäß dem Hauptprogramm im ROM 30 die Notfallkommunikationszielinformationen aus dem sicheren Bereich 27 und kommuniziert mit dem Kommunikationsziel der erfassten Notfallkommunikationszielinformationen.
  • Weiterhin wurde die Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung konfiguriert, eine Einschränkung der Übertragung des IP-Pakets, der Übertragung von Informationen an das Kommunikationsziel unter Verwendung des IP-Pakets und dergleichen durchzuführen. Die vorliegende Erfindung ist jedoch nicht darauf beschränkt. Es kann eine Konfiguration sein, die beispielsweise eine Einschränkung der Übertragung eines Ethernet-Rahmens, eines drahtlosen Rahmens und einer Nachricht in Übereinstimmung mit dem Kommunikationsstandard eines Controller Area Network (CAN), mit Ausnahme des IP-Pakets, der Übertragung von Informationen an Kommunikationsziele unter Verwendung des Ethernet-Rahmens, des drahtlosen Rahmens und der Nachricht und dergleichen durchführt.
  • Darüber hinaus wurde sie in der Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung so konfiguriert, dass der Zugang zum sicheren Bereich 27 von der Hauptsteuereinheit 23 aus gestattet ist, wenn die Hauptsteuereinheit 23 vorgegebene Informationen ausgibt. Die vorliegende Erfindung ist jedoch nicht darauf beschränkt. So kann beispielsweise der sichere Bereich 27 so konfiguriert werden, dass er die in der Nicht-Patentliteratur 1 („IT-Glossary e-Words“, [online], [gesucht am 1. Mai 2017], Internet <URL: http://e-words.jp/w/tamper resistance.html>) beschriebene Manipulationsbeständigkeit aufweist. Hier stellt die Manipulationsbeständigkeit die Schwierigkeit dar, die interne Struktur, Daten und dergleichen von Soft- und Hardware zu analysieren. Mit anderen Worten, die Manipulationsbeständigkeit ist eine Fähigkeit, zu verhindern, dass sensible Daten auf unbefugte Weise gelesen werden. In diesem Beispiel werden Informationen wie die Zielinformationen für die Notfallkommunikation, die Notfallbetriebsinformationen und die Auftragnehmerinformationen im sicheren Bereich 27 mit der Manipulationsbeständigkeit gespeichert, so dass die Analyse schwierig wird. Insbesondere werden die Kommunikationszielinformationen oder die Notfallbetriebsinformationen beispielsweise von der sicheren Steuereinheit 28 im sicheren IC 52 verschlüsselt und im sicheren Bereich 27 gespeichert. Als Reaktion auf eine Anforderung der Hauptsteuereinheit 23 im Haupt-IC 51 erfasst und entschlüsselt die sichere Steuereinheit 28 die Kommunikationszielinformationen oder die Notfallbetriebsinformationen aus dem sicheren Bereich 27 und gibt die entschlüsselten Kommunikationszielinformationen oder Notfallbetriebsinformationen an die Hauptsteuereinheit 23 aus. Wie vorstehend beschrieben, ist es mit der Konfiguration, bei der die Kommunikationszielinformationen oder die Notfallbetriebsinformationen verschlüsselt und im sicheren Bereich 27 gespeichert werden, möglich, die illegale Umschreibung der Kommunikationszielinformationen oder der Notfallbetriebsinformationen von außen zu erschweren. Daher ist es auch bei unberechtigtem Zugriff möglich, die Kommunikationszielinformationen oder die Notfallinformationen zu verwenden, ohne sich um das Umschreiben kümmern zu müssen.
  • In der Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung ist die Speichereinheit 26 konfiguriert worden, die Notfallkommunikationszielinformationen zu speichern, die die IP-Adresse der fahrbezogenen externen Vorrichtung, die IP-Adresse der externen Vorrichtung des Berichtsziels oder die Übertragungsadresse als Kommunikationsziel angeben. Die vorliegende Erfindung ist jedoch nicht darauf beschränkt. Die Speichereinheit 26 kann konfiguriert werden, Notfallkommunikationszielinformationen zu speichern, die als Kommunikationsziel eine oder eine Vielzahl von Adressen angeben, die sich von der IP-Adresse der fahrzeugbezogenen externen Vorrichtung, der IP-Adresse der externen Vorrichtung des Berichtsziels und der Übertragungsadresse unterscheiden.
  • Darüber hinaus wurde in der Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung die Hauptsteuereinheit 23 konfiguriert, Informationen zu übertragen, die anzeigen, dass das Zielfahrzeug 1 unbefugten Zugang erhalten hat, wenn ein unbefugter Zugang in der Fahrzeugeinrichtung erkannt wird. Die vorliegende Erfindung ist jedoch nicht darauf beschränkt. In dem obigen Fall kann beispielsweise die Hauptsteuereinheit 23 konfiguriert werden, Informationen zu senden, die das Anhalten des Zielfahrzeugs 1 anzeigen.
  • Darüber hinaus wurde in der Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung so konfiguriert, dass der vorgegebene Notfallbetrieb von der autonomen Fahrt auf die manuelle Fahrt des Zielfahrzeugs 1 umschaltet. Die vorliegende Erfindung ist jedoch nicht darauf beschränkt. So kann beispielsweise der vorgegebene Notfallbetrieb konfiguriert werden, um das autonome Fahren des Zielfahrzeugs 1 fortzusetzen.
  • Darüber hinaus ist sie in der Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung so konfiguriert, dass der vorgegebene Notfallbetrieb das Zielfahrzeug 1 auf dem Seitenstreifen stoppt. Die vorliegende Erfindung ist jedoch nicht darauf beschränkt. So kann beispielsweise der vorgegebene Notfallbetrieb konfiguriert werden, das Zielfahrzeug 1 an einer Stelle außer dem Seitenstreifen anzuhalten.
  • Weiterhin wurde in der Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung der sichere Bereich 27 so konfiguriert, dass er in den Speicherbereich der SIM-Karte aufgenommen wird. Die vorliegende Erfindung ist jedoch nicht darauf beschränkt. Der sichere Bereich 27 kann konfiguriert werden, in eine von der SIM-Karte verschiedene sichere Vorrichtung aufgenommen zu werden, insbesondere eine eingebettete SIM (eSIM), eine sichere Vorrichtung gemäß einem vorgegebenen Standard oder dergleichen.
  • Genauer gesagt, ist das eSIM beispielsweise für Auftragnehmerinformationen von der Innenseite oder Außenseite der Vorrichtung für fahrzeugexterne Kommunikation 101 wiederbeschreibbar und wird mit der Vorrichtung für fahrzeugexterne Kommunikation 101 verlötet. Der vorgegebene Standard ist beispielsweise ein Trusted Platform Module (TPM) Version 2.0 Standard, ein Secure Hardware Extension (SHE) Standard, ein E-Safety Vehicle Intrusion Protected Applications (EVITA) Standard oder ähnliches.
  • Darüber hinaus wurde die Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung so konfiguriert, dass die Auftragnehmerinformationen, die Notfallkommunikationszielinformationen und die Notfallinformationen im sicheren Bereich 27 auf der SIM-Karte gespeichert werden. Die vorliegende Erfindung ist jedoch nicht darauf beschränkt. Es kann so konfiguriert werden, dass die Auftragnehmerinformationen, die Notfallkommunikationszielinformationen und die Notfallbetriebinformationen in einer Vielzahl von sicheren Bereichen verteilt und gespeichert werden. Insbesondere kann es beispielsweise so konfiguriert werden, dass die Auftragnehmerinformationen in dem auf der SIM-Karte enthaltenen sicheren Bereich 27 gespeichert werden, und die Zielinformationen für die Notfallkommunikation und die Informationen für den Notfallbetrieb werden in dem sicheren Bereich gespeichert, der in einer sicheren Vorrichtung enthalten ist, die sich von der SIM-Karte unterscheidet.
  • Übrigens, wenn beispielsweise das in der Patentliteratur 1 beschriebene Fahrzeugnetzwerk mit einem externen Netzwerk außerhalb des Fahrzeugs verbunden ist, kann im Fahrzeug eine Vorrichtung für fahrzeugexterne Kommunikation zur Kommunikation mit dem externen Netzwerk vorgesehen werden. In diesem Fall ist es denkbar, dass die Vorrichtung für fahrzeugexterne Kommunikation einen unbefugten Zugriff, wie beispielsweise Hacking von außerhalb des Fahrzeugs, erhält, und ein Verfahren zur Durchführung einer geeigneten Verarbeitung, wie sie die Vorrichtung für fahrzeugexterne Kommunikation benötigt, wenn ein solcher unbefugter Zugriff erfolgt.
  • Im Gegensatz dazu ist die Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung im Zielfahrzeug 1 installiert und kann mit einer externen Vorrichtung außerhalb des Zielfahrzeugs 1 kommunizieren. Die Speichereinheit 26 beinhaltet den sicheren Bereich 27 mit Manipulationsbeständigkeit, und mindestens eine der Notfallkommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Zielfahrzeugs 1 und Notfallbetriebsinformationen bezüglich eines vorgegebenen Betriebs im Notfall werden im sicheren Bereich 27 gespeichert. Wenn dann ein unbefugter Zugriff in der im Zielfahrzeug 1 installierten Fahrzeugeinrichtung erkannt wird, führt die Hauptsteuereinheit 23 mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel, indem sie die Informationen des Notfallkommunikationsziels verwendet und Verarbeitung basierend auf den Notfallbetriebsinformationen durch.
