JP2020015338A - 制御装置およびセキュリティ管理方法 - Google Patents

制御装置およびセキュリティ管理方法 Download PDF

Info

Publication number
JP2020015338A
JP2020015338A JP2018137799A JP2018137799A JP2020015338A JP 2020015338 A JP2020015338 A JP 2020015338A JP 2018137799 A JP2018137799 A JP 2018137799A JP 2018137799 A JP2018137799 A JP 2018137799A JP 2020015338 A JP2020015338 A JP 2020015338A
Authority
JP
Japan
Prior art keywords
control device
repro
removal
unit
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018137799A
Other languages
English (en)
Other versions
JP7177616B2 (ja
Inventor
惇也 ▲高▼野
惇也 ▲高▼野
Junya Takano
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Ten Ltd
Original Assignee
Denso Ten Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Ten Ltd filed Critical Denso Ten Ltd
Priority to JP2018137799A priority Critical patent/JP7177616B2/ja
Publication of JP2020015338A publication Critical patent/JP2020015338A/ja
Application granted granted Critical
Publication of JP7177616B2 publication Critical patent/JP7177616B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】データの流出や悪用を防止すること。【解決手段】実施形態に係る制御装置は、取得部と、監視部と、セキュリティ処理部とを備える。取得部は、自装置へ接続された他装置への配信データを外部から取得し、記憶部へ保持させる。監視部は、自装置の装着状態を監視する。セキュリティ処理部は、監視部によって自装置の取り外しが検知された場合に、記憶部に保持された配信データを消去する。【選択図】図2

