JP2017167916A - 情報処理システム - Google Patents

情報処理システム Download PDF

Info

Publication number
JP2017167916A
JP2017167916A JP2016053920A JP2016053920A JP2017167916A JP 2017167916 A JP2017167916 A JP 2017167916A JP 2016053920 A JP2016053920 A JP 2016053920A JP 2016053920 A JP2016053920 A JP 2016053920A JP 2017167916 A JP2017167916 A JP 2017167916A
Authority
JP
Japan
Prior art keywords
information processing
processing system
information
output
signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016053920A
Other languages
English (en)
Inventor
洋喜 鈴木
Hiroki Suzuki
洋喜 鈴木
岸上 友久
Tomohisa Kishigami
友久 岸上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2016053920A priority Critical patent/JP2017167916A/ja
Priority to US15/459,444 priority patent/US10445493B2/en
Publication of JP2017167916A publication Critical patent/JP2017167916A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60QARRANGEMENT OF SIGNALLING OR LIGHTING DEVICES, THE MOUNTING OR SUPPORTING THEREOF OR CIRCUITS THEREFOR, FOR VEHICLES IN GENERAL
    • B60Q9/00Arrangement or adaptation of signal devices not provided for in one of main groups B60Q1/00 - B60Q7/00, e.g. haptic signalling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Mechanical Engineering (AREA)
  • Stored Programmes (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】通信の負荷増加を抑制しつつ迅速に制御装置のソフトウェアの改ざんを検出する技術を提供する。【解決手段】車両に搭載して用いられる複数の制御装置21、23、25、27を含む情報処理システムであって、複数の制御装置に含まれる制御装置である特定制御装置21は、起動部と、判定部と、出力部と、を備える。起動部は、特定制御装置21を所定のプログラムの実行が可能な状態とする。判定部は、特定制御装置21が起動部によりプログラムの実行が可能な状態となる前に、所定の記憶領域42aに記憶された、少なくともプログラムを含むソフトウェアが改ざんされているか否かを判定する。出力部は、判定部によりソフトウェアが改ざんされていると判定されたときに、特定制御装置21を除く複数の制御装置23、25、27及び車両の外部に存在する情報処理装置のうちの少なくともいずれかに対して、所定の信号を出力する。【選択図】図2

