JP2018074547A - 車載ネットワークシステム - Google Patents

車載ネットワークシステム Download PDF

Info

Publication number
JP2018074547A
JP2018074547A JP2016216625A JP2016216625A JP2018074547A JP 2018074547 A JP2018074547 A JP 2018074547A JP 2016216625 A JP2016216625 A JP 2016216625A JP 2016216625 A JP2016216625 A JP 2016216625A JP 2018074547 A JP2018074547 A JP 2018074547A
Authority
JP
Japan
Prior art keywords
security level
level
determination unit
vehicle
external device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016216625A
Other languages
English (en)
Other versions
JP6485429B2 (ja
Inventor
博哉 安藤
Hiroya Ando
博哉 安藤
秀 石塚
Shu Ishizuka
秀 石塚
将志 雨皿
Masashi Amesara
将志 雨皿
上田 豊
Yutaka Ueda
豊 上田
俊雄 川村
Toshio Kawamura
俊雄 川村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2016216625A priority Critical patent/JP6485429B2/ja
Priority to EP17195308.6A priority patent/EP3319294B1/en
Priority to US15/728,701 priority patent/US10523683B2/en
Priority to CN201711063640.7A priority patent/CN108023872B/zh
Publication of JP2018074547A publication Critical patent/JP2018074547A/ja
Application granted granted Critical
Publication of JP6485429B2 publication Critical patent/JP6485429B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Mechanical Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】外部装置が回線に接続される場合や車載のネットワークが車外のネットワークに接続される場合に、セキュリティレベルの確保と、通信速度の低下抑制とを両立した車載ネットワークシステムを提供する。
【解決手段】車載ネットワークシステム100は、複数の制御部121〜123と、複数の制御部に接続される複数の第1回線131〜133と、外部装置又は無線通信装置を接続可能な接続部140と、接続部に接続される接続回線141と、複数の第1回線及び接続回線の間を中継する中継装置110Aとを含む。中継装置は、接続部に外部装置又は無線通信装置が接続された状態で、その装置の種類又は通信状態に応じて、複数の制御部の間でのデータ通信におけるセキュリティレベルを上昇させるかどうかを判定するレベル判定部と、レベル判定部によってセキュリティレベルを上昇させると判定されると、セキュリティレベルを上昇させるレベル設定部とを有する。
【選択図】図1

