JP2014102673A - 車載機及びセキュリティシステム - Google Patents
車載機及びセキュリティシステム Download PDFInfo
- Publication number
- JP2014102673A JP2014102673A JP2012254005A JP2012254005A JP2014102673A JP 2014102673 A JP2014102673 A JP 2014102673A JP 2012254005 A JP2012254005 A JP 2012254005A JP 2012254005 A JP2012254005 A JP 2012254005A JP 2014102673 A JP2014102673 A JP 2014102673A
- Authority
- JP
- Japan
- Prior art keywords
- application
- access
- unauthorized
- middleware
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Traffic Control Systems (AREA)
Abstract
【課題】不正なアプリケーションからミドルウェアへの不正アクセスを排除することができ、ドライバーの負荷状態と矛盾するアプリケーション動作を未然に防止することができる車載機を提供する。
【解決手段】アプリケーションからミドルウェアを経由してハードウェアを制御するソフトウェア構成の車載機であって、アプリケーションを記憶するアプリケーション記憶部12と、アプリケーションを実行するアプリケーション実行部13と、ドライバーの負荷状態を推定する負荷状態推定部15と、ミドルウェアを保持するミドルウェア部16と、負荷状態に応じたアクセスルールを記憶するアクセスルール記憶部142と、アプリケーションがミドルウェアにアクセスする際に、負荷状態推定部15により推定されたドライバーの負荷状態及びアクセスルールを用いて、アプリケーションのミドルウェアへのアクセス可否を判定するアクセス許可判定部141とを備える。
【選択図】図3
【解決手段】アプリケーションからミドルウェアを経由してハードウェアを制御するソフトウェア構成の車載機であって、アプリケーションを記憶するアプリケーション記憶部12と、アプリケーションを実行するアプリケーション実行部13と、ドライバーの負荷状態を推定する負荷状態推定部15と、ミドルウェアを保持するミドルウェア部16と、負荷状態に応じたアクセスルールを記憶するアクセスルール記憶部142と、アプリケーションがミドルウェアにアクセスする際に、負荷状態推定部15により推定されたドライバーの負荷状態及びアクセスルールを用いて、アプリケーションのミドルウェアへのアクセス可否を判定するアクセス許可判定部141とを備える。
【選択図】図3
Description
本発明は、車載機及びセキュリティシステムに関する。
従来のセキュリティの考え方は悪意を持った不正プログラムがシステム内に侵入しないようにするいわゆる未然防止が主である。このため、何らかの理由でチェックを通過してしまった不正プログラムは、有効に除去できないという問題がある。上記の問題に関し、一旦侵入した不正プログラムを検出及び駆除する方法が提案されている(例えば、特許文献1参照。)。
特許文献1では、ネットワーク上の各コンピュータがログを記録し、各コンピュータはログをネットワーク上の他のコンピュータに通知することで、ログを受信した他のコンピュータ各々が不正行為の有無を検査する。検査の結果、各コンピュータのうちの特定のコンピュータで不正行為があったと判断した場合、そのコンピュータにおいて不正行為のあった旨を表すメッセージを他のコンピュータに送信する。そのメッセージを受信した各コンピュータも個々に不正の有無を検査する。所定の期間内に所定のしきい値を超える台数のコンピュータが該当コンピュータに対して不正行為ありと判断した場合、以後、ネットワーク上の全コンピュータが不正行為ありと判断されたコンピュータとの通信を絶つ。これにより、不正プログラムによる被害を最小限にとどめる。
しかしながら、特許文献1に記載の不正プログラムを検出及び駆除する方法は、ログデータの解析が必須であることから、不正と判定できるログを取得し、解析が終了するまで不正プログラムからの悪影響を受けることになる。
本発明の目的は、不正なアプリケーションからミドルウェアへの不正アクセスを排除することができ、ドライバーの負荷状態と矛盾するアプリケーション動作を未然に防止することができる車載機及びセキュリティシステムを提供することである。
本発明の一態様によれば、アプリケーションがミドルウェアを経由してハードウェアを制御する車載機及びセキュリティシステムにおいて、ドライバーの負荷状態及びアクセスルールを用いてアプリケーションからミドルウェアへのアクセスを許可するか否かを判定する。