Description

開示の実施形態は、制御装置およびセキュリティ管理方法に関する。
従来、車両に搭載され、エンジンやトランスミッション、カーナビゲーションといった車両の各種システムをそれぞれ電子制御する制御装置であるECU(Electronic Control Unit)が知られている。かかるECUでは、たとえばマイクロコンピュータ(以下、「マイコン」と記載する)が、ECUの内部に予め保持された制御プログラムを読み出して実行することにより、各ECUに割り当てられた各種機能を実行する。
なお、このようなECUの制御プログラムは、機能を追加する場合や事後的に不具合が発見された場合などに、更新(リプログラミング)が必要となる場合がある。そこで、近年では、管理センタから無線通信を介して更新用データを取得するとともに、かかる更新用データをCAN(Controller Area Network)等を介して各ECUへ配信し、各ECUのリプログラミングを実行する技術が提案されている(たとえば、特許文献1参照)。また、車両では、上記した更新用データだけでなく、各種のデータをセンタから無線通信を介して取得することが行われている。
特開2012−178035号公報
しかしながら、上述した従来技術には、データの流出や悪用を防止するうえで、更なる改善の余地がある。
たとえば、上述した従来技術では、管理センタから更新用データを取得して各ECUへ配信する制御装置が存在するが、かかる制御装置が更新用データを保持した状態でたとえば悪意の不正者により取り外され、外部へ持ち出された場合、データの流出や悪用が懸念される。
実施形態の一態様は、上記に鑑みてなされたものであって、データの流出や悪用を防止することができる制御装置およびセキュリティ管理方法を提供することを目的とする。
実施形態の一態様に係る制御装置は、取得部と、監視部と、セキュリティ処理部とを備える。前記取得部は、自装置へ接続された他装置への配信データを外部から取得し、記憶部へ保持させる。前記監視部は、当該自装置の他装置または車両への装着状態を監視する。前記セキュリティ処理部は、前記監視部によって当該自装置の取り外しが検知された場合に、前記記憶部に保持された前記配信データを消去する。
実施形態の一態様によれば、データの流出や悪用を防止することができる。
図1Aは、実施形態に係る車載システムの概要説明図である。 図1Bは、データ流出のイメージ図である。 図1Cは、実施形態に係るセキュリティ管理方法の概要説明図である。 図2は、実施形態に係る車載システムのブロック図である。 図3Aは、取り外し履歴の具体例を示す図(その1)である。 図3Bは、取り外し履歴の具体例を示す図(その2)である。 図4は、実施形態に係るリプロ制御装置が実行する処理手順を示すフローチャートである。 図5は、実施形態に係るリプロ制御装置が実行する処理手順の変形例を示すフローチャートである。
以下、添付図面を参照して、本願の開示する更新制御装置およびセキュリティ管理方法の実施形態を詳細に説明する。なお、以下に示す実施形態によりこの発明が限定されるものではない。
また、以下では、「リプログラミング」という用語については、短縮して「リプロ」と記載する場合がある。また、以下では、本実施形態に係るセキュリティ管理方法の概要について図1A〜図1Cを用いて説明した後に、かかるセキュリティ管理方法を適用したリプロ制御装置10(「制御装置」の一例に相当)を含む車載システム1の具体的な構成例について、図2〜図5を用いて説明することとする。
まず、本実施形態に係るセキュリティ管理方法の概要について、図1A〜図1Cを用いて説明する。図1Aは、本実施形態に係る車載システム1の概要説明図である。また、図1Bは、データ流出のイメージ図である。また、図1Cは、本実施形態に係るセキュリティ管理方法の概要説明図である。
図1Aに示すように、車両Cは、車載システム1を備える。車載システム1は、複数のECU20−1〜20−nを備える。ECU20−1〜20−nは、CAN等の車載ネットワークCNにより相互通信可能に接続され、それぞれ制御プログラムを実行することによって、たとえばエンジンやトランスミッション、カーナビゲーションといった各種システムを電子制御する。
また、車載システム1は、リプロ制御装置10を備える。リプロ制御装置10は、ECU20−1〜20−nのリプログラミングを制御する制御装置であって、OBD(On-board diagnostics)コネクタ30を介して車載ネットワークCNにより、ECU20−1〜20−nと相互通信可能に接続される。
また、リプロ制御装置10は、通信ネットワークNを介してデータセンタのセンタサーバ100と無線通信可能に設けられている。通信ネットワークNは、たとえば携帯電話回線網である。
なお、データセンタは、ECU20−1〜20−nで動作させる各種プログラムに関するデータを管理する管理センタであり、たとえば車両Cのメーカーによって運営される。センタサーバ100は、かかるデータセンタによって管理・運用され、ECU20−1〜20−nの少なくともいずれかに該当する更新用データがある場合に、当該更新用データをリプロ制御装置10へ向けてダウンロードする。
リプロ制御装置10は、かかるセンタサーバ100からダウンロードされる更新用データを取得し、リプロ関連データ13aとして図示略の記憶部13(図2参照)へ保持する。なお、リプロ関連データ13aには、更新用のプログラムデータのほか、暗号化されて送られてくるプログラムデータの復元等でリプログラミング時に必要となる暗号鍵などが含まれる。