Description

本発明は、車載ネットワークシステムに関する。
従来より、車両の外部の装置、又は、車両の外部から持ち込まれる装置(以下、外部装置)にインターフェイスを介して接続可能なバス(グローバル通信バス)であって、複数の制御装置又はセンサが接続されるバスに接続される運転支援装置がある。この運転支援装置は、バスを介して複数の制御装置又はセンサから供給される情報に基づいて車両の運転支援制御を行う。
また、この運転支援装置は、バスに接続される複数の制御装置又はセンサのうちのいずれかに故障が生じた場合に、故障が生じていない制御装置又はセンサから供給される情報に基づいて運転支援制御を継続するとともに、バスを経由したデータ通信のセキュリティレベルを、いずれの制御装置又はセンサに故障が生じていない場合よりも高くする(例えば、特許文献1参照)。
特開2016−097748号公報
ところで、従来の運転支援装置は、上述のようなバスによって構築されるネットワークに外部装置が接続される場合に、ネットワークにおけるデータ通信のセキュリティレベルを高くすることは行っていない。
外部装置の中には、上述のようなネットワークに接続して問題が生じない外部装置と、問題が生じうる外部装置とがある。近年は、情報技術の発展により、様々な種類の外部装置があるため、問題が生じうる外部装置の数は増えている。問題が生じない外部装置は、例えば、車両の診断装置や車両の製造メーカが承認した純正の装置である。また、問題が生じうる外部装置は、例えば、車両の製造メーカが承認していない非純正の装置である。
このように、問題が生じうる外部装置がバスに接続される場合に、セキュリティレベルを高くしないと、車載のネットワークやネットワークに接続される制御装置等に影響が生じるおそれがある。
また、このような問題は、問題が生じうる外部装置が物理的な回線であるバスに接続される場合に限らず、仮想的な回線に接続される場合においても同様に生じ得る。さらに、このような問題は、問題が生じうる外部装置が物理的に回線に接続される場合に加えて、車載のネットワークが無線通信装置を介して車両の外部のネットワークに接続される場合にも同様に生じ得る。
また、その一方で、ネットワーク全体でデータ通信のセキュリティレベルを常に高くすると、通信に要する時間が増大し、通信速度が低下するおそれがある。
そこで、外部装置が回線に接続される場合や車載のネットワークが車外のネットワークに接続される場合に、セキュリティレベルの確保と、通信速度の低下抑制とを両立した車載ネットワークシステムを提供することを目的とする。
本発明の実施の形態の車載ネットワークシステムは、
複数の第1制御部と、
前記複数の第1制御部にそれぞれ接続される複数の第1回線と、
外部装置又は無線通信装置を接続可能な接続部と、
前記接続部に接続される接続回線と、
前記複数の第1回線を介して前記複数の第1制御部に接続されるとともに、前記接続回線を介して前記接続部に接続され、前記複数の第1回線及び前記接続回線の間を中継する第1中継装置と
を含み、
前記第1中継装置は、
前記接続部に前記外部装置又は前記無線通信装置が接続された状態で、前記外部装置の種類又は前記無線通信装置の通信状態に応じて、前記複数の第1制御部の間でのデータ通信におけるセキュリティレベルを上昇させるかどうかを判定するレベル判定部と、
前記レベル判定部によって前記セキュリティレベルを上昇させると判定されると、前記セキュリティレベルを上昇させる第1レベル設定部と
を有する。
このように、外部装置の種類又は無線通信装置の通信状態に応じて、複数の第1制御部の間でのデータ通信におけるセキュリティレベルを上昇させるかどうかを判定するので、車載ネットワークシステムに影響を与えるような外部装置が接続される場合や、無線通信装置の通信状態の場合に、セキュリティレベルを上昇させることができる。換言すれば、このような状況ではないときには、セキュリティレベルを上昇させずに済む。
従って、外部装置が回線に接続される場合や車載のネットワークが車外のネットワークに接続される場合に、セキュリティレベルの確保と、通信速度の低下抑制とを両立した車載ネットワークシステムを提供することができる。
本発明の他の実施の形態の車載ネットワークシステムでは、
前記第1中継装置は、前記外部装置の種類を判定する種類判定部をさらに有し、
前記レベル判定部は、前記種類判定部によって判定された前記種類に基づいて、前記セキュリティレベルを上昇させるかどうか判定する。
このように、種類判定部を有することで、外部装置が接続される場合に、外部装置の種類をより確実に判定することができる。
従って、レベル判定部は、外部装置が接続される場合に、種類判定部によって判定された外部装置の種類に基づいて、セキュリティレベルを上昇させるかどうかをより確実に判定することができ、セキュリティレベルの確保と、通信速度の低下抑制とを両立した車載ネットワークシステムを提供することができる。
本発明の他の実施の形態の車載ネットワークシステムでは、
前記レベル判定部は、前記種類判定部によって判定された前記種類と、車両の運行状態、又は、車両のイグニッションの状態とに基づいて、前記複数の第1回線におけるセキュリティレベルを上昇させるかどうか判定する。
このように、外部装置が接続される場合に、レベル判定部は、外部装置の種類に加えて、車両の運行状態、又は、車両のイグニッションの状態を考慮して、セキュリティレベルを上昇させるかどうか判定する。
従って、レベル判定部は、外部装置が接続される場合に、外部装置の種類に加えて、車両の運行状態、又は、車両のイグニッションの状態を考慮して、より様々な状況に応じて、セキュリティレベルを上昇させるかどうかを判定することができ、セキュリティレベルの確保と、通信速度の低下抑制とを両立した車載ネットワークシステムを提供することができる。
本発明の他の実施の形態の車載ネットワークシステムでは、
前記レベル判定部は、前記種類判定部によって判定された前記種類が前記セキュリティレベルを上昇させる対象に該当する場合に、前記車両の運行状態が停止状態である場合よりも、前記車両の運行状態が走行状態である場合の方が前記セキュリティレベルが高くなるように、前記セキュリティレベルを上昇させると判定する。
このように、種類判定部によって判定された種類がセキュリティレベルを上昇させる対象に該当する場合において、車両の運行状態が停止状態である場合よりも、走行状態である場合に、セキュリティレベルが高くなるようにする。
従って、車両の走行状態にある場合におけるセキュリティレベルを高くすることにより、走行状態の車両の安全性をより向上させてセキュリティレベルを確保するとともに、通信速度の低下を抑制した車載ネットワークシステムを提供することができる。
本発明の他の実施の形態の車載ネットワークシステムでは、
前記レベル判定部は、前記車両の運行状態が前記停止状態である場合には、前記セキュリティレベルを維持すると判定する。
このように、車両の運行状態が停止状態である場合には、セキュリティレベルを上昇させずに維持することにより、運行状態が停止状態にある場合に、通信容量の大きい通信を可能にすることができ、走行状態におけるセキュリティレベルの確保と、停止状態における通信速度の低下抑制とを両立した車載ネットワークシステムを提供することができる。
本発明の他の実施の形態の車載ネットワークシステムでは、
前記レベル判定部は、前記種類判定部によって判定された前記種類が前記セキュリティレベルを上昇させる対象に該当する場合に、前記車両のイグニッションの状態がオフ又はアクセサリーモードである場合よりも、前記車両のイグニッションの状態がオンである場合の方が前記セキュリティレベルが高くなるように、前記セキュリティレベルを上昇させると判定する。
このように、種類判定部によって判定された種類がセキュリティレベルを上昇させる対象に該当する場合において、車両のイグニッションの状態がオフ又はアクセサリーモードである場合よりも、イグニッションの状態がオンである場合に、セキュリティレベルが高くなるようにする。
従って、イグニッションの状態がオンである場合におけるセキュリティレベルを高くすることにより、イグニッションの状態がオンである車両の安全性をより向上させてセキュリティレベルを確保するとともに、通信速度の低下を抑制した車載ネットワークシステムを提供することができる。
本発明の他の実施の形態の車載ネットワークシステムでは、
前記レベル判定部は、前記車両のイグニッションの状態がオフ又はアクセサリーモードである場合には、前記セキュリティレベルを維持すると判定する。
このように、車両のイグニッションの状態がオフ又はアクセサリーモードである場合には、セキュリティレベルを上昇させずに維持することにより、イグニッションの状態がオフ又はアクセサリーモードにある場合に、通信容量の大きい通信を可能にすることができ、イグニッションの状態がオンの場合におけるセキュリティレベルの確保と、イグニッションの状態がオフ又はアクセサリーモードの場合における通信速度の低下抑制とを両立した車載ネットワークシステムを提供することができる。
本発明の他の実施の形態の車載ネットワークシステムでは、
前記種類判定部は、前記外部装置の種類が正規の外部装置に該当するかどうかを判定し、
前記レベル判定部は、前記種類判定部によって前記正規の外部装置に該当しないと判定された場合に、前記セキュリティレベルを上昇させると判定する。
このように、外部装置が接続される場合に、外部装置の種類に関しては、正規の外部装置であるかどうかでセキュリティレベルを上昇させるかどうかを判定する。
従って、非正規の外部装置が接続される場合にセキュリティレベルを確保し、正規の外部装置が接続される場合に通信速度の低下を抑制した車載ネットワークシステムを提供することができる。
本発明の他の実施の形態の車載ネットワークシステムでは、
前記レベル判定部は、前記種類判定部によって前記正規の外部装置に該当すると判定された場合には、前記セキュリティレベルを維持すると判定する。
すなわち、正規の外部装置が接続される場合には、接続される前とセキュリティレベルは変更されない。
従って、非正規の外部装置が接続される場合にセキュリティレベルを確保し、正規の外部装置が接続される場合に通信速度の低下をより確実に抑制した車載ネットワークシステムを提供することができる。
本発明の他の実施の形態の車載ネットワークシステムでは、
前記レベル判定部は、前記接続部に接続された前記無線通信装置が無線通信を行うときにセキュリティレベルを上昇させる。
このように、無線通信装置が通信を行うときに、セキュリティレベルを上昇させるので、無線通信装置によって接続されるインターネット等の車外のネットワークから車載ネットワークシステムをより効果的に保護することができる。
従って、無線通信装置が通信を行っているときにおけるセキュリティレベルの確保と、無線通信装置が通信を行っていないときにおける通信速度の低下抑制とを両立した車載ネットワークシステムを提供することができる。
本発明の他の実施の形態の車載ネットワークシステムでは、
前記接続部は、前記無線通信装置を接続可能で、前記無線通信装置の通信状態を制御する制御部である。
このため、接続部としての制御部を介して車載ネットワークシステムに接続される無線通信装置の通信状態を制御部によって容易に制御することができ、無線通信装置の通信状態の管理が容易になる。
従って、無線通信装置が通信を行っているときにおけるセキュリティレベルの確保と、無線通信装置が通信を行っていないときにおける通信速度の低下抑制とをより高い次元で両立した車載ネットワークシステムを提供することができる。
本発明の他の実施の形態の車載ネットワークシステムでは、
前記第1中継装置は、ゲートウェイ装置である。
ゲートウェイ装置は、複数のセキュリティレベルでデータ通信の安全性を確保することができる。
従って、外部装置が接続される場合、又は、無線通信装置が通信を行う場合に、ゲートウェイ装置の複数のセキュリティレベルを利用して、セキュリティレベルの確保と、通信速度の低下抑制とを両立した車載ネットワークシステムを提供することができる。
本発明の他の実施の形態の車載ネットワークシステムは、
複数の第2制御部と、
