JP2003244187A - On-vehicle gateway device and computer program - Google Patents
On-vehicle gateway device and computer programInfo
- Publication number
- JP2003244187A JP2003244187A JP2002041610A JP2002041610A JP2003244187A JP 2003244187 A JP2003244187 A JP 2003244187A JP 2002041610 A JP2002041610 A JP 2002041610A JP 2002041610 A JP2002041610 A JP 2002041610A JP 2003244187 A JP2003244187 A JP 2003244187A
- Authority
- JP
- Japan
- Prior art keywords
- information
- lan
- authentication
- control
- determined
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、情報系LANから
情報を受信可能で、その受信された情報を制御系LAN
に送信可能に構成された車載ゲートウェイ装置および前
記車載ゲートウェイ装置にて実行されるコンピュータプ
ログラムに関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention is capable of receiving information from an information system LAN, and receives the received information from a control system LAN.
The present invention relates to a vehicle-mounted gateway device that is configured to be capable of transmitting data to a computer and a computer program executed by the vehicle-mounted gateway device.
【0002】[0002]
【発明が解決しようとする課題】車両に搭載されている
車載LAN(Local Area Network)としては、例えばエ
ンジンECU(Electronic Control Unit )、ブレーキ
ECU、ドアロックECUおよびエアコンECUなどの
車両本来の動作を制御する機器が接続される制御系LA
Nと、例えばナビゲーション装置、ETC(Electronic
Toll Collection)車載器およびマルチディスプレイな
どの各種のアプリケーションの動作を制御する機器が接
続される情報系LANとに区分される。As an in-vehicle LAN (Local Area Network) mounted on a vehicle, for example, an original operation of the vehicle such as an engine ECU (Electronic Control Unit), a brake ECU, a door lock ECU and an air conditioner ECU is performed. Control system LA to which the controlling device is connected
N and, for example, a navigation device, ETC (Electronic
Toll Collection) An information system LAN to which devices that control the operations of various applications such as an on-vehicle device and a multi-display are connected.
【0003】ところで、制御系LANは、走行の安全性
に関わる情報を転送するという事情から、従来は制御系
LAN自体で完結している(閉じている)構成であった
が、近年のITS(Intelligent Transport System)の
発展に伴って、制御系LANと情報系LANとの間で情
報を転送するアプリケーションが実用化されつつある。
一例として、制御系LANから情報系LANに情報を転
送するアプリケーションとしては、緊急通報(メーデ
ー)などがあり、一方、情報系LANから制御系LAN
に情報を転送するアプリケーションとしては、ナビゲー
ション協調制御などがある。By the way, the control system LAN has conventionally been completed (closed) by the control system LAN itself because of the fact that information relating to traveling safety is transferred. With the development of Intelligent Transport System, applications for transferring information between a control LAN and an information LAN are being put to practical use.
As an example, as an application for transferring information from the control LAN to the information LAN, there is an emergency call (Mayday) and the like, while the information LAN to the control LAN are used.
An application that transfers information to a mobile phone is navigation cooperative control.
【0004】しかしながら、情報系LANから制御系L
ANへの情報の転送を制限なく許可する構成では、次に
示すような問題がある。However, from the information system LAN to the control system L
The configuration that permits the transfer of information to the AN without limitation has the following problems.
【0005】すなわち、例えば外部との通信機能の有す
る機器(例えば携帯電話機が接続されたナビゲーション
装置、ETC車載器)が情報系LANに接続されている
場合に、その機器が何らかの事情により外部から車速を
制御するための車速制御コマンドを受信し、情報系LA
Nが車速を制御するための車速制御情報を制御系LAN
に送信し、これに伴って、制御系LANが情報系LAN
から車速制御情報を受信してしまうと、制御系LANが
車速制御情報に基づいて車速を制御してしまう虞があ
る。そうなると、制御系LANが運転手の意図に反して
車速を制御してしまうことになるので、その結果、走行
の安全性が損なわれるという問題がある。That is, for example, when a device having a function of communicating with the outside (for example, a navigation device to which a mobile phone is connected, an ETC vehicle-mounted device) is connected to the information system LAN, the device speeds up from the outside for some reason. Receives the vehicle speed control command for controlling the
The control system LAN provides vehicle speed control information for N to control the vehicle speed.
And the control LAN is connected to the information LAN.
If the vehicle speed control information is received from the control system LAN, the control system LAN may control the vehicle speed based on the vehicle speed control information. If this happens, the control system LAN will control the vehicle speed against the driver's intention, and as a result, there is a problem that the safety of traveling is impaired.
【0006】また、例えば外部との通信機能の有する機
器が情報系LANに接続されている場合に、その機器が
何らかの事情により外部からドアのロック(施錠)状態
を要求するためのドアロック状態要求コマンドを受信
し、情報系LANがドアのロック状態を要求するための
ドアロック状態要求情報を制御系LANに送信し、これ
に伴って、制御系LANが情報系LANからドアロック
状態要求情報を受信してしまうと、制御系LANがドア
のロック状態を表すドアロック状態情報を情報系LAN
に送信してしまう虞がある。そうなると、制御系LAN
がドアのロック状態を外部に流出してしまうことになる
ので、その結果、ドアのロック状態が外部に知られて盗
難される危険があるなど、セキュリティが損なわれると
いう問題がある。Further, for example, when a device having a function of communicating with the outside is connected to the information LAN, the device requests a door lock state from the outside for some reason due to some reason. Upon receiving the command, the information system LAN transmits door lock state request information for requesting the door lock state to the control system LAN. Along with this, the control system LAN transmits the door lock state request information from the information system LAN. When received, the control LAN sends the door lock status information indicating the door lock status to the information LAN.