Description

本発明は、車両の制御装置の異常を検出する技術に関する。
車載のElectronic Control Unit(以下、ECU)に対する不正な書き換えに対する対策が求められている。例えば、特許文献1では、車外に設けられた検証センタが複数のECUの検証メッセージを比較することで、ハッキングにより他のECUになりすましたECUの存在による車両の不正な状態を検出する技術が提案されている。
特開2014−138380号公報
しかしながら、車外の検証センタがメッセージを送信しあうECUごとに検証を行っているため、必ずしも即時に不正な状態を検出することができない。検出の即時性を向上させるためには検証センタとの通信を頻繁に行う必要が生じるが、その場合、通信の負荷が大きくなるという問題がある。
本発明は、通信の負荷増加を抑制しつつ迅速に制御装置のソフトウェアの改ざんを検出する技術を提供することを目的としている。
本開示の情報処理システム(1)は、車両(2)に搭載して用いられる複数の制御装置(21、23、25、27)を含んでおり、その複数の制御装置に含まれる制御装置である特定制御装置(21)は、起動部(41、S1、S2、S4、S5)と、判定部(41、S3)と、出力部(41、S8)と、を備える。
起動部は、当該特定制御装置を所定のプログラムの実行が可能な状態とする。判定部は、起動部により当該特定制御装置が上記プログラムを実行可能な状態となる前に、所定の記憶領域(42a)に記憶された、少なくとも上記プログラムを含むソフトウェアが改ざんされているか否かを判定する。
また出力部は、判定部により改ざんされていると判定されたときに、特定制御装置を除く複数の制御装置、及び、上記車両の外部に存在する情報処理装置(3、4、5)、のうちの少なくともいずれかに対して、所定の信号を出力する。
このような構成によれば、特定制御装置のソフトウェアに改ざんが発見されたときに、特定制御装置の外部に所定の信号が出力されるため、特定制御装置を起動させる際に特定制御装置のソフトウェアに改ざんがなされたことを検出することができる。また、ソフトウェアの改ざんを検出するために外部と通信を行う必要がなくなるため、通信の負荷の増大を抑制できる。
なお、この欄及び特許請求の範囲に記載した括弧内の符号は、一つの態様として後述する実施形態に記載の具体的手段との対応関係を示すものであって、本発明の技術的範囲を限定するものではない。
実施形態の情報処理システムの構成を示すブロック図である。 車載システムの構成を示すブロック図である。 ブート処理のフローチャートである。 異常表示処理のフローチャートである。 モード設定処理のフローチャートである。 走行制御処理のフローチャートである。 その他の実施形態の情報処理システムの構成を示すブロック図である。 その他の実施形態の情報処理システムの構成を示すブロック図である。
以下、図面を参照しながら、発明を実施するための形態を説明する。
[1.実施形態]
[1−1.構成]
図1に示す情報処理システム1は、車両2に搭載して用いられる車載システム11を含むシステムであって、車両2の外部の情報処理センターに設置されるセンター端末3と、携帯端末4と、所定の店舗に設置される固定端末5と、を有していてもよい。なお情報処理センター及び店舗は、センター端末3及び固定端末5が設置される場所の例を示しただけのものであって、その設置される場所は特に限定されない。
センター端末3は、車載システム11に設けられる後述する通信装置29、携帯端末4、及び固定端末5に対して、通信可能に構成されている。センター端末3及び固定端末5はいずれもCPU、メモリ等を有するコンピュータシステムであり、CPUがメモリに格納されたプログラムを実行することにより各種の機能を実現する。
携帯端末4は、マイクロコンピュータ、無線通信モジュール、ディスプレイ、スピーカー等を有しており、基地局を介したセンター端末3との通信や、画像表示及び音声出力などが可能に構成されている。
なお、センター端末3が情報受信装置の一例であり、携帯端末4及び固定端末5が通信端末の一例である。
図2に示すように、車載システム11は、それぞれ異なる機能を有する複数のElectronic Control Unit(以下、ECU)を有しており、通信線13を介して接続されている。複数のECUとしては、特定ECU21、メーターECU23、エンジンECU25、車外通信ECU27などを含む。車外通信ECU27は、通信装置29の一部を構成する。上述した複数のECUが複数の制御装置に相当し、特定ECU21が特定制御装置に相当する。
特定ECU21は、マイクロコントロールユニット(以下MCU)31と、トランシーバ33と、を備える。
MCU31は、CPU41と、RAM、ROM、フラッシュメモリ等の半導体メモリ(以下、メモリ42)と、を有する周知のマイクロコンピュータを中心に構成されており、更にブートROM43と通信コントローラ44とを備える。
MCU31の各種機能は、CPU41が非遷移的実体的記録媒体に格納されたプログラムを実行することにより実現される。この例では、メモリ42が、プログラムを格納した非遷移的実体的記録媒体に該当する。また、このプログラムの実行により、プログラムに対応する方法が実行される。なお、MCU31を構成するマイクロコンピュータの数は1つでも複数でもよい。
MCU31が実現する機能については特に限定されない。言い換えると、本実施形態の特定ECU21は様々な機能を実点するためのECUに適用することができる。なお以下の説明においては、MCU31により実行される主要な機能をメイン機能と記載する。このメイン機能が、所定の機能に相当する。
メモリ42により構成される記憶領域のうちの一部は、後述するブート処理においてソフトウェアの改ざんの有無が判定されるセキュリティ領域42aとして構成される。このセキュリティ領域42aには、MCU31がメイン機能を実現するために実行されるプログラム等のソフトウェアが記憶されている。セキュリティ領域42aが、所定の記憶領域に相当する。改ざんとは、例えばネットワークを介して実行される第三者による不正なデータの書き換えを意味する。
ブートROM43により構成される記憶領域43aには、特定ECU21の起動時に最初に実行されるプログラム等のソフトウェアや、セキュリティ領域42aに記憶されるソフトウェアの改ざんを判定するためのハッシュ値などが記憶されている。
なお、CPU41が特定ECU21の起動時にブートROM43から読み出したプログラムを実行することで実現される機能の構成として、起動部と、判定部と、出力部と、を備える。