前記複数の第2制御部にそれぞれ接続される複数の第2回線と、
前記複数の第2回線を介して前記複数の第2制御部に接続され、前記複数の第2回線の間を中継する第2中継装置と、
前記第1中継装置及び前記第2中継装置の間を接続する第3回線と
をさらに含み、
前記第2中継装置は、
前記レベル判定部によって前記セキュリティレベルを上昇させると判定されると、前記複数の第2制御部の間でのデータ通信におけるセキュリティレベルを上昇させる第2レベル設定部を有する。
このように、第2中継装置を第1中継装置に接続して、ネットワークをさらに拡大できる。また、第2中継装置に接続される複数の第2回線のセキュリティレベルの設定は、第1中継装置のレベル判定部の判定結果に従うことになる。
従って、第1中継装置及び第2中継装置を有するようなネットワーク環境において、外部装置が回線に接続される場合や車載のネットワークが車外のネットワークに接続される場合に、セキュリティレベルの確保と、通信速度の低下抑制とを両立した車載ネットワークシステムを提供することができる。
外部装置が回線に接続される場合や車載のネットワークが車外のネットワークに接続される場合に、セキュリティレベルの確保と、通信速度の低下抑制とを両立した車載ネットワークシステムを提供することができる。
実施の形態1の車載ネットワークシステム100を示す図である。車載ネットワークシステム100は、車両に搭載される。 ゲートウェイECU110A、110Bのポート1〜8が所属するVLANのグループの割り当てを示すテーブル形式のデータを示す図である。 ゲートウェイECU110と、L2スイッチ、L3スイッチ、及びL7スイッチとの機能的な構成を示す図である。 車載ネットワークシステム100において転送されるデータの経路と、L2スイッチ、L3スイッチ、L7スイッチとの関係を示す図である。 車載ネットワークシステム100において転送されるデータの経路と、L2スイッチ、L3スイッチ、L7スイッチとの関係を示す図である。 車載ネットワークシステム100において転送されるデータの経路と、L2スイッチ、L3スイッチ、L7スイッチとの関係を示す図である。 実施の形態1のゲートウェイECU110の機能ブロックを示す図である。 正規の外部装置のIDを格納するテーブル形式のデータを示す図である。 データ通信の形態とスイッチの種類とを紐付けるテーブル形式のデータを示す図である。 実施の形態1のゲートウェイECU110が実行するフローチャートを示す図である。 実施の形態2の車載ネットワークシステム200において転送されるデータの経路と、L2スイッチ、L3スイッチ、L7スイッチとの関係を示す図である。 実施の形態2のゲートウェイECU110が実行するフローチャートを示す図である。
以下、本発明の車載ネットワークシステムを適用した実施の形態について説明する。
<実施の形態1>
図1は、実施の形態1の車載ネットワークシステム100を示す図である。車載ネットワークシステム100は、車両に搭載される。
車載ネットワークシステム100は、ゲートウェイECU(Electronic Control Unit)110A、110B、ECU121、122、123、124、125、126、127、128、回線131、132、133、134、135、136、137、138、139、141、及び、DLC(Data Link Connector)140を含む。また、ECU121、122には、それぞれ、センサ151、152が接続されており、ECU123には、スイッチ153が接続されている。
車載ネットワークシステム100は、一例として、通信プロトコルとしてEthernetプロトコルを用いている。回線131、132、133、134、135、136、137、138、139、141は、物理的なバスを示すものではなく、EthernetプロトコルによるVLAN(Virtual Local Area Network)130A、130B、130Cを構築する仮想的な回線である。
VLAN130Aは、回線131、132、133、134、135、136、139によって構築され、ゲートウェイECU110A、110B、及び、ECU121〜126が接続される。VLAN130Bは、回線137、138によって構築され、ゲートウェイECU110B、及び、ECU127、128が接続される。VLAN130Cは、回線141によって構築され、ゲートウェイECU110A、及び、DLC140が接続される。
ここで、一例として、回線131〜139は、標準のEthernet規格に対応した回線であり、回線141は、Fast Ethernet規格に対応した回線である。回線131〜133は、第1回線の一例であり、回線134〜138は、第2回線の一例である。回線139は、第3回線の一例であり、回線141は、接続回線の一例である。
ゲートウェイECU110A、110Bは、それぞれ、一例として、CPU(Central Processing Unit)、RAM(Random Access Memory)、ROM(Read Only Memory)、クロック生成部、入出力インターフェース、通信インターフェース、送受信部、及び内部バス等を含むコンピュータによって実現される。
ゲートウェイECU110A、110Bは、一例として、8つのポート1〜8を有し、いずれかのポートに入力されるデータを他のいずれかのポートに中継するネットワークの中継装置である。ゲートウェイECU110Aは、第1中継装置の一例であり、ゲートウェイECU110Bは、第2中継装置の一例である。ゲートウェイECU110Aは、メインのゲートウェイ装置として機能し、ゲートウェイECU110Bは、サブのゲートウェイ装置として機能する。ゲートウェイECU110A、110Bの内部構成については、図7を用いて後述する。
ゲートウェイECU110A、110Bがそれぞれ有するポート1〜8は、物理的なポートではなく、仮想的なポートである。なお、仮想的なポートの数は、複数であれば、幾つであってもよい。
ゲートウェイECU110A、110Bは、一例として、L7スイッチによるデータ転送処理のほかに、L3スイッチ又はL2スイッチによるデータ転送処理を行うことができる。ゲートウェイECU110A、110Bは、それぞれ、いずれのスイッチを使うかを切り替えることができる。なお、このようなゲートウェイECU110A、110BをハブECUとして捉えることもできる。
ここで、L7スイッチとは、OSI(Open Systems Interconnection)参照モデルのレイヤ7(アプリケーション層)に相当するアプリケーションレベルのプロトコル(利用規約)情報を調べてパケットの転送処理を行うスイッチのことである。L7スイッチは、ソフトウェア的にスイッチングを行う。
また、L3スイッチとは、OSI参照モデルにおけるレイヤ3(ネットワーク層)においてパケットの送信先アドレスを振り分ける仕組みを持ったスイッチのことであり、ソフトウェア的にスイッチングを行う。L3スイッチでは、転送プロトコルにIP(Internet Protocol)を用いる。なお、L3スイッチは、ハードウェア的にスイッチングを行うものであってもよい。
また、L2スイッチとは、OSI参照モデルにおけるレイヤ2(データリンク層)において、データに宛先情報として含まれるMAC(Media Access Control)アドレスで中継先を判断し、中継動作を行うスイッチのことである。L2スイッチは、ハードウェア的に
スイッチングを行う。
ゲートウェイECU110Aは、ポート1、2、3に、それぞれ、回線131、132、133を介してECU121、122、123が接続され、ポート5に回線139を介してゲートウェイECU110Bが接続され、ポート7に回線141を介してDLC140が接続されている。
ゲートウェイECU110Bは、ポート2、3、4に、それぞれ、回線134、135、136を介してECU124、125、126が接続され、ポート5、6に、それぞれ、回線137、138を介してECU127、128が接続され、ポート8に回線139を介してゲートウェイECU110Aが接続されている。
ECU121、122、123、124、125、126、127、128は、車両の各種制御を行う制御部の一例である。ECU121〜128は、それぞれ、一例として、CPU、RAM、ROM、クロック生成部、入出力インターフェース、通信インターフェース、送受信部、及び内部バス等を含むコンピュータによって実現される。
ECU121〜128の各々は、例えば、エンジンECU、ブレーキECU、ステアリングECU、トランスミッションECU、ボディECU、メータECU、エアコンECU、PCS(Pre-Crash Safety)−ECU、又は、LKA(Lane Keeping Assist)−ECU等の各種ECUのうちのいずれかである。
なお、図1には、一例として、センサ151、152が接続されており、ECU123には、スイッチ153が接続されている。センサ151、152は、例えば、車速センサ、シフトポジションセンサ、ステアリングの舵角センサ等の車両に搭載される種々のセンサである。また、スイッチは、例えば、イグニッションスイッチのようにECUに接続される種々のスイッチである。ECU123〜128のうちの任意のものにもこのようなセンサ又はスイッチが接続されていてもよい。
なお、HV(Hybrid Vehicle)車、EV(Electric Vehicle)、及び燃料電池車(FCV:Fuel Cell Vehicle)の場合には、エンジンECUの代わりに、それぞれ、エンジン又は駆動用モータの出力を制御するHV−ECU、及び、駆動用モータの出力を制御するEV−ECUを用いればよい。ECU121〜128に該当するECUの種類は、車両の動力源(エンジン、HV、EV、FCV等)によって異なる。
回線131、132、133、134、135、136、137、138、139、141は、上述のように、EthernetプロトコルによるVLAN130A、130B、130Cを構築する仮想的な回線である。なお、ゲートウェイECU110A、110B、ECU121、122、123、124、125、126、127、128、及び、DLC140の間は、図示しない物理的なバスによって接続されており、物理的なバスの中でVLAN130A、130B、130Cが実現されている。
回線131、132、133、134、135、136、139は、VLAN130Aに含まれ、回線137、138は、VLAN130Bに含まれ、回線141は、VLAN130Cに含まれる。
DLC140は、マルチピン形式のコネクタであり、接続部の一例である。DLC140は、ISO又はIEC等の規格に準拠したコネクタであり、車両の正規の診断装置(diagnostic device)、又は、正規のデータロガー等を接続するために設けられている。
ここで、正規であることとは、車両の製造メーカの認証を取得していることであり、製造メーカの純正のものであること、又は、OEM(Original Equipment Manufacturer)によるものであることをいう。また、非正規とは、正規ではないことをいう。
DLC140は、ISO又はIEC等の規格に準拠したコネクタであるため、正規の外部装置に限らず、非正規の外部装置等を接続することも可能である。例えば、車両関連製品を取り扱う量販店で市販されているような汎用のデータロガーや種々の装置を接続することができる。
正規の外部装置は、製造メーカの認証を取得しているため、DLC140に接続しても、車載ネットワークシステム100に悪影響を及ぼすおそれはないが、非正規の外部装置は、DLC140に接続すると、車載ネットワークシステム100に悪影響を及ぼすおそれがある。
図2は、ゲートウェイECU110A、110Bのポート1〜8が所属するVLANのグループの割り当てを示すテーブル形式のデータを示す図である。VLANのグループとは、ここでは、3つのグループに分けられたVLAN130A、130B、130Cのことである。各ポート(1〜8)をどのグループのVLANに所属させるかは、ゲートウェイECU110A、110Bが決定する。