本発明によれば、不正なアプリケーションからミドルウェアへの不正アクセスを排除することができ、ドライバーの負荷状態と矛盾するアプリケーション動作を未然に防止することができる車載機及びセキュリティシステムを提供することができる。
次に、図面を参照して、本発明の第1及び第2の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には同一又は類似の符号を付している。ただし、図面は模式的なものであり、厚みと平面寸法との関係、各層の厚みの比率等は現実のものとは異なることに留意すべきである。したがって、具体的な厚みや寸法は以下の説明を参酌して判定すべきものである。又、図面相互間においても互いの寸法の関係や比率が異なる部分が含まれていることはもちろんである。
また、以下に示す第1及び第2の実施の形態は、この発明の技術的思想を具体化するための装置や方法を例示するものであって、この発明の技術的思想は、構成部品の材質、形状、構造、配置等を下記のものに特定するものでない。この発明の技術的思想は、特許請求の範囲において、種々の変更を加えることができる。
(第1の実施の形態)
<セキュリティシステムの構成>
本発明の第1の実施の形態に係るセキュリティシステムとして、図1に示すように、車両1に搭載された車載機が、データセンター2からアプリケーションをダウンロードする場合を説明する。
<セキュリティシステムの構成>
本発明の第1の実施の形態に係るセキュリティシステムとして、図1に示すように、車両1に搭載された車載機が、データセンター2からアプリケーションをダウンロードする場合を説明する。
ここで、一般的な車載機のソフトウェア構成を説明する。一般的な車載機のソフトウェア構成は、図2に示すように、アプリケーションAP1,AP2,AP3,…、ミドルウェアMW1,MW2,MW3,MW4,…、オペレーションシステム(OS)、ドライバの4つで構成される。アプリケーションは文字通りアプリケーションを実行し実際にドライバー(ユーザー)にサービスを提供するソフトウェアである。ミドルウェアは、複数のアプリケーションが利用する高度な機能をモジュール化したもので、OSが提供する機能を特定の使い方に限定して組み合わせることで高度な機能をアプリケーションが容易に提供できるためのソフトウェアである。OSは、ドライバを統率し、基本的な機能を提供するためのソフトウェアである。ドライバは、実際にハードウェアを制御するためのソフトウェアである。本発明の第1の実施の形態に係る車載機も、図2と同様のソフトウェア構成を有する。
本発明の第1の実施の形態に係るセキュリティシステムは、図3に示すように、車両1に搭載された車載機(車載ITユニット)10と、データセンター2とを備える。
データセンター2は、様々なアプリケーションを記憶するアプリケーション記憶部21と、どのアプリケーションがどの車載機10にダウンロードされているか等のアプリケーションに関する情報を管理するアプリケーション管理部22と、車載機10にアプリケーションをダウンロードする等の通信を行う通信部23を備える。
アプリケーション記憶部12は、図4に示すように、アプリケーションそのものの他、アプリケーション毎に、アプリケーションID(AID)、アプリケーション名、車載機10にダウンロードされた日時、アプリケーションの作成者情報等を記憶する。アプリケーションIDとは、データセンター2にある全アプリケーションにそれぞれ割り当てられている固有のIDである。このアプリケーションの中に、ユーザーが意図しない動作を不正に行うアプリケーション(以下、「不正アプリ」ともいう。)が混入する可能性がある。
図3に示した車載機10は、通信部11、アプリケーション記憶部12、アプリケーション実行部13、アクセス許可部14、負荷状態推定部15、ミドルウェア部16、ハードウェア制御部17、ハードウェア18及びセンサ部19を備える。ハードウェア18は、ハードウェア制御部17にそれぞれ接続された表示操作部180、音声出力部181、音声入力部182、外部映像入力部183を備える。センサ部19は、負荷状態推定部15にそれぞれ接続されたステアリングセンサ191、車速センサ192、車内カメラ193、車外カメラ194及び生体信号センサ195を備える。
通信部11は、データセンター2からアプリケーションをダウンロードするため等にデータセンター2との通信を行う。アプリケーション記憶部12は、データセンター2から通信部11を介してダウンロードされたアプリケーションを記憶する。アプリケーション実行部13は、ドライバー(ユーザー)の指示に従い、アプリケーション記憶部12に記憶されているアプリケーションを実行する。
負荷状態推定部15は、センサ部19からのセンサ情報に基づいて、図5に示すようにドライバーの負荷状態A,B,…を推定する。センサ情報としては、例えばステアリングセンサ191から取得されたステアリング操作情報や車速センサ192から取得された車速情報等の車両情報、車内カメラ193により撮影されたドライバーの顔画像や車外カメラ194により撮影された白線距離を利用した車両挙動等のカメラ映像、及び生体信号センサ195から取得されたドライバーの心拍や脈拍等の生体信号のいずれか、又はこれらの組み合わせが使用可能である。