起動部は、特定ECU21を所定のプログラムの実行が可能な状態である起動状態とする。ここでいうプログラムは、セキュリティ領域42aに記憶されるプログラムである。
判定部は、起動部が特定ECU21を起動状態とする前に、後述するセキュリティ領域42aに記憶された、上記プログラムを少なくとも含むソフトウェアが改ざんされているか否かを判定する。
出力部は、判定部により改ざんされていると判定されたときに、特定ECU21を除くECUのうちの少なくともいずれかに対して、特定ECU21の異常を通知する異常通知フレームである。この異常通知フレームが、所定の信号に相当する。
異常通知フレームには、例えば、車両情報、ID情報、セキュリティ領域42aに記憶されるソフトウェアのバージョン情報、時刻情報、位置情報が含まれるが、これらを全て含むものである必要はない。なおバージョン情報は、改ざんが行われる前のバージョンを示す情報である。
車両情報とは、特定ECU21が搭載される車両2を特定する情報である。なおこの車両情報には、車両2の車種を特定する情報と、車両2の個体を特定する情報と、が含まれているが、いずれか一方であっても良い。
ID情報とは、特定ECU21の個体を特定可能な情報である。
時刻情報とは、実質的に判定部により改ざんの有無の判定が行われた時刻を示す情報である。
位置情報とは、特定ECU21の位置、即ち車両2の位置を特定する情報であって、例えば、図示しないGNSSアンテナを介して受信したGNSS情報などを用いることができる。
通信コントローラ44は、CPU41が生成した制御信号を所定のプロトコルに従って通信線13に送出したり、通信線13を介して他のECUからの制御信号を受信し、CPU41に伝送したりする。
トランシーバ33は、通信コントローラ44と通信線13とに接続されており、通信線13上に流れているアナログ信号をデジタルデータに変換して通信コントローラ44に伝送したり、通信コントローラ44によって送出されるデジタル信号をアナログ信号に変換して通信線13に送出したりする。
メーターECU23は、インストルメントパネルに配置された、画像を表示するディスプレイや車両の状態を示すランプなどを備える表示装置24を制御して、車両の状態を搭乗者に認識させる。この表示装置24が、警告装置に相当する。
メーターECU23はCPU23aと、RAM、ROM、フラッシュメモリ等の半導体メモリ(以下、メモリ23b)と、を有する周知のマイクロコンピュータを中心に構成されており、CPU23aが非遷移的実体的記録媒体に格納されたプログラムを実行することにより上記の機能が実現される。この例では、メモリ23bが、プログラムを格納した非遷移的実体的記録媒体に該当する。
エンジンECU25は、メーターECU23同様にCPU25a、メモリ25bなどを有しており、CPU25aがプログラムを実行することにより、車両に搭載された駆動装置であるエンジン26の駆動制御が実現される。このエンジンECU25は、動作モードを通常のモードとは異なる安全制御モードに設定可能であり、安全制御モードに設定された場合には、通常のモードとは異なる制御を実行する。上記エンジン26が、駆動装置に相当する。
なお、車両2はエンジン以外の駆動装置、例えばモーターを用いる構成であってもよく、その場合にはエンジンECU25はモーターを制御する。
車外通信ECU27は、通信装置29の備える通信モジュール27cを制御してセンター端末3との通信を行う。例えば通信モジュール27cとしては移動体通信網を介して無線通信が可能なモジュールを採用することができるが、これ以外の通信を実現するものであってもよい。車外通信ECU27は、メーターECU23同様にCPU27a、メモリ27bなどを有しており、CPU27aがプログラムを実行することにより上記の機能が実現される。
[1−2.処理]
[1−2−1.特定ECU21による処理]
特定ECU21のCPU41が実行するブート処理について、図3のフローチャートを用いて説明する。本処理は、自車両のアクセサリスイッチがオンとなり、特定ECU21の電源がオンとなったときに開始される。
まずS1では、CPU41は、当該CPU41の初期化を実行する。具体的には、CPU41内部の図示しないキャッシュやレジスタ等を初期化する。
S2では、CPU41は、プログラムの初期化を実行する。ここでは、CPU41は、入出力ポートの設定と初期出力、変数の初期値設定などを行う。
S3では、CPU41は、セキュリティチェックを実行し、その結果が良好であるか否かを判定する。ここでいうセキュリティチェックとは、セキュリティ領域42aに記憶されるソフトウェアが改ざんされているか否かのチェックであり、上述した判定部により実行される。このソフトウェアにはプログラム及びプログラムの実行時に使用されるデータなどが含まれる。
具体的には、CPU41は、ブートROM43の記憶領域43aから参照ハッシュ値を読み出す。参照ハッシュ値とは、セキュリティ領域42aに記憶されるプログラム及びデータが改ざんされていない場合において算出されるハッシュ値である。続いてCPU41は、セキュリティ領域42aに記憶されるプログラム及びデータのハッシュ値を算出し、参照ハッシュ値と比較する。プログラム及びデータそれぞれについて、算出されたハッシュ値と参照ハッシュ値とが一致していれば、プログラム等の改ざんはなく、チェックの結果が良好であると判定され、何れか1つでも一致しないものがあれば、プログラム等に改ざんがあり、チェック結果は良好ではないと判定される。
このS3にてセキュリティチェックが良好と判定された場合、処理がS4に移行する。一方、セキュリティチェックが良好と判定されなかった場合、処理がS6に移行する。
S4では、CPU41は、その他のリセット及び初期化を実行する。ここでは、CPU41以外の特定ECU21全体の初期化を実行する。
S5では、CPU41は、特定ECU21によるメイン機能を実現するためのメイン処理を開始する。具体的には、セキュリティ領域42aに記憶されているプログラムを読み出して実行する。このS5の後、本ブート処理を終了する。
S6では、CPU41は、トランシーバ33を初期化する。また続くS7では、CPU41は、通信コントローラ44を初期化する。これらの処理により、特定ECU21は、車内の他のECUと通信が可能な状態となる。
S8では、CPU41は、異常通知フレームを通信線13上に出力する。これにより、異常通知フレームが他のECUに送信される。この処理が、出力部による処理である。
S9では、CPU41は、ECU全体をリセットする。その後、処理がS1に戻る。つまり、いわゆる再起動が実行される。