ゲートウェイECU110A用のデータに示すように、ゲートウェイECU110Aのポート1〜3、5の接続先は、VLAN130Aになっており、ポート7の接続先は、VLAN130Cになっている。また、ゲートウェイECU110B用のデータに示すように、ゲートウェイECU110Bのポート2〜4、8の接続先は、VLAN130Aになっており、ポート5、6の接続先は、VLAN130Bになっている。
なお、図2に示すゲートウェイECU110Aのポート4、6、8と、ゲートウェイECU110Bのポート1、7とは、VLAN(130A又は130B等)には割り当てられていないが、ECU等が接続される場合には、ゲートウェイECU110A、110Bによって、VLAN130A、130B、130Cのいずれかに割り当てられるか、又は、VLAN130A、130B、130Cとは別の新たなVLANに割り当てられる。
図3は、ゲートウェイECU110と、L2スイッチ、L3スイッチ、及びL7スイッチとの機能的な構成を示す図である。図1に示すゲートウェイECU110A、110Bは、互いに等しい構成を有するため、図3ではゲートウェイECU110として示す。
また、図3には、説明の便宜上、左側から右側にかけて(図3(A)から図3(D)にかけて)、ゲートウェイECU110、L2スイッチ、L3スイッチ、及びL7スイッチを並べて示す。
また、図3(B)〜(D)に示すL2スイッチ、L3スイッチ、及びL7スイッチには、ECU1、2が接続されており、ECU1からL2スイッチ、L3スイッチ、及びL7スイッチを経てECU2にデータが転送される様子を説明する。ECU1、2は、ECU121〜128と同様のECUである。
図3(A)に示すように、ゲートウェイECU110は、OSI7階層(レイヤ1〜7)として、物理層(レイヤ1)、データリンク層(レイヤ2)、ネットワーク層(レイヤ3)、トランスポート層(レイヤ4)、セッション層(レイヤ5)、プレゼンテーション層(レイヤ6)、アプリケーション層(レイヤ7)を有する。
各レイヤで用いるプロトコルは、物理層(レイヤ1)、Ethernetプロトコル(レイヤ2)、インターネットプロトコル(IP)(レイヤ3)、TCP(Transmission Control Protocol)及びUDP(User Datagram Protocol)(レイヤ4)、HTTP(Hypertext Transfer Protocol)及びTLS(Transport Layer Security)等(レイヤ5〜7)である。
また、各レイヤで用いるアドレスは、MACアドレス(レイヤ2)、IPアドレス(レイヤ3)、TCPポート及びUDPポート(レイヤ4)である。
図3(B)に示すように、L2スイッチでは、破線の矢印で示すように、ECU1から出力されるデータは、物理層からデータリンク層でMACアドレスが参照され、ECU2に対応したデータリンク層に渡り、ECU2に対応した物理層を経てECU2に転送される。
図3(C)に示すように、L3スイッチでは、破線の矢印で示すように、ECU1から出力されるデータは、物理層からデータリンク層でMACアドレスが参照され、ネットワーク層でIPアドレスが参照され、ECU2に対応したネットワーク層に渡り、ECU2に対応したデータリンク層及び物理層を経てECU2に転送される。
図3(D)に示すように、L7スイッチでは、破線の矢印で示すように、ECU1から出力されるデータは、物理層からデータリンク層でMACアドレスが参照され、ネットワーク層でIPアドレスが参照され、トランスポート層、セッション層、プレゼンテーション層で、TCP及びUDP、HTTP及びTLSが参照され、アプリケーション層の中継アプリケーションによって、ECU2側に中継され、プレゼンテーション層、セッション層、トランスポート層、ネットワーク層、データリンク層、物理層を経てECU2に転送される。
以上のように、L2スイッチは、データリンク層(レイヤ2)でデータが転送されるため、L2スイッチ、L3スイッチ、L7スイッチのうちでは、転送処理に要する時間が最も短い(転送処理が速い)が、セキュリティレベルは最も低い。
また、L7スイッチは、アプリケーション層(レイヤ7)でデータが転送されるため、L2スイッチ、L3スイッチ、L7スイッチのうちでは、転送処理に要する時間が最も長いが、セキュリティレベルは最も高い。
また、L3スイッチは、ネットワーク層(レイヤ3)(レイヤ2)でデータが転送されるため、L2スイッチの次に転送処理に要する時間が短いが、セキュリティレベルはL7スイッチよりも低い。
ゲートウェイECU110A、110Bは、このようなL2スイッチ、L3スイッチ、及びL7スイッチの切り替えを行うことができる。
次に、図4乃至図6を用いて、車載ネットワークシステム100のVLAN130A、130B、130Cのセキュリティレベルについて説明する。VLAN130A、130B、130Cのセキュリティレベルは、ゲートウェイECU110A及び100Bのうちのいずれか一方が設定すればよいが、ここでは、ゲートウェイECU110Aが設定することとして説明する。
図4は、車載ネットワークシステム100において転送されるデータの経路と、L2スイッチ、L3スイッチ、L7スイッチとの関係を示す図である。図4では、DLC140に何も接続されていない。
矢印(A)で示すように、ECU122からECU123にデータが転送される場合には、データは、ECU122から回線132、ゲートウェイECU110A、回線133を経てECU123に転送される。このようなデータの経路は、VLAN130Aの内部で完結しており、VLAN130Aの外部を通ることはない。
このように、1つのVLAN(130A又は130B)の中でECU(121〜128)がデータを転送する際には、転送処理が最も速いL2スイッチを用いる。1つのVLAN(130A又は130B)の中でのデータの転送は、セキュリティレベルよりも転送速度を優先させたいからである。なお、1つのVLAN(130A又は130B)の中であれば、ゲートウェイECU110A、110Bを跨いでも、L2スイッチによって転送される。
矢印(B)で示すように、ECU125からECU127にデータが転送される場合には、データは、ECU125から回線135、ゲートウェイECU110B、回線137を経てECU127に転送される。このようなデータの経路は、VLAN130AとVLAN130Bを跨いでいる。
このように、VLAN(130A、130B)を跨いでECU(121〜128)がデータを転送する際には、L3スイッチを用いる。
図5は、車載ネットワークシステム100において転送されるデータの経路と、L2スイッチ、L3スイッチ、L7スイッチとの関係を示す図である。図5では、DLC140に、診断装置(DIAGNOSIS TOOL)500が接続されている。診断装置500は、正規の外部装置の一例である。
正規の外部装置である診断装置500がDLC140に接続されても、システムのセキュリティ耐性は低下しないと考えられる。正規の外部装置は、セキュリティ面での安全性が確認されているものだからである。
このため、DLC140に正規の外部装置である診断装置500が接続されている場合には、矢印(A)で示すように、1つのVLAN(130A又は130B)の中でECU(121〜128)がデータを転送する際には、転送処理が最も速いL2スイッチを用いる。図5には、ECU122と123との間に、矢印(A)を示す。また、矢印(B)で示すように、VLAN(130A、130B)を跨いでECU(121〜128)がデータを転送する際には、L3スイッチを用いる。図5には、ECU125と127との間に、矢印(B)を示す。
すなわち、1つのVLAN(130A又は130B)の中でECU(121〜128)のデータの転送処理と、VLAN(130A、130B)を跨いだECU(121〜128)のデータの転送とは、DLC140に何も接続されていない状態(図4参照)と同様に行われる。
また、矢印(C)で示すように、ECU121とDLC140に接続される診断装置500との間でデータが転送される場合には、データは、回線131、ゲートウェイECU110A、回線141を経て、ECU121と診断装置500との間で転送される。診断装置500は、正規の外部装置であり、外部装置(車両の外部の装置(機器)、又は、車両の外部から持ち込まれる装置(機器))の一例である。すなわち、この場合には、ECU121は、正規の外部装置である診断装置500に接続される。
このように、ECU(121〜128)と正規の外部装置との間でデータを転送する場合には、最もセキュリティレベルが高いL7スイッチを用いる。強固なセキュリティレベル対策が必要だからである。なお、このようにL7スイッチを用いることは、診断装置500以外の正規の外部装置がDLC140に接続された場合にも同じである。
図6は、車載ネットワークシステム100において転送されるデータの経路と、L2スイッチ、L3スイッチ、L7スイッチとの関係を示す図である。図6では、DLC140に、非正規の外部装置501が接続されている。非正規の外部装置501も外部装置である。
このように、DLC140に非正規の外部装置501が接続される場合には、車載ネットワークシステム100は、セキュリティレベルを高くする。非正規の外部装置501は、診断装置500等のような正規の外部装置に比べると、車載ネットワークシステム100に悪影響を及ぼす可能性があるからである。
矢印(A)で示すように、ECU122とECU123との間でVLAN130Aの内部でデータが転送される場合には、L3スイッチを利用する。図5の矢印(A)で示すように、DLC140に正規の外部装置(例えば、診断装置500)が接続される場合において、同一VLAN(130A又は130B)内でデータを転送する際には、L2スイッチ(図5参照)を利用するが、図6の矢印(A)で示すように、DLC140に非正規の外部装置501が接続される場合において、同一VLAN(130A又は130B)内でデータを転送する際には、セキュリティレベルがより高いL3スイッチを利用する。非正規の外部装置501に対応して、セキュリティレベルを高めるためである。
矢印(B)で示すように、ECU125とECU127との間でデータが転送される場合には、L7スイッチを用いる。図5の矢印(B)で示すように、DLC140に正規の外部装置(例えば、診断装置500)が接続される場合において、VLAN(130A、130B)を跨いでデータを転送する際には、L3スイッチを利用するが、図6の矢印(B)で示すように、DLC140に非正規の外部装置501が接続される場合において、VLAN(130A、130B)を跨いでデータを転送する際には、セキュリティレベルが最も高いL7スイッチを用いる。非正規の外部装置501に対応して、セキュリティレベルを高めるためである。
なお、矢印(C)で示すように、ECU121とDLC140に接続される非正規の外部装置501との間でデータが転送される場合には、最もセキュリティレベルが高いL7スイッチを用いる。最も高いレベルのセキュリティ対策が必要だからである。これは、ECU122〜128とDLC140に接続される非正規の外部装置501との間でデータが転送される場合も同様である。
図7は、実施の形態1のゲートウェイECU110A、110Bの機能ブロックを示す図である。図8は、正規の外部装置のIDを格納するテーブル形式のデータを示す図である。図8に示すテーブル形式のデータは、一例として、ゲートウェイECU110AのROM等の内部メモリに格納されている。図7(A)に示すゲートウェイECU110Aは、VLAN130A、130B、130Cのセキュリティレベルを設定するため、まず、ゲートウェイECU110Aについて説明する。
ゲートウェイECU110Aは、主制御部111A、種類判定部112A、レベル判定部113A、及びレベル設定部114Aを有する。
主制御部111Aは、ゲートウェイECU110Aの処理を統括する制御部である。主制御部111Aは、種類判定部112A、レベル判定部113A、及びレベル設定部114Aが行う処理以外のゲートウェイECU110Aの処理を行う。
