JP2019080234A - 電子制御装置、通信管理方法、及びプログラム - Google Patents

電子制御装置、通信管理方法、及びプログラム Download PDF

Info

Publication number
JP2019080234A
JP2019080234A JP2017207250A JP2017207250A JP2019080234A JP 2019080234 A JP2019080234 A JP 2019080234A JP 2017207250 A JP2017207250 A JP 2017207250A JP 2017207250 A JP2017207250 A JP 2017207250A JP 2019080234 A JP2019080234 A JP 2019080234A
Authority
JP
Japan
Prior art keywords
key
communication
unit
identification code
vehicle network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017207250A
Other languages
English (en)
Other versions
JP6863227B2 (ja
Inventor
直哉 越前
Naoya Echizen
直哉 越前
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2017207250A priority Critical patent/JP6863227B2/ja
Priority to US16/125,166 priority patent/US11070547B2/en
Priority to CN201811049872.1A priority patent/CN109714072B/zh
Publication of JP2019080234A publication Critical patent/JP2019080234A/ja
Application granted granted Critical
Publication of JP6863227B2 publication Critical patent/JP6863227B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Abstract

【課題】車載ネットワークにおいて、中継装置を介さない通信経路においても、不正な外部装置による通信を制限しつつ、正当な外部装置による通信を許可することができるようにする。【解決手段】電子制御装置は、車載ネットワークに接続され、前記車載ネットワークにおける所定の通信を制限する電子制御装置であって、鍵装置の接続を受け付ける鍵接続部と、前記鍵接続部に接続された前記鍵装置を検証する鍵検証部と、前記鍵検証部による前記鍵装置の検証に成功した場合、前記車載ネットワークにおける前記所定の通信を許可する機能制御部と、を有する。【選択図】図3