例えば、負荷状態の推定方法として、車両1が走行中か停車中かでドライバーの負荷状態を推定する方法がある。即ち、車速情報やパーキングブレーキ情報等に基づいて、走行中であれば負荷状態を“高”と推定し、それ以外の停車中であれば負荷状態を“低”と推定する。なお、負荷状態は“高”又は“低”のように2値的に分類して推定しても良いし、“高”、“中”、“低”等と多段階(3段階以上)に分類して推定しても良い。
アクセス許可部14は、アプリケーション実行部13により実行されたアプリケーションがミドルウェア部16に記憶されているアプリケーション用のミドルウェアを利用する際にアクセス許可を行う。アクセス許可部14は、アクセス許可判定部141、アクセスルール記憶部142及びエラー処理実行部143を備える。
アクセスルール記憶部142は、図6に示すように、負荷状態推定部15により推定されるドライバーの負荷状態毎に、アプリケーションからのアクセスを許可するミドルウェアと、アクセスを拒否するミドルウェアを規定するアクセスルールを記憶する。図6では、負荷状態Aの場合には、ミドルウェアMW1、MW2、MW3、MW6へのアクセスを許可し、ミドルウェアMW4、MW5、MW7へのアクセスが拒否される。また、負荷状態Bの場合には、ミドルウェアMW2、MW4、MW5、MW7へのアクセスが許可され、ミドルウェアMW1、MW3、MW6へのアクセスが拒否されることを示している。
なお、図6では、判定ルールがアクセスを許可するミドルウェアとアクセスを拒否するミドルウェアを規定する場合を示すが、判定ルールはこれに限定されるものではない。判定ルールは、アクセスを許可するミドルウェアにおいてアクセスの一部を制限しても良い。
アクセスルールでは、例えば、走行中であり負荷状態が“高”の場合は、安全のために、表示操作部180等での動画再生用のミドルウェア、表示操作部180等にカメラ画像を表示するためのミドルウェア、表示操作部180等に文字入力のためのソフトウェアキーボードを表示するためのミドルウェア、表示操作部180等に表示モードを切り替えたりアプリケーションからの動的な情報表示を行うレイアウトマネジメント用のミドルウェアへのアクセスを全て拒否したり、アクセスの一部を制限したりする一方、音声入力部182等を用いた音声認識用のミドルウェアへのアクセスは許可する。また、停車中であり負荷状態が“低”の場合は、すべてのミドルウェアへのアクセスを許可するといったことが考えられる。
上述のレイアウトマネジメントについて補足説明を行う。レイアウトマネジメント用のミドルウェアにより、図7(a)に示すような表示操作部180等の画面30にアプリケーションの情報提示を行う。図7(a)は情報提示なし、図7(b)は情報提示領域31を極小ウィンドウで表示する場合、図7(c)は情報提示領域31を1/4ウィンドウで表示する場合、図7(d)は情報提示領域31を1/2ウィンドウで表示する場合、図7(e)は情報提示領域31をフルウィンドウで表示する場合を示す。
このうち走行中に表示が許可されるのは、図7(a)及び図7(b)に示した表示方法とする。この場合、走行中は図7(a)から図7(b)への画面切り替え(アプリケーションからの極小ウィンドウを使った動的な情報提示)と、図7(b)から図7(a)への画面切り替え(極小ウィンドウの消去)のみが許可される。一方、それ以外の図7(c)〜図7(e)の情報提示領域31を使った表示は拒否(制限)される。合わせて拒否されるミドルウェアを利用しようとしたアプリケーションは不正アプリとしてエラー処理されることとなる。
図3に示したアクセス許可判定部141は、負荷状態推定部15により推定された図5に示すようなドライバーの負荷状態と、アクセスルール記憶部142に記憶されているドライバーの負荷状態に対応した図6に示すようなアクセスルールを用いて、アプリケーションからのミドルウェアへのアクセス可否を判定する。このとき、アプリケーションがアクセスルールによりアクセスが許可されているミドルウェアにアクセスしようとしている場合はアクセス許可判定部141はアクセス許可と判定する。一方、アプリケーションがアクセスルールに従わずに、アクセスルールによりアクセスが拒否されているミドルウェアにアクセスしようとしている場合には、アクセス許可判定部141はアクセス不可と判定する。
エラー処理実行部143は、アクセス許可判定部141によりアクセス不可と判定された場合にエラー処理を実行する。エラー処理実行部143は、例えばアプリケーションからミドルウェアへのアクセスを拒否したり、不正なアクセスがあった旨をドライバーに通知したりする。更に、エラー処理実行部143は、アクセスが拒否されたアプリケーションを強制的に終了し、アプリケーションをアプリケーション記憶部12から完全に削除しても良い。
更に、エラー処理実行部143は、アプリケーション記憶部12内にアクセスが拒否されたアプリケーションの作成者と同一作成者が作成したアプリケーションが存在する場合、そのアプリケーションも不正アプリと特定し、アプリケーション記憶部12から削除しても良い。