種類判定部112Aは、DLC140に接続される外部装置の種類を判定する。種類判定部112Aは、例えば、DLC140を介して外部装置から転送されるIDを図8に示す正規の外部装置のID(XXX001)と照合して、一致するIDが存在するかどうかで、外部装置の種類を判定する。DLC140を介して外部装置からIDが転送されることは、今まで通信していなかった回線141を介してゲートウェイECU110AがIDを入手することになる。
外部装置から転送されるIDが図8に示すテーブル形式のデータに存在すれば、正規の外部装置であり、存在しなければ非正規の装置であることになる。このように、種類判定部112Aは、DLC140に接続される外部装置が正規の外部装置、又は、非正規の装置のいずれであるかを判定することができる。
なお、ここでは、一例として、図8に示すテーブル形式のデータを用いて照合を行うことによって外部装置の種類を判定する形態について説明するが、IDの代わりに、公開鍵等を用いてもよい。
また、正規の外部装置はDLC140に接続されるとIDを送信するように設定しておけば、非正規の外部装置がDLC140に接続された場合には、IDが送信されないことによってDLC140に非正規の外部装置が接続されたことを判定することができる。
レベル判定部113Aは、DLC140に外部装置が接続された状態で、種類判定部112Aによって判定される外部装置の種類に応じて、ECU121〜128が回線131〜139を通じて行うデータ通信のセキュリティレベルを上昇させるかどうか判定する。
レベル判定部113Aは、種類判定部112Aによって判定される外部装置の種類の種類が正規の外部装置である場合には、セキュリティレベルを維持すると判断する。セキュリティレベルを維持するとは、セキュリティレベルを上昇させずに、現状のセキュリティレベルに保持することである。また、レベル判定部113Aは、種類判定部112Aによって判定される外部装置の種類の種類が非正規の外部装置である場合には、セキュリティレベルを上昇させると判断する。
レベル設定部114Aは、レベル判定部113Aによってセキュリティレベルを維持すると判断されると、現状のセキュリティレベルを保持する。また、レベル設定部114Aは、レベル判定部113Aによってセキュリティレベルを上昇させると判断されると、現状のセキュリティレベルから、セキュリティレベルを上昇させる。レベル設定部114Aは、第1レベル設定部の一例である。
ゲートウェイECU110Bは、主制御部111B及びレベル設定部114Bを有する。ゲートウェイECU110Bは、回線139(図1、4〜6参照)を介してゲートウェイECU110Aと接続されており、ゲートウェイECU110Aとデータ通信を行う。ゲートウェイECU110Bは、VLAN130A、130Bのセキュリティレベルの設定に関しては、ゲートウェイECU110Aに従属する形で制御を行う。
主制御部111Bは、ゲートウェイECU110Bの処理を統括する制御部であり、レベル設定部114Bが行う処理以外のゲートウェイECU110Bの処理を行う。
レベル設定部114Bは、レベル設定部114Aと同様の動作を行う。すなわち、レベル設定部114Bは、レベル判定部113Aによってセキュリティレベルを維持すると判断されると、現状のセキュリティレベルを保持する。また、レベル設定部114Aは、レベル判定部113Aによってセキュリティレベルを上昇させると判断されると、現状のセキュリティレベルから、セキュリティレベルを上昇させる。レベル設定部114Bは、第2レベル設定部の一例である。
図9は、データ通信の形態とスイッチの種類とを紐付けるテーブル形式のデータを示す図である。データ通信の形態とは、同一のVLANの内部でデータ通信を行う形態、VLANを跨いでデータ通信を行う形態、VLAN130Cの内部でデータ通信を行う形態等であり、データ通信を行う場合のVLANの利用形態を表す。スイッチの種類は、L2スイッチ、L3スイッチ、及びL7スイッチを示す。
また、通常時とは、セキュリティレベルを上昇させずに維持するとレベル判定部113Aによって判断される場合、又は、DLC140に外部機器が接続されない状態においてセキュリティレベルが上昇されずに維持される場合であり、上昇時とは、レベル判定部113Aによってセキュリティレベルを上昇させると判断される場合である。
ここでは、一例として、通常時に同一のVLANの内部で行うデータ通信では、L2スイッチを利用し、上昇時にはL3スイッチを利用する。また、通常時にVLANを跨いで行うデータ通信では、L3スイッチを利用し、上昇時にはL7スイッチを利用する。また、DLC140が接続されるVLAN130Cの内部で行うデータ通信では、通常時及び上昇時ともにL7スイッチを利用する。なお、図9には、3つの形態におけるスイッチの種類を示すが、さらに多くの形態とスイッチの種類とを紐付けたデータを含んでもよい。
図10は、実施の形態1のゲートウェイECU110Aが実行するフローチャートを示す図である。ゲートウェイECU110Aは、所定の制御周期毎に、図10に示す処理を実行する。
主制御部111Aは、処理をスタートする(スタート)。主制御部111Aは、例えば、車両のイグニッションスイッチがオンにされたときに、処理をスタートする。
種類判定部112Aは、DLC140に外部装置が接続されたかどうかを判定する(ステップS1)。
種類判定部112Aは、DLC140に外部装置が接続された(S1:YES)と判定すると、接続された外部装置の種類を判定する(ステップS2)。
レベル判定部113Aは、種類判定部112Aによって判定された外部装置の種類に基づいて、セキュリティレベルを上昇させるかどうかを判定する(ステップS3)。セキュリティレベルを上昇させるのは、外部装置の種類が非正規の外部装置501(図6参照)であることを示す場合である。
ステップS3においてレベル判定部113Aがセキュリティレベルを上昇させる(S3:YES)と判定すると、レベル設定部114Aは、セキュリティレベルを上昇させる(ステップS4)。また、ステップS4の処理をレベル設定部114Aが実行する際には、レベル設定部114Bもレベル判定部113Aからの指令を受けて、セキュリティレベルを上昇させる。
ステップS4の処理により、同一VLAN(130A又は130B)内でデータを転送する際には、データ通信におけるセキュリティレベルを上昇させるために、L2スイッチからL3スイッチに切り替えられる。同様に、VLAN(130A、130B)を跨いでデータを転送する際には、L3スイッチからL7スイッチに切り替えられる。
主制御部111Aは、処理を終了するかどうかを判定する(ステップS5)。主制御部111Aは、例えば、車両のイグニッションスイッチがオフにされたときに、処理を終了すると判定する。
主制御部111Aは、処理を終了する(S5:YES)と判定すると、一連の処理を終了する(エンド)。主制御部111Aは、例えば、車両のイグニッションスイッチがオフにされたときに、処理を終了する。
また、ステップS1において、種類判定部112AがDLC140に外部装置が接続されていない(S1:NO)と判定すると、レベル判定部113Aは、セキュリティレベルが上昇中であるかどうかを判定する(ステップS6)。ステップS1において外部装置が接続されていないと判定される場合には、前回の制御周期における処理のときから引き続いてDLC140に外部装置が接続されていない場合と、外部装置がDLC140から取り外された場合とがある。
ステップS6において、セキュリティレベルが上昇中である(S6:YES)とレベル判定部113Aが判定すると、レベル設定部114Aは、セキュリティレベルを元に戻す(ステップS7)。すなわち、レベル設定部114Aは、上昇していたセキュリティレベルを上昇前の元のセキュリティレベルに低下させる。セキュリティレベルを上昇させる必要がないからである。また、ステップS7の処理をレベル設定部114Aが実行する際には、レベル設定部114Bもレベル判定部113Aからの指令を受けて、セキュリティレベルを低下させる。
例えば、DLC140に非正規の外部装置501が接続されてセキュリティレベルが上昇された後に、非正規の外部装置501がDLC140から取り外された場合に、セキュリティレベルが元のレベルに戻される。ステップS7の処理が終了すると、主制御部111Aは、フローをステップS5に進行させる。
また、ステップS3において、レベル判定部113Aがセキュリティレベルを維持する(S3:NO)と判定すると、主制御部111AはフローをステップS5に進行させる。
また、ステップS6において、セキュリティレベルが上昇中ではない(S6:NO)とレベル判定部113Aが判定すると、主制御部111Aは、フローをステップS5に進行させる。
以上のように、実施の形態1の車載ネットワークシステム100は、DLC140に非正規の外部装置501が接続されると、データ通信におけるセキュリティレベルを上昇させるために、L2スイッチを利用したデータ通信をL3スイッチを利用したデータ通信に切り替えるとともに、L3スイッチを利用したデータ通信をL7スイッチを利用したデータ通信に切り替える。
このようにデータ通信におけるセキュリティレベルを上昇させることにより、DLC140に非正規の外部装置501が接続されて、非正規の外部装置501が車載ネットワークシステム100に悪影響を及ぼすおそれがあるような場合に、車載ネットワークシステム100を不測の事態から守ることができる。
また、DLC140に何も接続されていない場合と、DLC140に正規の外部装置が接続されている場合とには、データ通信におけるセキュリティレベルを上昇させずに保持(維持)するため、通信速度が低下することはなく、迅速なデータ通信が可能である。
従って、実施の形態1によれば、外部装置がDLC140に接続される場合に、セキュリティレベルの確保と、通信速度の低下抑制とを両立した車載ネットワークシステム100を提供することができる。
なお、以上では、DLC140に接続される正規の外部装置が診断装置500である形態について説明した。しかしながら、正規の外部装置は、製造メーカの認証を受けた装置であれば、診断装置500以外の装置(サーバ等)であってもよい。
また、以上では、DLC140に接続される外部装置が正規の外部装置又は非正規の外部装置のいずれであるかを判定し、非正規の外部装置である場合にセキュリティレベルを上昇させる形態について説明した。
しかしながら、例えば、車両が走行中であるかどうかを判定し、走行中ではない場合には、DLC140に接続される外部装置が正規の外部装置又は非正規の外部装置のいずれの場合においても、セキュリティレベルを維持するようにしてもよい。
そして、車両が走行中である場合に、DLC140に非正規の外部装置が接続された場合に、セキュリティレベルを上昇させるようにしてもよい。車両が走行中ではない場合には、走行に影響が生じるという状態にはならないからである。また、走行中に非正規の外部装置が接続されていると、走行に悪影響が生じ得るからである。
なお、走行中ではない場合とは、車両が停止している状態である。停止している状態は、例えば、車速センサが検出する車速がゼロである場合、シフトポジションセンサによって検出されるシフトポジションがパーキングである場合等である。車両が走行中であるかどうかを表す状態とは、車両の運行状態の一例である。
また、車両が走行中であって、DLC140に非正規の外部装置が接続されている場合に、車速に応じて、セキュリティレベルを変えてもよい。車速がある一定値を超えると、同一VLANの内部でのデータ通信であっても、L7スイッチを使うようにしてもよい。
また、例えば、車両のイグニションスイッチがオン又はオフのいずれであるかを判定し、イグニションスイッチがオフの場合には、DLC140に接続される外部装置が正規の外部装置又は非正規の外部装置のいずれの場合においても、セキュリティレベルを維持するようにしてもよい。
また、イグニションスイッチがアクセサリーモードの場合にも、DLC140に接続される外部装置が正規の外部装置又は非正規の外部装置のいずれの場合においても、セキュリティレベルを維持するようにしてもよい。
そして、イグニションスイッチがオンのときに、DLC140に非正規の外部装置が接続されている場合に、セキュリティレベルを上昇させるようにしてもよい。イグニションスイッチがオンである場合には、走行中である場合や、停車中であっても走行を開始する前である場合が有り得るからである。