  • Wie so beschrieben, können beispielsweise bei der Konfiguration, bei der mindestens eines von Notfallkommunikationszielinformationen und für die Verarbeitung erforderlichen Notfallbetriebsinformationen, die bei Empfang eines unbefugten Zugangs durchgeführt werden sollen, im sicheren Bereich 27 gespeichert werden, der von außen des Zielfahrzeugs 1 schwer umzuschreiben ist, auch wenn ein unbefugter Zugang empfangen wird, Informationen, die aufgrund eines unbefugten Zugangs keine Sorge um ein Umschreiben haben, aus dem sicheren Bereich 27 erfasst werden, so dass es möglich ist, mindestens eines von Kommunikation mit dem angenommenen Kommunikationsziel und angenommener Verarbeitung zuverlässig durchzuführen. Daher kann im Fahrzeugnetz 10 eine entsprechende Verarbeitung auch bei unberechtigtem Zugriff zuverlässiger durchgeführt werden. Darüber hinaus ist es bei Empfang eines unbefugten Zugriffs mit der Konfiguration zur Durchführung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Notfallkommunikationszielinformationen möglich, die Übertragung von Informationen sicherzustellen, die für den Umgang mit dem unbefugten Zugriff erforderlich sind, im Vergleich zu beispielsweise einer Konfiguration, bei der die Kommunikation mit der externen Vorrichtung bei Empfang eines unbefugten Zugriffs vollständig blockiert ist.
  • Die Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung ist im Zielfahrzeug 1 installiert und kann mit der externen Vorrichtung außerhalb des Zielfahrzeugs 1 kommunizieren. Die Speichereinheit 26 weist den sicheren Bereich 27 auf, in den der Zugriff von der Hauptsteuereinheit 23 gestattet ist, wenn die Hauptsteuereinheit 23 vorgegebene Informationen ausgibt, und mindestens eines von Notfallkommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Zielfahrzeugs 1 und Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs im Notfall werden im sicheren Bereich 27 gespeichert. Wenn dann ein unbefugter Zugriff in der im Zielfahrzeug 1 installierten Fahrzeugeinrichtung erkannt wird, führt die Hauptsteuereinheit 23 mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel, indem sie die Informationen des Notfallkommunikationsziels verwendet und Verarbeitung basierend auf den Notfallbetriebsinformationen durch.
  • Wie so beschrieben, können beispielsweise bei der Konfiguration, bei der mindestens eines von Notfallkommunikationszielinformationen und für die Verarbeitung erforderlichen Notfallbetriebsinformationen, die bei Empfang eines unbefugten Zugangs durchgeführt werden sollen, im sicheren Bereich 27 gespeichert werden, der von außen des Zielfahrzeugs 1 schwer umzuschreiben ist, auch wenn ein unbefugter Zugang empfangen wird, Informationen, die aufgrund eines unbefugten Zugangs keine Sorge um ein Umschreiben haben, aus dem sicheren Bereich 27 erfasst werden, so dass es möglich ist, mindestens eines von Kommunikation mit dem angenommenen Kommunikationsziel und angenommener Verarbeitung zuverlässig durchzuführen. Daher kann im Fahrzeugnetz 10 eine entsprechende Verarbeitung auch bei unberechtigtem Zugriff zuverlässiger durchgeführt werden. Darüber hinaus ist es bei Empfang eines unbefugten Zugriffs mit der Konfiguration zur Durchführung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Notfallkommunikationszielinformationen möglich, die Übertragung von Informationen sicherzustellen, die für den Umgang mit dem unbefugten Zugriff erforderlich sind, im Vergleich zu beispielsweise einer Konfiguration, bei der die Kommunikation mit der externen Vorrichtung bei Empfang eines unbefugten Zugriffs vollständig blockiert ist.
  • In der Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung ist das Kommunikationsziel die fahrzeugbezogene externe Vorrichtung, die Informationen übermittelt, die für das autonome Fahren des Zielfahrzeugs 1 erforderlich sind.
  • Mit einer solchen Konfiguration kann die Übertragung von Informationen, die mit der fahrzeugbezogenen externen Vorrichtung ausgetauscht werden, die Informationen überträgt, die für das autonome Fahren des Zielfahrzeugs 1 erforderlich sind, gewährleistet werden, wodurch ein Beitrag zur Fortsetzung des autonomen Fahrens des Zielfahrzeugs 1 geleistet wird, wenn ein unbefugter Zugriff empfangen wird.
  • Weiterhin ist das Kommunikationsziel in der Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung die externe Vorrichtung des Berichtsziels der Empfangsorganisation für Notfallmeldungen.
  • Mit einer solchen Konfiguration ist es möglich, die Empfangsorganisation für Notfallmeldungen zuverlässiger zu benachrichtigen, dass das Zielfahrzeug 1 unbefugten Zugang und dergleichen erhalten hat.
  • Darüber hinaus zeigt das Kommunikationsziel in der Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung eine Übertragung an.
  • Wenn beispielsweise in einem Fall, in dem ein Kommunikationsziel angegeben ist, es für das Kommunikationsziel schwierig ist, Informationen von der Vorrichtung für fahrzeugexterne Kommunikation 101 zu empfangen, können Informationen nicht von der Vorrichtung für fahrzeugexterne Kommunikation 101 an die Außenseite des Fahrzeugs übertragen werden. Andererseits ist es mit der oben beschriebenen Konfiguration, bei der das Kommunikationsziel nicht angegeben ist, möglich, Informationen zuverlässiger an die Außenseite des Fahrzeugs zu übertragen.
  • In der Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung werden Informationen, die anzeigen, dass das Zielfahrzeug 1 unbefugten Zugang erhalten hat, als Kommunikation mit dem Kommunikationsziel unter Verwendung der Notfallkommunikationszielinformationen übertragen.
  • Mit einer solchen Konfiguration ist es möglich, an jede Vorrichtung zu senden, dass das Zielfahrzeug 1 unbefugten Zugriff erhalten hat.
  • Weiterhin ist in der Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung der vorgegebene Notfallbetrieb die Kommunikation mit mindestens einer der externen Vorrichtungen und der fahrzeuginternen Einrichtung.
  • Mit einer solchen Konfiguration ist es auch in einer Situation, in der ein unbefugter Zugriff, der die Kommunikationszuverlässigkeit beeinträchtigen könnte, empfangen wird, möglich, eine zufriedenstellende Kommunikation mit mindestens einer der externen Vorrichtungen und der fahrzeuginternen Einrichtung auf der Grundlage der Notfallinformationen im sicheren Bereich 27 durchzuführen, die frei von Sorgen um das Umschreiben aufgrund eines unbefugten Zugriffs ist.
  • Weiterhin wurde in der Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung der vorgegebene Notfallbetrieb von der autonomen Fahrt auf die manuelle Fahrt des Zielfahrzeugs 1 umgestellt.
  • Wie so beschrieben, kann der Fahrer in einer Situation, in der ein unbefugter Zugriff die Zuverlässigkeit der autonomen Fahrt des Zielfahrzeugs 1 beeinträchtigen kann, mit der Konfiguration, von der autonomen Fahrt auf die manuelle Fahrt umzuschalten, das Zielfahrzeug 1 steuern, und es ist somit möglich, eine zufriedenstellende Fahrt des Zielfahrzeugs 1 aufrechtzuerhalten, selbst wenn ein unbefugter Zugriff empfangen wird.
  • Weiterhin stoppt in der Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung der vorgegebene Notfallbetrieb das Zielfahrzeug 1 auf dem Seitenstreifen.
  • Wie so beschrieben, ist es in einer Situation, in der unbefugter Zugriff die Zuverlässigkeit der autonomen Fahrt des Zielfahrzeugs 1 beeinträchtigen kann, mit der Konfiguration, in der das Zielfahrzeug 1 auf einem Seitenstreifen angehalten wird, möglich, die Sicherheit des Zielfahrzeugs 1 zu gewährleisten und die Fortsetzung der autonomen Fahrt mit geringer Zuverlässigkeit zu verhindern.
  • Weiterhin wurde in der Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform der vorliegenden Erfindung der sichere Bereich 27 in den Speicherbereich der sicheren Vorrichtung aufgenommen.
  • Wie vorstehend beschrieben, ist es beispielsweise bei der Konfiguration zur Verwendung des sicheren Bereichs 27 in einer universellen sicheren Vorrichtung möglich, den sicheren Bereich 27 in der Vorrichtung für fahrzeugexterne Kommunikation 101 einfach sicherzustellen.
  • Als nächstes wird eine weitere Ausführungsform der vorliegenden Erfindung mit Bezug auf die Zeichnungen beschrieben. In den Zeichnungen werden die gleichen oder korrespondierenden Abschnitte mit den gleichen Referenznummern gekennzeichnet, und die Beschreibung wird nicht wiederholt.
  • <Zweite Ausführungsform>
  • Die vorliegende Ausführungsform bezieht sich auf eine Vorrichtung für fahrzeugexterne Kommunikation, bei der eine sichere Steuereinheit im Notfall ein Kommunikations-LSI steuert, verglichen mit der Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform. Der Inhalt mit Ausnahme der nachfolgend beschriebenen Inhalte ist derselbe wie bei der Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform.
  • 9 ist ein Diagramm, das eine Konfiguration einer Vorrichtung für fahrzeugexterne Kommunikation in einem Fahrzeugkommunikationssystem gemäß einer zweiten Ausführungsform der vorliegenden Erfindung darstellt.
  • Unter Bezugnahme auf 9 beinhaltet eine Vorrichtung für fahrzeugexterne Kommunikation 102 einen Haupt-IC 61, einen sicheren IC 62 und einen Kommunikations-LSI 53. Der Haupt-IC 61 beinhaltet eine Erkennungseinheit für unbefugten Zugriff 24, ein ROM (Speichereinheit) 30, ein RAM 31 und eine Hauptsteuereinheit 43. Der sichere IC 62 beinhaltet eine Speichereinheit (sichere Speichereinheit) 26, ein RAM 29 und eine sichere Steuereinheit 48. Die Speichereinheit 26 beinhaltet einen sicheren Bereich 27. Der sichere IC 62 ist ein Beispiel für eine sichere Vorrichtung, insbesondere eine SIM-Karte.