ミドルウェア部16は、アプリケーションが利用する高度な機能をある程度モジュール化したアプリケーション用のミドルウェアを記憶する。ミドルウェア部16が記憶しているミドルウェアは、アクセス許可判定部141によりアクセスが許可された場合に実行される。
ハードウェア制御部17は、アプリケーションやミドルウェアにより制御されるドライバを記憶し、ハードウェア18である表示操作部180、音声出力部181、音声入力部182又は外部映像入力部183等を制御する。
<車載機の動作>
次に、本発明の第1の実施の形態に係る車載機10のアプリケーション実行時の動作の一例を、図8のフローチャートを参照しながら説明する。
次に、本発明の第1の実施の形態に係る車載機10のアプリケーション実行時の動作の一例を、図8のフローチャートを参照しながら説明する。
(イ)ステップS11において、車載機10のアプリケーション記憶部12に記憶されているアプリケーションについてドライバーが実行を指示すると、アプリケーション実行部13は該当するアプリケーションを実行する。その後、起動されたアプリケーションは、アプリケーション作成者によって作成された所定の動作を開始する。そして起動されたアプリケーションからミドルウェアへのアクセスが発生すると、ステップS12に進む。
(ロ)ステップS12において、アクセス許可判定部141が、負荷状態推定部15により推定されたドライバーの負荷状態を取得する。ステップS13において、アクセス許可判定部141が、負荷状態推定部15により推定されたドライバーの負荷状態に対応するアクセスルールをアクセスルール記憶部142から取得する。ステップS14において、アクセス許可判定部141が、負荷状態推定部15から取得したドライバーの負荷状態と、アクセスルール記憶部142から取得したアクセスルールを用いて、アプリケーションからミドルウェアへのアクセスの可否を判定する。
(ハ)ステップS14においてアクセスが許可された場合、ステップS15に進み、アプリケーションが指定した処理を実行し、ステップS16においてアプリケーションが終了するまで処理を継続する。
(ニ)一方、ステップS14でアクセスが許可されない(拒否された)場合は、ステップS17に進み、エラー時の処理を実行し、終了する。
<エラー処理実行部の動作>
次に、図8のステップS17のエラー時の処理の詳細を、図9のフローチャートを参照しながら説明する。
次に、図8のステップS17のエラー時の処理の詳細を、図9のフローチャートを参照しながら説明する。
(イ)図7のステップS14でアクセスが不可と判定された場合、図9のステップS21において、エラー処理実行部143は、アクセスが不可と判定されたアプリケーションを不正アプリと特定し、不正アプリからミドルウェアへのアクセスを拒否する。更に、ステップS22において、エラー処理実行部143は、不正なアクセスがあった旨をドライバーに通知する。
(ロ)ステップS23において、エラー処理実行部143が、不正アプリを強制的に終了する。ステップS24において、エラー処理実行部143が、不正アプリをアプリケーション記憶部12から完全に削除する。
(ハ)ステップS25において、アプリケーション記憶部12内に不正アプリの作成者と同一作成者が作成したアプリケーションが存在しているか検索する。存在する場合には、ステップS26においてそのアプリケーションについてもアプリケーション記憶部12から削除する。
本発明の第1の実施の形態によれば、ミドルウェアを経由してハードウェアを制御するソフトウェア構成となっている車載機10において、アプリケーションからミドルウェアへアクセスする際に、ドライバーの負荷状態を用いてミドルウェアへのアクセス可否を判定することにより、不正アプリからミドルウェアへの不正アクセスを排除することができ、ドライバーの負荷状態と矛盾するアプリケーション動作を未然に防止することができる。
更に、車両情報、カメラ映像、ドライバーの生体信号の少なくともいずれかに基づいてドライバーの負荷状態を推定することにより、ドライバーの負荷状態と矛盾するアプリケーション動作を検出することができる。
更に、アクセス許可判定部141によりアクセス不可と判定された場合、許可されないアクセスを行おうとした不正アプリからミドルウェアへのアクセスを拒否することにより、ドライバーの負荷状態と矛盾するアプリケーション動作を未然に防止することができる。
更に、不正アプリから不正なアクセスがあった旨をドライバーに通知し、不正アプリを強制的に終了し、不正アプリをアプリケーション記憶部12から削除することにより、被害の拡大を防止することができる。
更に、車載機10内から不正アプリの作成者と同一作成者が作成したアプリケーションを削除することにより、被害の拡大を防止することができる。
(第2の実施の形態)
<セキュリティシステムの構成>