May be sent to. Then, the control system LAN
Since the locked state of the door is leaked to the outside, as a result, there is a problem that security is impaired, such that the locked state of the door may be known to the outside and stolen.
【0007】特に、近年では、各車両メーカの間で情報
系LANの通信プロトコルをインターネットで用いられ
る汎用の通信プロトコルに統一する方向にあるという背
景を考慮すると、情報系LANから制御系LANへの情
報の転送が多くなると想定され、上記した問題が起こり
易くなると想定される。Considering the background that the communication protocol of the information LAN is unified among the vehicle manufacturers in recent years into a general-purpose communication protocol used on the Internet, in particular, from the information LAN to the control LAN. It is assumed that the amount of information transferred will increase, and the problems described above will likely occur.
【0008】本発明は、上記した事情に鑑みてなされた
ものであり、その目的は、情報系LANから制御系LA
Nへの情報の転送に制限を与えることにより、走行の安
全性やセキュリティを適切に確保することができる車載
ゲートウェイ装置およびコンピュータプログラムを提供
することにある。The present invention has been made in view of the above circumstances, and an object thereof is from an information system LAN to a control system LA.
An object of the present invention is to provide an in-vehicle gateway device and a computer program capable of appropriately ensuring traveling safety and security by limiting transfer of information to N.
【0009】[0009]
【課題を解決するための手段】請求項1に記載した車載
ゲートウェイ装置によれば、制御手段は、情報系LAN
から情報受信手段により情報が受信されると、その受信
された情報の送信元や情報の内容を識別し、その識別結
果に応じて情報系LANから情報受信手段により受信さ
れた情報に関して認証が必要であるか否かを判定し、そ
の情報に関して認証が必要であると判定すると、その情
報に関して認証を行う。そして、制御手段は、その情報
に関して認証が必要でないと判定すると、または、認証
結果が正であると判定すると、その情報を情報送信手段
から制御系LANに送信させる旨を許可し、一方、認証
結果が否であると判定すると、その情報を情報送信手段
から制御系LANに送信させる旨を禁止するように構成
した。According to the vehicle-mounted gateway device of the present invention, the control means is an information system LAN.
When the information is received by the information receiving unit from the information receiving unit, the sender of the received information and the content of the information are identified, and authentication is required for the information received by the information receiving unit from the information LAN according to the identification result. If it is determined that authentication is required for the information, authentication is performed for the information. When the control means determines that the information is not required to be authenticated or the authentication result is positive, the control means permits the information transmitting means to transmit the information to the control system LAN, while the authentication is performed. When it is determined that the result is negative, the information transmitting means is prohibited from transmitting the information to the control system LAN.
【0010】したがって、情報系LANから受信された
情報の送信元や情報の内容を識別することにより、その
情報系LANから受信された情報のうち、情報の送信元
が走行の安全性やセキュリティを損なう虞があり得る情
報を送信し得ない機器である場合や、情報の内容が走行
の安全性やセキュリティを損なう虞があり得ない内容で
ある場合には、その情報は、認証されることなく、情報
系LANから制御系LANへ転送されることになる。ま
た、情報の送信元が走行の安全性やセキュリティを損な
う虞があり得る情報を送信し得る機器である場合や、情
報の内容が走行の安全性やセキュリティを損なう虞があ
り得る内容である場合には、その情報は、認証され、認
証結果が正であるときに限って、情報系LANから制御
系LANへ転送されることになり、一方、認証結果が否
であるときには、情報系LANから制御系LANへ転送
されることはない。このようにして、情報系LANから
走行の安全性やセキュリティを損なう虞があり得る情報
が制御系LANへ転送されてしまうことを未然に回避す
ることができ、これにより、走行の安全性やセキュリテ
ィを適切に確保することができる。Therefore, by identifying the sender of the information received from the information LAN and the content of the information, the sender of the information among the information received from the information LAN can improve the driving safety and security. If the device cannot transmit information that may be impaired, or if the content of the information is not likely to impair driving safety or security, the information is not authenticated. , From the information LAN to the control LAN. Further, when the information transmission source is a device that can transmit information that may impair traveling safety or security, or when the content of the information is content that may impair traveling safety or security The information is authenticated and is transferred from the information LAN to the control LAN only when the authentication result is positive. On the other hand, when the authentication result is negative, the information is transferred from the information LAN. It is not transferred to the control system LAN. In this way, it is possible to prevent the information from being transferred from the information system LAN to the control system LAN, which may impair the safety and security of the travel, and thereby the safety and security of the travel. Can be properly secured.
【0011】請求項2に記載した車載ゲートウェイ装置
によれば、制御手段は、情報の送信元を、OEM機器で
あるか否かに分別して識別するように構成したので、O
EM機器が、一般的には、走行の安全性やセキュリティ
を損なう虞があり得る情報を送信し得ない機器であり、
つまり、信頼性の高い機器であるので、情報の送信元が
OEM機器であるか否かを判定することにより、その情
報に関して認証が必要であるか否かを容易に判定するこ
とができる。According to the on-vehicle gateway device according to the second aspect, the control means is configured to discriminate the source of the information by discriminating whether or not it is the OEM device.