  • Die Vorgänge der Erkennungseinheit für unbefugten Zugriff 24, der Speichereinheit 26, des sicheren Bereichs 27, des RAM 29, des ROM 30, des RAM 31 und der Kommunikations-LSI 53 in der Vorrichtung für fahrzeugexterne Kommunikation 102 sind die gleichen wie die Vorgänge der Erkennungseinheit für unbefugten Zugriff 24, der Speichereinheit 26, des sicheren Bereichs 27, des RAM 29, des ROM 30, des RAM 31 und der Kommunikations-LSI 53 in der in 2 dargestellten Vorrichtung für fahrzeugexterne Kommunikation 101.
  • Das ROM 30 speichert Informationen über den Normalbetrieb zu einem vorgegebenen Betrieb in einer normalen Zeit. Genauer gesagt, beinhalten die Informationen zum Normalbetrieb z.B. ein externes Hauptkommunikationsprogramm und ein internes Hauptkommunikationsprogramm als Hauptprogramme.
  • Die Speichereinheit 26 speichert Notfallbetriebsinformationen und Auftragnehmerinformationen im sicheren Bereich 27. In diesem Beispiel beinhalten die Notfallbetriebsinformationen beispielsweise ein externes Notfallkommunikationsprogramm und ein internes Notfallkommunikationsprogramm als Notfallprogramme.
  • Der Zugang zum sicheren Bereich 27 von der Hauptsteuereinheit 43 aus ist zulässig, wenn die Hauptsteuereinheit 43 vorgegebene Informationen ausgibt.
  • In diesem Beispiel ist der sichere Bereich 27 von der Hauptsteuereinheit 43 aus erreichbar, wenn die Hauptsteuereinheit 43 einem vorgegebenen Verfahren P1 folgt, und nicht erreichbar, wenn die Hauptsteuereinheit 43 dem Verfahren P1 nicht folgt.
  • Die Vorrichtung für fahrzeugexterne Kommunikation 102 arbeitet in einem normalen Modus, wenn sie keinen unbefugten Zugang erhält, und die Vorrichtung für fahrzeugexterne Kommunikation 102 arbeitet in einem Notfallmodus, wenn sie einen unbefugten Zugang erhält.
  • [Betriebsablauf]
  • 10 ist ein Flussdiagramm, das einen Betriebsablauf jeder Verarbeitung definiert, die durchgeführt wird, wenn die Vorrichtung für fahrzeugexterne Kommunikation gemäß der zweiten Ausführungsform der vorliegenden Erfindung unberechtigten Zugriff erkennt.
  • Unter Bezugnahme auf 10 wird beispielsweise angenommen, dass die Stromversorgung der Vorrichtung für fahrzeugexterne Kommunikation 102 eingeschaltet ist und die Vorrichtung für fahrzeugexterne Kommunikation 102 im Normalbetrieb arbeitet.
  • Zunächst erfasst die Vorrichtung für fahrzeugexterne Kommunikation 102 ein externes Hauptkommunikationsprogramm und ein internes Hauptkommunikationsprogramm aus dem ROM 30 (Schritt S602).
  • Genauer gesagt, wenn beispielsweise die Stromversorgung der eigenen Vorrichtung für fahrzeugexterne Kommunikation 102 eingeschaltet wird, erfasst die Hauptsteuereinheit 43 das externe Hauptkommunikationsprogramm und das interne Hauptkommunikationsprogramm aus dem ROM 30.
  • Anschließend führt die Vorrichtung für fahrzeugexterne Kommunikation 102 das erfasste externe Hauptkommunikationsprogramm und das interne Hauptkommunikationsprogramm aus (Schritt S604).
  • Genauer gesagt, führt die Hauptsteuereinheit 43 die Verarbeitung basierend auf Informationen zum Normalbetrieb durch. Insbesondere initialisiert die Hauptsteuereinheit 43 die Kommunikationsdatenverarbeitungseinheit 22 in der Kommunikations-LSI 53 gemäß dem internen Hauptkommunikationsprogramm und dem externen Hauptkommunikationsprogramm.
  • Anschließend stellt die Hauptsteuereinheit 43 eine Leitungsverbindung mit dem Trägerserver 183 gemäß dem zentralen externen Kommunikationsprogramm her.
  • Wenn die Vorrichtung für fahrzeugexterne Kommunikation 102 keinen unbefugten Zugriff in der Fahrzeugeinrichtung erkannt hat (NEIN in Schritt S608), führt die Vorrichtung für fahrzeugexterne Kommunikation 102 die IP-Paketübertragungsverarbeitung durch (Schritt S606). In diesem Fall ist der Kommunikationsweg des von der Kommunikationsdatenverarbeitungseinheit 22 gesendeten und empfangenen IP-Pakets nicht begrenzt.
  • Andererseits schaltet die Vorrichtung für fahrzeugexterne Kommunikation 102 bei der Erkennung von unbefugtem Zugriff in der Fahrzeugeinrichtung (JA in Schritt S608) vom Normalbetrieb in den Notfallbetrieb.
  • Genauer gesagt, wenn die Bestimmungsinformationen von der Erkennungseinheit für unbefugten Zugriff 24 empfangen werden, gibt die Hauptsteuereinheit 43 eine Steuerungsänderungsanforderung an die sichere Steuereinheit 48 aus und schaltet sich in einen Bypass-Modus.
  • Im Bypass-Modus umgeht die Hauptsteuereinheit 43 einen von der sicheren Steuereinheit 48 empfangenen Befehl an die Kommunikations-LSI 53. Darüber hinaus umgeht die Hauptsteuereinheit 43 verschiedene Informationen von der Kommunikations-LSI 53 zur sicheren Steuereinheit 48.
  • Anschließend erfasst die Vorrichtung für fahrzeugexterne Kommunikation 102 die Notfallbetriebsinformationen, insbesondere das externe Notfallkommunikationsprogramm und das interne Notfallkommunikationsprogramm, aus dem sicheren Bereich 27 in der Speichereinheit 26 (Schritt S612).
  • Insbesondere kann die sichere Steuereinheit 48 auf den sicheren Bereich 27 zugreifen, und wenn ein unbefugter Zugriff in der im Zielfahrzeug 1 installierten Fahrzeugeinrichtung erkannt wird, führt die sichere Steuereinheit 48 eine Verarbeitung basierend auf den Notfallbetriebsinformationen anstelle der Hauptsteuereinheit 43 durch.
  • Genauer gesagt, wenn die Steueränderungsanforderung von der Hauptsteuereinheit 43 empfangen wird, steuert die sichere Steuereinheit 48 die Kommunikations-LSI 53 über die Hauptsteuereinheit 43 im Bypass-Modus gemäß der empfangenen Steueränderungsanforderung.
  • Insbesondere erfasst die sichere Steuereinheit 48 das externe Notfallkommunikationsprogramm und das interne Notfallkommunikationsprogramm aus dem sicheren Bereich 27.
  • Anschließend führt die Vorrichtung für fahrzeugexterne Kommunikation 102 das erfasste externe Notfallkommunikationsprogramm und das interne Notfallkommunikationsprogramm aus (Schritt S614).
  • Genauer gesagt, bewirkt die sichere Steuereinheit 48, dass die Kommunikations-LSI 53 das Senden/Empfangen von Informationen mit der externen Vorrichtung und das Senden/Empfangen von Informationen mit der Fahrzeugeinrichtung mindestens in Übereinstimmung mit dem erworbenen externen Notfallkommunikationsprogramm und dem internen Notfallkommunikationsprogramm durchführt.
  • In diesem Fall ist der Kommunikationsweg des von der Kommunikationsdatenverarbeitungseinheit 22 gesendeten und empfangenen IP-Pakets nicht begrenzt.
  • Mit einer solchen Konfiguration kann die Vorrichtung für fahrzeugexterne Kommunikation 102 auch bei Empfang eines unbefugten Zugangs sicherer mit einer nicht-spezifizierten externen Vorrichtung unter Verwendung eines im sicheren Bereich 27 gespeicherten sicheren Programms kommunizieren.
  • Es ist zu beachten, dass die sichere Steuereinheit 48 in der Vorrichtung für fahrzeugexterne Kommunikation 102 konfiguriert wurde, das externe Notfallkommunikationsprogramm und das interne Notfallkommunikationsprogramm aus dem sicheren Bereich 27 in der Speichereinheit 26 in Schritt S612 zu erfassen. Die vorliegende Erfindung ist jedoch nicht darauf beschränkt. Wenn beispielsweise das im sicheren Bereich 27 gespeicherte Notfallprogramm eines der externen Notfallkommunikationsprogramme und des internen Notfallkommunikationsprogramms ist, kann die sichere Steuereinheit 48 konfiguriert werden, eines der gespeicherten externen Notfallkommunikationsprogramme und internen Notfallkommunikationsprogramme zu erfassen. In diesem Fall veranlasst die sichere Steuereinheit 48 die Kommunikations-LSI 53, mindestens eines der folgenden Schritte durchzuführen: Senden/Empfangen von Informationen mit der externen Vorrichtung und Senden/Empfangen von Informationen mit der fahrzeugseitigen Einrichtung.
  • [Erste Änderung der Kommunikationssteuerung im Notfall]
  • Die Vorrichtung für fahrzeugexterne Kommunikation 102 ist nicht auf die Konfiguration zur Kommunikation mit einer nicht-spezifizierten externen Vorrichtung zum Zeitpunkt des Auftretens eines nicht-autorisierten Zugriffs beschränkt, sondern kann so konfiguriert werden, dass sie das Kommunikationsziel auf eine bestimmte externe Vorrichtung beschränkt.
  • Unter erneuter Bezugnahme auf 9 speichert die Speichereinheit 26 in diesem Beispiel im sicheren Bereich 27 Notfallkommunikationszielinformationen, Notfallbetriebsinformationen und Auftragnehmerinformationen über ein Notfallkommunikationsziel außerhalb des Zielfahrzeugs 1.
  • Die Zielauskunft für die Notfallkommunikation beinhaltet beispielsweise die IP-Adresse des Kartenservers 184 und die IP-Adresse des Steuerservers 185 als Adressen der fahrzeugbezogenen externen Vorrichtungen. Die Notfallbetriebsinformationen beinhalten ein Notfallbeschränkungsprogramm als Notfallprogramm.
  • [Betriebsablauf]
  • 11 ist ein Flussdiagramm, das einen Betriebsablauf für jede Verarbeitung definiert, die durchgeführt wird, wenn die Vorrichtung für fahrzeugexterne Kommunikation gemäß der zweiten Ausführungsform der vorliegenden Erfindung einen unbefugten Zugriff erkennt.
  • Unter Bezugnahme auf 11 wird beispielsweise davon ausgegangen, dass die Stromversorgung der Vorrichtung für fahrzeugexterne Kommunikation 102 eingeschaltet ist, die Vorrichtung für fahrzeugexterne Kommunikation 102 im Normalbetrieb arbeitet, die Hauptsteuereinheit 43 den Modus in den kontinuierlichen Modus versetzt und im Zielfahrzeug 1 autonomes Fahren durchgeführt wird.