本発明の第1の実施の形態では、不正アプリ検出後の対応として、不正アプリを検出した車載機で閉じる場合を説明したが、本発明の第2の実施の形態では、不正検出後のエラー処理として、サーバー経由で該当する全車載機に情報を伝え、不正アプリを完全に排除する場合を説明する。
<セキュリティシステムの構成>
本発明の第1の実施の形態では、不正アプリ検出後の対応として、不正アプリを検出した車載機で閉じる場合を説明したが、本発明の第2の実施の形態では、不正検出後のエラー処理として、サーバー経由で該当する全車載機に情報を伝え、不正アプリを完全に排除する場合を説明する。
本発明の第2の実施の形態では、図10に示すように、車載機を搭載している車両1で検出された不正アプリに関する情報を、データセンター2を介して他車両1a,1b,1cにも通知し、まだ被害の発生していない他車両1a,1b,1cにおいても不正アプリを削除する。
本発明の第2の実施の形態に係るセキュリティシステムは、図11に示すように、車両1の車載機10と、データセンター2と、他車両1a,1b,1cの車載機(図示省略)を備える。
車載機10のエラー処理実行部143は、データセンター2に不正アプリに関するアプリケーションID等の情報を通信部11を介して送信する。データセンター2のアプリケーション管理部22は、不正アプリに関する情報を受けてアプリケーション記憶部12内の不正アプリに該当するアプリケーションを削除する。更に、アプリケーション管理部22は、不正アプリに該当するアプリケーションをダウンロードした他車両1a,1b,1cへ不正アプリに関する情報を通信部23を介して送信する。各車両1a,1b,1cに搭載されている車載機は、データセンター2から不正アプリに関する情報を受信し、不正アプリに該当するアプリケーションを削除する。
他の構成は、本発明の第1の実施の形態に係るセキュリティシステムの構成と実質的に同様であるので、重複した説明を省略する。
<エラー処理実行部の動作>
本発明の第2の実施の形態に係るエラー時の処理動作を図12のフローチャートに示す。ステップS31〜S36の手順は、図9に示したエラー処理のステップS21〜S26の手順と実質的に同様であるので、重複した説明を省略する。ステップS37において、エラー処理実行部143が、不正アプリに関する情報を通信部11を介してデータセンター2に送信する。
本発明の第2の実施の形態に係るエラー時の処理動作を図12のフローチャートに示す。ステップS31〜S36の手順は、図9に示したエラー処理のステップS21〜S26の手順と実質的に同様であるので、重複した説明を省略する。ステップS37において、エラー処理実行部143が、不正アプリに関する情報を通信部11を介してデータセンター2に送信する。
<データセンターの動作>
次に、本発明の第2の実施の形態に係るデータセンター2が不正アプリに関する情報を受信した際の動作を図13のフローチャートを参照しながら説明する。
次に、本発明の第2の実施の形態に係るデータセンター2が不正アプリに関する情報を受信した際の動作を図13のフローチャートを参照しながら説明する。
(イ)ステップS41において、データセンター2の通信部23が、車載機10から不正アプリに関する情報を受信すると、アプリケーション管理部22が、アプリケーション記憶部21に記憶されている該当するアプリケーションを削除する。
(ロ)ステップS42において、アプリケーション管理部22が、不正アプリの作成者と同一作成者のアプリケーションが存在するか否かを検索する。存在する場合には、ステップS43に進み、アプリケーション管理部22が該当するアプリケーションをアプリケーション記憶部21から削除する。
(ハ)その後、ステップS44において、アプリケーション管理部22が、自ら記憶しているアプリケーションのダウンロード履歴から不正アプリをダウンロードした車載機を特定する。ステップS45において、アプリケーション管理部22が、特定された車載機に対し不正アプリに関する情報として不正アプリのアプリケーションIDを通信部23を介して送信する。全車載機では不正アプリに関する情報を受けて該当するアプリケーションが存在する場合には削除される。なお、ステップS45では、不正アプリに関する情報をデータセンター2からプッシュで送信したが、各車両1a,1b,1cの車載機10がダウンロードのため等でデータセンター2に接続した際に、不正アプリに関する情報を付加して送信するような形態であっても良い。
(ニ)ステップS46において全車載機から削除結果を受信したか判定する。ステップS47において反応の無い車載機については不正アプリに関する情報を再送信することにより、該当する全ての車載機から削除結果を受信するまで繰り返し不正アプリに関する情報を再送信する。該当する全ての車載機から削除結果を受信すれば終了する。
<他車両の動作>
次に、本発明の第2の実施の形態において、他車両1a,1b,1cに搭載された車載機10がデータセンター2から不正アプリに関する情報を受信した際の動作を、図14のフローチャートを参照しながら説明する。