Description

本発明は、電子制御装置、通信管理方法、及びプログラムに関する。
自動車等の車両に搭載される車載ネットワークにおいて、車載ネットワークに接続される外部装置による通信を制限する技術が知られている。
例えば、外部装置と車載LAN(Local Area Network)との通信を中継する中継装置を有し、認証システムが外部装置を認証したときだけ、外部装置と車載LANとの間の通信を許可するように中継装置を制御するシステムが知られている(例えば、特許文献1参照)。
また、複数のモジュール間で識別コード付きのメッセージを通信するネットワークにおいて、予め記憶した識別コードを含む通信フレームを検出したときに、ネットワークに対してエラーコードを出力する技術が知られている(例えば、特許文献2参照)。
国際公開第2013/038478号 特開2002−94535号公報
特許文献1に開示された技術では、中継装置によって、外部装置に対する通信許可が行われるので、中継装置を介さない通信経路では外部装置に対する通信を制限することができないという問題がある。このようなシステムでは、例えば、不正な外部装置が、中継装置ではなく、車載LANに直接接続された場合等に、不正な外部装置による通信を制限することができない場合がある。
一方、特許文献2に開示された技術では、予め記憶した識別コードを含む通信フレームに対してエラーコードが出力されるので、中継装置を介さない通信経路においても、当該識別コードを用いて通信を行う不正な外部装置による通信を制限することができる。ただし、この方法では、当該識別コードを用いて通信を行う正当な外部装置による通信に対しても、通信が制限されてしまうという問題がある。
本発明の実施の形態は、上記の問題点に鑑みてなされたものであって、車載ネットワークにおいて、中継装置を介さない通信経路においても、不正な外部装置による通信を制限しつつ、正当な外部装置による通信を許可することができるようにする。
上記の課題を解決するため、本発明の一実施形態に係る電子制御装置は、車載ネットワークに接続され、前記車載ネットワークにおける所定の通信を制限する電子制御装置であって、鍵装置の接続を受け付ける鍵接続部と、前記鍵接続部に接続された前記鍵装置を検証する鍵検証部と、前記鍵検証部による前記鍵装置の検証に成功した場合、前記車載ネットワークにおける前記所定の通信を許可する機能制御部と、を有する。
電子制御装置は、鍵装置の接続を受け付けし、鍵装置の検証に成功した場合、車載ネットワークにおける所定の通信を許可する。従って、電子制御装置は、不正な利用者が車載ネットワークに接続する不正な外部装置による通信を制限しつつ、鍵装置を有する正当な利用者による所定の通信を許可することができるようになる。
上述の実施形態において、前記鍵装置は、前記車載ネットワークに接続される外部装置による通信を許可しても良い。
これにより、電子制御装置は、鍵装置を有する正当な利用者が、車載ネットワークに接続する正当な外部装置による通信を許可することができる。
上述の実施形態において、前記鍵装置は、前記車載ネットワークに接続される外部装置による通信のうち、前記鍵装置に対応する前記所定の通信を許可しても良い。
これにより、電子制御装置は、鍵装置を有する正当な利用者が、車載ネットワークに接続する正当な外部装置による通信のうち、所定の通信を許可することができる。
上述の実施形態において、前記所定の通信はXCP通信を含むものであって良い。
これにより、電子制御装置は、鍵装置を有する正当な利用者が、車載ネットワークに接続する正当な外部装置による通信のうち、XCP通信を許可することができる。
上述の実施形態において、電子制御装置は、前記車載ネットワークに送信される通信フレームを受信する受信部と、前記通信フレームに、前記所定の通信に対応する識別コードが含まれる場合、前記通信フレームにエラーを発生させる発生部と、を有し、前記機能制御部は、前記鍵検証部による前記鍵装置の検証に成功したとき、前記発生部による前記エラーの発生を中止させても良い。
これにより、電子制御装置は、所定の通信に対応する識別コードを含む通信フレームに対してエラーを発生させることにより、所定の通信を制限することができる。また、電子制御装置は、正当な鍵装置が接続されたとき、所定の通信に対応する識別コードを含む通信フレームに対するエラーの発生を中止させることにより、所定の通信の制限を解除することができる。
上述の実施形態において、電子制御装置は、前記受信部が受信した前記通信フレームに含まれる識別コードと、前記所定の通信に対応する識別コードとを比較し、比較結果を前記発生部に出力する比較部を有し、前記機能制御部は、前記鍵検証部による前記鍵装置の検証に成功したとき、前記比較部による識別コードの比較を無効にしても良い。
これにより、電子制御装置は、比較部の機能を有効、又は無効に制御することにより、所定の通信に対する制限を容易に解除することができる。
本発明の他の実施形態では、前記鍵装置は、前記比較部による判定をバイパスするバイパス回路を含み、前記機能制御部は、前記鍵検証部による前記鍵装置の検証に成功したとき、前記バイパス回路を有効にする。
これにより、電子制御装置は、論理回路を用いて、比較部による識別コードの比較を無効にすることができる。
上述の各実施形態において、電子制御装置は、前記所定の通信に対応する識別コードを記憶する識別コード記憶部を有し、前記機能制御部は、前記鍵検証部による前記鍵装置の検証に成功したとき、前記識別コード記憶部に記憶した前記識別コードのうち、少なくとも一部を無効にしても良い。
これにより、電子制御装置は、正当な鍵装置が接続されたとき、識別コード記憶部に記憶した識別コードのうち、少なくとも一部の識別コードを用いて通信を行う、所定の通信を許可することができる。
本発明の他の実施形態は、通信管理方法、又はプログラムによって実現される。
本発明の実施の形態によれば、車載ネットワークにおいて、中継装置を介さない通信経路においても、不正な外部装置による通信を制限しつつ、正当な外部装置による通信を許可することができるようになる。
一実施形態に係る車載通信システムのシステム構成の例を示す図である。 第1の実施形態に係る通信管理装置のハードウェア構成の例を示す図である。 第1の実施形態に係る通信管理装置の機能構成の例を示す図である。 第1の実施形態に係る通信管理装置の処理の流れを示すフローチャートである。 第1の実施形態に係る識別コードについて説明するための図である。 第2の実施形態に係る通信管理装置、及び鍵装置の機能構成の例を示す図である。 第2の実施形態に係る通信管理装置の処理の流れを示すフローチャートである。 第2の実施形態に係る識別コードについて説明するための図である。
以下、図面を参照して発明を実施するための形態について説明する。
<システム構成>
図1は、一実施形態に係る車載通信システムのシステム構成の例を示す図である。車載通信システム1は、例えば、自動車等の車両10に搭載される。また、車載通信システム1は、車載ネットワーク130に接続された、通信管理装置100、及び1つ以上のECU(Electric Control Unit)120−1〜120−3を有する。なお、以下の説明の中で、1つ以上のECU120−1〜120−3のうち、任意のECUを示す場合、「ECU120」を用いる。また、図1に示すECU120の数は一例であり、ECU120の数は他の数であって良い。
ECU120は、車両10に搭載され、例えば、車両制御系、ボディー系、マルチメディア系等の予め定められた機能を制御する電子制御装置である。ECU120は、例えば、CPU(Central Processing Unit)、RAM(Random Access Memory)、フラッシュROM(Read Only Memory)、及び通信インタフェース等を含み、所定のプログラムを実行することにより、予め定められた機能を制御する。また、ECU120は、例えば、CAN(Controller Area Network)、XCP(Universal Calibration Protocol)等の所定の通信プロトコルを用いて、車載ネットワーク130に接続された他の装置と通信可能である。
例えば、ECU120は、XCPのスレーブ(以下、XCPスレーブと呼ぶ)として機能し、車載ネットワーク130に接続される外部ツール140等のXCPのマスター(以下、XCPマスターと呼ぶ)とXCP通信が可能である。なお、外部ツール140は、外部装置の一例である。
XCPは、車載ネットワーク130に接続する外部ツール140等を用いて、車両10に搭載される1つ以上のECU120にアクセスし、測定やキャリブレーションを行うための測定/キャリブレーション用のプロトコルの一例である。XCPでは、マスター・スレーブ通信方式が採用されており、XCPマスターが送信するコマンドに対して、コマンドを受信したXCPスレーブが、コマンドに対するレスポンスを送信することにより、通信が行われる。