[1−2−2.メーターECU23による処理]
メーターECU23のCPU23aが実行する異常表示処理について、図4のフローチャートを用いて説明する。本処理は、特定ECU21から出力された異常通知フレームを最初に受信したときに開始される。
まずS21では、CPU23aは、異常通知フレームを最初に受信してから一定時間経過したか否かを判定する。ここでいう一定時間は、表示装置24に異常である旨を表示する時間である。このS21にて一定時間を経過したと判定された場合、処理がS23に移行する。一方、一定時間を経過したと判定されなかった場合、処理がS22に移行する。
S22では、CPU23aは、表示装置24に対して異常がある旨の表示を実行させる表示処理を行わせる。例えば、CPU23aは異常を示すランプを点灯又は点滅させたり、ディスプレイに異常である旨を示す画像を表示させたりする。
S23では、CPU23aは、表示処理を終了する。即ち、CPU23aは表示装置によるランプの点灯や画像の表示を停止させる。このS23の後、本処理を終了する。
[1−2−3.エンジンECU25による処理]
エンジンECU25のCPU25aが実行するモード設定処理について、図5のフローチャートを用いて説明する。本処理は、特定ECU21から出力された異常通知フレームを最初に受信したときに開始される。
本処理では、S31にて、CPU25aは、エンジンECU25の動作モードを安全制御モードに設定する。その後、本処理を終了する。
次に、CPU25aが実行する走行制御処理について、図6のフローチャートを用いて説明する。本処理は、S31にて動作モードが安全制御モードに設定されたときに開始される。
まずS32では、CPU25aは、車両が走行中であるか否かを判定する。具体的には、車両に備えられた図示しない車速センサの出力に基づき、車両の走行速度が0km/hであれば走行中でないと判定し、走行速度が0km/hでなければ走行中であると判定する。なお走行中か否かは、車速センサの出力以外に基づいて判定してもよい。例えばエンジンの駆動状態や車両2の位置の変化などから判定することができる。
このS32にて走行中であると判定された場合、処理がS34に移行する。一方、走行中であると判定されなかった場合、処理がS33に移行する。
S33では、CPU25aは、エンジンを停止させる。また、運転者がエンジンを起動する操作を行ってもエンジンの起動を実行しないように設定する。このS33の後、本処理を終了する。
S34では、CPUは、減速走行を行う。ここでいう減速走行とは、加速は行わず、速度を徐々に低下させて最終的には走行速度を0km/hとする制御である。車両停止後、処理がS23に移行する。このS34の後、本処理を終了する。
なお、S33、S34では、エンジンの駆動を制限する制御について例示したが、上記以外の制限を行ってもよい。例えば、上述した減速走行に代えて、所定速度以上の速度では走行できない減速走行を実行してもよい。具体的には、走行速度を徐々に所定速度(一例として、30km/h)まで落とし、それ以降は所定速度までしか加速できないように制御することが考えられる。
[1−2−4.車外通信ECU27による処理]
通信装置29の備える車外通信ECU27のCPU27aは、特定ECU21から出力された異常通知フレームを受信したときに、センター端末3に向けて第1信号を送信する。この第1信号には、車両情報、ID情報、セキュリティ領域42aに記憶されるソフトウェアのバージョン情報、時刻情報、位置情報が含まれており、これらの情報が3に出力される。なお、第1信号はこれらを全て含むものである必要はない。
[1−3.車両外部における処理]
センター端末3は、通信装置29から第1信号を受信すると、携帯端末4への通知と、固定端末5への通知と、を行うことができる。
[1−3−1.携帯端末4への通知]
センター端末3は、第1信号を受信したときは、携帯端末4に対し、第2信号(a)を送信する。センター端末3には、車両2を特定する情報に紐つけて携帯端末4を特定可能な情報が記憶されている。センター端末3が第1信号を受信したときは、その第1信号に含まれる車両情報に基づいて携帯端末4が特定され、上述した第2信号(a)が送信される。
携帯端末4では、特定ECU21に異常が発生した旨や、特定ECU21の点検が必要である旨などがディスプレイに表示される。なお、ディスプレイに表示される内容は特に限定されない。例えば、異常を解消するために必要な修理等を行うことができる事業者の所在を表示する構成や、必要な処理を案内するサービスセンターの電話番号を表示する構成であってもよい。
[1−3−2.固定端末5への通知]
センター端末3は、第1信号を受信したときは、固定端末5に対し、第2信号(b)を送信する。固定端末5は、例えば、車両メーカー、車両販売ディーラー、修理工場、ロードサービス事業者などの事業所に設置される端末である。
センター端末3は、第1信号を受信したときは、車両メーカーや車両販売ディーラーには、ID情報やソフトウェアのバージョンなどを示す情報が含まれる信号を送信する。車両メーカーや車両販売ディーラーは、その情報を元に脆弱性のある車種と同じ特定ECU21や同じソフトウェアが搭載された他の車種や車両を特定し、次の攻撃の前に注意喚起を行ったり、対策を講じることで被害の拡大を抑制したりすることができる。
またセンター端末3は、第1信号を受信したときは、その第1信号に含まれる位置情報に基づいて、車両2の近隣の車両販売ディーラー、修理工場やロードサービス事業者に設置される固定端末5に、異常が発生した旨を示す情報を送信する。この場合には、固定端末5に、車両2の制御装置21に異常が発生した旨や、点検の要請などを出力させることができる。
[1−4.効果]
以上詳述した実施形態によれば、以下の効果が得られる。
(1a)特定ECU21は、起動時のセキュリティチェックにおいて改ざんが発見されたときは、再起動を行う前に異常通知フレームを通信線13に送出する。よって、即時に特定ECU21の異常を特定ECU21の外部に知らせることができる。また異常が発見されたときに通信装置29から異常発生通知がセンター端末3に送信されることから、異常を検出することを目的として通信装置29とセンター端末3とが通信行う必要がなくなり、通信の負荷の増大を抑制できる。
(1b)特定ECU21は、起動時に実行するセキュリティチェックを、書き換え不能なROMに記憶された参照ハッシュ値と、セキュリティ領域42aに記憶されているソフトウェアから算出したハッシュ値と、を比較することにより実行するため、改ざんの検出を高精度に実行することができる。