次に、本発明の第2の実施の形態において、他車両1a,1b,1cに搭載された車載機10がデータセンター2から不正アプリに関する情報を受信した際の動作を、図14のフローチャートを参照しながら説明する。
(イ)ステップS51において、他車両1a,1b,1cに搭載されている車載機10は不正アプリに該当するアプリケーションがアプリケーション記憶部12に存在するかアプリケーションIDを基に判定する。データセンター2は不正アプリのダウンロード履歴のある車載機10に限定して不正アプリに関する情報を送っているが、ドライバーが何らかの理由で手動で不正アプリを削除した場合等には該当する不正アプリがアプリケーション記憶部12に存在しない場合も考えられる。
(ロ)ステップS51で不正アプリが存在すると判定された場合、ステップS52に進み、車載機10はアプリケーション記憶部12に記憶されている不正アプリを全て削除する。なお、不正アプリの作成者と同一作成者が作成したアプリケーションを検索し、存在する場合は同一作成者が作成したアプリケーションも不正アプリとして削除しても良い。
(ハ)ステップS53において、他車両1a,1b,1cに搭載されている車載機10から、「AID:○○削除、AID:××該当無し」といったように削除結果をデータセンター2へ通知する。一方、ステップS51で不正アプリが存在しないと判定された場合でも、ステップS53において全てのアプリケーションIDについて該当無しを示す情報をデータセンター2に通知する。
本発明の第2の実施の形態によれば、アプリケーションからミドルウェアを経由してハードウェアを制御するソフトウェア構成となっている車載機において、アプリケーションがミドルウェアへアクセスする際に、ドライバーの負荷状態を用いてミドルウェアへのアクセスを許可するか否かを判定することにより、不正アプリによるミドルウェアへの不正アクセスを排除することができ、ドライバーの負荷状態と矛盾するアプリケーション動作を未然に防止することができる。
更に、データセンター2内の不正アプリを削除することで、他の車載機が不正アプリに該当するアプリケーションを新たにダウンロードできなくなることで、被害の拡大を防止することができる。
更に、データセンター2から全ての車載機に対して不正アプリに関する情報を伝え、全ての車載機から不正アプリに該当するアプリケーションを削除できることで、被害の拡大を防止することができる。
(その他の実施の形態)
上記のように、本発明は第1及び第2の実施の形態によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなろう。
上記のように、本発明は第1及び第2の実施の形態によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなろう。
例えば、図11に示した車載機10のエラー処理実行部143が、データセンター2に不正アプリに関する情報を送信する際、アクセス許可部14によりアクセス不可と判定されたときのセンサ情報及びドライバーの負荷状態等を併せて送信しても良い。データセンター2は、不正アプリに関する情報とセンサ情報及びドライバーの負荷状態等とを用いてアクセス許可部14と同様な手順等でシミュレーションを行い、アクセス許可部14により不正アプリと判定されたアプリケーションが本当に不正アプリか、即ち不正アプリと同一のアプリケーションからミドルウェアへのアクセス可否を再度判定しても良い。これにより、アプリケーションが不正か否かをより正確に判定することができる。
このように、本発明はここでは記載していない様々な実施の形態等を含むことは勿論である。したがって、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
1,1a,1b,1c…車両
2…データセンター
10…車載機
11,23…通信部
12,21…アプリケーション記憶部
13…アプリケーション実行部
14…アクセス許可部
15…負荷状態推定部
16…ミドルウェア部
17…ハードウェア制御部
18…ハードウェア
19…センサ部
22…アプリケーション管理部
141…アクセス許可判定部
142…アクセスルール記憶部
143…エラー処理実行部
2…データセンター
10…車載機
11,23…通信部
12,21…アプリケーション記憶部
13…アプリケーション実行部
14…アクセス許可部
15…負荷状態推定部
16…ミドルウェア部
17…ハードウェア制御部
18…ハードウェア
19…センサ部
22…アプリケーション管理部
141…アクセス許可判定部
142…アクセスルール記憶部
143…エラー処理実行部
Claims (8)
- アプリケーションがミドルウェアを経由してハードウェアを制御するソフトウェア構成の車載機であって、
前記アプリケーションを記憶するアプリケーション記憶部と、
前記アプリケーションを実行するアプリケーション実行部と、
ドライバーの負荷状態を推定する負荷状態推定部と、
前記ミドルウェアを記憶するミドルウェア部と、
前記ドライバーの負荷状態に応じたアクセスルールを記憶するアクセスルール記憶部と、