そして、リプロ制御装置10は、保持したリプロ関連データ13aに基づき、リプログラミングの対象となるECU20−1〜20−nへ更新用データを配信して、リプログラミングを実行する。リプログラミングの実行後は、リプロ制御装置10は、リプロ関連データ13aを消去する。
ところで、こうした無線通信を利用したリプログラミングの方法に対し、車両Cにリプログラミング専用のリプロツールを有線接続し、かかるツールを介して更新用データをインストールするリプログラミングの方法もある。かかる方法の場合、リプログラミングの作業実施者は、車両Cのメーカーの担当者や、ディーラーの整備士など、車両Cの開発・整備等に関わる関係者であることが多いため、データの流出や悪用などの懸念は少ない。
ところが、無線通信を利用したリプログラミングの方法の場合、リプロツールを有していない、車両Cのユーザや、ひいては第三者までもがリプログラミングを実施可能な形態となる。このため、図1Bに示すように、たとえば悪意をもった不正者Mが、リプロ関連データ13aが保持された状態のリプロ制御装置10を取り外して、他の車両C’や解析装置Pに装着し、データを流出させ、悪用するなどの懸念が高まる。
なお、悪意をもっていなくとも、リプロ関連データ13aを保持した状態のリプロ制御装置10を、一般のユーザがたとえば過失により取り外してしまうことは考えられるので、やはりデータの流出は懸念されることとなり、こうした事態に対するセキュリティ対策を講ずる必要がある。
そこで、本実施形態に係るセキュリティ管理方法では、リプロ制御装置10が、自装置の装着状態を監視し、かかる監視によって自装置の取り外しが検知された場合に、その履歴情報を記録し、センタサーバ100へ通知するとともに、記憶部13に保持されたリプロ関連データ13aを消去することとした。
具体的には、図1Cに示すように、本実施形態に係るセキュリティ管理方法では、リプロ制御装置10は、通常動作中に、自装置の装着状態を監視する(ステップS1)。ステップS1では、リプロ制御装置10はたとえば、自装置へ電源を供給する図示略のバッテリ50(図2参照)の電圧状態や、車載ネットワークCNの通信状態を監視する。
そして、リプロ制御装置10は、かかる監視によってたとえば電圧の急激な低下や通信途絶を検出した場合に、自装置の取り外しを検知する(ステップS2)。自装置の取り外しが検知された場合、リプロ関連データ13aが保持されている状態であるならば、リプロ制御装置10は、かかる取り外しに関する履歴情報を記録する(ステップS3)。
また、リプロ制御装置10は、かかる履歴情報を、通信ネットワークNを介してたとえばデータセンタのセンタサーバ100へ通知する(ステップS4)。また、その一方で、リプロ制御装置10は、保持されているリプロ関連データ13aを消去する(ステップS5)。
なお、リプロ制御装置10は、バッテリ50からの電源供給が途絶えても、予備的な電源供給が可能な図示略の補助電源15(図2参照)を備えており、かかる補助電源15からの供給電源に応じてステップS2〜S5を実行することができる。
具体的には、補助電源15が小容量であれば、リプロ制御装置10は、ステップS2およびS3を実行して一旦処理を終了する。そして、リプロ制御装置10は、自装置がいずこか(車両C’や解析装置P等)に再装着されて通常電源が供給された次回起動時に、ステップS4およびS5を実行する。
一方、補助電源15の容量に余裕があれば、リプロ制御装置10は、ステップS2〜S5を連続的に実行し、処理を終了するようにしてもよい。このように、ステップS2〜S5を連続的に実行する場合でも、前述のようにステップS2〜S5を、装置の終了/起動を挟んで分けて実行する場合でも、たとえば不正者Mがリプロ制御装置10を起動させたときにはリプロ関連データ13aは消去されることとなり、データの流出や悪用を防止することができる。
なお、リプロ制御装置10が取り外された後の次回起動時(リプロ関連データ13aのデータ消去処理時)より前に、リプロ制御装置10からリプロ関連データ13aが記憶された記憶部13のみが取り外されてしまう可能性があるので、リプロ制御装置10の取り外しが検知された時点でリプロ関連データ13aを消去する方が、セキュリティの観点ではよりよい。
また、リプロ制御装置10の取り外しが検知された時点で、前述の暗号鍵のみを消去するように構成してもよい。更新用のプログラムデータは暗号化された状態で記憶されているので、暗号鍵がなければデータの復元はできないうえ、重要度が高い暗号鍵の流出を優先的に防ぐことができるので、セキュリティの観点では効果的である。なお、暗号鍵のみを消去した場合で、仮に取り外しが悪意ある取り外しでなかったとしても、正常な再接続後に、暗号鍵のみをセンタサーバ100から再入手すればよい。
なお、ステップS2〜S5を、装置の終了/起動を挟んで分けて実行する場合、連続的に実行する場合それぞれの具体的な処理手順については、図4および図5を用いて後述する。
また、ステップS4で履歴情報をセンタサーバ100へ通知することにより、データセンタでかかる履歴情報を解析することが可能となり、たとえば不正者Mを特定するのに資することができる。
以下、上述したセキュリティ管理方法を適用したリプロ制御装置10を含む車載システム1について、さらに具体的に説明する。
図2は、本実施形態に係る車載システム1のブロック図である。なお、図2では、本実施形態の特徴を説明するために必要な構成要素のみを表しており、一般的な構成要素についての記載を省略している。