XCPは、車載ネットワーク130において、XCPマスターからXCPスレーブへの送信であること、及びXCPスレーブからXCPマスターへの送信であることを区別することができる様々な通信システムで用いることができる。例えば、CANでは、XCPマスターからXCPスレーブへの送信であることを示すCANのIDと、XCPスレーブからXCPマスターへの送信であることを示すCANのIDとを割り当てることにより、XCP通信が可能である。
また、ECU120は、例えば、他のECUと、例えば、CAN等の車載ネットワーク用の通信プロトコルを用いて通信可能である。なお、ECU120は、CAN以外の通信プロトコルを用いて、他のECUと通信するものであっても良い。
通信管理装置(電子制御装置)100は、車載ネットワーク130に接続され、車載ネットワーク130における所定の通信を制限する電子制御装置である。例えば、通信管理装置100は、車載ネットワーク130に接続される不正な外部ツール140による通信を制限する機能を有している。
例えば、通信管理装置100は、車載ネットワーク130において、XCPマスターからXCPスレーブへの送信であることを示すCANのIDを含む通信フレームを検知すると、当該通信フレーム内においてエラーフレームを発生させる。これにより、通信管理装置100は、車載ネットワーク130に接続された不正な外部ツール140が、XCPプロトコルを用いて、ECU120と通信することを制限することができる。
ただし、これだけでは、車載ネットワーク130に、XCPプロトコルを用いて通信を行う正当な外部ツール140が接続されたときであっても、通信が制限されてしまうという問題がある。
そこで、本実施形態に係る通信管理装置100は、鍵装置110の接続を受け付ける鍵接続部を有しており、鍵接続部に正当な利用者が有する鍵装置110が接続された場合、車載ネットワーク130における所定の通信(例えば、XCP通信)を許可する。これにより、通信管理装置100は、不正な利用者が車載ネットワーク130に接続する不正な外部ツール140に対しては通信の制限を維持しつつ、鍵装置110を有する正当なユーザが、車載ネットワーク130に正当な外部ツール140を接続する際には、通信を許可することができる。
このように、本実施形態に係る鍵装置110は、車載ネットワーク130に接続される外部ツール140による通信を許可する機能を有している。また、鍵装置110は、車載ネットワーク130に接続される外部ツール140による通信のうち、鍵装置110に対応する所定の通信(例えば、XCP通信)を許可する機能を有していても良い。なお、鍵装置110は、例えば、所定の情報を記憶した電子的な鍵であっても良いし、物理的な形状により解錠を行う鍵等であっても良い。ここでは、鍵装置110が、所定の情報を記憶した電子的な鍵であるものとして、以下の説明を行う。
[第1の実施形態]
<ハードウェア構成>
続いて、第1の実施形態に係る通信管理装置100のハードウェア構成について説明する。図2は、第1の実施形態に係る通信管理装置のハードウェア構成の例を示す図である。通信管理装置100は、例えば、CPU201、RAM202、フラッシュROM203、接続端子204、通信I/F205、ロジック回路206、及びシステムバス207等を有する。
CPU201は、フラッシュROM203等に格納されたプログラムやデータ等をRAM202上に読み出し、処理を実行することで、通信管理装置100の各機能を実現する演算装置である。RAM202は、CPU201のワークエリア等として用いられる揮発性のメモリである。フラッシュROM203は、例えば、OS(Operating System)、プログラム、及び各種データ等を記憶する不揮発性のメモリである。
接続端子204は、通信管理装置100に鍵装置110を接続するためのインタフェースである。例えば、鍵装置110が、認証情報を記憶した記憶装置である場合、接続端子204は、鍵装置110を通信管理装置100に電気的に接続するためのコネクタ等である。また、鍵装置110が、物理的な形状に基づいて解錠を行う鍵である場合には、接続端子204は、鍵装置110の形状に対応する構造を有する。
通信I/F205は、通信管理装置100を車載ネットワーク130に接続する、例えば、CANトランシーバ等の通信インタフェースである。
ロジック回路206は、通信管理装置100が実現する各機能の少なくとも一部を実現するための論理回路であり、例えば、専用の集積回路や、プログラミング可能な集積回路等によって実現される。通信管理装置100が実現する各機能は、CPU201によって実行されるプログラムによって実現されるものであっても良いし、ロジック回路206によって実現されるものであっても良い。システムバス207は、上記の各構成要素に共通に接続され、例えば、アドレス信号、データ信号、各種制御信号等を伝達する。
<機能構成>
続いて、通信管理装置100の機能構成について説明する。図3は、第1の実施形態に係る通信管理装置の機能構成の例を示す図である。
通信管理装置100は、例えば、識別コード記憶部301、識別コード検出部302、比較部303、エラーフレーム発生部304、通信部305、鍵接続部306、鍵検証部307、及び機能制御部308を有する。
識別コード記憶部(記憶部)301は、例えば、図2のフラッシュROM、又はロジック回路206に含まれるレジスタ等によって実現され、通信管理装置100が通信を制限する所定の通信に対応する識別コードを記憶している。例えば、通信管理装置100が、XCP通信を制限する場合、識別コード記憶部301は、前述した、XCPマスターからXCPスレーブへの送信であることを示す識別コードを記憶している。
識別コード検出部302は、例えば、図2のCPU201で実行されるプログラム、又はロジック回路206等によって実現され、通信部305が受信する通信フレームに含まれる識別コードを検出する。例えば、通信部305がCANトランシーバである場合、識別コード検出部302は、通信フレームに含まれるCANのIDを検出する。
比較部303は、例えば、図2のCPU201で実行されるプログラム、又はロジック回路206によって実現される。比較部303は、識別コード検出部302が検出した識別コードと、識別コード記憶部301が記憶している識別コードとを比較し、比較結果をエラーフレーム発生部304に出力する。
ここで、比較部303が出力する比較結果が、2つの識別コードが一致したことを示す場合、通信部305が受信する通信フレームに、所定の通信に対応する識別コードが含まれていることを示している。一方、比較部303が出力する比較結果が、2つの識別コードが一致しないことを示す場合、通信部305が受信する通信フレームには、所定の通信に対応する識別コードが含まれていないことを示している。
エラーフレーム発生部304は、例えば、図2のCPU201で実行されるプログラム、又はロジック回路206等によって実現される。エラーフレーム発生部304は、比較部303から出力される比較結果が、通信部305が受信する通信フレームに、所定の通信に対応する識別コードが含まれていることを示す場合、当該通信フレームにエラーを発生させる。例えば、通信部305がCANトランシーバである場合、エラーフレーム発生部304は、当該通信フレーム内において、6ビットのドミナントで構成されるエラーフラグを含むエラーフレームを送信する。
一方、エラーフレーム発生部304は、比較部303から出力される比較結果が、通信部305が受信する通信フレームに、所定の通信に対応する識別コードが含まれていないことを示す場合、当該通信フレームにエラーを発生させない。
通信部(受信部)305は、例えば、図2に示すCPU201で実行されるプログラム、及び通信I/F205等によって実現され、例えば、CAN通信、XCP通信等の所定の通信を実行する。例えば、通信部305は、車載ネットワーク130に送信される通信フレームを受信する受信部として機能する。
鍵接続部306は、例えば、図2の接続端子204によって実現され、通信管理装置100への鍵装置110の接続を受け付ける。
鍵検証部307は、例えば、図2のCPU201で実行されるプログラム、又はロジック回路206等によって実現され、鍵接続部306に鍵装置110が接続されている場合、鍵接続部306に接続された鍵装置110が正当な鍵装置110であるかを検証する。
例えば、図3に示すように、鍵装置110が、認証情報を記憶する認証情報記憶部311を有する電子的な鍵である場合、鍵検証部307は、鍵装置110から、認証情報記憶部311に記憶された認証情報を取得する。