また、駐車中にDCM600で通信を行ってナビゲーションシステムの地図データを更新する車両である場合には、車両が駐車中にDCM600が通信を行っているときには、地図データを安全にダウンロードするために、セキュリティレベルを上昇させればよい。
また、以上では、車載ネットワークシステム100が、2つのゲートウェイECU110A、110Bを含む形態について説明した。しかしながら、車載ネットワークシステム100は、さらに多くのゲートウェイECUを含む構成であってもよく、1つのゲートウェイECU110Aのみを含む構成であってもよい。また、中継装置(第1中継装置、第2中継装置)の一例として、ゲートウェイECU110A、110Bを用いる形態について説明したが、ゲートウェイECU110A、110Bと同様にセキュリティレベルを変更できるのであれば、中継装置としてゲートウェイECU110A、110B以外の装置を用いてもよい。
また、以上では、DLC140がゲートウェイECU110Aに接続される形態について説明したが、DLC140は、ゲートウェイECU110Bに接続されていてもよい。この場合でも、DLC140は、ゲートウェイECU110B及び回線139を介して、ゲートウェイECU110Aに接続されていることになる。
また、以上では、セキュリティレベルを維持する通常時において、同一のVLANの内部でのデータ通信を行う場合には、L2スイッチを利用する形態について説明した。このため、ゲートウェイECU110A、110Bを跨ぐVLAN130Aの内部でのデータ通信には、L2スイッチを利用している。
しかしながら、同一のVLANの内部でのデータ通信であっても、ゲートウェイECU110Aのポート5と、ゲートウェイECU110Bのポート8との間のように、ゲートウェイECU110A、110Bを跨ぐ部分については、ゲートウェイECU110A及び110BがL3スイッチを用いてもよい。この場合には、セキュリティレベルを上昇させるときには、L7スイッチを用いればよい。
また、以上では、セキュリティレベルを上昇させる際に、VLANのグループ分けを変更しない形態について説明したが、VLANのグループ分けを変更してもよい。
例えば、VLANを分割して、セキュリティレベルが上昇されるVLANに接続されるECUの数を少なくすることにより、車載ネットワークシステム100の全体での通信速度の低下を最小限度に抑え、より迅速なデータ通信を実現してもよい。
VLANを分ける際には、様々なグループの作成の仕方がある。VLANを分ける際には、車載ネットワークシステム100の全体での通信速度の低下を最小限度に抑えられるようにすることが望ましい。このような場合に、例えば、図1に示すVLAN130Bを回線137、138の各々についての2つのVLANに分けてもよい。また、VLANを分ける際には、1つのVLANを分割するだけでなく、車載ネットワークシステム100に含まれるすべてのVLANのグループを再構築する観点から、複数のVLANを合わせて(1つに合体させて)もよい。また、車載ネットワークシステム100に含まれるすべてのVLANのグループの数が減るように、グループを再構築してもよい。
<実施の形態2>
図11は、実施の形態2の車載ネットワークシステム200において転送されるデータの経路と、L2スイッチ、L3スイッチ、L7スイッチとの関係を示す図である。
実施の形態2の車載ネットワークシステム200は、実施の形態1の車載ネットワークシステム100にECU129、回線231、及びDCM(Data Communication Module)600を加えた構成を有する。
ECU129は、回線231を介してゲートウェイECU110Bのポート7に接続されている。実施の形態2では、DCM600を接続可能な接続部の一例として、ECU129を用いている。
VLAN130Dは、回線231によって構築され、ゲートウェイECU110BとECU129が接続される。回線231は、第2回線の一例である。なお、図11では、DLC140には何も接続されていない。
車載ネットワークシステム200のその他の構成は、実施の形態1の車載ネットワークシステム100と同様であるため、同様の構成要素には同一符号を付し、その説明を省略する。
ECU129は、DCM600用のECUであり、DCM600の通信のオン/オフの制御やDCM600と回線231との間でのデータの入出力処理を行う。なお、ECU129がDCM600の通信のオン/オフの制御を行うことは、ECU129がDCM600の通信状態(オン/オフ)を制御することである。なお、ECU129は、DCM600と一体化されていてもよい。
DCM600は、車載の無線通信装置の一例であり、例えば、3G(Third Generation)、4G(Fourth Generation)、LTE(Long Term Evolution)等の通信回線を介して無線通信を行う。DCM600の通信がオンであるときは、DCM600が通信を行うときであり、DCM600の通信がオフであるときは、DCM600が通信を行わないときである。
車載ネットワークシステム200では、DCM600が通信を行っているときと、通信を行っていないときとで、セキュリティレベルを切り替える。DCM600が通信を行っていないときは、セキュリティレベルを維持するので、同一VLAN(130A又は130B)内でデータを転送する際には、L2スイッチを利用し(例えば図11の矢印(A)参照)、VLAN(130A、130B)を跨いでデータを転送する際には、L3スイッチを利用する(例えば図11の矢印(B)参照)。
DCM600が通信を行っているときに、矢印(A)で示すように、ECU122とECU123との間でVLAN130Aの内部でデータが転送される場合には、L3スイッチを利用する。すなわち、L2スイッチからL3スイッチに切り替えてセキュリティレベルを上昇させる。DCM600が通信を行うと、車載ネットワークシステム200がインターネット等の車両の外部のネットワークに接続されるので、セキュリティレベルを高めるためである。なお、これは、ECU121〜ECU126がVLAN130Aの内部でデータを転送する場合と、ECU127、128がVLAN130Bの内部でデータを転送する場合とにおいて同様である。
また、DCM600が通信を行っているときに、矢印(B)で示すように、VLAN130A、130Bを跨いでECU125とECU127との間でデータが転送される場合には、L7スイッチを用いる。すなわち、L3スイッチからL7スイッチに切り替えてセキュリティレベルを上昇させる。同様に、セキュリティレベルを高めるためである。また、ECU121〜126と、ECU127、128とがVLAN130A、130Bを跨いでデータを転送する場合も同様である。
また、矢印(D)で示すように、ECU129とECU128との間のデータ通信には、L7スイッチを用いる。車両の外部のネットワークに接続されるため、最も高いレベルのセキュリティ対策が必要だからである。なお、これは、ECU129と、ECU121〜127がデータを転送する場合も同様である。
図12は、実施の形態2のゲートウェイECU110が実行するフローチャートを示す図である。図12に示す処理は、図10に示す実施の形態1のゲートウェイECU110が実行する処理に、ステップS22の処理を追加したものである。
主制御部111Aは、ステップS1において、種類判定部112AがDLC140に外部装置が接続されていない(S1:NO)と判定すると、DCM600が通信中であるかどうかを判定する(ステップS22)。主制御部111Aは、ECU129から回線231及びゲートウェイECU110Bを介して受信するデータに基づいて、DCM600が通信中であるかどうかを判定する。DCM600の通信のオン/オフは、ECU129が制御しているからである。
主制御部111Aは、DCM600が通信中である(S22:YES)と判定すると、フローをステップS4に進行させる。図11を用いて説明したように、セキュリティレベルを上昇させるためである。
DLC140に外部装置が接続されていない状態で、DCM600が通信中であるときは、ステップS4において、レベル設定部114Aは、セキュリティレベルを上昇させる。この場合は、種類判定部112Aによる外部装置の種類の判定(ステップS2)と、レベル判定部113Aによるセキュリティレベルを上昇させるかどうかの判定(ステップS3)とを行うことなく、セキュリティレベルが上昇される。DCM600は、もともと車両に搭載されている装置であるため種類を判定する必要はなく、DCM600が通信中であれば、車載ネットワークシステム200は、インターネット等の車外のネットワークに接続されているからである。
一方、主制御部111Aは、DCM600が通信中ではない(S22:NO)と判定すると、フローをステップS6に進行させる。現在のセキュリティレベルが上昇された状態であるかどうかを判定するためである。ステップS6において、セキュリティレベルが上昇中であると判定されると、ステップS7において、セキュリティレベルが元に戻される。DCM600は通信ではなく、DLC140に外部装置も接続されていないからである。なお、前回の制御周期においてDCM600が通信中と判定されてセキュリティレベルが上昇されていた状態で、今回の制御周期のステップS22でDCM600が通信中ではない(S22:NO)と判定される場合は、DCM600の通信がオンからオフに切り替えられた場合である。
以上のように、実施の形態2の車載ネットワークシステム200は、DLC140への非正規の外部装置501の接続の有無に加えて、DCM600の通信のオン/オフに応じて、データ通信におけるセキュリティレベルを上昇させるために、L2スイッチを利用したデータ通信をL3スイッチを利用したデータ通信に切り替えるとともに、L3スイッチを利用したデータ通信をL7スイッチを利用したデータ通信に切り替える。
このようにデータ通信におけるセキュリティレベルを上昇させることにより、DLC140に非正規の外部装置501が接続される場合に加えて、DCM600が通信中である場合に、車載ネットワークシステム200を不測の事態から守ることができる。
また、DLC140に何も接続されていない場合と、DLC140に正規の外部装置が接続されている場合と、DCM600の通信がオフである場合とには、データ通信におけるセキュリティレベルを上昇させずに保持(維持)するため、通信速度が低下することはなく、迅速なデータ通信が可能である。
従って、実施の形態2によれば、外部装置がDLC140に接続される場合と、DCM600の通信がオンである場合とに、セキュリティレベルの確保と、通信速度の低下抑制とを両立した車載ネットワークシステム200を提供することができる。
また、以上では、DCM600をECU129に接続する形態について説明したが、DCM600の代わりに、利用者のスマートフォン端末機又は携帯電話端末機を用いてもよい。利用者のスマートフォン端末機又は携帯電話端末機が通信中であるかどうかでセキュリティレベルを上昇させるかどうかを判定すればよい。
以上、本発明の例示的な実施の形態の車載ネットワークシステムについて説明したが、本発明は、具体的に開示された実施の形態に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。
100、200 車載ネットワークシステム
110A ゲートウェイECU(第1中継装置)
110B ゲートウェイECU(第2中継装置)
111A、111B 主制御部
112 種類判定部
113 レベル判定部
114A、114B レベル設定部
121〜123 ECU(複数の第1制御部)
124〜128 ECU(複数の第2制御部)
129 ECU(接続部)
131〜133 回線(第1回線)
134〜138 回線(第2回線)
139 回線(第3回線)
141、231 回線(接続回線)
140 DLC(接続部)
151、152 センサ
153 スイッチ
500 診断装置(外部装置)
501 非正規の外部装置(外部装置)
600 DCM(無線通信装置)