The EM device is generally a device that cannot transmit information that may impair traveling safety and security,
That is, since it is a highly reliable device, it is possible to easily determine whether or not the information needs to be authenticated by determining whether or not the transmission source of the information is an OEM device.
【0012】請求項3に記載した車載ゲートウェイ装置
によれば、制御手段は、情報の送信元を、外部との通信
機能を有する機器であるか否かに分別して識別するよう
に構成したので、外部との通信機能を有しない機器が、
一般的には、走行の安全性やセキュリティを損なう虞が
あり得る情報を送信し得ない機器であり、つまり、信頼
性の高い機器であるので、情報の送信元が外部との通信
機能を有する機器であるか否かを判定することにより、
その情報に関して認証が必要であるか否かを容易に判定
することができる。According to the on-vehicle gateway device of the third aspect, the control means is configured to identify the source of information by discriminating whether or not the device has a communication function with the outside. A device that does not have a communication function with the outside
Generally, a device that cannot transmit information that may impair traveling safety and security, that is, a device that is highly reliable, and therefore a source of information has a communication function with the outside. By determining whether it is a device,
It can be easily determined whether or not the information requires authentication.
【0013】請求項4に記載したコンピュータプログラ
ムによれば、そのコンピュータプログラムを車載ゲート
ウェイ装置にインストールすると、情報系LANから受
信された情報の送信元や情報の内容を識別させる手順
と、その識別結果に応じて情報系LANから受信された
情報に関して認証が必要であるか否かを判定させる手順
と、その情報に関して認証が必要であると判定されたと
きに、その情報に関して認証を行わせる手順と、その情
報に関して認証が必要でないと判定されたとき、また
は、その認証結果が正であると判定されたときに、その
情報を制御系LANに送信させる旨を許可させる手順
と、その認証結果が否であると判定されたときに、その
情報を制御系LANに送信させる旨を禁止させる手順と
を実行するようになるので、上記した請求項1に記載し
たものと同様の作用効果を得ることができる。すなわ
ち、情報系LANから走行の安全性やセキュリティを損
なう虞があり得る情報が制御系LANへ転送されてしま
うことを未然に回避することができ、これにより、走行
の安全性やセキュリティを適切に確保することができ
る。According to the computer program of the fourth aspect, when the computer program is installed in the vehicle-mounted gateway device, a procedure for identifying the transmission source and the content of the information received from the information LAN, and the identification result. And a procedure for determining whether or not the information received from the information LAN is required to be authenticated, and a procedure for performing authentication for the information when it is determined that the information is required to be authenticated. When the authentication is determined not to be necessary for the information, or when the authentication result is determined to be positive, the procedure for allowing the information to be transmitted to the control LAN and the authentication result are When it is determined that the information is denied, a procedure for prohibiting the transmission of the information to the control LAN is executed. , It is possible to obtain the same effects as those described in claim 1 described above. That is, it is possible to prevent information that may impair traveling safety and security from being transferred from the information system LAN to the control system LAN, and thus to appropriately ensure traveling safety and security. Can be secured.
【0014】[0014]
【発明の実施の形態】以下、本発明の一実施例につい
て、図面を参照して説明する。まず、図1において、制
御系LAN(Local Area Network)1は、例えばエンジ
ンECU(Electronic Control Unit )2、ブレーキE
CU3、ドアロックECU4およびエアコンECU5な
どの車両本来の動作を制御する機器が接続されて構成さ
れている。これらエンジンECU2、ブレーキECU
3、ドアロックECU4およびエアコンECU5には、
それぞれ固有のアドレスが付与されている。尚、エンジ
ンECU2およびブレーキECU3などのパワートレイ
ン系の機器は、パワートレイン系LANに接続され、ド
アロックECU4およびエアコンECU5などのボデー
系の機器は、ボデー系LANに接続されるが、ここで
は、これらパワートレイン系LANおよびボデー系LA
Nを纏めて制御系LAN1として称している。BEST MODE FOR CARRYING OUT THE INVENTION An embodiment of the present invention will be described below with reference to the drawings. First, in FIG. 1, a control system LAN (Local Area Network) 1 includes, for example, an engine ECU (Electronic Control Unit) 2 and a brake E.
The CU 3, the door lock ECU 4, the air conditioner ECU 5, and the like are connected to devices that control the original operation of the vehicle. These engine ECU 2 and brake ECU
3, the door lock ECU 4 and the air conditioner ECU 5,
Each has a unique address. It should be noted that the power train system devices such as the engine ECU 2 and the brake ECU 3 are connected to the power train system LAN, and the body system devices such as the door lock ECU 4 and the air conditioner ECU 5 are connected to the body system LAN. Powertrain LAN and body LA
N is collectively referred to as a control system LAN 1.
【0015】一方、情報系LAN6は、例えばナビゲー
ション装置7、ETC(ElectronicToll Collection)
車載器8およびマルチディスプレイ9などの各種のアプ
リケーションの動作を制御する機器が接続されて構成さ
れている。これらナビゲーション装置7、ETC車載器
8およびマルチディスプレイ9にも、それぞれ固有のア
ドレスが付与されている。On the other hand, the information LAN 6 includes, for example, a navigation device 7 and an ETC (Electronic Toll Collection).
Devices for controlling the operations of various applications such as the vehicle-mounted device 8 and the multi-display 9 are connected and configured. Unique addresses are also given to the navigation device 7, the ETC vehicle-mounted device 8 and the multi-display 9.