また、鍵検証部307は、登録済の鍵装置110の認証情報をフラッシュROM203等に予め記憶しておき、鍵装置110から取得した認証情報が、フラッシュROM203等に認証情報として記憶されている場合、鍵装置110の検証を成功させる。一方、鍵検証部307は、鍵装置110から取得した認証情報が、フラッシュROM203等に認証情報として記憶されていない場合、鍵装置110の検証を失敗させる。
別の一例として、例えば、鍵装置110が、物理的な形状を利用して解錠を行う鍵である場合、鍵検証部307は、鍵装置110による解錠が成功したか否かにより、鍵装置110の検証を行うもの等であっても良い。
機能制御部308は、例えば、図2のCPU201で実行されるプログラム、又はロジック回路206等によって実現され、鍵検証部307による鍵装置110の検証に成功した場合、通信管理装置100が通信を制限する所定の通信を許可する。例えば、機能制御部308は、鍵検証部307による鍵装置110の検証に成功した場合、エラーフレーム発生部304による、エラーの発生を中止させる。
機能制御部308が、エラーフレーム発生部304によるエラーの発生を中止させる方法としては、例えば、比較部303による識別コードの比較を無効にするものであっても良い。また、機能制御部308が、エラーフレーム発生部304によるエラーの発生を中止させる方法は、識別コード記憶部301に記憶した識別コードを無効にするものであっても良い。この場合、機能制御部308は、識別コード記憶部に記憶した識別コードのうち少なくとも1つを無効にするものであっても良い。
<処理の流れ>
続いて、図4、5を用いて、第1の実施形態に係る通信管理装置100が実行する通信管理方法の流れについて説明する。
なお、ここでは、一例として、ECU120、及び外部ツール140が送信する通信フレームには、図5(a)に示すように、通信の用途に応じて異なる識別コードが含まれているものとする。
例えば、ECU120が、ブレーキ制御用の通信フレームを送信する場合、送信する通信フレームには識別コード「0x10」が含まれる。また、ECU120が、サスペンション制御用の通信フレームを送信する場合、送信する通信フレームには識別コード「0x20」が含まれる。さらに、外部ツール140がXCP用の通信フレームを送信する場合、送信する通信フレームには識別コード「0x30」が含まれる。
また、ここでは、図5(b)に示すように、通信フレーム520は、データ522の前に、識別コード521を有しているものとする。
さらに、ここでは、通信管理装置100は、識別コード「0x30」を含む通信フレームを用いて通信が行われるXCP通信を制限するものとする。例えば、通信管理装置100は、図5(b)に示す通信フレーム520のように、識別コード521に「0x30」が含まれる場合、データ522内において、エラーフレームを送信することにより、通信フレームにエラーを発生させる。
図4は、第1の実施形態に係る通信管理装置の処理の流れを示すフローチャートである。
ステップS401において、通信管理装置100の通信部305が、車載ネットワーク130に送信される通信フレームを受信すると、通信管理装置100は、ステップS402以降の処理を実行する。
ステップS402において、通信管理装置100の鍵検証部307は、鍵接続部306に鍵装置110が接続されているか否かを判断する。鍵装置110が接続されている場合、通信管理装置100は、処理をステップS403に移行させる。一方、鍵装置110が接続されていない場合、通信管理装置100は、処理をステップS404に移行させる。
ステップS402からステップS403に移行すると、通信管理装置100の鍵検証部307は、鍵接続部306に接続された鍵装置110を検証する。例えば、鍵検証部307は、鍵接続部306に接続された鍵装置110から、認証情報記憶部311に記憶された認証情報を読出し、読出した認証情報が、予め記憶した登録済の鍵装置110の認証情報に含まれる場合、鍵装置110の検証を成功させる。
鍵装置110の検証に成功した場合、通信管理装置100は、処理をステップS406に移行させる。一方、鍵装置110の検証に成功しなかった場合、通信管理装置100は、処理をステップS404に移行させる。
ステップS404に移行すると、通信管理装置100の比較部303は、通信部305が受信した通信フレームから識別コード検出部302検出した識別コードと、識別コード記憶部301に記憶された識別コードとを比較する。
識別コード検出部302検出した識別コードと、識別コード記憶部301に記憶された識別コードとが一致した場合、すなわち、受信した通信フレームが所定の識別コード「0x30」を含む場合、通信管理装置100は、処理をステップS405に移行させる。一方、識別コード検出部302検出した識別コードと、識別コード記憶部301に記憶された識別コードとが一致しない場合、すなわち、受信した通信フレームが所定の識別コード「0x30」を含まない場合、通信管理装置100は、処理を終了させる。
ステップS405に移行すると、通信管理装置100のエラーフレーム発生部304は、通信部305が受信した通信フレームにおいて、エラーフレームを送信することにより、通信フレームにエラーを発生させる。
一方、ステップS403からステップS406に移行すると、通信管理装置100の機能制御部308は、識別コード記憶部301に記憶された識別コードを無効にする、又は比較部303による識別コードの比較を無効にする。これにより、通信管理装置100は、ステップS404、S405に示す、エラーフレームの発生処理を中止させる。
上記の処理により、通信管理装置100は、通信管理装置100に鍵装置110が接続されていない場合、及び鍵装置110の検証に成功しなかった場合には、所定の識別コードを含む通信フレームに対してエラーを発生させる。これにより、通信管理装置100は、正当な鍵装置110を有していない不正な利用者が、車載ネットワーク130に外部ツール140を接続したとき、外部ツール140による所定の通信(例えば、XCP通信)を制限することができる。
一方、通信管理装置100は、通信管理装置100に鍵装置110が接続されており、かつ鍵装置110の検証に成功した場合には、所定の識別コードを含む通信フレームに対して、エラーを発生させない。これにより、通信管理装置100は、正当な鍵装置110を有する正当な利用者が、通信管理装置100に鍵装置110を接続したとき、外部ツール140による所定の通信の制限を解除することができる。
[第2の実施形態]
第2の実施形態では、通信管理装置100を論理回路で構成する場合に好適な実施形態について説明する。
<ハードウェア構成>
第2の実施形態に係る通信管理装置100は、例えば、図2に示す第1の実施形態に係る通信管理装置100のハードウェア構成のうち、CPU201、RAM202、及びフラッシュROMを有していなくても良い。第2の実施形態では、例えば、図6に示すような、通信管理装置100の機能構成を、主にロジック回路206で実現している。
<機能構成>
図6は、第2の実施形態に係る通信管理装置、及び鍵装置の機能構成の例を示している。
通信管理装置100は、例えば、鍵接続部610、比較器620、識別コード検出器630、エラーフレーム発生器640、及び通信部650等を有する。
鍵接続部610は、例えば、図2の接続端子204によって実現され、鍵装置110の接続を受け付ける。
比較器620は、例えば、図2のロジック回路206によって実現され、例えば、鍵検証回路621、識別コード比較回路622、及び切替回路623を含む。なお、鍵検証回路621、及び切替回路623は、比較器620の外部に設けられているものであっても良い。また、切替回路623は、識別コード比較回路622に含まれているものであっても良い。
鍵検証回路(鍵検証部)621は、鍵接続部610に鍵装置110が接続されている場合、鍵接続部610に接続された鍵装置110を検証し、検証結果を切替回路623に出力する。例えば、鍵検証回路621は、鍵装置110が有する認証コード601を取得して、鍵検証回路621に予め設定された認証情報との比較することにより、鍵装置110を検証する。或いは、鍵装置110は、鍵装置110を認証するための複数の接点を有し、鍵検証回路621は、鍵接続部610に接続された鍵装置110の接点の論理値を、予め設定された論理値と比較することにより、鍵装置110を検証するもの等であっても良い。なお、鍵検証回路621は、鍵検証部の一例である。
識別コード比較回路(比較部)622は、識別コードのパターンを論理回路として有しており、識別コード検出器630から出力される識別コードを1ビット単位で論理比較する。これにより、例えば、プログラムの書換え等により、識別コードが無効化されることを防止することができる。また、識別コード比較回路622は、論理比較により、識別コードの全てのビットが一致した場合、エラーフレーム発生器640にエラーを発生させる。なお、識別コード比較回路622は、比較部の一例である。