Claims (13)

  1. 複数の第1制御部と、
    前記複数の第1制御部にそれぞれ接続される複数の第1回線と、
    外部装置又は無線通信装置を接続可能な接続部と、
    前記接続部に接続される接続回線と、
    前記複数の第1回線を介して前記複数の第1制御部に接続されるとともに、前記接続回線を介して前記接続部に接続され、前記複数の第1回線及び前記接続回線の間を中継する第1中継装置と
    を含み、
    前記第1中継装置は、
    前記接続部に前記外部装置又は前記無線通信装置が接続された状態で、前記外部装置の種類又は前記無線通信装置の通信状態に応じて、前記複数の第1制御部の間でのデータ通信におけるセキュリティレベルを上昇させるかどうかを判定するレベル判定部と、
    前記レベル判定部によって前記セキュリティレベルを上昇させると判定されると、前記セキュリティレベルを上昇させる第1レベル設定部と
    を有する、車載ネットワークシステム。
  2. 前記第1中継装置は、前記外部装置の種類を判定する種類判定部をさらに有し、
    前記レベル判定部は、前記種類判定部によって判定された前記種類に基づいて、前記セキュリティレベルを上昇させるかどうか判定する、請求項1記載の車載ネットワークシステム。
  3. 前記レベル判定部は、前記種類判定部によって判定された前記種類と、車両の運行状態、又は、車両のイグニッションの状態とに基づいて、前記複数の第1回線におけるセキュリティレベルを上昇させるかどうか判定する、請求項2記載の車載ネットワークシステム。
  4. 前記レベル判定部は、前記種類判定部によって判定された前記種類が前記セキュリティレベルを上昇させる対象に該当する場合に、前記車両の運行状態が停止状態である場合よりも、前記車両の運行状態が走行状態である場合の方が前記セキュリティレベルが高くなるように、前記セキュリティレベルを上昇させると判定する、請求項3記載の車載ネットワークシステム。
  5. 前記レベル判定部は、前記車両の運行状態が前記停止状態である場合には、前記セキュリティレベルを維持すると判定する、請求項4記載の車載ネットワークシステム。
  6. 前記レベル判定部は、前記種類判定部によって判定された前記種類が前記セキュリティレベルを上昇させる対象に該当する場合に、前記車両のイグニッションの状態がオフ又はアクセサリーモードである場合よりも、前記車両のイグニッションの状態がオンである場合の方が前記セキュリティレベルが高くなるように、前記セキュリティレベルを上昇させると判定する、請求項3記載の車載ネットワークシステム。
  7. 前記レベル判定部は、前記車両のイグニッションの状態がオフ又はアクセサリーモードである場合には、前記セキュリティレベルを維持すると判定する、請求項6記載の車載ネットワークシステム。
  8. 前記種類判定部は、前記外部装置の種類が正規の外部装置に該当するかどうかを判定し、
    前記レベル判定部は、前記種類判定部によって前記正規の外部装置に該当しないと判定された場合に、前記セキュリティレベルを上昇させると判定する、請求項2乃至7のいずれか一項記載の車載ネットワークシステム。
  9. 前記レベル判定部は、前記種類判定部によって前記正規の外部装置に該当すると判定された場合には、前記セキュリティレベルを維持すると判定する、請求項8記載の車載ネットワークシステム。
  10. 前記レベル判定部は、前記接続部に接続された前記無線通信装置が無線通信を行うときにセキュリティレベルを上昇させる、請求項1乃至9のいずれか一項記載の車載ネットワークシステム。
  11. 前記接続部は、前記無線通信装置を接続可能で、前記無線通信装置の通信状態を制御する制御部である、請求項10記載の車載ネットワークシステム。
  12. 前記第1中継装置は、ゲートウェイ装置である、請求項1乃至11のいずれか一項記載の車載ネットワークシステム。
  13. 複数の第2制御部と、
    前記複数の第2制御部にそれぞれ接続される複数の第2回線と、
    前記複数の第2回線を介して前記複数の第2制御部に接続され、前記複数の第2回線の間を中継する第2中継装置と、
    前記第1中継装置及び前記第2中継装置の間を接続する第3回線と
    をさらに含み、
    前記第2中継装置は、
    前記レベル判定部によって前記セキュリティレベルを上昇させると判定されると、前記複数の第2制御部の間でのデータ通信におけるセキュリティレベルを上昇させる第2レベル設定部を有する、請求項1乃至12のいずれか一項記載の車載ネットワークシステム。
JP2016216625A 2016-11-04 2016-11-04 車載ネットワークシステム Active JP6485429B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2016216625A JP6485429B2 (ja) 2016-11-04 2016-11-04 車載ネットワークシステム
EP17195308.6A EP3319294B1 (en) 2016-11-04 2017-10-06 In-vehicle network system
US15/728,701 US10523683B2 (en) 2016-11-04 2017-10-10 In-vehicle network system
CN201711063640.7A CN108023872B (zh) 2016-11-04 2017-11-02 车载网络系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016216625A JP6485429B2 (ja) 2016-11-04 2016-11-04 車載ネットワークシステム