  • Die Vorgänge in den Schritten S702 bis S710 sind die gleichen wie die in den Schritten S602 bis S610 in 10 dargestellten Vorgänge.
  • Als nächstes erfasst die Vorrichtung für fahrzeugexterne Kommunikation 102 die Notfallbetriebsinformationen, insbesondere das Notfallübertragungsbeschränkungsprogramm, aus dem sicheren Bereich 27 in der Speichereinheit 26 (Schritt S712).
  • Insbesondere wenn ein unbefugter Zugriff in der im Zielfahrzeug 1 installierten Fahrzeugeinrichtung erkannt wird, führt die sichere Steuereinheit 48 die Steuerung der Kommunikation mit dem Kommunikationsziel durch, indem sie anstelle der Hauptsteuereinheit 43 die Notfallkommunikationszielinformationen verwendet und auf der Grundlage der Notfallbetriebsinformationen verarbeitet.
  • Insbesondere beim Empfangen einer Steuerungsänderungsanforderung von der Hauptsteuereinheit 43 erfasst die sichere Steuereinheit 48 das Notfallübertragungsbeschränkungsprogramm aus dem sicheren Bereich 27.
  • Als nächstes führt die Vorrichtung für fahrzeugexterne Kommunikation 102 das erworbene Notfallübertragungsprogramm (Schritt S714) aus.
  • Insbesondere arbeitet die sichere Steuereinheit 48 in Übereinstimmung mit dem erfassten Notfallübertragungsprogramm und erfasst die Zielinformationen der Notfallkommunikation aus dem sicheren Bereich 27.
  • Dann beschränkt die sichere Steuereinheit 48 das von der Kommunikations-LSI 53 übermittelte IP-Paket auf ein IP-Paket, dessen Ziel das von den Notfallkommunikationszielinformationen angegebene Kommunikationsziel ist, und ein IP-Paket, dessen Ziel das von den Notfall-Zielinformationen angegebene Ziel ist.
  • Mit einer solchen Konfiguration ist es möglich, bei unbefugtem Zugriff auf Steuerinformationen, Karteninformationen, Textinformationen, Bildinformationen, Bewegtbildinformationen, Audioinformationen und dergleichen, die in einer normalen Zeit übertragen werden, die Übertragung von Informationen mit Ausnahme der Steuerinformationen und der Karteninformationen, die für das autonome Fahren des Zielfahrzeugs 1 erforderlich sind, zuverlässiger einzuschränken, so dass das autonome Fahren zufriedenstellender fortgesetzt werden kann.
  • [Zweite Änderung der Kommunikationssteuerung im Notfall]
  • Die Vorrichtung für fahrzeugexterne Kommunikation 102 ist nicht auf die Konfiguration beschränkt, mit einer nicht-spezifizierten externen Vorrichtung zu kommunizieren, wenn ein unbefugter Zugriff erfolgt, sondern kann konfiguriert werden, einem vorgegebenen Kommunikationsziel mitzuteilen, dass ein unbefugter Zugriff empfangen wurde.
  • Unter erneuter Bezugnahme auf 9 speichert die Speichereinheit 26 in diesem Beispiel Notfallkommunikationszielinformationen, Notfallbetriebsinformationen und Auftragnehmerinformationen im sicheren Bereich 27.
  • Die Notfallkommunikationszielinformationen beinhalten die IP-Adresse des Berichtszielservers 182 als Adresse der externen Vorrichtung des Berichtsziels. Die Informationen zum Notfallbetrieb beinhalten ein Notfallberichtsprogramm als Notfallprogramm.
  • [Betriebsablauf]
  • 12 ist ein Flussdiagramm, das einen Betriebsablauf für jede Verarbeitung definiert, die durchgeführt wird, wenn die Vorrichtung für fahrzeugexterne Kommunikation gemäß der zweiten Ausführungsform der vorliegenden Erfindung einen unbefugten Zugriff erkennt.
  • Unter Bezugnahme auf 12 wird beispielsweise angenommen, dass die Stromversorgung der Vorrichtung für fahrzeugexterne Kommunikation 102 eingeschaltet ist und die Vorrichtung für fahrzeugexterne Kommunikation 102 im Normalbetrieb arbeitet.
  • Die Vorgänge in den Schritten S802 bis S810 sind die gleichen wie die in den Schritten S602 bis S610 in 10 dargestellten Vorgänge.
  • Als nächstes erfasst die Vorrichtung für fahrzeugexterne Kommunikation 102 Notfallinformationen, insbesondere das Notfallmeldeprogramm, aus dem sicheren Bereich 27 in der Speichereinheit 26 (Schritt S812).
  • Insbesondere beim Empfangen einer Steuerungsänderungsanforderung von der Hauptsteuereinheit 43 erfasst die sichere Steuereinheit 48 das Notfallmeldeprogramm aus dem sicheren Bereich 27.
  • Anschließend führt die Vorrichtung für fahrzeugexterne Kommunikation 102 das erfasste Notfallmeldeprogramm (Schritt S814) aus.
  • Genauer gesagt, arbeitet die sichere Steuereinheit 48 in Übereinstimmung mit dem erfassten Notfallberichtsprogramm und erfasst die Informationen über das Ziel der Notfallkommunikation aus dem sicheren Bereich 27.
  • Dann erstellt beispielsweise die sichere Steuereinheit 48 Notfallbenachrichtigungsinformationen, die anzeigen, dass ein unbefugter Zugriff im Zielfahrzeug 1 stattgefunden hat, und erstellt ein IP-Paket mit den erstellten Notfallbenachrichtigungsinformationen in einer Nutzlast.
  • Die sichere Steuereinheit 48 stellt die Ziel-IP-Adresse des erstellten IP-Pakets als IP-Adresse des Berichtszielservers 182 ein, der in den Notfallkommunikationszielinformationen enthalten ist, und veranlasst die Kommunikations-LSI 53, das IP-Paket an den Berichtszielserver 182 zu übertragen.
  • [Dritte Änderung der Kommunikationssteuerung im Notfall]
  • Die Vorrichtung für fahrzeugexterne Kommunikation 102 ist nicht auf die Konfiguration beschränkt, zum Zeitpunkt des Auftretens eines unbefugten Zugriffs mit einer nicht-spezifizierten externen Vorrichtung zu kommunizieren, sondern kann auch konfiguriert werden, das Auftreten eines unbefugten Zugriffs zu übertragen.
  • Unter erneuter Bezugnahme auf 9 speichert die Speichereinheit 26 in diesem Beispiel Notfallkommunikationszielinformationen, Notfallbetriebsinformationen und Auftragnehmerinformationen im sicheren Bereich 27.
  • Die Notfallkommunikationszielinformationen zeigen beispielsweise eine Übertragungsadresse als Kommunikationsziel an, die eine Übertragung anzeigt. Die Informationen zum Notfallbetrieb beinhalten ein Notfallbetriebsprogramm als Notfallprogramm.
  • [Betriebsablauf]
  • 13 ist ein Flussdiagramm, das ein Betriebsverfahren für jede Verarbeitung definiert, die durchgeführt wird, wenn die Vorrichtung für fahrzeugexterne Kommunikation gemäß der zweiten Ausführungsform der vorliegenden Erfindung einen unbefugten Zugriff erkennt.
  • Unter Bezugnahme auf 13 wird beispielsweise angenommen, dass die Stromversorgung der Vorrichtung für fahrzeugexterne Kommunikation 102 eingeschaltet ist und die Vorrichtung für fahrzeugexterne Kommunikation 102 im Normalbetrieb arbeitet.
  • Die Vorgänge in den Schritten S902 bis S910 sind die gleichen wie die in den Schritten S602 bis S610 in 10 dargestellten Vorgänge.
  • Als nächstes erfasst die Vorrichtung für fahrzeugexterne Kommunikation 102 die Notfallbetriebsinformationen, insbesondere das Notfallumgebungsprogramm, aus dem sicheren Bereich 27 in der Speichereinheit 26 (Schritt S912).
  • Genauer gesagt, wenn eine Steuerungsänderungsanforderung von der Hauptsteuereinheit 43 empfangen wird, erfasst die sichere Steuereinheit 48 das Notfallberichtsprogramm aus dem sicheren Bereich 27.
  • Als nächstes führt die Vorrichtung für fahrzeugexterne Kommunikation 102 das erfasste Notfallumgebungsprogramm aus (Schritt S914).
  • Genauer gesagt, arbeitet die sichere Steuereinheit 48 in Übereinstimmung mit dem erfassten Notfallumgebungsprogramm und erfasst die Zielinformationen der Notfallkommunikation aus dem sicheren Bereich 27.
  • Dann erstellt die sichere Steuereinheit 48 Umgebungsbenachrichtigungsinformationen, die anzeigen, dass ein unbefugter Zugriff im Zielfahrzeug 1 stattgefunden hat, und erstellt ein IP-Paket mit den erstellten Umgebungsbenachrichtigungsinformationen in der Nutzlast.
  • Die sichere Steuereinheit 48 stellt die Ziel-IP-Adresse des erstellten IP-Pakets als die durch die Notfallkommunikationszielinformationen angegebene Übertragungsadresse ein und veranlasst die Kommunikations-LSI 53, das IP-Paket an den Berichtszielserver 182 zu senden.
  • [Steuerung des autonomen Fahrens im Notfall]
  • Die Vorrichtung für fahrzeugexterne Kommunikation 102 ist nicht auf die Konfiguration zur Kommunikation mit einer nicht-spezifizierten externen Vorrichtung zum Zeitpunkt des Auftretens eines unbefugten Zugangs beschränkt, sondern kann auch zur Steuerung der autonomen Fahrt des eigenen Zielfahrzeugs 1 konfiguriert werden.
  • Unter erneuter Bezugnahme auf 9 speichert die Speichereinheit 26 in diesem Beispiel die Notfallbetriebsinformationen und die Auftragnehmerinformationen im sicheren Bereich 27.
  • Die Notfallbetriebsinformationen beinhalten ein Notfallfahranweisungsprogramm und ein Notfallfahrschaltprogramm als Notfallprogramme.
  • [Betriebsablauf]
  • 14 ist ein Flussdiagramm, das ein Betriebsverfahren für jede Verarbeitung definiert, die durchgeführt wird, wenn die Vorrichtung für fahrzeugexterne Kommunikation gemäß der zweiten Ausführungsform der vorliegenden Erfindung einen unbefugten Zugriff erkennt.
  • Unter Bezugnahme auf 14 wird beispielsweise angenommen, dass die Stromversorgung der Vorrichtung für fahrzeugexterne Kommunikation 102 eingeschaltet ist und die Vorrichtung für fahrzeugexterne Kommunikation 102 im Normalbetrieb arbeitet.