切替回路(機能制御部)623は、鍵検証回路621からの検証結果が、鍵装置110の検証に成功したことを示す場合、識別コード比較回路622による識別コードの比較を無効にすると共に、鍵装置110のバイパス回路602を有効にする。これにより、切替回路623は、エラーフレーム発生器640による、エラーの発生を中止させる。一方、切替回路623は、鍵検証回路621からの検証結果が、鍵装置110の検証に失敗したことを示す場合、識別コード比較回路622による識別コードの比較を有効にする。なお、切替回路623は、機能制御部の一例である。
識別コード検出器630は、例えば、図2のロジック回路206によって実現され、通信部650が受信する通信フレームに含まれる識別コードを検出して、例えば、1ビット単位で比較器620に出力する。
エラーフレーム発生器(発生部)640は、例えば、図2のロジック回路206によって実現され、識別コード比較回路622から出力される制御信号に従って、通信フレーム内にエラーを発生させる。なお、エラーフレーム発生器640は、発生部の一例である。
通信部(受信部)650は、例えば、図2の通信I/F205等によって実現され、例えば、CAN通信、XCP通信等の所定の通信を実行する。例えば、通信部650は、車載ネットワーク130に送信される通信フレームを受信する受信部として機能する。
上記の構成により、比較器620は、鍵接続部610に鍵装置110が接続されていない場合、及び鍵装置110の検証に失敗した場合には、識別コード比較回路622が有効となる。これにより、比較器620は、通信部650が受信した通信フレームが、所定の識別コードを含むとき、エラーフレーム発生器640に、エラーを発生させる。
一方、比較器620は、鍵接続部610に鍵装置110が接続され、鍵装置110の検証に成功した場合には、識別コード比較回路622による識別コードの比較を無効にして、バイパス回路602を有効にする。これにより、鍵装置110のバイパス回路602は、比較器620の一部として機能し、エラーフレーム発生器640によるエラーの発生を中止させる。
鍵装置110は、例えば、専用の集積回路等により、認証コード601、バイパス回路602等を実現している。
認証コード601は、鍵装置110を認証するための情報であり、不揮発性のメモリ等に記憶されたものであっても良いし、認証コードのパターンを論理回路として有しているものであっても良い。
バイパス回路602は、切替回路623による制御に応じて、比較器620の一部として機能して、識別コード比較回路622による識別コードの比較をバイパスすることにより、比較器620の識別コード比較回路622の機能を無効にする。
<処理の流れ>
続いて、図7、8を用いて、第2の実施形態に係る通信管理装置100による通信管理方法の流れについて説明する。
図7は、第2の実施形態に係る通信管理装置の処理の流れを示すフローチャートである。なお、ここでは、第1の実施形態と同様に、ECU120、及び外部ツール140が送信する通信フレームには、通信の用途に応じて異なる識別コードが含まれているものとする。
ステップS701において、通信部650が、車載ネットワーク130に送信される通信フレームを受信すると、通信管理装置100は、ステップS702以降の処理を実行する。
ステップS702、S703において、鍵検証回路621は、鍵接続部610に鍵装置110が接続されている場合、鍵接続部610に接続されている鍵装置110を検証し、検証結果を切替回路623に出力する。また、切替回路623は、鍵検証回路621から出力される検証結果に応じて、処理を分岐させる。
例えば、鍵検証回路621が、鍵装置110の検証に成功した場合、切替回路623は、処理をステップS706に移行させる。一方、鍵装置110の検証に成功しなかった場合、切替回路623は、処理をステップS704に移行させる。
ステップS704に移行すると、識別コード比較回路622は、識別コード検出器630が検出する識別コードを、1ビット単位で比較することにより、通信部650が受信する通信フレームに所定の識別コードが含まれるか否かを判定する。
例えば、図8(a)に示すように、通信部650が受信する通信フレーム810には、識別コード811と、データ812とが含まれる。第1の実施形態では、比較部303が、識別コード811の全体を比較単位として、所定の識別コードの有無を判定していたが、第2の実施形態では、識別コード比較回路622が、1ビットを比較単位として、所定の識別コードの有無を判定する。例えば、識別コード比較回路622は、識別コード検出器630から、1ビットずつ出力される識別コード811を、論理回路として有する識別コードのパターンと順次に比較し、全てのビットが一致した場合、通信フレームに所定の識別コードが含まれると判定する。
通信部650が受信する通信フレームに所定の識別コードが含まれる場合、識別コード比較回路622は、ステップS705において、エラーフレーム発生器640に、エラーフレームを送信させる。これにより、例えば、図8(a)に示す通信フレーム810のデータ812においてエラーが発生し、通信フレーム810が無効となる。一方、通信部650が受信する通信フレームに所定の識別コードが含まれない場合、通信管理装置100は、処理を終了させる。
また、ステップS703からステップS706に移行すると、切替回路623は、識別コード比較回路622による識別コードの比較を無効にすると共に、鍵接続部306に接続された鍵装置110のバイパス回路602を有効にする。例えば、切替回路623は、識別コード検出器630から出力される識別コードの出力先を、識別コード比較回路622から、バイパス回路602に切替える。
これにより、バイパス回路602は、例えば、識別コード比較回路622による識別コードの比較をバイパスして、識別コード比較回路622による識別コードの比較を無効にする。
上記の処理により、通信管理装置100は、第1の実施形態と同様に、通信管理装置100に鍵装置110が接続されていない場合、及び鍵装置110の検証に成功しなかった場合には、所定の識別コードを含む通信フレームに対してエラーを発生させる。これにより、通信管理装置100は、正当な鍵装置110を有していない不正な利用者が、車載ネットワーク130に外部ツール140を接続したとき、外部ツール140による所定の通信(例えば、XCP通信)を制限することができる。
また、通信管理装置100は、第1の実施形態と同様に、通信管理装置100に鍵装置110が接続されており、かつ鍵装置110の検証に成功した場合には、所定の識別コードを含む通信フレームに対して、エラーを発生させない。これにより、通信管理装置100は、正当な鍵装置110を有する正当な利用者が、通信管理装置100に鍵装置110を接続したとき、外部ツール140による所定の通信の制限を解除することができる。
また、別の一例として、図7のステップS706において、鍵装置110が有するバイパス回路602は、識別コード比較回路622の機能の一部を無効にするものであっても良い。
例えば、識別コード比較回路622は、図8(b)に示す第1の通信プロトコル用の識別コード「0x30」のパターンと、第2の通信プロトコル用の識別コード「0x310」とパターンとを論理回路として有しているものとする。
一方、バイパス回路602は、図8(b)に示すように、第2の通信プロトコル用の識別コード「0x31」のパターンを論理回路として有し、識別コード検出器630から出力される識別コードを1ビット単位で論理比較する。また、バイパス回路602は、論理比較により、識別コードの全てのビットが一致した場合、エラーフレーム発生器640にエラーを発生させる。
このようにして、通信管理装置100に鍵装置110を接続することにより、通信管理装置100が通信を制限する複数の通信プロトコルのうち、所定の通信プロトコルによる通信のみを許可することもできる。
以上、本発明の各実施形態によれば、車載ネットワーク130において、中継装置を介さない通信経路においても、不正な外部ツール140による通信を制限しつつ、正当な外部装置40による通信を許可することができるようになる。
以上、本発明の実施形態について説明したが、本発明は上記の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、様々な変形や変更が可能である。
1 車載通信システム
100 通信管理装置(電子制御装置)
110 鍵装置
140 外部ツール(外部装置)
301 識別コード記憶部
303 比較部
304 エラーフレーム発生部(発生部)
305、650 通信部(受信部)
306、610 鍵接続部
307 鍵検証部
308 機能制御部
602 バイパス回路
621 鍵検証回路(鍵検証部の一例)
622 識別コード比較回路(比較部の一例)
623 切替回路(機能制御部の一例)
640 エラーフレーム発生器(発生部の一例)