Publications (2)

Publication Number Publication Date
JP2018074547A true JP2018074547A (ja) 2018-05-10
JP6485429B2 JP6485429B2 (ja) 2019-03-20

Family

ID=60043045

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016216625A Active JP6485429B2 (ja) 2016-11-04 2016-11-04 車載ネットワークシステム

Country Status (4)

Country Link
US (1) US10523683B2 (ja)
EP (1) EP3319294B1 (ja)
JP (1) JP6485429B2 (ja)
CN (1) CN108023872B (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020088717A (ja) * 2018-11-29 2020-06-04 株式会社デンソー 車載ネットワークシステム
JP2020091937A (ja) * 2018-12-03 2020-06-11 株式会社遠藤照明 照明器具及び光源ユニット
JP2020141318A (ja) * 2019-02-28 2020-09-03 日本電産モビリティ株式会社 車載制御装置
RU2748765C1 (ru) * 2018-06-22 2021-05-31 СиЭрЭрСи ЦИНДАО СЫФАН РОЛЛИН СТОК РИСЁРЧ ИНСТИТЬЮТ КО., ЛТД. Бортовая сетевая система и способ осуществления связи в ней

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019106584A (ja) * 2017-12-11 2019-06-27 株式会社デンソー 車載中継装置
JP6965767B2 (ja) * 2018-01-23 2021-11-10 株式会社デンソー 車載通信システム
JP6878324B2 (ja) * 2018-01-31 2021-05-26 日立Astemo株式会社 車載ネットワークシステム、電子制御装置
CN114390702A (zh) 2019-02-26 2022-04-22 上海朗帛通信技术有限公司 被用于无线通信的用户设备、基站中的方法和装置
JP7230636B2 (ja) * 2019-03-27 2023-03-01 株式会社オートネットワーク技術研究所 車載通信システム及び車載中継装置
JP7376257B2 (ja) * 2019-06-14 2023-11-08 矢崎総業株式会社 車載通信システム
EP3758301B1 (en) * 2019-06-25 2022-05-04 KNORR-BREMSE Systeme für Nutzfahrzeuge GmbH An apparatus and a method for providing a redundant communication within a vehicle architecture and a corresponding control architecture
US11438332B2 (en) * 2019-09-04 2022-09-06 Ford Global Technologies, Llc Distributed vehicle network access authorization
CN111356096B (zh) * 2020-02-24 2022-10-28 维沃移动通信有限公司 一种信息发送方法及电子设备
JP2021145162A (ja) * 2020-03-10 2021-09-24 本田技研工業株式会社 通信制御システム
EP4149061A4 (en) * 2020-05-07 2023-11-01 NEC Communication Systems, Ltd. NETWORK CONTROL DEVICE, NETWORK CONTROL METHOD AND NETWORK CONTROL PROGRAM
EP4020942A4 (en) * 2020-08-31 2022-11-02 Huawei Technologies Co., Ltd. SECURITY PROTECTION METHOD AND DEVICE AND STORAGE MEDIA
JP7464013B2 (ja) * 2021-07-05 2024-04-09 トヨタ自動車株式会社 センタ、otaマスタ、方法、プログラム、及び車両

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2009147734A1 (ja) * 2008-06-04 2011-10-20 ルネサスエレクトロニクス株式会社 車両、メンテナンス装置、メンテナンスサービスシステム及びメンテナンスサービス方法
JP2013017140A (ja) * 2011-07-06 2013-01-24 Hitachi Automotive Systems Ltd 車載ネットワークシステム
JP2016097748A (ja) * 2014-11-19 2016-05-30 トヨタ自動車株式会社 車両用運転支援装置
US20170093866A1 (en) * 2015-09-25 2017-03-30 Argus Cyber Security Ltd. System and method for controlling access to an in-vehicle communication network

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006293876A (ja) * 2005-04-14 2006-10-26 Hitachi Ltd 交通情報収集装置及び車載装置
US20070095595A1 (en) * 2005-11-02 2007-05-03 Arvinmeritor Light Vehicle Systems-France Anti-squeeze method utilizing airbag information
JP2009143454A (ja) * 2007-12-14 2009-07-02 Fujitsu Ten Ltd 車両制御装置及び車両状態監視方法
DE112009000409B4 (de) * 2008-02-26 2013-04-11 Autonetworks Technologies, Ltd. Weiterleitungs-Verbindungseinheit für ein Fahrzeug
DE102010008816A1 (de) * 2010-02-22 2011-08-25 Continental Automotive GmbH, 30165 Verfahren zur Online-Kommunikation
DE102012001736A1 (de) * 2012-01-31 2013-08-01 Wabco Gmbh Druckluftversorgungsanlage, pneumatisches System und Verfahren zum Betreiben einer Druckluftversorgungsanlage bzw. eines pneumatischen Systems
JP6024564B2 (ja) * 2013-03-28 2016-11-16 株式会社オートネットワーク技術研究所 車載通信システム
US20150170287A1 (en) * 2013-12-18 2015-06-18 The Travelers Indemnity Company Insurance applications for autonomous vehicles
US9477843B2 (en) * 2014-06-11 2016-10-25 GM Global Technology Operations LLC Inhibiting access to sensitive vehicle diagnostic data
RU2659489C1 (ru) * 2014-06-16 2018-07-02 Рикох Компани, Лтд. Сетевая система, способ управления связью и носитель данных
JP6201962B2 (ja) * 2014-11-06 2017-09-27 トヨタ自動車株式会社 車載通信システム
CN105981336B (zh) * 2014-12-01 2020-09-01 松下电器(美国)知识产权公司 不正常检测电子控制单元、车载网络系统以及不正常检测方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2009147734A1 (ja) * 2008-06-04 2011-10-20 ルネサスエレクトロニクス株式会社 車両、メンテナンス装置、メンテナンスサービスシステム及びメンテナンスサービス方法
JP2013017140A (ja) * 2011-07-06 2013-01-24 Hitachi Automotive Systems Ltd 車載ネットワークシステム
JP2016097748A (ja) * 2014-11-19 2016-05-30 トヨタ自動車株式会社 車両用運転支援装置
US20170093866A1 (en) * 2015-09-25 2017-03-30 Argus Cyber Security Ltd. System and method for controlling access to an in-vehicle communication network

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2748765C1 (ru) * 2018-06-22 2021-05-31 СиЭрЭрСи ЦИНДАО СЫФАН РОЛЛИН СТОК РИСЁРЧ ИНСТИТЬЮТ КО., ЛТД. Бортовая сетевая система и способ осуществления связи в ней
JP2020088717A (ja) * 2018-11-29 2020-06-04 株式会社デンソー 車載ネットワークシステム
JP7031568B2 (ja) 2018-11-29 2022-03-08 株式会社デンソー 車載ネットワークシステム
JP2020091937A (ja) * 2018-12-03 2020-06-11 株式会社遠藤照明 照明器具及び光源ユニット
JP2020141318A (ja) * 2019-02-28 2020-09-03 日本電産モビリティ株式会社 車載制御装置

Also Published As

Publication number Publication date
JP6485429B2 (ja) 2019-03-20
US10523683B2 (en) 2019-12-31
CN108023872B (zh) 2020-09-01
EP3319294A1 (en) 2018-05-09
CN108023872A (zh) 2018-05-11
EP3319294B1 (en) 2019-08-14
US20180131700A1 (en) 2018-05-10

Similar Documents

Publication Publication Date Title
JP6485429B2 (ja) 車載ネットワークシステム
JP5776779B2 (ja) 車載ゲートウェイ装置及び車両用通信システム
CN107817779B (zh) 基于以太网交换机的信息验证未注册的装置的系统及方法
CN105388858B (zh) 网络中通信节点的操作方法
US20180062988A1 (en) Ethernet communication of can signals
CN108075797B (zh) 车载通信系统
US20160234037A1 (en) Communication system and communication method
US11936500B2 (en) In-vehicle network system, relay device, and method of controlling in-vehicle network system
JP2018070121A (ja) 車載ネットワークシステム
KR20190000514A (ko) 차량 네트워크에서 진단 오류 방지를 위한 방법 및 장치
CN109716711A (zh) 网关、车载通信系统、通信控制方法和通信控制程序
JP7400820B2 (ja) 車載通信システム、車載装置および車両通信方法
CN111788796B (zh) 车载通信系统、交换装置、验证方法和计算机可读存储介质
JP2020501420A (ja) 通信ネットワーク用の方法及び電子監視ユニット
JP2009212939A (ja) 中継装置、通信システム及び通信方法
KR20180029854A (ko) 차량 네트워크에서 진단 방법 및 장치
JP2018041200A (ja) 車載通信機、管理装置、管理方法および監視プログラム
US11374740B2 (en) Controller area network key exchange
JP6544250B2 (ja) 中継装置
WO2020066790A1 (ja) 中継装置システム
JP7001026B2 (ja) 車両用通信装置
WO2021177019A1 (ja) 車載中継装置、及びコンピュータプログラム
JP7453404B2 (ja) 通信システム、中継装置、受信装置及び通信制御方法
JP2019106584A (ja) 車載中継装置
US20220231997A1 (en) Setting device, communication system, and vehicle communication management method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180222

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20181227

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190122

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190204

R151 Written notification of patent or utility model registration

Ref document number: 6485429

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151