【0016】車載ゲートウェイ装置10は、制御系LA
N1と情報系LAN6との間に介在されており、制御系
LAN1との間のインタフェース機能を有する制御系L
ANインタフェース部(以下、制御系LANIF部と称
する、本発明でいう情報送信手段)11、情報系LAN
6との間のインタフェース機能を有する情報系LANイ
ンタフェース部(以下、情報系LANIF部と称する、
本発明でいう情報受信手段)12、これら制御系LAN
IF部11および情報系LANIF部12の動作全般を
制御するCPU(Central Processing Unit )13(本
発明でいう制御手段)およびCPU13が参照する対応
表が記憶されているメモリ14を備えて構成されてい
る。The on-vehicle gateway device 10 is a control system LA.
A control system L interposed between N1 and the information system LAN6 and having an interface function with the control system LAN1.
AN interface section (hereinafter referred to as control system LANIF section, information transmitting means in the present invention) 11, information system LAN
6, an information system LAN interface section having an interface function with the 6 (hereinafter referred to as an information system LANIF section,
Information receiving means) 12 in the present invention, these control system LAN
A CPU (Central Processing Unit) 13 (control means in the present invention) for controlling the overall operation of the IF unit 11 and the information system LAN IF unit 12 and a memory 14 in which a correspondence table referred to by the CPU 13 is stored. There is.
【0017】さて、メモリ14が記憶している対応表に
ついて、図2を参照して詳述する。メモリ14は、情報
系LAN6に接続されている機器を、「外部との通信機
能を有しないOEM機器」、「外部との通信機能を有す
るOEM機器」および「OEMでない機器(非OEM機
器)」の3種類に分別し、情報の送信元および情報の内
容に応じた当該情報の取扱方法に関しての対応を記憶し
ている。この場合、OEM機器とは、車両の製品化の段
階から車両に搭載されているものであって、車両メーカ
の承認を受けており、走行の安全性やセキュリティを損
なう虞があり得る情報を送信し得ない信頼性の高い機器
である。Now, the correspondence table stored in the memory 14 will be described in detail with reference to FIG. The memory 14 refers to devices connected to the information system LAN 6 as “OEM devices having no communication function with the outside”, “OEM devices having communication function with the outside”, and “Non-OEM devices” (non-OEM devices). It is classified into three types, and the correspondence regarding the information transmission source and the handling method of the information according to the content of the information is stored. In this case, the OEM device has been installed in the vehicle from the stage of commercialization of the vehicle, has been approved by the vehicle manufacturer, and transmits information that may impair driving safety and security. It is a highly reliable device that cannot be achieved.
【0018】ここで、「FREE」とは、情報系LAN
6から受信された情報に関して認証を必要とすることな
く、その受信された情報を制御系LAN1へ転送する旨
を許可する旨を表している。また、「PIN(Personal
Identification Number)」とは、情報系LAN6から
受信された情報に関してPINと称される認証方法によ
る認証を必要とし、その認証結果が正であるときに、そ
の受信された情報を制御系LAN1へ転送する旨を許可
し、一方、その認証結果が否であるときに、その受信さ
れた情報を制御系LAN1へ転送する旨を禁止する旨を
表している。Here, "FREE" means an information system LAN
6 indicates that the information received from 6 is permitted to be transferred to the control system LAN 1 without requiring authentication. In addition, "PIN (Personal
Identification Number) "requires authentication by an authentication method called PIN for the information received from the information LAN 6 and transfers the received information to the control LAN 1 when the authentication result is positive. On the other hand, when the authentication result is negative, it is prohibited to transfer the received information to the control system LAN 1.
【0019】また、「PIN+MAC(Message Authen
tication Code )」とは、情報系LAN6から受信され
た情報に関してPINと称される認証方法およびMAC
と称される認証方法による二重の認証を必要とし、その
認証結果が正であるときに、その受信された情報を制御
系LAN1へ転送する旨を許可し、一方、その認証結果
が否であるときに、その受信された情報を制御系LAN
1へ転送する旨を禁止する旨を表している。さらに、
「NEVER」とは、情報系LAN6から受信された情
報を制御系LAN1へ転送する旨を無条件に禁止する旨
を表している。[PIN + MAC (Message Authen
"tication Code)" refers to an authentication method called a PIN and MAC for information received from the information system LAN 6.
When the authentication result is positive, the fact that the received information is transferred to the control system LAN1 is permitted, while the authentication result is negative. At a certain time, the received information is transmitted to the control system LAN
1 indicates that transfer to 1 is prohibited. further,
“NEVER” indicates that transfer of information received from the information system LAN 6 to the control system LAN 1 is unconditionally prohibited.
【0020】次に、上記した構成の作用について、図3
および図4も参照して説明する。尚、以下の説明では、
情報系LAN6から制御系LAN1へ情報がパケットの
形態で転送されるものとして説明する。さて、CPU1
3は、制御プログラム(本発明でいうコンピュータプロ
グラム)を実行することにより、以下の処理を行う。Next, the operation of the above configuration will be described with reference to FIG.
Also, description will be made with reference to FIG. In the following explanation,
It is assumed that information is transferred from the information LAN 6 to the control LAN 1 in the form of a packet. Well, CPU1
3 executes the control program (a computer program in the present invention) to perform the following processing.