前記アプリケーションが前記ミドルウェアにアクセスする際に、前記負荷状態推定部により推定されたドライバーの負荷状態及び前記アクセスルールを用いて、前記アプリケーションの前記ミドルウェアへのアクセス可否を判定するアクセス許可判定部
とを備えることを特徴とする車載機。 - 前記負荷状態推定部は、車両情報、カメラ映像、前記ドライバーの生体信号の少なくともいずれかに基づいて前記ドライバーの負荷状態を推定することを特徴とする請求項1に記載の車載機。
- 前記アクセス許可判定部によりアクセス不可と判定された場合、前記許可されないアクセスを行おうとした不正アプリからミドルウェアへのアクセスを拒否するエラー処理実行部を更に備えることを特徴とする請求項1又は2に記載の車載機。
- 前記エラー処理実行部は、前記不正アプリから不正なアクセスがあった旨をドライバーに通知し、前記不正アプリを強制的に終了し、前記不正アプリを前記アプリケーション記憶部から削除することを特徴とする請求項3に記載の車載機。
- 前記エラー処理実行部は、前記不正アプリの作成者と同一作成者が作成したアプリケーションを削除することを特徴とする請求項3又は4に記載の車載機。
- 請求項1〜4のいずれか1項に記載の車載機と、
前記車載機がダウンロード可能な複数のアプリケーションを管理するデータセンター
とを備え、
前記アクセス許可判定部によりアクセス不可と判定された場合、前記車載機が、前記許可されないアクセスを行おうとした不正アプリに関する情報を前記データセンターに送信し、
前記データセンターが、前記不正アプリに関する情報に基づいて前記データセンターが保持している不正アプリに該当するアプリケーションを削除することを特徴とするセキュリティシステム。 - 前記車載機が、前記データセンターから前記不正アプリに関する情報を受信した場合、前記不正アプリに該当するアプリケーションを前記アプリケーション記憶部から削除し、削除結果を前記データセンターに送信することを特徴とする請求項6に記載のセキュリティシステム。
- 前記車載機が、前記データセンターに前記不正アプリに関する情報、及び前記アクセス許可判定部によりアクセス不可と判定されたときの前記ドライバーの負荷状態を送信し、
前記データセンターが、前記不正アプリに関する情報及び前記ドライバーの負荷状態を用いて前記不正アプリから前記ミドルウェアへのアクセス可否を判定することを特徴とする請求項6又は7に記載のセキュリティシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012254005A JP2014102673A (ja) | 2012-11-20 | 2012-11-20 | 車載機及びセキュリティシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012254005A JP2014102673A (ja) | 2012-11-20 | 2012-11-20 | 車載機及びセキュリティシステム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2014102673A true JP2014102673A (ja) | 2014-06-05 |
Family
ID=51025131
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012254005A Pending JP2014102673A (ja) | 2012-11-20 | 2012-11-20 | 車載機及びセキュリティシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2014102673A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016080073A1 (ja) * | 2014-11-20 | 2016-05-26 | アプリックスIpホールディングス株式会社 | アプリケーション認証システム、無線通信システム、管理サーバ、および、認証情報発行方法 |
| JP2017157232A (ja) * | 2017-05-25 | 2017-09-07 | 日立マクセル株式会社 | 情報処理装置、アプリケーションソフトウェア起動システム及びアプリケーションソフトウェア起動方法 |
| JP2019056999A (ja) * | 2017-09-20 | 2019-04-11 | ファナック株式会社 | アプリケーションセキュリティ管理システム及びエッジサーバ |
| JP2019189220A (ja) * | 2014-09-30 | 2019-10-31 | エイディシーテクノロジー株式会社 | 自動運転制御装置 |
-
2012
- 2012-11-20 JP JP2012254005A patent/JP2014102673A/ja active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019189220A (ja) * | 2014-09-30 | 2019-10-31 | エイディシーテクノロジー株式会社 | 自動運転制御装置 |