(1c)車外通信ECU27は、センター端末3や固定端末5に対して、ID情報、位置情報、及びソフトウェアのバージョン情報などを通知することで、問題のある車両の特定、問題のあるソフトウェアの特定を容易に実現させることができる。
(1d)特定ECU21に改ざんが検出された場合は、表示装置24や携帯端末4により車両の搭乗者や携帯端末4の使用者に通知がなされるため、それらユーザは迅速に異常を認識することができる。その結果、車両2の走行中であれば、特定ECU21の異常に起因する危険を回避しやすくなり、また改ざんがなされたECUが搭載された車両に搭乗してしまう危険を低減し、迅速に修理や点検を行わせることができる。
[2.他の実施形態]
以上、本発明を実施するための形態について説明したが、本発明は上述の実施形態に限定されることなく、種々変形して実施することができる。
(2a)上記実施形態では、特定ECU21において改ざんが発見された場合には、通信装置29がセンター端末3に第1信号を送信し、センター端末3が携帯端末4及び固定端末5に第2信号を送信する構成を例示した。
しかしながら、図7に示すように、センター端末3を介さずに、通信装置29が携帯端末4又は固定端末5に信号を送信するように構成されていてもよい。また携帯端末4に対して無線通信を行う場合は、移動体通信網を介さずに、無線LANや近距離無線通信の規格に基づく通信を行うように構成されていてもよい。なおこの構成において、携帯端末4が無線通信端末に相当し、通信装置29から携帯端末4に送信される信号が特定信号に相当する。
また、図8に示すように、特定ECU21自体が通信モジュール22を備えており、車載システム11内で通信装置29に情報の送信することなく、センター端末3、携帯端末4、及び固定端末5に対して、出力部が異常通知フレームを送信するように構成されていてもよい。なお、この図8に示す構成において、センター端末3、携帯端末4、及び固定端末5が、車両の外部に存在する情報処理装置に相当する。なお、携帯端末4は、携帯端末4の使用者への異常が発生した旨の通知、及び、点検の警告のうち少なくともいずれか一方を実行可能に構成されており、異常通知フレームを受信した場合には、上述した異常が発生した旨の通知及び警告のうち少なくともいずれか一方を実行する。
(2b)上記実施形態では、MCU31がメイン機能を実現するためのソフトウェアがセキュリティ領域42aに記憶されており、当該ソフトウェアに改ざんがされているか否かが判定される構成を例示した。しかしながら、MCU31は、メイン機能を実現するためには複数の階層のプログラムを実行する必要があり、各階層のプログラムを実行するごとにセキュリティチェックが実行されるように構成されていてもよい。
例えば、ブートROM43に記憶されたプログラムによりファームウェアの起動とセキュリティチェックが実行され、起動されたファームウェアによってオペレーションシステムの起動とセキュリティチェックが実行されるように構成することが考えられる。
そして、このように複数階層のプログラムを実行する構成において、それぞれのプログラムの起動時において改ざんが発見された場合に出力部が異常通知フレームを通信線13上に送出する構成としてもよいし、所定の階層のプログラム起動時において改ざんが発見された場合にのみ出力部が異常通知フレームを通信線13上に送出する構成としてもよい。
(2c)上記実施形態では、通信線13により車載システム11の他のECUに異常通知フレームを通知する構成を例示したが、異常通知フレームを通知するための専用線を準備しておき、その専用線を用いて異常通知フレームを送信する構成としてもよいし、無線通信により異常通知フレームを送信する構成としてもよい。
(2d)車外通信ECU27は、改ざんが検出された後、車外からの通信を遮断するように構成されていてもよい。車外からの通信を遮断することで、更に外部からの攻撃を受けたり、異常のあるECUが外部に不適切な信号を出力してしまったりすることを抑制できる。
(2e)上記実施形態においては、通信線13に異常通知フレームが出力されたとき、メーターECU23が表示装置24に異常等を表示させる構成を例示したが、メーターECU23が制御する表示装置24以外の装置において警告を行う構成であってもよい。例えば、映像や音声を出力する装置において、画像表示や音声出力による警告が実行されるように構成されていてもよい。
(2f)特定ECU21はその機能を特に限定していないが、様々な機能を有するECUにおいて、上記実施形態の構成を採用することができる。メーターECU23、エンジンECU25、車外通信ECU27において、特定ECU21と同様のセキュリティチェック及び異常通知フレームの出力を行うように構成されていてもよい。
(2g)上記実施形態においては、特定ECU21において改ざんが検出された場合には、車両に搭載される他のECU、センター端末3、携帯端末4、固定端末5に対して直接又は間接的に信号が送信される構成を例示したが、送信される対象となる装置は上記実施例の内容に何ら限定されず、車載システム11を構成する様々な装置や、車両2の外部に存在する様々な装置に対して信号を送信するように構成できる。
(2h)上記実施形態においては、ハッシュ値を参照することにより改ざんを検出する構成を例示したが、それ以外の手法により改ざんを検出してもよい。例えば、チェックサムを比較する方法で改ざんを判定してもよい。
(2i)上記各実施形態における1つの構成要素が有する機能を複数の構成要素に分担させたり、複数の構成要素が有する機能を1つの構成要素に発揮させたりしてもよい。また、複数の構成要素が有する複数の機能を、1つの構成要素によって実現したり、複数の構成要素によって実現される1つの機能を、1つの構成要素によって実現したりしてもよい。また、上記実施形態の構成の一部を省略してもよい。また、上記実施形態の構成の少なくとも一部を、他の上記実施形態の構成に対して付加又は置換してもよい。なお、特許請求の範囲に記載した文言のみによって特定される技術思想に含まれるあらゆる態様が本発明の実施形態である。
(2j)上述した情報処理システム1の他、当該情報処理システム1の構成要素である特定ECU21、特定ECU21としてコンピュータを機能させるためのプログラム、このプログラムを記録した半導体メモリ等の非遷移的実態的記録媒体、制御装置の起動方法など、種々の形態で本発明を実現することもできる。
1…情報処理システム、2…車両、3…センター端末、4…携帯端末、5…固定端末、21…特定ECU、41…CPU、42a…セキュリティ領域