【0021】すなわち、CPU13は、情報系LAN6
に接続されているいずれかの機器からパケットが情報系
LANIF部12により受信されると(ステップS1に
て「YES」)、その受信されたパケットに格納されて
いる情報から送信元アドレスに対応する部分を抽出して
解読し、情報の送信元を取得する(ステップS2)。That is, the CPU 13 uses the information system LAN 6
When a packet is received by the information system LANIF unit 12 from any of the devices connected to the device (“YES” in step S1), the information stored in the received packet corresponds to the source address. The part is extracted and decoded to acquire the information transmission source (step S2).
【0022】次いで、CPU13は、その受信されたパ
ケットに格納されている情報から当該情報の内容を取得
する(ステップS3)。そして、CPU13は、メモリ
14に記憶されている対応表を参照し(ステップS
4)、それら取得された情報の送信元および情報の内容
に対応する取扱方法を識別する。Next, the CPU 13 acquires the content of the information from the information stored in the received packet (step S3). Then, the CPU 13 refers to the correspondence table stored in the memory 14 (step S
4) Identify the sender of the acquired information and the handling method corresponding to the content of the information.
【0023】ここで、CPU13は、取扱方法が「FR
EE」であるときには(ステップS5にて「YE
S」)、情報系LANIF部12により受信されたパケ
ットに格納されている情報に関して認証を行うことな
く、その受信されたパケットをプロトコル変換する(ス
テップS6)。そして、CPU13は、そのプロトコル
変換されたパケットを制御系LAN1に送信する旨を許
可し(ステップS7)、パケットを制御系LAN1に送
信する(ステップS8)。具体的には、図2を参照する
と、情報の送信元が例えば「外部との通信機能を有しな
いOEM機器」であり、且つ、情報の内容が例えば「エ
ンジンECUコントロール」である場合が相当する。Here, the handling method of the CPU 13 is "FR
If it is "EE"("YE" in step S5)
S ”), the received packet is protocol-converted without authenticating the information stored in the packet received by the information system LANIF unit 12 (step S6). Then, the CPU 13 permits transmission of the protocol-converted packet to the control LAN 1 (step S7), and transmits the packet to the control LAN 1 (step S8). Specifically, referring to FIG. 2, it corresponds to a case where the information transmission source is, for example, “an OEM device having no communication function with the outside” and the information content is, for example, “engine ECU control”. .
【0024】また、CPU13は、取扱方法が「PI
N」であるときには(ステップS9にて「YES」)、
情報系LANIF部12により受信されたパケットに格
納されている情報に関してPINと称される認証方法に
よる認証を行う(ステップS10)。具体的には、図2
を参照すると、情報の送信元が例えば「外部との通信機
能を有するOEM機器」であり、且つ、情報の内容が例
えば「電子メータコントロール」である場合が相当す
る。In addition, the CPU 13 handles "PI
When it is N ”(“ YES ”in step S9),
The information stored in the packet received by the information system LANIF unit 12 is authenticated by an authentication method called PIN (step S10). Specifically, FIG.
The case where the information transmission source is, for example, “OEM device having a communication function with the outside” and the information content is, for example, “electronic meter control” corresponds to the above.
【0025】次いで、CPU13は、その認証結果の正
否を判定し(ステップS11)、その認証結果が正であ
るときには(ステップS11にて「YES」)、情報系
LANIF部12により受信されたパケットをプロトコ
ル変換する(ステップ6)。そして、CPU13は、そ
のプロトコル変換されたパケットを制御系LAN1に送
信する旨を許可し(ステップS7)、パケットを制御系
LAN1に送信する(ステップS8)。一方、CPU1
3は、その認証結果が否であるときには(ステップS1
1にて「NO」)、情報系LANIF部12により受信
されたパケットを制御系LAN1に送信する旨を禁止し
(ステップS12)、パケットを制御系LAN1に送信
することはない。Next, the CPU 13 determines whether the authentication result is correct or not (step S11). When the authentication result is correct ("YES" in step S11), the packet received by the information system LANIF unit 12 is checked. Protocol conversion (step 6). Then, the CPU 13 permits transmission of the protocol-converted packet to the control LAN 1 (step S7), and transmits the packet to the control LAN 1 (step S8). On the other hand, CPU1
If the authentication result is NO, step 3
1 (“NO”), prohibiting that the packet received by the information LANIF unit 12 is transmitted to the control LAN 1 (step S12), and does not transmit the packet to the control LAN 1.
【0026】また、CPU13は、取扱方法が「PIN
+MAC」であるときには(ステップS13にて「YE
S」)、情報系LANIF部12により受信されたパケ
ットに格納されている情報に関してPINと称される認
証方法およびMACと称される認証方法による二重の認
証を行う(ステップS14)。具体的には、図2を参照
すると、情報の送信元が例えば「OEMでない機器」で
あり、且つ、情報の内容が例えば「ドアECUコントロ
ール」である場合が相当する。In addition, the handling method of the CPU 13 is "PIN
+ MAC ”(“ YE ”in step S13)
S ”), the information stored in the packet received by the information system LANIF unit 12 is subjected to double authentication by an authentication method called PIN and an authentication method called MAC (step S14). Specifically, referring to FIG. 2, it corresponds to a case where the information transmission source is, for example, a “non-OEM device” and the information content is, for example, a “door ECU control”.