  • Die Vorgänge in den Schritten S1002 bis S1010 sind die gleichen wie die in den Schritten S602 bis S610 in 10 dargestellten Vorgänge.
  • Wenn nun der kontinuierliche Modus eingestellt ist (JA in Schritt S1012), erfasst die Vorrichtung für fahrzeugexterne Kommunikation 102 Notfallbetriebsinformationen, insbesondere das Notfallfahranweisungsprogramm, aus dem sicheren Bereich 27 in der Speichereinheit 26 (Schritt S1014).
  • Insbesondere, wenn der kontinuierliche Modus eingestellt ist, erfasst die sichere Steuereinheit 48 nach Empfang einer Steueränderungsanforderung von der Hauptsteuereinheit 43 das Notfallfahranweisungsprogramm aus dem sicheren Bereich 27.
  • Andererseits, wenn der nicht-kontinuierliche Modus eingestellt ist (NEIN in Schritt S1012), erfasst die Vorrichtung für fahrzeugexterne Kommunikation 102 Notfallbetriebsinformationen, insbesondere das Notfallfahrschaltprogramm, aus dem sicheren Bereich 27 in der Speichereinheit 26 (Schritt S1016).
  • Insbesondere, wenn der nicht-kontinuierliche Modus eingestellt wurde, erfasst die sichere Steuereinheit 48 nach Empfang einer Steueränderungsanforderung von der Hauptsteuereinheit 43 das Notfallfahrschaltprogramm aus dem sicheren Bereich 27.
  • Anschließend führt die Vorrichtung für fahrzeugexterne Kommunikation 102 das erfasste Notfallfahranweisungsprogramm oder Notfallfahrschaltprogramm (Schritt S1018) aus.
  • Genauer gesagt, beim Erfassen des Notfallfahranweisungsprogramms aus dem sicheren Bereich 27 arbeitet die sichere Steuereinheit 48 gemäß dem Notfallfahranweisungsprogramm und erstellt ein IP-Paket, das in der Nutzlast einen Befehl zum Anhalten des Straßenschildes enthält, der das Anhalten des Zielfahrzeugs 1 am Seitenstreifen anzeigt.
  • Die sichere Steuereinheit 48 stellt die Ziel-IP-Adresse des erstellten IP-Pakets als IP-Adresse des Selbstfahr-ECU 112 ein und veranlasst die Kommunikations-LSI 53, das IP-Paket an das Selbstfahr-ECU 112 zu übertragen.
  • Weiterhin erzeugt die sichere Steuereinheit 48 Statusinformationen, die das Anhalten des Zielfahrzeugs 1 auf dem Seitenstreifen aufgrund des Auftretens von unbefugtem Zutritt anzeigen, und erstellt ein IP-Paket mit den erzeugten Statusinformationen in der Nutzlast.
  • Die sichere Steuereinheit 48 stellt die Ziel-IP-Adresse des erstellten IP-Pakets als IP-Adresse der oben beschriebenen Instrumentenanzeigesteuerung ein und veranlasst die Kommunikations-LSI 53, das IP-Paket an die Instrumentenanzeigesteuerung zu übertragen.
  • Andererseits arbeitet die sichere Steuereinheit 48 beim Erfassen des Notfallfahrschaltprogramms aus dem sicheren Bereich 27 gemäß dem Notfallfahrschaltprogramm und erstellt ein IP-Paket mit einem manuellen Fahrschaltbefehl in der Nutzlast.
  • Die sichere Steuereinheit 48 stellt die Ziel-IP-Adresse des erstellten IP-Pakets als IP-Adresse des Selbstfahr-ECU 112 ein und veranlasst die Kommunikations-LSI 53, das IP-Paket an das Selbstfahr-ECU 112 zu übertragen.
  • Weiterhin erzeugt die sichere Steuereinheit 48 Statusinformationen, die den Wechsel von der autonomen Fahrt zur manuellen Fahrt aufgrund des Auftretens von unbefugtem Zugriff anzeigen, und erstellt ein IP-Paket mit den erzeugten Statusinformationen in der Nutzlast.
  • Die sichere Steuereinheit 48 stellt die Ziel-IP-Adresse des erstellten IP-Pakets als IP-Adresse der Instrumentenanzeigesteuerung ein und veranlasst die Kommunikations-LSI 53, das IP-Paket an die Instrumentenanzeigesteuerung zu übertragen.
  • In der Vorrichtung für fahrzeugexterne Kommunikation gemäß der zweiten Ausführungsform der vorliegenden Erfindung wurde die Hauptsteuereinheit 23 konfiguriert, eine Verarbeitung basierend auf den Notfallbetriebsinformationen durchzuführen oder eine Kommunikation mit dem Kommunikationsziel unter Verwendung der Notfallkommunikationszielinformationen und eine Verarbeitung basierend auf den Notfallbetriebsinformationen durchzuführen, wenn ein unbefugter Zugriff in der Fahrzeugeinrichtung erkannt wird. Die vorliegende Erfindung ist jedoch nicht darauf beschränkt. Die Hauptsteuereinheit 23 kann konfiguriert werden, die Kommunikation mit dem Kommunikationsziel unter Verwendung der Notfallkommunikationszielinformationen durchzuführen, wenn der nicht-autorisierte Zugriff erkannt wird.
  • Wie vorstehend beschrieben, ist die Vorrichtung für fahrzeugexterne Kommunikation gemäß der zweiten Ausführungsform der vorliegenden Erfindung im Zielfahrzeug 1 installiert und kann mit der externen Vorrichtung außerhalb des Zielfahrzeugs 1 kommunizieren. Das ROM 30 speichert Informationen über den Normalbetrieb in Bezug auf einen vorgegebenen Betrieb in einer normalen Zeit. Die Hauptsteuereinheit 43 führt die Verarbeitung basierend auf den Informationen des Normalbetriebs durch. Die Speichereinheit 26 beinhaltet den sicheren Bereich 27 mit Manipulationsbeständigkeit, und mindestens eine der Notfallkommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Zielfahrzeugs 1 und Notfallbetriebsinformationen bezüglich eines vorgegebenen Betriebs im Notfall werden im sicheren Bereich 27 gespeichert. Die sichere Steuereinheit 48 kann auf den sicheren Bereich 27 zugreifen, und wenn ein unbefugter Zugriff in der im Zielfahrzeug 1 installierten Fahrzeugeinrichtung erkannt wird, führt die sichere Steuereinheit 48 mindestens eins von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Notfallkommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen anstelle der Hauptsteuereinheit 43 durch.
  • Wie so beschrieben, beispielsweise bei der Konfiguration, bei der mindestens eines von Notfallkommunikationszielinformationen und für die Verarbeitung erforderlichen Notfallbetriebsinformationen, die bei Empfang eines unbefugten Zugangs durchgeführt werden sollen, in dem von der sicheren Steuereinheit 48 zugänglichen sicheren Bereich 27 gespeichert sind und die sichere Steuereinheit 48 anstelle der Hauptsteuereinheit 43 eine Steuerung durchführt, wenn ein unbefugter Zugriff erkannt wird, selbst wenn ein unbefugter Zugriff empfangen wird, kann die sichere Steuereinheit 48, die für eine unbefugte Bedienung von außen schwierig ist, zuverlässig mindestens eines von Kommunikation mit dem angenommenen Kommunikationsziel und angenommener Verarbeitung durch Verwendung der Informationen im sicheren Bereich 27 durchführen, die frei von Sorgen um das Umschreiben durch den Zugriff ist. Daher kann im Fahrzeugnetz eine entsprechende Verarbeitung auch bei unberechtigtem Zugriff zuverlässiger durchgeführt werden. Darüber hinaus ist es bei Empfang eines unbefugten Zugriffs mit der Konfiguration zur Durchführung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Notfallkommunikationszielinformationen möglich, die Übertragung von Informationen sicherzustellen, die für den Umgang mit dem unbefugten Zugriff erforderlich sind, im Vergleich zu beispielsweise einer Konfiguration, bei der die Kommunikation mit der externen Vorrichtung bei Empfang eines unbefugten Zugriffs vollständig blockiert ist.
  • Die Vorrichtung für fahrzeugexterne Kommunikation gemäß der zweiten Ausführungsform der vorliegenden Erfindung ist im Zielfahrzeug 1 installiert und kann mit der externen Vorrichtung außerhalb des Zielfahrzeugs 1 kommunizieren. Das ROM 30 speichert Informationen über den Normalbetrieb in Bezug auf einen vorgegebenen Betrieb in einer normalen Zeit. Die Hauptsteuereinheit 43 führt die Verarbeitung basierend auf den Informationen des Normalbetriebs durch. Die Speichereinheit 26 beinhaltet den sicheren Bereich 27, und mindestens eine von Notfallkommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Zielfahrzeugs 1 und Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs im Notfall werden im sicheren Bereich 27 gespeichert. Die sichere Steuereinheit 48 kann auf den sicheren Bereich 27 zugreifen, und wenn ein unbefugter Zugriff in der im Zielfahrzeug 1 installierten Fahrzeugeinrichtung erkannt wird, führt die sichere Steuereinheit 48 mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Notfallkommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen anstelle der Hauptsteuereinheit 43 durch.
  • Wie so beschrieben, beispielsweise bei der Konfiguration, bei der mindestens eines von Notfallkommunikationszielinformationen und die für die Verarbeitung erforderlichen Notfallbetriebsinformationen, die bei Empfang eines unbefugten Zugangs durchgeführt werden sollen, in dem für die sichere Steuereinheit 48 zugänglichen sicheren Bereich 27 gespeichert sind und die sichere Steuereinheit 48 anstelle der Hauptsteuereinheit 43 eine Steuerung durchführt, wenn ein unbefugter Zugriff erkannt wird, selbst wenn ein unbefugter Zugriff empfangen wird, kann die sichere Steuereinheit 48, die für eine unbefugte Bedienung von außen schwierig ist, zuverlässig mindestens eines von Kommunikation mit dem angenommenen Kommunikationsziel und angenommener Verarbeitung durch Verwendung der Informationen im sicheren Bereich 27 durchführen, die frei von Sorgen um das Umschreiben durch den Zugriff ist. Daher kann im Fahrzeugnetz eine entsprechende Verarbeitung auch bei unberechtigtem Zugriff zuverlässiger durchgeführt werden. Darüber hinaus ist es bei Empfang eines unbefugten Zugriffs mit der Konfiguration zur Durchführung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Notfallkommunikationszielinformationen möglich, die Übertragung von Informationen sicherzustellen, die für den Umgang mit dem unbefugten Zugriff erforderlich sind, im Vergleich zu beispielsweise einer Konfiguration, bei der die Kommunikation mit der externen Vorrichtung bei Empfang eines unbefugten Zugriffs vollständig blockiert ist.