換言すれば、図2に図示される各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。例えば、各ブロックの分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することが可能である。
また、既に説明済みの構成要素については、図2を用いた説明では、説明を簡略化するか省略する場合がある。
図2に示すように、車両Cは、車載システム1を備える。車載システム1は、リプロ制御装置10と、ECU20−1〜20−nと、OBDコネクタ30と、ゲートウェイ装置40と、バッテリ50とを備える。
OBDコネクタ30は、たとえばOBD2(On Board Diagnosis second generation)といった規格に沿った、車両Cのいわゆる自己診断機能用の接続インタフェースである。リプロ制御装置10は、かかるOBDコネクタ30を介して車載ネットワークCNと接続される。ゲートウェイ装置40は、車載ネットワークCNにおけるゲートウェイ機能を提供する。
バッテリ50は、車両Cに搭載された主要電源である。リプロ制御装置10は、OBDコネクタ30を介して、かかるバッテリ50から電源供給を受ける。
リプロ制御装置10は、通信部11と、GPS(Global Positioning System)センサ12と、記憶部13と、制御部14と、補助電源15とを備える。なお、図2では、補助電源15がリプロ制御装置10の外部に取り付けられている構成を図示しているが、リプロ制御装置10が取り外されても確実に電源供給を行うために、補助電源15がリプロ制御装置10の内部に搭載されていてもよい。
通信部11は、たとえば、国際電気通信連合が定める無線通信規格に準拠するNIC(Network Interface Card)等によって実現される。通信部11は、通信ネットワークNと無線で接続され、通信ネットワークNを介してセンタサーバ100との間で情報の送受信を行う。
GPSセンサ12は、GPS衛星から受信する電波に基づいて車両Cの現在位置を検知する。
記憶部13は、書き替え可能な不揮発性のメモリであり、たとえば、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現され、図2の例では、リプロ関連データ13aと、取り外し履歴13bとを記憶する。
リプロ関連データ13aは、後述する取得部14aによって取得される、センタサーバ100からの更新用データである。なお、既に述べたように、リプロ関連データ13aには、更新用のプログラムデータのほか、リプログラミング時に必要となる暗号鍵など、リプログラミングに関連する種々の情報が含まれる。
取り外し履歴13bは、上述した履歴情報の一例であり、後述する監視部14cによって自装置の取り外しが検知された場合に、監視部14cにより記録される。
ここで、取り外し履歴13bの具体例について説明しておく。図3Aは、取り外し履歴13bの具体例を示す図(その1)である。また、図3Bは、取り外し履歴13bの具体例を示す図(その2)である。
図3Aに示すように、取り外し履歴13bは、たとえば「取り外し時刻」と、「取り外し時現在位置」とを少なくとも含む。「取り外し時現在位置」は、GPSセンサ12の検知結果に基づく。また、図示していないが、リプロ制御装置10のMAC(Media Access Control)アドレスや、車両Cの車台番号、ユーザの特定情報等、種々の識別情報を含んでいてもよい。
また、図3Aに示すように、取り外し履歴13bは、さらに「再装着時現在位置」を含んでもよい。「再装着時現在位置」は、リプロ制御装置10がいずこかに再装着されて、再起動したときの現在位置であり、GPSセンサ12の検知結果に基づく。
取り外し履歴13bは、かかる「再装着時現在位置」を含んでセンタサーバ100へ通知されることにより、たとえば不正者Mを特定するのに資することができる。
図2の説明に戻り、つづいて制御部14について説明する。制御部14は、コントローラ(controller)であり、たとえば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)、マイクロコンピュータ等によって、記憶部13に記憶されている図示略の各種プログラムが図示略のRAM(Random Access Memory)を作業領域として実行されることにより実現される。また、制御部14は、たとえば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路でも実現することができる。
図2に示すように、制御部14は、取得部14aと、更新処理部14bと、監視部14cと、セキュリティ処理部14dとを有し、以下に説明する情報処理の機能や作用を実現または実行する。
取得部14aは、通信部11を介してセンタサーバ100から更新用データを取得する。また、取得部14aは、取得した更新用データを、リプロ関連データ13aとして記憶部13に保持させる。
更新処理部14bは、リプロ関連データ13aに基づき、ECU20−1〜20−nに対するリプログラミングを実施する更新処理を実行する。また、更新処理部14bは、ECU20−1〜20−nに対するリプログラミングが正常に実施された後、リプロ関連データ13aを消去する。
監視部14cは、自装置すなわちリプロ制御装置10の、OBDコネクタ30への装着状態を監視する。また、監視部14cは、かかる監視において、たとえばバッテリ50の電圧の急激な低下や通信途絶を検出した場合に、自装置の取り外しを検知する。