【0027】次いで、CPU13は、その認証結果の正
否を判定し(ステップS15)、その認証結果が正であ
るときには(ステップS15にて「YES」)、情報系
LANIF部12により受信されたパケットをプロトコ
ル変換する(ステップS6)。そして、CPU13は、
そのプロトコル変換されたパケットを制御系LAN1に
送信する旨を許可し(ステップS7)、パケットを制御
系LAN1に送信する(ステップS8)。一方、CPU
13は、その認証結果が否であるときには(ステップS
15にて「NO」)、情報系LANIF部12により受
信されたパケットを制御系LAN1に送信する旨を禁止
し(ステップS12)、パケットを制御系LAN1に送
信することはない。Next, the CPU 13 determines whether the authentication result is correct or not (step S15), and when the authentication result is correct ("YES" in step S15), the packet received by the information system LANIF unit 12 is checked. Protocol conversion is performed (step S6). Then, the CPU 13
The transmission of the protocol-converted packet to the control LAN 1 is permitted (step S7), and the packet is transmitted to the control LAN 1 (step S8). On the other hand, CPU
If the authentication result is negative (13), (13)
If “NO” in 15), the fact that the packet received by the information system LANIF unit 12 is transmitted to the control system LAN1 is prohibited (step S12), and the packet is not transmitted to the control system LAN1.
【0028】さらに、CPU13は、取扱方法が「NE
VER」であるときには(ステップS13にて「N
O」)、情報系LANIF部12により受信されたパケ
ットを制御系LAN1に送信する旨を無条件に禁止し
(ステップS12)、パケットを制御系LAN1に送信
することはない。具体的には、図2を参照すると、情報
の送信元が例えば「OEMでない機器」であり、且つ、
情報の内容が例えば「エンジンECUコントロール」で
ある場合が相当する。Furthermore, the handling method of the CPU 13 is "NE
VER ”(“ N ”in step S13)
O ”), unconditionally prohibiting the packet received by the information system LANIF unit 12 from being transmitted to the control system LAN 1 (step S12), and does not transmit the packet to the control system LAN 1. Specifically, referring to FIG. 2, the information transmission source is, for example, a “non-OEM device”, and
This corresponds to the case where the information content is, for example, "engine ECU control".
【0029】このようにして、CPU13は、情報系L
AN6からパケットが受信されると、その情報の送信元
および情報の内容を識別し、対応表を参照することによ
り、その受信されたパケットを制御系LAN1に送信す
るか否かを決定する。In this way, the CPU 13 makes the information system L
When the packet is received from the AN 6, the source of the information and the content of the information are identified, and by referring to the correspondence table, it is determined whether or not the received packet is transmitted to the control system LAN 1.
【0030】次に、OSI(Open System Interconnect
ion )参照モデルについて、図4を参照して説明する。
制御系LAN1は、物理層からデータリンク層までが規
定されており、一方、情報系LAN6は、物理層からト
ランスポート層までが規定されているが、これらに共通
性はなく、このような事情から、車載ゲートウェイ装置
10は、アプリケーション層に格納されているデータ
(情報の内容)を識別するアプリケーションゲートウェ
イ装置として機能することになる。Next, OSI (Open System Interconnect)
ion) reference model will be described with reference to FIG.
The control system LAN 1 is defined from the physical layer to the data link layer, while the information system LAN 6 is defined from the physical layer to the transport layer. However, there is no commonality between them, and in such circumstances Therefore, the vehicle-mounted gateway device 10 functions as an application gateway device that identifies the data (content of information) stored in the application layer.
【0031】また、制御系LAN1の転送速度と、情報
系LAN6の転送速度とを比較すると、制御系LAN1
の転送速度は、一般的に最大でも「1Mbit/s」程
度であり、情報系LAN6の転送速度は、一般的に例え
ば「100Mbit/s」程度である。つまり、情報系
LAN6の転送速度は、制御系LAN1の転送速度より
も極めて大きく、このような事情から、上記したように
アプリケーション層に格納されているデータを識別する
構成であっても、システム全体としての処理能力に殆ど
影響はないものであり、本発明は、この点に着目したも
のである。Further, comparing the transfer rate of the control system LAN1 with the transfer rate of the information system LAN6, the control system LAN1
In general, the maximum transfer speed is about 1 Mbit / s, and the transfer speed of the information system LAN 6 is, for example, about 100 Mbit / s. In other words, the transfer speed of the information system LAN 6 is much higher than the transfer speed of the control system LAN 1. For this reason, even if the data stored in the application layer is identified as described above, the entire system However, the present invention focuses on this point.
【0032】以上に説明したように本実施例によれば、
車載ゲートウェイ装置10において、情報系LAN6か
ら情報が受信されると、その受信された情報の送信元や
情報の内容を識別し、その識別結果に応じて情報系LA
N6から受信された情報に関して認証が必要であるか否
かを判定し、その情報に関して認証が必要であると判定
すると、その情報に関して認証を行い、その情報に関し
て認証が必要でないと判定すると、または、認証結果が
正であると判定すると、その情報を制御系LAN1に送
信させる旨を許可し、一方、認証結果が否であると判定
すると、その情報を制御系LAN1に送信させる旨を禁
止するように構成したので、情報系LAN6から走行の
安全性やセキュリティを損なう虞があり得る情報が制御
系LAN1へ転送されてしまうことを未然に回避するこ
とができ、これにより、走行の安全性やセキュリティを
適切に確保することができる。According to this embodiment as described above,
In the in-vehicle gateway device 10, when information is received from the information system LAN 6, the sender of the received information and the content of the information are identified, and the information system LA is determined according to the identification result.