  • Die anderen Konfigurationen und Operationen sind die gleichen wie die der Vorrichtung für fahrzeugexterne Kommunikation gemäß der ersten Ausführungsform, so dass die detaillierte Beschreibung hier nicht wiederholt wird.
  • Es ist zu beachten, dass einige oder alle Komponenten und Operationen der Vorrichtungen gemäß der ersten Ausführungsform und der zweiten Ausführungsform der vorliegenden Erfindung gegebenenfalls kombiniert werden können.
  • Es ist zu beachten, dass die hierin offenbarten Ausführungsformen als veranschaulichend und nicht in jeder Hinsicht einschränkend zu betrachten sind. Der Umfang der vorliegenden Erfindung wird nicht durch die vorstehend beschriebenen Bedeutungen, sondern durch die Ansprüche dargestellt und soll alle Änderungen innerhalb der Bedeutungen und den den Ansprüchen gleichwertigen Umfang umfassen.
  • Die obige Beschreibung beinhaltet die folgenden Merkmale.
  • [Zusätzliche Anmerkung 1]
  • Eine in einem Fahrzeug installierte und mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizierbare Vorrichtung für fahrzeugexterne Kommunikation, wobei die Vorrichtung für fahrzeugexterne Kommunikation umfasst: eine Steuereinheit; und eine Speichereinheit, die einen manipulationsbeständigen sicheren Bereich aufweist und im sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Betriebs im Notfall speichert. Die Steuereinheit führt mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen durch, wenn ein unbefugter Zugriff in im Fahrzeug installierten Einrichtungen im Fahrzeug erkannt wird. Die externe Vorrichtung ist eine Kommunikationsvorrichtung im Fahrzeug in einem Berichtszielserver, einem Trägerserver, einem Kartenserver, einem Steuerserver, einem allgemeinen Server oder einem anderen Fahrzeug. Der vorgegebene Notfallbetrieb besteht darin, von der autonomen Fahrt auf die manuelle Fahrt des Fahrzeugs umzuschalten oder das Fahrzeug an einem Seitenstreifen anzuhalten. Der sichere Bereich ist in einem Speicherbereich eines eingebetteten Teilnehmeridentifikationsmoduls (eSIM), einem Speicherbereich einer SIM-Karte oder einem Speicherbereich einer sicheren integrierten Schaltung (IC) in Übereinstimmung mit einem Trusted Platform Module (TPM)-Standard der Version 2.0, einem Secure Hardware Extension (SHE)-Standard oder einem EVITA-Standard (E-Safety Vehicle Intrusion Protected Applications) enthalten.
  • [Zusätzliche Anmerkung 2]
  • Eine Vorrichtung für fahrzeugexterne Kommunikation, die in einem Fahrzeug installiert ist und mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann, wobei die Vorrichtung für fahrzeugexterne Kommunikation Folgendes beinhaltet: eine Speichereinheit, die Normalzeitbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einer Normalzeit speichert; eine Hauptsteuereinheit, die eine Verarbeitung basierend auf den Normalzeitbetriebsinformationen durchführt; eine sichere Speichereinheit, die einen manipulationsbeständigen sicheren Bereich aufweist und in dem sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs in einem Notfall speichert; und eine sichere Steuereinheit, die in der Lage ist, auf den sicheren Bereich zuzugreifen und anstelle der Hauptsteuereinheit mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen durchführt, wenn ein unbefugter Zugriff in im Fahrzeug installierten Einrichtungen erkannt wird. Die externe Vorrichtung ist eine Kommunikationsvorrichtung im Fahrzeug in einem Berichtszielserver, einem Trägerserver, einem Kartenserver, einem Steuerserver, einem allgemeinen Server oder einem anderen Fahrzeug. Der vorgegebene Notfallbetrieb besteht darin, von der autonomen Fahrt auf die manuelle Fahrt des Fahrzeugs umzuschalten oder das Fahrzeug an einem Seitenstreifen anzuhalten. Die sichere Steuereinheit und die sichere Speichereinheit sind in einer sicheren Vorrichtung enthalten. Die Hauptsteuereinheit und die Speichereinheit sind in einem IC enthalten, der sich von der sicheren Vorrichtung unterscheidet. Die Speichereinheit ist ein Read Only Memory (ROM). Die sichere Vorrichtung ist ein eSIM, eine SIM-Karte oder ein sicherer IC gemäß einem TPM-Standard der Version 2.0, einem SGU-Standard oder einem EVITA-Standard.
  • [Zusätzliche Anmerkung 3]
  • Eine in einem Fahrzeug installierte und mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizierbare Vorrichtung für fahrzeugexterne Kommunikation, wobei die Vorrichtung für fahrzeugexterne Kommunikation Folgendes umfasst: eine Steuereinheit; und eine Speichereinheit, die einen gesicherten Bereich aufweist, zu dem der Zugang von der Steuereinheit aus gestattet ist, wenn die Steuereinheit vorgegebene Informationen ausgibt, wobei die Speichereinheit in dem gesicherten Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs im Notfall speichert. Wenn ein unbefugter Zugriff in einer im Fahrzeug installierten Fahrzeugeinrichtung erkannt wird, führt die Steuereinheit mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel, indem sie die Informationen des Kommunikationsziels verwendet und Verarbeitung basierend auf den Notfallbetriebsinformationen durch.
  • Die externe Vorrichtung ist eine Kommunikationsvorrichtung im Fahrzeug in einem Berichtszielserver, einem Trägerserver, einem Kartenserver, einem Steuerserver, einem allgemeinen Server oder einem anderen Fahrzeug. Der vorgegebene Notfallbetrieb besteht darin, von der autonomen Fahrt auf die manuelle Fahrt des Fahrzeugs umzuschalten oder das Fahrzeug an einem Seitenstreifen anzuhalten. Der sichere Bereich ist ein Speicherbereich eines eSIM, ein Speicherbereich einer SIM-Karte oder ein Speicherbereich eines sicheren IC gemäß einem TPM-Standard der Version 2.0, einem SGU-Standard oder einem EVITA-Standard.
  • [Zusätzliche Anmerkung 4]
  • Eine Vorrichtung für fahrzeugexterne Kommunikation, die in einem Fahrzeug installiert ist und mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann, wobei die Vorrichtung für fahrzeugexterne Kommunikation Folgendes beinhaltet: eine Speichereinheit, die Normalzeitbetriebsinformationen bezüglich eines vorgegebenen Betriebs in einer Normalzeit speichert; eine Hauptsteuereinheit, die eine Verarbeitung basierend auf den Normalzeitbetriebsinformationen durchführt; eine sichere Speichereinheit, die einen sicheren Bereich aufweist und in dem sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Betriebs in einem Notfall speichert; und eine sichere Steuereinheit, die in der Lage ist, auf den sicheren Bereich zuzugreifen und anstelle der Hauptsteuereinheit mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen durchführt, wenn ein unbefugter Zugriff in im Fahrzeug installierten Einrichtungen erkannt wird. Die externe Vorrichtung ist eine Kommunikationsvorrichtung im Fahrzeug in einem Berichtszielserver, einem Trägerserver, einem Kartenserver, einem Steuerserver, einem allgemeinen Server oder einem anderen Fahrzeug. Der vorgegebene Notfallbetrieb besteht darin, von der autonomen Fahrt auf die manuelle Fahrt des Fahrzeugs umzuschalten oder das Fahrzeug an einem Seitenstreifen anzuhalten. Die sichere Steuereinheit und die sichere Speichereinheit sind in einer sicheren Vorrichtung enthalten. Die Hauptsteuereinheit und die Speichereinheit sind in einem IC enthalten, der sich von der sicheren Vorrichtung unterscheidet. Die Lagereinheit ist ein ROM. Die sichere Vorrichtung ist ein eSIM, eine SIM-Karte oder ein sicherer IC gemäß einem TPM-Standard der Version 2.0, einem SGU-Standard oder einem EVITA-Standard.
  • Bezugszeichenliste
    • 1:
    ZIELFAHRZEUG
    2:
    ANDERES FAHRZEUG
    10:
    FAHRZEUGINTERNES NETZWERK
    11:
    EXTERNES NETZWERK
    21:
    FAHRZEUGEXTERNE KOMMUNIKATIONSEINHEIT
    22:
    KOMMUNIKATIONSDATENVERARBEITUNGSEINHEIT
    23:
    HAUPTSTEUEREINHEIT
    24:
    DETEKTOR FÜR UNBEFUGTEN ZUGRIFF
    25:
    INTRAFAHRZEUG-KOMMUNIKATIONSEINHEIT
    26:
    SPEICHEREINHEIT (SICHERHEITSSPEICHER)
    27:
    SICHERHEITSBEREICH
    28:
    SICHERE STEUEREINHEIT
    29:
    RAM
    30:
    ROM (SPEICHEREINHEIT)
    31:
    RAM
    43:
    HAUPTSTEUEREINHEIT
    48:
    SICHERE STEUEREINHEIT
    51:
    HAUPT-IC
    52:
    SICHERER IC
    53:
    KOMMUNIKATIONS-LSI
    61:
    HAUPT-IC
    62:
    SICHRER IC
    101, 102:
    VORRICHTUNG FÜR FAHRZEUGEXTERNE KOMMUNIKATION
    111:
    FAHRZEUGINTERNER ECU
    112:
    SELBSTFAHR-ECU
    151:
    SCHALTVORRICHTUNG
    161:
    DRAHTLOSE BASISSTATIONSEINRICHTUNG
    182:
    BERICHTSZIELSERVER
    183:
    TRÄGERSERVER
    184:
    KARTENSERVER
    185:
    STEUERSERVER
    186:
    ALLGEMEINER SERVER
    187:
    FAHRZEUGINTERNE KOMMUNIKATIONSVORRICHTUNG
    301:
    FAHRZEUGINTERNES KOMMUNIKATIONSSYSTEM
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 2017116857 [0002]
    • JP 2013168865 [0003, 0004]