なお、OBDコネクタ30を介さずに、バッテリ50からリプロ制御装置10へ電源供給が行われる構成であっても、バッテリ50のバッテリ電圧を監視することで、車両Cからのリプロ制御装置10の取り外し(バッテリ線の取り外し)を検知することが可能である。リプロ制御装置10の着脱検知としては、OBDコネクタ30の着脱を検知することが望ましいが、上記のように単純にバッテリ線の取り外しを検知する構成であってもよい。
また、図2では、監視部14cが、CPU等で構成される制御部14で動作する場合を図示しているが、監視部14cを、常時電源が供給され、動作電圧の低いIC等で構成してもよい。かかる場合、たとえばIGスイッチがオフされて、制御部14が電源オフ状態やスリープモードに移行した場合であっても、監視部14cが動作して取り外しを検知できるように構成することができる。なお、かかる場合に、監視部14cは取り外しを検知すると、制御部14の起動を行う。
また、監視部14cは、自装置の取り外しを検知した場合に、記憶部13にリプロ関連データ13aが保持されているならば、取り外しによって自装置を終了させる前に、取り外し履歴13bを記録する。
また、監視部14cは、少なくとも取り外しを検知した際の現在時刻(図3Aおよび図3Bの「取り外し時刻」参照)ならびに現在位置(図3Aおよび図3Bの「取り外し時現在位置」参照)を含むように取り外し履歴13bを記録する。
セキュリティ処理部14dは、監視部14cによって自装置の取り外しが検知された場合に、記憶部13に保持されたリプロ関連データ13aを消去する。なお、セキュリティ処理部14dは、たとえば、取り外し後に自装置がいずこかへ再装着され、起動された際に、リプロ関連データ13aを消去する。
また、セキュリティ処理部14dは、記憶部13に取り外し履歴13bが記録されている場合に、この取り外し履歴13bを通信部11を介してセンタサーバ100へ通知する。また、セキュリティ処理部14dは、記憶部13に取り外し履歴13bが記録されている場合に、リプロ関連データ13aを消去する。
次に、実施形態に係るリプロ制御装置10が実行する処理手順について、図4を用いて説明する。図4は、実施形態に係るリプロ制御装置10が実行する処理手順を示すフローチャートである。なお、図4には、図1Cで説明した、ステップS2〜S5を、装置の終了/起動を挟んで分けて実行する場合の処理手順を示している。すなわち、補助電源15が小容量である場合である。
まず、前提として、リプロ制御装置10が正常にOBDコネクタ30へ装着され、通常動作中であるものとする。この場合、図4に示すように、監視部14cは、自装置の装着状態を監視する(ステップS101)。そして、監視部14cは、取り外しを検知しなければ(ステップS102,No)、ステップS101からの処理を繰り返す。
一方、取り外しを検知した場合(ステップS102,Yes)、監視部14cは、記憶部13にリプロ関連データ13aがあるならば(ステップS103,Yes)、取り外し履歴13bを記録する(ステップS104)。
また、記憶部13にリプロ関連データ13aがなければ(ステップS103,No)、ステップS105へ移行する。
そして、監視部14cは、リプロ制御装置10を終了させる終了処理を実行する(ステップS105)。なお、つづくステップS106およびS107は、リプロ制御装置10によるものではないので、便宜上破線で示す。
まず、取り外されたリプロ制御装置10は、いずこかへ再装着される(ステップS106)。そのうえで、リプロ制御装置10には、電源供給が開始される(ステップS107)。
電源供給が開始されると、リプロ制御装置10は、起動処理を開始する(ステップS108)。かかる起動処理中において、セキュリティ処理部14dは、記憶部13に取り外し履歴13bがあるか否かを判定する(ステップS109)。
ここで、取り外し履歴13bがある場合(ステップS109,Yes)、セキュリティ処理部14dは、かかる取り外し履歴13bの内容をセンタサーバ100へ通知する(ステップS110)。そのうえで、セキュリティ処理部14dは、記憶部13に保持されているリプロ関連データ13aを消去する(ステップS111)。
一方、取り外し履歴13bがない場合(ステップS109,No)、ステップS112へ移行する。なお、取り外し履歴13bがない場合であっても、念のため、ステップS111のリプロ関連データ13aを消去する処理を実行するようにしてもよい。
そして、リプロ制御装置10は、起動処理終了後、通常動作を開始する(ステップS112)。なお、図示していないが、ステップS109において取り外し履歴13bがあった場合には、ステップS112で通常動作へ移行するのではなく、終了処理を実行させるようにしてもよい。すなわち、不正者Mにより再装着された可能性がある場合においては、リプロ制御装置10を通常動作させなくともよい。
次に、実施形態に係るリプロ制御装置10が実行する処理手順の変形例について、図5を用いて説明する。図5は、実施形態に係るリプロ制御装置10が実行する処理手順の変形例を示すフローチャートである。なお、図5には、図1Cで説明した、ステップS2〜S5を連続的に実行する場合の処理手順を示している。
図4の場合と同様に、前提として、リプロ制御装置10が正常にOBDコネクタ30へ装着され、通常動作中であるものとする。この場合、図5に示すように、監視部14cは、自装置の装着状態を監視する(ステップS201)。そして、監視部14cは、取り外しを検知しなければ(ステップS202,No)、ステップS201からの処理を繰り返す。
一方、取り外しを検知した場合(ステップS202,Yes)、監視部14cは、記憶部13にリプロ関連データ13aがあるならば(ステップS203,Yes)、取り外し履歴13bを記録する(ステップS204)。