Determining whether or not authentication is required for the information received from N6, determining that authentication is required for that information, performing authentication for that information, and determining that authentication is not required for that information, or When it is determined that the authentication result is positive, the fact that the information is transmitted to the control system LAN1 is permitted. On the other hand, when it is determined that the authentication result is negative, the fact that the information is transmitted to the control system LAN1 is prohibited. With this configuration, it is possible to prevent the information LAN 6 from transferring to the control system LAN 1 information that may impair the safety and security of the driving, thereby ensuring the driving safety and Security can be properly secured.
【0033】本発明は、上記した実施例にのみ限定され
るものでなく、次のように変形または拡張することがで
きる。情報の送信元を、「外部との通信機能を有しない
OEM機器」、「外部との通信機能を有するOEM機
器」および「OEMでない機器(非OEM機器)」の3
種類に分別する態様に限らず、他の態様で分類する構成
であっても良い。車載ゲートウェイ装置が実行するコン
ピュータプログラムは、外部から必要に応じてダウンロ
ードされるものであっても良い。The present invention is not limited to the above-mentioned embodiments, but can be modified or expanded as follows. The information transmission source is 3 as "OEM device without communication function with outside", "OEM device with communication function with outside" and "non-OEM device (non-OEM device)".
The configuration is not limited to the mode in which the classification is performed, and the configuration may be performed in another mode. The computer program executed by the vehicle-mounted gateway device may be downloaded from the outside as needed.
【図1】本発明の一実施例を示す機能ブロック図FIG. 1 is a functional block diagram showing an embodiment of the present invention.
【図2】対応表を示す図FIG. 2 is a diagram showing a correspondence table
【図3】フローチャートFIG. 3 Flow chart
【図4】OSI参照モデルを概略的に示す図FIG. 4 is a diagram schematically showing an OSI reference model.
図面中、1は制御系LAN、6は情報系LAN、10は
車載ゲートウェイ装置、11は制御系LANIF部(情
報送信手段)、12は情報系LANIF部(情報受信手
段)、13はCPU(制御手段)である。In the drawing, 1 is a control system LAN, 6 is an information system LAN, 10 is an in-vehicle gateway device, 11 is a control system LANIF unit (information transmitting means), 12 is an information system LANIF unit (information receiving means), and 13 is a CPU (control). Means).
Claims (4)
受信手段と、前記情報受信手段により受信された情報を
制御系LANに送信可能な情報送信手段とを備えた車載
ゲートウェイ装置であって、 前記情報受信手段により受信された情報の送信元や情報
の内容を識別し、その識別結果に応じて前記情報受信手
段により受信された情報に関して認証が必要であるか否
かを判定し、その情報に関して認証が必要であると判定
したときに、その情報に関して認証を行い、その情報に
関して認証が必要でないと判定したとき、または、認証
結果が正であると判定したときに、その情報を前記情報
送信手段から前記制御系LANに送信させる旨を許可
し、認証結果が否であると判定したときに、その情報を
前記情報送信手段から前記制御系LANに送信させる旨
を禁止する制御手段を備えたことを特徴とする車載ゲー
トウェイ装置。1. An in-vehicle gateway apparatus comprising: an information receiving unit capable of receiving information from an information system LAN; and an information transmitting unit capable of transmitting the information received by the information receiving unit to a control system LAN. The source of the information received by the information receiving means and the content of the information are identified, and it is determined whether or not the information received by the information receiving means requires authentication according to the identification result, and the information When it is determined that authentication is required, the information is authenticated, and when it is determined that authentication is not required for the information, or when the authentication result is determined to be positive, the information is changed to the information described above. When the transmission means permits the transmission to the control system LAN, and when it is determined that the authentication result is negative, the information is transmitted from the information transmission means to the control system LAN. Vehicle gateway apparatus characterized by comprising a control means for inhibiting the effect to.
おいて、 前記制御手段は、情報の送信元を、OEM機器であるか
否かに分別して識別することを特徴とする車載ゲートウ
ェイ装置。2. The in-vehicle gateway device according to claim 1, wherein the control unit discriminates and identifies the transmission source of the information as to whether it is an OEM device or not.
おいて、 前記制御手段は、情報の送信元を、外部との通信機能を
有する機器であるか否かに分別して識別することを特徴
とする車載ゲートウェイ装置。3. The vehicle-mounted gateway device according to claim 2, wherein the control unit discriminates and identifies the information transmission source based on whether or not the device has a communication function with the outside. Gateway device.