Claims (20)

  1. Eine in einem Fahrzeug installierte Vorrichtung für fahrzeugexterne Kommunikation, die mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann, wobei die Vorrichtung für fahrzeugexterne Kommunikation umfasst: eine Steuereinheit; und eine Speichereinheit, die einen manipulationsbeständigen sicheren Bereich aufweist und in dem sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Betriebs im Notfall speichert, wobei die Steuereinheit mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen durchführt, wenn ein unbefugter Zugriff in einer im Fahrzeug installierten Fahrzeugeinrichtung erfasst wird.
  2. Eine in einem Fahrzeug installierte Vorrichtung für fahrzeugexterne Kommunikation, die mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann, wobei die Vorrichtung für fahrzeugexterne Kommunikation umfasst: eine Speichereinheit, die Informationen über den Normalbetrieb bezüglich eines vorgegebenen Betriebs in einer normalen Zeit speichert; eine Hauptsteuereinheit, die die Verarbeitung basierend auf den Informationen des Normalbetriebs durchführt, eine sichere Speichereinheit, die einen manipulationsbeständigen sicheren Bereich aufweist und in dem sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Betriebs im Notfall speichert; und eine sichere Steuereinheit, die in der Lage ist, auf den sicheren Bereich zuzugreifen und anstelle der Hauptsteuereinheit mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen durchführt, wenn ein unbefugter Zugriff in fahrzeuginternen Einrichtungen, die in dem Fahrzeug installiert sind, erkannt wird.
  3. Eine in einem Fahrzeug installierte Vorrichtung für fahrzeugexterne Kommunikation, die mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann, wobei die Vorrichtung für fahrzeugexterne Kommunikation umfasst: eine Steuereinheit; und eine Speichereinheit, die einen sicheren Bereich aufweist, in den der Zugriff von der Steuereinheit aus gestattet ist, wenn die Steuereinheit vorgegebene Informationen ausgibt, wobei die Speichereinheit in dem sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Betriebs im Notfall speichert, wobei, wenn ein unbefugter Zugriff in einer im Fahrzeug installierten fahrzeuginternen Einrichtung erfasst wird, die Steuereinheit mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen durchführt.
  4. Eine in einem Fahrzeug installierte Vorrichtung für fahrzeugexterne Kommunikation, die mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann, wobei die Vorrichtung für fahrzeugexterne Kommunikation umfasst: eine Speichereinheit, die Informationen über den Normalbetrieb bezüglich eines vorgegebenen Betriebs in einer normalen Zeit speichert; eine Hauptsteuereinheit, die die Verarbeitung basierend auf den Informationen des Normalbetriebs durchführt, eine sichere Speichereinheit, die einen sicheren Bereich aufweist und in dem sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Betriebs im Notfall speichert; und eine sichere Steuereinheit, die in der Lage ist, auf den sicheren Bereich zuzugreifen und anstelle der Hauptsteuereinheit mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen durchführt, wenn ein unbefugter Zugriff in im Fahrzeug installierten fahrzeuginternen Einrichtungen erkannt wird.
  5. Die Vorrichtung für fahrzeugexterne Kommunikation nach einem der Ansprüche 1 bis 4, wobei das Kommunikationsziel die externe Vorrichtung ist, die Informationen überträgt, die für das autonome Fahren des Fahrzeugs erforderlich sind.
  6. Die Vorrichtung für fahrzeugexterne Kommunikation nach einem der Ansprüche 1 bis 5, wobei das Kommunikationsziel die externe Vorrichtung einer Notruf-Empfangsorganisation ist.
  7. Die Vorrichtung für fahrzeugexterne Kommunikation nach einem der Ansprüche 1 bis 6, wobei das Kommunikationsziel eine Übertragung anzeigt.
  8. Die Vorrichtung für fahrzeugexterne Kommunikation nach Anspruch 7, wobei Informationen, die anzeigen, dass das Fahrzeug den unbefugten Zugang erhält, als Kommunikation mit dem Kommunikationsziel übertragen werden.
  9. Die Vorrichtung für fahrzeugexterne Kommunikation nach einem der Ansprüche 1 bis 8, wobei der vorgegebene Notfallbetrieb die Kommunikation mit mindestens einer der externen Vorrichtungen und der fahrzeuginternen Einrichtung ist.
  10. Die Vorrichtung für fahrzeugexterne Kommunikation nach einem der Ansprüche 1 bis 9, wobei der vorgegebene Notfallbetrieb das Umschalten von autonomem Fahren auf manuelles Fahren des Fahrzeugs ist.
  11. Die Vorrichtung für fahrzeugexterne Kommunikation nach einem der Ansprüche 1 bis 10, wobei der vorgegebene Notfallbetrieb das Anhalten des Fahrzeugs auf einem Seitenstreifen ist.
  12. Die Vorrichtung für fahrzeugexterne Kommunikation nach einem der Ansprüche 1 bis 11, wobei der sichere Bereich in einem Speicherbereich einer sicheren Vorrichtung enthalten ist.
  13. Ein Kommunikationssteuerverfahren in einer Vorrichtung für fahrzeugexterne Kommunikation, die in einem Fahrzeug installiert ist, mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann und eine Speichereinheit und eine Steuereinheit beinhaltet, wobei die Speichereinheit einen manipulationsbeständigen sicheren Bereich aufweist und in dem sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs im Notfall speichert, und das Verfahren die folgenden Schritte umfasst: Erfassen mindestens eines von Kommunikationszielinformationen und Notfallbetriebsinformationen von der Speichereinheit, wenn ein unbefugter Zugriff in im Fahrzeug installierten fahrzeuginternen Einrichtungen erkannt wird, und Durchführen mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der erfassten Kommunikationszielinformationen und Verarbeiten basierend auf den erfassten Notfallbetriebsinformationen.
  14. Ein Kommunikationssteuerverfahren in einer Vorrichtung für fahrzeugexterne Kommunikation, die in einem Fahrzeug installiert ist, mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann und eine Speichereinheit, eine sichere Speichereinheit, eine Hauptsteuereinheit und eine sichere Steuereinheit beinhaltet, wobei die Speichereinheit Informationen über den Normalbetrieb in Bezug auf einen vorgegebenen Betrieb in einer normalen Zeit speichert, die sichere Speichereinheit, die einen manipulationsbeständigen sicheren Bereich aufweist und in dem sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Betriebs im Notfall speichert, die sichere Steuereinheit in der Lage ist, auf den sicheren Bereich zuzugreifen, und das Verfahren die folgenden Schritte umfasst: durch die Hauptsteuereinheit, Durchführen der Verarbeitung auf der Grundlage der Normalzeitbetriebsinformationen, und durch die sichere Steuereinheit, Durchführen von mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeiten auf der Grundlage der Notfallbetriebsinformationen, wenn ein unbefugter Zugriff in im Fahrzeug installierten fahrzeuginternen Einrichtungen erkannt wird.
  15. Ein Kommunikationssteuerverfahren in einer Vorrichtung für fahrzeugexterne Kommunikation, die in einem Fahrzeug installiert ist, mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann und eine Speichereinheit und eine Steuereinheit beinhaltet, wobei die Speichereinheit einen sicheren Bereich aufweist, in den der Zugang von der Steuereinheit aus gestattet ist, wenn die Steuereinheit vorgegebene Informationen ausgibt, und in dem sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Betriebs im Notfall speichert, und das Verfahren die folgenden Schritte umfasst: Erfassen mindestens eines von Kommunikationszielinformationen und Notfallbetriebsinformationen von der Speichereinheit, wenn ein unbefugter Zugriff in im Fahrzeug installierten fahrzeuginternen Einrichtungen erkannt wird, und Durchführen mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der erfassten Kommunikationszielinformationen und Verarbeitung basierend auf den erfassten Notfallbetriebsinformationen.
  16. Ein Kommunikationssteuerverfahren in einer Vorrichtung für fahrzeugexterne Kommunikation, die in einem Fahrzeug installiert ist, mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann und eine Speichereinheit, eine sichere Speichereinheit, eine Hauptsteuereinheit und eine sichere Steuereinheit beinhaltet, wobei die Speichereinheit Informationen über den Normalbetrieb in Bezug auf einen vorgegebenen Betrieb in einer normalen Zeit speichert, die sichere Speichereinheit einen sicheren Bereich aufweist und in dem sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Betriebs im Notfall speichert, die sichere Steuereinheit in der Lage ist, auf den sicheren Bereich zuzugreifen, und wobei das Verfahren die folgenden Schritte umfasst: durch die Hauptsteuerung, Durchführen der Verarbeitung basierend auf den Informationen über den Normalbetrieb, und durch die sichere Steuereinheit, anstelle der Hauptsteuereinheit, Durchführen mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen durchführt und Verarbeitung basierend auf den Notfallbetriebsinformationen, wenn ein unbefugter Zugriff in im Fahrzeug installierten fahrzeuginternen Einrichtungen erkannt wird.
  17. Ein Kommunikationssteuerprogramm, das in einer Vorrichtung für fahrzeugexterne Kommunikation verwendet wird, die in einem Fahrzeug installiert ist, mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann und eine Speichereinheit und eine Steuereinheit beinhaltet, wobei die Speichereinheit einen manipulationsbeständigen sicheren Bereich aufweist und in dem sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Vorgangs im Notfall speichert, und das Programm bewirkt, dass ein Computer als die Steuereinheit fungiert, die mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen durchführt, wenn ein unbefugter Zugriff in im Fahrzeug installierten Einrichtungen im Fahrzeug erkannt wird.
  18. Ein Kommunikationssteuerprogramm, das in einer Vorrichtung für fahrzeugexterne Kommunikation verwendet wird, die in einem Fahrzeug installiert ist, mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann und eine Speichereinheit und eine sichere Speichereinheit beinhaltet, wobei die Speichereinheit Informationen über den Normalbetrieb in Bezug auf einen vorgegebenen Betrieb in einer normalen Zeit speichert, die sichere Speichereinheit einen manipulationsbeständigen sicheren Bereich aufweist und in dem sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Betriebs im Notfall speichert, und das Programm bewirkt, dass ein Computer als folgendes fungiert: eine Hauptsteuereinheit, die die Verarbeitung basierend auf den Normalbetriebsinformationen durchführt, und eine sichere Steuereinheit, die in der Lage ist, auf den sicheren Bereich zuzugreifen und anstelle der Hauptsteuereinheit mindestens eines Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und eine Verarbeitung basierend auf den Notfallbetriebsinformationen durchführt, wenn ein unbefugter Zugriff in im Fahrzeug installierten fahrzeuginternen Einrichtungen erkannt wird.
  19. Ein Kommunikationssteuerprogramm, das in einer Vorrichtung für fahrzeugexterne Kommunikation verwendet wird, die in einem Fahrzeug installiert ist, mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann und eine Speichereinheit und eine Steuereinheit beinhaltet, wobei die Speichereinheit einen sicheren Bereich aufweist, in den der Zugang von der Steuereinheit aus gestattet ist, wenn die Steuereinheit vorgegebene Informationen ausgibt, und in dem sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Betriebs im Notfall speichert, und das Programm bewirkt, dass ein Computer als die Steuereinheit fungiert, die mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen durchführt, wenn ein unbefugter Zugriff in im Fahrzeug installierten fahrzeuginternen Einrichtungen erkannt wird.
  20. Ein Kommunikationssteuerprogramm, das in einer Vorrichtung für fahrzeugexterne Kommunikation verwendet wird, die in einem Fahrzeug installiert ist, mit einer externen Vorrichtung außerhalb des Fahrzeugs kommunizieren kann und eine Speichereinheit und eine sichere Speichereinheit beinhaltet, wobei die Speichereinheit Informationen über den Normalbetrieb in Bezug auf einen vorgegebenen Betrieb in einer normalen Zeit speichert, die sichere Speichereinheit einen sicheren Bereich aufweist und in dem sicheren Bereich mindestens eines von Kommunikationszielinformationen bezüglich eines Kommunikationsziels außerhalb des Fahrzeugs und Notfallbetriebsinformationen bezüglich eines vorgegebenen Betriebs im Notfall speichert, und das Programm bewirkt, dass ein Computer als folgendes fungiert: eine Hauptsteuereinheit, die die Verarbeitung basierend auf den Normalzeitbetriebsinformationen durchführt, und eine sichere Steuereinheit, die in der Lage ist, auf den sicheren Bereich zuzugreifen und anstelle der Hauptsteuereinheit mindestens eines von Steuerung der Kommunikation mit dem Kommunikationsziel unter Verwendung der Kommunikationszielinformationen und Verarbeitung basierend auf den Notfallbetriebsinformationen durchführt, wenn ein unbefugter Zugriff in im Fahrzeug installierten fahrzeuginternen Einrichtungen erkannt wird.
DE112018003038.5T 2017-06-14 2018-05-23 Vorrichtung für fahrzeuginterne Kommunikation, Kommunikationssteuerverfahren und Kommunikationssteuerungsprogramm Pending DE112018003038T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2017-116857 2017-06-14
JP2017116857 2017-06-14
PCT/JP2018/019739 WO2018230280A1 (ja) 2017-06-14 2018-05-23 車外通信装置、通信制御方法および通信制御プログラム