Claims (10)

  1. 車両(2)に搭載して用いられる複数の制御装置(21、23、25、27)を含む情報処理システム(1)であって、
    前記複数の制御装置に含まれる制御装置である特定制御装置(21)は、
    当該特定制御装置を所定のプログラムの実行が可能な状態とする起動部(41、S1、S2、S4、S5)と、
    当該特定制御装置が前記起動部により前記プログラムの実行が可能な状態となる前に、所定の記憶領域(42a)に記憶された、少なくとも前記プログラムを含むソフトウェアが改ざんされているか否かを判定する判定部(41、S3)と、
    前記判定部により前記ソフトウェアが改ざんされていると判定されたときに、前記特定制御装置を除く前記複数の制御装置、及び、前記車両の外部に存在する情報処理装置(3、4、5)、のうちの少なくともいずれかに対して、所定の信号を出力する出力部(41、S8)と、を備える、情報処理システム。
  2. 請求項1に記載の情報処理システムであって、
    前記判定部は、前記所定の記憶領域を第1の記憶領域としたときに、前記第1の記憶領域に記憶される前記ソフトウェアに基づいて算出されるハッシュ値と、前記第1の記憶領域とは異なる第2の記憶領域(43a)に記憶されたハッシュ値と、を比較し、一致しない場合に改ざんが成されたと判定する、情報処理システム。
  3. 請求項1又は請求項2に記載の情報処理システムであって、
    前記出力部は、前記特定制御装置を除く前記複数の制御装置の少なくともいずれか1つに対して、以下の(i)〜(iii)のいずれかにより前記所定の信号を出力する、情報処理システム。
    (i)前記複数の制御装置の通信を実現するための通信線(13)を用いて前記所定の信号を出力する
    (ii)前記所定の信号を出力するための専用線を用いて前記所定の信号を出力する
    (iii)無線通信により、前記所定の信号を出力する
  4. 請求項1から請求項3までのいずれか1項に記載の情報処理システムであって、
    前記出力部により出力される前記所定の信号には、前記特定制御装置が搭載される車両の車種を特定可能な情報、前記特定制御装置を特定可能な情報、前記特定制御装置に記憶されるソフトウェアのバージョン、時刻情報、及び位置情報のうち、少なくともいずれか1つが含まれる、情報処理システム。
  5. 請求項1から請求項4までのいずれか1項に記載の情報処理システムであって、
    前記特定制御装置を除く前記複数の制御装置の少なくともいずれか1つ(23)は、前記車両の搭乗者に対して画像表示及び音声出力のうち少なくともいずれか1つを用いた警告を実行可能な警告装置(24)を制御するものであって、前記出力部により出力された前記所定の信号を受信した場合には、前記警告装置に前記警告を実行させる、情報処理システム。
  6. 請求項1から請求項5までのいずれか1項に記載の情報処理システムであって、
    前記特定制御装置を除く前記複数の制御装置の少なくともいずれか1つ(25)は、前記車両に搭載された駆動装置(26)の駆動を制御するものであって、前記出力部により出力された前記所定の信号を受信した場合には、前記駆動装置の駆動を制限する、情報処理システム。
  7. 請求項1から請求項6までのいずれか1項に記載の情報処理システムであって、
    前記特定制御装置を除く前記複数の制御装置の少なくともいずれか1つ(27)は、前記情報処理システムの外部に存在する情報受信装置(3、4、5)に情報を出力可能に構成されており、前記出力部により出力された前記所定の信号を受信した場合には、前記特定制御装置を特定可能な情報、及び、前記特定制御装置に記憶されるソフトウェアのバージョンを示す情報のうち少なくともいずれか1つを、前記情報受信装置に送信する、情報処理システム。
  8. 請求項1から請求項7までのいずれか1項に記載の情報処理システムであって、
    前記情報処理装置は、該情報処理装置の使用者に対して、異常が発生した旨の通知、及び、点検を行うべき旨の通知のうち少なくともいずれか1つの通知を実行可能に構成されており、前記出力部により出力された前記所定の信号を受信した場合には、前記通知のうちの少なくともいずれか1つを実行する、情報処理システム。
  9. 請求項1から請求項6までのいずれか1項に記載の情報処理システムであって、
    前記特定制御装置を除く前記複数の制御装置の少なくともいずれか1つ(27)は、前記情報処理システムの外部に存在する無線通信端末(4)に信号を送信可能に構成されており、前記出力部により出力された前記所定の信号を受信した場合には、少なくとも、前記特定制御装置を特定可能な情報を含む信号である特定信号を前記無線通信端末に出力し、
    前記無線通信端末は、該無線通信端末の使用者に対して、異常が発生した旨の通知、及び、点検を行うべき旨の通知のうち少なくともいずれか一方の通知を実行可能に構成されており、前記特定信号を受信した場合には、前記通知のうちの少なくともいずれか1つを実行する、情報処理システム。
  10. 請求項1から請求項6までのいずれか1項に記載の情報処理システムであって、
    前記特定制御装置を除く前記複数の制御装置の少なくともいずれか1つ(27)は、前記情報処理システムの外部に存在する情報受信装置(3)に信号を送信可能に構成されており、前記出力部により出力された前記所定の信号を受信した場合には、少なくとも、前記特定制御装置を特定可能な情報を含む信号である第1信号を前記情報受信装置に出力し、
    前記情報受信装置は、前記情報処理システムの外部に存在する通信端末(4、5)に信号を送信可能に構成されており、前記第1信号を受信した場合には、第2信号を前記通信端末に送信し、
    前記通信端末は、該通信端末の使用者に対して、異常が発生した旨の通知、及び、点検を行うべき旨の通知のうち少なくともいずれか一方の通知を実行可能に構成されており、前記情報受信装置により送信された前記第2信号を受信した場合には、前記通知のうちの少なくともいずれか1つを実行する、情報処理システム。
JP2016053920A 2016-03-17 2016-03-17 情報処理システム Pending JP2017167916A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016053920A JP2017167916A (ja) 2016-03-17 2016-03-17 情報処理システム
US15/459,444 US10445493B2 (en) 2016-03-17 2017-03-15 Information processing system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016053920A JP2017167916A (ja) 2016-03-17 2016-03-17 情報処理システム