Claims (10)

  1. 車載ネットワークに接続され、前記車載ネットワークにおける所定の通信を制限する電子制御装置であって、
    鍵装置の接続を受け付ける鍵接続部と、
    前記鍵接続部に接続された前記鍵装置を検証する鍵検証部と、
    前記鍵検証部による前記鍵装置の検証に成功した場合、前記車載ネットワークにおける前記所定の通信を許可する機能制御部と、
    を有する、電子制御装置。
  2. 前記鍵装置は、前記車載ネットワークに接続される外部装置による通信を許可する、請求項1に記載の電子制御装置。
  3. 前記鍵装置は、前記車載ネットワークに接続される外部装置による通信のうち、前記鍵装置に対応する前記所定の通信を許可する、請求項1に記載の電子制御装置。
  4. 前記所定の通信はXCP通信を含む、請求項1又は3に記載の電子制御装置。
  5. 前記車載ネットワークに送信される通信フレームを受信する受信部と、
    前記通信フレームに、前記所定の通信に対応する識別コードが含まれる場合、前記通信フレームにエラーを発生させる発生部と、
    を有し、
    前記機能制御部は、前記鍵検証部による前記鍵装置の検証に成功したとき、前記発生部による前記エラーの発生を中止させる、請求項1乃至4のいずれか一項に記載の電子制御装置。
  6. 前記受信部が受信した前記通信フレームに含まれる識別コードと、前記所定の通信に対応する識別コードとを比較し、比較結果を前記発生部に出力する比較部を有し、
    前記機能制御部は、前記鍵検証部による前記鍵装置の検証に成功したとき、前記比較部による識別コードの比較を無効にする、請求項5に記載の電子制御装置。
  7. 前記鍵装置は、前記比較部による判定をバイパスするバイパス回路を含み、
    前記機能制御部は、前記鍵検証部による前記鍵装置の検証に成功したとき、前記バイパス回路を有効にする、請求項6に記載の電子制御装置。
  8. 前記所定の通信に対応する識別コードを記憶する識別コード記憶部を有し、
    前記機能制御部は、前記鍵検証部による前記鍵装置の検証に成功したとき、前記識別コード記憶部に記憶した前記識別コードのうち、少なくとも一部を無効にする、請求項5に記載の電子制御装置。
  9. 車載ネットワークに接続され、前記車載ネットワークにおける所定の通信を制限する電子制御装置が実行する通信管理方法であって、
    前記電子制御装置が、
    前記電子制御装置が備える鍵接続部に鍵装置が接続されている場合、前記鍵接続部に接続された前記鍵装置を検証するステップと、
    前記鍵接続部に接続された前記鍵装置の検証に成功した場合、前記車載ネットワークにおける前記所定の通信を許可するステップと、
    を実行する、通信管理方法。
  10. 車載ネットワークに接続され、前記車載ネットワークにおける所定の通信を制限する電子制御装置に、
    前記電子制御装置が備える鍵接続部に鍵装置が接続されている場合、前記鍵接続部に接続された前記鍵装置を検証するステップと、
    前記鍵接続部に接続された前記鍵装置の検証に成功した場合、前記車載ネットワークにおける前記所定の通信を許可するステップと、
    を実行させるためのプログラム。
JP2017207250A 2017-10-26 2017-10-26 電子制御装置、通信管理方法、及びプログラム Active JP6863227B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2017207250A JP6863227B2 (ja) 2017-10-26 2017-10-26 電子制御装置、通信管理方法、及びプログラム
US16/125,166 US11070547B2 (en) 2017-10-26 2018-09-07 Electronic control device, a communication management method performable and a non-transitory storage medium configured to restrict predetermined communication in an in-vehicle network
CN201811049872.1A CN109714072B (zh) 2017-10-26 2018-09-10 电子控制装置、通信管理方法和非暂态存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017207250A JP6863227B2 (ja) 2017-10-26 2017-10-26 電子制御装置、通信管理方法、及びプログラム