セキュリティ処理部14dは、かかる取り外し履歴13bの内容をセンタサーバ100へ通知する(ステップS205)。そして、セキュリティ処理部14dは、記憶部13に保持されているリプロ関連データ13aを消去する(ステップS206)。
なお、記憶部13にリプロ関連データ13aがなければ(ステップS203,No)、ステップS207へ移行する。
そして、監視部14cが、リプロ制御装置10を終了させる終了処理を実行し(ステップS207)、処理を終了する。
上述してきたように、本実施形態に係るリプロ制御装置10は、取得部14aと、監視部14cと、セキュリティ処理部14dとを備える。取得部14aは、自装置へ接続されたECU20−1〜20−n(「他装置」の一例に相当)へのリプロ関連データ13a(「配信データ」の一例に相当)をセンタサーバ100(「外部」の一例に相当)から取得し、記憶部13へ保持させる。監視部14cは、自装置のECU20−1〜20−nまたはOBDコネクタ30(「車両」の一例に相当)への装着状態を監視する。セキュリティ処理部14dは、監視部14cによって自装置の取り外しが検知された場合に、記憶部13に保持されたリプロ関連データ13aを消去する。
したがって、本実施形態に係るリプロ制御装置10によれば、データの流出や悪用を防止することができる。
また、セキュリティ処理部14dは、取り外しが検知された後に自装置が起動された際に、リプロ関連データ13aを消去する。
したがって、本実施形態に係るリプロ制御装置10によれば、通常電源が供給された状態でリプロ関連データ13aを消去するので、途中で電源が切れてリプロ関連データ13aの消去が不完全となることがない。すなわち、データの流出や悪用を防止することができる。
また、監視部14cは、上記取り外しを検知した場合に、リプロ関連データ13aが記憶部13に保持されているならば、かかる取り外しによって自装置の電源がオフ状態になる前に、かかる取り外しが行われたことを示す取り外し履歴13b(「履歴情報」の一例に相当)を記憶部13へ記録する。
したがって、本実施形態に係るリプロ制御装置10によれば、補助電源15が小容量であっても、少なくとも取り外し履歴13bを残すことができる。
また、セキュリティ処理部14dは、取り外し履歴13bをセンタサーバ100へ通知する。
したがって、本実施形態に係るリプロ制御装置10によれば、センタサーバ100における解析によってたとえば不正者Mを特定するのに資することができる。
また、セキュリティ処理部14dは、記憶部13に上記取り外しが行われたことを示す取り外し履歴13bが記録されている場合に、リプロ関連データ13aを消去する。
したがって、本実施形態に係るリプロ制御装置10によれば、自装置が取り外されたことを示す取り外し履歴13bがあり、データの流出や悪用が懸念される場合に、少なくともリプロ関連データ13aを消去し、データの流出や悪用を防止することができる。
また、監視部14cは、少なくとも取り外しに関する現在時刻ならびに現在位置を含むように取り外し履歴13bを記録する。
したがって、本実施形態に係るリプロ制御装置10によれば、センタサーバ100における解析によってたとえば不正者Mを特定するのに資することができる。
また、リプロ関連データ13aは、車両Cに搭載される装置の制御プログラムの更新に関するデータである。
したがって、本実施形態に係るリプロ制御装置10によれば、車両Cに搭載される装置の制御プログラムの更新に関するデータの流出や悪用を防止することができる。
なお、上述した実施形態では、たとえば不正者Mによって取り外しが行われる場合を例に挙げたが、ユーザや整備士が点検等のために言わば正規に取り外しを行う場合もある。
このような場合に、ダウンロード済みのリプロ関連データ13aがあり、これを消去してしまうと、改めてリプロ関連データ13aをダウンロードする必要があり、通信コストが嵩むことが考えられる。
したがって、このような正規の取り外しを行う場合には、たとえばメンテナンスモードへ移行するための暗証番号等の入力を受け付け、これに基づく認証処理を行うようにしてもよい。そして、正規に認証されたならば、取り外しが行われても、取り外し履歴13bの記録や、センタサーバ100への通知、リプロ関連データ13aの消去が行われないようにしてもよい。
また、上述した実施形態では、リプロ制御装置10が車載システム1に搭載され、ECU20−1〜20−nと接続されて、これらに更新用データを配信してリプログラミングを実行する例を挙げたが、リプロ制御装置10の用途を限定するものではない。
すなわち、リプロ制御装置10は、ECU20−1〜20−nに対応するリプログラミング対象となる各種装置が含まれるものであれば、車載システム1に限らず、あらゆる各種システムに搭載させることが可能である。
また、上述してきた「装着状態」は、「接続状態」に読み替えてもよい。
さらなる効果や変形例は、当業者によって容易に導き出すことができる。このため、本発明のより広範な態様は、以上のように表しかつ記述した特定の詳細および代表的な実施形態に限定されるものではない。したがって、添付の特許請求の範囲およびその均等物によって定義される総括的な発明の概念の精神または範囲から逸脱することなく、様々な変更が可能である。
1 車載システム
10 リプロ制御装置
13 記憶部
13a リプロ関連データ
13b 取り外し履歴
14a 取得部
14c 監視部
14d セキュリティ処理部
15 補助電源
20 ECU
30 OBDコネクタ
50 バッテリ
100 センタサーバ
C 車両