| JP2019196171A (ja) * | 2014-09-30 | 2019-11-14 | エイディシーテクノロジー株式会社 | 自動運転制御装置 |
| WO2016080073A1 (ja) * | 2014-11-20 | 2016-05-26 | アプリックスIpホールディングス株式会社 | アプリケーション認証システム、無線通信システム、管理サーバ、および、認証情報発行方法 |
| JP2017157232A (ja) * | 2017-05-25 | 2017-09-07 | 日立マクセル株式会社 | 情報処理装置、アプリケーションソフトウェア起動システム及びアプリケーションソフトウェア起動方法 |
| JP2019056999A (ja) * | 2017-09-20 | 2019-04-11 | ファナック株式会社 | アプリケーションセキュリティ管理システム及びエッジサーバ |
| US10805335B2 (en) | 2017-09-20 | 2020-10-13 | Fanuc Corporation | Application security management system and edge server |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4159100B2 (ja) | 情報処理装置による通信を制御する方法およびプログラム | |
| EP2650809B1 (en) | Information processing device and information processing method | |
| JP2014142960A (ja) | ブラウザベースの不正行為防止方法およびシステム | |
| EP2453378A2 (en) | Apparatus and method for managing digital rights through hooking a kernel native API | |
| WO2020010192A1 (en) | Vehicular data privacy management systems and methods | |
| JP2014102673A (ja) | 車載機及びセキュリティシステム | |
| EP2255505B1 (en) | Selective filtering of network traffic requests | |
| US9460317B2 (en) | Data processor and storage medium | |
| US9876594B1 (en) | Accessing infotainment system using non-paired devices | |
| CN108229190B (zh) | 透明加解密的控制方法、装置、程序、存储介质和电子设备 | |
| CN106445702A (zh) | 多系统通信方法及终端 | |
| US20070061867A1 (en) | Information processing apparatus, method and computer product for controlling activation of application | |
| US9510182B2 (en) | User onboarding for newly enrolled devices | |
| US20090158295A1 (en) | Device settings restore point | |
| CA2846877C (en) | Content handling for applications | |
| KR101130088B1 (ko) | 악성 코드 탐지 장치 및 그 방법, 이를 위한 프로그램이 기록된 기록 매체 | |
| CN111753268B (zh) | 一种单点登录方法、装置、存储介质及移动终端 | |
| JP2009043154A (ja) | 情報漏洩防止方法及びシステム | |
| KR101716690B1 (ko) | 데이터 무단 엑세스 차단 방법 및 그 기능이 구비된 컴퓨팅 장치 | |
| KR100911345B1 (ko) | 컨텐츠 보안 방법 및 그 장치 | |
| CN106851648B (zh) | 一种用于分享无线接入点的接入信息的方法、装置与系统 | |
| US9223976B2 (en) | Content inspection | |
| JP2009217563A (ja) | 情報漏洩防止システム | |
| CN108595084A (zh) | 通知信息处理方法和系统、计算机设备和存储介质 | |
| JP2002304318A (ja) | コンピュータシステムおよびその使用制御方法 |