Publications (1)

Publication Number Publication Date
JP2017167916A true JP2017167916A (ja) 2017-09-21

Family

ID=59855790

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016053920A Pending JP2017167916A (ja) 2016-03-17 2016-03-17 情報処理システム

Country Status (2)

Country Link
US (1) US10445493B2 (ja)
JP (1) JP2017167916A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019125892A (ja) * 2018-01-15 2019-07-25 株式会社東芝 電子装置、方法、プログラム及びサーバ、方法、プログラム
WO2020079943A1 (ja) * 2018-10-17 2020-04-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 情報処理装置、情報処理方法及びプログラム
WO2020079928A1 (ja) * 2018-10-17 2020-04-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 情報処理装置、情報処理方法及びプログラム
JP2020065242A (ja) * 2018-10-17 2020-04-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 情報処理装置、情報処理方法及びプログラム
CN112989431A (zh) * 2019-12-16 2021-06-18 北京车和家信息技术有限公司 车载设备的系统文件检测方法、装置及车载设备
WO2022190408A1 (ja) * 2021-03-09 2022-09-15 日立Astemo株式会社 分析装置

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11088842B1 (en) 2018-01-30 2021-08-10 State Farm Mutual Automobile Insurance Company Vehicle configuration verification using cryptographic hash chains
EP3547192B1 (en) * 2018-03-30 2022-10-26 AO Kaspersky Lab System and method of blocking a computer attack on a means of transportation
RU2706887C2 (ru) * 2018-03-30 2019-11-21 Акционерное общество "Лаборатория Касперского" Система и способ блокирования компьютерной атаки на транспортное средство

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130111271A1 (en) * 2011-10-28 2013-05-02 GM Global Technology Operations LLC Using a manifest to record presence of valid software and calibration
JP2014151720A (ja) * 2013-02-06 2014-08-25 Toyota Motor Corp 改竄検知システム、電子制御ユニット