Claims (8)

  1. 自装置へ接続された他装置への配信データを外部から取得し、記憶部へ保持させる取得部と、
    当該自装置の他装置または車両への装着状態を監視する監視部と、
    前記監視部によって当該自装置の取り外しが検知された場合に、前記記憶部に保持された前記配信データを消去するセキュリティ処理部と
    を備えることを特徴とする制御装置。
  2. 前記セキュリティ処理部は、
    前記取り外しが検知された後に当該自装置が起動された際に、前記配信データを消去する
    ことを特徴とする請求項1に記載の制御装置。
  3. 前記監視部は、
    前記取り外しを検知した場合に、前記配信データが前記記憶部に保持されているならば、当該取り外しによって当該自装置の電源がオフ状態になる前に、当該取り外しが行われたことを示す履歴情報を前記記憶部へ記録する
    ことを特徴とする請求項1または2に記載の制御装置。
  4. 前記セキュリティ処理部は、前記履歴情報を外部へ通知する
    ことを特徴とする請求項3に記載の制御装置。
  5. 前記セキュリティ処理部は、
    前記記憶部に前記取り外しが行われたことを示す前記履歴情報が記録されている場合に、前記配信データを消去する
    ことを特徴とする請求項3または4に記載の制御装置。
  6. 前記監視部は、
    少なくとも前記取り外しに関する現在時刻ならびに現在位置を含むように前記履歴情報を記録する
    ことを特徴とする請求項3、4または5に記載の制御装置。
  7. 前記配信データは、車両に搭載される装置の制御プログラムの更新に関するデータである
    ことを特徴とする請求項1〜6のいずれか一つに記載の制御装置。
  8. 自装置へ接続された他装置への配信データを外部から取得し、記憶部へ保持させる取得部を備える制御装置を用いたセキュリティ管理方法であって、
    前記制御装置の他装置または車両への装着状態を監視する監視工程と、
    前記監視工程によって前記制御装置の取り外しが検知された場合に、前記記憶部に保持された前記配信データを消去するセキュリティ処理工程と
    を含むことを特徴とするセキュリティ管理方法。
JP2018137799A 2018-07-23 2018-07-23 制御装置、制御方法および更新データ制御装置の動作方法 Active JP7177616B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018137799A JP7177616B2 (ja) 2018-07-23 2018-07-23 制御装置、制御方法および更新データ制御装置の動作方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018137799A JP7177616B2 (ja) 2018-07-23 2018-07-23 制御装置、制御方法および更新データ制御装置の動作方法