Publications (2)

Publication Number Publication Date
JP2019080234A true JP2019080234A (ja) 2019-05-23
JP6863227B2 JP6863227B2 (ja) 2021-04-21

Family

ID=66243372

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017207250A Active JP6863227B2 (ja) 2017-10-26 2017-10-26 電子制御装置、通信管理方法、及びプログラム

Country Status (3)

Country Link
US (1) US11070547B2 (ja)
JP (1) JP6863227B2 (ja)
CN (1) CN109714072B (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6737189B2 (ja) * 2017-01-18 2020-08-05 トヨタ自動車株式会社 不正判定システム及び不正判定方法
JP6863227B2 (ja) * 2017-10-26 2021-04-21 トヨタ自動車株式会社 電子制御装置、通信管理方法、及びプログラム
DE102018205204A1 (de) * 2018-04-06 2019-10-10 Robert Bosch Gmbh Verfahren zum Bereitstellen von Anwendungsdaten zumindest einer auf einem Steuergerät eines Fahrzeugs ausführbaren Anwendung, Verfahren zum Kalibrieren eines Steuergeräts, Steuergerät und Auswerteeinrichtung
CN110708192B (zh) * 2019-09-27 2022-08-19 上海赫千电子科技有限公司 一种应用于可添加设备的车载管理系统及方法
JP7256138B2 (ja) * 2020-01-31 2023-04-11 トヨタ自動車株式会社 電子キー装置、電子キーシステム、及び電子キー制御プログラム
CN117250422A (zh) * 2023-08-31 2023-12-19 小米汽车科技有限公司 Xcp测量标定方法、装置、介质、车载控制器及车辆