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6678606B2 (en) * 2001-09-14 2004-01-13 Cummins Inc. Tamper detection for vehicle controller
US20050174217A1 (en) * 2004-01-29 2005-08-11 Basir Otman A. Recording and reporting of driving characteristics
US7401234B2 (en) * 2004-03-01 2008-07-15 Freescale Semiconductor, Inc. Autonomous memory checker for runtime security assurance and method therefore
US7729824B2 (en) * 2005-07-29 2010-06-01 Gm Global Technology Operations, Inc. Remote diagnostic system for detecting tampering of vehicle calibrations
JP2008143418A (ja) 2006-12-12 2008-06-26 Hitachi Ltd データ書き換え状態表示制御装置
EP2471020B1 (en) * 2009-08-28 2019-10-02 Volvo Lastvagnar AB Tampering detection method
JP5641244B2 (ja) * 2011-09-12 2014-12-17 トヨタ自動車株式会社 車両用ネットワークシステム及び車両用情報処理方法
US20140143839A1 (en) * 2011-11-16 2014-05-22 Flextronics Ap, Llc. On board vehicle remote control module
WO2013090282A1 (en) * 2011-12-12 2013-06-20 Clay Skelton Systems, devices and methods for vehicles
US8881308B2 (en) * 2012-09-12 2014-11-04 GM Global Technology Operations LLC Method to enable development mode of a secure electronic control unit
JP5949572B2 (ja) 2013-01-18 2016-07-06 トヨタ自動車株式会社 車両不正状態検出方法、車載システムにおける制御方法、およびシステム
JP6338949B2 (ja) * 2014-07-04 2018-06-06 国立大学法人名古屋大学 通信システム及び鍵情報共有方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130111271A1 (en) * 2011-10-28 2013-05-02 GM Global Technology Operations LLC Using a manifest to record presence of valid software and calibration
JP2014151720A (ja) * 2013-02-06 2014-08-25 Toyota Motor Corp 改竄検知システム、電子制御ユニット

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019125892A (ja) * 2018-01-15 2019-07-25 株式会社東芝 電子装置、方法、プログラム及びサーバ、方法、プログラム
WO2020079943A1 (ja) * 2018-10-17 2020-04-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 情報処理装置、情報処理方法及びプログラム
WO2020079928A1 (ja) * 2018-10-17 2020-04-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 情報処理装置、情報処理方法及びプログラム
JP2020065242A (ja) * 2018-10-17 2020-04-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 情報処理装置、情報処理方法及びプログラム
JP7344009B2 (ja) 2018-10-17 2023-09-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 情報処理装置、情報処理方法及びプログラム
CN112989431A (zh) * 2019-12-16 2021-06-18 北京车和家信息技术有限公司 车载设备的系统文件检测方法、装置及车载设备
WO2022190408A1 (ja) * 2021-03-09 2022-09-15 日立Astemo株式会社 分析装置

Also Published As

Publication number Publication date
US10445493B2 (en) 2019-10-15
US20170270291A1 (en) 2017-09-21

Similar Documents

Publication Publication Date Title
JP2017167916A (ja) 情報処理システム
KR102471498B1 (ko) 차량을 진단하는 전자 장치 및 방법
WO2015076280A1 (ja) 車両状態の監視システム及び携帯端末装置
US20150113638A1 (en) Electronic system for detecting and preventing compromise of vehicle electrical and control systems
CN108263312A (zh) 车辆故障报警方法及装置
JP2014129037A (ja) 車載情報装置、通信端末、警告音出力制御装置、および警告音出力制御方法
US10237899B2 (en) Wireless terminal and instruction processing method thereof
US20170034766A1 (en) System and method for disabling functions of mobile communication device
JP2010205123A (ja) 運転支援方法、運転支援装置及び運転支援用プログラム
KR101557283B1 (ko) 차량 주행 거리 조작 검출 장치 및 그 방법
WO2018000376A1 (zh) 一种爆胎预警方法及装置
KR102077763B1 (ko) 차량의 bcm을 활용한 충돌 감지 장치 및 시스템
US11765592B2 (en) In-vehicle device to connect to information terminal and in-vehicle system
JP2006270564A (ja) 通知システム、通信端末、携帯電話機、通知方法、プログラム、記録媒体
JP2019129500A (ja) なりすまし検出装置、検出方法、およびコンピュータプログラム
US20220250655A1 (en) Mobility control system, method, and program
US20220283798A1 (en) Mobility control system, method, and program
KR101937535B1 (ko) 투명 디스플레이를 이용한 차량용 디스플레이 장치 및 방법
WO2018187967A1 (en) Apparatus, server and method for vehicle sharing
WO2014185045A1 (ja) 表示制御装置、表示制御方法、及びそのプログラム
JP5326717B2 (ja) 携帯端末、並びにその制御方法及びプログラム
JP6305199B2 (ja) 通信制御装置及び通信制御方法
CN112721548B (zh) 汽车的轮胎报警方法、装置及计算机存储介质
JP2008002832A (ja) 車載ナビゲーション装置
JP2018022392A (ja) 緊急警報システム、車両、および緊急警報方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180605

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190314

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190416

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20191015