Publications (2)

Publication Number Publication Date
JP2020015338A true JP2020015338A (ja) 2020-01-30
JP7177616B2 JP7177616B2 (ja) 2022-11-24

Family

ID=69579878

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018137799A Active JP7177616B2 (ja) 2018-07-23 2018-07-23 制御装置、制御方法および更新データ制御装置の動作方法

Country Status (1)

Country Link
JP (1) JP7177616B2 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006195719A (ja) * 2005-01-13 2006-07-27 Nec Corp 不揮発メモリ装置、不揮発メモリシステム、データの消去方法、プログラム及び記憶媒体
JP2014139714A (ja) * 2013-01-21 2014-07-31 Yamagata Intech株式会社 制御システム、及び、サーバー装置
JP2017049683A (ja) * 2015-08-31 2017-03-09 ルネサスエレクトロニクス株式会社 運転記録装置、運転特性を判定するためのシステムおよび運転特性を判定するためのデータを出力するための方法
JP2017123107A (ja) * 2016-01-08 2017-07-13 株式会社ジェイテクト 制御プログラムの書き込み装置および制御プログラムの書き込み方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006195719A (ja) * 2005-01-13 2006-07-27 Nec Corp 不揮発メモリ装置、不揮発メモリシステム、データの消去方法、プログラム及び記憶媒体
JP2014139714A (ja) * 2013-01-21 2014-07-31 Yamagata Intech株式会社 制御システム、及び、サーバー装置
JP2017049683A (ja) * 2015-08-31 2017-03-09 ルネサスエレクトロニクス株式会社 運転記録装置、運転特性を判定するためのシステムおよび運転特性を判定するためのデータを出力するための方法
JP2017123107A (ja) * 2016-01-08 2017-07-13 株式会社ジェイテクト 制御プログラムの書き込み装置および制御プログラムの書き込み方法

Also Published As

Publication number Publication date
JP7177616B2 (ja) 2022-11-24

Similar Documents

Publication Publication Date Title
US10782955B2 (en) Pre-shutdown swap verification
CN102630320B (zh) 信息处理装置以及应用程序不正当协作防止方法
JP5729337B2 (ja) 車両用認証装置、及び車両用認証システム
US10162625B2 (en) Vehicle control storage methods and systems
JP7111030B2 (ja) 車載更新装置、更新処理プログラム及び、プログラムの更新方法
US20190256109A1 (en) Control apparatus, control method, and computer program
CN107122212A (zh) 固件加密方法
JP2018156452A (ja) データ格納装置
CN113168382A (zh) 监视装置、监视程序及监视方法
WO2018043107A1 (ja) 車載更新装置及び車載更新システム
CN107102849B (zh) 用于周期性点火开关断开的文件替换的方法和设备
JP7177616B2 (ja) 制御装置、制御方法および更新データ制御装置の動作方法
CN111583460B (zh) 认证方法、装置及计算机设备
WO2018142749A1 (ja) 制御装置、プログラム更新方法、およびコンピュータプログラム
JP6237543B2 (ja) 車載装置
US20220308857A1 (en) Control device and terminal device
FR3096153A1 (fr) Procédé et dispositif de retour à un état précédent une mise à jour logicielle d’un calculateur d’un véhicule à distance
US10789379B2 (en) Vehicle onboard apparatus and computer program
JP2019207593A (ja) スキャン処理装置、スキャン処理方法、コンピュータプログラムおよびスキャン処理システム
US20220126770A1 (en) On-board communication device, program, and communication method
JP2019074847A (ja) 電子制御装置
FR3015718A1 (fr) Procede de test et de mise a jour du systeme d'un terminal par un module d'identite de souscripteur et dispositifs associes
JP6631676B2 (ja) 車載更新装置、更新システム及び更新処理プログラム
CN114647424A (zh) Ecu应用程序更新方法、装置、系统、存储介质和电子设备
EP3363178B1 (fr) Dispositif électronique comprenant un module sécurisé supportant un mode de gestion locale de configuration d'un profil souscripteur

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210630

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220630

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220712

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220908

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221018

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221111

R150 Certificate of patent or registration of utility model

Ref document number: 7177616

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150