を識別させる手順と、 その識別結果に応じて前記情報系LANから受信された
情報に関して認証が必要であるか否かを判定させる手順
と、 その情報に関して認証が必要であると判定されたとき
に、その情報に関して認証を行わせる手順と、 その情報に関して認証が必要でないと判定されたとき、
または、その認証結果が正であると判定されたときに、
その情報を制御系LANに送信させる旨を許可させる手
順と、 その認証結果が否であると判定されたときに、その情報
を前記制御系LANに送信させる旨を禁止させる手順と
を実行させるためのコンピュータプログラム。4. A procedure for causing an in-vehicle gateway device to identify a source of information received from an information system LAN and the content of the information, and authentication is required for the information received from the information system LAN according to the identification result. If it is determined that authentication is required for the information, and if it is determined that authentication is not required for the information,
Or when it is determined that the authentication result is positive,
To execute a procedure for permitting the information to be transmitted to the control LAN and a procedure for prohibiting the information from being transmitted to the control LAN when the authentication result is determined to be negative. Computer program.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002041610A JP2003244187A (en) | 2002-02-19 | 2002-02-19 | On-vehicle gateway device and computer program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002041610A JP2003244187A (en) | 2002-02-19 | 2002-02-19 | On-vehicle gateway device and computer program |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003244187A true JP2003244187A (en) | 2003-08-29 |
Family
ID=27781969
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002041610A Pending JP2003244187A (en) | 2002-02-19 | 2002-02-19 | On-vehicle gateway device and computer program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003244187A (en) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1916813A2 (en) | 2006-10-27 | 2008-04-30 | Fujitsu Ten Limited | Gateway apparatus and data transfer control method |
| US7787479B2 (en) | 2005-04-28 | 2010-08-31 | Fujitsu Ten Limited | Gateway apparatus and routing method |
| US8122316B2 (en) | 2006-10-27 | 2012-02-21 | Fujitsu Ten Limited | Error detector and error detection method |
| JP2012101788A (en) * | 2011-12-01 | 2012-05-31 | Hitachi Automotive Systems Ltd | In-vehicle gateway device |
| US20140351460A1 (en) * | 2013-05-23 | 2014-11-27 | Honda Motor Co., Ltd. | Relay device |
| JP2015035083A (en) * | 2013-08-08 | 2015-02-19 | 株式会社東芝 | Vehicle network system |
| WO2015156083A1 (en) * | 2014-04-09 | 2015-10-15 | 株式会社日立製作所 | Control system, relay apparatus, and control method |
-
2002
- 2002-02-19 JP JP2002041610A patent/JP2003244187A/en active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7787479B2 (en) | 2005-04-28 | 2010-08-31 | Fujitsu Ten Limited | Gateway apparatus and routing method |
| EP1916813A2 (en) | 2006-10-27 | 2008-04-30 | Fujitsu Ten Limited | Gateway apparatus and data transfer control method |
| US8122316B2 (en) | 2006-10-27 | 2012-02-21 | Fujitsu Ten Limited | Error detector and error detection method |
| US8265087B2 (en) | 2006-10-27 | 2012-09-11 | Fujitsu Ten Limited | Gateway apparatus and data transfer control method |
| JP2012101788A (en) * | 2011-12-01 | 2012-05-31 | Hitachi Automotive Systems Ltd | In-vehicle gateway device |
| US20140351460A1 (en) * | 2013-05-23 | 2014-11-27 | Honda Motor Co., Ltd. | Relay device |
| US9081699B2 (en) * | 2013-05-23 | 2015-07-14 | Honda Motor Co., Ltd. | Relay device |
| JP2015035083A (en) * | 2013-08-08 | 2015-02-19 | 株式会社東芝 | Vehicle network system |
| WO2015156083A1 (en) * | 2014-04-09 | 2015-10-15 | 株式会社日立製作所 | Control system, relay apparatus, and control method |
| JP2015201785A (en) * | 2014-04-09 | 2015-11-12 | 株式会社日立製作所 | Control system, relay device, and control method |
| US10445139B2 (en) | 2014-04-09 | 2019-10-15 | Hitachi, Ltd. | Control system in which communication between devices is controlled based on execution condition being satisfied, gateway device used in the control system, and control method for the control system |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11618394B2 (en) | Vehicle secure messages based on a vehicle private key | |
| JP7170780B2 (en) | Fraud detection rule update method, fraud detection electronic control unit, and in-vehicle network system | |
| US10104094B2 (en) | On-vehicle communication system | |
| EP3690643B1 (en) | Vehicle-mounted device upgrading method and related device | |
| US9591480B2 (en) | Method and device for secure communication of a component of a vehicle with an external communication partner via a wireless communication link | |
| CN106453465B (en) | System and method for interworking between a vehicle controller and an external resource | |
| WO2018051607A1 (en) | Detecting device, gateway device, detecting method, and detecting program | |
| US10320911B2 (en) | Vehicle network implementing XCP protocol policy and method | |
| CN109767523A (en) | The order of VIN ESN signature and the other local trust of vehicle grade | |
| JP2019021973A (en) | On-vehicle device, management method, and management program | |
| US20230118187A1 (en) | Automotive Gateway Providing Secure Open Platform for Guest Applications | |
| JP7412506B2 (en) | Fraud detection rule update method, fraud detection electronic control unit and in-vehicle network system | |
| CN110113378A (en) | Vehicle authentication method and its device | |
| JP2003244187A (en) | On-vehicle gateway device and computer program | |
| JP2012006446A (en) | In-vehicle network system | |
| KR102172287B1 (en) | Vehicle communication network system and operating method of the same | |
| JP2012010022A (en) | On-vehicle communication system | |
| US11934338B2 (en) | Enhanced secure onboard communication for CAN | |
| JP2004192277A (en) | Vehicle diagnostic system and vehicle | |
| JP2019209961A (en) | Information processor, monitoring method, program, and gateway device | |
| CN115515097A (en) | Method and device for resisting intrusion to in-vehicle network | |
| KR20180072340A (en) | Methods of secure transmitting control message at in-vehicle network | |
| WO2023171475A1 (en) | In-vehicle communication device and in-vehicle communication system | |
| WO2021166321A1 (en) | Security system, vehicle, security device, and validity determination method | |
| EP4068722A1 (en) | Enhanced secure onboard communication for can |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040408 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060221 |
|
| A131 | Notification of reasons for refusal |
Effective date: 20060307 Free format text: JAPANESE INTERMEDIATE CODE: A131 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060627 |