Publications (1)

Publication Number Publication Date
DE112018003038T5 true DE112018003038T5 (de) 2020-08-06

Family

ID=64660133

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112018003038.5T Pending DE112018003038T5 (de) 2017-06-14 2018-05-23 Vorrichtung für fahrzeuginterne Kommunikation, Kommunikationssteuerverfahren und Kommunikationssteuerungsprogramm

Country Status (5)

Country Link
US (1) US10926737B2 (de)
JP (1) JP6988893B2 (de)
CN (1) CN110754068A (de)
DE (1) DE112018003038T5 (de)
WO (1) WO2018230280A1 (de)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7060398B2 (ja) * 2018-02-16 2022-04-26 トヨタ自動車株式会社 サーバ装置
KR20200057515A (ko) * 2018-11-16 2020-05-26 현대자동차주식회사 차량의 보안 전략 제공 장치 및 방법
JP7246032B2 (ja) * 2019-07-12 2023-03-27 パナソニックIpマネジメント株式会社 車載セキュアストレージシステム
CN115373326B (zh) * 2022-10-25 2023-01-13 张家港长城汽车研发有限公司 车辆外置交互屏控制方法、系统及车辆

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013168865A (ja) 2012-02-16 2013-08-29 Hitachi Automotive Systems Ltd 車載ネットワークシステム
JP2017116857A (ja) 2015-12-25 2017-06-29 凸版印刷株式会社 緑色感光性着色組成物、それを用いたカラーフィルタ及びカラー表示装置

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5081667A (en) * 1989-05-01 1992-01-14 Clifford Electronics, Inc. System for integrating a cellular telephone with a vehicle security system
EP1248200A1 (de) * 2001-04-06 2002-10-09 Micronas GmbH Verriegelungsschaltung zur Verhinderung eines unzulässigen Zugriffs auf die Speichereinrichtung eines Prozessors
JP4239703B2 (ja) * 2003-06-19 2009-03-18 株式会社デンソー 車両用通信システム、及び、車載装置
WO2006136189A1 (de) * 2005-06-23 2006-12-28 Bayerische Motoren Werke Aktiengsellschaft Verfahren und vorrichtung zum überwachen eines unerlaubten speicherzugriffs einer rechenvorrichtung, insbesondere in einem kraftfahrzeug
US9373149B2 (en) * 2006-03-17 2016-06-21 Fatdoor, Inc. Autonomous neighborhood vehicle commerce network and community
US9392452B2 (en) * 2007-12-26 2016-07-12 General Motors Llc Processing electronic messages wirelessly sent to a vehicle
WO2011047708A1 (en) * 2009-10-19 2011-04-28 Nokia Siemens Networks Oy Emergency message generation and transmission
US20130204513A1 (en) * 2012-02-08 2013-08-08 Bendix Commercial Vehicle Systems Llc Protect information stored in ecu from unintentional writing and overwriting
JP5772666B2 (ja) 2012-03-05 2015-09-02 株式会社オートネットワーク技術研究所 通信システム
JP6024564B2 (ja) * 2013-03-28 2016-11-16 株式会社オートネットワーク技術研究所 車載通信システム
WO2014177904A1 (en) * 2013-04-29 2014-11-06 Freescale Semiconductor, Inc. Memory controller
US20150202770A1 (en) * 2014-01-17 2015-07-23 Anthony Patron Sidewalk messaging of an autonomous robot
JPWO2015166811A1 (ja) * 2014-04-30 2017-04-20 みこらった株式会社 自動運転車及び自動運転車用プログラム
US9015439B1 (en) * 2014-05-30 2015-04-21 SanDisk Technologies, Inc. Event lock storage device
US9451020B2 (en) * 2014-07-18 2016-09-20 Legalforce, Inc. Distributed communication of independent autonomous vehicles to provide redundancy and performance
US9997077B2 (en) * 2014-09-04 2018-06-12 Honda Motor Co., Ltd. Vehicle operation assistance
US20160085695A1 (en) * 2014-09-24 2016-03-24 Intel Corporation Memory initialization in a protected region
JP6594732B2 (ja) * 2015-01-20 2019-10-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム
US9866542B2 (en) * 2015-01-28 2018-01-09 Gm Global Technology Operations Responding to electronic in-vehicle intrusions
US20160283896A1 (en) * 2015-03-24 2016-09-29 GM Global Technology Operations LLC Operating an inventory system of a vehicle
JP6603505B2 (ja) * 2015-07-27 2019-11-06 ジヤトコ株式会社 車両及び車両の不正アクセス判定方法
US9869560B2 (en) * 2015-07-31 2018-01-16 International Business Machines Corporation Self-driving vehicle's response to a proximate emergency vehicle
US10150448B2 (en) * 2015-09-18 2018-12-11 Ford Global Technologies. Llc Autonomous vehicle unauthorized passenger or object detection
US20170139844A1 (en) * 2015-11-17 2017-05-18 Silicon Laboratories Inc. Asymmetric memory
JP6737189B2 (ja) * 2017-01-18 2020-08-05 トヨタ自動車株式会社 不正判定システム及び不正判定方法
US10664413B2 (en) * 2017-01-27 2020-05-26 Lear Corporation Hardware security for an electronic control unit
US10878103B2 (en) * 2017-06-05 2020-12-29 Karamba Security Ltd. In-memory protection for controller security
CN107426187B (zh) * 2017-06-27 2020-02-21 江苏大学 一种基于ecu身份属性的车内网络细粒度授权访问方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013168865A (ja) 2012-02-16 2013-08-29 Hitachi Automotive Systems Ltd 車載ネットワークシステム
JP2017116857A (ja) 2015-12-25 2017-06-29 凸版印刷株式会社 緑色感光性着色組成物、それを用いたカラーフィルタ及びカラー表示装置

Also Published As

Publication number Publication date
US20200086827A1 (en) 2020-03-19
US10926737B2 (en) 2021-02-23
JP6988893B2 (ja) 2022-01-05
CN110754068A (zh) 2020-02-04
JPWO2018230280A1 (ja) 2020-04-16
WO2018230280A1 (ja) 2018-12-20

Similar Documents

Publication Publication Date Title
DE112018003038T5 (de) Vorrichtung für fahrzeuginterne Kommunikation, Kommunikationssteuerverfahren und Kommunikationssteuerungsprogramm
DE102016218982B3 (de) Verfahren zur Kommunikation von Fahrzeugen
DE102016101327B4 (de) Verfahren zum Reagieren auf einen nicht autorisierten elektronischen Zugriff auf ein Fahrzeug
DE102018130216A1 (de) Fahrzeugkommunikation unter Verwendung eines Publish-Subscribe-Messaging-Protokolls
DE102016123276B4 (de) Verfahren zur kommunikation über eine bluetooth low energy (ble)-verbindung in einem fahrzeug
DE102018123656A1 (de) Zusatzmodul und system für die gemeinsame nutzung von fahrzeugen
DE102017116579A1 (de) Private fahrzeug-zu-fahrzeug-kommunikation
DE102017121076A1 (de) Identifizierung eines fahrzeugs unter verwendung einer mobilen vorrichtung
DE69737486T2 (de) Mobiles, tragbares, drahtloses Kommunikationssystem
DE112012002836B4 (de) Fahrzeugbasiertes Netzwerksystem
DE102017113260A1 (de) Verfahren und vorrichtung zur sicherheitswahrnehmung und warnung zwischen fahrzeugen
DE102017124399A1 (de) Hardware-sicherheit für eine elektronische steuereinheit
EP2931567B1 (de) System zum selektiven öffnen eines fahrzeuges durch einen servicedienstleister
DE102013209055A1 (de) Datenquellenidentifizierung, Datensammlung und Datenspeicherung für Verkehrsereignisse
DE102014205460A1 (de) Fahrzeugeigenes Datenübertragungssystem und fahrzeugeigene Vermittlungsvorrichtung
DE102015220489B4 (de) Verfahren zur Autorisierung einer Softwareaktualisierung in einem Kraftfahrzeug
DE102017119373A1 (de) Aktualisierung der servers der netzwerkadresse der mobilvorrichtung
DE102014205664A1 (de) Fahrzeugeigene Vermittlungsvorrichtung und Datenübertragungssystem
WO2012163863A1 (de) Verfahren zur fahrzeugkommunikation, schnittstellenmodul, fahrzeugdiagnoseschnittstelle, benutzerkommunikationsendgerät, datenverbundsystem und diagnose- und steuerungsnetz
DE102012224421A1 (de) Fahrzeuggebundenes system und kommunikationsverfahren
WO2014202269A1 (de) Modul und system zur fahrzeugdiagnose
WO2018015455A1 (de) System und verfahren zum sichern eines fahrzeugs
DE102020122757A1 (de) Systeme und verfahren für mitfahrgelegenheiten unter verwendung von blockchain
DE102019110790A1 (de) System und verfahren für den zugang zu eingeschränkten bereichen durch ein autonomes fahrzeug
CN104219310A (zh) 一种汽车远程信息系统