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006213247A (ja) * 2005-02-04 2006-08-17 Fujitsu Ten Ltd 始動制御装置
WO2013038478A1 (ja) * 2011-09-12 2013-03-21 トヨタ自動車株式会社 車両用電子制御装置
JP2017069965A (ja) * 2014-12-01 2017-04-06 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知電子制御ユニット、車載ネットワークシステム及び不正検知方法
US20190020717A1 (en) * 2017-07-11 2019-01-17 GM Global Technology Operations LLC Vehicle network implementing xcp protocol policy and method

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4570753B2 (ja) 2000-09-01 2010-10-27 モトローラ・インコーポレイテッド エラーコード送出装置および方法
CN104471919B (zh) * 2012-07-10 2016-11-16 丰田自动车株式会社 车载信息处理装置及车载信息处理方法
EP2741452A1 (en) * 2012-12-10 2014-06-11 Robert Bosch Gmbh Method for data transmission among ECUs and/or measuring devices
CN104340086B (zh) * 2013-08-01 2016-12-28 一汽海马汽车有限公司 车辆电动座椅的控制系统及其控制方法
JP2015168325A (ja) * 2014-03-06 2015-09-28 トヨタ自動車株式会社 車両用警報システム
US10824720B2 (en) * 2014-03-28 2020-11-03 Tower-Sec Ltd. Security system and methods for identification of in-vehicle attack originator
CN110843706A (zh) * 2014-04-03 2020-02-28 松下电器(美国)知识产权公司 网络通信系统、不正常检测电子控制单元以及不正常应对方法
US9373239B2 (en) * 2014-07-17 2016-06-21 Toyota Motor Engineering & Manufacturing North America, Inc. In-vehicle prescription and medical reminders
JP6201962B2 (ja) * 2014-11-06 2017-09-27 トヨタ自動車株式会社 車載通信システム
JP6836340B2 (ja) * 2015-09-29 2021-02-24 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知電子制御ユニット、車載ネットワークシステム及び通信方法
JP6683588B2 (ja) * 2016-11-10 2020-04-22 Kddi株式会社 再利用システム、サーバ装置、再利用方法、及びコンピュータプログラム
WO2018198297A1 (ja) * 2017-04-27 2018-11-01 富士通株式会社 車両システム及び鍵配信方法
JP6863227B2 (ja) * 2017-10-26 2021-04-21 トヨタ自動車株式会社 電子制御装置、通信管理方法、及びプログラム
CN110226310B (zh) * 2017-12-01 2022-07-19 松下电器(美国)知识产权公司 电子控制装置、不正当检测服务器、车载网络系统、车载网络监视系统以及方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006213247A (ja) * 2005-02-04 2006-08-17 Fujitsu Ten Ltd 始動制御装置
WO2013038478A1 (ja) * 2011-09-12 2013-03-21 トヨタ自動車株式会社 車両用電子制御装置
JP2017069965A (ja) * 2014-12-01 2017-04-06 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知電子制御ユニット、車載ネットワークシステム及び不正検知方法
US20190020717A1 (en) * 2017-07-11 2019-01-17 GM Global Technology Operations LLC Vehicle network implementing xcp protocol policy and method

Also Published As

Publication number Publication date
CN109714072B (zh) 2021-07-13
US20190132311A1 (en) 2019-05-02
US11070547B2 (en) 2021-07-20
JP6863227B2 (ja) 2021-04-21
CN109714072A (zh) 2019-05-03

Similar Documents

Publication Publication Date Title
JP6863227B2 (ja) 電子制御装置、通信管理方法、及びプログラム
US11271965B2 (en) Security system for electronic equipment
US9866570B2 (en) On-vehicle communication system
JP6477281B2 (ja) 車載中継装置、車載通信システム及び中継プログラム
EP3358803A1 (en) Systems and methods for transmitting messages in a controller area network
JP5472466B2 (ja) 車両用電子制御装置
EP3565212B1 (en) Method for providing an authenticated update in a distributed network
US9596225B2 (en) Out-of-vehicle device interface apparatus and method for protecting in-vehicle network
US10764326B2 (en) Can controller safe against can-communication-based hacking attack
US11938897B2 (en) On-vehicle device, management method, and management program
WO2018173732A1 (ja) 車載通信装置、コンピュータプログラム及びメッセージ判定方法
JP2019156331A (ja) プログラム更新管理装置
JP6524905B2 (ja) 電子制御装置
WO2021024739A1 (ja) 車載中継装置、車載通信システム、通信プログラム及び通信方法
KR102001420B1 (ko) 전자제어유닛, 차량 통신 보안시스템 및 보안방법
JP2017123570A (ja) 中継装置及び通信システム
JP2014021617A (ja) 車両用認証装置及び車両用認証システム
JP2018198363A (ja) 通信システム、及び通信制御方法
WO2021166321A1 (ja) セキュリティシステム、車両、セキュリティ装置および正当性判断方法
KR20180039586A (ko) Can 통신 기반 해킹공격에 안전한 can 컨트롤러
JP2013121071A (ja) 中継システム及び、当該中継システムを構成する中継装置、外部装置
JP2017151870A (ja) データ処理装置およびデータ処理システム
Khan Design of a High Efficiency In-Vehicle Network with a Single ECU for a Network (SEN)
JP4175217B2 (ja) 車載システム
KR20230028948A (ko) 통신 네트워크, 이에 연결된 노드를 식별하는 방법 및 장치

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200226

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210128

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210302

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210315

R151 Written notification of patent or utility model registration

Ref document number: 6863227

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151